JP2000163274A - Electronic equipment and recording medium with rom data monitoring program recorded thereon - Google Patents
Electronic equipment and recording medium with rom data monitoring program recorded thereonInfo
- Publication number
- JP2000163274A JP2000163274A JP10336173A JP33617398A JP2000163274A JP 2000163274 A JP2000163274 A JP 2000163274A JP 10336173 A JP10336173 A JP 10336173A JP 33617398 A JP33617398 A JP 33617398A JP 2000163274 A JP2000163274 A JP 2000163274A
- Authority
- JP
- Japan
- Prior art keywords
- control
- control program
- flash rom
- power supply
- monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Detection And Correction Of Errors (AREA)
- Power Sources (AREA)
- Techniques For Improving Reliability Of Storages (AREA)
- Debugging And Monitoring (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】この発明は、フラッシュRO
Mに格納されている制御プログラムに異常があることを
検出した際には、制御対象装置に対する電源供給を遮断
することで制御対象装置の誤動作を防止するようにした
電子機器、および、フラッシュROMに格納されている
制御プログラムの自動復旧を図れるようにした電子機
器、ならびに、ROMデータ監視プログラムを記録した
記録媒体に関するものである。The present invention relates to a flash RO.
When an abnormality is detected in the control program stored in the M, the power supply to the control target device is cut off to prevent malfunction of the control target device, and to the flash ROM. The present invention relates to an electronic device capable of automatically restoring a stored control program, and a recording medium storing a ROM data monitoring program.
【0002】[0002]
【従来の技術】近年、家電製品等においてマイコン(マ
イクロコンピュータ)による機器の制御を行なう製品が
増えている。特に、TV(テレビジョン受像機)におい
ては様々な機能がデジタル化され、今後はさらにマイコ
ンするべき制御が増加することは確実である。しかし、
現在使用されている制御マイコンの多くは書き換え不可
能な記憶素子(例えばマスクROM)を用いている。そ
れに対して、フラッシュROMは書き換えが可能なた
め、マイコンがセットに組み込まれた後でも、アップデ
ータすることが可能である。しかし、フラッシュROM
は外乱等によってフラッシュROMに書き込まれた内容
が消去されたり、内容(データ)が変化することがあ
る。2. Description of the Related Art In recent years, there has been an increasing number of home appliances and the like in which devices are controlled by a microcomputer (microcomputer). In particular, in a TV (television receiver), various functions are digitized, and it is certain that control to be performed by a microcomputer will increase in the future. But,
Many of the currently used control microcomputers use a non-rewritable storage element (for example, a mask ROM). On the other hand, since the flash ROM is rewritable, the data can be updated even after the microcomputer is incorporated in the set. But Flash ROM
In some cases, the contents written in the flash ROM may be erased or the contents (data) may change due to disturbance or the like.
【0003】このため、制御プログラム等の監視を行な
う技術が種々提案されている。例えば、特開平5−15
1105号公報には、プロセッサおよび記憶装置の障害
を監視する障害監視回路が記載されている。この障害監
視回路は、記憶装置監視手段により監視用の任意のアド
レス値を一定周期で発生してサムチェック監視をすると
ともに、ウォッチドッグタイマによるプロセッサのアド
レス発生周期の時間監視をすることにより、記憶装置の
障害監視と、プロセッサの暴走の監視とを行なう。For this reason, various techniques for monitoring a control program and the like have been proposed. For example, JP-A-5-15
Japanese Patent Publication No. 1105 discloses a fault monitoring circuit for monitoring faults of a processor and a storage device. This fault monitoring circuit generates an arbitrary address value for monitoring at a fixed cycle by a storage device monitoring means to perform a sum check monitoring, and also monitors a time period of an address generation cycle of a processor by a watchdog timer, thereby storing the data. It monitors the failure of the device and monitors the runaway of the processor.
【0004】また、特開平6−52066号公報には、
EEPROMの常時監視をハードウェアで行なうことに
よって、短い周期で監視ができ、また、ソフトウェアの
負荷を軽減できるようにしたEEPROM監視回路が記
載されている。[0004] Also, Japanese Patent Application Laid-Open No. 6-52066 discloses that
There is described an EEPROM monitoring circuit capable of performing monitoring at a short cycle by constantly monitoring the EEPROM with hardware and reducing the load on software.
【0005】さらに、特開平8−320834号公報に
は、実行プログラムの誤りを検出するためのチェック用
データとして、実行プログラムの各データ毎に水平方向
および垂直方法のチェックサムを有し、電源を入力しプ
ログラムの立ち上がり時に、これらによって実行プログ
ラムの正当性を確認し、誤りを発見した際には、実行プ
ログラムを自動的に修正するようにしたフラッシュRO
M自動復旧方式が記載されている。Further, Japanese Patent Laid-Open No. 8-320834 discloses a method for checking data for detecting an error in an execution program, which has a checksum of a horizontal direction and a vertical method for each data of the execution program. At the start of the program, the validity of the execution program is confirmed by these, and when an error is found, a flash RO that automatically corrects the execution program
M automatic recovery method is described.
【0006】[0006]
【発明が解決しようとする課題】特開平5−15110
5号公報に記載された障害監視回路は、記憶装置の障害
監視とプロセッサの暴走の監視とを行なって、異常検出
時には警報を発生させることができる。しかしながら、
制御プログラムの破壊に伴って制御対象装置が正常でな
い動作状態になる虞れがある。特開平6−52066号
公報に記載されたEEPROM監視回路についても同様
に、制御プログラムの破壊に伴って制御対象装置が誤動
作となる虞れがある。特開平8−320834号公報に
記載されたフラッシュROM自動復旧方式では、制御プ
ログラムの破壊に伴って制御対象装置が正常でない動作
状態(誤動作状態)になった場合、実行プログラムが自
動修正されるまでの間、制御対象装置の誤動作状態が継
続する虞れがある。さらに、誤動作状態では不要な電力
を消費していることになり好ましくない。Problems to be Solved by the Invention
The fault monitoring circuit described in Japanese Patent Application Laid-Open No. 5-52103 performs a fault monitoring of a storage device and a runaway of a processor, and can generate an alarm when an abnormality is detected. However,
There is a possibility that the control target device will be in an abnormal operation state due to the destruction of the control program. Similarly, in the EEPROM monitoring circuit described in Japanese Patent Application Laid-Open No. 6-52066, there is a possibility that the control target device may malfunction due to the destruction of the control program. In the flash ROM automatic recovery method described in Japanese Patent Application Laid-Open No. 8-320834, when a control target device enters an abnormal operating state (malfunctioning state) due to destruction of a control program, the execution program is automatically corrected. During this time, there is a risk that the malfunctioning state of the controlled device will continue. Further, in a malfunction state, unnecessary power is consumed, which is not preferable.
【0007】[0007]
【発明の目的】この発明はこのような課題を解決するた
めなされたもので、フラッシュROMに格納されている
制御プログラムに異常があることを検出した際には、制
御対象装置に対する電源供給を遮断することで制御対象
装置の誤動作を防止するようにした電子機器、および、
ROMデータ監視プログラムを記録した記録媒体を提供
することを目的とする。また、フラッシュROMに格納
されている制御プログラムに異常があることを検出した
際には、制御対象装置に対する電源供給を遮断するとと
もに、フラッシュROMに格納されている制御プログラ
ムを自動的に復旧できるようにした電子機器、および、
ROMデータ監視プログラムを記録した記録媒体を提供
することを目的とする。SUMMARY OF THE INVENTION It is an object of the present invention to solve such a problem. When an abnormality is detected in a control program stored in a flash ROM, power supply to a controlled device is cut off. Electronic equipment that prevents malfunction of the control target device by performing
It is an object of the present invention to provide a recording medium recording a ROM data monitoring program. Further, when it is detected that the control program stored in the flash ROM is abnormal, the power supply to the control target device is cut off and the control program stored in the flash ROM can be automatically restored. Electronic equipment, and
It is an object of the present invention to provide a recording medium recording a ROM data monitoring program.
【0008】[0008]
【課題を解決するための手段】前記課題を解決するため
請求項1に係る電子機器は、フラッシュROMに格納さ
れている制御プログラムに基づいて制御対象装置の動作
を制御する制御装置と、制御対象装置に対する電源の供
給・遮断を行なう電源供給・遮断部と、フラッシュRO
Mに格納されている制御プログラムの異常を検出する監
視装置とを備え、監視装置によってフラッシュROMに
格納されている制御プログラムの異常が検出された際に
は、電源供給・遮断部を介して制御対象装置に対する電
源供給を遮断する構成としたことを特徴とする。According to another aspect of the present invention, there is provided an electronic apparatus that controls an operation of a control target device based on a control program stored in a flash ROM; A power supply / cutoff unit for supplying / cutting power to the device, and a flash RO
A monitoring device for detecting an abnormality in the control program stored in the flash memory M. When the monitoring device detects an abnormality in the control program stored in the flash ROM, control is performed via a power supply / cutoff unit. The power supply to the target device is shut off.
【0009】請求項1に係る電子機器は、フラッシュR
OMに格納されている制御プログラムに異常が発生する
と、その異常が監視装置によって検出され、制御対象装
置に対する電源供給が遮断される。よって、制御プログ
ラムが破壊等された場合には、制御対象装置への電源供
給が遮断されるので、制御対象装置が誤動作することは
なく、不要な電力が消費されることもない。An electronic apparatus according to claim 1 is a flash R
When an abnormality occurs in the control program stored in the OM, the abnormality is detected by the monitoring device, and power supply to the control target device is cut off. Therefore, when the control program is destroyed or the like, the power supply to the control target device is cut off, so that the control target device does not malfunction and unnecessary power is not consumed.
【0010】請求項2に係る電子機器は、請求項1に係
る電子機器において、制御装置は、フラッシュROMに
格納されている制御プログラムのチェックサム値を求
め、求めたチェックサム値を監視装置へ供給することを
予め設定した期間内に実行することを繰り返し、監視装
置は、前記制御装置から予め設定した期間内に前記チェ
ックサム値が供給されないこと、ならびに、制御装置か
ら供給されたチェックサム値が変化したことに基づいて
フラッシュROMに格納されている制御プログラムに異
常があると判断することを特徴とする。According to a second aspect of the present invention, in the electronic device according to the first aspect, the control device obtains a checksum value of the control program stored in the flash ROM, and sends the obtained checksum value to the monitoring device. The supplying is repeatedly performed within a preset period, and the monitoring device checks that the checksum value is not supplied within the preset period from the control device, and checksum value supplied from the control device. Is determined to have an abnormality in the control program stored in the flash ROM based on the change of the control program.
【0011】制御プログラムの一部消去やデータ変更
(データ化け)が生じた場合にはその制御プログラムの
チェックサム値が変化するので、監視装置はチェックサ
ム値の変化に基づいて制御プログラムの異常(破壊等)
を検出することができる。また、監視装置は、制御装置
からチェックサム値が予め設定した期間内に供給されな
くなったことに基づいて制御プログラムの異常(破壊
等)を検出することができる。When a part of the control program is erased or the data is changed (data is garbled), the checksum value of the control program changes. Destruction)
Can be detected. Further, the monitoring device can detect an abnormality (eg, destruction) of the control program based on the fact that the checksum value is not supplied from the control device within a preset period.
【0012】請求項3に係る電子機器は、フラッシュR
OMに格納されている制御プログラムに基づいて制御対
象装置の動作を制御する制御装置と、制御対象装置に対
する電源の供給・遮断を行なう電源供給・遮断部と、フ
ラッシュROMに格納されている制御プログラムと同一
内容のバックアッププログラムを格納するバックアップ
プログラム格納部と、フラッシュROMに格納されてい
る制御プログラムの異常を検出した場合には電源供給・
遮断部を介して前記制御対象装置に対する電源供給を遮
断するとともに、バックアッププログラム格納部に格納
されているバックアッププログラムをフラッシュROM
に書き込むことでフラッシュROMに格納されている制
御プログラムを復旧させる監視装置とを備えたことを特
徴とする。According to a third aspect of the present invention, there is provided an electronic apparatus comprising:
A control device for controlling the operation of the controlled device based on a control program stored in the OM, a power supply / cutoff unit for supplying / cutting power to the controlled device, and a control program stored in the flash ROM A backup program storage unit for storing a backup program having the same contents as the above, and a power supply / supply when an abnormality of the control program stored in the flash ROM is detected.
The power supply to the control target device is cut off via the cutoff unit, and the backup program stored in the backup program storage unit is stored in the flash ROM.
And a monitoring device for restoring the control program stored in the flash ROM by writing to the flash ROM.
【0013】請求項3に係る電子機器は、フラッシュR
OMに格納されている制御プログラムが破壊等された場
合には、制御対象装置への電源供給が遮断されるので、
制御対象装置が誤動作することはなく、不要な電力が消
費されることもない。さらに、バックアッププログラム
格納部にバックアッププログラムを備えているので、こ
のバックアッププログラムをフラッシュROMに書き込
むことでフラッシュROMに格納されている制御プログ
ラムを復旧させることができる。According to a third aspect of the present invention, there is provided an electronic apparatus comprising:
If the control program stored in the OM is destroyed or the like, the power supply to the control target device is cut off.
The control target device does not malfunction and unnecessary power is not consumed. Further, since the backup program is provided in the backup program storage unit, the control program stored in the flash ROM can be restored by writing the backup program into the flash ROM.
【0014】請求項4に係る電子機器は、請求項3に係
る電子機器において、制御装置は、フラッシュROMに
格納されている制御プログラムのチェックサム値を求
め、求めたチェックサム値を監視装置へ供給することを
予め設定した期間内に実行することを繰り返し、監視装
置は、前記制御装置から予め設定した期間内に前記チェ
ックサム値が供給されないこと、ならびに、制御装置か
ら供給されたチェックサム値が変化したことに基づいて
フラッシュROMに格納されている制御プログラムに異
常があると判断することを特徴とする。According to a fourth aspect of the present invention, in the electronic device according to the third aspect, the control device obtains a checksum value of the control program stored in the flash ROM, and sends the obtained checksum value to the monitoring device. The supplying is repeatedly performed within a preset period, and the monitoring device checks that the checksum value is not supplied within the preset period from the control device, and checksum value supplied from the control device. Is determined to have an abnormality in the control program stored in the flash ROM based on the change of the control program.
【0015】制御プログラムの一部消去やデータ変更
(データ化け)が生じた場合にはチェックサム値が変化
するので、監視装置はチェックサム値の変化に基づいて
制御プログラムの異常(破壊等)を検出することができ
る。また、監視装置は、制御装置からチェックサム値が
予め設定した期間内に供給されなくなったことに基づい
て制御プログラムの異常(破壊等)を検出することがで
きる。When a part of the control program is erased or the data is changed (data is garbled), the checksum value changes. Therefore, the monitoring device determines whether the control program is abnormal (destruction or the like) based on the change in the checksum value. Can be detected. Further, the monitoring device can detect an abnormality (eg, destruction) of the control program based on the fact that the checksum value is not supplied from the control device within a preset period.
【0016】請求項5に係る電子機器は、請求項3に係
る電子機器において、監視装置は、フラッシュROMに
格納されている制御プログラムとバックアッププログラ
ム格納部に格納されているバックアッププログラムとを
照合することで、フラッシュROMに格納されている制
御プログラムの異常を検出することを特徴とする。According to a fifth aspect of the present invention, in the electronic device according to the third aspect, the monitoring device collates the control program stored in the flash ROM with the backup program stored in the backup program storage. Thus, an abnormality of the control program stored in the flash ROM is detected.
【0017】請求項5に係る電子機器は、フラッシュR
OMに格納されている制御プログラムとバックアッププ
ログラム格納部に格納されているバックアッププログラ
ムとを照合することで、フラッシュROMに格納されて
いる制御プログラムの異常を検出することができる。制
御装置は、フラッシュROMに格納されている制御プロ
グラムのチェックサム値を求める必要がないので、制御
装置の負荷が軽減される。According to a fifth aspect of the present invention, there is provided an electronic apparatus comprising:
By comparing the control program stored in the OM with the backup program stored in the backup program storage unit, an abnormality in the control program stored in the flash ROM can be detected. Since the control device does not need to obtain the checksum value of the control program stored in the flash ROM, the load on the control device is reduced.
【0018】請求項6に係るROMデータ監視プログラ
ムを記録した記録媒体は、フラッシュROMに格納され
ている制御プログラムに異常があることを検出する制御
プログラム監視手段と、制御プログラムに異常があるこ
とが検出された際に制御プログラムに基づいて制御され
る制御対象装置に対する電源供給を遮断させる電源遮断
手段とをコンピュータに実行させるためのROMデータ
監視プログラムをコンピュータが読み取り可能な記録媒
体に記録したことを特徴とする。According to a sixth aspect of the present invention, there is provided a recording medium in which a ROM data monitoring program is recorded, wherein a control program monitoring means for detecting an abnormality in a control program stored in a flash ROM, and a control program monitoring means for detecting an abnormality in the control program. A ROM data monitoring program for causing a computer to execute a power shutoff means for interrupting power supply to a controlled device controlled based on the control program when detected is recorded on a computer readable recording medium. Features.
【0019】請求項6に係るROMデータ監視プログラ
ムを記録した記録媒体は、フラッシュROMに格納され
ている制御プログラムの異常を検出し、制御対象装置に
対する電源供給を遮断する動作をコンピュータに実行さ
せることができる。よって、制御プログラムが破壊等さ
れた場合には、制御対象装置への電源供給が遮断される
ので、制御対象装置が誤動作することはなく、不要な電
力が消費されることもない。According to a sixth aspect of the present invention, a recording medium storing the ROM data monitoring program causes a computer to execute an operation of detecting an abnormality of a control program stored in a flash ROM and cutting off power supply to a control target device. Can be. Therefore, when the control program is destroyed or the like, the power supply to the control target device is cut off, so that the control target device does not malfunction and unnecessary power is not consumed.
【0020】請求項7に係るROMデータ監視プログラ
ムを記録した記録媒体は、フラッシュROMに格納され
ている制御プログラムに異常があることを検出する制御
プログラム監視手段と、制御プログラムに異常があるこ
とが検出された際に制御プログラムに基づいて制御され
る制御対象装置に対する電源供給を遮断させる電源遮断
手段と、EEPROMにバックアップされているバック
アッププログラムをフラッシュROMに書き込むことで
制御プログラムの復旧を図る制御プログラム復旧手段と
をコンピュータに実行させるためのROMデータ監視プ
ログラムをコンピュータが読み取り可能な記録媒体に記
録したことを特徴とする。According to a seventh aspect of the present invention, there is provided a recording medium in which a ROM data monitoring program is recorded, wherein a control program monitoring means for detecting an abnormality in the control program stored in the flash ROM, and a control program monitoring means for detecting an abnormality in the control program. A power supply shutoff means for interrupting power supply to a controlled device controlled based on the control program when detected, and a control program for restoring the control program by writing a backup program backed up in an EEPROM to a flash ROM A ROM data monitoring program for causing a computer to execute the recovery means is recorded on a computer-readable recording medium.
【0021】請求項7に係るROMデータ監視プログラ
ムは、フラッシュROMに格納されている制御プログラ
ムの異常を検出し、制御対象装置に対する電源供給を遮
断する動作、ならびに、バックアッププログラムをフラ
ッシュROMに書き込むことで制御プログラムの復旧を
図る動作をコンピュータに実行させることができる。よ
って、制御プログラムが破壊等された場合には、制御対
象装置への電源供給が遮断されるので、制御対象装置が
誤動作することはなく、不要な電力が消費されることも
ない。さらに、破壊された制御プログラムを自動的に復
旧させることができる。According to a seventh aspect of the present invention, there is provided a ROM data monitoring program for detecting an abnormality in a control program stored in a flash ROM, interrupting power supply to a device to be controlled, and writing a backup program in the flash ROM. Thus, the computer can execute an operation for restoring the control program. Therefore, when the control program is destroyed or the like, the power supply to the control target device is cut off, so that the control target device does not malfunction and unnecessary power is not consumed. Further, the destroyed control program can be automatically restored.
【0022】[0022]
【発明の実施の形態】以下、この発明の実施の形態を添
付図面に基づいて説明する。Embodiments of the present invention will be described below with reference to the accompanying drawings.
【0023】図1はこの発明に係る電子機器のブロック
構成図である。この発明に係る電子機器は、制御装置
(制御マイコン)1と、バックアッププログラム格納部
(EEPROM)2と、監視装置(監視マイコン)3
と、電源供給・遮断部4と、制御対象装置(制御対象回
路)5と、装置用電源6と、マイコン用電源7と、主電
源スイッチ8と、制御装置用電源リレー部9とからな
る。制御装置1とバックアッププログラム格納部2と監
視装置3と制御対象装置5は、バス(アドレス・データ
・制御バス)10を介してそれぞれ接続されている。FIG. 1 is a block diagram of an electronic apparatus according to the present invention. An electronic apparatus according to the present invention includes a control device (control microcomputer) 1, a backup program storage (EEPROM) 2, a monitoring device (monitoring microcomputer) 3,
A power supply / interruption unit 4, a control target device (control target circuit) 5, a device power source 6, a microcomputer power source 7, a main power switch 8, and a control device power source relay unit 9. The control device 1, the backup program storage unit 2, the monitoring device 3, and the control target device 5 are connected via a bus (address / data / control bus) 10, respectively.
【0024】制御装置1はマイクロコンピュータを用い
て構成している。この制御装置1は、電源供給制御ポー
ト11と、データ入出力バスポート群12と、電気的に
データの書き換えが可能なフラッシュROM13とを備
えている。フラッシュROM13には、制御装置1を動
作させるための制御プログラム14が格納されている。
制御装置1は、フラッシュROM13に格納されている
制御プログラム14に基づいて制御対象装置5に対する
装置用電源6の供給、ならびに、制御対象装置5の動作
を制御する。具体的には、電源供給ポート11から給電
指令情報を出力することで、電源・遮断部4を電源供給
状態に制御し、装置用電源6を制御対象装置5へ供給さ
せて制御対象装置5を動作可能な状態にするとともに、
データ入出力バスポート群12を介して各種制御指令を
制御対象装置5へ供給して、制御対象装置5の動作状態
を制御する。また、制御装置1は、データ入出力バス1
2を介して制御対象装置5側から供給される各種操作入
力情報や装置状態情報に基づいて所定の動作制御を行な
う。The control device 1 is configured using a microcomputer. The control device 1 includes a power supply control port 11, a data input / output bus port group 12, and a flash ROM 13 in which data can be electrically rewritten. The flash ROM 13 stores a control program 14 for operating the control device 1.
The control device 1 controls the supply of the device power supply 6 to the control target device 5 and the operation of the control target device 5 based on the control program 14 stored in the flash ROM 13. Specifically, by outputting power supply command information from the power supply port 11, the power supply / shutoff unit 4 is controlled to a power supply state, the apparatus power supply 6 is supplied to the control target apparatus 5, and the control target apparatus 5 is controlled. While making it operable,
Various control commands are supplied to the control target device 5 via the data input / output bus port group 12 to control the operation state of the control target device 5. Further, the control device 1 includes a data input / output bus 1
A predetermined operation control is performed on the basis of various operation input information and device state information supplied from the control target device 5 through the control target 2.
【0025】バックアッププログラム格納部2は、電気
的にデータの書き換えが可能なEEPROMを用いて構
成している。このバックアッププログラム格納部2は、
バックアッププログラム格納領域21と、チェック結果
格納領域22とを備える。バックアッププログラム格納
領域21には、フラッシュROM13に格納されている
制御プログラム14と同一内容の制御プログラマがバッ
クアッププログラマとして格納されている。チェック結
果格納領域22には、フラッシュROM13に格納され
ている制御プログラム14が正常であるか異常であるか
を示す情報(データ)が格納される。The backup program storage section 2 is constructed using an electrically rewritable EEPROM. This backup program storage unit 2
A backup program storage area 21 and a check result storage area 22 are provided. In the backup program storage area 21, a control programmer having the same contents as the control program 14 stored in the flash ROM 13 is stored as a backup programmer. The check result storage area 22 stores information (data) indicating whether the control program 14 stored in the flash ROM 13 is normal or abnormal.
【0026】監視装置3は、監視制御用プログラムが書
き換え不可能なマイクロコンピュータを用いて構成して
いる。この監視装置3は、電源遮断制御ポート31と、
データ入出力バスポート群32と、電源リレー制御ポー
ト33とを備える。この監視装置3は、制御装置1内の
フラッシュROM13に格納されている制御プログラム
14、および、バックアッププログラム格納部2内のデ
ータを監視し、制御プログラム14の異常を検出した場
合には、制御対象装置5へ対する装置用電源6の供給を
遮断する機能を備える。また、この監視装置3は、制御
プログラム14の異常が検出された際には、バックアッ
ププログラム格納領域21に格納されているバックアッ
ププログラムを制御装置1内のフラッシュROM13に
書き込むことで、フラッシュROM13内の制御プログ
ラム14を復旧させる機能を備える。The monitoring device 3 is configured using a microcomputer whose monitoring control program is not rewritable. The monitoring device 3 includes a power cutoff control port 31,
A data input / output bus port group 32 and a power relay control port 33 are provided. The monitoring device 3 monitors the control program 14 stored in the flash ROM 13 in the control device 1 and the data in the backup program storage 2, and when an abnormality of the control program 14 is detected, It has a function of interrupting the supply of the device power supply 6 to the device 5. When an abnormality in the control program 14 is detected, the monitoring device 3 writes the backup program stored in the backup program storage area 21 to the flash ROM 13 in the control device 1 so that the monitoring program 3 A function for restoring the control program 14 is provided.
【0027】電源供給・遮断部4は、装置用電源供給用
のリレーとリレー動作制御回路等を備える。この電源供
給・遮断部4は、監視装置3の電源遮断制御ポート31
から電源遮断指令情報が供給されている場合は、制御対
象装置5への電源供給を遮断する。電源供給・遮断部4
は、監視装置3の電源遮断制御ポート31から電源遮断
指令情報が供給されていない場合、制御装置1側の電源
供給制御ポート11から給電指令情報が供給されたとき
には装置用電源6を制御対象装置5へ供給し、給電停止
指令情報が供給されたときには制御対象装置5に電源供
給を停止する。The power supply / interruption unit 4 includes a relay for supplying power to the apparatus, a relay operation control circuit, and the like. The power supply / interruption unit 4 is provided with a power interruption control port 31 of the monitoring device 3.
When the power supply cut-off command information is supplied from the power supply, the power supply to the control target device 5 is cut off. Power supply / interruption unit 4
When power supply command information is not supplied from the power supply control port 31 of the monitoring device 3 and power supply command information is supplied from the power supply control port 11 of the control device 1, the device power supply 6 is controlled by the control target device. 5 and the power supply to the controlled device 5 is stopped when the power supply stop command information is supplied.
【0028】制御対象装置5は、制御装置1によって制
御される各種のハードウェア等を備える。装置用電源6
は、制御対象装置5に電源を供給するためのものであ
る。マイコン用電源7は、制御装置1ならびに監視装置
3に電源を供給するためのものである。主電源スイッチ
8は、監視装置3に対してマイコン用電源7の供給/切
断を行なうものである。なお、監視装置3は、パワーオ
ンリセット回路等を備えており、電源の投入によって初
期化された後に監視装置3の動作を開始する。The control target device 5 includes various hardware and the like controlled by the control device 1. Equipment power supply 6
Is for supplying power to the control target device 5. The microcomputer power supply 7 supplies power to the control device 1 and the monitoring device 3. The main power switch 8 is used to supply / disconnect the microcomputer power supply 7 to / from the monitoring device 3. The monitoring device 3 includes a power-on reset circuit and the like, and starts operation of the monitoring device 3 after being initialized by turning on the power.
【0029】制御装置用電源リレー部9は、リレーとそ
の駆動回路等を備える。この制御装置用電源リレー部9
は、監視装置3の電源リレー制御ポート33から給電指
令情報が供給されるとリレー接点が導通状態になってマ
イコン用電源7を制御装置1へ供給し、給電停止指令情
報が供給されると制御装置1への給電を停止する。な
お、制御装置1は、パワーオンリセット回路等を備えて
おり、電源の投入によって初期化された後に制御装置1
の動作を開始する。The power relay unit 9 for the control device includes a relay and a drive circuit for the relay. This power relay unit 9 for the control device
When the power supply command information is supplied from the power supply relay control port 33 of the monitoring device 3, the relay contact is turned on to supply the microcomputer power supply 7 to the control device 1, and the control is performed when the power supply stop command information is supplied. The power supply to the device 1 is stopped. The control device 1 includes a power-on reset circuit and the like.
Start operation.
【0030】主電源スイッチ8がオン状態に操作される
と監視装置3にマイコン用電源7が供給され、監視装置
3が動作状態になる。監視装置3は、バス10を介して
バックアッププログラム格納部2内のバックアッププロ
グラム格納領域21に格納されているバックアッププロ
グラマを読み出し、バックアッププログラマのチェック
サム値を求め、求めたチェックサム値を監視装置3内の
レジスタ等に格納する。なお、監視装置3は、バックア
ッププログラマのチェックサム値をバックアッププログ
ラム格納部2内の図示しないチェックサム値格納領域に
記憶させるようにしてもよい。When the main power switch 8 is turned on, the microcomputer power 7 is supplied to the monitoring device 3 and the monitoring device 3 is activated. The monitoring device 3 reads out the backup programmer stored in the backup program storage area 21 in the backup program storage unit 2 via the bus 10, obtains the checksum value of the backup programmer, and displays the obtained checksum value in the monitoring device 3. In a register or the like. The monitoring device 3 may store the checksum value of the backup programmer in a checksum value storage area (not shown) in the backup program storage unit 2.
【0031】次に、監視装置3は、バス10を介してバ
ックアッププログラム格納部2内のチェック結果格納領
域22に格納されているチェック結果を読み込む。監視
装置3は、チェック結果が正常である場合には、バス1
0を介して制御動作を許可する指令情報を制御装置1へ
供給して、制御装置1が制御動作を行なえる状態に設定
した後に、電源リレー制御ポート33を介して制御装置
用電源リレー部9を電源供給状態に制御して制御装置1
へマイコン用電源7を供給させる。これにより、制御装
置1は、フラッシュROM13に格納されている制御プ
ログラム14に基づいて制御対象装置5の動作制御を開
始する。Next, the monitoring device 3 reads the check result stored in the check result storage area 22 in the backup program storage unit 2 via the bus 10. When the check result is normal, the monitoring device 3
0 is supplied to the control device 1 via the power supply relay control port 33, and after the control device 1 is set to a state where the control operation can be performed, the power supply relay section 9 for the control device is provided. To the power supply state and control device 1
To the microcomputer power supply 7. Thereby, the control device 1 starts the operation control of the control target device 5 based on the control program 14 stored in the flash ROM 13.
【0032】制御装置1の動作を規定している制御プロ
グラム14が破壊された場合、制御対象装置5へ不正な
データを送信するなどして制御対象装置5が誤動作する
虞れがある。そこで、監視装置3によって制御装置1の
動作を監視し、制御装置1の動作が異常となった場合に
は、制御対象装置5への電源供給を遮断することで制御
対象装置5を保護する。When the control program 14 that defines the operation of the control device 1 is destroyed, there is a possibility that the control target device 5 malfunctions, for example, by transmitting illegal data to the control target device 5. Therefore, the operation of the control device 1 is monitored by the monitoring device 3, and when the operation of the control device 1 becomes abnormal, the power supply to the control target device 5 is cut off to protect the control target device 5.
【0033】このため、制御プログラム14の中に、制
御プログラム14のチェックサム値を求め、求めたチェ
ックサム値を監視装置32へ供給する動作(以下、定期
通信と記す)を所定の時間間隔内で繰り返すプログラム
を設けている。監視装置3は、制御装置1から所定の時
間間隔内でチェックサム値が繰り返し供給されているこ
とに基づいて、また、供給されたチェックサム値に基づ
いてフラッシュROM13に格納されている制御プログ
ラム14が正常であるか否かを判断する。すなわち、監
視装置3は、所定の時間間隔内に制御装置1からの定期
通信がない場合には制御プログラム14が破壊等された
ものと判断する。また、監視装置3は、定期通信によっ
て供給されたチェックサム値が前回の値から変化した場
合、または、バックアッププログラムのチェックサム値
と異なる値となった場合は、制御プログラム14が破壊
等されたものと判断する。For this reason, the control program 14 determines the checksum value of the control program 14 and performs an operation of supplying the obtained checksum value to the monitoring device 32 (hereinafter referred to as periodic communication) within a predetermined time interval. There is a program that repeats with. The monitoring device 3 controls the control program 14 stored in the flash ROM 13 based on the fact that the checksum value is repeatedly supplied from the control device 1 within a predetermined time interval, and based on the supplied checksum value. Is determined to be normal. That is, if there is no regular communication from the control device 1 within a predetermined time interval, the monitoring device 3 determines that the control program 14 has been destroyed. Further, when the checksum value supplied by the periodic communication changes from the previous value or when the checksum value differs from the checksum value of the backup program, the monitoring program 3 destroys the control program 14. And judge.
【0034】制御装置1が定期通信を行なうタイミング
は、制御装置1が制御対象装置5へ制御データを送信す
る直前としている。このように制御対象装置5へ制御デ
ータを送信する前に定期通信を行なうことで、制御プロ
グラム14の破壊等によって不正な制御データが制御対
象装置5へ供給される前に、監視装置3によって制御プ
ログラム14の破壊等を検出し、電源供給・遮断部4を
遮断状態にすることで制御対象装置5に対する装置用電
源6の供給を遮断して、制御対象装置5が正常でない動
作状態になるのを未然に防止する。The timing at which the control device 1 performs regular communication is immediately before the control device 1 transmits control data to the control target device 5. As described above, by performing the periodic communication before transmitting the control data to the control target device 5, the monitoring device 3 controls the illegal control data before the illegal control data is supplied to the control target device 5 due to the destruction of the control program 14. When the destruction of the program 14 is detected and the power supply / cutoff unit 4 is turned off, the supply of the device power source 6 to the control target device 5 is cut off, and the control target device 5 enters an abnormal operation state. Is prevented beforehand.
【0035】家庭用電子機器等では、雑音等の影響によ
る誤動作を早期に復旧させるために定期的に同じデータ
を同じ回路等へ供給するようにしているので(いわゆ
る、リフレッシュ動作)、このリフレッシュ動作の直前
に監視装置3へ対する定期通信を行なうようにしてもよ
い。この場合、監視装置3は、制御装置1からの定期通
信があったことを確認するタイミングを、制御装置1が
リフレッシュ動作を行なう間隔に合せる。In a home electronic device or the like, the same data is periodically supplied to the same circuit or the like in order to promptly recover from a malfunction due to the influence of noise or the like (so-called refresh operation). May be performed immediately before the monitoring device 3. In this case, the monitoring device 3 matches the timing of confirming that there has been regular communication from the control device 1 with the interval at which the control device 1 performs the refresh operation.
【0036】監視装置3は、制御装置1からの定期通信
がないこと、または、チェックサム値の変化等に基づい
てフラッシュROM14に格納されている制御プログラ
ム14の異常を検出した場合には、電源遮断制御ポート
31から電源遮断指令情報を出力して、電源供給・遮断
部4を電源供給遮断状態に制御するとともに、バス10
を介して制御プログラム14が異常である旨のデータを
バックアッププログラム格納部2内のチェック結果格納
領域に書き込む。When the monitoring device 3 detects that there is no regular communication from the control device 1 or detects an abnormality in the control program 14 stored in the flash ROM 14 based on a change in the checksum value or the like, the monitoring device 3 Power cutoff command information is output from the cutoff control port 31 to control the power supply / cutoff unit 4 to a power supply cutoff state, and
The data indicating that the control program 14 is abnormal is written to the check result storage area in the backup program storage unit 2 via.
【0037】前述の主電源スイッチ8の投入後に、監視
装置3がバックアッププログラム格納部2内のチェック
結果格納領域22に格納されているチェック結果を読み
込み、そのチェック結果から制御プログラム14が異常
であることを認識すると、監視装置3はバックアッププ
ログラム格納領域21に格納されている制御プログラム
(バックアッププログラム)を読み出して、制御装置1
内のフラッシュROM13へ書き込む。これにより、フ
ラッシュROM13内の制御プログラム14を復旧させ
る。監視装置3は、制御プログラム14を復旧させた後
に、電源リレー制御ポート33から通電指令情報を出力
し、制御装置電源リレー9を電源供給状態にして制御装
置1へマイコン用電源7を供給させ、制御装置1の制御
動作を開始させる。After the main power switch 8 is turned on, the monitoring device 3 reads the check result stored in the check result storage area 22 in the backup program storage unit 2, and the control program 14 is abnormal based on the check result. When recognizing that, the monitoring device 3 reads the control program (backup program) stored in the backup program storage area 21 and
To the flash ROM 13 in the memory. Thus, the control program 14 in the flash ROM 13 is restored. After restoring the control program 14, the monitoring device 3 outputs energization command information from the power relay control port 33, puts the control device power relay 9 into a power supply state, and supplies the microcomputer power 7 to the control device 1. The control operation of the control device 1 is started.
【0038】なお、監視装置3は、主電源スイッチ8が
投入された初期状態で、フラッシュROM13に格納さ
れている制御プログラム14とバックアッププログラム
格納領域21に格納されているバックアッププログラム
との照合を行ない、制御プログラム14が破壊等されて
いる場合には、バックアッププログラムをフラッシュR
OM13へ書き込んだ後に、制御装置1の制御動作を開
始させるようにしてもよい。The monitoring device 3 compares the control program 14 stored in the flash ROM 13 with the backup program stored in the backup program storage area 21 in the initial state when the main power switch 8 is turned on. If the control program 14 is destroyed, the backup program is
After writing to the OM 13, the control operation of the control device 1 may be started.
【0039】チェック結果が正常である場合、監視装置
3は、バス10を介して制御動作を許可する指令情報を
制御装置1へ供給して、制御装置1が制御動作を行なえ
る状態に設定した後に、電源リレー制御ポート33を介
して制御装置用電源リレー部9を電源供給状態に制御し
て制御装置1へマイコン用電源7を供給させる。これに
より、制御装置1は、フラッシュROM13に格納され
ている制御プログラム14に基づいて制御対象装置5の
動作制御を開始する。When the check result is normal, the monitoring device 3 supplies command information for permitting the control operation to the control device 1 via the bus 10 and sets the control device 1 in a state where the control operation can be performed. Thereafter, the power supply relay unit 9 for the control device is controlled to the power supply state via the power supply relay control port 33 to supply the power supply 7 for the microcomputer to the control device 1. Thereby, the control device 1 starts the operation control of the control target device 5 based on the control program 14 stored in the flash ROM 13.
【0040】図2および図3はこの発明に係る電子機器
の制御プログラム監視ならびに復旧動作を示すフローチ
ャートである。図2は起動チェック処理の動作を、図3
は不フラッシュROM監視処理の動作を示している。FIGS. 2 and 3 are flowcharts showing the control program monitoring and recovery operation of the electronic device according to the present invention. FIG. 2 shows the operation of the startup check processing, and FIG.
Indicates the operation of the non-flash ROM monitoring process.
【0041】図1に示した主電源スイッチ8がオフ状態
のとき、制御装置1、監視装置3ならびに制御対象装置
5のいずれにも電源が供給されていない。主電源スイッ
チ8がオン状態に操作されると、監視装置3へマイコン
用電源7が供給され、監視装置3はリセットスタートす
る(ステップS1)。この時点で電源が供給されている
のは監視装置3のみである。監視装置3は、処理を開始
するとバックアッププログラム格納部2内のチェック結
果格納領域に格納されているチェック結果を読み込み
(ステップS2)、チェック結果の内容に基づいてフラ
ッシュROM14に格納されている制御プログラムが正
常か否かを判断する(ステップS3)。When the main power switch 8 shown in FIG. 1 is in the OFF state, power is not supplied to any of the control device 1, the monitoring device 3, and the control target device 5. When the main power switch 8 is turned on, the microcomputer power 7 is supplied to the monitoring device 3, and the monitoring device 3 is reset and started (step S1). At this point, only the monitoring device 3 is supplied with power. When starting the processing, the monitoring device 3 reads the check result stored in the check result storage area in the backup program storage unit 2 (step S2), and based on the contents of the check result, the control program stored in the flash ROM 14. Is normal or not (step S3).
【0042】制御プログラム14が正常である場合、監
視装置3は、制御装置1が制御動作を行なうために必要
な状態を設定し(ステップS4)、電源リレー制御ポー
ト33を介して制御装置用電源リレー部9を通電状態へ
制御する(ステップS5)。これにより、制御装置1に
マイコン用電源7が供給され、制御装置1はリセットス
タートする。If the control program 14 is normal, the monitoring device 3 sets a state necessary for the control device 1 to perform a control operation (step S4), and supplies the power to the control device via the power relay control port 33. The relay unit 9 is controlled to be energized (step S5). As a result, the microcomputer power supply 7 is supplied to the control device 1, and the control device 1 is reset-started.
【0043】ステップS3で制御プログラム14が異常
であると判断された場合、監視装置3は、制御装置1内
のフラッシュROM13をデータ書き込み可能な状態に
するためのデータを設定する(ステップS6)。そし
て、監視装置3は、電源リレー制御ポート33を介して
制御装置用電源リレー部9を通電状態に制御する(ステ
ップS7)。これにより、制御装置1をリセットスター
トさせる。ステップS6でフラッシュROM13を書き
込み許可状態に設定しているので、制御装置1は制御対
象装置5に対する制御動作を開始せずに、バス10を解
放した状態で待機する。監視装置3は、バックアッププ
ログラム格納部21に格納されているバックアッププロ
グラムのデータを読み出し、読み出したプログラムデー
タをフラッシュROM13へ書き込み(ステップS
8)。これにより、フラッシュROM13に格納される
制御プログラム14の復旧がなされる。フラッシュRO
M13に対する書き込みが終了すると、監視装置3は電
源リレー制御ポート33を介して制御装置用電源リレー
部9を非通電状態に制御し、制御装置1への電源供給を
一旦遮断する(ステップS9)。If it is determined in step S3 that the control program 14 is abnormal, the monitoring device 3 sets data for enabling the flash ROM 13 in the control device 1 to write data (step S6). Then, the monitoring device 3 controls the power relay unit 9 for the control device to be in an energized state via the power relay control port 33 (step S7). Thereby, the control device 1 is reset-started. Since the flash ROM 13 is set in the write permission state in step S6, the control device 1 does not start the control operation for the control target device 5 but waits in a state where the bus 10 is released. The monitoring device 3 reads the backup program data stored in the backup program storage unit 21 and writes the read program data to the flash ROM 13 (Step S
8). As a result, the control program 14 stored in the flash ROM 13 is restored. Flash RO
When the writing to M13 is completed, the monitoring device 3 controls the power relay unit 9 for the control device to a non-energized state via the power relay control port 33, and temporarily shuts off the power supply to the control device 1 (step S9).
【0044】監視装置3は、ステップS6〜ステップS
9までのフラッシュROM復旧処理を終了すると、ステ
ップS4で制御装置1が制御動作を行なうために必要な
状態を設定した後に、ステップS5で電源リレー制御ポ
ート33を介して制御装置用電源リレー部9を通電状態
へ制御する。これにより、制御装置1にマイコン用電源
7が供給され、制御装置1はリセットスタートされる。
ステップS4で制御動作を行なうように設定しているの
で、制御装置1はフラッシュROM13に格納されてい
る制御プログラム14に基づいて制御動作を開始する。
具体的には、電源供給制御ポート11を介して電源供給
・遮断部4を電源供給状態に制御し、制御対象装置5へ
装置用電源6を供給させるとともに、制御対象装置5の
動作を制御する。The monitoring device 3 performs steps S6 to S
When the flash ROM restoration processing up to 9 is completed, a state necessary for the control device 1 to perform the control operation is set in step S4, and then in step S5, the power relay unit 9 for the control device is connected via the power relay control port 33. Is controlled to an energized state. As a result, the microcomputer power supply 7 is supplied to the control device 1, and the control device 1 is reset-started.
Since the control operation is set to be performed in step S <b> 4, control device 1 starts the control operation based on control program 14 stored in flash ROM 13.
Specifically, the power supply / cutoff unit 4 is controlled to be in a power supply state via the power supply control port 11 to supply the device power supply 6 to the control target device 5 and to control the operation of the control target device 5. .
【0045】制御装置1が制御プログラム14に基づく
制御動作を開始すると、監視装置3は図3に示すROM
監視処理を行なう。監視装置3は、ステップS10で制
御装置1から定期通信がおこなわれているか否かを監視
する。監視装置3は、所定の時間間隔内に制御装置1か
らの定期通信がない場合には制御プログラム14が破壊
等されたものと判断し、電源供給・遮断部4を遮断状態
にして制御対象装置5への装置用電源6の供給を遮断す
る(ステップS11)。そして、監視装置3は、ステッ
プS12で制御プログラム14が異常であることを示す
データをチェック結果格納領域22へ書き込む。When the control device 1 starts the control operation based on the control program 14, the monitoring device 3 starts the ROM operation shown in FIG.
Perform monitoring processing. The monitoring device 3 monitors whether or not regular communication is being performed from the control device 1 in step S10. If there is no regular communication from the control device 1 within a predetermined time interval, the monitoring device 3 determines that the control program 14 has been destroyed, and sets the power supply / cutoff unit 4 to the cutoff state to set the control target device. The supply of the device power supply 6 to the power supply 5 is cut off (step S11). Then, the monitoring device 3 writes data indicating that the control program 14 is abnormal in the check result storage area 22 in step S12.
【0046】定期通信が実行されている場合、監視装置
3は定期通信によって制御装置1側から供給されたチェ
ックサム値が正常か否かを判断する(ステップS1
3)。監視装置3は、チェックサム値が正常でない場合
には、ステップS11で制御対象装置5への給電を遮断
し、ステップS12で制御プログラム14が異常である
ことを示すデータをチェック結果格納領域22へ書き込
む。If the regular communication is being executed, the monitoring device 3 determines whether the checksum value supplied from the control device 1 by the regular communication is normal (step S1).
3). If the checksum value is not normal, the monitoring device 3 shuts off power supply to the control target device 5 in step S11, and sends data indicating that the control program 14 is abnormal to the check result storage area 22 in step S12. Write.
【0047】ステップS13でチェックサム値が正常で
あることが確認された場合、監視装置3はステップS1
4でチェック結果格納領域22の内容が制御プログラム
14が正常であることを示すデータとなっているか否か
をチェックする。監視装置3は、チェック結果格納領域
22の内容が制御プログラム14が異常であることを示
すデータとなっている場合には、制御プログラム14が
正常であることを示すデータをチェック結果格納領域2
2へ書き込む(ステップS15)。If it is determined in step S13 that the checksum value is normal, the monitoring device 3 proceeds to step S1.
In step 4, it is checked whether the content of the check result storage area 22 is data indicating that the control program 14 is normal. When the content of the check result storage area 22 is data indicating that the control program 14 is abnormal, the monitoring device 3 converts the data indicating that the control program 14 is normal to the check result storage area 2.
2 (step S15).
【0048】制御装置3は、ステップS10〜ステップ
S15に示したROM監視処理を繰り返すことで、フラ
ッシュROM13に格納されている制御プログラム14
で動作している制御装置1の動作を継続して監視する。
したがって、制御プログラム14の破壊や制御装置1の
故障等によって制御装置1の動作が正常でなくなった際
にはそれを速やかに検出し、制御対象装置5への電源供
給を遮断することで制御対象装置5が誤動作状態等にな
るのを未然に防止する。The control device 3 repeats the ROM monitoring process shown in steps S10 to S15, thereby controlling the control program 14 stored in the flash ROM 13.
And continuously monitors the operation of the control device 1 that is operating at.
Therefore, when the operation of the control device 1 becomes abnormal due to the destruction of the control program 14 or the failure of the control device 1, the abnormality is promptly detected, and the power supply to the control target device 5 is cut off to control the control target device 5. The device 5 is prevented from becoming malfunctioning or the like.
【0049】以上の構成ならびに作用であるからこの発
明に係る電子機器は、フラッシュROM13に格納され
ている制御プログラム14が破壊される等の致命的な障
害が発生しても制御対象装置5が正常でない動作状態と
なるのを防止することができ、制御対象装置5を保護す
ることができる。また、バックアッププログラム格納部
2にバックアッププログラムを備えているので、フラッ
シュROM13に格納されている制御プログラム14が
破壊等された場合でも、バックアッププログラムをフラ
ッシュROM13へ書き込みことで制御プログラム14
を復旧させることができる。さらに、この発明に係る電
子機器は、独立した監視装置3を備えているので、制御
装置1を構成するマイクロコンピュータ等のハードウェ
ア等に障害が発生した場合でも、監視装置3の動作に異
常がない限り制御対象装置5を保護することができる。With the above configuration and operation, the electronic device according to the present invention can operate normally even if a catastrophic failure such as the destruction of the control program 14 stored in the flash ROM 13 occurs. In other words, it is possible to prevent the operation state from being changed, and to protect the control target device 5. Further, since the backup program is provided in the backup program storage unit 2, even if the control program 14 stored in the flash ROM 13 is destroyed, the backup program is written into the flash ROM 13 so that the control program 14 is written.
Can be restored. Further, since the electronic device according to the present invention includes the independent monitoring device 3, even if a failure occurs in hardware such as a microcomputer constituting the control device 1, the operation of the monitoring device 3 is not abnormal. Unless otherwise, the control target device 5 can be protected.
【0050】なお、本実施の形態では、監視装置3側か
ら制御装置1の動作状態を設定した後に制御装置1への
電源供給を行なう例を示したが、制御装置1への電源供
給を行なった後に制御装置1の動作状態を設定するよう
にしてもよい。例えば、監視装置3は、電源リレー制御
ポート33を介して制御用電源リレー部9を給電状態に
制御した後に、バス10を介してフラッシュROM13
への書き込みモードを指定する情報、または、制御動作
を指定する情報を出力するようにしてもよい。この場
合、制御装置1は、電源供給後の初期設定処理で監視装
置3側から供給された動作モード情報を読み込み、動作
モード情報がフラッシュROM13への書き込みモード
を指定している場合には、フラッシュROM13への書
き込みが可能な状態を設定し、動作モード情報が制御動
作を指定している場合には制御プログラム14に基づく
制御動作を開始する。In the present embodiment, an example has been described in which the power supply to the control device 1 is performed after the operation state of the control device 1 is set from the monitoring device 3 side, but the power supply to the control device 1 is performed. After that, the operation state of the control device 1 may be set. For example, the monitoring device 3 controls the control power supply relay unit 9 to be in a power supply state via the power supply relay control port 33, and then controls the flash ROM 13 via the bus 10.
