[go: up one dir, main page]

JP2018010362A - Electronic control unit - Google Patents

Electronic control unit Download PDF

Info

Publication number
JP2018010362A
JP2018010362A JP2016136961A JP2016136961A JP2018010362A JP 2018010362 A JP2018010362 A JP 2018010362A JP 2016136961 A JP2016136961 A JP 2016136961A JP 2016136961 A JP2016136961 A JP 2016136961A JP 2018010362 A JP2018010362 A JP 2018010362A
Authority
JP
Japan
Prior art keywords
memory
abnormality
unit
error
operation monitoring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016136961A
Other languages
Japanese (ja)
Inventor
浩生 国部
Hiroo Kunibe
浩生 国部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2016136961A priority Critical patent/JP2018010362A/en
Priority to DE102017208872.9A priority patent/DE102017208872A1/en
Publication of JP2018010362A publication Critical patent/JP2018010362A/en
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3055Monitoring arrangements for monitoring the status of the computing system or of the computing system component, e.g. monitoring if the computing system is on, off, available, not available
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/08Error detection or correction by redundancy in data representation, e.g. by using checking codes
    • G06F11/10Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's
    • G06F11/1008Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's in individual solid state devices
    • G06F11/1048Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's in individual solid state devices using arrangements adapted for a specific error detection or correction feature
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3013Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Detection And Correction Of Errors (AREA)
  • Techniques For Improving Reliability Of Storages (AREA)
  • Debugging And Monitoring (AREA)
  • For Increasing The Reliability Of Semiconductor Memories (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide an electronic control unit that can reduce a possibility that an actuator cannot be controlled due to abnormality occurred in a part of a memory.SOLUTION: A memory abnormality detection part 11E detects a bit error of data read out from a memory 11C by using error correction code. In an initial state, the memory abnormality detection part 11E performs processing of detecting a bit error of data targeting the entire region of the memory 11C. On the other hand, in the case of detecting a 2 bit error in any address of the memory 11C, a CPU 11D determines whether or not the abnormality occurrence place is an address which belongs to an operation monitoring region M2. In the case where the abnormality occurrence place is in the operation monitoring region M2, electrification to a throttle motor 22 is shut down, and in the case where the abnormality occurrence place is other than the operation monitoring region M2, a diagnostic range is degraded to the operation monitoring region M2.SELECTED DRAWING: Figure 2

Description

本発明は、電子制御装置に関する。   The present invention relates to an electronic control device.

車両に搭載されたアクチュエータの動作を制御するための装置(以降、電子制御装置)は、車載センサから入力されるデータに基づいて種々の演算処理が実行するマイクロコンピュータ(以降、制御用マイコン)を主体として構成されている。この種の電子制御装置が備える制御用マイコンとしては、アクチュエータの動作を制御するための演算処理を実行する機能(以降、制御演算部)のほかに、動作監視機能やメモリ異常検出機能を備えるものがある。   A device for controlling the operation of an actuator mounted on a vehicle (hereinafter referred to as an electronic control device) is a microcomputer (hereinafter referred to as a control microcomputer) that executes various arithmetic processes based on data input from an in-vehicle sensor. It is configured as a subject. The control microcomputer provided in this type of electronic control device is equipped with an operation monitoring function and a memory abnormality detection function in addition to a function (hereinafter referred to as a control calculation unit) for executing a calculation process for controlling the operation of the actuator There is.

動作監視機能は、制御演算部が正常に動作しているか否かを監視するとともに、制御演算部の異常動作を検出した場合には、アクチュエータの駆動を停止させる機能である。メモリ異常検出機能は、メモリに異常が生じているか否かを判定するとともに、メモリの異常を検出した場合には、CPUに所定の割込み処理(以降、メモリ異常割込み処理)を実行させる機能である。   The operation monitoring function is a function for monitoring whether or not the control calculation unit is operating normally, and for stopping the driving of the actuator when an abnormal operation of the control calculation unit is detected. The memory abnormality detection function is a function that determines whether or not an abnormality has occurred in the memory and causes the CPU to execute a predetermined interrupt process (hereinafter referred to as a memory abnormality interrupt process) when a memory abnormality is detected. .

メモリ異常割込み処理の内容は、適宜設計されればよい。例えば電子制御装置の中には、メモリ異常検出機能がメモリ異常を検出した場合には、制御用マイコンをリセットさせるものもある。なお、メモリの異常を検出する方法としては、例えば特許文献1に開示されているように、エラー検出訂正(ECC:Error Checking and Correcting)という技術が知られている。   The contents of the memory abnormality interrupt process may be designed as appropriate. For example, some electronic control devices reset a control microcomputer when a memory abnormality detection function detects a memory abnormality. As a method for detecting a memory abnormality, for example, a technique called Error Checking and Correcting (ECC) is known as disclosed in Patent Document 1.

特開2014−48744号公報JP 2014-48744 A

メモリが備える記憶領域の一部に半恒常的な異常が生じた場合には、当該異常に起因してメモリ異常検出機能がメモリ異常検出割込みを繰り返し、アクチュエータの制御を継続できなくなってしまう恐れがある。なお、ここでの半恒常的な異常とは、例えば、隣接するメモリビット線間のショートなどといった、リセット処理を実行しても修復が困難な異常を指す。   If a semi-permanent abnormality occurs in a part of the storage area of the memory, the memory abnormality detection function may repeat the memory abnormality detection interrupt due to the abnormality, and the actuator control may not be continued. is there. Here, the semi-permanent abnormality refers to an abnormality that is difficult to repair even if a reset process is executed, such as a short circuit between adjacent memory bit lines.

本発明は、この事情に基づいて成されたものであり、その目的とするところは、メモリの一部に生じた異常に由来してアクチュエータの制御ができなくなってしまう可能性を低減できる電子制御装置を提供することにある。   The present invention has been made based on this situation, and an object of the present invention is to provide an electronic control that can reduce the possibility that the actuator cannot be controlled due to an abnormality occurring in a part of the memory. To provide an apparatus.

その目的を達成するための本発明は、演算ユニット及びメモリを備える演算ユニット(11)と、メモリの異常を検出するメモリ異常検出部(11E)と、を備え、車両に搭載されたセンサから入力されるデータに基づいて車両に搭載された所定のアクチュエータの動作を制御する電子制御装置であって、演算ユニットは、センサから入力されるデータに基づいてアクチュエータの制御量を算出する制御演算部(F1)と、メモリが備える記憶領域の一部である動作監視用領域を用いて制御演算部が正常に動作しているか否かを判定する動作監視部(F2)と、メモリ異常検出部によってメモリの異常が検出された場合、及び、動作監視部によって制御演算部の異常動作が検出された場合に、その検出された異常事象に応じた処理を実行するエラー処理部(F3)と、を備え、メモリが備える記憶領域においてメモリ異常検出部による異常検出が行われる範囲である診断範囲は変更可能に構成されており、エラー処理部は、メモリ異常検出部によってメモリの異常が検出された場合には、その異常発生箇所が動作監視用領域であるか否かを判定し、異常発生箇所が動作監視用領域ではない場合には、当該異常発生箇所を診断範囲から除外する監視領域縮退処理を実行することを特徴とする。   In order to achieve the object, the present invention includes an arithmetic unit (11) including an arithmetic unit and a memory, and a memory abnormality detection unit (11E) that detects an abnormality of the memory, and is input from a sensor mounted on the vehicle. An electronic control device that controls the operation of a predetermined actuator mounted on the vehicle based on the data to be calculated, and the arithmetic unit calculates a control amount of the actuator based on data input from the sensor ( F1), an operation monitoring unit (F2) that determines whether or not the control calculation unit is operating normally using an operation monitoring area that is a part of a storage area included in the memory, and a memory abnormality detection unit When an abnormality is detected, and when an abnormal operation of the control calculation unit is detected by the operation monitoring unit, processing corresponding to the detected abnormal event is executed. The error processing unit is configured to be changeable in the storage area provided in the memory, and the error detection unit is configured to be changeable. If an abnormality is detected in the memory, it is determined whether or not the abnormality occurrence location is an operation monitoring area. If the abnormality occurrence location is not an operation monitoring area, the abnormality occurrence location is diagnosed. A monitoring area reduction process excluded from the range is executed.

上記構成では、メモリにおいて異常が発生した領域(以降、異常発生箇所)が動作監視用領域以外の場合には、当該異常発生箇所を診断範囲から除外する。このような構成によれば、動作監視用領域以外の領域で半恒常的な異常が発生した場合であっても、その異常に起因してメモリ異常検出部がメモリ異常検出割込みを繰り返すことはない。その結果、メモリの一部に生じた異常に由来してアクチュエータの制御ができなくなってしまう可能性を低減できる。   In the above configuration, when an area where an abnormality has occurred in the memory (hereinafter, an abnormality occurrence location) is other than the operation monitoring area, the abnormality occurrence location is excluded from the diagnosis range. According to such a configuration, even when a semi-constant abnormality occurs in an area other than the operation monitoring area, the memory abnormality detection unit does not repeat the memory abnormality detection interrupt due to the abnormality. . As a result, it is possible to reduce the possibility that the actuator cannot be controlled due to an abnormality occurring in a part of the memory.

なお、特許請求の範囲に記載した括弧内の符号は、一つの態様として後述する実施形態に記載の具体的手段との対応関係を示すものであって、本発明の技術的範囲を限定するものではない。   In addition, the code | symbol in the parenthesis described in the claim shows the correspondence with the specific means as described in embodiment mentioned later as one aspect, Comprising: The technical scope of this invention is limited is not.

ECU1を含むシステムの概略的な構成を示すブロック図である。It is a block diagram which shows the schematic structure of the system containing ECU1. ECU1の概略的な構成を示すブロック図である。2 is a block diagram showing a schematic configuration of an ECU 1. FIG. マイコン11が実施するデータ読出関連処理について説明するためのフローチャートである。It is a flowchart for demonstrating the data reading related process which the microcomputer 11 implements.

以下、本発明が適用された電子制御装置(以降、ECU:Electronic Control Unit)1について図を用いて説明する。ECU1は、エンジンを駆動源として備える車両に搭載されており、図1に示すように、同一車両に搭載されている電子スロットル2、アクセルセンサ3、スロットルセンサ4、及び警告灯5のそれぞれと接続されている。   Hereinafter, an electronic control device (hereinafter referred to as an ECU: Electronic Control Unit) 1 to which the present invention is applied will be described with reference to the drawings. The ECU 1 is mounted on a vehicle having an engine as a drive source, and is connected to each of an electronic throttle 2, an accelerator sensor 3, a throttle sensor 4, and a warning light 5 mounted on the same vehicle as shown in FIG. Has been.

なお、本実施形態では一例として、ECU1は、エンジンを駆動源として備える車両に搭載されている態様とするが、これに限らない。ECU1が搭載された車両(以降、搭載車両)は、モータのみを駆動源として備える車両(いわゆる電気自動車)であってもよいし、エンジンとモータの両方を駆動源として備える車両(いわゆるハイブリッドカー)であってもよい。   In the present embodiment, as an example, the ECU 1 is mounted on a vehicle including an engine as a drive source, but is not limited thereto. The vehicle on which the ECU 1 is mounted (hereinafter referred to as a mounted vehicle) may be a vehicle (so-called electric vehicle) having only a motor as a drive source, or a vehicle (so-called hybrid car) having both an engine and a motor as drive sources. It may be.

電子スロットル2は、搭載車両のエンジンへの吸入空気量を調節するスロットル弁21と、スロットル弁21を動かすためのアクチュエータとしてのモータ(以降、スロットルモータ)22とを、1つの製品としてまとめたものである。スロットルモータ22の出力トルクは、ECU1によって制御される。なお、電子スロットル2は、スロットルモータ22の駆動が停止された場合、スロットル弁21の開度が予め設定された中間開度となるように構成されている。中間開度は、エンジンのアイドリング運転や、搭載車両の退避走行などを可能とする開度である。   The electronic throttle 2 is a combination of a throttle valve 21 for adjusting the amount of intake air to the engine of the vehicle on which it is mounted, and a motor (hereinafter referred to as a throttle motor) 22 as an actuator for moving the throttle valve 21 as one product. It is. The output torque of the throttle motor 22 is controlled by the ECU 1. The electronic throttle 2 is configured such that the opening of the throttle valve 21 becomes a preset intermediate opening when the driving of the throttle motor 22 is stopped. The intermediate opening is an opening that enables idling operation of the engine, retreat traveling of the mounted vehicle, and the like.

アクセルセンサ3は、運転者によるアクセルペダルの操作位置をアクセル操作量として検出するセンサである。スロットルセンサ4は、スロットル弁21の位置(換言すれば回転角度)をスロットル開度として検出するセンサである。アクセルセンサ3やスロットルセンサ4の検出結果はECU1に逐次提供される。   The accelerator sensor 3 is a sensor that detects an operation position of an accelerator pedal by a driver as an accelerator operation amount. The throttle sensor 4 is a sensor that detects the position of the throttle valve 21 (in other words, the rotation angle) as the throttle opening. The detection results of the accelerator sensor 3 and the throttle sensor 4 are sequentially provided to the ECU 1.

警告灯5は、電子スロットル2の制御系統に所定の不具合が生じていることを乗員に通知するための装置であって、例えばLED等を用いて実現されている。警告灯5は、ECU1からの指示に基づき動作(すなわち点灯)する。   The warning light 5 is a device for notifying an occupant that a predetermined malfunction has occurred in the control system of the electronic throttle 2, and is realized by using, for example, an LED or the like. The warning lamp 5 operates (that is, lights up) based on an instruction from the ECU 1.

ECU1は、アクセルセンサ3やスロットルセンサ4から入力されるデータに基づいてスロットルモータ22を制御する装置である。ECU1は、図2に示すように、マイクロコンピュータ(以降、マイコン)11、駆動回路12、及び監視IC13を備える。   The ECU 1 is a device that controls the throttle motor 22 based on data input from the accelerator sensor 3 and the throttle sensor 4. As shown in FIG. 2, the ECU 1 includes a microcomputer (hereinafter referred to as a microcomputer) 11, a drive circuit 12, and a monitoring IC 13.

マイコン11は、より細かい構成要素として、入力回路11A、ROM11B、メモリ11C、CPU11D、メモリ異常検出部11E、エラー制御部11F、割込機能設定レジスタ11G、診断範囲設定レジスタ11H、出力回路11J、通信インターフェース(以降、通信IF)11K、及びバス11Lを備える。割込機能設定レジスタ11G及び診断範囲設定レジスタ11Hは、後述する種々の設定情報が登録されているレジスタである。マイコン11が請求項に記載の演算ユニットに相当する。   The microcomputer 11 includes input circuit 11A, ROM 11B, memory 11C, CPU 11D, memory abnormality detection unit 11E, error control unit 11F, interrupt function setting register 11G, diagnostic range setting register 11H, output circuit 11J, communication, as more detailed components. An interface (hereinafter, communication IF) 11K and a bus 11L are provided. The interrupt function setting register 11G and the diagnosis range setting register 11H are registers in which various setting information described later is registered. The microcomputer 11 corresponds to the arithmetic unit described in the claims.

入力回路11Aは、アクセルセンサ3やスロットルセンサ4から入力されるデータを取得する回路モジュールである。入力回路11Aは、アクセルセンサ3やスロットルセンサ4からの入力信号に対して所定の信号処理(例えばアナログデジタル変換処理等)を実施する。入力回路11Aが取得したデータは、バス11Lを介してCPU11D等に提供される。   The input circuit 11 </ b> A is a circuit module that acquires data input from the accelerator sensor 3 and the throttle sensor 4. The input circuit 11 </ b> A performs predetermined signal processing (for example, analog-digital conversion processing) on input signals from the accelerator sensor 3 and the throttle sensor 4. The data acquired by the input circuit 11A is provided to the CPU 11D and the like via the bus 11L.

ROM11Bは、不揮発性の記憶媒体である。ROM11Bには、制御演算プログラムPm1、動作監視プログラムPm2、及びエラー処理プログラムPm3が格納されている。制御演算プログラムPm1は、CPU11Dが後述する制御演算部F1として機能するためのプログラムである。動作監視プログラムPm2は、CPU11Dが後述する動作監視部F2として機能するためのプログラムである。エラー処理プログラムPm3は、CPU11Dが後述するエラー処理部F3として機能するためのプログラムである。   The ROM 11B is a nonvolatile storage medium. The ROM 11B stores a control calculation program Pm1, an operation monitoring program Pm2, and an error processing program Pm3. The control calculation program Pm1 is a program for the CPU 11D to function as a control calculation unit F1 described later. The operation monitoring program Pm2 is a program for the CPU 11D to function as an operation monitoring unit F2 described later. The error processing program Pm3 is a program for the CPU 11D to function as an error processing unit F3 described later.

メモリ11Cは、揮発性の書き換え可能な記憶媒体である。メモリ11Cは、CPU11Dが種々の演算処理を実行するためのアドレス空間を提供する。制御演算部F1、動作監視部F2、及びエラー処理部F3のそれぞれには、図示しないオペレーティングシステム(OS:Operating System)によって、所定の大きさを有するアドレス空間(いわゆる仮想アドレス空間)が割り当てられる。或る機能ブロックに割り当てられたアドレス空間は、その機能ブロックが使用可能なメモリ領域に相当する。   The memory 11C is a volatile rewritable storage medium. The memory 11C provides an address space for the CPU 11D to execute various arithmetic processes. An address space (so-called virtual address space) having a predetermined size is assigned to each of the control arithmetic unit F1, the operation monitoring unit F2, and the error processing unit F3 by an operating system (OS) (not shown). An address space allocated to a certain functional block corresponds to a memory area that can be used by the functional block.

便宜上、制御演算部F1に割り当てられたアドレス空間を制御演算用領域M1、動作監視部F2に割り当てられたアドレス空間を動作監視用領域M2、エラー処理部F3に割り当てられたアドレス空間をエラー処理用領域M3とする。各領域M1〜M3は、対応する機能ブロックの演算結果や、演算処理に用いるデータ等を保持する。   For the sake of convenience, the address space assigned to the control calculation unit F1 is the control calculation region M1, the address space assigned to the operation monitoring unit F2 is the operation monitoring region M2, and the address space assigned to the error processing unit F3 is used for error processing. Let it be region M3. Each of the areas M1 to M3 holds a calculation result of a corresponding functional block, data used for calculation processing, and the like.

CPU11Dは、ROM11Bに格納されたプログラムを実行する中央演算装置である。CPU11Dによるメモリ11Cへのデータの読み出し及び書き込みは、後述するメモリ異常検出部11Eを介して実行される。CPU11Dは、ROM11Bに格納されたプログラムを実行することによって発現する機能ブロックとして、制御演算部F1と、動作監視部F2と、エラー処理部F3と、を備える。   The CPU 11D is a central processing unit that executes a program stored in the ROM 11B. Reading and writing of data to the memory 11C by the CPU 11D is executed via a memory abnormality detection unit 11E described later. The CPU 11D includes a control calculation unit F1, an operation monitoring unit F2, and an error processing unit F3 as functional blocks that are expressed by executing a program stored in the ROM 11B.

制御演算部F1は、CPU11Dが制御演算プログラムPm1を実行することで発現する機能ブロックである。制御演算部F1は、アクセルセンサ3によって検出されるアクセル操作量から、スロットル弁21の目標開度(換言すれば目標位置)を演算する。そして、スロットルセンサ4によって検出される実際のスロットル開度がその目標開度とするためのスロットルアクチュエータ6の制御量を算出し、当該制御量に応じた制御信号を出力回路11Jに生成させる。出力回路11Jによって生成された制御信号は、駆動回路12へと出力される。   The control calculation unit F1 is a functional block that is expressed when the CPU 11D executes the control calculation program Pm1. The control calculation unit F1 calculates the target opening (in other words, the target position) of the throttle valve 21 from the accelerator operation amount detected by the accelerator sensor 3. Then, a control amount of the throttle actuator 6 is calculated so that the actual throttle opening detected by the throttle sensor 4 becomes the target opening, and a control signal corresponding to the control amount is generated in the output circuit 11J. The control signal generated by the output circuit 11J is output to the drive circuit 12.

動作監視部F2は、CPU11Dが動作監視プログラムPm2を実行することで発現する機能ブロックである。動作監視部F2は、制御演算部F1が正常に動作しているか否かを判定(換言すれば監視)する。制御演算部F1が正常に動作しているか否かの判定方法は周知の方法を援用することができる。   The operation monitoring unit F2 is a functional block that is expressed when the CPU 11D executes the operation monitoring program Pm2. The operation monitoring unit F2 determines (in other words, monitors) whether or not the control calculation unit F1 is operating normally. A well-known method can be used as a method for determining whether or not the control calculation unit F1 is operating normally.

例えば、動作監視部F2は、アクセルセンサ3によって検出されているアクセル操作量から、エンジンの許容トルクを算出するとともに、スロットルセンサ4によって検出されているスロットル開度から、現在エンジンが発生しているトルクの推定値である推定トルクを算出する。そして、許容トルクと推定トルクとを比較した結果、推定トルクが許容トルクを超過している場合に、制御演算部F1が異常動作していると判定する。なお、許容トルクは、例えば、アクセル操作量から考えられるエンジンの出力トルクの最大値とすればよい。   For example, the operation monitoring unit F2 calculates the allowable torque of the engine from the accelerator operation amount detected by the accelerator sensor 3, and the engine is currently generated from the throttle opening detected by the throttle sensor 4. An estimated torque that is an estimated value of the torque is calculated. Then, as a result of comparing the allowable torque and the estimated torque, when the estimated torque exceeds the allowable torque, it is determined that the control calculation unit F1 is operating abnormally. In addition, what is necessary is just to let the allowable torque be the maximum value of the output torque of the engine considered from the accelerator operation amount, for example.

また、動作監視部F2は、複数のコアで同じ演算処理を実施させた結果、それらの演算結果が一致しなかった場合に、制御演算部F1が異常動作していると判定してもよい。その他、動作監視部F2は公知となっている種々の方法によって、制御演算部F1が正常に動作しているか否かを判定する。   Further, the operation monitoring unit F2 may determine that the control calculation unit F1 is operating abnormally when the same calculation process is performed on a plurality of cores and the calculation results do not match. In addition, the operation monitoring unit F2 determines whether or not the control calculation unit F1 is operating normally by various known methods.

動作監視部F2は、制御演算部F1が正常に動作していないと判定した場合には、その旨をエラー処理部F3に通知する。なお、制御演算部F1は正常に動作していないと判定することは、制御演算部F1の異常動作を検出することに相当する。また、制御演算部F1が正常に動作しているか否かを判定することは、ECU1と電子スロットル2を含むシステム全体の動作が、予め定義された安全状態に該当するか否かを判定することに相当する。   If the operation monitoring unit F2 determines that the control calculation unit F1 is not operating normally, the operation monitoring unit F2 notifies the error processing unit F3. Note that determining that the control calculation unit F1 is not operating normally corresponds to detecting an abnormal operation of the control calculation unit F1. Further, determining whether or not the control calculation unit F1 is operating normally determines whether or not the operation of the entire system including the ECU 1 and the electronic throttle 2 corresponds to a predefined safety state. It corresponds to.

エラー処理部F3は、CPU11Dがエラー処理プログラムPm3を実行することで発現する機能ブロックである。エラー処理部F3は、動作監視部F2や、後述するメモリ異常検出部11Eによって所定の異常事象が検出された場合に、その検出された異常事象に応じた処理を実行する機能ブロックである。   The error processing unit F3 is a functional block that appears when the CPU 11D executes the error processing program Pm3. The error processing unit F3 is a functional block that executes processing according to the detected abnormal event when a predetermined abnormal event is detected by the operation monitoring unit F2 or a memory abnormality detection unit 11E described later.

例えばエラー処理部F3は、動作監視部F2によって制御演算部F1の異常動作が検出された場合、リセット処理やフェールセーフ処理を実施する。また、後述するメモリ異常検出部11Eによってメモリ11Cの異常が検出された場合には、異常通知処理などを実行する。   For example, when the operation monitoring unit F2 detects an abnormal operation of the control calculation unit F1, the error processing unit F3 performs reset processing and fail-safe processing. Further, when an abnormality in the memory 11C is detected by a memory abnormality detection unit 11E described later, an abnormality notification process or the like is executed.

リセット処理は、マイコン11を所定の初期状態に戻す(つまりリセットする)処理である。フェールセーフ処理は、駆動回路12に対して遮断信号を出力し、スロットルモータ22の出力を停止させる処理である。遮断信号は、制御演算部F1による制御信号を無効化するための信号であって、出力回路11Jによって生成される。つまり、出力回路11Jは、エラー処理部F3からの指示に基づいて駆動回路12に遮断信号を出力する。   The reset process is a process for returning (that is, resetting) the microcomputer 11 to a predetermined initial state. The fail-safe process is a process for outputting a cutoff signal to the drive circuit 12 and stopping the output of the throttle motor 22. The cutoff signal is a signal for invalidating the control signal by the control calculation unit F1, and is generated by the output circuit 11J. That is, the output circuit 11J outputs a cutoff signal to the drive circuit 12 based on an instruction from the error processing unit F3.

なお、本実施形態では一例として、駆動回路12に遮断信号を出力するものとするが、遮断信号の出力先は、電子スロットル2であってもよい。何れにしても遮断信号の出力に伴って、スロットルモータ22の出力が停止するように構成されていればよい。   In this embodiment, as an example, a cutoff signal is output to the drive circuit 12, but the output destination of the cutoff signal may be the electronic throttle 2. In any case, it is sufficient that the output of the throttle motor 22 is stopped in accordance with the output of the cutoff signal.

異常通知処理は、警告灯5を点灯させる処理である。エラー処理部F3は、警告灯5を点灯させる信号(以降、点灯信号)を、出力回路11Jから警告灯5へと出力させる。このエラー処理部F3の作動の詳細については別途後述する。   The abnormality notification process is a process for turning on the warning lamp 5. The error processing unit F3 outputs a signal for lighting the warning lamp 5 (hereinafter, a lighting signal) from the output circuit 11J to the warning lamp 5. Details of the operation of the error processing unit F3 will be described later.

メモリ異常検出部11Eは、CPU11Dから要求されたアドレスのデータを読みだしてCPU11Dに提供するとともに、CPU11Dから要求されたアドレスへのデータの書き込みを実行する。つまり、CPU11Dによるメモリ11Cへのアクセスはメモリ異常検出部11Eを介して実行される。   The memory abnormality detection unit 11E reads the data at the address requested from the CPU 11D and provides it to the CPU 11D, and executes the data writing at the address requested from the CPU 11D. That is, the access to the memory 11C by the CPU 11D is executed via the memory abnormality detection unit 11E.

また、メモリ異常検出部11Eは、誤り訂正符号(ECC:Error Correcting Code)を用いて、メモリ11Cに保存されたデータの誤りを訂正及び検出する機能(いわゆるECC機能)を提供する。具体的には、メモリ異常検出部11Eは、データをメモリ11Cに書き込む場合、書き込み対象とするデータをメモリ11Cの所定のアドレスに書き込むとともに、その書き込んだデータに対応するECCを算出してメモリ11C或いは図示しない他の記憶媒体に書き込む。   Further, the memory abnormality detection unit 11E provides a function (so-called ECC function) for correcting and detecting an error in data stored in the memory 11C using an error correcting code (ECC). Specifically, when writing data to the memory 11C, the memory abnormality detection unit 11E writes the data to be written to a predetermined address in the memory 11C and calculates an ECC corresponding to the written data to calculate the memory 11C. Or, it is written in another storage medium (not shown).

ECCとしては、例えばハミング符号などの、周知の誤り訂正符号を採用することができる。ECCによれば2ビットの誤りまでは検出可能であり、さらに、1ビットの誤りは正しいビットへ修正可能となる。便宜上、データ書き込み時に生成したECCを書込ECCと称する。   As the ECC, a known error correction code such as a Hamming code can be employed. According to ECC, it is possible to detect up to a 2-bit error, and it is possible to correct a 1-bit error to a correct bit. For convenience, the ECC generated at the time of data writing is referred to as write ECC.

また、メモリ異常検出部11Eは、データをメモリ11Cから読み出す時には、読み出し対象のデータを読み出し、その読み出したデータに対応するECC(以降、読出ECC)を算出する。そして、メモリ異常検出部11Eは、その読み出したデータに対応する書込ECCを読み出して、読出ECCと比較し、データの誤りが発生したか否かを判定する。メモリ異常検出部11Eは、1ビットの誤りを検出した場合には、当該誤りをECCに基づいて訂正する処理(以降、誤り訂正処理)を実施して、その誤り訂正済みのデータをCPU11Dに提供する。   In addition, when reading data from the memory 11C, the memory abnormality detection unit 11E reads the data to be read and calculates an ECC (hereinafter, read ECC) corresponding to the read data. Then, the memory abnormality detection unit 11E reads the write ECC corresponding to the read data and compares it with the read ECC to determine whether or not a data error has occurred. When the memory abnormality detection unit 11E detects a 1-bit error, the memory abnormality detection unit 11E performs a process of correcting the error based on the ECC (hereinafter, error correction process), and provides the error-corrected data to the CPU 11D. To do.

また、メモリ異常検出部11Eは、読み出したデータに2ビット誤りを検出した場合には、その旨をエラー制御部11Fに通知する。エラー制御部11Fは、メモリ異常検出部11Eが検出したエラー内容に対応する割込み処理をCPU11Dに実行させる機能ブロックである。エラー制御部11Fは、メモリ異常検出部11Eが2ビット誤りを検出した場合、所定の割込み処理をエラー処理部F3に実行させる。2ビット誤りが検出された場合のエラー処理部F3の作動については別途後述する。   In addition, when the memory abnormality detection unit 11E detects a 2-bit error in the read data, the memory abnormality detection unit 11E notifies the error control unit 11F to that effect. The error control unit 11F is a functional block that causes the CPU 11D to execute an interrupt process corresponding to the error content detected by the memory abnormality detection unit 11E. The error control unit 11F causes the error processing unit F3 to execute a predetermined interrupt process when the memory abnormality detection unit 11E detects a 2-bit error. The operation of the error processing unit F3 when a 2-bit error is detected will be described later separately.

以降では、メモリ異常検出部11Eが実施する、ECCによるデータの誤りを検出する処理のことをデータ診断処理と称する。メモリ異常検出部11Eは、ICなどのハードウェア部材を用いて実現されれば良い。なお、メモリ異常検出部11Eはソフトウェアとして実現されてもよい。   Hereinafter, the process performed by the memory abnormality detection unit 11E to detect data errors due to ECC is referred to as a data diagnosis process. The memory abnormality detection unit 11E may be realized using a hardware member such as an IC. The memory abnormality detection unit 11E may be realized as software.

メモリ11Cが備えるアドレス空間のうち、メモリ異常検出部11Eによるデータ診断処理の対象とするアドレス範囲(以降、診断範囲)は、診断範囲設定レジスタ11Hに登録されている。つまり、メモリ異常検出部11Eは、CPU11Dからの要求に基づいて読み出そうとしているアドレスが、診断範囲設定レジスタ11Hに登録されている診断範囲に属する場合に、上述したデータ診断処理を実施する。   Of the address space provided in the memory 11C, an address range (hereinafter referred to as a diagnosis range) that is a target of data diagnosis processing by the memory abnormality detection unit 11E is registered in the diagnosis range setting register 11H. That is, the memory abnormality detection unit 11E performs the above-described data diagnosis process when the address to be read based on the request from the CPU 11D belongs to the diagnosis range registered in the diagnosis range setting register 11H.

診断範囲設定レジスタ11Hに設定される診断範囲は、エラー処理部F3によって動的に変更される。本実施形態におけるマイコン11は、動作モードとして、メモリ11Cが備えるアドレス空間の全領域(以降、全メモリ領域)を診断範囲とするデフォルトモードと、動作監視用領域M2のみを診断範囲とするフォールバックモードの2種類の動作モードを備えている。   The diagnosis range set in the diagnosis range setting register 11H is dynamically changed by the error processing unit F3. The microcomputer 11 according to the present embodiment has, as operation modes, a default mode in which the entire area of the address space provided in the memory 11C (hereinafter, all memory areas) is a diagnosis range, and a fallback in which only the operation monitoring area M2 is a diagnosis range Two types of operation modes are provided.

デフォルトモードとは、診断範囲設定レジスタ11Hに、メモリ11Cが備えるアドレス空間の全領域が診断範囲として設定されている状態に相当する。前述のフォールバックモードとは、診断範囲設定レジスタ11Hに、動作監視用領域M2のみが診断範囲として設定されている状態に相当する。動作モードの遷移条件については別途後述する。ただし、マイコン11の起動直後においてはデフォルトモードに設定されているものとする。   The default mode corresponds to a state in which the entire area of the address space included in the memory 11C is set as the diagnosis range in the diagnosis range setting register 11H. The above-described fallback mode corresponds to a state in which only the operation monitoring region M2 is set as the diagnosis range in the diagnosis range setting register 11H. The operation mode transition condition will be separately described later. However, it is assumed that the default mode is set immediately after the microcomputer 11 is activated.

割込機能設定レジスタ11Gは、エラー制御部11Fを動作させるか否かの設定が登録されている。換言すれば、エラー制御部11Fによる割込み要求を有効とするか、無効とするかの設定が登録されている。エラー制御部11Fによる割込み要求を有効/無効は、フラグ等によって表現されればよい。エラー制御部11Fによる割込み要求が無効化されている場合、当然、エラー制御部11Fによる割り込み要求は破棄される。初期状態において割込機能設定レジスタ11Gには、エラー制御部11Fによる割込み要求を有効とする設定が登録されている。診断範囲設定レジスタ11Hは、前述のとおり、診断範囲とするアドレス範囲を記憶するレジスタである。   In the interrupt function setting register 11G, a setting as to whether or not to operate the error control unit 11F is registered. In other words, a setting for enabling or disabling the interrupt request by the error control unit 11F is registered. The validity / invalidity of the interrupt request by the error control unit 11F may be expressed by a flag or the like. When the interrupt request by the error control unit 11F is invalidated, the interrupt request by the error control unit 11F is naturally discarded. In the initial state, the interrupt function setting register 11G is registered with a setting for enabling an interrupt request by the error control unit 11F. As described above, the diagnosis range setting register 11H is a register that stores an address range as a diagnosis range.

出力回路11Jは、種々の信号を生成してマイコン11の外部に出力する回路モジュールである。例えば出力回路11Jは、エラー処理部F3からの指示に基づいて制御信号を生成して駆動回路12に出力する。また、出力回路11Jは、エラー処理部F3からの指示に基づいて遮断信号を生成して駆動回路12に出力し、スロットルモータ22への通電を遮断させる。さらに、出力回路11Jは、エラー処理部F3からの指示に基づいて点灯信号を生成して警告灯5へ出力し、警告灯5を点灯させる。   The output circuit 11J is a circuit module that generates various signals and outputs them to the outside of the microcomputer 11. For example, the output circuit 11J generates a control signal based on an instruction from the error processing unit F3 and outputs the control signal to the drive circuit 12. Further, the output circuit 11J generates a cutoff signal based on an instruction from the error processing unit F3 and outputs it to the drive circuit 12 to cut off the energization to the throttle motor 22. Further, the output circuit 11J generates a lighting signal based on an instruction from the error processing unit F3, outputs the signal to the warning lamp 5, and turns on the warning lamp 5.

通信IF11Kは、マイコン11と監視IC13とが相互通信するためのインターフェースとして機能するモジュールである。バス11Lは、マイコン11内部で各部がデータをやり取りするための伝送路である。   The communication IF 11K is a module that functions as an interface for the microcomputer 11 and the monitoring IC 13 to communicate with each other. The bus 11L is a transmission path for each unit to exchange data within the microcomputer 11.

駆動回路12は、マイコン11から入力される制御信号に応じた電流(以降、駆動電流)を生成する回路である。駆動回路12が生成した駆動電流は、スロットルモータ22に入力される。スロットルモータ22は、駆動電流に応じたトルクを出力する。また、駆動回路12は、マイコン11や後述する監視IC13から遮断信号が入力された場合には、スロットルモータ22への駆動電流の出力を停止するように(つまり通電を遮断するように)構成されている。通電の遮断はリレー等を用いて実現されれば良い。   The drive circuit 12 is a circuit that generates a current (hereinafter referred to as drive current) according to a control signal input from the microcomputer 11. The drive current generated by the drive circuit 12 is input to the throttle motor 22. The throttle motor 22 outputs a torque corresponding to the drive current. The drive circuit 12 is configured to stop the output of the drive current to the throttle motor 22 (that is, to cut off the energization) when a cutoff signal is input from the microcomputer 11 or a monitoring IC 13 described later. ing. The interruption of energization may be realized using a relay or the like.

監視IC13は、マイコン11が正常に動作しているか否かを監視するICである。マイコン11が正常に動作しているか否かは、ウォッチドッグタイマ方式や宿題回答方式などといった、周知の方法を用いて判定することができる。ウォッチドッグタイマ方式とは、ウォッチドッグタイマがマイコン11から入力されるウォッチドッグパルスによってクリアされずに満了した場合に、マイコン11が異常動作していると判定する方式である。   The monitoring IC 13 is an IC that monitors whether the microcomputer 11 is operating normally. Whether or not the microcomputer 11 is operating normally can be determined using a known method such as a watchdog timer method or a homework answering method. The watchdog timer method is a method for determining that the microcomputer 11 is operating abnormally when the watchdog timer expires without being cleared by a watchdog pulse input from the microcomputer 11.

また、宿題回答方式とは、外部監視装置30が予め定められた監視用の信号をマイコン11に送るとともに、マイコン11から返送されてきた回答が正解であるか否かによってマイコン11が正常であるか否かを判定する方式である。宿題回答方式においてマイコン11は、外部監視装置30から入力される監視用信号に基づいて所定の演算を行い、その演算結果を外部監視装置30に返送する。外部監視装置30は、マイコン11から受け取った演算結果が正常値と異なる場合、あるいは所定の制限時間内でマイコン11から演算結果が回答されない場合に、マイコン11は正常に動作していない(つまり異常動作している)と判定する。そして、マイコン11の異常動作を検知した場合には、遮断信号を駆動回路12に出力する。   The homework answering method is that the external monitoring device 30 sends a predetermined monitoring signal to the microcomputer 11 and the microcomputer 11 is normal depending on whether or not the answer returned from the microcomputer 11 is correct. This is a method for determining whether or not. In the homework answering method, the microcomputer 11 performs a predetermined calculation based on the monitoring signal input from the external monitoring device 30, and returns the calculation result to the external monitoring device 30. When the calculation result received from the microcomputer 11 is different from the normal value, or when the calculation result is not answered from the microcomputer 11 within a predetermined time limit, the external monitoring device 30 is not operating normally (that is, abnormal). It is operating). When an abnormal operation of the microcomputer 11 is detected, a cutoff signal is output to the drive circuit 12.

<データ読出関連処理について>
次に、メモリ11Cに保存されているデータに対するCPU11Dの読み出し要求をトリガとしてマイコン11が実施する一連の処理(以降、データ読出関連処理)について、図3に示すフローチャートを用いて説明する。図3に示すフローチャートは、前述のとおり、CPU11Dによる読み出し要求が発生した場合に開始されればよい。また、このフローチャートは、各アドレスを対象として、所定の時間間隔で定期的に実行されても良い。 <Data read related processing>
Next, a series of processing (hereinafter referred to as data reading related processing) performed by the microcomputer 11 using a read request from the CPU 11D for data stored in the memory 11C as a trigger will be described with reference to the flowchart shown in FIG. The flowchart shown in FIG. 3 may be started when a read request is generated by the CPU 11D as described above. Further, this flowchart may be periodically executed at predetermined time intervals for each address.

なお、本フロー開始時における診断範囲は、全メモリ領域に設定されているものとする。つまり、本フロー開始時におけるマイコン11の動作モードは、デフォルトモードである。   It is assumed that the diagnosis range at the start of this flow is set in all memory areas. That is, the operation mode of the microcomputer 11 at the start of this flow is the default mode.

まず、ステップS1ではメモリ異常検出部11Eが、CPU11Dによって指定されているアドレスのデータと、そのデータに対応する書込ECCを読みだしてステップS2に移る。ステップS2ではメモリ異常検出部11Eが、読み出したデータを元にECC(すなわち読出ECC)を算出してステップS3に移る。   First, in step S1, the memory abnormality detection unit 11E reads the data at the address designated by the CPU 11D and the write ECC corresponding to the data, and proceeds to step S2. In step S2, the memory abnormality detection unit 11E calculates ECC (that is, read ECC) based on the read data, and proceeds to step S3.

ステップS3ではステップS1で読みだした書込ECCとステップS2で算出した読出ECCとを比較することによって、読み出したデータに誤りが生じているか否かを判定する。誤りが生じている場合にはステップS3が肯定判定されてステップS4に移る。一方、誤りが生じていない場合には、ステップS3が否定判定されて、読み出したデータをCPU11Dに提供して本フローを終了する。なお、読み出したデータにビット誤りが生じていない場合とは、換言すれば書込ECCと読出ECCとが一致した場合である。   In step S3, it is determined whether or not an error has occurred in the read data by comparing the write ECC read in step S1 with the read ECC calculated in step S2. If an error has occurred, an affirmative determination is made in step S3 and the process proceeds to step S4. On the other hand, if no error has occurred, a negative determination is made in step S3, the read data is provided to the CPU 11D, and this flow ends. The case where no bit error has occurred in the read data is, in other words, the case where the write ECC and the read ECC match.

ステップS4ではメモリ異常検出部11Eが、読み出したデータに生じているビット誤りの内容が1ビット誤りであるか否かを判定する。読み出したデータに生じているビット誤りの内容が1ビット誤りである場合にはステップS4が肯定判定されてステップS5に移る。   In step S4, the memory abnormality detection unit 11E determines whether or not the content of the bit error occurring in the read data is a 1-bit error. If the content of the bit error occurring in the read data is a 1-bit error, an affirmative determination is made in step S4 and the process proceeds to step S5.

一方、読み出したデータに生じているビット誤りの内容が1ビット誤りではない場合にはステップS4が否定判定されてステップS6に移る。なお、読み出したデータに生じているビット誤りの内容が1ビット誤りではない場合とは、2ビット誤りが生じていることに相当する。したがって、読み出したデータに生じているビット誤りの内容が1ビット誤りではない場合にはメモリ異常検出部11Eはエラー制御部11Fに対して2ビット誤りが生じていることを通知する。   On the other hand, if the content of the bit error occurring in the read data is not a 1-bit error, a negative determination is made in step S4 and the process proceeds to step S6. A case where the content of the bit error occurring in the read data is not a 1-bit error corresponds to a 2-bit error occurring. Accordingly, when the content of the bit error occurring in the read data is not a 1-bit error, the memory abnormality detection unit 11E notifies the error control unit 11F that a 2-bit error has occurred.

ステップS5ではメモリ異常検出部11Eが誤り訂正処理を実行し、誤り訂正済みのデータをCPU11Dに提供して本フローを終了する。ステップS6ではメモリ異常検出部11Eが、メモリ異常が発生している箇所(以降、異常発生箇所)が、動作監視用領域M2であるか否かを判定する。なお、異常発生箇所は、ステップS1で読み出したデータが保存されているアドレス(つまり保存場所)である。したがって、ステップS6での判定処理は、本フローで対象としているアドレスが、動作監視用領域M2に属するアドレスであるか否かを判定する処理に相当する。   In step S5, the memory abnormality detection unit 11E executes error correction processing, provides error-corrected data to the CPU 11D, and ends this flow. In step S6, the memory abnormality detection unit 11E determines whether or not the location where the memory abnormality has occurred (hereinafter, the abnormality occurrence location) is the operation monitoring area M2. The abnormality occurrence location is an address (that is, a storage location) where the data read out in step S1 is stored. Therefore, the determination process in step S6 corresponds to a process of determining whether or not the target address in this flow is an address belonging to the operation monitoring area M2.

異常発生箇所が動作監視用領域M2である場合にはステップS6が肯定判定されてステップS7に移る。一方、異常発生箇所が動作監視用領域M2ではない場合にはステップS6が否定判定されてステップS9に移る。   If the abnormality has occurred in the operation monitoring area M2, an affirmative determination is made in step S6 and the process proceeds to step S7. On the other hand, when the abnormality occurrence location is not the operation monitoring area M2, a negative determination is made in step S6, and the process proceeds to step S9.

ステップS7ではエラー処理部F3が出力回路11Jと協働して、遮断信号を駆動回路12に出力する。すなわちフェールセーフ処理を実行してステップS8に移る。ステップS8では割込機能設定レジスタ11Gの登録内容を、エラー制御部11Fによる割込み要求を無効とする内容に書き換えて本フローを終了する。つまり、ステップS8ではエラー制御部11Fを無効化する。割込機能設定レジスタ11Gの登録内容の変更は、例えばOSやエラー処理部F3によって実施されれば良い。   In step S7, the error processing unit F3 cooperates with the output circuit 11J to output a cutoff signal to the drive circuit 12. That is, the fail safe process is executed and the process proceeds to step S8. In step S8, the content registered in the interrupt function setting register 11G is rewritten to the content that invalidates the interrupt request by the error control unit 11F, and this flow ends. That is, in step S8, the error control unit 11F is invalidated. The registered content of the interrupt function setting register 11G may be changed by, for example, the OS or the error processing unit F3.

ステップS9ではエラー処理部F3が、診断範囲を全メモリ領域から動作監視用領域M2へと縮退させる。このステップS9が請求項に記載の診断範囲縮退処理に相当する。このステップS9での処理が完了するとステップS10に移る。ステップS10ではエラー処理部F3が、出力回路11Jと協働して、警告灯5に対して点灯信号を出力する。つまり、異常通知処理を実施する。ステップS10での処理の実行をもって本フローを終了する。なお、いったん診断範囲を縮退させた後は、マイコン11が初期化されるまでその状態を維持するものとする。   In step S9, the error processing unit F3 reduces the diagnosis range from the entire memory area to the operation monitoring area M2. This step S9 corresponds to the diagnostic range degeneration process described in the claims. When the process in step S9 is completed, the process proceeds to step S10. In step S10, the error processing unit F3 outputs a lighting signal to the warning lamp 5 in cooperation with the output circuit 11J. That is, the abnormality notification process is performed. This flow is completed by executing the processing in step S10. Note that once the diagnosis range is degenerated, the state is maintained until the microcomputer 11 is initialized.

<実施形態のまとめ>
以上の構成において、マイコン11が起動してから2ビット誤りが検出されるまでは、診断範囲は全メモリ領域に設定されているため、メモリ異常検出部11Eは、メモリ11Cの全領域を診断対象としてデータ診断処理を実行する。例えば制御演算用領域M1に格納されているデータを読み出す場合にもメモリ異常検出部11Eは、データ診断処理を実施する。これによって、種々の領域に生じた1ビット誤りは正しいビット状態へと訂正されて、種々の演算に用いられる。 <Summary of Embodiment>
In the above configuration, since the diagnosis range is set to the entire memory area from when the microcomputer 11 is activated until a 2-bit error is detected, the memory abnormality detection unit 11E applies the entire area of the memory 11C to the diagnosis target. The data diagnosis process is executed. For example, even when data stored in the control calculation area M1 is read, the memory abnormality detection unit 11E performs data diagnosis processing. As a result, a 1-bit error generated in various areas is corrected to a correct bit state and used for various operations.

また、メモリ11Cの何れかのアドレスにおいて2ビット誤りが検出された場合には、当該ビット誤りが検出されたアドレスである異常発生箇所が、動作監視用領域M2に属するか否かを判定する。ここで、異常発生箇所が動作監視用領域M2以外の場合には、診断範囲を全メモリ領域から動作監視用領域M2へと縮退させる。すなわち、動作監視用領域M2以外のメモリ領域(以降、除外領域)を診断範囲から外し、除外領域に保存されているデータが正常であるか否かの診断を行わなくする。   Further, when a 2-bit error is detected at any address in the memory 11C, it is determined whether or not the abnormality occurrence location that is the address where the bit error is detected belongs to the operation monitoring area M2. Here, when the abnormality occurrence location is other than the operation monitoring area M2, the diagnosis range is reduced from the entire memory area to the operation monitoring area M2. That is, a memory area (hereinafter, excluded area) other than the operation monitoring area M2 is excluded from the diagnosis range, and the diagnosis as to whether the data stored in the excluded area is normal is not performed.

このような構成によれば、除外領域において、例えば隣接するメモリビット線間のショート等の半恒常的な異常が発生した場合であっても、その異常に起因してメモリ異常検出割込みを繰り返されることはない。その結果、単一のメモリ異常に由来してアクチュエータの制御ができなくなってしまう可能性を低減できる。   According to such a configuration, even when a semi-constant abnormality such as a short circuit between adjacent memory bit lines occurs in the excluded area, the memory abnormality detection interrupt is repeated due to the abnormality. There is nothing. As a result, it is possible to reduce the possibility that the actuator cannot be controlled due to a single memory abnormality.

一方、異常発生箇所が動作監視用領域M2である場合には、フェールセーフ処理を実施し、スロットルモータ22への通電を遮断する。仮に異常発生箇所が動作監視用領域M2である場合には、制御演算部F1が正常に駆動しているか否か、換言すればECU1を含むシステムの作動が予め定義された安全状態に該当するか否かを正常に判定できなくなっている可能性がある。   On the other hand, when the abnormality occurrence location is the operation monitoring region M2, fail-safe processing is performed, and energization to the throttle motor 22 is interrupted. If the abnormality occurrence location is the operation monitoring region M2, whether or not the control calculation unit F1 is normally driven, in other words, whether the operation of the system including the ECU 1 corresponds to a predefined safety state There is a possibility that it can no longer be determined normally.

そのような懸念に対して、本実施形態のように異常発生箇所が動作監視用領域M2である場合には、スロットルモータ22への通電を遮断する態様を採用することで、安全性を担保することができる。   In response to such a concern, when the abnormality occurrence location is the operation monitoring region M2 as in the present embodiment, safety is ensured by adopting a mode in which the power supply to the throttle motor 22 is cut off. be able to.

以上、本発明の実施形態を説明したが、本発明は上述の実施形態に限定されるものではなく、以降で述べる種々の変形例も本発明の技術的範囲に含まれ、さらに、下記以外にも要旨を逸脱しない範囲内で種々変更して実施することができる。もちろん、以下に示す種々の変形例は互いに矛盾が生じない範囲において組み合わせて実施することができる。   As mentioned above, although embodiment of this invention was described, this invention is not limited to the above-mentioned embodiment, The various modifications described below are also contained in the technical scope of this invention, and also in addition to the following However, various modifications can be made without departing from the scope of the invention. Of course, various modifications shown below can be implemented in combination within a range in which no contradiction occurs.

なお、前述の実施形態で述べた部材と同一の機能を有する部材については、同一の符号を付し、その説明を省略する。また、構成の一部のみに言及している場合、他の部分については先に説明した実施形態の構成を適用することができる。   In addition, about the member which has the same function as the member described in the above-mentioned embodiment, the same code | symbol is attached | subjected and the description is abbreviate | omitted. In addition, when only a part of the configuration is mentioned, the configuration of the above-described embodiment can be applied to the other portions.

[変形例1]
上述した実施形態では、1ビット誤りについてはメモリの異常として取り扱わずに、2ビット誤りのみをメモリ異常として取り扱う態様を開示したがこれに限らない。1ビット誤りも、メモリ異常として取り扱ってもよい。すなわち、1ビット誤りを検出した場合にも、その異常発生箇所に応じてフェールセーフ処理を実行したり、診断範囲を縮退させたりしても良い。 [Modification 1]
In the above-described embodiment, a mode has been disclosed in which only a 2-bit error is handled as a memory error without handling a 1-bit error as a memory error, but this is not a limitation. A 1-bit error may be treated as a memory abnormality. That is, even when a 1-bit error is detected, fail-safe processing may be executed or the diagnostic range may be degenerated depending on the abnormality occurrence location.

[変形例2]
動作監視用領域M2にメモリエラーが生じた場合(S6 YES)にエラー処理部F3が実施する処理の内容は上述した態様に限らない。フェールセーフ処理と合わせて異常通知処理を実行してもよい。 [Modification 2]
When a memory error occurs in the operation monitoring area M2 (S6 YES), the content of the process performed by the error processing unit F3 is not limited to the above-described mode. The abnormality notification process may be executed together with the fail-safe process.

[変形例3]
上述した実施形態では、異常発生箇所が動作監視用領域M2である場合に、フェールセーフ処理等を実施する態様を開示したが、これに限らない。異常発生箇所がエラー処理用領域M3である場合にも、フェールセーフ処理等を実施してもよい。つまり、エラー処理用領域M3を、前述の実施形態における動作監視用領域M2と同様に扱ってもよい。便宜上、前述の実施形態における動作監視用領域M2と同様に扱う領域を、保護対象領域と称する。 [Modification 3]
In the above-described embodiment, the aspect in which the fail-safe process or the like is performed when the abnormality occurrence location is the operation monitoring region M2 is disclosed, but the present invention is not limited thereto. Fail safe processing or the like may also be performed when the abnormality occurrence location is the error processing area M3. That is, the error processing area M3 may be handled in the same manner as the operation monitoring area M2 in the above-described embodiment. For convenience, the area handled in the same manner as the operation monitoring area M2 in the above-described embodiment is referred to as a protection target area.

そのような構成では、異常発生箇所が動作監視用領域M2又はエラー処理用領域M3である場合に、ステップS6が肯定判定されてステップS7に移る。また、異常発生箇所が動作監視用領域M2及びエラー処理用領域M3の何れでもない場合に、ステップS6からステップS9に移って診断範囲を縮退させることになる。縮退後の診断範囲は、動作監視用領域M2及びエラー処理用領域M3を含む範囲とすればよい。   In such a configuration, when the abnormality occurrence location is the operation monitoring area M2 or the error processing area M3, an affirmative determination is made in step S6 and the process proceeds to step S7. Further, when the abnormality occurrence location is neither the operation monitoring area M2 nor the error processing area M3, the diagnostic range is reduced from step S6 to step S9. The diagnostic range after degeneration may be a range including the operation monitoring area M2 and the error processing area M3.

また、メモリ11Cが備える記憶領域のうち、OSに割り当てられた領域(以降、OS用領域とする)で異常が発生した場合にも、診断範囲を縮退させるのではなく、フェールセーフ処理等を実施する態様としてもよい。つまり、OS用領域を保護対象領域に含めてもよい。   In addition, when an abnormality occurs in an area allocated to the OS (hereinafter referred to as an OS area) in the storage area provided in the memory 11C, fail-safe processing is performed instead of reducing the diagnosis range. It is good also as an aspect to do. That is, the OS area may be included in the protection target area.

さらには、制御演算用領域M1以外の全領域を保護対象領域としてもよい。何れの態様においても、異常発生箇所が制御演算用領域M1である場合には、当該領域を診断範囲から除外するように作動する。   Further, the entire area other than the control calculation area M1 may be the protection target area. In any aspect, when the abnormality occurrence location is the control calculation area M1, the operation is performed to exclude the area from the diagnosis range.

[変形例4]
以上では、診断範囲を2パターンのどちらかに設定する態様を開示したが、これに限らない。診断範囲として設定可能なパターンは3パターン以上であってもよい。 [Modification 4]
In the above, although the aspect which sets a diagnostic range to either of two patterns was disclosed, it is not restricted to this. Three or more patterns may be set as the diagnostic range.

また、機能ブロックに対応する領域単位で診断対象から除外していってもよい。さらには、異常発生箇所としてのアドレスのみを診断対象から除外していく態様としてもよい。ただし、異常発生箇所が、動作監視用領域M2などの保護対象領域として定義されている領域である場合には、診断範囲の縮退ではなく、フェールセーフ処理などを実行するものとする。   Moreover, you may exclude from the diagnostic object by the area unit corresponding to a functional block. Furthermore, it is good also as an aspect which excludes only the address as an abnormality generation location from a diagnostic object. However, when the abnormality occurrence location is an area defined as a protection target area such as the operation monitoring area M2, failsafe processing or the like is executed instead of degeneration of the diagnosis range.

[変形例5]
上述した実施形態ではECCを用いてメモリ11Cの異常を検出する態様を開示したが、これに限らない。その他の公知となっている方法によってメモリ11Cの異常を検出してもよい。例えば、或るアドレスに格納されているパラメータの値が、そのパラメータが取りうる値の範囲を逸脱している場合に、メモリ11Cに異常が生じていると判定してもよい。或るパラメータが取りうる値の範囲は、パラメータ毎に予め定義されていればよい。また、その定義ファイルはROM11Bに保存されていればよい。 [Modification 5]
In the above-described embodiment, the aspect of detecting an abnormality in the memory 11C using ECC is disclosed, but the present invention is not limited to this. The abnormality of the memory 11C may be detected by other known methods. For example, when the value of a parameter stored at a certain address deviates from the range of values that the parameter can take, it may be determined that an abnormality has occurred in the memory 11C. A range of values that can be taken by a certain parameter may be defined in advance for each parameter. Moreover, the definition file should just be preserve | saved at ROM11B.

[変形例6]
以上ではECU1の制御対象を電子スロットル2が備えるスロットルモータ22とする態様を開示したが、これに限らない。ECU1の制御対象は、その他のアクチュエータであっても良い。 [Modification 6]
Although the aspect which made the control object of ECU1 the throttle motor 22 with which the electronic throttle 2 is provided was disclosed above, it is not restricted to this. The control target of the ECU 1 may be another actuator.

1 ECU(電子制御装置)、2 電子スロットル、21 スロットル弁、22 スロットルモータ(アクチュエータ)、3 アクセルセンサ、4 スロットルセンサ、5 警告灯、11 マイコン(演算装置)、12 駆動回路、13 監視IC、11A 入力回路、11B ROM、11C メモリ、11D CPU(演算ユニット)、11E メモリ異常検出部、11F エラー制御部、11G 割込機能設定レジスタ、11H 診断範囲設定レジスタ、11J 出力回路、11K 通信IF、11L バス、F1 制御演算部、F2 動作監視部、F3 エラー処理部、M1 制御演算用領域、M2 動作監視用領域、M3 エラー処理用領域 1 ECU (electronic control unit), 2 electronic throttle, 21 throttle valve, 22 throttle motor (actuator), 3 accelerator sensor, 4 throttle sensor, 5 warning light, 11 microcomputer (computing device), 12 drive circuit, 13 monitoring IC, 11A input circuit, 11B ROM, 11C memory, 11D CPU (arithmetic unit), 11E memory abnormality detection unit, 11F error control unit, 11G interrupt function setting register, 11H diagnostic range setting register, 11J output circuit, 11K communication IF, 11L Bus, F1 control operation unit, F2 operation monitoring unit, F3 error processing unit, M1 control operation region, M2 operation monitoring region, M3 error processing region

Claims (6)

中央演算装置及びメモリを備える演算ユニット(11)と、前記メモリの異常を検出するメモリ異常検出部(11E)と、を備え、車両に搭載されたセンサから入力されるデータに基づいて前記車両に搭載された所定のアクチュエータの動作を制御する電子制御装置であって、
前記演算ユニットは、
前記センサから入力されるデータに基づいて前記アクチュエータの制御量を算出する制御演算部(F1)と、
前記メモリが備える記憶領域の一部である動作監視用領域を用いて前記制御演算部が正常に動作しているか否かを判定する動作監視部(F2)と、
前記メモリ異常検出部によって前記メモリの異常が検出された場合、及び、前記動作監視部によって前記制御演算部の異常動作が検出された場合に、その検出された異常事象に応じた処理を実行するエラー処理部(F3)と、を備え、
前記メモリが備える記憶領域において前記メモリ異常検出部による異常検出が行われる範囲である診断範囲は、変更可能に構成されており、
前記エラー処理部は、前記メモリ異常検出部によって前記メモリの異常が検出された場合には、異常発生箇所が前記動作監視用領域であるか否かを判定し、前記異常発生箇所が前記動作監視用領域ではない場合には、当該異常発生箇所を前記診断範囲から除外する診断範囲縮退処理を実行することを特徴とする電子制御装置。 An arithmetic unit (11) including a central processing unit and a memory, and a memory abnormality detection unit (11E) that detects an abnormality in the memory, the vehicle being based on data input from a sensor mounted on the vehicle An electronic control device for controlling the operation of a predetermined actuator mounted,
The arithmetic unit is
A control calculation unit (F1) that calculates a control amount of the actuator based on data input from the sensor;
An operation monitoring unit (F2) that determines whether or not the control operation unit is operating normally using an operation monitoring area that is a part of a storage area included in the memory;
When an abnormality of the memory is detected by the memory abnormality detection unit, and when an abnormal operation of the control calculation unit is detected by the operation monitoring unit, a process corresponding to the detected abnormal event is executed. An error processing unit (F3),
The diagnostic range, which is a range where abnormality detection by the memory abnormality detection unit is performed in the storage area provided in the memory, is configured to be changeable,
When the memory abnormality detection unit detects an abnormality in the memory, the error processing unit determines whether the abnormality occurrence location is the operation monitoring area, and the abnormality occurrence location is the operation monitoring. An electronic control device, wherein if it is not a use area, a diagnosis range degeneration process is performed to exclude the abnormality occurrence portion from the diagnosis range. 請求項1において、
前記エラー処理部は、前記異常発生箇所が前記動作監視用領域ではない場合には、前記診断範囲を前記動作監視用領域に限定することを特徴とする電子制御装置。 In claim 1,
The error processing unit limits the diagnosis range to the operation monitoring area when the abnormality occurrence location is not in the operation monitoring area. 請求項1又は2において、
前記エラー処理部は、前記異常発生箇所が前記動作監視用領域である場合には、前記アクチュエータの出力を停止させるフェールセーフ処理を実行することを特徴とする電子制御装置。 In claim 1 or 2,
The electronic control device according to claim 1, wherein the error processing unit executes fail-safe processing for stopping output of the actuator when the abnormality occurrence location is the operation monitoring region. 請求項1から3の何れか1項において、
前記メモリ異常検出部は、所定の誤り訂正符号を用いて前記メモリに保存されているデータの誤りを検出するものであり、
前記誤り訂正符号は、前記メモリに保存されているデータの1ビット誤り及び2ビット誤りを検出可能とする符号であって、
前記メモリ異常検出部は、前記メモリに保存されているデータに2ビット誤りを検出した場合には、2ビット誤りを検出したデータの保存場所を前記異常発生箇所として取り扱うことを特徴とする電子制御装置。 In any one of Claims 1-3,
The memory abnormality detection unit detects an error in data stored in the memory using a predetermined error correction code,
The error correction code is a code that enables detection of 1-bit error and 2-bit error in data stored in the memory,
The memory abnormality detection unit, when detecting a 2-bit error in the data stored in the memory, treats the storage location of the data in which the 2-bit error is detected as the abnormality occurrence location. apparatus. 請求項4において、
前記メモリ異常検出部は、1ビット誤りについては前記メモリの異常として取り扱わないことを特徴とする電子制御装置。 In claim 4,
The electronic control apparatus according to claim 1, wherein the memory abnormality detection unit does not handle a 1-bit error as an abnormality of the memory. 請求項4において、
前記メモリ異常検出部は、前記メモリから読み出したデータに1ビット誤りを検出した場合には、当該データの保存場所を前記異常発生箇所として取り扱うことを特徴とする電子制御装置。 In claim 4,
When the memory abnormality detection unit detects a one-bit error in the data read from the memory, the memory abnormality detection unit treats the storage location of the data as the abnormality occurrence portion.
JP2016136961A 2016-07-11 2016-07-11 Electronic control unit Pending JP2018010362A (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2016136961A JP2018010362A (en) 2016-07-11 2016-07-11 Electronic control unit
DE102017208872.9A DE102017208872A1 (en) 2016-07-11 2017-05-24 Electronic control unit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016136961A JP2018010362A (en) 2016-07-11 2016-07-11 Electronic control unit

Publications (1)

Publication Number Publication Date
JP2018010362A true JP2018010362A (en) 2018-01-18

Family

ID=60676732

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016136961A Pending JP2018010362A (en) 2016-07-11 2016-07-11 Electronic control unit

Country Status (2)

Country Link
JP (1) JP2018010362A (en)
DE (1) DE102017208872A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016012116A (en) * 2014-06-02 2016-01-21 カシオ計算機株式会社 Light source device and projection device

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5835160B2 (en) 2012-08-29 2015-12-24 株式会社デンソー Electronic control unit

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016012116A (en) * 2014-06-02 2016-01-21 カシオ計算機株式会社 Light source device and projection device

Also Published As

Publication number Publication date
DE102017208872A1 (en) 2018-01-11

Similar Documents

Publication Publication Date Title
US11609567B2 (en) Apparatus and method for controlling vehicle based on redundant architecture
CN107949847B (en) Electronic control unit for vehicle
US20160009235A1 (en) Failure management in a vehicle
JP6145345B2 (en) Electronic control unit for automobile
US8170750B2 (en) Parametric remedial action strategy for an active front steer system
JP2012095420A (en) Electric power steering device
JP4789420B2 (en) Data processing apparatus for vehicle control system
JP2018010362A (en) Electronic control unit
JP6075262B2 (en) Control device
JP6512065B2 (en) Electronic control unit
JP5835160B2 (en) Electronic control unit
JP6663371B2 (en) Electronic control unit
US20170199834A1 (en) Vehicle subsystem communication arbitration
JP5226653B2 (en) In-vehicle control device
JP7024582B2 (en) In-vehicle control device
JP6443202B2 (en) Electronic control device for vehicle
US20130055017A1 (en) Device and method for restoring information in a main storage unit
US12272187B2 (en) Information processing apparatus and information processing method
JP7200883B2 (en) electronic controller
JP2012174198A (en) Abnormality detection device and abnormality detection program
CN116438521A (en) Vehicle control system
JP6597489B2 (en) Vehicle control device
JP4851525B2 (en) Data processing system and driving method thereof
US12007836B2 (en) Parameterization process and system for a vehicle
JP6620688B2 (en) Electronic control unit