WO2021075361A1

WO2021075361A1 - 冗長系システム及び負荷駆動制御装置

Info

Publication number: WO2021075361A1
Application number: PCT/JP2020/038236
Authority: WO
Inventors: 水橋　嘉章; 光彦渡部; 義孝阿部; 守小倉
Original assignee: 日立Astemo株式会社
Priority date: 2019-10-18
Filing date: 2020-10-09
Publication date: 2021-04-22
Also published as: JP7312268B2; US20240126528A1; JPWO2021075361A1

Abstract

１つの負荷を冗長構成の複数の制御回路で制御する冗長系システムにおいて、外部不揮発性メモリを採用した場合であっても、マイコン制御プログラムの更新中に受けた起動要求を実行可能な、低コストで応答性に優れた冗長系システムを提供する。　１つの負荷を冗長構成の複数の制御系統で制御する冗長系システムにおいて、前記複数の制御系統の更新用プログラム信号を受信した場合、前記複数の制御系統の各々に対し所定の順に個別に制御プログラムの更新を実行し、さらに所定の１系統の制御プログラムの更新を実行中に前記負荷の起動要求を受信した場合、前記所定の１系統以外の系統により前記負荷を制御し、その間に前記所定の１系統の制御プログラムの更新を継続することを特徴とする。

Description

冗長系システム及び負荷駆動制御装置

　本発明は、負荷の駆動を冗長構成の制御回路で制御する負荷駆動制御装置、及びそのプログラム更新方法に関する。

　コンピュータ技術の発展に伴い、車両の電子化が進んでおり、モータ等の負荷の駆動制御はＣＰＵ（中央演算処理装置：以下、マイコンとも呼ぶ）で行われている。さらに機能安全的な信頼性が要求される近年では、同一の負荷を複数の制御回路で制御するような、冗長構成の負荷駆動制御装置が用いられるようになっている。

　このような負荷駆動制御装置で用いられる制御プログラムは、負荷駆動制御装置の機能アップやバグFix等を目的としたプログラムのバージョンアップ等に伴い、製品出荷後に書き換えられることがある。一般的にはＯＴＡ（Ｏｖｅｒ－Ｔｈｅ－Ａｉｒ）と呼ばれる技術である。

　車両にＯＴＡ技術を導入する場合、ＯＴＡ機能に対応するマイコンを採用する必要がある。ＯＴＡ対応のマイコンでは、現行バージョンの制御プログラムを格納するメモリ領域以外に、更新用のアップデートプログラムを格納する不揮発性のメモリ領域を持っており、外部から転送された更新用プログラムは、一旦この更新用プログラムメモリ領域に格納され、電源起動時に更新用プログラムを書き込む事により、プログラムのバージョンアップを行うのが通常である。

　この場合、マイコン内部の不揮発性メモリは、現行バージョン用と更新バージョン用の２種類のプログラムを格納する必要がある為、制御プログラムサイズの２倍以上の容量が必要となる。その為、コストを低く抑える事を目的として、マイコン内の内部不揮発性メモリの容量を少なくして、外部不揮発性メモリを用いて対応する場合もある。

　本技術分野の背景技術として、例えば、特許文献１のような技術がある。特許文献１には「第１電子制御装置（第１ＥＣＵ）における第１プログラムの書換えが完了すると、第１ＥＣＵに再起動を要求した後、書換え装置が当該書換えの成否を判定し、当該書換えが成功したと判定すると、第２電子制御装置（第２ＥＣＵ）における第２プログラムの書換えに移行する車両用プログラム書換えシステム」が開示されている。

特開２０１２－９１７５４号公報

　ところで、ＯＴＡによるマイコン制御プログラムのアップデート中は、マイコンによる負荷の駆動制御を行えない為、通常は車両の動作に影響が無いように、イグニッション（ＩＧＮ）がオフ状態である車両の動作が停止している時に実施される。

　マイコン内部の不揮発性メモリに現行バージョン用／更新バージョン用のメモリ領域を持っている場合は、現行バージョン／更新バージョンの二種類のプログラムを内蔵し、実行するプログラムを切り替える事によってバージョンアップを行うだけなので、瞬時にプログラムバージョンの切り替えが可能であり、実質的にプログラムのアップデート時間の影響は無い。

　しかしながら、低コスト化のために外部不揮発性メモリを採用した場合、更新用プログラムは外部メモリに保存されている為、更新用プログラムを外部メモリから内部メモリに書き込む（ダウンロード）する時間が必要となる。その為、内部不揮発性メモリの場合のように、瞬時にプログラムバージョンを切り替える事が出来ず、プログラムの更新開始から更新完了まで、所定の時間が必要となる。この為、ＩＧＮオフ後にプログラムの更新が開始され、更新完了となる前に再度ＩＧＮがオンされた場合、プログラム更新が完了するまで車両を動作させる事が出来ないという問題がある。

　また、１つの負荷を２つ以上の複数の制御回路で制御する冗長構成のシステムでは、複数のマイコンのプログラムを、組となるバージョンのソフトウェアで動作させる必要がある為、一旦プログラムの更新が始まると、冗長構成となっている複数のマイコンの全てのプログラム更新が終わるまでシステムを起動出来ないため、車両が動作可能となるまでさらに時間がかかるという懸念もある。

　上記特許文献１では、イグニッションスイッチがオン時に複数のＥＣＵのプログラムを順に書き換えているが、上述したような冗長系システムにおける課題やその解決方法については記載されていない。

　そこで、本発明の目的は、１つの負荷を冗長構成の複数の制御回路で制御する冗長系システムにおいて、外部不揮発性メモリを採用した場合であっても、マイコン制御プログラムの更新中に受けた起動要求を実行可能な、低コストで応答性に優れた冗長系システムを提供することにある。

　上記課題を解決するために、本発明は、１つの負荷を冗長構成の複数の制御系統で制御する冗長系システムにおいて、前記複数の制御系統の更新用プログラム信号を受信した場合、前記複数の制御系統の各々に対し所定の順に個別に制御プログラムの更新を実行し、さらに所定の１系統の制御プログラムの更新を実行中に前記負荷の起動要求を受信した場合、前記所定の１系統以外の系統により前記負荷を制御し、その間に前記所定の１系統の制御プログラムの更新を継続することを特徴とする。

　また、本発明は、１つの負荷を冗長構成の複数の制御系統で制御する冗長系システムにおいて、前記複数の制御系統の更新用プログラム信号を受信した場合、前記複数の制御系統の各々に対し所定の順に個別に制御プログラムの更新を実行し、さらに所定の１系統の制御プログラムの更新を実行中に前記負荷の起動要求を受信した場合、前記所定の１系統以外の系統により前記負荷を制御し、その間に前記所定の１系統の制御プログラムのロールバックを実行することを特徴とする。

　また、本発明は、上記のいずれかに記載の冗長系システムを備えた負荷駆動制御装置において、前記負荷は、モータ負荷であることを特徴とする。

　本発明によれば、１つの負荷を冗長構成の複数の制御回路で制御する冗長系システムにおいて、外部不揮発性メモリを採用した場合であっても、マイコン制御プログラムの更新中に受けた起動要求を実行可能な、低コストで応答性に優れた冗長系システムを実現することができる。

　これにより、低コストで操作不可期間の少ない負荷駆動制御装置を提供することができる。

　上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。

実施例１に係る負荷駆動制御装置の概略構成を示す図である。実施例１に係る負荷駆動制御装置の構成を示すブロック図である。実施例１に係る負荷駆動制御装置の動作を示すフローチャートである。実施例１に係る負荷駆動制御装置の動作を示すフローチャートである。実施例１に係る負荷駆動制御装置の動作を示すタイミングチャートである。実施例１に係る負荷駆動制御装置の動作を示すタイミングチャートである。実施例１に係る負荷駆動制御装置の動作を示すタイミングチャートである。実施例１の変形例に係る負荷駆動制御装置の動作を示すタイミングチャートである。実施例１に係る負荷駆動制御装置の外部不揮発性メモリの構成図である。実施例１に係る負荷駆動制御装置の外部不揮発性メモリの動作状態を示す図である。実施例２に係る負荷駆動制御装置の構成を示すブロック図である。図１１における制御信号出力手段の内部構成を示す図である。実施例２に係る負荷駆動制御装置の動作を示すタイミングチャートである。実施例２に係る負荷駆動制御装置の動作を示すタイミングチャートである。実施例２に係る負荷駆動制御装置の動作を示すタイミングチャートである。実施例２に係る負荷駆動制御装置の動作を示す真理値表である。実施例３に係る負荷駆動制御装置の構成を示すブロック図である。実施例３に係る負荷駆動制御装置の動作を示すフローチャートである。実施例３に係る負荷駆動制御装置の動作を示す真理値表である。実施例４に係る負荷駆動制御装置の構成を示すブロック図である。実施例４に係る負荷駆動制御装置の動作を示す真理値表である。実施例５に係る負荷駆動制御装置の概略構成を示す図である。

　以下、図面を用いて本発明の実施例を説明する。なお、各図面において同一の構成については同一の符号を付し、重複する部分についてはその詳細な説明は省略する。

　なお、以下の各実施例では、負荷の一例として電動モータを用いて説明するが、これに限定されるものではなく、電動モータ以外の負荷を駆動する場合でも同様である。

　また、１つの負荷を２系統の制御回路によって駆動する２冗長構成の負荷駆動制御回路を主に説明するが、後述するように３冗長以上の複数冗長構成の場合であっても、同様の作用効果を得ることができる。

　図１から図１０を参照して、本発明の実施例１の冗長系システム及びそれを用いた負荷駆動制御装置について説明する。

　図１は本実施例の負荷駆動制御装置の概略構成を示す図である。図１において、１は負荷駆動制御装置、２はアンテナを示し、外部から無線信号で入力される更新用プログラムの受信を行う。３は更新用プログラムのチェックを行うゲートウェイ手段、４は更新用プログラム信号である。更新用プログラム信号４は負荷駆動制御装置１の各冗長制御回路である負荷駆動制御回路（第１系統）１００、及び負荷駆動制御回路（第２系統）２００に入力される。

　５はイグニッションをオンさせてシステムを起動するためのＩＧＮ＿ＳＷ信号、６は冗長構成となっている負荷駆動制御回路１００，２００内のマイコン間の通信を行う為のマイコン相互通信信号、１１はシステム電源、１２は電源信号、１０は外部センサである。
外部センサ１０は各センサ信号８，９を出力する。これらの信号も、負荷駆動制御回路（第１系統）１００、及び負荷駆動制御回路（第２系統）２００に入力され、各負荷駆動制御回路はマイコンにプログラムされている現行バージョンプログラムにより演算を行い、負荷駆動信号１２０，２２０を出力し、モータ負荷７の駆動制御を行う。

　図２は本実施例の負荷駆動制御装置の構成を示すブロック図である。図２において、１は負荷駆動制御装置、１００，２００はそれぞれ負荷駆動制御回路（第１系統）、及び負荷駆動制御回路（第２系統）であり、モータ負荷７を駆動制御する冗長回路構成となっている。各回路構成について、以下で説明する。（以下の（）内は冗長回路の相対する回路部を示す。）
　１０１（２０１）はマイコンやその他の回路に電源を供給する電源部、１０２（２０２）は電源信号、１０３はマイコン（第1系統）であり、冗長回路構成となっているもう片方のマイコン（第２系統）（２０３）とマイコン間通信を行うマイコン間通信部１０４（２０４）経由で、マイコン相互通信信号６によってマイコン間通信が実行される。

　１０５（２０５）はマイコン間通信信号であり、フラグ制御部１０６（２０６）に入力されて、フラグ制御が行われる。フラグ信号１２５（２２５）はプログラムアップデート制御部１２４（２２４）に入力され、プログラムのアップデート制御が行われ、所定のタイミングに応じてフラグのセットやクリアを行う為のフラグ制御信号１２６（２２６）が出力される。第１系統及び第２系統の各系統の制御プログラム更新状態は、フラグとして管理される。

　また、プログラムアップデート制御部１２４（２２４）はメモリ制御信号１２７（２２７）を出力して、内部不揮発性メモリ１０９（２０９）、及び外部不揮発性メモリ１２１（２２１）の制御を行う。

　内部不揮発性メモリ１０９（２０９）はＢｏｏｔ　Ｌｏａｄｅｒ領域１１０（２１０）、Ｐｒｏｇｒａｍ　Ｆｌａｓｈ領域１１１（２１１）、Ｄａｔａ　Ｆｌａｓｈ領域１１２（２１２）より構成されており、現行バージョンプログラムは、Ｐｒｏｇｒａｍ　Ｆｌａｓｈ領域１１１（２１１）に格納され、実行されている。

　また、外部不揮発性メモリ１２１（２２１）はＵｐｄａｔｅ領域１２２（２２２）とＢａｃｋｕｐ領域１２３（２２３）から構成されており、ゲートウェイ手段３から入力された更新用プログラム信号（更新プログラム）４は、Ｕｐａｔｅ領域１２２（２２２）に格納されるような構成となっている。

　また、１１３（２１３）はモータ負荷７を駆動するための負荷駆動信号、１１４（２１４）はプリドライバ、１１５（２１５）はプリドライバ出力信号、１１６（２１６）はインバータ回路部である。インバータ回路部１１６（２１６）はインバータ信号１１７（２１７）を出力する。インバータ信号１１７（２１７）はマイコン１０３（２０３）から供給されるセフティリレー制御信号１１９（２１９）によって制御されるセフティリレー１１８（２１８）を介して負荷駆動信号１２０（２２０）としてモータ負荷７に出力され、モータ負荷７が駆動制御されるような構成となっている。

　次に、本実施例の負荷駆動制御装置の動作について、図３から図７を用いて説明する。
図３は本実施例の負荷駆動制御装置の動作を示すフローチャートである。

　第２系統のプログラム更新中にＩＧＮがオンされた場合は、図３のように動作する。先ず、マイコンの更新用プログラムが受信され、第１系統及び第２系統それぞれの外部不揮発性メモリ１２１（２２１）内のＵｐｄａｔｅ領域１２２（２２２）に格納される。（ステップ４００）
　そして、ＩＧＮがオフになると（ステップ４０１）、第１系統のフラグ情報“１”がＤａｔａ　Ｆｌａｓｈ領域１１２の特定領域に書き込まれる。（ステップ４０２）
　その後、外部不揮発性メモリ１２１のＵｐｄａｔｅ領域１２２から更新プログラムが読み出されて、第１系統のマイコンプログラムの更新が開始される。（ステップ４０３）
　そして、第１系統の更新の完了／未完了が判定され（ステップ４０４）、完了したと判定されると、Ｄａｔａ　Ｆｌａｓｈ領域１１２の特定領域に書き込まれていたフラグ情報が消去されて“０”となり（ステップ４０５）、続いて第２系統のフラグ情報“１”がＤａｔａ　Ｆｌａｓｈ領域２１２の特定領域に書き込まれ（ステップ４０６）、第２系統のプログラム更新が開始される。（ステップ４０７）
　第２系統の更新途中でＩＧＮがオンになった場合（ステップ４０８）、ＩＧＮのオン指示に従い、負荷駆動制御システムは起動してモータ負荷７の駆動を開始する。この時、第２系統のプログラムは更新をしている途中なので、第１系統の負荷駆動制御回路１００のみで、モータ負荷７は駆動制御される。（ステップ４１２）
　この時、第２系統のプログラムの更新は継続して実行されており（ステップ４１３）、更新が完了すると（ステップ４１４）、Ｄａｔａ　Ｆｌａｓｈ領域２１２の特定領域に書き込まれているフラグ情報が消去されて“０”となり（ステップ４１５）、第２系統によるモータ負荷７の駆動制御が開始され（ステップ４１６）、第１系統と第２系統の冗長構成での通常制御動作となる。（ステップ４１７）
　第２系統更新中にＩＧＮがオンされずに第２系統の更新が完了した場合は（ステップ４０９）、更新完了後にＤａｔａ　Ｆｌａｓｈ領域２１２の特定領域に書き込まれているフラグ情報は消去されて“０”となり（ステップ４１０）、ＯＴＡによるプログラム更新は終了する。（ステップ４１１）そして、次にＩＧＮがオンされた後、第１系統及び第２系統とも新しく更新されたプログラムによってモータ負荷７が駆動される。

　つまり、図３に示す本実施例の冗長系システムは、１つの負荷（モータ負荷７）を冗長構成の複数の制御系統（負荷駆動制御回路１００，２００）で制御する冗長系システムにおいて、複数の制御系統（負荷駆動制御回路１００，２００）の更新用プログラム信号４を受信した場合、複数の制御系統（負荷駆動制御回路１００，２００）の各々に対し所定の順に個別に制御プログラムの更新を実行し、さらに所定の１系統（負荷駆動制御回路２００：第２系統）の制御プログラムの更新を実行中に負荷（モータ負荷７）の起動要求（ＩＧＮ＿ＳＷ信号５）を受信した場合、所定の１系統以外の系統（負荷駆動制御回路１００：第１系統）により負荷（モータ負荷７）を制御し、その間に所定の１系統（負荷駆動制御回路２００：第２系統）の制御プログラムの更新を継続する。

　一方、第１系統のプログラムを更新している時にＩＧＮがオンされた場合は、図４のように動作する。先ず、マイコンの更新用プログラムが受信され、第１系統及び第２系統それぞれの外部不揮発性メモリ１２１（２２１）内のＵｐｄａｔｅ領域１２２（２２２）に格納される。（ステップ４００）
　そして、ＩＧＮがオフになると（ステップ４０１）、第１系統のフラグ情報“１”がＤａｔａ　Ｆｌａｓｈ領域１１２の特定領域に書き込まれる。（ステップ４０２）
　その後、外部不揮発性メモリ１２１のＵｐｄａｔｅ領域１２２から更新プログラムが読み出されて、第１系統のマイコンプログラムの更新が開始される。（ステップ４０３）
　そして、第１系統の更新中にＩＧＮのオン／オフが判定され（ステップ４２０）、オンしたと判定されると、先ず第２系統のみによるモータ負荷７の駆動制御が開始される。（ステップ４２１）
　その後、外部不揮発性メモリ１２１のＢａｃｋｕｐ領域１２３から更新前のプログラムが読み出されて、第１系統の更新中のプログラムがロールバックされる（プログラムを更新前の状態に戻す）。（ステップ４２２）
　ロールバックが完了すると（ステップ４２３）、Ｄａｔａ　Ｆｌａｓｈ領域１１２の特定領域に書き込まれているフラグ情報が消去されて“０”となる（ステップ４２４）。

　その後、第１系統の駆動制御が開始されて（ステップ４２５）、第１系統及び第２系統とも、更新前のプログラムによる冗長構成での通常制御動作となる。（ステップ４２６）
　つまり、図４に示す本実施例の冗長系システムは、１つの負荷（モータ負荷７）を冗長構成の複数の制御系統（負荷駆動制御回路１００，２００）で制御する冗長系システムにおいて、複数の制御系統（負荷駆動制御回路１００，２００）の更新用プログラム信号４を受信した場合、複数の制御系統（負荷駆動制御回路１００，２００）の各々に対し所定の順に個別に制御プログラムの更新を実行し、さらに所定の１系統（負荷駆動制御回路１００：第１系統）の制御プログラムの更新を実行中に負荷（モータ負荷７）の起動要求（ＩＧＮ＿ＳＷ信号５）を受信した場合、所定の１系統以外の系統（負荷駆動制御回路２００：第２系統）により負荷（モータ負荷７）を制御し、その間に所定の１系統（負荷駆動制御回路１００：第１系統）の制御プログラムのロールバックを実行する。

　この動作を図５から図７のタイミングチャートで、さらに詳細に説明する。

　図５は第１系統及び第２系統の各プログラム更新中に、ＩＧＮがオンされなかった場合を示している。この場合は、ＩＧＮオフ後に第１系統⇒第２系統の順にプログラムが更新され、第１系統、第２系統とも更新が完了した後、次にＩＧＮがオンされた後に第１／第２系統（全系統）による冗長駆動制御が行われる。

　図６は第２系統のプログラム更新中にＩＧＮがオンされた場合を示しており、ＩＧＮオン直後は第１系統のみで制御を行いながら第２系統のプログラム更新を継続し、第２系統の更新完了後に、第１／第２系統（全系統）による冗長駆動制御が行われる。

　図７は第１系統のプログラム更新中にＩＧＮがオンされた場合を示しており、ＩＧＮオン直後は第２系統のみで制御を行いながら第１系統のプログラムのロールバックを行い、ロールバック完了後に、第１／第２系統（全系統）による冗長駆動制御が行われる。

　このような制御を行う事により、第１系統、第２系統どちらが更新中の場合でも、ＩＧＮオン後に更新完了を待つ事なく、すぐにモータ負荷７の駆動制御を開始する事が出来る。

　また、図６に示すように、第２系統の更新中にＩＧＮオンとなった場合は第２系統のプログラムの更新を継続し、図７に示すように、第１系統の更新中にＩＧＮオンとなった場合は第１系統のロールバックにより更新前の状態に戻す事により、第１系統、第２系統のプログラムのバージョンが異なる状態になる事なく、最短の時間で通常状態に復帰させる事が可能となり、信頼性の高い負荷駆動制御装置を提供する事が出来る。

　なお、本実施例は２系統による冗長構成の場合について説明している為、プログラム更新は第１系統⇒第２系統の順に実施され、全体のプログラム更新時間の半分のポイント、つまり第１系統の更新中のＩＧＮオンではロールバック制御、第２系統更新中の場合は更新継続制御となっている。

　３系統以上の冗長構成の場合でも同様にすることも可能であり、図８に示す変形例のように、第１系統⇒第２系統⇒第３系統の順でプログラムが更新される場合は、全体のプログラム更新時間の半分のポイント（図８の符号４３０）、つまり第２系統の更新時間の中央ポイントより前にＩＧＮがオンされた場合はロールバック制御となり、中央ポイントより後にＩＧＮがオンされた場合は更新継続制御とする事により、２系統の冗長制御時と同様に、常に最短の時間で通常状態に復帰させる事が可能となり、信頼性の高い負荷駆動制御装置を提供する事が出来る。

　つまり、図８に示す本実施例の冗長系システムは、負荷（モータ負荷７）の起動要求（ＩＧＮ＿ＳＷ信号５）を受信した際、複数の制御系統（第１系統，第２系統，第３系統）の全制御プログラム更新時間の半分未満であれば所定の１系統（第２系統）の制御プログラムのロールバックを実行し、全制御プログラム更新時間の半分以上であれば所定の１系統（第２系統）の制御プログラムの更新を継続する。

　また、本実施例においては、次のような効果もある。図９及び図１０は製品出荷時等における外部不揮発性メモリの初期状態、及び更新プログラムがダウンロードされてプログラムが更新された場合の外部不揮発性メモリ１２１のプログラム格納領域、内部不揮発性メモリのＰｒｏｇｒａｍ　Ｆｌａｓｈ領域１１１と、更新プログラムの格納の状態を示す構成図である。

　図９に示すように、外部不揮発性メモリ１２１には、Ｕｐｄａｔｅ用のプログラムとＢａｃｋｕｐ用のプログラムを格納する為に、領域１（１２１ａ）と、領域２（１２１ｂ）のように、複数の領域が確保されている。外部不揮発性メモリの製品出荷時における初期状態においては、領域１側には出荷時プログラム４５０が書き込まれている。

　外部不揮発性メモリ内に更新プログラム４がダウンロードされた場合は、図１０のような動作となる。先ず、１回目にダウンロードされた更新プログラム＃１（４５１）は、領域２側に書き込まれる。これにより、領域２側のプログラムがＵｐｄａｔｅ用となり、出荷時プログラム４５０はＢａｃｋｕｐ用となる。その後、ＩＧＮがオフされた後、領域２（１２１ｂ）中の更新プログラム＃１（４５１）を読み出して、内部不揮発性メモリのＰｒｏｇｒａｍ　Ｆｌａｓｈ領域１１１の内容を更新する。

　２回目にダウンロードされた更新プログラム＃２（４５２）は、領域１側に書き込まれ、領域２側のプログラムは変更されない。その為、領域１側のプログラムがＵｐｄａｔｅ用となり、領域２側のプログラムはＢａｃｋｕｐ用となる。そしてＩＧＮがオフされた後、領域１（１２１ａ）中の更新プログラム＃２（４５２）を読み出して、内部不揮発性メモリのＰｒｏｇｒａｍ　Ｆｌａｓｈ領域１１１の内容を同様に更新する。

　３回目にダウンロードされた更新プログラム＃３（４５３）は、領域２側に書き込まれ、領域１側のプログラムは変更されない。その為、領域２側のプログラムがＵｐｄａｔｅ用となり、領域１側のプログラムはＢａｃｋｕｐ用となる。そしてＩＧＮがオフされた後、領域２（１２１ｂ）中の更新プログラム＃３（４５３）を読み出して、内部不揮発性メモリのＰｒｏｇｒａｍ　Ｆｌａｓｈ領域１１１の内容の更新を開始する。

　しかし、開始後すぐにＩＧＮがオンされ、もしまだ内部不揮発性メモリのＰｒｏｇｒａｍ　Ｆｌａｓｈ領域１１１が更新途中であり、ロールバックを行った方が通常状態への復帰が早い場合には、領域１（１２１ａ）からＢａｃｋｕｐ用として保持されている更新プログラム＃２（４５２）を読み出して、Ｐｒｏｇｒａｍ　Ｆｌａｓｈ領域１１１の内容を元の更新プログラム＃２（４５２）が書き込まれている状態へと書き戻して、ロールバック処理を行う。

　その後、再度ＩＧＮがオフされた後、領域２（１２１ｂ）中の更新プログラム＃３（４５３）を読み出して、Ｐｒｏｇｒａｍ　Ｆｌａｓｈ領域１１１の内容を、更新プログラム＃３（４５３）へと更新する。

　つまり、図１０に示す本実施例の冗長系システムは、負荷（モータ負荷７）の起動要求（ＩＧＮ＿ＳＷ信号５）を受信した際、更新完了系統数が全系統数の半分未満であれば所定の１系統の制御プログラムのロールバックを実行し、更新完了系統数が全系統数の半分以上であれば所定の１系統の制御プログラムの更新を継続する。

　また、複数の制御系統（負荷駆動制御回路１００，２００）の各系統の補正データを記憶する不揮発性メモリ（内部不揮発性メモリ１０９（２０９））を有し、所定の１系統の制御プログラムの更新、若しくは、ロールバックが完了した後、不揮発性メモリ（内部不揮発性メモリ１０９（２０９））に記憶してある各系統の補正データを読み出し、当該読み出した補正データを用いて全系統で負荷（モータ負荷７）を制御する。

　また、複数の制御系統（負荷駆動制御回路１００，２００）の各々は、制御プログラムの書き込みを制御するマイコン１０３（２０３）と、マイコン１０３（２０３）の外部に配置される外部不揮発性メモリ１２１（２２１）を有し、外部不揮発性メモリ１２１（２２１）は、更新用プログラムとバックアップ用プログラムを記憶しており、更新用プログラム信号４を受信した場合、前回バックアップ用であったプログラムに当該受信した更新用プログラムを上書きし、前回更新用であったプログラムをバックアップ用として用いる。

　このように、ダウンロードされた更新プログラム４を、外部不揮発性メモリ１２１中の各領域に交互に格納する事により、常にＵｐｄａｔｅ用／Ｂａｃｋｕｐ用を区別して保存出来る。

　また、初期状態において、出荷時プログラム４５０を予め外部不揮発性メモリ１２１に格納しておく事により、１回目のプログラム更新時から、Ｂａｃｋｕｐ用プログラムとＵｐｄａｔｅ用プログラムを区別して保存しておく事が出来るので、上記で説明したような、ＩＧＮ＿ＳＷオン時のプログラムの更新／ロールバックの動作を円滑に行う事が可能となる。

　また、プログラム更新の都度、Ｕｐｄａｔｅ用プログラムをＢａｃｋｕｐ用プログラム領域に書き換えたり、マイコンの内部不揮発性メモリのデータを外部不揮発性メモリに書き込んだりする等の処理が不要となり、ＣＰＵの負荷や書き込み時間の増加を防止する事が出来るので、より効率的に外部不揮発性メモリを使用した制御を行う事が可能となる。

　なお、本実施例において、ゲートウェイ手段３を経由して信号が入力されるような構成となっているが、必ずしも必須となる手段ではなく、ゲートウェイ手段３を経由する事なく、外部から直接更新用プログラム信号４が入力された場合でも、同様の動作となる事は明らかである。

　また、本実施例では、Ｕｐｄａｔｅ用／Ｂａｃｋｕｐ用のプログラムをマイコン１０３（２０３）に接続された外付け不揮発性メモリ１２１（２２１）に記憶する構成として説明したが、ゲートウェイ手段３に不揮発性メモリを保持させ、第１／第２系統それぞれのＵｐｄａｔｅ用／Ｂａｃｋｕｐ用のプログラムを記憶させておき、更新／ロールバックの状況に応じて、通信部１０７（２０７）を経由してデータを要求し、書き換えを行っても同等な動作を実現できる事は明らかである。

　なお、本実施例では、システム電源１１は単一構成となっているが、別のシステム電源からも供給される冗長構成となっていても良い。

　図１１から図１６を参照して、本発明の実施例２の冗長系システム及びそれを用いた負荷駆動制御装置について説明する。

　図１１は本実施例の負荷駆動制御装置の構成を示すブロック図である。図１１に示すように、本実施例の負荷駆動制御装置１は、マイコン１０３（２０３）内に制御信号出力手段１２９（２２９）が設けられている点において、実施例１（図２）の負荷駆動制御装置と異なっている。

　また、制御信号出力手段１２９（２２９）にはフラグ信号１２５（２２５）が入力され、モータ負荷７を駆動するための負荷駆動信号１１３（２１３）、及びセフティリレー制御信号１１９（２１９）を出力する。それ以外は実施例１と同様である。

　図１２は制御信号出力手段１２９（２２９）の内部構成を示す図である。図１２において、１２９（２２９）は制御信号出力手段であり、１２９ａ（２２９ａ）は入力されるフラグ信号１２５（２２５）に応じてセフティリレー制御信号１１９（２１９）及び負荷駆動信号１１３（２１３）の出力を制限するゲート回路、１２９ｂ（２２９ｂ）はセフティリレー信号制御部、１２９ｃ（２２９ｃ）はセフティリレー信号制御信号、１２９ｄ（２２９ｄ）は負荷駆動信号制御部、１２９ｅ（２２９ｅ）は負荷駆動信号制御信号、１２９ｆ（２２９ｆ）は入力されたフラグ信号を反転する反転バッファである。

　次に、本実施例の負荷駆動制御装置の動作を図１３から図１６を用いて説明する。図１３は第１系統及び第２系統の各プログラム更新中にＩＧＮがオンされなかった場合を示している。実施例１で説明した通り、ＩＧＮオフにより第１系統のプログラムの更新が開始され、第１系統の更新フラグに“１”が書き込まれ、フラグ信号１２５は“１”となり、制御信号出力手段１２９に入力される。

　この場合、反転バッファ１２９ｆによって信号が反転されて“０”がゲート回路１２９ａに入力されるため、図１３の符号５００に示すように、第１系統更新フラグが“１”の期間は、第１系統のセフティリレー制御信号１１９、及び負荷駆動信号１１３は強制的に出力が停止される事となる。

　第２系統のプログラムが更新される場合も同様であり、第２系統の更新時には第２系統の更新フラグが“１”となっている為、制御信号出力手段２２９には“１”のフラグ信号２２５入力がされる。この場合、反転バッファ２２９ｆによって信号が反転されて“０”がゲート回路２２９ａに入力されるため、図１３の符号５０１に示すように、第２系統の更新フラグが“１”の期間は、第２系統のセフティリレー信号２１９、及び負荷駆動信号２１３は強制的に出力が停止される事となる。

　図１４は第２系統のプログラムの更新中にＩＧＮがオンされた場合を示している。図１４の場合は、第２系統のプログラム更新中にＩＧＮがオンされる為、プログラム更新中にモータ負荷７が動作を始める事となるが、図１３でも説明した通り、第２系統のプログラム更新中は第２系統更新フラグが“１”となっている為、制御信号出力手段２２９の動作により、第２系統のセフティリレー制御信号２１９、及び負荷駆動信号２１３は強制的に出力が停止されている。（図１４の符号５０３）
　この結果、モータ負荷７の制御はプログラムの更新が終わっている第１系統のみで実施される事となり、モータ負荷７を正常に動作させる事が可能となる。

　図１５は第１系統のプログラムの更新中にＩＧＮがオンされた場合を示している。図１５の場合は、第１系統のプログラム更新中にＩＧＮがオンされる為、プログラム更新中にモータ負荷７が動作を始める事となるが、図１３、図１４でも説明した通り、第１系統のプログラム更新中は第１系統更新フラグが“１”となっている為、制御信号出力手段１２９の動作により、第１系統のセフティリレー制御信号１１９、及び負荷駆動信号１１３は強制的に出力が停止されている。（図１５の符号５０４）
　よって、モータ負荷７の制御はプログラムの更新が行われていない第２系統のみで実施される事となり、モータ負荷７を正常に動作させる事が可能となる。

　これにより、各系統のプログラム更新時は、各系統のフラグ信号１２５（２２５）、もしくはフラグ信号に準拠した信号により、セフティリレー制御信号や負荷駆動信号が確実に出力停止状態となる為、プログラム更新中に誤って負荷駆動信号が出力されて、モータ負荷７の動作異常となる事がなくなり、信頼性の高い負荷駆動制御装置を提供する事が出来る。

　また、実施例１及び実施例２に記載のフラグ制御部１０６（２０６）には、次のようなメリットもある。図２及び図１１のブロック図に示す通り、第１系統のマイコン１０３と第２系統のマイコン２０３は、マイコン相互通信信号６によって接続されており、お互いに他方のフラグ情報をモニターするような構成となっており、互いのフラグ状態を把握する事が可能な構成となっている。

　この時、図１６の真理値表に示すように、第１系統フラグと第２系統フラグの相互モニターを行い、互いに同時“１”の状態になる事を禁止する事により、第１系統と第２系統が同時にプログラム更新状態にならないような制御を実現する事が可能となる。

　本実施例の冗長系システムでは、複数の制御系統（負荷駆動制御回路１００，２００）の各々は、フラグ信号１２５（２２５）に基づき制御信号（負荷駆動信号１１３（２１３）及びセフティリレー制御信号１１９（２１９））を出力する制御信号出力手段１２９（２２９）を有し、フラグ信号１２５（２２５）が異常状態となった場合、制御信号出力手段１２９（２２９）からの制御信号（負荷駆動信号１１３（２１３）及びセフティリレー制御信号１１９（２１９））により負荷（モータ負荷７）の制御を制限する。

　また、複数の制御系統（負荷駆動制御回路１００，２００）の各系統の制御プログラム更新状態に応じて、制御信号出力手段１２９（２２９）からの制御信号（負荷駆動信号１１３（２１３）及びセフティリレー制御信号１１９（２１９））により負荷（モータ負荷７）の制御を制限する。

　これにより、各系統のプログラムが同時に更新される事がなくなり、いずれの系統のプログラムが更新中にＩＧＮがオンされた場合でも、プログラム更新されていない系統によってすぐにモータ負荷７の動作が開始される為、信頼性が高く、なおかつ、使いやすい負荷駆動制御装置を提供する事が出来る。

　図１７から図１９を参照して、本発明の実施例３の冗長系システム及びそれを用いた負荷駆動制御装置について説明する。

　図１７は本実施例の負荷駆動制御装置の構成を示すブロック図である。図１７に示すように、本実施例の負荷駆動制御装置１は、インジゲータ表示部１３が設けられており、ＩＧＮ＿ＳＷ信号５、フラグ信号１２５（２２５）がインプットされ、運転者に負荷駆動制御回路の状態を明示するインジゲータの表示を行うような構成となっている点において実施例２（図１１）の負荷駆動制御装置と異なっている。

　また、内部不揮発性メモリ１０９（２０９）は図２に示すように、Ｂｏｏｔ　Ｌｏａｄｅｒ領域１１０（２１０）、Ｐｒｏｇｒａｍ　Ｆｌａｓｈ領域１１１（２１１）、Ｄａｔａ　Ｆｌａｓｈ領域１１２（２１２）より構成されており、例えばシステム制御を行う為のキャリブレーション用のデータをＤａｔａ　Ｆｌａｓｈ領域１１２（２１２）に格納される事となる。

　次に、本実施例の負荷駆動制御装置のシステム動作を、図１８を用いて説明する。ゲートウェイ手段３を経由して更新用プログラム信号４がダウンロードされた後（ステップ３００）、各外部不揮発性メモリ（Ｕｐｄａｔｅ領域）に格納される（ステップ３０１）。

　その後、ＩＧＮ＿ＳＷがオフされると（ステップ３０２）、システムのキャリブレーション用データがＤａｔａ　Ｆｌａｓｈ領域１１２，２１２に格納される（ステップ３０３）。

　その後、第１系統のＦｌａｇ情報“１”が書き込まれ（ステップ３０４）、第１系統のプログラム更新が開始される（ステップ３０５）。

　更新完了となる前にＩＧＮ＿ＳＷがオンになると、システム動作は第２系統単独で起動する（ステップ３２７）。この場合、第１系統はプログラム更新を行っており、第２系統のみで動作している為、それを運転者に知らせる為のインジケータ表示が行われる（ステップ３２８）。

　ここで、第１系統及び第２系統の各フラグ情報、及びＩＧＮ＿ＳＷによるインジケータの表示状態について、図１９を用いて説明する。ＩＧＮ＿ＳＷがＯＦＦ状態の場合は、モータ負荷７の駆動は行われていない為、フラグ情報に関わらずインジケータの表示は行わず、非表示となる。（Ｎｏ．１～Ｎｏ．４）
　一方、ＩＧＮ＿ＳＷがＯＮ状態の場合、つまりモータ負荷７の駆動が行われている場合、フラグ情報が“１”の状態、つまりプログラムの更新が行われている場合は、インジケータを表示させる。（Ｎｏ．６～Ｎｏ．８）
　これにより、運転者は冗長構成となっているシステムの片系統側のみで動作している事を把握可能となり、例えば片系統のみの制御による出力不足等の動作異常を感じても、それに応じた適切な安全操作等の対応が可能となる。

　また、インジケータにより状態を運転者に知らせる事が出来るので、運転者に対して不必要な不安を感じさせる事がないというメリットもある。

　上記は、第２系統側のプログラム更新時に、第１系統のみ単独で動作している場合（ステップ３１６）でも同様であり、第２系統のプログラム更新が完了する前にＩＧＮがオンされて、第１系統が単独で動作を開始すると（ステップ３１６）、図１９に示すように、これを運転者に知らせる為のインジケータ表示が行われる（ステップ３１７）。

　これにより、運転者は冗長構成となっているシステムの片系統側のみで動作している事を把握可能となり、例えば片系統のみの制御による出力不足等の動作異常を感じても、それに応じた適切な安全操作等の対応が可能となる。

　なお、図１６で説明した通り、第１系統／第２系統のフラグ情報がどちらも“１”の状態は禁止されており、この状態（図１９のＮo.８）になる事は無いが、何らかの要因によりＮｏ．８の状態が発生した場合に備えて、この状態をインジケータを表示させる事により、運転者に明らかな異常状態を知らせる事が出来るというメリットもある。

　また、本実施例には、次のような効果もある。更新用プログラム信号４がダウンロードされて各系統の外部不揮発性メモリに格納された後（ステップ３０１）、ＩＧＮ＿ＳＷオフ後に各系統のプログラム更新を行うが、更新の前にシステムのキャリブレーションデータを内部不揮発性メモリのＤａｔａ　Ｆｌａｓｈ領域１１２、もしくは２１２に退避・格納する（ステップ３０３）。

　第１系統のプログラム更新後、第２系統を更新中にＩＧＮがオンすると、第1系統のみの単独モードで起動し（ステップ３１６）、その間にも第２系統の更新を継続し、更新が完了となった時点で第２系統を再起動し（ステップ３２０）、通常駆動モードに移行するような制御となる。

　この際、システムのキャリブレーション用のデータを予めＤａｔａ　Ｆｌａｓｈ領域１１２、もしくは２１２に退避させている為、第２系統を再起動させた場合でも、再度キャリブレーションを行う事なく、退避させたキャリブレーション用データを読み込んで復元する（ステップ３２１）だけで、通常モードに移行して正常なモータ負荷７の制御を行う事が可能となり、使い勝手の良い負荷駆動制御装置を提供する事が出来る。

　この動作は、第１系統のプログラム更新中にＩＧＮがオンされた場合でも同様であり（ステップ３０６）、ＩＧＮがオン後に第２系統単独で駆動を開始し（ステップ３２７）、第１系統のプログラムはRollbackが行われる（ステップ３２９）。

　Rollbackが完了すると第１系統の再起動が行われて（ステップ３３１）、通常モードに移行するが、退避させていたキャリブレーションデータを読み込んで、データを復元させる事により（ステップ３３２）、第１系統の再起動後にシステムのキャリブレーションを行う事なく、第１系統を通常モードで動作させる事が可能となる。よって、使い勝手の良い負荷駆動制御装置を提供する事が出来る。

　図２０及び図２１を参照して、本発明の実施例４の冗長系システム及びそれを用いた負荷駆動制御装置について説明する。

　図２０は本実施例の負荷駆動制御装置の構成を示すブロック図である。図２０に示すように、本実施例の負荷駆動制御装置１は、通信手段１４が設けられており、ＩＧＮ＿ＳＷ信号５、第１系統及び第２系統の各フラグ制御信号１２５，２２５が入力される。

　また、通信手段１４は外部のＥＣＵ（図示せず）と接続されて通信を行うような構成となっており、ＥＣＵ通信信号１５により外部のＥＣＵとの通信を行う。それ以外は実施例１から３と同様である。

　次に、本実施例の負荷駆動制御装置の動作について、図２１を用いて説明する。図２１は、第１系統及び第２系統の各フラグ情報、及びＩＧＮ＿ＳＷによる通信手段１４の状態を説明している。ＩＧＮ＿ＳＷがＯＦＦ状態の場合は、モータ負荷７の駆動は行われていない為、フラグ情報に関わらず外部ＥＣＵへの通信は行われない。

　一方、ＩＧＮ＿ＳＷがＯＮ状態の場合、つまりモータ負荷７の駆動が行われている場合、第１系統もしくは第２系統のフラグ情報が“１”の状態、つまりプログラムの更新が行われている場合は、通信手段１４からＥＣＵ通信信号１５により、外部ＥＣＵへの通信を実施する。

　これにより、外部ＥＣＵは冗長構成となっているシステムの片系統側のみで動作している事を把握可能となり、それに応じた適切な安全操作等の対応が可能となる。

　なお、図１６で説明した通り、第１系統／第２系統のフラグ情報がどちらも“１”の状態は禁止されており、この状態（図２１のＮｏ．８）になる事は無いが、何らかの要因によりＮｏ．８の状態が発生した場合でも、外部ＥＣＵへの通信を行う事により、外部ＥＣＵに異常を知らせる事が出来るというメリットもある。

　図２２を参照して、本発明の実施例５の冗長系システム及びそれを用いた負荷駆動制御装置について説明する。

　図２２は本実施例の負荷駆動制御装置の概略構成を示す図である。図２２において、９００は負荷駆動制御回路であり、第１系統負荷駆動制御回路（１００）、第２系統負荷駆動制御回路（２００）以外の、３系統目以上（第Ｎ系統）の負荷駆動制御回路を示している。また、ＩＧＮ＿ＳＷ信号５は各負荷駆動制御回路に入力されており、各系統毎のフラグ信号（１２５，２２５，９２５）と共にインジケータ表示部１３、及び通信手段１４に入力されている。それ以外は実施例１と同様である。

　実施例１から実施例４は主に２系統冗長系による動作について、本発明の説明を行ってきたが、図２２に示すように、３系統以上の冗長系であっても、本発明の動作やメリットは同様であり、例えば３系統の冗長系の場合は、図８で説明した通り、全体のプログラム更新時間の半分より前にＩＧＮ＿ＳＷがオンした場合はロールバック制御となり、半分より後にＩＧＮ＿ＳＷがオンした場合は、継続してプログラム更新制御となる。

　また、各系統毎のフラグ信号（１２５，２２５，９２５）、及びＩＧＮ＿ＳＷ信号５がインジケータ表示部１３、通信手段１４に入力されており、プログラム更新中にＩＧＮ＿ＳＷがオンされた場合に、特定の系統のみでのモータ負荷７の制御が行われた場合でも、インジケータ表示部１３もしくはＥＣＵ通信信号１５により、それを運転者、もしくは外部ＥＣＵに通知する事により、システムの一部系統のみで動作している事を把握可能となり、それに応じた適切な安全操作等の対応が可能となる。

　なお、以上で説明した各実施例では、モータ負荷７を駆動する各系統負荷駆動制御回路は対称な構成として示したが、必ずしもこれに限定されるものではなく、非対称な冗長構成であってもかまわない。

　これに伴い、各冗長系のプログラム更新時間に差異が出る可能性もあるが、プログラム更新にかかる時間の全体の半分より前にＩＧＮ＿ＳＷがオンした場合はロールバック制御、半分より後にＩＧＮ＿ＳＷがオンした場合は、継続してプログラム更新制御とすることで、常に最短の時間で通常状態に復帰させる事が可能となる。

　また、以上説明した各実施例において、モータ負荷７を自動車の電動パワーステアリング用モータとすることで、高信頼で応答性の高い電動パワーステアリングシステムを実現することができる。或いは、モータ負荷７を自動車の車輪を駆動するモータとすることで、高信頼で応答性の高い自動車の駆動システムを実現することができる。

　なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。
例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。

　１：負荷駆動制御装置
　２：アンテナ
　３：ゲートウェイ手段
　４：更新用プログラム信号（更新プログラム）
　５：ＩＧＮ＿ＳＷ信号
　６：マイコン相互通信信号
　７：モータ負荷
　８，９：センサ信号
　１０：外部センサ
　１１：システム電源
　１２：電源信号
　１３：インジゲータ表示部
　１４：通信手段
　１５：ＥＣＵ通信信号
　１００：負荷駆動制御回路（第１系統）
　１０１（２０１）：電源部
　１０２（２０２）：電源信号
　１０３（２０３）：マイコン
　１０４（２０４）：マイコン間通信部
　１０５（２０５）：マイコン間通信信号
　１０６（２０６）：フラグ制御部
　１０７（２０７）：通信部
　１０９（２０９）：内部不揮発性メモリ
　１１０（２１０）：Ｂｏｏｔ　Ｌｏａｄｅｒ領域
　１１１（２１１）：Ｐｒｏｇｒａｍ　Ｆｌａｓｈ領域
　１１２（２１２）：Ｄａｔａ　Ｆｌａｓｈ領域
　１１３（２１３）：負荷駆動信号
　１１４（２１４）：プリドライバ
　１１５（２１５）：プリドライバ出力信号
　１１６（２１６）：インバータ回路部
　１１７（２１７）：インバータ信号
　１１８（２１８）：セフティリレー
　１１９（２１９）：セフティリレー制御信号
　１２０，２２０：負荷駆動信号
　１２１（２２１）：外部不揮発性メモリ
　１２１ａ：領域１
　１２１ｂ：領域２
　１２２（２２２）：Ｕｐｄａｔｅ領域
　１２３（２２３）：Ｂａｃｋｕｐ領域
　１２４（２２４）：プログラムアップデート制御部
　１２５（２２５）：フラグ信号
　１２６（２２６）：フラグ制御信号
　１２７（２２７）：メモリ制御信号
　１２９（２２９）：制御信号出力手段
　１２９ａ（２２９ａ）：ゲート回路
　１２９ｂ（２２９ｂ）：セフティリレー信号制御部
　１２９ｃ（２２９ｃ）：セフティリレー信号制御信号
　１２９ｄ（２２９ｄ）：負荷駆動信号制御部
　１２９ｅ（２２９ｅ）：負荷駆動信号制御信号
　１２９ｆ（２２９ｆ）：反転バッファ
　２００：負荷駆動制御回路（第２系統）
　２２５：フラグ信号
　４５０：（外部不揮発性メモリの）出荷時プログラム
　４５１：更新プログラム＃１
　４５２：更新プログラム＃２
　４５３：更新プログラム＃３
　９００：負荷駆動制御回路（第Ｎ系統）

Claims

　１つの負荷を冗長構成の複数の制御系統で制御する冗長系システムにおいて、
　前記複数の制御系統の更新用プログラム信号を受信した場合、前記複数の制御系統の各々に対し所定の順に個別に制御プログラムの更新を実行し、
　さらに所定の１系統の制御プログラムの更新を実行中に前記負荷の起動要求を受信した場合、前記所定の１系統以外の系統により前記負荷を制御し、その間に前記所定の１系統の制御プログラムの更新を継続する冗長系システム。
　１つの負荷を冗長構成の複数の制御系統で制御する冗長系システムにおいて、
　前記複数の制御系統の更新用プログラム信号を受信した場合、前記複数の制御系統の各々に対し所定の順に個別に制御プログラムの更新を実行し、
　さらに所定の１系統の制御プログラムの更新を実行中に前記負荷の起動要求を受信した場合、前記所定の１系統以外の系統により前記負荷を制御し、その間に前記所定の１系統の制御プログラムのロールバックを実行する冗長系システム。
　請求項１または２に記載の冗長系システムにおいて、
　前記複数の制御系統は、第１系統と前記第１系統と異なる第２系統とを有し、
　前記第１系統の制御プログラムの更新が完了した後に前記第２系統の制御プログラムの更新を実行する冗長系システム。
　請求項１または２に記載の冗長系システムにおいて、
　前記所定の１系統の制御プログラムの更新、若しくは、ロールバックが完了した後に前記所定の１系統および前記所定の１系統以外の系統の全系統により前記負荷を制御する冗長系システム。
　請求項１または２に記載の冗長系システムにおいて、
　前記負荷の起動要求を受信した際、前記複数の制御系統の全制御プログラム更新時間の半分未満であれば前記所定の１系統の制御プログラムのロールバックを実行し、全制御プログラム更新時間の半分以上であれば前記所定の１系統の制御プログラムの更新を継続する冗長系システム。
　請求項１または２に記載の冗長系システムにおいて、
　前記負荷の起動要求を受信した際、更新完了系統数が全系統数の半分未満であれば前記所定の１系統の制御プログラムのロールバックを実行し、更新完了系統数が全系統数の半分以上であれば前記所定の１系統の制御プログラムの更新を継続する冗長系システム。
　請求項１または２に記載の冗長系システムにおいて、
　前記所定の１系統以外の系統により前記負荷を制御している場合、通知手段により乗員へ通知する冗長系システム。
　請求項１または２に記載の冗長系システムにおいて、
　前記所定の１系統以外の系統により前記負荷を制御する場合、通信手段により上位ＥＣＵへ通知する冗長系システム。
　請求項１または２に記載の冗長系システムにおいて、
　前記複数の制御系統の各系統の制御プログラム更新状態をフラグとして管理する冗長系システム。
　請求項９に記載の冗長系システムにおいて、
　前記複数の制御系統の各々は、前記フラグに基づき制御信号を出力する制御信号出力手段を有し、
　前記フラグが異常状態となった場合、前記制御信号出力手段からの制御信号により前記負荷の制御を制限する冗長系システム。
　請求項９に記載の冗長系システムにおいて、
　前記複数の制御系統の各々は、前記フラグに基づき制御信号を出力する制御信号出力手段を有し、
　前記複数の制御系統の各系統の制御プログラム更新状態に応じて、前記制御信号出力手段からの制御信号により前記負荷の制御を制限する冗長系システム。
　請求項４に記載の冗長系システムにおいて、
　前記複数の制御系統の各系統の補正データを記憶する不揮発性メモリを有し、
　前記所定の１系統の制御プログラムの更新、若しくは、ロールバックが完了した後、前記不揮発性メモリに記憶してある各系統の補正データを読み出し、
　当該読み出した補正データを用いて全系統で前記負荷を制御する冗長系システム。
　請求項１または２に記載の冗長系システムにおいて、
　前記複数の制御系統の各々は、制御プログラムの書き込みを制御するマイコンと、前記マイコンの外部に配置される外部不揮発性メモリを有し、
　前記外部不揮発性メモリは、更新用プログラムとバックアップ用プログラムを記憶しており、
　更新用プログラム信号を受信した場合、前回バックアップ用であったプログラムに当該受信した更新用プログラムを上書きし、
　前回更新用であったプログラムをバックアップ用として用いる冗長系システム。
　請求項１３に記載の冗長系システムにおいて、
　さらに初期状態において、前記マイコンの内部不揮発性メモリに記憶されたプログラムを予め前記外部不揮発性メモリに書き込んでおく冗長系システム。
　請求項１３または１４に記載の冗長系システムにおいて、
　前記所定の１系統の制御プログラムの更新を行う場合には、前記外部不揮発性メモリに記憶された更新用プログラムを使用し、
　前記所定の１系統の制御プログラムのロールバックを実行する場合には、前記外部不揮発性メモリに記憶されたバックアップ用プログラムを使用する冗長系システム。
　請求項１から１５のいずれか１項に記載の冗長系システムを備えた負荷駆動制御装置において、
　前記負荷は、モータ負荷である負荷駆動制御装置。
　請求項１６に記載の負荷駆動制御装置において、
　前記モータ負荷は、電動パワーステアリング用モータである負荷駆動制御装置。
　請求項１６に記載の負荷駆動制御装置において、
　前記モータ負荷は、車輪を駆動するモータである負荷駆動制御装置。