在使用微处理器的电子控制装置中，正在研究使用作为能方便地进行高速读写的非易失性存储器的MRAM，以代替将掩模ROM或快速擦写存储器等非易失性存储器当作程序存储器、并将有后备电池的RAM当作运算处理用的数据存储器的已有存储器结构。
然而，在能方便地进行高速读写的反面，存放的数据因噪声误动等而容易变化的可能性大，需要慎重使用。
例如，根据专利文献1的“车载控制装置”，构成将MRAM的存储区分为RAM区和ROM区，设置对ROM区的写入禁止单元，并在对RAM区连接维护工具时，能根据来自控制端子的指令进行禁止写入，以免错删保存数据，关心避免进行不小心的写入、删除。
根据专利文献2的“固体存储装置的纠错编码和译码”，揭示使用固体存储装置(MRAM)存放的纠错编码数据取得纠错译码数据的MRAM，在有限位数的复原发生误码的情况下，将读出数据复原。此外，作为与本发明关联的技术，根据专利文献3的“微计算机程序区数据维护方法”，其揭示的维护方法将存储器的程序区划成适当的区，从而划为多个数据块，并在各数据块分别将存放的程序数据的和数校验数据和纠错码一起存放，在启动微计算机时进行程序数据的和数校验，而且和数校验不一致的情况下启动修复程序，推断出程序数据异常部位，进而算出该部位的正常数据，并修复程序数据。
专利文献1：特开2003-104137号公报，图3、说明书摘要
专利文献2：特开2003-115197号公报，图1、说明书摘要专利文献3：特开2005-208958号公报，图1、说明书摘要
根据上述专利文献1，重点在于不执行错误写入用的写入禁止功能，未谈到纠正发生的差错或检测出不能纠正的差错和异常处理措施，存在仅进行禁止写入不能得到安全性高的控制装置的缺点。根据上述专利文献2，可纠正的差错位数有限，未谈到对付超过该界限的位数的差错的处理。
例如，对4位数据添加3位纠错码时，能纠正1位范围内的差错，但存在发生2位误码就不能纠正的问题，在该状态下使微处理器工作是危险的。
然而，为了可作多位纠错而加长纠错码位数，则存在存储器大型且高价的缺点。
根据上述专利文献3，即使1个数据中发生多位误码也能估算原来的正确数据，但存在多个数据零星发生误码时不能恢复的问题。
本发明的目的在于提供一种电子控制装置，该电子控制装置在带有结构上做成在有限位数范围复原并读出误码的纠错码的MRAM中，能预防对MRAM误写入，并能修复写入，还检测出发生难修复的异常，提高安全性。

为了解决上述课题，本发明的电子控制装置，具有从外部电源供电并根据输入传感器群的工作状况对电负载群进行驱动控制的微处理器，从外部工具对与该微处理器协同工作的非易失性程序存储器传送并写入含控制常数的控制程序，其中，所述微处理器根据作为能进行电读写的非易失性存储器的MRAM(Magnetic Random Access Memory：磁随机存取存储器)中存放的控制程序进行工作、并且将该MRAM划分成在从所述外部工具传送并写入后以所述微处理器运转中未改变改写的输入输出控制程序为主体的程序存储区和所述微处理器运转中随时改变改写的数据存储区不同的地址区进行存放。
所述MRAM还包含对来自所述微处理器的写入指令信号作出响应并对指定地址的存储单元写入添加纠错码的保存数据用的带纠错码的写入电路、对来自所述微处理器的读出指令信号作出响应并从指定地址的存储单元将所述保存数据译码并读出的译码读出电路、设置在所述数据存储区的差错寄存器、以及成为设置在所述程序存储区的确认读出单元和重复异常判断单元的控制程序，并且构成将来自所述微处理器的写入指令信号通过写入禁止/解除单元供给所述MRAM。所述差错寄存器是特定地址存储器，在所述存储单元保存的数据有错码时，将发生差错的地址号当作差错数据加以存放，该保存差错数据是由所述微处理器加以复原或作转移疏散后首次产生的差错数据，或通过依次读出所述存储单元的各地址的内容而在新地址有误码，则存放依次更新的差错数据。
所述确认读出单元是对所述差错寄存器存放的差错数据作出响应且将所述差错数据复原或加以转移疏散后，再次访问差错发生地址，再次读出并确认所述差错寄存器的内容的单元。
所述重复异常判断单元是在所述确认读出单元读出的差错寄存器的内容包含相同的差错数据时，判断为同一地址的存储器的内容连续异常的单元。
所述写入禁止/解除单元对存放所述控制程序的所述MRAM的程序存储区，禁止将所述微处理器的写入指令信号供给所述MRAM，并在处于连接外部工具对所述MRAM写入控制程序的状态时，对所述微处理器解除所述写入禁止功能，在不连接外部工具、打算进行所述控制程序的修复写入时，将所述写入禁止功能作为例外加以解除，而且对所述重复异常判断单元判断为异常时或进行多次异常判断时作出响应，执行包含异常通知或异常发生信息保存中至少一方的异常处理。
根据上述本发明的电子控制装置，将具有纠错功能的磁随机存取存储器(MRAM)用作对微处理器的程序存储器，该MRAM添加差错寄存器，还具有基于确认读出单元的重复异常判断单元和写入禁止/解除单元。
因此，除MRAM的自纠功能外，还进行写入禁止/解除单元的误写入预防处理，更由重复异常判断单元检测出MRAM发生异常，并能不过度感应瞬时噪声误动地进行异常处理，因此控制装置的安全性提高，避免过大的ECC(纠错码)数据造成的MRAM大型化，具有能有效应用可方便地进行读写的MRAM的效果。
附图说明
图1是本发明实施例装置1的电路框图。
图2是说明图1的装置的第1异常判断所涉及的动作用的流程图。
图3是说明图1的装置的第2异常判断所涉及的动作用的流程图。
图4是说明图1的装置的检查动作所涉及的动作的流程图。
图5是本发明实施例装置2的电路框图。
图6是说明图5的装置的第1异常判断所涉及的动作用的流程图。
图7是说明图5的装置的第2异常判断所涉及的动作用的流程图。
图8是说明图5的装置的检查动作所涉及的动作的流程图。
图9是本发明实施例装置3的电路框图。
图10是说明图9的装置的第1异常判断所涉及的动作用的流程图。
图11是说明图9的装置的第2异常判断所涉及的动作用的流程图。
图12是说明图9的装置的检查动作所涉及的前半动作的流程图。
图13是说明图9的装置的检查动作所涉及的后半动作的流程图。
图14是说明图9的装置的写入禁止/解除动作所涉及的动作的流程图。

实施方式1
(1)组成详细说明
下面，说明示出本发明实施例装置1的电路框图的图1。
图1中，电子控制装置100A例如是车载发动机的控制装置。电子控制装置100A中，通过电源继电器的输出接点103b连接作为车载蓄电池的外部电源101，并通过电源开关102将电源继电器的励磁线圈103a连接到外部电源101。
将负载电源继电器的励磁线圈104a的正端通过电源开关102连接到外部电源101，但负端由后面阐述的翻转驱动电路元件114控制其导通。
从后面阐述的微处理器100A通过第1输出接口电路115a供电并加以驱动的第1电负载群105a，具有例如燃料喷射阀的驱动用电磁线圈、发动机点火线圈(发动机的类型为汽油机时)、排气循环阀的驱动用电机、空调用的电磁离合器、告警显示器等。
通过第2输出接口电路115b供电并加以驱动的第2电负载群105b，包含例如吸气风门的阀开度控制用电机。
第1电负载群105a通过电源继电器的输出接点103c得到供电，而第2电负载群105b通过负载电源继电器的输出接点104b得到供电。
通过输入接口电路116对后面阐述的微处理器110A进行输入的开关传感器群106，为例如发动机曲轴转角传感器、测量车速用的脉冲传感器等监视发动机运转状况的通断动作的各种传感器。
通过含多路AD(模-数)变换器的模拟输入接口电路117对后面阐述的微处理器110A进行输入的模拟传感器群107，为例如测量发动机吸气量的气流传感器、检测出加速踏板踩入程度的踏板位置传感器、检测出风门阀开度的风门位置传感器、发动机冷却水温度传感器等监视发动机运转状况的各种传感器。
通过串行接口电路118，对后面阐述的微处理器110A连接的外部工具108在进行产品出厂检查或维护检查时，经图中未示出的装卸连接器加以连接。
告警显示器109从作为后面阐述的异常发生存储单元的计数器电路140A的比较输出端子OUT得到供电，通知计数器电路140A进行计数的异常发生次数超过规定次数的事件。
作为电子控制装置100A的内部组成，构成微处理器110A与作为非易失性存储器的MRAM120A和作为例如EEPROM或掩模ROM的非易失性后备存储器161A协同工作。
微处理器110A利用从电源继电器输出接点103b供电的控制电源单元111产生的稳定电压进行工作，产生供电保持指令输出DR1，从而通过驱动电路元件113A对电源继电器的励磁线圈103持续激励。
复位脉冲产生电路112A在控制电源单元111产生输出电压的时间点产生复位脉冲信号，通过后面阐述的逻辑和元件131将微处理器110A初始化，或将作为后面阐述的异常发生存储单元的计数器电路140A初始化。
将MRAM120A划分成在从外部工具108传送并写入后以所述微处理器110A运转中未改变改写的输入输出控制程序为主体的程序存储区和微处理器110A运转中随时改变改写的数据存储区不同的地址区进行存放。
MRAM120A还包含对来自微处理器110A的写入指令信号作出响应并对指定地址的存储单元121写入添加纠错码的保存数据用的带纠错码的写入电路122、对来自微处理器110A的读出指令信号作出响应并从指定地址的存储单元121将保存数据译码并读出的译码读出电路123、第1、第2差错标记产生电路124a和124b、设置在所述数据存储区的第1、第2差错寄存器125a和125b、以及成为设置在所述程序存储区的后面阐述的确认读出单元和重复异常判断单元的控制程序，并且构成将来自微处理器110A的写入指令信号通过写入禁止/解除单元150，供给所述MRAM120A。
第1差错标记产生电路124a是在指定地址的存储单元121的内容可译码范围的位数内发生差错、且读出的保存数据为所述译码读出电路123复原并纠正的数据时，产生作为二值化逻辑信息的第1差错标记FL1的逻辑电路。
第1差错寄存器125a是位于第1特定位置的差错寄存器，在指定地址的存储单元121的内容可译码范围的位数内发生差错、且读出的保存数据为所述译码读出电路123复原并纠正的数据时，将发生该差错的地址号作为第1差错数据存放。有第1差错标记产生电路124a则方便，但即使没有该电路，也能通过确认第1差错寄存器125a的内容知道发生第1差错。
第1当前值寄存器126a是后面阐述的第1累计单元中使用的存储器，将第1当前值寄存器126a和第1差错寄存器125a设置在存储单元121的数据存储区。
第2差错标记产生电路124b是在指定地址的所述存储单元121的内容发生超过可译码范围的位数的差错、且读出的保存数据为不能保证与最初保存的数据一致的数据时，产生作为二值化逻辑信息的第2差错标记FL2的逻辑电路。
第2差错寄存器125b是位于第2特定位置的差错寄存器，在指定地址的所述存储单元121的内容发生超过可译码范围的位数的差错、且读出的保存数据为不能保证与最初保存的数据一致的数据时，将发生该差错的地址号作为第2差错数据存放。有第2差错标记产生电路124b则方便，但即使没有该电路，也能通过确认第2差错寄存器125b的内容知道发生第2差错。
第2当前值寄存器126b是后面阐述的第2累计单元中使用的存储器，将第2当前值寄存器126b和第2差错寄存器125b设置在存储单元121的数据存储区。
监视定时器130监视微处理器110A产生的作为脉冲串信号的监视清零信号WD1，并且监视清零信号WD1的脉冲宽度超过阈值时产生复位脉冲信号RS1，通过逻辑和元件131供给微处理器110A的复位输入端子RST1，对微处理器110A进行初始化、重新启动。
还将复位脉冲信号RS1通过逻辑和元件141A，供给作为后面阐述的异常发生存储单元的计数器电路140A的计数输入端UP。
监视定时器130在监视清零信号WD1的脉冲宽度正常时，产生输出允许信号OUTE，可产生第1、第2输出接口电路115a、115b的输出。
成为异常发生存储单元的计数器电路140A，对逻辑和元件141A的逻辑和输出信号的产生次数进行计数，在逻辑和元件141A的输入端子连接微处理器110A产生的第1、第2异常检测信号ER1、ER2和监视定时器130产生的复位脉冲信号RS1。
将成为驱动停止单元的门电路142连接在微处理器110A产生的负载供电指令输出DR2与翻转驱动电路元件141之间，负载供电指令输出DR2为逻辑电平“H”时，激励负载电源继电器的励磁线圈104a，计数器电路140A的比较输出端子OUT的逻辑电平为“H”时，使励磁线圈104去激励。
这种异常确定状态下，将模式切换指令信号LPH供给微处理器110A。
成为写入禁止/解除单元的逻辑电路150，包含首级的逻辑积元件151和逻辑和元件152、以及后级的逻辑积元件153和逻辑和元件154。
输入到首级逻辑积元件151的工具连接信号TOOL是检测出连接外部工具108并且逻辑电平为“H”的信号，地址信号A15是访问存储单元121的最高端地址时逻辑电平为“H”的信号。此实施例中，将MRAM120A的半区(A15＝“H”)用作程序存储区，其余半区(A15＝“L”)用作数据存储区。
微处理器110A产生的写入指令信号WR是对存储单元121指定地址后将发送到地址总线的数据写入存储单元121时逻辑电平为“H”的信号，并连接到后级逻辑积元件153的输入端子。
微处理器110A产生的写入纠错指令信号WRC是打算纠正存储单元121内的误码时指定差错发生地址，并将校正数据发送到数据总线后使逻辑电平为“H”的指令信号，将该指令信号连接到后级逻辑和元件154的输入端子。
对后级逻辑和元件154的输入端子输入后级逻辑积元件153的连接输出和写入纠错指令信号WRC，将其逻辑和输出作为写入指令输入WRM供给MRAM120A。后备存储器161A存放例如疏散运转程序，并在作为存储单元121中重要控制程序的疏散运转程序发生异常时，将后备存储器161A的内容传送到存储单元121。
(2)作用动作详细说明
按图1那样构成的本发明实施例装置1中，将电源开关102闭路时，电源继电器的输出接点103b闭路，控制电源单元111受到外部供电，产生稳定的控制电源电压Vcc，由复位脉冲产生电路112A产生的复位脉冲信号将微处理器110A和计数器电路140A初始化后，微处理器110A开始动作，使微处理器110A产生监视清零信号WD1。
对MRAM120A存放控制程序前的首次供电时，根据MRAM120A中预先存放的引导程序，从外部工具108通过串行接口电路118将控制程序传送到MRAM120A。由外部工具108写入控制程序时，工具连接信号TOOL和最高端地址信号A15的逻辑电平均为“H”；其结果，前级逻辑积元件151和前级逻辑和元件152的输出逻辑为“H”，将微处理器110A的写入指令信号WR作为写入指令输入WRM通过后级逻辑积元件153和后级逻辑和元件154原样供给MRAM120A。
另一方面，对MRAM120A存放控制程序后将电源开关102闭路时，进行微处理器110A和计数器电路140A的初始化后，微处理器110A开始动作，产生监视清零信号WD1，同时还产生供电保持指令输出DR1和负载供电指令输出DR2，激励负载电源继电器的励磁线圈104a。
此状态下，工具连接信号TOOL为逻辑电平“L”；其结果，对最高端地址信号A15的逻辑电平均为“H”的程序存储区即使写入指令信号WR的逻辑电平为“H”，后级逻辑积元件153的输出逻辑也为“L”，不将写入指令信号WR供给MRAM120A。
但是，对高端地址信号A15的逻辑电平均为“L”的数据存储区，首级逻辑和元件152的输出逻辑为“H”，所以写入指令信号WR有效。
后面阐述的改写纠错指令信号WRC与存储区无关，总是有效。
微处理器110A对从模拟传感器群107得到的模拟信号的电压电平、从开关传感器群106得到的通断信号的动作状态、以及存放在MRAM120A的存储单元121的输入输出控制程序作出响应，进行驱动第1、第2电负载群105a、105b的控制。
微处理器110A运转中因噪声误动而第1、第2异常检测信号ER1、ER2产生异常检测脉冲信号，或监视定时器130产生复位脉冲信号RS1时，通过逻辑和元件141A对计数器电路140A的计数输入端子UP供给计数输入信号，使计数器电路140A对异常发生次数进行计数，在该次数超过规定值时，计数结束，使比较输出端子OUT的逻辑电平为“H”。
其结果，告警显示器109启动，并由门电路142切断负载供电指令输出DR2，使负载电源继电器的励磁线圈104a去激励，而且对微处理器110A供给模式切换指令信号LPH。
因而，微处理器110A转移到抑制发动机转速的疏散运转模式。
微处理器110A运转中电源开关102开路时，由供电保持指令输出DR1和驱动电路元件113A对励磁线圈103a、104a持续激励，并且微处理器110A执行学习存储信息等的确认保存后，自行停止供电保持指令输出DR1，因而使励磁线圈103a去激励。
重新接通电源开关102时，微处理器110A和计数器电路140A由复位脉冲产生电路112A加以初始化，因此计数器电路140A的计数结束为噪声误动的计数时，恢复正常状态。
