特許 6984512 電子制御装置

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】6984512

(24)【登録日】2021年11月29日

(45)【発行日】2021年12月22日

(54)【発明の名称】電子制御装置

(51)【国際特許分類】

   G05B 9/02 20060101AFI20211213BHJP

   B60R 16/02 20060101ALI20211213BHJP

【ＦＩ】

   G05B9/02 E

   B60R16/02 650J

【請求項の数】7

【全頁数】11

(21)【出願番号】特願2018-55001(P2018-55001)

(22)【出願日】2018年3月22日

(65)【公開番号】特開2019-168835(P2019-168835A)

(43)【公開日】2019年10月3日

【審査請求日】2021年1月20日

(73)【特許権者】

【識別番号】000004260

【氏名又は名称】株式会社デンソー

(74)【代理人】

【識別番号】100106149

【弁理士】

【氏名又は名称】矢作 和行

(74)【代理人】

【識別番号】100121991

【弁理士】

【氏名又は名称】野々部 泰平

(74)【代理人】

【識別番号】100145595

【弁理士】

【氏名又は名称】久保 貴則

(72)【発明者】

【氏名】丸井 大地

(72)【発明者】

【氏名】青木 充

【審査官】 大古 健一

(56)【参考文献】

【文献】 韓国登録特許第１０−０６００１７３（ＫＲ，Ｂ１）

【文献】 特開平１−２９８４４６（ＪＰ，Ａ）

【文献】 特開２０１６−２０３７６４（ＪＰ，Ａ）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｇ０５Ｂ ９／００− ９／０５

Ｂ６０Ｒ １６／００−１７／０２

(57)【特許請求の範囲】

【請求項1】

監視信号を出力するマイクロコンピュータ（２０）と、
前記監視信号に基づいて、前記マイクロコンピュータの状態を監視する外部監視回路（３０）と、
を備え、
前記マイクロコンピュータは、
ソフトウェア処理により、前記監視信号を生成して前記外部監視回路へ出力する監視出力部（２２）と、
前記マイクロコンピュータの内部を自己診断し、要因を特定して異常を検出する診断部（２３）と、
前記監視出力部に関わる異常が検出された場合に、ハードウェア処理によって、前記外部監視回路への前記監視信号の入力を遮断するための遮断信号を生成して出力する遮断出力部（２４）と、
を有する電子制御装置。

【請求項2】

前記遮断信号が入力されるとオンし、前記監視信号をグランド電位に固着させる遮断スイッチ（５０）をさらに備える請求項１に記載の電子制御装置。

【請求項3】

前記外部監視回路は、
前記監視信号に基づいて前記マイクロコンピュータの異常を検出する異常検出部（３２，３２Ａ）と、
前記異常検出部により前記マイクロコンピュータの異常が検出されると、所定のフェールセーフ処理を実行するフェールセーフ実行部（３３）と、
を有する請求項１又は請求項２に記載の電子制御装置。

【請求項4】

前記フェールセーフ実行部は、前記異常検出部により前記マイクロコンピュータの異常が所定期間継続して検出されると、前記フェールセーフ処理を実行する請求項３に記載の電子制御装置。

【請求項5】

前記外部監視回路は、前記異常検出部としての第１異常検出部に加え、前記遮断信号に基づいて前記マイクロコンピュータの異常を検出する第２異常検出部（３５）を有し、
前記フェールセーフ実行部は、前記第２異常検出部により前記マイクロコンピュータの異常が検出されると、前記フェールセーフ処理を実行する請求項３又は請求項４に記載の電子制御装置。

【請求項6】

前記フェールセーフ実行部は、前記第２異常検出部により前記マイクロコンピュータの異常が検出されると、前記第１異常検出部による検出結果によらず前記フェールセーフ処理を実行する請求項５に記載の電子制御装置。

【請求項7】

前記フェールセーフ実行部は、前記第２異常検出部により前記マイクロコンピュータの異常が所定期間継続して検出されると、前記フェールセーフ処理を実行する請求項５又は請求項６に記載の電子制御装置。

