JP5163807B2 - マイコン相互監視システム及びマイコン相互監視方法 - Google Patents

マイコン相互監視システム及びマイコン相互監視方法 Download PDF

Info

Publication number
JP5163807B2
JP5163807B2 JP2011504078A JP2011504078A JP5163807B2 JP 5163807 B2 JP5163807 B2 JP 5163807B2 JP 2011504078 A JP2011504078 A JP 2011504078A JP 2011504078 A JP2011504078 A JP 2011504078A JP 5163807 B2 JP5163807 B2 JP 5163807B2
Authority
JP
Japan
Prior art keywords
microcomputer
monitoring
reset
calculation result
function
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2011504078A
Other languages
English (en)
Other versions
JPWO2011114493A1 (ja
Inventor
昌亮 村尾
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Application granted granted Critical
Publication of JP5163807B2 publication Critical patent/JP5163807B2/ja
Publication of JPWO2011114493A1 publication Critical patent/JPWO2011114493A1/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1654Error detection by comparing the output of redundant processing systems where the output of only one of the redundant processing components can drive the attached hardware, e.g. memory or I/O
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1637Error detection by comparing the output of redundant processing systems using additional compare functionality in one or some but not all of the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/26Functional testing
    • G06F11/273Tester hardware, i.e. output processing circuits
    • G06F11/277Tester hardware, i.e. output processing circuits with comparison between actual response and known fault-free response
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3013Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Hardware Redundancy (AREA)
  • Debugging And Monitoring (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)

Description

【技術分野】
【0001】
本発明は、第1マイコンと第2マイコンとで相互監視を行うマイコン相互監視システム及びマイコン相互監視方法等に関する。
【背景技術】
【0002】
従来から、2つのCPUを主CPUと予備CPUとして用い、相互に補完し合うようにしたCPU補完システムにおけるCPU間相互監視方法が知られている(例えば、特許文献1参照)。このCPU間相互監視方法では、処理の途中で主CPUの障害により、主CPUが動作不可能な状態になった場合には、予備CPUで処理の途中であったタスクの処理から動作を開始するようにしている。
【0003】
また、サブマイコンが演算監視処理の各制御処理をその処理時間内に実行できない場合にランパルス信号を停止して、メインマイコン及びサブマイコンを共にリセットする演算装置が知られている(例えば、特許文献2参照)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】
特開平7−64930号公報
【特許文献2】
特許第4003420号
【発明の概要】
【発明が解決しようとする課題】
【0005】
ところで、2つのマイコン(ここでは、メインマイコンとサブマイコンという)を備えるシステムでは、相互にALUを監視し、相手側のマイコンの異常を検出した際に、相手側のマイコンをリセットし、復帰を試みることが行われている。
【0006】
一般的に、メインマイコンは、サブマイコンによる監視(ランパルスチェック、通信チェック、ALU演算チェック)以外にも監視ICからのランパルスチェックを受けているが、通信チェック、ALU演算チェック等を監視ICで実現するのには要件が複雑すぎるため、サブマイコンがリセットされている間は、通信チェック、ALU演算チェック等を行うことができない。
【0007】
特に近年ではコスト低減のためにECUの機能統合が進んでいるが、サブマイコンに搭載された制御ソフトウェアが異常検出した場合にサブマイコンをリセットしたいケースがある。その際、搭載システム毎にマイコンリセット要件が異なる場合でも、マイコン構造上、一部分のみのリセットは不可能であるため、どれか1つの搭載システムでリセットの必要性があればサブマイコン全体をリセットせざるを得ない、この結果、どれか1つの搭載システムでリセットの必要性があれば、友連れでメインマイコンの監視機能が停止してしまう。
【0008】
この点、サブマイコンがリセットされている間、メインマイコンの監視ができないにも拘わらずメインマイコンの処理を継続する構成では、システムとして信頼性が低下するという問題点がある。
【0009】
他方、サブマイコンがリセットされている間は、メインマイコンの監視ができないことから、メインマイコンの処理を中止する(リセットする)構成(例えば、特許文献2参照)が考えられる。しかしながら、かかる構成では、メインマイコンが正常か異常かに拘わらずメインマイコンがリセットされるので、商品性が低下するという問題点がある。
【0010】
そこで、本発明は、システムとして信頼性を維持しつつ商品性の低下を防止することができるマイコン相互監視システム及びマイコン相互監視方法等の提供を目的とする。
【課題を解決するための手段】
【0011】
上記目的を達成するため、本発明の一局面によれば、第1マイコンと第2マイコンとで相互監視を行うマイコン相互監視システムであって、
第2マイコンの異常の発生により第2マイコンのリセットが実施された場合に、該リセット中は、第2マイコンの監視機能による第1マイコンの監視に代えて、第1マイコン内部に実装した代替の監視機能により第1マイコンの監視を実行し、
第2マイコンのリセット実施前において第2マイコンによる第1マイコンの監視のために第1マイコンが演算した演算式及びそれに対応する演算結果が、第1マイコンにおいて記憶データとして記憶され、前記代替の監視機能は、第2マイコンのリセット中において該記憶データ内の演算式を第1マイコンが再度演算した演算結果と該記憶データ内の対応する演算結果とを比較することで、第2マイコンのリセット中における第1マイコンの監視を実現することを特徴とする、マイコン相互監視システムが提供される。
【0012】
本発明のその他の一局面によれば、他のマイコンにより監視されるマイコンであって、
内部に実装した代替の監視機能を備え、
前記他のマイコンのリセット実施前において前記他のマイコンによる当該マイコンの監視のために当該マイコンが演算した演算式及びそれに対応する演算結果が、当該マイコンにおいて記憶データとして記憶され、
前記代替の監視機能は、前記他のマイコンのリセットが実施される場合にその旨の通知を受けるように構成され、
前記代替の監視機能は、前記通知を受けた場合に、前記他のマイコンのリセット中において該記憶データ内の演算式を当該マイコンが再度演算した演算結果と該記憶データ内の対応する演算結果とを比較することで、当該マイコンの監視を実行するように構成されることを特徴とする、マイコンが提供される。
【0013】
本発明のその他の一局面によれば、第1マイコンと第2マイコンとで相互監視を行うマイコン相互監視方法であって、
第2マイコンのリセット実施前において第2マイコンによる第1マイコンの監視のために第1マイコンが演算した演算式及びそれに対応する演算結果を、第1マイコンにおいて記憶データとして記憶する記憶段階と、
第2マイコンの異常を検出する段階と、
第2マイコンの異常を検出した場合に、第2マイコンのリセットを実施するリセット段階と、
前記リセット段階中は、第2マイコンの監視機能による第1マイコンの監視に代えて、第1マイコン内部に実装した代替の監視機能により第1マイコンの監視を実行する段階とを含み、前記代替の監視機能は、第2マイコンのリセット中、前記記憶段階で取得した記憶データ内の演算式を第1マイコンが再度演算した演算結果と該記憶データ内の対応する演算結果とを比較することで、第2マイコンのリセット中における第1マイコンの監視を実現する、マイコン相互監視方法が提供される。
発明の効果
[0014]
本発明によれば、システムとして信頼性を維持しつつ商品性の低下を防止することができるマイコン相互監視システム及びマイコン相互監視方法が得られる。
【図面の簡単な説明】
[0015]
[図1]本発明の一実施例によるマイコン相互監視システム10の要部のハードウェア構成を示す図である。
[図2]マイコン相互監視システム10の主要機能(ソフトウェア構成)を示す図である。
【図3】本実施例のマイコン相互監視システム10により実行されるマイコン相互監視方法の一例を示すフローチャートである。
【発明を実施するための形態】
【0016】
以下、図面を参照して、本発明を実施するための最良の形態の説明を行う。
【0017】
図1は、本発明の一実施例によるマイコン相互監視システム10の要部のハードウェア構成を示す図である。
【0018】
マイコン相互監視システム10は、メインマイクロコンピュータ(以下、メインマイコンという。)11と、サブマイクロコンピュータ(以下、サブマイコンという。)12と、監視回路13とを含む。尚、メインマイコン11及びサブマイコン12は、それぞれ1チップマイコンであってよい。監視回路13は、IC(例えばウォッチドッグタイマを含む電源IC)等から構成されてよい。
【0019】
メインマイコン11は車両制御を行うためのものであって、メインCPU14、ROM15、RAM16等から構成されている。メインマイコン11は、車両制御を行うためのメイン制御ルーチンを所定の処理周期(例えば500μsec)のタイマ割り込みで繰り返し実行する。車両制御は、任意であるが、例えば車両がハイブリッド車の場合、ハイブリッドシステムの制御であってもよい。
【0020】
サブマイコン12はメインマイコン11がメイン制御ルーチンの各制御処理で実行する演算処理が正常に実行されているか否かを監視するためのものであって、メインマイコン11よりも処理能力が低いサブCPU17と、ROM18及びRAM19等から構成されている。サブマイコン12は、メインマイコン11の演算内容を監視するための演算監視ルーチンのみをメイン制御ルーチンよりも長い所定の監視周期(例えば、5msec)で繰り返し実行するものであってよい。但し、サブマイコン12は、メインマイコン11の監視機能に加えて、車両制御等の他の機能を実現するマイコンであってもよい。
【0021】
図2は、マイコン相互監視システム10の主要機能(ソフトウェア構成)を示す図である。図2には、メインマイコン11とサブマイコン12との間でやり取りされる主要な情報・信号出力、及び、メインマイコン11と監視回路13との間の主要な信号出力が併せて示されている。
【0022】
メインマイコン11は、ALU演算機能141と、代替監視機能142と、演算監視機能143と、異常判定フェールセーフ機能144と、リセット実施機能145と、他監視機能146とを含む。これらの各種機能は、メインマイコン11のメインCPU14が、メインマイコン11のROM15に記憶された各種ソフトウェアを実行することで実現されてよい。
【0023】
サブマイコン12は、ALU演算機能171と、演算監視機能173と、異常判定フェールセーフ機能174と、リセット実施機能175と、他監視機能176とを含む。これらの各種機能は、サブマイコン12のサブCPU17が、サブマイコン12のROM18に記憶された各種ソフトウェアを実行することで実現されてよい。
【0024】
マイコン相互監視システム10は、主なる特徴的な構成として、次の2つの構成を備える。
(1)サブマイコン12のリセット状態を、メインマイコン11の代替監視機能142に通知する。
(2)メインマイコン11の代替監視機能142が、サブマイコン12のリセット後、サブマイコン12の復帰までの間、メインマイコン11の監視を行う。
【0025】
図2に示す例では、上記の構成(1)を実現するため、以下の具体的な構成を備える。サブマイコン12の他監視機能176は、サブマイコン12の異常を検出した場合、サブマイコン12自体をリセットさせる。その際、リセット実施前にメインマイコン11の代替監視機能142へサブマイコン12自身のリセット実施を通知する(図2の矢印Y1参照)。また、メインマイコン11の演算監視機能143等がサブマイコン12の異常(ランパルス、通信、ALU演算の異常)を検出した場合には、メインマイコン11の異常判定フェールセーフ機能144を介してリセット実施機能145がサブマイコン12のリセットを実施する。その際、メインマイコン11の異常判定フェールセーフ機能144は、サブマイコン12のリセットを実施することを、メインマイコン11の代替監視機能142に通知する(図2の矢印Y2参照)。
【0026】
図2に示す例では、上記の構成(2)を実現するため、以下の具体的な構成を備える。メインマイコン11の代替監視機能142は、サブマイコン12の他監視機能176からのリセットの通知を受け取り、若しくは、メインマイコン11内部のソフトウェアからのサブマイコン12のリセット実施の記憶を受け取り、サブマイコン12が復帰するまでの間、サブマイコン12の演算監視機能173(リセット中により機能停止)に代えて、メインマイコン11の監視機能を実現する。
【0027】
メインマイコン11の代替監視機能142による監視方法は、メインマイコン11の異常(ALU演算の異常等)を適切に検出できるものであれば任意の方法であってよい。例えば、予めROM15に記憶されている演算問題(演算式)を読み出し、読み出した演算問題をメインマイコン11のALU14aにより演算し、その演算結果を、予めROM15に記憶されている答えと比較してもよい。この際、演算問題及び答えは、代替監視機能142用に特別に用意されたものであってよいし、サブマイコン12の監視用(即ち、演算監視機能143用)に用意されたものが流用されてもよい。この場合、上述の特許文献2に開示される方法のように、演算問題及び答えは、一連の複数組用意されてもよく、また、答えとしては意図的に誤った答えが用意されてもよい。
【0028】
メインマイコン11の代替監視機能142による監視方法のその他の好ましい実施例として、過去のメインマイコン11の監視(サブマイコン12の演算監視機能173による監視)に利用された演算問題及び答えのそれぞれの記憶値が利用されてもよい。具体的には、サブマイコン12の演算監視機能173が機能している間、メインマイコン11内で演算した演算問題とその演算結果(サブマイコン12に送信した演算結果)とを対応付けてメインマイコン11内のメモリ(例えばRAM16)に記憶しておく(図2の矢印Y3参照)。サブマイコン12のリセット中は、メモリに記憶しておいた演算問題を実施し、それに対応付けて記憶しておいた演算結果と比較する(図2の矢印Y4参照)。尚、メインマイコン11の代替監視機能142の実行中は、演算問題及び演算結果のメモリへの記憶は行わない。ここで、サブマイコン12の演算監視機能173が機能している間は、メインマイコン11自体もリセットされていない状況であるため、サブマイコン12の演算監視機能173にて監視されているメインマイコン11の演算結果は、正常な結果であるはずである。即ち、メインマイコン11の演算結果に異常があればメインマイコン11がリセットされているはずであるので、メインマイコン11がリセットされていない状況におけるメインマイコン11の演算結果は、正常な結果であるはずである。従って、かかるサブマイコン12の正常時の演算問題及び演算結果を流用することで、効率的にメインマイコン11の監視を適切に実行することができる。
【0029】
メインマイコン11の代替監視機能142は、メインマイコン11のALU14aの演算結果とそれに対応する答えとを比較し、それらが一致していれば、監視回路13へのランパルスを継続して出力する。他方、メインマイコン11のALU14aの演算結果とそれに対応する答えとが不一致である場合は、メインマイコン11の代替監視機能142は、監視回路13へのランパルスを停止する(図2の矢印Y5参照)。この場合、監視回路13は、メインマイコン11をリセットさせる等のフェールセーフを実施する(図2の矢印Y6参照)。
【0030】
図3は、本実施例のマイコン相互監視システム10により実行されるマイコン相互監視方法の一例を示すフローチャートである。
【0031】
ステップ300では、メインマイコン11の代替監視機能142に、サブマイコン12の他監視機能176からサブマイコン12のリセットを実施する旨の通知があったか否かが判定される。サブマイコン12のリセットの通知があった場合は、ステップ308に進む。サブマイコン12のリセットの通知がない場合は、ステップ302に進む。
【0032】
ステップ302では、メインマイコン11の演算監視機能143等がサブマイコン12の異常(ランパルス、通信、ALU演算の異常)を検出したか否かが判定される。サブマイコン12の異常が検出された場合は、ステップ306に進み、サブマイコン12の異常が検出されない場合は、ステップ304に進む。
【0033】
ステップ304では、ALUの監視方法が通常方法に設定される。
【0034】
ステップ306では、サブマイコン12のリセットが実施される。
【0035】
ステップ308では、ALUの監視方法が代替方法に設定される。
【0036】
ステップ310では、ALUの監視方法が通常方法に設定されたか代替方法に設定されたが判定される。上記のステップ304にてALUの監視方法が通常方法に設定された場合は、ステップ312に進む。上記のステップ308にてALUの監視方法が代替方法に設定された場合は、ステップ318に進む。
【0037】
ステップ312では、サブマイコン12の演算監視機能173による監視のためにメインマイコン11のALU14aが、サブマイコン12から通知された演算式の演算を実施する。尚、サブマイコン12からの演算式は、サブマイコン12のROM18に予め記憶され、順次読み出されて通知される。
【0038】
ステップ314では、メインマイコン11の代替監視機能142による将来的に生じうる監視のために、上記ステップ312で得た演算式と演算結果とを対応付けて、メインマイコン11のメモリ(例えばRAM16)に退避させる。この演算式と演算結果の記憶は、常に最新の所定数の組が維持されるようにFIFO方式で記憶されてもよいし、所定数の組が記憶された後は停止されてもよい。尚、メインマイコン11のメモリに記憶される演算式と演算結果は、メインマイコン11がリセットされた場合はそれに伴い消去(クリア)される。
【0039】
ステップ316では、上記ステップ312で得た演算結果がサブマイコン12に通知される。尚、この通知を受けて、サブマイコン12の演算監視機能173は、上記ステップ312で通知した演算式に対応する答えと、今回の通知を受けた演算結果とを比較する。そして、これらが一致していれば、メインマイコン11が正常であると判断し、リセット等のフェールセーフを実行しない。他方、メインマイコン11のALU14aの演算結果とそれに対応する答えとが不一致である場合は、サブマイコン12の異常判定フェールセーフ機能174を介してリセット実施機能175がメインマイコン11のリセットを実施する。
【0040】
ステップ318では、メインマイコン11のALU14aが、メモリに記憶された演算式(上記ステップ314参照)を読み出し、読み出した演算式の演算を実施する。
【0041】
ステップ320では、メインマイコン11の代替監視機能142において、上記ステップ318で読み出した演算式に対応する答え(過去の演算結果、上記ステップ314参照)が読み出される。
【0042】
ステップ322では、メインマイコン11の代替監視機能142において、上記ステップ318で実施された演算結果と、上記ステップ320で読み出した答えとを比較する。比較の結果、上記ステップ318で実施された演算結果と、上記ステップ320で読み出した答えとが一致する場合は,ステップ324に進み、不一致の場合は、ステップ326に進む。
【0043】
ステップ324では、メインマイコン11の代替監視機能142は、監視回路13へのランパルスを継続して出力する。
【0044】
ステップ326では、メインマイコン11の代替監視機能142は、監視回路13へのランパルスを停止する。この場合、監視回路13は、メインマイコン11をリセットさせる等のフェールセーフを実施する。
【0045】
以上説明した本実施例によれば、とりわけ、以下のような優れた効果が奏される。
【0046】
サブマイコン12をリセットしている間でも、メインマイコン11単独で同等のALU異常検査を実現できるため、サブマイコン12をリセットしている間でも、メインマイコン11の処理を停止することなく、システムの信頼性ないし安全性を確保することができる。
【0047】
また、メインマイコン11の代替監視機能142及びこれに関連する機能は、外部に特殊なハードウェア回路やIC等が不要であり、ソフトウェアのみで実現できるため、低コストである。
【0048】
また、図3を参照した処理のように、サブマイコン12が正常でメインマイコン11を適切に監視できていたときの演算式と演算結果のそれぞれの記憶値を流用する場合には、効率的な態様で、メインマイコン11内部での自身の監視に対して必要な信頼性を確保することができる。
【0049】
以上、本発明の好ましい実施例について詳説したが、本発明は、上述した実施例に制限されることはなく、本発明の範囲を逸脱することなく、上述した実施例に種々の変形及び置換を加えることができる。
【0050】
例えば、上述した実施例では、メインマイコン11側に、代替監視機能142及びこれに関連する機能を搭載しているが、これに代えて若しくは加えて、サブマイコン12側に、同様の代替監視機能及びこれに関連する機能を搭載してもよい。即ち、サブマイコン12は、メインマイコン11の演算監視機能143に代えて、メインマイコン11のリセット中にサブマイコン12自身を監視するための代替監視機能を備えてもよい。かかる構成は、特に、サブマイコン12がメインマイコン11の監視機能以外の制御機能(車両制御機能等)を有する場合に好適である。これは、メインマイコン11をリセットしている間でも、当該制御機能を停止することなく、システムの信頼性ないし安全性を確保することができるためである。
【0051】
また、上述した実施例は、メインマイコン11とサブマイコン12との間の相互監視システムに関するものであるが、3つ以上のマイコン間での相互監視システムにも拡張して適用可能である。
【0052】
また、上述した実施例は、メインマイコン11とサブマイコン12との間の相互監視システムに関するものであるが、2つのCPUコア間の相互監視システムにおいても同様に適用可能である。即ち、マルチコアマイコンにおいて各CPUコア間の相互監視システムにおいても同様に適用可能である。
【符号の説明】
【0053】
10 マイコン相互監視システム
11 メインマイコン
12 サブマイコン
13 監視回路
14 メインCPU
14a メインマイコン内のALU
15 メインマイコン内のROM
16 メインマイコン内のRAM
17 サブCPU
18 サブマイコン内のROM
19 サブマイコン内のRAM
141 メインマイコン内のALU演算機能
142 メインマイコン内の代替監視機能
143 メインマイコン内の演算監視機能
144 メインマイコン内の異常判定フェールセーフ機能
145 メインマイコン内のリセット実施機能
146 メインマイコン内の他監視機能
171 サブマイコン内のALU演算機能
173 サブマイコン内の演算監視機能
174 サブマイコン内の異常判定フェールセーフ機能
175 サブマイコン内のリセット実施機能
176 サブマイコン内の他監視機能

Claims (4)

  1. 第1マイコンと第2マイコンとで相互監視を行うマイコン相互監視システムであって、
    第2マイコンの異常の発生により第2マイコンのリセットが実施された場合に、該リセット中は、第2マイコンの監視機能による第1マイコンの監視に代えて、第1マイコン内部に実装した代替の監視機能により第1マイコンの監視を実行し、
    第2マイコンのリセット実施前において第2マイコンによる第1マイコンの監視のために第1マイコンが演算した演算式及びそれに対応する演算結果が、第1マイコンにおいて記憶データとして記憶され、前記代替の監視機能は、第2マイコンのリセット中において該記憶データ内の演算式を第1マイコンが再度演算した演算結果と該記憶データ内の対応する演算結果とを比較することで、第2マイコンのリセット中における第1マイコンの監視を実現することを特徴とする、マイコン相互監視システム。
  2. 第1マイコンに接続される監視回路を備え、
    前記代替の監視機能が第1マイコンの異常を検出した場合は、前記監視回路により第1マイコンのリセットを実施する、請求項1に記載のマイコン相互監視システム。
  3. 他のマイコンにより監視されるマイコンであって、
    内部に実装した代替の監視機能を備え、
    前記他のマイコンのリセット実施前において前記他のマイコンによる当該マイコンの監視のために当該マイコンが演算した演算式及びそれに対応する演算結果が、当該マイコンにおいて記憶データとして記憶され、
    前記代替の監視機能は、前記他のマイコンのリセットが実施される場合にその旨の通知を受けるように構成され、
    前記代替の監視機能は、前記通知を受けた場合に、前記他のマイコンのリセット中において該記憶データ内の演算式を当該マイコンが再度演算した演算結果と該記憶データ内の対応する演算結果とを比較することで、当該マイコンの監視を実行するように構成されることを特徴とする、マイコン。
  4. 第1マイコンと第2マイコンとで相互監視を行うマイコン相互監視方法であって、
    第2マイコンのリセット実施前において第2マイコンによる第1マイコンの監視のために第1マイコンが演算した演算式及びそれに対応する演算結果を、第1マイコンにおいて記憶データとして記憶する記憶段階と、
    第2マイコンの異常を検出する段階と、
    第2マイコンの異常を検出した場合に、第2マイコンのリセットを実施するリセット段階と、
    前記リセット段階中は、第2マイコンの監視機能による第1マイコンの監視に代えて、第1マイコン内部に実装した代替の監視機能により第1マイコンの監視を実行する段階とを含み、前記代替の監視機能は、第2マイコンのリセット中、前記記憶段階で取得した記憶データ内の演算式を第1マイコンが再度演算した演算結果と該記憶データ内の対応する演算結果とを比較することで、第2マイコンのリセット中における第1マイコンの監視を実現する、マイコン相互監視方法。
JP2011504078A 2010-03-18 2010-03-18 マイコン相互監視システム及びマイコン相互監視方法 Expired - Fee Related JP5163807B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2010/054699 WO2011114493A1 (ja) 2010-03-18 2010-03-18 マイコン相互監視システム及びマイコン相互監視方法

Publications (2)

Publication Number Publication Date
JP5163807B2 true JP5163807B2 (ja) 2013-03-13
JPWO2011114493A1 JPWO2011114493A1 (ja) 2013-06-27

Family

ID=44648622

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011504078A Expired - Fee Related JP5163807B2 (ja) 2010-03-18 2010-03-18 マイコン相互監視システム及びマイコン相互監視方法

Country Status (5)

Country Link
US (1) US8495433B2 (ja)
JP (1) JP5163807B2 (ja)
CN (1) CN102782655B (ja)
DE (1) DE112010005400T5 (ja)
WO (1) WO2011114493A1 (ja)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014102662A (ja) * 2012-11-19 2014-06-05 Nikki Co Ltd マイクロコンピュータ暴走監視装置
JP5971101B2 (ja) * 2012-12-06 2016-08-17 株式会社デンソー データ処理装置
JP6036578B2 (ja) 2013-03-08 2016-11-30 株式会社デンソー データ処理装置
WO2014149053A1 (en) 2013-03-22 2014-09-25 Empire Technology Development, Llc Instance monitor
US10007570B2 (en) 2013-12-04 2018-06-26 Mitsubishi Electric Corporation Monitoring unit, control system, and computer readable medium
JP5902778B1 (ja) * 2014-09-03 2016-04-13 ファナック株式会社 周辺機器を安全に制御する機能を有する工作機械
CN105892347B (zh) * 2015-01-26 2018-10-30 北京电子工程总体研究所 一种基于仲裁技术的双单片机检测装置及方法
JP6520962B2 (ja) * 2017-01-18 2019-05-29 トヨタ自動車株式会社 監視システム
DE112018003011T5 (de) * 2017-06-14 2020-03-05 Hitachi Automotive Systems, Ltd. Steuervorrichtung für fahrzeugmontierte Einrichtung
JP2019053452A (ja) * 2017-09-14 2019-04-04 株式会社明電舎 情報処理装置
JP2019179410A (ja) * 2018-03-30 2019-10-17 株式会社デンソー 半導体装置
CN110780891B (zh) * 2019-11-01 2023-12-22 北京车和家信息技术有限公司 监控系统的部署方法及部署装置
US20230001939A1 (en) * 2019-12-05 2023-01-05 Hitachi Astemo, Ltd. Vehicle mounted electronic control apparatus
DE102021206379A1 (de) * 2021-06-22 2022-12-22 Continental Autonomous Mobility Germany GmbH Steuereinrichtung sowie Assistenzsystem für ein Fahrzeug

Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6027421B2 (ja) * 1979-12-29 1985-06-28 富士通株式会社 マルチシステムの監視・制御方式
JPH06131314A (ja) * 1992-10-22 1994-05-13 Toyota Motor Corp 中央処理装置の異常監視装置
JPH0764930A (ja) * 1993-08-31 1995-03-10 Matsushita Electric Works Ltd Cpu間相互監視方法
JPH08305675A (ja) * 1995-04-28 1996-11-22 Nippon Denki Ido Tsushin Kk マルチプロセッサシステムおよびその運転管理方 法
JPH11184734A (ja) * 1997-12-24 1999-07-09 Ando Electric Co Ltd Cpuの相互監視装置
JP2001175494A (ja) * 1999-12-14 2001-06-29 Nec Corp マイクロプロセッサの演算処理の正常性を二重に診断する方式及びその方法
JP2001282302A (ja) * 2000-04-03 2001-10-12 Toyota Motor Corp 原動機を用いた移動体の制御装置におけるcpuの異常監視
JP2003271420A (ja) * 2002-03-18 2003-09-26 Matsushita Electric Ind Co Ltd 電子制御装置
JP2004021507A (ja) * 2002-06-14 2004-01-22 Hitachi Ltd サーバ相互の監視制御方法
JP2004310252A (ja) * 2003-04-03 2004-11-04 Matsushita Electric Ind Co Ltd マルチプロセッサシステムの故障復帰方法
JP2006285384A (ja) * 2005-03-31 2006-10-19 Nec Corp プロセッサ障害処理方式、管理プロセッサ及びプロセッサ障害処理方法
JP4003420B2 (ja) * 2001-07-30 2007-11-07 株式会社ジェイテクト 演算装置
JP2008186173A (ja) * 2007-01-29 2008-08-14 Toyota Motor Corp 障害監視システム

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS629934A (ja) 1985-07-06 1987-01-17 Katsumi Yuma 注水式チユ−ブ案内装置
JPH043420A (ja) 1990-04-20 1992-01-08 Nec Corp コンタクトホール埋め込み方法
DE4112334A1 (de) * 1991-04-16 1992-10-22 Bosch Gmbh Robert Mehrrechnersystem in einem kraftfahrzeug
JPH06149604A (ja) * 1992-11-11 1994-05-31 Nissan Motor Co Ltd 多重化システム
DE19510525A1 (de) * 1995-03-23 1996-09-26 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung bzw. Regelung der Bremsanlage eines Fahrzeugs
DE19541734C2 (de) * 1995-11-09 1997-08-14 Bosch Gmbh Robert Schaltungsanordnung zur Durchführung eines Reset
DE19548392C2 (de) * 1995-12-22 2001-05-17 Siemens Ag Bremsanlage für ein Kraftfahrzeug
JP2000148709A (ja) 1998-11-09 2000-05-30 Nec Mobile Commun Ltd マルチcpu構成システムおよびシステム再構成方法
JP2002108835A (ja) 2000-09-29 2002-04-12 Mitsubishi Electric Corp 車載電子制御装置
US6934893B1 (en) * 2000-11-16 2005-08-23 Stmicroelectronics S.A. Method of monitoring the activation of programmed sequences of a programmed system and computer program and apparatus for implementing same
DE10223880B4 (de) * 2002-05-29 2004-06-17 Robert Bosch Gmbh Verfahren zur gegenseitigen Überwachung von Komponenten eines dezentral verteilten Rechnersystems
JP4529767B2 (ja) * 2005-04-04 2010-08-25 株式会社日立製作所 クラスタ構成コンピュータシステム及びその系リセット方法
JP2008140280A (ja) 2006-12-05 2008-06-19 Hitachi Ltd サーバの運用管理における信頼性強化方法
CN101458642A (zh) * 2007-12-10 2009-06-17 鸿富锦精密工业(深圳)有限公司 计算机监控终端及监控方法

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6027421B2 (ja) * 1979-12-29 1985-06-28 富士通株式会社 マルチシステムの監視・制御方式
JPH06131314A (ja) * 1992-10-22 1994-05-13 Toyota Motor Corp 中央処理装置の異常監視装置
JPH0764930A (ja) * 1993-08-31 1995-03-10 Matsushita Electric Works Ltd Cpu間相互監視方法
JPH08305675A (ja) * 1995-04-28 1996-11-22 Nippon Denki Ido Tsushin Kk マルチプロセッサシステムおよびその運転管理方 法
JPH11184734A (ja) * 1997-12-24 1999-07-09 Ando Electric Co Ltd Cpuの相互監視装置
JP2001175494A (ja) * 1999-12-14 2001-06-29 Nec Corp マイクロプロセッサの演算処理の正常性を二重に診断する方式及びその方法
JP2001282302A (ja) * 2000-04-03 2001-10-12 Toyota Motor Corp 原動機を用いた移動体の制御装置におけるcpuの異常監視
JP4003420B2 (ja) * 2001-07-30 2007-11-07 株式会社ジェイテクト 演算装置
JP2003271420A (ja) * 2002-03-18 2003-09-26 Matsushita Electric Ind Co Ltd 電子制御装置
JP2004021507A (ja) * 2002-06-14 2004-01-22 Hitachi Ltd サーバ相互の監視制御方法
JP2004310252A (ja) * 2003-04-03 2004-11-04 Matsushita Electric Ind Co Ltd マルチプロセッサシステムの故障復帰方法
JP2006285384A (ja) * 2005-03-31 2006-10-19 Nec Corp プロセッサ障害処理方式、管理プロセッサ及びプロセッサ障害処理方法
JP2008186173A (ja) * 2007-01-29 2008-08-14 Toyota Motor Corp 障害監視システム

Also Published As

Publication number Publication date
US8495433B2 (en) 2013-07-23
JPWO2011114493A1 (ja) 2013-06-27
US20110246820A1 (en) 2011-10-06
CN102782655A (zh) 2012-11-14
CN102782655B (zh) 2015-03-04
DE112010005400T5 (de) 2013-04-18
WO2011114493A1 (ja) 2011-09-22

Similar Documents

Publication Publication Date Title
JP5163807B2 (ja) マイコン相互監視システム及びマイコン相互監視方法
CN103262045B (zh) 具有容错架构的微处理器系统
US8099179B2 (en) Fault tolerant control system
US9417946B2 (en) Method and system for fault containment
US20170131698A1 (en) Motor control device
US9221492B2 (en) Method for operating an electrical power steering mechanism
JP5094777B2 (ja) 車載用電子制御装置
JP2012006535A (ja) 車載電子制御装置
CN107436668B (zh) 电力供给的控制器系统以及半导体装置
JP2009104246A (ja) プログラマブルコントローラおよびその異常時復旧方法
JP5327105B2 (ja) バックアップシステム
CN113993752A (zh) 电子控制单元和程序
JP2016126692A (ja) 電子制御装置
USRE49043E1 (en) Apparatus and method for communications in a safety critical system
JP6902948B2 (ja) 車両制御装置
JP2007283788A (ja) 車両用電子制御装置
JP6624005B2 (ja) 相互監視システム
JP4613019B2 (ja) コンピュータシステム
WO2011142015A1 (ja) 演算器異常判定装置及び方法
JP2018097442A (ja) 電子制御装置
JP6457149B2 (ja) 電子制御装置
JP2015114847A (ja) 情報処理装置
JP5507513B2 (ja) 車両制御装置
JP2005352545A (ja) マイクロコンピュータ及びコンピュータシステム
JP2001166952A (ja) 情報処理装置

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121120

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121203

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151228

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151228

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees