WO2020217928A1

WO2020217928A1 - 電子制御装置

Info

Publication number: WO2020217928A1
Application number: PCT/JP2020/015288
Authority: WO
Inventors: 其賢全
Original assignee: 日立オートモティブシステムズ株式会社
Priority date: 2019-04-25
Filing date: 2020-04-03
Publication date: 2020-10-29
Also published as: US11726853B2; US20220222135A1; CN113711209A; JPWO2020217928A1

Abstract

コンピューターの通常処理の開始を遅延させることなく、ウォッチドッグタイマー回路の故障診断を行うことができる電子制御装置を提供する。マイクロコンピューター終了処理部２００は、マイクロコンピューター１００の終了処理が実行されることに応じて、ウォッチドッグタイマー回路１０１へのパルスの出力を停止させる。ウォッチドッグタイマー回路故障診断部２０１は、パルスの出力が停止されてから所定時間が経過してもウォッチドッグタイマー回路１０１からリセット信号が出力されなかった場合に、ウォッチドッグタイマー回路１０１に異常が発生したことを示す異常情報を不揮発性メモリ１０２に書き込む。

Description

電子制御装置

　この発明は電子制御装置に関し、とくにコンピューターを監視するウォッチドッグタイマー回路を備えるものに関する。

　周知のように、ウォッチドッグタイマー回路とは、コンピューターの状態を監視するために用いられるハードウェア回路である。監視対象のコンピューターから一定周期で送信されるパルスを受信することにより監視を行い、所定時間以上パルスを受信しない場合にタイムアウトを検出して、コンピューターに異常が発生したと判断するものである。このウォッチドッグタイマー回路が故障すると、コンピューターの暴走を検出することができないため、システムの信頼性を確保することが困難となる。

　下記特許文献１には、電源供給直後にマイクロコンピューターが自らプログラム暴走状態を発生させ、暴走状態発生の所定時間後にウォッチドッグタイマー回路からリセット信号の供給を受けたか否かを判断することにより、ウォッチドッグタイマー回路の故障診断を行う技術が開示されている。

特開平８－１４２７９４号公報

　従来の技術では、ウォッチドッグタイマー回路の診断のためにコンピューターの通常処理の開始が遅延するという課題があった。

　たとえば、特許文献１に記載されているウォッチドッグタイマー回路診断手法では、マイクロコンピューターの起動時にウォッチドッグタイマー回路の故障診断を行うが、そのためにウォッチドッグタイマー回路がマイクロコンピューターを正常にリセットするまで待機する必要がある。このため、マイクロコンピューターの通常処理の開始に遅延が発生する。また、このため、たとえばシステムの起動性能が悪化する。

　本発明は、このような課題を解決するためになされたものであり、コンピューターの通常処理の開始を遅延させることなく、ウォッチドッグタイマー回路の故障診断を行うことができる電子制御装置を提供することを目的とする。

　この発明に係る電子制御装置は、
　コンピューターと、不揮発性メモリと、前記コンピューターを監視するウォッチドッグタイマー回路とを備える、電子制御装置であって、
　前記コンピューターは、
　‐前記コンピューターの終了処理を実行するコンピューター終了処理部と、
　‐前記ウォッチドッグタイマー回路が故障しているか否かを診断する故障診断部と、を備え、
　前記コンピューター終了処理部は、前記コンピューターの終了処理が実行されることに応じて、ウォッチドッグタイマー回路へのパルスの出力を停止させ、
　前記故障診断部は、前記パルスの出力が停止されてから所定時間が経過しても前記ウォッチドッグタイマー回路からリセット信号が出力されなかった場合に、前記ウォッチドッグタイマー回路に異常が発生したことを示す異常情報を前記不揮発性メモリに書き込む。

　この発明に係る電子制御装置によれば、コンピューターの通常処理の開始を遅延させることなく、ウォッチドッグタイマー回路の故障診断を行うことができる。

本発明の実施形態１に係る電子制御装置（ＥＣＵ１０）を含む構成を示すブロック図である。図１の電子制御装置の内部構成をより詳細に示すブロック図である。図２のマイクロコンピューター終了処理部の内部構成をより詳細に示すブロック図である。図２のウォッチドッグタイマー回路故障診断部の内部構成をより詳細に示すブロック図である。図１の電子制御装置の動作を示すフローチャートである。

　以下、本発明を実施するための形態について図面を用いて説明する。なお、図面において、同一の符号は、同一のまたは相当する部分を示す。また、本発明は、図示例に限定されるものではない。