【発明の詳細な説明】

【技術分野】

【0001】

この明細書における開示は、電子制御装置に関する。

【背景技術】

【0002】

特許文献１には、ウォッチドッグ信号を出力するマイコンと、ウォッチドッグ信号に基づいてマイコンの状態を監視する監視ＩＣと、を備えた電子制御装置が開示されている。

【先行技術文献】

【特許文献】

【0003】

【特許文献1】特開２０１６−２０３７６４号公報

【発明の概要】

【発明が解決しようとする課題】

【0004】

マイコン（マイクロコンピュータ）は、ソフトウェア処理によりウォッチドッグ信号を出力するＷＤ出力部、すなわち監視信号を出力する監視出力部を有している。このため、ＷＤ出力部に異常が発生、具体的には、ウォッチドッグ信号の生成、出力に関わる記憶部としてのＲＯＭ、ＲＡＭ、演算部としてのＣＰＵに異常が発生し、ウォッチドッグ信号が誤って出力され続けた場合、マイコン内部に異常が発生しているにもかかわらず、監視ＩＣ（外部監視回路）が異常を検出することができないという問題が生じる。

【0005】

本開示はこのような課題に鑑みてなされたものであり、監視信号を出力する監視出力部に関わる異常が生じた場合でも、外部監視回路がマイクロコンピュータの異常を検出できる電子制御装置を提供することを目的とする。

【課題を解決するための手段】

【0006】

本開示は、上記目的を達成するために以下の技術的手段を採用する。なお、括弧内の符号は、ひとつの態様として後述する実施形態に記載の具体的手段との対応関係を示すものであって、技術的範囲を限定するものではない。

【0007】

本開示のひとつである電子制御装置は、
監視信号を出力するマイクロコンピュータ（２０）と、
監視信号に基づいて、マイクロコンピュータの状態を監視する外部監視回路（３０）と、
を備え、
マイクロコンピュータは、
ソフトウェア処理により、監視信号を生成して外部監視回路へ出力する監視出力部（２２）と、
マイクロコンピュータの内部を自己診断し、要因を特定して異常を検出する診断部（２３）と、
監視出力部に関わる異常が検出された場合に、ハードウェア処理によって、外部監視回路への監視信号の入力を遮断するための遮断信号を生成して出力する遮断出力部（２４）と、
を有する。

【0008】

この電子制御装置によれば、診断部により、マイクロコンピュータ内部の異常を検出するとともに、異常の要因を特定することができる。そして、監視出力部に関わる異常が特定されて検出されると、遮断出力部がハードウェア処理により遮断信号を生成して出力する。この遮断信号により、外部監視回路への監視信号の入力が遮断される。したがって、ソフトウェア処理により監視信号を生成して出力する監視出力部に異常が生じても、外部監視回路がマイクロコンピュータの異常を検出することができる。

【図面の簡単な説明】

【0009】

【図1】第１実施形態に係る電子制御装置の概略構成を示す図である。

【図2】電子制御装置が実行する異常処理を示すフローチャートである。

【図3】監視遮断信号の出力を説明するための図である。

【図4】異常検出処理のうち、外部監視回路の処理を示すフローチャートである。

【図5】第２実施形態に係る電子制御装置の概略構成を示す図である。

【図6】電子制御装置が実行する異常処理のうち、外部監視回路の処理を示すフローチャートである。

【発明を実施するための形態】

【0010】

図面を参照しながら、複数の実施形態を説明する。複数の実施形態において、機能的に及び／又は構造的に対応する部分には同一の参照符号を付与する。

【0011】

（第１実施形態）
先ず、図１を用いて、本実施形態に係る電子制御装置の概略構成を説明する。

【0012】

図１に示す電子制御装置１０は、車両に搭載された内燃機関であるエンジンを制御するエンジンＥＣＵとして構成されている。電子制御装置１０は、マイコン２０、外部監視回路３０、駆動部４０、及び遮断スイッチ５０を備えている。なお、ＥＣＵは、Electronic Control Unitの略称である。

