JPH0760393B2 - Preventing malfunction of automobile computer - Google Patents
Preventing malfunction of automobile computerInfo
- Publication number
- JPH0760393B2 JPH0760393B2 JP60017946A JP1794685A JPH0760393B2 JP H0760393 B2 JPH0760393 B2 JP H0760393B2 JP 60017946 A JP60017946 A JP 60017946A JP 1794685 A JP1794685 A JP 1794685A JP H0760393 B2 JPH0760393 B2 JP H0760393B2
- Authority
- JP
- Japan
- Prior art keywords
- value
- sensor
- read
- output
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/004—Error avoidance
Description
【産業上の利用分野】 本発明は、コンピュータ制御における誤動作を未然に防
止する自動車用コンピュータの誤動作防止方法に関す
る。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a method for preventing malfunction of a computer for a vehicle, which prevents malfunction in computer control.
自動車に搭載された制御用マイクロコンピュータを含む
電子回路は、温度,湿度,振動,電気的ノイズなどの悪
環境下に置かれるので、高度の電子技術が要求される。
電子機器の破壊に対しては、技術進歩により対応技術が
著しく進歩してきているので、現段階ではこれらを利用
して、ほぼ満足すべき状態になっているが、プログラム
制御における誤動作の問題は、充分に解決されていると
はいえない。 特に、長大なステップをシーケンシャルに実行するマイ
クロコンピュータでは、僅か1ノイズが入り込むことで
暴走し、例えばエンジン制御についてのコンピュータの
誤動作で、走行中にエンジンストップを起こすなどの重
大な事態を発生することになる。 そこで、このような最悪の事態を回避するために、電子
制御部分にノイズ混入を防止するフイルタを多用した
り、ウォッチドック回路を外付けして、コンピュータの
ソフトウエア処理の過程で定期的に特定の出力ポートに
“H"状態及び“L"状態のパルスを交互にプログラムラン
信号として出力し、上記ウォッチドック回路でモニタ
し、これが停止したのを検出して“CPU暴走”を判定
し、CPUおよびその他の部分をリセットするなどして、
正常状態に復帰させるなどの提案がなされている。 最近では上記“ウォッチドック回路”の専用ICなどもあ
り、オンチップウォッチドック回路のマイクロコンピュ
ータも発表されいえいる。 しかしながら、ウォッチドック回路が追加される分、コ
ストアップとなり、また、この回路自体の誤動作の問題
が新たに生じることになる。 特にこの方式の決定的な欠陥は、CPUの誤動作が外部に
影響を及ぼしてからでないと(ウォッチドック回路が働
くまで)、正規状態への復帰が得られないことである。 自動車の制御コンピュータの誤動作は、極めて稀れな現
象であり、例えば数万台に1台の割合で発生し、かつ、
数万km走行につき1度位しか発生しないという状況であ
るが、各種試験を行なった結果、得られた情報によっ
て、コンピュータの誤動作の直前には、点火ノイズや電
源サージなどにより、CPU内部のレジスタの保持内容が
変化することに起因すると判明した。すなわちCPUは、
正常なプログラムを実行しているにも拘わらず、レジス
タ内容の変化に伴って誤動作が惹き起こされるのであ
る。 なお、特開昭51-92145号公報には、一定周期でサンプリ
ングされる交流量の現時点を含む引き続く5つのサンプ
リングデータを、第1〜第5データとして取り込み、第
1,第2データに基づき第3データに対する第1の推定値
を算出すると共に、第4,第5データに基づき第3データ
に対する第2の推定値を算出し、第1および第2の推定
値から第3データの許容範囲を定め、第3データが許容
範囲を逸脱しているとき、サンプリングデータに誤りが
生じたことを示す信号を出力し、異常時の処理を異常処
理部で行うことで、連続アナログ量から変換された入力
デジタル量のデータ誤りを検出可能とし、且つ入力デジ
タル量のデータ誤りの検出時に対し異常時の処理を行う
技術が開示されている。 また、特開昭59-27355号公報には、中央処理装置が障害
のとき、中央処理装置から初期設定信号発生回路(初期
設定供給手段)に障害信号を出力し、初期設定信号発生
回路に障害信号が入力されたとき、該初期設定信号発生
回路から中央処理装置へ初期設定信号を出力して、各レ
ジスタおよびフリップフロップ等の内容を予め定められ
た初期値に設定し、中央処理装置を初期設定する技術が
開示されている。An electronic circuit including a control microcomputer mounted on an automobile is placed in a bad environment such as temperature, humidity, vibration, and electrical noise, and thus requires high-level electronic technology.
With respect to the destruction of electronic equipment, the corresponding technology has advanced remarkably due to technological progress, so at this stage, using these, it is almost in a satisfactory state, but the problem of malfunction in program control is It has not been fully resolved. In particular, a microcomputer that executes long steps in sequence may run out of control when only one noise enters, causing a serious situation such as engine stop during running due to a malfunction of the computer for engine control. become. Therefore, in order to avoid such a worst situation, a lot of filters are used in the electronic control section to prevent noise from entering, or a watchdog circuit is externally attached to identify the noise periodically in the process of computer software processing. "H" and "L" state pulses are alternately output to the output port of as a program run signal, monitored by the above watchdog circuit, and when it stops, it judges "CPU runaway", CPU And reset other parts,
Proposals have been made to restore normal conditions. Recently, there are dedicated ICs for the above "watch dock circuit", and the on-chip watch dock circuit microcomputer has been announced. However, since the watchdog circuit is added, the cost increases, and a problem of malfunction of the circuit itself arises. In particular, the decisive flaw of this method is that the malfunction cannot be returned to the normal state until the malfunction of the CPU affects the outside (until the watchdog circuit works). Malfunction of the control computer of a car is an extremely rare phenomenon, and occurs at a rate of, for example, 1 in tens of thousands, and
Although it occurs only about once every tens of thousands of kilometers running, various tests have shown that the information obtained indicates that the internal registers of the CPU may be affected by ignition noise or power surge immediately before the computer malfunctions. It was found that this was due to changes in the content held in. That is, the CPU
Despite the execution of a normal program, malfunctions are caused by changes in the register contents. Incidentally, in Japanese Patent Laid-Open No. 51-92145, the following five sampling data including the present time of the alternating current amount sampled in a constant cycle are taken in as first to fifth data, and
The first estimated value for the third data is calculated based on the first and second data, and the second estimated value for the third data is calculated based on the fourth and fifth data, and the first and second estimated values are calculated. The allowable range of the third data is determined from the above, and when the third data deviates from the allowable range, a signal indicating that an error has occurred in the sampling data is output, and the abnormal processing is performed by the abnormal processing unit. , A technique that enables detection of a data error of an input digital amount converted from a continuous analog amount, and performs processing at the time of abnormality when a data error of an input digital amount is detected. Further, in Japanese Patent Laid-Open No. 59-27355, when the central processing unit fails, a fault signal is output from the central processing unit to the initial setting signal generating circuit (initial setting supply means), and the initial setting signal generating circuit fails. When a signal is input, the initialization signal generator circuit outputs an initialization signal to the central processing unit to set the contents of each register and flip-flop to a predetermined initial value to initialize the central processing unit. Techniques for setting are disclosed.
しかし、上記第1の先行例においては、単に一つの検出
対象(交流量)のみについて、そのサンプリングデータ
の誤りを検出可能としているに過ぎず、検出対象をセン
サ出力値としたとき、そのサンプリングデータが連続し
て異常値を示したときには、これを検出できない。ま
た、5つの連続した現時点を含む過去の連続したデータ
を記憶し、且つ第1,第2データおよび第4,第5データに
基づきそれぞれ第3データに対する第1および第2の推
定値を算出して許容範囲を設定し、第3データが許容範
囲を逸脱しているとき異常と判断するようにしており、
その制御系の構成が複雑である。さらに、異常時の処理
の具体的な開示がない。 また、第2の先行例においては、初期設定信号発生回路
が追加される分、コストアップとなり、また、この回路
自体の誤動作の問題が新たに生じる。また中央処理装置
が障害を生じて外部に影響を及ぼしてからでないと、正
常状態への復帰がなされず、コンピュータ制御による誤
動作を未然に防止することができない。 本発明は上記事情に鑑みてなされたものであり、外部回
路を必要とせず、かつ、未然にコンピュータ制御におけ
る誤動作の発生を未然に防止することができる自動車用
コンピュータの誤動作防止方法を提供することを目的と
する。However, in the first prior art example described above, only one detection target (AC amount) can detect an error in the sampling data, and when the detection target is the sensor output value, the sampling data Cannot continuously be detected when indicates an abnormal value. It also stores past consecutive data including five consecutive present times, and calculates the first and second estimated values for the third data based on the first, second data and fourth, fifth data, respectively. The permissible range is set according to the above, and when the third data deviates from the permissible range, it is determined to be abnormal.
The configuration of the control system is complicated. Furthermore, there is no specific disclosure of processing in the event of an abnormality. Further, in the second prior art example, since the initial setting signal generating circuit is added, the cost is increased, and a problem of malfunction of the circuit itself newly occurs. In addition, unless the central processing unit has a failure and exerts an influence on the outside, the system cannot be returned to the normal state, and a malfunction due to computer control cannot be prevented. The present invention has been made in view of the above circumstances, and provides a malfunction prevention method for a vehicle computer that does not require an external circuit and can prevent malfunction in computer control. With the goal.
上記目的を達成するため、本発明による自動車用コンピ
ュータの誤動作防止方法は、プログラマブルオプション
のレジスタを備えた自動車用コンピュータにおいて、第
1、第2のセンサの各出力値を上記レジスタを介して読
込み、第1のセンサ出力値に対応する読込み値に基づき
第2のセンサの出力値を予測して予測値を設定し、第2
のセンサ出力値に対応する読込み値と上記予測値とを比
較し、許容される範囲で上記第2のセンサの読込み値と
上記予測値とが一致していないときに異常と判断し、上
記各センサに関連するレジスタの値をそれぞれ初期設定
することを特徴とする。In order to achieve the above object, a method for preventing malfunction of an automobile computer according to the present invention is, in an automobile computer equipped with a programmable option register, reading output values of first and second sensors through the register, Based on the read value corresponding to the first sensor output value, the output value of the second sensor is predicted and the predicted value is set, and the second value is set.
The read value corresponding to the sensor output value of the second sensor and the predicted value are compared, and when the read value of the second sensor and the predicted value do not match within an allowable range, it is determined to be abnormal, and It is characterized in that the values of the registers associated with the sensors are initialized respectively.
本発明では、第1,第2のセンサの出力値をレジスタを介
して読込んで、第1のセンサ出力値に対応する読込み値
に基づき第2のセンサ出力値に対する予測値が設定さ
れ、第2のセンサ出力値に対応する読込み値と予測値と
が許容範囲内で一致しないとき異常と判断して、各セン
サに関連するレジスタの値がそれぞれ初期設定されるIn the present invention, the output values of the first and second sensors are read through the register, and the predicted value for the second sensor output value is set based on the read value corresponding to the first sensor output value. When the read value corresponding to the sensor output value and the predicted value do not match within the allowable range, it is determined to be abnormal, and the value of the register associated with each sensor is initialized.
