電子制御装置
【課題】高速読み書きが容易に行なえる不揮発性メモリMRAMを用いた電子制御装置の安全性を向上する。
【解決手段】外部ツール108から制御プログラムが書込まれるMRAM120Aは、訂正符号付き書込回路122と復号化読出回路123と、エラー発生アドレス番号がエラーデータとして書込まれるエラーレジスタ125a・125bとを備え、エラー発生アドレスを指定して確認読出しを行なったときに依然としてエラーが発生していると重複異常判定を行なって異常報知される。MRAM120Aのプログラムメモリ領域は通常は書込禁止状態にあり、外部ツール108が接続されると禁止状態が解除される。エラーレジスタ125a・125bは書込禁止対象とならないデータメモリ領域に設けられている。
【解決手段】外部ツール108から制御プログラムが書込まれるMRAM120Aは、訂正符号付き書込回路122と復号化読出回路123と、エラー発生アドレス番号がエラーデータとして書込まれるエラーレジスタ125a・125bとを備え、エラー発生アドレスを指定して確認読出しを行なったときに依然としてエラーが発生していると重複異常判定を行なって異常報知される。MRAM120Aのプログラムメモリ領域は通常は書込禁止状態にあり、外部ツール108が接続されると禁止状態が解除される。エラーレジスタ125a・125bは書込禁止対象とならないデータメモリ領域に設けられている。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、高速読み書きが容易に行なえる不揮発性メモリであるMRAM(Magnetic Random Access Memory)をプログラムメモリ兼データメモリとして使用するマイクロプロセッサを備えた電子制御装置の改良に関するものである。
【背景技術】
【0002】
マイクロプロセッサを用いた電子制御装置において、マスクROMメモリ又はフラッシ
ュメモリ等の不揮発性メモリをプログラムメモリとし、バッテリバックアップされたRA
Mメモリを演算処理用のデータメモリとする従来のメモリ構成に代わって高速読み書きが
容易に行なえる不揮発性メモリであるMRAMを使用することが検討されている。
しかし、高速読み書きが容易に行なえる利便性の反面でノイズ誤動作等によって容易に格
納データが変化する可能性が高く、慎重な扱いが必要となる。
例えば、下記の特許文献1「車載制御装置」によれば、MRAMの記憶領域をRAM領域
とROM領域に分け、ROM領域に対する書込み禁止手段を備えると共に、RAM領域に
関してもメンテナンスツールが接続されたような場合に、誤って保存データが削除されな
いようにするために、制御端子からの指令によって書込み禁止が行なえるように構成し、
不用意な書込・消去が行なわれないように配慮されている。
【0003】
また、下記の特許文献2「固体記憶装置における誤り訂正符号および復号化」によれば、固体記憶装置(MRAM)に格納された誤り訂正符号(Error Correction Code)
化データを用いて誤り訂正復号化データを得るMRAMが開示され、限られたビット数の
範囲で符号誤りが発生した場合に、読み出しデータを復元するようになっている。その他
、この発明に関連する技術として下記の特許文献3「マイコンにおけるプログラムエリア
のデータ保全方法」によれば、メモリのプログラムエリアを適当な領域に区切って複数の
データブロックに区画すると共に、夫々のデータブロックには格納するプログラムデータ
のサムチェックデータと誤り訂正符合を併せて格納して、マイコンの起動時にはプログラ
ムデータのサムチェックを行い、サムチェックが一致しない場合にデータ修復プログラム
を起動してプログラムデータの異常個所を割り出し、更に該当箇所の正常データを算出し
てプログラムデータを修復する保全方法が開示されている。
【0004】
【特許文献1】特開2003-104137号公報(図3、要約)
【特許文献2】特開2003-115197号公報(図1、要約)
【特許文献3】特開2005-208958号公報(図1、要約)
【発明の開示】
【発明が解決しようとする課題】
【0005】
(1)従来技術の課題の説明
前記特許文献1によれば、誤った書き込みが実行されないための書込み禁止機能に力点があり、発生した誤りを是正したり、是正不可能な誤りの検出と異常処理対策について論及されておらず、単に書込み禁止を行なっただけでは安全性の高い制御装置を得ることができない欠点がある。また、前記特許文献2によれば、訂正可能な誤りビット数には制限があり、これを超えたビット数の誤りの対策処理について論及されていない。
例えば、4ビットのデータに対して3ビットの訂正符号を付加した場合には、1ビットの範囲内での誤りは訂正できるが、2ビットの符号誤りが発生すると訂正不可能となる問題点があり、この状態でマイクロプロセッサを稼動させることは危険である。
しかし、多数ビットの誤り訂正を可能にするためには訂正符号ビット長が大きくなってメモリが大型高価となる欠点がある。
また、前記特許文献3によれば、一つのデータの中に多数ビットの符号誤りが発生していても、元の正しいデータを演算推定することができるが、複数データに符号誤りが同時に散発発生していると、回復することはできない問題点がある。
【0006】
(2)発明の目的の説明
この発明の目的は、制限されたビット数の範囲で符号誤りを復元読出しするように構成
された誤り訂正符号付きのMRAMにおいて、MRAMに対する誤書込みの予防を行なうと共に修復書込みを可能にし、更には修復困難な異常発生を検出して安全性を向上した電子制御装置を提供することである。
【課題を解決するための手段】
【0007】
この発明による電子制御装置は、外部電源から給電され、入力センサ群の動作状況に応
じて電気負荷群を駆動制御するマイクロプロセッサを備え、当該マイクロプロセッサと協働する不揮発プログラムメモリに対しては、外部ツールから制御定数を含む制御プログラムが転送書込みされる電子制御装置であって、前記マイクロプロセッサは電気的に読み書きが行なえる不揮発プログラムメモリであるMRAM(Magnetic Random Access Memory)に格納された制御プログラムに基づいて動作すると共に、当該MRAMは前記外部ツールから転送書込みされた後は前記マイクロプロセッサの運転中において書換変更されることがない入出力制御プログラムを主体としたプログラムメモリ領域と、前記マイクロプロセッサの運転中に随時書換え変更されるデータメモリ領域とが異なるアドレス領域に分割されて格納されている。
【0008】
前記MRAMは更に、前記マイクロプロセッサからの書込指令信号に応動して指定アド
レスのメモリセルに対して誤り訂正符合を付加した保存データを書込むための訂正符号付き書込回路と、前記マイクロプロセッサからの読出指令信号に応動して指定アドレスのメモリセルから前記保存データを復号化して読出す復号化読出回路と、前記データメモリ領域に設けられたエラーレジスタと、前記プログラムメモリ領域に設けられた確認読出手段と重複異常判定手段となる制御プログラムとを包含すると共に、前記マイクロプロセッサからの書込指令信号は書込禁止/解除手段を介して前記MRAMに供給されるように構成されている。前記エラーレジスタは前記メモリセルの保存データに符号誤りがあるときに、誤り発生したアドレス番号がエラーデータとして格納され、当該保存エラーデータは前記マイクロプロセッサによってリセットされた後の最初に発生したエラーデータであるか、又は前記メモリセルの各アドレスの内容を順次読み出すことによって新たなアドレスに符号誤りがあれば順次更新されたエラーデータが格納される特定アドレスのメモリである。
【0009】
前記確認読出手段は前記エラーレジスタにエラーデータが格納されていたことに応動して、当該エラーデータをリセットしてからエラー発生アドレスを再度アクセスした後に、再度前記エラーレジスタの内容を読み出し確認する手段である。
前記重複異常判定手段は前記確認読出手段によって読み出されたエラーレジスタの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する手段である。
前記書込禁止/解除手段は前記制御プログラムが格納されている前記MRAMのプログラムメモリ領域に対しては前記マイクロプロセッサによる書込指令信号を前記MRAMに供給するのを禁止すると共に、前記マイクロプロセッサに対して外部ツールが接続されて、前記MRAMに対して制御プログラムを書込みする状態にあるときには前記書込禁止機能を解除し、外部ツールが接続されていないときにあっては前記制御プログラムの修復書込みを行なうときにも前記書込禁止機能を例外として解除する手段であり、前記重複異常判定手段が異常判定を行なったとき、又は複数回の異常判定を行なったことに応動して、少なくとも異常報知を含む異常処理が実行されるようになっている。
【発明の効果】
【0010】
上述したこの発明による電子制御装置によれば、マイクロプロセッサに対するプログラムメモリとして符号訂正機能を持った磁気ランダムメモリ(MRAM)が使用され、当該MRAMにはエラーレジスタが付加されて、確認読出手段に基づく重複異常判定手段と書込禁止/解除手段とを備えている。
従って、MRAMの自己訂正機能に加えて書込禁止/解除手段による誤書込みの予防処置が行なわれ、更に重複異常判定手段によってMRAMの異常発生を検出し、一時的なノイズ誤動作に過度に感応することがなくて異常処理が行えるので、制御装置の安全性が向上し、過大なECCデータ(Error Correct Code)によるMRAMの大型化を回避して、手軽に読み書きが行なえるMRAMを活用することができる効果がある。
【発明を実施するための最良の形態】
【0011】
発明の実施の形態1
(1)構成の詳細な説明
以下、この発明の第1実施例装置の回路ブロック図を示す図1について説明する。
図1において、電子制御装置100Aは例えば車載エンジンの制御装置であって、電子制御装置100Aには車載バッテリである外部電源101が電源リレーの出力接点103bを介して接続されていて、電源リレーの励磁コイル103aは電源スイッチ102を介して外部電源101に接続されている。
負荷電源リレーの励磁コイル104aの正端は電源スイッチ102を介して外部電源101に接続されているが、負端は後述の反転駆動回路素子114によって導通が制御されている。
後述のマイクロプロセッサ110Aから第一の出力インタフェース回路115aを介して給電駆動される第一の電気負荷群105aは、例えば燃料噴射弁の駆動用電磁コイル、エンジンの点火コイル(エンジン形式がガソリンエンジンの場合)、排気循環弁の駆動用モータ、エアコン用の電磁クラッチ、警報・表示器などがある。
また、第二の出力インタフェース回路115bを介して給電駆動される第二の電気負荷群105bは、例えば吸気スロットルの弁開度制御用モータを含んでいる。
なお、第一の電気負荷群105aは電源リレーの出力接点103cを介して給電されるのに対し、第二の電気負荷群105bは負荷電源リレーの出力接点104bを介して給電されている。
【0012】
後述のマイクロプロセッサ110Aに対して入力インタフェース回路116を介して入力される開閉センサ群106は、例えばエンジンのクランク角センサ、車速測定用のパルスセンサ等のエンジンの運転状況を監視するON/OFF動作の各種センサとなっている。
後述のマイクロプロセッサ110Aに対して多チャンネルAD変換器を含むアナログ入力インタフェース回路117を介して入力されるアナログセンサ群107は、例えばエンジンの吸
気量を測定するエアフローセンサ、アクセルペダルの踏込み度合いを検出するアクセルポジションセンサ、スロットル弁開度を検出するスロットルポジションセンサ、排気ガスセンサ、エンジンの冷却水の温度センサ等のエンジンの運転状況を監視する各種センサとなっている。
後述のマイクロプロセッサ110Aに対してシリアルインタフェース回路118を介して接続される外部ツール108は、製品の出荷検査や保守点検操作を行なうときに図示しない着脱コネクタを介して接続されるものである。
警報・表示器109は後述の異常発生記憶手段であるカウンタ回路140Aの比較出力端子OUT
から給電されて、カウンタ回路140Aが計数する異常発生回数が所定回数を超過したことを報知するようになっている。
【0013】
電子制御装置100Aの内部の構成として、マイクロプロセッサ110Aは不揮発性のプログラムメモリであるMRAM120Aと、例えばEEPROMメモリ又はマスクROMメモリである不揮発性のバックアップメモリ161Aと協働するようになっている。
マイクロプロセッサ110Aは電源リレーの出力接点103bから給電される制御電源ユニット
111が発生する安定化電圧によって動作し、給電保持指令出力DR1を発生することによって駆動回路素子113Aを介して電源リレーの励磁コイル103aに対する付勢を持続させるようになっている。
リセットパルス発生回路112Aは制御電源ユニット111の出力電圧の発生時点にリセットパルス信号を発生して、後述の論理和素子131を介してマイクロプロセッサ110Aを初期化したり、後述の異常発生記憶手段であるカウンタ回路140Aを初期化するようになっている。
【0014】
MRAM120Aは外部ツール108から転送書込みされた後はマイクロプロセッサ110Aの運転中において書換変更されることがない入出力制御プログラムを主体としたプログラムメモリ領域と、マイクロプロセッサ110Aの運転中に随時書換え変更されるデータメモリ領
域とが異なるアドレス領域に分割されて格納されている。
MRAM120Aは更に、マイクロプロセッサ110Aからの書込指令信号に応動して指定アドレスのメモリセル121に対して誤り訂正符合を付加した保存データを書込むための訂正符号付き書込回路122と、マイクロプロセッサ110Aからの読出指令信号に応動して指定アドレスのメモリセル121から前記保存データを復号化して読出す復号化読出回路123と、第一・第二のエラーフラグ生成回路124a・124bと、前記データメモリ領域に設けられた第一・第二のエラーレジスタ125a・125bと、前記プログラムメモリ領域に設けられた後述の確認読出手段と重複異常判定手段となる制御プログラムとを包含すると共に、マイクロプロセッサ110Aからの書込指令信号は書込禁止/解除手段150を介してMRAM120Aに供給されるように構成されている。
【0015】
第一のエラーフラグ生成回路124aは指定アドレスのメモリセル121の内容が復号化可能な範囲のビット数以内でエラーが発生していて、読み出された保存データが前記復号化読出回路123によって復元訂正されたデータであるときに、二値化論理情報である第一のエラーフラグFL1を発生する論理回路となっている。
第一のエラーレジスタ125aは指定アドレスのメモリセル121の内容が復号化可能な範囲の
ビット数以内でエラーを発生していて、読み出された保存データが復号化読出回路123によって復元訂正されたデータであるときに、当該エラーを発生したアドレス番号が第一のエラーデータとして格納される第一の特定アドレスに位置するエラーレジスタとなっている。なお、第一のエラーフラグ生成回路124aはあれば便利であるが、これがなくても第一のエラーレジスタ125aの内容を確認することによって第一のエラーが発生したかどうかを知ることができるものとなっている。
第一の現在値レジスタ126aは後述の第一の集計手段において使用されるメモリであり、第一の現在値レジスタ126aと第一のエラーレジスタ125aとはメモリセル121のデータメモリ領域に設けられている。
【0016】
第二のエラーフラグ生成回路124bは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数を超過するエラーが発生していて、読み出された保存データが保存当初のデータと一致しているかどうかが保証できないデータであるときに、二値化論理情報である第二のエラーフラグFL2を発生する論理回路となっている。
第二のエラーレジスタ125bは指定アドレスのメモリセル121の内容が復号化可能な範囲のビット数を超過するエラーを発生していて、読み出された保存データが保存当初のデータと一致しているかどうかが保証できないデータであるときに、当該エラー発生したアドレス番号が第二のエラーデータとして格納される第二の特定アドレスに位置するエラーレジスタとなっている。なお、第二のエラーフラグ生成回路124bはあれば便利であるが、これがなくても第二のエラーレジスタ125bの内容を確認することによって第二のエラーが発生したかどうかを知ることができるものとなっている。
第二の現在値レジスタ126bは後述の第二の集計手段において使用されるメモリであり、第二の現在値レジスタ126bと第二のエラーレジスタ125bとはメモリセル121のデータメモリ領域に設けられている。
【0017】
ウォッチドッグタイマ130はマイクロプロセッサ110Aが発生するパルス列信号であるウォッチドッグクリア信号WD1を監視して、ウォッチドッグクリア信号WD1のパルス幅が所定閾値を超過するとリセットパルス信号RS1を発生し、論理和素子131を介してマイクロプロセッサ110Aのリセット入力端子RST1に供給し、マイクロプロセッサ110Aを初期化・再起動するようになっている。
また、リセットパルス信号RS1は論理和素子141Aを介して後述の異常発生記憶手段であるカウンタ回路140Aの計数入力端子UPに供給されるようになっている。
なお、ウォッチドッグタイマ130はウォッチドッグクリア信号WD1のパルス幅が正常であるときに出力許可信号OUTEを発生して、第一・第二の出力インタフェース回路115a・115b
の出力発生が可能となっている。
異常発生記憶手段となるカウンタ回路140Aは、論理和素子141Aの論理和出力信号の発生回数を計数するものであって、論理和素子141Aの入力端子にはマイクロプロセッサ110Aが発生する第一・第二の異常検出信号ER1・ER2と、ウォッチドッグタイマ130が発生するリセットパルス信号RS1とが接続されている。
【0018】
駆動停止手段となるゲート回路142はマイクロプロセッサ110Aが発生する負荷給電指令出力DR2と反転駆動回路素子114との間に接続されていて、負荷給電指令出力DR2が論理レベル「H」であるときに負荷電源リレーの励磁コイル104aを付勢するようになっている
が、カウンタ回路140Aの比較出力端子OUTの論理レベルが「H」になると、励磁コイル104aが消勢されるようになっている。
また、このような異常確定状態においてはモード切換指令信号LPHがマイクロプロセッサ110Aに供給されるようになっている。
書込禁止/解除手段となる論理回路150は初段の論理積素子151と論理和素子152、及び後段の論理積素子153と論理和素子154によって構成されている。
初段論理積素子151に入力されるツール接続信号TOOLは外部ツール108が接続されたことを検出して論理レベルが「H」となる信号であり、アドレス信号A15はメモリセル121の
最上位アドレスがアクセスされたときに論理レベルが「H」となる信号であり、この実施例ではMRAM120Aの半分の領域(A15=「H」)がプログラムメモリ領域として使用され、残りの半分の領域(A15=「L」)がデータメモリ領域として使用されている。
【0019】
マイクロプロセッサ110Aが発生する書込指令信号WRはメモリセル121に対してアドレスを指定してからデータバスに送出されたデータをメモリセル121に書込むときに論理レベル「H」となる信号であって、後段論理積素子153の入力端子に接続されている。
マイクロプロセッサ110Aが発生する書込訂正指令信号WRCはメモリセル121内の誤り符合を訂正したいときに、誤り発生アドレスを指定しデータバスに補正データを送出してから論理レベルを「H」にする指令信号であって、当該指令信号は後段論理和素子154の入力端子に接続されている。
初段論理和素子152の入力端子には初段論理積素子151の論理出力と、アドレス信号A15の反転論理出力とが入力され、その論理和出力は後段論理積素子153の入力端子に接続されている。
後段論理和素子154の入力端子には後段論理積素子153の論理出力と書込訂正指令信号WRCとが入力され、その論理和出力が書込指令入力WRMとしてMRAM120Aに供給されている。バックアップメモリ161Aは例えば退避運転プログラムが格納されていて、メモリセル121の中の重要制御プログラムである退避運転プログラムに異常が発生したときに、バックアップメモリ161Aの内容がメモリセル121へ転送されるようになっている。
【0020】
(2)作用動作の詳細な説明
図1のとおりに構成されたこの発明の第1実施例装置において、電源スイッチ102が閉路されると電源リレーの出力接点103bが閉路して、制御電源ユニット111が外部電源101から給電されて、安定化された制御電源電圧Vccを発生し、リセットパルス発生回路112Aが発生するリセットパルス信号によってマイクロプロセッサ110Aとカウンタ回路140Aが初期化されてからマイクロプロセッサ110Aが動作を開始して、マイクロプロセッサ110Aはウォッチドッグクリア信号WD1を発生する。
なお、MRAM120Aに制御プログラムが格納される前の初回給電時にあっては、MRA
M120Aに予め格納されているブートプログラムに基づいて外部ツール108からシリアルインターフェース回路118を介して制御プログラムがMRAM120Aに転送されるようになっている。なお、外部ツール108によって制御プログラムを書込むときには、ツール接続信号TOOLと最上位アドレス信号A15の論理レベルが共に「H」となっており、その結果として前段論理積素子151と前段論理和素子152の出力論理は「H」となり、マイクロプロセッサ110Aの書込み指令信号WRは後段論理積素子153と後段論理和素子154を介してそのままMRAM120Aに対して書込指令入力WRMとして供給されることになる。
【0021】
一方、MRAM120Aに制御プログラムが格納された後に電源スイッチ102が閉路されたときには、マイクロプロセッサ110Aとカウンタ回路140Aの初期化が行なわれてからマイクロプロセッサ110Aが動作を開始し、ウォッチドッグクリア信号WD1を発生すると共に給電保持指令出力DR1と負荷給電指令出力DR2を発生し、負荷電源リレーの励磁コイル104aが付勢される。
この状態ではツール接続信号TOOLが論理レベル「L」となっており、その結果として最上位アドレス信号A15の論理レベルが共に「H」となっているプログラムメモリ領域に対してはたとえ書込指令信号WRの論理レベルが「H」になったとしても、後段論理積素子153の出力論理は「L」となって、書込指令信号WRはMRAM120Aには供給されないようになっている。
但し、上位アドレス信号A15の論理レベルが共に「L」となっているデータメモリ領域に対しては初段論理和素子152の出力論理が「H」となっているので、書込指令信号WRは有効となっている。
また、後述の書換訂正指令信号WRCはメモリ領域とは無関係に常に有効となっている。
【0022】
マイクロプロセッサ110Aはアナログセンサ群107から得られるアナログ信号の電圧レベルと、開閉センサ群106から得られるON/OFF信号の動作状態と、MRAM120Aのメモリセル121に格納されている入出力制御プログラムとに応動して、第一・第二の電気負荷群105a・105bの駆動制御を行なう。
マイクロプロセッサ110Aの運転中にノイズ誤動作等によって第一・第二の異常検出信号
ER1・ER2が異常検出パルス信号を発生したり、ウォッチドッグタイマ130がリセットパル
ス信号RS1を発生すると、論理和素子141Aを介してカウンタ回路140Aの計数入力端子UPに計数入力信号が供給され、カウンタ回路140Aは異常発生回数を計数し、これが所定値を
超過するとカウントアップして比較出力端子OUTの論理レベルが「H」となる。
その結果、警報・表示器109が作動すると共に、ゲート回路142によって負荷給電指令出
力DR2が遮断されて負荷電源リレーの励磁コイル104aが消勢され、マイクロプロセッサ
110Aに対してはモード切換指令信号LPHが供給される。
その結果、マイクロプロセッサ110Aはエンジン回転速度を抑制した退避運転モードへ移
行するようになっている。
【0023】
マイクロプロセッサ110Aの運転中に電源スイッチ102が開路すると、給電保持指令出力
DR1と駆動回路素子113Aによって励磁コイル103a・104aに対する付勢が持続し、マイクロプロセッサ110Aは学習記憶情報等の確認保存を実行した後に自ら給電保持指令出力DR1を停止し、その結果として励磁コイル103aが消勢されるようになっている。
電源スイッチ102を再投入すると、マイクロプロセッサ110Aとカウンタ回路140Aはリセットパルス発生回路112Aによって初期化されるので、カウンタ回路140Aのカウントアップがノイズ誤動作によるものであった場合には正常運転状態に回復することになる。
但し、MRAM120Aやその他のハードウエアの異常によって第一・第二の異常検出信号
ER1・ER2、又はウォッチドッグタイマ130がリセットパルス信号RS1を発生している場合
には、カウンタ回路140Aは再びこれらの異常信号を計数して、速やかに異常報知・負荷
電源リレーの停止等を行なうことになる。
【0024】
次に、図1のものの第一の異常判定に関する動作説明用フローチャートである図2について説明する。図2において、工程200はマイクロプロセッサ110AがMRAM120Aの異常判定動作を開始するステップ、続く工程201は後述の工程202において初期フラグがセットされているかどうかによって初回動作であるかどうかを判定し、初回動作であればYESの判定を行なって工程202へ移行し、初回動作でなければNOの判定を行なって工程203へ移行するステップ、工程202は前述の第一・第二のエラーフラグ生成回路124a・124bや第一・第二のエラーレジスタ125a・125bや第一・第二の現在値レジスタ126a・126aの内容を初期化すると共に、図示しない初期フラグをセットするステップであり、当該初期フラグは電源スイッチ102が投入された時点でリセットされているようになっている。
工程203は第一のエラーフラグFL1又は第一のエラーレジスタ125aの内容を読み出すタイミングであるかどうかを判定し、読出時期であればYESの判定を行なって工程203aへ移行し、読出時期でなければNOの判定を行なって中継端子4Aを介して図4の工程401へ移行するステップであり、読出時期であるか否かの判定は図示しないタイマによって計測され、たとえば約10msecに一度の割合でYESの判定を行なうようになっている。
【0025】
工程203aは第一のエラーフラグFL1又は第一のエラーレジスタ125aの内容を読み出して図示しない後書き優先のテンポラリレジスタに上書き保存すると共に、第一のエラーフラグ124a又は第一のエラーレジスタ125aの内容をリセットするステップである。
続く工程204aは工程203aで読みだされたテンポラリレジスタの内容が第一のエラーの発生状態であったかどうかによって、第一のエラーの発生時にはYESの判定を行なって工程205aへ移行し、第一のエラーが発生していなければNOの判定を行なって工程211へ移行するステップである。
なお、第一のエラーは符号訂正が可能であるエラーのことであり、第一のエラーフラグFL1の論理が正であるか、第一のエラーレジスタ125aの内容がメモリセル121のアドレスであった場合に第一のエラーが発生したと判定するものとなっている。
工程205aは第一の現在値レジスタ126aに対して第二の変分値Δ2として例えば「2」を加算するステップ、続く工程206aは第一の現在値レジスタ126aの値が正常側限界値である例えば「11」を超過したかどうかを判定し、超過でなければNOの判定を行なって工程207aへ移行し、超過であればYESの判定を行なって工程209へ移行するステップである。
【0026】
工程207aはエラー発生したアドレスを指定してその内容を読み出すステップであるが、工程203aにおいて第一のエラーレジスタ125aを読み出した場合であれば、当該第一のエラーレジスタ125aに格納されているエラー発生アドレスを指定して読み出すことになり、工程203aにおいて第一のエラーフラグFL1を読み出した場合であれば、工程207aではまず第一のエラーレジスタ125aの内容を読み出して、続いて当該第一のエラーレジスタ125aに格納されているエラー発生アドレスを指定して読み出すことになる。
従って、工程203aにおいて第一のエラーフラグFL1を用いた場合には、工程207aでは二度手間になるが、エラー発生のない通常状態であれば第一のエラーレジスタ125aの内容確
認を行なわないでも工程211へ速やかに移行できるようになっている。
【0027】
工程207aに続いて実行される工程203bは、第一のエラーフラグFL1又は第一のエラーレジスタ125aの内容を読み出して図示しないテンポラリレジスタに上書きすると共に、第一のエラーフラグFL1又は第一のエラーレジスタ125aの内容をリセットするステップである。続く工程204bは工程203bで読みだされたテンポラリレジスタの内容が第一のエラーの発生状態であったかどうかによって、第一のエラーの発生時にはYESの判定を行なって工程205bへ移行し、第一のエラーが発生していなければNOの判定を行なって工程211へ移行するステップである。工程205bは第一の現在値レジスタ126aに対して第三の変分値Δ3として例えば「4」を加算するステップ、続く工程206bは第一の現在値レジスタ126aの値が正常側限界値である例えば「11」を超過したかどうかを判定し、超過でなければNOの判定を行なって工程207bへ移行し、超過であればYESの判定を行なって工程209へ移行するステップである。
【0028】
工程207bはエラー発生したアドレスを指定してその内容を読み出すステップであるが、工程203bにおいて第一のエラーレジスタ125aを読み出した場合であれば、当該第一のエラーレジスタ125aに格納されているエラー発生アドレスを指定して読み出すことになり、工程203bにおいて第一のエラーフラグFL1を読み出した場合であれば、工程207bではまず第一のエラーレジスタ125aの内容を読み出して、続いて当該第一のエラーレジスタ125aに格納されているエラー発生アドレスを指定して読み出すことになる。
続く工程208は工程207bで読みだされた復号化データを訂正符号付き書込回路122を介して修復書込みするステップである。
続く工程207cは工程208によって修復書込みされたデータを複号化読出回路123を介して読み出すステップであり、工程207cに続いて工程203bへ復帰して、エラー発生が継続しているかどうかの読出しが行なわれるようになっている。
工程208による修復書込みの結果として、工程204bの判定がNOとなってエラーが発生していなければ工程211へ移行するが、依然として第一のエラーが発生しておれば工程205bによる変分値Δ3の加算が繰り返されることになり、続く工程206bによって超過判定がな
され工程209へ移行することになる。
【0029】
工程206a・206bの判定が上限超過であった場合に実行される工程209では、第一の異常検出信号ER1のパルスを発生すると共に、第一のエラーフラグFL1と第一のエラーレジスタ125aの内容をリセットし、第一の現在値レジスタ126aの値を例えば「9」に初期化し、中継端子3Aを経由して図3の工程303aへ移行するようになっている。
工程ブロック210aは工程204a・205a・206aによって構成された第一の散発異常判定手段となる工程群であり、工程ブロック210bは工程204b・205b・206bによって構成された第一の重複異常判定手段となる工程群である。
なお、工程ブロック210aでは不特定多数のアドレスで発生した第一のエラーによって第一の現在値レジスタ126aに対して第二の変分値Δ2が加算されるものであるのに対し、工程ブロック210bでは工程207a又は工程207cによって指定された異常発生中の特定アドレスに対する再確認動作によって第三の変分値Δ3が加算されるものとなっている。
【0030】
工程204a・204bの判定がNOであって第一のエラーが発生していなかったときに実行される工程211は第一の現在値レジスタ126aの値が例えば正常側限界値「0」になったかどうかを判定し、「0」になっていなければNOの判定を行なって工程212へ移行し、「0」になっておればYESの判定を行なって中継端子3Aを経由して図3の工程303aへ移行するステップである。工程212は第一の現在値レジスタ126aの値から変分値Δ1として例えば「1」を減算するステップであり、工程212に続いて中継端子3Aを介して図3の工程303aへ移行するようになっている。
【0031】
以上のフローチャートを概括説明すると、工程205a・212は第一の集計手段に相当しており、当該第一の集計手段205a・212は第一のエラーの発生に応動して第一の現在値レジスタ126aに第二の変分値Δ2を加算(又は減算)し、第一のエラーレジスタ125aと第一のエラーフラグFL1をリセットしておくと共に、第一のエラーが発生していなければ第一の変分値Δ1を減算(又は加算)して相互に減殺するように第一の現在値レジスタ126aに対する加減算補正を行い、前記第一のエラーの不作動状態が継続したときには所定の正常側限界値において上記第一の変分値Δ1による加減算補正を停止する手段であって、図の実施例ではエラー発生で加算されるものとして説明されている。
なお、実態としては第一のエラーレジスタ125aと第一のエラーフラグFL1は前述のテンポラリレジスタに格納された工程203aにおいてリセットされるものである。
また、第一の現在値レジスタ126aに対する加減算の方向を反対にして、現在値の異常側下限値を「0」、正常側上限値を「11」として、第一のエラーが発生すると第二の変分値Δ2を減算し、正常時には第一の変分値Δ1を加算するようにしてもよい。
工程206aは第一の散発異常検出手段に相当しており、当該第一の散発異常検出手段206aは、第一・第二の変分値Δ1・Δ2の累積によって第一の現在値レジスタ126aの値が所定の異常側限界値の域外となったときに第一の異常検出信号ER1を発生する手段であって、第二の変分値Δ2は第一の変分値Δ1よりも大きな値であって、しかも前記異常側限界値と正常側限界値との差である許容累積値よりも小さな値として設定されている。
【0032】
従って、ノイズ誤動作等によって第一のエラーが散発発生した場合に、直ちには第一の異常検出信号ER1は発生せず、ハードウエア異常によって継続的に第一のエラーが発生した場合には速やかに第一の異常検出信号ER1が発生するようになっている。
工程ブロック210aは第一の集計手段205aと第一の散発異常検出手段206aとを包含した第一の散発異常判定手段となるものである。
工程203bは第一の確認読出手段に相当し、当該第一の確認読出手段203bは第一のエラー
レジスタ125aに第一のエラーデータが格納されていたことに応動して、当該第一のエラーデータをリセット(工程203aによる)してからエラー発生アドレスを再度アクセス(工程207aによる)した後に、再度第一のエラーレジスタ125aの内容を読み出し確認する手段となっている。
工程208は訂正書込手段に相当し、当該訂正書込手段208は第一の確認読出手段203bによる読出し結果として依然として第一のエラーレジスタ125aに第一のエラーデータが格納されたことに応動して、復号化読出回路123を介して読み出されたエラー発生アドレスの保存データを、訂正符号付き書込回路122を介してMRAM120Aのエラー発生アドレスに対して上書き保存する修復書込手段となっている。
【0033】
工程205b・212は第一の集計手段に相当しており、当該第一の集計手段205bは第一の確認読出手段203bによって読出確認を行なったとき、又は訂正書込手段208によって訂正書き込みを行なった後の読出確認において、再度第一のエラーが発生する重複異常の発生時には、第一の現在値レジスタ126aに対して第二の変分値Δ2以上の値である第三の変分値Δ3を加算又は減算する手段となっている。
工程206bは第一の重複異常検出手段に相当しており、当該第一の重複異常検出手段206bは、第一・第三の変分値Δ1・Δ3の累積によって第一の現在値レジスタ126aの値が所定の異常側限界値の域外となったときに第一の異常検出信号ER1を発生する手段であって、第三の変分値Δ3は前記異常側限界値と正常側限界値との差である許容累積値よりも小さな値として設定されている。
第一の集計手段205bと第一の重複異常検出手段206bを包含して構成された工程ブロック210bは第一の重複異常判定手段に相当し、当該第一の重複異常判定手段210bは第一の確認読出手段203bによって読出確認を行なったとき、又は訂正書込手段208によって訂正書き込みを行なった後の読出確認において、再度第一のエラーレジスタ125aの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する手段となっている。
但し、以上で説明した実施例の場合は、複数回の確認読出と訂正書込を行なった場合に第一の異常検出信号ER1が発生するように設定されており、もしも第三の変分値Δ3を大きく設定すれば直ちに第一の異常検出信号ER1を発生することができるものである。
【0034】
次に、図1のものの第二の異常判定に関する動作説明用フローチャートである図3について説明する。
図3において、前述の工程209・211・212に続いて実行される工程303aは第二のエラーフラグFL2又は第二のエラーレジスタ125bの内容を読み出して図示しないテンポラリレジスタに格納すると共に、第二のエラーフラグFL2又は第二のエラーレジスタ125bの内容をリセットするステップ、続く工程304aは工程303aで読みだされたテンポラリレジスタの内容が第二のエラーの発生状態であったかどうかによって、第二のエラーの発生時にはYESの判定を行なって工程305aへ移行し、第二のエラーが発生していなければNOの判定を行なって工程311へ移行するステップである。
なお、第二のエラーは符号訂正が不可能であるエラーのことであり、第二のエラーフラグFL2の論理が正であるか、第二のエラーレジスタ125bの内容がメモリセル121のアドレスであった場合に第二のエラーが発生したと判定するものとなっている。
工程305aは第二の現在値レジスタ126bに対して第五の変分値Δ5として例えば「3」を加算するステップ、続く工程306aは第二の現在値レジスタ126bの値が正常側限界値である例えば「11」を超過したかどうかを判定し、超過でなければNOの判定を行なって工程307aへ移行し、超過であればYESの判定を行なって工程309aへ移行するステップである。
【0035】
工程309aは第二の異常検出信号ER2を発生すると共に第二のエラーフラグFL2と第二のエラーレジスタ125bの内容をリセットし、第二の現在値レジスタ126bの現在値を例えば
「9」に初期化してから中継端子4Aを介して図4の工程ブロック401aへ移行するステップである。
工程307aはエラー発生したアドレスを指定してその内容を読み出すステップであるが、工程303aにおいて第二のエラーレジスタ125bを読み出した場合であれば、当該第二のエラーレジスタ125bに格納されているエラー発生アドレスを指定して読み出すことになり、工程303aにおいて第二のエラーフラグFL2を読み出した場合であれば、工程307aではまず第二のエラーレジスタ125bの内容を読み出して、続いて当該第二のエラーレジスタ125bに格納されているエラー発生アドレスを指定して読み出すことになる。
従って、工程303aにおいて第二のエラーフラグFL2を用いた場合には、工程307aでは二度手間になるが、エラー発生のない通常状態であれば第二のエラーレジスタ125bの内容確
認を行なわないでも工程311へ速やかに移行できるようになっている。
【0036】
工程307aに続いて実行される工程303bは第二のエラーフラグFL2又は第二のエラーレジスタ125bの内容を読み出して図示しないテンポラリレジスタに格納すると共に、第二のエラーフラグFL2又は第二のエラーレジスタ125bの内容をリセットするステップである。続く工程304bは工程303bで読みだされたテンポラリレジスタの内容が第二のエラーの発生状態であったかどうかによって、第二のエラーの発生時にはYESの判定を行なって工程305bへ移行し、第二のエラーが発生していなければNOの判定を行なって工程311へ移行するステップである。
工程305bは第二の現在値レジスタ126bに対して第六の変分値Δ6として例えば「6」を加算するステップ、続く工程306bは第二の現在値レジスタ126bの値が正常側限界値である例えば「11」を超過したかどうかを判定し、超過でなければNOの判定を行なって工程303bへ復帰し、超過であればYESの判定を行なって工程309bへ移行するステップである。
【0037】
工程309bは第二の異常検出信号ER2を発生すると共に、第二のエラーフラグFL2と第二のエラーレジスタ125bの内容をリセットし、第二の現在値レジスタ126bの現在値を例えば「9」に初期化してから中継端子4Aを介して図4の工程ブロック401へ移行するステップである。
工程ブロック320aは工程304a・305a・306aによって構成された第二の散発異常判定手段となる工程群であり、工程ブロック320bは工程304b・305b・306bによって構成された第二の重複異常判定手段となる工程群である。
なお、工程ブロック320aでは不特定多数のアドレスで発生した第二のエラーによって第二の現在値レジスタ126bに対して第五の変分値Δ5が加算されるものであるのに対し、工程ブロック320bでは工程307aによって指定された異常発生中の特定アドレスに対する再確認動作によって第六の変分値Δ6が加算されるものとなっている。
【0038】
工程304a・304bの判定がNOであって第二のエラーが発生していなかったときに実行される工程311は第二の現在値レジスタ126bの値が例えば正常側限界値「0」になったかどうかを判定し、「0」になっていなければNOの判定を行なって工程312へ移行し、「0」になっておればYESの判定を行なって中継端子4Aを経由して図4の工程ブロック401へ移行するステップである。
工程312は第二の現在値レジスタ126bの値から変分値Δ4として例えば「1」を減算するステップであり、工程312に続いて中継端子4Aを介して図4の工程ブロック401へ移行するようになっている。
【0039】
以上のフローチャートを概括説明すると、工程305a・312は第二の集計手段に相当しており、当該第二の集計手段305a・312は第二のエラーの発生に応動して第二の現在値レジスタ126bに第五の変分値Δ5を加算(又は減算)し、第二のエラーレジスタ125bと第二のエラーフラグFL2をリセットしておくと共に、第二のエラーが発生していなければ第四の変分値Δ4を減算(又は加算)して相互に減殺するように第二の現在値レジスタ126bに対する加減算補正を行い、前記第二のエラーの不作動状態が継続したときには所定の正常側限界値において上記第四の変分値Δ4による加減算補正を停止する手段であって、図の実施例ではエラー発生で加算されるものとして説明されている。
しかし、第二の現在値レジスタ126bに対する加減算の方向を反対にして、現在値の異常側下限値を「0」正常側上限値を「11」として、第二のエラーが発生すると第五の変分値Δ5を減算し、正常時には第四の変分値Δ4を加算するようにしてもよい。
工程306aは第二の散発異常検出手段に相当しており、当該第二の散発異常検出手段306aは、第四・第五の変分値Δ4・Δ5の累積によって第二の現在値レジスタ126bの値が所定の異常側限界値の域外となったときに第二の異常検出信号ER2を発生する手段であって、第五の変分値Δ5は第四の変分値Δ4よりも大きな値であって、しかも前記異常側限界値と正常側限界値との差である許容累積値よりも小さな値として設定されている。
【0040】
従って、ノイズ誤動作等によって第二のエラーが散発発生した場合に、直ちには第二の異常検出信号ER2は発生せず、ハードウエア異常によって継続的に第二のエラーが発生した場合には速やかに第二の異常検出信号ER2が発生するようになっている。
工程ブロック320aは第二の集計手段305aと第二の散発異常検出手段306aとを包含した第二の散発異常判定手段となるものである。
工程303bは第二の確認読出手段に相当し、当該第二の確認読出手段303bは第二のエラーレジスタ125bに第二のエラーデータが格納されていたことに応動して、当該第二のエラーデータをリセット(工程303aによる)してからエラー発生アドレスを再度アクセス(工程307aによる)した後に、再度第二のエラーレジスタ125bの内容を読み出し確認する手段となっている。
【0041】
工程305b・312は第二の集計手段に相当しており、当該第二の集計手段305bは第二の確認読出手段303bによって読出確認を行なったときに、再度第二のエラーが発生する重複異常の発生時には、第二の現在値レジスタ126bに対して第五の変分値Δ5以上の値である第六の変分値Δ6を加算又は減算する手段となっている。
工程306bは第二の重複異常検出手段に相当しており、当該第二の重複異常検出手段306bは、第四・第六の変分値Δ4・Δ6の累積によって第二の現在値レジスタ126bの値が所定の異常側限界値の域外となったときに第二の異常検出信号ER2を発生する手段であって、第六の変分値Δ6は前記異常側限界値と正常側限界値との差である許容累積値よりも小さな値として設定されている。
第二の集計手段305bと第二の重複異常検出手段306bを包含して構成された工程ブロック320bは第二の重複異常判定手段に相当し、当該第二の重複異常判定手段320bは第二の確認読出手段303bによって読出確認を行なったとき、再度第二のエラーレジスタ125bの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する手段となっている。
但し、以上で説明した実施例の場合は、複数回の確認読出を行なった場合に第二の異常検出信号ER2が発生するように設定されており、もしも第六の変分値Δ6を大きく設定すれば直ちに第二の異常検出信号ER2を発生することができるものである。
【0042】
次に、図1のものの点検動作に関する動作説明用フローチャートである図4について説明する。
図4において、前述の工程203・309a・309b・311・312に続いて実行される工程ブロック401は、異常点検時期であるかどうかを判定して、異常判定時期でなければNOの判定を行なって動作終了工程420へ移行し、異常点検時期であれば異常点検領域を選択して工程402へ移行する工程群である。
工程ブロック401において、工程440は電源スイッチ102が閉路された直後であるかどうかを判定し、OFF→ONへの変化後であればYESの判定を行なって工程441へ移行し、既に閉路済又は開路済であれば工程442へ移行するステップ、工程441は運転開始点検の対象となる特定点検領域を選択するステップであり、当該特定点検領域は安全上の重要プログラム領域である例えば退避運転制御プログラムが選択されるようになっている。
工程442は電源スイッチ102が閉路しているか否かを判定し、閉路しておればYESの判定を行なって工程443へ移行し、開路しておればNOの判定を行なって工程444へ移行するステップであり、工程442がNOの判定を行なうのは一旦閉路されていた電源スイッチ102が開路されて、遅延復帰開閉素子103bによって給電持続されている状態である。
【0043】
工程443は定期点検時期であるかどうかを判定し、定期点検時期であればYESの判定を行なって工程444へ移行し、定期点検時期でなければNOの判定を行なって動作終了工程420へ移行するステップであり、当該工程443は略定期的にYESの判定を行なうようになっている。
工程444は定期点検又は停止前点検の対象となる分割点検領域を選択・更新するステップ
であり、定期点検の場合には後述の工程426が領域更新完了の判定を行なうことによって
一旦は動作終了工程420へ移行し、再び動作開始工程200が活性化された後の工程444において複数分割されている分割点検領域を更新選択するようになっている。
電源スイッチ102が開路された停止前点検の場合には、後述の工程426が領域更新未完了の判定を行なうことによって、中継端子4Bを介して再び工程444へ復帰して、複数分割されている分割点検領域を引き続き更新選択するようになっている。
【0044】
工程441又は工程444に続いて実行される工程402は、点検対象となったMRAM120Aのアドレス領域において、メモリセル121のアドレスを指定してメモリ内容を読み出してみるステップである。
続く工程403aは第二のエラーフラグFL2又は第二のエラーレジスタ125bの内容を読み出して図示しないテンポラリレジスタに格納すると共に、第二のエラーフラグFL2又は第二のエラーレジスタ125bの内容をリセットするステップである続く工程404aは工程403aで読みだされたテンポラリレジスタの内容が第二のエラーの発生状態であったかどうかによって、第二のエラーの発生時にはYESの判定を行なって工程407aへ移行し、第二のエラーが発生していなければNOの判定を行なって工程413aへ移行するステップである。
【0045】
工程407aはエラー発生したアドレスを指定してその内容を読み出すステップであるが、工程403aにおいて第二のエラーレジスタ125bを読み出した場合であれば、当該第二のエラーレジスタ125bに格納されているエラー発生アドレスを指定して読み出すことになり、工程403aにおいて第二のエラーフラグFL2を読み出した場合であれば、工程407aではまず第二のエラーレジスタ125bの内容を読み出して、続いて当該第二のエラーレジスタ125bに格納されているエラー発生アドレスを指定して読み出すことになる。
従って、工程403aにおいて第二のエラーフラグFL2を用いた場合には、工程407aでは二度手間になるが、エラー発生のない通常状態であれば第二のエラーレジスタ125bの内容確
認を行なわないでも工程413aへ速やかに移行できるようになっている。
工程407aに続いて実行される工程403bは第二のエラーフラグFL2又は第二のエラーレジスタ125bの内容を読み出して図示しないテンポラリレジスタに格納すると共に、第二のエラーフラグFL2又は第二のエラーレジスタ125bの内容をリセットするステップである。
続く工程404bは工程403bで読みだされたテンポラリレジスタの内容が第二のエラーの発生状態であったかどうかによって、第二のエラーの発生時にはYESの判定を行なって工程427へ移行し、第二のエラーが発生していなければNOの判定を行なって工程413aへ移行するステップである。
【0046】
工程413aは第一のエラーフラグFL1又は第一のエラーレジスタ125aの内容を読み出して図示しない後書き優先のテンポラリレジスタに上書き保存すると共に、第一のエラーフラグFL1又は第一のエラーレジスタ125aの内容をリセットするステップである。
続く工程414aは工程413aで読みだされたテンポラリレジスタの内容が第一のエラーの発生状態であったかどうかによって、第一のエラーの発生時にはYESの判定を行なって工程417aへ移行し、第一のエラーが発生していなければNOの判定を行なって工程422へ移行するステップである。
工程417aはエラー発生したアドレスを指定してその内容を読み出すステップであるが、工程413aにおいて第一のエラーレジスタ125aを読み出した場合であれば、当該第一のエラーレジスタ125aに格納されているエラー発生アドレスを指定して読み出すことになり、工程413bにおいて第一のエラーフラグFL1を読み出した場合であれば、工程417aではまず第一のエラーレジスタ125aの内容を読み出して、続いて当該第一のエラーレジスタ125aに格納されているエラー発生アドレスを指定して読み出すことになる。
【0047】
続く工程413bは第一のエラーフラグFL1又は第一のエラーレジスタ125aの内容を読み出して図示しない後書き優先のテンポラリレジスタに上書き保存すると共に、第一のエラーフラグFL1又は第一のエラーレジスタ125aの内容をリセットするステップである。
続く工程414bは工程413bで読みだされたテンポラリレジスタの内容が第一のエラーの発生状態であったかどうかによって、第一のエラーの発生時にはYESの判定を行なって工程421へ移行し、第一のエラーが発生していなければNOの判定を行なって工程422へ移行するステップである。
工程421は次工程418によって正常データの訂正書込みが実行されたかどうかを判定し、訂正未書込みであればNOの判定を行なって工程418へ移行し、訂正書込み済であればYESの判定を行なって工程429へ移行するステップである。
工程418は工程417aで読みだされた復号化データを訂正符号付き書込回路122を介して修復書込みするステップであり、当該工程418に続いて工程413bへ復帰して、正常書込みがおこなわれたかどうかが工程414bによって判定されるようになっている。
【0048】
工程422は今回の点検対象となっている領域の点検が完了したかどうかを判定し、未完了であればNOの判定を行なって工程402へ復帰して点検アドレスを更新し、点検完了であればYESの判定を行なって工程423へ移行するステップである。
工程423はサムチェック又はCRCチェックのためにグループ分けされている複数の点検領域について、どの領域をチェックするかを設定するステップであり、当該点検領域は例えば工程441又は工程444で選択された点検領域と同じ領域であるか、更に細分化された領域であってもよい。
続く工程424は工程423で設定された点検領域についてサムチェック又はCRCチェックを行なうステップ、続く工程425は工程424によるチェック結果が正常であったか否かによって、正常であればYESの判定を行なって工程426へ移行し、正常でなければNOの判定を行なって工程429へ移行するステップである。
工程426では電源スイッチ102が閉路されている定期点検の時にはYESの判定が行なわれ、電源スイッチ102が開路されている停止前点検の時には、先ずはNOの判定が行なわれて工程444へ復帰し、繰り返して複数の点検領域の点検を行なって全ての分割点検領域の点検が完了すればYESの判定を行なって動作終了工程420へ移行するようになっている。
【0049】
工程404bで第二のエラーが発生していると判定されたときに実行される工程427は、バックアップメモリ161Aからエラー発生アドレスに対応してデータを読み出して、MRAM120Aへ転送書込みするステップである。
続く工程428は工程427による転送書込みが初回の書込みであったかどうかを判定し、初回の書込みであったときにはYESの判定を行なって工程407aへ復帰して、正しく転送書込みが行なわれたかどうかを点検し、初回書込みではなかった場合にはNOの判定を行なって工程429へ移行するステップとなっている。
工程429では異常検出信号ER1又はER2を発生すると共に、図2の工程202でセットされていた初期フラグをリセットし、またMRAM120A内のエラーレジスタやエラーフラグをリセットしてから工程426へ移行する。
動作終了工程420ではマイクロプロセッサ110Aは他の制御動作を実行してから略定期的に図2の動作開始工程200へ移行するが、電源スイッチ102が開路されているときにはマイクロプロセッサ110Aが停止されて電源リレー103aが消勢され、給電回路が遮断されるようになっている。
【0050】
以上のフローチャートを概括説明すると、工程403bは第二の確認読出手段に相当し、当該第二の確認読出手段403bは第二のエラーレジスタ125bに第二のエラーデータが格納されていたこと(工程404aの判定による)に応動して、当該第二のエラーデータをリセットしてから(工程403aで読出し後にリセットされている)エラー発生アドレスを再度アクセス(工程407aによる)して、第二のエラーレジスタ125bの内容を読み出し確認する手段である。
工程407a・403b・404bによって構成された工程ブロック432は第二の重複異常判定手段に相当し、当該第二の重複異常判定手段432は第二の確認読出手段403bによって読出確認を行なったときに、第二のエラーレジスタ125bの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する手段である。
工程413bは第一の確認読出手段に相当し、当該第一の確認読出手段413bは第一のエラーレジスタ125aに第一のエラーデータが格納されていたことに応動して(工程414aの判定による)、当該第一のエラーデータをリセットしてから(工程413aで読出し後にリセットされている)エラー発生アドレスを再度アクセス(工程417aによる)した後に、再度前記第一のエラーレジスタ125aの内容を読み出し確認する手段である。
工程414b・421によって構成された工程ブロック431は第一の重複異常判定手段に相当し、当該第一の重複異常判定手段431は第一の確認読出手段413bによって読出確認を行なったときに、第一のエラーレジスタ125aの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する手段である。
【0051】
工程418は訂正書込手段に相当し、当該訂正書込手段418は第一の確認読出手段413bによる読出し結果として依然として第一のエラーレジスタ125aに第一のエラーデータが格納されたことに応動して、復号化読出回路123を介して読み出されたエラー発生アドレスの保存データを、前記訂正符号付き書込回路122を介してMRAM120Aのエラー発生アドレスに対して上書き保存する修復書込手段である。
工程427は訂正転送手段に相当し、当該訂正転送手段427は重複異常判定手段432が異常判定したことに応動して、バックアップメモリ161Aに格納されている退避運転プログラムを、前記訂正符号付き書込回路122を介してMRAM120Aエラー発生アドレスに対して上書き保存する修復書込手段である。
工程423・424・425によって構成された工程ブロック433は第三の異常判定手段に相当し、当該第三の異常判定手段433はMRAM120Aの特定区間領域の保存データを順次読出して、読出し区間全体のデータに関するサムチェック又はCRCチェックによって符号誤りの有無を判定する手段となっている。
【0052】
工程440から工程444によって構成された工程ブロック401は点検時期判定手段に相当し、当該点検時期判定手401は運転開始点検手段又は定期点検手段又は停止前点検手段のいずれかの手段を選択するものである。
なお、運転開始点検手段は電源スイッチ102が投入された直後において、MRAM120Aに保存されている特定領域の主要データについて重複異常判定手段431・432又は第三の異常判定手段433によって符号誤りの有無を点検する特定点検手段となっている。
また、定期点検手段は電源スイッチ102の投入継続状態において、MRAM120Aに保存されている全データを複数分割して、各分割データについて重複異常判定手段431・432又は第三の異常判定手段433によって符号誤りの有無を順次点検する分割更新点検手段となっている。
また、停止前点検手段は電源スイッチ102が遮断された直後の遅延復帰開閉素子103bの閉路期間において、MRAM120Aに保存されている全データについて重複異常判定手段431・432又は第三の異常判定手段433によって符号誤りの有無を点検する一括点検手段となっている。
【0053】
(3)その他の実施形態の説明
図1のとおりに構成されたこの発明の第1実施例装置において、MRAM120Aは第一・第二のエラーレジスタ125a・125bと第一・第二のエラーフラグ生成回路124a・124bを有するものとして説明したが、この発明の基本主旨としては少なくとも第一・第二のエラーレジスタ125a・125bのどちらか一方を備えておれば良い。
例えば、第二のエラーフラグ生成回路124bと第二のエラーレジスタ125bが共に存在しな
いときには図3の全体と図4の中の工程404a・407a・403b・404b・427・428を削除すればよい。
逆に、第一のエラーフラグ生成回路124aと第一のエラーレジスタ125aが共に存在しないときには図2の工程203aから工程212までと、図4の中の工程413aから工程418を削除して工程404bの判定がNOであったときには工程422へ移行するようにすればよい。
なお、第二のエラーフラグ生成回路124bと第二のエラーレジスタ125bが共に存在しない場合には、訂正不可能なエラーが発生したことを検出することができない安全上の問題点が発生するが、その代替手段となるのが第三の異常判定手段433となっている。
【0054】
第三の異常判定手段433としてサムチェック方式を採用した場合には、MRAM120Aの複数分割領域の各領域ごとに、各アドレスに格納されている複数データの全加算値の補数値を算出して、予めMRAM120Aに格納しておいて、点検時点では上記補数値を含む複数データの全加算値がゼロになれば正常であったと判定するものである。
第三の異常判定手段433として巡回冗長検査と呼ばれるCRCチェック(CyclicRedundany Check)方式を採用した場合には、点検領域の全データを高次多項式として所定の生成多項式で割った余りを付加しておいて、点検時点では同じ生成多項式で割って余りがゼロになれば正常であったと判定するものである。
若しも、第二のエラーレジスタ125bと第三の異常判定手段433との両方を備えておれば、
図13で後述するような異常訂正書込手段1327を設けることができる。
【0055】
また、第一・第二の現在値レジスタ126a・126bは図5の実施例で説明するように、共用現在値レジスタ126にすることもできる。
更に、カウンタ回路140Aで示された異常発生記憶手段は図9で示すようなフリップフロップ回路140Cに置きなおすことも可能である。
また、電源リレー103aを自己保持動作するための給電保持指令出力DR1に代わって、図5で示したようにウォッチドッグタイマ130が発生する出力許可信号OUTEを用いることも可能である。
また、第一・第二のエラーフラグFL1・FL2はマイクロプロセッサ110Aの通常の入力端子に接続して、その動作状態を略定期的に監視するように構成されているが、各フラグ信号をマイクロプロセッサ110Aの割り込み入力端子に接続し、より高頻度に各フラグ信号を監視して、少なくとも第一・第二の現在値レジスタ126a・126bに対する加算又は減算処理を行うようにすることができる。
【0056】
実施形態1及びその他の各実施形態において、MRAM内のエラーレジスタは複数段のシフトレジスタによって構成し、新規なエラーが発生する都度に旧エラーデータが移動して、やがてオーバーフローして消失するような形態にすることも可能である。
また、マイクロプロセッサによってエラーレジスタの内容が読み出された時点で、当該読み出しされたエラーデータは他のアドレス領域のMRAMに転送保存しておいて、異常発生の履歴情報を生成するための情報として活用することもできる。
実施形態1及びその他の各実施例において、MRAMの異常発生情報の保存領域は、自由に読み書きが行えるデータメモリ領域が使用されるものであって、第一エラー又は第二エラーの種別やエラー発生アドレスとエラー発生回数の累計値などの以上発生履歴情報が格納されるようになっている。
但し、外部ツールによる保守・点検作業の操作において貴重な履歴情報が不用意に消去されないようにするため、特定のパスワードを入力しなければ履歴情報の初期化ができないようにしておくことができる。
【0057】
(4)実施形態1の要点と特徴
この発明の実施形態1による電子制御装置100Aは、
外部電源101から給電され、入力センサ群106・107の動作状況に応じて電気負荷群105a・105bを駆動制御するマイクロプロセッサ110Aを備え、当該マイクロプロセッサと協働する不揮発プログラムメモリ120Aに対しては、外部ツール108から制御定数を含む制御プログラムが転送書込みされる電子制御装置100Aとなっている。
前記マイクロプロセッサ110Aは電気的に読み書きが行なえる不揮発プログラムメモリであるMRAM(MagneticRandom Access Memory)120Aに格納された制御プログラムに基づいて動作すると共に、当該MRAMは前記外部ツール108から転送書込みされた後は前記マイクロプロセッサ110Aの運転中において書換変更されることがない入出力制御プログラムを主体としたプログラムメモリ領域と、前記マイクロプロセッサ110Aの運転中に随時書換え変更されるデータメモリ領域とが異なるアドレス領域に分割されて格納されている。前記MRAM120Aは更に、前記マイクロプロセッサ110Aからの書込指令信号に応動して指定アドレスのメモリセル121に対して誤り訂正符合を付加した保存データを書込むための訂正符号付き書込回路122と、前記マイクロプロセッサ110Aからの読出指令信号に応動して指定アドレスのメモリセル121から前記保存データを復号化して読出す復号化読出回路123と、前記データメモリ領域に設けられたエラーレジスタ125a・125bと、前記プログラムメモリ領域に設けられた確認読出手段203b・303b・403b・413bと重複異常判定手段210b・320b・431・432となる制御プログラムとを包含すると共に、前記マイクロプロセッサ110Aからの書込指令信号は書込禁止/解除手段150を介して前記MRAM120Aに供給されるように構成されている。
【0058】
前記エラーレジスタ125a・125bは前記メモリセル121の保存データに符号誤りがあるときに、誤り発生したアドレス番号がエラーデータとして格納され、当該保存エラーデータは前記マイクロプロセッサ110Aによってリセットされた後の最初に発生したエラーデータであるか、又は前記メモリセル121の各アドレスの内容を順次読み出すことによって新たなアドレスに符号誤りがあれば順次更新されたエラーデータが格納される特定アドレスのメモリである。
前記確認読出手段203b・303b・403b・413bは前記エラーレジスタ125a・125bにエラーデータが格納されていたことに応動して、当該エラーデータをリセットしてからエラー 発生アドレスを再度アクセスした後に、再度前記エラーレジスタ125a・125bの内容を読み出し確認する手段である。
前記重複異常判定手段210b・320b・431・432は前記確認読出手段203b・303b・403b・413bによって読み出されたエラーレジスタ125a・125bの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する手段である。
前記書込禁止/解除手段150は前記制御プログラムが格納されている前記MRAM120Aのプログラムメモリ領域に対しては前記マイクロプロセッサ110Aによる書込指令信号を前記MRAMに供給するのを禁止すると共に、前記マイクロプロセッサ110Aに対して外部ツール108が接続されて、前記MRAM120Aに対して制御プログラムを書込みする状態にあるときには前記書込禁止機能を解除し、外部ツール108が接続されていないときにあっ
ては前記制御プログラムの修復書込みを行なうときにも前記書込禁止機能を例外として解除する手段であり、前記重複異常判定手段210b・320b・431・432が異常判定を行なったとき、又は複数回の異常判定を行なったことに応動して、少なくとも異常報知を含む異常処理が実行されるものである。
【0059】
前記MRAM120Aは更に訂正書込手段208・418を備えている。前記エラーレジスタは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数以内でエラーを発生していて、読み出された保存データが前記復号化読出回路123によって復元訂正されたデータであるときに、当該エラー発生したアドレス番号が第一のエラーデータとして格納される第一の特定アドレスに位置する第一のエラーレジスタ125aとなっている。 前記確認読出手段は前記第一のエラーレジスタ125aに第一のエラーデータが格納されていたことに応動して、当該第一のエラーデータをリセットしてからエラー発生アドレスを再度アクセスした後に、再度前記第一のエラーレジスタ125aの内容を読み出し確認する第一の確認読出手段203b・413bとなっている。
前記訂正書込手段208・418は前記第一の確認読出手段203b・413bによる読出し結果として依然として第一のエラーレジスタ125aに第一のエラーデータが格納されたことに応動して、前記復号化読出回路123を介して読み出されたエラー発生アドレスの保存データを、前記訂正符号付き書込回路122を介して前記MRAM120Aのエラー発生アドレスに対して上書き保存する修復書込手段となっている。
前記重複異常判定手段は前記第一の確認読出手段203b・413bによって読出確認を行なったとき、又は前記訂正書込手段208・418によって訂正書き込みを行なった後の読出確認において、再度前記第一のエラーレジスタ125aの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する第一の重複異常判定手段210b・431となっていて、前記書込禁止/解除手段150は前記訂正書込手段208・418による修復操作時にあっては、前記書込禁止機能を解除するものとなっている。
従って、書込禁止機能を一時的に解除して、誤った保存データを正常データに回復させておくことによって異常の波及拡大を抑制することができる特徴がある。
【0060】
前記MRAM120Aは前記第一のエラーレジスタ125aに加えて、第一のエラーフラグ生成回路124aを備えている。
前記第一のエラーフラグ生成回路124aは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数以内でエラーが発生していて、読み出された保存データが前記復号化読出回路123によって復元訂正されたデータであるときに、二値化論理情報である第一のエラーフラグFL1を発生する論理回路である。
前記第一のエラーフラグFL1は前記マイクロプロセッサ110Aの割込み入力端子に接続されていて、前記第一の確認読出手段203b・413bと前記訂正書込手段208・418は当該第一の エラーフラグFL1の発生に応動して実行されて、前記第一の重複異常判定手段210b・431による重複異常判定が行なわれるものであると共に、当該第一のエラーフラグFL1は前記マイクロプロセッサ110Aによってリセットされるものとなっている。
従って、マイクロプロセッサは第一のエラーレジスタの内容を定期的に読出して異常発生の有無を確認する必要がなく、第一のエラーフラグが発生したことに伴って第一のエラーレジスタの内容を確認してから、訂正書込みや異常処理を行えばよいので、遅滞なく異常処理が行えると共に、正常状態におけるマイクロプロセッサの制御負担を軽減することができる特徴がある。
【0061】
前記MRAM120Aは前記第一のエラーレジスタ125a又は第一のエラーフラグ生成回路124aの少なくとも一方を備えると共に、第一のエラーの発生に応動する第一の集計手段205a・212と第一の散発異常検出手段206aとによって構成された第一の散発異常判定手段210aと、異常発生記憶手段140Aとを備えている。
前記第一のエラーフラグ生成回路124aは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数以内でエラーが発生していて、読み出された保存データが前記復号化読出回路123によって復元訂正されたデータであるときに、二値化論理情報である第一のエラーフラグFL1を発生する論理回路である。
前記第一のエラーは前記第一のエラーレジスタ125aに第一のエラーデータが格納されているか否か、又は前記第一のエラーフラグFL1が発生したか否かを定期的に監視して検出されるエラーの有無に関する定期情報である。
前記第一の集計手段205a・212は第一の現在値レジスタ126aを備え、前記第一のエラーの発生に応動して当該第一の現在値レジスタ126aに第二の変分値Δ2を加算又は減算し、前記第一のエラーレジスタ125a又は第一のエラーフラグFL1をリセットしておくと共に、第一のエラーが発生していなければ第一の変分値Δ1を減算又は加算して相互に減殺するように第一の現在値レジスタ126aに対する加減算補正を行い、前記第一のエラーの不作動状態が継続したときには所定の正常側限界値において上記第一の変分値Δ1による加減算補正を停止する手段である。
【0062】
前記第一の散発異常検出手段206aは前記第一・第二の変分値Δ1・Δ2の累積によって前記第一の現在値レジスタ126aの値が所定の異常側限界値の域外となったときに第一の異常検出信号ER1を発生する手段であって、前記第二の変分値Δ2は第一の変分値Δ1よりも大きな値であって、しかも前記異常側限界値と正常側限界値との差である許容累積値よりも小さな値として設定されている。
前記異常発生記憶手段140Aは前記第一の重複異常判定手段210b・431が異常判定を行なったことと、前記第一の散発異常判定手段210aが異常判定を行なったことに応動して、少
なくとも異常報知を行なう手段となっている。
従って、MRAMの各アドレスにおいて符号誤りが散発しているような場合に、一時的なノイズ誤動作に感応せず、異常発生が継続すると速やかに散発異常の発生を検出して 異常処理を行うことができる特徴がある。
【0063】
前記第一の集計手段205bは、前記第一の確認読出手段203bによって読出確認を行なったとき、又は前記訂正書込手段208によって訂正書き込みを行なった後の読出確認において、再度前記第一のエラーが発生する重複異常の発生時には、前記第一の現在値レジスタ126aに対して前記第二の変分値Δ2以上の値である第三の変分値Δ3を加算又は減算するようになっている。
従って、第一の集計手段の現在値を監視することによって、散発異常判定と重複異常判定を一元化して、判定することができる特徴がある。
【0064】
前記エラーレジスタは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数を超過するエラーを発生していて、読み出された保存データが保存当初のデータと一致しているかどうかが保証できないデータであるときに、当該エラー発生したアドレス番号が第二のエラーデータとして格納される第二の特定アドレスに位置する第二のエラーレジスタ125bとなっている。
前記確認読出手段は前記第二のエラーレジスタ125bに第二のエラーデータが格納されていたことに応動して、当該第二のエラーデータをリセットしてからエラー発生アドレスを再度アクセスして、前記第二のエラーレジスタ125bの内容を読み出し確認する第二の確認読出手段303b・403bとなっている。
前記重複異常判定手段は前記第二の確認読出手段303b・403bによって読出確認を行なったときに、前記第二のエラーレジスタ125bの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する第二の重複異常判定手段320b・432となっている。
従って、読出しデータに符号誤りが発生していた場合、一時的なノイズ誤動作によるものでなかったかどうかを再確認読出しによって確認し、再確認の結果として正常読出しが行なえれば無事に制御が続行され、再確認異常であれば速やかに異常処理を実行することができる特徴がある。
【0065】
前記MRAM120Aは前記第二のエラーレジスタ125bに加えて、第二のエラーフラグ生成回路124bを備えている。
前記第二のエラーフラグ生成回路124bは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数を超過するエラーが発生していて、読み出された保存データが保存当初のデータと一致しているかどうかが保証できないデータであるときに、二値化論理情報である第二のエラーフラグFL2を発生する論理回路である。
前記第二のエラーフラグFL2は前記マイクロプロセッサ110Aの割込み入力端子に接続されていて、前記第二の確認読出手段303b・403bは当該第二のエラーフラグFL2の発生に応動して実行されて、前記第二の重複異常判定手段320b・432による重複異常判定が行なわれると共に、当該第二のエラーフラグFL2は前記マイクロプロセッサ110Aによってリセットされるものとなっている。
従って、マイクロプロセッサは第二のエラーレジスタの内容を定期的に読出して異常発生の有無を確認する必要がなく、第二のエラーフラグが発生したことに伴って第二のエラーレジスタの内容を確認してから、異常判定を行えばよいので、遅滞なく異常処理が行えると共に、正常状態におけるマイクロプロセッサの制御負担を軽減することができる特徴がある。
【0066】
前記MRAM120Aは前記第二のエラーレジスタ125b又は第二のエラーフラグ生成回路124bの少なくとも一方を備えると共に、第二のエラーの発生に応動する第二の集計手段305a・312と第二の散発異常検出手段306aとによって構成された第二の散発異常判定手段320aと、異常発生記憶手段140Aとを備えている。
前記第二のエラーフラグ生成回路124bは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数を超過するエラーが発生していて、読み出された保存データが保存当初のデータと一致しているかどうかが保証できないデータであるときに、二値化論理情報である第二のエラーフラグFL2を発生する論理回路である。
前記第二のエラーは前記第二のエラーレジスタ124bに第二のエラーデータが格納されているか否か、又は前記第二のエラーフラグFL2が発生したか否かを定期的に監視して検出されるエラーの有無に関する定期情報である。
前記第二の集計手段305a・312は第二の現在値レジスタ126bを備え、前記第二のエラー発生に応動して当該第二の現在値レジスタ126bに対して第五の変分値Δ5を加算又は減算し、前記第二のエラーレジスタ125b又は第二のエラーフラグFL2をリセットしておくと共に、第二のエラーが発生していなければ第四の変分値Δ4を減算又は加算して相互に減殺するように第二の現在値レジスタ126bに対する加減算補正を行い、前記第二のエラーの不作動状態が継続したときには所定の正常側限界値において上記第四の変分値Δ4による加減算補正を停止する手段である。
【0067】
前記第二の散発異常検出手段306aは前記第四・第五の変分値Δ4・Δ5の累積によって前記第二の現在値レジスタ126bの値が所定の異常側限界値の域外となったときに第二の異常検出信号ER2を発生する手段であって、前記第五の変分値Δ5は第四の変分値Δ4よりも大きな値であって、しかも前記異常側限界値と正常側限界値との差である許容累積値よりも小さな値として設定されている。
前記異常発生記憶手段140Aは前記第二の重複異常判定手段320b・432が異常判定を行なったことと、前記第二の散発異常判定手段306aが異常判定を行なったことに応動して、少なくとも異常報知を行なう手段となっている。
従って、MRAMの各アドレスにおいて符号誤りが散発しているような場合に、一時的なノイズ誤動作に感応せず、異常発生が継続すると速やかに散発異常の発生を検出して 異常処理を行うことができる特徴がある。
【0068】
前記第二の集計手段305bは、前記第二の確認読出手段303bによって読出確認を行なっても再度前記第二のエラーが発生する重複異常の発生時には、前記第二の現在値レジスタ126bに対して前記第五の変分値Δ5以上の値である第六の変分値Δ6を加算又は減算するようになっている。
従って、第二の集計手段の現在値を監視することによって、散発異常判定と重複異常判定を一元化して、判定することができる特徴がある。
【0069】
前記MRAM120Aは更に第三の異常判定手段433となる制御プログラムを包含すると共
に、異常発生記憶手段140Aを備えている。
前記第三の異常判定手段433は前記MRAM120Aの特定区間領域の保存データを順次読出して、読出し区間全体のデータに関するサムチェック又はCRCチェックによって符号誤りの有無を判定する手段である。
前記異常発生記憶手段140Aは前記重複異常判定手段210b・320b・431・432が異常判定を 行なったことと、前記第三の異常判定手段431が異常判定を行なったことに応動して、少なくとも異常報知を行なう手段となっている。
なお、MRAMに内蔵された符号誤り検出・訂正機能は、現時点の制御動作のためにアクセスされたアドレスについてのみ異常判定を行なうことができるものであって、現在の制御に関係のないアドレスについて点検を行なうものではない。
これに対し、第三の異常点検手段は現在の制御動作とは関係なく、MRAMの特定アドレス区間の全データを点検し、この特定区間を順次変更しながらMRAMの全データを点検することができるものである。従って、制御の安全性が更に高まる特徴がある。
【0070】
前記MRAM120Aは更に運転開始点検手段又は定期点検手段又は停止前点検手段のいずれかの手段を選択する点検時期判定手段401となる制御プログラムを包含している。前記運転開始点検手段は電源スイッチ102が投入された直後において、前記MRAM120Aに保存されている特定領域の主要データについて前記重複異常判定手段431・432又は前記第三の異常判定手段433によって符号誤りの有無を点検する特定点検手段である。
前記定期点検手段は電源スイッチ102の投入継続状態において、前記MRAM120Aに保存されている全データを複数分割して、各分割データについて前記重複異常判定手段431・432又は前記第三の異常判定手段433によって符号誤りの有無を順次定期点検する分割更新点検手段である。
前記停止前点検手段は電源スイッチ102が遮断された直後の遅延復帰開閉素子103bの閉路期間において、前記MRAM120Aに保存されている全データについて前記重複異常判定手段431・432又は前記第三の異常判定手段433によって符号誤りの有無を点検する一括点検手段である。従って、点検時期に応じて特定点検・分割更新点検・一括点検を行い、マイクロプロセッサの負担を軽減することができる特徴がある。
【0071】
前記マイクロプロセッサ110Aは車載エンジンの運転状態を検出する車載センサ群106・107の動作状態に応動して、少なくとも吸気量制御手段又は燃料噴射制御手段を制御するものであり、前記MRAM120Aは更に、通常運転手段となる制御プログラムに加えて退避運転手段となる制御プログラムを包含すると共に、異常発生記憶手段140Aを備えている。前記退避運転手段は前記吸気量制御手段による吸気量の抑制又は燃料噴射制御手段による給燃量の抑制によってエンジン回転速度を抑制した運転制御を実行する手段である。
前記異常発生記憶手段140Aは少なくとも前記重複異常判定手段210b・320b・431・432が 異常判定を行なったとなったことに応動して異常報知を行うと共に、前記通常運転手段による通常運転モードから前記退避運転手段による退避運転モードに選択切換えするものとなっている。
従って、MRAMに異常が発生して、高度な運転制御が行なえなくなっても、限定された機能による退避運転が行えるようにして、車両運行の安全性を維持することができる 特徴がある。
【0072】
前記MRAM120Aは更に訂正転送手段427となる制御プログラムを包含すると共に、前記マイクロプロセッサ110Aは前記退避運転手段となる制御プログラムが格納された不揮発性のバックアップメモリ161Aを備えている。
前記訂正転送手段427は前記重複異常判定手段432が異常判定したことに応動して、前記バックアップメモリ161Aに格納されている退避運転プログラムを、前記訂正符号付き書込回路122を介して前記MRAM120Aのエラー発生アドレスに対して上書き保存する修復書込手段である。
前記書込禁止/解除手段150は前記訂正転送手段427による修復操作時にあっては、前記書込禁止機能を解除するものとなっている。
従って、MRAMの特定領域に格納されている退避運転制御プログラムに異常が発生し場合には、バックアップメモリの内容をMRAMに転送書込みして退避運転を行うことができる特徴がある。
【0073】
前記マイクロプロセッサ110Aにはウォッチドッグタイマ130と異常発生記憶手段140Aとが併用されている。
当該ウォッチドッグタイマ130は前記マイクロプロセッサ110Aが発生するウォッチドッグクリア信号WD1のパルス幅が所定値を超過したことに伴ってリセットパルス信号RS1を発生して、当該マイクロプロセッサ110Aを初期化・再起動するタイマ回路である。
前記異常発生記憶手段140Aは前記重複異常判定手段210b・320b・431・432が異常発生を 判定したことに伴う異常検出パルス信号ER1・ER2と、前記ウォッチドッグタイマ130によるリセットパルス信号RS1の発生に応動して、一回のパルス信号又は複数回のパルス信号の発生に伴って、少なくとも異常報知を行なうと共に、前記通常運転手段による通常運転モードから前記退避運転手段による退避運転モードに選択切換えするためのフリップフロップ回路又はカウンタ回路によって構成された論理回路であって、当該論理回路に
は駆動停止手段142と記憶解除手段112Aとが付加されている。
【0074】
前記駆動停止手段142は前記異常発生記憶手段140Aが異常発生を確定記憶しているときに作用し、上記電気負荷群105a・105bの中の一部の特定電気負荷の駆動を禁止するゲート回路である。
前記記憶解除手段112Aは電源スイッチ102の再投入等による人為的操作に応動するリセットパルス信号よって前記異常発生記憶手段140Aによる異常記憶信号をリセットする手段となっている。
従って、異常発生原因がノイズ誤動作による一時的なものである場合には、電源スイッチの再投入によって正常回復することができる特徴がある。
【0075】
発明の実施の形態2
(1)構成の詳細な説明
以下、この発明の第2実施例装置の回路ブロック図を示す図5について、図1のものとの相違点を中心にして説明する。
なお、各図において共通符号は同一又は相当部分を示している。
図5において、電子制御装置100Bの外部には外部電源101と電源リレーや負荷電源リレーが設けられ、後述のマイクロプロセッサ110Bから第一の出力インタフェース回路115aを介して給電駆動される第一の電気負荷群105aと、第二の出力インタフェース回路115bを介して給電駆動される第二の電気負荷群105bと、入力インタフェース回路116を介して入力される開閉センサ群106と、アナログ入力インタフェース回路117を介して入力されるアナログセンサ群107と、シリアルインタフェース回路118を介して接続される外部ツール108と、異常発生記憶手段であるカウンタ回路140Bの比較出力端子OUTから駆動される警報・表示器109とが接続されている。
【0076】
電子制御装置100Bの内部の構成として、マイクロプロセッサ110Bは不揮発性のプログラムメモリであるMRAM120Bとバス接続され、協働する補助CPU160に対してシリアル接続されていて、当該補助CPU160はマスクROMメモリ等による補助プログラムメモリ161Bを備えている。
マイクロプロセッサ110Bは電源リレーの出力接点103bから給電される制御電源ユニット111が発生する安定化電圧によって動作し、後述の出力許可信号OUTEによって駆動回路素子113Bを介して電源リレーの励磁コイル103aに対する付勢を持続させるようになっている。リセットパルス発生回路112Bは電源スイッチ102の投入時点にリセットパルス信号を発生して、後述の論理和素子131を介してマイクロプロセッサ110Bを初期化したり、後述の異常発生記憶手段であるカウンタ回路140Bを初期化するようになっている。
【0077】
MRAM120Bは外部ツール108から転送書込みされた後はマイクロプロセッサ110Bの運転中において書換変更されることがない入出力制御プログラムを主体としたプログラムメモリ領域と、マイクロプロセッサ110Bの運転中に随時書換え変更されるデータメモリ領域とが異なるアドレス領域に分割されて格納されている。
MRAM120Bは更に、マイクロプロセッサ110Bからの書込指令信号に応動して指定アドレスのメモリセル121に対して誤り訂正符合を付加した保存データを書込むための訂正符号付き書込回路122と、マイクロプロセッサ110Bからの読出指令信号に応動して指定アドレスのメモリセル121から前記保存データを復号化して読出す復号化読出回路123と、第一・第二のエラーフラグ生成回路124a・124bと、前記データメモリ領域に設けられた第一・第二のエラーレジスタ125a・125bと、共用現在値レジスタ126と前記プログラムメモリ領域に設けられた後述の確認読出手段と重複異常判定手段となる制御プログラムとを包含すると共に、マイクロプロセッサ110Bからの書込指令信号は書込禁止/解除手段150を介してMRAM120Bに供給されるように構成されている。
【0078】
なお、第一のエラーフラグ生成回路124aはあれば便利であるが、これがなくても第一のエラーレジスタ125aの内容を確認することによって第一のエラーが発生したかどうかを知ることができるものとなっている。
同様に、第二のエラーフラグ生成回路124bはあれば便利であるが、これがなくても第二のエラーレジスタ125bの内容を確認することによって第二のエラーが発生したかどうかを知ることができるものとなっている。
しかし、この実施形態2においては第一のエラーフラグ生成回路124a又は第一のエラーレジスタ125aの少なくとも一方と、第二のエラーフラグ生成回路124b又は第二のエラーレジスタ125bの少なくとも一方と、第一のエラーレジスタ125a又は第二のエラーレジスタ125bの少なくとも一方を備えており、共用現在値レジスタ126は実施形態1における第一・第二の現在値レジスタ126a・126bを一つの現在値レジスタに集約したものとなっている。
【0079】
ウォッチドッグタイマ130はマイクロプロセッサ110Bが発生するパルス列信号であるウォッチドッグクリア信号WD1を監視して、ウォッチドッグクリア信号WD1のパルス幅が所定閾値を超過するとリセットパルス信号RS1を発生し、論理和素子131を介してマイクロプロセッサ110Bのリセット入力端子RST1に供給し、マイクロプロセッサ110Bを初期化・再起動するようになっている。
また、リセットパルス信号RS1は論理和素子141Bを介して後述の異常発生記憶手段であるカウンタ回路140Bの計数入力端子UPに供給されるようになっている。
なお、ウォッチドッグタイマ130はウォッチドッグクリア信号WD1のパルス幅が正常であるときに出力許可信号OUTEを発生して、第一・第二の出力インタフェース回路115a・115bの出力発生が可能となると共に、駆動回路素子113Bを介して電源リレーの励磁コイル103aを自己保持駆動するようになっている。
【0080】
異常発生記憶手段となるカウンタ回路140Bは、論理和素子141Bの論理和出力信号の発生回数を計数するものであって、論理和素子141Bの入力端子にはマイクロプロセッサ110Bが発生する第一・第二の異常検出信号ER1・ER2及びリ後述のセットパルス信号RS2と、ウォッチドッグタイマ130が発生するリセットパルス信号RS1と、補助CPU160が発生する異常検出信号ERSが接続されている。
駆動停止手段となるゲート回路142はマイクロプロセッサ110Bが発生する負荷給電指令出
力DR2と反転駆動回路素子114との間に接続されていて、負荷給電指令出力DR2が論理レベル「H」であるときに負荷電源リレーの励磁コイル104aを付勢するようになっているが、カウンタ回路140Bの比較出力端子OUTの論理レベルが「H」になると、励磁コイル104aが消勢されるようになっている。
また、このような異常確定状態においてはモード切換指令信号LPHがマイクロプロセッサ110Bに供給されるようになっている。
【0081】
補助CPU160はメインCPUとなるマイクロプロセッサ110Bとシリアル接続されて、マイクロプロセッサ110Bの動作状態を監視すると共に、異常発生時には異常検出信号ERSを発生するようになっている。
なお、入力センサ群である開閉センサ106の一部と、アナログセンサ107の一部については補助CPU160側に入力され、補助CPU160からマイクロプロセッサ110Bに対してシリアル送信されるようになっている。
また、マイクロプロセッサ110Bは補助CPU160が発生するパルス列であるウォッチドッグクリア信号WD2のパルス幅を監視して、当該パルス幅が所定閾値を超過するとリセットパルス信号RS2を発生して補助CPU160を初期化・再起動するようになっている。
補助CPU160の制御プログラムが格納されている補助プログラムメモリ161Bにはバックアップメモリ領域が設けられ、当該バックアップメモリ領域にはマイクロプロセッサ110Bのための退避運転プログラムが格納されていて、メモリセル121の中の重要制御プログラムである退避運転プログラムに異常が発生したときに、バックアップメモリ領域の内容がメモリセル121へ転送されるようになっている。
【0082】
(2)作用動作の詳細な説明
図5のとおりに構成されたこの発明の第2実施例装置において、電源スイッチ102が閉路
されると電源リレーの出力接点103bが閉路して、制御電源ユニット111が外部電源101から給電されて、安定化された制御電源電圧Vccを発生し、リセットパルス発生回路112Bが発生するリセットパルス信号によってマイクロプロセッサ110Bとカウンタ回路140Bが初期化されてからマイクロプロセッサ110Bが動作を開始して、マイクロプロセッサ110Bはウォッチドッグクリア信号WD1を発生する。
なお、MRAM120Bに制御プログラムが格納される前の初回給電時にあっては、MRAM120Bに予め格納されているブートプログラムに基づいて外部ツール108から制御プログラムがMRAM120Bに転送されるようになっている。
なお、外部ツール108によって制御プログラムを書込むときには、ツール接続信号TOOLと最上位アドレス信号A15の論理レベルが共に「H」となっており、その結果としてマイクロプロセッサ110Bの書込み指令信号WRはそのままMRAM120Bに対して書込指令入力WRMとして供給されるようになっている。
【0083】
一方、MRAM120Bに制御プログラムが格納された後に電源スイッチ102が閉路されたときには、マイクロプロセッサ110Bとカウンタ回路140Bの初期化が行なわれてからマイクロプロセッサ110Bが動作を開始し、ウォッチドッグクリア信号WD1を発生すると共に負荷給電指令出力DR2を発生し、負荷電源リレーの励磁コイル104aが付勢される。
この状態ではツール接続信号TOOLが論理レベル「L」となっており、その結果として最上位アドレス信号A15の論理レベルが共に「H」となっているプログラムメモリ領域に対してはたとえ書込指令信号WRの論理レベルが「H」になったとしても、書込指令信号WRはMRAM120Bには供給されないようになっている。
但し、上位アドレス信号A15の論理レベルが共に「L」となっているデータメモリ領域に対しては書込指令信号WRは有効となっている。また、後述の書換訂正指令信号WRCはメモリ領域とは無関係に常に有効となっている。
【0084】
マイクロプロセッサ110Bはアナログセンサ群107から得られるアナログ信号の電圧レベルと、開閉センサ群106から得られるON/OFF信号の動作状態と、補助CPU160から送信された一部の入力信号と、MRAM120Bのメモリセル121に格納されている入出力制御プログラムとに応動して、第一・第二の電気負荷群105a・105bの駆動制御を行なう。
マイクロプロセッサ110Bの運転中にノイズ誤動作等によって第一・第二の異常検出信号ER1・ER2が異常検出パルス信号を発生したり、補助CPU160に対するリセットパルス信号RS2を発生したり、ウォッチドッグタイマ130がリセットパルス信号RS1を発生したり、補助CPU160が異常検出信号ERSを発生すると、論理和素子141Bを介してカウンタ回路140Bの計数入力端子UPに計数入力信号が供給され、カウンタ回路140Bは異常発生回数を計数し、これが所定値を超過するとカウントアップして比較出力端子OUTの論理レベルが「H」となる。
その結果、警報・表示器109が作動すると共に、ゲート回路142によって負荷給電指令出力DR2が遮断されて負荷電源リレーの励磁コイル104aが消勢され、マイクロプロセッサ110Bに対してはモード切換指令信号LPHが供給される。
その結果、マイクロプロセッサ110Bはエンジン回転速度を抑制した退避運転モードへ移
行するようになっている。
【0085】
マイクロプロセッサ110Bの運転中に電源スイッチ102が開路すると、出力許可信号OUTEと駆動回路素子113Bによって励磁コイル103a・104aに対する付勢が持続し、マイクロプロセッサ110Bは学習記憶情報等の確認保存を実行した後に自らウォッチドッグクリア信号WD1を停止し、その結果として出力許可信号OUTEが停止して励磁コイル103aが消勢されるようになっている。
電源スイッチ102を再投入すると、マイクロプロセッサ110Bとカウンタ回路140Bはリセットパルス発生回路112Bによって初期化されるので、カウンタ回路140Bのカウントアップがノイズ誤動作によるものであった場合には正常運転状態に回復することになる。
但し、MRAM120Bやその他のハードウエアの異常によって第一・第二の異常検出信号ER1・ER2やリセットパルス信号RS2、又はウォッチドッグタイマ130によるリセットパルス信号RS1や補助CPU160による異常検出信号ERSが発生している場合には、カウンタ回路140Bは再びこれらの異常信号を計数して、速やかに異常報知・負荷電源リレーの停止等を行なうことになる。
【0086】
次に、図5のものの第一の異常判定に関する動作説明用フローチャートである図6と、第二の異常判定に関する動作説明用フローチャートである図7と、点検動作に関する動作説明用フローチャートである図8について、図2・図3・図4との相違点を中心にして説明する。なお、図6・図7・図8の動作は下記の特定の工程を除いて図2・図3・図4の動作と同じものであって、符号番号の200番台は6番台に、300番台は700番台に、400番台は800番台に置きなおされているだけである。
図6における工程605a・605b・612と、図7における工程705a・705b・712は共用集計手段となるものであって、当該共用集計手段605a・605b・612・705a・705b・712においては共用現在値レジスタ126に対する加減算補正が行なわれるようになっている。
従って、図6における工程606a・606bと、図7における工程706a・706bでは共用現在値レジスタ126の現在値が所定閾値を超過したかどうかが判定され、図6における工程609と、図7における工程709a・709bでは共用現在値レジスタ126に初期値が転送されるようになっている。
なお、第一の異常検出信号ER1と第二の異常検出信号ER2には特段の区別は必要ではないが便宜上で区分して表現しているものである。
【0087】
図8の工程827は訂正転送手段に相当するものであり、当該訂正転送手段827は重複異常判定手段832が異常判定したことに応動して、補助プログラムメモリ161Bのバックアップメモリ領域に格納されている退避運転プログラムを、訂正符号付き書込回路122を介してMRAM120Bのエラー発生アドレスに対して上書き保存する修復書込手段となってい
る。なお、補助CPU160を有する実施形態2において、共用集計手段を実施形態1のように第一・第二の集計手段に分割するようにしてもよい。また、異常発生記憶手段であるカウンタ回路140Bは図9で示したようなフリップフロップ回路140Cにすることも可能である。
【0088】
(3)その他の実施形態の説明
図1・図5のとおりに構成されたこの発明の第1・第2実施例装置において、エラー発生状態の集計手段はエラー発生の有無に関する定期情報に基づいて、現在値レジスタの加算又は減算を行うようにしたが、簡略的にはマイクロプロセッサによって計数される加算カウンタ又は減算カウンタとすることも可能である。
例えば、エラー発生に伴って現在値レジスタが加算され、計数現在値が所定の設定閾値を超過すると異常検出出力を発生するようにし、MRAMに対する読み出し指令信号の分周信号又は所定周期クロック信号によって現在値をゼロに初期化するようにしても良い。
また、エラー発生に伴って現在値レジスタが所定値から減算され、計数現在値がゼロに達すると異常検出出力を発生するようにし、MRAMに対する読み出し指令信号の分周信号又は所定周期のクロック信号によって現在値を初期化して所定の初期値にセットするようにしても良い。
実施形態1・2の場合、MRMによって生成されるエラーフラグはマイクロプロセッサによって読み出された時点でマイクロプロセッサによってリセットされるようにしたが、所定時間後にはMRAMによって自動的にリセットされるようにしても良い
実施形態1・2において、第一・第二のエラーフラグFL1・FL2をマイクロプロセッサの割込み入力端子に接続して、エラーフラグFL1・FL2をマイクロプロセッサの割込み入力端子に接続して、エラーフラグの発生に応動して第一・第二の集計手段による集計加算(又は減算)を行う場合には、MRAMに対する読出し指令信号の分周信号又は所定周期のクロック信号によって定期的に減算(又は加算)を行うか、初期化を行うようにすれば良い。
実施形態1・2の場合、第三の異常判定によって符号の誤りの有無を判定した結果によってエラー発生の集計手段に対して加算又は減算処理を行うようにすることも可能である。
これにより、第三の異常判定手段が異常判定したことによって直ちに異常報知されて、混乱をきたすのを回避し、再確認によって異常報知することができる。
【0089】
(4)実施形態2の要点と特徴
この発明の実施形態2による電子制御装置100Bは、外部電源101から給電され、入力センサ群106・107の動作状況に応じて電気負荷群105a・105bを駆動制御するマイクロプロセッサ110Bを備え、当該マイクロプロセッサと協働する不揮発プログラムメモリに対しては、外部ツール108から制御定数を含む制御プログラムが転送書込みされる電子制御装置100Bとなっている。
前記マイクロプロセッサ110Bは電気的に読み書きが行なえる不揮発プログラムメモリあるMRAM(MagneticRandom Access Memory)120Bに格納された制御プログラムに基づいて動作すると共に、当該MRAMは前記外部ツール108から転送書込みされた後は前記マイクロプロセッサ110Bの運転中において書換変更されることがない入出力制御プログラムを主体としたプログラムメモリ領域と、前記マイクロプロセッサ110Bの運転中に随時書換え変更されるデータメモリ領域とが異なるアドレス領域に分割されて格納されている。前記MRAM120Bは更に、前記マイクロプロセッサ110Bからの書込指令信号に応動して指定アドレスのメモリセル121に対して誤り訂正符合を付加した保存データを書込むための訂正符号付き書込回路122と、前記マイクロプロセッサ110Bからの読出指令信号に応動して指定アドレスのメモリセル121から前記保存データを復号化して読出す復号化読出回路123と、前記データメモリ領域に設けられたエラーレジスタ125a・125bと、前記プログラムメモリ領域に設けられた確認読出手段603b・703b・803b・813bと重複異常判定手段610b・720b・831・832となる制御プログラムとを包含すると共に、前記マイクロプロセッサ110Bからの書込指令信号は書込禁止/解除手段150を介して前記MRAM120Bに供給されるように構成されている。
【0090】
前記エラーレジスタ125a・125bは前記メモリセル121の保存データに符号誤りがあるときに、誤り発生したアドレス番号がエラーデータとして格納され、当該保存エラーデータは前記マイクロプロセッサ110Bによってリセットされた後の最初に発生したエラーデータであるか、又は前記メモリセル121の各アドレスの内容を順次読み出すことによって新たなアドレスに符号誤りがあれば順次更新されたエラーデータが格納される特定アドレスのメモリである。
前記確認読出手段603b・703b・803b・813bは前記エラーレジスタ125a・125bにエラーデータが格納されていたことに応動して、当該エラーデータをリセットしてからエラー発生アドレスを再度アクセスした後に、再度前記エラーレジスタ125a・125bの内容を読み出し確認する手段である。
前記重複異常判定手段610b・720b・831・832は前記確認読出手段603b・703b・803b・813bによって読み出されたエラーレジスタ125a・125bの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する手段である。
前記書込禁止/解除手段150は前記制御プログラムが格納されている前記MRAM120Bのプログラムメモリ領域に対しては前記マイクロプロセッサ110Bによる書込指令信号を前記MRAM120Bに供給するのを禁止すると共に、前記マイクロプロセッサ110Bに対して外部ツール108が接続されて、前記MRAM120Bに対して制御プログラムを書込みする状態にあるときには前記書込禁止機能を解除し、外部ツール108が接続されていないときにあっては前記制御プログラムの修復書込みを行なうときにも前記書込禁止機能を例外として解除する手段である。
前記重複異常判定手段610b・720b・831・832が異常判定を行なったとき、又は複数回の異常判定を行なったことに応動して、少なくとも異常報知を含む異常処理が実行されるようになっている。
【0091】
前記MRAM120Bは更に訂正書込手段608・818を備えている。
前記エラーレジスタは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数以内でエラーを発生していて、読み出された保存データが前記復号化読出回路123によって復元訂正されたデータであるときに、当該エラー発生したアドレス番号が第一のエラーデータとして格納される第一の特定アドレスに位置する第一のエラーレジスタ125aとなっている。
前記確認読出手段は前記第一のエラーレジスタ125aに第一のエラーデータが格納されていたことに応動して、当該第一のエラーデータをリセットしてからエラー発生アドレスを再度アクセスした後に、再度前記第一のエラーレジスタ125aの内容を読み出し確認する第一の確認読出手段603b・813bとなっている。
前記訂正書込手段608・818は前記第一の確認読出手段603b・813bによる読出し結果として依然として第一のエラーレジスタ125aに第一のエラーデータが格納されたことに応動して、前記復号化読出回路123を介して読み出されたエラー発生アドレスの保存データを、前記訂正符号付き書込回路122を介して前記MRAM120Bのエラー発生アドレスに対して上書き保存する修復書込手段である。
前記重複異常判定手段は前記第一の確認読出手段603b・813bによって読出確認を行なったとき、又は前記訂正書込手段608・818によって訂正書き込みを行なった後の読出確認において、再度前記第一のエラーレジスタ125aの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する第一の重複異常判定手段610b・831となっている。
前記書込禁止/解除手段150は前記訂正書込手段608・818による修復操作時にあっては、前記書込禁止機能を解除するようになっている。
【0092】
前記MRAM120Bは前記第一のエラーレジスタ125aに加えて、第一のエラーフラグ生成回路124aを備えている。
前記第一のエラーフラグ生成回路124aは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数以内でエラーが発生していて、読み出された保存データが前記復号化読出回路123によって復元訂正されたデータであるときに、二値化論理情報である第一のエラーフラグFL1を発生する論理回路である。
前記第一のエラーフラグFL1は前記マイクロプロセッサ110Bの割込み入力端子に接続されていて、前記第一の確認読出手段603b・813bと前記訂正書込手段608・818は当該第一の エラーフラグFL1の発生に応動して実行されて、前記第一の重複異常判定手段610b・831による重複異常判定が行なわれるものであると共に、当該第一のエラーフラグFL1は前記マイクロプロセッサ110Bによってリセットされるものである。
【0093】
前記エラーレジスタは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数を超過するエラーを発生していて、読み出された保存データが保存当初のデータと一致しているかどうかが保証できないデータであるときに、当該エラー発生したアドレス番号が第二のエラーデータとして格納される第二の特定アドレスに位置する第二のエラーレジスタ125bとなっている。
前記確認読出手段は前記第二のエラーレジスタ125bに第二のエラーデータが格納されていたことに応動して、当該第二のエラーデータをリセットしてからエラー発生アドレスを再度アクセスして、前記第二のエラーレジスタ125bの内容を読み出し確認する第二の確認読出手段703b・803bとなっている。
前記重複異常判定手段は前記第二の確認読出手段703b・803bによって読出確認を行なったときに、前記第二のエラーレジスタ125bの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する第二の重複異常判定手段720b・832となっている。
【0094】
前記MRAM120Bは前記第二のエラーレジスタ125bに加えて、第二のエラーフラグ生成回路124bを備えている。
前記第二のエラーフラグ生成回路124bは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数を超過するエラーが発生していて、読み出された保存データが保存当初のデータと一致しているかどうかが保証できないデータであるときに、二値化論理情報である第二のエラーフラグFL2を発生する論理回路である。
前記第二のエラーフラグFL2は前記マイクロプロセッサ110Bの割込み入力端子に接続されていて、前記第二の確認読出手段703b・803bは当該第二のエラーフラグFL2の発生に応動して実行されて、前記第二の重複異常判定手段720b・832による重複異常判定が行なわれると共に、当該第二のエラーフラグFL2は前記マイクロプロセッサ110Bによってリセットされるものである。
【0095】
前記MRAM120Bは第一のエラーレジスタ125a又は第一のエラーフラグ生成手段124aの少なくとも一方と、第二のエラーレジスタ125b又は第二のエラーフラグ生成手段124bの少なくとも一方とを備えていると共に、第一のエラーと第二のエラーに応動する第一・第二の散発異常判定手段610a・720aと異常発生記憶手段140Bとを備えている。
前記第一のエラーレジスタ125aは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数以内でエラーが発生していて、読み出された保存データが前記復号化読出回路123によって復元訂正されたデータであるときに、当該エラー発生したアドレス番号が第一のエラーデータとして格納される第一の特定アドレスに位置するレジスタである。 前記第一のエラーフラグ生成回路124aは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数以内でエラーが発生していて、読み出された保存データが前記復号化読出回路123によって復元訂正されたデータであるときに、二値化論理情報である第一のエラーフラグFL1を発生する論理回路である。
前記第一のエラーは前記第一のエラーレジスタ125aに第一のエラーデータが格納されているか否か、又は前記第一のエラーフラグFL1が発生したか否かを定期的に監視して検出されるエラーの有無に関する定期情報である。
【0096】
前記第二のエラーレジスタ125bは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数を超過するエラーが発生していて、読み出された保存データが保存当初のデータと一致しているかどうかが保証できないデータであるときに、当該エラー発生したアドレス番号が第二のエラーデータとして格納される第二の特定アドレスに位置するレジスタである。
前記第二のエラーフラグ生成回路124bは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数を超過するエラーが発生していて、読み出された保存データが保存当初のデータと一致しているかどうかが保証できないデータであるときに、二値化論理情報である第二のエラーフラグFL2を発生する論理回路である。
前記第二のエラーは前記第二のエラーレジスタ125bに第二のエラーデータが格納されているか否か、又は前記第二のエラーフラグFL2が発生したか否かを定期的に監視して検出されるエラーの有無に関する定期情報である。
前記第一・第二の散発異常判定手段610a・720aは前記第一のエラーと第二のエラーの発生頻度が所定の閾値を超過したときに第一・第二の異常検出信号ER1・ER2を発生する手段である。
前記異常発生記憶手段140Bは前記重複異常判定手段610b・720b・831・832が異常判定を 行なったことと、前記第一・第二の散発異常判定手段610a・720aが異常判定を行なったことに応動して、少なくとも異常報知を行なう手段である。
従って、複合的なエラー発生を共に監視して制御の安全性を向上することができる特徴がある。
【0097】
前記第一・第二の散発異常判定手段610a・720aは共用集計手段605a・612・705a・712と第一・第二の散発異常検出手段606a・706aとによって構成されている。
前記共用集計手段605a・612・705a・712は共用現在値レジスタ126を備え、前記第一のエラーが発生しておれば当該共用現在値レジスタ126に対して第二の変分値Δ2を加算又は減算し、前記第一のエラーレジスタ125a又は第一のエラーフラグFL1をリセットしておくと共に、第一のエラーが発生していなければ第一の変分値Δ1を減算又は加算して相互に減殺するように共用現在値レジスタ126に対する加減算補正を行い、前記第二のエラーが発生しておれば前記共用現在値レジスタ126に対して第五の変分値Δ5を加算又は減算し、前記第二のエラーレジスタ125b又は第二のエラーフラグFL2をリセットしておくと共に、第二のエラーが発生していなければ第四の変分値Δ4を減算又は加算して相互に減殺するように共用現在値レジスタ126に対する加減算補正を行い、前記第一又は第二のエラーの不作動状態が継続したときには所定の正常側限界値において上記第一又は第四の変分値Δ1・Δ4による加減算補正を停止する手段である。
前記第一・第二の散発異常検出手段610a・720aは前記第一・第二・第四・第五の変分値の累積によって前記共用現在値レジスタ126の値が所定の異常側限界値の域外となったときに第一又は第二の異常検出信号ER1・ER2を発生する手段であって、前記第二の変分値Δ2は第一の変分値Δ1よりも大きな値であり、前記第五の変分値Δ5は第四の変分値Δ4よりも大きな値であり、しかも第二の変分値Δ2と第五の変分値Δ5とは前記異常側限界値と正常側限界値との差である許容累積値よりも小さな値として設定されいる。
従って、第一のエラーと第二のエラーとの重みつけを変更したうえで複合的に合算して、一元的に散発異常の発生を検出することができる特徴がある。
【0098】
前記MRAM120Bは更に第三の異常判定手段833となる制御プログラムを包含すると共に、異常発生記憶手段140Bを備えている。
前記第三の異常判定手段833は前記MRAM120Bの特定区間領域の保存データを順次読出して、読出し区間全体のデータに関するサムチェック又はCRCチェックによって符号誤りの有無を判定する手段である。
前記異常発生記憶手段140Bは前記重複異常判定手段610b・720b・831・832が異常判定を 行なったことと、前記第三の異常判定手段831が異常判定を行なったことに応動して、少なくとも異常報知を行なう手段である。
【0099】
前記MRAM120Bは更に運転開始点検手段又は定期点検手段又は停止前点検手段のいずれかの手段を選択する点検時期判定手段801となる制御プログラムを包含している。前記運転開始点検手段は電源スイッチ102が投入された直後において、前記MRAM120Bに保存されている特定領域の主要データについて前記重複異常判定手段831・832又は前記第三の異常判定手段833によって符号誤りの有無を点検する特定点検手段である。
前記定期点検手段は電源スイッチ102の投入継続状態において、前記MRAM120Bに保存されている全データを複数分割して、各分割データについて前記重複異常判定手段831・832又は前記第三の異常判定手段833によって符号誤りの有無を順次定期点検する分割更新点検手段である。
前記停止前点検手段は電源スイッチ102が遮断された直後の遅延復帰開閉素子103bの閉路期間において、前記MRAM120Bに保存されている全データについて前記重複異常判定手段831・832又は前記第三の異常判定手段833によって符号誤りの有無を点検する一括点検手段である。
【0100】
前記マイクロプロセッサ110Bは車載エンジンの運転状態を検出する車載センサ群106・107の動作状態に応動して、少なくとも吸気量制御手段又は燃料噴射制御手段を制御するものである。
前記MRAM120Bは更に、通常運転手段となる制御プログラムに加えて退避運転手段となる制御プログラムを包含すると共に、異常発生記憶手段140Bを備えている。 前記退避運転手段は前記吸気量制御手段による吸気量の抑制又は燃料噴射制御手段による給燃量の抑制によってエンジン回転速度を抑制した運転制御を実行する手段である。
前記異常発生記憶手段140Bは少なくとも前記重複異常判定手段610b・720b・831・832が 異常判定を行なったとなったことに応動して異常報知を行うと共に、前記通常運転手段による通常運転モードから前記退避運転手段による退避運転モードに選択切換えするものである。
【0101】
前記MRAM120Bは更に訂正転送手段827となる制御プログラムを包含すると共に、前記マイクロプロセッサ110Bは前記退避運転手段となる制御プログラムが格納された不揮発性のバックアップメモリ161Bを備えている。
前記訂正転送手段827は前記重複異常判定手段832が異常判定したことに応動して、前記バックアップメモリ161Bに格納されている退避運転プログラムを、前記訂正符号付き書込回路122を介して前記MRAM120Bのエラー発生アドレスに対して上書き保存する修復書込手段である。
前記書込禁止/解除手段150は前記訂正転送手段827による修復操作時にあっては、前記書込禁止機能を解除するものである。
【0102】
前記マイクロプロセッサ120Bは協働する補助CPU160とシリアル接続されている。当該補助CPU160は不揮発性の補助プログラムメモリ161と協働して、前記マイクロプロセッサ120Bとの間で監視・制御信号の交信を行なうマイクロプロセッサである。
前記補助プログラムメモリ161は前記退避運転手段となる制御プログラムが格納された不揮発性のバックアップメモリを包含している。
従って、余分のバックアップメモリを必要とせず、補助プログラムメモリの一部領域を用いて退避運転用の制御プログラムを保存しておくことができる特徴がある。
【0103】
前記マイクロプロセッサ110Bにはウォッチドッグタイマ130と異常発生記憶手段140Bとが併用されている。
当該ウォッチドッグタイマ130は前記マイクロプロセッサ110Bが発生するウォッチドッグクリア信号WD1のパルス幅が所定値を超過したことに伴ってリセットパルス信号RS1を発生して、当該マイクロプロセッサ110Bを初期化・再起動するタイマ回路である。
前記異常発生記憶手段140Bは前記重複異常判定手段610b・720b・831・832が異常発生を判定したことに伴う異常検出パルス信号ER1・ER2と、前記ウォッチドッグタイマ130によるリセットパルス信号RS1の発生に応動して、一回のパルス信号又は複数回のパルス信号の発生に伴って、少なくとも異常報知を行なうと共に、前記通常運転手段による通常運転モードから前記退避運転手段による退避運転モードに選択切換えするためのフリップフロップ回路又はカウンタ回路によって構成された論理回路であって、当該論理回路には駆動停止手段142と記憶解除手段112Bとが付加されている。
前記駆動停止手段142は前記異常発生記憶手段140Bが異常発生を確定記憶しているときに作用し、上記電気負荷群105a・105bの中の一部の特定電気負荷の駆動を禁止するゲート回路である。
前記記憶解除手段112Bは電源スイッチ102の再投入等による人為的操作に応動するリセットパルス信号よって前記異常発生記憶手段140Bによる異常記憶信号をリセットする手段である。
【0104】
発明の実施の形態3
(1)構成の詳細な説明
以下、この発明の第3実施例装置の回路ブロック図を示す図9について、図1のものと
の相違点を中心にして説明する。なお、各図において共通符号は同一又は相当部分を示している。
図9において、電子制御装置100Cの外部には外部電源101と電源リレーや負荷電源リレーが設けられ、後述のマイクロプロセッサ110Cから第一の出力インタフェース回路115aを介して給電駆動される第一の電気負荷群105aと、第二の出力インタフェース回路115bを介して給電駆動される第二の電気負荷群105bと、入力インタフェース回路116を介して入力される開閉センサ群106と、アナログ入力インタフェース回路117を介して入力されるアナログセンサ群107と、シリアルインタフェース回路118を介して接続される外部ツール108と、異常発生記憶手段であるフリップフロップ回路140Cのセット出力端子から駆動される警報・表示器109とが接続されている。
【0105】
電子制御装置100Cの内部の構成として、マイクロプロセッサ110Cは不揮発性のプログラムメモリであるMRAM120Cとバス接続されている。
マイクロプロセッサ110Cは電源リレーの出力接点103bから給電される制御電源ユニット111が発生する安定化電圧によって動作し、給電保持指令出力DR1によって駆動回路素子113Aを介して電源リレーの励磁コイル103aに対する付勢を持続させるようになっている。 リセットパルス発生回路112Cは制御電源ユニット111の立上時点にリセットパルス信号を発生して、後述の論理和素子131を介してマイクロプロセッサ110Cを初期化したり、後述の異常発生記憶手段であるフリップフロップ回路140Cをリセットするようになっている。
【0106】
MRAM120Cは外部ツール108から転送書込みされた後はマイクロプロセッサ110Cの運転中において書換変更されることがない入出力制御プログラムを主体としたプログラムメモリ領域と、マイクロプロセッサ110Cの運転中に随時書換え変更されるデータメモリ領
域とが異なるアドレス領域に分割されて格納されている。
MRAM120Cは更に、マイクロプロセッサ110Cからの書込指令信号に応動して指定アドレスのメモリセル121に対して誤り訂正符合を付加した保存データを書込むための訂正符号付き書込回路122と、マイクロプロセッサ110Cからの読出指令信号に応動して指定アドレスのメモリセル121から前記保存データを復号化して読出す復号化読出回路123と、第一・第二のエラーフラグ生成回路124aa・124bbと、前記データメモリ領域に設けられた第一・第二のエラーレジスタ125a・125bと、前記プログラムメモリ領域に設けられた後述の確認読出手段と重複異常判定手段となる制御プログラムとを包含すると共に、マイクロプロセッサ110Cからの書込指令信号は後述の書込禁止/解除手段1410を介してMRAM120Cに供給されるように構成されている。
【0107】
第一のエラーフラグ生成回路124aaは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数以内でエラーが発生していて、読み出された保存データが前記復号化読出回路によって復元訂正されたデータであるときに、二値化論理情報である第一のエラーフラグFL11を発生する論理回路である。但し、第一のエラーフラグFL11は、MRAM120Cのアクセスアドレス毎にエラー発生の有無に応じて動作状態が変化するものとなっている。
第二のエラーフラグ生成回路124bbは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数を超過するエラーが発生していて、読み出された保存データが保存当初のデータと一致しているかどうかが保証できないデータであるときに、二値化論理情報である第二のエラーフラグFL22を発生する論理回路である。但し、第二のエラーフラグFL22は、MRAM120Cのアクセスアドレス毎にエラー発生の有無に応じて動作状態が変化するもとなっている。
【0108】
ウォッチドッグタイマ130はマイクロプロセッサ110Cが発生するパルス列信号であるウォッチドッグクリア信号WD1を監視して、ウォッチドッグクリア信号WD1のパルス幅が所定閾値を超過するとリセットパルス信号RS1を発生し、論理和素子131を介してマイクロプロセッサ110Cのリセット入力端子RST1に供給し、マイクロプロセッサ110Cを初期化・再起動するようになっている。
また、リセットパルス信号RS1は論理和素子141Cを介して後述の異常発生記憶手段であるフリップフロップ回路140Cのセット入力端子に供給されるようになっている。
なお、ウォッチドッグタイマ130はウォッチドッグクリア信号WD1のパルス幅が正常であるときに出力許可信号OUTEを発生して、第一・第二の出力インタフェース回路115a・115bの出力発生が可能となるものである。
【0109】
異常発生記憶手段となるフリップフロップ回路140Cは、論理和素子141Cの論理和出力信号によってセットされるものであって、論理和素子141Cの入力端子にはマイクロプロセッサ110Cが発生する第一・第二の異常検出信号ER1・ER2と、ウォッチドッグタイマ130が発生するリセットパルス信号RS1とが接続されている。
駆動停止手段となるゲート回路142はマイクロプロセッサ110Cが発生する負荷給電指令出力DR2と反転駆動回路素子114との間に接続されていて、負荷給電指令出力DR2が論理レベル「H」であるときに負荷電源リレーの励磁コイル104aを付勢するようになっているが、フリップフロップ回路140Cのセット出力端子の論理レベルが「H」になると、励磁コイル104aが消勢されるようになっている。
また、このような異常確定状態においてはモード切換指令信号LPHがマイクロプロセッサ110Cに供給されるようになっている。
【0110】
ハードウエアによって構成された異常計数回路170は第一のエラーフラグFL11の発生回数を加算又は減算し、マイクロプロセッサ110Cから供給された読出指令信号の分周信号DNPによって減算又は加算されるものであり、当該異常計数回路170は電源投入時にリセットパルス発生回路112Cが発生するリセットパルス信号、又はマイクロプロセッサ110Cが発生するクリア信号CL1によって例えば現在値がゼロとなるように初期化され、異常計数回路170の現在値が所定の限界閾値に到達するとカウントアップ出力EP1を発生してマイクロプロセッサ110Cに入力されるようになっている。
ハードウエアによって構成された異常計数回路180は第二のエラーフラグFL22の発生回数を加算又は減算し、マイクロプロセッサ110Cから供給された読出指令信号の分周信号DNPによって減算又は加算されるものであり、当該異常計数回路180は電源投入時にリセットパルス発生回路112Cが発生するリセットパルス信号、又はマイクロプロセッサ110Cが発生するクリア信号CL2によって例えば現在値がゼロとなるように初期化され、異常計数回路180の現在値が所定の限界閾値に到達するとカウントアップ出力EP2を発生してマイクロプロセッサ110Cに入力されるようになっている。
マイクロプロセッサ110Cはカウントアップ出力EP1・EP2が入力されたことに応動して第一・第二の異常検出信号ER1・ER2を発生すると共に、第一・第二のクリア信号CL1・CL2を発生して異常計数回路170・180を初期化するようになっている。
【0111】
(2)作用動作の詳細な説明
図9のとおりに構成されたこの発明の第3実施例装置において、電源スイッチ102が閉路されると電源リレーの出力接点103bが閉路して、制御電源ユニット111が外部電源101から給電されて、安定化された制御電源電圧Vccを発生し、リセットパルス発生回路112Cが発生するリセットパルス信号によってマイクロプロセッサ110Cとフリップフロップ回路140Cと異常計数回路170・180が初期化されてからマイクロプロセッサ110Cが動作を開始して、マイクロプロセッサ110Cはウォッチドッグクリア信号WD1を発生する。
なお、MRAM120Cに制御プログラムが格納される前の初回給電時にあっては、MRAM120Cに予め格納されているブートプログラムに基づいて外部ツール108から制御プログラムがMRAM120Cに転送されるようになっている。
なお、外部ツール108によって制御プログラムを書込むときには、ツール接続信号TOOLと最上位アドレス信号A15の論理レベルが共に「H」となっており、マイクロプロセッサ110Cの書込み指令信号WRはそのままMRAM120Cに対して書込指令入力WRMとして供給されることになる。
【0112】
一方、MRAM120Cに制御プログラムが格納された後に電源スイッチ102が閉路されたときには、マイクロプロセッサ110Cとフリップフロップ回路140Cと異常計数回路170・180の初期化が行なわれてからマイクロプロセッサ110Cが動作を開始し、ウォッチドッグクリア信号WD1を発生すると共に給電保持指令出力DR1と負荷給電指令出力DR2を発生し、負荷電源リレーの励磁コイル104aが付勢される。
この状態ではツール接続信号TOOLが論理レベル「L」となっており、その結果として最上位アドレス信号A15の論理レベルが共に「H」となっているプログラムメモリ領域に対してはたとえ書込指令信号WRの論理レベルが「H」になったとしても、MRAM120Cには供給されないようになっている。
但し、上位アドレス信号A15の論理レベルが共に「L」となっているデータメモリ領域に対しては書込指令信号WRは有効となっている。
また、後述の書換訂正指令信号WRCはメモリ領域とは無関係に常に有効となっていて、その詳細は図14によって後述する。
【0113】
マイクロプロセッサ110Cはアナログセンサ群107から得られるアナログ信号の電圧レベルと、開閉センサ群106から得られるON/OFF信号の動作状態と、MRAM120Cのメモリセル121に格納されている入出力制御プログラムとに応動して、第一・第二の電気負荷群105a・105bの駆動制御を行なう。
マイクロプロセッサ110Cの運転中にノイズ誤動作等によって第一・第二の異常検出信号ER1・ER2が異常検出パルス信号を発生したり、ウォッチドッグタイマ130がリセットパルス信号RS1を発生すると、論理和素子141Cを介してフリップフロップ回路140Cのセット入力端子にセット入力信号が供給され、フリップフロップ回路140Cは異常発生状態を記憶
してセット出力端子の論理レベルが「H」となる。
その結果、警報・表示器109が作動すると共に、ゲート回路142によって負荷給電指令出力DR2が遮断されて負荷電源リレーの励磁コイル104aが消勢され、マイクロプロセッサ110Cに対してはモード切換指令信号LPHが供給される。その結果、マイクロプロセッサ110Cはエンジン回転速度を抑制した退避運転モードへ移行するようになっている。
【0114】
マイクロプロセッサ110Cの運転中に電源スイッチ102が開路すると、給電保持指令出力DR1と駆動回路素子113Aによって励磁コイル103a・104aに対する付勢が持続し、マイクロプロセッサ110Cは学習記憶情報等の確認保存を実行した後に自ら給電保持指令出力DR1を停止し、その結果として励磁コイル103aが消勢されるようになっている。
電源スイッチ102を再投入すると、マイクロプロセッサ110Cとフリップフロップ回路140Cはリセットパルス発生回路112Cによって初期化されるので、フリプフロップ回路140Cによる異常記憶がノイズ誤動作によるものであった場合には正常運転状態に回復することになる。
但し、MRAM120Cやその他のハードウエアの異常によって第一・第二の異常検出信号ER1・ER2、又はウォッチドッグタイマ130がリセットパルス信号RS1を発生している場合には、フリップフロップ回路140Cは再びこれらの異常信号を記憶して、速やかに異常報知・負荷電源リレーの停止等を行なうことになる。
【0115】
異常計数回路170・180にはMRAM120Cの読出タイミング毎にもしも第一又は第二のエラーが発生しておてば1カウントの加算が行なわれ、例えば100回の読出指令信号当たりに1回の減算処理が行われ、現在値はゼロ以下にはならないように制限されている。
また、異常計数回路170・180の現在値が例えば10又は4になるとカウントアップ出力EP1・EP2を発生するようになっている。
従って、異常計数回路170は100回の読出に対して10回の散発異常が発生しているとカウントアップ出力EP1を発生し、異常計数回路180は100回の読出に対して4回の散発異常が発生しているとカウントアップ出力EP2を発生することになる。
【0116】
次に、図9のものの第一の異常判定に関する動作説明用フローチャートである図10について説明する。
マイクロプロセッサ110Cの動作説明フローチャートである図10(A)において、
工程1000はマイクロプロセッサ110CがMRAM120Cの異常判定動作を開始するステップ、続く工程1001は後述の工程1002において初期フラグがセットされているかどうかによって初回動作であるかどうかを判定し、初回動作であればYESの判定を行なって工程1002へ移行し、初回動作でなければNOの判定を行なって工程1003へ移行するステップ、
工程1002は前述の第一・第二のエラーフラグ生成回路124aa・124bbや第一・第二のエラーレジスタ125a・125bや異常計数回路170・180の現在値を初期化すると共に、図示しない初期フラグをセットするステップであり、当該初期フラグは電源スイッチ102が投入された時点でリセットされているようになっている。
工程1003は第一のエラーレジスタ125aの内容を読み出すタイミングであるかどうかを判定し、読出時期であればYESの判定を行なって工程1003aへ移行し、読出時期でなければNOの判定を行なって中継端子11Bを介して図11(A)の工程1111aへ移行するステップであり、読出時期であるか否かの判定は図示しないタイマによって計測され、たとえば約10msecに一度の割合でYESの判定を行なうようになっている。
【0117】
工程1003aは第一のエラーレジスタ125aの内容を読み出して図示しない後書き優先のテンポラリレジスタに上書き保存すると共に、第一のエラーレジスタ125aの内容をリセットするステップである。
続く工程1004aは工程1003aで読みだされたテンポラリレジスタの内容が第一のエラーの発生状態であったかどうかによって、第一のエラーの発生時にはYESの判定を行なって工程1007aへ移行し、第一のエラーが発生していなければNOの判定を行なって中継端子11Bを介して図11(A)の工程1111aへ移行するステップである。
なお、第一のエラーは符号訂正が可能であるエラーのことであり、第一のエラーレジスタ125aの内容がメモリセル121のアドレスであった場合に第一のエラーが発生したと判定するものとなっている。
工程1007aはエラー発生したアドレスを指定してその内容を読み出すステップであるが、エラー発生アドレスは工程1003aにおいて検出されたアドレスである。
【0118】
工程1007aに続いて実行される工程1003bは第一のエラーレジスタ125aの内容を読み出して図示しないテンポラリレジスタに上書きすると共に、第一のエラーレジスタ125aの内容をリセットするステップである。
続く工程1004bは工程1003bで読みだされたテンポラリレジスタの内容が第一のエラーの発生状態であったかどうかによって、第一のエラーの発生時にはYESの判定を行なって工程1007bへ移行し、第一のエラーが発生していなければNOの判定を行なって中継端子11Bを介して図11(A)の工程1111aへ移行するステップである。
工程1007bはエラー発生したアドレスを指定してその内容を読み出すステップであるが、エラー発生アドレスは工程1003bにおいて検出されたアドレスである。
続く工程1008は工程1007bで読みだされた復号化データを訂正符号付き書込回路122を介
して修復書込みするステップである。
工程1008に続いてに実行される工程1009aでは、第一の異常検出信号ER1のパルスを発生すると共に、第一のエラーレジスタ125aの内容をリセットし、クリア信号CL1を発生して異常計数回路170をリセットしてから中継端子11Aを経由して図11(A)の工程1103aへ移行するようになっている。
【0119】
異常計数回路170の計数動作を等価表現した動作説明用フローチャートである図10(B)において、工程1010は異常計数回路170の動作開始工程、続く工程1011はクリア信号CL1の論理レベルを判定し、論理レベル「H」であればYESの判定を行なって工程1012へ移行し、論理レベル「L」であればNOの判定を行なって工程1013へ移行するステップである。工程1012は異常計数回路170の現在値をゼロにリセットしてから工程1013へ移行するステップ、続く工程1013は第一のエラーフラグFL11の論理レベルを判定し、論理レベル「H」であればYESの判定を行なって工程1015aへ移行し、論理レベル「L」であればNOの判定を行なって工程1014へ移行するステップである。
工程1014はマイクロプロセッサ110Cが発生する分周信号DNPの論理レベルを判定し、論理レベル「H」であればYESの判定を行なって工程1015bへ移行し、論理レベル「L」であればNOの判定を行なって工程1011へ復帰移行するステップである。
工程1015aは異常計数回路170の現在値に1を加算するステップ、工程1015bは異常計数回路170の現在値から1を減算するステップであるが、異常計数回路170の現在値はゼロ以下にはならないようになっている。
工程1015aと工程1015bによって構成された工程ブロック1015は第一の集計手段となるものである。
【0120】
工程1015a又は工程1015bに続いて実行される工程1016は異常計数回路170の現在値が「10」を超過したかどうかを判定し、未超過であればNOの判定を行なって工程1011へ復帰移行し、超過であればYESの判定を行なって工程1017へ移行する。
工程1017ではカウントアップ出力EP1を発生してから工程1011へ復帰移行する。
工程ブロック1010aは工程1011から工程1017によって構成された第一の散発異常判定手段となる工程群であり、工程ブロック1010bは工程1003b・1004bによって構成された第一の重複異常判定手段となる工程群である。
なお、工程ブロック1010aでは不特定多数のアドレスで発生した第一のエラーの発生頻度を検出して第一の散発異常の発生を判定するものであるのに対し、工程ブロック1010bでは工程1007aによって指定された異常発生中の特定アドレスに対する再確認動作によって第一の重複異常の発生を判定するものとなっている。
【0121】
以上のフローチャートを概括説明すると、
工程1015は第一の加減算回路に相当し、当該第一の加減算回路1015はハードウエアによって構成された異常計数回路170であって、MRAM120Cが発生する第一のエラーフラグFL11の発生回数を加算(又は減算)し、マイクロプロセッサ110Cから供給された読出指令信号の分周信号DNPによって減算(又は加算)されるものである。
工程1016は第一の散発異常検出手段に相当し、当該第一の散発異常検出手段1016は異常計数回路170の現在値が所定の設定閾値を超過したことによって第一の異常検出信号となるカウントアップ出力EP1を発生するものである。
従って、ノイズ誤動作等によって第一のエラーが散発発生した場合に、直ちにはカウントアップ出力EP1は発生せず、ハードウエア異常によって継続的に第一のエラーが発生した場合には速やかにカウントアップ出力EP1が発生するようになっている。
工程ブロック1010aは第一の集計手段1015と第一の散発異常検出手段1016とを包含した第一の散発異常判定手段となるものである。
【0122】
工程1003bは第一の確認読出手段に相当し、当該第一の確認読出手段1003bは第一のエラーレジスタ125aに第一のエラーデータが格納されていたことに応動して、当該第一のエラーデータをリセット(工程1003aによる)してからエラー発生アドレスを再度アクセス(工程1007aによる)した後に、再度第一のエラーレジスタ125aの内容を読み出し確認する手段となっている。
工程1008は訂正書込手段に相当し、当該訂正書込手段1008は第一の確認読出手段1003bによる読出し結果として依然として第一のエラーレジスタ125aに第一のエラーデータが格納されたことに応動して、復号化読出回路123を介して読み出されたエラー発生アドレスの保存データを、訂正符号付き書込回路122を介してMRAM120Cのエラー発生アドレスに対して上書き保存する修復書込手段となっている。
工程ブロック1010bは第一の重複異常判定手段に相当し、当該第一の重複異常判定手段1010bは確認読出手段1003bによって読み出された第一のエラーレジスタ125aの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する手段である。
【0123】
次に、図9のものの第二の異常判定に関する動作説明用フローチャートである図11について説明する。
マイクロプロセッサ110Cの動作説明フローチャートである図11(A)において、
図10(A)の中継端子11Aに続いて実行される工程1103aは第二のエラーレジスタ125bの内容を読み出して図示しない後書き優先のテンポラリレジスタに上書き保存すると共に、第二のエラーレジスタ125bの内容をリセットするステップである。
続く工程1104aは工程1103aで読みだされたテンポラリレジスタの内容が第二のエラーの発生状態であったかどうかによって、第二のエラーの発生時にはYESの判定を行なって工程1107aへ移行し、第二のエラーが発生していなければNOの判定を行なって工程1111aへ移行するステップである。
なお、第二のエラーは符号訂正が不可能であるエラーのことであり、第二のエラーレジスタ125bの内容がメモリセル121のアドレスであった場合に第二のエラーが発生したと判定するものとなっている。
工程1107aはエラー発生したアドレスを指定してその内容を読み出すステップであるが、エラー発生アドレスは工程1103aにおいて検出されたアドレスである。
【0124】
工程1107aに続いて実行される工程1103bは第二のエラーレジスタ125bの内容を読み出して図示しないテンポラリレジスタに上書きすると共に、第二のエラーレジスタ125bの内
容をリセットするステップである。
続く工程1104bは工程1103bで読みだされたテンポラリレジスタの内容が第二のエラーの発生状態であったかどうかによって、第二のエラーの発生時にはYESの判定を行なって工程1109bへ移行し、第二のエラーが発生していなければNOの判定を行なって工程1111aへ移行するステップである。
工程1109bでは、第二の異常検出信号ER2のパルスを発生すると共に、第二のエラーレジスタ125bの内容をリセットし、クリア信号CL2を発生して異常計数回路180をリセットしてから中継端子12Aを経由して図12(A)の工程1240へ移行するようになっている。
【0125】
図10の工程1003・工程1004a・工程1004b、図11の工程1104a・工程1104bの判定がいずれもNOであって、異常点検時期ではなかったとき、又は異常点検結果が正常であったときに実行される工程1111aは異常計数回路170のカウントアップ出力EP1の論理レベルを判定し、カウントアップしていなければNOの判定を行なって工程1111bへ移行し、カウントアップしておればYESの判定を行なって工程1112aへ移行するステップである。
工程1112aは第一の異常検出信号ER1を発生すると共に、クリア信号CL1を発生して異常計数回路170をリセットしてから中継端子12Aを経由して図12(A)の工程1240へ移行するようになっている。
工程1111bは異常計数回路180のカウントアップ出力EP2の論理レベルを判定し、カウントアップしていなければNOの判定を行なって中継端子12Aを経由して図12(A)の工程1240へ移行し、カウントアップしておればYESの判定を行なって工程1112bへ移行するステップである。
工程1112bは第二の異常検出信号ER2を発生すると共に、クリア信号CL2を発生して異常計数回路180をリセットしてから中継端子12Aを経由して図12(A)の工程1240へ移行するようになっている。
【0126】
異常計数回路180の計数動作を等価表現した動作説明用フローチャートである図11(B)において、工程1110は異常計数回路180の動作開始工程、続く工程1111はクリア信号CL2の論理レベルを判定し、論理レベル「H」であればYESの判定を行なって工程1112へ移行し、論理レベル「L」であればNOの判定を行なって工程1113へ移行するステップである。工程1112は異常計数回路180の現在値をゼロにリセットしてから工程1113へ移行するステップ、続く工程1113は第二のエラーフラグFL22の論理レベルを判定し、論理レベル
「H」であればYESの判定を行なって工程1115aへ移行し、論理レベル「L」であればNO
の判定を行なって工程1114へ移行するステップである。
工程1114はマイクロプロセッサ111Cが発生する分周信号DNPの論理レベルを判定し、論理レベル「H」であればYESの判定を行なって工程1115bへ移行し、論理レベル「L」であればNOの判定を行なって工程1111へ復帰移行するステップである。
工程1115aは異常計数回路180の現在値に1を加算するステップ、工程1115bは異常計数回路180の現在値から1を減算するステップであるが、異常計数回路180の現在値はゼロ以下にはならないようになっている。
工程1115aと工程1115bによって構成された工程ブロック1115は第二の集計手段となるものである。
【0127】
工程1115a又は工程1115bに続いて実行される工程1116は異常計数回路180の現在値が「4」を超過したかどうかを判定し、未超過であればNOの判定を行なって工程1111へ復帰移行し、超過であればYESの判定を行なって工程1117へ移行する。
工程1117ではカウントアップ出力EP2を発生してから工程1111へ復帰移行する。
工程ブロック1120aは工程1111から工程1117によって構成された第二の散発異常判定手段となる工程群であり、工程ブロック1120bは工程1103b・1104bによって構成された第二の重複異常判定手段となる工程ブロックである。
なお、工程ブロック1120aでは不特定多数のアドレスで発生した第二のエラーの発生頻度を検出して第二の散発異常の発生を判定するものであるのに対し、工程ブロック1120bでは工程1107aによって指定された異常発生中の特定アドレスに対する再確認動作によって第二の重複異常の発生を判定するものとなっている。
【0128】
以上のフローチャートを概括説明すると、
工程1115は第二の加減算回路に相当し、当該第二の加減算回路1115はハードウエアによって構成された異常計数回路180であって、MRAM120Cが発生する第二のエラーフラグFL22の発生回数を加算(又は減算)し、マイクロプロセッサ110Cから供給された読出指令信号の分周信号DNPによって減算(又は加算)されるものである。
工程1116は第二の散発異常検出手段に相当し、当該第二の散発異常検出手段1116は異常計数回路180の現在値が所定の設定閾値を超過したことによって第二の異常検出信号となるカウントアップ出力EP2を発生するものである。
従って、ノイズ誤動作等によって第二のエラーが散発発生した場合に、直ちにはカウントアップ出力EP2は発生せず、ハードウエア異常によって継続的に第二のエラーが発生した場合には速やかにカウントアップ出力EP2が発生するようになっている。
工程ブロック1120aは第二の集計手段1115と第二の散発異常検出手段1116とを包含した第二の散発異常判定手段となるものである。
【0129】
工程1103bは第二の確認読出手段に相当し、当該第二の確認読出手段1103bは第二のエラーレジスタ125bに第二のエラーデータが格納されていたことに応動して、当該第二のエラーデータをリセット(工程1103aによる)してからエラー発生アドレスを再度アクセス(工程1107aによる)した後に、再度第二のエラーレジスタ125bの内容を読み出し確認する手段となっている。
工程ブロック1120bは第二の重複異常判定手段に相当し、当該第二の重複異常判定手段1120bは確認読出手段1103bによって読み出された第二のエラーレジスタ125bの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する手段である。
【0130】
次に、図9のものの点検動作に関する動作説明用フローチャートである図12・図13について説明する。
点検動作の前半フローチャートである図12において、前述の工程1109b・1112a・1112b・
1111bに続いて実行される工程ブロック1201は、異常点検時期であるかどうかを判定して、異常判定時期でなければNOの判定を行なって動作終了工程1220へ移行し、異常点検時期であれば異常点検領域を選択して工程1202へ移行する工程群である。
工程ブロック1201において、工程1240は電源スイッチ102が閉路された直後であるかどうかを判定し、OFF→ONへの変化後であればYESの判定を行なって工程1241へ移行し、既に閉路済又は開路済であれば工程1242へ移行するステップ、工程1241は運転開始点検の対象となる特定点検領域を選択するステップであり、当該特定点検領域は安全上の重要プログラム領域である例えば退避運転制御プログラムが選択されるようになっている。
工程1242は電源スイッチ102が閉路しているか否かを判定し、閉路しておればYESの判定を行なって工程1243へ移行し、開路しておればNOの判定を行なって工程1244へ移行するステップであり、工程1242がNOの判定を行なうのは一旦閉路されていた電源スイッチ102が開路されて、遅延復帰開閉素子103bによって給電持続されている状態である。
【0131】
工程1243は定期点検時期であるかどうかを判定し、定期点検時期であればYESの判定を行なって工程1244へ移行し、定期点検時期でなければNOの判定を行なって動作終了工程1220へ移行するステップであり、当該工程1243は略定期的にYESの判定を行なうようになっている。
工程1244は定期点検又は停止前点検の対象となる分割点検領域を選択・更新するステップであり、定期点検の場合には後述の工程1326が領域更新完了の判定を行なうことによって一旦は動作終了工程1220へ移行し、再び動作開始工程1000が活性化された後の工程1244において複数分割されている分割点検領域を更新選択するようになっている。
電源スイッチ102が開路された停止前点検の場合には、後述の工程1326が領域更新未完了の判定を行なうことによって、中継端子12Bを介して再び工程1244へ復帰して、複数分割されている分割点検領域を引き続き更新選択するようになっている。
【0132】
工程1241又は工程1244に続いて実行される工程1202は、点検対象となったMRAM120Cのアドレス領域において、メモリセル121のアドレスを指定してメモリ内容を読み出してみるステップである。
続く工程1203aは第二のエラーレジスタ125bの内容を読み出して図示しないテンポラリレジスタに格納すると共に、第二のエラーレジスタ125bの内容をリセットするステップである。続く工程1204aは工程1203aで読みだされたテンポラリレジスタの内容が第二のエラーの発生状態であったかどうかによって、第二のエラーの発生時にはYESの判定を行なって工程1207aへ移行し、第二のエラーが発生していなければNOの判定を行なって工程1213aへ移行するステップである。
【0133】
工程1207aはエラー発生したアドレスを指定してその内容を読み出すステップであり、当該エラー発生アドレスは工程1203aによって読みだされたアドレスである。
工程1207aに続いて実行される工程1203bは第二のエラーレジスタ125bの内容を読み出して図示しないテンポラリレジスタに格納すると共に、第二のエラーレジスタ125bの内容をリセットするステップである。
続く工程1204bは工程1203bで読みだされたテンポラリレジスタの内容が第二のエラーの発生状態であったかどうかによって、第二のエラーの発生時にはYESの判定を行なって中継端子13Bを介して図13の工程1332へ移行し、第二のエラーが発生していなければNOの判定を行なって工程1213aへ移行するステップである。
【0134】
工程1213aは第一のエラーレジスタ125aの内容を読み出して図示しない後書き優先のテンポラリレジスタに上書き保存すると共に、第一のエラーレジスタ125aの内容をリセット
するステップである。
続く工程1214aは工程1213aで読みだされたテンポラリレジスタの内容が第一のエラーの発生状態であったかどうかによって、第一のエラーの発生時にはYESの判定を行なって工程1217aへ移行し、第一のエラーが発生していなければNOの判定を行なって工程1222へ移行するステップである。
工程1217aはエラー発生したアドレスを指定してその内容を読み出すステップであり、当該エラー発生アドレスは工程1213aによって読みだされたアドレスである。
【0135】
続く工程1213bは第一のエラーレジスタ125aの内容を読み出して図示しない後書き優先のテンポラリレジスタに上書き保存すると共に、第一のエラーレジスタ125aの内容をリセットするステップである。
続く工程1214bは工程1213bで読みだされたテンポラリレジスタの内容が第一のエラーの発生状態であったかどうかによって、第一のエラーの発生時にはYESの判定を行なって工程1221へ移行し、第一のエラーが発生していなければNOの判定を行なって工程1222へ移行するステップである。
工程1221は次工程1218によって正常データの訂正書込みが実行されたかどうかを判定し、訂正未書込みであればNOの判定を行なって工程1218へ移行し、訂正書込み済であればYESの判定を行なって中継端子13Bを介して図13の工程1332へ移行するステップである。
【0136】
工程1218は工程1217aで読みだされた復号化データを訂正符号付き書込回路122を介して修復書込みするステップであり、当該工程1218に続いて工程1213bへ復帰して、正常書込みがおこなわれたかどうかが工程1214bによって判定されるようになっている。
工程1222は今回の点検対象となっている領域の点検が完了したかどうかを判定し、未完了であればNOの判定を行なって工程1202へ復帰して点検アドレスを更新し、点検完了であればYESの判定を行なって中継端子13Aを介して図13の工程1323へ移行するステップである。
【0137】
点検動作の後半フローチャートである図13において、中継端子13Aに続く工程1323はサムチェック又はCRCチェックのためにグループ分けされている複数の点検領域について、どの領域をチェックするかを設定するステップであり、当該点検領域は例えば工程1241又は工程1244で選択された点検領域と同じ領域であるか、更に細分化された領域であってもよい。
続く工程1324は工程1323で設定された点検領域についてサムチェック又はCRCチェックを行なうステップ、続く工程1325は工程1324によるチェック結果が正常であったか否かによって、正常であればYESの判定を行なって工程1326へ移行し、正常でなければNOの判定を行なって工程1332へ移行するステップである。
工程1326では電源スイッチ102が閉路されている定期点検の時にはYESの判定が行なわれ、電源スイッチ102が開路されている停止前点検の時には、先ずはNOの判定が行なわれて工程1244へ復帰し、繰り返して複数の点検領域の点検を行なって全ての分割点検領域の点検が完了すればYESの判定を行なって動作終了工程1220へ移行するようになっている。
【0138】
図12の工程1204b・1221、図13の工程1325で異常判定であったときに実行される工程1332は、点検領域内で第二のエラーが発生したアドレスを確認するステップであり、当該工程1332では点検領域内のMRAM120Cのアドレスを順次アクセスしながら第二のエラーレジスタ125bの内容を確認することによって、2箇所以上の異常アドレスが存在するかどうかを検索するものとなっている。
続く工程1333は工程1332による検索結果として異常発生アドレスが1箇所以内であったかどうかを判定し、一箇所以内であればYESの判定を行なって工程1334へ移行し、一箇所を超える異常発生があればNOの判定を行なって工程1329へ移行するステップである。
工程1334では予め制御データとしてMRAM120Cに格納されているサムデータと、工程1334で算出されたサムデータとを対比して、その差異から逆算して異常発生アドレスにおける正しいデータを推定するステップである。
【0139】
続く工程1335は工程1334で推定された正しいデータを異常発生アドレスに書込み保存してから工程1329へ移行するステップである。
続く工程1329では異常検出信号ER1又はER2を発生すると共に、図10の工程1002でセットされていた初期フラグをリセットし、またMRAM120C内の第一・第二のエラーレジスタ125a・125bをリセットしてから工程1326へ移行する。
動作終了工程1220ではマイクロプロセッサ110Cは他の制御動作を実行してから略定期的に図10の動作開始工程1000へ移行するが、電源スイッチ102が開路されているときにはマイクロプロセッサ110Cが一旦停止されて電源リレー103aが消勢され、給電回路が遮断されるようになっている。
【0140】
以上のフローチャートを概括説明すると、工程1203bは第二の確認読出手段に相当し、当該第二の確認読出手段1203bは第二のエラーレジスタ125bに第二のエラーデータが格納されていたこと(工程1204aの判定による)に応動して、当該第二のエラーデータをリセットしてから(工程1203aで読出し後にリセットされている)エラー発生アドレスを再度アクセス(工程1207aによる)して、第二のエラーレジスタ125bの内容を読み出し確認する手段である。
工程1207a・1203b・1204bによって構成された工程ブロック1232は第二の重複異常判定手段に相当し、当該第二の重複異常判定手段1232は第二の確認読出手段1203bによって読出確認を行なったときに、第二のエラーレジスタ125bの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する手段である。
工程1213bは第一の確認読出手段に相当し、当該第一の確認読出手段1213bは第一のエラーレジスタ125aに第一のエラーデータが格納されていたことに応動して(工程1214aの判定による)、当該第一のエラーデータをリセットしてから(工程1213aで読出し後にリセットされている)エラー発生アドレスを再度アクセス(工程1217aによる)した後に、再度前記第一のエラーレジスタ125aの内容を読み出し確認する手段である。
工程1214b・1221によって構成された工程ブロック1231は第一の重複異常判定手段に相当し、当該第一の重複異常判定手段1231は第一の確認読出手段1213bによって読出確認を行なったときに、第一のエラーレジスタ125aの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する手段である。
【0141】
工程1218は訂正書込手段に相当し、当該訂正書込手段1218は第一の確認読出手段1213bによる読出し結果として依然として第一のエラーレジスタ125aに第一のエラーデータが格納されたことに応動して、復号化読出回路123を介して読み出されたエラー発生アドレスの保存データを、前記訂正符号付き書込回路122を介してMRAM120Cのエラー発生アドレスに対して上書き保存する修復書込手段である。
工程1323・1324・1325によって構成された工程ブロック1333は第三の異常判定手段に相当し、当該第三の異常判定手段1333はMRAM120Cの特定区間領域の保存データを順次読出して、読出し区間全体のデータに関するサムチェック又はCRCチェックによって符号誤りの有無を判定する手段となっている。
工程1327は異常訂正転送手段に相当し、当該異常訂正転送手段1327は第三の異常判定手段1333が特定区間のMRAM120Cの保存データに符号誤りがあると判定し、第二の重複異常判定手段1232が特定区間内で一つの保存データに符号誤りがあると判定した場合に、サムチェックデータ又はCRCチェックデータから逆算して正しい保存データを推定演算して、当該推定データを訂正符号付き書込回路122を介してMRAM120Cのエラー発生アドレスに対して上書き保存する修復書込手段である。
【0142】
工程1240から工程1244によって構成された工程ブロック1201は点検時期判定手段に相当し、当該点検時期判定手1201は運転開始点検手段又は定期点検手段又は停止前点検手段のいずれかの手段を選択するものである。
なお、運転開始点検手段は電源スイッチ102が投入された直後において、MRAM120Cに保存されている特定領域の主要データについて重複異常判定手段1231・1232又は第三の異常判定手段1233によって符号誤りの有無を点検する特定点検手段となっている。
また、定期点検手段は電源スイッチ102の投入継続状態において、MRAM120Cに保存されている全データを複数分割して、各分割データについて重複異常判定手段1231・1232又は第三の異常判定手段1233によって符号誤りの有無を順次点検する分割更新点検手段となっている。
また、停止前点検手段は電源スイッチ102が遮断された直後の遅延復帰開閉素子103bの閉路期間において、MRAM120Cに保存されている全データについて重複異常判定手段1231・1232又は第三の異常判定手段1233によって符号誤りの有無を点検する一括点検手段となっている。
【0143】
次に、図9のものの書込禁止/解除動作に関する動作説明用フローチャートである図14について説明する。
図14において、工程1400はマイクロプロセッサ110Cの書込禁止動作の開始工程である。続く工程1401は外部ツール108が接続されて制御プログラムの書込みモードとなっているかどうかを判定し、書込みモードであればYESの判定を行って工程1405へ移行し、外部ツール108が接続されていないか又は読出しモードになっているときにはNOの判定を行なって工程1402へ移行するステップである。
工程1402は訂正書込み指令の有無を判定し、訂正書込みが必要なときにはYESの判定を行なって工程1405へ移行し、訂正書込みが必要ではないときにはNOの判定を行なって工程1403へ移行するステップである。
なお、ここで言う訂正書込みは図10の工程1008、図12の工程1218、図13の工程1335における訂正書込及び異常訂正書込に該当している。
工程1403は書込みしたいアドレス領域がプログラムメモリ領域であるか、データメモリ
領域であるかを判定し、プログラムメモリ領域であればYESの判定を行なって工程1404へ移行し、プログラムメモリ領域でなければNOの判定を行なって工程1405へ移行するス
テップである。
【0144】
工程1404は書込み禁止フラグをセットして、MRAM120Cのプログラムメモリ領域に対する書込指令信号の発生を禁止するステップである。
工程1405は書込み禁止フラグをリセットして、MRAM120Cのプログラムメモリ領域及びデータメモリ領域に対する書込指令信号の発生を許可するステップである。
工程1404・工程1405に続く工程1406は動作終了工程であり、マイクロプロセッサ110Cは動作終了工程1406に続いて他の制御動作を実行してから略定期的に動作開始工程1400へ復帰するようになっている。
なお、図10の工程1008、図12の工程1218、図13の工程1335を実行するときには書込禁止フラグがリセットされ、工程1008・工程1218・工程1335の実行に伴って即時に書込禁止フラグがセットされるようになっている。
【0145】
工程1404と工程1405によって構成された工程ブロック1410は書込禁止/解除手段となるものであり、当該書込禁止/解除手段1410は図1・図5における書込禁止/解除手段150に相当している。
従って、図1・図5ではハードウエア回路による書込禁止/解除手段150に替ってソフトウエア手段による書込禁止/解除手段1410に置き換えることができると共に、図9において書込禁止/解除手段150を用いれば、書込禁止/解除手段1410は不要となるものである。
なお、図1の書込禁止/解除手段150においてプログラムメモリ領域とデータメモリ領域の区分を最上位アドレス信号A15によって区分したが、その他の下位のアドレス信号を論理結合することによって正確な領域区分を行なうことができるものであり、図14における工程1403においても複数のアドレス信号に基づいて領域判定が行なわれるものである。
【0146】
(3)その他の実施形態の説明
図9のとおりに構成されたこの発明の第3実施例装置において、MRAM120Cは第一・第二のエラーレジスタ125a・125bと第一・第二のエラーフラグ生成回路124aa・124bbを有するものとして説明したが、この発明の基本主旨としては少なくとも第一・第二のエラーレジスタ125a・125bのどちらか一方と、第一・第二のエラーフラグ生成回路124aa・124bbのどちらか一方を備えておれば良い。
例えば、第二のエラーレジスタ125bが存在しないときには図11(A)の工程1103aから工程1109bと、図12の中の工程1203aから工程1204bと、図13の工程ブロック1327を削除すればよい。
逆に、第一のエラーレジスタ125aが存在しないときには図10(A)の工程1003aから工程1009aまでと、図12の中の工程1213aから工程1218を削除して工程1204bの判定がNOであったときには工程1222へ移行するようにすればよい。
なお、第一のエラーフラグ生成回路124aaと第二のエラーフラグ生成回路124bbのどちらかが存在しない場合には、異常計数回路170又は異常計数回路180を削除して、図10(B)又は図11(B)を削除すると共に、図11(A)の工程1111a・工程1112a又は工程1111b・工程1112bを削除すればよい。
【0147】
この発明の第1・第2の実施例装置において第二のエラーレジスタ125bと第三の異常判定手段を設けた場合には、第3の実施例装置で説明した異常訂正書込手段1327を導入することができる。
逆に、第3の実施例装置においてバックアップメモリ161A又は161Bを設けると、第1・第2の実施例装置における訂正転送手段427・827を導入することができる。
更に、フリップフロップ回路140Cで示された異常発生記憶手段は図1で示すようなカウンタ回路140Aに置きなおすことも可能である。
また、電源リレー103aを自己保持動作するための給電保持指令出力DR1に代わって、図5で示したようにウォッチドッグタイマ130が発生する出力許可信号OUTEを用いることも可能である。
【0148】
図9のとおりに構成されたこの発明の第3実施例装置において、エラー発生状態の集計手段はエラーフラグによるエラー発生情報を集計手段となる可逆カウンタによって加算計数し、読出し指令信号の分周信号により減算するようにしたが、簡略的には読出し指令信号の分周信号に代わって所定周期のクロック信号によって減算するようにしても良い。
また、集計手段としての可逆カウンタは簡略的にはハードウエアで構成された加算カウンタ又は減算カウンタとすることも可能である。
例えば、エラー発生に伴って現在値レジスタが加算され、計数現在値が所定の設定閾値を超過すると異常検出出力を発生するようにし、MRAMに対する読出し指令信号の分周信号又は所定周期のクロック信号によって現在値をゼロに初期化するようにしても良い。
また、エラー発生に伴って現在値レジスタが所定値から減算され、計数現在値がゼロに達すると異常検出出力を発生するようにし、MRAMに対する読出し指令信号の分周信号又は所定周期のクロック信号によって現在値を初期化して所定の初期値にセットするようにしても良い。
【0149】
(4)実施形態3の要点と特徴
この発明の実施形態3による電子制御装置100Cは、
外部電源101から給電され、入力センサ群106・107の動作状況に応じて電気負荷群105a・105bを駆動制御するマイクロプロセッサ110Cを備え、当該マイクロプロセッサと協働する不揮発プログラムメモリに対しては、外部ツール108から制御定数を含む制御プログラムが転送書込みされる電子制御装置100Cとなっている。
前記マイクロプロセッサ110Cは電気的に読み書きが行なえる不揮発プログラムメモリあるMRAM(MagneticRandom Access Memory)120Cに格納された制御プログラムに基づいて動作すると共に、当該MRAMは前記外部ツール108から転送書込みされた後は前記マイクロプロセッサ110Cの運転中において書換変更されることがない入出力制御プログラムを主体としたプログラムメモリ領域と、前記マイクロプロセッサ110Cの運転中に随時書換え変更されるデータメモリ領域とが異なるアドレス領域に分割されて格納されて いる。前記MRAM120Cは更に、前記マイクロプロセッサ110Cからの書込指令信号に応動して指定アドレスのメモリセル121に対して誤り訂正符合を付加した保存データを書込むための訂正符号付き書込回路122と、前記マイクロプロセッサ110Cからの読出指令信号に応動して指定アドレスのメモリセル121から前記保存データを復号化して読出す復号化読出回路123と、前記データメモリ領域に設けられたエラーレジスタ125a・125bと、前記プログラムメモリ領域に設けられた確認読出手段1003b・1103b・1203b・1213bと重複異常判定手段1010b・1120b・1231・1232となる制御プログラムとを包含すると共に、前記マイクロプロセッサ110Cからの書込指令信号は書込禁止/解除手段1410を介して前記MRAM120Cに供給されるように構成されている。
【0150】
前記エラーレジスタ125a・125bは前記メモリセル121の保存データに符号誤りがあるときに、誤り発生したアドレス番号がエラーデータとして格納され、当該保存エラーデータは前記マイクロプロセッサ110Cによってリセットされた後の最初に発生したエラーデータであるか、又は前記メモリセル121の各アドレスの内容を順次読み出すことによって新たなアドレスに符号誤りがあれば順次更新されたエラーデータが格納される特定アドレスのメモリである。
前記確認読出手段1003b・1103b・1203b・1213bは前記エラーレジスタ125a・125bにエラーデータが格納されていたことに応動して、当該エラーデータをリセットしてからエラー発生アドレスを再度アクセスした後に、再度前記エラーレジスタ125a・125bの内容を読み出し確認する手段である。
前記重複異常判定手段1010b・1120b・1231・1232は前記確認読出手段1003b・1103b・1203b・1213bによって読み出されたエラーレジスタ125a・125bの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する手段である。
前記書込禁止/解除手段1410は前記制御プログラムが格納されている前記MRAM120Cのプログラムメモリ領域に対しては前記マイクロプロセッサ110Cによる書込指令信号を前記MRAM120Cに供給するのを禁止すると共に、前記マイクロプロセッサ110Cに対して外部ツール108が接続されて、前記MRAM120Cに対して制御プログラムを書込みする状態にあるときには前記書込禁止機能を解除し、外部ツール108が接続されていないときにあっては前記制御プログラムの修復書込みを行なうときにも前記書込禁止機能を例外として解除する手段である。
前記重複異常判定手段1010b・1120b・1231・1232が異常判定を行なったとき、又は複数回の異常判定を行なったことに応動して、少なくとも異常報知を含む異常処理が実行されるようになっている。
【0151】
前記MRAM120Cは更に訂正書込手段1008・1218となる制御プログラムを包含している。前記エラーレジスタは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数以内でエラーを発生していて、読み出された保存データが前記復号化読出回路123によって復元訂正されたデータであるときに、当該エラー発生したアドレス番号が第一のエラーデータとして格納される第一の特定アドレスに位置する第一のエラーレジスタ125aとなっている。
前記確認読出手段は前記第一のエラーレジスタ125aに第一のエラーデータが格納されていたことに応動して、当該第一のエラーデータをリセットしてからエラー発生アドレスを再度アクセスした後に、再度前記第一のエラーレジスタ125aの内容を読み出し確認する第一の確認読出手段1003b・1213bとなっている。
前記訂正書込手段1008・1218は前記第一の確認読出手段1003b・1213bによる読出し結果として依然として第一のエラーレジスタ125aに第一のエラーデータが格納されたことに応動して、前記復号化読出回路123を介して読み出されたエラー発生アドレスの保存データを、前記訂正符号付き書込回路122を介して前記MRAM120Cのエラー発生アドレスに対して上書き保存する修復書込手段である。
前記重複異常判定手段は前記第一の確認読出手段1003b・1213bによって読出確認を行なったとき、又は前記訂正書込手段1008・1218によって訂正書き込みを行なった後の読出確認において、再度前記第一のエラーレジスタ125aの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する第一の重複異常判定手段1010b・1231となっている。
前記書込禁止/解除手段1410は前記訂正書込手段1008・1218による修復操作時にあっては、前記書込禁止機能を解除するものとなっている。
【0152】
前記MRAM120Cは前記第一のエラーレジスタ125aに加えて第一のエラーフラグ生成回路124aaを備えると共に、第一の集計手段1015と第一の散発異常検出手段1016によって構成された第一の散発異常判定手段1010aと、異常発生記憶手段140Cとを備えている。前記第一のエラーフラグ生成回路124aaは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数以内でエラーが発生していて、読み出された保存データが前
記復号化読出回路によって復元訂正されたデータであるときに、二値化論理情報である第一のエラーフラグFL11を発生する論理回路である。
前記第一のエラーフラグFL11は、前記MRAM120Cのアクセスアドレス毎にエラー発生の有無に応じて動作状態が変化するものである。
前記第一の加減算回路1015はハードウエアによって構成された異常計数回路170であって、前記第一のエラーフラグFL11の発生回数を加算又は減算し、前記マイクロプロセッサ110Cから供給された読出指令信号の分周信号DNPによって減算又は加算されるものである。前記第一の散発異常検出手段1016は前記異常計数回路170の現在値が所定の設定閾値を超過したことによって第一の異常検出信号となるカウントアップ出力EP1を発生するものである。
前記異常発生記憶手段140Cは前記第一の重複異常判定手段1010b・1231が異常判定を行なったことと、前記カウントアップ出力EP1が発生したことに応動して、少なくとも異常報知を行なう手段である。
従って、第一のエラーフラグの発生頻度に応じて正確に散発異常を検出することができると共に、ハードウエアカウンタによる高速計数が行なえてマイクロプロセッサの制御負担を軽減することができる特徴がある。
【0153】
前記エラーレジスタは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数を超過するエラーを発生していて、読み出された保存データが保存当初のデータと一致しているかどうかが保証できないデータであるときに、当該エラー発生したアドレス番号が第二のエラーデータとして格納される第二の特定アドレスに位置する第二のエラーレジスタ125bとなっている。
前記確認読出手段は前記第二のエラーレジスタ125bに第二のエラーデータが格納されていたことに応動して、当該第二のエラーデータをリセットしてからエラー発生アドレスを再度アクセスして、前記第二のエラーレジスタ125bの内容を読み出し確認する第二の確認読出手段1103b・1203bとなっている。
前記重複異常判定手段は前記第二の確認読出手段1103b・1203bによって読出確認を行なったときに、前記第二のエラーレジスタ125bの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する第二の重複異常判定手段1120b・1232となっている。
【0154】
前記MRAM120Cは前記第二のエラーレジスタ125bに加えて第二のエラーフラグ生成回路124bbを備えると共に、第二の集計手段1115と第二の散発異常検出手段1116によって構成された第二の散発異常判定手段1120aと、異常発生記憶手段140Cとを備えている。前記第二のエラーフラグ生成回路124bbは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数を超過するエラーが発生していて、読み出された保存データが保存当初のデータと一致しているかどうかが保証できないデータであるときに、二値化論理情報である第二のエラーフラグFL22を発生する論理回路である。
前記第二のエラーフラグFL22は、前記MRAM120Cのアクセスアドレス毎にエラー発生の有無に応じて動作状態が変化するものである。
前記第二の加減算回路1115はハードウエアによって構成された異常計数回路180であって、前記第二のエラーフラグFL22の発生回数を加算又は減算し、前記マイクロプロセッサ110Cから供給された読出指令信号の分周信号DNPによって減算又は加算されるものである。前記第二の散発異常検出手段1116は前記異常計数回路180の現在値が所定の設定閾値を超過したことによって第二の異常検出信号となるカウントアップ出力EP2を発生するものである。
前記異常発生記憶手段140Cは前記第二の重複異常判定手段1120b・1232が異常判定を行なったことと、前記カウントアップ出力EP2が発生したことに応動して、少なくとも異常報知を行なう手段である。
従って、第二のエラーフラグの発生頻度に応じて正確に散発異常を検出することができると共に、ハードウエアカウンタによる高速計数が行なえてマイクロプロセッサの制御負担を軽減することができる特徴がある。
【0155】
前記MRAM120Cは更に前記第二の重複異常判定手段1232と第三の異常判定手段1233となる制御プログラムの双方と、異常訂正書込手段1327となる制御プログラムを包含している。
前記第三の異常判定手段1333は前記MRAM120Cの特定区間領域の保存データを順次読出して、読出し区間全体のデータに関するサムチェック又はCRCチェックによって符号誤りの有無を判定する手段である。
前記異常訂正書込手段1327は前記第三の異常判定手段1333が特定区間のMRAM120Cの保存データに符号誤りがあると判定し、前記第二の重複異常判定手段1232が前記特定区間内で一つの保存データに符号誤りがあると判定した場合に、サムチェックデータ又はCRCチェックデータから逆算して正しい保存データを推定演算して、当該推定データを前記訂正符号付き書込回路122を介して前記MRAM120Cのエラー発生アドレスに対して上書き保存する修復書込手段である。
前記書込禁止/解除手段1410は前記異常訂正書込手段1327による修復操作時にあっては、前記書込禁止機能を解除するものである。
従って、一つのデータに多数ビットの符号誤りが発生しても、誤り発生前の正常データを演算算出して回復することができる特徴がある。
【0156】
前記MRAM120Cは更に第三の異常判定手段1333となる制御プログラムを包含すると共に、異常発生記憶手段140Cを備えている。
前記第三の異常判定手段1333は前記MRAM120Cの特定区間領域の保存データを順次読出して、読出し区間全体のデータに関するサムチェック又はCRCチェックによって符号誤りの有無を判定する手段である。
前記異常発生記憶手段140Cは前記重複異常判定手段1010b・1120b・1231・1232が異常判 定を行なったことと、前記第三の異常判定手段1331が異常判定を行なったことに応動して、少なくとも異常報知を行なう手段である。
【0157】
前記MRAM120Cは更に運転開始点検手段又は定期点検手段又は停止前点検手段のいずれかの手段を選択する点検時期判定手段1201となる制御プログラムを包含している。
前記運転開始点検手段は電源スイッチ102が投入された直後において、前記MRAM120Cに保存されている特定領域の主要データについて前記重複異常判定手段1231・1332又は前記第三の異常判定手段1333によって符号誤りの有無を点検する特定点検手段である。
前記定期点検手段は電源スイッチ102の投入継続状態において、前記MRAM120Cに保存されている全データを複数分割して、各分割データについて前記重複異常判定手段1231・1332又は前記第三の異常判定手段1333によって符号誤りの有無を順次定期点検する分割更新点検手段である。
前記停止前点検手段は電源スイッチ102が遮断された直後の遅延復帰開閉素子103bの閉路期間において、前記MRAM120Cに保存されている全データについて前記重複異常判定手段1231・1332又は前記第三の異常判定手段1333によって符号誤りの有無を点検する一括点検手段である。
【0158】
前記マイクロプロセッサ110Cは車載エンジンの運転状態を検出する車載センサ群106・107の動作状態に応動して、少なくとも吸気量制御手段又は燃料噴射制御手段を制御するものである。
前記MRAM120Cは更に、通常運転手段となる制御プログラムに加えて退避運転手段となる制御プログラムを包含すると共に、異常発生記憶手段140Cを備えている。
前記退避運転手段は前記吸気量制御手段による吸気量の抑制又は燃料噴射制御手段による給燃量の抑制によってエンジン回転速度を抑制した運転制御を実行する手段である。
前記異常発生記憶手段140Cは少なくとも前記重複異常判定手段1010b・1120b・1231・1232が異常判定を行なったとなったことに応動して異常報知を行うと共に、前記通常運転手段による通常運転モードから前記退避運転手段による退避運転モードに選択切換えするものである。
【0159】
前記マイクロプロセッサ110Cにはウォッチドッグタイマ130と異常発生記憶手段140Cとが併用されている。
当該ウォッチドッグタイマ130は前記マイクロプロセッサ110Cが発生するウォッチドッグクリア信号WD1のパルス幅が所定値を超過したことに伴ってリセットパルス信号RS1を発生して、当該マイクロプロセッサ110Cを初期化・再起動するタイマ回路である。
前記異常発生記憶手段140Cは前記重複異常判定手段1010b・1120b・1231・1232が異常発 生を判定したことに伴う異常検出パルス信号ER1・ER2と、前記ウォッチドッグタイマ130によるリセットパルス信号RS1の発生に応動して、一回のパルス信号又は複数回のパルス信号の発生に伴って、少なくとも異常報知を行なうと共に、前記通常運転手段による通常運転モードから前記退避運転手段による退避運転モードに選択切換えするためのフリップフロップ回路又はカウンタ回路によって構成された論理回路であって、当該論理回路には駆動停止手段142と記憶解除手段112Cとが付加されている。
前記駆動停止手段142は前記異常発生記憶手段140Cが異常発生を確定記憶しているときに作用し、上記電気負荷群105a・105bの中の一部の特定電気負荷の駆動を禁止するゲート回路である。
前記記憶解除手段112Cは電源スイッチ102の再投入等による人為的操作に応動するリセットパルス信号よって前記異常発生記憶手段140Cによる異常記憶信号をリセットする手段である。
【産業上の利用可能性】
【0160】
この発明の電子制御装置は、車載電子制御装置だけでなく、たとえばユーザによって作成されたシーケンスプログラムを外部ツールから転送書込みして使用されるプログラマブルコントローラにも使用することができる。
なお、この発明の実施例で説明した車載エンジン制御装置の場合には、異常発生時でもマイクロプロセッサは自動的に初期化再起動されるようになっているが、これは踏切内からの車両脱出等を想定して、安全対策としてはなるべくエンジン停止を行なわないようにすることが重視されているためである。
これに対し、一般に工場内設備の制御用に使用されるプログラマブルコントローラにおいては、異常発生時にはマイクロプロセッサを停止し、人為的操作によって再起動を可能にするのが一般的であり、設備の種類によっては異常停止後はマニュアル運転操作によって個別にアクチェータを操作して原点復帰を行なうような退避運転が行われるようになっている。
【図面の簡単な説明】
【0161】
【図1】この発明の第1実施例装置の回路ブロック図である。
【図2】図1のものの第一の異常判定に関する動作説明用フローチャートである。
【図3】図1のものの第二の異常判定に関する動作説明用フローチャートである。
【図4】図1のものの点検動作に関する動作説明用フローチャートである。
【図5】この発明の第2実施例装置の回路ブロック図である。
【図6】図5のものの第一の異常判定に関する動作説明用フローチャートである。
【図7】図5のものの第二の異常判定に関する動作説明用フローチャートである。
【図8】図5のものの点検動作に関する動作説明用フローチャートである。
【図9】この発明の第3実施例装置の回路ブロック図である。
【図10】図9のものの第一の異常判定に関する動作説明用フローチャートである。
【図11】図9のものの第二の異常判定に関する動作説明用フローチャートである。
【図12】図9のものの点検動作に関する前半動作説明用フローチャートである。
【図13】図9のものの点検動作に関する後半動作説明用フローチャートである。
【図14】図9のものの書込禁止/解除動作に関する動作説明用フローチャートである。
【符号の説明】
【0162】
100A;100B;100C 電子制御装置、
101 外部電源(車載バッテリ)、
102 電源スイッチ、
103b 遅延復帰開閉素子、
105a・105b 電気負荷群、
106 開閉センサ(入力センサ群)、
107 アナログセンサ(入力センサ群)、
108 外部ツール、
109 警報・表示器(異常報知手段)、
110A;110B;110C マイクロプロセッサ、
111 制御電源ユニット、
112A・112B・112C リセットパルス発生回路(記憶解除手段)、
120A;120B;120C 不揮発プログラムメモリ(MRAM)、
121 メモリセル、
122 訂正符号付き書込回路、
123 復号化読出回路、
124a・124b 第一・第二のエラーフラグ生成回路、
124aa・124bb 第一・第二のエラーフラグ生成回路、
125a・125b 第一・第二のエラーレジスタ、
126a・126b 第一・第二の現在値レジスタ、
126 共用現在値レジスタ、
130 ウォッチドッグタイマ、
140A;140B;140C 異常発生記憶手段(カウンタ回路又はフリップフロップ回路)、
142 ゲート回路(駆動停止手段)、
150;150;1410 書込禁止/解除手段、
160 補助CPU、
161A バックアップメモリ、
161B 補助プログラムメモリ(バックアップメモリ)、
170 異常計数回路(第一の加減算回路)、
180 異常計数回路(第二の加減算回路)、
RS1・RS2 リセットパルス信号、
WD1・WD2 ウォッチドッグクリア信号、
FL1・FL11 第一のエラーフラグ、
FL2・FL22 第二のエラーフラグ、
ER1・ER2 第一・第二の異常検出信号、
EP1・EP2 カウントアップ出力、
DNP 分周信号、
205a・205b・212 第一の集計手段、
605a・605b・612 共用集計手段、
1015 第一の集計手段、
305a・305b・312 第二の集計手段、
705a・705b・712 共用集計手段、
1115 第二の集計手段、
1116 203b;603b;1003b 第一の確認読出手段、
413b;813b;1213b 第一の確認読出手段、
303b;703b;1103b 第二の確認読出手段、
403b;803b;1203b 第二の確認読出手段、
206a;606a;1016 第一の散発異常検出手段、
306a;706a;1116 第二の散発異常検出手段、
210a;610a;1010a 第一の散発異常判定手段、
320a;720a;1120a 第二の散発異常判定手段、
210b;610b;1010b 第一の重複異常判定手段、
431;831;1231 第一の重複異常判定手段、
320b;720b;1120b 第二の重複異常判定手段、
432;832;1232 第二の重複異常判定手段、
208・418 訂正書込手段(修復書込手段)、
608・818 訂正書込手段(修復書込手段)、
1008・1218 訂正書込手段(修復書込手段)、
401;801;1201 点検時期判定手段、
431;831;1331 第三の異常判定手段、
427 訂正転送手段(修復書込手段)、
827 訂正転送手段(修復書込手段)、
1327 異常訂正書込手段(修復書込手段)。
【技術分野】
【0001】
この発明は、高速読み書きが容易に行なえる不揮発性メモリであるMRAM(Magnetic Random Access Memory)をプログラムメモリ兼データメモリとして使用するマイクロプロセッサを備えた電子制御装置の改良に関するものである。
【背景技術】
【0002】
マイクロプロセッサを用いた電子制御装置において、マスクROMメモリ又はフラッシ
ュメモリ等の不揮発性メモリをプログラムメモリとし、バッテリバックアップされたRA
Mメモリを演算処理用のデータメモリとする従来のメモリ構成に代わって高速読み書きが
容易に行なえる不揮発性メモリであるMRAMを使用することが検討されている。
しかし、高速読み書きが容易に行なえる利便性の反面でノイズ誤動作等によって容易に格
納データが変化する可能性が高く、慎重な扱いが必要となる。
例えば、下記の特許文献1「車載制御装置」によれば、MRAMの記憶領域をRAM領域
とROM領域に分け、ROM領域に対する書込み禁止手段を備えると共に、RAM領域に
関してもメンテナンスツールが接続されたような場合に、誤って保存データが削除されな
いようにするために、制御端子からの指令によって書込み禁止が行なえるように構成し、
不用意な書込・消去が行なわれないように配慮されている。
【0003】
また、下記の特許文献2「固体記憶装置における誤り訂正符号および復号化」によれば、固体記憶装置(MRAM)に格納された誤り訂正符号(Error Correction Code)
化データを用いて誤り訂正復号化データを得るMRAMが開示され、限られたビット数の
範囲で符号誤りが発生した場合に、読み出しデータを復元するようになっている。その他
、この発明に関連する技術として下記の特許文献3「マイコンにおけるプログラムエリア
のデータ保全方法」によれば、メモリのプログラムエリアを適当な領域に区切って複数の
データブロックに区画すると共に、夫々のデータブロックには格納するプログラムデータ
のサムチェックデータと誤り訂正符合を併せて格納して、マイコンの起動時にはプログラ
ムデータのサムチェックを行い、サムチェックが一致しない場合にデータ修復プログラム
を起動してプログラムデータの異常個所を割り出し、更に該当箇所の正常データを算出し
てプログラムデータを修復する保全方法が開示されている。
【0004】
【特許文献1】特開2003-104137号公報(図3、要約)
【特許文献2】特開2003-115197号公報(図1、要約)
【特許文献3】特開2005-208958号公報(図1、要約)
【発明の開示】
【発明が解決しようとする課題】
【0005】
(1)従来技術の課題の説明
前記特許文献1によれば、誤った書き込みが実行されないための書込み禁止機能に力点があり、発生した誤りを是正したり、是正不可能な誤りの検出と異常処理対策について論及されておらず、単に書込み禁止を行なっただけでは安全性の高い制御装置を得ることができない欠点がある。また、前記特許文献2によれば、訂正可能な誤りビット数には制限があり、これを超えたビット数の誤りの対策処理について論及されていない。
例えば、4ビットのデータに対して3ビットの訂正符号を付加した場合には、1ビットの範囲内での誤りは訂正できるが、2ビットの符号誤りが発生すると訂正不可能となる問題点があり、この状態でマイクロプロセッサを稼動させることは危険である。
しかし、多数ビットの誤り訂正を可能にするためには訂正符号ビット長が大きくなってメモリが大型高価となる欠点がある。
また、前記特許文献3によれば、一つのデータの中に多数ビットの符号誤りが発生していても、元の正しいデータを演算推定することができるが、複数データに符号誤りが同時に散発発生していると、回復することはできない問題点がある。
【0006】
(2)発明の目的の説明
この発明の目的は、制限されたビット数の範囲で符号誤りを復元読出しするように構成
された誤り訂正符号付きのMRAMにおいて、MRAMに対する誤書込みの予防を行なうと共に修復書込みを可能にし、更には修復困難な異常発生を検出して安全性を向上した電子制御装置を提供することである。
【課題を解決するための手段】
【0007】
この発明による電子制御装置は、外部電源から給電され、入力センサ群の動作状況に応
じて電気負荷群を駆動制御するマイクロプロセッサを備え、当該マイクロプロセッサと協働する不揮発プログラムメモリに対しては、外部ツールから制御定数を含む制御プログラムが転送書込みされる電子制御装置であって、前記マイクロプロセッサは電気的に読み書きが行なえる不揮発プログラムメモリであるMRAM(Magnetic Random Access Memory)に格納された制御プログラムに基づいて動作すると共に、当該MRAMは前記外部ツールから転送書込みされた後は前記マイクロプロセッサの運転中において書換変更されることがない入出力制御プログラムを主体としたプログラムメモリ領域と、前記マイクロプロセッサの運転中に随時書換え変更されるデータメモリ領域とが異なるアドレス領域に分割されて格納されている。
【0008】
前記MRAMは更に、前記マイクロプロセッサからの書込指令信号に応動して指定アド
レスのメモリセルに対して誤り訂正符合を付加した保存データを書込むための訂正符号付き書込回路と、前記マイクロプロセッサからの読出指令信号に応動して指定アドレスのメモリセルから前記保存データを復号化して読出す復号化読出回路と、前記データメモリ領域に設けられたエラーレジスタと、前記プログラムメモリ領域に設けられた確認読出手段と重複異常判定手段となる制御プログラムとを包含すると共に、前記マイクロプロセッサからの書込指令信号は書込禁止/解除手段を介して前記MRAMに供給されるように構成されている。前記エラーレジスタは前記メモリセルの保存データに符号誤りがあるときに、誤り発生したアドレス番号がエラーデータとして格納され、当該保存エラーデータは前記マイクロプロセッサによってリセットされた後の最初に発生したエラーデータであるか、又は前記メモリセルの各アドレスの内容を順次読み出すことによって新たなアドレスに符号誤りがあれば順次更新されたエラーデータが格納される特定アドレスのメモリである。
【0009】
前記確認読出手段は前記エラーレジスタにエラーデータが格納されていたことに応動して、当該エラーデータをリセットしてからエラー発生アドレスを再度アクセスした後に、再度前記エラーレジスタの内容を読み出し確認する手段である。
前記重複異常判定手段は前記確認読出手段によって読み出されたエラーレジスタの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する手段である。
前記書込禁止/解除手段は前記制御プログラムが格納されている前記MRAMのプログラムメモリ領域に対しては前記マイクロプロセッサによる書込指令信号を前記MRAMに供給するのを禁止すると共に、前記マイクロプロセッサに対して外部ツールが接続されて、前記MRAMに対して制御プログラムを書込みする状態にあるときには前記書込禁止機能を解除し、外部ツールが接続されていないときにあっては前記制御プログラムの修復書込みを行なうときにも前記書込禁止機能を例外として解除する手段であり、前記重複異常判定手段が異常判定を行なったとき、又は複数回の異常判定を行なったことに応動して、少なくとも異常報知を含む異常処理が実行されるようになっている。
【発明の効果】
【0010】
上述したこの発明による電子制御装置によれば、マイクロプロセッサに対するプログラムメモリとして符号訂正機能を持った磁気ランダムメモリ(MRAM)が使用され、当該MRAMにはエラーレジスタが付加されて、確認読出手段に基づく重複異常判定手段と書込禁止/解除手段とを備えている。
従って、MRAMの自己訂正機能に加えて書込禁止/解除手段による誤書込みの予防処置が行なわれ、更に重複異常判定手段によってMRAMの異常発生を検出し、一時的なノイズ誤動作に過度に感応することがなくて異常処理が行えるので、制御装置の安全性が向上し、過大なECCデータ(Error Correct Code)によるMRAMの大型化を回避して、手軽に読み書きが行なえるMRAMを活用することができる効果がある。
【発明を実施するための最良の形態】
【0011】
発明の実施の形態1
(1)構成の詳細な説明
以下、この発明の第1実施例装置の回路ブロック図を示す図1について説明する。
図1において、電子制御装置100Aは例えば車載エンジンの制御装置であって、電子制御装置100Aには車載バッテリである外部電源101が電源リレーの出力接点103bを介して接続されていて、電源リレーの励磁コイル103aは電源スイッチ102を介して外部電源101に接続されている。
負荷電源リレーの励磁コイル104aの正端は電源スイッチ102を介して外部電源101に接続されているが、負端は後述の反転駆動回路素子114によって導通が制御されている。
後述のマイクロプロセッサ110Aから第一の出力インタフェース回路115aを介して給電駆動される第一の電気負荷群105aは、例えば燃料噴射弁の駆動用電磁コイル、エンジンの点火コイル(エンジン形式がガソリンエンジンの場合)、排気循環弁の駆動用モータ、エアコン用の電磁クラッチ、警報・表示器などがある。
また、第二の出力インタフェース回路115bを介して給電駆動される第二の電気負荷群105bは、例えば吸気スロットルの弁開度制御用モータを含んでいる。
なお、第一の電気負荷群105aは電源リレーの出力接点103cを介して給電されるのに対し、第二の電気負荷群105bは負荷電源リレーの出力接点104bを介して給電されている。
【0012】
後述のマイクロプロセッサ110Aに対して入力インタフェース回路116を介して入力される開閉センサ群106は、例えばエンジンのクランク角センサ、車速測定用のパルスセンサ等のエンジンの運転状況を監視するON/OFF動作の各種センサとなっている。
後述のマイクロプロセッサ110Aに対して多チャンネルAD変換器を含むアナログ入力インタフェース回路117を介して入力されるアナログセンサ群107は、例えばエンジンの吸
気量を測定するエアフローセンサ、アクセルペダルの踏込み度合いを検出するアクセルポジションセンサ、スロットル弁開度を検出するスロットルポジションセンサ、排気ガスセンサ、エンジンの冷却水の温度センサ等のエンジンの運転状況を監視する各種センサとなっている。
後述のマイクロプロセッサ110Aに対してシリアルインタフェース回路118を介して接続される外部ツール108は、製品の出荷検査や保守点検操作を行なうときに図示しない着脱コネクタを介して接続されるものである。
警報・表示器109は後述の異常発生記憶手段であるカウンタ回路140Aの比較出力端子OUT
から給電されて、カウンタ回路140Aが計数する異常発生回数が所定回数を超過したことを報知するようになっている。
【0013】
電子制御装置100Aの内部の構成として、マイクロプロセッサ110Aは不揮発性のプログラムメモリであるMRAM120Aと、例えばEEPROMメモリ又はマスクROMメモリである不揮発性のバックアップメモリ161Aと協働するようになっている。
マイクロプロセッサ110Aは電源リレーの出力接点103bから給電される制御電源ユニット
111が発生する安定化電圧によって動作し、給電保持指令出力DR1を発生することによって駆動回路素子113Aを介して電源リレーの励磁コイル103aに対する付勢を持続させるようになっている。
リセットパルス発生回路112Aは制御電源ユニット111の出力電圧の発生時点にリセットパルス信号を発生して、後述の論理和素子131を介してマイクロプロセッサ110Aを初期化したり、後述の異常発生記憶手段であるカウンタ回路140Aを初期化するようになっている。
【0014】
MRAM120Aは外部ツール108から転送書込みされた後はマイクロプロセッサ110Aの運転中において書換変更されることがない入出力制御プログラムを主体としたプログラムメモリ領域と、マイクロプロセッサ110Aの運転中に随時書換え変更されるデータメモリ領
域とが異なるアドレス領域に分割されて格納されている。
MRAM120Aは更に、マイクロプロセッサ110Aからの書込指令信号に応動して指定アドレスのメモリセル121に対して誤り訂正符合を付加した保存データを書込むための訂正符号付き書込回路122と、マイクロプロセッサ110Aからの読出指令信号に応動して指定アドレスのメモリセル121から前記保存データを復号化して読出す復号化読出回路123と、第一・第二のエラーフラグ生成回路124a・124bと、前記データメモリ領域に設けられた第一・第二のエラーレジスタ125a・125bと、前記プログラムメモリ領域に設けられた後述の確認読出手段と重複異常判定手段となる制御プログラムとを包含すると共に、マイクロプロセッサ110Aからの書込指令信号は書込禁止/解除手段150を介してMRAM120Aに供給されるように構成されている。
【0015】
第一のエラーフラグ生成回路124aは指定アドレスのメモリセル121の内容が復号化可能な範囲のビット数以内でエラーが発生していて、読み出された保存データが前記復号化読出回路123によって復元訂正されたデータであるときに、二値化論理情報である第一のエラーフラグFL1を発生する論理回路となっている。
第一のエラーレジスタ125aは指定アドレスのメモリセル121の内容が復号化可能な範囲の
ビット数以内でエラーを発生していて、読み出された保存データが復号化読出回路123によって復元訂正されたデータであるときに、当該エラーを発生したアドレス番号が第一のエラーデータとして格納される第一の特定アドレスに位置するエラーレジスタとなっている。なお、第一のエラーフラグ生成回路124aはあれば便利であるが、これがなくても第一のエラーレジスタ125aの内容を確認することによって第一のエラーが発生したかどうかを知ることができるものとなっている。
第一の現在値レジスタ126aは後述の第一の集計手段において使用されるメモリであり、第一の現在値レジスタ126aと第一のエラーレジスタ125aとはメモリセル121のデータメモリ領域に設けられている。
【0016】
第二のエラーフラグ生成回路124bは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数を超過するエラーが発生していて、読み出された保存データが保存当初のデータと一致しているかどうかが保証できないデータであるときに、二値化論理情報である第二のエラーフラグFL2を発生する論理回路となっている。
第二のエラーレジスタ125bは指定アドレスのメモリセル121の内容が復号化可能な範囲のビット数を超過するエラーを発生していて、読み出された保存データが保存当初のデータと一致しているかどうかが保証できないデータであるときに、当該エラー発生したアドレス番号が第二のエラーデータとして格納される第二の特定アドレスに位置するエラーレジスタとなっている。なお、第二のエラーフラグ生成回路124bはあれば便利であるが、これがなくても第二のエラーレジスタ125bの内容を確認することによって第二のエラーが発生したかどうかを知ることができるものとなっている。
第二の現在値レジスタ126bは後述の第二の集計手段において使用されるメモリであり、第二の現在値レジスタ126bと第二のエラーレジスタ125bとはメモリセル121のデータメモリ領域に設けられている。
【0017】
ウォッチドッグタイマ130はマイクロプロセッサ110Aが発生するパルス列信号であるウォッチドッグクリア信号WD1を監視して、ウォッチドッグクリア信号WD1のパルス幅が所定閾値を超過するとリセットパルス信号RS1を発生し、論理和素子131を介してマイクロプロセッサ110Aのリセット入力端子RST1に供給し、マイクロプロセッサ110Aを初期化・再起動するようになっている。
また、リセットパルス信号RS1は論理和素子141Aを介して後述の異常発生記憶手段であるカウンタ回路140Aの計数入力端子UPに供給されるようになっている。
なお、ウォッチドッグタイマ130はウォッチドッグクリア信号WD1のパルス幅が正常であるときに出力許可信号OUTEを発生して、第一・第二の出力インタフェース回路115a・115b
の出力発生が可能となっている。
異常発生記憶手段となるカウンタ回路140Aは、論理和素子141Aの論理和出力信号の発生回数を計数するものであって、論理和素子141Aの入力端子にはマイクロプロセッサ110Aが発生する第一・第二の異常検出信号ER1・ER2と、ウォッチドッグタイマ130が発生するリセットパルス信号RS1とが接続されている。
【0018】
駆動停止手段となるゲート回路142はマイクロプロセッサ110Aが発生する負荷給電指令出力DR2と反転駆動回路素子114との間に接続されていて、負荷給電指令出力DR2が論理レベル「H」であるときに負荷電源リレーの励磁コイル104aを付勢するようになっている
が、カウンタ回路140Aの比較出力端子OUTの論理レベルが「H」になると、励磁コイル104aが消勢されるようになっている。
また、このような異常確定状態においてはモード切換指令信号LPHがマイクロプロセッサ110Aに供給されるようになっている。
書込禁止/解除手段となる論理回路150は初段の論理積素子151と論理和素子152、及び後段の論理積素子153と論理和素子154によって構成されている。
初段論理積素子151に入力されるツール接続信号TOOLは外部ツール108が接続されたことを検出して論理レベルが「H」となる信号であり、アドレス信号A15はメモリセル121の
最上位アドレスがアクセスされたときに論理レベルが「H」となる信号であり、この実施例ではMRAM120Aの半分の領域(A15=「H」)がプログラムメモリ領域として使用され、残りの半分の領域(A15=「L」)がデータメモリ領域として使用されている。
【0019】
マイクロプロセッサ110Aが発生する書込指令信号WRはメモリセル121に対してアドレスを指定してからデータバスに送出されたデータをメモリセル121に書込むときに論理レベル「H」となる信号であって、後段論理積素子153の入力端子に接続されている。
マイクロプロセッサ110Aが発生する書込訂正指令信号WRCはメモリセル121内の誤り符合を訂正したいときに、誤り発生アドレスを指定しデータバスに補正データを送出してから論理レベルを「H」にする指令信号であって、当該指令信号は後段論理和素子154の入力端子に接続されている。
初段論理和素子152の入力端子には初段論理積素子151の論理出力と、アドレス信号A15の反転論理出力とが入力され、その論理和出力は後段論理積素子153の入力端子に接続されている。
後段論理和素子154の入力端子には後段論理積素子153の論理出力と書込訂正指令信号WRCとが入力され、その論理和出力が書込指令入力WRMとしてMRAM120Aに供給されている。バックアップメモリ161Aは例えば退避運転プログラムが格納されていて、メモリセル121の中の重要制御プログラムである退避運転プログラムに異常が発生したときに、バックアップメモリ161Aの内容がメモリセル121へ転送されるようになっている。
【0020】
(2)作用動作の詳細な説明
図1のとおりに構成されたこの発明の第1実施例装置において、電源スイッチ102が閉路されると電源リレーの出力接点103bが閉路して、制御電源ユニット111が外部電源101から給電されて、安定化された制御電源電圧Vccを発生し、リセットパルス発生回路112Aが発生するリセットパルス信号によってマイクロプロセッサ110Aとカウンタ回路140Aが初期化されてからマイクロプロセッサ110Aが動作を開始して、マイクロプロセッサ110Aはウォッチドッグクリア信号WD1を発生する。
なお、MRAM120Aに制御プログラムが格納される前の初回給電時にあっては、MRA
M120Aに予め格納されているブートプログラムに基づいて外部ツール108からシリアルインターフェース回路118を介して制御プログラムがMRAM120Aに転送されるようになっている。なお、外部ツール108によって制御プログラムを書込むときには、ツール接続信号TOOLと最上位アドレス信号A15の論理レベルが共に「H」となっており、その結果として前段論理積素子151と前段論理和素子152の出力論理は「H」となり、マイクロプロセッサ110Aの書込み指令信号WRは後段論理積素子153と後段論理和素子154を介してそのままMRAM120Aに対して書込指令入力WRMとして供給されることになる。
【0021】
一方、MRAM120Aに制御プログラムが格納された後に電源スイッチ102が閉路されたときには、マイクロプロセッサ110Aとカウンタ回路140Aの初期化が行なわれてからマイクロプロセッサ110Aが動作を開始し、ウォッチドッグクリア信号WD1を発生すると共に給電保持指令出力DR1と負荷給電指令出力DR2を発生し、負荷電源リレーの励磁コイル104aが付勢される。
この状態ではツール接続信号TOOLが論理レベル「L」となっており、その結果として最上位アドレス信号A15の論理レベルが共に「H」となっているプログラムメモリ領域に対してはたとえ書込指令信号WRの論理レベルが「H」になったとしても、後段論理積素子153の出力論理は「L」となって、書込指令信号WRはMRAM120Aには供給されないようになっている。
但し、上位アドレス信号A15の論理レベルが共に「L」となっているデータメモリ領域に対しては初段論理和素子152の出力論理が「H」となっているので、書込指令信号WRは有効となっている。
また、後述の書換訂正指令信号WRCはメモリ領域とは無関係に常に有効となっている。
【0022】
マイクロプロセッサ110Aはアナログセンサ群107から得られるアナログ信号の電圧レベルと、開閉センサ群106から得られるON/OFF信号の動作状態と、MRAM120Aのメモリセル121に格納されている入出力制御プログラムとに応動して、第一・第二の電気負荷群105a・105bの駆動制御を行なう。
マイクロプロセッサ110Aの運転中にノイズ誤動作等によって第一・第二の異常検出信号
ER1・ER2が異常検出パルス信号を発生したり、ウォッチドッグタイマ130がリセットパル
ス信号RS1を発生すると、論理和素子141Aを介してカウンタ回路140Aの計数入力端子UPに計数入力信号が供給され、カウンタ回路140Aは異常発生回数を計数し、これが所定値を
超過するとカウントアップして比較出力端子OUTの論理レベルが「H」となる。
その結果、警報・表示器109が作動すると共に、ゲート回路142によって負荷給電指令出
力DR2が遮断されて負荷電源リレーの励磁コイル104aが消勢され、マイクロプロセッサ
110Aに対してはモード切換指令信号LPHが供給される。
その結果、マイクロプロセッサ110Aはエンジン回転速度を抑制した退避運転モードへ移
行するようになっている。
【0023】
マイクロプロセッサ110Aの運転中に電源スイッチ102が開路すると、給電保持指令出力
DR1と駆動回路素子113Aによって励磁コイル103a・104aに対する付勢が持続し、マイクロプロセッサ110Aは学習記憶情報等の確認保存を実行した後に自ら給電保持指令出力DR1を停止し、その結果として励磁コイル103aが消勢されるようになっている。
電源スイッチ102を再投入すると、マイクロプロセッサ110Aとカウンタ回路140Aはリセットパルス発生回路112Aによって初期化されるので、カウンタ回路140Aのカウントアップがノイズ誤動作によるものであった場合には正常運転状態に回復することになる。
但し、MRAM120Aやその他のハードウエアの異常によって第一・第二の異常検出信号
ER1・ER2、又はウォッチドッグタイマ130がリセットパルス信号RS1を発生している場合
には、カウンタ回路140Aは再びこれらの異常信号を計数して、速やかに異常報知・負荷
電源リレーの停止等を行なうことになる。
【0024】
次に、図1のものの第一の異常判定に関する動作説明用フローチャートである図2について説明する。図2において、工程200はマイクロプロセッサ110AがMRAM120Aの異常判定動作を開始するステップ、続く工程201は後述の工程202において初期フラグがセットされているかどうかによって初回動作であるかどうかを判定し、初回動作であればYESの判定を行なって工程202へ移行し、初回動作でなければNOの判定を行なって工程203へ移行するステップ、工程202は前述の第一・第二のエラーフラグ生成回路124a・124bや第一・第二のエラーレジスタ125a・125bや第一・第二の現在値レジスタ126a・126aの内容を初期化すると共に、図示しない初期フラグをセットするステップであり、当該初期フラグは電源スイッチ102が投入された時点でリセットされているようになっている。
工程203は第一のエラーフラグFL1又は第一のエラーレジスタ125aの内容を読み出すタイミングであるかどうかを判定し、読出時期であればYESの判定を行なって工程203aへ移行し、読出時期でなければNOの判定を行なって中継端子4Aを介して図4の工程401へ移行するステップであり、読出時期であるか否かの判定は図示しないタイマによって計測され、たとえば約10msecに一度の割合でYESの判定を行なうようになっている。
【0025】
工程203aは第一のエラーフラグFL1又は第一のエラーレジスタ125aの内容を読み出して図示しない後書き優先のテンポラリレジスタに上書き保存すると共に、第一のエラーフラグ124a又は第一のエラーレジスタ125aの内容をリセットするステップである。
続く工程204aは工程203aで読みだされたテンポラリレジスタの内容が第一のエラーの発生状態であったかどうかによって、第一のエラーの発生時にはYESの判定を行なって工程205aへ移行し、第一のエラーが発生していなければNOの判定を行なって工程211へ移行するステップである。
なお、第一のエラーは符号訂正が可能であるエラーのことであり、第一のエラーフラグFL1の論理が正であるか、第一のエラーレジスタ125aの内容がメモリセル121のアドレスであった場合に第一のエラーが発生したと判定するものとなっている。
工程205aは第一の現在値レジスタ126aに対して第二の変分値Δ2として例えば「2」を加算するステップ、続く工程206aは第一の現在値レジスタ126aの値が正常側限界値である例えば「11」を超過したかどうかを判定し、超過でなければNOの判定を行なって工程207aへ移行し、超過であればYESの判定を行なって工程209へ移行するステップである。
【0026】
工程207aはエラー発生したアドレスを指定してその内容を読み出すステップであるが、工程203aにおいて第一のエラーレジスタ125aを読み出した場合であれば、当該第一のエラーレジスタ125aに格納されているエラー発生アドレスを指定して読み出すことになり、工程203aにおいて第一のエラーフラグFL1を読み出した場合であれば、工程207aではまず第一のエラーレジスタ125aの内容を読み出して、続いて当該第一のエラーレジスタ125aに格納されているエラー発生アドレスを指定して読み出すことになる。
従って、工程203aにおいて第一のエラーフラグFL1を用いた場合には、工程207aでは二度手間になるが、エラー発生のない通常状態であれば第一のエラーレジスタ125aの内容確
認を行なわないでも工程211へ速やかに移行できるようになっている。
【0027】
工程207aに続いて実行される工程203bは、第一のエラーフラグFL1又は第一のエラーレジスタ125aの内容を読み出して図示しないテンポラリレジスタに上書きすると共に、第一のエラーフラグFL1又は第一のエラーレジスタ125aの内容をリセットするステップである。続く工程204bは工程203bで読みだされたテンポラリレジスタの内容が第一のエラーの発生状態であったかどうかによって、第一のエラーの発生時にはYESの判定を行なって工程205bへ移行し、第一のエラーが発生していなければNOの判定を行なって工程211へ移行するステップである。工程205bは第一の現在値レジスタ126aに対して第三の変分値Δ3として例えば「4」を加算するステップ、続く工程206bは第一の現在値レジスタ126aの値が正常側限界値である例えば「11」を超過したかどうかを判定し、超過でなければNOの判定を行なって工程207bへ移行し、超過であればYESの判定を行なって工程209へ移行するステップである。
【0028】
工程207bはエラー発生したアドレスを指定してその内容を読み出すステップであるが、工程203bにおいて第一のエラーレジスタ125aを読み出した場合であれば、当該第一のエラーレジスタ125aに格納されているエラー発生アドレスを指定して読み出すことになり、工程203bにおいて第一のエラーフラグFL1を読み出した場合であれば、工程207bではまず第一のエラーレジスタ125aの内容を読み出して、続いて当該第一のエラーレジスタ125aに格納されているエラー発生アドレスを指定して読み出すことになる。
続く工程208は工程207bで読みだされた復号化データを訂正符号付き書込回路122を介して修復書込みするステップである。
続く工程207cは工程208によって修復書込みされたデータを複号化読出回路123を介して読み出すステップであり、工程207cに続いて工程203bへ復帰して、エラー発生が継続しているかどうかの読出しが行なわれるようになっている。
工程208による修復書込みの結果として、工程204bの判定がNOとなってエラーが発生していなければ工程211へ移行するが、依然として第一のエラーが発生しておれば工程205bによる変分値Δ3の加算が繰り返されることになり、続く工程206bによって超過判定がな
され工程209へ移行することになる。
【0029】
工程206a・206bの判定が上限超過であった場合に実行される工程209では、第一の異常検出信号ER1のパルスを発生すると共に、第一のエラーフラグFL1と第一のエラーレジスタ125aの内容をリセットし、第一の現在値レジスタ126aの値を例えば「9」に初期化し、中継端子3Aを経由して図3の工程303aへ移行するようになっている。
工程ブロック210aは工程204a・205a・206aによって構成された第一の散発異常判定手段となる工程群であり、工程ブロック210bは工程204b・205b・206bによって構成された第一の重複異常判定手段となる工程群である。
なお、工程ブロック210aでは不特定多数のアドレスで発生した第一のエラーによって第一の現在値レジスタ126aに対して第二の変分値Δ2が加算されるものであるのに対し、工程ブロック210bでは工程207a又は工程207cによって指定された異常発生中の特定アドレスに対する再確認動作によって第三の変分値Δ3が加算されるものとなっている。
【0030】
工程204a・204bの判定がNOであって第一のエラーが発生していなかったときに実行される工程211は第一の現在値レジスタ126aの値が例えば正常側限界値「0」になったかどうかを判定し、「0」になっていなければNOの判定を行なって工程212へ移行し、「0」になっておればYESの判定を行なって中継端子3Aを経由して図3の工程303aへ移行するステップである。工程212は第一の現在値レジスタ126aの値から変分値Δ1として例えば「1」を減算するステップであり、工程212に続いて中継端子3Aを介して図3の工程303aへ移行するようになっている。
【0031】
以上のフローチャートを概括説明すると、工程205a・212は第一の集計手段に相当しており、当該第一の集計手段205a・212は第一のエラーの発生に応動して第一の現在値レジスタ126aに第二の変分値Δ2を加算(又は減算)し、第一のエラーレジスタ125aと第一のエラーフラグFL1をリセットしておくと共に、第一のエラーが発生していなければ第一の変分値Δ1を減算(又は加算)して相互に減殺するように第一の現在値レジスタ126aに対する加減算補正を行い、前記第一のエラーの不作動状態が継続したときには所定の正常側限界値において上記第一の変分値Δ1による加減算補正を停止する手段であって、図の実施例ではエラー発生で加算されるものとして説明されている。
なお、実態としては第一のエラーレジスタ125aと第一のエラーフラグFL1は前述のテンポラリレジスタに格納された工程203aにおいてリセットされるものである。
また、第一の現在値レジスタ126aに対する加減算の方向を反対にして、現在値の異常側下限値を「0」、正常側上限値を「11」として、第一のエラーが発生すると第二の変分値Δ2を減算し、正常時には第一の変分値Δ1を加算するようにしてもよい。
工程206aは第一の散発異常検出手段に相当しており、当該第一の散発異常検出手段206aは、第一・第二の変分値Δ1・Δ2の累積によって第一の現在値レジスタ126aの値が所定の異常側限界値の域外となったときに第一の異常検出信号ER1を発生する手段であって、第二の変分値Δ2は第一の変分値Δ1よりも大きな値であって、しかも前記異常側限界値と正常側限界値との差である許容累積値よりも小さな値として設定されている。
【0032】
従って、ノイズ誤動作等によって第一のエラーが散発発生した場合に、直ちには第一の異常検出信号ER1は発生せず、ハードウエア異常によって継続的に第一のエラーが発生した場合には速やかに第一の異常検出信号ER1が発生するようになっている。
工程ブロック210aは第一の集計手段205aと第一の散発異常検出手段206aとを包含した第一の散発異常判定手段となるものである。
工程203bは第一の確認読出手段に相当し、当該第一の確認読出手段203bは第一のエラー
レジスタ125aに第一のエラーデータが格納されていたことに応動して、当該第一のエラーデータをリセット(工程203aによる)してからエラー発生アドレスを再度アクセス(工程207aによる)した後に、再度第一のエラーレジスタ125aの内容を読み出し確認する手段となっている。
工程208は訂正書込手段に相当し、当該訂正書込手段208は第一の確認読出手段203bによる読出し結果として依然として第一のエラーレジスタ125aに第一のエラーデータが格納されたことに応動して、復号化読出回路123を介して読み出されたエラー発生アドレスの保存データを、訂正符号付き書込回路122を介してMRAM120Aのエラー発生アドレスに対して上書き保存する修復書込手段となっている。
【0033】
工程205b・212は第一の集計手段に相当しており、当該第一の集計手段205bは第一の確認読出手段203bによって読出確認を行なったとき、又は訂正書込手段208によって訂正書き込みを行なった後の読出確認において、再度第一のエラーが発生する重複異常の発生時には、第一の現在値レジスタ126aに対して第二の変分値Δ2以上の値である第三の変分値Δ3を加算又は減算する手段となっている。
工程206bは第一の重複異常検出手段に相当しており、当該第一の重複異常検出手段206bは、第一・第三の変分値Δ1・Δ3の累積によって第一の現在値レジスタ126aの値が所定の異常側限界値の域外となったときに第一の異常検出信号ER1を発生する手段であって、第三の変分値Δ3は前記異常側限界値と正常側限界値との差である許容累積値よりも小さな値として設定されている。
第一の集計手段205bと第一の重複異常検出手段206bを包含して構成された工程ブロック210bは第一の重複異常判定手段に相当し、当該第一の重複異常判定手段210bは第一の確認読出手段203bによって読出確認を行なったとき、又は訂正書込手段208によって訂正書き込みを行なった後の読出確認において、再度第一のエラーレジスタ125aの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する手段となっている。
但し、以上で説明した実施例の場合は、複数回の確認読出と訂正書込を行なった場合に第一の異常検出信号ER1が発生するように設定されており、もしも第三の変分値Δ3を大きく設定すれば直ちに第一の異常検出信号ER1を発生することができるものである。
【0034】
次に、図1のものの第二の異常判定に関する動作説明用フローチャートである図3について説明する。
図3において、前述の工程209・211・212に続いて実行される工程303aは第二のエラーフラグFL2又は第二のエラーレジスタ125bの内容を読み出して図示しないテンポラリレジスタに格納すると共に、第二のエラーフラグFL2又は第二のエラーレジスタ125bの内容をリセットするステップ、続く工程304aは工程303aで読みだされたテンポラリレジスタの内容が第二のエラーの発生状態であったかどうかによって、第二のエラーの発生時にはYESの判定を行なって工程305aへ移行し、第二のエラーが発生していなければNOの判定を行なって工程311へ移行するステップである。
なお、第二のエラーは符号訂正が不可能であるエラーのことであり、第二のエラーフラグFL2の論理が正であるか、第二のエラーレジスタ125bの内容がメモリセル121のアドレスであった場合に第二のエラーが発生したと判定するものとなっている。
工程305aは第二の現在値レジスタ126bに対して第五の変分値Δ5として例えば「3」を加算するステップ、続く工程306aは第二の現在値レジスタ126bの値が正常側限界値である例えば「11」を超過したかどうかを判定し、超過でなければNOの判定を行なって工程307aへ移行し、超過であればYESの判定を行なって工程309aへ移行するステップである。
【0035】
工程309aは第二の異常検出信号ER2を発生すると共に第二のエラーフラグFL2と第二のエラーレジスタ125bの内容をリセットし、第二の現在値レジスタ126bの現在値を例えば
「9」に初期化してから中継端子4Aを介して図4の工程ブロック401aへ移行するステップである。
工程307aはエラー発生したアドレスを指定してその内容を読み出すステップであるが、工程303aにおいて第二のエラーレジスタ125bを読み出した場合であれば、当該第二のエラーレジスタ125bに格納されているエラー発生アドレスを指定して読み出すことになり、工程303aにおいて第二のエラーフラグFL2を読み出した場合であれば、工程307aではまず第二のエラーレジスタ125bの内容を読み出して、続いて当該第二のエラーレジスタ125bに格納されているエラー発生アドレスを指定して読み出すことになる。
従って、工程303aにおいて第二のエラーフラグFL2を用いた場合には、工程307aでは二度手間になるが、エラー発生のない通常状態であれば第二のエラーレジスタ125bの内容確
認を行なわないでも工程311へ速やかに移行できるようになっている。
【0036】
工程307aに続いて実行される工程303bは第二のエラーフラグFL2又は第二のエラーレジスタ125bの内容を読み出して図示しないテンポラリレジスタに格納すると共に、第二のエラーフラグFL2又は第二のエラーレジスタ125bの内容をリセットするステップである。続く工程304bは工程303bで読みだされたテンポラリレジスタの内容が第二のエラーの発生状態であったかどうかによって、第二のエラーの発生時にはYESの判定を行なって工程305bへ移行し、第二のエラーが発生していなければNOの判定を行なって工程311へ移行するステップである。
工程305bは第二の現在値レジスタ126bに対して第六の変分値Δ6として例えば「6」を加算するステップ、続く工程306bは第二の現在値レジスタ126bの値が正常側限界値である例えば「11」を超過したかどうかを判定し、超過でなければNOの判定を行なって工程303bへ復帰し、超過であればYESの判定を行なって工程309bへ移行するステップである。
【0037】
工程309bは第二の異常検出信号ER2を発生すると共に、第二のエラーフラグFL2と第二のエラーレジスタ125bの内容をリセットし、第二の現在値レジスタ126bの現在値を例えば「9」に初期化してから中継端子4Aを介して図4の工程ブロック401へ移行するステップである。
工程ブロック320aは工程304a・305a・306aによって構成された第二の散発異常判定手段となる工程群であり、工程ブロック320bは工程304b・305b・306bによって構成された第二の重複異常判定手段となる工程群である。
なお、工程ブロック320aでは不特定多数のアドレスで発生した第二のエラーによって第二の現在値レジスタ126bに対して第五の変分値Δ5が加算されるものであるのに対し、工程ブロック320bでは工程307aによって指定された異常発生中の特定アドレスに対する再確認動作によって第六の変分値Δ6が加算されるものとなっている。
【0038】
工程304a・304bの判定がNOであって第二のエラーが発生していなかったときに実行される工程311は第二の現在値レジスタ126bの値が例えば正常側限界値「0」になったかどうかを判定し、「0」になっていなければNOの判定を行なって工程312へ移行し、「0」になっておればYESの判定を行なって中継端子4Aを経由して図4の工程ブロック401へ移行するステップである。
工程312は第二の現在値レジスタ126bの値から変分値Δ4として例えば「1」を減算するステップであり、工程312に続いて中継端子4Aを介して図4の工程ブロック401へ移行するようになっている。
【0039】
以上のフローチャートを概括説明すると、工程305a・312は第二の集計手段に相当しており、当該第二の集計手段305a・312は第二のエラーの発生に応動して第二の現在値レジスタ126bに第五の変分値Δ5を加算(又は減算)し、第二のエラーレジスタ125bと第二のエラーフラグFL2をリセットしておくと共に、第二のエラーが発生していなければ第四の変分値Δ4を減算(又は加算)して相互に減殺するように第二の現在値レジスタ126bに対する加減算補正を行い、前記第二のエラーの不作動状態が継続したときには所定の正常側限界値において上記第四の変分値Δ4による加減算補正を停止する手段であって、図の実施例ではエラー発生で加算されるものとして説明されている。
しかし、第二の現在値レジスタ126bに対する加減算の方向を反対にして、現在値の異常側下限値を「0」正常側上限値を「11」として、第二のエラーが発生すると第五の変分値Δ5を減算し、正常時には第四の変分値Δ4を加算するようにしてもよい。
工程306aは第二の散発異常検出手段に相当しており、当該第二の散発異常検出手段306aは、第四・第五の変分値Δ4・Δ5の累積によって第二の現在値レジスタ126bの値が所定の異常側限界値の域外となったときに第二の異常検出信号ER2を発生する手段であって、第五の変分値Δ5は第四の変分値Δ4よりも大きな値であって、しかも前記異常側限界値と正常側限界値との差である許容累積値よりも小さな値として設定されている。
【0040】
従って、ノイズ誤動作等によって第二のエラーが散発発生した場合に、直ちには第二の異常検出信号ER2は発生せず、ハードウエア異常によって継続的に第二のエラーが発生した場合には速やかに第二の異常検出信号ER2が発生するようになっている。
工程ブロック320aは第二の集計手段305aと第二の散発異常検出手段306aとを包含した第二の散発異常判定手段となるものである。
工程303bは第二の確認読出手段に相当し、当該第二の確認読出手段303bは第二のエラーレジスタ125bに第二のエラーデータが格納されていたことに応動して、当該第二のエラーデータをリセット(工程303aによる)してからエラー発生アドレスを再度アクセス(工程307aによる)した後に、再度第二のエラーレジスタ125bの内容を読み出し確認する手段となっている。
【0041】
工程305b・312は第二の集計手段に相当しており、当該第二の集計手段305bは第二の確認読出手段303bによって読出確認を行なったときに、再度第二のエラーが発生する重複異常の発生時には、第二の現在値レジスタ126bに対して第五の変分値Δ5以上の値である第六の変分値Δ6を加算又は減算する手段となっている。
工程306bは第二の重複異常検出手段に相当しており、当該第二の重複異常検出手段306bは、第四・第六の変分値Δ4・Δ6の累積によって第二の現在値レジスタ126bの値が所定の異常側限界値の域外となったときに第二の異常検出信号ER2を発生する手段であって、第六の変分値Δ6は前記異常側限界値と正常側限界値との差である許容累積値よりも小さな値として設定されている。
第二の集計手段305bと第二の重複異常検出手段306bを包含して構成された工程ブロック320bは第二の重複異常判定手段に相当し、当該第二の重複異常判定手段320bは第二の確認読出手段303bによって読出確認を行なったとき、再度第二のエラーレジスタ125bの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する手段となっている。
但し、以上で説明した実施例の場合は、複数回の確認読出を行なった場合に第二の異常検出信号ER2が発生するように設定されており、もしも第六の変分値Δ6を大きく設定すれば直ちに第二の異常検出信号ER2を発生することができるものである。
【0042】
次に、図1のものの点検動作に関する動作説明用フローチャートである図4について説明する。
図4において、前述の工程203・309a・309b・311・312に続いて実行される工程ブロック401は、異常点検時期であるかどうかを判定して、異常判定時期でなければNOの判定を行なって動作終了工程420へ移行し、異常点検時期であれば異常点検領域を選択して工程402へ移行する工程群である。
工程ブロック401において、工程440は電源スイッチ102が閉路された直後であるかどうかを判定し、OFF→ONへの変化後であればYESの判定を行なって工程441へ移行し、既に閉路済又は開路済であれば工程442へ移行するステップ、工程441は運転開始点検の対象となる特定点検領域を選択するステップであり、当該特定点検領域は安全上の重要プログラム領域である例えば退避運転制御プログラムが選択されるようになっている。
工程442は電源スイッチ102が閉路しているか否かを判定し、閉路しておればYESの判定を行なって工程443へ移行し、開路しておればNOの判定を行なって工程444へ移行するステップであり、工程442がNOの判定を行なうのは一旦閉路されていた電源スイッチ102が開路されて、遅延復帰開閉素子103bによって給電持続されている状態である。
【0043】
工程443は定期点検時期であるかどうかを判定し、定期点検時期であればYESの判定を行なって工程444へ移行し、定期点検時期でなければNOの判定を行なって動作終了工程420へ移行するステップであり、当該工程443は略定期的にYESの判定を行なうようになっている。
工程444は定期点検又は停止前点検の対象となる分割点検領域を選択・更新するステップ
であり、定期点検の場合には後述の工程426が領域更新完了の判定を行なうことによって
一旦は動作終了工程420へ移行し、再び動作開始工程200が活性化された後の工程444において複数分割されている分割点検領域を更新選択するようになっている。
電源スイッチ102が開路された停止前点検の場合には、後述の工程426が領域更新未完了の判定を行なうことによって、中継端子4Bを介して再び工程444へ復帰して、複数分割されている分割点検領域を引き続き更新選択するようになっている。
【0044】
工程441又は工程444に続いて実行される工程402は、点検対象となったMRAM120Aのアドレス領域において、メモリセル121のアドレスを指定してメモリ内容を読み出してみるステップである。
続く工程403aは第二のエラーフラグFL2又は第二のエラーレジスタ125bの内容を読み出して図示しないテンポラリレジスタに格納すると共に、第二のエラーフラグFL2又は第二のエラーレジスタ125bの内容をリセットするステップである続く工程404aは工程403aで読みだされたテンポラリレジスタの内容が第二のエラーの発生状態であったかどうかによって、第二のエラーの発生時にはYESの判定を行なって工程407aへ移行し、第二のエラーが発生していなければNOの判定を行なって工程413aへ移行するステップである。
【0045】
工程407aはエラー発生したアドレスを指定してその内容を読み出すステップであるが、工程403aにおいて第二のエラーレジスタ125bを読み出した場合であれば、当該第二のエラーレジスタ125bに格納されているエラー発生アドレスを指定して読み出すことになり、工程403aにおいて第二のエラーフラグFL2を読み出した場合であれば、工程407aではまず第二のエラーレジスタ125bの内容を読み出して、続いて当該第二のエラーレジスタ125bに格納されているエラー発生アドレスを指定して読み出すことになる。
従って、工程403aにおいて第二のエラーフラグFL2を用いた場合には、工程407aでは二度手間になるが、エラー発生のない通常状態であれば第二のエラーレジスタ125bの内容確
認を行なわないでも工程413aへ速やかに移行できるようになっている。
工程407aに続いて実行される工程403bは第二のエラーフラグFL2又は第二のエラーレジスタ125bの内容を読み出して図示しないテンポラリレジスタに格納すると共に、第二のエラーフラグFL2又は第二のエラーレジスタ125bの内容をリセットするステップである。
続く工程404bは工程403bで読みだされたテンポラリレジスタの内容が第二のエラーの発生状態であったかどうかによって、第二のエラーの発生時にはYESの判定を行なって工程427へ移行し、第二のエラーが発生していなければNOの判定を行なって工程413aへ移行するステップである。
【0046】
工程413aは第一のエラーフラグFL1又は第一のエラーレジスタ125aの内容を読み出して図示しない後書き優先のテンポラリレジスタに上書き保存すると共に、第一のエラーフラグFL1又は第一のエラーレジスタ125aの内容をリセットするステップである。
続く工程414aは工程413aで読みだされたテンポラリレジスタの内容が第一のエラーの発生状態であったかどうかによって、第一のエラーの発生時にはYESの判定を行なって工程417aへ移行し、第一のエラーが発生していなければNOの判定を行なって工程422へ移行するステップである。
工程417aはエラー発生したアドレスを指定してその内容を読み出すステップであるが、工程413aにおいて第一のエラーレジスタ125aを読み出した場合であれば、当該第一のエラーレジスタ125aに格納されているエラー発生アドレスを指定して読み出すことになり、工程413bにおいて第一のエラーフラグFL1を読み出した場合であれば、工程417aではまず第一のエラーレジスタ125aの内容を読み出して、続いて当該第一のエラーレジスタ125aに格納されているエラー発生アドレスを指定して読み出すことになる。
【0047】
続く工程413bは第一のエラーフラグFL1又は第一のエラーレジスタ125aの内容を読み出して図示しない後書き優先のテンポラリレジスタに上書き保存すると共に、第一のエラーフラグFL1又は第一のエラーレジスタ125aの内容をリセットするステップである。
続く工程414bは工程413bで読みだされたテンポラリレジスタの内容が第一のエラーの発生状態であったかどうかによって、第一のエラーの発生時にはYESの判定を行なって工程421へ移行し、第一のエラーが発生していなければNOの判定を行なって工程422へ移行するステップである。
工程421は次工程418によって正常データの訂正書込みが実行されたかどうかを判定し、訂正未書込みであればNOの判定を行なって工程418へ移行し、訂正書込み済であればYESの判定を行なって工程429へ移行するステップである。
工程418は工程417aで読みだされた復号化データを訂正符号付き書込回路122を介して修復書込みするステップであり、当該工程418に続いて工程413bへ復帰して、正常書込みがおこなわれたかどうかが工程414bによって判定されるようになっている。
【0048】
工程422は今回の点検対象となっている領域の点検が完了したかどうかを判定し、未完了であればNOの判定を行なって工程402へ復帰して点検アドレスを更新し、点検完了であればYESの判定を行なって工程423へ移行するステップである。
工程423はサムチェック又はCRCチェックのためにグループ分けされている複数の点検領域について、どの領域をチェックするかを設定するステップであり、当該点検領域は例えば工程441又は工程444で選択された点検領域と同じ領域であるか、更に細分化された領域であってもよい。
続く工程424は工程423で設定された点検領域についてサムチェック又はCRCチェックを行なうステップ、続く工程425は工程424によるチェック結果が正常であったか否かによって、正常であればYESの判定を行なって工程426へ移行し、正常でなければNOの判定を行なって工程429へ移行するステップである。
工程426では電源スイッチ102が閉路されている定期点検の時にはYESの判定が行なわれ、電源スイッチ102が開路されている停止前点検の時には、先ずはNOの判定が行なわれて工程444へ復帰し、繰り返して複数の点検領域の点検を行なって全ての分割点検領域の点検が完了すればYESの判定を行なって動作終了工程420へ移行するようになっている。
【0049】
工程404bで第二のエラーが発生していると判定されたときに実行される工程427は、バックアップメモリ161Aからエラー発生アドレスに対応してデータを読み出して、MRAM120Aへ転送書込みするステップである。
続く工程428は工程427による転送書込みが初回の書込みであったかどうかを判定し、初回の書込みであったときにはYESの判定を行なって工程407aへ復帰して、正しく転送書込みが行なわれたかどうかを点検し、初回書込みではなかった場合にはNOの判定を行なって工程429へ移行するステップとなっている。
工程429では異常検出信号ER1又はER2を発生すると共に、図2の工程202でセットされていた初期フラグをリセットし、またMRAM120A内のエラーレジスタやエラーフラグをリセットしてから工程426へ移行する。
動作終了工程420ではマイクロプロセッサ110Aは他の制御動作を実行してから略定期的に図2の動作開始工程200へ移行するが、電源スイッチ102が開路されているときにはマイクロプロセッサ110Aが停止されて電源リレー103aが消勢され、給電回路が遮断されるようになっている。
【0050】
以上のフローチャートを概括説明すると、工程403bは第二の確認読出手段に相当し、当該第二の確認読出手段403bは第二のエラーレジスタ125bに第二のエラーデータが格納されていたこと(工程404aの判定による)に応動して、当該第二のエラーデータをリセットしてから(工程403aで読出し後にリセットされている)エラー発生アドレスを再度アクセス(工程407aによる)して、第二のエラーレジスタ125bの内容を読み出し確認する手段である。
工程407a・403b・404bによって構成された工程ブロック432は第二の重複異常判定手段に相当し、当該第二の重複異常判定手段432は第二の確認読出手段403bによって読出確認を行なったときに、第二のエラーレジスタ125bの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する手段である。
工程413bは第一の確認読出手段に相当し、当該第一の確認読出手段413bは第一のエラーレジスタ125aに第一のエラーデータが格納されていたことに応動して(工程414aの判定による)、当該第一のエラーデータをリセットしてから(工程413aで読出し後にリセットされている)エラー発生アドレスを再度アクセス(工程417aによる)した後に、再度前記第一のエラーレジスタ125aの内容を読み出し確認する手段である。
工程414b・421によって構成された工程ブロック431は第一の重複異常判定手段に相当し、当該第一の重複異常判定手段431は第一の確認読出手段413bによって読出確認を行なったときに、第一のエラーレジスタ125aの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する手段である。
【0051】
工程418は訂正書込手段に相当し、当該訂正書込手段418は第一の確認読出手段413bによる読出し結果として依然として第一のエラーレジスタ125aに第一のエラーデータが格納されたことに応動して、復号化読出回路123を介して読み出されたエラー発生アドレスの保存データを、前記訂正符号付き書込回路122を介してMRAM120Aのエラー発生アドレスに対して上書き保存する修復書込手段である。
工程427は訂正転送手段に相当し、当該訂正転送手段427は重複異常判定手段432が異常判定したことに応動して、バックアップメモリ161Aに格納されている退避運転プログラムを、前記訂正符号付き書込回路122を介してMRAM120Aエラー発生アドレスに対して上書き保存する修復書込手段である。
工程423・424・425によって構成された工程ブロック433は第三の異常判定手段に相当し、当該第三の異常判定手段433はMRAM120Aの特定区間領域の保存データを順次読出して、読出し区間全体のデータに関するサムチェック又はCRCチェックによって符号誤りの有無を判定する手段となっている。
【0052】
工程440から工程444によって構成された工程ブロック401は点検時期判定手段に相当し、当該点検時期判定手401は運転開始点検手段又は定期点検手段又は停止前点検手段のいずれかの手段を選択するものである。
なお、運転開始点検手段は電源スイッチ102が投入された直後において、MRAM120Aに保存されている特定領域の主要データについて重複異常判定手段431・432又は第三の異常判定手段433によって符号誤りの有無を点検する特定点検手段となっている。
また、定期点検手段は電源スイッチ102の投入継続状態において、MRAM120Aに保存されている全データを複数分割して、各分割データについて重複異常判定手段431・432又は第三の異常判定手段433によって符号誤りの有無を順次点検する分割更新点検手段となっている。
また、停止前点検手段は電源スイッチ102が遮断された直後の遅延復帰開閉素子103bの閉路期間において、MRAM120Aに保存されている全データについて重複異常判定手段431・432又は第三の異常判定手段433によって符号誤りの有無を点検する一括点検手段となっている。
【0053】
(3)その他の実施形態の説明
図1のとおりに構成されたこの発明の第1実施例装置において、MRAM120Aは第一・第二のエラーレジスタ125a・125bと第一・第二のエラーフラグ生成回路124a・124bを有するものとして説明したが、この発明の基本主旨としては少なくとも第一・第二のエラーレジスタ125a・125bのどちらか一方を備えておれば良い。
例えば、第二のエラーフラグ生成回路124bと第二のエラーレジスタ125bが共に存在しな
いときには図3の全体と図4の中の工程404a・407a・403b・404b・427・428を削除すればよい。
逆に、第一のエラーフラグ生成回路124aと第一のエラーレジスタ125aが共に存在しないときには図2の工程203aから工程212までと、図4の中の工程413aから工程418を削除して工程404bの判定がNOであったときには工程422へ移行するようにすればよい。
なお、第二のエラーフラグ生成回路124bと第二のエラーレジスタ125bが共に存在しない場合には、訂正不可能なエラーが発生したことを検出することができない安全上の問題点が発生するが、その代替手段となるのが第三の異常判定手段433となっている。
【0054】
第三の異常判定手段433としてサムチェック方式を採用した場合には、MRAM120Aの複数分割領域の各領域ごとに、各アドレスに格納されている複数データの全加算値の補数値を算出して、予めMRAM120Aに格納しておいて、点検時点では上記補数値を含む複数データの全加算値がゼロになれば正常であったと判定するものである。
第三の異常判定手段433として巡回冗長検査と呼ばれるCRCチェック(CyclicRedundany Check)方式を採用した場合には、点検領域の全データを高次多項式として所定の生成多項式で割った余りを付加しておいて、点検時点では同じ生成多項式で割って余りがゼロになれば正常であったと判定するものである。
若しも、第二のエラーレジスタ125bと第三の異常判定手段433との両方を備えておれば、
図13で後述するような異常訂正書込手段1327を設けることができる。
【0055】
また、第一・第二の現在値レジスタ126a・126bは図5の実施例で説明するように、共用現在値レジスタ126にすることもできる。
更に、カウンタ回路140Aで示された異常発生記憶手段は図9で示すようなフリップフロップ回路140Cに置きなおすことも可能である。
また、電源リレー103aを自己保持動作するための給電保持指令出力DR1に代わって、図5で示したようにウォッチドッグタイマ130が発生する出力許可信号OUTEを用いることも可能である。
また、第一・第二のエラーフラグFL1・FL2はマイクロプロセッサ110Aの通常の入力端子に接続して、その動作状態を略定期的に監視するように構成されているが、各フラグ信号をマイクロプロセッサ110Aの割り込み入力端子に接続し、より高頻度に各フラグ信号を監視して、少なくとも第一・第二の現在値レジスタ126a・126bに対する加算又は減算処理を行うようにすることができる。
【0056】
実施形態1及びその他の各実施形態において、MRAM内のエラーレジスタは複数段のシフトレジスタによって構成し、新規なエラーが発生する都度に旧エラーデータが移動して、やがてオーバーフローして消失するような形態にすることも可能である。
また、マイクロプロセッサによってエラーレジスタの内容が読み出された時点で、当該読み出しされたエラーデータは他のアドレス領域のMRAMに転送保存しておいて、異常発生の履歴情報を生成するための情報として活用することもできる。
実施形態1及びその他の各実施例において、MRAMの異常発生情報の保存領域は、自由に読み書きが行えるデータメモリ領域が使用されるものであって、第一エラー又は第二エラーの種別やエラー発生アドレスとエラー発生回数の累計値などの以上発生履歴情報が格納されるようになっている。
但し、外部ツールによる保守・点検作業の操作において貴重な履歴情報が不用意に消去されないようにするため、特定のパスワードを入力しなければ履歴情報の初期化ができないようにしておくことができる。
【0057】
(4)実施形態1の要点と特徴
この発明の実施形態1による電子制御装置100Aは、
外部電源101から給電され、入力センサ群106・107の動作状況に応じて電気負荷群105a・105bを駆動制御するマイクロプロセッサ110Aを備え、当該マイクロプロセッサと協働する不揮発プログラムメモリ120Aに対しては、外部ツール108から制御定数を含む制御プログラムが転送書込みされる電子制御装置100Aとなっている。
前記マイクロプロセッサ110Aは電気的に読み書きが行なえる不揮発プログラムメモリであるMRAM(MagneticRandom Access Memory)120Aに格納された制御プログラムに基づいて動作すると共に、当該MRAMは前記外部ツール108から転送書込みされた後は前記マイクロプロセッサ110Aの運転中において書換変更されることがない入出力制御プログラムを主体としたプログラムメモリ領域と、前記マイクロプロセッサ110Aの運転中に随時書換え変更されるデータメモリ領域とが異なるアドレス領域に分割されて格納されている。前記MRAM120Aは更に、前記マイクロプロセッサ110Aからの書込指令信号に応動して指定アドレスのメモリセル121に対して誤り訂正符合を付加した保存データを書込むための訂正符号付き書込回路122と、前記マイクロプロセッサ110Aからの読出指令信号に応動して指定アドレスのメモリセル121から前記保存データを復号化して読出す復号化読出回路123と、前記データメモリ領域に設けられたエラーレジスタ125a・125bと、前記プログラムメモリ領域に設けられた確認読出手段203b・303b・403b・413bと重複異常判定手段210b・320b・431・432となる制御プログラムとを包含すると共に、前記マイクロプロセッサ110Aからの書込指令信号は書込禁止/解除手段150を介して前記MRAM120Aに供給されるように構成されている。
【0058】
前記エラーレジスタ125a・125bは前記メモリセル121の保存データに符号誤りがあるときに、誤り発生したアドレス番号がエラーデータとして格納され、当該保存エラーデータは前記マイクロプロセッサ110Aによってリセットされた後の最初に発生したエラーデータであるか、又は前記メモリセル121の各アドレスの内容を順次読み出すことによって新たなアドレスに符号誤りがあれば順次更新されたエラーデータが格納される特定アドレスのメモリである。
前記確認読出手段203b・303b・403b・413bは前記エラーレジスタ125a・125bにエラーデータが格納されていたことに応動して、当該エラーデータをリセットしてからエラー 発生アドレスを再度アクセスした後に、再度前記エラーレジスタ125a・125bの内容を読み出し確認する手段である。
前記重複異常判定手段210b・320b・431・432は前記確認読出手段203b・303b・403b・413bによって読み出されたエラーレジスタ125a・125bの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する手段である。
前記書込禁止/解除手段150は前記制御プログラムが格納されている前記MRAM120Aのプログラムメモリ領域に対しては前記マイクロプロセッサ110Aによる書込指令信号を前記MRAMに供給するのを禁止すると共に、前記マイクロプロセッサ110Aに対して外部ツール108が接続されて、前記MRAM120Aに対して制御プログラムを書込みする状態にあるときには前記書込禁止機能を解除し、外部ツール108が接続されていないときにあっ
ては前記制御プログラムの修復書込みを行なうときにも前記書込禁止機能を例外として解除する手段であり、前記重複異常判定手段210b・320b・431・432が異常判定を行なったとき、又は複数回の異常判定を行なったことに応動して、少なくとも異常報知を含む異常処理が実行されるものである。
【0059】
前記MRAM120Aは更に訂正書込手段208・418を備えている。前記エラーレジスタは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数以内でエラーを発生していて、読み出された保存データが前記復号化読出回路123によって復元訂正されたデータであるときに、当該エラー発生したアドレス番号が第一のエラーデータとして格納される第一の特定アドレスに位置する第一のエラーレジスタ125aとなっている。 前記確認読出手段は前記第一のエラーレジスタ125aに第一のエラーデータが格納されていたことに応動して、当該第一のエラーデータをリセットしてからエラー発生アドレスを再度アクセスした後に、再度前記第一のエラーレジスタ125aの内容を読み出し確認する第一の確認読出手段203b・413bとなっている。
前記訂正書込手段208・418は前記第一の確認読出手段203b・413bによる読出し結果として依然として第一のエラーレジスタ125aに第一のエラーデータが格納されたことに応動して、前記復号化読出回路123を介して読み出されたエラー発生アドレスの保存データを、前記訂正符号付き書込回路122を介して前記MRAM120Aのエラー発生アドレスに対して上書き保存する修復書込手段となっている。
前記重複異常判定手段は前記第一の確認読出手段203b・413bによって読出確認を行なったとき、又は前記訂正書込手段208・418によって訂正書き込みを行なった後の読出確認において、再度前記第一のエラーレジスタ125aの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する第一の重複異常判定手段210b・431となっていて、前記書込禁止/解除手段150は前記訂正書込手段208・418による修復操作時にあっては、前記書込禁止機能を解除するものとなっている。
従って、書込禁止機能を一時的に解除して、誤った保存データを正常データに回復させておくことによって異常の波及拡大を抑制することができる特徴がある。
【0060】
前記MRAM120Aは前記第一のエラーレジスタ125aに加えて、第一のエラーフラグ生成回路124aを備えている。
前記第一のエラーフラグ生成回路124aは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数以内でエラーが発生していて、読み出された保存データが前記復号化読出回路123によって復元訂正されたデータであるときに、二値化論理情報である第一のエラーフラグFL1を発生する論理回路である。
前記第一のエラーフラグFL1は前記マイクロプロセッサ110Aの割込み入力端子に接続されていて、前記第一の確認読出手段203b・413bと前記訂正書込手段208・418は当該第一の エラーフラグFL1の発生に応動して実行されて、前記第一の重複異常判定手段210b・431による重複異常判定が行なわれるものであると共に、当該第一のエラーフラグFL1は前記マイクロプロセッサ110Aによってリセットされるものとなっている。
従って、マイクロプロセッサは第一のエラーレジスタの内容を定期的に読出して異常発生の有無を確認する必要がなく、第一のエラーフラグが発生したことに伴って第一のエラーレジスタの内容を確認してから、訂正書込みや異常処理を行えばよいので、遅滞なく異常処理が行えると共に、正常状態におけるマイクロプロセッサの制御負担を軽減することができる特徴がある。
【0061】
前記MRAM120Aは前記第一のエラーレジスタ125a又は第一のエラーフラグ生成回路124aの少なくとも一方を備えると共に、第一のエラーの発生に応動する第一の集計手段205a・212と第一の散発異常検出手段206aとによって構成された第一の散発異常判定手段210aと、異常発生記憶手段140Aとを備えている。
前記第一のエラーフラグ生成回路124aは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数以内でエラーが発生していて、読み出された保存データが前記復号化読出回路123によって復元訂正されたデータであるときに、二値化論理情報である第一のエラーフラグFL1を発生する論理回路である。
前記第一のエラーは前記第一のエラーレジスタ125aに第一のエラーデータが格納されているか否か、又は前記第一のエラーフラグFL1が発生したか否かを定期的に監視して検出されるエラーの有無に関する定期情報である。
前記第一の集計手段205a・212は第一の現在値レジスタ126aを備え、前記第一のエラーの発生に応動して当該第一の現在値レジスタ126aに第二の変分値Δ2を加算又は減算し、前記第一のエラーレジスタ125a又は第一のエラーフラグFL1をリセットしておくと共に、第一のエラーが発生していなければ第一の変分値Δ1を減算又は加算して相互に減殺するように第一の現在値レジスタ126aに対する加減算補正を行い、前記第一のエラーの不作動状態が継続したときには所定の正常側限界値において上記第一の変分値Δ1による加減算補正を停止する手段である。
【0062】
前記第一の散発異常検出手段206aは前記第一・第二の変分値Δ1・Δ2の累積によって前記第一の現在値レジスタ126aの値が所定の異常側限界値の域外となったときに第一の異常検出信号ER1を発生する手段であって、前記第二の変分値Δ2は第一の変分値Δ1よりも大きな値であって、しかも前記異常側限界値と正常側限界値との差である許容累積値よりも小さな値として設定されている。
前記異常発生記憶手段140Aは前記第一の重複異常判定手段210b・431が異常判定を行なったことと、前記第一の散発異常判定手段210aが異常判定を行なったことに応動して、少
なくとも異常報知を行なう手段となっている。
従って、MRAMの各アドレスにおいて符号誤りが散発しているような場合に、一時的なノイズ誤動作に感応せず、異常発生が継続すると速やかに散発異常の発生を検出して 異常処理を行うことができる特徴がある。
【0063】
前記第一の集計手段205bは、前記第一の確認読出手段203bによって読出確認を行なったとき、又は前記訂正書込手段208によって訂正書き込みを行なった後の読出確認において、再度前記第一のエラーが発生する重複異常の発生時には、前記第一の現在値レジスタ126aに対して前記第二の変分値Δ2以上の値である第三の変分値Δ3を加算又は減算するようになっている。
従って、第一の集計手段の現在値を監視することによって、散発異常判定と重複異常判定を一元化して、判定することができる特徴がある。
【0064】
前記エラーレジスタは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数を超過するエラーを発生していて、読み出された保存データが保存当初のデータと一致しているかどうかが保証できないデータであるときに、当該エラー発生したアドレス番号が第二のエラーデータとして格納される第二の特定アドレスに位置する第二のエラーレジスタ125bとなっている。
前記確認読出手段は前記第二のエラーレジスタ125bに第二のエラーデータが格納されていたことに応動して、当該第二のエラーデータをリセットしてからエラー発生アドレスを再度アクセスして、前記第二のエラーレジスタ125bの内容を読み出し確認する第二の確認読出手段303b・403bとなっている。
前記重複異常判定手段は前記第二の確認読出手段303b・403bによって読出確認を行なったときに、前記第二のエラーレジスタ125bの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する第二の重複異常判定手段320b・432となっている。
従って、読出しデータに符号誤りが発生していた場合、一時的なノイズ誤動作によるものでなかったかどうかを再確認読出しによって確認し、再確認の結果として正常読出しが行なえれば無事に制御が続行され、再確認異常であれば速やかに異常処理を実行することができる特徴がある。
【0065】
前記MRAM120Aは前記第二のエラーレジスタ125bに加えて、第二のエラーフラグ生成回路124bを備えている。
前記第二のエラーフラグ生成回路124bは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数を超過するエラーが発生していて、読み出された保存データが保存当初のデータと一致しているかどうかが保証できないデータであるときに、二値化論理情報である第二のエラーフラグFL2を発生する論理回路である。
前記第二のエラーフラグFL2は前記マイクロプロセッサ110Aの割込み入力端子に接続されていて、前記第二の確認読出手段303b・403bは当該第二のエラーフラグFL2の発生に応動して実行されて、前記第二の重複異常判定手段320b・432による重複異常判定が行なわれると共に、当該第二のエラーフラグFL2は前記マイクロプロセッサ110Aによってリセットされるものとなっている。
従って、マイクロプロセッサは第二のエラーレジスタの内容を定期的に読出して異常発生の有無を確認する必要がなく、第二のエラーフラグが発生したことに伴って第二のエラーレジスタの内容を確認してから、異常判定を行えばよいので、遅滞なく異常処理が行えると共に、正常状態におけるマイクロプロセッサの制御負担を軽減することができる特徴がある。
【0066】
前記MRAM120Aは前記第二のエラーレジスタ125b又は第二のエラーフラグ生成回路124bの少なくとも一方を備えると共に、第二のエラーの発生に応動する第二の集計手段305a・312と第二の散発異常検出手段306aとによって構成された第二の散発異常判定手段320aと、異常発生記憶手段140Aとを備えている。
前記第二のエラーフラグ生成回路124bは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数を超過するエラーが発生していて、読み出された保存データが保存当初のデータと一致しているかどうかが保証できないデータであるときに、二値化論理情報である第二のエラーフラグFL2を発生する論理回路である。
前記第二のエラーは前記第二のエラーレジスタ124bに第二のエラーデータが格納されているか否か、又は前記第二のエラーフラグFL2が発生したか否かを定期的に監視して検出されるエラーの有無に関する定期情報である。
前記第二の集計手段305a・312は第二の現在値レジスタ126bを備え、前記第二のエラー発生に応動して当該第二の現在値レジスタ126bに対して第五の変分値Δ5を加算又は減算し、前記第二のエラーレジスタ125b又は第二のエラーフラグFL2をリセットしておくと共に、第二のエラーが発生していなければ第四の変分値Δ4を減算又は加算して相互に減殺するように第二の現在値レジスタ126bに対する加減算補正を行い、前記第二のエラーの不作動状態が継続したときには所定の正常側限界値において上記第四の変分値Δ4による加減算補正を停止する手段である。
【0067】
前記第二の散発異常検出手段306aは前記第四・第五の変分値Δ4・Δ5の累積によって前記第二の現在値レジスタ126bの値が所定の異常側限界値の域外となったときに第二の異常検出信号ER2を発生する手段であって、前記第五の変分値Δ5は第四の変分値Δ4よりも大きな値であって、しかも前記異常側限界値と正常側限界値との差である許容累積値よりも小さな値として設定されている。
前記異常発生記憶手段140Aは前記第二の重複異常判定手段320b・432が異常判定を行なったことと、前記第二の散発異常判定手段306aが異常判定を行なったことに応動して、少なくとも異常報知を行なう手段となっている。
従って、MRAMの各アドレスにおいて符号誤りが散発しているような場合に、一時的なノイズ誤動作に感応せず、異常発生が継続すると速やかに散発異常の発生を検出して 異常処理を行うことができる特徴がある。
【0068】
前記第二の集計手段305bは、前記第二の確認読出手段303bによって読出確認を行なっても再度前記第二のエラーが発生する重複異常の発生時には、前記第二の現在値レジスタ126bに対して前記第五の変分値Δ5以上の値である第六の変分値Δ6を加算又は減算するようになっている。
従って、第二の集計手段の現在値を監視することによって、散発異常判定と重複異常判定を一元化して、判定することができる特徴がある。
【0069】
前記MRAM120Aは更に第三の異常判定手段433となる制御プログラムを包含すると共
に、異常発生記憶手段140Aを備えている。
前記第三の異常判定手段433は前記MRAM120Aの特定区間領域の保存データを順次読出して、読出し区間全体のデータに関するサムチェック又はCRCチェックによって符号誤りの有無を判定する手段である。
前記異常発生記憶手段140Aは前記重複異常判定手段210b・320b・431・432が異常判定を 行なったことと、前記第三の異常判定手段431が異常判定を行なったことに応動して、少なくとも異常報知を行なう手段となっている。
なお、MRAMに内蔵された符号誤り検出・訂正機能は、現時点の制御動作のためにアクセスされたアドレスについてのみ異常判定を行なうことができるものであって、現在の制御に関係のないアドレスについて点検を行なうものではない。
これに対し、第三の異常点検手段は現在の制御動作とは関係なく、MRAMの特定アドレス区間の全データを点検し、この特定区間を順次変更しながらMRAMの全データを点検することができるものである。従って、制御の安全性が更に高まる特徴がある。
【0070】
前記MRAM120Aは更に運転開始点検手段又は定期点検手段又は停止前点検手段のいずれかの手段を選択する点検時期判定手段401となる制御プログラムを包含している。前記運転開始点検手段は電源スイッチ102が投入された直後において、前記MRAM120Aに保存されている特定領域の主要データについて前記重複異常判定手段431・432又は前記第三の異常判定手段433によって符号誤りの有無を点検する特定点検手段である。
前記定期点検手段は電源スイッチ102の投入継続状態において、前記MRAM120Aに保存されている全データを複数分割して、各分割データについて前記重複異常判定手段431・432又は前記第三の異常判定手段433によって符号誤りの有無を順次定期点検する分割更新点検手段である。
前記停止前点検手段は電源スイッチ102が遮断された直後の遅延復帰開閉素子103bの閉路期間において、前記MRAM120Aに保存されている全データについて前記重複異常判定手段431・432又は前記第三の異常判定手段433によって符号誤りの有無を点検する一括点検手段である。従って、点検時期に応じて特定点検・分割更新点検・一括点検を行い、マイクロプロセッサの負担を軽減することができる特徴がある。
【0071】
前記マイクロプロセッサ110Aは車載エンジンの運転状態を検出する車載センサ群106・107の動作状態に応動して、少なくとも吸気量制御手段又は燃料噴射制御手段を制御するものであり、前記MRAM120Aは更に、通常運転手段となる制御プログラムに加えて退避運転手段となる制御プログラムを包含すると共に、異常発生記憶手段140Aを備えている。前記退避運転手段は前記吸気量制御手段による吸気量の抑制又は燃料噴射制御手段による給燃量の抑制によってエンジン回転速度を抑制した運転制御を実行する手段である。
前記異常発生記憶手段140Aは少なくとも前記重複異常判定手段210b・320b・431・432が 異常判定を行なったとなったことに応動して異常報知を行うと共に、前記通常運転手段による通常運転モードから前記退避運転手段による退避運転モードに選択切換えするものとなっている。
従って、MRAMに異常が発生して、高度な運転制御が行なえなくなっても、限定された機能による退避運転が行えるようにして、車両運行の安全性を維持することができる 特徴がある。
【0072】
前記MRAM120Aは更に訂正転送手段427となる制御プログラムを包含すると共に、前記マイクロプロセッサ110Aは前記退避運転手段となる制御プログラムが格納された不揮発性のバックアップメモリ161Aを備えている。
前記訂正転送手段427は前記重複異常判定手段432が異常判定したことに応動して、前記バックアップメモリ161Aに格納されている退避運転プログラムを、前記訂正符号付き書込回路122を介して前記MRAM120Aのエラー発生アドレスに対して上書き保存する修復書込手段である。
前記書込禁止/解除手段150は前記訂正転送手段427による修復操作時にあっては、前記書込禁止機能を解除するものとなっている。
従って、MRAMの特定領域に格納されている退避運転制御プログラムに異常が発生し場合には、バックアップメモリの内容をMRAMに転送書込みして退避運転を行うことができる特徴がある。
【0073】
前記マイクロプロセッサ110Aにはウォッチドッグタイマ130と異常発生記憶手段140Aとが併用されている。
当該ウォッチドッグタイマ130は前記マイクロプロセッサ110Aが発生するウォッチドッグクリア信号WD1のパルス幅が所定値を超過したことに伴ってリセットパルス信号RS1を発生して、当該マイクロプロセッサ110Aを初期化・再起動するタイマ回路である。
前記異常発生記憶手段140Aは前記重複異常判定手段210b・320b・431・432が異常発生を 判定したことに伴う異常検出パルス信号ER1・ER2と、前記ウォッチドッグタイマ130によるリセットパルス信号RS1の発生に応動して、一回のパルス信号又は複数回のパルス信号の発生に伴って、少なくとも異常報知を行なうと共に、前記通常運転手段による通常運転モードから前記退避運転手段による退避運転モードに選択切換えするためのフリップフロップ回路又はカウンタ回路によって構成された論理回路であって、当該論理回路に
は駆動停止手段142と記憶解除手段112Aとが付加されている。
【0074】
前記駆動停止手段142は前記異常発生記憶手段140Aが異常発生を確定記憶しているときに作用し、上記電気負荷群105a・105bの中の一部の特定電気負荷の駆動を禁止するゲート回路である。
前記記憶解除手段112Aは電源スイッチ102の再投入等による人為的操作に応動するリセットパルス信号よって前記異常発生記憶手段140Aによる異常記憶信号をリセットする手段となっている。
従って、異常発生原因がノイズ誤動作による一時的なものである場合には、電源スイッチの再投入によって正常回復することができる特徴がある。
【0075】
発明の実施の形態2
(1)構成の詳細な説明
以下、この発明の第2実施例装置の回路ブロック図を示す図5について、図1のものとの相違点を中心にして説明する。
なお、各図において共通符号は同一又は相当部分を示している。
図5において、電子制御装置100Bの外部には外部電源101と電源リレーや負荷電源リレーが設けられ、後述のマイクロプロセッサ110Bから第一の出力インタフェース回路115aを介して給電駆動される第一の電気負荷群105aと、第二の出力インタフェース回路115bを介して給電駆動される第二の電気負荷群105bと、入力インタフェース回路116を介して入力される開閉センサ群106と、アナログ入力インタフェース回路117を介して入力されるアナログセンサ群107と、シリアルインタフェース回路118を介して接続される外部ツール108と、異常発生記憶手段であるカウンタ回路140Bの比較出力端子OUTから駆動される警報・表示器109とが接続されている。
【0076】
電子制御装置100Bの内部の構成として、マイクロプロセッサ110Bは不揮発性のプログラムメモリであるMRAM120Bとバス接続され、協働する補助CPU160に対してシリアル接続されていて、当該補助CPU160はマスクROMメモリ等による補助プログラムメモリ161Bを備えている。
マイクロプロセッサ110Bは電源リレーの出力接点103bから給電される制御電源ユニット111が発生する安定化電圧によって動作し、後述の出力許可信号OUTEによって駆動回路素子113Bを介して電源リレーの励磁コイル103aに対する付勢を持続させるようになっている。リセットパルス発生回路112Bは電源スイッチ102の投入時点にリセットパルス信号を発生して、後述の論理和素子131を介してマイクロプロセッサ110Bを初期化したり、後述の異常発生記憶手段であるカウンタ回路140Bを初期化するようになっている。
【0077】
MRAM120Bは外部ツール108から転送書込みされた後はマイクロプロセッサ110Bの運転中において書換変更されることがない入出力制御プログラムを主体としたプログラムメモリ領域と、マイクロプロセッサ110Bの運転中に随時書換え変更されるデータメモリ領域とが異なるアドレス領域に分割されて格納されている。
MRAM120Bは更に、マイクロプロセッサ110Bからの書込指令信号に応動して指定アドレスのメモリセル121に対して誤り訂正符合を付加した保存データを書込むための訂正符号付き書込回路122と、マイクロプロセッサ110Bからの読出指令信号に応動して指定アドレスのメモリセル121から前記保存データを復号化して読出す復号化読出回路123と、第一・第二のエラーフラグ生成回路124a・124bと、前記データメモリ領域に設けられた第一・第二のエラーレジスタ125a・125bと、共用現在値レジスタ126と前記プログラムメモリ領域に設けられた後述の確認読出手段と重複異常判定手段となる制御プログラムとを包含すると共に、マイクロプロセッサ110Bからの書込指令信号は書込禁止/解除手段150を介してMRAM120Bに供給されるように構成されている。
【0078】
なお、第一のエラーフラグ生成回路124aはあれば便利であるが、これがなくても第一のエラーレジスタ125aの内容を確認することによって第一のエラーが発生したかどうかを知ることができるものとなっている。
同様に、第二のエラーフラグ生成回路124bはあれば便利であるが、これがなくても第二のエラーレジスタ125bの内容を確認することによって第二のエラーが発生したかどうかを知ることができるものとなっている。
しかし、この実施形態2においては第一のエラーフラグ生成回路124a又は第一のエラーレジスタ125aの少なくとも一方と、第二のエラーフラグ生成回路124b又は第二のエラーレジスタ125bの少なくとも一方と、第一のエラーレジスタ125a又は第二のエラーレジスタ125bの少なくとも一方を備えており、共用現在値レジスタ126は実施形態1における第一・第二の現在値レジスタ126a・126bを一つの現在値レジスタに集約したものとなっている。
【0079】
ウォッチドッグタイマ130はマイクロプロセッサ110Bが発生するパルス列信号であるウォッチドッグクリア信号WD1を監視して、ウォッチドッグクリア信号WD1のパルス幅が所定閾値を超過するとリセットパルス信号RS1を発生し、論理和素子131を介してマイクロプロセッサ110Bのリセット入力端子RST1に供給し、マイクロプロセッサ110Bを初期化・再起動するようになっている。
また、リセットパルス信号RS1は論理和素子141Bを介して後述の異常発生記憶手段であるカウンタ回路140Bの計数入力端子UPに供給されるようになっている。
なお、ウォッチドッグタイマ130はウォッチドッグクリア信号WD1のパルス幅が正常であるときに出力許可信号OUTEを発生して、第一・第二の出力インタフェース回路115a・115bの出力発生が可能となると共に、駆動回路素子113Bを介して電源リレーの励磁コイル103aを自己保持駆動するようになっている。
【0080】
異常発生記憶手段となるカウンタ回路140Bは、論理和素子141Bの論理和出力信号の発生回数を計数するものであって、論理和素子141Bの入力端子にはマイクロプロセッサ110Bが発生する第一・第二の異常検出信号ER1・ER2及びリ後述のセットパルス信号RS2と、ウォッチドッグタイマ130が発生するリセットパルス信号RS1と、補助CPU160が発生する異常検出信号ERSが接続されている。
駆動停止手段となるゲート回路142はマイクロプロセッサ110Bが発生する負荷給電指令出
力DR2と反転駆動回路素子114との間に接続されていて、負荷給電指令出力DR2が論理レベル「H」であるときに負荷電源リレーの励磁コイル104aを付勢するようになっているが、カウンタ回路140Bの比較出力端子OUTの論理レベルが「H」になると、励磁コイル104aが消勢されるようになっている。
また、このような異常確定状態においてはモード切換指令信号LPHがマイクロプロセッサ110Bに供給されるようになっている。
【0081】
補助CPU160はメインCPUとなるマイクロプロセッサ110Bとシリアル接続されて、マイクロプロセッサ110Bの動作状態を監視すると共に、異常発生時には異常検出信号ERSを発生するようになっている。
なお、入力センサ群である開閉センサ106の一部と、アナログセンサ107の一部については補助CPU160側に入力され、補助CPU160からマイクロプロセッサ110Bに対してシリアル送信されるようになっている。
また、マイクロプロセッサ110Bは補助CPU160が発生するパルス列であるウォッチドッグクリア信号WD2のパルス幅を監視して、当該パルス幅が所定閾値を超過するとリセットパルス信号RS2を発生して補助CPU160を初期化・再起動するようになっている。
補助CPU160の制御プログラムが格納されている補助プログラムメモリ161Bにはバックアップメモリ領域が設けられ、当該バックアップメモリ領域にはマイクロプロセッサ110Bのための退避運転プログラムが格納されていて、メモリセル121の中の重要制御プログラムである退避運転プログラムに異常が発生したときに、バックアップメモリ領域の内容がメモリセル121へ転送されるようになっている。
【0082】
(2)作用動作の詳細な説明
図5のとおりに構成されたこの発明の第2実施例装置において、電源スイッチ102が閉路
されると電源リレーの出力接点103bが閉路して、制御電源ユニット111が外部電源101から給電されて、安定化された制御電源電圧Vccを発生し、リセットパルス発生回路112Bが発生するリセットパルス信号によってマイクロプロセッサ110Bとカウンタ回路140Bが初期化されてからマイクロプロセッサ110Bが動作を開始して、マイクロプロセッサ110Bはウォッチドッグクリア信号WD1を発生する。
なお、MRAM120Bに制御プログラムが格納される前の初回給電時にあっては、MRAM120Bに予め格納されているブートプログラムに基づいて外部ツール108から制御プログラムがMRAM120Bに転送されるようになっている。
なお、外部ツール108によって制御プログラムを書込むときには、ツール接続信号TOOLと最上位アドレス信号A15の論理レベルが共に「H」となっており、その結果としてマイクロプロセッサ110Bの書込み指令信号WRはそのままMRAM120Bに対して書込指令入力WRMとして供給されるようになっている。
【0083】
一方、MRAM120Bに制御プログラムが格納された後に電源スイッチ102が閉路されたときには、マイクロプロセッサ110Bとカウンタ回路140Bの初期化が行なわれてからマイクロプロセッサ110Bが動作を開始し、ウォッチドッグクリア信号WD1を発生すると共に負荷給電指令出力DR2を発生し、負荷電源リレーの励磁コイル104aが付勢される。
この状態ではツール接続信号TOOLが論理レベル「L」となっており、その結果として最上位アドレス信号A15の論理レベルが共に「H」となっているプログラムメモリ領域に対してはたとえ書込指令信号WRの論理レベルが「H」になったとしても、書込指令信号WRはMRAM120Bには供給されないようになっている。
但し、上位アドレス信号A15の論理レベルが共に「L」となっているデータメモリ領域に対しては書込指令信号WRは有効となっている。また、後述の書換訂正指令信号WRCはメモリ領域とは無関係に常に有効となっている。
【0084】
マイクロプロセッサ110Bはアナログセンサ群107から得られるアナログ信号の電圧レベルと、開閉センサ群106から得られるON/OFF信号の動作状態と、補助CPU160から送信された一部の入力信号と、MRAM120Bのメモリセル121に格納されている入出力制御プログラムとに応動して、第一・第二の電気負荷群105a・105bの駆動制御を行なう。
マイクロプロセッサ110Bの運転中にノイズ誤動作等によって第一・第二の異常検出信号ER1・ER2が異常検出パルス信号を発生したり、補助CPU160に対するリセットパルス信号RS2を発生したり、ウォッチドッグタイマ130がリセットパルス信号RS1を発生したり、補助CPU160が異常検出信号ERSを発生すると、論理和素子141Bを介してカウンタ回路140Bの計数入力端子UPに計数入力信号が供給され、カウンタ回路140Bは異常発生回数を計数し、これが所定値を超過するとカウントアップして比較出力端子OUTの論理レベルが「H」となる。
その結果、警報・表示器109が作動すると共に、ゲート回路142によって負荷給電指令出力DR2が遮断されて負荷電源リレーの励磁コイル104aが消勢され、マイクロプロセッサ110Bに対してはモード切換指令信号LPHが供給される。
その結果、マイクロプロセッサ110Bはエンジン回転速度を抑制した退避運転モードへ移
行するようになっている。
【0085】
マイクロプロセッサ110Bの運転中に電源スイッチ102が開路すると、出力許可信号OUTEと駆動回路素子113Bによって励磁コイル103a・104aに対する付勢が持続し、マイクロプロセッサ110Bは学習記憶情報等の確認保存を実行した後に自らウォッチドッグクリア信号WD1を停止し、その結果として出力許可信号OUTEが停止して励磁コイル103aが消勢されるようになっている。
電源スイッチ102を再投入すると、マイクロプロセッサ110Bとカウンタ回路140Bはリセットパルス発生回路112Bによって初期化されるので、カウンタ回路140Bのカウントアップがノイズ誤動作によるものであった場合には正常運転状態に回復することになる。
但し、MRAM120Bやその他のハードウエアの異常によって第一・第二の異常検出信号ER1・ER2やリセットパルス信号RS2、又はウォッチドッグタイマ130によるリセットパルス信号RS1や補助CPU160による異常検出信号ERSが発生している場合には、カウンタ回路140Bは再びこれらの異常信号を計数して、速やかに異常報知・負荷電源リレーの停止等を行なうことになる。
【0086】
次に、図5のものの第一の異常判定に関する動作説明用フローチャートである図6と、第二の異常判定に関する動作説明用フローチャートである図7と、点検動作に関する動作説明用フローチャートである図8について、図2・図3・図4との相違点を中心にして説明する。なお、図6・図7・図8の動作は下記の特定の工程を除いて図2・図3・図4の動作と同じものであって、符号番号の200番台は6番台に、300番台は700番台に、400番台は800番台に置きなおされているだけである。
図6における工程605a・605b・612と、図7における工程705a・705b・712は共用集計手段となるものであって、当該共用集計手段605a・605b・612・705a・705b・712においては共用現在値レジスタ126に対する加減算補正が行なわれるようになっている。
従って、図6における工程606a・606bと、図7における工程706a・706bでは共用現在値レジスタ126の現在値が所定閾値を超過したかどうかが判定され、図6における工程609と、図7における工程709a・709bでは共用現在値レジスタ126に初期値が転送されるようになっている。
なお、第一の異常検出信号ER1と第二の異常検出信号ER2には特段の区別は必要ではないが便宜上で区分して表現しているものである。
【0087】
図8の工程827は訂正転送手段に相当するものであり、当該訂正転送手段827は重複異常判定手段832が異常判定したことに応動して、補助プログラムメモリ161Bのバックアップメモリ領域に格納されている退避運転プログラムを、訂正符号付き書込回路122を介してMRAM120Bのエラー発生アドレスに対して上書き保存する修復書込手段となってい
る。なお、補助CPU160を有する実施形態2において、共用集計手段を実施形態1のように第一・第二の集計手段に分割するようにしてもよい。また、異常発生記憶手段であるカウンタ回路140Bは図9で示したようなフリップフロップ回路140Cにすることも可能である。
【0088】
(3)その他の実施形態の説明
図1・図5のとおりに構成されたこの発明の第1・第2実施例装置において、エラー発生状態の集計手段はエラー発生の有無に関する定期情報に基づいて、現在値レジスタの加算又は減算を行うようにしたが、簡略的にはマイクロプロセッサによって計数される加算カウンタ又は減算カウンタとすることも可能である。
例えば、エラー発生に伴って現在値レジスタが加算され、計数現在値が所定の設定閾値を超過すると異常検出出力を発生するようにし、MRAMに対する読み出し指令信号の分周信号又は所定周期クロック信号によって現在値をゼロに初期化するようにしても良い。
また、エラー発生に伴って現在値レジスタが所定値から減算され、計数現在値がゼロに達すると異常検出出力を発生するようにし、MRAMに対する読み出し指令信号の分周信号又は所定周期のクロック信号によって現在値を初期化して所定の初期値にセットするようにしても良い。
実施形態1・2の場合、MRMによって生成されるエラーフラグはマイクロプロセッサによって読み出された時点でマイクロプロセッサによってリセットされるようにしたが、所定時間後にはMRAMによって自動的にリセットされるようにしても良い
実施形態1・2において、第一・第二のエラーフラグFL1・FL2をマイクロプロセッサの割込み入力端子に接続して、エラーフラグFL1・FL2をマイクロプロセッサの割込み入力端子に接続して、エラーフラグの発生に応動して第一・第二の集計手段による集計加算(又は減算)を行う場合には、MRAMに対する読出し指令信号の分周信号又は所定周期のクロック信号によって定期的に減算(又は加算)を行うか、初期化を行うようにすれば良い。
実施形態1・2の場合、第三の異常判定によって符号の誤りの有無を判定した結果によってエラー発生の集計手段に対して加算又は減算処理を行うようにすることも可能である。
これにより、第三の異常判定手段が異常判定したことによって直ちに異常報知されて、混乱をきたすのを回避し、再確認によって異常報知することができる。
【0089】
(4)実施形態2の要点と特徴
この発明の実施形態2による電子制御装置100Bは、外部電源101から給電され、入力センサ群106・107の動作状況に応じて電気負荷群105a・105bを駆動制御するマイクロプロセッサ110Bを備え、当該マイクロプロセッサと協働する不揮発プログラムメモリに対しては、外部ツール108から制御定数を含む制御プログラムが転送書込みされる電子制御装置100Bとなっている。
前記マイクロプロセッサ110Bは電気的に読み書きが行なえる不揮発プログラムメモリあるMRAM(MagneticRandom Access Memory)120Bに格納された制御プログラムに基づいて動作すると共に、当該MRAMは前記外部ツール108から転送書込みされた後は前記マイクロプロセッサ110Bの運転中において書換変更されることがない入出力制御プログラムを主体としたプログラムメモリ領域と、前記マイクロプロセッサ110Bの運転中に随時書換え変更されるデータメモリ領域とが異なるアドレス領域に分割されて格納されている。前記MRAM120Bは更に、前記マイクロプロセッサ110Bからの書込指令信号に応動して指定アドレスのメモリセル121に対して誤り訂正符合を付加した保存データを書込むための訂正符号付き書込回路122と、前記マイクロプロセッサ110Bからの読出指令信号に応動して指定アドレスのメモリセル121から前記保存データを復号化して読出す復号化読出回路123と、前記データメモリ領域に設けられたエラーレジスタ125a・125bと、前記プログラムメモリ領域に設けられた確認読出手段603b・703b・803b・813bと重複異常判定手段610b・720b・831・832となる制御プログラムとを包含すると共に、前記マイクロプロセッサ110Bからの書込指令信号は書込禁止/解除手段150を介して前記MRAM120Bに供給されるように構成されている。
【0090】
前記エラーレジスタ125a・125bは前記メモリセル121の保存データに符号誤りがあるときに、誤り発生したアドレス番号がエラーデータとして格納され、当該保存エラーデータは前記マイクロプロセッサ110Bによってリセットされた後の最初に発生したエラーデータであるか、又は前記メモリセル121の各アドレスの内容を順次読み出すことによって新たなアドレスに符号誤りがあれば順次更新されたエラーデータが格納される特定アドレスのメモリである。
前記確認読出手段603b・703b・803b・813bは前記エラーレジスタ125a・125bにエラーデータが格納されていたことに応動して、当該エラーデータをリセットしてからエラー発生アドレスを再度アクセスした後に、再度前記エラーレジスタ125a・125bの内容を読み出し確認する手段である。
前記重複異常判定手段610b・720b・831・832は前記確認読出手段603b・703b・803b・813bによって読み出されたエラーレジスタ125a・125bの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する手段である。
前記書込禁止/解除手段150は前記制御プログラムが格納されている前記MRAM120Bのプログラムメモリ領域に対しては前記マイクロプロセッサ110Bによる書込指令信号を前記MRAM120Bに供給するのを禁止すると共に、前記マイクロプロセッサ110Bに対して外部ツール108が接続されて、前記MRAM120Bに対して制御プログラムを書込みする状態にあるときには前記書込禁止機能を解除し、外部ツール108が接続されていないときにあっては前記制御プログラムの修復書込みを行なうときにも前記書込禁止機能を例外として解除する手段である。
前記重複異常判定手段610b・720b・831・832が異常判定を行なったとき、又は複数回の異常判定を行なったことに応動して、少なくとも異常報知を含む異常処理が実行されるようになっている。
【0091】
前記MRAM120Bは更に訂正書込手段608・818を備えている。
前記エラーレジスタは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数以内でエラーを発生していて、読み出された保存データが前記復号化読出回路123によって復元訂正されたデータであるときに、当該エラー発生したアドレス番号が第一のエラーデータとして格納される第一の特定アドレスに位置する第一のエラーレジスタ125aとなっている。
前記確認読出手段は前記第一のエラーレジスタ125aに第一のエラーデータが格納されていたことに応動して、当該第一のエラーデータをリセットしてからエラー発生アドレスを再度アクセスした後に、再度前記第一のエラーレジスタ125aの内容を読み出し確認する第一の確認読出手段603b・813bとなっている。
前記訂正書込手段608・818は前記第一の確認読出手段603b・813bによる読出し結果として依然として第一のエラーレジスタ125aに第一のエラーデータが格納されたことに応動して、前記復号化読出回路123を介して読み出されたエラー発生アドレスの保存データを、前記訂正符号付き書込回路122を介して前記MRAM120Bのエラー発生アドレスに対して上書き保存する修復書込手段である。
前記重複異常判定手段は前記第一の確認読出手段603b・813bによって読出確認を行なったとき、又は前記訂正書込手段608・818によって訂正書き込みを行なった後の読出確認において、再度前記第一のエラーレジスタ125aの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する第一の重複異常判定手段610b・831となっている。
前記書込禁止/解除手段150は前記訂正書込手段608・818による修復操作時にあっては、前記書込禁止機能を解除するようになっている。
【0092】
前記MRAM120Bは前記第一のエラーレジスタ125aに加えて、第一のエラーフラグ生成回路124aを備えている。
前記第一のエラーフラグ生成回路124aは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数以内でエラーが発生していて、読み出された保存データが前記復号化読出回路123によって復元訂正されたデータであるときに、二値化論理情報である第一のエラーフラグFL1を発生する論理回路である。
前記第一のエラーフラグFL1は前記マイクロプロセッサ110Bの割込み入力端子に接続されていて、前記第一の確認読出手段603b・813bと前記訂正書込手段608・818は当該第一の エラーフラグFL1の発生に応動して実行されて、前記第一の重複異常判定手段610b・831による重複異常判定が行なわれるものであると共に、当該第一のエラーフラグFL1は前記マイクロプロセッサ110Bによってリセットされるものである。
【0093】
前記エラーレジスタは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数を超過するエラーを発生していて、読み出された保存データが保存当初のデータと一致しているかどうかが保証できないデータであるときに、当該エラー発生したアドレス番号が第二のエラーデータとして格納される第二の特定アドレスに位置する第二のエラーレジスタ125bとなっている。
前記確認読出手段は前記第二のエラーレジスタ125bに第二のエラーデータが格納されていたことに応動して、当該第二のエラーデータをリセットしてからエラー発生アドレスを再度アクセスして、前記第二のエラーレジスタ125bの内容を読み出し確認する第二の確認読出手段703b・803bとなっている。
前記重複異常判定手段は前記第二の確認読出手段703b・803bによって読出確認を行なったときに、前記第二のエラーレジスタ125bの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する第二の重複異常判定手段720b・832となっている。
【0094】
前記MRAM120Bは前記第二のエラーレジスタ125bに加えて、第二のエラーフラグ生成回路124bを備えている。
前記第二のエラーフラグ生成回路124bは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数を超過するエラーが発生していて、読み出された保存データが保存当初のデータと一致しているかどうかが保証できないデータであるときに、二値化論理情報である第二のエラーフラグFL2を発生する論理回路である。
前記第二のエラーフラグFL2は前記マイクロプロセッサ110Bの割込み入力端子に接続されていて、前記第二の確認読出手段703b・803bは当該第二のエラーフラグFL2の発生に応動して実行されて、前記第二の重複異常判定手段720b・832による重複異常判定が行なわれると共に、当該第二のエラーフラグFL2は前記マイクロプロセッサ110Bによってリセットされるものである。
【0095】
前記MRAM120Bは第一のエラーレジスタ125a又は第一のエラーフラグ生成手段124aの少なくとも一方と、第二のエラーレジスタ125b又は第二のエラーフラグ生成手段124bの少なくとも一方とを備えていると共に、第一のエラーと第二のエラーに応動する第一・第二の散発異常判定手段610a・720aと異常発生記憶手段140Bとを備えている。
前記第一のエラーレジスタ125aは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数以内でエラーが発生していて、読み出された保存データが前記復号化読出回路123によって復元訂正されたデータであるときに、当該エラー発生したアドレス番号が第一のエラーデータとして格納される第一の特定アドレスに位置するレジスタである。 前記第一のエラーフラグ生成回路124aは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数以内でエラーが発生していて、読み出された保存データが前記復号化読出回路123によって復元訂正されたデータであるときに、二値化論理情報である第一のエラーフラグFL1を発生する論理回路である。
前記第一のエラーは前記第一のエラーレジスタ125aに第一のエラーデータが格納されているか否か、又は前記第一のエラーフラグFL1が発生したか否かを定期的に監視して検出されるエラーの有無に関する定期情報である。
【0096】
前記第二のエラーレジスタ125bは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数を超過するエラーが発生していて、読み出された保存データが保存当初のデータと一致しているかどうかが保証できないデータであるときに、当該エラー発生したアドレス番号が第二のエラーデータとして格納される第二の特定アドレスに位置するレジスタである。
前記第二のエラーフラグ生成回路124bは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数を超過するエラーが発生していて、読み出された保存データが保存当初のデータと一致しているかどうかが保証できないデータであるときに、二値化論理情報である第二のエラーフラグFL2を発生する論理回路である。
前記第二のエラーは前記第二のエラーレジスタ125bに第二のエラーデータが格納されているか否か、又は前記第二のエラーフラグFL2が発生したか否かを定期的に監視して検出されるエラーの有無に関する定期情報である。
前記第一・第二の散発異常判定手段610a・720aは前記第一のエラーと第二のエラーの発生頻度が所定の閾値を超過したときに第一・第二の異常検出信号ER1・ER2を発生する手段である。
前記異常発生記憶手段140Bは前記重複異常判定手段610b・720b・831・832が異常判定を 行なったことと、前記第一・第二の散発異常判定手段610a・720aが異常判定を行なったことに応動して、少なくとも異常報知を行なう手段である。
従って、複合的なエラー発生を共に監視して制御の安全性を向上することができる特徴がある。
【0097】
前記第一・第二の散発異常判定手段610a・720aは共用集計手段605a・612・705a・712と第一・第二の散発異常検出手段606a・706aとによって構成されている。
前記共用集計手段605a・612・705a・712は共用現在値レジスタ126を備え、前記第一のエラーが発生しておれば当該共用現在値レジスタ126に対して第二の変分値Δ2を加算又は減算し、前記第一のエラーレジスタ125a又は第一のエラーフラグFL1をリセットしておくと共に、第一のエラーが発生していなければ第一の変分値Δ1を減算又は加算して相互に減殺するように共用現在値レジスタ126に対する加減算補正を行い、前記第二のエラーが発生しておれば前記共用現在値レジスタ126に対して第五の変分値Δ5を加算又は減算し、前記第二のエラーレジスタ125b又は第二のエラーフラグFL2をリセットしておくと共に、第二のエラーが発生していなければ第四の変分値Δ4を減算又は加算して相互に減殺するように共用現在値レジスタ126に対する加減算補正を行い、前記第一又は第二のエラーの不作動状態が継続したときには所定の正常側限界値において上記第一又は第四の変分値Δ1・Δ4による加減算補正を停止する手段である。
前記第一・第二の散発異常検出手段610a・720aは前記第一・第二・第四・第五の変分値の累積によって前記共用現在値レジスタ126の値が所定の異常側限界値の域外となったときに第一又は第二の異常検出信号ER1・ER2を発生する手段であって、前記第二の変分値Δ2は第一の変分値Δ1よりも大きな値であり、前記第五の変分値Δ5は第四の変分値Δ4よりも大きな値であり、しかも第二の変分値Δ2と第五の変分値Δ5とは前記異常側限界値と正常側限界値との差である許容累積値よりも小さな値として設定されいる。
従って、第一のエラーと第二のエラーとの重みつけを変更したうえで複合的に合算して、一元的に散発異常の発生を検出することができる特徴がある。
【0098】
前記MRAM120Bは更に第三の異常判定手段833となる制御プログラムを包含すると共に、異常発生記憶手段140Bを備えている。
前記第三の異常判定手段833は前記MRAM120Bの特定区間領域の保存データを順次読出して、読出し区間全体のデータに関するサムチェック又はCRCチェックによって符号誤りの有無を判定する手段である。
前記異常発生記憶手段140Bは前記重複異常判定手段610b・720b・831・832が異常判定を 行なったことと、前記第三の異常判定手段831が異常判定を行なったことに応動して、少なくとも異常報知を行なう手段である。
【0099】
前記MRAM120Bは更に運転開始点検手段又は定期点検手段又は停止前点検手段のいずれかの手段を選択する点検時期判定手段801となる制御プログラムを包含している。前記運転開始点検手段は電源スイッチ102が投入された直後において、前記MRAM120Bに保存されている特定領域の主要データについて前記重複異常判定手段831・832又は前記第三の異常判定手段833によって符号誤りの有無を点検する特定点検手段である。
前記定期点検手段は電源スイッチ102の投入継続状態において、前記MRAM120Bに保存されている全データを複数分割して、各分割データについて前記重複異常判定手段831・832又は前記第三の異常判定手段833によって符号誤りの有無を順次定期点検する分割更新点検手段である。
前記停止前点検手段は電源スイッチ102が遮断された直後の遅延復帰開閉素子103bの閉路期間において、前記MRAM120Bに保存されている全データについて前記重複異常判定手段831・832又は前記第三の異常判定手段833によって符号誤りの有無を点検する一括点検手段である。
【0100】
前記マイクロプロセッサ110Bは車載エンジンの運転状態を検出する車載センサ群106・107の動作状態に応動して、少なくとも吸気量制御手段又は燃料噴射制御手段を制御するものである。
前記MRAM120Bは更に、通常運転手段となる制御プログラムに加えて退避運転手段となる制御プログラムを包含すると共に、異常発生記憶手段140Bを備えている。 前記退避運転手段は前記吸気量制御手段による吸気量の抑制又は燃料噴射制御手段による給燃量の抑制によってエンジン回転速度を抑制した運転制御を実行する手段である。
前記異常発生記憶手段140Bは少なくとも前記重複異常判定手段610b・720b・831・832が 異常判定を行なったとなったことに応動して異常報知を行うと共に、前記通常運転手段による通常運転モードから前記退避運転手段による退避運転モードに選択切換えするものである。
【0101】
前記MRAM120Bは更に訂正転送手段827となる制御プログラムを包含すると共に、前記マイクロプロセッサ110Bは前記退避運転手段となる制御プログラムが格納された不揮発性のバックアップメモリ161Bを備えている。
前記訂正転送手段827は前記重複異常判定手段832が異常判定したことに応動して、前記バックアップメモリ161Bに格納されている退避運転プログラムを、前記訂正符号付き書込回路122を介して前記MRAM120Bのエラー発生アドレスに対して上書き保存する修復書込手段である。
前記書込禁止/解除手段150は前記訂正転送手段827による修復操作時にあっては、前記書込禁止機能を解除するものである。
【0102】
前記マイクロプロセッサ120Bは協働する補助CPU160とシリアル接続されている。当該補助CPU160は不揮発性の補助プログラムメモリ161と協働して、前記マイクロプロセッサ120Bとの間で監視・制御信号の交信を行なうマイクロプロセッサである。
前記補助プログラムメモリ161は前記退避運転手段となる制御プログラムが格納された不揮発性のバックアップメモリを包含している。
従って、余分のバックアップメモリを必要とせず、補助プログラムメモリの一部領域を用いて退避運転用の制御プログラムを保存しておくことができる特徴がある。
【0103】
前記マイクロプロセッサ110Bにはウォッチドッグタイマ130と異常発生記憶手段140Bとが併用されている。
当該ウォッチドッグタイマ130は前記マイクロプロセッサ110Bが発生するウォッチドッグクリア信号WD1のパルス幅が所定値を超過したことに伴ってリセットパルス信号RS1を発生して、当該マイクロプロセッサ110Bを初期化・再起動するタイマ回路である。
前記異常発生記憶手段140Bは前記重複異常判定手段610b・720b・831・832が異常発生を判定したことに伴う異常検出パルス信号ER1・ER2と、前記ウォッチドッグタイマ130によるリセットパルス信号RS1の発生に応動して、一回のパルス信号又は複数回のパルス信号の発生に伴って、少なくとも異常報知を行なうと共に、前記通常運転手段による通常運転モードから前記退避運転手段による退避運転モードに選択切換えするためのフリップフロップ回路又はカウンタ回路によって構成された論理回路であって、当該論理回路には駆動停止手段142と記憶解除手段112Bとが付加されている。
前記駆動停止手段142は前記異常発生記憶手段140Bが異常発生を確定記憶しているときに作用し、上記電気負荷群105a・105bの中の一部の特定電気負荷の駆動を禁止するゲート回路である。
前記記憶解除手段112Bは電源スイッチ102の再投入等による人為的操作に応動するリセットパルス信号よって前記異常発生記憶手段140Bによる異常記憶信号をリセットする手段である。
【0104】
発明の実施の形態3
(1)構成の詳細な説明
以下、この発明の第3実施例装置の回路ブロック図を示す図9について、図1のものと
の相違点を中心にして説明する。なお、各図において共通符号は同一又は相当部分を示している。
図9において、電子制御装置100Cの外部には外部電源101と電源リレーや負荷電源リレーが設けられ、後述のマイクロプロセッサ110Cから第一の出力インタフェース回路115aを介して給電駆動される第一の電気負荷群105aと、第二の出力インタフェース回路115bを介して給電駆動される第二の電気負荷群105bと、入力インタフェース回路116を介して入力される開閉センサ群106と、アナログ入力インタフェース回路117を介して入力されるアナログセンサ群107と、シリアルインタフェース回路118を介して接続される外部ツール108と、異常発生記憶手段であるフリップフロップ回路140Cのセット出力端子から駆動される警報・表示器109とが接続されている。
【0105】
電子制御装置100Cの内部の構成として、マイクロプロセッサ110Cは不揮発性のプログラムメモリであるMRAM120Cとバス接続されている。
マイクロプロセッサ110Cは電源リレーの出力接点103bから給電される制御電源ユニット111が発生する安定化電圧によって動作し、給電保持指令出力DR1によって駆動回路素子113Aを介して電源リレーの励磁コイル103aに対する付勢を持続させるようになっている。 リセットパルス発生回路112Cは制御電源ユニット111の立上時点にリセットパルス信号を発生して、後述の論理和素子131を介してマイクロプロセッサ110Cを初期化したり、後述の異常発生記憶手段であるフリップフロップ回路140Cをリセットするようになっている。
【0106】
MRAM120Cは外部ツール108から転送書込みされた後はマイクロプロセッサ110Cの運転中において書換変更されることがない入出力制御プログラムを主体としたプログラムメモリ領域と、マイクロプロセッサ110Cの運転中に随時書換え変更されるデータメモリ領
域とが異なるアドレス領域に分割されて格納されている。
MRAM120Cは更に、マイクロプロセッサ110Cからの書込指令信号に応動して指定アドレスのメモリセル121に対して誤り訂正符合を付加した保存データを書込むための訂正符号付き書込回路122と、マイクロプロセッサ110Cからの読出指令信号に応動して指定アドレスのメモリセル121から前記保存データを復号化して読出す復号化読出回路123と、第一・第二のエラーフラグ生成回路124aa・124bbと、前記データメモリ領域に設けられた第一・第二のエラーレジスタ125a・125bと、前記プログラムメモリ領域に設けられた後述の確認読出手段と重複異常判定手段となる制御プログラムとを包含すると共に、マイクロプロセッサ110Cからの書込指令信号は後述の書込禁止/解除手段1410を介してMRAM120Cに供給されるように構成されている。
【0107】
第一のエラーフラグ生成回路124aaは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数以内でエラーが発生していて、読み出された保存データが前記復号化読出回路によって復元訂正されたデータであるときに、二値化論理情報である第一のエラーフラグFL11を発生する論理回路である。但し、第一のエラーフラグFL11は、MRAM120Cのアクセスアドレス毎にエラー発生の有無に応じて動作状態が変化するものとなっている。
第二のエラーフラグ生成回路124bbは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数を超過するエラーが発生していて、読み出された保存データが保存当初のデータと一致しているかどうかが保証できないデータであるときに、二値化論理情報である第二のエラーフラグFL22を発生する論理回路である。但し、第二のエラーフラグFL22は、MRAM120Cのアクセスアドレス毎にエラー発生の有無に応じて動作状態が変化するもとなっている。
【0108】
ウォッチドッグタイマ130はマイクロプロセッサ110Cが発生するパルス列信号であるウォッチドッグクリア信号WD1を監視して、ウォッチドッグクリア信号WD1のパルス幅が所定閾値を超過するとリセットパルス信号RS1を発生し、論理和素子131を介してマイクロプロセッサ110Cのリセット入力端子RST1に供給し、マイクロプロセッサ110Cを初期化・再起動するようになっている。
また、リセットパルス信号RS1は論理和素子141Cを介して後述の異常発生記憶手段であるフリップフロップ回路140Cのセット入力端子に供給されるようになっている。
なお、ウォッチドッグタイマ130はウォッチドッグクリア信号WD1のパルス幅が正常であるときに出力許可信号OUTEを発生して、第一・第二の出力インタフェース回路115a・115bの出力発生が可能となるものである。
【0109】
異常発生記憶手段となるフリップフロップ回路140Cは、論理和素子141Cの論理和出力信号によってセットされるものであって、論理和素子141Cの入力端子にはマイクロプロセッサ110Cが発生する第一・第二の異常検出信号ER1・ER2と、ウォッチドッグタイマ130が発生するリセットパルス信号RS1とが接続されている。
駆動停止手段となるゲート回路142はマイクロプロセッサ110Cが発生する負荷給電指令出力DR2と反転駆動回路素子114との間に接続されていて、負荷給電指令出力DR2が論理レベル「H」であるときに負荷電源リレーの励磁コイル104aを付勢するようになっているが、フリップフロップ回路140Cのセット出力端子の論理レベルが「H」になると、励磁コイル104aが消勢されるようになっている。
また、このような異常確定状態においてはモード切換指令信号LPHがマイクロプロセッサ110Cに供給されるようになっている。
【0110】
ハードウエアによって構成された異常計数回路170は第一のエラーフラグFL11の発生回数を加算又は減算し、マイクロプロセッサ110Cから供給された読出指令信号の分周信号DNPによって減算又は加算されるものであり、当該異常計数回路170は電源投入時にリセットパルス発生回路112Cが発生するリセットパルス信号、又はマイクロプロセッサ110Cが発生するクリア信号CL1によって例えば現在値がゼロとなるように初期化され、異常計数回路170の現在値が所定の限界閾値に到達するとカウントアップ出力EP1を発生してマイクロプロセッサ110Cに入力されるようになっている。
ハードウエアによって構成された異常計数回路180は第二のエラーフラグFL22の発生回数を加算又は減算し、マイクロプロセッサ110Cから供給された読出指令信号の分周信号DNPによって減算又は加算されるものであり、当該異常計数回路180は電源投入時にリセットパルス発生回路112Cが発生するリセットパルス信号、又はマイクロプロセッサ110Cが発生するクリア信号CL2によって例えば現在値がゼロとなるように初期化され、異常計数回路180の現在値が所定の限界閾値に到達するとカウントアップ出力EP2を発生してマイクロプロセッサ110Cに入力されるようになっている。
マイクロプロセッサ110Cはカウントアップ出力EP1・EP2が入力されたことに応動して第一・第二の異常検出信号ER1・ER2を発生すると共に、第一・第二のクリア信号CL1・CL2を発生して異常計数回路170・180を初期化するようになっている。
【0111】
(2)作用動作の詳細な説明
図9のとおりに構成されたこの発明の第3実施例装置において、電源スイッチ102が閉路されると電源リレーの出力接点103bが閉路して、制御電源ユニット111が外部電源101から給電されて、安定化された制御電源電圧Vccを発生し、リセットパルス発生回路112Cが発生するリセットパルス信号によってマイクロプロセッサ110Cとフリップフロップ回路140Cと異常計数回路170・180が初期化されてからマイクロプロセッサ110Cが動作を開始して、マイクロプロセッサ110Cはウォッチドッグクリア信号WD1を発生する。
なお、MRAM120Cに制御プログラムが格納される前の初回給電時にあっては、MRAM120Cに予め格納されているブートプログラムに基づいて外部ツール108から制御プログラムがMRAM120Cに転送されるようになっている。
なお、外部ツール108によって制御プログラムを書込むときには、ツール接続信号TOOLと最上位アドレス信号A15の論理レベルが共に「H」となっており、マイクロプロセッサ110Cの書込み指令信号WRはそのままMRAM120Cに対して書込指令入力WRMとして供給されることになる。
【0112】
一方、MRAM120Cに制御プログラムが格納された後に電源スイッチ102が閉路されたときには、マイクロプロセッサ110Cとフリップフロップ回路140Cと異常計数回路170・180の初期化が行なわれてからマイクロプロセッサ110Cが動作を開始し、ウォッチドッグクリア信号WD1を発生すると共に給電保持指令出力DR1と負荷給電指令出力DR2を発生し、負荷電源リレーの励磁コイル104aが付勢される。
この状態ではツール接続信号TOOLが論理レベル「L」となっており、その結果として最上位アドレス信号A15の論理レベルが共に「H」となっているプログラムメモリ領域に対してはたとえ書込指令信号WRの論理レベルが「H」になったとしても、MRAM120Cには供給されないようになっている。
但し、上位アドレス信号A15の論理レベルが共に「L」となっているデータメモリ領域に対しては書込指令信号WRは有効となっている。
また、後述の書換訂正指令信号WRCはメモリ領域とは無関係に常に有効となっていて、その詳細は図14によって後述する。
【0113】
マイクロプロセッサ110Cはアナログセンサ群107から得られるアナログ信号の電圧レベルと、開閉センサ群106から得られるON/OFF信号の動作状態と、MRAM120Cのメモリセル121に格納されている入出力制御プログラムとに応動して、第一・第二の電気負荷群105a・105bの駆動制御を行なう。
マイクロプロセッサ110Cの運転中にノイズ誤動作等によって第一・第二の異常検出信号ER1・ER2が異常検出パルス信号を発生したり、ウォッチドッグタイマ130がリセットパルス信号RS1を発生すると、論理和素子141Cを介してフリップフロップ回路140Cのセット入力端子にセット入力信号が供給され、フリップフロップ回路140Cは異常発生状態を記憶
してセット出力端子の論理レベルが「H」となる。
その結果、警報・表示器109が作動すると共に、ゲート回路142によって負荷給電指令出力DR2が遮断されて負荷電源リレーの励磁コイル104aが消勢され、マイクロプロセッサ110Cに対してはモード切換指令信号LPHが供給される。その結果、マイクロプロセッサ110Cはエンジン回転速度を抑制した退避運転モードへ移行するようになっている。
【0114】
マイクロプロセッサ110Cの運転中に電源スイッチ102が開路すると、給電保持指令出力DR1と駆動回路素子113Aによって励磁コイル103a・104aに対する付勢が持続し、マイクロプロセッサ110Cは学習記憶情報等の確認保存を実行した後に自ら給電保持指令出力DR1を停止し、その結果として励磁コイル103aが消勢されるようになっている。
電源スイッチ102を再投入すると、マイクロプロセッサ110Cとフリップフロップ回路140Cはリセットパルス発生回路112Cによって初期化されるので、フリプフロップ回路140Cによる異常記憶がノイズ誤動作によるものであった場合には正常運転状態に回復することになる。
但し、MRAM120Cやその他のハードウエアの異常によって第一・第二の異常検出信号ER1・ER2、又はウォッチドッグタイマ130がリセットパルス信号RS1を発生している場合には、フリップフロップ回路140Cは再びこれらの異常信号を記憶して、速やかに異常報知・負荷電源リレーの停止等を行なうことになる。
【0115】
異常計数回路170・180にはMRAM120Cの読出タイミング毎にもしも第一又は第二のエラーが発生しておてば1カウントの加算が行なわれ、例えば100回の読出指令信号当たりに1回の減算処理が行われ、現在値はゼロ以下にはならないように制限されている。
また、異常計数回路170・180の現在値が例えば10又は4になるとカウントアップ出力EP1・EP2を発生するようになっている。
従って、異常計数回路170は100回の読出に対して10回の散発異常が発生しているとカウントアップ出力EP1を発生し、異常計数回路180は100回の読出に対して4回の散発異常が発生しているとカウントアップ出力EP2を発生することになる。
【0116】
次に、図9のものの第一の異常判定に関する動作説明用フローチャートである図10について説明する。
マイクロプロセッサ110Cの動作説明フローチャートである図10(A)において、
工程1000はマイクロプロセッサ110CがMRAM120Cの異常判定動作を開始するステップ、続く工程1001は後述の工程1002において初期フラグがセットされているかどうかによって初回動作であるかどうかを判定し、初回動作であればYESの判定を行なって工程1002へ移行し、初回動作でなければNOの判定を行なって工程1003へ移行するステップ、
工程1002は前述の第一・第二のエラーフラグ生成回路124aa・124bbや第一・第二のエラーレジスタ125a・125bや異常計数回路170・180の現在値を初期化すると共に、図示しない初期フラグをセットするステップであり、当該初期フラグは電源スイッチ102が投入された時点でリセットされているようになっている。
工程1003は第一のエラーレジスタ125aの内容を読み出すタイミングであるかどうかを判定し、読出時期であればYESの判定を行なって工程1003aへ移行し、読出時期でなければNOの判定を行なって中継端子11Bを介して図11(A)の工程1111aへ移行するステップであり、読出時期であるか否かの判定は図示しないタイマによって計測され、たとえば約10msecに一度の割合でYESの判定を行なうようになっている。
【0117】
工程1003aは第一のエラーレジスタ125aの内容を読み出して図示しない後書き優先のテンポラリレジスタに上書き保存すると共に、第一のエラーレジスタ125aの内容をリセットするステップである。
続く工程1004aは工程1003aで読みだされたテンポラリレジスタの内容が第一のエラーの発生状態であったかどうかによって、第一のエラーの発生時にはYESの判定を行なって工程1007aへ移行し、第一のエラーが発生していなければNOの判定を行なって中継端子11Bを介して図11(A)の工程1111aへ移行するステップである。
なお、第一のエラーは符号訂正が可能であるエラーのことであり、第一のエラーレジスタ125aの内容がメモリセル121のアドレスであった場合に第一のエラーが発生したと判定するものとなっている。
工程1007aはエラー発生したアドレスを指定してその内容を読み出すステップであるが、エラー発生アドレスは工程1003aにおいて検出されたアドレスである。
【0118】
工程1007aに続いて実行される工程1003bは第一のエラーレジスタ125aの内容を読み出して図示しないテンポラリレジスタに上書きすると共に、第一のエラーレジスタ125aの内容をリセットするステップである。
続く工程1004bは工程1003bで読みだされたテンポラリレジスタの内容が第一のエラーの発生状態であったかどうかによって、第一のエラーの発生時にはYESの判定を行なって工程1007bへ移行し、第一のエラーが発生していなければNOの判定を行なって中継端子11Bを介して図11(A)の工程1111aへ移行するステップである。
工程1007bはエラー発生したアドレスを指定してその内容を読み出すステップであるが、エラー発生アドレスは工程1003bにおいて検出されたアドレスである。
続く工程1008は工程1007bで読みだされた復号化データを訂正符号付き書込回路122を介
して修復書込みするステップである。
工程1008に続いてに実行される工程1009aでは、第一の異常検出信号ER1のパルスを発生すると共に、第一のエラーレジスタ125aの内容をリセットし、クリア信号CL1を発生して異常計数回路170をリセットしてから中継端子11Aを経由して図11(A)の工程1103aへ移行するようになっている。
【0119】
異常計数回路170の計数動作を等価表現した動作説明用フローチャートである図10(B)において、工程1010は異常計数回路170の動作開始工程、続く工程1011はクリア信号CL1の論理レベルを判定し、論理レベル「H」であればYESの判定を行なって工程1012へ移行し、論理レベル「L」であればNOの判定を行なって工程1013へ移行するステップである。工程1012は異常計数回路170の現在値をゼロにリセットしてから工程1013へ移行するステップ、続く工程1013は第一のエラーフラグFL11の論理レベルを判定し、論理レベル「H」であればYESの判定を行なって工程1015aへ移行し、論理レベル「L」であればNOの判定を行なって工程1014へ移行するステップである。
工程1014はマイクロプロセッサ110Cが発生する分周信号DNPの論理レベルを判定し、論理レベル「H」であればYESの判定を行なって工程1015bへ移行し、論理レベル「L」であればNOの判定を行なって工程1011へ復帰移行するステップである。
工程1015aは異常計数回路170の現在値に1を加算するステップ、工程1015bは異常計数回路170の現在値から1を減算するステップであるが、異常計数回路170の現在値はゼロ以下にはならないようになっている。
工程1015aと工程1015bによって構成された工程ブロック1015は第一の集計手段となるものである。
【0120】
工程1015a又は工程1015bに続いて実行される工程1016は異常計数回路170の現在値が「10」を超過したかどうかを判定し、未超過であればNOの判定を行なって工程1011へ復帰移行し、超過であればYESの判定を行なって工程1017へ移行する。
工程1017ではカウントアップ出力EP1を発生してから工程1011へ復帰移行する。
工程ブロック1010aは工程1011から工程1017によって構成された第一の散発異常判定手段となる工程群であり、工程ブロック1010bは工程1003b・1004bによって構成された第一の重複異常判定手段となる工程群である。
なお、工程ブロック1010aでは不特定多数のアドレスで発生した第一のエラーの発生頻度を検出して第一の散発異常の発生を判定するものであるのに対し、工程ブロック1010bでは工程1007aによって指定された異常発生中の特定アドレスに対する再確認動作によって第一の重複異常の発生を判定するものとなっている。
【0121】
以上のフローチャートを概括説明すると、
工程1015は第一の加減算回路に相当し、当該第一の加減算回路1015はハードウエアによって構成された異常計数回路170であって、MRAM120Cが発生する第一のエラーフラグFL11の発生回数を加算(又は減算)し、マイクロプロセッサ110Cから供給された読出指令信号の分周信号DNPによって減算(又は加算)されるものである。
工程1016は第一の散発異常検出手段に相当し、当該第一の散発異常検出手段1016は異常計数回路170の現在値が所定の設定閾値を超過したことによって第一の異常検出信号となるカウントアップ出力EP1を発生するものである。
従って、ノイズ誤動作等によって第一のエラーが散発発生した場合に、直ちにはカウントアップ出力EP1は発生せず、ハードウエア異常によって継続的に第一のエラーが発生した場合には速やかにカウントアップ出力EP1が発生するようになっている。
工程ブロック1010aは第一の集計手段1015と第一の散発異常検出手段1016とを包含した第一の散発異常判定手段となるものである。
【0122】
工程1003bは第一の確認読出手段に相当し、当該第一の確認読出手段1003bは第一のエラーレジスタ125aに第一のエラーデータが格納されていたことに応動して、当該第一のエラーデータをリセット(工程1003aによる)してからエラー発生アドレスを再度アクセス(工程1007aによる)した後に、再度第一のエラーレジスタ125aの内容を読み出し確認する手段となっている。
工程1008は訂正書込手段に相当し、当該訂正書込手段1008は第一の確認読出手段1003bによる読出し結果として依然として第一のエラーレジスタ125aに第一のエラーデータが格納されたことに応動して、復号化読出回路123を介して読み出されたエラー発生アドレスの保存データを、訂正符号付き書込回路122を介してMRAM120Cのエラー発生アドレスに対して上書き保存する修復書込手段となっている。
工程ブロック1010bは第一の重複異常判定手段に相当し、当該第一の重複異常判定手段1010bは確認読出手段1003bによって読み出された第一のエラーレジスタ125aの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する手段である。
【0123】
次に、図9のものの第二の異常判定に関する動作説明用フローチャートである図11について説明する。
マイクロプロセッサ110Cの動作説明フローチャートである図11(A)において、
図10(A)の中継端子11Aに続いて実行される工程1103aは第二のエラーレジスタ125bの内容を読み出して図示しない後書き優先のテンポラリレジスタに上書き保存すると共に、第二のエラーレジスタ125bの内容をリセットするステップである。
続く工程1104aは工程1103aで読みだされたテンポラリレジスタの内容が第二のエラーの発生状態であったかどうかによって、第二のエラーの発生時にはYESの判定を行なって工程1107aへ移行し、第二のエラーが発生していなければNOの判定を行なって工程1111aへ移行するステップである。
なお、第二のエラーは符号訂正が不可能であるエラーのことであり、第二のエラーレジスタ125bの内容がメモリセル121のアドレスであった場合に第二のエラーが発生したと判定するものとなっている。
工程1107aはエラー発生したアドレスを指定してその内容を読み出すステップであるが、エラー発生アドレスは工程1103aにおいて検出されたアドレスである。
【0124】
工程1107aに続いて実行される工程1103bは第二のエラーレジスタ125bの内容を読み出して図示しないテンポラリレジスタに上書きすると共に、第二のエラーレジスタ125bの内
容をリセットするステップである。
続く工程1104bは工程1103bで読みだされたテンポラリレジスタの内容が第二のエラーの発生状態であったかどうかによって、第二のエラーの発生時にはYESの判定を行なって工程1109bへ移行し、第二のエラーが発生していなければNOの判定を行なって工程1111aへ移行するステップである。
工程1109bでは、第二の異常検出信号ER2のパルスを発生すると共に、第二のエラーレジスタ125bの内容をリセットし、クリア信号CL2を発生して異常計数回路180をリセットしてから中継端子12Aを経由して図12(A)の工程1240へ移行するようになっている。
【0125】
図10の工程1003・工程1004a・工程1004b、図11の工程1104a・工程1104bの判定がいずれもNOであって、異常点検時期ではなかったとき、又は異常点検結果が正常であったときに実行される工程1111aは異常計数回路170のカウントアップ出力EP1の論理レベルを判定し、カウントアップしていなければNOの判定を行なって工程1111bへ移行し、カウントアップしておればYESの判定を行なって工程1112aへ移行するステップである。
工程1112aは第一の異常検出信号ER1を発生すると共に、クリア信号CL1を発生して異常計数回路170をリセットしてから中継端子12Aを経由して図12(A)の工程1240へ移行するようになっている。
工程1111bは異常計数回路180のカウントアップ出力EP2の論理レベルを判定し、カウントアップしていなければNOの判定を行なって中継端子12Aを経由して図12(A)の工程1240へ移行し、カウントアップしておればYESの判定を行なって工程1112bへ移行するステップである。
工程1112bは第二の異常検出信号ER2を発生すると共に、クリア信号CL2を発生して異常計数回路180をリセットしてから中継端子12Aを経由して図12(A)の工程1240へ移行するようになっている。
【0126】
異常計数回路180の計数動作を等価表現した動作説明用フローチャートである図11(B)において、工程1110は異常計数回路180の動作開始工程、続く工程1111はクリア信号CL2の論理レベルを判定し、論理レベル「H」であればYESの判定を行なって工程1112へ移行し、論理レベル「L」であればNOの判定を行なって工程1113へ移行するステップである。工程1112は異常計数回路180の現在値をゼロにリセットしてから工程1113へ移行するステップ、続く工程1113は第二のエラーフラグFL22の論理レベルを判定し、論理レベル
「H」であればYESの判定を行なって工程1115aへ移行し、論理レベル「L」であればNO
の判定を行なって工程1114へ移行するステップである。
工程1114はマイクロプロセッサ111Cが発生する分周信号DNPの論理レベルを判定し、論理レベル「H」であればYESの判定を行なって工程1115bへ移行し、論理レベル「L」であればNOの判定を行なって工程1111へ復帰移行するステップである。
工程1115aは異常計数回路180の現在値に1を加算するステップ、工程1115bは異常計数回路180の現在値から1を減算するステップであるが、異常計数回路180の現在値はゼロ以下にはならないようになっている。
工程1115aと工程1115bによって構成された工程ブロック1115は第二の集計手段となるものである。
【0127】
工程1115a又は工程1115bに続いて実行される工程1116は異常計数回路180の現在値が「4」を超過したかどうかを判定し、未超過であればNOの判定を行なって工程1111へ復帰移行し、超過であればYESの判定を行なって工程1117へ移行する。
工程1117ではカウントアップ出力EP2を発生してから工程1111へ復帰移行する。
工程ブロック1120aは工程1111から工程1117によって構成された第二の散発異常判定手段となる工程群であり、工程ブロック1120bは工程1103b・1104bによって構成された第二の重複異常判定手段となる工程ブロックである。
なお、工程ブロック1120aでは不特定多数のアドレスで発生した第二のエラーの発生頻度を検出して第二の散発異常の発生を判定するものであるのに対し、工程ブロック1120bでは工程1107aによって指定された異常発生中の特定アドレスに対する再確認動作によって第二の重複異常の発生を判定するものとなっている。
【0128】
以上のフローチャートを概括説明すると、
工程1115は第二の加減算回路に相当し、当該第二の加減算回路1115はハードウエアによって構成された異常計数回路180であって、MRAM120Cが発生する第二のエラーフラグFL22の発生回数を加算(又は減算)し、マイクロプロセッサ110Cから供給された読出指令信号の分周信号DNPによって減算(又は加算)されるものである。
工程1116は第二の散発異常検出手段に相当し、当該第二の散発異常検出手段1116は異常計数回路180の現在値が所定の設定閾値を超過したことによって第二の異常検出信号となるカウントアップ出力EP2を発生するものである。
従って、ノイズ誤動作等によって第二のエラーが散発発生した場合に、直ちにはカウントアップ出力EP2は発生せず、ハードウエア異常によって継続的に第二のエラーが発生した場合には速やかにカウントアップ出力EP2が発生するようになっている。
工程ブロック1120aは第二の集計手段1115と第二の散発異常検出手段1116とを包含した第二の散発異常判定手段となるものである。
【0129】
工程1103bは第二の確認読出手段に相当し、当該第二の確認読出手段1103bは第二のエラーレジスタ125bに第二のエラーデータが格納されていたことに応動して、当該第二のエラーデータをリセット(工程1103aによる)してからエラー発生アドレスを再度アクセス(工程1107aによる)した後に、再度第二のエラーレジスタ125bの内容を読み出し確認する手段となっている。
工程ブロック1120bは第二の重複異常判定手段に相当し、当該第二の重複異常判定手段1120bは確認読出手段1103bによって読み出された第二のエラーレジスタ125bの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する手段である。
【0130】
次に、図9のものの点検動作に関する動作説明用フローチャートである図12・図13について説明する。
点検動作の前半フローチャートである図12において、前述の工程1109b・1112a・1112b・
1111bに続いて実行される工程ブロック1201は、異常点検時期であるかどうかを判定して、異常判定時期でなければNOの判定を行なって動作終了工程1220へ移行し、異常点検時期であれば異常点検領域を選択して工程1202へ移行する工程群である。
工程ブロック1201において、工程1240は電源スイッチ102が閉路された直後であるかどうかを判定し、OFF→ONへの変化後であればYESの判定を行なって工程1241へ移行し、既に閉路済又は開路済であれば工程1242へ移行するステップ、工程1241は運転開始点検の対象となる特定点検領域を選択するステップであり、当該特定点検領域は安全上の重要プログラム領域である例えば退避運転制御プログラムが選択されるようになっている。
工程1242は電源スイッチ102が閉路しているか否かを判定し、閉路しておればYESの判定を行なって工程1243へ移行し、開路しておればNOの判定を行なって工程1244へ移行するステップであり、工程1242がNOの判定を行なうのは一旦閉路されていた電源スイッチ102が開路されて、遅延復帰開閉素子103bによって給電持続されている状態である。
【0131】
工程1243は定期点検時期であるかどうかを判定し、定期点検時期であればYESの判定を行なって工程1244へ移行し、定期点検時期でなければNOの判定を行なって動作終了工程1220へ移行するステップであり、当該工程1243は略定期的にYESの判定を行なうようになっている。
工程1244は定期点検又は停止前点検の対象となる分割点検領域を選択・更新するステップであり、定期点検の場合には後述の工程1326が領域更新完了の判定を行なうことによって一旦は動作終了工程1220へ移行し、再び動作開始工程1000が活性化された後の工程1244において複数分割されている分割点検領域を更新選択するようになっている。
電源スイッチ102が開路された停止前点検の場合には、後述の工程1326が領域更新未完了の判定を行なうことによって、中継端子12Bを介して再び工程1244へ復帰して、複数分割されている分割点検領域を引き続き更新選択するようになっている。
【0132】
工程1241又は工程1244に続いて実行される工程1202は、点検対象となったMRAM120Cのアドレス領域において、メモリセル121のアドレスを指定してメモリ内容を読み出してみるステップである。
続く工程1203aは第二のエラーレジスタ125bの内容を読み出して図示しないテンポラリレジスタに格納すると共に、第二のエラーレジスタ125bの内容をリセットするステップである。続く工程1204aは工程1203aで読みだされたテンポラリレジスタの内容が第二のエラーの発生状態であったかどうかによって、第二のエラーの発生時にはYESの判定を行なって工程1207aへ移行し、第二のエラーが発生していなければNOの判定を行なって工程1213aへ移行するステップである。
【0133】
工程1207aはエラー発生したアドレスを指定してその内容を読み出すステップであり、当該エラー発生アドレスは工程1203aによって読みだされたアドレスである。
工程1207aに続いて実行される工程1203bは第二のエラーレジスタ125bの内容を読み出して図示しないテンポラリレジスタに格納すると共に、第二のエラーレジスタ125bの内容をリセットするステップである。
続く工程1204bは工程1203bで読みだされたテンポラリレジスタの内容が第二のエラーの発生状態であったかどうかによって、第二のエラーの発生時にはYESの判定を行なって中継端子13Bを介して図13の工程1332へ移行し、第二のエラーが発生していなければNOの判定を行なって工程1213aへ移行するステップである。
【0134】
工程1213aは第一のエラーレジスタ125aの内容を読み出して図示しない後書き優先のテンポラリレジスタに上書き保存すると共に、第一のエラーレジスタ125aの内容をリセット
するステップである。
続く工程1214aは工程1213aで読みだされたテンポラリレジスタの内容が第一のエラーの発生状態であったかどうかによって、第一のエラーの発生時にはYESの判定を行なって工程1217aへ移行し、第一のエラーが発生していなければNOの判定を行なって工程1222へ移行するステップである。
工程1217aはエラー発生したアドレスを指定してその内容を読み出すステップであり、当該エラー発生アドレスは工程1213aによって読みだされたアドレスである。
【0135】
続く工程1213bは第一のエラーレジスタ125aの内容を読み出して図示しない後書き優先のテンポラリレジスタに上書き保存すると共に、第一のエラーレジスタ125aの内容をリセットするステップである。
続く工程1214bは工程1213bで読みだされたテンポラリレジスタの内容が第一のエラーの発生状態であったかどうかによって、第一のエラーの発生時にはYESの判定を行なって工程1221へ移行し、第一のエラーが発生していなければNOの判定を行なって工程1222へ移行するステップである。
工程1221は次工程1218によって正常データの訂正書込みが実行されたかどうかを判定し、訂正未書込みであればNOの判定を行なって工程1218へ移行し、訂正書込み済であればYESの判定を行なって中継端子13Bを介して図13の工程1332へ移行するステップである。
【0136】
工程1218は工程1217aで読みだされた復号化データを訂正符号付き書込回路122を介して修復書込みするステップであり、当該工程1218に続いて工程1213bへ復帰して、正常書込みがおこなわれたかどうかが工程1214bによって判定されるようになっている。
工程1222は今回の点検対象となっている領域の点検が完了したかどうかを判定し、未完了であればNOの判定を行なって工程1202へ復帰して点検アドレスを更新し、点検完了であればYESの判定を行なって中継端子13Aを介して図13の工程1323へ移行するステップである。
【0137】
点検動作の後半フローチャートである図13において、中継端子13Aに続く工程1323はサムチェック又はCRCチェックのためにグループ分けされている複数の点検領域について、どの領域をチェックするかを設定するステップであり、当該点検領域は例えば工程1241又は工程1244で選択された点検領域と同じ領域であるか、更に細分化された領域であってもよい。
続く工程1324は工程1323で設定された点検領域についてサムチェック又はCRCチェックを行なうステップ、続く工程1325は工程1324によるチェック結果が正常であったか否かによって、正常であればYESの判定を行なって工程1326へ移行し、正常でなければNOの判定を行なって工程1332へ移行するステップである。
工程1326では電源スイッチ102が閉路されている定期点検の時にはYESの判定が行なわれ、電源スイッチ102が開路されている停止前点検の時には、先ずはNOの判定が行なわれて工程1244へ復帰し、繰り返して複数の点検領域の点検を行なって全ての分割点検領域の点検が完了すればYESの判定を行なって動作終了工程1220へ移行するようになっている。
【0138】
図12の工程1204b・1221、図13の工程1325で異常判定であったときに実行される工程1332は、点検領域内で第二のエラーが発生したアドレスを確認するステップであり、当該工程1332では点検領域内のMRAM120Cのアドレスを順次アクセスしながら第二のエラーレジスタ125bの内容を確認することによって、2箇所以上の異常アドレスが存在するかどうかを検索するものとなっている。
続く工程1333は工程1332による検索結果として異常発生アドレスが1箇所以内であったかどうかを判定し、一箇所以内であればYESの判定を行なって工程1334へ移行し、一箇所を超える異常発生があればNOの判定を行なって工程1329へ移行するステップである。
工程1334では予め制御データとしてMRAM120Cに格納されているサムデータと、工程1334で算出されたサムデータとを対比して、その差異から逆算して異常発生アドレスにおける正しいデータを推定するステップである。
【0139】
続く工程1335は工程1334で推定された正しいデータを異常発生アドレスに書込み保存してから工程1329へ移行するステップである。
続く工程1329では異常検出信号ER1又はER2を発生すると共に、図10の工程1002でセットされていた初期フラグをリセットし、またMRAM120C内の第一・第二のエラーレジスタ125a・125bをリセットしてから工程1326へ移行する。
動作終了工程1220ではマイクロプロセッサ110Cは他の制御動作を実行してから略定期的に図10の動作開始工程1000へ移行するが、電源スイッチ102が開路されているときにはマイクロプロセッサ110Cが一旦停止されて電源リレー103aが消勢され、給電回路が遮断されるようになっている。
【0140】
以上のフローチャートを概括説明すると、工程1203bは第二の確認読出手段に相当し、当該第二の確認読出手段1203bは第二のエラーレジスタ125bに第二のエラーデータが格納されていたこと(工程1204aの判定による)に応動して、当該第二のエラーデータをリセットしてから(工程1203aで読出し後にリセットされている)エラー発生アドレスを再度アクセス(工程1207aによる)して、第二のエラーレジスタ125bの内容を読み出し確認する手段である。
工程1207a・1203b・1204bによって構成された工程ブロック1232は第二の重複異常判定手段に相当し、当該第二の重複異常判定手段1232は第二の確認読出手段1203bによって読出確認を行なったときに、第二のエラーレジスタ125bの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する手段である。
工程1213bは第一の確認読出手段に相当し、当該第一の確認読出手段1213bは第一のエラーレジスタ125aに第一のエラーデータが格納されていたことに応動して(工程1214aの判定による)、当該第一のエラーデータをリセットしてから(工程1213aで読出し後にリセットされている)エラー発生アドレスを再度アクセス(工程1217aによる)した後に、再度前記第一のエラーレジスタ125aの内容を読み出し確認する手段である。
工程1214b・1221によって構成された工程ブロック1231は第一の重複異常判定手段に相当し、当該第一の重複異常判定手段1231は第一の確認読出手段1213bによって読出確認を行なったときに、第一のエラーレジスタ125aの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する手段である。
【0141】
工程1218は訂正書込手段に相当し、当該訂正書込手段1218は第一の確認読出手段1213bによる読出し結果として依然として第一のエラーレジスタ125aに第一のエラーデータが格納されたことに応動して、復号化読出回路123を介して読み出されたエラー発生アドレスの保存データを、前記訂正符号付き書込回路122を介してMRAM120Cのエラー発生アドレスに対して上書き保存する修復書込手段である。
工程1323・1324・1325によって構成された工程ブロック1333は第三の異常判定手段に相当し、当該第三の異常判定手段1333はMRAM120Cの特定区間領域の保存データを順次読出して、読出し区間全体のデータに関するサムチェック又はCRCチェックによって符号誤りの有無を判定する手段となっている。
工程1327は異常訂正転送手段に相当し、当該異常訂正転送手段1327は第三の異常判定手段1333が特定区間のMRAM120Cの保存データに符号誤りがあると判定し、第二の重複異常判定手段1232が特定区間内で一つの保存データに符号誤りがあると判定した場合に、サムチェックデータ又はCRCチェックデータから逆算して正しい保存データを推定演算して、当該推定データを訂正符号付き書込回路122を介してMRAM120Cのエラー発生アドレスに対して上書き保存する修復書込手段である。
【0142】
工程1240から工程1244によって構成された工程ブロック1201は点検時期判定手段に相当し、当該点検時期判定手1201は運転開始点検手段又は定期点検手段又は停止前点検手段のいずれかの手段を選択するものである。
なお、運転開始点検手段は電源スイッチ102が投入された直後において、MRAM120Cに保存されている特定領域の主要データについて重複異常判定手段1231・1232又は第三の異常判定手段1233によって符号誤りの有無を点検する特定点検手段となっている。
また、定期点検手段は電源スイッチ102の投入継続状態において、MRAM120Cに保存されている全データを複数分割して、各分割データについて重複異常判定手段1231・1232又は第三の異常判定手段1233によって符号誤りの有無を順次点検する分割更新点検手段となっている。
また、停止前点検手段は電源スイッチ102が遮断された直後の遅延復帰開閉素子103bの閉路期間において、MRAM120Cに保存されている全データについて重複異常判定手段1231・1232又は第三の異常判定手段1233によって符号誤りの有無を点検する一括点検手段となっている。
【0143】
次に、図9のものの書込禁止/解除動作に関する動作説明用フローチャートである図14について説明する。
図14において、工程1400はマイクロプロセッサ110Cの書込禁止動作の開始工程である。続く工程1401は外部ツール108が接続されて制御プログラムの書込みモードとなっているかどうかを判定し、書込みモードであればYESの判定を行って工程1405へ移行し、外部ツール108が接続されていないか又は読出しモードになっているときにはNOの判定を行なって工程1402へ移行するステップである。
工程1402は訂正書込み指令の有無を判定し、訂正書込みが必要なときにはYESの判定を行なって工程1405へ移行し、訂正書込みが必要ではないときにはNOの判定を行なって工程1403へ移行するステップである。
なお、ここで言う訂正書込みは図10の工程1008、図12の工程1218、図13の工程1335における訂正書込及び異常訂正書込に該当している。
工程1403は書込みしたいアドレス領域がプログラムメモリ領域であるか、データメモリ
領域であるかを判定し、プログラムメモリ領域であればYESの判定を行なって工程1404へ移行し、プログラムメモリ領域でなければNOの判定を行なって工程1405へ移行するス
テップである。
【0144】
工程1404は書込み禁止フラグをセットして、MRAM120Cのプログラムメモリ領域に対する書込指令信号の発生を禁止するステップである。
工程1405は書込み禁止フラグをリセットして、MRAM120Cのプログラムメモリ領域及びデータメモリ領域に対する書込指令信号の発生を許可するステップである。
工程1404・工程1405に続く工程1406は動作終了工程であり、マイクロプロセッサ110Cは動作終了工程1406に続いて他の制御動作を実行してから略定期的に動作開始工程1400へ復帰するようになっている。
なお、図10の工程1008、図12の工程1218、図13の工程1335を実行するときには書込禁止フラグがリセットされ、工程1008・工程1218・工程1335の実行に伴って即時に書込禁止フラグがセットされるようになっている。
【0145】
工程1404と工程1405によって構成された工程ブロック1410は書込禁止/解除手段となるものであり、当該書込禁止/解除手段1410は図1・図5における書込禁止/解除手段150に相当している。
従って、図1・図5ではハードウエア回路による書込禁止/解除手段150に替ってソフトウエア手段による書込禁止/解除手段1410に置き換えることができると共に、図9において書込禁止/解除手段150を用いれば、書込禁止/解除手段1410は不要となるものである。
なお、図1の書込禁止/解除手段150においてプログラムメモリ領域とデータメモリ領域の区分を最上位アドレス信号A15によって区分したが、その他の下位のアドレス信号を論理結合することによって正確な領域区分を行なうことができるものであり、図14における工程1403においても複数のアドレス信号に基づいて領域判定が行なわれるものである。
【0146】
(3)その他の実施形態の説明
図9のとおりに構成されたこの発明の第3実施例装置において、MRAM120Cは第一・第二のエラーレジスタ125a・125bと第一・第二のエラーフラグ生成回路124aa・124bbを有するものとして説明したが、この発明の基本主旨としては少なくとも第一・第二のエラーレジスタ125a・125bのどちらか一方と、第一・第二のエラーフラグ生成回路124aa・124bbのどちらか一方を備えておれば良い。
例えば、第二のエラーレジスタ125bが存在しないときには図11(A)の工程1103aから工程1109bと、図12の中の工程1203aから工程1204bと、図13の工程ブロック1327を削除すればよい。
逆に、第一のエラーレジスタ125aが存在しないときには図10(A)の工程1003aから工程1009aまでと、図12の中の工程1213aから工程1218を削除して工程1204bの判定がNOであったときには工程1222へ移行するようにすればよい。
なお、第一のエラーフラグ生成回路124aaと第二のエラーフラグ生成回路124bbのどちらかが存在しない場合には、異常計数回路170又は異常計数回路180を削除して、図10(B)又は図11(B)を削除すると共に、図11(A)の工程1111a・工程1112a又は工程1111b・工程1112bを削除すればよい。
【0147】
この発明の第1・第2の実施例装置において第二のエラーレジスタ125bと第三の異常判定手段を設けた場合には、第3の実施例装置で説明した異常訂正書込手段1327を導入することができる。
逆に、第3の実施例装置においてバックアップメモリ161A又は161Bを設けると、第1・第2の実施例装置における訂正転送手段427・827を導入することができる。
更に、フリップフロップ回路140Cで示された異常発生記憶手段は図1で示すようなカウンタ回路140Aに置きなおすことも可能である。
また、電源リレー103aを自己保持動作するための給電保持指令出力DR1に代わって、図5で示したようにウォッチドッグタイマ130が発生する出力許可信号OUTEを用いることも可能である。
【0148】
図9のとおりに構成されたこの発明の第3実施例装置において、エラー発生状態の集計手段はエラーフラグによるエラー発生情報を集計手段となる可逆カウンタによって加算計数し、読出し指令信号の分周信号により減算するようにしたが、簡略的には読出し指令信号の分周信号に代わって所定周期のクロック信号によって減算するようにしても良い。
また、集計手段としての可逆カウンタは簡略的にはハードウエアで構成された加算カウンタ又は減算カウンタとすることも可能である。
例えば、エラー発生に伴って現在値レジスタが加算され、計数現在値が所定の設定閾値を超過すると異常検出出力を発生するようにし、MRAMに対する読出し指令信号の分周信号又は所定周期のクロック信号によって現在値をゼロに初期化するようにしても良い。
また、エラー発生に伴って現在値レジスタが所定値から減算され、計数現在値がゼロに達すると異常検出出力を発生するようにし、MRAMに対する読出し指令信号の分周信号又は所定周期のクロック信号によって現在値を初期化して所定の初期値にセットするようにしても良い。
【0149】
(4)実施形態3の要点と特徴
この発明の実施形態3による電子制御装置100Cは、
外部電源101から給電され、入力センサ群106・107の動作状況に応じて電気負荷群105a・105bを駆動制御するマイクロプロセッサ110Cを備え、当該マイクロプロセッサと協働する不揮発プログラムメモリに対しては、外部ツール108から制御定数を含む制御プログラムが転送書込みされる電子制御装置100Cとなっている。
前記マイクロプロセッサ110Cは電気的に読み書きが行なえる不揮発プログラムメモリあるMRAM(MagneticRandom Access Memory)120Cに格納された制御プログラムに基づいて動作すると共に、当該MRAMは前記外部ツール108から転送書込みされた後は前記マイクロプロセッサ110Cの運転中において書換変更されることがない入出力制御プログラムを主体としたプログラムメモリ領域と、前記マイクロプロセッサ110Cの運転中に随時書換え変更されるデータメモリ領域とが異なるアドレス領域に分割されて格納されて いる。前記MRAM120Cは更に、前記マイクロプロセッサ110Cからの書込指令信号に応動して指定アドレスのメモリセル121に対して誤り訂正符合を付加した保存データを書込むための訂正符号付き書込回路122と、前記マイクロプロセッサ110Cからの読出指令信号に応動して指定アドレスのメモリセル121から前記保存データを復号化して読出す復号化読出回路123と、前記データメモリ領域に設けられたエラーレジスタ125a・125bと、前記プログラムメモリ領域に設けられた確認読出手段1003b・1103b・1203b・1213bと重複異常判定手段1010b・1120b・1231・1232となる制御プログラムとを包含すると共に、前記マイクロプロセッサ110Cからの書込指令信号は書込禁止/解除手段1410を介して前記MRAM120Cに供給されるように構成されている。
【0150】
前記エラーレジスタ125a・125bは前記メモリセル121の保存データに符号誤りがあるときに、誤り発生したアドレス番号がエラーデータとして格納され、当該保存エラーデータは前記マイクロプロセッサ110Cによってリセットされた後の最初に発生したエラーデータであるか、又は前記メモリセル121の各アドレスの内容を順次読み出すことによって新たなアドレスに符号誤りがあれば順次更新されたエラーデータが格納される特定アドレスのメモリである。
前記確認読出手段1003b・1103b・1203b・1213bは前記エラーレジスタ125a・125bにエラーデータが格納されていたことに応動して、当該エラーデータをリセットしてからエラー発生アドレスを再度アクセスした後に、再度前記エラーレジスタ125a・125bの内容を読み出し確認する手段である。
前記重複異常判定手段1010b・1120b・1231・1232は前記確認読出手段1003b・1103b・1203b・1213bによって読み出されたエラーレジスタ125a・125bの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する手段である。
前記書込禁止/解除手段1410は前記制御プログラムが格納されている前記MRAM120Cのプログラムメモリ領域に対しては前記マイクロプロセッサ110Cによる書込指令信号を前記MRAM120Cに供給するのを禁止すると共に、前記マイクロプロセッサ110Cに対して外部ツール108が接続されて、前記MRAM120Cに対して制御プログラムを書込みする状態にあるときには前記書込禁止機能を解除し、外部ツール108が接続されていないときにあっては前記制御プログラムの修復書込みを行なうときにも前記書込禁止機能を例外として解除する手段である。
前記重複異常判定手段1010b・1120b・1231・1232が異常判定を行なったとき、又は複数回の異常判定を行なったことに応動して、少なくとも異常報知を含む異常処理が実行されるようになっている。
【0151】
前記MRAM120Cは更に訂正書込手段1008・1218となる制御プログラムを包含している。前記エラーレジスタは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数以内でエラーを発生していて、読み出された保存データが前記復号化読出回路123によって復元訂正されたデータであるときに、当該エラー発生したアドレス番号が第一のエラーデータとして格納される第一の特定アドレスに位置する第一のエラーレジスタ125aとなっている。
前記確認読出手段は前記第一のエラーレジスタ125aに第一のエラーデータが格納されていたことに応動して、当該第一のエラーデータをリセットしてからエラー発生アドレスを再度アクセスした後に、再度前記第一のエラーレジスタ125aの内容を読み出し確認する第一の確認読出手段1003b・1213bとなっている。
前記訂正書込手段1008・1218は前記第一の確認読出手段1003b・1213bによる読出し結果として依然として第一のエラーレジスタ125aに第一のエラーデータが格納されたことに応動して、前記復号化読出回路123を介して読み出されたエラー発生アドレスの保存データを、前記訂正符号付き書込回路122を介して前記MRAM120Cのエラー発生アドレスに対して上書き保存する修復書込手段である。
前記重複異常判定手段は前記第一の確認読出手段1003b・1213bによって読出確認を行なったとき、又は前記訂正書込手段1008・1218によって訂正書き込みを行なった後の読出確認において、再度前記第一のエラーレジスタ125aの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する第一の重複異常判定手段1010b・1231となっている。
前記書込禁止/解除手段1410は前記訂正書込手段1008・1218による修復操作時にあっては、前記書込禁止機能を解除するものとなっている。
【0152】
前記MRAM120Cは前記第一のエラーレジスタ125aに加えて第一のエラーフラグ生成回路124aaを備えると共に、第一の集計手段1015と第一の散発異常検出手段1016によって構成された第一の散発異常判定手段1010aと、異常発生記憶手段140Cとを備えている。前記第一のエラーフラグ生成回路124aaは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数以内でエラーが発生していて、読み出された保存データが前
記復号化読出回路によって復元訂正されたデータであるときに、二値化論理情報である第一のエラーフラグFL11を発生する論理回路である。
前記第一のエラーフラグFL11は、前記MRAM120Cのアクセスアドレス毎にエラー発生の有無に応じて動作状態が変化するものである。
前記第一の加減算回路1015はハードウエアによって構成された異常計数回路170であって、前記第一のエラーフラグFL11の発生回数を加算又は減算し、前記マイクロプロセッサ110Cから供給された読出指令信号の分周信号DNPによって減算又は加算されるものである。前記第一の散発異常検出手段1016は前記異常計数回路170の現在値が所定の設定閾値を超過したことによって第一の異常検出信号となるカウントアップ出力EP1を発生するものである。
前記異常発生記憶手段140Cは前記第一の重複異常判定手段1010b・1231が異常判定を行なったことと、前記カウントアップ出力EP1が発生したことに応動して、少なくとも異常報知を行なう手段である。
従って、第一のエラーフラグの発生頻度に応じて正確に散発異常を検出することができると共に、ハードウエアカウンタによる高速計数が行なえてマイクロプロセッサの制御負担を軽減することができる特徴がある。
【0153】
前記エラーレジスタは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数を超過するエラーを発生していて、読み出された保存データが保存当初のデータと一致しているかどうかが保証できないデータであるときに、当該エラー発生したアドレス番号が第二のエラーデータとして格納される第二の特定アドレスに位置する第二のエラーレジスタ125bとなっている。
前記確認読出手段は前記第二のエラーレジスタ125bに第二のエラーデータが格納されていたことに応動して、当該第二のエラーデータをリセットしてからエラー発生アドレスを再度アクセスして、前記第二のエラーレジスタ125bの内容を読み出し確認する第二の確認読出手段1103b・1203bとなっている。
前記重複異常判定手段は前記第二の確認読出手段1103b・1203bによって読出確認を行なったときに、前記第二のエラーレジスタ125bの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する第二の重複異常判定手段1120b・1232となっている。
【0154】
前記MRAM120Cは前記第二のエラーレジスタ125bに加えて第二のエラーフラグ生成回路124bbを備えると共に、第二の集計手段1115と第二の散発異常検出手段1116によって構成された第二の散発異常判定手段1120aと、異常発生記憶手段140Cとを備えている。前記第二のエラーフラグ生成回路124bbは指定アドレスの前記メモリセル121の内容が復号化可能な範囲のビット数を超過するエラーが発生していて、読み出された保存データが保存当初のデータと一致しているかどうかが保証できないデータであるときに、二値化論理情報である第二のエラーフラグFL22を発生する論理回路である。
前記第二のエラーフラグFL22は、前記MRAM120Cのアクセスアドレス毎にエラー発生の有無に応じて動作状態が変化するものである。
前記第二の加減算回路1115はハードウエアによって構成された異常計数回路180であって、前記第二のエラーフラグFL22の発生回数を加算又は減算し、前記マイクロプロセッサ110Cから供給された読出指令信号の分周信号DNPによって減算又は加算されるものである。前記第二の散発異常検出手段1116は前記異常計数回路180の現在値が所定の設定閾値を超過したことによって第二の異常検出信号となるカウントアップ出力EP2を発生するものである。
前記異常発生記憶手段140Cは前記第二の重複異常判定手段1120b・1232が異常判定を行なったことと、前記カウントアップ出力EP2が発生したことに応動して、少なくとも異常報知を行なう手段である。
従って、第二のエラーフラグの発生頻度に応じて正確に散発異常を検出することができると共に、ハードウエアカウンタによる高速計数が行なえてマイクロプロセッサの制御負担を軽減することができる特徴がある。
【0155】
前記MRAM120Cは更に前記第二の重複異常判定手段1232と第三の異常判定手段1233となる制御プログラムの双方と、異常訂正書込手段1327となる制御プログラムを包含している。
前記第三の異常判定手段1333は前記MRAM120Cの特定区間領域の保存データを順次読出して、読出し区間全体のデータに関するサムチェック又はCRCチェックによって符号誤りの有無を判定する手段である。
前記異常訂正書込手段1327は前記第三の異常判定手段1333が特定区間のMRAM120Cの保存データに符号誤りがあると判定し、前記第二の重複異常判定手段1232が前記特定区間内で一つの保存データに符号誤りがあると判定した場合に、サムチェックデータ又はCRCチェックデータから逆算して正しい保存データを推定演算して、当該推定データを前記訂正符号付き書込回路122を介して前記MRAM120Cのエラー発生アドレスに対して上書き保存する修復書込手段である。
前記書込禁止/解除手段1410は前記異常訂正書込手段1327による修復操作時にあっては、前記書込禁止機能を解除するものである。
従って、一つのデータに多数ビットの符号誤りが発生しても、誤り発生前の正常データを演算算出して回復することができる特徴がある。
【0156】
前記MRAM120Cは更に第三の異常判定手段1333となる制御プログラムを包含すると共に、異常発生記憶手段140Cを備えている。
前記第三の異常判定手段1333は前記MRAM120Cの特定区間領域の保存データを順次読出して、読出し区間全体のデータに関するサムチェック又はCRCチェックによって符号誤りの有無を判定する手段である。
前記異常発生記憶手段140Cは前記重複異常判定手段1010b・1120b・1231・1232が異常判 定を行なったことと、前記第三の異常判定手段1331が異常判定を行なったことに応動して、少なくとも異常報知を行なう手段である。
【0157】
前記MRAM120Cは更に運転開始点検手段又は定期点検手段又は停止前点検手段のいずれかの手段を選択する点検時期判定手段1201となる制御プログラムを包含している。
前記運転開始点検手段は電源スイッチ102が投入された直後において、前記MRAM120Cに保存されている特定領域の主要データについて前記重複異常判定手段1231・1332又は前記第三の異常判定手段1333によって符号誤りの有無を点検する特定点検手段である。
前記定期点検手段は電源スイッチ102の投入継続状態において、前記MRAM120Cに保存されている全データを複数分割して、各分割データについて前記重複異常判定手段1231・1332又は前記第三の異常判定手段1333によって符号誤りの有無を順次定期点検する分割更新点検手段である。
前記停止前点検手段は電源スイッチ102が遮断された直後の遅延復帰開閉素子103bの閉路期間において、前記MRAM120Cに保存されている全データについて前記重複異常判定手段1231・1332又は前記第三の異常判定手段1333によって符号誤りの有無を点検する一括点検手段である。
【0158】
前記マイクロプロセッサ110Cは車載エンジンの運転状態を検出する車載センサ群106・107の動作状態に応動して、少なくとも吸気量制御手段又は燃料噴射制御手段を制御するものである。
前記MRAM120Cは更に、通常運転手段となる制御プログラムに加えて退避運転手段となる制御プログラムを包含すると共に、異常発生記憶手段140Cを備えている。
前記退避運転手段は前記吸気量制御手段による吸気量の抑制又は燃料噴射制御手段による給燃量の抑制によってエンジン回転速度を抑制した運転制御を実行する手段である。
前記異常発生記憶手段140Cは少なくとも前記重複異常判定手段1010b・1120b・1231・1232が異常判定を行なったとなったことに応動して異常報知を行うと共に、前記通常運転手段による通常運転モードから前記退避運転手段による退避運転モードに選択切換えするものである。
【0159】
前記マイクロプロセッサ110Cにはウォッチドッグタイマ130と異常発生記憶手段140Cとが併用されている。
当該ウォッチドッグタイマ130は前記マイクロプロセッサ110Cが発生するウォッチドッグクリア信号WD1のパルス幅が所定値を超過したことに伴ってリセットパルス信号RS1を発生して、当該マイクロプロセッサ110Cを初期化・再起動するタイマ回路である。
前記異常発生記憶手段140Cは前記重複異常判定手段1010b・1120b・1231・1232が異常発 生を判定したことに伴う異常検出パルス信号ER1・ER2と、前記ウォッチドッグタイマ130によるリセットパルス信号RS1の発生に応動して、一回のパルス信号又は複数回のパルス信号の発生に伴って、少なくとも異常報知を行なうと共に、前記通常運転手段による通常運転モードから前記退避運転手段による退避運転モードに選択切換えするためのフリップフロップ回路又はカウンタ回路によって構成された論理回路であって、当該論理回路には駆動停止手段142と記憶解除手段112Cとが付加されている。
前記駆動停止手段142は前記異常発生記憶手段140Cが異常発生を確定記憶しているときに作用し、上記電気負荷群105a・105bの中の一部の特定電気負荷の駆動を禁止するゲート回路である。
前記記憶解除手段112Cは電源スイッチ102の再投入等による人為的操作に応動するリセットパルス信号よって前記異常発生記憶手段140Cによる異常記憶信号をリセットする手段である。
【産業上の利用可能性】
【0160】
この発明の電子制御装置は、車載電子制御装置だけでなく、たとえばユーザによって作成されたシーケンスプログラムを外部ツールから転送書込みして使用されるプログラマブルコントローラにも使用することができる。
なお、この発明の実施例で説明した車載エンジン制御装置の場合には、異常発生時でもマイクロプロセッサは自動的に初期化再起動されるようになっているが、これは踏切内からの車両脱出等を想定して、安全対策としてはなるべくエンジン停止を行なわないようにすることが重視されているためである。
これに対し、一般に工場内設備の制御用に使用されるプログラマブルコントローラにおいては、異常発生時にはマイクロプロセッサを停止し、人為的操作によって再起動を可能にするのが一般的であり、設備の種類によっては異常停止後はマニュアル運転操作によって個別にアクチェータを操作して原点復帰を行なうような退避運転が行われるようになっている。
【図面の簡単な説明】
【0161】
【図1】この発明の第1実施例装置の回路ブロック図である。
【図2】図1のものの第一の異常判定に関する動作説明用フローチャートである。
【図3】図1のものの第二の異常判定に関する動作説明用フローチャートである。
【図4】図1のものの点検動作に関する動作説明用フローチャートである。
【図5】この発明の第2実施例装置の回路ブロック図である。
【図6】図5のものの第一の異常判定に関する動作説明用フローチャートである。
【図7】図5のものの第二の異常判定に関する動作説明用フローチャートである。
【図8】図5のものの点検動作に関する動作説明用フローチャートである。
【図9】この発明の第3実施例装置の回路ブロック図である。
【図10】図9のものの第一の異常判定に関する動作説明用フローチャートである。
【図11】図9のものの第二の異常判定に関する動作説明用フローチャートである。
【図12】図9のものの点検動作に関する前半動作説明用フローチャートである。
【図13】図9のものの点検動作に関する後半動作説明用フローチャートである。
【図14】図9のものの書込禁止/解除動作に関する動作説明用フローチャートである。
【符号の説明】
【0162】
100A;100B;100C 電子制御装置、
101 外部電源(車載バッテリ)、
102 電源スイッチ、
103b 遅延復帰開閉素子、
105a・105b 電気負荷群、
106 開閉センサ(入力センサ群)、
107 アナログセンサ(入力センサ群)、
108 外部ツール、
109 警報・表示器(異常報知手段)、
110A;110B;110C マイクロプロセッサ、
111 制御電源ユニット、
112A・112B・112C リセットパルス発生回路(記憶解除手段)、
120A;120B;120C 不揮発プログラムメモリ(MRAM)、
121 メモリセル、
122 訂正符号付き書込回路、
123 復号化読出回路、
124a・124b 第一・第二のエラーフラグ生成回路、
124aa・124bb 第一・第二のエラーフラグ生成回路、
125a・125b 第一・第二のエラーレジスタ、
126a・126b 第一・第二の現在値レジスタ、
126 共用現在値レジスタ、
130 ウォッチドッグタイマ、
140A;140B;140C 異常発生記憶手段(カウンタ回路又はフリップフロップ回路)、
142 ゲート回路(駆動停止手段)、
150;150;1410 書込禁止/解除手段、
160 補助CPU、
161A バックアップメモリ、
161B 補助プログラムメモリ(バックアップメモリ)、
170 異常計数回路(第一の加減算回路)、
180 異常計数回路(第二の加減算回路)、
RS1・RS2 リセットパルス信号、
WD1・WD2 ウォッチドッグクリア信号、
FL1・FL11 第一のエラーフラグ、
FL2・FL22 第二のエラーフラグ、
ER1・ER2 第一・第二の異常検出信号、
EP1・EP2 カウントアップ出力、
DNP 分周信号、
205a・205b・212 第一の集計手段、
605a・605b・612 共用集計手段、
1015 第一の集計手段、
305a・305b・312 第二の集計手段、
705a・705b・712 共用集計手段、
1115 第二の集計手段、
1116 203b;603b;1003b 第一の確認読出手段、
413b;813b;1213b 第一の確認読出手段、
303b;703b;1103b 第二の確認読出手段、
403b;803b;1203b 第二の確認読出手段、
206a;606a;1016 第一の散発異常検出手段、
306a;706a;1116 第二の散発異常検出手段、
210a;610a;1010a 第一の散発異常判定手段、
320a;720a;1120a 第二の散発異常判定手段、
210b;610b;1010b 第一の重複異常判定手段、
431;831;1231 第一の重複異常判定手段、
320b;720b;1120b 第二の重複異常判定手段、
432;832;1232 第二の重複異常判定手段、
208・418 訂正書込手段(修復書込手段)、
608・818 訂正書込手段(修復書込手段)、
1008・1218 訂正書込手段(修復書込手段)、
401;801;1201 点検時期判定手段、
431;831;1331 第三の異常判定手段、
427 訂正転送手段(修復書込手段)、
827 訂正転送手段(修復書込手段)、
1327 異常訂正書込手段(修復書込手段)。
【特許請求の範囲】
【請求項1】
外部電源から給電され、入力センサ群の動作状況に応じて電気負荷群を駆動制御するマイクロプロセッサを備え、当該マイクロプロセッサと協働する不揮発プログラムメモリに対しては、外部ツールから制御定数を含む制御プログラムが転送書込みされる電子制御装置であって、前記マイクロプロセッサは電気的に読み書きが行なえる不揮発プログラムメモリであるMRAM(Magnetic Random Access Memory)に格納された制御プログラムに基づいて動作すると共に、当該MRAMは前記外部ツールから転送書込みされた後は前記マイクロプロセッサの運転中において書換変更されることがない入出力制御プログラムを主体としたプログラムメモリ領域と、前記マイクロプロセッサの運転中に随時書換え変更されるデータメモリ領域とが異なるアドレス領域に分割されて格納されており、前記MRAMは更に、前記マイクロプロセッサからの書込指令信号に応動して指定アドレスのメモリセルに対して誤り訂正符合を付加した保存データを書込むための訂正符号付き書込回路と、前記マイクロプロセッサからの読出指令信号に応動して指定アドレス のメモリセルから前記保存データを復号化して読出す復号化読出回路と、前記データメモリ領域に設けられたエラーレジスタと、前記プログラムメモリ領域に設けられた確認読出手段と重複異常判定手段となる制御プログラムとを包含すると共に、前記マイクロプロセッサからの書込指令信号は書込禁止/解除手段を介して前記MRAMに供給されるように構成され、前記エラーレジスタは前記メモリセルの保存データに符号誤りがあるときに、誤り発生したアドレス番号がエラーデータとして格納され、当該保存エラーデータは前記マイクロプロセッサによってリセット又は転送退避された後の最初に発生したエラーデータであるか、又は前記メモリセルの各アドレスの内容を順次読み出すことによって新たなアドレスに符号誤りがあれば順次更新されたエラーデータが格納される特定アドレスのメモリであり、前記確認読出手段は前記エラーレジスタにエラーデータが格納されていたことに応動して、当該エラーデータをリセット又は転送退避してからエラー発生アドレスを再度アクセスした後に、再度前記エラーレジスタの内容を読み出し確認する手段であり、前記重複異常判定手段は前記確認読出手段によって読み出されたエラーレジスタの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する手段であり、前記書込禁止/解除手段は前記制御プログラムが格納されている前記MRAMのプログラムメモリ領域に対しては前記マイクロプロセッサによる書込指令信号を前記MRAMに
供給するのを禁止すると共に、前記マイクロプロセッサに対して外部ツールが接続されて、前記MRAMに対して制御プログラムを書込みする状態にあるときには前記書込禁止機能を解除し、外部ツールが接続されていないときにあっては前記制御プログラムの修復書込みを行なうときにも前記書込禁止機能を例外として解除する手段であり、前記重複異常判定手段が異常判定を行なったとき、又は複数回の異常判定を行なったことに応動して、異常報知又は異常発生情報の保存の少なくとも一方を含む異常処理が実行されるものであることを特徴とする電子制御装置。
【請求項2】
前記MRAMは更に訂正書込手段を備えると共に、前記エラーレジスタは指定アドレスの前記メモリセルの内容が復号化可能な範囲のビット数以内でエラーを発生していて、読み出された保存データが前記復号化読出回路によって復元訂正されたデータであるときに、当該エラー発生したアドレス番号が第一のエラーデータとして格納される第一の特定アドレスに位置する第一のエラーレジスタであり、前記確認読出手段は前記第一のエラーレジスタに第一のエラーデータが格納されていたことに応動して、当該第一のエラーデータをリセット又は転送退避してからエラー発生アドレスを再度アクセスした後に、再度前記第一のエラーレジスタの内容を読み出し確認する第一の確認読出手段であり、前記訂正書込手段は前記第一の確認読出手段による読出し結果として依然として第一のエラーレジスタに第一のエラーデータが格納されたことに応動して、前記復号化読出回路を介して読み出されたエラー発生アドレスの保存データを、前記訂正符号付き書込回路を介して前記MRAMのエラー発生アドレスに対して上書き保存する修復書込手段であり、前記重複異常判定手段は前記第一の確認読出手段によって読出確認を行なったとき、又は前記訂正書込手段によって訂正書き込みを行なった後の読出確認において、再度前記第一のエラーレジスタの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する第一の重複異常判定手段であり、前記書込禁止/解除手段は前記訂正書込手段による修復操作時にあっては、前記書込禁止機能を解除するものであることを特徴とする請求項1に記載の電子制御装置。
【請求項3】
前記MRAMは前記第一のエラーレジスタに加えて、第一のエラーフラグ生成回路を備
えていて、前記第一のエラーフラグ生成回路は指定アドレスの前記メモリセルの内容が復号化可能な範囲のビット数以内でエラーが発生していて、読み出された保存データが前記復号化読出回路によって復元訂正されたデータであるときに、二値化論理情報である第一のエラーフラグを発生する論理回路であり、前記第一のエラーフラグは前記マイクロプロセッサの割込み入力端子に接続されていて、前記第一の確認読出手段と前記訂正書込手段は当該第一のエラーフラグの発生に応動して実行されて、前記第一の重複異常判定手段による重複異常判定が行なわれるものであると共に、当該第一のエラーフラグは所定時間後に自動的にリセットされるか、又は前記マイクロプロセッサによってリセットされるものであることを特徴とする請求項2に記載の電子制御装置。
【請求項4】
前記MRAMは前記第一のエラーレジスタ又は第一のエラーフラグ生成回路の少なくとも一方を備えると共に、第一のエラーの発生に応動する第一の集計手段と第一の散発異常検出手段とによって構成された第一の散発異常判定手段とを備え、前記第一のエラーフラグ生成回路は指定アドレスの前記メモリセルの内容が復号化可能な範囲のビット数以内でエラーが発生していて、読み出された保存データが前記復号化読出回路によって復元訂正されたデータであるときに、二値化論理情報である第一のエラーフラグを発生する論理回路であり、前記第一のエラーは前記第一のエラーレジスタに第一のエラーデータが格納されているか否か、又は前記第一のエラーフラグが発生したか否かを定期的に監視して検出されるエラーの有無に関する定期情報であり、前記第一の集計手段は第一の現在値レジスタを備え、当該第一の集計手段は前記第一のエラーの発生に応動して当該第一の現在値レジスタに第二の変分値を加算又は減算し、前記第一のエラーレジスタ又は第一のエラーフラグはリセット又は転送退避しておくと共に、第一のエラーが発生していなければ第一の変分値を減算又は加算して相互に減殺するように第一の現在値レジスタに対する加減算補正を行い、前記第一のエラーの不作動状態が継続したときには所定の正常側限界値において上記第一の変分値による加減算補正を停止する手段であり、前記第一の散発異常検出手段は前記第一・第二の変分値の累積によって前記第一の現在値レジスタの値が所定の異常側限界値の域外となったときに第一の異常検出信号を発生する手段であって、前記第二の変分値は第一の変分値よりも大きな値であって、しかも前記異常側限界値と正常側限界値との差である許容累積値よりも小さな値として設定されており、前記第一の重複異常判定手段が異常判定を行なったことと、前記第一の散発異常判定手段が異常判定を行なったことに応動して、異常報知又は異常発生情報の保存の少なくとも一方を含む異常処理が実行されるものであることを特徴とする請求項2に記載の電子制御装置。
【請求項5】
前記第一の集計手段は、前記第一の確認読出手段によって読出確認を行なったとき、又は前記訂正書込手段によって訂正書き込みを行なった後の読出確認において、再度前記第一のエラーが発生する重複異常の発生時には、前記第一の集計手段に対して前記第二の変分値以上の値である第三の変分値を加算又は減算することを特徴とする請求項4に記載の電子制御装置。
【請求項6】
前記MRAMは前記第一のエラーレジスタに加えて第一のエラーフラグ生成回路を備えると共に、第一の集計手段と第一の散発異常検出手段によって構成された第一の散発異常判定手段とを備え、前記第一のエラーフラグ生成回路は指定アドレスの前記メモリセルの内容が復号化可能な範囲のビット数以内でエラーが発生していて、読み出された保存データが前記復号化読出回路によって復元訂正されたデータであるときに、二値化論理情報である第一のエラーフラグを発生する論理回路であり、前記第一のエラーフラグは、前記MRAMのアクセスアドレス毎にエラー発生の有無に応じて動作状態が変化するものであり、前記第一の集計手段はハードウエアによって構成された異常計数回路であって、前記第一のエラーフラグの発生回数を加算又は減算し、前記マイクロプロセッサから供給された読出指令信号の分周信号又は所定周期のクロック信号によって減算又は加算又は初期化されるものであり、前記第一の散発異常検出手段は前記異常計数回路の現在値が所定の設定閾値の域外となることによって第一の異常検出信号となる計数出力を発生するものであり、前記第一の重複異常判定手段が異常判定を行なったことと、前記計数出力が発生したことに応動して、異常報知又は異常発生情報の保存の少なくとも一方を含む異常処理が実行されるものであることを特徴とする請求項2に記載の電子制御装置。
【請求項7】
前記エラーレジスタは指定アドレスの前記メモリセルの内容が復号化可能な範囲のビット数を超過するエラーを発生していて、読み出された保存データが保存当初のデータと一致しているかどうかが保証できないデータであるときに、当該エラー発生したアドレス番号が第二のエラーデータとして格納される第二の特定アドレスに位置する第二のエラーレジスタであり、前記確認読出手段は前記第二のエラーレジスタに第二のエラーデータが格納されていたことに応動して、当該第二のエラーデータをリセット又は転送退避してからエラー発生アドレスを再度アクセスして、前記第二のエラーレジスタの内容を読み出し確認する第二の確認読出手段であり、前記重複異常判定手段は前記第二の確認読出手段によって読出確認を行なったときに、前記第二のエラーレジスタの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する第二の重複異常判定手段であることを特徴とする請求項1に記載の電子制御装置。
【請求項8】
前記MRAMは前記第二のエラーレジスタに加えて、第二のエラーフラグ生成回路を備
えていて、前記第二のエラーフラグ生成回路は指定アドレスの前記メモリセルの内容が復号化可能な範囲のビット数を超過するエラーが発生していて、読み出された保存データが保存当初のデータと一致しているかどうかが保証できないデータであるときに、二値化論理情報である第二のエラーフラグを発生する論理回路であり、前記第二のエラーフラグは前記マイクロプロセッサの割込み入力端子に接続されていて、前記第二の確認読出手段は当該第二のエラーフラグの発生に応動して実行されて、前記第二の重複異常判定手段による重複異常判定が行なわれると共に、当該第二のエラーフラグは所定時間後に自動的にリセットされるか、又は前記マイクロプロセッサによってリセットされるものであることを特徴とする請求項7に記載の電子制御装置。
【請求項9】
前記MRAMは前記第二のエラーレジスタ又は第二のエラーフラグ生成回路の少なくとも一方を備えると共に、第二のエラーの発生に応動する第二の集計手段と第二の散発異常検出手段とによって構成された第二の散発異常判定手段とを備え、前記第二のエラーフラグ生成回路は指定アドレスの前記メモリセルの内容が復号化可能な範囲のビット数を超過するエラーが発生していて、読み出された保存データが保存当初のデータと一致しているかどうかが保証できないデータであるときに、二値化論理情報である第二のエラーフラグを発生する論理回路であり、前記第二のエラーは前記第二のエラーレジスタに第二のエラーデータが格納されているか否か、又は前記第二のエラーフラグが発生したか否かを定期的に監視して検出されるエラーの有無に関する定期情報であり、前記第二の集計手段は第二の現在値レジスタを備え、当該第二の集計手段は前記第二のエラー発生に応動して当該第二の現在値レジスタに対して第五の変分値を加算又は減算し、前記第二のエラーレジスタ又は第二のエラーフラグはリセット又は転送退避しておくと共に、第二のエラーが発生していなければ第四の変分値を減算又は加算して相互に減殺するように第二の現在値レジスタに対する加減算補正を行い、前記第二のエラーの不作動状態が継続したときには所定の正常側限界値において上記第四の変分値による加減算補正を停止する手段であり、前記第二の散発異常検出手段は前記第四・第五の変分値の累積によって前記第二の現在値レジスタの値が所定の異常側限界値の域外となったときに第二の異常検出信号を発生する手段であって、前記第五の変分値は第四の変分値よりも大きな値であって、しかも前記異常側限界値と正常側限界値との差である許容累積値よりも小さな値として設定されており、前記第二の重複異常判定手段が異常判定を行なったことと、前記第二の散発異常判定手段が異常判定を行なったことに応動して、異常報知又は異常発生情報の保存の少なくとも一方を含む異常処理が実行されるものであることを特徴とする請求項7に記載の電子制御装置。
【請求項10】
前記第二の集計手段は、前記第二の確認読出手段によって読出確認を行なっても再度前記第二のエラーが発生する重複異常の発生時には、前記第二の集計手段に対して前記第五の変分値以上の値である第六の変分値を加算又は減算することを特徴とする請求項9に記載の電子制御装置。
【請求項11】
前記MRAMは前記第二のエラーレジスタに加えて第二のエラーフラグ生成回路を備えると共に、第二の集計手段と第二の散発異常検出手段によって構成された第二の散発異常判定手段とを備え、前記第二のエラーフラグ生成回路は指定アドレスの前記メモリセルの内容が復号化可能な範囲のビット数を超過するエラーが発生していて、読み出された保存データが保存当初のデータと一致しているかどうかが保証できないデータであるときに、二値化論理情報である第二のエラーフラグを発生する論理回路であり、前記第二のエラーフラグは、前記MRAMのアクセスアドレス毎にエラー発生の有無に応じて動作状態が変化するものであり、前記第二の集計手段はハードウエアによって構成された異常計数回路であって、前記第二のエラーフラグの発生回数を加算又は減算し、前記マイクロプロセッサから供給された読出指令信号の分周信号又は所定周期のクロック信号によって減算又は加算又は初期化されるものであり、前記第二の散発異常検出手段は前記異常計数回路の現在値が所定の設定閾値の域外となることによって第二の異常検出信号となる計数出力を発生するものであり、前記第二の重複異常判定手段が異常判定を行なったことと、前記計数出力が発生したことに応動して、異常報知又は異常発生情報の保存の少なくとも一方を含む異常処理が実行されるものであることを特徴とする請求項7に記載の電子制御装置。
【請求項12】
前記MRAMは更に前記第二の重複異常判定手段と第三の異常判定手段となる制御プログラムの双方と、異常訂正書込手段となる制御プログラムを包含し、前記第三の異常判定手段は前記MRAMの特定区間領域の保存データを順次読出して、読出し区間全体のデータに関するサムチェック又はCRCチェックによって符号誤りの有無を判定する手段であり、前記異常訂正書込手段は前記第三の異常判定手段が特定区間のMRAMの保存データに符号誤りがあると判定し、前記第二の重複異常判定手段が前記特定区間内で一つの保存データに符号誤りがあると判定した場合に、サムチェックデータ又はCRCチェックデータから逆算して正しい保存データを推定演算して、当該推定データを前記訂正符号付き書込回路を介して前記MRAMのエラー発生アドレスに対して上書き保存する修復書込手段であり、前記書込禁止/解除手段は前記異常訂正書込手段による修復操作時にあっては、前記書込禁止機能を解除するものであることを特徴とする請求項7に記載の電子制御装置。
【請求項13】
前記MRAMは第一のエラーレジスタ又は第一のエラーフラグ生成手段の少なくとも一方と、第二のエラーレジスタ又は第二のエラーフラグ生成手段の少なくとも一方とを備えていると共に、第一のエラーと第二のエラーに応動する第一・第二の散発異常判定手段とを備え、前記第一のエラーレジスタは指定アドレスの前記メモリセルの内容が復号化可能な範囲のビット数以内でエラーが発生していて、読み出された保存データが前記復号化読出回路によって復元訂正されたデータであるときに、当該エラー発生したアドレス番号が第一のエラーデータとして格納される第一の特定アドレスに位置するレジスタであり、前記第一のエラーフラグ生成回路は指定アドレスの前記メモリセルの内容が復号化可能な範囲のビット数以内でエラーが発生していて、読み出された保存データが前記復号化読出回路によって復元訂正されたデータであるときに、二値化論理情報である第一のエラーフラグを発生する論理回路であり、前記第一のエラーは前記第一のエラーレジスタに第一のエラーデータが格納されているか否か、又は前記第一のエラーフラグが発生したか否かを定期的に監視して検出される エラーの有無に関する定期情報であり、前記第二のエラーレジスタは指定アドレスの前記メモリセルの内容が復号化可能な範囲のビット数を超過するエラーが発生していて、読み出された保存データが保存当初のデータと一致しているかどうかが保証できないデータであるときに、当該エラー発生したアドレス番号が第二のエラーデータとして格納される第二の特定アドレスに位置するレジスタであり、前記第二のエラーフラグ生成回路は指定アドレスの前記メモリセルの内容が復号化可能な範囲のビット数を超過するエラーが発生していて、読み出された保存データが保存当初のデータと一致しているかどうかが保証できないデータであるときに、二値化論理情報である第二のエラーフラグを発生する論理回路であり、前記第二のエラーは前記第二のエラーレジスタに第二のエラーデータが格納されているか否か、又は前記第二のエラーフラグが発生したか否かを定期的に監視して検出されるエラーの有無に関する定期情報であり、前記第一・第二の散発異常判定手段は前記第一のエラーと第二のエラーの発生頻度が所定の閾値を超過したときに第一・第二の異常検出信号を発生する手段であり、前記重複異常判定手段が異常判定を行なったことと、前記第一・第二の散発異常判定手段が異常判定を行なったことに応動して、異常報知又は異常発生情報の保存の少なくとも一方を含む異常処理が実行されることを特徴とする請求項1に記載の電子制御装置。
【請求項14】
前記第一・第二の散発異常判定手段は共用集計手段と第一・第二の散発異常検出手段とによって構成され、前記共用集計手段は共用現在値レジスタを備え、当該共用集計手段は前記第一のエラーが発生しておれば当該共用現在値レジスタに対して第二の変分値を算又は減算し、前記第一のエラーレジスタ又は第一のエラーフラグはリセット又は転送退避しておくと共に、第一のエラーが発生していなければ第一の変分値を減算又は加算して相互に減殺するように共用現在値レジスタに対する加減算補正を行い、前記第二のエラーが発生しておれば前記共用現在値レジスタに対して第五の変分値を加算又は減算し、前記第二のエラーレジスタ又は第二のエラーフラグはリセット又は転送退避しておくと共に、第二のエラーが発生していなければ第四の変分値を減算又は加算して相互に減殺するように共用現在値レジスタに対する加減算補正を行い、前記第一又は第二のエラーの不作動状態が継続したときには所定の正常側限界値において上記第一又は第四の変分値による加減算補正を停止する手段であり、前記第一・第二の散発異常検出手段は前記第一・第二・第四・第五の変分値の累積によって前記共用現在値レジスタの値が所定の異常側限界値の域外となったときに第一又は第二の異常検出信号を発生する手段であって、前記第二の変分値は第一の変分値よりも大きな値であり、前記第五の変分値は第四の変分値よりも大きな値であり、しかも第二の変分値と第五の変分値とは前記異常側限界値と正常側限界値との差である許容累積値よりも小さな値として設定されていることを特徴とする請求項13に記載の電子制御装置。
【請求項15】
前記MRAMは更に第三の異常判定手段となる制御プログラムを包含し、前記第三の異常判定手段は前記MRAMの特定区間領域の保存データを順次読出して、読出し区間全体のデータに関するサムチェック又はCRCチェックによって符号誤りの有無を判定する手段であり、前記重複異常判定手段が異常判定を行なったことと、前記第三の異常判定手段が異常判定を行なったことに応動して、異常報知又は異常発生情報の保存の少なくとも一方を含む異常処理が実行されることを特徴とする請求項1に記載の電子制御装置。
【請求項16】
前記MRAMは更に運転開始点検手段又は定期点検手段又は停止前点検手段のいずれかの手段を選択する点検時期判定手段となる制御プログラムを包含し、前記運転開始点検手段は電源スイッチが投入された直後において、前記MRAMに保存されている特定領域の主要データについて前記重複異常判定手段又は前記第三の異常判定手段によって符号誤りの有無を点検する特定点検手段であり、前記定期点検手段は電源スイッチの投入継続状態において、前記MRAMに保存されている全データを複数分割して、各分割データについて前記重複異常判定手段又は前記第三の異常判定手段によって符号誤りの有無を順次点検する分割更新点検手段であり、前記停止前点検手段は電源スイッチが遮断された直後の遅延復帰開閉素子の閉路期間において、前記MRAMに保存されている全データについて前記重複異常判定手段又は前記第三の異常判定手段によって符号誤りの有無を点検する一括点検手段であることを特徴とする請求項15に記載の電子制御装置。
【請求項17】
前記マイクロプロセッサは車載エンジンの運転状態を検出する車載センサ群の動作状態に応動して、少なくとも吸気量制御手段又は燃料噴射制御手段を制御するものであり、前記MRAMは更に、通常運転手段となる制御プログラムに加えて退避運転手段となる制御プログラムを包含すると共に、異常発生記憶手段を備え、前記退避運転手段は前記吸気量制御手段による吸気量の抑制又は燃料噴射制御手段による給燃量の抑制によってエンジン回転速度を抑制した運転制御を実行する手段であり、前記異常発生記憶手段は少なくとも前記重複異常判定手段が異常判定を行なったことに応動して異常報知を行うと共に、前記通常運転手段による通常運転モードか前記退避運転手段による退避運転モードに選択切換えするものであることを特徴とする請求項7に記載の電子制御装置。
【請求項18】
前記MRAMは更に訂正転送手段となる制御プログラムを包含すると共に、前記マイクロプロセッサは前記退避運転手段となる制御プログラムが格納された不揮発性のバックアップメモリを備えていて、前記訂正転送手段は前記重複異常判定手段が異常判定したことに応動して、前記バックアップメモリに格納されている退避運転プログラムを、前記訂正符号付き書込回路を介して前記MRAMのエラー発生アドレスに対して上書き保存する修復書込手段であり、前記書込禁止/解除手段は前記訂正転送手段による修復操作時にあっては、前記書込禁止機能を解除するものであることを特徴とする請求項17に記載の電子制御装置。
【請求項19】
前記マイクロプロセッサは協働する補助CPUとシリアル接続されていて、当該補助CPUは不揮発性の補助プログラムメモリと協働して、前記マイクロプロセッサとの間で監視・制御信号の交信を行なうマイクロプロセッサであって、前記補助プログラムメモリは前記退避運転手段となる制御プログラムが格納された不揮発性のバックアップメモリを包含していることを特徴とする請求項18に記載の電子制御装置。
【請求項20】
前記マイクロプロセッサにはウォッチドッグタイマと異常発生記憶手段とが併用され、当該ウォッチドッグタイマは前記マイクロプロセッサが発生するウォッチドッグクリア信号のパルス幅が所定値を超過したことに伴ってリセットパルス信号を発生して、当該マイクロプロセッサを初期化・再起動するタイマ回路であり、前記異常発生記憶手段は前記重複異常判定手段が異常発生を判定したことに伴う異常検出パルス信号と、前記ウォッチドッグタイマによるリセットパルス信号の発生に応動して、一回のパルス信号又は複数回のパルス信号の発生に伴って、少なくとも異常報知を行なうと共に、前記通常運転手段による通常運転モードから前記退避運転手段による退避運転モードに選択切換えするためのフリップフロップ回路又はカウンタ回路によって構成された論理回路であって、当該論理回路には駆動停止手段と記憶解除手段とが付加されていて、前記駆動停止手段は前記異常発生記憶手段が異常発生を確定記憶しているときに作用し、上記電気負荷群の中の一部の特定電気負荷の駆動を禁止するゲート回路であり、前記記憶解除手段は電源スイッチの再投入等による人為的操作に応動するリセットパルス信号よって前記異常発生記憶手段による異常記憶信号をリセットする手段であることを特徴とする請求項17に記載の電子制御装置。
【請求項21】
外部電源から給電され、入力センサ群の動作状況に応じて電気負荷群を駆動制御するマ
イクロプロセッサを備え、当該マイクロプロセッサと協働する不揮発プログラムメモリ
に対しては、外部ツールから制御定数を含む制御プログラムが転送書込みされる電子制
御装置であって、前記マイクロプロセッサは電気的に読み書きが行なえる不揮発プログラムメモリであるMRAM(Magnetic Random Access Memory)に格納された制御プログラムに基づいて動作すると共に、当該MRAMは前記外部ツールから転送書込みされた後は前記マイクロプロセッサの運転中において書換変更されることがない入出力制御プログラムを主体としたプログラムメモリ領域と、前記マイクロプロセッサの運転中に随時書換え変更されるデータメモリ領域とが異なるアドレス領域に分割されて格納されており、前記MRAMは更に、前記マイクロプロセッサからの書込指令信号に応動して指定アドレスのメモリセルに対して誤り訂正符合を付加した保存データを書込むための訂正符号付き書込回路と、前記マイクロプロセッサからの読出指令信号に応動して指定アドレスのメモリセルから前記保存データを復号化して読出す復号化読出回路と、前記データメモリ領域に設けられたエラーレジスタ又はエラーフラグ生成回路の少なくとも一方と、散発異常判定手段を備えると共に、前記マイクロプロセッサからの書込指令信号は書込禁止/解除手段を介して前記MRAMに供給されるように構成され、前記エラーレジスタは前記メモリセルの保存データに符号誤りがあるときに、誤り発生したアドレス番号がエラーデータとして格納され、当該保存エラーデータは前記マイクロプロセッサによってリセット又は転送退避された後の最初に発生したエラーデータであるか、又は前記メモリセルの各アドレスの内容を順次読み出すことによって新たなアドレスに符号誤りがあれば順次更新されたエラーデータが格納される特定アドレスのメモリであり、前記エラーフラグ生成回路は指定アドレスの前記メモリセルの保存データに符号誤りがあるときに二値化論理情報であるエラーフラグを発生する論理回路であり、前記散発異常判定手段は前記エラーレジスタにエラーデータが格納されているか否か、又は前記エラーフラグが発生したか否かを監視して検出される所定期間毎のエラー発生の集計回数が所定の閾値を超過したときに、異常発生頻度が過大であることを示す異常検出信号を発生する手段であり、前記書込禁止/解除手段は前記制御プログラムが格納されている前記MRAMのプログラムメモリ領域に対しては前記マイクロプロセッサによる書込指令信号を前記MRAMに供給するのを禁止すると共に、前記マイクロプロセッサに対して外部ツールが接続されて、前記MRAMに対して制御プログラムを書込みする状態にあるときには前記書込禁止機能を解除し、外部ツールが接続されていないときにあっては前記制御プログラムの修復書込みを行なうときにも前記書込禁止機能を例外として解除する手段であり、前記散発異常判定手段が異常判定を行なったとき、又は複数回の異常判定を行なったことに応動して、異常報知又は異常発生情報の保存の少なくとも一方を含む異常処理が実行されるものであることを特徴とする電子制御装置。
【請求項22】
外部電源から給電され、入力センサ群の動作状況に応じて電気負荷群を駆動制御するマイクロプロセッサを備え、当該マイクロプロセッサと協働する不揮発プログラムメモリに対しては、外部ツールから制御定数を含む制御プログラムが転送書込みされる電子制御装置であって、前記マイクロプロセッサは電気的に読み書きが行なえる不揮発プログラムメモリであるMRAM(Magnetic Random Access Memory)に格納された制御プログラムに基づいて動作すると共に、当該MRAMは前記外部ツールから転送書込みされた後は前記マイクロプロセッサの運転中において書換変更されることがない入出力制御プログラムを主体としたプログラムメモリ領域と、前記マイクロプロセッサの運転中に随時書換え変更されるデータメモリ領域とが異なるアドレス領域に分割されて格納されており、前記MRAMは更に、前記マイクロプロセッサからの書込指令信号に応動して指定アドレスのメモリセルに対して誤り訂正符合を付加した保存データを書込むための訂正符号付き書込回路と、前記マイクロプロセッサからの読出指令信号に応動して指定アドレス のメモリセルから前記保存データを復号化して読出す復号化読出回路と、前記データメモリ領域に設けられたエラーレジスタ又はエラーフラグ生成回路と、前記プログラムメモリ領域に設けられた確認読出手段と重複異常判定手段となる制御 プログラムと、散発異常判定手段とを包含し、前記エラーレジスタは前記メモリセルの保存データに符号誤りがあるときに、誤り発生したアドレス番号がエラーデータとして格納され、当該保存エラーデータは前記マイクロプロセッサによってリセット又は転送退避された後の最初に発生したエラーデータであるか、又は前記メモリセルの各アドレスの内容を順次読み出すことによって新たなアドレスに符号誤りがあれば順次更新されたエラーデータが格納される特定アドレスのメモリであり、前記確認読出手段は前記エラーレジスタにエラーデータが格納されていたことに応動して、当該エラーデータをリセット又は転送退避してからエラー発生アドレスを再度アクセスした後に、再度前記エラーレジスタの内容を読み出し確認する手段であり、前記重複異常判定手段は前記確認読出手段によって読み出されたエラーレジスタの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する手段であり、前記エラーフラグ生成回路は指定アドレスの前記メモリセルの保存データに符号誤りがあるときに二値化論理情報であるエラーフラグを発生する論理回路であり、前記散発異常判定手段は前記エラーレジスタにエラーデータが格納されているか否か、又は前記エラーフラグが発生したか否かを監視して検出される所定期間毎のエラー発生の集計回数が所定の閾値を超過したときに、異常発生頻度が過大であることを示す異常検出信号を発生する手段であり、前記重複異常判定手段と散発異常判定手段とが異常判定を行なったとき、又は複数回の異常判定を行なったことに応動して、異常報知又は異常発生情報の保存の少なくとも一方を含む異常処理が実行されるものであることを特徴とする電子制御装置。
【請求項1】
外部電源から給電され、入力センサ群の動作状況に応じて電気負荷群を駆動制御するマイクロプロセッサを備え、当該マイクロプロセッサと協働する不揮発プログラムメモリに対しては、外部ツールから制御定数を含む制御プログラムが転送書込みされる電子制御装置であって、前記マイクロプロセッサは電気的に読み書きが行なえる不揮発プログラムメモリであるMRAM(Magnetic Random Access Memory)に格納された制御プログラムに基づいて動作すると共に、当該MRAMは前記外部ツールから転送書込みされた後は前記マイクロプロセッサの運転中において書換変更されることがない入出力制御プログラムを主体としたプログラムメモリ領域と、前記マイクロプロセッサの運転中に随時書換え変更されるデータメモリ領域とが異なるアドレス領域に分割されて格納されており、前記MRAMは更に、前記マイクロプロセッサからの書込指令信号に応動して指定アドレスのメモリセルに対して誤り訂正符合を付加した保存データを書込むための訂正符号付き書込回路と、前記マイクロプロセッサからの読出指令信号に応動して指定アドレス のメモリセルから前記保存データを復号化して読出す復号化読出回路と、前記データメモリ領域に設けられたエラーレジスタと、前記プログラムメモリ領域に設けられた確認読出手段と重複異常判定手段となる制御プログラムとを包含すると共に、前記マイクロプロセッサからの書込指令信号は書込禁止/解除手段を介して前記MRAMに供給されるように構成され、前記エラーレジスタは前記メモリセルの保存データに符号誤りがあるときに、誤り発生したアドレス番号がエラーデータとして格納され、当該保存エラーデータは前記マイクロプロセッサによってリセット又は転送退避された後の最初に発生したエラーデータであるか、又は前記メモリセルの各アドレスの内容を順次読み出すことによって新たなアドレスに符号誤りがあれば順次更新されたエラーデータが格納される特定アドレスのメモリであり、前記確認読出手段は前記エラーレジスタにエラーデータが格納されていたことに応動して、当該エラーデータをリセット又は転送退避してからエラー発生アドレスを再度アクセスした後に、再度前記エラーレジスタの内容を読み出し確認する手段であり、前記重複異常判定手段は前記確認読出手段によって読み出されたエラーレジスタの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する手段であり、前記書込禁止/解除手段は前記制御プログラムが格納されている前記MRAMのプログラムメモリ領域に対しては前記マイクロプロセッサによる書込指令信号を前記MRAMに
供給するのを禁止すると共に、前記マイクロプロセッサに対して外部ツールが接続されて、前記MRAMに対して制御プログラムを書込みする状態にあるときには前記書込禁止機能を解除し、外部ツールが接続されていないときにあっては前記制御プログラムの修復書込みを行なうときにも前記書込禁止機能を例外として解除する手段であり、前記重複異常判定手段が異常判定を行なったとき、又は複数回の異常判定を行なったことに応動して、異常報知又は異常発生情報の保存の少なくとも一方を含む異常処理が実行されるものであることを特徴とする電子制御装置。
【請求項2】
前記MRAMは更に訂正書込手段を備えると共に、前記エラーレジスタは指定アドレスの前記メモリセルの内容が復号化可能な範囲のビット数以内でエラーを発生していて、読み出された保存データが前記復号化読出回路によって復元訂正されたデータであるときに、当該エラー発生したアドレス番号が第一のエラーデータとして格納される第一の特定アドレスに位置する第一のエラーレジスタであり、前記確認読出手段は前記第一のエラーレジスタに第一のエラーデータが格納されていたことに応動して、当該第一のエラーデータをリセット又は転送退避してからエラー発生アドレスを再度アクセスした後に、再度前記第一のエラーレジスタの内容を読み出し確認する第一の確認読出手段であり、前記訂正書込手段は前記第一の確認読出手段による読出し結果として依然として第一のエラーレジスタに第一のエラーデータが格納されたことに応動して、前記復号化読出回路を介して読み出されたエラー発生アドレスの保存データを、前記訂正符号付き書込回路を介して前記MRAMのエラー発生アドレスに対して上書き保存する修復書込手段であり、前記重複異常判定手段は前記第一の確認読出手段によって読出確認を行なったとき、又は前記訂正書込手段によって訂正書き込みを行なった後の読出確認において、再度前記第一のエラーレジスタの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する第一の重複異常判定手段であり、前記書込禁止/解除手段は前記訂正書込手段による修復操作時にあっては、前記書込禁止機能を解除するものであることを特徴とする請求項1に記載の電子制御装置。
【請求項3】
前記MRAMは前記第一のエラーレジスタに加えて、第一のエラーフラグ生成回路を備
えていて、前記第一のエラーフラグ生成回路は指定アドレスの前記メモリセルの内容が復号化可能な範囲のビット数以内でエラーが発生していて、読み出された保存データが前記復号化読出回路によって復元訂正されたデータであるときに、二値化論理情報である第一のエラーフラグを発生する論理回路であり、前記第一のエラーフラグは前記マイクロプロセッサの割込み入力端子に接続されていて、前記第一の確認読出手段と前記訂正書込手段は当該第一のエラーフラグの発生に応動して実行されて、前記第一の重複異常判定手段による重複異常判定が行なわれるものであると共に、当該第一のエラーフラグは所定時間後に自動的にリセットされるか、又は前記マイクロプロセッサによってリセットされるものであることを特徴とする請求項2に記載の電子制御装置。
【請求項4】
前記MRAMは前記第一のエラーレジスタ又は第一のエラーフラグ生成回路の少なくとも一方を備えると共に、第一のエラーの発生に応動する第一の集計手段と第一の散発異常検出手段とによって構成された第一の散発異常判定手段とを備え、前記第一のエラーフラグ生成回路は指定アドレスの前記メモリセルの内容が復号化可能な範囲のビット数以内でエラーが発生していて、読み出された保存データが前記復号化読出回路によって復元訂正されたデータであるときに、二値化論理情報である第一のエラーフラグを発生する論理回路であり、前記第一のエラーは前記第一のエラーレジスタに第一のエラーデータが格納されているか否か、又は前記第一のエラーフラグが発生したか否かを定期的に監視して検出されるエラーの有無に関する定期情報であり、前記第一の集計手段は第一の現在値レジスタを備え、当該第一の集計手段は前記第一のエラーの発生に応動して当該第一の現在値レジスタに第二の変分値を加算又は減算し、前記第一のエラーレジスタ又は第一のエラーフラグはリセット又は転送退避しておくと共に、第一のエラーが発生していなければ第一の変分値を減算又は加算して相互に減殺するように第一の現在値レジスタに対する加減算補正を行い、前記第一のエラーの不作動状態が継続したときには所定の正常側限界値において上記第一の変分値による加減算補正を停止する手段であり、前記第一の散発異常検出手段は前記第一・第二の変分値の累積によって前記第一の現在値レジスタの値が所定の異常側限界値の域外となったときに第一の異常検出信号を発生する手段であって、前記第二の変分値は第一の変分値よりも大きな値であって、しかも前記異常側限界値と正常側限界値との差である許容累積値よりも小さな値として設定されており、前記第一の重複異常判定手段が異常判定を行なったことと、前記第一の散発異常判定手段が異常判定を行なったことに応動して、異常報知又は異常発生情報の保存の少なくとも一方を含む異常処理が実行されるものであることを特徴とする請求項2に記載の電子制御装置。
【請求項5】
前記第一の集計手段は、前記第一の確認読出手段によって読出確認を行なったとき、又は前記訂正書込手段によって訂正書き込みを行なった後の読出確認において、再度前記第一のエラーが発生する重複異常の発生時には、前記第一の集計手段に対して前記第二の変分値以上の値である第三の変分値を加算又は減算することを特徴とする請求項4に記載の電子制御装置。
【請求項6】
前記MRAMは前記第一のエラーレジスタに加えて第一のエラーフラグ生成回路を備えると共に、第一の集計手段と第一の散発異常検出手段によって構成された第一の散発異常判定手段とを備え、前記第一のエラーフラグ生成回路は指定アドレスの前記メモリセルの内容が復号化可能な範囲のビット数以内でエラーが発生していて、読み出された保存データが前記復号化読出回路によって復元訂正されたデータであるときに、二値化論理情報である第一のエラーフラグを発生する論理回路であり、前記第一のエラーフラグは、前記MRAMのアクセスアドレス毎にエラー発生の有無に応じて動作状態が変化するものであり、前記第一の集計手段はハードウエアによって構成された異常計数回路であって、前記第一のエラーフラグの発生回数を加算又は減算し、前記マイクロプロセッサから供給された読出指令信号の分周信号又は所定周期のクロック信号によって減算又は加算又は初期化されるものであり、前記第一の散発異常検出手段は前記異常計数回路の現在値が所定の設定閾値の域外となることによって第一の異常検出信号となる計数出力を発生するものであり、前記第一の重複異常判定手段が異常判定を行なったことと、前記計数出力が発生したことに応動して、異常報知又は異常発生情報の保存の少なくとも一方を含む異常処理が実行されるものであることを特徴とする請求項2に記載の電子制御装置。
【請求項7】
前記エラーレジスタは指定アドレスの前記メモリセルの内容が復号化可能な範囲のビット数を超過するエラーを発生していて、読み出された保存データが保存当初のデータと一致しているかどうかが保証できないデータであるときに、当該エラー発生したアドレス番号が第二のエラーデータとして格納される第二の特定アドレスに位置する第二のエラーレジスタであり、前記確認読出手段は前記第二のエラーレジスタに第二のエラーデータが格納されていたことに応動して、当該第二のエラーデータをリセット又は転送退避してからエラー発生アドレスを再度アクセスして、前記第二のエラーレジスタの内容を読み出し確認する第二の確認読出手段であり、前記重複異常判定手段は前記第二の確認読出手段によって読出確認を行なったときに、前記第二のエラーレジスタの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する第二の重複異常判定手段であることを特徴とする請求項1に記載の電子制御装置。
【請求項8】
前記MRAMは前記第二のエラーレジスタに加えて、第二のエラーフラグ生成回路を備
えていて、前記第二のエラーフラグ生成回路は指定アドレスの前記メモリセルの内容が復号化可能な範囲のビット数を超過するエラーが発生していて、読み出された保存データが保存当初のデータと一致しているかどうかが保証できないデータであるときに、二値化論理情報である第二のエラーフラグを発生する論理回路であり、前記第二のエラーフラグは前記マイクロプロセッサの割込み入力端子に接続されていて、前記第二の確認読出手段は当該第二のエラーフラグの発生に応動して実行されて、前記第二の重複異常判定手段による重複異常判定が行なわれると共に、当該第二のエラーフラグは所定時間後に自動的にリセットされるか、又は前記マイクロプロセッサによってリセットされるものであることを特徴とする請求項7に記載の電子制御装置。
【請求項9】
前記MRAMは前記第二のエラーレジスタ又は第二のエラーフラグ生成回路の少なくとも一方を備えると共に、第二のエラーの発生に応動する第二の集計手段と第二の散発異常検出手段とによって構成された第二の散発異常判定手段とを備え、前記第二のエラーフラグ生成回路は指定アドレスの前記メモリセルの内容が復号化可能な範囲のビット数を超過するエラーが発生していて、読み出された保存データが保存当初のデータと一致しているかどうかが保証できないデータであるときに、二値化論理情報である第二のエラーフラグを発生する論理回路であり、前記第二のエラーは前記第二のエラーレジスタに第二のエラーデータが格納されているか否か、又は前記第二のエラーフラグが発生したか否かを定期的に監視して検出されるエラーの有無に関する定期情報であり、前記第二の集計手段は第二の現在値レジスタを備え、当該第二の集計手段は前記第二のエラー発生に応動して当該第二の現在値レジスタに対して第五の変分値を加算又は減算し、前記第二のエラーレジスタ又は第二のエラーフラグはリセット又は転送退避しておくと共に、第二のエラーが発生していなければ第四の変分値を減算又は加算して相互に減殺するように第二の現在値レジスタに対する加減算補正を行い、前記第二のエラーの不作動状態が継続したときには所定の正常側限界値において上記第四の変分値による加減算補正を停止する手段であり、前記第二の散発異常検出手段は前記第四・第五の変分値の累積によって前記第二の現在値レジスタの値が所定の異常側限界値の域外となったときに第二の異常検出信号を発生する手段であって、前記第五の変分値は第四の変分値よりも大きな値であって、しかも前記異常側限界値と正常側限界値との差である許容累積値よりも小さな値として設定されており、前記第二の重複異常判定手段が異常判定を行なったことと、前記第二の散発異常判定手段が異常判定を行なったことに応動して、異常報知又は異常発生情報の保存の少なくとも一方を含む異常処理が実行されるものであることを特徴とする請求項7に記載の電子制御装置。
【請求項10】
前記第二の集計手段は、前記第二の確認読出手段によって読出確認を行なっても再度前記第二のエラーが発生する重複異常の発生時には、前記第二の集計手段に対して前記第五の変分値以上の値である第六の変分値を加算又は減算することを特徴とする請求項9に記載の電子制御装置。
【請求項11】
前記MRAMは前記第二のエラーレジスタに加えて第二のエラーフラグ生成回路を備えると共に、第二の集計手段と第二の散発異常検出手段によって構成された第二の散発異常判定手段とを備え、前記第二のエラーフラグ生成回路は指定アドレスの前記メモリセルの内容が復号化可能な範囲のビット数を超過するエラーが発生していて、読み出された保存データが保存当初のデータと一致しているかどうかが保証できないデータであるときに、二値化論理情報である第二のエラーフラグを発生する論理回路であり、前記第二のエラーフラグは、前記MRAMのアクセスアドレス毎にエラー発生の有無に応じて動作状態が変化するものであり、前記第二の集計手段はハードウエアによって構成された異常計数回路であって、前記第二のエラーフラグの発生回数を加算又は減算し、前記マイクロプロセッサから供給された読出指令信号の分周信号又は所定周期のクロック信号によって減算又は加算又は初期化されるものであり、前記第二の散発異常検出手段は前記異常計数回路の現在値が所定の設定閾値の域外となることによって第二の異常検出信号となる計数出力を発生するものであり、前記第二の重複異常判定手段が異常判定を行なったことと、前記計数出力が発生したことに応動して、異常報知又は異常発生情報の保存の少なくとも一方を含む異常処理が実行されるものであることを特徴とする請求項7に記載の電子制御装置。
【請求項12】
前記MRAMは更に前記第二の重複異常判定手段と第三の異常判定手段となる制御プログラムの双方と、異常訂正書込手段となる制御プログラムを包含し、前記第三の異常判定手段は前記MRAMの特定区間領域の保存データを順次読出して、読出し区間全体のデータに関するサムチェック又はCRCチェックによって符号誤りの有無を判定する手段であり、前記異常訂正書込手段は前記第三の異常判定手段が特定区間のMRAMの保存データに符号誤りがあると判定し、前記第二の重複異常判定手段が前記特定区間内で一つの保存データに符号誤りがあると判定した場合に、サムチェックデータ又はCRCチェックデータから逆算して正しい保存データを推定演算して、当該推定データを前記訂正符号付き書込回路を介して前記MRAMのエラー発生アドレスに対して上書き保存する修復書込手段であり、前記書込禁止/解除手段は前記異常訂正書込手段による修復操作時にあっては、前記書込禁止機能を解除するものであることを特徴とする請求項7に記載の電子制御装置。
【請求項13】
前記MRAMは第一のエラーレジスタ又は第一のエラーフラグ生成手段の少なくとも一方と、第二のエラーレジスタ又は第二のエラーフラグ生成手段の少なくとも一方とを備えていると共に、第一のエラーと第二のエラーに応動する第一・第二の散発異常判定手段とを備え、前記第一のエラーレジスタは指定アドレスの前記メモリセルの内容が復号化可能な範囲のビット数以内でエラーが発生していて、読み出された保存データが前記復号化読出回路によって復元訂正されたデータであるときに、当該エラー発生したアドレス番号が第一のエラーデータとして格納される第一の特定アドレスに位置するレジスタであり、前記第一のエラーフラグ生成回路は指定アドレスの前記メモリセルの内容が復号化可能な範囲のビット数以内でエラーが発生していて、読み出された保存データが前記復号化読出回路によって復元訂正されたデータであるときに、二値化論理情報である第一のエラーフラグを発生する論理回路であり、前記第一のエラーは前記第一のエラーレジスタに第一のエラーデータが格納されているか否か、又は前記第一のエラーフラグが発生したか否かを定期的に監視して検出される エラーの有無に関する定期情報であり、前記第二のエラーレジスタは指定アドレスの前記メモリセルの内容が復号化可能な範囲のビット数を超過するエラーが発生していて、読み出された保存データが保存当初のデータと一致しているかどうかが保証できないデータであるときに、当該エラー発生したアドレス番号が第二のエラーデータとして格納される第二の特定アドレスに位置するレジスタであり、前記第二のエラーフラグ生成回路は指定アドレスの前記メモリセルの内容が復号化可能な範囲のビット数を超過するエラーが発生していて、読み出された保存データが保存当初のデータと一致しているかどうかが保証できないデータであるときに、二値化論理情報である第二のエラーフラグを発生する論理回路であり、前記第二のエラーは前記第二のエラーレジスタに第二のエラーデータが格納されているか否か、又は前記第二のエラーフラグが発生したか否かを定期的に監視して検出されるエラーの有無に関する定期情報であり、前記第一・第二の散発異常判定手段は前記第一のエラーと第二のエラーの発生頻度が所定の閾値を超過したときに第一・第二の異常検出信号を発生する手段であり、前記重複異常判定手段が異常判定を行なったことと、前記第一・第二の散発異常判定手段が異常判定を行なったことに応動して、異常報知又は異常発生情報の保存の少なくとも一方を含む異常処理が実行されることを特徴とする請求項1に記載の電子制御装置。
【請求項14】
前記第一・第二の散発異常判定手段は共用集計手段と第一・第二の散発異常検出手段とによって構成され、前記共用集計手段は共用現在値レジスタを備え、当該共用集計手段は前記第一のエラーが発生しておれば当該共用現在値レジスタに対して第二の変分値を算又は減算し、前記第一のエラーレジスタ又は第一のエラーフラグはリセット又は転送退避しておくと共に、第一のエラーが発生していなければ第一の変分値を減算又は加算して相互に減殺するように共用現在値レジスタに対する加減算補正を行い、前記第二のエラーが発生しておれば前記共用現在値レジスタに対して第五の変分値を加算又は減算し、前記第二のエラーレジスタ又は第二のエラーフラグはリセット又は転送退避しておくと共に、第二のエラーが発生していなければ第四の変分値を減算又は加算して相互に減殺するように共用現在値レジスタに対する加減算補正を行い、前記第一又は第二のエラーの不作動状態が継続したときには所定の正常側限界値において上記第一又は第四の変分値による加減算補正を停止する手段であり、前記第一・第二の散発異常検出手段は前記第一・第二・第四・第五の変分値の累積によって前記共用現在値レジスタの値が所定の異常側限界値の域外となったときに第一又は第二の異常検出信号を発生する手段であって、前記第二の変分値は第一の変分値よりも大きな値であり、前記第五の変分値は第四の変分値よりも大きな値であり、しかも第二の変分値と第五の変分値とは前記異常側限界値と正常側限界値との差である許容累積値よりも小さな値として設定されていることを特徴とする請求項13に記載の電子制御装置。
【請求項15】
前記MRAMは更に第三の異常判定手段となる制御プログラムを包含し、前記第三の異常判定手段は前記MRAMの特定区間領域の保存データを順次読出して、読出し区間全体のデータに関するサムチェック又はCRCチェックによって符号誤りの有無を判定する手段であり、前記重複異常判定手段が異常判定を行なったことと、前記第三の異常判定手段が異常判定を行なったことに応動して、異常報知又は異常発生情報の保存の少なくとも一方を含む異常処理が実行されることを特徴とする請求項1に記載の電子制御装置。
【請求項16】
前記MRAMは更に運転開始点検手段又は定期点検手段又は停止前点検手段のいずれかの手段を選択する点検時期判定手段となる制御プログラムを包含し、前記運転開始点検手段は電源スイッチが投入された直後において、前記MRAMに保存されている特定領域の主要データについて前記重複異常判定手段又は前記第三の異常判定手段によって符号誤りの有無を点検する特定点検手段であり、前記定期点検手段は電源スイッチの投入継続状態において、前記MRAMに保存されている全データを複数分割して、各分割データについて前記重複異常判定手段又は前記第三の異常判定手段によって符号誤りの有無を順次点検する分割更新点検手段であり、前記停止前点検手段は電源スイッチが遮断された直後の遅延復帰開閉素子の閉路期間において、前記MRAMに保存されている全データについて前記重複異常判定手段又は前記第三の異常判定手段によって符号誤りの有無を点検する一括点検手段であることを特徴とする請求項15に記載の電子制御装置。
【請求項17】
前記マイクロプロセッサは車載エンジンの運転状態を検出する車載センサ群の動作状態に応動して、少なくとも吸気量制御手段又は燃料噴射制御手段を制御するものであり、前記MRAMは更に、通常運転手段となる制御プログラムに加えて退避運転手段となる制御プログラムを包含すると共に、異常発生記憶手段を備え、前記退避運転手段は前記吸気量制御手段による吸気量の抑制又は燃料噴射制御手段による給燃量の抑制によってエンジン回転速度を抑制した運転制御を実行する手段であり、前記異常発生記憶手段は少なくとも前記重複異常判定手段が異常判定を行なったことに応動して異常報知を行うと共に、前記通常運転手段による通常運転モードか前記退避運転手段による退避運転モードに選択切換えするものであることを特徴とする請求項7に記載の電子制御装置。
【請求項18】
前記MRAMは更に訂正転送手段となる制御プログラムを包含すると共に、前記マイクロプロセッサは前記退避運転手段となる制御プログラムが格納された不揮発性のバックアップメモリを備えていて、前記訂正転送手段は前記重複異常判定手段が異常判定したことに応動して、前記バックアップメモリに格納されている退避運転プログラムを、前記訂正符号付き書込回路を介して前記MRAMのエラー発生アドレスに対して上書き保存する修復書込手段であり、前記書込禁止/解除手段は前記訂正転送手段による修復操作時にあっては、前記書込禁止機能を解除するものであることを特徴とする請求項17に記載の電子制御装置。
【請求項19】
前記マイクロプロセッサは協働する補助CPUとシリアル接続されていて、当該補助CPUは不揮発性の補助プログラムメモリと協働して、前記マイクロプロセッサとの間で監視・制御信号の交信を行なうマイクロプロセッサであって、前記補助プログラムメモリは前記退避運転手段となる制御プログラムが格納された不揮発性のバックアップメモリを包含していることを特徴とする請求項18に記載の電子制御装置。
【請求項20】
前記マイクロプロセッサにはウォッチドッグタイマと異常発生記憶手段とが併用され、当該ウォッチドッグタイマは前記マイクロプロセッサが発生するウォッチドッグクリア信号のパルス幅が所定値を超過したことに伴ってリセットパルス信号を発生して、当該マイクロプロセッサを初期化・再起動するタイマ回路であり、前記異常発生記憶手段は前記重複異常判定手段が異常発生を判定したことに伴う異常検出パルス信号と、前記ウォッチドッグタイマによるリセットパルス信号の発生に応動して、一回のパルス信号又は複数回のパルス信号の発生に伴って、少なくとも異常報知を行なうと共に、前記通常運転手段による通常運転モードから前記退避運転手段による退避運転モードに選択切換えするためのフリップフロップ回路又はカウンタ回路によって構成された論理回路であって、当該論理回路には駆動停止手段と記憶解除手段とが付加されていて、前記駆動停止手段は前記異常発生記憶手段が異常発生を確定記憶しているときに作用し、上記電気負荷群の中の一部の特定電気負荷の駆動を禁止するゲート回路であり、前記記憶解除手段は電源スイッチの再投入等による人為的操作に応動するリセットパルス信号よって前記異常発生記憶手段による異常記憶信号をリセットする手段であることを特徴とする請求項17に記載の電子制御装置。
【請求項21】
外部電源から給電され、入力センサ群の動作状況に応じて電気負荷群を駆動制御するマ
イクロプロセッサを備え、当該マイクロプロセッサと協働する不揮発プログラムメモリ
に対しては、外部ツールから制御定数を含む制御プログラムが転送書込みされる電子制
御装置であって、前記マイクロプロセッサは電気的に読み書きが行なえる不揮発プログラムメモリであるMRAM(Magnetic Random Access Memory)に格納された制御プログラムに基づいて動作すると共に、当該MRAMは前記外部ツールから転送書込みされた後は前記マイクロプロセッサの運転中において書換変更されることがない入出力制御プログラムを主体としたプログラムメモリ領域と、前記マイクロプロセッサの運転中に随時書換え変更されるデータメモリ領域とが異なるアドレス領域に分割されて格納されており、前記MRAMは更に、前記マイクロプロセッサからの書込指令信号に応動して指定アドレスのメモリセルに対して誤り訂正符合を付加した保存データを書込むための訂正符号付き書込回路と、前記マイクロプロセッサからの読出指令信号に応動して指定アドレスのメモリセルから前記保存データを復号化して読出す復号化読出回路と、前記データメモリ領域に設けられたエラーレジスタ又はエラーフラグ生成回路の少なくとも一方と、散発異常判定手段を備えると共に、前記マイクロプロセッサからの書込指令信号は書込禁止/解除手段を介して前記MRAMに供給されるように構成され、前記エラーレジスタは前記メモリセルの保存データに符号誤りがあるときに、誤り発生したアドレス番号がエラーデータとして格納され、当該保存エラーデータは前記マイクロプロセッサによってリセット又は転送退避された後の最初に発生したエラーデータであるか、又は前記メモリセルの各アドレスの内容を順次読み出すことによって新たなアドレスに符号誤りがあれば順次更新されたエラーデータが格納される特定アドレスのメモリであり、前記エラーフラグ生成回路は指定アドレスの前記メモリセルの保存データに符号誤りがあるときに二値化論理情報であるエラーフラグを発生する論理回路であり、前記散発異常判定手段は前記エラーレジスタにエラーデータが格納されているか否か、又は前記エラーフラグが発生したか否かを監視して検出される所定期間毎のエラー発生の集計回数が所定の閾値を超過したときに、異常発生頻度が過大であることを示す異常検出信号を発生する手段であり、前記書込禁止/解除手段は前記制御プログラムが格納されている前記MRAMのプログラムメモリ領域に対しては前記マイクロプロセッサによる書込指令信号を前記MRAMに供給するのを禁止すると共に、前記マイクロプロセッサに対して外部ツールが接続されて、前記MRAMに対して制御プログラムを書込みする状態にあるときには前記書込禁止機能を解除し、外部ツールが接続されていないときにあっては前記制御プログラムの修復書込みを行なうときにも前記書込禁止機能を例外として解除する手段であり、前記散発異常判定手段が異常判定を行なったとき、又は複数回の異常判定を行なったことに応動して、異常報知又は異常発生情報の保存の少なくとも一方を含む異常処理が実行されるものであることを特徴とする電子制御装置。
【請求項22】
外部電源から給電され、入力センサ群の動作状況に応じて電気負荷群を駆動制御するマイクロプロセッサを備え、当該マイクロプロセッサと協働する不揮発プログラムメモリに対しては、外部ツールから制御定数を含む制御プログラムが転送書込みされる電子制御装置であって、前記マイクロプロセッサは電気的に読み書きが行なえる不揮発プログラムメモリであるMRAM(Magnetic Random Access Memory)に格納された制御プログラムに基づいて動作すると共に、当該MRAMは前記外部ツールから転送書込みされた後は前記マイクロプロセッサの運転中において書換変更されることがない入出力制御プログラムを主体としたプログラムメモリ領域と、前記マイクロプロセッサの運転中に随時書換え変更されるデータメモリ領域とが異なるアドレス領域に分割されて格納されており、前記MRAMは更に、前記マイクロプロセッサからの書込指令信号に応動して指定アドレスのメモリセルに対して誤り訂正符合を付加した保存データを書込むための訂正符号付き書込回路と、前記マイクロプロセッサからの読出指令信号に応動して指定アドレス のメモリセルから前記保存データを復号化して読出す復号化読出回路と、前記データメモリ領域に設けられたエラーレジスタ又はエラーフラグ生成回路と、前記プログラムメモリ領域に設けられた確認読出手段と重複異常判定手段となる制御 プログラムと、散発異常判定手段とを包含し、前記エラーレジスタは前記メモリセルの保存データに符号誤りがあるときに、誤り発生したアドレス番号がエラーデータとして格納され、当該保存エラーデータは前記マイクロプロセッサによってリセット又は転送退避された後の最初に発生したエラーデータであるか、又は前記メモリセルの各アドレスの内容を順次読み出すことによって新たなアドレスに符号誤りがあれば順次更新されたエラーデータが格納される特定アドレスのメモリであり、前記確認読出手段は前記エラーレジスタにエラーデータが格納されていたことに応動して、当該エラーデータをリセット又は転送退避してからエラー発生アドレスを再度アクセスした後に、再度前記エラーレジスタの内容を読み出し確認する手段であり、前記重複異常判定手段は前記確認読出手段によって読み出されたエラーレジスタの内容が同じエラーデータを含んでいるときに同一アドレスのメモリの内容が継続異常であると判定する手段であり、前記エラーフラグ生成回路は指定アドレスの前記メモリセルの保存データに符号誤りがあるときに二値化論理情報であるエラーフラグを発生する論理回路であり、前記散発異常判定手段は前記エラーレジスタにエラーデータが格納されているか否か、又は前記エラーフラグが発生したか否かを監視して検出される所定期間毎のエラー発生の集計回数が所定の閾値を超過したときに、異常発生頻度が過大であることを示す異常検出信号を発生する手段であり、前記重複異常判定手段と散発異常判定手段とが異常判定を行なったとき、又は複数回の異常判定を行なったことに応動して、異常報知又は異常発生情報の保存の少なくとも一方を含む異常処理が実行されるものであることを特徴とする電子制御装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【公開番号】特開2008−165548(P2008−165548A)
【公開日】平成20年7月17日(2008.7.17)
【国際特許分類】
【出願番号】特願2006−355311(P2006−355311)
【出願日】平成18年12月28日(2006.12.28)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
【公開日】平成20年7月17日(2008.7.17)
【国際特許分類】
【出願日】平成18年12月28日(2006.12.28)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
[ Back to top ]