但是，因MRAM120A或其它硬件异常而产生第1、第2异常检测信号ER1、ER2或监视定时器130产生复位脉冲RS1时，计数器电路140A又对这些异常信号计数，并迅速进行异常通知、负载电源继电器停止等。
接着，说明用于说明图1的装置的第1异常判断所涉及的动作的流程图的图2。图2中，工序200是微处理器110A开始进行MRAM120A的异常判断动作的步骤，接着的工序201的步骤根据后面阐述的工序202中初始标记是否置位判断是否首次动作，如果是首次动作，进行“是”的判断后转移到工序202，不是首次动作则进行“否”的判断后，转移到工序203。工序202的步骤将上述第1、第2差错标记产生电路124a、124b或第1、第2差错寄存器125a、125b或第1、第2当前值寄存器126a、126b的内容初始化，并使未图示的初始标记置位。该初始标记在接通电源开关102的时间点被复原。
工序203的步骤判断是否读出第1差错标记FL1或第1差错寄存器125a的内容的定时，如果是读出时期，进行“是”的判断后，转移到工序203a，不是读出时期则进行“否”的判断后通过中继端子4A转移到图4的工序401。利用未图示的定时器进行测量，判断是否读出时期，按例如约10毫秒(ms)中1次的比率进行“是”的判断。
工序203a的步骤读出第1差错标记FL1或第1差错寄存器125a的内容，盖写并保存在后面阐述的暂时寄存器(未图示)，并将第1差错标记产生电路124a或第1差错寄存器125a的内容复原。
接着的工序204a的步骤根据工序203a读出的暂时寄存器的内容是否第1差错发生状态，在发生第1差错时进行“是”的判断后转移到工序205a，非发生第1差错则进行“否”的判断后转移到工序211。
第1差错是可编码纠错的差错，在第1差错标记FL1的逻辑为正或第1差错寄存器125a的内容为存储单元121的地址时，判断为发生第1差错。
工序205a的步骤对第1当前值寄存器126a加上例如“2”，作为第2增量值Δ2，接着的工序206a的步骤判断第1当前值寄存器126a的值是否超过正常侧临界值(例如“11”)，不超过则进行“否”的判断后转移到工序207a，如果超过就进行“是”的判断后转移到工序209。
工序207a的步骤指定发生差错的地址，并读出其内容，但如果为工序203a中对第1差错寄存器125a进行读出的情况，指定并读出该第1差错寄存器125a存放的差错发生地址，如果为工序203a中读出第1差错标记FL1的情况，则工序207a中首先读出第1差错寄存器125a的内容，接着指定并读出存放在该第1差错寄存器125a的差错发生地址。
因而，工序203a中使用第1差错标记FL1时，工序207a工作2次，但如果是不发生差错的常规状态，即使不进行第1差错寄存器125a的内容确认，也能迅速转移到工序211。
后续于工序207a执行的工序203b的步骤，读出第1差错标记FL1或第1差错寄存器125a的内容，盖写在未图示的暂时寄存器上，并使第1存储标记FL1或第1差错寄存器125a的内容复原。接着的工序204b的步骤，根据工序203b读出的暂时寄存器的内容是否第1差错发生状态，在发生第1差错时进行“是”的判断后转移到工序205b，非发生第1差错则进行“否”的判断后转移到工序211。工序205b的步骤，对第1当前值寄存器126a加上例如“4”，作为第3增量值Δ3，接着的工序206b的步骤判断第1当前值寄存器126a的值是否超过正常侧临界值(例如“11”)，不超过则进行“否”的判断后转移到工序207b，如果超过就进行“是”的判断后转移到工序209。
工序207b的步骤指定发生差错的地址，并读出其内容，但如果为工序203b中对第1差错寄存器125a进行读出的情况，就指定并读出该第1差错寄存器125a存放的差错发生地址，如果为工序203b中读出第1差错标记FL1的情况，则工序207b中首先读出第1差错寄存器125a的内容，接着指定并读出存放在该第1差错寄存器125a的差错发生地址。
接着的工序208的步骤通过带纠错码的写入电路122，修复工序207b读出的译码数据。
接着的工序207c的步骤通过译码读出电路123，读出修复写入数据。工序207c后，返回工序203b，进行是否发生差错的读出。
作为工序208的修复写入结果，工序204b的判断为“否”，并继续发生差错，则转移到工序211，但如果仍然发生第1差错就重复工序205b的加增量值Δ3，并利用后续的工序206b作超过判断后，转移到工序209。
工序206a、206b的判断为超过上限时执行的工序209中，产生第1异常检测信号ER1，并使第1差错标记FL1和第1差错寄存器125a的内容复原，将第1当前值寄存器126a的值初始化为例如“9”后，经中继端子3A转移到图3的工序303a。
工序块210a是包含工序204a、205a、206a的成为第1零星发生异常判断单元的工序群，工序块210b是包含工序204b、205b、206b的成为第1重复异常判断单元的工序群。
再者，工序块210a根据非特定多个地址中发生的第1差错，对第1当前值寄存器126a加上第2增量值Δ2，而工序块210b根据对工序207a或工序207c指定的正在发生异常的特定地址的重新确认动作，加上第3增量值Δ3。
工序204a、204b的判断为“否”并且不发生第1差错时执行的工序211的步骤判断第1当前值寄存器126a的值是否为例如正常侧临界值“0”，如果不为“0”就进行“否”的判断后转移到工序212，为“0”则进行“是”的判断后，经中继端子3A转移到图3的工序303a。工序212的步骤从第1当前值寄存器126a减去例如“1”，当作增量值Δ1。后续于工序212，通过中继端子3A转移到图3的工序303a。
概括说明上述流程图。工序205a、212相当于第1累计单元，该第1累计单元205a、212对发生第1差错作出响应，对第1当前值寄存器126a加上(或减去)第2增量值Δ2，将第1差错寄存器125a和第1差错标记FL1复原、并且如果发生第1差错就进行对第1当前值寄存器126a的加减校正，以便减去(或加上)第1增量值Δ1，使其相互抵消。所述第1差错的非工作状态继续时，作为使规定的正常侧临界值中所述第1增量值Δ1的加减校正停止的单元，附图的实施例当作按发生差错进行相加作说明。
再者，作为实际状态，第1差错寄存器125a和第1差错标记FL1，在上述暂时寄存器存放的工序203a中得到复原。
也可使对第1当前值寄存器126a的加减运算方向相反，将当前值的异常侧下限值取为“0”，正常侧上限值取为“11”，并且发生第1差错时减去第2增量值Δ2，正常时加上第1增量值Δ1。
工序206a相当于第1零星发生异常检测单元，该第1零星发生异常检测单元206a根据第1、第2增量值Δ1、Δ2的累计，在第1当前值寄存器126a的值为规定的异常侧临界值的范畴外时，产生第1异常检测信号ER1。第2增量值Δ2的值大于第1增量值Δ1的值，而且将其设定成小于作为所述异常侧临界值与正常侧临界值之差的容许累计值的值。
所以，因噪声误动而零星发生第1差错时，不使第1异常检测信号ER1立即产生，而在因硬件异常而连续发生第1差错时，迅速产生第1异常检测信号ER1。
工序块210a为包含第1累计单元205a和第1零星发生异常检测单元206a的第1零星发生异常判断单元。
工序203b相当于第1确认读出单元，该第1确认读出单元203b对第1差错寄存器125a存放第1差错数据作出响应，将该第1差错数据复原(利用工序203a)后，再次访问差错发生地址(利用工序207a)，再次读出并确认第1差错寄存器125a的内容。
工序208相当于纠错写入单元，该纠错写入单元208为修复写入单元，对作为第1确认读出单元203b的读出结果，仍然在第1差错寄存器125a存放第1差错数据作出响应，将通过译码读出电路123读出的差错发生地址的保存数据经带纠错码的写入电路122，盖写在MRAM120A的差错发生地址上加以保存。
工序205b、212相当于第1累计单元，该第1累计单元205b在第1确认读出单元203b进行读出确认时或纠错写入单元208进行纠错写入后的读出确认中，发生再次发生第1差错的重复异常时，对第1当前值寄存器126a加上或减去大于等于第2增量值Δ2的值，即第3增量值Δ3。
工序206b相当于第1重复异常检测单元，该第1重复异常检测单元206b根据第1、第3增量值Δ1、Δ3的累计，在第1当前值寄存器126a的值为规定的异常侧临界值的范畴外时，产生第1异常检测信号ER1。将第3增量值Δ3设定成小于作为所述异常侧临界值与正常侧临界值之差的容许累计值。
结构上做成包含第1累计单元205b和第1重复异常检测单元206b的工序块210b相当于第1重复异常判断单元，该第1重复异常检测单元210b在第1确认读出单元203b进行读出确认时或纠错写入单元208进行纠错写入后的读出确认中，第1差错寄存器125a的内容再次包含相同的差错数据时，判断为同一地址的存储器内容连续异常。
但是，以上说明的实施例的情况下，设定成进行多次确认读出和纠错写入时发生第1异常检测信号ER1，倘若将第3增量值Δ3设定得大，则能立即产生第1异常检测信号ER1。
接着，说明用于说明图1的装置的第2异常判断所涉及的动作的流程图的图3。
图3中，后续于上述工序209、211、212执行的工序303a的步骤读出第2差错标记FL2或第2差错寄存器125b的内容，存放到未图示的暂时寄存器，并使第2差错标记FL2或第2差错寄存器125b的内容复原。后续的工序304a的步骤根据工序303a中读出的暂时寄存器的内容是否第2差错发生状态，在发生第2差错时进行“是”的判断后转移到工序305a，不发生第2差错时进行“否”的判断后转移到工序311。
第2差错是不可编码纠错的差错，在第2差错标记FL2的逻辑为正或第2差错寄存器125b的内容为存储单元121的地址时，判断为发生第2差错。
工序305a的步骤对第2当前值寄存器126b加上例如“3”，作为第5增量值Δ5，接着的工序306a的步骤判断第2当前值寄存器126b的值是否超过正常侧临界值(例如“11”)，不超过则进行“否”的判断后转移到工序307a，如果超过就进行“是”的判断后转移到工序309a。
工序309a的步骤产生第2异常检测信号ER2，并将第2差错标记FL2和第2差错寄存器125b的内容复原，将第2当前值寄存器126b的当前值初始化为“9”后，通过中继端子4A转移到图4的工序块401a。
工序307a的步骤指定发生差错的地址，并读出其内容，但如果为工序303a中对第2差错寄存器125b进行读出的情况，就指定并读出该第2差错寄存器125b存放的差错发生地址，如果为工序303a中读出第2差错标记FL2的情况，则工序307a中首先读出第2差错寄存器125b的内容，接着指定并读出存放在该第2差错寄存器125b的差错发生地址。
因而，工序303a中使用第2差错标记FL2时，工序307a工作2次，但如果是不发生差错的常规状态，即使不进行第2差错寄存器125b的内容确认，也能迅速转移到工序311。
后续于工序307a执行的工序303b的步骤读出第2差错标记FL2或第2差错寄存器125b的内容，存放到未图示的暂时寄存器上，并使第2存储标记FL2或第2差错寄存器125b的内容复原。接着的工序304b的步骤根据工序303b读出的暂时寄存器的内容是否第2差错发生状态，在发生第2差错时进行“是”的判断后转移到工序305b，非发生第2差错则进行“否”的判断后转移到工序311。
工序305b的步骤对第2当前值寄存器126b加上例如“6”，作为第6增量值Δ6，接着的工序306b的步骤判断第2当前值寄存器126b的值是否超过正常侧临界值、例如“11”，不超过则进行“否”的判断后转移到工序303b，如果超过就进行“是”的判断后转移到工序209b。
工序309b的步骤产生第2异常检测信号ER2，并将第2差错标记FL2和第2差错寄存器125b的内容复原，将第2当前值寄存器126b的当前值初始化为“9”后，通过中继端子4A转移到图4的工序块401。
工序块320a是包含工序304a、305a、306a的成为第2零星发生异常判断单元的工序群，工序块320b是包含工序304b、305b、306b的成为第2重复异常判断单元的工序群。
再者，工序块320a根据非特定多个地址中发生的第2差错，对第2当前值寄存器126b加上第5增量值Δ5，而工序块320b利用对工序307a指定的正在发生异常的特定地址的重新确认动作，加上第6增量值Δ6。
工序304a、304b的判断为“否”并且不发生第2差错时执行的工序311的步骤判断第2当前值寄存器126b的值是否为例如正常侧临界值“0”，如果不为“0”就进行“否”的判断后转移到工序312，为“0”则进行“是”的判断后，经中继端子4A转移到图4的工序401。
工序312的步骤从第2当前值寄存器126b减去例如“1”，当作增量值Δ4。后续于工序312，通过中继端子4A转移到图4的工序401。
概括说明上述流程图。工序305a、312相当于第2累计单元，该第2累计单元305a、312对发生第2差错作出响应，对第2当前值寄存器126b加上(或减去)第5增量值Δ5，将第2差错寄存器125b和第2差错标记FL2复原，并且如果发生第2差错，就进行对第2当前值寄存器126b的加减校正，以便减去(或加上)第4增量值Δ4，使其相互抵消。所述第2差错的非工作状态继续时，作为使规定的正常侧临界值中所述第4增量值Δ4的加减校正停止的单元，附图的实施例当作按发生差错进行相加作说明。
然而，可使对第2当前值寄存器126b的加减运算方向相反，将当前值的异常侧下限值取为“0”，正常侧上限值取为“11”，并且发生第2差错时减去第5增量值Δ5，正常时加上第4增量值Δ4。
工序306a相当于第2零星发生异常检测单元，该第2零星发生异常检测单元306a根据第4、第5增量值Δ4、Δ5的累计，在第2当前值寄存器126b的值为规定的异常侧临界值的范畴外时，产生第2异常检测信号ER2。第5增量值Δ5的值大于第4增量值Δ4的值，而且将其设定成小于作为所述异常侧临界值与正常侧临界值之差的容许累计值。
所以，因噪声误动而零星发生第2差错时，不使第2异常检测信号ER2立即产生，而在因硬件异常而连续发生第2差错时，迅速产生第2异常检测信号ER2。
工序块320a为包含第1累计单元305a和第1零星发生异常检测单元306a的第2零星发生异常判断单元。
工序303b相当于第2确认读出单元，该第2确认读出单元303b对第2差错寄存器125b存放第2差错数据作出响应，将该第2差错数据复原(利用工序303a)后，再次访问差错发生地址(利用工序307a)，再次读出并确认第2差错寄存器125b的内容。
工序305b、312相当于第2累计单元，该第2累计单元305b在第2确认读出单元303b进行读出确认时或发生再次发生第1差错的重复异常时，对第2当前值寄存器126b加上或减去大于等于第5增量值Δ5的值，即第6增量值Δ6。
工序306b相当于第2重复异常检测单元，该第2重复异常检测单元306b根据第4、第6增量值Δ4、Δ6的累计，在第2当前值寄存器126b的值为规定的异常侧临界值的范畴外时，产生第2异常检测信号ER2。将第6增量值Δ6设定为小于作为所述异常侧临界值与正常侧临界值之差的容许累计值。
结构上做成包含第2累计单元305b和第2重复异常检测单元306b的工序块320b相当于第2重复异常判断单元，该第2重复异常检测单元320b在第2确认读出单元303b进行读出确认时，第2差错寄存器125b的内容再次包含相同的差错数据时，判断为同一地址的存储器内容连续异常。
但是，以上说明的实施例的情况下，设定成进行多次确认读出和纠错写入时发生第2异常检测信号ER2，倘若将第6增量值Δ6设定得大，则能立即产生第2异常检测信号ER2。
接着，说明用于说明图1的装置的检查动作所涉及的动作的流程图的图4。
图4中，后续于上述工序203、309a、309b、311、312执行的工序块401是工序群，其中判断是否异常检查时期，不是异常检查时期则进行“否”的判断后转移到动作结束工序420，是异常检查时期就选择异常检查区后转移到工序402。
工序块401中，工序440的步骤判断是否紧接在将电源开关102闭路之后，如果是从断变化到通之后，进行“是”的判断后转移到工序411；如果已闭路或已开路就转移到工序442。工序441的步骤选择成为检查运转启动的对象的特定检查区。该特定检查区选择安全上重要的程序区，例如疏散运转控制程序。
工序442的步骤判断电源开关102是否闭路，闭路则进行“是”的判断后转移到工序443，非闭路就进行“否”的判断后转移到工序444。工序442进行“否”的判断的状态是将暂时闭路的电源开关103开路并由延迟恢复开关元件103b持续供电的状态。
工序443的步骤判断是否定期检查时期，如果是定期检查时期就进行“是”的判断后转移到工序444，不是定期检查时期则进行“否”的判断后转移到动作结束工序420。该工序443实质上定期地进行“是”的判断。
工序444的步骤选择并更新成为定期检查或停止前检查的对象的划分检查区，其中在定期检查时，根据后面阐述的工序426进行区域更新完的判断，转移到动作结束工序420一下，并且在又激活动作启动工序200后的工序444中，更新并选择划分成多个的划分检查区。
将电源开关102开路的停止前检查的情况下，根据后面阐述的工序426进行区域更新未完的判断，通过中继端子4B返回工序444，继续更新并选择划分成多个的划分检查区。
工序441或工序444后接着执行的工序402的步骤，在成为检查对象的MRAM120A的地址区，指定存储单元121的地址，试读出存储内容。
后续的工序403a的步骤读出第2差错标记FL2或第2差错寄存器125b的内容，存放到未图示的暂时寄存器，并将第2差错标记FL2或第2差错寄存器125b的内容复原。后续的工序404a的步骤根据工序403a读出的暂时寄存器的内容是否发生第2差错的状态，在发生第2差错时进行“是”的判断后转移到工序407a，如果未发生第2差错则进行“否”的判断后转移到工序413a。
工序407a的步骤指定差错发生地址，并读出其内容；但工序403a中对第2差错寄存器125b进行读出时，指定该第2差错寄存器125b存放的差错发生地址并进行读出，而工序403a中读出第2差错标记FL2时，在工序407a首先读出第2差错寄存器125b的内容，接着指定并读出存放在该第2差错寄存器125b的差错发生地址。
因而，工序403a中使用第2差错标记FL2时，工序407a工作2次，但如果是不发生差错的常规状态，即使不进行第2差错寄存器125b的内容确认，也能迅速转移到工序413a。
后续于工序407a执行的工序403b的步骤读出第2差错标记FL2或第2差错寄存器125b的内容，存放到未图示的暂时寄存器，并将第2存储标记FL2或第2差错寄存器125b的内容复原。接着的工序404b的步骤根据工序403b读出的暂时寄存器的内容是否第2差错发生状态，在发生第2差错时进行“是”的判断后转移到工序427，非发生第2差错则进行“否”的判断后转移到工序413a。
工序413a的步骤读出第1差错标记FL1或第1差错寄存器125a的内容，盖写并保存在后写优先的暂时寄存器(未图示)，并将第1差错标记FL1或第1差错寄存器125a的内容复原。
后续的工序414a的步骤根据工序413a读出的暂时寄存器的内容是否发生第1差错的状态，在发生第1差错时进行“是”的判断后转移到工序417a，如果未发生第2差错则进行“否”的判断后转移到工序422。
工序417a的步骤指定差错发生地址，并读出其内容；但工序413a中对第1差错寄存器125a进行读出时，指定该第1差错寄存器125a存放的差错发生地址并进行读出，而工序413a中读出第1差错标记FL1时，在工序417a首先读出第1差错寄存器125a的内容，接着指定并读出存放在该第1差错寄存器125a的差错发生地址。
后续的工序413b的步骤读出第1差错标记FL1或第1差错寄存器125a的内容，盖写并保存在未图示的后写优先的暂时寄存器，并使第1差错标记FL1或第1差错寄存器125a的内容复原。
后续的工序414b的步骤根据工序413b读出的暂时寄存器的内容是否发生第1差错的状态，在发生第1差错时进行“是”的判断后转移到工序421，如果未发生第2差错则进行“否”的判断后转移到工序422。
工序421的步骤判断下一工序418是否执行正常数据的纠错写入，如果未纠错写入就进行“否”的判断后转移到工序418，已纠错写入则进行“是”的判断后转移到工序429。
工序418的步骤将工序417a中读出的译码数据通过带纠错码的写入电路122进行修复写入；该工序418后，接着返回工序423b，并由工序414b判断是否进行正常写入。
工序422的步骤判断成为这次的检查对象的区域的检查是否完成，如果未完成就进行“否”的判断后返回工序402并更新检查地址，如果检查完则进行“是”的判断后转移到工序423。
工序423的步骤对为和数校验、或CRC校验而分组的多个检查区设定校验哪个区；该检查区可以是例如与工序441或工序444选择的检查区相同的区或进一步细分的区。
后续的工序424的步骤对工序423中设定的检查区进行和数校验、或CRC校验。后续的工序425的步骤根据该工序424的校验结果是否正常，如果正常就进行“是”的判断后转移到工序426，不正常则进行“否”的判断后转移到工序429。
工序426中，在将电源开关102闭路的定期检查时进行“是”的判断，在将电源开关102开路的停止前检查时，首先进行“否”的判断，并返回工序444，重复进行多个检查区的检查后，如果完成全部划分检查区的检查，则进行“是”的判断并转移到动作结束工序420。
在工序404b判断为发生第2差错时执行的工序427的步骤，从后备存储器161A与差错发生地址对应地读出数据，传送并写入到MRAM120A。
后续的工序428的步骤判断后续427的传送写入是否首次写入，是首次写入时进行“是”的判断后返回工序404a，检查是否正确进行传送写入；不是首次写入时进行“否”的判断后转移到工序429。
工序429中，产生异常检测信号ER1、ER2，使图2的工序202中置位的初始标记复原，而且使MRAM120A内的差错寄存器或差错标记复原后转移到工序426。
动作结束工序420中，微处理器110A执行其它控制动作后，实质上定期地转移到图2的动作开始工序200，但将电源开关102开路时，将微处理器110A停止，使电源继电器103a去激励，并切断供电电路。
概括说明上述流程图。工序403b相当于第2确认读出单元，该第2确认读出单元403b对第2差错寄存器125b存放第2差错数据作出响应(利用工序404a的判断)，将该第2差错数据复原(利用在工序403a读出后复原)后，再次访问差错发生地址(利用工序407a)，再次读出并确认第2差错寄存器125b的内容。
包含工序407a、403b、404b的工序块432相当于第2重复异常判断单元，该第2重复异常判断单元432在第2确认读出单元403b进行确认读出时，第2差错寄存器125b的内容包含相同的差错数据的情况下，判断为同一地址的存储内容连续异常。
工序413b相当于第1确认读出单元，该第1确认读出单元413b对第1差错寄存器125a存放第1差错数据作出响应(利用工序414a的判断)，将该第2差错数据复原(利用在工序413a读出后复原)后，再次访问差错发生地址(利用工序417a)，再次读出并确认第1差错寄存器125a的内容。
包含工序414a、421的工序块431相当于第1重复异常判断单元，该第1重复异常判断单元431在第1确认读出单元413b进行确认读出时，第1差错寄存器125a的内容包含相同的差错数据的情况下，判断为同一地址的存储内容连续异常。
工序418相当于纠错写入单元，该纠错写入单元418对作为第1确认读出单元413b的读出结果在第1差错寄存器125a仍然存放第1差错数据作出响应，将通过译码读出电路123读出的差错发生地址的保存数据经所述带纠错码的写入电路122盖写并保存在MRAM120A的差错发生地址上。
工序427相当于纠错传送单元，该纠错传送单元427对重复异常判断单元432进行异常判断作出响应，将后备存储器161A存放的疏散运转程序通过所述带纠错码的写入电路122盖写并保存在MRAM120A的差错发生地址上。
包含工序423、424、425的工序块433相当于第3异常判断单元，该第3异常判断单元433依次读出MRAM120A所特定区间区域的保存数据，利用涉及整个读出区间的数据的和数校验、或CRC校验判断是否有误码。
包含工序440至工序444的工序块401相当于检查时期判断单元，该检查时期判断单元401选择运转启动检查单元或定期检查单元或停止前检查单元。
再者，运转启动校正单元是特定检查单元，在接通电源开关102后，对MRAM120A保存的特定区域的主要数据利用重复异常判断单元431、432或第3异常判断单元433检查是否有误码。
定期检查单元是划分更新检查单元，在连续接通电源开关102的状态下，将MRAM120A保存的全部数据分成多个，对各划分数据利用重复异常判断单元431、432或第3异常判断单元433依次检查是否有误码。
停止前检查单元是成批检查单元，在切断电源后的延迟恢复开关元件103b闭路期间，对MRAM120A保存的全部数据利用重复异常判断单元431、432和第3异常判断单元433检查是否有误码。
(3)其它实施方式的说明
按图1那样构成的本发明实施例装置1中，将MRAM120A当作具有第1、第2差错寄存器125a、125b和第1、第2差错标记产生电路124a、124b的存储器进行了说明，但作为本发明的基本主旨，至少具有第1、第2差错寄存器125a、125b的任一方就可以。
例如，第2差错标记产生电路124b和第2差错寄存器125b非同时存在时，可删除整个图3和图4中的工序404a、407a、403b、404b、427、428。
反之，第1差错标记产生电路124a和第1差错寄存器125a非同时存在时，可删除图2的工序203a至工序212和图4中的工序413a至工序418，并且在工序404b的判断为“否”时转移到工序422。
再者，第2差错标记产生电路124b和第2差错寄存器125b非同时存在时，产生不能检测出不可纠错的差错的安全方面的问题，但其代替单元为第3异常判断单元。
作为第3异常判断单元采用和数校验方式时，MRAM120A的多个划分区的各区算出各地址存放的多个数据的总和值的补数值。预先存放在MRAM120A，在检查时间点如果包含所述补数值的多个数据的总和值为零，判断为正常。
作为第3异常判断单元433采用称为循环冗余检查的CRC校验(CyclicRedundancy Check)时，添加将检查区的全部数据作为高次多项式除以规定的生成多项式后得到的余数，检查时间点上除以同样的生成多项式后，余数为零，则判断为正常。
倘若具有第2差错寄存器125b和第3异常判断单元433两者，则能设置图13中在后面阐述的异常纠错写入单元1327。
而且，能将第1、第2当前值寄存器126a、126b如图5的实施例中说明的那样做成共用当前值寄存器126。
还可将计数器电路140A所示的异常发生存储单元改成图9所示的触发器电路140C。
可如图5所示那样使用监视定时器130产生的输出允许信号OUTE，以代替用于电源继电器103a自保持的供电保持指令输出DR1。
构成将第1、第2差错标记FL1、FL2连接到微处理器110A的常规输入端子，并实质上定期地监视其工作状态，但也能将各标记信号连接到微处理器110A的中断输入端子，按较高的频度监视各标记信号，并至少进行对第1、第2当前值寄存器126a、126b的加法运算或减法运算。
实施方式1和其它各实施方式中，可做成MRAM内的差错寄存器包含多级移位寄存器，并且每次发生新差错就使旧差错移动并最终溢出后消失的形态。
还可在微处理器读出差错寄存器内容的时间点，将该读出的差错数据传送并保存到MRAM其它地址区作为用于产生发生异常的履历信息有效使用。
实施方式1和其它各实施例中，使用能自由进行读写的数据存储区，存放第1差错或第2差错的类别或差错发生地址和差错发生次数累计值等发生异常的履历信息。
但是，外部工具操作维修作业中必须输入特定通行字才能使履历信息初始化，以免不小心丢失贵重的履历信息。
(4)实施方式1的要点和特征
本发明实施方式1的电子控制装置100A，具有从外部电源101供电并根据输入传感器群106、107的工作状况对电负载群105a、105b进行驱动控制的微处理器110A，从外部工具108对与该微处理器协同工作的非易失性程序存储器120A传送并写入含控制常数的控制程序。
所述微处理器110A根据作为能进行电读写的非易失性存储器的MRAM(Magnetic Random Access Memory：磁随机存取存储器)120A中存放的控制程序进行工作，并且将该MRAM划分成在从所述外部工具108传送并写入后以所述微处理器110A运转中未改变改写的输入输出控制程序为主体的程序存储区和所述微处理器110A运转中随时改变改写的数据存储区不同的地址区进行存放。所述MRAM120A还包含对来自所述微处理器110A的写入指令信号作出响应并对指定地址的存储单元121写入添加纠错码的保存数据用的带纠错码的写入电路122、对来自所述微处理器110A的读出指令信号作出响应并从指定地址的存储单元121将所述保存数据译码并读出的译码读出电路123、设置在所述数据存储区的差错寄存器125a、125b、以及成为设置在所述程序存储区的确认读出单元203b、303b、403b、413b和重复异常判断单元210b、320b、431、432的控制程序，并且构成将来自所述微处理器110A的写入指令信号通过写入禁止/解除单元150供给所述MRAM120A。
所述差错寄存器125a、125b是特定地址存储器，在所述存储单元121保存的数据有错码时，将发生差错的地址号当作差错数据加以存放，该保存差错数据是由所述微处理器110A加以复原或作转移疏散后首次产生的差错数据，或通过依次读出所述存储单元121的各地址的内容而在新地址有误码，则存放依次更新的差错数据。
所述确认读出单元203b、303b、403b、413b是对所述差错寄存器125a、125b存放的差错数据作出响应、且将所述差错数据复原或加以转移疏散后再次访问差错发生地址以再次读出并确认所述差错寄存器125a、125b的内容的单元。
所述重复异常判断单元210b、320b、431、432是在所述确认读出单元203b、303b、403b、413b读出的差错寄存器125a、125b的内容包含相同的差错数据时，判断为同一地址的存储器的内容连续异常的单元。
所述写入禁止/解除单元150对存放所述控制程序的所述MRAM120A的程序存储区禁止将所述微处理器110A的写入指令信号供给所述MRAM120A，并在处于连接外部工具108对所述MRAM120A写入控制程序的状态时，对所述微处理器110A解除所述写入禁止功能，在不连接外部工具108，打算进行所述控制程序的修复写入时，将所述写入禁止功能作为例外加以解除，而且对所述重复异常判断单元210b、320b、431、432判断为异常时或进行多次异常判断时作出响应，执行包含异常通知或异常发生信息保存中至少一方的异常处理。
所述MRAM120A还具有纠错写入单元208、418。所述差错寄存器是位于第1特定地址的第1差错寄存器125a，在指定地址的所述存储单元121的内容可译码范围的位数以内发生差错、且读出的保存数据是所述译码读出电路123译码并纠错后的数据时，将发生该差错的地址号作为第1差错数据加以存放。
所述确认读出单元是第1确认读出单元203b、413b，对所述第1差错寄存器125a存放的第1差错数据作出响应，在将该第1差错数据复原或加以转移疏散后，再次访问差错发生地址，再次读出并确认所述第1差错寄存器125a的内容。
所述纠错写入单元208、418是修复写入单元，对作为所述第1确认读出单元203b、413b的读出结果，仍然在第1差错寄存器125a存放第1差错数据作出响应，将通过所述译码读出电路123读出的差错发生地址的保存数据经所述带纠错码的写入电路122对所述MRAM120A的差错发生地址进行盖写并加以保存。
所述重复异常判断单元是第1重复异常判断单元210b、431，在所述第1确认读出单元203b、413b进行读出确认时或所述纠错写入单元208、418进行纠错写入后的读出确认中所述第1差错寄存器125a的内容再次包含相同的差错数据时，判断为同一地址的内容连续异常。所述写入禁止/解除单元150在所述纠错写入单元208、418的修复操作时，解除所述写入禁止功能。
因而，具有的特征为：能通过暂时解除写入功能，并使错误的保存数据恢复正常，抑制异常的波及和扩大。
所述MRAM120A除具有所述第1差错寄存器125a外，还具有第1差错标记产生电路124a。
所述第1差错标记产生电路124a是逻辑电路，该逻辑电路在指定地址的所述存储单元121的内容可译码范围的位数内发生差错、且读出的保存数据由所述译码读出电路123译码并纠错时，产生作为二值化逻辑信息的第1差错标记FL1。
将所述第1差错标记FL1连接到所述微处理器110A的中断输入端子，所述第1确认读出单元203b、413b和所述纠错写入单元208、418对发生该第1差错标记FL1作出响应并加以执行，进行所述第1重复异常判断单元210b、431的重复异常判断，并在规定时间后自动将该第1差错标记FL1复原、或由所述微处理器110A将其复原。
因而，具有的特征为：微处理器定期读出第1差错寄存器的内容，不必确认有没有发生异常，并可随着产生第1差错标记确认第1差错寄存器的内容后，进行纠错写入或异常处理，所以能不延迟地进行异常处理，并能减轻正常状态的微处理器的控制负担。
所述MRAM120A具有所述第1差错寄存器125a或第1差错标记产生电路124a中的至少一方，并具有包含响应第1差错的发生地进行工作的第1累计单元205a、212和第1零星发生异常检测单元206a的第1零星发生异常判断单元210a和异常发生存储单元140A。
所述第1差错标记产生电路124a是逻辑电路，该逻辑电路在指定地址的所述存储单元121的内容可译码范围的位数内发生差错、且读出的保存数据由所述译码读出电路123译码并纠错时，产生作为二值化逻辑信息的第1差错标记FL1。
所述第1差错是定期监视并检测出所述第1差错寄存器125a是否存放第1差错数据、或是否发生所述第1差错标记的涉及是否有差错的定期信息。
所述第1累计单元205a、212具有第1当前值寄存器126a，并对所述第1差错的发生作出响应，对该第1当前值寄存器126a加上或减去第2增量值Δ2，所述第1差错寄存器125a或第1差错标记FL1进行复原或转移疏散、并且如果不发生第1差错，就进行对第1当前值寄存器126a的加减校正，以便减去或加上第1增量值Δ1进行相互抵消，所述第1差错的非工作状态继续时，在规定的正常侧临界值，停止第1增量值Δ1的加减校正。
所述第1零星发生异常检测单元206a，在根据所述第1、第2增量值Δ1、Δ2的累计、所述第1当前值寄存器126a的值为所述规定异常侧临界值范畴外时，产生第1异常检测信号ER1，将所述第2增量值Δ2设定成大于所述第1增量值Δ1而且小于作为所述异常侧临界值与所述正常侧临界值之差的容许临界值。
所述异常发生存储单元140A对所述第1重复异常判断单元210b、431进行异常判断和所述第1零星发生异常判断单元210a进行异常判断作出响应，执行包含异常通知或异常发生信息保存中的至少一方的异常处理。
因而，具有的特征为：能在MRAM的各地址上零星发生误码时，不感应瞬时噪声误动，而一连续发生异常就迅速检测出零星发生异常，进行异常处理。
所述第1累计单元205b在所述第1确认读出单元203b进行确认读出时、或所述纠错写入单元208进行纠错写入后的读出确认中，发生再次发生所述第1差错的重复异常时，对所述第1当前值寄存器126a加上或减去作为大于等于所述第2增量值Δ2的值的第3增量值Δ3。
因而，具有的特征为：能通过监视第1累计单元的当前值，一元化地判断零星发生异常和重复异常。
所述差错寄存器是位于第2地址的第2差错寄存器125b，该第2差错寄存器125b在指定地址的所述存储单元121的内容发生超过可译码范围的差错、且读出的保存数据是不能保证与最初保存的数据一致的数据时，将发生该差错的地址号作为第2差错数据加以存放。
所述确认读出单元是第2确认读出单元303b、403b，对所述第2差错寄存器125b存放的第2差错数据作出响应，在将该第2差错数据复原或加以转移疏散后，再次访问差错发生地址，读出并确认所述第2差错寄存器125b的内容。
所述重复异常判断单元是第2重复异常判断单元320b、432，该第2重复异常判断单元在所述第2确认读出单元303b、403b进行读出确认时，所述第2差错寄存器125b的内容包含相同的差错数据的情况下，判断为同一地址的内容连续异常。
因而，具有的特征为：读出数据发生误码时，利用再确认读出确认是否没有瞬时噪声误动，并且作为确认结果，能进行正常读出，则无事地继续进行控制；如果再确认异常，则迅速执行异常处理。
所述MRAM120A除具有所述第2差错寄存器125b外，还具有第2差错标记产生电路124b。
所述第2差错标记产生电路124b是逻辑电路，该逻辑电路在指定地址的所述存储单元121的内容发生超过可译码范围的位数的差错、且读出的保存数据是不能保证与最初保存的数据一致的数据时，产生作为二值化逻辑信息的第2差错标记FL2。
将所述第2差错标记FL2连接到所述微处理器110A的中断输入端子，所述第2确认读出单元303b、403b对发生该第2差错标记FL2作出响应并加以执行，进行所述第2重复异常判断单元320b、432的重复异常判断，并在规定时间后自动将该第2差错标记FL2复原、或由所述微处理器110A将其复原。
因而，具有的特征为：微处理器定期读出第2差错寄存器的内容，不必确认有没有发生异常，并可随着产生第2差错标记确认第2差错寄存器的内容后，进行纠错写入或异常处理，所以能不延迟地进行异常处理，并能减轻正常状态的微处理器的控制负担。
所述MRAM120A具有所述第2差错寄存器125b或第2差错标记产生电路124b中的至少一方，并具有包含响应第2差错的发生地进行工作的第2累计单元305a、312和第2零星发生异常检测单元306a的第2零星发生异常判断单元320a和异常发生存储单元140A。
所述第2差错标记产生电路124b是逻辑电路，该逻辑电路在指定地址的所述存储单元121的内容发生超过可译码范围的位数的差错、且读出的保存数据是不能保证与最初保存的数据一致的数据时，产生作为二值化逻辑信息的第2差错标记FL2。
所述第2差错是定期监视并检测出所述第2差错寄存器125b是否存放第2差错数据、或是否发生所述第2差错标记的涉及是否有差错的定期信息。
所述第2累计单元305a、312具有第2当前值寄存器126b，并对所述第2差错的发生作出响应，对该第2当前值寄存器126b加上或减去第5增量值Δ5，将所述第2差错寄存器125b或第2差错标记FL2复原、并且如果不发生第2差错就进行对第2当前值寄存器126b的加减校正，以便减去或加上第4增量值Δ4进行相互抵消，所述第2差错的非工作状态继续时，在规定的正常侧临界值，停止第4增量值Δ4的加减校正。
所述第2零星发生异常检测单元306a在根据所述第4、第5增量值Δ4、Δ5的累计、所述第2当前值寄存器126b的值为所述规定异常侧临界值范畴外时，产生第2异常检测信号，将所述第5增量值Δ5设定成大于所述第4增量值Δ4而且小于作为所述异常侧临界值与所述正常侧临界值之差的容许临界值。
所述异常发生存储单元140A，对所述第2重复异常判断单元320b、432进行异常判断和所述第2零星发生异常判断单元306a进行异常判断作出响应，执行包含异常通知或异常发生信息保存中的至少一方的异常处理。
因而，具有的特征为：能在MRAM的各地址上零星发生误码时，不感应瞬时噪声误动，而一连续发生异常就迅速检测出零星发生异常，进行异常处理。
所述第2累计单元305b在所述第2确认读出单元303b进行确认读出时，发生再次发生所述第1差错的重复异常时，对所述第2当前值寄存器126b加上或减去作为大于等于所述第5增量值Δ5的值的第6增量值Δ6。
因而，具有的特征为：能通过监视第2累计单元的当前值，一元化地判断零星发生异常和重复异常。
所述MRAM120A还包含成为第3异常判断单元433的控制程序，并具有异常发生存储单元140A。
所述第3异常判断单元433依次读出所述MRAM120A的规定期间区域的保存数据，利用涉及整个读出区间的数据的和数校验、或CRC校验判断是否有误码。
所述异常发生存储单元140A对所述重复异常判断单元210b、320b、431、432进行异常判断和所述第3异常判断单元433进行异常判断作出响应，至少进行异常通知。
再者，MRAM中内置的误码检测纠错功能是能仅对为当前时刻的控制动作而受到访问的地址进行异常判断的功能，并非对与当前控制无关的地址进行检查。
与此相反，第3异常检查单元能检查MRAM的特定地址区间的全部数据，一面使此特定区间依次改变、一面检查MRAM的全部数据，与当前的控制动作无关。因而，具有进一步提高控制的安全性的特征。
所述MRAM120A还包含成为选择运转启动检查单元或定期检查单元或停止前检查单元中的1个单元的检查时期判断单元401的控制程序。所述运转启动检查单元是特定检查单元，在接通电源开关102后，对所述MRAM120A保存的特定区域的主要数据利用所述重复异常判断单元431、432或所述第3异常判断单元433检查是否有误码。
所述定期检查单元是划分更新检查单元，在电源开关102连续接通的状态下，将所述MRAM120A保存的全部数据分成多个，对各划分数据利用所述重复异常判断单元431、432或所述第3异常判断单元433依次检查是否有误码。
所述停止前检查单元是成批检查单元，在切断电源开关102后的延迟恢复开关元件103b闭路期间，对所述MRAM120A保存的全部数据利用所述重复异常判断单元431、432和所述第3异常判断单元433检查是否有误码。因而，具有能根据检查时期进行特定检查、划分更新检查、成批检查从而减轻微处理器的负担的特征。
所述微处理器110A对检测出车载发动机的运转状态的车载传感器群106、107的动作状态作出响应，至少对吸气量控制单元或燃料喷射控制单元进行控制。所述MRAM120A还包含成为常规运转单元的控制程序和成为疏散运转单元的控制程序，并具有异常发生存储单元140A。所述疏散运转单元是执行利用所述吸气量控制单元的吸气量抑制或所述燃料喷射控制单元的供燃量抑制对发动机转速进行抑制的运转控制的单元。
所述异常发生存储单元140A至少对所述重复异常判断单元210b、320b、431、432进行异常判断作出响应，进行异常通知，并将所述常规运转单元的常规运转模式选择并切换到所述疏散运转单元的疏散运转模式。
因而，具有的特征为：即使MRAM发生异常，不能进行高度运转控制，也能进行所限定功能的疏散运转，从而能维持车辆运行的安全性。
所述MRAM120A还包含成为纠错传送单元427的控制程序，并且所述微处理器110A具有存放成为疏散运转单元的控制程序的非易失性后备存储器161A。
所述纠错传送单元427是修复写入单元，对所述重复异常判断单元432作异常判断作出响应，将所述后备存储器存放的疏散运转程序通过所述带纠错码的写入电路122对所述MARM120A的差错发生地址进行盖写并加以保存。
所述写入禁止/解除单元150在所述纠错传送单元427作修复操作时，解除所述写入禁止功能。
因而，具有的特征为：能在MRAM的特定区域存放的疏散运转控制程序发生异常时，将后备存储器的内容传送并写入到所述MRAM，进行疏散运转。
所述微处理器110A同时使用监视定时器130和异常发生存储单元140A。
该监视定时器130是随着所述微处理器110A产生的监视清零信号WD1的脉冲宽度超过规定值而产生复位脉冲信号RS1并对该微处理器110A进行初始化，重新启动的定时器电路。
所述异常发生存储单元140A对所述重复异常判断单元210b、320b、431、432判断发生异常带来的异常检测信号ER1、ER2和所述监视定时器130的复位脉冲信号RS1的发生作出响应，随着产生1次脉冲信号或多次脉冲信号，至少进行异常通知，而且是由从所述常规运转单元的常规运转模式选择并切换到所述疏散运转单元的疏散运转模式用的由触发器电路或计数器电路构成的逻辑电路，该逻辑电路中添加驱动停止单元142和存储解除单元112A。
所述驱动停止单元142是在确定发生异常且加以存储时起作用，并禁止驱动所述电负载中的一部分特定电负载的门电路。
所述存储解除单元112A是利用对电源开关102重新接通等人为操作作出响应的复位脉冲信号，使所述异常发生存储单元140A的异常存储信号复原的单元。
因而，具有的特征为：能在发生异常的原因是噪声误动造成的瞬时误动的情况下，利用重新接通电源开关恢复正常。
实施方式2
(1)组成详细说明
下面，以与图1的不同处为中心，说明示出本发明实施例装置2的电路框图的图5。各图中相同的标号表示相同或相当的部分。
图5中，在电子控制装置100B的外部，设置外部电源101、电源继电器和负载继电器，并从后面阐述的微处理器110B连接通过第1输出接口电路115a进行供电驱动的第1电负载群105a、通过第2输出接口电路115b进行供电驱动的第2电负载群105b、通过输入接口电路116输入的开关传感器群106、通过模拟输入接口电路117输入的模拟传感器群107、通过串行接口电路118连接的外部工具108、以及作为异常发生存储单元的从计数器电路140B的比较输出端子OUT驱动的告警显示器109。
作为电子控制装置100B的内部组成，微处理器110B用总线与作为非易失性存储器的MRAM120B连接、且串联协同工作的辅助CPU160。该CPU160具有基于掩模ROM等的辅助程序存储器161B。
微处理器110B利用从电源继电器输出接点103b供电的控制电源单元111产生的稳定电压进行工作，利用后面阐述的输出允许信号OUTE，通过驱动电路元件113B对电源继电器的励磁线圈103a持续激励。
复位脉冲产生电路112B在接通电源开关102的时间点产生复位脉冲信号，通过后面阐述的逻辑和元件131将微处理器110B初始化，或将作为后面阐述的异常发生存储单元的计数器电路140B初始化。
将MRAM120B划分成在从外部工具108传送并写入后以所述微处理器110B运转中未改变改写的输入输出控制程序为主体的程序存储区和微处理器110B运转中随时改变改写的数据存储区不同的地址区进行存放。
MRAM120B还包含对来自微处理器110B的写入指令信号作出响应并对指定地址的存储单元121写入添加纠错码的保存数据用的带纠错码的写入电路122、对来自微处理器110B的读出指令信号作出响应并从指定地址的存储单元121将保存数据译码并读出的译码读出电路123、第1、第2差错标记产生电路124a和124b、设置在所述数据存储区的第1、第2差错寄存器125a和125b、以及成为设置在所述程序存储区的后面阐述的确认读出单元和重复异常判断单元的控制程序，并且构成将来自微处理器110B的写入指令信号通过写入禁止/解除单元150，供给所述MRAM120B。
再者，有第1差错标记产生电路124a方便，但即使没有该电路，通过确认第1差错寄存器125a的内容也能知道是否发生第1差错。
同样，有第2差错标记产生电路124b方便，但即使没有该电路，通过确认第2差错寄存器125b的内容也能知道是否发生第2差错。
然而，实施方式2中，设置第1差错标记产生电路124a或第1差错寄存器125a中的至少一方、第2差错标记产生电路124b或第2差错寄存器125b中的至少一方、以及第1差错寄存器125a或第2差错寄存器125b中的至少一方，并且共用当前值寄存器126将实施方式1中的第1、第2当前值寄存器126a、126b集中为1个当前值寄存器。
监视定时器130监视微处理器110A产生的作为脉冲串信号的监视清零信号WD1，并且监视清零信号WD1的脉冲宽度超过阈值时产生复位脉冲信号RS1，通过逻辑和元件131供给微处理器110A的复位输入端子RST1，对微处理器110A进行初始化、重新启动。
还将复位脉冲信号RS1通过逻辑和元件141A供给作为后面阐述的异常发生存储单元的计数器电路140A的计数输入端UP。
监视定时器130在监视清零信号WD1的脉冲宽度正常时，产生输出允许信号OUTE，可产生第1、第2输出接口电路115a、115b的输出，并通过驱动电路元件113B对电源继电器的励磁线圈103b进行自保持驱动。
成为异常发生存储单元的计数器电路140B对逻辑和元件141B的逻辑和输出信号的产生次数进行计数，在逻辑和元件141B的输入端子连接微处理器110B产生的第1、第2异常检测信号ER1、ER2和后面阐述的置位脉冲信号RS2、监视定时器130产生的复位脉冲信号RS1、以及辅助CPU160产生的异常检测信号ERS。
将成为驱动停止单元的门电路142连接在微处理器110B产生的负载供电指令输出DR2与翻转驱动电路元件141之间，负载供电指令输出DR2为逻辑电平“H”时，激励负载电源继电器的励磁线圈104a，计数器电路140B的比较输出端子OUT的逻辑电平为“H”时，使励磁线圈104a去激励。
这种异常确定状态下，将模式切换指令信号LPH供给微处理器110B。
辅助CPU160与成为主CPU的微处理器110B串联，监视微处理器110B的工作状态，在发生异常时产生异常检测信号。
关于作为输入传感器群的的部分开关传感器106和部分模拟传感器107，则输入到辅助CPU160侧后，从辅助CPU160对微处理器110B串行发送。
微处理器110B监视辅助CPU160产生的脉冲串(即监视清零信号WD2)的脉冲宽度，该脉冲宽度超过阈值时，产生复位脉冲信号RS2，对辅助CPU160进行初始化、重新启动。
在存放辅助CPU160的控制程序的辅助程序存储器161B设置后备存储区，在该后备存储区存放微处理器110B用的疏散运转程序，并且作为存储单元121中重要的控制程序的疏散运转程序发生异常时，将后备存储区的内容传送到存储单元121。
(2)作用动作详细说明
按图5那样构成的本发明实施例装置2中，将电源开关102闭路时，电源继电器的输出接点103b闭路，控制电源单元111受到外部电源101供电，产生稳定的控制电源电压Vcc，由复位脉冲产生电路112B产生的复位脉冲信号将微处理器110B和计数器电路140B初始化后，微处理器110B开始动作，使微处理器110B产生监视清零信号WD1。
对MRAM120B存放控制程序前的首次供电时，根据MRAM120B中预先存放的引导程序，从外部工具108通过串行接口电路118将控制程序传送到MRAM120B。
由外部工具108写入控制程序时，工具连接信号TOOL和最高端地址信号A15的逻辑电平均为“H”，因而将微处理器110B的写入指令信号WR作为写入指令输入WRM原样供给MRAM120B。
另一方面，对MRAM120B存放控制程序后将电源开关102闭路时，进行微处理器110B和计数器电路140B的初始化后，微处理器110B开始动作，产生监视清零信号WD1，同时还产生负载供电指令输出DR2，激励负载电源继电器的励磁线圈104a。
此状态下，工具连接信号TOOL为逻辑电平“L”，因而对最高端地址信号A15的逻辑电平均为“H”的程序存储区，即使写入指令信号WR的逻辑电平为“H”，也不将写入指令信号WR供给MRAM120B。
但是，对高端地址信号A15的逻辑电平均为“L”的数据存储区，写入指令信号WR有效。后面阐述的改写纠错指令信号WRC与存储区无关，总是有效。
微处理器110B对从模拟传感器群107得到的模拟信号的电压电平、从开关传感器群106得到的通断信号的动作状态、辅助CPU160发送的部分输入信号、以及存放在MRAM120B的存储单元121的输入输出控制程序作出响应，进行驱动第1、第2电负载群105a、105b的控制。
微处理器110B运转中因噪声误动而第1、第2异常检测信号ER1、ER2产生异常检测脉冲信号，或产生对辅助CPU的复位脉冲信号RS2，或监视定时器130产生复位脉冲信号RS 1时，通过逻辑和元件141B对计数器电路140B的计数输入端子UP供给计数输入信号，使计数器电路140B对异常发生次数进行计数，在该次数超过规定值时，计数结束，使比较输出端子OUT的逻辑电平为“H”。
其结果，告警显示器109启动，并由门电路142切断负载供电指令输出DR2，使负载电源继电器的励磁线圈104a去激励，而且对微处理器110B供给模式切换指令信号LPH。
其结果，微处理器110B转移到抑制发动机转速的疏散运转模式。
微处理器110B运转中电源开关102开路时，由输出允许信号OUTE和驱动电路元件113B对励磁线圈103a、104a持续激励，并且微处理器110B执行学习存储信息等的确认保存后，自行停止监视清零信号WD1，因而使励磁线圈103a去激励。
重新接通电源开关102时，微处理器110B和计数器电路140B由复位脉冲产生电路112B加以初始化，所以计数器电路140B的计数结束为噪声误动的计数时，恢复正常状态。
但是，因MRAM120B或其它硬件异常而产生第1、第2异常检测信号ER1、ER2或复位脉冲信号RS2或监视定时器130的复位脉冲信号RS1或辅助CPU160的异常检测信号ERS时，计数器电路140B又对这些异常信号计数，并迅速进行异常通知、负载电源继电器停止等。
接着，以与图2、图3、图4的不同处为中心，说明用于说明图5的装置的第1异常判断所涉及的动作的流程图(图6)、用于说明其第2异常判断所涉及的动作的流程图(图7)、以及用于说明其检查动作所涉及的动作的流程图(图8)。图6、图7、图8的动作除下文阐述的特定工序外，与图2、图3、图4的动作相同的工序仅将标号的200号段、300号段和400号段分别改为6号段、700号段和800号段。
图6的工序605a、605b、612和图7的工序705a、705b、712是共用累计单元，在该共用累计单元605a、605b、612、705a、705b、712进行对共用当前值寄存器126的加减校正。
因而，图6的工序606a、606b和图7的工序706a、706b中，判断共用当前值寄存器126的当前值是否超过规定阈值；图6的工序609和图7的工序709a、709b中，对共用当前值寄存器126传送初始值。
第1异常检测信号ER1和第2异常检测信号ER2不必特别加以区别，但为了方便，分别表示。
图8的工序827相当于纠错传送单元，该纠错传送单元827是修复写入单元，对重复异常判断单元832进行异常判断作出响应，将存放在辅助程序存储器161B的后备存储区的疏散运转程序通过带纠错码的写入电路122盖写并保存在MRAM120B的差错发生地址。再者，具有辅助CPU160的实施方式2中，可如实施方式1那样分成第1、第2累计单元。作为异常发生存储单元的计数器电路140B可做成图9所示那样的触发器电路140C。
(3)其它实施方式说明
按图1、图5那样构成的本发明实施例装置1、2中，差错发生状态的累计单元根据与是否有差错发生无关的定期信息进行当前值寄存器的加法运算或减法运算，但也可简略地作由微处理器计数的加法计数器或减法计数器。
例如，可随着发生差错使当前值寄存器作加法运算，并且计数的当前值一超过规定的设定阈值就产生异常检测输出，利用对MRAM的读出指令信号的分频信号或规定周期的时钟信号将当前值初始化为零。
也可随着发生差错使当前值寄存器作减法运算，并且计数的当前值一达到零就产生异常检测输出，利用对MRAM的读出指令信号的分频信号或规定周期的时钟信号将当前值置零。
实施方式1、2的情况下，在MRAM产生的差错标记被微处理器读出的时间点，被微处理器复原，但也可在规定时间后自动将其复原。
实施方式1、2中，可将第1、第2差错标记FL1、FL2连接到微处理器的中断输入端子，并对发生差错标记作出响应，进行第1、第2累计单元的累计相加(或相减)，或进行初始化。
实施方式1、2的情况下，也可根据第3异常判断对是否有误码作判断的结果，对差错发生累计单元进行加法或减法处理。因而，能通过第3异常判断单元作异常判断，立即通知异常，并利用再确认通知异常，避免导致混乱。
(4)实施方式2的要点和特征
本发明实施方式2的电子控制装置100B，具有从外部电源101供电并根据输入传感器群106、107的工作状况对电负载群105a、105b进行驱动控制的微处理器110B，从外部工具108对与该微处理器协同工作的非易失性程序存储器传送并写入含控制常数的控制程序。
所述微处理器110B根据作为能进行电读写的非易失性存储器的MRAM(Magnetic Random Access Memory：磁随机存取存储器)120B中存放的控制程序进行工作、并且将该MRAM划分成在从所述外部工具108传送并写入后，以所述微处理器110B运转中未改变改写的输入输出控制程序为主体的程序存储区和所述微处理器110B运转中随时改变改写的数据存储区不同的地址区进行存放。所述MRAM120B还包含对来自所述微处理器110B的写入指令信号作出响应并对指定地址的存储单元121写入添加纠错码的保存数据用的带纠错码的写入电路122、对来自所述微处理器110B的读出指令信号作出响应并从指定地址的存储单元121将所述保存数据译码并读出的译码读出电路123、设置在所述数据存储区的差错寄存器125a、125b、以及成为设置在所述程序存储区的确认读出单元603b、703b、803b、813b和重复异常判断单元610b、720b、831、832的控制程序，并且构成将来自所述微处理器110B的写入指令信号通过写入禁止/解除单元150供给所述MRAM120B。
所述差错寄存器125a、125b是特定地址存储器，在所述存储单元121保存的数据有错码时，将发生差错的地址号当作差错数据加以存放，该保存差错数据是由所述微处理器110B加以复原或作转移疏散后首次产生的差错数据，或通过依次读出所述存储单元121的各地址的内容而在新地址有误码则存放依次更新的差错数据。
所述确认读出单元603b、703b、803b、813b是对所述差错寄存器125a、125b存放的差错数据作出响应、且将所述差错数据复原或加以转移疏散后再次访问差错发生地址以再次读出并确认所述差错寄存器125a、125b的内容的单元。
所述重复异常判断单元610b、720b、831、832是在所述确认读出单元603b、703b、803b、813b读出的差错寄存器125a、125b的内容包含相同的差错数据时判断为同一地址的存储器的内容连续异常的单元。
所述写入禁止/解除单元150对存放所述控制程序的所述MRAM120B的程序存储区禁止将所述微处理器110B的写入指令信号供给所述MRAM120B，并在处于连接外部工具108对所述MRAM120B写入控制程序的状态时，对所述微处理器110B解除所述写入禁止功能，在不连接外部工具108，打算进行所述控制程序的修复写入时，将所述写入禁止功能作为例外加以解除。
而且，对所述重复异常判断单元610b、720b、831、832判断为异常时或进行多次异常判断时作出响应，执行包含异常通知或异常发生信息保存中至少一方的异常处理。
所述MRAM120B还具有纠错写入单元608、818。所述差错寄存器是位于第1特定地址的第1差错寄存器125a，该第1差错寄存器125a在指定地址的所述存储单元121的内容可译码范围的位数以内发生差错、且读出的保存数据是所述译码读出电路123译码并纠错后的数据时，将发生该差错的地址号作为第1差错数据加以存放。
所述确认读出单元是第1确认读出单元603b、813b，该第1确认读出单元603b、813b对所述第1差错寄存器125a存放的第1差错数据作出响应，在将该第1差错数据复原或加以转移疏散后，再次访问差错发生地址，再次读出并确认所述第1差错寄存器125a的内容。
所述纠错写入单元608、818是修复写入单元，该修复写入单元对作为所述第1确认读出单元603b、813b的读出结果仍然在第1差错寄存器125a存放第1差错数据作出响应，将通过所述译码读出电路123读出的差错发生地址的保存数据经所述带纠错码的写入电路122对所述MRAM120B的差错发生地址进行盖写并加以保存。
所述重复异常判断单元是第1重复异常判断单元610b、831，该第1重复异常判断单元610b、831在所述第1确认读出单元603b、813b进行读出确认时或所述纠错写入单元608、818进行纠错写入后的读出确认中所述第1差错寄存器125a的内容再次包含相同的差错数据时，判断为同一地址的内容连续异常。
所述写入禁止/解除单元150在所述纠错写入单元608、818的修复操作时，解除所述写入禁止功能。
所述MRAM120B除具有所述第1差错寄存器125a外，还具有第1差错标记产生电路124a。
所述第1差错标记产生电路124a是逻辑电路，该逻辑电路在指定地址的所述存储单元121的内容可译码范围的位数内发生差错、且读出的保存数据由所述译码读出电路123译码并纠错时，产生作为二值化逻辑信息的第1差错标记FL1。
将所述第1差错标记FL1连接到所述微处理器110B的中断输入端子，所述第1确认读出单元603b、813b和所述纠错写入单元608、818对发生该第1差错标记FL1作出响应并加以执行，进行所述第1重复异常判断单元610b、831的重复异常判断，并在规定时间后自动将该第1差错标记FL1复原、或由所述微处理器110B将其复原。
所述差错寄存器是位于第2特定地址的第2差错寄存器125b，该第2差错寄存器125b在指定地址的所述存储单元121的内容发生超过可译码范围的差错、且读出的保存数据是不能保证与最初保存的数据一致的数据时，将发生该差错的地址号作为第2差错数据加以存放。
所述确认读出单元是第2确认读出单元703b、803b，该第2确认读出单元703b、803b对所述第2差错寄存器125b存放的第2差错数据作出响应，在将该第2差错数据复原或加以转移疏散后，再次访问差错发生地址，读出并确认所述第2差错寄存器125b的内容。
所述重复异常判断单元是第2重复异常判断单元720b、832，该第2重复异常判断单元720b、832在所述第2确认读出单元703b、803b进行读出确认时，所述第2差错寄存器125b的内容包含相同的差错数据的情况下，判断为同一地址的内容连续异常。
所述MRAM120B除具有所述第2差错寄存器125b外，还具有第2差错标记产生电路124b。
所述第2差错标记产生电路124b是逻辑电路，该逻辑电路在指定地址的所述存储单元121的内容发生超过可译码范围的位数的差错、且读出的保存数据是不能保证与最初保存的数据一致的数据时，产生作为二值化逻辑信息的第2差错标记FL2。
将所述第2差错标记FL2连接到所述微处理器110B的中断输入端子，所述第2确认读出单元703b、803b对发生该第2差错标记FL2作出响应并加以执行，进行所述第2重复异常判断单元720b、832的重复异常判断，并在规定时间后自动将该第2差错标记FL2复原、或由所述微处理器110B将其复原。
所述MRAM120B具有所述第1差错寄存器125a或第1差错标记产生单元124a的至少一方和所述第2差错寄存器125b或第2差错标记产生电路124b中的至少一方，并具有包含响应第1差错、第2差错的发生地进行工作的第1、第2零星发生异常判断单元610a、720a和异常发生存储单元140B。
所述差错寄存器是位于第1特定地址的第1差错寄存器125a，该第1差错寄存器125a在指定地址的所述存储单元121的内容发生超过可译码范围的差错、且读出的保存数据是不能保证与最初保存的数据一致的数据时，将发生该差错的地址号作为第1差错数据加以存放。所述第1差错标记产生电路124a是逻辑电路，该逻辑电路在指定地址的所述存储单元121的内容可译码范围的位数内发生差错、且读出的保存数据由所述译码读出电路123译码并纠错时，产生作为二值化逻辑信息的第1差错标记FL1。
所述第1差错是定期监视并检测出所述第1差错寄存器125a是否存放第1差错数据、或是否发生所述第1差错标记的涉及是否有差错的定期信息。
所述第2差错寄存器125b是位于第2特定地址的寄存器，该第2特定地址的寄存器在指定地址的所述存储单元121的内容发生超过可译码范围的差错、且读出的保存数据是不能保证与最初保存的数据一致的数据时，将发生该差错的地址号作为第2差错数据加以存放。
所述第2差错标记产生电路124b是逻辑电路，该逻辑电路在指定地址的所述存储单元121的内容发生超过可译码范围的位数的差错、且读出的保存数据是不能保证与最初保存的数据一致的数据时，产生作为二值化逻辑信息的第2差错标记FL2。
所述第2差错是定期监视并检测出所述第2差错寄存器125b是否存放第2差错数据、或是否发生所述第2差错标记的涉及是否有差错的定期信息。
所述第1、第2零星发生异常判断单元610a、720a是在所述第1差错和第2差错的发生频度超过规定的阈值时产生第1、第2异常检测信号ER1、ER2的单元。
所述异常发生存储单元140B是对所述重复异常判断单元610a、720a进行异常判断作出响应并至少进行异常通知的单元。
因而，具有能一起监视混合发生的差错从而提高控制的安全性的特征。
所述第1、第2零星发生异常判断单元610a、720a包含共用累计单元605a、612、705a、712和第1、第2零星发生异常检测单元606a、706a。
所述共用累计单元605a、612、705a、712具有共用当前值寄存器126，如果发生所述第1差错，就对该共用当前值寄存器126加上或减去第2增量值Δ2，将所述第1差错寄存器125a或所述差错标记FL1复原或转移疏散、并且如果不发生第1差错，则进行对共用当前值寄存器126的加减校正，以便减去或加上第1增量值Δ1进行相互抵消；如果发生所述第2差错就对该共用当前值寄存器126加上或减去第5增量值Δ5，将所述第2差错寄存器125b或所述第2差错标记FL复原或转移疏散，并且如果不发生第2差错，则进行对共用当前值寄存器126的加减校正，以便减去或加上第4增量值Δ4进行相互抵消；所述第1或第2差错的非工作状态继续时，在规定的正常侧临界值，停止所述第1或第4增量值Δ1、Δ4的加减校正。
所述第1、第2零星发生异常检测单元610a、720a根据所述第1、第2、第4、第5增量值的累计，在所述共用当前值寄存器126的值为规定异常侧临界值的范畴外时，产生第1或第2异常检测信号ER1、ER2。所述第2增量值Δ2大于第1增量值Δ1，所述第5增量值Δ5大于第4增量值Δ4，而且将第2增量值Δ2和第5增量值Δ5设定成作为小于所述异常侧临界值与正常侧临界值之差的容许累计值的值。
因而，具有的特征为：能改变第1差错和第2差错的加权后，进行综合计算并单一地检测出零星发生的异常。
所述MRAM120B还包含成为第3异常判断单元833的控制程序，并具有异常发生存储单元140B。
所述第3异常判断单元833依次读出所述MRAM120B的规定期间区域的保存数据，利用涉及整个读出区间的数据的和数校验、或CRC校验判断是否有误码。
所述异常发生存储单元140B对所述重复异常判断单元610b、720b、831、832进行异常判断和所述第3异常判断单元833进行异常判断作出响应，至少进行异常通知。
所述MRAM120B还包含成为选择运转启动检查单元或定期检查单元或停止前检查单元中的1个单元的检查时期判断单元801的控制程序。所述运转启动检查单元是特定检查单元，在接通电源开关102后，对所述MRAM120B保存的特定区域的主要数据利用所述重复异常判断单元831、832或所述第3异常判断单元833检查是否有误码。
所述定期检查单元是划分更新检查单元，该划分更新检查单元在电源开关102连续接通的状态下，将所述MRAM120B保存的全部数据分成多个，对各划分数据利用所述重复异常判断单元831、832或所述第3异常判断单元833依次检查是否有误码。
所述停止前检查单元是成批检查单元，该成批检查单元在切断电源开关102后的延迟恢复开关元件103b闭路期间，对所述MRAM120B保存的全部数据利用所述重复异常判断单元831、832或所述第3异常判断单元833检查是否有误码。
