WO2018131302A1

WO2018131302A1 - 電子制御装置

Info

Publication number: WO2018131302A1
Application number: PCT/JP2017/042516
Authority: WO
Inventors: 凌杉山
Original assignee: 日立オートモティブシステムズ株式会社
Priority date: 2017-01-12
Filing date: 2017-11-28
Publication date: 2018-07-19
Also published as: JP6839212B2; JPWO2018131302A1

Abstract

制御対象が通常動作中であっても、監視ＩＣの監視機能が正常に動作しているかを診断することができる電子制御装置を提供する。外部装置を制御するためのＭＰＵと、前記ＭＰＵの監視を行う監視ＩＣと、前記ＭＰＵのリセットを行うリセット部とを備える電子制御装置において、前記監視ＩＣは、前記ＭＰＵとの通信に異常があった場合に変動させるＮＧカウンタを備え、前記ＭＰＵは、前記ＮＧカウンタの値を監視することにより、前記ＭＰＵが異常状態となってからリセットされるまでの時間を診断する。

Description

電子制御装置

　本発明は、電子制御装置に関する。

　背景技術として、例えば、特許文献１がある。特許文献１では、２つの方法を用いて監視回路の監視機能を診断している。第１の方法では、マイコンから監視回路へ出力しているパルス信号を停止することによって、一定時間経過後にリセット信号が出力されるかどうかの確認処理が行われる。第２の方法では、監視回路からマイコンへ出題している例題に対して故意にマイコンが誤った回答を行うことによって、リセット信号が出力されるかどうかの確認処理が行われる。２つの方法は同時に行うことができず、どちらか一方のみの診断が交互に行われる。また、これらの診断は運転者によるエンジン停止操作直後のセルフシャットオフ期間中のみに行われる。

特開２００２－０９９３２１号公報

　特許文献１に開示されている技術では、マイコンがリセットされてしまうため、マイコンが異常状態になってからリセット信号が出力されるまでの時間を確認することができない。また、マイコンがリセットされてしまうと、制御対象が機能停止してしまうため、運転者によるエンジン停止操作直後のセルフシャットオフ期間中のみにしか、監視機能の診断を行うことができない。

　そこで、本願明細書は、このような実情に鑑み、制御対象が通常動作中であっても、監視ＩＣの監視機能が正常に動作しているかを診断することができる電子制御装置を開示する。

　例えば、上記課題を解決するために、特許請求の範囲に記載の構成を採用する。本願は上記課題を解決する手段を複数含んでいるが、その一例をあげるならば、外部装置を制御するためのＭＰＵと、前記ＭＰＵの監視を行う監視ＩＣと、前記ＭＰＵのリセットを行うリセット部とを備える電子制御装置であって、前記監視ＩＣは、前記ＭＰＵとの通信に異常があった場合に変動させるＮＧカウンタを備え、前記ＭＰＵは、前記ＮＧカウンタの値を監視することにより、前記ＭＰＵが異常状態となってからリセットされるまでの時間を診断する、電子制御装置が提供される。

　本発明によれば、制御対象が通常動作中であっても、監視ＩＣの監視機能が正常に動作しているかを診断することができる。本発明に関連する更なる特徴は、本明細書の記述、添付図面から明らかになるものである。また、上記した以外の、課題、構成及び効果は、以下の実施形態の説明により明らかにされる。

第１実施形態における電子制御装置の構成図である。第１実施形態における電子制御装置のタイミングチャートである。

　以下、添付図面を参照して本発明の実施形態について説明する。添付図面は本発明の原理に則った具体的な実施形態を示しているが、これらは本発明の理解のためのものであり、決して本発明を限定的に解釈するために用いられるものではない。

　以下では、ＭＰＵが監視ＩＣのＮＧカウンタの値をモニタし、ＭＰＵがリセットされる直前までの時間を計測する実施形態を開示する。この構成によれば、また、制御対象が通常の動作中に、ＭＰＵをリセットすることなく、ＭＰＵが、異常状態になってから予め決められた時間内にリセットされることを診断することができる。

［第１実施形態］
　図１は、第１実施形態における電子制御装置の構成図を示す。電子制御装置１０は、例えば、車両用電子制御装置である。電子制御装置１０は、外部装置（制御対象）を制御するＭＰＵ２０と、ＭＰＵ２０の監視を行う監視ＩＣ３０と、ＭＰＵ２０のリセットを行うリセット出力部４０とを備える。

　ＭＰＵ２０は、監視機能診断回路２１及びクロック回路２４を備える。監視機能診断回路２１は、リセット時間診断回路２２と、例題回答機能２３とを含む。リセット時間診断回路２２は、診断フラグを備える。診断フラグは、ＭＰＵ２０を異常状態へ遷移させるためのフラグである。以下では、診断フラグの第１の値が正常状態に対応し、診断フラグの第２の値が異常状態に対応するものとして説明する。

　監視ＩＣ３０は、ＭＰＵ監視回路３１を備える。ＭＰＵ監視回路３１は、例題演算監視機能３２と、ＮＧカウンタ３３とを含む。例題演算監視機能３２は、ウィンドウウォッチドッグタイマ（ウィンドウＷＤＴ）を含む。ウィンドウＷＤＴは、ＭＰＵ２０からの出力がある正常な周期より長すぎる場合又は短すぎる場合に、リセットを出力する機能を備えるものである。この機能により、例題演算監視機能３２は、リセット出力部４０を介してＭＰＵ２０に対してリセット信号を送信することができる。

　次に、監視ＩＣ３０の監視機能を診断する処理の流れについて説明する。ＭＰＵ２０の監視機能診断回路２１は、監視ＩＣ３０へ例題のシード要求を送信する。ＭＰＵ監視回路３１がシード要求を受信すると、例題演算監視機能３２がシード要求を処理する。

　例題演算監視機能３２は、受信のタイミングが所定時間Ｔ１（図２参照）内に収まっているかを判定する。例題演算監視機能３２は、受信のタイミングが所定時間Ｔ１内に収まっていない場合、ＮＧカウンタ３３の値を変動させる。一方、例題演算監視機能３２は、受信のタイミングが所定時間Ｔ１内に収まっている場合、ＮＧカウンタ３３の値を変動させずに、ＭＰＵ２０に対して例題を出題する。この時、例題演算監視機能３２は、例題とともにＮＧカウンタ３３の値をＭＰＵ２０に対して送信する。

　リセット時間診断回路２２は、ＮＧカウンタ３３の値を受け取る。リセット時間診断回路２２は、ＮＧカウンタ３３の値を監視する。リセット時間診断回路２２は、ＮＧカウンタ３３の値及び経過時間に基づいて、診断フラグの値を変動させる。例題回答機能２３は、例題を受け取る。例題回答機能２３は、例題の演算を行い、監視ＩＣ３０に対して例題の回答を送信する。例題回答機能２３は、診断フラグの値が第１の値である場合には監視ＩＣ３０に対して正常な通信を行い、診断フラグの値が第２の値である場合には監視ＩＣ３０に対して異常な通信を行う。

　例題演算監視機能３２は、シード要求の場合と同じように、例題の回答の受信タイミングが所定時間Ｔ１内に収まっているか、及び、例題の回答が正しいかを判定する。例題演算監視機能３２は、受信のタイミングが所定時間Ｔ１内に収まっていない場合又は例題の回答が正しくない場合、ＮＧカウンタ３３の値を変動させる。

　以上の通り、監視ＩＣ３０は、ＭＰＵ２０からの通信を受信する際には、必ず受信タイミングが所定時間Ｔ１内に収まっているかを判定し、ＮＧカウンタ３３の値を変動させるか否かを決定する。また、監視ＩＣ３０は、ＭＰＵ２０からの通信が例題の回答である場合には、受信タイミングが所定時間Ｔ１内に収まっているか、及び、例題の回答が正しいかを判定し、ＮＧカウンタ３３の値を変動させるか否かを決定する。

　例題演算監視機能３２は、例題の回答を受け取ると、例題の回答が正しいかを照会する。例題演算監視機能３２は、例題の回答が正しいとき、ＮＧカウンタ３３の値を変動させないか（正常値を維持する）、又は、ＮＧカウンタ３３の値が正常値と異なっている場合には正常値へ近づける。一方、例題演算監視機能３２は、例題の回答が誤っている場合、ＮＧカウンタ３３の値を正常値から遠ざける（所定範囲から外れる方向へ変動させる）。

　上述のように、例題のシード要求、例題の出題及び回答が繰り返し実行される。当該繰り返し処理の間、リセット時間診断回路２２は、ＮＧカウンタ３３の値及び経過時間に基づいて、診断フラグの値を変動させる。また、当該繰り返し処理の間、ＮＧカウンタ３３の値が所定範囲外に変動した場合には、例題演算監視機能３２は、リセット出力部４０に通知し、リセット出力部４０が、ＭＰＵ２０に対してリセット信号を送信する。ＭＰＵ２０がリセット信号を受信すると、ＭＰＵ２０が異常と判断し、電子制御装置１０が制御対象を安全な状態に移行させる。

　図２は、第１実施形態における電子制御装置１０のタイミングチャートである。図２において、実線は、監視ＩＣ３０からＭＰＵ２０への通信を示し、破線は、ＭＰＵ２０から監視ＩＣ３０への通信を示している。破線左側の文字は、例題の回答を監視ＩＣ３０の例題演算監視機能３２が診断した結果を示している。

　ＮＧカウンタ３３は、ＭＰＵ２０から監視ＩＣ３０への通信のタイミングで値が更新される。この例では、ＮＧカウンタ３３の値は正常値が「０」、異常値が「５」とする。なお、異常値の数値は、ノイズなどにより通信異常が発生する場合を考慮すると、２以上が好ましい。この例は、あくまで一実施形態であり、ＮＧカウンタ３３の正常値及び異常値の設定は変更可能である。また、１カウントあたりの変動量、アップ又はダウンのカウント変動方向も変更可能である。

　Ｔ２以前は、電子制御装置１０が正常に動作しており、ＮＧカウンタ３３の値が正常値「０」に維持されている状態である。ＮＧカウンタ３３が正常値「０」に維持されたまま規定時間を過ぎた場合、リセット時間診断回路２２が診断フラグを立ち上げ（第１の値から第２の値への変更）、リセット時間診断回路２２が例題回答機能２３に対して故意に異常動作を行うように命令を送信する。図２の例では、Ｔ２の時点で、リセット時間診断回路２２が診断フラグを立ち上げる。

　この診断フラグが立ち上がった場合、例題回答機能２３は、必ず、誤った例題の回答を監視ＩＣ３０に対して送信するか、又は、所定時間Ｔ１を外れたタイミングで例題の回答を監視ＩＣ３０に対して送信する。例題演算監視機能３２は、例題回答機能２３からの回答を受信するタイミングでＮＧカウンタ３３の値をカウントアップする。図２の例では、Ｔ２からＴ３までの間、例題演算監視機能３２は、ＮＧカウンタ３３の値をカウントアップすることになる。

　リセット時間診断回路２２の診断フラグが立ち上がった状態は、ＮＧカウンタ３３の値が「４」になる時点まで継続される。ＮＧカウンタ３３の値「４」は、あと一度ＮＧカウンタ３３がカウントアップされると異常値「５」となって所定範囲を外れる直前の値である。リセット時間診断回路２２は、ＮＧカウンタ３３の値が「４」になったＴ３時点まで、診断フラグが立ち上がった状態を継続させる。そして、リセット時間診断回路２２は、Ｔ３時点において（すなわち、監視ＩＣ３０からＮＧカウンタ３３の値「４」を受信した時点）、診断フラグを立ち下げる（第２の値から第１の値への変更）。このとき、リセット時間診断回路２２は、例題回答機能２３への異常動作の命令を解除する。これにより、例題回答機能２３は、所定時間Ｔ１内のタイミングで、例題の正しい回答を監視ＩＣ３０へ送信する。

　ここで、監視機能診断回路２１は、リセット時間診断回路２２の診断フラグの立ち上がりのＴ２時点から、立ち下がりのＴ３時点までの時間をクロック回路２４からのクロックによって計測する。これにより、監視機能診断回路２１は、ＭＰＵ２０が異常状態になってからリセットされるまでの時間が予め決められた時間内に収まっているかを診断する。すなわち、本実施形態では、ＭＰＵ２０が、故意に監視ＩＣ３０との通信を異常状態にし、ＮＧカウンタ３３の値が所定範囲を外れる直前までの時間を、ＭＰＵ２０の内部のクロック回路２４によって測定する。ＮＧカウンタ３３の値が所定範囲を外れる直前までの時間を、ＭＰＵ２０が異常状態になってからリセットされるまでの時間とみなすことができる。リセット時間診断回路２２は、異常状態になってからリセットされるまでの時間が予め決められた時間（例えば、２００ｍｓ）内に収まっているかを判定し、監視ＩＣ３０の監視機能が正常に動作しているかを診断する。この構成によれば、ＭＰＵ２０が異常状態になってから、例えば２００ｍｓ以内にリセットすることを保証することができる。

　図２において、Ｔ３からＴ４までは、再び電子制御装置１０が正常に動いている時間を示している。Ｔ３からＴ４までは、例題回答機能２３が、所定時間Ｔ１内のタイミングで例題の正しい回答をＭＰＵ３０へ送信する。例題演算監視機能３２は、回答の受信のタイミングで、ＮＧカウンタ３３の値を正常値「０」へ近づく方向へカウントダウンする。

　本実施形態は、診断フラグが立ち下がった直後にＮＧカウンタ３３の値を正常値「０」に変更せず、正常値「０」へ近づく方向へカウントダウンする構成となっている。この構成には以下の利点がある。例えば、Ｔ２からＴ３の間で、ＭＰＵ３０が、診断フラグによる仮の異常状態ではなく、本当の異常状態になった場合、診断フラグが立ち下がった直後にＮＧカウンタ３３の値を正常値「０」に変更すると、ＮＧカウンタ３３が異常値「５」となるまで時間がかかる。これに対して、本実施形態の構成の場合、Ｔ３を過ぎたすぐ後にＮＧカウンタ３３の値が異常値「５」となり、ＭＰＵ２０をリセットすることができる。また、ＮＧカウンタ３３の値が正常値「０」に近づいている間でＭＰＵ３０が異常状態となった場合でも、すぐにＮＧカウンタ３３の値が異常値「５」となり、ＭＰＵ２０をリセットすることができる。したがって、ＭＰＵ２０の異常状態をより早く検知し、ＭＰＵ２０をリセットすることができる。

　図２において、Ｔ４は、ＭＰＵ２０が異常状態になった時点を示している。ＭＰＵ２０が異常になると、例題回答機能２３が、所定時間Ｔ１内のタイミングで例題の回答を送れなかったり、例題の正しい回答をＭＰＵ３０へ送信できなくなったりする。したがって、例題演算監視機能３２は、ＮＧカウンタ３３の値をカウントアップしていく。

　図２において、Ｔ５の時点で、例題演算監視機能３２のカウントアップにより、ＮＧカウンタ３３の値が異常値「５」となる。ＮＧカウンタ３３の値が異常値「５」になった場合には、例題演算監視機能３２は、リセット出力部４０に通知し、リセット出力部４０が、ＭＰＵ２０に対してリセット信号を送信する。ＭＰＵ２０がリセット信号を受信すると、ＭＰＵ２０が異常と判断し、電子制御装置１０が制御対象を安全な状態に移行させる。

　以上の実施形態によれば、ＭＰＵ２０が異常状態となってから、ＭＰＵ２０がリセットされるまでの時間を診断する手段として、監視ＩＣ３０の内部のＮＧカウンタ３３の値が規定時間を超えて正常値である場合に、ＭＰＵ２０が、故意に監視ＩＣ３０との通信を異常状態にする。そして、ＭＰＵ２０は、ＮＧカウンタ３３の値が所定範囲を外れる直前までの時間（すなわち、ＭＰＵ２０が異常状態になってからリセットされる直前までの時間）をクロック回路２４によって計測する。そして、ＭＰＵ２０が、異常状態となってからリセットされるまでの時間が予め決められた時間内に収まっているか診断する。この構成によれば、ＭＰＵ２０がリセットされる直前で診断フラグが立ち下がり、ＭＰＵ３０がリセットされないため、制御対象が動作中であっても、監視ＩＣ３０の監視機能が正常に動作しているかを診断できる。

　以上の実施形態によれば、ＭＰＵ２０が異常状態となってからＭＰＵ２０がリセットされるまでの時間が予め決められた時間内であることを保証できる。また、エンジン動作中でも常に監視機能の診断を行うことができるため、異常をすぐに検知でき、車両機能の失陥や車両が好ましくない挙動を示すことを回避することができる。

　本発明は上記した実施形態に限定されるものではなく、様々な変形例が含まれる。上記実施形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施形態の構成の一部を他の実施形態の構成に置き換えることもできる。また、ある実施形態の構成に他の実施形態の構成を加えることもできる。また、各実施形態の構成の一部について、他の構成を追加・削除・置換することもできる。

　監視ＩＣ３０は、ＮＧカウンタ３３の異常値の設定値を制御対象の機器に応じて変更してもよい。また、監視ＩＣ３０は、ＮＧカウンタ３３の異常値の設定値を制御対象の状態に応じて変更してもよい。例えば、監視ＩＣ３０は、車両の走行スピードが或るしきい値を超えるまではＮＧカウンタ３３の異常値を第１の値とし、車両の走行スピードが上記しきい値を超えたら、ＮＧカウンタ３３の異常値を第１の値よりも小さい第２の値に変更してもよい。これにより、より速い走行スピードのときは、ＭＰＵ２０の異常状態をより早く検知することができ、自動車をより安全な状態へ移行することができる。

　上述の実施形態において、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。全ての構成が相互に接続されていてもよい。

１０　　　…電子制御装置２０　　　…ＭＰＵ２１　　　…監視機能診断回路２２　　　…リセット時間診断回路２３　　　…例題回答機能２４　　　…クロック回路３０　　　…ＭＰＵ３１　　　…ＭＰＵ監視回路３２　　　…例題演算監視機能３３　　　…ＮＧカウンタ４０　　　…リセット出力部

Claims

　外部装置を制御するためのＭＰＵと、前記ＭＰＵの監視を行う監視ＩＣと、前記ＭＰＵのリセットを行うリセット部とを備える電子制御装置において、
　前記監視ＩＣは、前記ＭＰＵとの通信に異常があった場合に変動させるＮＧカウンタを備え、
　前記ＭＰＵは、前記ＮＧカウンタの値を監視することにより、前記ＭＰＵが異常状態となってからリセットされるまでの時間を診断することを特徴とする電子制御装置。
　請求項１に記載の電子制御装置において、
　前記ＭＰＵは、前記ＮＧカウンタの値及び経過時間に基づいて前記監視ＩＣとの通信を異常状態にし、
　前記ＭＰＵは、前記異常状態になってから前記ＮＧカウンタの値が所定範囲を外れる直前までの時間を測定することを特徴とする電子制御装置。
　請求項２に記載の電子制御装置において、
　前記監視ＩＣは、前記ＭＰＵに対して前記ＮＧカウンタの値及び例題を送信し、
　前記ＭＰＵは、前記ＮＧカウンタの値が規定時間を超えて正常値である場合に、前記異常状態へ遷移させるための診断フラグを第１の値から第２の値へ変更し、
　前記ＭＰＵは、前記診断フラグが前記第２の値である間、誤った前記例題の回答を前記ＭＰＵに対して送信するか、又は、所定時間内に収まらないように前記例題の回答を前記ＭＰＵに対して送信し、
　前記ＭＰＵは、前記所定範囲を外れる直前の前記ＮＧカウンタの値を受信した時点で、前記診断フラグを前記第２の値から前記第１の値に戻し、
　前記ＭＰＵは、前記診断フラグを前記第１の値から前記第２の値へ変更した時点から、前記第２の値から前記第１の値に戻した時点までの時間を計測することを特徴とする電子制御装置。
　請求項２に記載の電子制御装置において、
　前記監視ＩＣは、前記ＭＰＵとの通信が正常の場合、前記ＮＧカウンタの値を正常値で維持するか、又は、前記ＮＧカウンタの値を前記正常値に近づけるように変動させることを特徴とする電子制御装置。
　請求項２に記載の電子制御装置において、
　前記監視ＩＣは、前記ＮＧカウンタの値の前記所定範囲を制御対象の状態に応じて変更することを特徴とする電子制御装置。