実施形態１．
　以下、本発明の実施形態１に係る電子制御装置を説明する。
　図１は、実施形態１に係る電子制御装置を含む車両全体システム１の構成を示すブロック図である。本実施形態では、電子制御装置は、車両に搭載されるＥＣＵ（Electronic Control Unit）たとえばＥＣＵ１０として構成される。

　図１に示す車両全体システム１は、実施形態１に係るＥＣＵ１０と、他のＥＣＵ１１，１２，１３と、警告灯３０とを備える。

　ＥＣＵ１０にはイグニッションスイッチＩＧＮが接続され、ＥＣＵ１０はイグニッションスイッチの状態を取得することができるようになっている。また、ＥＣＵ１０は通信ネットワークである車載ＬＡＮ２０（車載通信網）を介してＥＣＵ１１，１２，１３と通信可能に接続され、ＥＣＵ１１，１２，１３との間で情報を送受信することが可能である。

　警告灯３０はＥＣＵ１１に接続されており、ＥＣＵ１０はＥＣＵ１１を介して警告灯３０の動作を制御できるようになっている。警告灯３０は、点灯することによってウォッチドッグタイマー回路１０１が故障していることを通知するための表示手段であり、ＥＣＵ１０は、この警告灯３０を点灯させることによって、ウォッチドッグタイマー回路１０１が故障していることをユーザーに通知する。

　さらに、車載ＬＡＮ２０にはＯＢＤコネクター３１が接続されており、このＯＢＤコネクター３１を介して診断ツール２を接続できるようになっている。このように、ＥＣＵ１１は、車載ＬＡＮ２０およびＯＢＤコネクター３１を介して診断ツール２と通信可能である。診断ツール２は、ＯＢＤコネクター３１を介してＥＣＵ１０と通信することにより、ウォッチドッグタイマー回路１０１の故障に関する情報を随時に読み出すことができる。

　ＥＣＵ１０は、マイクロコンピューター１００（コンピューター）と、マイクロコンピューター１００を監視するウォッチドッグタイマー回路１０１とを備える。なお、本実施形態ではウォッチドッグタイマー回路１０１によって監視される対象の例としてマイクロコンピューター１００を用いるが、監視される対象はマイクロコンピューターに限られず、任意の種類のコンピューターとすることができる。

　なお、図１に示すように、マイクロコンピューター１００とウォッチドッグタイマー回路１０１との間でパルスおよびリセット信号の送受信が行われるが、これについては図２～４等を参照して後述する。

　図２は、ＥＣＵ１０の内部構成をより詳細に示すブロック図である。ＥＣＵ１０は、図１にも示すマイクロコンピューター１００およびウォッチドッグタイマー回路１０１に加え、図２に示す不揮発性メモリ１０２を備える。

　マイクロコンピューター１００は、公知の構成を有するマイクロコンピューターまたは他のコンピューターを用いて構成することができる。たとえば、マイクロコンピューター１００は、演算手段および記憶手段を備えてもよい。演算手段はたとえばプロセッサを用いて構成することができ、記憶手段はたとえば非一時的(non-transitory)記憶媒体を用いて構成することができる。非一時的記憶媒体は、揮発性または不揮発性の記憶媒体とすることができる。また、記憶手段に記憶されたプログラムを演算手段が実行することにより、本実施形態に係るマイクロコンピューター１００の動作が実現されるものであってもよい。

　マイクロコンピューター１００は、マイクロコンピューター終了処理部２００（コンピューター終了処理部）と、ウォッチドッグタイマー回路故障診断部２０１（故障診断部）と、メモリアクセス部２０２と、を備える。

　マイクロコンピューター終了処理部２００は、マイクロコンピューター１００の終了処理を実行する。終了処理とは、マイクロコンピューター１００の電源をＯＦＦにする際に実行されるシーケンスであり、たとえばイグニッションスイッチＩＧＮがＯＦＦになった場合に実行される。

　ウォッチドッグタイマー回路故障診断部２０１は、ウォッチドッグタイマー回路１０１が故障しているか否かを診断する。ウォッチドッグタイマー回路故障診断部２０１は、マイクロコンピューター１００の記憶手段に記憶されたプログラムをマイクロコンピューター１００の演算手段が実行することにより実現されるものであってもよい。

　メモリアクセス部２０２は、不揮発性メモリ１０２に対してアクセスを実行し、これによってデータの書き込みおよび読み出しを行う。メモリアクセス部２０２は、不揮発性メモリ１０２にデータを書き込む際に、データを冗長化してもよい。

　データを冗長化する方法は任意に設計可能であるが、たとえば、同じデータを不揮発性メモリ１０２の複数箇所（たとえば二箇所であるが、三箇所以上であってもよい）に書き込んでもよい。また、データと、データに関するＣＲＣ（Cyclic Redundancy Check）計算値とを関連付けて書き込んでもよい。また、メモリアクセス部２０２は、不揮発性メモリ１０２からデータを読み出す際に、複数箇所に記憶されているデータの一致性チェックを行ってもよいし、データとデータのＣＲＣ計算値とを照合してもよい。このような動作の具体例については、図４を参照して後述する。メモリアクセス部２０２は、マイクロコンピューター１００の記憶手段に記憶されたプログラムをマイクロコンピューター１００の演算手段が実行することにより実現されるものであってもよい。

　ウォッチドッグタイマー回路故障診断部２０１は、ウォッチドッグタイマー回路１０１が故障していると診断した場合に、ＥＣＵ１０の外部に向けて故障情報データＤＴ１０（故障情報）を出力してもよい。故障情報データＤＴ１０は、たとえば、ウォッチドッグタイマー回路１０１が故障したことを示す情報、ＥＣＵ１０が搭載されている車両を特定するための車両情報、等を含んでもよい。故障情報データＤＴ１０は、ユーザーや他のＥＣＵに故障に関する情報を通知するためのデータとして用いることができる。ＥＣＵ１０は、故障情報データＤＴ１０を、たとえばＥＣＵ１１に送信する。

　ＥＣＵ１１は、故障情報受信部４００と点灯部４０１とを備えてもよい。故障情報受信部４００は、ＥＣＵ１０（とくにマイクロコンピューター１００）から故障情報データＤＴ１０を受信し、必要に応じて点灯部４０１を介して警告灯３０を点灯させてもよい。

　ウォッチドッグタイマー回路１０１は、公知の構成を有するウォッチドッグタイマー回路として当業者が適宜設計することができるが、一例を以下に説明する。ウォッチドッグタイマー回路１０１は、ウォッチドッグパルス受信部３０１と、リセット信号出力部３００とを備える。

　ウォッチドッグタイマー回路１０１は、内部に時間を計測するタイマーを有する。ウォッチドッグパルス受信部３０１は、マイクロコンピューター１００からパルス（ウォッチドッグパルス）を受信し、これに応じてタイマーの値をリセットする。所定時間以上にわたってパルスが受信されないと、タイマーの値がリセットされないまま所定値に達することになる。タイマーの値が所定値に達すると、リセット信号出力部３００はマイクロコンピューター１００に対してリセット要求を表すリセット信号を送信し、これによってマイクロコンピューター１００をリセットさせる。

　図３は、マイクロコンピューター終了処理部２００の内部構成をより詳細に示すブロック図である。なお図３のブロック図は一例であり、マイクロコンピューター終了処理部２００はこれ以外の構成を有してもよい。マイクロコンピューター終了処理部２００は、マイクロコンピューター１００の記憶手段に記憶されたプログラムをマイクロコンピューター１００の演算手段が実行することにより実現されるものであってもよい。

　図３に示すように、マイクロコンピューター終了処理部２００は、イグニッションスイッチステータス検出部１０００と、ブート初期化部１００１と、電源ＯＦＦ部１００２と、終了制御部１００３と、ウォッチドッグパルス出力部１００４と、リセット監視タイマー管理部１００５と、リセット部１００６と、を備える。このような構成により、マイクロコンピューター終了処理部２００は、マイクロコンピューター１００の終了処理を実行する。

　イグニッションスイッチステータス検出部１０００は、イグニッションスイッチＩＧＮの状態を検出する。たとえば、イグニッションスイッチＩＧＮの状態がＯＮであるか、またはＯＦＦであるかを検出する。イグニッションスイッチステータス検出部１０００は、マイクロコンピューター１００の記憶手段に記憶されたプログラムをマイクロコンピューター１００の演算手段が実行することにより実現されるものであってもよい。

　ブート初期化部１００１は、マイクロコンピューター１００のハードデバイス、レジスタ、メモリなどを初期化する初期化処理を実行する。初期化処理はたとえば、マイクロコンピューター１００の電源を入れた直後に、または、マイクロコンピューター１００がリセットされた直後に、実行される。ブート初期化部１００１は、マイクロコンピューター１００の記憶手段に記憶されたプログラムをマイクロコンピューター１００の演算手段が実行することにより実現されるものであってもよい。

　また、ブート初期化部１００１は、所定の条件に応じてマイクロコンピューター１００の電源をＯＦＦにする処理を実行してもよい。たとえば、マイクロコンピューター１００の初期化処理中に、イグニッションスイッチＩＧＮの状態がＯＦＦであることが検出された場合に、マイクロコンピューター１００の電源をＯＦＦにしてもよい。

