JPH01149143A - Fail safe method for on-vehicle computer - Google Patents
Fail safe method for on-vehicle computerInfo
- Publication number
- JPH01149143A JPH01149143A JP62307689A JP30768987A JPH01149143A JP H01149143 A JPH01149143 A JP H01149143A JP 62307689 A JP62307689 A JP 62307689A JP 30768987 A JP30768987 A JP 30768987A JP H01149143 A JPH01149143 A JP H01149143A
- Authority
- JP
- Japan
- Prior art keywords
- port
- address
- address signal
- microcomputer
- reset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 15
- 238000002485 combustion reaction Methods 0.000 claims description 5
- 238000010586 diagram Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000007257 malfunction Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
Landscapes
- Debugging And Monitoring (AREA)
Abstract
Description
【発明の詳細な説明】
(産業上の利用分野)
本発明は内燃機関、自動変速装置等の動作制御を行つ車
載用コンピュータのフェイルセーフ方法に関する。DETAILED DESCRIPTION OF THE INVENTION (Field of Industrial Application) The present invention relates to a fail-safe method for a vehicle-mounted computer that controls the operation of an internal combustion engine, automatic transmission, etc.
(従来の技術)
自動車等に搭載される内燃機関、自動変速装置等の動作
制御にストアードプログラム方式によるマイクロコンピ
ュータが利用されているが、点火プラグの発火時に発生
するノイズ等により読出命令が誤って停止命令(HAL
T命令)に転化し、このためマイクロコンビ、−夕が正
常にプログラムの実行をすべき状態にあるにもかかわら
ず停止するという虞れがあった。(Prior Art) Microcomputers based on a stored program system are used to control the operations of internal combustion engines, automatic transmissions, etc. installed in automobiles, etc., but read commands may be incorrectly read due to noise generated when a spark plug fires, etc. Stop command (HAL
Therefore, there was a risk that the microcombi would stop even though it was in a state where it should be executing the program normally.
このような誤動作を回避するため、従来マイクロコンピ
ュータからのステータス情報により停止命令が実行され
ていることを検出し、この検出結果に基づいて最優先順
位の割込みを行い、前記マイクロコンピュータを初期状
態に戻していた。In order to avoid such malfunctions, conventionally, status information from a microcomputer detects that a stop command is being executed, and based on this detection result, an interrupt with the highest priority is issued, returning the microcomputer to its initial state. I was putting it back.
第2図は前記方法の一例を示す説明図である(例えば・
特開昭59−68004号公報)。第2図において、3
は各種演算処理、プログラムの実行等を行うマイクロコ
ンピュータであって、通常単一のLSI素子(インテル
KK製8085A等)を利用する。通常この種のマイク
ロコンビ、−夕は動作状態を外部に知らせる複数のステ
ータス信号端子を有している。本例では2個のステータ
ス信号端子S、及びS、を利用するもので、当該ステー
タス信号端子So及びS、をノア回路NOR(7)入力
端子にそれぞれ接続し、その出力端子をCPU 1の最
優先順位の割込端子TRAPに接続している。そして、
これらステータス信号端子So及びS、からは下記の真
理値表に従うてステータス信号が出力される。FIG. 2 is an explanatory diagram showing an example of the method (for example,
JP-A-59-68004). In Figure 2, 3
is a microcomputer that performs various arithmetic processing, program execution, etc., and usually uses a single LSI element (Intel KK 8085A, etc.). Usually, this type of microcombi has a plurality of status signal terminals that inform the outside of the operating state. In this example, two status signal terminals S and S are used, and the status signal terminals So and S are respectively connected to the input terminal of the NOR circuit NOR (7), and the output terminal is connected to the top of the CPU 1. It is connected to the priority interrupt terminal TRAP. and,
Status signals are output from these status signal terminals So and S according to the truth table below.
