JPH06103466B2 - Preventing malfunction of automobile computer - Google Patents
Preventing malfunction of automobile computerInfo
- Publication number
- JPH06103466B2 JPH06103466B2 JP60017947A JP1794785A JPH06103466B2 JP H06103466 B2 JPH06103466 B2 JP H06103466B2 JP 60017947 A JP60017947 A JP 60017947A JP 1794785 A JP1794785 A JP 1794785A JP H06103466 B2 JPH06103466 B2 JP H06103466B2
- Authority
- JP
- Japan
- Prior art keywords
- interrupt
- processing
- computer
- malfunction
- cpu
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 230000007257 malfunction Effects 0.000 title claims description 21
- 238000000034 method Methods 0.000 claims description 15
- 230000002265 prevention Effects 0.000 description 2
- 230000006378 damage Effects 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000446 fuel Substances 0.000 description 1
- 230000005764 inhibitory process Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
Landscapes
- Debugging And Monitoring (AREA)
Description
本発明は、コンピュータ制御における誤動作を未然に防
止する自動車用コンピュータの誤動作防止方法に関す
る。The present invention relates to a malfunction prevention method for an automobile computer, which prevents malfunction in computer control.
【従来の技術】 自動車に搭載された制御用マイクロコンピュータを含む
電子回路は、温度,湿度,振動,電気的ノイズなどの悪
環境下に置かれるので、高度の電子技術が要求される。
電子機器の破壊に対しては、技術進歩により対応技術が
著しく進歩してきているので、現段階ではこれらを利用
して、ほぼ満足すべき状態になっているが、プログラム
制御における誤動作の問題は、充分に解決されていると
はいえない。 特に、長大なステップをシーケンシャルに実行するマイ
クロコンピュータでは、僅か1ノイズが入り込むことで
暴走し、例えばエンジン制御についてのコンピュータの
誤動作で、走行中にエンジンストップを起こすなどの重
大な事態を発生することになる。そこで、このような最
悪の事態を回避するために、電子制御部分にノイズ混入
を防止するフィルタを多用したり、ウォッチドック回路
を外付けして、コンピュータのソフトウエア処理の過程
で、定期的に特定の出力ポートに“H"状態および“L"状
態のパルスを交互にプログラムラン信号として出力し、
上記ウォッチドック回路でモニタし、これが停止したの
を検出して“OPU暴走”を判定し、CPUおよびその他の部
分をリセットするなどして、正常状態に復帰させるなど
の提案がなされている。 最近では上記“ウォッチドック回路”の専用ICなどもあ
り、オンチップウォッチドック回路のマイクロコンピュ
ータも発表されている。 しかしながら、ウォッチドック回路が追加される分、コ
ストアップとなり、また、この回路自体の誤動作の問題
が新たに生じることになる。 特にこの方式の決定的な欠陥は、CPUの誤動作が外部に
影響を及ぼしてからでないと(ウォッチドック回路が働
くまで)、正規状態への復帰が得られないことである。 そしてこれが割込み処理を行なえるマルチタスク処理の
場合には、誤動作が原因で割込み禁止フラグが立ってし
まうと、必要な割込み制御ができなくなることで、運転
制御不能になるなどの重大な問題を起こしてしまう。 自動車の制御コンピュータの誤動作は、極めて稀れな現
象であり、例えば数万台に1台の割合で発生し、かつ、
数万km走行につき1度位しか発生しないという状況であ
るが、各種試験を行なった結果、得られた情報によっ
て、コンピュータの誤動作の直前には、点火ノイズや電
源サージなどにより、CPU内部のレジスタの保持内容が
変化することに起因すると判明した。すなわちCPUは、
正常なプログラムを実行しているにも拘わらず、レジス
タ内容の変化に伴って誤動作が惹き起こされるのであ
る。 特に主ルーチンの他に、割込み処理を行なうマルチタス
ク処理において、この現象が多く認められる。 なお、特開昭50−142134号公報には、割込み禁止の時間
が計算機の使用条件で決まる上限値を越えると、割込み
レスポンスを悪化し、周期的に発生する割込み要因に追
従できなくなるため、一定周期で漸増あるいは漸減する
カウンタが特定値を示す毎に割込みを発生させると共に
割込み発生毎にカウンタのカウント値を初期値に初期設
定してタイマ制御を行う計算機において、カウンタのカ
ウント値を取り出して、該カウント値の最大値を記憶
し、この最大記憶値と上限値とを比較することで、上限
値を越えた異常に長い割込み禁止時間の出現を検出可能
とする技術が開示されている。2. Description of the Related Art An electronic circuit including a control microcomputer mounted on an automobile is placed in a bad environment such as temperature, humidity, vibration, and electrical noise, so that a high degree of electronic technology is required.
With respect to the destruction of electronic equipment, the corresponding technology has advanced remarkably due to technological progress, so at this stage, using these, it is almost in a satisfactory state, but the problem of malfunction in program control is It has not been fully resolved. In particular, a microcomputer that executes long steps in sequence may run out of control when only one noise enters, causing a serious situation such as engine stop during running due to a malfunction of the computer for engine control. become. Therefore, in order to avoid such a worst case, a filter that prevents noise from being mixed in is frequently used in the electronic control section, or a watchdog circuit is externally attached to the electronic control section periodically during the software processing process of the computer. Alternately outputs "H" and "L" state pulses to a specific output port as a program run signal,
It has been proposed that the watchdog circuit monitors the signal, detects that it has stopped, determines "OPU runaway", resets the CPU and other parts, and restores the normal state. Recently, there are dedicated ICs for the "watchdog circuit" mentioned above, and a microcomputer with an on-chip watchdog circuit has been announced. However, since the watchdog circuit is added, the cost increases, and a problem of malfunction of the circuit itself arises. In particular, the decisive flaw of this method is that the malfunction cannot be returned to the normal state until the malfunction of the CPU affects the outside (until the watchdog circuit works). In the case of multi-task processing that can perform interrupt processing, if the interrupt disable flag is set due to a malfunction, necessary interrupt control cannot be performed, resulting in serious problems such as operation control being disabled. Will end up. Malfunction of the control computer of a car is an extremely rare phenomenon, and occurs at a rate of, for example, 1 in tens of thousands, and
Although it occurs only about once every tens of thousands of kilometers running, various tests have shown that the information obtained indicates that the internal registers of the CPU may be affected by ignition noise or power surge immediately before the computer malfunctions. It was found that this was due to changes in the content held in. That is, the CPU
Despite the execution of a normal program, malfunctions are caused by changes in the register contents. This phenomenon is often observed in the multi-task processing that performs interrupt processing in addition to the main routine. It should be noted that, in Japanese Patent Laid-Open No. 50-142134, if the interrupt disable time exceeds the upper limit value determined by the usage conditions of the computer, the interrupt response deteriorates and it becomes impossible to follow the interrupt factor that occurs periodically, so it is fixed. In a computer that performs timer control by initializing the count value of the counter to the initial value each time an interrupt occurs and generating an interrupt each time a counter that gradually increases or decreases in a cycle and retrieves the count value of the counter, A technique is disclosed in which the maximum value of the count value is stored and the maximum stored value is compared with an upper limit value to detect the appearance of an abnormally long interrupt prohibition time that exceeds the upper limit value.
しかし、上記先行例においては、単に、異常に長い割込
み禁止時間を検出するに留まり、割込み要求を無視して
CPUが暴走することを防止し得ず、自動車用コンビュー
タのコンピュータ制御における誤動作を防止できない。
また、単に異常に長い割込み時間を検出するだけである
から、点火ノイズや電源サージなどにより不正信号が入
り割込み禁止フラグが立ったときには、割込み禁止フラ
グは立ったままとなり、通常の正常状態の処理に復帰す
ることができない。 本発明は上記事情に鑑みてなされたものであり、プログ
ラム実行過程で点火ノイズや、電源サージなどによる不
正信号が入力されてレジスタに影響を与え、割込み禁止
のフラグが立つようなことがあっても、これを早期に解
消して必要な割込み処理を保持するようにし、誤動作を
未然に防止することができる自動車用コンピュータの誤
動作防止方法を提供することを目的とする。However, in the above prior art example, merely detecting an abnormally long interrupt disable time, ignoring the interrupt request.
It cannot prevent the CPU from running out of control, and cannot prevent malfunctions in computer control of the automobile computer.
In addition, since it only detects an abnormally long interrupt time, when an illegal signal is input due to ignition noise or power surge and the interrupt disable flag is set, the interrupt disable flag remains set and normal normal state processing is performed. Cannot be returned to. The present invention has been made in view of the above circumstances, and an illegal signal due to ignition noise, a power surge, or the like may be input in a program execution process to affect a register, and an interrupt prohibition flag may be set. Another object of the present invention is to provide a method for preventing malfunction of an automobile computer, which can eliminate this problem early so as to hold necessary interrupt processing and prevent malfunction in advance.
上記目的を達成するため、本発明による自動車用コンピ
ュータの誤動作防止方法は、通常の処理ルーチンを実行
すると共に、割込み要求の発生により割込み処理を実行
する自動車用コンピュータにおいて、上記通常の処理ル
ーチンを所定時間毎に分割し、分割された各処理ルーチ
ンの実行後、割込み禁止の解除処理を実行することを特
徴とする。In order to achieve the above object, a method for preventing malfunction of an automobile computer according to the present invention executes a normal processing routine and, in an automobile computer that executes interrupt processing when an interrupt request occurs, sets the normal processing routine to a predetermined value. It is characterized in that it is divided for each time, and after the divided processing routines are executed, the interruption prohibition cancellation processing is executed.
本発明では、通常の処理ルーチンの実行中、所定時間毎
に割込み禁止の解除処理が実行されて、割込み禁止が解
除される。従って、不正信号が入り割込み禁止フラグが
立っても、早期にこれが解消され、割込み要求を無視し
てCPUが暴走するのを確実に防止でき、コンピュータ制
御による誤動作が未然に防止される。According to the present invention, during the execution of the normal processing routine, the interruption prohibition cancellation processing is executed at predetermined time intervals to cancel the interruption prohibition. Therefore, even if an illegal signal is input and the interrupt prohibition flag is set, this is resolved early, the CPU can be surely prevented from running away by ignoring the interrupt request, and the malfunction by computer control can be prevented in advance.
以下、本発明の一実施例を第1図および第2図を参照し
て説明する。 第1図は本発明を実施する自動車搭載のコンピュータの
一例であり、例えば燃料噴射,点火制御などのエンジン
制御、あるいは車速制御等に用いられる。 第1図において、符号1はCPU6に必要な制御パラメータ
を供給する各種センサであり、これらセンサ1は、入力
インターフェース3を介して入出力ユニット5に接続さ
れている。また符号2は各種制御アクチュエータで、入
出力ユニット5より出力インターフェース4を介して出
力される駆動信号により駆動される。 入出力ユニット5は、バスライン9を介してCPU6に接続
されており、センサ1の出力をCPU6で処理し、各種アク
チュエータ2を駆動するコマンドを出力するのである。
またCPU6には、入出力ユニット5より割込み線10が接続
されていて、入出力信号に対して入出力ユニット5よ
り、CPU6に対する割込み処理要求が可能となっている。 なお、符号8はCPU6の処理手順を内蔵したROMであり、
符号7はデータの一時退避などに用いるRAMで、それぞ
れバスライン9を介してCPU6と接続されている。 そして上記入出力ユニット5は、通常、汎用LSIで構成
され、複数の機能をソフトウエアで選択するプログラマ
ブルオプションを採用しており、このプログラマブルオ
プションでは、所定のレジスタにCPU6から定数を書込む
形で、機能が一義的に決定される。 次に第2図を用いて、本発明による誤動作防止方法につ
き具体的に説明する。 先ずステップS1では、通常の処理ルーチンを所定時間毎
に分割して与えられる最初の処理ルーチン(1)を実行
する。このルーチンが実行された後、ステップS2では、
割込み禁止を解除するルーチンが実行される。例えばこ
こでは、割込み禁止フラグをクリアして禁止解除とする
のである。 このため、上記処理ルーチン(1)の中で、ノイズによ
りレジスタの値が変化し、割込み禁止フラグが立って
も、これをステップS2の段階で解除できるので、次の処
理ルーチン(2)に入った時には、自由に割込み処理が
できることになる。同様にステップS3で処理ルーチン
(2)を行ない、ステップS4で再び割込み禁止を解除す
るルーチンを実行する。ステップS5,S6も同様である。 このようにして、1サイクル中に何回かの割込み禁止を
解除するルーチンを持つことで、実質的にコンピュータ
への割込み処理が可能な状態に維持でき、不正信号が入
って割込み禁止フラグが立っても、これをプログラム実
行過程で解消でき、CPU6が割込み要求を無視することが
なく、重大な誤動作を未然に防止できるのである。An embodiment of the present invention will be described below with reference to FIGS. 1 and 2. FIG. 1 shows an example of a vehicle-mounted computer embodying the present invention, which is used for engine control such as fuel injection and ignition control, or vehicle speed control. In FIG. 1, reference numeral 1 denotes various sensors that supply necessary control parameters to the CPU 6, and these sensors 1 are connected to an input / output unit 5 via an input interface 3. Reference numeral 2 denotes various control actuators, which are driven by drive signals output from the input / output unit 5 via the output interface 4. The input / output unit 5 is connected to the CPU 6 via the bus line 9, and the CPU 6 processes the output of the sensor 1 to output commands for driving various actuators 2.
An interrupt line 10 is connected to the CPU 6 from the input / output unit 5, and an interrupt processing request to the CPU 6 can be made from the input / output unit 5 for an input / output signal. In addition, reference numeral 8 is a ROM having a built-in processing procedure of the CPU 6,
Reference numeral 7 is a RAM used for temporary saving of data, etc., and each is connected to the CPU 6 via a bus line 9. The input / output unit 5 is usually composed of a general-purpose LSI and employs a programmable option that selects a plurality of functions by software. In this programmable option, a constant is written from a CPU 6 to a predetermined register. , The function is uniquely determined. Next, the malfunction prevention method according to the present invention will be specifically described with reference to FIG. First, in step S1, a first processing routine (1) given by dividing a normal processing routine at predetermined time intervals is executed. After this routine is executed, in step S2,
A routine for canceling the interrupt prohibition is executed. For example, here, the interrupt prohibition flag is cleared to cancel the prohibition. Therefore, even if the register value changes due to noise in the processing routine (1) and the interrupt prohibition flag is set, this can be canceled at the step S2, and the next processing routine (2) is entered. When this happens, interrupt processing can be performed freely. Similarly, the processing routine (2) is performed in step S3, and the routine for canceling the interrupt inhibition is executed again in step S4. The same applies to steps S5 and S6. In this way, by having a routine for canceling the interrupt prohibition several times during one cycle, it is possible to substantially maintain a state in which interrupt processing to the computer is possible, and an illegal signal is input and the interrupt disable flag is set. However, this can be solved during the program execution process, the CPU 6 does not ignore the interrupt request, and a serious malfunction can be prevented in advance.
以上説明したように本発明によれば、通常の処理ルーチ
ンの実行中、所定時間毎に割込み禁止の解除処理が実行
されて、割込み禁止が解除されるので、プログラム進行
中に点火ノイズや電源サージなどにより不正信号が入り
割込み禁止フラグが立つようなことがあっても、早期に
これが解消され、非常に簡便な方法でもって、割込み要
求を無視してCPUが暴走するのを確実に防止でき、自動
車用コンピュータのコンピュータ制御による誤動作を確
実かつ未然に防止することができる。 また、通常の処理ルーチンの実行中、所定時間毎に割込
み禁止を解除するので、割込み禁止フラグをクリアし
て、割込み処理の実行を可能とする通常の正常状態に容
易に復帰することができる。As described above, according to the present invention, during the execution of the normal processing routine, the interruption prohibition cancellation processing is executed at predetermined time intervals to cancel the interruption prohibition. Even if an illegal signal is entered and the interrupt prohibition flag is raised due to, etc., this is resolved early, and with a very simple method, it is possible to reliably prevent CPU runaway by ignoring interrupt requests, Malfunction due to computer control of the automobile computer can be prevented reliably and in advance. Further, during the execution of the normal processing routine, the interrupt prohibition is released at every predetermined time, so that the interrupt prohibition flag can be cleared and the normal normal state enabling the execution of the interrupt processing can be easily restored.
第1図は本発明方法を実施する上でのコンピュータの構
成ブロック図、 第2図は制御手順を示すフローチャートである。 1……センサ、 2……アクチュエータ、 3……入力インターフェース、 4……出力インターフェース、 5……入出力ユニット、 6……CPU、 7……RAM、 8……ROM、 9……バスライン 10……割込み線。FIG. 1 is a configuration block diagram of a computer for carrying out the method of the present invention, and FIG. 2 is a flow chart showing a control procedure. 1 ... Sensor, 2 ... Actuator, 3 ... Input interface, 4 ... Output interface, 5 ... Input / output unit, 6 ... CPU, 7 ... RAM, 8 ... ROM, 9 ... Bus line 10 …… Interrupt line.
Claims (1)
込み要求の発生により割込み処理を実行する自動車用コ
ンピュータにおいて、 上記通常の処理ルーチンを所定時間毎に分割し、分割さ
れた各処理ルーチンの実行後、割込み禁止の解除処理を
実行する ことを特徴とする自動車用コンピュータの誤動作防止方
法。1. A vehicle computer for executing a normal processing routine and executing interrupt processing upon generation of an interrupt request, wherein the normal processing routine is divided at predetermined time intervals, and the divided processing routines are executed. After that, a method for preventing malfunction of the automobile computer, which is characterized in that interrupt prohibition cancellation processing is executed.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP60017947A JPH06103466B2 (en) | 1985-01-31 | 1985-01-31 | Preventing malfunction of automobile computer |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP60017947A JPH06103466B2 (en) | 1985-01-31 | 1985-01-31 | Preventing malfunction of automobile computer |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPS61175823A JPS61175823A (en) | 1986-08-07 |
| JPH06103466B2 true JPH06103466B2 (en) | 1994-12-14 |
Family
ID=11957964
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP60017947A Expired - Lifetime JPH06103466B2 (en) | 1985-01-31 | 1985-01-31 | Preventing malfunction of automobile computer |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH06103466B2 (en) |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS50142134U (en) * | 1974-05-13 | 1975-11-22 | ||
| JPS55105726A (en) * | 1979-02-08 | 1980-08-13 | Nissan Motor Co Ltd | Data transfer method |
-
1985
- 1985-01-31 JP JP60017947A patent/JPH06103466B2/en not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JPS61175823A (en) | 1986-08-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5867495B2 (en) | Electronic control unit | |
| US4775957A (en) | Microcomputer with abnormality sensing function | |
| JP4042466B2 (en) | Memory diagnostic device and control device | |
| JPH0237151A (en) | Engine controller | |
| JPH03288942A (en) | Program run-away detecting method for microcomputer | |
| JPS5968004A (en) | Fail-safe method for automotive computers | |
| JPH1139231A (en) | Vehicle electronic control unit | |
| JPH06103466B2 (en) | Preventing malfunction of automobile computer | |
| JPH06103467B2 (en) | Preventing malfunction of automobile computer | |
| JPH06103468B2 (en) | Preventing malfunction of automobile computer | |
| JPH0646384B2 (en) | Preventing malfunction of automobile computer | |
| JPH0646385B2 (en) | Preventing malfunction of automobile computer | |
| JPS61175829A (en) | Malfunction preventing system of computer for automobile | |
| JP6443202B2 (en) | Electronic control device for vehicle | |
| US20090265581A1 (en) | Data system having a variable clock pulse rate | |
| JPS61175828A (en) | Malfunction preventing system of computer for automobile | |
| JPH06305376A (en) | Control device for vehicle | |
| JP3314458B2 (en) | Microcomputer system | |
| JPS61175830A (en) | Malfunction preventing system of computer for automobile | |
| JPH08303287A (en) | Method for returning electronic fuel injection control device from fail safe mode and electronic fuel injection control device for vehicle | |
| JP3632498B2 (en) | Throttle control device for internal combustion engine | |
| JP3182373B2 (en) | Microcomputer device | |
| JPH06195244A (en) | Detection device for abnormality of control computer | |
| JPH1083355A (en) | Memory check mechanism of vehicle control device | |
| JP2004157662A (en) | Dynamic stack overwrite monitoring method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| EXPY | Cancellation because of completion of term |