　ウォッチドッグパルス出力部１００４は、ウォッチドッグタイマー回路１０１に対してパルス（またはパルスを表す所定の信号）を出力する。ウォッチドッグパルス出力部１００４は、マイクロコンピューター１００の記憶手段に記憶されたプログラムをマイクロコンピューター１００の演算手段が実行することにより実現されるものであってもよい。

　終了制御部１００３は、イグニッションスイッチステータス検出部１０００によってイグニッションスイッチの状態がＯＦＦであることが検出された場合に、ウォッチドッグパルス出力部１００４に対してパルス出力停止要求を出力する。ウォッチドッグパルス出力部１００４は、このパルス出力停止要求に応じ、ウォッチドッグタイマー回路１０１へのパルスの出力を停止する。このように、マイクロコンピューター終了処理部２００は、マイクロコンピューター１００の終了処理が実行されることに応じて、ウォッチドッグタイマー回路１０１へのパルスの出力を停止させる。終了制御部１００３は、マイクロコンピューター１００の記憶手段に記憶されたプログラムをマイクロコンピューター１００の演算手段が実行することにより実現されるものであってもよい。

　ここで、ウォッチドッグタイマー回路１０１が正常である場合には、パルスの出力が停止されてから所定時間以内に、マイクロコンピューター１００がリセットされることになる。一方、ウォッチドッグタイマー回路１０１が故障している場合には、パルスの出力が停止されてもマイクロコンピューター１００がリセットされない可能性がある。

　電源ＯＦＦ部１００２は、マイクロコンピューター１００の電源をＯＦＦにする。たとえば、ブート初期化部１００１および終了制御部１００３は、電源ＯＦＦ部１００２を介してマイクロコンピューター１００の電源をＯＦＦにすることができる。

　リセット監視タイマー管理部１００５は、終了制御部１００３がウォッチドッグタイマー回路１０１に対するパルスの出力を停止するようウォッチドッグパルス出力部１００４に要求することに応じ、パルスの出力が停止されてからの経過時間を監視する。このように経過時間を監視することにより、パルスの出力が停止されてから所定時間以内にマイクロコンピューター１００がリセットされたか否かを監視することができる。リセット監視タイマー管理部１００５は、マイクロコンピューター１００の記憶手段に記憶されたプログラムをマイクロコンピューター１００の演算手段が実行することにより実現されるものであってもよい。

　リセット監視タイマー管理部１００５は、内部にリセット監視タイマーＲＴ１０を有してもよく、このリセット監視タイマーＲＴ１０の値をカウントダウンすることによって監視を行ってもよい。たとえば、終了制御部１００３のパルス出力停止要求に応じてリセット監視タイマーＲＴ１０の値をＮ（ただしＮは事前に指定される数値）に設定し、時間の経過に応じてこの値をカウントダウンする。リセット監視タイマーＲＴ１０が０までカウントダウンされる前にマイクロコンピューター１００がリセットされると、これに伴ってリセット監視タイマー管理部１００５の動作もリセットされる。このため、リセット監視タイマーＲＴ１０が０までカウントダウンされたということは、値Ｎが表す時間以内にマイクロコンピューター１００がリセットされなかったということを表す。

　パルスの出力が停止されてから所定時間以内にマイクロコンピューター１００がリセットされず、経過時間が所定値に達した場合（たとえば上述のリセット監視タイマーＲＴ１０が０までカウントダウンされた場合）には、終了制御部１００３がマイクロコンピューター１００を強制終了させる。強制終了は、たとえば電源ＯＦＦ部１００２を介してマイクロコンピューター１００の電源をＯＦＦとすることにより実行される。強制終了は、通常の終了処理に含まれる手順を実行しないものであってもよい。

　このような強制終了を実行することにより、ウォッチドッグタイマー回路１０１の故障等によりリセット信号が出力されない場合であっても、マイクロコンピューター１００の電源をＯＦＦとすることができる。

　リセット部１００６は、ウォッチドッグタイマー回路１０１からリセット信号を受信すると、これに応じて、マイクロコンピューター１００をリセットする。上述の強制終了は、リセット部１００６を介してマイクロコンピューター１００をリセットすることにより実行されてもよい。リセット部１００６は、電子回路装置により実現されるものであってもよい。

　図４は、ウォッチドッグタイマー回路故障診断部２０１の内部構成をより詳細に示すブロック図である。図４に示すように、ウォッチドッグタイマー回路故障診断部２０１は、ウォッチドッグタイマー回路異常フラグ設定部２０００と、ウォッチドッグタイマー回路故障初期診断部２００１と、故障情報データ送信部２００２と、故障情報記録部２００３と、を備える。このような構成により、ウォッチドッグタイマー回路故障診断部２０１は、ウォッチドッグタイマー回路１０１が故障しているか否かを診断する。ウォッチドッグタイマー回路故障診断部２０１は、マイクロコンピューター１００の記憶手段に記憶されたプログラムをマイクロコンピューター１００の演算手段が実行することにより実現されるものであってもよい。

　図４において、単一のイコール記号「＝」は命令または情報の出力を表し、２個連続したイコール記号「＝＝」は分岐条件の判断処理または分岐条件が満たされている状態を表す。

　図４には、ウォッチドッグタイマー回路故障診断部２０１の動作に関連する不揮発性メモリ１０２の内部構成の例も示している。不揮発性メモリ１０２は、ウォッチドッグタイマー回路１０１に異常が発生しているか否かを示す情報を記憶する。この情報は、たとえばウォッチドッグタイマー回路異常フラグＷＤＦ１０の値によって表される。ウォッチドッグタイマー回路異常フラグＷＤＦ１０の値が正常であることは、ウォッチドッグタイマー回路１０１に異常が発生していないことを示す正常情報であり、ウォッチドッグタイマー回路異常フラグＷＤＦ１０の値が異常であることは、ウォッチドッグタイマー回路１０１に異常が発生したことを示す異常情報である。

　不揮発性メモリ１０２に書き込まれる情報は、冗長化して記憶されてもよい。たとえば、メモリアクセス部２０２は、ウォッチドッグタイマー回路故障診断部２０１からの指示に応じ、ウォッチドッグタイマー回路異常フラグＷＤＦ１０の値を、不揮発性メモリ１０２のＡ面（第１領域）およびＢ面（第２領域）それぞれに書き込んでもよい。また、メモリアクセス部２０２は、ウォッチドッグタイマー回路故障診断部２０１からの指示に応じ、ウォッチドッグタイマー回路異常フラグＷＤＦ１０の値を不揮発性メモリ１０２から読み出す際に、Ａ面から読み出した値と、Ｂ面から読み出した値との一致性を検証してもよい。さらに、一致性がない場合には、公知のエラー処理を実行してもよい。このような処理により、情報を冗長化して記憶することができる。

　また、メモリアクセス部２０２は、ウォッチドッグタイマー回路故障診断部２０１からの指示に応じ、ウォッチドッグタイマー回路異常フラグＷＤＦ１０の値を書き込む際に、フラグの値そのものと、フラグの値に応じて算出されるＣＲＣ計算値ＷＤＦＣとを関連付けて書き込んでもよい。その場合には、異常情報は、ウォッチドッグタイマー回路異常フラグＷＤＦ１０と、ウォッチドッグタイマー回路異常フラグＷＤＦ１０に関するＣＲＣ計算値ＷＤＦＣとを含むことになる。また、この場合には、メモリアクセス部２０２は、ウォッチドッグタイマー回路故障診断部２０１からの指示に応じ、異常情報を読み出す際に、ウォッチドッグタイマー回路異常フラグＷＤＦ１０およびＣＲＣ計算値ＷＤＦＣを照合してもよい。さらに、照合の結果、整合性がない場合には、公知のエラー処理を実行してもよい。このような処理により、情報を冗長化して記憶することができる。

　ウォッチドッグタイマー回路異常フラグ設定部２０００は、メモリアクセス部２０２を介して、ウォッチドッグタイマー回路異常フラグＷＤＦ１０の値を設定する。たとえば、イグニッションスイッチの状態がＯＮからＯＦＦに変化した場合に（これはイグニッションスイッチステータス検出部１０００によって検出することができる）、ウォッチドッグタイマー回路異常フラグＷＤＦ１０の値を直ちに正常に設定する（図４のステップ１）。
なお、上述のように、この時点でウォッチドッグパルス出力部１００４からのパルスの出力が停止される。ウォッチドッグタイマー回路異常フラグ設定部２０００は、マイクロコンピューター１００の記憶手段に記憶されたプログラムをマイクロコンピューター１００の演算手段が実行することにより実現されるものであってもよい。

　その後、すなわちパルスの出力が停止されてから、所定時間が経過しても（これはリセット監視タイマーＲＴ１０が０までカウントダウンすることによって検出することができる）ウォッチドッグタイマー回路１０１からリセット信号が出力されなかった場合に、ウォッチドッグタイマー回路異常フラグ設定部２０００は、ウォッチドッグタイマー回路異常フラグＷＤＦ１０の値を異常に設定する（図４のステップ２）。これによって、ウォッチドッグタイマー回路１０１に異常が発生したことを示す異常情報が、不揮発性メモリ１０２に書き込まれる。

　ウォッチドッグタイマー回路故障初期診断部２００１は、マイクロコンピューター１００が起動された後（たとえば初期化処理中に、または初期化処理の後かつ通常処理の前に）、メモリアクセス部２０２を介して、不揮発性メモリ１０２に記憶されているウォッチドッグタイマー回路異常フラグＷＤＦ１０の値を取得する。そして、このフラグの値に基づき、ウォッチドッグタイマー回路１０１が故障しているか否かを診断する。ウォッチドッグタイマー回路故障初期診断部２００１は、マイクロコンピューター１００の記憶手段に記憶されたプログラムをマイクロコンピューター１００の演算手段が実行することにより実現されるものであってもよい。

　たとえば、ウォッチドッグタイマー回路異常フラグＷＤＦ１０の値が異常であれば、ウォッチドッグタイマー回路故障初期診断部２００１は、ウォッチドッグタイマー回路１０１が異常であると診断する。一方、ウォッチドッグタイマー回路異常フラグＷＤＦ１０の値が正常であれば、ウォッチドッグタイマー回路故障初期診断部２００１は、ウォッチドッグタイマー回路１０１が正常であると診断する。

　このように、ウォッチドッグタイマー回路故障初期診断部２００１は、マイクロコンピューター１００の起動時に、不揮発性メモリ１０２に異常情報が記憶されていた場合に、ウォッチドッグタイマー回路１０１が異常である（すなわち故障している）と診断する。
このため、起動時に長時間を要する診断処理を実行する必要がなく、コンピューターの通常処理を迅速に開始することができる。

　故障情報データ送信部２００２は、ウォッチドッグタイマー回路故障初期診断部２００１によってウォッチドッグタイマー回路１０１が異常である（すなわち故障している）と診断された場合に、故障情報データＤＴ１０を車載ＬＡＮ２０に送信する。これによって、ウォッチドッグタイマー回路１０１の故障を外部に通知することができる。故障情報データ送信部２００２は、マイクロコンピューター１００の記憶手段に記憶されたプログラムをマイクロコンピューター１００の演算手段が実行することにより実現されるものであってもよい。

　故障情報データＤＴ１０の送信先は、たとえば図示のようにＥＣＵ１１であってもよい。ＥＣＵ１１は、故障情報データＤＴ１０を受信して警告灯３０を点灯させる。なお、この例では警告灯３０を点灯させるための信号として故障情報データＤＴ１０を用いているが、警告灯３０を点灯させるための信号は故障情報データＤＴ１０に限定されず、他の形式または内容を有する信号であってもよい。このようにして警告灯３０を点灯させることにより、ユーザーはウォッチドッグタイマー回路１０１の故障を知ることができる。

　また、故障情報データＤＴ１０の送信先は、たとえばＯＢＤコネクター３１を介して接続された診断ツール２であってもよい（図１参照）。このようにすると、診断ツール２において、ウォッチドッグタイマー回路１０１の故障に関する情報を用い、さらなる診断処理を実行することができる。

　故障情報記録部２００３は、ウォッチドッグタイマー回路故障初期診断部２００１によってウォッチドッグタイマー回路１０１が異常である（すなわち故障している）と診断された場合に、メモリアクセス部２０２を介して故障情報データＤＴ１０を不揮発性メモリ１０２に書き込む。これによって、ウォッチドッグタイマー回路１０１の故障に関する詳細な情報を長期的に保存することができ、任意のタイミングで参照することができる。故障情報記録部２００３は、マイクロコンピューター１００の記憶手段に記憶されたプログラムをマイクロコンピューター１００の演算手段が実行することにより実現されるものであってもよい。

　図５は、ＥＣＵ１０の動作を示すフローチャートである。この図は、とくにマイクロコンピューター１００の動作を表すものである。図５において、２個連続したイコール記号「＝＝」は分岐条件の判断処理または分岐条件が満たされている状態を表す。図５の動作は、マイクロコンピューター１００に電源が投入されることに応じて、ステップＳ１００から開始される。以降の処理は次のようになる。

　ステップＳ１００：マイクロコンピューター１００に電源が投入される。
　ステップＳ１０１：イグニッションスイッチステータス検出部１０００がイグニッションスイッチＩＧＮの状態を検知する。イグニッションスイッチＩＧＮの状態がＯＦＦであれば、ステップＳ１０２に移る。イグニッションスイッチＩＧＮの状態がＯＮであれば、ステップＳ１０３に移る。

　ステップＳ１０２：電源ＯＦＦ部１００２が、マイクロコンピューター１００の電源をＯＦＦにする。
　ステップＳ１０３：ウォッチドッグタイマー回路故障初期診断部２００１が、メモリアクセス部２０２を介して、不揮発性メモリ１０２に保存されていたウォッチドッグタイマー回路異常フラグＷＤＦ１０の値を取得する。

　ステップＳ１０４：ウォッチドッグタイマー回路故障初期診断部２００１が、ウォッチドッグタイマー回路異常フラグＷＤＦ１０の値に基づいて、ウォッチドッグタイマー回路１０１の故障の有無を診断する。ウォッチドッグタイマー回路異常フラグＷＤＦ１０が異常であれば、ステップＳ１０５に移る。これは、ウォッチドッグタイマー回路１０１に故障があると判定することに対応する。一方、ウォッチドッグタイマー回路異常フラグの値が正常であれば、ステップＳ１０７に移る。これは、ウォッチドッグタイマー回路１０１に故障がないと判定することに対応する。

　ステップＳ１０５：故障情報データ送信部２００２が、車載ＬＡＮ２０を介して、ＥＣＵ１１に故障情報データＤＴ１０を送信する。
　ステップＳ１０６：故障情報記録部２００３が、メモリアクセス部２０２を介して、故障情報を不揮発性メモリ１０２に記録する。

　ステップＳ１０７：マイクロコンピューター１００の通常処理を実施する。通常処理とは、たとえば車両の走行に係る処理を含む。ステップＳ１０７の実行中、ウォッチドッグパルス出力部１００４はウォッチドッグパルスの出力を継続する。
　ステップＳ１０８：ステップＳ１０７の実行中に、イグニッションスイッチステータス検出部１０００が、イグニッションスイッチＩＧＮの状態がＯＦＦとなったことを検出する。これに応じて、マイクロコンピューター１００は終了シーケンスの実行を開始し、ステップＳ１０９に移る。

　ステップＳ１０９：マイクロコンピューター１００が終了シーケンスの実行を開始すると、ウォッチドッグタイマー回路異常フラグ設定部２０００が、メモリアクセス部２０２を介して、不揮発性メモリ１０２に記憶されているウォッチドッグタイマー回路異常フラグＷＤＦ１０の値を正常に設定する。
　ステップＳ１１０：ウォッチドッグパルス出力部１００４は、ウォッチドッグパルスの出力を停止する。
　ステップＳ１１１：ウォッチドッグパルス出力部１００４がウォッチドッグパルスの出力を停止した後（たとえば停止の直後）、リセット監視タイマー管理部１００５がリセット監視タイマーＲＴ１０のカウントダウンを開始する。これは、一定時間以内にリセットが発生するか否かを確認するための処理である。

　ステップＳ１１２：リセット監視タイマーＲＴ１０が０になってもマイクロコンピューター１００がリセットされていなければ、ステップＳ１１３に移る。これは、ウォッチドッグタイマー回路１０１に異常があると判定することに対応する。一方、リセット監視タイマーＲＴ１０が０までカウントダウンしていなければ、リセット信号の受信を待つためにステップＳ１１４に移る。

　ステップＳ１１３：ウォッチドッグタイマー回路異常フラグ設定部２０００が、メモリアクセス部２０２を介して、不揮発性メモリ１０２に記憶されているウォッチドッグタイマー回路異常フラグＷＤＦ１０の値を異常に設定する。そして、ステップＳ１１５に移る。
　ステップＳ１１４：ウォッチドッグタイマー回路１０１からリセット信号が出力されたら、マイクロコンピューターをリセットするため、ステップＳ１０１に移る。リセット信号が出力されていなければ、ステップＳ１１２に移る。

　ステップＳ１１５：終了制御部１００３が、マイクロコンピューター１００の終了処理が完了したかを確認する。終了処理が完了していれば、マイクロコンピューター１００の電源をＯＦＦにするために、ステップＳ１０２に移る。終了処理が完了していなければ、ステップＳ１１５において終了処理完了を待つ。

