WO2019159716A1 - 電子制御装置 - Google Patents
電子制御装置 Download PDFInfo
- Publication number
- WO2019159716A1 WO2019159716A1 PCT/JP2019/003567 JP2019003567W WO2019159716A1 WO 2019159716 A1 WO2019159716 A1 WO 2019159716A1 JP 2019003567 W JP2019003567 W JP 2019003567W WO 2019159716 A1 WO2019159716 A1 WO 2019159716A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- storage area
- management information
- information
- access flag
- electronic control
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0655—Vertical data movement, i.e. input-output transfer; data movement between one or more hosts and one or more storage devices
-
- G—PHYSICS
- G11—INFORMATION STORAGE
- G11C—STATIC STORES
- G11C5/00—Details of stores covered by group G11C11/00
- G11C5/14—Power supply arrangements, e.g. power down, chip selection or deselection, layout of wirings or power grids, or multiple supply levels
- G11C5/141—Battery and back-up supplies
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0766—Error or fault reporting or storing
- G06F11/0787—Storage of error reports, e.g. persistent data storage, storage using memory protection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/02—Addressing or allocation; Relocation
- G06F12/0223—User address space allocation, e.g. contiguous or non contiguous base addressing
- G06F12/023—Free address space management
- G06F12/0238—Memory management in non-volatile memory, e.g. resistive RAM or ferroelectric memory
- G06F12/0246—Memory management in non-volatile memory, e.g. resistive RAM or ferroelectric memory in block erasable memory, e.g. flash memory
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0602—Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
- G06F3/0604—Improving or facilitating administration, e.g. storage management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0668—Interfaces specially adapted for storage systems adopting a particular infrastructure
- G06F3/0671—In-line storage system
- G06F3/0673—Single storage device
- G06F3/0679—Non-volatile semiconductor memory device, e.g. flash memory, one time programmable memory [OTP]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0736—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
- G06F11/0739—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2201/00—Indexing scheme relating to error detection, to error correction, and to monitoring
- G06F2201/81—Threshold
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2212/00—Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
- G06F2212/10—Providing a specific technical effect
- G06F2212/1032—Reliability improvement, data loss prevention, degraded operation etc
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2212/00—Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
- G06F2212/72—Details relating to flash memory management
- G06F2212/7204—Capacity control, e.g. partitioning, end-of-life degradation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2212/00—Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
- G06F2212/72—Details relating to flash memory management
- G06F2212/7207—Details relating to flash memory management management of metadata or control data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2212/00—Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
- G06F2212/72—Details relating to flash memory management
- G06F2212/7208—Multiple device management, e.g. distributing data over multiple flash devices
-
- G—PHYSICS
- G11—INFORMATION STORAGE
- G11C—STATIC STORES
- G11C16/00—Erasable programmable read-only memories
- G11C16/02—Erasable programmable read-only memories electrically programmable
- G11C16/06—Auxiliary circuits, e.g. for writing into memory
- G11C16/10—Programming or data input circuits
-
- G—PHYSICS
- G11—INFORMATION STORAGE
- G11C—STATIC STORES
- G11C16/00—Erasable programmable read-only memories
- G11C16/02—Erasable programmable read-only memories electrically programmable
- G11C16/06—Auxiliary circuits, e.g. for writing into memory
- G11C16/22—Safety or protection circuits preventing unauthorised or accidental access to memory cells
- G11C16/225—Preventing erasure, programming or reading when power supply voltages are outside the required ranges
Definitions
- the present invention relates to an electronic control device applicable to an automobile.
- the system can increase the number of devices that make up a vehicle and detect in more detail whether it is abnormal or normal due to the impact of amendments to OBD (On-Board Diagnostics) regulations. There is a movement to subdivide the diagnosis result of each device constituting the device.
- OBD On-Board Diagnostics
- Most device diagnosis control determines whether the state of a device during a driving cycle is normal or abnormal based on input from hardware such as a vehicle speed sensor or a hydraulic pressure sensor.
- hardware such as a vehicle speed sensor or a hydraulic pressure sensor.
- the subdivision of the diagnosis method may be legal compliance, and is not necessarily limited to a system in which the sensor of the diagnosis target device is mounted. If the sensor of the device to be diagnosed is not mounted, it is necessary to change the hardware configuration in addition to the controller unit software. For this reason, in terms of hardware, enormous development man-hours may be taken for selection of sensors to be mounted and evaluation tests. Moreover, in terms of software, it is necessary to design a new diagnosis control logic, and it may be very difficult to shorten the control development period.
- electronic control units for automobiles have a memory backup function that writes information such as learning values and failure information to a nonvolatile memory that can be electrically erased and written at any time or during self-shutdown.
- the memory backup may not be normally performed due to, for example, a memory element abnormality or a battery voltage drop.
- Patent Document 1 stores management information such as a write start mark and a write completion mark so that a normal memory area can be used as effectively as possible while detecting a memory backup abnormality caused by a decrease in battery voltage.
- An electronic control device is disclosed.
- the abnormality detection target range is only during self-shutdown at the end of the driving cycle. For this reason, if a battery voltage drop or disconnection occurs during the driving cycle, the abnormality may not be detected correctly.
- the input information for abnormality detection is only one type of management information, that is, a write start mark and a completion mark, which are write management information. For this reason, if a memory element (memory cell) fails in the storage area for management information and a memory element abnormality occurs, there is a possibility of causing false detection.
- an electronic control device including a nonvolatile memory including a plurality of storage areas, and the storage area includes an information storage area for storing information;
- a management information storage area for storing management information indicating a state of writing information to the storage area, and the nonvolatile memory stores a management information access flag for storing access information indicating whether or not the management information is accessed
- An area is provided separately from the storage area.
- the battery voltage sensor even when the battery voltage sensor is not mounted, it is possible to detect a battery abnormality during a driving cycle or during a self-shutdown.
- FIG. 1 is a block diagram illustrating a hardware configuration of the electronic control device according to the embodiment.
- FIG. 2 shows a data structure of the flash memory of FIG.
- FIG. 3 is a diagram showing the configuration of the management information storage area for the first storage area, the management information storage area for the second storage area, and the management information access flag storage area of FIG.
- FIG. 4 is a diagram illustrating a failure information writing process when no battery disconnection abnormality occurs in the electronic control device according to the embodiment.
- FIG. 5 is a diagram illustrating a failure information writing process when a battery disconnection abnormality occurs during the driving cycle of the electronic control device according to the embodiment.
- FIG. 6 is a diagram illustrating failure information writing processing when a battery disconnection abnormality occurs during shutdown of the electronic control device according to the embodiment.
- FIG. 1 is a block diagram illustrating a hardware configuration of the electronic control device according to the embodiment.
- FIG. 2 shows a data structure of the flash memory of FIG.
- FIG. 3 is a diagram showing the configuration of
- FIG. 7 is a flowchart illustrating a control process during a driving cycle of the electronic control device according to the embodiment.
- FIG. 8 is a flowchart showing a failure information writing start stamp writing process according to the embodiment.
- FIG. 9 is a flowchart illustrating failure information writing completion mark writing processing according to the embodiment.
- FIG. 10 is a flowchart illustrating battery disconnection abnormality determination processing of the electronic control device according to the embodiment.
- FIG. 11 is a diagram illustrating an abnormality detection pattern of management information determination processing in the electronic control device according to the embodiment.
- FIG. 12 is a diagram illustrating a failure information writing process when battery disconnection abnormality continuously occurs during the driving cycle of the electronic control device according to the embodiment.
- FIG. 1 is a block diagram illustrating a hardware configuration of the electronic control device according to the embodiment.
- the electronic control device 100 is provided with a processor 110, a RAM (Random Access Memory) 120, and a flash memory 130.
- the processor 110, the RAM 120, and the flash memory 130 are connected to each other via a bus 140.
- the electronic control device 100 is supplied with power from the battery 150.
- the electronic control device 100 is a device that electronically controls, for example, an engine, an automatic transmission, a fuel pump, and the like.
- the processor 110 is hardware that controls the operation of the entire electronic control apparatus 100, and may be a CPU (Central Processing Unit) or the like.
- the RAM 120 is a volatile memory, and a work area for the processor 110 to execute a program can be provided.
- the flash memory 130 is a nonvolatile semiconductor memory such as a flash ROM (Read Only Memory) that does not lose data even when the power supply is cut off.
- the flash memory 130 stores, for example, various control programs, learning values, failure information by the OBD function, and the like.
- the electronic control device 100 can collect failure information by input from hardware such as a vehicle speed sensor and a hydraulic pressure sensor.
- the first storage area 31 is provided with a failure information storage area 131 and a management information storage area 133 for the second storage area.
- a failure information storage area 132 and a first storage area management information storage area 134 are provided in the second storage area 32.
- the failure information storage area 131 and the failure information storage area 132 store failure information.
- the management information storage area 133 for the second storage area stores management information indicating the writing state of failure information in the second storage area 32.
- the management information storage area 134 for the first storage area stores management information that indicates a writing state of failure information in the first storage area 31.
- the first storage area 31 stores management information for failure information held in the second storage area 32
- the second storage area 32 stores management information for failure information held in the first storage area 31.
- the first storage area 31 and the second storage area 32 hold the management information of the other party.
- the entire data stored in the first storage area 31 is erased collectively.
- the entire data stored in the second storage area 32 is erased collectively.
- the management information of the deleted storage area can be left in the other storage area.
- the flash memory 130 is provided with a management information access flag storage area 135 for storing access information indicating whether or not the management information in the first storage area 31 and the management information in the second storage area 32 are accessed.
- the management information access flag storage area 135 is provided separately from the first storage area 31 and the second storage area 32.
- the management information access flag storage area 135 can be used to detect a battery disconnection when the flash memory element is abnormal in which the management information is not normally written even though the management information is accessed.
- FIG. 3 is a diagram showing the configuration of the management information storage area for the first storage area, the management information storage area for the second storage area, and the management information access flag storage area of FIG.
- the second storage area management information storage area 133 holds a second storage area write start mark 133 ⁇ / b> A and a second storage area write completion mark 133 ⁇ / b> B as the management information of the second storage area 32.
- the second storage area write start mark 133A indicates the start of writing of failure information to the second storage area 32.
- the second storage area write completion mark 133B indicates the completion of writing of the failure information to the second storage area 32.
- the second storage area write start mark 133A can be provided with n (n is a positive integer) number of second storage area write start marks MA1 to MAn.
- the second storage area write completion mark 133B can be provided with n second storage area write completion marks MB1 to MBn.
- the first storage area management information storage area 134 holds, as management information for the first storage area 31, a first storage area write start mark 134A and a first storage area write completion mark 134B.
- the first storage area write start mark 134 A indicates the start of writing of failure information to the first storage area 31.
- the first storage area write completion mark 134B indicates the completion of writing of the failure information to the first storage area 31.
- the first storage area write start mark 134A can be provided with n first storage area write start marks KA1 to KAn.
- the first storage area write completion marks 134B can be provided with n first storage area write completion marks KB1 to KBn.
- the management information access flag storage area 135 holds a write start stamp access flag 135A and a write completion access flag 135B as access information to the management information.
- the write start mark access flag 135A indicates whether or not there is an access to the registered address of the first storage area write start mark 134A or the second storage area write start mark 133A.
- the write completion access flag 135B indicates whether or not there is an access to the registration address of the first storage area write completion mark 134B or the second storage area write completion mark 133B.
- the write start stamp access flag 135A can be provided with n write start stamp access flags FA1 to FAn.
- the write completion mark access flag 135B can be provided with n write completion access flags FB1 to FBn.
- the processor 110 executes a failure information writing process and a failure information reading process in accordance with a control program that realizes an OS (Operating System) control function and an APPLI (Application) control function. can do.
- OS Operating System
- APPLI Application
- FIG. 4 is a diagram illustrating a failure information writing process when no battery disconnection abnormality occurs in the electronic control device according to the embodiment.
- the failure information storage areas 131 and 132, the second storage area management information storage area 133, the first storage area management information storage area 134, and the management information access flag storage It is assumed that the area 135 is in a blank state. It is assumed that the failure information storage area 131 and the second storage area management information storage area 133 are selected as writable areas.
- the driving cycle starts with the ignition switch being turned from OFF to ON.
- the memory backup control is normally performed.
- the processor 110 writes the first storage area write start mark 134A in the first storage area management information storage area 134. Further, assuming that the first storage area management information storage area 134 has been accessed, the processor 110 writes the write start stamp access flag 135 A in the management information access flag storage area 135. And the solenoid control required for vehicle control, CAN (Controller Area Network) communication control, etc. are performed sequentially.
- CAN Controller Area Network
- the processor 110 When the erasure of the first storage area 31 is completed, the processor 110 writes the failure information stored in the RAM 120 into the failure information storage area 131. When the writing of the failure information is normally completed, the processor 110 writes the first storage area write completion mark 134B in the first storage area management information storage area 134. Further, assuming that the first storage area management information storage area 134 has been accessed, the processor 110 writes the write completion stamp access flag 135B in the management information access flag storage area 135.
- the failure information storage area 131 stores the failure information during the driving cycle, and the second storage area management information storage area 133 is erased before the failure information is written. It becomes a blank state.
- the first storage area management information storage area 134 stores a first storage area write start mark 134A and a first storage area write completion mark 134B. Therefore, the storage state of the management information includes the first storage area write start mark 134A and the first storage area write completion mark 134B as the management information of the first storage area 31, and the management information of the second storage area 32 As a result, the second storage area write start mark 133A and the second storage area write completion mark 133B are blank.
- the management information access flag storage area 135 stores a write start stamp access flag 135A and a write completion stamp access flag 135B. Therefore, in order to write the first storage area write start mark 134A and the first storage area write completion mark 134B to the first storage area management information storage area 134, the first storage area management information storage area 134 is written. It indicates that there was access.
- the processor 110 When the next driving cycle starts again when the ignition switch is turned from OFF to ON again, the processor 110, the management information storage area for the second storage area 133, the management information storage area for the first storage area 134, and the management From the recording pattern of the information access flag storage area 135, it may be determined that the failure information of the previous driving cycle has been normally written and the battery disconnection abnormality has not occurred either during the driving cycle or during the self-shutdown. it can.
- the recording patterns of the second storage area management information storage area 133, the first storage area management information storage area 134, and the management information access flag storage area 135 of the flash memory 130 when the battery disconnection abnormality occurs are shown in FIG. This is different from the recording pattern of the second storage area management information storage area 133, the first storage area management information storage area 134, and the management information access flag storage area 135 of the flash memory 130 when no abnormality has occurred.
- each failure information writing process when a battery disconnection abnormality occurs during a driving cycle and when a battery disconnection abnormality occurs during self-shutdown will be described.
- FIG. 5 is a diagram illustrating a failure information writing process when a battery disconnection abnormality occurs during the driving cycle of the electronic control device according to the embodiment.
- FIG. 5 shows an example in which the writing of the failure information in the first storage area 31 is normally completed and then the writing of the failure information in the second storage area 32 fails.
- the failure information storage area 131 stores the failure information
- the first storage area management information storage area 134 includes the first storage area write start mark 134A and the first storage area. It is assumed that the storage area write completion mark 134B is stored.
- the failure information storage area 132, the second storage area management information storage area 133, and the management information access flag storage area 135 are in a blank state. It is assumed that the failure information storage area 132 and the first storage area management information storage area 134 are selected as writable areas.
- the driving cycle is triggered by the fact that the ignition switch is turned from OFF to ON.
- the processor 110 writes the second storage area write start mark 133A in the second storage area management information storage area 133. Further, assuming that the second storage area management information storage area 133 has been accessed, the write start stamp access flag 135 A is written into the management information access flag storage area 135. Then, solenoid control, CAN communication control, and the like necessary for vehicle control are sequentially executed.
- the writing of the failure information to the failure information storage area 132, the writing of the second storage area write completion mark 133B to the management information storage area for the second storage area 133, and the writing to the management information access flag storage area 135 are performed. Writing of the write completion mark access flag 135B is not performed.
- the first storage area management information storage area 134 is not accessed from the outside. Therefore, the management information storage area 134 for the first storage area remains set with the management information at the time of memory backup in the previous driving cycle.
- the recording patterns of the second storage area management information storage area 133, the first storage area management information storage area 134, and the management information access flag storage area 135 are different from those in the case where the battery disconnection abnormality does not occur in FIG. Only the second storage area write start mark 133A is stored in the first storage area 31, and the first storage area write start mark 134A and the first storage area write completion mark 134A are stored in the second storage area 32. 134B is stored.
- the processor 110 manages the second storage area management information storage area 133 and the first storage area management information storage area 134. From the recording pattern of the management information access flag storage area 135, it can be determined that an abnormality has occurred in the writing of the failure information of the previous driving cycle, and a battery disconnection abnormality has occurred during the driving cycle.
- FIG. 6 is a diagram illustrating failure information writing processing when a battery disconnection abnormality occurs during shutdown of the electronic control device according to the embodiment.
- FIG. 6 shows an example in which the writing of the failure information in the first storage area 31 is normally completed and then the writing of the failure information in the second storage area 32 fails.
- the failure information storage area 131 stores the failure information
- the first storage area management information storage area 134 includes the first storage area write start mark 134A and the first storage area 134A. It is assumed that the storage area write completion mark 134B is stored.
- the failure information storage area 132, the second storage area management information storage area 133, and the management information access flag storage area 135 are in a blank state. It is assumed that the failure information storage area 132 and the first storage area management information storage area 134 are selected as writable areas.
- the driving cycle is triggered by the fact that the ignition switch is turned from OFF to ON.
- the processor 110 writes the second storage area write start mark 133A in the second storage area management information storage area 133. Further, assuming that the second storage area management information storage area 133 is accessed, the processor 110 writes the write start stamp access flag 135 A in the management information access flag storage area 135. Then, solenoid control, CAN communication control, and the like necessary for vehicle control are sequentially executed.
- the processor 110 executes self-shutdown.
- the processor 110 erases the second storage area 32 in preparation for writing the failure information in the failure information storage area 132 in order to end the current driving cycle.
- the processor 110 In erasing the second storage area 32, since the entire second storage area 32 is erased, not only the failure information storage area 132 but also the first storage area management information storage area 134 is erased.
- the storage data may become indefinite data because the first storage area management information storage area 134 is accessed by the memory erasing process and a battery disconnection occurs during the memory erasure. is there.
- the recording patterns of the second storage area management information storage area 133, the first storage area management information storage area 134, and the management information access flag storage area 135 when a battery disconnection abnormality occurs during self-shutdown are shown in FIG.
- the second storage area 32 is indefinite which is neither the blank setting, the first storage area write start mark 134A, nor the first storage area write completion mark 134B. Data is stored.
- the processor 110 manages the second storage area management information storage area 133 and the first storage area management information storage area 134. From the recording pattern of the management information access flag storage area 135, it can be determined that an abnormality has occurred in the writing of failure information in the previous driving cycle, and a battery disconnection abnormality has occurred during self-shutdown.
- the storage contents of the management information access flag storage area 135 are written start mark access.
- the flag 135A is present, and the write completion access flag 135B is absent.
- the storage contents in the management information access flag storage area 135 are referred to during the driving cycle.
- the start and completion marks are written to the management information storage area 133 for the second storage area and the management information storage area 134 for the first storage area, and the management information access to the management information access flag storage area 135 is accessed.
- the flag is written during the driving cycle. Then, by diagnosing these three types of management information at the timing of switching to the next driving cycle, a memory backup abnormality when the necessary power is not supplied from the battery 150 to the electronic control device 100 due to a battery voltage drop or a battery disconnection is detected. It becomes possible to detect correctly.
- FIG. 7 is a flowchart illustrating a control process during a driving cycle of the electronic control device according to the embodiment.
- Control processing during the driving cycle includes writing a start mark, writing a completion mark, and writing each management information access flag.
- the start mark and the completion mark can be set to predetermined constants. This process is repeated at the earliest specified period after the RESET process immediately after the start of the driving cycle.
- the supply voltage supplied to the electronic control unit 100 is monitored in step S1, and the control process during the driving cycle and the control process during the self-shutdown are switched depending on the state of the supply voltage.
- step S1 it is determined whether the supply voltage is equal to or lower than the shutdown threshold. If the supply voltage is not less than or equal to the shutdown threshold, the control process proceeds to the driving cycle. As a control process during the driving cycle, it is determined whether the supply voltage is equal to or higher than a cranking threshold. If the supply voltage is equal to or higher than the cranking threshold, it is determined that there is no voltage drop due to cranking when the engine is started and the supply voltage to the electronic control device 100 is stable, that is, during the driving cycle. Then, the process proceeds to step S4. In step S4, it is determined whether or not start mark writing is incomplete. If the start mark writing has not been completed, write processing of the start mark and the management information access flag on the start mark side is executed in step S5. Next, in step S6, normal control such as automatic transmission control scheduled in advance by interruption at a predetermined period is started.
- step S7 If the supply voltage is not equal to or higher than the cranking threshold value, it is determined in step S7 whether the value of the delay timer updated in step S2 is less than a specified value. If the value of the delay timer is less than the specified value, the process proceeds to step S6 and normal control is started. If the value of the delay timer is equal to or greater than the specified value, the ignition switch is turned off, and the normal control that was performed during the driving cycle is stopped in step S8 as a control process during self-shutdown.
- step S9 the failure information updated during the driving cycle is backed up.
- step S10 the completion mark and the management information access flag on the completion mark side are written.
- step S11 hardware such as the A / D converter that was operating during the automatic transmission control is stopped. .
- FIG. 8 is a flowchart showing the failure information writing start mark writing process in step S5 of FIG. 7 according to the embodiment.
- step S21 in order to prevent the start mark write instruction from being performed again in steps S24 to S29 in the cycle after the start mark and management information access flag have been written, in step S21, the start mark and management Check that the processing status information of the information access flag is not being written. If the process status information is being written, steps S24 to S29 are skipped and the process proceeds to step S30.
- step S23 it is determined whether the storage area in which the failure information can be read during the current driving cycle, which is generated by the memory backup reading control at the time of RESET, is the first storage area 31 or the second storage area 32.
- the management information storage area 133 for the second storage area in the first storage area 31 is prepared in step S24. Search for empty areas in.
- step S25 writing of the second storage area write start mark 133A is started in the empty area.
- step S26 it is assumed that there is an access to the second storage area write start mark 133A recorded in the second storage area management information storage area 133 in the first storage area 31, and the management information access is performed. An instruction to write to the flag storage area 135 for writing start stamp access flag 135A is issued.
- step S23 when it is determined in step S23 that the storage area that can be read is the second storage area 32, the second storage area 32 in the second storage area 32 is prepared in step S27 as preparation for writing failure information to the first storage area 31.
- An empty area of the management information storage area 134 for one storage area is searched.
- step S28 writing of the first storage area write start mark 134A is started in the empty area.
- step S29 it is assumed that the area of the first storage area write start mark 134A recorded in the first storage area management information storage area 134 in the second storage area 32 has been accessed. An instruction to write to the flag storage area 135 for writing start stamp access flag 135A is issued.
- the reason for writing the start mark in the management information on the readable area side is that even if the start mark is recorded in the management information on the writable area side, the management information is erased when the failure information is written during self-shutdown. This is to prevent the management information from becoming unrecognizable at the start of the next driving cycle.
- step S30 When the write instruction of the start mark and the management information access flag on the start mark side is completed in the above steps, it is confirmed in step S30 whether writing to the flash memory 130 is completed. If the writing is normally completed, the process status information of the start stamp and the management information access flag is updated in step S31.
- the write completion stamp write process is executed after the write control of failure information during self-shutdown as information indicating that memory backup has been completed normally. At this time, an area in which a completion mark is written is determined according to a storage area where failure information can be read during the current driving cycle.
- FIG. 9 is a flowchart illustrating the failure information writing completion mark writing process in step S10 of FIG. 7 according to the embodiment. 9, in step S41, the current second storage area write start mark 133A or the first storage area write start mark 134A and the processing status information of the write start mark access flag 135A are read, and the second storage area use It is determined whether the writing start mark 133A or the first storage area writing start mark 134A and the writing start mark access flag 135A have been written. If the writing is not completed, steps S42 to S48 are skipped and the process is terminated.
- step S42 it is determined in step S42 whether the storage area where the failure information in the current driving cycle can be read is the first storage area 31 or the second storage area 32.
- the storage area in which the failure information is written is the second storage area 32.
- step S43 an empty area in the management information storage area 133 for the second storage area secured in the first storage area 31 is searched.
- step S44 the second storage area write completion mark 133B is written in the empty area.
- step S45 it is assumed that the second storage area write completion mark 133B recorded in the second storage area management information storage area 133 in the first storage area 31 has been accessed. An instruction to write the write completion mark access flag 135B to the storage area 135 is issued.
- step S42 when it is determined in step S42 that the storage area that can be read is the first storage area 31, the storage area in which the failure information is written is the first storage area 31. For this reason, in step S46, an empty area in the first storage area management information storage area 134 secured in the second storage area 32 is searched. In step S47, the first storage area write completion mark 134B is written in the empty area.
- step S48 it is assumed that the area of the first storage area write completion mark 134B recorded in the first storage area management information storage area 134 in the second storage area 32 has been accessed, and the management information access flag The write instruction of the write completion mark access flag 135B to the storage area 135 is instructed.
- FIG. 10 is a flowchart showing battery disconnection abnormality determination processing of the electronic control device according to the embodiment.
- the battery disconnection abnormality determination process is executed at the timing when the driving cycle is switched, and based on the storage pattern of the start mark, completion mark, and management information access flag at the start of the next driving cycle, during memory backup control of the previous driving cycle Diagnose if there is no battery disconnection abnormality.
- step S51 it is determined in step S51 whether the storage area where failure information can be read in the current driving cycle is the first storage area 31 or the second storage area 32.
- the second storage area is management information for the second storage area 32 secured in the first storage area 31 as the readable block side.
- the first storage area that is the management information for the first storage area 31 that is searched for the write start mark 133A and the second storage area write completion mark 133B and is secured in the second storage area 32 as the writable block side A write start mark 134A and a second storage area write completion mark 134B are searched, and a read start block access flag 135A and a write completion mark access flag 135B on the readable block side are searched.
- step S51 if it is determined in step S51 that the readable storage area is the second storage area 32, the first storage area 31 reserved in the second storage area 32 as the readable block side in step S53.
- search for the first storage area write start mark 134A and the first storage area write completion mark 134B, which are management information, and for the second storage area 32 secured in the first storage area 31 as the writable block side The second storage area write start mark 133A and the second storage area write completion mark 133B, which are the management information of the second storage area, are searched, and the read start block access flag 135A and write completion mark access flag 135B on the readable block side are searched. Search for.
- step S52 When the search of the start mark and completion mark and the management information access flag is completed in step S52 or step S53, the abnormality detection pattern indicated by the start mark and completion mark and the management information access flag is checked in step S54.
- FIG. 11 is a diagram illustrating an abnormality detection pattern of management information determination processing in the electronic control device according to the embodiment.
- the abnormality detection patterns are classified into the following six types based on a total of three elements: management information of the failure information readable area, management information of the failure information writable area, and management information access flag.
- the detected content of battery disconnection abnormality using the memory backup control can be set as follows.
- the management information on the writable area side of the failure information is not accessed from the outside. That is, as an assumed abnormality detection pattern, an initial state blank setting or a state (start mark or completion mark) in which management information when the memory backup control is normally completed in the previous driving cycle is stored is stored. Conceivable.
- the management information on the writable area side of the failure information is accessed in the memory erasing process at the time of memory backup.
- an assumed abnormality detection pattern the battery is disconnected during memory erasure, and unlike the abnormality detection pattern during the driving cycle, undefined settings (values that are not blank, start mark, and completion mark) are stored. Can be considered.
- pattern 1 it is possible to detect that the battery disconnection and the memory element abnormality occurred simultaneously during the driving cycle.
- pattern 2 it is possible to detect that the battery disconnection and the memory element abnormality during the self-shutdown have occurred at the same time.
- the management information access flag start stamp side has access
- the management information access flag completion mark side has no access. It is assumed that control was not performed. Accordingly, in the current driving cycle, the failure information readable area has not been switched from the previous driving cycle. At this time, the storage patterns of management information in the failure information readable area are different between patterns 3 and 4 and patterns 1 and 2. As a result, a memory backup abnormality caused by a battery disconnection abnormality is suspected from the management information storage pattern of the failure information readable area. Furthermore, by checking the management information on the writable area side of the failure information, it is possible to subdivide whether the battery disconnection abnormality is in the driving cycle or the battery disconnection abnormality is in the self-shutdown.
- the management information recorded in the readable storage area is a blank setting.
- the start mark and the completion mark are normally recorded in accordance with the contents of the management information access flag. For this reason, it can be considered that the memory backup control is normally completed from the recording patterns of the three types of management information, and it can be considered that the battery disconnection during the driving cycle has not occurred.
- step S55 when the check of the abnormality detection pattern is completed in step S54, it is determined in step S55 which of the patterns 1 to 6 corresponds to the abnormality detection pattern. If the abnormality detection pattern is pattern 1 or 2, the process proceeds to step S56. If the abnormality detection pattern is pattern 3 or 4, the process proceeds to step S57. If the abnormality detection pattern is pattern 5, the process proceeds to step S58. In the case of pattern 6, the process proceeds to step S59. In step S56 to step S58, each abnormality counter is updated according to the abnormality detection pattern.
- step S59 the validity of the first storage area 31 and the second storage area 32 is confirmed in step S54, and the memory backup has been normally completed. Therefore, the battery disconnection abnormality diagnosis for the next driving cycle is performed. The management information access flag is deleted.
- the management information of the first storage area 31, the management information of the second storage area 32, and the management information access flag include a combination of an abnormal pattern start mark and completion mark, The presence or absence of the management information access flag is accumulated. If the cumulative value at this time is equal to or greater than the specified value, it is possible to determine what kind of battery disconnection abnormality has occurred in the previous driving cycle.
- FIG. 12 is a diagram illustrating a failure information writing process when battery disconnection abnormality continuously occurs during the driving cycle of the electronic control device according to the embodiment.
- the failure information storage area 131 stores the failure information
- the second storage area management information storage area 133 is the second storage area write start mark 133A.
- the first storage area management information storage area 134 stores the first storage area write start mark 134A and the first storage area write completion mark 134B
- the management information access flag storage area 135 is used for the write start mark. Assume that the access flag 135A is stored. It is assumed that the failure information storage area 132 and the first storage area management information storage area 134 are selected as writable areas.
- this driving cycle starts with the ignition switch being turned from OFF to ON.
- the processor 110 writes the second storage area write start mark 133A in the second storage area management information storage area 133. Further, assuming that the second storage area management information storage area 133 is accessed, the second write start stamp access flag 135A is written in the management information access flag storage area 135. Then, solenoid control, CAN communication control, and the like necessary for vehicle control are sequentially executed.
- the writing of the failure information to the failure information storage area 132, the writing of the second storage area write completion mark 133B to the management information storage area for the second storage area 133, and the writing to the management information access flag storage area 135 are performed. Writing of the write completion mark access flag 135B is not performed.
- the first storage area management information storage area 134 is not accessed from the outside. Therefore, the management information storage area 134 for the first storage area remains set with the management information at the time of memory backup in the previous driving cycle.
- the recording patterns of the second storage area management information storage area 133 and the management information access flag storage area 135 are different from the case where the first battery disconnection abnormality in FIG. 133, two second storage area write start marks 133A are stored, and the management information access flag storage area 135 stores two write start mark access flags 135A.
- step S60 of FIG. 10 the number of abnormal counters updated in steps S56 to S58 is compared with a preset specified value. If the number of abnormal counters is less than the specified value, the process ends. When the number of abnormality counters reaches a predetermined value or more, it is determined which of the patterns 1 to 6 corresponds to the abnormality detection pattern. When the abnormality detection pattern is pattern 1 or 3, the corresponding abnormality flag (battery disconnection timing is during driving cycle) is set. When the abnormality detection pattern is pattern 2 or 4, the corresponding abnormality flag (battery disconnection timing is being shut down) is set. If the abnormality detection pattern is any other pattern, the process ends.
- DESCRIPTION OF SYMBOLS 100 Electronic control apparatus for motor vehicles, 110 ... CPU, 120 ... RAM, 130 ... Flash memory, 131, 132 ... Failure information storage area, 133 ... Management information storage area for 2nd storage areas, 134 ... Management for 1st storage areas Information storage area, 135 ... management information access flag storage area, 140 ... bus
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Human Computer Interaction (AREA)
- Quality & Reliability (AREA)
- Power Engineering (AREA)
- Techniques For Improving Reliability Of Storages (AREA)
- Memory System (AREA)
Abstract
本発明は、バッテリ電圧センサが搭載されていない場合においても、ドライビングサイクル中またはセルフシャットダウン中にバッテリ異常を検出する。本発明は、第1記憶領域31には、故障情報記憶領域131および第2記憶領域用管理情報記憶領域133を設け、第2記憶領域32には、故障情報記憶領域132および第1記憶領域用管理情報記憶領域134を設け、第1記憶領域31の管理情報および第2記憶領域32の管理情報へのアクセスの有無を示すアクセス情報を記憶する管理情報アクセスフラグ記憶領域135を第1記憶領域31および第2記憶領域32とは別個に設ける。
Description
本発明は、自動車に適用可能な電子制御装置に関する。
近年の自動車を取り巻く環境のさらなる電子化に伴い、市場からの運転性、燃費性および快適性等々の要求に従って制御が複雑化および高度化し、自動車に内在する故障および不具合のリスクが高まっている。特に、燃費性については、OBD(On-Board Diagnostics)法規の改正等の影響もあって、車両を構成するデバイス数を増加させ、異常な状態か正常な状態かをより詳細に検知できるようシステムを構成する各デバイスの診断結果を細分化する動きがある。
デバイス診断制御は、車速センサや油圧センサ等のハードウェアからの入力によって、ドライビングサイクル中のデバイスの状態が正常か異常かを判断するものが大半である。
ここで、診断対象とするデバイスのセンサがコントローラユニットに既に搭載されている前提では、制御ソフトウェアの開発のみで診断制御の実装が可能となる。このため、診断方法の細分化はソフトウェアの変更のみで対応可能で、制御開発期間の短縮化も比較的困難ではない。
ここで、診断対象とするデバイスのセンサがコントローラユニットに既に搭載されている前提では、制御ソフトウェアの開発のみで診断制御の実装が可能となる。このため、診断方法の細分化はソフトウェアの変更のみで対応可能で、制御開発期間の短縮化も比較的困難ではない。
しかし、診断方法の細分化は、法規対応ということもあり、診断対象デバイスのセンサが搭載されたシステムに必ず限定されるものではない。仮に、診断対象デバイスのセンサが搭載されていない場合には、コントローラユニットのソフトウェアの変更に加え、ハードウェア構成の変更も必要となる。このため、ハードウェア面では、搭載するセンサ等の選定や評価試験等に膨大な開発工数を取られることがある。また、ソフトウェア面では、診断制御のロジックを新規に設計検討する必要があり、制御開発期間の短縮化が非常に困難になることがある。
一方で、自動車用電子制御装置には、任意のタイミングやセルフシャットダウン中に、学習値や故障情報などの情報を電気的に記録内容の消去および書込みが可能な不揮発性メモリに書き込むメモリバックアップ機能が実装されている。
しかし、メモリバックアップは、例えば、メモリ素子の異常やバッテリ電圧の低下などによって正常に行われない場合がある。
しかし、メモリバックアップは、例えば、メモリ素子の異常やバッテリ電圧の低下などによって正常に行われない場合がある。
特許文献1には、書込み開始印や書込み完了印という管理情報を記憶させることで、バッテリ電圧低下を要因としたメモリバックアップ異常を検知しつつ、正常なメモリ領域を可能な限り有効活用する自動車用電子制御装置が開示されている。
しかしながら、特許文献1に開示された技術では、バッテリ電圧異常の観点から見ると、異常の検知対象範囲がドライビングサイクル終了時のセルフシャットダウン中のみとなる。このため、仮にドライビングサイクル中にバッテリの電圧低下や断線等が発生すると、異常を正しく検知できない恐れがある。
また、異常検知の入力情報が、書込み管理情報である書込み開始印と完了印の1種類の管理情報のみである。このため、仮に管理情報の記憶領域内でメモリ素子(メモリセル)が故障し、メモリ素子異常が発生すると、誤検知を引き起こす可能性がある。
また、異常検知の入力情報が、書込み管理情報である書込み開始印と完了印の1種類の管理情報のみである。このため、仮に管理情報の記憶領域内でメモリ素子(メモリセル)が故障し、メモリ素子異常が発生すると、誤検知を引き起こす可能性がある。
本発明は、上記事情に鑑みなされたものであり、その目的は、バッテリ電圧センサが搭載されていない場合においても、ドライビングサイクル中またはセルフシャットダウン中にバッテリ異常を検出することが可能な電子制御装置を提供することにある。
上記目的を達成するため、第1の観点に係る電子制御装置は、複数の記憶領域を含む不揮発性メモリを備える電子制御装置であって、前記記憶領域は、情報を記憶する情報記憶領域と、前記記憶領域への情報の書込み状態を示す管理情報を記憶する管理情報記憶領域とを備え、前記不揮発性メモリは、前記管理情報へのアクセスの有無を示すアクセス情報を記憶する管理情報アクセスフラグ記憶領域を前記記憶領域とは別個に備える。
本発明によれば、バッテリ電圧センサが搭載されていない場合においても、ドライビングサイクル中またはセルフシャットダウン中にバッテリ異常を検出することができる。
実施形態について、図面を参照して説明する。なお、以下に説明する実施形態は特許請求の範囲に係る発明を限定するものではなく、また実施形態の中で説明されている諸要素およびその組み合わせの全てが発明の解決手段に必須であるとは限らない。
図1は、実施形態に係る電子制御装置のハードウェア構成を示すブロック図である。
図1において、電子制御装置100には、プロセッサ110、RAM(Random Access Memory)120およびフラッシュメモリ130が設けられている。
プロセッサ110、RAM120およびフラッシュメモリ130は、バス140を介して相互に接続されている。電子制御装置100には、バッテリ150から電源が供給される。
図1において、電子制御装置100には、プロセッサ110、RAM(Random Access Memory)120およびフラッシュメモリ130が設けられている。
プロセッサ110、RAM120およびフラッシュメモリ130は、バス140を介して相互に接続されている。電子制御装置100には、バッテリ150から電源が供給される。
電子制御装置100は、例えば、エンジン、自動変速機および燃料ポンプなどを電子制御するデバイスである。プロセッサ110は、電子制御装置100全体の動作制御を司るハードウェアであり、CPU(Central Processing Unit)などを用いてもよい。RAM120は、揮発性メモリであり、プロセッサ110がプログラムを実行するためのワークエリアを設けることができる。フラッシュメモリ130は、フラッシュROM(Read Only Memory)など、電源供給を遮断してもデータが消えない不揮発性半導体メモリである。フラッシュメモリ130は、例えば、各種の制御プログラム、学習値、OBD機能による故障情報などを記憶する。電子制御装置100は、車速センサや油圧センサ等のハードウェアからの入力によって故障情報を収集することができる。
図2は、図1のフラッシュメモリのデータ構造を示す図である。
図2において、フラッシュメモリ130には、学習値や故障情報などの情報(以下、故障情報と言う)を記憶する複数の記憶領域として、第1記憶領域31および第2記憶領域32が設けられている。この記憶領域は、フラッシュメモリ130の消去単位で設けることができる。フラッシュメモリ130がNANDフラッシュメモリの場合、この記憶領域はブロック単位で設けることができる。なお、図2では、故障情報を記憶する複数の記憶領域が2個設けられている場合を示したが、故障情報を記憶する複数の記憶領域は3個以上あってもよい。
図2において、フラッシュメモリ130には、学習値や故障情報などの情報(以下、故障情報と言う)を記憶する複数の記憶領域として、第1記憶領域31および第2記憶領域32が設けられている。この記憶領域は、フラッシュメモリ130の消去単位で設けることができる。フラッシュメモリ130がNANDフラッシュメモリの場合、この記憶領域はブロック単位で設けることができる。なお、図2では、故障情報を記憶する複数の記憶領域が2個設けられている場合を示したが、故障情報を記憶する複数の記憶領域は3個以上あってもよい。
第1記憶領域31には、故障情報記憶領域131および第2記憶領域用管理情報記憶領域133が設けられている。第2記憶領域32には、故障情報記憶領域132および第1記憶領域用管理情報記憶領域134が設けられている。故障情報記憶領域131および故障情報記憶領域132は故障情報を記憶する。第2記憶領域用管理情報記憶領域133は、第2記憶領域32への故障情報の書込み状態を示す管理情報を記憶する。第1記憶領域用管理情報記憶領域134は、第1記憶領域31への故障情報の書込み状態を示す管理情報を記憶する。この時、第1記憶領域31は、第2記憶領域32に保持される故障情報に対する管理情報を記憶し、第2記憶領域32は、第1記憶領域31に保持される故障情報に対する管理情報を記憶する。すなわち、第1記憶領域31および第2記憶領域32は互いに相手側の管理情報を保持する。
ここで、第1記憶領域31のデータが一部でも消去される時は、第1記憶領域31に記憶されているデータ全体が一括して消去される。同様に、第2記憶領域32のデータが一部でも消去される時は、第2記憶領域32に記憶されているデータ全体が一括して消去される。このため、第1記憶領域31および第2記憶領域32が互いに相手側の管理情報を保持することにより、第1記憶領域31および第2記憶領域32のいずれか一方の記憶領域のデータが消去された場合においても、消去された側の記憶領域の管理情報を相手の記憶領域に残すことができる。
さらに、フラッシュメモリ130には、第1記憶領域31の管理情報および第2記憶領域32の管理情報へのアクセスの有無を示すアクセス情報を記憶する管理情報アクセスフラグ記憶領域135が設けられている。管理情報アクセスフラグ記憶領域135は、第1記憶領域31および第2記憶領域32とは別個に設けられる。管理情報アクセスフラグ記憶領域135は、管理情報へのアクセスがあったにもかかわらず、管理情報が正常に書き込まれないフラッシュメモリ素子異常時のバッテリ断線を検知するために用いることができる。
図3は、図2の第1記憶領域用管理情報記憶領域、第2記憶領域用管理情報記憶領域および管理情報アクセスフラグ記憶領域の構成を示す図である。
図3において、第2記憶領域用管理情報記憶領域133は、第2記憶領域32の管理情報として、第2記憶領域用書込み開始印133Aおよび第2記憶領域用書込み完了印133Bを保持する。第2記憶領域用書込み開始印133Aは、第2記憶領域32への故障情報の書込み開始を示す。第2記憶領域用書込み完了印133Bは、第2記憶領域32への故障情報の書込み完了を示す。第2記憶領域用書込み開始印133Aは、n(nは正の整数)個の第2記憶領域用書込み開始印MA1~MAnを設けることができる。第2記憶領域用書込み完了印133Bは、n個の第2記憶領域用書込み完了印MB1~MBnを設けることができる。
図3において、第2記憶領域用管理情報記憶領域133は、第2記憶領域32の管理情報として、第2記憶領域用書込み開始印133Aおよび第2記憶領域用書込み完了印133Bを保持する。第2記憶領域用書込み開始印133Aは、第2記憶領域32への故障情報の書込み開始を示す。第2記憶領域用書込み完了印133Bは、第2記憶領域32への故障情報の書込み完了を示す。第2記憶領域用書込み開始印133Aは、n(nは正の整数)個の第2記憶領域用書込み開始印MA1~MAnを設けることができる。第2記憶領域用書込み完了印133Bは、n個の第2記憶領域用書込み完了印MB1~MBnを設けることができる。
第1記憶領域用管理情報記憶領域134は、第1記憶領域31の管理情報として、第1記憶領域用書込み開始印134Aおよび第1記憶領域用書込み完了印134Bを保持する。第1記憶領域用書込み開始印134Aは、第1記憶領域31への故障情報の書込み開始を示す。第1記憶領域用書込み完了印134Bは、第1記憶領域31への故障情報の書込み完了を示す。第1記憶領域用書込み開始印134Aは、n個の第1記憶領域用書込み開始印KA1~KAnを設けることができる。第1記憶領域用書込み完了印134Bは、n個の第1記憶領域用書込み完了印KB1~KBnを設けることができる。
管理情報アクセスフラグ記憶領域135は、管理情報へのアクセス情報として、書込み開始印用アクセスフラグ135Aおよび書込み完了用アクセスフラグ135Bを保持する。書込み開始印用アクセスフラグ135Aは、第1記憶領域用書込み開始印134Aの登録アドレスまたは第2記憶領域用書込み開始印133Aの登録アドレスへのアクセスの有無を示す。書込み完了用アクセスフラグ135Bは、第1記憶領域用書込み完了印134Bの登録アドレスまたは第2記憶領域用書込み完了印133Bの登録アドレスへのアクセスの有無を示す。書込み開始印用アクセスフラグ135Aは、n個の書込み開始印用アクセスフラグFA1~FAnを設けることができる。書込み完了印用アクセスフラグ135Bは、n個の書込み完了用アクセスフラグFB1~FBnを設けることができる。
なお、フラッシュメモリ130に3個以上の記憶領域が確保されている場合には、全ての記憶領域の管理情報を持つように、各記憶領域の管理情報記憶領域に他の記憶領域の管理情報が格納されていればよい。
以上のように構成された電子制御装置100において、プロセッサ110は、OS(Operating System)制御機能およびAPPLI(Application)制御機能を実現する制御プログラムに従って、故障情報書込み処理および故障情報読込処理をそれぞれ実行することができる。
図4は、実施形態に係る電子制御装置のバッテリ断線異常が発生しない時の故障情報書込み処理を示す図である。
図4において、イグニッションスイッチがOFFからONになった時に、故障情報記憶領域131、132、第2記憶領域用管理情報記憶領域133、第1記憶領域用管理情報記憶領域134および管理情報アクセスフラグ記憶領域135がブランク状態にあったものとする。そして、故障情報記憶領域131および第2記憶領域用管理情報記憶領域133が書込み可能領域として選択されたものとする。
図4において、イグニッションスイッチがOFFからONになった時に、故障情報記憶領域131、132、第2記憶領域用管理情報記憶領域133、第1記憶領域用管理情報記憶領域134および管理情報アクセスフラグ記憶領域135がブランク状態にあったものとする。そして、故障情報記憶領域131および第2記憶領域用管理情報記憶領域133が書込み可能領域として選択されたものとする。
そして、イグニッションスイッチがOFFからONになったことをトリガとしてドライビングサイクルが開始する。ここで、ドライビングサイクル中およびセルフシャットダウン中にバッテリ断線の異常が発生せず、メモリバックアップ制御が正常に実施されたものとする。
この時、ドライビングサイクル中において、プロセッサ110は、第1記憶領域用管理情報記憶領域134に第1記憶領域用書込み開始印134Aを書込む。さらに、その第1記憶領域用管理情報記憶領域134にアクセスがあったとして、プロセッサ110は、管理情報アクセスフラグ記憶領域135に書込み開始印用アクセスフラグ135Aを書込む。そして、車両制御に必要なソレノイド制御やCAN(Controller Area Network)通信制御等を逐次実行する。
次に、ドライビングサイクル中にイグニッションスイッチがONからOFFになると、プロセッサ110は、セルフシャットダウンを実行する。セルフシャットダウン中において、今回のドライビングサイクルを終了するため、故障情報記憶領域131に故障情報を書込む準備として、プロセッサ110は、第1記憶領域31を消去する。第1記憶領域31の消去では、第1記憶領域31全体が消去されるため、故障情報記憶領域131だけでなく第2記憶領域用管理情報記憶領域133も消去される。
第1記憶領域31の消去が完了すると、プロセッサ110は、RAM120に記憶されている故障情報を故障情報記憶領域131に書込む。故障情報の書込みが正常に完了すると、プロセッサ110は、第1記憶領域用管理情報記憶領域134に第1記憶領域用書込み完了印134Bを書込む。さらに、第1記憶領域用管理情報記憶領域134にアクセスがあったとして、プロセッサ110は、管理情報アクセスフラグ記憶領域135に書込み完了印用アクセスフラグ135Bを書込む。
この時、第1記憶領域31において、故障情報記憶領域131はドライビングサイクル中の故障情報を記憶し、第2記憶領域用管理情報記憶領域133は、故障情報の書込み前に消去されているため、ブランク状態となる。第2記憶領域32において、第1記憶領域用管理情報記憶領域134は、第1記憶領域用書込み開始印134Aおよび第1記憶領域用書込み完了印134Bを記憶している。従って、管理情報の記憶状態は、第1記憶領域31の管理情報としては第1記憶領域用書込み開始印134Aおよび第1記憶領域用書込み完了印134Bが記憶され、第2記憶領域32の管理情報としては第2記憶領域用書込み開始印133Aおよび第2記憶領域用書込み完了印133Bがブランクとなる。
管理情報アクセスフラグ記憶領域135において、管理情報アクセスフラグ記憶領域135は書込み開始印用アクセスフラグ135Aおよび書込み完了印用アクセスフラグ135Bを記憶している。このため、第1記憶領域用書込み開始印134Aおよび第1記憶領域用書込み完了印134Bを第1記憶領域用管理情報記憶領域134に書込むために、第1記憶領域用管理情報記憶領域134にアクセスが有ったことが示される。
再度、イグニッションスイッチがOFFからONになったことをトリガとして次回のドライビングサイクルが開始すると、プロセッサ110は、第2記憶領域用管理情報記憶領域133、第1記憶領域用管理情報記憶領域134および管理情報アクセスフラグ記憶領域135の記録パターンから、前回のドライビングサイクルの故障情報の書込みが正常に実行され、ドライビングサイクル中およびセルフシャットダウン中のいずれにおいても、バッテリ断線異常が発生しなかったと判断することができる。
一方、バッテリ断線異常が発生した場合のフラッシュメモリ130の第2記憶領域用管理情報記憶領域133、第1記憶領域用管理情報記憶領域134および管理情報アクセスフラグ記憶領域135の記録パターンは、バッテリ断線異常が発生しなかった場合のフラッシュメモリ130の第2記憶領域用管理情報記憶領域133、第1記憶領域用管理情報記憶領域134および管理情報アクセスフラグ記憶領域135の記録パターンと異なる。
以下、ドライビングサイクル中にバッテリ断線異常が発生した場合と、セルフシャットダウン中にバッテリ断線異常が発生した場合のそれぞれの故障情報書込み処理について説明する。
以下、ドライビングサイクル中にバッテリ断線異常が発生した場合と、セルフシャットダウン中にバッテリ断線異常が発生した場合のそれぞれの故障情報書込み処理について説明する。
図5は、実施形態に係る電子制御装置のドライビングサイクル中にバッテリ断線異常が発生した時の故障情報書込み処理を示す図である。図5では、第1記憶領域31の故障情報の書込みが正常に完了し、その後、第2記憶領域32の故障情報の書込みが失敗した場合を例にとる。
図5において、イグニッションスイッチがOFFからONになった時に、故障情報記憶領域131が故障情報を記憶し、第1記憶領域用管理情報記憶領域134が第1記憶領域用書込み開始印134Aおよび第1記憶領域用書込み完了印134Bを記憶しているものとする。さらに、故障情報記憶領域132、第2記憶領域用管理情報記憶領域133および管理情報アクセスフラグ記憶領域135がブランク状態にあったものとする。そして、故障情報記憶領域132および第1記憶領域用管理情報記憶領域134が書込み可能領域として選択されたものとする。
図5において、イグニッションスイッチがOFFからONになった時に、故障情報記憶領域131が故障情報を記憶し、第1記憶領域用管理情報記憶領域134が第1記憶領域用書込み開始印134Aおよび第1記憶領域用書込み完了印134Bを記憶しているものとする。さらに、故障情報記憶領域132、第2記憶領域用管理情報記憶領域133および管理情報アクセスフラグ記憶領域135がブランク状態にあったものとする。そして、故障情報記憶領域132および第1記憶領域用管理情報記憶領域134が書込み可能領域として選択されたものとする。
そして、イグニッションスイッチがOFFからONになったことをトリガとしてドライビングサイクルが開始する。ドライビングサイクル中において、プロセッサ110は、第2記憶領域用管理情報記憶領域133に第2記憶領域用書込み開始印133Aを書込む。
さらに、その第2記憶領域用管理情報記憶領域133にアクセスがあったとして、管理情報アクセスフラグ記憶領域135に書込み開始印用アクセスフラグ135Aを書込む。そして、車両制御に必要なソレノイド制御やCAN通信制御等を逐次実行する。
さらに、その第2記憶領域用管理情報記憶領域133にアクセスがあったとして、管理情報アクセスフラグ記憶領域135に書込み開始印用アクセスフラグ135Aを書込む。そして、車両制御に必要なソレノイド制御やCAN通信制御等を逐次実行する。
ここで、電子制御装置100への電源供給源となっているバッテリ150が断線状態になると、今回のドライビングサイクルは、セルフシャットダウン処理を経由しないで終了する。このため、故障情報記憶領域132への故障情報の書込みと、第2記憶領域用管理情報記憶領域133への第2記憶領域用書込み完了印133Bの書込みと、管理情報アクセスフラグ記憶領域135への書込み完了印用アクセスフラグ135Bの書込みが実施されなくなる。
さらに、第2記憶領域32についてはセルフシャットダウン処理を経由していないため、第1記憶領域用管理情報記憶領域134は外部からアクセスされることがない。このため、第1記憶領域用管理情報記憶領域134は、前回のドライビングサイクルでのメモリバックアップ時の管理情報の設定のままとなる。
従って、第2記憶領域用管理情報記憶領域133、第1記憶領域用管理情報記憶領域134および管理情報アクセスフラグ記憶領域135の記録パターンは、図4のバッテリ断線異常が発生していない場合と異なり、第1記憶領域31には、第2記憶領域用書込み開始印133Aのみが記憶がされ、第2記憶領域32には、第1記憶領域用書込み開始印134Aおよび第1記憶領域用書込み完了印134Bとが記憶される。
そのため、再度、イグニッションスイッチがOFFからONになったことをトリガとして次回のドライビングサイクルが開始すると、プロセッサ110は、第2記憶領域用管理情報記憶領域133、第1記憶領域用管理情報記憶領域134および管理情報アクセスフラグ記憶領域135の記録パターンから、前回のドライビングサイクルの故障情報の書込みに異常が発生し、ドライビングサイクル中にバッテリ断線異常が発生したと判断することができる。
図6は、実施形態に係る電子制御装置のシャットダウン中にバッテリ断線異常が発生した時の故障情報書込み処理を示す図である。図6では、第1記憶領域31の故障情報の書込みが正常に完了し、その後、第2記憶領域32の故障情報の書込みが失敗した場合を例にとる。
図6において、イグニッションスイッチがOFFからONになった時に、故障情報記憶領域131が故障情報を記憶し、第1記憶領域用管理情報記憶領域134が第1記憶領域用書込み開始印134Aおよび第1記憶領域用書込み完了印134Bを記憶しているものとする。さらに、故障情報記憶領域132、第2記憶領域用管理情報記憶領域133および管理情報アクセスフラグ記憶領域135がブランク状態にあったものとする。そして、故障情報記憶領域132および第1記憶領域用管理情報記憶領域134が書込み可能領域として選択されたものとする。
図6において、イグニッションスイッチがOFFからONになった時に、故障情報記憶領域131が故障情報を記憶し、第1記憶領域用管理情報記憶領域134が第1記憶領域用書込み開始印134Aおよび第1記憶領域用書込み完了印134Bを記憶しているものとする。さらに、故障情報記憶領域132、第2記憶領域用管理情報記憶領域133および管理情報アクセスフラグ記憶領域135がブランク状態にあったものとする。そして、故障情報記憶領域132および第1記憶領域用管理情報記憶領域134が書込み可能領域として選択されたものとする。
そして、イグニッションスイッチがOFFからONになったことをトリガとしてドライビングサイクルが開始する。ドライビングサイクル中において、プロセッサ110は、第2記憶領域用管理情報記憶領域133に第2記憶領域用書込み開始印133Aを書込む。
さらに、その第2記憶領域用管理情報記憶領域133にアクセスがあったとして、プロセッサ110は、管理情報アクセスフラグ記憶領域135に書込み開始印用アクセスフラグ135Aを書込む。そして、車両制御に必要なソレノイド制御やCAN通信制御等を逐次実行する。
さらに、その第2記憶領域用管理情報記憶領域133にアクセスがあったとして、プロセッサ110は、管理情報アクセスフラグ記憶領域135に書込み開始印用アクセスフラグ135Aを書込む。そして、車両制御に必要なソレノイド制御やCAN通信制御等を逐次実行する。
次に、ドライビングサイクル中にイグニッションスイッチがONからOFFになると、プロセッサ110は、セルフシャットダウンを実行する。セルフシャットダウン中において、今回のドライビングサイクルを終了するため、故障情報記憶領域132に故障情報を書込む準備として、プロセッサ110は、第2記憶領域32を消去する。第2記憶領域32の消去では、第2記憶領域32全体が消去されるため、故障情報記憶領域132だけでなく第1記憶領域用管理情報記憶領域134も消去される。
ここで、電子制御装置100への電源供給源となっているバッテリ150が断線状態になると、第2記憶領域用管理情報記憶領域133への第2記憶領域用書込み完了印133Bの書込みと、管理情報アクセスフラグ記憶領域135への書込み完了印用アクセスフラグ135Bの書込みが実施されなくなる。さらに、第2記憶領域32については、メモリ消去処理によって第1記憶領域用管理情報記憶領域134がアクセスされ、メモリ消去途中でバッテリ断線が発生したことによって、記憶データが不定なデータとなることがある。
従って、セルフシャットダウン中にバッテリ断線異常が発生した時の第2記憶領域用管理情報記憶領域133、第1記憶領域用管理情報記憶領域134および管理情報アクセスフラグ記憶領域135の記録パターンは、図5のドライビングサイクル中にバッテリ断線異常が発生した場合と異なり、第2記憶領域32には、ブランク設定、第1記憶領域用書込み開始印134Aおよび第1記憶領域用書込み完了印134Bのいずれでもない不定なデータが記憶される。
そのため、再度、イグニッションスイッチがOFFからONになったことをトリガとして次回のドライビングサイクルが開始すると、プロセッサ110は、第2記憶領域用管理情報記憶領域133、第1記憶領域用管理情報記憶領域134および管理情報アクセスフラグ記憶領域135の記録パターンから、前回のドライビングサイクルの故障情報の書込みに異常が発生し、セルフシャットダウン中にバッテリ断線異常が発生したと判断することができる。
ここで、図5および図6に示すように、バッテリ断線異常がドライビングサイクル中およびセルフシャットダウン中のいずれで発生した場合においても、管理情報アクセスフラグ記憶領域135の記憶内容は、書込み開始印用アクセスフラグ135Aが有、書込み完了用アクセスフラグ135Bが無となる。このため、第1記憶領域31および第2記憶領域32に管理情報が正常に書き込まれない素子異常が発生した場合においても、管理情報アクセスフラグ記憶領域135の記憶内容を参照することでドライビングサイクル中またはセルフシャットダウン中にバッテリ断線異常が発生したかどうかを判定することができる。このため、バッテリ電圧センサが搭載されていない場合においても、ハードウェア構成を変更することなく、さらにはソフトウェア開発に膨大な工数をとられることなく、ドライビングサイクル中またはセルフシャットダウン中のバッテリ異常を検出することが可能となる。
以下、図1の電子制御装置100の詳細な処理について図7~図10のフローを参照しながら説明する。この処理では、第2記憶領域用管理情報記憶領域133および第1記憶領域用管理情報記憶領域134への開始印書込みと完了印書込み、さらに管理情報アクセスフラグ記憶領域135へのそれぞれの管理情報アクセスフラグの書込みをドライビングサイクル中に行う。そして、これら3種の管理情報を次回のドライビングサイクルに切り替わったタイミングで診断することにより、バッテリ電圧低下やバッテリ断線によってバッテリ150から電子制御装置100へ必要な電源が供給されない時のメモリバックアップ異常を正しく検知することが可能となる。
図7は、実施形態に係る電子制御装置のドライビングサイクル中の制御処理を示すフローチャートである。ドライビングサイクル中の制御処理としては、開始印書込みと、完了印書込みと、それぞれの管理情報アクセスフラグの書込みがある。開始印および完了印は、所定の定数設定とすることができる。この処理は、ドライビングサイクル開始直後のRESET処理以降、最も早い規定周期で繰り返される。
図7において、ステップS1にて電子制御装置100に供給される供給電圧を監視し、供給電圧の状態によってドライビングサイクル中の制御処理およびセルフシャットダウン中の制御処理を切り替える。
図7において、ステップS1にて電子制御装置100に供給される供給電圧を監視し、供給電圧の状態によってドライビングサイクル中の制御処理およびセルフシャットダウン中の制御処理を切り替える。
すなわち、ステップS1にて供給電圧がシャットダウン閾値以下かどうかを判断する。
そして、供給電圧がシャットダウン閾値以下でない場合、ドライビングサイクル中の制御処理に進む。ドライビングサイクル中の制御処理として、供給電圧がクランキング閾値以上かどうかを判断する。そして、供給電圧がクランキング閾値以上の場合、エンジン始動時のクランキングによる電圧降下が発生しておらず、電子制御装置100への供給電圧が安定した状態、つまりはドライビングサイクル中であると判断し、ステップS4に進む。
ステップS4では、開始印書込みが未完了かどうかを判断する。そして、開始印書込みが未完了の場合、ステップS5にて開始印および開始印側の管理情報アクセスフラグの書込み処理を実行する。次に、ステップS6において、予め規定周期の割り込みでスケジューリングされた自動変速機制御などの通常制御を開始する。
そして、供給電圧がシャットダウン閾値以下でない場合、ドライビングサイクル中の制御処理に進む。ドライビングサイクル中の制御処理として、供給電圧がクランキング閾値以上かどうかを判断する。そして、供給電圧がクランキング閾値以上の場合、エンジン始動時のクランキングによる電圧降下が発生しておらず、電子制御装置100への供給電圧が安定した状態、つまりはドライビングサイクル中であると判断し、ステップS4に進む。
ステップS4では、開始印書込みが未完了かどうかを判断する。そして、開始印書込みが未完了の場合、ステップS5にて開始印および開始印側の管理情報アクセスフラグの書込み処理を実行する。次に、ステップS6において、予め規定周期の割り込みでスケジューリングされた自動変速機制御などの通常制御を開始する。
一方、供給電圧がシャットダウン閾値以下の場合、セルフシャットダウン中の制御処理に進む。セルフシャットダウン中の制御処理として、ステップS2にてセルフシャットダウン用のディレータイマを更新する。そして、供給電圧がクランキング閾値以上でない場合、ステップS7において、ステップS2にて更新されたディレータイマの値が規定値未満かどうかを判断する。そして、ディレータイマの値が規定値未満の場合、ステップS6に進み、通常制御を開始する。ディレータイマの値が規定値以上の場合、イグニッションスイッチがOFFされ、セルフシャットダウン中の制御処理として、ステップS8において、ドライビングサイクル中に実施していた通常制御を停止する。次に、ステップS9において、ドラビングサイクル中に更新された故障情報のバックアップを行う。そして、ステップS10において、完了印および完了印側の管理情報アクセスフラグの書込み処理を実行し、ステップS11において、自動変速機制御時に動作させていたA/D変換機等のハードウェアの停止を行う。
図8は、実施形態に係る図7ステップS5の故障情報の書込み開始印書込み処理を示すフローチャートである。
図8において、開始印と管理情報アクセスフラグの書込みを開始した後のサイクルで再度、ステップS24~S29で開始印の書込み指示を行わないようにするために、ステップS21にて、開始印と管理情報アクセスフラグの処理ステータス情報が書込み中でないことを確認する。処理ステータス情報が書込み中の場合、ステップS24~S29をスキップし、ステップS30に進む。
図8において、開始印と管理情報アクセスフラグの書込みを開始した後のサイクルで再度、ステップS24~S29で開始印の書込み指示を行わないようにするために、ステップS21にて、開始印と管理情報アクセスフラグの処理ステータス情報が書込み中でないことを確認する。処理ステータス情報が書込み中の場合、ステップS24~S29をスキップし、ステップS30に進む。
処理ステータス情報が書込み中でない場合、ステップS22にて開始印と管理情報アクセスフラグの処理ステータス情報を書込み中に設定する。次に、ステップS23では、RESET時のメモリバックアップ読込み制御によって生成される、今回ドライビングサイクル中での故障情報の読込み可能な記憶領域が第1記憶領域31か第2記憶領域32かを判定する。読込み可能な記憶領域が第1記憶領域31の場合、第2記憶領域32への故障情報の書込みの準備として、ステップS24にて第1記憶領域31内の第2記憶領域用管理情報記憶領域133の空エリアを検索する。そして、ステップS25にて空きエリアに対して第2記憶領域用書込み開始印133Aの書込みを開始する。
次に、ステップS26において、第1記憶領域31内の第2記憶領域用管理情報記憶領域133に記録されている第2記憶領域用書込み開始印133Aの領域にアクセスがあったとして、管理情報アクセスフラグ記憶領域135への書込み開始印用アクセスフラグ135Aの書込み指示を行う。
一方、ステップS23にて読込み可能な記憶領域が第2記憶領域32と判定された場合、第1記憶領域31への故障情報の書込みの準備として、ステップS27にて第2記憶領域32内の第1記憶領域用管理情報記憶領域134の空エリアを検索する。そして、ステップS28にて空きエリアに対して第1記憶領域用書込み開始印134Aの書込みを開始する。
次に、ステップS29において、第2記憶領域32内の第1記憶領域用管理情報記憶領域134に記録されている第1記憶領域用書込み開始印134Aの領域にアクセスがあったとして、管理情報アクセスフラグ記憶領域135への書込み開始印用アクセスフラグ135Aの書込み指示を行う。
ここで、読込み可能領域側の管理情報に開始印を書き込む理由は、書込み可能領域側の管理情報に開始印を記録しても、セルフシャットダウン中の故障情報書込みの際に、管理情報が消去され、次回ドライビングサイクル開始時に管理情報の判定が不可となるのを防止するためである。
以上の工程で開始印と、開始印側の管理情報アクセスフラグの書込み指示が完了すると、ステップS30にてフラッシュメモリ130への書込みが完了したかを確認する。書込みが正常に完了されれば、ステップS31にて開始印と管理情報アクセスフラグの処理ステータス情報の更新を行う。
書込み完了印書込み処理については、メモリバックアップが正常に完了したことを示す情報として、セルフシャットダウン中の故障情報の書込み制御後に実行する。この時、現在のドライビングサイクル中の故障情報の読込み可能な記憶領域によって、完了印を書き込むエリアを決定する。
図9は、実施形態に係る図7ステップS10の故障情報の書込み完了印書込み処理を示すフローチャートである。
図9において、ステップS41にて現在の第2記憶領域用書込み開始印133Aまたは第1記憶領域用書込み開始印134Aと、書込み開始印用アクセスフラグ135Aの処理ステータス情報を読み出し、第2記憶領域用書込み開始印133Aまたは第1記憶領域用書込み開始印134Aと、書込み開始印用アクセスフラグ135Aの書込み完了かどうかを判断する。書込み完了でない場合、ステップS42~S48をスキップし、処理を終了する。
図9において、ステップS41にて現在の第2記憶領域用書込み開始印133Aまたは第1記憶領域用書込み開始印134Aと、書込み開始印用アクセスフラグ135Aの処理ステータス情報を読み出し、第2記憶領域用書込み開始印133Aまたは第1記憶領域用書込み開始印134Aと、書込み開始印用アクセスフラグ135Aの書込み完了かどうかを判断する。書込み完了でない場合、ステップS42~S48をスキップし、処理を終了する。
書込み完了の場合、ステップS42において、現在のドライビングサイクル中の故障情報の読込み可能な記憶領域が第1記憶領域31か第2記憶領域32かを判定する。読込み可能な記憶領域が第1記憶領域31の場合、故障情報の書込みを実施した記憶領域は第2記憶領域32である。このため、ステップS43において、第1記憶領域31内に確保されている第2記憶領域用管理情報記憶領域133の空きエリアを検索する。そして、ステップS44にて空きエリアに第2記憶領域用書込み完了印133Bの書込みを行う。
次に、ステップS45において、第1記憶領域31内の第2記憶領域用管理情報記憶領域133に記録された第2記憶領域用書込み完了印133Bの領域にアクセスがあったとして、管理情報アクセスフラグ記憶領域135への書込み完了印用アクセスフラグ135Bの書込み指示を行う。
一方、ステップS42にて読込み可能な記憶領域が第1記憶領域31と判定された場合、故障情報の書込みを実施した記憶領域は第1記憶領域31である。このため、ステップS46において、第2記憶領域32内に確保されている第1記憶領域用管理情報記憶領域134の空きエリアを検索する。そして、ステップS47にて空きエリアに第1記憶領域用書込み完了印134Bの書込みを行う。
次に、ステップS48において、第2記憶領域32内の第1記憶領域用管理情報記憶領域134に記録された第1記憶領域用書込み完了印134Bの領域にアクセスがあったとして、管理情報アクセスフラグ記憶領域135への書込み完了印用アクセスフラグ135Bの書込み指示を行う。
図10は、実施形態に係る電子制御装置のバッテリ断線異常判定処理を示すフローチャートである。バッテリ断線異常判定処理は、ドライビングサイクルが切り替わったタイミングで実行され、次回のドライビングサイクル開始時点における開始印と完了印と管理情報アクセスフラグの記憶パターンに基づいて、前回のドライビングサイクルのメモリバックアップ制御時にバッテリ断線異常がなかったかを診断する。
図10において、ステップS51で今回のドライビングサイクルにおける故障情報の読込み可能な記憶領域が第1記憶領域31か第2記憶領域32かを判定する。読込み可能な記憶領域が第1記憶領域31の場合、ステップS52において、読み込み可能ブロック側として第1記憶領域31内に確保されている第2記憶領域32用の管理情報である第2記憶領域用書込み開始印133Aおよび第2記憶領域用書込み完了印133Bを検索しかつ、書き込み可能ブロック側として第2記憶領域32内に確保されている第1記憶領域31用の管理情報である第1記憶領域用書込み開始印134Aおよび第2記憶領域用書込み完了印134Bを検索するとともに、読み込み可能ブロック側の書込み開始印用アクセスフラグ135Aおよび書込み完了印用アクセスフラグ135Bを検索する。
一方、ステップS51にて読込み可能な記憶領域が第2記憶領域32と判定された場合、ステップS53において、読み込み可能ブロック側として第2記憶領域32内に確保されている第1記憶領域31用の管理情報である第1記憶領域用書込み開始印134Aおよび第1記憶領域用書込み完了印134Bを検索しかつ、書き込み可能ブロック側として第1記憶領域31内に確保されている第2記憶領域32用の管理情報である第2記憶領域用書込み開始印133Aおよび第2記憶領域用書込み完了印133Bを検索するとともに、読み込み可能ブロック側の書込み開始印用アクセスフラグ135Aおよび書込み完了印用アクセスフラグ135Bを検索する。
ステップS52またはステップS53にて開始印および完了印と、管理情報アクセスフラグの検索が完了すると、ステップS54にて、開始印および完了印と、管理情報アクセスフラグで示される異常検知パターンをチェックする。
図11は、実施形態に係る電子制御装置における管理情報判定処理の異常検知パターンを示す図である。
図11において、故障情報の読込み可能領域の管理情報と、故障情報の書込み可能領域の管理情報と、管理情報アクセスフラグの合計3つの要素から、異常検知パターンを以下の6種類に分類する。この時、メモリバックアップ制御を利用したバッテリ断線の異常の検出内容を以下のように設定することができる。
図11において、故障情報の読込み可能領域の管理情報と、故障情報の書込み可能領域の管理情報と、管理情報アクセスフラグの合計3つの要素から、異常検知パターンを以下の6種類に分類する。この時、メモリバックアップ制御を利用したバッテリ断線の異常の検出内容を以下のように設定することができる。
パターン1、2では、管理情報アクセスフラグの開始印側がアクセス有、管理情報アクセスフラグの完了印側がアクセス無という結果から、セルフシャットダウン処理を経由せず、メモリバックアップ制御が実行されなかったことが想定される。従って、現在のドライビングサイクル時において、故障情報の読込み可能領域は前回のドライビングサイクルから切り替わっていないことになる。この結果、故障情報の読込み可能領域の管理情報の記憶パターンから、バッテリ断線異常によるメモリバックアップ異常と、読込み可能な記憶領域側でのメモリ素子異常が疑われる。さらに、この異常状態は、故障情報の書込み可能領域側の管理情報を確認することで、以下のように、さらに細分化することが可能である。
仮に、ドライビングサイクル中にバッテリ断線が発生した場合、故障情報の書込み可能領域側の管理情報は、外部からアクセスされることはない。つまり、想定される異常検知パターンとしては、初期状態のブランク設定、または、前回のドライビングサイクル時にメモリバックアップ制御が正常に完了した際の管理情報が記憶されている状態(開始印または完了印)が考えられる。
一方、セルフシャットダウン中にバッテリ断線が発生した場合は、故障情報の書込み可能領域側の管理情報は、メモリバックアップ時のメモリ消去過程でアクセスされる。つまり、想定される異常検知パターンとしては、メモリ消去中にバッテリが断線するため、ドライビングサイクル中の異常検知パターンとは異なり、不定な設定(ブランク、開始印および完了印でない値)が記憶されていると考えることができる。
一方、セルフシャットダウン中にバッテリ断線が発生した場合は、故障情報の書込み可能領域側の管理情報は、メモリバックアップ時のメモリ消去過程でアクセスされる。つまり、想定される異常検知パターンとしては、メモリ消去中にバッテリが断線するため、ドライビングサイクル中の異常検知パターンとは異なり、不定な設定(ブランク、開始印および完了印でない値)が記憶されていると考えることができる。
そのため、パターン1では、ドライビングサイクル中のバッテリ断線とメモリ素子異常が同時に発生したことを検知することができる。パターン2では、セルフシャットダウン中のバッテリ断線とメモリ素子異常が同時に発生したことを検知することができる。
パターン3、4では、パターン1、2の時と同様、管理情報アクセスフラグの開始印側がアクセス有、管理情報アクセスフラグの完了印側がアクセス無という結果から、セルフシャットダウン処理を経由せず、メモリバックアップ制御が実行されなかったことが想定される。従って、現在のドライビングサイクル時において、故障情報の読込み可能領域は、前回のドライビングサイクルから切り替わっていないことになる。この時、故障情報の読込み可能領域の管理情報の記憶パターンは、パターン3、4とパターン1、2とで異なっている。この結果、故障情報の読込み可能領域の管理情報の記憶パターンから、バッテリ断線異常を原因としたメモリバックアップ異常が疑われる。さらに、故障情報の書込み可能領域側の管理情報を確認することで、ドライビングサイクル中のバッテリ断線異常か、または、セルフシャットダウン中のバッテリ断線異常かの細分化が可能となる。
パターン5では、管理情報アクセスフラグの開始印側がアクセス有、管理情報アクセスフラグの完了印側がアクセス有という結果から、セルフシャットダウン処理が完了し、メモリバックアップ制御が実行されたことが想定される。この時、現在のドライビングサイクル時において、故障情報の読込み可能領域は、故障情報の記憶が更新されたため、前回のドライビングサイクルから切り替わっている。この結果、読込み可能な記憶領域内に確保されている管理情報は、メモリバックアップ制御の過程で消去され、ブランク設定となり、書込み可能領域内の管理情報は、管理情報アクセスフラグの内容に合わせて、開始印と完了印の設定となるべきであるが、管理情報の記憶パターンから、書込み可能な記憶領域側でのメモリ素子異常が疑われる。しかし、メモリ素子異常についてはバッテリ断線の観点でなく、メモリバックアップ異常の観点での異常のため、ここではメモリ素子異常検知を実施しない。
パターン6では、パターン5と同様、読込み可能な記憶領域内に記録されている管理情報はブランク設定である。書込み可能な記憶領域内に記録されている管理情報は、管理情報アクセスフラグの内容に合わせて開始印と完了印とが正常に記録されている。このため、3種の管理情報の記録パターンから、メモリバックアップ制御が正常に完了したと考えることができ、ドライビングサイクル中でのバッテリ断線は発生しなかったとみなすことができる。
図10において、ステップS54にて異常検知パターンのチェックが完了したら、ステップS55にて異常検知パターンがパターン1~6のいずれに対応するかを判断する。異常検知パターンがパターン1、2の場合、ステップS56に進み、異常検知パターンがパターン3、4の場合、ステップS57に進み、異常検知パターンがパターン5の場合、ステップS58に進み、異常検知パターンがパターン6の場合、ステップS59に進む。そして、ステップS56~ステップS58にて異常検知パターンに合わせてそれぞれの異常カウンタの更新を行う。
ステップS59では、ステップS54にて、第1記憶領域31および第2記憶領域32の妥当性が確認され、メモリバックアップが正常に完了していることから、次回のドライビングサイクル時のバッテリ断線異常診断用に管理情報のアクセスフラグの消去を実施する。
ここで、ステップS54にてチェックされた異常検知パターンのうち、パターン1~5については、メモリバックアップ制御が異常終了したとして、次回のドライビングサイクル時に、故障情報の読込み可能領域の切り替えが実施されない。このため、図12に示すように、第1記憶領域31の管理情報と、第2記憶領域32の管理情報と、管理情報アクセスフラグには、異常なパターンの開始印、完了印の組み合わせと、管理情報アクセスフラグの有無が累積される。この時の累積値が規定値以上になれば、前回のドライビングサイクルにおいて、どのようなバッテリ断線異常が発生したかを確定することが可能となる。
図12は、実施形態に係る電子制御装置のドライビングサイクル中にバッテリ断線異常が連続で発生した時の故障情報書込み処理を示す図である。
図12において、前回のドライビングサイクル中にバッテリ断線異常が発生したものとする。そして、今回のドライビングサイクルでイグニッションスイッチがOFFからONになった時に、故障情報記憶領域131が故障情報を記憶し、第2記憶領域用管理情報記憶領域133が第2記憶領域用書込み開始印133Aを記憶し、第1記憶領域用管理情報記憶領域134が第1記憶領域用書込み開始印134Aおよび第1記憶領域用書込み完了印134Bを記憶し、管理情報アクセスフラグ記憶領域135が書込み開始印用アクセスフラグ135Aを記憶しているものとする。そして、故障情報記憶領域132および第1記憶領域用管理情報記憶領域134が書込み可能領域として選択されたものとする。
図12において、前回のドライビングサイクル中にバッテリ断線異常が発生したものとする。そして、今回のドライビングサイクルでイグニッションスイッチがOFFからONになった時に、故障情報記憶領域131が故障情報を記憶し、第2記憶領域用管理情報記憶領域133が第2記憶領域用書込み開始印133Aを記憶し、第1記憶領域用管理情報記憶領域134が第1記憶領域用書込み開始印134Aおよび第1記憶領域用書込み完了印134Bを記憶し、管理情報アクセスフラグ記憶領域135が書込み開始印用アクセスフラグ135Aを記憶しているものとする。そして、故障情報記憶領域132および第1記憶領域用管理情報記憶領域134が書込み可能領域として選択されたものとする。
そして、イグニッションスイッチがOFFからONになったことをトリガとして今回のドライビングサイクルが開始する。今回のドライビングサイクル中において、プロセッサ110は、第2記憶領域用管理情報記憶領域133に2つ目の第2記憶領域用書込み開始印133Aを書込む。さらに、その第2記憶領域用管理情報記憶領域133にアクセスがあったとして、管理情報アクセスフラグ記憶領域135に2つ目の書込み開始印用アクセスフラグ135Aを書込む。そして、車両制御に必要なソレノイド制御やCAN通信制御等を逐次実行する。
ここで、電子制御装置100への電源供給源となっているバッテリ150が再度断線状態になると、今回のドライビングサイクルは、セルフシャットダウン処理を経由しないで終了する。このため、故障情報記憶領域132への故障情報の書込みと、第2記憶領域用管理情報記憶領域133への第2記憶領域用書込み完了印133Bの書込みと、管理情報アクセスフラグ記憶領域135への書込み完了印用アクセスフラグ135Bの書込みが実施されなくなる。
さらに、第2記憶領域32についてはセルフシャットダウン処理を経由していないため、第1記憶領域用管理情報記憶領域134は外部からアクセスされることがない。このため、第1記憶領域用管理情報記憶領域134は、前回のドライビングサイクルでのメモリバックアップ時の管理情報の設定のままとなる。
従って、第2記憶領域用管理情報記憶領域133および管理情報アクセスフラグ記憶領域135の記録パターンは、図5の1回目のバッテリ断線異常が発生した場合と異なり、第2記憶領域用管理情報記憶領域133には、2つの第2記憶領域用書込み開始印133Aが記憶され、管理情報アクセスフラグ記憶領域135には、2つの書込み開始印用アクセスフラグ135Aが記憶される。
このため、図10のステップS60において、ステップS56~S58にて更新された異常カウンタ回数を、予め設定されている規定値と比較する。異常カウンタ回数が規定値未満の場合、処理を終了する。異常カウンタ回数が規定値以上に達した場合、異常検知パターンがパターン1~6のいずれに対応するかを判断する。異常検知パターンがパターン1、3の場合、該当の異常フラグ(バッテリ断線タイミングがドライビングサイクル中)を設定する。異常検知パターンがパターン2、4の場合、該当の異常フラグ(バッテリ断線タイミングがシャットダウン中)を設定する。異常検知パターンがその他のパターンの場合、処理を終了する。
100…自動車用電子制御装置、110…CPU、120…RAM、130…フラッシュメモリ、131、132…故障情報記憶領域、133…第2記憶領域用管理情報記憶領域、134…第1記憶領域用管理情報記憶領域、135…管理情報アクセスフラグ記憶領域、140…バス
Claims (10)
- 複数の記憶領域を含む不揮発性メモリを備える電子制御装置であって、
前記記憶領域は、
情報を記憶する情報記憶領域と、
前記記憶領域への情報の書込み状態を示す管理情報を記憶する管理情報記憶領域とを備え、
前記不揮発性メモリは、
前記管理情報へのアクセスの有無を示すアクセス情報を記憶する管理情報アクセスフラグ記憶領域を前記記憶領域とは別個に備える電子制御装置。 - ドライビングサイクル中において、
前記管理情報記憶領域は、前記情報の書込み開始を示す開始印を保持し、
前記管理情報アクセスフラグ記憶領域は、前記開始印の登録アドレスへのアクセスの有無を示す開始印用アクセスフラグを保持し、
セルフシャットダウン中において、
前記管理情報記憶領域は、前記情報の書込み完了を示す完了印を保持し、
前記管理情報アクセスフラグ記憶領域は、前記完了印の登録アドレスへのアクセス有無を示す完了印用アクセスフラグを保持する請求項1に記載の電子制御装置。 - 不揮発性メモリにアクセス可能なプロセッサを備え、
前記プロセッサは、今回のドライビングサイクル開始時に、前記管理情報および前記アクセス情報に基づいて、前回のドライビングサイクルまたはセルフシャットダウンにおけるバッテリ断線またはバッテリ電圧低下異常を診断する請求項1に記載の電子制御装置。 - 前記記憶領域は、他の前記記憶領域に保持される情報に対する前記管理情報を記憶する請求項1に記載の電子制御装置。
- 前記プロセッサは、前記管理情報および前記アクセス情報の記録パターンに応じて前記バッテリ断線または前記バッテリ電圧低下異常を診断する請求項3に記載の電子制御装置。
- 前記開始印および前記完了印は、所定の定数設定である請求項2に記載の電子制御装置。
- 前記記憶領域は、第1記憶領域と第2記憶領域を備え、
前記第1記憶領域は、
第1情報を記憶する第1情報記憶領域と、
前記第2記憶領域に格納される第2情報の管理情報を記憶する第2記憶領域用管理情報記憶領域を備え、
前記第2記憶領域は、
第2情報を記憶する第2情報記憶領域と、
前記第1記憶領域に格納される第1情報の管理情報を記憶する第1記憶領域用管理情報記憶領域を備える請求項1に記載の電子制御装置。 - ドライビングサイクル中において、前記第2記憶領域が読込み可能領域である時に、
前記第1記憶領域用管理情報記憶領域は、前記情報の書込み開始を示す開始印を保持し、
前記管理情報アクセスフラグ記憶領域は、前記開始印の登録アドレスへのアクセスの有無を示す開始印用アクセスフラグを保持し、
セルフシャットダウン中において、前記第2記憶領域が読込み可能領域である時に、
前記第1記憶領域用管理情報記憶領域は、前記情報の書込み完了を示す完了印を保持し、
前記管理情報アクセスフラグ記憶領域は、前記完了印の登録アドレスへのアクセスの有無を示す完了印用アクセスフラグを保持する請求項8に記載の電子制御装置。 - 前記情報を記憶する揮発性メモリと、
前記不揮発性メモリおよび前記揮発性メモリにアクセス可能なプロセッサを備え、
前記プロセッサは、
前記セルフシャットダウン中において、
前記第1記憶領域に記憶されているデータを消去し、
前記揮発性メモリに記憶されている情報を前記第1情報記憶領域に退避させる請求項8に記載の電子制御装置。 - 前記プロセッサは、前記第1記憶領域用管理情報記憶領域と、前記第2記憶領域用管理情報記憶領域と、前記管理情報アクセスフラグ記憶領域の記憶パターンに基づいて、バッテリ断線異常によるメモリバックアップ異常および読込み可能領域側でのメモリ素子異常を診断する請求項9に記載の電子制御装置。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP19754011.5A EP3754657B1 (en) | 2018-02-14 | 2019-02-01 | Electronic control device |
US16/772,289 US11231871B2 (en) | 2018-02-14 | 2019-02-01 | Electronic control device with non-volatile memory |
JP2020500392A JP6921296B2 (ja) | 2018-02-14 | 2019-02-01 | 電子制御装置 |
CN201980006322.8A CN111684523B (zh) | 2018-02-14 | 2019-02-01 | 电子控制装置 |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018-024129 | 2018-02-14 | ||
JP2018024129 | 2018-02-14 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2019159716A1 true WO2019159716A1 (ja) | 2019-08-22 |
Family
ID=67619417
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/JP2019/003567 WO2019159716A1 (ja) | 2018-02-14 | 2019-02-01 | 電子制御装置 |
Country Status (5)
Country | Link |
---|---|
US (1) | US11231871B2 (ja) |
EP (1) | EP3754657B1 (ja) |
JP (1) | JP6921296B2 (ja) |
CN (1) | CN111684523B (ja) |
WO (1) | WO2019159716A1 (ja) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004118937A (ja) * | 2002-09-26 | 2004-04-15 | Renesas Technology Corp | 不揮発性メモリおよびこれを有したデータ記憶装置 |
JP2009289049A (ja) * | 2008-05-29 | 2009-12-10 | Toyota Motor Corp | メモリ制御装置 |
JP2015176177A (ja) | 2014-03-13 | 2015-10-05 | 日立オートモティブシステムズ株式会社 | 自動車用電子制御装置 |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6335729B2 (en) * | 1997-02-28 | 2002-01-01 | Sony Corporation | Display method, method of storing image information, display apparatus, navigation apparatus and automobile |
GB9801373D0 (en) * | 1998-01-22 | 1998-03-18 | Memory Corp Plc | Memory system |
JP2005332513A (ja) * | 2004-05-21 | 2005-12-02 | Matsushita Electric Ind Co Ltd | 強誘電体記憶装置及びその読み出し方法 |
JP4736828B2 (ja) | 2006-02-03 | 2011-07-27 | 株式会社デンソー | 電子制御装置 |
WO2012021380A2 (en) * | 2010-08-13 | 2012-02-16 | Rambus Inc. | Fast-wake memory |
CN102393838B (zh) * | 2011-07-04 | 2015-03-11 | 华为技术有限公司 | 数据处理方法及装置、pci-e总线系统、服务器 |
KR101551817B1 (ko) * | 2014-05-22 | 2015-09-09 | 한국전자통신연구원 | 메모리 삭제 방법 및 이를 위한 장치 |
KR20160133283A (ko) * | 2015-05-12 | 2016-11-22 | 삼성전자주식회사 | 비휘발성 메모리 저장장치를 운영하는 방법 및 이를 구현한 전자장치 |
US10877544B2 (en) * | 2016-01-12 | 2020-12-29 | Smart Modular Technologies, Inc. | Memory management system with backup system and method of operation thereof |
CN105976450A (zh) * | 2016-04-27 | 2016-09-28 | 百度在线网络技术(北京)有限公司 | 无人驾驶车辆的数据处理方法和装置、黑匣子系统 |
JP7065578B2 (ja) * | 2017-09-21 | 2022-05-12 | キヤノン株式会社 | 情報処理装置、その制御方法、及びプログラム |
-
2019
- 2019-02-01 JP JP2020500392A patent/JP6921296B2/ja active Active
- 2019-02-01 US US16/772,289 patent/US11231871B2/en active Active
- 2019-02-01 CN CN201980006322.8A patent/CN111684523B/zh active Active
- 2019-02-01 EP EP19754011.5A patent/EP3754657B1/en active Active
- 2019-02-01 WO PCT/JP2019/003567 patent/WO2019159716A1/ja unknown
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004118937A (ja) * | 2002-09-26 | 2004-04-15 | Renesas Technology Corp | 不揮発性メモリおよびこれを有したデータ記憶装置 |
JP2009289049A (ja) * | 2008-05-29 | 2009-12-10 | Toyota Motor Corp | メモリ制御装置 |
JP2015176177A (ja) | 2014-03-13 | 2015-10-05 | 日立オートモティブシステムズ株式会社 | 自動車用電子制御装置 |
Non-Patent Citations (1)
Title |
---|
See also references of EP3754657A4 |
Also Published As
Publication number | Publication date |
---|---|
JPWO2019159716A1 (ja) | 2020-12-17 |
CN111684523A (zh) | 2020-09-18 |
EP3754657B1 (en) | 2023-06-21 |
US20210072919A1 (en) | 2021-03-11 |
JP6921296B2 (ja) | 2021-08-18 |
CN111684523B (zh) | 2023-12-01 |
EP3754657A1 (en) | 2020-12-23 |
US11231871B2 (en) | 2022-01-25 |
EP3754657A4 (en) | 2021-11-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4803168B2 (ja) | 車両用情報記憶装置 | |
JP4636118B2 (ja) | 電子機器及びプログラム | |
JP5272507B2 (ja) | 電子制御装置 | |
US8095263B2 (en) | Electronic control unit and vehicle control system | |
US8209078B2 (en) | Electronic control unit and vehicle control system | |
JP2012250641A (ja) | データ記憶装置 | |
CN114385421A (zh) | 数据存储方法、装置、电子设备及存储介质 | |
JP4281808B2 (ja) | 車両の制御装置およびその制御方法 | |
WO2019159716A1 (ja) | 電子制御装置 | |
JP5617901B2 (ja) | 電子制御装置 | |
JP5635941B2 (ja) | 自動車用電子制御装置 | |
CN110023911B (zh) | 电子控制装置及其数据保护方法 | |
JP2017082702A (ja) | 車載電子制御装置 | |
JP6162011B2 (ja) | 自動車用電子制御装置 | |
JP7205245B2 (ja) | 電子制御装置 | |
JP5236092B1 (ja) | 車両用データ記憶装置 | |
CN110781031A (zh) | 控制器数据恢复方法、装置、控制器及汽车 | |
JPH09161493A (ja) | 書換え可能な不揮発性メモリの管理方法 | |
JP2015176177A (ja) | 自動車用電子制御装置 | |
JP7099293B2 (ja) | 電子制御装置 | |
CN112599172B (zh) | 电子控制单元的数据写入方法、装置及存储介质 | |
JP2012256386A (ja) | プログラム書込システム | |
JP2002047998A (ja) | 車両用制御装置 | |
KR100507064B1 (ko) | 차량의 엔진 시동시 데이터 프레임 체크 방법 | |
JP2023034433A (ja) | 車両用制御装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 19754011 Country of ref document: EP Kind code of ref document: A1 |
|
ENP | Entry into the national phase |
Ref document number: 2020500392 Country of ref document: JP Kind code of ref document: A |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
ENP | Entry into the national phase |
Ref document number: 2019754011 Country of ref document: EP Effective date: 20200914 |