[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP6919359B2 - Electronic control device - Google Patents

Electronic control device Download PDF

Info

Publication number
JP6919359B2
JP6919359B2 JP2017123479A JP2017123479A JP6919359B2 JP 6919359 B2 JP6919359 B2 JP 6919359B2 JP 2017123479 A JP2017123479 A JP 2017123479A JP 2017123479 A JP2017123479 A JP 2017123479A JP 6919359 B2 JP6919359 B2 JP 6919359B2
Authority
JP
Japan
Prior art keywords
microcomputer
unit
core
state
abnormality
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017123479A
Other languages
Japanese (ja)
Other versions
JP2019007412A (en
Inventor
佐々木 恵司
恵司 佐々木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2017123479A priority Critical patent/JP6919359B2/en
Priority to DE102018207264.7A priority patent/DE102018207264B4/en
Publication of JP2019007412A publication Critical patent/JP2019007412A/en
Application granted granted Critical
Publication of JP6919359B2 publication Critical patent/JP6919359B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/28Supervision thereof, e.g. detecting power-supply failure by out of limits supervision
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0772Means for error signaling, e.g. using interrupts, exception flags, dedicated error registers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3013Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3055Monitoring arrangements for monitoring the status of the computing system or of the computing system component, e.g. monitoring if the computing system is on, off, available, not available
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3058Monitoring arrangements for monitoring environmental properties or parameters of the computing system or of the computing system component, e.g. monitoring of power, currents, temperature, humidity, position, vibrations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3089Monitoring arrangements determined by the means or processing involved in sensing the monitored data, e.g. interfaces, connectors, sensors, probes, agents

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Control Of Throttle Valves Provided In The Intake System Or In The Exhaust System (AREA)
  • Electrical Control Of Air Or Fuel Supplied To Internal-Combustion Engine (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)
  • Microcomputers (AREA)

Description

本開示は、電子制御装置に関する。 The present disclosure relates to an electronic control device.

従来、特許文献1に開示されているように、マイコンと、マイコンの動作を監視するICとを備えたECUがある。 Conventionally, as disclosed in Patent Document 1, there is an ECU including a microcomputer and an IC for monitoring the operation of the microcomputer.

特開2016−71635号公報Japanese Unexamined Patent Publication No. 2016-71635

ところで、制御部を備えた電子制御装置では、制御部に何らかの異常が発生した場合、制御部をリセットすることが考えられる。このように、電子制御装置は、制御部をリセットすることで、制御部の異常状態が継続されることを抑制できる。 By the way, in an electronic control device provided with a control unit, it is conceivable to reset the control unit when some abnormality occurs in the control unit. In this way, the electronic control device can suppress the continuation of the abnormal state of the control unit by resetting the control unit.

また、電子制御装置は、制御部に異常が発生した場合であっても、制御部による制御が要求されることもある。しかしながら、電子制御装置は、制御部に何らかの異常が発生したことで制御部をリセットする場合、制御部による制御を中断してしまうという問題がある。 Further, the electronic control device may be required to be controlled by the control unit even when an abnormality occurs in the control unit. However, the electronic control device has a problem that when the control unit is reset due to some abnormality in the control unit, the control by the control unit is interrupted.

本開示は、上記問題点に鑑みなされたものであり、制御部に異常が発生した場合でも制御部による制御を継続させることができる電子制御装置を提供することを目的とする。 The present disclosure has been made in view of the above problems, and an object of the present invention is to provide an electronic control device capable of continuing control by the control unit even when an abnormality occurs in the control unit.

上記目的を達成するために本開示は、
外部装置に対して制御信号を出力することで、外部装置を制御する制御部(10)を備えた電子制御装置であって、
制御部は、
制御信号を出力するための演算処理を行う演算部(11)と、
演算部の動作を監視する監視用演算部(12)と、
制御部内の状態を管理するものであり、制御部内が異常状態であるか否かを判定する状態管理部(13)と、を備えており、
状態管理部は、制御部内が異常状態であると判定した場合、監視用演算部によって演算部の動作が異常であると判定されていないことを条件に、演算部の動作を継続させつつ、監視用演算部の動作を停止させることを特徴とする。 To achieve the above objectives, this disclosure is:
An electronic control device including a control unit (10) that controls an external device by outputting a control signal to the external device.
The control unit
An arithmetic unit (11) that performs arithmetic processing for outputting a control signal, and
A monitoring calculation unit (12) that monitors the operation of the calculation unit, and
It is provided with a state management unit (13) that manages the state in the control unit and determines whether or not the inside of the control unit is in an abnormal state.
When the state management unit determines that the inside of the control unit is in an abnormal state, the state management unit monitors while continuing the operation of the calculation unit, provided that the operation of the calculation unit is not determined to be abnormal by the monitoring calculation unit. It is characterized in that the operation of the arithmetic unit is stopped.

これによって、本開示は、制御部内に異常があると判定されたとしても、制御信号の出力を継続させることができ、外部装置を制御することができる。また、本開示は、制御部内に異常があると判定された場合に、監視用演算部の動作を停止させるため、制御部の処理負荷を低減できる。 Thereby, in the present disclosure, even if it is determined that there is an abnormality in the control unit, the output of the control signal can be continued and the external device can be controlled. Further, in the present disclosure, when it is determined that there is an abnormality in the control unit, the operation of the monitoring calculation unit is stopped, so that the processing load of the control unit can be reduced.

なお、特許請求の範囲、およびこの項に記載した括弧内の符号は、一つの態様として後述する実施形態に記載の具体的手段との対応関係を示すものであって、本開示の技術的範囲を限定するものではない。 The scope of claims and the reference numerals in parentheses described in this section indicate the correspondence with the specific means described in the embodiment described later as one embodiment, and the technical scope of the present disclosure. Is not limited to.

第1実施形態におけるECUの概略構成を示すブロック図である。It is a block diagram which shows the schematic structure of the ECU in 1st Embodiment. 第1実施形態におけるECUの処理動作を示すフローチャートである。It is a flowchart which shows the processing operation of the ECU in 1st Embodiment. 第2実施形態におけるECUの処理動作を示すフローチャートである。It is a flowchart which shows the processing operation of the ECU in 2nd Embodiment. 第3実施形態におけるECUの処理動作を示すフローチャートである。It is a flowchart which shows the processing operation of the ECU in 3rd Embodiment. 第4実施形態におけるECUの処理動作を示すフローチャートである。It is a flowchart which shows the processing operation of the ECU in 4th Embodiment. 第5実施形態におけるECUの処理動作を示すフローチャートである。It is a flowchart which shows the processing operation of the ECU in 5th Embodiment. 第5実施形態における監視ICの処理動作を示すフローチャートである。It is a flowchart which shows the processing operation of the monitoring IC in 5th Embodiment.

以下において、図面を参照しながら、本開示を実施するための複数の形態を説明する。各形態において、先行する形態で説明した事項に対応する部分には同一の参照符号を付して重複する説明を省略する場合がある。各形態において、構成の一部のみを説明している場合は、構成の他の部分については先行して説明した他の形態を参照し適用することができる。 Hereinafter, a plurality of modes for carrying out the present disclosure will be described with reference to the drawings. In each form, the same reference numerals may be given to the parts corresponding to the matters described in the preceding forms, and duplicate explanations may be omitted. In each form, when only a part of the configuration is described, the other parts of the configuration can be applied with reference to the other forms described above.

(第1実施形態)
本実施形態では、電子制御装置をECU(Electronic Control Unit)100に適用する。ECU100は、図1に示すように、主にマイコン10と監視IC20とを備えており、メータ200や電子スロットル装置300と電気的に接続されている。また、ECU100は、車両に搭載可能に構成されており、車載制御装置とも言える。 (First Embodiment)
In this embodiment, the electronic control device is applied to the ECU (Electronic Control Unit) 100. As shown in FIG. 1, the ECU 100 mainly includes a microcomputer 10 and a monitoring IC 20, and is electrically connected to a meter 200 and an electronic throttle device 300. Further, the ECU 100 is configured to be mounted on a vehicle and can be said to be an in-vehicle control device.

マイコン10は、特許請求の範囲における制御部に相当する。マイコン10は、ECU100の外部に設けられた外部装置に対して制御信号を出力することで、外部装置を制御する。本実施形態では、外部装置としてメータ200や電子スロットル装置300を採用している。マイコン10は、主にマイコンコア11、ロックステップコア12、異常管理機構13、記憶部14、温度センサ15、電源管理部16、I/O部17などを備えている。マイコン10は、I/O部17と、監視IC20のIC側ポート21とを介して監視IC20と電気的に接続されている。 The microcomputer 10 corresponds to a control unit within the scope of claims. The microcomputer 10 controls the external device by outputting a control signal to an external device provided outside the ECU 100. In this embodiment, a meter 200 and an electronic throttle device 300 are used as external devices. The microcomputer 10 mainly includes a microcomputer core 11, a lock step core 12, an abnormality management mechanism 13, a storage unit 14, a temperature sensor 15, a power supply management unit 16, an I / O unit 17, and the like. The microcomputer 10 is electrically connected to the monitoring IC 20 via the I / O unit 17 and the IC side port 21 of the monitoring IC 20.

マイコンコア11は、特許請求の範囲における演算部に相当する。マイコンコア11は、制御信号を出力するための演算処理を行う。つまり、マイコンコア11は、後程説明する記憶部14に記憶されているプログラムを実行することで各種演算を行い、演算結果を出力することで各種制御を行う。 The microcomputer core 11 corresponds to a calculation unit within the scope of claims. The microcomputer core 11 performs arithmetic processing for outputting a control signal. That is, the microcomputer core 11 performs various calculations by executing the program stored in the storage unit 14 described later, and performs various controls by outputting the calculation results.

また、マイコンコア11は、例えばマイコンI/OとECU入出力部を介して、メータ200と電気的に接続されている。マイコンコア11は、メータ200に対して、ランプ点灯指示を示す制御信号を出力することで、メータ200の表示制御を行う。言い換えると、マイコンコア11は、メータ200へランプ点灯要求を行う。また、マイコンコア11は、例えばマイコンI/Oと駆動ICを介して、電子スロットル装置300におけるスロットルモータと電気的に接続されている。なお、マイコンI/O、ECU入出力部、駆動ICは、図示を省略している。 Further, the microcomputer core 11 is electrically connected to the meter 200 via, for example, a microcomputer I / O and an ECU input / output unit. The microcomputer core 11 controls the display of the meter 200 by outputting a control signal indicating a lamp lighting instruction to the meter 200. In other words, the microcomputer core 11 requests the meter 200 to turn on the lamp. Further, the microcomputer core 11 is electrically connected to the throttle motor in the electronic throttle device 300 via, for example, the microcomputer I / O and the drive IC. The microcomputer I / O, the ECU input / output unit, and the drive IC are not shown.

ロックステップコア12は、特許請求の範囲における監視用演算部に相当する。ロックステップコア12は、後程説明する記憶部14に記憶されているプログラムを実行することで各種演算を行う。また、ロックステップコア12は、マイコンコア11の動作を監視する。例えば、ロックステップコア12は、マイコンコア11と同じ演算処理を行ない、ロックステップコア12の演算結果と、マイコンコア11の演算結果とを比較する。そして、ロックステップコア12は、両演算結果が予め決められた対応関係となっていない場合、例えば一致していない場合に異常と判定する。 The lock step core 12 corresponds to a monitoring calculation unit within the scope of claims. The lock step core 12 performs various operations by executing a program stored in the storage unit 14 described later. Further, the lock step core 12 monitors the operation of the microcomputer core 11. For example, the lock step core 12 performs the same arithmetic processing as the microcomputer core 11, and compares the arithmetic result of the lock step core 12 with the arithmetic result of the microcomputer core 11. Then, the lock step core 12 determines that the two calculation results are abnormal when they do not have a predetermined correspondence relationship, for example, when they do not match.

このように、マイコン10は、マイコンコア11とロックステップコア12の二つのコアを備えており、両コア11、12が同じ演算処理を行う。しかしながら、制御信号を出力するのはマイコンコア11である。ロックステップコア12は、マイコンコア11の動作を監視するために設けられている。 As described above, the microcomputer 10 includes two cores, a microcomputer core 11 and a lock step core 12, and both cores 11 and 12 perform the same arithmetic processing. However, it is the microcomputer core 11 that outputs the control signal. The lock step core 12 is provided to monitor the operation of the microcomputer core 11.

異常管理機構13は、特許請求の範囲における状態管理部に相当する。異常管理機構13は、マイコン10内の状態を管理するものであり、マイコン10内が異常状態であるか否かを判定する。後程詳しく説明するが、異常管理機構13は、マイコン10内が異常状態であると判定した場合、マイコンコア11の動作を継続させつつ、ロックステップコア12の動作を停止させる。 The abnormality management mechanism 13 corresponds to a state management unit within the scope of claims. The abnormality management mechanism 13 manages the state in the microcomputer 10 and determines whether or not the inside of the microcomputer 10 is in an abnormal state. As will be described in detail later, when the abnormality management mechanism 13 determines that the inside of the microcomputer 10 is in an abnormal state, the abnormality management mechanism 13 stops the operation of the lock step core 12 while continuing the operation of the microcomputer core 11.

異常管理機構13は、マイコン10の温度、マイコン10の消費電流、マイコン10の消費電力の少なくとも一つに基づいて、マイコン10が異常状態であるか否かを判定する。例えば、異常管理機構13は、マイコン10の温度に基づいて、マイコン10内が異常状態であるか否かを判定することで、マイコン10が高温異常を判定できる。また、異常管理機構13は、マイコン10の消費電流や消費電力に基づいて、マイコン10内が異常状態であるか否かを判定することで、マイコン10内の回路異常を判定できる。 The abnormality management mechanism 13 determines whether or not the microcomputer 10 is in an abnormal state based on at least one of the temperature of the microcomputer 10, the current consumption of the microcomputer 10, and the power consumption of the microcomputer 10. For example, the abnormality management mechanism 13 can determine whether or not the inside of the microcomputer 10 is in an abnormal state based on the temperature of the microcomputer 10, so that the microcomputer 10 can determine the high temperature abnormality. Further, the abnormality management mechanism 13 can determine a circuit abnormality in the microcomputer 10 by determining whether or not the inside of the microcomputer 10 is in an abnormal state based on the current consumption and the power consumption of the microcomputer 10.

例えば、異常管理機構13は、マイコン10の温度と温度異常閾値とを比較して、マイコン10の温度が温度異常閾値に達している場合は異常状態と判定し、達していない場合は異常状態と判定しない。異常管理機構13は、後程説明する温度センサ15からマイコン10の温度を取得可能に構成されている。 For example, the abnormality management mechanism 13 compares the temperature of the microcomputer 10 with the temperature abnormality threshold value, determines that the temperature of the microcomputer 10 reaches the temperature abnormality threshold value, determines that the temperature is abnormal, and if the temperature does not reach the temperature abnormality threshold value, determines that the temperature is abnormal. Do not judge. The abnormality management mechanism 13 is configured to be able to acquire the temperature of the microcomputer 10 from the temperature sensor 15 described later.

マイコン10の温度が温度異常閾値に達していた場合、マイコン10の消費電力が過剰とみなすことができる。よって、異常管理機構13は、マイコン10の温度に基づいて異常状態と判定した場合、ロックステップコア12の動作を停止させることでマイコン10の消費電力を低減させて、マイコン10の温度を下げる。なお、温度が温度異常閾値に達している異常状態は、高温異常や、高温状態と言い換えることもできる。 When the temperature of the microcomputer 10 reaches the temperature abnormality threshold value, the power consumption of the microcomputer 10 can be regarded as excessive. Therefore, when the abnormality management mechanism 13 determines that the abnormal state is determined based on the temperature of the microcomputer 10, the operation of the lock step core 12 is stopped to reduce the power consumption of the microcomputer 10 and lower the temperature of the microcomputer 10. An abnormal state in which the temperature reaches the temperature abnormality threshold can be rephrased as a high temperature abnormality or a high temperature state.

また、異常管理機構13は、マイコン10の消費電流と電流異常閾値とを比較して、マイコン10の消費電流が電流異常閾値に達している場合は異常状態と判定し、達していない場合は異常状態と判定しない。異常管理機構13は、電源管理部16からマイコン10の消費電流を取得可能に構成されている。 Further, the abnormality management mechanism 13 compares the current consumption of the microcomputer 10 with the current abnormality threshold value, determines that the current consumption of the microcomputer 10 reaches the current abnormality threshold value, determines that it is in an abnormal state, and if it does not reach the current abnormality threshold value, it is abnormal. It is not judged as a state. The abnormality management mechanism 13 is configured to be able to acquire the current consumption of the microcomputer 10 from the power supply management unit 16.

マイコン10の消費電流が電流異常閾値に達していた場合、マイコン10の温度が高温であるとみなすことができる。よって、異常管理機構13は、マイコン10の消費電流に基づいて異常状態と判定した場合、ロックステップコア12の動作を停止させて、マイコン10の温度を下げる。 When the current consumption of the microcomputer 10 has reached the current abnormality threshold value, it can be considered that the temperature of the microcomputer 10 is high. Therefore, when the abnormality management mechanism 13 determines that the abnormal state is determined based on the current consumption of the microcomputer 10, the operation of the lock step core 12 is stopped and the temperature of the microcomputer 10 is lowered.

また、異常管理機構13は、マイコン10の消費電力と電力異常閾値とを比較して、マイコン10の消費電力が電力異常閾値に達している場合は異常状態と判定し、達していない場合は異常状態と判定しない。異常管理機構13は、電源管理部16からマイコン10の消費電力を取得可能に構成されている。 Further, the abnormality management mechanism 13 compares the power consumption of the microcomputer 10 with the power abnormality threshold value, determines that if the power consumption of the microcomputer 10 reaches the power abnormality threshold value, it determines that it is in an abnormal state, and if it does not reach it, it determines that it is in an abnormal state. It is not judged as a state. The abnormality management mechanism 13 is configured to be able to acquire the power consumption of the microcomputer 10 from the power supply management unit 16.

マイコン10の消費電力が電流異常閾値に達していた場合、マイコン10の温度が高温であるとみなすことができる。よって、異常管理機構13は、マイコン10の消費電力に基づいて異常状態と判定した場合、ロックステップコア12の動作を停止させて、マイコン10の温度を下げる。なお、消費電流が電流異常閾値に達している異常状態や消費電力が電力異常閾値に達している異常状態は、回路異常や、高温異常や、高温状態と言い換えることもできる。 When the power consumption of the microcomputer 10 reaches the current abnormality threshold value, it can be considered that the temperature of the microcomputer 10 is high. Therefore, when the abnormality management mechanism 13 determines that the abnormality state is determined based on the power consumption of the microcomputer 10, the operation of the lock step core 12 is stopped and the temperature of the microcomputer 10 is lowered. An abnormal state in which the current consumption reaches the current abnormality threshold value or an abnormal state in which the power consumption reaches the power abnormality threshold value can be rephrased as a circuit abnormality, a high temperature abnormality, or a high temperature state.

さらに、異常管理機構13は、例えば、マイコン10の温度と消費電流の二つの情報を用いて異常状態であるか否かを判定してもよい。この場合、異常管理機構13は、マイコン10の温度が温度異常閾値に達しており、且つ、マイコン10の消費電流が電流異常閾値に達している場合は異常状態と判定し、温度と消費電流のいずれか一方が異常閾値に達していない場合は異常状態と判定しない。これによって、異常管理機構13は、一つの情報に基づいて異常状態であるか否かを判定するよりも判定精度を向上できる。 Further, the abnormality management mechanism 13 may determine whether or not it is in an abnormal state by using, for example, two pieces of information, the temperature and the current consumption of the microcomputer 10. In this case, the abnormality management mechanism 13 determines that the temperature of the microcomputer 10 has reached the temperature abnormality threshold value and the current consumption of the microcomputer 10 has reached the current abnormality threshold value, and determines that the temperature and the current consumption are abnormal. If either one does not reach the abnormal threshold value, it is not judged as an abnormal state. As a result, the abnormality management mechanism 13 can improve the determination accuracy rather than determining whether or not it is in an abnormal state based on one piece of information.

本実施形態では、マイコン10の温度に基づいて、マイコン10内が異常状態であるか否かを判定する異常管理機構13を採用する。 In the present embodiment, an abnormality management mechanism 13 for determining whether or not the inside of the microcomputer 10 is in an abnormal state is adopted based on the temperature of the microcomputer 10.

異常管理機構13は、異常状態であると判定した場合、監視IC20に対して、異常状態であることを知らせてもよい。この場合、異常管理機構13は、I/O部17を介してIC側ポート21に、異常状態であることを示す信号を出力する。言い換えると、異常管理機構13は、異常であると判定した場合、監視IC20にエラー通知を行う。例えば、異常管理機構13は、異常であると判定した場合、I/O部17を介してIC側ポート21をオフからオンにする。 When the abnormality management mechanism 13 determines that the condition is abnormal, the abnormality management mechanism 13 may notify the monitoring IC 20 that the condition is abnormal. In this case, the abnormality management mechanism 13 outputs a signal indicating an abnormal state to the IC side port 21 via the I / O unit 17. In other words, when the abnormality management mechanism 13 determines that it is abnormal, it notifies the monitoring IC 20 of an error. For example, when the abnormality management mechanism 13 determines that it is abnormal, the IC side port 21 is turned from off to on via the I / O unit 17.

異常管理機構13は、マイコンコア11とは独立して動作する。これによって、異常管理機構13は、監視IC20に対して、確実にエラー通知を行うことができる。また、マイコン10は、異常管理機構13が行う処理をマイコンコア11に行なわせるよりも、マイコンコア11の処理負荷を低減できる。 The abnormality management mechanism 13 operates independently of the microcomputer core 11. As a result, the abnormality management mechanism 13 can reliably notify the monitoring IC 20 of an error. Further, the microcomputer 10 can reduce the processing load of the microcomputer core 11 as compared with having the microcomputer core 11 perform the processing performed by the abnormality management mechanism 13.

異常管理機構13は、異常状態であると判定して、ロックステップコア12の動作を停止させた場合、マイコンコア11に知らせる。この場合、異常管理機構13は、マイコンコア11に対して、ロックステップコア12が動作停止状態であることを示す信号を出力する。 When the abnormality management mechanism 13 determines that it is in an abnormal state and stops the operation of the lock step core 12, it notifies the microcomputer core 11. In this case, the abnormality management mechanism 13 outputs a signal to the microcomputer core 11 indicating that the lock step core 12 is in the stopped operation state.

記憶部14は、マイコンコア11やロックステップコア12などによって読み取り可能なプログラムおよびデータを非一時的に格納する非遷移的実体的記憶媒体である。この記憶媒体は、半導体メモリまたは磁気ディスクなどによって実現される。記憶部14には、温度異常閾値などの異常閾値も記憶されている。なお、マイコン10は、データを一時的に格納する揮発性メモリを備えていてもよい。 The storage unit 14 is a non-transitional substantive storage medium that non-temporarily stores programs and data that can be read by the microcomputer core 11 or the lock step core 12. This storage medium is realized by a semiconductor memory, a magnetic disk, or the like. The storage unit 14 also stores an abnormal threshold value such as a temperature abnormal threshold value. The microcomputer 10 may be provided with a volatile memory for temporarily storing data.

プログラムは、マイコンコア11やロックステップコア12によって実行されることによって、マイコンコア11やロックステップコア12をこの明細書に記載される装置として機能させ、この明細書に記載される方法を実行するように制御装置を機能させる。マイコンコア11やロックステップコア12は、多様な要素を提供する。それらの要素の少なくとも一部は、機能を実行するための手段と呼ぶことができる。また、別の観点では、それらの要素の少なくとも一部を、構成的なブロック、またはモジュールと呼ぶことができる。 The program is executed by the microcomputer core 11 or the lock step core 12 to cause the microcomputer core 11 or the lock step core 12 to function as the device described in this specification, and executes the method described in this specification. To make the control device work. The microcomputer core 11 and the lock step core 12 provide various elements. At least some of those elements can be called means for performing a function. From another point of view, at least a part of those elements can be called a constructive block or module.

なお、ECU100が提供する手段および/または機能は、実体的なメモリ装置に記録されたソフトウェアおよびそれを実行するコンピュータ、ソフトウェアのみ、ハードウェアのみ、あるいはそれらの組み合わせによって提供することができる。例えば、ECU100がハードウェアである電子回路によって提供される場合、それは多数の論理回路を含むデジタル回路、またはアナログ回路によって提供することができる。 The means and / or functions provided by the ECU 100 can be provided by software recorded in a substantive memory device and a computer, software only, hardware only, or a combination thereof that executes the software. For example, if the ECU 100 is provided by an electronic circuit that is hardware, it can be provided by a digital circuit or an analog circuit that includes a large number of logic circuits.

温度センサ15は、マイコン10内の温度を測定し、測定結果を異常管理機構13に出力する。つまり、温度センサ15は、マイコン10内の温度に応じた電気信号を測定結果として異常管理機構13に出力する。 The temperature sensor 15 measures the temperature inside the microcomputer 10 and outputs the measurement result to the abnormality management mechanism 13. That is, the temperature sensor 15 outputs an electric signal corresponding to the temperature in the microcomputer 10 to the abnormality management mechanism 13 as a measurement result.

電源管理部16は、マイコンコア11やロックステップコア12に電源を供給する。また、電源管理部16は、異常管理機構13からの指示に応じてロックステップコア12に対する電源供給を停止する。つまり、異常管理機構13は、異常状態であると判定した場合、電源管理部16に対して、電源供給の停止を示す停止信号を出力する。このように、異常管理機構13は、ロックステップコア12への電源供給を止めることで、ロックステップコア12の動作を停止させる。電源供給を止めることは、電源供給の遮断と言い換えることもできる。 The power management unit 16 supplies power to the microcomputer core 11 and the lock step core 12. Further, the power supply management unit 16 stops the power supply to the lock step core 12 in response to an instruction from the abnormality management mechanism 13. That is, when the abnormality management mechanism 13 determines that it is in an abnormal state, it outputs a stop signal indicating that the power supply is stopped to the power management unit 16. In this way, the abnormality management mechanism 13 stops the operation of the lock step core 12 by stopping the power supply to the lock step core 12. Stopping the power supply can be rephrased as shutting off the power supply.

ECU100は、ロックステップコア12への電源の供給を止めることでロックステップコア12の動作を停止させるために、ロックステップコア12を容易に動作停止状態とすることができる。なお、電源管理部16は、ロックステップコア12への電源供給を停止させた後、マイコン10がリセットされることで、ロックステップコア12への電源供給を再開する。 Since the ECU 100 stops the operation of the lock step core 12 by stopping the supply of power to the lock step core 12, the lock step core 12 can be easily put into the operation stop state. The power management unit 16 restarts the power supply to the lock step core 12 by resetting the microcomputer 10 after stopping the power supply to the lock step core 12.

監視IC20は、例えば上記駆動ICを介して電子スロットル装置300におけるスロットルモータと電気的に接続されている。監視IC20は、マイコン10のリセットや、電子スロットル装置300への電源供給の停止などを行う。また、監視IC20は、駆動ICを停止することでスロットルモータを停止させる。 The monitoring IC 20 is electrically connected to the throttle motor in the electronic throttle device 300 via, for example, the drive IC. The monitoring IC 20 resets the microcomputer 10 and stops the power supply to the electronic throttle device 300. Further, the monitoring IC 20 stops the throttle motor by stopping the drive IC.

メータ200は、特許請求の範囲における表示装置に相当する。メータ200は、車室内に設けられており、ドライバなどの乗員が視認可能に構成されている。メータ200は、ECU100からの制御信号に応じて表示制御される。例えば、メータ200は、ECU100からランプ点灯指示を示す制御信号が入力されるとランプを点灯させる。ECU100は、ランプ点灯指示を示す制御信号だけでなく、メータ200の表示させる文字や画像を示す制御信号を出力してもよい。この場合、メータ200は、制御信号が示す文字や像の表示を行う。なお、本実施形態では、メータ200が電気的に接続されていないECU100であっても採用できる。 The meter 200 corresponds to a display device in the claims. The meter 200 is provided in the vehicle interior and is configured to be visible to occupants such as drivers. The meter 200 is displayed and controlled according to a control signal from the ECU 100. For example, the meter 200 turns on the lamp when a control signal indicating a lamp lighting instruction is input from the ECU 100. The ECU 100 may output not only a control signal indicating a lamp lighting instruction but also a control signal indicating characters and images to be displayed by the meter 200. In this case, the meter 200 displays characters and images indicated by the control signal. In this embodiment, even the ECU 100 to which the meter 200 is not electrically connected can be adopted.

電子スロットル装置300は、アクチュエータとしてのスロットルモータ、スロットルバルブなどを含んでいる。電子スロットル装置300は、スロットルモータへ電源供給がなされている状態で、ECU100からの制御信号に応じてスロットルバルブの開度が制御される。電子スロットル装置300は、スロットルモータへの電源供給が停止されている場合、スロットルバルブが完全に閉状態(全閉位置)とならず、スロットルバルブが全閉位置から僅かに開放した極小開きの開度となる。このため、電子スロットル装置300は、スロットルモータへの電源供給が停止された状態でも微量の空気がエンジンに送り込まれるように構成されている。スロットルバルブは、スロットルモータへの電源供給が停止されている場合、リンプホーム走行を可能とする開度となると言える。なお、本実施形態では、電子スロットル装置300が電気的に接続されていないECU100であっても採用できる。 The electronic throttle device 300 includes a throttle motor, a throttle valve, and the like as actuators. In the electronic throttle device 300, the opening degree of the throttle valve is controlled according to the control signal from the ECU 100 while the power is being supplied to the throttle motor. In the electronic throttle device 300, when the power supply to the throttle motor is stopped, the throttle valve is not completely closed (fully closed position), and the throttle valve is slightly opened from the fully closed position. It becomes a degree. Therefore, the electronic throttle device 300 is configured so that a small amount of air is sent to the engine even when the power supply to the throttle motor is stopped. It can be said that the throttle valve has an opening degree that enables limp home running when the power supply to the throttle motor is stopped. In this embodiment, even the ECU 100 to which the electronic throttle device 300 is not electrically connected can be adopted.

本実施形態では、外部装置の一例として、メータ200と電子スロットル装置300を採用している。しかしながら、本開示は、これに限定されず、メータ200や電子スロットル装置300とは異なる電子機器を外部装置として採用することもできる。 In this embodiment, the meter 200 and the electronic throttle device 300 are adopted as an example of the external device. However, the present disclosure is not limited to this, and an electronic device different from the meter 200 and the electronic throttle device 300 can be adopted as an external device.

ここで、図2を用いて、ECU100の処理動作に関して説明する。詳述すると、図2のフローチャートは、マイコン10が実行する処理動作である。マイコン10は、電源が供給されると、図2のフローチャートの実行を開始する。 Here, the processing operation of the ECU 100 will be described with reference to FIG. More specifically, the flowchart of FIG. 2 is a processing operation executed by the microcomputer 10. When the power is supplied, the microcomputer 10 starts executing the flowchart of FIG.

ステップS10では、温度測定を行う。マイコン10は、温度センサ15によって、マイコン10の温度を測定する。そして、異常管理機構13は、温度センサ15の測定結果を取得する。 In step S10, the temperature is measured. The microcomputer 10 measures the temperature of the microcomputer 10 by the temperature sensor 15. Then, the abnormality management mechanism 13 acquires the measurement result of the temperature sensor 15.

ステップS11では、高温状態であるか否かを判定する。異常管理機構13は、温度センサ15の測定結果であるマイコン10の温度と温度異常閾値とを比較することで、マイコン10が高温状態であるか否かを判定する。異常管理機構13は、マイコン10の温度が温度異常閾値に達している場合は高温状態であると判定してステップS12へ進み、マイコン10の温度が温度異常閾値に達していない場合は高温状態であると判定せずにステップS10へ戻る。このように、マイコン10は、マイコン10の温度が高温状態でないと判定した場合、ステップS10、S11を繰り返し実行する。 In step S11, it is determined whether or not the temperature is high. The abnormality management mechanism 13 determines whether or not the microcomputer 10 is in a high temperature state by comparing the temperature of the microcomputer 10 which is the measurement result of the temperature sensor 15 with the temperature abnormality threshold value. The abnormality management mechanism 13 determines that the temperature of the microcomputer 10 has reached the temperature abnormality threshold value and proceeds to step S12. If the temperature of the microcomputer 10 has not reached the temperature abnormality threshold value, the abnormality management mechanism 13 is in a high temperature state. The process returns to step S10 without determining the existence. In this way, when the microcomputer 10 determines that the temperature of the microcomputer 10 is not in a high temperature state, the microcomputer 10 repeatedly executes steps S10 and S11.

ステップS12では、ロックステップコア12への電源供給を遮断する。異常管理機構13は、電源管理部16に対して停止信号を出力する。電源管理部16は、停止信号を取得すると、ロックステップコア12への電源供給を遮断する。このように、異常管理機構13は、ロックステップコア12の電源供給を遮断することで、ロックステップコア12の動作を停止させる。 In step S12, the power supply to the lock step core 12 is cut off. The abnormality management mechanism 13 outputs a stop signal to the power supply management unit 16. When the power management unit 16 acquires the stop signal, the power management unit 16 cuts off the power supply to the lock step core 12. In this way, the abnormality management mechanism 13 stops the operation of the lock step core 12 by shutting off the power supply of the lock step core 12.

このとき、電源管理部16は、マイコンコア11への電源供給を継続させつつ、ロックステップコア12への電源供給を遮断する。これによって、マイコン10は、マイコンコア11が動作可能な状態で、ロックステップコア12が動作不可能な状態となる。また、異常管理機構13は、マイコンコア11に対して、ロックステップコア12が動作停止状態であることを示す信号を出力する。 At this time, the power management unit 16 cuts off the power supply to the lock step core 12 while continuing the power supply to the microcomputer core 11. As a result, in the microcomputer 10, the lock step core 12 becomes inoperable while the microcomputer core 11 can operate. Further, the abnormality management mechanism 13 outputs a signal to the microcomputer core 11 indicating that the lock step core 12 is in the operation stopped state.

なお、異常管理機構13は、マイコンコア11に対して、マイコン10が高温状態であることを示す信号を出力してもよい。また、異常管理機構13は、マイコン10が高温異常の場合に、ロックステップコア12の動作を停止させる。このため、ロックステップコア12が動作停止状態であることを示す信号と、マイコン10が高温異常であることを示す信号とは、同意とみなすことができる。 The abnormality management mechanism 13 may output a signal indicating that the microcomputer 10 is in a high temperature state to the microcomputer core 11. Further, the abnormality management mechanism 13 stops the operation of the lock step core 12 when the microcomputer 10 has a high temperature abnormality. Therefore, the signal indicating that the lock step core 12 is in the stopped operation state and the signal indicating that the microcomputer 10 is in a high temperature abnormality can be regarded as agreeing.

ステップS13では、メータ200へランプ点灯要求を行う。マイコンコア11は、ランプ点灯指示を示す制御信号を出力することで、マイコン10が高温異常であることをメータ200に表示する。また、マイコンコア11は、ランプ点灯指示を示す制御信号を出力することで、ロックステップコア12が動作停止状態であることをメータ200に表示するとも言える。当然ながら、マイコンコア11は、ランプ点灯指示を示す制御信号を出力することで、マイコン10が高温異常であるため、ロックステップコア12を動作停止状態としていることをメータ200に表示してもよい。 In step S13, a lamp lighting request is made to the meter 200. The microcomputer core 11 outputs a control signal indicating a lamp lighting instruction to indicate on the meter 200 that the microcomputer 10 has a high temperature abnormality. Further, it can be said that the microcomputer core 11 displays on the meter 200 that the lock step core 12 is in the operation stopped state by outputting a control signal indicating a lamp lighting instruction. As a matter of course, the microcomputer core 11 may output a control signal indicating a lamp lighting instruction to indicate to the meter 200 that the lock step core 12 is in the stopped operation state because the microcomputer 10 has a high temperature abnormality. ..

メータ200は、マイコン10の外部であり、且つ、ECU100の外部に設けられている。つまり、メータ200は、ドライバなどの乗員が視認可能な位置に設けられている。よって、ECU100は、マイコン10が高温異常であることや、ロックステップコア12が動作停止状態であることをドライバなどの乗員に知らせることができる。 The meter 200 is provided outside the microcomputer 10 and outside the ECU 100. That is, the meter 200 is provided at a position where an occupant such as a driver can see it. Therefore, the ECU 100 can notify an occupant such as a driver that the microcomputer 10 has a high temperature abnormality and that the lock step core 12 is in an operation stopped state.

このように、ECU100は、マイコン10内に異常があると判定した場合、すなわちマイコン10が高温状態である判定した場合、マイコンコア11の動作を継続させつつ、ロックステップコア12の動作を停止させる。これによって、ECU100は、マイコン10内に異常があると判定されたとしても、マイコンコア11による制御信号の出力を継続させることができ、メータ200を表示制御することができる。さらに、ECU100は、マイコン10が高温状態と判定した場合に、ロックステップコア12の動作を停止させるため、マイコン10の温度を下げることができる。 In this way, when the ECU 100 determines that there is an abnormality in the microcomputer 10, that is, when the microcomputer 10 is determined to be in a high temperature state, the operation of the lock step core 12 is stopped while continuing the operation of the microcomputer core 11. .. As a result, the ECU 100 can continue to output the control signal by the microcomputer core 11 even if it is determined that there is an abnormality in the microcomputer 10, and the meter 200 can be displayed and controlled. Further, the ECU 100 stops the operation of the lock step core 12 when the microcomputer 10 determines that the temperature is high, so that the temperature of the microcomputer 10 can be lowered.

さらに、ECU100は、マイコン10がエンジン制御を行う場合、マイコン10がリセットされることで、エンジンを停止させてしまう虞がある。しかしながら、ECU100は、マイコン10が高温状態の場合であっても、マイコンコア11の動作を継続させるため、ドライバの意図に反してエンジンを停止させてしまうことを抑制できる。 Further, when the microcomputer 10 controls the engine, the ECU 100 may stop the engine by resetting the microcomputer 10. However, since the ECU 100 continues the operation of the microcomputer core 11 even when the microcomputer 10 is in a high temperature state, it is possible to prevent the engine from being stopped against the intention of the driver.

以上、本開示の好ましい実施形態について説明した。しかしながら、本開示は、上記実施形態に何ら制限されることはなく、本開示の趣旨を逸脱しない範囲において、種々の変形が可能である。以下に、本開示のその他の形態として、第2実施形態〜第5実施形態に関して説明する。上記実施形態および第2実施形態〜第5実施形態は、夫々単独で実施することも可能であるが、適宜組み合わせて実施することも可能である。本開示は、実施形態において示された組み合わせに限定されることなく、種々の組み合わせによって実施可能である。 The preferred embodiments of the present disclosure have been described above. However, the present disclosure is not limited to the above-described embodiment, and various modifications can be made without departing from the spirit of the present disclosure. The second to fifth embodiments will be described below as other embodiments of the present disclosure. The above-described embodiment and the second to fifth embodiments can be carried out individually, or can be carried out in combination as appropriate. The present disclosure is not limited to the combinations shown in the embodiments, but can be implemented in various combinations.

(第2実施形態)
図3を用いて第2実施形態に関して説明する。第2実施形態のECUは、ECU100と同様の構成を有しており、ECU100と処理動作が異なる。このため、本実施形態では、便宜的に、ECU100と同じ符号を用いて説明する。なお、図3のフローチャートにおいては、図2のフローチャートと同じ処理に、同じステップ番号を付与する。よって、図2のフローチャートと同じステップ番号に関しては、上記実施形態を参照して適用できる。 (Second Embodiment)
The second embodiment will be described with reference to FIG. The ECU of the second embodiment has the same configuration as the ECU 100, and the processing operation is different from that of the ECU 100. Therefore, in the present embodiment, for convenience, the same reference numerals as those of the ECU 100 will be used for description. In the flowchart of FIG. 3, the same step number is assigned to the same process as that of the flowchart of FIG. Therefore, the same step numbers as those in the flowchart of FIG. 2 can be applied with reference to the above embodiment.

マイコン10は、電源が供給されると、図3のフローチャートの実行を開始する。ステップS20では、異常を検出しているか否かを判定する。異常管理機構13は、ロックステップコア12がマイコンコア11の異常を検出しているか否か、すなわちロックステップコア12がマイコンコア11を異常であると判定しているか否かを判定する。異常管理機構13は、ロックステップコア12がマイコンコア11を異常と判定している場合はステップS21へ進み、異常と判定していない場合はステップS10へ進む。 When the power is supplied, the microcomputer 10 starts executing the flowchart of FIG. In step S20, it is determined whether or not an abnormality has been detected. The abnormality management mechanism 13 determines whether or not the lock step core 12 has detected an abnormality in the microcomputer core 11, that is, whether or not the lock step core 12 has determined that the microcomputer core 11 is abnormal. The abnormality management mechanism 13 proceeds to step S21 when the lock step core 12 determines that the microcomputer core 11 is abnormal, and proceeds to step S10 when it does not determine that the microcomputer core 11 is abnormal.

なお、ロックステップコア12は、例えばフラグなどを用いて、マイコンコア11の監視結果を記憶してもよい。例えば、ロックステップコア12は、マイコンコア11が異常であると判定した場合にフラグをセットし、マイコンコア11が異常であると判定していない場合にフラグをセットされていない状態にする。異常管理機構13は、この記憶内容を確認することで、ロックステップコア12がマイコンコア11を異常であると判定しているか否かを判定することができる。 The lock step core 12 may store the monitoring result of the microcomputer core 11 by using, for example, a flag. For example, the lock step core 12 sets a flag when it is determined that the microcomputer core 11 is abnormal, and sets the flag when it is not determined that the microcomputer core 11 is abnormal. By confirming the stored contents, the abnormality management mechanism 13 can determine whether or not the lock step core 12 determines that the microcomputer core 11 is abnormal.

ステップS21では、マイコン10をリセットする。異常管理機構13は、マイコンコア11が異常であるとの判断結果を得た場合、監視IC20に、マイコン10のリセットを要求する。監視IC20は、異常管理機構13からリセット要求を受けると、マイコン10をリセットする。 In step S21, the microcomputer 10 is reset. When the abnormality management mechanism 13 obtains a determination result that the microcomputer core 11 is abnormal, the abnormality management mechanism 13 requests the monitoring IC 20 to reset the microcomputer 10. When the monitoring IC 20 receives a reset request from the abnormality management mechanism 13, the monitoring IC 20 resets the microcomputer 10.

一方、ロックステップコア12によってマイコンコア11の動作が異常であると判定されていない場合、異常管理機構13は、ステップS10に進んで、図2と同様に処理を行う。このため、異常管理機構13は、ステップS10でYES判定した場合、ロックステップコア12がマイコンコア11を異常と判定していないことを条件に、マイコンコア11の動作を継続させつつ、ロックステップコア12の動作を停止させる。 On the other hand, when the lock step core 12 does not determine that the operation of the microcomputer core 11 is abnormal, the abnormality management mechanism 13 proceeds to step S10 and performs the same process as in FIG. Therefore, when the abnormality management mechanism 13 determines YES in step S10, the lock step core 12 continues the operation of the microcomputer core 11 on the condition that the lock step core 12 does not determine the microcomputer core 11 as abnormal. The operation of 12 is stopped.

本実施形態のECU100は、第1実施形態で説明した効果を奏することができる。さらに、ECU100は、マイコン10内が異常状態であると判定した状況でマイコンコア11の動作を継続させる場合に、正常な状態のマイコンコア11によって動作を継続させることができる。また、ECU100は、マイコンコア11が正常に動作していることを条件として、ロックステップコア12の動作を停止させるので、信頼性を維持することができると言える。このように、ECU100は、信頼性を維持しつつ、マイコン10の温度を下げることができる。 The ECU 100 of the present embodiment can achieve the effects described in the first embodiment. Further, when the ECU 100 continues the operation of the microcomputer core 11 in a situation where it is determined that the inside of the microcomputer 10 is in an abnormal state, the operation can be continued by the microcomputer core 11 in the normal state. Further, it can be said that the ECU 100 can maintain the reliability because the operation of the lock step core 12 is stopped on condition that the microcomputer core 11 is operating normally. In this way, the ECU 100 can lower the temperature of the microcomputer 10 while maintaining reliability.

(第3実施形態)
図4を用いて第3実施形態に関して説明する。第3実施形態のECUは、ECU100と同様の構成を有しており、ECU100と処理動作が異なる。このため、本実施形態では、便宜的に、ECU100と同じ符号を用いて説明する。なお、図4のフローチャートにおいては、図2および図3のフローチャートと同じ処理に、同じステップ番号を付与する。よって、図2および図3のフローチャートと同じステップ番号に関しては、上記実施形態を参照して適用できる。 (Third Embodiment)
The third embodiment will be described with reference to FIG. The ECU of the third embodiment has the same configuration as the ECU 100, and the processing operation is different from that of the ECU 100. Therefore, in the present embodiment, for convenience, the same reference numerals as those of the ECU 100 will be used for description. In the flowchart of FIG. 4, the same step number is assigned to the same process as that of the flowcharts of FIGS. 2 and 3. Therefore, the same step numbers as those in the flowcharts of FIGS. 2 and 3 can be applied with reference to the above embodiment.

第3実施形態は、図4に示すように、第1実施形態と第2実施形態とを組み合わせた実施形態である。よって、本実施形態のECU100は、第1実施形態および第2実施形態で説明した効果を奏することができる。 As shown in FIG. 4, the third embodiment is an embodiment in which the first embodiment and the second embodiment are combined. Therefore, the ECU 100 of the present embodiment can achieve the effects described in the first embodiment and the second embodiment.

(第4実施形態)
図5を用いて第4実施形態に関して説明する。第4実施形態のECUは、ECU100と同様の構成を有しており、ECU100と処理動作が異なる。このため、本実施形態では、便宜的に、ECU100と同じ符号を用いて説明する。なお、図5のフローチャートにおいては、図3のフローチャートと同じ処理に、同じステップ番号を付与する。よって、図3のフローチャートと同じステップ番号に関しては、上記実施形態を参照して適用できる。 (Fourth Embodiment)
The fourth embodiment will be described with reference to FIG. The ECU of the fourth embodiment has the same configuration as the ECU 100, and the processing operation is different from that of the ECU 100. Therefore, in the present embodiment, for convenience, the same reference numerals as those of the ECU 100 will be used for description. In the flowchart of FIG. 5, the same step number is assigned to the same process as that of the flowchart of FIG. Therefore, the same step numbers as those in the flowchart of FIG. 3 can be applied with reference to the above embodiment.

マイコン10は、ステップS12の後に、ステップS40へ進む。ステップS40では、マイコンコア11は、ロックステップコア12が動作停止状態であることを記憶部14に記憶する。つまり、マイコンコア11は、ロックステップコア12が動作停止状態となった履歴を記憶部14に記憶する。なお、記憶部14は、ディーラや修理工場などで作業者が、記憶内容を確認することができるものとする。 The microcomputer 10 proceeds to step S40 after step S12. In step S40, the microcomputer core 11 stores in the storage unit 14 that the lock step core 12 is in the stopped operation state. That is, the microcomputer core 11 stores the history in which the lock step core 12 has stopped operating in the storage unit 14. The storage unit 14 allows an operator to check the stored contents at a dealer, a repair shop, or the like.

ECU100は、第2実施形態で説明した効果を奏することができる。さらに、ECU100は、ロックステップコア12が動作停止状態となったか否かを作業者に知らせることができる。なお、ECU100は、ステップS20、S21を行わなくてもよい。 The ECU 100 can achieve the effects described in the second embodiment. Further, the ECU 100 can notify the operator whether or not the lock step core 12 has stopped operating. The ECU 100 does not have to perform steps S20 and S21.

(第5実施形態)
図6、図7を用いて第5実施形態に関して説明する。第5実施形態のECUは、ECU100と同様の構成を有しており、ECU100と処理動作が異なる。このため、本実施形態では、便宜的に、ECU100と同じ符号を用いて説明する。なお、図6のフローチャートにおいては、図3のフローチャートと同じ処理に、同じステップ番号を付与する。よって、図3のフローチャートと同じステップ番号に関しては、上記実施形態を参照して適用できる。ECU100は、走行駆動原としてエンジンを備えた車両に搭載され、電子スロットル装置300のスロットルバルブ開度を制御するものである。 (Fifth Embodiment)
The fifth embodiment will be described with reference to FIGS. 6 and 7. The ECU of the fifth embodiment has the same configuration as the ECU 100, and the processing operation is different from that of the ECU 100. Therefore, in the present embodiment, for convenience, the same reference numerals as those of the ECU 100 will be used for description. In the flowchart of FIG. 6, the same step number is assigned to the same process as that of the flowchart of FIG. Therefore, the same step numbers as those in the flowchart of FIG. 3 can be applied with reference to the above embodiment. The ECU 100 is mounted on a vehicle equipped with an engine as a traveling drive source, and controls the throttle valve opening degree of the electronic throttle device 300.

マイコン10は、ステップS12の後に、ステップS50へ進む。ステップS50では、監視IC20へ出力する。つまり、異常管理機構13は、異常状態であると判定した場合、監視IC20に対して異常状態であることを知らせる。 The microcomputer 10 proceeds to step S50 after step S12. In step S50, the output is output to the monitoring IC 20. That is, when the abnormality management mechanism 13 determines that it is in an abnormal state, it notifies the monitoring IC 20 that it is in an abnormal state.

一方、監視IC20は、電源が供給されると、図7のフローチャートに示す処理をスタートする。ステップS60では、IC側ポート21がオンであるか否かを判定する。 On the other hand, when the power is supplied, the monitoring IC 20 starts the process shown in the flowchart of FIG. 7. In step S60, it is determined whether or not the IC side port 21 is on.

監視IC20は、IC側ポート21がオンであるか否かによって、マイコン10が異常状態であるか否かを判定する。監視IC20は、IC側ポート21がオンであると判定した場合、マイコン10が異常状態であるとみなしてステップS61へ進む。また、監視IC20は、IC側ポート21がオンであると判定しなかった場合、マイコン10が異常状態でないとみなしてステップS60へ戻る。 The monitoring IC 20 determines whether or not the microcomputer 10 is in an abnormal state depending on whether or not the IC-side port 21 is on. When the monitoring IC 20 determines that the IC side port 21 is on, it considers that the microcomputer 10 is in an abnormal state and proceeds to step S61. If the monitoring IC 20 does not determine that the IC-side port 21 is on, it considers that the microcomputer 10 is not in an abnormal state and returns to step S60.

ステップS61では、電子スロットルをシャットオフする。監視IC20は、電子スロットル装置300に対して、スロットルモータへの電源供給の停止を示す制御信号を出力する。言い換えると、監視IC20は、スロットルモータへの電源供給を停止させる。例えば、監視IC20は、駆動ICを停止することでスロットルモータへの電源供給を停止させる。 In step S61, the electronic throttle is shut off. The monitoring IC 20 outputs a control signal indicating that the power supply to the throttle motor is stopped to the electronic throttle device 300. In other words, the monitoring IC 20 stops the power supply to the throttle motor. For example, the monitoring IC 20 stops the power supply to the throttle motor by stopping the drive IC.

電子スロットル装置300は、スロットルモータへの電源供給が停止されると、スロットルバルブが極小開きの開度となる。これによって、エンジンは、出力が制限される。 In the electronic throttle device 300, when the power supply to the throttle motor is stopped, the throttle valve opens to a minimum opening degree. This limits the output of the engine.

よって、スロットルモータへの電源供給の停止を示す制御信号は、エンジンの出力を制限するための制御信号と言うことができる。また、監視IC20は、特許請求の範囲における出力制限部に相当する。 Therefore, the control signal indicating that the power supply to the throttle motor is stopped can be said to be a control signal for limiting the output of the engine. Further, the monitoring IC 20 corresponds to an output limiting unit within the scope of claims.

ECU100は、第2実施形態で説明した効果を奏することができる。さらに、ECU100は、マイコン10が異常状態であると判定された場合に、エンジンの出力を制限できるため、車両が必要以上に加速することを抑制できる。よって、ECU100は、マイコン10が異常状態であると判定された場合であっても、リンプホーム走行などの退避走行を可能にすることができる。なお、ECU100は、ステップS20、S21を行わなくてもよい。 The ECU 100 can achieve the effects described in the second embodiment. Further, the ECU 100 can limit the output of the engine when it is determined that the microcomputer 10 is in an abnormal state, so that it is possible to suppress the vehicle from accelerating more than necessary. Therefore, the ECU 100 can enable evacuation running such as limp home running even when the microcomputer 10 is determined to be in an abnormal state. The ECU 100 does not have to perform steps S20 and S21.

10…マイコン、11…マイコンコア、12…ロックステップコア、13…異常管理機構、14…記憶部、15…温度センサ、16…電源管理部、17…I/O部、20…監視IC、21…IC側ポート、100…ECU、200…メータ、300…電子スロットル装置 10 ... Microcomputer, 11 ... Microcomputer core, 12 ... Lock step core, 13 ... Abnormality management mechanism, 14 ... Storage unit, 15 ... Temperature sensor, 16 ... Power supply management unit, 17 ... I / O unit, 20 ... Monitoring IC, 21 ... IC side port, 100 ... ECU, 200 ... meter, 300 ... electronic throttle device

Claims (7)

外部装置に対して制御信号を出力することで、外部装置を制御する制御部(10)を備えた電子制御装置であって、
前記制御部は、
前記制御信号を出力するための演算処理を行う演算部(11)と、
前記演算部の動作を監視する監視用演算部(12)と、
前記制御部内の状態を管理するものであり、前記制御部内が異常状態であるか否かを判定する状態管理部(13)と、を備えており、
前記状態管理部は、前記制御部内が異常状態であると判定した場合、前記監視用演算部によって前記演算部の動作が異常であると判定されていないことを条件に、前記演算部の動作を継続させつつ、前記監視用演算部の動作を停止させる電子制御装置。 An electronic control device including a control unit (10) that controls an external device by outputting a control signal to the external device.
The control unit
An arithmetic unit (11) that performs arithmetic processing for outputting the control signal, and
A monitoring calculation unit (12) that monitors the operation of the calculation unit, and
It is provided with a state management unit (13) that manages the state in the control unit and determines whether or not the inside of the control unit is in an abnormal state.
When the state management unit determines that the inside of the control unit is in an abnormal state, the state management unit performs the operation of the calculation unit on condition that the operation of the calculation unit is not determined to be abnormal by the monitoring calculation unit. An electronic control device that stops the operation of the monitoring calculation unit while continuing the operation. 前記状態管理部は、前記制御部の温度、前記演算部の消費電流、前記演算部の消費電力の少なくとも一つに基づいて、前記制御部内が異常状態であるか否かを判定する請求項1に記載の電子制御装置。 Said state management unit, the temperature of the control unit, the current consumption of the arithmetic unit, based on at least one of the power consumption of the arithmetic unit, wherein the control portion determines claim whether the abnormal state 1 electronic control unit according to. 前記状態管理部は、前記監視用演算部の動作を停止させた場合、前記監視用演算部が動作停止状態であることを前記外部装置としての表示装置(200)に表示する請求項1または2に記載の電子制御装置。 Claim 1 or 2 that, when the state management unit stops the operation of the monitoring calculation unit, displays on the display device (200) as the external device that the monitoring calculation unit is in the stopped operation state. The electronic control device according to. 前記制御部は、前記監視用演算部が動作停止状態であることを記憶する記憶部を備えている請求項1乃至のいずれか一項に記載の電子制御装置。 The electronic control device according to any one of claims 1 to 3 , wherein the control unit includes a storage unit that stores that the monitoring calculation unit is in an operation stopped state. 前記状態管理部は、前記演算部とは独立して動作する請求項またはに記載の電子制御装置。 The electronic control device according to claim 3 or 4 , wherein the state management unit operates independently of the calculation unit. 前記状態管理部は、前記監視用演算部への電源供給を止めることで、前記監視用演算部の動作を停止させる請求項またはに記載の電子制御装置。 The electronic control device according to claim 3 or 4 , wherein the state management unit stops the operation of the monitoring calculation unit by stopping the power supply to the monitoring calculation unit. 走行駆動原としてエンジンを備えた車両に搭載され、前記外部装置としての電子スロットルのスロットルバルブ開度を制御するものであって、
前記状態管理部で前記制御部内が異常状態であると判定された場合、前記エンジンの出力を制限するための前記制御信号を前記電子スロットルに出力する出力制限部(20)を、さらに備えている請求項1乃至のいずれか一項に記載の電子制御装置。 It is mounted on a vehicle equipped with an engine as a driving drive, and controls the throttle valve opening degree of the electronic throttle as the external device.
When the state management unit determines that the inside of the control unit is in an abnormal state, it further includes an output limiting unit (20) that outputs the control signal for limiting the output of the engine to the electronic throttle. The electronic control device according to any one of claims 1 to 6.
JP2017123479A 2017-06-23 2017-06-23 Electronic control device Active JP6919359B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2017123479A JP6919359B2 (en) 2017-06-23 2017-06-23 Electronic control device
DE102018207264.7A DE102018207264B4 (en) 2017-06-23 2018-05-09 ELECTRONIC CONTROL DEVICE

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017123479A JP6919359B2 (en) 2017-06-23 2017-06-23 Electronic control device

Publications (2)

Publication Number Publication Date
JP2019007412A JP2019007412A (en) 2019-01-17
JP6919359B2 true JP6919359B2 (en) 2021-08-18

Family

ID=64568120

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017123479A Active JP6919359B2 (en) 2017-06-23 2017-06-23 Electronic control device

Country Status (2)

Country Link
JP (1) JP6919359B2 (en)
DE (1) DE102018207264B4 (en)

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4438714A1 (en) * 1994-10-29 1996-05-02 Bosch Gmbh Robert Method and device for controlling the drive unit of a vehicle
JP2001067149A (en) * 1999-08-30 2001-03-16 Casio Comput Co Ltd Computer system and storage medium
DE10004330A1 (en) * 2000-02-01 2001-08-02 Deutz Ag Programmable control and regulating electronics for an internal combustion engine
JP2004116435A (en) * 2002-09-27 2004-04-15 Hitachi Ltd Control device for automobile
CN202402149U (en) * 2011-12-16 2012-08-29 中国第一汽车股份有限公司 ECU safety monitoring module of natural gas engine
WO2014054349A1 (en) * 2012-10-02 2014-04-10 富士電機株式会社 Redundant computation processing system
JP2016071635A (en) 2014-09-30 2016-05-09 株式会社アドヴィックス Abnormality monitoring circuit of ECU

Also Published As

Publication number Publication date
DE102018207264B4 (en) 2021-12-23
DE102018207264A1 (en) 2018-12-27
JP2019007412A (en) 2019-01-17

Similar Documents

Publication Publication Date Title
JP4573884B2 (en) In-vehicle electronic control unit power failure detection circuit
JP5126393B2 (en) In-vehicle electronic control unit
US9372774B2 (en) Redundant computing architecture
JP6760052B2 (en) Shift-by-wire controller
JP2015118662A (en) Electronic controller
US9221492B2 (en) Method for operating an electrical power steering mechanism
WO1997031254A1 (en) On-vehicle controller failure diagnosing method and apparatus
JP2013143095A (en) Electronic control device, and memory check method
JP2011032903A (en) Control device of vehicle
JP6919359B2 (en) Electronic control device
KR101428288B1 (en) Diagnosis method of side step apparatus for vehicle
US20200033400A1 (en) Semiconductor integrated circuit and rotation detection device
WO2019207905A1 (en) Vehicle-mounted control device
JP5459370B2 (en) In-vehicle electronic control unit
US20230177894A1 (en) Information processing apparatus and information processing method
JPWO2019097692A1 (en) Rotation detection device
CN112224200A (en) Controller of vehicle equipment control system and function safety control method
JP2021160397A (en) Failure cause estimation method and device for power supply system in vehicle
JP6597489B2 (en) Vehicle control device
JP2020133575A (en) Electronic control device
JP2020035621A (en) Hydrogen tank control device
JP5713432B2 (en) Drive unit control apparatus and control method
JP7200883B2 (en) electronic controller
JP2018063527A (en) Electronic control apparatus
JP2018010362A (en) Electronic control unit

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200519

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210329

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210406

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210426

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210622

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210705

R151 Written notification of patent or utility model registration

Ref document number: 6919359

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250