　１：車両全体システム、２：診断ツール、１０：ＥＣＵ（電子制御装置）、１１：ＥＣＵ、１２：ＥＣＵ、１３：ＥＣＵ、ＤＴ１０：故障情報データ（故障情報）、２０：車載ＬＡＮ（車載通信網）、３０：警告灯、３１：ＯＢＤコネクター、ＩＧＮ：イグニッションスイッチ、１００：マイクロコンピューター（コンピューター）、１０１：ウォッチドッグタイマー回路、１０２：不揮発性メモリ、２００：マイクロコンピューター終了処理部（コンピューター終了処理部）、２０１：ウォッチドッグタイマー回路故障診断部（故障診断部）、２０２：メモリアクセス部、３００：リセット信号出力部、３０１：ウォッチドッグパルス受信部、４００：故障情報受信部、４０１：点灯部、１０００：イグニッションスイッチステータス検出部、１００１：ブート初期化部、１００２：電源ＯＦＦ部、１００３：終了制御部、１００４：ウォッチドッグパルス出力部、１００５：リセット監視タイマー管理部、ＲＴ１０：リセット監視タイマー、１００６：リセット部、２０００：ウォッチドッグタイマー回路異常フラグ設定部、２００１：ウォッチドッグタイマー回路故障初期診断部、２００２：故障情報データ送信部、２００３：故障情報記録部、ＷＤＦ１０：ウォッチドッグタイマー回路異常フラグ（異常フラグ）、ＷＤＦＣ（ＣＲＣ計算値）。

Claims

　コンピューターと、不揮発性メモリと、前記コンピューターを監視するウォッチドッグタイマー回路とを備える、電子制御装置であって、
　前記コンピューターは、
　‐前記コンピューターの終了処理を実行するコンピューター終了処理部と、
　‐前記ウォッチドッグタイマー回路が故障しているか否かを診断する故障診断部と、を備え、
　前記コンピューター終了処理部は、前記コンピューターの終了処理が実行されることに応じて、前記ウォッチドッグタイマー回路へのパルスの出力を停止させ、
　前記故障診断部は、前記パルスの出力が停止されてから所定時間が経過しても前記ウォッチドッグタイマー回路からリセット信号が出力されなかった場合に、前記ウォッチドッグタイマー回路に異常が発生したことを示す異常情報を前記不揮発性メモリに書き込む、電子制御装置。
　請求項１に記載の電子制御装置において、
　前記コンピューター終了処理部は、
　‐前記ウォッチドッグタイマー回路からリセット信号を受信することに応じて、前記コンピューターをリセットするリセット部と、
　‐イグニッションスイッチの状態を検出するイグニッションスイッチステータス検出部と、
　‐前記コンピューターの初期化処理中に、前記イグニッションスイッチの状態がＯＦＦであることが検出された場合に、前記コンピューターの電源をＯＦＦにする、ブート初期化部と、を備える、電子制御装置。
　請求項１に記載の電子制御装置において、
　前記コンピューター終了処理部は、
　‐前記ウォッチドッグタイマー回路に対して前記パルスを出力するウォッチドッグパルス出力部と、
　‐前記パルスの出力が停止されてからの経過時間を監視する、リセット監視タイマー管理部と、
　‐前記経過時間が所定値に達した場合に、前記コンピューターを強制終了させる終了制御部と、を備える、電子制御装置。
　請求項１に記載の電子制御装置において、
　前記コンピューターは、前記不揮発性メモリに対してアクセスを実行するメモリアクセス部を備え、
　前記メモリアクセス部は、
　‐前記異常情報として、異常フラグと、前記異常フラグに関するＣＲＣ計算値とを関連付けて前記不揮発性メモリに書き込み、
　‐前記異常情報を読み出す際に、前記異常フラグおよび前記ＣＲＣ計算値を照合する、電子制御装置。
　請求項１に記載の電子制御装置において、
　前記コンピューターは、前記不揮発性メモリに対してアクセスを実行するメモリアクセス部を備え、
　前記メモリアクセス部は、
　‐前記異常情報を、前記不揮発性メモリの第１領域および第２領域それぞれに書き込み、
　‐前記異常情報を前記不揮発性メモリから読み出す際に、前記第１領域から読み出した前記異常情報と、前記第２領域から読み出した前記異常情報との一致性を検証する、電子制御装置。
　請求項１に記載の電子制御装置において、
　前記故障診断部は、ウォッチドッグタイマー回路故障初期診断部を備え、
　前記ウォッチドッグタイマー回路故障初期診断部は、前記コンピューターの起動時に、前記不揮発性メモリに前記異常情報が記憶されていた場合に、前記ウォッチドッグタイマー回路が故障していると診断する、電子制御装置。
　請求項１に記載の電子制御装置において、
　前記故障診断部は、
　‐前記ウォッチドッグタイマー回路が故障していると診断された場合に、故障情報を車載通信網に送信する故障情報データ送信部と、
　‐前記ウォッチドッグタイマー回路が故障していると診断された場合に、前記故障情報を前記不揮発性メモリに書き込む故障情報記録部と、を備える、電子制御装置。
　請求項１に記載の電子制御装置において、前記ウォッチドッグタイマー回路が故障していると診断された場合に、前記故障診断部は、警告灯を点灯させるための信号を出力する、電子制御装置。