所述微处理器120B对检测出车载发动机的运转状态的车载传感器群106、107的动作状态作出响应，至少对吸气量控制单元或燃料喷射控制单元进行控制。
所述MRAM120B还包含成为常规运转单元的控制程序和成为疏散运转单元的控制程序，并具有异常发生存储单元140B。所述疏散运转单元是执行利用所述吸气量控制单元的吸气量抑制或所述燃料喷射控制单元的供燃量抑制对发动机转速进行抑制的运转控制的单元。
所述异常发生存储单元140B至少对所述重复异常判断单元610b、720b、831、832进行异常判断作出响应，进行异常通知，并将所述常规运转单元的常规运转模式选择并切换到所述疏散运转单元的疏散运转模式。
所述MRAM120B还包含成为纠错传送单元827的控制程序，并且所述微处理器110B具有存放成为疏散运转单元的控制程序的非易失性后备存储器161B。
所述纠错传送单元827是修复写入单元，该修复写入单元对所述重复异常判断单元832作异常判断作出响应，将所述后备存储器161B存放的疏散运转程序通过所述带纠错码的写入电路122对所述MARM120B的差错发生地址进行盖写并加以保存。
所述写入禁止/解除单元150在所述纠错传送单元827作修复操作时，解除所述写入禁止功能。
将所述微处理器120B与辅助CPU160串联。该辅助CPU160是与非易失性辅助程序存储器161协同工作并与所述微处理器120B之间进行监控信号联络的后备存储器。
所述辅助程序存储器161包含存放成为所述疏散运转单元的控制程序的非易失性后备存储器。
因而，具有的特征为：能用辅助程序存储器的部分区域保存疏散运转用的控制程序，不需要额外的后备存储器。
所述微处理器110B同时使用监视定时器130和异常发生存储单元140B。
该监视定时器130是随着所述微处理器110B产生的监视清零信号WD1的脉冲宽度超过规定值而产生复位脉冲信号RS1，并对该微处理器110B进行初始化、重新启动的定时器电路。
所述异常发生存储单元140B对所述重复异常判断单元610b、720b、831、832判断发生异常带来的异常检测信号ER1、ER2和所述监视定时器130的复位脉冲信号RS1的发生作出响应，随着产生1次脉冲信号或多次脉冲信号，至少进行异常通知，而且是由从所述常规运转单元的常规运转模式选择并切换到所述疏散运转单元的疏散运转模式用的由触发器电路或计数器电路构成的逻辑电路，该逻辑电路中添加驱动停止单元142和存储解除单元112B。
所述驱动停止单元142是在确定发生异常且加以存储时起作用，并禁止驱动所述电负载中的一部分特定电负载的门电路。
所述存储解除单元112B是利用对电源开关102重新接通等人为操作作出响应的复位脉冲信号，使所述异常发生存储单元140B的异常存储信号复原的单元。
实施方式3
(1)组成详细说明
下面，以与图1的不同处为中心，说明示出本发明实施例装置3的电路框图的图9。各图中相同的标号表示相同的部分。
图5中，在电子控制装置100C的外部，设置外部电源101、电源继电器和负载继电器，并从后面阐述的微处理器110C连接通过第1输出接口电路115a进行供电驱动的第1电负载群105a、通过第2输出接口电路115b进行供电驱动的第2电负载群105b、通过输入接口电路116输入的开关传感器群106、通过模拟输入接口电路117输入的模拟传感器群107、通过串行接口电路118连接的外部工具108、以及作为异常发生存储单元的从触发器电路140C的置位输出端子驱动的告警显示器109。
作为电子控制装置100C的内部组成，微处理器110C用总线与作为非易失性存储器的MRAM120C连接。
微处理器110C利用从电源继电器输出接点103b供电的控制电源单元111产生的稳定电压进行工作，利用供电保持指令输出DR1，通过驱动电路元件113A对电源继电器的励磁线圈103a持续激励。复位脉冲产生电路112C在接通电源开关102的时间点产生复位脉冲信号，通过后面阐述的逻辑和元件131将微处理器110C初始化，或将作为后面阐述的异常发生存储单元的触发器电路140C复位。
将MRAM120C划分成在从外部工具108传送并写入后以所述微处理器110B运转中未改变改写的输入输出控制程序为主体的程序存储区和微处理器110B运转中随时改变改写的数据存储区不同的地址区进行存放。
MRAM120C还包含对来自微处理器110C的写入指令信号作出响应并对指定地址的存储单元121写入添加纠错码的保存数据用的带纠错码的写入电路122、对来自微处理器110C的读出指令信号作出响应并从指定地址的存储单元121将保存数据译码并读出的译码读出电路123、第1、第2差错标记产生电路124aa和124bb、设置在所述数据存储区的第1、第2差错寄存器125aa和125bb、以及成为设置在所述程序存储区的后面阐述的确认读出单元和重复异常判断单元的控制程序，并且构成将来自微处理器110C的写入指令信号通过写入禁止/解除单元1410供给所述MRAM120C。
第1差错标记产生电路124aa是逻辑电路，该逻辑电路在指定地址的所述存储单元121的内容可译码范围的位数内发生差错、且读出的保存数据由所述译码读出电路译码并纠错时，产生作为二值化逻辑信息的第1差错标记FL11。但是，第2差错标记FL 11根据MRAM120C的每一访问地址是否发生差错，其工作状态变化。
第2差错标记产生电路124bb是逻辑电路，该逻辑电路在指定地址的所述存储单元121的内容可译码范围的位数内发生差错、且读出的保存数据由所述译码读出电路译码并纠错时，产生作为二值化逻辑信息的第2差错标记FL22。但是，第2差错标记FL22根据每次访问MRAM120C是否发生差错，其工作状态变化。
监视定时器130监视微处理器110C产生的作为脉冲串信号的监视清零信号WD1，并且监视清零信号WD1的脉冲宽度超过阈值时产生复位脉冲信号RS1，通过逻辑和元件131供给微处理器110C的复位输入端子RST1，对微处理器110C进行初始化、重新启动。
还将复位脉冲信号RS1通过逻辑和元件141C，供给作为后面阐述的异常发生存储单元的触发器电路140C的置位输入端。
监视定时器130在监视清零信号WD1的脉冲宽度正常时，产生输出允许信号OUTE，可产生第1、第2输出接口电路115a、115b的输出。
成为异常发生存储单元的触发器电路140C被逻辑和元件141C的逻辑和输出信号置位，在逻辑和元件141C的输入端子连接微处理器110C产生的第1、第2异常检测信号ER1、ER2和监视定时器130产生的复位脉冲信号RS1。
将成为驱动停止单元的门电路142连接在微处理器110C产生的负载供电指令输出DR2与翻转驱动电路元件141之间，负载供电指令输出DR2为逻辑电平“H”时，激励负载电源继电器的励磁线圈104a，触发器电路140C的置位输出端子的逻辑电平为“H”时，使励磁线圈104a去激励。
这种异常确定状态下，将模式切换指令信号LPH供给微处理器110C。
由硬件构成的异常计数电路170对第1差错标记FL11的发生次数进行加法运算或减法运算，利用微处理器110C供给的读出指令信号的分频信号DNP进行该运算。该异常计数电路170在接通电源时，利用复位脉冲产生电路112C产生的复位脉冲信号或微处理器110C产生的清零信号CL1初始化成例如当前值为零，并且异常计数电路170的当前值达到规定极限阈值时，产生计数结束输出EP1，输入到微处理器110C。
由硬件构成的异常计数电路180对第2差错标记FL22的发生次数进行加法运算或减法运算，利用微处理器110C供给的读出指令信号的分频信号DNP进行该运算。该异常计数电路180在接通电源时，利用复位脉冲产生电路112C产生的复位脉冲信号或微处理器110C产生的清零信号CL2初始化成例如当前值为零，并且异常计数电路180的当前值达到规定极限阈值时，产生计数结束输出EP2，输入到微处理器110C。
微处理器110C对输入计数结束输出EP1、EP2作出响应，产生第1、第2异常检测信号ER1、ER2，并产生第1、第2清零信号CL1、CL2，将异常计数电路170、180初始化。
(2)作用动作详细说明
按图9那样构成的本发明实施例装置3中，将电源开关102闭路时，电源继电器的输出接点103b闭路，控制电源单元111受到外部电源101供电，产生稳定的控制电源电压Vcc，由复位脉冲产生电路112B产生的复位脉冲信号将微处理器110C和计数器电路140C初始化后，微处理器110C开始动作，使微处理器110B产生监视清零信号WD1。
对MRAM120C存放控制程序前的首次供电时，根据MRAM120C中预先存放的引导程序，从外部工具108通过串行接口电路118将控制程序传送到MRAM120C。由外部工具108写入控制程序时，工具连接信号TOOL和最高端地址信号A15的逻辑电平均为“H”，因而将微处理器110C的写入指令信号WR作为写入指令输入WRM原样供给MRAM120C。
另一方面，对MRAM120C存放控制程序后将电源开关102闭路时，进行微处理器110C、触发器电路140C和异常计数电路170、180的初始化后，微处理器110C开始动作，产生监视清零信号WD1，同时还产生供电保持指令输出DR1和负载供电指令输出DR2，激励负载电源继电器的励磁线圈104a。
此状态下，工具连接信号TOOL为逻辑电平“L”，因而对最高端地址信号A15的逻辑电平均为“H”的程序存储区，即使写入指令信号WR的逻辑电平为“H”，也不将写入指令信号WR供给MRAM120C。
但是，对高端地址信号A15的逻辑电平均为“L”的数据存储区，写入指令信号WR有效。
后面阐述的改写纠错指令信号WRC与存储区无关，总是有效。
微处理器110C对从模拟传感器群107得到的模拟信号的电压电平、从开关传感器群106得到的通断信号的动作状态、以及存放在MRAM120C的存储单元121的输入输出控制程序作出响应，进行驱动第1、第2电负载群105a、105b的控制。
微处理器110C运转中因噪声误动而第1、第2异常检测信号ER1、ER2产生异常检测脉冲信号，或监视定时器130产生复位脉冲信号RS1时，通过逻辑和元件141C对触发器电路140C的置位输入端子供给计数输入信号，使触发器电路140C存储异常发生状态，并使置位输出端子的逻辑电平为“H”。
其结果，告警显示器109启动，并由门电路142切断负载供电指令输出DR2，使负载电源继电器的励磁线圈104a去激励，而且对微处理器110C供给模式切换指令信号LPH。因而，微处理器110C转移到抑制发动机转速的疏散运转模式。
微处理器110C运转中电源开关102开路时，由供电保持指令输出DR1和驱动电路元件113A对励磁线圈103a、104a持续激励，并且微处理器110C执行学习存储信息等的确认保存后，自行停止监视清零信号WD1，因而使励磁线圈103a去激励。
重新接通电源开关102时，微处理器110C和触发器电路140C由复位脉冲产生电路112C加以初始化，所以触发器电路140C的异常存储为噪声误动时，恢复正常运转状态。
但是，因MRAM120C或其它硬件异常而产生第1、第2异常检测信号ER1、ER2或监视定时器130的复位脉冲信号RS1时，触发器电路140C又对这些异常信号计数，并迅速进行异常通知、负载电源继电器停止等。
异常计数电路170、180对每一MRAM120C的读出定时，如果发生第1或第2差错则进行1位计数的递增，并且例如每100次读出指令信号进行1次减法处理，将当前值限制成大于零。
异常计数电路170、180的当前值为例如10或4时，产生计数结束输出EP1、EP2。
因而，异常计数电路170对100次读出产生10次零星发生的异常时，产生计数结束输出EP1，并且异常计数电路180对100次读出产生4次零星发生的异常时，产生计数结束输出EP2。
接着，说明用于说明图9的装置的第1异常判断所涉及的动作的流程图的图10。
说明微处理器110C的动作的流程图的图10A中，工序1000是微处理器110C开始进行MRAM120C的异常判断动作的步骤，接着的工序1001的步骤根据后面阐述的工序1002中初始标记是否置位判断是否首次动作，如果是首次动作，进行“是”的判断后转移到工序1002，不是首次动作则进行“否”的判断后，转移到工序1003。
工序1002的步骤将上述第1、第2差错标记产生电路124aa、124bb或第1、第2差错寄存器125a、125b或第1、第2异常计数电路170、180的当前值初始化，并使未图示的初始标记置位。该初始标记在接通电源开关102的时间点被复原。
工序1003的步骤判断是否读出第1差错寄存器125a的内容的定时，如果是读出时期，进行“是”的判断后，转移到工序1003a，不是读出时期则进行“否”的判断后通过中继端子4A转移到图11(A)的工序1111a。利用未图示的定时器进行测量，判断是否读出时期，按例如约10毫秒(ms)中1次的比率进行“是”的判断。
工序1003a的步骤读出第1差错寄存器125a的内容，盖写并保存在后面阐述的暂时寄存器(未图示)，并将第1差错寄存器125a的内容复原。
接着的工序1004a的步骤根据工序1003a读出的暂时寄存器的内容是否第1差错发生状态，在发生第1差错时进行“是”的判断后转移到工序1007a，非发生第1差错则进行“否”的判断后通过中继端子11B转移到图11(A)的工序1111a。
第1差错是可编码纠错的差错，在第1差错寄存器125a的内容为存储单元121的地址时，判断为发生第1差错。
工序1007a的步骤指定差错发生地址并读出其内容，但差错发生地址是步骤1003a中检测出的地址。
工序1007a后接着执行的工序1003b的步骤读出第1差错寄存器125a的内容，盖写在未图示的暂时寄存器上，并使第1差错寄存器125a的内容复原。
接着的工序1004b的步骤根据工序1003b读出的暂时寄存器的内容是否第1差错发生状态，在发生第1差错时进行“是”的判断后转移到工序1007b，非发生第1差错则进行“否”的判断后通过中继端子11B转移到图11(A)的工序1111a。
工序1007b的步骤指定差错发生地址并读出其内容，但差错发生地址是步骤1003b中检测出的地址。
后续的工序1008的步骤将工序1007b中读出的译码数据通过带纠错码的写入电路122进行修复写入。
工序1008后接着执行的工序1009a中，产生第1异常检测信号ER1的脉冲，并将第1差错寄存器125a的内容复原，产生清零信号CL1，使异常计数电路170复原后，经中继端子11A转移到图11(A)的工序1103a。
用于说明等效表现异常计数电路170的计数动作的动作的流程图的图10(B)中，工序1010是开始进行异常计数电路170的动作的步骤。后续的工序1011的步骤判断清零信号CL1的逻辑电平，如果是逻辑电平“H”就进行“是”的判断后转移到工序1012，是“L”电平则进行“否”的判断后转移到工序1013。工序1012的步骤将异常计数电路170的当前值置零后，转移到工序1013。后续的工序1013的步骤判断第1差错标记FL11的逻辑电平，如果是逻辑电平“H”就进行“是”的判断后转移到工序1015a，是逻辑电平“L”则进行“否”的判断后转移到工序1014。
工序1014的步骤判断微处理器110C产生的分频信号DNP的逻辑电平，如果是逻辑电平“H”就进行“是”的判断后转移到工序1015b，是逻辑电平“L”则进行“否”的判断后返回工序1011。
工序1015a的步骤对异常计数电路170的当前值加1。工序1015b的步骤从异常计数电路170的当前值减去1。
由工序1015a和工序1015b构成的工序块1015为第1累计单元。
工序1015a或工序1015b后接着执行的工序1016判断异常计数电路170的当前值是否超过“10”，如果未超过就进行“否”的判断后返回工序1011，超过则进行“是”的判断后转移到工序1017。
工序1017中，产生计数结束输出EP1后，返回工序1011。
工序块1010a是成为由工序1011至工序1017构成的第1零星发生异常判断单元的工序群，工序块1010b是成为由工序1003b、1004b构成的第1重复异常判断单元工序群。
工序块1010a中，检测出在非特定的多个地址发生的第1差错的发生频度，并判断为发生第1零星发生异常，而工序块1010b中，根据对工序1007a指定的正在发生异常的特定地址的再确认动作，判断发生第1重复异常。
概括说明上述流程图。工序1015相当于第1加减运算电路，该第1加减运算电路1015是由硬件构成的异常计数电路170，对MRAM120C产生的第1差错标记FL11的发生次数进行加法(或减法)运算，并根据微处理器110C供给的读出指令信号的分频信号DNP进行减法(或加法)运算。
工序1016相当于第1零星发生异常检测单元，该第1零星发生异常检测单元1016根据异常计数电路170的当前值超过规定的设定阈值，产生成为第1异常检测信号的计数结束输出EP1。
因而，由于噪声误动等而零星发生第1差错时，不立即产生计数结束输出EP1；由于硬件异常而连续发生第1差错时，迅速产生计数结束输出EP1。
工序1010a是包含第1累计单元1015和第1零星发生异常检测单元1016的第1零星发生异常判断单元。
工序1003b相当于第1确认读出单元，该第1确认读出单元1003b对第1差错寄存器125a存放第1差错数据作出响应，将该第1差错数据复原(利用工序1003a)后，再次访问差错发生地址(利用工序1007a)，再次读出并确认第1差错寄存器125a的内容。
工序1008相当于纠错写入单元，该纠错写入单元1008为修复写入单元，对作为第1确认读出单元1003b的读出结果仍然在第1差错寄存器125a存放第1差错数据作出响应，将通过译码读出电路123读出的差错发生地址的保存数据经带纠错码的写入电路122，盖写在MRAM120C的差错发生地址上加以保存。
工序块1010b相当于第1重复异常判断单元，该第1重复异常判断单元1010b在确认读出单元1003b读出的第1差错寄存器125a的内容包含相同的差错标记时，判断为同一地址的存储器内容连续异常。
接着说明用于说明图9的装置的第2异常判断所涉及的流程图的图11。
说明微处理器110C的动作的流程图的图11(A)中，后续于图10(A)的中继端子11A执行的工序1103a的步骤读出第2差错寄存器125b的内容，盖写并保存在后写优先的暂时寄存器(未图示)，并使第2差错寄存器125b的内容复原。
后续的工序1004a的步骤根据工序1103a中读出的暂时寄存器的内容是否第2差错发生状态，在发生第2差错时进行“是”的判断后转移到工序1107a，不发生第2差错则进行“否”的判断后转移到工序1111a。
第2差错是不可编码纠错的差错，在第2差错寄存器125b的内容为存储单元121的地址时，判断为发生第2差错。
工序1107a的步骤指定差错发生地址并读出其内容，但差错发生地址是步骤1103a中检测出的地址。
工序1107a后接着执行的工序1103b的步骤读出第2差错寄存器125b的内容，盖写在未图示的暂时寄存器上，并使第2差错寄存器125b的内容复原。
接着的工序1104b的步骤根据工序1103b读出的暂时寄存器的内容是否第2差错发生状态，在发生第2差错时进行“是”的判断后转移到工序1109b，非发生第2差错则进行“否”的判断后转移到步骤1111a。
工序1109b中，产生第2异常检测信号ER2的脉冲，将第2差错寄存器125b的内容复原，并产生清零信号CL2，将异常计数电路180复原后，经中继端子12A转移到图12(A)的工序1240。
在图10的工序1003、工序1004a、工序1004b、图11的工序1104a、工序1104b的判断均为“否”从而不是异常检查时期时或异常检查结果正常时执行的工序1111a的步骤判断异常计数电路170的计数结束输出EP1的逻辑电平，如果非计数结束就进行“否”的判断后转移到工序1111b，是计数结束则进行“是”的判断后转移到工序1112a。
工序1112a产生第1异常检测信号ER1，并产生清零信号CL1，将异常计数电路170复原后，经中继端子12A转移到图12(A)的工序1240。
工序1111b的步骤判断异常计数电路180的计数结束输出EP2的逻辑电平，如果非计数结束就进行“否”的判断后经中继端子12A转移到图12(A)的工序1240，是计数结束则进行“是”的判断后转移到工序1112b。
工序1112b产生第2异常检测信号ER2，并产生清零信号CL2，将异常计数电路180复原后，经中继端子12A转移到图12(A)的工序1240。
用于说明等效表现异常计数电路180的计数动作的动作的流程图的图11(B)中，工序1110是开始进行异常计数电路180的动作的步骤。后续的工序1111的步骤判断清零信号CL2的逻辑电平，如果是逻辑电平“H”就进行“是”的判断后转移到工序1112，是“L”电平则进行“否”的判断后转移到工序1113。工序1112的步骤将异常计数电路180的当前值置零后，转移到工序1113。后续的工序1113的步骤判断第2差错标记FL22的逻辑电平，如果是逻辑电平“H”就进行“是”的判断后转移到工序1115a，是逻辑电平“L”则进行“否”的判断后转移到工序1114。
工序1114的步骤判断微处理器110C产生的分频信号DNP的逻辑电平，如果是逻辑电平“H”就进行“是”的判断后转移到工序1115b，是逻辑电平“L”则进行“否”的判断后返回工序1111。
工序1115a的步骤对异常计数电路180的当前值加1。工序1115b的步骤从异常计数电路180的当前值减去1。
由工序1115a和工序1115b构成的工序块1115为第2累计单元。
工序1115a或工序1115b后接着执行的工序1116判断异常计数电路180的当前值是否超过“4”，如果未超过就进行“否”的判断后返回工序1111，超过则进行“是”的判断后转移到工序1117。
工序1117中，产生计数结束输出EP2后，返回工序1111。
工序块1120a是成为由工序1111至工序1117构成的第2零星发生异常判断单元的工序群，工序块1120b是成为由工序1103b、1104b构成的第2重复异常判断单元的工序群。
工序块1120a中，检测出在非特定的多个地址发生的第2差错的发生频度，并判断发生第1零星发生异常，而工序块1120b中，根据对工序1107a指定的正在发生异常的特定地址的再确认动作，判断发生第2重复异常。
概括说明上述流程图。工序1115相当于第2加减运算电路，该第2加减运算电路1115是由硬件构成的异常计数电路180，对MRAM120C产生的第2差错标记FL22的发生次数进行加法(或减法)运算，并根据微处理器110C供给的读出指令信号的分频信号DNP进行减法(或加法)运算。
工序1116相当于第2零星发生异常检测单元，该第2零星发生异常检测单元1116根据异常计数电路180的当前值超过规定的设定阈值，产生成为第2异常检测信号的计数结束输出EP2。
因而，由于噪声误动等而零星发生第2差错时，不立即产生计数结束输出EP2；由于硬件异常而连续发生第2差错时，迅速产生计数结束输出EP2。
工序1120a是包含第2累计单元1115和第2零星发生异常检测单元1116的第2零星发生异常判断单元。
工序1103b相当于第2确认读出单元，该第2确认读出单元1103b对第2差错寄存器125b存放第2差错数据作出响应，将该第2差错数据复原(利用工序1103a)后，再次访问差错发生地址(利用工序1107a)，再次读出并确认第2差错寄存器125b的内容。
工序块1120b相当于第2重复异常判断单元，该第2重复异常判断单元1120b在确认读出单元1103b读出的第2差错寄存器125b的内容包含相同的差错标记时，判断为同一地址的存储器内容连续异常。
接着，说明用于说明图9的装置的检查动作所涉及的流程图的图12、图13。
作为前半部分检查动作流程图的图12中，后续于上述工序1109、1112a、1112b、1111b执行的工序块1210是工序群，其中判断是否异常检查时期，不是异常检查时期则进行“否”的判断后转移到动作结束工序1220，是异常检查时期就选择异常检查区后转移到工序1202。
工序块1201中，工序1240的步骤判断是否紧接在将电源开关102闭路之后，如果是从断变化到通之后，进行“是”的判断后转移到工序1211；如果已闭路或已开路就转移到工序1242。工序1241的步骤选择成为检查运转启动的对象的特定检查区。该特定检查区选择安全上重要的程序区，例如疏散运转控制程序。
工序1242的步骤判断电源开关102是否闭路，闭路则进行“是”的判断后转移到工序1243，非闭路就进行“否”的判断后转移到工序1244。工序1242进行“否”的判断的状态是将暂时闭路的电源开关103开路并由延迟恢复开关元件103b持续供电的状态。
工序1243的步骤判断是否定期检查时期，如果是定期检查时期就进行“是”的判断后转移到工序444，不是定期检查时期则进行“否”的判断后转移到动作结束工序420。该工序443实质上定期地进行“是”的判断。
工序1244的步骤选择并更新成为定期检查或停止前检查的对象的划分检查区，其中在定期检查时，根据后面阐述的工序1326进行区域更新完的判断，转移到动作结束工序1220一下，并且在又激活动作启动工序1000后的工序1244中，更新并选择划分成多个的划分检查区。
将电源开关102开路的停止前检查的情况下，根据后面阐述的工序1326进行区域更新未完的判断，通过中继端子12B返回工序1244，继续更新并选择划分成多个的划分检查区。
工序1241或工序1244后接着执行的工序1202的步骤在成为检查对象的MRAM120C的地址区，指定存储单元121的地址，试读出存储内容。
后续的工序1203a的步骤读出第2差错寄存器125b的内容，存放到未图示的暂时寄存器，并将第2差错寄存器125b的内容复原。后续的工序1204a的步骤根据工序1203a读出的暂时寄存器的内容是否发生第2差错的状态，在发生第2差错时进行“是”的判断后转移到工序1207a，如果未发生第2差错则进行“否”的判断后转移到工序1213a。
工序1207a的步骤指定差错发生地址并读出其内容，其中该差错发生地址是工序1203b读出的地址。
后续于工序1207a执行的工序1203b的步骤读出第2差错寄存器125b的内容，存放到未图示的暂时寄存器，并将第2差错寄存器125b的内容复原。
接着的工序1204b的步骤根据工序1203b读出的暂时寄存器的内容是否第2差错发生状态，在发生第2差错时进行“是”的判断后通过中继端子13B转移到图13的工序1332，非发生第2差错则进行“否”的判断后转移到工序1213a。
工序1213a的步骤读出第1差错寄存器125a的内容，盖写并保存在后写优先的暂时寄存器(未图示)，并将第1差错寄存器125a的内容复原。
后续的工序1214a的步骤根据工序1213a读出的暂时寄存器的内容是否发生第1差错的状态，在发生第1差错时进行“是”的判断后转移到工序1217a，如果未发生第1差错则进行“否”的判断后转移到工序1222。
工序1217a的步骤指定差错发生地址并读出其内容，其中该差错发生地址是工序1213a读出的地址。
接着的工序1213b的步骤读出第1差错寄存器125a的内容，盖写并保存在后写优先的暂时寄存器(未图示)，并将第1差错寄存器125a的内容复原。
后续的工序1214b的步骤根据工序1213b读出的暂时寄存器的内容是否发生第1差错的状态，在发生第1差错时进行“是”的判断后转移到工序1221，如果未发生第1差错则进行“否”的判断后转移到工序1222。
工序1221的步骤判断下一工序1218是否执行正常数据的纠错写入，如果未纠错写入就进行“否”的判断后转移到工序1218，已纠错写入则进行“是”的判断后通过中继端子13B转移到图13的工序1332。
工序1218的步骤将工序1217a中读出的译码数据通过带纠错码的写入电路122进行修复写入；该工序1218后，接着返回工序1223b，并由工序1214b判断是否进行正常写入。
工序1222的步骤判断成为这次的检查对象的区域的检查是否完成，如果未完成就进行“否”的判断后返回工序1202并更新检查地址，如果检查完则进行“是”的判断后通过中继端子13A转移到图13的工序1323。
作为后半部分检查动作流程图的图13中，后续于中继端子13A的工序1323的步骤，对为和数校验、或CRC校验而分组的多个检查区设定校验哪个区；该检查区可以是例如与工序1241或工序1244选择的检查区相同的区或进一步细分的区。
后续的工序1324的步骤对工序1323中设定的检查区进行和数校验、或CRC校验。后续的工序1325的步骤根据工序1324的校验结果是否正常，如果正常就进行“是”的判断后转移到工序1326，不正常则进行“否”的判断后转移到工序1332。
工序1326中，在将电源开关102闭路的定期检查时进行“是”的判断，在将电源开关102开路的停止前检查时，首先进行“否”的判断，并返回工序1244，重复进行多个检查区的检查后，如果完成全部划分检查区的检查，则进行“是”的判断并转移到动作结束工序1220。
图12的工序1204b、1221、图13的工序1325中判断为异常时执行的工序1332的步骤确认在检查区发生第2差错的地址。该工序1332中，一面依次访问检查区内的MRAM120C的地址，一面确认第2差错寄存器125b的内容，从而检索是否存在不少于2个的异常地址。
后续的工序1333的步骤判断作为工序1332的检索结果是否存在不多于1个的异常发生地址，如果不多于1个就进行“是”的判断后转移到工序1334，超过1个则进行“否”的判断后转移到工序1329。
工序1334的步骤对预先作为控制数据存放在MRAM120C的和数校验数据与工序1334中算出的和数校验数据进行比较，根据其差异进行反向运算，从而估计异常发生地址的正确数据。
接着的工序1335的步骤将工序1334中估算的正确数据写入并保存到异常发生地址后，转移到工序1329。
后续的工序1329中，产生异常检测信号ER1或ER2，使图10的工序1002中置位的初始标记复原，而且使MRAM120C内的第1、第2差错寄存器125a、125b复原后转移到工序1326。
动作结束工序1220中，微处理器110C执行其它控制动作后，实质上定期地转移到图10的动作开始工序1000，但将电源开关102开路时，将微处理器110C停止一下，使电源继电器103a去激励，并切断供电电路。
概括说明上述流程图。工序1203b相当于第2确认读出单元，该第2确认读出单元1203b对第2差错寄存器125b存放第2差错数据作出响应(利用工序1204a的判断)，将该第2差错数据复原(在工序1203a读出后复原)后，再次访问差错发生地址(利用工序1207a)，再次读出并确认第2差错寄存器125b的内容。
包含工序1207a、1203b、1204b的工序块1232相当于第2重复异常判断单元，该第2重复异常判断单元1232在第2确认读出单元1203b进行确认读出时，第2差错寄存器125b的内容包含相同的差错数据的情况下，判断为同一地址的存储内容连续异常。
工序1213b相当于第1确认读出单元，该第1确认读出单元1213b对第1差错寄存器125a存放第1差错数据作出响应(利用工序1214a的判断)，将该第2差错数据复原(利用在工序1213a读出后复原)后，再次访问差错发生地址(利用工序1217a)，再次读出并确认第1差错寄存器125a的内容。
包含工序1214b、1221的工序块1231相当于第1重复异常判断单元，该第1重复异常判断单元1231在第1确认读出单元1213b进行确认读出时，第1差错寄存器125a的内容包含相同的差错数据的情况下，判断为同一地址的存储内容连续异常。
工序1218相当于纠错写入单元，该纠错写入单元1218对作为第1确认读出单元1213b的读出结果在第1差错寄存器125a仍然存放第1差错数据作出响应，将通过译码读出电路123读出的差错发生地址的保存数据经所述带纠错码的写入电路122盖写并保存在MRAM120C的差错发生地址上。
包含工序1323、1324、1325的工序块1333相当于第3异常判断单元，该异常判断单元1333依次读出MRAM120C的特定区间区域的保存数据，利用涉及整个读出区间的数据的和数校验、或CRC校验判断是否有误码。
工序1327相当于纠错传送单元，该纠错传送单元1327是修复写入单元，在第3异常判断单元1333判断为特定区间的MRAM120C的保存数据有误码，并且第2重复异常判断单元1332判断为特定区间内在1个保存数据区有误码时，根据和数校验数据或CRC校验数据，进行反向运算，从而估算正确的保存数据，并将该估算数据通过所述带纠错码的写入电路122盖写并保存在MRAM120C的差错发生地址上。
包含工序1240至工序1244的工序块1201相当于检查时期判断单元，该检查时期判断单元1201选择运转启动检查单元或定期检查单元或停止前检查单元。
再者，运转启动校正单元是特定检查单元，该特定检查单元在接通电源开关102后，对MRAM120C保存的特定区域的主要数据利用重复异常判断单元1231、1232或第3异常判断单元1233检查是否有误码。
定期检查单元是划分更新检查单元，该划分更新检查单元在连续接通电源开关102的状态下，将MRAM120C保存的全部数据分成多个，对各划分数据利用重复异常判断单元1231、1232或第3异常判断单元1233依次检查是否有误码。
停止前检查单元是成批检查单元，该成批检查单元在切断电源后的延迟恢复开关元件103b闭路期间，对MRAM120C保存的全部数据利用重复异常判断单元1231、1232和第3异常判断单元1233检查是否有误码。
接着，说明用于说明图9的装置的写入禁止/解除动作所涉及的动作的流程图的图14。
图14中，工序1400是启动微处理机110C的写入禁止动作的步骤。后续的工序的步骤判断是否连接外部工具108并形成控制程序写入模式，如果是写入模式就进行“是”的判断后转移到工序1405，未连接外部工具108或形成读出模式时进行“否”的判断后转移到工序1402。
工序1402的步骤判断是否有纠错写入指令，需要纠错写入时进行“是”的判断后转移到工序1405，不必纠错写入时进行“否”的判断后转移到工序1403。
这里说的纠错写入相当于图10的工序1008、图12的工序1218、图13的工序1335中的纠错写入和异常纠错写入。
工序1403的步骤判断打算写入的地址区是程序存储区还是数据存储区，如果是程序存储区就进行“是”的判断后转移到工序1404，不是程序存储区则进行“否”的判断后转移到工序1405。
工序1404的步骤将写入禁止标记置位，禁止对MRAM120C的程序存储区产生写入指令信号。
工序1405的步骤将写入禁止标记复原，允许对MRAM120C的程序存储区和数据存储区产生写入指令信号。
后续于工序1404、工序1405的工序1406是动作结束工序，微处理器110C后续于动作结束工序1406，执行其它控制动作后，实质上定期地返回动作启动工序1400。
执行图10的工序1008、图12的工序1218、图13的工序1335时，将写入禁止标记置位，并随着执行工序1008、工序1228、工序1335，立即将写入禁止标记复原。
由工序1404和工序1405构成的工序1410是写入禁止/解除单元，该写入禁止/解除单元1410相当于图1、图5中的写入禁止/解除单元150。
因而，图1、图5中，能将硬件电路的写入禁止/解除单元150换成软件单元的写入禁止/解除单元1410，并且图9中使用写入禁止/解除单元150，则不需要写入禁止/解除单元1410。
再者，图1的写入禁止/解除单元150中，利用最高端地址信号A15划分程序存储区和数据存储区，但能通过逻辑连接其它低端地址信号进行正确的区域划分；图14的工序1403中也根据多个地址信号进行区域判断。
(3)其它实施方式说明
按图9那样构成的本发明实施例装置3中，将MRAM120C当作具有第1、第2差错寄存器125a、125b和第1、第2差错标记产生电路124aa、124bb的存储器进行了说明，但作为本发明的基本主旨，具有第1、第2差错寄存器125a、125b的任一方和第1差错标记产生电路124aa、124bb的任一方就可以。
例如，不存在第2差错寄存器125b时，可删除图11(A)的工序1003a至工序1009b、图12中的工序1213a至工序1204b和图13的工序块1327。
反之，不存在第1差错寄存器125a时，可删除图10(A)的工序1003a至工序1009a和图12中的工序1213a至工序1218，并且在工序1204b的判断为“否”时转移到工序1222。
不存在第1差错标记产生电路124aa和第2差错标记产生电路124bb的任一方时，可删除异常计数电路170或异常计数电路180，删除图10(B)或图11(B)，并删除图11(A)的工序1111a、工序1112a或工序1111b、工序1112b。
本发明实施例装置1、2中设置第2差错寄存器125b和第3异常判断单元时，能导入实施例装置3中说明的异常纠错写入单元1327。
反之，实施例装置3中设置后备存储器161A或161B时，能导入实施例装置1、2中的纠错传送单元427、827。
还可将用触发器电路140C表示的异常发生存储单元换成图1所示的计数器电路140A。
可用图5所示那样监视定时器130产生的输出允许信号OUTE代替使对应于读取103a进行自保持动作用的供电保持指令输出DR1。
按图9那样构成的本发明实施例装置3中，差错发生状态累计单元利用成为累计单元的可逆计数器对差错标记的差错发生信息进行加法计数，并根据读出指令信号的分频信号进行减法运算，但也可简略地利用规定周期的信号代替读出指令信号的分频信号进行减法运算。
而且，作为累计单元的可逆计数器，也可简略地取为硬件构成的加法计数器或减法计数器。
例如，可随着发生差错，使当前值寄存器作加法运算，其计数的当前值一超过规定阈值就产生异常检测输出，并利用对MRAM的读出指令信号的分频信号或规定周期的时钟信号将当前值初始化为零。
也可随着发生差错，使当前值寄存器作减法运算，其计数的当前值一到达零就产生异常检测输出，并利用对MRAM的读出指令信号的分频信号或规定周期的时钟信号将当前值初始化为零。
(4)实施方式3的要点和特征。
本发明实施方式3的电子控制装置100C，具有从外部电源101供电并根据输入传感器群106、107的工作状况对电负载群105a、105b进行驱动控制的微处理器110C，从外部工具108对与该微处理器协同工作的非易失性程序存储器传送并写入含控制常数的控制程序。
所述微处理器110C根据作为能进行电读写的非易失性存储器的MRAM(Magnetic Random Access Memory：磁随机存取存储器)120C中存放的控制程序进行工作、并且将该MRAM划分成在从所述外部工具108传送并写入后以所述微处理器110C运转中未改变改写的输入输出控制程序为主体的程序存储区和所述微处理器110C运转中随时改变改写的数据存储区不同的地址区进行存放。所述MRAM120C还包含对来自所述微处理器110C的写入指令信号作出响应并对指定地址的存储单元121写入添加纠错码的保存数据用的带纠错码的写入电路122、对来自所述微处理器110C的读出指令信号作出响应并从指定地址的存储单元121将所述保存数据译码并读出的译码读出电路123、设置在所述数据存储区的差错寄存器125a、125b、以及成为设置在所述程序存储区的确认读出单元1003b、1103b、1203b、1213b和重复异常判断单元1010b、1120b、1231、1232的控制程序，并且构成将来自所述微处理器110C的写入指令信号通过写入禁止/解除单元1410供给所述MRAM120C。
所述差错寄存器125a、125b是特定地址存储器，在所述存储单元121保存的数据有错码时，将发生差错的地址号当作差错数据加以存放，该保存差错数据是由所述微处理器110C加以复原或作转移疏散后首次产生的差错数据，或通过依次读出所述存储单元121的各地址的内容而在新地址有误码则存放依次更新的差错数据。
所述确认读出单元1003b、1103b、1203b、1213b是对所述差错寄存器125a、125b存放的差错数据作出响应且将所述差错数据复原或加以转移疏散后再次访问差错发生地址以再次读出并确认所述差错寄存器125a、125b的内容的单元。
所述重复异常判断单元1010b、1120b、1231、1232是在所述确认读出单元1003b、1103b、1203b、1213b读出的差错寄存器125a、125b的内容包含相同的差错数据时判断为同一地址的存储器的内容连续异常的单元。
所述写入禁止/解除单元1410对存放所述控制程序的所述MRAM120C的程序存储区禁止将所述微处理器110C的写入指令信号供给所述MRAM120C，并在处于连接外部工具108对所述MRAM120C写入控制程序的状态时，对所述微处理器110C解除所述写入禁止功能，在不连接外部工具108，打算进行所述控制程序的修复写入时，将所述写入禁止功能作为例外加以解除。
而且，对所述重复异常判断单元1010b、1120b、1231、1232判断为异常时或进行多次异常判断时作出响应，执行包含异常通知或异常发生信息保存中至少一方的异常处理。
所述MRAM120C还具有纠错写入单元1008、1218。所述差错寄存器是位于第1特定地址的第1差错寄存器125a，该第1差错寄存器125a在指定地址的所述存储单元121的内容可译码范围的位数以内发生差错、且读出的保存数据是所述译码读出电路123译码并纠错后的数据时，将发生该差错的地址号作为第1差错数据加以存放。
所述确认读出单元是第1确认读出单元1003b、1213b，该第1确认读出单元1003b、1213b对所述第1差错寄存器125a存放的第1差错数据作出响应，在将该第1差错数据复原或加以转移疏散后，再次访问差错发生地址，再次读出并确认所述第1差错寄存器125a的内容。
所述纠错写入单元1008、1218是修复写入单元，该修复写入单元对作为所述第1确认读出单元1003b、1213b的读出结果仍然在第1差错寄存器125a存放第1差错数据作出响应，将通过所述译码读出电路123读出的差错发生地址的保存数据经所述带纠错码的写入电路122对所述MRAM120C的差错发生地址进行盖写并加以保存。
所述重复异常判断单元是第1重复异常判断单元1010b、1231，该第1重复异常判断单元1010b、1231在所述第1确认读出单元1003b、1213b进行读出确认时或所述纠错写入单元1008、1218进行纠错写入后的读出确认中所述第1差错寄存器125a的内容再次包含相同的差错数据时，判断为同一地址的内容连续异常。
所述写入禁止/解除单元1410在所述纠错写入单元1008、1218的修复操作时，解除所述写入禁止功能。
所述MRAM120C除具有所述第1差错寄存器125a外，还具有第1差错标记产生电路124aa，并设置包含第1累计单元1015和第1零星发生异常检测单元1016的第1零星发生判断单元1010a、以及异常发生存储单元140C。所述第1差错标记产生电路124aa是逻辑电路，该逻辑电路在指定地址的所述存储单元121的内容可译码范围的位数内发生差错、且读出的保存数据由所述译码读出电路123译码并纠错时，产生作为二值化逻辑信息的第1差错标记FL11。
所述第1差错标记FL11根据所述MRAM120C的每一访问地址是否发生差错，其工作状态变化。
所述第1加减运算电路1015是由硬件构成的异常计数电路170，该异常计数电路170对所述第1差错标记FL11的发生次数进行加法运算或减法运算，并根据所述微处理器110C供给的读出指令信号的分配信息DNP对其进行减法运算或加法运算。
所述第1零星发生异常检测单元1016根据所述异常计数电路170的当前值超过规定阈值，产生成为第1异常检测信号的计数结束输出EP1。
所述异常发生存储单元140C对所述第1重复异常判断单元1010b、1231进行异常判断和产生所述计数结束输出EP1作出响应，至少进行异常通知。
因而，具有的特征为：能根据第1差错标记的发生频度正确检测出零星发生的异常，并能进行硬件计数器的高速计数，从而能减轻微处理器的控制负担。
所述差错寄存器是位于第2特定地址的第2差错寄存器125b，该第2差错寄存器125b在指定地址的所述存储单元121的内容发生超过可译码范围的差错、且读出的保存数据是不能保证与最初保存的数据一致的数据时，将发生该差错的地址号作为第2差错数据加以存放。
所述确认读出单元是第2确认读出单元1103b、1203b，该第2确认读出单元1103b、1203b对所述第2差错寄存器125b存放的第2差错数据作出响应，在将该第2差错数据复原或加以转移疏散后，再次访问差错发生地址，读出并确认所述第2差错寄存器125b的内容。
所述重复异常判断单元是第2重复异常判断单元1120b、1232，该第2重复异常判断单元1120b、1232在所述第2确认读出单元1103b、1203b进行读出确认时，所述第2差错寄存器125b的内容包含相同的差错数据的情况下，判断为同一地址的内容连续异常。
所述MRAM120C除具有所述第2差错寄存器125b外，还具有第2差错标记产生电路124bb，并设置包含第2累计单元1115和第2零星发生异常检测单元1116的第2零星发生判断单元1120a、以及异常发生存储单元140C。所述第2差错标记产生电路124bb是逻辑电路，该逻辑电路在指定地址的所述存储单元121的内容发生超过可译码范围的位数的差错、且读出的保存数据是不能保证与最初保存的数据一致的数据时，产生作为二值化逻辑信息的第2差错标记FL22。
所述第2差错标记FL22根据所述MRAM120C的每一访问地址是否发生差错，其工作状态变化。
所述第2加减运算电路1115是由硬件构成的异常计数电路180，对所述第2差错标记FL22的发生次数进行加法运算或减法运算，并根据所述微处理器110C供给的读出指令信号的分配信息DNP对其进行减法运算或加法运算。
所述第2零星发生异常检测单元1116根据所述异常计数电路180的当前值超过规定阈值，产生成为第2异常检测信号的计数结束输出EP2。
所述异常发生存储单元140C对所述第2重复异常判断单元1120b、1232进行异常判断和产生所述计数结束输出EP2作出响应，至少进行异常通知。
因而，具有的特征为：能根据第2差错标记的发生频度正确检测出零星发生的异常，并能进行硬件计数器的高速计数，从而能减轻微处理器的控制负担。
所述MRAM120C还包含成为所述第2重复异常判断单元1232和第3异常判断单元1333的控制程序两者和成为异常纠错写入单元1327的控制程序。
所述第3异常判断单元1333依次读出所述MRAM120C的特定区间区域的保存数据，利用涉及整个读出区间的数据的和数校验、或CRC校验判断是否有错码。
所述异常纠错写入单元1327是修复写入单元，该修复写入单元在所述第3异常判断单元1333判断为特定区间的MRAM的保存数据有错码时，根据和数校验数据或CRC校验数据进行反向运算，估算正确的保存数据，将该估计数据通过所述带纠错码的写入电路122，对所述MRAM120C的差错发生地址进行盖写并加以保存。
所述所述写入禁止/解除单元1410在所述异常纠错写入单元的修复操作时，解除所述写入禁止功能。
因而，具有的特征为：即使1个数据发生多位误码，也能算出发生误码前的正常数据，并使其恢复。
所述MRAM120C还包含成为第3异常判断单元1333的控制程序，并具有异常发生存储单元140C。
所述第3异常判断单元1333依次读出所述MRAM120C的规定期间区域的保存数据，利用涉及整个读出区间的数据的和数校验、或CRC校验判断是否有误码。
所述异常发生存储单元140C对所述重复异常判断单元1010b、1120b、1231、1232进行异常判断和所述第3异常判断单元1333进行异常判断作出响应，至少进行异常通知。
所述MRAM120C还包含成为选择运转启动检查单元或定期检查单元或停止前检查单元中的1个单元的检查时期判断单元1201的控制程序。
所述运转启动检查单元是特定检查单元，该特定检查单元在接通电源开关102后，对所述MRAM120C保存的特定区域的主要数据利用所述重复异常判断单元1231、1232或所述第3异常判断单元1333检查是否有误码。
所述定期检查单元是划分更新检查单元，该划分更新检查单元在电源开关102连续接通的状态下，将所述MRAM120C保存的全部数据分成多个，对各划分数据利用所述重复异常判断单元1231、1232或所述第3异常判断单元1333依次检查是否有误码。
所述停止前检查单元是成批检查单元，该成批检查单元在切断电源开关102后的延迟恢复开关元件103b闭路期间，对所述MRAM120C保存的全部数据利用所述重复异常判断单元1231、1232和所述第3异常判断单元1333检查是否有误码。
所述微处理器120C对检测出车载发动机的运转状态的车载传感器群106、107的动作状态作出响应，至少对吸气量控制单元或燃料喷射控制单元进行控制。
所述MRAM120C还包含成为常规运转单元的控制程序和成为疏散运转单元的控制程序，并具有异常发生存储单元140C。
所述疏散运转单元是执行利用所述吸气量控制单元的吸气量抑制或所述燃料喷射控制单元的供燃量，抑制对发动机转速进行抑制的运转控制的单元。
所述异常发生存储单元140C至少对所述重复异常判断单元1010b、1120b、1231、1232进行异常判断作出响应，进行异常通知，并将所述常规运转单元的常规运转模式选择并切换到所述疏散运转单元的疏散运转模式。
所述微处理器110C同时使用监视定时器130和异常发生存储单元140C。
该监视定时器130是随着所述微处理器110C产生的监视清零信号WD1的脉冲宽度超过规定值而产生复位脉冲信号RS1，并对该微处理器110C进行初始化、重新启动的定时器电路。
所述异常发生存储单元140C对所述重复异常判断单元1010b、1120b、1231、1232判断发生异常带来的异常检测信号ER1、ER2和所述监视定时器130的复位脉冲信号RS1的发生作出响应，随着产生1次脉冲信号或多次脉冲信号，至少进行异常通知，而且是由从所述常规运转单元的常规运转模式选择并切换到所述疏散运转单元的疏散运转模式用的由触发器电路或计数器电路构成的逻辑电路，该逻辑电路中添加驱动停止单元142和存储解除单元112C。
所述驱动停止单元142是在确定发生异常且加以存储时起作用并禁止驱动所述电负载群105a、105b中的一部分特定电负载的门电路。
所述存储解除单元112C是利用对电源开关102重新接通等人为操作作出响应的复位脉冲信号，使所述异常发生存储单元140C的异常存储信号复原的单元。
工业上的实用性
本发明的电子控制装置不仅能用于车载电子控制装置，而且能用于例如从外部工具传送、写入并使用用户编制的序列程序的可编程控制器。
本发明实施例说明的车载发动机控制装置的情况下，即使发生异常时，微处理器也自动初始化并重新启动，这是因为设想车辆从道口内逃出等，并且作为安全措施，重视尽量不停止发动机。
与此相反，一般用于厂内设备的可编程控制器中，发生异常时，通常使微处理器停止，可利用人为操作进行重新启动，并根据设备类型的不同，在停止异常后利用人为运转操作个别操作促动器，进行恢复原点那样的疏散运转。