JP6690495B2 - 電子制御装置 - Google Patents

電子制御装置 Download PDF

Info

Publication number
JP6690495B2
JP6690495B2 JP2016206924A JP2016206924A JP6690495B2 JP 6690495 B2 JP6690495 B2 JP 6690495B2 JP 2016206924 A JP2016206924 A JP 2016206924A JP 2016206924 A JP2016206924 A JP 2016206924A JP 6690495 B2 JP6690495 B2 JP 6690495B2
Authority
JP
Japan
Prior art keywords
reset signal
unit
signal
arithmetic
power supply
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016206924A
Other languages
English (en)
Other versions
JP2018067239A (ja
Inventor
宏紀 岡田
宏紀 岡田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2016206924A priority Critical patent/JP6690495B2/ja
Priority to DE102017218697.6A priority patent/DE102017218697A1/de
Publication of JP2018067239A publication Critical patent/JP2018067239A/ja
Application granted granted Critical
Publication of JP6690495B2 publication Critical patent/JP6690495B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/0002Controlling intake air
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/22Safety or indicating devices for abnormal conditions
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/26Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • B60W2050/022Actuator failures
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2710/00Output or target parameters relating to a particular sub-units
    • B60W2710/06Combustion engines, Gas turbines
    • B60W2710/0605Throttle position
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/20Output circuits, e.g. for controlling currents in command coils
    • F02D2041/202Output circuits, e.g. for controlling currents in command coils characterised by the control of the circuit
    • F02D2041/2058Output circuits, e.g. for controlling currents in command coils characterised by the control of the circuit using information of the actual current value
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02TCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
    • Y02T10/00Road transport of goods or passengers
    • Y02T10/10Internal combustion engine [ICE] based vehicles
    • Y02T10/40Engine management systems

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Theoretical Computer Science (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Hardware Design (AREA)
  • Debugging And Monitoring (AREA)
  • Control Of Driving Devices And Active Controlling Of Vehicle (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)
  • Retry When Errors Occur (AREA)

Description

本発明は、電子制御装置に関する。
監視装置が演算装置により発行されるウォッチドッグ信号を監視し、このウォッチドッグ信号に異常を生じたときに演算装置にリセット信号を出力するシステムが一般に提供されている。このとき、監視装置が演算装置に発行するリセット信号の発行回数をカウントし、所定回数に達したときにアクチュエータを駆動停止する技術が提供されている(例えば、特許文献1参照)。
特開2002−235598号公報
近年、例えばユーザによりイグニッションキーなどの電源スイッチがオフされたときに、電子制御装置の電源供給がオフされるまで、電子制御装置はアクチュエータを駆動停止するための停止信号を出力し続けることが望まれている。このような改良を施すことで、機能安全性を高めることができる。
この場合、演算装置が終了処理している最中に、再度ユーザにより電源スイッチがオン操作されると、演算装置をリセットするためにリセット信号がリセット信号線に発行される。しかし、このリセット信号線に入力されるリセット信号が、演算装置の初期化信号として発行されるリセット信号であるか、演算装置が暴走しているときのリセット信号であるか、を判別できないと、例えば特許文献1記載の技術を適用したときには、意図しないタイミングでリセット信号の発行回数をカウントしてしまい、直ちに所定回数に達してしまい、アクチュエータを駆動停止してしまうという問題を生じる。これにより、商品性を悪化させてしまうという課題があった。
本発明の目的は、意図しないタイミングでリセット信号が発行されたとしても負荷を駆動停止することなく通常処理を継続できるようにした電子制御装置を提供することにある。
請求項1記載の発明によれば、判別部が、電源スイッチ信号がオフからオンするタイミングにおける電源リレー保持信号に応じて、リセット信号線に入力されるリセット信号が演算装置の本来の異常時に生じる監視対象リセット信号となるか又は演算装置の本来の異常時以外に生じる監視対象外リセット信号となるかを判別する。このため、リセット信号がリセット信号線に発行されたとしても、このリセット信号が演算装置の本来の異常時に生じたものであるか、本来の異常時以外で生じたものであるかを判別することができる。このとき、本来の異常時以外で生じたリセット信号であるときには、負荷を駆動停止することなく、通常処理を継続できるようになる。
請求項2記載の発明によれば、監視対象リセット信号の発行時には計数部が監視対象リセット信号の発生回数をカウントし、駆動制御停止出力部はこの発生回数が所定値以上になると負荷の駆動制御を停止する停止信号を出力する。このため、監視対象リセット信号が所定値以上になったときには負荷の駆動制御を停止できる。また、たとえ監視対象外のリセット信号がリセット信号線に発行されたとしても、このリセット信号をカウントすることがないため負荷を駆動制御停止することはない。
一実施形態における電子制御装置の電気的構成を機能的に示す図 処理の流れを示すタイミングチャート(その1) 処理内容を概略的に説明するフローチャート 処理の流れを示すタイミングチャート(その2) 機能監視部の処理内容を概略的に説明するフローチャート
以下、電子制御装置の一実施形態について図面を参照しながら説明する。図1は電子制御装置の電気的構成を機能的に示している。図1に示すように、電子制御装置1は、演算装置2と、監視回路3と、アクチュエータ駆動装置(駆動装置相当)4と、を備える。アクチュエータ駆動装置4は、電子制御装置1の外部に構成されていても良い。
演算装置2は、例えばワンチップのマイクロコンピュータであり、図示しないが、例えばCPUや、ROM及びRAM等によるメモリ、I/O、A/D変換回路、割込制御回路、システム制御回路、並びに、通信回路等を備える。この演算装置2は、メモリに記憶されたプログラムを実行することで負荷としてのアクチュエータ5を駆動制御する。アクチュエータ5は、例えば電子スロットルなどの車両用負荷であり、例えばスロットルバルブを開閉するためのモータを一例として挙げることができる。
演算装置2にはドライバ要求に応じた各種センサ6のセンサ信号(又はスイッチ信号(図示せず))が入力される。センサ6は、例えばアクセルポジションセンサ等である。例えばアクセルポジションセンサは、例えばドライバ要求により操作可能なアクセルペダルの操作量を電気変換するセンサである。図1に示すように、演算装置2は、前述のハードウェア構成にてCPUが非遷移的記録媒体としてのROMに記憶されたプログラムに基づいて処理を実行する。これにより演算装置2は、少なくとも、実制御部7、実制御機能監視部8、及び、自身監視制御部9、の機能ブロックの動作を実現する。
演算装置2の実制御部7は、通常時において、各種センサ6のセンサ信号を入力し、このセンサ信号に基づいてアクチュエータ5を実際に駆動制御する(図1のLevel1参照)。このとき、実制御部7はアクチュエータ駆動装置4に制御信号を出力し、アクチュエータ駆動装置4がこの制御信号に応じてアクチュエータ5を駆動制御する。
また実制御部7は、監視回路3の内部、後述するリレー駆動部14に信号線を通じて電源リレー保持信号28を出力するようになっている。この電源リレー保持信号28は、演算装置2が実制御部7によりアクチュエータ駆動装置4を通じてアクチュエータ5を駆動制御するときに、リレー駆動部14に電源リレー保持を指令するための信号であり、リレー駆動部14が、誤って電源リレー26を遮断しないようにするための指令信号を示している。この電源リレー保持信号28は、機能監視部19にも入力されている。
