WO2017169058A1

WO2017169058A1 - 電子制御装置

Info

Publication number: WO2017169058A1
Application number: PCT/JP2017/003084
Authority: WO
Inventors: 泰志杉山; 良介石田; 裕史栗本; 堅一星野; 駿太戸松
Original assignee: 日立オートモティブシステムズ株式会社
Priority date: 2016-03-28
Filing date: 2017-01-30
Publication date: 2017-10-05
Also published as: DE112017000868B4; JPWO2017169058A1; JP6457149B2; DE112017000868T5

Abstract

マイコンと監視装置の間の経路についての診断の信頼性を向上することができる車載制御装置を提供する。内部エラー異常検出部17aは、診断制御信号11がHの期間に内部エラーが発生した場合、リセット発生要求信号3をHとして経路P1aを介して監視モジュール2に入力し、診断制御信号11がLの期間にテストのためリセット発生要求信号3をHとして経路P1aを介して監視モジュール2に入力する。診断部21は、内部エラー異常検出部17aがリセット発生要求信号3をHとして監視モジュール2に入力した後、経路P1aから分岐した経路P2aの信号レベルに基づいて経路P1aを診断する。

Description

電子制御装置

　本発明は、電子制御装置に関する。

　従来から、ECU（Electronic Control Unit）の入出力制御を行うメインマイコンの異常動作を監視する役割を担った、監視モジュールが実装されており、異常動作となった場合に、車両を安全な状態へ移行させる構成が採用されている。

　具体的な監視の手法の第1の例として、監視モジュールに設けられたウォッチドックタイマ機能を用いて、メインマイコンのプログラム異常動作を監視している。また、第2の例として、監視モジュールから例題の出題を行い、それに対するメインマイコンの回答と、を照合することで、メインマイコン演算機能を監視している。

　さらに近年では、第3の例として、高い安全性レベルが求められるECUに対し、メインマイコン内部に搭載された2つのプロセッサコアで同じ処理を行い、演算結果比較を行い、同じ処理結果の場合のみ命令を実行する、ロックステップコアマイコンを採用している。ロックステップコア異常を監視モジュールで検出することで、車両を安全な状態に移行可能である。

　このように、ECUに実装されたメインマイコンの異常検出機能を、複数具備している場合がある。

　これら複数の異常検出機能（異常検出機構）に関して、異常を検出した場合、あらかじめ決められたフェールセーフ動作を実行する。しかし、例えばフェールセーフ動作を実行する経路（メインマイコンと監視モジュールの間の信号線）の断線といった、フェールセーフ動作を実行できない故障モードが発生している場合、車両を安全な状態に移行できない懸念がある。そのため、あらかじめ決められたフェールセーフ動作が実行できることを、車両運転手が、イグニッションキースイッチをONしてから、イグニッションキースイッチをオフしてECUが停止するまでの期間に、少なくとも1回確認することが必要である。

　ところで、これらの異常検出機能に対するフェールセーフ動作として、メインマイコンの/RES端子をL（Low）に落として、ECUを停止させる場合がある。これは、再度/RES端子をH（High）にして、ECUを早期復帰させることを目的としており、あるいは、ECUを停止させることで異常動作を防止し、車両を安全状態へ移行させることを目的としている。メインマイコンの異常検出機能を複数具備したECUの場合、フェールセーフ動作に/RES端子をLに落として、ECUを停止させる故障モードが、複数要求されることも考えられる。

　/RES端子をLに落とす経路が1種類の場合、車両運転手のイグニッションキースイッチOFF後に、故意にエラーを発生させ、異常検出機能を働かせることで、/RES端子をLに落とす。この動作でECUが停止するため、車両運転手が、イグニッションキースイッチをONしてから、イグニッションキースイッチをオフしてECUが停止するまでの期間に1回、フェールセーフ動作が働くか、診断を行うことが可能である。メインマイコンは、/RES端子がLに落ちない場合に異常検出機能の故障を検出していた。

　ところが、1回/RESがLとなるとECUが停止してしまうため、フェールセーフ動作が/RESをLに落とす故障モードが2種類以上ある場合、同手法で、/RESをLに落とす経路をすべて診断することができない。

　このような問題に対し、メインマイコンの通常モード、スタンバイモードの切り替えをトリガにして、監視機能の禁止/許可切り替えを実施した例がある（例えば、特許文献1参照）。

特開2008-276360号公報

　特許文献１で開示される技術のように、メインマイコンの動作状態で監視機能の状態を制御すれば、ハードウェアリセットを発生させないため、フェールセーフ動作の経路確認が可能である。ただし、メインマイコンが監視モジュールを制御可能な構成が前提であり、メインマイコン動作中、常に監視を実施したい場合、特許文献1の回路構成は適用できない。また、特許文献1には、複数のリセット経路を確認するような着想はない。

　そのため、従来、メインマイコン（マイコン）と監視モジュール（監視装置）の間の経路を診断できない場合があった。

　本発明の目的は、マイコンと監視装置の間の経路についての診断の信頼性を向上することができる車載制御装置を提供することにある。

　上記目的を達成するために、本発明は、マイコンと前記マイコンを監視する監視装置とを有する車載制御装置であって、前記マイコンは、イグニッションスイッチがオンの期間に内部エラーが発生した場合、前記内部エラーが発生したことを示す異常信号を第1の経路を介して前記監視装置に入力し、前記イグニッションスイッチがオフの期間にテストのため前記異常信号を前記第1の経路を介して前記監視装置に入力する内部エラー検出部と、前記内部エラー検出部が前記異常信号を前記監視装置に入力した後、前記第1の経路から分岐した第2の経路の信号レベルに基づいて前記第1の経路を診断する診断部と、を備える。

　本発明によれば、マイコンと監視装置の間の経路についての診断の信頼性を向上することができる。上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。

本発明の第1の実施の形態による電子制御装置としてのECUの概略構成例を示すブロック図である。本発明の第2の実施の形態による電子制御装置としてのECUの概略構成例を示すブロック図である。本発明の第3の実施の形態による電子制御装置としてのECUの概略構成例を示すブロック図である。図3の第3の実施の形態による電子制御装置としてのECUの変形例を示すブロック図である。図4の変形例による故障通知経路の確認方法を示したシーケンス図である。

　以下、図面を用いて、本発明の第1～第3の実施の形態によるECUの構成及び動作について説明する。

　（第1の実施の形態）
　図1は、本発明の第1の実施の形態による電子制御装置（車載制御装置）としてのECUの概略構成例を示すブロック図である。ECUは、メインマイコン1と、前記メインマイコン1を監視する役割を担う監視モジュール2（監視装置）と、前記メインマイコン1の故障が発生した場合に、前記メインマイコンのリセットを要求する複数のリセット発生要求信号3,4,5の経路P1a,P1b,P1cと、前記監視モジュール2内部に実装されており、前記複数のリセット発生要求信号3,4,5の経路P1a,P1b,P1cを接続する、例えばNOR回路6（論理回路）と、前記NOR回路6の出力に接続されるメインマイコン1の/RES7と、前記リセット発生要求信号3,4,5の状態を、前記メインマイコン1に通知する異常通知出力信号8,9,10の経路P2a,P2b,P2cと、前記NOR回路6の出力許可/禁止を行う診断制御信号11の経路と、で構成されている。

　メインマイコン１は、例えば、プロセッサとしてのＣＰＵ、記憶装置としてのＲＡＭ及びＲＯＭ、入出力装置としての入出力ポートなどのハードウェアから構成される。メインマイコン１は、これらのハードウェアが協働することにより種々の機能を実現する。

　具体的には、メインマイコン１（マイコン）は、内部エラー異常検出部17a,17b,17c及び診断部21として機能する。

　内部エラー異常検出部17a（内部エラー検出部）は、例えば、イグニッションスイッチがオン（診断制御信号11：H）の期間に内部エラーが発生した場合、内部エラーが発生したことを示す異常信号（リセット発生要求信号3：H）を、経路P1a（第1の経路）を介して監視モジュール2（監視装置）に入力し、イグニッションスイッチがオフ（診断制御信号11：L）の期間にテストのため異常信号（リセット発生要求信号3：H）を、経路P1aを介して監視モジュール2に入力する。なお、内部エラー異常検出部17b,17cも同様に機能する。

　また、診断部21は、内部エラー異常検出部17a（内部エラー検出部）が異常信号（リセット発生要求信号3：H）を監視モジュール2（監視装置）に入力した後、経路P1a（第1の経路）から分岐した経路P2a（第2の経路）の信号レベルに基づいて経路P1a（第1の経路）を診断する。なお、診断部21は、同様に、経路P1b,P1c（第1の経路）を診断する。

　具体的には、例えば、診断部21は、内部エラー異常検出部17a（内部エラー検出部）が異常信号（リセット発生要求信号3：H）を監視モジュール2（監視装置）に入力した後、経路P2a（第2の経路）を介して異常信号（異常通知出力信号8：H）がメインマイコン１（マイコン）に入力されない場合、経路P1a（第1の経路）は疎通していないと診断する。

　また、診断部21は、内部エラー異常検出部17aが異常信号（リセット発生要求信号3：H）を監視モジュール2（監視装置）に入力した後、経路P2a（第2の経路）を介して異常信号（異常通知出力信号8：H）がメインマイコン１（マイコン）に入力された場合、内部エラー異常検出部17aは正常に動作しており、かつ、経路P1a（第1の経路）は疎通していると診断する。

　診断部21は、同様に、経路P1b,P1c（第1の経路）を診断する。

　一方、監視モジュール2（監視装置）のNOR回路6（第1のリセット部）は、イグニッションスイッチがオン（診断制御信号11：H）であり、かつ、異常信号（リセット発生要求信号3,4,5の少なくとも１つ：H）が監視モジュール2（監視装置）に入力された場合、メインマイコン１（マイコン）をリセットさせるためのリセット信号（/RES7：L）をメインマイコン１に入力する。

　NOR回路6（第1のリセット部）は、イグニッションスイッチがオフ（診断制御信号11：L）であり、かつ、異常信号（リセット発生要求信号3,4,5の少なくとも１つ：H）が監視モジュール2（監視装置）に入力された場合、リセット信号（/RES7：L）をメインマイコン１に入力しない。

　これにより、イグニッションスイッチがオフの期間（診断制御信号11：L）に、マイコンはリセットされない。

　前記NOR回路6に関しては、同様の動作をソフトウェアで実現してもよい。また、異常通知出力信号8,9,10の経路P2a,P2b,P2cは、プリント基板上の配線としてメインマイコン1と結線する以外にも、SPI通信のような、一般的な通信形態によって、メインマイコン1に状態を通知する手法としてもよい。

　この回路構成によれば、診断制御信号11がHとなっている場合、リセット発生要求信号3,4,5のいずれか一つでもH状態となると、NOR回路6を通して、/RES7をLに落とすことで、メインマイコン1を停止させる。

　診断制御信号11がLとなっている場合、リセット発生要求信号3,4,5のいずれがHとなっても、NOR回路6が出力禁止状態となっているため、/RES7をLに落とさない。

　従って、診断制御信号11をLにした状態で、リセット発生要求信号3,4,5をLからHに切り替えて、異常通知出力信号8,9,10の情報をメインマイコン1で読み取ることで、経路の確認が実現可能である。

　以上説明したように、本実施形態によれば、メインマイコン1と監視モジュール2の間の経路についての診断の信頼性を向上することができる。特に、経路P2a,P2b,P2cの信号レベルに基づいて経路P1a,P1b,P1cをそれぞれ診断するので、経路P1a,P1b,P1cをそれぞれ確実に診断できる。

　（第2の実施の形態）
　図2は、本発明の第2の実施の形態による電子制御装置としてのECUの概略構成例を示すブロック図である。

　図1の回路構成に、例えばNAND回路12（論理回路）を追加した構成である。監視モジュール2（監視装置）のNAND回路12（第2のリセット部）は、すべての内部エラー異常検出部17a,17b,17c（内部エラー検出部）から異常信号（リセット発生要求信号3,4,5：H）が監視モジュール2（監視装置）に入力された場合、リセット信号（/RES7：L）をメインマイコン１（マイコン）に入力する。

　この回路構成によれば、診断制御信号11がHの状態で、リセット発生要求信号3,4,5のいずれか一つでもH状態となると、NOR回路6を通して、/RES7をLに落とすことで、メインマイコン1を停止させる。診断制御信号11がLの状態で、リセット発生要求信号3,4,5のいずれか一つがH状態となった場合、NOR回路6が出力禁止状態となっているため、/RES7はLに落ちない。ただし、リセット発生要求信号3,4,5の全てがH状態となった場合に、NAND回路12が動作して、/RES7をLに落とす。

　従って、診断制御信号11をLにした状態で、例えば、リセット発生要求信号3,4,5をH状態にした場合、異常通知出力信号8,9,10の状態をメインマイコン1で読み取ることで、各経路の確認が可能である。最後にリセット発生要求信号3,4,5を全てH状態とすることで、NAND回路12が動作して、/RES7をLに落とす。この構成によって、/RES7の経路を確認可能となる。リセット発生要求信号3,4,5のいずれかがHになっただけでは、/RES7がLに落ちず、メインマイコン1が停止しない事ですべての経路異常を確認可能となる。

　以上説明したように、本実施形態によれば、メインマイコン1と監視モジュール2の間の経路についての診断の信頼性を向上することができる。また、NAND回路12により、イグニッションスイッチがオフ（診断制御信号11：L）の期間にメインマイコン1をリセットすることができる。

　（第3の実施の形態）
　図3は、本発明の第3の実施の形態による電子制御装置としてのECUの概略構成例を示すブロック図である。リセット発生要求信号3,4,5と診断制御信号11を入力する、AND回路13,14,15（論理回路）を実装した構成である。

　本実施形態では、メインマイコン1（マイコン）は、リセット要求（リセット発生要求信号16：H）を監視モジュール2（監視装置）に入力するリセット要求部22としてさらに機能する。

　また、本実施形態のAND回路13,14,15及びNOR回路6は、第1の実施形態の第1のリセット部（図１のNOR回路6）に相当する。図3のNOR回路6は、メインマイコン1（マイコン）からリセット要求（リセット発生要求信号16：H）が監視モジュール2（監視装置）に入力された場合、リセット信号（/RES7：L）をメインマイコン1に入力する。

　この回路構成によれば、診断制御信号11がHの状態で、リセット発生要求信号3,4,5のいずれか一つでもH状態となると、NOR回路6を通して、/RES7をLに落とすことで、メインマイコン1を停止させる。

　診断制御信号11がLの状態で、リセット発生要求信号3,4,5のいずれかがH状態となった場合でも、論理回路13,14,15の出力がL状態で変化しないため、/RES7はLに落ちない。最後にリセット発生要求信号16をH状態とすることで、/RES7をLに落とす。この構成によって、/RES7の経路を確認可能となる。リセット発生要求信号3,4,5のいずれかがHになっただけでは、/RES7がLに落ちず、メインマイコン1が停止しない事ですべての経路異常を確認可能となる。

　以上説明したように、本実施形態によれば、メインマイコン1と監視モジュール2の間の経路についての診断の信頼性を向上することができる。また、リセット要求部22により、イグニッションスイッチがオフ（診断制御信号11：L）の期間にメインマイコン1をリセットすることができる。

　（変形例）
　図4は、図3の第3の実施の形態による電子制御装置としてのECUの変形例を示すブロック図である。メインマイコン1の内部エラー異常検出部17（内部エラー検出部）と、内部エラー異常検出部17で異常を検出した場合、メインマイコン1外部に通知する内部エラー異常検出信号18と、メインマイコン1のP-RUN信号19の経路と、P-RUN信号19でウォッチドックタイマカウンタをクリアするWDT20（ウォッチドックタイマ）と、が具備されており、内部エラー異常検出部17の異常を検出した場合、および、WDT20が異常を判断した場合に、/RES7をLに落とす仕様とする。また、診断制御信号11は、イグニッションキースイッチ信号11aとする。

　本実施形態では、メインマイコン1（マイコン）は、所定の周期Tでパルス（P-RUN信号19）を生成して監視モジュール2（監視装置）に入力するパルス生成部23としてさらに機能する。WDT20及びNOR回路6は、周期Tを経過してもパルスが監視モジュール2（監視装置）に入力されない場合、リセット信号（/RES7：L）をメインマイコン1に入力する第1のリセット部として機能する。

　イグニッションキースイッチ信号11aがHの状態で、ECUが通常動作中に、内部エラー異常検出部17でメインマイコン1の異常を検出した場合、内部エラー異常検出信号18が監視モジュール2内部のAND回路13の入力部に接続（入力）され、AND回路13の出力部がHに切り替わるため、NOR回路6の出力がLに変わる。そのため、/RES7をLに落とすことが可能である。また、メインマイコンのプログラム暴走などが原因で、P-RUN信号19が出力しない場合、WDT20が異常を検出することで、NOR回路6の出力部がLに変わる。そのため、/RES7をLに落とすことが可能となる。

　イグニッションキースイッチ信号11aがHからLの状態に切り替わると、ECUは終了シーケンスに移行し、各種診断を実行する。図5に、終了シーケンス期間での経路診断手法の一例を示す。

　終了シーケンス中に内部エラー異常検出部17に擬似エラーを発生させて、内部エラー異常検出信号18を発生させる。AND回路13には、イグニッションキースイッチ信号11a（＝L）と内部エラー異常検出信号18（＝H）が入力されているため、出力は切り替わらない。
そのため、/RES7はLに落ちず、メインマイコン1は停止しない。

　メインマイコン1は異常通知出力信号8の状態を読み取ることで、内部エラー異常検出部17が異常を検出できること、および、内部エラー異常検出信号18の経路で、回路断線などが発生していないかを確認可能である。終了シーケンスの最後に、メインマイコン1がP-RUN信号19の出力を停止させて、/RES7をLに落とすことで、WDT20に関する機能診断が実現可能である。

　以上説明したように、本実施形態によれば、と監視モジュール2の間の経路についての診断の信頼性を向上することができる。また、パルス生成部23により、例えば、イグニッションスイッチがオフ（イグニッションキースイッチ信号11a：L）の期間にメインマイコン1をリセットすることができる。

　なお、本発明は上記した実施形態に限定されるものではなく、様々な変形例が含まれる。例えば、上述した実施形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施形態の構成の一部を他の実施形態の構成に置き換えることが可能であり、また、ある実施形態の構成に他の実施形態の構成を加えることも可能である。また、各実施形態の構成の一部について、他の構成の追加・削除・置換をすることが可能である。

　例えば、診断部21が経路P1a,P1b,P1c（第1の経路）は疎通していないと診断した場合、診断部21は、その情報を外部装置（上位システム、他のECU等）へ通知するようにしても
よい。外部装置は、通知された情報に基づいて報知（警告灯を点灯等）するようにしてもよい。

　また、上記の各構成、機能等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD（Solid State Drive）等の記録装置、または、ICカード、SDカード、DVD等の記録媒体に置くことができる。

　なお、本発明の実施形態は、以下の態様であってもよい。

　（1）異常状態に応じて複数種類のリセット発生要求信号を発生させる車両制御装置であって、前記複数のリセット発生要求信号の発生動作を診断する診断部と、前記複数のリセット発生要求信号を入力する、NOR回路のような論理回路と、前記論理回路の出力がリセットと接続された回路構成において、前記診断部は、前記論理回路に入力される前記複数のリセット発生要求信号の発生動作を診断する、車両制御装置。

