JP3616367B2 - 電子制御装置 - Google Patents

電子制御装置 Download PDF

Info

Publication number
JP3616367B2
JP3616367B2 JP2001326050A JP2001326050A JP3616367B2 JP 3616367 B2 JP3616367 B2 JP 3616367B2 JP 2001326050 A JP2001326050 A JP 2001326050A JP 2001326050 A JP2001326050 A JP 2001326050A JP 3616367 B2 JP3616367 B2 JP 3616367B2
Authority
JP
Japan
Prior art keywords
microprocessor
signal
reset signal
watchdog
reset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2001326050A
Other languages
English (en)
Other versions
JP2003131906A (ja
Inventor
光司 橋本
勝也 中本
昌英 藤田
博之 光枝
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2001326050A priority Critical patent/JP3616367B2/ja
Priority to US10/127,484 priority patent/US6883123B2/en
Priority to CN02131681.3A priority patent/CN1207663C/zh
Publication of JP2003131906A publication Critical patent/JP2003131906A/ja
Application granted granted Critical
Publication of JP3616367B2 publication Critical patent/JP3616367B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/079Root cause analysis, i.e. error or fault diagnosis
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0721Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment within a central processing unit [CPU]
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Debugging And Monitoring (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)

Description

【0001】
【発明の属する技術分野】
この発明は、例えば自動車用エンジンの制御等に用いられるCPU(マイクロプロセッサ)内蔵の電子制御装置に関し、特に、そのCPUの暴走監視制御に関するものである。
【0002】
【従来の技術】
一般にCPUの暴走監視回路はCPUと同一プリント基板上で、CPUの至近位置に設けられ、1個のCPUに対して1個の暴走監視回路が接続されている。ただし、特開平5−81222号公報「2CPUの動作監視方法」(引例1)で示されるように、2個のCPUに対して1個の暴走監視回路(ウォッチドッグタイマ)が設けられる場合もある。
一方、暴走監視回路はCPUが正常であれば永久に動作しないものであるのに対し、若しものことがあった時だけ必ず動作しなければ重大な危険を伴うものであるだけにその信頼性は非常に重要であり、製品出荷試験で厳重な検査が行われることは当然のこととして、実用運転中においても自己診断を行うことが望ましい。
【0003】
従来のこの種自己診断機能付き暴走監視制御回路としては、例えば特開2000−104622号公報「電子制御装置」(引例2)に示されたものがある。
引例2のものは、通常はCPUのリセット端子に接続されるウォッチドッグタイマのリセット信号出力を、診断監視用の入力端子に切換えた上で意図的にウォッチドッグタイマに供給されるウォッチドッグクリア信号の周期を変更して、ウォッチドッグタイマが動作するかどうかをCPU自らが診断するものである。
また、特開平6−149604号公報「多重化システム」(引例3)によれば、それぞれにウォッチドッグタイマが接続されている一対のCPUによって二重系の制御が行われ、一方のウォッチドッグタイマの動作診断を行う時には非診断側CPUの制御出力のみによる一重系の制御に切換えて運転することによって、診断側CPUが停止しても制御が継続できるように構成されている。
【0004】
【発明が解決しようとする課題】
(1)従来技術の課題の説明
上記のような従来技術において、単にCPUに対して暴走監視用のウォッチドッグタイマを接続しただけの引例1のようなものにおいては次のような安全性に問題がある。
即ち、ウォッチドッグタイマの動作にはCPUが正常動作している時にはCPUをリセットしない所謂「正常不動作、CPUが異常である時にCPUをリセットする所謂「正常動作、CPUが正常動作しているにもわらずCPUをリセットしようとする動作側異常、CPUが異常であるにもわらずそのリセットが行えない不動作側異常があるが、ここで、引例1で問題となることは、ウォッチドッグタイマの不動作側異常に対する危険性(暴走監視機能の喪失)と動作側異常による不用意なCPUのリセットの両面である。つまり、ウォッチドッグタイマの異常に対しては無防備であり、ウォッチドッグタイマの異常時には、CPUの健全な運転を保証できない欠点がある。
これに対し、ウォッチドッグタイマの診断を行う概念による引例2のものであっても、CPUのリセット信号出力の切換回路に異常があればCPUをリセットすることができない事態となる危険性があると共に、ウォッチドッグタイマを診断している間はウォッチドッグタイマはCPUに接続されていないので、ウォッチドッグタイマを診断している間にCPUが暴走しても、ウォッチドッグタイマでCPUをリセットすることができないと言う欠点がある。
また、完全二重系システムによる引例3のものは安全性は高いが、一対のCPUの出力信号の比較回路や切換回路等の追加回路の自己診断による信頼性対策も必要となって益々複雑・高価なものとなる欠点がある。
【0005】
(2)発明の目的の説明
この発明は上述のような実情に鑑みて成されたもので、
その第一の目的は、CPU(マイクロプロセッサ)の運転中であっても安全・安価に、ウォッチドッグタイマの自己診断を行うことができる電子制御装置を提供することにある。
この発明の第二の目的は、必要な時にCPU(マイクロプロセッサ)をリセットできなくなるような不動作側異常が発生し難いようにすると共に、不用意にウォッチドッグタイマが動作して妄りにCPU(マイクロプロセッサ)を停止させる動作側異常が生じ難いように改善された電子制御装置を提供することにある。
この発明の第三の目的は、CPU(マイクロプロセッサ)が例えばノイズ等によって一時的に誤動作したような場合に、CPU(マイクロプロセッサ)をリセットして速やかに正常動作に自動復帰させ、極力CPU(マイクロプロセッサ)の運転状態を維持するように配慮された電子制御装置を提供することにある。
【0006】
【課題を解決するための手段】
(1)この発明の請求項1に係る電子制御装置は、マイクロプロセッサ(CPU)と第一のウォッチドッグタイマと第二のウォッチドッグタイマと論理結合回路と異常診断手段とを備え、
上記マイクロプロセッサは、電気負荷を制御する制御用マイクロプロセッサであり、
上記第一のウォッチドッグタイマは、上記マイクロプロセッサからのウォッチドッグクリア信号に異常があると上記マイクロプロセッサの異常として第一のリセット信号を発生するタイマであり、
上記第二のウォッチドッグタイマは、上記マイクロプロセッサからのウォッチドッグクリア信号に異常があると上記マイクロプロセッサの異常として第二のリセット信号を発生するタイマであり、
上記論理結合回路は、上記第一・第二のリセット信号が共に発生すると実効リセット信号を出力して上記マイクロプロセッサをリセットする回路であり、
上記異常診断手段は、上記第一のリセット信号の状態を第一モニタ信号として上記マイクロプロセッサに入力すると共に、上記第二のリセット信号の状態を第二のモニタ信号として上記マイクロプロセッサに入力し、上記マイクロプロセッサで、上記第一及び第二のウォッチドッグタイマのうちの一方のウォッチドッグタイマのモニタ信号が正常である場合に他方のウォッチドッグタイマに対するウォッチドッグクリア信号を意図的に異常状態にし当該異常状態にしたウォッチドッグクリア信号に対応する上記他方のウォッチドッグタイマのモニタ信号の反応をチェックすることにより上記第一及び第二のウォッチドッグタイマの各々の動作確認を行う異常診断手段であることを特徴とする電子制御装置である。
【0007】
(2)この発明の請求項2に係る電子制御装置は、マイクロプロセッサとサブマイクロプロセッサと第一のウォッチドッグタイマと第二のウォッチドッグタイマと暴走監視手段と論理結合回路と異常診断手段とを備え、
上記マイクロプロセッサは、電気負荷を制御する制御用マイクロプロセッサであり、
上記サブマイクロプロセッサは、上記マイクロプロセッサと協動するサブマイクロプロセッサであり、
上記第一のウォッチドッグタイマは、上記マイクロプロセッサからの第一のウォッチドッグクリア信号に異常があると上記マイクロプロセッサの異常として第一のリセット信号を発生するタイマであり、
上記第二のウォッチドッグタイマは、上記サブマイクロプロセッサに内蔵され、上記マイクロプロセッサから上記サブマイクロプロセッサに供給される第二のウォッチドッグクリア信号に異常があると第二のリセット信号を発生するタイマであり、
上記暴走監視手段は、上記マイクロプロセッサに内蔵され、上記サブマイクロプロセッサが発生する第三のウォッチドッグクリア信号を監視して、異常があると第三のリセット信号を発生してサブマイクロプロセッサをリセットする手段であり、
上記論理結合回路は、上記第一・第二のリセット信号が共に発生すると上記マイクロプロセッサ異常と判定して実効リセット信号を出力して上記マイクロプロセッサおよびサブマイクロプロセッサをリセットする回路であり、
上記異常診断手段は、上記第一のリセット信号の状態を第一モニタ信号として上記マイクロプロセッサに入力すると共に、上記第二のリセット信号の状態を第二のモニタ信号として上記マイクロプロセッサに入力し、上記マイクロプロセッサで、上記第一及び第二のウォッチドッグタイマのうちの一方のウォッチドッグタイマのモニタ信号が正常である場合に他方のウォッチドッグタイマに対するウォッチドッグクリア信号を意図的に異常状態にし当該異常状態にしたウォッチドッグクリア信号に対応する上記他方のウォッチドッグタイマのモニタ信号の反応をチェックすることにより上記第一及び第二のウォッチドッグタイマの各々の動作確認を行う異常診断手段であることを特徴とする電子制御装置である。
【0008】
(3)この発明の請求項3に係る電子制御装置は、請求項1または請求項2に記載の電子制御装置において、
第一の異常処理回路と第二の異常処理回路とを備え、
上記マイクロプロセッサは、上記異常診断手段により上記第一または第二のウォッチドッ グタイマが異常と判定すると、第一または第二のエラ−信号を発生するマイクロプロセッサであり、
上記第一・第二の異常処理回路は、上記第一または第二のエラー信号の動作に応動し、第一または第二のウォッチドッグタイマのリセット信号を強制的にリセット有効側に作動させる回路であり、強制的にリセットされない側のウォッチドッグタイマからのリセット信号に応じて実効リセット信号を発生して上記マイクロプロセッサまたは上記マイクロプロセッサとサブマイクロプロセッサとをリセットし、上記第一または第二のウォッチドッグタイマがリセット不能側の異常であっても上記実効リセット信号出力の発生が可能であることを特徴とする電子制御装置である。
【0009】
(4)この発明の請求項4に係る電子制御装置は、請求項3に記載の電子制御装置において、
上記異常診断手段は、上記異常処理回路の正常動作を確認するために、上記マイクロプロセッサから第一または第二のエラ−出力を発生させて上記異常処理回路に入力し、上記この入力に対応する第一または第二のモニタ信号の応答状態を確認する第一・第二の確認手段を包むことを特徴とする電子制御装置である。
【0010】
(5)この発明の請求項5に係る電子制御装置は、請求項1または請求項2に記載の電子制御装置において、
CPUの暴走監視制御回路の各回路への供給電源を投入すると、上記第一・第二のウォッチドッグタイマの両リセット信号を所定時間強制的にリセット有効側に作動させ実効リセット信号を発生する第一・第二の起動処理回路を備え、
上記電源投入時に上記第一・第二のウォッチドッグタイマのいずれかが異常で不動作の状態であっても上記マイクロプロセッサのリセットが可能であることを特徴とする電子制御装置である。
【0011】
(6)この発明の請求項6に係る電子制御装置は、請求項1または請求項2に記載の電子制御装置において、
上記論理結合回路を複数個並列にして多重系の論理結合回路で構成したことを特徴とする電子制御装置である。
【0012】
(7)この発明の請求項7に係る電子制御装置は、マイクロプロセッサと第一のウォッチドッグタイマと第二のウォッチドッグタイマとゲート回路と異常診断手段とを備え、
上記マイクロプロセッサは、電気負荷を制御する制御用マイクロプロセッサであり、
上記第一のウォッチドッグタイマは、上記マイクロプロセッサからの第一のウォッチドッグクリア信号に異常があると上記マイクロプロセッサの異常として第一のリセット信号を発生するタイマであり、
上記第二のウォッチドッグタイマは、上記マイクロプロセッサからの第二のウォッチドッグクリア信号に異常があると上記マイクロプロセッサの異常として第二のリセット信号を発生するタイマであり、
上記ゲート回路は、上記マイクロプロセッサによって生成される第一または第二のテスト信号で制御され、テスト信号での制御中は上記第一または第二のリセット信号の発生の有無に拘わらず上記マイクロプロセッサへの実効リセット信号の出力を停止し、上記第一または第二のテスト信号での制御がされていない場合は、上記第一または第二のリセット信号の発生に応じて上記実効リセット信号を出力するゲート回路であり、
上記異常診断手段は、上記第一のリセット信号の状態を第一のモニタ信号として上記マイクロプロセッサに入力すると共に上記第二のリセット信号の状態を第二のモニタ信号として上記マイクロプロセッサに入力し、上記マイクロプロセッサで、上記第一のテスト信号を発生した状態で上記第一のウォッチドッグクリア信号を意図的に異常状態にして上記第一のウォッチドッグタイマに入力し上記第一のリセット信号の出力状態をチェックし、上 記第二のテスト信号を発生した状態で上記第二のウォッチドッグクリア信号を意図的に異常状態にして上記第二のウォッチドッグタイマに入力し上記第二のリセット信号の出力状態をチェックすることにより上記第一及び第二のウォッチドッグタイマの各々の動作確認を行う異常診断手段であることを特徴とする電子制御装置である。
【0013】
(8)この発明の請求項8に係る電子制御装置は、マイクロプロセッサとサブマイクロプロセッサと第一のウォッチドッグタイマと第二のウォッチドッグタイマと暴走監視手段とゲート回路と異常診断手段とを備え、
上記マイクロプロセッサは、電気負荷を制御する制御用マイクロプロセッサであり、
上記サブマイクロプロセッサは、上記マイクロプロセッサと協動するサブマイクロプロセッサであり、
上記第一のウォッチドッグタイマは、上記マイクロプロセッサからの第一のウォッチドッグクリア信号に異常があると上記マイクロプロセッサの異常として第一のリセット信号を発生するタイマであり、
上記第二のウォッチドッグタイマは、上記サブマイクロプロセッサに内蔵され、上記マイクロプロセッサから上記サブマイクロプロセッサに供給される第二のウォッチドッグクリア信号に異常があると第二のリセット信号を発生するタイマであり、
上記暴走監視手段は、上記マイクロプロセッサに内蔵され、上記サブマイクロプロセッサが発生する第三のウォッチドッグクリア信号を監視して、異常があると第三のリセット信号を発生して上記サブマイクロプロセッサをリセットする手段であり、
上記ゲート回路は、上記マイクロプロセッサによって生成される第一または第二のテスト信号で制御され、テスト信号での制御中は上記第一または第二のリセット信号の発生の有無に拘わらず上記マイクロプロセッサへの実効リセット信号の出力を停止し、上記第一または第二のテスト信号での制御がされていない場合は、上記第一または第二のリセット信号の発生に応じて上記実効リセット信号を出力し上記マイクロプロセッサおよびサブマイクロプロセッサをリセットするゲート回路であり、
上記異常診断手段は、上記第一のリセット信号の状態を第一のモニタ信号として上記マイクロプロセッサに入力すると共に上記第二のリセット信号の状態を第二のモニタ信号として上記マイクロプロセッサに入力し、上記マイクロプロセッサで、上記第一のテスト信号を発生した状態で上記第一のウォッチドッグクリア信号を意図的に異常状態にして上記第一のウォッチドッグタイマに入力し上記第一のリセット信号の出力状態をチェックし、上記第二のテスト信号を発生した状態で上記第二のウォッチドッグクリア信号を意図的に異常状態にして上記サブマイクロプロセッサに入力し上記第二のリセット信号の出力状態をチェックすることにより上記第一及び第二のウォッチドッグタイマの各々の動作確認を行う異常診断手段であることを特徴とする電子制御装置である。
【0014】
(9)この発明の請求項9に係る電子制御装置は、請求項7または請求項8に記載の電子制御装置において、
上記異常診断手段による異常診断結果で上記第一または第二のウォッチドッグタイマが異常であると判定されると、上記マイクロプロセッサは異常側の上記テスト信号を継続的に発生して、異常動作による実効リセット信号が発生しないようにする手段と、
上記マイクロプロセッサからの上記第一・第二のテスト信号が誤って共に発生すると、実効リセット信号を出力して上記マイクロプロセッサまたは上記マイクロプロセッサとサブマイクロプロセッサを強制的にリセットする異常処理手段とを備えていることを特徴とする電子制御装置である。
【0015】
(10)この発明の請求項10に係る電子制御装置は、請求項7または請求項8に記載の電子制御装置において、
CPUの暴走監視制御回路の各回路への供給電源を投入すると、上記第一・第二のウォッチドッグタイマの両方のリセット信号を所定期間強制的にリセット有効側に作動させて実効リセット信号を発生する第一・第二の起動処理回路を備え、
上記電源投入時に上記第一・第二のウォッチドッグタイマが共に動作不能であっても上記実効リセット信号で上記マイクロプロセッサのリセットが可能であることを特徴とする電子制御装置である。
【0016】
(11)この発明の請求項11に係る電子制御装置は、請求項1,2,7,及び8の何れか一記載の電子制御装置において、
上記第一・第二のウォッチドッグタイマは、それぞれ自己リセット機能を有していることを特徴とする電子制御装置である。
【0017】
(12)この発明の請求項12に係る電子制御装置は、請求項1,2,7,及び8の何れか一記載の電子制御装置において、
上記マイクロプロセッサを、上記異常診断手段により上記第一・第二のウォッチドッグタイマの少なくとも一方が異常であると判定したときにエラ−信号を発生するマイクロプロセッサとし、
上記エラー信号または上記マイクロプロセッサをリセットするための実効リセット信号を記憶し、CPUの暴走監視制御回路の各回路へ電源を供給する供給電源を投入すると上記記憶したエラー信号または上記実効リセット信号をクリアして記憶可能の状態にセットする異常発生記憶手段と、
上記記憶したエラー信号または上記実効リセット信号を通報信号として出力する通報手段とを設け、
上記通報信号で音声・表示器などで通報可能としたことを特徴とする電子制御装置である。
【0018】
(13)この発明の請求項13に係る電子制御装置は、請求項1または請求項7に記載の電子制御装置において、
上記マイクロプロセッサに従属し全体制御の一部を分担するサブマイクロプロセッサを備えていると共に、
上記マイクロプロセッサは、上記サブマイクロプロセッサが発生するウォッチドッグタイマクリア信号を監視して,異常があるとリセット信号を供給して上記サブマイクロプロセッサをリセットする上記サブマイクロプロセッサの暴走を監視する暴走監視手段を備え、
上記第一・第二のウォッチドッグタイマから供給される実効リセット信号は上記マイクロプロセッサおよび上記サブマイクロプロセッサをリセットすることを特徴とする電子制御装置である。
【0019】
(14)この発明の請求項14に係る電子制御装置は、請求項1または請求項7に記載の電子制御装置において、
CPUの暴走監視制御回路の各回路へ電源を供給する供給電源を負荷電源として上記電気負荷に電源供給している場合に、上記負荷電源と上記電気負荷間をオン・オフする開閉手段を設け、
上記供給電源投入時または上記マイクロプロセッサをリセットするための上記実効リセット信号出力時に上記開閉手段で上記オフとし、上記実効リセット信号出力が解除されたとき、上記開閉手段で上記オンとすることを特徴とする電子制御装置である。
【0020】
(15)この発明の請求項15に係る電子制御装置は、請求項1または請求項7に記載の電子制御装置において、
上記マイクロプロセッサを、上記異常診断手段により上記第一・第二のウォッチドッグタイマの少なくとも一方が異常であると判定したときにエラ−信号を発生するマイクロプロセッサとし、
上記エラー信号または上記マイクロプロセッサをリセットするための実効リセット信号とを記憶し、上記供給電源を投入すると上記記憶したエラー信号または上記実効リセット信号をクリアして記憶可能の状態にセットする異常発生記憶手段と、
上記異常発生記憶手段が上記エラー信号または上記実効リセット信号を記憶しているときに、上記マイクロプロセッサの少なくとも一つの電気負荷の出力発生を停止する駆動停止用手段とを設けたことを特徴とする電子制御装置である。
【0021】
(16)この発明の請求項16に係る電子制御装置は、請求項2,8,及び13の何れか一記載の電子制御装置において、
上記サブマイクロプロセッサが上記マイクロプロセッサの電気負荷とは別の電気負荷を制御し、CPUの暴走監視制御回路の各回路へ電源を供給する供給電源を負荷電源として上記マイクロプロセッサおよび上記サブマイクロプロセッサの上記各電気負荷に電源を供給し、
上記負荷電源と上記各電気負荷との間を、上記電源投入時または上記実効リセット信号出力時に開閉手段でオフとし、上記実効リセット信号出力が解除されたとき、上記開閉手段でオンとすることを特徴とする電子制御装置である。
【0022】
(17)この発明の請求項17に係る電子制御装置は、請求項2,8,及び13の何れか一記載の電子制御装置において、
上記サブマイクロプロセッサを、上記マイクロプロセッサの電気負荷とは別の電気負荷を制御するサブマイクロプロセッサとし、
上記マイクロプロセッサを、上記異常診断手段により上記第一・第二のウォッチドッグタイマの少なくとも一つが異常であると判定したときにエラ−信号を発生するマイクロプロセッサとし、
上記エラー信号または上記マイクロプロセッサをリセットするための実効リセット信号を記憶し、CPUの暴走監視制御回路の各回路へ電源を供給する供給電源を投入すると上記記憶したエラー信号または上記実効リセット信号をクリアして記憶可能の状態にセットする異常発生記憶手段と、
上記異常発生記憶手段が上記エラー信号または上記実効リセット信号を記憶しているときに、上記マイクロプロセッサの少なくとも一つの電気負荷および上記サブマイクロプロセッサの少なくとも一つの電気負荷の内、少なくとも一方の電気負荷の出力発生を停止する駆動停止用手段とを設けたことを特徴とする電子制御装置である。
【0023】
(18)この発明の請求項18に係る電子制御装置は、請求項2または請求項8に記載の電子制御装置において、
上記異常診断手段は、上記第一のリセット信号の状態を第一のモニタ信号として上記マイクロプロセッサに入力し、上記マイクロプロセッサ上記第一のウォッチドッグクリア信号を意図的に異常状態にして上記第一のモニタ信号の反応をチェックして、上記第一のウォッチドッグタイマの動作確認を行、上記第二のウォッチドッグタイマの異常診断は上記暴走監視手段で行うことを特徴とする電子制御装置である。
【0024】
(19)この発明の請求項19に係る電子制御装置は、請求項18に記載の電子制御装置において、
上記サブマイクロプロセッサは上記マイクロプロセッサからテスト時にテストモ−ド信号の供給を受けるようにし、上記テストモード信号を受けると強制的に上記第二のリセット信号を発生して上記ゲート回路に供給する強制出力手段を含み、
上記サブマイクロプロセッサから強制的に発生した上記第二のリセット信号に対する上記マイクロプロセッサに供給される第二のモニタ信号の反応をチェックして、上記サブマイクロプロセッサから発生した上記第二のリセット信号が上記ゲート回路に達しているか否かの診断を可能としたことを特徴とする電子制御装置である。
【0025】
(20)この発明の請求項20に係る電子制御装置は、請求項2に記載の電子制御装置において、
上記サブマイクロプロセッサが起動して正常に作動するまでの間、ウォッチドッグタイマが発生する上記第一のリセット信号に応じて上記実効リセット信号が発生されるように、上記第二のリセット信号を有効にするデフォルト回路を設けたことを特徴とする電子制御装置である。
【0026】
(21)この発明の請求項21に係る電子制御装置は、請求項8に記載の電子制御装置において、
上記サブマイクロプロセッサが起動して正常に作動するまでの間、ウォッチドッグタイマが発生する上記第一のリセット信号に応じて上記実効リセット信号が発生されるように、上記第二のリセット信号を無効にするデフォルト回路を設けたことを特徴とする電子制御装置である。
【0027】
【発明の実施の形態】
実施の形態1.
(1)実施の形態1の構成の詳細な説明
以下この発明の実施の形態1を、CPUの暴走監視制御回路を備えた電子制御装置をブロック図で示す図1により説明する。
図1において、100は自動車用エンジン制御装置等の電子機器であり、該電子機器には例えば車載バテッリ等の電源1が直接接続されたり、電源スイッチ2を介して給電されたりするようになっている。
3は上記電子機器100の制御入力となる入力センサ群、4は電子機器100によって制御出力が供給される電気負荷群、5は電子機器100によって制御される警報・表示器であり、以下電子機器100の内部の構成について説明する。
【0028】
101は演算処理用RAMメモリ102やフラッシュメモリ等の不揮発性プログラムメモリ103を備えたマイクロプロセッサ、104は上記入力センサ群3に対する入力インタフェ−ス回路、105は上記電気負荷群4に対する出力インタフェ−ス回路であり、上記RAMメモリ102、プログラムメモリ103、入力インタフェ−ス回路104、出力インタフェ−ス回路105は上記マイクロプロセッサ101に対してバス接続されている。
106は上記電気負荷群4の内に一部の制御出力回路に設けられた駆動停止用ゲ−ト素子であり、該ゲ−ト素子は後述のインタロック信号ITLによって制御されるようになっている。
110は上記電源1に接続された第一電源線、111は上記電源スイッチ2を介して電源1に接続された第二電源線、112は上記第一・第二の電源線110・111から給電され、上記電子機器100内で使用される安定化制御電源を供給する電源ユニット、113は出力接点114を有する負荷電源リレ−、115は上記第一電源線110から上記出力接点114を介して接続され、上記多数の電気負荷4に給電する第三電源線である。
【0029】
120a・120bは図2によって後述する第一・第二のウォッチドッグタイマであり、該タイマは上記マイクロプロセッサ101が発生するパルス列である第一・第二のウォッチドッグクリア信号WD1・WD2の供給を受け、該クリア信号のパルス幅が所定値を超過すると第一・第二のリセット信号を発生して、これを第一・第二のモニタ信号MN1・MN2として上記マイクロプロセッサ101に供給するよう構成されている。
121a、121bは図4によって後述する第一・第二のエラ−出力ER1・ER2の動作に応動して上記第一・第二のウォッチドッグタイマ120a・120bのリセット信号出力回路を強制的にリセット有効側に作動させる第一・第二の異常処理回路、122は上記第一・第二のウォッチドッグタイマ120a・120bが共に動作した時に作用して、上記マイクロプロセッサ101に対して実効リセット信号出力(RST)を供給する論理結合回路であり、この実施の形態においては論理レベルが「L」の時にマイクロプロセッサ101がリセットされるよう構成されている。
【0030】
また、上記第一・第二のウォッチドッグタイマ120a・120bが発生する第一・第二のリセット信号も、上記第一・第二のウォッチドッグクリア信号WD1・WD2が異常である時に論理レベル「L」となるように構成されている。
更に、上記第一・第二のエラ−出力ER1・ER2はエラ−発生時に論理レベル「H」となるように構成されている。
従って上記論理結合回路122は論理和素子によって構成されていると共に、第一・第二の異常処理回路121a・121bは反転論理素子によって構成され、例えば第一のウォッチドッグタイマ120aが論理レベル「H」側に破損異常となったような場合、第一のエラ−出力ER1と第一の異常処理回路121aによって論理和素子である論理結合回路122の入力を強制的に論理レベル「L」に駆動して、第二のウォッチドッグタイマ120bの動作によって実効リセット信号出力(RST)が発生できるようになっている。
【0031】
123は上記マイクロプロセッサ101のリセット入力端子の直近位置に接続された反転論理素子124を介して駆動され、実効リセット信号出力(RST)が動作(論理レベル「L」)してから所定時間T1後に所定時間t3のワンショットパルスであるウォッチドッグタイマリセット信号WDRを発生するワンショットタイマであり、該信号WDRによって上記第一・第二のウォッチドッグタイマ120a・120bが発生記憶した第一・第二のリセット信号がリセットされるようになっている。
125はフリップフロップ回路からなるリセット完了記憶素子、125a・125bは該記憶素子のリセット出力に接続され上記論理結合回路122の各入力を駆動する第一・第二の起動処理回路、126は電源スイッチ2が閉路した時に所定時間t1の初期化パルスIPSを発生する電源立上がりパルス発生回路、127は上記反転論理素子124の出力が論理レベル「L」から「H」に変化した時に所定時間t2のパルス出力を発生し、上記リセット完了記憶素子125をリセットする立上がりパルス発生回路であり、上記リセット完了記憶素子125は電源投入時や実効リセット信号出力(RST)発生時にリセットされ、実行リセット信号出力(RST)が解除された時に上記ワンショットタイマ123の出力によってセットされて上記マイクロプロセッサ101に対するリセットが完了したことを記憶するようになっている。
【0032】
128は上記負荷電源リレ−113の駆動回路に設けられた負荷電源停止用ゲ−ト素子であり、該ゲ−ト素子は上記マイクロプロセッサ101に対する実効リセット信号出力(RST)が解除されてから所定時間T2後にマイクロプロセッサ101が発生する出力許可信号出力OUTEとほぼ同時刻にマイクロプロセッサ101が発生する制御出力DRと上記リセット完了記憶素子125のセット出力FSRとを結合する論理積素子となっている。
なお、上記出力許可信号出力OUTEはマイクロプロセッサ101が初期化処理を終えて正常動作を行っている間は常時出力されているものであるが、制御出力DRはマイクロプロセッサ101の制御プログラムによって制御され、何等かの理由で負荷電源を遮断したいときには制御出力DRを論理レベル「L」にすることができる。
また、上記出力許可信号出力OUTEは上記出力インタフェ−ス回路105に作用して、マイクロプロセッサ101が出力許可信号出力OUTEを発生するまでは全ての電気負荷4に対する制御出力を遮断するよう構成されている。
【0033】
129はフリップフロップ回路からなる異常発生記憶素子であり、該記憶素子はマイクロプロセッサ101が発生する第一・第二のエラ−出力ER1・ER2の論理和に相当するエラ−出力ER(詳細は図4によって説明)と上記立上がりパルス発生回路127の出力によってセットされ、上記電源立上がりパルス発生回路126による初期化パルスIPSによってリセットされると共に、セット出力によって警報・表示器5が駆動されたり、リセット出力によって上記駆動停止用ゲ−ト素子106を制御したりするように構成されている。
なお、上記マイクロプロセッサ101は後述の要領で第一・第二のウォッチドッグタイマ120a・120bを交互に診断した後、意図的に発生記憶させた第一・第二のウォッチドッグタイマ120a・120bの第一・第二のリセット信号を解除するためのモニタリセット信号出力MNRを発生するようになっている。
130は上記制御出力DR、第一・第二のエラ−出力ER1・ER2、実効リセット信号出力(RST)が供給されるリセット端子、モニタリセット信号出力MNR、エラ−出力ER、出力許可信号出力OUTEの各端子に接続されたプルダウン抵抗であり、該プルダウン抵抗はマイクロプロセッサ101が停止されている時の各端子の論理レベルを安全側の「L」に確定しておくためのものとなっている。
【0034】
図2は図1におけるウォッチドッグタイマの詳細回路図を示したものである。
図2において、120は前述の第一・第二のウォッチドッグタイマ120aまたは120bを代表するウォッチドッグタイマ、WDnは前述の第一・第二のウォッチドッグクリア信号WD1又はWD2を代表するウォッチドッグクリア信号、MNnは前述の第一・第二のリセット信号(第一・第二のモニタ信号)MN1又はMN2を代表するリセット信号(モニタ信号)、WDRはウォッチドッグタイマリセット信号である。
200は比較器、201a・201bは正負の制御電源線、202aはコンデンサ202bを充電する充電抵抗、203a・203bは分圧抵抗であり、上記充電抵抗202aとコンデンサ202bや分圧抵抗203a・203bは互いに直列接続されて上記電源線201a・201b間に接続されている。
また、上記比較器200の非反転入力は上記充電抵抗202aとコンデンサ202bの接続点に接続され、反転入力は分圧抵抗203a・203bの接続点に接続され、コンデンサ202bの充電電圧が分圧抵抗203a・203bによる分圧電圧を超過した時にフリップフロップ素子208をリセットするように構成されている。
【0035】
205aは微分用コンデンサ、206aは該コンデンサに直列接続された立上がり検出抵抗であり、上記ウォッチドッグクリア信号WDnが論理レベル「L」から「H」に変化した時に上記検出抵抗206aに電圧が発生し、出力反転素子204aを介して上記コンデンサ202bの充電電荷を放電させるよう構成されている。
205bは反転論理素子207の出力に接続された微分用コンデンサ、206bは該コンデンサに直列接続された立上がり検出抵抗であり、上記ウォッチドッグクリア信号WDnが論理レベル「H」から「L」に変化した時に上記検出抵抗206bに電圧が発生し、出力反転素子204bを介して上記コンデンサ202bの充電電荷を放電させるよう構成されている。
従って、ウォッチドッグクリア信号WDnの立上がりまたは立下がりエッジ時点でコンデンサ202bは放電し、エッジ間では充電抵抗202aによって充電されるので、ウォッチドッグクリア信号WDnのパルス幅が大きくなるとコンデンサ202bの最大充電電圧が高くなり、パルス幅が所定時間を超過すると比較器200を介してフリップフロップ素子208がリセットされるものである。
【0036】
なお、上記フリップフロップ素子208はコンデンサ209aと抵抗209bによって電源投入時にもリセットされ、上記ウォッチドッグタイマリセット信号WDRによってセットされるよう構成されており、フリップフロップ素子208のセット出力がリセット信号(モニタ信号)MNnとしてマイクロプロセッサ101に入力されるようになっている。
また、210は上記フリップフロップ素子208のリセット出力に接続された反転論理素子であり、該反転論理素子の出力は上記コンデンサ202bと並列接続されていて、フリップフロップ素子208がリセットされている間は上記コンデンサ202bに対する充電が行われないように構成されている。
従って、ウォッチドッグクリア信号WDnのパルス幅が所定時間幅を超過するとフリップフロップ素子208がリセットされて、そのセット出力は論理レベル「L」となるが、ウォッチドッグタイマリセット信号WDRが論理レベル「H」になると、フリップフロップ素子208はセットされ、そのセット出力MNnの論理レベルは「H」となってマイクロプロセッサ101に対するリセット信号が解除されることになるものである。
【0037】
(2)実施の形態1の作用・動作の詳細な説明
図3は図1のものにおける動作説明用タイムチャ−ト、特に暴走監視回路が正常に動作している時の各部の動作を示したものである。
図3において、チャ−ト(a)において電源スイッチ2がONするとチャ−ト(b)で示すように電源立上がりパルス発生回路126によって初期化パルスIPSがt1時間だけ発生し、リセット完了記憶素子125や異常発生記憶素子129がリセット状態に初期化され、第一・第二の起動処理回路125a・125bと論理結合回路122を介してマイクロプロセッサ101のリセット入力(RST)には実行リセット信号出力が供給されることになる。
その結果、反転論理素子124を介してワンショットタイマ123が活性化され、チャ−ト(h)に示すとおり所定時間T1を置いて時間幅t3のウォッチドッグタイマリセット信号WDRを発生する。
【0038】
これに伴って、チャ−ト(c)(d)(e)に示すようにリセット完了記憶素子125のセット出力FSRが発生して第一・第二の起動処理回路125a・125bの出力が論理レベル「H」となったり、第一・第二のウォッチドッグタイマ120a・120bのリセット信号(モニタ信号MN1・MN2)が論理レベル「H」となったりすることにより、チャ−ト(f)で示すようにマイクロプロセッサ101のリセット動作が解除される。
マイクロプロセッサ101のリセット動作が解除されると、マイクロプロセッサ101は初期化プログラムを実行し、続いて制御プロイグラムの実行を開始する。
これらのプログラムの実行開始に伴い、チャ−ト(i)(j)に示すとおり第一・第二のウォッチドッグクリア信号WD1・WD2が発生し、プログラム実行開始T2時間後にはチャ−ト(m)(n)に示すとおり出力許可信号OUTEや制御出力DRが発生し、負荷電源リレ−113が動作するようになる。
【0039】
以上のようにしてマイクロプロセッサ101は正常に制御プログラムを実行し、電気負荷4を制御するが、ここで時刻Txにおいてマイクロプロセッサ101にノイズ誤動作等による一時的な異常が発生して、第一・第二のウォッチドッグクリア信号WD1・WD2が途絶えるか、発生パルス幅が所定値を超過した場合を説明すると、先ずチャ−ト(d)(e)に示すとおり第一・第二のリセット信号(モニタ信号MN1・MN2)が論理レベル「L」となり、その結果チャ−ト(f)に示すとおり論理結合回路122を介して実効リセット信号出力(RST)が論理レベル「L」となる。
これに伴い、チャ−ト(g)に示すとおり立上がりパルス発生回路127が時間幅t2のパルスPLSを発生し、チャ−ト(c)に示すとおりリセット完了記憶素子125がリセットされてそのセット出力は論理レベル「L」となり、負荷電源リレ−113が消勢される。
【0040】
同様に、上記パルスPLSによってチャ−ト(l)に示すとおり異常発生記憶素子129がセットされて、そのリセット出力であるインタ−ロック信号ITLは論理レベル「L」となって駆動停止用ゲ−ト素子106を閉鎖すると共に、セット出力で警報・表示器5が作動する。
一方、実効リセット信号出力(RST)が論理レベル「L」となってマイクロプロセッサ101がリセットされたことにより、チャ−ト(n)(m)に示すとおり出力許可信号OUTEや制御出力DRも論理レベル「L」となる。
更に、実効リセット信号出力(RST)が論理レベル「L」となってマイクロプロセッサ101がリセットしてから所定時間T1後には、チャ−ト(h)で示すとおりワンショットタイマ123が時間幅t3のパルスを発生し、リセット完了記憶素子125をセットしたり、第一・第二のウォッチドッグタイマの動作を解除たりするので、マイクロプロセッサ101は再度正常動作を開始することになる。
ただし、異常発生記憶素子129はセット状態が継続しているので、チャ−ト(l)に示すとおりインタ−ロック信号ITLは論理レベル「L」のままとなり、警報・表示器5も動作を継続している。
【0041】
次に、時刻Tyにおいてチャ−ト(i)に示すとり第一のウォッチドッグクリア信号WD1を意図的に停止した場合や、パルス幅が所定値を超過した場合を説明すると、チャ−ト(d)に示すとおり第一のウォッチドッグタイマ120aのリセット信号(第一のモニタ信号MN1)は論理レベル「L」に変化するが、第二のリセット信号(モニタ信号MN2)が論理レベル「H」のままであるから、論理結合回路122の出力である実効リセット信号出力(RST)は論理レベル「H」のままであって、マイクロプロセッサ101がリセットされることは無い。
なお、マイクロプロセッサ101は以上の制御によって第一のウォッチドッグタイマ120aの診断を行った後、チャ−ト(k)に示すとおりモニタリセット信号出力MNRを発生し、第一のウォッチドッグタイマ120aをリセットすることにより第一のリセット信号(モニタ信号MN1)はチャ−ト(d)に示すとおり論理レベル「H」に復帰し、第一のウォッチドッグクリア信号WD1も正常パルスを発生するようになる。
【0042】
図4は図1のものにおける異常診断手段の動作説明用フロ−チャ−トを示したものである。
図4において、400は診断開始工程、401は該工程に続いて作用し第二のモニタ信号MN2の論理レベルが「L」であるかどうかを判定する工程、402は該判定工程がNOである時に作用し第一のエラ−出力ER1を発生(論理レベル「H])する工程、403は該工程に続いて作用し第一のモニタ信号MN1が第一の異常処理回路121aによって論理レベル「L」になったかどうかを判定する工程、404は該判定工程がYESである時に作用し、上記工程402で発生した第一のエラ−出力ER1を解除する工程であり、上記判定工程401ではもしもモニタ信号MN2が論理レベル「L」になっている時には第一・第二のウォッチドッグタイマ120a・120bの診断を行わないよう後述の工程440へ移行するようになっている。
【0043】
また、上記判定工程403で第一のモニタ信号MN1が論理レベル「L」にならない場合には第一の異常処理回路121aの不良であって、後述の工程412によってエラ−出力ERと第一のエラ−出力ER1の動作が記憶され、この記憶状態は電源を遮断するまで保持されるようになっている。
なお、上記工程402、403、404によって構成された工程ブロック414は、第一の異常処理回路121aの動作を確認するための第一の確認手段となっている。
405は上記工程404に続いて作用し、第一のウォッチドッグクリア信号WD1を意図的に停止するか、パルス時間幅を所定値超過にする工程であり、該工程では第二のウォッチドッグクリア信号WD2は正常パルス列を発生し続けるようになっている。
【0044】
406は上記工程405に続いて作用し、判定タイマを駆動するする工程であり、該判定タイマはウォッチドッグクリア信号WD1やWD2のパルス幅の許容最大値よりも若干長い目の時間T0が経過するとタイムアップするようにソフトウエア上でプログラムされているものである。
407は上記工程406に続いて作用し、上記判定タイマがタイムアップしたかどうかを判定する工程、408は該判定工程がまだタイムアップしていないと判定した時に作用し、第一のモニタ信号MN1の論理レベルが「L」になったかどうかを判定する工程であり、該判定工程がNOであれば上記工程405に移行して工程405から工程408の動作を繰り返すようになっている。
【0045】
この繰返し動作の過程で、若しも上記工程407がタイムアップを判定した場合には工程412に移行してエラ−出力ERや第一のエラ−出力ER1を発生記憶する。
また、上記工程407がタイムアップしない時間内に工程408がYESの判定を行った場合には工程409へ移行し、該工程では上記工程406で駆動された判定タイマの駆動を解除するようになっている。
410は上記工程409に続いて作用し、上記工程405で意図的に異常にした第一のウォッチドッグクリア信号WD1を正常化すると共に、モニタリセット信号MNRを発生する工程、411は該工程に続いて作用し、第一のモニタ信号MN1が論理レベル「H」に復帰したかどうかを判定する工程であり、該判定工程がNOの時には工程412へ移行して、エラ−出力ERや第一のエラ−出力ER1を発生記憶する。
413は工程401から工程412で構成される工程ブロックであり、該工程ブロックによって第一のウォッチドッグタイマ120aを診断するための第一の異常診断手段が構成されている。
【0046】
421は上記判定工程411がYESである時に作用し第一のモニタ信号MN1の論理レベルが「L」であるかどうかを判定する工程、422は該判定工程がNOである時に作用し第二のエラ−出力ER2を発生(論理レベル「H])する工程、423は該工程に続いて作用し第二のモニタ信号MN2が第二の異常処理回路121bによって論理レベル「L」になったかどうかを判定する工程、424は該判定工程がYESである時に作用し、上記工程422で発生した第二のエラ−出力ER2を解除する工程であり、上記判定工程421ではもしもモニタ信号MN1が論理レベル「L」になっている時には第二のウォッチドッグタイマ120bの診断を行わないよう後述の工程440へ移行するようになっている。
【0047】
また、上記判定工程423で第二のモニタ信号MN2が論理レベル「L」にならない場合には第二の異常処理回路121bの不良であって、後述の工程432によってエラ−出力ERと第二のエラ−出力ER2の動作が記憶され、この記憶状態は電源を遮断するまで保持されるようになっている。
なお、上記工程422、423、424によって構成された工程ブロック434は、第二の異常処理回路121bの動作を確認するための第二の確認手段となっている。
425は上記工程424に続いて作用し、第二のウォッチドッグクリア信号WD2を意図的に停止するか、パルス時間幅を所定値超過にする工程であり、該工程では第一のウォッチドッグクリア信号WD1は正常パルス列を発生し続けるようになっている。
【0048】
426は上記工程425に続いて作用し、判定タイマを駆動するする工程であり、該判定タイマはウォッチドッグクリア信号WD1やWD2のパルス幅の許容最大値よりも若干長い目の時間T0が経過するとタイムアップするようにソフトウエア上でプログラムされているものである。
427は上記工程426に続いて作用し、上記判定タイマがタイムアップしたかどうかを判定する工程、428は該判定工程がまだタイムアップしていないと判定した時に作用し、第二のモニタ信号MN2の論理レベルが「L」になったかどうかを判定する工程であり、該判定工程がNOであれば上記工程425に移行して工程425から工程428の動作を繰り返すようになっている。
【0049】
この繰返し動作の過程で、若しも上記工程427がタイムアップを判定した場合には工程432に移行してエラ−出力ERや第二のエラ−出力ER2を発生記憶する。
また、上記工程427がタイムアップしない時間内に工程428がYESの判定をおこなった場合には工程429へ移行し、該工程では上記工程426で駆動された判定タイマの駆動を解除するようになっている。
430は上記工程429に続いて作用し、上記工程425で意図的に異常にした第二のウォッチドッグクリア信号WD2を正常化すると共に、モニタリセット信号MNRを発生する工程、431は該工程に続いて作用し、第二のモニタ信号MN2が論理レベル「H」に復帰したかどうかを判定する工程であり、該判定工程がNOの時には工程432へ移行して、エラ−出力ERや第二のエラ−出力ER2を発生記憶する。
433は工程421から工程432で構成される工程ブロックであり、該工程ブロックによって第二のウォッチドッグタイマ120bを診断するための第二の異常診断手段が構成されている。
【0050】
440は上記判定工程401421や431がYESの時、あるいは工程412・432に続いて作用し、第一・第二のウォッチドッグクリア信号WD1・WD2を正常出力に戻す工程、441は該工程に続く診断終了工程であり、以上のようにして第一・第二のウォッチドッグタイマ120a・120bの異常診断が完了すると適宜の時間をおいて再度診断開始工程400へ移行するようになっている。
【0051】
以下に、図3・図4による動作説明を踏まえた上で、図1のものの主要部の動作について再度総論的に説明する。
マイクロプロセッサ101が発生する一対のウォッチドッグクリア信号WD1・WD2のパルス幅を監視する一対のウォッチドッグタイマ120a・120bは、パルス幅が所定値を超過すると第一・第二のリセット信号を発生し、このリセット信号は第一・第二のモニタ信号MN1・MN2としてマイクロプロセッサ101に取込まれている。
また、上記一対のリセット信号は論理結合回路122を介してマイクロプロセッサ101のリセット入力端子(RST)に接続されていて、一対のリセット信号が共に論理レベル「L」である時にマイクロプロセッサ101に実効リセット信号出力を供給してマイクロプロセッサ101をリセットすると共に、この実効リセット信号出力はワンショットタイマ123によって自動的に解除されることになる。
【0052】
従って、診断目的で一方のウォッチドッグタイマのリセット信号を発生させても、他方のウォッチドッグタイマがリセット信号を発生しない限り実効リセット信号出力を発生することが無いので、一対のウォッチドッグタイマの交互診断が行えるものである。
診断結果として一方のウォッチドッグタイマが不動作側異常(本来リセット信号を発生しなければならないにもかかわらずリセット信号が発生しない状態)であれば、このままでは永久に実効リセット信号出力が発生できない状態となるので、リセット異常処理回路121a又は121bによって強制的に論理レベル「L」にされ、その結果他方のウォッチドッグタイマによるリセット信号が有効となるよう配慮されている。
【0053】
一方、論理結合回路122に関しては、運転中に診断動作を行うことができないので電源投入後の起動時に動作確認が行われる。
一対の起動処理回路125a・125bは万一一対のウォッチドッグタイマ120a・120bのいずれかが不動作側異常(論理レベル「H」)となっている時に、論理結合回路122を介してマイクロプロセッサ101をリセットするものであるが、若しも論理結合回路122が破損していてその出力が論理レベル「L」にならない時にはワンショットタイマ123が活性化されず、リセット完了記憶素子125がセットされないことになる。
その結果、負荷電源リレ−113が動作しないので安全が確保されると共に、異常状態であることが容易に判断できることになる。
【0054】
次に正常運転中のマイクロプロセッサ101がノイズ誤動作等によって一時的に異常となった場合を想定すると、第一および第二のウォッチドッグタイマ120a・120bがリセット信号を発生してマイクロプロセッサ101は停止するが、ワンショットタイマ123によって直ちにリセット信号が解除される。
リセット完了記憶素子125は、マイクロプロセッサ101がリセットされた時に立上がりパルス発生回路127によって一時的にリセットされるが、リセット完了に伴ってワンショットタイマ123によって再びセットされるので、電源リレ−113も動作可能となる。
従って、自動車用エンジン制御装置の場合にあっては、多くの場合に運転手が気づかない内に正常運転に復帰することになる。
【0055】
しかし、異常発生記憶素子129は一度でも実効リセット信号出力が発生すれば立上がりパルス発生回路127によってセットされるほか、エラ−出力ERの発生によってもセットされるので、これに伴って警報・表示器5が作動すると共に、インタ−ロック信号ITLによって特定の電気負荷の駆動が停止され、この状態は電源スイッチ2を再度投入するまで維持されて運転手に異常を伝えることができるものである。
なお、ここで言う特定の電気負荷とは、例えば電子スロットル制御による自動車の定速走行制御装置とか走行用前方・側方監視装置などの安全に関わる便利機能を有効にするためのモ−ド切換信号出力あるいはアクチェ−タであって、これが機能しなくても自動車の運転には困らないものである。
これに対し、点火制御や燃料噴射制御等のエンジンの回転制御に関わる基本機能は退避・帰宅運転を行うためになるべく継続制御することが必要となるので、たとえ一方のウォッチドッグタイマが異常であっても運転が可能となるよう配慮した実施の形態を示している。
【0056】
実施の形態2.
(1)実施の形態2の構成の詳細な説明
以下この発明の実施の形態2の、CPUの暴走監視制御回路を備えた電子制御装置のブロック図を図5に示し、図1のものとの相違点を中心にして説明する。
図5において、500は自動車用エンジン制御装置等の電子機器であり、該電子機器にはサブマイクロプロセッサ507から出力インタフェ−ス回路505を介して制御される第二の電気負荷群7が接続されていて、該第二の電気負荷群の一部のものには第二の駆動停止用ゲ−ト素子506が接続されている。
また、上記サブマイクロプロセッサ507には入力インタフェ−ス回路504を介して第二の入力センサ群6が接続されている。
なお、上記サブマイクロプロセッサ507はメインとなるマイクロプロセッサ501と協動し、補機の制御等を分担して、両者によって全体の制御を行うものであって、夫々の制御機能の一部を相互に監視すること等も行われるものである。
【0057】
501は演算処理用RAMメモリ102やフラッシュメモリ等の不揮発性プログラムメモリ503を備えたメインとなるマイクロプロセッサであり、該マイクロプロセッサ501は上記サブマイクロプロセッサ507の発生するウォッチドッグクリア信号WDSを監視して、該ウォッチドッグクリア信号WDSのパルス幅が所定値を超過した時には論理レベル「L」のリセット信号出力(RSTS)を発生してサブマイクロプロセッサ507を再起動するようになっている。
また、上記サブマイクロプロセッサ507は第一・第二の論理結合回路522a・522bの出力によって、メインとなるマイクロプロセッサ501のリセットと同時にリセットされるようになっている。
508は上記リセット信号出力(RSTS)が論理レベル「H」から「L」に変化した時に短時間パルスを発生する立下がりパルス発生回路、509は該パルス発生回路の発生パルスと上記マイクロプロセッサ501が発生するエラ−出力ERを論理和する論理結合素子であり、該論理結合素子が発生する合成エラ−出力ER0によって異常発生記憶素子129がセットされるよう構成されている。
【0058】
520a・520bは第一・第二のウォッチドッグタイマであり、図6で詳述するとおりこれらのウォッチドッグタイマは自己リセット回路630を内蔵しているので、図1におけるワンショットタイマ123やモニタリセット信号MNRが不要となり、リセット完了記憶素子125も上記第一・第二のウォッチドッグタイマ520a・520bが発生する第一・第二のウォッチドッグタイマリセット信号WDR1・WDR2によってセットされるようになっている。
また、図1における論理結合回路122に代わって、論理和素子である一対の論理結合回路522aと522bを並列接続して構成された二重化された論理結合回路が用いられている。
【0059】
図6は図5におけるウォッチドッグタイマの詳細回路図を示したものである。
図6において、520は前述の第一・第二のウォッチドッグタイマ520aまたは520bを代表するウォッチドッグタイマ、WDnは前述の第一・第二のウォッチドッグクリア信号WD1又はWD2を代表するウォッチドッグクリア信号、MNnは前述の第一・第二のリセット信号(第一・第二のモニタ信号)MN1又はMN2を代表するリセット信号(モニタ信号)、WDRnは第一・第二のウォッチドッグタイマリセット信号WDR1・WDR2を代表するものであり、上記ウォッチドッグタイマ520は図2におけるウォッチドッグタイマ120とほぼ同等のタイマ回路部120cと自己リセット回路630によって構成されている。
上記タイマ回路部120cは図2のものと比べてフリップフロップ素子208(608)のセット入力信号が自己リセット回路630から供給されている相違点があるがその他は全く同一内容となっている。
【0060】
自己リセット回路630において、631は上記ウォッチドッグタイマリセット信号WDRnを発生して、上記フリップフロップ素子208に相当するフリップフロップ素子608や図5におけるリセット完了記憶素子125をセットする比較器、201a・201bは正負の制御電源線、632aはコンデンサ632bを充電する充電抵抗、633a・633bは分圧抵抗であり、上記充電抵抗632aとコンデンサ632bや分圧抵抗633a・633bは互いに直列接続されて上記電源線201a・201b間に接続されている。
また、上記比較器631の非反転入力は上記充電抵抗632aとコンデンサ632bの接続点に接続され、反転入力は分圧抵抗633a・633bの接続点に接続され、コンデンサ632bの充電電圧が分圧抵抗633a・633bによる分圧電圧を超過した時にフリップフロップ素子608をセットするように構成されている。
【0061】
634は上記コンデンサ632bの充電電荷を放電するための出力反転素子、635は並列ダイオ−ド636を備え、コンデンサ637を充電する充電抵抗であり、上記フリップフロップ素子608のセット出力が論理レベル「H」になると充電抵抗635を介してコンデンサ637が充電され、その充電電圧が所定値を超過すると上記出力反転素子634の出力が論理レベル「L」となって、コンデンサ632bの充電電荷を放電すると共に、比較器631の出力は論理レベル「L」となるよう構成されている。
一方、フリップフロップ素子608のセット出力が論理レベル「L」になった時には、コンデンサ637の充電電荷は並列ダイオ−ド636を介して速やかに放電し、出力反転素子634の出力が論理レベル「H」となってコンデンサ632bの充電が開始するようになっている。
【0062】
ウォッチドッグタイマ520の全体構成を再度整理すると、フリップフロップ素子608は電源投入時にはコンデンサ209aによってリセットされ、運転中においてはウォッチドッグクリア信号WDnが異常になると比較器200によってリセットされ、そのセット出力が論理レベル「L」となってこれがモニタ信号MNnとなるものである。
フリップフロプ素子608のセット出力MNnが論理レベル「L」となれば、直ちにコンデンサ632bの充電が開始し、所定時間T1後には比較器631の出力WDRnによってフリップフロップ素子608はセットされ、モニタ信号MNnの論理レベルは「H」に復帰する。
フリップフロプ素子608のセット出力が論理レベル「H」となればコンデンサ637の充電が開始し、所定時間t3後には出力反転素子634の出力が論理レベル「L」となって比較器631の出力WDRnは論理レベル「L」となり、フリップフロップ素子608のセット入力は解除されるよう構成されている。
以上に述べたタイミング関係は図3(h)のタイムチャ−トに示すとおりとなっている。
【0063】
(2)実施の形態2の作用・動作の詳細な説明
以上のとおり構成された図5のものにおいて、一対のウォッチドッグタイマ520a・520bや論理結合回路522a・522bによる暴走監視回路そのものの動作は、結果的には図1のものと同一である。
ただし、図1におけるワンショットタイマ123がウォッチドッグタイマ520a・520bに夫々内蔵されているので、二重化回路部分が多くなり信頼性が向上する。
即ち、図1のものではワンショットタイマ123が異常になると、ウォッチドッグタイマ120a・120bが共にリセットされないかリセットされたままになるという問題がある。
これに対し、図5の構成であれば一方の自己リセット回路630が異常となっても他方のウォッチドッグタイマは有効に機能することになる。
また、論理結合回路522a・522bも二重化されているので、全体として回路部品は増加するが、図5のものは図1のものに比べて信頼度の高いものとして構成されている。
【0064】
一方、ウォッチドッグタイマが自己リセット機能を内蔵したことに伴い、マイクロプロセッサ501はモニタリセット信号出力MNRを発生しない構成となっている。
マイクロプロセッサ501の作用動作を図4について説明すると、図4における工程410や工程430において、MNR出力を発生する代わりに自己リセット回路630がウォッチドッグタイマ520a・520bを自己リセットするまでの時間待ちを行って次の工程に移行すれば良いことになる。
それ以外の動作フロ−は図4に示すとおりである。
【0065】
メインとなるマイクロプロセッサ501と協動するサブマイクロプロセッサ507は図示しない制御プログラムによって第二の電気負荷群7を制御するが、そのウォッチドッグクリア信号WDSはマイクロプロセッサ501のプログラムメモリ503に内蔵された暴走監視手段によって監視され、サブマイクロプロセッサ507の単独異常の場合にはマイクロプロセッサ501によってリセットされる。
ただし、マイクロプロセッサ501が異常である時にはサブマイクロプロセッサ507が正常であっても第一・第二のウォッチドッグタイマ520a・520bによってマイクロプロセッサ501及びサブマイクロプロセッサ507が共にリセットされる。
サブマイクロプロセッサ507の単独異常に対しては、異常発生記憶素子129によって記憶され、インタ−ロック信号ITLや警報・表示器5が作動するようになっている。
【0066】
この異常発生記憶素子129はマイクロプロセッサ501の発生するエラ−出力ERや、第一・第二のウォッチドッグタイマ520a・520bによる実効リセット信号出力の作動も記憶するようになっており、異常記憶に伴うインタ−ロック信号ITLは電気負荷群4の一部電気負荷のみならず、第二の電気負荷群7の中の一部電気負荷の駆動停止を行うようになっている。
また、上記第二の電気負荷群7は負荷電源リレ−113の出力接点114を介して電源1から給電されるようになっている。
【0067】
実施の形態3.
(1)実施の形態3の構成の詳細な説明
以下この発明の実施の形態3の、CPUの暴走監視制御回路を備えた電子制御装置のブロック図を図7に示し、図1のものとの相違点を中心にして説明する。
図7において、700は自動車用エンジン制御装置等の電子機器であり、該電子機器は演算処理用RAMメモリ102やフラッシュメモリ等の不揮発性プログラムメモリ703を備えたマイクロプロセッサ701によって制御されている。図1のものと同様に上記マイクロプロセッサ701が発生する第一・第二のウォッチドッグクリア信号WD1・WD2は第一・第二のウォッチドッグタイマ120a・120bによって監視され、該第一・第二のウォッチドッグタイマが発生する第一・第二のリセット信号は第一・第二のモニタ信号MN1・MN2としてマイクロプロセッサ701に入力されている。
【0068】
721aは上記第一のウォッチドッグタイマ120aが発生する第一のリセット信号と、上記マイクロプロセッサ701が発生する第一のテスト出力TST1を論理和する第一のゲ−ト素子、721bは上記第二のウォッチドッグタイマ120bが発生する第二のリセット信号と、上記マイクロプロセッサ701が発生する第二のテスト出力TST2を論理和する第二のゲ−ト素子、722は上記第一・第二のテスト出力TST1・TST2に対する論理積の否定出力を発生する異常処理回路であり、上記第一・第二のゲ−ト素子721a・721bの出力と上記異常処理回路722の出力はワイア−ドOR結合されて上記マイクロプロセッサ701のリセット入力(RST)に接続されている。
なお、上記第一・第二のゲ−ト素子721a・721bは、請求項7,8及び19に記載の発明におけるゲ−ト回路に相当する。また、上記第一・第二のゲ−ト素子721a・721bや異常処理回路722の出力部分はプルアップ抵抗としてのコレクタ抵抗を備えたNPNトランジスタで構成されていて、各出力を直接接続しても良い回路形式のものとされている。
【0069】
725a・725bはリセット完了記憶素子125のリセット出力と上記第一・第二のウォッチドッグタイマ120a・120bの出力間に接続された反転論理素子からなる第一・第二の起動処理回路であり、該起動処理回路は万一第一・第二のウォッチドッグタイマ120a・120bが共に不動作側異常であっても、リセット完了記憶素子125がリセットされている起動時には上記第一又は第二のゲ−ト素子721a又は721bを介してマイクロプロセッサ701をリセットするように構成されている。
また、上記異常処理回路722は万一マイクロプロセッサ701の発生する第一・第二のテスト出力TST1・TST2が共に論理レベル「H」であれば、マイクロプロセッサ701をリセットするよう構成されている。
【0070】
(2)実施の形態3の作用・動作の詳細な説明
図8は図7のものにおける異常診断手段の動作説明用フロ−チャ−トを示したものである。
図8において、800は診断開始工程、801は該工程に続いて作用し後述の工程821において異常検出フラグがセットされたかどうかを判定する工程、802は該判定工程がNOである時に作用し第一のテスト出力TST1を発生すると共に、第一のウォッチドッグクリア信号WD1を意図的に停止するか、パルス時間幅を所定値超過にする工程であり、該工程では第二のウォッチドッグクリア信号WD2は正常パルス列を発生し続けるようになっている。
803は上記工程802に続いて作用し、判定タイマを駆動するする工程であり、該判定タイマはウォッチドッグクリア信号WD1やWD2のパルス幅の許容最大値よりも若干長い目の時間T0が経過するとタイムアップするようにソフトウエア上でプログラムされているものである。
【0071】
804は上記工程803に続いて作用し、上記判定タイマがタイムアップしたかどうかを判定する工程、805は該判定工程がまだタイムアップしていないと判定した時に作用し、第一のモニタ信号MN1の論理レベルが「L」になったかどうかを判定する工程であり、該判定工程がNOであれば上記工程802に移行して工程802から工程805の動作を繰り返すようになっている。
この繰返し動作の過程で、若しも上記工程804がタイムアップを判定した場合には工程821に移行してエラ−出力ERやエラ−フラグFLAGを発生記憶する。
また、上記工程804がタイムアップしない時間内に工程805がYESの判定を行った場合には工程806へ移行し、該工程では上記工程803で駆動された判定タイマの駆動を解除すると共に、モニタリセット信号MNRを発生して第一のウォッチドッグタイマ120aをリセットするようになっている。
【0072】
なお、上記判定工程805がYESの判定を行うと言うことは、第一のウォッチドッグタイマ120aが動作して、第一のリセット信号即ち第一のモニタ信号MN1が論理レベル「L」になると言うことであるが、この時点では上記第一のテスト出力TST1が論理レベル「H」になっているので、図7における第一のゲ−ト素子721aの作用によって実効リセット信号出力(RST)は発生しないようにして、被テスト側ウォッチドッグタイマが切り離されている。
807は上記工程806に続いて作用し、第一のモニタ信号MN1が論理レベル「H」に復帰したかどうかを判定する工程であり、該判定工程がNOの時には上記工程821へ移行して、エラ−出力ERやエラ−フラグFLAGを発生記憶する。
808は上記判定工程807がYESであった時に作用し、上記工程802で意図的に異常にされた第一のウォッチドッグクリア信号WD1を正常化すると共に、第一のテスト出力TST1を解除して論理レベル「L」にするようになっている。
809は上記工程802から工程808によって構成された工程ブロックであり、該工程ブロックは第一のウォッチドッグタイマ120aを診断するための第一の異常診断手段を構成している。
【0073】
812は上記工程808に続いて作用して第二のテスト出力TST2を発生すると共に、第二のウォッチドッグクリア信号WD2を意図的に停止するか、パルス時間幅を所定値超過にする工程であり、該工程では第一のウォッチドッグクリア信号WD1は正常パルス列を発生し続けるようになっている。
813は上記工程812に続いて作用して判定タイマを駆動する工程であり、該判定タイマはウォッチドッグクリア信号WD1やWD2のパルス幅の許容最大値よりも若干長い目の時間T0が経過するとタイムアップするようにソフトウエア上でプログラムされているものである。
【0074】
814は上記工程813に続いて作用し、上記判定タイマがタイムアップしたかどうかを判定する工程、815は該判定工程がまだタイムアップしていないと判定した時に作用し、第二のモニタ信号MN2の論理レベルが「L」になったかどうかを判定する工程であり、該判定工程がNOであれば上記工程812に移行して工程812から工程815の動作を繰り返すようになっている。
この繰返し動作の過程で、若しも上記工程814がタイムアップを判定した場合には工程821に移行してエラ−出力ERやエラ−フラグFLAGを発生記憶する。
また、上記工程814がタイムアップしない時間内に工程815がYESの判定を行った場合には工程816へ移行し、該工程では上記工程813で駆動された判定タイマの駆動を解除すると共に、モニタリセット信号MNRを発生して第二のウォッチドッグタイマ120bをリセットするようになっている。
【0075】
なお、上記判定工程815がYESの判定を行うと言うことは、第二のウォッチドッグタイマ120bが動作して、第二のリセット信号即ち第二のモニタ信号MN2が論理レベル「L」になると言うことであるが、この時点では上記第二のテスト出力TST2が論理レベル「H」になっているので、図7における第二のゲ−ト素子721bの作用によって実効リセット信号出力(RST)は発生しないようにして、被テスト側ウォッチドッグタイマが切り離されている。
817は上記工程816に続いて作用し、第二のモニタ信号MN2が論理レベル「H」に復帰したかどうかを判定する工程であり、該判定工程がNOの時には上記工程821へ移行して、エラ−出力ERやエラ−フラグFLAGを発生記憶する。
818は上記判定工程817がYESであった時に作用し、上記工程812で意図的に異常にされた第二のウォッチドッグクリア信号WD2を正常化すると共に、第二のテスト出力TST2を解除して論理レベル「L」にするようになっている。
819は上記工程812から工程818によって構成された工程ブロックであり、該工程ブロックは第二のウォッチドッグタイマ120bを診断するための第二の異常診断手段を構成している。
【0076】
821は上記判定工程804、807、814、817が異常判定であった時に作用して、エラ−出力ERやエラ−フラグFLAGを発生記憶する工程、822は上記工程802や工程812において意図的に異常化された第一・第二のウォッチドッグクリア信号WD1・WD2を正常化する工程、823は上記判定工程801がYESであった時や工程818、822に続いて作用する診断終了工程であり、以上のようにして第一・第二のウォッチドッグタイマ120a・120bの異常診断が完了すると適宜の時間をおいて再度診断開始工程800へ移行するようになっている。
なお、上記工程807又は工程817から工程821へ移行した場合にはテスト出力TST1またはTST2は論理レベル「H」のままとなっていて、ウォッチドッグタイマ120a・120bの動作側異常に対して不要な実効リセット信号出力が発生しないようになっている。
【0077】
以下に、図8による動作説明を踏まえた上で、図7のものの主要部の動作について再度総論的に説明する。
マイクロプロセッサ701が発生する一対のウォッチドッグクリア信号WD1・WD2のパルス幅を監視する一対のウォッチドッグタイマ120a・120bは、パルス幅が所定値を超過すると第一・第二のリセット信号を発生し、このリセット信号は第一・第二のモニタ信号MN1・MN2としてマイクロプロセッサ701に取込まれている。
また、上記一対のリセット信号は一対のゲ−ト素子721a・721bを介してマイクロプロセッサ701のリセット入力端子に接続されていて、一対のリセット信号のいずれか一方が論理レベル「L」である時にマイクロプロセッサ701に実効リセット信号出力を供給してマイクロプロセッサ701をリセットすると共に、この実効リセット信号出力はワンショットタイマ123によって自動的に解除されることになる。
【0078】
ただし、第一・第二のテスト出力TST1・TST2が論理レベル「H」になっていると、第一・第二のゲ−ト素子721a・721bの作用によって実効リセット信号出力は発生しないようになっている。
従って、診断目的で一方のウォッチドッグタイマのリセット信号を発生させても、他方のウォッチドッグタイマがリセット信号を発生しない限り実効リセット信号出力を発生することが無いので、一対のウォッチドッグタイマの異常診断が行えるものである。
診断結果として一方のウォッチドッグタイマが不動作側異常(本来リセット信号を発生しなければならないにもかかわらずリセット信号が発生しない状態)であっても、他方のウォッチドッグタイマによるリセット信号が有効であるが、もしも診断動作中に動作側異常(本来リセット信号を発生してはならないにもかかわらずリセット信号が発生している状態)が発生すれば、テスト出力を解除しないでおくことにより、異常側のウォッチドッグタイマが切り離されるようになっている。
【0079】
なお、異常処理回路722に関しては、マイクロプロセッサ701の異常等によって、第一・第二のテスト出力TST1・TST2が共に論理レベル「H」となった場合に実効リセット信号出力を発生してマイクロプロセッサ701をリセットするようになっている。
一対の起動処理回路725a・725bは万一一対のウォッチドッグタイマ120a・120bが共に不動作側異常(論理レベル「H」)となっている時に、第一・第二のゲ−ト素子721a・721bを介してマイクロプロセッサ701をリセットするものであるが、若しも第一・第二のゲ−ト素子が共に破損していてその出力が論理レベル「L」にならない時にはワンショットタイマ123が活性化されず、リセット完了記憶素子125がセットされないことになる。
その結果、負荷電源リレ−113が動作しないので安全が確保されると共に、異常状態であることが容易に判断できることになる。
【0080】
次に正常運転中のマイクロプロセッサ701がノイズ誤動作等によって一時的に異常となった場合を想定すると、第一または第二または両方のウォッチドッグタイマ120a・120bがリセット信号を発生してマイクロプロセッサ701は停止するが、ワンショットタイマ123によって直ちにリセット信号が解除される。
リセット完了記憶素子125は、マイクロプロセッサ701がリセットされた時に立上がりパルス発生回路127によって一時的にリセットされるが、リセット完了に伴ってワンショットタイマ123によって再びセットされるので、電源リレ−113も動作可能となる。
従って、自動車用エンジン制御装置の場合にあっては、多くの場合に運転手が気づかない内に正常運転に復帰することになる。
【0081】
しかし、異常発生記憶素子129は一度でも実効リセット信号出力が発生すれば立上がりパルス発生回路127によってセットされるほか、エラ−出力ERの発生によってもセットされるので、これに伴って警報・表示器5が作動すると共に、インタ−ロック信号ITLによって特定の電気負荷の駆動が停止され、この状態は電源スイッチ2を再度投入するまで維持されて運転手に異常を伝えることができるものである。
なお、ここで言う特定の電気負荷とは、例えば電子スロットル制御による自動車の定速走行制御装置とか走行用前方・側方監視装置などの安全に関わる便利機能を有効にするためのモ−ド切換信号出力あるいはアクチェ−タであって、これが機能しなくても自動車の運転には困らないものである。
これに対し、点火制御や燃料噴射制御等のエンジンの回転制御に関わる基本機能は退避・帰宅運転を行うためになるべく継続制御することが必要となるので、一時的なCPU異常があっても運転が可能となるよう配慮した実施の形態を示している。
【0082】
実施の形態4.
(1)実施の形態4の構成の詳細な説明
以下この発明の実施の形態4の、CPUの暴走監視制御回路を備えた電子制御装置のブロック図を図9に示し、図7のものとの相違点を中心に説明する。
図9において、900は自動車用エンジン制御装置等の電子機器であり、該電子機器には図示しない第二の電気負荷群や第二の入力センサ群が接続されるサブマイクロプロセッサ907が用いられている。
なお、上記サブマイクロプロセッサ907はメインとなるマイクロプロセッサ901と協動し、補機の制御等を分担して、両者によって全体の制御を行うものであって、夫々の制御機能の一部を相互に監視すること等も行われるものである。
【0083】
901は演算処理用RAMメモリ102やフラッシュメモリ等の不揮発性プログラムメモリ903を備えたメインとなるマイクロプロセッサであり、該マイクロプロセッサは上記サブマイクロプロセッサ907の発生するウォッチドッグクリア信号WDSを監視して、該ウォッチドッグクリア信号WDSのパルス幅が所定値を超過した時には論理レベル「L」のリセット信号出力(RSTS)を発生してサブマイクロプロセッサ907を再起動するようになっている。
なお、上記プログラムメモリ903にはサブマイクロプロセッサ907のウォッチドッグクリア信号を監視するための暴走監視手段や第一・第二のウォッチドッグタイマ520a・520bに対する第一・第二の異常診断手段が格納されている。
また、上記サブマイクロプロセッサ907は第一・第二のゲ−ト素子721a・721bの出力によって、メインとなるマイクロプロセッサ901のリセットと同時にリセットされるようになっている。
508は上記リセット信号出力(RSTS)が論理レベル「H」から「L」に変化した時に短時間パルスを発生する立下がりパルス発生回路、509は該パルス発生回路の発生パルスと上記マイクロプロセッサ901が発生するエラ−出力ERを論理和する論理結合素子であり、該論理結合素子が発生する合成エラ−出力ER0によって異常発生記憶素子129がセットされるよう構成されている。
【0084】
520a・520bは第一・第二のウォッチドッグタイマであり、図6で詳述したとおりこれらのウォッチドッグタイマは自己リセット回路630を内蔵しているので、図7におけるワンショットタイマ123やモニタリセット信号MNRが不要となり、リセット完了記憶素子125も上記第一・第二のウォッチドッグタイマ520a・520bが発生する第一・第二のウォッチドッグタイマリセット信号WDR1・WDR2によってセットされるようになっている。
なお、上記サブマイクロプロセッサ907は図5と同様に図示しない第二の入力センサ群や第二の電気負荷群に接続され、第二の電気負荷群は負荷電源リレ−113の出力接点114を介して給電されたり、一部の電気負荷には必要に応じて駆動停止用ゲ−ト素子を設けたりしていて、上記異常発生記憶素子129が発生するインタ−ロック信号ITLによって制御されるようになっている。
【0085】
(2)実施の形態4の作用・動作の詳細な説明
以上のとおり構成された図9のものにおいて、一対のウォッチドッグタイマ520a・520bや第一・第二のゲ−ト素子721a・721bによる暴走監視回路そのものの動作は、結果的には図7のものと同一である。
ただし、図7におけるワンショットタイマ123がウォッチドッグタイマ520a・520bに夫々内蔵されているので、二重化回路部分が多くなり信頼性が向上する。
即ち、図7のものではワンショットタイマ123が異常になると、ウォッチドッグタイマ120a・120bが共にリセットされないかリセットされたままになるという問題がある。
これに対し、図9の構成であれば一方の自己リセット回路630が異常となっても他方のウォッチドッグタイマは有効に機能することになる。
従って、全体としての回路部品は増加するが、図9のものは図7のものに比べて信頼度の高いものとして構成されている。
【0086】
一方、ウォッチドッグタイマが自己リセット回路630を内蔵したことに伴い、マイクロプロセッサ901はモニタリセット信号出力MNRを発生しない構成となっている。
マイクロプロセッサ901の作用動作を図8について説明すると、図8における工程806や工程816において、MNR出力を発生する代わりに自己リセット回路630がウォッチドッグタイマ520a・520bを自己リセットするまでの時間待ちを行って次の工程に移行すれば良いことになる。
それ以外の動作フロ−は図8に示すとおりである。
【0087】
メインとなるマイクロプロセッサ901と協動するサブマイクロプロセッサ907は図示しない制御プログラムによって第二の電気負荷群を制御するが、そのウォッチドッグクリア信号WDSはマイクロプロセッサ901によって監視され、サブマイクロプロセッサ907の単独異常の場合にはマイクロプロセッサ901によってリセットされる。
ただし、マイクロプロセッサ901が異常である時にはサブマイクロプロセッサ907が正常であっても第一・第二のウォッチドッグタイマ520a・520bによってマイクロプロセッサ901及びサブマイクロプロセッサ907が共にリセットされる。
サブマイクロプロセッサ907の単独異常に対しては、異常発生記憶素子129によって記憶され、インタ−ロック信号ITLや警報・表示器5が作動するようになっている。
【0088】
この異常発生記憶素子129はマイクロプロセッサ901の発生するエラ−出力ERや、第一・第二のウォッチドッグタイマ520a・520bによる実効リセット信号出力の作動も記憶するようになっており、異常記憶に伴うインタ−ロック信号ITLは電気負荷群4の一部電気負荷のみならず、図示しない第二の電気負荷群の中の一部電気負荷の駆動停止を行うようになっている。
【0089】
実施の形態5.
以下この発明の実施の形態の、CPUの暴走監視制御回路を備えた電子制御装置のブロック図を図10に示し、図5のものとの相違点を中心に説明する。
図10において、1000は自動車用エンジン制御装置等の電子機器であり、該電子機器には演算処理用RAMメモリ102やフラッシュメモリ等の不揮発性プログラムメモリ1003aを備えたメインとなるマイクロプロセッサ1001と、演算処理用RAMメモリ1002やフラッシュメモリ等の不揮発性プログラムメモリ1003bを備えたサブマイクロプロセッサ1007が設けられており、該サブマイクロプロセッサは図5と同様に図示しない出力インタフェ−ス回路を介して制御される第二の電気負荷群や入力インタフェ−ス回路を介して第二の入力センサ群が接続されていて、該第二の電気負荷群の一部のものには図5と同様な第二の駆動停止用ゲ−ト素子が接続されている。
なお、上記サブマイクロプロセッサ1007はメインとなるマイクロプロセッサ1001と協動し、補機の制御等を分担して、両者によって全体の制御を行うものであって、夫々の制御機能の一部を相互に監視すること等も行われるものである。
【0090】
上記プログラムメモリ1003aは、電気負荷群4に対する制御プログラムに加えて、上記サブマイクロプロセッサ1007に対する暴走監視手段としてのプログラムが格納されていて、マイクロプロセッサ1001は上記サブマイクロプロセッサ1007の発生するウォッチドッグクリア信号WDSを監視して、該ウォッチドッグクリア信号WDSのパルス幅が所定値を超過した時には論理レベル「L」のリセット信号出力(RSTS)を発生してサブマイクロプロセッサ1007を再起動するようになっている。
図10のものと図5のものとの最も重要な相違点は、図10における第二のウォッチドッグタイマ520bが上記サブマイクロプロセッサ1007内のソフトウエアによって構成されていることである。
即ち、プログラムメモリ1003bは第二の電気負荷群に対する制御プログラムの他に、ウォッチドッグ監視手段としてのプログラムが格納されていて、該ウォッチドッグ監視手段は図6で示したウォッチドッグタイマ520と同じ動作をソフトウエアで実現するためのものとなっている。
【0091】
従って、マイクロプロセッサ1001が発生する第二のウォッチドッグクリア信号WD2はサブマイクロプロセッサ1007に供給され、サブマイクロプロセッサ1007は第二のリセット信号RST2を発生して反転論理素子である外部接続回路1040を介して論理結合回路522a・522bに供給している。
また、サブマイクロプロセッサ1007は第二のウォッチドッグタイマリセット信号WDR2を発生してリセット記憶完了素子125をセットするようになっている。
なお、1041はプルアップ抵抗によって構成されたデフォルト回路であり、該デフォルト回路はサブマイクロプロセッサ1007が起動されるまでの間に上記反転論理素子である外部接続回路1040の論理レベル「L」に強制するようになっている。
また、1042はプルダウン抵抗によって構成されたデフォルト回路であり、該デフォルト回路はサブマイクロプロセッサ1007が起動されるまでの間に上記リセット完了記憶素子125がセットされないようにするために第二のウォッチドッグタイマリセット信号WDR2を論理レベル「L」に強制するようになっている。
【0092】
以上の説明で明らかなとおり、図10のものは一対のウォッチドッグタイマの一方をサブマイクロプロセッサで代替したものであって、代替されたソフトウエアとしてのウォッチドッグタイマ即ちプログラムメモリ1003bに格納されたウォッチドッグ監視手段はプログラムメモリ1003a内の第二の異常診断手段によって診断され、この場合にはサブマイクロプロセッサ1007に供給されている第二のウォッチドッグクリア信号WD2はマイクロプロセッサ1001によって意図的に停止されたり、パルス幅が所定値を超過したり、これに伴う第二のリセット信号RST2の反転出力が第二のモニタ信号MN2としてマイクロプロセッサ1001で監視されるようになっている。
なお、上記サブマイクロプロセッサ1007に内蔵されるウォッチドッグ監視手段は、図6における自己リセット機能付きのもので説明したが、これに代わって図2に示すようなウォッチドッグタイマであっても良く、この場合には図1に示すウォッチドッグタイマ120bをウォッチドッグ監視手段によって実現するようにすれば良い。
【0093】
実施の形態6.
以下この発明の実施の形態6の、CPUの暴走監視制御回路を備えた電子制御装置のブロック図を図11に示し、図9のものとの相違点を中心にして説明する。
図11において、1100は自動車用エンジン制御装置等の電子機器であり、該電子機器には演算処理用RAMメモリ102やフラッシュメモリ等の不揮発性プログラムメモリ1103aを備えたメインとなるマイクロプロセッサ1101と、演算処理用RAMメモリ1102やフラッシュメモリ等の不揮発性プログラムメモリ1103bを備えたサブマイクロプロセッサ1107が設けられており、該サブマイクロプロセッサは図5と同様に図示しない出力インタフェ−ス回路を介して制御される第二の電気負荷群や入力インタフェ−ス回路を介して第二の入力センサ群が接続されていて、該第二の電気負荷群の一部のものには図5と同様な第二の駆動停止用ゲ−ト素子が接続されている。
なお、上記サブマイクロプロセッサ1107はメインとなるマイクロプロセッサ1101と協動し、補機の制御等を分担して、両者によって全体の制御を行うものであって、夫々の制御機能の一部を相互に監視すること等も行われるものである。
【0094】
上記プログラムメモリ1103aは、電気負荷群4に対する制御プログラムに加えて、上記サブマイクロプロセッサ1107に対する暴走監視手段としてのプログラムが格納されていて、マイクロプロセッサ1101は上記サブマイクロプロセッサ1107の発生するウォッチドッグクリア信号WDSを監視して、該ウォッチドッグクリア信号WDSのパルス幅が所定値を超過した時には論理レベル「L」のリセット信号出力(RSTS)を発生してサブマイクロプロセッサ1107を再起動するようになっている。
図11のものと図9のものとの最も重要な相違点は、図9における第二のウォッチドッグタイマ520bが上記サブマイクロプロセッサ1107内のソフトウエアによって構成されていることである。
即ち、プログラムメモリ1103bは第二の電気負荷群に対する制御プログラムの他に、ウォッチドッグ監視手段としてのプログラムが格納されていて、該ウォッチドッグ監視手段は図6で示したウォッチドッグタイマ520と同じ動作をソフトウエアで実現するためのものとなっている。
【0095】
従って、マイクロプロセッサ1101が発生する第二のウォッチドッグクリア信号WD2はサブマイクロプロセッサ1107に供給され、サブマイクロプロセッサ1107は第二のリセット信号RST2を発生して反転論理素子である外部接続回路1140を介して第二のゲ−ト素子721bに供給している。
また、サブマイクロプロセッサ1107は第二のウォッチドッグタイマリセット信号WDR2を発生してリセット記憶完了素子125をセットするようになっている。
なお、1141はプルダウン抵抗によって構成されたデフォルト回路であり、該デフォルト回路はサブマイクロプロセッサ1107が起動されるまでの間に上記反転論理素子である外部接続回路1140の出力を論理レベル「H」に強制するようになっている。
また、1142はプルダウン抵抗によって構成されたデフォルト回路であり、該デフォルト回路はサブマイクロプロセッサ1107が起動されるまでの間に上記リセット完了記憶素子125がセットされないようにするために第二のウォッチドッグタイマリセット信号WDR2を論理レベル「L」に強制するようになっている。
【0096】
以上の説明で明らかなとおり、図11のものは一対のウォッチドッグタイマの一方をサブマイクロプロセッサで代替したものであって、代替されたソフトウエアとしてのウォッチドッグタイマ即ちプログラムメモリ1103bに格納されたウォッチドッグ監視手段はプログラムメモリ1103a内の第二の異常診断手段によって診断され、この場合にはサブマイクロプロセッサ1107に供給されている第二のウォッチドッグクリア信号WD2はマイクロプロセッサ1101によって意図的に停止されたり、パルス幅が所定値超過されたり、これに伴う第二のリセット信号RST2の反転出力が第二のモニタ信号MN2としてマイクロプロセッサ1101で監視されるようになっている。
なお、上記サブマイクロプロセッサ1107に内蔵されるウォッチドッグ監視手段は、図6における自己リセット機能付きのもので説明したが、これに代わって図2に示すようなウォッチドッグタイマであっても良く、この場合には図7に示すウォッチドッグタイマ120bをウォッチドッグ監視手段によって実現するようにすれば良い。
【0097】
実施の形態7.
以下この発明の実施の形態7の、CPUの暴走監視制御回路を備えた電子制御装置のブロック図を図12に示し、図5のものとの相違点を中心にして説明する。
図12において、1200は自動車用エンジン制御装置等の電子機器であり、該電子機器には演算処理用RAMメモリ102やフラッシュメモリ等の不揮発性プログラムメモリ1203aを備えたメインとなるマイクロプロセッサ1201と、演算処理用RAMメモリ1202やフラッシュメモリ等の不揮発性プログラムメモリ1203bを備えたサブマイクロプロセッサ1207が設けられており、該サブマイクロプロセッサは図5と同様に図示しない出力インタフェ−ス回路を介して制御される第二の電気負荷群や入力インタフェ−ス回路を介して第二の入力センサ群が接続されていて、該第二の電気負荷群の一部のものには図5と同様な第二の駆動停止用ゲ−ト素子が接続されている。
なお、上記サブマイクロプロセッサ1207はメインとなるマイクロプロセッサ1201と協動し、補機の制御等を分担して、両者によって全体の制御を行うものであって、夫々の制御機能の一部を相互に監視すること等も行われるものである。
【0098】
上記プログラムメモリ1203aは、電気負荷群4に対する制御プログラムに加えて、上記サブマイクロプロセッサ1207に対する暴走監視手段としてのプログラムが格納されていて、マイクロプロセッサ1201は上記サブマイクロプロセッサ1207の発生するウォッチドッグクリア信号WDSを監視して、該ウォッチドッグクリア信号WDSのパルス幅が所定値を超過した時には論理レベル「L」のリセット信号出力(RSTS)を発生してサブマイクロプロセッサ1207を再起動するようになっている。
図12のものと図5のものとの最も重要な相違点は、図12における第二のウォッチドッグタイマ520bが上記サブマイクロプロセッサ1207内のソフトウエアによって構成されていることである。
即ち、プログラムメモリ1203bは第二の電気負荷群に対する制御プログラムの他に、ウォッチドッグ監視手段としてのプログラムが格納されていて、該ウォッチドッグ監視手段は図6で示したウォッチドッグタイマ520と同じ動作をソフトウエアで実現するためのものとなっている。
【0099】
従って、マイクロプロセッサ1201が発生する第二のウォッチドッグクリア信号WD2はサブマイクロプロセッサ1207に供給され、サブマイクロプロセッサ1207は第二のリセット信号RST2を発生して反転論理素子である外部接続回路1240を介して論理結合回路522a・522bに供給している。
また、サブマイクロプロセッサ1207は第二のウォッチドッグタイマリセット信号WDR2を発生してリセット記憶完了素子125をセットするようになっている。
なお、1241はプルアップ抵抗によって構成されたデフォルト回路であり、該デフォルト回路はサブマイクロプロセッサ1207が起動されるまでの間に上記反転論理素子である外部接続回路1240の出力を論理レベル「L」に強制するようになっている。
また、1242はプルダウン抵抗によって構成されたデフォルト回路であり、該デフォルト回路はサブマイクロプロセッサ1207が起動されるまでの間に上記リセット完了記憶素子125がセットされないようにするために第二のウォッチドッグタイマリセット信号WDR2を論理レベル「L」に強制するようになっている。
【0100】
以上の説明で明らかなとおり、図12のものは一対のウォッチドッグタイマの一方をサブマイクロプロセッサで代替したものであって、その点では図10のものと同じである。
ただし、代替されたソフトウエアとしてのウォッチドッグタイマ即ちプログラムメモリ1203bに格納されたウォッチドッグ監視手段はプログラムメモリ1203a内の暴走監視手段によって診断され、反転論理素子1240を含めた外部接続回路はプログラムメモリ1203a内の第二の異常診断手段によって診断される。
従って、サブマイクロプロセッサ1207に供給されている第二のウォッチドッグクリア信号WD2はマイクロプロセッサ1201によって意図的に停止されたり、パルス幅が所定値超過にされたりすることは無く、マイクロプロセッサ1201が正常である限り常に正常なウォッチドッグクリア信号が供給されている。
しかし、ウォッチドッグ監視手段に対する診断はサブマイクロプロセッサ1207が発生するウォッチドッグクリア信号WDSをマイクロプロセッサ1201が監視する暴走監視手段によって代行されている。
【0101】
また、マイクロプロセッサ1201は外部接続回路1240を診断する時には、サブマイクロプロセッサ1207に対してテストモ−ド信号TSTを供給し、テストモ−ド信号TSTを受けたサブマイクロプロセッサ1207は第二のリセット信号RST2を強制的に論理レベル「H」とし、所定時間後にこれを解除して第二のウォッチドッグタイマリセット信号WDR2を発生するようになっている。
このテストモ−ドにおいて、第二のモニタ信号MN2が論理レベル「L」となりやがて論理レベル「H」に回復すれば外部接続回路1240は正常であることになる。
従って、マイクロプロセッサ1201が発生する第二のエラ−出力ER2はリセット信号(RSTS)の論理反転値であるRSTSと外部接続回路1240に対する診断結果を論理和したものとなっている。
なお、上記サブマイクロプロセッサ1207に内蔵されるウォッチドッグ監視手段は、図6における自己リセット機能付きのもので説明したが、これに代わって図2に示すようなウォッチドッグタイマであっても良く、この場合には図1に示すウォッチドッグタイマ120bをウォッチドッグ監視手段によって実現するようにすれば良い。
【0102】
実施の形態8.
以下この発明の実施の形態8の、CPUの暴走監視制御回路を備えた電子制御装置のブロック図を図13に示し、図9のものとの相違点を中心にして説明する。
図13において、1300は自動車用エンジン制御装置等の電子機器であり、該電子機器には演算処理用RAMメモリ102やフラッシュメモリ等の不揮発性プログラムメモリ1303aを備えたメインとなるマイクロプロセッサ1301と、演算処理用RAMメモリ1302やフラッシュメモリ等の不揮発性プログラムメモリ1303bを備えたサブマイクロプロセッサ1307が設けられており、該サブマイクロプロセッサは図5と同様に図示しない出力インタフェ−ス回路を介して制御される第二の電気負荷群や入力インタフェ−ス回路を介して第二の入力センサ群が接続されていて、該第二の電気負荷群の一部のものには図5と同様な第二の駆動停止用ゲ−ト素子が接続されている。
なお、上記サブマイクロプロセッサ1307はメインとなるマイクロプロセッサ1301と協動し、補機の制御等を分担して、両者によって全体の制御を行うものであって、夫々の制御機能の一部を相互に監視すること等も行われるものである。
【0103】
上記プログラムメモリ1303aには、電気負荷群4に対する制御プログラムに加えて、上記サブマイクロプロセッサ1307に対する暴走監視手段としてのプログラムが格納されていて、マイクロプロセッサ1301は上記サブマイクロプロセッサ1307の発生するウォッチドッグクリア信号WDSを監視して、該ウォッチドッグクリア信号WDSのパルス幅が所定値を超過した時には論理レベル「L」のリセット信号出力(RSTS)を発生してサブマイクロプロセッサ1307を再起動するようになっている。
図13のものと図9のものとの最も重要な相違点は、図13における第二のウォッチドッグタイマ520bが上記サブマイクロプロセッサ1307内のソフトウエアによって構成されていることである。
即ち、プログラムメモリ1303bは第二の電気負荷群に対する制御プログラムの他に、ウォッチドッグ監視手段としてのプログラムが格納されていて、該ウォッチドッグ監視手段は図6で示したウォッチドッグタイマ520と同じ動作をソフトウエアで実現するためのものとなっている。
【0104】
従って、マイクロプロセッサ1301が発生する第二のウォッチドッグクリア信号WD2はサブマイクロプロセッサ1307に供給され、サブマイクロプロセッサ1307は第二のリセット信号RST2を発生して反転論理素子である外部接続回路1340を介して第二のゲ−ト素子721bに供給している。
また、サブマイクロプロセッサ1307は第二のウォッチドッグタイマリセット信号WDR2を発生してリセット記憶完了素子125をセットするようになっている。
なお、1341はプルダウン抵抗によって構成されたデフォルト回路であり、該デフォルト回路はサブマイクロプロセッサ1307が起動されるまでの間に上記反転論理素子である外部接続回路1340の出力を論理レベル「H」に強制するようになっている。
また、1342はプルダウン抵抗によって構成されたデフォルト回路であり、該デフォルト回路はサブマイクロプロセッサ1307が起動されるまでの間に上記リセット完了記憶素子125がセットされないようにするために第二のウォッチドッグタイマリセット信号WDR2を論理レベル「L」に強制するようになっている。
【0105】
以上の説明で明らかなとおり、図13のものは一対のウォッチドッグタイマの一方をサブマイクロプロセッサで代替したものであって、その点では図11のものと同じである。
ただし、代替されたソフトウエアとしてのウォッチドッグタイマ即ちプログラムメモリ1303bに格納されたウォッチドッグ監視手段はプログラムメモリ1303a内の暴走監視手段によって診断され、反転論理素子1340を含めた外部接続回路はプログラムメモリ1303a内の第二の異常診断手段によって診断される。
従って、サブマイクロプロセッサ1307に供給されている第二のウォッチドッグクリア信号WD2はマイクロプロセッサ1301によって意図的に停止されたり、パルス幅が所定値以上に大きくされたりすることは無く、マイクロプロセッサ1301が正常である限り常に正常なウォッチドッグクリア信号が供給されている。
しかし、ウォッチドッグ監視手段に対する診断はサブマイクロプロセッサ1307が発生するウォッチドッグクリア信号WDSをマイクロプロセッサ1301が監視する暴走監視手段によって代行されている。
【0106】
また、マイクロプロセッサ1301は外部接続回路1340を診断する時には、サブマイクロプロセッサ1307に対してテストモ−ド信号TSTを供給し、テストモ−ド信号TSTを受けたサブマイクロプロセッサ1307は第二のリセット信号RST2を強制的に論理レベル「H」とし、所定時間後にこれを解除して第二のウォッチドッグタイマリセット信号WDR2を発生するようになっている。
このテストモ−ドにおいて、第二のモニタ信号MN2が論理レベル「L」となりやがて論理レベル「H」に回復すれば外部接続回路1340は正常であることになる。
従って、マイクロプロセッサ1301が発生するエラ−出力ERはリセット信号(RSTS)の論理反転値であるRSTSと外部接続回路1340に対する診断結果、及び第一のウォッチドッグタイマ520aに対する診断結果を論理和したものとなるが、上記リセット信号(RSTS)は論理結合素子509によっても論理和されている。
なお、上記サブマイクロプロセッサ1307に内蔵されるウォッチドッグ監視手段は、図6における自己リセット機能付きのもので説明したが、これに代わって図2に示すようなウォッチドッグタイマであっても良く、この場合には図7に示すウォッチドッグタイマ120bをウォッチドッグ監視手段によって実現するようにすれば良い。
【0107】
実施の形態9.
以上に説明した各種実施の形態においては、一対のウォッチドッグタイマが発生する一対のリセット信号を論理積又は論理和して実効リセット信号出力とする第一・第二の方式を基本として、上記ウォッチドッグタイマが自己リセット機能を包含しないものと包含するもの、或いは協動するサブマイクロプロセッサの有無などに応じた変形形態を説明した。
いずれの場合も一方のウォッチドッグタイマでマイクロプロセッサを監視しながら、他方のウォッチドッグタイマを診断するものであるが、上記第一・第二方式の主な相違点は次のとおり要約される。
【0108】
即ち、第一方式のものは一対のウォッチドッグタイマが共に動作側異常でなければ運転可能であるのに対し、第二方式のものはどちらか一方のウォッチドッグタイマが動作側異常となれば運転ができないことになる。
また、第一・第二方式いずれの場合も、一対のウォッチドッグタイマが共に不動作側異常になっても、運転は可能であってウォッチドッグタイマが機能しない危険な運転状態となる。
ただし、常時診断されている一対のウォッチドッグタイマが共に不動作側異常となる確率が非常に小さいことや、警報表示が行われることが救いとなっている。
なお、上記動作側異常とは本来リセット信号を発生してはならない時にリセット信号を発生する異常であり、不動作側異常とは本来リセット信号を発生しなければならないのにリセット信号を発生しない異常である。
【0109】
もしもマイクロプロセッサを停止してしまうことが許される用途であれば、いずれか一方のウォッチドッグタイマが異常になった後はマイクロプロセッサが起動できないようにすることができる。
また、一対のウォッチドッグタイマが共に不動作側異常となった場合には、次の要領でこれを検出してマイクロプロセッサを停止したり、再起動したりすることができないようにすることもできる。
図1の例ではウォッチドッグタイマ120aが不動作側異常であった時に、エラ−出力ER1を解除しておいてウォッチドッグタイマ120bの動作診断を行い、これも不動作側異常であれば両者不動作側異常として図示しない第二の異常発生記憶素子をセットする。
ウォッチドッグタイマ120bが正常であればエラ−出力ER1を発生してウォッチドッグタイマ120aの切り離しを行うが、このような特別診断を定期的に実施して、危険状態を検出することができる。
【0110】
図7の例ではウォッチドッグタイマ120aが不動作側異常であった時に、そのままウォッチドッグタイマ120bの動作診断を行い、これも不動作側異常であれば両者不動作側異常として図示しない第二の異常発生記憶素子をセットする。
該第二の異常発生記憶素子は電源1に直接接続された第一電源線110から給電されるスリ−プ電源によって、電源スイッチ2が解除されても記憶保持するようにしておけば電源投入時にマイクロプロセッサをリセット状態のままとして起動できないようにすることができる。
なお、警報・表示器5は異常の発生源や重要度合い等の内容別にメッセ−ジ表示することも可能である。
同様に、特定の電気負荷に対する駆動停止用ゲ−ト素子106や506についても、異常の要因等に応じて複数のインタロック信号を準備して、適宜使い分けることができる。
【0111】
【発明の効果】
本願の発明は以下の効果を有する。
請求項1に記載の発明は、前述のように、
マイクロプロセッサ(CPU)と第一のウォッチドッグタイマと第二のウォッチドッグタイマと論理結合回路と異常診断手段とを備え、
上記マイクロプロセッサは、電気負荷を制御する制御用マイクロプロセッサであり、
上記第一のウォッチドッグタイマは、上記マイクロプロセッサからのウォッチドッグクリア信号に異常があると上記マイクロプロセッサの異常として第一のリセット信号を発生するタイマであり、
上記第二のウォッチドッグタイマは、上記マイクロプロセッサからのウォッチドッグクリア信号に異常があると上記マイクロプロセッサの異常として第二のリセット信号を発生するタイマであり、
上記論理結合回路は、上記第一・第二の各リセット信号が共に発生すると実効リセット信号を出力して上記マイクロプロセッサをリセットする回路であり、
上記異常診断手段は、上記第一のリセット信号の状態を第一モニタ信号として上記マイクロプロセッサに入力すると共に、上記第二のリセット信号の状態を第二のモニタ信号として上記マイクロプロセッサに入力し、上記マイクロプロセッサで、上記第一及び第二のウォッチドッグタイマのうちの一方のウォッチドッグタイマのモニタ信号が正常である場合 に他方のウォッチドッグタイマに対するウォッチドッグクリア信号を意図的に異常状態にし当該異常状態にしたウォッチドッグクリア信号に対応する上記他方のウォッチドッグタイマのモニタ信号の反応をチェックすることにより上記第一及び第二のウォッチドッグタイマの各々の動作確認を行う異常診断手段であることを特徴とする電子制御装置であり、
従って、マイクロプロセッサ(CPU)が、第1及び第2のウォッチドッグタイマの各々に対して、ウォッチドッグクリア信号を意図的に異常状態として各ウォッチドッグタイマを個別に診断でき、しかも当該診断を実施してもウォッチドッグタイマに異常が無い限りマイクロプロセッサ(CPU)はリセットされない(つまり運転を継続する)ようにすることができ(以下効果1と記載する)、また、また、部分的二重系による安価な信頼性の高い構成で一方のウォッチドッグタイマが異常であってもCPUの運転を継続できる上、一対のウォッチドッグタイマが共に動作側異常にならない限りマイクロプロセッサの動作を継続することができ(以下効果2と記載する)、という効果がある。
【0112】
請求項2に記載の発明は、前述のように、
マイクロプロセッサとサブマイクロプロセッサと第一のウォッチドッグタイマと第二のウォッチドッグタイマと暴走監視手段と論理結合回路と異常診断手段とを備え、
上記マイクロプロセッサは、電気負荷を制御する制御用マイクロプロセッサであり、
上記サブマイクロプロセッサは、上記マイクロプロセッサと協動するサブマイクロプロセッサであり、
上記第一のウォッチドッグタイマは、上記マイクロプロセッサからの第一のウォッチドッグクリア信号に異常があると上記マイクロプロセッサの異常として第一のリセット信号を発生するタイマであり、
上記第二のウォッチドッグタイマは、上記サブマイクロプロセッサに内蔵され、上記マイクロプロセッサから上記サブマイクロプロセッサに供給される第二のウォッチドッグクリア信号に異常があると第二のリセット信号を発生するタイマであり、
上記暴走監視手段は、上記マイクロプロセッサに内蔵され、上記サブマイクロプロセッサが発生する第三のウォッチドッグクリア信号を監視して、異常があると第三のリセット信号を発生してサブマイクロプロセッサをリセットする手段であり、
上記論理結合回路は、上記第一・第二の各リセット信号が共に発生すると上記マイクロプロセッサの異常と判定して実効リセット信号を出力して上記マイクロプロセッサおよびサブマイクロプロセッサをリセットする回路であり、
上記異常診断手段は、上記第一のリセット信号の状態を第一モニタ信号として上記マイクロプロセッサに入力すると共に、上記第二のリセット信号の状態を第二のモニタ信号として上記マイクロプロセッサに入力し、上記マイクロプロセッサで、上記第一及び第二のウォッチドッグタイマのうちの一方のウォッチドッグタイマのモニタ信号が正常である場合に他方のウォッチドッグタイマに対するウォッチドッグクリア信号を意図的に異常状態にし当該異常状態にしたウォッチドッグクリア信号に対応する上記他方のウォッチドッグタイマのモニタ信号の反応をチェックすることにより上記第一及び第二のウォッチドッグタイマの各々の動作確認を行う異常診断手段であることを特徴とする電子制御装置であり、
従って、上述の効果1、2に加え、メインマイクロプロセッサとサブマイクロプロセッサを備えメインマイクロプロセッサの動作を監視する一対のウォッチドッグタイマの一方をサブマイクロプロセッサ内のソフトウエアで構築するようにしたことから、より安価な二重系ウォッチドッグタイマを構成することができる効果がある。
【0113】
請求項3に記載の発明は、前述のように、
請求項1または請求項2に記載の電子制御装置において、
第一の異常処理回路と第二の異常処理回路とを備え、
上記マイクロプロセッサは、上記異常診断手段により上記第一または第二のウォッチドッグタイマが異常と判定すると、第一または第二のエラ−信号を発生するマイクロプロセッサであり、
上記第一・第二の異常処理回路は、上記第一または第二のエラー信号の動作に応動し、第一または第二のウォッチドッグタイマのリセット信号を強制的にリセット有効側に作動させる回路であり、強制的にリセットされない側のウォッチドッグタイマからのリセット信号に応じて実効リセット信号を発生して上記マイクロプロセッサまたは上記マイクロプロセッサとサブマイクロプロセッサとをリセットし、上記第一または第二のウォッチドッグタイマがリセット不能側の異常であっても上記実効リセット信号出力の発生が可能であることを特徴とする電子制御装置であり、
従って、一対のウォッチドッグタイマの一方が不動作側異常となっても、第一・第二の異常処理回路によって強制動作するようにしたことから、請求項1または請求項2に記載の発明の効果に加え、他方のウォッチドッグタイマを用いてマイクロプロセッサの監視動作を継続することができる効果がある。
【0114】
請求項4に記載の発明は、前述のように、
請求項3に記載の電子制御装置において、
上記異常診断手段は、上記異常処理回路の正常動作を確認するために、上記マイクロプロセッサから第一または第二のエラ−出力を発生させて上記異常処理回路に入力し、上記この入力に対応する第一または第二のモニタ信号の応答状態を確認する第一・第二の確認手段を含むことを特徴とする電子制御装置であり、
従って、第一・第二の確認手段を設けて異常処理回路が正常か否かを診断するようにしたことから、請求項3に記載の発明の効果に加え、信頼度をより高めることができる効果がある。
【0115】
請求項5に記載の発明は、前述のように、
請求項1または請求項2に記載の電子制御装置において、
CPUの暴走監視制御回路の各回路への供給電源を投入すると、上記第一・第二のウォッチドッグタイマの両リセット信号を所定時間強制的にリセット有効側に作動させ実効リセット信号を発生する第一・第二の起動処理回路を備え、
上記電源投入時に上記第一・第二のウォッチドッグタイマのいずれかが異常で不動作の状態であっても上記マイクロプロセッサのリセットが可能であることを特徴とする電子制御装置であり、
従って、請求項1または請求項2に記載の発明の効果に加え、供給電源投入時に一対のウォッチドッグタイマが共に異常であってもマイクロプロセッサのリセットを行って異常な起動が行われないようにすることができるとともに、マイクロプロセッサの動作中には診断が行えない論理結合回路を含めたリセット動作の実行確認を行うことができ、安全性を向上することができる効果がある。
【0116】
請求項6に記載の発明は、前述のように、
請求項1または請求項2に記載の電子制御装置において、
上記論理結合回路を複数個並列にして多重系の論理結合回路で構成したことを特徴とする電子制御装置であり、
従って、上記論理結合回路を複数個並列にして、多重系の論理結合回路としたことから、請求項1または請求項2に記載の発明の効果に加え、安全性を向上することができる効果がある。
【0117】
請求項7に記載の発明は、前述のように、
マイクロプロセッサと第一のウォッチドッグタイマと第二のウォッチドッグタイマとゲート回路と異常診断手段とを備え、
上記マイクロプロセッサは、電気負荷を制御する制御用マイクロプロセッサであり、
上記第一のウォッチドッグタイマは、上記マイクロプロセッサからの第一のウォッチドッグクリア信号に異常があると上記マイクロプロセッサの異常として第一のリセット信号を 発生するタイマであり、
上記第二のウォッチドッグタイマは、上記マイクロプロセッサからの第二のウォッチドッグクリア信号に異常があると上記マイクロプロセッサの異常として第二のリセット信号を発生するタイマであり、
上記ゲート回路は、上記マイクロプロセッサによって生成される第一または第二のテスト信号で制御され、テスト信号での制御中は上記第一または第二の各リセット信号の発生の有無に拘わらず上記マイクロプロセッサへの実効リセット信号の出力を停止し、上記第一または第二のテスト信号での制御がされていない場合は、上記第一または第二のリセット信号の発生に応じて上記実効リセット信号を出力するゲート回路であり、
上記異常診断手段は、上記第一のリセット信号の状態を第一のモニタ信号として上記マイクロプロセッサに入力すると共に上記第二のリセット信号の状態を第二のモニタ信号として上記マイクロプロセッサに入力し、上記マイクロプロセッサで、上記第一のテスト信号を発生した状態で上記第一のウォッチドッグクリア信号を意図的に異常状態にして上記第一のウォッチドッグタイマに入力し上記第一のリセット信号の出力状態をチェックし、上記第二のテスト信号を発生した状態で上記第二のウォッチドッグクリア信号を意図的に異常状態にして上記第二のウォッチドッグタイマに入力し上記第二のリセット信号の出力状態をチェックすることにより上記第一及び第二のウォッチドッグタイマの各々の動作確認を行う異常診断手段であることを特徴とする電子制御装置であり、
従って、マイクロプロセッサ(CPU)が、第1及び第2のウォッチドッグタイマの各々に対して、ウォッチドッグクリア信号を意図的に異常状態として各ウォッチドッグタイマを個別に診断でき、しかも当該診断を実施してもウォッチドッグタイマに異常が無い限りマイクロプロセッサ(CPU)はリセットされない(つまり運転を継続する)ようにすることができ(上記効果1と同じ)、且つ、診断中であっても診断してない側のウォッチドッグタイマが動作すればマイクロプロセッサをリセットするようにしたことから、部分的二重系による安価・高信頼度のCPU暴走監視が行える(以下効果3と記載する)という効果がある。
【0118】
請求項8に記載の発明は、前述のように、
マイクロプロセッサとサブマイクロプロセッサと第一のウォッチドッグタイマと第二のウォッチドッグタイマと暴走監視手段とゲート回路と異常診断手段とを備え、
上記マイクロプロセッサは、電気負荷を制御する制御用マイクロプロセッサであり、
上記サブマイクロプロセッサは、上記マイクロプロセッサと協動するサブマイクロプロセッサであり、
上記第一のウォッチドッグタイマは、上記マイクロプロセッサからの第一のウォッチドッグクリア信号に異常があると上記マイクロプロセッサの異常として第一のリセット信号を発生するタイマであり、
上記第二のウォッチドッグタイマは、上記サブマイクロプロセッサに内蔵され、上記マイクロプロセッサから上記サブマイクロプロセッサに供給される第二のウォッチドッグクリア信号に異常があると第二のリセット信号を発生するタイマであり、
上記暴走監視手段は、上記マイクロプロセッサに内蔵され、上記サブマイクロプロセッサが発生する第三のウォッチドッグクリア信号を監視して、異常があると第三のリセット信号を発生して上記サブマイクロプロセッサをリセットする手段であり、
上記ゲート回路は、上記マイクロプロセッサによって生成される第一または第二のテスト信号で制御され、テスト信号での制御中は上記第一または第二の各リセット信号の発生の有無に拘わらず上記マイクロプロセッサへの実効リセット信号の出力を停止し、上記第一または第二のテスト信号での制御がされていない場合は、上記第一または第二のリセット信号の発生に応じて上記実効リセット信号を出力し上記マイクロプロセッサおよびサブマイクロプロセッサをリセットするゲート回路であり、
上記異常診断手段は、上記第一のリセット信号の状態を第一のモニタ信号として上記マイクロプロセッサに入力すると共に上記第二のリセット信号の状態を第二のモニタ信号とし て上記マイクロプロセッサに入力し、上記マイクロプロセッサで、上記第一のテスト信号を発生した状態で上記第一のウォッチドッグクリア信号を意図的に異常状態にして上記第一のウォッチドッグタイマに入力し上記第一のリセット信号の出力状態をチェックし、上記第二のテスト信号を発生した状態で上記第二のウォッチドッグクリア信号を意図的に異常状態にして上記サブマイクロプロセッサに入力し上記第二のリセット信号の出力状態をチェックすることにより上記第一及び第二のウォッチドッグタイマの各々の動作確認を行う異常診断手段であることを特徴とする電子制御装置あり、
従って、メインマイクロプロセッサとサブマイクロプロセッサで構成し、メインマイクロプロセッサの動作を監視する一対のウォッチドッグタイマの一方をサブマイクロプロセッサ内のソフトウエアで構築するようにすると共に、マイクロプロセッサの動作中に一対のウォッチドッグタイマを交互に診断することができるようにして診断中であっても診断してない側のウォッチドッグタイマが動作すればマイクロプロセッサをリセットするようにしたことから、上述の効果1及び3に加え、より安価な二重系により安価・高信頼度の暴走監視が行える効果がある。
【0119】
請求項9に記載の発明は、前述のように、
請求項7または請求項8に記載の電子制御装置において、
上記異常診断手段による異常診断結果で上記第一または第二のウォッチドッグタイマが異常であると判定されると、上記マイクロプロセッサは異常側の上記テスト信号を継続的に発生して、異常動作による実効リセット信号が発生しないようにする手段と、
上記マイクロプロセッサからの上記第一・第二のテスト信号が誤って共に発生すると、実効リセット信号を出力して上記マイクロプロセッサまたは上記マイクロプロセッサとサブマイクロプロセッサを強制的にリセットする異常処理手段とを備えていることを特徴とする電子制御装置であり、
従って、ウォッチドッグタイマの診断結果が異常であると判定した時に、異常側のテスト出力を継続的に発生して誤った実効リセット信号出力が発生しないようにしたことから、請求項7または請求項8に記載の発明の効果に加え、異常側ウォッチドッグタイマを切り離して運転を継続することができる。また、一対のテスト出力が誤って共に動作した時にマイクロプロセッサを停止するようにしたことから、安全性を向上することができる効果がある。
【0120】
請求項10に記載の発明は、前述のように、
請求項7または請求項8に記載の電子制御装置において、
CPUの暴走監視制御回路の各回路への供給電源を投入すると、上記第一・第二のウォッチドッグタイマの両方のリセット信号を所定期間強制的にリセット有効側に作動させて実効リセット信号を発生する第一・第二の起動処理回路を備え、
上記電源投入時に上記第一・第二のウォッチドッグタイマが共に動作不能であっても上記実効リセット信号で上記マイクロプロセッサのリセットが可能であることを特徴とする電子制御装置であり、
従って、請求項7または請求項8に記載の発明の効果に加え、電源スイッチの投入時に一対のウォッチドッグタイマが共に不動作側異常であってもマイクロプロセッサのリセットを行って異常な起動が行われないようにすることができるとともに、マイクロプロセッサの動作中には診断が行えない第一・第二のゲ−ト素子を含めたリセット動作の実行確認を行うようにしたので、信頼性、安全性を向上することができる効果がある。
【0121】
請求項11に記載の発明は、前述のように、
請求項1,2,7,及び8の何れか一に記載の電子制御装置において、
上記第一・第二のウォッチドッグタイマは、それぞれ自己リセット機能を有していることを特徴とする電子制御装置であり、
従って、請求項1,2,7,及び8の何れか一に記載の発明の効果に加え、常時診断が可 能な二重化回路部分を多くしたので、より信頼度の高い電子制御装置を提供できる効果がある。
【0122】
請求項12に記載の発明は、前述のように、
請求項1,2,7,及び8の何れか一に記載の電子制御装置において、
上記マイクロプロセッサを、上記異常診断手段により上記第一・第二のウォッチドッグタイマの少なくとも一方が異常であると判定したときにエラ−信号を発生するマイクロプロセッサとし、
上記エラー信号または上記マイクロプロセッサをリセットするための実効リセット信号を記憶し、CPUの暴走監視制御回路の各回路へ電源を供給する供給電源を投入すると上記記憶したエラー信号または上記実効リセット信号をクリアして記憶可能の状態にリセットする異常発生記憶手段と、
上記記憶したエラー信号または上記実効リセット信号を通報信号として出力する通報手段とを設け、
上記通報信号で音声・表示器などで通報可能としたことを特徴とする電子制御装置であり、
従って、CPU異常発生やウォッチドッグタイマの診断異常を記憶して通報するようにしたことから、請求項1,2,7,及び8の何れか一に記載の発明の効果に加え、異常を認識した上で運転動作を継続することができる効果がある。
【0123】
請求項13に記載の発明は、前述のように、
請求項1または請求項7に記載の電子制御装置において、
上記マイクロプロセッサに従属し全体制御の一部を分担するサブマイクロプロセッサを備えていると共に、
上記マイクロプロセッサは、上記サブマイクロプロセッサが発生するウォッチドッグタイマクリア信号を監視して,異常があるとリセット信号を供給して上記サブマイクロプロセッサをリセットする上記サブマイクロプロセッサの暴走を監視する暴走監視手段を備え、
上記第一・第二のウォッチドッグタイマから供給される実効リセット信号は、上記マイクロプロセッサおよび上記サブマイクロプロセッサをリセットすることを特徴とする電子制御装置であり、
従って、メインマイクロプロセッサとサブマイクロプロセッサで構成し、メインマイクロプロセッサはサブマイクロプロセッサの暴走監視を行ってサブマイクロプロセッサの異常時にはメインマイクロプロセッサによってサブマイクロプロセッサのリセットを行うと共に,メインマイクロプロセッサの異常時にはサブマイクロプロセッサもリセットするようにしたことから、請求項1または請求項7に記載の発明の効果に加え、暴走監視に特別な監視回路を必要としないという効果がある。
【0124】
請求項14に記載の発明は、前述のように、
請求項1または請求項7に記載の電子制御装置において、
CPUの暴走監視制御回路の各回路へ電源を供給する供給電源を負荷電源として上記電気負荷に電源供給している場合に、上記負荷電源と上記電気負荷間をオン・オフする開閉手段を設け、
上記供給電源投入時または上記マイクロプロセッサをリセットするための上記実効リセット信号出力時に上記開閉手段で上記オフとし、上記実効リセット信号出力が解除されたとき、上記開閉手段で上記オンとすることを特徴とする電子制御装置であり、
従って、負荷電源をオンオフする開閉手段を設けたことから、請求項1または請求項7に記載の発明の効果に加え、論理結合回路または一対のゲ−ト素子等が正常に機能していなければ負荷電源が動作しないようにして安全性を向上する一方で、CPU異常発生時に負荷電源を遮断して安全性を向上すると共に、ノイズ誤動作等による一時的なCPU異常であれば自動的に負荷電源が再投入されることによって運転続行できる効果がある。
【0125】
請求項15に記載の発明は、前述のように、
請求項1または請求項7に記載の電子制御装置において、
上記マイクロプロセッサを、上記異常診断手段により上記第一・第二のウォッチドッグタイマの少なくとも一方が異常であると判定したときにエラ−信号を発生するマイクロプロセッサとし、
上記エラー信号または上記マイクロプロセッサをリセットするための実効リセット信号とを記憶し、上記供給電源を投入すると上記記憶したエラー信号または上記実効リセット信号をクリアして記憶可能の状態にリセットする異常発生記憶手段と、
上記異常発生記憶手段が上記エラー信号または上記実効リセット信号を記憶しているときに、上記マイクロプロセッサの少なくとも一つの電気負荷の出力発生を停止する駆動停止用手段とを設けたことを特徴とする電子制御装置であり、
従って、駆動停止手段を設けたことから、請求項1または請求項7に記載の発明の効果に加え、CPU異常発生やウォッチドッグタイマの診断異常に対して電気負荷の駆動停止が行え、運転動作の継続に対する安全性が向上する効果がある。
【0126】
請求項16に記載の発明は、前述のように、
請求項2,8,及び13の何れか一に記載の電子制御装置において、
上記サブマイクロプロセッサが上記マイクロプロセッサの電気負荷とは別の電気負荷を制御し、CPUの暴走監視制御回路の各回路へ電源を供給する供給電源を負荷電源として上記マイクロプロセッサおよび上記サブマイクロプロセッサの上記各電気負荷に電源を供給し、
上記負荷電源と上記各電気負荷との間を、上記電源投入時または上記実効リセット信号出力時に開閉手段でオフとし、上記実効リセット信号出力が解除されたとき、上記開閉手段でオンとすることを特徴とする電子制御装置であり、
従って、マイクロプロセッサとサブマイクロプロセッサにつながる負荷の電源をオンオフする開閉手段を設けたことから、請求項2,8,及び13の何れか一に記載の発明の効果に加え、論理結合回路または一対のゲ−ト素子等が正常に機能していなければ負荷電源が動作しないようにして安全性を向上する一方で,CPU異常発生時に負荷電源を遮断して安全性を向上すると共に,ノイズ誤動作等による一時的なCPU異常であれば自動的に負荷電源が再投入されることによって運転続行できる効果がある。
【0127】
請求項17に記載の発明は、前述のように、
請求項2,8,及び13の何れか一に記載の電子制御装置において、
上記サブマイクロプロセッサを、上記マイクロプロセッサの電気負荷とは別の電気負荷を制御するサブマイクロプロセッサとし、
上記マイクロプロセッサを、上記異常診断手段により上記第一・第二のウォッチドッグタイマの少なくとも一つが異常であると判定したときにエラ−信号を発生するマイクロプロセッサとし、
上記エラー信号または上記マイクロプロセッサをリセットするための実効リセット信号を記憶し、CPUの暴走監視制御回路の各回路へ電源を供給する供給電源を投入すると上記記憶したエラー信号または上記実効リセット信号をクリアして記憶可能の状態にリセットする異常発生記憶手段と、
上記異常発生記憶手段が上記エラー信号または上記実効リセット信号を記憶しているときに、上記マイクロプロセッサの少なくとも一つの電気負荷および上記サブマイクロプロセッサの少なくとも一つの電気負荷の内、少なくとも一方の電気負荷の出力発生を停止する駆動停止用手段とを設けたことを特徴とする電子制御装置であり、
従って、駆動停止手段を設けたことから、請求項2,8,及び13の何れか一に記載の発明の効果に加え、CPU異常発生やウォッチドッグタイマの診断異常に対して、マイクロプロセッサおよびサブマイクロプロセッサにつながる少なくともいずれかの電気負荷の駆動停止が行え、運転動作の継続に対する安全性が向上する効果がある。
【0128】
請求項18に記載の発明は、前述のように、
請求項2または請求項8に記載の電子制御装置において、
上記異常診断手段は、上記第一のリセット信号の状態を第一のモニタ信号として上記マイクロプロセッサに入力し、上記マイクロプロセッサで上記第一のウォッチドッグクリア信号を意図的に異常状態にして上記第一のモニタ信号の反応をチェックして、上記第一のウォッチドッグタイマの動作確認を行い、上記第二のウォッチドッグタイマの異常診断は上記暴走監視手段で行うことを特徴とする電子制御装置であり、
従って、サブマイクロプロセッサの第二のウォッチドッグタイマの異常診断は暴走監視手段で代行するようにしたことから、請求項2または請求項8に記載の発明の効果に加え、メインとなるマイクロプロセッサが第二のウォッチドッグクリア信号を意図的に異常状態にする等の制御を行う必要がなく,マイクロプロセッサの負担を軽減することができる効果がある。
【0129】
請求項19に記載の発明は、前述のように、
請求項18に記載の電子制御装置において、
上記サブマイクロプロセッサは、上記マイクロプロセッサからテスト時にテストモ−ド信号の供給を受けるようにし、上記テストモード信号を受けると強制的に上記第二のリセット信号を発生して上記ゲート回路に供給する強制出力手段を含み、
上記サブマイクロプロセッサから強制的に発生した上記第二のリセット信号に対する上記マイクロプロセッサに供給される第二のモニタ信号の反応をチェックして、上記サブマイクロプロセッサから発生した上記第二のリセット信号が上記ゲート回路に達しているか否かの診断を可能としたことを特徴とする電子制御装置であり、
従って、強制出力手段を設けたことから、請求項18に記載の発明の効果に加え、サブマイクロプロセッサが発生した第二リセット信号が論理結合回路またはゲート回路に達しているか否かチェックできる効果がある。
【0130】
請求項20に記載の発明は、前述のように、
請求項2に記載の電子制御装置において、
上記サブマイクロプロセッサが起動して正常に作動するまでの間、ウォッチドッグタイマが発生する上記第一のリセット信号に応じて上記実効リセット信号が発生されるように、上記第二のリセット信号を有効にするデフォルト回路を設けたことを特徴とする電子制御装置であり、
従って、サブマイクロプロセッサが正常起動するまでの間は他方のウォッチドッグタイマが発生するリセット信号を有効にするデフォルト回路を設けたことから、請求項2に記載の発明の効果に加え、メインマイクロプロセッサよりも、従属的に動作するサブマイクロプロセッサの立上がりが遅くなっても、メインとなるマイクロプロセッサを正常に起動することができる効果がある。
【0131】
請求項21に記載の発明は、前述のように、
請求項8に記載の電子制御装置において、
上記サブマイクロプロセッサが起動して正常に作動するまでの間、ウォッチドッグタイマが発生する上記第一のリセット信号に応じて上記実効リセット信号が発生されるように、上記第二のリセット信号を無効にするデフォルト回路を設けたことを特徴とする電子制御装置であり、
従って、サブマイクロプロセッサが正常起動するまでの間は他方のウォッチドッグタイマが発生するリセット信号を有効にするデフォルト回路を設けたことから、請求項8に記載の発明の効果に加え、メインマイクロプロセッサよりも、従属的に動作するサブマイクロプロセッサの立上がりが遅くなっても、メインとなるマイクロプロセッサを正常に起動することができる効果がある。
【図面の簡単な説明】
【図1】この発明の実施の形態1を示す図で、CPUの暴走監視制御回路を備えた電子制御装置のブロック図である。
【図2】この発明の実施の形態1を示す図で、図1におけるウォッチドッグタイマの回路図である。
【図3】この発明の実施の形態1を示す図で、CPUの暴走監視制御回路の動作説明用タイムチャ−トである。
【図4】この発明の実施の形態1を示す図で、CPUの暴走監視制御回路の動作説明用フロ−チャ−トである。
【図5】この発明の実施の形態2を示す図で、によるCPUの暴走監視制御回路を備えた電子制御装置のブロック図である。
【図6】この発明の実施の形態2を示す図で、図5におけるウォッチドッグタイマの回路図である。
【図7】この発明の実施の形態3を示す図で、CPUの暴走監視制御回路を備えた電子制御装置のブロック図である。
【図8】この発明の実施の形態3を示す図で、CPUの暴走監視制御回路の動作説明用フロ−チャ−トである。
【図9】この発明の実施の形態4を示す図で、CPUの暴走監視制御回路を備えた電子制御装置のブロック図である。
【図10】この発明の実施の形態5を示す図で、CPUの暴走監視制御回路を備えた電子制御装置のブロック図である。
【図11】この発明の実施の形態6を示す図で、CPUの暴走監視制御回路を備えた電子制御装置のブロック図である。
【図12】この発明の実施の形態7を示す図で、CPUの暴走監視制御回路を備えた電子制御装置のブロック図である。
【図13】この発明の実施の形態8を示す図で、CPUの暴走監視制御回路を備えた電子制御装置のブロック図である。
【符号の説明】
2 電源スイッチ
4 電気負荷群
5 警報・表示器
7 第二の電気負荷群
1005007009001000110012001300 電子機器
1015017019011001110112011301 マイクロプロセッサ(CPU)
1035037039031003a1103a1203a1303a プログラムメモリ(異常診断手段)
106 駆動停止用ゲ−ト素子
113 負荷電源リレ−(開閉手段)
120a520a 第一のウォッチドッグタイマ
120b520b 第二のウォッチドッグタイマ
121a 第一の異常処理回路
121b 第二の異常処理回路
122 論理結合回路
125 リセット完了記憶素子
125a725a 第一の起動処理回路
125b725b 第二の起動処理回路
128 負荷電源停止用ゲ−ト素子
129 異常発生記憶素子
412 第一のエラ−出力
413809 第一の異常診断手段
414 第一の確認手段
432 第二のエラ−出力
433819 第二の異常診断手段
434 第二の確認手段
506 第二の駆動停止用ゲ−ト素子
5079071007110712071307 サブマイクロプロセッサ
522a 第一の論理結合回路
522b 第二の論理結合回路
630 自己リセット回路
721a 第一のゲ−ト素子
721b 第二のゲ−ト素子
722 異常処理回路
821 エラ−出力
1003b1103b1203b1303b プログラムメモリ(ウォッチドッグ監視手段)
12401340 反転論理素子(外部接続回路)
1041114112411341 デフォルト回路
1042114212421342 デフォルト回路
DR 制御出力
ER エラ−出力
ER1 第一のエラ−出力
ER2 第二のエラ−出力
MN1 第一のリセット信号(第一のモニタ信号)
MN2 第二のリセット信号(第二のモニタ信号)
RSTS リセット信号出力(サブ)
RST 実効リセット信号出力
TST テストモ−ド信号
TST1 第一のテスト出力
TST2 第二のテスト出力
WD1 第一のウォッチドッグクリア信号
WD2 第二のウォッチドッグクリア信号
WDS ウォッチドッグクリア信号(サブ)

Claims (21)

  1. マイクロプロセッサ(CPU)と第一のウォッチドッグタイマと第二のウォッチドッグタイマと論理結合回路と異常診断手段とを備え、
    上記マイクロプロセッサは、電気負荷を制御する制御用マイクロプロセッサであり、
    上記第一のウォッチドッグタイマは、上記マイクロプロセッサからのウォッチドッグクリア信号に異常があると上記マイクロプロセッサの異常として第一のリセット信号を発生するタイマであり、
    上記第二のウォッチドッグタイマは、上記マイクロプロセッサからのウォッチドッグクリア信号に異常があると上記マイクロプロセッサの異常として第二のリセット信号を発生するタイマであり、
    上記論理結合回路は、上記第一・第二のリセット信号が共に発生すると実効リセット信号を出力して上記マイクロプロセッサをリセットする回路であり、
    上記異常診断手段は、上記第一のリセット信号の状態を第一モニタ信号として上記マイクロプロセッサに入力すると共に、上記第二のリセット信号の状態を第二のモニタ信号として上記マイクロプロセッサに入力し、上記マイクロプロセッサで、上記第一及び第二のウォッチドッグタイマのうちの一方のウォッチドッグタイマのモニタ信号が正常である場合に他方のウォッチドッグタイマに対するウォッチドッグクリア信号を意図的に異常状態にし当該異常状態にしたウォッチドッグクリア信号に対応する上記他方のウォッチドッグタイマのモニタ信号の反応をチェックすることにより上記第一及び第二のウォッチドッグタイマの各々の動作確認を行う異常診断手段であることを特徴とする電子制御装置
  2. マイクロプロセッサとサブマイクロプロセッサと第一のウォッチドッグタイマと第二のウォッチドッグタイマと暴走監視手段と論理結合回路と異常診断手段とを備え、
    上記マイクロプロセッサは、電気負荷を制御する制御用マイクロプロセッサであり、
    上記サブマイクロプロセッサは、上記マイクロプロセッサと協動するサブマイクロプロセッサであり、
    上記第一のウォッチドッグタイマは、上記マイクロプロセッサからの第一のウォッチドッグクリア信号に異常があると上記マイクロプロセッサの異常として第一のリセット信号を発生するタイマであり、
    上記第二のウォッチドッグタイマは、上記サブマイクロプロセッサに内蔵され、上記マイクロプロセッサから上記サブマイクロプロセッサに供給される第二のウォッチドッグクリア信号に異常があると第二のリセット信号を発生するタイマであり、
    上記暴走監視手段は、上記マイクロプロセッサに内蔵され、上記サブマイクロプロセッサが発生する第三のウォッチドッグクリア信号を監視して、異常があると第三のリセット信号を発生してサブマイクロプロセッサをリセットする手段であり、
    上記論理結合回路は、上記第一・第二のリセット信号が共に発生すると上記マイクロプロセッサ異常と判定して実効リセット信号を出力して上記マイクロプロセッサおよびサブマイクロプロセッサをリセットする回路であり、
    上記異常診断手段は、上記第一のリセット信号の状態を第一モニタ信号として上記マイクロプロセッサに入力すると共に、上記第二のリセット信号の状態を第二のモニタ信号として上記マイクロプロセッサに入力し、上記マイクロプロセッサで、上記第一及び第二のウォッチドッグタイマのうちの一方のウォッチドッグタイマのモニタ信号が正常である場合に他方のウォッチドッグタイマに対するウォッチドッグクリア信号を意図的に異常状態にし当該異常状態にしたウォッチドッグクリア信号に対応する上記他方のウォッチドッグタイマのモニタ信号の反応をチェックすることにより上記第一及び第二のウォッチドッグタイマの各々の動作確認を行う異常診断手段であることを特徴とする電子制御装置
  3. 請求項1または請求項2に記載の電子制御装置において、
    第一の異常処理回路と第二の異常処理回路とを備え、
    上記マイクロプロセッサは、上記異常診断手段により上記第一または第二のウォッチドッグタイマが異常と判定すると、第一または第二のエラ−信号を発生するマイクロプロセッサであり、
    上記第一・第二の異常処理回路は、上記第一または第二のエラー信号の動作に応動し、第一または第二のウォッチドッグタイマのリセット信号を強制的にリセット有効側に作動させる回路であり、強制的にリセットされない側のウォッチドッグタイマからのリセット信号に応じて実効リセット信号を発生して上記マイクロプロセッサまたは上記マイクロプロセッサとサブマイクロプロセッサとをリセットし、上記第一または第二のウォッチドッグタイマがリセット不能側の異常であっても上記実効リセット信号出力の発生が可能であることを特徴とする電子制御装置
  4. 請求項3に記載の電子制御装置において、
    上記異常診断手段は、上記異常処理回路の正常動作を確認するために、上記マイクロプロセッサから第一または第二のエラ−出力を発生させて上記異常処理回路に入力し、上記この入力に対応する第一または第二のモニタ信号の応答状態を確認する第一・第二の確認手段を包むことを特徴とする電子制御装置
  5. 請求項1または請求項2に記載の電子制御装置において、
    CPUの暴走監視制御回路の各回路への供給電源を投入すると、上記第一・第二のウォッチドッグタイマの両リセット信号を所定時間強制的にリセット有効側に作動させ実効リセット信号を発生する第一・第二の起動処理回路を備え、
    上記電源投入時に上記第一・第二のウォッチドッグタイマのいずれかが異常で不動作の状態であっても上記マイクロプロセッサのリセットが可能であることを特徴とする電子制御装置
  6. 請求項1または請求項2に記載の電子制御装置において、
    上記論理結合回路を複数個並列にして多重系の論理結合回路で構成したことを特徴とする電子制御装置
  7. マイクロプロセッサと第一のウォッチドッグタイマと第二のウォッチドッグタイマとゲート回路と異常診断手段とを備え、
    上記マイクロプロセッサは、電気負荷を制御する制御用マイクロプロセッサであり、
    上記第一のウォッチドッグタイマは、上記マイクロプロセッサからの第一のウォッチドッグクリア信号に異常があると上記マイクロプロセッサの異常として第一のリセット信号を発生するタイマであり、
    上記第二のウォッチドッグタイマは、上記マイクロプロセッサからの第二のウォッチドッグクリア信号に異常があると上記マイクロプロセッサの異常として第二のリセット信号を発生するタイマであり、
    上記ゲート回路は、上記マイクロプロセッサによって生成される第一または第二のテスト信号で制御され、テスト信号での制御中は上記第一または第二のリセット信号の発生の有無に拘わらず上記マイクロプロセッサへの実効リセット信号の出力を停止し、上記第一または第二のテスト信号での制御がされていない場合は、上記第一または第二のリセット信号の発生に応じて上記実効リセット信号を出力するゲート回路であり、
    上記異常診断手段は、上記第一のリセット信号の状態を第一のモニタ信号として上記マイクロプロセッサに入力すると共に上記第二のリセット信号の状態を第二のモニタ信号として上記マイクロプロセッサに入力し、上記マイクロプロセッサで、上記第一のテスト信号を発生した状態で上記第一のウォッチドッグクリア信号を意図的に異常状態にして上記第一のウォッチドッグタイマに入力し上記第一のリセット信号の出力状態をチェックし、上記第二のテスト信号を発生した状態で上記第二のウォッチドッグクリア信号を意図的に異常状態にして上記第二のウォッチドッグタイマに入力し上記第二のリセット信号の出力状態をチェックすることにより上記第一及び第二のウォッチドッグタイマの各々の動作確認を行う異常診断手段であることを特徴とする電子制御装置
  8. マイクロプロセッサとサブマイクロプロセッサと第一のウォッチドッグタイマと第二のウォッチドッグタイマと暴走監視手段とゲート回路と異常診断手段とを備え、
    上記マイクロプロセッサは、電気負荷を制御する制御用マイクロプロセッサであり、
    上記サブマイクロプロセッサは、上記マイクロプロセッサと協動するサブマイクロプロセッサであり、
    上記第一のウォッチドッグタイマは、上記マイクロプロセッサからの第一のウォッチドッグクリア信号に異常があると上記マイクロプロセッサの異常として第一のリセット信号を発生するタイマであり、
    上記第二のウォッチドッグタイマは、上記サブマイクロプロセッサに内蔵され、上記マイクロプロセッサから上記サブマイクロプロセッサに供給される第二のウォッチドッグクリア信号に異常があると第二のリセット信号を発生するタイマであり、
    上記暴走監視手段は、上記マイクロプロセッサに内蔵され、上記サブマイクロプロセッサが発生する第三のウォッチドッグクリア信号を監視して、異常があると第三のリセット信号を発生して上記サブマイクロプロセッサをリセットする手段であり、
    上記ゲート回路は、上記マイクロプロセッサによって生成される第一または第二のテスト信号で制御され、テスト信号での制御中は上記第一または第二のリセット信号の発生の有無に拘わらず上記マイクロプロセッサへの実効リセット信号の出力を停止し、上記第一または第二のテスト信号での制御がされていない場合は、上記第一または第二のリセット信号の発生に応じて上記実効リセット信号を出力し上記マイクロプロセッサおよびサブマイクロプロセッサをリセットするゲート回路であり、
    上記異常診断手段は、上記第一のリセット信号の状態を第一のモニタ信号として上記マイクロプロセッサに入力すると共に上記第二のリセット信号の状態を第二のモニタ信号として上記マイクロプロセッサに入力し、上記マイクロプロセッサで、上記第一のテスト信号を発生した状態で上記第一のウォッチドッグクリア信号を意図的に異常状態にして上記第一のウォッチドッグタイマに入力し上記第一のリセット信号の出力状態をチェックし、上記第二のテスト信号を発生した状態で上記第二のウォッチドッグクリア信号を意図的に異常状態にして上記サブマイクロプロセッサに入力し上記第二のリセット信号の出力状態をチェックすることにより上記第一及び第二のウォッチドッグタイマの各々の動作確認を行う異常診断手段であることを特徴とする電子制御装置
  9. 請求項7または請求項8に記載の電子制御装置において、
    上記異常診断手段による異常診断結果で上記第一または第二のウォッチドッグタイマが異常であると判定されると、上記マイクロプロセッサは異常側の上記テスト信号を継続的に発生して、異常動作による実効リセット信号が発生しないようにする手段と、
    上記マイクロプロセッサからの上記第一・第二のテスト信号が誤って共に発生すると、実効リセット信号を出力して上記マイクロプロセッサまたは上記マイクロプロセッサとサブマイクロプロセッサを強制的にリセットする異常処理手段とを備えていることを特徴とする電子制御装置
  10. 請求項7または請求項8に記載の電子制御装置において、
    CPUの暴走監視制御回路の各回路への供給電源を投入すると、上記第一・第二のウォッチドッグタイマの両方のリセット信号を所定期間強制的にリセット有効側に作動させて実効リセット信号を発生する第一・第二の起動処理回路を備え、
    上記電源投入時に上記第一・第二のウォッチドッグタイマが共に動作不能であっても上記実効リセット信号で上記マイクロプロセッサのリセットが可能であることを特徴とする電子制御装置
  11. 請求項1,2,7,及び8の何れか一記載の電子制御装置において、
    上記第一・第二のウォッチドッグタイマは、それぞれ自己リセット機能を有していることを特徴とする電子制御装置
  12. 請求項1,2,7,及び8の何れか一記載の電子制御装置において、
    上記マイクロプロセッサを、上記異常診断手段により上記第一・第二のウォッチドッグタイマの少なくとも一方が異常であると判定したときにエラ−信号を発生するマイクロプロセッサとし、
    上記エラー信号または上記マイクロプロセッサをリセットするための実効リセット信号を記憶し、CPUの暴走監視制御回路の各回路へ電源を供給する供給電源を投入すると上記記憶したエラー信号または上記実効リセット信号をクリアして記憶可能の状態にセットする異常発生記憶手段と、
    上記記憶したエラー信号または上記実効リセット信号を通報信号として出力する通報手段とを設け、
    上記通報信号で音声・表示器などで通報可能としたことを特徴とする電子制御装置
  13. 請求項1または請求項7に記載の電子制御装置において、
    上記マイクロプロセッサに従属し全体制御の一部を分担するサブマイクロプロセッサを備えていると共に、
    上記マイクロプロセッサは、上記サブマイクロプロセッサが発生するウォッチドッグタイマクリア信号を監視して,異常があるとリセット信号を供給して上記サブマイクロプロセッサをリセットする上記サブマイクロプロセッサの暴走を監視する暴走監視手段を備え、
    上記第一・第二のウォッチドッグタイマから供給される実効リセット信号は上記マイクロプロセッサおよび上記サブマイクロプロセッサをリセットすることを特徴とする電子制御装置
  14. 請求項1または請求項7に記載の電子制御装置において、
    CPUの暴走監視制御回路の各回路へ電源を供給する供給電源を負荷電源として上記電気負荷に電源供給している場合に、上記負荷電源と上記電気負荷間をオン・オフする開閉手段を設け、
    上記供給電源投入時または上記マイクロプロセッサをリセットするための上記実効リセット信号出力時に上記開閉手段で上記オフとし、上記実効リセット信号出力が解除されたとき、上記開閉手段で上記オンとすることを特徴とする電子制御装置
  15. 請求項1または請求項7に記載の電子制御装置において、
    上記マイクロプロセッサを、上記異常診断手段により上記第一・第二のウォッチドッグタイマの少なくとも一方が異常であると判定したときにエラ−信号を発生するマイクロプロセッサとし、
    上記エラー信号または上記マイクロプロセッサをリセットするための実効リセット信号とを記憶し、上記供給電源を投入すると上記記憶したエラー信号または上記実効リセット信号をクリアして記憶可能の状態にセットする異常発生記憶手段と、
    上記異常発生記憶手段が上記エラー信号または上記実効リセット信号を記憶しているときに、上記マイクロプロセッサの少なくとも一つの電気負荷の出力発生を停止する駆動停止用手段とを設けたことを特徴とする電子制御装置
  16. 請求項2,8,及び13の何れか一記載の電子制御装置において、
    上記サブマイクロプロセッサが上記マイクロプロセッサの電気負荷とは別の電気負荷を制御し、CPUの暴走監視制御回路の各回路へ電源を供給する供給電源を負荷電源として上記マイクロプロセッサおよび上記サブマイクロプロセッサの上記各電気負荷に電源を供給し、
    上記負荷電源と上記各電気負荷との間を、上記電源投入時または上記実効リセット信号出力時に開閉手段でオフとし、上記実効リセット信号出力が解除されたとき、上記開閉手段でオンとすることを特徴とする電子制御装置
  17. 請求項2,8,及び13の何れか一記載の電子制御装置において、
    上記サブマイクロプロセッサを、上記マイクロプロセッサの電気負荷とは別の電気負荷を制御するサブマイクロプロセッサとし、
    上記マイクロプロセッサを、上記異常診断手段により上記第一・第二のウォッチドッグタイマの少なくとも一つが異常であると判定したときにエラ−信号を発生するマイクロプロセッサとし、
    上記エラー信号または上記マイクロプロセッサをリセットするための実効リセット信号を記憶し、CPUの暴走監視制御回路の各回路へ電源を供給する供給電源を投入すると上記記憶したエラー信号または上記実効リセット信号をクリアして記憶可能の状態にセットする異常発生記憶手段と、
    上記異常発生記憶手段が上記エラー信号または上記実効リセット信号を記憶しているときに、上記マイクロプロセッサの少なくとも一つの電気負荷および上記サブマイクロプロセッサの少なくとも一つの電気負荷の内、少なくとも一方の電気負荷の出力発生を停止する駆動停止用手段とを設けたことを特徴とする電子制御装置
  18. 請求項2または請求項8に記載の電子制御装置において、
    上記異常診断手段は、上記第一のリセット信号の状態を第一のモニタ信号として上記マイクロプロセッサに入力し、上記マイクロプロセッサ上記第一のウォッチドッグクリア信号を意図的に異常状態にして上記第一のモニタ信号の反応をチェックして、上記第一のウォッチドッグタイマの動作確認を行、上記第二のウォッチドッグタイマの異常診断は上記暴走監視手段で行うことを特徴とする電子制御装置
  19. 請求項18に記載の電子制御装置において、
    上記サブマイクロプロセッサは上記マイクロプロセッサからテスト時にテストモ−ド信号の供給を受けるようにし、上記テストモード信号を受けると強制的に上記第二のリセット信号を発生して上記ゲート回路に供給する強制出力手段を含み、
    上記サブマイクロプロセッサから強制的に発生した上記第二のリセット信号に対する上記マイクロプロセッサに供給される第二のモニタ信号の反応をチェックして、上記サブマイクロプロセッサから発生した上記第二のリセット信号が上記ゲート回路に達しているか否かの診断を可能としたことを特徴とする電子制御装置
  20. 請求項2に記載の電子制御装置において、
    上記サブマイクロプロセッサが起動して正常に作動するまでの間、ウォッチドッグタイマが発生する上記第一のリセット信号に応じて上記実効リセット信号が発生されるように、上記第二のリセット信号を有効にするデフォルト回路を設けたことを特徴とする電子制御装置
  21. 請求項8に記載の電子制御装置において、
    上記サブマイクロプロセッサが起動して正常に作動するまでの間、ウォッチドッグタイマが発生する上記第一のリセット信号に応じて上記実効リセット信号が発生されるように、上記第二のリセット信号を無効にするデフォルト回路を設けたことを特徴とする電子制御装置
JP2001326050A 2001-10-24 2001-10-24 電子制御装置 Expired - Fee Related JP3616367B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2001326050A JP3616367B2 (ja) 2001-10-24 2001-10-24 電子制御装置
US10/127,484 US6883123B2 (en) 2001-10-24 2002-04-23 Microprocessor runaway monitoring control circuit
CN02131681.3A CN1207663C (zh) 2001-10-24 2002-09-10 微处理器的失控监控电路

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001326050A JP3616367B2 (ja) 2001-10-24 2001-10-24 電子制御装置

Publications (2)

Publication Number Publication Date
JP2003131906A JP2003131906A (ja) 2003-05-09
JP3616367B2 true JP3616367B2 (ja) 2005-02-02

Family

ID=19142503

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001326050A Expired - Fee Related JP3616367B2 (ja) 2001-10-24 2001-10-24 電子制御装置

Country Status (3)

Country Link
US (1) US6883123B2 (ja)
JP (1) JP3616367B2 (ja)
CN (1) CN1207663C (ja)

Families Citing this family (46)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10203807C1 (de) * 2002-01-31 2003-07-31 Siemens Ag Verfahren und Schaltungsanordnung zum Überwachen der Funktion eines Prozessors
TW561353B (en) * 2002-02-05 2003-11-11 Via Tech Inc Automatic reset signal generator integrated into chipset and chipset with reset completion indication function
JP2003256402A (ja) * 2002-03-01 2003-09-12 Mitsubishi Electric Corp マイクロコンピュータ
US20040003317A1 (en) * 2002-06-27 2004-01-01 Atul Kwatra Method and apparatus for implementing fault detection and correction in a computer system that requires high reliability and system manageability
DE10235564A1 (de) * 2002-08-03 2004-02-12 Robert Bosch Gmbh Verfahren zum Überwachen eines Mikroprozessors und Schaltungsanordnung mit einem Mikroprozessor
CN1293474C (zh) * 2003-04-30 2007-01-03 松下电器产业株式会社 微计算机
JP3992648B2 (ja) * 2003-06-03 2007-10-17 株式会社日立製作所 Atコントロールユニット
JP4050196B2 (ja) * 2003-07-09 2008-02-20 三菱電機株式会社 監視制御回路を有する電子制御装置
JP4223909B2 (ja) * 2003-09-24 2009-02-12 三菱電機株式会社 車載電子制御装置
DE102004017950B3 (de) * 2004-04-14 2005-06-23 Moeller Gmbh Mechanisch-elektronischer Positionsgeber
DE102004056416A1 (de) * 2004-11-23 2006-05-24 Robert Bosch Gmbh Beschleunigungssensor in einem Steuergerät
JP2006338605A (ja) * 2005-06-06 2006-12-14 Denso Corp プログラム異常監視方法及びプログラム異常監視装置
US7583037B2 (en) 2006-06-23 2009-09-01 Spacesaver Corporation Mobile storage unit with holding brake and single status line for load and drive detection
JP4983806B2 (ja) * 2006-12-15 2012-07-25 富士通株式会社 二重化タイマを用いたシステム監視装置、および監視方法
JP4437812B2 (ja) * 2006-12-19 2010-03-24 富士通テン株式会社 電子制御装置
US7660662B2 (en) * 2006-12-28 2010-02-09 Detroit Diesel Corporation Fault code memory administrator with a driving cycle state machine concept
DE102007010886B3 (de) * 2007-03-06 2008-06-26 Siemens Ag Steuergerät für ein Fahrzeug
US7774648B2 (en) * 2007-05-02 2010-08-10 Honeywell International Inc. Microprocessor supervision in a special purpose computer system
JP4359632B2 (ja) * 2007-06-13 2009-11-04 株式会社トヨタIt開発センター プロセッサ動作検査システム及び動作検査回路
JP4454672B2 (ja) * 2008-06-13 2010-04-21 三菱電機株式会社 監視制御回路を有する車載電子制御装置
CN101882098B (zh) * 2009-07-10 2012-07-11 威盛电子股份有限公司 微处理器集成电路以及相关除错方法
JP5370115B2 (ja) * 2009-12-14 2013-12-18 株式会社デンソー 車載装置
JP5476238B2 (ja) 2010-07-12 2014-04-23 ルネサスエレクトロニクス株式会社 半導体装置
JP5769403B2 (ja) * 2010-11-30 2015-08-26 富士通テン株式会社 監視装置及び電子装置
JP5739290B2 (ja) * 2011-09-14 2015-06-24 株式会社ケーヒン 電子制御装置
JP5778536B2 (ja) * 2011-09-14 2015-09-16 株式会社ケーヒン 電子制御装置及び車両制御システム
JP5962697B2 (ja) * 2014-03-26 2016-08-03 株式会社デンソー 電子制御装置
US20170102968A1 (en) * 2014-05-11 2017-04-13 Safetty Systems Ltd. A monitoring unit as well as method for predicting abnormal operation of time-triggered computer systems
CN103941837B (zh) * 2014-05-20 2017-08-11 浙江知祺电力自动化有限公司 一种自供电微机保护装置微处理器管理电路
CN104035537A (zh) * 2014-06-23 2014-09-10 苏州塔可盛电子科技有限公司 一种基于max7705esa芯片的单片机复位电路
DE102014213922B4 (de) * 2014-07-17 2020-02-20 Continental Automotive Gmbh Fahrzeug-Infotainmentsystem
TWI595650B (zh) * 2015-05-21 2017-08-11 蘇烱光 適應性雙閘極金氧半場效電晶體
US20170269984A1 (en) * 2016-03-18 2017-09-21 Qualcomm Incorporated Systems and methods for improved detection of processor hang and improved recovery from processor hang in a computing device
JP6753691B2 (ja) * 2016-05-11 2020-09-09 ボッシュ株式会社 電子制御装置及び電子制御方法
JP2018094720A (ja) * 2016-12-08 2018-06-21 キヤノン株式会社 電子機器
JP6742899B2 (ja) * 2016-12-27 2020-08-19 ルネサスエレクトロニクス株式会社 半導体装置
US10572326B2 (en) * 2017-07-31 2020-02-25 Lg Chem, Ltd. Self-diagnosing watchdog monitoring system
JP6572290B2 (ja) * 2017-11-22 2019-09-04 ファナック株式会社 電子機器の異常検出装置
KR102258171B1 (ko) * 2017-12-15 2021-05-28 주식회사 엘지에너지솔루션 워치독 타이머를 진단하기 위한 장치 및 방법
WO2019205975A1 (zh) * 2018-04-28 2019-10-31 Oppo广东移动通信有限公司 摄像头模组的控制系统、控制方法、控制装置、电子设备及计算机可读存储介质
WO2019228020A1 (zh) * 2018-05-30 2019-12-05 Oppo广东移动通信有限公司 激光投射器的控制系统和移动终端
CN108539576B (zh) * 2018-05-30 2020-06-12 Oppo广东移动通信有限公司 激光投射器的控制系统和移动终端
JPWO2020217928A1 (ja) * 2019-04-25 2020-10-29
EP3993205A4 (en) * 2019-06-27 2022-08-31 SANYO Electric Co., Ltd. BATTERY PACK AND ANOMALITY MONITORING PROCEDURE THEREOF
JP7539243B2 (ja) * 2020-03-31 2024-08-23 ラピスセミコンダクタ株式会社 半導体装置
US11550649B2 (en) 2021-03-17 2023-01-10 Qualcomm Incorporated System-on-chip timer failure detection and recovery using independent redundant timers

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2593915B2 (ja) 1988-05-27 1997-03-26 住友電気工業株式会社 ダブルマイコンシステム暴走防止回路
US4956842A (en) * 1988-11-16 1990-09-11 Sundstrand Corporation Diagnostic system for a watchdog timer
JPH05216711A (ja) 1991-06-10 1993-08-27 Mitsubishi Electric Corp 自己診断装置
JPH0566812A (ja) 1991-09-05 1993-03-19 Yaskawa Electric Corp プログラマブルコントローラの二重化ウオツチドツグタイマ
JPH0581222A (ja) 1991-09-20 1993-04-02 Hitachi Ltd 2cpuの動作監視方法
JPH06149604A (ja) 1992-11-11 1994-05-31 Nissan Motor Co Ltd 多重化システム
US5594685A (en) * 1994-12-16 1997-01-14 National Semiconductor Corporation Method for programming a single EPROM or flash memory cell to store multiple bits of data that utilizes a punchthrough current
JP3357514B2 (ja) * 1995-09-20 2002-12-16 シャープ株式会社 暴走検出復帰方式
JPH10222402A (ja) 1997-02-12 1998-08-21 Nissan Motor Co Ltd 車両用制御装置
JP3367379B2 (ja) 1997-05-08 2003-01-14 三菱電機株式会社 Cpuの出力制御回路
JPH11294252A (ja) 1998-04-13 1999-10-26 Denso Corp 電子制御装置
JP2000104622A (ja) 1998-09-25 2000-04-11 Hitachi Ltd 電子制御装置
DE19847986C2 (de) * 1998-10-17 2000-10-26 Daimler Chrysler Ag Einzelprozessorsystem
JP3693226B2 (ja) 1999-06-30 2005-09-07 矢崎総業株式会社 マイコンのバックアップ装置及び自動車用パワーウインドウ制御装置
KR100352023B1 (ko) * 1999-09-03 2002-09-11 가야바코교 가부시기가이샤 페일세이프기구

Also Published As

Publication number Publication date
CN1207663C (zh) 2005-06-22
JP2003131906A (ja) 2003-05-09
US6883123B2 (en) 2005-04-19
CN1414476A (zh) 2003-04-30
US20030079163A1 (en) 2003-04-24

Similar Documents

Publication Publication Date Title
JP3616367B2 (ja) 電子制御装置
CN102959520B (zh) 车载电子控制装置
JPH09258821A (ja) マイコン故障監視装置
US6076172A (en) Monitoting system for electronic control unit
JP3970196B2 (ja) エンジン用吸気量制御装置及びエンジン用吸気量制御方法
JPH06149604A (ja) 多重化システム
JP5094777B2 (ja) 車載用電子制御装置
US20220340152A1 (en) Vehicle and method of controlling the same
JP3486747B2 (ja) 自動車制御装置及びこれに組込まれる単一プロセッサシステム
JP2983532B2 (ja) 内燃機関の電子制御装置
JP6984512B2 (ja) 電子制御装置
JP2016159672A (ja) 車両用相互監視モジュール
JP3651273B2 (ja) セルフシャットオフ機能の診断装置
JP2002089336A (ja) 車両用電子制御システムの故障検出装置
US20240106677A1 (en) Control device and control method
JP3830837B2 (ja) センサ自己診断信号適正処理機能付き車載電子制御回路
JP3630824B2 (ja) 補助リレー駆動回路
JP2016126692A (ja) 電子制御装置
JP7582023B2 (ja) 制御装置及びリセット機能の診断方法
JPH0717337A (ja) 電子制御ユニットの故障判定方法及び故障判定装置
JP7700695B2 (ja) 電子制御装置
JP7254827B2 (ja) 電子制御装置
JPH08202589A (ja) 情報処理装置及び故障診断方法
JP6716429B2 (ja) 電子制御装置及びその診断方法
JP7157873B2 (ja) 電子制御装置、電子制御装置の診断方法

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20040119

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040127

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040329

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20041026

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20041104

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20071112

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081112

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081112

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091112

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091112

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101112

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111112

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121112

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121112

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131112

Year of fee payment: 9

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees