JPH0810439B2 - Fail-safe device for electronic control unit - Google Patents
Fail-safe device for electronic control unitInfo
- Publication number
- JPH0810439B2 JPH0810439B2 JP2050077A JP5007790A JPH0810439B2 JP H0810439 B2 JPH0810439 B2 JP H0810439B2 JP 2050077 A JP2050077 A JP 2050077A JP 5007790 A JP5007790 A JP 5007790A JP H0810439 B2 JPH0810439 B2 JP H0810439B2
- Authority
- JP
- Japan
- Prior art keywords
- main
- sub
- microcomputer
- side microcomputer
- monitoring circuit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000012544 monitoring process Methods 0.000 claims description 21
- 230000005856 abnormality Effects 0.000 claims description 4
- 230000002159 abnormal effect Effects 0.000 description 9
- 230000002457 bidirectional effect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 239000000446 fuel Substances 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
Landscapes
- Hardware Redundancy (AREA)
- Debugging And Monitoring (AREA)
- Multi Processors (AREA)
- Safety Devices In Control Systems (AREA)
Description
【発明の詳細な説明】 〈産業上の利用分野〉 本発明は、2つのマイクロコンピュータ(以下マイコ
ンという)を有する電子制御装置のフェイルセーフ装置
に関する。DETAILED DESCRIPTION OF THE INVENTION <Industrial Field of Application> The present invention relates to a fail-safe device for an electronic control device having two microcomputers (hereinafter referred to as microcomputers).
〈従来の技術〉 自動車用電子制御装置として、第3図に示すように、
2つのマイコンを用い、一方のマイコン(メイン側マイ
コン)1を制御の中心的存在、他方のマイコン(サブ側
マイコン)2を補助的な存在として、両マイコン1,2を
通信手段(シリアル又はパラレルの双方向バス)3を用
いて接続したものがある(実開平1-87458号公報参
照)。<Prior Art> As an electronic control unit for an automobile, as shown in FIG.
Two microcomputers are used, one microcomputer (main side microcomputer) 1 is the central existence of control, and the other microcomputer (sub side microcomputer) 2 is an auxiliary existence, and both microcomputers 1 and 2 are communication means (serial or parallel). There is a connection using a bidirectional bus 3) (see Japanese Utility Model Laid-Open No. 1-87458).
例えばエンジン用電子制御装置においては、メイン側
マイコンに燃料噴射量及び点火時期の制御を受持たせ、
サブ側マイコンに点火時期ノック補正量の演算等を受持
たせている。For example, in the engine electronic control unit, the main-side microcomputer is responsible for controlling the fuel injection amount and ignition timing,
The sub-side microcomputer is responsible for calculating the ignition timing knock correction amount.
この場合、プログラム暴走又は故障時のフェイルセー
フのため、各マイコン1,2に、そのプログラムラン信号
(P−RUN)の周期を監視して異常時にリセット信号(R
ES)を出力するウォッチドッグタイマと呼ばれる暴走監
視回路11,12(特開昭63-36301号公報参照)を設け、各
プログラムラン信号の異常時に各マイコンをリセットす
るようにしている。In this case, for fail-safe in case of program runaway or failure, each microcomputer 1 and 2 is monitored for the cycle of the program run signal (P-RUN) and reset signal (R
A runaway monitoring circuit 11, 12 (see Japanese Patent Laid-Open No. 63-36301) called a watchdog timer for outputting ES) is provided to reset each microcomputer when each program run signal is abnormal.
〈発明が解決しようとする課題〉 しかしながら、このような従来のフェイルセール装置
にあっては、一方のマイコンが暴走又は故障した場合、
その暴走又は故障を他方のマイコンは判断できず、通信
手段を通じて、異常なデータが他方のマイコンに与えら
れてしまい、システムとしての信頼性が落ちてしまうと
いう問題点があった。<Problems to be Solved by the Invention> However, in such a conventional fail-sale device, when one microcomputer goes out of control or fails,
There is a problem that the other microcomputer cannot judge the runaway or failure, and abnormal data is given to the other microcomputer through the communication means, which lowers the reliability of the system.
特に、サブ側マイコンが暴走又は故障した場合にはマ
イン側マイコンによる動作が可能であるにもかかわら
ず、サブ側マイコンから異常なデータがメイン側マイコ
ンに与えられてしまい、メイン側マイコンによる動作も
保証されないという問題点があった。In particular, when the sub-side microcomputer runs out of control or fails, the main-side microcomputer gives abnormal data even though the main-side microcomputer can operate, but the main-side microcomputer also operates. There was a problem that it was not guaranteed.
本発明は、このような従来の問題点に鑑み、サブ側マ
イコンの異常によるメイン側マイコンへの影響を最小限
に抑えることで、システムの動作を確保できるようにす
ることを目的とする。The present invention has been made in view of such conventional problems, and an object of the present invention is to ensure the operation of the system by minimizing the influence on the main microcomputer by the abnormality of the sub microcomputer.
〈課題を解決するための手段〉 このため、本発明は、通信手段により接続されたメイ
ン・サブの2つのマイコンを有すると共に、それぞれの
マイコンに、プログラムラン信号を監視して異常時にリ
セット信号を出力する暴走監視回路を有する電子制御装
置において、メイン側暴走監視回路のリセット信号をセ
ブ側暴走監視回路のリセット信号と論理和をとってサブ
側マイコンのリセット端子に入力するように接続する一
方、サブ側暴走監視回路のリセット信号をメイン側マイ
コンの所定のポートに入力するように接続し、メイン側
マイコンに、当該ポートへのリセット信号の入力の有無
を読込んで入力有りのときに前記信号手段による通信を
禁止する手段を具備させて、フェイルセーフ装置を構成
する。<Means for Solving the Problem> For this reason, the present invention has two microcomputers of main and sub connected by the communication means, and monitors the program run signal to each microcomputer to provide a reset signal when an abnormality occurs. In an electronic control device having a runaway monitoring circuit that outputs, while being connected so that the reset signal of the main side runaway monitoring circuit is logically ORed with the reset signal of the Cebu side runaway monitoring circuit and input to the reset terminal of the sub-side microcomputer, Connect the reset signal of the sub-side runaway monitoring circuit so as to be input to a predetermined port of the main-side microcomputer, and read the presence or absence of the reset signal input to the main-side microcomputer to the signal means when there is an input. A fail-safe device is configured by providing a means for prohibiting communication by the above.
〈作用〉 上記の構成においては、メイン側マイコンの異常時
は、メイン側暴走監視回路により、メイン側マイコンの
みならず、サブ側マイコンも同時にリセットする。<Operation> In the above configuration, when the main-side microcomputer is abnormal, the main-side runaway monitoring circuit resets not only the main-side microcomputer but also the sub-side microcomputer at the same time.
サブ側マイコンの異常時は、サブ側暴走監視回路によ
り、サブ側マイコンをリセットする一方、メイン側マイ
コンは、そのリセット信号をポートから読込んで、サブ
側マイコンとの通信を禁止する。これにより、サブ側マ
イコンからの異常なデータの読込みを防止して、メイン
側マイコンの動作を保証する。When the sub-side microcomputer is abnormal, the sub-side runaway monitoring circuit resets the sub-side microcomputer, while the main-side microcomputer reads the reset signal from the port and prohibits communication with the sub-side microcomputer. This prevents abnormal data from being read from the sub-side microcomputer and guarantees the operation of the main-side microcomputer.
〈実施例〉 以下に本発明の一実施例を第1図及び第2図に基づい
て説明する。<Example> An example of the present invention will be described below with reference to FIGS. 1 and 2.
第1図において、メイン側マイコン1とサブ側マイコ
ン2とは、シリアル又はパラレルの双方向バス等の通信
手段3を介して接続されている。In FIG. 1, the main-side microcomputer 1 and the sub-side microcomputer 2 are connected via a communication means 3 such as a serial or parallel bidirectional bus.
メイン側マイコン1には、そのプログラムラン信号
(P−RUN)の周期を監視して異常時にリセット信号(R
ES)を出力するメイン側暴走監視回路11が設けられてい
る。The main microcomputer 1 monitors the cycle of the program run signal (P-RUN) and resets the reset signal (R
A runaway monitoring circuit 11 on the main side that outputs ES) is provided.
サブ側マイコン2にも、そのプログラムラン信号(P
−RUN)の周期を監視して異常時にリセット信号(RES)
を出力するサブ側暴走監視回路12が設けられている。The program run signal (P
-RUN) cycle is monitored and reset signal (RES) when an error occurs
A sub-sided runaway monitoring circuit 12 that outputs is provided.
ここで、メイン側暴走監視回路11のリセット信号を分
岐ライン13より取出し、サブ側暴走監視回路12のリセッ
ト信号とオア回路14により論理和をとって、サブ側マイ
コン2のリセット端子に入力するように接続してある。Here, the reset signal of the main-side runaway monitoring circuit 11 is taken out from the branch line 13, the logical sum of the reset signal of the sub-side runaway monitoring circuit 12 and the OR circuit 14 is input, and the result is input to the reset terminal of the sub-side microcomputer 2. Connected to.
また、サブ側暴走監視回路12のリセット信号を分岐ラ
イン15より取出し、メイン側マイコン1の所定のポート
Aに入力するように接続してある。Further, the reset signal of the sub-side runaway monitoring circuit 12 is taken out from the branch line 15 and is connected so as to be input to a predetermined port A of the main-side microcomputer 1.
そして、メイン側マイコン1に、当該ポートAへのリ
セット信号の入力の有無を定期的に読込んで、入力有り
のときに通信手段3による通信を禁止する通信禁止手段
16をソフトウェア的に具備させている。第2図は通信禁
止手段16の機能をフローチャートに示したものである。Then, the main-side microcomputer 1 periodically reads the presence / absence of the input of the reset signal to the port A, and when the input is present, the communication prohibiting means for prohibiting the communication by the communication means 3
16 is provided as software. FIG. 2 is a flow chart showing the function of the communication prohibiting means 16.
従って、メイン側マイコン1の異常時は、メイン側暴
走監視回路11により、メイン側マイコン1がリセットさ
れるのみならず、オア回路14を通じてサブ側マイコン2
も同時にリセットされる。Therefore, when the main side microcomputer 1 is abnormal, the main side runaway monitoring circuit 11 not only resets the main side microcomputer 1, but also the sub side microcomputer 2 through the OR circuit 14.
Are also reset at the same time.
サブ側マイコン2の異常時は、サブ側暴走監視回路12
により、サブ側マイコン2がリセットされる一方、メイ
ン側マイコン1は、そのリセット信号をポートAから読
込んで、サブ側マイコン2との通信を禁止する。これに
より、サブ側マイコン2から異常なデータがメイン側マ
イコン1へ与えられるのを防止して、メイン側マイコン
1の動作を確保する。When the sub-side microcomputer 2 is abnormal, the sub-side runaway monitoring circuit 12
As a result, the sub-side microcomputer 2 is reset, while the main-side microcomputer 1 reads the reset signal from the port A and prohibits communication with the sub-side microcomputer 2. This prevents abnormal data from being given from the sub-side microcomputer 2 to the main-side microcomputer 1 and ensures the operation of the main-side microcomputer 1.
〈発明の効果〉 以上説明したように本発明によれば、サブ側マイコン
の異常によるメイン側マイコンへの影響を最小限に抑え
ることで、システムの動作を確保できるという効果が得
られる。<Effects of the Invention> As described above, according to the present invention, it is possible to obtain the effect that the operation of the system can be ensured by minimizing the influence of the abnormality of the sub-side microcomputer on the main-side microcomputer.
第1図は本発明の一実施例を示すブロック回路図、第2
図は通信禁止手段のフローチャート、第3図は従来例を
示すブロック回路図である。 1……メイン側マイコン、2……サブ側マイコン 3……通信手段、11……メイン側暴走監視回路 12……サブ側暴走監視回路、14……オア回路、16……通
信禁止手段FIG. 1 is a block circuit diagram showing an embodiment of the present invention, and FIG.
FIG. 3 is a flow chart of the communication prohibiting means, and FIG. 3 is a block circuit diagram showing a conventional example. 1 ... Main side microcomputer, 2 ... Sub side microcomputer 3 ... Communication means, 11 ... Main side runaway monitoring circuit 12 ... Sub side runaway monitoring circuit, 14 ... OR circuit, 16 ... Communication prohibition means
Claims (1)
2つのマイクロコンピュータを有すると共に、それぞれ
のマイクロコンピュータに、プログラムラン信号を監視
して異常時にリセット信号を出力する暴走監視回路を有
する電子制御装置において、 メイン側暴走監視回路のリセット信号をサブ側暴走監視
回路のリセット信号と論理和をとってサブ側マイクロコ
ンピュータのリセット端子に入力するように接続する一
方、サブ側暴走監視回路のリセット信号をメイン側マイ
クロコンピュータの所定のポートに入力するように接続
し、メイン側マイクロコンピュータに、当該ポートへの
リセット信号の入力の有無を読込んで入力有りのときに
前記通信手段による通信を禁止する手段を具備させたこ
とを特徴とする電子制御装置のフェイルセーフ装置。1. An electronic control device having two main and sub microcomputers connected by communication means, and each computer having a runaway monitoring circuit for monitoring a program run signal and outputting a reset signal when an abnormality occurs. In the device, the reset signal of the main-side runaway monitoring circuit is connected to the reset signal of the sub-side runaway monitoring circuit and input to the reset terminal of the sub-side microcomputer, while the reset signal of the sub-side runaway monitoring circuit is connected. Means for connecting to a predetermined port of the main-side microcomputer to read the presence or absence of the input of a reset signal to the main-side microcomputer, and prohibiting communication by the communication means when there is an input A fail-safe for an electronic control device, characterized in that Device.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2050077A JPH0810439B2 (en) | 1990-03-01 | 1990-03-01 | Fail-safe device for electronic control unit |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2050077A JPH0810439B2 (en) | 1990-03-01 | 1990-03-01 | Fail-safe device for electronic control unit |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH03251932A JPH03251932A (en) | 1991-11-11 |
| JPH0810439B2 true JPH0810439B2 (en) | 1996-01-31 |
Family
ID=12848946
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2050077A Expired - Fee Related JPH0810439B2 (en) | 1990-03-01 | 1990-03-01 | Fail-safe device for electronic control unit |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH0810439B2 (en) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6498043B2 (en) * | 2015-05-29 | 2019-04-10 | キヤノン株式会社 | Electronics |
-
1990
- 1990-03-01 JP JP2050077A patent/JPH0810439B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JPH03251932A (en) | 1991-11-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US4386427A (en) | Fail-safe device in an electronic control system for an automotive vehicle | |
| US4775957A (en) | Microcomputer with abnormality sensing function | |
| US5638510A (en) | Multiplexed system with watch dog timers | |
| JPH0810439B2 (en) | Fail-safe device for electronic control unit | |
| JP2000165420A (en) | Bus system | |
| US6928346B2 (en) | Method for monitoring the functioning of a control unit | |
| JPH10105422A (en) | Protection device control circuit | |
| JPH0236003B2 (en) | ||
| JPH0559452B2 (en) | ||
| JPS6113626B2 (en) | ||
| JPH04284165A (en) | Trouble diagnosing system for starter system | |
| JP7605697B2 (en) | Calculation unit | |
| JPS61187045A (en) | Internal combustion engine control device | |
| JP2536789Y2 (en) | Device for preventing malfunction of microcomputer system | |
| JP7624335B2 (en) | Fire alarm systems and terminals | |
| JPS643790Y2 (en) | ||
| JPH0755179Y2 (en) | Parallel multiple electronic interlocking device | |
| JP3081234B2 (en) | How to check CPU board | |
| JPS60159354A (en) | Control device for automobile | |
| JPH0426914Y2 (en) | ||
| JPH0751609Y2 (en) | Failure information storage circuit of programmable controller | |
| JPS6362776B2 (en) | ||
| CN118381687A (en) | Wire control system based on off-chip multi-core chip, communication method and vehicle | |
| JPH01321539A (en) | Circuit for checking connecting state of bus connector | |
| JPS63307547A (en) | Cpu monitor circuit |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |