[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP2004259137A - 電子制御装置 - Google Patents

電子制御装置 Download PDF

Info

Publication number
JP2004259137A
JP2004259137A JP2003051075A JP2003051075A JP2004259137A JP 2004259137 A JP2004259137 A JP 2004259137A JP 2003051075 A JP2003051075 A JP 2003051075A JP 2003051075 A JP2003051075 A JP 2003051075A JP 2004259137 A JP2004259137 A JP 2004259137A
Authority
JP
Japan
Prior art keywords
microcomputer
answer
electronic control
monitoring circuit
homework
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003051075A
Other languages
English (en)
Inventor
Hideki Kabune
秀樹 株根
Hiromi Maehata
博己 前畑
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Advics Co Ltd
Original Assignee
Denso Corp
Advics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp, Advics Co Ltd filed Critical Denso Corp
Priority to JP2003051075A priority Critical patent/JP2004259137A/ja
Priority to US10/784,198 priority patent/US7305587B2/en
Priority to DE102004009359A priority patent/DE102004009359B4/de
Publication of JP2004259137A publication Critical patent/JP2004259137A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • G05B23/0256Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults injecting test signals and analyzing monitored process response, e.g. injecting the test signal while interrupting the normal operation of the monitored system; superimposing the test signal onto a control signal during normal operation of the monitored system
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24038Several test signals stored in memory and used as input signals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/076Error or fault detection not based on redundancy by exceeding limits by exceeding a count or rate limit, e.g. word- or bit count limit

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Regulating Braking Force (AREA)
  • Safety Devices In Control Systems (AREA)
  • Debugging And Monitoring (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)

Abstract

【課題】マイクロコンピュータが正常に動作しているか否かを確実に監視できる安価な電子制御装置Aの提供。
【解決手段】電子制御装置Aは、宿題信号20の宿題番号21を選択するカウンタ3と、カウンタ3が選択した宿題番号21の宿題信号20をマイクロコンピュータへ送信し、マイクロコンピュータ1から解答信号10を受信するシリアル通信部4と、解答番号11と正解番号30とを比較し、両者が一致する場合にはカウンタ3が選択する宿題信号20の宿題番号21を一つ増やし、一致しない場合には同じ宿題番号21を維持させる比較判定回路5とを有する監視回路2と、受信した宿題信号20の宿題番号21に応じて演算を行い、演算結果を解答信号10で送信するマイクロコンピュータ1とを備える。
【選択図】 図1

Description

【0001】
【発明の属する技術分野】
本発明は、マイクロコンピュータがアクチュエータを制御する電子制御装置に関する。
【0002】
【従来の技術】
特許文献1に記載のマイクロコンピュータ制御装置は、制御信号を出力して所定の負荷を制御するマイクロコンピュータと、このマイクロコンピュータの異常動作状態を検出し、リセット信号を出力してマイクロコンピュータをリセットするウオッチドック回路と、このウオッチドック回路のリセット信号に応じて、フェイル信号を出力するフェイルセーフ回路と、このフェイルセーフ回路のフェイルセーフ信号に応じて、マイクロコンピュータの制御信号をフェイルセーフ側に切換える信号切換え回路とを備えている。
【0003】
【特許文献1】
実開平5− 36544号公報 (第2頁、図1)
【0004】
【発明が解決しようとする課題】
特許文献1のマイクロコンピュータ制御装置は、下記に示す課題を有する。
ABSやVSC等の安全に係わるシステムにおいては、ウオッチドックパルスの監視だけでは不充分で、更に高度な監視(命令が正しく実行されている等)が必要になる。
【0005】
なお、二つのマイクロコンピュータを用い、相互にデータ通信を行いながら機能チェックを実施して結果を比較する方法も考えられるが、コストが高くなって製品の競争力が低下してしまう。
【0006】
本発明の目的は、マイクロコンピュータが正常に動作しているか否かを確実に監視できる安価な電子制御装置の提供にある。
【0007】
【課題を解決するための手段】
〔請求項1について〕
監視回路は、通信部と比較判定部とを有し、通信部が宿題番号をマイクロコンピュータへ送信してマイクロコンピュータからの解答を受信し、比較判定部が解答と正解答とを比較してマイクロコンピュータの機能をチェックする。
マイクロコンピュータは、アクチュエータを制御するとともに、受信した宿題番号に応じて予め定められた自己機能チェック演算を行い、その演算結果を解答として監視回路へ送信する。
【0008】
電子制御装置は、受信した宿題番号に応じてマイクロコンピュータが自己機能チェック演算を行い、その演算結果としての解答を監視回路でチェックする構成であるので、マイクロコンピュータが正常に動作しているか否かを確実に監視できる。また、マイクロコンピュータを一つしか使わないので安価である。
【0009】
〔請求項2について〕
監視回路は、宿題番号選択部と通信部と比較判定部とを有する。
監視回路の宿題番号選択部は、マイクロコンピュータに送信する宿題番号を選択する。
監視回路の通信部は、宿題番号選択部が選択した宿題番号をマイクロコンピュータへ送信し、マイクロコンピュータから解答を受信する。
【0010】
監視回路の比較判定部は、受信した解答と正解答とを比較し、両者が一致する場合には、宿題番号選択部が選択する宿題信号を更新して、次の宿題として更新された宿題番号をマイクロコンピュータに送信し、受信した解答と正解答とを比較する。
また、受信した解答と正解答とが一致しない場合には宿題番号選択部が選択する宿題番号を更新せず、先回送信した宿題番号を再選択し、通信部がその宿題番号をマイクロコンピュータに送信し、受信した解答と正解答とを比較する。
【0011】
マイクロコンピュータは、アクチュエータを制御するとともに、受信した宿題番号に応じて、予め定められた自己機能チェック演算を行い、その演算結果を解答として監視回路へ送信する。
【0012】
電子制御装置は、受信した宿題番号に応じてマイクロコンピュータが自己機能チェック演算を行い、その演算結果としての解答を監視回路の比較判定部でチェックする構成であるので、マイクロコンピュータが正常に動作しているか否かを高精度で監視できる。
【0013】
受信した解答と正解答とが一致しない場合には、同じ宿題番号を維持し、その宿題番号を再度、マイクロコンピュータに送信し、受信した解答と正解答とを比較する構成であるので、同じ条件(同じ宿題番号)でマイクロコンピュータの機能チェックが行える。
また、マイクロコンピュータを一つしか使わないので安価である。
【0014】
〔請求項3について〕
何らかの原因でマイクロコンピュータが異常状態になると、解答が送れなくなったり、誤った解答を送信する状態に至る。
このため、監視回路は、マイクロコンピュータへ宿題番号を送信してから所定時間以内に解答が受信できない場合、または、受信した解答と正解答との不一致が所定回数連続した場合には、マイクロコンピュータが異常であると判定する。
【0015】
これにより、マイクロコンピュータの暴走や停止においても確実に検出でき、且つ、α線によるソフトエラー(一時的なRAMのビット化け)等の故障でない一過性で、且つ、稀な演算エラーは異常検知しなくなるため、マイクロコンピュータの故障を確実に検出できる。
【0016】
〔請求項4について〕
マイクロコンピュータは、所定通信回数毎に故意に誤った演算結果の解答を監視回路に送信して、監視回路の機能をチェックしている。
これにより、監視回路が正常に動作していることをマイクロコンピュータによりチェックすることができる。
【0017】
〔請求項5について〕
監視回路は、マイクロコンピュータが異常であると判定した場合には、マイクロコンピュータによるアクチュエータ駆動を禁止し、異常発生を報知する。
これにより、この電子制御装置を、ABSやVSC等の安全に係わるシステムに適用することができる。
【0018】
〔請求項6、10、14について〕
監視回路は、一度、マイクロコンピュータが異常であると判定した後、マイクロコンピュータが正常に復帰したことを判定する手段を有する。
【0019】
これにより、請求項10で記載した様に、電源投入時にはマイクロコンピュータが異常と判定した状態にすることで、確実にマイクロコンピュータが正常であると判定してから、通常の制御処理を実施することになるため、より安全な電子制御装置を提供できる。
【0020】
〔請求項14について〕
これにより、請求項14で記載した様に、リセットスタート後、少なくとも1回は、宿題番号に対して故意に誤った演算結果の解答をマイクロコンピュータが送出し、マイクロコンピュータの異常を正しく判定して異常処置(制御システムを安全側に切替える)が正しく実施されたかどうかを監視回路がチェックする構成であるので、更に、より安全な電子制御装置を提供できる。
【0021】
〔請求項7、8について〕
請求項7では、マイクロコンピュータが正常に復帰したことを判定する手段として、解答と正解答との一致が所定回数連続することをもって、マイクロコンピュータが正常に復帰したとしている。このため、確実にマイクロコンピュータが正常であることを確認した上で、異常処理モードを解除できるため、より安全な電子制御装置を提供できる。
【0022】
請求項8では、マイクロコンピュータが正常に復帰したことを判定する手段として、正常復帰信号を受信することをもって、マイクロコンピュータが正常に復帰したとしている。これにより、より早く、異常処理状態を解除できるため、監視回路の動作チェック時間を短縮することができる。
【0023】
〔請求項9について〕
マイクロコンピュータが異常状態と正常状態とを繰り返す様な不安定な状態のときには、マイクロコンピュータに何らかの異常があると考えられる。
請求項9では、監視回路が、マイクロコンピュータが正常復帰したと判定できる回数を所定回数迄に制限しているので、マイクロコンピュータに異常がある場合には、確実にその異常を判定できる。
【0024】
〔請求項11について〕
監視回路は、マイクロコンピュータが正常復帰したと判定した場合には、マイクロコンピュータによるアクチュエータ駆動を許可し、機能異常の報知をやめるようにしているので、正常復帰の際には、通常の電子制御に戻ることができる。
【0025】
〔請求項12について〕
監視回路は、マイクロコンピュータが異常であると判定されると、マイクロコンピュータにリセットをかけ、マイクロコンピュータを再起動させて、再初期化する構成である。このため、マイクロコンピュータを、ノイズ等による暴走等の一過性の異常から復帰させることができ、制御の中断が好ましくないシステムに好適である。
【0026】
〔請求項13について〕
但し、リセットして再初期化しても、再度、異常となる様な恒久的な異常の場合には、確実にシステムを停止する必要がある。
このため、請求項13では、監視回路が、マイクロコンピュータにリセットをかけて再起動させる回数を予め定めた回数に制限し、その回数を超えた場合にはマイクロコンピュータをリセット固定して、マイクロコンピュータを初期状態に固定している。
この時、同時に、マイクロコンピュータによるアクチュエータの制御を監視回路が禁止し、アクチュエータを安全側に退避させ、異常を報知する様にすると、より安全な電子制御装置を提供できる。
【0027】
【発明の実施の形態】
(第1実施例)
本発明の一実施例に係るABS制御用の電子制御装置A(請求項1〜11、および請求項14に対応)を、図1〜図3に基づいて説明する。
電子制御装置Aは、四個の車速センサのセンサ出力に基づいて油圧シリンダ(何れも図示せず)を制御するマイクロコンピュータ1と、マイクロコンピュータ1の機能を監視する監視回路2とを備える。
【0028】
マイクロコンピュータ1は、図2のフローチャート(ステップs1〜ステップs12)に基づいて作動する。
マイクロコンピュータ1は、受信した宿題番号21に応じて、マイクロコンピュータ1自身の機能チェックのための予め決められた宿題演算処理(ステップs3)を行い、その演算結果に応じて、解答補正処理(ステップs4)を行い、解答番号11を算出する。
この解答番号11を解答信号10に乗せて監視回路2へ送信する。
【0029】
但し、解答8回毎に、故意に、1回だけ誤った解答番号11の解答信号10を監視回路2に送信する(ステップs2で、Nの下位3ビットが000)。そして、同じ宿題番号21の宿題信号20が送られてくる(ステップs11で、宿題番号が前回宿題番号と同じ)ことを確認する誤解答判定チェックを行って監視回路2の動作をチェックしている。
【0030】
また、電子制御装置Aへの作動用電源の投入時(イニシャル時)には、マイクロコンピュータ1は、図3のフローチャート(ステップSt1〜St22)に示す様に、故意に、誤った解答番号11(ステップSt9)の解答信号10を三回、連続して監視回路2に送って、油圧シリンダの制御を禁止状態(駆動禁止状態)にして監視回路2の動作をチェック(ステップSt14でYES)している。その後、禁止解除キーを監視回路2へ送出する(ステップSt17)。
そして、禁止解除Keyチェック回路71が禁止解除キーを確認すると、駆動禁止解除回路7が油圧シリンダの駆動禁止状態の解除(解除は三回迄)を行う。
【0031】
監視回路2は、カウンタ3(宿題番号選択部)と、シリアル通信部4(通信部)と、比較判定回路5(比較判定部)と、駆動禁止部6と、駆動禁止解除回路7とを備える。
カウンタ3は、所定の宿題番号(8ビット)の宿題信号20を作成する役目を有する。カウンタ3が出力する宿題信号20は、正解番号30(正解答)を出力するデコーダ31およびシリアル通信部4に入力される。
【0032】
マイクロコンピュータ1とシリアル通信を行うシリアル通信部4は、所定時間毎に宿題信号20をマイクロコンピュータ1へ送信し、マイクロコンピュータ1から解答信号10を受信し、8ビットの解答番号11(解答信号の解答)が比較判定回路5の比較判定器51に入力される。
【0033】
比較判定回路5は、比較判定器51とインバータ回路52とを備える。
比較判定器51は、解答番号11とデコーダ31が出力する正解番号30とを比較し、両者が一致する場合(解答番号11=正解番号30)には、インバータ回路52を介して宿題更新信号をカウンタ3に出力して、カウンタ3が出力する宿題信号20の宿題番号を一つ増やす。
【0034】
また、解答番号11と正解番号30とが一致しない場合(NG;解答番号11≠正解番号30)には、インバータ回路52を介して宿題更新信号がカウンタ3に出力されないので、同じ宿題番号の宿題信号20をカウンタ3が出力する。
【0035】
駆動禁止部6は、NG三回判別器61、更新無し判別器62、OR回路63、およびフリップフロップ回路64からなる。
NG三回判別器61は、比較判定器51が判定したNG回数が連続三回に達したか否かを判別し、NG回数が連続三回に達していると判別するとHiレベルの出力を送出する。
【0036】
更新無し判別器62は、シリアル通信部4からの解答番号更新信号に基づいて、所定時間(30ms)内に解答番号の更新が行われたか否かを判別し、更新が行われない場合にはHiレベルの出力を送出する。
【0037】
OR回路63は、NG三回判別器61や更新無し判別器62からHiレベルの出力が入力するか、またはCPUリセット信号が入力すると、マイクロコンピュータ1が異常動作状態に陥ったと判別してHiレベルの出力をフリップフロップ回路64に送出する。この場合には、フリップフロップ回路64は、マイクロコンピュータ1による油圧シリンダの制御を禁止(駆動禁止状態)する。
【0038】
なお、マイクロコンピュータ1が異常動作状態に陥った場合には、監視回路2のリセット信号送出回路(図示せず)がマイクロコンピュータ1にリセット信号を出力する。そして、リセット信号によりマイクロコンピュータ1が正常状態に復帰した場合には、監視回路2の機能チェックを行うために、宿題信号20に対して故意に誤った演算結果の解答信号10を送出して監視回路2の機能をチェックしている。
【0039】
駆動禁止解除回路7は、禁止解除Keyチェック回路71、カウンタ回路72、フリップフロップ回路73、OR回路74、インバータ回路75、AND回路76とを備える。
禁止解除Keyチェック回路71は、マイクロコンピュータ1からシリアル通信部4を介して解除キーが送出されると、その解除キーが禁止解除キーと一致するか否かを判別する。
【0040】
フリップフロップ回路64がアクチュエータを駆動禁止状態にしている場合に、禁止解除Keyチェック回路71が禁止解除キーを確認すると、駆動禁止解除回路7が、三回を限度として油圧シリンダの駆動禁止状態を解除する。
【0041】
(第2実施例)
次に、本発明の他の実施例に係るABS制御用の電子制御装置B(請求項1〜5、および請求項12〜14に対応)の請求項12、13の動作を図4に基づいて説明する。
【0042】
電子制御装置Bも電子制御装置Aと同様に、四個の車速センサのセンサ出力に基づいて油圧シリンダ(何れも図示せず)を制御するマイクロコンピュータ1と、マイクロコンピュータ1の機能を監視する監視回路2とを備える。
電子制御装置Bでは、第1実施例に記載した駆動禁止解除回路7の替わりに、以下のリセット回路8を設けている。そのリセット回路8はパワーONリセット回路81、リセットパルス発生回路82、カウンタ83、OR回路84、およびインバータ回路85からなり、マイクロコンピュータ1が異常と判定されると、リセット端子へ繋がる信号線80にリセット信号を出力してマイクロコンピュータ1をリセットする。
マイクロコンピュータ1は、通常、図2のフローチャート(ステップs1〜ステップs12)に基づいて作動する。なお、この動作は電子制御装置Aと同じである。
【0043】
但し、電子制御装置Bへの作動用電源の投入時(イニシャル時)には、マイクロコンピュータ1は、図5のフローチャート(ステップSp1〜ステップSp18)に示す様に、故意に、誤った解答番号11の解答信号10を三回、連続して監視回路に送って、マイクロコンピュータ1自身をリセットさせて、監視回路2の動作をチェック(ステップSp3でON)している。
【0044】
上記各実施例の電子制御装置A、Bは、以下に示す利点を有する。
〔ア〕電子制御装置Aは、監視回路2の比較判定回路5が、解答番号11と正解番号30とを比較することによりマイクロコンピュータ1の機能をチェックする構成であるので、マイクロコンピュータ1が正常に動作しているか否かを高精度で監視できる。また、マイクロコンピュータ1を一つしか使わないので安価である。
【0045】
なお、解答番号11と正解番号30とが一致しない場合には同じ宿題番号21を維持し、その宿題番号21に対応する宿題信号20を再度、マイクロコンピュータ1に送信し、解答番号11と正解番号30とを再度、比較する構成である。つまり、不正解の場合には、同じ条件(同じ宿題番号)で再チェックを行っているので、不正解の原因がノイズ等によるものか、マイクロコンピュータ1の機能不良によるものかを確実に区別できる。
【0046】
〔イ〕何らかの原因でマイクロコンピュータ1が異常状態になると、解答番号11が送出できなくなったり、解答番号11と正解番号30とが一致しなくなる。
電子制御装置Aでは、マイクロコンピュータ1へ宿題信号20を送信してから30ms内に解答番号が更新されない場合、または、解答番号11と正解番号30の連続三回、不一致の場合には、マイクロコンピュータ1が異常であると判定し、マイクロコンピュータ1による油圧シリンダの制御を監視回路2が禁止している。
【0047】
また、電源投入時、リセット信号により監視回路2の状態をマイクロコンピュータ異常判定状態にセットし、マイクロコンピュータ1による油圧シリンダの制御を監視回路2が禁止する。そして、リセット信号解除により、マイクロコンピュータ1が動作し、マイクロコンピュータ1のイニシャル処理にて正常復帰信号を監視回路2に送信すると、監視回路2はマイクロコンピュータ1による油圧シリンダの制御を許可する構成である。
【0048】
また、電子制御装置Bでは、マイクロコンピュータ1へ宿題信号20を送信してから30ms内に解答番号11が更新されない場合、または、解答番号11と正解番号30とが連続三回、不一致の場合には、マイクロコンピュータ1による油圧シリンダ制御を監視回路2が禁止すると同時に、監視回路2がマイクロコンピュータ1にリセット信号を出力し、リセット解除後に監視回路2は、マイクロコンピュータ1による油圧シリンダの制御を許可するとともに、異常状態になっているマイクロコンピュータ1を正常状態に復帰させる構成である。
【0049】
これにより、電子制御装置A、Bは、ABS用の油圧シリンダを安全に制御することができる。
【0050】
なお、何回もマイクロコンピュータ1が異常状態になる場合には、何らかの原因が考えられるので、電子制御装置Aでは、監視回路2のマイクロコンピュータ1による油圧シリンダの制御禁止状態から制御許可状態に変更する回数を三回迄に制限している。
また、電子制御装置Bでは、監視回路2のマイクロコンピュータ1へのリセット回数をカウンタ83により四回迄に制限している。
【0051】
〔ウ〕電子制御装置A、Bは、通信8回毎に、マイクロコンピュータ1が、故意に、1回だけ誤った解答番号11の解答信号10を監視回路2へ送信する構成である。このため、監視回路2が正常に動作しているか否かをマイクロコンピュータ1により適宜、確認することができる。
【0052】
〔エ〕電子制御装置A、Bは、リセット信号によりマイクロコンピュータ1が正常状態に復帰した場合には、監視回路2の機能チェックを行うために、マイクロコンピュータ1は、宿題信号20に対して故意に誤った演算結果の解答信号10を送出している。
これにより、マイクロコンピュータのリセット時に、監視回路2の機能チェックを行うことができ、安全性に優れる。
【図面の簡単な説明】
【図1】本発明の一実施例に係るABS制御用の電子制御装置Aのブロック図である。
【図2】電子制御装置A、Bが有するマイクロコンピュータのメインのフローチャートである。
【図3】電子制御装置Aのマイクロコンピュータのイニシャル時のフローチャートである。
【図4】本発明の他の実施例に係る電子制御装置Bのブロック図である。
【図5】電子制御装置Bのマイクロコンピュータのイニシャル時のフローチャートである。
【符号の説明】
A、B 電子制御装置
1 マイクロコンピュータ
2 監視回路
3 カウンタ(宿題番号選択部)
4 シリアル通信部(通信部)
5 比較判定回路(比較判定部)
10 解答信号
20 宿題信号

Claims (14)

  1. マイクロコンピュータがアクチュエータを制御する電子制御装置であって、
    宿題番号を前記マイクロコンピュータへ送信し、該マイクロコンピュータからの解答を受信する通信部と、前記解答と正解答とを比較して前記マイクロコンピュータの機能をチェックする比較判定部とを有する監視回路と、
    受信した前記宿題番号に応じて予め定められた自己機能チェック演算を行い、その演算結果を解答として送信するマイクロコンピュータとを備えることを特徴とする電子制御装置。
  2. マイクロコンピュータがアクチュエータを制御する電子制御装置であって、
    宿題番号を選択する宿題番号選択部と、該宿題番号選択部が選択した宿題番号を前記マイクロコンピュータへ送信し、該マイクロコンピュータから解答を受信する通信部と、前記解答と正解答とを比較して前記マイクロコンピュータの機能をチェックする比較判定部とを有し、前記宿題番号選択部が次の宿題番号を前記比較判定部での前記解答と正解答との比較の結果、両者が一致する場合には宿題番号を更新し、一致しない場合には同じ宿題番号を選択するように構成した監視回路と、
    受信した前記宿題番号に応じて予め定められた自己機能チェック演算を行い、その演算結果を前記解答として送信するマイクロコンピュータとを備えることを特徴とする電子制御装置。
  3. 前記監視回路は、前記マイクロコンピュータへ前記宿題番号を送信してから所定時間以内に前記解答が受信できない場合、または、前記解答と前記正解答との不一致が所定回数連続した場合には、前記マイクロコンピュータが異常であると判定することを特徴とする請求項1または請求項2に記載の電子制御装置。
  4. 前記マイクロコンピュータは、所定通信回数毎に故意に誤った演算結果の解答を前記監視回路に送信して、前記監視回路の機能をチェックできるように構成したことを特徴とする請求項1乃至請求項3の何れかに記載の電子制御装置。
  5. 前記監視回路は、前記マイクロコンピュータが異常であると判定されると、前記マイクロコンピュータによるアクチュエータ駆動を禁止し、前記アクチュエータを安全側に退避させ、機能異常を報知することを特徴とする請求項1乃至請求項4の何れかに記載の電子制御装置。
  6. 前記監視回路は、一度、前記マイクロコンピュータが異常であると判定した後、前記マイクロコンピュータが正常に復帰したことを判定する手段を有することを特徴とする請求項1乃至請求項5の何れかに記載の電子制御装置。
  7. 前記マイクロコンピュータが正常に復帰したことを判定する手段として、前記解答と正解答との一致が所定回数連続することをもって、前記マイクロコンピュータが正常に復帰したとすることを特徴とする請求項6に記載の電子制御装置。
  8. 前記マイクロコンピュータが正常に復帰したことを判定する手段として、正常復帰信号を受信することをもって、前記マイクロコンピュータが正常に復帰したとすることを特徴とする請求項6に記載の電子制御装置。
  9. 前記監視回路は、前記マイクロコンピュータが正常復帰したと判定できる回数を所定回数迄に制限したことを特徴とする請求項6乃至請求項8の何れかに記載の電子制御装置。
  10. 前記監視回路は、電源投入時、前記マイクロコンピュータが異常と判定した状態にすることを特徴とする請求項6乃至請求項9の何れかに記載の電子制御装置。
  11. 前記監視回路は、前記マイクロコンピュータが正常復帰したと判定した場合には、前記マイクロコンピュータによるアクチュエータ駆動を許可し、機能異常の報知をやめることを特徴とする請求項6乃至請求項10の何れかに記載の電子制御装置。
  12. 前記監視回路は、前記マイクロコンピュータが異常であると判定されると、前記マイクロコンピュータにリセットをかけ、前記マイクロコンピュータを再起動させることを特徴とする請求項1乃至請求項4の何れかに記載の電子制御装置。
  13. 前記監視回路は、前記マイクロコンピュータにリセットをかけて再起動させる回数を予め定めた回数に制限し、その回数を超えた場合には前記マイクロコンピュータをリセット固定することを特徴とする請求項12に記載の電子制御装置。
  14. 前記マイクロコンピュータは、リセットスタート後、少なくとも1回は、前記宿題番号に対して故意に誤った演算結果の解答を送出し、
    前記監視回路が前記マイクロコンピュータの異常を正しく判定して異常処置が正しく実施されたかどうかをチェックすることを特徴とする請求項5乃至請求項12の何れかに記載の電子制御装置。
JP2003051075A 2003-02-27 2003-02-27 電子制御装置 Pending JP2004259137A (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2003051075A JP2004259137A (ja) 2003-02-27 2003-02-27 電子制御装置
US10/784,198 US7305587B2 (en) 2003-02-27 2004-02-24 Electronic control unit for monitoring a microcomputer
DE102004009359A DE102004009359B4 (de) 2003-02-27 2004-02-26 Elektronische Steuereinheit zur Überwachung eines Mikrocomputers

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003051075A JP2004259137A (ja) 2003-02-27 2003-02-27 電子制御装置

Publications (1)

Publication Number Publication Date
JP2004259137A true JP2004259137A (ja) 2004-09-16

Family

ID=32866650

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003051075A Pending JP2004259137A (ja) 2003-02-27 2003-02-27 電子制御装置

Country Status (3)

Country Link
US (1) US7305587B2 (ja)
JP (1) JP2004259137A (ja)
DE (1) DE102004009359B4 (ja)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007283788A (ja) * 2006-04-12 2007-11-01 Toyota Motor Corp 車両用電子制御装置
JP2007293524A (ja) * 2006-04-24 2007-11-08 Toyota Motor Corp 電子制御装置、及び、演算機能検査方法
JP2009505186A (ja) * 2005-08-08 2009-02-05 ローベルト ボツシユ ゲゼルシヤフト ミツト ベシユレンクテル ハフツング コンピュータシステムの機能監視方法および機能監視装置
US7612464B2 (en) 2005-06-23 2009-11-03 Denso Corporation Electronic control system with malfunction monitor
US7826962B2 (en) 2005-06-23 2010-11-02 Denso Corporation Electronic control apparatus
US8091014B2 (en) 2007-08-22 2012-01-03 Denso Corporation Electronic apparatus in which functioning of a microcomputer is monitored by another microcomputer to detect abnormal operation
DE102011083655A1 (de) 2010-09-29 2012-03-29 Denso Corporation Überwachungsvorrichtung zur Überwachung eines Betriebs einer Steuerverarbeitungsvorrichtung
JP2013541089A (ja) * 2010-09-20 2013-11-07 ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング 少なくとも2つのマイクロコントローラを監視する方法
KR101395371B1 (ko) * 2013-01-22 2014-05-14 주식회사 현대케피코 차량의 급발진 방지방법
JP2015521259A (ja) * 2012-05-03 2015-07-27 マクニコラス,ダニエル 圧縮天然ガス車両の安全システム及び方法
US9547569B2 (en) 2009-09-17 2017-01-17 Keihin Corporation Electronic control unit for vehicle

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4379793B2 (ja) * 2004-03-12 2009-12-09 株式会社デンソー 車両用電子制御装置
US7271363B2 (en) * 2004-09-01 2007-09-18 Noritsu Koki Co., Ltd. Portable microwave plasma systems including a supply line for gas and microwaves
JP4432988B2 (ja) * 2007-03-14 2010-03-17 株式会社デンソー 電子制御装置
DE102016015756B4 (de) 2016-09-19 2020-01-02 Elmos Semiconductor Aktiengesellschaft Verfahren zum Betrieb eines Watchdog umfassend eine Mustererkennung für wiederkehrende Lastsituationen mit zweifacher Bewertung
DE102016117569B3 (de) * 2016-09-19 2017-11-16 Elmos Semiconductor Aktiengesellschaft Watchdog mit Mustererkennung für wiederkehrende Lastsituationen und mit einem Empfangszeitraum gesteuerten Schieberegister
DE102016117571B3 (de) * 2016-09-19 2017-11-16 Elmos Semiconductor Aktiengesellschaft Watchdog mit Mustererkennung für wiederkehrende Lastsituationen und mit einem Empfangszeitraum gesteuerten Zwischenspeicher
DE102016117567B3 (de) * 2016-09-19 2017-11-16 Elmos Semiconductor Aktiengesellschaft Watchdog mit Mustererkennung für wiederkehrende Lastsituationen mit einem empfangsgesteuerten Zwischenspeicher
EP3627324B1 (de) 2016-09-19 2021-10-27 Elmos Semiconductor SE Watchdog zur überwachung eines prozessors
DE102016015757B4 (de) 2016-09-19 2020-01-02 Elmos Semiconductor Aktiengesellschaft Verfahren zum Betrieb eines Watchdog umfassend eine Mustererkennung für wiederkehrende Lastsituationen mit Rücksetzen des Ereignisspeichers
DE102016117566B3 (de) * 2016-09-19 2017-11-16 Elmos Semiconductor Aktiengesellschaft Watchdog mit Mustererkennung für wiederkehrende Lastsituationen mit einem empfangsgesteuerten Schieberegister
DE102016117568B3 (de) * 2016-09-19 2017-11-16 Elmos Semiconductor Aktiengesellschaft Verfahren zum Betrieb eines Watchdog umfassend eine Mustererkennung für wiederkehrende Lastsituationen
DE102016015755B4 (de) 2016-09-19 2020-01-02 Elmos Semiconductor Aktiengesellschaft Verfahren zum Betrieb eines Watchdog umfassend eine Mustererkennung für wiederkehrende Lastsituationen mit einem zweistufigen Ergebnisspeicher
EP3761179B1 (de) 2019-07-05 2023-10-11 Elmos Semiconductor SE Verfahren zur überprüfung der funktion eines prozessors durch einen watchdog
GB2595539B (en) * 2020-12-07 2023-04-19 Antobot Ltd Safety mechanisms for artificial intelligence units used in safety critical applications

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS62108339A (ja) 1985-11-06 1987-05-19 Nippon Denso Co Ltd 電子回路の異常監視装置
JPS63253401A (ja) 1987-04-10 1988-10-20 Hitachi Ltd アクチユエ−タ制御回路の安全装置
JPH01177645A (ja) 1988-01-07 1989-07-13 Ricoh Co Ltd 制御システムの暴走検知方法
JP2659067B2 (ja) 1988-06-08 1997-09-30 住友電気工業株式会社 マイクロコンピュータのリセット回路
JPH02250124A (ja) 1989-03-24 1990-10-05 Akebono Brake Ind Co Ltd 車載用電子制御装置の誤動作防止方法
JPH02292639A (ja) 1989-05-02 1990-12-04 Toshiba Corp マイクロコンピュータの異常検出回路
JPH04302343A (ja) 1991-03-29 1992-10-26 Toshiba Corp 管理システム
DE4122016A1 (de) * 1991-07-03 1993-01-21 Hella Kg Hueck & Co Antiblockierregelsystem
JP3205356B2 (ja) 1991-08-02 2001-09-04 ティーディーケイ株式会社 コイル装置
JPH0561769A (ja) 1991-09-02 1993-03-12 Daikin Ind Ltd メモリ・アクセス方法
JPH05143377A (ja) 1991-11-18 1993-06-11 Hitachi Ltd アラーム通知方式
JPH05257753A (ja) 1992-03-03 1993-10-08 Nec Corp 周辺制御装置の障害警報出力回路
JP2901849B2 (ja) * 1993-09-07 1999-06-07 三菱電機株式会社 アンチスキッド制御装置用フェール検出装置
US5735583A (en) * 1993-09-21 1998-04-07 Sumitomo Electric Industries, Ltd. Device for detecting failure of microcomputer in antilock controller
JPH07200363A (ja) 1993-12-28 1995-08-04 Matsushita Electric Ind Co Ltd ウォッチドッグタイマー制御回路
DE4446314A1 (de) * 1994-12-23 1996-06-27 Teves Gmbh Alfred Verfahren und Schaltungsanordnung zur Überwachung der Funktion einer programmgesteuerten Schaltung
DE19500188B4 (de) * 1995-01-05 2006-05-11 Robert Bosch Gmbh Schaltungsanordnung für eine Bremsanlage
JPH08202589A (ja) 1995-01-24 1996-08-09 Nec Home Electron Ltd 情報処理装置及び故障診断方法
JP3729893B2 (ja) 1995-05-31 2005-12-21 住友電気工業株式会社 マイクロコンピュータの故障検出方法
JP3633092B2 (ja) * 1996-03-18 2005-03-30 日産自動車株式会社 マイコン故障監視装置
US6243629B1 (en) * 1996-04-19 2001-06-05 Honda Giken Kogyo Kabushiki Kaisha Electronic control unit for automotive vehicles
JP3991384B2 (ja) 1996-07-15 2007-10-17 株式会社デンソー 電子制御装置
DE19653551C1 (de) * 1996-12-20 1998-02-05 Siemens Ag Verfahren zur Überprüfung der Funktionsfähigkeit einer Recheneinheit
JPH11259340A (ja) 1998-03-10 1999-09-24 Oki Comtec:Kk コンピュータの再起動制御回路
JP2000029734A (ja) * 1998-07-13 2000-01-28 Nissan Motor Co Ltd Cpu異常監視システム
DE19902031A1 (de) * 1999-01-20 2000-07-27 Bosch Gmbh Robert Steuergerät zur Steuerung sicherheitskritischer Anwendungen
JP3636031B2 (ja) * 2000-04-28 2005-04-06 株式会社デンソー 電子制御装置内のマイクロコンピュータ監視方法
JP2001350735A (ja) 2000-06-09 2001-12-21 Bosch Automotive Systems Corp 複数データ処理装置間相互監視方法
JP3616319B2 (ja) 2000-09-05 2005-02-02 株式会社日立製作所 Cpuの診断装置
JP4194748B2 (ja) * 2000-12-26 2008-12-10 株式会社ホンダエレシス 演算制御装置

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7612464B2 (en) 2005-06-23 2009-11-03 Denso Corporation Electronic control system with malfunction monitor
US7826962B2 (en) 2005-06-23 2010-11-02 Denso Corporation Electronic control apparatus
US8108716B2 (en) 2005-08-08 2012-01-31 Robert Bosch Gmbh Method and device for monitoring functions of a computer system
JP2009505186A (ja) * 2005-08-08 2009-02-05 ローベルト ボツシユ ゲゼルシヤフト ミツト ベシユレンクテル ハフツング コンピュータシステムの機能監視方法および機能監視装置
JP2007283788A (ja) * 2006-04-12 2007-11-01 Toyota Motor Corp 車両用電子制御装置
JP2007293524A (ja) * 2006-04-24 2007-11-08 Toyota Motor Corp 電子制御装置、及び、演算機能検査方法
US8091014B2 (en) 2007-08-22 2012-01-03 Denso Corporation Electronic apparatus in which functioning of a microcomputer is monitored by another microcomputer to detect abnormal operation
US9547569B2 (en) 2009-09-17 2017-01-17 Keihin Corporation Electronic control unit for vehicle
JP2013541089A (ja) * 2010-09-20 2013-11-07 ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング 少なくとも2つのマイクロコントローラを監視する方法
DE102011083655A1 (de) 2010-09-29 2012-03-29 Denso Corporation Überwachungsvorrichtung zur Überwachung eines Betriebs einer Steuerverarbeitungsvorrichtung
JP2012073900A (ja) * 2010-09-29 2012-04-12 Denso Corp 監視装置、及び電子制御システム
JP2015521259A (ja) * 2012-05-03 2015-07-27 マクニコラス,ダニエル 圧縮天然ガス車両の安全システム及び方法
KR101395371B1 (ko) * 2013-01-22 2014-05-14 주식회사 현대케피코 차량의 급발진 방지방법

Also Published As

Publication number Publication date
DE102004009359A1 (de) 2004-09-16
DE102004009359B4 (de) 2006-02-02
US20040172580A1 (en) 2004-09-02
US7305587B2 (en) 2007-12-04

Similar Documents

Publication Publication Date Title
JP2004259137A (ja) 電子制御装置
US9740178B2 (en) Primary controller designation in fault tolerant systems
US8495433B2 (en) Microcomputer mutual monitoring system and a microcomputer mutual monitoring method
US9563523B2 (en) Architecture for scalable fault tolerance in integrated fail-silent and fail-operational systems
US20190250574A1 (en) Multi-channel control switchover logic
JP3486747B2 (ja) 自動車制御装置及びこれに組込まれる単一プロセッサシステム
JP2016147585A (ja) 電子制御装置
CN113993752B (zh) 电子控制单元和计算机可读取的记录介质
KR100711850B1 (ko) 마이크로컴퓨터 감시 금지 기능을 갖는 전자 제어 시스템및 방법
JP2016126692A (ja) 電子制御装置
US7426430B2 (en) Control unit for activating an occupant protection means in a motor vehicle and method for monitoring the proper functioning of a control unit preferably of this type
JP2000065691A (ja) セルフシャットオフ機能の診断装置
JP2005529403A (ja) マイクロコントローラユニットの動作を監視する方法およびベースチップ
US10514970B2 (en) Method of ensuring operation of calculator
JP4126849B2 (ja) マルチcpuシステムの監視方式
US12139152B2 (en) In-vehicle electronic control unit and computer readable medium
JP4613019B2 (ja) コンピュータシステム
JP6702175B2 (ja) 負荷駆動装置
JPH02281343A (ja) Cpu動作の監視方式
US11609999B2 (en) Control system
JP3231743B2 (ja) 電源制御装置の制御方式と方法
CN118012764A (zh) 程序运行检测方法、装置、设备及存储介质
JP4062738B2 (ja) データ伝送装置およびデータ伝送方法
CN114761929A (zh) 车载电子控制装置
JPH02153647A (ja) 多重伝送方式

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20051111

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20051206

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060206

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20060822

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20061019

A911 Transfer of reconsideration by examiner before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20061027

A912 Removal of reconsideration by examiner before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20061117