(真理値表)
よって、So、 S、 =[o) ro」の状態をデコ
ードすることにより停止命令の実行中であることを検出
することが出来る。本例ではノア回路NORにより前記
ステータス信号をデコードし、その出力を最優先順位の
割込要求端子であるTRAP端子に入力しているので、
マイクロコンピュータ3が割込状態で誤動作を生じ停止
に至った場合でも割込を行うことが可能となる。斯る割
込を特定のアドレスへのジャンプを引起こすようにし、
当該アドレス以降にマイクロコンビ、−夕を初期状態に
する為のプログラムを予め書込んでおくか、あるいは電
源投入直後のスタートアドレスである″’oooo″番
地へのジャンプ命令を書き込んでおけば新たに制御プロ
グラムを再スタートさせることができる。(Truth Table) Therefore, by decoding the state "So, S, = [o) ro", it is possible to detect that the stop command is being executed. In this example, the status signal is decoded by the NOR circuit NOR, and its output is input to the TRAP terminal, which is the interrupt request terminal with the highest priority.
Even if the microcomputer 3 malfunctions in an interrupt state and comes to a halt, it is possible to issue an interrupt. Make such an interrupt cause a jump to a specific address,
You can write a program in advance to initialize the microcombi, or after that address, or write a jump command to address ``'oooo'', which is the start address immediately after the power is turned on. The control program can be restarted.
(発明が解決しようとする問題点)
しかしながら、前記方法ではステータス情報を利用して
停止命令の実行を検出し、再スタートさせているので停
止命令を含まないCPUの暴走に対しては全く効果が無
く、又、ステータス情報を有しないコンピュータでは実
施不可能であるという問題点があった。(Problem to be Solved by the Invention) However, the above method uses status information to detect the execution of a stop command and restart it, so it is completely ineffective against a runaway CPU that does not include a stop command. Moreover, there was a problem that it could not be implemented on a computer that does not have status information.
本発明は前記問題点を除去し、信頼性の高い車載用コン
ピュータの7工イルセーフ方式を提供することを目的と
する。SUMMARY OF THE INVENTION An object of the present invention is to eliminate the above-mentioned problems and provide a highly reliable seven-day safe system for a vehicle-mounted computer.
(問題点を解決するための手段)
本発明は内燃機関等の動作制御を行う車載用コンピュー
タのフェイルセーフ方法において、前記車載用コンビ、
−夕が通常動作範囲外のアドレスを実行した場合に所定
の、j?−)からアドレス信号を出力する当該アドレス
信号を検出し、前記検出したアドレス信号に基づいて最
優先順位の割込みを行い、前記車載コンピュータを初期
状態に戻すことを特徴とする車載用コンピュータのフェ
イルセーフ方法である。(Means for Solving the Problems) The present invention provides a fail-safe method for an in-vehicle computer that controls the operation of an internal combustion engine, etc.
- If the user executes an address outside the normal operating range, the predetermined j? A fail-safe vehicle computer characterized in that the vehicle computer outputs an address signal from (), detects the address signal, performs an interrupt with the highest priority based on the detected address signal, and returns the vehicle computer to an initial state. It's a method.
(作 用)
前記コンピュータは内部にメ′モリ及び複数のポートを
有しており、実行アドレスが前記内部メモリの範囲内に
ある場合は所定のポー)をI10ポートとして働かせ、
範囲を越えた場合はI10ポートからデータバスに変え
てアドレス信号等を出力する。本発明はこの点に着目し
、前記コンピュータを通常、実行アドレスが前記内部メ
モリの範囲内にあるように設定し、もし前記範囲を逸脱
した場合には前記コンピュータが暴走したものと判断し
て、前記ポートの出力を用いてリセ、トシ、再スタート
させるものである。これにより前記問題点が除去できる
ものである。(Function) The computer has a memory and a plurality of ports internally, and if the execution address is within the range of the internal memory, a predetermined port is made to work as an I10 port,
If the range is exceeded, the I10 port is changed to a data bus and address signals etc. are output. The present invention focuses on this point, and normally sets the computer so that the execution address is within the range of the internal memory, and if it deviates from the range, it is determined that the computer has gone out of control. The output of the port is used to reset, restart, and restart. With this, the above-mentioned problem can be eliminated.
(実施例)
第1図は本発明の第1の実施例のフェイルセーフ方法を
説明するための図である。第1図において、ノは各種演
算処理、プログラムの実行を行うマイクロコンビ、−夕
であって、通常1チツゾマイクロコンピユータ(インテ
ルKK製8051等)を利用する。2はリセット信号を
出力するリセット回路、INVはリセットの論理を合わ
せるためのインバータである。前記マイクロコンピュー
タ1のポー)DBOはインバータINVを介してリセッ
ト端子RESETに接続され、リセット回路2の出力は
抵抗R及び前記インバータINVを介して同じくリセッ
ト端子RESETに接続されている。(Embodiment) FIG. 1 is a diagram for explaining a fail-safe method according to a first embodiment of the present invention. In FIG. 1, numeral 1 indicates a microcomputer that performs various arithmetic operations and executes programs, and typically uses a microcomputer (such as Intel KK 8051). 2 is a reset circuit that outputs a reset signal, and INV is an inverter for matching the reset logic. DBO of the microcomputer 1 is connected to the reset terminal RESET via the inverter INV, and the output of the reset circuit 2 is also connected to the reset terminal RESET via the resistor R and the inverter INV.
前記マイクロコンピュータ1はメモリを内蔵しており、
前記メモリの範囲内で動作する場合(以下、内部ROM
モードという)と、前記メモリの範回外、つまシ外部に
設けられるメモリの範囲で動作する場合(以下、外部R
OMモードという)とがある。更に・前記マイクロコン
ピュータ1は、通常複数のポート、本実施例では3個の
ポー)DBO〜DB2を有しており、下記モード表に示
すようにマイクロコンビ、−夕1の実行モードに対応し
てその役割を変える。The microcomputer 1 has a built-in memory,
When operating within the range of the memory (hereinafter referred to as internal ROM)
(hereinafter referred to as external R
OM mode). Further, the microcomputer 1 usually has a plurality of ports (in this embodiment, three ports) DBO to DB2, and corresponds to the microcombi-1 execution mode as shown in the mode table below. change its role.
すなわち、ポート0はマイクロコンピュータ1が内部R
OMモードにある場合にはオーグンコレクタI10ポー
トとなり、外部ROMモードになった場合には前記オー
プンコレクタI10ポートからデータバスとなってアド
レス信号及びデータを順次出力する。In other words, port 0 is connected to the internal R
When in OM mode, it becomes an open collector I10 port, and when in external ROM mode, it becomes a data bus from the open collector I10 port, and sequentially outputs address signals and data.
前記マイクロコンビ、−夕1は、内燃機関等の動作制御
用として用いる場合、通常内部ROMモードで動作する
ように設定する。従って実行アドレスが内部のメモリ範
囲を越えて外部ROMモードに移った場合は異常である
ということになる。When the microcombi 1 is used to control the operation of an internal combustion engine or the like, it is normally set to operate in the internal ROM mode. Therefore, if the execution address exceeds the internal memory range and shifts to external ROM mode, it is considered abnormal.
今、第1図において、マイクロコンビ、−夕1が正常に
動作している場合、つまり内部ROMモードにある場合
には、ボー)DBOはフローティングの状態となる。前
記マイクロコンピュータlはリセット回路2によフ必要
に応じてリセットされる0
ところが何らかの原因によりマイクロコンピュータ1が
暴走し、実行アドレスが内部メモリの範囲(本実施例で
はFFFH)を越えて外部ROMモードに入った場合、
ポート0は自動的にデータバスとなってアドレス信号及
びデータを出力し、又ポート2はアドレス信号を出力す
る。前記ポート0がアドレス信号を出力すると、すなわ
ちローレベルを出力すると、インバータINVの入力が
ローレベルとなり、リセット端子RESET 2>Dハ
イレベルとなる。従ってマイクロコンピュータ1はリセ
ットされ初期状態に復帰し、再スタートする。ポートO
はデータバスから再びフローティング状態となる。この
ようにして暴走は回避される。Now, in FIG. 1, when the microcombi 1 is operating normally, that is, when it is in the internal ROM mode, the DBO is in a floating state. The microcomputer 1 is reset by the reset circuit 2 as necessary.However, for some reason, the microcomputer 1 goes out of control, and the execution address exceeds the internal memory range (FFFH in this embodiment), causing it to enter the external ROM mode. If you enter
Port 0 automatically becomes a data bus and outputs address signals and data, and port 2 outputs address signals. When the port 0 outputs an address signal, that is, outputs a low level, the input of the inverter INV becomes a low level, and the reset terminal RESET2>D becomes a high level. Therefore, the microcomputer 1 is reset, returns to its initial state, and restarts. Port O
becomes floating again from the data bus. In this way, runaway behavior is avoided.
以上説明したように本実施例によれば、マイクロコンピ
ュータが暴走して、通常時には実行を許可されていない
アドレスを実行すると/−)0は■カポートからデータ
バスとなってアドレス信号を出力し、この出力罠より前
記マイクロコンピュータを初期状態に戻すこととしたの
で、暴走を確実に検知し迅速にリセットすることができ
、回路構成も極めて簡単となり、信頼性の高いフェイル
セーフ方法を実現することができる。As explained above, according to this embodiment, when the microcomputer goes out of control and executes an address that is not normally allowed to be executed, /-)0 becomes a data bus from the port and outputs an address signal. Since we decided to return the microcomputer to its initial state using this output trap, runaway can be reliably detected and reset quickly, the circuit configuration is extremely simple, and a highly reliable fail-safe method can be realized. can.
第3図は本発明の第2の実施例のフェイルセーフ方法の
説明図であって、第1図に示すインバータINVの代り
にナンド回路NANDを用いたものである。第1図に示
す第1の実施例と同様の効果を得ることができる。FIG. 3 is an explanatory diagram of a fail-safe method according to a second embodiment of the present invention, in which a NAND circuit NAND is used in place of the inverter INV shown in FIG. The same effects as the first embodiment shown in FIG. 1 can be obtained.
第1図及び第3図に示す実施例では、ヤイクロコンピュ
ータ1のポート0の出力をインバータINV又はナンド
回路NANDを介してリセット端子RESETに入力し
ているが、リセット端子RESETの代ジに最優先順位
の割込端子に入力し、割込のジャンプ先にマイクロコン
ビ、−夕1を初期状態に戻すグロダラムを書き込んでお
ければ第1図及び第3図に示す実施例と同様な効果を得
ることができる。In the embodiments shown in FIGS. 1 and 3, the output of port 0 of the microcomputer 1 is input to the reset terminal RESET via the inverter INV or the NAND circuit NAND, but the maximum output of the reset terminal RESET is If you input it to the priority interrupt terminal and write a glodarum that returns the microcombi and 1 to the initial state at the jump destination of the interrupt, the same effect as the embodiment shown in Figs. 1 and 3 can be obtained. Obtainable.
又、第1図及び第3図に示す実施例では、マイクロコン
ピュータ1のリセットにポート0の出力を用いている。Further, in the embodiments shown in FIGS. 1 and 3, the output of port 0 is used to reset the microcomputer 1.
しかし、ポート2は外部ROMモードになるとアドレス
信号を出力するものであるから、当然ポート0の代シに
ポート2を用いることも可能である。However, since port 2 outputs an address signal when the external ROM mode is entered, it is naturally possible to use port 2 in place of port 0.
(発明の効果)
以上詳細に説明したように、本発明によれば、コンピュ
ータが暴走して通常時には実行を許可されていないアド
レスを実行すると所定のポートからアドレス信号を出力
し、そのアドレス信号に基づいて最優先順位の割込をし
て初期状態に戻すこととしたので、暴走を確実に検知す
ることができ、又極めて簡単な回路構成で実現すること
ができ、信頼性の高い車載用コンピュータのフェイルセ
ーフ方法を得ることができる。(Effects of the Invention) As described above in detail, according to the present invention, when a computer goes out of control and executes an address that is not normally allowed to be executed, it outputs an address signal from a predetermined port, and the address signal is Based on this, we decided to issue the highest priority interrupt and return to the initial state, so runaway can be reliably detected, and it can be realized with an extremely simple circuit configuration, making it a highly reliable in-vehicle computer. A fail-safe method can be obtained.
第1図は本発明の第1の実施例の7エイルセーフ方法の
説明図、第2図は従来の7エイルセーフ方法の説明図−
第3図は本発明の第、2の実施例のフェイルセーフ方法
の説明図である。
1・・・マイクロコンピュータ、2・・・リセット回路
、INV・・・インバータ回路、NAND・・・ナンド
回路、R・・・抵抗。
特許出願人 沖電気工業株式会社
本%晴の才10貢辰例の7エ4ルt−フ万汰#1貌明図
第1図
柾來#171桟t−7方S敷の3L明国第2図
岸(弊−川め才2の亥jたイテ11め7t4L℃−7万
5太め1更明色第3図Fig. 1 is an explanatory diagram of the 7-ail safe method according to the first embodiment of the present invention, and Fig. 2 is an explanatory diagram of the conventional 7-ail safe method.
FIG. 3 is an explanatory diagram of a fail-safe method according to a second embodiment of the present invention. 1... Microcomputer, 2... Reset circuit, INV... Inverter circuit, NAND... NAND circuit, R... Resistor. Patent Applicant: Oki Electric Industry Co., Ltd. 7E4L T-F Wanda #1 Appearance Map Figure 1 柾rai #171 pier T-7 side S floor 3L Mingguo 2nd figure shore (we - Kawame Sai 2's 11th 7t4L℃ - 75,000 thick 1 light color 3rd figure
Claims (1)
イルセーフ方法において、 前記車載用コンピュータが通常動作範囲外のアドレスを
実行した場合に所定のポートからアドレス信号を出力す
る当該アドレス信号を検出し、前記検出したアドレス信
号に基づいて最優先順位の割込みを行い、 前記車載コンピュータを初期状態に戻すことを特徴とす
る車載用コンピュータのフェイルセーフ方法。[Claims] In a fail-safe method for an on-vehicle computer that controls the operation of an internal combustion engine, etc., when the on-vehicle computer executes an address outside the normal operating range, an address signal is output from a predetermined port. 1. A fail-safe method for a vehicle-mounted computer, comprising detecting a signal, performing an interrupt with the highest priority based on the detected address signal, and returning the vehicle-mounted computer to an initial state.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP62307689A JPH01149143A (en) | 1987-12-07 | 1987-12-07 | Fail safe method for on-vehicle computer |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP62307689A JPH01149143A (en) | 1987-12-07 | 1987-12-07 | Fail safe method for on-vehicle computer |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH01149143A true JPH01149143A (en) | 1989-06-12 |
Family
ID=17972037
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP62307689A Pending JPH01149143A (en) | 1987-12-07 | 1987-12-07 | Fail safe method for on-vehicle computer |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH01149143A (en) |
-
1987
- 1987-12-07 JP JP62307689A patent/JPH01149143A/en active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US4775957A (en) | Microcomputer with abnormality sensing function | |
| JP3255693B2 (en) | Automotive multi-computer system | |
| JPS5968004A (en) | Fail-safe method for automotive computers | |
| JPH0510201A (en) | Car controlling method | |
| JP2696511B2 (en) | Return method from power down mode | |
| JPH11250029A (en) | Method and apparatus for monitoring a computer device comprising at least two processors | |
| JPH0237151A (en) | Engine controller | |
| JP2000172384A (en) | On-vehicle computer and its control method | |
| JPH01149143A (en) | Fail safe method for on-vehicle computer | |
| JP2017016410A (en) | Electronic control device and stack area usage monitoring method | |
| JPH0717337A (en) | Judgement of trouble of electronic controlled unit and trouble judging device | |
| JPS6043536B2 (en) | Microcomputer malfunction prevention device | |
| JPH0236003B2 (en) | ||
| CN115686892A (en) | Integrated controller based on multiple monitoring channels | |
| JP7676080B2 (en) | Electronic control device for vehicle and control method using electronic control device for vehicle | |
| JPH0325813B2 (en) | ||
| JPH0738990Y2 (en) | Voltage drop detection circuit for electronic devices | |
| CN119938372A (en) | Automotive chip safety management method, system and vehicle based on chiplet architecture | |
| CN116540931A (en) | Vehicle data protection method and device, electronic equipment and storage medium | |
| JPH04284165A (en) | Trouble diagnosing system for starter system | |
| JP2017016409A (en) | Electronic control device and method of using stack | |
| JPH02298649A (en) | Speed control method of automobile and device thereof | |
| JPS5920052A (en) | Interruption control circuit of microcomputer system | |
| JP3402414B2 (en) | Watchdog timer circuit | |
| JPS5914063A (en) | Microcomputer startup method |