JPS6032217B2 - 制御用コンピュ−タのフェィルセ−フ装置 - Google Patents
制御用コンピュ−タのフェィルセ−フ装置Info
- Publication number
- JPS6032217B2 JPS6032217B2 JP54038399A JP3839979A JPS6032217B2 JP S6032217 B2 JPS6032217 B2 JP S6032217B2 JP 54038399 A JP54038399 A JP 54038399A JP 3839979 A JP3839979 A JP 3839979A JP S6032217 B2 JPS6032217 B2 JP S6032217B2
- Authority
- JP
- Japan
- Prior art keywords
- interrupt
- signal
- control computer
- abnormality
- processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired
Links
- 230000005856 abnormality Effects 0.000 claims description 50
- 238000000034 method Methods 0.000 claims description 24
- 230000002159 abnormal effect Effects 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000002485 combustion reaction Methods 0.000 description 2
- 238000007599 discharging Methods 0.000 description 2
- 230000006866 deterioration Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
- G06F11/0754—Error or fault detection not based on redundancy by exceeding limits
- G06F11/0757—Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F02—COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
- F02D—CONTROLLING COMBUSTION ENGINES
- F02D41/00—Electrical control of supply of combustible mixture or its constituents
- F02D41/24—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
- F02D41/26—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
- F02D41/263—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor the program execution being modifiable by physical parameters
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0736—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0736—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
- G06F11/0739—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0793—Remedial or corrective actions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/28—Error detection; Error correction; Monitoring by checking the correct order of processing
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Chemical & Material Sciences (AREA)
- Combustion & Propulsion (AREA)
- Mechanical Engineering (AREA)
- Debugging And Monitoring (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Safety Devices In Control Systems (AREA)
Description
【発明の詳細な説明】
本発明は自動車用内燃機関等を制御する制御用コンピュ
ータのフェィルセーフ装置に関する。
ータのフェィルセーフ装置に関する。
最近、ストアド・プログラム方式のディジタル・コンピ
ュータが、各種の制御装置に用いられるようになってき
た。このようなストアド・プログラム方式のコンピュー
タを持つ制御装置は、複雑多種にわたる制御に対処しや
すい利点はあるが、雑音などの外乱の多い場合、例えば
自動車に搭載して内燃機関の制御を行なうような場合に
は、外乱によりメモリの一部が壊されて制御プログラム
がある箇所から先へは走らなくなるおそれがある。ディ
ジタル・コンピュータを用いたシステムとしては、第1
図に示されるようなものが考えられる。
ュータが、各種の制御装置に用いられるようになってき
た。このようなストアド・プログラム方式のコンピュー
タを持つ制御装置は、複雑多種にわたる制御に対処しや
すい利点はあるが、雑音などの外乱の多い場合、例えば
自動車に搭載して内燃機関の制御を行なうような場合に
は、外乱によりメモリの一部が壊されて制御プログラム
がある箇所から先へは走らなくなるおそれがある。ディ
ジタル・コンピュータを用いたシステムとしては、第1
図に示されるようなものが考えられる。
第1図において、制御装置4はメモリ5に記憶されてい
るプログラムに従って制御を行なうが、この制御は通常
、割込方式を用いた多重処理が行なわれる。1,2,3
はこの割込多重処理を行なうための割込信号発生器であ
り、いくつあってもよいが、ここでは3種類設けられて
いる場合について説明している。
るプログラムに従って制御を行なうが、この制御は通常
、割込方式を用いた多重処理が行なわれる。1,2,3
はこの割込多重処理を行なうための割込信号発生器であ
り、いくつあってもよいが、ここでは3種類設けられて
いる場合について説明している。
割込信号発生器1,2,3は、それぞれ割込信号S,,
S2,S3を発生し、これに対してメモリ5内にはそれ
ぞれの割込信号の発生時に行なう処理プログラム5−,
,5‐2,5‐3及び割込時以外の処理プログラム5‐
4が格納されており、制御装置4例えばマイクロコンピ
ュータは、割込信号S,,S2,S3を受けとってそれ
ぞれの信号に対応する割込処理プログラム5−,,5‐
2,5‐3を行ない、又割込信号のない時や割込処理を
行なった後は、割込時以外の処理プログラム6‐4(以
下80Jと記す)を繰り返し行なう。プログラムが各割
込処理及び8GJ毎に確実に作動していることを確認す
るためには、各プログラム単位毎にチェック信号を出力
すればよいが、割込処理が多重で数レベルある場合には
その信号処理がきわめて複雑なものとなる。
S2,S3を発生し、これに対してメモリ5内にはそれ
ぞれの割込信号の発生時に行なう処理プログラム5−,
,5‐2,5‐3及び割込時以外の処理プログラム5‐
4が格納されており、制御装置4例えばマイクロコンピ
ュータは、割込信号S,,S2,S3を受けとってそれ
ぞれの信号に対応する割込処理プログラム5−,,5‐
2,5‐3を行ない、又割込信号のない時や割込処理を
行なった後は、割込時以外の処理プログラム6‐4(以
下80Jと記す)を繰り返し行なう。プログラムが各割
込処理及び8GJ毎に確実に作動していることを確認す
るためには、各プログラム単位毎にチェック信号を出力
すればよいが、割込処理が多重で数レベルある場合には
その信号処理がきわめて複雑なものとなる。
本発明は上記の問題に鑑みてなされたものであり、割込
処理機能を有する制御用コンピュータにおいて、割込処
理プログラムの一部で異常判定用信号を第1のレベルに
し、BGJの一部で第2のレベルにし、上記異常判定用
信号が同一レベルを所定時間以上継続した場合に異常と
判定して異常処理を行なうように構成することにより、
確実にプログラムの実行をチェックし、異常時には自動
的に異常処理を行なう制御用コンピュータのフェィルセ
ーフ装置を提供することを目的とする。
処理機能を有する制御用コンピュータにおいて、割込処
理プログラムの一部で異常判定用信号を第1のレベルに
し、BGJの一部で第2のレベルにし、上記異常判定用
信号が同一レベルを所定時間以上継続した場合に異常と
判定して異常処理を行なうように構成することにより、
確実にプログラムの実行をチェックし、異常時には自動
的に異常処理を行なう制御用コンピュータのフェィルセ
ーフ装置を提供することを目的とする。
以下図面に基づいて本発明を詳細に説明する。第2図は
本発明の一実施例のブロック図である。第2図において
、6は異常判定用信号の状態によって正常−異常を判定
し、異常時には異常信号S4を出力する異常判定回路、
7は異常信号S4が与えられると異常処理を行なう異常
処理回路、8は異常時に警報を発する警報装置である。
本発明の一実施例のブロック図である。第2図において
、6は異常判定用信号の状態によって正常−異常を判定
し、異常時には異常信号S4を出力する異常判定回路、
7は異常信号S4が与えられると異常処理を行なう異常
処理回路、8は異常時に警報を発する警報装置である。
なお上記6〜8の詳細は後述する。またメモリ5内の割
込信号SI入力時の処理プログラム5−,の前半に異常
判定用信号を“1”にするプログラム5′−,が付け加
えられ、割込時以外の処理プログラム5‐4の後半に異
常判定用信号を“0”にするプログラム5′‐4が付け
加えられている。
込信号SI入力時の処理プログラム5−,の前半に異常
判定用信号を“1”にするプログラム5′−,が付け加
えられ、割込時以外の処理プログラム5‐4の後半に異
常判定用信号を“0”にするプログラム5′‐4が付け
加えられている。
その他第1図と同符号は同一物を示す。
次に、第3図はプログラム実行時のフローチャートであ
る。
る。
以下フローチャートに従って本発明の動作を説明する。
F−1は割込以外の時に行なう処理の先頭であり通常、
電源ON時にここから処理がはじまる。
F−1は割込以外の時に行なう処理の先頭であり通常、
電源ON時にここから処理がはじまる。
F−2は8GJとして実行したい処理である。またF−
3は異常判定用信号を下位レベル“0”にするところで
ある。したがってBGJが終了するごとに異常判定用信
号は“0”にされる。F−2とF−3はループを形成し
ており、電源がOFFになるまでF−2とF−3の処理
を繰り返す。次に、F−4は割込信号発生時に行なう割
込処理の先頭である。F−5,F−6では発生して割込
の種類を判定しており、その種類によってF−7,F−
8,F−9において各割込信号に対する割込処理の予約
を行なう。F−101こおいて割込がはいった時点で既
に他の割込処理を実行していたかどうかを判定する。も
し他の割込処理を実行中であればF−11に行って割込
処理を終り、それまで実行してたし、た他の割込処理を
継続する。もし割込が生じた時に他の割込を実行してい
ない時は、F−12で最も優先度の高い割込の割込処理
1が予約されているかを判定する。予約されている場合
はF−13〜F−19の処理を行なう。割込処理1が予
約されていない場合は、F−20で2番目に優先度のあ
る割込処理2が予約されているかを判定し、予約されて
いればF−21〜F−26の処理を行ない、予約されて
いなければ割込処理3が予約されているかどうかをF−
27にて判定する。割込処理3が予約されていればF−
28〜F−33の処理を行なうが、予約されていなけれ
ばF一34に来て割込処理を終る。F−13〜F−19
と、F一21〜F−26と、F−28〜F−33とはほ
とんど同様である為、F−13〜FI9について説明す
る。
3は異常判定用信号を下位レベル“0”にするところで
ある。したがってBGJが終了するごとに異常判定用信
号は“0”にされる。F−2とF−3はループを形成し
ており、電源がOFFになるまでF−2とF−3の処理
を繰り返す。次に、F−4は割込信号発生時に行なう割
込処理の先頭である。F−5,F−6では発生して割込
の種類を判定しており、その種類によってF−7,F−
8,F−9において各割込信号に対する割込処理の予約
を行なう。F−101こおいて割込がはいった時点で既
に他の割込処理を実行していたかどうかを判定する。も
し他の割込処理を実行中であればF−11に行って割込
処理を終り、それまで実行してたし、た他の割込処理を
継続する。もし割込が生じた時に他の割込を実行してい
ない時は、F−12で最も優先度の高い割込の割込処理
1が予約されているかを判定する。予約されている場合
はF−13〜F−19の処理を行なう。割込処理1が予
約されていない場合は、F−20で2番目に優先度のあ
る割込処理2が予約されているかを判定し、予約されて
いればF−21〜F−26の処理を行ない、予約されて
いなければ割込処理3が予約されているかどうかをF−
27にて判定する。割込処理3が予約されていればF−
28〜F−33の処理を行なうが、予約されていなけれ
ばF一34に来て割込処理を終る。F−13〜F−19
と、F一21〜F−26と、F−28〜F−33とはほ
とんど同様である為、F−13〜FI9について説明す
る。
F−13ではF−10での判定の為に割込処理中である
ことを宣言する。この後F−19で割込処理中である事
を解除する迄、他の割込がはいっても処理されない。な
おF−14で割込受付禁止を解除し、F−17で割込受
付を禁止しているので、この間においては他の割込処理
は行なわないが、他の割込の子約だけは行なう。
ことを宣言する。この後F−19で割込処理中である事
を解除する迄、他の割込がはいっても処理されない。な
おF−14で割込受付禁止を解除し、F−17で割込受
付を禁止しているので、この間においては他の割込処理
は行なわないが、他の割込の子約だけは行なう。
通常のマイクロコンピュータ等を用いた制御装置では一
旦割込が生じると、特に何もしなければ、その割込処理
が終了する迄、割込が禁止されている。本実施例のよう
に割込が数種類あり、それらが頻繁に起こり、それらを
無視したくないような場合には、割込処理中も他の割込
を受けつけたいためF−14を行ない、F−17で再び
割込受付を禁止するまでの間、割込受付を行なうように
している。F−15は異常判定用信号を高位レベル“1
”にしている。これにより割込処理が終りBGJの一部
で低位レベル“0”にするまでの間、割込判定用信号は
“1”となる。F−16では割込信号S,に対応した処
理を行なう。F−17では前述のように割込を禁止し、
F−18ではF−16で割込処理1を完了したので割込
処理1の予約を解除し、F−19で割込処理中であるこ
とを解除する。F−21〜F〜26,F−28〜F−3
3はこれとほぼ同様であるが、F−15に相当する処理
は行なわず、F−16に相当するF−23,F−30で
それぞれ割込信号S2,S3に対応した処理を行なう。
F−19,F−26,F−33実行後はF−12へ戻る
。
旦割込が生じると、特に何もしなければ、その割込処理
が終了する迄、割込が禁止されている。本実施例のよう
に割込が数種類あり、それらが頻繁に起こり、それらを
無視したくないような場合には、割込処理中も他の割込
を受けつけたいためF−14を行ない、F−17で再び
割込受付を禁止するまでの間、割込受付を行なうように
している。F−15は異常判定用信号を高位レベル“1
”にしている。これにより割込処理が終りBGJの一部
で低位レベル“0”にするまでの間、割込判定用信号は
“1”となる。F−16では割込信号S,に対応した処
理を行なう。F−17では前述のように割込を禁止し、
F−18ではF−16で割込処理1を完了したので割込
処理1の予約を解除し、F−19で割込処理中であるこ
とを解除する。F−21〜F〜26,F−28〜F−3
3はこれとほぼ同様であるが、F−15に相当する処理
は行なわず、F−16に相当するF−23,F−30で
それぞれ割込信号S2,S3に対応した処理を行なう。
F−19,F−26,F−33実行後はF−12へ戻る
。
これにより割込処理1,2,3の予約された処理がすべ
て実行されたことを確認してF−34で割込処理を終了
することになる。実施例では制御装置としてマイクロプ
ロセッサを用い、異常判定用信号としてディジタルの出
力ボートを割付ける。
て実行されたことを確認してF−34で割込処理を終了
することになる。実施例では制御装置としてマイクロプ
ロセッサを用い、異常判定用信号としてディジタルの出
力ボートを割付ける。
また、割込処理の予約については各割込毎にメモリの1
ビットを判定フラグとし用い、例えば“1”のとき予約
中、“0”のとき予約解除とし、メモリの該当ビットを
チェックして判定を行なう。割込処理中かどうかの判定
も同様にメモリの1ビットに情報を記憶し、フラグとす
ることで行なっている。このシステムにおいて各割込入
力が正常であり、制御プログラムもすべてが順調に走っ
ている場合には、異常判定用信号は“0”と“1”と交
互に繰返している。
ビットを判定フラグとし用い、例えば“1”のとき予約
中、“0”のとき予約解除とし、メモリの該当ビットを
チェックして判定を行なう。割込処理中かどうかの判定
も同様にメモリの1ビットに情報を記憶し、フラグとす
ることで行なっている。このシステムにおいて各割込入
力が正常であり、制御プログラムもすべてが順調に走っ
ている場合には、異常判定用信号は“0”と“1”と交
互に繰返している。
ところが、例えば割込処理1を実行中に何らかの原因で
プログラムが走らなくなると、F−17,FI9を実行
しなくなるために割込が解除されず、常に割込処理中と
なり、また割込受付の禁止も行なわれないため、次に如
何なる割込が生じてもF−11へ進み、プログラムが走
らなくなる箇所へ戻ることになる。これは割込処理2、
又は3を実行中にプログラムが走らなくなった場合も同
様で、結果として異常判定用信号はプログラムが先へ進
まなくなった時点のままのレベルを保持するようになる
。又、プログラムがBCJを実行中に先へ進まなくなっ
た場合も、一旦、割込処理1を行なった際に異常判定用
信号を“1”にするとそのままのレベルを保持してしま
うようになる。そこで異常判定用信号が“1”又は“0
”のし、0ずれか一方を所定時間以上継続したことを異
常判定回路6によって判定すれば、プログラムの異常を
BCJの場合でも、各割込処理のいずれの場合でも検知
することができる。
プログラムが走らなくなると、F−17,FI9を実行
しなくなるために割込が解除されず、常に割込処理中と
なり、また割込受付の禁止も行なわれないため、次に如
何なる割込が生じてもF−11へ進み、プログラムが走
らなくなる箇所へ戻ることになる。これは割込処理2、
又は3を実行中にプログラムが走らなくなった場合も同
様で、結果として異常判定用信号はプログラムが先へ進
まなくなった時点のままのレベルを保持するようになる
。又、プログラムがBCJを実行中に先へ進まなくなっ
た場合も、一旦、割込処理1を行なった際に異常判定用
信号を“1”にするとそのままのレベルを保持してしま
うようになる。そこで異常判定用信号が“1”又は“0
”のし、0ずれか一方を所定時間以上継続したことを異
常判定回路6によって判定すれば、プログラムの異常を
BCJの場合でも、各割込処理のいずれの場合でも検知
することができる。
なお異常判定回路6としては、例えば所定の時定数で充
放電する充放電回路と、該充放電回路の出力レベルが“
1”に近い第1所定値以上になった場合及び“0”に近
い第2所定値以下になった場合に信号を出力する比較回
路とからなる回路を用いることが出釆る。
放電する充放電回路と、該充放電回路の出力レベルが“
1”に近い第1所定値以上になった場合及び“0”に近
い第2所定値以下になった場合に信号を出力する比較回
路とからなる回路を用いることが出釆る。
次に、異常判定回路6は、異常と判定すると異常信号S
4(例えば上記比較回路の信号)を出力し、異常処理回
路7に送る。
4(例えば上記比較回路の信号)を出力し、異常処理回
路7に送る。
異常処理回路7は、異常信号が与えられると、制御系全
体を安全に処理するための異常処理を行なう。
体を安全に処理するための異常処理を行なう。
この異常処理としては、例えば■、制御装置4へりセッ
ト信号を送って制御装置4をリセットする。■、停止信
号を送って制御装置4を停止させる。■、警報信号を出
力して警報装置8(ブザー、ランプ等)を作動させ、異
常が生じたことを警報する。等の処理又は■、■、■を
適宜に組み合せた処理を行なう。以上説明したごと〈本
発明によれば、割込処理時及び8GJ処理時のいずれに
おいても、制御プログラムが走らなくなった場合に、そ
れを検知して制御装置をリセットする等の処理を行なう
ことにより、制御系の作動の悪化を未然に防止すること
が出来る。
ト信号を送って制御装置4をリセットする。■、停止信
号を送って制御装置4を停止させる。■、警報信号を出
力して警報装置8(ブザー、ランプ等)を作動させ、異
常が生じたことを警報する。等の処理又は■、■、■を
適宜に組み合せた処理を行なう。以上説明したごと〈本
発明によれば、割込処理時及び8GJ処理時のいずれに
おいても、制御プログラムが走らなくなった場合に、そ
れを検知して制御装置をリセットする等の処理を行なう
ことにより、制御系の作動の悪化を未然に防止すること
が出来る。
また制御装置が割込信号を受けとっても割込を受けつけ
ないような故障を生じた場合や、読み書き可能なメモリ
(RAM)、レジスタ又は信号線の一部が一時的に乱さ
れてその結果プログラムが正常な処理を行なわなくなっ
た場合や、制御装置は正常だが被制御装置に異常(例え
ば機関が異常高回転になったとき)が生じて割込信号が
異常に瀕繁に発生し、制御プログラムが割込処理だけに
占有されてBCJを実行する時間がなくなった場合にも
異常発生を検出することが出来る。
ないような故障を生じた場合や、読み書き可能なメモリ
(RAM)、レジスタ又は信号線の一部が一時的に乱さ
れてその結果プログラムが正常な処理を行なわなくなっ
た場合や、制御装置は正常だが被制御装置に異常(例え
ば機関が異常高回転になったとき)が生じて割込信号が
異常に瀕繁に発生し、制御プログラムが割込処理だけに
占有されてBCJを実行する時間がなくなった場合にも
異常発生を検出することが出来る。
第1図は従来装置の一例のブロック図、第2図は本発明
の一実施例のブロック図、第3図は本発明の動作を示す
フローチャートである。 符号の説明、1〜3・・・・・・割込信号発生器、4・
・・・・・制御装置、5・・・・・・メモリ、6・・…
・異常判定回路、7…・・・異常処理回路、8・・・・
・・警報装置。 オ1図オ2図 オ3図
の一実施例のブロック図、第3図は本発明の動作を示す
フローチャートである。 符号の説明、1〜3・・・・・・割込信号発生器、4・
・・・・・制御装置、5・・・・・・メモリ、6・・…
・異常判定回路、7…・・・異常処理回路、8・・・・
・・警報装置。 オ1図オ2図 オ3図
Claims (1)
- 【特許請求の範囲】 1 割込処理機能を有するストアド・プログラム方式の
制御用コンピユータにおいて、割込処理時に割込処理プ
ログラムの一部で異常判定用信号を第1のレベルに設定
し、割込処理以外のプログラムの一部で上記異常判定用
信号を第2のレベルに設定し、かつ上記異常判定用信号
が同一レベルを所定時間以上継続した場合に異常と判定
して異常信号を出力する第1の手段と、上記異常信号に
応じて異常処理を行なう第2の手段とを備えた制御用コ
ンピユータのフエイルセーフ装置。 2 複数の割込処理のそれぞれに対応したそれぞれ異な
る複数の割込処理を行なう場合には、それらの割込処理
のうち一つの割込処理プログラムの一部で上記異常判定
用信号を第1のレベルに設定することを特徴とする特許
請求の範囲第1項記載の制御用コンピユータのフエイル
セーフ装置。 3 一つの割込処理実行中に他の割込信号が与えられた
ときは、割込信号だけを受けつけてその割込処理は行な
わず、実行中の割込処理が終了した後に受けつけておい
た割込処理を行なうことを特徴とする特許請求の範囲第
2項記載の制御用コンピユータのフエイルセーフ装置。 4 上記第2の手段は、上記異常信号が与えられると制
御用コンピユータをリセツトさせるものであることを特
徴とする特許請求の範囲第1項又は第2項記載の制御用
コンピユータのフエイルセーフ装置。5 上記第2の手
段は、上記異常信号が与えられると制御用コンピユータ
を停止させるものであることを特徴とする特許請求の範
囲第1項又は第2項記載の制御用コンピユータのフエイ
ルセーフ装置。 6 上記第2の手段は、上記異常信号が与えられると警
報を発するものであることを特徴とする特許請求の範囲
第1項又は第2項記載の制御用コンピユータのフエイル
セーフ装置。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP54038399A JPS6032217B2 (ja) | 1979-04-02 | 1979-04-02 | 制御用コンピュ−タのフェィルセ−フ装置 |
| GB8010490A GB2050013B (en) | 1979-04-02 | 1980-03-28 | Fail-safe system for a digital computer |
| DE19803012425 DE3012425A1 (de) | 1979-04-02 | 1980-03-31 | Fehlergesicherte einrichtung zur benutzung eines digitalen rechners |
| FR8007345A FR2453442A1 (fr) | 1979-04-02 | 1980-04-01 | Systeme auto-verifiant a utiliser avec un calculateur numerique |
| US06/136,403 US4410938A (en) | 1979-04-02 | 1980-04-01 | Computer monitoring system for indicating abnormalities in execution of main or interrupt program segments |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP54038399A JPS6032217B2 (ja) | 1979-04-02 | 1979-04-02 | 制御用コンピュ−タのフェィルセ−フ装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPS55131852A JPS55131852A (en) | 1980-10-14 |
| JPS6032217B2 true JPS6032217B2 (ja) | 1985-07-26 |
Family
ID=12524208
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP54038399A Expired JPS6032217B2 (ja) | 1979-04-02 | 1979-04-02 | 制御用コンピュ−タのフェィルセ−フ装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US4410938A (ja) |
| JP (1) | JPS6032217B2 (ja) |
| DE (1) | DE3012425A1 (ja) |
| FR (1) | FR2453442A1 (ja) |
| GB (1) | GB2050013B (ja) |
Families Citing this family (56)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE2838619A1 (de) * | 1978-09-05 | 1980-03-20 | Bosch Gmbh Robert | Einrichtung zum steuern von betriebsparameterabhaengigen und sich wiederholenden vorgaengen fuer brennkraftmaschinen |
| JPS57155601A (en) * | 1981-03-20 | 1982-09-25 | Nippon Denso Co Ltd | Car safety device |
| US4583198A (en) * | 1981-05-06 | 1986-04-15 | Japan Electronic Control Systems Company, Limited | Computer program run-away supervisory circuit and method |
| US4704685A (en) * | 1982-04-09 | 1987-11-03 | Motorola, Inc. | Failsafe engine fuel control system |
| DE3214006A1 (de) * | 1982-04-16 | 1983-10-20 | Robert Bosch Gmbh, 7000 Stuttgart | Vorrichtung zum ruecksetzen von rechenschaltungen |
| DE3225712C2 (de) * | 1982-07-09 | 1985-04-11 | M.A.N. Maschinenfabrik Augsburg-Nuernberg Ag, 8000 Muenchen | Verfahren und Vorrichtung zur Funktionsprüfung von digitalen Rechnern |
| US4514846A (en) * | 1982-09-21 | 1985-04-30 | Xerox Corporation | Control fault detection for machine recovery and diagnostics prior to malfunction |
| JPS5968004A (ja) * | 1982-10-12 | 1984-04-17 | Honda Motor Co Ltd | 車載用コンピユ−タのフエイルセ−フ方法 |
| JPS59116858A (ja) * | 1982-12-23 | 1984-07-05 | Fujitsu Ltd | マシンチエツク割込み処理方式 |
| FR2539887B1 (fr) * | 1983-01-20 | 1985-07-26 | Tech Europ Commutation | Procede pour assurer la securite du fonctionnement d'un automate programmable et automate pour la mise en oeuvre du procede |
| DE3328450A1 (de) * | 1983-08-06 | 1985-02-28 | Daimler-Benz Ag, 7000 Stuttgart | Verfahren zur ueberpruefung von messfuehlern |
| DE3332626A1 (de) * | 1983-09-09 | 1985-03-28 | Siemens AG, 1000 Berlin und 8000 München | Schaltungsanordnung zum erkennen von statischen und dynamischen fehlern in schaltungsbaugruppen |
| NL8303167A (nl) * | 1983-09-14 | 1985-04-01 | Philips Nv | Alleenstaande dienstverlenende inrichting met micro-computer, die beschermd is tegen storingen. |
| DE3343227A1 (de) * | 1983-11-30 | 1985-06-05 | Robert Bosch Gmbh, 7000 Stuttgart | Verfahren zur ueberwachung von elektronischen rechenbausteinen, insbesondere mikroprozessoren |
| US4586179A (en) * | 1983-12-09 | 1986-04-29 | Zenith Electronics Corporation | Microprocessor reset with power level detection and watchdog timer |
| US4599695A (en) * | 1984-05-25 | 1986-07-08 | Motorola, Inc. | Microprocessor transient interrupt system adaptable for engine control |
| US4635258A (en) * | 1984-10-22 | 1987-01-06 | Westinghouse Electric Corp. | System for detecting a program execution fault |
| US4649537A (en) * | 1984-10-22 | 1987-03-10 | Westinghouse Electric Corp. | Random pattern lock and key fault detection scheme for microprocessor systems |
| US4764893A (en) * | 1985-04-26 | 1988-08-16 | International Business Machines Corporation | Noise-immune interrupt level sharing |
| US4866607A (en) * | 1985-05-06 | 1989-09-12 | Halliburton Company | Self-contained downhole gauge system |
| US4920538A (en) * | 1985-06-28 | 1990-04-24 | International Business Machines Corporation | Method of checking the execution of microcode sequences |
| US4695941A (en) * | 1985-07-29 | 1987-09-22 | General Electric Company | Loss of electrical feedback detector |
| US4727549A (en) * | 1985-09-13 | 1988-02-23 | United Technologies Corporation | Watchdog activity monitor (WAM) for use wth high coverage processor self-test |
| JPS62106524A (ja) * | 1985-11-01 | 1987-05-18 | Clarion Co Ltd | 車載用の機器のマイクロコンピユ−タリセツト回路 |
| JPS62157953A (ja) * | 1985-12-28 | 1987-07-13 | Honda Motor Co Ltd | 異常検知機能を備えたマイクロコンピユ−タ |
| US4785417A (en) * | 1986-04-28 | 1988-11-15 | Pitney Bowes Inc. | Electronic postage meter having an out of sequence checking arrangement |
| JPS6315340A (ja) * | 1986-07-07 | 1988-01-22 | Oki Electric Ind Co Ltd | 電子制御装置の誤動作検出方式 |
| JPH06103472B2 (ja) * | 1986-10-29 | 1994-12-14 | 日本電気株式会社 | デバツグ用マイクロプロセツサ |
| JPS63193242A (ja) * | 1987-02-05 | 1988-08-10 | Honda Motor Co Ltd | 制御装置の誤動作検出方法 |
| JPS6461830A (en) * | 1987-08-31 | 1989-03-08 | Aisin Seiki | Protecting device for automobile microcomputer |
| US5311451A (en) * | 1987-11-06 | 1994-05-10 | M. T. Mcbrian Company, Inc. | Reconfigurable controller for monitoring and controlling environmental conditions |
| JP2646482B2 (ja) * | 1987-12-10 | 1997-08-27 | スズキ株式会社 | 車両用エンジンコントローラの診断装置 |
| US5233613A (en) * | 1988-03-29 | 1993-08-03 | Advanced Micro Devices, Inc. | Reliable watchdog timer |
| JP2834210B2 (ja) * | 1988-09-14 | 1998-12-09 | 株式会社日立製作所 | リング状ネットワークにおけるメッセージ制御方法 |
| US4982404A (en) * | 1988-10-12 | 1991-01-01 | American Standard Inc. | Method and apparatus for insuring operation of a multiple part system controller |
| JPH03142539A (ja) * | 1989-10-30 | 1991-06-18 | Nec Commun Syst Ltd | Cpuの暴走検出方式 |
| US5222220A (en) * | 1989-11-16 | 1993-06-22 | Mehta Hemang S | Microprocessor stack built-in guards |
| JP2743622B2 (ja) * | 1991-06-17 | 1998-04-22 | 三菱電機株式会社 | 数値制御装置 |
| US5491631A (en) * | 1991-12-25 | 1996-02-13 | Honda Giken Kogyo Kabushiki Kaisha | Fault diagnostic system for vehicles using identification and program codes |
| JPH0683652A (ja) * | 1992-08-31 | 1994-03-25 | Sharp Corp | マイクロコンピュ−タシステム |
| JPH06168163A (ja) * | 1992-09-30 | 1994-06-14 | Nec Home Electron Ltd | Cpu監視方法及びcpu監視装置 |
| US5482050A (en) * | 1994-02-17 | 1996-01-09 | Spacelabs Medical, Inc. | Method and system for providing safe patient monitoring in an electronic medical device while serving as a general-purpose windowed display |
| DE19508793A1 (de) * | 1995-03-14 | 1996-09-19 | Bosch Gmbh Robert | Schaltung zum Betreiben von Rechenbausteinen, insbesondere Mikroprozessoren |
| JPH09160807A (ja) * | 1995-12-06 | 1997-06-20 | Mitsuba Corp | マイクロプロセッサの誤動作検出方法 |
| DE19614128C2 (de) * | 1996-04-10 | 2001-03-01 | Agie Sa | Verfahren und Vorrichtung zur Steuerung einer Werkzeugmaschine, insbesondere einer Funkenerosionsmaschine |
| US6202174B1 (en) | 1996-09-16 | 2001-03-13 | Advanced Micro Devices Inc | Method for identifying and correcting errors in a central processing unit |
| DE19735319A1 (de) | 1997-08-14 | 1999-02-18 | Bayerische Motoren Werke Ag | Elektronisches Steuergerät |
| DE19739530C1 (de) * | 1997-09-09 | 1998-12-24 | Siemens Ag | Schaltungsanordnung zur Erzeugung eines Interruptsignals für einen Mikroprozessor |
| US6012154A (en) * | 1997-09-18 | 2000-01-04 | Intel Corporation | Method and apparatus for detecting and recovering from computer system malfunction |
| FR2770917A1 (fr) * | 1997-11-07 | 1999-05-14 | Peugeot | Systeme de controle du fonctionnement d'un calculateur de pilotage d'organes fonctionnels d'un vehicule automobile |
| JP2002158668A (ja) * | 2000-11-17 | 2002-05-31 | Denso Corp | 車両用ネットワークシステムの異常検出装置 |
| JP2004102324A (ja) * | 2002-09-04 | 2004-04-02 | Oki Electric Ind Co Ltd | 割り込みプログラムモジュール、該モジュールを記録した記録媒体およびモニタのための割り込み処理が可能のコンピュータ |
| DE102005008975A1 (de) * | 2005-02-28 | 2006-08-31 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Überwachung einer Prozessausführung |
| DE112006004050A5 (de) * | 2006-11-03 | 2009-09-10 | Bayerische Motoren Werke Aktiengesellschaft | Fehlerverfolgung im Datenbus-System eines Fahrzeugs |
| US8347149B2 (en) * | 2008-10-01 | 2013-01-01 | Cardiac Pacemakers, Inc. | System and method for providing fault tolerant processing in an implantable medical device |
| JP5861438B2 (ja) * | 2011-12-16 | 2016-02-16 | 株式会社オートネットワーク技術研究所 | 制御装置及び処理監視方法 |
Family Cites Families (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US3568157A (en) * | 1963-12-31 | 1971-03-02 | Bell Telephone Labor Inc | Program controlled data processing system |
| US3312951A (en) * | 1964-05-29 | 1967-04-04 | North American Aviation Inc | Multiple computer system with program interrupt |
| US3504347A (en) * | 1967-07-03 | 1970-03-31 | Gen Electric | Interrupt monitor apparatus in a computer system |
| US3593299A (en) * | 1967-07-14 | 1971-07-13 | Ibm | Input-output control system for data processing apparatus |
| US3566368A (en) * | 1969-04-22 | 1971-02-23 | Us Army | Delta clock and interrupt logic |
| BE758981A (fr) * | 1969-11-14 | 1971-05-17 | Westinghouse Electric Corp | Systeme de controle des erreurs de fonctionnement d'un processus industriel |
| US3644936A (en) * | 1970-01-23 | 1972-02-22 | Boole & Babbage Inc | Method for measuring performance of a general purpose digital computer |
| US3749897A (en) * | 1971-09-03 | 1973-07-31 | Collins Radio Co | System failure monitor title |
| US3996567A (en) * | 1972-05-23 | 1976-12-07 | Telefonaktiebolaget L M Ericsson | Apparatus for indicating abnormal program execution in a process controlling computer operating in real time on different priority levels |
| US3795800A (en) * | 1972-09-13 | 1974-03-05 | Honeywell Inf Systems | Watchdog reload initializer |
| FR2269148B1 (ja) * | 1974-04-25 | 1978-01-20 | Honeywell Bull Soc Ind | |
| GB1502184A (en) * | 1974-07-05 | 1978-02-22 | Sperry Rand Corp | Automatic flight control systems |
| US3919533A (en) * | 1974-11-08 | 1975-11-11 | Westinghouse Electric Corp | Electrical fault indicator |
| US4044337A (en) * | 1975-12-23 | 1977-08-23 | International Business Machines Corporation | Instruction retry mechanism for a data processing system |
| US4072852A (en) * | 1976-08-23 | 1978-02-07 | Honeywell Inc. | Digital computer monitoring and restart circuit |
| US4218739A (en) * | 1976-10-28 | 1980-08-19 | Honeywell Information Systems Inc. | Data processing interrupt apparatus having selective suppression control |
| US4145735A (en) * | 1977-02-02 | 1979-03-20 | Nippon Steel Corporation | Monitor for priority level of task in information processing system |
| US4118792A (en) * | 1977-04-25 | 1978-10-03 | Allen-Bradley Company | Malfunction detection system for a microprocessor based programmable controller |
| JPS6060024B2 (ja) * | 1977-10-19 | 1985-12-27 | 株式会社日立製作所 | エンジン制御方法 |
| US4255789A (en) * | 1978-02-27 | 1981-03-10 | The Bendix Corporation | Microprocessor-based electronic engine control system |
| US4231106A (en) * | 1978-07-13 | 1980-10-28 | Sperry Rand Corporation | Performance monitor apparatus and method |
| US4270168A (en) * | 1978-08-31 | 1981-05-26 | United Technologies Corporation | Selective disablement in fail-operational, fail-safe multi-computer control system |
| US4213178A (en) * | 1978-10-23 | 1980-07-15 | International Business Machines Corporation | Input/output command timing mechanism |
| BE887134A (fr) * | 1979-12-14 | 1981-05-14 | Gte Automatic Electric Lab Inc | Circuit expanseur d'interruption |
| US4323966A (en) * | 1980-02-05 | 1982-04-06 | The Bendix Corporation | Operations controller for a fault-tolerant multiple computer system |
-
1979
- 1979-04-02 JP JP54038399A patent/JPS6032217B2/ja not_active Expired
-
1980
- 1980-03-28 GB GB8010490A patent/GB2050013B/en not_active Expired
- 1980-03-31 DE DE19803012425 patent/DE3012425A1/de not_active Ceased
- 1980-04-01 FR FR8007345A patent/FR2453442A1/fr active Granted
- 1980-04-01 US US06/136,403 patent/US4410938A/en not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| FR2453442B1 (ja) | 1984-03-30 |
| JPS55131852A (en) | 1980-10-14 |
| DE3012425A1 (de) | 1980-10-23 |
| GB2050013A (en) | 1980-12-31 |
| GB2050013B (en) | 1983-11-16 |
| US4410938A (en) | 1983-10-18 |
| FR2453442A1 (fr) | 1980-10-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JPS6032217B2 (ja) | 制御用コンピュ−タのフェィルセ−フ装置 | |
| US4775957A (en) | Microcomputer with abnormality sensing function | |
| JPS5949350A (ja) | 車輛制御用コンピュータにおけるバックアップメモリの内容保護装置 | |
| US5638510A (en) | Multiplexed system with watch dog timers | |
| JPS63501831A (ja) | ネストされたdoル−プを実行する際のオ−バヘッドを最小化する方法および装置 | |
| JPH06324914A (ja) | コンピュータの暴走検出方法 | |
| JPH0325813B2 (ja) | ||
| JP2019020869A (ja) | 車両制御装置 | |
| JP2018081427A (ja) | 演算器の動作保証方法 | |
| JPH0559452B2 (ja) | ||
| JP2003106211A (ja) | 自動車用内燃機関制御装置 | |
| JPS638503B2 (ja) | ||
| JPH02293939A (ja) | スタックオーバーフロー検出時処理方式 | |
| JPH0246966B2 (ja) | ||
| JPH02121045A (ja) | アクセスプロテクト機能を有するマイクロプロセッサ | |
| JPH01217511A (ja) | 割込み回路 | |
| JPS6343560Y2 (ja) | ||
| JPH0612293A (ja) | マイクロコンピュータの暴走防止方法 | |
| JPS63292247A (ja) | マイクロプロセッサのトラップ制御回路 | |
| JPS6195464A (ja) | デ−タ保護方式 | |
| JPS63310027A (ja) | 半導体集積回路 | |
| JPS62198944A (ja) | 装置異常検出方式 | |
| JPH02294220A (ja) | マイコン制御におけるcpu自動リセット回路 | |
| JPS6324331A (ja) | コンピユ−タの暴走検知装置 | |
| JPS61175827A (ja) | 自動車用コンピユ−タの誤動作防止方法 |