特許 6984438 電子制御装置

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】6984438

(24)【登録日】2021年11月29日

(45)【発行日】2021年12月22日

(54)【発明の名称】電子制御装置

(51)【国際特許分類】

   G06F 1/24 20060101AFI20211213BHJP

   G05B 9/02 20060101ALI20211213BHJP

【ＦＩ】

   G06F1/24 Z

   G05B9/02 A

   G06F1/24 351

【請求項の数】3

【全頁数】9

(21)【出願番号】特願2018-10548(P2018-10548)

(22)【出願日】2018年1月25日

(65)【公開番号】特開2019-128817(P2019-128817A)

(43)【公開日】2019年8月1日

【審査請求日】2020年12月9日

(73)【特許権者】

【識別番号】000004260

【氏名又は名称】株式会社デンソー

(74)【代理人】

【識別番号】110000567

【氏名又は名称】特許業務法人 サトー国際特許事務所

(72)【発明者】

【氏名】植村 晋也

【審査官】 松浦 かおり

(56)【参考文献】

【文献】 特開２００７−１８５９９８（ＪＰ，Ａ）

【文献】 特開平０１−３１２６３８（ＪＰ，Ａ）

【文献】 特開２００８−０１５７４９（ＪＰ，Ａ）

【文献】 特開２００４−２６５３２２（ＪＰ，Ａ）

【文献】 特開２００４−３６２１３９（ＪＰ，Ａ）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｇ０６Ｆ １／２２− １／２４

Ｂ６０Ｒ １６／００−１７／０２

Ｇ０５Ｂ ９／００− ９／０５

Ｇ０６Ｆ １１／０７

Ｇ０６Ｆ １１／２８−１１／３６

(57)【特許請求の範囲】

【請求項1】

マイコン（２）と、前記マイコンを監視する監視部（３）とを備えた電子制御装置（１）であって、
前記監視部は、前記マイコンから出力される監視用信号に基づいてマイコン異常を検出し、マイコン異常を検出したときに、リセット状態とし、リセット状態とした時点から、設定条件が成立した時点で前記リセット状態を解除する異常検出部（５）と、
前記マイコン異常の検出回数をカウントし、この検出回数が判定閾値以上となったときに、前記リセット状態を継続させる異常カウント部（６）とを有するように構成され、
前記異常カウント部は、前記マイコンが前記監視用信号の出力を停止させる指示を実行したときには、マイコン異常を検出しても、検出回数をカウントアップしない無効状態となるように構成され、且つ、前記監視用信号の出力が停止する前に、前記無効状態となるように構成された電子制御装置。

【請求項2】

前記異常カウント部は、前記リセット状態を継続させた場合には、電源オフされるまで前記リセット状態を維持するように構成された請求項１記載の電子制御装置。

【請求項3】

前記異常カウント部は、マイコン異常の検出回数の判定閾値を、前記マイコン側から変更可能なように構成された請求項１又は２記載の電子制御装置。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、電子制御装置に関する。

【背景技術】

【0002】

マイコンから出力されるウオッチドッグ信号（以下、ＷＤＣ信号と称す）をモニタする監視ＩＣは、ＷＤＣ信号が出力されなくなったことを検知したときに、マイコンに暴走等の異常が発生したと判断し、リセット信号を出力して、マイコンをリセットさせる。

【先行技術文献】

【特許文献】

【0003】

【特許文献1】特開２００４−３６２１３９号公報

【発明の概要】

【発明が解決しようとする課題】

【0004】

上記従来構成の場合、監視ＩＣは、リセット信号を設定時間だけ出力した後、リセット信号の出力を停止して、リセット解除する。これにより、マイコンは自動的に再起動し、監視ＩＣはＷＤＣ信号のモニタを再開するように構成されている。しかし、マイコンの異常が継続して発生している状況においては、リセット解除が行われた後、異常が検出されて、再度リセット信号が出力されるまでの間に、マイコン異常により誤作動が発生するおそれがある。このため、マイコン異常が継続して発生しているような場合には、リセット解除することが望ましくない。

【0005】

本発明の目的は、マイコン異常が発生したときに、マイコンをリセットし、その後、自動的にリセット解除する構成でありながら、マイコン異常が継続して発生している場合には、リセット解除しない構成とすることができる電子制御装置を提供することにある。

【課題を解決するための手段】

【0006】

請求項１の発明は、マイコン２と、前記マイコン２を監視する監視部３とを備えた電子制御装置１であって、前記監視部３は、前記マイコン２から出力される監視用信号に基づいてマイコン異常を検出し、マイコン異常を検出したときに、リセット状態とし、リセット状態とした時点から、設定条件が成立した時点で前記リセット状態を解除する異常検出部５と、前記マイコン異常の検出回数をカウントし、この検出回数が判定閾値以上となったときに、前記リセット状態を継続させる異常カウント部６とを有するように構成されたものである。
そして、前記異常カウント部６は、前記マイコン２が前記監視用信号の出力を停止させる指示を実行したときには、マイコン異常を検出しても、検出回数をカウントアップしない無効状態となるように構成され、且つ、前記監視用信号の出力が停止する前に、前記無効状態となるように構成されている。

【図面の簡単な説明】

【0007】

【図1】第１実施形態を示す電子制御装置の電気的構成図

【図2】マイコン正常動作時の各部のタイムチャート

【図3】マイコン異常動作時の各部のタイムチャート

【発明を実施するための形態】

【0008】

（第１実施形態）
以下、第１実施形態について、図１ないし図３を参照して説明する。図１は、本実施形態の電子制御装置１は、図１に示すように、マイコン２と、監視ＩＣ３と、その他のＩＣ（以下、他ＩＣと称す）４等を備えて構成されている。

【0009】

マイコン２は、電子制御装置１全体を制御する機能を有し、ＷＤＣ信号Ｓ１を出力する出力端子２ａと、通信コマンドＳ２を出力する出力端子２ｂと、リセット信号を入力する入力端子２ｃとを有する。また、マイコン２は、上記端子２ａ、２ｂ、２ｃの他に、図示しない多数の出力端子及び入力端子を有する。

【0010】

監視ＩＣ３は、マイコン２を監視する監視部としての機能を有する。監視ＩＣ３は、入力端子３ａと、入力端子３ｂと、出力端子３ｃと、出力端子３ｄとを有する。監視ＩＣ３の入力端子３ａはマイコン２の出力端子２ａに接続され、監視ＩＣ３の入力端子３ｂはマイコン２の出力端子２ｂに接続されている。監視ＩＣ３の出力端子３ｃは、マイコン２の入力端子２ｃと、他ＩＣ４等の入力端子４ａとに接続されている。監視ＩＣ３の出力端子３ｄは、図示しないエンジン制御ＥＣＵの入力端子に接続されている。

【0011】

そして、監視ＩＣ３は、ＷＤＣ信号モニタ５と、異常カウンタ６と、第１のＭＯＳＦＥＴ７と、第２のＭＯＳＦＥＴ８とを有する。ＷＤＣ信号モニタ５は、異常検出部としての機能を有し、入力端子５ａと、出力端子５ｂとを有する。ＷＤＣ信号モニタ５の入力端子５ａは、監視ＩＣ３の入力端子３ａを介してマイコン２の出力端子２ａに接続されており、ＷＤＣ信号Ｓ１が入力される。

【0012】

ＷＤＣ信号モニタ５は、ＷＤＣ信号Ｓ１が正常と判定したときに、例えばロウの第１信号Ｓａを出力し、ＷＤＣ信号Ｓ１が異常と判定したときに、例えばハイの第１信号Ｓａを出力する。ハイの第１信号Ｓａは、予め決められた設定時間Ｔ１、即ち、ワンショット時間の間だけ出力されるようになっている。この場合、ＷＤＣ信号モニタ５は、パルス状のＷＤＣ信号Ｓ１の例えば立上りのエッジが、予め決められた異常判定時間Ｔ２内に１個以上入力されたときに、ＷＤＣ信号Ｓ１が正常と判定し、異常判定時間Ｔ２内に１個も入力されなかったときに、ＷＤＣ信号Ｓ１が異常と判定する。

【0013】

異常カウンタ６は、異常カウント部としての機能を有し、入力端子６ａと、入力端子６ｂと、出力端子６ｃとを有する。異常カウンタ６の入力端子６ａは、ＷＤＣ信号モニタ５の出力端子５ｂに接続されており、第１信号Ｓａが入力される。異常カウンタ６は、第１信号Ｓａがロウからハイに切り替ったときに、カウント値をカウントアップ、即ち、＋１する。異常カウンタ６は、カウント値が内部に設定された閾値よりも小さいときに、例えばロウの第２信号Ｓｂを出力し、カウント値が上記閾値以上であるときに、例えばハイの第２信号Ｓｂを出力する。そして、異常カウンタ６は、ハイの第２信号Ｓｂを出力した後は、第２信号Ｓｂのハイの状態を保持するようになっている。

【0014】

また、異常カウンタ６の入力端子６ｂは、監視ＩＣ３の入力端子３ｂを介してマイコン２の出力端子２ｂに接続されており、コマンド信号Ｓ２が入力される。マイコン２から出力されるコマンド信号Ｓ２としては、例えば、異常カウンタ６のカウントアップの無効を指示する通信コマンドと、異常カウンタ６の閾値を設定する通信コマンドと、異常カウンタ６のカウント値をクリアする通信コマンド等がある。異常カウンタ６は、上記カウントアップの無効を指示する通信コマンドを入力すると、第１信号Ｓａがロウからハイに切り替っても、カウント値をカウントアップしない。異常カウンタ６は、上記閾値を設定する通信コマンドを入力すると、該通信コマンドにより指示された閾値を設定する。異常カウンタ６は、上記カウント値をクリアする通信コマンドを入力すると、カウント値をクリアする。尚、通信コマンドは、例えば４ビットの１６進数を示す信号で構成することが好ましい。

【0015】

第１のＭＯＳＦＥＴ７のドレインは、監視ＩＣ３の出力端子３ｃ及び出力端子３ｄに接続され、ソースはグランドに接続され、ゲートはＷＤＣ信号モニタ５の出力端子５ｂに接続されている。第１のＭＯＳＦＥＴ７は、ゲートにＷＤＣ信号モニタ５からロウの第１信号Ｓａが入力されると、オフし、ゲートにハイの第１信号Ｓａが入力されると、オンする。

【0016】

第２のＭＯＳＦＥＴ８のドレインは、第１のＭＯＳＦＥＴ７のドレイン、監視ＩＣ３の出力端子３ｃ及び出力端子３ｄに接続され、ソースはグランドに接続され、ゲートは異常カウンタ６の出力端子６ｃに接続されている。第２のＭＯＳＦＥＴ８は、異常カウンタ６からロウの第２信号Ｓｂがゲートに入力されると、オフし、ハイの第２信号Ｓｂがゲートに入力されると、オンする。

【0017】

上記構成においては、第１のＭＯＳＦＥＴ７及び第２のＭＯＳＦＥＴ８が共にオフのとき、監視ＩＣ３の出力端子３ｃからハイの第３信号Ｓｃ、即ち、リセット解除信号が出力される。また、第１のＭＯＳＦＥＴ７または第２のＭＯＳＦＥＴ８の少なくとも一方がオンのとき、監視ＩＣ３の出力端子３ｃからロウの第３信号Ｓｃ、即ち、リセット信号が出力される。そして、第３信号Ｓｃ、即ち、リセット信号またはリセット解除信号は、マイコン２の入力端子２ｃに入力されると共に、他ＩＣ４の入力端子４ａに入力される。

【0018】

また、監視ＩＣ３の出力端子３ｄから出力される第４信号Ｓｄは、上記第３信号Ｓｃと同じ信号であるが、ロウの第４信号Ｓｄはフェールセーフ信号として用いられる。このフェールセーフ信号、即ち、ロウの第４信号Ｓｄが、例えば図示しないエンジン制御ＥＣＵに入力されると、エンジン制御ＥＣＵは、インジェクタによる燃料噴射を停止するように構成されている。本実施形態の場合、上記リセット信号と上記フェールセーフ信号が出力される状態が、リセット状態に対応している。

【0019】

次に、マイコン２が正常に動作している場合の電子制御装置１の各部の動作について、図２のタイムチャートに従って説明する。電源電圧がオフ、即ち、消失した状態では、監視ＩＣ３の出力端子３ｃからの第３信号Ｓｃはロウ、即ち、リセット信号であり、マイコン２からＷＤＣ信号は出力しておらず、ＷＤＣ信号モニタ５からの第１信号Ｓａはロウ、即ち、正常である。そして、異常カウンタ６のカウント値は０であり、異常カウンタ６からの第２信号Ｓｂはロウ、即ち、正常である。更に、マイコン２から通信コマンドＳ２は出力されておらず、異常カウンタ６の閾値は初期値である例えば「１６」である。また、異常カウンタ６のカウントアップ、即ち、異常カウントの状態は、初期値である「有効」となっている。

【0020】

そして、電源がオンされて、時刻ｔ１において、電源電圧が所定の電圧値を超えると、監視ＩＣ３の出力端子３ｃからハイの第３信号Ｓｃ、即ち、リセット解除信号が出力され、マイコン２からＷＤＣ信号Ｓ１が出力、即ち、ＷＤＣパルスが設定周期で出力され、異常判定時間Ｔ２内にＷＤＣ信号Ｓ１の立上りのエッジが１個以上入力される。従って、ＷＤＣ信号モニタ５からの第１信号Ｓａはロウ、即ち、正常のままである。そして、異常カウンタ６のカウント値は０のままであり、異常カウンタ６からの第２信号Ｓｂはロウ、即ち、正常のままである。更に、マイコン２から通信コマンドＳ２は出力されておらず、異常ウンタ６の閾値は「１６」のままであり、異常カウンタ６のカウントアップは「有効」のままである。

【0021】

この後、電源がオフされて、時刻ｔ２において、電源電圧が消失すると、監視ＩＣ３の出力端子３ｃからロウの第３信号Ｓｃ、即ち、リセット信号が出力され、上述した電源電圧の消失状態に戻る。

【0022】

次に、マイコン２が異常動作している場合の電子制御装置１の各部の動作について、図３のタイムチャートに従って説明する。まず、電源電圧がオフ、即ち、消失した状態では、図２に示す電源電圧消失状態と同じ状態となっている。

【0023】

そして、電源がオンされて、時刻ｔ１１において、電源電圧が所定の電圧値を超えると、監視ＩＣ３の出力端子３ｃからハイの第３信号Ｓｃ、即ち、リセット解除信号が出力される。この場合、マイコン２が異常であることから、マイコン２からＷＤＣ信号Ｓ１が出力されない。このため、時刻ｔ１１から異常判定時間Ｔ２が経過した時刻ｔ１２で、ＷＤＣ信号モニタ５からの第１信号Ｓａがロウからハイに切り替わる。

【0024】

第１信号Ｓａがロウからハイに切り替わると、監視ＩＣ３の第１のＭＯＳＦＥＴ７がオンされて、監視ＩＣ３の出力端子３ｃからロウの第３信号Ｓｃ、即ち、リセット信号が出力される。これにより、マイコン２がリセットされる。また、時刻ｔ１２では、異常カウンタ６のカウント値がカウントアップされ、カウント値が「１」になる。

【0025】

続いて、時刻ｔ１２から設定時間Ｔ１が経過した時刻ｔ１３になると、ＷＤＣ信号モニタ５からの第１信号Ｓａがハイからロウに切り替わり、監視ＩＣ３の第１のＭＯＳＦＥＴ７がオフされて、監視ＩＣ３の出力端子３ｃからハイの第３信号Ｓｃ、即ち、リセット解除信号が出力される。これにより、マイコン２がリセット解除され、マイコン２からＷＤＣ信号Ｓ１が出力、即ち、ＷＤＣパルスが設定周期で出力されるようになる。この場合、設定時間Ｔ１が経過した時刻ｔ１３が、設定条件が成立した時点に対応している。

【0026】

次いで、マイコン２が異常カウンタ６のカウント値の閾値を「２」に設定する制御と、マイコン２が自身の制御によりＷＤＣ信号、即ち、ＷＤＣパルスを停止させる制御について説明する。

【0027】

この場合、例えば時刻ｔ１４において、マイコン２が、カウント値の閾値を「２」に設定する通信コマンドＣ１を出力すると、異常カウンタ６は、上記通信コマンドＣ１を入力した時点、即ち、時刻ｔ１５で、カウント値の閾値を「２」に設定する。

【0028】

続いて、マイコン２は、ＷＤＣパルスを停止させる制御を実行する場合、異常カウンタ６のカウントアップを無効とする指示を行なう。そこで、例えば時刻ｔ１６において、マイコン２が、カウントアップを無効とする通信コマンドＣ２を出力すると、異常カウンタ６は、上記通信コマンドＣ２を入力した時点、即ち、時刻ｔ１７で、異常カウントの状態を「無効」とし、これ以降は、第１信号Ｓａがロウからハイに切り替っても、カウント値をカウントアップしない。

【0029】

そして、マイコン２が、時刻ｔ１７以降、ＷＤＣ信号Ｓ１を出力しなくなると、最後に出力されたＷＤＣ信号Ｓ１の立上りのエッジから異常判定時間Ｔ２が経過した時点、即ち、時刻ｔ１８において、ＷＤＣ信号モニタ５からの第１信号Ｓａがロウからハイに切り替わる。この第１信号Ｓａがロウからハイに切り替わると、監視ＩＣ３の第１のＭＯＳＦＥＴ７がオンされて、監視ＩＣ３の出力端子３ｃからロウの第３信号Ｓｃ、即ち、リセット信号が出力される。

【0030】

また、時刻ｔ１８においては、異常カウントの状態が「無効」であることから、異常カウンタ６のカウント値がカウントアップされることはなく、カウント値は「１」のままである。更に、時刻ｔ１８においては、異常カウンタ６は、上記リセット信号の出力に応じて、異常カウントの状態が「無効」から「有効」に戻るように構成されている。

【0031】

この後、時刻ｔ１８から設定時間Ｔ１が経過した時刻ｔ１９になると、ＷＤＣ信号モニタ５からの第１信号Ｓａがハイからロウに切り替わり、監視ＩＣ３の第１のＭＯＳＦＥＴ７がオフされて、監視ＩＣ３の出力端子３ｃからハイの第３信号Ｓｃ、即ち、リセット解除信号が出力される。

【0032】

さて、この場合、マイコン２は、ソフト制御によりＷＤＣ信号Ｓ１を停止させる制御を実行しているので、マイコン２からＷＤＣ信号Ｓ１が出力されない。このため、時刻ｔ１９から異常判定時間Ｔ２が経過した時刻ｔ２０で、ＷＤＣ信号モニタ５からの第１信号Ｓａがロウからハイに切り替わる。このように、第１信号Ｓａがロウからハイに切り替わると、監視ＩＣ３の第１のＭＯＳＦＥＴ７がオンされて、監視ＩＣ３の出力端子３ｃからロウの第３信号Ｓｃ、即ち、リセット信号が出力される。

【0033】

また、時刻ｔ２０においては、異常カウント状態が「無効」から「有効」に戻っているので、異常カウンタ６のカウント値がカウントアップされ、カウント値が「２」になる。ここで、異常カウンタ６の閾値が「２」に設定されているので、カウント値≧閾値となることから、異常カウンタ６は、第２信号Ｓｂをロウからハイに切り替える。これにより、第２のＭＯＳＦＥＴ８がオンされることから、監視ＩＣ３の出力端子３ｃからロウの第３信号Ｓｃ、即ち、リセット信号が出力される。本実施形態の場合、異常カウンタ６は、第２信号Ｓｂをロウからハイに切り替えた後は、電源電圧が消失されるまで、ハイの第２信号Ｓｂを出力し続けるように構成されている。従って、電源電圧が消失されるまで、監視ＩＣ３の出力端子３ｃからロウの第３信号Ｓｃ、即ち、リセット信号が出力され、リセット解除されることがないようになっている。

【0034】

この後、時刻ｔ２１で、電源がオフされて、電源電圧が消失すると、異常カウンタ６のカウント値がクリアされて「０」となると共に、第２信号Ｓｂがハイからロウに切り替わる。尚、異常カウンタ６のカウント値の閾値「２」は、電源電圧が消失すると、初期値である例えば「１６」に戻るように構成されている。

【0035】

このような構成の本実施形態においては、マイコン２から出力されるＷＤＣ信号Ｓ１、即ち、監視用信号に基づいてマイコン異常を検出し、マイコン異常を検出したときに、リセット状態とし、リセット状態とした時点から、設定時間が経過した時点、即ち、設定条件が成立した時点で前記リセット状態を解除するＷＤＣ信号モニタ５を備え、前記マイコン異常の検出回数をカウントし、この検出回数が判定閾値以上となったときに、前記リセット状態を継続させる異常カウンタ６を備えた。この構成によれば、マイコン異常が発生したときに、マイコン２をリセットし、その後、自動的にリセット解除する構成でありながら、マイコン異常が継続して発生している場合には、リセット解除しないように構成することができる。

【0036】

また、上記実施形態では、異常カウンタ６によって、マイコン２がＷＤＣ信号Ｓ１の出力を停止させる指示を実行したときには、マイコン異常を検出しても、検出回数をカウントアップしない無効状態となるように構成した。この構成によれば、マイコン異常でない場合でも、マイコントリガのリセットを行う場合には、マイコン異常時と同じくＷＤＣ信号Ｓ１を停止させる処置をマイコン２が実施することがあり、このような場合に、マイコン２の継続異常を判定させない構成を実現することができる。

【0037】

上記実施形態では、異常カウンタ６によって、カウントアップの無効状態となった後、ＷＤＣ信号モニタ５によりリセット状態となったときに、マイコン異常の検出回数をカウントアップする有効状態に戻すように構成した。この構成によれば、リセット状態となった後は、マイコン２の継続異常を判定させる制御に自動的に戻すことができる。

【0038】

上記実施形態では、異常カウンタ６によって、リセット状態を継続させた場合には、電源オフされるまで前記リセット状態を維持するように構成した。この構成によれば、マイコン異常が継続して発生している場合に、電源オフされるまでリセット解除しないように構成することができる。

【0039】

上記実施形態では、異常カウンタ６のマイコン異常の検出回数の判定閾値を、マイコン２側から変更可能なように構成した。マイコン２の継続異常の判定レベルを簡単に調整することができる。

【0040】

尚、上記実施形態では、マイコン２から監視用信号として例えばＷＤＣ信号Ｓ１を出力するように構成したが、これに限られるものではなく、マイコン２から監視用信号として例えばコマンド信号を出力するように構成しても良い。また、上記実施形態では、リセット状態とした時点から、設定時間が経過した時点でリセット状態を解除するように構成したが、これに限られるものではなく、リセット状態とした時点から、設定条件が成立した時点、例えばマイコン２がリセット状態解除用のコマンドを出力した時点でリセット状態を解除するように構成しても良い。

【0041】

本開示は、実施例に準拠して記述されたが、本開示は当該実施例や構造に限定されるものではないと理解される。本開示は、様々な変形例や均等範囲内の変形をも包含する。加えて、様々な組み合わせや形態、さらには、それらに一要素のみ、それ以上、あるいはそれ以下、を含む他の組み合わせや形態をも、本開示の範疇や思想範囲に入るものである。

【符号の説明】

【0042】

図面中、１は電子制御装置、２はマイコン、３は監視ＩＣ（監視部）、４は他のＩＣ、５はＷＤＣ信号モニタ（異常検出部）、６は異常カウンタ（異常カウント部）である。

【図1】

【図2】

【図3】