　（2）前記診断制御信号は、イグニッションキースイッチの状態を表す信号であり、前記論理回路は、前記イグニッションキースイッチのON状態を表す信号が入力されている間、前記複数のリセット発生要求信号が入力されると作動する、（1）に記載の車両制御装置。

　（3）前記診断部は、前記診断制御信号が診断の禁止を表す状態から診断の許可を表す状態に変化した場合、前記複数のリセット発生要求信号を診断する（1）に記載の車両制御装置。

　（4）（1）に記載の車両制御装置において、複数のリセット発生要求信号が全て入力されると作動してリセットを発生させる、新たな論理回路を追加することで、リセット経路を確認可能な車両制御装置。

　（5）（1）に記載の車両制御装置とは別の実施形態において、前記リセット発生要求信号と、イグニッションキースイッチ信号を、AND回路のような論理回路に接続し、また一方で前記リセット発生要求信号とは別のリセット発生要求信号と、前記イグニッションキースイッチ信号を、AND回路のような論理回路に接続し、このような構成が複数のリセット発生要求信号に適用され、前記複数のリセット発生要求信号の発生動作を診断する診断部と、前記複数のAND回路のような論理回路の出力がNOR回路のような論理回路に複数接続され、前記複数のリセット発生要求信号とは別のリセット発生要求信号が前記NOR回路のような論理回路に接続され、前記NOR回路のような論理回路の出力が、リセットと接続された回路構成において、前記診断部は、前記論理回路に入力される前記複数のリセット発生要求信号の発生動作を診断し、前記複数のリセット発生要求信号とは別のリセット発生要求信号を出力させることで、リセットを発生させて経路を確認可能な車両制御装置。

　（6）（5）に記載の車両制御装置において、異常状態をメインマイコン内部エラー異常、WDTエラーとし、それぞれの異常状態に対するリセット発生要求信号が、一方は前記イグニッションキースイッチとAND回路で接続され、AND回路の出力がNOR回路に入力され、一方は直接前記NOR回路に入力され、前記NOR回路の出力がリセットと接続された回路構成において、イグニッションキースイッチがON時H状態である場合に、いずれのエラーが発生した場合でもリセットを発生させ、イグニッションキースイッチがOFF時L状態である場合に、前記AND回路に接続されているリセット発生要求信号の発生動作を診断し、前記直接NOR回路に接続されたリセット発生要求信号を発生させることで、リセットを発生させて、車両を停止させることで、リセットを発生させる経路を確認可能な車両制御装置。

　また、例えば、車載電子制御装置(以下、ECU)を制御するメインマイコンと、前記メインマイコンに対して、メインマイコン異常を検出する監視モジュールと、前記メインマイコンと前記監視モジュール間で接続される、前記メインマイコンで異常が発生した事を、前記監視モジュールに通知し、リセットを発生するリセット発生要求信号と、前記リセット発生要求信号とは別の、複数のリセット発生要求信号と、前記複数のリセット要求信号のうち、いずれか一つでもHレベルとなった場合に、メインマイコンを停止させる論理回路と、前記論理回路の出力を許可/禁止信号の役割を担い、出力許可/禁止信号がLレベルとなり禁止状態となると、前記論理回路の出力を切り替わらない診断制御信号と、前記リセット発生要求信号と前記論理回路との接続箇所において、前記論理回路入力部の論理状態を前記メインマイコンに通知する異常通知出力信号と、前記リセット発生要求信号とは別の、複数のリセット発生要求信号と前記論理回路との接続箇所において、前記論理回路入力部の論理状態を前記メインマイコンに通知する複数の異常通知出力信号と、を有するECUにおいて、複数のリセット発生要求信号が正常に動作することを、1回の終了シーケンスで確認可能であること、を特徴とする電子制御装置であってもよい。

1…メインマイコン
2…監視モジュール
3…リセット発生要求信号
4…リセット発生要求信号
5…リセット発生要求信号
6…NOR回路（論理回路）
7…/RES
8…異常通知出力信号
9…異常通知出力信号
10…異常通知出力信号
11…診断制御信号
11a…イグニッションキースイッチ信号
12…NAND回路（論理回路）
13…AND回路（論理回路）
14…AND回路（論理回路）
15…AND回路（論理回路）
16…リセット発生要求信号
17…内部エラー異常検出部
18…内部エラー異常検出信号
19…P-RUN信号
20…WDT
21…診断部
22…リセット要求部
23…パルス生成部

Claims

　マイコンと前記マイコンを監視する監視装置とを有する車載制御装置であって、
　前記マイコンは、
　イグニッションスイッチがオンの期間に内部エラーが発生した場合、前記内部エラーが発生したことを示す異常信号を第1の経路を介して前記監視装置に入力し、前記イグニッションスイッチがオフの期間にテストのため前記異常信号を前記第1の経路を介して前記監視装置に入力する内部エラー検出部と、
　前記内部エラー検出部が前記異常信号を前記監視装置に入力した後、前記第1の経路から分岐した第2の経路の信号レベルに基づいて前記第1の経路を診断する診断部と、を備える
　ことを特徴とする車載制御装置。
　請求項１に記載の車載制御装置であって、
　前記監視装置は、
　前記イグニッションスイッチがオンであり、かつ、前記異常信号が前記監視装置に入力された場合、前記マイコンをリセットさせるためのリセット信号を前記マイコンに入力する第1のリセット部を備える
　ことを特徴とする車載制御装置。
　請求項２に記載の車載制御装置であって、
　前記第1のリセット部は、
　前記イグニッションスイッチがオフであり、かつ、前記異常信号が前記監視装置に入力された場合、前記リセット信号を前記マイコンに入力しない
　ことを特徴とする車載制御装置。
　請求項２に記載の車載制御装置であって、
　前記内部エラー検出部は、
　複数あり、
　前記第1の経路及び前記第2の経路は、
　前記内部エラー検出部ごとに設けられ、
　前記第1のリセット部は、
　前記イグニッションスイッチがオンであり、かつ、少なくとも１つの前記内部エラー検出部から前記異常信号が前記監視装置に入力された場合、前記リセット信号を前記マイコンに入力する
　ことを特徴とする車載制御装置。
　請求項４に記載の車載制御装置であって、
　前記監視装置は、
　すべての前記内部エラー検出部から前記異常信号が前記監視装置に入力された場合、前記リセット信号を前記マイコンに入力する第2のリセット部をさらに備える
　ことを特徴とする車載制御装置。
　請求項４に記載の車載制御装置であって、
　前記マイコンは、
　リセット要求を前記監視装置に入力するリセット要求部をさらに備え、
　前記第1のリセット部は、
　前記マイコンからリセット要求が前記監視装置に入力された場合、前記リセット信号を前記マイコンに入力する
　ことを特徴とする車載制御装置。
　請求項２に記載の車載制御装置であって、
　前記マイコンは、
　所定の周期でパルスを生成して前記監視装置に入力するパルス生成部をさらに備え、
　前記第1のリセット部は、
　前記周期を経過しても前記パルスが前記監視装置に入力されない場合、前記リセット信号を前記マイコンに入力する
　ことを特徴とする車載制御装置。
　請求項１に記載の車載制御装置であって、
　前記診断部は、
　前記内部エラー検出部が前記異常信号を前記監視装置に入力した後、前記第2の経路を介して前記異常信号が前記マイコンに入力されない場合、前記第1の経路は疎通していないと診断する
　ことを特徴とする車載制御装置。
　請求項８に記載の車載制御装置であって、
　前記診断部は、
　前記内部エラー検出部が前記異常信号を前記監視装置に入力した後、前記第2の経路を介して前記異常信号が前記マイコンに入力された場合、前記内部エラー検出部は正常に動作しており、かつ、前記第1の経路は疎通していると診断する
　ことを特徴とする車載制御装置。