JP2018079737A - Electronic controller and diagnosis method for the same - Google Patents

Electronic controller and diagnosis method for the same Download PDF

Info

Publication number
JP2018079737A
JP2018079737A JP2016221763A JP2016221763A JP2018079737A JP 2018079737 A JP2018079737 A JP 2018079737A JP 2016221763 A JP2016221763 A JP 2016221763A JP 2016221763 A JP2016221763 A JP 2016221763A JP 2018079737 A JP2018079737 A JP 2018079737A
Authority
JP
Japan
Prior art keywords
microcomputer
monitoring
function
condition
abnormality
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016221763A
Other languages
Japanese (ja)
Other versions
JP6716429B2 (en
Inventor
貴仁 藤生
Takahito Fujio
貴仁 藤生
昌宏 園田
Masahiro Sonoda
昌宏 園田
俊裕 ▲高▼橋
俊裕 ▲高▼橋
Toshihiro Takahashi
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Automotive Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Automotive Systems Ltd filed Critical Hitachi Automotive Systems Ltd
Priority to JP2016221763A priority Critical patent/JP6716429B2/en
Publication of JP2018079737A publication Critical patent/JP2018079737A/en
Application granted granted Critical
Publication of JP6716429B2 publication Critical patent/JP6716429B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Safety Devices In Control Systems (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide a technology which can deal with function safety measures against latent failures and the like when a second microcomputer is provided with a plurality of monitoring functions monitoring every function of a first microcomputer.SOLUTION: In an electronic controller for an automobile in which a sub microcomputer (3) monitors whether or not there is a failure of a main microcomputer (2) and the main microcomputer (2) diagnoses a monitoring state of the sub microcomputer (3). The sub microcomputer (3) is equipped with a plurality of monitoring parts (Mn) monitoring whether or not there is failure every function of the main microcomputer (2). The main microcomputer (2) is provided with a diagnosis part (22) diagnosing whether or not the respective monitoring parts (Mn) normally operate. The diagnosis part (22) switches a first condition for stopping operation of the main microcomputer (2) to a second condition on which to diagnose in succession whether or not the respective monitoring parts (Mn) operate normally when abnormality is detected in any one of the monitoring parts (Mn) at a resettable timing.SELECTED DRAWING: Figure 1

Description

本発明は、自動車用の電子制御装置及びその診断方法に関する。   The present invention relates to an electronic control device for automobiles and a diagnostic method thereof.

従来から、自動車等の車両用電子制御システムの故障検出装置が知られている(特許文献1参照)。この故障検出装置によれば、第1のマイクロコンピュータと、その第1のマイクロコンピュータの故障の有無を監視する監視機能を有する第2のマイクロコンピュータを備えている。さらに、第1のマイクロコンピュータは、第2のマイクロコンピュータの監視機能が正しく動作しているか否かを判定する。具体的には、第1のマイクロコンピュータが、第2のマイクロコンピュータの監視機能(例えば監視回路等)に対して、故意に誤った診断用信号を送信して、その監視機能が故障検出信号を出力するか否かを判定する診断手段を備えている。   Conventionally, a failure detection apparatus for an electronic control system for a vehicle such as an automobile is known (see Patent Document 1). According to this failure detection apparatus, the first microcomputer and the second microcomputer having a monitoring function for monitoring the presence or absence of the failure of the first microcomputer are provided. Further, the first microcomputer determines whether or not the monitoring function of the second microcomputer is operating correctly. Specifically, the first microcomputer intentionally transmits an erroneous diagnostic signal to the monitoring function (such as a monitoring circuit) of the second microcomputer, and the monitoring function outputs a failure detection signal. Diagnostic means for determining whether or not to output is provided.

ところで、従来から、機能安全の国際基準(例えば、自動車用機能安全規格(ISO 26262))が知られている。そこで、例えば、潜在故障(レイテントフォールト)等の機能安全対策に、上記の診断手段を適用することが考えられる。   Conventionally, international standards for functional safety (for example, functional safety standards for automobiles (ISO 26262)) are known. Therefore, for example, it is conceivable to apply the above diagnostic means to a functional safety measure such as a latent failure (latent fault).

特開2002−99321号公報JP 2002-99321 A

しかし、上記の診断手段は、例えば、運転者のキーオフ操作後に電源が遮断されるまでのシャットダウンの最中に実行されるところ、毎回のキーオフ操作時に、監視機能の診断を切り替えるので、1回のシャットダウンで1つの監視機能しか診断ができない。したがって、監視機能が複数存在する場合について、潜在故障等の機能安全対策への対応が問題となる。   However, the above-mentioned diagnosis means is executed during the shutdown until the power is turned off after the driver's key-off operation, for example, and the diagnosis of the monitoring function is switched at each key-off operation. Only one monitoring function can be diagnosed by shutdown. Therefore, in the case where there are a plurality of monitoring functions, there is a problem in dealing with functional safety measures such as latent failures.

そこで、本発明は、上記問題点に鑑み、第2のマイクロコンピュータが第1のマイクロコンピュータの機能毎に監視する監視機能を複数備えている場合、潜在故障等の機能安全対策に対応し得る技術を提供することを目的とする。   Therefore, in view of the above problems, the present invention is a technology that can cope with functional safety measures such as a potential failure when the second microcomputer has a plurality of monitoring functions for monitoring each function of the first microcomputer. The purpose is to provide.

本発明に係る自動車用の電子制御装置は、第1のマイクロコンピュータの故障の有無を第2のマイクロコンピュータが監視し、上記第1のマイクロコンピュータが上記第2のマイクロコンピュータの監視状態を診断する自動車用の電子制御装置であって、上記第2のマイクロコンピュータは、上記第1のマイクロコンピュータの機能毎に上記故障の有無を監視する複数の監視部を備え、上記第1のマイクロコンピュータは、複数の前記監視部が正常に動作しているか否かを診断する診断部を備え、上記診断部は、シャットダウンが可能なタイミングにおいて、上記監視部の何れか1つに異常を検出したときに上記第1のマイクロコンピュータをリセットする第1の条件から、複数の上記監視部が正常に動作しているか否かを順番に診断する第2の条件に切り替える。   In the electronic control apparatus for automobiles according to the present invention, the second microcomputer monitors whether or not the first microcomputer is broken, and the first microcomputer diagnoses the monitoring state of the second microcomputer. An electronic control device for an automobile, wherein the second microcomputer includes a plurality of monitoring units that monitor the presence or absence of the failure for each function of the first microcomputer, and the first microcomputer includes: A diagnostic unit for diagnosing whether or not a plurality of the monitoring units are operating normally, and the diagnostic unit detects an abnormality in any one of the monitoring units at a timing capable of being shut down; From the first condition for resetting the first microcomputer, a first diagnosis is made in order as to whether or not the plurality of monitoring units are operating normally. Switch to the conditions.

また、本発明に係る自動車用の電子制御装置の診断方法は、第1のマイクロコンピュータの故障の有無を第2のマイクロコンピュータが監視し、上記第1のマイクロコンピュータが上記第2のマイクロコンピュータの監視状態を診断する自動車用の電子制御装置の診断方法であって、上記第2のマイクロコンピュータの複数の監視部は、上記第1のマイクロコンピュータの機能毎に上記故障の有無を監視し、上記第1のマイクロコンピュータの診断部は、シャットダウンが可能なタイミングにおいて、上記監視部の何れか1つに異常を検出したときに上記第1のマイクロコンピュータをリセットする第1の条件から、複数の上記監視部が正常に動作しているか否かを順番に診断する第2の条件に切り替えて上記監視部を診断する。   In the method for diagnosing an electronic control device for automobiles according to the present invention, the second microcomputer monitors whether or not the first microcomputer has a failure, and the first microcomputer uses the second microcomputer. A method for diagnosing a vehicle electronic control device for diagnosing a monitoring state, wherein the plurality of monitoring units of the second microcomputer monitor the presence or absence of the failure for each function of the first microcomputer, and The diagnosis unit of the first microcomputer has a plurality of the above-described conditions from the first condition that resets the first microcomputer when an abnormality is detected in any one of the monitoring units at a timing when the shutdown is possible. The monitoring unit is diagnosed by switching to the second condition for sequentially diagnosing whether the monitoring unit is operating normally.

本発明によれば、第2のマイクロコンピュータが第1のマイクロコンピュータの機能毎に監視する監視機能を複数備えている場合、潜在故障等の機能安全対策に対応し得る技術を提供できる。   ADVANTAGE OF THE INVENTION According to this invention, when the 2nd microcomputer is provided with two or more monitoring functions which monitor for every function of a 1st microcomputer, the technique which can respond to functional safety measures, such as a latent failure, can be provided.

本実施形態における電子制御装置の構成例を示す機能ブロック図である。It is a functional block diagram which shows the structural example of the electronic controller in this embodiment. 本実施形態における電子制御装置の動作例を示すフローチャートである。It is a flowchart which shows the operation example of the electronic control apparatus in this embodiment. 本実施形態における電子制御装置のタイムチャートの一例を示す説明図である。It is explanatory drawing which shows an example of the time chart of the electronic control apparatus in this embodiment. 本実施形態における電子制御装置のタイムチャートの一例を示す説明図である。It is explanatory drawing which shows an example of the time chart of the electronic control apparatus in this embodiment. 本実施形態における電子制御装置のタイムチャートの一例を示す説明図である。It is explanatory drawing which shows an example of the time chart of the electronic control apparatus in this embodiment.

以下、添付された図面を参照し、本発明を実施するための実施形態について詳述する。
[本実施形態の構成例]
図1は、本実施形態における電子制御装置の構成例を示す機能ブロック図である。図1に示す電子制御装置1は、自動車に搭載され、例えば、メインのマイクロコンピュータ(以下、「メインマイコン」という。)2及びそのメインマイコン2の故障の有無を監視するサブのマイクロコンピュータ(以下、「サブマイコン」という。)3を含む。ここで、メインマイコン2は、第1のマイクロコンピュータの一例であり、サブマイコン3は、第2のマイクロコンピュータの一例である。 Hereinafter, embodiments for carrying out the present invention will be described in detail with reference to the accompanying drawings.
[Configuration example of this embodiment]
FIG. 1 is a functional block diagram illustrating a configuration example of an electronic control device according to the present embodiment. An electronic control device 1 shown in FIG. 1 is mounted on an automobile, and includes, for example, a main microcomputer (hereinafter referred to as “main microcomputer”) 2 and a sub microcomputer (hereinafter referred to as a failure of the main microcomputer 2). And “sub-microcomputer”) 3. Here, the main microcomputer 2 is an example of a first microcomputer, and the sub-microcomputer 3 is an example of a second microcomputer.

また、電子制御装置1は、カットオフ回路4、電源回路5、IGN(Ignition)6に接続されている。さらに、電子制御装置1は、図示省略の各種センサに接続されており、例えば、TCU(Transmission Control Unit)用としてトランスミッションのソレノイドの制御を実行する。また、電子制御装置1も、一例として図示省略のECU(Engine Control Unit)により制御されている。   The electronic control device 1 is connected to a cut-off circuit 4, a power supply circuit 5, and an IGN (Ignition) 6. Furthermore, the electronic control unit 1 is connected to various sensors (not shown), and executes transmission solenoid control for, for example, a TCU (Transmission Control Unit). The electronic control device 1 is also controlled by an ECU (Engine Control Unit) (not shown) as an example.

メインマイコン2は、内部に、CPU(Central Processing Unit)、RAM(Random Access Memory)、入出力回路(I/O)及び通信インタフェース(I/F)を含む(図示省略)。また、メインマイコン2は、第1機能F1、第2機能F2、・・・第n機能Fn、不揮発性メモリ20等のフラッシュROM(Read Only Memory)、通信部21及び診断部22を備える。メインマイコン2は、第1機能F1、第2機能F2、・・・第n機能Fnについて、これらの機能を担うものである。ここで、本実施形態では、説明の便宜上、一例として、n=3の場合について例示するが、これに限定されない。   The main microcomputer 2 includes a CPU (Central Processing Unit), a RAM (Random Access Memory), an input / output circuit (I / O), and a communication interface (I / F) (not shown). The main microcomputer 2 includes a first function F1, a second function F2,... An nth function Fn, a flash ROM (Read Only Memory) such as a nonvolatile memory 20, a communication unit 21, and a diagnosis unit 22. The main microcomputer 2 bears these functions for the first function F1, the second function F2,... The nth function Fn. Here, in this embodiment, for convenience of explanation, a case where n = 3 is illustrated as an example, but is not limited thereto.

第1機能F1は、例えば、メインマイコン2の不揮発性メモリ20やRAM等のメモリ診断をする機能モジュールである。第2機能F2は、例えば、メインマイコン2が正しい処理順序で動作しているか否かを確認するため、プログラムフローの診断をする機能モジュールである。第3機能F3は、例えば、いわゆるWDT(Watch Dog Timer)の機能モジュールである。また、メインマイコン2は、サブマイコン3と通信するための複数のポートP21〜P27や電源回路5を制御するためのポートP28を備える。   The first function F1 is a functional module that performs memory diagnosis such as the nonvolatile memory 20 and the RAM of the main microcomputer 2. The second function F2 is a function module that diagnoses the program flow in order to confirm whether the main microcomputer 2 is operating in the correct processing order, for example. The third function F3 is, for example, a so-called WDT (Watch Dog Timer) function module. The main microcomputer 2 includes a plurality of ports P21 to P27 for communicating with the sub-microcomputer 3 and a port P28 for controlling the power supply circuit 5.

一方、サブマイコン3は、内部に、CPU、フラッシュROM、RAM、入出力回路(I/O)及び通信インタフェース(I/F)を含む(図示省略)。また、サブマイコン3は、切替スイッチSWやメインマイコン2の監視機能として、第1監視機能M1、第2監視機能M2、・・・第n監視機能Mnを備える。ここで、本実施形態では、説明の便宜上、n=3の場合について例示するが、これに限定されない。さらに、サブマイコン3は、通信監視機能C1、OR/AND切替S1を備える。また、サブマイコン3は、メインマイコン2と通信するための複数のポートP31〜P37やカットオフ回路を制御するためのポートP38を備える。   On the other hand, the sub-microcomputer 3 includes a CPU, a flash ROM, a RAM, an input / output circuit (I / O), and a communication interface (I / F) (not shown). Further, the sub-microcomputer 3 includes a first monitoring function M1, a second monitoring function M2,... An n-th monitoring function Mn as monitoring functions of the changeover switch SW and the main microcomputer 2. Here, in this embodiment, the case of n = 3 is illustrated for convenience of explanation, but the present invention is not limited to this. Further, the sub-microcomputer 3 includes a communication monitoring function C1 and an OR / AND switch S1. The sub-microcomputer 3 includes a plurality of ports P31 to P37 for communicating with the main microcomputer 2 and a port P38 for controlling the cut-off circuit.

サブマイコン3において、第1監視機能M1は、例えば、上記のメモリ診断処理が正しく動作しているか否かを判定するプログラムを実行して、第1機能F1を監視する。第2監視機能M2は、例えば、メインマイコン2のプログラムフローの診断が正しく動作しているか否かを判定するプログラムを実行して、第2機能F2を監視する。第3監視機能M3は、例えば、WDTが正しく動作しているか否かを判定するプログラムを実行して、第3機能F3を監視する。通信監視機能C1は、メインマイコン2との通信を監視する。ここで、第1監視機能M1、第2監視機能M2、第3監視機能M3及び通信監視機能C1は、それぞれ監視部の一例である。これらの監視部は、異常を検出すると、メインマイコン2について故障ありと判定する。OR/AND切替S1は、切替スイッチSWの切り替えを制御する。   In the sub-microcomputer 3, the first monitoring function M1 monitors the first function F1, for example, by executing a program for determining whether or not the above-described memory diagnostic processing is operating correctly. The second monitoring function M2 monitors the second function F2, for example, by executing a program that determines whether or not the program flow diagnosis of the main microcomputer 2 is operating correctly. For example, the third monitoring function M3 executes a program for determining whether or not the WDT is operating correctly, and monitors the third function F3. The communication monitoring function C1 monitors communication with the main microcomputer 2. Here, each of the first monitoring function M1, the second monitoring function M2, the third monitoring function M3, and the communication monitoring function C1 is an example of a monitoring unit. When these monitoring units detect an abnormality, the main microcomputer 2 determines that there is a failure. The OR / AND switch S1 controls switching of the switch SW.

ここで、サブマイコン3は、監視機能処理として、例えば一定周期で監視し、Highで正常、Lowで異常を検出する。また、サブマイコン3は、所定時間の通信途絶により、通信監視機能C1が異常を検出するようにする。OR/AND切替S1は、ポートP35で受信するデータを監視して、HighでAND条件、LowでOR条件に切り替える。なお、AND条件は、上記第2の条件に相当し、OR条件は、上記第1の条件に相当する。なお、第1の条件では、異常検出時に安全状態に移行させるため、メインマイコン2をリセットし、例えば、予め定めたフェール制御を実行する。   Here, as the monitoring function process, the sub-microcomputer 3 monitors, for example, at a constant cycle, and detects normality with High and abnormality with Low. Further, the sub-microcomputer 3 causes the communication monitoring function C1 to detect an abnormality due to communication interruption for a predetermined time. The OR / AND switch S1 monitors the data received at the port P35 and switches to the AND condition at High and the OR condition at Low. The AND condition corresponds to the second condition, and the OR condition corresponds to the first condition. Note that, in the first condition, the main microcomputer 2 is reset and, for example, predetermined fail control is executed in order to shift to a safe state when an abnormality is detected.

カットオフ回路4は、ソレノイドへの電源(消費される電力)の供給をカットする。ここで、本実施形態では、異常検出時にソレノイドへの電源の供給をカットしてフェール制御に移行するようにしている。   The cut-off circuit 4 cuts off the supply of power (consumed power) to the solenoid. Here, in the present embodiment, the supply of power to the solenoid is cut when an abnormality is detected, and the control shifts to fail control.

電源回路5は、WAKEの処理を実行する。WAKEの機能では、論理的に、High(オン)側になっていると電源がオン状態を表しており、Low(オフ)側になると電源が落ちるようになっている。IGN6は、イグニッションキーによりイグニッションスイッチがオンである場合に電源回路5に電力を供給する。   The power supply circuit 5 executes WAKE processing. In the WAKE function, logically, the power is on when it is on the High side, and the power is turned off when it is on the Low side. The IGN 6 supplies power to the power supply circuit 5 when the ignition switch is turned on by the ignition key.

本実施形態では、通常、サブマイコン3のリセット処理により、リセットポートP27を介してサブマイコン3からメインマイコン2へリセットの指示がなされ、メインマイコン2をシャットダウンする。但し、サブマイコン3の監視部に異常が発生した場合には、メインマイコン2が自らシャットダウンする。   In this embodiment, normally, by reset processing of the sub-microcomputer 3, a reset instruction is given from the sub-microcomputer 3 to the main microcomputer 2 via the reset port P27, and the main microcomputer 2 is shut down. However, when an abnormality occurs in the monitoring unit of the sub-microcomputer 3, the main microcomputer 2 shuts down itself.

また、通信部21は、メインマイコン2の通信処理を制御する。診断部22は、第1監視機能M1、第2監視機能M2、第3監視機能M3、通信監視機能C1が正常に動作しているか否かを診断する。診断部22は、例えば、キーオフ操作により、シャットダウンに移行するタイミングにおいて、監視部の何れか1つに異常を検出したときにメインマイコン2をリセットする第1の条件から、第1監視機能M1、第2監視機能M2、第3監視機能M3及び通信監視機能C1等の監視部が正常に動作しているか否かを順番に診断する第2の条件に切り替える。   The communication unit 21 controls communication processing of the main microcomputer 2. The diagnosis unit 22 diagnoses whether the first monitoring function M1, the second monitoring function M2, the third monitoring function M3, and the communication monitoring function C1 are operating normally. For example, the diagnosis unit 22 performs the first monitoring function M1, from the first condition for resetting the main microcomputer 2 when an abnormality is detected in any one of the monitoring units at the timing of shifting to shutdown by a key-off operation. It switches to the 2nd condition which diagnoses in order whether monitoring parts, such as the 2nd monitoring function M2, the 3rd monitoring function M3, and the communication monitoring function C1, are operating normally.

ここで、自動車の走行時には、診断部22が監視部の何れか1つに異常を検出したときに、第1の条件を適用するのは、メインマイコン2の機能の内で1つでも異常が発生した場合、機能安全の観点から、例えば、すぐにフェール制御に移行できるようにするためである。なお、異常検出後に運転手に異常を通知する手段としては、例えば、故障警告灯(MIL(Malfunction Indication Lamp)点灯)を利用してよい。   Here, when the vehicle is running, when the diagnosis unit 22 detects an abnormality in any one of the monitoring units, the first condition is applied even if one of the functions of the main microcomputer 2 is abnormal. If this occurs, from the viewpoint of functional safety, for example, it is possible to immediately shift to fail control. As a means for notifying the driver of the abnormality after detecting the abnormality, for example, a failure warning lamp (MIL (Malfunction Indication Lamp) lighting) may be used.

一方、キーオフ操作を受け付けた場合には、メインマイコン2は、第2の条件により、例えば、監視部の全てが正常であることを確認した上でメインマイコン2のリセットを実行する。したがって、この第2条件では、機能安全の観点から潜在故障の対策として1回のシャットダウンにより、サブマイコン3の複数の監視部が正常動作した旨を次回のキーオン操作時に保障することができる。つまり、第2条件を実行することは、サブマイコン3がメインマイコン2の機能毎に監視する監視機能を複数備えている場合、潜在故障等の機能安全対策に対応し得ることを意味する。以下、キーオフ操作を受け付けた場合の動作処理を詳細に説明する。   On the other hand, when the key-off operation is accepted, the main microcomputer 2 executes reset of the main microcomputer 2 after confirming that all of the monitoring units are normal, for example, under the second condition. Therefore, under this second condition, it is possible to guarantee at the next key-on operation that the plurality of monitoring units of the sub-microcomputer 3 have normally operated by one shutdown as a countermeasure against a potential failure from the viewpoint of functional safety. That is, executing the second condition means that if the sub-microcomputer 3 has a plurality of monitoring functions for monitoring each function of the main microcomputer 2, it can cope with functional safety measures such as a latent failure. Hereinafter, the operation process when the key-off operation is received will be described in detail.

[本実施形態の動作処理]
図2は、本実施形態における電子制御装置の動作例を示すフローチャートである。図3は、本実施形態における電子制御装置のタイムチャートの一例を示す説明図である。図3では、IGN6、OR/AND切替S1、第1機能F1、第2機能F2、第3機能F3、通信部21の通信、リセットの実行タイミングやセルフシャットポートP28を介したシャットダウンの実行タイミングを概略的に示している。また、説明をわかりやすくするため、各機能の応答状態の実行タイミングを示す第1機能F1のフィードバック(通信)、第2機能F2のフィードバック(通信)及び第3機能F3のフィードバック(通信)をタイミングチャートに示している。なお、以下の処理において、メインマイコン2は、メインマイコン2のCPUが処理を実行し、サブマイコン3は、サブマイコン3のCPUが処理を実行する。 [Operation processing of this embodiment]
FIG. 2 is a flowchart illustrating an operation example of the electronic control device according to the present embodiment. FIG. 3 is an explanatory diagram illustrating an example of a time chart of the electronic control device according to the present embodiment. In FIG. 3, IGN6, OR / AND switching S1, first function F1, second function F2, third function F3, communication of communication unit 21, reset execution timing, and shutdown execution timing via self-shut port P28 are shown. Shown schematically. In order to make the explanation easy to understand, the feedback (communication) of the first function F1, the feedback (communication) of the second function F2, and the feedback (communication) of the third function F3 indicating the execution timing of the response state of each function are timingd. Shown in the chart. In the following processing, the main microcomputer 2 executes processing by the CPU of the main microcomputer 2, and the sub microcomputer 3 executes processing by the CPU of the sub microcomputer 3.

ステップS101:メインマイコン2は、IGN6を介して、イグニッションスイッチがオフされたか否かを判定する。イグニッションスイッチがオフされた場合(ステップS101:Yes)、ステップS102の処理に移行する(図3の時刻t1参照)。イグニッションスイッチがオン状態であれば(ステップS101:No)、ステップS101の処理を繰り返す。但し、フローチャートには示していないが、イグニッションスイッチがオンされてオフされるまでの間について、診断部22は、所定の周期で第1の条件の診断を実行する。   Step S101: The main microcomputer 2 determines whether or not the ignition switch is turned off via the IGN 6. When the ignition switch is turned off (step S101: Yes), the process proceeds to step S102 (see time t1 in FIG. 3). If the ignition switch is on (step S101: No), the process of step S101 is repeated. However, although not shown in the flowchart, the diagnosis unit 22 executes the diagnosis of the first condition at a predetermined cycle until the ignition switch is turned on and turned off.

ステップS102:メインマイコン2の診断部22は、サブマイコン3に対してOR条件からAND条件への切り替えの指示命令を送信する。サブマイコン3は、指示命令を受信すると、OR/AND切替S1は、切替スイッチSWの回路をOR条件からAND条件へ切り替える(図3の時刻t2参照)。この切り替えにより、第1の条件から第2の条件に変更される。ここで、第2条件での診断を以下「AND手法」という。サブマイコン3は、タイムアウトにならない限り、AND条件の切替完了を示すデータとして「AND切替完了」をメインマイコン2へ送信する。   Step S102: The diagnosis unit 22 of the main microcomputer 2 transmits an instruction command for switching from the OR condition to the AND condition to the sub-microcomputer 3. When the sub-microcomputer 3 receives the instruction command, the OR / AND switch S1 switches the circuit of the switch SW from the OR condition to the AND condition (see time t2 in FIG. 3). By this switching, the first condition is changed to the second condition. Here, the diagnosis under the second condition is hereinafter referred to as an “AND method”. The sub-microcomputer 3 transmits “AND switching completion” to the main microcomputer 2 as data indicating completion of switching of the AND conditions unless time-out occurs.

ステップS103:診断部22は、ステップS102の処理後に「AND切替完了」の受信待ち状態に移行し、通信部21が「AND切替完了」のデータを受信したか否かを判定する。「AND切替完了」のデータを受信した場合(ステップS103:Yes)、ステップS104の処理に移行する。一方、「AND切替完了」のデータを受信しない場合(ステップS103:No)、後述するステップS113に移行する。   Step S103: After the process of step S102, the diagnosis unit 22 shifts to a reception waiting state of “AND switching completion”, and determines whether or not the communication unit 21 has received data of “AND switching completion”. When the data “AND switching complete” is received (step S103: Yes), the process proceeds to step S104. On the other hand, when the “AND switching completion” data is not received (step S103: No), the process proceeds to step S113 described later.

ステップS104:診断部22は、先ず、サブマイコン3の複数の監視部(第1監視機能M1、第2監視機能M2、第3監視機能M3)を順番にチェックするため、カウンタを初期設定(X=1)する。   Step S104: First, the diagnosis unit 22 initializes the counter to check the plurality of monitoring units (first monitoring function M1, second monitoring function M2, and third monitoring function M3) of the sub-microcomputer 3 in order (X = 1).

ステップS105:診断部22は、メインマイコン2のX番目における監視対象の機能を故意に異常設定する(X=1の場合、図3の時刻t3参照)。これにより、サブマイコン3は、X番目の監視対象の機能を診断処理する。なお、故意に異常設定するのは、X番目の機能を監視する監視部が異常を検出できるか否かで正常動作の有無を容易に判定できるからである。   Step S105: The diagnosis unit 22 intentionally abnormally sets the X-th monitoring target function of the main microcomputer 2 (when X = 1, see time t3 in FIG. 3). As a result, the sub-microcomputer 3 performs a diagnosis process on the X-th monitoring target function. The reason why the abnormality is intentionally set is that the presence or absence of normal operation can be easily determined by whether or not the monitoring unit that monitors the Xth function can detect the abnormality.

ここで、異常設定の手段として、例えば、メモリ診断であれば、メインマイコン2から、メモリ診断エラーとなるデータを送信し、サブマイコン3の第1監視機能M1が、正常であれば、そのデータに基づいて、メモリ診断エラーとして異常を検出する。そして、診断部22は、サブマイコン3からメモリ診断エラー(異常検出)を示すデータを受信することで、第1監視機能M1が正常に動作していると判定することができる。   Here, as an abnormality setting means, for example, in the case of memory diagnosis, data that causes a memory diagnosis error is transmitted from the main microcomputer 2, and if the first monitoring function M1 of the sub-microcomputer 3 is normal, the data Based on the above, an abnormality is detected as a memory diagnosis error. The diagnosis unit 22 can determine that the first monitoring function M1 is operating normally by receiving data indicating a memory diagnosis error (abnormality detection) from the sub-microcomputer 3.

また、プログラムフローの診断であれば、メインマイコン2から、プログラムフローの診断エラーとなるデータを送信し、サブマイコン3の第2監視機能M2が、正常であれば、そのデータに基づいて、プログラムフローの診断エラーとして異常を検出する。そして、診断部22は、サブマイコン3からプログラムフローの診断エラー(異常検出)を示すデータを受信することで、第2監視機能M2が正常に動作していると判定することができる。   If the diagnosis is a program flow, the main microcomputer 2 transmits data that causes a diagnosis error of the program flow. If the second monitoring function M2 of the sub-microcomputer 3 is normal, the program is executed based on the data. An abnormality is detected as a flow diagnostic error. The diagnostic unit 22 can determine that the second monitoring function M2 is operating normally by receiving data indicating a diagnostic error (abnormality detection) in the program flow from the sub-microcomputer 3.

さらに、WDTの診断であれば、メインマイコン2から第3監視機能M3に対し、WDTが正常であれば、所定周期のパルス信号を送信し、第3監視機能M3は、所定の周期でパルス信号を受信すると正常であると判定する。この場合、異常設定として、メインマイコン2から故意にパルス信号の送信を停止すると、第3監視機能M3が正常であれば、異常を検出する。そして、診断部22は、サブマイコン3からWDTのエラー(異常検出)を示すデータを受信することで、第3監視機能M3正常に動作していると判定することができる。   Further, if the WDT is diagnosed, if the WDT is normal, the main microcomputer 2 transmits a pulse signal having a predetermined period to the third monitoring function M3. The third monitoring function M3 transmits the pulse signal at a predetermined period. Is received, it is determined to be normal. In this case, if the transmission of the pulse signal is intentionally stopped from the main microcomputer 2 as the abnormality setting, the abnormality is detected if the third monitoring function M3 is normal. The diagnosis unit 22 can determine that the third monitoring function M3 is operating normally by receiving data indicating a WDT error (abnormality detection) from the sub-microcomputer 3.

ステップS106:診断部22は、サブマイコン3側で、X番目の監視対象の機能に対応する監視部が、異常検出に成功したか否かを判定する。成功した場合(ステップS106:Yes)、ステップS107の処理に移行する。一方、失敗した場合(ステップS106:No)、後述するステップS111の処理に移行する。   Step S106: The diagnosis unit 22 determines on the sub-microcomputer 3 side whether or not the monitoring unit corresponding to the function of the Xth monitoring target has successfully detected the abnormality. If successful (step S106: Yes), the process proceeds to step S107. On the other hand, when it fails (step S106: No), it transfers to the process of step S111 mentioned later.

ステップS107:診断部22は、次の監視部をチェックするため、カウンタをインクリメント(X=X+1)する。   Step S107: The diagnosis unit 22 increments the counter (X = X + 1) to check the next monitoring unit.

ステップS108:診断部22は、複数の監視部のチェックが終了したか否かを判定する。予め設定した監視部の数について、チェックが終了した場合(ステップS108:Yes)、ステップS109の処理に移行する。一方、チェックが終了していない場合(ステップS108:No)、ステップS105の処理に戻る。なお、ステップS105〜S108の処理の流れは、図3を用いて説明すると以下の通りである。すなわち、例えば、第1監視機能M1が第1機能F1の異常検出に成功した場合、第1機能F1のフィードバック(通信)として、サブマイコン3からメインマイコン2に、完了通知が送信され、完了通知の受信により、診断部22は、次の第2機能F2に対して故意に異常設定する。以下、機能X(図2の例では、X=3)まで、同様の処理を繰り返す。   Step S108: The diagnosis unit 22 determines whether or not the checks of the plurality of monitoring units have been completed. When the check is finished for the preset number of monitoring units (step S108: Yes), the process proceeds to step S109. On the other hand, when the check has not ended (step S108: No), the process returns to step S105. The process flow of steps S105 to S108 will be described below with reference to FIG. That is, for example, when the first monitoring function M1 succeeds in detecting the abnormality of the first function F1, a completion notification is transmitted from the sub-microcomputer 3 to the main microcomputer 2 as feedback (communication) of the first function F1, and the completion notification , The diagnostic unit 22 intentionally sets an abnormality for the next second function F2. Thereafter, the same processing is repeated until the function X (X = 3 in the example of FIG. 2).

ステップS109:診断部22は、通信を故意に途絶する(図3の時刻t4参照)。なお、本実施形態では、通信監視機能C1の異常の有無を最後に診断するのは、図3に示す通り、メインマイコン2がサブマイコン3から各機能の異常検知のフィードバックを通信にて受理するためである。これにより、診断部22は、異常の有無を効率的に診断することができる。   Step S109: The diagnosis unit 22 intentionally interrupts communication (see time t4 in FIG. 3). In the present embodiment, the last diagnosis of the presence or absence of abnormality in the communication monitoring function C1 is performed as follows. The main microcomputer 2 receives feedback of abnormality detection of each function from the sub-microcomputer 3 through communication, as shown in FIG. Because. Thereby, the diagnosis part 22 can diagnose efficiently the presence or absence of abnormality.

ステップS110:診断部22は、タイムアウトしたか否かを判定する。タイムアウトした場合(ステップS110:Yes)、後述するステップS115に移行する。一方、タイムアウトしていない場合(ステップS110:No)、タイムアウトするまで、ステップS110の処理を繰り返す。   Step S110: The diagnosis unit 22 determines whether a timeout has occurred. When the timeout has occurred (step S110: Yes), the process proceeds to step S115 described later. On the other hand, when the time-out has not occurred (step S110: No), the process of step S110 is repeated until time-out.

ステップS111:診断部22は、ステップS106でNo判定された後、タイムアウトしたか否かを判定する。タイムアウトしていない場合(ステップS111:No)、ステップS105の処理に戻るが、既に、メインマイコン2の当該監視対象の機能を故意に異常設定しているので、そのまま、ステップS106の処理に移行してもよいし、必要に応じて、異常設定の再設定を実行してもよい。一方、タイムアウトした場合(ステップS111:Yes)、ステップS112に移行する。   Step S111: The diagnosis unit 22 determines whether or not a time-out has occurred after a negative determination is made in step S106. If the time-out has not occurred (step S111: No), the process returns to the process of step S105, but since the function to be monitored of the main microcomputer 2 has already been intentionally set abnormally, the process proceeds to the process of step S106. Alternatively, the abnormal setting may be reset as necessary. On the other hand, if a timeout has occurred (step S111: Yes), the process proceeds to step S112.

ステップS112:診断部22は、X番目の監視部について、故障判定をする。そして、診断部22は、不揮発性メモリ20に故障内容を記録する。   Step S112: The diagnosis unit 22 makes a failure determination for the Xth monitoring unit. Then, the diagnosis unit 22 records the failure content in the nonvolatile memory 20.

ステップS113:診断部22は、ステップS103でNo判定された後、タイムアウトしたか否かを判定する。タイムアウトしていない場合(ステップS113:No)、ステップS102の処理に戻るが、既に、切替スイッチSWの回路をOR条件からAND条件へ切り替えているので、そのまま、ステップS103の処理に移行してもよいし、必要に応じて、OR条件からAND条件への切り替えをやり直してもよい。一方、タイムアウトした場合(ステップS113:Yes)、ステップS114に移行する。   Step S113: The diagnosis unit 22 determines whether or not a time-out has occurred after No is determined in Step S103. If the time-out has not occurred (step S113: No), the process returns to step S102, but since the circuit of the changeover switch SW has already been switched from the OR condition to the AND condition, the process proceeds to step S103 as it is. Alternatively, switching from the OR condition to the AND condition may be performed again as necessary. On the other hand, if a time-out has occurred (step S113: Yes), the process proceeds to step S114.

ステップS114:診断部22は、AND切替ライン(OR/AND切替S1)の故障判定をする。そして、メインマイコン2は、不揮発性メモリ20に故障内容を記録する。   Step S114: The diagnosis unit 22 determines a failure in the AND switching line (OR / AND switching S1). The main microcomputer 2 records the failure content in the nonvolatile memory 20.

ステップS115:メインマイコン2は、リセットによりセルフシャットダウンを実行する(図3の時刻t5参照)。具体的には、メインマイコン2は、メインマイコン2のCPUをリセットし、このCPUのリセットにて、セルフシャットポートはLowになり、シャットダウンを実行する。なお、メインマイコン2は、シャットダウンする前に、カットオフ回路4を介してTCUのソレノイドへの電源の供給をカットし、また、サブマイコン3から、診断結果の通知を受信して、不揮発性メモリ20にその診断結果を記録する。そして、図2に示すフローチャートの処理を終了する。   Step S115: The main microcomputer 2 executes self-shutdown by reset (see time t5 in FIG. 3). Specifically, the main microcomputer 2 resets the CPU of the main microcomputer 2, and upon resetting the CPU, the self-shut port becomes Low and executes shutdown. Before shutting down, the main microcomputer 2 cuts off the power supply to the solenoid of the TCU via the cut-off circuit 4 and receives a diagnosis result notification from the sub-microcomputer 3 to store the nonvolatile memory. The diagnosis result is recorded in 20. Then, the process of the flowchart shown in FIG.

以上より、診断部22が故意に異常に設定した場合、ステップS110からステップS115のルートを辿ると、サブマイコン3の監視機能の全てが、異常検出処理を実行することで正常に動作していることが裏付けられる。つまり、本実施形態では、リセットによりシャットダウンすることで全ての監視部について、正常であると判定することができる。   As described above, when the diagnosis unit 22 intentionally sets an abnormality, when following the route from step S110 to step S115, all the monitoring functions of the sub-microcomputer 3 are operating normally by executing the abnormality detection process. That is supported. That is, in this embodiment, it can be determined that all monitoring units are normal by shutting down by reset.

図4は、本実施形態における電子制御装置のタイムチャートの一例を示す説明図である。図4に示すタイムチャートは、診断部22が、監視部(一例として、第2監視機能M2)の異常を検出した場合を例示している。診断部22は、第2機能F2の処理において、時刻t1で異常設定にしたにも拘わらず、一定時間待っても異常検出通知がサブマイコン3から受信できない場合、第2監視機能M2の故障と判断して、その旨を不揮発性メモリ20に記録する(時刻t2〜t3の「第2機能F2・故障記録」を参照)。そして、不揮発性メモリ20に記録完了後、メインマイコン2は、セルフシャットポートをLowにして、時刻t3にてシャットダウンを開始する。なお、図4は、図2に示すフローチャートの処理において、ステップS112からステップS115のルートを辿った場合について例示している。   FIG. 4 is an explanatory diagram illustrating an example of a time chart of the electronic control device according to the present embodiment. The time chart illustrated in FIG. 4 illustrates a case where the diagnosis unit 22 detects an abnormality in the monitoring unit (for example, the second monitoring function M2). If the abnormality detection notification cannot be received from the sub-microcomputer 3 even after waiting for a certain period of time in the processing of the second function F2, the diagnosis unit 22 determines that the second monitoring function M2 has failed. Judgment is made and the fact is recorded in the non-volatile memory 20 (see “second function F2 / failure recording” at times t2 to t3). After recording in the nonvolatile memory 20, the main microcomputer 2 sets the self-shut port to Low and starts shutdown at time t3. 4 illustrates a case where the route from step S112 to step S115 is followed in the process of the flowchart shown in FIG.

図5は、本実施形態における電子制御装置のタイムチャートの一例を示す説明図である。図5に示すタイムチャートは、図2に示すフローチャートの処理に示していないが、診断途中に、イグニッションスイッチがオフからオンに切り替わった場合について例示している。より具体的には、図5では、診断部22が通信を途絶させた後に、イグニッションスイッチがオフからオンに切り替わった場合、診断部22は、時刻t1で全ての監視部(第1監視機能M1〜第3監視機能M3、通信監視機能C1)について、「故意の異常状態」を解除する。そして、全て正常復帰したことを確認した後、時刻t2にて、サブマイコン3は、OR/AND切替S1を、AND条件からOR条件へ戻す。これにより、第2条件から第1の条件に切り替わる。   FIG. 5 is an explanatory diagram illustrating an example of a time chart of the electronic control device according to the present embodiment. The time chart shown in FIG. 5 is not shown in the processing of the flowchart shown in FIG. 2, but illustrates the case where the ignition switch is switched from OFF to ON during diagnosis. More specifically, in FIG. 5, when the ignition switch is switched from OFF to ON after the diagnosis unit 22 interrupts communication, the diagnosis unit 22 detects all the monitoring units (first monitoring function M1 at time t1). -For the third monitoring function M3 and the communication monitoring function C1), the “intentional abnormal state” is canceled. Then, after confirming that all have returned to normal, the sub-microcomputer 3 returns the OR / AND switching S1 from the AND condition to the OR condition at time t2. As a result, the second condition is switched to the first condition.

以上より、本実施形態では、潜在故障等の機能安全対策に対応するべく、AND手法を採用し、上述したフローチャートの処理により、1回のシャットダウンで全ての監視部が正常動作していることを判定できる。   From the above, in this embodiment, in order to cope with functional safety measures such as latent failures, the AND method is adopted, and it is confirmed that all the monitoring units are operating normally in one shutdown by the processing of the flowchart described above. Can be judged.

これにより、次回のメインマイコン2の起動時に、不揮発性メモリ20を参照することで、前回の運転において、全ての監視部が正常に動作していたことがわかる。つまり、サブマイコン3による潜在故障の回避を実現するためには、サブマイコン3の監視部が正しく動作する旨を示す必要があるが、本実施形態では、容易に実現することができる。   Thereby, when the main microcomputer 2 is activated next time, it can be understood that all the monitoring units are operating normally in the previous operation by referring to the nonvolatile memory 20. That is, in order to avoid the potential failure by the sub-microcomputer 3, it is necessary to indicate that the monitoring unit of the sub-microcomputer 3 operates correctly, but this embodiment can easily achieve this.

以上、本件に開示する実施形態について明細書及び図面等を用いて説明したが、本件開示の技術は、本実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で種々の変更が可能である。
また、特許請求の範囲、明細書及び図面中において示した装置及び方法における動作等の各処理の実行順序は、前の処理の出力結果を後の処理で用いるのでない限り、任意の順序で実行してもよい場合がある点に留意すべきである。例えば、本実施形態では、第1監視機能M1、第2監視機能M2、第3監視機能M3の診断の順番を変更してもよい。 The embodiment disclosed in the present invention has been described above with reference to the specification and drawings. However, the technology disclosed herein is not limited to the present embodiment, and various modifications can be made without departing from the spirit of the present invention. Is possible.
In addition, the execution order of each process such as operation in the apparatus and method shown in the claims, the description, and the drawings is executed in an arbitrary order unless the output result of the previous process is used in the subsequent process. It should be noted that there are cases where it may be possible. For example, in this embodiment, the order of diagnosis of the first monitoring function M1, the second monitoring function M2, and the third monitoring function M3 may be changed.

[上記実施形態の補足事項]
(1)上記実施形態では、図2において、何れか1つの監視部に異常が発生した場合、その旨を不揮発性メモリ20に記録して、シャットダウンしたが、これに限られない。例えば、上記実施形態では、全ての監視部における異常の有無をチェックした後、異常が発生した監視部について、その旨を不揮発性メモリ20に記録して、その後、シャットダウンするようにしてもよい。このようにすれば、1回のシャットダウンで、複数の監視部の異常を検出することができる。
(2)上記実施形態では、第2の条件下で診断中であって、AND条件への切り替えた後に、メインマイコン2が自己リセットした場合について特に言及していないが、この場合、診断を中止して、セルフシャットダウンするようにしてもよい。
(3)上記実施形態では、通信監視機能C1の異常の有無を最後に診断しており、実際に通信監視機能C1が故障しているか否かについて、フローチャートで示していない。そこで、上記実施形態では、例えば、診断の順序を、第n監視機能→通信監視機能C1→第(n+1)監視機能と、第n監視機能→第(n+1)監視機能→通信監視機能C1というように、交互に実行することで、異常の有無を判定するようにしてもよい。
(4)上記実施形態において、異常時の制御としてトランスミッションのソレノイドへの電源の供給をカットして、フェール制御に移行するようにしていた。但し、これに限られず、異常時の制御としては、例えば、電制スロットルの開度制限(最大開度、変化速度/変化率、特に開く側)等の電制スロットルの制御に適用して、フェール制御に移行するようにしてもよい。したがって、上記実施形態の診断方法は汎用性を有している。
(5)上記実施形態において、メインマイコン2とサブマイコン3とが電子制御装置1に内蔵されている場合について説明したが、サブマイコン3が外付けされるように構成された電子制御装置としてもよく、両者は、同様な作用効果が得られる。 [Supplementary items of the above embodiment]
(1) In the above embodiment, when an abnormality occurs in any one of the monitoring units in FIG. 2, the fact is recorded in the nonvolatile memory 20 and shut down, but this is not a limitation. For example, in the above embodiment, after checking for an abnormality in all the monitoring units, the monitoring unit in which the abnormality has occurred may be recorded in the nonvolatile memory 20 and then shut down. In this way, it is possible to detect an abnormality in a plurality of monitoring units with a single shutdown.
(2) In the above embodiment, no particular mention is made of the case where the main microcomputer 2 is self-reset after switching to the AND condition under the second condition, but in this case, the diagnosis is stopped. Then, the self-shutdown may be performed.
(3) In the above embodiment, whether or not the communication monitoring function C1 is abnormal is finally diagnosed, and whether or not the communication monitoring function C1 is actually broken is not shown in the flowchart. Therefore, in the above embodiment, for example, the order of diagnosis is n-th monitoring function → communication monitoring function C1 → (n + 1) monitoring function, n-th monitoring function → (n + 1) monitoring function → communication monitoring function C1. Alternatively, the presence or absence of an abnormality may be determined by executing alternately.
(4) In the above embodiment, the power supply to the solenoid of the transmission is cut as control at the time of abnormality, and the control is shifted to fail control. However, the control at the time of abnormality is not limited to this. For example, the control is applied to control of an electric throttle such as an electric throttle opening limit (maximum opening, change speed / change rate, particularly open side), You may make it transfer to fail control. Therefore, the diagnostic method of the above embodiment has versatility.
(5) In the above embodiment, the case where the main microcomputer 2 and the sub-microcomputer 3 are built in the electronic control device 1 has been described, but the electronic control device configured so that the sub-microcomputer 3 is externally attached may also be used. Both have the same effect.

1…電子制御装置
2…メインマイコン
3…サブマイコン
22…診断部
F1…第1機能
F2…第2機能
F3…第3機能
C1…通信監視機能
M1…第1監視機能
M2…第2監視機能
M3…第3監視機能 DESCRIPTION OF SYMBOLS 1 ... Electronic controller 2 ... Main microcomputer 3 ... Sub microcomputer 22 ... Diagnosis part F1 ... 1st function F2 ... 2nd function F3 ... 3rd function C1 ... Communication monitoring function M1 ... 1st monitoring function M2 ... 2nd monitoring function M3 ... Third monitoring function

Claims (5)

第1のマイクロコンピュータの故障の有無を第2のマイクロコンピュータが監視し、前記第1のマイクロコンピュータが前記第2のマイクロコンピュータの監視状態を診断する自動車用の電子制御装置であって、
前記第2のマイクロコンピュータは、前記第1のマイクロコンピュータの機能毎に前記故障の有無を監視する複数の監視部を備え、
前記第1のマイクロコンピュータは、複数の前記監視部が正常に動作しているか否かを診断する診断部を備え、
前記診断部は、シャットダウンが可能なタイミングにおいて、前記監視部の何れか1つに異常を検出したときに前記第1のマイクロコンピュータをリセットする第1の条件から、複数の前記監視部が正常に動作しているか否かを順番に診断する第2の条件に切り替えることを特徴とする自動車用の電子制御装置。 A second microcomputer that monitors whether the first microcomputer is faulty, and the first microcomputer is an electronic control device for an automobile that diagnoses the monitoring state of the second microcomputer;
The second microcomputer includes a plurality of monitoring units that monitor the presence or absence of the failure for each function of the first microcomputer.
The first microcomputer includes a diagnosis unit that diagnoses whether or not a plurality of the monitoring units are operating normally,
When the diagnosis unit detects that an abnormality is detected in any one of the monitoring units at a timing at which shutdown is possible, the plurality of monitoring units are normally operated from a first condition that resets the first microcomputer. An electronic control device for an automobile, which is switched to a second condition for sequentially diagnosing whether or not it is operating. 前記第1のマイクロコンピュータは、前記機能を担うメインのマイクロコンピュータであり、前記第2のマイクロコンピュータは、前記故障の有無を監視するサブのマイクロコンピュータであることを特徴とする請求項1に記載の自動車用の電子制御装置。   2. The first microcomputer is a main microcomputer responsible for the function, and the second microcomputer is a sub-microcomputer that monitors the presence or absence of the failure. Electronic control unit for automobiles. 前記診断部は、前記第2の条件下において、前記メインのマイクロコンピュータの各々の前記機能を異常な設定にすることで、前記監視部が該異常を検出するか否かを診断することを特徴とする請求項2に記載の自動車用の電子制御装置。   The diagnosis unit diagnoses whether the monitoring unit detects the abnormality by setting the function of each of the main microcomputers to an abnormal setting under the second condition. The automobile electronic control device according to claim 2. 前記診断部は、前記第2の条件下において、前記メインのマイクロコンピュータと前記サブのマイクロコンピュータとの間の通信を監視する監視部の異常の有無を最後に診断することを特徴とする請求項2又は請求項3に記載の自動車用の電子制御装置。   The diagnosis unit lastly diagnoses whether there is an abnormality in a monitoring unit that monitors communication between the main microcomputer and the sub-microcomputer under the second condition. The electronic control apparatus for motor vehicles of Claim 2 or Claim 3. 第1のマイクロコンピュータの故障の有無を第2のマイクロコンピュータが監視し、前記第1のマイクロコンピュータが前記第2のマイクロコンピュータの監視状態を診断する自動車用の電子制御装置の診断方法であって、
前記第2のマイクロコンピュータの複数の監視部は、前記第1のマイクロコンピュータの機能毎に前記故障の有無を監視し、
前記第1のマイクロコンピュータの診断部は、シャットダウンが可能なタイミングにおいて、前記監視部の何れか1つに異常を検出したときに前記第1のマイクロコンピュータをリセットする第1の条件から、複数の前記監視部が正常に動作しているか否かを順番に診断する第2の条件に切り替えて前記監視部を診断することを特徴とする自動車用の電子制御装置の診断方法。 A diagnostic method of an electronic control device for an automobile in which a second microcomputer monitors whether or not a failure occurs in the first microcomputer, and the first microcomputer diagnoses a monitoring state of the second microcomputer. ,
The plurality of monitoring units of the second microcomputer monitor the presence or absence of the failure for each function of the first microcomputer,
The diagnostic unit of the first microcomputer has a plurality of conditions based on a first condition that resets the first microcomputer when an abnormality is detected in any one of the monitoring units at a timing when the shutdown is possible. A diagnostic method for an electronic control device for an automobile, wherein the monitoring unit is diagnosed by switching to a second condition for sequentially diagnosing whether or not the monitoring unit is operating normally.
JP2016221763A 2016-11-14 2016-11-14 Electronic control device and diagnostic method thereof Active JP6716429B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016221763A JP6716429B2 (en) 2016-11-14 2016-11-14 Electronic control device and diagnostic method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016221763A JP6716429B2 (en) 2016-11-14 2016-11-14 Electronic control device and diagnostic method thereof

Publications (2)

Publication Number Publication Date
JP2018079737A true JP2018079737A (en) 2018-05-24
JP6716429B2 JP6716429B2 (en) 2020-07-01

Family

ID=62197042

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016221763A Active JP6716429B2 (en) 2016-11-14 2016-11-14 Electronic control device and diagnostic method thereof

Country Status (1)

Country Link
JP (1) JP6716429B2 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020077782A1 (en) * 1999-05-10 2002-06-20 Fruehling Terry L. Secured microcontroller architecture
JP2002236503A (en) * 2001-02-08 2002-08-23 Denso Corp Electronic controller for vehicle
JP2009184423A (en) * 2008-02-04 2009-08-20 Denso Corp Vehicular electronic control unit
JP2010013988A (en) * 2008-07-02 2010-01-21 Mitsubishi Electric Corp In-vehicle electronic control device
JP2015108969A (en) * 2013-12-04 2015-06-11 トヨタ自動車株式会社 Information processing device

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020077782A1 (en) * 1999-05-10 2002-06-20 Fruehling Terry L. Secured microcontroller architecture
JP2002236503A (en) * 2001-02-08 2002-08-23 Denso Corp Electronic controller for vehicle
JP2009184423A (en) * 2008-02-04 2009-08-20 Denso Corp Vehicular electronic control unit
JP2010013988A (en) * 2008-07-02 2010-01-21 Mitsubishi Electric Corp In-vehicle electronic control device
JP2015108969A (en) * 2013-12-04 2015-06-11 トヨタ自動車株式会社 Information processing device

Also Published As

Publication number Publication date
JP6716429B2 (en) 2020-07-01

Similar Documents

Publication Publication Date Title
JP3616367B2 (en) Electronic control device
WO2017056688A1 (en) Monitoring system and vehicle control device
WO2015194407A1 (en) Vehicle-mounted control device or vehicle-mounted control system
JP4509200B2 (en) Network system
JP5094777B2 (en) In-vehicle electronic control unit
JP2011032903A (en) Control device of vehicle
JP5582748B2 (en) Electronic control device for vehicle
KR100701486B1 (en) Control apparatus and self-diagnostic method for electronic control system
KR20060043374A (en) Electronic control system and method having microcomputer monitoring prohibiting function
JP2022108108A (en) Electronic control device for vehicle
JP6716429B2 (en) Electronic control device and diagnostic method thereof
JP2007038816A (en) Network system and managing method thereof
US7136780B2 (en) Abnormality diagnosis apparatus for automatic activation timer circuit
JP6302852B2 (en) Electronic control device for vehicle
JP2002089336A (en) Failure detection device for electronic control system of vehicle
JP2011123569A (en) Processor
JP2016203764A (en) Vehicular electronic control device
JPH04240997A (en) Control method for on-vehicle electronic device
JP5713432B2 (en) Drive unit control apparatus and control method
JP2015112962A (en) Information processing apparatus
JP3659014B2 (en) Memory fault diagnosis device
JPH04245309A (en) Digital controller for control
JP7504222B2 (en) In-vehicle control systems
JP5314495B2 (en) Diagnostic device for in-vehicle equipment
JP2006184051A (en) Apparatus and method for inspecting on-vehicle failure diagnosis system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190304

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20191226

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200114

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200309

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200512

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200610

R150 Certificate of patent or registration of utility model

Ref document number: 6716429

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250