[go: up one dir, main page]

JP4061694B2 - 電子制御装置及び制御システム - Google Patents

電子制御装置及び制御システム Download PDF

Info

Publication number
JP4061694B2
JP4061694B2 JP03757198A JP3757198A JP4061694B2 JP 4061694 B2 JP4061694 B2 JP 4061694B2 JP 03757198 A JP03757198 A JP 03757198A JP 3757198 A JP3757198 A JP 3757198A JP 4061694 B2 JP4061694 B2 JP 4061694B2
Authority
JP
Japan
Prior art keywords
electronic control
abnormality information
control device
abnormal
abnormality
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP03757198A
Other languages
English (en)
Other versions
JPH11238005A (ja
Inventor
良文 尾関
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP03757198A priority Critical patent/JP4061694B2/ja
Priority to US09/238,738 priority patent/US6243627B1/en
Publication of JPH11238005A publication Critical patent/JPH11238005A/ja
Application granted granted Critical
Publication of JP4061694B2 publication Critical patent/JP4061694B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/26Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
    • F02D41/266Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor the computer being backed-up or assisted by another circuit, e.g. analogue
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/2406Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using essentially read only memories
    • F02D41/2425Particular ways of programming the data
    • F02D41/2487Methods for rewriting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating
    • G06F9/44568Immediately runnable code
    • G06F9/44573Execute-in-place [XIP]
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/22Safety or indicating devices for abnormal conditions

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • General Physics & Mathematics (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Stored Programmes (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)
  • Debugging And Monitoring (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、内蔵プログラムを書き換え可能であると共に、通信線を介して他の装置と接続される電子制御装置と、その電子制御装置に前記他の装置として接続される電子制御装置とに関し、更にそれらの電子制御装置からなる制御システムに関する。
【0002】
【従来の技術】
従来より、例えば特開平6−272611号公報に開示されているように、自動車のエンジン等を制御する電子制御装置として、電気的に記憶内容の書き換え(詳しくは記憶内容の消去及び書き込み)が可能なフラッシュメモリやEEPROM等の不揮発性メモリ(書換可能不揮発性メモリ)に制御用のプログラム(詳しくはプログラムコードや制御データ)を格納しておき、このようなプログラムを、市場への供給後でも書き換え可能に構成されたものが提案されている。
【0003】
即ち、この種のプログラム書換機能を有する電子制御装置は、通常時には、書換可能不揮発性メモリに格納されたプログラムに従ってエンジン等の制御対象を制御するのであるが、別途接続されたデータ書換装置から書き換え指令を受けると、上記書換可能不揮発性メモリの記憶内容を前記データ書換装置から送信されて来る新たなプログラムに書き換えるための書換処理を実行するように構成されている。
【0004】
一方、近年の車両においては、制御性の向上や車両内配線の削減を達成するために、通信線を介して接続された複数の電子制御装置(以下、ECUともいう)の各々が、互いにデータの送受信を行いながら各自に割り当てられた制御対象(エンジンやトランスミッション等)を制御する、といった車両制御システムが採用されている。
【0005】
そして、この様な車両制御システムでは、各ECUが、他のECU或いは通信線の良否を次の様な方法で判定して、異常判定時にその異常情報を記憶するようにしている。
例えば、各ECUは、通信相手である他のECUへ所定のデータ等を要求する要求メッセージを送信した後、予め定められた時間以内に前記通信相手のECUから応答メッセージが返って来ない場合に、その通信相手のECU或いは通信線が異常であると判定する。そして、異常と判定を判定すると、その異常を示す異常情報を、自己に備えられた不揮発性のメモリ(例えば、バッテリ電圧でバックアップされたバックアップRAMや、EEPROM等)に記憶する。
【0006】
【発明が解決しようとする課題】
ここで、上記の様な車両制御システムに、前述のプログラム書換機能を有するECUを適用すると、次のような問題が発生する。
つまり、プログラム書換機能を有するECUのプログラムを書き換えている最中においては、そのECUは、プログラムを書き換えるための書換処理を実行することとなるため、他のECUからの要求メッセージに対して応答メッセージを返すことができない。よって、要求メッセージを送信した前記他のECUは、プログラム書き換え中のECUが異常であると誤判定してしまう。
【0007】
そして、このような誤判定をしたECUが、プログラムの書き換えを行ったECUが異常であることを示す異常情報を記憶したままであると、以下のようなことが懸念される。
まず、一般に、この種の車両制御システムを構成する各ECUは、何れかのECUが異常であると判定すると、その異常と判定したECUから受信して取得すべき制御データを、所定のデフォルト値に設定して自己の制御動作を行うため、制御性が低下してしまう。
【0008】
また、車両の整備工場等で、各ECUに記憶されている異常情報を解析した場合に、異常であると誤判定されたECUが交換されてしまう。
尚、従来より、ECUで記憶されている異常情報を消去するための方法としては、例えばトヨタ・キャバリエ・サービスマニュアル等に記載されているように、下記の▲1▼〜▲3▼の方法がある。
【0009】
▲1▼:消去対象のECUに故障診断装置を接続して、その故障診断装置から特定の指令を与えることにより、消去対象のECUに異常情報を消去するための処理を行わせる。
▲2▼:車両に設けられたヒューズのうちで、消去対象のECUに対応したヒューズを取り外す。これにより、バッテリから消去対象のECUへの電源供給が遮断されるため、異常情報がバックアップRAMに記憶されているのであれば、その異常情報を消去することができる。
【0010】
▲3▼:車両のバッテリケーブルをバッテリ端子から外す。これにより、バッテリから全てのECUへの電源供給が遮断されるため、上記▲2▼と同様に、異常情報がバックアップRAMに記憶されているのであれば、その異常情報を消去することができる。
【0011】
しかしながら、上記▲2▼及び▲3▼の方法では、異常情報がEEPROMやフラッシュメモリ等の書換可能不揮発性メモリに記憶される場合には、その異常情報を消去することができない。また、異常情報がバックアップRAMに記憶されている場合であっても、一般に、バックアップRAMには、異常情報だけではなく、制御に用いる学習値等も記憶されるため、上記▲2▼及び▲3▼の方法では、それまで蓄積した貴重な学習値も消去してしまうこととなり、制御性の低下を招いてしまう。
【0012】
一方、上記▲1▼の方法では、車両制御システムを構成する各ECUに故障診断装置を取り替えながら接続していく、といった作業が必要となり、多大な手間がかかってしまう。そして、こうした手間は、制御システムを構成するECUの数が多くなるほど顕著になる。
【0013】
しかも、上記▲1▼〜▲3▼の方法では、人による作業が必要となるため、異常情報の消し忘れが起こる可能性がある。
本発明は、こうした問題に鑑みなされたものであり、通信線を介して接続された複数の電子制御装置のうちの少なくとも1つが、プログラム書換機能を有した電子制御装置である制御システムにおいて、プログラムの書き換えを行った電子制御装置が異常であることを示す異常情報が、他の電子制御装置に記憶されたままになってしまうことを確実に防止することを目的としている。
【0014】
【課題を解決するための手段、及び発明の効果】
上記目的を達成するためになされた請求項1に記載の電子制御装置は、複数の他の装置と共通の通信線を介して接続されると共に、記憶内容の書き換えが可能な不揮発性メモリを備えている。そして、この電子制御装置は、通常時には、前記不揮発性メモリに格納されたプログラムに従い動作することにより、前記他の装置とデータ通信を行うと共に、そのデータ通信で取得した制御データを用いて自己に割り当てられた制御対象を制御するが、外部からの書き換え指令を受けた場合には、前記不揮発性メモリに格納されているプログラムを、外部から与えられる新たなプログラムに書き換えるための書換処理を実行する。
【0015】
また、前記他の装置は、通信相手の装置から取得した制御データを用いて自己に割り当てられた制御対象を制御すると共に、通信相手の各装置が通信処理を正常に実行しているか否を判定して、異常と判定すると、その判定した装置が異常であることを示す異常情報を、当該他の装置に設けられた異常情報格納用メモリに記憶するようになっている。
よって、請求項1の電子制御装置は、自己の通信状態の良否(即ち、通信処理を正常に実行しているか否)が前記他の装置によって判定される。そして、前記他の装置により異常と判定されると、当該電子制御装置が異常であることを示す異常情報が前記他の装置に設けられた異常情報格納用メモリに記憶される。
このため、前述した如く、当該電子制御装置が書換処理を実行している時に、前記他の装置により、当該電子制御装置が異常であると誤判定されて、前記他の装置の異常情報格納用メモリに誤った異常情報が記憶されてしまう可能性がある。
【0016】
そこで、請求項1に記載の電子制御装置では、書換処理の実行が完了したときに、消去要求送信手段が、前記他の装置へ、当該電子制御装置の識別コードを含んだ消去要求を送信して、前記他の装置の異常情報格納用メモリに記憶されている異常情報のうち、当該電子制御装置に関する異常情報を消去させるようにしている。
従って、請求項1に記載の電子制御装置によれば、他の装置と共に制御システムを構成した場合において、プログラムの書き換えを行った当該電子制御装置が異常であるという誤った異常情報が、他の装置の異常情報格納用メモリに記憶されたままになってしまうことを、人による作業を一切必要とせずに確実に防止することができる。そして更に、前記異常情報格納用メモリとして、EEPROMやフラッシュメモリ等のバックアップRAM以外のメモリが用いられている場合であっても、誤った異常情報を確実に消去することができる。また、学習値等は消去せずに、異常情報だけを消去することができる。よって、「発明が解決しようとする課題」の項で述べた全ての問題を解決することができる。
【0017】
また特に、前記他の装置が2つ以上存在する場合には、次のような状態が考えられる。
例えば、他の装置が2つである場合について説明する。この場合において、請求項1に記載の電子制御装置を装置Aとし、他の2つの装置を、夫々、装置B,Cとすると、装置Bの異常情報格納用メモリには、異常情報として、装置Aに関する誤った異常情報と、装置Cに関する正しい異常情報とが記憶され、装置Cの異常情報格納用メモリには、異常情報として、装置Aに関する誤った異常情報のみが記憶されている、といった状態が考えられる。
【0018】
そして、こうした状態においては、装置B,Cの異常情報格納用メモリに格納されている異常情報のうち、装置Aに関する異常情報だけを消去することが好ましい。
そこで、請求項の電子制御装置では消去要求送信手段が当該電子制御装置に関する異常情報だけを消去させるための消去要求であって、当該電子制御装置の識別コードを含んだ消去要求を、他の装置へ送信するようにしている。
【0019】
そして、このような請求項の電子制御装置によれば、他の装置が複数存在する場合であっても、その各装置の異常情報格納用メモリに記憶された誤った異常情報(つまり、プログラムの書き換えを行った電子制御装置が異常であるという誤った異常情報)だけを消去することができる
【0020】
一方、請求項1の電子制御装置に前記他の装置として接続される電子制御装置は、請求項に記載の如く構成すれば良い。
即ち、請求項に記載の電子制御装置は、前記消去要求送信手段により送信されて来る消去要求を受信すると、異常情報格納用メモリ内の異常情報のうち、前記受信した消去要求に含まれている識別コードが示す装置に関する異常情報を消去する。
【0021】
そして、このような請求項に記載の電子制御装置の2つ以上と、請求項に記載の電子制御装置とを、請求項に記載の如く、共通の通信線を介して接続して、車両等を制御するための制御システムを構成すれば、プログラムの書き換えを行った電子制御装置が異常であるという誤った異常情報が、他の電子制御装置に記憶されたままになってしまうことを確実に防止可能な制御システムを得ることができる。
【0022】
一方、通信線で接続された3つ以上の各電子制御装置のプログラムを夫々書き換えることのできる制御システムを構築するためには、その各電子制御装置を、請求項に記載のように構成すれば良い。
即ち、請求項に記載の電子制御装置は、複数の他の装置と共通の通信線を介して接続されると共に、記憶内容の書き換えが可能な不揮発性メモリと、異常情報格納用メモリとを備えている。
【0023】
そして、この電子制御装置は、通常時には、前記不揮発性メモリに格納されたプログラムに従い動作することにより、前記他の装置とデータ通信を行うと共に、そのデータ通信で取得した制御データを用いて自己に割り当てられた制御対象を制御し、更に、前記他の装置が通信処理を正常に実行しているか否を判定して、異常と判定すると、その判定した装置が異常であることを示す異常情報を自己の異常情報格納用メモリに記憶る。これに対して、外部からの書き換え指令を受けた場合には、前記不揮発性メモリに格納されているプログラムを、外部から与えられる新たなプログラムに書き換えるための書換処理を実行する。
【0024】
また、前記他の装置も、通信相手の装置から取得した制御データを用いて自己に割り当てられた制御対象を制御すると共に、通信相手の各装置が通信処理を正常に実行しているか否を判定して、異常と判定すると、その判定した装置が異常であることを示す異常情報を、当該他の装置に設けられた異常情報格納用メモリに記憶するようになっている。
よって、請求項4の電子制御装置も、自己の通信状態の良否(即ち、通信処理を正常に実行しているか否)が前記他の装置により判定され、異常と判定されると、当該電子制御装置が異常であることを示す異常情報が前記他の装置に設けられた異常情報格納用メモリに記憶される。
そして特に、請求項に記載の電子制御装置では、書換処理の実行が完了したときに、消去要求送信手段が、他の装置の異常情報格納用メモリに記憶されている異常情報のうち、当該電子制御装置に関する異常情報を消去させるための消去要求であって、当該電子制御装置の識別コードを含んだ消去要求を、前記他の装置へ送信する。また逆に、他の装置から消去要求が送信されて来ると、消去手段が、その消去要求を受信して、当該電子制御装置に備えられた異常情報格納用メモリ内の異常情報のうち、前記受信した消去要求に含まれている識別コードが示す装置に関する異常情報を消去する。
【0025】
つまり、請求項に記載の電子制御装置は、請求項1に記載の電子制御装置の動作と、請求項に記載の電子制御装置の動作との、両方の動作を行うのである。
よって、請求項に記載の如く、請求項に記載の電子制御装置を3つ以上用意して、それらを共通の通信線で接続することにより車両等を制御するための制御システムを構成すれば、各電子制御装置のプログラムを任意に書き換えることが可能であると共に、プログラムの書き換えを行った電子制御装置が異常であるという誤った異常情報が他の電子制御装置に記憶されたままになってしまうことを、確実に防止可能な制御システムを得ることができる。
【0026】
また特に、プログラムの書き換えを行った電子制御装置が異常であるという誤った異常情報だけを消去することができる
【0027】
尚、記憶内容の書き換えが可能な不揮発性メモリとしては、フラッシュメモリ(フラッシュROM)やEEPROMが一般的であるが、電気的に書き換え可能な他のROMを用いても良い。また、バックアップRAMを用いることも可能である。一方、異常情報格納用メモリとしては、バックアップRAMやEEPROMが一般的であるが、フラッシュメモリを用いても良い。
【0028】
【発明の実施の形態】
以下、本発明の一実施形態について、図面を用いて説明する。
まず図1は、本発明が適用された実施形態の車両制御システムの全体構成を表すブロック図である。
【0029】
図1に示すように、本実施形態の車両制御システムは、車両の各部を制御するために、3つのECU(電子制御装置)1,2,3を備えている。例えば、ECU1は、制御対象としてエンジンを制御するECUであり、ECU2は、制御対象としてトランスミッションを制御するECUであり、ECU3は、制御対象としてブレーキ装置の油圧系統を制御するECUである。
【0030】
そして、上記3つのECU1,2,3は、車両内に配設された通信線4を介して、互いにデータ通信可能に接続されている。
また、上記各ECU1,2,3は、内蔵の制御プログラムをオンボード書き換え可能に構成されており、ECU1,2,3のうちの何れかの制御プログラムを書き換える際には、通信線4にデータ書換装置8が接続される。
【0031】
一方、本実施形態の車両制御システムにおいて、上記3つのECU1,2,3は、共通の電源ラインL1に接続されている。そして、その電源ラインL1にメインリレー6を介してバッテリ5の電圧(バッテリ電圧)が供給されることにより、全てのECU1,2,3が動作する。
【0032】
尚、メインリレー6は、車両のイグニッションスイッチ7がオンされるか、或いは、外部から駆動信号が与えられると、自己の接点が短絡(オン)して、バッテリ5のプラス端子と上記電源ラインL1とを接続するように構成されている。そして、本実施形態においては、ECU1が、メインリレー6に信号線L3を介して駆動信号を与えるようになっている。
【0033】
つまり、イグニッションスイッチ7がオンされると、メインリレー6の接点が短絡して、各ECU1,2,3に電源ラインL1を介してバッテリ電圧が供給され、それに伴い、各ECU1,2,3が動作を開始する。そして、ECU1は、イグニッションスイッチ7がオンしていることを、スイッチ状態検出用の信号線L2の電圧レベルによって検知すると、以後、当該車両制御システムの動作停止条件が成立したと判断するまでの間、上記信号線L3に駆動信号を出力して、メインリレー6の接点を短絡させたままにする。よって、イグニッションスイッチ7がオフされても、当該車両制御システムの動作停止条件が成立するまでは、メインリレー6の接点が短絡したままとなり、イグニッションスイッチ7がオフされ且つ上記動作停止条件が成立すると、全てのECU1,2,3への電源供給が遮断されることとなる。
【0034】
次に、各ECU1,2,3の内部構成について、ECU1を例に挙げて説明する。
図2に示すように、ECU1は、当該ECUの動作を司るシングルチップマイクロコンピュータ(以下、マイコンという)10と、マイコン10が通信線4を介して他のECU2,3或いはデータ書換装置8と通信を行うための送受信回路からなる通信IC22と、電源ラインL1からのバッテリ電圧を受けて、マイコン10や通信IC22を始めとするECU1内の各部に動作電圧VCC(例えば5V)を供給する電源IC20とを備えている。
【0035】
そして、マイコン10には、プログラムを実行する中央演算装置としてのCPU12と、CPU12が実行するプログラムを格納した不揮発性ROMとしてのフラッシュメモリ14と、CPU12の演算結果等を一時記憶するためのRAM16と、後述する異常情報や学習値等を継続して記憶するための不揮発性のEEPROM18とが内蔵されている。
【0036】
ここで、フラッシュメモリ14の記憶領域は、記憶内容の書き換えが可能な不揮発性メモリとしての書換可能領域14aと、記憶内容の書き換えが不可能な(或いは、記憶内容の書き換えが禁止されている)書換不能領域14bとに分けられている。そして、書換可能領域14aには、通常時に実行される制御プログラムが格納されており、書換不能領域14bには、リセット解除直後に実行されるブートプログラムが格納されている。
【0037】
尚、フラッシュメモリ14の書換可能領域14aは、所定の書換電圧VP (例えば12V)が印加された状態でデータの消去及び書き込みが可能な記憶領域である。そして、本実施形態では、電源IC20が、マイコン10からの指令に応じて、上記書換可能領域14aへ書換電圧VP を印加するようになっている。また、電源IC20は、イグニッションスイッチ7のオンに伴い上記動作電圧VCCの供給を開始してから、その動作電圧VCCが安定すると見なされる所定時間だけマイコン10へリセット信号を出力する、所謂パワーオンリセット機能も備えている。
【0038】
一方、他のECU2,3の構成は、マイコン10がメインリレー6を制御するための信号線L2,L3に接続されていないという点以外は、ECU1の構成と同様である。つまり、3つのECU1,2,3のうちで、ECU1のマイコン10だけが、図2に示す如く前述の信号線L2,L3に接続されている。
【0039】
以上のように構成されたECU1,2,3の各々においては、イグニッションスイッチ7がオンされて、電源IC20からマイコン10へのリセット信号が解除されると、マイコン10のCPU12が、まず、フラッシュメモリ14の書換不能領域14bに格納されているブートプログラムを実行し、データ書換装置8から自己のECUへの書き換え指令としての書換要求メッセージがない通常時には、そのブートプログラムにてフラッシュメモリ14の書換可能領域14aに格納されている制御プログラムをコールする。
【0040】
そして、その後は、マイコン10のCPU12が、上記書換可能領域14a内の制御プログラムを実行することにより、各ECU1,2,3は、以下のような通常時の動作を行う。
即ち、各ECU1,2,3は、通信線4を介して互いにデータ通信(データのやり取り)を行いながら各自に割り当てられた制御対象を制御すると共に、通信相手である他のECUの通信状態の良否を判定して、異常と判定すると、その判定したECUが異常であることを示す異常情報をEEPROM18に記憶する。尚、各ECU1,2,3は、例えば、通信相手のECUへ所定の制御データを要求する要求メッセージを送信した後、予め定められた設定時間以内に応答メッセージが返って来ない場合に、その通信相手のECUが異常であると判定する。
【0041】
また、3つのECU1,2,3のうち、ECU1の書換可能領域14aに格納される制御プログラムには、メインリレー6を制御するためのプログラムが追加されている。そして、ECU1は、前述したように、イグニッションスイッチ7がオンしていることを信号線L2の電圧レベルにより検知すると共に、当該車両制御システムの動作停止条件が成立したと判断するまでの間、メインリレー6へ信号線L3を介して駆動信号を出力する。
【0042】
一方、各ECU1,2,3に設けられたマイコン10のCPU12は、ブートプログラムの実行時に、データ書換装置8から自己のECUへ書換要求メッセージが送信されて来たことを検出すると、ブートプログラムを継続して実行することにより、フラッシュメモリ14の書換可能領域14aに格納されている制御プログラムを、データ書換装置8から通信線4を介して送信されて来る新たな制御プログラムに書き換えるための書換処理を行う。
【0043】
そこで次に、各ECU1,2,3のマイコン10で実行される主要な処理の詳細について、図3〜図5を用いて説明する。
まず図3は、フラッシュメモリ14の書換不能領域14bに格納されているブートプログラムの処理を表すフローチャートである。
【0044】
図3に示すように、イグニッションスイッチ7のオンに伴いマイコン10がリセット状態から動作を開始すると、最初に、上記書換不能領域14bに格納されているブートプログラムが起動する。
そして、まず、ステップ(以下、単に「S」と記す)110にて、RAM16や内部レジスタ等を初期化し、続くS120にて、データ書換装置8から自己のECUに対する書換要求メッセージが送信されて来たか否かを判定する。尚、データ書換装置8から送信される書換要求メッセージには、制御プログラムの書き換えを行うべきECUを示す識別コードが含まれている。そして、このS120では、データ書換装置8からの書換要求メッセージを受信し、且つ、その書換要求メッセージに含まれている識別コードが自己のECUを示すコードであれば、自己のECUに対する書換要求メッセージが送信されて来たと判定する。
【0045】
ここで、上記S120にて、自己のECUに対する書換要求メッセージが送信されて来ていないと判定した場合には、S130に進み、所定時間が経過したか否かを判定する。そして、所定時間が経過していなければ、S120に戻る。
また、上記S130で所定時間が経過したと判定した場合には、S140に進んで、フラッシュメモリ14の書換可能領域14aに格納されている制御プログラムへジャンプする。すると、その後は、S150に示すように、上記書換可能領域14a内の制御プログラムに基づく制御処理が実行されて、前述した通常時の動作が行われることとなる。
【0046】
一方、上記S120にて、データ書換装置8から自己のECUに対する書換要求メッセージが送信されて来たと判定した場合には、S160に移行して、S160〜S190の書換処理を行う。
即ち、まずS160にて、データ書換装置8から送信されて来る所定バイト分の書換データ(つまり、フラッシュメモリ14の書換可能領域14aに格納すべき新たな制御プログラムを構成するデータのうちの所定バイト分のデータ)を受信する。
【0047】
そして、続くS170にて、電源IC20からフラッシュメモリ14の書換可能領域14aへ書換電圧VP を印加させると共に、上記書換可能領域14aのうち、上記S160で受信した書換データを書き込むべき領域のデータを消去する。そして更に、続くS180にて、上記書換可能領域14aのうち、上記S170でデータ消去を行った領域に、上記S160で受信した書換データを書き込む。
【0048】
次に、S190に進んで、書換可能領域14aの全データの書き換えが終了したか否かを判定し、全データの書き換えが終了していない場合には、S160に戻る。
一方、上記S190にて、書換可能領域14aの全データの書き換えが終了したと判定した場合(つまり、書換処理が完了した場合)には、S200に進み、他のECUへ自己のECUに関する異常情報を消去させるための消去要求を送信する、消去要求送信手段としての処理を実行する。尚、この消去要求には、発信者であるECUを示す識別コードが含まれている。よって、他のECUは、その識別コードを検出することにより、上記消去要求を送信したECUを判別することができる。
【0049】
そして、上記S200で消去要求を送信した後、S140に移行して、フラッシュメモリ14の書換可能領域14aに格納されている制御プログラムへジャンプする。すると、S150に示すように、上記書換可能領域14a内の制御プログラムに基づく制御処理が実行されることとなるが、この場合には、上記S160〜S190の書換処理で書き換えられた新たな制御プログラムに基づく制御処理が実行されて、前述した通常時の動作が行われることとなる。
【0050】
次に図4は、上記書換可能領域14a内の制御プログラムに基づく制御処理のうちで、各ECU1,2,3が通信線4を介して送信されて来る各種メッセージに対応した動作を行うための受信処理を表すフローチャートである。尚、この受信処理は、通信線4を介してメッセージが送信されて来たことを検出する毎、或いは、所定時間毎に実行される。
【0051】
図4に示すように、各ECU1,2,3のマイコン10が受信処理の実行を開始すると、まずS210にて、送信されて来たメッセージを受信する。
そして、続くS220にて、上記S210で受信したメッセージが、他のECUからの前述した消去要求であるか否かを判定し、消去要求でなければ、S230に進んで、受信したメッセージに対応した処理を実行した後、当該受信処理を終了する。尚、メッセージに対応した処理とは、例えば、受信したメッセージが現在のエンジン回転数を示す制御データを要求するメッセージであれば、自己が取得している最新のエンジン回転数を示す制御データを返信する、といったデータのやり取りを行うための処理である。
【0052】
一方、S220にて、上記S210で受信したメッセージが消去要求であると判定した場合には、S240に移行して、図5に示す消去処理を実行する。
即ち、この消去処理では、まずS310にて、上記S210で受信した消去要求に含まれている識別コードを検出することにより、その消去要求を送信したECUを判別する。そして、その判別したECUに関する異常情報を、消去すべき異常情報として決定する。
【0053】
次に、S320にて、異常情報格納用メモリとしてのEEPROM18に格納されている異常情報のうち、上記S310で消去すべきと決定した異常情報(つまり、消去要求を送信したECUに関する異常情報)を消去する、消去手段としての処理を実行する。
【0054】
そして、このS320の処理を実行した後、当該消去処理を終了し、それに伴い、図4の受信処理が終了する。
以上詳述したように、本実施形態の車両制御システムでは、3つのECU1,2,3の各々が、通常時には(S120:NO,S130:YES)、フラッシュメモリ14の書換可能領域14aに格納された制御プログラムに従い動作することにより、他のECUとデータ通信を行いながら制御対象を制御すると共に、他のECUの通信状態の良否を判定して、異常と判定すると、その異常を示す異常情報を自己のEEPROM18に記憶するようにしている(S150)。
【0055】
また、3つのECU1,2,3の各々は、データ書換装置8から自己への書換要求メッセージを受けた場合には(S120:YES)、上記書換可能領域14aに格納されている制御プログラムを、データ書換装置8から送信されて来る新たな制御プログラムに書き換えるための書換処理を実行する(S160〜S190)。
【0056】
このため、本実施形態の車両制御システムでは、通信線4にデータ書換装置8を接続して、そのデータ書換装置8から3つのECU1,2,3のうちの所望のECUへ書換要求メッセージを送信させることにより、そのECUの制御プログラムを書き換えることができる。
【0057】
しかし、3つのECU1,2,3のうちの何れかが書換処理を実行している場合に、そのECUは、通常時の動作を行っている他のECUからのメッセージに対して応答することができない。よって、書換処理を実行中のECUは、他のECUによって異常であると誤判定され、その結果、上記他のECUのEEPROM18に、プログラムの書き換えを行ったECUが異常であるという誤った異常情報が記憶されてしまう可能性がある。
【0058】
そこで、本実施形態の車両制御システムでは、各ECU1,2,3が、書換処理の実行を完了したときに(S190:YES)、他のECUへ、自己に関する異常情報を消去させるための消去要求を送信するようにし(S200)、また、各ECU1,2,3は、他のECUからの消去要求に応じて、自分のEEPROM18に記憶されている異常情報を消去するようにしている(S310,S320)。
【0059】
従って、このようなECU1,2,3からなる本実施形態の車両制御システムによれば、制御プログラムの書き換えを行ったECUが異常であるという誤った異常情報が、他のECU(詳しくは、そのEEPROM18)に記憶されたままになってしまうことを、人による作業を一切必要とせずに確実に防止することができる。そして更に、異常情報を格納するメモリとして、電源供給を遮断しても記憶内容が保持されるEEPROM18を用いているにも拘らず、誤った異常情報を確実に消去することができる。また、EEPROM18に記憶されている貴重な学習値等を消去してしまうこともない。
【0060】
更に、上記実施形態では、各ECU1,2,3が、書換処理の実行を完了したときに、他のECUへ、自己のECUに関する異常情報だけを消去させるための消去要求を送信するようにしているため、誤った異常情報だけを消去できる
【0061】
以上、本発明の一実施形態について説明したが、本発明は、上記実施形態に限定されるものではなく、種々の形態を採り得ることは言うまでもない。
例えば、上記実施形態では、通信線4に接続される全てのECU1,2,3が、制御プログラムをオンボード書き換え可能に構成されていたが、例えば、1つのECU1だけをオンボード書き換え可能とする場合には、図3の処理がECU1だけで行われ、他のECU2,3では、図3の処理のうちのS110,S140,及びS150だけと、図4の処理が行われるようにすれば良い。尚、この例の場合、ECU1は、図5の消去処理を行う必要はない。
【0062】
一方、上記実施形態では、データ書換装置8が通信線4に接続されるようになっていたが、例えば、各ECU1,2,3にデータ書換装置8と接続するための専用コネクタを設け、データ書換装置8をECU1,2,3の各々に対して個別に接続するようにしても良い。
【0063】
また、上記実施形態のECU1,2,3は、異常情報や学習値をEEPROM18に記憶するように構成されていたが、バックアップRAMを設けて、異常情報や学習値をそのバックアップRAMに記憶させるようにしても良い。
また更に、上記実施形態のECU1,2,3では、記憶内容の書き換えが可能な不揮発性メモリとして、フラッシュメモリ14を用いたが、EEPROM等、電気的に書き換えが可能な他のROMを用いても良い。
【0064】
一方、上記実施形態では、車両を制御する車両制御システムについて説明したが、本発明は、車両以外の乗り物や工作機械等、他の対象物を複数のECUにより制御する制御システムに対しても、全く同様に適用することができる。
【図面の簡単な説明】
【図1】 実施形態の車両制御システムの全体構成を表すブロック図である。
【図2】 図1のECUの内部構成を表すブロック図である。
【図3】 図1の各ECUで動作開始直後から実行される処理を表すフローチャートである。
【図4】 図1の各ECUで実行される受信処理を表すフローチャートである。
【図5】 図4の受信処理中で実行される消去処理を表すフローチャートである。
【符号の説明】
1,2,3…電子制御装置(ECU) 4…通信線 5…バッテリ
6…メインリレー 7…イグニッションスイッチ 8…データ書換装置
L1…電源ライン L2,L3…信号線
10…シングルチップマイクロコンピュータ(マイコン) 12…CPU
14…フラッシュメモリ 14a…書換可能領域 14b…書換不能領域
16…RAM 18…EEPROM 20…電源IC 22…通信IC

Claims (5)

  1. 複数の他の装置と共通の通信線を介して接続されると共に、記憶内容の書き換えが可能な不揮発性メモリを備え、
    通常時には、前記不揮発性メモリに格納されたプログラムに従い動作することにより、前記他の装置とデータ通信を行うと共に、そのデータ通信で取得した制御データを用いて自己に割り当てられた制御対象を制御し、外部からの書き換え指令を受けた場合には、前記不揮発性メモリに格納されているプログラムを、外部から与えられる新たなプログラムに書き換えるための書換処理を実行するように構成されており、
    更に、前記他の装置は、通信相手の装置から取得した制御データを用いて自己に割り当てられた制御対象を制御すると共に、通信相手の各装置が通信処理を正常に実行しているか否を判定して、異常と判定すると、その判定した装置が異常であることを示す異常情報を、当該他の装置に設けられた異常情報格納用メモリに記憶するようになっている電子制御装置において、
    前記書換処理の実行が完了したときに、前記他の装置の異常情報格納用メモリに記憶されている異常情報のうち、当該電子制御装置に関する異常情報を消去させるための消去要求であって、当該電子制御装置の識別コードを含んだ消去要求を、前記他の装置へ送信する消去要求送信手段を備えたこと、
    を特徴とする電子制御装置。
  2. 請求項1に記載の電子制御装置に、前記他の装置として接続される電子制御装置であって、
    前記消去要求送信手段により送信されて来る前記消去要求を受信すると、前記異常情報格納用メモリ内の異常情報のうち、前記受信した消去要求に含まれている識別コードが示す装置に関する異常情報を消去すること、
    を特徴とする電子制御装置。
  3. 請求項1に記載の電子制御装置を備えると共に、請求項2に記載の電子制御装置を複数備え、それら電子制御装置を共通の通信線を介して接続したこと、
    を特徴とする制御システム。
  4. 複数の他の装置と共通の通信線を介して接続されると共に、記憶内容の書き換えが可能な不揮発性メモリと、異常情報格納用メモリとを備え、
    通常時には、前記不揮発性メモリに格納されたプログラムに従い動作することにより、前記他の装置とデータ通信を行うと共に、そのデータ通信で取得した制御データを用いて自己に割り当てられた制御対象を制御し、更に、前記他の装置が通信処理を正常に実行しているか否を判定して、異常と判定すると、その判定した装置が異常であることを示す異常情報を前記異常情報格納用メモリに記憶し、
    外部からの書き換え指令を受けた場合には、前記不揮発性メモリに格納されているプログラムを、外部から与えられる新たなプログラムに書き換えるための書換処理を実行するように構成されており、
    更に、前記他の装置も、通信相手の装置から取得した制御データを用いて自己に割り当てられた制御対象を制御すると共に、通信相手の各装置が通信処理を正常に実行しているか否を判定して、異常と判定すると、その判定した装置が異常であることを示す異常情報を、当該他の装置に設けられた異常情報格納用メモリに記憶するようになっている電子制御装置であって、
    前記書換処理の実行が完了したときに、前記他の装置の異常情報格納用メモリに記憶されている異常情報のうち、当該電子制御装置に関する異常情報を消去させるための消去要求であって、当該電子制御装置の識別コードを含んだ消去要求を、前記他の装置へ送信する消去要求送信手段と、
    前記他の装置から送信されて来る消去要求を受信すると、当該電子制御装置の前記異常情報格納用メモリ内の異常情報のうち、前記受信した消去要求に含まれている識別コードが示す装置に関する異常情報を消去する消去手段と、
    を備えていることを特徴とする電子制御装置。
  5. 請求項4に記載の電子制御装置を3つ以上備え、それら電子制御装置を共通の通信線を介して接続したこと、
    を特徴とする制御システム。
JP03757198A 1998-02-19 1998-02-19 電子制御装置及び制御システム Expired - Fee Related JP4061694B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP03757198A JP4061694B2 (ja) 1998-02-19 1998-02-19 電子制御装置及び制御システム
US09/238,738 US6243627B1 (en) 1998-02-19 1999-01-28 Electronic control system and method for erasing abnormality data generated during controller reloading

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP03757198A JP4061694B2 (ja) 1998-02-19 1998-02-19 電子制御装置及び制御システム

Publications (2)

Publication Number Publication Date
JPH11238005A JPH11238005A (ja) 1999-08-31
JP4061694B2 true JP4061694B2 (ja) 2008-03-19

Family

ID=12501227

Family Applications (1)

Application Number Title Priority Date Filing Date
JP03757198A Expired - Fee Related JP4061694B2 (ja) 1998-02-19 1998-02-19 電子制御装置及び制御システム

Country Status (2)

Country Link
US (1) US6243627B1 (ja)
JP (1) JP4061694B2 (ja)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19836126A1 (de) * 1998-08-10 2000-02-24 Siemens Ag Steuergerät
JP4488345B2 (ja) * 2004-04-08 2010-06-23 富士重工業株式会社 車載電子制御装置の通信装置
US7184864B2 (en) * 2004-04-19 2007-02-27 Haldex Brake Products Ltd. Vehicle system control unit with auxiliary control capabilities
JP4998816B2 (ja) * 2005-07-19 2012-08-15 スズキ株式会社 電子制御装置のプログラム書換えシステム
JP2007060791A (ja) * 2005-08-24 2007-03-08 Toyota Motor Corp 車両用電源供給装置
JP4302113B2 (ja) * 2006-03-24 2009-07-22 三菱電機株式会社 車載制御装置
JP4442617B2 (ja) * 2007-02-16 2010-03-31 株式会社デンソー 電子制御装置
JP4352078B2 (ja) 2007-03-28 2009-10-28 三菱電機株式会社 車載電子制御装置の給電制御回路
JP4600510B2 (ja) * 2008-04-23 2010-12-15 株式会社デンソー 制御装置およびプログラム
JP4557042B2 (ja) * 2008-04-23 2010-10-06 株式会社デンソー 電子制御装置、及び車両制御システム
JP4722194B2 (ja) * 2009-04-13 2011-07-13 本田技研工業株式会社 車両のための書き換えシステム
JP4706778B2 (ja) 2009-05-20 2011-06-22 株式会社デンソー 電子制御装置、及び車両制御システム
JP5959238B2 (ja) * 2012-03-06 2016-08-02 富士通テン株式会社 車両制御装置、及び、車両制御方法
DE102013201702C5 (de) * 2013-02-01 2017-03-23 Mtu Friedrichshafen Gmbh Verfahren und Anordnung zur Steuerung einer Brennkraftmaschine
JP5559908B2 (ja) * 2013-04-26 2014-07-23 ヤンマー株式会社 エンジン制御装置
DE102014214862A1 (de) * 2014-07-29 2016-02-04 Robert Bosch Gmbh Verfahren zum Betreiben eines Steuergeräts
US10031740B2 (en) * 2016-10-24 2018-07-24 Lear Corporation Method for programming vehicle electronic control modules
JP2019142095A (ja) * 2018-02-20 2019-08-29 京セラドキュメントソリューションズ株式会社 画像形成装置
US11356425B2 (en) 2018-11-30 2022-06-07 Paccar Inc Techniques for improving security of encrypted vehicle software updates
US11449327B2 (en) 2018-11-30 2022-09-20 Paccar Inc Error-resilient over-the-air software updates for vehicles
JP7109621B1 (ja) * 2021-05-06 2022-07-29 三菱電機株式会社 制御システム

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0544570A (ja) 1991-08-06 1993-02-23 Japan Electron Control Syst Co Ltd エンジン制御装置の暴走監視装置
JP2888720B2 (ja) 1993-03-22 1999-05-10 株式会社日立製作所 エンジン制御装置
EP0631213B1 (en) * 1993-06-17 2001-10-17 Denso Corporation Vehicle diagnosis system
JPH08102752A (ja) 1994-09-30 1996-04-16 Shimadzu Corp 通信装置の通信異常判断方法
JP3358412B2 (ja) * 1995-12-04 2002-12-16 トヨタ自動車株式会社 車両用電子制御装置
JPH09288573A (ja) * 1996-04-23 1997-11-04 Mitsubishi Electric Corp 車載制御装置
JP3991384B2 (ja) * 1996-07-15 2007-10-17 株式会社デンソー 電子制御装置
JP4241953B2 (ja) * 1998-01-19 2009-03-18 株式会社デンソー 車両用診断装置

Also Published As

Publication number Publication date
US6243627B1 (en) 2001-06-05
JPH11238005A (ja) 1999-08-31

Similar Documents

Publication Publication Date Title
JP4061694B2 (ja) 電子制御装置及び制御システム
JP3932654B2 (ja) 車両用制御装置及び車両制御システム
CN110347412B (zh) 电子控制单元固件升级管理方法、装置、设备和存储介质
US7493455B2 (en) Memory writing device for an electronic device
EP0945770B1 (en) Electronic control unit and method having program rewriting function
US20020029313A1 (en) Electronic control unit including flash memory and method and apparatus for storing control data group into flash memory
US8095263B2 (en) Electronic control unit and vehicle control system
JPH07107564A (ja) 車両用通信システムの異常検出装置
JP3870563B2 (ja) 電子制御装置及び不揮発性メモリの書き換え回数計数方法
JP2001123874A (ja) 電子制御装置のプログラム書換システム及びメモリ書換装置
JP4253979B2 (ja) 車載制御ユニットの検査方法
US12087103B2 (en) Electronic control unit and non-transitory computer readable medium storing session establishment program
JPH09128229A (ja) 電子制御装置
US6907495B2 (en) Rewriting system for rewriting a memory on a vehicle controller
JP2003172199A (ja) 車両用電子制御装置のプログラム書き換えシステム
JP4066499B2 (ja) 電子制御装置,電子制御システムおよび適合判断方法
JP2007092621A (ja) 電子制御装置
JP2004210183A (ja) 車載プログラムの書き換え制御装置
JP2016126699A (ja) 自動車用電子制御装置
JP3568704B2 (ja) 電子制御装置,メモリ書換装置及び電子制御装置のメモリ書換システム
JP4026495B2 (ja) サーバの切り換え制御装置
JP3960212B2 (ja) 電子制御装置
JPH09171459A (ja) 電子制御装置
JP3551855B2 (ja) 車両用制御装置
JP2004199491A (ja) 車載プログラムの書き換え制御装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040723

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070619

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070626

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070822

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20071204

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20071217

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110111

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120111

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130111

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140111

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees