JPH08328885A - Fault detection method for microcomputer - Google Patents
Fault detection method for microcomputerInfo
- Publication number
- JPH08328885A JPH08328885A JP7133814A JP13381495A JPH08328885A JP H08328885 A JPH08328885 A JP H08328885A JP 7133814 A JP7133814 A JP 7133814A JP 13381495 A JP13381495 A JP 13381495A JP H08328885 A JPH08328885 A JP H08328885A
- Authority
- JP
- Japan
- Prior art keywords
- microcomputer
- failure
- monitoring circuit
- failure detection
- detection method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Hardware Redundancy (AREA)
- Regulating Braking Force (AREA)
Abstract
Description
【0001】[0001]
【産業上の利用分野】本発明は、例えばABS(アンチ
ロックブレーキシステム)電子制御ユニット等に使用さ
れるマイクロコンピュータの故障検出方法に関するもの
である。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a failure detection method for a microcomputer used in, for example, an ABS (antilock brake system) electronic control unit.
【0002】[0002]
【従来の技術】マイクロコンピュータ(以下、マイコ
ン)の故障を検出するひとつの方法として従来、図9に
示すように、全く同一のマイコン1を2個使用する方
法、いわゆるダブルマイコンがある。この方法では、両
マイコン1に外部より同一信号を入力し、それぞれの演
算結果として出力される信号を互いにモニタし、自分の
出力信号と他方の出力信号とを比較して、一致しない場
合に故障として検出するという方法である。2. Description of the Related Art Conventionally, as one method of detecting a failure of a microcomputer (hereinafter referred to as a microcomputer), there is a so-called double microcomputer as shown in FIG. 9 in which two identical microcomputers 1 are used. In this method, the same signal is input to both microcomputers 1 from the outside, the signals output as the respective calculation results are mutually monitored, their own output signals are compared with the other output signal, and if they do not match, a failure occurs. It is a method of detecting as.
【0003】例えば、このような方法を使ったABS
(アンチロックブレーキシステム)の電子制御ユニット
では、四輪の車輪速度信号を両マイコン1にそれぞれ入
力し、それぞれのマイコン1が、その車輪速度を基にA
BS制御演算を行い、その結果得られた油圧制御用ソレ
ノイド出力信号等をそれぞれが比較して故障検出を行な
っている。For example, ABS using such a method
In the electronic control unit of (anti-lock brake system), the wheel speed signals of the four wheels are input to both microcomputers 1, and each microcomputer 1 outputs A based on the wheel speed.
The BS control calculation is performed, and the hydraulic control solenoid output signals and the like obtained as a result are compared with each other to detect a failure.
【0004】[0004]
【発明が解決しようとする課題】しかしながら、上記の
ダブルマイコンの構成では、故障検出のために同機能の
マイコンが2個必要であり、回路規模が大きくなってコ
スト高になるという問題がある。However, the above-mentioned double microcomputer configuration has a problem that two microcomputers having the same function are required to detect a failure, resulting in a large circuit scale and high cost.
【0005】そこで、この発明の課題は、同機能のマイ
コンを2個使用することなく、回路規模も小さく、か
つ、低コストで実施できるマイコンの故障検出方法を提
供することである。SUMMARY OF THE INVENTION An object of the present invention is to provide a microcomputer failure detection method which can be implemented at a low cost and a small circuit scale without using two microcomputers having the same function.
【0006】[0006]
【課題を解決するための手段】上記の課題を解決するた
め、第1の発明では、故障検出対象のマイクロコンピュ
ータに、故障検出のための演算処理を、マイクロコンピ
ュータの本来の機能(例えば、アンチロックシステムの
場合、アンチロック制御処理)とは別に設けるととも
に、前記マイクロコンピュータの故障検出のための演算
処理を実現するために必要な演算命令を実行することの
できる演算回路部を備えた監視回路を設け、前記マイク
ロコンピュータと監視回路に同一の設定データに基づく
同一の演算処理を実行させ、その際、出力される両者の
演算結果を比較照合し、その照合差から故障を検出する
という方法を採用したのである。In order to solve the above-mentioned problems, in the first invention, a microcomputer for failure detection is provided with arithmetic processing for failure detection, and an original function of the microcomputer (for example, In the case of a lock system, the monitoring circuit is provided separately from the anti-lock control process) and has an arithmetic circuit unit capable of executing an arithmetic command necessary for realizing the arithmetic process for detecting the failure of the microcomputer. Is provided, and the microcomputer and the monitoring circuit are caused to execute the same arithmetic processing based on the same setting data. At that time, the output operation results of both are compared and collated, and a failure is detected from the collation difference. It was adopted.
【0007】このとき、第2の発明では、上記マイクロ
コンピュータと監視回路とにそれぞれ通信手段を設け、
上記故障検出の際、設定データとそのデータに基づく演
算結果とをやり取りするという方法を採用したのであ
る。At this time, in the second invention, communication means is provided in each of the microcomputer and the monitoring circuit,
At the time of detecting the failure, a method of exchanging setting data and a calculation result based on the data is adopted.
【0008】また、第3の発明では、上記第2の発明に
おいて、通信手段の制御用通信プログラムをメインルー
チンとそのメインルーチンに従属するサブルーチンとで
構成されるものとし、前記故障検出のための演算処理の
結果を、前記マイクロコンピュータと監視回路との間で
やり取りするという方法を採用したのである。According to a third aspect of the present invention, in the above second aspect, the communication program for controlling the communication means is composed of a main routine and a sub-routine subordinate to the main routine. The method of exchanging the result of the arithmetic processing between the microcomputer and the monitoring circuit was adopted.
【0009】さらに、第4の発明では、上記マイクロコ
ンピュータと監視回路とに演算処理を実行させる際、上
記同一の演算処理がマイクロコンピュータの全インスト
ラクションを実行するものとし、かつ、マイクロコンピ
ュータの内部バス全てに対してアクセスするものとし
て、その際、出力される両者の演算結果を比較照合し、
その照合差から故障を検出するという方法を採用したの
である。Further, in the fourth invention, when the microcomputer and the monitoring circuit execute arithmetic processing, the same arithmetic processing executes all instructions of the microcomputer, and an internal bus of the microcomputer. Assuming that all of them are accessed, at that time, the output operation results of both are compared and collated,
The method of detecting the failure from the matching difference was adopted.
【0010】このとき、第5の発明では、上記マイクロ
コンピュータと監視回路とに演算処理を実行させる際、
各回ごとにランダムな設定データに基づく演算処理を実
行させ、その際、出力される両者の演算結果を比較照合
し、その照合差から故障を検出するという方法を採用し
たのである。At this time, in the fifth invention, when the microcomputer and the monitoring circuit are caused to execute arithmetic processing,
A method is adopted in which a calculation process based on random setting data is executed each time, the output calculation results of both are compared and collated, and a failure is detected from the collation difference.
【0011】また、第6の発明では、上記マイクロコン
ピュータと監視回路の演算結果の比較照合の際、その比
較照合をマイクロコンピュータと監視回路の両方で各々
独立して行なわせるという方法を採用したのである。Further, in the sixth aspect of the invention, when comparing and collating the calculation results of the microcomputer and the monitoring circuit, a method is adopted in which both the microcomputer and the monitoring circuit perform the matching independently. is there.
【0012】第7の発明では、上記マイクロコンピュー
タの作動時に、上記故障検出を所定の周期で繰り返し行
なわせるという方法を採用したのである。In the seventh invention, a method is adopted in which the failure detection is repeatedly performed at a predetermined cycle when the microcomputer operates.
【0013】[0013]
【作用】このように構成される第1の発明では、故障検
出対象のマイコンに設けられた監視回路は、故障対象の
マイコンと同様の例えば、アキュームレータによるデー
タの加減算あるいはレジスタ間のデータの転送やレジス
タへのデータのストアなど演算命令を行なう演算部を備
えることにより、マイコンと同じデータの処理を実行す
ることができるようになっており、前記マイコンと監視
回路に同一の設定データに基づく同一の演算処理を実行
させると、両者が正常に機能していればその演算結果は
同じになるはずである。そのため、両者の演算結果を比
較照合したときに差が生じていれば、どちらかに異常が
生じていることになり、そのことからマイコンの故障が
検出できる。According to the first aspect of the invention configured as described above, the monitoring circuit provided in the failure detection target microcomputer is the same as the failure target microcomputer, for example, addition / subtraction of data by an accumulator or transfer of data between registers. By providing an arithmetic unit for executing arithmetic instructions such as storing data in a register, it is possible to execute the same data processing as that of the microcomputer, and the same microcomputer and monitoring circuit based on the same setting data. When the arithmetic processing is executed, if both are functioning normally, the arithmetic result should be the same. Therefore, if there is a difference when comparing and collating the calculation results of both, it means that there is an abnormality in one of them, and from this, a failure of the microcomputer can be detected.
【0014】このとき、故障の検出を演算結果の照合に
より行っているので、両者の処理は同期している必要は
なく、両者の処理速度は同一でなくても故障の検出がで
きるので、監視回路はマイコンに比べて低速のものを使
用することができる。At this time, since the failure is detected by collating the calculation results, the processing of both does not have to be synchronized, and the failure can be detected even if the processing speeds of the both are not the same. The circuit used can be slower than the microcomputer.
【0015】また、監視回路は、前記のように演算処理
ができるものであればよいので、故障検出対象のマイコ
ンと同一のものを使用しなくても故障の検出を行なうこ
とができる。Further, the monitoring circuit may be any as long as it can perform the arithmetic processing as described above, and therefore the failure can be detected without using the same microcomputer as the failure detection target.
【0016】第2の発明では、マイコンと監視回路とに
それぞれ通信手段を設け、故障検出の際、設定データと
そのデータに基づく演算結果とをやり取りすることによ
り、マイコンと監視回路の両者間でデータの送受を行っ
て故障の検出が行える。In the second aspect of the invention, communication means are provided in the microcomputer and the monitoring circuit respectively, and when the failure is detected, the setting data and the calculation result based on the data are exchanged, so that the microcomputer and the monitoring circuit both exchange. Faults can be detected by sending and receiving data.
【0017】第3の発明では、通信手段の制御用通信プ
ログラムをメインルーチンとそのメインルーチンに従属
するサブルーチンとで構成されるものとして、故障検出
の際、前記プログラムのメインルーチンとサブルーチン
とを起動しなければ、マイコンと監視回路間で設定デー
タとそのデータに基づく演算結果とをやり取りできない
ようにしたので、マイコンを暴走させる例えば、メイン
ルーチンの処理の中で部分的な無限ループが生じた場合
や割り込み処理によるサブルーチン内に無限ループが発
生した場合に、通信手段が起動しなくなり、そのことか
ら照合結果に差が生じ、暴走モードの故障の検出ができ
る。In the third invention, the communication program for controlling the communication means is constituted by a main routine and a subroutine subordinate to the main routine, and when the failure is detected, the main routine and the subroutine of the program are activated. Otherwise, the setting data and the calculation result based on that data cannot be exchanged between the microcomputer and the monitoring circuit, so that the microcomputer runs away.For example, if a partial infinite loop occurs in the processing of the main routine When an infinite loop occurs in a subroutine due to or interrupt processing, the communication means is not activated, which causes a difference in the collation result, and a failure in the runaway mode can be detected.
【0018】第4の発明では、上記演算処理がマイクロ
コンピュータの全インストラクションを実行し、かつ、
マイクロコンピュータの内部バス全てに対してアクセス
するようにしたことにより、設定データを用いて全ての
インストラクション及び内部バスにデータをアクセスし
た結果をチェックすることができるため、マイコンの全
ての機能についてのチェックが行なえ、故障の検出が行
える。In a fourth aspect of the invention, the arithmetic processing executes all the instructions of the microcomputer, and
By accessing all the internal buses of the microcomputer, it is possible to check all instructions using the setting data and the result of accessing the internal bus, so check all functions of the microcomputer. The failure can be detected.
【0019】第5の発明では、故障の検出を行うごと
に、設定データをランダムな値になるようにしたことに
より、検出のたびごとにデータのビットの状態を変化、
すなわち、ビットの、「1」と「0」とを変化させてビ
ットの状態の異なったデータを用いた演算結果の比較照
合を行なって、ビット単位のチェックを行なうことがで
きるので、例えば、マイコン内部のアキュムレータ、レ
ジスタ、プログラムカウンタや内部バスなどのビットが
「1」または「0」のどちらかに固着した固着故障の検
出も行なえる。According to the fifth aspect of the invention, the setting data is set to have a random value each time a failure is detected, so that the state of the data bit is changed at each detection.
That is, since it is possible to perform a bit-by-bit check by comparing "1" and "0" of bits and comparing and collating operation results using data having different bit states, for example, a microcomputer It is also possible to detect a sticking failure in which the bits of the internal accumulator, register, program counter, internal bus, etc. are stuck to either "1" or "0".
【0020】第6の発明では、マイクロコンピュータと
監視回路の演算結果の比較照合の際、その比較照合をマ
イクロコンピュータと監視回路の両方で各々独立に行な
うことにより、一方のデバイスが故障した場合でも他方
の判定により、故障の判定が行える。According to the sixth aspect of the present invention, when comparing and collating the calculation results of the microcomputer and the monitoring circuit, the comparison and collation are independently performed by both the microcomputer and the monitoring circuit, so that even if one device fails. A failure can be determined by the other determination.
【0021】第7の発明では、マイクロコンピュータの
作動時に、上記故障検出を所定の周期で繰り返し行なわ
せることにより、マイコンを使用したシステムの作動中
の故障を常時検出できる。According to the seventh aspect of the present invention, when the microcomputer is operated, the above-mentioned failure detection is repeatedly performed at a predetermined cycle, so that the failure can be always detected during the operation of the system using the microcomputer.
【0022】[0022]
【実施例】以下、この発明を図面に基づいて説明する。DESCRIPTION OF THE PREFERRED EMBODIMENTS The present invention will be described below with reference to the drawings.
【0023】図1に第1実施例として第1の発明の故障
検出方法に係るマイコン1のブロック図を示す。FIG. 1 shows a block diagram of a microcomputer 1 according to the failure detecting method of the first invention as a first embodiment.
【0024】図1に示すように、この実施例のマイコン
1は、マイコン1と監視回路2とからなり、両者は、共
通のバス3により接続されて、データの入出力ができる
ようになっている。As shown in FIG. 1, the microcomputer 1 of this embodiment comprises a microcomputer 1 and a monitoring circuit 2, both of which are connected by a common bus 3 so that data can be input and output. There is.
【0025】マイコン1は、モニタプログラムまたはO
S内に故障検出手段として故障検出用の処理プログラム
が内蔵されており、この処理プログラムを起動すること
により、故障の検出を行う。The microcomputer 1 uses a monitor program or O
A processing program for failure detection is built in S as failure detection means, and the failure is detected by activating this processing program.
【0026】この処理プログラムは、図2に示すよう
に、設定部と実行部及び判定部とで構成され、設定部が
初期値データを設定し、実行部がその初期値データに基
づいてマイコン1に所定の演算処理を実行させる。同時
に、設定部は、設定した初期値データを監視回路2へ出
力する。また、判定部は、実行部の演算処理により得ら
れたマイコン1の演算結果のデータと監視回路2から入
手した演算結果のデータを照合することにより、故障を
検出する。As shown in FIG. 2, this processing program is composed of a setting section, an execution section, and a determination section. The setting section sets initial value data, and the execution section uses the microcomputer 1 based on the initial value data. To execute a predetermined calculation process. At the same time, the setting unit outputs the set initial value data to the monitoring circuit 2. Further, the determination unit detects a failure by collating the data of the calculation result of the microcomputer 1 obtained by the calculation processing of the execution unit with the data of the calculation result obtained from the monitoring circuit 2.
【0027】一方、監視回路2は、入出力回路部と演算
回路部及び制御回路部とを備え、入出力回路部は前記バ
ス3と接続され、監視回路2とマイコン1とのデータの
授受を行ない、演算回路部は、例えば、アキュムレー
タ、加減算器、入出力用のレジスタを備え、前記マイコ
ン1と同様の演算命令を実行する。On the other hand, the monitoring circuit 2 includes an input / output circuit section, an arithmetic circuit section and a control circuit section, and the input / output circuit section is connected to the bus 3 to exchange data between the monitoring circuit 2 and the microcomputer 1. The operation circuit unit includes, for example, an accumulator, an adder / subtractor, and an input / output register, and executes the same operation instruction as that of the microcomputer 1.
【0028】また、この演算回路部は、前記マイコン1
の実行部と同様の処理プログラムをメモリ内に格納した
制御回路部によって制御され、前記マイコン1から出力
される初期値データに基づいてマイコン1と同じ演算処
理を実行するようになっている。Further, this arithmetic circuit unit is the same as the microcomputer 1 described above.
It is controlled by a control circuit unit in which a processing program similar to that of the execution unit is stored in the memory and executes the same arithmetic processing as that of the microcomputer 1 based on the initial value data output from the microcomputer 1.
【0029】なお、実施例では、監視回路2はマイコン
1のバス3上に配置するようにしたが、これに限定され
ることはなく、例えば、監視回路2をマイコン1のチッ
プ内に設けるようにしてもよい。Although the monitoring circuit 2 is arranged on the bus 3 of the microcomputer 1 in the embodiment, the invention is not limited to this. For example, the monitoring circuit 2 may be provided in the chip of the microcomputer 1. You may
【0030】この実施例は以上のように構成されてお
り、次に、その作用を述べることにより、第1の発明の
故障検出方法を説明する。This embodiment is constructed as described above. Next, the operation of the embodiment will be described to explain the failure detecting method of the first invention.
【0031】このマイコン1では、故障検出手段である
モニタまたはOS内の故障検出用の処理プログラムを起
動することにより故障検出を行なう。このとき、起動さ
れた処理プログラムは、あらかじめ設定された初期値デ
ータに基づきあらかじめ決められた手順に従って演算処
理を実行する。同時に、マイコン1は、起動命令と共
に、初期値データをバス3を介して監視回路2に出力
し、監視回路2を起動して初期値データに基づく演算処
理を実行させる。このとき、監視回路2が実行する演算
処理は、制御回路部に格納されたマイコン1の実行部と
同様の処理プログラムによってマイコン1から入力され
たデータの演算処理を行なう。また、こうして監視回路
2で演算された結果は、入出力回路部よってマイコン1
へ返信され、それを受けたマイコン1は、その演算結果
を判定回路部に入力して、マイコン1が演算した結果と
比較照合する。このとき、比較照合されるマイコン1と
監視回路2との演算結果は、同一のデータに基づく同一
の演算処理を行なっており、両者が正常に機能していれ
ば、差は出力されることはない。一方、両者の内いずれ
か一方、あるいは両方(両方に異常が生じて同じ結果を
出力する確率は非常に小さい)に異常が生じていれば、
演算結果に差が生じるので、マイコン1の故障を検出で
きる。The microcomputer 1 detects a failure by activating a monitor as a failure detecting means or a processing program for detecting a failure in the OS. At this time, the started processing program executes arithmetic processing in accordance with a predetermined procedure based on preset initial value data. At the same time, the microcomputer 1 outputs the initial value data to the monitoring circuit 2 via the bus 3 together with the activation command, activates the monitoring circuit 2 and executes the arithmetic processing based on the initial value data. At this time, the arithmetic processing executed by the monitoring circuit 2 is the arithmetic processing of the data input from the microcomputer 1 by the same processing program as the execution unit of the microcomputer 1 stored in the control circuit unit. Further, the result calculated by the monitoring circuit 2 in this way is returned to the microcomputer 1 by the input / output circuit section.
The microcomputer 1 which has received the response and inputs the calculation result to the determination circuit unit and compares and collates it with the result calculated by the microcomputer 1. At this time, the calculation results of the microcomputer 1 and the monitoring circuit 2 which are compared and collated are subjected to the same calculation processing based on the same data, and if both are functioning normally, the difference is not output. Absent. On the other hand, if there is an abnormality in either or both of them (the probability that both will be abnormal and the same result is output) is abnormal,
Since there is a difference in the calculation results, the failure of the microcomputer 1 can be detected.
【0032】このように、この方法では、マイコン1と
マイコン1と同じ命令を実行することのできる演算回路
部を備えただけの軽量な監視回路2に、同一のデータに
基づく同一の演算処理を実行させることにより、故障の
検出を行なっているので、回路規模を大きくすることな
く低コストでマイコン1の故障の検出が行なえる。As described above, according to this method, the same arithmetic processing based on the same data is applied to the microcomputer 1 and the lightweight monitoring circuit 2 only having the arithmetic circuit section capable of executing the same instruction as the microcomputer 1. Since the failure is detected by executing it, the failure of the microcomputer 1 can be detected at low cost without increasing the circuit scale.
【0033】また、このとき、演算結果を照合して故障
の検出を行なっているので、両者の処理は同期している
必要はなく、両者の処理速度は同じでなくてもよいの
で、例えば監視回路2にはマイコン1よりも低速のマイ
コン1や処理能力の低い下位のマイコン1を使用したり
することもできる。Further, at this time, since the failure is detected by collating the calculation results, the processings of the both need not be synchronized, and the processing speeds of the both need not be the same. For the circuit 2, it is possible to use a microcomputer 1 having a lower speed than the microcomputer 1 or a lower microcomputer 1 having a low processing capacity.
【0034】次に、第2実施例として第2の発明に係る
故障検出方法を説明する。Next, a fault detecting method according to the second invention will be described as a second embodiment.
【0035】この実施例は、図3に示すように、第1実
施例の図1のマイコン1と監視回路2とを接続するバス
接続に代えて、マイコン1と監視回路2とに通信手段と
してシリアル伝送用のポート4を設け、そのポート4同
士を接続し、故障検出の際、設定データとそのデータに
基づく演算結果とをやり取りさせるという方法で、この
ような方法を用いることにより、バス3のファンアウト
の余裕の有無に係わらず監視回路2を設けることができ
る。In this embodiment, as shown in FIG. 3, instead of the bus connection for connecting the microcomputer 1 and the monitoring circuit 2 of FIG. 1 of the first embodiment, the microcomputer 1 and the monitoring circuit 2 are provided with communication means. By providing a port 4 for serial transmission, connecting the ports 4 to each other, and exchanging setting data and a calculation result based on the data when a failure is detected, by using such a method, the bus 3 The monitoring circuit 2 can be provided regardless of whether or not there is a fan-out margin.
【0036】他の作用効果については第1実施例と同様
であるので、その説明を省略することにする。The other functions and effects are the same as those of the first embodiment, and therefore the description thereof will be omitted.
【0037】第3実施例として第3の発明の故障検出方
法を説明することにする。As a third embodiment, the fault detecting method of the third invention will be described.
【0038】この実施例は、図4に示すように、第2の
発明において、通信手段の通信制御用のプログラムをメ
インルーチンとそのメインルーチンに従属するサブルー
チンとで構成されるものとし、通信のためメインルーチ
ンを起動すると、サブルーチンが起動されるようにする
という方法である。In this embodiment, as shown in FIG. 4, in the second invention, the program for communication control of the communication means is composed of a main routine and a subroutine subordinate to the main routine, and Therefore, when the main routine is activated, the subroutine is activated.
【0039】このような方法を行なうことにより、例え
ば、メインルーチンで通信ポート4のレジスタへの通信
データの設定を行い、サブルーチンで通信の起動を行う
ようにすれば、マイコン1の暴走を引き起こす原因とさ
れるメインルーチンまたはサブルーチンの中で無限ルー
プが発生すると、そのループによりメインルーチンもし
くはサブルーチンの処理が実行されなくなり、通信制御
用のプログラムが起動できなくなって、設定データや演
算結果の送受ができなくなるため、比較照合の際、両者
の出力に差が生じ、この差を検出することにより、暴走
モードの検出ができる。By carrying out such a method, for example, if the communication data is set in the register of the communication port 4 in the main routine and the communication is started in the subroutine, the cause of the runaway of the microcomputer 1 is caused. If an infinite loop occurs in the main routine or subroutine, the main routine or subroutine will no longer be executed due to that loop, and the communication control program will not be able to start, making it possible to send and receive setting data and calculation results. Since there is no such difference, a difference occurs between the outputs of the two during comparison and verification, and the runaway mode can be detected by detecting this difference.
【0040】他の作用効果については第2実施例と同様
であるので、その説明は省略することにする。The other functions and effects are the same as those of the second embodiment, so the description thereof will be omitted.
【0041】第4実施例として第4の発明に係る故障検
出方法を説明する。A failure detecting method according to the fourth invention will be described as a fourth embodiment.
【0042】この実施例では、第1乃至3の実施例にお
いて、マイコン1のモニタプログラムまたはOS内に故
障検出手段として内蔵された故障検出用の処理プログラ
ムの演算処理と、監視回路2の制御回路部に格納された
処理プログラムの演算処理とをマイコン1の全インスト
ラクション、例えば、図5に示すような、アキュームレ
ータへのデータの転送やアキュームレータを用いた演算
あるいはレジスタ間の転送やレジスタへのデータの入出
力などについて設定データをオフセットとして行なうよ
うにし、かつ、そのデータを用いてマイコン1の内部バ
ス全てに対してアクセスするという方法である。In this embodiment, in the first to third embodiments, the arithmetic processing of the monitor program of the microcomputer 1 or the processing program for failure detection incorporated as failure detection means in the OS and the control circuit of the monitoring circuit 2 are performed. The operation processing of the processing program stored in the unit is performed by all instructions of the microcomputer 1, for example, data transfer to an accumulator as shown in FIG. This is a method in which setting data for input / output and the like is used as an offset, and that data is used to access all the internal buses of the microcomputer 1.
【0043】したがって、このような方法を行うことに
より、マイコン1の機能全てがチェックできるようにな
るため、故障検出の信頼性の向上が図れる。Therefore, by carrying out such a method, all the functions of the microcomputer 1 can be checked, so that the reliability of failure detection can be improved.
【0044】なお、他の作用効果については、第1乃至
第3実施例と同じであるので、説明は省略することとす
る。The other functions and effects are the same as those of the first to third embodiments, and the description thereof will be omitted.
【0045】第5実施例として第5の発明に係る故障検
出方法を説明する。As a fifth embodiment, a fault detecting method according to the fifth invention will be described.
【0046】この実施例では、第1乃至第2の実施例の
マイコン1に図6に示すように、フリーランニングカウ
ンタ5を備え、そのカウンタ5を常時ランさせておき、
そのカウンタ5の出力データを故障検出の際に、上記マ
イコン1と監視回路2の演算処理の初期値データとして
用いるという方法で、設定データをランダムな値にする
ことができるため、例えば検出の度ごとに設定データが
固定されることを防ぐことができる。したがって、その
データによる演算処理を複数回行うと、マイコン内部の
アキュームレータ、レジスタ、プログラムカウンタや内
部バスなどの各ビットの状態を「1」と「0」とに変化
させてその演算結果を比較照合し、ビットのチェックが
行なえるので、ビットが「1」や「0」に固着した場合
でも、その固着故障を検出できる。In this embodiment, the microcomputer 1 of the first and second embodiments is provided with a free running counter 5 as shown in FIG. 6, and the counter 5 is always run.
By using the output data of the counter 5 as the initial value data of the arithmetic processing of the microcomputer 1 and the monitoring circuit 2 at the time of failure detection, the setting data can be set to a random value. It is possible to prevent the setting data from being fixed for each. Therefore, if the arithmetic processing with the data is performed multiple times, the state of each bit of the accumulator, register, program counter, internal bus, etc. inside the microcomputer is changed to "1" and "0", and the arithmetic results are compared and collated. However, since the bit can be checked, even if the bit is stuck to "1" or "0", the sticking failure can be detected.
【0047】なお、実施例では、ランダムな値を得るた
めに、カウンタ5を設けたが、カウンタ5に代えて例え
ば、マイコン1がソフト的に乱数を発生させてランダム
値を算出するようにしてもよい。In the embodiment, the counter 5 is provided in order to obtain a random value, but instead of the counter 5, for example, the microcomputer 1 generates a random number by software to calculate the random value. Good.
【0048】また、他の作用効果については第1乃至第
4実施例と同様であるので、その説明は省略することに
する。Further, other operational effects are the same as those of the first to fourth embodiments, and therefore the description thereof will be omitted.
【0049】第6実施例として第6の発明に係る故障検
出方法を説明する。A fault detecting method according to the sixth invention will be described as a sixth embodiment.
【0050】この実施例は、第1乃至第5の実施例の監
視回路2に、例えば図7に示すようにマイコン1と同じ
処理を行う判定回路部6を設け、マイコン1の判定部と
で相互に授受した演算結果を、各々独立に比較照合する
という方法であって、一方のデバイスが故障を起こした
ような場合でも他方の判定部の判定により、故障の検出
ができるようにするという方法である。その結果、マイ
コン1の判定部が故障を起こして判定が行なえなくなる
事態を減少させて信頼性を向上することができる。In this embodiment, the monitoring circuit 2 of the first to fifth embodiments is provided with a determination circuit section 6 for performing the same processing as that of the microcomputer 1 as shown in FIG. A method of independently comparing and collating operation results exchanged with each other, and enabling a failure to be detected by the judgment of the other judgment unit even when one device has a failure Is. As a result, it is possible to reduce the situation in which the determination unit of the microcomputer 1 fails and cannot make a determination, and the reliability can be improved.
【0051】他の作用効果については第1乃至第5実施
例と同様であるので、その説明は省略することにする。The other functions and effects are the same as those of the first to fifth embodiments, and the description thereof will be omitted.
【0052】第7実施例として第7の発明に係る故障検
出方法を説明する。A fault detecting method according to the seventh invention will be described as a seventh embodiment.
【0053】この実施例は、第1乃至第6の発明におい
て、例えば図8に示すように、マイコン1にタイマ7を
設け、そのタイマ7による割り込み処理により所定の周
期で故障検出プログラムを起動することにより、故障の
検出を、マイコン1を使用したシステムの作動中も常時
行なうようにした方法である。そして、その方法を用い
た結果、マイコン1を使用したシステムの作動中の故障
を常時検出して信頼性の向上を図ることができる。In this embodiment, in the first to sixth inventions, for example, as shown in FIG. 8, a timer 7 is provided in the microcomputer 1, and the failure detection program is activated at a predetermined cycle by the interrupt processing by the timer 7. Therefore, the failure is always detected even during the operation of the system using the microcomputer 1. As a result of using the method, it is possible to constantly detect a failure during operation of the system using the microcomputer 1 and improve reliability.
【0054】他の作用効果については、第1乃至第6の
実施例と同様なので、省略することにする。Other functions and effects are the same as those of the first to sixth embodiments, and therefore will be omitted.
【0055】[0055]
【効果】このように構成される第1の発明のマイクロコ
ンピュータの故障検出方法では、マイコンとマイコンと
同じ命令を実行することのできる演算部を備えただけの
軽量な監視回路に、同一のデータに基づく同一の演算処
理を実行させることにより、故障の検出を行なっている
ので、従来のダブルマイコンの構成のように、回路規模
を大きくすることなく低コストでマイコンの故障の検出
機能を実現できる。According to the failure detecting method for the microcomputer of the first aspect of the invention configured as described above, the same data is stored in the lightweight monitoring circuit including only the microcomputer and the arithmetic unit capable of executing the same instruction as the microcomputer. Since the failure is detected by executing the same arithmetic processing based on the above, it is possible to realize the failure detection function of the microcomputer at a low cost without increasing the circuit scale like the conventional double microcomputer configuration. .
【0056】第2の発明のマイクロコンピュータの故障
検出方法では、上記第1の発明の効果に加え、上記マイ
クロコンピュータと監視回路とにそれぞれ通信手段を設
け、上記故障検出の際、設定データとそのデータに基づ
く演算結果とをやり取りするという方法を採用したこと
により、バスのファンアウトの余裕の有無に係わらず監
視回路を設けることができるという効果を奏することが
できる。In the microcomputer failure detection method of the second invention, in addition to the effect of the first invention, a communication means is provided in each of the microcomputer and the monitoring circuit, and when the failure is detected, the setting data and the setting data are set. By adopting the method of exchanging the calculation result based on the data, it is possible to provide the effect that the monitoring circuit can be provided regardless of whether or not there is a fan fan-out margin of the bus.
【0057】第3の発明のマイクロコンピュータの故障
検出方法では、上記発明の効果に加え、通信手段の通信
制御用のプログラムをメインルーチンとそのメインルー
チンに従属するサブルーチンとで構成されるものとし、
通信のためメインルーチンを起動すると、サブルーチン
が起動されるようにすることによって、例えばメインル
ーチンまたはサブルーチンの中に無限ループが発生する
と、そのループにより通信手段が起動しないようにでき
るので、暴走モードの検出ができるという効果を奏す
る。In the microcomputer failure detection method of the third invention, in addition to the effects of the above invention, the program for communication control of the communication means is composed of a main routine and a subroutine subordinate to the main routine,
When the main routine is started for communication, the subroutine is started. For example, if an infinite loop occurs in the main routine or the subroutine, the communication means can be prevented from starting by the loop. The effect that it can be detected.
【0058】第4の発明のマイクロコンピュータの故障
検出方法では、上記発明の効果に加え、マイクロコンピ
ュータと監視回路とに演算処理を実行させる際、演算処
理をマイクロコンピュータの全インストラクションを実
行するものとし、かつ、マイクロコンピュータの内部バ
ス全てに対してアクセスするものとしたことにより、マ
イコンの機能全てがチェックできるようになるため、信
頼性の向上が図れるという効果を奏することができる。In addition to the effects of the above-described invention, in the microcomputer failure detection method of the fourth invention, when the microcomputer and the monitoring circuit perform the operation processing, all the instructions of the microcomputer are executed as the operation processing. In addition, since all the internal buses of the microcomputer are accessed, all the functions of the microcomputer can be checked, so that the reliability can be improved.
【0059】第5の発明のマイクロコンピュータの故障
検出方法では、上記発明の効果に加え、故障の検出を行
うごとに、設定データをランダムな値になるようにした
ことにより、ビットが「1」や「0」に固着した場合で
も、その固着故障を検出できるという効果を奏すること
ができる。In addition to the effects of the above-mentioned invention, in the microcomputer failure detection method of the fifth invention, the bit is set to "1" by setting the setting data to a random value each time a failure is detected. Even if it is fixed to "0" or "0", the effect that the fixing failure can be detected can be obtained.
【0060】第6の発明のマイクロコンピュータの故障
検出方法では、上記発明に加え、マイクロコンピュータ
と監視回路の演算結果の比較照合の際、その比較照合を
マイクロコンピュータと監視回路の両方で各々独立に行
なうことにより、一方のデバイスが故障を起こした場合
でも他方の判定により、故障の検出ができる。その結
果、信頼性を向上させることができるという効果があ
る。In addition to the above-mentioned invention, in the microcomputer failure detection method of the sixth invention, in the comparison and comparison of the calculation results of the microcomputer and the monitoring circuit, the comparison and verification are independently performed by both the microcomputer and the monitoring circuit. By doing so, even if one of the devices fails, the failure can be detected by the determination of the other. As a result, there is an effect that the reliability can be improved.
【0061】第7の発明のマイクロコンピュータの故障
検出方法では、上記発明に加え、マイクロコンピュータ
の作動時に、上記故障検出を所定の周期で繰り返し行な
うことにより、マイコンを使用したシステムの作動中の
故障を常時検出して信頼性の向上を図ることができる。In addition to the above-mentioned invention, in the microcomputer failure detection method of the seventh invention, the failure detection during the operation of the microcomputer is repeated at a predetermined cycle so that the failure occurs during the operation of the system using the microcomputer. Can be constantly detected to improve reliability.
【図面の簡単な説明】[Brief description of drawings]
【図1】第1実施例のブロック図FIG. 1 is a block diagram of a first embodiment.
【図2】第1実施例を説明するためのフローチャート図FIG. 2 is a flow chart for explaining the first embodiment.
【図3】第2実施例のブロック図FIG. 3 is a block diagram of a second embodiment.
【図4】第3実施例を説明するためのフローチャート図FIG. 4 is a flowchart for explaining the third embodiment.
【図5】第4実施例を説明するための作用図FIG. 5 is an operation diagram for explaining a fourth embodiment.
【図6】第5実施例のブロック図FIG. 6 is a block diagram of a fifth embodiment.
【図7】第6実施例のブロック図FIG. 7 is a block diagram of a sixth embodiment.
【図8】第7実施例のブロック図FIG. 8 is a block diagram of a seventh embodiment.
【図9】従来の故障検出方法を示すブロック図FIG. 9 is a block diagram showing a conventional failure detection method.
1 マイコン 2 監視回路 3 バス 4 通信ポート 5 フリーランニングカウンタ 6 判定回路 7 タイマ 1 Microcomputer 2 Monitoring circuit 3 Bus 4 Communication port 5 Free running counter 6 Judgment circuit 7 Timer
Claims (7)
に、故障検出のため必要となる機能以外の本来の機能を
実行する処理プログラムとは別に、故障検出のための演
算処理プログラムを設けるとともに、前記マイクロコン
ピュータの故障検出のための演算処理に必要な演算命令
を実行することのできる演算回路部を備えた監視回路を
設け、前記マイクロコンピュータと監視回路に同一のデ
ータを入力し、そのデータに基づく同一の演算処理を実
行させ、その際、出力される両者の演算結果を比較照合
し、その照合差から故障を検出するマイクロコンピュー
タの故障検出方法。1. A microcomputer for failure detection is provided with an arithmetic processing program for failure detection, in addition to a processing program for executing an original function other than the function required for failure detection, and the microcomputer. Is provided with a monitoring circuit having an arithmetic circuit unit capable of executing an arithmetic instruction necessary for arithmetic processing for detecting a failure, and the same data is input to the microcomputer and the monitoring circuit, and the same data based on the data is input. A failure detection method for a microcomputer, which executes a calculation process, compares and outputs the calculation results of the two output at that time, and detects a failure from the comparison difference.
にそれぞれ通信手段を設け、上記故障検出の際、設定デ
ータとそのデータに基づく演算結果とをやり取りする請
求項1に記載のマイクロコンピュータの故障検出方法。2. The failure detection method for a microcomputer according to claim 1, wherein the microcomputer and the monitoring circuit are each provided with communication means, and when the failure is detected, the setting data and a calculation result based on the data are exchanged. .
メインルーチンとそのメインルーチンに従属するサブル
ーチンとで構成されるものとし、請求項1に記載の演算
処理結果を前記マイクロコンピュータと前記監視回路の
間で、やり取りする請求項2に記載のマイクロコンピュ
ータの故障検出方法。3. The control communication program of the communication means comprises a main routine and a subroutine subordinate to the main routine, and the arithmetic processing result according to claim 1 is stored in the microcomputer and the monitoring circuit. The microcomputer failure detection method according to claim 2, wherein the failure detection method is performed between two computers.
に演算処理を実行させる際、上記同一の演算処理がマイ
クロコンピュータの全インストラクションを実行するも
のとし、かつ、マイクロコンピュータの内部バス全てに
対してアクセスするものとして、その際、出力される両
者の演算結果を比較照合し、その照合差から故障を検出
する請求項1乃至3に記載のマイクロコンピュータの故
障検出方法。4. When causing the microcomputer and the monitoring circuit to execute arithmetic processing, the same arithmetic processing executes all instructions of the microcomputer and accesses all internal buses of the microcomputer. 4. The microcomputer failure detection method according to claim 1, wherein the calculation results of the both output at that time are compared and compared, and the failure is detected from the comparison difference.
に演算処理を実行させる際、各回ごとにランダムな設定
データに基づく演算処理を実行させ、その際、出力され
る両者の演算結果を比較照合し、その照合差から故障を
検出する請求項1乃至4に記載のマイクロコンピュータ
の故障検出方法。5. When the microcomputer and the monitoring circuit are caused to perform arithmetic processing, arithmetic processing based on random setting data is executed each time, and at that time, the arithmetic results of both output are compared and collated. The failure detection method for a microcomputer according to claim 1, wherein the failure is detected from the matching difference.
演算結果の比較照合の際、その比較照合をマイクロコン
ピュータと監視回路の両方で各々独立して行なわせる請
求項1乃至5に記載のマイクロコンピュータの故障検出
方法。6. The failure of the microcomputer according to claim 1, wherein, when comparing and collating the calculation results of the microcomputer and the monitoring circuit, the comparison and collation are independently performed by both the microcomputer and the monitoring circuit. Detection method.
上記故障検出を所定の周期で繰り返し行なわせる請求項
1乃至6のマイクロコンピュータの故障検出方法。7. When the microcomputer operates,
7. The microcomputer failure detection method according to claim 1, wherein the failure detection is repeatedly performed at a predetermined cycle.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP13381495A JP3729893B2 (en) | 1995-05-31 | 1995-05-31 | Microcomputer failure detection method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP13381495A JP3729893B2 (en) | 1995-05-31 | 1995-05-31 | Microcomputer failure detection method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH08328885A true JPH08328885A (en) | 1996-12-13 |
| JP3729893B2 JP3729893B2 (en) | 2005-12-21 |
Family
ID=15113670
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP13381495A Expired - Fee Related JP3729893B2 (en) | 1995-05-31 | 1995-05-31 | Microcomputer failure detection method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3729893B2 (en) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2384868A (en) * | 2001-11-15 | 2003-08-06 | Sumitomo | Method and circuit for monitoring a microcomputer for an onboard electronic control device |
| US7305587B2 (en) | 2003-02-27 | 2007-12-04 | Denso Corporation | Electronic control unit for monitoring a microcomputer |
| JP2017157067A (en) * | 2016-03-03 | 2017-09-07 | 三菱電機株式会社 | Automatic driving control device |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102010029839B4 (en) | 2009-06-11 | 2014-08-28 | Mitsubishi Electric Corporation | control system |
-
1995
- 1995-05-31 JP JP13381495A patent/JP3729893B2/en not_active Expired - Fee Related
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2384868A (en) * | 2001-11-15 | 2003-08-06 | Sumitomo | Method and circuit for monitoring a microcomputer for an onboard electronic control device |
| US7305587B2 (en) | 2003-02-27 | 2007-12-04 | Denso Corporation | Electronic control unit for monitoring a microcomputer |
| JP2017157067A (en) * | 2016-03-03 | 2017-09-07 | 三菱電機株式会社 | Automatic driving control device |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3729893B2 (en) | 2005-12-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2880165B2 (en) | Apparatus for monitoring an automotive computer system comprising two processors | |
| US6415394B1 (en) | Method and circuit for analysis of the operation of a microcontroller using signature analysis during operation | |
| JP2001056701A (en) | Method and device for mutually monitoring control units | |
| JPH11250029A (en) | Monitoring method and device for computer device consisting of at least two processors | |
| JP2618958B2 (en) | Parity check controller | |
| JPH08328885A (en) | Fault detection method for microcomputer | |
| JP2768693B2 (en) | Apparatus for monitoring a computer system having two processors | |
| JP2001175494A (en) | System and method for doubly diagnosing normality of arithmetic processing of microprocessor | |
| JPH02206806A (en) | Control system having plural processor units | |
| JPH06274361A (en) | Computer system for vehicle control | |
| JP2003167755A (en) | Fault diagnostic method and device for signal processing system | |
| JPH08287030A (en) | Device and method for automatically restarting multiple computer system | |
| JP2937857B2 (en) | Lock flag release method and method for common storage | |
| JP2002229811A (en) | Control method of logical partition system | |
| WO2022239331A1 (en) | Electronic controller and abnormality determination method | |
| US20230134320A1 (en) | Information processing device, vehicle, and information processing method | |
| JP2985188B2 (en) | Redundant computer system | |
| JPH02206866A (en) | Reset signal generator in multiprocessor system | |
| JPH04295955A (en) | Arithmetic abnormality detecting device for controller | |
| JP2003106211A (en) | Controllable for automobile internal combustion engine | |
| JPS6057609B2 (en) | Power outage processing control method for electronic equipment | |
| JPS60134942A (en) | Backup system for abnormal state | |
| JPH0520104A (en) | Inter-virtual cluster communication processor | |
| JPH0264702A (en) | Method for synchronizing outputs in controller using plural data processings | |
| JP2550708B2 (en) | Debug method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A912 | Removal of reconsideration by examiner before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20040604 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050826 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20051005 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081014 Year of fee payment: 3 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081014 Year of fee payment: 3 |
|
| R360 | Written notification for declining of transfer of rights |
Free format text: JAPANESE INTERMEDIATE CODE: R360 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081014 Year of fee payment: 3 |
|
| R370 | Written measure of declining of transfer procedure |
Free format text: JAPANESE INTERMEDIATE CODE: R370 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081014 Year of fee payment: 3 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081014 Year of fee payment: 3 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081014 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091014 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091014 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101014 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111014 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111014 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121014 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121014 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131014 Year of fee payment: 8 |
|
| LAPS | Cancellation because of no payment of annual fees |