CN1207663C - 微处理器的失控监控电路 - Google Patents

微处理器的失控监控电路 Download PDF

Info

Publication number
CN1207663C
CN1207663C CN02131681.3A CN02131681A CN1207663C CN 1207663 C CN1207663 C CN 1207663C CN 02131681 A CN02131681 A CN 02131681A CN 1207663 C CN1207663 C CN 1207663C
Authority
CN
China
Prior art keywords
mentioned
microprocessor
reset signal
signal
control circuit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN02131681.3A
Other languages
English (en)
Other versions
CN1414476A (zh
Inventor
桥本光司
中本胜也
藤田昌英
光枝博之
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of CN1414476A publication Critical patent/CN1414476A/zh
Application granted granted Critical
Publication of CN1207663C publication Critical patent/CN1207663C/zh
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/079Root cause analysis, i.e. error or fault diagnosis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0721Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment within a central processing unit [CPU]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Debugging And Monitoring (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)

Abstract

本发明的微处理器的失控监控电路中,对进行微处理器(CPU)失控监视的监视计时器WDT的动作自行进行诊断。微处理器101对第一、第二监视计时器WDT1、WDT2供给第一、第二监视清零信号WD1、WD2,当两监视清零信号WD1、WD2失常时,通过逻辑耦合电路122使微处理器复位。微处理器101具有异常诊断手段103,可有意停止监视计时器WD1,通过监视信号MN1诊断其反应,同时,可使监视计时器WD2停止,通过监视信号MN2诊断其反应,可不必停止微处理器101,而诊断监视计时器WDT1、WDT2。

Description

微处理器的失控监控电路
技术领域
本发明涉及汽车发动机控制等用的微处理器(CPU)内部的电子控制器中的、对微处理器进行失控监视的监视计时电路其本身进行诊断以提高安全性的微处理器的失控监控电路。
背景技术
一般来说,微处理器的失控监控电路是与微处理器设置在同一块印制电路板上并且设置在微处理器的附近位置上,对1个微处理器连接一个失控监控电路。但是,也有如特开平5-81222号公报“2CPU的动作监视方法”(现有技术1)所示的那样,对2个微处理器设置1个失控监控电路(监视计时器)的情况。
另一方面,失控监控电路的可靠性非常重要,若微处理器正常工作,失控监控电路是永远不工作的,但在出现万一情况时失控监控电路必须工作,否则会产生重大危险。当然,在产品出厂检验中是进行严格检查的,在实际运行中最好能进行自身诊断。
作为过去的带有这种自身诊断功能的失控监控电路,有如特公开2000-104622号公报“电子控制器”(现有技术2)中所介绍的。该现有技术2是将通常连接在微处理器的复位端子上的监视计时器的复位信号输出切换到诊断监视用的输入端子上,有意地变更供给监视计时器的监视清零信号的周期,由微处理器自身来诊断监视计时器是否进行工作。
此外,根据特开平6-149604号公报中的“多路化系统”(现有技术3),分别由一对接有监视计时器的微处理器来进行双重控制,在一方的监视计时器的进行动作诊断时,切换到仅由反相诊断一方的微处理器的控制输出所进行的单路控制,然后进行运行,以使诊断一方的微处理器即使停止,而仍可进行控制。
上述的背景技术中,在微处理器单单连接失控监视用的监视计时器的现有技术1之中,存在着以下所述的安全性问题。
即,在监视计时器的工作中存在下述种种情况,微处理器正常工作时的正常不工作、微处理器异常时使微处理器复位的正常工作、不管微处理器是否正常工作而欲使微处理器复位的工作侧异常、不管微处理器是否为异常而不能使其复位时的不工作侧异常,这里,成为问题的是有对于监视计时器的不工作侧异常的危险性(失控监视功能丧失)及工作侧异常所引起的微处理器的不必要复位的两种情况。
然而,即使作为具有对监视计时器进行诊断这一功能的现有技术3,也有如下缺点,如微处理器的复位信号输出的切换电路产生异常,有产生不能使微处理器复位的危险性。同时,在对监视器进行诊断期间,即使微处理器失控,也不能使微处理器复位。
完全双重化系统的现有技术3,虽安全性好,但需要追加一对微处理器的输出信号的比较电路与切换电路等来通过自身诊断提高可靠性,因此,变得越来越复杂、高价。
本发明的第一目的在于,为了改善上述问题,提供一种在微处理器运行中也能进行监视计时器自身诊断的安全、廉价的的微处理器的失控监控电路。
本发明的第二目在于,提供一种使得难以产生需要时不能使微处理器复位的不工作侧异常并且使得难以产生监视计时器突然动作强制使微处理器停止的工作侧异常而加以改善了的微处理器的失控监控电路。
本发明的第三目的在于,提供一种使微处理器如因噪音等暂时出现误动作时可使微处理器复位并快速自动恢复到正常工作、极力维持CPU运行状态而加以改善了的微处理器的失控监控电路。
发明内容
本发明第1方面的微处理器的失控监控电路是控制电气负载的微处理器,它是为监视失控而产生第一监视清零信号和第二监视清零信号的失控监控电路,其特征在于,
所述失控监控电路具备:
第一监视计时器,接收上述第一监视清零信号并且当该第一监视清零信号有异常时产生第一复位信号;
第二监视计时器,接收上述第二监视清零信号并且当该第二监视清零信号有异常时产生第二复位信号;
逻辑耦合电路,在产生上述第一和第二复位信号时输出有效复位信号,以使上述微处理器复位;以及
异常诊断单元,将上述第一和第二复位信号分别作为第一和第二监视信号输入上述微处理器,
上述微处理器使上述第一和第二监视清零信号按互不相同的时序有意地为异常状态,对与成为该异常状态的监视清零信号相对应的上述第一和第二监视信号中一个进行检查,对与上述第一和第二监视计时器中作为上述异常状态的监视清零信号相对应的监视计时器的动作进行确认。
本发明第2方面的微处理器的失控监控电路是控制电气负载的微处理器,它是为监视失控而产生第一监视清零信号和第二监视清零信号的失控监控电路,其特征在于,
该失控监控电路具备:
辅助微处理器,协助上述微处理器的、接收由上述主微处理器输出的上述第二监视清零信号并产生第三监视清零信号;
第一监视计时器,接收上述第一监视清零信号并当该第一监视信号有异常时产生第一复位信号;
第二监视计时器,设置在上述微处理器内部并且接收上述第二监视清零信号、当该第二监视清零信号有异常时产生第二监视清零信号;
失控监视单元,设置在上述主微处理器内部并且接收由上述辅助微处理器输出的上述第三监视清零信号、当该第三监视清零信号有异常时产生第三复位信号使上述辅助微处理器复位;
逻辑耦合电路,当产生上述第一和第二复位信号时,判定上述主微处理器为异常而输出有效复位信号,使上述主微处理器和辅助微处理器复位;以及
异常诊断单元,将上述第一和第二复位信号分别作为第一和第二监视信号输入到上述微处理器,
上述主微处理器将上述第一和第二监视清零信号按互不相同的时序有意地变为异常状态,对与变为该异常状态的监视清零信号相对应的上述第一和第二监视信号的中的一个进行检查,对与上述第一和第二监视计时器中的上述有意变为异常状态的监视清零信号相对应的上述监视计时器的动作进行确认。
本发明第3方面的微处理器的失控监控电路是在第1方面的失控监控电路中,在构造上,上述微处理器在判定上述第一监视计时器为异常时产生第一出错信号,判定上述第二监视计时器为异常时产生第二出错信号,
上述微处理器具有第一和第二异常处理电路,上述第一异常处理电路根据上述第一出错信号强制使上述第一监视计时器的复位信号变为复位有效状态,上述第二异常处理电路根据上述第二出错信号强制使上述第二监视计时器复位信号在有效状态下进行动作,并且,
上述逻辑耦合电路根据从上述第一和第二监视计时器中未强制复位一方的监视计时器输出的复位信号,产生有效复位信号,使上述微处理器复位,即使上述第一和第二监视器的中的一个为不能复位的异常状态,也可产生上述有效复位信号输出。
本发明第4方面的微处理器的失控监控电路是在第2方面的失控监控电路中,其特征在于,
上述主微处理器在判定上述第一监视计时器为异常时,产生第一出错信号,当判定第二监视计时器为异常时,产生第二出错信号,
上述主微处理器具有第一和第二异常处理电路,上述第一异常处理电路根据第一出错信号,使上述第一监视计时器的复位信号强制变为复位有效状态,上述第二异常处理电路根据上述第二出错信号,使上述第二监视计时器的复位信号强制地为复位有效状态以进行动作,
上述逻辑耦合电路根据从上述第一和第二监视计时器中未强制复位一方的监视计时器输出的复位信号,产生有效复位信号,使上述主微处理器和辅助微处理器复位,上述第一和第二监视计时器的任意一方即使不能复位的状态,也可产生上述有效复位信号。
本发明第5方面的微处理器的失控监控电路是在第3方面的失控监控电路中,其特征在于,
上述异常诊断单元为了确认上述异常处理电路的正常动作,使从上述微处理器产生上述第一和第二出错信号的中的任意一个信号,并输入到上述异常处理电路,
上述异常诊断单元具有第一和第二确认单元,上述第一确认单元对与输入上述异常处理电路的上述第一出错信号对应的上述第一监视信号的响应状态进行确认,上述第二确认单元对与输入上述异常处理电路的上述第二出错信号的对应上述第二监视信号的响应状态进行确认。
本发明第6方面的微处理器的失控监控电路是在第4方面的失控监控电路中,其特征在于,
上述异常诊断单元为确认上述异常处理电路的正常动作,使从上述微处理器产生上述第一和第二出错信号的中的任意一个信号,并输入上述异常处理电路,
上述异常诊断单元具有第一和第二确认单元,上述第一确认单元对与输入上述异常处理电路的上述第一出错信号对应的上述第一监视信号的响应状态进行确认,上述第二确认单元对与输入上述异常处理电路的上述第二出错信号对应的上述第二监视信号的响应状态进行确认。
本发明第7方面的微处理器的失控监控电路是在第1方面的失控监控电路中,其特征在于,
具有启动处理电路,该启动处理电路在该失控监控电路接通电源时,使上述第一和第二监视计时器的两个复位信号在规定时间中强制地为复位有效状态以进行动作并且产生有效复位信号,
上述电源接通时,上述第一和第二监视计时器中的任意一方即使因异常为不动作状态,也可使上述微处理器复位。
本发明第8方面的微处理器的失控监控电路是在第2方面的失控监控电路中,其特征在于,
具有启动处理电路,该启动处理电路在上述失控监控电路接通电源时,使上述第一和第二监视计时器的两个复位信号在规定时间中强制地为复位有效状态以进行动作,并产生有效复位信号,
上述电源接通时,上述第一和第二监视计时器中任意一方即使因异常而为不动作状态时,仍可使上述主微处理器和辅助微处理器复位。
本发明第9方面的微处理器的失控监控电路是在第1方面的失控监控电路中,其特征在于,
将上述多个逻辑耦合电路并联并且以多路化逻辑耦合电路构成。
本发明第10方面的微处理器的失控监控电路是在第1方面的失控监控电路中,其特征在于,
将上述多个逻辑耦合电路并联并且以多路化逻辑耦合电路构成。
本发明第11方面的微处理器的失控监控电路是控制电气负载的微处理器,它是为监视失控而产生第一监视清零信号和第二监视清零信号并且为了进行测试而产生第一测试信号和第二测试信号的失控监控电路,其特征在于,
该失控监控电路具备:
第一监视计时器,接收上述微处理器输出的第一监视清零信号并且在该第一监视清零信号有异常时产生第一复位信号;
第二监视计时器,接收上述微处理器输出的第二监视清零信号并且在该第二监视清零信号有异常时产生第二复位信号;
门电路,接收上述微处理器输出的第一测试信号和第二测试信号,并且,在接收上述第一测试信号时,无论上述第一监视计时器是否产生第一复位信号,停止输出有效复位信号,在接收第二测试信号时,无论上述第二监视计时器是否产生第二复位信号,停止输出有效复位信号,在都不接收上述第一和第二测试信号中的任意一个测试信号时,根据上述第一和第二复位信号的产生输出有效复位信号;以及
异常诊断单元,将上述第一和第二复位信号分别作为第一和第二监视信号输入到上述微处理器,
上述微处理器按互不相同的时序产生上述第一测试信号和第二测试信号,在产生上述第一测试信号时,将上述第一监视清零信号有意变为异常状态,并输入上述第一监视计时器,检查上述第一复位的输出状态,以确认上述第一监视计时器的动作,在产生上述第二测试信号时,将上述第二监视清零信号有意变为异常状态,并输入上述第二监视计时器,检查上述第二复位信号的输出状态,以确认上述第二监视计时器的动作。
本发明第12方面的微处理器的失控监控电路是控制电气负载的微处理器,它是为监视失控而产生第一监视清零信号和第二监视清零信号的失控监控电路,其特征在于,
该失控监控电路具备:
辅助微处理器,协助上述微处理器的、接收由上述主微处理器输出的上述第三监视清零信号并产生第三监视清零信号;
第一监视计时器,接收上述第一监视清零信号并当该第一监视信号有异常时产生第一复位信号;
第二监视计时器,设置在上述微处理器内部并且接收上述第二监视清零信号、当该第二监视清零信号有异常时产生第二监视清零信号;
失控监视单元,设置在上述主微处理器内部并且接收由上述辅助微处理器输出的上述第三监视清零信号,当该第三监视清零信号有异常时产生第三复位信号使上述辅助微处理器复位;
门电路,接收从上述主微处理器输出的上述第一测试信号和第二测试信号,并且,在接收上述第一测试信号时,无论是否产生上述第一监视计时器的第一复位信号,都停止输出有效复位信号,在接收上述第二测试信号时,无论是否产生上述第二监视计时器的第二复位信号,都停止输出有效复位信号,当没有接收到上述第一和第二测试信号中的任何一个测试信号时,根据上述第一和第二复位信号的产生,输出有效复位信号,使上述主微处理器和辅助微处理器复位;以及
异常诊断单元,分别将上述第一和第二复位信号作为第一和第二监视信号输入到上述主微处理器,
上述主微处理器按互不相同的时序产生上述第一测试信号和第二测试信号,在产生上述第一测试信号时,有意地使得上述第一监视清零信号为异常状态并输入到上述第一监视计时器,检查上述第一复位号的输出状态,确认上述第一监视计时器的动作,在产生上述第二测试信号时,有意地使得上述第二监视清零信号为异常状态并输入上述第二监视计时器,检查上述第二复位信号的输出状态,确认上述第二监视计时器的动作。
本发明第13方面的微处理器的失控监控电路是在第11方面的失控监控电路中,其特征在于,
该失控监视手还具备:
根据由上述异常诊断单元获得的异常诊断结果使得保持测试信号的单元,在判定上述第一监视计时器为异常时,由上述微处理器持续产生上述第一测试信号,当判定为上述第二监视计时器为异常时,由上述微处理器持续产生第二测试信号,根据上述第一和第二监视计时器的异常动作而不产生有效复位信号;以及
异常处理电路,当上述微处理器同时误产生第一和第二测试信号时,输出有效复位信号,强制地使上述微处理器复位。
本发明第14方面的微处理器的失控监控电路是在第12方面的失控监控电路中,其特征在于,
该失控监视单元还具备:
根据由上述异常诊断单元产生的异常诊断结果使得测试信号保持的单元,当判定上述第一监视计时器为异常时,由上述微处理器持续产生上述第一测试信号,当判定为上述第二监视计时器为异常时,由上述微处理器持续产生第二测试信号,通过上述第一和第二监视计时器的异常动作而不产生有效复位信号;以及
异常处理电路,当由上述微处理器同时误产生第一和第二测试信号时,输出有效复位信号,强制地使上述微处理器复位。
本发明第15方面的微处理器的失控监控电路是在第11方面的失控监控电路中,其特征在于,
该失控监控电路还具有启动处理电路,所述启动处理电路在上述失控监控电路接通电源时,在规定时间强制地使得上述第一和第二监视计时器的两者的复位信号在复位有效侧动作,以产生有效复位信号,
在上述电源接通时,上述第一和第二监视计时器即使都不能动作,也可由上述有效复位信号使上述微处理器复位。
本发明第16方面的微处理器的失控监控电路是在第12方面的失控监控电路中,其特征在于,
所述失控监控电路还具备启动处理电路,所述启动处理电路在上述失控监控电路接通电源时,在规定时间强制地使得上述第一和第二监视计时器的两者的复位信号在复位有效侧进行动作,以产生有效复位信号,
在上述电源接通时,上述第一和第二监视计时器即使都不能动作,也可有上述有效复位信号使上述主微处理器和辅助微处理器复位。
本发明第17方面的微处理器的失控监控电路是在第1或11方面的失控监控电路中,其特征在于,
上述第一和第二监视计时器是分别产生规定时间宽度的第一和第二复位信号的计时器。
本发明第18方面的微处理器的失控监控电路是在第2或12方面的失控监控电路中,其特征在于,
上述第一和第二监视计时器是分别为产生规定时间宽度的第一和第二复位信号的计时器。
本发明第19方面的微处理器的失控监控电路是在第1或11方面的失控监控电路中,其特征在于,
上述微处理器由上述异常诊断单元判定上述第一和第二监视计时器中的至少一方为异常时,产生出错信号,
上述失控监控电路具有:异常产生存储单元,存储上述出错信号和上述有效复位信号,在上述失控监控电路接通电源时,将上述存储着的出错信号和有效复位信号清零并且置位成可存储的状态;以及
通知单元,将上述存储着的出错信号和有效复位信号的中至少一方的信号作为通知信号输出,
根据上述通知信号,可以进行通知。
本发明第20方面的微处理器的失控监控电路是在第2或12方面的失控监控电路中,其特征在于,
上述主微处理器由上述异常诊断单元判定上述第一和第二监视计时器中的至少一方为异常时,产生出错信号,
上述失控监控电路具有:
异常产生存储单元,可存储上述出错信号和上述有效复位信号,在上述失控监控电路接通电源时,将上述存储者的出错信号和有效复位信号清零并置位成可存储的状态;以及
通知单元,可将上述存储着的出错信号和有效复位信号中的至少一方的信号作为通知信号输出,
根据上述通知信号,可以进行通知。
21.如权利要求1或11所述的微处理器的失控监控电路,其特征在于,
具备从属于上述主微处理器并分担全部控制中的一部分的辅助微处理器,并且
上述辅助微处理器具备失控监视单元,该失控监视单元上述微处理器产生的监视计时器清零信号并且当出现异常时供给复位信号使上述辅助微处理器复位,
由上述第一和第二监视计时器供给的上述复位信号使上述微处理器和辅助微处理器复位。
本发明第22方面的微处理器的失控监控电路是在第1或11方面的失控监控电路中,其特征在于,
所述失控监控电路具备开关单元,该开关单元在将向上述失控监控电路供电的供电电源作为负载电源并由该负载电源向上述电器负载供电时,在上述负载电源与上述电器负载之间进行ON/OFF(接通/切断)动作,
上述供电电源接通时和上述有效复位信号输出时,上述开关单元为OFF,上述有效复位信号输出被解除时,上述开关单元为ON。
本发明第23方面的微处理器的失控监控电路是在第1或11方面的失控监控电路中,其特征在于,
上述微处理器当由上述异常诊断单元判定上述第一和第二监视计时器中的至少一方为异常时,产生出错信号,
上述失控监控电路还具备:
异常产生存储单元,可存储上述出错信号和上述有效复位信号,在上述供电电源接通时,将上述存储着的出错信号和有效复位信号清零,并置于可存储的状态;以及
驱动停止用单元,在上述异常产生存储单元存储着上述出错信号和有效复位信号时,使得上述微处理器的至少一个电器负载停止产生输出。
本发明第24方面的微处理器的失控监控电路是在第2或12方面的失控监控电路中,其特征在于,
上述辅助微处理器控制上述主微处理器的电器负载以外的电器负载,将向上述失控监控电路供电的供电电源作为负载电源,向上述主微处理器和上述辅助微处理器的上述各电器负载供电,
具有接通/切断上述负载电源和上述各电器负载之间的开关单元,
在上述电源接通时和上述有效复位信号输出时,上述开关单元为切断;在上述有效复位信号被解除时,上述开关单元为接通。
本发明第25方面的微处理器的失控监控电路是在第21方面的失控监控电路中,其特征在于,
由上述辅助微处理器控制上述主微处理器的电器负载以外的电器负载,将向上述失控监控电路供电的供电电源作为负载电源,向上述主微处理器和上述辅助微处理器供电,
具有接通/切断上述负载电源和上述各电气负载之间的开关单元,
在上述电源接通时和上述有效复位信号输出时,上述开关单元为切断;在上述有效复位信号输出被解除时,上述开关单元为接通。
本发明第26方面的微处理器的失控监控电路是在第2或12方面的失控监控电路中,其特征在于,
由上述辅助微处理器控制上述主微处理器的电气负载以外的电气负载,
上述主微处理器由上述判定单元判定上述第一和第二监视计时器中的至少一个为异常时,产生出错信号,
上述失控监控电路具有:异常产生存储单元,可存储上述出错信号和上述有效复位信号,在上述失控监控电路接通电源时,将上述存储着的出错信号和有效复位信号清零并置于可存储的状态;以及驱动停止用单元,可在上述异常产生存储单元在存储着上述出错信号和有效复位信号时,使上述主微处理器的至少一个电气负载及上述辅助微处理器的至少一个电气负载中的至少一方的电气负载的输出停止产生。
本发明第27方面的微处理器的失控监控电路是在第21方面的失控监控电路中,其特征在于,
由上述辅助微处理器来控制上述主微处理器的电器负载以外的电气负载,
上述主微处理器当由上述异常诊断单元判定上述第一和第二监视计时器中的至少一方为异常时,产生出错信号,
上述失控监控电路具有:异常产生存储单元,可存储上述出错信号和上述有效复位信号,在上述失控监控电路接通电源时,清零上述存储着的出错信号和有效复位信号并置于可存储的状态;以及驱动停止用单元,在由上述异常产生单元存储上述出错信号和有效复位信号时,使上述主微处理器的至少一个电气负载和上述辅助微处理器的至少一个电气负载内至少一方的电气负载的输出停止产生。
本发明第28方面的微处理器的失控监控电路是在第2或12方面的失控监控电路中,其特征在于,
由上述异常诊断单元将上述第一复位信号的状态作为第一监视信号输入上述主微处理器,
上述主微处理器有意地使得上述第一监视清零信号为异常状态,检查上述第一监视信号的反应,确认上述第一监视计时器的动作,
上述第二监视计时器的异常诊断由上述失控监视单元执行。
本发明第29方面的微处理器的失控监控电路是在第28方面的失控监控电路中,其特征在于,
上述微处理器包含强制输出单元,该强制输出单元在测试时从上述主微处理器接收测试模式信号并且当接收到上述测试模式信号时强制产生上述第二复位信号并供给上述门电路,
对于与上述辅助微处理器强制产生的上述第二复位信号相对应的上述第二监视信号的反应进行检查,并诊断上述辅助微处理器产生的上述第二复位信号是否到达上述门电路。
本发明第30方面的微处理器的失控监控电路是在第2或12方面的失控监控电路中,其特征在于,
设置偏置电路,所述偏置电路在直到上述辅助微处理器起动并进行正常动作为止的期间中使第二复位信号为有效,以使得根据监视计时器产生的第一复位信号而产生有效复位信号。
附图说明
图1为本发明实施形态1的微处理器的失控监控电路的电路图。
图2为本发明实施形态1的监视计时器的电路图。
图3为本发明实施形态1的微处理器的失控监控电路动作说明用的时序图。
图4为本发明实施形态1的微处理器的失控监控电路动作说明用的时序图。
图5为本发明实施形态2的微处理器的失控监控电路的电路图。
图6为本发明实施形态2的监视计时器的电路图。
图7为本发明实施形态3的微处理器的失控监控电路的电路图。
图8为本发明实施形态3的微处理器的失控监控电路动作说明用的时序图。
图9为本发明实施形态4的微处理器的失控监控电路的电路图。
图10为本发明实施形态5的微处理器的失控监控电路的电路图。
图11为本发明实施形态6的微处理器的失控监控电路的电路图。
图12为本发明实施形态7的微处理器的失控监控电路的电路图。
图13为本发明实施形态8的微处理器的失控监控电路的电路图。
具体实施形态
实施形态1
(1)实施形态1的结构的详细说明
下面说明图1所示的本发明实施形态1的微处理器的失控监控电路的方框图。
图1中,100为汽车用发动机控制器等的电子装置,该电子装置上直接连接如车载电池等的电源1或者通过电源开关2来进行馈电。
3为作为上述电子装置100的控制用输入的输入传感器组,4为由电子装置100供给控制用输出的电气负载组,5为电子装置100控制的报警显示器。以下说明电子装置100的内部结构。
101为具有运算处理用RAM存储器102和闪存等反相易性存储器103的微处理器,104为对于上述输入传感器组3的输入接口电路,105为对于上述电气负载组4的输出接口电路,上述RAM存储器102、程序存储器103、输入接口电路104及输出接口电路105与上述微处理器101以总线连接。106为在上述电子负载组4内设置在部分控制输出电路上的驱动停止用的门电路,该门电路由后述的连锁信号ITL来进行控制。
110为接在上述电源1上的第一电源线,111为通过上述电源开关2接在电源上的第二电源线,112是电源装置,通过上述第一和第二电源线110、111进行馈电,供给在上述电子装置100内使用的稳压控制电源,113为具有输出接点114的负载电源继电器,115为第三电源线,通过上述输出接点114与上述第一电源线110连接,对上述多个电气负载4供电。
120a和120b分别为后述的图2所示的第一和第二监视计时器,这些计时器分别接收上述微处理器101产生的脉冲串即第一和第二监视清零信号WD1、WD2的输出,当这些清零信号的脉冲宽度超过规定值时,产生第一和第二复位信号,将其作为第一和第二监视信号MN1、MN2供给上述微处理器101。
121a和121b分别为后述的图4所示的第一和第二异常处理电路,根据第一和第二出错输出ER1、ER2的动作,使上述第一和第二监视计时器120a、120b的复位信号输出电路在复位有效状态下强制动作。122为逻辑耦合电路,在上述第一和第二监视计时器120a、120b同时动作时发挥作用,对上述微处理器101供给有效复位信号输出(RST)。在该实施形态中,其逻辑电平为“L”(低电平)时微处理器101复位。
另外,上述第一和第二监视计时器120a、120b所产生的第一和第二复位信号的逻辑电平,在上述第一和第二监视清零信号WD1和WD2为异常时,也为“L”  。
另外,上述第一和第二出错输出ER1、ER2在出错产生时,逻辑电平为“H”(高电平)。
上述逻辑耦合电路122由逻辑和器件构成,第一和第二异常处理电路121a、121b由反相逻辑器件构成,例如,第一监视计时器102a在逻辑电平“H”侧产生损坏异常时,可由第一出错输出ER1及第一异常处理电路121a强制使逻辑和器件即逻辑耦合电路122的输入变为逻辑电平“L”,在第二监视计时器120b的动作下产生有效复位信号输出(RST)。
123为单次计时器,它通过连接在上述微处理器101的复位信号(RST)输入端子附近位置上的反相逻辑器件124受到驱动,在有效复位信号输出(RST)动作(逻辑电平“L”)后,在规定时间T1后产生规定时间t3的单触发脉冲即监视计时器复位信号WDR,由该信号WDR使上述第一和第二监视计时器120a、120b产生、存储的第一和第二复位信号复位。
125为由触发电路构成的复位完成存储元件,125a、125b为与该存储元件相接、驱动上述逻辑耦合电路122的各输入的第一和第二启动处理电路,126为电源开关2闭路时产生规定时间t1的初始化脉冲IPS的电源上升沿脉冲产生电路,127为上升沿脉冲产生电路,它在上述反相逻辑元件124的输出从逻辑电平“L”变为“H”时,产生规定时间t2的脉冲输出,使上述复位完成存储元件125复位。上述复位完成存储元件125,在电源接通时和有效复位信号输出(RST)产生时复位,在复位信号的输出(RST)被解除时,由上述单次计时器123的输出复位,并将对于上述微处理器101的复位结束后存储起来。
128为设置在上述负载电源继电器113驱动电路上的负载电源停止用门电路,该门电路为逻辑积元件,在对于上述微处理器101的有效复位信号输出(RST)被解除后,在规定时间t2后,与由微处理器101产生的输出许可信号输出OUTE几乎同时刻地,将由微处理器101产生的控制输出DR、与上述复位完成存储元件125的复位输出FSR进行耦合。
上述输出许可信号输出OUTE在由微处理器101经过初始化处理后在执行正常动作期间为常规输出,控制输出DR则由微处理器101的控制程序进行控制,因某种原因想切断负载电源时,可将控制输出DR变为逻辑电平“L”。
又,上述输出许可信号输出OUTE作用于上述输出接口电路105,在由微处理器101产生输出许可信号输出OUTE之前切断对于所有全部电气负载的控制输出。
129为由触发电路构成的异常产生存储元件,该存储元件是根据相当于微处理器101产生的第一和第二出错输出ER1、ER2逻辑和的出错输出ER(用图4详述)及上述上升沿脉冲产生电路127的输出来置位的,由上述电源上升沿脉冲产生电路126的初始脉冲IPS复位,同时由置位输出来驱动报警显示器5,由复位输出来控制上述驱动停止用门电路106。
并且,上述微处理器101按后述要领交替诊断第一和第二监视计时器120a、120b之后,产生为解除有意产生存储的第一和第二监视计时器1.20a、120b的第一和第二复位信号的监视复位信号MNR。
130为负载电阻,它是被供给上述控制输出DR、第一和第二出错输出ER1、ER2、有效复位信号输出(RST)的复位端子,并且是它与监视复位信号输出MNR、出错输出ER、输出许可信号输出OUTE的各端子连接的下拉电阻,该下来电阻是用于在微处理器101停止时使得各端子的逻辑电平可靠地固定在安全侧的“L”上。
图2为图1中的监视计时器的详细电路图。图2中,120代表因上述第一监视计时器120a或第二监视计时器120b的监视计时器,WDn代表上述第一监视清零信号WD1或第二监视清零信号WD2的监视清零信号,MNn代表上述第一复位信号(第一监视信号)MN1或第二复位信号(第二监视信号)MN2的复位信号(监视信号),WDR为监视计时器的复位信号。
200为比较器,201a和201b为正负的控制电源线,202a为给电容器202b充电的充电电阻,203a和203b为分压电阻。上述充电电阻202a、电容器202b及分压电阻203a、203b互相串接,连接在上述电源线201a和201b之间。上述比较器的反相反相输入与上述充电电阻202a和电容器202b的接点连接,反相输入与分压电阻203a、203b的接点连接。当电容器202b的充电电压超过由分压电阻203a、203b分压后的电压时,使触发器208复位。
205a为微分用电容器,206a为串接在该电容器上的上升沿检出电阻,当上述监视清零信号WDn从逻辑电平“L”变为“H”时,在上述检出电阻206a上产生电压,通过输出反相元件204a使上述电容器202b的充电电荷进行放电。
205b为与反相逻辑元件207的输出连接的微分用电容器,206b为串接在该电容器上的启动检出电阻,当上述监视清零信号WDn从逻辑电平“H”变为“L”时,上述检出电阻206b上产生电压,通过输出反相元件204b使上述电容器202b的充电电荷进行放电。
因此,在监视清零信号WDn的上升沿或下沿的切换时间点上电容器202b进行放电,在上下沿切换期间由充电电阻202a进行充电,这样,当监视清零信号WDn的脉冲宽度增大时,电容器202b的最大充电电压增大,脉冲宽度超过规定时间时通过比较器200使触发器208复位。
上述触发器208在电源接通时,也通过电容209a和电阻209b复位,由上监视计时器的复位信号WDR进行置位。触发器208的置位输出作复位信号(监视信号)MNn输入微处理器101。
210为与触发器208的复位输出连接的反相逻辑元件,该反相逻辑元件的输出与上述电容器202b并联,在触发器208复位期间,对上述电容器202b不进行充电。
因此,当监视清零信号WDn的脉冲宽度超过规定时间时,触发器208复位,其置位输出为逻辑电平“L”,但当监视计时器的复位信号WDR为逻辑电平“H”时,触发器208进行置位,其置位输出MNn的逻辑电平变为“H”,并解除对于微处理器101的复位信号。
(2)实施形态1对作用及动作的详细说明
图3为图1中的动作说明用的时序图,特别是给出了失控监控电路在正常工作时的各部分的动作。
图3中,在图(a)中当电源开关2为ON(接通)时,如图(b)所示,通过电源上升沿脉冲产生电路126,仅在t1时间中产生初始化脉冲IPS,复位完成存储元件125和异常产生存储元件129处于复位后的初始状态,通过第一和第二启动处理电路125a、125b以及逻辑耦合电路122,在微处理器101的复位输入上供给执行复位信号输出。
其结果,通过反相逻辑元件124激活单次计时器123,产生如图(h)所示规定时间T1、时间宽度t3的监视计时器复位信号WDR。
由此,如图(c)、(d)、(e)所示,产生复位完成存储元件125的复位输出FSR,第一和第二启动处理电路125a、125b的输出为逻辑电平“H”时,或者是第一和第二监视计时器120a、120b的复位信号(监视信号MN1、MN2)为逻辑电平“H”时,如图(f)所示,微处理器101的复位动作得到解除。
当微处理器101的复位动作被解除后,微处理器101执行起始程序,接着,开始执行控制程序。
随着这些程序的开始执行,如图(I)、(j)所示,产生第一和第二监视清零信号WD1、WD2,在程序开始执行T2时间后,如图(m)、(n)所示,产生输出许可信号OUTE及控制输出DR,使负载电源继电器113动作。
如上所述,微处理器101正常地执行控制程序并对电气负载4进行控制,而要说明的在于,在Tx时间中,微处理器101因噪音误动作等产生暂时性异常,第一和第二监视清零信号WD1、WD2都失常,或上述的产生脉冲宽度均超过规定值时的情况下,首先,如图(d)、(e)所示,第一和第二复位信号(监视信号MN1、MN2)为逻辑电平“L”,其结果,如图(f)所示,通过逻辑耦合电路122使有效复位输出(RST)变为逻辑电平“L”。
由此,如图(g)所示,上升沿脉冲产生电路127产生时间宽度t2的脉冲PLS,如图(c)所示,复位完成存储元件125复位,其置位输出为逻辑电平“L”,则负载电源继电器113不通电。
同样,如图(1)所示,由上述脉冲PLS使异常产生存储元件129置位,其置位输出即连锁信号ITL为逻辑电平“L”,将驱动停止用门电路106锁定,同时由置位输出使报警显示器5动作。
另一方面,如图(n)、(m)所示,通过有效复位信号(RST)为逻辑电平“L”后使输出许可信号OUTE及控制输出DR也变为逻辑电平“L”。
并且,当有效复位信号输出(RST)变为逻辑电平“L”而微处理器101复位后,如图(n)所示,在规定时间T1后,单次计时器123产生时间宽度t3的脉冲,使复位完成存储元件125置位,及解除第一和第二监视计时器的动作,因此,微处理器101又开始正常动作。
但是,由于异常产生存储元件129其置位状态继续下去,所以如图(1)所示,联锁信号ITL仍为逻辑电平“L”,报警显示器5也继续动作。
下面,对于在时刻Ty中如图(i)所示有意停止第一监视清零信号WD1以及脉冲宽度超过规定值时的情形进行说明。如图(d)所示,第一监视计时器120a的复位信号(第一监视信号MN1)变为逻辑电平“L”,但第二复位信号(监视信号MN2)仍为逻辑电平“H”,因此,逻辑耦合电路122的输出即有效复位信号输出(RST)保持逻辑电平“H”,而微处理器101不会复位。
微处理器101通过上述控制进行第一监视计时器120a的诊断后,如图(k)所示,产生监视复位信号输出MNR,使第一监视计时器120a复位,这样,第一复位信号(监视信号MN1)如图(d)所示,恢复到逻辑电平“H”,第一监视复位信号WD1也产生正常脉冲。
图4为用于说明图1中的异常诊断手段动作的流程图。
图4中,400为诊断开始步骤。401为该步骤之后判定第二监视信号MN2的逻辑电平是否为“L”的步骤。402为该判定步骤为否时产生第一出错输出ER1(逻辑电平“H”)的步骤。403为该步骤之后判定第一监视信号MN1是否由第一异常处理电路121a变为逻辑电平“L”的步骤。404为该判定步骤为是时解除上述402步骤中产生的第一出错输出ER1的步骤。在上述401判定步骤中如果监视信号MN2为逻辑电平“L”时不进行第一和第二监视计时器120a、120b的诊断,则继续后述的440步骤。
在上述403判定步骤中,第一监视信号MN1不为逻辑电平“L”时,为第一异常处理电路121a不良,当后述的412步骤存储出错输出ER和第一出错输出ER1的动作,该存储状态保持到电源切断为止。
由上述402、403、404步骤构成的步骤块414为第一确认手段,它用于确认第一异常处理电路121a的动作。
405步骤继上述404步骤之后有意停止第一监视清零信号WD1或使脉冲时间宽度超过规定值的步骤。在该步骤中,第二监视清零信号WD2将继续产生正常的脉冲串。
406为上述405步骤之后用于驱动判定计时器的步骤,该判定计时器是在软件上编好程序,以使得当比监视清零信号WD1和WD2的脉冲宽度的最大允许值稍大的时间T0经过时,则算作到达时间。
407步骤在上述406步骤之后用于判定上述判定计时器是否到达时间。408步骤在判定为该判定步骤尚未到达时间时判定第一监视信号MN1的逻辑电平是否为“L”。该判定步骤为否时,进入上述405步骤,从405步骤重复408步骤的动作。
在重复动作的过程中,若上述407步骤判定为未到达时间,则进入412步骤,产生出错输出ER及第一出错输出ER1并存储起来。
上述407步骤在为到达时间的时间内,408步骤判定为是时,进入409步骤,在该步骤中,解除由上述406步骤驱动的判定计时器的驱动。
410步骤继上述409步骤之后,使在上述405步骤中有意变为异常的第一监视清零信号WD1正常化,同时产生监视复位信号MNR。411步骤在该步骤之后判定第一监视信号MN1是否恢复到逻辑电平“H”。该判定步骤为否时,进入412步骤,并产生出错输出ER及第一出错输出ER1并存储起来。
413为由401和402步骤构成的步骤块,由该步骤块构成第一异常诊断手段,用于诊断第一监视计时器120a。
421步判在上述判定步骤411为是时判定第一监视信号MN1的逻辑电平是否为“L”。422步骤在该判定步骤为否时产生第二出错输出ER2(逻辑电平“H”)。423步骤在该步骤之后判定第二监视信号MN2是否由第二异常处理电路121b变为逻辑电平“L”。424步骤在该判定步骤为“是”时解除在422步骤中产生时第二出错输出ER2。在上述判定步骤421中,若监视信号MN1为逻辑电平“L”时,不进行第二监视计时器120b的诊断,而进入后述的440步骤。
在上述判定步骤423中,第二监视信号MN2不为逻辑电平“L”时,则第二异常处理电路121b为不良,由后述的432步骤存储出错输出ER及第二出错输出ER2的动作,该存储状态保持到电源切断为止。
由上述422、423、424步骤构成的步骤块434为第二确认手段,用于确认第二异常处理电路121b的动作。
425步骤继上述424步骤之后,它是有意停止第二监视清零信号WD2或使得脉冲时间宽度超过规定值的步骤,在该工序中,第一监视清零信号WD1使得继续产生正常脉冲串。
426是接着上述425步骤之后驱动判定计时器用的步骤,它是在软件上编好程序,使得比监视清零信号WD1和WD2的脉冲宽度的最大允许值稍大的时间经过时,作为时间到达。
427步骤在上述426步骤之后判定上述判定计时器是否到达时间。428步骤在该判定步骤判定为尚未到达时间时判定第二监视信号MN2的逻辑电平是否变为“L”,该判定步骤为否时进入上述425步骤,从425步骤重复428步骤的动作。
在该重复动作的过程中,若上述427步骤判定为时间到达时,则进入432步骤,产生并存储出错输出ER及第一出错输出ER2。
在上述427步骤未到达时间的时间内,428步骤判定为“是”时,进入429步骤,在该步骤中解除由上述426步骤驱动的判定计时器的驱动。
430步骤在上述429步骤之后,使由上述425步骤中有意为异常的第二监视清零信号WD2正常化,同时产生监视复位信号MNR。432步骤在该步骤之后判定第二监视信号MN2是否恢复到逻辑电平“H”,该判定步骤为否时,进入432步骤,产生并存储出错输出ER及第二出错输出ER2。
433为由421、432步骤构成的步骤块,由该步骤块构成第二异常诊断手段,用于诊断第二监视计时器120b。
440步骤在上述判定步骤401和421为是时,或者在412、432步骤之后使第一和第二监视清零信号WD1、WD2恢复到正常输出。441为该步骤之后的诊断结束步骤。如上所述,当第一和第二监视计时器120a、120b的异常诊断结束时,经过适当时间再次进入400诊断开始步骤。
下面,在说明图3、图4的动作的基础上,再次总地说明图1中的主要部分的动作。
对由微处理器101产生的一对监视清零信号WD、WD2的脉冲宽度进行监视的一对监视计时器120a、120b,当脉冲宽度超过规定值时,产生第一和第二复位信号,该复位信号作为第一和第二监视信号MN1、MN2进入微处理器。
同时,上述一对复位信号通过逻辑耦合电路122与微处理器101的复位输入端子(RST)连接,而一对复位信号的逻辑电平平均为“L”时,向微处理器101供给有效复位信号输出,使微处理器101复位,同时,该有效复位信号输出由单次计时器123自动进行解除。
因此,根据诊断目的即使产生一方的监视计时器的复位信号,只要另一方的监视计时器不产生复位信号,则不会产生有效复位信号。因此,一对监视计时器可交替进行诊断。
作为诊断结果,一方的监视计时器若为不动作侧异常(尽管本来是应该产生复位信号的,但为设有产生复位信号的状态),保持这种状态是永远不能产生有效复位信号的。因此,由复位异常处理电路121a或121b强制变为逻辑电平“L”,其结果,使另一方的监视计时器的复位信号变为有效。
另一方面,关于逻辑耦合电路122,因为在运行中是不能进行诊断动作的,所以在接通电源启动时,要进行动作确认。
一对启动处理电路125a、125b,在万一一对监视计时器120a和120b中的其中某一个为不动作侧异常(逻辑电平“H”)时,通过逻辑耦合电路122使微处理器101复位。但如果逻辑耦合电路122损坏,其逻辑电平不为“L”时,单次计时器没有被激活,复位完成存储元件125不复位。
结果,因为负载电源继电器113不动作,所以可确保安全,同时可方便地判断异常状态。
下面,假定在正常运行中的微处理器因噪音误动作等产生暂时性的异常时,第一监视计时器120a和第二监视计时器120b的一方或两者产生复位信号,微处理器101虽停止,但可由单次计时器123迅速解除复位信号。
复位完成存储元件125,在微处理器101复位了时,由上升沿脉冲产生电路127进行临时复位,随着复位的完成,由单次计时器123由次复位,所以电源继电器113仍可进行动作。
因此,在汽车用发动机控制装置的场合,驾驶员往往是在不知不觉中恢复到正常运行的。
但是,异常产生存储元件129,如果即使一次产生有效复位信号,除了由上升沿脉冲产生电路127复位外,还由出错输出ER的产生来复位,由此使报警显示器动作,同时由联锁信号ITL使特定的电气负载停止驱动,这种状态保持到电源开关重新接通为止,并可将异常告诉驾驶员。
又,文中所讲的特定的电气负载,是指丧失功能也不妨碍汽车运行的负载,如电子油门控制方式的汽车的匀速控制器、行驶用的前方及两侧监视器等的能够有效利用与安全相关的方便功能的模式切换信号输出或加速器。
然而,点火控制及燃料喷射控制等关于发动机旋转控制的基本功能,为了进行保存运行而需要进行连续控制,即使一方的监视计时器为异常,而仍可进行运行。上述给出了考虑到这种情况的实施形态。
实施形态2
(1)实施形态2的结构的详细说明
图5示出了本发明实施形态2的微处理器的失控监控电路的方框图。下面主要说明与图1所示实施形态的不同点。
在图5中,500为汽车用的发动机控制装置等的电子装置,在该电子装置上接有由辅助微处理器507通过接口电路505进行控制的第二电子负载组7,在该第二电子负载组的部分负载上接有第二驱动停止用的门电路506。
在上述辅助微处理器507上通过输入接口电路接有第二输出传感器组6。
上述辅助微处理器507协助主微处理器501,分担辅机控制等,由两者进行全体控制,可相互监视各自的部分控制功能。
501为具有运算处理用RAM存储器102、闪存等非易失性存储器503的主微处理器,该微处理器501监视上述辅助微处理器507产生的监视清零信号WDS,并在该监视清零信号WDS的脉冲宽度超过规定值时,产生逻辑电平“L”的复位信号输出(RSTS),使辅助微处理器507重新启动。
另外,上述辅助微处理器507由第一和第二逻辑耦合电路522a、522b的输出,可与主微处理器501同时复位。
508为上述复位信号输出(RSTS)从逻辑电平“H”变为“L”时产生短时间脉冲的下沿脉冲产生电路。509为逻辑耦合器件,将该脉冲产生电路产生的脉冲与上述微处理器501产生的出错输出ER进行逻辑和处理,通过由该逻辑耦合器件产生的合成出错输出ERO使异常产生存储元件129进行置位。
520a、520b为第一和第二监视计时器,如图6所述,上述监视计时器内部含有自动复位电路630,因此不需要图1中的单次计时器123及监视复位信号MNR。复位完成存储元件也由上述第一和第二监视计时器520a、520b产生的第一和第二复位信号WDR1、WDR2进行置位。
另外,与图1中的逻辑耦合电路122所不同的是,采用了将作为逻辑和器件的一对逻辑耦合电路522a、522b做成并联结构的双重化逻辑耦合电路。
图6为图5中的监视计时器的详细电路图。图6中,520为代表上述第一监视计时器520a或第二监视计时器520b的监视计时器。WDn为代表上述第一监视清零信号WD1或第二监视清零信号WD2的监视清零信号。MNn为代表上述第一复位信号(第一监视信号)MN1或第二复位信号(第二监视信号)MN2的复位信号(监视信号)。WDRn代表第一监视计时器复位信号WDR1或第二监视计时器复位信号WDR2的监视计时器复位信号。上述监视计时器520由与图2中的监视计时器基本相同的计时器电路部120c和自动复位电路630构成。
上述计时器电路部120c与图2的计时器比较,有所不同的是,触发电路208(608)的复位输入信号由自动复位电路630供给,其他则完全相同。
在自动复位电路中,631为比较器,产生上述监视计时器复位信号WDRn,使相当于上述触发电路208的触发电路608及图5中的复位完成存储元件125进行置位。201a、201b为正负控制电源线,632a为使电容器632b充电的充电电阻,633a、633b为分压电阻,上述充电电阻632a、电容器632b及分压电阻633a、633b互相串接,连接在上述电源线201A、201b之间。
此外,上述比较器631的非反相输入与上述充电电阻632a和电容器632b的接点连接,反相输入与分压电阻633a、633b的接点连接,电容器632b的充电电压超过由分压电阻633a、633b分压后的电压时,使触发电路608置位。
634是用于释放上述电容器632b的充电电荷的输出反相器,635为具有并联二极管636并对电容器637进行充电的充电电阻,上述触发器608的置位输出为逻辑电平“H”时,通过充电电阻635使电容器637充电,其充电压超过规定值时,上述输出反相器634的输出为逻辑电平‘L“,使电容器632b的充电电荷释放,同时比较器631的输出为逻辑电平“L”。
另一方面,当触发器608的置位输出的逻辑电平“L”时,电容器637的充电电荷通过二极管636迅速放电,输出反相器634的输出变为逻辑电平“H”,电容器632b开始充电。
重新整理一下监视计时器520的总体结构。触发器608在电源接通时由电容器209a复位,在运行中当监视清零信号WDn为异常时由比较器200复位,其复位输出变为逻辑电平“L”,这便为监视信号MNn。
如触发器608的复位输出MNn为逻辑电平“L”,则电容器632b立即开始充电,在规定时间T1后,由比较器631的输出使触发器608置位,监视信号MNn的逻辑电平恢复到“H”。
触发器608的置位输出为逻辑电平“H”,则电容器637开始充电,在规定时间t3后,输出反相器34的输出为逻辑电平“L”,比较器631的输出WDRn为逻辑电平“L”,触发器608的置位输入被解除。图3(h)的时序图给出了上述的时序关系。
(2)实施形态2的作用及动作的详细说明
在上述结构的图5情形中,由一对监视计时器520a、520b以及逻辑耦合电路522a、522b构成的失控监控电路,其本身的动作在结构上与图1情形相同。
但是,图1的单次计时器123分别做在监视计时器520a、520b的内部,因此双重化电路部分增多,可靠性提高。
这就是说,图1情形中存在这样的问题,当单次计时器123为异常时,监视计时器120a、120b都不复位或者仍然保持着复位。
相反,若为图5结构,一方的自动复位电路630即使为异常,但是一方的监视计时器仍有效地起着作用。
另外,逻辑耦合电路522a、522b也由于双重化的原因,虽然在总体上电路元件有所增加,但图5情形与图1比较,可靠性要高。
另一方面,在结构上监视计时器的内部含有自动复位功能,因此微处理器501不产生监视复位信号输出MNR。
现用图4来说明微处理器501在作用方面的动作。在图4的410和430步骤中,为取代MNR输出,只要由自动复位电路630在将监视计时器520a、520b进行自动复位之前进行时间等待后进入下一个步骤即可。
此外的动作流程如图4所示。
协助主微处理器501的辅助微处理器507由图中未示出的控制程序来控制第二电气负载组7,其监视清零信号WDS则由微处理器501的程序存储器503中的失控监视手段来进行监视,辅助微处理器507单独异常时,由微处理器501复位。
但是,微处理器501为异常时,即使辅助微处理器507是正常的,也由第一和第二监视计时器520a、520b使主微处理器501和辅助微处理器507同时复位。
对于辅助微处理器507的单独异常,由异常产生存储元件129进行存储,使得联锁信号ITL和报警显示器5动作。
该异常产生存储元件129也可存储微处理器501产生的出错输出ER及第一和第二监视计时器520a、520b的有效复位信号输出的动作,伴随在异常存储时的联锁信号ITL,不仅停止驱动电气负载组4的部分电气负载,而且停止驱动第二电气负载组7中的部分电气负载。
上述第二电气负载组7通过负载电源继电器113的输出接点114而由电源1进行供电。
实施形态3
(1)实施形态3的结构的详细说明
图7给出了本发明实施形态3的微处理器的失控监控电路的方框图,下面主要说明与图1情形的不同点。
图7中,700为汽车用发动机控制装置等的电子装置,该电子装置由具备运算处理用RAM存储器102和闪存器等非易失性程序存储器703的微处理器701来进行控制。与图1情形一样,上述微处理器701产生的第一和第二监视清零信号WD1、WD2分别由第一和第二监视计时器120a、120b进行监视,上述第一和第监视计时器120a、120b产生的第一和第二复位信号作为第一和第二监视信号MN1、MN2输入微处理器701。
721a为第一门电路,它使得由上述第一监视计时器120a产生的第一复位信号和由上述微处理器701产生的第一测试输出TST1进行逻辑和运算。721b为第二门电路,它使得由上述第二监视计时器120b产生的第二复位信号和由上述微处理器701产生的第二测试信号输出TST2进行逻辑和处理。722为异常处理电路,产生对于上述第一和第二测试输出TST1、TST2的逻辑积的否定输出。上述第一和第二门电路721a、721b的输出与上述异常处理电路722的输出经有线或耦合后与上述微处理器701的复位输入(RST)相接。
另外,上述第一和第门电路721a、721b及异常处理电路722的输出部分由具有作为下来电阻的集电极电阻的NPN晶体管构成,即使直接与各输出连接,也可形成良好的电路形式。
725a、725b为第一和第二启动处理电路,由连接在复位完成存储元件125的复位输出与上述第一、第二监视计时器120a、120b的输出之间的反相逻辑元件构成。这些启动处理电路万一第一、第二监视计时器120a、120b均为不动作则异常时,也可在使复位完成存储器125复位启动时,通过上述第一门电路721a或二门电路721b,使微处理器701复位。
此外,上述异常处理电路722,在万一由微处理器701产生的第一、第二测试输出TST1、TST2均为逻辑电平“H”时,可使微处理器701复位。
(2)实施形态3的作用及动作的详细说明
图8为说明图7异常诊断手段用的流程图。
图8中,800为诊断开始的步骤,801为该步骤之后在后述的821步骤中判定异常检测标志是否置位的步骤,802步骤在该判定步骤为否时,产生第一测试输出TST1,同时有意停止第一监视清零信号WD1,或者使得脉冲时间宽度超过规定值。在该步骤中,将继续产生第二监视清零信号WD2的正常脉冲串。
803是继802步骤之后用于驱动判定计时器的步骤。该判定计时器在软件上是编制好程序的,当比监视清零信号WD1或监视清零信号WD2的脉冲宽度的最大允许制稍大的时间T0经过时,算到达时间。
804是继上述803步骤之后用于判定上述判定计时器是否到达时间的步骤。805步骤在判定为该判定步骤尚未到达时间时,判定第一监视信号MN1的逻辑电平是否为“L”。该判定步骤为否,则进入上述802步骤,重复从802步骤至805步骤的动作。
在该重复动作的过程中,若上述804步骤判定为到达时间时,进入821步骤,产生并存储出错输出ER及出错标记FLAG。
在上述804步骤未到达时间内,由805步骤判定为是时,进入806步骤。在该步骤中,解除由上述803步骤驱动的判定计时器的驱动,同时产生监视复位信号MNR,使第一监视计时器120a复位。
所谓上述判定步骤805判定为“是”,是指第一监视计时器120a动作并且第一复位信号即第一监视信号MN1的逻辑电平为“L”。但在该时候,上述第一测试输出TST1的逻辑电平为“H”,因此在图7中的第一门电路721a的作用下不产生有效复位信号输出(RST),被测试一侧的监视计时器脱离。
807为继上述806步骤之后用于判定第一监视信号MN1的逻辑电平是否恢复到“H”的步骤,该判定步骤为否时,进入上述821步骤,产生并存储出错输出ER及出错标记FLAG。
808步骤在上述807判定步骤为是时,使由上述802步骤有意为异常的第一监视清零信号WD1正常化,同时解除第一实验输出TST1,使逻辑电平为“L”。
809为由上述802步骤至808步骤构成的步骤块,该步骤块构成第一异常诊断手段,用于诊断第一监视计时器120a。
812步骤继上述808步骤之后产生第二测试输出TST2,同时有意停止第二监视清零信号WD2,或使脉冲时间宽度超过规定值。再该步骤中,第一监视清零信号WD1继续产生正常脉冲串。
813为上述812步骤之后用于驱动判定计时器的步骤。该判定计时器是在软件上编制好程序,使得当比监视清零信号WD1或监视清零信号WD2的脉冲宽度的最大允许稍大的时间T0经过时,作为时间到达。
814为上述813步骤之后用于判定上述判定计时器是否到达时间的步骤。815步骤在判定该判定步骤尚未到达时间时,用于判定第二监视信号MN2的逻辑电平是否为“L”。该判定步骤为否,则进入上述812步骤,重复自812步骤至815步骤的动作。
在重复动作的过程中,若上述814步骤判定为到达时间时,进入821步骤,产生并存储出错输出ER及出错标记FLAG。
在上述814步骤未到达时间的时间内,由815步骤判定为是时进入816步骤,在步骤中解除由上述813步骤驱动的判定计时器的驱动,同时,产生监视复位信号MNR,使第二监视计时器120b复位。
所谓上述815判定步骤进行是的判定,是指第二监视计时器120b动作,使第二复位信号即第二监视信号MN2的逻辑电平变为“L”。但在该时刻,因为上述第二测试输出TST2的逻辑电平为“H”,所以在图7中的第二门电路721b的作用下,不产生有效复位信号,而被测试一侧的监视计时器脱离。
817为上述816步骤之后用于判定第二监视信号MN2的逻辑电平是否恢复到“H”的步骤。该判定步骤为否,则进入上述821步骤,产生并存储出错输出ER及出错标记FLAG。
818步骤在上述817步骤为是时,使由上述812步骤有意为异常的第二监视清零信号WD2正常化,同时解除第二测试输出TST2,使逻辑电平变为“L”。
819为由上述812步骤至818步骤构成的步骤块,该步骤块构成第二异常诊断手段,用于诊断第二监视计时器120b。
821步骤在上述判定步骤804、807、814、817为异常判定时发挥作用并产生、存储出错输出ER及出错标记FLAG的步骤。822步骤使在上述802及812步骤中有意为异常的第一和第二监视清零信号WD1、WD2正常化。823为上述判定步骤801为是时继818、822步骤之后的诊断结束步骤。如上所述,当第一和第二监视计时器120a、120b的异常诊断结束时,则经过适当时间再次进入诊断开始步骤800。
另外,在由上述807步骤或817步骤进入821步骤时,测试输出TST1或TST2仍保持逻辑电平“H”,而对于监视计时器120a、120b的动作侧异常不产生无用的有效复位信号输出。
下面,在说明了图8动作的基础上,总括性地说明图7的主要部分的动作。
一对监视由微处理器701产生的一对监视清零信号WD1、WD2脉冲宽度的监视计时器120a、120b,在脉冲宽度超过规定值时,产生第一、第二复位信号,该复位信号作为第一、第二监视信号MN1、MN2进入微处理器701。
上述一对复位信号通过一对门电路721a、721b与微处理器701的复位输出端子相接,当一对复位信号的其中某一方的逻辑电平为“L”时,将有效复位信号钩稽微处理器701,使微处理器701复位,同时,该有效复位信号输出由单次计时器123自动进行解除。
但是,当第一、第二测试输出TST1、TST2的逻辑电平为“H”时,在第一、第二门电路721a、721b的作用下不产生有效复位信号输出。
因此,根据诊断目的,即使使一方的监视计时器产生复位信号,但只要另一方的监视计时器不产生复位信号,则不会产生有效复位信号,所以可对一对监视计时器进行异常诊断。
作为诊断结果,即使一方监视计时器为不动作侧异常(尽管本来是应该产生复位信号的,但为不产生复位信号的状态),但另一方监视计时器的复位信号有效。如果在诊断动作中产生动作侧异常(尽管本来是不应产生复位信号的,但产生了复位信号的状态),则通过不解除测试输出,使异常侧监视计时器脱离。
另外,关于异常处理电路722,因微处理器701的异常等,第一、第二测试输出TST1、TST2的逻辑电平均为“H”时,产生有效复位信号输出,使微处理器701复位。
一对启动处理电路725a、725b,万一在一对监视计时器120a、120b均为不动作侧异常(逻辑电平“H”)时,通过第一、第二门电路721a、721b使微处理器701复位。但如果第一、第二门电路都损坏,其输出的逻辑电平不为“L”时,单次计时器不激活,复位完成存储元件125不进行置位。
其结果,由于负载电源继电器113不工作,所以可确保安全,同时容易诊断异常状态。
下面假设正常运行中的微处理器701因噪音误动作等暂时产生异常的情况下,第一监视计时器120a和第二监视计时器120b的一方或两者产生复位信号,微处理器701停止,而由单次计时器迅速解除复位信号。
复位完成存储元件125在微处理器701复位时,由上升沿脉冲产生电路127进行暂时性复位,但随着复位的完成,由单次计时器123再次进行置位,所以电源继电器113也可以动作。
因此,对于汽车用发动机控制装置的情况,往往是在驾驶员没有发觉的情况下已恢复到正常运行。
但是,只要有效复位信号输出产生一次,异常产生存储元件129除了由上升沿脉冲产生电路127进行置位外,也由出错输出ER的产生来进行置位,因此随之报警显示器5进行动作,同时由联锁信号ITL停止驱动特定的电气负载,该状态一直维持到再次接通电源开关2为止,并可将异常情况通知驾驶员。
文中所讲的特定的电气负载,是指其功能丧失也不会妨碍汽车运行的负载,使得有效利用如电子油门控制方式的汽车匀速行驶控制器等的前方和两侧监视器之类的与安全相关的便利功能的模式切换信号输出或传动装置。
然而,点火控制及燃料喷射控制等有关发动机旋转控制的基本功能,为了进行退避回家运行而需要继续进行控制,因此微处理器即使有暂时性的异常,也可进行运行,上述揭示了考虑到这种情况的实施形态。
实施形态4
(1)实施形态4的结构的详细说明
图9示出了本发明实施形态4的微处理器的失控监控电路的方框图,下面主要说明与图7的不同点。
图9中,900汽车用发动机控制器等的电子装置,该电子装置中采用接有图中未示出的第二电气负载组和第二输入传感器组的辅助微处理器907。
并且,上述辅助微处理器907协助主微处理器901,并分担辅机的控制等,由两者来执行全部控制,相互监视各种控制功能的一部分。
901为具有运算处理用RAM存储器102和闪存等非易失性程序存储器903的主微处理器,该微处理器监视由辅助微处理器907产生的监视清零信号WDS,当该监视清零信号WDS的脉冲宽度超过规定值时,产生逻辑电平“L”的复位信号输出(RSTS),使辅助微处理器907重新启动。
在上述程序存储器903中含有监视辅助微处理器907的监视清零信号的失控监视手段及与第一和第二监视计时器520a、520b相对应的第一和第二异常诊断手段。
上述辅助存储器907利用第一和第二门电路721a、721b的输出,与主微处理器901同时复位。
508为上升沿脉冲产生电路,使上述复位信号输出(RSTS)从逻辑电平“H”变为“L”时产生短时间脉冲。509为逻辑耦合元件,使该脉冲产生电路产生的脉冲与上述微处理器901产生的出错输出ER进行逻辑和处理。由该逻辑耦合元件产生的合成出错输出ERO使异常产生存储元件129进行置位。
520a、520b为第一、第二监视计时器。如图6所述,这些监视计时器内部含有自动复位电路630,所以不需要图7中的单次计时器123和监视复位信号MNR。复位完成存储元件125也由上述第一和第二监视计时器520a、520b产生的第一、第二监视计时器复位信号WDR1、、WDR2进行置位。
上述辅助微处理器907与图5一样接有图中未示出的第二输入传感器组和第二电气负载组,第二电气负载组通过负载电源继电器113的输出接点114来馈电,在部分电气负载上根据需要设置驱动停止用门电路,并由上述异常产生存储元件129产生的联锁信号ITL来实现控制。
(2)实施形态4的作用及动作的详细说明
在上述结构的图9情形中,由一对监视计时器520a、520b及第一、第二门电路721a、721b构成的失控监控电路,其本身的动作在结构上与图7情形相同。
但是,图7中的单次计时器123分别设置在监视计时器520a、520b的内部,所以双重化电路部分增多,可靠性提高。
这就是说,图7情形有这样的问题,当单次计时器123为异常时,监视计时器120a、120b均不复位,或维持复位状态。
然而,若为图9结构,即使一方的自动复位电路630为异常,另一方的监视计时器仍有效地起着作用。
因此,作为整体的电路元件虽有增加,但与图7相比,结构可靠性要高。
另一方面,由于监视计时器在内部具有自动复位电路630,所以在结构上微处理器901不产生监视复位信号输出MNR。
下面用图8来说明微处理器901的作用和动作。在图8的806步骤和816步骤中,如果等待让自动复位电路630将监视计时器520a、520b自动复位的时间,然而再进入下一个步骤,这样便可取代产生MNR输出。
除此之外的动作流程如图8所示。
协助主微处理器901的辅助微处理器907使用图中未示出的控制程序对第二电气负载组进行控制,其监视清零信号WDS由微处理器901进行监视,在辅助微处理器907的单独异常场合,由微处理器901复位。
但是,在微处理器901为异常时,即使辅助处理机907为正常,微处理器901和辅助微处理器907由第一、第二监视计时器520a、520b都复位。
对于辅助微处理器907的单独异常,由异常产生存储元件129进行存储,联锁信号ITL及报警显示器进行动作。
该异常产生存储元器129也可存储微处理器901产生的出错输出ER及第一、第二监视计时器520a、520b的有效复位信号输出的动作。伴随在异常存储中的联锁信号ITL不仅对电气负载组4的部分电气负载停止驱动,而且对第二电气负载组中的部分电气负载也停止驱动。
实施形态5
图10示出了本发明实施形态5的微处理器的失控监控电路的方框图。下面主要说明与图5情形的主要不同点。
图10中,1000为汽车用发动机控制装置等的电子装置,在该电子装置上设置了具有运算处理用RAM存储器102和闪存等非易失性程序存储器1003a的主微处理器1001、具有运算处理用RAM存储器1002和闪存等非易失性程序存储器1003b的辅助微处理器1007。该辅助微处理器与图5一样,通过图中未示出的输出接口电路控制的第二电气负载组及有接口电路的第二输入传感器组,该第二电气负载组中的部分电气负载上接有与图5一样的第二驱动停止用门电路。
上述辅助微处理器1007协助微处理器1007,分担辅机控制等,由两者进行全体控制,并互相监视各种控制功能的一部分。
上述程序存储器1003a存储着对于电气负载组4的控制程序,还存储着上述辅助微处理器1007的失控监视手段的程序。微处理器1001监视由上述辅助微处理器1007产生的监视清零信号WDS,在该监视清零信号WDS的脉冲宽度超过规定值时,产生逻辑电平“L”的复位信号输出(RSTS),使辅助微处理器1007重新启动。
图10与图5的最主要的不同点是图10中的第二监视计时器520b是由上述辅助微处理器1007内的软件构成。
即,程序存储器1003b,除了对于第二电气负载组的控制程序外,还存储有作为监视手段的程序,该监视手段是使用软件来实现与图6所示的监视计时器520相同的动作。
因此,微处理器1001产生的第二监视清零信号WD2供给辅助微处理器1007,辅助微处理器1007产生第二复位信号RST2,并通过作为反相逻辑元件的外部连接电路1040供给逻辑耦合电路522a、522b。
另外,辅助微处理器1007产生第二监视计时器复位信号WD2,使复位存储完成元件125进行置位。
1041为由正偏电阻构成的偏置电路,该偏置电路在辅助微处理器1007启动之前强制使上述作为反相逻辑元件的外部连接电路1040的逻辑电平变为“L”  。
1042为由下拉电阻构成的偏置电路,该偏置电路为了在辅助微处理器1007启动之前不使上述复位完成存储元件125置位,强制使第二监视计时器复位信号WD2的逻辑电平变为“L”。
从上述明显看出,图10情形是用辅助微处理器来代替一对监视计时器中的其中一个,作为被代替的软件的监视计时器即置于程序存储器1003b中的监视则由程序存储器1003a内的第二异常诊断手段来进行诊断,在这种情形中,供给辅助微处理器1007的第二监视清零信号WD2由微处理器1001有意给以停止,当脉冲宽度超过规定值时,随之引起的第二复位信号RST2的反相输出作为第二监视信号MN2由微处理器1001进行监视。
另外,安装在上述辅助微处理器1007内部的监视手段,用带有图6的自动复位功能的监视计时器进行了说明,但也可用图2所示的监视计时器来取代,这时,由图1所示的监视计时器由监视手段来实现。
实施形态6
在图11中,表示了本发明实施形态6的微处理器的失控监控电路的方框图。下面主要说明与图9情形的主要不同点。
图11中,1100为汽车用发动机控制器等的电子装置,该电子装置上设置了具有运算处理用RAM存储器102和闪存等非易失性程序存储器1103a的主微处理器1101、具有运算处理用RAM存储器1102和闪存等非易失性程序存储器1103b的辅助微处理1107。该辅助微处理器与图5一样接有通过图中未示出的输出接口电路控制的第二电气负载组及有输入接口电路的第二输入传感器组,该第二电气负载组中的部分电气负载上接有与图5相同的第二驱动用门电路。
另外,上述微处理器1107协助主微处理器1101,分担辅机控制等,由两者进行全体控制,并相互监视各种控制功能的一部分。
上述程序存储器存储有对于电气负载组4的控制程序,以及作为上述辅助微处理器1107的失控监视手段的程序。微处理器1101监视上述辅助微处理器1107产生的监视清零信号WDS,该监视清零信号WDS的脉冲宽度超过规定值时,产生逻辑电平“L”的复位信号输出(RSTS),使辅助微处理器1107重新启动。
图11与图9的最主要的不同点在于,图9中的第二监视计时器520b是由上述辅助微处理器1107内的软件构成的。
即,程序存储器1103b除了对于第二电气负载组的控制程序外,还存储有作为监视手段的程序,该监视手段由软件来实现与图6所示的监视计时器520相同的动作。
因此,微处理器1101产生的第二监视清零信号WD2供给辅助微处理器1107,该辅助微处理器1107产生第二复位信号RST2,通过作为反相逻辑元件的外部连接电路1140供给第二门电路721b。
辅助微处理路1107产生第二监视计时器复位信号WDR2,使复位存储完成元件125进行置位。
1141为由正偏电阻构成的偏置电路,该偏置电路在辅助微处理器1107启动为止期间强制使作为上述反相逻辑元件的外部连接电路1140的输出变为“H”。
1142为由下拉电阻构成的偏置电路,该偏置电路为使上述抚慰完成存储元件125在辅助微处理器1107启动为止期间不进行置位,强制使第二监视计时器复位信号WDR2的逻辑电平变为“L”。
从上述说明明显看出,图11所示为用辅助微处理器代替一对监视计时器的其中一个的监视计时器,被代替的使用软件的监视计时器即存储在程序存储中1103b中的监视手段由程序计时器1103a内的第二异常诊断手段来进行诊断,这种场合,供给辅助微处理器1107的第二监视清零信号WD2由微处理器1101有意停止,脉冲宽度超过规定值时,随之产生的第二复位信号RST2的反相输出作为第二监视信号MN2由微处理器1101来进行监视。
此外,设置在上述辅助微处理器1107内部的监视手段,已用图6的带有自动复位功能的监视计时器进行了说明,但也可用图2所示的监视计时器来取代。这种场合,用监视手段来实现图7所示的监视计时器120b即可。
实施形态7
图12示出了本发明实施形态7的微处理器的失控监控电路的方框图。下面主要说明与图5情形的不同点。
图12中,1200为汽车发动机控制器等的电子装置,该电子装置上接有具有运算处理用RAM存储器102和闪存等非易失性程序存储1203a的主微处理器1201及具有运算处理用RAM存储器1202和闪存等非易失性程序存储器1203b的辅助微处理器1207。该辅助微处理器与图5一样,连接有图中未示出的通过输出接口电路进行控制的第二电气负载组及通过输入接口电路的输入传感器组。在该第二电气负载组的部分电气负载上接有与图5一样的第二驱动停止用门电路。
另外,上述辅助微处理器1207协助主微处理器1201,分担辅机控制等,由两者进行整体上的控制,并相互监视各种控制功能的一部分。
上述程序存储器1203a存储有对于电气负载组4的控制程序以及作为上述辅助微处理器1207的失控监视手段的程序,微处理器1201监视上述辅助微处理器1207产生的监视清零信号WDS,当该监视清零信号WDS的吗冲宽度超过规定值时,产生逻辑电平“L”的复位信号输出(RSTS),使辅助微处理器1207重新启动。
图12的监视计时器与图5所示的最主要的不同点是,图12中的第二监视计时器520b是由上述辅助微处理器1207内的软件构成。
即,程序存储器1203b,除了对于第二电气负载组的控制程序外,还存储有作为监视手段的程序,该监视手段是为实现与图6所示的监视计时器520相同动作而使用的。
因此,将微处理器1201产生的第二监视清零信号WD2供给辅助微处理器1207,辅助微处理器1207产生第二复位信号RST2,并通过作为反相逻辑元件即外部连接电路1240供给逻辑耦合电路522a、522b。
另外,辅助微处理器1207产生第二监视计时器复位信号WDR,使复位完成存储元件125置位。
1241为由上拉电阻构成的偏置电路,该偏置电路为使直至上述复位完成存储元件125在辅助微处理器1207启动期间不进行置位,强制使第二监视计时器复位信号WDR2的逻辑电平变为“L”。
从上述说明明显看出。图12所示为用辅助微处理器代替一对监视计时器的其中一方的监视计时器,这点与图10情形相同。
但是,被代替的采用软件的监视计时器即存储在程序存储器1203b中的监视手段,是由程序存储器1203a内的失控监视手段进行诊断,含有反相逻辑元件1240的外部连电路由程序存储器1203a内的第二异常诊断手段进行诊断。
因此,由微处理器1201有意停止供给辅助微处理器1207的第二监视清零信号WD2,脉冲宽度不会超过规定值,只要微处理器1201正常,可供给正常的监视清零信号。
但是,对于监视手段的诊断,可使用由微处理器1201来监视辅助微处理器1207产生的监视清零信号WDS的方法来代替。
此外,微处理器1201在诊断外部连接电路时,对辅助微处理器1207供给测试模式信号TST,接收测试模式信号TST的辅助微处理器1207使第二复位信号RST2强制变为逻辑电平“H”,在规定时间之后将其解除,并产生第二监视计时器复位信号WDR2。
在该测试模式中,如果第二监视信号MN2的逻辑电平为“L”,不久又恢复到“H”,则外部连接电路1240是正常的。
因此,由微处理器1201产生的第二出错输出ER2,为复位信号(RSTS)的逻辑反相值RSTS与对外部连接电路1240的诊断结果的逻辑和处理结果。
另外,设置在上述辅助微处理器1207内部的监视手段,已用图6的带有自动复位功能的监视计时器进行了说明,但也可用图2所示的监视计时器来代替,这时,只要采用监视手段来实现图1所示的监视计时器120b即可。
实施形态8
图13示出了本发明实施形态8的微处理器的失控监控电路的方框图。下面主要说明与图9情形的不同点。
图13中,1300为汽车用发动机控制器等的电子装置。该电子装置上接有具有运算处理用RAM存储器102和闪存等非易失性程序存储器1303a的主微处理器1301、具有运算处理用RAM存储器1302和闪存等非易失性存储器1303b的辅助微处理器1307。该辅助微处理器与图5一样接有通过图中未示的输出接口电路进行控制的第二电气负载组及有输入接口电路的输入传感器组,在该第二电气负载组中的部分电气负载上接有与图5一样的第二驱动停止用门电路。
上述辅助微处理器1307协助主微处理器1301,分担辅机控制等,由两者进行全体控制,并相互监视各种控制功能的一部分。
在上述程序存储器1303a中,除了存储对于电气负载组4的控制程序外,还存储有作为上述辅助微处理器1307的失控监视手段的程序,由微处理器1301监视上述辅助微处理器1307产生的监视清零信号WDS,当该监视清零信号WDS的脉冲宽度超过规定值时,产生逻辑电平“L”的复位信号输出(RSTS),使辅助微处理器重新启动。
图13情形与图9的最主要的不同点在于,图13中的第二监视计时器520b是由辅助微处理器1307内的软件构成。
即,程序存储器1303b除了存储对于第二电气负载组的控制程序外,还存储有作为监视手段的程序,该监视手段由软件来实现与图6所示的监视计时器520相同的动作。
因此,由微处理器1301产生的第二监视清零信号WD2供给辅助微处理器1307,辅助微处理器1307产生第二复位信号RST2,通过反相逻辑元件即外围连接电路1340供给第二门电路721b。
另外,辅助微处理器1307产生第二监视计时器复位信号WDR2,使复位完成存储元件125进行置位。
1341为由下拉电阻构成的偏置电路,直至该偏置电路在辅助微处理器1307启动为止的期间使上述反相逻辑元件即外部连接电路1340的输出强制为逻辑电平“H”。
1342为由下拉电阻构成的偏置电路,该偏置电路为使上述复位完成存储元件125在辅助微处理器1307启动为止期间不进行置位,强制使第二监视计时器复位信号WDR2的逻辑电平变为“L”。
从上述明显看出,图13表示用辅助微处理器来代替一对监视计时器的其中一方监视计时器的情况,这点与图11情形相同。
但是,被代替的采用软件的监视计时器即存储在程序存储器1303B中的监视手段,是由程序存储器1303a内的失控监视手段进行诊断,含有反相逻辑元件1340的外部连接电路由程序存储器1303a内的第二异常诊断手段来进行诊断。
因此,由微处理器1301有意停止向辅助微处理器1307供给第二监视复位信号WD2,脉冲宽度不超过规定值,只要微处理器1301为正常,便可始终供给正常的监视清零信号。
但是,对于监视手段的诊断,可由微处理器1301对由辅助微处理器1307产生的监视清零信号WDS进行监视的失控监视手段来代替。
微处理器1301在诊断外部连接电路1340时,对辅助微处理器1307供给测试模式信号TST,接收该测试模式信号TST的微处理器1307强制使第二复位信号RST2的逻辑电平变为“H”,在规定时间后解除,并产生监视计时器复位信号WDR2。
在该测试模式中,如果第二监视信号MN2的逻辑电平为“L”,不久又恢复到“H”,则外部连接电路1340是正常的。
因此,由微处理器1301产生的出错输出ER,为复位信号(RSTS)的逻辑反相值即RSTS与对于外部连接电路1340的诊断结果以及对于第一监视计时器520a的诊断结果的逻辑和处理结果。上述复位信号(RSTS)也有逻辑耦合器件509进行逻辑和处理。
另外,设置在上述辅助微处理器1307内部的监视手段,已用图6的带有自动复位功能的监视计时器进行了说明,但也可用图2所示的监视计时器来代替,这时,用监视手段来实现图7所示的监视计时器120b即可。
实施形态9
在上述的各种实施形态中,说明了以由一对监视计时器产生的一对复位信号经逻辑和或逻辑积处理后形乘有效复位输出的第一和第二方式为基础,随上述监视计时器含有以及不含有自动复位功能、或有无协助控制的辅助微处理器而变化的形态。
不管哪种情况,都是用一方的监视计时器边监视微处理器边诊断另一方的监视计时器。现将上述第一和第二方式的主要区别归纳如下。
即,第一方式中,如一对监视计时器均不为动作侧异常,则可以运行,而在第二方式中,其中某一方的监视计时器变为动作侧异常,则为不能运行。
另外,不管是第一或第二方式,即使一对监视计时器均为不动作侧异常,也可运行,但成为监视计时器有失去功能危险的运行状态。
然而,一直处于被诊断状态的一对监视计时器均为不动作侧异常的概率是非常小的,尚且还有报警显示。
所谓上述动作侧异常,是指本来不该产生复位信号时却产生复位信号的异常。所谓不动作侧异常,是指本来该产生复位信号的却偏偏不产生复位信号的异常。
如果是可允许微处理器停止的用途,不管哪一方的监视计时器变为异常后,可以使得微处理不能够启动。
同时,一对监视计时器均变为不动侧异常时,也可以在按下述要领对其进行检测后,不使微处理器停止或重新启动。
在图1示例中,监视计时器120a为不动作侧异常时,解除出错输出ER1,对监视计时器120b的动作进行诊断,如其也为不动作侧异常,则将作为两者不动作侧异常,使图中未示出的第二异常产生存储元件进行置位。
如果监视计时器120b为正常,则产生出错输出ER1,使监视计时器120a脱离,这种特别诊断可定期进行,以检测危险状态。
在图7例子中,监视计时器120a为不动作侧异常时,仍然对监视计时器120b的动作进行诊断,如果其也为不动侧异常,则使图中未示出的第二异常产生存储元件进行置位。
如果上述第二异常产生存储元件即使在电源开关2被解除情况下,也可由直接与电源1相连的第一电源线110馈电的静态电源保持存储内容,则可构成在电源接通时保持复位状态而不使微处理器启动。
另外,报警显示器5也可根据异常的产生源及重要程度等内容另外显示出信息。
同样,对于特定电气负载的驱动停止用的门电路106及506,也可根据异常原因等准备多个联锁信号,以便及适当地区分使用。
本发明具有以下效果。
首先,根据本发明的第1方面的微处理器的失控监控电路,在微处理器工作中,使用一对可交替进行诊断的监视计时器,在一对监视计时器均动作时,使微处理器复位,因此可实现局部的双重化的廉价、高可靠性的失控监视,同时,只要一对监视计时器不同时为动作侧异常,则具有可使微处理器继续工作。
又一个,根据本发明的第2方面的微处理器的失控监控电路,具有主微处理器和辅助微处理器,监视主微处理器动作的一对监视计时器的一方由辅助微处理器内的软件构成,因此具有可构成更廉价的双重化的监视计时器。
又,根据本发明的第3、4方面的微处理器的失控监控电路,即使一对监视计时器的一方为不动作侧异常,但可通过第一或第二异常处理电路强制进行动作,因此,使用另一方监视计时器可继续进行微处理器的监视动作。
又,根据本发明第5、6方面的微处理器的失控监控电路,由于设置异常诊断手段并诊断异常处理电路是否正常,故能够提高可靠度。
又,根据本发明的第7、8方面的微处理器的失控监控电路,接通供电电源时,即使一对监视计时器均为异常,由于可使微处理器复位而不进行异常启动,因此,能够确认在微处理器的动作中是否实行了包含进行诊断的逻辑耦合电路的复位动作,因此具有可提高安全性的效果。
又,根据本发明的第9、10方面的微处理器的失控监控电路,将上述多个逻辑耦合电路并联,形成多重的逻辑耦合电路,因此具有可提高安全性的效果。
又,根据本发明的第11方面的微处理器的失控监控电路,在微处理器工作中,可对一对监视计时器交替进行诊断。即使在诊断中,如果不诊断一方的监视计时器进行动作,可使微处理器复位,因此,能够实现部分双重化的、廉价且高可靠性的失控监视。
又,根据本发明的第12方面的微处理器的失控监控电路,由主微处理器和辅助微处理器构成,监视主微处理器动作的一对监视计时器的一方由辅助微处理器内的软件构成,同时,在微处理器工作中,可交替诊断一对监视计时器,在诊断中,如果不进行诊断的一方的监视器进行动作,则可使微处理器复位,因此,能够实现局部双重化的廉价、高可靠性的失控监视。
又,根据本发明第13、14方面的微处理器的失控监控电路,在判定监视计时器的诊断结果为异常时,继续产生异常一侧的测试输出,以使得不产生错误的有效复位信号输出,因此,可使异常侧监视计时器脱离并继续运行。另外,由于当一对测试信号输出均进行误动作时,可使微处理器停止,因此能够提高安全性。
又,根据本发明第15和16方面的微处理器的失控监控电路,在接通电源开关时,即使一对监视计时器均为不动作侧异常,可使微处理器复位,故能够使得不进行异常启动。
又,根据本发明第17和18方面的微处理器的失控监控电路,一对监视计时器输出规定时间宽度的复位信号,因此,即使一方的监视计时器为异常,另一方的监视计时器仍有效地起着作用,因此具有防止监视计时器均不复位或均保持复位状态的出情况。
又,根据本发明第19、20方面的微处理器的失控监控电路,使得能够存储微处理器的异常产生和监视计时器的诊断异常并进行通知,因此具有在识别异常后可继续运行的效果。
又一个,根据本发明第21方面的微处理器的失控监控电路,因为由主微处理器和辅助微处理器构成,主微处理器进行辅助微处理器的失控监视,在辅助微处理器异常时,由主微处理器进行辅助微处理器的复位,同时,在主微处理器异常时,辅助微处理器也复位,所以失控监视不需要特别的监视电路。
又,根据本发明第22方面的微处理器的失控监控电路,由于设置了使负载电源进行ON/OFF动作的开关手段,因此,若逻辑耦合电路或一对门电路等不能够正常工作时,可使负载电源不工作,提高了安全性。另一方面,在微处理器产生异常时,可切断负载电源以提高安全性。同时,如因噪音误动作等微处理器为暂时性异常时,则具有可通过重新接通电源来继续运行的效果。
又,根据本发明第23方面的微处理器的失控监控电路,由于设置了驱动停止手段,对微处理器的异常产生及监视计时器的诊断异常,可停止驱动电气负载,因此,可提高继续运行动作的安全性。
又,根据本发明第24、25方面的微处理器的失控监控电路,具有以下效果,由于设置了开关手段,可使与微处理器和辅助微处理器相关的负载电源进接ON/OFF动作,所以逻辑耦合电路或一对门电路等如不正常工作,可使负载电源不工作,提高了安全性,另一方面,在微处理器产生异常时,可切断负载电源以提高安全性。同时,如因噪音误动作等微处理器为暂时性异常,则可通过重新接通负载电源以继续进行运行。
又,根据本发明第26、27方面的微处理器的失控监控电路,由于设置了驱动停止手段,对微处理器的异常产生及监视计时器的诊断异常,可停止驱动与微处理器和辅助微处理器相关的至少其中一方的电气负载,因此,可提高继续进行运行动作的安全性。
又,根据本发明第28方面的微处理器的失控监控电路,由于辅助微处理器的第二监视计时器的异常诊断可由失控监控电路来代替,因此,不需要进行由主微处理器将第二监视清零信号有意变为异常状态等的控制,可以减轻微处理器的负担。
又,根据本发明第29方面的微处理器的失控监控电路,由于设置了强制输出手段,因此,可检查由辅助微处理器产生的第二复位信号是否到达逻辑耦合电路或门电路。
又,本发明第30方面的微处理器的失控监控电路,由于设置了偏置电路,可在直至辅助微处理器正常启动为止的期间使另一方的监视计时器产生的复位信号变为有效,因此,即使进行从属动作的辅助微处理的上升沿比主微处理器的晚,也可使主微处理器正常启动。

Claims (30)

1.一种微处理器的失控监控电路,该微处理器是控制电气负载的微处理器,该失控监控电路是为监视失控而产生第一监视清零信号和第二监视清零信号的失控监控电路,其特征在于,
所述失控监控电路具备:
第一监视计时器,接收上述第一监视清零信号并且当该第一监视清零信号有异常时产生第一复位信号;
第二监视计时器,接收上述第二监视清零信号并且当该第二监视清零信号有异常时产生第二复位信号;
逻辑耦合电路,在产生上述第一和第二复位信号两者时输出有效复位信号,以使上述微处理器复位;以及
异常诊断单元,将上述第一和第二复位信号分别作为第一和第二监视信号输入上述微处理器,
上述微处理器使上述第一和第二监视清零信号按互不相同的时序有意地为异常状态,对与成为该异常状态的监视清零信号相对应的上述第一和第二监视信号中一个进行检查,对与上述第一和第二监视计时器中作为上述异常状态的监视清零信号相对应的监视计时器的动作进行确认。
2.一种微处理器的失控监控电路,该微处理器是控制电气负载的微处理器,该失控监控电路是为监视失控而产生第一监视清零信号和第二监视清零信号的失控监控电路,其特征在于,
该失控监控电路具备:
辅助微处理器,协助上述微处理器并且接收由上述主微处理器输出的上述第二监视清零信号并产生第三监视清零信号;
第一监视计时器,接收上述第一监视清零信号并当该第一监视信号有异常时产生第一复位信号;
第二监视计时器,设置在上述微处理器内部并且接收上述第二监视清零信号,当该第二监视清零信号有异常时产生第二监视清零信号;
失控监视单元,设置在上述主微处理器内部并且接收由上述辅助微处理器输出的上述第三监视清零信号,当该第三监视清零信号有异常时产生第三复位信号使上述辅助微处理器复位;
逻辑耦合电路,当产生上述第一和第二复位信号两者时,判定上述主微处理器为异常而输出有效复位信号,使上述主微处理器和辅助微处理器复位;以及
异常诊断单元,将上述第一和第二复位信号分别作为第一和第二监视信号输入到上述微处理器,
上述主微处理器将上述第一和第二监视清零信号按互不相同的时序有意地变为异常状态,对与变为该异常状态的监视清零信号相对应的上述第一和第二监视信号的中的一个进行检查,对与上述第一和第二监视计时器中的上述有意变为异常状态的监视清零信号相对应的上述监视计时器的动作进行确认。
3.如权利要求1所述的微处理器的失控监控电路,其特征在于,
在构造上,上述微处理器在判定上述第一监视计时器为异常时产生第一出错信号,判定上述第二监视计时器为异常时产生第二出错信号,
上述微处理器具有第一和第二异常处理电路,上述第一异常处理电路根据上述第一出错信号强制使上述第一监视计时器的复位信号变为复位有效状态,上述第二异常处理电路根据上述第二出错信号强制使上述第二监视计时器复位信号在有效状态下进行动作,并且,
上述逻辑耦合电路根据从上述第一和第二监视计时器中未强制复位一方的监视计时器输出的复位信号,产生有效复位信号,使上述微处理器复位,即使上述第一和第二监视器中的一个为不能复位的异常状态,也可产生上述有效复位信号输出。
4.如权利要求2所述的微处理器的失控监控电路,其特征在于,
上述主微处理器在判定上述第一监视计时器为异常时,产生第一出错信号,当判定第二监视计时器为异常时,产生第二出错信号,
上述主微处理器具有第一和第二异常处理电路,上述第一异常处理电路根据第一出错信号,使上述第一监视计时器的复位信号强制变为复位有效状态,上述第二异常处理电路根据上述第二出错信号,使上述第二监视计时器的复位信号强制地为复位有效状态以进行动作,
上述逻辑耦合电路根据从上述第一和第二监视计时器中未强制复位一方的监视计时器输出的复位信号,产生有效复位信号,使上述主微处理器和辅助微处理器复位,上述第一和第二监视计时器的任意一方即使不能复位的状态,也可产生上述有效复位信号。
5.如权利要求3所述的微处理器的失控监控电路,其特征在于,
上述异常诊断单元为了确认上述异常处理电路的正常动作,使从上述微处理器产生上述第一和第二出错信号的中的任意一个信号,并输入到上述异常处理电路,
上述异常诊断单元具有第一和第二确认单元,上述第一确认单元对与输入上述异常处理电路的上述第一出错信号对应的上述第一监视信号的响应状态进行确认,上述第二确认单元对与输入上述异常处理电路的上述第二出错信号的对应上述第二监视信号的响应状态进行确认。
6.如权利要求4所述的微处理器的失控监控电路,其特征在于,
上述异常诊断单元为确认上述异常处理电路的正常动作,使从上述微处理器产生上述第一和第二出错信号的中的任意一个信号,并输入上述异常处理电路,
上述异常诊断单元具有第一和第二确认单元,上述第一确认单元对与输入上述异常处理电路的上述第一出错信号对应的上述第一监视信号的响应状态进行确认,上述第二确认单元对与输入上述异常处理电路的上述第二出错信号对应的上述第二监视信号的响应状态进行确认。
7.如权利要求1所述的微处理器的失控监控电路,其特征在于,
具有启动处理电路,该启动处理电路在该失控监控电路接通电源时,使上述第一和第二监视计时器的两个复位信号在规定时间中强制地为复位有效状态以进行动作并且产生有效复位信号,
上述电源接通时,上述第一和第二监视计时器中的任意一方即使因异常为不动作状态,也可使上述微处理器复位。
8.如权利要求2所述的微处理器的失控监控电路,其特征在于,
具有启动处理电路,该启动处理电路在上述失控监控电路接通电源时,使上述第一和第二监视计时器的两个复位信号在规定时间中强制地为复位有效状态以进行动作,并产生有效复位信号,
上述电源接通时,上述第一和第二监视计时器中任意一方即使因异常而为不动作状态时,仍可使上述主微处理器和辅助微处理器复位。
9.如权利要求1所述的微处理器的失控监控电路,其特征在于,
将上述多个逻辑耦合电路并联并且以多路化逻辑耦合电路构成。
10.如权利要求2所述的微处理器的失控监控电路,其特征在于,
将上述多个逻辑耦合电路并联并且以多路化逻辑耦合电路构成。
11.一种微处理器的失控监控电路,该微处理器是控制电气负载的微处理器,该失控监控电路是为监视失控而产生第一监视清零信号和第二监视清零信号并且为了进行测试而产生第一测试信号和第二测试信号的失控监控电路,其特征在于,
该失控监控电路具备:
第一监视计时器,接收上述微处理器输出的第一监视清零信号并且在该第一监视清零信号有异常时产生第一复位信号;
第二监视计时器,接收上述微处理器输出的第二监视清零信号并且在该第二监视清零信号有异常时产生第二复位信号;
门电路,接收上述微处理器输出的第一测试信号和第二测试信号,并且,在接收上述第一测试信号时,无论上述第一监视计时器是否产生第一复位信号,停止输出有效复位信号,在接收第二测试信号时,无论上述第二监视计时器是否产生第二复位信号,停止输出有效复位信号,在都不接收上述第一和第二测试信号中的任意一个测试信号时,根据上述第一和第二复位信号的产生输出有效复位信号;以及
异常诊断单元,将上述第一和第二复位信号分别作为第一和第二监视信号输入到上述微处理器,
上述微处理器按互不相同的时序产生上述第一测试信号和第二测试信号,在产生上述第一测试信号时,将上述第一监视清零信号有意变为异常状态,并输入上述第一监视计时器,检查上述第一复位的输出状态,以确认上述第一监视计时器的动作,在产生上述第二测试信号时,将上述第二监视清零信号有意变为异常状态,并输入上述第二监视计时器,检查上述第二复位信号的输出状态,以确认上述第二监视计时器的动作。
12.一种微处理器的失控监控电路,该微处理器是控制电气负载的微处理器,该失控监控电路是为监视失控而产生第一监视清零信号和第二监视清零信号的失控监控电路,其特征在于,
该失控监控电路具备:辅助微处理器,协助上述微处理器并且接收由上述主微处理器输出的上述第三监视清零信号并产生第三监视清零信号;
第一监视计时器,接收上述第一监视清零信号并当该第一监视信号有异常时产生第一复位信号;
第二监视计时器,设置在上述微处理器内部并且接收上述第二监视清零信号,当该第二监视清零信号有异常时产生第二监视清零信号;
失控监视单元,设置在上述主微处理器内部并且接收由上述辅助微处理器输出的上述第三监视清零信号,当该第三监视清零信号有异常时产生第三复位信号使上述辅助微处理器复位;
门电路,接收从上述主微处理器输出的上述第一测试信号和第二测试信号,并且,在接收上述第一测试信号时,无论是否产生上述第一监视计时器的第一复位信号,都停止输出有效复位信号,在接收上述第二测试信号时,无论是否产生上述第二监视计时器的第二复位信号,都停止输出有效复位信号,当没有接收到上述第一和第二测试信号中的任何一个测试信号时,根据上述第一和第二复位信号的产生,输出有效复位信号,使上述主微处理器和辅助微处理器复位;以及
异常诊断单元,分别将上述第一和第二复位信号作为第一和第二监视信号输入到上述主微处理器,
上述主微处理器按互不相同的时序产生上述第一测试信号和第二测试信号,在产生上述第一测试信号时,有意地使得上述第一监视清零信号为异常状态并输入到上述第一监视计时器,检查上述第一复位号的输出状态,确认上述第一监视计时器的动作,在产生上述第二测试信号时,有意地使得上述第二监视清零信号为异常状态并输入上述第二监视计时器,检查上述第二复位信号的输出状态,确认上述第二监视计时器的动作。
13.如权利要求11所述的微处理器的失控监控电路,其特征在于,
该失控监视手还具备:
根据由上述异常诊断单元获得的异常诊断结果使得保持测试信号的单元,在判定上述第一监视计时器为异常时,由上述微处理器持续产生上述第一测试信号,当判定为上述第二监视计时器为异常时,由上述微处理器持续产生第二测试信号,根据上述第一和第二监视计时器的异常动作而不产生有效复位信号;以及
异常处理电路,当上述微处理器同时误产生第一和第二测试信号时,输出有效复位信号,强制地使上述微处理器复位。
14.如权利要求12所述的微处理器的失控监控电路,其特征在于,
该失控监视单元还具备:
根据由上述异常诊断单元产生的异常诊断结果使得测试信号保持的单元,当判定上述第一监视计时器为异常时,由上述微处理器持续产生上述第一测试信号,当判定为上述第二监视计时器为异常时,由上述微处理器持续产生第二测试信号,通过上述第一和第二监视计时器的异常动作而不产生有效复位信号;以及
异常处理电路,当由上述微处理器同时误产生第一和第二测试信号时,输出有效复位信号,强制地使上述微处理器复位。
15.如权利要求11所述的微处理器的失控监控电路,其特征在于,
该失控监控电路还具有启动处理电路,所述启动处理电路在上述失控监控电路接通电源时,在规定时间强制地使得上述第一和第二监视计时器的两者的复位信号在复位有效侧动作,以产生有效复位信号,
在上述电源接通时,上述第一和第二监视计时器即使都不能动作,也可由上述有效复位信号使上述微处理器复位。
16.如权利要求12所述的微处理器的失控监控电路,其特征在于,
所述失控监控电路还具备启动处理电路,所述启动处理电路在上述失控监控电路接通电源时,在规定时间强制地使得上述第一和第二监视计时器的两者的复位信号在复位有效侧进行动作,以产生有效复位信号,
在上述电源接通时,上述第一和第二监视计时器即使都不能动作,也可有上述有效复位信号使上述主微处理器和辅助微处理器复位。
17.如权利要求1或11所述的微处理器的失控监控电路,其特征在于,
上述第一和第二监视计时器是分别产生规定时间宽度的第一和第二复位信号的计时器。
18.如权利要求1或2所述的微处理器的失控监控电路,其特征在于,
上述第一和第二监视计时器是分别为产生规定时间宽度的第一和第二复位信号的计时器。
19.如权利要求1或11所述的微处理器的失控监控电路,其特征在于,
上述微处理器由上述异常诊断单元判定上述第一和第二监视计时器中的至少一方为异常时,产生出错信号,
上述失控监控电路具有:异常产生存储单元,存储上述出错信号和上述有效复位信号,在上述失控监控电路接通电源时,将上述存储着的出错信号和有效复位信号清零并且置位成可存储的状态;以及
通知单元,将上述存储着的出错信号和有效复位信号的中至少一方的信号作为通知信号输出,
根据上述通知信号,可以进行通知。
20.如权利要求2或12所述的微处理器的失控监控电路,其特征在于,
上述主微处理器由上述异常诊断单元判定上述第一和第二监视计时器中的至少一方为异常时,产生出错信号,
上述失控监控电路具有:
异常产生存储单元,可存储上述出错信号和上述有效复位信号,在上述失控监控电路接通电源时,将上述存储者的出错信号和有效复位信号清零并置位成可存储的状态;以及
通知单元,可将上述存储着的出错信号和有效复位信号中的至少一方的信号作为通知信号输出,
根据上述通知信号,可以进行通知。
21.如权利要求1或11所述的微处理器的失控监控电路,其特征在于,
具备从属于上述主微处理器并分担全部控制中的一部分的辅助微处理器,并且
上述辅助微处理器具备失控监视单元,该失控监视单元上述微处理器产生的监视计时器清零信号并且当出现异常时供给复位信号使上述辅助微处理器复位,
由上述第一和第二监视计时器供给的上述复位信号使上述微处理器和辅助微处理器复位。
22.如权利要求1或11所述的微处理器的失控监控电路,其特征在于,
所述失控监控电路具备开关单元,该开关单元在将向上述失控监控电路供电的供电电源作为负载电源并由该负载电源向上述电器负载供电时,在上述负载电源与上述电器负载之间进行接通/切断动作,
上述供电电源接通时和上述有效复位信号输出时,上述开关单元为切断,上述有效复位信号输出被解除时,上述开关单元为接通。
23.如权利要求1或11所述的微处理器的失控监控电路,其特征在于,
上述微处理器当由上述异常诊断单元判定上述第一和第二监视计时器中的至少一方为异常时,产生出错信号,
上述失控监控电路还具备:
异常产生存储单元,可存储上述出错信号和上述有效复位信号,在上述供电电源接通时,将上述存储着的出错信号和有效复位信号清零,并置于可存储的状态;以及
驱动停止用单元,在上述异常产生存储单元存储着上述出错信号和有效复位信号时,使得上述微处理器的至少一个电器负载停止产生输出。
24.如权利要求2或12所述的微处理器的失控监控电路,其特征在于,
上述辅助微处理器控制上述主微处理器的电器负载以外的电器负载,将向上述失控监控电路供电的供电电源作为负载电源,向上述主微处理器和上述辅助微处理器的上述各电器负载供电,
具有接通/切断上述负载电源和上述各电器负载之间的开关单元,
在上述电源接通时和上述有效复位信号输出时,上述开关单元为切断;在上述有效复位信号被解除时,上述开关单元为接通。
25.如权利要求21所述的微处理器的失控监控电路,其特征在于,
由上述辅助微处理器控制上述主微处理器的电器负载以外的电器负载,将向上述失控监控电路供电的供电电源作为负载电源,向上述主微处理器和上述辅助微处理器供电,
具有接通/切断上述负载电源和上述各电气负载之间的开关单元,
在上述电源接通时和上述有效复位信号输出时,上述开关单元为切断;在上述有效复位信号输出被解除时,上述开关单元为接通。
26.如权利要求2或12所述的微处理器的失控监控电路,其特征在于,
由上述辅助微处理器控制上述主微处理器的电气负载以外的电气负载,
上述主微处理器由上述判定单元判定上述第一和第二监视计时器中的至少一个为异常时,产生出错信号,
上述失控监控电路具有:异常产生存储单元,可存储上述出错信号和上述有效复位信号,在上述失控监控电路接通电源时,将上述存储着的出错信号和有效复位信号清零并置于可存储的状态;以及驱动停止用单元,可在上述异常产生存储单元在存储着上述出错信号和有效复位信号时,使上述主微处理器的至少一个电气负载及上述辅助微处理器的至少一个电气负载中的至少一方的电气负载的输出停止产生。
27.如权利要求21所述的微处理器的失控监控电路,其特征在于,
由上述辅助微处理器来控制上述主微处理器的电器负载以外的电气负载,
上述主微处理器当由上述异常诊断单元判定上述第一和第二监视计时器中的至少一方为异常时,产生出错信号,
上述失控监控电路具有:异常产生存储单元,可存储上述出错信号和上述有效复位信号,在上述失控监控电路接通电源时,清零上述存储着的出错信号和有效复位信号并置于可存储的状态;以及驱动停止用单元,在由上述异常产生单元存储上述出错信号和有效复位信号时,使上述主微处理器的至少一个电气负载和上述辅助微处理器的至少一个电气负载内至少一方的电气负载的输出停止产生。
28.如权利要求2或12所述的微处理器的失控监控电路,其特征在于,
由上述异常诊断单元将上述第一复位信号的状态作为第一监视信号输入上述主微处理器,
上述主微处理器有意地使得上述第一监视清零信号为异常状态,检查上述第一监视信号的反应,确认上述第一监视计时器的动作,
上述第二监视计时器的异常诊断由上述失控监视单元执行。
29.如权利要求28所述的微处理器的失控监控电路,其特征在于,
上述微处理器包含强制输出单元,该强制输出单元在测试时从上述主微处理器接收测试模式信号并且当接收到上述测试模式信号时强制产生上述第二复位信号并供给上述门电路,
对于与上述辅助微处理器强制产生的上述第二复位信号相对应的上述第二监视信号的反应进行检查,并诊断上述辅助微处理器产生的上述第二复位信号是否到达上述门电路。
30.如权利要求2或12所述的微处理器的失控监控电路,其特征在于,
设置偏置电路,所述偏置电路在直到上述辅助微处理器起动并进行正常动作为止的期间中使第二复位信号为有效,以使得根据监视计时器产生的第一复位信号而产生有效复位信号。
CN02131681.3A 2001-10-24 2002-09-10 微处理器的失控监控电路 Expired - Fee Related CN1207663C (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2001326050 2001-10-24
JP2001326050A JP3616367B2 (ja) 2001-10-24 2001-10-24 電子制御装置

Publications (2)

Publication Number Publication Date
CN1414476A CN1414476A (zh) 2003-04-30
CN1207663C true CN1207663C (zh) 2005-06-22

Family

ID=19142503

Family Applications (1)

Application Number Title Priority Date Filing Date
CN02131681.3A Expired - Fee Related CN1207663C (zh) 2001-10-24 2002-09-10 微处理器的失控监控电路

Country Status (3)

Country Link
US (1) US6883123B2 (zh)
JP (1) JP3616367B2 (zh)
CN (1) CN1207663C (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109814021A (zh) * 2017-11-22 2019-05-28 发那科株式会社 电子设备的异常检测装置

Families Citing this family (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10203807C1 (de) * 2002-01-31 2003-07-31 Siemens Ag Verfahren und Schaltungsanordnung zum Überwachen der Funktion eines Prozessors
TW561353B (en) * 2002-02-05 2003-11-11 Via Tech Inc Automatic reset signal generator integrated into chipset and chipset with reset completion indication function
JP2003256402A (ja) * 2002-03-01 2003-09-12 Mitsubishi Electric Corp マイクロコンピュータ
US20040003317A1 (en) * 2002-06-27 2004-01-01 Atul Kwatra Method and apparatus for implementing fault detection and correction in a computer system that requires high reliability and system manageability
DE10235564A1 (de) * 2002-08-03 2004-02-12 Robert Bosch Gmbh Verfahren zum Überwachen eines Mikroprozessors und Schaltungsanordnung mit einem Mikroprozessor
CN1293474C (zh) * 2003-04-30 2007-01-03 松下电器产业株式会社 微计算机
JP3992648B2 (ja) * 2003-06-03 2007-10-17 株式会社日立製作所 Atコントロールユニット
JP4050196B2 (ja) * 2003-07-09 2008-02-20 三菱電機株式会社 監視制御回路を有する電子制御装置
JP4223909B2 (ja) * 2003-09-24 2009-02-12 三菱電機株式会社 車載電子制御装置
DE102004017950B3 (de) * 2004-04-14 2005-06-23 Moeller Gmbh Mechanisch-elektronischer Positionsgeber
DE102004056416A1 (de) * 2004-11-23 2006-05-24 Robert Bosch Gmbh Beschleunigungssensor in einem Steuergerät
JP2006338605A (ja) * 2005-06-06 2006-12-14 Denso Corp プログラム異常監視方法及びプログラム異常監視装置
US7583037B2 (en) 2006-06-23 2009-09-01 Spacesaver Corporation Mobile storage unit with holding brake and single status line for load and drive detection
WO2008072350A1 (ja) * 2006-12-15 2008-06-19 Fujitsu Limited 二重化タイマを用いたシステム監視装置、および監視方法
JP4437812B2 (ja) * 2006-12-19 2010-03-24 富士通テン株式会社 電子制御装置
US7660662B2 (en) * 2006-12-28 2010-02-09 Detroit Diesel Corporation Fault code memory administrator with a driving cycle state machine concept
DE102007010886B3 (de) * 2007-03-06 2008-06-26 Siemens Ag Steuergerät für ein Fahrzeug
US7774648B2 (en) * 2007-05-02 2010-08-10 Honeywell International Inc. Microprocessor supervision in a special purpose computer system
JP4359632B2 (ja) * 2007-06-13 2009-11-04 株式会社トヨタIt開発センター プロセッサ動作検査システム及び動作検査回路
JP4454672B2 (ja) * 2008-06-13 2010-04-21 三菱電機株式会社 監視制御回路を有する車載電子制御装置
CN101882098B (zh) * 2009-07-10 2012-07-11 威盛电子股份有限公司 微处理器集成电路以及相关除错方法
JP5370115B2 (ja) * 2009-12-14 2013-12-18 株式会社デンソー 車載装置
JP5476238B2 (ja) * 2010-07-12 2014-04-23 ルネサスエレクトロニクス株式会社 半導体装置
JP5769403B2 (ja) * 2010-11-30 2015-08-26 富士通テン株式会社 監視装置及び電子装置
JP5739290B2 (ja) * 2011-09-14 2015-06-24 株式会社ケーヒン 電子制御装置
JP5778536B2 (ja) * 2011-09-14 2015-09-16 株式会社ケーヒン 電子制御装置及び車両制御システム
JP5962697B2 (ja) * 2014-03-26 2016-08-03 株式会社デンソー 電子制御装置
US20170102968A1 (en) * 2014-05-11 2017-04-13 Safetty Systems Ltd. A monitoring unit as well as method for predicting abnormal operation of time-triggered computer systems
CN103941837B (zh) * 2014-05-20 2017-08-11 浙江知祺电力自动化有限公司 一种自供电微机保护装置微处理器管理电路
CN104035537A (zh) * 2014-06-23 2014-09-10 苏州塔可盛电子科技有限公司 一种基于max7705esa芯片的单片机复位电路
DE102014213922B4 (de) * 2014-07-17 2020-02-20 Continental Automotive Gmbh Fahrzeug-Infotainmentsystem
TWI595650B (zh) * 2015-05-21 2017-08-11 蘇烱光 適應性雙閘極金氧半場效電晶體
US20170269984A1 (en) * 2016-03-18 2017-09-21 Qualcomm Incorporated Systems and methods for improved detection of processor hang and improved recovery from processor hang in a computing device
JP6753691B2 (ja) * 2016-05-11 2020-09-09 ボッシュ株式会社 電子制御装置及び電子制御方法
JP2018094720A (ja) * 2016-12-08 2018-06-21 キヤノン株式会社 電子機器
JP6742899B2 (ja) * 2016-12-27 2020-08-19 ルネサスエレクトロニクス株式会社 半導体装置
US10572326B2 (en) * 2017-07-31 2020-02-25 Lg Chem, Ltd. Self-diagnosing watchdog monitoring system
KR102258171B1 (ko) * 2017-12-15 2021-05-28 주식회사 엘지에너지솔루션 워치독 타이머를 진단하기 위한 장치 및 방법
EP3657774B1 (en) * 2018-04-28 2024-05-29 Guangdong Oppo Mobile Telecommunications Corp., Ltd. Control system, control method and control device for camera module, electronic device and computer readable storage medium
WO2019228020A1 (zh) * 2018-05-30 2019-12-05 Oppo广东移动通信有限公司 激光投射器的控制系统和移动终端
CN108539576B (zh) * 2018-05-30 2020-06-12 Oppo广东移动通信有限公司 激光投射器的控制系统和移动终端
WO2020217928A1 (ja) * 2019-04-25 2020-10-29 日立オートモティブシステムズ株式会社 電子制御装置
US11550649B2 (en) 2021-03-17 2023-01-10 Qualcomm Incorporated System-on-chip timer failure detection and recovery using independent redundant timers

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2593915B2 (ja) 1988-05-27 1997-03-26 住友電気工業株式会社 ダブルマイコンシステム暴走防止回路
US4956842A (en) * 1988-11-16 1990-09-11 Sundstrand Corporation Diagnostic system for a watchdog timer
JPH05216711A (ja) 1991-06-10 1993-08-27 Mitsubishi Electric Corp 自己診断装置
JPH0566812A (ja) 1991-09-05 1993-03-19 Yaskawa Electric Corp プログラマブルコントローラの二重化ウオツチドツグタイマ
JPH0581222A (ja) 1991-09-20 1993-04-02 Hitachi Ltd 2cpuの動作監視方法
JPH06149604A (ja) 1992-11-11 1994-05-31 Nissan Motor Co Ltd 多重化システム
US5594685A (en) * 1994-12-16 1997-01-14 National Semiconductor Corporation Method for programming a single EPROM or flash memory cell to store multiple bits of data that utilizes a punchthrough current
JP3357514B2 (ja) * 1995-09-20 2002-12-16 シャープ株式会社 暴走検出復帰方式
JPH10222402A (ja) 1997-02-12 1998-08-21 Nissan Motor Co Ltd 車両用制御装置
JP3367379B2 (ja) 1997-05-08 2003-01-14 三菱電機株式会社 Cpuの出力制御回路
JPH11294252A (ja) 1998-04-13 1999-10-26 Denso Corp 電子制御装置
JP2000104622A (ja) 1998-09-25 2000-04-11 Hitachi Ltd 電子制御装置
DE19847986C2 (de) * 1998-10-17 2000-10-26 Daimler Chrysler Ag Einzelprozessorsystem
JP3693226B2 (ja) 1999-06-30 2005-09-07 矢崎総業株式会社 マイコンのバックアップ装置及び自動車用パワーウインドウ制御装置
KR100352023B1 (ko) * 1999-09-03 2002-09-11 가야바코교 가부시기가이샤 페일세이프기구

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109814021A (zh) * 2017-11-22 2019-05-28 发那科株式会社 电子设备的异常检测装置

Also Published As

Publication number Publication date
JP2003131906A (ja) 2003-05-09
US6883123B2 (en) 2005-04-19
CN1414476A (zh) 2003-04-30
JP3616367B2 (ja) 2005-02-02
US20030079163A1 (en) 2003-04-24

Similar Documents

Publication Publication Date Title
CN1207663C (zh) 微处理器的失控监控电路
CN1743654A (zh) 车载电子控制装置
CN1231851C (zh) 车载电子控制装置
CN1828560A (zh) 车载电子控制装置
CN100350399C (zh) 电子控制装置
CN1829057A (zh) 电负载的电流控制装置
CN101039864A (zh) 电梯装置
CN1677286A (zh) 用于移动体的控制系统
CN1809758A (zh) 用于判断电池老化的方法和设备
CN1264273C (zh) 电动机驱动系统的异常检测装置
CN1760804A (zh) 信息处理设备,信息处理方法,及计算机程序
CN1021380C (zh) 计算系统的命令传递
CN1532390A (zh) 发动机用进气量控制装置和发动机进气量控制方法
CN1673965A (zh) 实时可调度性确定方法和实时系统
CN1279482A (zh) 快闪存储器
CN1595759A (zh) 电池充电控制电路、电池充电设备和电池充电控制方法
CN1768275A (zh) 测试摸拟装置、测试模组模拟装置以及记录此程式的记录媒体
CN1158436C (zh) 建筑机械的电子控制系统
CN1516199A (zh) 带有测试功能和冗余功能的半导体存储装置
CN1466764A (zh) 内部电压电平控制电路和半导体存储装置以及其控制方法
CN1244052C (zh) 非易失性存储器微机芯片及其测试方法
CN1509365A (zh) 施工机械的电子控制系统
CN1089203C (zh) 复制控制器及其故障恢复方法
CN1235152C (zh) 半导体装置和半导体装置的驱动方法
CN1140273A (zh) 信息处理设备的电源控制装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20050622

Termination date: 20160910