JPH05158750A - マイクロコンピュータの誤動作防止回路 - Google Patents
マイクロコンピュータの誤動作防止回路Info
- Publication number
- JPH05158750A JPH05158750A JP3324897A JP32489791A JPH05158750A JP H05158750 A JPH05158750 A JP H05158750A JP 3324897 A JP3324897 A JP 3324897A JP 32489791 A JP32489791 A JP 32489791A JP H05158750 A JPH05158750 A JP H05158750A
- Authority
- JP
- Japan
- Prior art keywords
- microcomputer
- signal
- timer
- output
- circuit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Debugging And Monitoring (AREA)
Abstract
(57)【要約】
【目的】従来、リセットスタート信号Rによりマイコン
1が起動後、初期処理を終える迄はRSフリップフロッ
プ3の出力Sのリセット“L”によりANDゲート8を
阻止し、ウォッチドッグタイマとしてのモノステーブル
タイマ2の機能を無効とし、初期処理後マイコン1がト
リガ信号Tを出力して2と3とをトリガし信号Sをセッ
ト“H”としてウォッチドッグタイマを有効とする従来
の系では該タイマが無効化されている間にマイコンが暴
走し書き込み要求信号wで外部出力回路6を不正アクセ
スする惧れが有ったことを改善する。 【構成】RSフリップフロップ3のリセット中はAND
ゲート13を阻止し書き込み要求信号wが外部出力回路
6に入ることを防ぐ。またこの不正アクセス信号wをA
NDゲート12、ORゲート11を介し検出し、マイコ
ン1に割り込みを発生させて暴走保護処理を行わせ、又
はマイコンをリセットする。
1が起動後、初期処理を終える迄はRSフリップフロッ
プ3の出力Sのリセット“L”によりANDゲート8を
阻止し、ウォッチドッグタイマとしてのモノステーブル
タイマ2の機能を無効とし、初期処理後マイコン1がト
リガ信号Tを出力して2と3とをトリガし信号Sをセッ
ト“H”としてウォッチドッグタイマを有効とする従来
の系では該タイマが無効化されている間にマイコンが暴
走し書き込み要求信号wで外部出力回路6を不正アクセ
スする惧れが有ったことを改善する。 【構成】RSフリップフロップ3のリセット中はAND
ゲート13を阻止し書き込み要求信号wが外部出力回路
6に入ることを防ぐ。またこの不正アクセス信号wをA
NDゲート12、ORゲート11を介し検出し、マイコ
ン1に割り込みを発生させて暴走保護処理を行わせ、又
はマイコンをリセットする。
Description
【0001】
【産業上の利用分野】本発明はマイクロコンピュータの
暴走監視用のウォッチドッグタイマ回路を備えた制御装
置等のマイクロコンピュータシステムにおいて、マイク
ロコンピュータの暴走に基づく誤動作を防止する回路に
関する。なお以下各図において同一の符号は同一もしく
は相当部分を示す。
暴走監視用のウォッチドッグタイマ回路を備えた制御装
置等のマイクロコンピュータシステムにおいて、マイク
ロコンピュータの暴走に基づく誤動作を防止する回路に
関する。なお以下各図において同一の符号は同一もしく
は相当部分を示す。
【0002】
【従来の技術】マイクロコンピュータによって制御され
る制御装置等のシステムにおいて、マイクロコンピュー
タの暴走を監視する手段として、いわゆるウォッチドッ
グタイマが使用される。ウォッチドッグタイマはアナロ
グのモノステーブルタイマ(ワンショットタイマ)ある
いはディジタルのタイマカウンタ等で構成され、タイマ
時限以下の一定の周期または所定の時限以内で起動され
るプログラムで繰り返しトリガするようにしている。プ
ログラムの暴走等でプログラムが正常に稼動しなくな
り、ウォッチドッグタイマがトリガされなくなるとタイ
マがタイムアップすることを用いてシステムの異常を検
知しようというものである。従って、このようなウォッ
チドッグタイマを用いたシステムにおいては、一度ウォ
ッチドッグタイマを稼動すると、それ以後、システムが
正常であり続けるためにウォッチドッグタイマを周期的
にトリガしなくてはならない。
る制御装置等のシステムにおいて、マイクロコンピュー
タの暴走を監視する手段として、いわゆるウォッチドッ
グタイマが使用される。ウォッチドッグタイマはアナロ
グのモノステーブルタイマ(ワンショットタイマ)ある
いはディジタルのタイマカウンタ等で構成され、タイマ
時限以下の一定の周期または所定の時限以内で起動され
るプログラムで繰り返しトリガするようにしている。プ
ログラムの暴走等でプログラムが正常に稼動しなくな
り、ウォッチドッグタイマがトリガされなくなるとタイ
マがタイムアップすることを用いてシステムの異常を検
知しようというものである。従って、このようなウォッ
チドッグタイマを用いたシステムにおいては、一度ウォ
ッチドッグタイマを稼動すると、それ以後、システムが
正常であり続けるためにウォッチドッグタイマを周期的
にトリガしなくてはならない。
【0003】ところで、システムのRAS機能としてウ
ォッチドッグタイマ回路や他のRAS機能が正常である
ことを検証する場合や、ウォッチドッグタイマの設置目
的が信頼性の低いアプリケーションプログラムの暴走監
視用であって、マイクロコンピュータのリセットスター
トからそのアプリケーションプログラムが起動されるま
での間はウォッチドッグタイマ回路が機能しないほうが
好ましい場合がある。
ォッチドッグタイマ回路や他のRAS機能が正常である
ことを検証する場合や、ウォッチドッグタイマの設置目
的が信頼性の低いアプリケーションプログラムの暴走監
視用であって、マイクロコンピュータのリセットスター
トからそのアプリケーションプログラムが起動されるま
での間はウォッチドッグタイマ回路が機能しないほうが
好ましい場合がある。
【0004】しかしながら、ウォッチドッグタイマ回路
機能をプログラムで容易に停止/稼働できるようにする
ことは、プログラムの暴走によりウォッチドッグタイマ
の機能を停止してしまう可能性がある。そこで従来は図
2のブロック回路図に示すように、マイクロコンピュー
タ1のリセットスタート時点では、一時、ウォッチドッ
グタイマの機能を停止しておき、一度、ウォッチドッグ
タイマが起動されると、以後はウォッチドッグタイマの
機能が停止できないようにしている。
機能をプログラムで容易に停止/稼働できるようにする
ことは、プログラムの暴走によりウォッチドッグタイマ
の機能を停止してしまう可能性がある。そこで従来は図
2のブロック回路図に示すように、マイクロコンピュー
タ1のリセットスタート時点では、一時、ウォッチドッ
グタイマの機能を停止しておき、一度、ウォッチドッグ
タイマが起動されると、以後はウォッチドッグタイマの
機能が停止できないようにしている。
【0005】なおここで図2の構成と動作を説明する。
同図において、1はマイクロコンピュータ(マイコンと
も略記する)、2はウォッチドッグタイマとなるモノス
テーブルタイマ、3はリセット・セットフリップフロッ
プ(RSフリップフロップとも記す)、4はパワーオン
リセット信号出力回路、5はマイコン1の暴走等を表示
する表示器、6はマイコン1から外部へデータを出力す
る際のインタフェースとなる外部出力回路、7はシステ
ムリセットスイッチ、8はANDゲート、9はORゲー
ト、10はシステムバスである。
同図において、1はマイクロコンピュータ(マイコンと
も略記する)、2はウォッチドッグタイマとなるモノス
テーブルタイマ、3はリセット・セットフリップフロッ
プ(RSフリップフロップとも記す)、4はパワーオン
リセット信号出力回路、5はマイコン1の暴走等を表示
する表示器、6はマイコン1から外部へデータを出力す
る際のインタフェースとなる外部出力回路、7はシステ
ムリセットスイッチ、8はANDゲート、9はORゲー
ト、10はシステムバスである。
【0006】またRはORゲートから出力されるリセッ
トスタート信号、Tはマイコン1からシステムバス10
を介してモノステーブルタイマ2およびRSフリップフ
ロップ3に与えられるトリガ信号、Eはモノステーブル
タイマ2のタイムアップ時にこのタイマ2からANDゲ
ート8に与えられる出力信号、SはRSフリップフロッ
プ3の出力信号としてのウォッチドッグタイマ起動/停
止信号、f1はモノステーブルタイマのタイムアップに
基づいてANDゲート8から出力されるウォッチドッグ
タイマ故障信号である。またwおよびdは夫々、マイク
ロコンピュータ1から外部出力回路6に出力される書き
込み要求信号および書き込みデータ、Dは外部出力回路
6から外部に出力されるデータ信号である。
トスタート信号、Tはマイコン1からシステムバス10
を介してモノステーブルタイマ2およびRSフリップフ
ロップ3に与えられるトリガ信号、Eはモノステーブル
タイマ2のタイムアップ時にこのタイマ2からANDゲ
ート8に与えられる出力信号、SはRSフリップフロッ
プ3の出力信号としてのウォッチドッグタイマ起動/停
止信号、f1はモノステーブルタイマのタイムアップに
基づいてANDゲート8から出力されるウォッチドッグ
タイマ故障信号である。またwおよびdは夫々、マイク
ロコンピュータ1から外部出力回路6に出力される書き
込み要求信号および書き込みデータ、Dは外部出力回路
6から外部に出力されるデータ信号である。
【0007】次に図2の動作を説明する。リセットスタ
ート信号Rは制御電源投入時にパワーオンリセット信号
出力回路4から出力される信号4a、またはシステムリ
セットスイッチ7の出力信号7aの論理和として、OR
ゲート9より出力される。このリセットスタート信号R
によりマイクロコンピュータ1はリセットシーケンスを
起動し、また外部出力回路6はフェイルセイフとなる所
定の初期状態を示す信号D0を出力する状態にセットさ
れる。そしてさらにRSフリップフロップ3はこのリセ
ットスタート信号Rによりリセットされ、その出力信号
Sは“L”になる。
ート信号Rは制御電源投入時にパワーオンリセット信号
出力回路4から出力される信号4a、またはシステムリ
セットスイッチ7の出力信号7aの論理和として、OR
ゲート9より出力される。このリセットスタート信号R
によりマイクロコンピュータ1はリセットシーケンスを
起動し、また外部出力回路6はフェイルセイフとなる所
定の初期状態を示す信号D0を出力する状態にセットさ
れる。そしてさらにRSフリップフロップ3はこのリセ
ットスタート信号Rによりリセットされ、その出力信号
Sは“L”になる。
【0008】このリセットスタート時点におけるモノス
テーブルタイマ2の出力信号Eの状態は不定であり、少
なくともモノステーブルタイマ2の設定時間TWDT 時間
後に、その出力信号Eは故障状態を表わす“L”となる
が、RSフリップフロップ3の出力信号Sが“L”(リ
セット状態)であるため、ANDゲート8は閉じてお
り、モノステーブルタイマの出力信号Eは阻止され(A
NDゲート8の出力は“L”を保ち)、従って故障信号
f1は出力されず、故障とは判定されない。 ここで表
示器5は、RSフリップフロップ3の出力信号Sが
“L”(リセット状態)であることからマイクロコンピ
ュータ1がアプリケーションプログラムの実行状態にな
っていないこと、またウォッチドッグタイマ故障信号f
1が“L”であることからウォッチドッグタイマ故障状
態でないことをシステム外部に対して表示する。
テーブルタイマ2の出力信号Eの状態は不定であり、少
なくともモノステーブルタイマ2の設定時間TWDT 時間
後に、その出力信号Eは故障状態を表わす“L”となる
が、RSフリップフロップ3の出力信号Sが“L”(リ
セット状態)であるため、ANDゲート8は閉じてお
り、モノステーブルタイマの出力信号Eは阻止され(A
NDゲート8の出力は“L”を保ち)、従って故障信号
f1は出力されず、故障とは判定されない。 ここで表
示器5は、RSフリップフロップ3の出力信号Sが
“L”(リセット状態)であることからマイクロコンピ
ュータ1がアプリケーションプログラムの実行状態にな
っていないこと、またウォッチドッグタイマ故障信号f
1が“L”であることからウォッチドッグタイマ故障状
態でないことをシステム外部に対して表示する。
【0009】次に、マイクロコンピュータ1はアプリケ
ーションプログラムの実行開始に際して、モノステーブ
ルタイマ2およびRSフリップフロップ3をトリガすべ
くトリガ信号Tを出力する。モノステーブルタイマ2は
トリガ信号Tにより設定時間TWDT の計測を開始して、
設定時間TWDT の間、その出力信号Eを“H”(正常状
態)に保つ。またRSフリップフロップ3の出力信号S
は前記のトリガ信号Tにより、“H”にセットされ、以
後、リセットスタート信号Rでリセットされるまで
“H”を保つ。
ーションプログラムの実行開始に際して、モノステーブ
ルタイマ2およびRSフリップフロップ3をトリガすべ
くトリガ信号Tを出力する。モノステーブルタイマ2は
トリガ信号Tにより設定時間TWDT の計測を開始して、
設定時間TWDT の間、その出力信号Eを“H”(正常状
態)に保つ。またRSフリップフロップ3の出力信号S
は前記のトリガ信号Tにより、“H”にセットされ、以
後、リセットスタート信号Rでリセットされるまで
“H”を保つ。
【0010】これによりモノステーブルタイマ2のウォ
ッチドッグタイマとしての機能は有効となる。従ってマ
イクロコンピュータ1がアプリケーションプログラムの
実行中、タイマ2のタイムアップ以前に正常にトリガ信
号Tの出力を繰返す限りはタイマ2の出力信号Eは
“H”であり、従って故障信号f1は“L”のままで有
効とはならず、故障とは判定されない。しかしマイクロ
コンピュータ1が暴走しトリガ信号Tを出力しなくなる
と、モノステーブルタイマ2のタイムアップにより、そ
の出力信号Eは“L”(故障状態)、従って故障信号f
1は“H”となり、表示器5はこの故障を表示する。ま
たマイクロコンピュータ1はこの故障信号f1に基づい
て暴走に対応する所定の割り込み処理を実行する。
ッチドッグタイマとしての機能は有効となる。従ってマ
イクロコンピュータ1がアプリケーションプログラムの
実行中、タイマ2のタイムアップ以前に正常にトリガ信
号Tの出力を繰返す限りはタイマ2の出力信号Eは
“H”であり、従って故障信号f1は“L”のままで有
効とはならず、故障とは判定されない。しかしマイクロ
コンピュータ1が暴走しトリガ信号Tを出力しなくなる
と、モノステーブルタイマ2のタイムアップにより、そ
の出力信号Eは“L”(故障状態)、従って故障信号f
1は“H”となり、表示器5はこの故障を表示する。ま
たマイクロコンピュータ1はこの故障信号f1に基づい
て暴走に対応する所定の割り込み処理を実行する。
【0011】
【発明が解決しようとする課題】ウォッチドッグタイマ
が機能している場合には、プログラムの暴走が発生した
場合でも、いずれはウォッチドッグタイマ機能により、
プログラムの暴走を検知して何らかの保護動作を取り得
る。しかしながら、図2に示されるウォッチドッグタイ
マの方式では、少なくとも1度はRSフリップフロップ
3およびウォッチドッグタイマとしてのモノステーブル
タイマ2をトリガしないとウォッチドッグタイマ回路が
機能し始めないために、マイクロコンピュータ1のリセ
ットスタート時点からウォッチドッグタイマが起動され
るまでの間に発生する初期処理のプログラムの暴走につ
いては、ウォッチドッグタイマによる保護動作が期待で
きないことになる。このため、初期処理のプログラムの
暴走に対してシステム自体では保護・復旧動作が行われ
ないことになり、このプログラムの暴走によって外部に
誤った信号が出力されたとしても、誤動作状態が永久に
継続してしまうおそれがある。また、このプログラム暴
走の検出はウォッチドッグタイマではできないという問
題点があった。そこで本発明はこのような問題を解消で
きるマイクロコンピュータの誤動作防止回路を提供する
ことを課題とする。
が機能している場合には、プログラムの暴走が発生した
場合でも、いずれはウォッチドッグタイマ機能により、
プログラムの暴走を検知して何らかの保護動作を取り得
る。しかしながら、図2に示されるウォッチドッグタイ
マの方式では、少なくとも1度はRSフリップフロップ
3およびウォッチドッグタイマとしてのモノステーブル
タイマ2をトリガしないとウォッチドッグタイマ回路が
機能し始めないために、マイクロコンピュータ1のリセ
ットスタート時点からウォッチドッグタイマが起動され
るまでの間に発生する初期処理のプログラムの暴走につ
いては、ウォッチドッグタイマによる保護動作が期待で
きないことになる。このため、初期処理のプログラムの
暴走に対してシステム自体では保護・復旧動作が行われ
ないことになり、このプログラムの暴走によって外部に
誤った信号が出力されたとしても、誤動作状態が永久に
継続してしまうおそれがある。また、このプログラム暴
走の検出はウォッチドッグタイマではできないという問
題点があった。そこで本発明はこのような問題を解消で
きるマイクロコンピュータの誤動作防止回路を提供する
ことを課題とする。
【0012】
【課題を解決するための手段】前記の課題を解決するた
めに、請求項1の誤動作防止回路は、マイクロコンピュ
ータ(1など)の起動時点からこのマイクロコンピュー
タが所定の初期処理を終えるまでの間、ウォッチドッグ
タイマ回路(モノステーブルタイマ2など)の機能を
(ANDゲート8などを介して)停止するようにしたマ
イクロコンピュータ・システムにおいて、前記ウォッチ
ドッグタイマ回路の機能が停止されている状態で、所定
の出力用デバイス(外部出力回路6など)に対し前記マ
イクロコンピュータが出力したアクセス信号(書き込み
信号wなど)の到達を阻止する手段(ANDゲート13
など)を備えたものとする。
めに、請求項1の誤動作防止回路は、マイクロコンピュ
ータ(1など)の起動時点からこのマイクロコンピュー
タが所定の初期処理を終えるまでの間、ウォッチドッグ
タイマ回路(モノステーブルタイマ2など)の機能を
(ANDゲート8などを介して)停止するようにしたマ
イクロコンピュータ・システムにおいて、前記ウォッチ
ドッグタイマ回路の機能が停止されている状態で、所定
の出力用デバイス(外部出力回路6など)に対し前記マ
イクロコンピュータが出力したアクセス信号(書き込み
信号wなど)の到達を阻止する手段(ANDゲート13
など)を備えたものとする。
【0013】また請求項2の誤動作防止回路は、請求項
1に記載の誤動作防止回路において、前記ウォッチドッ
グタイマ回路の機能が停止されている状態で、前記出力
用デバイスに対して前記マイクロコンピュータが出力し
たアクセス信号をこのマイクロコンピュータの暴走を示
す信号(不正アクセス故障信号f2など)として取出す
手段(ANDゲート12,ORゲート11など)を備え
たものとする。
1に記載の誤動作防止回路において、前記ウォッチドッ
グタイマ回路の機能が停止されている状態で、前記出力
用デバイスに対して前記マイクロコンピュータが出力し
たアクセス信号をこのマイクロコンピュータの暴走を示
す信号(不正アクセス故障信号f2など)として取出す
手段(ANDゲート12,ORゲート11など)を備え
たものとする。
【0014】
【作用】マイクロコンピュータ1のリセットスタート直
後の初期状態において、ウォッチドッグタイマ回路の動
作を停止させている状態信号(この場合、RSフリップ
フロップ3のリセット状態“L”の出力信号)Sを用い
て、アプリケーションプログラムで使用する外部出力回
路6に対してマイクロコンピュータ1がアクセスできな
いようにする。さらに上記“L”の状態信号Sを用い
て、前記外部出力回路6に対してマイクロコンピュータ
1がアクセスしようとしたことを検出してプログラムの
暴走と判断する。
後の初期状態において、ウォッチドッグタイマ回路の動
作を停止させている状態信号(この場合、RSフリップ
フロップ3のリセット状態“L”の出力信号)Sを用い
て、アプリケーションプログラムで使用する外部出力回
路6に対してマイクロコンピュータ1がアクセスできな
いようにする。さらに上記“L”の状態信号Sを用い
て、前記外部出力回路6に対してマイクロコンピュータ
1がアクセスしようとしたことを検出してプログラムの
暴走と判断する。
【0015】
【実施例】図1は本発明の一実施例としてのシステムの
要部構成を示すブロック回路図で、図2に対応するもの
である。図1においては図2に対しORゲート11およ
びANDゲート12,13が追加されている。ここでA
NDゲート12,13は共にRSフリップフロップ3の
出力信号(ウォッチドッグタイマ起動/停止信号)Sを
1方の入力とし、かつマイクロコンピュータ1からの外
部出力回路6に対する書き込み要求信号1wを他方の入
力としている。
要部構成を示すブロック回路図で、図2に対応するもの
である。図1においては図2に対しORゲート11およ
びANDゲート12,13が追加されている。ここでA
NDゲート12,13は共にRSフリップフロップ3の
出力信号(ウォッチドッグタイマ起動/停止信号)Sを
1方の入力とし、かつマイクロコンピュータ1からの外
部出力回路6に対する書き込み要求信号1wを他方の入
力としている。
【0016】そしてANDゲート13は、リセットスタ
ート信号Rの出力後、マイクロコンピュータがトリガ信
号Tを出力してウォッチドッグタイマ回路を有効化する
以前に(つまり不正に)マイクロコンピュータ1が外部
出力回路6をアクセスする(換言すれば不正な書き込み
要求信号wが書込信号Wとなって外部出力回路6に入力
される)ことを防ぐ役割を持ち、ANDゲート12はこ
の不正なアクセス信号wを検出し、不正アクセス故障信
号f2として取出す役割を持つ。そしてORゲート11
は図2で述べたウォッチドッグタイマ回路が有効化され
て後の故障信号f1と、同じく有効化される以前の上記
の不正アクセス故障信号f2とのOR条件を求め、故障
信号Fとしてマイクロコンピュータ1に与える役割を持
つ。
ート信号Rの出力後、マイクロコンピュータがトリガ信
号Tを出力してウォッチドッグタイマ回路を有効化する
以前に(つまり不正に)マイクロコンピュータ1が外部
出力回路6をアクセスする(換言すれば不正な書き込み
要求信号wが書込信号Wとなって外部出力回路6に入力
される)ことを防ぐ役割を持ち、ANDゲート12はこ
の不正なアクセス信号wを検出し、不正アクセス故障信
号f2として取出す役割を持つ。そしてORゲート11
は図2で述べたウォッチドッグタイマ回路が有効化され
て後の故障信号f1と、同じく有効化される以前の上記
の不正アクセス故障信号f2とのOR条件を求め、故障
信号Fとしてマイクロコンピュータ1に与える役割を持
つ。
【0017】次に図1の詳細動作を説明する。図1にお
いてもパリーオンリセット信号出力回路4又はシステム
リセットスイッチ7によってリセットスタート信号Rが
出力されてのち、マイクロコンピュータ1からのトリガ
信号Tによってウォッチドッグタイマ回路が有効化され
るまでの図2で述べた動作は全く同様に当てはまる。そ
してこののち、ウォッチドッグタイマ故障信号f1が
“L”(正常状態)を保ち続ける限り、故障とは判定さ
れない。このとき表示器5はRSフリップフロップ3の
出力信号Sが“H”(セット状態)であることからマイ
クロコンピュータ1がアプリケーションプログラムの実
行状態になっていること、またウォッチドッグタイマ故
障信号f1が“L”であることから、ウォッチドッグタ
イマ故障状態でないことをシステム外部に対して表示す
る。
いてもパリーオンリセット信号出力回路4又はシステム
リセットスイッチ7によってリセットスタート信号Rが
出力されてのち、マイクロコンピュータ1からのトリガ
信号Tによってウォッチドッグタイマ回路が有効化され
るまでの図2で述べた動作は全く同様に当てはまる。そ
してこののち、ウォッチドッグタイマ故障信号f1が
“L”(正常状態)を保ち続ける限り、故障とは判定さ
れない。このとき表示器5はRSフリップフロップ3の
出力信号Sが“H”(セット状態)であることからマイ
クロコンピュータ1がアプリケーションプログラムの実
行状態になっていること、またウォッチドッグタイマ故
障信号f1が“L”であることから、ウォッチドッグタ
イマ故障状態でないことをシステム外部に対して表示す
る。
【0018】この状態において、マイクロコンピュータ
1が正常に動作し、その結果としてモノステーブルタイ
マ2の設定時間TWDT 以下の間隔でトリガ信号Tにより
モノステーブルタイマ2をトリガし続ける限り、モノス
テーブルタイマ2の出力信号Eは“H”(正常状態)を
保ち続け、ウォッチドッグタイマ故障信号f1も正常状
態である“L”を保ち続ける。
1が正常に動作し、その結果としてモノステーブルタイ
マ2の設定時間TWDT 以下の間隔でトリガ信号Tにより
モノステーブルタイマ2をトリガし続ける限り、モノス
テーブルタイマ2の出力信号Eは“H”(正常状態)を
保ち続け、ウォッチドッグタイマ故障信号f1も正常状
態である“L”を保ち続ける。
【0019】この状態において、マイクロコンピュータ
1が何らかの原因によりプログラムの暴走を始めて正常
なプログラム処理が行われなくなった結果、モノステー
ブルタイマ2の設定時間TWDT 以内にモノステーブルタ
イマ2をトリガできないと、モノステーブルタイマ2は
タイムアップし、その出力信号Eは“L”(故障状態)
に変化する。そこで“H”であるRSフリップフロップ
3の出力信号Sとモノステーブルタイマ2の出力信号E
の論理積により、ANDゲート8が出力するウォッチド
ッグタイマ故障信号f1は“H”(故障状態)となり、
表示器5を介してシステム外部にウォッチドッグタイマ
故障状態であることを表示するとともに、ORゲート1
1を介して故障信号Fがアクティブとなり、マイクロコ
ンピュータ1の割り込み処理を起動してプログラム暴走
に対する保護動作を行う。この保護動作としては、必要
に応じて外部出力回路6を、その出力信号Dの状態がフ
ェイルセイフとなるようにセットする。
1が何らかの原因によりプログラムの暴走を始めて正常
なプログラム処理が行われなくなった結果、モノステー
ブルタイマ2の設定時間TWDT 以内にモノステーブルタ
イマ2をトリガできないと、モノステーブルタイマ2は
タイムアップし、その出力信号Eは“L”(故障状態)
に変化する。そこで“H”であるRSフリップフロップ
3の出力信号Sとモノステーブルタイマ2の出力信号E
の論理積により、ANDゲート8が出力するウォッチド
ッグタイマ故障信号f1は“H”(故障状態)となり、
表示器5を介してシステム外部にウォッチドッグタイマ
故障状態であることを表示するとともに、ORゲート1
1を介して故障信号Fがアクティブとなり、マイクロコ
ンピュータ1の割り込み処理を起動してプログラム暴走
に対する保護動作を行う。この保護動作としては、必要
に応じて外部出力回路6を、その出力信号Dの状態がフ
ェイルセイフとなるようにセットする。
【0020】一方、マイクロコンピュータ1がリセット
スタート信号Rにより、リセットシーケンスを起動して
から最初に(ウォッチドッグタイマ回路を起動するため
に)モノステーブルタイマ2へのトリガ信号Tを出力す
るまでの間に、マイクロコンピュータ1が暴走状態にな
った場合、仮にマイクロコンピュータ1が外部出力回路
6に対して書き込み要求信号wを出力し、不正なデータ
dを出力したとしても、RSフリップフロップ3の出力
信号Sはリセットスタート信号Rでリセットされ“L”
のままであることから、ANDゲート13の出力条件は
成立せず、このため不正なデータが外部出力回路6にセ
ットされて外部に出力されることはない。また、RSフ
リップフロップ3の出力信号Sが“L”のリセット状態
でマイクロコンピュータ1が外部出力回路6に対して書
き込み要求信号wを出力し、アクセスしようとしたこと
でANDゲート12の出力条件が成立し、不正アクセス
故障信号f2が“H”(故障状態)として出力され、外
部出力回路6に対して不正なアクセスが行われようとし
たことがORゲート11を介してマイクロコンピュータ
1に対し故障割り込み信号Fとして通知される。
スタート信号Rにより、リセットシーケンスを起動して
から最初に(ウォッチドッグタイマ回路を起動するため
に)モノステーブルタイマ2へのトリガ信号Tを出力す
るまでの間に、マイクロコンピュータ1が暴走状態にな
った場合、仮にマイクロコンピュータ1が外部出力回路
6に対して書き込み要求信号wを出力し、不正なデータ
dを出力したとしても、RSフリップフロップ3の出力
信号Sはリセットスタート信号Rでリセットされ“L”
のままであることから、ANDゲート13の出力条件は
成立せず、このため不正なデータが外部出力回路6にセ
ットされて外部に出力されることはない。また、RSフ
リップフロップ3の出力信号Sが“L”のリセット状態
でマイクロコンピュータ1が外部出力回路6に対して書
き込み要求信号wを出力し、アクセスしようとしたこと
でANDゲート12の出力条件が成立し、不正アクセス
故障信号f2が“H”(故障状態)として出力され、外
部出力回路6に対して不正なアクセスが行われようとし
たことがORゲート11を介してマイクロコンピュータ
1に対し故障割り込み信号Fとして通知される。
【0021】但し、この実施例では、プログラムの暴走
をウォッチドッグタイマ機能等で検知して、これを示す
故障信号Fによりマイクロコンピュータに割り込みを発
生させているが、適用するシステムによっては、この故
障信号Fをマイクロコンピュータに対するリセット信号
として使用しても何ら差し支えない。また、暴走検知に
基づく割り込み処理においてマイクロコンピュータが実
施する処理内容等については、本発明の直接目的とする
ものではないことから説明を省略する。
をウォッチドッグタイマ機能等で検知して、これを示す
故障信号Fによりマイクロコンピュータに割り込みを発
生させているが、適用するシステムによっては、この故
障信号Fをマイクロコンピュータに対するリセット信号
として使用しても何ら差し支えない。また、暴走検知に
基づく割り込み処理においてマイクロコンピュータが実
施する処理内容等については、本発明の直接目的とする
ものではないことから説明を省略する。
【0022】
【発明の効果】本発明によれば、ウォッチドッグタイマ
回路が機能する以前の状態で、初期処理プログラムの暴
走により外部出力回路6に対する不正なアクセス信号が
出力されても、このアクセス信号が外部出力回路6に達
しないように阻止することとしたので、不正データの外
部出力による誤動作を防ぐことができる。また従来なら
ウォッチドッグタイマ回路が機能していない状態での初
期処理プログラムの暴走が検知できなかったのに対し
て、本発明ではこの状態での外部出力回路6に対する不
正なアクセス信号を取出すようにしたので、初期処理プ
ログラムの暴走を検知することができる。
回路が機能する以前の状態で、初期処理プログラムの暴
走により外部出力回路6に対する不正なアクセス信号が
出力されても、このアクセス信号が外部出力回路6に達
しないように阻止することとしたので、不正データの外
部出力による誤動作を防ぐことができる。また従来なら
ウォッチドッグタイマ回路が機能していない状態での初
期処理プログラムの暴走が検知できなかったのに対し
て、本発明ではこの状態での外部出力回路6に対する不
正なアクセス信号を取出すようにしたので、初期処理プ
ログラムの暴走を検知することができる。
【図1】本発明の一実施例としてのシステムの要部構成
を示すブロック回路図
を示すブロック回路図
【図2】図1に対応する従来の回路図
1 マイクロコンピュータ 2 モノステーブルタイマ 3 RSフリップフロップ 4 パワーオンリセット信号出力回路 5 表示器 6 外部出力回路 7 システムリセットスイッチ 8 ANDゲート 9 ORゲート 10 システムバス 11 ORゲート 12 ANDゲート 13 ANDゲート T モノステーブルタイマトリガ信号 E モノステーブルタイマ出力信号 F 故障信号 S ウォッチドッグタイマ起動/停止信号 R リセットスタート信号 w 外部出力回路書き込み要求信号 d 外部出力回路書き込みデータ D 外部出力回路出力信号 f1 ウォッチドッグタイマ故障信号 f2 不正アクセス故障信号 W 外部出力回路書き込み信号
Claims (2)
- 【請求項1】マイクロコンピュータの起動時点からこの
マイクロコンピュータが所定の初期処理を終えるまでの
間、ウォッチドッグタイマ回路の機能を停止するように
したマイクロコンピュータ・システムにおいて、 前記ウォッチドッグタイマ回路の機能が停止されている
状態で、所定の出力用デバイスに対し前記マイクロコン
ピュータが出力したアクセス信号の到達を阻止する手段
を備えたことを特徴とするマイクロコンピュータの誤動
作防止回路。 - 【請求項2】請求項1に記載の誤動作防止回路におい
て、前記ウォッチドッグタイマ回路の機能が停止されて
いる状態で、前記出力用デバイスに対して前記マイクロ
コンピュータが出力したアクセス信号をこのマイクロコ
ンピュータの暴走を示す信号として取出す手段を備えた
ことを特徴とするマイクロコンピュータの誤動作防止回
路。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP3324897A JPH05158750A (ja) | 1991-12-10 | 1991-12-10 | マイクロコンピュータの誤動作防止回路 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP3324897A JPH05158750A (ja) | 1991-12-10 | 1991-12-10 | マイクロコンピュータの誤動作防止回路 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH05158750A true JPH05158750A (ja) | 1993-06-25 |
Family
ID=18170851
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP3324897A Pending JPH05158750A (ja) | 1991-12-10 | 1991-12-10 | マイクロコンピュータの誤動作防止回路 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH05158750A (ja) |
-
1991
- 1991-12-10 JP JP3324897A patent/JPH05158750A/ja active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8954801B2 (en) | Microcomputer and method of operation thereof | |
| JPH07134678A (ja) | Ram保護装置 | |
| JPH05225067A (ja) | 重要メモリ情報保護装置 | |
| JPH09134308A (ja) | 重要メモリ情報保護システム | |
| JPH01312638A (ja) | マイクロプロセッサの異常監視リトライ制御装置 | |
| JPH05158750A (ja) | マイクロコンピュータの誤動作防止回路 | |
| JPH10105422A (ja) | 保護装置の制御回路 | |
| JP2870250B2 (ja) | マイクロプロセッサの暴走監視装置 | |
| JPH05233374A (ja) | ウオッチドッグタイマ装置 | |
| JPS603755A (ja) | 出力ポ−ト回路 | |
| JPH0540668A (ja) | プログラム暴走防止方式 | |
| JPH02293939A (ja) | スタックオーバーフロー検出時処理方式 | |
| JPH0822419A (ja) | 誤書込防止方式 | |
| JPH11282726A (ja) | 情報処理システム及びウォッチドッグタイマ運用方法並びにその制御プログラムを記録した記録媒体 | |
| JPH08123704A (ja) | 制御装置 | |
| JPH05257748A (ja) | マイクロプロセッサ装置 | |
| JPH04367012A (ja) | 計算機の温度異常制御装置 | |
| JPH036759A (ja) | 共有メモリ装置の保護方法、アクセス抑止および解除機構、立上げ自己診断報告機構 | |
| JPH039487B2 (ja) | ||
| JPH01226035A (ja) | 制御用コンピュータのフェイルセイフ装置 | |
| JPH02183821A (ja) | 外部情報記憶装置 | |
| JPS60100235A (ja) | 自己診断回路 | |
| JPS61262898A (ja) | 警報装置 | |
| JPH0469744A (ja) | マイクロコンピュータの暴走検知装置 | |
| JPH06103467B2 (ja) | 自動車用コンピュータの誤動作防止方法 |