実制御機能監視部8は、アクチュエータ駆動装置4に通電遮断要求信号を出力するための出力線10を接続している。実制御部7がアクチュエータ駆動装置4を通じてアクチュエータ5を駆動しているときには、実制御機能監視部8は、実制御部7による実制御機能が正常に機能しているか否かを監視し、実制御機能に異常を生じたときには出力線10を通じて通電遮断要求信号をアクチュエータ駆動装置4に出力する(図1のLevel2参照)。これにより、アクチュエータ駆動装置4がアクチュエータ5の駆動制御を停止しフェールセーフ処理する。例えばアクチュエータ5が電子スロットルである場合には、フェールセーフ処理することで、センサ信号がたとえ変化したとしてもスロットルバルブの開度を僅かな一定の開度状態に保持できるようになり、例えばドライバによるアクセルの踏み込み度が変化したとしても一定速度(例えば20km/h)で車両走行できるようになる。このとき、演算装置2はフェールセーフ処理に移行したことをドライバに報知することで、ドライバは修理工場に依頼しこの状態から復旧させることが必要となる。
他方、自身監視制御部9は、外部の監視装置3との間で通信し、この通信内容に応じて演算装置2自身を監視制御するように構成され、ウォッチドッグ信号生成部11、及び、機能監視部12を備える。ウォッチドッグ信号生成部11はパルス状のウォッチドッグ信号WDを生成し監視装置3に出力する。
他方、監視装置3は、例えばASIC、又は、マイコン及びASICのハイブリッド回路により演算装置2と一体又は別体で構成され、その内部を機能的に記載すると、波形整形部13、リレー駆動部14、パワーオンリセット(POR:Power On Reset)回路15、電源部16、及び、監視部17としての機能を備える。
波形整形部13は電源スイッチ信号入力部としても機能する。監視部17は、ウォッチドッグ信号(WD)監視部18、及び、機能監視部19を備える。機能監視部19は、判別部、駆動制御停止出力部として機能し、演算装置2の機能監視部12と協調して機能を監視する(図1中のLevel3参照)。
監視装置3には、イグニッションキースイッチによる電源スイッチ22が接続されている。この電源スイッチ22は、自動車のエンジン始動に用いられるスイッチであり、電源スイッチ信号SWを監視装置3に出力する。電源スイッチ22は、例えばエンジン始動に用いられる電子式のプッシュスイッチであっても良いが、以下では、電源スイッチ22から出力される信号を電源スイッチ信号SWと総称して説明する。この電源スイッチ信号SWは、電源スイッチ22の切替時にノイズを生じるため、このノイズを除去するため波形整形部13に入力されている。波形整形部13は、電源スイッチ信号SWに含まれるノイズを除去することで波形整形し、電源スイッチ信号SWを監視部17中の機能監視部19に出力すると共にリレー駆動部14に出力する。
リレー駆動部14は、車両始動時に電源スイッチ信号SWがオフからオンに入力されると電源リレー駆動信号をオン出力することで電源リレー26を通じてバッテリ電源Vbattを内部の電源部16に通電する。電源部16は、バッテリ電源Vbattが通電されると演算装置用電源Vdを生成し演算装置2に出力する。なお演算装置2は、演算装置用電源Vdが供給されると動作を開始するようになっており、演算装置2は、演算装置用電源Vdが供給されると、自身監視制御部9による自身監視制御機能により外部の監視装置3との間で通信バス23を通じて通信処理を開始できる。
監視部17のウォッチドッグ信号監視部18は、演算装置2のウォッチドッグ信号生成部11により生成されたウォッチドッグ信号WDを監視し、異常を生じたときには、リセット信号線24、及び、ORゲート27を通じてリセット信号RST2をアクティブレベルとして出力する。
監視部17の機能監視部19は、ウォッチドッグ信号監視部18のリセット信号RST2が演算装置2の本来の異常時に生じる監視対象リセット信号となるか又は演算装置2の本来の異常時以外に生じる監視対象外リセット信号となるかを判別する判別部としての機能を備える。機能監視部19は、この判別機能を実現するため、計数部20と、フラグ記憶部21と、を備える。計数部20は、監視対象リセット信号の発生回数をカウントするカウンタ等により構成される。フラグ記憶部21はカウント禁止フラグの記憶領域を備える。
機能監視部19は、リセット信号線24に生じるリセット信号を監視し、計数部20により監視対象リセット信号の発生回数をカウントする。機能監視部19は、本来の異常時以外に生じる監視対象外リセット信号となっているときには当該監視対象外リセット信号を無視し、計数部20は監視対象リセット信号としてカウントしない。機能監視部19は、アクチュエータ駆動装置4に通電遮断要求信号を出力するための出力線25を接続している。機能監視部19は、ウォッチドッグ信号監視部18による監視結果に基づいて異常を生じたときには通電遮断要求信号を出力線25を通じてアクチュエータ駆動装置4に出力することで、アクチュエータ駆動装置4によりアクチュエータ5の駆動制御を停止可能になっている。これにより、Level2、Level3の複数段階でフェールセーフ処理可能になっている。
以下、本実施形態における動作を説明する。図2は、演算装置2に生じた異常が所定回に達したときにフェールセーフ処理に移行するまでのタイミングチャートを示している。図2に示すように、タイミングt1において電源スイッチ22がオンされると、この電源スイッチ信号SWのオン信号が監視装置3の波形整形部13を通じてリレー駆動部14に与えられる。監視回路3のリレー駆動部14は、電源リレー26をオン駆動することでバッテリ電源Vbattを電源部16に入力させる。この電源部16は、演算装置2用の電源Vdを生成し演算装置2に出力する。他方、電源スイッチ22がオンされると、パワーオンリセット回路15はリセット信号RST1をアクティブレベルとしてORゲート27を通じてリセットResetとして出力するものの、入力クロックが演算装置2に安定的に入力されると、タイミングt2においてリセット信号RST1をノンアクティブレベルとしてORゲート27を通じて演算装置2に印加する。これによりリセット解除する。
その後、演算装置2の実制御部7は、センサ6からセンサ信号を入力しアクチュエータ駆動装置4を通じてアクチュエータ5を駆動制御する。このとき、タイミングt3において、実制御部7は信号線を通じて電源リレー保持信号28をアクティブ状態として出力するが、この電源リレー保持信号28は監視装置3のリレー駆動部14及び機能監視部19に与えられる。
この後、演算装置2のウォッチドッグ信号生成部11は、タイミングt4においてパルス状のウォッチドッグ信号WDを生成し、監視装置3に出力し始める。この後、演算装置2に何らかの異常を生じると、演算装置2の自身監視制御部9は、タイミングt5においてウォッチドッグ信号生成部11によるウォッチドッグ信号WDのパルス出力を停止する。すると、監視装置3のウォッチドッグ信号監視部18は、タイマ(図示せず)により異常判定時間を計測し、このとき異常判定時間が閾値に達したときに異常であると判定し、タイミングt6においてリセット信号線24及びORゲート27を通じてリセット信号RST2をアクティブレベルとして演算装置2に出力すると共に、リセット信号RST2のアクティブレベルを機能監視部19に出力する。演算装置2は、リセット信号RST2のアクティブレベルをORゲート27を通じてリセットResetを入力すると自身をリセットする。
図3は、機能監視部19の概略的な処理内容をフローチャートにより示している。機能監視部19は、図3のS1においてウォッチドッグ信号監視部18によりリセット信号線24に発行されるリセット信号RST2を監視している。そして機能監視部19は、図2のタイミングt6において図3のS2の処理を実行し、ウォッチドッグ信号監視部18により発行されたリセット信号RST2のアクティブレベルが監視対象リセット信号であるか監視対象外リセット信号であるかを、少なくとも電源スイッチ信号SWに基づいて判別する。
機能監視部19は、タイミングt6において電源スイッチ信号SWがオンされているため、ウォッチドッグ信号監視部18により発行されたリセット信号RST2を監視対象リセット信号であると判定し、図3のS3において計数部20によりリセット信号RST2の発行回数をインクリメントする。この図2のタイミングt6では、このリセット信号の発行回数が所定値(例えば2回)未満となっているため、機能監視部19は、図3のS1に処理を戻し、再度リセット信号線24のリセット信号RST2を監視し続ける。
また、演算装置2にはリセット信号RST2がアクティブレベルとして入力されるため、リセット機能により演算装置2は再起動する。すると演算装置2は、図2のタイミングt7においてパルス状のウォッチドッグ信号WDを再度出力し始める。またこの後、演算装置2に何らかの異常を生じると、演算装置2は、図2のタイミングt8においてウォッチドッグ信号WDのパルス出力を停止する。
すると、監視装置3のウォッチドッグ信号監視部18はタイマにより異常判定時間を計測し、このとき異常判定時間が閾値に達したときに異常であると判定し、図2のタイミングt9においてリセット信号RST2のアクティブレベルをリセット信号線24に出力する。これにより、リセット信号RST2のアクティブレベルが演算装置2及び機能監視部19に入力される。演算装置2は、図2のタイミングt9においてリセット信号RST2のアクティブレベルをORゲート27を通じて入力すると、演算装置2自身をリセットする。
他方、同時に、監視装置3の機能監視部19は、図2のタイミングt9において図3のS2の判別処理を実行し、ウォッチドッグ信号監視部18により発行されたリセット信号RST2が監視対象リセット信号であるか監視対象外リセット信号であるかを、少なくとも電源スイッチ信号SWに基づいて判別する。
機能監視部19は、タイミングt9において電源スイッチ信号SWがオンされているため、ウォッチドッグ信号監視部18により発行されたリセット信号RST2のアクティブレベルを監視対象リセット信号であると判定し、図3のS3において計数部20によりリセット信号RST2の発行回数をインクリメントする。この図2のタイミングt9においては、このリセット信号RST2の発行回数が所定値(例えば2回)以上となるため、機能監視部19は通電遮断要求信号をアクチュエータ駆動装置4に出力する。これによりアクチュエータ5の駆動を停止できフェールセーフ処理できる。
フェールセーフ処理すると、図示しない報知装置が外部に通知する。このためドライバは車両を安全に停止し図2のタイミングt10にて電源スイッチ22をオフする。
電源スイッチ22がオフされると、監視装置3のリレー駆動部14がこの電源スイッチ信号SWのオフ信号を入力するが、電源スイッチ信号SWは波形整形部13を通じて演算装置2の実制御部7にも入力される。演算装置2の実制御部7は、この電源スイッチ信号SWのオフ信号を受け付けると、シャットダウン処理、所謂停止処理を行う。
この演算装置2が停止処理を行っている間も、監視装置3のリレー駆動部14は、当該停止処理の終了時間よりも長く見込まれる所定時間T2の間、電源リレー26のオン制御を継続する。これにより、監視装置3の電源部16は、所定時間T2の間、演算装置用電源Vdを演算装置2に供給する。
同時に、電源スイッチ信号SWは、波形整形部13を通じて機能監視部19にも入力される。前述したように、演算装置2が停止処理を行っている間も、リレー駆動部14は所定時間T2の間、電源リレー26のオン制御を継続するが、この間、機能監視部19は通電遮断要求信号をアクチュエータ駆動装置4に出力し続ける。そして、図2のタイミングt11において所定時間T2を経過すると、リレー駆動部14は電源リレー26をオフする。すると、電源部16が演算装置2への電源供給を停止する。
機能監視部19は、リレー駆動部14が電源リレー26をオフし、電源部16が演算装置用電源Vdをオフするまでアクチュエータ駆動装置4への通電遮断要求信号を継続出力しているため、電源部16が電源出力オフするまでアクチュエータ駆動装置4がアクチュエータ5を駆動開始することがなくなり、機能安全性を高めることができる。
したがって、演算装置2が停止処理しているときに、たとえ電源スイッチ22がオフ操作されたとしても、このオフ操作に応じた誤動作を防止できる。その後、電源スイッチ22が再度オンされると、図2のタイミングt21以降に示すように、処理を繰り返すことになるが、この処理の説明は省略する。
また図4は、電源スイッチ22がオン状態からオフに切換えられた直後に再度オンに切換えられたときの各部の動作をタイミングチャートで示している。特に、演算装置2が停止処理を行っている最中に、電源スイッチ22が再度オンに切替えられたときの動作説明図を示している。この図4に示す説明では、図2に図示した内容に加えて、機能監視部19がフラグ記憶部21に保持するカウント禁止フラグ、計数部20によるカウント値も図示している。また図5は、カウント禁止フラグのオン条件をフローチャートを用いて示している。
図4に示す流れにおいても、前述した図2の説明と同様に、電源スイッチ22がオンされると、演算装置2は、タイミングt1〜t5に示すようにウォッチドッグ信号WDを出力する。演算装置2は異常を生じると、当該異常に基づいて図4のタイミングt5〜t6に示すようにリセット処理する。機能監視部19は、リセット信号RST2を監視対象リセット信号と見做し、この発行回数を計数部20によりカウントする。図4のタイミングt6では1回とカウントされる。図4に示すように、このタイミングt1〜t6等の間、機能監視部19は、フラグ記憶部21にカウント禁止フラグをオフのまま保持する。
その後、図4のタイミングt31において、電源スイッチ22がオフされると、演算装置2は停止処理を開始する。演算装置2は停止処理を開始するものの、そのタイミングt31から期間Ta(<T2)を経過したタイミングt32において再度電源スイッチ22がオンされたときにも、電源リレー保持信号28が入力され続けられているため、電源部16は、演算装置用電源Vdの電源供給を継続する。電源は監視装置3にも供給され続けているため、パワーオンリセット回路15はリセット信号RST1を出力しない。しかし、電源スイッチ信号SWがタイミングt32においてオフからオンになったときには、演算装置2はウォッチドッグ信号WDを意図的に停止し自身をリセット処理する。
他方、監視装置3の機能監視部19は、図5に示すように、電源スイッチ信号SWがオフからオンしたときのタイミングt32における電源リレー保持信号28を入力し、当該電源リレー保持信号28がアクティブ状態を継続していれば、図5のステップS11、S12においてYESと判定し、図4のタイミングt32においてカウント禁止フラグをオフからオンにする。図5のS13も参照。
そして機能監視部19は、図4のタイミングt33において図3のS2に示す判別処理を実行すると、ウォッチドッグ信号監視部18により発行されたリセット信号RST2が監視対象リセット信号であるか監視対象外リセット信号であるかを判別する。
このとき機能監視部19は、フラグ記憶部21のカウント禁止フラグをオンにしているため、ウォッチドッグ信号監視部18がリセット信号RST2を出力し、機能監視部19が図3のS1においてリセット信号RST2を監視したとしても、このリセット信号RST2を監視対象外リセット信号と見做し、リセット信号RST2の発行回数をインクリメントすることなく図3のS1に処理を戻す。これにより、リセット信号RST2の発行回数は、カウントされることなく前回の発行回数(例えば1回)のまま保持されるようになる。図4のタイミングt33における計数部20のカウント値参照。
その後、機能監視部19は、リセット信号RST2を監視し、ノンアクティブレベル「L」が入力されたことを確認すると、図4のタイミングt34において、フラグ記憶部21のカウント禁止フラグをオフに戻す。演算装置2は、図4のタイミングt35において意図的に停止していたウォッチドッグ信号WDを復帰させることで通常動作開始する。
このため、演算装置2が停止処理している間に、電源スイッチ22がオンからオフ、また再度オンされたときに、演算装置2が意図的にウォッチドッグ信号WDを停止したとしても、監視装置3は、このウォッチドッグ信号WDの停止によるリセット信号RST2を監視対象外リセット信号と見做し、計数部20によりカウントすることはない。このため、フェールセーフ処理して退避走行することなく、通常動作に復帰でき通常制御を継続できる。
<比較例>
仮に、カウント禁止フラグを設けるなどの処理を行っていないと、電源スイッチ22がオンからオフ、再度オンされたときに、リセット回数を所定回以上カウントしてしまうことになりフェールセーフ処理に移行してしまう虞がある。
<まとめ>
本実施形態の特徴を概念的にまとめる。
演算装置2が異常を生じたときに監視装置3はリセット信号RST2のアクティブレベルをリセット信号線24を通じて演算装置2に出力する。機能監視部19は、リセット信号線24に発行されるリセット信号RST2のアクティブレベルが演算装置2の本来の異常時に生じる監視対象リセット信号となるか又は演算装置2の本来の異常時以外に生じる監視対象外リセット信号となるかを判別する。このため、リセット信号RST2のアクティブレベルがリセット信号線24に発行されたとしても、このリセット信号RST2のアクティブレベルが演算装置2の本来の異常時に生じたものであるか、本来の異常時以外で生じたものであるかを判別できる。このとき、本来の異常時以外で生じたものであるときには、フェールセーフ処理に移行することなく通常制御を継続できる。
また、監視対象リセット信号RST2のアクティブレベルの発行時には、計数部20が監視対象リセット信号RST2の発生回数をカウントする。機能監視部19はこの発生回数が所定値以上になると、アクチュエータ5を駆動制御停止するための通電遮断要求信号を停止信号としてアクチュエータ駆動装置4に出力する。このため、監視対象リセット信号RST2が所定値以上になったときには、アクチュエータ5の駆動制御を停止できフェールセーフ処理に移行できる。
また、たとえ監視対象外のリセット信号RST2がリセット信号線24に発行されたとしても、このリセット信号RST2のアクティブレベル「H」の発行回数をカウントすることがないため、アクチュエータ5を駆動制御停止することがなくなり、フェールセーフ処理に移行することがなくなる。
機能監視部19が、通電遮断要求信号をアクチュエータ駆動装置4に出力するときには、電源部16が電源オフするまで当該通電遮断要求信号を継続するようにしているため、電源部16が電源オフするまでアクチュエータ駆動装置4がアクチュエータ5を駆動開始可能に至ることがなくなり、機能安全性を高めることができる。
機能監視部19は、演算装置2がアクチュエータ駆動装置4を通じてアクチュエータ5を駆動制御するときに電源保持を指令出力する電源リレー保持信号28を入力し、電源スイッチ信号SWがオフからオンするタイミングにおける電源リレー保持信号28に応じて、リセット信号RST2が監視対象リセット信号であるか監視対象外リセット信号であるかを判別するようにしている。これにより、監視対象リセット信号であるか監視対象外リセット信号であるかを正確に判別できる。
具体例を詳述するならば、リセット信号RST2が発行される直前において、電源スイッチ信号SWがオフからオンするタイミングにおいて電源リレー保持信号28のアクティブ状態が継続していることを条件として、機能演算部19はカウント禁止フラグをオフからオンしてフラグ記憶部21に記憶させるようにしている。このため、その後、リセット信号RST2が発行されたとしても当該リセット信号RST2の発行回数をカウントすることがなくなる。
一旦、フェールセーフ処理に移行してしまうと、再度ディーラなどで点検、修理を施す必要を生ずることがあるが、本実施形態に示すように処理することで、フェールセーフ処理に移行する必要なく通常制御を継続できる。これにより、車両の信頼性を確保しながら、商品性の悪化を防ぐことができる。
なお図5は、カウント禁止フラグのオン条件を示しているが、図1や図4に示すタイミングt1において、通常通り車両が起動されるときに電源スイッチ22がオフからオンされS11の条件を満たしたとしても、このタイミングt1には電源リレー保持信号28はノンアクティブレベルとされているためS12の条件を満たすことはなく、カウント禁止フラグがオフからオンになることはない。
(他の実施形態)
本発明は、前述した実施形態に限定されるものではなく、種々変形して実施することができ、その要旨を逸脱しない範囲で種々の実施形態に適用可能である。例えば以下に示す変形又は拡張が可能である。
監視装置3の他に別途機能監視部19の機能を備える構成を設け、監視装置3の外部の機能監視部19が処理を実行するようにしても良い。
特許請求の範囲に記載した括弧内の符号は、本発明の一つの態様として前述する実施形態に記載の具体的手段との対応関係を示すものであって、本発明の技術的範囲を限定するものではない。前述実施形態の一部を、課題を解決できる限りにおいて省略した態様も実施形態と見做すことが可能である。また、特許請求の範囲に記載した文言によって特定される発明の本質を逸脱しない限度において、考え得るあらゆる態様も実施形態と見做すことが可能である。
また本発明は、前述した実施形態に準拠して記述したが、本発明は当該実施形態や構造に限定されるものではないと理解される。本発明は、様々な変形例や均等範囲内の変形をも包含する。加えて、様々な組み合わせや形態、さらには、それらに一要素、それ以上、あるいはそれ以下、を含む他の組み合わせや形態をも、本開示の範畴や思想範囲に入るものである。
図面中、1は電子制御装置、2は演算装置、3は監視装置、5はアクチュエータ(負荷)、13は波形整形部(電源スイッチ信号入力部)、16は電源部、19は機能監視部(判別部、駆動制御停止出力部)、20は計数部、24はリセット信号線、を示す。

Claims (4)

  1. 負荷(5)を駆動制御するための制御信号を駆動装置(4)に出力する演算装置(2)と、
    前記演算装置の動作を監視し当該演算装置が異常を生じたときにリセット信号(RST2)をリセット信号線(24)を通じて前記演算装置に出力する監視装置(3)と、
    前記リセット信号線のリセット信号が前記演算装置の本来の異常時に生じる監視対象リセット信号となるか又は前記演算装置の本来の異常時以外に生じる監視対象外リセット信号となるかを判別する判別部(19)と
    電源スイッチ信号(SW)を入力する電源スイッチ信号入力部(13)と、をさらに備え、
    前記判別部は、前記演算装置が負荷を駆動制御するときに電源保持を指令出力する電源リレー保持信号(28)を入力し、前記電源スイッチ信号がオフからオンするタイミングにおける前記電源リレー保持信号に応じて、前記リセット信号が前記監視対象リセット信号であるか前記監視対象外リセット信号であるかを判別する電子制御装置。
  2. 前記監視対象リセット信号の発行時には当該監視対象リセット信号の発生回数をカウントする計数部(20)と、
    前記計数部によりカウントされた監視対象リセット信号の発生回数が所定値以上になると前記負荷の駆動制御を停止する停止信号を出力する駆動制御停止出力部(19)と、
    をさらに備える請求項1記載の電子制御装置。
  3. 前記監視対象リセット信号の発行時には当該監視対象リセット信号の発生回数をカウントする計数部(20)を備え、
    前記判別部により前記リセット信号線に入力される信号が前記監視対象外リセット信号であると判別されたときには、前記計数部は、前記監視対象リセット信号の発生回数をカウントしないようにする請求項1記載の電子制御装置。
  4. 前記演算装置に演算装置用電源を供給するための電源部(16)をさらに備え、
    前記駆動制御停止出力部は、前記停止信号を出力するときには前記電源部が演算装置用電源をオフするまで当該停止信号を継続する請求項2記載の電子制御装置。
JP2016206924A 2016-10-21 2016-10-21 電子制御装置 Active JP6690495B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2016206924A JP6690495B2 (ja) 2016-10-21 2016-10-21 電子制御装置
DE102017218697.6A DE102017218697A1 (de) 2016-10-21 2017-10-19 Elektronische Steuereinheit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016206924A JP6690495B2 (ja) 2016-10-21 2016-10-21 電子制御装置

Publications (2)

Publication Number Publication Date
JP2018067239A JP2018067239A (ja) 2018-04-26
JP6690495B2 true JP6690495B2 (ja) 2020-04-28

Family

ID=61866372

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016206924A Active JP6690495B2 (ja) 2016-10-21 2016-10-21 電子制御装置

Country Status (2)

Country Link
JP (1) JP6690495B2 (ja)
DE (1) DE102017218697A1 (ja)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3881177B2 (ja) 2001-02-06 2007-02-14 三菱電機株式会社 車両用制御装置
JP5598447B2 (ja) * 2011-09-20 2014-10-01 株式会社デンソー スタータ制御装置
JP6011162B2 (ja) * 2012-08-29 2016-10-19 株式会社デンソー 電子制御装置
JP2015217911A (ja) * 2014-05-21 2015-12-07 株式会社デンソー 電子制御装置
JP6406139B2 (ja) * 2015-01-08 2018-10-17 株式会社デンソー 電子制御装置

Also Published As

Publication number Publication date
DE102017218697A1 (de) 2018-04-26
JP2018067239A (ja) 2018-04-26

Similar Documents

Publication Publication Date Title
US8996927B2 (en) Electronic control device with watchdog timer and processing unit to diagnose malfunction of watchdog timer
JP6220232B2 (ja) 車両の制御装置
CN111164577B (zh) 车载电子控制装置及其异常时处理方法
JP4665846B2 (ja) マイクロコンピュータ及び電子制御装置
WO2014115412A1 (ja) 車両用電源制御装置
US9477542B2 (en) Electronic control unit
JP6323296B2 (ja) 制御装置
JP4198100B2 (ja) スタータ駆動装置
US9519337B2 (en) Circuitry for controlling an output from an electronic control unit including two processors mutually monitoring each other
JP6153815B2 (ja) 自動車用の電子制御装置
US10978986B2 (en) Electric power steering device
JP6690495B2 (ja) 電子制御装置
JP6683104B2 (ja) 電子制御装置
JP5555472B2 (ja) 車両用電子制御システム
JP5928358B2 (ja) 情報処理装置、監視装置、制御装置
JP6332048B2 (ja) 電子制御装置
JP6428537B2 (ja) 電子制御装置及びコンピュータプログラム
JP6458150B2 (ja) 電子制御装置
JP6443202B2 (ja) 車両の電子制御装置
JP7143797B2 (ja) 車載カメラモジュールの電源制御装置
JP2009268286A (ja) 電動車両の制御装置及び制御方法
JP2021126995A (ja) 車両用電子制御装置、および車両用電子制御装置の制御方法
JP6540518B2 (ja) 電子制御装置
WO2024122023A1 (ja) 車両の制御システム
JP7127575B2 (ja) 電子制御装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190123

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20191226

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200107

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200221

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200310

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200323

R151 Written notification of patent or utility model registration

Ref document number: 6690495

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250