Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6984438B2 - Electronic control device - Google Patents
[go: Go Back, main page]

JP6984438B2 - Electronic control device - Google Patents

Electronic control device Download PDF

Info

Publication number
JP6984438B2
JP6984438B2 JP2018010548A JP2018010548A JP6984438B2 JP 6984438 B2 JP6984438 B2 JP 6984438B2 JP 2018010548 A JP2018010548 A JP 2018010548A JP 2018010548 A JP2018010548 A JP 2018010548A JP 6984438 B2 JP6984438 B2 JP 6984438B2
Authority
JP
Japan
Prior art keywords
microcomputer
signal
abnormality
output
monitoring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018010548A
Other languages
Japanese (ja)
Other versions
JP2019128817A (en
Inventor
晋也 植村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2018010548A priority Critical patent/JP6984438B2/en
Priority to DE102019200734.1A priority patent/DE102019200734A1/en
Publication of JP2019128817A publication Critical patent/JP2019128817A/en
Application granted granted Critical
Publication of JP6984438B2 publication Critical patent/JP6984438B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operations
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1415Saving, restoring, recovering or retrying at system level
    • G06F11/1441Resetting or repowering
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Program-control systems
    • G05B19/02Program-control systems electric
    • G05B19/04Program control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Program control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/24Resetting means
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/81Threshold
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/88Monitoring involving counting

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)
  • Debugging And Monitoring (AREA)

Description

本発明は、電子制御装置に関する。 The present invention relates to an electronic control device.

マイコンから出力されるウオッチドッグ信号(以下、WDC信号と称す)をモニタする監視ICは、WDC信号が出力されなくなったことを検知したときに、マイコンに暴走等の異常が発生したと判断し、リセット信号を出力して、マイコンをリセットさせる。 When the monitoring IC that monitors the watchdog signal (hereinafter referred to as WDC signal) output from the microcomputer detects that the WDC signal is no longer output, it determines that an abnormality such as runaway has occurred in the microcomputer. Output a reset signal to reset the microcomputer.

特開2004−362139号公報Japanese Unexamined Patent Publication No. 2004-362139

上記従来構成の場合、監視ICは、リセット信号を設定時間だけ出力した後、リセット信号の出力を停止して、リセット解除する。これにより、マイコンは自動的に再起動し、監視ICはWDC信号のモニタを再開するように構成されている。しかし、マイコンの異常が継続して発生している状況においては、リセット解除が行われた後、異常が検出されて、再度リセット信号が出力されるまでの間に、マイコン異常により誤作動が発生するおそれがある。このため、マイコン異常が継続して発生しているような場合には、リセット解除することが望ましくない。 In the case of the above-mentioned conventional configuration, the monitoring IC outputs the reset signal for a set time, then stops the output of the reset signal to release the reset. As a result, the microcomputer is automatically restarted, and the monitoring IC is configured to resume monitoring the WDC signal. However, in the situation where the abnormality of the microcomputer continues to occur, a malfunction occurs due to the abnormality of the microcomputer after the reset is released and before the abnormality is detected and the reset signal is output again. There is a risk of doing so. Therefore, it is not desirable to release the reset when the microcomputer abnormality continues to occur.

本発明の目的は、マイコン異常が発生したときに、マイコンをリセットし、その後、自動的にリセット解除する構成でありながら、マイコン異常が継続して発生している場合には、リセット解除しない構成とすることができる電子制御装置を提供することにある。 An object of the present invention is a configuration in which a microcomputer is reset when a microcomputer abnormality occurs and then automatically reset and released, but the reset is not released when a microcomputer abnormality continues to occur. It is an object of the present invention to provide an electronic control device which can be used.

請求項1の発明は、マイコン2と、前記マイコン2を監視する監視部3とを備えた電子制御装置1であって、前記監視部3は、前記マイコン2から出力される監視用信号に基づいてマイコン異常を検出し、マイコン異常を検出したときに、リセット状態とし、リセット状態とした時点から、設定条件が成立した時点で前記リセット状態を解除する異常検出部5と、前記マイコン異常の検出回数をカウントし、この検出回数が判定閾値以上となったときに、前記リセット状態を継続させる異常カウント部6とを有するように構成されたものである。
そして、前記異常カウント部6は、前記マイコン2が前記監視用信号の出力を停止させる指示を実行したときには、マイコン異常を検出しても、検出回数をカウントアップしない無効状態となるように構成され、且つ、前記監視用信号の出力が停止する前に、前記無効状態となるように構成されている。
The invention of claim 1 is an electronic control device 1 including a microcomputer 2 and a monitoring unit 3 for monitoring the microcomputer 2, and the monitoring unit 3 is based on a monitoring signal output from the microcomputer 2. When a microcomputer abnormality is detected, the state is reset, and from the time when the reset state is set, the abnormality detection unit 5 that releases the reset state when the setting condition is satisfied, and the detection of the microcomputer abnormality. It is configured to have an abnormality counting unit 6 that counts the number of times and continues the reset state when the number of times of detection becomes equal to or higher than the determination threshold value.
Then, when the microcomputer 2 executes an instruction to stop the output of the monitoring signal, the abnormality counting unit 6 is configured to be in an invalid state in which the number of detections is not counted up even if the microcomputer abnormality is detected. Moreover, it is configured to be in the invalid state before the output of the monitoring signal is stopped.

第1実施形態を示す電子制御装置の電気的構成図Electrical configuration diagram of the electronic control device showing the first embodiment マイコン正常動作時の各部のタイムチャートTime chart of each part when the microcomputer is operating normally マイコン異常動作時の各部のタイムチャートTime chart of each part when the microcomputer operates abnormally

(第1実施形態)
以下、第1実施形態について、図1ないし図3を参照して説明する。図1は、本実施形態の電子制御装置1は、図1に示すように、マイコン2と、監視IC3と、その他のIC(以下、他ICと称す)4等を備えて構成されている。
(First Embodiment)
Hereinafter, the first embodiment will be described with reference to FIGS. 1 to 3. FIG. 1 shows that the electronic control device 1 of the present embodiment is configured to include a microcomputer 2, a monitoring IC 3, another IC (hereinafter referred to as another IC) 4, and the like, as shown in FIG.

マイコン2は、電子制御装置1全体を制御する機能を有し、WDC信号S1を出力する出力端子2aと、通信コマンドS2を出力する出力端子2bと、リセット信号を入力する入力端子2cとを有する。また、マイコン2は、上記端子2a、2b、2cの他に、図示しない多数の出力端子及び入力端子を有する。 The microcomputer 2 has a function of controlling the entire electronic control device 1, and has an output terminal 2a for outputting a WDC signal S1, an output terminal 2b for outputting a communication command S2, and an input terminal 2c for inputting a reset signal. .. Further, the microcomputer 2 has a large number of output terminals and input terminals (not shown) in addition to the terminals 2a, 2b, and 2c described above.

監視IC3は、マイコン2を監視する監視部としての機能を有する。監視IC3は、入力端子3aと、入力端子3bと、出力端子3cと、出力端子3dとを有する。監視IC3の入力端子3aはマイコン2の出力端子2aに接続され、監視IC3の入力端子3bはマイコン2の出力端子2bに接続されている。監視IC3の出力端子3cは、マイコン2の入力端子2cと、他IC4等の入力端子4aとに接続されている。監視IC3の出力端子3dは、図示しないエンジン制御ECUの入力端子に接続されている。 The monitoring IC 3 has a function as a monitoring unit for monitoring the microcomputer 2. The monitoring IC 3 has an input terminal 3a, an input terminal 3b, an output terminal 3c, and an output terminal 3d. The input terminal 3a of the monitoring IC 3 is connected to the output terminal 2a of the microcomputer 2, and the input terminal 3b of the monitoring IC 3 is connected to the output terminal 2b of the microcomputer 2. The output terminal 3c of the monitoring IC 3 is connected to the input terminal 2c of the microcomputer 2 and the input terminal 4a of another IC 4 or the like. The output terminal 3d of the monitoring IC 3 is connected to an input terminal of an engine control ECU (not shown).

そして、監視IC3は、WDC信号モニタ5と、異常カウンタ6と、第1のMOSFET7と、第2のMOSFET8とを有する。WDC信号モニタ5は、異常検出部としての機能を有し、入力端子5aと、出力端子5bとを有する。WDC信号モニタ5の入力端子5aは、監視IC3の入力端子3aを介してマイコン2の出力端子2aに接続されており、WDC信号S1が入力される。 The monitoring IC 3 has a WDC signal monitor 5, an abnormality counter 6, a first MOSFET 7, and a second MOSFET 8. The WDC signal monitor 5 has a function as an abnormality detection unit, and has an input terminal 5a and an output terminal 5b. The input terminal 5a of the WDC signal monitor 5 is connected to the output terminal 2a of the microcomputer 2 via the input terminal 3a of the monitoring IC 3, and the WDC signal S1 is input.

WDC信号モニタ5は、WDC信号S1が正常と判定したときに、例えばロウの第1信号Saを出力し、WDC信号S1が異常と判定したときに、例えばハイの第1信号Saを出力する。ハイの第1信号Saは、予め決められた設定時間T1、即ち、ワンショット時間の間だけ出力されるようになっている。この場合、WDC信号モニタ5は、パルス状のWDC信号S1の例えば立上りのエッジが、予め決められた異常判定時間T2内に1個以上入力されたときに、WDC信号S1が正常と判定し、異常判定時間T2内に1個も入力されなかったときに、WDC信号S1が異常と判定する。 When the WDC signal monitor 5 determines that the WDC signal S1 is normal, for example, it outputs a low first signal Sa, and when it determines that the WDC signal S1 is abnormal, it outputs, for example, a high first signal Sa. The high first signal Sa is output only during the predetermined set time T1, that is, the one-shot time. In this case, the WDC signal monitor 5 determines that the WDC signal S1 is normal when, for example, one or more rising edges of the pulsed WDC signal S1 are input within the predetermined abnormality determination time T2. When no one is input within the abnormality determination time T2, the WDC signal S1 is determined to be abnormal.

