JPH0646385B2 - Preventing malfunction of automobile computer - Google Patents
Preventing malfunction of automobile computerInfo
- Publication number
- JPH0646385B2 JPH0646385B2 JP60017951A JP1795185A JPH0646385B2 JP H0646385 B2 JPH0646385 B2 JP H0646385B2 JP 60017951 A JP60017951 A JP 60017951A JP 1795185 A JP1795185 A JP 1795185A JP H0646385 B2 JPH0646385 B2 JP H0646385B2
- Authority
- JP
- Japan
- Prior art keywords
- interrupt
- cpu
- malfunction
- processing
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 230000007257 malfunction Effects 0.000 title claims description 18
- 238000000034 method Methods 0.000 claims description 16
- 230000002159 abnormal effect Effects 0.000 description 4
- 230000005856 abnormality Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 239000013256 coordination polymer Substances 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000446 fuel Substances 0.000 description 1
- 230000005764 inhibitory process Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
Landscapes
- Debugging And Monitoring (AREA)
Description
本発明は、コンピュータ制御における誤動作を未然に防
止する自動車用コンピュータの誤動作防止方法に関す
る。The present invention relates to a malfunction prevention method for an automobile computer, which prevents malfunction in computer control.
自動車に搭載された制御用マイクロコンピュータを含む
電子回路は、温度,湿度,振動,電気的ノイズなどの悪
環境下に置かれるので、高度の電子技術が要求される。
電子機器の破壊に対しては、技術進歩により対応技術が
著しく進歩してきているので、現段階ではこれらを利用
して、ほぼ満足すべき復帰になっているが、プログラム
制御における誤動作の問題は、充分に解決されていると
はいえない。 特に、長大なステップをシーケンシャルに実行するマイ
クロコンピュータでは、僅か1ノイズが入り込むことで
暴走し、例えばエンジン制御についてのコンピュータの
誤動作で、走行中にエンジンストップを起こすなどの重
大な事態を発生することになる。 そこで、このような最悪の事態を回避するために、電子
制御部分にノイズ混入を防止するフィルタを多用した
り、ウォッチドック回路を外付けして、コンピュータの
ソフトウエア処理の過程で定期的に特定の出力ポートに
“H”状態及び“L”状態のパルスを交互にプログラム
ラン信号として出力し、上記ウォッチドック回路でモニ
タし、これが停止したのを検出して“CPU暴走”を判
定し、CPUおよびその他の部分をリセットするなどし
て、正常状態に復帰させるなどの提案がなされている。 最近では上記“ウォッチドック回路”の専用ICなども
あり、オンチップウォッチドック回路のマイクロコンピ
ュータも発表されている。An electronic circuit including a control microcomputer mounted on an automobile is placed in a bad environment such as temperature, humidity, vibration, and electrical noise, and thus requires high-level electronic technology.
With respect to destruction of electronic equipment, the corresponding technology has advanced remarkably due to technological progress, so at this stage, using these, it is almost satisfactory recovery, but the problem of malfunction in program control is It has not been fully resolved. In particular, a microcomputer that executes long steps in sequence may run out of control when only one noise enters, causing a serious situation such as engine stop during running due to a malfunction of the computer for engine control. become. Therefore, in order to avoid such a worst situation, a filter that prevents noise from entering the electronic control section is often used, or a watchdog circuit is externally attached to identify it periodically during the software processing of the computer. The "H" state and "L" state pulses are alternately output to the output port of as a program run signal, monitored by the watchdog circuit, and when it stops, it is judged as "CPU runaway", and the CPU It has been proposed to restore the normal state by resetting the other parts. Recently, there are dedicated ICs for the above "watch dock circuit", etc., and a microcomputer of an on-chip watch dock circuit has been announced.
しかしながら、ウォッチドック回路が追加される分、コ
ストアップとなり、また、この回路自体の誤動作の問題
が新たに生じることになる。 特にこの方式の決定的な欠陥は、CPUの誤動作が外部
に影響を及ぼしてからでないと(ウォッチドック回路が
働くまで)、正規状態への復帰が得られないことであ
る。 そしてこれが割込み処理を行なえるマルチタスク処理の
場合には、誤動作が原因で、本来、割込みが禁止されて
いるソースからの信号で、対応レジスタの割込みフラグ
が立つてしまうと、異常な割込みが起こり、処理プログ
ラムの暴走を惹起する。その結果、運転制御不能となる
ような重大な問題を起こしてしまう。 自動車の制御コンピュータの誤動作は、極めて稀れな現
象であり、例えば数万台に1台の割合で発生し、かつ、
数万km走行につき1度位しか発生しないという状況で
あるが、各種試験を行なった結果、得られた情報によっ
て、コンピュータの誤動作の直前には、点火ノイズや電
源サージなどにより、CPU内部のレジスタの保持内容
が変化することに起因すると判明した。すなわちCPU
は、正常なプログラムを実行しているにも拘わらず、レ
ジスタ内容の変化に伴って誤動作が惹き起こされるので
ある。 とくに主ルーチンの他に、割込み処理を行なうマルチタ
スク処理において、この現象が多く認められる。 本発明は上記事情に鑑みてなされたものであり、プログ
ラム実行過程で点火ノイズや、電源サージなどによる不
正信号が入力されてレジスタに影響を与え、本来、割込
みが禁止されているソースからの割込みを可能にしてし
まい、処理ルーチンが暴走するのを防止するようにした
自動車用コンピュータの誤動作防止方法を提供すること
を目的とする。However, since the watchdog circuit is added, the cost increases, and a problem of malfunction of the circuit itself arises. In particular, a decisive drawback of this method is that the malfunction cannot be restored to the normal state until the malfunction of the CPU affects the outside (until the watchdog circuit works). In the case of multi-task processing that can perform interrupt processing, an abnormal interrupt occurs when the interrupt flag of the corresponding register is raised by a signal from a source where interrupts were originally prohibited due to a malfunction. , Cause a runaway of the processing program. As a result, there is a serious problem that operation control becomes impossible. Malfunction of the control computer of a car is an extremely rare phenomenon, and occurs at a rate of, for example, 1 in tens of thousands, and
Although it occurs only about once every tens of thousands of kilometers running, various tests have shown that the information obtained indicates that the internal registers of the CPU may be affected by ignition noise or power surge immediately before the computer malfunctions. It was found that this was due to changes in the content held in. Ie CPU
In spite of the fact that a normal program is being executed, a malfunction is caused due to a change in register contents. In particular, this phenomenon is often observed in the multi-task processing that performs interrupt processing in addition to the main routine. The present invention has been made in view of the above circumstances. In the program execution process, an illegal signal due to ignition noise, power surge, or the like is input to affect the register, and an interrupt from a source that is originally prohibited is interrupted. It is an object of the present invention to provide a method for preventing a malfunction of a computer for an automobile, which makes it possible to prevent the processing routine from running out of control.
上記目的を達成するため、本発明による自動車用コンピ
ュータの誤動作防止方法は、割込み処理が可能な処理ル
ーチンを持ったコンピュータにおいて、通常の処理ルー
チンの実行中に割込みが発生したならば、割込み処理に
分岐し、ここで割込みが発生したソースをチェックし、
所定ソースにおける割込みの場合には、割込み禁止状態
をセットすることを特徴とする。In order to achieve the above object, the method for preventing malfunction of an automobile computer according to the present invention is a computer having a processing routine capable of interrupt processing, and if an interrupt occurs during execution of a normal processing routine, interrupt processing is performed. Branch, check the source of the interrupt here,
In the case of an interrupt at a predetermined source, the interrupt disabled state is set.
本発明では、通常の処理ルーチン実行中に割込要求があ
ると、割込み発生したソースについてチェックし、本来
割込みが禁止されている場合には割込み禁止状態がセッ
トされ、CPUの暴走が防止されて誤動作が未然に防止
される。According to the present invention, when an interrupt request is issued during execution of a normal processing routine, the source that generated the interrupt is checked, and if the interrupt is originally prohibited, the interrupt disabled state is set to prevent runaway of the CPU. Malfunctions are prevented in advance.
以下、本発明の一実施例を第1図および第2図を参照し
て説明する。 第1図は本発明を実施する自動車搭載のコンピュータの
一例であり、例えば燃料噴射,点火制御などのエンジン
制御、あるいは車速制御等に用いられる。 第1図において、符号1はCPU6に必要な制御パラメ
ータを供給する各種センサであり、これらセンサ1は、
入力インターフェース3を介して入出力ユニット5に接
続されている。また符号2は各種制御アクチュエータ
で、入出力ユニット5より出力インターフェース4を介
して出力される駆動信号により駆動される。 入出力ユニット5は、バスライン9を介してCPU6に
接続されており、センサ1の出力をCPU6で処理し、
各種アクチュエータ2を駆動するコマンドを出力するの
である。またCPU6には、入出力ユニット5より割込
み線10が接続されていて、入出力信号に対して入出力
ユニット5より、CPU6に対する割込み処理要求が可
能となっている。 なお、符号8はCPU6の処理手順を内蔵したROMで
あり、符号7はデータの一時退避などに用いるRAM
で、それぞれバスライン9を介してCPU6と接続され
ている。 そして上記入出力ユニット5は、通常、汎用LSIで構
成され、複数の機能をソフトウエアで選択するプログラ
マブルオプションを採用しており、このプログラマブル
オプションでは、所定のレジスタにCPU6から定数を
書込む形で、機能が一義的に決定される。 次に第2図を用いて、本発明による誤動作防止方法につ
き具体的に説明する。 先ず主ルーチンにおいて、CPU6への入出力信号で割
込み処理の必要が生じた時、割込み線10を介してCP
U6に割込み要求がなされると、割込み処理ルーチンに
分岐される。ここではステップS1で、割込み要求フラ
グを検索し、どのソースが要因で割込みが発生したかを
調べる。 次にステップS2で、割込み要求が通常のものからあっ
たのか、本来禁止しているものからあったかを、先の検
索内容から判断する。そして通常の割込みの場合にはス
テップS3で割込み要求フラグをクリアし、次いでステ
ップS4で通常処理(割込み処理)を行ない、ステップ
S5でメインプログラムに復帰する。 一方、ステップS2で異常割込みと判断された場合(本
来、割込み禁止状態にあるソースの対応レジスタにおい
て、点火ノイズや電源サージによる不正信号が入り、割
込み禁止フラグを解除して、割込み可能としてしまった
場合に起こる)、ステップS11に進み、割込み要求フ
ラグをクリアし、ステップS12で当該レジスタについ
て割込み禁止フラグを再セットする。また要すれば、ス
テップS13で異常割込みの発生をRAM7などに記録
し、メインプログラムに復帰する。このようにして、上
記記録により誤動作対策プログラムを起動したり、後
日、異常チェックを行なった時に、異常割込みが生じた
ことの確認がとれる(故障診断)。 なお、禁止フラグの再セットは、メインプログラム中で
も行なえるが、異常発生がない時でも、定期的に再セッ
トするという点で、割込み処理ルーチンで実施する方が
よい。An embodiment of the present invention will be described below with reference to FIGS. 1 and 2. FIG. 1 shows an example of a vehicle-mounted computer embodying the present invention, which is used for engine control such as fuel injection and ignition control, or vehicle speed control. In FIG. 1, reference numeral 1 is various sensors that supply necessary control parameters to the CPU 6, and these sensors 1 are
It is connected to the input / output unit 5 via the input interface 3. Reference numeral 2 denotes various control actuators, which are driven by drive signals output from the input / output unit 5 via the output interface 4. The input / output unit 5 is connected to the CPU 6 via the bus line 9, and the output of the sensor 1 is processed by the CPU 6,
The commands for driving the various actuators 2 are output. An interrupt line 10 is connected from the input / output unit 5 to the CPU 6, and an interrupt processing request to the CPU 6 can be made from the input / output unit 5 for an input / output signal. Reference numeral 8 is a ROM that incorporates the processing procedure of the CPU 6, and reference numeral 7 is a RAM used for temporary saving of data.
, And each of them is connected to the CPU 6 via the bus line 9. The input / output unit 5 is usually composed of a general-purpose LSI and employs a programmable option for selecting a plurality of functions by software. In this programmable option, a constant is written from a CPU 6 to a predetermined register. , The function is uniquely determined. Next, the malfunction prevention method according to the present invention will be specifically described with reference to FIG. First, in the main routine, when it becomes necessary to process an interrupt by an input / output signal to the CPU 6, the CP is sent via the interrupt line 10
When an interrupt request is issued to U6, the process branches to the interrupt processing routine. Here, in step S1, the interrupt request flag is searched to see which source caused the interrupt. Next, in step S2, it is determined from the previous search contents whether the interrupt request is from a normal interrupt request or an interrupt request. In the case of a normal interrupt, the interrupt request flag is cleared in step S3, then normal processing (interrupt processing) is performed in step S4, and the process returns to the main program in step S5. On the other hand, when it is determined as an abnormal interrupt in step S2 (in the corresponding register of the source which is originally in the interrupt-disabled state, an illegal signal due to ignition noise or power surge is input, the interrupt-disabled flag is cleared, and the interrupt is enabled. (This happens in some cases), the process proceeds to step S11, the interrupt request flag is cleared, and the interrupt disable flag is reset for the register in step S12. If necessary, the occurrence of the abnormal interrupt is recorded in the RAM 7 or the like in step S13, and the process returns to the main program. In this way, it is possible to confirm that the abnormal interruption has occurred when the malfunction countermeasure program is started or the abnormality is checked at a later time by the above recording (fault diagnosis). Note that the inhibition flag can be reset during the main program, but it is better to perform it in the interrupt processing routine in that it is reset periodically even when no abnormality occurs.
本発明は、以上詳述したようになり、処理ルーチンの中
で、割込み要求があると、その要求元祖のソースについ
て検索をなし、本来、割込みが禁止されているものにつ
いては、割込み禁止を再セットすることで、割込みがな
されるのを未然に防止でき、CPUの暴走を防ぎ、運転
上に重大な支障が起こらないようにできる。しかも従来
のような外付けの回路を必要としないので、コストアッ
プすることもない。The present invention has been described in detail above. When an interrupt request is issued in the processing routine, the source of the request originator is searched, and if the interrupt is originally prohibited, the interrupt prohibition is reset. By setting it, it is possible to prevent an interrupt from occurring, prevent the CPU from running out of control, and prevent a serious trouble in operation. Moreover, there is no need for an external circuit as in the conventional case, so that the cost does not increase.
第1図は本発明方法を実施する上でのコンピュータの構
成ブロック図、 第2図は制御手順を示すフローチャートである。 1……センサ、 2……アクチュエータ、 3……入力インターフェース、 4……出力インターフェース、 5……入出力ユニット、 6……CPU、 7……RAM、 8……ROM、 9……バスライン、 10……割込み線。FIG. 1 is a configuration block diagram of a computer for carrying out the method of the present invention, and FIG. 2 is a flow chart showing a control procedure. 1 ... Sensor, 2 ... Actuator, 3 ... Input interface, 4 ... Output interface, 5 ... Input / output unit, 6 ... CPU, 7 ... RAM, 8 ... ROM, 9 ... Bus line, 10 ... Interrupt line.
Claims (1)
コンピュータにおいて、通常の処理ルーチンの実行中に
割込みが発生したならば、割込み処理に分岐し、ここで
割込みが発生したソースをチェックし、所定ソースにお
ける割込みの場合には、割込み禁止状態をセットするこ
とを特徴とする自動車用コンピュータの誤動作防止方
法。1. In a computer having a processing routine capable of interrupt processing, if an interrupt occurs during execution of a normal processing routine, the process branches to interrupt processing and the source of the interrupt is checked here. A method for preventing malfunction of an automobile computer, which comprises setting an interrupt disabled state in the case of an interrupt at a predetermined source.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP60017951A JPH0646385B2 (en) | 1985-01-31 | 1985-01-31 | Preventing malfunction of automobile computer |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP60017951A JPH0646385B2 (en) | 1985-01-31 | 1985-01-31 | Preventing malfunction of automobile computer |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPS61175827A JPS61175827A (en) | 1986-08-07 |
| JPH0646385B2 true JPH0646385B2 (en) | 1994-06-15 |
Family
ID=11958068
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP60017951A Expired - Lifetime JPH0646385B2 (en) | 1985-01-31 | 1985-01-31 | Preventing malfunction of automobile computer |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH0646385B2 (en) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6488953B2 (en) * | 2015-09-11 | 2019-03-27 | 株式会社デンソー | Parallelization method, parallelization tool, in-vehicle device |
-
1985
- 1985-01-31 JP JP60017951A patent/JPH0646385B2/en not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JPS61175827A (en) | 1986-08-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5867495B2 (en) | Electronic control unit | |
| US4775957A (en) | Microcomputer with abnormality sensing function | |
| JPS61133446A (en) | Real-time software monitoring and write protection control device | |
| US4587655A (en) | Fail-safe system for vehicular computer | |
| JP4042466B2 (en) | Memory diagnostic device and control device | |
| JPH0646385B2 (en) | Preventing malfunction of automobile computer | |
| JPH06103467B2 (en) | Preventing malfunction of automobile computer | |
| JPH0646384B2 (en) | Preventing malfunction of automobile computer | |
| JPH06103468B2 (en) | Preventing malfunction of automobile computer | |
| JPH06103466B2 (en) | Preventing malfunction of automobile computer | |
| US20090265581A1 (en) | Data system having a variable clock pulse rate | |
| JPS61175830A (en) | Malfunction preventing system of computer for automobile | |
| JPS61175829A (en) | Malfunction preventing system of computer for automobile | |
| JPS61175828A (en) | Malfunction preventing system of computer for automobile | |
| CN108073489A (en) | Ensure the method for the operation of calculator | |
| CN110832459B (en) | vehicle control device | |
| CN116893916B (en) | Log recording method and log recording device | |
| JP3182373B2 (en) | Microcomputer device | |
| JPH06305376A (en) | Control device for vehicle | |
| JPH1083355A (en) | Memory check mechanism of vehicle control device | |
| JPS60164852A (en) | Monitor system of program runaway | |
| JPH0844629A (en) | Memory access abnormality monitoring device | |
| JPH0738990Y2 (en) | Voltage drop detection circuit for electronic devices | |
| JPH03246638A (en) | Program runaway detecting system | |
| JPS6186847A (en) | CPU runaway prevention device for automotive control equipment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| EXPY | Cancellation because of completion of term |