以下、本発明の一実施例を第1図および第2図を参照し
て説明する。 第1図は本発明を実施する自動車搭載のコンピュータの
一例であり、例えば燃料噴射,点火制御などのエンジン
制御、あるいは車速制御に用いられる。 第1図において、符号1はCPU6に必要な制御パラメータ
を供給する各種センサであり、これらセンサ1は、入力
インターフェース3を介して入出力ユニット5に接続さ
れている。また符号2は各種制御アクチュエータで、入
出力ユニット5より出力インターフェース4を介して出
力される駆動信号により駆動される。 入出力ユニット5は、バスライン9を介してCPU6に接続
されており、センサ1の出力をCPU6で処理し、各種アク
チュエータ2を駆動するコマンドを出力するのである。
またCPU6には、入出力ユニット5より割込み線10が接続
されていて、入出力信号に対して入出力ユニット5よ
り、CPU6に対する割込み処理要求が可能となっている。 なお、符号8はCPU6の処理手順を内蔵したROMであり、
符号7はデータの一時退避などに用いるRAMで、それぞ
れバスライン9を介してCPU6と接続されている。 そして上記入出力ユニット5は、通常、汎用LSIで構成
され、複数の機能をソフトウエアで選択するプログラマ
ブルオプションを採用しており、このプログラマブルオ
プションでは、所定のレジスタにCPU6から定数を書込む
形で、機能が一義的に決定される。 次に第2図を用いて、本発明による誤動作防止方法につ
き具体的に説明する。 先ずステップS1で第1のセンサ(1)の出力値の読込み
を行い、データをRAM7にストアする。 次にステップS2で、上記読込みの値に対応してROM8に予
め用意されたデータなどを読出して、第2のセンサ
(2)の出力値に対する予測値を得る。 しかしてステップS3において、第2のセンサ(2)の出
力値を読込み、ステップS4で第2のセンサ出力値に対応
する読込み値と予測値との比較を行なう。その結果、許
容される範囲で第2のセンサ出力値に対応する読込み値
と予測値とが一致し、異常なしと判定されれば、次のル
ーチンに移行するが、異常ありと判定された場合には、
ステップS5において各センサ(1)および(2)につい
て、関連するレジスタの値を初期化するのである。 そして次に、ステップS6でRAM7中に上記異常発生の記録
を残し、またセンサ(1)及び(2)の値を再び読込み
直すのである。 こように処理することで、誤ったデータで通常の処理ル
ーチンが実施されることがなく、プログラム進行中で正
常データへの復帰ができ、外部に対して大きな誤動作を
起こさせることなく、これを未然に防止することができ
る。 なお、本実施例では、第1のセンサを単一とし、第1の
センサ出力値に対応する読込み値に基づき第2のセンサ
出力値に対する予測値を設定するようにしているが、第
1のセンサとして複数のセンサを用い、複数のセンサ出
力値の読込み値に基づき予測値を設定するようにしても
よい。An embodiment of the present invention will be described below with reference to FIGS. 1 and 2. FIG. 1 shows an example of a vehicle-mounted computer embodying the present invention, which is used for engine control such as fuel injection and ignition control, or for vehicle speed control. In FIG. 1, reference numeral 1 denotes various sensors that supply necessary control parameters to the CPU 6, and these sensors 1 are connected to an input / output unit 5 via an input interface 3. Reference numeral 2 denotes various control actuators, which are driven by drive signals output from the input / output unit 5 via the output interface 4. The input / output unit 5 is connected to the CPU 6 via the bus line 9, and the CPU 6 processes the output of the sensor 1 to output commands for driving various actuators 2.
