JPH0552945U - Runaway monitoring device - Google Patents
Runaway monitoring deviceInfo
- Publication number
- JPH0552945U JPH0552945U JP10444491U JP10444491U JPH0552945U JP H0552945 U JPH0552945 U JP H0552945U JP 10444491 U JP10444491 U JP 10444491U JP 10444491 U JP10444491 U JP 10444491U JP H0552945 U JPH0552945 U JP H0552945U
- Authority
- JP
- Japan
- Prior art keywords
- cpu
- carry
- output
- out signal
- counter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Debugging And Monitoring (AREA)
Abstract
(57)【要約】
【目的】 主CPUと従CPUが相互監視することで暴
走監視機能を高める。
【構成】 主CPU12が、従CPU13が内蔵する切
り替えスイッチ17に対し診断モードを指定し、カウン
タ16の計数動作の外に計数動作のクリアの成否及び計
数限界を示すキャリーアウト信号の出力の有無を診断
し、異常があれば異常検出信号を出力し、診断モードの
指定を解除したあとは、カウンタ16のキャリーアウト
信号が出力される前に計数動作をクリアする。一方、従
CPU13は、主CPU12により診断モードを指定さ
れたときは、カウンタ16のキャリーアウト信号を主C
PU12に供給するとともに、診断モードを解除された
ときは、カウンタ16のキャリーアウト信号を異常検出
信号として出力する。停止回路14は、いずれの異常検
出信号によっても、主CPU12と従CPU13の動作
を強制的に停止させる。
(57) [Summary] [Purpose] The main CPU and slave CPU monitor each other to enhance the runaway monitoring function. [Structure] The main CPU 12 designates a diagnostic mode for the changeover switch 17 incorporated in the sub CPU 13, and determines whether or not the counting operation of the counter 16 is successful and whether or not the carry-out signal indicating the counting limit is output. After diagnosis, if there is an abnormality, an abnormality detection signal is output, and after canceling the designation of the diagnostic mode, the counting operation is cleared before the carry-out signal of the counter 16 is output. On the other hand, the sub CPU 13 sends the carry-out signal of the counter 16 to the main C when the diagnosis mode is designated by the main CPU 12.
While being supplied to the PU 12, the carry-out signal of the counter 16 is output as an abnormality detection signal when the diagnostic mode is released. The stop circuit 14 forcibly stops the operations of the main CPU 12 and the sub CPU 13 by any of the abnormality detection signals.
Description
【0001】[0001]
この考案は、第1のCPUと第2のCPUとが相互に監視し合うことで暴走監 視機能を高めた暴走監視装置に関する。 The present invention relates to a runaway monitoring device in which a runaway monitoring function is enhanced by mutually monitoring a first CPU and a second CPU.
【0002】[0002]
図3に示す暴走監視装置1は、衝突事故にさいして車両の乗員を保護するエア バッグ装置に搭載されたCPU2の暴走を監視するための装置である。CPU2 は、車両の速度変化や加速度変化を総合的に判断し、車両の衝突を判定したとき に即座にエアバッグを展開動作させる使命を帯びており、衝突判定のためのプロ グラムを消化実行する。ただし、車両が衝突してもいないときにCPU2が暴走 してエアバッグの展開信号を出力することがないよう、CPU2の動作は常に厳 重に監視する必要があり、このためCPU2を診断して監視するためのウォッチ ドッグ回路3が、一定の周期でもってCPU2の診断を繰り返すよう構成してあ る。 The runaway monitoring device 1 shown in FIG. 3 is a device for monitoring the runaway of the CPU 2 mounted in the airbag device that protects the occupant of the vehicle in the event of a collision accident. The CPU2 has a mission to comprehensively judge changes in vehicle speed and acceleration, and immediately deploy the airbag when a vehicle collision is judged, and execute a program for collision judgment. .. However, the operation of the CPU2 must always be closely monitored so that the CPU2 does not run away and output the airbag deployment signal when the vehicle is not in collision. The watchdog circuit 3 for monitoring is configured to repeat the diagnosis of the CPU 2 at a constant cycle.
【0003】 本例に示したウォッチドッグ回路3はカウンタ4を内蔵しており、まず車載電 源の投入を受けて、ウォッチドッグ回路3は内蔵するカウンタ4が零から計数動 作を開始する。そして、カウンタ4の計数値が一定値に達した時点で桁上がりを 示すキャリーアウト信号を出力する。ウォッチドッグ回路3のキャリーアウト出 力端子は、監視対象であるCPU2の強制割り込み入力端子(NMIバー)に接 続されているため、キャリーアウト信号を受けたCPU2は、メインルーチンの 処理動作を中断して応答動作に入る。ここでは、ウォッチドッグ回路3内のカウ ンタ4をCPU2がクリアすることで応答する構成としてあり、カウンタ4の計 数値をクリアできるのはCPU2からのクリアパルスに限られる。このため、C PU2が正常に動作している場合は、カウンタ4がオーバフローする前にCPU 2が出力するクリアパルスによりカウンタ4はクリアされる。しかし、CPU2 の動作に異常が発生した場合、すなわち暴走が発生した場合は、CPU2はクリ アパルスを出力しないため、カウンタ4はオーバフローしてしまい、オーバフロ ーと同時にウォッチドッグ回路3からCPU2に対して動作停止命令が出力され る。The watchdog circuit 3 shown in this example has a counter 4 built therein. First, when the vehicle-mounted power source is turned on, the watchdog circuit 3 starts counting operation of the built-in counter 4 from zero. Then, when the count value of the counter 4 reaches a constant value, a carry-out signal indicating carry is output. The carry-out output terminal of the watchdog circuit 3 is connected to the forced interrupt input terminal (NMI bar) of the monitored CPU 2, so the CPU 2 receiving the carry-out signal interrupts the processing operation of the main routine. Then, the response operation is started. Here, the CPU 4 in the watchdog circuit 3 responds by clearing the counter 4, and the count value of the counter 4 can be cleared only by the clear pulse from the CPU 2. Therefore, when the CPU 2 is operating normally, the counter 4 is cleared by the clear pulse output by the CPU 2 before the counter 4 overflows. However, when an abnormality occurs in the operation of the CPU2, that is, when a runaway occurs, the CPU2 does not output a clear pulse, so the counter 4 overflows and the watchdog circuit 3 sends the CPU2 to the CPU2 at the same time as the overflow. An operation stop command is output.
【0004】[0004]
上記従来の暴走監視装置1は、ウォッチドッグ回路3がカウンタ4の計数周期 でもってCPU2を監視する構成であるため、ウォッチドッグ回路3内のカウン タ4が正常に動作している場合は、CPU2の異常をクリアパルスの出力が途絶 えたことをもって検出することができる。しかし、CPU2を診断監視する立場 にあるウォッチドッグ回路3の側でなんらかの異常が発生し、カウンタ4の計数 動作が停止してしまった場合は、キャリーアウト信号がCPU2に供給されなく なるため、CPU2がクリアパルスを出力しなくともカウンタ4がオーバフロー に至ることはなく、そのためにウォッチドッグ回路3はCPU2に対する監視機 能を放棄したに等しい状態に陥ってしまう。従って、こうした状況下で仮にCP U2が暴走した場合には、ウォッチドッグ回路3の異常に気付かないままCPU 2の暴走も看過されてしまうために、いざというときにエアバッグが展開せず、 高価なシステムが人命保護にまったく役立たないことがあるといった課題を抱え ていた。また、エアバッグ装置に限らず、人命に拘わるような高い信頼性が要求 される他のシステムにおいても、CPU2とその動作を監視するウォッチドッグ 回路3について同様の課題を抱えていた。 Since the above-mentioned conventional runaway monitoring device 1 has a configuration in which the watchdog circuit 3 monitors the CPU 2 with the counting cycle of the counter 4, when the counter 4 in the watchdog circuit 3 is operating normally, the CPU 2 The abnormal condition can be detected when the output of the clear pulse is interrupted. However, if some abnormality occurs on the side of the watchdog circuit 3 that is in the position of diagnosing and monitoring the CPU 2, and the counting operation of the counter 4 is stopped, the carry-out signal is not supplied to the CPU 2, so the CPU 2 The counter 4 does not overflow even if it does not output a clear pulse, so that the watchdog circuit 3 falls into a state in which the monitoring function for the CPU 2 is abandoned. Therefore, in such a situation, if the CPU 2 runs out of control, the runaway of the CPU 2 will be overlooked without noticing the abnormality of the watchdog circuit 3, and the airbag will not deploy at an emergency, which is expensive. There was a problem that such a system may not be useful for protecting human life. Further, not only in the airbag device, but also in other systems that require high reliability such as being related to human life, the CPU 2 and the watchdog circuit 3 that monitors the operation thereof have the same problem.
【0005】[0005]
この考案は、上記課題を解決したものであり、所定のプログラムの実行に伴い 所定のタイミングでクリアパルスを発生する第1のCPUと、前記クリアパルス によりリセットされたのち計数動作を開始し、計数値が所定の上限値に達するま でに前記クリアパルスが再度入力されない場合は、前記第1のCPUが異常であ るとしてキャリーアウト信号を発生する第2のCPUと、前記クリアパルス発生 後に前記第1のCPUが前記第2のCPUの異常を検出したときに出力される異 常検出信号か又は前記キャリーアウト信号が供給されたときに、前記第1のCP Uと第2のCPUを強制的に停止させる停止回路とを具備することを特徴とする ものである。 This invention solves the above-mentioned problems, and a first CPU that generates a clear pulse at a predetermined timing with the execution of a predetermined program and a counting operation that is reset by the clear pulse and then starts counting. If the clear pulse is not input again until the numerical value reaches the predetermined upper limit value, it is determined that the first CPU is abnormal, a second CPU that generates a carry-out signal, and the above-mentioned case after the clear pulse is generated. When the abnormal detection signal output when the first CPU detects the abnormality of the second CPU or the carry-out signal is supplied, the first CPU and the second CPU are forced. And a stop circuit for stopping the electric field.
【0006】[0006]
この考案は、第1のCPUが所定のプログラムの実行に伴い所定のタイミング でクリアパルスを発生する一方、第2のCPUは前記クリアパルスによりリセッ トされたのち計数動作を開始し、計数値が所定の上限値に達するまでに前記クリ アパルスが再度入力されない場合は、前記第1のCPUが異常であるとしてキャ リーアウト信号を発生し、クリアパルス発生後に第1のCPUが第2のCPUの 異常を検出したときに出力される異常検出信号か又は前記キャリーアウト信号が 停止回路に供給されたときに、前記第1のCPUと第2のCPUを強制的に停止 させることにより、第1のCPUと第2のCPUが相互に暴走を監視し合う。 According to this invention, the first CPU generates a clear pulse at a predetermined timing when a predetermined program is executed, while the second CPU starts the counting operation after being reset by the clear pulse and the count value is If the clear pulse is not input again by the time the predetermined upper limit is reached, a carry out signal is generated indicating that the first CPU is abnormal, and after the clear pulse is generated, the first CPU switches to the second CPU. When the abnormality detection signal output when an abnormality is detected or the carry-out signal is supplied to the stop circuit, the first CPU and the second CPU are forcibly stopped, thereby The CPU and the second CPU mutually monitor runaway.
【0007】[0007]
以下、この考案の実施例について、図1,2を参照して説明する。図1は、こ の考案の暴走監視装置の一実施例を示す回路構成図、図2は、図1に示した主C PUと従CPUの動作を説明するためのフローチャートである。 An embodiment of the present invention will be described below with reference to FIGS. FIG. 1 is a circuit configuration diagram showing an embodiment of the runaway monitoring apparatus of the present invention, and FIG. 2 is a flow chart for explaining the operation of the main CPU and the sub CPU shown in FIG.
【0008】 図1に示す暴走監視装置11は、第1のCPUとしての主CPU12の動作を 監視するため従来のウォッチドッグ回路に代えて、第2のCPUとして従CPU 13を設け、主従の関係にあるこれら一対のCPU12,13を相互監視させる とともに、両CPU12,13に停止信号を入力するための停止回路14を設け たものである。主CPU12は、例えば車載用エアバッグ装置を動作させるため のプログラムを含むメインルーチンを実行するものであり、対する従CPU13 は、主CPU12の動作を補完する立場にあり、主CPU12の管轄外の仕事に 対して所定のメインルーチンを実行する。The runaway monitoring device 11 shown in FIG. 1 is provided with a slave CPU 13 as a second CPU in place of a conventional watchdog circuit in order to monitor the operation of a main CPU 12 as a first CPU. In addition to the mutual monitoring of the pair of CPUs 12 and 13 in FIG. 1, a stop circuit 14 for inputting a stop signal to both CPUs 12 and 13 is provided. The main CPU 12 executes a main routine including a program for operating, for example, an in-vehicle airbag device, while the sub CPU 13 is in a position to complement the operation of the main CPU 12 and performs work outside the jurisdiction of the main CPU 12. A predetermined main routine is executed for.
【0009】 実施例に示した主CPU12は、従CPU13側から供給される計数出力を監 視し、計数動作に異常があれば異常検出信号を出力する。また、従CPU13に 対し診断モードを指定し、計数動作の外に計数動作のリセットの成否及び計数限 界を示すキャリーアウト信号の出力の有無を診断し、異常があれば異常検出信号 を出力するとともに、診断モードの指定を解除したあとは、従CPU13側から キャリーアウト信号が出力される前にクリアパルスを発生して計数動作をリセッ トする。The main CPU 12 shown in the embodiment monitors the count output supplied from the slave CPU 13, and outputs an abnormality detection signal if the count operation is abnormal. In addition, a diagnosis mode is designated for the slave CPU 13, the success or failure of the reset of the counting operation and the output of the carry-out signal indicating the counting limit are diagnosed in addition to the counting operation, and if there is an abnormality, an abnormality detection signal is output. At the same time, after canceling the designation of the diagnostic mode, a clear pulse is generated and the counting operation is reset before the carry-out signal is output from the slave CPU 13.
【0010】 従CPU13は、主CPU12に対し計数出力とキャリーアウト信号を供給す る計数手段15を内蔵する。この計数手段15は、8ビットのカウンタ16とカ ウンタ16のキャリーアウト信号の出力先を切り替える切り替えスイッチ17か らなる。カウンタ16は、主CPU12から送り込まれるクリアパルスによって 計数値を零にリセットされ、8ビットの計数出力をデータバスを介して主CPU 12に送り出す。切り替えスイッチ17は、主CPU12から送り込まれる診断 モードパルスによって切り替えられ、診断モードにあっては主CPU12側の接 点に切り替わり、カウンタ16が出力するキャリーアウト信号を主CPU12に 送り出す。また、これとは逆に診断モードを解除されたときは、切り替えスイッ チ17は停止回路14側の接点に切り替わり、キャリーアウト信号を異常検出信 号として停止回路14に供給する。The sub CPU 13 has a built-in counting means 15 for supplying a count output and a carry-out signal to the main CPU 12. The counting means 15 comprises an 8-bit counter 16 and a changeover switch 17 for switching the output destination of the carry-out signal of the counter 16. The counter 16 has its count value reset to zero by a clear pulse sent from the main CPU 12, and sends an 8-bit count output to the main CPU 12 via the data bus. The changeover switch 17 is switched by a diagnostic mode pulse sent from the main CPU 12, switches to a contact point on the main CPU 12 side in the diagnostic mode, and sends a carry-out signal output from the counter 16 to the main CPU 12. On the contrary, when the diagnostic mode is released, the switching switch 17 switches to the contact on the stop circuit 14 side and supplies the carry-out signal to the stop circuit 14 as an abnormality detection signal.
【0011】 停止回路14は、主CPU12が出力する異常検出信号と従CPU13が出力 する異常検出信号を受信し、これらの異常検出信号のいずれか少なくとも一方を 受信したときに主CPU12と従CPU13の各強制割り込み入力端子(NMI バー)に停止信号を送り込み、主CPU12と従CPU13の動作を強制的に停 止させる働きをする。The stop circuit 14 receives the abnormality detection signal output by the main CPU 12 and the abnormality detection signal output by the slave CPU 13, and when at least one of these abnormality detection signals is received, the stop circuit 14 of the main CPU 12 and the slave CPU 13 receives the abnormality detection signal. A stop signal is sent to each forced interrupt input terminal (NMI bar) to forcibly stop the operations of the main CPU 12 and the slave CPU 13.
【0012】 ここで、図2のステップ(100)において電源を投入すると、主CPU12 と従CPU13は、それぞれステップ(101)以下と(201)以下に示すフ ローに沿って診断動作を実行する。まず、主CPU12側から従CPU13を診 断するため、ステップ(101)において、診断モードパルスのアクティブ出力 を送り出す。一方、従CPU側では、ステップ(201)に示したように、電源 の投入を受けてカウンタ16をセットし、カウンタ16による計数動作を開始し 、続くステップ(202)に示したように、主CPU12から診断モードパルス が供給されるのを待つ。Here, when the power is turned on in step (100) of FIG. 2, the main CPU 12 and the sub CPU 13 execute the diagnostic operation according to the flow shown in steps (101) and below and (201) and below, respectively. First, in order to diagnose the slave CPU 13 from the main CPU 12, the active output of the diagnostic mode pulse is sent out in step (101). On the other hand, on the slave CPU side, as shown in step (201), the counter 16 is set upon receiving the power supply, the counting operation by the counter 16 is started, and as shown in the following step (202), Wait for the diagnostic mode pulse to be supplied from the CPU 12.
【0013】 判断ステップ(203)において、診断モードパルスがいつまでたってもアク ティブとならず、カウンタ16がオーバフローした場合は、従CPU13は、判 断ステップ(204)において、オーバフローとともに異常検出信号を停止回路 14に送り込む。その結果、ステップ(300)において停止回路14から主C PU12と従CPU13に対しそれぞれ停止信号が出力され、システムは動作を 停止する。一方、主CPU12からの診断モードパルスがアクティブになった場 合は、判断ステップ(203)に続くステップ(205)において、切り替えス イッチ17が主CPU12側の接点に切り替わり、これによりカウンタ16のキ ャリーアウト信号が、切り替えスイッチ17を介して主CPU12に供給される ようになる。In the judgment step (203), if the diagnostic mode pulse does not become active forever and the counter 16 overflows, the slave CPU 13 stops the abnormality detection signal together with the overflow in the judgment step (204). Send to circuit 14. As a result, in step (300), the stop circuit 14 outputs stop signals to the main CPU 12 and the slave CPU 13, respectively, and the system stops operating. On the other hand, when the diagnostic mode pulse from the main CPU 12 becomes active, in the step (205) following the judgment step (203), the switching switch 17 switches to the contact on the main CPU 12 side, which causes the counter 16 to operate. The carry-out signal is supplied to the main CPU 12 via the changeover switch 17.
【0014】 診断モードパルスをアクティブ出力し、従CPU13に対し診断モードを指定 した主CPU12は、ステップ(102)において、まずカウンタ16のリセッ ト機能を診断する。すなわち、主CPU12からカウンタ16に対してクリアパ ルスを供給したときに、カウンタ16の計数出力が零に切り替わるかをチェック するのである。また、続くステップ(103)において、カウンタ16の計数機 能を診断する。すなわち、零リセットされたカウンタ16の計数値が歩進的に増 加するかどうかをチェックする。さらに、続くステップ(104)において、カ ウンタ16の桁上げ機能を診断する。すなわちカウンタ16が計数限界において キャリーアウト信号を出力するかどうかチェックする。そして、これら3種類の 診断の結果、カウンタ16のリセット機能と計数機能及び桁上げ機能になんら問 題がない場合は、判断ステップ(105)に続くステップ(106)において、 診断モードパルスをノンアクティブに切り替え、従CPU13に対する診断モー ドの指定を解除する。ただし、上記3種類の機能のうち、いずれか一つでも機能 に異常が検出された場合は、主CPU12から停止回路14に対して異常検出信 号が供給され、ステップ(300)においてシステムは動作停止する。The main CPU 12, which has actively output the diagnostic mode pulse and designated the diagnostic mode to the slave CPU 13, first diagnoses the reset function of the counter 16 in step (102). That is, when the clear pulse is supplied from the main CPU 12 to the counter 16, it is checked whether the count output of the counter 16 is switched to zero. Further, in the subsequent step (103), the counting function of the counter 16 is diagnosed. That is, it is checked whether or not the count value of the counter 16 which has been reset to zero increases step by step. Further, in the subsequent step (104), the carry function of the counter 16 is diagnosed. That is, it is checked whether the counter 16 outputs the carry-out signal at the counting limit. Then, as a result of these three types of diagnosis, if there is no problem in the reset function, the counting function and the carry function of the counter 16, in the step (106) following the judgment step (105), the diagnostic mode pulse is set to non-active. And the designation of the diagnostic mode for the slave CPU 13 is canceled. However, if an abnormality is detected in any one of the above three types of functions, an abnormality detection signal is supplied from the main CPU 12 to the stop circuit 14, and the system operates in step (300). Stop.
【0015】 これに対し、従CPU13側では、ステップ(205)において切り替えスイ ッチ17が主CPU12側の接点に切り替わった後、ステップ(206)におい て診断モードパルスがノンアクティブに切り替わるのを待つ。そして、診断モー ドパルスがノンアクティブに切り替わり、診断モードが解除されることで、判断 ステップ(207)に続くステップ(208)において、カウンタ16のキャリ ーアウト信号が停止回路14に供給される状態に復帰する。このため、主CPU 12による従CPU13に対する診断が完了したあとは、カウンタ16の計数出 力を監視する主CPU12が、カウンタ16が計数限界を越える前にクリアパル スを出力することで、異常検出信号であるキャリーアウト信号の停止回路14へ の供給が阻止される。ただし、主CPU12に異常が発生した場合は、カウンタ 16のキャリーアウト信号が切り替えスイッチ17を介して停止回路14に供給 され、主CPU12も従CPU13もともに動作を停止する。On the other hand, on the side of the slave CPU 13, after the switching switch 17 is switched to the contact on the side of the main CPU 12 in step (205), it waits for the diagnostic mode pulse to switch to non-active in step (206). .. Then, the diagnostic mode pulse is switched to non-active and the diagnostic mode is released, so that the carry-out signal of the counter 16 is returned to the state of being supplied to the stop circuit 14 in the step (208) following the judgment step (207). To do. Therefore, after the diagnosis of the slave CPU 13 by the main CPU 12 is completed, the main CPU 12 that monitors the counting output of the counter 16 outputs a clear pulse before the counter 16 exceeds the counting limit. The supply of the carry-out signal to the stop circuit 14 is blocked. However, when an abnormality occurs in the main CPU 12, the carry-out signal of the counter 16 is supplied to the stop circuit 14 via the changeover switch 17, and both the main CPU 12 and the sub CPU 13 stop operating.
【0016】 このように、暴走監視装置11によれば、主CPU12が、従CPU13が内 蔵する切り替えスイッチ17に対し診断モードを指定し、カウンタ16の計数動 作の外に計数動作のリセットの成否及び計数限界を示すキャリーアウト信号の出 力の有無を診断し、異常があれば異常検出信号を出力し、診断モードの指定を解 除したあとは、カウンタ16のキャリーアウト信号が出力される前にクリアパル スを発生して計数動作をリセットする。一方、カウンタ16を内蔵する従CPU 13は、主CPU12により診断モードを指定されたときは、カウンタ16のキ ャリーアウト信号を主CPU12に供給するとともに、診断モードを解除された ときは、カウンタ16のキャリーアウト信号を異常検出信号として出力する。そ して、停止回路14が、いずれの異常検出信号によっても主CPU12と従CP U13の動作を強制的に停止させる。従って、主CPU12は診断モードを指定 したときに従CPU13が内蔵するカウンタ16から供給される計数出力とキャ リーアウト信号を監視することで、カウンタ16の計数機能とリセット機能及び 桁上がり機能を診断することができ、一方また従CPU13は主CPU12が出 力する診断モードを指定する診断モードパルスとカウンタ16の計数動作をリセ ットするクリアパルスを監視することで、主CPU12の動作を診断することが できる。このため、従CPU13のカウンタ16がオーバフローする前に主CP U12側からリセットをかけるといった従CPU13による主CPU12の動作 監視と、主CPU12側から診断モードを指定して行う従CPU13の動作監視 がともに可能であり、主CPU12と従CPU13が相互に相手方の動作を診断 して互いに監視し合うため、主CPU12と従CPU13のどちらかが暴走した 場合でも、必ず両CPU12,13の動作を停止させることができ、これにより システム全体の安全を確保することができる。As described above, according to the runaway monitoring apparatus 11, the main CPU 12 designates the diagnostic mode for the changeover switch 17 included in the sub CPU 13, and resets the counting operation in addition to the counting operation of the counter 16. The carry-out signal of the counter 16 is output after diagnosing the output of the carry-out signal indicating success or failure and the counting limit, outputting the error detection signal if there is an error, and canceling the designation of the diagnostic mode. Generate a clear pulse before resetting the counting operation. On the other hand, the slave CPU 13 having the built-in counter 16 supplies the carry-out signal of the counter 16 to the main CPU 12 when the diagnosis mode is designated by the main CPU 12, and the counter 16 of the counter 16 when the diagnosis mode is released. The carry-out signal is output as an abnormality detection signal. Then, the stop circuit 14 forcibly stops the operations of the main CPU 12 and the slave CPU 13 by any abnormality detection signal. Therefore, the main CPU 12 diagnoses the counting function, the reset function and the carry function of the counter 16 by monitoring the count output and the carry out signal supplied from the counter 16 incorporated in the CPU 13 when the diagnosis mode is designated. On the other hand, the slave CPU 13 also diagnoses the operation of the main CPU 12 by monitoring the diagnostic mode pulse that specifies the diagnostic mode output by the main CPU 12 and the clear pulse that resets the counting operation of the counter 16. be able to. Therefore, the operation monitoring of the main CPU 12 by the sub CPU 13 such as resetting from the main CPU 12 side before the counter 16 of the sub CPU 13 overflows, and the operation monitoring of the sub CPU 13 by designating the diagnostic mode from the main CPU 12 side are both performed. It is possible, and the main CPU 12 and the sub CPU 13 mutually diagnose the operation of the other party and monitor each other. Therefore, even if either the main CPU 12 or the sub CPU 13 runs out of control, the operation of both CPUs 12 and 13 must be stopped. This makes it possible to secure the safety of the entire system.
【0017】[0017]
以上説明したように、この考案は、第1のCPUが所定のプログラムの実行に 伴い所定のタイミングでクリアパルスを発生する一方、第2のCPUは前記クリ アパルスによりリセットされたのち計数動作を開始し、計数値が所定の上限値に 達するまでに前記クリアパルスが再度入力されない場合は、前記第1のCPUが 異常であるとしてキャリーアウト信号を発生し、クリアパルス発生後に第1のC PUが第2のCPUの異常を検出したときに出力される異常検出信号か又は前記 キャリーアウト信号が停止回路に供給されたときに、前記第1のCPUと第2の CPUを強制的に停止させる構成としたから、第1のCPUはクリアパルスを発 生したのち第2のCPUの計数機能を診断することができ、一方また第2のCP Uは第1のCPUが出力するクリアパルスを監視することで、第1のCPUの動 作を診断することができ、これにより第2のCPUによる第1のCPUの動作監 視と、第1のCPU側からの第2のCPUの動作監視がともに可能であり、第1 のCPUと第2のCPUが相互に相手方の動作を診断して互いに監視し合うため 、 第1のCPUと第2のCPUのどちらかが暴走した場合でも、必ず両CPUの動 作を停止させることができ、これによりシステム全体の安全を確保することがで き、特にCPUの暴走がそのまま災害に結び付くような非常に高い信頼性が要求 されるシステムに好適である等の優れた効果を奏する。 As described above, according to the present invention, the first CPU generates a clear pulse at a predetermined timing when a predetermined program is executed, while the second CPU starts the counting operation after being reset by the clear pulse. However, if the clear pulse is not input again before the count value reaches the predetermined upper limit value, the carry-out signal is generated because the first CPU is abnormal, and the first CPU is cleared after the clear pulse is generated. A configuration for forcibly stopping the first CPU and the second CPU when an abnormality detection signal output when an abnormality of the second CPU is detected or the carry-out signal is supplied to the stop circuit. Therefore, the first CPU can diagnose the counting function of the second CPU after issuing the clear pulse, while the second CPU can also detect the counting function of the first CPU. By monitoring the clear pulse output by the CPU, the operation of the first CPU can be diagnosed. As a result, the operation monitoring of the first CPU by the second CPU and the operation from the first CPU side can be performed. Since the operation monitoring of the second CPU is possible, and the first CPU and the second CPU mutually diagnose the operation of the other party and monitor each other, either the first CPU or the second CPU Even in the event of a runaway, the operation of both CPUs can be stopped without fail, and the safety of the entire system can be ensured. In particular, extremely high reliability is required so that a runaway CPU can directly lead to a disaster. It has excellent effects such as being suitable for the system to be used.
【0018】 また、この考案は、第1のCPUが、第2のCPUに対し診断モードを指定し 、第2のCPUから供給される計数出力を監視することによって、第2のCPU の計数動作と該計数動作のリセット及び計数限界を示すキャリーアウト信号の出 力の有無を診断し、診断モードの指定を解除したあとは、第2のCPUがキャリ ーアウト信号を出力する前にクリアパルスを発生して前記計数動作をリセットし 、対する第2のCPUは、第1のCPUにより診断モードを指定されたときは、 キャリーアウト信号を第1のCPUに供給するとともに、診断モードを解除され たときは、キャリーアウト信号を異常検出信号として前記停止回路に出力する構 成としから、第1のCPUは第2のCPUから供給される計数出力とキャリーア ウト信号を監視することで、第2のCPUの計数機能とリセット機能及び桁上が り機能を診断することができ、一方また第2のCPUは第1のCPUが出力する 診断モードを指定するパルスと計数動作をリセットするパルスを監視することで 、第1のCPUの動作を診断することができ、これにより第2のCPU側の計数 出力がオーバフローする前に第1のCPU側からクリアをかけるといった第2の CPUによる第1のCPUの動作監視と、第1のCPU側から診断モードを指定 して行う第2のCPUの動作監視がともに可能であり、第1のCPUと第2のC PUが相互に相手方の動作を診断して互いに監視し合うことで、第1のCPUと 第2のCPUのどちらかが暴走した場合でも、必ず両CPUの動作を停止させる ことができ、システム全体の安全を確保することができる等の効果を奏する。Further, according to the present invention, the first CPU designates a diagnostic mode for the second CPU and monitors the counting output supplied from the second CPU, whereby the counting operation of the second CPU is performed. After resetting the counting operation and diagnosing the output of the carry-out signal indicating the counting limit, and after canceling the designation of the diagnostic mode, a clear pulse is generated before the second CPU outputs the carry-out signal. Then, the counting operation is reset, and when the second CPU corresponding thereto supplies a carry-out signal to the first CPU when the diagnostic mode is designated by the first CPU, and when the diagnostic mode is released. Is configured to output a carry-out signal as an abnormality detection signal to the stop circuit, so that the first CPU and the carry-out signal are supplied from the second CPU. The counting function, the reset function and the carry function of the second CPU can be diagnosed by monitoring the output signal, while the second CPU also specifies the diagnostic mode output by the first CPU. By monitoring the pulse and the pulse that resets the counting operation, the operation of the first CPU can be diagnosed, which allows the first CPU to clear it before the counting output of the second CPU overflows. It is possible to both monitor the operation of the first CPU by the second CPU, for example, call it, and monitor the operation of the second CPU by designating the diagnostic mode from the side of the first CPU. By mutually diagnosing each other's operations and monitoring each other, the CPUs can always stop the operations of both CPUs even if either the first CPU or the second CPU runs out of control. The effect of such safety can be ensured for the entire Temu.
【図1】この考案の暴走監視装置の一実施例を示す回路
構成図である。FIG. 1 is a circuit configuration diagram showing an embodiment of a runaway monitoring device of the present invention.
【図2】図1に示した主CPUと従CPUの動作を説明
するためのフローチャートである。FIG. 2 is a flowchart for explaining operations of a main CPU and a sub CPU shown in FIG.
【図3】従来の暴走監視装置の一例を示す回路構成図で
ある。FIG. 3 is a circuit configuration diagram showing an example of a conventional runaway monitoring device.
11 暴走監視装置 12 第1のCPU(主CPU) 13 第2のCPU(従CPU) 14 停止回路 15 計数手段 11 Runaway Monitoring Device 12 First CPU (Main CPU) 13 Second CPU (Slave CPU) 14 Stop Circuit 15 Counting Unit
Claims (2)
イミングでクリアパルスを発生する第1のCPUと、前
記クリアパルスによりリセットされたのち計数動作を開
始し、計数値が所定の上限値に達するまでに前記クリア
パルスが再度入力されない場合は、前記第1のCPUが
異常であるとしてキャリーアウト信号を発生する第2の
CPUと、前記クリアパルス発生後に前記第1のCPU
が前記第2のCPUの異常を検出したときに出力される
異常検出信号か又は前記キャリーアウト信号が供給され
たときに、前記第1のCPUと第2のCPUを強制的に
停止させる停止回路とを備えたことを特徴とする暴走監
視装置。1. A first CPU that generates a clear pulse at a predetermined timing when a predetermined program is executed, and a counting operation is started after being reset by the clear pulse and the count value reaches a predetermined upper limit value. If the clear pulse is not input again, the second CPU that issues a carry-out signal as the first CPU is abnormal, and the first CPU after the clear pulse is generated
Stop circuit for forcibly stopping the first CPU and the second CPU when an abnormality detection signal output when the second CPU detects an abnormality or the carry-out signal is supplied. And a runaway monitoring device.
に対し診断モードを指定し、前記第2のCPUから供給
される計数出力を監視することによって、前記第2のC
PUの計数動作と該計数動作のリセット及び計数限界を
示すキャリーアウト信号の出力の有無を診断し、前記診
断モードの指定を解除したあとは、前記第2のCPUが
前記キャリーアウト信号を出力する前にクリアパルスを
発生して前記計数動作をリセットし、前記第2のCPU
は、前記第1のCPUにより前記診断モードを指定され
たときは、前記キャリーアウト信号を前記第1のCPU
に供給するとともに、前記診断モードを解除されたとき
は、前記キャリーアウト信号を異常検出信号として前記
停止回路に出力することを特徴とする請求項1記載の暴
走監視装置。2. The first CPU is the second CPU
To the second C by monitoring the count output supplied from the second CPU
The second CPU outputs the carry-out signal after diagnosing the counting operation of the PU, the resetting of the counting operation, and the presence or absence of the output of the carry-out signal indicating the counting limit, and canceling the designation of the diagnostic mode. A clear pulse was previously generated to reset the counting operation, and the second CPU
When the diagnostic mode is designated by the first CPU, the carry-out signal is sent to the first CPU.
The runaway monitoring device according to claim 1, wherein the carry-out signal is output to the stop circuit as an abnormality detection signal when the diagnostic mode is released.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP1991104444U JP2557809Y2 (en) | 1991-12-18 | 1991-12-18 | Runaway monitoring device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP1991104444U JP2557809Y2 (en) | 1991-12-18 | 1991-12-18 | Runaway monitoring device |
Publications (2)
Publication Number | Publication Date |
---|---|
JPH0552945U true JPH0552945U (en) | 1993-07-13 |
JP2557809Y2 JP2557809Y2 (en) | 1997-12-17 |
Family
ID=14380819
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP1991104444U Expired - Lifetime JP2557809Y2 (en) | 1991-12-18 | 1991-12-18 | Runaway monitoring device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2557809Y2 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017507384A (en) * | 2013-12-18 | 2017-03-16 | ロベルト・ボッシュ・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツングRobert Bosch Gmbh | Apparatus and method for monitoring a timer |
JP2017131064A (en) * | 2016-01-21 | 2017-07-27 | ヤンマー株式会社 | Diagnostic device and power conversion device |
JP2018174045A (en) * | 2017-03-31 | 2018-11-08 | ミツミ電機株式会社 | Battery pack, secondary battery protection integrated circuit, battery monitoring module and data reading method |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS6272038A (en) * | 1985-09-25 | 1987-04-02 | Toshiba Corp | Testing method for program runaway detecting device |
JPH01103750A (en) * | 1987-10-16 | 1989-04-20 | Fujitsu Ten Ltd | Method for testing runaway detecting circuit for microcomputer |
JPH0273451A (en) * | 1988-09-08 | 1990-03-13 | Canon Inc | Controller |
JPH03204040A (en) * | 1989-12-29 | 1991-09-05 | Japan Electron Control Syst Co Ltd | Diagnostic device for microcomputer runaway monitoring circuit |
-
1991
- 1991-12-18 JP JP1991104444U patent/JP2557809Y2/en not_active Expired - Lifetime
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS6272038A (en) * | 1985-09-25 | 1987-04-02 | Toshiba Corp | Testing method for program runaway detecting device |
JPH01103750A (en) * | 1987-10-16 | 1989-04-20 | Fujitsu Ten Ltd | Method for testing runaway detecting circuit for microcomputer |
JPH0273451A (en) * | 1988-09-08 | 1990-03-13 | Canon Inc | Controller |
JPH03204040A (en) * | 1989-12-29 | 1991-09-05 | Japan Electron Control Syst Co Ltd | Diagnostic device for microcomputer runaway monitoring circuit |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017507384A (en) * | 2013-12-18 | 2017-03-16 | ロベルト・ボッシュ・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツングRobert Bosch Gmbh | Apparatus and method for monitoring a timer |
US9919665B2 (en) | 2013-12-18 | 2018-03-20 | Robert Bosch Gmbh | Device and method for monitoring a timer |
JP2017131064A (en) * | 2016-01-21 | 2017-07-27 | ヤンマー株式会社 | Diagnostic device and power conversion device |
JP2018174045A (en) * | 2017-03-31 | 2018-11-08 | ミツミ電機株式会社 | Battery pack, secondary battery protection integrated circuit, battery monitoring module and data reading method |
Also Published As
Publication number | Publication date |
---|---|
JP2557809Y2 (en) | 1997-12-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102033387B1 (en) | Vehicle safety electronic control system | |
JP4002182B2 (en) | Control equipment for restraint systems in automobiles. | |
JP2001063492A (en) | Electronic control device for vehicle safety control device | |
JPH05294207A (en) | Air bag device and operating method thereof | |
JPH06149604A (en) | Multiplex system | |
JP2012006535A (en) | In-vehicle electronic control device | |
JP3486747B2 (en) | Vehicle control device and single processor system incorporated therein | |
JPH02501960A (en) | Monitoring method and circuit device for operating elements controlled by computer | |
JPH0552945U (en) | Runaway monitoring device | |
JP2925437B2 (en) | Vehicle control computer system with self-diagnosis function | |
JP6230729B2 (en) | Elevator safety control device and elevator safety control method | |
JP2768693B2 (en) | Apparatus for monitoring a computer system having two processors | |
CN113830096A (en) | Vehicle control method and device and vehicle | |
JP3656442B2 (en) | Airbag failure display device | |
JP4820679B2 (en) | Electronic control device for vehicle | |
JPH06324721A (en) | Method for detecting falling-off of connection unit | |
KR100186374B1 (en) | Elevator check system and the control method | |
JPH06274361A (en) | Computer system for vehicle control | |
JP3493287B2 (en) | Elevator control device | |
JPH0717337A (en) | Judgement of trouble of electronic controlled unit and trouble judging device | |
JP2611549B2 (en) | Elevator group control device | |
JP2003343342A (en) | Vehicle electronic control unit | |
JPH0681039U (en) | Watchdog circuit diagnostic device | |
JP2536789Y2 (en) | Device for preventing malfunction of microcomputer system | |
JP2902153B2 (en) | Collision safety device operation circuit |