JP2557809Y2 - 暴走監視装置 - Google Patents
暴走監視装置Info
- Publication number
- JP2557809Y2 JP2557809Y2 JP1991104444U JP10444491U JP2557809Y2 JP 2557809 Y2 JP2557809 Y2 JP 2557809Y2 JP 1991104444 U JP1991104444 U JP 1991104444U JP 10444491 U JP10444491 U JP 10444491U JP 2557809 Y2 JP2557809 Y2 JP 2557809Y2
- Authority
- JP
- Japan
- Prior art keywords
- cpu
- carry
- output
- out signal
- runaway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Landscapes
- Debugging And Monitoring (AREA)
Description
【0001】
【産業上の利用分野】この考案は、第1のCPUと第2
のCPUとが相互に監視し合うことで暴走監視機能を高
めた暴走監視装置に関する。
のCPUとが相互に監視し合うことで暴走監視機能を高
めた暴走監視装置に関する。
【0002】
【従来の技術】図3に示す暴走監視装置1は、衝突事故
にさいして車両の乗員を保護するエアバッグ装置に搭載
されたCPU2の暴走を監視するための装置である。C
PU2は、車両の速度変化や加速度変化を総合的に判断
し、車両の衝突を判定したときに即座にエアバッグを展
開動作させる使命を帯びており、衝突判定のためのプロ
グラムを消化実行する。ただし、車両が衝突してもいな
いときにCPU2が暴走してエアバッグの展開信号を出
力することがないよう、CPU2の動作は常に厳重に監
視する必要があり、このためCPU2を診断して監視す
るためのウォッチドッグ回路3が、一定の周期でもって
CPU2の診断を繰り返すよう構成してある。
にさいして車両の乗員を保護するエアバッグ装置に搭載
されたCPU2の暴走を監視するための装置である。C
PU2は、車両の速度変化や加速度変化を総合的に判断
し、車両の衝突を判定したときに即座にエアバッグを展
開動作させる使命を帯びており、衝突判定のためのプロ
グラムを消化実行する。ただし、車両が衝突してもいな
いときにCPU2が暴走してエアバッグの展開信号を出
力することがないよう、CPU2の動作は常に厳重に監
視する必要があり、このためCPU2を診断して監視す
るためのウォッチドッグ回路3が、一定の周期でもって
CPU2の診断を繰り返すよう構成してある。
【0003】本例に示したウォッチドッグ回路3はカウ
ンタ4を内蔵しており、まず車載電源の投入を受けて、
ウォッチドッグ回路3は内蔵するカウンタ4が零から計
数動作を開始する。そして、カウンタ4の計数値が一定
値に達した時点で桁上がりを示すキャリーアウト信号を
出力する。ウォッチドッグ回路3のキャリーアウト出力
端子は、監視対象であるCPU2の強制割り込み入力端
子(NMIバー)に接続されているため、キャリーアウ
ト信号を受けたCPU2は、メインルーチンの処理動作
を中断して応答動作に入る。ここでは、ウォッチドッグ
回路3内のカウンタ4をCPU2がクリアすることで応
答する構成としてあり、カウンタ4の計数値をクリアで
きるのはCPU2からのクリアパルスに限られる。この
ため、CPU2が正常に動作している場合は、カウンタ
4がオーバフローする前にCPU2が出力するクリアパ
ルスによりカウンタ4はクリアされる。しかし、CPU
2の動作に異常が発生した場合、すなわち暴走が発生し
た場合は、CPU2はクリアパルスを出力しないため、
カウンタ4はオーバフローしてしまい、オーバフローと
同時にウォッチドッグ回路3からCPU2に対して動作
停止命令が出力される。
ンタ4を内蔵しており、まず車載電源の投入を受けて、
ウォッチドッグ回路3は内蔵するカウンタ4が零から計
数動作を開始する。そして、カウンタ4の計数値が一定
値に達した時点で桁上がりを示すキャリーアウト信号を
出力する。ウォッチドッグ回路3のキャリーアウト出力
端子は、監視対象であるCPU2の強制割り込み入力端
子(NMIバー)に接続されているため、キャリーアウ
ト信号を受けたCPU2は、メインルーチンの処理動作
を中断して応答動作に入る。ここでは、ウォッチドッグ
回路3内のカウンタ4をCPU2がクリアすることで応
答する構成としてあり、カウンタ4の計数値をクリアで
きるのはCPU2からのクリアパルスに限られる。この
ため、CPU2が正常に動作している場合は、カウンタ
4がオーバフローする前にCPU2が出力するクリアパ
ルスによりカウンタ4はクリアされる。しかし、CPU
2の動作に異常が発生した場合、すなわち暴走が発生し
た場合は、CPU2はクリアパルスを出力しないため、
カウンタ4はオーバフローしてしまい、オーバフローと
同時にウォッチドッグ回路3からCPU2に対して動作
停止命令が出力される。
【0004】
【考案が解決しようとする課題】上記従来の暴走監視装
置1は、ウォッチドッグ回路3がカウンタ4の計数周期
でもってCPU2を監視する構成であるため、ウォッチ
ドッグ回路3内のカウンタ4が正常に動作している場合
は、CPU2の異常をクリアパルスの出力が途絶えたこ
とをもって検出することができる。しかし、CPU2を
診断監視する立場にあるウォッチドッグ回路3の側でな
んらかの異常が発生し、カウンタ4の計数動作が停止し
てしまった場合は、キャリーアウト信号がCPU2に供
給されなくなるため、CPU2がクリアパルスを出力し
なくともカウンタ4がオーバフローに至ることはなく、
そのためにウォッチドッグ回路3はCPU2に対する監
視機能を放棄したに等しい状態に陥ってしまう。従っ
て、こうした状況下で仮にCPU2が暴走した場合に
は、ウォッチドッグ回路3の異常に気付かないままCP
U2の暴走も看過されてしまうために、いざというとき
にエアバッグが展開せず、高価なシステムが人命保護に
まったく役立たないことがあるといった課題を抱えてい
た。また、エアバッグ装置に限らず、人命に拘わるよう
な高い信頼性が要求される他のシステムにおいても、C
PU2とその動作を監視するウォッチドッグ回路3につ
いて同様の課題を抱えていた。また、特開平1−103
750号「マイクロコンピュータの暴走検出回路の試験
方法」には、マイクロコンピュータが動作開始時に故意
に正常な周波数範囲から逸脱した周波数の信号を出力
し、暴走検出回路がリセット信号を出力するか否かを試
験するようにした試験方法が開示されている。しかしな
がら、この方法は、動作開示時にだけ暴走検出回路の異
常の有無をチェックするだけであり、マイクロコンピュ
ータの動作期間中に定期的に暴走検出回路の異常の有無
をチェックすることはできない等の課題を抱えるもので
あった。また、マイクロコンピュータが暴走検出回路に
出力する信号は、アンチスキッド装置に用いるポンピン
グ信号と呼ばれる30Hzの信号であり、このポンピン
グ信号が20Hz以下或いは40Hz以上となったとき
にマイクロコンピュータに異常が発生したものとしてリ
セット信号を発するため、周波数弁別精度が低下したと
きに診断精度自体も低下するといった課題を抱えるもの
であった。 また、特開昭62−72038号「プログラ
ム暴走検出装置の試験方法」には 、計算機の稼働状態に
影響を与えることなく計算機暴走監視用のウォッチドッ
グタイマの試験を可能にした装置が開示されている。こ
のものは、暴走監視時間として2秒間が設定されたウォ
ッチドッグタイマが、プログラムが暴走していないとき
は0〜0.1秒のカウントを繰り返すが、プログラムが
暴走したときは、計算機がウォッチドッグタイマのリス
タートプログラムが実行できなくなったことを受け、2
秒後にプログラムの暴走を検出するようになっている。
すなわち、ウォッチドッグタイマの計時機能によりリス
タートプログラムの繰り返し周期を監視しているが、ウ
ォッチドッグタイマの試験に関しては、60秒単位で実
行するテストプログラムを実行する必要があり、しかも
その場合に切替装置を切り替えることで、ウォッチドッ
グタイマの出力信号を計算機状態表示器や自動起動装置
を迂回させて計算機に帰還させるようにする必要があ
り、このためウォッチドッグタイマの出力を計算機に迂
回帰還させるための手段として切替装置と信号入力装置
が必要であり、かつまた切替装置のための切り替え信号
を出力する切り替え信号出力装置も必要であるため、装
置全体の構成が複雑化しやすいといった課題を抱えるも
のであった。また、ウォッチドッグタイマの試験は、故
意にリスタートプログラムを実行しないことで暴走検出
信号を出力させる方法によっており、しかも2秒経過後
に暴走検出信号が得られれば問題なしとしているため、
例えばウォッチドッグタイマの計時動作自体の劣化で1
0秒経過後に暴走検出信号が得られた場合でも、ウォッ
チドッグタイマに異常無しと判断してしまう危険がある
等の課題があった。 また、特開平3−204040号
「マイクロコンピュータ用暴走監視回路の診断装置」に
は、マイクロコンピュータから所定周期で出力されるプ
ログラムラン信号が途絶えたときにリセット信号を出力
する暴走監視回路について、例えば電源投入時等の診断
時には、暴走監視回路の出力端子とマイクロコンピュー
タのリセット端子の接続を遮断し、マイクロコンピュー
タにリセットがかからないようにした上で、マイクロコ
ンピュータから通常のプログラムラン信号に代えて診断
用プログラムラン信号を暴走監視回路に与え、このとき
の暴走監視回路の出力を読み込んで暴走監視回路の異常
の有無を診断するようにした装置が開示されている。し
かしながら、このものは、暴走監視回路は暴走監視のた
めだけに存在する ものであり、マイクロコンピュータの
仕事を分担して処理するものではないため、マイクロコ
ンピュータと暴走監視回路がそれぞれの稼働期間におい
て定期的に相互監視するといった必然性は存在せず、暴
走監視回路の診断は電源投入時に行えば十分であり、ま
た暴走監視回路の診断にしても、プログラムラン信号の
周期をTとしたときに、周期Tの下限許容値と上限許容
値の間の診断用プログラムラン信号に対して暴走監視回
路がリセット信号を出力せず、また下限許容値に満たな
いか又は上限許容値を越える周期の診断用プログラムラ
ン信号に対してリセット信号を出力する場合に正常であ
ると判断するだけであり、周期が異なる3種類の診断用
プログラムラン信号を用意する必要があるため、診断動
作が複雑で面倒である等の課題を抱えるものであった。
さらにまた、特開平2−73451号「制御装置」に
は、複数のCPUの動作状態を他のCPUに監視させる
ことにより、最終的に1つのリセット手段によりシステ
ムリセット信号を発生させ、パルス検出回路を省略する
ようにした装置が開示されている。しかしながら、この
ものは、4基のCPUに主従関係をもたせ、主CPUか
ら従CPUに向けてパルス信号を出力して順繰りに監視
するだけであり、従CPUがウォッチドッグタイマの役
割を果たしているに過ぎず、主CPUと従CPUとが診
断信号をキャッチボールしながら相互診断するものでな
いため、迅速できめ細かな診断ができない等の課題を抱
えるものであった。
置1は、ウォッチドッグ回路3がカウンタ4の計数周期
でもってCPU2を監視する構成であるため、ウォッチ
ドッグ回路3内のカウンタ4が正常に動作している場合
は、CPU2の異常をクリアパルスの出力が途絶えたこ
とをもって検出することができる。しかし、CPU2を
診断監視する立場にあるウォッチドッグ回路3の側でな
んらかの異常が発生し、カウンタ4の計数動作が停止し
てしまった場合は、キャリーアウト信号がCPU2に供
給されなくなるため、CPU2がクリアパルスを出力し
なくともカウンタ4がオーバフローに至ることはなく、
そのためにウォッチドッグ回路3はCPU2に対する監
視機能を放棄したに等しい状態に陥ってしまう。従っ
て、こうした状況下で仮にCPU2が暴走した場合に
は、ウォッチドッグ回路3の異常に気付かないままCP
U2の暴走も看過されてしまうために、いざというとき
にエアバッグが展開せず、高価なシステムが人命保護に
まったく役立たないことがあるといった課題を抱えてい
た。また、エアバッグ装置に限らず、人命に拘わるよう
な高い信頼性が要求される他のシステムにおいても、C
PU2とその動作を監視するウォッチドッグ回路3につ
いて同様の課題を抱えていた。また、特開平1−103
750号「マイクロコンピュータの暴走検出回路の試験
方法」には、マイクロコンピュータが動作開始時に故意
に正常な周波数範囲から逸脱した周波数の信号を出力
し、暴走検出回路がリセット信号を出力するか否かを試
験するようにした試験方法が開示されている。しかしな
がら、この方法は、動作開示時にだけ暴走検出回路の異
常の有無をチェックするだけであり、マイクロコンピュ
ータの動作期間中に定期的に暴走検出回路の異常の有無
をチェックすることはできない等の課題を抱えるもので
あった。また、マイクロコンピュータが暴走検出回路に
出力する信号は、アンチスキッド装置に用いるポンピン
グ信号と呼ばれる30Hzの信号であり、このポンピン
グ信号が20Hz以下或いは40Hz以上となったとき
にマイクロコンピュータに異常が発生したものとしてリ
セット信号を発するため、周波数弁別精度が低下したと
きに診断精度自体も低下するといった課題を抱えるもの
であった。 また、特開昭62−72038号「プログラ
ム暴走検出装置の試験方法」には 、計算機の稼働状態に
影響を与えることなく計算機暴走監視用のウォッチドッ
グタイマの試験を可能にした装置が開示されている。こ
のものは、暴走監視時間として2秒間が設定されたウォ
ッチドッグタイマが、プログラムが暴走していないとき
は0〜0.1秒のカウントを繰り返すが、プログラムが
暴走したときは、計算機がウォッチドッグタイマのリス
タートプログラムが実行できなくなったことを受け、2
秒後にプログラムの暴走を検出するようになっている。
すなわち、ウォッチドッグタイマの計時機能によりリス
タートプログラムの繰り返し周期を監視しているが、ウ
ォッチドッグタイマの試験に関しては、60秒単位で実
行するテストプログラムを実行する必要があり、しかも
その場合に切替装置を切り替えることで、ウォッチドッ
グタイマの出力信号を計算機状態表示器や自動起動装置
を迂回させて計算機に帰還させるようにする必要があ
り、このためウォッチドッグタイマの出力を計算機に迂
回帰還させるための手段として切替装置と信号入力装置
が必要であり、かつまた切替装置のための切り替え信号
を出力する切り替え信号出力装置も必要であるため、装
置全体の構成が複雑化しやすいといった課題を抱えるも
のであった。また、ウォッチドッグタイマの試験は、故
意にリスタートプログラムを実行しないことで暴走検出
信号を出力させる方法によっており、しかも2秒経過後
に暴走検出信号が得られれば問題なしとしているため、
例えばウォッチドッグタイマの計時動作自体の劣化で1
0秒経過後に暴走検出信号が得られた場合でも、ウォッ
チドッグタイマに異常無しと判断してしまう危険がある
等の課題があった。 また、特開平3−204040号
「マイクロコンピュータ用暴走監視回路の診断装置」に
は、マイクロコンピュータから所定周期で出力されるプ
ログラムラン信号が途絶えたときにリセット信号を出力
する暴走監視回路について、例えば電源投入時等の診断
時には、暴走監視回路の出力端子とマイクロコンピュー
タのリセット端子の接続を遮断し、マイクロコンピュー
タにリセットがかからないようにした上で、マイクロコ
ンピュータから通常のプログラムラン信号に代えて診断
用プログラムラン信号を暴走監視回路に与え、このとき
の暴走監視回路の出力を読み込んで暴走監視回路の異常
の有無を診断するようにした装置が開示されている。し
かしながら、このものは、暴走監視回路は暴走監視のた
めだけに存在する ものであり、マイクロコンピュータの
仕事を分担して処理するものではないため、マイクロコ
ンピュータと暴走監視回路がそれぞれの稼働期間におい
て定期的に相互監視するといった必然性は存在せず、暴
走監視回路の診断は電源投入時に行えば十分であり、ま
た暴走監視回路の診断にしても、プログラムラン信号の
周期をTとしたときに、周期Tの下限許容値と上限許容
値の間の診断用プログラムラン信号に対して暴走監視回
路がリセット信号を出力せず、また下限許容値に満たな
いか又は上限許容値を越える周期の診断用プログラムラ
ン信号に対してリセット信号を出力する場合に正常であ
ると判断するだけであり、周期が異なる3種類の診断用
プログラムラン信号を用意する必要があるため、診断動
作が複雑で面倒である等の課題を抱えるものであった。
さらにまた、特開平2−73451号「制御装置」に
は、複数のCPUの動作状態を他のCPUに監視させる
ことにより、最終的に1つのリセット手段によりシステ
ムリセット信号を発生させ、パルス検出回路を省略する
ようにした装置が開示されている。しかしながら、この
ものは、4基のCPUに主従関係をもたせ、主CPUか
ら従CPUに向けてパルス信号を出力して順繰りに監視
するだけであり、従CPUがウォッチドッグタイマの役
割を果たしているに過ぎず、主CPUと従CPUとが診
断信号をキャッチボールしながら相互診断するものでな
いため、迅速できめ細かな診断ができない等の課題を抱
えるものであった。
【0005】
【課題を解決するための手段】この考案は、上記課題を
解決したものであり、それぞれが固有の動作プログラム
に従って動作する第1のCPUと第2のCPUが相互に
監視し合い、いずれか少なくとも一方のCPUに異常が
発生したときに停止回路が両CPUを強制的に停止させ
る暴走監視装置において、前記第1のCPUは、所定の
プログラムの実行に伴い所定のタイミングでクリアパル
スを発生するとともに、前記第2のCPUの計数動作を
一定の診断期間を指定して診断し、該計数動作に異常が
ある場合に異常検出信号を出力し、前記第2のCPU
は、前記クリアパルスによりリセットされたのち計数動
作を開始し、計数値が所定の上限値に達するまでに前記
クリアパルスが再度入力されない場合は、前記第1のC
PUが異常であることを示す キャリーアウト信号を出力
し、前記停止回路は、前記第1のCPUから異常検出信
号が供給されるか又は前記第2のCPUが前記キャリー
アウト信号が供給されたときに、該両CPUを強制的に
停止させることを特徴とするものである。 さらに、本発
明は、前記第1のCPUが、前記第2のCPUに対し診
断モードを指定し、前記第2のCPUから供給される計
数出力を監視することによって、前記第2のCPUの計
数動作と該計数動作のリセット及び計数限界を示すキャ
リーアウト信号の出力の有無を診断し、前記診断モード
の指定を解除したあとは、前記第2のCPUが前記キャ
リーアウト信号を出力する前にクリアパルスを発生して
前記計数動作をリセットし、前記第2のCPUが、前記
第1のCPUにより前記診断モードを指定されたとき
は、前記キャリーアウト信号を前記第1のCPUに供給
するとともに、前記診断モードを解除されたときは、前
記キャリーアウト信号を異常検出信号として前記停止回
路に出力することを特徴とするものである。
解決したものであり、それぞれが固有の動作プログラム
に従って動作する第1のCPUと第2のCPUが相互に
監視し合い、いずれか少なくとも一方のCPUに異常が
発生したときに停止回路が両CPUを強制的に停止させ
る暴走監視装置において、前記第1のCPUは、所定の
プログラムの実行に伴い所定のタイミングでクリアパル
スを発生するとともに、前記第2のCPUの計数動作を
一定の診断期間を指定して診断し、該計数動作に異常が
ある場合に異常検出信号を出力し、前記第2のCPU
は、前記クリアパルスによりリセットされたのち計数動
作を開始し、計数値が所定の上限値に達するまでに前記
クリアパルスが再度入力されない場合は、前記第1のC
PUが異常であることを示す キャリーアウト信号を出力
し、前記停止回路は、前記第1のCPUから異常検出信
号が供給されるか又は前記第2のCPUが前記キャリー
アウト信号が供給されたときに、該両CPUを強制的に
停止させることを特徴とするものである。 さらに、本発
明は、前記第1のCPUが、前記第2のCPUに対し診
断モードを指定し、前記第2のCPUから供給される計
数出力を監視することによって、前記第2のCPUの計
数動作と該計数動作のリセット及び計数限界を示すキャ
リーアウト信号の出力の有無を診断し、前記診断モード
の指定を解除したあとは、前記第2のCPUが前記キャ
リーアウト信号を出力する前にクリアパルスを発生して
前記計数動作をリセットし、前記第2のCPUが、前記
第1のCPUにより前記診断モードを指定されたとき
は、前記キャリーアウト信号を前記第1のCPUに供給
するとともに、前記診断モードを解除されたときは、前
記キャリーアウト信号を異常検出信号として前記停止回
路に出力することを特徴とするものである。
【0006】
【作用】この考案は、それぞれが固有の動作プログラム
に従って動作する第1のCPUと第2のCPUが相互監
視し、第1のCPUが所定のプログラムの実行に伴い所
定のタイミングでクリアパルスを発生する一方、第2の
CPUは前記クリアパルスによりリセットされたのち計
数動作を開始し、計数値が所定の上限値に達するまでに
前記クリアパルスが再度入力されない場合は、前記第1
のCPUが異常であるとしてキャリーアウト信号を発生
し、クリアパルス発生後に第1のCPUが一定の診断期
間を指定して第2のCPUの計数動作を診断し、計数動
作の異常を検出したときに出力される異常検出信号か又
は前記キャリーアウト信号が停止回路に供給されたとき
に、両CPUを強制的に停止させる。
に従って動作する第1のCPUと第2のCPUが相互監
視し、第1のCPUが所定のプログラムの実行に伴い所
定のタイミングでクリアパルスを発生する一方、第2の
CPUは前記クリアパルスによりリセットされたのち計
数動作を開始し、計数値が所定の上限値に達するまでに
前記クリアパルスが再度入力されない場合は、前記第1
のCPUが異常であるとしてキャリーアウト信号を発生
し、クリアパルス発生後に第1のCPUが一定の診断期
間を指定して第2のCPUの計数動作を診断し、計数動
作の異常を検出したときに出力される異常検出信号か又
は前記キャリーアウト信号が停止回路に供給されたとき
に、両CPUを強制的に停止させる。
【0007】
【実施例】以下、この考案の実施例について、図1,2
を参照して説明する。図1は、この考案の暴走監視装置
の一実施例を示す回路構成図、図2は、図1に示した主
CPUと従CPUの動作を説明するためのフローチャー
トである。
を参照して説明する。図1は、この考案の暴走監視装置
の一実施例を示す回路構成図、図2は、図1に示した主
CPUと従CPUの動作を説明するためのフローチャー
トである。
【0008】図1に示す暴走監視装置11は、第1のC
PUとしての主CPU12の動作を監視するため従来の
ウォッチドッグ回路に代えて、第2のCPUとして従C
PU13を設け、主従の関係にあるこれら一対のCPU
12,13を相互監視させるとともに、両CPU12,
13に停止信号を入力するための停止回路14を設けて
構成したものである。主CPU12は、例えば車載用エ
アバッグ装置を動作させるためのプログラムを含むメイ
ンルーチンを実行するものであり、対する従CPU13
は、主CPU12の動作を補完する立場にあり、主CP
U12の管轄外の仕事に対して所定のメインルーチンを
実行する。
PUとしての主CPU12の動作を監視するため従来の
ウォッチドッグ回路に代えて、第2のCPUとして従C
PU13を設け、主従の関係にあるこれら一対のCPU
12,13を相互監視させるとともに、両CPU12,
13に停止信号を入力するための停止回路14を設けて
構成したものである。主CPU12は、例えば車載用エ
アバッグ装置を動作させるためのプログラムを含むメイ
ンルーチンを実行するものであり、対する従CPU13
は、主CPU12の動作を補完する立場にあり、主CP
U12の管轄外の仕事に対して所定のメインルーチンを
実行する。
【0009】実施例に示した主CPU12は、従CPU
13側から供給される計数出力を監視し、計数動作に異
常があれば異常検出信号を出力する。また、従CPU1
3に対し診断モードを指定し、計数動作の外に計数動作
のリセットの成否及び計数限界を示すキャリーアウト信
号の出力の有無を診断し、異常があれば異常検出信号を
出力するとともに、診断モードの指定を解除したあと
は、従CPU13側からキャリーアウト信号が出力され
る前にクリアパルスを発生して計数動作をリセットす
る。
13側から供給される計数出力を監視し、計数動作に異
常があれば異常検出信号を出力する。また、従CPU1
3に対し診断モードを指定し、計数動作の外に計数動作
のリセットの成否及び計数限界を示すキャリーアウト信
号の出力の有無を診断し、異常があれば異常検出信号を
出力するとともに、診断モードの指定を解除したあと
は、従CPU13側からキャリーアウト信号が出力され
る前にクリアパルスを発生して計数動作をリセットす
る。
【0010】従CPU13は、主CPU12に対し計数
出力とキャリーアウト信号を供給する計数手段15を内
蔵する。この計数手段15は、8ビットのカウンタ16
とカウンタ16のキャリーアウト信号の出力先を切り替
える切り替えスイッチ17からなる。カウンタ16は、
主CPU12から送り込まれるクリアパルスによって計
数値を零にリセットされ、8ビットの計数出力をデータ
バスを介して主CPU12に送り出す。切り替えスイッ
チ17は、主CPU12から送り込まれる診断モードパ
ルスによって切り替えられ、診断モードにあっては主C
PU12側の接点に切り替わり、カウンタ16が出力す
るキャリーアウト信号を主CPU12に送り出す。ま
た、これとは逆に診断モードを解除されたときは、切り
替えスイッチ17は停止回路14側の接点に切り替わ
り、キャリーアウト信号を異常検出信号として停止回路
14に供給する。
出力とキャリーアウト信号を供給する計数手段15を内
蔵する。この計数手段15は、8ビットのカウンタ16
とカウンタ16のキャリーアウト信号の出力先を切り替
える切り替えスイッチ17からなる。カウンタ16は、
主CPU12から送り込まれるクリアパルスによって計
数値を零にリセットされ、8ビットの計数出力をデータ
バスを介して主CPU12に送り出す。切り替えスイッ
チ17は、主CPU12から送り込まれる診断モードパ
ルスによって切り替えられ、診断モードにあっては主C
PU12側の接点に切り替わり、カウンタ16が出力す
るキャリーアウト信号を主CPU12に送り出す。ま
た、これとは逆に診断モードを解除されたときは、切り
替えスイッチ17は停止回路14側の接点に切り替わ
り、キャリーアウト信号を異常検出信号として停止回路
14に供給する。
【0011】停止回路14は、主CPU12が出力する
異常検出信号と従CPU13が出力する異常検出信号を
受信し、これらの異常検出信号のいずれか少なくとも一
方を受信したときに主CPU12と従CPU13の各強
制割り込み入力端子(NMIバー)に停止信号を送り込
み、主CPU12と従CPU13の動作を強制的に停止
させる働きをする。
異常検出信号と従CPU13が出力する異常検出信号を
受信し、これらの異常検出信号のいずれか少なくとも一
方を受信したときに主CPU12と従CPU13の各強
制割り込み入力端子(NMIバー)に停止信号を送り込
み、主CPU12と従CPU13の動作を強制的に停止
させる働きをする。
【0012】ここで、図2のステップ(100)におい
て電源を投入すると、主CPU12と従CPU13は、
それぞれステップ(101)以下と(201)以下に示
すフローに沿って診断動作を実行する。まず、主CPU
12側から従CPU13を診断するため、ステップ(1
01)において、診断モードパルスのアクティブ出力を
送り出す。一方、従CPU側では、ステップ(201)
に示したように、電源の投入を受けてカウンタ16をセ
ットし、カウンタ16による計数動作を開始し、続くス
テップ(202)に示したように、主CPU12から診
断モードパルスが供給されるのを待つ。
て電源を投入すると、主CPU12と従CPU13は、
それぞれステップ(101)以下と(201)以下に示
すフローに沿って診断動作を実行する。まず、主CPU
12側から従CPU13を診断するため、ステップ(1
01)において、診断モードパルスのアクティブ出力を
送り出す。一方、従CPU側では、ステップ(201)
に示したように、電源の投入を受けてカウンタ16をセ
ットし、カウンタ16による計数動作を開始し、続くス
テップ(202)に示したように、主CPU12から診
断モードパルスが供給されるのを待つ。
【0013】判断ステップ(203)において、診断モ
ードパルスがいつまでたってもアクティブとならず、カ
ウンタ16がオーバフローした場合は、従CPU13
は、判断ステップ(204)において、オーバフローと
ともに異常検出信号を停止回路14に送り込む。その結
果、ステップ(300)において停止回路14から主C
PU12と従CPU13に対しそれぞれ停止信号が出力
され、システムは動作を停止する。一方、主CPU12
からの診断モードパルスがアクティブになった場合は、
判断ステップ(203)に続くステップ(205)にお
いて、切り替えスイッチ17が主CPU12側の接点に
切り替わり、これによりカウンタ16のキャリーアウト
信号が、切り替えスイッチ17を介して主CPU12に
供給されるようになる。
ードパルスがいつまでたってもアクティブとならず、カ
ウンタ16がオーバフローした場合は、従CPU13
は、判断ステップ(204)において、オーバフローと
ともに異常検出信号を停止回路14に送り込む。その結
果、ステップ(300)において停止回路14から主C
PU12と従CPU13に対しそれぞれ停止信号が出力
され、システムは動作を停止する。一方、主CPU12
からの診断モードパルスがアクティブになった場合は、
判断ステップ(203)に続くステップ(205)にお
いて、切り替えスイッチ17が主CPU12側の接点に
切り替わり、これによりカウンタ16のキャリーアウト
信号が、切り替えスイッチ17を介して主CPU12に
供給されるようになる。
【0014】診断モードパルスをアクティブ出力し、従
CPU13に対し診断モードを指定した主CPU12
は、ステップ(102)において、まずカウンタ16の
リセット機能を診断する。すなわち、主CPU12から
カウンタ16に対してクリアパルスを供給したときに、
カウンタ16の計数出力が零に切り替わるかをチェック
するのである。また、続くステップ(103)におい
て、カウンタ16の計数機能を診断する。すなわち、零
リセットされたカウンタ16の計数値が歩進的に増加す
るかどうかをチェックする。さらに、続くステップ(1
04)において、カウンタ16の桁上げ機能を診断す
る。すなわちカウンタ16が計数限界においてキャリー
アウト信号を出力するかどうかチェックする。そして、
これら3種類の診断の結果、カウンタ16のリセット機
能と計数機能及び桁上げ機能になんら問題がない場合
は、判断ステップ(105)に続くステップ(106)
において、診断モードパルスをノンアクティブに切り替
え、従CPU13に対する診断モードの指定を解除す
る。ただし、上記3種類の機能のうち、いずれか一つで
も機能に異常が検出された場合は、主CPU12から停
止回路14に対して異常検出信号が供給され、ステップ
(300)においてシステムは動作停止する。
CPU13に対し診断モードを指定した主CPU12
は、ステップ(102)において、まずカウンタ16の
リセット機能を診断する。すなわち、主CPU12から
カウンタ16に対してクリアパルスを供給したときに、
カウンタ16の計数出力が零に切り替わるかをチェック
するのである。また、続くステップ(103)におい
て、カウンタ16の計数機能を診断する。すなわち、零
リセットされたカウンタ16の計数値が歩進的に増加す
るかどうかをチェックする。さらに、続くステップ(1
04)において、カウンタ16の桁上げ機能を診断す
る。すなわちカウンタ16が計数限界においてキャリー
アウト信号を出力するかどうかチェックする。そして、
これら3種類の診断の結果、カウンタ16のリセット機
能と計数機能及び桁上げ機能になんら問題がない場合
は、判断ステップ(105)に続くステップ(106)
において、診断モードパルスをノンアクティブに切り替
え、従CPU13に対する診断モードの指定を解除す
る。ただし、上記3種類の機能のうち、いずれか一つで
も機能に異常が検出された場合は、主CPU12から停
止回路14に対して異常検出信号が供給され、ステップ
(300)においてシステムは動作停止する。
【0015】これに対し、従CPU13側では、ステッ
プ(205)において切り替えスイッチ17が主CPU
12側の接点に切り替わった後、ステップ(206)に
おいて診断モードパルスがノンアクティブに切り替わる
のを待つ。そして、診断モードパルスがノンアクティブ
に切り替わり、診断モードが解除されることで、判断ス
テップ(207)に続くステップ(208)において、
カウンタ16のキャリーアウト信号が停止回路14に供
給される状態に復帰する。このため、主CPU12によ
る従CPU13に対する診断が完了したあとは、カウン
タ16の計数出力を監視する主CPU12が、カウンタ
16が計数限界を越える前にクリアパルスを出力するこ
とで、異常検出信号であるキャリーアウト信号の停止回
路14への供給が阻止される。ただし、主CPU12に
異常が発生した場合は、カウンタ16のキャリーアウト
信号が切り替えスイッチ17を介して停止回路14に供
給され、主CPU12も従CPU13もともに動作を停
止する。
プ(205)において切り替えスイッチ17が主CPU
12側の接点に切り替わった後、ステップ(206)に
おいて診断モードパルスがノンアクティブに切り替わる
のを待つ。そして、診断モードパルスがノンアクティブ
に切り替わり、診断モードが解除されることで、判断ス
テップ(207)に続くステップ(208)において、
カウンタ16のキャリーアウト信号が停止回路14に供
給される状態に復帰する。このため、主CPU12によ
る従CPU13に対する診断が完了したあとは、カウン
タ16の計数出力を監視する主CPU12が、カウンタ
16が計数限界を越える前にクリアパルスを出力するこ
とで、異常検出信号であるキャリーアウト信号の停止回
路14への供給が阻止される。ただし、主CPU12に
異常が発生した場合は、カウンタ16のキャリーアウト
信号が切り替えスイッチ17を介して停止回路14に供
給され、主CPU12も従CPU13もともに動作を停
止する。
【0016】このように、暴走監視装置11によれば、
主CPU12が、従CPU13が内蔵する切り替えスイ
ッチ17に対し診断モードを指定し、カウンタ16の計
数動作の外に計数動作のリセットの成否及び計数限界を
示すキャリーアウト信号の出力の有無を診断し、異常が
あれば異常検出信号を出力し、診断モードの指定を解除
したあとは、カウンタ16のキャリーアウト信号が出力
される前にクリアパルスを発生して計数動作をリセット
する。一方、カウンタ16を内蔵する従CPU13は、
主CPU12により診断モードを指定されたときは、カ
ウンタ16のキャリーアウト信号を主CPU12に供給
するとともに、診断モードを解除されたときは、カウン
タ16のキャリーアウト信号を異常検出信号として出力
する。そして、停止回路14が、いずれの異常検出信号
によっても主CPU12と従CPU13の動作を強制的
に停止させる。従って、主CPU12は診断モードを指
定したときに従CPU13が内蔵するカウンタ16から
供給される計数出力とキャリーアウト信号を監視するこ
とで、カウンタ16の計数機能とリセット機能及び桁上
がり機能を診断することができ、一方また従CPU13
は主CPU12が出力する診断モードを指定する診断モ
ードパルスとカウンタ16の計数動作をリセットするク
リアパルスを監視することで、主CPU12の動作を診
断することができる。このため、従CPU13のカウン
タ16がオーバフローする前に主CPU12側からリセ
ットをかけるといった従CPU13による主CPU12
の動作監視と、主CPU12側から診断モードを指定し
て行う従CPU13の動作監視がともに可能であり、主
CPU12と従CPU13が相互に相手方の動作を診断
して互いに監視し合うため、主CPU12と従CPU1
3のどちらかが暴走した場合でも、必ず両CPU12,
13の動作を停止させることができ、これによりシステ
ム全体の安全を確保することができる。
主CPU12が、従CPU13が内蔵する切り替えスイ
ッチ17に対し診断モードを指定し、カウンタ16の計
数動作の外に計数動作のリセットの成否及び計数限界を
示すキャリーアウト信号の出力の有無を診断し、異常が
あれば異常検出信号を出力し、診断モードの指定を解除
したあとは、カウンタ16のキャリーアウト信号が出力
される前にクリアパルスを発生して計数動作をリセット
する。一方、カウンタ16を内蔵する従CPU13は、
主CPU12により診断モードを指定されたときは、カ
ウンタ16のキャリーアウト信号を主CPU12に供給
するとともに、診断モードを解除されたときは、カウン
タ16のキャリーアウト信号を異常検出信号として出力
する。そして、停止回路14が、いずれの異常検出信号
によっても主CPU12と従CPU13の動作を強制的
に停止させる。従って、主CPU12は診断モードを指
定したときに従CPU13が内蔵するカウンタ16から
供給される計数出力とキャリーアウト信号を監視するこ
とで、カウンタ16の計数機能とリセット機能及び桁上
がり機能を診断することができ、一方また従CPU13
は主CPU12が出力する診断モードを指定する診断モ
ードパルスとカウンタ16の計数動作をリセットするク
リアパルスを監視することで、主CPU12の動作を診
断することができる。このため、従CPU13のカウン
タ16がオーバフローする前に主CPU12側からリセ
ットをかけるといった従CPU13による主CPU12
の動作監視と、主CPU12側から診断モードを指定し
て行う従CPU13の動作監視がともに可能であり、主
CPU12と従CPU13が相互に相手方の動作を診断
して互いに監視し合うため、主CPU12と従CPU1
3のどちらかが暴走した場合でも、必ず両CPU12,
13の動作を停止させることができ、これによりシステ
ム全体の安全を確保することができる。
【0017】
【考案の効果】以上説明したように、この考案は、それ
ぞれが固有の動作プログラムに従って動作する第1のC
PUと第2のCPUが相互監視し、第1のCPUが所定
のプログラムの実行に伴い所定のタイミングでクリアパ
ルスを発生する一方、第2のCPUは前記クリアパルス
によりリセットされたのち計数動作を開始し、計数値が
所定の上限値に達するまでに前記クリアパルスが再度入
力されない場合は、前記第1のCPUが異常であるとし
てキャリーアウト信号を発生し、クリアパルス発生後に
第1のCPUが一定の診断期間を指定して第2のCPU
の計数動作を診断し、計数動作の異常を検出したときに
出力される異常検出信号か又は前記キャリーアウト信号
が停止回路に供給されたときに、前記第1のCPUと第
2のCPUを強制的に停止させる構成としたから、第1
のCPUはクリアパルスを発生したのち一定の診断期間
を指定して第2のCPUの計数機能を診断することがで
き、従って診断期間を除いては第1のCPUは本来消化
すべき仕事に専念することができ、一方また第2のCP
Uは第1のCPUが出力するクリアパルスを監視するこ
とで、第1のCPUの動作を診断することができ、計数
動作は内蔵カウンタに任せることができ、しかもクリア
パルスの監視はそれ自体格別な負担ではないため、第2
のCPUについても相互監視に労力を奪われて本来消化
すべき仕事に影響が及ぶことはなく、これにより第2の
CPUによる第1のCPUの動作監視と、第1のCPU
側からの第2のCPUの動作監視がともに僅かな労力負
担で可能であり、第1のCPUと第2のCPUが常に相
手方の動作を診断して互いに監視し合うため、第1のC
PUと第2のCPUのどちらかが暴走した場合でも、必
ず両CPUの動作を停止させることができ、これにより
システム全体の安全を確保することができ、特にCPU
の暴走がそのまま災害に結び付くような非常に高い信頼
性が要求されるシステムに好適である等の優れた効果を
奏する。
ぞれが固有の動作プログラムに従って動作する第1のC
PUと第2のCPUが相互監視し、第1のCPUが所定
のプログラムの実行に伴い所定のタイミングでクリアパ
ルスを発生する一方、第2のCPUは前記クリアパルス
によりリセットされたのち計数動作を開始し、計数値が
所定の上限値に達するまでに前記クリアパルスが再度入
力されない場合は、前記第1のCPUが異常であるとし
てキャリーアウト信号を発生し、クリアパルス発生後に
第1のCPUが一定の診断期間を指定して第2のCPU
の計数動作を診断し、計数動作の異常を検出したときに
出力される異常検出信号か又は前記キャリーアウト信号
が停止回路に供給されたときに、前記第1のCPUと第
2のCPUを強制的に停止させる構成としたから、第1
のCPUはクリアパルスを発生したのち一定の診断期間
を指定して第2のCPUの計数機能を診断することがで
き、従って診断期間を除いては第1のCPUは本来消化
すべき仕事に専念することができ、一方また第2のCP
Uは第1のCPUが出力するクリアパルスを監視するこ
とで、第1のCPUの動作を診断することができ、計数
動作は内蔵カウンタに任せることができ、しかもクリア
パルスの監視はそれ自体格別な負担ではないため、第2
のCPUについても相互監視に労力を奪われて本来消化
すべき仕事に影響が及ぶことはなく、これにより第2の
CPUによる第1のCPUの動作監視と、第1のCPU
側からの第2のCPUの動作監視がともに僅かな労力負
担で可能であり、第1のCPUと第2のCPUが常に相
手方の動作を診断して互いに監視し合うため、第1のC
PUと第2のCPUのどちらかが暴走した場合でも、必
ず両CPUの動作を停止させることができ、これにより
システム全体の安全を確保することができ、特にCPU
の暴走がそのまま災害に結び付くような非常に高い信頼
性が要求されるシステムに好適である等の優れた効果を
奏する。
【0018】また、この考案は、第1のCPUが、第2
のCPUに対し診断モードを指定し、第2のCPUから
供給される計数出力を監視することによって、第2のC
PUの計数動作と該計数動作のリセット及び計数限界を
示すキャリーアウト信号の出力の有無を診断し、診断モ
ードの指定を解除したあとは、第2のCPUがキャリー
アウト信号を出力する前にクリアパルスを発生して前記
計数動作をリセットし、対する第2のCPUは、第1の
CPUにより診断モードを指定されたときは、キャリー
アウト信号を第1のCPUに供給するとともに、診断モ
ードを解除されたときは、キャリーアウト信号を異常検
出信号として前記停止回路に出力する構成としたから、
第1のCPUは第2のCPUから供給される計数出力と
キャリーアウト信号を監視することで、第2のCPUの
計数機能とリセット機能及び桁上がり機能を診断するこ
とができ、一方また第2のCPUは第1のCPUが出力
する診断モードを指定するパルスと計数動作をリセット
するパルスを監視することで、第1のCPUの動作を診
断することができ、これにより第2のCPU側の計数出
力がオーバフローする前に第1のCPU側からクリアを
かけるといった第2のCPUによる第1のCPUの動作
監視と、第1のCPU側から診断モードを指定して行う
第2のCPUの動作監視がともに可能であり、第1のC
PUと第2のCPUが常に相手方の動作を診断して互い
に監視し合うことで、第1のCPUと第2のCPUのど
ちらかが暴走した場合でも、必ず両CPUの動作を停止
させることができ、システム全体の安全を確保すること
ができる等の効果を奏する。
のCPUに対し診断モードを指定し、第2のCPUから
供給される計数出力を監視することによって、第2のC
PUの計数動作と該計数動作のリセット及び計数限界を
示すキャリーアウト信号の出力の有無を診断し、診断モ
ードの指定を解除したあとは、第2のCPUがキャリー
アウト信号を出力する前にクリアパルスを発生して前記
計数動作をリセットし、対する第2のCPUは、第1の
CPUにより診断モードを指定されたときは、キャリー
アウト信号を第1のCPUに供給するとともに、診断モ
ードを解除されたときは、キャリーアウト信号を異常検
出信号として前記停止回路に出力する構成としたから、
第1のCPUは第2のCPUから供給される計数出力と
キャリーアウト信号を監視することで、第2のCPUの
計数機能とリセット機能及び桁上がり機能を診断するこ
とができ、一方また第2のCPUは第1のCPUが出力
する診断モードを指定するパルスと計数動作をリセット
するパルスを監視することで、第1のCPUの動作を診
断することができ、これにより第2のCPU側の計数出
力がオーバフローする前に第1のCPU側からクリアを
かけるといった第2のCPUによる第1のCPUの動作
監視と、第1のCPU側から診断モードを指定して行う
第2のCPUの動作監視がともに可能であり、第1のC
PUと第2のCPUが常に相手方の動作を診断して互い
に監視し合うことで、第1のCPUと第2のCPUのど
ちらかが暴走した場合でも、必ず両CPUの動作を停止
させることができ、システム全体の安全を確保すること
ができる等の効果を奏する。
【図1】この考案の暴走監視装置の一実施例を示す回路
構成図である。
構成図である。
【図2】図1に示した主CPUと従CPUの動作を説明
するためのフローチャートである。
するためのフローチャートである。
【図3】従来の暴走監視装置の一例を示す回路構成図で
ある。
ある。
11 暴走監視装置 12 第1のCPU(主CPU) 13 第2のCPU(従CPU) 14 停止回路 15 計数手段
Claims (2)
- 【請求項1】 それぞれが固有の動作プログラムに従っ
て動作する第1のCPUと第2のCPUが相互に監視し
合い、いずれか少なくとも一方のCPUに異常が発生し
たときに停止回路が両CPUを強制的に停止させる暴走
監視装置において、前記第1のCPUは、所定のプログ
ラムの実行に伴い所定のタイミングでクリアパルスを発
生するとともに、前記第2のCPUの計数動作を一定の
診断期間を指定して診断し、該計数動作に異常がある場
合に異常検出信号を出力し、前記第2のCPUは、前記
クリアパルスによりリセットされたのち計数動作を開始
し、計数値が所定の上限値に達するまでに前記クリアパ
ルスが再度入力されない場合は、前記第1のCPUが異
常であることを示すキャリーアウト信号を出力し、前記
停止回路は、前記第1のCPUから異常検出信号が供給
されるか又は前記第2のCPUが前記キャリーアウト信
号が供給されたときに、該両CPUを強制的に停止させ
ることを特徴とする暴走監視装置。 - 【請求項2】 前記第1のCPUは、前記第2のCPU
に対し診断モードを指定し、前記第2のCPUから供給
される計数出力を監視することによって、前記第2のC
PUの計数動作と該計数動作のリセット及び計数限界を
示すキャリーアウト信号の出力の有無を診断し、前記診
断モードの指定を解除したあとは、前記第2のCPUが
前記キャリーアウト信号を出力する前にクリアパルスを
発生して前記計数動作をリセットし、前記第2のCPU
は、前記第1のCPUにより前記診断モードを指定され
たときは、前記キャリーアウト信号を前記第1のCPU
に供給するとともに、前記診断モードを解除されたとき
は、前記キャリーアウト信号を異常検出信号として前記
停止回路に出力することを特徴とする請求項1記載の暴
走監視装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP1991104444U JP2557809Y2 (ja) | 1991-12-18 | 1991-12-18 | 暴走監視装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP1991104444U JP2557809Y2 (ja) | 1991-12-18 | 1991-12-18 | 暴走監視装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH0552945U JPH0552945U (ja) | 1993-07-13 |
| JP2557809Y2 true JP2557809Y2 (ja) | 1997-12-17 |
Family
ID=14380819
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP1991104444U Expired - Lifetime JP2557809Y2 (ja) | 1991-12-18 | 1991-12-18 | 暴走監視装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2557809Y2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102013226429A1 (de) | 2013-12-18 | 2015-06-18 | Robert Bosch Gmbh | Vorrichtung und Verfahren zur Überwachung eines Zeitgebers |
| JP6487349B2 (ja) * | 2016-01-21 | 2019-03-20 | ヤンマー株式会社 | 診断装置および電力変換装置 |
| JP6659968B2 (ja) * | 2017-03-31 | 2020-03-04 | ミツミ電機株式会社 | 電池パック、二次電池保護集積回路、電池監視モジュール及びデータ読み出し方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS6272038A (ja) * | 1985-09-25 | 1987-04-02 | Toshiba Corp | プログラム暴走検出装置の試験方法 |
| JPH01103750A (ja) * | 1987-10-16 | 1989-04-20 | Fujitsu Ten Ltd | マイクロコンピュータの暴走検出回路の試験方法 |
| JPH0273451A (ja) * | 1988-09-08 | 1990-03-13 | Canon Inc | 制御装置 |
| JPH03204040A (ja) * | 1989-12-29 | 1991-09-05 | Japan Electron Control Syst Co Ltd | マイクロコンピュータ用暴走監視回路の診断装置 |
-
1991
- 1991-12-18 JP JP1991104444U patent/JP2557809Y2/ja not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JPH0552945U (ja) | 1993-07-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6883123B2 (en) | Microprocessor runaway monitoring control circuit | |
| US7225369B2 (en) | Device for monitoring a processor | |
| US6356821B1 (en) | Electronic control unit for vehicle having reduced circuit scale | |
| KR20170134710A (ko) | 차량 안전 전자 제어 시스템 | |
| JP4002182B2 (ja) | 自動車における拘束システムのための制御機器 | |
| JPH06149604A (ja) | 多重化システム | |
| JPH05294207A (ja) | エアバッグ装置及び作動方法 | |
| KR101646210B1 (ko) | 기능 안전성을 고려한 모터 제어 시스템 | |
| JPH10513286A (ja) | プログラム制御回路の機能をモニタするための処理及び回路構成 | |
| JP2557809Y2 (ja) | 暴走監視装置 | |
| JP3486747B2 (ja) | 自動車制御装置及びこれに組込まれる単一プロセッサシステム | |
| JPH02501960A (ja) | 計算機により制御される操作素子の監視方法及び回路装置 | |
| JP6230729B2 (ja) | エレベータ安全制御装置およびエレベータ安全制御方法 | |
| JP3916495B2 (ja) | フェイルセーフ機能を備えたコントローラ | |
| JPH06324721A (ja) | 接続ユニット脱落検知方法 | |
| JPH08115235A (ja) | 制御装置の異常検出装置およびその方法 | |
| JPH08202589A (ja) | 情報処理装置及び故障診断方法 | |
| JP2536789Y2 (ja) | マイクロコンピュータシステムの誤動作防止装置 | |
| JP3493287B2 (ja) | エレベータ制御装置 | |
| JP2611549B2 (ja) | エレベータの群管理制御装置 | |
| JP2746184B2 (ja) | 障害ロギングシステム | |
| JPH07196003A (ja) | 車両安全装置の制御システム | |
| JPH0544570A (ja) | エンジン制御装置の暴走監視装置 | |
| KR850000650B1 (ko) | 엘리베이터 제어장치 | |
| JP2022156616A (ja) | 制御装置及びリセット機能の診断方法 |