JP2002149446A - 電子制御装置及びその設計方法 - Google Patents
電子制御装置及びその設計方法Info
- Publication number
- JP2002149446A JP2002149446A JP2000337641A JP2000337641A JP2002149446A JP 2002149446 A JP2002149446 A JP 2002149446A JP 2000337641 A JP2000337641 A JP 2000337641A JP 2000337641 A JP2000337641 A JP 2000337641A JP 2002149446 A JP2002149446 A JP 2002149446A
- Authority
- JP
- Japan
- Prior art keywords
- time
- microcomputer
- routine
- electronic control
- initial routine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Combined Controls Of Internal Combustion Engines (AREA)
- Debugging And Monitoring (AREA)
Abstract
(57)【要約】
【課題】 マイコンのイニシャルルーチン又はメインル
ーチンでのプログラム暴走による制御対象へのダメージ
を、特別なハードウエアを追加せずに防止する。 【解決手段】 負荷への通電を制御するための制御信号
を出力するマイコンと、該マイコンからウォッチドッグ
クリア信号が出力されない継続時間が所定の異常判定時
間に達したことを検知するとマイコンをリセットする異
常監視回路とを備えた電子制御装置において、マイコン
がリセット解除後に1回実行するイニシャルルーチンで
は、上記制御信号の出力レベルを設定するための出力操
作命令が当該ルーチンの最後尾(S130)にだけ配置
されている。また、イニシャルルーチンには、当該ルー
チンの実行所要時間を故意に延長して、該イニシャルル
ーチンの後に実行されるメインルーチンで繰り返し暴走
が発生した場合のマイコンの不定出力時間率を下げるた
めに、遅延ルーチン(S120)が設けられている。
ーチンでのプログラム暴走による制御対象へのダメージ
を、特別なハードウエアを追加せずに防止する。 【解決手段】 負荷への通電を制御するための制御信号
を出力するマイコンと、該マイコンからウォッチドッグ
クリア信号が出力されない継続時間が所定の異常判定時
間に達したことを検知するとマイコンをリセットする異
常監視回路とを備えた電子制御装置において、マイコン
がリセット解除後に1回実行するイニシャルルーチンで
は、上記制御信号の出力レベルを設定するための出力操
作命令が当該ルーチンの最後尾(S130)にだけ配置
されている。また、イニシャルルーチンには、当該ルー
チンの実行所要時間を故意に延長して、該イニシャルル
ーチンの後に実行されるメインルーチンで繰り返し暴走
が発生した場合のマイコンの不定出力時間率を下げるた
めに、遅延ルーチン(S120)が設けられている。
Description
【0001】
【発明の属する技術分野】本発明は、マイクロコンピュ
ータを備えた電子制御装置に関するものである。
ータを備えた電子制御装置に関するものである。
【0002】
【従来の技術】従来より、例えば自動車に搭載される電
子制御装置においては、図4に例示するように、マイク
ロコンピュータ(以下、マイコンという)3が、記憶媒
体に予め記憶されたプログラムに従い動作して、電磁弁
やヒータ等といった電気負荷5への通電及び非通電を制
御するための制御信号を出力ポートから出力し、その制
御信号に従って、駆動回路7が電気負荷5に電流を流す
ように構成されている。
子制御装置においては、図4に例示するように、マイク
ロコンピュータ(以下、マイコンという)3が、記憶媒
体に予め記憶されたプログラムに従い動作して、電磁弁
やヒータ等といった電気負荷5への通電及び非通電を制
御するための制御信号を出力ポートから出力し、その制
御信号に従って、駆動回路7が電気負荷5に電流を流す
ように構成されている。
【0003】そして更に、この種の電子制御装置では、
マイコン3でのプログラム暴走による異常な動作を防止
するために、一般にウォッチドッグタイマ回路と呼ばれ
る異常監視回路9を設けると共に、マイコン3から所定
時間以内毎に正常動作信号としてのウォッチドッグクリ
ア信号W/Dが出力されるようにプログラムを設計する
ようにしている。
マイコン3でのプログラム暴走による異常な動作を防止
するために、一般にウォッチドッグタイマ回路と呼ばれ
る異常監視回路9を設けると共に、マイコン3から所定
時間以内毎に正常動作信号としてのウォッチドッグクリ
ア信号W/Dが出力されるようにプログラムを設計する
ようにしている。
【0004】そして、異常監視回路9は、マイコン3か
らの上記ウォッチドッグクリア信号W/Dを監視し、そ
の信号W/Dがマイコン3から出力されない継続時間が
上記所定時間よりも長く設定された異常判定時間Thに
達したことを検知する毎に、マイコン3へリセット信号
RSTを出力して、該マイコン3を初期状態から再起動
させ、これによりマイコン3を暴走状態から正常復帰さ
せる。
らの上記ウォッチドッグクリア信号W/Dを監視し、そ
の信号W/Dがマイコン3から出力されない継続時間が
上記所定時間よりも長く設定された異常判定時間Thに
達したことを検知する毎に、マイコン3へリセット信号
RSTを出力して、該マイコン3を初期状態から再起動
させ、これによりマイコン3を暴走状態から正常復帰さ
せる。
【0005】尚、一般に、異常監視回路9は、マイコン
3からのウォッチドッグクリア信号W/Dによってカウ
ント値がクリアされるタイマ部9aと、そのタイマ部9
aのカウント値が上記異常判定時間Thに該当する規定
値に達すると、マイコン3へ一定の微小時間だけリセッ
ト信号RSTを出力する出力部9bとを、主要部として
構成される。そして、異常監視回路9での上記異常判定
時間Thは、マイコン3にてウォッチドッグクリア信号
W/Dを出力するために実行しなければならない処理の
負荷を低減するために、ある程度長めの時間(一般には
100ms程度)に設定され、また、異常監視回路9が
リセット信号RSTを出力する時間(即ち、異常監視回
路9がマイコン3にリセットをかける継続時間であり、
以下、リセット時間という)は、マイコン3を速やかに
暴走状態から正常復帰させるために、上記異常判定時間
Thと比べて非常に短い時間(一般には数10μs程
度)に設定されるのが一般的である。
3からのウォッチドッグクリア信号W/Dによってカウ
ント値がクリアされるタイマ部9aと、そのタイマ部9
aのカウント値が上記異常判定時間Thに該当する規定
値に達すると、マイコン3へ一定の微小時間だけリセッ
ト信号RSTを出力する出力部9bとを、主要部として
構成される。そして、異常監視回路9での上記異常判定
時間Thは、マイコン3にてウォッチドッグクリア信号
W/Dを出力するために実行しなければならない処理の
負荷を低減するために、ある程度長めの時間(一般には
100ms程度)に設定され、また、異常監視回路9が
リセット信号RSTを出力する時間(即ち、異常監視回
路9がマイコン3にリセットをかける継続時間であり、
以下、リセット時間という)は、マイコン3を速やかに
暴走状態から正常復帰させるために、上記異常判定時間
Thと比べて非常に短い時間(一般には数10μs程
度)に設定されるのが一般的である。
【0006】ところで、この種の電子制御装置におい
て、マイコン3でのプログラムは、リセットが解除され
てから最初に実行されるイニシャルルーチンと、該イニ
シャルルーチンの後に繰り返し実行されるメインルーチ
ンとを構成要素として作成されている。よって、マイコ
ン3は、リセットが解除されると、最初にイニシャルル
ーチンを1回実行し、その後、メインルーチンを繰り返
し実行する。
て、マイコン3でのプログラムは、リセットが解除され
てから最初に実行されるイニシャルルーチンと、該イニ
シャルルーチンの後に繰り返し実行されるメインルーチ
ンとを構成要素として作成されている。よって、マイコ
ン3は、リセットが解除されると、最初にイニシャルル
ーチンを1回実行し、その後、メインルーチンを繰り返
し実行する。
【0007】そして、マイコン3が正常であれば、図5
(A)に示すように、イニシャルルーチンとメインルー
チンとが順調に実行されるため、マイコン3の出力レベ
ル(詳しくは、出力ポートの論理レベル)は、プログラ
ムによって決まるハイとローとの何れかに確定されて、
不定出力時間率は0である。
(A)に示すように、イニシャルルーチンとメインルー
チンとが順調に実行されるため、マイコン3の出力レベ
ル(詳しくは、出力ポートの論理レベル)は、プログラ
ムによって決まるハイとローとの何れかに確定されて、
不定出力時間率は0である。
【0008】尚、不定出力時間率とは、ある一定時間T
内において出力レベルが不定となる時間Tfを、上記一
定時間Tで割った値(=Tf/T)である。また、マイ
コンの出力レベルは、該マイコンがリセットされている
最中は、マイコン内部のハードウエア仕様で決まるハイ
又はローの初期値(以下、ハード仕様の初期値という)
に確定される。そして、ある出力ポートに着目したなら
ば、その出力ポートの出力レベルは、リセットが解除さ
れてから該出力ポートの出力レベルを設定するための出
力操作命令が最初に実行されるまでは、上記ハード仕様
の初期値のままとなり、その後は、プログラムの内容に
応じたマイコンでの計算値(マイコン計算値)に確定さ
れることとなる。
内において出力レベルが不定となる時間Tfを、上記一
定時間Tで割った値(=Tf/T)である。また、マイ
コンの出力レベルは、該マイコンがリセットされている
最中は、マイコン内部のハードウエア仕様で決まるハイ
又はローの初期値(以下、ハード仕様の初期値という)
に確定される。そして、ある出力ポートに着目したなら
ば、その出力ポートの出力レベルは、リセットが解除さ
れてから該出力ポートの出力レベルを設定するための出
力操作命令が最初に実行されるまでは、上記ハード仕様
の初期値のままとなり、その後は、プログラムの内容に
応じたマイコンでの計算値(マイコン計算値)に確定さ
れることとなる。
【0009】一方、図5(B)に示すように、マイコン
3でのプログラム暴走のうち、イニシャルルーチンが暴
走した場合(即ち、イニシャルルーチンでプログラム暴
走が発生した場合)には、実際の暴走発生時taから、
少なくとも異常監視回路9での異常判定時間Thが経過
するまでに、その異常監視回路9からマイコン3にリセ
ットがかけられて、マイコン3は、再びイニシャルルー
チンを最初から実行することとなる。
3でのプログラム暴走のうち、イニシャルルーチンが暴
走した場合(即ち、イニシャルルーチンでプログラム暴
走が発生した場合)には、実際の暴走発生時taから、
少なくとも異常監視回路9での異常判定時間Thが経過
するまでに、その異常監視回路9からマイコン3にリセ
ットがかけられて、マイコン3は、再びイニシャルルー
チンを最初から実行することとなる。
【0010】そして、ハード的な故障等により、イニシ
ャルルーチンが再度暴走してしまう場合には、異常監視
回路9からマイコン3へ再びリセットがかけられること
となるが、この場合においては、リセットが解除されて
からイニシャルルーチンで暴走が発生するまでの間だけ
マイコン3の出力が確定され、その暴走発生時からマイ
コン3が再度リセットされるまでの間はマイコン3の出
力が不定になる、といった状態が繰り返されることとな
り、前述の不定出力時間率(=Tf/T)が所定値より
も大きくなると、問題を引き起こすこととなる。
ャルルーチンが再度暴走してしまう場合には、異常監視
回路9からマイコン3へ再びリセットがかけられること
となるが、この場合においては、リセットが解除されて
からイニシャルルーチンで暴走が発生するまでの間だけ
マイコン3の出力が確定され、その暴走発生時からマイ
コン3が再度リセットされるまでの間はマイコン3の出
力が不定になる、といった状態が繰り返されることとな
り、前述の不定出力時間率(=Tf/T)が所定値より
も大きくなると、問題を引き起こすこととなる。
【0011】つまり、図5(B)の如くイニシャルルー
チンで繰り返しプログラム暴走が発生する場合に、マイ
コン3の不定出力時間率が、通電対象の電気負荷5に固
有の許容通電時間率よりも大きくなると、その電気負荷
5に許容量以上の電流が供給されて、電気負荷5自身あ
るいは該電気負荷5によって制御される対象物(以下、
この対象物と電気負荷5とを総称して制御対象という)
にダメージを与えてしまう可能性が生じる。尚、許容通
電時間率とは、ある単位時間Tu内に許容される電気負
荷への最大通電時間Tmを上記単位時間Tuで割った値
(=Tm/Tu)である。
チンで繰り返しプログラム暴走が発生する場合に、マイ
コン3の不定出力時間率が、通電対象の電気負荷5に固
有の許容通電時間率よりも大きくなると、その電気負荷
5に許容量以上の電流が供給されて、電気負荷5自身あ
るいは該電気負荷5によって制御される対象物(以下、
この対象物と電気負荷5とを総称して制御対象という)
にダメージを与えてしまう可能性が生じる。尚、許容通
電時間率とは、ある単位時間Tu内に許容される電気負
荷への最大通電時間Tmを上記単位時間Tuで割った値
(=Tm/Tu)である。
【0012】また、図5(C)に示すように、マイコン
3でのプログラム暴走のうち、メインルーチンが暴走し
た場合(即ち、メインルーチンでプログラム暴走が発生
した場合)にも、実際の暴走発生時tbから、少なくと
も異常監視回路9での異常判定時間Thが経過するまで
に、その異常監視回路9からマイコン3にリセットがか
けられて、マイコン3は、再びイニシャルルーチンから
プログラムの実行を開始することとなる。
3でのプログラム暴走のうち、メインルーチンが暴走し
た場合(即ち、メインルーチンでプログラム暴走が発生
した場合)にも、実際の暴走発生時tbから、少なくと
も異常監視回路9での異常判定時間Thが経過するまで
に、その異常監視回路9からマイコン3にリセットがか
けられて、マイコン3は、再びイニシャルルーチンから
プログラムの実行を開始することとなる。
【0013】そして、ハード的な故障等により、メイン
ルーチンが再度暴走してしまう場合には、異常監視回路
9からマイコン3へ再びリセットがかけられることとな
るが、この場合においても、リセットが解除されてから
メインルーチンで暴走が発生するまでの間だけマイコン
3の出力が確定され、その暴走発生時からマイコン3が
再度リセットされるまでの間はマイコン3の出力が不定
になる、といった状態が繰り返されることとなる。この
ため、図5(C)の如くメインルーチンで繰り返しプロ
グラム暴走が発生する場合においても、前述の不定出力
時間率(=Tf/T)が通電対象の電気負荷5に固有の
許容通電時間率よりも大きくなると、制御対象にダメー
ジを与えてしまう可能性が生じる。
ルーチンが再度暴走してしまう場合には、異常監視回路
9からマイコン3へ再びリセットがかけられることとな
るが、この場合においても、リセットが解除されてから
メインルーチンで暴走が発生するまでの間だけマイコン
3の出力が確定され、その暴走発生時からマイコン3が
再度リセットされるまでの間はマイコン3の出力が不定
になる、といった状態が繰り返されることとなる。この
ため、図5(C)の如くメインルーチンで繰り返しプロ
グラム暴走が発生する場合においても、前述の不定出力
時間率(=Tf/T)が通電対象の電気負荷5に固有の
許容通電時間率よりも大きくなると、制御対象にダメー
ジを与えてしまう可能性が生じる。
【0014】そこで、例えば特開平1−266631号
公報には、マイコンの内部にハード構成のタイマ回路を
設け、リセット復帰後(リセットが解除されてから)一
定時間はマイコンの出力ポートの論理をハード的に強制
固定することにより、マイコンが暴走を繰り返しても不
定な出力が全く生じないようにすることが提案されてい
る。
公報には、マイコンの内部にハード構成のタイマ回路を
設け、リセット復帰後(リセットが解除されてから)一
定時間はマイコンの出力ポートの論理をハード的に強制
固定することにより、マイコンが暴走を繰り返しても不
定な出力が全く生じないようにすることが提案されてい
る。
【0015】
【発明が解決しようとする課題】しかしながら、上記公
報に記載の技術では、マイコンの内部に、出力ポートの
論理をハード的に固定するための回路やタイマ回路を別
途設けなければならず、大きなコストアップを招いてし
まう。
報に記載の技術では、マイコンの内部に、出力ポートの
論理をハード的に固定するための回路やタイマ回路を別
途設けなければならず、大きなコストアップを招いてし
まう。
【0016】また、例えば、通電対象の電気負荷が、所
定対象物の温度を調節するためのヒータであったり、油
圧系における油圧調節のためにデューティ制御される電
磁弁であるならば、必ずしもマイコンの出力を100%
確定させなくても、マイコンの不定出力時間率を所定値
以内に抑えられれば、制御対象にダメージを与えること
がない場合も多い。
定対象物の温度を調節するためのヒータであったり、油
圧系における油圧調節のためにデューティ制御される電
磁弁であるならば、必ずしもマイコンの出力を100%
確定させなくても、マイコンの不定出力時間率を所定値
以内に抑えられれば、制御対象にダメージを与えること
がない場合も多い。
【0017】そこで、本発明は、マイコンのイニシャル
ルーチン又はメインルーチンでのプログラム暴走による
制御対象へのダメージを、特別なハードウエアを追加す
ることなく防止できるようにすることを目的としてい
る。
ルーチン又はメインルーチンでのプログラム暴走による
制御対象へのダメージを、特別なハードウエアを追加す
ることなく防止できるようにすることを目的としてい
る。
【0018】
【課題を解決するための手段及び発明の効果】上記目的
を達成するためになされた請求項1に記載の電子制御装
置では、マイコン(マイクロコンピュータ)が、イニシ
ャルルーチンとメインルーチンとを構成要素としたプロ
グラムに従い動作して、電気負荷への通電及び非通電を
制御するための制御信号を出力すると共に、自己が正常
に動作していることを示す正常動作信号を所定時間以内
毎に出力する。尚、イニシャルルーチンは、リセットが
解除されてから最初に実行されるルーチンであり、メイ
ンルーチンは、イニシャルルーチンの後に繰り返し実行
されるルーチンである。そして、異常監視手段が、マイ
コンからの上記正常動作信号を監視して、その正常動作
信号が出力されない継続時間が前記所定時間よりも長く
設定された異常判定時間に達したことを検知する毎に、
マイコンにリセットをかける。
を達成するためになされた請求項1に記載の電子制御装
置では、マイコン(マイクロコンピュータ)が、イニシ
ャルルーチンとメインルーチンとを構成要素としたプロ
グラムに従い動作して、電気負荷への通電及び非通電を
制御するための制御信号を出力すると共に、自己が正常
に動作していることを示す正常動作信号を所定時間以内
毎に出力する。尚、イニシャルルーチンは、リセットが
解除されてから最初に実行されるルーチンであり、メイ
ンルーチンは、イニシャルルーチンの後に繰り返し実行
されるルーチンである。そして、異常監視手段が、マイ
コンからの上記正常動作信号を監視して、その正常動作
信号が出力されない継続時間が前記所定時間よりも長く
設定された異常判定時間に達したことを検知する毎に、
マイコンにリセットをかける。
【0019】そして特に、請求項1の電子制御装置で
は、上記イニシャルルーチンを構成する各命令のうち、
上記電気負荷に対する制御信号の出力レベルを設定する
ための出力操作命令は、そのイニシャルルーチンの最後
尾にだけ配置されている。つまり、請求項1の電子制御
装置は、「イニシャルルーチンを構成する各命令のう
ち、制御信号の出力レベルを設定するための出力操作命
令は、該イニシャルルーチンの最後尾にだけ配置する」
という請求項2の設計方法によって設計されており、イ
ニシャルルーチンでは、そのルーチンの最後でのみ、制
御信号の出力を行うようにしている。
は、上記イニシャルルーチンを構成する各命令のうち、
上記電気負荷に対する制御信号の出力レベルを設定する
ための出力操作命令は、そのイニシャルルーチンの最後
尾にだけ配置されている。つまり、請求項1の電子制御
装置は、「イニシャルルーチンを構成する各命令のう
ち、制御信号の出力レベルを設定するための出力操作命
令は、該イニシャルルーチンの最後尾にだけ配置する」
という請求項2の設計方法によって設計されており、イ
ニシャルルーチンでは、そのルーチンの最後でのみ、制
御信号の出力を行うようにしている。
【0020】このような請求項2の方法によって設計さ
れた請求項1の電子制御装置によれば、イニシャルルー
チンでプログラム暴走が発生した場合に、マイコンから
の制御信号の出力レベルが不定になってしまうことが防
止される。つまり、プログラムの実行ステップがイニシ
ャルルーチンにおける途中のステップで迷走しても、電
気負荷に対する制御信号の出力操作命令がむやみに実行
されてしまうことがなく、その制御信号の出力レベル
は、リセット時におけるマイコンのハード仕様の初期値
のままとなるからである。
れた請求項1の電子制御装置によれば、イニシャルルー
チンでプログラム暴走が発生した場合に、マイコンから
の制御信号の出力レベルが不定になってしまうことが防
止される。つまり、プログラムの実行ステップがイニシ
ャルルーチンにおける途中のステップで迷走しても、電
気負荷に対する制御信号の出力操作命令がむやみに実行
されてしまうことがなく、その制御信号の出力レベル
は、リセット時におけるマイコンのハード仕様の初期値
のままとなるからである。
【0021】よって、この電子制御装置によれば、イニ
シャルルーチンでプログラム暴走が繰り返し発生して制
御対象(電気負荷及びそれが制御する対象物)へダメー
ジを与えてしまうことを、特別なハードウエアを追加す
ることなく防止することができる。
シャルルーチンでプログラム暴走が繰り返し発生して制
御対象(電気負荷及びそれが制御する対象物)へダメー
ジを与えてしまうことを、特別なハードウエアを追加す
ることなく防止することができる。
【0022】次に、請求項3に記載の電子制御装置で
は、請求項1の電子制御装置と同様のマイコン及び異常
監視手段を備えているが、特に、イニシャルルーチン内
には、メインルーチンでプログラム暴走が発生してマイ
コンからの制御信号の出力レベルが不定となってしまう
時間Tfの、一定時間Tに対する割合(即ち、制御信号
の不定出力時間率=Tf/T)を小さくするために、当
該イニシャルルーチンの実行所要時間を故意に長くする
ための冗長処理が設けられている。
は、請求項1の電子制御装置と同様のマイコン及び異常
監視手段を備えているが、特に、イニシャルルーチン内
には、メインルーチンでプログラム暴走が発生してマイ
コンからの制御信号の出力レベルが不定となってしまう
時間Tfの、一定時間Tに対する割合(即ち、制御信号
の不定出力時間率=Tf/T)を小さくするために、当
該イニシャルルーチンの実行所要時間を故意に長くする
ための冗長処理が設けられている。
【0023】つまり、請求項3の電子制御装置は、「メ
インルーチンでプログラム暴走が発生してマイコンから
の制御信号の出力レベルが不定となってしまう時間の一
定時間に対する割合を小さくするために、イニシャルル
ーチンの実行所要時間を故意に長く設定する」という請
求項6の設計方法によって設計されており、イニシャル
ルーチンの実行所要時間を故意に長くするために、イニ
シャルルーチン内に、本来は必要でない冗長処理を追加
するようにしている。
インルーチンでプログラム暴走が発生してマイコンから
の制御信号の出力レベルが不定となってしまう時間の一
定時間に対する割合を小さくするために、イニシャルル
ーチンの実行所要時間を故意に長く設定する」という請
求項6の設計方法によって設計されており、イニシャル
ルーチンの実行所要時間を故意に長くするために、イニ
シャルルーチン内に、本来は必要でない冗長処理を追加
するようにしている。
【0024】そして、このような請求項6の方法によっ
て設計された請求項3の電子制御装置によれば、前述し
た図5(C)の如くメインルーチンで繰り返しプログラ
ム暴走が発生する場合に、マイコンがリセットされてか
らプログラム暴走が発生するまでの期間であって、マイ
コンからの制御信号の出力レベルが不定にならない期間
が長くなり、その結果、制御信号の不定出力時間率を小
さくすることができる。よって、メインルーチンでプロ
グラム暴走が繰り返し発生して制御対象(電気負荷及び
それが制御する対象物)へダメージを与えてしまうこと
を、特別なハードウエアを追加することなく防止するこ
とができる。
て設計された請求項3の電子制御装置によれば、前述し
た図5(C)の如くメインルーチンで繰り返しプログラ
ム暴走が発生する場合に、マイコンがリセットされてか
らプログラム暴走が発生するまでの期間であって、マイ
コンからの制御信号の出力レベルが不定にならない期間
が長くなり、その結果、制御信号の不定出力時間率を小
さくすることができる。よって、メインルーチンでプロ
グラム暴走が繰り返し発生して制御対象(電気負荷及び
それが制御する対象物)へダメージを与えてしまうこと
を、特別なハードウエアを追加することなく防止するこ
とができる。
【0025】次に、請求項4に記載の電子制御装置で
は、上記請求項3の電子制御装置において、前記冗長処
理は、イニシャルルーチンの実行所要時間Tiと異常監
視手段での異常判定時間Thとを加算した時間に対する
異常判定時間Thの割合(=Th/(Ti+Th))
が、電気負荷の許容通電時間率(即ち、所定の単位時間
Tu内に許容される電気負荷への最大通電時間Tmを前
記単位時間Tuで割った値(=Tm/Tu))よりも小
さくなるように、設けられている。
は、上記請求項3の電子制御装置において、前記冗長処
理は、イニシャルルーチンの実行所要時間Tiと異常監
視手段での異常判定時間Thとを加算した時間に対する
異常判定時間Thの割合(=Th/(Ti+Th))
が、電気負荷の許容通電時間率(即ち、所定の単位時間
Tu内に許容される電気負荷への最大通電時間Tmを前
記単位時間Tuで割った値(=Tm/Tu))よりも小
さくなるように、設けられている。
【0026】つまり、請求項4の電子制御装置は、「請
求項6の設計方法において、イニシャルルーチンの実行
所要時間Tiは、該実行所要時間Tiと異常監視手段で
の異常判定時間Thとを加算した時間に対する異常判定
時間Thの割合(=Th/(Ti+Th))が、電気負
荷の許容通電時間率よりも小さくなるように設定する」
という請求項7の設計方法によって設計されている。
求項6の設計方法において、イニシャルルーチンの実行
所要時間Tiは、該実行所要時間Tiと異常監視手段で
の異常判定時間Thとを加算した時間に対する異常判定
時間Thの割合(=Th/(Ti+Th))が、電気負
荷の許容通電時間率よりも小さくなるように設定する」
という請求項7の設計方法によって設計されている。
【0027】そして、このような請求項6の方法によっ
て設計された請求項3の電子制御装置によれば、仮に、
メインルーチンに入った直後毎にプログラム暴走が発生
し、且つ、その暴走状態が異常判定時間Thの分だけ目
一杯継続する、といった最悪条件の場合でも、電気負荷
に対する制御信号の不定出力時間率を、その電気負荷の
許容通電時間率よりも小さく抑えることができる。よっ
て、メインルーチンでプログラム暴走が繰り返し発生し
て制御対象へダメージを与えてしまうことを、より確実
に防止することができる。
て設計された請求項3の電子制御装置によれば、仮に、
メインルーチンに入った直後毎にプログラム暴走が発生
し、且つ、その暴走状態が異常判定時間Thの分だけ目
一杯継続する、といった最悪条件の場合でも、電気負荷
に対する制御信号の不定出力時間率を、その電気負荷の
許容通電時間率よりも小さく抑えることができる。よっ
て、メインルーチンでプログラム暴走が繰り返し発生し
て制御対象へダメージを与えてしまうことを、より確実
に防止することができる。
【0028】次に、請求項5に記載の電子制御装置で
は、上記請求項3,4の電子制御装置において、請求項
1の装置と同様に、イニシャルルーチンを構成する各命
令のうち、電気負荷に対する制御信号の出力レベルを設
定するための出力操作命令は、そのイニシャルルーチン
の最後尾にだけ配置されている。
は、上記請求項3,4の電子制御装置において、請求項
1の装置と同様に、イニシャルルーチンを構成する各命
令のうち、電気負荷に対する制御信号の出力レベルを設
定するための出力操作命令は、そのイニシャルルーチン
の最後尾にだけ配置されている。
【0029】つまり、請求項5の電子制御装置は、「請
求項6,7の設計方法において、イニシャルルーチンを
構成する各命令のうち、制御信号の出力レベルを設定す
るための出力操作命令は、該イニシャルルーチンの最後
尾にだけ配置する」という請求項8の設計方法によって
設計されており、イニシャルルーチンでは、そのルーチ
ンの最後でのみ、制御信号の出力を行うようにしてい
る。
求項6,7の設計方法において、イニシャルルーチンを
構成する各命令のうち、制御信号の出力レベルを設定す
るための出力操作命令は、該イニシャルルーチンの最後
尾にだけ配置する」という請求項8の設計方法によって
設計されており、イニシャルルーチンでは、そのルーチ
ンの最後でのみ、制御信号の出力を行うようにしてい
る。
【0030】そして、このような請求項8の方法によっ
て設計された請求項5の電子制御装置によれば、請求項
1の電子制御装置と同様に、イニシャルルーチンでプロ
グラム暴走が発生した場合には、マイコンからの制御信
号の出力レベルが不定になってしまうことが防止される
ため、イニシャルルーチンとメインルーチンとの何れで
プログラム暴走が繰り返し発生しても、制御対象へダメ
ージを与えてしまうことを確実に防止することができ
る。
て設計された請求項5の電子制御装置によれば、請求項
1の電子制御装置と同様に、イニシャルルーチンでプロ
グラム暴走が発生した場合には、マイコンからの制御信
号の出力レベルが不定になってしまうことが防止される
ため、イニシャルルーチンとメインルーチンとの何れで
プログラム暴走が繰り返し発生しても、制御対象へダメ
ージを与えてしまうことを確実に防止することができ
る。
【0031】
【発明の実施の形態】以下、本発明が適用された実施形
態の電子制御装置について、図面を用いて説明する。
尚、本実施形態の電子制御装置は、ハードウエア面につ
いては、前述した図4の電子制御装置と全く同じである
ため、詳しい説明は省略する。そして、以下の説明にお
いて、本電子制御装置の各構成要素、信号、及び時間の
各符号としては、前述したものと同じものを用いる。ま
た、本実施形態では、異常監視回路9が異常監視手段に
相当している。
態の電子制御装置について、図面を用いて説明する。
尚、本実施形態の電子制御装置は、ハードウエア面につ
いては、前述した図4の電子制御装置と全く同じである
ため、詳しい説明は省略する。そして、以下の説明にお
いて、本電子制御装置の各構成要素、信号、及び時間の
各符号としては、前述したものと同じものを用いる。ま
た、本実施形態では、異常監視回路9が異常監視手段に
相当している。
【0032】本実施形態の電子制御装置においても、マ
イコン3でのプログラムは、リセットが解除されてから
最初に1回実行されるイニシャルルーチンと、該イニシ
ャルルーチンの後に繰り返し実行されるメインルーチン
とを構成要素として作成されているが、本実施形態の電
子制御装置では、図4,5を用いて説明した従来の電子
制御装置と比較して、下記の(1)及び(2)の対策が
施されている。
イコン3でのプログラムは、リセットが解除されてから
最初に1回実行されるイニシャルルーチンと、該イニシ
ャルルーチンの後に繰り返し実行されるメインルーチン
とを構成要素として作成されているが、本実施形態の電
子制御装置では、図4,5を用いて説明した従来の電子
制御装置と比較して、下記の(1)及び(2)の対策が
施されている。
【0033】(1):まず、イニシャルルーチンで繰り
返しプログラム暴走が発生してしまう場合の対策とし
て、イニシャルルーチンを構成する各命令のうち、通電
対象の電気負荷5に対する制御信号の出力レベルを設定
するための出力操作命令は、図2のステップ(以下、単
に「S」と記す)130に示すように、そのイニシャル
ルーチンの最後尾にだけ配置するようにしている。換言
すれば、イニシャルルーチンでは、そのルーチンの最後
でのみ、制御信号の出力を行うようにしている。
返しプログラム暴走が発生してしまう場合の対策とし
て、イニシャルルーチンを構成する各命令のうち、通電
対象の電気負荷5に対する制御信号の出力レベルを設定
するための出力操作命令は、図2のステップ(以下、単
に「S」と記す)130に示すように、そのイニシャル
ルーチンの最後尾にだけ配置するようにしている。換言
すれば、イニシャルルーチンでは、そのルーチンの最後
でのみ、制御信号の出力を行うようにしている。
【0034】尚、図2は、本実施形態のマイコン3で実
行されるイニシャルルーチンを表すフローチャートであ
る。そして、本イニシャルルーチンにおいては、最初の
ステップ(以下、単に「S」と記す)110で、電気負
荷5の制御量を算出し、次にS120で、後述する遅延
ルーチンを実行した後、当該イニシャルルーチンにおけ
る最後のS130にて、上記S110で算出した制御量
に応じた値の制御信号(即ち、マイコン3で計算された
値の制御信号)を出力ポートから駆動回路7へ出力す
る。また、上記S130で実行される出力操作命令は、
実際には、該当する出力ポートの出力レベルを決定する
内部レジスタに、マイコン3で計算された値をセット
(ストア)する処理である。
行されるイニシャルルーチンを表すフローチャートであ
る。そして、本イニシャルルーチンにおいては、最初の
ステップ(以下、単に「S」と記す)110で、電気負
荷5の制御量を算出し、次にS120で、後述する遅延
ルーチンを実行した後、当該イニシャルルーチンにおけ
る最後のS130にて、上記S110で算出した制御量
に応じた値の制御信号(即ち、マイコン3で計算された
値の制御信号)を出力ポートから駆動回路7へ出力す
る。また、上記S130で実行される出力操作命令は、
実際には、該当する出力ポートの出力レベルを決定する
内部レジスタに、マイコン3で計算された値をセット
(ストア)する処理である。
【0035】(2):次に、メインルーチンで繰り返し
プログラム暴走が発生してしまう場合の制御信号の不定
出力時間率(前述した「Tf/T」の値)を小さくする
ために、イニシャルルーチンの実行所要時間を故意に長
く設定している。つまり、図2のS130に至るまでの
S120に、本来は必要でない冗長処理としての遅延ル
ーチンを設けることにより、イニシャルルーチンの実行
所要時間を故意に長くしている。尚、この遅延ルーチン
は、例えば、実質的な処理が何も行われない命令(いわ
ゆるノンオペレーション(NOP)命令)を複数個配置
したものである。
プログラム暴走が発生してしまう場合の制御信号の不定
出力時間率(前述した「Tf/T」の値)を小さくする
ために、イニシャルルーチンの実行所要時間を故意に長
く設定している。つまり、図2のS130に至るまでの
S120に、本来は必要でない冗長処理としての遅延ル
ーチンを設けることにより、イニシャルルーチンの実行
所要時間を故意に長くしている。尚、この遅延ルーチン
は、例えば、実質的な処理が何も行われない命令(いわ
ゆるノンオペレーション(NOP)命令)を複数個配置
したものである。
【0036】そして特に、本実施形態において、上記遅
延ルーチンでの遅延時間は、イニシャルルーチン全体の
実行所要時間Tiが、下記の式1を満たすように設定さ
れている。尚、式1において、「Th」は、前述した異
常監視回路9での異常判定時間であり、「電気負荷5の
許容通電時間率」は、前述したように、所定の単位時間
Tu内に許容される電気負荷5への最大通電時間Tmを
前記単位時間Tuで割った値(=Tm/Tu)である。
延ルーチンでの遅延時間は、イニシャルルーチン全体の
実行所要時間Tiが、下記の式1を満たすように設定さ
れている。尚、式1において、「Th」は、前述した異
常監視回路9での異常判定時間であり、「電気負荷5の
許容通電時間率」は、前述したように、所定の単位時間
Tu内に許容される電気負荷5への最大通電時間Tmを
前記単位時間Tuで割った値(=Tm/Tu)である。
【0037】 (Th/(Ti+Th))<電気負荷5の許容通電時間率 …式1 例えば、異常判定時間Thが100msであり、電気負
荷5の許容通電時間率が0.8(=80%)であるとす
ると、イニシャルルーチンの実行所要時間Tiは、上記
式1から、25ms以上必要となるため、遅延ルーチン
での遅延時間は、余裕をみて、イニシャルルーチンの実
行所要時間Tiが25msよりも若干長い時間(例えば
30ms)となるように設定すれば良い。
荷5の許容通電時間率が0.8(=80%)であるとす
ると、イニシャルルーチンの実行所要時間Tiは、上記
式1から、25ms以上必要となるため、遅延ルーチン
での遅延時間は、余裕をみて、イニシャルルーチンの実
行所要時間Tiが25msよりも若干長い時間(例えば
30ms)となるように設定すれば良い。
【0038】以上のような本実施形態の電子制御装置に
おいて、マイコン3が正常であれば、図1(A)に示す
ように、イニシャルルーチンとメインルーチンとが順調
に実行されるため、マイコン3の出力レベル(出力ポー
トの論理レベル)は、ハイとローとの何れかに確定され
て、不定出力時間率は0である。
おいて、マイコン3が正常であれば、図1(A)に示す
ように、イニシャルルーチンとメインルーチンとが順調
に実行されるため、マイコン3の出力レベル(出力ポー
トの論理レベル)は、ハイとローとの何れかに確定され
て、不定出力時間率は0である。
【0039】そして、本実施形態では、上記(1)の対
策が施されているため、正常時において、マイコン3か
らの制御信号の出力レベルは、マイコン3がリセットさ
れてからイニシャルルーチンが終了する直前まで(即
ち、図2のS130が実行されるまで)、ハード仕様の
初期値のままとなり、イニシャルルーチンが終了する直
前から、それ以降は、プログラムの内容に応じたマイコ
ン3での計算値(マイコン計算値)に確定されることと
なる。
策が施されているため、正常時において、マイコン3か
らの制御信号の出力レベルは、マイコン3がリセットさ
れてからイニシャルルーチンが終了する直前まで(即
ち、図2のS130が実行されるまで)、ハード仕様の
初期値のままとなり、イニシャルルーチンが終了する直
前から、それ以降は、プログラムの内容に応じたマイコ
ン3での計算値(マイコン計算値)に確定されることと
なる。
【0040】このため、本実施形態の電子制御装置にお
いて、マイコン3でのプログラム暴走のうち、図1
(B)の如くイニシャルルーチンでプログラム暴走が発
生した場合には、マイコン3からの制御信号の出力レベ
ルが不定になってしまうことが防止される。
いて、マイコン3でのプログラム暴走のうち、図1
(B)の如くイニシャルルーチンでプログラム暴走が発
生した場合には、マイコン3からの制御信号の出力レベ
ルが不定になってしまうことが防止される。
【0041】つまり、図1(B)に示すように、イニシ
ャルルーチンの途中の時刻tcでプログラム暴走が発生
して、プログラムの実行がイニシャルルーチンにおける
途中のステップで迷走しても、制御信号の出力操作命令
(図2のS130)がむやみに実行されてしまうことが
なく、その制御信号の出力レベルは、リセット時におけ
るマイコン3のハード仕様の初期値のままとなるからで
ある。
ャルルーチンの途中の時刻tcでプログラム暴走が発生
して、プログラムの実行がイニシャルルーチンにおける
途中のステップで迷走しても、制御信号の出力操作命令
(図2のS130)がむやみに実行されてしまうことが
なく、その制御信号の出力レベルは、リセット時におけ
るマイコン3のハード仕様の初期値のままとなるからで
ある。
【0042】よって、この電子制御装置によれば、イニ
シャルルーチンでプログラム暴走が繰り返し発生して制
御対象(電気負荷5及びそれが制御する対象物)へダメ
ージを与えてしまうことを、特別なハードウエアを追加
することなく防止することができる。
シャルルーチンでプログラム暴走が繰り返し発生して制
御対象(電気負荷5及びそれが制御する対象物)へダメ
ージを与えてしまうことを、特別なハードウエアを追加
することなく防止することができる。
【0043】また、本実施形態の電子制御装置では、上
記(2)の対策が施されており、イニシャルルーチンの
実行所要時間Tiを故意に長く設定しているため、マイ
コン3において、メインルーチンで繰り返しプログラム
暴走が発生する場合には、図1(C)に示すように、マ
イコン3がリセットされてからプログラム暴走が発生す
る時刻tdまでの期間であって、マイコン3からの制御
信号の出力レベルが不定にならない正常期間が長くな
り、その結果、制御信号の不定出力時間率が小さくな
る。よって、メインルーチンでプログラム暴走が繰り返
し発生して制御対象(電気負荷5及びそれが制御する対
象物)へダメージを与えてしまうことを、特別なハード
ウエアを追加することなく防止することができる。
記(2)の対策が施されており、イニシャルルーチンの
実行所要時間Tiを故意に長く設定しているため、マイ
コン3において、メインルーチンで繰り返しプログラム
暴走が発生する場合には、図1(C)に示すように、マ
イコン3がリセットされてからプログラム暴走が発生す
る時刻tdまでの期間であって、マイコン3からの制御
信号の出力レベルが不定にならない正常期間が長くな
り、その結果、制御信号の不定出力時間率が小さくな
る。よって、メインルーチンでプログラム暴走が繰り返
し発生して制御対象(電気負荷5及びそれが制御する対
象物)へダメージを与えてしまうことを、特別なハード
ウエアを追加することなく防止することができる。
【0044】特に、本実施形態では、イニシャルルーチ
ンの実行所要時間Tiを、上記式1を満たすように設定
しているため、仮に、メインルーチンに入った直後毎に
プログラム暴走が発生し、且つ、その暴走状態が異常監
視回路9での異常判定時間Thの分だけ目一杯継続す
る、といった最悪条件の場合でも、電気負荷5に対する
制御信号の不定出力時間率を、その電気負荷5の許容通
電時間率よりも小さく抑えることができる。このため、
メインルーチンでプログラム暴走が繰り返し発生して制
御対象へダメージを与えてしまうことを、より確実に防
止することができる。
ンの実行所要時間Tiを、上記式1を満たすように設定
しているため、仮に、メインルーチンに入った直後毎に
プログラム暴走が発生し、且つ、その暴走状態が異常監
視回路9での異常判定時間Thの分だけ目一杯継続す
る、といった最悪条件の場合でも、電気負荷5に対する
制御信号の不定出力時間率を、その電気負荷5の許容通
電時間率よりも小さく抑えることができる。このため、
メインルーチンでプログラム暴走が繰り返し発生して制
御対象へダメージを与えてしまうことを、より確実に防
止することができる。
【0045】以上のように、本実施形態の電子制御装置
によれば、イニシャルルーチンとメインルーチンとの何
れでプログラム暴走が繰り返し発生しても、制御対象へ
ダメージを与えてしまうことを確実に防止でき、しか
も、その効果を、特別なハードウエアを追加することな
く達成することができる。
によれば、イニシャルルーチンとメインルーチンとの何
れでプログラム暴走が繰り返し発生しても、制御対象へ
ダメージを与えてしまうことを確実に防止でき、しか
も、その効果を、特別なハードウエアを追加することな
く達成することができる。
【0046】特に、本実施形態の設計方法は、通電対象
の電気負荷5が所定対象物を所定温度にするためのヒー
タであるシステムや、通電対象の電気負荷5が油圧系に
おける油圧調節のためにデューティ制御される電磁弁で
あるシステムなど、マイコン3の不定出力時間率が所定
値以内であれば制御対象にダメージを与えることがない
システムの場合に、極めて有効である。
の電気負荷5が所定対象物を所定温度にするためのヒー
タであるシステムや、通電対象の電気負荷5が油圧系に
おける油圧調節のためにデューティ制御される電磁弁で
あるシステムなど、マイコン3の不定出力時間率が所定
値以内であれば制御対象にダメージを与えることがない
システムの場合に、極めて有効である。
【0047】以上、本発明の一実施形態について説明し
たが、本発明は、種々の形態を採り得ることは言うまで
もない。例えば、イニシャルルーチンに設ける冗長処理
としては、図2におけるS120のような遅延ルーチン
ではなく、図3に示すS125のようなループ処理でも
良い。つまり、図3に示すイニシャルルーチンでは、S
110で電気負荷5の制御量を算出した後、続くS12
5にて、S110の処理をN回(但し、Nは2以上の整
数)だけ実行したか否かを判定し、N回実行したと判定
するまで、S110の処理を繰り返すようにして、当該
イニシャルルーチンの実行所要時間Tiを延長するよう
にしている。そして、このようにしても、前述した効果
を得ることができる。
たが、本発明は、種々の形態を採り得ることは言うまで
もない。例えば、イニシャルルーチンに設ける冗長処理
としては、図2におけるS120のような遅延ルーチン
ではなく、図3に示すS125のようなループ処理でも
良い。つまり、図3に示すイニシャルルーチンでは、S
110で電気負荷5の制御量を算出した後、続くS12
5にて、S110の処理をN回(但し、Nは2以上の整
数)だけ実行したか否かを判定し、N回実行したと判定
するまで、S110の処理を繰り返すようにして、当該
イニシャルルーチンの実行所要時間Tiを延長するよう
にしている。そして、このようにしても、前述した効果
を得ることができる。
【0048】また、以上の説明では、電気負荷5が1つ
であるものとして述べたが、電気負荷5が複数個存在す
ると共に、その電気負荷5の各々についてマイコン3が
制御信号を出力する場合でも、考え方は全く同様であ
る。そして、この場合、上記式1に適用する電気負荷5
の許容通電時間率は、各電気負荷5の許容通電時間率の
うちで、値が最も小さいもの(つまり、条件が最も厳し
いもの)を選べば良い。
であるものとして述べたが、電気負荷5が複数個存在す
ると共に、その電気負荷5の各々についてマイコン3が
制御信号を出力する場合でも、考え方は全く同様であ
る。そして、この場合、上記式1に適用する電気負荷5
の許容通電時間率は、各電気負荷5の許容通電時間率の
うちで、値が最も小さいもの(つまり、条件が最も厳し
いもの)を選べば良い。
【0049】一方、本来はメインルーチンに割り振られ
る処理のうち、イニシャルルーチンの実行所要時間Ti
を長くすることで制御性に影響が出る可能性がある処理
については、イニシャルルーチン内で先に実行するよう
に構成すれば良い。尚、このような処理としては、例え
ば、電子制御装置が車両のエンジンを制御するものであ
る場合、エンジンへの燃料噴射や点火のための処理が考
えられる。
る処理のうち、イニシャルルーチンの実行所要時間Ti
を長くすることで制御性に影響が出る可能性がある処理
については、イニシャルルーチン内で先に実行するよう
に構成すれば良い。尚、このような処理としては、例え
ば、電子制御装置が車両のエンジンを制御するものであ
る場合、エンジンへの燃料噴射や点火のための処理が考
えられる。
【0050】また、異常監視回路9によるリセット時間
(即ち、異常監視回路9がマイコン3にリセットをかけ
る継続時間)が、異常判定時間Thに比べて無視できな
い程度に大きい場合には、そのリセット時間を「Tr」
とすると、イニシャルルーチンの実行所要時間Tiは、
下記の式2を満たすように設定することもできる。
(即ち、異常監視回路9がマイコン3にリセットをかけ
る継続時間)が、異常判定時間Thに比べて無視できな
い程度に大きい場合には、そのリセット時間を「Tr」
とすると、イニシャルルーチンの実行所要時間Tiは、
下記の式2を満たすように設定することもできる。
【0051】 (Th/(Ti+Th+Tr))<電気負荷5の許容通電時間率 …式2 つまり、前述した式1の左辺における分母に、リセット
時間Trを加算して考えれば良い。但し、リセット時間
Trの大小に拘わらず、式1に従う方が、より安全方向
の設定となる。
時間Trを加算して考えれば良い。但し、リセット時間
Trの大小に拘わらず、式1に従う方が、より安全方向
の設定となる。
【0052】一方また、上記実施形態の設計方法は、電
気負荷5への通電/非通電がマイコン3の外部に設けら
れた駆動回路7を介して行われる構成の電子制御装置だ
けではなく、例えば、マイコン3の出力ポートが通電対
象の電気負荷に直接的に接続される構成の装置(つま
り、マイコン3の出力ポートから通電対象の電気負荷へ
電流を直接流し出したり、通電対象の電気負荷側からマ
イコン3の出力ポートへ電流を直接引き込んだりする構
成の装置)についても全く同様に適用することができ
る。
気負荷5への通電/非通電がマイコン3の外部に設けら
れた駆動回路7を介して行われる構成の電子制御装置だ
けではなく、例えば、マイコン3の出力ポートが通電対
象の電気負荷に直接的に接続される構成の装置(つま
り、マイコン3の出力ポートから通電対象の電気負荷へ
電流を直接流し出したり、通電対象の電気負荷側からマ
イコン3の出力ポートへ電流を直接引き込んだりする構
成の装置)についても全く同様に適用することができ
る。
【図1】 実施形態の電子制御装置の特徴を説明するタ
イムチャートである。
イムチャートである。
【図2】 実施形態のマイコンが実行するイニシャルル
ーチンを説明するフローチャートである。
ーチンを説明するフローチャートである。
【図3】 実施形態のマイコンが実行するイニシャルル
ーチンの変形例を説明するフローチャートである。
ーチンの変形例を説明するフローチャートである。
【図4】 電子制御装置の一般的な構成例を表すブロッ
ク図である。
ク図である。
【図5】 従来技術を説明するタイムチャートである。
3…マイコン(マイクロコンピュータ) 5…電気負
荷 7…駆動回路 9…異常監視回路 9a…タイマ部 9b…出力部
荷 7…駆動回路 9…異常監視回路 9a…タイマ部 9b…出力部
───────────────────────────────────────────────────── フロントページの続き (72)発明者 長沢 四郎 愛知県刈谷市昭和町1丁目1番地 株式会 社デンソー内 Fターム(参考) 3G084 DA27 DA31 EB02 EB22 5B042 GA13 GB08 JJ13 JJ21 KK02 MC30
Claims (8)
- 【請求項1】 リセットが解除されてから最初に実行さ
れるイニシャルルーチンと、該イニシャルルーチンの後
に繰り返し実行されるメインルーチンとを構成要素とし
たプログラムに従い動作して、電気負荷への通電及び非
通電を制御するための制御信号を出力すると共に、所定
時間以内毎に正常動作信号を出力するマイクロコンピュ
ータと、 該マイクロコンピュータからの前記正常動作信号を監視
して、該正常動作信号が出力されない継続時間が前記所
定時間よりも長く設定された異常判定時間に達したこと
を検知する毎に、前記マイクロコンピュータにリセット
をかける異常監視手段と、 を備えた電子制御装置において、 前記イニシャルルーチンを構成する各命令のうち、前記
制御信号の出力レベルを設定するための出力操作命令
は、該イニシャルルーチンの最後尾にだけ配置されてい
ること、 を特徴とする電子制御装置。 - 【請求項2】 リセットが解除されてから最初に実行さ
れるイニシャルルーチンと、該イニシャルルーチンの後
に繰り返し実行されるメインルーチンとを構成要素とし
たプログラムに従い動作して、電気負荷への通電及び非
通電を制御するための制御信号を出力すると共に、所定
時間以内毎に正常動作信号を出力するマイクロコンピュ
ータと、 該マイクロコンピュータからの前記正常動作信号を監視
して、該正常動作信号が出力されない継続時間が前記所
定時間よりも長く設定された異常判定時間に達したこと
を検知する毎に、前記マイクロコンピュータにリセット
をかける異常監視手段と、 を備えた電子制御装置の設計方法であって、 前記イニシャルルーチンを構成する各命令のうち、前記
制御信号の出力レベルを設定するための出力操作命令
は、該イニシャルルーチンの最後尾にだけ配置するこ
と、 を特徴とする電子制御装置の設計方法。 - 【請求項3】 リセットが解除されてから最初に実行さ
れるイニシャルルーチンと、該イニシャルルーチンの後
に繰り返し実行されるメインルーチンとを構成要素とし
たプログラムに従い動作して、電気負荷への通電及び非
通電を制御するための制御信号を出力すると共に、所定
時間以内毎に正常動作信号を出力するマイクロコンピュ
ータと、 該マイクロコンピュータからの前記正常動作信号を監視
して、該正常動作信号が出力されない継続時間が前記所
定時間よりも長く設定された異常判定時間に達したこと
を検知する毎に、前記マイクロコンピュータにリセット
をかける異常監視手段と、 を備えた電子制御装置において、 前記イニシャルルーチン内には、 前記メインルーチンでプログラム暴走が発生して前記マ
イクロコンピュータからの制御信号の出力レベルが不定
となってしまう時間の一定時間に対する割合を小さくす
るために、当該イニシャルルーチンの実行所要時間を故
意に長くするための冗長処理が設けられていること、 を特徴とする電子制御装置。 - 【請求項4】 請求項3に記載の電子制御装置におい
て、 前記冗長処理は、 前記イニシャルルーチンの実行所要時間と前記異常監視
手段での異常判定時間とを加算した時間に対する前記異
常判定時間の割合が、所定の単位時間内に許容される前
記電気負荷への最大通電時間を前記単位時間で割った値
である前記電気負荷の許容通電時間率よりも小さくなる
ように、設けられていること、 を特徴とする電子制御装置。 - 【請求項5】 請求項3又は請求項4に記載の電子制御
装置において、 前記イニシャルルーチンを構成する各命令のうち、前記
制御信号の出力レベルを設定するための出力操作命令
は、該イニシャルルーチンの最後尾にだけ配置されてい
ること、 を特徴とする電子制御装置。 - 【請求項6】 リセットが解除されてから最初に実行さ
れるイニシャルルーチンと、該イニシャルルーチンの後
に繰り返し実行されるメインルーチンとを構成要素とし
たプログラムに従い動作して、電気負荷への通電及び非
通電を制御するための制御信号を出力すると共に、所定
時間以内毎に正常動作信号を出力するマイクロコンピュ
ータと、 該マイクロコンピュータからの前記正常動作信号を監視
して、該正常動作信号が出力されない継続時間が前記所
定時間よりも長く設定された異常判定時間に達したこと
を検知する毎に、前記マイクロコンピュータにリセット
をかける異常監視手段と、 を備えた電子制御装置の設計方法であって、 前記メインルーチンでプログラム暴走が発生して前記マ
イクロコンピュータからの制御信号の出力レベルが不定
となってしまう時間の一定時間に対する割合を小さくす
るために、前記イニシャルルーチンの実行所要時間を故
意に長く設定すること、 を特徴とする電子制御装置の設計方法。 - 【請求項7】 請求項6に記載の電子制御装置の設計方
法において、 前記イニシャルルーチンの実行所要時間は、 該実行所要時間と前記異常監視手段での異常判定時間と
を加算した時間に対する前記異常判定時間の割合が、所
定の単位時間内に許容される前記電気負荷への最大通電
時間を前記単位時間で割った値である前記電気負荷の許
容通電時間率よりも小さくなるように設定すること、 を特徴とする電子制御装置の設計方法。 - 【請求項8】 請求項6又は請求項7に記載の電子制御
装置の設計方法において、 前記イニシャルルーチンを構成する各命令のうち、前記
制御信号の出力レベルを設定するための出力操作命令
は、該イニシャルルーチンの最後尾にだけ配置するこ
と、 を特徴とする電子制御装置の設計方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000337641A JP2002149446A (ja) | 2000-11-06 | 2000-11-06 | 電子制御装置及びその設計方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000337641A JP2002149446A (ja) | 2000-11-06 | 2000-11-06 | 電子制御装置及びその設計方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002149446A true JP2002149446A (ja) | 2002-05-24 |
Family
ID=18812992
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000337641A Pending JP2002149446A (ja) | 2000-11-06 | 2000-11-06 | 電子制御装置及びその設計方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002149446A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005339297A (ja) * | 2004-05-28 | 2005-12-08 | Fuji Xerox Co Ltd | 制御装置および制御プログラム |
| KR100977392B1 (ko) | 2008-09-26 | 2010-08-20 | 콘티넨탈 오토모티브 시스템 주식회사 | Ecu 오동작 방지 시스템 및 그 방법 |
-
2000
- 2000-11-06 JP JP2000337641A patent/JP2002149446A/ja active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005339297A (ja) * | 2004-05-28 | 2005-12-08 | Fuji Xerox Co Ltd | 制御装置および制御プログラム |
| JP4581484B2 (ja) * | 2004-05-28 | 2010-11-17 | 富士ゼロックス株式会社 | 制御装置および制御プログラム |
| KR100977392B1 (ko) | 2008-09-26 | 2010-08-20 | 콘티넨탈 오토모티브 시스템 주식회사 | Ecu 오동작 방지 시스템 및 그 방법 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7890800B2 (en) | Method, operating system and computing hardware for running a computer program | |
| JP5739290B2 (ja) | 電子制御装置 | |
| US6356821B1 (en) | Electronic control unit for vehicle having reduced circuit scale | |
| EP1319576B1 (en) | Control apparatus of electric power steering | |
| JP5244981B2 (ja) | マイクロコンピュータ及びその動作方法 | |
| EP2673171B1 (en) | Motor vehicle and method of controlling a motor vehicle | |
| JP4983941B2 (ja) | 通電制御装置 | |
| US7716524B2 (en) | Restarting an errored object of a first class | |
| KR20060043374A (ko) | 마이크로컴퓨터 감시 금지 기능을 갖는 전자 제어 시스템및 방법 | |
| JP4725539B2 (ja) | 電子制御装置 | |
| JP2002149446A (ja) | 電子制御装置及びその設計方法 | |
| JP5928358B2 (ja) | 情報処理装置、監視装置、制御装置 | |
| EP3528120A2 (en) | Power supply unit having a cold redundant detection capability | |
| US7711985B2 (en) | Restarting an errored object of a first class | |
| CN110701084A (zh) | 电子***内的风扇控制方法 | |
| JP2001191933A (ja) | 電動パワーステアリング装置 | |
| JP2002132301A (ja) | 電子制御装置及びその設計方法 | |
| JP2007283788A (ja) | 車両用電子制御装置 | |
| JP2021079733A (ja) | 車載電子制御装置 | |
| JP2906789B2 (ja) | 複数のマイクロコンピュータの暴走監視回路 | |
| JP2002366374A (ja) | 電子制御装置 | |
| JP5949671B2 (ja) | シフトバイワイヤ制御装置 | |
| JP7127575B2 (ja) | 電子制御装置 | |
| US20240042951A1 (en) | Vehicle-Mounted Control Device | |
| US9802560B2 (en) | Electronic circuit |