JP2005240631A - Malfunction monitoring system for internal combustion engine control system - Google Patents

Malfunction monitoring system for internal combustion engine control system Download PDF

Info

Publication number
JP2005240631A
JP2005240631A JP2004049940A JP2004049940A JP2005240631A JP 2005240631 A JP2005240631 A JP 2005240631A JP 2004049940 A JP2004049940 A JP 2004049940A JP 2004049940 A JP2004049940 A JP 2004049940A JP 2005240631 A JP2005240631 A JP 2005240631A
Authority
JP
Japan
Prior art keywords
control device
cpu control
slave cpu
master
slave
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004049940A
Other languages
Japanese (ja)
Inventor
Junji Miyake
淳司 三宅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2004049940A priority Critical patent/JP2005240631A/en
Publication of JP2005240631A publication Critical patent/JP2005240631A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a malfunction monitoring system for reasonably and simply detecting the malfunction of a slave CPU control device by additionally mounting control software only without giving poor effects to an original system. <P>SOLUTION: The system is provided for an internal combustion engine control system consisting of the several slave CPU control devices 104 for performing control in synchronization with a crank angle and at least one master CPU control device 101 for totally managing them. It is constructed so that example computation is executed in the slave CPU control devices 104 with the input of a control command value fed from the master CPU control device 101 to the slave CPU control devices 104 and its computation result is fed back to the master CPU control device 101. In the master CPU control device 101, an expected value internally generated by the same example computation is collated with the computation result from the slave side to detect the malfunction of the slave CPU control devices 104. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

本発明は、自動車等に使用される内燃機関の運転制御を行う制御系の異常監視システムに係り、特に、クランク角度に同期して制御を行う幾つかのスレーブCPU制御装置(スマート・アクチュエータ)とそれらを統括する少なくとも一つのマスタCPU制御装置(ECU)とで構成された内燃機関制御系の異常監視システムに関する。   The present invention relates to an abnormality monitoring system for a control system that controls the operation of an internal combustion engine used in an automobile or the like, and in particular, several slave CPU control devices (smart actuators) that perform control in synchronization with a crank angle; The present invention relates to an abnormality monitoring system for an internal combustion engine control system composed of at least one master CPU control unit (ECU) that controls them.

現行の内燃機関制御においては制御の高度化・精細化に伴い、種々の出力デバイスが採用されつつある。その中でもスマート・アクチュエータと呼ばれるデバイスは、制御装置が逐一関与せずともある程度、知的・自立的な動作を行うことができ、内部に専用のCPUを包含している。   In the current internal combustion engine control, various output devices are being adopted with the advancement and refinement of the control. Among them, a device called a smart actuator can perform intelligent and autonomous operations to some extent without involving a control device one by one, and includes a dedicated CPU inside.

また、これらの動きを統括する、同じく内部にCPUを包含するECU(electronic control unit)が該スマート・アクチュエータ群とは別に存在しており、一例としてスター状の結線でこれらスマート・アクチュエータ群と結ばれている。   Also, there is an ECU (electronic control unit) that controls these movements, and also includes a CPU inside, apart from the smart actuator group. For example, it is connected to these smart actuator groups by star connection. It is.

本明細書では、便宜上、前記スマート・アクチュエータ群をスレーブCPU制御装置群、これらを統括するECUをマスタCPU制御装置と称する。   In this specification, for the sake of convenience, the smart actuator group is referred to as a slave CPU control device group, and the ECU that controls them is referred to as a master CPU control device.

したがって、マスタCPU制御装置は、機関動作中にこれらスレーブCPU制御装置のCPU周りの機能異常を正確に認識し、機関を停止したり、システム全体をフェールセーフ動作に移行させる機能が要求される。   Therefore, the master CPU control device is required to have a function of accurately recognizing a function abnormality around the CPUs of these slave CPU control devices during engine operation and stopping the engine or shifting the entire system to fail-safe operation.

従来、この種の診断機能を簡便にシステムに付与する方法として、スマート・アクチュエータ内蔵CPUのウォッチドッグタイマ信号を集約して統括ECUでモニタし、統括ECU側で該ウォッチドッグタイマ信号の停止を検知することにより、アクチュエータの機能不全を判定するものが一般的に知られている。   Conventionally, as a method of easily giving this kind of diagnostic function to the system, the watchdog timer signals of the CPU with built-in smart actuator are aggregated and monitored by the central ECU, and the stoppage of the watchdog timer signal is detected on the central ECU side It is generally known to determine the malfunction of an actuator by doing so.

しかしながら、ウォッチドッグタイマ信号による判定は、少なくとも該CPUのウォッチドッグ出力ドライバ周りの健全性、およびそれを呼び出すソフトウェア部分の非停止性を皮相的に証明するだけであり、該CPU全体の機能の健全性を代表していないことはよく知られている事実である。   However, the determination by the watchdog timer signal only proves at least the soundness around the watchdog output driver of the CPU and the non-stopability of the software part that calls it, and the soundness of the function of the entire CPU. It is a well-known fact that it does not represent sex.

また、これより少し高度なCPU異常監視システムにおいては、例えば、下記特許文献1に所載のように、二つのCPUで同一の演算を行い、その演算結果を照合することにより、CPUの異常を検知するCPU異常監視システムが知られている。   Moreover, in a CPU abnormality monitoring system that is slightly more sophisticated than this, for example, as described in Patent Document 1 below, the same calculation is performed by two CPUs, and the result of the calculation is collated, so that the CPU abnormality is detected. CPU abnormality monitoring system to detect is known.

該公知例によれば、監視CPUより被監視CPUに対してシステムの制御要求としては直接に関係の無い例題データを送信し、被監視CPUでは該データに対して予め監視CPUと取り決められている例題演算を行った後その結果を監視CPUに返送する。監視CPUでは、この返送された演算結果と予め監視CPU内部で算出した期待値データとを比較してCPUの異常の有無を判定するようになっている。
特開2000−29734号公報(第1〜7頁、図1〜図4) According to the known example, the monitoring CPU transmits example data that is not directly related to the monitored CPU as a system control request, and the monitored CPU is previously negotiated with the monitoring CPU for the data. After performing the example operation, the result is returned to the monitoring CPU. In the monitoring CPU, the returned calculation result is compared with the expected value data calculated in advance in the monitoring CPU to determine whether or not there is an abnormality in the CPU.
JP 2000-29734 A (pages 1 to 7, FIGS. 1 to 4)

まず、本発明の前提となるマスタCPU制御装置−スレーブCPU制御装置システムの概要を説明する。
構成上の特徴として、マスタCPU制御装置とスレーブCPU制御装置群(スマート・アクチュエータ群)とは、一例としてスター状に結線されており、一対多通信によりマスタCPU制御装置が指令を発するので、マスタCPU制御装置が特定のスレーブCPU制御装置に費やす時間的・機能的リソースが制約されている点が挙げられる。 First, an outline of a master CPU controller-slave CPU controller system which is a premise of the present invention will be described.
As a feature of the configuration, the master CPU controller and slave CPU controller group (smart actuator group) are connected in a star shape as an example, and the master CPU controller issues a command by one-to-many communication. The time and functional resources that the control device spends on a specific slave CPU control device are limited.

また、その典型的な動作の態様は、先ずマスタCPU制御装置が、スレーブCPU制御装置(スマート・アクチュエータ)自身が収集できない環境情報、および種々のアクチュエータ自身の動作バリエーションから特定のモードを選択するためのコマンドをもとに構成された指令情報を送出した後に、実際に動作を開始すべきタイミングでトリガ信号を送出するという二段階動作を要求するものが多い。   The typical operation mode is that the master CPU controller first selects a specific mode from the environment information that the slave CPU controller (smart actuator) itself cannot collect and the operation variations of various actuators themselves. In many cases, a two-step operation is required in which a trigger signal is transmitted at a timing at which an operation should actually be started after command information configured based on the above command is transmitted.

しかも、この指令情報(環境情報・コマンド)と起動トリガとの間には、スレーブCPU制御装置(スマート・アクチュエータ)自身が先行情報を解釈する時間的余裕が必要である。併せて、前記マスタCPU制御装置より発せられる起動トリガは、機関の運転状態により所定の角度的バンド幅を持たせて前後に角度変調されるべきものであり、この角度的バンド幅に対しては、スレーブCPU制御装置にとっては来るべき起動トリガに備えていかなる動作も行うことができないという状況が発生する。即ち、この期間に対しては、スレーブCPU制御装置は、待ち受け動作であるアイドル状態を継続していなければならない。   In addition, a time margin is necessary between the command information (environment information / command) and the activation trigger for the slave CPU control device (smart actuator) itself to interpret the preceding information. In addition, the start trigger issued from the master CPU control device should be angle-modulated back and forth with a predetermined angular bandwidth depending on the operating state of the engine. For this angular bandwidth, For the slave CPU control device, there arises a situation in which no operation can be performed in preparation for an upcoming trigger. That is, for this period, the slave CPU control device must continue the idle state that is a standby operation.

このような状況を考慮した場合、前記した公知技術は採用することができない。なぜならば、マスタCPU制御装置よりスレーブCPU制御装置に対して例題データを出題する時間的・機能的リソースが無いという点がまず挙げられる。   In consideration of such a situation, the above-described known technique cannot be adopted. The reason is that there is no time / functional resource for giving example data to the slave CPU controller from the master CPU controller.

しかも、このスレーブCPU制御装置が内燃機関に複数配備されている場合、問題は顕著となる。通常、起動トリガ線は、マスタCPU制御装置よりスレーブCPU制御装置毎に結線されるとしても、前述の指令情報(環境情報・コマンド)を受け渡しする配線は、省線化のため共用化・集約化され、ポーリング・セレクティング方式のシリアル通信路などが使われることが多い。この場合、特定の時間的(角度的)スロットでのマスタCPU制御装置と各スレーブCPU制御装置との一対一通信を仮定すると、この通信路は各スレーブCPU制御装置にとって排他的に奪い合うべき共有資源となる。従って、通信トラフィックの集中や競合を避けるために、この通信路を起動するマスタCPU制御装置側ジョブもクランク角度毎に割り付けて処理(負荷)分散を図らねばならず、これら本来の機能的要求とは別に、スレーブCPU制御装置の異常監視のために例題データ送信を追加するリソースの余裕が無い。   Moreover, when a plurality of slave CPU control devices are provided in the internal combustion engine, the problem becomes significant. Normally, even if the startup trigger line is connected to each slave CPU controller from the master CPU controller, the wiring for passing the above command information (environment information / command) is shared and consolidated for line saving. In many cases, a polling / selecting serial communication path is used. In this case, assuming a one-to-one communication between the master CPU controller and each slave CPU controller in a specific temporal (angular) slot, this communication path is a shared resource that each slave CPU controller should compete for exclusively. It becomes. Therefore, in order to avoid concentration and competition of communication traffic, the master CPU controller side job that activates this communication path must also be assigned to each crank angle to distribute processing (load). Apart from that, there is no room for resources to add example data transmission for monitoring the abnormality of the slave CPU controller.

さらに、前記公知例に基づく例題演算は、出題される側のスレーブCPU制御装置にとっても大きな負担になる。   Furthermore, the example calculation based on the known example is a heavy burden for the slave CPU controller on the side where the question is given.

前述のようにスレーブCPU制御装置にとっては、マスタCPU制御装置より発せられた指令情報(環境情報・コマンド)と起動トリガとの間には、スレーブCPU制御装置自体が該指令情報を解釈する時間的余裕が必要である。しかも、前述のように起動トリガは、ある角度的バンド幅を持ってマスタCPU制御装置より発せられるものであり、この待ち受け期間中は、スレーブCPU制御装置はいかなる演算も実行することができない。加えて、起動トリガよりスレーブCPU制御装置側に引き起こされる角度同期処理は、本発明のもととなるマスタCPU制御装置−スレーブCPU制御装置システムにおいて本来最重要の動作であり、ここでも前記公知例で述べられているような例題演算を実行する余裕は無い。   As described above, for the slave CPU control device, the time between the time when the slave CPU control device itself interprets the command information between the command information (environment information / command) issued from the master CPU control device and the activation trigger. There must be a margin. Moreover, as described above, the activation trigger is issued from the master CPU control device with a certain angular bandwidth, and the slave CPU control device cannot execute any operation during this standby period. In addition, the angle synchronization process caused by the start trigger to the slave CPU controller side is the most important operation in the master CPU controller-slave CPU controller system that is the basis of the present invention. There is no room to perform the example operations described in.

結局のところ、上述のようにマスタCPU制御装置側の指令値出力時点より、スレーブCPU制御装置側が一連の角度同期処理を実行終了するまで、スレーブCPU制御装置の異常監視のための例題演算を、スレーブCPU制御装置において実行する時間的余裕が無いことになる。   After all, from the command value output time point on the master CPU controller side as described above, until the slave CPU controller side finishes executing a series of angle synchronization processing, the example calculation for monitoring the abnormality of the slave CPU controller is performed. There is no time for execution in the slave CPU controller.

したがって、前記した公知技術に対しては、上述のマスタCPU制御装置がスレーブCPU制御装置に対して行う出題リソースが制約されているという問題、およびその出題データに対してスレーブCPU制御装置側が例題演算を行うタイミングが制約されているという問題が大きな課題となっていた。   Therefore, with respect to the above-mentioned known technology, the problem that the above-mentioned master CPU controller restricts the questions to be given to the slave CPU controller, and the slave CPU controller side performs an example operation on the question data. The problem that the timing of performing is restricted is a major issue.

本発明は、このような従来の問題に鑑みてなされたもので、その目的とするところは、クランク角度に同期して制御を行う少なくとも一つのスレーブCPU制御装置とそれらを統括する少なくとも一つのマスタCPU制御装置とで構成された内燃機関制御系において、もとからあるシステムに悪影響を及ぼすことなく、制御ソフトウェアのみを追加実装するだけで、スレーブCPU制御装置の異常を合理的かつ簡便に検出することができるようにされた異常監視システムを提供することにある。   The present invention has been made in view of such conventional problems, and an object of the present invention is to provide at least one slave CPU control device that performs control in synchronization with a crank angle and at least one master that controls them. In an internal combustion engine control system configured with a CPU controller, it is possible to reasonably and easily detect abnormalities in the slave CPU controller by simply implementing additional control software without adversely affecting the original system. An object of the present invention is to provide an anomaly monitoring system that can be used.

前記目的を達成すべく、本発明に係る異常監視システムの第1態様は、少なくとも一つのスレーブCPU制御装置とそれらを統括する少なくとも一つのマスタCPU制御装置とで構成され、マスタCPU制御装置からは所定クランク角度ごとに割り付けられた指令がスレーブCPU制御装置に対して送られ、それによりスレーブCPU制御装置はクランク角度に同期した制御を行うようにされた内燃機関制御系に適用されるもので、前記スレーブCPU制御装置は、前記マスタCPU制御装置からの指令値を入力として、予めマスタ−スレーブCPU制御装置間で取り決められている異常検出用の関数演算を行い、その演算結果を所定クランク角度でマスタCPU制御装置に返送し、マスタCPU制御装置は、その内部で予め演算した関数演算値と返送された演算結果とを照合することによってスレーブCPU制御装置の異常を検出するようにされていることを特徴としている。   In order to achieve the above object, a first aspect of the abnormality monitoring system according to the present invention includes at least one slave CPU control device and at least one master CPU control device that controls them. A command assigned to each predetermined crank angle is sent to the slave CPU control device, whereby the slave CPU control device is applied to an internal combustion engine control system adapted to perform control synchronized with the crank angle, The slave CPU control device receives a command value from the master CPU control device, performs a function calculation for abnormality detection that has been negotiated in advance between the master and slave CPU control devices, and outputs the calculation result at a predetermined crank angle. Return to the master CPU controller, and the master CPU controller checks the function operation value calculated in advance and the returned operation result. Thus it is characterized in that it is adapted to detect the abnormality of the slave CPU controller.

かかる第1態様は、前述の出題リソースの制約を解決するための手法を開示したもので、より具体的には、スレーブCPU制御装置における例題演算の入力として、マスタCPU制御装置が例題データを従来のデータ通信とは独立してスレーブCPU制御装置に送るのではなく、従来制御より実施されていた前記指令情報(環境情報・コマンド)を例題演算用データとみなして例題演算を行うようにされる。これにより、マスタCPU制御装置にとっては、出題によるリソース消費の大幅な節約になる。   The first aspect discloses a method for solving the above-described question resource limitation. More specifically, the master CPU control device conventionally transfers the example data as an input of the example operation in the slave CPU control device. The command information (environment information / command), which has been implemented from the conventional control, is regarded as the data for example calculation, instead of being sent to the slave CPU control device independently of the data communication. . As a result, for the master CPU control device, the resource consumption due to the questions is greatly reduced.

上記第1態様では、例題演算の“種”となる指令情報(環境情報・コマンド)が毎回変化せず、スレーブCPUの異常検出に関する感度が低下するという状況が予想され得る。   In the first aspect, command information (environment information / command) that is a “seed” of the example calculation does not change every time, and a situation in which the sensitivity related to abnormality detection of the slave CPU may be expected.

そこで、第2態様では、この問題に対する対策を開示する。即ち、本発明に係る異常監視システムの第2態様は、前記マスタCPU制御装置からスレーブCPU制御装置に送られる、異常検出用の関数演算入力となる指令値は、前記関数演算入力のみにしか使用せず異常監視以外の用途には使用されないマスタCPU制御装置が生成した乱数値のデータ部分を含んでいることを特徴としている。   Therefore, in the second aspect, measures against this problem are disclosed. That is, in the second aspect of the abnormality monitoring system according to the present invention, the command value that is sent from the master CPU controller to the slave CPU controller and becomes the function calculation input for abnormality detection is used only for the function calculation input. It is characterized by including a data portion of a random value generated by a master CPU control device that is not used for purposes other than abnormality monitoring.

より具体的には、前記指令情報の空きビットフィールドに、マスタCPU制御装置側で生成した乱数をはめ込み、スレーブCPU例題演算の周期毎に毎回異なる例題演算の“種”をスレーブCPU制御装置に供給するようにされる。   More specifically, the random number generated on the master CPU controller side is inserted into the empty bit field of the command information, and the “seed” of the example operation that is different every time the slave CPU example operation cycle is supplied to the slave CPU controller. To be done.

本発明に係る異常監視システムの第3態様は、前記第1態様と同じ構成の内燃機関制御系に適用されるもので、前記スレーブCPU制御装置は、前記マスタCPU制御装置とは無関係に収集した値を入力として、予めマスタ−スレーブCPU制御装置間で取り決められている異常検出用の関数演算を行い、前記関数入力値とその演算結果を所定クランク角度でマスタCPU制御装置に返送し、マスタCPU制御装置は、前記関数入力値をもとに前記異常検出用の関数演算を再現し、この再現結果をスレーブCPU制御装置から返送された演算結果と照合することによってスレーブCPU制御装置の異常を検出するようにされていることを特徴としている。   The third aspect of the abnormality monitoring system according to the present invention is applied to the internal combustion engine control system having the same configuration as the first aspect, and the slave CPU control device collects the data independently of the master CPU control device. Using the value as input, perform the function calculation for abnormality detection that has been negotiated between the master and slave CPU controllers in advance, and return the function input value and the calculation result to the master CPU controller at a predetermined crank angle. The control device reproduces the function calculation for abnormality detection based on the function input value, and detects the abnormality of the slave CPU control device by comparing this reproduction result with the calculation result returned from the slave CPU control device. It is characterized by being made to do.

かかる第3態様は、そもそも前記例題演算用の“種”をマスタCPU制御装置からスレーブCPU制御装置に送るのではなく、スレーブCPU制御装置側で独自に生成するようにしたものである。より具体的には、例題演算に際して、スレーブCPU制御装置は、スレーブCPU制御装置側で収集可能なA/D変換値、タイマデバイス値などのデータをもとに例題演算の“種”を生成する。ここにおいて、マスタCPU制御装置よりスレーブCPU制御装置に対して送られる指令値は、スレーブCPU制御装置側における例題演算のペースメーカとしてのタイミングを供給する意味しかなさない。   In the third aspect, the “seed” for the above example calculation is not generated from the master CPU control device to the slave CPU control device, but is generated independently on the slave CPU control device side. More specifically, in the example calculation, the slave CPU control device generates a “seed” of the example calculation based on data such as A / D conversion values and timer device values that can be collected on the slave CPU control side. . Here, the command value sent from the master CPU controller to the slave CPU controller only has a meaning of supplying the timing as a pacemaker for the example calculation on the slave CPU controller side.

これにより、マスタCPU制御装置では、例題演算の“種”(関数入力値)とその結果(関数出力値)を一組のデータとして、スレーブCPU制御装置より受け取らなければならなくなるが、前記第1態様よりも、出題によるリソース消費の節約となる。   As a result, the master CPU controller must receive the “seed” (function input value) of the example operation and the result (function output value) as a set of data from the slave CPU controller. Compared to the aspect, resource consumption can be saved by setting questions.

本発明に係る異常監視システムの第4態様は、前記第1態様と第2態様との関係に対応するものであって、前記スレーブCPU制御装置によってマスタCPU制御装置とは無関係に収集された異常検出用の関数演算入力となる値は、前記関数演算入力のみにしか使用せず異常監視以外の用途に使用されないスレーブCPU制御装置が生成した乱数値のデータ部分を含んでいることを特徴としている。   A fourth aspect of the abnormality monitoring system according to the present invention corresponds to the relationship between the first aspect and the second aspect, and is an abnormality collected by the slave CPU control device independently of the master CPU control device. A value that is a function calculation input for detection includes a data portion of a random value generated by a slave CPU control device that is used only for the function calculation input and is not used for purposes other than abnormality monitoring. .

具体的には、スレーブCPU制御装置側で独自に生成した例題演算用の“種”データが、例題演算周期に対して毎回変化するように規制し、スレーブCPU異常検出感度が低下することを防止する。即ち、第2態様と同様に、例題演算入力の“種”データの一部(もしくは全部)を乱数データとすることによって例題演算周期毎にその出力期待値が変化するようにし、スレーブCPU制御装置の異常に際してもその異常出力値が例題演算期待値と同一データに写像する確率を低減するものである。   Specifically, the “seed” data for example computations uniquely generated on the slave CPU controller side is regulated to change every time the example computation cycle, preventing the slave CPU abnormality detection sensitivity from being lowered. To do. That is, similar to the second aspect, by making a part (or all) of the “seed” data of the example operation input random number data, the output expected value changes every example operation cycle, and the slave CPU control device Even when an abnormality occurs, the probability that the abnormal output value maps to the same data as the expected value of the example calculation is reduced.

本発明に係る異常監視システムの第5態様は、前述のスレーブCPU制御装置側における例題演算の実行タイミング制約を解消するための手法を開示する。即ち、前記スレーブCPU制御装置内での異常検出用関数演算の実行、および該演算出力値のマスタCPU制御装置への返送は、マスタCPU制御装置の指令がスレーブCPU制御装置に達してから、スレーブCPU制御装置のクランク角度同期制御動作の終了時までは禁止するようにされる。   The fifth aspect of the abnormality monitoring system according to the present invention discloses a technique for eliminating the execution timing restriction of the example calculation on the slave CPU control device side. That is, the execution of the abnormality detection function calculation in the slave CPU control device and the return of the calculation output value to the master CPU control device are performed after the master CPU control command reaches the slave CPU control device. The CPU control device is prohibited until the end of the crank angle synchronization control operation.

前述のように、マスタCPU制御装置側の指令値出力時点から、スレーブCPU制御装置側が一連の角度同期処理を実行終了するまで、スレーブCPU制御装置にとっては例題演算を実行する(もしくはその結果をマスタCPU制御装置に返送する)時間的余裕は無い。むしろ、無規律にこれらの期間中に例題演算を実行すれば、本来の角度制御動作の応答性が損なわれたり、指令コマンドを過去より変化していないものと誤解釈したりする問題が発生し得る。これを回避するために、例題演算の実行およびその結果のマスタCPU制御装置への返送動作を、上記一連の制御実行後まで禁止しようとするものである。   As described above, for the slave CPU control device, the example calculation is executed (or the result of the master CPU control device side until the master CPU control device side finishes executing the series of angle synchronization processing) (Returned to the CPU controller) There is no time margin. Rather, if the example calculation is executed irregularly during these periods, the responsiveness of the original angle control operation may be impaired, or the command command may be misinterpreted as unchanged from the past. obtain. In order to avoid this, the execution of the example operation and the return operation of the result to the master CPU controller are to be prohibited until after the above series of control executions.

本発明に係る異常監視システムの第6態様は、例題演算結果の収集リソース消費を低減する手法を開示する。即ち、前記スレーブCPU制御装置からマスタCPU制御装置への異常検出用関数演算の出力値返送を、マスタCPU制御装置からスレーブCPU制御装置への指令と同じタイミングで全二重通信により行い、マスタCPU制御装置からスレーブCPU制御装置への今回の指令値と、スレーブCPU制御装置からマスタCPU制御装置への前回の関数演算出力値返送とを同時に実行するようにされる。   The sixth aspect of the anomaly monitoring system according to the present invention discloses a technique for reducing the collection resource consumption of example calculation results. That is, the output value return of the function calculation for abnormality detection from the slave CPU control device to the master CPU control device is performed by full-duplex communication at the same timing as the command from the master CPU control device to the slave CPU control device. The current command value from the control device to the slave CPU control device and the previous function calculation output value return from the slave CPU control device to the master CPU control device are executed simultaneously.

前述のようにマスタCPU制御装置とスレーブCPU制御装置が一対多通信を行っている関係上、例題出題リソースと同様に例題演算結果を各スレーブCPU制御装置より収集するリソースが必要となる。本来ならば、マスタCPU制御装置は、指令情報出力と同様に時間的(角度的)スロットを設定して、各スレーブCPU制御装置より一対多通信で結果を収集することになるが、これらに充当させるリソースの追加消費は出題時同様、システムにとって無視できない状況となっている。   Since the master CPU control device and the slave CPU control device perform one-to-many communication as described above, a resource for collecting the example calculation results from each slave CPU control device is required in the same manner as the example question resource. Originally, the master CPU controller sets time (angular) slots in the same way as command information output, and collects the results from each slave CPU controller by one-to-many communication. The additional consumption of resources is in a situation that cannot be ignored by the system, as it was in the questions.

これを解消すべく、本第6態様では、全二重通信を用いて、もとから存在する指令情報の出力時(即ち例題演算に関しては今回の“種”の出力時)に裏で前回の例題演算結果をスレーブCPU制御装置より収集しようとするものである。これにより前記データ収集によるリソース消費を大幅に低減できる。   In order to solve this problem, in the sixth aspect, using full-duplex communication, when the command information that originally exists is output (that is, when “seed” is output for the current example calculation), This example attempts to collect operation results from the slave CPU controller. Thereby, resource consumption due to the data collection can be greatly reduced.

本発明に係る異常監視システムの第7態様は、例題演算で実行する異常検出用関数の構成を開示する。即ち、前記予めマスタ−スレーブCPU制御装置間で取り決められている異常検出用の関数は、スレーブCPU制御装置の算術・論理演算回路、レジスタ・ファイル、アドレスバス及びデータバス、キャシュ制御機構、並びにプログラムカウンタ及びスタックポインタを含むプログラム実行制御機構のうちの少なくとも一つの健全性を実証するため、それらの操作結果が関数出力値に反映される命令列を含んでいることを特徴としている。   A seventh aspect of the abnormality monitoring system according to the present invention discloses a configuration of an abnormality detection function that is executed by an example calculation. That is, the abnormality detection function previously determined between the master-slave CPU control device includes the arithmetic / logic operation circuit, register file, address bus and data bus, cache control mechanism, and program of the slave CPU control device. In order to demonstrate the soundness of at least one of the program execution control mechanisms including the counter and the stack pointer, the operation result includes an instruction sequence reflected in the function output value.

スレーブCPUの機能的健全性を正しく例題演算に反映するためには、前記のような命令列で異常検出用関数を構成することが望ましい。   In order to correctly reflect the functional soundness of the slave CPU in the example computation, it is desirable to configure the abnormality detection function with the above instruction sequence.

即ち、例題演算に反映させるべきCPUの機能部位として、算術・論理演算回路、レジスタ・ファイル、アドレスバス及びデータバス、キャシュ制御機構、プログラムカウンタ及びスタックポインタを含むプログラム実行制御機構などが挙げられる。   That is, the functional parts of the CPU to be reflected in the example operation include an arithmetic / logical operation circuit, a register file, an address bus and a data bus, a cache control mechanism, a program execution control mechanism including a program counter and a stack pointer.

本発明に係る異常監視システムの第8態様は、第7態様と同様に例題演算で実行する異常検出用関数の他の構成について開示する。即ち、前記予めマスタ−スレーブCPU制御装置間で取り決められている異常検出用の関数は、スレーブCPU制御装置に結合された浮動小数点演算ユニットの健全性を実証するため、その操作結果が関数出力値に反映される命令列を含んでいることを特徴としている。   The eighth aspect of the abnormality monitoring system according to the present invention discloses another configuration of the abnormality detection function that is executed by the example calculation as in the seventh aspect. In other words, the abnormality detection function previously negotiated between the master-slave CPU control device demonstrates the soundness of the floating point arithmetic unit coupled to the slave CPU control device. It is characterized by including an instruction sequence reflected in.

浮動小数点ユニットは電磁障害に際してメインプロセッサコアとは無関係に故障するモードがあることが知られている。   It is known that the floating point unit has a mode of failure regardless of the main processor core in the event of an electromagnetic failure.

したがって、システムで浮動小数点演算を採用する場合は、異常検出用関数で用いる命令列として該浮動小数点ユニットの操作命令を含むように構成すれば、CPUばかりではなく、浮動小数点ユニットの健全性も併せて検証可能となる。   Therefore, when adopting floating-point arithmetic in the system, it is possible to include not only the CPU but also the soundness of the floating-point unit if it is configured to include the operation instruction of the floating-point unit as the instruction sequence used in the abnormality detection function. Can be verified.

本発明に係る異常監視システムの第9態様は、第7態様および第8態様と同様に、例題演算で実行する異常検出用関数の他の別の構成について開示する。即ち、前記予めマスタ−スレーブCPU制御装置間で取り決められている異常検出用の関数は、スレーブCPU制御装置に結合されたA/D変換器及びタイマ・デバイスなどの周辺デバイスの動作モードを決定するコンフィギュレーションレジスタの値の不変性を実証するため、それらのコンフィギュレーションレジスタのビットパターンが関数出力値に反映される命令列を含んでいることを特徴としている。   The ninth aspect of the abnormality monitoring system according to the present invention discloses another configuration of the abnormality detection function to be executed by the example calculation as in the seventh aspect and the eighth aspect. That is, the function for detecting an abnormality that has been negotiated between the master and slave CPU controllers in advance determines the operation mode of peripheral devices such as A / D converters and timer devices coupled to the slave CPU controller. In order to demonstrate the invariance of the values of the configuration registers, the bit pattern of the configuration registers includes an instruction sequence reflected in the function output value.

CPUコアには、A/D変換器およびタイマ・デバイスなどの内蔵周辺デバイスが接続されている。これらの内蔵周辺デバイスには、その動作モードを決定するコンフィギュレーションレジスタが設置されており、スレーブCPU制御プログラムの初期化時に特定の値が設定され、それ以後これらの値は論理的には書き換えられない。しかしながら、電磁障害、α線エラー、もしくはCPU暴走によっては、これらの値が破壊されることが一般に知られている。   Built-in peripheral devices such as A / D converters and timer devices are connected to the CPU core. These built-in peripheral devices have a configuration register that determines the operation mode, and specific values are set when the slave CPU control program is initialized. Thereafter, these values are logically rewritten. Absent. However, it is generally known that these values are destroyed by electromagnetic interference, alpha error, or CPU runaway.

したがって、このコンフィギュレーションレジスタの値の不変性を実証するため、これらのコンフィギュレーションレジスタのビットパターンが前記異常検出用関数の出力値に反映される命令列を含んで、該異常検出用関数を構成すれば、CPUばかりではなく、内蔵周辺デバイスの健全性も併せて検証可能となる。   Therefore, in order to demonstrate the invariance of the values of the configuration register, the abnormality detection function is configured by including an instruction sequence in which the bit pattern of the configuration register is reflected in the output value of the abnormality detection function. Then, not only the CPU but also the soundness of the built-in peripheral devices can be verified.

本発明によれば、内燃機関制御系の異常監視を合理的かつ簡便に行うことができるとともに、従前のシステムそのままに制御ソフトウェアのみによる追加実装の形で具現化できるので、追加コストの上昇を抑えることができる。   According to the present invention, the abnormality monitoring of the internal combustion engine control system can be performed rationally and simply, and the conventional system can be embodied in the form of additional implementation using only the control software, thereby suppressing an increase in additional cost. be able to.

また、追加実装に際して、もとからあるシステムの制御実行速度および応答性、もしくはもとからあるCPU間通信システムの通信トラフィックに対して悪影響を及ぼさず異常監視のための診断を付与できるという利点も有する。   In addition, in the additional implementation, there is also an advantage that diagnosis for abnormality monitoring can be given without adversely affecting the control execution speed and responsiveness of the original system or the communication traffic of the original inter-CPU communication system. Have.

さらに、本発明による例題演算機構は、従来のウォッチドッグ信号監視などの方式と比べて極めて高度な診断能力を有するので、多CPUシステムにおける信頼性を大幅に向上できる。   Furthermore, since the example calculation mechanism according to the present invention has an extremely high diagnostic ability as compared with a conventional system such as watchdog signal monitoring, the reliability in a multi-CPU system can be greatly improved.

以下、本発明の異常監視システムの実施の形態を図面を参照しながら説明する。
図1は、本発明に係る異常監視システムの実施形態を、それが適用された車載用内燃機関と共に示す概略構成図である。 Hereinafter, embodiments of an abnormality monitoring system of the present invention will be described with reference to the drawings.
FIG. 1 is a schematic configuration diagram showing an embodiment of an abnormality monitoring system according to the present invention together with an in-vehicle internal combustion engine to which it is applied.

図示内燃機関10は、例えば4つの気筒を有する多気筒機関であって、シリンダ12と、このシリンダ12の各気筒内に摺動自在に嵌挿されたピストン15と、を有し、該ピストン15上方には燃焼室17が画成される。燃焼室17には、点火プラグ26が臨設されるとともに、吸気通路20の最下流部分を形成する吸気ポート24および排気通路30の最上流部分を形成する排気ポート25が開口せしめられ、それら吸気ポート24および排気ポート25を開閉すべく、電磁駆動弁(吸気弁、排気弁)34、35が配備されている。   The illustrated internal combustion engine 10 is a multi-cylinder engine having, for example, four cylinders, and includes a cylinder 12 and a piston 15 slidably inserted into each cylinder of the cylinder 12. A combustion chamber 17 is defined above. In the combustion chamber 17, a spark plug 26 is provided, and an intake port 24 that forms the most downstream portion of the intake passage 20 and an exhaust port 25 that forms the most upstream portion of the exhaust passage 30 are opened. Electromagnetically driven valves (intake valves and exhaust valves) 34 and 35 are provided to open and close the 24 and the exhaust port 25.

前記吸気通路20には、エアクリーナ21、電制スロットル弁22、燃料噴射弁23等が配在されている。吸気通路20に吸入された空気と燃料噴射弁23から噴射された燃料とで形成される混合気は、吸気ポート23から電磁駆動弁(吸気弁)34を介して燃焼室17に吸入され、ここで点火プラグ26により点火されて爆発燃焼せしめられ、その燃焼廃ガス(排気)は、燃焼室17から電磁駆動弁(排気弁)35を介して排気通路30に排出され、図示されていない排気浄化用触媒で浄化された後、外部に排出される。   In the intake passage 20, an air cleaner 21, an electric throttle valve 22, a fuel injection valve 23, and the like are arranged. The air-fuel mixture formed by the air sucked into the intake passage 20 and the fuel injected from the fuel injection valve 23 is sucked into the combustion chamber 17 from the intake port 23 via the electromagnetically driven valve (intake valve) 34, The combustion exhaust gas (exhaust gas) is ignited by the spark plug 26 and explosively burned, and the combustion waste gas (exhaust gas) is exhausted from the combustion chamber 17 to the exhaust passage 30 via the electromagnetically driven valve (exhaust valve) 35, and exhaust purification not shown After being purified by the catalyst for use, it is discharged outside.

上記構成に加え、前記電磁駆動弁34、35には,スマート・アクチュエータであるスレーブCPU制御装置104、105が付設され、さらに、前記スレーブCPU制御装置104、105や図示していない他のスレーブCPU制御装置を統括するマスタCPU制御装置(ECU)101が備えられている。   In addition to the above configuration, the electromagnetically driven valves 34 and 35 are attached with slave CPU control devices 104 and 105 which are smart actuators, and further, the slave CPU control devices 104 and 105 and other slave CPUs (not shown). A master CPU control unit (ECU) 101 that controls the control unit is provided.

マスタCPU制御装置101は、スタータスイッチ102により内燃機関の始動(クランキング)開始を認識した後、クランク角センサ103からの信号に基づいてクランク軸16の回転角度(クランク角度)を検知し、制御装置101内に格納されたソフトウェアの設定に従って、クランク角度に割り付けられたジョブを実行する。そのジョブの実行意図は、主として電磁駆動弁34、35用スマート・アクチュエータたるスレーブCPU制御装置104、105の制御を行うことである。   After the starter switch 102 recognizes the start (cranking) of the internal combustion engine by the starter switch 102, the master CPU control device 101 detects the rotation angle (crank angle) of the crankshaft 16 based on the signal from the crank angle sensor 103, and performs control. The job assigned to the crank angle is executed in accordance with the software setting stored in the apparatus 101. The job execution intention is mainly to control the slave CPU control devices 104 and 105 which are smart actuators for the electromagnetically driven valves 34 and 35.

マスタCPU制御装置101とスレーブCPU制御装置104、105の間は、高速トリガ線106、107と、低速通信線108、109で結線されている。   The master CPU control device 101 and the slave CPU control devices 104 and 105 are connected by high-speed trigger lines 106 and 107 and low-speed communication lines 108 and 109.

マスタCPU制御装置101は、低速通信線108、109を通じて、スレーブCPU制御装置104、105と情報をやり取りする。これらの情報の具体例を列挙すると、マスタCPU制御装置101からスレーブCPU制御装置104、105への情報としては、スレーブCPU制御装置たるスマート・アクチュエータ自身が収集できない環境情報(油温、吸排気ポート差圧等の外乱情報)、および種々のアクチュエータ自身の動作バリエーションから特定のモードをマスタCPU制御装置101が選択するコマンド類である。一方、スレーブCPU制御装置104、105からマスタCPU制御装置101への情報としては、アクチュエータ自身が独自収集した環境情報および診断情報等が挙げられる。   The master CPU control device 101 exchanges information with the slave CPU control devices 104 and 105 through the low-speed communication lines 108 and 109. To list specific examples of these information, as information from the master CPU controller 101 to the slave CPU controllers 104 and 105, environmental information (oil temperature, intake / exhaust ports) that cannot be collected by the smart actuator itself as the slave CPU controller These are commands for the master CPU control device 101 to select a specific mode from disturbance information such as differential pressure) and operation variations of various actuators themselves. On the other hand, examples of information from the slave CPU control devices 104 and 105 to the master CPU control device 101 include environmental information and diagnostic information independently collected by the actuator itself.

上記情報の設定の後に、マスタCPU制御装置101は、高速トリガ線106、107を通じて、スレーブCPU制御装置104、105に対して起動トリガを送り、電磁駆動弁(吸排気弁)の開閉動作を実行させる。   After setting the above information, the master CPU control device 101 sends an activation trigger to the slave CPU control devices 104 and 105 through the high-speed trigger lines 106 and 107, and executes the opening / closing operation of the electromagnetically driven valves (intake and exhaust valves). Let

なお、図では、内燃機関10の一気筒分についてのみ結線関係を示したが、実際には、マスタCPU制御装置101を起点として、他気筒の電磁駆動弁に付設されている同様なスレーブCPU制御装置が、上述の低速通信線および高速トリガ線によってスター状に配線される。   In the figure, the connection relationship is shown only for one cylinder of the internal combustion engine 10, but actually, similar to the slave CPU control attached to the electromagnetically driven valves of the other cylinders starting from the master CPU controller 101. The device is wired in a star shape by the above-described low-speed communication line and high-speed trigger line.

図2は、クランク角度をもとにマスタCPU制御装置101とスレーブCPU制御装置104、105の動作説明に供されるチャートである。ただし、図及び説明が煩瑣になるのを避けるため、二つのスレーブCPU制御装置のうちの吸気弁34側のスレーブCPU制御装置104の動作を代表して示す(以降の図も同様)。   FIG. 2 is a chart for explaining the operation of the master CPU control device 101 and the slave CPU control devices 104 and 105 based on the crank angle. However, in order to avoid bothering the drawing and explanation, the operation of the slave CPU control device 104 on the intake valve 34 side of the two slave CPU control devices is shown as a representative (the same applies to the following drawings).

大円201は、マスタCPU制御装置101のクランク角度に基づく動作を示しており、小円202は、スレーブCPU制御装置104の動作を示す。   A large circle 201 indicates an operation based on the crank angle of the master CPU control device 101, and a small circle 202 indicates an operation of the slave CPU control device 104.

前述した通り、まずマスタCPU制御装置101より所定クランク角度Aで、指令情報203が低速通信線108を通じて、スレーブCPU制御装置104に対して送られる。この指令情報203に対してスレーブCPU制御装置104は、それに含まれる環境値およびコマンド情報の解釈を行うとともに、後ほどこの値は例題演算の“種”として使用される。   As described above, the command information 203 is first sent from the master CPU controller 101 to the slave CPU controller 104 through the low-speed communication line 108 at a predetermined crank angle A. The slave CPU control device 104 interprets the environment value and command information included in the command information 203, and this value is used later as a “seed” for the example calculation.

引き続く所定クランク角度Bにおいて、マスタCPU制御装置101は、高速トリガ線106を通じてスレーブCPU制御装置104に対し起動トリガ信号204を送出する。これにより、スレーブCPU制御装置104は、クランク角度に同期した本来の所定制御動作205を実行し、クランク角度Cにてその処理を終了する。   At the subsequent predetermined crank angle B, the master CPU control device 101 sends an activation trigger signal 204 to the slave CPU control device 104 through the high-speed trigger line 106. As a result, the slave CPU control device 104 executes the original predetermined control operation 205 synchronized with the crank angle, and ends the processing at the crank angle C.

前述したように、起動トリガ信号204の送出クランク角度Bは、内燃機関10の運転状況によって所定のバンド幅をもって前後に変動する。したがって、スレーブCPU制御装置104における制御動作205の実行終了角度Cも前後に変動している。しかしながら図2では、指令情報203(クランク角度A)から制御動作205の終了クランク角度Cまでのクランク角度範囲θaを回避して、例題演算の実行206とその演算結果のマスタCPU制御装置101に対する返信207を行うことが示されている。これは、前述した本発明の第5態様に開示した、スレーブCPU制御装置側における例題演算の実行タイミング制約を解消するための手法の一例を示したものである。   As described above, the transmission crank angle B of the start trigger signal 204 varies back and forth with a predetermined bandwidth depending on the operating state of the internal combustion engine 10. Therefore, the execution end angle C of the control operation 205 in the slave CPU control device 104 also fluctuates back and forth. However, in FIG. 2, the crank angle range θa from the command information 203 (crank angle A) to the end crank angle C of the control operation 205 is avoided, and the execution 206 of the example calculation and the return of the calculation result to the master CPU controller 101 are performed. 207 is shown. This shows an example of a technique for solving the execution timing restriction of the example calculation on the slave CPU control device side disclosed in the fifth aspect of the present invention.

ただし、図2では、スレーブCPU制御装置104からマスタCPU制御装置101への例題演算結果の返信207が所定クランク角度で行われているため、この時点において、低速通信線108はこの通信によって占有されている。   However, in FIG. 2, since the example operation result return 207 from the slave CPU control device 104 to the master CPU control device 101 is performed at a predetermined crank angle, the low-speed communication line 108 is occupied by this communication at this time. ing.

低速通信線108は、マスタCPU制御装置にとって、その他のスレーブCPU制御装置群とスター状に結線されている同一シリアル通信路の一部(低速通信線109もその一部)であり、この返信207によって通信路が占有された場合、他のスレーブCPU制御装置(例えば105)に対して、指令情報203と同様の信号が同時期に送出できないという問題が発生している。   The low-speed communication line 108 is a part of the same serial communication path connected to the other slave CPU control apparatus groups in a star shape (a part of the low-speed communication line 109) for the master CPU control apparatus. When the communication path is occupied by this, there is a problem that a signal similar to the command information 203 cannot be sent to other slave CPU control devices (for example, 105) at the same time.

図3は、クランク角度をもとにマスタCPU制御装置101とスレーブCPU制御装置104の別の動作例を示すチャートである。図3では、スレーブCPU制御装置104からマスタCPU制御装置101に対する例題演算出力の返信307は、マスタCPU制御装置101からスレーブCPU制御装置104に対する指令情報303の送信と同時(クランク角度A)に全二重通信によって実行されている。したがって、図2に示される例とは異なり、例題演算出力の収集に費やす通信路リソースの消費が節約されており、現状システムの低速通信線108、109のトラフィックを増加させずに異常監視システムの実装が可能となっている。これは、前述した本発明の第6態様に開示した、例題演算結果の収集リソース消費を低減する手法の一例を示したものである。   FIG. 3 is a chart showing another operation example of the master CPU control device 101 and the slave CPU control device 104 based on the crank angle. In FIG. 3, the reply 307 of the example calculation output from the slave CPU control device 104 to the master CPU control device 101 is transmitted simultaneously with the transmission of the command information 303 from the master CPU control device 101 to the slave CPU control device 104 (crank angle A). It is executed by duplex communication. Therefore, unlike the example shown in FIG. 2, the consumption of communication path resources spent for collecting the calculation output of the example is saved, and the abnormality monitoring system does not increase traffic on the low-speed communication lines 108 and 109 of the current system. Implementation is possible. This is an example of a technique for reducing the collection resource consumption of the example calculation results disclosed in the sixth aspect of the present invention described above.

図4は、マスタCPU制御装置101及びスレーブCPU制御装置104が実行する処理の一例を示す、前述した本発明の第1態様及び第2態様に対応するブロック図(データフロー図)である。   FIG. 4 is a block diagram (data flow diagram) corresponding to the first aspect and the second aspect of the present invention described above, illustrating an example of processing executed by the master CPU control device 101 and the slave CPU control device 104.

マスタCPU制御装置101内で、スレーブCPU制御装置104からは収集できない環境情報(例えば、マスタCPU制御装置101のみに繋がるセンサのA/D変換値)やスレーブCPU制御装置104に対するコマンド等を併せて、環境値405が生成される。これとは別に、乱数発生源403(具体的にはフリーランタイマのタイムスタンプ等)で乱数値404が生成され前記の環境値と合体される。 これらの値は、前述した図2の指令情報203(クランク角度A)のタイミング、もしくは図3の指令情報303(クランク角度A)のタイミングでスレーブCPU制御装置104に対して指令値406として送られ、スレーブCPU制御装置104内の受信バッファ408に格納されるとともに、この同一値を入力として、マスタ−スレーブ間での異常検出関数の組407、409が演算される。マスタCPU制御装置101内の異常検出関数407と、スレーブCPU制御装置104内の異常検出関数409は、予めマスタとスレーブとで取り決められている同一関数である。   In the master CPU control device 101, environment information that cannot be collected from the slave CPU control device 104 (for example, A / D conversion values of sensors connected only to the master CPU control device 101), commands to the slave CPU control device 104, etc. , An environmental value 405 is generated. Separately from this, a random number value 404 is generated by a random number generation source 403 (specifically, a time stamp of a free-run timer) and combined with the environmental value. These values are sent as the command value 406 to the slave CPU controller 104 at the timing of the command information 203 (crank angle A) in FIG. 2 or the timing of the command information 303 (crank angle A) in FIG. Are stored in the reception buffer 408 in the slave CPU control device 104, and a set 407, 409 of anomaly detection function between the master and the slave is calculated using this same value as an input. The abnormality detection function 407 in the master CPU control device 101 and the abnormality detection function 409 in the slave CPU control device 104 are the same functions that are determined in advance by the master and the slave.

スレーブCPU制御装置104で計算された例題演算結果410は、前述したように図2の返信207のタイミング、もしくは図3の返信307のタイミングで、図4の回答411としてマスタCPU制御装置101に送られ、マスタCPU制御装置101内の受信バッファ412に格納される。   The example calculation result 410 calculated by the slave CPU controller 104 is sent to the master CPU controller 101 as the reply 411 in FIG. 4 at the timing of the reply 207 in FIG. 2 or the reply 307 in FIG. 3 as described above. And stored in the reception buffer 412 in the master CPU controller 101.

これらの値がそろった時点で、マスタCPU制御装置101内では、マスタ側異常検出関数407の結果413と前記受信バッファ412内のスレーブCPU側結果が比較部414によって比較照合され、一致した場合には判定部415によってスレーブCPU制御装置104が正常であると判定され、不一致の場合は判定部415によってスレーブCPU制御装置104が異常であると判定され、異常であると判定された場合は、必要であれば外部に警報指令416が発せられる。   When these values are obtained, the master CPU controller 101 compares the result 413 of the master side abnormality detection function 407 and the result of the slave CPU in the reception buffer 412 by the comparison unit 414. Is determined by the determination unit 415 to determine that the slave CPU control device 104 is normal, and if there is a mismatch, the determination unit 415 determines that the slave CPU control device 104 is abnormal and is determined to be abnormal. If so, an alarm command 416 is issued to the outside.

図5は、マスタCPU制御装置101及びスレーブCPU制御装置104が実行する処理の他の例を示す、前述した本発明の第3態様及び第4態様に対応するブロック図(データフロー図)である。   FIG. 5 is a block diagram (data flow diagram) corresponding to the third aspect and the fourth aspect of the present invention described above, showing another example of processing executed by the master CPU control device 101 and the slave CPU control device 104. .

スレーブCPU制御装置104が、その内部で独自に収集した環境情報(例えば、スレーブCPU制御装置104のみに繋がるセンサのA/D変換値等)に基づき環境値505が生成される。これとは別に、乱数発生源503(具体的にはフリーランタイマのタイムスタンプ等)で乱数値504が生成され前記環境値と合体される。   An environment value 505 is generated based on environment information uniquely collected by the slave CPU control device 104 (for example, an A / D conversion value of a sensor connected only to the slave CPU control device 104). Separately, a random number value 504 is generated by a random number generation source 503 (specifically, a time stamp of a free-run timer) and combined with the environment value.

この値をもとに、スレーブCPU制御装置104内では、異常検出関数507によって例題演算結果508が算出され、これらの異常検出関数507の入力値(環境値505及び乱数値504)と出力値(508)の組みは、前述したように図2の返信207のタイミング、もしくは図3の返信307のタイミングで、同時性を確保した同一通信フレームを構成するデータ506、509として、マスタCPU制御装置101に送られ、各々受信バッファ510、512に格納される(受信バッファ510の内容は、異常検出関数の入力値であり、一方受信バッファ512の内容は該異常検出関数の出力値となる)。   Based on this value, the example calculation result 508 is calculated by the abnormality detection function 507 in the slave CPU control device 104, and the input value (environment value 505 and random number value 504) and output value ( 508) is the master CPU controller 101 as the data 506 and 509 constituting the same communication frame ensuring the simultaneity at the timing of the reply 207 in FIG. 2 or the timing of the reply 307 in FIG. (The contents of the reception buffer 510 are the input values of the abnormality detection function, while the contents of the reception buffer 512 are the output values of the abnormality detection function).

マスタCPU制御装置101内では、受信バッファ510の内容をもとにスレーブ側異常検出関数507と対応するマスタ側異常検出関数511の演算が実行される。マスタCPU制御装置101内の異常検出関数511と、スレーブCPU制御装置502内の異常検出関数507は、予めマスタとスレーブとで取り決められている同一関数である。   In the master CPU control device 101, the master side abnormality detection function 511 corresponding to the slave side abnormality detection function 507 is executed based on the contents of the reception buffer 510. The abnormality detection function 511 in the master CPU control device 101 and the abnormality detection function 507 in the slave CPU control device 502 are the same functions that are determined in advance by the master and the slave.

これらの値がそろった時点で、マスタCPU制御装置101内では、マスタ側異常検出関数511の結果513と、前記受信バッファ512内のスレーブCPU側演算結果が比較部514によって比較照合され、一致した場合には判定部515によって判定スレーブCPU制御装置104が正常であると判定され、不一致の場合は判定部515によってスレーブCPU制御装置104が異常であると判定され、異常であると判定された場合は、必要であれば外部に警報指令516が発せられる。   When these values are obtained, in the master CPU control apparatus 101, the result 513 of the master side abnormality detection function 511 and the result of slave CPU side calculation in the reception buffer 512 are compared and matched by the comparison unit 514. In this case, the determination unit 515 determines that the determination slave CPU control device 104 is normal, and in the case of mismatch, the determination unit 515 determines that the slave CPU control device 104 is abnormal and determines that it is abnormal If necessary, an alarm command 516 is issued to the outside.

図6は、スレーブCPU制御装置104側で異常検出関数(図4の符号409もしくは図5の符号507)として検証しなければならないスレーブCPUハードウェアの機能部位の一例を示すブロック図である。   6 is a block diagram showing an example of functional parts of slave CPU hardware that must be verified as an abnormality detection function (reference numeral 409 in FIG. 4 or reference numeral 507 in FIG. 5) on the slave CPU control device 104 side.

これらの異常検出関数は、スレーブCPU制御装置104内のROM604に格納されたソフトウェア・プログラム(異常検出関数f(x)の実体606)という形で実装されている。   These abnormality detection functions are implemented in the form of a software program (an entity 606 of the abnormality detection function f (x)) stored in the ROM 604 in the slave CPU control device 104.

ここで、前記異常検出関数の機能としてCPUコア601の健全性を検証するための手法としては、以下のような例が考え得る(前述した本発明の第7態様に対応する)。   Here, as a method for verifying the soundness of the CPU core 601 as a function of the abnormality detection function, the following example can be considered (corresponding to the seventh aspect of the present invention described above).

異常検出関数f(x)の実体606を命令キャッシュ611にコピーしてCPUコア601に実行させる。その際、異常検出関数f(x)の出力が所定の関数入力における期待値と合致するならば、一連の命令実行フローに関与する機能デバイス、即ち、ROM604、アドレスバス609、データバス610、キャッシュ制御機構611、プログラムカウンタ及びスタックポインタを含む実行制御機構612、プログラムの演算途中経過をストアするレジスタ・ファイル608などの健全性が実証されたことになる。   The entity 606 of the abnormality detection function f (x) is copied to the instruction cache 611 and executed by the CPU core 601. At that time, if the output of the abnormality detection function f (x) matches the expected value at a predetermined function input, the functional devices involved in a series of instruction execution flows, that is, ROM 604, address bus 609, data bus 610, cache The soundness of the control mechanism 611, the execution control mechanism 612 including the program counter and the stack pointer, and the register file 608 for storing the progress of calculation of the program has been proved.

また別の例としては、上記の命令演算の途中で複数の演算途中結果をレジスタ・ファイル608に保存する。しかる後に、該複数の演算途中結果間で算術もしくは論理演算を実行し、それを異常検出関数f(x)の結果に反映することにすれば、算術・論理演算回路607の健全性も検証可能となる。   As another example, a plurality of intermediate calculation results are stored in the register file 608 during the above instruction calculation. Thereafter, if the arithmetic or logical operation is executed between the plurality of intermediate results, and the result is reflected in the result of the abnormality detection function f (x), the soundness of the arithmetic / logical operation circuit 607 can be verified. It becomes.

上記は、スレーブCPU制御装置104内のCPUについての話であるが、スレーブ側CPUとマスタ側CPUのアーキテクチャが一致しない場合、すなわちレジスタビット幅が異なったりキャッシュの有無の違いがある場合は、マスタ側CPUでスレーブ側CPUアーキテクチャを適宜エミュレートし、出力期待値を正しく予想できるようにマスタ側異常検出関数を考慮しなければならない。   The above is about the CPU in the slave CPU control device 104. If the architecture of the slave CPU and the master CPU does not match, that is, if the register bit width is different or there is a difference in the presence or absence of cache, the master The slave CPU architecture must be properly emulated by the slave CPU, and the master error detection function must be considered so that the expected output can be correctly predicted.

前記異常検出関数の機能として浮動小数点演算ユニット602の健全性を検証するための手法としては、以下のような例が考え得る(前述した本発明の第8態様に対応する)。   As a method for verifying the soundness of the floating-point arithmetic unit 602 as a function of the abnormality detection function, the following example can be considered (corresponding to the eighth aspect of the present invention described above).

上述の異常検出関数の演算途中で、レジスタ・ファイル608上の演算途中結果を浮動小数点演算ユニット602により浮動小数点化を行う。さらに該浮動小数点数に関して浮動小数点演算ユニット602で何らかの定数演算を浮動小数点演算として行った後、再び固定小数点化してレジスタ・ファイル608に書き戻す。丸め誤差に考慮してこの演算過程を異常検出関数f(x)の結果に反映することにすれば、浮動小数点演算ユニット602の健全性をも検証することができる。   During the calculation of the above-described abnormality detection function, the calculation result on the register file 608 is converted into a floating point by the floating point calculation unit 602. Further, the floating point arithmetic unit 602 performs some constant operation as a floating point operation on the floating point number, and then converts it to a fixed point again and writes it back to the register file 608. If this calculation process is reflected in the result of the abnormality detection function f (x) in consideration of rounding errors, the soundness of the floating-point calculation unit 602 can also be verified.

繰り返すが、上記はスレーブCPU制御装置104内のCPUについての話である。浮動小数点演算ユニットの有無でスレーブ側CPUとマスタ側CPUのアーキテクチャが異なる場合は、マスタ側CPUでスレーブ側CPUの浮動小数点演算機能を適宜エミュレートするようにマスタ側異常検出関数を考慮しなければならないことは言うまでもない。   Again, the above is about the CPU in the slave CPU controller 104. If the slave CPU and the master CPU have different architectures with or without a floating-point arithmetic unit, the master-side abnormality detection function must be considered so that the master-side CPU properly emulates the floating-point arithmetic function of the slave CPU. It goes without saying that it doesn't happen.

前記異常検出関数の機能としてCPUに結合された周辺デバイス603の初期化データの不変性を検証するための手法としては、以下のような例が考え得る(前述した本発明の第9態様に対応する)。   As a technique for verifying the invariance of the initialization data of the peripheral device 603 coupled to the CPU as a function of the abnormality detection function, the following example can be considered (corresponding to the ninth aspect of the present invention described above) To do).

CPU内蔵周辺デバイスには、A/D変換器613及びタイマ・デバイス614などが考えられるが、それらは各々コンフィギュレーションレジスタ(615、616)と呼ばれるレジスタを保持している。これらは、各々のデバイスの動作モードを予め選択することに使われ、プログラム起動時の初期化に際し所定の値を設定された後は書き換えられることは無い。   As the CPU built-in peripheral device, an A / D converter 613, a timer device 614, and the like are conceivable, and each holds a register called a configuration register (615, 616). These are used for pre-selecting the operation mode of each device, and are not rewritten after a predetermined value is set upon initialization at the time of starting the program.

したがって、これらの値(ビットパターン)を前記異常検出関数f(x)の演算途中に使われる定数値と見なして演算を行えば、これら設定値のシステム動作期間中における不変性を検証することができる。   Therefore, if these values (bit patterns) are regarded as constant values used during the calculation of the abnormality detection function f (x), the invariance of these set values during the system operation period can be verified. it can.

再度繰り返すが、上記はスレーブCPU制御装置104内のCPUについての話である。周辺デバイスの有無もしくは設定値の不一致などでスレーブ側CPU環境とマスタ側CPU環境が異なる場合は、マスタ側CPUでスレーブ側CPUの期待される演算動作を適宜エミュレートするようにマスタ側異常検出関数を考慮しなければならないことは言うまでもない。   Again, the above is about the CPU in the slave CPU controller 104. When the slave CPU environment differs from the master CPU environment due to the presence or absence of peripheral devices or mismatched setting values, the master side abnormality detection function properly emulates the expected operation of the slave CPU on the master CPU. Needless to say, you have to consider.

図7は、マスタCPU制御装置101及びスレーブCPU制御装置104が実行する処理の一例を示す、前述した本発明の第1態様及び第2態様に対応するフローチャートである。図の左側の一連のフローチャートがマスタCPU制御装置101(マスタCPUと略称)での処理の流れを、右側の一連のフローチャートがスレーブCPU制御装置104(スレーブCPUと略称)での処理の流れを示している。左右のチャートを繋ぐ波線(706、711)は、図1に示される低速通信線108によるマスタCPU−スレーブCPU間のデータの授受を示している。   FIG. 7 is a flowchart corresponding to the above-described first aspect and second aspect of the present invention, showing an example of processing executed by the master CPU control device 101 and the slave CPU control device 104. A series of flowcharts on the left side of the figure shows the flow of processing in the master CPU controller 101 (abbreviated as master CPU), and a series of flowcharts on the right side shows the flow of processing in the slave CPU controller 104 (abbreviated as slave CPU). ing. The wavy lines (706, 711) connecting the left and right charts indicate data exchange between the master CPU and the slave CPU via the low-speed communication line 108 shown in FIG.

ステップ701は、マスタ側のスレーブCPU診断ルーチンの開始を示しており、ステップ702で乱数を発生させ、続くステップ703でスレーブCPU側が収集できない環境値もしくはスレーブ側の動作モードを選択するコマンド群と合体して指令値(x)を生成する。この指令値(x)は、スレーブCPU側制御の指令として使われるとともに、スレーブCPU側異常検出関数f(x)の入力(演算の“種”)となることは前述した通りである。   Step 701 indicates the start of the slave CPU diagnostic routine on the master side. In step 702, random numbers are generated, and in step 703, a command group is selected that selects environment values or slave-side operation modes that cannot be collected by the slave CPU. To generate a command value (x). As described above, this command value (x) is used as a command for slave CPU side control, and becomes an input (a “seed” of calculation) of the slave CPU side abnormality detection function f (x).

ステップ704では、上記指令値(x)をスレーブCPU側に伝送する(波線706)とともに、スレーブ側データ受信ルーチン(707)を起動する。一方、マスタ側ではステップ705によって異常検出関数f(x)の期待値(a)を予め計算し、以降の診断に備える。   In step 704, the command value (x) is transmitted to the slave CPU side (dashed line 706) and the slave side data reception routine (707) is started. On the other hand, on the master side, in step 705, the expected value (a) of the abnormality detection function f (x) is calculated in advance to prepare for the subsequent diagnosis.

スレーブ側では、ステップ708に基づき例題演算の禁止クランク角度(図2及び図3のクランク角度範囲θa)における演算禁止動作が行われる。続くステップ709で異常検出関数f(x)の演算が実行されることによりスレーブ側での演算結果(b)が算出され、ステップ710でマスタ側CPUに返送される(波線711)。   On the slave side, based on step 708, the operation prohibiting operation is performed at the prohibition crank angle of the example calculation (crank angle range θa in FIGS. 2 and 3). In step 709, the calculation of the abnormality detection function f (x) is executed, whereby the calculation result (b) on the slave side is calculated and returned to the master side CPU in step 710 (dashed line 711).

マスタ側では、ステップ712によりスレーブ側演算結果が返送されるまで待ち動作が実行されているが、ここでマスタ側演算結果(a)とスレーブ側演算結果(b)がそろったことになるので、ステップ713で比較照合動作に入る。値が一致していればステップ714でスレーブCPUが正常と判定され、不一致ならばステップ715でスレーブCPUが異常と判定され、必要であれば外部に警報が発せられる。   On the master side, the waiting operation is executed until the slave side operation result is returned in step 712. However, since the master side operation result (a) and the slave side operation result (b) are now complete, In step 713, the comparison and collation operation is started. If the values match, it is determined in step 714 that the slave CPU is normal. If the values do not match, it is determined in step 715 that the slave CPU is abnormal. If necessary, an external alarm is issued.

図8は、マスタCPU制御装置101及びスレーブCPU制御装置104が実行する処理の他の例を示す、前述した本発明の第3態様及び第4態様に対応するフローチャートである。図の左側の一連のフローチャートがマスタCPU制御装置101(マスタCPUと略称)での処理の流れを、右側の一連のフローチャートがスレーブCPU制御装置104(スレーブCPUと略称)での処理の流れを示している。左右のチャートを繋ぐ波線(803および810)は、図1に示される低速通信線108によるマスタCPU−スレーブCPU間のデータの授受を示している。   FIG. 8 is a flowchart corresponding to the third aspect and the fourth aspect of the present invention described above, showing another example of processing executed by the master CPU control device 101 and the slave CPU control device 104. A series of flowcharts on the left side of the figure shows the flow of processing in the master CPU controller 101 (abbreviated as master CPU), and a series of flowcharts on the right side shows the flow of processing in the slave CPU controller 104 (abbreviated as slave CPU). ing. The wavy lines (803 and 810) connecting the left and right charts indicate data exchange between the master CPU and the slave CPU via the low-speed communication line 108 shown in FIG.

ステップ801は、マスタ側のスレーブCPU診断ルーチンの開始を示しており、ステップ802では、指令値をスレーブCPU側に伝送する(波線803)とともに、スレーブ側データ受信ルーチン(804)を起動する。この指令値は、本例においては異常検出関数f(x)の入力(演算の“種”)となることは無いが、スレーブ側例題演算を所定クランク軸回転毎に実行するペースメーカの役目を果たすことは前述した通りである。   Step 801 indicates the start of the slave CPU diagnostic routine on the master side. In step 802, the command value is transmitted to the slave CPU side (dashed line 803) and the slave side data reception routine (804) is started. In this example, the command value does not become an input (an “seed” of the calculation) of the abnormality detection function f (x), but serves as a pacemaker that executes the slave-side example calculation every predetermined crankshaft rotation. This is as described above.

スレーブ側では、続くステップ805基づき例題演算の禁止クランク角度(図2、図3のクランク角度範囲θa)における演算禁止動作が行われる。   On the slave side, a calculation prohibiting operation is performed at the crank angle (crank angle range θa in FIGS. 2 and 3) of the example calculation based on the subsequent step 805.

ステップ806では、異常検出関数f(x)の入力(演算の“種”)が毎回異なるように乱数の発生が行われ、ステップ807では、スレーブCPU側が入手可能な環境値(そのA/D変換値)との合体が行われ、異常検出関数の入力値(x)が生成される。ステップ808では、前記入力値(x)をもとにしたスレーブ側異常検出関数f(x)の計算が実行されその演算結果(b)が生成されるとともに、ステップ809で、上述の関数入力値(x)と出力値(b)の組みが回答(x, b)としてマスタCPU側に転送される(波線810)。   In step 806, random numbers are generated so that the input (operation “seed”) of the abnormality detection function f (x) is different every time. In step 807, an environmental value (A / D conversion thereof) available to the slave CPU side. Value) and the input value (x) of the abnormality detection function is generated. In step 808, the slave side abnormality detection function f (x) is calculated based on the input value (x) to generate the calculation result (b). In step 809, the function input value described above is used. A set of (x) and output value (b) is transferred to the master CPU side as a reply (x, b) (dashed line 810).

関数入力値(x)と出力値(b)の組みは、通信タイミング毎に各々関数の入出力値である対データとしての関連性が保証されよう、同一通信フレームに載せてマスタ側に送るべきことは前述した通りである。   The combination of the function input value (x) and output value (b) should be sent to the master side in the same communication frame so that the relationship as the paired data that is the input / output value of the function is guaranteed at each communication timing. This is as described above.

マスタ側では、ステップ811によりスレーブ側演算データ対が回答されるまで待ち動作が実行されているが、ここでスレーブ側関数入力値(x)と出力値(b)の組みデータがそろったことになるので、続くステップ812以降で検証動作に入る。   On the master side, a waiting operation is executed until the slave-side operation data pair is answered in step 811. Here, the combination data of the slave-side function input value (x) and output value (b) has been prepared. Therefore, the verification operation is entered in subsequent steps 812 and thereafter.

ステップ812では、スレーブ側異常検出関数の入力値(x)(演算の“種”)が前回と比べて変化しているかが確かめられる。もし、変化していなければスレーブ側例題演算機構に不具合が発生している可能性があるので、ステップ816に飛び、スレーブCPUが異常であると判定し、必要であれば外部に警報指令を発する。   In step 812, it is confirmed whether or not the input value (x) of the slave-side abnormality detection function (calculation “seed”) has changed compared to the previous time. If there is no change, there is a possibility that a problem has occurred in the slave-side example calculation mechanism, so jump to Step 816 to determine that the slave CPU is abnormal and issue an alarm command to the outside if necessary. .

もし、変化していれば続くステップ813でスレーブ側より送られた入力値(x)をもとにマスタ側での演算期待値(a)の生成が行われる。   If it has changed, the expected operation value (a) on the master side is generated on the basis of the input value (x) sent from the slave side in the next step 813.

ステップ814では、このマスタ側期待値(a)とスレーブ側演算結果(b)の比較照合動作が実行される。値が一致していればステップ815でスレーブCPUが正常と判定され、不一致ならばステップ816でスレーブCPUが異常と判定される。   In step 814, a comparison / collation operation between the master side expected value (a) and the slave side operation result (b) is executed. If the values match, it is determined in step 815 that the slave CPU is normal, and if they do not match, it is determined in step 816 that the slave CPU is abnormal.

なお、上記した実施形態では、クランク軸一回転に一回診断を行うと例示してあるが、複数回に一回でも、また、クランク軸一回転に満たない所定クランク角度毎の診断に対しても本発明は適用可能であることは言うまでもない。   In the above-described embodiment, it is exemplified that the diagnosis is performed once for one rotation of the crankshaft. However, for the diagnosis for every predetermined crank angle which is less than one rotation of the crankshaft even once every plural times. Needless to say, the present invention is applicable.

また、上記した実施形態では電磁駆動弁(吸排気弁)34、35がその制御対象とされているが、本発明は、電磁駆動弁に限定されるものではなく、クランク軸回転に同期して制御がなされるスマート・アクチュエータならばスレーブCPU制御装置としてどんなものでも良い。   In the above-described embodiment, the electromagnetically driven valves (intake and exhaust valves) 34 and 35 are controlled. However, the present invention is not limited to the electromagnetically driven valves, and is synchronized with the crankshaft rotation. Any smart actuator that can be controlled can be any slave CPU controller.

例えば、可変バルブ機構用アクチュエータ、燃料噴射用アクチュエータ、混合気点火用アクチュエータ、吸排気の制動・共鳴用アクチュエータ、エンジンブロック制振用アクチュエータ等、種々のものに適用可能である。   For example, the present invention can be applied to various types such as a variable valve mechanism actuator, a fuel injection actuator, a mixture ignition actuator, an intake / exhaust braking / resonance actuator, and an engine block damping actuator.

本発明に係る異常監視システムの実施形態をそれが適用された車載用内燃機関と共に示す概略構成図。BRIEF DESCRIPTION OF THE DRAWINGS The schematic block diagram which shows embodiment of the abnormality monitoring system which concerns on this invention with the vehicle-mounted internal combustion engine to which it is applied. 本発明実施形態のマスタCPU制御装置とスレーブCPU制御装置の動作例を示すチャート。The chart which shows the operation example of the master CPU control apparatus of this invention embodiment, and a slave CPU control apparatus. 本発明実施形態のマスタCPU制御装置とスレーブCPU制御装置の別の動作例を示すチャート。6 is a chart showing another operation example of the master CPU control device and the slave CPU control device of the embodiment of the present invention. 本発明実施形態のマスタCPU制御装置及びスレーブCPU制御装置が実行する処理の一例を示すブロック図。The block diagram which shows an example of the process which the master CPU control apparatus and slave CPU control apparatus of this embodiment perform. 本発明実施形態のマスタCPU制御装置及びスレーブCPU制御装置が実行する処理の他の例を示すブロック図。The block diagram which shows the other example of the process which the master CPU control apparatus and slave CPU control apparatus of embodiment of this invention perform. 本発明実施形態のスレーブCPU制御装置のハードウェアの一例を示すブロック図。The block diagram which shows an example of the hardware of the slave CPU control apparatus of this invention embodiment. 本発明実施形態のマスタCPU制御装置及びスレーブCPU制御装置が実行する処理の一例を示すフローチャートである。It is a flowchart which shows an example of the process which the master CPU control apparatus of this invention embodiment and a slave CPU control apparatus perform. 本発明実施形態のマスタCPU制御装置及びスレーブCPU制御装置が実行する処理の他の例を示すフローチャート。6 is a flowchart showing another example of processing executed by the master CPU control device and the slave CPU control device of the embodiment of the present invention.

符号の説明Explanation of symbols

10…車載用内燃機関
16…クランク軸
34、35…電磁駆動弁(吸排気弁)
101…マスタCPU制御装置
102…スタータスイッチ
103…クランク角センサ
104、105…スレーブCPU制御装置
106・107…高速トリガ線
108・109…低速通信線 DESCRIPTION OF SYMBOLS 10 ... Vehicle-mounted internal combustion engine 16 ... Crankshaft 34, 35 ... Electromagnetic drive valve (intake / exhaust valve)
101 ... Master CPU controller 102 ... Starter switch 103 ... Crank angle sensor 104, 105 ... Slave CPU controller 106/107 ... High speed trigger line 108/109 ... Low speed communication line

Claims (9)

少なくとも一つのスレーブCPU制御装置とそれらを統括する少なくとも一つのマスタCPU制御装置とで構成され、マスタCPU制御装置からは所定クランク角度ごとに割り付けられた指令がスレーブCPU制御装置に対して送られ、それによりスレーブCPU制御装置はクランク角度に同期した制御を行うようにされた内燃機関制御系の異常監視システムにおいて、前記スレーブCPU制御装置は、前記マスタCPU制御装置からの指令値を入力として、予めマスタ−スレーブCPU制御装置間で取り決められている異常検出用の関数演算を行い、その演算結果を所定クランク角度でマスタCPU制御装置に返送し、マスタCPU制御装置は、その内部で予め演算した関数演算値と返送された演算結果とを照合することによってスレーブCPU制御装置の異常を検出するようにされていることを特徴とする異常監視システム。   Consists of at least one slave CPU control device and at least one master CPU control device that supervises them, from the master CPU control device is sent to the slave CPU control device for each predetermined crank angle, Thus, in the abnormality monitoring system of the internal combustion engine control system in which the slave CPU control device performs control synchronized with the crank angle, the slave CPU control device receives the command value from the master CPU control device as an input in advance. Performs the function calculation for abnormality detection decided between the master and slave CPU control devices, returns the calculation result to the master CPU control device at a predetermined crank angle, and the master CPU control device calculates the function calculated in advance inside Abnormalities in the slave CPU controller are detected by comparing the calculated value with the returned calculation result. Abnormality monitoring system, characterized in that. 前記マスタCPU制御装置からスレーブCPU制御装置に送られる、異常検出用の関数演算入力となる指令値は、前記関数演算入力のみにしか使用せず異常監視以外の用途には使用されないマスタCPU制御装置が生成した乱数値のデータ部分を含んでいることを特徴とする請求項1に記載の異常監視システム。   The master CPU control device that is used only for the function calculation input and is not used for purposes other than abnormality monitoring, is used as a function calculation input for abnormality detection, which is sent from the master CPU control device to the slave CPU control device. 2. The abnormality monitoring system according to claim 1, comprising a data portion of a random value generated by. 少なくとも一つのスレーブCPU制御装置とそれらを統括する少なくとも一つのマスタCPU制御装置とで構成され、マスタCPU制御装置からは所定クランク角度ごとに割り付けられた指令がスレーブCPU制御装置に対して送られ、それによりスレーブCPU制御装置はクランク角度に同期した制御を行うようにされた内燃機関制御系の異常監視システムにおいて、前記スレーブCPU制御装置は、前記マスタCPU制御装置とは無関係に収集した値を入力として、予めマスタ−スレーブCPU制御装置間で取り決められている異常検出用の関数演算を行い、前記関数入力値とその演算結果を所定クランク角度でマスタCPU制御装置に返送し、マスタCPU制御装置は、前記関数入力値をもとに前記異常検出用の関数演算を再現し、この再現結果をスレーブCPU制御装置から返送された演算結果と照合することによってスレーブCPU制御装置の異常を検出するようにされていることを特徴とする異常監視システム。   Consists of at least one slave CPU control device and at least one master CPU control device that supervises them, from the master CPU control device is sent to the slave CPU control device for each predetermined crank angle, Thus, in the abnormality monitoring system for the internal combustion engine control system in which the slave CPU control device performs control in synchronization with the crank angle, the slave CPU control device inputs the collected values regardless of the master CPU control device. As described above, the function calculation for abnormality detection that has been negotiated between the master and slave CPU control devices is performed in advance, and the function input value and the calculation result are returned to the master CPU control device at a predetermined crank angle. The function calculation for detecting the abnormality is reproduced based on the function input value, and the reproduction result is returned from the slave CPU controller. Abnormality monitoring system characterized by being adapted to detect the abnormality of the slave CPU controller by matching the calculation result. 前記スレーブCPU制御装置によってマスタCPU制御装置とは無関係に収集された異常検出用の関数演算入力となる値は、前記関数演算入力のみにしか使用せず異常監視以外の用途には使用されないスレーブCPU制御装置が生成した乱数値のデータ部分を含んでいることを特徴とする請求項3に記載の異常監視システム。   The slave CPU control device collects values that are used as function calculation inputs for abnormality detection regardless of the master CPU control device, and is used only for the function calculation inputs. 4. The abnormality monitoring system according to claim 3, further comprising a data portion of a random value generated by the control device. 前記スレーブCPU制御装置内での異常検出用関数演算の実行、および該演算出力値のマスタCPU制御装置への返送は、マスタCPU制御装置の指令がスレーブCPU制御装置に達してから、スレーブCPU制御装置のクランク角度同期制御動作の終了時までは禁止することを特徴とする請求項1から4のいずれかに記載の異常監視システム。   Execution of abnormality detection function calculation in the slave CPU control unit and return of the calculation output value to the master CPU control unit is performed after the master CPU control unit command reaches the slave CPU control unit. 5. The abnormality monitoring system according to claim 1, wherein the abnormality monitoring system is prohibited until the end of the crank angle synchronization control operation of the apparatus. 前記スレーブCPU制御装置からマスタCPU制御装置への異常検出用関数演算の出力値返送を、マスタCPU制御装置からスレーブCPU制御装置への指令と同じタイミングで全二重通信により行い、マスタCPU制御装置からスレーブCPU制御装置への今回の指令値と、スレーブCPU制御装置からマスタCPU制御装置への前回の関数演算出力値返送とを同時に実行することを特徴とする請求項1から4のいずれかに記載の異常監視システム。   The master CPU controller performs full-duplex communication at the same timing as the command from the master CPU controller to the slave CPU controller to return the output value of the abnormality detection function calculation from the slave CPU controller to the master CPU controller. 5. The current command value from the slave CPU control device to the slave CPU control device and the previous function calculation output value return from the slave CPU control device to the master CPU control device are simultaneously executed. The anomaly monitoring system described. 前記予めマスタ−スレーブCPU制御装置間で取り決められている異常検出用の関数は、スレーブCPU制御装置の算術・論理演算回路、レジスタ・ファイル、アドレスバス及びデータバス、キャシュ制御機構、並びに、プログラムカウンタ及びスタックポインタを含むプログラム実行制御機構のうちの少なくとも一つの健全性を実証するため、それらの操作結果が関数出力値に反映される命令列を含んでいることを特徴とする請求項1から6のいずれかに記載の異常監視システム。   The abnormality detection functions previously determined between the master-slave CPU control device are the arithmetic / logic operation circuit, register file, address bus and data bus, cache control mechanism, and program counter of the slave CPU control device. And an instruction sequence in which the operation result is reflected in the function output value in order to demonstrate the soundness of at least one of the program execution control mechanisms including the stack pointer. The abnormality monitoring system according to any one of the above. 前記予めマスタ−スレーブCPU制御装置間で取り決められている異常検出用の関数は、スレーブCPU制御装置に結合された浮動小数点演算ユニットの健全性を実証するため、その操作結果が関数出力値に反映される命令列を含んでいることを特徴とする請求項1から6のいずれかに記載の異常監視システム。   The function for detecting an abnormality that has been negotiated between the master and slave CPU controllers in advance is to verify the soundness of the floating point arithmetic unit coupled to the slave CPU controller, and the operation result is reflected in the function output value. 7. The abnormality monitoring system according to claim 1, further comprising an instruction sequence to be executed. 前記予めマスタ−スレーブCPU制御装置間で取り決められている異常検出用の関数は、スレーブCPU制御装置に結合されたA/D変換器及びタイマ・デバイスなどの周辺デバイスの動作モードを決定するコンフィギュレーションレジスタの値の不変性を実証するため、それらのコンフィギュレーションレジスタのビットパターンが関数出力値に反映される命令列を含んでいることを特徴とする請求項1から6のいずれかに記載の異常監視システム。   The function for detecting an abnormality previously negotiated between the master-slave CPU controller is a configuration for determining the operation mode of peripheral devices such as an A / D converter and a timer device coupled to the slave CPU controller. 7. The abnormality according to claim 1, wherein the bit pattern of the configuration register includes an instruction sequence reflected in the function output value in order to verify the invariance of the register value. Monitoring system.
JP2004049940A 2004-02-25 2004-02-25 Malfunction monitoring system for internal combustion engine control system Pending JP2005240631A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004049940A JP2005240631A (en) 2004-02-25 2004-02-25 Malfunction monitoring system for internal combustion engine control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004049940A JP2005240631A (en) 2004-02-25 2004-02-25 Malfunction monitoring system for internal combustion engine control system

Publications (1)

Publication Number Publication Date
JP2005240631A true JP2005240631A (en) 2005-09-08

Family

ID=35022639

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004049940A Pending JP2005240631A (en) 2004-02-25 2004-02-25 Malfunction monitoring system for internal combustion engine control system

Country Status (1)

Country Link
JP (1) JP2005240631A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009274569A (en) * 2008-05-14 2009-11-26 Denso Corp Vehicle controlling device
US7826935B2 (en) 2006-04-27 2010-11-02 Denso Corporation Processing unit for generating control signal, controller with the processing unit for controlling actuator, and program executed in the processing unit
US7912600B2 (en) 2007-11-26 2011-03-22 Mitsubishi Electric Corporation In-vehicle electronic control apparatus having monitoring control circuit

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7826935B2 (en) 2006-04-27 2010-11-02 Denso Corporation Processing unit for generating control signal, controller with the processing unit for controlling actuator, and program executed in the processing unit
US7912600B2 (en) 2007-11-26 2011-03-22 Mitsubishi Electric Corporation In-vehicle electronic control apparatus having monitoring control circuit
JP2009274569A (en) * 2008-05-14 2009-11-26 Denso Corp Vehicle controlling device

Similar Documents

Publication Publication Date Title
US5490064A (en) Control unit for vehicle and total control system therefor
US6009370A (en) Control unit for vehicle and total control system therefor
JP2574892B2 (en) Load sharing control method for automobile
JP4728020B2 (en) Vehicle control software and vehicle control apparatus
JP2002202001A (en) Vehicular control device provided with self-diagnostic function, and recording medium
KR101326316B1 (en) Method and device for monitoring a functionality of an engine controller of an internal combustion engine
JP6129499B2 (en) Electronic control system for automobile
US7730354B2 (en) Control microcomputer verification device and vehicle-mounted control device
KR101216455B1 (en) Monitoring the functional reliability of an internal combustion engine
JP6407127B2 (en) Electronic control apparatus and electronic control method
JP2006327217A (en) Program for vehicle control and electronic control device for vehicle
JP6306530B2 (en) Electronic control unit for automobile
JP2005240631A (en) Malfunction monitoring system for internal combustion engine control system
WO2008072698A1 (en) Vehicle control method and vehicle control device
JP5186290B2 (en) Simulation method, system and program
US7930523B2 (en) Inter-CPU data transfer device
JP2004234530A (en) Logic development apparatus for microcomputer
JP5085719B2 (en) Vehicle control software and vehicle control apparatus
JP2009221916A (en) Secondary air supply system
JP4266016B2 (en) Control device
JP3346163B2 (en) Vehicle electronic control unit
JP6442326B2 (en) Vehicle control device
JP2005055967A (en) Cpu diagnostic system
JPH04118704A (en) Event driving type vehicle control computer
JP2022045239A (en) Electronic controller

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060208

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080805

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090113