【0013】

マイコン２０は、図示しないＣＰＵ、ＲＯＭ、ＲＡＭ、及びＩ／Ｏポートなどを備えて構成されたマイクロコンピュータである。マイコン２０のＣＰＵは、各種センサなどから取得した情報を用い、ＲＡＭなどの一時記憶機能を利用しつつ、ＲＯＭに記憶されたプログラムにしたがって演算などの所定処理を実行する。このように、マイコン２０は、プログラムを格納する第１メモリとしてのＲＯＭと、プログラムにしたがって演算を実行する演算部としてのＣＰＵと、演算のデータを格納する第２メモリとしてのＲＡＭを有している。

【0014】

マイコン２０は、制御対象を制御するために所定の演算を実行する。本実施形態では、マイコン２０が、インジェクタ、点火プラグ、及び電子スロットル用モータの駆動を制御する。図１では、電子スロットル用モータをアクチュエータ１００として示している。マイコン２０は、機能ブロックとして、制御信号生成部２１、監視信号出力部２２、自己診断部２３、及び遮断信号出力部２４を有している。

【0015】

制御信号生成部２１は、アクセル開度センサ、スロットル開度センサ、クランク角センサなどの出力信号を取得し、取得した信号に基づいて、アクチュエータ１００に対する制御量を演算する。そして、その演算結果を制御信号として駆動部４０に出力する。

【0016】

監視信号出力部２２は、ソフトウェア処理により、監視信号を生成して外部監視回路３０へ出力する。監視信号出力部２２が、監視出力部に相当する。本実施形態では、監視信号としてウォッチドッグ信号ＷＤＣを生成し、出力する。ウォッチドッグ信号は、外部監視回路３０が有するウォッチドッグタイマをクリアさせる信号であるため、ウォッチドッグクリア信号とも称される。

【0017】

監視信号出力部２２は、マイコン２０に異常が生じていないときには、周期的に監視信号（ＷＤＣ）を出力する。自己診断部２３によりマイコン２０の異常が検出されると、監視信号の出力を停止する。監視信号出力部２２は、監視信号の出力を停止することで、外部監視回路３０へマイコン２０の異常を通知する。監視信号出力部２２は、自己診断部２３による異常検出結果に基づいて、監視信号を生成する。

【0018】

自己診断部２３は、マイコン２０の内部を自己診断することで、マイコン２０の異常を検出する。このように、マイコン２０は、自己診断機能を有している。自己診断部２３は、異常を検出するとともに、異常の要因を特定する。この自己診断部２３が、診断部に相当する。自己診断部２３は、マイコン２０の異常を検出する異常検出部である。自己診断部２３は、演算を実行するＣＰＵの異常、プログラムが記憶されたＲＯＭの異常、データを保持するＲＡＭの異常などを検出する。自己診断部２３は、ＲＯＭ及びＲＡＭのメモリについて、異常の検出とともに、異常が生じた領域（アドレス）の特定を行う。よって、異常領域から異常要因を特定することができる。

【0019】

遮断信号出力部２４は、ハードウェア処理によって、外部監視回路３０への監視信号の入力を遮断するための遮断信号を生成し、出力する。遮断信号出力部２４が遮断出力部に相当する。以下において、この遮断信号を、後述するフェールセーフ実行部３３から出力される遮断信号と区別するために、監視遮断信号と示す。

【0020】

遮断信号出力部２４は、自己診断部２３によって監視信号出力部２２に関わる異常（ソフトウェア異常）が検出された場合に、監視遮断信号を生成して出力する。監視信号出力部２２に関係しない異常が検出された場合、マイコン２０の異常が検出されない場合には、監視遮断信号を出力しない。監視信号出力部２２は、たとえば監視遮断信号としてＨレベルの信号を出力する。

【0021】

外部監視回路３０は、監視信号に基づいてマイコン２０の状態を監視する。外部監視回路３０としては、ＩＣや、マイコン２０とは別のマイコンを採用することができる。本実施形態では、外部監視回路３０としてＩＣを採用している。外部監視回路３０とマイコン２０とは、双方向に通信可能に構成されている。外部監視回路３０は、監視信号受信部３１、異常検出部３２、及びフェールセーフ実行部３３を有している。監視信号受信部３１は、監視信号出力部２２から出力された監視信号を受信する。

【0022】

異常検出部３２は、監視信号受信部３１にて受信された監視信号に基づいて、マイコン２０の異常を検出する。本実施形態では、異常検出部３２が図示しないウォッチドッグタイマを有している。マイコン２０の正常時には、監視信号が周期的に出力されるため、ウォッチドックタイマのカウントが閾値に達する前にクリアされる。マイコン２０の異常時には、監視信号の出力が停止されるため、ウォッチドックタイマのカウントが閾値以上となる。このようにして、異常検出部３２はマイコン２０の異常を検出する。

【0023】

フェールセーフ実行部３３は、異常検出部３２によりマイコン２０の異常が検出されると、フェールセーフ処理を実行する。本実施形態では、所定期間継続して異常が検出されると、フェールセーフ処理を実行する。フェールセーフ実行部３３は、フェールセーフ処理として、マイコン２０へリセット信号を出力するとともに、駆動部４０へ遮断信号を出力する。マイコン２０はリセット信号を受信すると、リセットを実行する。

【0024】

駆動部４０は、制御信号に基づいてアクチュエータ１００を駆動させる。本実施形態では、電子スロットル用モータを駆動させるために、駆動部４０としてＨブリッジ回路が構成されている。Ｈブリッジ回路を構成する各スイッチング素子は、制御信号によりオンオフが制御される。遮断信号が入力されると、駆動部４０は、アクチュエータ１００の駆動を停止させる。

【0025】

遮断スイッチ５０は、監視遮断信号によってオンされる。遮断スイッチ５０は、監視遮断信号であるＨレベルの信号が入力されるとオンし、それ以外の期間、すなわちＬレベルの信号が入力される期間はオフしている。遮断スイッチ５０は、マイコン２０と外部監視回路３０との間に設けられ、監視信号を送信する通信線と、グランド（ＧＮＤ）との間に設けられている。遮断スイッチ５０がオンすると、監視信号の通信線がグランドに接続され、監視信号がグランド電位に固着する。監視遮断信号が出力されて遮断スイッチ５０がオンすると、監視信号出力部２２が監視信号を出力していても、監視信号の出力を停止したときと同じ状態となる。遮断スイッチ５０としては、たとえばＭＯＳＦＥＴ等の半導体スイッチを採用することができる。

【0026】

次に、図２〜図４に基づき、電子制御装置１０が実行する異常処理について説明する。電子制御装置１０は、電源が投入されると、以下に示す処理を実行する。

【0027】

図２に示すように、先ずマイコン２０の自己診断部２３が、マイコン２０の内部を自己診断し（ステップＳ１０）、異常が発生したか否かを判定する（ステップＳ２０）。そして、異常が発生したと判定する、すなわち異常を検出すると、自己診断部２３は、異常の要因を特定する（ステップＳ３０）。異常が発生していないと判定した場合、すなわち異常を検出しない場合、自己診断部２３は、ステップＳ１０に戻り、ふたたび自己診断を実施する。

【0028】

ステップＳ３０の処理が終了すると、次いで自己診断部２３は、監視信号出力部２２に関わる異常か否かを判定する（ステップＳ４０）。自己診断部２３は、判定結果を監視信号出力部２２及び遮断信号出力部２４に出力する。本実施形態では、自己診断部２３が、異常の検出有無を示す信号を監視信号出力部２２に出力する。また、自己診断部２３は、監視信号出力部２２に関わる異常を検出すると、遮断信号出力部２４に対して監視遮断信号の出力を指示する。

