[go: up one dir, main page]

JP2019087177A - Monitoring system - Google Patents

Monitoring system Download PDF

Info

Publication number
JP2019087177A
JP2019087177A JP2017216979A JP2017216979A JP2019087177A JP 2019087177 A JP2019087177 A JP 2019087177A JP 2017216979 A JP2017216979 A JP 2017216979A JP 2017216979 A JP2017216979 A JP 2017216979A JP 2019087177 A JP2019087177 A JP 2019087177A
Authority
JP
Japan
Prior art keywords
microcomputer
value
abnormality
microcomputers
written
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017216979A
Other languages
Japanese (ja)
Other versions
JP6946954B2 (en
Inventor
あゆ 天野
Ayu Amano
あゆ 天野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Priority to JP2017216979A priority Critical patent/JP6946954B2/en
Publication of JP2019087177A publication Critical patent/JP2019087177A/en
Application granted granted Critical
Publication of JP6946954B2 publication Critical patent/JP6946954B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Safety Devices In Control Systems (AREA)

Abstract

【課題】相互に異常を監視可能な複数の制御装置を備えるものにおいて、いずれかの制御装置が異常終了した際にその異常の要因を特定可能とする。【解決手段】第1および第2マイコン11,12の各CPUは、それぞれ第1および第2EEPROM21,22に書き込む値として、起動した場合には値00を書き込み、正常終了する場合には値11を書き込み、相手マイコンの異常を判定した場合には値01を書き込み、自己診断により自マイコンの異常を判定した場合には値10を書き込む。すなわち、第1および第2マイコン11,12の状態に応じて各EEPROM21,22にそれぞれ異なる値を書き込む。これにより、各EEPROM21,22に書き込まれた値を確認することで、第1および第2マイコン11,12のいずれかが異常終了した際にその異常の要因を特定することが可能となる。【選択図】図4PROBLEM TO BE SOLVED: To identify a cause of an abnormality when any of the control devices is abnormally terminated in a device provided with a plurality of control devices capable of mutually monitoring an abnormality. Each CPU of the first and second microcomputers 11 and 12 writes a value 00 when it is started and a value 11 when it ends normally as a value to be written to the first and second EEPROMs 21 and 22, respectively. Writing, the value 01 is written when the abnormality of the other microcomputer is determined, and the value 10 is written when the abnormality of the own microcomputer is determined by the self-diagnosis. That is, different values are written in the EEPROMs 21 and 22 according to the states of the first and second microcomputers 11 and 12. This makes it possible to identify the cause of the abnormality when any of the first and second microcomputers 11 and 12 terminates abnormally by confirming the values written in the EEPROMs 21 and 22. [Selection diagram] FIG. 4

Description

本発明は、監視システムに関する。   The present invention relates to a monitoring system.

従来より、ECU内部のマイクロコンピュータに設けられた不揮発性メモリに、正常動作中を示す値AAをセットしておき、正常終了後はその値をリセットして値00とする電源遮断検出装置が提案されている(例えば、特許文献1参照)。この装置では、動作中に瞬断が発生して異常終了すると、値がリセットされず値AAのままであるため、動作中に強制終了が発生したことを判定することができる。   Conventionally, a value AA indicating normal operation has been set in a non-volatile memory provided in a microcomputer inside the ECU, and a power cut-off detection device has been proposed that resets the value to a value of 00 after normal termination. (See, for example, Patent Document 1). In this device, if a momentary interruption occurs during operation and ends abnormally, the value is not reset and remains at the value AA, so it can be determined that forced termination has occurred during operation.

特開平8−178976号公報JP-A-8-178976

ところで、相互に異常を監視可能な複数の制御装置を備えるシステムにおいて、一方の制御装置が他方の制御装置に異常が発生したと判定すると、当該他方の制御装置にリセット信号を出力して強制的に終了させるものがある。こうしたシステムに上述した特許文献1記載の技術を適用する場合、瞬断以外の強制終了が発生しても、瞬断と同じ値AAがセットされたままであり、制御装置が強制終了した要因を特定することは困難である。   By the way, in a system including a plurality of control devices capable of mutually monitoring an abnormality, when one control device determines that an abnormality has occurred in the other control device, a reset signal is output to the other control device to force the other control device. There is something to end. When applying the technology described in Patent Document 1 described above to such a system, the same value AA as that for the momentary interruption remains set even if forced termination other than the momentary interruption occurs, and the cause of the forced termination of the control device is specified It is difficult to do.

本発明の監視システムは、相互に異常を監視可能な複数の制御装置を備えるものにおいて、いずれかの制御装置が異常終了した際にその異常の要因を特定することが可能な監視システムを提供することを主目的とする。   A monitoring system according to the present invention is provided with a plurality of control devices capable of mutually monitoring an abnormality, and provides a monitoring system capable of identifying a cause of the abnormality when any control device abnormally ends. The main purpose is

本発明の監視システムは、上述の主目的を達成するために以下の手段を採った。   The monitoring system of the present invention adopts the following means in order to achieve the above-mentioned main object.

本発明の監視システムは、
相互に異常の監視とリセット信号の出力とが可能であると共に自己診断が可能な第1および第2制御装置と、前記第1制御装置のCPUがアクセス可能な第1不揮発性メモリと、前記第2制御装置のCPUがアクセス可能な第2不揮発性メモリと、を備える監視システムであって、
前記第1および第2制御装置の各CPUは、それぞれ前記第1および第2不揮発性メモリに書き込む値として、起動した場合と正常終了する場合と相手の異常を判定した場合と自己の異常を判定した場合とでそれぞれ異なる値を書き込む、
ことを要旨とする。 The monitoring system of the present invention is
First and second control devices capable of mutually monitoring an abnormality and outputting a reset signal and capable of self-diagnosis, a first non-volatile memory accessible by a CPU of the first control device, and (2) A monitoring system comprising: a second non-volatile memory accessible by a CPU of a control unit;
The respective CPUs of the first and second control devices respectively judge as a value to be written to the first and second non-volatile memories when activated, when normally terminated, when judging an abnormality of the other party, and when judging as an abnormality of the other. Write different values for each case,
Make it a gist.

この本発明の監視システムは、第1および第2制御装置と、第1および第2不揮発性メモリとを備える。第1および第2制御装置の各CPUは、それぞれ第1および第2不揮発性メモリに書き込む値として、起動した場合と正常終了する場合と相手の異常を判定した場合と自己の異常を判定した場合とでそれぞれ異なる値を書き込む。これにより、不揮発性メモリに書き込まれた値を確認することで、複数の制御装置のいずれかが異常終了した際にその異常の要因を特定することが可能となる。   The monitoring system of the present invention comprises first and second control devices and first and second non-volatile memories. The CPUs of the first and second control devices respectively have values to be written to the first and second non-volatile memories, one being activated, one being normally terminated, one having determined the other's abnormality, and one having determined its own abnormality. And write different values. As a result, by confirming the value written in the non-volatile memory, it becomes possible to specify the cause of the abnormality when any of the plurality of control devices abnormally ends.

こうした本発明の監視システムにおいて、第1および第2制御装置は、互いに相手の制御装置に対して周期的なランパルス信号を送信すると共に前記相手の制御装置からのランパルス信号を受信するように構成され、起動した場合には対応する不揮発性メモリに第1の値を書き込み、正常終了する場合には前記対応する不揮発性メモリに第2の値を書き込み、前記相手の制御装置からのランパルス信号を正常に受信しなかった場合には前記対応する不揮発性メモリに第3の値を書き込むと共に前記相手の制御装置にリセット信号を送信し、前記自己診断により自己の制御装置の異常を判定した場合には前記対応する不揮発性メモリに第4の値を書き込むと共に前記相手の制御装置へのランパルス信号の送信を停止するものとしてもよい。この場合、前記不揮発性メモリに書き込む値の優先順位は、高い方から前記第4の値,前記第3の値,第2の値の順に定められるものとしてもよい。   In the monitoring system of the present invention, the first and second control devices are configured to transmit periodic run pulse signals to each other's control device and to receive run pulse signals from the other control device. When activated, the first value is written to the corresponding non-volatile memory, and when completed normally, the second value is written to the corresponding non-volatile memory, and the run pulse signal from the partner control device is normal If the third value is written to the corresponding non-volatile memory and a reset signal is sent to the counterpart control device, and if the self-diagnosis determines an abnormality of the control device itself The transmission of the run pulse signal to the control device of the other party may be stopped while the fourth value is written to the corresponding nonvolatile memory. In this case, the priority of the values to be written to the non-volatile memory may be determined in the order of the fourth value, the third value, and the second value from the highest value.

本発明の一実施例としての監視システムを含む監視システム10の構成の概略を示す構成図である。BRIEF DESCRIPTION OF THE DRAWINGS It is a block diagram which shows the outline of a structure of the monitoring system 10 containing the monitoring system as one Example of this invention. 第1および第2マイコン11,12によりそれぞれ実行される主制御ルーチンの一例を示すフローチャートである。5 is a flowchart showing an example of a main control routine executed by the first and second microcomputers 11 and 12, respectively. 第1および第2マイコン11,12によりそれぞれ実行される監視処理ルーチンの一例を示すフローチャートである。5 is a flowchart showing an example of a monitoring process routine executed by the first and second microcomputers 11 and 12, respectively. 第1および第2EEPROM21,22の値と第1および第2マイコン11,12の状態との組み合わせの一例を示す説明図である。FIG. 6 is an explanatory view showing an example of a combination of the values of the first and second EEPROMs 21 and 22 and the states of the first and second microcomputers 11 and 12;

次に、本発明を実施するための形態を実施例を用いて説明する。   Next, modes for carrying out the present invention will be described using examples.

図1は、本発明の一実施例としての監視システム10の構成の概略を示す構成図である。実施例の監視システム10は、第1マイクロコンピュータ(以下、第1マイコンという)11と、第2マイクロコンピュータ(以下、第2マイコンという)12と、第1EEPROM21と、第2EEPROM22と、監視用IC31と、を備える。実施例の監視システム10は、例えば、第1および第2マイコン11,12によりそれぞれ駆動制御される2つのモータを備える電気自動車やハイブリッド自動車に搭載される。   FIG. 1 is a block diagram showing an outline of the configuration of a monitoring system 10 as an embodiment of the present invention. The monitoring system 10 according to the embodiment includes a first microcomputer (hereinafter referred to as a first microcomputer) 11, a second microcomputer (hereinafter referred to as a second microcomputer) 12, a first EEPROM 21, a second EEPROM 22, and a monitoring IC 31. And. The monitoring system 10 of the embodiment is mounted on, for example, an electric vehicle or a hybrid vehicle provided with two motors which are driven and controlled by the first and second microcomputers 11 and 12, respectively.

第1および第2マイコン11,12は、図示しないCPUを中心としたマイクロコンピュータであり、CPUの他に、ROM,RAM,入出力ポートおよび通信ポートを含む。本実施例では、第2マイコン12は、上位のマイクロコンピュータ(以下、上位マイコンという)と通信が可能なメインマイコンとして構成される。また、第1マイコン11は、第2マイコン12と通信が可能に構成され、第2マイコン12を介して上位マイコンからのコマンドを受信可能なサブマイコンとして構成される。   The first and second microcomputers 11 and 12 are microcomputers centering on a CPU (not shown), and include ROM, RAM, input / output port and communication port in addition to the CPU. In the present embodiment, the second microcomputer 12 is configured as a main microcomputer capable of communicating with a host microcomputer (hereinafter referred to as a host microcomputer). Further, the first microcomputer 11 is configured to be able to communicate with the second microcomputer 12 and is configured as a sub-microcomputer capable of receiving a command from the upper microcomputer via the second microcomputer 12.

第1および第2マイコン11,12は、ウォッチドッグタイマにより相互に監視可能に構成される。第1マイコン11は、HiレベルとLoレベルの2つの信号状態が所定周期で切り替わるウォッチドッグパルス信号WD1(ランパルス信号)を第2マイコン12へ送信すると共に第2マイコン12から送信される同様のウォッチドッグパルス信号WD2を受信し、第2マイコン12からウォッチドッグパルス信号WD2が正常に受信されなかった場合に第2マイコン12をリセットするためのリセット信号RST1を当該第2マイコン12に送信する。第2マイコン12は、ウォッチドッグパルス信号WD2を第1マイコン11へ送信すると共に第1マイコン11から送信されるウォッチドッグパルスWD1を受信し、第1マイコン11からウォッチドッグパルス信号WD1が正常に受信されなかった場合に第1マイコン11をリセットするためのリセット信号RST2を当該第1マイコン11に送信する。   The first and second microcomputers 11 and 12 are configured to be able to monitor each other by a watchdog timer. The first microcomputer 11 transmits to the second microcomputer 12 a watchdog pulse signal WD1 (run pulse signal) in which two signal states of the Hi level and the Lo level are switched at a predetermined cycle, and a similar watch transmitted from the second microcomputer 12 When the dog pulse signal WD2 is received and the watchdog pulse signal WD2 is not normally received from the second microcomputer 12, a reset signal RST1 for resetting the second microcomputer 12 is transmitted to the second microcomputer 12. The second microcomputer 12 transmits the watchdog pulse signal WD2 to the first microcomputer 11, and receives the watchdog pulse WD1 transmitted from the first microcomputer 11, and the watchdog pulse signal WD1 is normally received from the first microcomputer 11 If not, the reset signal RST2 for resetting the first microcomputer 11 is sent to the first microcomputer 11.

また、第1および第2マイコン11,12は、それぞれ自マイコンの故障を事前に検出するために、起動時に、例えばROMやRAMをエラーをチェックするなどの自己診断処理を実行する。   The first and second microcomputers 11 and 12 execute self-diagnosis processing such as checking an error in the ROM or RAM, for example, at the time of start-up, in order to detect a failure of the own microcomputer in advance.

第1EEPROM21は、電源を切ってもデータを保持する不揮発性メモリであり、第1マイコン11により読み書きが可能に構成される。第2EEPROM22は、第1EEPROM21と同様に、電源を切ってもデータを保存する不揮発性メモリであり、第2マイコン12により読み書きが可能に構成される。第1および第2EEPROM21,22には、それぞれ第1および第2マイコン11,12の状態を記憶するための2ビットの状態記憶領域が設けられている。   The first EEPROM 21 is a non-volatile memory that holds data even after the power is turned off, and is configured to be readable and writable by the first microcomputer 11. Similar to the first EEPROM 21, the second EEPROM 22 is a non-volatile memory that stores data even when the power is turned off, and can be read and written by the second microcomputer 12. Each of the first and second EEPROMs 21 and 22 is provided with a 2-bit state storage area for storing the states of the first and second microcomputers 11 and 12, respectively.

監視用IC31は、電源電圧を監視すると共に第2マイコン12を介して第1および第2マイコン11,12をそれぞれリセットするためのICである。監視用IC31は、電源電圧の低下を検知すると、第2マイコン12にリセット信号RST3を送信する。リセット信号RST3を受信した第2マイコン12は、リセット信号RST2を第1マイコン11に送信すると共に自身をリセットする。   The monitoring IC 31 is an IC for monitoring the power supply voltage and resetting the first and second microcomputers 11 and 12 via the second microcomputer 12. When the monitoring IC 31 detects a drop in the power supply voltage, the monitoring IC 31 transmits a reset signal RST3 to the second microcomputer 12. The second microcomputer 12 receiving the reset signal RST3 transmits the reset signal RST2 to the first microcomputer 11 and resets itself.

次に、こうして構成された実施例の監視システム10の動作について説明する。図2は、第1および第2マイコン11,12によりそれぞれ実行される主制御ルーチンの一例を示すフローチャートであり、図3は、第1および第2マイコン11,12によりそれぞれ実行される監視処理ルーチンの一例を示すフローチャートである。これらのルーチンは、システムが起動されたときに実行される。まず、主制御ルーチンについて説明し、その後、監視処理ルーチンについて説明する。第1および第2マイコン11,12は何れも同様の処理を実行するため、以下、第1マイコン11の処理を例にとって両者の処理の内容について説明する。   Next, the operation of the monitoring system 10 of the embodiment thus configured will be described. FIG. 2 is a flowchart showing an example of the main control routine executed by the first and second microcomputers 11 and 12, and FIG. 3 is a monitoring processing routine executed by the first and second microcomputers 11 and 12, respectively. It is a flowchart which shows an example. These routines are executed when the system is started. First, the main control routine will be described, and then the monitoring process routine will be described. Since both the first and second microcomputers 11 and 12 execute the same processing, the contents of the processing of both will be described below by taking the processing of the first microcomputer 11 as an example.

主制御ルーチンでは、第1マイコン11のCPUは、まず、第1EEPROM21の状態記憶領域から値を読み出し(S100)、読み出し値が前回にシステムを正常に終了したことを示す値11であるかを判定する(S110)。読み出し値が値11であると判定すると、第1EEPROM21にシステムが正常起動して作動中であることを示す値00を書き込む(S120)。一方、読み出し値が値11でないと判定すると、前回システムが正常に終了しなかったと判断し、例えば、一部の機能を制限するセーフモードを実行するなど、前回異常終了時の処理を実行する(S130)。なお、前回異常終了時の処理を実行しても、前回と同じ異常が発生した場合には、システムを直ちに停止し、以降、起動しないものとしてもよい。次に、ROMおよびRAMのエラーチェック等の自己診断処理を実行し(S140)、自己診断の結果が正常であると判定すると(S150の「YES」)、上位マイコンから終了コマンド(例えば、イグニッションオフ信号)を受信したか否かを判定する(S160)。終了コマンドを受信していないと判定すると、S160に戻り、終了コマンドを受信したと判定すると、第1EEPROM21の状態記憶領域に上述した値11を書き込むと共に(S170)、システムを終了するシステム終了処理を実行して(S180)、主制御ルーチンを終了する。一方、自己診断の結果が異常であると判定すると(S150の「NO」)、第2マイコン12へのウォッチドッグパルス信号WD1の送信を停止すると共に(S190)、第1EEPROM21の状態記憶領域に値10を書き込む(S200)。そして、第2マイコン12からのリセット信号RST2の受信を待ってリセットを行なって(S210)、主制御ルーチンを終了する。   In the main control routine, the CPU of the first microcomputer 11 first reads a value from the state storage area of the first EEPROM 21 (S100), and determines whether the read value is the value 11 indicating that the system was terminated normally at the previous time. (S110). If it is determined that the read-out value is 11, the value 00 indicating that the system is normally activated and operating is written in the first EEPROM 21 (S120). On the other hand, when it is determined that the read value is not the value 11, it is determined that the system did not end normally last time, and the process at the previous abnormal end is executed, for example, a safe mode to limit some functions (S130) ). Note that even if the processing at the time of the previous abnormal termination is performed, if the same abnormality as the previous occurrence occurs, the system may be immediately stopped, and thereafter the system may not be started. Next, self-diagnosis processing such as error check of ROM and RAM is executed (S140), and if it is judged that the result of self-diagnosis is normal ("YES" in S150), the end command (for example, ignition off) It is determined whether a signal is received (S160). If it is determined that the end command has not been received, the process returns to S160, and if it is determined that the end command has been received, the value 11 described above is written in the state storage area of the first EEPROM 21 (S170), and the system end processing for ending the system is performed. Execution is made (S180), and the main control routine is ended. On the other hand, when it is determined that the result of the self-diagnosis is abnormal ("NO" in S150), the transmission of the watchdog pulse signal WD1 to the second microcomputer 12 is stopped (S190) and the value is stored in the state storage area of the first EEPROM 21. Write 10 (S200). Then, after receiving the reset signal RST2 from the second microcomputer 12, the reset is performed (S210), and the main control routine is ended.

監視処理ルーチンでは、第1マイコン11のCPUは、まず、相手マイコンである第2マイコン21からウォッチドッグパルス信号WD2(ランパルス信号)を受信するウォッチドッグパルス受信処理を行ない(S300)、ウォッチドッグパルス信号WD2を正常に受信したか否かを判定する(S310)。ウォッチドッグパルス信号WD2を正常に受信したと判定すると、上述した終了コマンドを受信したか否かを判定する(S320)。終了コマンドを受信していないと判定すると、S300に戻り、終了コマンドを受信したと判定すると、監視処理ルーチンを終了する。一方、S310でウォッチドッグパルス信号WD2を正常に受信していないと判定すると、第1EEPROM21に値01を書き込むと共に(S330)、相手マイコンである第2マイコン12にリセット信号RST1を送信して(S340)、S320に進む。   In the monitoring processing routine, the CPU of the first microcomputer 11 first performs watchdog pulse reception processing for receiving the watchdog pulse signal WD2 (run pulse signal) from the second microcomputer 21 which is the other microcomputer (S300), and executes the watchdog pulse. It is determined whether the signal WD2 has been received normally (S310). If it is determined that the watchdog pulse signal WD2 has been received normally, it is determined whether the end command described above has been received (S320). If it is determined that the end command has not been received, the process returns to S300, and if it is determined that the end command has been received, the monitoring processing routine is ended. On the other hand, when it is determined in S310 that the watchdog pulse signal WD2 is not received normally, the value 01 is written to the first EEPROM 21 (S330), and the reset signal RST1 is transmitted to the second microcomputer 12 as the other microcomputer (S340). ), Go to S320.

ここで、例えば、主制御ルーチンのS150で自己診断による自マイコンの異常を判定する一方、監視処理ルーチンのS310で相手マイコンからのウォッチドッグパルス信号を正常に受信しなかったと判定した場合など、複数の事象が重なった場合、予め定められた優先順位に従って第1EEPROM21に書き込む値を決定する。本実施例では、優先順位が高い事象から順に、自マイコンの自己診断の結果が異常であった場合(値10),相手マイコンからのウォッチドッグパルス信号を正常に受信しなかった場合(値01),正常終了する場合(値11)とした。   Here, for example, while it is determined in S150 of the main control routine that the self-diagnosis is abnormal in the own microcomputer, it is determined in S310 of the monitoring processing routine that the watchdog pulse signal from the other microcomputer is not properly received. If the events of (4) overlap, the value to be written to the first EEPROM 21 is determined according to a predetermined priority. In this embodiment, when the result of the self-diagnosis of its own microcomputer is abnormal (value 10) in order from the event with the highest priority, the watchdog pulse signal from the other microcomputer is not received normally (value 01) ), When normal termination (value 11).

図4は、第1および第2EEPROM21,22の値と第1および第2マイコン11,12の状態との組み合わせの一例を示す説明図である。図示するように、第1および第2マイコン11,12は、通常起動(正常起動)した際には、それぞれ第1および第2EEPROM21,22に値00を書き込み、通常終了(正常終了)する際には、それぞれ第1および第2EEPROM21,22に値11を書き込む。ここで、第1および第2マイコン11,12への電源供給が遮断される瞬断が発生すると、第1および第2マイコン11,12は、それぞれ第1および第2EEPROM21,22に値11を書き込むことなく強制終了する。このため、次に第1および第2マイコン11,12が起動したときに第1および第2EEPROM21,22の読み出し値が値00であれば、瞬断が発生したと判断することができる。また、第1および第2マイコン11,12のうち一方のマイコンが暴走等し、一方のマイコンから他方のマイコンへ送信されるウォッチドッグパルス信号が停止すると、他方のマイコンは、対応するEEPROMに値01を書き込むと共に一方のマイコンへリセット信号を出力して当該一方のマイコンを強制的にリセットさせる。一方のマイコンは通常終了しなかったため、一方のマイコンの再起動時における対応するEEPROMの読み出し値が値00であり、他方のマイコンの対応するEEPROMの書き込み値は値01であるから、これらの値を確認することで、一方のマイコンのウォッチドッグパルス信号に異常が発生したと判断することができる。更に、第1および第2マイコン11,12は、起動時に自己診断処理を実行し、一方のマイコンに自己診断エラーが発生すると、一方のマイコンは、他方のマイコンへのウォッチドッグパルス信号の送信を停止すると共に対応するEEPROMに値10を書き込む。他方のマイコンは、ウォッチドッグパルス信号が正常に受信できなかったと判定し、対応するEEPROMに値01を書き込むと共に一方のマイコンに対してリセット信号を送信して当該一方のマイコンを強制的にリセットさせる。一方のマイコンは通常終了しなかったため、一方のマイコンの再起動時における対応するEEPROMの読み出し値が値10であり、他方のマイコンに対応するEEPROMの書き込み値は値01であるから、これらの値を確認することで、一方のマイコンに自己診断エラーが発生したと判断することができる。このように、第1および第2EEPROM21,22に書き込まれた値を確認することで、第1および第2マイコン11,12の異常の要因を特定することが可能となる。   FIG. 4 is an explanatory view showing an example of a combination of the values of the first and second EEPROMs 21 and 22 and the states of the first and second microcomputers 11 and 12. As shown, the first and second microcomputers 11 and 12 write the value 00 to the first and second EEPROMs 21 and 22 when normally activated (normally activated), respectively, and normally terminated (normally terminated). Writes the value 11 to the first and second EEPROMs 21 and 22, respectively. Here, when an instantaneous interruption occurs in which the power supply to the first and second microcomputers 11 and 12 is cut off, the first and second microcomputers 11 and 12 write the value 11 to the first and second EEPROMs 21 and 22, respectively. Force quit without Therefore, when the read values of the first and second EEPROMs 21 and 22 have the value 00 when the first and second microcomputers 11 and 12 are activated next, it can be determined that a momentary interruption has occurred. Also, when one of the first and second microcomputers 11, 12 runs away, etc., and the watchdog pulse signal transmitted from one microcomputer to the other microcomputer stops, the other microcomputer receives the value in the corresponding EEPROM. While writing 01, a reset signal is output to one of the microcomputers to forcibly reset the one of the microcomputers. Since one microcomputer did not normally end, the read value of the corresponding EEPROM at the time of restart of one microcomputer is the value 00, and the write value of the corresponding EEPROM of the other microcomputer is the value 01. By confirming that, it can be determined that an abnormality has occurred in the watchdog pulse signal of one of the microcomputers. Furthermore, the first and second microcomputers 11 and 12 execute self-diagnosis processing at startup, and when a self-diagnosis error occurs in one of the microcomputers, one of the microcomputers transmits a watchdog pulse signal to the other microcomputer. Stop and write the value 10 to the corresponding EEPROM. The other microcomputer determines that the watchdog pulse signal can not be received normally, writes the value 01 to the corresponding EEPROM, and transmits a reset signal to one of the microcomputers to forcibly reset the one of the microcomputers. . Since one microcomputer did not normally end, the read value of the corresponding EEPROM at the time of restart of one microcomputer is the value 10, and the write value of the EEPROM corresponding to the other microcomputer is the value 01, so these values It is possible to determine that a self-diagnosis error has occurred in one of the microcomputers by confirming. Thus, it becomes possible to identify the cause of the abnormality of the first and second microcomputers 11 and 12 by confirming the values written in the first and second EEPROMs 21 and 22.

以上説明した本実施例の監視システム10では、第1および第2マイコン11,12の各CPUは、それぞれ第1および第2EEPROM21,22に書き込む値として、起動した場合には値00を書き込み、正常終了する場合には値11を書き込み、相手マイコンの異常を判定した場合には値01を書き込み、自己診断により自マイコンの異常を判定した場合には値10を書き込む。すなわち、第1および第2マイコン11,12の状態に応じて各EEPROM21,22にそれぞれ異なる値を書き込む。これにより、各EEPROM21,22に書き込まれた値を確認することで、第1および第2マイコン11,12のいずれかが異常終了した際にその異常の要因を特定することが可能となる。   In the monitoring system 10 of the present embodiment described above, the CPUs of the first and second microcomputers 11 and 12 write the value 00 when activated as the values to be written to the first and second EEPROMs 21 and 22, respectively. When the process is ended, the value 11 is written, when the abnormality of the other microcomputer is determined, the value 01 is written, and when the abnormality of the own microcomputer is determined by self-diagnosis, the value 10 is written. That is, different values are written in the EEPROMs 21 and 22 in accordance with the states of the first and second microcomputers 11 and 12, respectively. As a result, by confirming the values written in the EEPROMs 21 and 22, when one of the first and second microcomputers 11 and 12 abnormally ends, it is possible to identify the cause of the abnormality.

実施例の主要な要素と課題を解決するための手段の欄に記載した発明の主要な要素との対応関係について説明する。実施例では、第1マイコン11が「第1制御装置」に相当し、第2マイコン12が「第2制御装置」に相当し、第1EEPROM21が「第1不揮発性メモリ」に相当し、第2EEPROM21が「第2不揮発性メモリ」に相当する。   The correspondence between the main elements of the embodiment and the main elements of the invention described in the section of "Means for Solving the Problems" will be described. In the embodiment, the first microcomputer 11 corresponds to a "first control device", the second microcomputer 12 corresponds to a "second control device", and the first EEPROM 21 corresponds to a "first non-volatile memory". Corresponds to the “second non-volatile memory”.

なお、実施例の主要な要素と課題を解決するための手段の欄に記載した発明の主要な要素との対応関係は、実施例が課題を解決するための手段の欄に記載した発明を実施するための形態を具体的に説明するための一例であることから、課題を解決するための手段の欄に記載した発明の要素を限定するものではない。即ち、課題を解決するための手段の欄に記載した発明についての解釈はその欄の記載に基づいて行なわれるべきものであり、実施例は課題を解決するための手段の欄に記載した発明の具体的な一例に過ぎないものである。   In addition, the correspondence of the main elements of the embodiment and the main elements of the invention described in the section of the means for solving the problem implements the invention described in the column of the means for solving the problem in the example. The present invention is not limited to the elements of the invention described in the section of “Means for Solving the Problems”, as it is an example for specifically explaining the mode for carrying out the invention. That is, the interpretation of the invention described in the section of the means for solving the problem should be made based on the description of the section, and the embodiment is an embodiment of the invention described in the section of the means for solving the problem. It is only a specific example.

以上、本発明を実施するための形態について実施例を用いて説明したが、本発明はこうした実施例に何等限定されるものではなく、本発明の要旨を逸脱しない範囲内において、種々なる形態で実施し得ることは勿論である。   As mentioned above, although the form for implementing this invention was demonstrated using the Example, this invention is not limited at all by these Examples, In the range which does not deviate from the summary of this invention, it becomes various forms Of course it can be implemented.

本発明は、監視システムの製造産業に利用可能である。   The present invention is applicable to the manufacturing industry of surveillance systems.

10 監視システム、11 第1マイクロコンピュータ(第1マイコン)、12 第2マイクロコンピュータ(第2マイコン)、21 第1EEPROM、22 第2EEPROM、31 監視用IC。   DESCRIPTION OF SYMBOLS 10 monitoring system, 11 1st microcomputer (1st microcomputer), 12 2nd microcomputer (2nd microcomputer), 21 1st EEPROM, 22 2nd EEPROM, 31 IC for monitoring.

Claims (1)

相互に異常の監視とリセット信号の出力とが可能であると共に自己診断が可能な第1および第2制御装置と、前記第1制御装置のCPUがアクセス可能な第1不揮発性メモリと、前記第2制御装置のCPUがアクセス可能な第2不揮発性メモリと、を備える監視システムであって、
前記第1および第2制御装置の各CPUは、それぞれ前記第1および第2不揮発性メモリに書き込む値として、起動した場合と正常終了する場合と相手の異常を判定した場合と自己の異常を判定した場合とでそれぞれ異なる値を書き込む、
監視システム。 First and second control devices capable of mutually monitoring an abnormality and outputting a reset signal and capable of self-diagnosis, a first non-volatile memory accessible by a CPU of the first control device, and (2) A monitoring system comprising: a second non-volatile memory accessible by a CPU of a control unit;
The respective CPUs of the first and second control devices respectively judge as a value to be written to the first and second non-volatile memories when activated, when normally terminated, when judging an abnormality of the other party, and when judging as an abnormality of the other. Write different values for each case,
Monitoring system.
JP2017216979A 2017-11-10 2017-11-10 Monitoring system Expired - Fee Related JP6946954B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017216979A JP6946954B2 (en) 2017-11-10 2017-11-10 Monitoring system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017216979A JP6946954B2 (en) 2017-11-10 2017-11-10 Monitoring system

Publications (2)

Publication Number Publication Date
JP2019087177A true JP2019087177A (en) 2019-06-06
JP6946954B2 JP6946954B2 (en) 2021-10-13

Family

ID=66764248

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017216979A Expired - Fee Related JP6946954B2 (en) 2017-11-10 2017-11-10 Monitoring system

Country Status (1)

Country Link
JP (1) JP6946954B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6921363B1 (en) * 2020-11-06 2021-08-18 三菱電機株式会社 Engineering tools and programmable logic controllers
JP2023105615A (en) * 2022-01-19 2023-07-31 株式会社デンソー electronic controller

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008186173A (en) * 2007-01-29 2008-08-14 Toyota Motor Corp Fault monitoring system
JP2010159698A (en) * 2009-01-08 2010-07-22 Toyota Motor Corp Abnormality diagnostic system of electronic control device

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008186173A (en) * 2007-01-29 2008-08-14 Toyota Motor Corp Fault monitoring system
JP2010159698A (en) * 2009-01-08 2010-07-22 Toyota Motor Corp Abnormality diagnostic system of electronic control device

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6921363B1 (en) * 2020-11-06 2021-08-18 三菱電機株式会社 Engineering tools and programmable logic controllers
WO2022097274A1 (en) * 2020-11-06 2022-05-12 三菱電機株式会社 Engineering tool and programmable logic controller
JP2023105615A (en) * 2022-01-19 2023-07-31 株式会社デンソー electronic controller
JP7797890B2 (en) 2022-01-19 2026-01-14 株式会社デンソー Electronic control unit

Also Published As

Publication number Publication date
JP6946954B2 (en) 2021-10-13

Similar Documents

Publication Publication Date Title
US9081699B2 (en) Relay device
JP6754743B2 (en) In-vehicle electronic control unit and its abnormal processing method
WO2014091666A1 (en) Onboard electronic control device
US20180231948A1 (en) Controller and control program updating method
US10384625B2 (en) Communication device and non-transitory recording medium
JP2008254484A (en) In-vehicle communication system
JP2019087177A (en) Monitoring system
US10296322B2 (en) Controller and control program updating method
JP4254577B2 (en) Control device
JP3491358B2 (en) Power cut-off detection device
JP5960632B2 (en) Electronic control device for vehicle
JP2018134964A (en) Electronic control unit for automobile
JP5286814B2 (en) Semiconductor device, portable electronic device, self-diagnosis method, self-diagnosis program
JP2011123569A (en) Processing equipment
US10514970B2 (en) Method of ensuring operation of calculator
JP5236376B2 (en) Network system rewriting device
JP6624005B2 (en) Mutual monitoring system
WO2015076012A1 (en) Electronic control device and software rewriting system
US11726853B2 (en) Electronic control device
JP6887277B2 (en) Electronic control device for automobiles
JP2013058159A (en) Electronic control device
JP2007038816A (en) Network system and management method thereof
JP2007172096A (en) Information processing apparatus and activation control method thereof
JP2019191942A (en) Control device and function inspection method
JP2007316800A (en) In-vehicle program rewrite control device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200226

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210108

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210126

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210225

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210817

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210830

R151 Written notification of patent or utility model registration

Ref document number: 6946954

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

LAPS Cancellation because of no payment of annual fees