JP2024047214A - 制御装置 - Google Patents
制御装置 Download PDFInfo
- Publication number
- JP2024047214A JP2024047214A JP2022152720A JP2022152720A JP2024047214A JP 2024047214 A JP2024047214 A JP 2024047214A JP 2022152720 A JP2022152720 A JP 2022152720A JP 2022152720 A JP2022152720 A JP 2022152720A JP 2024047214 A JP2024047214 A JP 2024047214A
- Authority
- JP
- Japan
- Prior art keywords
- output
- microcomputer
- reset
- diagnosis
- power supply
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003745 diagnosis Methods 0.000 claims abstract description 90
- 238000004891 communication Methods 0.000 claims abstract description 55
- 230000005856 abnormality Effects 0.000 claims description 52
- 238000012544 monitoring process Methods 0.000 claims description 15
- 238000004092 self-diagnosis Methods 0.000 claims description 8
- 230000004913 activation Effects 0.000 abstract 1
- 230000006870 function Effects 0.000 description 18
- 238000004364 calculation method Methods 0.000 description 14
- 238000000034 method Methods 0.000 description 12
- 230000005540 biological transmission Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 230000002159 abnormal effect Effects 0.000 description 5
- 238000004590 computer program Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000001052 transient effect Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000000052 comparative effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40006—Architecture of a communication node
- H04L12/40026—Details regarding a bus guardian
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Test And Diagnosis Of Digital Computers (AREA)
- Debugging And Monitoring (AREA)
- Microcomputers (AREA)
- Safety Devices In Control Systems (AREA)
Abstract
【課題】制御部のリセット解除に伴う起動時において不定な通信出力がされてしまうことを抑制可能な制御装置を提供する。【解決手段】ECU1において、マイコン3は、電源IC5によるリセットが解除された後、初期診断を実施し、正常と判断してから、正常動作を示す最初のウォッチドッグ信号WDを電源IC5に出力するように構成される。そして、電源IC5は、マイコン3のリセットを開始してから、リセットの解除後に少なくともマイコン3から最初のウォッチドッグ信号WDが出力されるまでは、エラー信号ERRをローにしてトランシーバ7の動作を禁止することにより、マイコン3の動作による他のECU15,17への通信出力を禁止し、ウォッチドッグ信号WD信号が出力されたことを確認した上で通信出力を許可する。【選択図】図1
Description
本開示は、制御装置に関する。
下記特許文献1には、車両に搭載されるECUの構成として、メインマイコンがCANドライバを介して他のユニットと通信する構成が記載されている。なお、ECUは「Electronic Control Unit」の略である。CANは「Controller Area Network」の略である。また、CANは登録商標である。
そして、特許文献1に記載のECUでは、サブマイコンが、メインマイコンからのプログラムランパルスに基づいてメインマイコンの動作を監視し、メインマイコンが異常の場合には、CANドライバに対する出力禁止信号を出力して、通信出力を禁止する。また、メインマイコンとサブマイコンは、ウオッチドッグタイマを有する電源ICによって同時にリセットされる構成になっている。
上記特許文献1のECUでは、他のユニットと通信するための処理を行う制御部としてのメインマイコンがリセットされて、そのリセットが解除された後、正常化していないメインマイコンがCANドライバに不定な通信信号を出力してしまう可能性がある。そして、その不定な通信信号が他のユニットに送信されてしまう、すなわち、他のユニットへ不定な通信出力がされてしまう可能性がある。
本開示の1つの局面は、制御部のリセット解除に伴う起動時において不定な通信出力がされてしまうことを抑制可能な制御装置を提供する。
本開示の1つの態様による制御装置は、少なくとも他の装置と通信するための処理を行うように構成された制御部(3)と、制御部に関する所定のリセット条件が成立した場合に、制御部をリセットするように構成された監視部(5)と、を備える。
そして、制御部は、監視部によるリセットが解除された後、起動直後の自己診断である初期診断を実施し、この初期診断により正常と判断してから、正常動作を示す所定の信号(WD)を監視部に出力する。
監視部は、制御部のリセットを開始してから、当該リセットの解除後に少なくとも制御部から前記所定の信号が最初に出力されるまでは、制御部の動作による他の装置への通信出力を禁止し、前記所定の信号が出力されたことを確認した上で、前記通信出力を許可する。
このような構成によれば、制御部のリセット解除後に、制御部の初期診断によって制御部が正常動作可能なことが確認されてから、制御部の動作による他の装置への通信出力が許可される。よって、制御部のリセット解除に伴う起動時において、他の装置へ不定な通信出力がされてしまうことを抑制することができる。
以下、図面を参照しながら、本開示の実施形態を説明する。
[1.構成及び各部の動作概要]
図1に示す実施形態のECU1は、車両に搭載されるものであり、当該ECU1の動作を司るマイクロコンピュータ(以下、マイコン)3と、マイコン3への電源供給及びマイコン3の動作監視を行う電源IC5と、トランシーバ7と、反転回路9と、を備える。マイコン3は、いわゆるSoCであっても良い。「SoC」は「System on a Chip」の略である。
[1.構成及び各部の動作概要]
図1に示す実施形態のECU1は、車両に搭載されるものであり、当該ECU1の動作を司るマイクロコンピュータ(以下、マイコン)3と、マイコン3への電源供給及びマイコン3の動作監視を行う電源IC5と、トランシーバ7と、反転回路9と、を備える。マイコン3は、いわゆるSoCであっても良い。「SoC」は「System on a Chip」の略である。
ECU1には、車両に搭載された1つ以上のセンサ11,13からの情報が入力される。センサ11,13は、車両に関連する情報を検出するためのセンサであって良く、例えば、車両周辺の情報を検出するためのカメラやミリ波レーダ等の周辺監視用センサデバイスであっても良い。また、ECU1は、車両に搭載された他のECU15,17と通信ライン19を介して通信可能に接続されている。
マイコン3は、センサ11,13からの情報を入力し、その入力した情報を統合あるいは分配して他のECU15,17へ送信する機能を少なくとも備える。よって、マイコン3は、少なくとも他のECU15,17と通信するための処理を行う。また、マイコン3は、他のECU15、17へ制御内容の更新データを送信する機能を有していても良い。
マイコン3は、トランシーバ7を介して通信ライン19に接続されている。
トランシーバ7は、マイコン3から出力される送信信号(すなわち、送信データの信号)を、通信プロトコルに適合した伝送信号に変換して通信ライン19に出力する。また、トランシーバ7は、通信ライン19上の伝送信号を、通信プロトコルに基づいて、マイコン3が入力可能な受信信号(すなわち、受信データの信号)に変換して、マイコン3に出力する。このため、マイコン3は、トランシーバ7を介して、他のECU15,17と通信することができる。尚、通信プロトコルは例えばCANであるが、CAN以外であっても良い。
トランシーバ7は、マイコン3から出力される送信信号(すなわち、送信データの信号)を、通信プロトコルに適合した伝送信号に変換して通信ライン19に出力する。また、トランシーバ7は、通信ライン19上の伝送信号を、通信プロトコルに基づいて、マイコン3が入力可能な受信信号(すなわち、受信データの信号)に変換して、マイコン3に出力する。このため、マイコン3は、トランシーバ7を介して、他のECU15,17と通信することができる。尚、通信プロトコルは例えばCANであるが、CAN以外であっても良い。
ECU15は、例えば、マイコン3から送信された情報に基づいて、運転者に対し車両周辺の情報や警報等を与えるための制御を行うように構成されていて良い。ECU17は、例えば、マイコン3から送信された情報に基づいて、車両の動力、制動及び操舵等を制御するように構成されていて良い。
また、トランシーバ7は、反転回路9から入力されるスタンバイ信号STBがアクティブレベルのハイになると、動作を停止するように構成されている。よって、トランシーバ7は、スタンバイ信号STBがハイになると、少なくとも通信ライン19への信号の出力(すなわち、通信出力)を停止する。
反転回路9は、電源IC5から出力されるエラー信号ERRを論理反転させ、その論理反転させた信号を、トランシーバ7へスタンバイ信号STBとして出力するように構成されている。
よって、電源IC5からのエラー信号ERRがローの場合には、マイコン3の動作にかかわらず、トランシーバ7からの通信出力、すなわち他のECU15,17への通信出力が、強制的に禁止される。
電源IC5は、図示されない車載バッテリの電圧から、マイコン3が動作するための電源電圧を生成し、その電源電圧をマイコン3に供給する。
また、電源IC5は、マイコン3の動作を監視し、所定のリセット条件が成立すると、マイコン3をリセットする。具体的には、電源IC5は、図4の1段目に示すように、マイコン3へのリセット信号RSTを所定のホールド時間THだけアクティブレベルのローにすることにより、マイコン3のリセットを実施する。リセット条件は、電源IC5にてマイコン3が異常であると判断される条件である。
