[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP3714141B2 - Runaway monitoring device for electronic control system - Google Patents

Runaway monitoring device for electronic control system Download PDF

Info

Publication number
JP3714141B2
JP3714141B2 JP2000279174A JP2000279174A JP3714141B2 JP 3714141 B2 JP3714141 B2 JP 3714141B2 JP 2000279174 A JP2000279174 A JP 2000279174A JP 2000279174 A JP2000279174 A JP 2000279174A JP 3714141 B2 JP3714141 B2 JP 3714141B2
Authority
JP
Japan
Prior art keywords
output
electronic control
arithmetic processor
control system
monitoring device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2000279174A
Other languages
Japanese (ja)
Other versions
JP2002091802A (en
Inventor
隆芳 本多
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2000279174A priority Critical patent/JP3714141B2/en
Publication of JP2002091802A publication Critical patent/JP2002091802A/en
Application granted granted Critical
Publication of JP3714141B2 publication Critical patent/JP3714141B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、並行して動作する少なくとも2つの演算プロセッサを備え、演算プロセッサからの周期的な出力に基づくウォッチドッグクリア信号(WDC信号)により演算プロセッサの暴走を監視する電子制御システムの暴走監視装置に関するものである。
【0002】
【従来の技術】
従来より、ウォッチドッグクリア(WDC)信号として出力されるパルスの周期性に基づいてマイクロコンピュータ(マイコン)の暴走を監視する装置が提案されている。また近年では、マイコン処理の複雑化、高速化、小型化の要求に伴い、通常のマイコンを2個用いたり、1つのパッケージに2つのCPUを搭載したデュアルコア(デュアルCPU)のマイコンが使用されるようになり、2つのマイコン(CPU)へ処理を分散させるようになっている。
【0003】
2つのマイコンを用いる制御システムの場合、暴走監視を行うには図7に示す2つの手法が考えられる。すなわち、図7(a)では、2つのマイコンA,B毎に監視部が設けられ、各マイコンA,Bから出力されるWDC信号がそれぞれ別個の監視部に入力される構成となっている。また、図7(b)では、マイコンBの動作がマイコンAにより監視され、マイコンBが正常であり且つマイコンA自身も同様に正常である場合、マイコンAから監視部に対してWDC信号が出力される構成となっている。
【0004】
しかしながら、上記図7(a)の手法では、マイコン毎に監視部が必要になる上に、監視部への通信線が2本必要になり、コストアップとなる。また、上記図7(b)の手法では、監視部は1つに集約できるものの、マイコンBのWDC信号をマイコンAで監視しなければならないため、マイコンA側の処理が複雑化し、処理負荷が増える。
【0005】
一方、アンチスキッド制御など安全性が求められる制御では、2つのマイコンにて同一又は同一相当の演算処理(同じ周期で同じ処理時間の演算を行う処理)を行う、いわゆるデュアルマイクロコンピュータシステムが提案されており、当該システムに有用なマイコンの暴走監視装置として、特許第2556156号公報がある。この公報の装置では、2つのマイコンが所定の周期毎に異なるタイミングでWDC信号を出力し、各マイコンのWDC信号によりフリップフロップの出力を反転させる。そして、フリップフロップの出力周期が予め定められた範囲内になければ異常と判定するようにしていた。
【0006】
ところが、処理負荷を複数のマイコンに分散し、各マイコンで互いに異なる処理を実施させるようにした電子制御システムの場合、エンジン制御やトランスミッション制御等、異なる処理がマイコン毎に割り当てられ、各マイコンの演算タイミングや処理時間が異なることが原因でWDC信号の出力タイミングがずれてしまう。それ故に、上記公報のように所定周期でマイコン毎にWDC信号を出力させようとしても、WDC信号の出力周期がずれ、結果として誤った監視動作が行われてしまう。例えば、エンジン制御用マイコンとトランスミッション制御用マイコンとを有する制御システムでは、前者のマイコンは、エンジン回転に応じたタイミングで行う処理(角度同期処理)が多いのに対し、後者のマイコンは、一定時間毎に行う処理(時間同期処理)が多いため、2つのマイコンでタイミングの周期が合わせられない。
【0007】
また、2つのマイコンにて、アンチスキッド制御など、同一又は同一相当の演算処理を行う場合にも、コスト等の関係上、2つのマイコンの動作周期が異なるもの(一方が20MHz動作、他方が16MHz動作)を使用することが考えられる。かかる場合にも、上記公報の装置では、マイコン毎にタイミングの周期が合わず、監視動作を正しく行わせることができなくなる。
【0008】
【発明が解決しようとする課題】
本発明は、上記問題に着目してなされたものであって、その目的とするところは、構成の簡素化を図りつつ、演算プロセッサの暴走を正しく監視することができる電子制御システムの暴走監視装置を提供することである。
【0009】
【課題を解決するための手段】
請求項1に記載の発明において、監視部は、各々の演算プロセッサから入力される周期的な出力に基づくウォッチドッグクリア(WDC)信号の周期性が崩れると演算プロセッサの異常発生の旨を判定する。また、特に本発明では、タイマ部は、各々の演算プロセッサに対して一定周期でタイミングを通知し、一方の演算プロセッサ前記共通のタイマ部から通知される立ち上がりタイミングに従って前記監視部への出力を行うとともに、他方の演算プロセッサが前記共通のタイマ部から通知される立ち下がりタイミングに従って前記監視部への出力を行うことにより、前記監視部に対して一定周期のウォッチドッグクリア信号の出力を行う。
【0010】
本構成によれば、複数の演算プロセッサに対して同数の監視部が必要になることはなく、構成の簡素化が可能となる。また、特定の演算プロセッサが他の演算プロセッサの分まで監視を行う必要もなく、特定の演算プロセッサにおいて処理が煩雑になる、処理負荷が増大するといった不都合も生じない。更に、共通のタイマ部から通知されるタイミングに従い、各演算プロセッサが周期的な出力を行うことにより、前記監視部に対して一定周期のウォッチドッグクリア信号の出力を行うので、仮に各演算プロセッサが互いに異なる処理を請け負っていても、ウォッチドッグクリア信号の出力周期がずれることはない。従って、演算プロセッサの暴走を確実に監視することができる。
【0011】
この場合、互いに異なる処理を行う少なくとも2つ以上の演算プロセッサを有する電子制御システム(請求項3)や、互いに動作周期の異なる少なくとも2つ以上の演算プロセッサを有する電子制御システム(請求項4)にとって有益な構成が提供できる。
【0012】
また、請求項2に記載したように、異常が所定時間継続した場合に各演算プロセッサをリセットすることにより、異常発生後において演算プロセッサの正常復帰が可能となる。
【0013】
また実際には、請求項5に記載したように、前記タイマ部からのタイミング通知により各々の演算プロセッサで割り込み要求が発生し、ウォッチドッグクリア処理が実施されると良い。
【0014】
また本発明は、各演算プロセッサが同一パッケージ内に設けられる場合にも好適に具体化できる(請求項6)。かかる場合において、請求項7に記載の発明では、第1及び第2の演算プロセッサは、タイマ部により通知される演算プロセッサ毎のタイミングで出力部の出力をH/L(ハイレベル/ローレベル)で反転させる。そして、前記監視部は、出力部の出力が、予め定められた周期にて反転しない場合に異常発生の旨を判定する。本構成では、何れかの演算プロセッサが暴走した場合には、出力部のH/L出力の周期性が崩れることから、異常発生が容易に且つ確実に判定できる。
【0015】
また、上記の如く出力部の出力を一定周期でH/L反転させる構成として、請求項8に記載したように、第1及び第2の演算プロセッサにおいて、前記タイマ部からのタイミング通知に従い出力部の出力を周期的に各々H又はLに操作するよう構成すると良い。
【0016】
更に、請求項9に記載の発明では、フリップフロップ回路は、第1の演算プロセッサからの周期的な出力によりセットされると共に、第2の演算プロセッサからの周期的な出力によりリセットされる。前記監視部は、フリップフロップ回路の出力が、予め定められた周期にて反転しない場合に異常発生の旨を判定する。本構成では、何れかの演算プロセッサが暴走した場合には、フリップフロップ回路のH/L出力の周期性が崩れることから、異常発生が容易に且つ確実に判定できる。
【0017】
また、上記の如くフリップフロップ回路の出力を一定周期で反転させる構成として、請求項10に記載したように、第1及び第2の演算プロセッサにおいて、前記タイマ部からのタイミング通知に従いフリップフロップ回路のセット端子及びリセット端子に周期的に各々ワンショットパルスを出力するよう構成すると良い。
【0018】
請求項11に記載の発明では、異常発生時には、前記監視部に対する出力がH又はLの何れの状態で固定されるかに応じて異常発生の演算プロセッサを特定し、その異常発生の演算プロセッサをリセットする。本構成によれば、暴走した演算プロセッサだけを選択的にリセットすることができる。
【0019】
また、請求項12に記載の発明では、前記タイマ部は、所定数のビットで構成されるフリーランタイマであり、該フリーランタイマの特定ビットの反転に伴い前記演算プロセッサに対してタイミングを通知する。この場合、フリーランタイマの各ビットは所定の時間周期で反転し、この反転のタイミングによれば、所望とする一定周期でタイミング通知を行わせることができるようになる。
また、請求項13に記載の発明では、第1の演算プロセッサと、前記第1の演算プロセッサとは異なる処理を行う第2の演算プロセッサと、これら第1及び第2の演算プロセッサからの周期的な出力により自身の出力がH/Lに反転操作される出力部とを同一パッケージ内に備え、さらに、所定数のビットで構成されてそれら各ビットがそれぞれに同一の時間間隔で反転を繰り返すフリーランタイマと、前記出力部から出力されるウォッチドッグクリア信号の周期性が崩れると前記演算プロセッサの異常発生の旨を判定する監視部とを備える。また特に、本発明では、前記フリーランタイマにより通知される特定ビットの反転タイミングに従って前記第1の演算プロセッサに前記出力部の出力をHに操作させる一方で、前記反転タイミングから一定の時間間隔が経過した後に通知される反転タイミングに従って前記第2の演算プロセッサに前記出力部の出力をLに操作させることにより、前記出力部から一定周期で反転を繰り返すウォッチドッグクリア信号を出力する。
本構成によれば、複数の演算プロセッサに対して同数の監視部が必要になることはなく、構成の簡素化が可能となる。また、特定の演算プロセッサが他の演算プロセッサの分まで監視を行う必要もなく、特定の演算プロセッサにおいて処理が煩雑になる、処理負荷が増大するといった不都合も生じない。更に、フリーランタイマの特定ビットの反転に伴い各演算プロセッサに対してタイミングを通知するようにしたので、所望とする一定周期でタイミング通知を行わせることができるようになる。なお、ウォッチドッグクリア処理の周期を変更するには、各演算プロセッサへタイミングを通知するビットを変更すれば良い。
この場合、互いに動作周期の異なる少なくとも2つ以上の演算プロセッサを有する電子制御システム(請求項15)にとって有益な構成が提供できる。
また、請求項14に記載したように、異常が所定時間継続した場合に各演算プロセッサをリセットすることにより、異常発生後において演算プロセッサの正常復帰が可能となる。
また実際には、請求項16に記載したように、前記フリーランタイマからのタイミング通知により各々の演算プロセッサで割り込み要求が発生し、ウォッチドッグクリア処理が実施されると良い。
請求項17に記載の発明では、異常発生時には、前記監視部に対する出力がH又はLの何れの状態で固定されるかに応じて異常発生の演算プロセッサを特定し、その異常発生の演算プロセッサをリセットする。本構成によれば、暴走した演算プロセッサだけを選択的にリセットすることができる。
【0020】
【発明の実施の形態】
(第1の実施の形態)
以下、この発明を具体化した第1の実施の形態を図面に従って説明する。本実施の形態の電子制御システムでは、処理速度の向上を図るべく、同一パッケージ内に2つのCPU(コア)を収容した、いわゆるデュアルコアマイコンを用いており、各CPUは、ROM、RAM、I/O、タイマなどを共通に使用する。
【0021】
図1は、本実施の形態における車載制御装置を示す構成図である。図1において、マイコン10は、エンジン制御を行う第1CPU11と、トランスミッション制御を行う第2CPU12とをはじめ、RAM13、ROM14、フリーランタイマ15、I/O部16を備える。この場合、第1CPU11は、主として回転同期のエンジン制御を行い、第2CPU12は、主として時間同期のトランスミッション制御を行う。第1及び第2CPU11,12とフリーランタイマ15には発振子17が接続されている。ここで、フリーランタイマ15は、一定時間毎(例えば1μs毎)にカウントアップされる2バイト(16ビット)のタイマカウンタにて構成される。すなわち、フリーランタイマ15は「0000H」〜「FFFFH」の間でカウント値を変化させるタイマとして機能する。
【0022】
