JP6946954B2 - 監視システム - Google Patents

監視システム Download PDF

Info

Publication number
JP6946954B2
JP6946954B2 JP2017216979A JP2017216979A JP6946954B2 JP 6946954 B2 JP6946954 B2 JP 6946954B2 JP 2017216979 A JP2017216979 A JP 2017216979A JP 2017216979 A JP2017216979 A JP 2017216979A JP 6946954 B2 JP6946954 B2 JP 6946954B2
Authority
JP
Japan
Prior art keywords
microcomputer
value
microcomputers
abnormality
monitoring system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017216979A
Other languages
English (en)
Other versions
JP2019087177A (ja
Inventor
あゆ 天野
あゆ 天野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Priority to JP2017216979A priority Critical patent/JP6946954B2/ja
Publication of JP2019087177A publication Critical patent/JP2019087177A/ja
Application granted granted Critical
Publication of JP6946954B2 publication Critical patent/JP6946954B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Safety Devices In Control Systems (AREA)

Description

本発明は、監視システムに関する。
従来より、ECU内部のマイクロコンピュータに設けられた不揮発性メモリに、正常動作中を示す値AAをセットしておき、正常終了後はその値をリセットして値00とする電源遮断検出装置が提案されている(例えば、特許文献1参照)。この装置では、動作中に瞬断が発生して異常終了すると、値がリセットされず値AAのままであるため、動作中に強制終了が発生したことを判定することができる。
特開平8−178976号公報
ところで、相互に異常を監視可能な複数の制御装置を備えるシステムにおいて、一方の制御装置が他方の制御装置に異常が発生したと判定すると、当該他方の制御装置にリセット信号を出力して強制的に終了させるものがある。こうしたシステムに上述した特許文献1記載の技術を適用する場合、瞬断以外の強制終了が発生しても、瞬断と同じ値AAがセットされたままであり、制御装置が強制終了した要因を特定することは困難である。
本発明の監視システムは、相互に異常を監視可能な複数の制御装置を備えるものにおいて、いずれかの制御装置が異常終了した際にその異常の要因を特定することが可能な監視システムを提供することを主目的とする。
本発明の監視システムは、上述の主目的を達成するために以下の手段を採った。
本発明の監視システムは、
相互に異常の監視とリセット信号の出力とが可能であると共に自己診断が可能な第1および第2制御装置と、前記第1制御装置のCPUがアクセス可能な第1不揮発性メモリと、前記第2制御装置のCPUがアクセス可能な第2不揮発性メモリと、を備える監視システムであって、
前記第1および第2制御装置の各CPUは、それぞれ前記第1および第2不揮発性メモリに書き込む値として、起動した場合と正常終了する場合と相手の異常を判定した場合と自己の異常を判定した場合とでそれぞれ異なる値を書き込む、
ことを要旨とする。
この本発明の監視システムは、第1および第2制御装置と、第1および第2不揮発性メモリとを備える。第1および第2制御装置の各CPUは、それぞれ第1および第2不揮発性メモリに書き込む値として、起動した場合と正常終了する場合と相手の異常を判定した場合と自己の異常を判定した場合とでそれぞれ異なる値を書き込む。これにより、不揮発性メモリに書き込まれた値を確認することで、複数の制御装置のいずれかが異常終了した際にその異常の要因を特定することが可能となる。
こうした本発明の監視システムにおいて、第1および第2制御装置は、互いに相手の制御装置に対して周期的なランパルス信号を送信すると共に前記相手の制御装置からのランパルス信号を受信するように構成され、起動した場合には対応する不揮発性メモリに第1の値を書き込み、正常終了する場合には前記対応する不揮発性メモリに第2の値を書き込み、前記相手の制御装置からのランパルス信号を正常に受信しなかった場合には前記対応する不揮発性メモリに第3の値を書き込むと共に前記相手の制御装置にリセット信号を送信し、前記自己診断により自己の制御装置の異常を判定した場合には前記対応する不揮発性メモリに第4の値を書き込むと共に前記相手の制御装置へのランパルス信号の送信を停止するものとしてもよい。この場合、前記不揮発性メモリに書き込む値の優先順位は、高い方から前記第4の値,前記第3の値,第2の値の順に定められるものとしてもよい。
本発明の一実施例としての監視システムを含む監視システム10の構成の概略を示す構成図である。 第1および第2マイコン11,12によりそれぞれ実行される主制御ルーチンの一例を示すフローチャートである。 第1および第2マイコン11,12によりそれぞれ実行される監視処理ルーチンの一例を示すフローチャートである。 第1および第2EEPROM21,22の値と第1および第2マイコン11,12の状態との組み合わせの一例を示す説明図である。
次に、本発明を実施するための形態を実施例を用いて説明する。
図1は、本発明の一実施例としての監視システム10の構成の概略を示す構成図である。実施例の監視システム10は、第1マイクロコンピュータ(以下、第1マイコンという)11と、第2マイクロコンピュータ(以下、第2マイコンという)12と、第1EEPROM21と、第2EEPROM22と、監視用IC31と、を備える。実施例の監視システム10は、例えば、第1および第2マイコン11,12によりそれぞれ駆動制御される2つのモータを備える電気自動車やハイブリッド自動車に搭載される。
第1および第2マイコン11,12は、図示しないCPUを中心としたマイクロコンピュータであり、CPUの他に、ROM,RAM,入出力ポートおよび通信ポートを含む。本実施例では、第2マイコン12は、上位のマイクロコンピュータ(以下、上位マイコンという)と通信が可能なメインマイコンとして構成される。また、第1マイコン11は、第2マイコン12と通信が可能に構成され、第2マイコン12を介して上位マイコンからのコマンドを受信可能なサブマイコンとして構成される。
第1および第2マイコン11,12は、ウォッチドッグタイマにより相互に監視可能に構成される。第1マイコン11は、HiレベルとLoレベルの2つの信号状態が所定周期で切り替わるウォッチドッグパルス信号WD1(ランパルス信号)を第2マイコン12へ送信すると共に第2マイコン12から送信される同様のウォッチドッグパルス信号WD2を受信し、第2マイコン12からウォッチドッグパルス信号WD2が正常に受信されなかった場合に第2マイコン12をリセットするためのリセット信号RST1を当該第2マイコン12に送信する。第2マイコン12は、ウォッチドッグパルス信号WD2を第1マイコン11へ送信すると共に第1マイコン11から送信されるウォッチドッグパルスWD1を受信し、第1マイコン11からウォッチドッグパルス信号WD1が正常に受信されなかった場合に第1マイコン11をリセットするためのリセット信号RST2を当該第1マイコン11に送信する。
また、第1および第2マイコン11,12は、それぞれ自マイコンの故障を事前に検出するために、起動時に、例えばROMやRAMをエラーをチェックするなどの自己診断処理を実行する。
第1EEPROM21は、電源を切ってもデータを保持する不揮発性メモリであり、第1マイコン11により読み書きが可能に構成される。第2EEPROM22は、第1EEPROM21と同様に、電源を切ってもデータを保存する不揮発性メモリであり、第2マイコン12により読み書きが可能に構成される。第1および第2EEPROM21,22には、それぞれ第1および第2マイコン11,12の状態を記憶するための2ビットの状態記憶領域が設けられている。
監視用IC31は、電源電圧を監視すると共に第2マイコン12を介して第1および第2マイコン11,12をそれぞれリセットするためのICである。監視用IC31は、電源電圧の低下を検知すると、第2マイコン12にリセット信号RST3を送信する。リセット信号RST3を受信した第2マイコン12は、リセット信号RST2を第1マイコン11に送信すると共に自身をリセットする。
次に、こうして構成された実施例の監視システム10の動作について説明する。図2は、第1および第2マイコン11,12によりそれぞれ実行される主制御ルーチンの一例を示すフローチャートであり、図3は、第1および第2マイコン11,12によりそれぞれ実行される監視処理ルーチンの一例を示すフローチャートである。これらのルーチンは、システムが起動されたときに実行される。まず、主制御ルーチンについて説明し、その後、監視処理ルーチンについて説明する。第1および第2マイコン11,12は何れも同様の処理を実行するため、以下、第1マイコン11の処理を例にとって両者の処理の内容について説明する。
主制御ルーチンでは、第1マイコン11のCPUは、まず、第1EEPROM21の状態記憶領域から値を読み出し(S100)、読み出し値が前回にシステムを正常に終了したことを示す値11であるかを判定する(S110)。読み出し値が値11であると判定すると、第1EEPROM21にシステムが正常起動して作動中であることを示す値00を書き込む(S120)。一方、読み出し値が値11でないと判定すると、前回システムが正常に終了しなかったと判断し、例えば、一部の機能を制限するセーフモードを実行するなど、前回異常終了時の処理を実行する(S130)。なお、前回異常終了時の処理を実行しても、前回と同じ異常が発生した場合には、システムを直ちに停止し、以降、起動しないものとしてもよい。次に、ROMおよびRAMのエラーチェック等の自己診断処理を実行し(S140)、自己診断の結果が正常であると判定すると(S150の「YES」)、上位マイコンから終了コマンド(例えば、イグニッションオフ信号)を受信したか否かを判定する(S160)。終了コマンドを受信していないと判定すると、S160に戻り、終了コマンドを受信したと判定すると、第1EEPROM21の状態記憶領域に上述した値11を書き込むと共に(S170)、システムを終了するシステム終了処理を実行して(S180)、主制御ルーチンを終了する。一方、自己診断の結果が異常であると判定すると(S150の「NO」)、第2マイコン12へのウォッチドッグパルス信号WD1の送信を停止すると共に(S190)、第1EEPROM21の状態記憶領域に値10を書き込む(S200)。そして、第2マイコン12からのリセット信号RST2の受信を待ってリセットを行なって(S210)、主制御ルーチンを終了する。
監視処理ルーチンでは、第1マイコン11のCPUは、まず、相手マイコンである第2マイコン21からウォッチドッグパルス信号WD2(ランパルス信号)を受信するウォッチドッグパルス受信処理を行ない(S300)、ウォッチドッグパルス信号WD2を正常に受信したか否かを判定する(S310)。ウォッチドッグパルス信号WD2を正常に受信したと判定すると、上述した終了コマンドを受信したか否かを判定する(S320)。終了コマンドを受信していないと判定すると、S300に戻り、終了コマンドを受信したと判定すると、監視処理ルーチンを終了する。一方、S310でウォッチドッグパルス信号WD2を正常に受信していないと判定すると、第1EEPROM21に値01を書き込むと共に(S330)、相手マイコンである第2マイコン12にリセット信号RST1を送信して(S340)、S320に進む。
ここで、例えば、主制御ルーチンのS150で自己診断による自マイコンの異常を判定する一方、監視処理ルーチンのS310で相手マイコンからのウォッチドッグパルス信号を正常に受信しなかったと判定した場合など、複数の事象が重なった場合、予め定められた優先順位に従って第1EEPROM21に書き込む値を決定する。本実施例では、優先順位が高い事象から順に、自マイコンの自己診断の結果が異常であった場合(値10),相手マイコンからのウォッチドッグパルス信号を正常に受信しなかった場合(値01),正常終了する場合(値11)とした。
図4は、第1および第2EEPROM21,22の値と第1および第2マイコン11,12の状態との組み合わせの一例を示す説明図である。図示するように、第1および第2マイコン11,12は、通常起動(正常起動)した際には、それぞれ第1および第2EEPROM21,22に値00を書き込み、通常終了(正常終了)する際には、それぞれ第1および第2EEPROM21,22に値11を書き込む。ここで、第1および第2マイコン11,12への電源供給が遮断される瞬断が発生すると、第1および第2マイコン11,12は、それぞれ第1および第2EEPROM21,22に値11を書き込むことなく強制終了する。このため、次に第1および第2マイコン11,12が起動したときに第1および第2EEPROM21,22の読み出し値が値00であれば、瞬断が発生したと判断することができる。また、第1および第2マイコン11,12のうち一方のマイコンが暴走等し、一方のマイコンから他方のマイコンへ送信されるウォッチドッグパルス信号が停止すると、他方のマイコンは、対応するEEPROMに値01を書き込むと共に一方のマイコンへリセット信号を出力して当該一方のマイコンを強制的にリセットさせる。一方のマイコンは通常終了しなかったため、一方のマイコンの再起動時における対応するEEPROMの読み出し値が値00であり、他方のマイコンの対応するEEPROMの書き込み値は値01であるから、これらの値を確認することで、一方のマイコンのウォッチドッグパルス信号に異常が発生したと判断することができる。更に、第1および第2マイコン11,12は、起動時に自己診断処理を実行し、一方のマイコンに自己診断エラーが発生すると、一方のマイコンは、他方のマイコンへのウォッチドッグパルス信号の送信を停止すると共に対応するEEPROMに値10を書き込む。他方のマイコンは、ウォッチドッグパルス信号が正常に受信できなかったと判定し、対応するEEPROMに値01を書き込むと共に一方のマイコンに対してリセット信号を送信して当該一方のマイコンを強制的にリセットさせる。一方のマイコンは通常終了しなかったため、一方のマイコンの再起動時における対応するEEPROMの読み出し値が値10であり、他方のマイコンに対応するEEPROMの書き込み値は値01であるから、これらの値を確認することで、一方のマイコンに自己診断エラーが発生したと判断することができる。このように、第1および第2EEPROM21,22に書き込まれた値を確認することで、第1および第2マイコン11,12の異常の要因を特定することが可能となる。
以上説明した本実施例の監視システム10では、第1および第2マイコン11,12の各CPUは、それぞれ第1および第2EEPROM21,22に書き込む値として、起動した場合には値00を書き込み、正常終了する場合には値11を書き込み、相手マイコンの異常を判定した場合には値01を書き込み、自己診断により自マイコンの異常を判定した場合には値10を書き込む。すなわち、第1および第2マイコン11,12の状態に応じて各EEPROM21,22にそれぞれ異なる値を書き込む。これにより、各EEPROM21,22に書き込まれた値を確認することで、第1および第2マイコン11,12のいずれかが異常終了した際にその異常の要因を特定することが可能となる。
実施例の主要な要素と課題を解決するための手段の欄に記載した発明の主要な要素との対応関係について説明する。実施例では、第1マイコン11が「第1制御装置」に相当し、第2マイコン12が「第2制御装置」に相当し、第1EEPROM21が「第1不揮発性メモリ」に相当し、第2EEPROM21が「第2不揮発性メモリ」に相当する。
なお、実施例の主要な要素と課題を解決するための手段の欄に記載した発明の主要な要素との対応関係は、実施例が課題を解決するための手段の欄に記載した発明を実施するための形態を具体的に説明するための一例であることから、課題を解決するための手段の欄に記載した発明の要素を限定するものではない。即ち、課題を解決するための手段の欄に記載した発明についての解釈はその欄の記載に基づいて行なわれるべきものであり、実施例は課題を解決するための手段の欄に記載した発明の具体的な一例に過ぎないものである。
以上、本発明を実施するための形態について実施例を用いて説明したが、本発明はこうした実施例に何等限定されるものではなく、本発明の要旨を逸脱しない範囲内において、種々なる形態で実施し得ることは勿論である。
本発明は、監視システムの製造産業に利用可能である。
10 監視システム、11 第1マイクロコンピュータ(第1マイコン)、12 第2マイクロコンピュータ(第2マイコン)、21 第1EEPROM、22 第2EEPROM、31 監視用IC。

Claims (1)

  1. 相互に異常の監視とリセット信号の出力とが可能であると共に自己診断が可能な第1および第2制御装置と、前記第1制御装置のCPUがアクセス可能な第1不揮発性メモリと、前記第2制御装置のCPUがアクセス可能な第2不揮発性メモリと、を備える監視システムであって、
    前記第1および第2制御装置の各CPUは、起動した場合と正常終了する場合と相手の異常を判定した場合と自己の異常を判定した場合それぞれ異なる値を前記第1および第2不揮発性メモリの所定の状態記憶領域に書き込むと共に、複数の事象が重なった場合には、優先順位が高い事象に対応する値を優先して書き込むものであり、
    前記優先順位は、前記自己の異常を判定した場合の方が、前記相手の異常を判定した場合よりも高い、
    監視システム。
JP2017216979A 2017-11-10 2017-11-10 監視システム Active JP6946954B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017216979A JP6946954B2 (ja) 2017-11-10 2017-11-10 監視システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017216979A JP6946954B2 (ja) 2017-11-10 2017-11-10 監視システム

Publications (2)

Publication Number Publication Date
JP2019087177A JP2019087177A (ja) 2019-06-06
JP6946954B2 true JP6946954B2 (ja) 2021-10-13

Family

ID=66764248

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017216979A Active JP6946954B2 (ja) 2017-11-10 2017-11-10 監視システム

Country Status (1)

Country Link
JP (1) JP6946954B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022097274A1 (ja) * 2020-11-06 2022-05-12 三菱電機株式会社 エンジニアリングツール及びプログラマブルロジックコントローラ

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008186173A (ja) * 2007-01-29 2008-08-14 Toyota Motor Corp 障害監視システム
JP2010159698A (ja) * 2009-01-08 2010-07-22 Toyota Motor Corp 電子制御装置の異常診断装置

Also Published As

Publication number Publication date
JP2019087177A (ja) 2019-06-06

Similar Documents

Publication Publication Date Title
US20150317198A1 (en) Onboard electronic control unit
CN108427609B (zh) 控制器和控制程序更新方法
US10384625B2 (en) Communication device and non-transitory recording medium
JP2008254484A (ja) 車載用通信システム
US10296322B2 (en) Controller and control program updating method
JP6946954B2 (ja) 監視システム
US11561922B2 (en) Communication apparatus, communication method, program, and communication system
JP3491358B2 (ja) 電源遮断検出装置
JP6869743B2 (ja) 自動車用電子制御装置
JP2007316800A (ja) 車載プログラム書換え制御装置
JP5236376B2 (ja) ネットワークシステムの書き換え装置
JP6624005B2 (ja) 相互監視システム
JP5286814B2 (ja) 半導体装置、携帯可能な電子装置、自己診断方法、自己診断プログラム
CN111726270B (zh) 存储器系统及控制系统
JP2015098311A (ja) 電子制御装置、ソフトウェア書き換えシステム
JP7029366B2 (ja) 自動車用電子制御装置
JP2003271420A (ja) 電子制御装置
JP6524989B2 (ja) 演算器の動作保証方法
JP4479775B2 (ja) 車両制御装置およびプログラム
JP2007283788A (ja) 車両用電子制御装置
JP6887277B2 (ja) 自動車用電子制御装置
JP5029123B2 (ja) 電子制御装置及び通信システム
JP6921296B2 (ja) 電子制御装置
JP2007022362A (ja) 電子制御装置のプログラム書換えシステム
WO2023233611A1 (ja) 電子制御装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200226

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210108

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210126

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210225

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210817

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210830

R151 Written notification of patent or utility model registration

Ref document number: 6946954

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151