JPH06103468B2 - Preventing malfunction of automobile computer - Google Patents
Preventing malfunction of automobile computerInfo
- Publication number
- JPH06103468B2 JPH06103468B2 JP60017950A JP1795085A JPH06103468B2 JP H06103468 B2 JPH06103468 B2 JP H06103468B2 JP 60017950 A JP60017950 A JP 60017950A JP 1795085 A JP1795085 A JP 1795085A JP H06103468 B2 JPH06103468 B2 JP H06103468B2
- Authority
- JP
- Japan
- Prior art keywords
- interrupt
- processing
- processing routine
- computer
- malfunction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 230000007257 malfunction Effects 0.000 title claims description 20
- 238000000034 method Methods 0.000 claims description 21
- 230000002265 prevention Effects 0.000 claims description 3
- 230000006378 damage Effects 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 239000000446 fuel Substances 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
Landscapes
- Debugging And Monitoring (AREA)
Description
本発明は、コンピュータ制御における誤動作を未然に防
止する自動車用コンピュータの誤動作防止方法に関す
る。The present invention relates to a malfunction prevention method for an automobile computer, which prevents malfunction in computer control.
自動車に搭載された制御用マイクロコンピュータを含む
電子回路は、温度,湿度,振動,電気的ノイズなどの悪
環境下に置かれるので、高度の電子技術が要求される。
電子機器の破壊に対しては、技術進歩により対応技術が
著しく進歩してきているので、現段階ではこれらを利用
して、ほぼ満足すべき状態になっているが、プログラム
制御における誤動作の問題は、充分に解決されていると
はいえない。 特に、長大なステップをシーケンシャルに実行するマイ
クロコンピュータでは、僅か1ノイズが入り込むことで
暴走し、例えばエンジン制御についてのコンピュータの
誤動作で、走行中にエンジンストップを起こすなどの重
大な事態を発生することになる。 そこで、このような最悪の事態を回避するために、電子
制御部分にノイズ混入を防止するフィルタを多用した
り、ウオッチドック回路を外付けして、コンピュータの
ソフトウエア処理の過程で定期的に特定の出力ポートに
“H"状態及び“L"状態のパルスを交互にプログラムラン
信号として出力し、上記ウオッチドック回路でモニタ
し、これが停止したのを検出して“OPU暴走”を判定
し、CPUおよびその他の部分をリセットするなどして、
正常状態に復帰させるなどの提案がなされている。 最近では上記“ウオッチドック回路”の専用ICなどもあ
り、オンチップウオッチドック回路のマイクロコンピュ
ータも発表されている。 しかしながら、ウオッチドック回路が追加される分、コ
ストアップとなり、また、この回路自体の誤動作の問題
が新たに生じることになる。 特にこの方式の決定的な欠陥は、CPUの誤動作が外部に
影響を及ぼしてからでないと(ワッチドック回路が働く
まで)、正規状態への復帰が得られないことである。 そしてこれが割込み処理を行なえるマルチタスク処理の
場合には、誤動作が原因で割込み禁止フラグが立ってし
まうと、必要な割込み制御ができなくなることで、運転
制御不能になるなどの重大な問題を起こしてしまう。 自動車の制御コンピュータの誤動作は、極めて稀れな現
象であり、例えば数万台に1台の割合で発生し、かつ、
数万km走行につき1度位しか発生しないという状況であ
るが、各種試験を行なった結果、得られた情報によっ
て、コンピュータの誤動作の直前には、点火ノイズや電
源サージなどにより、CPU内部のレジスタの保持内容が
変化することに起因すると判明した。すなわちCPUは、
正常なプログラムを実行しているにも拘わらず、レジス
タ内容の変化に伴って誤動作が惹き起こされるのであ
る。 特に主ルーチンの他に、割込み処理を行なうマルチタス
ク処理において、この現象が多く認められる。 なお、特開昭50−142134号公報には、割込み禁止の時間
が計算機の使用条件で定まる上限値を越えると、割込み
レスポンスが悪化し、周期的に発生する割込み要因に追
従できなくなるため、一定周期で漸増あるいは漸減する
カウンタが特定値を示す毎に割込みを発生させると共に
割込み発生毎にカウンタのカウント値を初期値に初期設
定してタイマ制御を行う計算機において、カウンタのカ
ウント値を取り出して、該カウント値の最大値を記憶
し、この最大記憶値と上限値とを比較することで、上限
値を越えた異常に長い割込み禁止時間の出現を検出可能
とする技術が開示されている。An electronic circuit including a control microcomputer mounted on an automobile is placed in a bad environment such as temperature, humidity, vibration, and electrical noise, and thus requires high-level electronic technology.
With respect to the destruction of electronic equipment, the corresponding technology has advanced remarkably due to technological progress, so at this stage, using these, it is almost in a satisfactory state, but the problem of malfunction in program control is It has not been fully resolved. In particular, a microcomputer that executes long steps in sequence may run out of control when only one noise enters, causing a serious situation such as engine stop during running due to a malfunction of the computer for engine control. become. Therefore, in order to avoid such a worst case, a filter that prevents noise from being mixed is often used in the electronic control section, or a watchdog circuit is externally attached to identify it periodically in the process of computer software processing. Alternately outputs "H" and "L" state pulses to the output port of as a program run signal, monitors them with the above watchdog circuit, detects that it has stopped, and determines "OPU runaway" And reset other parts,
Proposals have been made to restore normal conditions. Recently, there are dedicated ICs for the "watchdog circuit" mentioned above, and a microcomputer with an on-chip watchdog circuit has been announced. However, since the watchdog circuit is added, the cost increases, and a problem of malfunction of the circuit itself occurs. In particular, the decisive flaw of this method is that the malfunction of the CPU must affect the outside (until the watchdog circuit works) before the return to the normal state can be obtained. In the case of multi-task processing that can perform interrupt processing, if the interrupt disable flag is set due to a malfunction, necessary interrupt control cannot be performed, resulting in serious problems such as operation control being disabled. Will end up. Malfunction of the control computer of a car is an extremely rare phenomenon, and occurs at a rate of, for example, 1 in tens of thousands, and
Although it occurs only about once every tens of thousands of kilometers running, various tests have shown that the information obtained indicates that the internal registers of the CPU may be affected by ignition noise or power surge immediately before the computer malfunctions. It was found that this was due to changes in the content held in. That is, the CPU
Despite the execution of a normal program, malfunctions are caused by changes in the register contents. This phenomenon is often observed in the multi-task processing that performs interrupt processing in addition to the main routine. It should be noted that, in Japanese Patent Laid-Open No. 50-142134, if the interrupt disable time exceeds the upper limit value determined by the usage conditions of the computer, the interrupt response deteriorates and it becomes impossible to follow the interrupt factor that occurs periodically, so it is constant. In a computer that performs timer control by initializing the count value of the counter to the initial value each time an interrupt occurs while generating an interrupt each time the counter that gradually increases or decreases in a cycle, and extracts the count value of the counter, A technique is disclosed in which the maximum value of the count value is stored and the maximum stored value is compared with the upper limit value to detect the appearance of an abnormally long interrupt prohibition time that exceeds the upper limit value.
しかし、上記先行例においては、単に、異常に長い割込
み禁止時間を検出するに留まり、割込み要求を無視して
CPUが暴走することを防止し得ず、自動車用コンビュー
タのコンピュータ制御における誤動作を防止できない。
また、単に異常に長い割込み時間を検出するだけである
から、点火ノイズや電源サージなどにより不正信号が入
り割込み禁止フラグが立ったときには、割込み禁止フラ
グは立ったままとなり、通常の正常状態の処理に復帰す
ることができない。 本発明は上記事情に鑑みてなされたものであり、プログ
ラム実行過程で点火ノイズや、電源サージなどによる不
正信号が入力されてレジスタに影響を与え、割込み禁止
のフラグが立つようなことがあっても、処理ルーチンの
中で必要な割込み処理が維持されるようにして、誤動作
を未然に防止することができる自動車用コンピュータの
誤動作防止方法を提供することを目的とする。However, in the above prior art example, merely detecting an abnormally long interrupt disable time, ignoring the interrupt request.
It cannot prevent the CPU from running out of control, and cannot prevent malfunctions in computer control of the automobile computer.
In addition, since it only detects an abnormally long interrupt time, when an illegal signal is input due to ignition noise or power surge and the interrupt disable flag is set, the interrupt disable flag remains set and normal normal state processing is performed. Cannot be returned to. The present invention has been made in view of the above circumstances, and an ignition noise, an illegal signal due to a power surge, or the like may be input in a process of executing a program to affect a register, and an interrupt prohibition flag may be set. It is another object of the present invention to provide a method for preventing malfunction of an automobile computer that can prevent malfunction by allowing necessary interrupt processing to be maintained in a processing routine.
上記目的を達成するため、本発明による自動車用コンピ
ュータの誤動作防止方法は、通常の処理ルーチンを実行
すると共に、割込み要求の発生により割込み処理を実行
する自動車用コンピュータにおいて、上記通常の処理ル
ーチンを分割し、処理ルーチンの実行後、割込み禁止状
態か否かを判断し、割込み禁止状態のときには、割込み
禁止状態の解除処理を実行して次の処理ルーチンへ移行
し、割込み禁止状態でないときには、そのまま次の処理
ルーチンへ移行することを特徴とすることを特徴とす
る。In order to achieve the above object, a method for preventing malfunction of an automobile computer according to the present invention executes a normal processing routine, and divides the normal processing routine in an automobile computer that executes interrupt processing when an interrupt request occurs. Then, after executing the processing routine, it is judged whether or not it is in the interrupt disabled state. If it is in the interrupt disabled state, the process of releasing the interrupt disabled state is executed and the process proceeds to the next processing routine. It is characterized in that the process is shifted to the processing routine of.
本発明では、通常の処理ルーチンの実行途中で、割込み
禁止状態か否かを判断し、割込み禁止状態のときには、
割込み禁止状態の解除処理が実行されて、割込み禁止状
態が解除される。従って、不正信号が入り割込み禁止フ
ラグが立っても、早期にこれが解消され、割込み要求を
無視してCPUが暴走するのを確実に防止でき、コンピュ
ータ制御による誤動作が未然に防止される。According to the present invention, during execution of a normal processing routine, it is determined whether or not the interrupt is prohibited.
The process of releasing the interrupt disabled state is executed to release the interrupt disabled state. Therefore, even if an illegal signal is input and the interrupt prohibition flag is set, this is resolved early, the CPU can be surely prevented from running away by ignoring the interrupt request, and the malfunction by computer control can be prevented in advance.
以下、本発明の一実施例を第1図および第2図を参照し
て説明する。 第1図は本発明を実施する自動車搭載のコンピュータの
一例であり、例えば燃料噴射,点火制御などのエンジン
制御、あるいは車速制御等に用いられる。 第1図において、符号1はCPU6に必要な制御パラメータ
を供給する各種センサであり、これらセンサ1は、入力
インターフェース3を介して入出力ユニット5に接続さ
れている。また符号2は各種制御アクチュエータで、入
出力ユニット5より出力インターフェース4を介して出
力される駆動信号により駆動される。 入出力ユニット5は、バスライン9を介してCPU6に接続
されており、センサ1の出力をCPU6で処理し、各種アク
チュエータ2を駆動するコマンドを出力するのである。
またCPU6には、入出力ユニット5より割込み線10が接続
されていて、入出力信号に対して入出力ユニット5よ
り、CPU6に対する割込み処理要求が可能となっている。 なお、符号8はCPU6の処理手順を内蔵したROMであり、
符号7はデータの一時退避などに用いるRAMで、それぞ
れバスライン9を介してCPU6と接続されている。 そして上記入出力ユニット5は、通常、汎用LSIで構成
され、複数の機能をソフトウエアで選択するプログラマ
ブルオプションを採用しており、このプログラマブルオ
プションでは、所定のレジスタにCPU6から定数を書込む
形で、機能が一義的に決定される。 次に第2図を用いて、本発明による誤動作防止方法につ
き具体的に説明する。 先ずステップS1では、通常の処理ルーチンを所定個数に
分割して与えられる最初の処理ルーチン(1)を実行す
る。このルーチンが実行された後、ステップS2では、割
込み禁止状態(割込み禁止フラグが立っている)か否か
の判定を行ない、割込み禁止状態ならば、ステップS3へ
進み、割込み禁止状態の解除処理を実行して(割込み禁
止フラグを“0"復帰する)、ステップS4で、割込み禁止
状態が生じたことをRAM7にメモリする。そして、ステッ
プS4の次に、あるいはステップS2で割込み禁止状態でな
いと判定された時、ステップS5で後の処理ルーチン
(2)に入るのである。 このようにして、処理ルーチンの1サイクル中に割込み
禁止状態になつたか否かを監視し、割込み禁止状態のと
きには割込み禁止状態の解除処理を行うことで、実質的
にコンピュータへの割込み処理が可能な状態に維持で
き、不正信号が入って割込み禁止フラグが立っても、こ
れをプログラム実行過程で解消でき、CPU6が割込み要求
を無視することがなく、重大な誤動作を未然に防止でき
るのである。An embodiment of the present invention will be described below with reference to FIGS. 1 and 2. FIG. 1 shows an example of a vehicle-mounted computer embodying the present invention, which is used for engine control such as fuel injection and ignition control, or vehicle speed control. In FIG. 1, reference numeral 1 denotes various sensors that supply necessary control parameters to the CPU 6, and these sensors 1 are connected to an input / output unit 5 via an input interface 3. Reference numeral 2 denotes various control actuators, which are driven by drive signals output from the input / output unit 5 via the output interface 4. The input / output unit 5 is connected to the CPU 6 via the bus line 9, and the CPU 6 processes the output of the sensor 1 to output commands for driving various actuators 2.
An interrupt line 10 is connected to the CPU 6 from the input / output unit 5, and an interrupt processing request to the CPU 6 can be made from the input / output unit 5 for an input / output signal. In addition, reference numeral 8 is a ROM having a built-in processing procedure of the CPU 6,
Reference numeral 7 is a RAM used for temporary saving of data, etc., and each is connected to the CPU 6 via a bus line 9. The input / output unit 5 is usually composed of a general-purpose LSI and employs a programmable option that selects a plurality of functions by software. In this programmable option, a constant is written from a CPU 6 to a predetermined register. , The function is uniquely determined. Next, the malfunction prevention method according to the present invention will be specifically described with reference to FIG. First, in step S1, the first processing routine (1) given by dividing a normal processing routine into a predetermined number is executed. After this routine is executed, in step S2, it is determined whether or not the interrupt is disabled (the interrupt disabled flag is set). If the interrupt is disabled, the process proceeds to step S3 to cancel the interrupt disabled state. After execution (returning the interrupt disable flag to "0"), the fact that the interrupt disable state has occurred is stored in the RAM 7 in step S4. Then, after step S4 or when it is determined in step S2 that the interrupt is not disabled, the subsequent processing routine (2) is entered in step S5. In this way, it is possible to virtually interrupt a computer by monitoring whether the interrupt disabled state has been reached during one cycle of the processing routine, and when the interrupt disabled state is being performed, the interrupt disabled state is released. Even if an illegal signal is input and an interrupt prohibition flag is set, this can be eliminated in the program execution process, the CPU 6 does not ignore the interrupt request, and a serious malfunction can be prevented in advance.
【発明の効果】 以上説明したように本発明によれば、通常の処理ルーチ
ンの実行途中で、割込み禁止状態か否かを判断し、割込
み禁止状態のときには、割込み禁止状態の解除処理が実
行されて、割込み禁止状態が解除されるので、プログラ
ム進行中に点火ノイズや電源サージなどにより不正信号
が入り割込み禁止フラグが立つようなことがあっても、
早期にこれが解消され、非常に簡便な方法でもって、割
込み要求を無視してCPUが暴走するのを確実に防止で
き、自動車用コンピュータのコンピュータ制御による誤
動作を確実かつ未然に防止することができる。 また、通常の処理ルーチンの実行途中で割込み禁止状態
を監視し、割込み禁止状態のときには、割込み禁止状態
を解除するので、割込み禁止フラグをクリアして、割込
み処理の実行を可能とする通常の正常状態に容易に復帰
することができる。As described above, according to the present invention, during the execution of a normal processing routine, it is determined whether or not the interrupt is prohibited, and when the interrupt is prohibited, the process of canceling the interrupt prohibited state is executed. As a result, the interrupt disable state is released, so even if an illegal signal is entered due to ignition noise or power surge during the program progress, and the interrupt disable flag is set,
This can be solved at an early stage, and by a very simple method, it is possible to reliably prevent the CPU from running away by ignoring the interrupt request, and to prevent the malfunction of the automobile computer under the computer control from occurring. It also monitors the interrupt disabled state during the execution of normal processing routines, and when it is in the interrupt disabled state, it releases the interrupt disabled state. Therefore, the interrupt disabled flag is cleared and interrupt processing can be executed normally. You can easily return to the state.
第1図は本発明方法を実施する上でのコンピュータの構
成ブロック図、 第2図は制御手順を示すフローチャートである。 1……センサ、 2……アクチュエータ、 3……入力インターフェース、 4……出力インターフェース、 5……入出力ユニット、 6……CPU、 7……RAM、 8……ROM、 9……バスライン 10……割込み線。FIG. 1 is a configuration block diagram of a computer for carrying out the method of the present invention, and FIG. 2 is a flow chart showing a control procedure. 1 ... Sensor, 2 ... Actuator, 3 ... Input interface, 4 ... Output interface, 5 ... Input / output unit, 6 ... CPU, 7 ... RAM, 8 ... ROM, 9 ... Bus line 10 …… Interrupt line.
Claims (1)
込み要求の発生により割込み処理を実行する自動車用コ
ンピュータにおいて、 上記通常の処理ルーチンを分割し、処理ルーチンの実行
後、割込み禁止状態か否かを判断し、 割込み禁止状態のときには、割込み禁止状態の解除処理
を実行して次の処理ルーチンへ移行し、 割込み禁止状態でないときには、そのまま次の処理ルー
チンへ移行することを特徴とする自動車用コンピュータ
の誤動作防止方法。1. In an automobile computer that executes a normal processing routine and executes interrupt processing when an interrupt request occurs, the normal processing routine is divided, and after execution of the processing routine, whether or not the interrupt is disabled. When it is in the interrupt disabled state, the processing for canceling the interrupt disabled state is executed to shift to the next processing routine, and when it is not in the interrupt disabled state, the processing directly shifts to the next processing routine. Malfunction prevention method.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP60017950A JPH06103468B2 (en) | 1985-01-31 | 1985-01-31 | Preventing malfunction of automobile computer |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP60017950A JPH06103468B2 (en) | 1985-01-31 | 1985-01-31 | Preventing malfunction of automobile computer |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPS61175826A JPS61175826A (en) | 1986-08-07 |
| JPH06103468B2 true JPH06103468B2 (en) | 1994-12-14 |
Family
ID=11958041
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP60017950A Expired - Lifetime JPH06103468B2 (en) | 1985-01-31 | 1985-01-31 | Preventing malfunction of automobile computer |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH06103468B2 (en) |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS50142134A (en) * | 1974-05-07 | 1975-11-15 | ||
| JPS55105726A (en) * | 1979-02-08 | 1980-08-13 | Nissan Motor Co Ltd | Data transfer method |
-
1985
- 1985-01-31 JP JP60017950A patent/JPH06103468B2/en not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JPS61175826A (en) | 1986-08-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US4775957A (en) | Microcomputer with abnormality sensing function | |
| JP5867495B2 (en) | Electronic control unit | |
| JPH03288942A (en) | Program run-away detecting method for microcomputer | |
| US6240534B1 (en) | Apparatus and method for detecting abnormality-Monitoring circuit malfunction | |
| US4587655A (en) | Fail-safe system for vehicular computer | |
| JPH0237151A (en) | Engine controller | |
| JP4042466B2 (en) | Memory diagnostic device and control device | |
| JP3817855B2 (en) | Electronic control device | |
| JPH1139231A (en) | Vehicle electronic control unit | |
| JPH0797321B2 (en) | Interrupt signal processing method | |
| JPH06103468B2 (en) | Preventing malfunction of automobile computer | |
| JPH06103467B2 (en) | Preventing malfunction of automobile computer | |
| JP3463322B2 (en) | Memory check device for vehicle control device | |
| JPH06103466B2 (en) | Preventing malfunction of automobile computer | |
| JPH0646385B2 (en) | Preventing malfunction of automobile computer | |
| JPH0646384B2 (en) | Preventing malfunction of automobile computer | |
| JPS6043536B2 (en) | Microcomputer malfunction prevention device | |
| JP3182373B2 (en) | Microcomputer device | |
| JPS61175828A (en) | Malfunction preventing system of computer for automobile | |
| JPS61175829A (en) | Malfunction preventing system of computer for automobile | |
| JPH06305376A (en) | Control device for vehicle | |
| JPH06195244A (en) | Detection device for abnormality of control computer | |
| JPH1083355A (en) | Memory check mechanism of vehicle control device | |
| JPS61175830A (en) | Malfunction preventing system of computer for automobile | |
| JPH08303287A (en) | Method for returning electronic fuel injection control device from fail safe mode and electronic fuel injection control device for vehicle |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| EXPY | Cancellation because of completion of term |