An interrupt line 10 is connected to the CPU 6 from the input / output unit 5, and an interrupt processing request to the CPU 6 can be made from the input / output unit 5 for an input / output signal. In addition, reference numeral 8 is a ROM having a built-in processing procedure of the CPU 6,
Reference numeral 7 is a RAM used for temporary saving of data, etc., and each is connected to the CPU 6 via a bus line 9. The input / output unit 5 is usually composed of a general-purpose LSI and employs a programmable option that selects a plurality of functions by software. In this programmable option, a constant is written from a CPU 6 to a predetermined register. , The function is uniquely determined. Next, the malfunction prevention method according to the present invention will be specifically described with reference to FIG. First, in step S1, the output value of the first sensor (1) is read and the data is stored in the RAM 7. Next, in step S2, data prepared in advance in the ROM 8 corresponding to the read value is read to obtain a predicted value for the output value of the second sensor (2). Then, in step S3, the output value of the second sensor (2) is read, and in step S4, the read value corresponding to the second sensor output value and the predicted value are compared. As a result, if the read value corresponding to the second sensor output value matches the predicted value within the allowable range and it is determined that there is no abnormality, the process proceeds to the next routine, but if it is determined that there is abnormality Has
In step S5, the value of the associated register is initialized for each sensor (1) and (2). Then, in step S6, the record of the above-mentioned abnormality occurrence is left in the RAM 7, and the values of the sensors (1) and (2) are read again. By processing in this way, normal processing routines are not executed with incorrect data, normal data can be restored while the program is in progress, and this can be done without causing a large malfunction to the outside. It can be prevented. In this embodiment, the first sensor is single and the predicted value for the second sensor output value is set based on the read value corresponding to the first sensor output value. A plurality of sensors may be used as the sensor, and the predicted value may be set based on the read values of the plurality of sensor output values.
以上説明したように本発明によれば、第1のセンサ出力
値に対応する読込み値に基づき第2のセンサ出力値に対
する予測値が設定され、第2のセンサ出力値に対応する
読込み値と予測値とが許容範囲内で一致していないとき
異常と判断して、各センサに関連するレジスタの値がそ
れぞれ初期設定されるので、検出対象のセンサ出力値に
対応する読込み値に対し、他のセンサ出力値に基づく予
測値で、そのセンサに関連するレジスタの保持内容の異
常判断がなされ、確実に異常を判定して、点火ノイズや
電源サージなどによりレジスタの保持内容が変化しても
確実に検出することができ、信頼性が向上する。また異
常検出時にはレジスタの値が初期化されて誤動作の原因
が排除され、特別な外付け回路を付加することなく、非
常に簡便な方法でもって、CPUが暴走するのを確実に防
止でき、コンピュータ制御による誤動作を未然に防止す
ることができる。As described above, according to the present invention, the predicted value for the second sensor output value is set based on the read value corresponding to the first sensor output value, and the read value and prediction corresponding to the second sensor output value are set. When the value does not match within the allowable range, it is judged as abnormal and the value of the register related to each sensor is initialized, so the read value corresponding to the sensor output value of the detection target is The predicted value based on the sensor output value is used to judge the abnormality of the content held in the register related to that sensor, and the abnormality is definitely judged, and even if the content held in the register changes due to ignition noise, power surge, etc. It can be detected and reliability is improved. In addition, the register value is initialized when an abnormality is detected, the cause of malfunction is eliminated, and it is possible to reliably prevent the CPU from running away by a very simple method without adding a special external circuit. It is possible to prevent malfunction due to control.
第1図は本発明方法を実施する上でのコンピュータの構
成ブロック図、 第2図は制御手順を示すフローチャートである。 1……センサ、2……アクチュエータ、3……入力イン
ターフェース、4……出力インターフェース、5……入
出力ユニット、6……CPU、7……RAM、8……ROM、9
……バスライン、10……割込み線。FIG. 1 is a configuration block diagram of a computer for carrying out the method of the present invention, and FIG. 2 is a flow chart showing a control procedure. 1 ... Sensor, 2 ... Actuator, 3 ... Input interface, 4 ... Output interface, 5 ... Input / output unit, 6 ... CPU, 7 ... RAM, 8 ... ROM, 9
…… Bus line, 10 …… Interrupt line.
Claims (1)
えた自動車用コンピュータにおいて、 第1、第2のセンサの各出力値を上記レジスタを介して
読込み、第1のセンサ出力値に対応する読込み値に基づ
き第2のセンサの出力値を予測して予測値を設定し、 第2のセンサ出力値に対応する読込み値と上記予測値と
を比較し、 許容される範囲で上記第2のセンサの読込み値と上記予
測値とが一致していないときに異常と判断し、上記各セ
ンサに関連するレジスタの値をそれぞれ初期設定するこ
とを特徴とする自動車用コンピュータの誤動作防止方
法。1. A vehicle computer having a programmable option register, wherein each output value of a first sensor and a second sensor is read through the register, and a first value is read based on the read value corresponding to the first sensor output value. The output value of the second sensor is predicted, the predicted value is set, the read value corresponding to the second sensor output value is compared with the predicted value, and the read value of the second sensor is compared within the allowable range. A method for preventing malfunction of an automobile computer, comprising determining that an abnormality occurs when the predicted values do not match, and initializing the values of registers associated with the respective sensors.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP60017946A JPH0760393B2 (en) | 1985-01-31 | 1985-01-31 | Preventing malfunction of automobile computer |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP60017946A JPH0760393B2 (en) | 1985-01-31 | 1985-01-31 | Preventing malfunction of automobile computer |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPS61175830A JPS61175830A (en) | 1986-08-07 |
| JPH0760393B2 true JPH0760393B2 (en) | 1995-06-28 |
Family
ID=11957937
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP60017946A Expired - Lifetime JPH0760393B2 (en) | 1985-01-31 | 1985-01-31 | Preventing malfunction of automobile computer |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH0760393B2 (en) |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS5192145A (en) * | 1975-02-12 | 1976-08-12 | ||
| JPS5927355A (en) * | 1982-08-03 | 1984-02-13 | Nec Corp | Information processing system |
-
1985
- 1985-01-31 JP JP60017946A patent/JPH0760393B2/en not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JPS61175830A (en) | 1986-08-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US4386427A (en) | Fail-safe device in an electronic control system for an automotive vehicle | |
| US4339801A (en) | Automatic control system for method and apparatus for checking devices of an automotive vehicle in use with a microcomputer | |
| US6076172A (en) | Monitoting system for electronic control unit | |
| JPH05147477A (en) | Vehicular control device | |
| US20150175170A1 (en) | Electronic control unit | |
| US4775957A (en) | Microcomputer with abnormality sensing function | |
| US4587655A (en) | Fail-safe system for vehicular computer | |
| USRE31582E (en) | Automatic control system for method and apparatus for checking devices of an automotive vehicle in use with a microcomputer | |
| JP4042466B2 (en) | Memory diagnostic device and control device | |
| US5043984A (en) | Method and system for inspecting microprocessor-based unit and/or component thereof | |
| US8160779B2 (en) | Monitoring device for the function of an electronic control device, and method for this purpose | |
| JPH0760393B2 (en) | Preventing malfunction of automobile computer | |
| JPS60162959A (en) | Electronic engine controller | |
| US20070294007A1 (en) | Active Front Steer Angle Sensor Failure Detection System and Method | |
| JPS5928048A (en) | Self-diagnosis starting system in self diagnosing device for automobile engine control device | |
| JPH06103467B2 (en) | Preventing malfunction of automobile computer | |
| KR100188716B1 (en) | Memory diagnosing method of ecu | |
| JPH0646385B2 (en) | Preventing malfunction of automobile computer | |
| JPH1131011A (en) | Fault detecting device for electronic control system | |
| JPH06305376A (en) | Control device for vehicle | |
| JPH1083355A (en) | Memory checking mechanism for vehicle controller | |
| JPS61175829A (en) | Malfunction preventing system of computer for automobile | |
| JPS61175828A (en) | Malfunction preventing system of computer for automobile | |
| KR100197107B1 (en) | Self-diagnostic fault preventing method of outputing actuator | |
| JPS63248969A (en) | Trouble diagnosing device for fuel injector |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| EXPY | Cancellation because of completion of term |