JP2019212124A - Electronic control device - Google Patents

Electronic control device Download PDF

Info

Publication number
JP2019212124A
JP2019212124A JP2018108925A JP2018108925A JP2019212124A JP 2019212124 A JP2019212124 A JP 2019212124A JP 2018108925 A JP2018108925 A JP 2018108925A JP 2018108925 A JP2018108925 A JP 2018108925A JP 2019212124 A JP2019212124 A JP 2019212124A
Authority
JP
Japan
Prior art keywords
instruction
core
program
electronic control
control device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018108925A
Other languages
Japanese (ja)
Other versions
JP7091853B2 (en
Inventor
英治 松岡
Eiji Matsuoka
英治 松岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2018108925A priority Critical patent/JP7091853B2/en
Priority to DE102019208129.0A priority patent/DE102019208129B4/en
Publication of JP2019212124A publication Critical patent/JP2019212124A/en
Application granted granted Critical
Publication of JP7091853B2 publication Critical patent/JP7091853B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/2205Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested
    • G06F11/2215Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested to test error correction or detection circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/004Error avoidance

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Retry When Errors Occur (AREA)
  • Debugging And Monitoring (AREA)

Abstract

To provide an electronic control device that prevents interruptions for implementing exceptional processing from being repeated, while restricting degradation in processing performance.SOLUTION: An electronic control device accesses RAM and ROM as a resource when a first core executes a command of a program. When an error in accessing the resource occurs, the first core generates an interruption for implementing exceptional processing that is processing at the time of error occurrence. Further, the first core sets a return position (S25), in a period from the occurrence of interruption before returning to putting the command of the interrupted program into effect. This return position is a position for returning to putting the command of the interrupted program into effect, and is a position of a command to be executed after the command at the time of error occurrence in the program.SELECTED DRAWING: Figure 4

Description

本開示は、電子制御装置に関する。   The present disclosure relates to an electronic control device.

従来、特許文献1に開示された車両用制御装置は、電気的に消去及び書き込みが可能な不揮発性メモリを備え、起動時に、不揮発性メモリから読み出した更新データの誤り検出を行い、誤りを検出した場合に係るエラー情報を保存してからリセットを実施する。そして、車両用制御装置は、リセットによる再起動時に、異常が生じている更新データがあることをエラー情報に基づいて判断すると、誤り検出に先立って、更新データを固定値に上書きする。   Conventionally, the vehicle control device disclosed in Patent Document 1 includes an electrically erasable and writable nonvolatile memory, and detects errors in update data read from the nonvolatile memory at startup. If the error information related to this is saved, reset. Then, when the vehicle control device determines that there is update data in which an abnormality has occurred at the time of restart by resetting, it overwrites the update data with a fixed value prior to error detection.

特開2014−35730号公報JP 2014-35730 A

車両用制御装置は、上記のようにすることで、異常が生じている更新データが存在する状態で誤り検出が実施され、リセットと誤り検出とが繰り返されることを抑制できる。つまり、車両用制御装置は、誤りを検出した際の例外処理を実行するための割り込みが繰り返されることを抑制できる。しかしながら、車両用制御装置は、不揮発性メモリにおける異常が生じている更新データを固定値に上書きする。このため、車両用制御装置は、不揮発性メモリに固定値を上書きするのに時間を要し処理性能が劣化するという問題がある。   By doing as described above, the vehicle control device can suppress the occurrence of error detection in a state where there is update data in which an abnormality has occurred, and the repetition of reset and error detection. That is, the vehicle control device can suppress repeated interruption for executing exceptional processing when an error is detected. However, the vehicle control device overwrites the fixed value with the update data in which the abnormality occurs in the nonvolatile memory. For this reason, the vehicle control device has a problem that it takes time to overwrite the fixed value in the nonvolatile memory, and the processing performance deteriorates.

本開示は、上記問題点に鑑みなされたものであり、処理性能の劣化を抑制しつつ、例外処理を実行するための割り込みが繰り返されることを防止できる電子制御装置を提供することを目的とする。   The present disclosure has been made in view of the above-described problems, and an object thereof is to provide an electronic control device capable of preventing an interrupt for executing exception processing from being repeated while suppressing deterioration in processing performance. .

上記目的を達成するために本開示は、
プログラムの命令を実行することでリソースへアクセスするものであり、
リソースへのアクセスエラーが発生した際に、エラー発生時の処理である例外処理を実行するための割り込みを発生させる割込発生部(S20)と、
割り込みが発生してから、中断されたプログラムの命令の実効に戻る前までに実行されるものであり、プログラムにおけるエラー発生時の命令よりも後に実行される命令の位置を、中断したプログラムの命令の実効に戻る際の戻り位置として設定する位置設定部(S211、S211a、S211b、S25)と、を備えていることを特徴とする。 In order to achieve the above object, the present disclosure
The resource is accessed by executing the instructions of the program,
An interrupt generation unit (S20) for generating an interrupt for executing an exception process, which is a process at the time of occurrence of an error, when a resource access error occurs;
Executed before the execution of the interrupted program instruction after the interrupt is generated, and the position of the instruction executed after the error occurrence instruction in the program And a position setting unit (S211, S211a, S211b, S25) that is set as a return position when returning to the effective state.

このように、本開示は、戻り位置として、プログラムにおけるエラー発生時の命令よりも後に実行される命令の位置を設定するため、例外処理を実行するための割り込みが繰り返されることを防止できる。つまり、本開示は、エラーが発生した際に不揮発性記憶部に固定値を上書きすることなく、例外処理を実行するための割り込みが繰り返されることを防止できる。このため、本開示は、上書きに時間を要することで処理性能が劣化することを抑制できる。   As described above, the present disclosure sets the position of an instruction to be executed after the instruction at the time of error occurrence in the program as the return position, so that it is possible to prevent an interrupt for executing exception processing from being repeated. That is, the present disclosure can prevent an interrupt for executing exception processing from being repeated without overwriting a fixed value in the nonvolatile storage unit when an error occurs. For this reason, this indication can control that processing performance deteriorates because time is required for overwriting.

なお、特許請求の範囲、及びこの項に記載した括弧内の符号は、ひとつの態様として後述する実施形態に記載の具体的手段との対応関係を示すものであって、本開示の技術的範囲を限定するものではない。   The reference numerals in parentheses described in the claims and in this section indicate the correspondence with the specific means described in the embodiments described later as one aspect, and are within the technical scope of the present disclosure. It is not intended to limit.

第1実施形態における電子制御装置の概略構成を示すブロック図である。It is a block diagram which shows schematic structure of the electronic controller in 1st Embodiment. 第1実施形態におけるメモリの概略構成を示すイメージである。It is an image which shows schematic structure of the memory in 1st Embodiment. 第1実施形態における電子制御装置のメモリアクセス命令の実効処理を示すフローチャートである。It is a flowchart which shows the effective process of the memory access command of the electronic controller in 1st Embodiment. 第1実施形態における電子制御装置の例外割込処理を示すフローチャートである。It is a flowchart which shows the exception interruption process of the electronic controller in 1st Embodiment. 第1実施形態における電子制御装置の要因判定処理を示すフローチャートである。It is a flowchart which shows the factor determination process of the electronic controller in 1st Embodiment. 第1実施形態における電子制御装置の例外処理を示すフローチャートである。It is a flowchart which shows the exception process of the electronic control apparatus in 1st Embodiment. 第1実施形態における電子制御装置のバックアップの結果確認処理を示すフローチャートである。It is a flowchart which shows the backup result confirmation process of the electronic controller in 1st Embodiment. 第1実施形態における電子制御装置のバックアップのチェック処理を示すフローチャートである。It is a flowchart which shows the backup check process of the electronic control apparatus in 1st Embodiment. 第1実施形態における電子制御装置のデータコピー及び比較チェック処理を示すフローチャートである。It is a flowchart which shows the data copy and comparison check process of the electronic controller in 1st Embodiment. 第1実施形態における電子制御装置の処理動作を示すタイミングチャートである。It is a timing chart which shows processing operation of the electronic control unit in a 1st embodiment. 第2実施形態における電子制御装置の要因判定処理を示すフローチャートである。It is a flowchart which shows the factor determination process of the electronic controller in 2nd Embodiment. 第2実施形態における電子制御装置の例外処理を示すフローチャートである。It is a flowchart which shows the exception process of the electronic control apparatus in 2nd Embodiment. 第3実施形態における電子制御装置の要因判定処理を示すフローチャートである。It is a flowchart which shows the factor determination process of the electronic controller in 3rd Embodiment. 第3実施形態における電子制御装置の例外処理を示すフローチャートである。It is a flowchart which shows the exception process of the electronic control apparatus in 3rd Embodiment. 第4実施形態における電子制御装置の例外割込処理を示すフローチャートである。It is a flowchart which shows the exception interruption process of the electronic controller in 4th Embodiment.

以下において、図面を参照しながら、本開示を実施するための複数の形態を説明する。各形態において、先行する形態で説明した事項に対応する部分には同一の参照符号を付して重複する説明を省略する場合がある。各形態において、構成の一部のみを説明している場合は、構成の他の部分については先行して説明した他の形態を参照し適用することができる。   Hereinafter, a plurality of modes for carrying out the present disclosure will be described with reference to the drawings. In each embodiment, portions corresponding to the matters described in the preceding embodiment may be denoted by the same reference numerals and redundant description may be omitted. In each embodiment, when only a part of the configuration is described, the other configurations described above can be applied to other portions of the configuration.

(第1実施形態)
本実施形態では、一例として、車両に搭載されて、車載機器を制御する車載制御装置に適用した電子制御装置100を採用する。しかしながら、本開示は、これに限定されず、車載機器と異なる装置を制御する電子制御装置100であってもよい。 (First embodiment)
In the present embodiment, as an example, an electronic control device 100 that is mounted on a vehicle and applied to a vehicle-mounted control device that controls vehicle-mounted devices is employed. However, the present disclosure is not limited to this, and may be the electronic control device 100 that controls a device different from the in-vehicle device.

電子制御装置100は、少なくともひとつの演算処理装置(CPU)と、プログラムとデータとを記憶する記憶媒体としての少なくともひとつのメモリ装置(MMR)とを有する。電子制御装置100は、コンピュータによって読み取り可能な記憶媒体を備えるマイクロコンピュータによって提供される。記憶媒体は、コンピュータによって読み取り可能なプログラムを非一時的に格納している。記憶媒体は、半導体メモリまたは磁気ディスクなどによって提供されうる。電子制御装置100は、ひとつのコンピュータ、またはデータ通信装置によってリンクされた一組のコンピュータ資源によって提供されうる。プログラムは、電子制御装置100によって実行されることによって、電子制御装置100をこの明細書に記載される装置として機能させ、この明細書に記載される方法を実行するように電子制御装置100を機能させる。電子制御装置100は、多様な要素を提供する。それらの要素の少なくとも一部は、機能を実行するための手段と呼ぶことができ、別の観点では、それらの要素の少なくとも一部は、構成的なブロック、またはモジュールと呼ぶことができる。   The electronic control device 100 has at least one arithmetic processing unit (CPU) and at least one memory device (MMR) as a storage medium for storing programs and data. The electronic control device 100 is provided by a microcomputer including a computer-readable storage medium. The storage medium stores a computer-readable program non-temporarily. The storage medium can be provided by a semiconductor memory or a magnetic disk. The electronic control device 100 can be provided by a computer or a set of computer resources linked by a data communication device. The program is executed by the electronic control device 100 to cause the electronic control device 100 to function as a device described in this specification, and to function the electronic control device 100 so as to execute the method described in this specification. Let The electronic control device 100 provides various elements. At least some of those elements can be referred to as a means for performing functions, and in another aspect, at least some of those elements can be referred to as constituent blocks or modules.

具体的には、電子制御装置100は、マイコン10と入出力回路80を含んでおり、入出力回路80を介してクランク角センサ210及びインジェクタ220と電気的に接続されている。電子制御装置100は、クランク角センサ210からのセンサ信号を、入出力回路80を介して取得することができる。また、電子制御装置100は、車載機器としてのインジェクタ220に対する制御信号と、入出力回路80を介して出力することができる。よって、電子制御装置100は、クランク角センサ210からのセンサ信号などに基づいて、インジェクタ220などを制御する。   Specifically, the electronic control device 100 includes a microcomputer 10 and an input / output circuit 80, and is electrically connected to the crank angle sensor 210 and the injector 220 via the input / output circuit 80. The electronic control device 100 can acquire the sensor signal from the crank angle sensor 210 via the input / output circuit 80. Further, the electronic control device 100 can output a control signal for the injector 220 as the in-vehicle device and the input / output circuit 80. Therefore, the electronic control unit 100 controls the injector 220 and the like based on the sensor signal from the crank angle sensor 210 and the like.

電子制御装置100は、図10に示すように、例えば、イグニッションスイッチ(IGSW)がオフからオンに切り替わると、動作電源が供給されて動作する。電子制御装置100の動作電源は、ECU電源と称することもできる。   As shown in FIG. 10, for example, when the ignition switch (IGSW) is switched from OFF to ON, the electronic control device 100 is supplied with operating power and operates. The operating power supply of the electronic control device 100 can also be referred to as an ECU power supply.

なお、図10の例では、電子制御装置100は、タイミングt1、t4でIGSWがオフからオンに切り替わり、ECU電源が供給される。また、電子制御装置100は、タイミングt2でIGSWがオンからオフに切り替わると、所定時間経過したタイミングt3でECU電源の供給が停止される。電子制御装置100は、図10のAにおいて、バックアップ(BU)チェック結果確認処理を実行し、Bにおいて、BUチェック処理を実行する。詳述すると、電子制御装置100は、タイミングt4でのBUチェック結果確認処理では、タイミングt2〜t3で実行されたBUチェック処理の結果を確認する。この点に関しては、後程詳しく説明する。   In the example of FIG. 10, in the electronic control device 100, the IGSW is switched from OFF to ON at timings t1 and t4, and ECU power is supplied. In addition, when the IGSW is switched from ON to OFF at timing t2, the electronic control device 100 stops the supply of ECU power at timing t3 when a predetermined time has elapsed. The electronic control unit 100 executes a backup (BU) check result confirmation process in A of FIG. 10 and executes a BU check process in B. Specifically, in the BU check result confirmation process at timing t4, the electronic control apparatus 100 confirms the result of the BU check process executed at timings t2 to t3. This will be described in detail later.

マイコン10は、演算処理装置としての第1コア21と第2コア22、メモリ装置としてのRAM30とROM40とを備えている。また、マイコン10は、入出力回路80とのインターフェイスであるI/O70を備えている。   The microcomputer 10 includes a first core 21 and a second core 22 as arithmetic processing devices, and a RAM 30 and a ROM 40 as memory devices. The microcomputer 10 includes an I / O 70 that is an interface with the input / output circuit 80.

さらに、本実施形態では、メモリ保護ユニット50とECC異常注入ユニット60を備えたマイコン10を採用している。しかしながら、本開示は、メモリ保護ユニット50とECC異常注入ユニット60とを備えていなくてもよい。なお、マイコン10は、第1コア21、第2コア22、RAM30、ROM40、メモリ保護ユニット50、ECC異常注入ユニット60、I/O70がバスを介して接続されている。   Further, in the present embodiment, the microcomputer 10 including the memory protection unit 50 and the ECC abnormality injection unit 60 is employed. However, the present disclosure may not include the memory protection unit 50 and the ECC abnormal injection unit 60. In the microcomputer 10, the first core 21, the second core 22, the RAM 30, the ROM 40, the memory protection unit 50, the ECC abnormality injection unit 60, and the I / O 70 are connected via a bus.

第1コア21と第2コア22は、例えば、それぞれ異なる機能を有しており、RAM30を一時的な記憶部として用いつつ、ROM40に記憶されたプログラムに従って演算処理を実行する。また、各コア21、22は、プログラムの命令を実行すると、プログラムカウンタとインクリメントする。そして、電子制御装置100は、例えば、各コア21、22のそれぞれが演算処理を実行して、I/O70にアクセスして、I/O70に接続されているインジェクタ220などを制御することでエンジン制御を行う。   The first core 21 and the second core 22 have different functions, for example, and execute arithmetic processing according to a program stored in the ROM 40 while using the RAM 30 as a temporary storage unit. Each core 21 and 22 increments a program counter when a program instruction is executed. Then, the electronic control device 100 controls the injector 220 and the like connected to the I / O 70 by accessing the I / O 70 by each of the cores 21 and 22 performing arithmetic processing, for example. Take control.

このように、各コア21、22は、RAM30、ROM40、I/O70のそれぞれにアクセス可能に構成されている。また、マイコン10は、リソースとして、RAM30、ROM40、I/O70を備えていると言える。さらに、各コア21、22は、プログラムの命令を実行することでリソースへアクセスするとも言える。   As described above, the cores 21 and 22 are configured to be accessible to the RAM 30, the ROM 40, and the I / O 70, respectively. Further, it can be said that the microcomputer 10 includes a RAM 30, a ROM 40, and an I / O 70 as resources. Furthermore, it can be said that each of the cores 21 and 22 accesses a resource by executing a program instruction.

なお、本開示は、これに限定されず、第1コア21と第2コア22が同じ機能を有していてもよい。また、本実施形態では、コアがひとつのマイコンや、コアが三つ以上のマイコンであっても採用できる。   In addition, this indication is not limited to this, The 1st core 21 and the 2nd core 22 may have the same function. Moreover, in this embodiment, even if a core is one microcomputer and a core is three or more microcomputers, it is employable.

RAM30は、各コア21、22の演算結果などを一時的に記憶する揮発性記憶部である。RAM30は、例えば、非保護領域30aと保護領域30bとを含んでいる。ROM40は、各コア21、22によって読み取り可能なプログラム及びデータを非一時的に格納する、フラッシュメモリやハードディスク等の非遷移的実体的記憶媒体である。ROM40は、不揮発性記憶部に相当する。ROM40は、DataFlashと言い換えることもできる。   The RAM 30 is a volatile storage unit that temporarily stores calculation results of the cores 21 and 22. The RAM 30 includes, for example, an unprotected area 30a and a protected area 30b. The ROM 40 is a non-transitional physical storage medium such as a flash memory or a hard disk that stores programs and data readable by the cores 21 and 22 in a non-temporary manner. The ROM 40 corresponds to a nonvolatile storage unit. The ROM 40 can be rephrased as DataFlash.

なお、RAM30とROM40は、メモリ装置における異なる領域とみなすこともできる。つまり、RAM30は、メモリ装置における揮発領域とみなすことができる。一方、ROM40は、メモリ装置における不揮発領域とみなすことができる。   The RAM 30 and the ROM 40 can be regarded as different areas in the memory device. That is, the RAM 30 can be regarded as a volatile area in the memory device. On the other hand, the ROM 40 can be regarded as a non-volatile area in the memory device.

図2に、RAM30とROM40の構成の一例を示す。RAM30は、RAM30のアドレスを記憶するRadd、ROM40のアドレスを記憶するFadd、動作ステータスを記憶するStatus、未使用領域、Buffer領域が構成されている。Buffer領域は、BU用Buffer領域を含んでいる。なお、以下の説明では、Bufferをバッファと記載することもある。   FIG. 2 shows an example of the configuration of the RAM 30 and the ROM 40. The RAM 30 includes a Radd that stores the address of the RAM 30, a Fadd that stores the address of the ROM 40, a Status that stores the operation status, an unused area, and a Buffer area. The Buffer area includes a BU Buffer area. In the following description, Buffer may be described as a buffer.

ROM40は、BUチェック結果の記憶領域、BUチェック終了フラグの記憶領域、チェック結果の記憶領域、未使用領域、BU領域が構成されている。チェック結果の記憶領域は、アドレスと異常タイプとが紐付けされて記憶されている。なお、RAM30とROM40は、一例として、未使用領域が設けられていが、未使用領域が設けられていなくてもよい。   The ROM 40 includes a BU check result storage area, a BU check end flag storage area, a check result storage area, an unused area, and a BU area. In the storage area of the check result, an address and an abnormality type are linked and stored. Note that the RAM 30 and the ROM 40 are provided with an unused area as an example, but the unused area may not be provided.

メモリ保護ユニット50は、RAM30におけるリードライト属性やリードオンリー属性などのアクセス属性の設定や、非保護領域30aと保護領域30bの設定などを行う。また、メモリ保護ユニット50は、各コア21、22からRAM30、ROM40へのアクセスに対する管理を行うことでメモリを保護する。例えば、メモリ保護ユニット50は、各コア21、22からRAM30へのアクセスに対して、設定したアクセス属性に応じたアクセス管理を行う。   The memory protection unit 50 sets access attributes such as a read / write attribute and a read-only attribute in the RAM 30, and sets an unprotected area 30a and a protected area 30b. The memory protection unit 50 protects the memory by managing the access from the cores 21 and 22 to the RAM 30 and the ROM 40. For example, the memory protection unit 50 performs access management according to the set access attribute for access from the cores 21 and 22 to the RAM 30.

ECC異常注入ユニット60は、RAM30、ROM40に対して、冗長bitによる誤り訂正と確認を行う。ECC異常注入ユニット60は、あえてECCエラーを起こし、ECCエラー判定できることを確認することで、ECCエラー判定の仕組みが正しく動作していることを確認する。ECC異常注入ユニット60は、RAM30、ROM40に誤り訂正符号を注入する注入部に相当する。ECCは、Error Correction Codeの略称である。誤り訂正符号を注入することを、ECC異常注入と言い換えることもできる。なお、電子制御装置100は、ECC異常注入ユニット60を備えていなくてもよい。   The ECC abnormality injection unit 60 performs error correction and confirmation using redundant bits for the RAM 30 and the ROM 40. The ECC abnormality injection unit 60 dares to generate an ECC error and confirms that the ECC error can be determined, thereby confirming that the ECC error determination mechanism is operating correctly. The ECC abnormality injection unit 60 corresponds to an injection unit that injects an error correction code into the RAM 30 and the ROM 40. ECC is an abbreviation for Error Correction Code. Injecting an error correction code can be rephrased as ECC abnormal injection. The electronic control device 100 may not include the ECC abnormal injection unit 60.

ここで、図3〜図10を用いて、電子制御装置100の処理動作に関して説明する。以下に説明する処理は、主に、電子制御装置100における第1コア21と第2コア22の少なくとも一方が実行する。本実施形態では、一例として、第1コア21が実行する例を採用する。   Here, the processing operation of the electronic control device 100 will be described with reference to FIGS. The process described below is mainly executed by at least one of the first core 21 and the second core 22 in the electronic control device 100. In this embodiment, the example which the 1st core 21 performs as an example is employ | adopted.

まず、図7〜図10を用いて、ROM40へのデータのバックアップに関連する処理を説明する。   First, processing related to data backup to the ROM 40 will be described with reference to FIGS.

第1コア21は、例えば、IGSWがオフからオンに切り替わると図7のフローチャートに示す処理を実行する。本実施形態のコア21、22は、図10のタイミングt1、t4で図7のフローチャートに示す処理を実行する。   For example, when the IGSW is switched from OFF to ON, the first core 21 executes the process shown in the flowchart of FIG. The cores 21 and 22 of this embodiment execute the processing shown in the flowchart of FIG. 7 at the timings t1 and t4 of FIG.

ステップS50では、BUチェック終了フラグ=オンであるか否かを判定する。第1コア21は、ROM40のBUチェック終了フラグの記憶領域を確認してオンであるか否かを判定し、オンであると判定した場合はステップS51へ進み、オンであると判定しなかった場合はステップS53へ進む。   In step S50, it is determined whether or not the BU check end flag is ON. The first core 21 checks the storage area of the BU check end flag in the ROM 40 to determine whether it is on. If it is determined to be on, the first core 21 proceeds to step S51 and does not determine that it is on. In this case, the process proceeds to step S53.

ステップS51では、BUチェック結果記憶領域に値があるか否かを判定する。第1コア21は、ROM40のBUチェック結果の記憶領域に値があるか否かを判定し、値があると判定した場合はステップS52へ進み、値があると判定しなかった場合はステップS53へ進む。   In step S51, it is determined whether or not there is a value in the BU check result storage area. The first core 21 determines whether or not there is a value in the storage area of the BU check result in the ROM 40. If it is determined that there is a value, the process proceeds to step S52. If it is not determined that there is a value, the first core 21 proceeds to step S53. Proceed to

ステップS52では、第1コア21は、BUチェック結果の記憶領域に異常をセットする。また、ステップS53では、第1コア21は、BUチェック終了フラグをクリアする。   In step S52, the first core 21 sets an abnormality in the storage area for the BU check result. In step S53, the first core 21 clears the BU check end flag.

第1コア21は、例えば、IGSWがオンである場合に所定時間毎に図8のフローチャートに示す処理を実行する。   For example, when the IGSW is on, the first core 21 executes the process shown in the flowchart of FIG. 8 at predetermined time intervals.

ステップS60では、IGSW=オフであるか否かを判定する。第1コア21は、BUチェック処理を実行するか否かを判定するために、IGSWがオフであるか否かを判定する。そして、第1コア21は、IGSWがオフであると判定した場合、BUチェック処理を実行するためにステップS61へ進む。一方、第1コア21は、IGSWがオフであると判定しなかった場合、BUチェック処理を実行するタイミングではないとみなして図8の処理を終了する。   In step S60, it is determined whether or not IGSW is off. The first core 21 determines whether or not the IGSW is off in order to determine whether or not to execute the BU check process. If the first core 21 determines that the IGSW is off, the first core 21 proceeds to step S61 to execute the BU check process. On the other hand, if the first core 21 does not determine that the IGSW is off, the first core 21 considers that it is not the timing to execute the BU check process, and ends the process of FIG.

ステップS61では、第1コア21は、データコピーと比較チェック処理を実行する。つまり、第1コア21は、BUチェック処理を実行する(タイミングt2〜t3)。データコピーと比較チェック処理に関しては、後程、図9を用いて説明する。   In step S61, the first core 21 executes data copy and comparison check processing. That is, the first core 21 executes the BU check process (timing t2 to t3). Data copy and comparison check processing will be described later with reference to FIG.

ステップS62では、第1コア21は、ECU電源をオフする。つまり、第1コア21は、BUチェック処理が終了すると、ECU電源をオフする(タイミングt3)。   In step S62, the first core 21 turns off the ECU power supply. That is, the first core 21 turns off the ECU power supply when the BU check process ends (timing t3).

ここで、図9を用いて、BUチェック処理に関して説明する。   Here, the BU check process will be described with reference to FIG.

ステップS621では、コピー先頭アドレスをセットする。第1コア21は、Raddにバッファ領域の先頭アドレスをセットするとともに、FaddにBU領域の先頭アドレスをセットする。なお、ここでのバッファ領域は、BU用バッファ領域を示している。   In step S621, a copy head address is set. The first core 21 sets the leading address of the buffer area in Radd and sets the leading address of the BU area in Fadd. Here, the buffer area indicates a BU buffer area.

ステップS622では、StatusにCOPYをセットする。第1コア21は、Statusに、動作ステータスとしてCOPYをセットする。   In step S622, COPY is set in Status. The first core 21 sets COPY as the operation status in Status.

ステップS623では、データをコピーする(*Fadd←*Radd)。第1コア21は、ステップS621でセットされたアドレスに対応するデータをROM40にコピーする。つまり、第1コア21は、BU用バッファ領域のデータを、ROM40のBU領域にコピーする。このデータコピー時には、ROM40へのアクセス異常(ECC異常)により例外割込が発生する可能性がある。例外割込は、プログラムカウンタに従った通常の処理とは異なり、エラーが発生した際の処理を実行するための割り込みである。   In step S623, data is copied (* Fadd ← * Radd). The first core 21 copies data corresponding to the address set in step S621 to the ROM 40. That is, the first core 21 copies the data in the BU buffer area to the BU area of the ROM 40. When this data is copied, an exception interrupt may occur due to an access error (ECC error) to the ROM 40. Unlike normal processing according to a program counter, an exception interrupt is an interrupt for executing processing when an error occurs.

ステップS624では、StatusにREADをセットする。第1コア21は、Statusに、動作ステータスとしてREADをセットする。   In step S624, READ is set in Status. The first core 21 sets READ as an operation status in Status.

ステップS625では、データを比較する(*Fadd=*Radd?)。第1コア21は、RAM30とROM40における対応するアドレスのデータを比較する。第1コア21は、*Fadd=*Raddであると判定した場合はデータ異常がないとみなしてステップS626へ進み、*Fadd=*Raddであると判定しなかった場合はデータ異常の可能性があるとみなしてステップS629へ進む。このデータ比較時には、データコピー時と同様、ROM40へのアクセス異常(ECC異常)により例外割込が発生する可能性がある。   In step S625, the data are compared (* Fadd = * Radd?). The first core 21 compares corresponding address data in the RAM 30 and the ROM 40. If it is determined that * Fadd = * Radd, the first core 21 determines that there is no data abnormality and proceeds to step S626. If it is not determined that * Fadd = * Radd, there is a possibility of data abnormality. The process proceeds to step S629 assuming that there is. During this data comparison, an exception interrupt may occur due to an access abnormality (ECC abnormality) to the ROM 40, as in the case of data copying.

ステップS626では、Statusをクリアする。第1コア21は、FaddにFadd+1をセットし、RaddにRadd+1をセットする。   In step S626, Status is cleared. The first core 21 sets Fadd + 1 to Fadd, and sets Radd + 1 to Radd.

ステップS627では、Radd>バッファ領域の最後であるか否かを判定する。第1コア21は、全てのデータのコピーが完了したか否かを判定するために、Radd>バッファ領域の最後であるか否かを判定する。第1コア21は、Radd>バッファ領域の最後であると判定した場合はコピーが完了したとみなしてステップS628へ進み、Radd>バッファ領域の最後であると判定しなかった場合はコピーが完了していないとみなしてステップS622へ戻る。   In step S627, it is determined whether or not Radd> the end of the buffer area. The first core 21 determines whether or not Radd> the end of the buffer area in order to determine whether or not all data has been copied. If the first core 21 determines that Radd> the end of the buffer area, the first core 21 regards that the copy is complete, and proceeds to step S628. If it does not determine that Radd> the end of the buffer area, the first core 21 completes the copy. If it is not, the process returns to step S622.

ステップS628では、第1コア21は、BUチェック終了フラグをセットする。   In step S628, the first core 21 sets a BU check end flag.

ステップS625でNO判定した場合、第1コア21は、ステップS629を実行する。ステップS629では、第1コア21は、BUチェック結果の記憶領域にアドレスとしてFaddと、異常タイプとしてVERIFYを書き込む。   If NO is determined in step S625, the first core 21 executes step S629. In step S629, the first core 21 writes Fadd as the address and VERIFY as the abnormality type in the storage area of the BU check result.

このように、第1コア21は、BU用バッファ領域の先頭から終わりまでをROM40にコピーした後、ROM40が正しく書けたか読み出して確認(比較)を実施する。   As described above, the first core 21 copies from the beginning to the end of the BU buffer area to the ROM 40, and then reads and confirms (compares) whether the ROM 40 has been written correctly.

次に、図3〜図6を用いて、メモリアクセス異常の判定に関連する処理を説明する。   Next, processing related to determination of memory access abnormality will be described with reference to FIGS.

第1コア21は、メモリへのアクセスを示す命令を実行する毎に、図3のフローチャートに示す処理を実行する。本実施形態では、一例として、BUチェック命令を実行する際に、図3のフローチャートに示す処理を実行する例を採用する。つまり、第1コア21は、BUチェック結果確認処理及びBUチェック処理を実行するたびに、図3のフローチャートに示す処理を実行する例を採用する。   Each time the first core 21 executes an instruction indicating access to the memory, the first core 21 executes the process shown in the flowchart of FIG. In the present embodiment, as an example, an example of executing the process shown in the flowchart of FIG. 3 when executing a BU check instruction is adopted. That is, the first core 21 adopts an example in which the process shown in the flowchart of FIG. 3 is executed every time the BU check result confirmation process and the BU check process are executed.

ステップS10では、メモリアクセスが異常であるか否かを判定する。第1コア21、第2コア22は、読み出したメモリの誤り訂正符号が正常かを判定する。   In step S10, it is determined whether or not the memory access is abnormal. The first core 21 and the second core 22 determine whether the read error correction code of the memory is normal.

この判定結果に基づいて、第1コア21は、ROM40に対するアクセスが異常であるか否かを判定する。そして、第1コア21は、アクセスが異常であると判定した場合はステップS20へ進み、アクセスが異常であると判定しなかった場合はステップS30へ進む。   Based on this determination result, the first core 21 determines whether or not the access to the ROM 40 is abnormal. The first core 21 proceeds to step S20 when it is determined that the access is abnormal, and proceeds to step S30 when it is not determined that the access is abnormal.

ステップS20では、メモリアクセスの例外割込処理を実行する(割込発生部)。第1コア21は、RAM30、ROM40へのアクセスエラーが発生した際に、エラー発生時の処理である例外処理を実行するための割り込みを発生させる。よって、本実施形態では、ROM40へのアクセスエラーが発生した際に、エラー発生時の処理である例外処理を実行するための割り込みを発生させることになる。   In step S20, a memory access exception interrupt process is executed (interrupt generator). When an access error to the RAM 30 and ROM 40 occurs, the first core 21 generates an interrupt for executing an exception process that is a process when the error occurs. Therefore, in the present embodiment, when an access error to the ROM 40 occurs, an interrupt for executing an exception process that is a process at the time of occurrence of the error is generated.

例外割込処理は、プログラムカウンタに従った通常の処理とは異なり、アクセスエラーが発生した際に実行する処理と言える。また、例外割込処理は、アクセスエラーが発生した際に、プログラムの実行を一時的に中断して実行する処理とも言える。さらに、例外割込処理は、エラー発生時の処理である例外処理またはマイコン10のリセットを実行するための割込処理とも言える。なお、第1コア21は、例外割込処理において、例外処理の実行が完了すると、中断したプログラムに戻って、プログラムの命令を実行する。   Unlike the normal processing according to the program counter, the exception interrupt processing can be said to be processing executed when an access error occurs. The exception interrupt process can also be said to be a process for temporarily interrupting the execution of a program when an access error occurs. Furthermore, it can be said that the exception interrupt process is an exception process that is a process when an error occurs or an interrupt process for executing a reset of the microcomputer 10. In addition, in the exception interrupt process, the first core 21 returns to the interrupted program and executes the program instruction when the execution of the exception process is completed.

本実施形態では、一例として、ROM40へのアクセスエラーが発生した際に割り込みを発生させる、すなわち、例外割込処理を実行する(割込発生部)。この例外割込処理に関しては、後程、図4を用いて説明する。   In this embodiment, as an example, when an access error to the ROM 40 occurs, an interrupt is generated, that is, an exception interrupt process is executed (interrupt generation unit). This exception interrupt process will be described later with reference to FIG.

なお、第1コア21は、ステップS30でメモリアクセス命令を実行し、ステップS40でプログラムカウンタをインクリメントする。   The first core 21 executes a memory access instruction in step S30, and increments the program counter in step S40.

第1コア21は、例外割込処理として、図4のフローチャートに示す処理を実行する。   The first core 21 executes the process shown in the flowchart of FIG. 4 as the exception interrupt process.

ステップS21では、例外発生の要因を判定する処理を実行する。第1コア21は、意図した例外発生か、意図いない例外発生かを判定するために、例外発生の要因を判定する。言い換えると、第1コア21は、例外処理を実行するか、マイコン10のリセットを実行するかを判定するために例外発生の要因を判定する。また、第1コア21は、マイコン10のリセットが必要ないエラーによる割込発生か、マイコン10のリセットが必要なエラーによる割込発生かを判定する、とも言える。なお、例外発生の要因を判定する処理は、要因判定処理とも言える。   In step S21, processing for determining the cause of the exception occurrence is executed. The first core 21 determines the cause of occurrence of an exception in order to determine whether an intended exception has occurred or an unintended exception has occurred. In other words, the first core 21 determines the cause of occurrence of an exception in order to determine whether to execute exception processing or reset the microcomputer 10. It can also be said that the first core 21 determines whether an interrupt has occurred due to an error that does not require the microcomputer 10 to be reset or whether an interrupt has occurred due to an error that requires the microcomputer 10 to be reset. It should be noted that the process for determining the cause of occurrence of an exception can also be said to be a factor determination process.

ここで、図5を用いて、要因判定処理に関して説明する。   Here, the factor determination process will be described with reference to FIG.

ステップS211では、Status=COPYあるいはREADであるか否かを判定する(位置設定部)。第1コア21は、割り込みが発生したときのStatusを確認する。つまり、第1コア21は、エラーが発生したときのStatusを確認するとも言える。   In step S211, it is determined whether or not Status = COPY or READ (position setting unit). The first core 21 checks the status when the interrupt occurs. That is, it can be said that the first core 21 confirms the status when an error occurs.

そして、第1コア21は、StatusがCOPYあるいはREADであると判定した場合はステップS212に進み、COPYあるいはREADであると判定しなかった場合はステップS213に進む。   The first core 21 proceeds to step S212 when it is determined that the status is COPY or READ, and proceeds to step S213 when it is not determined that the status is COPY or READ.

ステップS212では、意図した例外発生と判定する。割り込みが発生したときのStatusがCOPYあるいはREADである場合、予め設定されたアクセス属性を満たしているが、マイコン10をリセットするまでもない何らかの異常によって、ROM40へのアクセスに失敗したとみなすことができる。よって、第1コア21は、意図した例外発生と判定する。   In step S212, it is determined that an intended exception has occurred. If the status when the interrupt occurs is COPY or READ, it may be considered that access to the ROM 40 has failed due to some abnormality that satisfies the preset access attribute but does not require the microcomputer 10 to be reset. it can. Therefore, the first core 21 determines that an intended exception has occurred.

ステップS213では、意図しない例外発生と判定する。割り込みが発生したときのStatusがCOPYあるいはREADでない場合、ROM40以外へのアクセスとみなすことができる。これは、予め設定されたアクセス属性を満たしていないため、マイコン10をリセットする必要があるとみなすことができる。よって、第1コア21は、意図しない例外発生と判定する。   In step S213, it is determined that an unintended exception has occurred. When the status when the interrupt occurs is not COPY or READ, it can be regarded as an access to other than the ROM 40. This does not satisfy the preset access attribute, so it can be considered that the microcomputer 10 needs to be reset. Therefore, the first core 21 determines that an unintended exception has occurred.

なお、本実施形態では、要因判定処理として、上記のような例を採用した。しかしながら、本開示は、これに限定されず、他の要因判定処理であっても採用できる。つまり、要因判定処理は、アクセスエラーの状況などによって内容が異なる。   In the present embodiment, the above example is adopted as the factor determination process. However, the present disclosure is not limited to this, and other factor determination processing can be employed. That is, the contents of the factor determination process vary depending on the status of the access error.

ここで、図4の説明に戻る。ステップS22では、意図した例外発生か否かを判定する。第1コア21は、ステップS21での判定結果で、意図した例外発生と判定した場合は、ステップS23へ進み、意図した例外発生と判定しなかった場合は、ステップS26へ進む。つまり、第1コア21は、意図しない例外発生と判定した場合、マイコン10のリセットが必要とみなして、ステップS26へ進む。そして、第1コア21は、ステップS26でマイコン10をリセットする。   Returning to the description of FIG. In step S22, it is determined whether or not an intended exception has occurred. The first core 21 proceeds to step S23 if it is determined that the intended exception has occurred as a result of the determination in step S21, and proceeds to step S26 if it is not determined that the intended exception has occurred. That is, if the first core 21 determines that an unintended exception has occurred, the first core 21 considers that the microcomputer 10 needs to be reset, and proceeds to step S26. Then, the first core 21 resets the microcomputer 10 in step S26.

一方、第1コア21は、意図した例外と判定した場合は、マイコン10をリセットする必要がないとみなして、ステップS23へ進む。   On the other hand, if the first core 21 determines that the intended exception has occurred, the first core 21 determines that there is no need to reset the microcomputer 10 and proceeds to step S23.

ステップS23では、例外処理を実行する。このとき、第1コア21は、図6に示す例外処理を実行する。第1コア21は、BUチェック結果の記憶領域にアドレスとしてRaddを書き込むとともに、異常タイプにStatusの値を書き込む(ステップS231、位置設定部)。   In step S23, exception processing is executed. At this time, the first core 21 executes the exception process shown in FIG. The first core 21 writes Radd as an address in the storage area of the BU check result, and writes the value of Status in the abnormal type (step S231, position setting unit).

なお、本実施形態では、例外処理として、上記のような例を採用した。しかしながら、本開示は、これに限定されず、他の例外処理であっても採用できる。つまり、例外処理は、アクセスエラーの状況などによって内容が異なる。   In the present embodiment, the above example is adopted as exception processing. However, the present disclosure is not limited to this, and can be adopted even for other exception processing. That is, the contents of exception handling differ depending on the status of access errors.

ステップS24では、プログラムを解析する(解析部)。第1コア21は、戻り位置を設定するために、プログラムを解析してアクセスエラーが発生した際の命令の命令長を読み出す。第1コア21は、例えば、アクセスエラーが発生した際の命令の命令長が4バイト命令か2バイト命令かを判断する。これは、中断したプログラムに戻る際に、エラーが発生した際の位置よりも進んだ位置に戻るための戻り位置を設定するために行う。例えば、アクセスエラーが発生した際の命令の命令長が4バイトであった場合、アクセスエラーが発生した際の命令から4バイト進めた位置を戻り位置として設定するためである。このプログラムの解析は、ステップS23の例外処理中に行なってもよい。   In step S24, the program is analyzed (analysis unit). In order to set the return position, the first core 21 analyzes the program and reads the instruction length of the instruction when an access error occurs. For example, the first core 21 determines whether the instruction length of the instruction when the access error occurs is a 4-byte instruction or a 2-byte instruction. This is performed in order to set a return position for returning to a position advanced from the position where the error occurred when returning to the interrupted program. For example, when the instruction length of the instruction when the access error occurs is 4 bytes, the position advanced by 4 bytes from the instruction when the access error occurs is set as the return position. The analysis of this program may be performed during the exception process in step S23.

なお、戻り位置は、戻り番地、戻りアドレスと言い換えることができる。また、位置、番地、アドレスのそれぞれは、プログラムの位置、プログラムの番地、プログラムのアドレスを示している。   The return position can be restated as a return address and a return address. Each of the position, address, and address indicates a program position, a program address, and a program address.

本開示は、これに限定されない。プログラム中の各命令長が同一の場合は、プログラムを解析することなく、エラーが発生した際の位置よりも進んだ位置に戻るための戻り位置を設定することができる。   The present disclosure is not limited to this. When the instruction lengths in the program are the same, it is possible to set a return position for returning to a position advanced from the position where the error occurred without analyzing the program.

ステップS25では、プログラムカウンタをインクリメントする(位置設定部)。第1コア21は、ステップS24での解析で得た戻り位置にすすめるために、プログラムカウンタをインクリメントする。   In step S25, the program counter is incremented (position setting unit). The first core 21 increments the program counter in order to proceed to the return position obtained by the analysis in step S24.

このように、第1コア21は、エラー発生時の命令よりも後に実行される命令の位置を、中断したプログラムの命令の実効に戻る際の戻り位置として設定する。また、本実施形態では、エラーが発生した際の位置よりも命令長分の処理を進めた命令の位置を、戻り位置として設定する。なお、第1コア21は、割り込みが発生してから、中断されたプログラムの命令の実効に戻る前までに、ステップS24、S25を実行する。   As described above, the first core 21 sets the position of the instruction executed after the instruction at the time of the error as the return position when returning to the execution of the instruction of the interrupted program. In the present embodiment, the position of an instruction that has been processed for the instruction length is set as the return position from the position at the time of occurrence of the error. The first core 21 executes steps S24 and S25 after an interrupt occurs and before returning to the execution of the interrupted program instruction.

これによって、第1コア21は、ステップS623の実行時に例外割込が発生した場合、例外処理を実行して中断したプログラムの実行に戻った際に、S624から実行を再開できる。また、第1コア21は、ステップS625の実行時に例外割込が発生した場合、例外処理を実行して中断したプログラムの実行に戻った際に、S626から実行を再開できる。   As a result, if an exception interrupt occurs during the execution of step S623, the first core 21 can resume execution from S624 when execution of exception processing returns to execution of the interrupted program. Also, if an exception interrupt occurs during the execution of step S625, the first core 21 can resume execution from S626 when execution returns to the interrupted program execution.

ここまでに説明したように、電子制御装置100は、戻り位置として、プログラムにおけるエラー発生時の命令よりも後に実行される命令の位置を設定するため、例外処理を実行するための割り込みが繰り返されることを防止できる。つまり、電子制御装置100は、エラーが発生した際にROM40に固定値を上書きすることなく、例外処理を実行するための割り込みが繰り返されることを防止できる。このため、電子制御装置100は、上書きに時間を要することで処理性能が劣化することを抑制できる。   As described so far, the electronic control unit 100 sets the position of an instruction to be executed after the instruction at the time of the error occurrence in the program as the return position, so that an interrupt for executing exception processing is repeated. Can be prevented. That is, the electronic control device 100 can prevent the interruption for executing the exception processing from being repeated without overwriting the fixed value in the ROM 40 when an error occurs. For this reason, the electronic control apparatus 100 can suppress deterioration in processing performance due to the time required for overwriting.

さらに、上記のように、エラーが発生した際にROM40に固定値で上書きされるデータは、本来、継続して使用できるデータである可能性もある。電子制御装置100は、エラーが発生した際にROM40に固定値を上書きする必要がないため、継続して使用できるデータが使用できなくなることを抑制できる。   Furthermore, as described above, data that is overwritten with a fixed value in the ROM 40 when an error occurs may be data that can be used continuously. Since the electronic control device 100 does not need to overwrite the ROM 40 with a fixed value when an error occurs, the electronic control device 100 can prevent the data that can be used continuously from becoming unusable.

以上、本開示の好ましい実施形態について説明した。しかしながら、本開示は、上記実施形態に何ら制限されることはなく、本開示の趣旨を逸脱しない範囲において、種々の変形が可能である。以下に、本開示のその他の形態として、第2〜第4実施形態に関して説明する。上記実施形態及び第2〜第4実施形態は、それぞれ単独で実施することも可能であるが、適宜組み合わせて実施することも可能である。本開示は、実施形態において示された組み合わせに限定されることなく、種々の組み合わせによって実施可能である。   The preferred embodiments of the present disclosure have been described above. However, the present disclosure is not limited to the above embodiment, and various modifications can be made without departing from the spirit of the present disclosure. Below, 2nd-4th embodiment is described as other forms of this indication. Although the said embodiment and 2nd-4th embodiment can each be implemented independently, it is also possible to implement combining suitably. The present disclosure is not limited to the combinations shown in the embodiments, and can be implemented by various combinations.

(第2実施形態)
図11、図12を用いて、第2実施形態の電子制御装置100に関して説明する。本実施形態では、上記実施形態と異なる点を中心に説明する。本実施形態の電子制御装置100は、主に、例外発生の要因を判定する処理と例外処理が上記実施形態の電子制御装置100と異なる。 (Second Embodiment)
The electronic control device 100 according to the second embodiment will be described with reference to FIGS. 11 and 12. In the present embodiment, the description will be focused on differences from the above embodiment. The electronic control device 100 according to the present embodiment is mainly different from the electronic control device 100 according to the above-described embodiment in the processing for determining the cause of exception occurrence and the exception processing.

なお、本実施形態の電子制御装置100は、上記実施形態と同様の構成をなしている。よって、本実施形態では、上記実施形態と同じ符号を用いる。   Note that the electronic control device 100 of the present embodiment has the same configuration as that of the above embodiment. Therefore, in this embodiment, the same code | symbol as the said embodiment is used.

電子制御装置100は、高い安全度が設定されたASIL領域のプログラムと、低い安全度が設定されたQM領域のプログラムとをROM40に有している。ASIL領域は、機能安全要求により、保護された領域であり、QM領域のプログラムを実行した処理(制御)時にアクセスされないようになっている。   The electronic control device 100 has in the ROM 40 an ASIL area program in which a high degree of safety is set and a QM area program in which a low degree of safety is set. The ASIL area is an area protected by a functional safety request, and is not accessed during processing (control) when a program in the QM area is executed.

そして、電子制御装置100は、ASIL領域にQM領域に設定された制御からメモリアクセスした際に、マイコン10の設定によりメモリアクセスエラーによる例外割り込みが発生する仕組みを備えている。つまり、電子制御装置100は、QM領域におけるプログラムの実行に伴ってASIL領域へアクセスがあった場合に、アクセスエラーが発生したとみなして、例外割り込みを発生させる(割込発生部)。このため、第1コア21は、QM領域におけるプログラムの実行に伴ってASIL領域へアクセスがあった場合に、アクセスエラーが発生したとみなして、ステップS10でYES判定することになる。これは、RAM20やレジスタの値が化けたことなどによって発生する可能性がある。   The electronic control unit 100 has a mechanism in which an exception interrupt due to a memory access error is generated by the setting of the microcomputer 10 when the memory is accessed from the control set in the QM area in the ASIL area. In other words, the electronic control device 100 regards that an access error has occurred when an ASIL area is accessed as a program is executed in the QM area, and generates an exception interrupt (interrupt generation unit). For this reason, the first core 21 determines that an access error has occurred when the ASIL area is accessed as the program is executed in the QM area, and makes a YES determination in step S10. This may occur due to a garbled value of the RAM 20 or the register.

なお、ASILは、Automotive Safety Integrity Levelの略称である。ASIL領域は、メモリ保護領域に相当する。一方、QMは、Quality Managementの略称である。QM領域は、メモリ非保護領域に相当する。よって、ROM40は、メモリ保護領域とメモリ非保護領域を含むメモリに相当する。   ASIL is an abbreviation for Automotive Safety Integrity Level. The ASIL area corresponds to a memory protection area. On the other hand, QM is an abbreviation for Quality Management. The QM area corresponds to a memory non-protected area. Therefore, the ROM 40 corresponds to a memory including a memory protection area and a memory non-protection area.

第1コア21は、要因判定処理として、図11のフローチャートに示す処理を実行する。   The first core 21 executes the process shown in the flowchart of FIG. 11 as the factor determination process.

ステップS211aでは、戻り先アドレス=QM領域であるか否かを判定する(位置設定部)。第1コア21は、戻り先アドレス=QM領域と判定した場合はアクセス元がQM領域とみなしてステップS212へ進み、戻り先アドレス=QM領域と判定しなかった場合はアクセス元がQM領域でないとみなしてステップS213へ進む。つまり、第1コア21は、中断したプログラムに戻る際のアドレスがQM領域におけるアドレスの場合にステップS212へ進み、中断したプログラムに戻る際のアドレスがQM領域におけるアドレスでない場合にステップS213へ進む。   In step S211a, it is determined whether or not return address = QM area (position setting unit). If it is determined that the return address = QM area, the first core 21 regards the access source as the QM area and proceeds to step S212. If it is not determined that the return address = QM area, the first core 21 is not the QM area. Accordingly, the process proceeds to step S213. That is, the first core 21 proceeds to step S212 when the address when returning to the interrupted program is an address in the QM area, and proceeds to step S213 when the address when returning to the interrupted program is not an address in the QM area.

ステップS212では、意図した例外発生と判定する。アクセス元がQM領域の場合、QM領域のプログラムを実行した制御時にASIL領域へのアクセスが、RAM20やレジスタの値が化けなどマイコン10をリセットするまでもない異常によってなされたとみなすことができる。よって、第1コア21は、意図した例外発生と判定する。   In step S212, it is determined that an intended exception has occurred. When the access source is the QM area, it can be considered that the access to the ASIL area is made by an abnormality that does not require resetting the microcomputer 10 such as a garbled value of the RAM 20 or the register at the time of controlling the program of the QM area. Therefore, the first core 21 determines that an intended exception has occurred.

ステップS213では、意図しない例外発生と判定する。アクセス元がQM領域でない場合、QM領域におけるプログラムの実行に伴ってASIL領域へのアクセスが、RAM20やレジスタの値が化けなどによらないため、マイコン10をリセットする必要があるとみなすことができる。よって、第1コア21は、意図しない例外発生と判定する。このようにすることで、電子制御装置100は、信頼できないソフトウェアによる誤ったメモリ書き換えを防ぐことができる。   In step S213, it is determined that an unintended exception has occurred. When the access source is not the QM area, it can be considered that the microcomputer 10 needs to be reset because the access to the ASIL area is not caused by the values of the RAM 20 and the register being garbled as the program is executed in the QM area. . Therefore, the first core 21 determines that an unintended exception has occurred. By doing in this way, the electronic control apparatus 100 can prevent erroneous memory rewriting by unreliable software.

また、第1コア21は、例外処理として、図12のフローチャートに示す処理を実行する。ステップS231aでは、第1コア21は、ASIL領域のRAM値を保護するとともに、異常コード等を保存する。つまり、第1コア21は、ASIL領域の値を保護するとともに、ASIL領域へのアクセスエラーが発生したことを示す異常コードを少なくとも保存する。これによって、電子制御装置100は、異常発生時に解析が容易になる。   Further, the first core 21 executes the process shown in the flowchart of FIG. 12 as the exception process. In step S231a, the first core 21 protects the RAM value in the ASIL area and stores an abnormal code or the like. That is, the first core 21 protects the value of the ASIL area and stores at least an abnormal code indicating that an access error to the ASIL area has occurred. Thus, the electronic control device 100 can be easily analyzed when an abnormality occurs.

本実施形態の電子制御装置100は、上記実施形態と同様の効果を奏することができる。   The electronic control device 100 according to this embodiment can achieve the same effects as those of the above embodiment.

(第3実施形態)
図13、図14を用いて、第3実施形態の電子制御装置100に関して説明する。本実施形態では、上記実施形態と異なる点を中心に説明する。本実施形態の電子制御装置100は、主に、例外発生の要因を判定する処理と例外処理が上記実施形態の電子制御装置100と異なる。 (Third embodiment)
The electronic control device 100 according to the third embodiment will be described with reference to FIGS. 13 and 14. In the present embodiment, the description will be focused on differences from the above embodiment. The electronic control device 100 according to the present embodiment is mainly different from the electronic control device 100 according to the above-described embodiment in the processing for determining the cause of exception occurrence and the exception processing.

なお、本実施形態の電子制御装置100は、上記実施形態と同様の構成をなしている。よって、本実施形態では、上記実施形態と同じ符号を用いる。   Note that the electronic control device 100 of the present embodiment has the same configuration as that of the above embodiment. Therefore, in this embodiment, the same code | symbol as the said embodiment is used.

電子制御装置100は、上記のように、ECC異常注入ユニット60を備えている。ECC異常注入ユニット60は、RAM30、ROM40に対して、あえてECCエラーを起こす、すなわち、誤り訂正符号に異常を注入する。そして、第1コア21は、メモリの誤り訂正符号が正常かを判定し、異常と判定した場合、RAM30、ROM40へのアクセスエラーが発生するため割り込みを発生させる(割込発生部)。つまり、第1コア21は、誤り訂正符号が異常なメモリにアクセスすることで、メモリへのアクセスエラーが発生するとみなして、ステップS10でYES判定することになる。   The electronic control unit 100 includes the ECC abnormal injection unit 60 as described above. The ECC abnormality injection unit 60 intentionally causes an ECC error to the RAM 30 and the ROM 40, that is, injects an abnormality into the error correction code. The first core 21 determines whether or not the error correction code of the memory is normal. If it is determined that the error is abnormal, the first core 21 generates an interrupt because an access error to the RAM 30 and the ROM 40 occurs (interrupt generation unit). That is, the first core 21 determines that an access error to the memory occurs by accessing the memory having an abnormal error correction code, and determines YES in step S10.

第1コア21は、要因判定処理として、図13のフローチャートに示す処理を実行する。   The first core 21 executes the process shown in the flowchart of FIG. 13 as the factor determination process.

ステップS211bでは、ECC診断状態=診断中であるか否かを判定する(位置設定部)。つまり、第1コア21は、誤り訂正符号が注入された動作診断中であるか否かを判定する。そして、第1コア21は、ECC診断状態=診断中であると判定した場合はステップS212へ進み、ECC診断状態=診断中であると判定しなかった場合はステップS213へ進む。   In step S211b, it is determined whether or not the ECC diagnosis state is being diagnosed (position setting unit). That is, the first core 21 determines whether or not an operation diagnosis in which an error correction code is injected is being performed. The first core 21 proceeds to step S212 when it is determined that the ECC diagnosis state is being diagnosed, and proceeds to step S213 when it is not determined that the ECC diagnosis state is being diagnosed.

ステップS212では、意図した例外発生と判定する。ECC診断中の場合、誤り訂正符号の異常注入によってアクセスエラーが発生したとみなすことができる。よって、第1コア21は、意図した例外発生と判定する。   In step S212, it is determined that an intended exception has occurred. When ECC diagnosis is being performed, it can be considered that an access error has occurred due to an abnormal injection of an error correction code. Therefore, the first core 21 determines that an intended exception has occurred.

ステップS213では、意図しない例外発生と判定する。ECC診断中でない場合、誤り訂正符号の異常注入によるアクセスエラーは発生しないため、何らかの異常でアクセスエラーが発生しており、マイコン10をリセットする必要があるとみなすことができる。よって、第1コア21は、意図しない例外発生と判定する。   In step S213, it is determined that an unintended exception has occurred. When the ECC diagnosis is not in progress, an access error due to an abnormal injection of an error correction code does not occur. Therefore, it can be considered that an access error has occurred due to some abnormality and the microcomputer 10 needs to be reset. Therefore, the first core 21 determines that an unintended exception has occurred.

また、第1コア21は、例外処理として、図14のフローチャートに示す処理を実行する。   Further, the first core 21 executes the process shown in the flowchart of FIG. 14 as the exception process.

ステップS231bでは、第1コア21は、ECC異常注入を解除する。ステップS232bでは、異常発生アドレスが一致するか否かを判定する。そして、第1コア21は、異常発生アドレスが一致すると判定した場合はステップS233bに進み、異常発生アドレスが一致すると判定しなかった場合はステップS235bに進む。   In step S231b, the first core 21 cancels the ECC abnormal injection. In step S232b, it is determined whether or not the abnormality occurrence addresses match. The first core 21 proceeds to step S233b when it is determined that the abnormality occurrence addresses match, and proceeds to step S235b when it is not determined that the abnormality occurrence addresses match.

ステップS233bでは、第1コア21は、診断結果=正常、ECC診断状態=終了とする。また、ステップS234bでは、第1コア21は、ECC診断結果をOKとする。一方、ステップS235bでは、第1コア21は、ECC診断結果をNGとする。   In step S233b, the first core 21 sets diagnosis result = normal and ECC diagnosis state = end. In step S234b, the first core 21 sets the ECC diagnosis result to OK. On the other hand, in step S235b, the first core 21 sets the ECC diagnosis result to NG.

本実施形態の電子制御装置100は、上記実施形態と同様の効果を奏することができる。さらに、本実施形態の電子装置100は、ECC機能が正常に働いているか検証することができ、ECC機能の信頼性を向上させることができる。   The electronic control device 100 according to this embodiment can achieve the same effects as those of the above embodiment. Furthermore, the electronic apparatus 100 according to the present embodiment can verify whether the ECC function is working normally, and can improve the reliability of the ECC function.

(第4実施形態)
図15を用いて、第4実施形態の電子制御装置100に関して説明する。本実施形態では、上記実施形態と異なる点を中心に説明する。本実施形態の電子制御装置100は、例外割込処理の一部が上記実施形態の電子制御装置100と異なる。 (Fourth embodiment)
The electronic control device 100 according to the fourth embodiment will be described with reference to FIG. In the present embodiment, the description will be focused on differences from the above embodiment. The electronic control apparatus 100 according to the present embodiment is different from the electronic control apparatus 100 according to the above-described embodiment in part of exception interrupt processing.

なお、図15のフローチャートでは、図4のフローチャートと同じ処理に関して、同じステップ番号を用いている。このステップ番号の処理は、図4の説明を適用できる。また、本実施形態の電子制御装置100は、上記実施形態と同様の構成をなしている。よって、本実施形態では、上記実施形態と同じ符号を用いる。   In the flowchart of FIG. 15, the same step numbers are used for the same processes as those of the flowchart of FIG. The description of FIG. 4 can be applied to the processing of this step number. Moreover, the electronic control apparatus 100 of this embodiment has the same configuration as that of the above-described embodiment. Therefore, in this embodiment, the same code | symbol as the said embodiment is used.

第1コア21は、ステップS22でYES判定するとステップS70へ進む。ステップS70では、第1コア21は、例外処理カウンタをインクリメントする(回数判定部)。つまり、第1コア21は、意図した例外発生の回数をカウントする。ステップS71では、例外処理カウント値>閾値であるか否かを判定する(回数判定部)。第1コア21は、例外処理カウント>閾値であると判定した場合はステップS26へ進み、例外処理カウント値>閾値であると判定しなかった場合はステップS23へ進む。このように、第1コア21は、例外処理カウント値が閾値を超えたと判定した場合、例外処理を行なうことなく、マイコン10をリセットする(リセット部)。なお、第1コア21は、例外処理カウント≧閾値と判定した場合にステップS26に進んでもよい。   If the first core 21 determines YES in step S22, the process proceeds to step S70. In step S70, the first core 21 increments the exception handling counter (number determination unit). That is, the first core 21 counts the number of intended exception occurrences. In step S71, it is determined whether or not exception processing count value> threshold value (number determination unit). The first core 21 proceeds to step S26 if it is determined that the exception processing count> threshold, and proceeds to step S23 if it is not determined that the exception processing count value> threshold. As described above, when the first core 21 determines that the exception process count value exceeds the threshold value, the first core 21 resets the microcomputer 10 without performing the exception process (reset unit). The first core 21 may proceed to step S26 when it is determined that the exception process count ≧ the threshold value.

本実施形態の電子制御装置100は、上記実施形態と同様の効果を奏することができる。さらに、電子制御装置100は、意図した例外発生と判定した場合であっても、その回数が数回(閾値)行われると、マイコン10をリセットする。このため、電子制御装置100は、意図した例外発生が継続する場合に、マイコン10をリセットすることができる。   The electronic control device 100 according to this embodiment can achieve the same effects as those of the above embodiment. Furthermore, even when it is determined that the intended exception has occurred, the electronic control unit 100 resets the microcomputer 10 when the number of times is performed (threshold). For this reason, the electronic control unit 100 can reset the microcomputer 10 when the intended exception continues.

なお、上記実施形態では、リソースとしてメモリを採用した。しかしながら、本開示は、これに限定されず、リソースとしてI/O70を採用することもできる。この場合であっても、上記と同様の効果を奏することができる。   In the above embodiment, a memory is used as a resource. However, the present disclosure is not limited to this, and the I / O 70 can be adopted as a resource. Even in this case, the same effects as described above can be obtained.

10…マイコン、21…第1コア、22…第2コア、30…RAM、30a…非保護領域、30b…保護領域、40…ROM、50…メモリ保護ユニット、60…ECC異常注入ユニット、70…I/O、80…入出力回路、100…電子制御装置210…クランク角センサ、220…インジェクタ   DESCRIPTION OF SYMBOLS 10 ... Microcomputer, 21 ... 1st core, 22 ... 2nd core, 30 ... RAM, 30a ... Non-protection area, 30b ... Protection area, 40 ... ROM, 50 ... Memory protection unit, 60 ... ECC abnormal injection unit, 70 ... I / O, 80 ... Input / output circuit, 100 ... Electronic control device 210 ... Crank angle sensor, 220 ... Injector

Claims (7)

プログラムの命令を実行することでリソースへアクセスするものであり、
前記リソースへのアクセスエラーが発生した際に、エラー発生時の処理である例外処理を実行するための割り込みを発生させる割込発生部(S20)と、
前記割り込みが発生してから、中断された前記プログラムの前記命令の実効に戻る前までに実行されるものであり、前記プログラムにおける前記エラー発生時の前記命令よりも後に実行される前記命令の位置を、中断した前記プログラムの前記命令の実効に戻る際の戻り位置として設定する位置設定部(S211、S211a、S211b、S25)と、を備えている電子制御装置。 The resource is accessed by executing the instructions of the program,
An interrupt generation unit (S20) for generating an interrupt for executing an exception process, which is a process when an error occurs, when an access error to the resource occurs;
The position of the instruction that is executed after the interruption occurs and before returning to the execution of the instruction of the interrupted program, and executed after the instruction at the time of the error occurrence in the program And a position setting unit (S211, S211a, S211b, S25) that sets a return position when returning to execution of the instruction of the interrupted program. 前記戻り位置を設定するために、前記プログラムを解析して前記アクセスエラーが発生した際の前記命令の命令長を読み出す解析部(S24)を、さらに備え、
前記位置設定部は、前記アクセスエラーが発生した際の前記位置よりも前記命令長分の処理を進めた前記命令の前記位置を、前記戻り位置として設定する請求項1に記載の電子制御装置。 In order to set the return position, the analyzer further includes an analysis unit (S24) that analyzes the program and reads the instruction length of the instruction when the access error occurs,
2. The electronic control device according to claim 1, wherein the position setting unit sets the position of the command that has been processed by the command length more than the position when the access error occurs as the return position. 前記リソースとして、メモリ保護領域とメモリ非保護領域とを含むメモリを備えており、
前記割込発生部は、前記メモリ非保護領域における前記プログラムの実行に伴って前記メモリ保護領域へアクセスがあった場合に、前記アクセスエラーが発生したとみなして、前記割り込みを発生させ、
前記位置設定部は、中断した前記プログラムの前記命令の実効に戻る際の前記戻り位置が前記メモリ非保護領域と判定した場合、前記プログラムにおける前記エラー発生時の前記命令よりも後に実行される前記命令の前記位置を、中断した前記プログラムの前記命令の実効に戻る際の前記戻り位置として設定する請求項1または2に記載の電子制御装置。 The resource includes a memory including a memory protection area and a memory non-protection area,
The interrupt generation unit considers that the access error has occurred when the memory protected area is accessed along with the execution of the program in the memory non-protected area, and generates the interrupt.
The position setting unit is executed after the instruction at the time of the error occurrence in the program, when the return position when returning to the execution of the instruction of the interrupted program is determined to be the memory non-protected area The electronic control device according to claim 1, wherein the position of the instruction is set as the return position when returning to the execution of the instruction of the interrupted program. 前記アクセスエラーが発生したとみなして前記割り込みを発生させた場合、前記例外処理では、前記メモリ保護領域の値を保護するとともに、前記メモリ保護領域への前記アクセスエラーが発生したことを示す異常コードを保存する請求項3に記載の電子制御装置。   When the interrupt is generated on the assumption that the access error has occurred, the exception processing protects the value of the memory protection area and an abnormal code indicating that the access error to the memory protection area has occurred The electronic control device according to claim 3, wherein the electronic control device is stored. 前記リソースとしてのメモリと、前記メモリに誤り訂正符号を注入する注入部と、を備えており、
前記割込発生部は、前記誤り訂正符号が注入された前記メモリにアクセスすることで、前記リソースへのアクセスエラーが発生するとみなして、前記割り込みを発生させ、
前記位置設定部は、前記誤り訂正符号が注入された診断中であるか否かを判定し、前記診断中と判定した場合、前記プログラムにおける前記エラー発生時の前記命令よりも後に実行される前記命令の前記位置を、中断した前記プログラムの前記命令の実効に戻る際の前記戻り位置として設定する請求項1または2に記載の電子制御装置。 A memory as the resource, and an injection unit for injecting an error correction code into the memory,
The interrupt generation unit considers that an access error to the resource occurs by accessing the memory into which the error correction code is injected, and generates the interrupt,
The position setting unit determines whether or not the error correction code has been injected, and determines that the diagnosis is being performed, and the position setting unit is executed after the instruction at the time of the error occurrence in the program The electronic control device according to claim 1, wherein the position of the instruction is set as the return position when returning to the execution of the instruction of the interrupted program. 前記リソースとして、不揮発性記憶部を備えており、
前記割込発生部は、前記不揮発性記憶部へのアクセスエラーが発生した際に、割り込みを発生させる請求項1または2に記載の電子制御装置。 A non-volatile storage unit is provided as the resource,
The electronic control device according to claim 1, wherein the interrupt generation unit generates an interrupt when an access error to the nonvolatile storage unit occurs. 前記プログラムの前記命令を実行する処理部を含むマイコンを備えており、
前記マイコンは、
前記例外処理が必要な前記アクセスエラーの発生回数をカウントし、カウント値が閾値を超えたか否かを判定する回数判定部(S70、S71)と、
前記カウント値が前記閾値を超えたと判定された場合、前記例外処理を行なうことなく、前記マイコンをリセットするリセット部(S26)と、をさらに備えている請求項1〜6のいずれか1項に記載の電子制御装置。 A microcomputer including a processing unit for executing the instructions of the program;
The microcomputer is
A number determination unit (S70, S71) that counts the number of occurrences of the access error that requires the exception processing and determines whether the count value exceeds a threshold;
The reset part (S26) which resets the said microcomputer, without performing the said exception process, when it determines with the said count value having exceeded the said threshold value, The any one of Claims 1-6 further provided. The electronic control device described.
JP2018108925A 2018-06-06 2018-06-06 Electronic control device Active JP7091853B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2018108925A JP7091853B2 (en) 2018-06-06 2018-06-06 Electronic control device
DE102019208129.0A DE102019208129B4 (en) 2018-06-06 2019-06-04 Electronic control unit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018108925A JP7091853B2 (en) 2018-06-06 2018-06-06 Electronic control device

Publications (2)

Publication Number Publication Date
JP2019212124A true JP2019212124A (en) 2019-12-12
JP7091853B2 JP7091853B2 (en) 2022-06-28

Family

ID=68651998

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018108925A Active JP7091853B2 (en) 2018-06-06 2018-06-06 Electronic control device

Country Status (2)

Country Link
JP (1) JP7091853B2 (en)
DE (1) DE102019208129B4 (en)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012086631A (en) * 2010-10-18 2012-05-10 Denso Corp In-vehicle electronic controller
JP2015060249A (en) * 2013-09-17 2015-03-30 株式会社東芝 Information processing device and program execution method
JP2015185123A (en) * 2014-03-26 2015-10-22 株式会社デンソー electronic control unit
JP2016031659A (en) * 2014-07-29 2016-03-07 株式会社デンソー Electronic control unit
JP2016110503A (en) * 2014-12-09 2016-06-20 株式会社デンソー Micro controller
JP2017208058A (en) * 2016-05-16 2017-11-24 株式会社デンソー Information processing device
JP2018041402A (en) * 2016-09-09 2018-03-15 株式会社デンソー Electronic control device

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014035730A (en) 2012-08-10 2014-02-24 Hitachi Automotive Systems Ltd Vehicle control device

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012086631A (en) * 2010-10-18 2012-05-10 Denso Corp In-vehicle electronic controller
JP2015060249A (en) * 2013-09-17 2015-03-30 株式会社東芝 Information processing device and program execution method
JP2015185123A (en) * 2014-03-26 2015-10-22 株式会社デンソー electronic control unit
JP2016031659A (en) * 2014-07-29 2016-03-07 株式会社デンソー Electronic control unit
JP2016110503A (en) * 2014-12-09 2016-06-20 株式会社デンソー Micro controller
JP2017208058A (en) * 2016-05-16 2017-11-24 株式会社デンソー Information processing device
JP2018041402A (en) * 2016-09-09 2018-03-15 株式会社デンソー Electronic control device

Also Published As

Publication number Publication date
DE102019208129B4 (en) 2021-02-04
DE102019208129A1 (en) 2019-12-12
JP7091853B2 (en) 2022-06-28

Similar Documents

Publication Publication Date Title
KR101110490B1 (en) Information processing device, processor and memory management method
JP2007249933A (en) Managing access to content in data processing apparatus
JP2013137835A (en) Microcomputer and method of operation thereof
JP2008009721A (en) Evaluation system and evaluation method thereof
US20200310821A1 (en) Information processing apparatus, control method therefor, and storage medium
US10108469B2 (en) Microcomputer and microcomputer system
US8069309B1 (en) Servicing memory in response to system failure
JP2010170462A (en) Fault handling device and method
JP2018067047A (en) Controller
JP7091853B2 (en) Electronic control device
JP5561791B2 (en) Information processing apparatus, information processing method, and information processing program
US9778981B2 (en) Microcontroller
JP2008003940A (en) Protection control device, protection control method, and protection control program
CN111061591B (en) System and method for implementing data integrity check based on memory integrity check controller
US7475212B2 (en) Method for reallocation of a memory of a subsystem, and subsystem
US20130055017A1 (en) Device and method for restoring information in a main storage unit
JP2000059981A (en) Digital protective relay device
JP6025193B2 (en) Cache memory, cache memory failure control method, and information processing system
JP2000132461A (en) Information controller
JP2008140124A (en) Data processor
JP6914430B2 (en) Memory diagnostic device and memory diagnostic method
KR100928865B1 (en) Stack expansion and protection methods in computer systems and devices therefor
JP4114004B2 (en) Semiconductor integrated circuit
JP2009271597A (en) Processor
JP7074291B2 (en) Information processing equipment, information processing methods and programs

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210218

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20211224

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220111

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220225

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220517

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220530

R151 Written notification of patent or utility model registration

Ref document number: 7091853

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151