專利名稱:具有微型計算機監(jiān)視禁止功能的電子控制系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及具有微型計算機異常監(jiān)視禁止功能的電子控制系統(tǒng)和方法�。
背景技術(shù):
用于車輛的電子控制系統(tǒng)具有監(jiān)視形成控制系統(tǒng)的微型計算機的功能來檢驗它是否正常操作�,以便防止控制系統(tǒng)的錯誤操作。該監(jiān)視確保車輛的安全性�。為監(jiān)視微型計算機,例如監(jiān)視計時器系統(tǒng)����、指定和應(yīng)答系統(tǒng)等等是公知的。
在監(jiān)視計時器系統(tǒng)中�����,通過計數(shù)來自微型計算機的輸入時鐘�,測量時間流逝����,以及當所測量的時間達到異常監(jiān)視時間時,生成復(fù)位信號����。該復(fù)位信號復(fù)位并重啟微型計算機。在指定和應(yīng)答系統(tǒng)中��,將預(yù)定監(jiān)視信號(指定)施加到微型計算機����,用于微型計算機的操作計算�。在此之后�,確定其操作結(jié)果(應(yīng)答)是否與當微型計算機正常操作時,應(yīng)當獲得的操作結(jié)果相同�����。當兩個結(jié)果彼此不同時�����,確定微型計算機處于異常狀態(tài)�����,以及生成復(fù)位信號來重啟該微型計算機�����。
特別地���,基于指定和應(yīng)答系統(tǒng)的監(jiān)視系統(tǒng)具有用于發(fā)送輸出到微型計算機���、用于監(jiān)視的數(shù)據(jù)(指定數(shù)據(jù))的指定發(fā)送單元和用于接收操作結(jié)果數(shù)據(jù)(應(yīng)答數(shù)據(jù))的應(yīng)答確定單元����,微型計算機在信號上執(zhí)行算術(shù)處理以及確定操作結(jié)果是否正確����。
在這種情況下,指定發(fā)送單元發(fā)送存儲在監(jiān)視系統(tǒng)中提供的存儲單元����,諸如RAM和ROM中的指定數(shù)據(jù)。接收指定數(shù)據(jù)輸入的微型計算機使用其自己的運算電路��,在指定數(shù)據(jù)上執(zhí)行算術(shù)處理��。操作結(jié)果輸入到在監(jiān)視系統(tǒng)中提供的應(yīng)答確定單元中����,以及將應(yīng)答數(shù)據(jù)與正確的應(yīng)答數(shù)據(jù)進行比較��。
當兩個數(shù)據(jù)彼此相符時�,確定微型計算機正常。當數(shù)據(jù)不相符時��,確定微型計算機異常��。同時,計算從發(fā)送指定數(shù)據(jù)�,到接收應(yīng)答數(shù)據(jù)前流逝的時間。在即使預(yù)定時間已逝���,還沒有接收到應(yīng)答數(shù)據(jù)的情況下�,確定微型計算機異常���。
當如此用于監(jiān)視微型計算機的正常/異常的監(jiān)視處理是在例如用于車輛的電子控制系統(tǒng)中提供的微型計算機的監(jiān)視處理時���,緊接在開啟點火后,開始傳送指定數(shù)據(jù)�����,因此����,開始微型計算機的正常/異常確定處理。
在用于車輛的最近電子控制系統(tǒng)中�,變得越來越可能緊接在開啟點火(IG開關(guān))后,監(jiān)視系統(tǒng)錯誤地確定微型計算機異常����,盡管實際上是正常的�����。該錯誤確定由當從監(jiān)視系統(tǒng)將指定信號輸入到微型計算機中時�����,在預(yù)定時間內(nèi)�����,微型計算機不能輸出應(yīng)答信號引起����。這是因為當緊接在開啟點火后�����,起動用于車輛的電子控制系統(tǒng)時���,用于檢驗車輛的各種控制對象的初始條件的程序運行��,以及同時,讀取和寫入控制對象的程序�����。因此,使控制系統(tǒng)的微型計算機處于極其沉重的操作負載下����。
近年來,控制系統(tǒng)的控制對象數(shù)量趨向于增加���,以及這些控制程序的能力正變大�����。因此����,預(yù)期施加在微型計算機上的負載將變得更重��,與以前相比���,出現(xiàn)上述問題的可能性增大����。
通過提供具有高處理性能的微型計算機的電子控制系統(tǒng),能規(guī)避由微型計算機處理能力不足引起的上述問題�����。然而���,這會導(dǎo)致增大控制系統(tǒng)以及缺少排列空間�����。此外��,還會導(dǎo)致攜載該系統(tǒng)的車輛的價格增高��。此外���,要求微型計算機僅在有限狀態(tài)下,諸如開啟IG開關(guān)時而非正?��?刂茣r具有高處理能力�����。因此�����,使用具有符合正?����?刂频奶幚硇阅艿奈⑿陀嬎銠C更可取�。
發(fā)明內(nèi)容
因此����,本發(fā)明的目的是提供降低當緊接在起動控制系統(tǒng)后,微型計算機處于重負載狀態(tài)中時����,微型計算機異常的錯誤確定的電子控制系統(tǒng)和方法。
基于本發(fā)明�,將監(jiān)控信號輸入到微型計算機,以及基于其操作結(jié)果和算術(shù)處理時間�����,監(jiān)視微型計算機的異常�。當輸入重負載程序處理請求信號時,控制系統(tǒng)通過微型計算機禁止該控制���,然后暫停監(jiān)視它�����。重負載程序可以是當控制系統(tǒng)處于除正??刂仆獾臓顟B(tài)中時,請求處理的程序�����。
在處理重負載程序期間���,即使當微型計算機正在正確操作時�,算術(shù)處理花費時間��,因此�,可能會確定微型計算機異常。通常����,當確定微型計算機異常時,微型計算機將復(fù)位以及對被執(zhí)行直到那一時刻的算術(shù)處理進行初始化�。在這些情況下,根據(jù)每種情形的內(nèi)容��,重啟算術(shù)處理。然而���,由于微型計算機仍然處于與重啟前相同的重負載狀態(tài)中��,很可能再次重啟微型計算機并且不能結(jié)束算術(shù)處理����。
與傳統(tǒng)情形不同��,在重負載程序的處理期間���,不執(zhí)行異常監(jiān)視處理。因此���,不會由于錯誤確定而復(fù)位微型計算機����。因此��,即使在重負載狀態(tài)中����,微型計算機能連續(xù)地執(zhí)行正在進行的程序處理直到結(jié)束程序處理為止�。當控制系統(tǒng)不執(zhí)行微型計算機的異常監(jiān)視處理時����,禁止微型計算機控制控制對象。因此�,即使當微型計算機在該異常監(jiān)視暫停期間變成異常,也能確保車輛的安全性���。
其中�,除預(yù)先確定的正??刂仆獾奈⑿陀嬎銠C狀態(tài)是指當在控制系統(tǒng)的開發(fā)階段中,特別是緊接在微型計算機接收起動請求后�����,重寫微型計算機的存儲單元中的程序時的狀態(tài)��。例如���,當控制系統(tǒng)是用于車輛的控制系統(tǒng)時��,該狀態(tài)包括當啟動車輛的點火時��、當由車輛制造商重寫存儲在車內(nèi)微型計算機的存儲單元中的程序時的狀態(tài)�。
緊接在開啟車輛的點火后,并行執(zhí)行后續(xù)處理讀取用于控制控制對象的控制程序���、檢驗控制對象的初始設(shè)定的系統(tǒng)檢驗�����、控制對象的初始設(shè)定等等�����。另外,當重寫存儲在微型計算機的存儲單元中的用于控制車輛的程序時����,通過通信,從外部輸入大量程序數(shù)據(jù)���,并寫入存儲單元中��。在這些情況下��,施加在微型計算機上的負載非常重���,因此�,其處理速度變低�,這會導(dǎo)致錯誤確定。
根據(jù)本發(fā)明�����,預(yù)先指定將在這些情況下應(yīng)處理的程序�。當出現(xiàn)請求處理那個程序的請求時,能暫停異常監(jiān)視處理����,由此能防止錯誤確定。該重負載程序包括在預(yù)先可預(yù)測的微型計算機的重負載狀態(tài)中�,諸如緊接在啟動微型計算機后以及在重寫程序時必須處理的任何程序。
因此����,電子控制系統(tǒng)可以是其狀態(tài)除正常控制外�,緊接在車輛的點火起動后,微型計算機執(zhí)行控制的初始控制狀態(tài)的控制系統(tǒng)�。此外,控制系統(tǒng)可以是特征在于重負載程序處于在車輛停止時���,重寫存儲在微型計算機的存儲單元中的程序的控制狀態(tài)的控制系統(tǒng)�����。
此外��,將用于監(jiān)視的信號(監(jiān)控信號)輸入到微型計算機中�,以及控制系統(tǒng)基于其操作結(jié)果和算術(shù)處理時間,執(zhí)行微型計算機的異常監(jiān)視���。其中��,微型計算機的操作結(jié)果是通過微型計算機在監(jiān)控信號上執(zhí)行算術(shù)處理獲得的操作結(jié)果數(shù)據(jù)����。該算術(shù)處理時間是反映從監(jiān)視裝置將監(jiān)控信號輸入到微型計算機中����,直到監(jiān)視裝置獲得其操作結(jié)果數(shù)據(jù)流逝的時間的時間����。
此時,可以通過延長該監(jiān)視處理時間來防止錯誤確定��。然而����,考慮到車輛的安全控制�����,最好基于正?�?刂茽顟B(tài)中的算術(shù)處理時間����,設(shè)置算術(shù)處理時間��。異常監(jiān)視暫停狀態(tài)定義為區(qū)別于正??刂茽顟B(tài)的例外狀態(tài),能在正常操作狀態(tài)下�����,不放寬異常監(jiān)視條件的情況下����,設(shè)置異常監(jiān)視暫停狀態(tài)。
當微型計算機處于除正??刂仆獾臓顟B(tài)中,以及有重負載程序處理請求時,控制系統(tǒng)暫停微型計算機的異常監(jiān)視以及禁止微型計算機控制這些控制對象����。當微型計算機處于如上所述的處理重負載程序的狀態(tài)中時,控制系統(tǒng)不執(zhí)行異常監(jiān)視��。
通過該過程��,能防止由重處理負載引起的錯誤確定�����。在不執(zhí)行這種異常監(jiān)視的情況下���,不可能確定微型計算機是否正常操作��。不能保證微型計算機正正確地操作�。因此�����,當未正在執(zhí)行異常監(jiān)視時�����,能通過禁止微型計算機控制各種控制對象�,使錯誤信號不輸入到控制對象中。
響應(yīng)重負載程序處理請求信號的輸入����,暫停操作結(jié)果確定處理。響應(yīng)重負載程序處理請求信號的輸入�����,暫停監(jiān)控信號的輸出�����?�?梢酝瑫r執(zhí)行兩種處理���。因此�����,監(jiān)視被暫停時的信號處理是不必要的����。因此,暫停監(jiān)視信號的輸出和暫停操作結(jié)果確定處理很有效�,因為它們不會施加另外的負擔(dān)給微型計算機。
響應(yīng)從微型計算機外部輸出的���、用于請求處理重負載程序的處理請求信號�����,輸出重負載程序處理請求信號����。由于僅需要將重負載程序處理請求信號輸出到微型計算機和控制禁止部分���,可以在微型計算機的內(nèi)部或外部輸出請求信號����。
例如�,在通過開啟用于車輛的控制系統(tǒng)中的IG,暫停監(jiān)視的情況下��,可以將控制系統(tǒng)配置成直接將來自IG開關(guān)的ON信號分別輸入到監(jiān)視部分和控制禁止部分�。此時,監(jiān)視部分和控制禁止部分推斷已經(jīng)開始處理微型計算機的預(yù)定重負載程序��,以及能禁止微型計算機控制這些控制對象以及暫停異常監(jiān)視處理�����。
控制禁止部分可以是在電連接到微型計算機和控制對象的輸出控制系統(tǒng)中提供的用于禁止微型計算機控制這些控制對象的電路�。
從下述結(jié)合附圖的詳細描述,本發(fā)明的上述和其他目的��、特征和優(yōu)點將變得更顯而易見����。在圖中圖1是表示根據(jù)本發(fā)明的實施例的電子控制系統(tǒng)的框圖;圖2是表示在圖1所示的控制系統(tǒng)中執(zhí)行的微型計算機監(jiān)視暫停處理的第一例子的流程圖��;圖3是表示在圖1所示的控制系統(tǒng)中執(zhí)行的微型計算機監(jiān)視暫停處理的第二例子的流程圖���;以及圖4是表示在圖1所示的控制系統(tǒng)中執(zhí)行的微型計算機監(jiān)視暫停處理的第三例子的流程圖���。
具體實施例方式
參考圖1,電子控制系統(tǒng)由用于輸出用于各種車內(nèi)設(shè)備(控制對象)40的控制信號的微型計算機20����、用于監(jiān)視微型計算機20的操作的監(jiān)視單元1,以及用于從微型計算機20接收控制信號以及實際控制各種車內(nèi)設(shè)備40的輸出控制單元(輸出驅(qū)動器)24�����。
微型計算機20包括CPU21、ROM22�、RAM23、IO端口等等��,以及基于存儲在ROM22���、RAM23等等的存儲單元中的各種程序���,將用于車內(nèi)設(shè)備40的控制信號輸出到輸出驅(qū)動器24。由微型計算機20內(nèi)的CPU21生成控制車內(nèi)設(shè)備40的控制信號��。CPU21是微型計算機20中的運算電路��。
通過接通點火開關(guān)(IG開關(guān))30����,啟動或起動微型計算機20,以及接收IG開關(guān)的ON(接通)信號的重負載程序處理請求單元31與該啟動同時����,將重負載程序處理請求信號輸出到微型計算機20。因此���,從存儲單元讀取啟動程序并執(zhí)行其��。微型計算機20特別地讀取用于控制車內(nèi)設(shè)備40等等的各種程序��,并開始控制車內(nèi)設(shè)備40��。當執(zhí)行該啟動程序時�����,執(zhí)行用于檢驗初始狀態(tài)的系統(tǒng)檢驗����、用于控制各種控制對象的初始設(shè)定等等的處理���。在完成這些處理后���,終止啟動程序以及起動正常運行狀態(tài)中的控制。
在該微型計算機20的起動處理時��,微型計算機20(還執(zhí)行監(jiān)視暫停)將指定應(yīng)答禁止信號輸出到監(jiān)視單元1��。響應(yīng)來自重負載程序處理請求單元31的信號��,輸出該禁止信號,用于暫停由監(jiān)視單元1執(zhí)行的監(jiān)視處理�����。
在這種情況下��,監(jiān)視單元1配置成從微型計算機20接收指定應(yīng)答禁止信號的輸入���。另外��,可以繞過微型計算機20����,直接從其他設(shè)備���,諸如點火開關(guān)30等等接收指定應(yīng)答禁止信號的輸入�。
監(jiān)視單元1通過能串行通信的串行通信單元2連接到微型計算機20��。監(jiān)視單元1將預(yù)定多位的指定數(shù)據(jù)(ASGN)作為監(jiān)控或監(jiān)視信號發(fā)送給微型計算機以便使微型計算機20的運算電路執(zhí)行算術(shù)處理�。
監(jiān)視單元1接收該操作結(jié)果作為應(yīng)答數(shù)據(jù)(ANSR)以便確定應(yīng)答數(shù)據(jù)是否正確。監(jiān)視單元1由此監(jiān)視微型計算機20以便確定其是否處于異常狀態(tài)�。應(yīng)注意到與該指定和應(yīng)答系統(tǒng)的微型計算機監(jiān)視并行,可以同時執(zhí)行傳統(tǒng)的監(jiān)視計時器系統(tǒng)的微型計算機監(jiān)視。
指定數(shù)據(jù)選擇單元3使用計數(shù)器電路來創(chuàng)建指定數(shù)據(jù)���,以及將其傳送到微型計算機20�����。此時����,與微型計算機20的系統(tǒng)時鐘同步讀取指定數(shù)據(jù)��,以及通過串行通信���,經(jīng)串行通信單元2將所讀取的指定數(shù)據(jù)順序地傳送到微型計算機20。
微型計算機20在該指定數(shù)據(jù)上執(zhí)行算術(shù)處理�����,以及通過串行通信��,將操作或計算結(jié)果傳送到比較確定單元4����,作為應(yīng)答數(shù)據(jù)。該運算電路假定當微型計算機20異常時���,這種復(fù)雜的處理不能被處理�����,以便通過使用計數(shù)器電路的簡單電路實現(xiàn)指定數(shù)據(jù)。
比較確定單元4執(zhí)行將與微型計算機20的預(yù)定時鐘周期同步接收的應(yīng)答數(shù)據(jù)與用于該應(yīng)答數(shù)據(jù)的模型或參考數(shù)據(jù)(正確應(yīng)答數(shù)據(jù))的比較操作����。當兩個數(shù)據(jù)彼此相符時����,將該應(yīng)答數(shù)據(jù)確定為正確的應(yīng)答。當不相符時����,將該應(yīng)答確定為不正確應(yīng)答。
當確定應(yīng)答數(shù)據(jù)不正確(NG)時��,比較確定單元4將邏輯高電平信號(H信號)輸出到NG確定單元5��。當確定應(yīng)答數(shù)據(jù)正確時(OK)����,比較確定單元4將邏輯低電平信號(L信號)輸出到NG確定單元5。指定數(shù)據(jù)、應(yīng)答數(shù)據(jù)和正確應(yīng)答數(shù)據(jù)的每一個是預(yù)定位數(shù)的數(shù)字數(shù)據(jù)�。
當比較確定單元4將H信號輸出到NG確定單元5時,指定數(shù)據(jù)選擇單元3還通過反相器10接收L信號的輸入��。由計數(shù)器電路組成的指定數(shù)據(jù)選擇單元3計數(shù)輸入信號的H信號(指定更新信號)的數(shù)量�����。
指定數(shù)據(jù)選擇單元3根據(jù)計數(shù)器中的計數(shù)增加��,更改將傳送到微型計算機20的指定數(shù)據(jù)����,以及傳送不同于迄今傳送的指定數(shù)據(jù)的指定數(shù)據(jù)(通過將在前指定數(shù)據(jù)加1產(chǎn)生的數(shù)據(jù))����。應(yīng)注意到可不更新指定數(shù)據(jù)直到進行NG確定達預(yù)定次數(shù)(例如三次)為止。另外����,每次進行NG確定時,可以更新指定數(shù)據(jù)�����。
當在比較確定單元4中,確定結(jié)果為NG時����,NG確定單元5接收H信號的輸入。重復(fù)執(zhí)行比較確定處理�����。然而����,在比較確定處理的結(jié)果表示預(yù)定多個連續(xù)NGs的情況下(例如生成三個連續(xù)NGs的情況),NG確定單元5確定微型計算機20處于NG狀態(tài)(異常狀態(tài))以及保持向OR電路11輸出H信號直到NG確定單元5接收到復(fù)位信號的輸入為止�����。當確定為OK時�����,NG確定單元5輸出L信號��。
將應(yīng)答更新檢驗單元6配置成包括計數(shù)器定時器�,以及測量從當比較確定單元4接收應(yīng)答數(shù)據(jù)時到當其接收包括微型計算機20的算術(shù)處理時間的下一應(yīng)答數(shù)據(jù)時流逝的時間。當該更新時間超出預(yù)定時間(例如30ms)時�����,應(yīng)答更新檢驗單元6確定微型計算機20處于NG狀態(tài)(異常狀態(tài)),以及保持輸出H信號直到NG確定單元5接收復(fù)位信號的輸入為止����。當確定為OK時,應(yīng)答更新檢驗單元6輸出L信號����。
來自NG確定單元5和來自應(yīng)答更新檢驗單元6的輸出信號輸入到OR(或)電路11。當任一單元將NG信號�,即H信號輸入到OR電路11時,OR電路11將H信號輸出到復(fù)位脈沖生成電路7���。復(fù)位脈沖生成電路7將所輸入的H信號轉(zhuǎn)換成預(yù)定寬度的脈沖信號�����,以及將該信號輸出到OR電路12和反相器13。在NG確定單元5和應(yīng)答更新檢驗單元6均輸出L信號��,即兩個單元產(chǎn)生OK確定的情況下��,復(fù)位脈沖生成電路7不生成脈沖信號�。
當復(fù)位脈沖生成電路7生成復(fù)位脈沖信號時����,將脈沖信號輸入到OR電路12����。此時,當微型計算機20正執(zhí)行正?��?刂茣r�����,OR電路12從微型計算機20接收L信號的輸入�����。因此�����,從OR電路12����,將脈沖信號分別輸出到指定數(shù)據(jù)選擇單元3��、NG確定單元5和應(yīng)答更新檢驗單元6。因此���,響應(yīng)H電平的脈沖信號的輸入���,復(fù)位和初始化這三個單元的每一個。
此外��,當復(fù)位脈沖生成電路7生成復(fù)位脈沖信號時���,將同樣的脈沖信號輸入到反相器13中���。反相器13使該脈沖信號反相以及將所反相的脈沖信號輸出到微型計算機20。因此����,響應(yīng)為反相的脈沖信號的L電平的信號,復(fù)位和初始化微型計算機20����。因此���,復(fù)位和初始化發(fā)生異常的監(jiān)視單元1和微型計算機20�����。
然而�����,不保證通過復(fù)位����,微型計算機20必定從異常狀態(tài)返回到和恢復(fù)其正常狀態(tài)。因此����,在該控制系統(tǒng)中,控制禁止電路禁止微型計算機20控制這些控制對象直到異常監(jiān)視單元能檢驗微型計算機20的正常操作為止��。在圖1的微型計算機20的情況下�����,由于微型計算機20控制車輛�����,將暫停車內(nèi)設(shè)備40的控制���。
例如�,當圖1中的微型計算機20正將電功率轉(zhuǎn)向設(shè)備的功率輔助馬達作為控制對象進行控制,將暫停馬達的控制���。因此�,在該暫停后��,駕駛員將執(zhí)行處理操作而沒有馬達的功率輔助���。另外��,當微型計算機20正將ABS設(shè)備的制動液壓控制作為控制對象進行控制時��,將暫停制動液壓控制以及用戶將執(zhí)行正常的制動操作�����。
即使當暫停這些車輛控制時�����,在行駛車輛中不會產(chǎn)生問題�。通常,在類似此的車輛控制系統(tǒng)的任何異常的情況下�,配置成安全地工作�����。輸出驅(qū)動器單元24還在故障—安全(fail-safe)模式中控制����。
當用于車輛的電子控制系統(tǒng)處于除正常控制外的狀態(tài)中時���,即��,微型計算機20處于正常狀態(tài)中�����,但在重負載狀態(tài)中���,將降低微型計算機20的處理能力。另外��,在監(jiān)視處理中����,從接收指定數(shù)據(jù)到傳送應(yīng)答數(shù)據(jù)的時間將變得更長��。因此�,微型計算機20將通過應(yīng)答更新檢驗單元6接收NG確定�����。在這種情況下����,盡管微型計算機20正在正常操作,但微型計算機20停止工作(rest)以及在此之后��,控制系統(tǒng)將不控制車內(nèi)設(shè)備40��。
因此�,在該實施例中,關(guān)于緊接在開啟IG開關(guān)30之后����,將控制系統(tǒng)配置成暫停由監(jiān)視單元1執(zhí)行的異常監(jiān)視處理以及允許控制禁止電路阻塞從微型計算機20到車內(nèi)設(shè)備40的輸出以便在監(jiān)視功能不起作用的情況下,將不控制車內(nèi)設(shè)備40���。用于禁止微型計算機20控制類似此的這些控制對象的控制禁止電路25可以安裝在輸出控制系統(tǒng)中��,如圖1所示���。另外�����,可以將電路配置成輸出控制系統(tǒng)外的獨立電路。
監(jiān)視單元1如下執(zhí)行監(jiān)視暫停處理�,用于暫停監(jiān)視微型計算機20。在用于車輛的電子控制系統(tǒng)中����,當接通IG開關(guān)30時,重負載程序處理請求單元31將用于請求啟動程序的處理的信號輸出到微型計算機20�。因此,微型計算機20將指定應(yīng)答禁止信號(監(jiān)視禁止信號)傳送到監(jiān)視單元1��。
該指定應(yīng)答禁止信號作為一H信號通過該串行通信單元2被發(fā)送給該OR電路12��。當作為指定應(yīng)答禁止信號的H信號被輸入給該OR電路12時����,該OR電路12將該H信號輸出給該指定數(shù)據(jù)選擇單元3、NG確定單元5����、和應(yīng)答更新檢驗單元6���,一直保持這三個單元處于它們的復(fù)位狀態(tài)。這樣���,通過監(jiān)視單元1進行的微型計算機20的監(jiān)視被暫停��。
在這種情況下�����,不需要暫停全部該三個單元�。例如��,該電路可被配置成使NG確定單元5和應(yīng)答更新檢驗單元6總是被保持在復(fù)位狀態(tài)�,且即使指定數(shù)據(jù)選擇單元3將制定數(shù)據(jù)發(fā)送給微型計算機20,也不對其應(yīng)答數(shù)據(jù)執(zhí)行NG確定����。
在這種情況下,由于從NG確定單元5和應(yīng)答更新檢驗單元6輸出的信號總是L信號����,因此����,復(fù)位脈沖生成電路7不產(chǎn)生復(fù)位脈沖信號�����,以及將不復(fù)位微型計算機20��。在這種情況下��,僅需要電路a和b�����,而電路c是不必要的��。
此后�,關(guān)于用于車輛的電子控制系統(tǒng)的異常監(jiān)視暫停處理�����,將描述用于執(zhí)行該處理的流程�����。圖2是響應(yīng)IG開關(guān)30的接通事件,微型計算機暫停處理的流程圖����。
在步驟101中,確定是否發(fā)出微型計算機20的起動(啟動)請求�。當重負載程序處理請求單元31(重負載程序處理請求部)檢測到IG開關(guān)30的ON信號時,處理進入步驟102以便將起動請求信號輸出到微型計算機20���。相反���,當IG開關(guān)持續(xù)為關(guān)(無起動請求)時,流程再次返回到步驟101��。
在步驟102���,控制禁止電路25禁止微型計算機20控制各種車內(nèi)設(shè)備40�。使用例如開關(guān)電路�����,能阻塞控制信號到車內(nèi)設(shè)備40����。在步驟103��,暫停通過監(jiān)視單元1的微型計算機異常監(jiān)視處理����。因為此�����,在步驟103中���,通過監(jiān)視暫停處理�����,不監(jiān)視微型計算機20的異常性,車內(nèi)設(shè)備40根本不受微型計算機20控制����。
通過微型計算機20傳送到監(jiān)視單元1的OR電路12的指定應(yīng)答禁止信號的輸入進行觸發(fā),完成步驟103中暫停微型計算機監(jiān)視處理�����。不一定需要從微型計算機20輸出指定應(yīng)答禁止信號��。在這種情況下,可以配置控制系統(tǒng)以便監(jiān)視單元1能繞過微型計算機20���,直接從IG開關(guān)30接收H信號的輸入��。
在步驟104中�����,響應(yīng)在步驟103中暫停微型計算機監(jiān)視的事件�,開始啟動處理��。在步驟105����,確定結(jié)束啟動處理。當終止時�,處理進入步驟106。通過終止起動處理�����,微型計算機20處于約略等于當車輛正常行駛時的負載的負載下���,而不承受與當啟動時一樣重的負載����。
在步驟106中,響應(yīng)微型計算機20已經(jīng)變成在正常運行的控制狀態(tài)中的事件�����,控制系統(tǒng)開始監(jiān)視處理�。在步驟107,響應(yīng)微型計算機20處于通過監(jiān)視單元1的監(jiān)視狀態(tài)中的事件����,控制系統(tǒng)去除通過控制禁止電路25,加于微型計算機20上的控制禁止狀態(tài)����,允許微型計算機20開始控制各種車內(nèi)設(shè)備40,并終止其處理�����。
注意僅在緊接在開啟車輛的IG開關(guān)后�,微型計算機20處于重負載下時�����,不施加圖2中的微型計算機監(jiān)視暫停處理。例如�,當在車輛制造商中,正重寫存儲在微型計算機20的ROM22和RAM23中的程序時����,微型計算機20處于重負載下,如在開啟IG開關(guān)30時一樣���,并降低其處理速度����。
在這種情況下���,如圖3所示的流程圖中所示����,能執(zhí)行微型計算機監(jiān)視暫停處理�����。
在圖3的步驟201中�,確定微型計算機20是否接收到程序?qū)懭胝埱?一種重負載程序處理請求)。寫入請求能通過例如從外部發(fā)送促使重負載程序處理請求單元31轉(zhuǎn)移到程序重寫模式的信號并使所述請求單元31將程序重寫處理請求信號(一種請求重負載程序處理的信號)輸入到微型計算機20,請求程序重寫程序的處理�。
當在步驟201中有寫入請求時,處理從步驟202到步驟203��。當沒有寫入請求時����,處理結(jié)束。在步驟202和步驟203中�,與在圖2中的步驟102和步驟103相同,禁止微型計算機20控制各種車內(nèi)設(shè)備40�,然后暫停微型計算機監(jiān)視。在檢驗這些暫停后�,在步驟204,開始將程序?qū)懭胛⑿陀嬎銠C20的存儲單元的處理�。
當終止寫入處理時,處理從步驟205進到步驟206和207��,其中與在步驟106和107中一樣�,開始微型計算機監(jiān)視,微型計算機20開始控制各種車內(nèi)設(shè)備40����,并終止該程序����。另外��,能從已經(jīng)開始微型計算機監(jiān)視的狀態(tài)執(zhí)行該處理��。在檢驗微型計算機20是否處于僅當車輛不處于正常行駛時允許的程序重寫模式后執(zhí)行此操作�����。
該處理可以是確定緊接在開啟圖2中的IG開關(guān)后��,是否有到圖3的微型計算機20的程序重寫請求的一種處理����。圖4表示在這種情況下的流程圖����。
在圖4的步驟301中,如在步驟101中�����,確定伴隨開啟IG開關(guān)30���,是否有到微型計算機20的起動請求��。當請求啟動時�,執(zhí)行從步驟302到步驟305的處理。當沒有起動請求時�����,處理進入步驟306���。從步驟302到步驟305的處理與圖2中的步驟102-105相同���。在步驟305終止起動處理后,處理進入步驟306�。
在步驟306,確定是否有到微型計算機20的程序?qū)懭胝埱?。當有請求時,執(zhí)行從步驟307到步驟310的處理����。當沒有這種請求時,處理進入步驟311�。從步驟307到步驟310的處理與圖3中的步驟202-205相同。當在步驟310中終止將程序?qū)懭胛⑿陀嬎銠C20的處理時����,在步驟311中開始微型計算機監(jiān)視����,以及在步驟312���,微型計算機20開始控制各種車內(nèi)設(shè)備。
本發(fā)明不限于這些實施例��。在不背離基于附加權(quán)利要求的描述的技術(shù)范圍的情況下����,能對本發(fā)明做出各種改進和改變。
權(quán)利要求
1.一種電子控制系統(tǒng)��,包括微型計算機(20)��,基于存儲在存儲裝置(22�,23)中的控制程序,生成用于控制控制對象(40)的控制信號�;以及監(jiān)視裝置(1),執(zhí)行用于監(jiān)視所述微型計算機(20)的異常監(jiān)視處理以便檢驗所述微型計算機(20)是否正常�����;其特征在于��,重負載程序處理請求裝置(31),用于當所述微型計算機(20)處于不同于預(yù)定正?���?刂频臓顟B(tài)中時,輸出請求所述微型計算機(20)處理存儲在所述存儲裝置(22��,23)中的預(yù)定重負載程序的重負載程序處理請求信號�����;監(jiān)視暫停裝置(8)�,用于響應(yīng)所述重負載程序處理請求信號的輸入,使所述監(jiān)視裝置(1)暫停所述異常監(jiān)視處理���;以及控制禁止裝置(24����,25)�����,用于當通過所述監(jiān)視暫停裝置(8)暫停所述異常監(jiān)視處理時���,響應(yīng)所述重負載程序處理請求信號的輸入��,通過阻止所述微型計算機(20)的控制信號以使不傳送到所述控制對象(40)�����,安全地暫停所述控制對象(40)���。
2.如權(quán)利要求1所述的電子控制系統(tǒng),其特征在于���,當所述重負載程序處理請求裝置(31)向所述微型計算機(20)發(fā)出重負載程序處理請求時����,所述控制禁止裝置(24����,25)禁止所述微型計算機(20)控制所述控制對象(40)以及所述監(jiān)視暫停裝置(8)暫停由所述監(jiān)視裝置(1)執(zhí)行的異常監(jiān)視處理,隨后���,所述微型計算機(20)執(zhí)行所述重負載程序處理�。
3.如權(quán)利要求1或2所述的電子控制系統(tǒng)���,其特征在于��,當終止所述重負載程序處理時����,檢驗所述微型計算機(20)的正常操作,隨后��,所述控制禁止裝置(24�,25)取消施加于所述微型計算機(20)對所述控制對象(40)的控制上的控制禁止,允許所述微型計算機(20)重新開始所述控制對象(40)的控制和所述監(jiān)視裝置(1)重新開始所述微型計算機(20)的異常監(jiān)視處理�����。
4.如權(quán)利要求1至3的任何一個所述的電子控制系統(tǒng)�����,其特征在于��,所述監(jiān)視裝置(1)通過將預(yù)定的監(jiān)視信號輸出到所述微型計算機(20)�����,使所述微型計算機(20)執(zhí)行算術(shù)處理�,以及基于操作結(jié)果和算術(shù)處理時間,確定所述微型計算機(20)是否正常操作����,來執(zhí)行異常監(jiān)視處理��。
5.如權(quán)利要求1至4的任何一個所述的電子控制系統(tǒng)����,其特征在于���,所述監(jiān)視裝置(1)響應(yīng)所述重負載程序處理請求信號�����,暫停操作結(jié)果確定處理。
6.如權(quán)利要求1至5的任何一個所述的電子控制系統(tǒng)�,其特征在于,所述監(jiān)視裝置(1)響應(yīng)所述重負載程序處理請求信號的輸入�,暫停所述監(jiān)視信號的輸出。
7.如權(quán)利要求1至6的任何一個所述的電子控制系統(tǒng)����,其特征在于,所述重負載程序處理請求裝置(31)響應(yīng)用于請求處理從所述微型計算機(20)的外部輸出到所述微型計算機(20)的重負載程序的處理請求信號����,發(fā)出所述重負載程序處理請求信號��。
8.如權(quán)利要求1至7的任何一個所述的電子控制系統(tǒng)���,其特征在于,所述控制禁止裝置(24��,25)是電連接到所述微型計算機(20)和所述控制對象(40)用于禁止所述微型計算機(20)控制所述控制對象(40)的電路����。
9.如權(quán)利要求1至8的任何一個所述的電子控制系統(tǒng),其特征在于��,在車內(nèi)提供所述控制對象(40)��,以及除正?���?刂仆獾臓顟B(tài)是緊接在車輛的點火起動后,由所述微型計算機(20)執(zhí)行控制的初始控制狀態(tài)����。
10.如權(quán)利要求1至9的任何一個所述的電子控制系統(tǒng),其特征在于���,在車內(nèi)提供所述控制設(shè)備����,以及所述重負載程序處于在車輛停止時,存儲在所述微型計算機(20)的存儲裝置(22����,23)中的程序被重寫的狀態(tài)中。
11.一種電子控制方法�����,包括操作基于存儲在存儲裝置(22��,23)中的控制程序���,生成用于控制控制對象(40)的控制信號的微型計算機(20);以及監(jiān)視微型計算機操作以便通過向所述微型計算機(20)輸出預(yù)定監(jiān)視信號以及使所述微型計算機(20)響應(yīng)所述預(yù)定監(jiān)視信號�,執(zhí)行算術(shù)處理,來檢驗所述微型計算機(20)是否正常��;其特征在于���,檢驗所述微型計算機(20)是否處于與除預(yù)定正?�?刂茽顟B(tài)外的重負載程序處理狀態(tài)相對應(yīng)的預(yù)定狀態(tài)中�;當確定所述微型計算機(20)處于所述預(yù)定狀態(tài)中時,暫停監(jiān)視步驟�。
12.如權(quán)利要求11所述的電子控制方法,其特征在于�,所述預(yù)定狀態(tài)包括通過接通車輛的點火開關(guān),來起動所述微型計算機(20)的操作��。
13.如權(quán)利要求11或12所述的電子控制方法��,其特征在于����,所述預(yù)定狀態(tài)包括所述微型計算機(20)的程序?qū)懭氩僮鳌?br>
全文摘要
電子控制系統(tǒng)具有微型計算機監(jiān)視部分(1)和輸出控制部分(24)。當有重負載程序處理請求時��,通過輸出控制部分(24)中的控制禁止部分(25)��,禁止微型計算機(20)控制車輛的控制對象(40)�����,以及監(jiān)視暫停部分(20)暫停由監(jiān)視部分(1)執(zhí)行的異常監(jiān)視程序�。因此,微型計算機(20)執(zhí)行具有降低處理負載的重負載程序處理�����。當終止處理重負載程序時,由監(jiān)視部分(1)開始異常監(jiān)視��。此外���,在檢驗微型計算機的正常操作后�,控制系統(tǒng)允許微型計算機(20)開始控制控制對象(40)����。
文檔編號G06F11/30GK1664788SQ20051005299
公開日2005年9月7日 申請日期2005年3月4日 優(yōu)先權(quán)日2004年3月4日
發(fā)明者西村壽郎, 山本敏久, 山崎雅志 申請人:株式會社電裝