Information that specifies a write mode for writing to the memory or information that specifies a control operation may be output. In this case, the control device 1 reads the operation mode information supplied from the monitoring device 3 in the initial setting process after the power is supplied, and if the operation mode information specifies the write mode to the flash ROM 13, A state in which writing to the ROM 13 is possible is set, and when the operation mode information specifies a control operation, a control operation based on the control program 14 is started.
【0051】また、本実施の形態では、主電源スイッチ
8が投入された時点でフラッシュROM13内の制御プ
ログラム14が異常であることを検出した際に制御プロ
グラム14の自動復旧を行なう例を示したが、制御プロ
グラム14の異常が検出された時点で制御プログラム1
4の自動復旧を行なうようにしてもよい。Further, in the present embodiment, an example has been described in which the control program 14 is automatically restored when it is detected that the control program 14 in the flash ROM 13 is abnormal when the main power switch 8 is turned on. When the abnormality of the control program 14 is detected, the control program 1
4 may be automatically restored.
【0052】本実施の形態では、制御装置1側で制御プ
ログラム14のチェックサム値を求め、求めたチェック
サム値を監視装置3へ供給することで制御プログラム1
4の異常を検出する例を示したが、監視装置3側からフ
ラッシュROM13に格納されている制御プログラム1
4を読み出してチェックサム値を求め、求めたチェック
サム値から制御プログラム14が正常であるか否かを判
断するようにしてもよい。また、監視装置3側からフラ
ッシュROM13に格納されている制御プログラム14
を読み出し、バックアッププログラムと照合することで
制御プログラム14が正常であるか否かを判断するよう
にしてもよい。In this embodiment, the control program 1 obtains a checksum value of the control program 14 on the control device 1 side, and supplies the obtained checksum value to the monitoring device 3.
4 shows an example of detecting an abnormality in the control program 1 stored in the flash ROM 13 from the monitoring device 3 side.
4 may be read to obtain a checksum value, and whether the control program 14 is normal or not may be determined from the obtained checksum value. Further, the control program 14 stored in the flash ROM 13 is sent from the monitoring device 3 side.
May be read and compared with the backup program to determine whether the control program 14 is normal.
【0053】[0053]
【発明の効果】以上説明したようにこの請求項1に係る
電子機器および請求項6に係るROMデータ監視プログ
ラムを記録した記録媒体は、フラッシュROMに格納さ
れている制御プログラムの異常を検出した際には、制御
対象装置に対する電源供給を遮断する構成としたので、
制御対象装置の誤動作を防止できる。As described above, the electronic device according to the first aspect and the recording medium on which the ROM data monitoring program according to the sixth aspect is recorded, when the abnormality of the control program stored in the flash ROM is detected. Has a configuration to cut off the power supply to the controlled device,
Malfunction of the controlled device can be prevented.
【0054】なお、制御装置は、フラッシュROMに格
納されている制御プログラムのチェックサム値を求め、
求めたチェックサム値を監視装置へ供給することを予め
設定した期間内に実行することを繰り返し構成とするこ
とで、監視装置は制御プログラムの異常を的確に検出す
ることができる。The control device obtains a checksum value of the control program stored in the flash ROM,
By repeatedly performing the supply of the obtained checksum value to the monitoring device within a preset period, the monitoring device can accurately detect the abnormality of the control program.
【0055】請求項3に係る電子機器、および請求項6
に係るROMデータ監視プログラムを記録した記録媒体
は、フラッシュROMに格納されている制御プログラム
の異常を検出した際には、制御対象装置に対する電源供
給を遮断するとともに、バックアッププログラム格納部
に格納されているバックアッププログラムをフラッシュ
ROMに書き込むことでフラッシュROMに格納されて
いる制御プログラムを復旧させる構成としたので、フラ
ッシュROMに格納されている制御プログラムに異常が
発生した際には、制御対象装置の誤動作を防止するとと
もに制御プログラムを自動的に復旧させることができ
る。The electronic device according to claim 3 and claim 6
When the recording medium storing the ROM data monitoring program according to the present invention detects an abnormality in the control program stored in the flash ROM, the power supply to the control target device is shut off and the storage medium is stored in the backup program storage unit. The control program stored in the flash ROM is restored by writing the backup program to the flash ROM, so if an error occurs in the control program stored in the flash ROM, the malfunction of the control target device will occur. And the control program can be automatically restored.
【0056】なお、制御装置は、フラッシュROMに格
納されている制御プログラムのチェックサム値を求め、
求めたチェックサム値を監視装置へ供給することを予め
設定した期間内に実行することを繰り返し構成とするこ
とで、監視装置は制御プログラムの異常を的確に検出す
ることができる。The control device obtains the checksum value of the control program stored in the flash ROM,
By repeatedly performing the supply of the obtained checksum value to the monitoring device within a preset period, the monitoring device can accurately detect the abnormality of the control program.
【0057】また、監視装置は、フラッシュROMに格
納されている制御プログラムとバックアッププログラム
格納部に格納されているバックアッププログラムとを照
合することで、フラッシュROMに格納されている制御
プログラムの異常を検出すること構成とすることで、制
御プログラムの異常を的確に検出することができる。制
御装置は、フラッシュROMに格納されている制御プロ
グラムのチェックサム値を求める必要がないので、制御
装置の負荷が軽減される。The monitoring device detects an abnormality in the control program stored in the flash ROM by comparing the control program stored in the flash ROM with the backup program stored in the backup program storage. With this configuration, an abnormality in the control program can be accurately detected. Since the control device does not need to obtain the checksum value of the control program stored in the flash ROM, the load on the control device is reduced.
【図1】この発明に係る電子機器のブロック構成図であ
る。FIG. 1 is a block diagram of an electronic device according to the present invention.
【図2】この発明に係る電子機器の制御プログラム監視
ならびに復旧動作を示すフローチャート(その1)であ
る。FIG. 2 is a flowchart (part 1) showing a control program monitoring and recovery operation of the electronic device according to the present invention.
【図3】この発明に係る電子機器の制御プログラム監視
ならびに復旧動作を示すフローチャート(その2)であ
る。FIG. 3 is a flowchart (part 2) illustrating a control program monitoring and recovery operation of the electronic device according to the present invention.
1 制御装置(制御マイコン) 2 バックアッププログラム格納部 3 監視装置(監視マイコン) 4 電源供給・遮断部 5 制御対象装置 6 装置用電源 7 マイコン用電源 8 主電源スイッチ 9 制御装置用電源リレー部 10 バス 13 フラッシュROM 14 制御プログラム 21 バックアッププログラム格納領域 22 チェック結果格納領域 Reference Signs List 1 control device (control microcomputer) 2 backup program storage unit 3 monitoring device (monitoring microcomputer) 4 power supply / cutoff unit 5 controlled device 6 device power supply 7 microcomputer power supply 8 main power switch 9 control device power supply relay unit 10 bus 13 Flash ROM 14 Control program 21 Backup program storage area 22 Check result storage area
フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) G06F 12/16 320 G06F 1/00 334C Continued on the front page (51) Int.Cl. 7 Identification symbol FI Theme coat II (reference) G06F 12/16 320 G06F 1/00 334C
Claims (7)
プログラムに基づいて制御対象装置の動作を制御する制
御装置と、前記制御対象装置に対する電源の供給・遮断
を行なう電源供給・遮断部と、前記フラッシュROMに
格納されている制御プログラムの異常を検出する監視装
置とを備え、 前記監視装置によって前記フラッシュROMに格納され
ている制御プログラムの異常が検出された際には、前記
電源供給・遮断部を介して前記制御対象装置に対する電
源供給を遮断する構成としたことを特徴とする電子機
器。A control device for controlling an operation of the control target device based on a control program stored in a flash ROM; a power supply / cutoff unit for supplying / cutting power to the control target device; A monitoring device for detecting an abnormality in the control program stored in the ROM; and when the monitoring device detects an abnormality in the control program stored in the flash ROM, the power supply / cutoff unit is activated. An electronic device, wherein power supply to the control target device is cut off via the control unit.
に格納されている制御プログラムのチェックサム値を求
め、求めたチェックサム値を監視装置へ供給することを
予め設定した期間内に実行することを繰り返し、 前記監視装置は、前記制御装置から前記予め設定した期
間内に前記チェックサム値が供給されないこと、ならび
に、前記制御装置から供給されたチェックサム値が変化
したことに基づいて前記フラッシュROMに格納されて
いる制御プログラムに異常があると判断することを特徴
とする請求項1記載の電子機器。2. The flash memory according to claim 2, wherein
The checksum value of the control program stored in the storage device is obtained, and the supply of the obtained checksum value to the monitoring device is repeatedly performed within a preset period, and the monitoring device sends the checksum value from the control device to the monitoring device. It is determined that there is an abnormality in the control program stored in the flash ROM based on the fact that the checksum value is not supplied within the set period and the change of the checksum value supplied from the control device. The electronic device according to claim 1, wherein:
プログラムに基づいて制御対象装置の動作を制御する制
御装置と、 前記制御対象装置に対する電源の供給・遮断を行なう電
源供給・遮断部と、 前記フラッシュROMに格納されている制御プログラム
と同一内容のバックアッププログラムを格納するバック
アッププログラム格納部と、 前記フラッシュROMに格納されている制御プログラム
の異常を検出した場合には、前記電源供給・遮断部を介
して前記制御対象装置に対する電源供給を遮断するとと
もに、前記バックアッププログラム格納部に格納されて
いるバックアッププログラムを前記フラッシュROMに
書き込むことで前記フラッシュROMに格納されている
制御プログラムを復旧させる監視装置とを備えたことを
特徴とする電子機器。3. A control device for controlling the operation of a controlled device based on a control program stored in a flash ROM; a power supply / cutoff unit for supplying / cutting power to the controlled device; A backup program storage unit for storing a backup program having the same contents as the control program stored in the ROM; and, when an abnormality of the control program stored in the flash ROM is detected, via the power supply / cutoff unit. A monitoring device that shuts off power supply to the controlled device and restores the control program stored in the flash ROM by writing the backup program stored in the backup program storage unit to the flash ROM. A telephone characterized by having Child equipment.
に格納されている制御プログラムのチェックサム値を求
め、求めたチェックサム値を監視装置へ供給することを
予め設定した期間内に実行することを繰り返し、 前記監視装置は、前記監視装置から前記予め設定した期
間内に前記チェックサム値が供給されないこと、ならび
に、前記監視装置から供給されたチェックサム値が変化
したことに基づいて前記フラッシュROMに格納されて
いる制御プログラムに異常があると判断することを特徴
とする請求項3記載の電子機器。4. The flash ROM according to claim 1, wherein
The checksum value of the control program stored in the storage device is obtained, and the supply of the obtained checksum value to the monitoring device is repeatedly executed within a preset period. It is determined that there is an abnormality in the control program stored in the flash ROM based on the fact that the checksum value is not supplied within the set period and the change of the checksum value supplied from the monitoring device. The electronic device according to claim 3, wherein:
に格納されている制御プログラムと前記バックアッププ
ログラム格納部に格納されているバックアッププログラ
ムとを照合することで、前記フラッシュROMに格納さ
れている制御プログラムの異常を検出することを特徴と
する請求項3記載の電子機器。5. The monitoring device according to claim 1, wherein the monitoring device is a flash ROM.
4. An abnormality of the control program stored in the flash ROM is detected by comparing a control program stored in the flash program with a backup program stored in the backup program storage unit. Electronic device as described.
プログラムに異常があることを検出する制御プログラム
監視手段と、制御プログラムに異常があることが検出さ
れた際に前記制御プログラムに基づいて制御される制御
対象装置に対する電源供給を遮断させる電源遮断手段と
をコンピュータに実行させるためのROMデータ監視プ
ログラムをコンピュータが読み取り可能な記録媒体に記
録したことを特徴とするROMデータ監視プログラムを
記録した記録媒体。6. A control program monitoring means for detecting an abnormality in a control program stored in a flash ROM, and controlling based on the control program when an abnormality is detected in the control program. A recording medium storing a ROM data monitoring program, wherein a ROM data monitoring program for causing a computer to execute a power shutoff means for interrupting power supply to a control target device is recorded on a computer readable recording medium.
プログラムに異常があることを検出する制御プログラム
監視手段と、制御プログラムに異常があることが検出さ
れた際に前記制御プログラムに基づいて制御される制御
対象装置に対する電源供給を遮断させる電源遮断手段
と、EEPROMにバックアップされている制御プログ
ラムを前記フラッシュROMに書き込むことで前記制御
プログラムの復旧を図る制御プログラム復旧手段とをコ
ンピュータに実行させるためのROMデータ監視プログ
ラムをコンピュータが読み取り可能な記録媒体に記録し
たことを特徴とするROMデータ監視プログラムを記録
した記録媒体。7. A control program monitoring means for detecting an abnormality in a control program stored in a flash ROM, and controlling based on the control program when an abnormality is detected in the control program. ROM for causing a computer to execute a power cutoff unit for cutting off power supply to a control target device, and a control program restoring unit for restoring the control program by writing a control program backed up in an EEPROM to the flash ROM. A recording medium storing a ROM data monitoring program, wherein the data monitoring program is recorded on a computer-readable recording medium.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10336173A JP2000163274A (en) | 1998-11-26 | 1998-11-26 | Electronic equipment and recording medium with rom data monitoring program recorded thereon |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10336173A JP2000163274A (en) | 1998-11-26 | 1998-11-26 | Electronic equipment and recording medium with rom data monitoring program recorded thereon |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2000163274A true JP2000163274A (en) | 2000-06-16 |
Family
ID=18296428
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP10336173A Pending JP2000163274A (en) | 1998-11-26 | 1998-11-26 | Electronic equipment and recording medium with rom data monitoring program recorded thereon |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2000163274A (en) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6996463B2 (en) | 2002-03-07 | 2006-02-07 | Denso Corporation | Vehicle electronic control apparatus incorporating a plurality of microcomputers and implementing a microcomputer monitoring function |
| JP2016038599A (en) * | 2014-08-05 | 2016-03-22 | ルネサスエレクトロニクス株式会社 | Micro computer and micro computer system |
| JP2016159672A (en) * | 2015-02-27 | 2016-09-05 | 日立オートモティブシステムズ株式会社 | Mutual monitoring module for vehicle |
| JP2018018200A (en) * | 2016-07-26 | 2018-02-01 | Necプラットフォームズ株式会社 | Power supply device and method for controlling power source |
-
1998
- 1998-11-26 JP JP10336173A patent/JP2000163274A/en active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6996463B2 (en) | 2002-03-07 | 2006-02-07 | Denso Corporation | Vehicle electronic control apparatus incorporating a plurality of microcomputers and implementing a microcomputer monitoring function |
| JP2016038599A (en) * | 2014-08-05 | 2016-03-22 | ルネサスエレクトロニクス株式会社 | Micro computer and micro computer system |
| JP2016159672A (en) * | 2015-02-27 | 2016-09-05 | 日立オートモティブシステムズ株式会社 | Mutual monitoring module for vehicle |
| JP2018018200A (en) * | 2016-07-26 | 2018-02-01 | Necプラットフォームズ株式会社 | Power supply device and method for controlling power source |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3626741B2 (en) | Data transfer system | |
| WO2012000328A1 (en) | Multimedia terminal device and maintenance method thereof | |
| JP5041290B2 (en) | PROGRAMMABLE CONTROLLER AND ITS ERROR RECOVERY METHOD | |
| JP2000163274A (en) | Electronic equipment and recording medium with rom data monitoring program recorded thereon | |
| JPH08178976A (en) | Power breakage detector | |
| JPH10307635A (en) | Computer system and temperature monitoring method applied to the same system | |
| JP4708088B2 (en) | Failure recovery method and microcomputer | |
| JP2004054616A (en) | Information processor with function to automatically restore firmware | |
| JP2000059981A (en) | Digital protective relay device | |
| JP2009025967A (en) | Backup system of duplicated firmware, method and operating system | |
| JPH11328045A (en) | Initialization control system for dram device with battery backup function | |
| JP3785844B2 (en) | Programmable controller and activation method thereof | |
| JP3087650B2 (en) | Automatic power recovery method | |
| JP3950453B2 (en) | Control method of control device and control device | |
| JP2011198224A (en) | Information processing apparatus and monitoring apparatus system | |
| JP2006079229A (en) | Method and device for maintaining data integrity for flash memory microcomputer | |
| JP3451489B2 (en) | RAM content destruction handling method and programmable controller | |
| JP3006589B2 (en) | Operation monitoring unit | |
| JPH1125007A (en) | Method for storing/recovering backup data | |
| JPS62281781A (en) | Monitoring method for accident information | |
| CN116820605A (en) | Baseboard management controller safety starting method, device, equipment and storage medium | |
| JP4834421B2 (en) | Network equipment | |
| JP2000172575A (en) | Memory backup system | |
| CN118550386A (en) | Management system supporting platform firmware recovery and firmware recovery method thereof | |
| JPH09198334A (en) | Fault managing method for data transmission system |