JP2013187715A - クロック監視装置 - Google Patents
クロック監視装置 Download PDFInfo
- Publication number
- JP2013187715A JP2013187715A JP2012050997A JP2012050997A JP2013187715A JP 2013187715 A JP2013187715 A JP 2013187715A JP 2012050997 A JP2012050997 A JP 2012050997A JP 2012050997 A JP2012050997 A JP 2012050997A JP 2013187715 A JP2013187715 A JP 2013187715A
- Authority
- JP
- Japan
- Prior art keywords
- clock signal
- clock
- monitoring
- chip
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】クロック異常を適切に検出することができるクロック監視装置を提供する。
【解決手段】ASIC1内には、ASICクロック信号CLK1を生成する発振子11と、MCUクロック信号CLK2の異常を監視するMCUクロック監視部13とを設ける。MCU2内には、MCUクロック信号CLK2を生成する発振子21と、ASICクロック信号CLK1の異常を監視するASICクロック監視部23とを設ける。このように、クロック監視機能を外部の独立なチップで実行し、ECU内部クロックの相互監視を可能とする。
【選択図】 図1
【解決手段】ASIC1内には、ASICクロック信号CLK1を生成する発振子11と、MCUクロック信号CLK2の異常を監視するMCUクロック監視部13とを設ける。MCU2内には、MCUクロック信号CLK2を生成する発振子21と、ASICクロック信号CLK1の異常を監視するASICクロック監視部23とを設ける。このように、クロック監視機能を外部の独立なチップで実行し、ECU内部クロックの相互監視を可能とする。
【選択図】 図1
Description
本発明は、ECU等の内部クロックの異常を監視するクロック監視装置に関する。
従来のクロック診断方法としては、例えば特許文献1,2に記載の方法がある。これらの方法は、メインクロックの監視用にサブクロックを設け、メインクロックとサブクロックとの比較によりメインクロックの異常を監視するものである。
ここで、特許文献1に記載の方法では、メインクロック異常が検出された場合に、メインクロックからサブクロックに切り替えるようにしている。
特許文献2に記載の方法では、メインクロック信号に基づいてサブクロック信号の発振周波数を補正し、サブクロック信号に基づいてメインクロック信号の発振状態を監視している。
ここで、特許文献1に記載の方法では、メインクロック異常が検出された場合に、メインクロックからサブクロックに切り替えるようにしている。
特許文献2に記載の方法では、メインクロック信号に基づいてサブクロック信号の発振周波数を補正し、サブクロック信号に基づいてメインクロック信号の発振状態を監視している。
しかしながら、上記特許文献1に記載の技術にあっては、サブクロックが常に正常であることが前提となる。すなわち、サブクロック自体が異常となると、異常誤検出が発生し、正常なメインクロックを異常なサブクロックに切り替えてしまうといった問題が生じる。
また、上記特許文献2に記載の技術にあっては、サブクロック精度を向上するために補正機能が追加される一方、補正機能の追加により監視機能は限定されている。ここでは、メインクロックの周期がサブクロックの周期よりも低いという異常モードしか検出できない。
さらに、これらの技術では、クロック異常監視機能の独立性を考慮していないので、監視機能が発振機能と同じ共通要因に影響され、監視機能喪失、異常誤検出となるおそれがある。
そこで、本発明は、クロック異常を適切に検出することができるクロック監視装置を提供することを課題としている。
また、上記特許文献2に記載の技術にあっては、サブクロック精度を向上するために補正機能が追加される一方、補正機能の追加により監視機能は限定されている。ここでは、メインクロックの周期がサブクロックの周期よりも低いという異常モードしか検出できない。
さらに、これらの技術では、クロック異常監視機能の独立性を考慮していないので、監視機能が発振機能と同じ共通要因に影響され、監視機能喪失、異常誤検出となるおそれがある。
そこで、本発明は、クロック異常を適切に検出することができるクロック監視装置を提供することを課題としている。
上記課題を解決するために、本発明に係るクロック監視装置は、第1チップに搭載され、該第1チップの動作クロック信号として第1クロック信号を生成する第1発振部と、前記第1チップとは物理的な独立性を有する第2チップに搭載され、該第2チップの動作クロック信号として第2クロック信号を生成する第2発振部と、前記第2チップに搭載され、前記第1発振部で生成した第1クロック信号を監視対象クロック信号として、当該監視対象クロック信号の異常を前記第2チップの動作クロック信号を用いて監視する第1クロック監視部と、前記第1チップに搭載され、前記第2発振部で生成した第2クロック信号を監視対象クロック信号として、当該監視対象クロック信号の異常を前記第1チップの動作クロック信号を用いて監視する第2クロック監視部と、を備えることを特徴としている。
このように、2つの内部クロックを相互に監視するため、何れか一方に異常が発生した場合には、適切にその異常を検出することができる。また、内部クロックの異常を監視する監視機能を、外部の独立なチップで実行するため、監視機能が監視対象のクロックを生成する発振部と共通の要因に影響されるのを抑制することができる。したがって、監視対象のクロックを生成している発振部と監視機能とを一体的に設計する場合と比較して、監視機能喪失や異常誤検出を抑制することができる。
また、上記において、前記第1クロック監視部及び前記第2クロック監視部の何れか一方で監視対象クロック信号の異常を検出したとき、異常が検出されたクロック信号を動作クロック信号としているチップにおいて、当該動作クロック信号を、前記第1クロック信号及び前記第2クロック信号のうち異常が非検出である正常クロック信号に切り替え、バックアップ状態とする動作クロック切替部を備えることを特徴としている。
これにより、第1クロック信号及び第2クロック信号の何れか一方が異常であると診断された場合、異常側では自らの内部クロックを相手の正常クロックに切り替えることができる。このように、自らの内部クロックが異常となっても、相手側の内部クロックが正常である場合には元機能を維持することができる。
これにより、第1クロック信号及び第2クロック信号の何れか一方が異常であると診断された場合、異常側では自らの内部クロックを相手の正常クロックに切り替えることができる。このように、自らの内部クロックが異常となっても、相手側の内部クロックが正常である場合には元機能を維持することができる。
さらに、上記において、前記第1チップ及び前記第2チップとは物理的な独立性を有し、第3クロック信号を生成する第3発振部を備え、前記第1クロック監視部及び前記第2クロック監視部は、前記第3クロック信号に基づいて設定された所定期間内における自身の監視対象クロック信号のパルス数をカウントする第1パルスカウンタと、前記所定期間おける自身が搭載されたチップの動作クロック信号のパルス数をカウントする第2パルスカウンタと、前記第1パルスカウンタでカウントしたパルス数と前記第2パルスカウンタでカウントしたパルス数とに基づいて、自身の監視対象クロック信号、自身が搭載されたチップの動作クロック信号及び前記第3クロック信号のうち、異常が発生しているクロック信号を判定する異常判定部と、をそれぞれ備えることを特徴としている。
このように、クロック異常の監視に際し、外部の独立性を持つ第3クロック信号を用いて第1クロック信号及び第2クロック信号の正常/異常の判断を行う。そのため、異常発生時には、これら上記の判断結果を踏まえて異常元を特定することができる。したがって、適切にバックアップ状態とすることができる。
また、上記において、前記動作クロック切替部によるバックアップ状態では、前記第1クロック監視部及び前記第2クロック監視部の何れか一方は、前記第1パルスカウンタでカウントしたパルス数に基づいて、前記正常クロック信号の監視を継続することを特徴としている。
このように、第1クロック信号及び第2クロック信号の何れか一方がクロック異常となっても、第3クロック信号を用いて残りの正常クロックの監視を継続することができる。したがって、クロック切り替え後のバックアップ状態における残り正常クロックの信頼性を確保することができる。
このように、第1クロック信号及び第2クロック信号の何れか一方がクロック異常となっても、第3クロック信号を用いて残りの正常クロックの監視を継続することができる。したがって、クロック切り替え後のバックアップ状態における残り正常クロックの信頼性を確保することができる。
さらにまた、上記において、前記動作クロック切替部によるバックアップ状態で、前記第1クロック監視部及び前記第2クロック監視部の何れか一方で前記正常クロック信号の異常を検出したとき、前記第1チップ及び前記第2チップの作動を停止する作動停止部を備えることを特徴としている。
このように、第1クロック信号及び第2クロック信号が共に異常となった場合や、第3クロック信号が異常となって第1クロック信号及び第2クロック信号が共に異常であると診断された場合には、第1チップ及び第2チップの動作を停止してフェイルセーフ状態とすることができる。
このように、第1クロック信号及び第2クロック信号が共に異常となった場合や、第3クロック信号が異常となって第1クロック信号及び第2クロック信号が共に異常であると診断された場合には、第1チップ及び第2チップの動作を停止してフェイルセーフ状態とすることができる。
また、上記において、前記第1チップはASICであり、前記第2チップはMCUであることを特徴としている。
これにより、ASICとMCUの内部クロックの異常を適切に監視することができ、ECUの動作の信頼性を向上させることができる。
これにより、ASICとMCUの内部クロックの異常を適切に監視することができ、ECUの動作の信頼性を向上させることができる。
本発明によれば、2つの内部クロックを相互に監視することができる。また、内部クロックの監視機能を外部の物理的に独立なチップで実行することが可能となる。したがって、監視対象と監視機能とを一体的に設計した場合と比較して、共通要因から受ける影響が少なく、異常誤検出を抑制することができる。
以下、本発明の実施の形態を図面に基づいて説明する。
図1は、本実施形態に係るクロック監視装置の概略構成を示す図である。
この図1に示すように、ECU100は、互いに物理的な独立性を有するASIC(Application Specific Integrated Circuit)1とMCU(Micro Controller Unit)2とを含んで構成されている。
ASIC1は、発振子11と、ASICクロック切替部12と、MCUクロック監視部13と、応用機能部14とを備える。また、MCU2は、発振部21と、MCUクロック切替部22と、ASICクロック監視部23と、応用機能部24とを備える。
図1は、本実施形態に係るクロック監視装置の概略構成を示す図である。
この図1に示すように、ECU100は、互いに物理的な独立性を有するASIC(Application Specific Integrated Circuit)1とMCU(Micro Controller Unit)2とを含んで構成されている。
ASIC1は、発振子11と、ASICクロック切替部12と、MCUクロック監視部13と、応用機能部14とを備える。また、MCU2は、発振部21と、MCUクロック切替部22と、ASICクロック監視部23と、応用機能部24とを備える。
さらに、ECU100は、ASIC1及びECU2とは物理的に独立性を持つ外部クロック信号CLK3を生成する発振子31を備える。
発振子11は、ASICクロック信号CLK1を生成し、発振子21は、MCUクロック信号CLK2を生成する。
ASICクロック切替部12は、通常は発振子11が生成するASICクロック信号CLK1を、ASIC1の動作の基準となるASIC動作クロック信号CLK1´として出力する。ASIC動作クロック信号CLK1´は、MCUクロック監視部13と応用機能部14とに対して出力される。このASICクロック切替部12は、後述するASICクロック監視部24からのクロック切替信号S2に基づいて、ASIC動作クロック信号CLK1´を、ASICクロック信号CLK1からMCUクロック信号CLK2へ切替可能となっている。
発振子11は、ASICクロック信号CLK1を生成し、発振子21は、MCUクロック信号CLK2を生成する。
ASICクロック切替部12は、通常は発振子11が生成するASICクロック信号CLK1を、ASIC1の動作の基準となるASIC動作クロック信号CLK1´として出力する。ASIC動作クロック信号CLK1´は、MCUクロック監視部13と応用機能部14とに対して出力される。このASICクロック切替部12は、後述するASICクロック監視部24からのクロック切替信号S2に基づいて、ASIC動作クロック信号CLK1´を、ASICクロック信号CLK1からMCUクロック信号CLK2へ切替可能となっている。
同様に、MCUクロック切替部22は、通常は、発振子21が生成するMCUクロック信号CLK2を、MCU2の動作の基準となるMCU動作クロック信号CLK2´として出力する。MCU動作クロック信号CLK2´は、ASICクロック監視部23と応用機能部24とに対して出力される。このMCUクロック切替部22は、後述するMCUクロック監視部13からのクロック切替信号S1に基づいて、MCU動作クロック信号CLK2´を、MCUクロック信号CLK2からASICクロック信号CLK1へ切替可能となっている。
MCUクロック監視部13は、ASICクロック切替部12が出力したASIC動作クロック信号CLK1´と、発振子21が生成したMCUクロック信号CLK2と、発振子31が生成した外部クロック信号CLK3とを入力する。そして、これら3つのクロック信号の異常を監視する。
MCUクロック監視部13は、ASICクロック切替部12が出力したASIC動作クロック信号CLK1´と、発振子21が生成したMCUクロック信号CLK2と、発振子31が生成した外部クロック信号CLK3とを入力する。そして、これら3つのクロック信号の異常を監視する。
図2は、MCUクロック監視部13のクロック監視機能の構成を示す図である。
MCUクロック監視部13は、分周器13aと、第1カウンタ13bと、第2カウンタ13cと、異常判定部13dとを備える。
分周器13aは、発振子31が生成した外部クロック信号CLK3を所定の分周比で分周し、分周後の外部クロック信号CLK3´を第1カウンタ13b及び第2カウンタ13cに出力する。
MCUクロック監視部13は、分周器13aと、第1カウンタ13bと、第2カウンタ13cと、異常判定部13dとを備える。
分周器13aは、発振子31が生成した外部クロック信号CLK3を所定の分周比で分周し、分周後の外部クロック信号CLK3´を第1カウンタ13b及び第2カウンタ13cに出力する。
第1カウンタ13bは、外部クロック信号CLK3´をカウンタの起動/終了を制御する信号として用い、監視対象であるMCUクロック信号CLK2のパルスをカウントする。
すなわち、図3に示すように、外部クロック信号CLK3´の立ち上がり時点T1で第1カウンタ13bがスタートし、MCUクロック信号CLK2のカウントを開始する。そして、外部クロック信号CLK3´の立ち下がり時点T2で第1カウンタ13bを停止し、MCUクロック信号CLK2のカウントを終了する。この図3に示す入力信号例では、第1カウンタ13bは、MCUクロック信号CLK2のパルス数=8をカウントすることになる。
すなわち、図3に示すように、外部クロック信号CLK3´の立ち上がり時点T1で第1カウンタ13bがスタートし、MCUクロック信号CLK2のカウントを開始する。そして、外部クロック信号CLK3´の立ち下がり時点T2で第1カウンタ13bを停止し、MCUクロック信号CLK2のカウントを終了する。この図3に示す入力信号例では、第1カウンタ13bは、MCUクロック信号CLK2のパルス数=8をカウントすることになる。
第2カウンタ13cは、上述した第1カウンタ13bと同様に、外部クロック信号CLK3´をカウンタの起動/終了を制御する信号として用い、ASIC動作クロック信号CLK1´のパルスをカウントする。すなわち、図3に示す入力信号例では、第2カウンタ13cは、ASIC動作クロック信号CLK1´のパルス数=8をカウントすることになる。
異常判定部13dは、第1カウンタ13bでカウントしたMCUクロック信号CLK2のパルス数と、第2カウンタ13cでカウントしたASIC動作クロック信号CLK1´のパルス数とを踏まえて、クロック異常が発生しているかを判定する。このとき、異常発生していると判定した場合には、異常元を判定する。
この異常判定部13dでは、第1カウンタ13b及び第2カウンタ13cから受けたパルス数を、それぞれデフォルト値と比較し、予め設定した正常値範囲を超えたクロック信号を異常と判定する。
さらに、この異常判定結果を踏まえて異常元を判定する。異常元判定ロジックを表1に示す。
この異常判定部13dでは、第1カウンタ13b及び第2カウンタ13cから受けたパルス数を、それぞれデフォルト値と比較し、予め設定した正常値範囲を超えたクロック信号を異常と判定する。
さらに、この異常判定結果を踏まえて異常元を判定する。異常元判定ロジックを表1に示す。
表1に示すように、異常判定部13dは、第1カウンタ13bでカウントしたMCUクロック信号CLK2のパルス数に基づいて、MCUクロック信号CLK2が正常(MCUクロック信号=正常)であると判定し、第2カウンタ13cでカウントしたASIC動作クロック信号CLK1´のパルス数に基づいて、ASIC動作クロック信号CLK1´が異常(ASICクロック信号=異常)であると判定した場合は、異常元がASICクロック信号、即ち発振子11であると判断する。
一方、異常判定部13dは、MCUクロック信号CLK2が異常(MCUクロック信号=異常)で、ASIC動作クロック信号CLK1´が正常(ASICクロック信号=正常)であると判定した場合は、異常元がMCUクロック信号、即ち発振子21であると判断する。
また、異常判定部13dは、MCUクロック信号CLK2とASIC動作クロック信号CLK1´とが共に異常(MCUクロック信号=異常、ASICクロック信号=異常)であると判定した場合は、異常元が外部クロック信号、即ち発振子31であると判断する。
また、異常判定部13dは、MCUクロック信号CLK2とASIC動作クロック信号CLK1´とが共に異常(MCUクロック信号=異常、ASICクロック信号=異常)であると判定した場合は、異常元が外部クロック信号、即ち発振子31であると判断する。
そして、異常判定部13dは、MCUクロック信号CLK2とASIC動作クロック信号CLK1´とが共に正常(MCUクロック信号=正常、ASICクロック信号=正常)であると判定した場合は、異常元は無いと判断する。
このように、ASICクロック信号の正常/異常の判定結果と、MCUクロック信号の正常/異常の判定結果とのパターンに対して上記表1の異常元判定ロジックを参照すれば、異常元を特定することができる。
なお、上記表1に示す異常元判定ロジックは、複数クロックが同時に異常とはならないことを前提としている。複数クロック同時異常の発生率は、単一異常発生と比較して桁違いであるため、当該判定ロジックを用いて十分運用可能である。
このように、ASICクロック信号の正常/異常の判定結果と、MCUクロック信号の正常/異常の判定結果とのパターンに対して上記表1の異常元判定ロジックを参照すれば、異常元を特定することができる。
なお、上記表1に示す異常元判定ロジックは、複数クロックが同時に異常とはならないことを前提としている。複数クロック同時異常の発生率は、単一異常発生と比較して桁違いであるため、当該判定ロジックを用いて十分運用可能である。
異常判定部13dは、異常元が相手のクロック信号(監視対象であるMCUクロック信号CLK2)であると判定した場合に、クロック切替信号S1をMCUクロック切替部22に出力する。これにより、MCUクロック切替部22は、MCU動作クロック信号CLK2´を、異常が発生しているMCUクロック信号CLK2から、正常なASICクロック信号CLK1へ切り替えて出力するバックアップ状態とする。
同様に、ASICクロック監視部23は、MCUクロック切替部22が出力したMCU動作クロック信号CLK2´と、発振子11が生成したASICクロック信号CLK1と、発振子31が生成した外部クロック信号CLK3とを入力する。そして、これら3つのクロック信号の異常を監視する。
このASICクロック監視部23も、図2に示すMCUクロック監視部13と同様に、外部クロック信号CLK3を分周した後の外部クロック信号CLK3´をカウンタの起動/終了を制御する信号に用い、MCU動作クロック信号CLK2´とASICクロック信号CLK1とのパルス数をそれぞれカウントする。そして、カウントしたパルス数をそれぞれデフォルト値と比較することで、クロック信号の異常を判定すると共に、その異常判定結果を踏まえて異常元を判定する。
このASICクロック監視部23も、図2に示すMCUクロック監視部13と同様に、外部クロック信号CLK3を分周した後の外部クロック信号CLK3´をカウンタの起動/終了を制御する信号に用い、MCU動作クロック信号CLK2´とASICクロック信号CLK1とのパルス数をそれぞれカウントする。そして、カウントしたパルス数をそれぞれデフォルト値と比較することで、クロック信号の異常を判定すると共に、その異常判定結果を踏まえて異常元を判定する。
このとき、異常元が相手のクロック信号(監視対象であるASICクロック信号CLK1)であると判定した場合には、クロック切替信号S2をASICクロック切替部12に出力する。これにより、ASICクロック切替部12は、ASIC動作クロック信号CLK1´を、異常が発生しているASICクロック信号CLK1から、正常なMCUクロック信号CLK2へ切り替えて出力するバックアップ状態とする。
ASIC1のバックアップ状態では、MCUクロック監視部13は、発振子21の異常診断を継続する。すなわち、外部クロック信号CLK3´を用いてカウントしたMCUクロック信号CLK2のパルス数と上述したデフォルト値との比較によって、MCUクロック信号CLK2の異常判定を行う。そして、このときMCUクロック信号CLK2の異常を検出したら、ECU停止信号FS1=1を出力する。
同様に、MCU2のバックアップ状態では、ASICクロック監視部23は、発振子11の異常診断を継続する。すなわち、外部クロック信号CLK3´を用いてカウントしたASICクロック信号CLK1のパルス数と上述したデフォルト値との比較によって、ASICクロック信号CLK1の異常判定を行う。そして、このときASICクロック信号CLK1の異常を検出したら、ECU停止信号FS2=1を出力する。
MCUクロック監視部13から出力されるECU停止信号FS1と、ASICクロック監視部23から出力されるECU停止信号FS2とは、図1に示すようにOR回路に入力される。また、OR回路の出力はECU停止制御部41に入力される。
ECU停止制御部41は、OR回路から“1”となる出力信号が入力されると、ECU100を停止するフェイルセーフ状態に移行する。すなわち、ECU停止信号FS1及びFS2の少なくとも一方が“1”であるときに、ECU100がフェイルセーフ状態となる。
ECU停止制御部41は、OR回路から“1”となる出力信号が入力されると、ECU100を停止するフェイルセーフ状態に移行する。すなわち、ECU停止信号FS1及びFS2の少なくとも一方が“1”であるときに、ECU100がフェイルセーフ状態となる。
また、応用機能部14は、ASICクロック切替部12が出力したAISC動作クロック信号CLK1´を入力し、ASIC1に関する各種処理を行う。同様に、応用機能部24は、MCUクロック切替部22が出力したMCU動作クロック信号CLK2´を入力し、MCU2に関する各種処理を行う。
なお、図1の発振子11が第1発振部に対応し、発振子21が第2発振部に対応し、ASICクロック監視部23が第1クロック監視部に対応し、MCUクロック監視部13が第2クロック監視部に対応している。また、ASICクロック切替部12及びMCUクロック切替部22が動作クロック切替部に対応している。さらに、発振子31が第3発振部に対応し、ECU停止制御部41が作動停止部に対応している。
また、図2の第1カウンタ13bが第1パルスカウンタに対応し、第2カウンタ13cが第2パルスカウンタに対応している。
なお、図1の発振子11が第1発振部に対応し、発振子21が第2発振部に対応し、ASICクロック監視部23が第1クロック監視部に対応し、MCUクロック監視部13が第2クロック監視部に対応している。また、ASICクロック切替部12及びMCUクロック切替部22が動作クロック切替部に対応している。さらに、発振子31が第3発振部に対応し、ECU停止制御部41が作動停止部に対応している。
また、図2の第1カウンタ13bが第1パルスカウンタに対応し、第2カウンタ13cが第2パルスカウンタに対応している。
次に、本実施形態の動作について詳細に説明する。
初期状態では、ASIC動作クロック信号CLK1´は、発振子11が生成したASICクロック信号CLK1であり、MCU動作クロック信号CLK2´は、発振子21が生成したMCUクロック信号CLK2である。このとき、ASICクロック信号CLK1は、MCU2に設けられたASICクロック監視部23によって異常が監視され、MCUクロック信号CLK2は、ASIC1に設けられたMCUクロック監視部13によって異常が監視される。
初期状態では、ASIC動作クロック信号CLK1´は、発振子11が生成したASICクロック信号CLK1であり、MCU動作クロック信号CLK2´は、発振子21が生成したMCUクロック信号CLK2である。このとき、ASICクロック信号CLK1は、MCU2に設けられたASICクロック監視部23によって異常が監視され、MCUクロック信号CLK2は、ASIC1に設けられたMCUクロック監視部13によって異常が監視される。
このように、ASIC1とMCU2との両方に、それぞれクロック異常を監視する監視機能を設け、ASIC1の内部クロックをMCU2の監視機能によって監視し、MCU2の内部クロックをASIC1の監視機能によって監視する。すなわち、ASIC1の内部クロックとMCU2の内部クロックの相互監視を行う。
仮に、内部クロックを自らの監視機能によって監視した場合、監視機能が内部クロックの発振機能と同じ要因に影響され、監視機能が喪失したり、異常誤検出となったりするおそれがあるが、本実施形態では、監視機能が外部の物理的に独立なチップで実行されるため、上記のような共通要因から受ける影響が少ない。そのため、監視機能の喪失や異常誤検出を抑制することができる。
仮に、内部クロックを自らの監視機能によって監視した場合、監視機能が内部クロックの発振機能と同じ要因に影響され、監視機能が喪失したり、異常誤検出となったりするおそれがあるが、本実施形態では、監視機能が外部の物理的に独立なチップで実行されるため、上記のような共通要因から受ける影響が少ない。そのため、監視機能の喪失や異常誤検出を抑制することができる。
発振子11,21,31が何れも正常に動作している場合、発振子31が生成した外部クロック信号CLK3を用いてカウントしたASICクロック信号CLK1及びMCUクロック信号CLK2のパルス数は、それぞれ正常値範囲内となる。そのため、MCUクロック監視部13及びASICクロック監視部23は、それぞれASICクロック信号CLK1及びMCUクロック信号CLK2が正常であると判定し、上記表1に示す異常元判定ロジックに基づいて、異常元は無いと判定する。
したがって、ASICクロック切替部12は、そのまま発振子11が生成したASICクロック信号CLK1をASIC動作クロック信号CLK1´として出力する。また、MCUクロック切替部22も、そのまま発振子21が生成したMCUクロック信号CLK2をMCU動作クロック信号CLK2´として出力する。
したがって、ASICクロック切替部12は、そのまま発振子11が生成したASICクロック信号CLK1をASIC動作クロック信号CLK1´として出力する。また、MCUクロック切替部22も、そのまま発振子21が生成したMCUクロック信号CLK2をMCU動作クロック信号CLK2´として出力する。
この正常状態から、例えば発振子21のみに異常が発生すると、発振子31が生成した外部クロック信号CLK3を用いてカウントしたMCUクロック信号CLK2のパルス数が、正常値範囲外となる。この場合、MCUクロック監視部13及びASICクロック監視部23は、それぞれASICクロック信号CLK1が正常であり、MCUクロック信号CLK2が異常であると判定する。そのため、上記表1に示す異常元判定ロジックに基づいて、異常元が発振子21であると判定する。
このように、クロック異常の監視を、単純にASICクロック信号CLK1とMCUクロック信号CLK2との比較により行うのではなく、外部クロック信号CLK3を用いた比較を用いるため、ASICクロック信号CLK1及びMCUクロック信号CLK2の何れか一方が異常となった場合には、どちらで異常が発生しているかを適切に判定することができる。
異常元が発振子21であると判定すると、MCUクロック信号CLK2を監視対象としているMCUクロック監視部13は、クロック切替信号S1をMCUクロック切替部22に対して出力する。これにより、MCUクロック切替部22は、MCU動作クロック信号CLK2´を、異常が発生しているMCUクロック信号CLK2から正常なASICクロック信号CLK1に切り替える。すなわち、MCU2は、このASICクロック信号CLK1を動作クロックとして代用するバックアップ状態となり、元機能を継続することができる。
このMCU2のバックアップ状態では、ASICクロック監視部23は、発振子31が生成した外部クロック信号CLK3を用いてASICクロック信号CLK1を監視し続ける。すなわち、外部クロック信号CLK3を用いてカウントしたASICクロック信号CLK1のパルス数が正常値範囲内であるか否かを判定することで、ASICクロック信号CLK1が正常であるか否かを判断する。
このように、本実施形態では、クロック異常の監視を、単純にASICクロック信号CLK1とMCUクロック信号CLK2との比較により行うのではなく、外部クロック信号CLK3を用いた比較を用いるため、ASICクロック信号CLK1及びMCUクロック信号CLK2の何れか一方が異常となった場合でも、残りの正常クロックの監視を継続させることができる。したがって、この状態からASICクロック信号CLK1にも異常が発生すると、ASICクロック監視部23でこれを適切に検出することができる。
MCU2のバックアップ状態で、ASICクロック監視部23がASICクロック信号CLK1の異常を検出すると、当該ASICクロック監視部23はECU停止信号FS2=1を出力する。すると、ECU停止制御部41は、これを受けてECU100を停止する。このように、ECU100をフェイルセーフ状態に遷移させることができる。
MCU2のバックアップ状態で、ASICクロック監視部23がASICクロック信号CLK1の異常を検出すると、当該ASICクロック監視部23はECU停止信号FS2=1を出力する。すると、ECU停止制御部41は、これを受けてECU100を停止する。このように、ECU100をフェイルセーフ状態に遷移させることができる。
以上のように、本実施形態では、ASICとMCUの両方がクロック監視機能を持ち、相互に内部クロックを監視する。したがって、監視機能が内部クロックの発振機能と同じ要因に影響されるのを抑制することができる。その結果、監視機能の喪失や異常誤検出を抑制することができる。
また、クロック異常の監視に際し、ASICやMCUとは物理的な独立性を持つ第3の発振子を設け、その第3の発振子が生成した外部クロック信号を参照するため、クロック異常が発生した場合には、その異常が自らのクロック異常であるのか相手のクロック異常であるのかを判定することができる。
そのため、ASICとMCUとのうち、どちらか一方の内部クロックが異常であると診断された場合、異常側にクロック切替指示を出すことで、クロック切替指示の受け側は自らのクロックを内部クロックから外部の正常クロックに切り替えることができる。このように、ASICやMCUは、自らの内部クロックに異常が発生しても、相手のクロックを利用して元機能を維持するバックアップ状態とすることができる。このように、クロック異常の発生元を適切に特定することができるので、信頼性の高いバックアップ機能を実現することができる。
そのため、ASICとMCUとのうち、どちらか一方の内部クロックが異常であると診断された場合、異常側にクロック切替指示を出すことで、クロック切替指示の受け側は自らのクロックを内部クロックから外部の正常クロックに切り替えることができる。このように、ASICやMCUは、自らの内部クロックに異常が発生しても、相手のクロックを利用して元機能を維持するバックアップ状態とすることができる。このように、クロック異常の発生元を適切に特定することができるので、信頼性の高いバックアップ機能を実現することができる。
また、ASICとMCUとの何れか一方の内部クロックが異常となっても、バックアップ状態で、残り正常クロックの監視を継続することができる。そして、残り正常クロックの異常を検出した場合には、ECUの動作を停止するフェイルセーフ状態とすることができる。
1…ASIC、11…発振子(第1発振部)、12…ASICクロック切替部(動作クロック切替部)、13…MCUクロック監視部(第2クロック監視部)、13a…分周器、13b…第1カウンタ(第1パルスカウンタ)、13c…第2カウンタ(第2パルスカウンタ)、13d…異常判定部、14…応用機能部、21…発振子(第2発振部)、22…MCUクロック切替部(動作クロック切替部)、23…ASICクロック監視部(第1クロック監視部)、24…応用機能部、31…発振子(第3発振部)、41…ECU停止制御部(作動停止部)、CLK1…ASICクロック信号(第1クロック信号)、CLK2…MCUクロック信号(第2クロック信号)、CLK3…外部クロック信号(第3クロック信号)、S1,S2…クロック切替信号、100…ECU
Claims (6)
- 第1チップに搭載され、該第1チップの動作クロック信号として第1クロック信号を生成する第1発振部と、
前記第1チップとは物理的な独立性を有する第2チップに搭載され、該第2チップの動作クロック信号として第2クロック信号を生成する第2発振部と、
前記第2チップに搭載され、前記第1発振部で生成した第1クロック信号を監視対象クロック信号として、当該監視対象クロック信号の異常を前記第2チップの動作クロック信号を用いて監視する第1クロック監視部と、
前記第1チップに搭載され、前記第2発振部で生成した第2クロック信号を監視対象クロック信号として、当該監視対象クロック信号の異常を前記第1チップの動作クロック信号を用いて監視する第2クロック監視部と、を備えることを特徴とするクロック監視装置。 - 前記第1クロック監視部及び前記第2クロック監視部の何れか一方で監視対象クロック信号の異常を検出したとき、
異常が検出されたクロック信号を動作クロック信号としているチップにおいて、当該動作クロック信号を、前記第1クロック信号及び前記第2クロック信号のうち異常が非検出である正常クロック信号に切り替え、バックアップ状態とする動作クロック切替部を備えることを特徴とする請求項1に記載のクロック監視装置。 - 前記第1チップ及び前記第2チップとは物理的な独立性を有し、第3クロック信号を生成する第3発振部を備え、
前記第1クロック監視部及び前記第2クロック監視部は、
前記第3クロック信号に基づいて設定された所定期間内における自身の監視対象クロック信号のパルス数をカウントする第1パルスカウンタと、
前記所定期間おける自身が搭載されたチップの動作クロック信号のパルス数をカウントする第2パルスカウンタと、
前記第1パルスカウンタでカウントしたパルス数と前記第2パルスカウンタでカウントしたパルス数とに基づいて、自身の監視対象クロック信号、自身が搭載されたチップの動作クロック信号及び前記第3クロック信号のうち、異常が発生しているクロック信号を判定する異常判定部と、をそれぞれ備えることを特徴とする請求項2に記載のクロック監視装置。 - 前記動作クロック切替部によるバックアップ状態では、
前記第1クロック監視部及び前記第2クロック監視部の何れか一方は、前記第1パルスカウンタでカウントしたパルス数に基づいて、前記正常クロック信号の監視を継続することを特徴とする請求項3に記載のクロック監視装置。 - 前記動作クロック切替部によるバックアップ状態で、前記第1クロック監視部及び前記第2クロック監視部の何れか一方で前記正常クロック信号の異常を検出したとき、前記第1チップ及び前記第2チップの作動を停止する作動停止部を備えることを特徴とする請求項4に記載のクロック監視装置。
- 前記第1チップはASICであり、前記第2チップはMCUであることを特徴とする請求項1〜5の何れか1項に記載のクロック監視装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012050997A JP2013187715A (ja) | 2012-03-07 | 2012-03-07 | クロック監視装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012050997A JP2013187715A (ja) | 2012-03-07 | 2012-03-07 | クロック監視装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2013187715A true JP2013187715A (ja) | 2013-09-19 |
Family
ID=49388792
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012050997A Pending JP2013187715A (ja) | 2012-03-07 | 2012-03-07 | クロック監視装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2013187715A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20180130475A (ko) * | 2018-11-29 | 2018-12-07 | 현대오트론 주식회사 | 마이크로컨트롤러 유닛 감시 장치 및 방법 |
-
2012
- 2012-03-07 JP JP2012050997A patent/JP2013187715A/ja active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20180130475A (ko) * | 2018-11-29 | 2018-12-07 | 현대오트론 주식회사 | 마이크로컨트롤러 유닛 감시 장치 및 방법 |
| KR101937407B1 (ko) | 2018-11-29 | 2019-04-09 | 현대오트론 주식회사 | 마이크로컨트롤러 유닛 감시 장치 및 방법 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2009031060A2 (en) | Clock supervision unit | |
| JP2012022364A (ja) | 半導体装置 | |
| JP2007293682A (ja) | クロック異常検出回路、及びクロック異常検出方法 | |
| CN110690894A (zh) | 一种时钟失效安全保护方法及电路 | |
| EP1237282B1 (en) | Circuit for the detection of clock signal period abnormalities | |
| JP2013175056A (ja) | 発振回路、集積回路、及び異常検出方法 | |
| US8525597B2 (en) | Clock frequency overshoot detection circuit | |
| WO2010004684A1 (ja) | 半導体集積回路 | |
| JP4825699B2 (ja) | フェールセーフcpu動作監視装置 | |
| JP2013187715A (ja) | クロック監視装置 | |
| JP2014102662A (ja) | マイクロコンピュータ暴走監視装置 | |
| JPH1131022A (ja) | クロック冗長化方式 | |
| JP4819707B2 (ja) | 冗長演算システムよび演算部 | |
| RU2460121C1 (ru) | Резервированная двухпроцессорная вычислительная система | |
| JP2013077921A (ja) | クロック診断回路 | |
| JP2013156732A (ja) | エレベータの制御装置及び制御方法 | |
| US8335277B2 (en) | Method and apparatus for checking asynchronous transmission of control signals | |
| JP6722055B2 (ja) | 処理同期制御システム及び処理同期制御方法 | |
| JP5171379B2 (ja) | 周波数異常検出回路 | |
| RU2580791C2 (ru) | Устройство для мажоритарного выбора сигналов (3 варианта) | |
| JP4909507B2 (ja) | パルス入力回路の診断方法及び診断装置 | |
| JP2013201619A (ja) | クロック故障検出装置及びクロック故障検出方法 | |
| JP2015197729A (ja) | マイクロプロセッサの異常診断方法 | |
| JPS62293170A (ja) | サイリスタバルブ故障診断装置の多数決判断方式 | |
| JP4193803B2 (ja) | データ入力装置 |