また、I/O部16のWDC用I/Oポートには、マイコン等により構成されるWDC監視部18が接続されている。WDC監視部18は、I/O部16から出力されるWDC信号を監視し、同WDC信号の周期性が崩れると、各CPU11,12で異常発生したと判断し、リセット信号(/RST)を出力する。なお、本実施の形態では、第1及び第2CPU11,12が「演算プロセッサ」に、フリーランタイマ15が「タイマ部」に、I/O部16が「出力部」にそれぞれ相当する。
【0023】
次に、第1及び第2CPU11,12の暴走監視の動作を図2のタイムチャートを用いて説明する。図2には、フリーランタイマ15の動作、各CPU11,12のWDC処理タイミング、WDC用I/Oポートの出力(WDC信号)、リセット信号をそれぞれ示している。
【0024】
フリーランタイマ15は、一定速度でカウントアップ動作を継続し、その際、フリーランタイマ15を構成する各ビットはそれぞれに同一の時間間隔で反転を繰り返す。一例として図3に示すように、フリーランタイマ15の12番目のビット(bit12)は約4ms毎に反転を繰り返す。この場合、当該bit12の反転のタイミングが第1及び第2CPU11,12に通知され、その際、各CPU11,12では割り込み要求が発生し、WDC処理を実施する。すなわち、第1CPU11は、フリーランタイマ15のbit12が0→1に反転するタイミングでエンジン制御を中断し、WDC処理によりWDC用I/OポートをHに操作する。また、第2CPU12は、フリーランタイマ15のbit12が1→0に反転するタイミングでトランスミッション制御を中断し、WDC処理によりWDC用I/OポートをLに操作する。これにより、WDC用I/OポートからWDC監視部18に対して一定周期のWDC信号が出力される。なおこのとき、I/O部16は各CPU共通で使用されるが、各CPU11,12は、一定の時間間隔が経過する度にI/O部16に対して交互に出力を行う。そのため、I/O部16に対して同時に出力が行われるといった不都合はない。
【0025】
例えば図2の(A)期間では、上記の通りフリーランタイマ15のbit12の反転に応じてWDC用I/Oポートの出力が一定周期で反転を繰り返す。従って、両CPU11,12共に、正常動作していると判断できる。
【0026】
これに対して、例えば第2CPU12が暴走すると、第2CPU12でWDC処理が実施できなくなる。このとき、図2の(B)期間に示すように、WDC用I/OポートがLに立ち下げられず、WDC用I/Oポート出力はH固定となる。これがWDC監視部18でチェックされ、その状態がある一定時間連続すると、CPU11,12がリセットされる。このリセットにより、図2の(C)期間のように正常復帰が可能となり、それ以降、再びWDC信号が一定周期で反転動作する。
【0027】
以上詳述した本実施の形態によれば、以下に示す効果が得られる。
第1及び第2CPU11,12のWDC処理(割り込み要求発生)のタイミングをフリーランタイマ15から交互に通知し、その時生成されるWDC信号の周期性により各CPU11,12の暴走を監視した。かかる構成では、各CPU11,12に対して同数のWDC監視部が必要になることはなく、構成の簡素化が可能となる。また、特定のCPUが他のCPUの分まで監視を行う必要もなく、特定のCPUの処理が煩雑になる、処理負荷が増大するといった不都合も生じない。また更に、各CPU11,12の互いに異なる処理を行っていても、WDC信号の出力周期がずれることはない。従って、CPU11,12の暴走を確実に監視することができる。
【0028】
フリーランタイマ15の特定ビットの反転に伴い各CPU11,12に対してタイミングを通知するようにしたので、所望とする一定周期でタイミング通知を行わせることができるようになる。なお、WDC処理の周期を変更するには、各CPU11,12へタイミングを通知するbitを変更すれば良い。
【0029】
またこの場合、マイコン10から出力されるWDC信号は、周期的にH/L反転動作する従前通りのものであり、WDC監視部18としての機能は何ら変更はない。それ故に、監視対象のマイコンの形態が変わっても、WDC監視部18(監視機能)としての互換性は保たれる。つまり、監視対象のマイコンが、図1の如く同一パッケージに設けられるデュアルコアマイコンである他に、別個のパッケージに設けられるマイコンであっても、同じWDC監視部18(監視機能)が適用できる。
【0030】
なお因みに、図1の構成では、第1及び第2CPU11,12の何れかが暴走した場合、各CPU11,12を同時にリセットしたが、暴走したCPUを特定し、暴走側のCPUのみをリセットするようにしても良い。例えば、WDC用ポート出力がH固定かL固定かに応じて異常発生側のCPUを特定し、その特定したCPUに対してリセットをかけるようにする。
【0031】
(第2の実施の形態)
次に、本発明における第2の実施の形態について、第1の実施の形態との相違点を中心に説明する。本実施の形態では、別個にパッケージングされた2つのマイコンを用い、各々のマイコンが互いに異なる処理を行う構成としている。
【0032】
図4は、本実施の形態における車両制御装置を示す構成図である。図4において、本制御装置は、エンジン制御を司る第1マイコン21と、トランスミッション制御を司る第2マイコン22とを備え、両マイコン21,22はシリアル通信にて相互に通信可能に接続されている。また、これらマイコン21,22にはタイマ23が接続されており、タイマ23は、発振子24の動作に従い各マイコン21,22に対して一定周期のパルス信号を出力する。マイコン21,22はそれぞれ、タイマ出力の立ち上がり又は立ち下がりのタイミングでワンショットパルスを出力する。
【0033】
SRフリップフロップ25のセット(S)端子には、第1マイコン21のWDC用I/Oポートが接続され、リセット(R)端子には、第2マイコン22のWDC用I/Oポートが接続されている。また、フリップフロップ25の出力(Q)端子には、マイコン等により構成されるWDC監視部26が接続されている。この場合、フリップフロップ25は、第1マイコン21のワンショットパルスによりセット、第2マイコン22のワンショットパルスによりリセットされ、その出力であるWDC信号がWDC監視部26に入力される。
【0034】
WDC監視部26は、第1マイコン21のリセット(/RST)端子に接続されていると共に、第2マイコン22のリセット(/RST)端子に接続されている。そして、WDC監視部26は、フリップフロップ25の出力Qが、予め定められた周期にて反転しない場合に異常発生とみなし、各マイコン21,22の/RST端子にリセット信号を出力する。この場合、WDC監視部26は、各マイコン21,22を別個にリセットしても良いし、同時にリセットするようにしても良い。なお、本実施の形態では、第1及び第2マイコン21,22が「演算プロセッサ」に、タイマ23が「タイマ部」にそれぞれ相当する。
【0035】
次に、マイコン21,22の暴走監視の動作を図5のタイムチャートを用いて説明する。図5中、a〜e2は、図1中に同じ符号を付した各部位の信号波形を示している。
【0036】
図5において、タイマ23は、一定時間毎(例えば4ms毎)に反転出力を行う(図のa信号)。このタイマ出力の立ち上がり又は立ち下がりのタイミングでマイコン21,22で割り込み要求が発生し、WDC処理が実施される。すなわち、第1マイコン21は、タイマ出力aの立ち上がりのタイミングでエンジン制御を中断し、フリップフロップ25に対してワンショットパルスを出力する(図のb信号)。また、第2マイコン22は、タイマ出力aの立ち下がりのタイミングでトランスミッション制御を中断し、フリップフロップ25に対してワンショットパルスを出力する(図のc信号)。
【0037】
このとき、図のdに示すように、第1マイコン21からのワンショットパルスbによりフリップフロップ25がセットされ、出力QがHに操作される。また、第2マイコン22からのワンショットパルスcによりフリップフロップ25がリセットされ、出力QがLに操作される。これにより、フリップフロップ25は、タイマ出力(a信号)と同じ一定周期で反転を繰り返すこととなる。
【0038】
例えば図5の(A)期間では、上記の通りタイマ出力aの各立ち上がり及び立ち下がりに応じて各マイコン21,22から周期的にワンショットパルスb,cが出力され、それに伴いフリップフロップ25が一定周期で反転出力を繰り返す。従って、両マイコン21,22共に、正常動作していると判断できる。
【0039】
これに対して、例えば第2マイコン22が暴走すると、図5の(B)期間に示すように、タイマ出力の立ち下がりタイミングでも第2マイコン22でWDC処理が実施できなくなる。このとき、第2マイコン22からワンショットパルスが出力されないためにフリップフロップ25がリセットされず、フリップフロップ25の出力QがH固定になる。これがWDC監視部26でチェックされ、その状態がある一定時間連続すると、第2マイコン22がリセットされる(e2)。このリセットにより、図5の(C)期間のように正常復帰が可能となり、それ以降、再びWDC信号が一定周期で反転動作する。
【0040】
以上第2の実施の形態によれば、上記第1の実施の形態と同様に、構成の簡素化を図りつつ、第1及び第2マイコン21,22の暴走を正しく監視することができる。
【0041】
なお本発明は、上記以外に次の形態にて具体化できる。
上記第2の実施の形態では、第1及び第2マイコン21,22とは別個にタイマ23を設け、そのタイマ23から各マイコン21,22へWDC処理のタイミングを通知したが、その構成を図6のように変更する。図6では、第1マイコン21内のタイマ28を用い、このタイマ出力により、第1マイコン21内でWDC処理のタイミングを発生させると共に、第2マイコン22に対してWDC処理のタイミングを通知する。例えば、タイマ28は、第1マイコン21内蔵のフリーランタイマで実現される。
【0042】
また、各演算プロセッサが互いに異なる処理を行う場合でなくとも、各演算プロセッサの動作周期が異なる場合にも本発明は有効となる。すなわち、アンチスキッド制御など、同一又は同一相当の演算処理を2つの演算プロセッサで行う場合において、各演算プロセッサの動作周期が相違しても各演算プロセッサでWDC処理の周期がずれることはなく、監視動作を正しく行わせることができる。
【0043】
上記各実施の形態では、演算プロセッサの暴走時にリセットをかけるよう構成したが、これを変更する。例えば、WDC監視部が、暴走した演算プロセッサの機能を補うべくフェイルセーフ処理を実施するようにしても良い。また、演算プロセッサのリセットを複数回試みてもリセットできない場合に、同様にWDC監視部がフェイルセーフ処理を実施するようにしても良い。
【0044】
上記各実施の形態では、電子制御システムとして、2つのCPU(又はマイコン)を持つ構成を例示したが、3つ以上のCPU(又はマイコン)を持つ構成で具体化しても良い。
【図面の簡単な説明】
【図1】発明の実施の形態における車載制御装置の概要を示す構成図。
【図2】各CPUの暴走監視動作を示すタイムチャート。
【図3】フリーランタイマの動作を示す図。
【図4】第2の実施の形態において車載制御装置の概要を示す構成図。
【図5】各マイコンの暴走監視動作を示すタイムチャート。
【図6】別の形態における車載制御装置を示す構成図。
【図7】従来技術を説明するための構成図。
【符号の説明】
10…マイコン、11…第1CPU、12…第2CPU、15…フリーランタイマ、16…I/O部、18…WDC監視部、21…第1マイコン、22…第2マイコン、23…タイマ、25…フリップフロップ、26…WDC監視部。[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a runaway monitoring device for an electronic control system that includes at least two arithmetic processors operating in parallel and monitors the runaway of the arithmetic processor by a watchdog clear signal (WDC signal) based on a periodic output from the arithmetic processor. It is about.
[0002]
[Prior art]
2. Description of the Related Art Conventionally, there has been proposed an apparatus for monitoring the runaway of a microcomputer based on the periodicity of pulses output as a watchdog clear (WDC) signal. Also, in recent years, due to the increasing complexity, speed, and miniaturization of microcomputer processing, two normal microcomputers or dual-core (dual CPU) microcomputers with two CPUs in one package are used. As a result, processing is distributed to two microcomputers (CPUs).
[0003]
In the case of a control system using two microcomputers, two methods shown in FIG. That is, in FIG. 7A, a monitoring unit is provided for each of the two microcomputers A and B, and a WDC signal output from each of the microcomputers A and B is input to a separate monitoring unit. In FIG. 7B, the operation of the microcomputer B is monitored by the microcomputer A, and when the microcomputer B is normal and the microcomputer A itself is also normal, a WDC signal is output from the microcomputer A to the monitoring unit. It becomes the composition which is done.
[0004]
However, in the method shown in FIG. 7A, a monitoring unit is required for each microcomputer, and two communication lines to the monitoring unit are required, resulting in an increase in cost. In the method of FIG. 7B, the monitoring unit can be integrated into one, but the WDC signal of the microcomputer B must be monitored by the microcomputer A. Therefore, the processing on the microcomputer A side becomes complicated and the processing load is increased. Increase.
[0005]
On the other hand, for control that requires safety, such as anti-skid control, a so-called dual microcomputer system has been proposed in which two microcomputers perform the same or the same arithmetic processing (processing that calculates the same processing time in the same cycle). Japanese Patent No. 2556156 discloses a microcomputer runaway monitoring device useful for the system. In the apparatus of this publication, two microcomputers output WDC signals at different timings at predetermined intervals, and the output of the flip-flop is inverted by the WDC signal of each microcomputer. If the output period of the flip-flop is not within a predetermined range, it is determined that there is an abnormality.
[0006]
However, in the case of an electronic control system in which the processing load is distributed to multiple microcomputers and each microcomputer performs different processes, different processes such as engine control and transmission control are assigned to each microcomputer. The output timing of the WDC signal is shifted due to the difference in timing and processing time. Therefore, even if an attempt is made to output a WDC signal for each microcomputer at a predetermined cycle as in the above publication, the output cycle of the WDC signal is shifted, resulting in an erroneous monitoring operation. For example, in a control system having an engine control microcomputer and a transmission control microcomputer, the former microcomputer performs a lot of processing (angle synchronization processing) at a timing corresponding to the engine rotation, whereas the latter microcomputer performs a certain period of time. Since there are many processes (time synchronization processes) performed every time, the timing cycle cannot be adjusted by the two microcomputers.
[0007]
Also, when two microcomputers perform the same or the same arithmetic processing such as anti-skid control, the two microcomputers have different operating cycles (one is operating at 20 MHz and the other is 16 MHz). Use). Even in such a case, in the apparatus of the above publication, the timing cycle does not match for each microcomputer, and the monitoring operation cannot be performed correctly.
[0008]
[Problems to be solved by the invention]
The present invention has been made paying attention to the above-mentioned problem, and an object thereof is to provide a runaway monitoring device for an electronic control system capable of correctly monitoring a runaway of an arithmetic processor while simplifying the configuration. Is to provide.
[0009]
[Means for Solving the Problems]
In the invention of claim 1, the monitoring unit may determine the watchdog clear (WDC) effect of occurrence of abnormality in the arithmetic processor periodicity of the signal is broken based on the periodic output inputted from each of the processors To do. In particular in the present invention, the timer unit notifies the timing at a predetermined period for each of the processors, the one arithmetic processors said I follow the rising timing notified from the common timer monitoring unit And outputting the watchdog clear signal with a constant cycle to the monitoring unit by performing output to the monitoring unit according to the falling timing notified from the common timer unit. I do.
[0010]
According to this configuration, the same number of monitoring units is not required for a plurality of arithmetic processors, and the configuration can be simplified. Further, there is no need for a specific arithmetic processor to monitor the other arithmetic processors, and there is no inconvenience that the specific arithmetic processor is complicated and the processing load increases. Furthermore, according to the timing notified from the common timer unit, each arithmetic processor outputs a watchdog clear signal with a constant cycle to the monitoring unit by performing periodic output. Even when processing different from each other is undertaken, the output cycle of the watchdog clear signal does not shift. Therefore, the runaway of the arithmetic processor can be reliably monitored.
[0011]
In this case, for an electronic control system (Claim 3) having at least two arithmetic processors performing different processes, or an electronic control system (Claim 4) having at least two arithmetic processors having different operation cycles. A useful configuration can be provided.
[0012]
In addition, as described in claim 2, when each abnormality is continued for a predetermined time, each arithmetic processor is reset, so that the arithmetic processor can be returned to normal after the abnormality occurs.
[0013]
In practice, as described in claim 5, it is preferable that an interrupt request is generated in each arithmetic processor by the timing notification from the timer unit, and the watchdog clear process is performed.
[0014]
Further, the present invention can be suitably embodied when each arithmetic processor is provided in the same package (claim 6). In such a case, in the invention according to claim 7, the first and second arithmetic processors output the output of the output unit to H / L (high level / low level) at the timing of each arithmetic processor notified by the timer unit. Reverse with. Then, the monitoring unit determines that an abnormality has occurred when the output of the output unit does not reverse at a predetermined cycle. In this configuration, when one of the arithmetic processors goes out of control, the periodicity of the H / L output of the output unit is lost, so that the occurrence of an abnormality can be easily and reliably determined.
[0015]
Further, as described above, in the configuration in which the output of the output unit is inverted H / L at a constant cycle as described above, in the first and second arithmetic processors, in accordance with the timing notification from the timer unit, the output unit It is good to comprise so that the output of each may be periodically operated to H or L, respectively.
[0016]
Furthermore, in the invention described in claim 9, the flip-flop circuit is set by a periodic output from the first arithmetic processor and is reset by a periodic output from the second arithmetic processor. The monitoring unit determines that an abnormality has occurred when the output of the flip-flop circuit does not invert in a predetermined cycle. In this configuration, when one of the arithmetic processors goes out of control, the periodicity of the H / L output of the flip-flop circuit is lost, so that the occurrence of an abnormality can be easily and reliably determined.
[0017]
Further, as described above, in the configuration in which the output of the flip-flop circuit is inverted at a constant cycle as described above, in the first and second arithmetic processors, according to the timing notification from the timer unit, A one-shot pulse may be periodically output to the set terminal and the reset terminal.
[0018]
In the invention according to claim 11, when an abnormality occurs, an abnormal operation processor is specified according to whether the output to the monitoring unit is fixed in H or L, and the abnormal operation processor is determined. Reset. According to this configuration, only the runaway arithmetic processor can be selectively reset.
[0019]
In the twelfth aspect of the invention, the timer unit is a free-run timer composed of a predetermined number of bits, and the timing is notified to the arithmetic processor when a specific bit of the free-run timer is inverted. To do. In this case, each bit of the free-run timer is inverted at a predetermined time period, and according to the timing of this inversion, timing notification can be performed at a desired constant period.
In the invention according to claim 13, the first arithmetic processor, the second arithmetic processor that performs processing different from the first arithmetic processor, and the periodic operations from the first and second arithmetic processors are provided. An output unit whose own output is inverted to H / L by a simple output is provided in the same package, and further, it is composed of a predetermined number of bits and each bit repeats inversion at the same time interval. A run timer and a monitoring unit that determines that an abnormality has occurred in the arithmetic processor when the periodicity of the watchdog clear signal output from the output unit is lost. In particular, in the present invention, the output of the output unit is operated to H by the first arithmetic processor according to the inversion timing of the specific bit notified by the free-run timer, while a certain time interval is set from the inversion timing. By causing the second arithmetic processor to operate the output of the output unit to L according to the inversion timing notified after the elapse, a watchdog clear signal that repeats inversion at a constant cycle is output from the output unit.
According to this configuration, the same number of monitoring units is not required for a plurality of arithmetic processors, and the configuration can be simplified. Further, there is no need for a specific arithmetic processor to monitor the other arithmetic processors, and there is no inconvenience that the specific arithmetic processor is complicated and the processing load increases. Further, since the timing is notified to each arithmetic processor in accordance with the inversion of the specific bit of the free-run timer, the timing notification can be performed at a desired constant cycle. In order to change the cycle of the watchdog clear process, the bit for notifying the timing to each arithmetic processor may be changed.
In this case, it is possible to provide a configuration useful for an electronic control system (claim 15) having at least two arithmetic processors having different operation cycles.
Further, as described in claim 14, when the abnormality continues for a predetermined time, each arithmetic processor is reset, so that the arithmetic processor can be returned to normal after the abnormality occurs.
In practice, as described in claim 16, it is preferable that an interrupt request is generated in each arithmetic processor by the timing notification from the free-run timer, and the watchdog clear process is performed.
In the invention according to claim 17, when an abnormality occurs, an abnormal operation processor is specified according to whether the output to the monitoring unit is fixed in H or L, and the abnormal operation processor is determined. Reset. According to this configuration, only the runaway arithmetic processor can be selectively reset.
[0020]
DETAILED DESCRIPTION OF THE INVENTION
(First embodiment)
Hereinafter, a first embodiment of the present invention will be described with reference to the drawings. The electronic control system of this embodiment uses a so-called dual-core microcomputer in which two CPUs (cores) are accommodated in the same package in order to improve the processing speed, and each CPU has ROM, RAM, I / O, timer, etc. are used in common.
[0021]
FIG. 1 is a configuration diagram illustrating an in-vehicle control device according to the present embodiment. In FIG. 1, the microcomputer 10 includes a first CPU 11 that performs engine control and a second CPU 12 that performs transmission control, a RAM 13, a ROM 14, a free-run timer 15, and an I / O unit 16. In this case, the first CPU 11 mainly performs rotation-synchronized engine control, and the second CPU 12 mainly performs time-synchronized transmission control. An oscillator 17 is connected to the first and second CPUs 11 and 12 and the free-run timer 15. Here, the free-run timer 15 is composed of a 2-byte (16-bit) timer counter that is counted up at regular intervals (for example, every 1 μs). That is, the free-run timer 15 functions as a timer that changes the count value between “0000H” and “FFFFH”.
[0022]
In addition, a WDC monitoring unit 18 constituted by a microcomputer or the like is connected to the WDC I / O port of the I / O unit 16. The WDC monitoring unit 18 monitors the WDC signal output from the I / O unit 16, and when the periodicity of the WDC signal is lost, the WDC monitoring unit 18 determines that an abnormality has occurred in each of the CPUs 11 and 12, and outputs a reset signal (/ RST). Output. In the present embodiment, the first and second CPUs 11 and 12 correspond to an “arithmetic processor”, the free-run timer 15 corresponds to a “timer unit”, and the I / O unit 16 corresponds to an “output unit”.
[0023]
Next, the runaway monitoring operation of the first and second CPUs 11 and 12 will be described using the time chart of FIG. FIG. 2 shows the operation of the free-run timer 15, the WDC processing timing of each of the CPUs 11 and 12, the output of the WDC I / O port (WDC signal), and the reset signal.
[0024]
The free-run timer 15 continues the count-up operation at a constant speed, and at this time, each bit constituting the free-run timer 15 repeats inversion at the same time interval. As an example, as shown in FIG. 3, the twelfth bit (bit 12) of the free-run timer 15 repeats inversion approximately every 4 ms. In this case, the inversion timing of the bit 12 is notified to the first and second CPUs 11 and 12, and at that time, an interrupt request is generated in each of the CPUs 11 and 12, and the WDC process is performed. That is, the first CPU 11 interrupts engine control at the timing when the bit 12 of the free-run timer 15 reverses from 0 to 1, and operates the WDC I / O port to H by WDC processing. Further, the second CPU 12 interrupts the transmission control at the timing when the bit 12 of the free-run timer 15 reverses from 1 to 0, and operates the WDC I / O port to L by WDC processing. As a result, a WDC signal having a fixed period is output from the WDC I / O port to the WDC monitoring unit 18. At this time, the I / O unit 16 is commonly used by each CPU, but the CPUs 11 and 12 alternately output to the I / O unit 16 every time a certain time interval elapses. Therefore, there is no inconvenience that outputs are simultaneously performed on the I / O unit 16.
[0025]
For example, during the period (A) in FIG. 2, the output of the WDC I / O port repeats inversion at a constant period in accordance with the inversion of bit 12 of the free-run timer 15 as described above. Therefore, it can be determined that both the CPUs 11 and 12 are operating normally.
[0026]
On the other hand, for example, if the second CPU 12 runs away, the WDC process cannot be performed by the second CPU 12. At this time, as shown in the period (B) of FIG. 2, the WDC I / O port is not lowered to L, and the WDC I / O port output is fixed to H. This is checked by the WDC monitoring unit 18, and when the state continues for a certain period of time, the CPUs 11 and 12 are reset. By this reset, normal recovery is possible as in the period (C) of FIG. 2, and thereafter, the WDC signal is inverted again at a constant period.
[0027]
According to the embodiment described in detail above, the following effects can be obtained.
The timing of WDC processing (interrupt request generation) of the first and second CPUs 11 and 12 was alternately notified from the free-run timer 15, and the runaway of the CPUs 11 and 12 was monitored by the periodicity of the WDC signal generated at that time. In such a configuration, the same number of WDC monitoring units is not required for each of the CPUs 11 and 12, and the configuration can be simplified. In addition, there is no need for a specific CPU to monitor other CPUs, and there is no inconvenience that the processing of the specific CPU becomes complicated and the processing load increases. Furthermore, even if the CPUs 11 and 12 perform different processes, the output cycle of the WDC signal does not shift. Therefore, the runaway of the CPUs 11 and 12 can be reliably monitored.
[0028]
Since the timing is notified to each of the CPUs 11 and 12 in accordance with the inversion of a specific bit of the free-run timer 15, the timing notification can be performed at a desired fixed period. In order to change the cycle of the WDC process, the bit for notifying the CPUs 11 and 12 of the timing may be changed.
[0029]
In this case, the WDC signal output from the microcomputer 10 is the same as the conventional one that periodically performs the H / L inversion operation, and the function as the WDC monitoring unit 18 is not changed at all. Therefore, even if the form of the microcomputer to be monitored changes, the compatibility as the WDC monitoring unit 18 (monitoring function) is maintained. That is, the same WDC monitoring unit 18 (monitoring function) can be applied even if the monitoring target microcomputer is a dual core microcomputer provided in the same package as shown in FIG. 1 or a microcomputer provided in a separate package.
[0030]
Incidentally, in the configuration of FIG. 1, when any one of the first and second CPUs 11 and 12 runs away, the CPUs 11 and 12 are reset at the same time. However, the runaway CPU is identified and only the runaway CPU is reset. Anyway. For example, the CPU on the abnormality occurrence side is specified depending on whether the WDC port output is fixed to H or L, and the specified CPU is reset.
[0031]
(Second Embodiment)
Next, a second embodiment of the present invention will be described focusing on differences from the first embodiment. In this embodiment, two microcomputers packaged separately are used, and each microcomputer performs a different process.
[0032]
FIG. 4 is a configuration diagram showing the vehicle control device in the present embodiment. In FIG. 4, the present control device includes a first microcomputer 21 that controls the engine control and a second microcomputer 22 that controls the transmission control, and both the microcomputers 21 and 22 are connected so as to be able to communicate with each other by serial communication. . In addition, a timer 23 is connected to the microcomputers 21 and 22, and the timer 23 outputs a pulse signal having a constant period to each of the microcomputers 21 and 22 according to the operation of the oscillator 24. Each of the microcomputers 21 and 22 outputs a one-shot pulse at the rising or falling timing of the timer output.
[0033]
The WDC I / O port of the first microcomputer 21 is connected to the set (S) terminal of the SR flip-flop 25, and the WDC I / O port of the second microcomputer 22 is connected to the reset (R) terminal. ing. The output (Q) terminal of the flip-flop 25 is connected to a WDC monitoring unit 26 constituted by a microcomputer or the like. In this case, the flip-flop 25 is set by the one-shot pulse of the first microcomputer 21, is reset by the one-shot pulse of the second microcomputer 22, and the WDC signal as the output is input to the WDC monitoring unit 26.
[0034]
The WDC monitoring unit 26 is connected to the reset (/ RST) terminal of the first microcomputer 21 and is connected to the reset (/ RST) terminal of the second microcomputer 22. Then, the WDC monitoring unit 26 considers that an abnormality has occurred when the output Q of the flip-flop 25 does not invert in a predetermined cycle, and outputs a reset signal to the / RST terminals of the microcomputers 21 and 22. In this case, the WDC monitoring unit 26 may reset each of the microcomputers 21 and 22 separately or at the same time. In the present embodiment, the first and second microcomputers 21 and 22 correspond to an “arithmetic processor”, and the timer 23 corresponds to a “timer unit”.
[0035]
Next, the runaway monitoring operation of the microcomputers 21 and 22 will be described with reference to the time chart of FIG. In FIG. 5, a to e <b> 2 indicate signal waveforms of the respective parts having the same reference numerals in FIG. 1.
[0036]
In FIG. 5, the timer 23 performs an inverted output at regular intervals (for example, every 4 ms) (a signal in the figure). An interrupt request is generated in the microcomputers 21 and 22 at the rising or falling timing of the timer output, and WDC processing is performed. That is, the first microcomputer 21 interrupts the engine control at the rising timing of the timer output a, and outputs a one-shot pulse to the flip-flop 25 (b signal in the figure). The second microcomputer 22 interrupts transmission control at the timing of the fall of the timer output a, and outputs a one-shot pulse to the flip-flop 25 (c signal in the figure).
[0037]
At this time, the flip-flop 25 is set by the one-shot pulse b from the first microcomputer 21 and the output Q is operated to H as shown in FIG. Further, the flip-flop 25 is reset by the one-shot pulse c from the second microcomputer 22 and the output Q is operated to L. As a result, the flip-flop 25 repeats inversion at the same constant cycle as the timer output (a signal).
[0038]
For example, in the period (A) of FIG. 5, as described above, the one-shot pulses b and c are periodically output from the microcomputers 21 and 22 in response to the rising and falling edges of the timer output a, and the flip-flop 25 is accordingly turned on. Repeat inversion output at regular intervals. Therefore, it can be determined that both the microcomputers 21 and 22 are operating normally.
[0039]
On the other hand, if the second microcomputer 22 runs away, for example, as shown in the period (B) of FIG. 5, the WDC process cannot be performed by the second microcomputer 22 even at the falling timing of the timer output. At this time, since the one-shot pulse is not output from the second microcomputer 22, the flip-flop 25 is not reset, and the output Q of the flip-flop 25 is fixed to H. This is checked by the WDC monitoring unit 26, and when the state continues for a certain time, the second microcomputer 22 is reset (e2). By this reset, normal recovery is possible as in the period (C) of FIG. 5, and thereafter, the WDC signal is inverted again at a constant cycle.
[0040]
As described above, according to the second embodiment, as in the first embodiment, the runaway of the first and second microcomputers 21 and 22 can be correctly monitored while simplifying the configuration.
[0041]
In addition to the above, the present invention can be embodied in the following forms.
In the second embodiment, the timer 23 is provided separately from the first and second microcomputers 21 and 22, and the timer 23 notifies the microcomputers 21 and 22 of the timing of WDC processing. Change to 6 In FIG. 6, the timer 28 in the first microcomputer 21 is used, and the timing of the WDC process is generated in the first microcomputer 21 by this timer output, and the timing of the WDC process is notified to the second microcomputer 22. For example, the timer 28 is realized by a free-run timer built in the first microcomputer 21.
[0042]
Further, the present invention is effective even when the operation cycles of the respective arithmetic processors are different even when the respective arithmetic processors perform different processes. That is, when two or more arithmetic processors perform the same or the same equivalent arithmetic processing such as anti-skid control, even if the operation cycles of the arithmetic processors are different, the WDC processing cycle does not deviate from each arithmetic processor. The operation can be performed correctly.
[0043]
In each of the above-described embodiments, the operation processor is configured to be reset when the runaway occurs, but this is changed. For example, the WDC monitoring unit may perform fail-safe processing to supplement the function of the arithmetic processor that has runaway. In addition, if the resetting of the arithmetic processor cannot be reset even after a plurality of attempts, the WDC monitoring unit may similarly perform the fail-safe process.
[0044]
In each of the above-described embodiments, the configuration having two CPUs (or microcomputers) is exemplified as the electronic control system. However, the electronic control system may be embodied by a configuration having three or more CPUs (or microcomputers).
[Brief description of the drawings]
FIG. 1 is a configuration diagram showing an outline of an in-vehicle control device according to an embodiment of the invention.
FIG. 2 is a time chart showing a runaway monitoring operation of each CPU.
FIG. 3 is a diagram showing an operation of a free-run timer.
FIG. 4 is a configuration diagram showing an outline of an in-vehicle control device in a second embodiment.
FIG. 5 is a time chart showing a runaway monitoring operation of each microcomputer.
FIG. 6 is a configuration diagram showing an in-vehicle control device according to another embodiment.
FIG. 7 is a configuration diagram for explaining a conventional technique.
[Explanation of symbols]
DESCRIPTION OF SYMBOLS 10 ... Microcomputer, 11 ... 1st CPU, 12 ... 2nd CPU, 15 ... Free run timer, 16 ... I / O part, 18 ... WDC monitoring part, 21 ... 1st microcomputer, 22 ... 2nd microcomputer, 23 ... Timer, 25 ... Flip-flop, 26 ... WDC monitoring unit.

Claims (17)

並行して動作する少なくとも2つの演算プロセッサと、
各々の演算プロセッサからの周期的な出力に基づくウォッチドッグクリア信号を入力し、ウォッチドッグクリア信号の周期性が崩れると前記演算プロセッサの異常発生の旨を判定する監視部とを備える電子制御システムの暴走監視装置であって、
各々の演算プロセッサに対して共通のタイマ部より一定周期でタイミングを通知し、一方の演算プロセッサ前記共通のタイマ部から通知される立ち上がりタイミングに従って前記監視部への出力を行うとともに、他方の演算プロセッサが前記共通のタイマ部から通知される立ち下がりタイミングに従って前記監視部への出力を行うことにより、前記監視部に対して一定周期のウォッチドッグクリア信号の出力を行うことを特徴とする電子制御システムの暴走監視装置。At least two arithmetic processors operating in parallel;
An electronic control system comprising: a monitoring unit that inputs a watchdog clear signal based on a periodic output from each arithmetic processor and determines whether an abnormality occurs in the arithmetic processor when the periodicity of the watchdog clear signal is lost A runaway monitoring device,
Notifies the timing at a predetermined period of a common timer for each arithmetic processor, in conjunction with one of the processors performs an output to said I follow the rising timing notified from the common timer monitoring unit, The other arithmetic processor outputs a watchdog clear signal with a constant cycle to the monitoring unit by performing output to the monitoring unit according to the falling timing notified from the common timer unit. Runaway monitoring device for electronic control system. 前記監視部は、異常が所定時間継続した場合に各演算プロセッサをリセットするための信号を出力する請求項1に記載の電子制御システムの暴走監視装置。The runaway monitoring device for an electronic control system according to claim 1, wherein the monitoring unit outputs a signal for resetting each arithmetic processor when the abnormality continues for a predetermined time. 互いに異なる処理を行う少なくとも2つ以上の演算プロセッサを有する請求項1又は2に記載の電子制御システムの暴走監視装置。The runaway monitoring device for an electronic control system according to claim 1, further comprising at least two arithmetic processors that perform different processes. 互いに動作周期の異なる少なくとも2つ以上の演算プロセッサを有する請求項1又は2に記載の電子制御システムの暴走監視装置。The runaway monitoring device for an electronic control system according to claim 1, further comprising at least two arithmetic processors having different operation cycles. 前記タイマ部からのタイミング通知により各々の演算プロセッサで割り込み要求が発生し、ウォッチドッグクリア処理が実施される請求項1〜4の何れかに記載の電子制御システムの暴走監視装置。The runaway monitoring device for an electronic control system according to any one of claims 1 to 4, wherein an interrupt request is generated in each arithmetic processor in response to timing notification from the timer unit, and a watchdog clear process is performed. 前記した各々の演算プロセッサは、同一パッケージ内に設けられる請求項1〜5の何れかに記載の電子制御システムの暴走監視装置。The runaway monitoring device for an electronic control system according to any one of claims 1 to 5, wherein each of the arithmetic processors is provided in the same package. 請求項6に記載の電子制御システムの暴走監視装置において、
第1及び第2の演算プロセッサと、これら演算プロセッサからの周期的な出力により自身の出力が操作される出力部とを備え、第1及び第2の演算プロセッサは、前記タイマ部により通知される演算プロセッサ毎のタイミングで前記出力部の出力をH/Lで反転させ、前記監視部は、出力部の出力が、予め定められた周期にて反転しない場合に異常発生の旨を判定する電子制御システムの暴走監視装置。In the electronic control system runaway monitoring device according to claim 6,
The first and second arithmetic processors and an output unit whose own output is manipulated by periodic outputs from these arithmetic processors are provided, and the first and second arithmetic processors are notified by the timer unit. Electronic control that inverts the output of the output unit at H / L at the timing of each arithmetic processor, and the monitoring unit determines that an abnormality has occurred when the output of the output unit is not inverted at a predetermined cycle System runaway monitoring device. 請求項7に記載の電子制御システムの暴走監視装置において、
前記第1の演算プロセッサは、前記タイマ部からのタイミング通知に従い出力部の出力をHに操作する一方、前記第2の演算プロセッサは、前記タイマ部からのタイミング通知に従い出力部の出力をLに操作する電子制御システムの暴走監視装置。In the electronic control system runaway monitoring device according to claim 7,
The first arithmetic processor operates the output of the output unit to H according to the timing notification from the timer unit, while the second arithmetic processor sets the output of the output unit to L according to the timing notification from the timer unit. Runaway monitoring device for electronic control system to operate. 第1及び第2の演算プロセッサと、第1の演算プロセッサからの周期的な出力によりセットされると共に、第2の演算プロセッサからの周期的な出力によりリセットされるフリップフロップ回路とを備え、前記監視部は、フリップフロップ回路の出力が、予め定められた周期にて反転しない場合に異常発生の旨を判定する請求項1〜5の何れかに記載の電子制御システムの暴走監視装置。A first and a second arithmetic processor; and a flip-flop circuit that is set by a periodic output from the first arithmetic processor and reset by a periodic output from the second arithmetic processor, 6. The runaway monitoring device for an electronic control system according to claim 1, wherein the monitoring unit determines that an abnormality has occurred when the output of the flip-flop circuit does not invert at a predetermined cycle. 請求項9に記載の電子制御システムの暴走監視装置において、
前記第1の演算プロセッサは、前記タイマ部からのタイミング通知に従いフリップフロップ回路のセット端子にワンショットパルスを出力する一方、前記第2の演算プロセッサは、前記タイマ部からのタイミング通知に従いフリップフロップ回路のリセット端子にワンショットパルスを出力する電子制御システムの暴走監視装置。In the electronic control system runaway monitoring device according to claim 9,
The first arithmetic processor outputs a one-shot pulse to the set terminal of the flip-flop circuit according to the timing notification from the timer unit, while the second arithmetic processor outputs a flip-flop circuit according to the timing notification from the timer unit Electronic control system runaway monitoring device that outputs a one-shot pulse to the reset terminal. 請求項7〜10の何れかに記載の電子制御システムの暴走監視装置において、
異常発生時には、前記監視部に対する出力がH又はLの何れの状態で固定されるかに応じて異常発生の演算プロセッサを特定し、その異常発生の演算プロセッサをリセットする電子制御システムの暴走監視装置。In the runaway monitoring device for an electronic control system according to any one of claims 7 to 10,
In the event of an abnormality, a runaway monitoring device for an electronic control system that identifies an arithmetic processor in which an abnormality has occurred according to whether the output to the monitoring unit is fixed in H or L, and resets the arithmetic processor in which the abnormality has occurred . 前記タイマ部は、所定数のビットで構成されるフリーランタイマであり、該フリーランタイマの特定ビットの反転に伴い前記演算プロセッサに対してタイミングを通知する請求項1〜11の何れかに記載の電子制御システムの暴走監視装置。The said timer part is a free run timer comprised by a predetermined number of bits, The timing is notified to the said arithmetic processor with the inversion of the specific bit of this free run timer. Runaway monitoring device for electronic control system. 第1の演算プロセッサと、前記第1の演算プロセッサとは異なる処理を行う第2の演算プロセッサと、これら第1及び第2の演算プロセッサからの周期的な出力により自身の出力がH/Lに反転操作される出力部とを同一パッケージ内に備えた電子制御システムの暴走監視装置であって、The first arithmetic processor, the second arithmetic processor that performs processing different from the first arithmetic processor, and the periodic output from the first and second arithmetic processors causes the output to be H / L. A runaway monitoring device for an electronic control system having an output unit to be reversed in the same package,
所定数のビットで構成されてそれら各ビットがそれぞれに同一の時間間隔で反転を繰り返すフリーランタイマと、前記出力部から出力されるウォッチドッグクリア信号の周期性が崩れると前記演算プロセッサの異常発生の旨を判定する監視部とを備え、  A free-run timer composed of a predetermined number of bits, each of which is inverted at the same time interval, and an abnormality in the arithmetic processor when the periodicity of the watchdog clear signal output from the output unit is lost A monitoring unit for determining
前記フリーランタイマにより通知される特定ビットの反転タイミングに従って前記第1の演算プロセッサに前記出力部の出力をHに操作させる一方で、前記反転タイミングから一定の時間間隔が経過した後に通知される反転タイミングに従って前記第2の演算プロセッサに前記出力部の出力をLに操作させることにより、前記出力部から一定周期で反転を繰り返すウォッチドッグクリア信号を出力することを特徴とする電子制御システムの暴走監視装置。  According to the inversion timing of the specific bit notified by the free-run timer, the first arithmetic processor operates the output of the output unit to H, while inversion notified after a certain time interval has elapsed from the inversion timing. Runaway monitoring of an electronic control system characterized in that the second arithmetic processor causes the second arithmetic processor to operate the output of the output unit to L, thereby outputting a watchdog clear signal that repeats inversion at a constant period from the output unit. apparatus. 前記監視部は、異常が所定時間継続した場合に各演算プロセッサをリセットするための信号を出力する請求項13に記載の電子制御システムの暴走監視装置。The runaway monitoring device for an electronic control system according to claim 13, wherein the monitoring unit outputs a signal for resetting each arithmetic processor when an abnormality continues for a predetermined time. 前記第1及び第2の演算プロセッサは、互いに動作周期が異なっている請求項13又は14に記載の電子制御システムの暴走監視装置。The runaway monitoring device for an electronic control system according to claim 13 or 14, wherein the first and second arithmetic processors have different operation cycles. 前記フリーランタイマからのタイミング通知により各々の演算プロセッサで割り込み要求が発生し、ウォッチドッグクリア処理が実施される請求項13〜15の何れかに記載の電子制御システムの暴走監視装置。The runaway monitoring device for an electronic control system according to any one of claims 13 to 15, wherein an interrupt request is generated in each arithmetic processor by a timing notification from the free-run timer, and a watchdog clear process is performed. 請求項13〜16の何れかに記載の電子制御システムの暴走監視装置において、In the runaway monitoring device for an electronic control system according to any one of claims 13 to 16,
異常発生時には、前記監視部に対する出力がH又はLの何れの状態で固定されるかに応じて異常発生の演算プロセッサを特定し、その異常発生の演算プロセッサをリセットする電子制御システムの暴走監視装置。  In the event of an abnormality, a runaway monitoring device for an electronic control system that identifies an arithmetic processor in which an abnormality has occurred depending on whether the output to the monitoring unit is fixed in H or L, and resets the arithmetic processor in which the abnormality has occurred .
JP2000279174A 2000-09-14 2000-09-14 Runaway monitoring device for electronic control system Expired - Fee Related JP3714141B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000279174A JP3714141B2 (en) 2000-09-14 2000-09-14 Runaway monitoring device for electronic control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000279174A JP3714141B2 (en) 2000-09-14 2000-09-14 Runaway monitoring device for electronic control system

Publications (2)

Publication Number Publication Date
JP2002091802A JP2002091802A (en) 2002-03-29
JP3714141B2 true JP3714141B2 (en) 2005-11-09

Family

ID=18764222

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000279174A Expired - Fee Related JP3714141B2 (en) 2000-09-14 2000-09-14 Runaway monitoring device for electronic control system

Country Status (1)

Country Link
JP (1) JP3714141B2 (en)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4678482B2 (en) * 2005-01-13 2011-04-27 株式会社ジェイテクト Control device and electric power steering device provided with the same
JP2006338605A (en) * 2005-06-06 2006-12-14 Denso Corp Program failure monitoring method and program failure monitoring device
JP5141367B2 (en) * 2008-05-14 2013-02-13 株式会社デンソー Vehicle control device
JPWO2012053110A1 (en) * 2010-10-22 2014-02-24 富士通株式会社 Fault monitoring apparatus, fault monitoring method and program
JP6224545B2 (en) * 2014-08-05 2017-11-01 日立オートモティブシステムズ株式会社 Electronic control unit
JP2016057888A (en) * 2014-09-10 2016-04-21 株式会社デンソー Electronic control device and communication system
JP6751905B2 (en) * 2015-09-11 2020-09-09 パナソニックIpマネジメント株式会社 Lighting controls, lighting, and moving objects
DE102017220481A1 (en) * 2017-11-16 2019-05-16 Robert Bosch Gmbh A device for controlling functions for a vehicle, vehicle system for a vehicle and method for resetting electrical circuits of a device for controlling functions for a vehicle

Also Published As

Publication number Publication date
JP2002091802A (en) 2002-03-29

Similar Documents

Publication Publication Date Title
JPH0346854B2 (en)
JP3714141B2 (en) Runaway monitoring device for electronic control system
CN102822805B (en) The method of the circulating continuancing time of monitoring routing unit and hardware data processing unit
JP6224545B2 (en) Electronic control unit
JPH07334392A (en) Resetting device and abnormal operation detector
JP2010033475A (en) Electronic controller
JP2749994B2 (en) Numerical control unit
JP2000194402A (en) Method and device for monitoring cpu abnormality
JP2530040Y2 (en) Full-duplex communication method by serial communication
JPS622685Y2 (en)
JP2944543B2 (en) Interrupt control device
JP2592525B2 (en) Error detection circuit of common bus system
JP2725107B2 (en) Interrupt device
JPS63101917A (en) Method for supervising clock pulse in control device
JPH05158723A (en) Abnormality diagnostic device for decentralized processing type controller
JPS6051141B2 (en) Program runaway detection method
JPH04324568A (en) Cpu runaway monitoring device
JPS5983438A (en) Program failure detecting system
JPH09237205A (en) Program runaway detection device
JP3396649B2 (en) Period monitoring circuit
JPH04182743A (en) Restarting method for microprocessor
JPH04332056A (en) Microcomputer
JPH02299032A (en) Interruption processing control system
JP2004252555A (en) Microcomputer built-in sensor having self-diagnostic function
JP2020067685A (en) Computer system

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20041014

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20041026

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20041224

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050802

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050815

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080902

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110902

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees