JP2005100029A - 車載電子制御装置 - Google Patents

車載電子制御装置 Download PDF

Info

Publication number
JP2005100029A
JP2005100029A JP2003331895A JP2003331895A JP2005100029A JP 2005100029 A JP2005100029 A JP 2005100029A JP 2003331895 A JP2003331895 A JP 2003331895A JP 2003331895 A JP2003331895 A JP 2003331895A JP 2005100029 A JP2005100029 A JP 2005100029A
Authority
JP
Japan
Prior art keywords
microprocessor
data
vehicle
check
sum check
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003331895A
Other languages
English (en)
Other versions
JP4223909B2 (ja
Inventor
Hiroyuki Mitsueda
博之 光枝
Katsuya Nakamoto
勝也 中本
Koji Hashimoto
光司 橋本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2003331895A priority Critical patent/JP4223909B2/ja
Priority to US10/860,589 priority patent/US7251551B2/en
Priority to DE102004033095.6A priority patent/DE102004033095B4/de
Publication of JP2005100029A publication Critical patent/JP2005100029A/ja
Application granted granted Critical
Publication of JP4223909B2 publication Critical patent/JP4223909B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/22Safety or indicating devices for abnormal conditions
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/26Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/076Error or fault detection not based on redundancy by exceeding limits by exceeding a count or rate limit, e.g. word- or bit count limit

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Mechanical Engineering (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Transportation (AREA)
  • Human Computer Interaction (AREA)
  • Combustion & Propulsion (AREA)
  • Chemical & Material Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Computer Hardware Design (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)
  • Detection And Correction Of Errors (AREA)
  • Ignition Installations For Internal Combustion Engines (AREA)
  • Electrical Control Of Air Or Fuel Supplied To Internal-Combustion Engine (AREA)
  • Debugging And Monitoring (AREA)

Abstract

【課題】補助マイクロプロセッサを有する車載電子制御装置で、主たる制御を分担するマイクロプロセッサの外部診断を行い、信頼性の向上を図る。
【解決手段】制御プログラムが書き込まれる不揮発プログラムメモリ115aを備えたマイクロプロセッサ110aは、補助不揮発プログラムメモリ125を備えた補助マイクロプロセッサ120aとシリアル接続され、協動して車載センサ群102a・102bやアナログセンサ群103aからの入力信号に対応して車載電気負荷群104a・104bを制御する。不揮発プログラムメモリ115aとマイクロプロセッサ110aとは、ウォッチドッグタイマ130によって暴走監視されると共に、補助マイクロプロセッサ120aによって外部で定期的にサムチェック診断が行われる。暴走監視・外部サムチェック・サムチェック間隔の異常が発生すると負荷電源リレー107aによって一部の車載電気負荷の給電が停止される。
【選択図】図1

Description

この発明は車載電子制御装置に関し、例えば自動車用エンジンの燃料供給制御や給気用スロットル弁の制御等を行うマイクロプロセッサを内蔵した電子制御装置に関するものである。
上記のような車載電子制御装置において、プログラムメモリと協動するマイクロプロセッサの異常診断としては、ウォッチドッグタイマによるマイクロプロセッサの暴走監視やサムチェックによるプログラム異常監視が行われている。
また、上記マイクロプロセッサとシリアル接続され、互いに協動する補助マイクロプロセッサを備えた車載電子制御装置において、通信データのチェックを行うためにも送受信データに関するサムチェックが行われている。
従来の「車載電子制御装置」として、マイクロプロセッサの制御用プログラムの内容を該マイクロプロセッサによって自己チェックするのに当たり、制御用プログラムを複数に分割してサムチェックを行うことによって、マイクロプロセッサの処理負荷を軽減することを目的としたものが提案されている(例えば、特許文献1参照。)。
しかしながら、この文献によれば、疑わしいとするプログラムの異常診断を、疑わしいとするプログラムによって自らがチェックすることに対する信頼性の低下が問題であり、サムチェックが定期的に実行されている保証もない。
従来の「非同期2重系マイクロコンピュータシステムの故障検出装置」として、一対のマイクロコンピュータで相互に相手側のサムチェックを行い、異常検出時には夫々のウォッチドッグタイマに対するウォッチドッグ信号を停止して、制御出力を停止するようになっているものがある(例えば、特許文献2参照。)。
この文献によれば、サムチェック用データを相互に授受するために両マイクロコンピュータの入出力点数が増大する問題があると共に、サムチェックが定期的に実行されている保証もない。
また、従来の「2CPUの動作監視方法」として、メインCPUとサブCPUの二つのCPUによって構成されたシステムにおいて、メインCPUが暴走又は故障した場合は、外部に設けたウォッチドッグタイマ回路より出力されるリセット信号によって2CPU共に初期化・再起動し、また、サブCPUが暴走または故障した場合は、メインCPUがこれを監視して、メインCPUからサブCPUへリセット信号を出力してサブCPUを初期化・再起動することが述べられている(例えば、特許文献3参照。)。
この文献によれば、リセットパルスによってマイクロコンピュータが再起動すれば、車両の運転手はマイクロコンピュータの一時的な暴走発生を認知できないという問題点がある。
一方、従来の「デジタル処理装置」によれば、マイクロコンピュータに対するウォッチドッグタイマによる異常検出によってマイクロコンピュータを完全停止させ、これを回復するためにはマイクロコンピュータの動作電源の供給を一旦停止した後にこれを再度供給しなければならないように構成することが述べられている(例えば、特許文献4参照。)。
この場合、車両の運転手は電源スイッチを開閉しなければマイクロコンピュータが再起動しないので、マイクロコンピュータに異常があったことを認識することができる特徴がある。
しかしながら、ノイズによる一時的な誤動作に対しても、車両停止しなければならない不便がある。
また、関連した従来技術として、「入出力処理IC」(例えば、特許文献5参照。)や「データ通信装置」(例えば、特許文献6参照。)では、マイクロプロセッサに対してシリアル接続された入出力回路や従属マイクロプロセッサが示されており、シリアル通信データに関するサムチェックが論及されている。
また、従来の「車載用電子制御装置」として、シリアル通信が行われる一対のマイクロプロセッサに関し、通信データのサムチェック手段について記述されているものがある(例えば、特許文献7参照。)。
これらの文献はあくまでも通信データに関するサムチェックに関するものであり、プログラムメモリの内容に対するサムチェックに関するものではない。
特開2001−227402号公報 特開平6−259267号公報 特開平5−81222号公報 特開平8−339308号公報 特開平7−13912号公報 特開平5−128065号公報 特開平7−269409号公報
上記のような従来技術は、いずれも、マイクロプロセッサとプログラムメモリに対する暴走監視とサムチェックの協調性と機能分担が十分でなく、個別的に機能しているために十分な信頼性が期待できないという問題点があった。
この発明は、かかる問題点を解決するためになされたものであり、シリアル接続された併用制御回路を有する車載電子制御装置で、主たる制御を分担するマイクロプロセッサの外部診断を行い、信頼性の向上を図る車載電子制御装置を得ることを目的とする。
この発明は、制御プログラムおよび制御定数を記憶する不揮発プログラムメモリと、該制御プログラムを実行するための第一の直並列変換器がバス接続されたマイクロプロセッサと、該マイクロプロセッサに対して第二の直並列変換器を介してシリアル接続された併用制御回路とを備え、車載センサ群からの入力信号と上記不揮発プログラムメモリの内容とに基づいて、上記マイクロプロセッサと上記併用制御回路とが協動して車載電気負荷群を制御する車載電子制御装置であって、上記マイクロプロセッサから出力される発生パルス列であるウォッチドッグ信号が入力され、該ウォッチドッグ信号のパルス幅が所定値以上である時にリセットパルスを発生して上記マイクロプロセッサを再起動させるウォッチドッグタイマと、上記併用制御回路に対してバス接続され、所定のサムチェック用外部照合データが予め格納された不揮発性の照合情報記憶手段と、上記マイクロプロセッサから該併用制御回路に送信される上記不揮発プログラムメモリ内のデータに関する現在サムデータと上記照合情報記憶手段に予め格納されているサムチェック用外部照合データとを比較して、比較の結果、それらが不一致の時に異常検出出力を発生する外部サムチェック手段と、上記外部サムチェック手段の実行時間間隔が所定時間を超過した時に異常検出出力を発生する間隔監視手段と、上記外部サムチェック手段および上記間隔監視手段のいずれか一方からの異常検出出力の動作に応動して上記車載電気負荷群の一部の駆動を停止する負荷群停止手段とを備えた車載電子制御装置である。
以上のように、本発明による車載電子制御装置によれば、不揮発プログラムメモリとバス接続されたマイクロプロセッサに対してシリアル接続された併用制御回路を有する車載電子制御装置であって、ウォッチドッグタイマと照合情報記憶手段と外部サムチェック手段と間隔監視手段とを備えるようにしたので、マイクロプロセッサ自身に関してウォッチドッグタイマ及び併用制御回路によって二重の外部暴走監視が行われると共に、マイクロプロセッサと協動する不揮発プログラムメモリに対する外部サムチェックと、該外部サムチェックと合せて併用制御回路に対して正常な通信が行われているかどうかの間接的な通信チェックもでき、マイクロプロセッサと不揮発プログラムメモリと併用制御回路に関する信頼性が向上する。
実施の形態1.
以下、この発明の実施の形態1に係る車載電子制御装置について図1に基づいて説明する。
図1は、この発明の車載電子制御装置の全体の構成を示したブロック図である。図1に示す車載電子制御装置100aは、一枚の電子基板で構成され密閉筐体に収納された車載電子制御装置である。
まずはじめに、上記車載電子制御装置100aの外部に接続されるものについて説明する。外部に接続されるものの1つとして、外部ツール101があり、該外部ツール101は製品出荷時又は保守点検時に上記車載電子制御装置100aに対して図示しない脱着コネクタを介して接続され、後述の不揮発プログラムメモリ115aに制御プログラムや制御定数を転送書込みするものである。
また、ON/OFF動作する第一の車載センサ群102aおよび第二の車載センサ群102bも外部に接続されるものである。第一の車載センサ群102aは例えばエンジン回転センサ・クランク角センサ・車速センサ等比較的高速・高頻度の動作を行い、後述のマイクロプロセッサに対して直接取込みする必要のあるセンサ群となっている。第二の車載センサ群102bは例えば変速レバー位置を検出するセレクタスイッチやエアコンスイッチなど比較的低頻度の動作を行い、信号取込みの遅れがあまり問題とならないようなセンサ群となっている。
車載アナログセンサ群103aも外部に接続されるものであり、該車載アナログセンサ群103は例えばアクセルポジションセンサ・スロットルポジションセンサ、水温センサ、排気ガスの酸素濃度センサ、エヤフローセンサなどのアナログセンサ群となっている。
さらに、外部に接続されるものとして、ON/OFF動作する第一の車載電気負荷群104aおよび第二の車載電気負荷群104bがある。
第一の車載電気負荷群104aは例えばエンジンの点火コイル駆動出力や燃料噴射制御用電磁弁駆動用出力、給気スロットルの弁開度制御用モータなど比較的高頻度の動作を行い、遅滞なく駆動出力を発生する必要のあるON/OFF動作の電気負荷群となっている。
第二の車載電気負荷群104bは例えばエアコン用電磁クラッチ駆動出力や表示警報出力など比較的低頻度の動作を行い、駆動出力の応答遅れがあまり問題とならないON/OFF動作の電気負荷群となっている。
さらに、外部に接続するものとして、車載バッテリ105a、イグニションスイッチ等の電源スイッチ105b、出力接点106b・106c・106dを有する電源リレー106a、出力接点107b・107cを有する負荷電源リレー107aがある。
上記電源リレー106aは上記車載バッテリ105aから上記電源スイッチ105bを介して付勢され、出力接点106b・106cによって上記第一および第二の車載電気負荷群104aおよび104bに対する電源回路を閉成すると共に、出力接点106dによって上記車載バッテリ105aから車載電子制御装置100aに対する給電回路を閉成するようになっている。
なお、上記車載バッテリ105aと車載電子制御装置100aとは、上記電源スイッチ105bが開路している時にもスリープ給電されるよう直接接続回路も備えている。
また、上記第一および第二の車載電気負荷群104aおよび104bの一部は上記負荷電源リレー107aの出力接点107bおよび107cを介して電源回路が閉成されるようになっている。
さらに、異常警報・表示器108も外部に接続されるものであり、上記車載電子制御装置100aから駆動されるとともに、運転手(ドライバ)が視認しやすい位置に取付けられている。
次に、上記車載電子制御装置100aの内部の構成について説明する。該内部の構成として、例えば32ビットのマイクロプロセッサから構成されるマイクロプロセッサ110a、上記外部ツール101とシリアル接続されるツール用の直並列変換器111、上記第一の車載センサ群102aと並列接続された直接入力信号用インタフェース回路112a、上記車載アナログセンサ群103aと接続された多チャンネルAD変換器113、上記第一の車載電気負荷群104aに対して並列接続された直接出力信号用インタフェース回路114a、フラッシュメモリ等の不揮発プログラムメモリ115a、演算処理用のRAMメモリ116、第一の直並列変換器117、および、データバス118がある。上記直並列変換器111および117、AD変換器113、入出力信号用インタフェース回路112aおよび114a、及び、メモリ115aおよび116とマイクロプロセッサ110aとは、上記データバス118によって互いに接続され、図示しないアドレスバス又はチップセレクト回路によって指定されたものが上記マイクロプロセッサ110aと交信するようになっている。
さらなる上記車載電子制御装置100aの内部の構成として、併用制御回路を構成する例えば8ビットのマイクロプロセッサから構成される補助マイクロプロセッサ120a、第二の車載センサ群102bと並列接続された間接入力信号用インタフェース回路122b、上記第二の車載電気負荷群104bに対して並列接続された間接出力信号用インタフェース回路124b、マスクROM等の不揮発プログラムメモリ125、演算処理用の補助RAMメモリ126、上記第一の直並列変換器117に対してシリアル接続された第二の直並列変換器127、データバス128がある。上記直並列変換器127、入出力信号用インタフェース回路122bおよび124b、及び、メモリ125・126と補助マイクロプロセッサ120aとは上記データバス128によって互いに接続され、図示しないアドレスバス又はチップセレクト回路によって指定されたものが上記補助マイクロプロセッサ120aと交信するようになっている。
また、ウォッチドッグタイマ130(第一の暴走監視手段)が内部に設けられており、該ウォッチドッグタイマ130は上記マイクロプロセッサ110aが発生するパルス列であるウォッチドッグ信号WD1を監視して、該ウォッチドッグ信号のパルス幅が所定値を超過した時にリセットパルスRST1を発生して上記マイクロプロセッサ110aを再起動させるようになっている。
なお、上記マイクロプロセッサ110aは上記補助マイクロプロセッサ120aが発生するパルス列であるウォッチドッグ信号WD2を監視して、該ウォッチドッグ信号のパルス幅が所定値を超過した時にリセットパルスRST2を発生して上記補助マイクロプロセッサ120aを再起動させると共に、後述する第一の異常検出出力ER1を発生するようになっている。
また、上記補助マイクロプロセッサ120aは後述する第二の異常検出出力ER2や上記電源リレー106aに対する駆動出力DR1や上記負荷電源リレー107aに対する駆動出力DR2を発生するようになっている。
また、計数入力CNTとリセット入力RSTを備えたカウンタ131aが設けられており、該カウンタ131aは上記計数入力CNTの論理レベルが「H」→「L」に変化した回数が所定値以上となった時に異常記憶出力を発生して上記異常警報・表示器108を駆動するようになっている。
さらに、ゲート素子132a、否定論理和素子133が設けられている。上記否定論理和素子133は上記リセットパルスRST1およびRST2や、第一および第二のエラー出力ER1およびER2のいずれが動作しても論理レベル「L」の合成出力を発生し、該合成出力は上記カウンタ131aの計数入力となると共に、上記ゲート素子132aの出力論理を「L」にするよう接続されている。
また、電源ユニット134は上記車載バッテリ105aから直接給電されたり、上記電源リレー106aの出力接点106dを介して給電され、上記車載電子制御装置100a内で使用される安定化制御電源出力を発生するようになっている。
電源検出回路135は、上記電源スイッチ105bが閉路したことを検出して、上記カウンタ131aのリセット入力RSTにパルス出力を供給して該カウンタ131aの計数現在値を0に初期化すると共に、異常記憶出力をクリアするようになっている。
また、インタフェース素子136は上記補助マイクロプロセッサ120aが発生する駆動出力DR1によって上記電源リレー106aを駆動し、上記電源スイッチ105bが開路しても、上記駆動出力DR1が出力停止するまでは電源リレー106aの動作を継続保持するようになっている。
また、否定論理素子137は上記補助マイクロプロセッサ120aが発生する駆動出力DR2によって上記負荷電源リレー107aを駆動するようになっている。
なお、上記電源リレー106aが消勢されると上記負荷電源リレー107aも消勢されるのに対し、電源リレー106aが付勢されていても負荷電源リレー107aのみを消勢して、一部の車載電気負荷に対する給電を停止することができるよう構成されている(負荷群停止手段)。
図1の構成における主要メモリマップを図2に示す。なお、図2(a)は上記補助不揮発プログラムメモリ125の主要メモリマップ、図2(b)は上記不揮発プログラムメモリ115aの主要メモリマップである。
図2(a)は、アドレスA0からアドレスAmに対応したデータD0からデータDmを有する前述の補助不揮発プログラムメモリ125の全体構成200を示したものであり、上記各データは最下位ビットbから最上位ビットbまでの2進数値の組合わせで構成されている。
最終アドレスAm内のデータDmは内部サムチェック用照合データとなっており、該照合データとしては例えば上記データD0〜Dm−1に関して各桁別にバイナリ加算して、加算結果の最下位ビット値を該当桁のサム値としたものであり、このような各桁別の加算操作をサム操作と呼ぶ。
上記補助不揮発プログラムメモリ125に書込まれた時点のサムチェック照合用データは原始照合データと呼び、サムチェックのために新たに同上のサム操作を行った結果として得られるデータは現在サムデータと呼ぶと共に、上記原始照合データは何等かの原因で変化している可能性があるので現在時点でアドレスAmに格納されているデータを現在照合データと呼ぶことにする。
また、サムチェックとはサム操作を行って現在サムデータを算出することと、得られた現在サムデータと現在照合データとを比較する比較操作によって成り立っている。
なお、上記のようなルールでサム操作を行った場合には、データD0〜Dmに対する全加算サム操作を行うと、その全加算結果はデータD0〜Dm−1までの加算結果の2倍の値となるので、全てのビットが0になる。
従って、上記のような比較操作を行う代りに全加算データが0になるかどうかを判定することもでき、このような方法を簡易サムチェックと呼ぶ。
図2(a)についてさらに説明する。
コマンドデータ201は、マイクロプロセッサ110aに対する内部サムチェック指令のためのコマンドデータである。
コマンドデータ202は、マイクロプロセッサ110aに対する試行演算指令のためのコマンドデータである。
試行演算算式データ203は例えば「被加数10Hと加数20Hを加算せよ」と言った内容のものであり、該試行演算算式データ203は上記コマンドデータ202に続いてマイクロプロセッサ110aに送信されるようになっている。
正解データ204は上記試行演算算式データ203に対する正解データであり、演算比較プログラム205はマイクロプロセッサ110aから返信された試行演算結果と上記正解データ204とを比較して異常判定を行うプログラムとなっている。
また、コマンドデータ206はマイクロプロセッサ110aに対する外部サムチェック指令のためのコマンドデータであり、外部照合データ207は外部サムチェック用の外部照合データ(非公開暗号数値)であり、比較操作プログラム208は外部サムチェック用の比較操作プログラムである。上記比較操作プログラム208はマイクロプロセッサ110aから返信された不揮発プログラムメモリ115aに関する現在サムデータと上記外部照合データ207とを比較して異常判定を行うプログラムとなっている。
なお、上記外部照合データ208は後述の要領による固定の暗号数値となっている。
一般的プログラム209は、その他の入出力処理プログラム、送受信プログラム、出力制御プログラム等の一般的なプログラムであり、原始照合データ210はデータD0〜Dm−1までのサム操作によって得られた原始照合データである。
図2(b)は、アドレスA0からアドレスAnに対応したデータD0からデータDnを有する前述の不揮発プログラムメモリ115aの全体構成220を示したものである。
内部サムチェック用プログラム221(内部サムチェック手段)は、マイクロプロセッサ120aにより実行され、不揮発プログラムメモリ115aに対するサム操作と比較操作又は簡易サムチェックのための全加算サム操作と0判定を行うものである。
試行演算実行プログラム222は補助マイクロプロセッサ120aから送信された試行演算指令に対する試行演算実行プログラムである。外部サムチェック用プログラム223であり、該プログラム223は不揮発プログラムメモリ115aに関するサム操作を行って、現在サムデータを生成するためのプログラムとなっている。
関数変換プログラム224は後述する関数変換用のプログラムであり、暴走監視プログラム225は補助マイクロプロセッサ120aが発生するウォッチドッグ信号WD2を監視して、異常時にリセットパルスRST2を発生する暴走監視プログラムである。一般的なプログラム226は、入出力処置プログラム・送受信プログラム・出力制御プログラム等の一般的なプログラムであり、補正データ227は上記関数変換プログラム224に基づいて、暗号数値Cから不揮発プログラムメモリ115aのデータD0〜Dn−2までのサム操作を行って得られる中間サムデータS1を減じて得られる補正データである。
また、内部サムチェック用原始照合データS2(符号228)は、不揮発プログラムメモリ115aのデータD0〜Dn−1に関するサム操作によって得られるデータであり、次式で明らかなとおり該原始照合データS2(符号228)は暗号数値Cに等しいものである。
S2=ΣD(0〜n−1)
=ΣD(0〜n−2)+Dn−1
=S1+(C−S1)=C
補助不揮発プログラムメモリ125として、電気的に書込みができないマスクROMを使用した場合には、制御装置の運転中に該マスクROMの内容が変化する可能性は少ないので、運転開始時に一度だけ補助マイクロプロセッサ120aによって補助不揮発プログラムメモリ125に関する内部サムチェックを行っておけば良い特長がある。
しかしながら、不揮発プログラムメモリ115aの内容を変更した時に、補助不揮発プログラムメモリ125に格納されているサムチェック用外部照合データを変更することができない問題が発生してしまうので、本実施の形態における上記補正データ227はこの問題に対処するためのものであり、不揮発プログラムメモリ115aのプログラム内容を変更しても、外部照合データは常に暗号数値Cとなるように固定化されている。
次に、動作について説明する。
図1のとおり構成されたこの発明の実施の形態1に係る車載電子制御装置において、先ず図3に示した診断動作のフローチャートを基に説明する。
図3はマイクロプロセッサ110aの診断動作に関して主導権を持っている補助マイクロプロセッサ120aの動作を示した流れ図である。
図3に示すように、まずはじめに、ステップ300の動作開始工程において、繰返して活性化される補助マイクロプロセッサ120aの動作を開始する。
次に、該ステップ300に続いて、ステップ301において、図示しないフラグメモリの内容によってマイクロプロセッサ110aから補助マイクロプロセッサ120aに対して診断動作の開始許可が予め送信されているかどうかを判定する。NOの場合にはステップ302に進み、YESの場合にはステップ304に進む。
ステップ302において(該ステップ301がNOであった時に作用)、制御装置に対する電源投入後で所定時間を超過しているかどうかを判定する。なお、ステップ303は上記ステップ301とステップ302によって構成された動作開始確認手段である。
ステップ304において(上記ステップ301がYESの判定であった時に作用)、マイクロプロセッサ110aからの再送要求あるかどうかを判定する。
ステップ305は、該ステップ304が再送要求無しの判定である時に作用するもので、マイクロプロセッサ110aに送信するコマンドを選択する工程であり、該選択工程では図2(a)で説明した内部サムチェック指令201又は試行演算指令202又は外部サムチェック指令206のどれか一つが例えば順次交替して選択される。
ステップ306は、上記ステップ304がYESの判定であった時又は上記ステップ305に続いて作用し、上記ステップ305で選択されたコマンドを送信する工程であるが、再送要求の場合は前回送信されたコマンドが再度送信されることになる。
次に、ステップ307は、上記ステップ306に続いて作用し、送信されたコマンドが内部サムチェク指令201であったかどうかを判定する工程である。
ステップ310は、上記ステップ307がNOの判定であった時に作用し、ステップ306で送信された試行演算指令202又は外部サムチェック指令206に対応したマイクロプロセッサ110aからの返信データに関するサムチェックを行って、返信データを正常受信したかどうかを判定する工程である。
ステップ311は、該ステップS310がNOであった時に作用し、上記ステップ306でコマンド送信されてからの経過時間が所定時間を超過しているかどうかを判定する工程であり、該ステップ311が所定時間を超過していない時には上記ステップ310へ復帰するようになっている。
なお、ステップ312は、上記ステップ310とステップ311によって構成された併用制御回路120aにより実行される下り通信チェック手段となっており、ステップ310は、下り通信情報のサムチェック工程であるのに対し、ステップ311は応答タイムアウトのチェック工程となっている。
また、ステップ313は、上記ステップ311がタイムアウトの判定であった時に作用し、このタイムアウトが初回のものであったかどうかを判定する工程となっている。
ステップ314は、上記ステップ310に続いて作用し、マイクロプロセッサ110aからの返信データと図2(a)における正解データ204又は外部照合データ207とを照合比較する工程である。該工程において、比較対象は上記ステップ306で送信されたコマンドが試行演算指令であったか外部サムチェック指令であったかによって選択されるようになっている。
ステップ315は、上記ステップ314に続いて作用し、照合比較結果が一致であれば正常、不一致であれば異常の判定を行う工程である。
ステップ316は、上記ステップ314とステップ315によって構成された試行演算チェック手段又は外部サムチェック手段であり、併用制御回路120aにより実行される。
ステップ317は、上記ステップ315が正常判定であった時に作用し、前回の正常判定から今回の正常判定までの経過時間が所定時間を超過していないかどうかを判定し、超過していたときに異常検出出力を発生する工程であり、該ステップ317は間隔監視手段(第2の暴走監視手段)となっている。
ステップ318は、上記ステップ302が始動時間超過の判定であった時、又は、上記ステップ313が初回タイムアウト異常ではないと判定した時、又は、上記ステップ315が照合異常であった時、又は、上記ステップ317が間隔時間超過の判定であった時に作用し、第二の異常検出出力(エラー出力)ER2を発生する。
ステップ319は上記ステップ317が間隔時間超過でなかった時に作用し、第二の異常検出出力(エラー出力)ER2をリセットする。
ステップ320は、上記ステップ318又はステップ319に続いて作用し、マイクロプロセッサ110aに対して第二の異常検出出力の発生又はリセット状況を送信する。
ステップ321は、上記ステップ313が初回異常であった時に作用し、コマンドを再度送信するようマイクロプロセッサ110aに対して再送要求する。
ステップ322は、上記ステップ302が始動時間未超過であった時、又は、上記ステップ307が内部サムチェック指示の判定であった時、又は、上記ステップ320、ステップ321に続いて作用する動作終了工程であり、該動作終了工程では他の制御動作が終了するのを待って再度上記動作開始工程ステップ300へ移行するようになっている。
図1のとおり構成されたこの発明の実施の形態1に係る車載電子制御装置において、図4に示した診断動作のフローチャートについて説明する。
図4はマイクロプロセッサ110aの診断動作に関して、主導権を持たないマイクロプロセッサ110a自身の診断動作に関するフローチャートを示したものである。
図4において、ステップ400の動作開始工程において、繰返して活性化されるマイクロプロセッサ110aの動作を開始する。
該ステップ400に続いて、次に、ステップ401において、図示しないフラグメモリの内容に基づいて、上記補助マイクロプロセッサ120aから送信されたコマンドを受信しているかどうかを判定する。受信していた場合にはステップ402に進み、受信していない場合には、ステップ426に進み、動作を終了させる。
該ステップ402では、受信したコマンドを含む通信データのサムチェックを行って受信データが正常であったかどうかを判定する。正常であればステップ410に進み、異常であればステップ403に進む。
該ステップ403では、異常発生が初回であったかどうかを判定する。初回であった場合には、ステップ404に進み、初回でなかった場合には、ステップ424に進む。
該ステップ404では、補助マイクロプロセッサ120aに対して再送要求を行う。
ステップ410は、上記ステップ402が正常受信であった時に作用する工程で、受信したコマンドの内容が内部サムチェック指示用のコマンドであったかどうかを判定する。そうであった場合にはステップ411に進み、そうでなかった場合にはステップ413に進む。
該ステップ411は、該ステップ410が内部サムチェック指示コマンドであった時に作用する工程で、不揮発プログラムメモリ115a内のデータに関してサム操作を行って現在サムデータを算出する。
次に、ステップ412で、該ステップ411による算出データと図2(b)のアドレスAnに格納されている照合データとを照合比較することにより、内部チェックが正常であるか否かを判定する。なお、ステップ411ではアドレスA0からAnまでの全データの加算を行い、ステップ412では該加算値が0となっているかどうかを判定するようにしても良い。
なお、ステップ415は、上記ステップ411と上記ステップ412によって構成された内部サムチェック手段である。
ステップ413は、上記ステップ410が内部サムチェック用コマンドで無いと判定した時に作用し、補助マイクロプロセッサ120aから送信されたその他のコマンドを実行する。
ステップ414は、上記ステップ413によって実行された結果として、試行演算の結果データ又は外部サムチェック用の現在サムデータを送信する工程であり、ここで送信される現在サムデータは不揮発プログラムメモリ115aの内容が変化していなければアドレスAnに格納されているデータS2=Cと等しくなっている。
ステップ420は、上記ステップ414に続いて作用し、図3のステップ320で補助マイクロプロセッサ120aから送信されたデータが正常に受信されたかどうかをサムチェックする。正常の場合にはステップ425に進み、異常の場合はステップ421に進む。
該ステップ421は、上記ステップ414で実行結果を送信してからの経過時間が所定値を超過していないかどうかを判定する工程であり、該工程がタイムアウトでない時には上記ステップ420に復帰するようになっている。タイムアウトの場合には、ステップ423に進む。
なお、ステップ422は、上記ステップ420とステップ421によって構成されたマイクロプロセッサ110aにより実行される上り通信チェック手段となっている。
該ステップ423は、上記ステップ421がタイムアウトであった時に作用し、初回異常であるかどうかを判定する工程であり、該工程が初回異常判定であった時には上記ステップ414へ復帰して実行結果を再送するようになっている。初回異常判定でなかった時にはステップ424に進む。
該ステップ424は、上記ステップ403が初回異常では無かった時、又は上記ステップ412が内部サムチェック異常であった時、又は上記工程423が初回異常ではなかった時に作用し、第一の異常検出出力ER1を発生する工程である。
ステップ425は、上記ステップ412や工程420が正常判定であった時に作用し、第一の異常検出出力ER1をリセットする工程である。
ステップ426は、上記工程401が未受信であった時、又は上記工程404、工程424、工程425に続いて作用する動作終了工程である。
該動作終了工程では他の制御動作が終了するのを待って再度上記動作開始ステップ400へ移行するようになっている。
以上の診断動作用フローチャートの説明を踏まえて、図1について概括的に動作を説明する。
図1において、マイクロプロセッサ110aは第一および第二の車載センサ群102aおよび102bと車載アナログセンサ103aを入力信号とし、不揮発プログラムメモリ115aに格納された制御プログラムや制御定数に基づいて、第一および第二の車載電気負荷104aおよび104bを制御するが、上記第二の車載センサ群102bと第二の車載電気負荷104bは併用制御回路である補助マイクロプロセッサ120aと第一および第二の直並列変換器117および127を介して信号交信されている。
但し、上記車載アナログセンサ103aの内、水温センサや気圧センサ等の緩慢動作を行うアナログ信号については併用制御回路側に接続しても良い。
また、図1で示した実施の形態では、アナログ出力が取扱われていないが、必要に応じてメータ表示用のDA変換器を間接出力として搭載することもできる。
なお、このようなアナログ出力やON/OFF動作の低速出力点数はあまり多くはない実態であることから、出力に関してはシリアル通信に依存することなく、全てマイクロ
プロセッサ110a側から直接出力するようにしても良い。
更に、たとえ低速動作の入力信号であっても、エンジンの回転を維持するのに必要な最低限度の入力情報はシリアル通信に依存しないようにして、マイクロプロセッサ110aに直接入力しておくことが望ましい。
否定論理和素子133は、第一及び第二の異常検出出力ER1及びER2とリセットパルスRST1及びRST2の論理和を否定したものとなっているが、これらの入力が同時発生した場合にはカウンタ131aは1カウントしか計数されないようになっている。
これは、同時刻に発生した異常は同一原因によるものと解釈した処置となっているためであり、必要とあれば分離して計数加算することもできる。
また、図3の工程319や図4の工程425は、異常発生がノイズ誤動作等による一時的なものであれば、第一および第二の異常検出出力をリセットするようにしたものであるが、もしも継続的に異常発生している場合には、カウンタ131aがカウントアップしていなくても、否定論理和素子133の出力によってゲート素子132aが駆動出力DR2を遮断して、負荷電源リレー107aを消勢するようになっている。
負荷電源リレー107aによって給電停止される電気負荷としては、例えば給気用スロットルの弁開度制御用モータがある。
また、電源遮断までは行わないとしても駆動停止を行うことが望ましい電気負荷としては、車両の側方監視制御や自動操縦制御等の安全に関る便利機能などがある。
しかしながら、エンジンの点火制御や燃料噴射制御は可能なかぎり運転継続するのが車両の安全走行や退避走行のために重要である。
従って、ノイズ誤動作によってマイクロプロセッサ110aが暴走したような場合でも、リセットパルスRST1によって自動的に再起動されている。
しかし、このような異常動作が繰り返すようであればカウンタ131aによって上述のような一部の電気負荷が駆動停止されるようになっている。
以上のように、本実施の形態による車載電子制御装置によれば、不揮発プログラムメモリとバス接続されたマイクロプロセッサに対してシリアル接続された併用制御回路を有する車載電子制御装置であって、ウォッチドッグタイマと照合情報記憶手段と外部サムチェック手段と間隔監視手段とを備えるようにしたので、マイクロプロセッサ自身に関してウォッチドッグタイマ及び併用制御回路によって二重の外部暴走監視が行われると共に、マイクロプロセッサと協動する不揮発プログラムメモリに対する外部サムチェックと、該外部サムチェックと合せて併用制御回路に対して正常な通信が行われているかどうかの間接的な通信チェックもでき、マイクロプロセッサと不揮発プログラムメモリと併用制御回路に関する信頼性が向上する。
また、動作開始確認手段を備えるようにしたので、外部サムチェックの動作開始に関してマイクロプロセッサが主導権を持つ場合であっても、マイクロプロセッサによる動作開始指令が遅れると異常検出されるので、全体として信頼性を向上する効果がある。
また、直接・間接の入力インタフェース回路と直接・間接の出力インタフェースと多チャンネルAD変換器とを備えているので、併用制御回路が単にマイクロプロセッサに対する外部サムチェックを行うだけでなく、マイクロプロセッサの入出力ピン数を削減して小形・標準化することができる効果がある。
また、論理和回路と電源検出回路とカウンタと異常処理手段とを備えているので、ノイズ等による一時的な誤動作に対してマイクロプロセッサを自動的に再起動させると共に、一時的な誤動作が繰り返すような場合には安全上で問題のある電気負荷については動作を停止して、一旦電源スイッチを遮断・再投入すれば正常復帰できるようになっているので、信頼性と利便性が向上する効果がある。
また、不揮発プログラムメモリは内部サムチェック用照合データと内部サムチェック用プログラムとを備えているので、外部サムチェックと内部サムチェックによって不揮発プログラムメモリの内容は二重チェックされ、全体として信頼性が向上する効果がある。
また、外部サムチェック手段は、内部サムチェック手段が正常判定を行った後に実行されるようになっているので、内部サムチェック手段が異常判定を行った時には外部サムチェック手段は実行されないようにして全体としての処理時間を短縮することができる効果がある。
また、外部サムチェック手段と内部サムチェック手段はマイクロプロセッサの異なる演算サイクルにおいて実行されているので、外部サムチェック制御と内部サムチェック制御の間に他の制御を介在させることができるので、マイクロプロセッサの処理時間が過大になるのを防止することができる効果がある。
また、上り通信チェック手段と下り通信チェック手段とを備えているので、外部サムチェックを行うことで間接的に作用している通信チェック機能に加えて、二重の通信チェックが行えて信頼性が向上すると共に、異常要因を明確にすることができる効果がある。
また、併用制御回路は、補助不揮発プログラムメモリと補助マイクロプロセッサによって構成されると共に、上記マイクロプロセッサによって実行される暴走監視手段を備えているので、固定の制御プログラムではあっても、併用制御回路によって比較的複雑な出力制御等が行えるようになると共に、暴走監視手段によって併用制御回路に関する信頼性が向上し、外部サムチェック手段に対する間隔監視タイマを設けた場合には、併用制御回路に対して二重の外部暴走監視が行えて、更なる信頼性向上が行える効果がある。
また、照合情報記憶手段は補助不揮発プログラムメモリの一部領域が使用され、該一部領域に格納されたサムチェック用外部照合データは所定の非公開暗号数値とすると共に、上記不揮発プログラムメモリは関数変換プログラムを備えているので、車載電子制御装置の制御仕様の変更や制御定数の変更を行って、不揮発プログラムメモリの内容が変化しても、サムチェック用外部照合データは固定値にすることができるので、補助不揮発プログラムメモリは電気的に書込みができないマスクROMを使用することができ、この場合には不揮発プログラムメモリのサムチェックは一般には不要であるが、必要とあれば運転開始時のみチェックすれば十分な信頼性を確保できる効果がある。
また、照合情報記憶手段又は補助不揮発プログラムメモリはサムチェック用外部照合データに加えて、上記マイクロプロセッサに対する試行演算算式データと該試行演算算式に対する正解データを備えると共に、上記補助不揮発プログラムメモリは上記補助マイクロプロセッサによって実行される演算チェックプログラムを備えているので、マイクロプロセッサの外部診断として、暴走監視以外にたとえ限定された試行演算プログラムであっても、主要な制御ルーチンが動作しているかどうかの確認を行うことができると共に、補助マイクロプロセッサは試行演算実行プログラムが不要であり、複雑な試行演算プログラムによってマイクロプロセッサの動作を点検して、信頼性が更に向上する効果がある。
実施の形態2.
以下、この発明の実施の形態2に係る車載電子制御装置の全体ブロック回路図を示す図5に基づいて、図1のものとの相違点を中心として説明する。
図5において、車載電子制御装置100bには、車載アナログセンサ群103bが接続されている。該車載アナログセンサ群103bは、多チャンネルAD変換器l13でデジタル値に変換された後、対となる第三の直並列変換器140および141を介してマイクロプロセッサ110bのデータバスl18に接続されている。
該マイクロプロセッサ110bは例えば32ビットのマイクロプロセッサであり、不揮発プログラムメモリl15bはフラッシュメモリ等の不揮発プログラムメモリである。該不揮発プログラムメモリl15bは、図2(b)における内部サムチェックプログラム221、外部サムチェックプログラム223、および、入出力処理プログラム・送受信プログラム・出力制御プログラム226を備えている。
通信制御回路120bは、前述の補助マイクロプロセッサ120aの代替手段となる通信制御を主体とする併用制御回路である(以下、併用制御回路120bということがある。)。メモリ129は照合情報格納手段として用いられるEE−PROM等の不揮発性メモリである。該メモリ129は上記通信制御回路120bと共にデータバス128に接続されている。
異常記憶回路131bは前述のカウンタ131aに代わる回路である。該異常記憶回路131bは、マイクロプロセッサ110bに対してウォッチドッグタイマ130が発生するリセットパルスRSTlや、マイクロプロセッサl10bが発生する第一の異常検出出力ERlや、上記併用制御回路が発生する第二の異常検出出力ER2、及び、後述の監視タイマ138が発生する第三の異常検出出力ER3によってセットされて異常警報・表示器108を駆動すると共に、電源検出回路135の出力パルスによってリセットされるようになっている。
ゲート素子132bは、負荷電源リレー107aの駆動出力DR2と否定論理素子137との間に接続されており、該ゲート素子132bは、上記異常記憶回路131bが異常記憶している時に出力の論理レベルを「L」にして、負荷電源リレー107aの駆動を停止するようになっている。
なお、駆動出力DRl・DR2は、電源リレー106aや負荷電源リレー107aに対する駆動出力であり、上記併用制御回路120bが発生する信号出力となっている。
上記併用制御回路120bは、マイクロプロセッサl10bとデータ交信を行うためのバッファメモリや、マイクロプロセッサl10bから送信されたデータに対するコマンドデコーダ、マイクロプロセッサl10bに送信するためのコマンドテーブルであるコマンドキュー、送受信データに対するサムチェック用の比較回路や加算回路を備えていて、簡易なマイクロプロセッサと等価な動作を行うようになっている。
間隔監視タイマ138は、上記併用制御回路120bが周期的に発生するクリア信号CLRの時間間隔を監視して、該時間間隔が所定値を超過した時に第三の異常検出出力ER3を発生する。該間隔監視タイマ138は、電源投入時に電源検出回路135の出力パルスによってリセットされるようになっている。他の構成については、実施の形態1と同一であるため、ここではその説明を省略する。
次に、動作について説明する。
図5のように構成されたこの実施の形態に係る車載電子制御装置において、まず、図6に示した診断動作のフローチャートについて説明する。
図6はマイクロプロセッサ110bの診断動作に関して主導権を持つマイクロプロセッサ110b自身の診断動作に関するフローチャートを示したものである。
図6に示すように、ステップ600において、繰返して活性化されるマイクロプロセッサ110bの動作を開始する。
次に、ステップ601において、図示しないフラグメモリの内容によって併用制御回路120bからマイクロプロセッサ110bに対して再送要求が送信されているかどうかを判定する。再送要求があった場合には後述するステップ610に進み、再送要求が無かった場合には、ステップ602に進む。
該ステップ602においては、不揮発プログラムメモリ115bに関するサム操作を実行して、現在サムデータを得る。
ステップ603は、ステップ602に続いて作用し、図2(b)の内部サムチェック用照合データ228と上記現在サムデータとを比較判定する工程である。しかしながら、上記ステップ602で図2(b)の全データのサム操作を行った場合には、ステップ603では、全加算値が0になったかどうかを比較判定すれば良い。
なお、ステップ605は、上記ステップ602とステップ603によって構成された内部サムチェック手段である。
ステップ604は、上記ステップ603が正常判定であった時に作用し、不揮発プログラムメモリ115bに関するサム操作を実行して現在サムデータを得る。しかしながら、上記ステップ602で同じサム操作を行った場合にはその時点での現在サムデータをそのまま使用することができる。
ステップ610は、上記ステップ601が再送要求有りの時又は上記ステップ604に続いて作用し、上記ステップ604で作成された前回又は今回の現在サムデータを併用制御回路120bに送信する。
次に、ステップ611において、併用制御回路120bから正常返信があったかどうかを判定する。正常であった場合にはステップ615に進み、異常であった場合にはステップ612に進む。
ステップ612において、上記ステップ610で現在サムデータを送信した後で所定時間を経過したかどうか(タイムアウト)を判定する。該ステップ610が所定時間内であった場合は、上記ステップ611へ復帰する。
なお、ステップ616は、上記ステップ611とステップ612によって構成された上り通信チェック手段である。
上記ステップ612がタイムアウトであった時には、ステップ613に進み、該タイムアウトが初回のタイムアウト異常であったかどうかを判定する。
該ステップ612が初回異常判定であった時には上記ステップ610へ復帰して再度現在サムデータを送信する。
ステップ614は、上記ステップ603が内部サムチェック異常であった時、又は、上記ステップ613が初回異常では無かった時に第一の異常検出出力ERlを発生する。
ステップ615は、上記工程611が正常返信であった時、又は、上記ステップ614に続いて作用する動作終了工程である。該動作終了工程では他の制御動作が終了するのを待って再度上記動作開始工程600へ移行するようになっている。
図5のとおり構成されたこの発明の実施の形態2の装置において、併用制御回路120bの制御動作を等価的に表現した図7に示す診断動作のフローチャートについて説明する。
図7において、まず、ステップ700で、電源投入に伴って活性化される(初期工程)。次に、ステップ701で、図示しないフラグメモリの内容によってマイクロプロセッサl10bから併用制御回路120bに対して診断動作の開始許可が予め送信されているかどうかを判定する。開始許可の送信があった場合には、ステップ704に進み、送信がなかった場合には、ステップ702に進む。
該ステップ702では、制御装置に対する電源投入後に所定時間を超過しているかどうかを判定する。
なお、図7において、ステップ703は、上記ステップ701とステップ702とによって構成された動作開始確認手段である。
上記ステップ702の判定結果が時間超過で無い時には、上記ステップ701へ復帰するようになっている。一方、時間超過の場合は、後述するステップ713に進む。
ステップ704は、ステップ701の判定の結果、許可信号有りと判定された場合に作用する工程で、マイクロプロセッサ110bから図6のステップ610によって送信された現在サムデータについて正常受信したかどうかを判定する。正常受信の場合はステップ710に進み、そうでない場合にはステップ705に進む。
該ステップ705では、後述のステップ708による再送要求を行ってからの経過時間が所定時間を経過したかどうかを判定する。所定時間を経過していない場合には、ステップ704に戻り、所定時間を経過していた場合には、ステップ707に進む。
なお、ステップ706は、上記ステップ704とステップ705によって構成された下り通信チェック手段である。
また、該ステップ707は、上記ステップ705がタイムアウトの判定であった時に作用し、このタイムアウトが初回のものであったかどうかを判定する。初回異常であった場合には、ステップ708に進み、そうでない場合にはステップ713に進む。
該ステップ708では、マイクロプロセッサ110bに対して現在サムデータの再送を要求する。
上述のステップ710は、上記ステップ704が正常受信判定であった時に作用し、マイクロプロセッサ110bから送信された現在サムデータと照合情報格納手段129に格納されている外部照合データとを比較する。
次に、ステップ711で、照合比較結果が一致であれば正常、不一致であれば異常の判定を行う。正常の場合には、ステップ714に進み、異常の場合には、ステップ713に進む。
なお、図7において、ステップ712は、上記ステップ710とステップ711によって構成された外部サムチェック手段となっている。
ステップ713は、上記ステップ702が始動時間超過の判定であった時、又は、上記ステップ707が初回タイムアウト異常ではないと判定した時、又は、上記ステップ711が照合異常であった時に作用し、第二の異常検出出力ER2を発生する。
一方、ステップ714は、上記ステップ711が正常判定であった時に作用し、図5で示した間隔監視タイマ138に対してクリア信号CLRを発生する。
ステップ715は、上記ステップ713又はステップ714に続いて作用し、異常検出の有無をマイクロプロセッサ110bに送信する。
なお、上記ステップ708又はステップ715は、上記ステップ704へ復帰するようになっている。
以上の診断動作用フローチャートの説明を踏まえて、図5について概括的に動作について説明する。
図5において、マイクロプロセッサ110bは、第一および第二の車載センサ群102aおよびl02bと車載アナログセンサ103bを入力信号とし、不揮発プログラムメモリ115bに格納された制御プログラムや制御定数に基づいて、第一および第二の車載電気負荷104aおよび104bを制御するが、上記第二の車載センサ群102bと第二の車載電気負荷104bは、併用制御回路120bと、第一および第二の直並列変換器l17および127を介して、信号交信されている。
また、車載アナログセンサ群103bは、第三の直並列変換器140および141を介してマイクロプロセッサ110bに入力されるようになっている。
異常記憶回路131bは、第一および第二の異常検出出力ERlおよびER2とリセットパルスRST1と間隔監視タイマ138の異常検出出力ER3とを論理和したものとなっていて、一度でもこれらの異常検出出力やリセットパルスが発生すると異常記憶動作を行うようになっている。
負荷電源リレーl07aによって給電停止される電気負荷としては、例えば給気用スロットルの弁開度制御用モータがある。
また、電源遮断までは行わないとしても駆動停止を行うことが望ましい電気負荷としては、車両の側方監視制御や自動操縦制御等の安全に関る便利機能などがある。
しかし、エンジンの点火制御や燃料噴射制御は可能なかぎり運転継続するのが車両の安全走行や退避走行のために重要である。
従って、ノイズ誤動作によってマイクロプロセッサ110bが暴走したような場合でも、リセットパルスRST1によって自動的に再起動されている。
しかしながら、電源スイッチ105bを一旦遮断して再投入しなければ上記の異常記憶は回復しないので、運転手が認識できると共に、電源スイッチ105bを一旦遮断して再投入することによって異常状態を回復することができるようになっている。
以上のように、本実施の形態による車載電子制御装置によれば、実施の形態1と同様に、不揮発プログラムメモリとバス接続されたマイクロプロセッサに対してシリアル接続された併用制御回路を有する車載電子制御装置であって、ウォッチドッグタイマと照合情報記憶手段と外部サムチェック手段と間隔監視手段とを備えるようにしたので、マイクロプロセッサ自身に関してウォッチドッグタイマ及び併用制御回路によって二重の外部暴走監視が行われると共に、マイクロプロセッサと協動する不揮発プログラムメモリに対する外部サムチェックと、該外部サムチェックと合せて併用制御回路に対して正常な通信が行われているかどうかの間接的な通信チェックもでき、マイクロプロセッサと不揮発プログラムメモリと併用制御回路に関する信頼性が向上する。
また、間隔監視手段は電源検出回路と間隔監視タイマとを備えるようにしたので、併用制御回路に対する外部暴走監視も合せて実施できて、全体として信頼性を向上する効果がある。
また、動作開始確認手段を備えるようにしたので、外部サムチェックの動作開始に関してマイクロプロセッサが主導権を持つ場合であっても、マイクロプロセッサによる動作開始指令が遅れると異常検出されるので、全体として信頼性を向上する効果がある。
また、直接・間接の入力インタフェース回路と直接・間接の出力インタフェースと多チャンネルAD変換器とを備えているので、併用制御回路が単にマイクロプロセッサに対する外部サムチェックを行うだけでなく、マイクロプロセッサの入出力ピン数を削減して小形・標準化することができる効果がある。
電源検出回路と異常記憶回路と異常処理手段とを備えているので、ノイズ等による一時的な誤動作に対してマイクロプロセッサを自動的に再起動させると共に、安全上で問題のある電気負荷については動作を停止して、一旦電源スイッチを遮断・再投入すれば正常復帰できるようになっているので、信頼性と利便性が向上する効果がある。
また、不揮発プログラムメモリは内部サムチェック用照合データと内部サムチェック用プログラムとを備えているので、外部サムチェックと内部サムチェックによって不揮発プログラムメモリの内容は二重チェックされ、全体として信頼性が向上する効果がある。
また、上り通信チェック手段と下り通信チェック手段とを備えているので、外部サムチェックを行うことで間接的に作用している通信チェック機能に加えて、二重の通信チェックが行えて信頼性が向上すると共に、異常要因を明確にすることができる効果がある。
実施の形態3.
図1で示した実施の形態1の装置では、併用制御回路として補助マイクロプロセッサを使用したが、この併用制御回路が複雑な演算処理を行わないときには補助マイクロプロセッサを使用しないようにすることもできる。
逆に、図5で示した実施の形態2の装置では、併用制御回路としてマイクロプロセッサを使用していないが、この併用制御回路が複雑な演算処理を行うときには補助マイクロプロセッサを使用するようにしてもよい。
図1で示した実施の形態1では、異常診断に関して補助マイクロプロセッサが主導権を持ち、マイクロプロセッサが従動するようになっているが、これを反対にすることもできる。
逆に、図5で示した実施の形態2の装置では、異常診断に関してマイクロプロセッサが主導権を持ち、併用制御回路が従動するようになっているが、これを反対にすることもできる。
また、カウンタと異常記憶回路や、間隔監視タイマをハードウエアで構成するのか、ソフトウエアで実行するのか等の実施の形態も図1および図5のもので入替えて実施することができる。
更に、間隔監視タイマの設定時間をマイクロプロセッサから送信するようにしたり、EE−PROMメモリで構成された照合情報記憶手段の中に、間隔監視時間も格納しておいておくことなどができる。
また、照合情報記憶手段としては電子基板上の印刷パターンで構成された複数ビットのスイッチ手段に対して、ジャンパー線によって開路又は閉路させてサムチェック用外部照合データを記憶させておくこともできる。
必要に応じて補助不揮発メモリに対する内部サムチェックを補助マイクロプロセッサによって行うことができるが、補助不揮発プログラムメモリが電気的に書込み不可能なマスクROMである場合には、通常はサムチェックは不要であるが、運転開始時のみ内部サムチェックを行えば信頼性が向上する。
以上のように、本実施の形態においても、上述の実施の形態1および実施の形態2と同様の効果が得られる。
この発明の実施の形態1に係る車載電子制御装置の全体の構成を示したブロック図である。 図1に示した車載電子制御装置に設けられた補助不揮発プログラムメモリおよび不揮発プログラムメモリの主要メモリマップを示した説明図である。 図1に示した車載電子制御装置における補助マイクロプロセッサのマイクロプロセッサ診断動作の処理の流れを示した流れ図である。 図1に示した車載電子制御装置におけるマイクロプロセッサ自身のマイクロプロセッサ診断動作の処理の流れを示した流れ図である。 この発明の実施の形態2に係る車載電子制御装置の全体の構成を示したブロック図である。 図5に示した車載電子制御装置におけるマイクロプロセッサ自身のマイクロプロセッサ診断動作の処理の流れを示した流れ図である。 図5に示した車載電子制御装置における併用制御回路の制御動作を等価的に示した流れ図である。
符号の説明
100a 車載電子制御装置、100b 車載電子制御装置、101 外部ツール、102a 第一の車載センサ群、102b 第二の車載センサ群、103a アナログセンサ群、103b アナログセンサ群、104a 第一の車載電気負荷群、104b 第二の車載電気負荷群、108 異常警報・表示器(異常処理手段)、110a マイクロプロセッサ、l10b マイクロプロセッサ、112a 直接入力信号用インタフェース回路、l13 AD変換器、114a 直接出力信号用インタフェース回路、115a 不揮発プログラムメモリ、115b 不揮発プログラムメモリ、116 RAMメモリ、l17 第一の直並列変換器、118 データバス、120a 補助マイクロプロセッサ、120b 併用制御回路、122b 間接入力信号用インタフェース回路、124b 間接出力信号用インタフェース回路、125 補助不揮発プログラムメモリ、126 補助RAMメモリ、127 第二の直並列変換器、128 データバス、129 照合情報記憶手段、130 ウォッチドッグタイマ、131a カウンタ、131b 異常記憶回路、132a ゲート素子、132b ゲート素子、133 否定論理和素子、135 電源検出回路、138 間隔監視タイマ(間隔監視手段)、140 第三の直並列変換器、141 第三の直並列変換器、203 試行演算算式データ、204 正解データ、205 演算チェックプログラム、207 外部照合データ(非公開暗号数値)、208 外部サムチェック用プログラム、221 内部サムチェック用プログラム、222 試行演算実行プログラム、224 関数変換プログラム、225 暴走監視プログラム(暴走監視手段)、228 内部サムチェック用照合データ、303 動作開始確認手段、312 下り通信チェック手段、316 外部サムチェック手段、317 間隔監視手段、318 第二の異常検出出力、415 内部サムチェック手段、422 上り通信チェック手段、424 第一の異常検出出力、605 内部サムチェック手段、614 第一の異常検出出力、616 上り通信チェック手段、703 動作開始確認手段、706 下り通信チェック手段、712 外部サムチェック手段、713 第二の異常検出出力、714 監視タイマクリア信号発生手段、RSTl リセットパルス、RST2 リセットパルス、WDl ウォッチドッグ信号、WD2 ウォッチドッグ信号。

Claims (17)

  1. 制御プログラムおよび制御定数を記憶する不揮発プログラムメモリと、該制御プログラムを実行するための第一の直並列変換器がバス接続されたマイクロプロセッサと、該マイクロプロセッサに対して第二の直並列変換器を介してシリアル接続された併用制御回路とを備え、車載センサ群からの入力信号と上記不揮発プログラムメモリの内容とに基づいて、上記マイクロプロセッサと上記併用制御回路とが協動して車載電気負荷群を制御する車載電子制御装置であって、
    上記マイクロプロセッサから出力される発生パルス列であるウォッチドッグ信号が入力され、該ウォッチドッグ信号のパルス幅が所定値以上である時にリセットパルスを発生して上記マイクロプロセッサを再起動させるウォッチドッグタイマと、
    上記併用制御回路に対してバス接続され、所定のサムチェック用外部照合データが予め格納された不揮発性の照合情報記憶手段と、
    上記マイクロプロセッサによって該併用制御回路に送信される上記不揮発プログラムメモリ内のデータに関する現在サムデータと上記照合情報記憶手段に予め格納されているサムチェック用外部照合データとを比較して、比較の結果、それらが不一致の時に異常検出出力を発生する外部サムチェック手段と、
    上記外部サムチェック手段の実行時間間隔が所定時間を超過した時に異常検出出力を発生する間隔監視手段と、
    上記外部サムチェック手段および上記間隔監視手段のいずれか一方からの上記異常検出出力に応動して上記車載電気負荷群の一部の駆動を停止する負荷群停止手段と
    を備えたことを特徴とする車載電子制御装置。
  2. 上記間隔監視手段は、
    上記マイクロプロセッサ及び上記併用制御回路への電源の投入時にパルスを出力する電源検出回路と、
    上記併用制御回路から供給されるクリア信号の間隔が所定時間を超過したときに異常検出出力を発生し、上記電源検出回路の出力パルスによってリセットされる間隔監視タイマと
    を備えたことを特徴とする請求項1に記載の車載電子制御装置。
  3. 上記併用制御回路が上記マイクロプロセッサから外部サムチェックの許可信号を受信した後に上記間隔監視手段を有効にすると共に、上記併用制御回路への電源投入後の所定時間を経過しても外部サムチェックの許可信号が受信できない場合には異常検出出力を発生する動作開始確認手段を
    さらに備えたことを特徴とする請求項1または2に記載の車載電子制御装置。
  4. 上記車載センサ群は、上記マイクロプロセッサに接続される第一の車載センサ群と、上記併用制御回路に接続される第二の車載センサ群と、アナログ出力するアナログセンサ群とから構成されるものであるとともに、
    上記車載電気負荷群は、上記マイクロプロセッサに接続される第一の車載電気負荷群と、上記併用制御回路に接続される第二の車載電気負荷群とから構成されるものであって、
    上記第一の車載センサ群を上記マイクロプロセッサのデータバスに接続する直接入力インタフェース回路と、
    上記第二の車載センサ群を上記併用制御回路のデータバスに接続する間接入力インタフェース回路と、
    上記第一の車載電気負荷群を上記マイクロプロセッサのデータバスに接続する直接出力インタフェース回路と、
    上記第二の車載電気負荷群を上記併用制御回路のデータバスに接続する間接出力インタフェース回路と、
    上記マイクロプロセッサおよび上記併用制御回路の少なくともいずれか一方のデータバスに接続され、上記車載アナログセンサ群からのアナログ入力信号を順次デジタル変換する多チャンネルAD変換器と
    を備え、
    上記マイクロプロセッサと上記併用制御回路は協動して上記第一および第二の車載センサ群及び上記車載アナログセンサ群の動作に応動して上記第一及び第二の車載電気負荷群を制御する
    ことを特徴とする請求項1ないし3のいずれか1項に記載の車載電子制御装置。
  5. 上記マイクロプロセッサ及び上記併用制御回路に対する電源の投入時にパルスを出力する電源検出回路と、
    上記異常検出出力と上記ウォッチドッグタイマによるリセットパルスによってセットされ、上記電源検出回路の発生パルスによって初期状態にリセットされる異常記憶回路と、
    ゲート素子と異常警報・表示器によって構成され、上記異常記憶回路の動作に応動して車載電気負荷群の一部に対して駆動を停止させる異常処理手段と
    をさらに備えたことを特徴とする請求項1ないし4のいずれか1項に記載の車載電子制御装置。
  6. 上記異常検出出力と上記ウォッチドッグタイマによるリセットパルスとの論理和を演算する論理和回路と、
    上記マイクロプロセッサ及び上記併用制御回路に対する電源の投入時にパルスを出力する電源検出回路と、
    上記論理和回路の出力回数が所定値に達すると異常記憶出力を発生し、上記電源検出回路の出力パルスによって初期状態にリセットされるカウンタと、
    ゲート素子と異常警報・表示器によって構成され、上記論理和素子の異常出力と上記カウンタの異常記憶出力とに応動して、上記車載電気負荷群の一部の駆動を停止する異常処理手段と
    をさらに備えていることを特徴とする請求項1ないし4のいずれか1項に記載の車載電子制御装置。
  7. 上記不揮発プログラムメモリは、内部サムチェック用照合データと内部サムチェック手段とを備え、
    上記内部サムチェック用照合データは、上記不揮発プログラムメモリ内のデータに関する加算集計値および該加算集計値の関数値のいずれか一方とし、
    上記内部サムチェック手段は、上記不揮発プログラムメモリ内のデータに関する加算集計値と上記内部サムチェック用照合データとを相互比較することにより異常を検出するものであって、
    上記異常記憶回路は、上記内部サムチェック手段により異常を検出したときに該異常動作を記憶する
    ことを特徴とする請求項5に記載の車載電子制御装置。
  8. 上記不揮発プログラムメモリは、内部サムチェック用照合データと内部サムチェック手段とを備え、
    上記内部サムチェック用照合データは、上記不揮発プログラムメモリ内のデータに関する加算集計値および該加算集計値の関数値のいずれか一方とし、
    上記内部サムチェック手段は、上記マイクロプロセッサによって実行され、上記不揮発プログラムメモリ内のデータに関する加算集計値と上記内部サムチェック用照合データとを相互比較することにより異常を検出するものであって、
    上記カウンタは、上記内部サムチェック手段により異常を検出したときに該異常動作を計数する
    ことを特徴とする請求項6に記載の車載電子制御装置。
  9. 上記外部サムチェック手段は上記内部サムチェック手段が正常と判定した後に実行され、上記内部サムチェック手段が異常と判定した時には上記外部サムチェック手段は実行されない
    ことを特徴とする請求項7または8に記載の車載電子制御装置。
  10. 上記外部サムチェック手段と上記内部サムチェック手段とは上記マイクロプロセッサの異なる演算サイクルにおいて実行されることを特徴とする請求項7ないし9のいずれか1項に記載の車載電子制御装置。
  11. 上記併用制御回路によって上記マイクロプロセッサに送信される通信情報のサムチェック及び応答タイムアウトチェックを行って異常検出出力を発生する上り通信チェック手段と、
    上記マイクロプロセッサによって該併用制御回路に送信される通信情報のサムチェック及び応答タイムアウトチェックを行って異常検出出力を発生する下り通信チェック手段と
    をさらに備え、
    上記異常記憶回路は上記上り通信チェック手段および上記下り通信チェック手段のいずれか一方が異常を検出した時に該異常動作を記憶する
    ことを特徴とする請求項5、7、9、10のいずれか1項に記載の車載電子制御装置。
  12. 上記併用制御回路によって該マイクロプロセッサに送信される通信情報のサムチェック及び応答タイムアウトチェックを行って異常検出出力を発生する上り通信チェック手段と、
    上記マイクロプロセッサによって該併用制御回路に送信される通信情報のサムチェック及び応答タイムアウトチェックを行って異常検出出力を発生する下り通信チェック手段と
    をさらに備え、
    上記カウンタは上記上り通信チェック手段および上記下り通信チェック手段のいずれか一方が異常を検出した時にも該異常動作を計数する
    ことを特徴とする請求項6、8、9、10のいずれか1項に記載の車載電子制御装置。
  13. 上記併用制御回路は、補助不揮発プログラムメモリと該補助不揮発プログラムメモリの内容によって動作する補助マイクロプロセッサとから構成されるものであって、
    上記マイクロプロセッサに入力された上記補助マイクロプロセッサの発生パルス列であるウォッチドッグ信号を監視して、該ウォッチドッグ信号のパルス幅が所定値以上である時に上記マイクロプロセッサがリセットパルスを発生して、上記補助マイクロプロセッサを再起動させる暴走監視手段をさらに備え、
    上記異常記憶回路は上記暴走監視手段が発生するリセットパルスによって異常動作を記憶する
    ことを特徴とする請求項5、7、9、10および11のいずれか1項に記載の車載電子制御装置。
  14. 上記併用制御回路は、補助不揮発プログラムメモリと該補助不揮発プログラムメモリの内容によって動作する補助マイクロプロセッサとから構成されるものであって、
    上記マイクロプロセッサに入力された上記補助マイクロプロセッサの発生パルス列であるウォッチドッグ信号を監視して、該ウォッチドッグ信号のパルス幅が所定値以上である時に上記マイクロプロセッサがリセットパルスを発生して、上記補助マイクロプロセッサを再起動させる暴走監視手段をさらに備え、
    上記カウンタは上記暴走監視手段が発生するリセットパルスによって異常動作を計数する
    ことを特徴とする請求項6、8、9、10および12のいずれか1項に記載の車載電子制御装置。
  15. 上記照合情報記憶手段は、上記補助不揮発プログラムメモリの一部領域が使用され、
    上記サムチェック用外部照合データは、該一部領域に格納されるとともに、所定の非公開暗号数値であって、
    上記不揮発プログラムメモリは関数変換プログラムを備え、
    上記関数変換プログラムは、上記マイクロプロセッサから上記補助マイクロプロセッサに送信されるサムチェック用外部照合データが上記非公開暗号数値に合致するように、上記不揮発メモリ内のデータの加算集計値に対して関数変換を行うものであることを特徴とする請求項13または14に記載の車載電子制御装置。
  16. 上記補助不揮発プログラムメモリは、上記マイクロプロセッサに対する試行演算算式データと該試行演算算式に対する正解データとを備えると共に、上記補助マイクロプロセッサによって実行される演算チェックプログラムを備え、
    上記不揮発プログラムメモリは、試行演算実行プログラムを備えていて、
    上記試行演算算式データは上記補助マイクロプロセッサから上記マイクロプロセッサに送信され、
    上記試行演算実行プログラムは上記マイクロプロセッサによって実行され、受信した上記試行演算算式データに基づく演算結果データを上記補助マイクロプロセッサに返信し、
    上記演算チェックプログラムは上記補助マイクロプロセッサによって実行され、返信された演算結果データと上記正解データとを比較判定して、比較不一致の時には異常検出出力を発生し、上記異常検出出力によって上記異常記憶回路が異常記憶する
    ことを特徴とする請求項13に記載の車載電子制御装置。
  17. 上記補助不揮発プログラムメモリは、上記マイクロプロセッサに対する試行演算算式データと該試行演算算式に対する正解データとを備えると共に、上記補助マイクロプロセッサによって実行される演算チェックプログラムを備え、
    上記不揮発プログラムメモリは、試行演算実行プログラムを備えていて、
    上記試行演算算式データは上記補助マイクロプロセッサから上記マイクロプロセッサに送信され、
    上記試行演算実行プログラムは上記マイクロプロセッサによって実行され、受信した上記試行演算算式データに基づく演算結果データを上記補助マイクロプロセッサに返信し、
    上記演算チェックプログラムは上記補助マイクロプロセッサによって実行され、返信された演算結果データと上記正解データとを比較判定して、比較不一致の時には異常検出出力を発生し、上記異常検出出力によって上記カウンタが計数動作する
    ことを特徴とする請求項14に記載の車載電子制御装置。
JP2003331895A 2003-09-24 2003-09-24 車載電子制御装置 Expired - Fee Related JP4223909B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2003331895A JP4223909B2 (ja) 2003-09-24 2003-09-24 車載電子制御装置
US10/860,589 US7251551B2 (en) 2003-09-24 2004-06-04 On-vehicle electronic control device
DE102004033095.6A DE102004033095B4 (de) 2003-09-24 2004-07-08 Fahrzeugelektroniksteuereinrichtung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003331895A JP4223909B2 (ja) 2003-09-24 2003-09-24 車載電子制御装置