異常カウンタ6は、異常カウント部としての機能を有し、入力端子6aと、入力端子6bと、出力端子6cとを有する。異常カウンタ6の入力端子6aは、WDC信号モニタ5の出力端子5bに接続されており、第1信号Saが入力される。異常カウンタ6は、第1信号Saがロウからハイに切り替ったときに、カウント値をカウントアップ、即ち、+1する。異常カウンタ6は、カウント値が内部に設定された閾値よりも小さいときに、例えばロウの第2信号Sbを出力し、カウント値が上記閾値以上であるときに、例えばハイの第2信号Sbを出力する。そして、異常カウンタ6は、ハイの第2信号Sbを出力した後は、第2信号Sbのハイの状態を保持するようになっている。 The abnormality counter 6 has a function as an abnormality counting unit, and has an input terminal 6a, an input terminal 6b, and an output terminal 6c. The input terminal 6a of the abnormality counter 6 is connected to the output terminal 5b of the WDC signal monitor 5, and the first signal Sa is input. The abnormality counter 6 counts up the count value, that is, +1 when the first signal Sa switches from low to high. The abnormality counter 6 outputs, for example, a low second signal Sb when the count value is smaller than the internally set threshold value, and outputs, for example, a high second signal Sb when the count value is equal to or higher than the above threshold value. Output. Then, the abnormality counter 6 is adapted to hold the high state of the second signal Sb after outputting the high second signal Sb.

また、異常カウンタ6の入力端子6bは、監視IC3の入力端子3bを介してマイコン2の出力端子2bに接続されており、コマンド信号S2が入力される。マイコン2から出力されるコマンド信号S2としては、例えば、異常カウンタ6のカウントアップの無効を指示する通信コマンドと、異常カウンタ6の閾値を設定する通信コマンドと、異常カウンタ6のカウント値をクリアする通信コマンド等がある。異常カウンタ6は、上記カウントアップの無効を指示する通信コマンドを入力すると、第1信号Saがロウからハイに切り替っても、カウント値をカウントアップしない。異常カウンタ6は、上記閾値を設定する通信コマンドを入力すると、該通信コマンドにより指示された閾値を設定する。異常カウンタ6は、上記カウント値をクリアする通信コマンドを入力すると、カウント値をクリアする。尚、通信コマンドは、例えば4ビットの16進数を示す信号で構成することが好ましい。 Further, the input terminal 6b of the abnormality counter 6 is connected to the output terminal 2b of the microcomputer 2 via the input terminal 3b of the monitoring IC 3, and the command signal S2 is input. The command signal S2 output from the microcomputer 2 is, for example, a communication command instructing invalidation of the count-up of the abnormality counter 6, a communication command for setting the threshold value of the abnormality counter 6, and clearing the count value of the abnormality counter 6. There are communication commands, etc. When the communication command instructing the invalidation of the count-up is input, the abnormality counter 6 does not count up the count value even if the first signal Sa switches from low to high. When the abnormality counter 6 inputs a communication command for setting the threshold value, the abnormality counter 6 sets the threshold value instructed by the communication command. The abnormality counter 6 clears the count value when a communication command for clearing the count value is input. The communication command is preferably composed of, for example, a signal indicating a 4-bit hexadecimal number.

第1のMOSFET7のドレインは、監視IC3の出力端子3c及び出力端子3dに接続され、ソースはグランドに接続され、ゲートはWDC信号モニタ5の出力端子5bに接続されている。第1のMOSFET7は、ゲートにWDC信号モニタ5からロウの第1信号Saが入力されると、オフし、ゲートにハイの第1信号Saが入力されると、オンする。 The drain of the first MOSFET 7 is connected to the output terminal 3c and the output terminal 3d of the monitoring IC 3, the source is connected to the ground, and the gate is connected to the output terminal 5b of the WDC signal monitor 5. The first MOSFET 7 turns off when the low first signal Sa is input from the WDC signal monitor 5 to the gate, and turns on when the high first signal Sa is input to the gate.

第2のMOSFET8のドレインは、第1のMOSFET7のドレイン、監視IC3の出力端子3c及び出力端子3dに接続され、ソースはグランドに接続され、ゲートは異常カウンタ6の出力端子6cに接続されている。第2のMOSFET8は、異常カウンタ6からロウの第2信号Sbがゲートに入力されると、オフし、ハイの第2信号Sbがゲートに入力されると、オンする。 The drain of the second MOSFET 8 is connected to the drain of the first MOSFET 7, the output terminal 3c and the output terminal 3d of the monitoring IC 3, the source is connected to the ground, and the gate is connected to the output terminal 6c of the abnormality counter 6. .. The second MOSFET 8 turns off when the low second signal Sb is input to the gate from the abnormality counter 6, and turns on when the high second signal Sb is input to the gate.

上記構成においては、第1のMOSFET7及び第2のMOSFET8が共にオフのとき、監視IC3の出力端子3cからハイの第3信号Sc、即ち、リセット解除信号が出力される。また、第1のMOSFET7または第2のMOSFET8の少なくとも一方がオンのとき、監視IC3の出力端子3cからロウの第3信号Sc、即ち、リセット信号が出力される。そして、第3信号Sc、即ち、リセット信号またはリセット解除信号は、マイコン2の入力端子2cに入力されると共に、他IC4の入力端子4aに入力される。 In the above configuration, when both the first MOSFET 7 and the second MOSFET 8 are off, a high third signal Sc, that is, a reset release signal is output from the output terminal 3c of the monitoring IC 3. Further, when at least one of the first MOSFET 7 and the second MOSFET 8 is on, the low third signal Sc, that is, the reset signal is output from the output terminal 3c of the monitoring IC 3. Then, the third signal Sc, that is, the reset signal or the reset release signal is input to the input terminal 2c of the microcomputer 2 and is input to the input terminal 4a of the other IC 4.

また、監視IC3の出力端子3dから出力される第4信号Sdは、上記第3信号Scと同じ信号であるが、ロウの第4信号Sdはフェールセーフ信号として用いられる。このフェールセーフ信号、即ち、ロウの第4信号Sdが、例えば図示しないエンジン制御ECUに入力されると、エンジン制御ECUは、インジェクタによる燃料噴射を停止するように構成されている。本実施形態の場合、上記リセット信号と上記フェールセーフ信号が出力される状態が、リセット状態に対応している。 Further, the fourth signal Sd output from the output terminal 3d of the monitoring IC 3 is the same signal as the third signal Sc, but the fourth signal Sd of the row is used as a fail-safe signal. When this fail-safe signal, that is, the fourth signal Sd of the row is input to, for example, an engine control ECU (not shown), the engine control ECU is configured to stop fuel injection by the injector. In the case of the present embodiment, the state in which the reset signal and the fail-safe signal are output corresponds to the reset state.

次に、マイコン2が正常に動作している場合の電子制御装置1の各部の動作について、図2のタイムチャートに従って説明する。電源電圧がオフ、即ち、消失した状態では、監視IC3の出力端子3cからの第3信号Scはロウ、即ち、リセット信号であり、マイコン2からWDC信号は出力しておらず、WDC信号モニタ5からの第1信号Saはロウ、即ち、正常である。そして、異常カウンタ6のカウント値は0であり、異常カウンタ6からの第2信号Sbはロウ、即ち、正常である。更に、マイコン2から通信コマンドS2は出力されておらず、異常カウンタ6の閾値は初期値である例えば「16」である。また、異常カウンタ6のカウントアップ、即ち、異常カウントの状態は、初期値である「有効」となっている。 Next, the operation of each part of the electronic control device 1 when the microcomputer 2 is operating normally will be described with reference to the time chart of FIG. When the power supply voltage is off, that is, when it disappears, the third signal Sc from the output terminal 3c of the monitoring IC 3 is low, that is, a reset signal, the WDC signal is not output from the microcomputer 2, and the WDC signal monitor 5 The first signal Sa from is low, i.e. normal. The count value of the abnormality counter 6 is 0, and the second signal Sb from the abnormality counter 6 is low, that is, normal. Further, the communication command S2 is not output from the microcomputer 2, and the threshold value of the abnormality counter 6 is, for example, "16" which is an initial value. Further, the count-up of the abnormality counter 6, that is, the state of the abnormality count is "valid" which is an initial value.

そして、電源がオンされて、時刻t1において、電源電圧が所定の電圧値を超えると、監視IC3の出力端子3cからハイの第3信号Sc、即ち、リセット解除信号が出力され、マイコン2からWDC信号S1が出力、即ち、WDCパルスが設定周期で出力され、異常判定時間T2内にWDC信号S1の立上りのエッジが1個以上入力される。従って、WDC信号モニタ5からの第1信号Saはロウ、即ち、正常のままである。そして、異常カウンタ6のカウント値は0のままであり、異常カウンタ6からの第2信号Sbはロウ、即ち、正常のままである。更に、マイコン2から通信コマンドS2は出力されておらず、異常ウンタ6の閾値は「16」のままであり、異常カウンタ6のカウントアップは「有効」のままである。 Then, when the power is turned on and the power supply voltage exceeds a predetermined voltage value at time t1, a high third signal Sc, that is, a reset release signal is output from the output terminal 3c of the monitoring IC 3, and the WDC is output from the microcomputer 2. The signal S1 is output, that is, the WDC pulse is output at the set cycle, and one or more rising edges of the WDC signal S1 are input within the abnormality determination time T2. Therefore, the first signal Sa from the WDC signal monitor 5 remains low, i.e. normal. Then, the count value of the abnormality counter 6 remains 0, and the second signal Sb from the abnormality counter 6 remains low, that is, normal. Further, the communication command S2 is not output from the microcomputer 2, the threshold value of the abnormal unter 6 remains "16", and the count-up of the abnormal counter 6 remains "valid".

この後、電源がオフされて、時刻t2において、電源電圧が消失すると、監視IC3の出力端子3cからロウの第3信号Sc、即ち、リセット信号が出力され、上述した電源電圧の消失状態に戻る。 After that, when the power is turned off and the power supply voltage disappears at time t2, the low third signal Sc, that is, the reset signal is output from the output terminal 3c of the monitoring IC3, and the state returns to the above-mentioned power supply voltage disappearance state. ..

次に、マイコン2が異常動作している場合の電子制御装置1の各部の動作について、図3のタイムチャートに従って説明する。まず、電源電圧がオフ、即ち、消失した状態では、図2に示す電源電圧消失状態と同じ状態となっている。 Next, the operation of each part of the electronic control device 1 when the microcomputer 2 is operating abnormally will be described with reference to the time chart of FIG. First, when the power supply voltage is off, that is, when it disappears, it is in the same state as the power supply voltage disappearance state shown in FIG.

そして、電源がオンされて、時刻t11において、電源電圧が所定の電圧値を超えると、監視IC3の出力端子3cからハイの第3信号Sc、即ち、リセット解除信号が出力される。この場合、マイコン2が異常であることから、マイコン2からWDC信号S1が出力されない。このため、時刻t11から異常判定時間T2が経過した時刻t12で、WDC信号モニタ5からの第1信号Saがロウからハイに切り替わる。 Then, when the power is turned on and the power supply voltage exceeds a predetermined voltage value at time t11, a high third signal Sc, that is, a reset release signal is output from the output terminal 3c of the monitoring IC 3. In this case, since the microcomputer 2 is abnormal, the WDC signal S1 is not output from the microcomputer 2. Therefore, at the time t12 when the abnormality determination time T2 has elapsed from the time t11, the first signal Sa from the WDC signal monitor 5 is switched from low to high.

第1信号Saがロウからハイに切り替わると、監視IC3の第1のMOSFET7がオンされて、監視IC3の出力端子3cからロウの第3信号Sc、即ち、リセット信号が出力される。これにより、マイコン2がリセットされる。また、時刻t12では、異常カウンタ6のカウント値がカウントアップされ、カウント値が「1」になる。 When the first signal Sa is switched from low to high, the first MOSFET 7 of the monitoring IC 3 is turned on, and the third signal Sc of the low, that is, the reset signal is output from the output terminal 3c of the monitoring IC 3. As a result, the microcomputer 2 is reset. Further, at time t12, the count value of the abnormality counter 6 is counted up, and the count value becomes “1”.

続いて、時刻t12から設定時間T1が経過した時刻t13になると、WDC信号モニタ5からの第1信号Saがハイからロウに切り替わり、監視IC3の第1のMOSFET7がオフされて、監視IC3の出力端子3cからハイの第3信号Sc、即ち、リセット解除信号が出力される。これにより、マイコン2がリセット解除され、マイコン2からWDC信号S1が出力、即ち、WDCパルスが設定周期で出力されるようになる。この場合、設定時間T1が経過した時刻t13が、設定条件が成立した時点に対応している。 Subsequently, at the time t13 when the set time T1 has elapsed from the time t12, the first signal Sa from the WDC signal monitor 5 is switched from high to low, the first MOSFET 7 of the monitoring IC 3 is turned off, and the output of the monitoring IC 3 is output. A high third signal Sc, that is, a reset release signal is output from the terminal 3c. As a result, the microcomputer 2 is reset and released, and the WDC signal S1 is output from the microcomputer 2, that is, the WDC pulse is output at the set cycle. In this case, the time t13 when the set time T1 has elapsed corresponds to the time when the set condition is satisfied.

次いで、マイコン2が異常カウンタ6のカウント値の閾値を「2」に設定する制御と、マイコン2が自身の制御によりWDC信号、即ち、WDCパルスを停止させる制御について説明する。 Next, the control in which the microcomputer 2 sets the threshold value of the count value of the abnormality counter 6 to "2" and the control in which the microcomputer 2 stops the WDC signal, that is, the WDC pulse by its own control will be described.

この場合、例えば時刻t14において、マイコン2が、カウント値の閾値を「2」に設定する通信コマンドC1を出力すると、異常カウンタ6は、上記通信コマンドC1を入力した時点、即ち、時刻t15で、カウント値の閾値を「2」に設定する。 In this case, for example, at time t14, when the microcomputer 2 outputs the communication command C1 that sets the threshold value of the count value to "2", the abnormality counter 6 receives the communication command C1 at the time when the communication command C1 is input, that is, at time t15. Set the threshold value of the count value to "2".

続いて、マイコン2は、WDCパルスを停止させる制御を実行する場合、異常カウンタ6のカウントアップを無効とする指示を行なう。そこで、例えば時刻t16において、マイコン2が、カウントアップを無効とする通信コマンドC2を出力すると、異常カウンタ6は、上記通信コマンドC2を入力した時点、即ち、時刻t17で、異常カウントの状態を「無効」とし、これ以降は、第1信号Saがロウからハイに切り替っても、カウント値をカウントアップしない。 Subsequently, the microcomputer 2 gives an instruction to invalidate the count-up of the abnormality counter 6 when executing the control to stop the WDC pulse. Therefore, for example, when the microcomputer 2 outputs the communication command C2 that invalidates the count-up at the time t16, the abnormality counter 6 changes the state of the abnormality count to the time when the communication command C2 is input, that is, at the time t17. After that, even if the first signal Sa switches from low to high, the count value is not counted up.

そして、マイコン2が、時刻t17以降、WDC信号S1を出力しなくなると、最後に出力されたWDC信号S1の立上りのエッジから異常判定時間T2が経過した時点、即ち、時刻t18において、WDC信号モニタ5からの第1信号Saがロウからハイに切り替わる。この第1信号Saがロウからハイに切り替わると、監視IC3の第1のMOSFET7がオンされて、監視IC3の出力端子3cからロウの第3信号Sc、即ち、リセット信号が出力される。 Then, when the microcomputer 2 stops outputting the WDC signal S1 after the time t17, the WDC signal monitor is at the time when the abnormality determination time T2 elapses from the rising edge of the WDC signal S1 output last, that is, at the time t18. The first signal Sa from 5 switches from low to high. When the first signal Sa is switched from low to high, the first MOSFET 7 of the monitoring IC 3 is turned on, and the third signal Sc of the low, that is, the reset signal is output from the output terminal 3c of the monitoring IC 3.

また、時刻t18においては、異常カウントの状態が「無効」であることから、異常カウンタ6のカウント値がカウントアップされることはなく、カウント値は「1」のままである。更に、時刻t18においては、異常カウンタ6は、上記リセット信号の出力に応じて、異常カウントの状態が「無効」から「有効」に戻るように構成されている。 Further, at time t18, since the abnormal count state is "invalid", the count value of the abnormal counter 6 is not counted up, and the count value remains "1". Further, at time t18, the abnormality counter 6 is configured so that the state of the abnormality count returns from "invalid" to "valid" in response to the output of the reset signal.

この後、時刻t18から設定時間T1が経過した時刻t19になると、WDC信号モニタ5からの第1信号Saがハイからロウに切り替わり、監視IC3の第1のMOSFET7がオフされて、監視IC3の出力端子3cからハイの第3信号Sc、即ち、リセット解除信号が出力される。 After that, at the time t19 when the set time T1 has elapsed from the time t18, the first signal Sa from the WDC signal monitor 5 is switched from high to low, the first MOSFET 7 of the monitoring IC 3 is turned off, and the output of the monitoring IC 3 is output. A high third signal Sc, that is, a reset release signal is output from the terminal 3c.

さて、この場合、マイコン2は、ソフト制御によりWDC信号S1を停止させる制御を実行しているので、マイコン2からWDC信号S1が出力されない。このため、時刻t19から異常判定時間T2が経過した時刻t20で、WDC信号モニタ5からの第1信号Saがロウからハイに切り替わる。このように、第1信号Saがロウからハイに切り替わると、監視IC3の第1のMOSFET7がオンされて、監視IC3の出力端子3cからロウの第3信号Sc、即ち、リセット信号が出力される。 By the way, in this case, since the microcomputer 2 executes the control to stop the WDC signal S1 by software control, the WDC signal S1 is not output from the microcomputer 2. Therefore, at the time t20 when the abnormality determination time T2 has elapsed from the time t19, the first signal Sa from the WDC signal monitor 5 switches from low to high. In this way, when the first signal Sa switches from low to high, the first MOSFET 7 of the monitoring IC 3 is turned on, and the third signal Sc of the low, that is, the reset signal is output from the output terminal 3c of the monitoring IC 3. ..

また、時刻t20においては、異常カウント状態が「無効」から「有効」に戻っているので、異常カウンタ6のカウント値がカウントアップされ、カウント値が「2」になる。ここで、異常カウンタ6の閾値が「2」に設定されているので、カウント値≧閾値となることから、異常カウンタ6は、第2信号Sbをロウからハイに切り替える。これにより、第2のMOSFET8がオンされることから、監視IC3の出力端子3cからロウの第3信号Sc、即ち、リセット信号が出力される。本実施形態の場合、異常カウンタ6は、第2信号Sbをロウからハイに切り替えた後は、電源電圧が消失されるまで、ハイの第2信号Sbを出力し続けるように構成されている。従って、電源電圧が消失されるまで、監視IC3の出力端子3cからロウの第3信号Sc、即ち、リセット信号が出力され、リセット解除されることがないようになっている。 Further, at time t20, since the abnormality count state has returned from "invalid" to "valid", the count value of the abnormality counter 6 is counted up and the count value becomes "2". Here, since the threshold value of the abnormality counter 6 is set to “2”, the count value ≧ threshold value, so that the abnormality counter 6 switches the second signal Sb from low to high. As a result, since the second MOSFET 8 is turned on, the low third signal Sc, that is, the reset signal is output from the output terminal 3c of the monitoring IC 3. In the case of the present embodiment, after switching the second signal Sb from low to high, the abnormality counter 6 is configured to continue to output the high second signal Sb until the power supply voltage disappears. Therefore, until the power supply voltage disappears, the low third signal Sc, that is, the reset signal is output from the output terminal 3c of the monitoring IC 3, and the reset is not released.

この後、時刻t21で、電源がオフされて、電源電圧が消失すると、異常カウンタ6のカウント値がクリアされて「0」となると共に、第2信号Sbがハイからロウに切り替わる。尚、異常カウンタ6のカウント値の閾値「2」は、電源電圧が消失すると、初期値である例えば「16」に戻るように構成されている。 After that, when the power is turned off and the power supply voltage disappears at time t21, the count value of the abnormality counter 6 is cleared to "0", and the second signal Sb is switched from high to low. The threshold value "2" of the count value of the abnormality counter 6 is configured to return to the initial value, for example, "16" when the power supply voltage disappears.

このような構成の本実施形態においては、マイコン2から出力されるWDC信号S1、即ち、監視用信号に基づいてマイコン異常を検出し、マイコン異常を検出したときに、リセット状態とし、リセット状態とした時点から、設定時間が経過した時点、即ち、設定条件が成立した時点で前記リセット状態を解除するWDC信号モニタ5を備え、前記マイコン異常の検出回数をカウントし、この検出回数が判定閾値以上となったときに、前記リセット状態を継続させる異常カウンタ6を備えた。この構成によれば、マイコン異常が発生したときに、マイコン2をリセットし、その後、自動的にリセット解除する構成でありながら、マイコン異常が継続して発生している場合には、リセット解除しないように構成することができる。 In the present embodiment having such a configuration, a microcomputer abnormality is detected based on the WDC signal S1 output from the microcomputer 2, that is, a monitoring signal, and when the microcomputer abnormality is detected, the reset state is set and the reset state is set. A WDC signal monitor 5 for releasing the reset state is provided when the set time elapses from the time when the setting time has elapsed, that is, when the setting condition is satisfied, the number of times the microcomputer abnormality is detected is counted, and the number of times of detection is equal to or greater than the determination threshold value. An abnormality counter 6 for continuing the reset state is provided. According to this configuration, when a microcomputer abnormality occurs, the microcomputer 2 is reset and then automatically reset and released, but if the microcomputer abnormality continues to occur, the reset is not released. Can be configured as follows.

また、上記実施形態では、異常カウンタ6によって、マイコン2がWDC信号S1の出力を停止させる指示を実行したときには、マイコン異常を検出しても、検出回数をカウントアップしない無効状態となるように構成した。この構成によれば、マイコン異常でない場合でも、マイコントリガのリセットを行う場合には、マイコン異常時と同じくWDC信号S1を停止させる処置をマイコン2が実施することがあり、このような場合に、マイコン2の継続異常を判定させない構成を実現することができる。 Further, in the above embodiment, when the microcomputer 2 executes an instruction to stop the output of the WDC signal S1 by the abnormality counter 6, even if the microcomputer abnormality is detected, the detection number is not counted up and the state is invalid. did. According to this configuration, even if the microcomputer is not abnormal, when the microcomputer trigger is reset, the microcomputer 2 may carry out the procedure of stopping the WDC signal S1 as in the case of the microcomputer abnormality. It is possible to realize a configuration in which the continuation abnormality of the microcomputer 2 is not determined.

上記実施形態では、異常カウンタ6によって、カウントアップの無効状態となった後、WDC信号モニタ5によりリセット状態となったときに、マイコン異常の検出回数をカウントアップする有効状態に戻すように構成した。この構成によれば、リセット状態となった後は、マイコン2の継続異常を判定させる制御に自動的に戻すことができる。 In the above embodiment, when the count-up is disabled by the abnormality counter 6 and then reset by the WDC signal monitor 5, the number of detections of the microcomputer abnormality is returned to the enabled state. .. According to this configuration, after the reset state is reached, it is possible to automatically return to the control for determining the continuation abnormality of the microcomputer 2.

上記実施形態では、異常カウンタ6によって、リセット状態を継続させた場合には、電源オフされるまで前記リセット状態を維持するように構成した。この構成によれば、マイコン異常が継続して発生している場合に、電源オフされるまでリセット解除しないように構成することができる。 In the above embodiment, when the reset state is continued by the abnormality counter 6, the reset state is maintained until the power is turned off. According to this configuration, when a microcomputer abnormality continues to occur, it can be configured so that the reset is not released until the power is turned off.

上記実施形態では、異常カウンタ6のマイコン異常の検出回数の判定閾値を、マイコン2側から変更可能なように構成した。マイコン2の継続異常の判定レベルを簡単に調整することができる。 In the above embodiment, the determination threshold value of the number of detections of the microcomputer abnormality of the abnormality counter 6 is configured to be changeable from the microcomputer 2 side. The determination level of the continuation abnormality of the microcomputer 2 can be easily adjusted.

尚、上記実施形態では、マイコン2から監視用信号として例えばWDC信号S1を出力するように構成したが、これに限られるものではなく、マイコン2から監視用信号として例えばコマンド信号を出力するように構成しても良い。また、上記実施形態では、リセット状態とした時点から、設定時間が経過した時点でリセット状態を解除するように構成したが、これに限られるものではなく、リセット状態とした時点から、設定条件が成立した時点、例えばマイコン2がリセット状態解除用のコマンドを出力した時点でリセット状態を解除するように構成しても良い。 In the above embodiment, the microcomputer 2 is configured to output, for example, a WDC signal S1 as a monitoring signal, but the present invention is not limited to this, and the microcomputer 2 is configured to output, for example, a command signal as a monitoring signal. It may be configured. Further, in the above embodiment, the reset state is set to be released when the set time elapses from the time when the reset state is set, but the setting condition is not limited to this, and the setting condition is set from the time when the reset state is set. It may be configured to release the reset state when it is established, for example, when the microcomputer 2 outputs a command for canceling the reset state.

本開示は、実施例に準拠して記述されたが、本開示は当該実施例や構造に限定されるものではないと理解される。本開示は、様々な変形例や均等範囲内の変形をも包含する。加えて、様々な組み合わせや形態、さらには、それらに一要素のみ、それ以上、あるいはそれ以下、を含む他の組み合わせや形態をも、本開示の範疇や思想範囲に入るものである。 The present disclosure has been described in accordance with the examples, but it is understood that the present disclosure is not limited to the examples and structures. The present disclosure also includes various variations and variations within a uniform range. In addition, various combinations and forms, as well as other combinations and forms that include only one element, more, or less, are within the scope and scope of the present disclosure.

図面中、1は電子制御装置、2はマイコン、3は監視IC(監視部)、4は他のIC、5はWDC信号モニタ(異常検出部)、6は異常カウンタ(異常カウント部)である。 In the drawing, 1 is an electronic control device, 2 is a microcomputer, 3 is a monitoring IC (monitoring unit), 4 is another IC, 5 is a WDC signal monitor (abnormality detecting unit), and 6 is an abnormality counter (abnormality counting unit). ..

Claims (3)

マイコン(2)と、前記マイコンを監視する監視部(3)とを備えた電子制御装置(1)であって、
前記監視部は、前記マイコンから出力される監視用信号に基づいてマイコン異常を検出し、マイコン異常を検出したときに、リセット状態とし、リセット状態とした時点から、設定条件が成立した時点で前記リセット状態を解除する異常検出部(5)と、
前記マイコン異常の検出回数をカウントし、この検出回数が判定閾値以上となったときに、前記リセット状態を継続させる異常カウント部(6)とを有するように構成され
前記異常カウント部は、前記マイコンが前記監視用信号の出力を停止させる指示を実行したときには、マイコン異常を検出しても、検出回数をカウントアップしない無効状態となるように構成され、且つ、前記監視用信号の出力が停止する前に、前記無効状態となるように構成された電子制御装置。
An electronic control device (1) including a microcomputer (2) and a monitoring unit (3) for monitoring the microcomputer.
The monitoring unit detects a microcomputer abnormality based on a monitoring signal output from the microcomputer, and when the microcomputer abnormality is detected, the state is reset, and from the time when the reset state is set to the time when the setting condition is satisfied, the above-mentioned The abnormality detection unit (5) that releases the reset state, and
It is configured to have an abnormality counting unit (6) that counts the number of detections of the microcomputer abnormality and continues the reset state when the detection number becomes equal to or higher than the determination threshold value .
The abnormality counting unit is configured to be in an invalid state in which the number of detections is not counted up even if the microcomputer abnormality is detected when the microcomputer executes an instruction to stop the output of the monitoring signal. An electronic control device configured to be in the invalid state before the output of the monitoring signal is stopped.
前記異常カウント部は、前記リセット状態を継続させた場合には、電源オフされるまで前記リセット状態を維持するように構成された請求項1記載の電子制御装置。 The abnormality counting unit, when allowed to continue the reset state, configured claim 1 Symbol placement of the electronic control device to maintain the reset state until the power off. 前記異常カウント部は、マイコン異常の検出回数の判定閾値を、前記マイコン側から変更可能なように構成された請求項1又は2記載の電子制御装置。 The electronic control device according to claim 1 or 2 , wherein the abnormality counting unit is configured so that the determination threshold value of the number of times of detection of a microcomputer abnormality can be changed from the microcomputer side.
JP2018010548A 2018-01-25 2018-01-25 Electronic control device Active JP6984438B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2018010548A JP6984438B2 (en) 2018-01-25 2018-01-25 Electronic control device
DE102019200734.1A DE102019200734A1 (en) 2018-01-25 2019-01-22 ELECTRONIC CONTROL UNIT

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018010548A JP6984438B2 (en) 2018-01-25 2018-01-25 Electronic control device

Publications (2)

Publication Number Publication Date
JP2019128817A JP2019128817A (en) 2019-08-01
JP6984438B2 true JP6984438B2 (en) 2021-12-22

Family

ID=67145379

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018010548A Active JP6984438B2 (en) 2018-01-25 2018-01-25 Electronic control device

Country Status (2)

Country Link
JP (1) JP6984438B2 (en)
DE (1) DE102019200734A1 (en)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH01312638A (en) * 1988-06-13 1989-12-18 Fuji Electric Co Ltd Retry controller for abnormality supervisory of micro processor
JP2004265322A (en) * 2003-03-04 2004-09-24 Denso Corp Microcomputer abnormality monitoring device
JP3992648B2 (en) * 2003-06-03 2007-10-17 株式会社日立製作所 AT control unit
JP4784311B2 (en) * 2006-01-11 2011-10-05 株式会社アドヴィックス Electronic control system for vehicles
JP4682937B2 (en) * 2006-07-05 2011-05-11 富士ゼロックス株式会社 Start control circuit

Also Published As

Publication number Publication date
JP2019128817A (en) 2019-08-01
DE102019200734A1 (en) 2019-07-25

Similar Documents

Publication Publication Date Title
EP2919345B1 (en) Thermal protection circuit
US9779559B2 (en) Circuit for monitoring abnormality of ECU
US8996927B2 (en) Electronic control device with watchdog timer and processing unit to diagnose malfunction of watchdog timer
US20090037770A1 (en) Watchdog mechanism with fault escalation
US20090044050A1 (en) Watchdog mechanism with fault recovery
CN107918426B (en) Power supply device with soft start and protection functions
US9477542B2 (en) Electronic control unit
JP6353709B2 (en) Backup signal generation circuit for load control
US10719331B2 (en) Stand-by mode of an electronic circuit
JP6984438B2 (en) Electronic control device
US9563493B2 (en) Load-control backup signal generation circuit
JP2593915B2 (en) Double microcomputer system runaway prevention circuit
CN109960599B (en) Chip system, watchdog self-checking method thereof and electrical equipment
JP6332048B2 (en) Electronic control unit
KR102053991B1 (en) Self-diagnosing watchdog monitoring system
CN209784946U (en) controllable reset circuit based on single chip microcomputer
JP7143797B2 (en) Power control device for in-vehicle camera module
US8000076B2 (en) Interrupter, a method of responding to a monitored event and an integrated circuit including an interrupter
KR102085340B1 (en) Watchdog monitoring system that utilizes a disable application to monitor operation of an enable application
JP5962441B2 (en) Electronic control unit
TWI421661B (en) Regulated voltage system, method of protection therefor and integrated circuit adapted to perform the method
JP2015215743A (en) Electronic control unit
DE102018123828A1 (en) Method for operating a driver with the possibility of differentiating between bootstrap capacity recharging and short-circuit failure
DE102018123764B4 (en) Driver with the ability to differentiate between bootstrap capacity recharging and short circuit failure and method for operating the same
EP2833240A2 (en) Electronic device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201209

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210826

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210907

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211001

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211026

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211108

R151 Written notification of patent or utility model registration

Ref document number: 6984438

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250