【0029】

図３に示すように、自己診断部２３は、マイコン２０の内部を自己診断し、マイコン２０の異常（エラー）を検出する。上記したように、自己診断部２３は、異常の要因を特定する。自己診断部２３は、ＲＯＭやＲＡＭのアドレスから、監視信号出力部２２に関わる異常を特定することができる。図３において、自己診断部２３が異常として検出したエラー１〜エラーｎのうち、エラー２とエラーｎが監視信号出力部２２に関わる異常である。このため、自己診断部２３は、遮断信号出力部２４に対して監視遮断信号の出力を指示している。なお、図３では、監視信号出力部２２に関わる異常について、他の異常との区別のためにハッチングを施している。

【0030】

図２に戻り、ステップＳ４０において、監視信号出力部２２に関わる異常ではない、すなわち監視信号出力部２２以外の異常であると判定された場合、監視信号出力部２２は、外部監視回路３０に対して異常が発生したことを通知する処理を実行する（ステップＳ５０。本実施形態では、監視信号出力部２２が、監視信号の出力を停止することで、異常を通知する。監視信号出力部２２に関わる異常ではないため、監視信号出力部２２は正常に動作することができる。

【0031】

一方、監視信号出力部２２に関わる異常であると判定されると、遮断信号出力部２４は、遮断処理を実行する（ステップＳ６０）。本実施形態では、遮断信号出力部２４が、監視遮断信号としてＨレベルの信号を出力し、遮断スイッチ５０をオンさせる。これにより、監視信号がグランド電位に固着し、監視信号の出力を停止したときと同じ状態となる。以上の処理については、マイコン２０が実行する。

【0032】

ステップＳ５０，Ｓ６０の処理が終了すると、次いで外部監視回路３０が処理を実行する（ステップＳ７０）。そして、ステップＳ７０の処理を実行すると、一連の処理を終了する。一連の処理を終了すると、電源が投入されている期間において、電子制御装置１０は上記した異常検出処理をふたたび実行する。

【0033】

次に、図４に基づき、電子制御装置１０が実行する異常処理のうち、本実施形態の外部監視回路３０が実行するステップＳ７０の処理、すなわち「外部監視回路の処理」について説明する。図４に示すように、先ず外部監視回路３０の異常検出部３２が、マイコン２０の異常を検出したか否かを判定する（ステップＳ７１）。本実施形態では、ウォッチドッグタイマのカウントが閾値以上になることで、異常検出部３２がマイコン２０の異常を検出する。

【0034】

異常を検出した場合、異常検出部３２は、異常の検出が所定期間継続しているか否かを判定する（ステップＳ７２）。たとえば異常検出回数を計測するカウンタの値が所定の複数回以上になることをもって、所定期間継続としてもよい。また、異常と検出し続けている時間が所定時間以上になることをもって、所定期間継続としてもよい。

【0035】

所定期間継続している場合、フェールセーフ実行部３３は、フェールセーフ処理を実行する（ステップＳ７３）。そして、一連の処理を終了する。所定期間継続していない場合、ステップＳ７１に戻り、ふたたび異常を検出したか否かを判定する。ステップＳ７１において異常が検出されない場合、フェールセーフ処理を実行することなく、一連の処理を終了する。

【0036】

次に、上記した電子制御装置１０の効果について説明する。

【0037】

本実施形態に示した電子制御装置１０によれば、自己診断部２３により、マイコン２０の内部の異常を検出するとともに、検出した異常の要因を特定することができる。このため、監視信号出力部２２に関わる異常を検出することができる。監視信号出力部２２にっ関わる異常が検出された場合、遮断信号出力部２４がハードウェア処理により監視遮断信号を生成して出力する。この監視遮断信号により、外部監視回路３０への監視信号の入力が遮断される。

【0038】

したがって、監視信号出力部２２に異常（ソフトウェア異常）が生じ、異常が発生しているにもかかわらず監視信号を継続して出力し続けても、ハードウェア構成の遮断信号出力部２４が出力した遮断信号により、外部監視回路３０への監視信号の入力が遮断される。すなわち、監視信号出力部２２に関わる異常が生じた場合でも、外部監視回路３０がマイコン２０の異常を検出することができる。そして、フェールセーフ処理を実行することができる。たとえばフェールセーフ実行部３３がリセット信号を出力することで、マイコン２０をリセットさせ、異常状態からの復帰を試みることができる。

【0039】

特に本実施形態では、電子制御装置１０が遮断スイッチ５０を備えている。そして、監視遮断信号により遮断スイッチ５０がオンされ、監視信号がグランド電位に固着されることで監視信号をオフしたときと同じ状態となる。このように、簡素な構成で、監視信号出力部２２に関わる異常が生じた場合でも、外部監視回路３０がマイコン２０の異常を検出することができる。

【0040】

また、監視信号出力部２２の異常、すなわちソフトウェア異常は、継続することが予想される。本実施形態では、異常検出部３２によってマイコン２０の異常が所定期間継続して検出されると、フェールセーフ実行部３３がフェールセーフ処理を実行する。このように、マイコン２０の異常の検出精度を高めているため、異常の誤検出によりフェールセーフ処理が誤って実行されるのを抑制することができる。

【0041】

（第２実施形態）
本実施形態は、先行実施形態を参照できる。このため、先行実施形態に示した電子制御装置１０と共通する部分についての説明は省略する。

【0042】

図５に示すように、本実施形態の電子制御装置１０は、監視遮断信号が、遮断スイッチ５０だけでなく、外部監視回路３０にも出力される。外部監視回路３０は、監視信号受信部３１、異常検出部に相当する第１異常検出部３２Ａ、フェールセーフ実行部３３に加えて、遮断信号受信部３４と、第２異常検出部３５を有している。第１異常検出部３２Ａの機能は、異常検出部３２と同じである。また、それ以外の構成は、先行実施形態と同じである。

【0043】

遮断信号受信部３４は、マイコン２０の遮断信号出力部２４から出力された監視遮断信号を受信する。第２異常検出部３５は、遮断信号受信部３４にて受信された監視遮断信号に基づいて、マイコン２０の異常を検出する。本実施形態の第２異常検出部３５は、遮断信号受信部３４を介して監視遮断信号を受信することで、マイコン２０に異常が生じたことを検出する。フェールセーフ実行部３３は、２つの異常検出部３２，３５の検出結果に基づいて、フェールセーフ処理を実行する。フェールセーフ実行部３３は、異常検出部３５の検出結果を優先する。

【0044】

次に、図６に基づき、電子制御装置１０が実行する異常処理のうち、本実施形態の外部監視回路３０が実行するステップＳ７０の処理、すなわち「外部監視回路の処理」について説明する。

【0045】

図６に示すように、先ず外部監視回路３０の第２異常検出部３５が、マイコン２０の異常を検出したか否かを判定する（ステップＳ７１Ａ）。本実施形態では、監視遮断信号を受信することで、第２異常検出部３５がマイコン２０の異常を検出する。

【0046】

異常を検出した場合、第２異常検出部３５は、異常の検出が所定期間継続しているか否かを判定する（ステップＳ７２Ａ）。たとえば異常検出回数を計測するカウンタの値が所定の複数回以上になることをもって、所定期間継続としてもよい。また、異常と検出し続けている時間が所定時間以上になることをもって、所定期間継続としてもよい。

【0047】

ステップＳ７２Ａにおいて所定期間継続している場合、フェールセーフ実行部３３は、フェールセーフ処理を実行する（ステップＳ７３）。そして、一連の処理を終了する。所定期間継続していない場合、ステップＳ７１Ａに戻り、ふたたび異常を検出したか否かを判定する。

【0048】

ステップＳ７１Ａにおいて異常が検出されない場合、第１異常検出部３２Ａが、マイコン２０の異常を検出したか否かを判定する（ステップＳ７１Ｂ）。ステップＳ７１Ｂの処理は、先行実施形態に示したステップＳ７１の処理と同じである。異常を検出した場合、第１異常検出部３２Ａは、異常の検出が所定期間継続しているか否かを判定する（ステップＳ７２Ｂ）。ステップＳ７２Ｂの処理は、先行実施形態に示したステップＳ７２の処理と同じである。

【0049】

ステップＳ７２Ｂにおいて所定期間継続している場合、フェールセーフ実行部３３がステップＳ７３の処理、すなわちフェールセーフ処理を実行する。そして、一連の処理を終了する。所定期間継続していない場合、ステップＳ７１Ｂに戻り、ふたたび異常を検出したか否かを判定する。ステップＳ７１Ｂにおいて異常が検出されない場合、フェールセーフ処理を実行することなく、一連の処理を終了する。

【0050】

次に、上記した電子制御装置１０の効果について説明する。本実施形態によれば、先行実施形態に記載の効果に加えて、さらに以下に示す効果を奏することができる。

【0051】

本実施形態に示した電子制御装置１０によれば、第２異常検出部３５が、監視遮断信号に基づいてマイコン２０の異常を検出する。第２異常検出部３５によりマイコン２０の異常が検出されると、フェールセーフ実行部３３がフェールセーフ処理を実行する。このように、ハードウェア構成の遮断信号出力部２４にて生成された監視遮断信号を異常の検出に直接的に用いるため、監視信号出力部２２に異常が生じたことを、より確実に検出することができる。たとえば遮断スイッチ５０が故障した場合でも、外部監視回路３０に対してマイコン２０の異常を通知することができる。

【0052】

特に本実施形態では、フェールセーフ実行部３３が、第２異常検出部３５によりマイコン２０の異常が検出されると、第１異常検出部３２Ａによる検出結果によらずフェールセーフ処理を実行する。このように、監視遮断信号を直接的に用いる第２異常検出部３５の結果を優先するため、監視信号出力部２２に異常が生じた場合において、異常の誤検出を抑制することができる。

【0053】

また、上記したように、監視信号出力部２２の異常は、継続することが予想される。本実施形態では、第２異常検出部３５によってマイコン２０の異常が所定期間継続して検出されると、フェールセーフ実行部３３がフェールセーフ処理を実行する。このように、マイコン２０の異常の検出精度を高めているため、異常の誤検出によりフェールセーフ処理が誤って実行されるのを抑制することができる。なお、第１異常検出部３２Ａについては、先行実施形態に示した異常検出部３２と同様である。

【0054】

この明細書の開示は、例示された実施形態に制限されない。開示は、例示された実施形態と、それらに基づく当業者による変形態様を包含する。たとえば、開示は、実施形態において示された要素の組み合わせに限定されない。開示は、多様な組み合わせによって実施可能である。開示される技術的範囲は、実施形態の記載に限定されない。開示されるいくつかの技術的範囲は、特許請求の範囲の記載によって示され、さらに特許請求の範囲の記載と均等の意味及び範囲内でのすべての変更を含むものと解されるべきである。

【0055】

アクチュエータ１００として、電子スロットル用モータの例を示したが、これに限定されない。たとえばインジェクタや、車両に搭載された他のモータをアクチュエータ１００としてもよい。

【0056】

監視信号として、ウォッチドッグ信号の例を示したが、これに限定されない。たとえばマイコン２０の自己診断結果をＳＰＩ通信によって外部監視回路３０に出力する構成において、自己診断結果を監視信号としてもよい。

【0057】

所定期間継続して異常が検出されると、フェールセーフ処理を実行する例を示したが、これに限定されない。マイコン２０の異常が検出されると、フェールセーフ処理が直ちにフェールセーフ処理を実行する構成としてもよい。

【0058】

第２異常検出部３５の結果を優先してフェールセーフ処理を実行する例を示したが、これに限定されない。

【符号の説明】

【0059】

１０…電子制御装置、
２０…マイコン、
２１…制御信号生成部、
２２…監視信号出力部、
２３…自己診断部
２４…遮断信号出力部、
３０…外部監視回路、
３１…監視信号受信部、
３２…異常検出部、
３２Ａ…第１異常検出部、
３３…フェールセーフ実行部、
３４…遮断信号受信部、
３５…第２異常検出部、
４０…駆動部、
５０…遮断スイッチ、
１００…アクチュエータ

【図1】

【図2】

【図3】

【図4】

【図5】

【図6】