WO2013001716A1

WO2013001716A1 - 車載電子制御装置

Info

Publication number: WO2013001716A1
Application number: PCT/JP2012/003546
Authority: WO
Inventors: 友保青木; 遠藤　修司; 謙一岡本
Original assignee: 日本精工株式会社
Priority date: 2011-06-29
Filing date: 2012-05-30
Publication date: 2013-01-03
Also published as: EP2557502A1; EP2557502A4; US20150278067A1; CN102959520B; US9348683B2; JP5126393B2; JP2013012069A; CN102959520A; US9348684B2; US20140164826A1; US20150278002A1; US9087077B2

Abstract

　マイクロコンピュータの異常の詳細を適切に診断することができる車載電子制御装置を提供する。マイクロコンピュータ（ＭＣＵ（２））の内部に、ハードウェア部（２１）の主機能（２２）の入出力を監視することで故障を検出する監視機能（２３）と、ソフトウェア部（２４）の主機能（２５）の演算結果を監視することで異常を検出する監視機能（２６）とを設ける。監視対象の主機能と故障や異常の監視機能とは、異なる構造で実装する。さらに、マイクロコンピュータ（ＭＣＵ（２））の外部に、マイクロコンピュータ（ＭＣＵ（２））の異常を監視する故障処理回路（５）を設ける。

Description

車載電子制御装置

　本発明は、マイクロコンピュータの故障や異常を監視する機能を有する車載電子制御装置に関するものである。

　従来のＣＰＵ監視機能を有する車載電子制御装置としては、例えば特許文献１及び２に記載の技術がある。この技術は、上記監視機能としてロックステップ方式を採用したものであり、同一構成を有するＡ系とＢ系の２つの情報処理部における処理結果を照合する照合回路を備える。そして、照合回路による照合結果が不一致である場合に、Ａ系又はＢ系が故障していると判定する。
　また、上記監視機能として、制御ＣＰＵと監視ＣＰＵの２つのＣＰＵを備え、制御ＣＰＵを監視ＣＰＵで監視する方式を採用したものもある（例えば、特許文献３参照）。

特開２０１０－２６２４３２号公報特開２０１０－１６０６４９号公報特開２００６－３４４０８６号公報

　しかしながら、上記のようなロックステップ方式を採用した監視機能では、制御部と監視部とが同一コアを使用していると、コアの演算器に演算ミスが生じるような不具合があった場合に、異常として検出することができない。また、上記のような２つのＣＰＵを用いる方式を採用した監視機能では、制御ＣＰＵの演算をきめ細かく診断することができない。

　このように、異常の詳細を診断することができないため、異常発生時には、異常の詳細によらず一律に制御を停止していた。ところが、車両の大型化による制御停止時のドライバ負担や車両安全制御の規格化などの観点から、異常の詳細によっては異常発生時にも制御を続行することが望まれる。
　そこで、本発明は、マイクロコンピュータの異常の詳細を適切に診断することができる車載電子制御装置を提供することを課題としている。

　上記課題を解決するために、本発明に係る車載電子制御装置の第１の態様は、ハードウェア部とソフトウェア部とを含んで構成され、車両に搭載されたセンサからの検出信号に基づいて、アクチュエータの駆動信号を生成するマイクロコンピュータと、前記マイクロコンピュータの内部に設けられ、前記ハードウェア部の各要素の異常を監視するハードウェア要素監視部と、前記マイクロコンピュータの内部に設けられ、前記ソフトウェア部の各要素の異常を監視するソフトウェア要素監視部と、前記マイクロコンピュータの外部に設けられ、前記マイクロコンピュータの異常を監視する外部監視部と、を備えることを特徴としている。

　このように、マイクロコンピュータをハードウェア監視、ソフトウェア監視、外部監視の３つで総合監視するので、マイクロコンピュータの異常の詳細を診断することができる。そのため、マイクロコンピュータの異常発生時には、異常の詳細に応じた適切な処置が可能となる。

　また、第２の態様は、前記ハードウェア要素監視部が、監視対象のハードウェア要素とは異なる構造で、且つ当該監視対象のハードウェア要素と入出力特性が等しい監視用ハードウェア要素を備え、前記監視対象のハードウェア要素と前記監視用ハードウェア要素とに同一信号を入力したときの出力信号を比較することで、前記監視対象のハードウェア要素の異常を監視することを特徴としている。

　このように、監視対象のハードウェア要素の入出力を監視するので、当該監視対象のハードウェア要素の故障を適切に検出することができる。さらに、監視用ハードウェア要素を監視対象のハードウェア要素とは異なる構造で実装するので、例えば、両者で処理完了までの遅延時間を異ならせることができる。その結果、両者が共通して影響を受ける故障要因に対しても、適切に故障として検出することができる。

　また、第３の態様は、前記ハードウェア要素監視部が、上記異常を検出すると、前記アクチュエータを停止するための停止処置を行うことを特徴としている。
　このように、マイクロコンピュータの異常の詳細に応じて適切な処置を行うことができる。

　さらに、第４の態様は、前記ハードウェア要素監視部が、上記異常を検出すると、前記外部監視部にこれを通知し、前記外部監視部は、前記ハードウェア要素監視部からの前記通知を受けて、前記アクチュエータを停止するための停止処置を行うことを特徴としている。
　このように、異常を検出した際に、直接アクチュエータの停止処置を実施する手段と、外部監視部を介してアクチュエータの停止処置を実施する手段とを併用することで、当該停止処置の実施手段を冗長化することができる。これにより、異常発生時には、より確実にアクチュエータを停止することができる。

　また、第５の態様は、前記ソフトウェア要素監視部が、監視対象のソフトウェア要素とは異なる構造で、且つ当該監視対象のソフトウェア要素と同等の演算処理を行う監視用ソフトウェア要素を備え、前記監視対象のソフトウェア要素と前記監視用ソフトウェア要素とに同一信号を入力し、両者の演算結果の差が許容範囲内であるか否かにより、前記監視対象のソフトウェア要素の異常を監視することを特徴としている。

　このように、監視対象のソフトウェア要素の演算結果を監視するので、当該監視対象のソフトウェア要素の異常を適切に検出することができる。さらに、監視用ソフトウェア要素を監視対象のソフトウェア要素とは異なる構造で実装するので、例えば、両者で演算に使用されるインストラクションを異ならせることができる。その結果、両者に共通して影響を受ける異常要因に対しても、適切に異常として検出することができる。また、演算結果の比較に際し、所定の許容範囲を設定するので、異なる実装を実現したことにより生じる演算誤差を考慮した異常診断を行うことができる。

　さらにまた、第６の態様は、前記許容範囲を、前記監視対象のソフトウェア要素の演算結果と前記監視用ソフトウェア要素の演算結果とが同符号であり、且つ前記監視対象のソフトウェア要素の演算結果の絶対値が前記監視用ソフトウェア要素の演算結果の絶対値よりも小さい範囲に設定することを特徴としている。
　このように、監視対象のソフトウェア要素の演算結果の絶対値が小さいほど、アクチュエータの実際の制御動作は小さく、不具合を発生する動作に繋がりにくいことを考慮して、異常を非検出とする許容範囲を設定することができる。そのため、むやみに異常診断するのを抑制することができる。

　また、第７の態様は、前記ソフトウェア要素監視部が、上記異常を検出すると、前記監視対象のソフトウェア要素の演算結果を前記許容範囲内に制限する制限部を備えることを特徴としている。
　これにより、マイクロコンピュータに異常が発生している場合であっても、その異常がソフトウェア要素の異常である場合には、アクチュエータの駆動制御を続行させることができる。このように、マイクロコンピュータの異常の詳細に応じて適切な処置を行うことができる。

　さらに、第８の態様は、前記外部監視部が、前記マイクロコンピュータのクロックを監視することで、前記マイクロコンピュータの異常を監視することを特徴としている。
　これにより、マイクロコンピュータ内部の各機能が共通して影響を受けるクロック異常が発生し、マイクロコンピュータ内部で故障や異常の診断が行えない場合には、これを異常として検出することができる。そのため、信頼性の高い異常診断を行うことができる。

　また、第９の態様は、前記外部監視部が、前記ハードウェア要素監視部及び前記ソフトウェア要素監視部が動作していることを監視することで、前記マイクロコンピュータの異常を監視することを特徴としている。
　このように、ハードウェア要素監視部そのものが動作していない場合や、ソフトウェア要素監視部そのものが動作していない場合には、これを異常として検出することができる。そのため、信頼性の高い異常診断を行うことができる。

　さらにまた、第１０の態様は、前記外部監視部が、上記異常を検出すると、前記アクチュエータを停止するための停止処置を行うことを特徴としている。
　このように、マイクロコンピュータの異常の詳細に応じて適切な処置を行うことができる。

　本発明の車載電子制御装置では、マイクロコンピュータのハードウェア部及びソフトウェア部の内部監視と、マイクロコンピュータの外部監視との総合監視が可能であるため、マイクロコンピュータの異常の詳細を適切に診断することができる。その結果、異常の詳細に応じた適切な処置が可能となる。

本実施形態における車載電子制御装置の機能を示す図である。ハードウェア部の監視機能を示すブロック図である。ＭＣＵ内部要素の診断例を示すブロック図である。ソフトウェア要素の診断例を示すブロック図である。異常診断領域の例を示す図である。異常診断領域の例を示す図である。故障処理回路の構成を示すブロック図である。

　以下、本発明の実施の形態を図面に基づいて説明する。
　図１は、本実施形態における車載電子制御装置の機能を示す図である。
　図中、符号１は車両を制御する車載電子制御装置であり、この車載電子制御装置は、マイクロコンピュータ（ＭＣＵ）２を備える。ＭＣＵ２は、ハードウェア部２１とソフトウェア部２４とを含んで構成されている。

　ハードウェア部２１は、複数のＭＣＵ内部要素と、これらＭＣＵ内部要素のうちの主機能２２の故障を監視する監視機能２３とを備える。ここで、ＭＣＵ内部要素とは、中央演算処理回路（ＣＰＵ）やバス、ＲＯＭ、ＲＡＭ、周辺回路（タイマ、シリアル通信、ＣＡＮ通信、外部出力ポート）などである。また、ソフトウェア部２４は、ソフトウェア要素と、ソフトウェア要素のうちの主機能２５で実行する演算処理の異常を監視する監視機能２６とを備える。

　すなわち、ＭＣＵ２内部において、ハードウェア要素の監視とソフトウェア要素とを監視するようになっている。
　ＭＣＵ２には、車両に搭載されている各種センサ１１で検出した検出信号が、入力Ｉ／Ｆ回路３を介して入力される。そして、ＭＣＵ２は、入力された検出信号に基づいて、車両に搭載されたアクチュエータ（ブレーキアクチュエータ、アクティブサスペンション等）１２を駆動制御するための指令信号を演算し、これをアクチュエータ駆動回路４に出力する。

　アクチュエータ駆動回路４は、ブリッジ回路（ＦＥＴ）、ＦＥＴ駆動回路、リレー、リレー駆動回路などを含んで構成されており、ＭＣＵ２で演算した指令信号をもとにアクチュエータ１２を駆動制御する。
　また、車載電子制御装置１は、ＭＣＵ２の外部でＭＣＵ２の故障を監視する故障処理回路５を備える。
　なお、図１において、監視機能２３がハードウェア要素監視部に対応し、監視機能２６がソフトウェア要素監視部に対応し、故障処理回路５が外部監視部に対応している。

　次に、ＭＣＵ２のハードウェア部２１の監視機能２３について詳細に説明する。
　図２は、ハードウェア部２１の監視機能２３を説明するためのブロック図である。この図２に示すように、複数のＭＣＵ内部要素（主機能）３１に、それぞれ監視機能２３として故障処理要素３２が配置されている。ここで、ＭＣＵ内部要素３１と故障処理要素３２とは、異なる構造で実装する。

　故障処理要素３２は、監視対象のＭＣＵ内部要素３１の入出力を監視し、当該ＭＣＵ内部要素３１が故障しているか否かを診断する。ここでは、図３に示すように、故障処理要素３２は、演算処理回路３２ａと比較回路３２ｂとを備える。演算処理回路３２ａは、監視対象のＭＣＵ内部要素３１を構成する演算処理回路３１ａとは異なる実装で、且つ演算処理回路３１ａと入出力特性が等しい。

　すなわち、演算処理回路３２ａは、その機能が正常である場合に演算処理回路３１ａと同一の信号を入力したとき、演算処理回路３１ａと同一の信号を出力するものであり、演算処理回路３１ａとは異なるトランジスタ数で実装する。故障処理用の演算処理は、診断のための演算値が求められればよいため、主機能の演算処理よりも簡素化できる。そのため、ここでは、トランジスタ数を異ならせて、演算処理回路３２ａを演算処理回路３１ａに対して簡素化した構造とする。

　そして、この演算処理回路３２ａに演算処理回路３１ａの入力信号を入力し、その出力信号を比較回路３２ｂに入力する。すると、比較回路３２ｂは、演算処理回路３１ａの出力信号と演算処理回路３２ａの出力とを比較する。このとき、同一結果となっていない場合には、ＭＣＵ内部要素３１が故障していると判断し、故障処理要素３２は、図２に示すＭＣＵ内部要素（外部出力機能）３３及び故障後処置要素３４に故障を検出したことを示す診断結果を通知する。

　ＭＣＵ内部要素３３は、故障処理要素３２の診断結果を受けて、アクチュエータ駆動回路４へ故障後処置の実施指令を出力する。
　故障後処置の実施指令の例としては、例えば、アクチュエータ駆動回路４を構成するブリッジ回路のＦＥＴ駆動回路への停止信号がある。この場合、当該停止信号が出力されることで、全ＦＥＴがＯＦＦし、アクチュエータ１２を停止させることができる。また、故障後処置の実施指令の別の例としては、例えば、アクチュエータ駆動回路４のリレー駆動回路への停止信号がある。この場合、当該停止信号が出力されることで、リレーがＯＦＦし、アクチュエータ１２への電力供給を停止することができる。このように、本実施形態では、故障後処置としてアクチュエータ１２の停止処置を適用する。

　また、故障後処置要素３４は、故障処理要素３２の診断結果を受けて、故障処理回路５へＭＣＵ内部要素３１の故障を通知する。故障処理回路５は、故障後処置要素３４から当該故障通知を受け取ると、アクチュエータ駆動回路４へ故障後処置の実施指令を出力する。
　このように、通知手段を冗長化することにより、ＭＣＵ内部要素３３及び故障後処置要素３４の何れかの通知機能が失われた状態でも、確実にアクチュエータ駆動回路４へ故障後処置の実施指令を出力することができる。

　次に、ＭＣＵ２のソフトウェア部２４の監視機能２６について詳細に説明する。
　図４は、ソフトウェア要素の診断例を示すブロック図である。この図４に示すように、ソフトウェア要素（主機能）４１には、監視機能２６として異常処理ソフトウェア４２が配置されている。ここで、ソフトウェア要素４１と異常処理ソフトウェア４２とは、異なる構造で実装する。

　異常処理ソフトウェア４２は、監視対象のソフトウェア要素４１の演算結果を監視し、当該ソフトウェア要素に異常が発生しているか否かを診断する。ここでは、異常処理ソフトウェア４２は、演算処理４２ａと、比較処理４２ｂと、制限処理４２ｃとを備える。演算処理４２ａは、監視対象のソフトウェア要素４１の演算処理４１ａとは異なる実装で、且つ演算処理４１ａと同等の演算を行う。

　すなわち、演算処理４２ａは、演算処理４１ａとは異なるインストラクション数で、演算処理４１ａと数式上同一となる演算を行うものである。故障処理用の演算処理は、診断のための演算値が求められればよいため、主機能の演算処理よりも簡素化できる。そのため、ここでは、インストラクション数を異ならせて、演算処理４２ａを演算処理４１ａに対して簡素化したものとする。

　そして、この演算処理４２ａに演算処理４１ａの入力信号を入力し、その演算結果を比較処理４２ｂに入力する。すると、比較処理４２ｂは、演算処理４１ａの演算結果と演算処理４２ａの演算結果とを比較する。このとき、両者の誤差が所定の許容範囲内にない場合には、ソフトウェア要素４１に異常が発生していると判断する。

　すなわち、図５に示すように、主機能側の値（演算処理４１ａの演算結果）が監視側の値（演算処理４２ａの演算結果）に対して±所定範囲となる領域を許容領域とし、それ以外の斜線で示す領域を異常診断領域とする。そして、主機能側の値と監視側の値とによって決まる点が異常診断領域内にあるとき、上記誤差が許容範囲内にないと判断する。なお、図５の破線で示す直線は、主機能側の値と監視側の値とが等しい領域である。
　このように、所定の許容範囲を設定するため、演算処理４２ａを簡素化したことにより生じる演算誤差分を考慮した異常判定を行うことができる。

　また、異常診断領域は、例えば図６に示すように設定することもできる。この例は、主機能側の値と監視側の値とが同符号で、且つ主機能側の値の絶対値が監視側の値の絶対値よりも小さい領域±所定範囲を許容範囲としたものである。すなわち、主機能側の値と監視側の値とによって決まる点が、図６の斜線に示す異常診断領域内にあるとき、上記誤差が許容範囲内にないと判断する。これにより、実際の動作の値が小さいものは、不具合発生に繋がる可能性が低いと判断して許容することができるので、むやみに異常判定されるのを抑制することができる。

　そして、比較処理４２ｂは、ソフトウェア要素４１に異常が発生していることを検出すると、その診断結果を図４の制限処理（制限部）４２ｃに出力する。
　制限処理４２ｃには、演算処理４１ａの演算結果が入力される。比較処理４２ｂから異常を検出したことを示す診断結果が入力された場合には、制限処理４２ｃは、演算処理４１ａの演算結果を許容できる制限値まで制限して出力する。ここで、上記制限値は、車両で許容できる範囲を実験的に検証して決定することが望ましい。一方、比較処理４２ｂから異常を検出したことを示す診断結果が入力されていない場合には、制限処理４２ｃは、演算処理４１ａの演算結果をそのまま出力する。

　次に、故障処理回路５の構成について具体的に説明する。
　図７は、故障処理回路５の機能を示すブロック図である。故障処理回路５は、ＭＣＵ２の故障をＭＣＵ２の外部から監視するものである。ＭＣＵ２の監視方法としては、ＭＣＵ２のクロック２７を監視する方法と、ＭＣＵ２の監視機能２３及び２６が動作していることを監視する方法とを採用する。

　すなわち、故障処理回路５は、ＭＣＵ２のクロック２７を監視するために、ＭＣＵ２とは独立したクロック５１と、クロック監視処理５２とを備える。クロック監視処理５２は、クロック２７のクロックパルスとクロック５１のクロックパルスとを比較することで、クロック２７の故障を検出する。クロック２７は、ＭＣＵ２の一連の作業の基準となるものであり、例えばＲＣ発振回路やセラミック振動子、水晶振動子、水晶振動子内蔵オシレータ、水晶振動子・分周器内蔵オシレータなどからなる。

　なお、図７では、クロック監視処理５２を故障処理回路５内部のソフトウェアで実装する場合について示しているが、ＭＣＵ２内部のハードウェアやソフトウェアで実装することもできる。
　また、故障処理回路５は、ＭＣＵ２の監視機能２３の動作を監視するために、故障処理要素３２のウォッチドッグタイマの出力パルスを監視するパルス監視処理５３を備える。パルス監視処理５３は、上記出力パルスが所定時間停止したことをもって、監視機能２３の異常を検出する。

　なお、図７では監視機能２３の異常検出についてのみ示しているが、監視機能２６（異常処理ソフトウェア４２）についても同様の方法で異常を検出するものとする。
　すなわち、監視機能２６（異常処理ソフトウェア４２）が正しく実行されたときにウォッチドッグタイマからパルスを出力することによって、監視機能２６が実行されない状態（監視されていない状態）をＭＣＵ２の外部の故障処理回路５で診断することができる。

　そして、故障処理回路５は、クロック監視処理５２及びパルス監視処理５３の少なくとも一方でＭＣＵ２の故障を検出すると、アクチュエータ１２を停止させるべく、アクチュエータ駆動回路４に対して故障後処置の実施指令を出力する。
　このように、本実施形態では、ＭＣＵをハードウェア監視、ソフトウェア監視、外部監視の３つで総合監視するので、ＭＣＵの異常を詳細に監視することができる。

　すなわち、ハードウェア監視においては、ＭＣＵ内部要素ごとに故障処理要素を配置してＭＣＵ内部要素の入出力信号を監視するので、ＭＣＵ内部要素の故障をきめ細かく診断することができる。
　また、このとき、故障処理要素を監視対象のＭＣＵ内部要素とは異なる構造で実装するので、例えば、両者で処理完了までの遅延時間を異ならせることができる。その結果、両者に共通して影響を受ける故障要因に対しても、適切に故障として検出することができる。さらに、トランジスタ数を少なくするなどにより、故障処理要素を監視対象のＭＣＵ内部要素よりも簡素化した構造で実装するので、比較的簡易且つ安価に故障処理要素を設けることができる。

　さらに、上記ハードウェア監視の他に、ＭＣＵ内部でソフトウェア監視を行うので、ハードウェア監視の故障処理要素で検出しきれない演算不具合を検出することができる。
　このとき、ソフトウェア監視においては、ソフトウェア要素に異常処理ソフトウェアを配置してソフトウェア要素の演算結果を監視するので、ソフトウェア要素の異常を適切に診断することができる。さらに、異常処理ソフトウェアを監視対象のソフトウェア要素とは異なる構造で実装するので、例えば、両者で演算に使用されるインストラクションを異ならせることができる。その結果、両者に共通して影響を受ける異常要因に対しても、適切に異常として検出することができる。

　また、演算結果の比較に際し、所定の許容範囲を設定するので、異常処理ソフトウェアを簡素化した構造としたことにより生じる演算誤差を考慮した異常診断を行うことができる。例えば、監視対象のソフトウェア要素の演算結果と異常処理ソフトウェアの演算結果とが同符号であり、且つ監視対象のソフトウェア要素の演算結果の絶対値が異常処理ソフトウェアの演算結果の絶対値よりも小さい範囲を、上記許容範囲とする。これにより、監視対象のソフトウェア要素の演算結果が、アクチュエータの実際の制御動作が小さく不具合を発生する動作に繋がりにくいような値の場合には、監視対象のソフトウェア要素の演算結果と異常処理ソフトウェアの演算結果とに比較的大きな誤差が生じている場合でも許容することができる。そのため、むやみに異常診断するのを抑制することができる。

　そして、ハードウェア監視においてＭＣＵ内部要素の故障を検出した場合には、アクチュエータを停止する処置を行い、ソフトウェア監視においてソフトウェア要素の異常を検出した場合には、ソフトウェア要素の演算結果を許容範囲内に制限する補正を行って、アクチュエータの駆動制御を続行する処置を行う。
　車両に搭載される電子制御用ＭＣＵは、異常発生時には異常の詳細によらず制御を停止させるのが一般的であった。ところが、車両の大型化による制御停止時のドライバ負担や車両安全制御の規格化などの観点から、異常発生時にも異常の詳細によっては制御を続行させる必要がある。本実施形態では、ＭＣＵの異常をきめ細かく診断することができるので、異常の詳細に応じて制御を停止したり制御を続行したりすることができるなど、適切な処置を行うことができる。

　さらに、ＭＣＵ外部でＭＣＵの故障を監視する外部監視を行うので、ＭＣＵ内部の監視機能であるハードウェア監視とソフトウェア監視とが共通して影響を受ける要因に対して診断を実施することができる。
　例えば、ＭＣＵの外部にＭＣＵとは独立したクロックを配置し、ＭＣＵのクロックを監視することで、ＭＣＵ内部の各監視機能が共通して影響を受けるクロック異常が発生し、ＭＣＵ内部で故障や異常の診断が行えない場合には、これを異常として検出することができる。また、ＭＣＵ内部の各監視機能のウォッチドッグタイマの出力パルスを監視することで、ＭＣＵ内部の各監視機能が動作していない場合には、これを異常として検出することができる。このように、ＭＣＵの機能不全をＭＣＵの外部で検出し、処置することができる。

　そして、この外部監視においては、自身の監視機能でＭＣＵの故障を検出した場合や、異常処理要素からＭＣＵ内部要素の故障を検出したことを示す情報を取得した場合に、アクチュエータを停止する処置を行う。すなわち、ハードウェア監視でＭＣＵ内部要素の故障を検出した場合には、ハードウェア監視によって直接アクチュエータを停止する処置を行う手段と、外部監視を介してアクチュエータを停止する処置を行う手段とを併用することができる。その結果、ＭＣＵ内部要素の故障が発生した場合には、確実にアクチュエータを停止することができる。

産業上の利用の可能性

　本発明に係る車載電子制御装置によれば、マイクロコンピュータのハードウェア部及びソフトウェア部の内部監視と、マイクロコンピュータの外部監視との総合監視が可能であるため、マイクロコンピュータの異常の詳細を適切に診断し、異常の詳細に応じた適切な処置を行うことができ、有用である。

　１…車載電子制御装置、２…マイクロコンピュータ（ＭＣＵ）、３…入力Ｉ／Ｆ回路、４…アクチュエータ駆動回路、５…故障処理回路、１１…センサ、１２…アクチュエータ、２１…ハードウェア部、２２…ハードウェア主機能、２３…ハードウェア監視機能、２４…ソフトウェア部、２５…ソフトウェア主機能、２６…ソフトウェア監視機能、２７…クロック、３１…ＭＣＵ内部要素（主機能）、３１ａ…演算処理回路、３２…故障処理要素、３２ａ…演算処理回路、３２ｂ…比較回路、３３…ＭＣＵ内部要素（外部出力機能）、３４…故障後処置要素、４１…ソフトウェア要素、４１ａ…演算処理、４２…異常処理ソフトウェア、４２ａ…演算処理、４２ｂ…比較処理、４２ｃ…制限処理、５１…クロック、５２…クロック監視処理、５３…パルス監視処理

Claims

　ハードウェア部とソフトウェア部とを含んで構成され、車両に搭載されたセンサからの検出信号に基づいて、アクチュエータの駆動信号を生成するマイクロコンピュータと、
　前記マイクロコンピュータの内部に設けられ、前記ハードウェア部の各要素の異常を監視するハードウェア要素監視部と、
　前記マイクロコンピュータの内部に設けられ、前記ソフトウェア部の各要素の異常を監視するソフトウェア要素監視部と、
　前記マイクロコンピュータの外部に設けられ、前記マイクロコンピュータの異常を監視する外部監視部と、を備えることを特徴とする車載電子制御装置。
　前記ハードウェア要素監視部は、監視対象のハードウェア要素とは異なる構造で、且つ当該監視対象のハードウェア要素と入出力特性が等しい監視用ハードウェア要素を備え、前記監視対象のハードウェア要素と前記監視用ハードウェア要素とに同一信号を入力したときの出力信号を比較することで、前記監視対象のハードウェア要素の異常を監視することを特徴とする請求項１に記載の車載電子制御装置。
　前記ハードウェア要素監視部は、上記異常を検出すると、前記アクチュエータを停止するための停止処置を行うことを特徴とする請求項１に記載の車載電子制御装置。
　前記ハードウェア要素監視部は、上記異常を検出すると、前記外部監視部にこれを通知し、
　前記外部監視部は、前記ハードウェア要素監視部からの前記通知を受けて、前記アクチュエータを停止するための停止処置を行うことを特徴とする請求項１に記載の車載電子制御装置。
　前記ソフトウェア要素監視部は、監視対象のソフトウェア要素とは異なる構造で、且つ当該監視対象のソフトウェア要素と同等の演算処理を行う監視用ソフトウェア要素を備え、前記監視対象のソフトウェア要素と前記監視用ソフトウェア要素とに同一信号を入力し、両者の演算結果の差が許容範囲内であるか否かにより、前記監視対象のソフトウェア要素の異常を監視することを特徴とする請求項１に記載の車載電子制御装置。
　前記許容範囲は、前記監視対象のソフトウェア要素の演算結果と前記監視用ソフトウェア要素の演算結果とが同符号であり、且つ前記監視対象のソフトウェア要素の演算結果の絶対値が前記監視用ソフトウェア要素の演算結果の絶対値よりも小さい範囲に設定することを特徴とする請求項５に記載の車載電子制御装置。
　前記ソフトウェア要素監視部は、上記異常を検出すると、前記監視対象のソフトウェア要素の演算結果を前記許容範囲内に制限する制限部を備えることを特徴とする請求項５に記載の車載電子制御装置。
　前記外部監視部は、前記マイクロコンピュータのクロックを監視することで、前記マイクロコンピュータの異常を監視することを特徴とする請求項１に記載の車載電子制御装置。
　前記外部監視部は、前記ハードウェア要素監視部及び前記ソフトウェア要素監視部が動作していることを監視することで、前記マイクロコンピュータの異常を監視することを特徴とする請求項１に記載の車載電子制御装置。
　前記外部監視部は、上記異常を検出すると、前記アクチュエータを停止するための停止処置を行うことを特徴とする請求項１に記載の車載電子制御装置。