Publications (2)

Publication Number Publication Date
JP2005100029A true JP2005100029A (ja) 2005-04-14
JP4223909B2 JP4223909B2 (ja) 2009-02-12

Family

ID=34419003

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003331895A Expired - Fee Related JP4223909B2 (ja) 2003-09-24 2003-09-24 車載電子制御装置

Country Status (3)

Country Link
US (1) US7251551B2 (ja)
JP (1) JP4223909B2 (ja)
DE (1) DE102004033095B4 (ja)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009003592A (ja) * 2007-06-20 2009-01-08 Meidensha Corp コンピュータの異常検出・復旧方式
JP2009191620A (ja) * 2008-02-12 2009-08-27 Denso Corp 内燃機関用点火装置
JP2011096087A (ja) * 2009-10-30 2011-05-12 Autonetworks Technologies Ltd 処理装置及び制御方法
JP2011127546A (ja) * 2009-12-18 2011-06-30 Denso Corp 電子制御装置
JP2014088128A (ja) * 2012-10-31 2014-05-15 Denso Corp 車両用表示システム
KR101544777B1 (ko) 2013-11-06 2015-08-17 현대오트론 주식회사 프로세서 감시 장치 및 방법
US10585755B2 (en) 2016-11-29 2020-03-10 Ricoh Company, Ltd. Electronic apparatus and method for restarting a central processing unit (CPU) in response to detecting an abnormality

Families Citing this family (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2873805B1 (fr) * 2004-07-27 2006-11-24 Electricfil Automotive Soc Par Capteur a faible encombrement pour detecter des positions determinees d'un mobile
US9496720B2 (en) 2004-08-20 2016-11-15 Midtronics, Inc. System for automatically gathering battery information
DE102005006832B4 (de) * 2005-02-15 2007-10-04 Infineon Technologies Ag Schaltungsanordnung und Verfahren zur gesicherten Datenverarbeitung und deren Verwendung
JP2006338605A (ja) * 2005-06-06 2006-12-14 Denso Corp プログラム異常監視方法及びプログラム異常監視装置
DE102006023575A1 (de) * 2005-07-18 2007-02-01 Daimlerchrysler Ag Vorrichtung zur Verbrennungsmotor-/Antriebsstrangsteuerung für ein Kraftfahrzeug
JP4211848B2 (ja) * 2007-01-24 2009-01-21 株式会社デンソー 電子制御装置
GB2491304B (en) * 2007-07-17 2013-01-09 Midtronics Inc Battery tester and electric vehicle
US9207661B2 (en) * 2007-07-20 2015-12-08 GM Global Technology Operations LLC Dual core architecture of a control module of an engine
DE102008030092A1 (de) * 2008-06-25 2009-12-31 Audi Ag Elektrisch ansteuerbare Baueinheit eines Kraftfahrzeugs und Verfahren zum Identifizieren einer elektrisch ansteuerbaren Baueinheit eines Kraftfahrzeugs
US9588185B2 (en) 2010-02-25 2017-03-07 Keith S. Champlin Method and apparatus for detecting cell deterioration in an electrochemical cell or battery
US11740294B2 (en) 2010-06-03 2023-08-29 Midtronics, Inc. High use battery pack maintenance
JP5829681B2 (ja) 2010-06-03 2015-12-09 ミッドトロニクス インコーポレイテッド 電気自動車用バッテリパックのメンテナンス
US10046649B2 (en) 2012-06-28 2018-08-14 Midtronics, Inc. Hybrid and electric vehicle battery pack maintenance device
US8412406B2 (en) 2010-08-13 2013-04-02 Deere & Company Method and system for performing diagnostics or software maintenance for a vehicle
FR2968855B1 (fr) * 2010-12-14 2012-12-07 Schneider Electric Ind Sas Procede et dispositif de surveillance d'un dispositif equipe d'un microprocesseur
EP2503459B1 (en) * 2011-03-23 2021-01-20 Volvo Car Corporation Complete and compatible function
JP5847506B2 (ja) * 2011-09-14 2016-01-20 株式会社ケーヒン 電子制御装置及び車両制御システム
DE112012004706T5 (de) 2011-11-10 2014-08-21 Midtronics, Inc. Batteriepack-Testvorrichtung
US9058419B2 (en) * 2012-03-14 2015-06-16 GM Global Technology Operations LLC System and method for verifying the integrity of a safety-critical vehicle control system
US9851411B2 (en) 2012-06-28 2017-12-26 Keith S. Champlin Suppressing HF cable oscillations during dynamic measurements of cells and batteries
US11325479B2 (en) 2012-06-28 2022-05-10 Midtronics, Inc. Hybrid and electric vehicle battery maintenance device
JP5680048B2 (ja) * 2012-11-22 2015-03-04 株式会社リブ技術研究所 自動制御システム、接点情報収集分配装置および自動制御システムの子局
US9156357B2 (en) * 2013-09-11 2015-10-13 GM Global Technology Operations LLC Controller for an electric motor, and a method thereof
US10843574B2 (en) 2013-12-12 2020-11-24 Midtronics, Inc. Calibration and programming of in-vehicle battery sensors
EP2897229A1 (en) 2014-01-16 2015-07-22 Midtronics, Inc. Battery clamp with endoskeleton design
JP5962697B2 (ja) * 2014-03-26 2016-08-03 株式会社デンソー 電子制御装置
JP6353709B2 (ja) 2014-06-09 2018-07-04 矢崎総業株式会社 負荷制御用バックアップ信号発生回路
US10473555B2 (en) 2014-07-14 2019-11-12 Midtronics, Inc. Automotive maintenance system
US10222397B2 (en) 2014-09-26 2019-03-05 Midtronics, Inc. Cable connector for electronic battery tester
WO2016123075A1 (en) 2015-01-26 2016-08-04 Midtronics, Inc. Alternator tester
US9966676B2 (en) 2015-09-28 2018-05-08 Midtronics, Inc. Kelvin connector adapter for storage battery
US10608353B2 (en) 2016-06-28 2020-03-31 Midtronics, Inc. Battery clamp
US9961089B1 (en) * 2016-10-20 2018-05-01 Mitsubishi Electric Research Laboratories, Inc. Distributed estimation and detection of anomalies in control systems
US11054480B2 (en) 2016-10-25 2021-07-06 Midtronics, Inc. Electrical load for electronic battery tester and electronic battery tester including such electrical load
JP2019159992A (ja) * 2018-03-15 2019-09-19 ルネサスエレクトロニクス株式会社 機能安全システム、機能安全システムの安全制御方法及び機能安全プログラム
US11451072B2 (en) * 2018-07-10 2022-09-20 Samsung Sdi Co., Ltd. Battery system
US11513160B2 (en) 2018-11-29 2022-11-29 Midtronics, Inc. Vehicle battery maintenance device
DE102019202527A1 (de) * 2019-02-25 2020-08-27 Robert Bosch Gmbh Sicherheitssystem und Verfahren zum Betreiben eines Sicherheitssystems
US11566972B2 (en) 2019-07-31 2023-01-31 Midtronics, Inc. Tire tread gauge using visual indicator
US11476690B2 (en) 2019-10-25 2022-10-18 Samsung Sdi Co., Ltd. Power supply system
US11545839B2 (en) 2019-11-05 2023-01-03 Midtronics, Inc. System for charging a series of connected batteries
US11668779B2 (en) 2019-11-11 2023-06-06 Midtronics, Inc. Hybrid and electric vehicle battery pack maintenance device
US11474153B2 (en) 2019-11-12 2022-10-18 Midtronics, Inc. Battery pack maintenance system
US11973202B2 (en) 2019-12-31 2024-04-30 Midtronics, Inc. Intelligent module interface for battery maintenance device
US11486930B2 (en) 2020-01-23 2022-11-01 Midtronics, Inc. Electronic battery tester with battery clamp storage holsters

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5481456A (en) * 1990-09-04 1996-01-02 Fuji Jukogyo Kabushiki Kaisha Electronic control system having master/slave CPUs for a motor vehicle
JPH0510201A (ja) 1991-07-04 1993-01-19 Fuji Heavy Ind Ltd 車輌の制御方法
JPH0581222A (ja) 1991-09-20 1993-04-02 Hitachi Ltd 2cpuの動作監視方法
JP3267646B2 (ja) 1991-10-31 2002-03-18 株式会社デンソー データ通信装置
JPH06259267A (ja) 1993-03-04 1994-09-16 Nippon Signal Co Ltd:The 非同期2重系マイクロコンピュータシステムの故障検出装置
JP3818675B2 (ja) 1993-06-28 2006-09-06 株式会社デンソー 入出力処理ic
JP3156493B2 (ja) 1994-03-29 2001-04-16 松下電器産業株式会社 車載用電子制御装置
JP3346079B2 (ja) * 1995-03-10 2002-11-18 株式会社デンソー マルチcpuシステムのデータ入出力処理装置
JPH08339308A (ja) 1995-06-12 1996-12-24 Hitachi Ltd デジタル処理装置
JPH1196044A (ja) * 1997-09-24 1999-04-09 Denso Corp 異常監視回路の異常検出装置及び異常検出方法
JPH11294252A (ja) 1998-04-13 1999-10-26 Denso Corp 電子制御装置
JP3613028B2 (ja) 1998-10-08 2005-01-26 株式会社デンソー メモリチェック装置及びチェック方法
JP2000242528A (ja) 1999-02-24 2000-09-08 Nissan Motor Co Ltd Cpuの暴走監視装置
JP4253979B2 (ja) 2000-01-21 2009-04-15 株式会社デンソー 車載制御ユニットの検査方法
JP2001202266A (ja) 2000-01-21 2001-07-27 Denso Corp 車載制御ユニットの検査方法
JP2001227402A (ja) 2000-02-14 2001-08-24 Denso Corp 車載電子制御装置
JP2002108835A (ja) 2000-09-29 2002-04-12 Mitsubishi Electric Corp 車載電子制御装置
JP3616367B2 (ja) * 2001-10-24 2005-02-02 三菱電機株式会社 電子制御装置
JP3637029B2 (ja) * 2002-03-28 2005-04-06 三菱電機株式会社 車載電子制御装置
JP4065790B2 (ja) * 2003-01-17 2008-03-26 三菱電機株式会社 車載電子制御装置

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009003592A (ja) * 2007-06-20 2009-01-08 Meidensha Corp コンピュータの異常検出・復旧方式
JP2009191620A (ja) * 2008-02-12 2009-08-27 Denso Corp 内燃機関用点火装置
JP2011096087A (ja) * 2009-10-30 2011-05-12 Autonetworks Technologies Ltd 処理装置及び制御方法
JP2011127546A (ja) * 2009-12-18 2011-06-30 Denso Corp 電子制御装置
JP2014088128A (ja) * 2012-10-31 2014-05-15 Denso Corp 車両用表示システム
KR101544777B1 (ko) 2013-11-06 2015-08-17 현대오트론 주식회사 프로세서 감시 장치 및 방법
US10585755B2 (en) 2016-11-29 2020-03-10 Ricoh Company, Ltd. Electronic apparatus and method for restarting a central processing unit (CPU) in response to detecting an abnormality

Also Published As

Publication number Publication date
US7251551B2 (en) 2007-07-31
DE102004033095A1 (de) 2005-05-04
DE102004033095B4 (de) 2016-08-18
US20050085967A1 (en) 2005-04-21
JP4223909B2 (ja) 2009-02-12

Similar Documents

Publication Publication Date Title
JP4223909B2 (ja) 車載電子制御装置
US8712635B2 (en) In-vehicle electronic control apparatus having monitoring control circuit
JP4080980B2 (ja) 電子制御装置
US6678586B2 (en) Vehicle built-in electronic control apparatus
US20090134970A1 (en) In-vehicle electronic control apparatus having monitoring control circuit
US20030158649A1 (en) Vehicular electronic control apparatus
US10911252B2 (en) Communication system for vehicle and method for controlling the same
JP4209743B2 (ja) 電子制御装置
KR20140132390A (ko) 전자 제어 시스템의 기능적 보안성을 향상시키고 이용 가능성을 증대시키는 방법, 및 전자 제어 시스템
US6745120B2 (en) Vehicle-mounted electronic control apparatus
US20180075674A1 (en) Vehicular control device and method of controlling vehicular control device
US20050251308A1 (en) Method and device for controlling the functional unit of a motor vehicle
EP1308811B1 (en) Electronic control device having control and monitoring CPUS
EP2482149B1 (en) Electronic control unit
JP2011032903A (ja) 車両の制御装置
JP2006327217A (ja) 車両制御用プログラム及び車両用電子制御装置
US6352064B1 (en) Electrically controlled throttle control system
JP6380141B2 (ja) 電子制御装置
JP2006195739A (ja) 電子制御装置
JP4538852B2 (ja) 車両用制御装置
JP3370387B2 (ja) マルチcpu構成の車両制御用コンピュータシステムにおける異常対策方式
JP3818218B2 (ja) 車両用電子制御装置
US10514970B2 (en) Method of ensuring operation of calculator
JP2007283788A (ja) 車両用電子制御装置
JP6887277B2 (ja) 自動車用電子制御装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050720

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080325

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20081118

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20081120

R150 Certificate of patent or registration of utility model

Ref document number: 4223909

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111128

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121128

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121128

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131128

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees