JP3710565B2 - マイクロコンピュータの動作監視装置 - Google Patents

マイクロコンピュータの動作監視装置 Download PDF

Info

Publication number
JP3710565B2
JP3710565B2 JP18683696A JP18683696A JP3710565B2 JP 3710565 B2 JP3710565 B2 JP 3710565B2 JP 18683696 A JP18683696 A JP 18683696A JP 18683696 A JP18683696 A JP 18683696A JP 3710565 B2 JP3710565 B2 JP 3710565B2
Authority
JP
Japan
Prior art keywords
output
port
instruction
time
timing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP18683696A
Other languages
English (en)
Other versions
JPH1021120A (ja
Inventor
賢輔 大竹
淳朗 大田
司雄 佐藤
達生 林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Honda Motor Co Ltd
Nidec Elesys Corp
Original Assignee
Honda Motor Co Ltd
Nidec Elesys Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Honda Motor Co Ltd, Nidec Elesys Corp filed Critical Honda Motor Co Ltd
Priority to JP18683696A priority Critical patent/JP3710565B2/ja
Publication of JPH1021120A publication Critical patent/JPH1021120A/ja
Application granted granted Critical
Publication of JP3710565B2 publication Critical patent/JP3710565B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)
  • Microcomputers (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、マイクロコンピュータ並びにその動作監視装置に係り、特に、動作状態監視用として2以上の状態信号を外部へ送出する機能を供えたマイクロコンピュータ、並びに、それら状態信号を用いて当該マイクロコンピュータの動作異常を監視するようにした動作監視装置に関する。
【0002】
【従来の技術】
従来、マイクロコンピュータの動作異常を監視するための方法としては、ウォッチドッグタイマ回路等と称される周期監視型の動作異常監視回路を用いたものが知られている。
【0003】
この様な周期監視型の監視回路を備えたマイクロコンピュータシステムのハードウェア構成を図5に概略的に示す。同図において、CPU1は、この例にあっては、車両用アンチロックブレーキシステム(ABS)の制御に用いられる制御用8ビットワンチップマイクロコンピュータであり、その内部には、図示しないが、制御用各種のシステムプロクラムが格納されたROM、ワーキングエリア等として使用されるRAM、それらを統括制御するためのマイクロプロセッサ等が内蔵されている。周知の如く、この種のCPU1には、多数の入出力ポートが備えられているが、この例ではそれらの中で、CPU1の動作状態を外部に知らせる状態信号送出用の出力ポートPと、CPU1に対して強制的にリセットをかけるリセット信号受け付け用のリセット端子RSTのみが示されている。出力ポートPから得られる状態信号は、CPU1が正常に動作している限り、ほぼ一定周期を有するパルス列となるのに対して、CPU1に何等かの動作異常が発生すると、上記のパルス列は途絶えたり、或いは周期が長くなる。なお、出力ポートPは抵抗R5を介して電源Vccにプルアップされており、そのためCPU1がリセット信号を受け付けてリセット状態に入り、出力ポートPがハイインピーダンス状態となると、出力ポートPの電位は“H”にプルアップされる。
【0004】
一方、監視回路2では、入力端子INに得られる状態信号(パルス列)の周期を常時監視しており、これが後述する基準時間Trefよりも短ければ、CPU1は正常に動作していると判定し、その出力端子OUTから“H”を出力するのに対し、状態信号の周期が基準時間Trefよりも長くなったり、或いはパルス列が途絶えて状態信号のレベルが“H”または“L”に固定されると、CPU1において何等かの動作異常が発生したものと判定し、その出力端子OUTから“L”を出力する。
【0005】
CPU1では、リセット端子RSTに得られる信号が“H”から“L”に変化するのに応答して、ハードウェア的にリセット動作を実行し、これに基づき必要な異常対応処理を実行することで、制御系に与える影響を最小限に止めるように構成されている。
【0006】
監視回路2の具体的な一例を図6に詳細に示す。同図に示されるように、周期監視型の監視回路2は、入力端子INに得られる状態信号の立ち上がりエッジを検出して微小幅“H”パルスを出力する微分回路DFと、微分回路DFから得られる微小巾“H”パルスに応答して微小時間オンするトランジスタQと、抵抗R1,R2を介して電源Vccにより所定の時定数カーブを描いて充電されかつ前述のトランジスタQを介して瞬時に放電されるコンデンサCと、電源Vccを抵抗R3とR4とで分圧することによりしきい値電圧Vthを生成するしきい値電圧生成回路と、演算増幅器OPを中心として構成されコンデンサCの充電電圧Vcをしきい値電圧Vthと比較し、その比較結果を出力端子OUTに出力するコンパレ−タCOMPとから構成されている。そして、入力端子INに得られる状態信号(パルス列)の周期が基準時間Trefよりも短い場合、コンデンサCの充電電圧Vcはしきい電圧Vthに至る前にトランジスタQを介して放電され、その結果コンパレ−タCOMPの出力である出力端子OUTの電位は“H”に維持されている。これに対して、入力端子INに得られる状態信号(パルス列)の周期が基準時間Trefよりも長くなったり、或いはパルス列が途絶えて“H”もしくは“L”に固定されると、コンデンサCの充電電圧Vcはしきい値電圧Vthを越え、これによりコンパレ−タCOMPが作動して、出力端子OUTの電位は“H”から“L”へと変化する。この“H”から“L”への変化に応答して、CPU1では強制的にリセットが掛けられる。
【0007】
CPU1に内蔵されたROMに格納されたプログラムの構成を図7のフロ−チャ−トに概略的に示す。一般に、この種のマイクロコンピュ−タのプログラムは、電源投入直後に実行されるべきシステムイニシャライズプログラムと本来の目的である制御プログラムとに大別されるのであるが、ここで問題としている動作状態監視のためには、さらにポ−トPオン命令、ポ−トPオフ命令並びに制御周期Tcの経過監視処理とが追加される。この例では、ポ−トPオン命令とポ−トPオフ命令とは制御プログラムを挟んでその前後に配置されている。ポ−トPオン命令とは、ポ−トPに相当するアドレスを指定してこれをオンすべき命令であり、またポ−トPオフ命令とはポ−トPのアドレスを指定してこれをオフすべき命令である。制御周期経過監視処理とは、ポ−トPがオンされてからあらかじめ決められた制御周期Tcが経過したことを監視する処理である。これらの処理を追加することにより、CPUが正常に動作している場合には、ポ−トPからはほぼ一定の周期でオンオフを繰り返すパルス列が出力される。
【0008】
すなわち、電源投入によりパワ−オンリセットが掛かって処理が開始されると、まずシステムイニシャライズ処理が実行されて、各種フラグやレジスタ類の初期設定がなされた後(ステップ701)、制御プログラムの実行に先立ちポ−トPオン命令が実行されて、出力ポ−トPの状態はオン(“H”)に設定操作される(ステップ702)。その後、制御プログラムが実行されることにより(ステップ703)、ポートPのオン状態はその時々で変化する制御プログラムの実行所要時間で規定されるオン時間Tonだけ維持される。制御プログラムの実行が終了すると、ポートPオフ命令が実行されて、ポートPの状態はオフ(“L”)に設定操作される。その後制御周期Tcの経過判定処理が実行されることにより(ステップ705)、ポートPのオフ状態は、ポートPをオンさせたのち、制御周期Tcが経過するまでに相当するオフ時間Toffだけ維持される。その結果、CPU1が正常に動作している場合には、ポ−トPから出力されるパルス列の周期Txは制御周期Tcに一致するのに対し、制御プログラムの実行中に何等かの異常が発生してその実行時間が異常に長くなると、ポートPから出力されるパルス列の周期Txは制御周期Tcよりも長くなり、また制御プログラムの実行中に何等かの異常が発生して、制御プログラムの実行が中断してしまうと、ポートP操作命令(ポートPオン命令並びにポートPオフ命令)は実行されなくなり、その結果ポートPからの状態信号は“H”もしくは論理“L”に固定される。そして、周期監視型の監視回路2では、ポートPから出力される状態信号の内容が、上述した正常時の場合と異常時の場合とのいずれにあるかに基づいて、CPU1の動作異常を判定することができるのである。
【0009】
次に、周期監視型の監視回路2における想定される異常時の動作を図8のタイミングチャートに示す。なお、図において(a)はCPU1のポートPから出力されて入力端子INに供給される状態信号、(b)は微分回路DFから出力される微小幅“H”パルス、(c)はコンデンサCの充電電圧、(d)は出力端子OUTからCPU1のリセット端子RSTに供給される信号である。
【0010】
同図に示されるように、CPU1が正常に動作している場合、入力端子INに供給される状態信号中のオン周期Txは前述した制御周期Tcに維持されている。そのため、コンデンサCの充電電圧Vcは、状態信号中のオンタイミングに応答して繰り返し放電され、しきい値電圧Vthを越えることはなく、その結果、出力端子OUTのレベルは“H”に維持されている。これに対して、時刻t1にCPUに何等かの異常が発生したことにより、状態信号のレベルが“H”に固定されてしまうと、最新のオンタイミングである時刻t0から基準時間Trefが経過した時点において、コンデンサCの充電電圧Vcはしきい値電圧Vthを越え、出力端子OUTのレベルは“H”から“L”に変化する。そして、この論理“H”から論理“L”への変化タイミングに応答して、CPU1ではリセット動作が行われる。
【0011】
この様に、図5並びに図6に示される周期監視型の監視回路を備えた動作異常監視方法によれば、状態信号のレベルを“H”もしくは“L”に固定させてしまうような動作異常に対しては、最新のオン時刻t0から基準時間Trefが経過した時点において異常発生を確実に判定し、必要に応じてCPU1に対してリセットを掛けることができる。ここで、基準時間Trefの値は、原理的には、制御周期Tcと略一致させることができる。換言すれば、この様な動作異常監視方法によれば、状態信号のレベルを“H”または論理“L”に固定させるような異常動作であるかぎり、その発生時刻t1から最大1制御周期Tc以内において、異常動作の発生を判定し、これによりCPU1に対してリセットを掛けることが可能となる。
【0012】
【発明が解決しようとする課題】
ところで、この種のCPUにおいて所謂プログラム暴走等の動作異常が発生した場合、多数存在する出力ポートのいずれかが、動作異常が発生しているにも拘らず、繰り返しオンオフして所謂バタツキ現象を起こすことが希に経験的に知られている。この様なバタツキ現象には、プログラムの暴走中に当該出力ポートにかかるオンオフ命令がたまたま実行されたことを原因とする場合(以下、第1の原因による場合と称する)と、プログラムの暴走中にフェッチ動作の乱れにより別の命令が当該出力ポートに関するオンオフ命令に化けてしまい、それにより当該出力ポートから疑似的なオンオフ出力が発せられている場合(以下、第2の原因による場合と称する)とがあるものと推定される。そして、この様な第2の原因による場合がもしも上述した状態信号出力用の出力ポートPについて起こると、先に説明した従来の動作異常監視方法においては様々な不都合が生ずるとの知見が得られた。
【0013】
周期監視型の監視回路2における従来想定されていない異常時の動作(1)を図9のタイミングチャートに示す。なお、同図において、(a)〜(d)の信号の意味するところは、図8に示されるものと同様であるから、説明は省略する。
【0014】
同図に示されるように、CPU1が正常に動作している場合、状態信号中のオン周期Txは制御周期Tcに維持されており、前述の経過を経て出力端子OUTの信号レベルは“H”に維持されている。これに対して、時刻t2においてCPU1に何等かの動作異常が発生したものとすると、従来想定された異常動作の場合には、図中1点鎖線l1に示されるように、その後状態信号のレベルは“L”に固定され、前述の経過を経て、正常なオン出力が得られた時刻t0から基準時間Trefが経過した時点において、CPU1にリセットがかかるはずである。
【0015】
ところが、正常なオン出力が得られた時刻t0から基準時間Trefが経過する以前に、先に述べた第2の原因による疑似オン出力が時刻t3に発生すると、それに応答してコンデンサCの充電電圧Vcは瞬時に放電されてしまうため、その後、基準時間Trefが経過して、充電電圧Vcが閾値電圧Vthに達するまでの間、異常動作の判定を行うことができない。換言すれば、従来想定されていた異常動作の場合であれば、最新のオン出力が得られた時刻t0から1制御周期Tcが経過した時点でCPU1にリセットをかけることができたのに対し、この様な従来想定されていなかった異常動作の場合には、疑似オン出力が得られた時刻t3からさらに1制御周期Tcが経過するまで異常動作を判定することができず、CPU1の暴走状態等を放置せざるを得ないという問題点がある。
【0016】
周期監視型の監視回路2における従来想定されていない異常時の動作(2)を図10のタイミングチャートに示す。なお、同図においても(a)〜(d)の内容は図8に示されるものと同様であるから説明は省略する。
【0017】
同図に示されるように、CPU1が正常に動作している場合、状態信号中のオン信号の出力周期Txは制御周期Tcに維持されており、これにより前述の経過を経て、出力端子OUTの信号レベルは“H”に維持されている。これに対して、時刻t11にCPUに何等かの動作異常が発生したことに基づき、それ以降時刻t4,t6,t8,t10に前述した第2の原因による疑似オン出力が得られ、また時刻t5,t7,t9に第2の原因による疑似オフ出力が得られ、しかも疑似オン出力の周期Txが基準時間Trefよりも短いと、異常動作が発生した時刻t11以降であっても、コンデンサの充電電圧Vcの値は閾値電圧Vthを越えることができず、出力端子OUTのレベルは“H”のままとなってしまう。その結果、この様な疑似オン出力と疑似オフ出力とが交互に得られているかぎり、CPU1にリセットを掛けることができないと言う問題点が生ずる。
【0018】
この様に、従来の周期監視型の監視回路を用いたCPUの動作監視方法においては、異常動作の発生以降、状態信号のレベルが“H”もしくは“L”に固定されたり、あるいはオン周期Txが基準時間Trefよりも長くなるといった動作異常に対しては、最新のオン出力から基準時間Trefが経過した時点で動作異常の発生を判定し、必要に応じてCPUにリセットを掛けることができるのに対し、別の命令が状態信号出力ポートに関する操作命令(オン命令もしくはオフ命令)に化けて、異常動作発生以降についても、疑似オン出力や疑似オフ出力が得られると言った動作異常に対しては、必ずしも有効に機能し得ないという問題点があった。
【0019】
この発明は、従来の周期監視型の監視回路を用いたマイクロコンピュータの動作監視装置に於ける以上の問題点を解決するためになされたものであり、その目的とするところは、この種のマイクロコンピュ−タの動作監視において、異常動作の発生以降疑似オン出力が得られると言った動作異常が発生した場合、当該疑似オン出力の発生時刻から1制御周期を待つこと無く、可及的速やかに異常動作の発生を判定可能とすることにある。
【0020】
【課題を解決するための手段】
この出願の請求項1に記載の発明は、1命令の実行により同時には操作できないように別個のアドレスにそれぞれ割り当てられた複数の出力ポートと、前記複数の出力ポートのそれぞれ毎に設けられかつ監視対象プログラムを互いに共有するようにして当該監視プログラムの一巡実行ループ中に、1命令実行時間の遅れを持って順次に実行されるように相連続するステップとして、前記監視対象プログラムを挟んでその前後に挿入された状態信号送出用のオンオフ一対の複数のポート操作命令を格納したROMと、を含み、それにより、前記監視対象プログラムの実行に連動して、前記複数の出力ポートから、前記各対のポート操作命令の実行タイミングの相違に対応する一定のタイミングズレを相互に有する複数の周期的な状態信号を出力するように構成したマイクロコンピュータと、前記マイクロコンピュータの前記複数の出力ポートから出力される複数の周期的な状態信号の少なくとも2つに着目して、両者間に論理不一致が生ずる毎に、所定の時間だけ計時動作を繰り返し、前記計時動作の完了と共に計時完了信号を出力するタイマを有し、前記タイマによって、両者間におけるタイミングズレを監視し、そのタイミングズレが規定範囲を外れたことに基づいて前記マイクロコンピュータの動作異常を判定するタイミング監視回路とを具備することを特徴とするマイクロコンピュータの動作監視装置である。
【0021】
ここで、『1命令の実行により同時には操作できないように別個のアドレスにそれぞれ割り当てられた』とあるのは、例えば8ビットマイクロコンピュ−タの場合であれば、出力ポ−トのそれぞれを、別個のアドレスに出力されるべき1バイト分のデ−タ若しくはその構成ビットに割り当てることを意味するものであり、複数の出力ポ−トのそれぞれを同一のアドレスに出力されるべき1バイト分のデ−タの各構成ビットに割り当てるような場合を排除する趣旨である。このように複数の出力ポ−トのそれぞれを別個のアドレスに割り当てるのは、後に詳細に説明するように、本発明にあっては、複数の出力ポ−トのそれぞれからのオン信号若しくはオフ信号の出力タイミングのずれを問題としているからである。
【0022】
また、『複数の出力ポ−ト』とあるのは、出力ポ−トの数は実施例では2個であるが、それ以上でも良いことを意味している。
【0023】
また、『複数の出力ポ−トのそれぞれごとに設けられ〜複数のポ−ト操作命令』とあるのは、例えば、出力ポ−トの数が2個であればポ−ト操作命令についても2組設けられることを意味している。
【0024】
また、『状態信号送出用のオンオフ一対の複数のポ−ト操作命令』とあるのは、各ポ−ト操作命令のそれぞれは、互いに対をなすポ−トオン命令とポ−トオフ命令とから構成されることを意味している。
【0025】
また、『監視対象プログラムを互いに共有する〜複数のポ−ト操作命令』とあるのは、一個の監視対象プログラム(実施例では、制御プログラム)に対して2組以上のポ−ト操作命令が組み込まれていることを意味しており、監視対象プログラムが複数ある場合において、それぞれにポ−ト操作命令を1組ずつ組み込み、全体としてポ−ト操作命令が複数組存在するごとき場合を排除することを意味している。
【0026】
そして、この請求項1に記載の発明によれば、マイクロコンピュ−タが正常に動作している場合にかぎり、複数の出力ポ−トのそれぞれからは、各対のポ−ト操作命令の実行タイミングの相違に対応する一定のタイミングずれを相互に有する複数の周期的な状態信号が出力されるのに対し、マイクロコンピュ−タに何等かの動作異常が発生して、何等かの命令がいずれかの出力ポ−トに関するポ−ト操作命令(ポ−トオン命令もしくはポ−トオフ命令)に化けて実行されたような場合には、疑似オン出力もしくは疑似オフ出力は得られるであろうものの、相異なる2つの状態信号の相互において、命令化けに起因するオン出力もしくはオフ出力が正常時と同一のタイミングずれを持って発生することは確率的に極めて希であろうから、このタイミングずれが正常時のずれから外れていることに基づいて、この様な命令化けに起因する動作異常を的確に判定することが可能となる。
【0028】
また、『マイクロコンピュ−タの前記複数の出力ポ−トから出力される複数の周期的な状態信号の少なくとも2つに着目して』とあるのは、周期的な状態信号が2系統である場合におけるそれらの両者に着目する場合を含むことは勿論のこと、周期的な状態信号が3系統以上存在する場合において、それらの任意の2つに着目したり或いは3つ以上に着目する場合を含むことを意味している。
【0029】
また、『両者間に於けるタイミングずれを監視し、そのタイミングずれが規定範囲を外れたことに基づいて』とあるのは、実施例に示される場合のほかに、タイミングずれが規定値よりも短いことに基づいて動作異常を判定する場合も含まれることを意味している。
【0030】
また、この請求項に記載の発明によれば、何等かの命令がいずれかのポ−ト操作命令に化けて実行されるごとき動作異常が発生した場合であっても、これを着目された2つの状態信号に於けるタイミングずれが規定範囲を外れたことに基づいて的確に判定することができ、この判定出力によりマイクロコンピュ−タにリセットを掛けたり、警報出力を発したり、或いはデュアルマイコンシステムであれば、別のマイコンに制御権を受け渡すなどの様々な対応措置を採ることが可能となる。
【0038】
また、『各ポ−ト操作命令を構成する一対のオンオフ命令のそれぞれを監視対象プログラムを挟んでその前後に挿入する』とあるのは、例えば出力ポ−トが2個存在する場合において、それぞれのポ−トオン命令を監視対象プログラムの前側に配置し、それぞれのポ−トオフ命令を監視対象プログラムの後側に配置する場合を含むことは勿論であるが、それ以外にも第1の出力ポ−トに対応するポ−トオン命令と第2の出力ポ−トに対応するポ−トオフ命令とを監視対象プログラムの前側に配置し、第1の出力ポ−トに対応するポ−トオフ命令と第2の出力ポ−トに対応するポ−トオン命令とを監視対象プログラムの後ろ側に配置する場合のように、必ずしもポ−トオン命令同志もしくはポ−トオフ命令同志を一括して配置しない場合を含むことを意味している。
【0039】
また、『一命令実行時間の遅れをもって順次に実行されるように相連続するステップとして挿入する』とあるのは、例えば、各ポ−ト操作命令を構成するオン命令同志を一切別の命令を挟むこと無く連続して配列し、他方オフ命令同志についても一切別の命令を挟むこと無く連続して配列することを意味している。
【0040】
また、この請求項に記載の発明によれば、各対のポ−ト操作命令の実行タイミングの相違に対応する一定のタイミングずれは最短のものとなるため、動作異常に基づいて疑似オン出力もしくは疑似オフ出力が状態信号中に発生した場合、最短の遅れ時間をもって可及的速やかに動作異常の発生を判定することができる。 また、この出願の請求項に記載の発明は、前記監視対象プログラムの前側並びに後側に相連続するステップとして挿入された一連のポート操作命令の前後には割り込み禁止命令と割り込み許可命令とが挿入されていることを特徴とする請求項に記載のマイクロコンピュータの動作監視装置にある。
【0041】
ここで、『割り込み禁止命令』もしくは『割り込み許可命令』とあるのは、この種のマイクロコンピュ−タに於いて良く知られた命令であり、それらを利用することによって割り込み信号の受け付けを禁止したり許可したりすることができる命令である。
【0042】
そして、この請求項に記載された発明によれば、相連続して配列されたオン命令もしくはオフ命令の間に割り込み信号が到来したとしても、その様な割り込み信号は受け付けられなくなるため、割り込み信号の到来にかかわらず、複数の状態信号相互間に於ける一定のタイミングずれを維持し続けることができ、それらポ−ト操作命令の間に割り込み処理が実行されることに基づくタイミングずれの変化により、マイクロコンピュ−タに誤動作が生じたと誤認する恐れを回避することができる。
【0043】
【発明の実施の形態】
以下、この発明の好ましい実施の形態につき、添付図面を参照して詳細に説明する。
【0044】
本発明が適用されたマイクロコンピュ−タシステムのハ−ドウェア構成を図1に概略的に示す。同図において、CPU3は、この例では車両用アンチロックブレ−キシステムの制御に用いられる8ビット構成のワンチップマイクロコンピュ−タであり、その内部には図示しないが、制御用の各種システムプログラムを格納したROM、ワ−キングエリアなどとして使用されるRAM、演算処理の際に利用される各種のタイマやカウンタなどが内蔵されている。この種のCPU3には多数の入出力ポ−トが備えられているが、この例では説明の便宜のために、本発明と関連する2つの状態信号送出用出力ポ−トP1,P2とリセット信号を受け付けるためのリセット端子RSTのみが示されている。
【0045】
出力ポ−トP1と出力ポ−トP2とは、1命令の実行により同時には操作できないようにまったく別個のアドレスにそれぞれ割り当てられている。これら2つの出力ポ−トP1,P2は、抵抗R6,R7を介して電源Vccにプルアップされており、CPU3がリセット信号を受けてリセット状態となり、これに伴い出力ポ−トP1,P2がハイインピ−ダンス状態となると、それら出力ポ−トの出力ラインは電源Vccにプルアップされる。
【0046】
CPU3の出力ポ−トP1から出力される状態信号は、周期監視型の監視回路である第1の監視回路4と本発明により新たに追加されたタイミングずれ監視型の監視回路である第2の監視回路5へと供給されている。また、CPU3の出力ポ−トP2から出力される状態信号は、第2の監視回路5にのみ供給されている。そして、これら2つの出力ポ−トP1,P2からは、後に詳細に説明するように、監視対象プログラムの実行に連動して、各対となるポ−ト操作命令(ポ−トオン命令とポ−トオフ命令)の実行タイミングの相違に対応する一定のタイミングずれを相互に有する2系統の周期的な状態信号が出力される。
【0047】
第1の監視回路4は、従来から用いられている周期監視型の監視回路であり、この例では出力ポ−トP1から出力されて入力端子IN1に供給される状態信号の周期を監視し、その周期が規定値よりも長くなったことに基づいてCPU3の動作異常を判定し、これに応答して出力端子OUT1のレベルを論理“H”から論理“L”に変化させるようになされている。第2の監視回路5は、タイミングずれ監視型の監視回路であり、前述した2個の出力ポ−トP1,P2から出力される2系統の周期的な状態信号に着目し、両者間に於けるタイミングずれを監視し、そのタイミングずれが規定値を越えたことに基づいてCPU3の動作異常を判定し、これに応答して出力端子OUT2のレベルを論理“H”から論理“L”に変化させるように構成されている。そして、これら出力端子OUT1,OUT2から出力される信号は、互いにワイヤ−ドオア接続された後、CPU3のリセット端子RSTへと供給される。
【0048】
第1の監視回路4並びに第2の監視回路5の詳細を図2の回路図に示す。同図に示されるように、周期監視型の監視回路である第1の監視回路4は、先に説明した図6に示される従来の監視回路2と全く同一の構成を有する。そのため、重複説明を回避するために、第1の監視回路4の内部素子については図6に示される監視回路2と同一符号が付されている。
【0049】
これに対して、タイミングずれ監視型の監視回路である第2の監視回路5は、本発明に関連して新たに追加されたものである。すなわち、この第2の監視回路5は、出力ポ−トP1から出力される状態信号と出力ポ−トP2から出力される状態信号との排他的論理和を取るための排他論理和ゲートE−ORと、この排他論理和ゲートE−ORの出力が“H”のときに抵抗R8を介して充電されかつ“L”のときにダイオ−ドD並びに排他論理和ゲートE−OR内の電源ラインを介して瞬時に放電されるコンデンサC1と、電源Vccを抵抗R9とR10により分圧することによってしきい値電圧Vth1を得るための抵抗分圧回路と、演算増幅器OP1を中心として構成されコンデンサC1の充電電圧Vc1と前述したしきい値電圧Vth1とを比較しその比較結果を出力端子OUT2へと送出するコンパレ−タCOMP1とから構成されている。
【0050】
次に、CPU1に内蔵されたROM内に格納されたプログラムの構成を図3のフロ−チャ−トを参照して説明する。同図に示されるように、ROM内に格納されたプログラムは、システムイニシャライズプログラムと本来の目的である制御プログラム(この例では、車両用アンチロックブレ−キシステム用制御プログラム)とから構成されている。そして、出力ポ−トP1用のポ−ト操作命令を構成する一対のオンオフ命令(ポ−トP1オン命令とポ−トP1オフ命令)並びに出力ポ−トP2用のポ−ト操作命令を構成する一対のオンオフ命令(ポ−トP2オン命令とポ−トP2オフ命令)とは、監視対象となる制御プログラムを挟んでその前後に挿入されており、かつ一命令実行時間の遅れをもって順次に実行されるように相連続するステップとして挿入されている。
【0051】
すなわち、制御プログラムの前側にはポ−トP1オン命令とポ−トP2オン命令とが一命令実行時間の遅れをもって順次に実行されるように相連続するステップとして挿入されており、また監視対象となる制御プログラムの後ろ側にはポ−トP1オフ命令とポ−トP2オフ命令とが同様にして一命令実行時間の遅れをもって順次に実行されるように相連続するステップとして挿入されている。
【0052】
さらに、ポ−トP1オン命令並びにポ−トP2オン命令を挟んでその前後には割り込み禁止命令と割り込み許可命令とが挿入され、これによりポ−トP1オン命令とポ−トP2オン命令とは割り込み信号が到来しても必ず連続して実行されるように保証されている。同様にして、ポ−トP1オフ命令並びにポ−トP2オフ命令を挟んでその前後にも、割り込み禁止命令と割り込み許可命令とが挿入されており、これによりポ−トP1オフ命令とポ−トP2オフ命令とはその間に割り込み信号が到来しても必ず連続して実行されるように保証されている。
【0053】
さらに、ポ−トP1オフ命令並びにポ−トP2オフ命令に続くステップには、制御周期Tcの経過を監視する制御周期経過監視処理が含まれており、その結果ポ−トP1オン並びにポ−トP2オンのオン周期は、プログラムが正常に動作しているかぎり、ほぼ制御周期Tcに維持されるように成されている。
【0054】
以上の構成において、例えば電源投入後のパワ−オンリセット信号によりプログラムがスタ−トすると、システムイニシャライズ処理が実行された後(ステップ301)、制御プログラムの実行に先立ち、まず割り込み禁止処理が実行され(ステップ302)、その後ポ−トP1オン命令とポ−トP2オン命令とが1命令実行時間の遅れをもって順次に実行され(ステップ303,304)、その後、割り込み許可命令を実行して(ステップ305)、本来の制御プログラムの実行が開始される(ステップ306)。制御プログラム中には幾つかの分岐処理が存在するため、制御プログラムの実行時間はその時々の制御負荷の状態に応じて変化する。
【0055】
このようにして制御プログラムの実行が完了すると(ステップ306)、再び割り込み禁止命令が実行された後(ステップ307)、ポ−トP1オフ命令とポ−トP2オフ命令とが一命令実行時間の遅れをもって順次に実行され(ステップ308,309)、その後、割り込み許可命令が実行される(ステップ310)。以後、制御周期経過監視処理が実行されて、制御周期Tcの経過を待機し、制御周期Tcの経過とともに(ステップ311YES)、以上の処理(ステップ302〜ステップ311)が繰り返し実行される。その結果、出力ポ−トP1と出力ポ−トP2とからは、互いに1命令実行時間(この例では、1.6μs)のタイミングずれを有する2系統の周期的な状態信号が出力されるのである。この様に、出力ポ−トP1に関するポ−ト操作命令(ポ−トP1オン命令とポ−トP1オフ命令)と出力ポ−トP2に関するポ−ト操作命令(ポ−トP2オン命令とポ−トP2オフ命令)とは、監視対象プログラムである制御プログラムを互いに共有するようにして、制御プログラムを経由する制御ル−プ内に挿入されているのである。
【0056】
次に、第1の監視回路4並びに第2の監視回路5に於ける新たに想定された異常時の動作を図4のタイミングチャ−トを参照しながら説明する。なお、同図に於いて、(a)は出力ポ−トP1から出力され第2の監視回路の入力端子IN21に供給される状態信号、(b)は出力ポ−トP2から出力されて第2の監視回路の入力端子IN22に供給される状態信号、(c)は第2の監視回路内に於ける排他論理和ゲートE−ORの出力、(d)は第2の監視回路内のコンデンサC1の充電電圧、(e)は第2の監視回路の出力端子OUT2の信号、(f)は第1の監視回路内の微分回路DFの出力、(g)は第1の監視回路内のコンデンサCの充電電圧、(h)は第1の監視回路の出力端子OUT1の信号をそれぞれ示している。
【0057】
CPU3が正常に動作している場合、CPU3の出力ポ−トP1並びに出力ポ−トP2からは、監視対象となる制御プログラムの実行に連動して、各対のポ−ト操作命令(ポ−トP1オン命令及びポ−トP1オフ命令、並びに、ポ−トP2オン命令及びポ−トP2オフ命令)の実行タイミングの相違に対応する一定のタイミングずれ(この例では、一命令実行時間に相当する1.6μs)を相互に有する2系統の周期的な状態信号が出力される。これら2系統の状態信号に於けるオン時間Tonはその時々の制御プログラム実行時間に応じて変化するものであり、この例では4〜6.5ms程度に設定されている。また、各状態信号中に於けるオン周期Txは制御周期Tc(この例では7ms)に維持されている。先に説明したように、この様な状態においては、第1の監視回路4内に於けるコンデンサCの充電電圧Vcのピ−クは閾値電圧Vthに達することはなく、その結果第1の監視回路4の出力端子OUT1のレベルは“H”に維持されている。
【0058】
他方、第2の監視回路5内に於ける排他論理和ゲ−トE−ORの出力側には、前述したタイミングずれTDx(この例では、1.6μs)に相当する時間幅を有する“H”パルスが出力され、これによりコンデンサC1の充電電圧Vc1は充放電を繰り返すが、この状態に於ける充電電圧Vc1のピ−クは閾値電圧Vth1を越えることはなく、その結果出力端子OUT2のレベルについても“H”に維持されている。
【0059】
これに対して、時刻t13においてCPU3に何等かの異常動作が発生すると、その後に出力ポ−トP1から出力される状態信号は図中一点鎖線l1に示されるように“L”状態に固定されるはずであるが、このとき何等かの原因で別の命令がポ−トP1オン命令に化けて実行されると、時刻t12に於いて状態信号中に疑似オン出力が発生する。この様な場合、先に説明した周期監視型の監視回路のみでは、その後周期基準時間Trefが経過するまで、異常状態の発生を判定することができない。
【0060】
これに対して、本発明にあっては、時刻t12に於いて疑似オン出力が発生すると、以後ポ−トP1から出力される状態信号とポ−トP2から出力される状態信号との間に論理不一致が生ずるため、排他論理和ゲートE−ORの出力は“H”に固定され、その結果タイミングずれ基準時間TDrefの経過とともに、コンデンサC1の充電電圧Vc1は閾値電圧Vth1を越えることとなって、コンパレ−タCOMP1が作動し出力端子OUT2の信号は“H”から“L”へと変化し(尚、このとき、図中破線l2に示すように、OUT1も“H”から“L”になる)、CPU3に対してリセットが掛かることとなる。
【0061】
なお、本発明においては、ポ−トP1から出力される状態信号中に時刻t12に於いて疑似オン出力が発生した後、同様にしてポ−トP2の出力中にもそれより僅かに遅れて疑似オン出力が発生すれば、両状態信号間に於ける論理不一致は解消されて、出力端子OUT2のレベルは論理“H”に維持されてしまい、CPUにリセットは掛からない。しかし、このような状態は確率的にほとんど起こり得ない。なぜなら、そもそも時刻t12に疑似オン出力が発生するというのは、何等かの命令のオペランドがポ−トP1出力命令のオペランドに化けて実行されるという極めて希な状態であって、それに続いてポ−トP2の出力中にも同様な疑似オン出力が発生するなどという確率は極めて低いことに加え、さらにそれらの疑似オン出力の発生がタイミングずれ基準時間TDref内において重なるなどと云う確率は、ほとんど無視できる程度に極めて低い。なお、この例では、タイミングずれ基準時間TDrefとしては98.6μsが採用されているが、このタイミングずれ基準時間TDrefの値は、原理的には限りなくタイミングずれ時間TDx(この例では1.6μs)に近付けることができる。そして、このタイミングずれ基準時間TDrefの値を短くすればするほど、それらの間に2つの状態信号中に共に疑似オン出力が発生する可能性は一層低くなり、実用上は無視できる程度にまで低下させることができる。しかも、このタイミングずれ基準時間TDrefを短くすればするほど、疑似オン出力が発生した後CPU異常発生を判定する応答時間は短くなり、この様な異常発生を可及的速やかに判定可能となるのである。
【0062】
なお、従来より想定されている動作異常に対しては、ポ−トP1から出力される状態信号の値が“H”もしくは“L”に固定されると、最新のオン出力(正常オン出力もしくは疑似オン出力)から周期基準時間Trefが経過した時点において、出力端子OUT1のレベルは図中実線に示されるように、“H”から“L”へと変化し、この変化に応答してCPU3にリセットが掛かる。
【0063】
そのため、図1並びに図2に示される2つの監視回路4,5を備えたマイクロコンピュ−タシステムにおいては、状態信号のレベルが“H”若しくは“L”に固定される異常動作時と、状態信号中に疑似オン出力が発生する動作異常状態のいずれにも的確に対応することができ、この種マイクロコンピュ−タに於ける動作異常をより精密に監視し、この種のコンピュ−タシステムに於ける信頼性を著しく向上させることができる。
【0064】
以上の実施の形態においては、第2の監視回路5において、2つの状態信号相互に於ける立ち上がりエッジと立ち下がりエッジの双方のずれを監視しているが、必要に応じて立ち上がりエッジもしくは立ち下がりエッジのいづれかのずれを監視するようにしても良い。
【0065】
なお、言うまでもないことであるが、図2に示された第1の監視回路4並びに第2の監視回路5の具体的な回路構成は、その一例にすぎないものである。すなわち、第1の監視回路4としては、ポートP1から出力される状態信号のオンタイミング若しくはオフタイミングが到来する毎に、基準時間(タイマ時間)Trefの計時動作を繰り返し、計時完了と共に出力端子OUT1から“L”を出力するタイマとして機能するものであればよく、また第2の監視回路5としては、ポートP1並びにポートP2から出力される2系統の状態信号相互間に論理不一致が生ずる毎に、基準時間(タイマ時間)TDrefの計時動作を繰り返し、計時完了と共に出力端子OUT2から“L”を出力するタイマとして機能するものであればよい。このような機能を有するタイマに関しては、当業者であれば様々な具体的な変形例が想起されるであろう。
【0066】
また、図2に示される監視回路4,5は、タイマ回路における計時動作を中心として説明を行う関係から、当業者には当然に理解されるとして、CPU3のリセット受付保証時間については配慮されていない。これについては、例えば第1の監視回路4の場合であれば、例えば、コンパレータCOMPとしてヒステリシス特性を有するものを採用して、リセット端子RSTの“L”状態がリセット受付保証時間だけ維持されるように構成すればよいであろう。また、第2の監視回路5の場合であれば、例えば、コンパレータCOMP1として同様なヒステリシス特性を有するものを採用する一方、ダイオードDと直列に微小な放電用抵抗を挿入したり、或いはダイオードDを除去して抵抗8の値を適切に設計し、これによりリセット端子RSTの“L”状態がリセット受付保証時間だけ維持されるように構成すればよいであろう。
【0067】
【発明の効果】
以上の説明から明らかなように、本発明によれば、別の命令がポ−トオン命令若しくはポ−トオフ命令に化けて実行された結果、当該ポートから出力される状態信号中に疑似オン出力もしくは疑似オフ出力が得られる如き異常動作であつても、これを可及的速やかに異常と判定することができ、この種異常判定に於ける信頼性を著しく向上させることができる。
【図面の簡単な説明】
【図1】本発明が適用されたマイクロコンピュータシステムのハードウェア構成を概略的に示すブロック図である。
【図2】周期監視型の第1の監視回路並びにタイミングずれ監視型の第2の監視回路の内部構成を詳細に示す回路図である。
【図3】本発明が適用されたCPUのROM内に格納されたシステムプログラムの構成を概略的に示すフローチャートである。
【図4】図2に示される第1並びに第2の監視回路におけ異常時の動作を説明するためのタイミングチャートである。
【図5】従来のマイクロコンピュータシステムのハードウェア構成を概略的に示すブロック図である。
【図6】従来のマイクロコンピュータシステムに適用された監視回路の内部構成を詳細に示す回路図である。
【図7】従来のCPU内のROMに格納されたシステムプログラムの構成を概略的に示すフローチャートである。
【図8】従来の監視回路に於ける想定される異常時の動作を説明するためのタイミングチャートである。
【図9】従来の監視回路に於ける想定されていない異常時の動作(1)を示すタイミングチャートである。
【図10】従来の監視回路に於ける想定されていない異常時の動作(2)を示すタイミングチャートである。
【符号の説明】
1,3 CPU
2 監視回路
4 周期監視型の監視回路である第1の監視回路
5 タイミングずれ監視型の監視回路である第2の監視回路
DF 微分回路
Q トランジスタ
C.C1 コンデンサ
D ダイオード
E−OR 排他論理和ゲート
R1〜R10 抵抗
COMP.COMP1 コンパレータ
OP.OP1 演算増幅器

Claims (2)

  1. 1命令の実行により同時には操作できないように別個のアドレスにそれぞれ割り当てられた複数の出力ポートと、前記複数の出力ポートのそれぞれ毎に設けられかつ監視対象プログラムを互いに共有するようにして当該監視プログラムの一巡実行ループ中に、1命令実行時間の遅れを持って順次に実行されるように相連続するステップとして、前記監視対象プログラムを挟んでその前後に挿入された状態信号送出用のオンオフ一対の複数のポート操作命令を格納したROMと、を含み、それにより、前記監視対象プログラムの実行に連動して、前記複数の出力ポートから、前記各対のポート操作命令の実行タイミングの相違に対応する一定のタイミングズレを相互に有する複数の周期的な状態信号を出力するように構成したマイクロコンピュータと、
    前記マイクロコンピュータの前記複数の出力ポートから出力される複数の周期的な状態信号の少なくとも2つに着目して、両者間に論理不一致が生ずる毎に、所定の時間だけ計時動作を繰り返し、前記計時動作の完了と共に計時完了信号を出力するタイマを有し、前記タイマによって、両者間におけるタイミングズレを監視し、そのタイミングズレが規定範囲を外れたことに基づいて前記マイクロコンピュータの動作異常を判定するタイミング監視回路と、
    を具備することを特徴とするマイクロコンピュータの動作監視装置
  2. 前記監視対象プログラムの前側並びに後側に相連続するステップとして挿入された一連のポート操作命令の前後には割り込み禁止命令と割り込み許可命令とが挿入されていることを特徴とする請求項1に記載のマイクロコンピュータの動作監視装置。
JP18683696A 1996-06-27 1996-06-27 マイクロコンピュータの動作監視装置 Expired - Fee Related JP3710565B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP18683696A JP3710565B2 (ja) 1996-06-27 1996-06-27 マイクロコンピュータの動作監視装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP18683696A JP3710565B2 (ja) 1996-06-27 1996-06-27 マイクロコンピュータの動作監視装置

Publications (2)

Publication Number Publication Date
JPH1021120A JPH1021120A (ja) 1998-01-23
JP3710565B2 true JP3710565B2 (ja) 2005-10-26

Family

ID=16195486

Family Applications (1)

Application Number Title Priority Date Filing Date
JP18683696A Expired - Fee Related JP3710565B2 (ja) 1996-06-27 1996-06-27 マイクロコンピュータの動作監視装置

Country Status (1)

Country Link
JP (1) JP3710565B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5477654B2 (ja) * 2010-10-22 2014-04-23 株式会社デンソー 電子制御装置、及び、これを用いた電動パワーステアリング装置

Also Published As

Publication number Publication date
JPH1021120A (ja) 1998-01-23

Similar Documents

Publication Publication Date Title
US4405982A (en) Arrangement for monitoring the function of a programmable electronic switching circuit
EP2783266B1 (en) Microprocessor, and method of managing reset events therefor
US6487246B1 (en) Method and apparatus for programmable pulse width modulated signal generation with period and duty cycle values updated with controlled relative timing
US5541943A (en) Watchdog timer lock-up prevention circuit
JP3710565B2 (ja) マイクロコンピュータの動作監視装置
JP4876093B2 (ja) 制御装置のタスク管理装置、及び、制御装置のタスク管理方法
JPH06175751A (ja) Cpuリセット回路
JP3308670B2 (ja) イベントドリブン型処理装置の故障検出装置
JP2752814B2 (ja) ウォッチドッグ断アラーム処理装置
JPH0581138A (ja) マイクロプログラム制御装置
JP3219438B2 (ja) 入出力制御装置の状況記憶方式
JP2922309B2 (ja) プロセス信号の出力方法及び出力回路
US20180238963A1 (en) Overriding a signal in a semiconductor chip
JPH09237205A (ja) プログラム暴走検出装置
KR20000009469A (ko) 타이머 회로
JPH03266110A (ja) コンピュータのリセット装置
JP2008146597A (ja) バスシステム
JPS6253860B2 (ja)
JP3144811B2 (ja) 監視タイマ回路
JPH0528093A (ja) バースト転送終了割込信号発生回路
JPH09212201A (ja) 生産設備用制御回路
JPH04106637A (ja) ストール検出回路
JPH05143478A (ja) 不揮発性メモリ内容保護装置
JP2000151388A (ja) 出力保護装置及び出力保護方法
JPH08139576A (ja) 接点雑音除去回路

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20041207

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050207

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050802

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050810

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090819

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090819

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100819

Year of fee payment: 5

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313117

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100819

Year of fee payment: 5

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100819

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110819

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110819

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120819

Year of fee payment: 7

LAPS Cancellation because of no payment of annual fees