また、電源IC5は、マイコン3の動作を監視し、所定のリセット条件が成立すると、マイコン3をリセットする。具体的には、電源IC5は、図4の1段目に示すように、マイコン3へのリセット信号RSTを所定のホールド時間THだけアクティブレベルのローにすることにより、マイコン3のリセットを実施する。リセット条件は、電源IC5にてマイコン3が異常であると判断される条件である。
[2.SoC3が実施する自己診断の説明]
マイコン3は、電源IC5によるリセットが解除された後、起動直後の自己診断である初期診断を実施する。
マイコン3は、電源IC5によるリセットが解除された後、起動直後の自己診断である初期診断を実施する。
そして、マイコン3は、初期診断により正常と判断した場合に、通常の動作を開始して、センサ11,13からの情報入力の処理や、他のECU15,17への情報送信の処理等を行う。一方、マイコン3は、初期診断により異常と判断した場合には、起動を停止する。
また、マイコン3は、通常の動作中において定期的に自己診断を実施する。マイコン3が動作中に定期的に実施する自己診断のことを、動作時診断と言う。ここで言う定期的とは、一定の時間間隔に限らず、都度異なる時間間隔であっても良い。
[2-1.動作時診断の説明]
マイコン3は、動作時診断として、例えば下記の電圧診断と演算診断とを実施する。
[2-1-1.電圧診断]
マイコン3は、電圧診断では、マイコン3内の電源電圧を監視し、電源電圧が正常範囲外である場合には、電圧異常と判断する。この電圧診断は、例えばマイコン3に備えられた電圧診断用の回路ブロックによって実施される。
マイコン3は、動作時診断として、例えば下記の電圧診断と演算診断とを実施する。
[2-1-1.電圧診断]
マイコン3は、電圧診断では、マイコン3内の電源電圧を監視し、電源電圧が正常範囲外である場合には、電圧異常と判断する。この電圧診断は、例えばマイコン3に備えられた電圧診断用の回路ブロックによって実施される。
マイコン3は、動作時診断のうちの電圧診断により電圧異常と判断した場合、すなわち電圧異常を検出した場合には、電源IC5への異常報知信号AOUTをローにする。つまり、異常報知信号AOUTのローは、マイコン3における電圧異常を電源IC5に通知するための信号である。
[2-1-2.演算診断]
マイコン3は、演算診断では、マイコン3で実施される所定の各演算処理に対して、ダミーの入力値を与え、演算結果として所定の期待値が出力されるか否かを確認する。そして、演算結果が期待値と異なる場合には、演算機能異常と判断する。この演算診断は、例えばソフトウェアによって実施される。
[2-1-2.演算診断]
マイコン3は、演算診断では、マイコン3で実施される所定の各演算処理に対して、ダミーの入力値を与え、演算結果として所定の期待値が出力されるか否かを確認する。そして、演算結果が期待値と異なる場合には、演算機能異常と判断する。この演算診断は、例えばソフトウェアによって実施される。
マイコン3は、動作時診断のうちの演算診断により演算機能異常と判断した場合、すなわち演算機能異常を検出した場合には、電源IC5への異常報知信号BOUTをローにする。つまり、異常報知信号BOUTのローは、マイコン3における演算機能異常を電源IC5に通知するための信号である。
[2-2.初期診断の説明]
初期診断は、マイコン3自身が正常に動作可能か否かを実質動作の開始前にチェックする診断であり、ソフトウェアによる初期診断と、マイコン3に内蔵されたメモリや通信モジュール等のハードウェアの初期診断とを含む。尚、通信モジュールは、マイコン3内のハードウェアのうち、トランシーバ7との間で送信信号及び受信信号の入出力を行うためのハードウェアである。
初期診断は、マイコン3自身が正常に動作可能か否かを実質動作の開始前にチェックする診断であり、ソフトウェアによる初期診断と、マイコン3に内蔵されたメモリや通信モジュール等のハードウェアの初期診断とを含む。尚、通信モジュールは、マイコン3内のハードウェアのうち、トランシーバ7との間で送信信号及び受信信号の入出力を行うためのハードウェアである。
[2-2-1.ソフトウェアによる初期診断]
ソフトウェアによる初期診断では、少なくとも、動作時診断のうちの演算診断と同じ演算診断が行われて良く、更に多くの処理を対象とした演算診断が行われても良い。また、ソフトウェアによる初期診断として行われる演算診断のなかには、少なくとも、通信モジュールに送信対象の信号を与える処理についての演算診断が含まれて良い。
ソフトウェアによる初期診断では、少なくとも、動作時診断のうちの演算診断と同じ演算診断が行われて良く、更に多くの処理を対象とした演算診断が行われても良い。また、ソフトウェアによる初期診断として行われる演算診断のなかには、少なくとも、通信モジュールに送信対象の信号を与える処理についての演算診断が含まれて良い。
更に、ソフトウェアによる初期診断のなかには、演算診断が正しく機能するか否かの診断、すなわち演算診断の診断も含まれて良い。具体的には、演算診断を行うソフトウェアに、演算機能異常と判断されるはずの入力値と、正常と判断されるはずの入力値とを、それぞれ切り替えて入力し、それぞれの場合に期待通りの判断結果が出力されるか否かをチェックする。
[2-2-2.ハードウェアの初期診断]
ハードウェアの初期診断のうち、例えば通信モジュールの診断では、通信モジュールからトランシーバ7への出力経路を遮断した状態にして、通信モジュールに所定の入力を与え、通信モジュールの出力が所定の期待値になるか否かをチェックする。このため、初期診断により、少なくともマイコン3からトランシーバ7に不定な信号が出力されてしまう異常がないことが確認される。また、ハードウェアの初期診断には、動作時診断のうちの電圧診断と同じ電圧診断も含まれて良い。
ハードウェアの初期診断のうち、例えば通信モジュールの診断では、通信モジュールからトランシーバ7への出力経路を遮断した状態にして、通信モジュールに所定の入力を与え、通信モジュールの出力が所定の期待値になるか否かをチェックする。このため、初期診断により、少なくともマイコン3からトランシーバ7に不定な信号が出力されてしまう異常がないことが確認される。また、ハードウェアの初期診断には、動作時診断のうちの電圧診断と同じ電圧診断も含まれて良い。
更に、ハードウェアの初期診断には、電圧診断が正しく機能するか否かの診断、すなわち電圧診断の診断も含まれて良い。具体的には、電圧診断用の回路ブロックに、電圧異常と判断されるはずの入力電圧と、正常と判断されるはずの入力電圧とを、それぞれ切り替えて入力し、それぞれの場合に期待通りの判断結果が出力されるか否かをチェックする。
マイコン3は、初期診断で正常と判断した場合には、電源IC5への異常報知信号AOUT、BOUTを、リセットによる初期設定値のローから正常を示す方のハイにし、その後、後述するウォッチドッグ信号WDの出力を開始すると共に、通常の動作を開始する。
[3.マイコン3が電源IC5に出力するウォッチドッグ信号WDの説明]
マイコン3は、正常に動作している場合には、電源IC5へ、正常動作を示すウォッチドッグ信号WDを、例えば下記〈1〉及び〈2〉の規則で出力する。尚、マイコン3から電源IC5へのウォッチドッグ信号WDは、シリアル通信(例えばSPI通信)によって伝達されるデータ信号である。SPIは「Serial Peripheral Interface」の略である。
マイコン3は、正常に動作している場合には、電源IC5へ、正常動作を示すウォッチドッグ信号WDを、例えば下記〈1〉及び〈2〉の規則で出力する。尚、マイコン3から電源IC5へのウォッチドッグ信号WDは、シリアル通信(例えばSPI通信)によって伝達されるデータ信号である。SPIは「Serial Peripheral Interface」の略である。
〈1〉リセット解除後から規定時間以内に、最初のウォッチドッグ信号WDを出力する。最初のウォッチドッグ信号WDのデータ値は、所定値に定められている。また、上記規定時間は、マイコン3が初期診断を完了するのに要する時間よりも長い。
〈2〉最初のウォッチドッグ信号WDの出力後は、第1時間(例えば10ms)以内ではウォッチドッグ信号WDを変化させず、続く第2時間(例えば5ms)以内ではウォッチドッグ信号WDのデータ値を所定のルールで更新する、ということを繰り返す。
[4.電源IC5によるマイコン3の監視動作の説明]
電源IC5は、下記《a》~《c》の条件の何れかが成立すると、リセット条件が成立したとして、マイコン3のリセットを実施する。
電源IC5は、下記《a》~《c》の条件の何れかが成立すると、リセット条件が成立したとして、マイコン3のリセットを実施する。
《a》マイコン3からの異常報知信号AOUT、BOUTの少なくとも一方が、ハイからローになる。
《b》マイコン3のリセットを解除してから、上記〈1〉の規定時間が経過するまでに、マイコン3から最初のウォッチドッグ信号WD、すなわち所定値のウォッチドッグ信号WDが、出力されない。
《b》マイコン3のリセットを解除してから、上記〈1〉の規定時間が経過するまでに、マイコン3から最初のウォッチドッグ信号WD、すなわち所定値のウォッチドッグ信号WDが、出力されない。
《c》マイコン3から最初のウォッチドッグ信号WDが出力されても、その後のウォッチドッグ信号WDが上記〈2〉の規則で変化しない。
[5.マイコン3が起動直後に行う処理]
図2に示すように、マイコン3は、電源IC5によってリセットが解除されると、S110にて、前述したハードウェアの初期診断を実施する。そして、S120にて、ハードウェアの初期診断により異常が検出されたか否かを判断し、異常が検出されていなければ、S130に進む。
[5.マイコン3が起動直後に行う処理]
図2に示すように、マイコン3は、電源IC5によってリセットが解除されると、S110にて、前述したハードウェアの初期診断を実施する。そして、S120にて、ハードウェアの初期診断により異常が検出されたか否かを判断し、異常が検出されていなければ、S130に進む。
マイコン3は、S130では、前述したソフトウェアによる初期診断を実施する。そして、S140にて、ソフトウェアによる初期診断により異常が検出されたか否かを判断し、異常が検出されていなければ、S160に進む。
マイコン3は、S160では、電源IC5への2つの異常報知信号AOUT、BOUTを、リセットによる初期設定値のローから正常を示す方のハイにする。尚、マイコン3のリセットにより、異常報知信号AOUT、BOUTの出力値はローに初期設定されており、このS160で異常報知信号AOUT、BOUTの出力値がハイに設定される。
そして、マイコン3は、次のS170にて、電源IC5へ最初のウォッチドッグ信号WDを出力し、その後、S180に進んで、通常の動作を行う。尚、ここで言う通常の動作には、前述した動作時診断の動作も含まれる。
一方、マイコン3は、S120とS140との何れかにて、異常が検出されたと判断した場合、すなわち初期診断で異常を検出した場合には、S150に進んで、起動を停止する。つまり、故意には何もしない状態となる。よって、マイコン3は、初期診断で異常を検出した場合には、少なくともウォッチドッグ信号WDを出力しない状態となる。
尚、図2では、ハードウェアの初期診断が、ソフトウェアによる初期診断よりも先に実施されるように示されているが、その順番は逆でも良いし、両方の初期診断が並行して実施されても良い。
[6.電源IC5の動作]
ここでは、電源IC5の動作を図3のフローチャートに基づき説明するが、電源IC5の動作は、実際には電源IC5内部のハードウェアによって実現されている。
ここでは、電源IC5の動作を図3のフローチャートに基づき説明するが、電源IC5の動作は、実際には電源IC5内部のハードウェアによって実現されている。
図3に示すように、電源IC5は、S210にて、リセット条件が成立したか否かを判断する。尚、この時点においてマイコン3はリセットされていない。また、S210では、上記《a》~《c》のうち、《a》又は《c》の条件が成立したか否かが判断される。
そして、電源IC5は、上記《a》又は《c》の条件が成立した場合には、リセット条件が成立したと判断し、S220にて、マイコン3のリセットを実施する。つまり、マイコン3へのリセット信号RSTをローにする。更に、S220では、電源IC5は、反転回路9へのエラー信号ERRをローにして、トランシーバ7からの通信出力を禁止する。
電源IC5は、マイコン3へのリセット信号RSTをローにしてから所定のホールド時間THが経過すると、S230にて、リセット信号RSTをハイに戻す。すなわち、マイコン3のリセットを解除する。
そして、電源IC5は、次のS240にて、マイコン3から最初のウォッチドッグ信号WDが出力されたか否かを判断し、最初のウォッチドッグ信号WDが出力されていなければ、S250に進む。
尚、電源IC5は、マイコン3との間のウォッチドッグ信号WD用のシリアル通信線にデータが出力されたことを検知したタイミングで、最初のウォッチドッグ信号WDが出力されたと判断するように構成されて良い。また、電源IC5は、上記シリアル通信線で送られてきたデータの値を判別することで、最初のウォッチドッグ信号WDが出力されたと判断するように構成されても良い。
電源IC5は、S250では、マイコン3のリセットを解除してから上記〈1〉の規定時間が経過したか否かを判断し、規定時間が経過していなければS240に戻って、マイコン3からの最初のウォッチドッグ信号WDを待つ。また、S250にて、規定時間が経過したと判断した場合には、上記《b》の条件が成立するため、S220に進み、マイコン3のリセットを実施する共に通信出力の禁止を実施する。
また、電源IC5は、S240にて、マイコン3から最初のウォッチドッグ信号WDが出力されたと判断した場合、すなわち、マイコン3のリセット解除から規定時間が経過するまでに最初のウォッチドッグ信号WDが出力された場合には、S260進む。そして、このS260では、反転回路9へのエラー信号ERRをローからハイに戻すことにより、トランシーバ7からの通信出力を許可し、その後、S210に戻る。
尚、電源IC5は、S220で通信出力を禁止してから、S260で通信出力を許可するまでの間は、S210の判断をしないため、マイコン3からの異常報知信号AOUT、BOUTを監視しない。
[7.作用例]
マイコン3と電源IC5が前述の動作を行うことによる作用例について、図4のタイムチャートを用いて説明する。
マイコン3と電源IC5が前述の動作を行うことによる作用例について、図4のタイムチャートを用いて説明する。
マイコン3が、動作中において、動作時診断のうちの例えば電圧診断により電圧異常を検出し、図4の時刻t1に示すように、電源IC5への異常報知信号AOUTをハイからローに変化させたとする。
すると、上記《a》の条件が成立する。よって、電源IC5は、リセット条件が成立したと判断して、マイコン3へのリセット信号RSTを所定のホールド時間THだけローにしてマイコン3のリセットを実施する共に、反転回路9へのエラー信号ERRをハイからローにする。この動作は、図3のS220によるものである。
電源IC5からのエラー信号ERRがローになると、マイコン3がトランシーバ7にどのような信号を出力したとしてもトランシーバ7からの通信出力は禁止されるため、結局は、マイコン3の動作によるECU1から他のECU15,17への通信出力が禁止される。また、電源IC5は、エラー信号ERRをローにしている間は、マイコン3からの異常報知信号AOUT、BOUTを監視しない状態となる。
尚、マイコン3が、動作中において、動作時診断のうちの演算診断により演算機能異常を検出し、図4の時刻t1にて、電源IC5への異常報知信号BOUTをハイからローに変化させたとしても、図4において時刻t1以降に示す動作は同じである。また、電源IC5によるエラー信号ERRのローへの切り替えは、リセット信号RSTのローへの切り替えと実質同時に実施されるが、これに限らず、リセット信号RSTがローになっている間に実施されれば良い。
電源IC5は、リセット信号RSTをローに切り替えてからホールド時間THが経過すると、図4の時刻t2に示すように、リセット信号RSTをハイに戻す。つまり、マイコン3のリセットを解除する。この動作は、図3のS230によるものである。
マイコン3は、リセットが解除されると、図2に示す処理を開始して、初期診断を実施する。そして、マイコン3は、初期診断により異常を検出しなかった場合、すなわち正常と判断した場合には、図4の時刻t3に示すように、電源IC5への2つの異常報知信号AOUT、BOUTを、リセットによる初期設定値のローからハイにする。この動作は、図2のS160によるものである。
更に、マイコン3は、図4の時刻t4に示すように、電源IC5へ最初のウォッチドッグ信号WDを出力する。この動作は、図2のS170によるものである。
すると、電源IC5は、最初のウォッチドッグ信号WDが出力されたことを検知して、エラー信号ERRをローからハイに戻す。この動作は、図3のS260によるものである。
すると、電源IC5は、最初のウォッチドッグ信号WDが出力されたことを検知して、エラー信号ERRをローからハイに戻す。この動作は、図3のS260によるものである。
電源IC5からのエラー信号ERRがハイになることでECU1からの通信出力が許可される。また、電源IC5は、マイコン3からの異常報知信号AOUT、BOUTを監視する状態に戻る。
[8.用語の対応]
本実施形態において、マイコン3は、本開示における制御部に相当し、電源IC5は、本開示における監視部に相当し、ウォッチドッグ信号WDは、本開示における「正常動作を示す所定の信号」に相当する。また、異常報知信号AOUT、BOUTの何れかがローで出力されることが、本開示における異常報知信号が出力されることに相当する。
本実施形態において、マイコン3は、本開示における制御部に相当し、電源IC5は、本開示における監視部に相当し、ウォッチドッグ信号WDは、本開示における「正常動作を示す所定の信号」に相当する。また、異常報知信号AOUT、BOUTの何れかがローで出力されることが、本開示における異常報知信号が出力されることに相当する。
[9.効果]
以上詳述した実施形態によれば、以下の効果を奏する。
(a)ECU1において、マイコン3は、電源IC5によるリセットが解除された後、起動直後の自己診断である初期診断を実施し、この初期診断により正常と判断してから、正常動作を示す最初のウォッチドッグ信号WDを電源IC5に出力する。電源IC5は、マイコン3のリセットを開始してから、当該リセットの解除後に少なくともマイコン3から最初のウォッチドッグ信号WDが出力されるまでは、マイコン3の動作による他のECU15,17への通信出力を禁止する。そして、電源IC5は、マイコン3から最初のウォッチドッグ信号WDが出力されたことを確認した上で、通信出力を許可する。
以上詳述した実施形態によれば、以下の効果を奏する。
(a)ECU1において、マイコン3は、電源IC5によるリセットが解除された後、起動直後の自己診断である初期診断を実施し、この初期診断により正常と判断してから、正常動作を示す最初のウォッチドッグ信号WDを電源IC5に出力する。電源IC5は、マイコン3のリセットを開始してから、当該リセットの解除後に少なくともマイコン3から最初のウォッチドッグ信号WDが出力されるまでは、マイコン3の動作による他のECU15,17への通信出力を禁止する。そして、電源IC5は、マイコン3から最初のウォッチドッグ信号WDが出力されたことを確認した上で、通信出力を許可する。
よって、マイコン3のリセット解除後に、マイコン3の初期診断によってマイコン3が正常動作可能なことが確認されてから、マイコン3の動作による他のECU15,17への通信出力が許可されることになる。
従って、マイコン3のリセット解除に伴う起動時において、他のECU15,17へ不定な通信出力がされてしまうことを抑制することができる。
比較例として、例えば、電源IC5が、マイコン3のリセット解除と同時に、あるいはリセット解除後すぐに、エラー信号ERRをハイにして、通信出力を許可するように構成されていると仮定する。つまり、図4において、時刻t2で、あるいは時刻t2の直後に、電源IC5からのエラー信号ERRがハイにされると仮定する。
比較例として、例えば、電源IC5が、マイコン3のリセット解除と同時に、あるいはリセット解除後すぐに、エラー信号ERRをハイにして、通信出力を許可するように構成されていると仮定する。つまり、図4において、時刻t2で、あるいは時刻t2の直後に、電源IC5からのエラー信号ERRがハイにされると仮定する。
この仮定の構成の場合、エラー信号ERRがハイにされた時点において、マイコン3は、未だ初期診断が終了しておらず、異常である可能性がある。もし、マイコン3の初期診断で異常が検出されたのなら、マイコン3が異常であるのに通信出力が許可されることになる。よって、マイコン3が出力する不定な送信信号がトランシーバ7から他のECU15,17へ送信されてしまい、車両における制御に支障をきたす可能性がある。
これに対して、上記実施形態のECU1によれば、マイコン3が正常動作可能なことが確認されてから、他のECU15,17への通信出力が許可されるため、不定な信号が送信されてしまうことを抑制することができる。
(b)マイコン3は、初期診断により正常と判断してからの動作中において、定期的に実施する動作時診断(すなわち、電圧診断又は演算診断)により異常を検出した場合に、異常報知信号AOUT、BOUTの何れかをローで出力する。そして、電源IC5は、通信出力を許可した後に、マイコン3からの異常報知信号AOUT、BOUTの監視を行い、異常報知信号AOUT、BOUTの何れかがローで出力された場合には、リセット条件が成立したと判断して、マイコン3のリセットを実施する。
よって、マイコン3に関する信頼性の高い監視も実現することができる。初期診断によって正常動作可能なことが確認された後のマイコン3が行う動作時診断は信憑性が高いと考えられ、その動作時診断によって異常が検出された場合に、マイコン3をリセットすることができるからである。
(c)マイコン3は、初期診断により異常を検出した場合には、起動を停止し、ウォッチドッグ信号WDを出力しない状態となる。そして、電源IC5は、マイコン3のリセットを解除してから規定時間が経過するまでに、マイコン3からウォッチドッグ信号WD信号が出力されない場合には、マイコン3のリセットを再度実施する。
よって、マイコン3に異常が生じた場合に、不定な通信出力がされてしまうことを抑制できると共に、マイコン3の正常復帰を試みることができる。
[10.他の実施形態]
以上、本開示の実施形態について説明したが、本開示は上述の実施形態に限定されることなく、種々変形して実施することができる。
[10.他の実施形態]
以上、本開示の実施形態について説明したが、本開示は上述の実施形態に限定されることなく、種々変形して実施することができる。
例えば、マイコン3から出力されるウォッチドッグ信号WDは、データ値を有さないパルス信号であっても良い。この場合、電源IC5は、リセット条件として、上記《c》の条件の代わりに、ウォッチドッグ信号WDが制限時間内にレベル反転しない、という条件が成立したか否かを判断するように構成して良い。
マイコン3は、動作時診断として、電圧診断と演算診断とのうち、一方だけを実施するように構成されても良い。この場合、異常報知信号AOUT、BOUTのうちの一方は無くて良い。また、電源IC5は、図3のS240にて、最初のウォッチドッグ信号WDが出力されたと判断した場合に、更に別の所定条件が成立することで、図3のS260に進むように構成されても良い。
電源IC5と同様の役割を果たすものを、マイコン3とは別のマイコンによって実現しても良い。
本開示に記載のECU1及びその手法は、コンピュータプログラムにより具体化された一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリを構成することによって提供された専用コンピュータにより、実現されても良い。あるいは、本開示に記載のECU1及びその手法は、一つ以上の専用ハードウェア論理回路によってプロセッサを構成することによって提供された専用コンピュータにより、実現されても良い。もしくは、本開示に記載のECU1及びその手法は、一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリと一つ以上のハードウェア論理回路によって構成されたプロセッサとの組み合わせにより構成された一つ以上の専用コンピュータにより、実現されても良い。また、コンピュータプログラムは、コンピュータにより実行されるインストラクションとして、コンピュータ読み取り可能な非遷移有形記録媒体に記憶されても良い。ECU1に含まれる各部の機能を実現する手法には、必ずしもソフトウェアが含まれている必要はなく、その全部の機能が、一つあるいは複数のハードウェアを用いて実現されても良い。
本開示に記載のECU1及びその手法は、コンピュータプログラムにより具体化された一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリを構成することによって提供された専用コンピュータにより、実現されても良い。あるいは、本開示に記載のECU1及びその手法は、一つ以上の専用ハードウェア論理回路によってプロセッサを構成することによって提供された専用コンピュータにより、実現されても良い。もしくは、本開示に記載のECU1及びその手法は、一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリと一つ以上のハードウェア論理回路によって構成されたプロセッサとの組み合わせにより構成された一つ以上の専用コンピュータにより、実現されても良い。また、コンピュータプログラムは、コンピュータにより実行されるインストラクションとして、コンピュータ読み取り可能な非遷移有形記録媒体に記憶されても良い。ECU1に含まれる各部の機能を実現する手法には、必ずしもソフトウェアが含まれている必要はなく、その全部の機能が、一つあるいは複数のハードウェアを用いて実現されても良い。
上記実施形態における1つの構成要素が有する複数の機能を、複数の構成要素によって実現したり、1つの構成要素が有する1つの機能を、複数の構成要素によって実現したりしても良い。また、複数の構成要素が有する複数の機能を、1つの構成要素によって実現したり、複数の構成要素によって実現される1つの機能を、1つの構成要素によって実現したりしても良い。また、上記実施形態の構成の一部を省略しても良い。
上述したECU1の他、当該ECU1を構成要素とするシステム、当該ECU1としてコンピュータを機能させるためのプログラム、このプログラムを記録した半導体メモリ等の非遷移的実体的記録媒体、制御装置における通信出力の禁止方法など、種々の形態で本開示を実現することもできる。
1…ECU、3…マイコン、5…電源IC、7…トランシーバ、15,17…他のECU。
Claims (3)
- 少なくとも他の装置と通信するための処理を行うように構成された制御部(3)と、
前記制御部に関する所定のリセット条件が成立した場合に、前記制御部をリセットするように構成された監視部(5)と、
を備えた制御装置であって、
前記制御部は、前記監視部によるリセットが解除された後、起動直後の自己診断である初期診断を実施し、前記初期診断により正常と判断してから、正常動作を示す所定の信号(WD)を前記監視部に出力するように構成され、
前記監視部は、前記制御部のリセットを開始してから、当該リセットの解除後に少なくとも前記制御部から前記所定の信号が最初に出力されるまでは、前記制御部の動作による前記他の装置への通信出力を禁止し、前記所定の信号が出力されたことを確認した上で、前記通信出力を許可するように構成されている、
制御装置。 - 請求項1に記載の制御装置であって、
前記制御部は、前記初期診断により正常と判断してからの動作中において、定期的に実施する自己診断である動作時診断により異常を検出した場合に、異常報知信号を前記監視部に出力するように構成され、
前記監視部は、前記通信出力を許可した後に、前記制御部から前記異常報知信号が出力されたか否かの監視を行い、前記異常報知信号が出力された場合には、前記リセット条件が成立したと判断して、前記制御部のリセットを実施するように構成されている、
制御装置。 - 請求項1又は請求項2に記載の制御装置であって、
前記制御部は、前記初期診断により異常を検出した場合には、前記所定の信号を出力しない状態となるように構成され、
前記監視部は、前記制御部のリセットを解除してから規定時間が経過するまでに、前記制御部から前記所定の信号が出力されない場合には、前記制御部のリセットを再度実施するように構成されている、
制御装置。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2022152720A JP2024047214A (ja) | 2022-09-26 | 2022-09-26 | 制御装置 |
US18/461,583 US20240106677A1 (en) | 2022-09-26 | 2023-09-06 | Control device and control method |
DE102023125500.2A DE102023125500A1 (de) | 2022-09-26 | 2023-09-20 | Steuervorrichtung und steuerverfahren |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2022152720A JP2024047214A (ja) | 2022-09-26 | 2022-09-26 | 制御装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2024047214A true JP2024047214A (ja) | 2024-04-05 |
Family
ID=90140230
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2022152720A Pending JP2024047214A (ja) | 2022-09-26 | 2022-09-26 | 制御装置 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20240106677A1 (ja) |
JP (1) | JP2024047214A (ja) |
DE (1) | DE102023125500A1 (ja) |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004122942A (ja) | 2002-10-02 | 2004-04-22 | Unisia Jkc Steering System Co Ltd | 車両用制御装置 |
-
2022
- 2022-09-26 JP JP2022152720A patent/JP2024047214A/ja active Pending
-
2023
- 2023-09-06 US US18/461,583 patent/US20240106677A1/en active Pending
- 2023-09-20 DE DE102023125500.2A patent/DE102023125500A1/de active Pending
Also Published As
Publication number | Publication date |
---|---|
DE102023125500A1 (de) | 2024-03-28 |
US20240106677A1 (en) | 2024-03-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112004730B (zh) | 车辆控制装置 | |
JP5702829B2 (ja) | 中継装置 | |
US8495433B2 (en) | Microcomputer mutual monitoring system and a microcomputer mutual monitoring method | |
JP2010285001A (ja) | 電子制御システム、機能代行方法 | |
CN111965968A (zh) | 一种切换控制方法、***及装置 | |
JP6147356B2 (ja) | 監視装置、制御システム及び監視プログラム | |
KR100711850B1 (ko) | 마이크로컴퓨터 감시 금지 기능을 갖는 전자 제어 시스템및 방법 | |
JP5094777B2 (ja) | 車載用電子制御装置 | |
JP4465905B2 (ja) | 電子制御装置 | |
JP2024047214A (ja) | 制御装置 | |
TW202122997A (zh) | 控制器 | |
JP3915411B2 (ja) | 車両用電子制御装置 | |
JP2016143908A (ja) | 電子制御装置及び電子制御システム | |
JP2007283788A (ja) | 車両用電子制御装置 | |
JP2009003663A (ja) | 電源制御装置 | |
US10514970B2 (en) | Method of ensuring operation of calculator | |
JP6102667B2 (ja) | 電子制御装置 | |
JP6660902B2 (ja) | 自動車用電子制御装置 | |
JP6624005B2 (ja) | 相互監視システム | |
US20240036878A1 (en) | Method for booting an electronic control unit | |
JP2010258635A (ja) | 制御装置 | |
CN113711209A (zh) | 电子控制装置 | |
US20240106226A1 (en) | Control device and control method | |
JP2998804B2 (ja) | マルチマイクロプロセッサシステム | |
JP2019191942A (ja) | 制御装置および機能検査方法 |