JP2004265322A - Abnormality monitoring device for microcomputer - Google Patents

Abnormality monitoring device for microcomputer Download PDF

Info

Publication number
JP2004265322A
JP2004265322A JP2003057248A JP2003057248A JP2004265322A JP 2004265322 A JP2004265322 A JP 2004265322A JP 2003057248 A JP2003057248 A JP 2003057248A JP 2003057248 A JP2003057248 A JP 2003057248A JP 2004265322 A JP2004265322 A JP 2004265322A
Authority
JP
Japan
Prior art keywords
microcomputer
abnormality
unit
signal
reset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003057248A
Other languages
Japanese (ja)
Inventor
Tokushi Yamamoto
徳士 山本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2003057248A priority Critical patent/JP2004265322A/en
Publication of JP2004265322A publication Critical patent/JP2004265322A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Air Bags (AREA)
  • Debugging And Monitoring (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a microcomputer abnormality monitoring device for monitoring not only the unexpected abnormal operation of a microcomputer but also repeated abnormal operation. <P>SOLUTION: The microcomputer abnormality monitoring device 25 comprises an operation monitoring part 30 for monitoring the operation state of the microcomputer 20 for outputting control signals to apparatuses 13L, 13R, an abnormality frequency counting part 33 for counting the frequency of an abnormality in the microcomputer 20 on the basis of an output from the monitoring part 30, an abnormality frequency determination part 35 for comparing the counted frequency with a previously set reference frequency, and a reset holding signal generation part 40 for holding a reset signal of the microcomputer 20 when the abnormality frequency determination part 35 determines that the counted abnormality frequency is a reference frequency and higher. <P>COPYRIGHT: (C)2004,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は、マイコンの異常動作を監視する異常監視装置に関する。
【0002】
【従来の技術】
車両や家庭電化製品において内蔵機器をマイコンで制御している。例えば車両のエアーバッグシステムでは、衝突をGセンサで検知し、それに基づきマイコンが駆動装置を動作させ、エアーバッグを展開させる。
【0003】
CPUのプログラムの不備等によりマイコンが異常動作(暴走)することがある。異常動作が発生すると、所定時に内蔵機器が動作しなかったり、所定時以外の時に動作する。エアーバッグ装置の場合、車両の運転中に突然エアーバッグが展開したり、衝突時にエアーバッグが展開しないと、極めて危険である。
【0004】
こうした点を考慮して、従来のCPUの動作監視方法(特許文献1参照)では、図4に示すように、CPU100の動作を監視する動作監視回路102及びCPU100をリセットするリセット回路104を設けている。CPU100は正常動作時には、動作監視回路102へ定期的に正常動作信号を出力する。
【0005】
CPU100に異常が発生すると正常動作信号が発生されず、動作監視回路102はリセット回路104に要求信号を出力する。これに基づき、リセット回路104はCPU100にリセット信号を出力し、リセットする。
【0006】
【特許文献1】
特開平9−212388号
【0007】
【発明が解決しようとする課題】
この動作監視方法は、CPU100の異常動作を確実に監視できるとは言い難い。動作監視回路102がCPU100の異常を判定し、リセット回路104へ異常判定信号を送信し、リセット回路104がCPU100へリセット信号を送る。しかし、実際にCPU100がリセットを行うまでにはどうしても時間遅れが生じ、この遅れ時間の期間はCPU100が異常状態となる。
【0008】
リセットが繰り返された場合、繰返し回数分この異常状態の期間が存在するため、システムとして誤動作する可能性が増加する。エアーバッグシステムの場合、通常運転時にエアーバッグが突然展開したり、車両の衝突時にエアーバッグが展開しないおそれがある。
【0009】
本発明は上記事情に鑑みてなされたもので、繰り返し発生する反復性の異常動作に対応したマイコンの異常監視装置を提供することを目的とする。
【0010】
【課題を解決するための手段】
本願の発明者は、マイコンの異常動作がの回数(異常回数)が所定の基準回数以上発生したときに、リセット信号を保持させることを思い付いて、本発明を完成した。
【0011】
本発明によるマイコンの異常監視装置は、請求項1に記載したように機器に制御信号を出力するマイコンを監視し、異常動作の発生を監視する動作監視部と;動作監視部の出力に基づき、マイコンの異常回数を計数する異常回数計数部と;計数された異常回数を予め設定した基準回数と比較する異常回数判定部と;異常回数判定部の出力に基づき、異常回数が基準回数を超えたときマイコンへのリセット信号を保持するリセット保持信号発生部と;から成ることを特徴とする。
【0012】
この異常監視装置において、マイコンを監視する動作監視部からの出力に基づき異常回数計数部で異常回数を計数し、異常回数が基準回数を超えたと異常回数判定部が判定したとき、リセット保持信号発生部がマイコンへのリセット信号を保持する。
【0013】
請求項2の異常監視装置は、請求項1において、動作監視部は、マイコンから出力される異常を示す信号を受信したとき、又はマイコンから出力される信号が正常に受信できなかったとき、マイコン異常と判定する。請求項3の異常監視装置は、請求項1において、異常回数計数部は、動作監視部から入力された異常判定の回数を計数する。
【0014】
請求項4の異常監視装置は、請求項1において、異常回数判定部は、異常回数計数部から入力された異常回数を、設定された基準回数と比較する比較手段を含む。請求項5の異常監視装置は、請求項2、3又は4において、マイコンは車両のエアーバッグ装置を制御するエアーバッグECUのマイコンであり、機器は車両のエアーバッグ駆動装置である。
【0015】
【発明の実施の形態】
<マイコン>
本発明の異常監視装置は制御用マイコンを監視する。マイコンは演算部の他に、ウォッチドッグ(WD)信号の発生部等を有し、車両や家電製品に内蔵された機器を制御する。例えば、車両のエアーバッグ駆動装置がこれに該当する。
<異常監視装置>
本発明の異常監視装置は動作監視部、異常回数計数部、異常回数判定部及びリセット発生部から成る。
▲1▼動作監視部
動作監視部はマイコンにおける異常動作の発生を監視するものである。マイコンからWD信号を入力される入力部と、パルスの形状を判定し異常を検出する動作判定部とから成る。マイコンから出力される異常を示す信号を受信したとき、又はマイコンから出力される信号が正常に受信できなかったとき、マイコン異常と判定する。
▲2▼異常回数計数部
異常回数計数部は、マイコンの異常回数を計数するものである。銅盛ん支部からマイコン異常信号が入力される入力部と、マイコンの異常回数をカウントするカウント部とから成る。
▲3▼異常回数判定部
異常回数判定部は、マイコンの異常回数が基準回数を超えたか否かを判定するものである。異常回数計数部からの異常回数に関する信号を入力される入力部、入力した異常回数を予め設定された基準回数と比較する比較部、及び比較結果をリセット発生部に出力する出力部から成る。
【0016】
なお、基準回数は各システム毎に、システムや回路に必要な安全設計の程度等を考慮して決める。
▲4▼リセット保持信号発生部
リセット保持信号発生部は、マイコンをリセット状態(システムが動作しない状態)で保持させるものである。異常回数判定部からの回数の比較に関する信号が入力される入力部、異常回数が基準回数よりも多いときリセット信号を生成する信号生成部、及びリセット保持信号をマイコンに出力する出力部から成る。
【0017】
【実施例】
以下、本発明が車両のエアーバッグシステムに適用された実施例につき、添付図面を参照しつつ説明する。
(構成)
図1に車両のエアーバッグシステムを示す。左シート10Lの前方に左前方エアーバッグ12L及びその駆動装置13Lが配置され、右シート10Rの前方に右前方エアーバッグ12R及びその駆動装置13Rが配置されている。車両の中央部には、Gセンサ17及びマイコン20を内蔵したECU15が配置されている。
【0018】
例えば、車両の前面がガードレール等に衝突すると、ECU15のGセンサ17が加速度の急激な変化を検知し、マイコン20からの作動信号により左前方及び右前方の駆動装置13L及び13Rが作動し、左前方及び右前方のエアーバッグ12L,12Rが展開する。
【0019】
図2にマイコン20と、その異常動作を監視する異常監視装置25を示す。マイコン20は演算部21、RAM、ROM、I/O部(不図示)、及びWD信号Pの生成部22等を有する。図3(a)に示すように、WD信号Pはマイコン20の動作が正常であるときは一定周期の信号であり、WD信号がこの周期をはずれた場合には異常と判定する。演算部21は、後述するリセット発生部40によりリセットされると初期状態に戻り、WD信号が正常復帰した場合にリセット信号を開放してシステムの動作を復帰する。
【0020】
異常監視装置25は動作監視部30、異常回数計数部33、異常回数判定部35、及びリセット発生部40から成る。動作監視部30は入力部、WD信号Pの周期信号を判定する判定部31、及び出力部を含む。異常回数計数部33は、入力部、マイコン20の異常回数を計数する計数部(カウンタ)34、及び出力部を含む。
【0021】
異常回数判定部35は、入力部、異常回数計数部33からのマイコン20の異常回数を予め設定された基準回数と比較する比較部36、及び出力部を含む。リセット保持信号発生部40は、入力部、リセット保持信号を生成する信号生成部41、及び出力部を含む。
(作用)
異常監視装置25よるマイコン20の異常動作の監視について、図2及び図3を参照しつつ説明する。イグニッションキーがオンされると、バッテリからの給電によりマイコン20が動作する。車両の衝突がGセンサ17により検知されたとき、マイコン20が駆動装置13L及び13Rを動作させ、これによりエアーバッグ12L及び12Rが展開する。
【0022】
マイコン20に異常動作が発生したとき、図3(b)に示すように、動作監視部30の異常検出は演算部21の異常発生から少し遅れる。
【0023】
マイコン20の異常動作を知らされた動作監視部30は判定部31がパルスQの周期信号の異常を判定し、異常回数計測部33は計数部34が動作監視部30からの信号を基にマイコン20の異常作動の発生回数(異常回数)をカウントする。計数結果が出力部から異常回数判定部35に出力される。
【0024】
異常回数判定部35は、入力された異常回数を、比較部36において予め設定された基準回数と比較する。比較結果が出力部からリセット保持信号発生部40に出力される。
【0025】
リセット発生部40は、異常回数判定部35から入力された異常回数が基準回数よりも少ない間は、信号生成部41がパルス状のリセット信号R1を生成する。このリセット信号R1は、WD信号が正常に復帰した場合は、リセット信号を解除してシステムを正常復帰させ、マイコン20による駆動装置13L及び13Rの制御が回復する。
【0026】
なお、マイコン20の異常発生からリセット信号R1の発生までの時間Δtの間、マイコン20は異常動作することになる。以下、マイコン20の異常動作が発生しても、異常回数が基準回数に達するまでは、上述したシーケンスが繰り返される。
【0027】
異常回数が基準回数を超えたと異常回数判定部35で判定されたときは、リセット発生部40の信号生成部41がリセット保持信号R2を生成する。リセット保持信号R2では、WD信号が正常に復帰してもリセット状態がホールドされる。
この場合、マイコン20による駆動装置13L,13Rの制御は不可能となるので、警告ランプ等で乗員にエアーバッグシステム(マイコン20)の故障を知らせる。
(効果)
この実施例によれば、マイコン20の反復性の異常動作が確実に監視される。詳述すると、異常監視装置25は、マイコン20に突発的な異常動作が発生しても、リセット発生部40からリセット信号R1を出力するのみである。そして、マイコン20の正常復帰後はリセット信号を解除してシステムを復帰させる。即ち、マイコン20が異常作動する時間を可能な限り短く抑えるため、マイコン20の異常を極力早く検出してリセットする。
【0028】
一方、マイコン異常が繰り返し発生する場合、リセットを保持してマイコン20の動作を停止する。反復性の異常動作が発生したとき、異常監視装置25はシステムとして重大な異常動作(故障)が発生したと判断する。乗員の保護上、このような状態を放置しておくことは許されない。よって、リセット発生部40からリセット信号R2を出力してマイコン20をリセットする。
【0029】
ECU21を含むエアーバッグシステムの故障を知った乗員は、必要な対策(修理、部品の交換等)を施すことができる。
【0030】
なお、比較例として、マイコン異常の継続時間に基づき、マイコンをリセットすることも考えられる。パソコン異常の継続時間をタイマ等で計時し、継続時間が基準時間を超えたと異常時間判定部で判定されたとき、リセット部でマイコンをリセットする。しかし、これはマイコン異常時間の継続期間によってリセットオン/オフを変更する方法であり、システムとして不安定である。
【0031】
【発明の効果】
以上述べてきたように、本発明によるマイコンの異常監視装置によれば、マイコンの異常回数が基準回数を超えたときはリセット信号が保持され、マイコンが動作を停止し、システムの動作が停止する。よって、マイコンの異常動作による機器の不適正な作動が防止される。
【0032】
一方、異常回数が基準回数よりも少ない間はマイコンがリセットされた後、正常復帰した時点でリセット信号が解除され、システムの動作は復帰する。
【0033】
請求項2の異常監視装置によれば、動作監視部の判定手段がマイコンの異常動作を確実に検出することができる。請求項3の異常監視装置によれば、異常回数計数部の計数手段がマイコンの異常回数を正確に計数することができる。
【0034】
請求項4の異常監視装置によれば、異常回数判定部の比較手段が異常回数を基準回数と正確に比較することができる。請求項5の異常監視装置によれば、車両のエアーバッグシステムにおいてマイコンの異常動作が確実に監視される。
【図面の簡単な説明】
【図1】本発明の実施例を示す全体平面図である。
【図2】実施例の異常監視装置を示す説明図である。
【図3】実施例のマイコン、動作監視部及びリセット発生部における信号を示す説明図である。
【図4】従来例の説明図である。
【符号の説明】
10L、10R:シート 12L,12R:エアーバッグ
13L,13R:駆動装置 15:ECU
17:Gセンサ 20:マイコン
25:異常動作監視装置 30:動作監視部
35:異常回数判定部 40:リセット発生部[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to an abnormality monitoring device that monitors an abnormal operation of a microcomputer.
[0002]
[Prior art]
Microcomputers control built-in devices in vehicles and home appliances. For example, in an air bag system of a vehicle, a collision is detected by a G sensor, and a microcomputer operates a driving device based on the collision to deploy the air bag.
[0003]
The microcomputer may operate abnormally (runaway) due to a defect in the CPU program or the like. When an abnormal operation occurs, the built-in device does not operate at a predetermined time or operates at a time other than the predetermined time. In the case of an airbag device, it is extremely dangerous if the airbag is suddenly expanded during driving of the vehicle or if the airbag is not expanded at the time of collision.
[0004]
In consideration of these points, the conventional CPU operation monitoring method (see Patent Document 1) includes an operation monitoring circuit 102 for monitoring the operation of the CPU 100 and a reset circuit 104 for resetting the CPU 100, as shown in FIG. I have. During a normal operation, the CPU 100 periodically outputs a normal operation signal to the operation monitoring circuit 102.
[0005]
When an abnormality occurs in the CPU 100, a normal operation signal is not generated, and the operation monitoring circuit 102 outputs a request signal to the reset circuit 104. Based on this, the reset circuit 104 outputs a reset signal to the CPU 100 to reset.
[0006]
[Patent Document 1]
JP-A-9-212388
[Problems to be solved by the invention]
It is difficult to say that this operation monitoring method can reliably monitor an abnormal operation of the CPU 100. The operation monitoring circuit 102 determines an abnormality of the CPU 100, transmits an abnormality determination signal to the reset circuit 104, and the reset circuit 104 transmits a reset signal to the CPU 100. However, a time delay inevitably occurs until the CPU 100 actually performs the reset, and during this delay time, the CPU 100 is in an abnormal state.
[0008]
When the reset is repeated, there is a period of this abnormal state for the number of repetitions, so that the possibility that the system malfunctions increases. In the case of an airbag system, the airbag may suddenly deploy during normal operation, or the airbag may not deploy when a vehicle collides.
[0009]
The present invention has been made in view of the above circumstances, and an object of the present invention is to provide a microcomputer abnormality monitoring device that can cope with repetitive abnormal operations that occur repeatedly.
[0010]
[Means for Solving the Problems]
The inventor of the present application completed the present invention by thinking that the reset signal is held when the number of abnormal operations of the microcomputer (the number of abnormal operations) occurs more than a predetermined reference number.
[0011]
An abnormality monitoring device for a microcomputer according to the present invention monitors a microcomputer that outputs a control signal to a device as described in claim 1, and monitors an occurrence of an abnormal operation; based on an output of the operation monitoring unit, An abnormal number counting unit for counting the number of abnormalities of the microcomputer; an abnormal number determining unit for comparing the counted number of abnormalities with a preset reference number; an abnormal number exceeding the standard number based on the output of the abnormal number determining unit And a reset holding signal generating section for holding a reset signal to the microcomputer.
[0012]
In this abnormality monitoring device, the number of abnormalities is counted by the abnormal number counting unit based on the output from the operation monitoring unit that monitors the microcomputer, and when the abnormal number determination unit determines that the abnormal number exceeds the reference number, a reset holding signal is generated. The unit holds a reset signal to the microcomputer.
[0013]
According to a second aspect of the present invention, in the first aspect of the present invention, the operation monitoring unit includes a microcomputer which receives a signal indicating an abnormality output from the microcomputer, or when the signal output from the microcomputer cannot be received normally. Judge as abnormal. According to a third aspect of the present invention, in the abnormality monitoring device according to the first aspect, the abnormality number counting unit counts the number of abnormality determinations input from the operation monitoring unit.
[0014]
According to a fourth aspect of the present invention, in the first aspect, the abnormality number determination unit includes a comparison unit configured to compare the abnormality number input from the abnormality number counting unit with a set reference number. According to a fifth aspect of the present invention, in the second aspect, the microcomputer is a microcomputer of an airbag ECU that controls an airbag device of the vehicle, and the device is an airbag driving device of the vehicle.
[0015]
BEST MODE FOR CARRYING OUT THE INVENTION
<Microcomputer>
The abnormality monitoring device of the present invention monitors a control microcomputer. The microcomputer has a watchdog (WD) signal generation unit and the like in addition to the calculation unit, and controls devices built in the vehicle or the home electric appliance. For example, an airbag driving device of a vehicle corresponds to this.
<Abnormality monitoring device>
The abnormality monitoring device according to the present invention includes an operation monitoring unit, an abnormality number counting unit, an abnormality number determination unit, and a reset generation unit.
(1) Operation monitoring unit The operation monitoring unit monitors the occurrence of abnormal operation in the microcomputer. It comprises an input unit for receiving a WD signal from a microcomputer, and an operation determining unit for determining a pulse shape and detecting an abnormality. When a signal indicating an abnormality output from the microcomputer is received, or when a signal output from the microcomputer cannot be received normally, it is determined that the microcomputer is abnormal.
(2) Abnormal frequency counting section The abnormal frequency counting section is for counting the number of abnormal times of the microcomputer. The microcomputer comprises an input unit to which a microcomputer abnormality signal is input from a copper prosperity branch, and a counting unit for counting the number of abnormalities of the microcomputer.
{Circle around (3)} Number of abnormalities determination unit The number of abnormalities determination unit determines whether the number of abnormalities of the microcomputer exceeds a reference number. It comprises an input section for inputting a signal relating to the number of abnormalities from the abnormal number counting section, a comparing section for comparing the inputted number of abnormalities with a preset reference number, and an output section for outputting a comparison result to the reset generating section.
[0016]
Note that the reference number is determined for each system in consideration of the degree of safety design required for the system or circuit.
{Circle around (4)} Reset hold signal generator The reset hold signal generator holds the microcomputer in a reset state (a state in which the system does not operate). The input unit receives a signal related to the comparison of the number of times from the abnormality number determination unit, a signal generation unit that generates a reset signal when the number of abnormalities is greater than the reference number, and an output unit that outputs a reset holding signal to the microcomputer.
[0017]
【Example】
Hereinafter, an embodiment in which the present invention is applied to an airbag system of a vehicle will be described with reference to the accompanying drawings.
(Constitution)
FIG. 1 shows an airbag system of a vehicle. A front left airbag 12L and its driving device 13L are arranged in front of the left seat 10L, and a front right airbag 12R and its driving device 13R are arranged in front of the right seat 10R. An ECU 15 containing a G sensor 17 and a microcomputer 20 is disposed in the center of the vehicle.
[0018]
For example, when the front of the vehicle collides with a guardrail or the like, the G sensor 17 of the ECU 15 detects a rapid change in acceleration, and the left front and right front driving devices 13L and 13R operate according to an operation signal from the microcomputer 20, and The front and right front airbags 12L and 12R are deployed.
[0019]
FIG. 2 shows the microcomputer 20 and an abnormality monitoring device 25 for monitoring its abnormal operation. The microcomputer 20 includes an arithmetic unit 21, a RAM, a ROM, an I / O unit (not shown), a WD signal P generation unit 22, and the like. As shown in FIG. 3A, the WD signal P is a signal having a fixed cycle when the operation of the microcomputer 20 is normal, and it is determined that the WD signal is abnormal when the WD signal is out of this cycle. The arithmetic unit 21 returns to the initial state when reset by a reset generation unit 40 described later, and releases the reset signal when the WD signal returns to normal, thereby returning the operation of the system.
[0020]
The abnormality monitoring device 25 includes an operation monitoring unit 30, an abnormality number counting unit 33, an abnormality number determination unit 35, and a reset generation unit 40. The operation monitoring unit 30 includes an input unit, a determination unit 31 that determines a periodic signal of the WD signal P, and an output unit. The abnormality number counting unit 33 includes an input unit, a counting unit (counter) 34 that counts the number of abnormalities of the microcomputer 20, and an output unit.
[0021]
The abnormality number determination unit 35 includes an input unit, a comparison unit 36 that compares the abnormality number of the microcomputer 20 from the abnormality number counting unit 33 with a preset reference number, and an output unit. The reset holding signal generating section 40 includes an input section, a signal generating section 41 for generating a reset holding signal, and an output section.
(Action)
The monitoring of the abnormal operation of the microcomputer 20 by the abnormality monitoring device 25 will be described with reference to FIGS. When the ignition key is turned on, the microcomputer 20 operates by power supply from the battery. When the collision of the vehicle is detected by the G sensor 17, the microcomputer 20 operates the driving devices 13L and 13R, whereby the airbags 12L and 12R are deployed.
[0022]
When an abnormal operation occurs in the microcomputer 20, the abnormality detection of the operation monitoring unit 30 is slightly delayed from the occurrence of the abnormality of the arithmetic unit 21, as shown in FIG.
[0023]
When the operation monitoring unit 30 is notified of the abnormal operation of the microcomputer 20, the determination unit 31 determines the abnormality of the periodic signal of the pulse Q. The abnormality number measurement unit 33 determines that the counting unit 34 uses the microcomputer based on the signal from the operation monitoring unit 30. The number of occurrences (abnormal times) of the 20 abnormal operations is counted. The counting result is output from the output unit to the abnormal number determination unit 35.
[0024]
The number-of-abnormalities determination unit 35 compares the input number of abnormalities with a reference number preset in the comparing unit 36. The comparison result is output from the output unit to the reset holding signal generation unit 40.
[0025]
In the reset generation unit 40, the signal generation unit 41 generates the pulse-shaped reset signal R1 while the number of abnormalities input from the abnormal number of times determination unit 35 is smaller than the reference number. When the WD signal returns to normal, the reset signal R1 releases the reset signal to return the system to the normal state, and the control of the driving devices 13L and 13R by the microcomputer 20 is restored.
[0026]
Note that the microcomputer 20 operates abnormally during the time Δt from the occurrence of the abnormality of the microcomputer 20 to the generation of the reset signal R1. Hereinafter, even if an abnormal operation of the microcomputer 20 occurs, the above-described sequence is repeated until the number of abnormalities reaches the reference number.
[0027]
When the abnormality number determination unit 35 determines that the abnormality number exceeds the reference number, the signal generation unit 41 of the reset generation unit 40 generates the reset holding signal R2. With the reset holding signal R2, the reset state is held even if the WD signal returns to normal.
In this case, the control of the driving devices 13L and 13R by the microcomputer 20 becomes impossible, so that the occupant is notified of the failure of the airbag system (the microcomputer 20) by a warning lamp or the like.
(effect)
According to this embodiment, the repetitive abnormal operation of the microcomputer 20 is reliably monitored. More specifically, even if a sudden abnormal operation occurs in the microcomputer 20, the abnormality monitoring device 25 only outputs the reset signal R1 from the reset generation unit 40. Then, after the microcomputer 20 returns to the normal state, the reset signal is released to return the system. That is, in order to minimize the time during which the microcomputer 20 operates abnormally, the abnormality of the microcomputer 20 is detected and reset as soon as possible.
[0028]
On the other hand, when the microcomputer abnormality repeatedly occurs, the reset is held and the operation of the microcomputer 20 is stopped. When a repetitive abnormal operation occurs, the abnormality monitoring device 25 determines that a serious abnormal operation (failure) has occurred in the system. It is not permissible to leave such a state for the protection of the occupants. Therefore, the reset signal R2 is output from the reset generator 40 to reset the microcomputer 20.
[0029]
The occupant who knows the failure of the airbag system including the ECU 21 can take necessary measures (repair, replacement of parts, etc.).
[0030]
As a comparative example, the microcomputer may be reset based on the duration of the microcomputer abnormality. The duration of the PC abnormality is measured by a timer or the like, and the microcomputer resets the microcomputer by the reset unit when the abnormality time determination unit determines that the duration exceeds the reference time. However, this is a method of changing the reset on / off depending on the duration of the microcomputer abnormal time, and is unstable as a system.
[0031]
【The invention's effect】
As described above, according to the microcomputer abnormality monitoring device of the present invention, when the abnormality count of the microcomputer exceeds the reference number, the reset signal is held, the microcomputer stops operating, and the system stops operating. . Therefore, improper operation of the device due to abnormal operation of the microcomputer is prevented.
[0032]
On the other hand, while the number of abnormalities is smaller than the reference number, after the microcomputer is reset, the reset signal is released when normality is restored, and the operation of the system is restored.
[0033]
According to the abnormality monitoring device of the second aspect, the determination means of the operation monitoring unit can reliably detect the abnormal operation of the microcomputer. According to the abnormality monitoring device of the third aspect, the counting means of the abnormality number counting section can accurately count the number of abnormalities of the microcomputer.
[0034]
According to the abnormality monitoring device of the fourth aspect, the comparison means of the abnormality number determination unit can accurately compare the abnormality number with the reference number. According to the abnormality monitoring device of the fifth aspect, the abnormal operation of the microcomputer in the airbag system of the vehicle is reliably monitored.
[Brief description of the drawings]
FIG. 1 is an overall plan view showing an embodiment of the present invention.
FIG. 2 is an explanatory diagram illustrating an abnormality monitoring device according to an embodiment.
FIG. 3 is an explanatory diagram showing signals in a microcomputer, an operation monitoring unit, and a reset generation unit of the embodiment.
FIG. 4 is an explanatory diagram of a conventional example.
[Explanation of symbols]
10L, 10R: Seat 12L, 12R: Airbag 13L, 13R: Drive 15: ECU
17: G sensor 20: Microcomputer 25: Abnormal operation monitoring device 30: Operation monitoring unit 35: Abnormal frequency judgment unit 40: Reset generation unit

Claims (5)

機器に制御信号を出力するマイコンを監視し、異常動作の発生を監視する動作監視部と、
前記動作監視部の出力に基づき、前記マイコンの異常回数を計数する異常回数計数部と、
計数された異常回数を予め設定した基準回数と比較する異常回数判定部と、
前記異常回数判定部の出力に基づき、異常回数が基準回数を超えたとき前記マイコンへのリセット信号を保持するリセット保持信号発生部と、
から成ることを特徴とするマイコンの異常監視装置。An operation monitoring unit that monitors a microcomputer that outputs a control signal to the device and monitors occurrence of abnormal operation;
Based on the output of the operation monitoring unit, an abnormal number counting unit that counts the number of abnormalities of the microcomputer,
An abnormality number determination unit that compares the counted number of abnormalities with a preset reference number,
A reset holding signal generation unit that holds a reset signal to the microcomputer when the number of abnormalities exceeds a reference number, based on an output of the abnormal number determining unit,
An abnormality monitoring device for a microcomputer, comprising: 前記動作監視部は、前記マイコンから出力される異常を示す信号を受信したとき、又はマイコンから出力される信号が正常に受信できなかったとき、マイコン異常と判定する請求項1に記載の異常監視装置。The abnormality monitoring device according to claim 1, wherein the operation monitoring unit determines that the microcomputer is abnormal when receiving a signal indicating an abnormality output from the microcomputer or when a signal output from the microcomputer cannot be normally received. apparatus. 前記異常回数計数部は、前記動作監視部から入力された異常判定の回数を計数する請求項1に記載の異常監視装置。The abnormality monitoring device according to claim 1, wherein the abnormality number counting unit counts the number of abnormality determinations input from the operation monitoring unit. 前記異常回数判定部は、前記異常回数計数部から入力された異常回数を、設定された基準回数と比較する比較手段を含む請求項1に記載の異常監視装置。2. The abnormality monitoring device according to claim 1, wherein the abnormality number determination unit includes a comparison unit configured to compare the number of abnormalities input from the abnormality number counting unit with a set reference number. 前記マイコンは車両のエアーバッグ装置を制御するエアーバッグECUのマイコンであり、前記機器は車両のエアーバッグ駆動装置である請求項2、3又は4に記載の異常監視装置。The abnormality monitoring device according to claim 2, wherein the microcomputer is a microcomputer of an airbag ECU that controls an airbag device of the vehicle, and the device is an airbag driving device of the vehicle.
JP2003057248A 2003-03-04 2003-03-04 Abnormality monitoring device for microcomputer Pending JP2004265322A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003057248A JP2004265322A (en) 2003-03-04 2003-03-04 Abnormality monitoring device for microcomputer

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003057248A JP2004265322A (en) 2003-03-04 2003-03-04 Abnormality monitoring device for microcomputer

Publications (1)

Publication Number Publication Date
JP2004265322A true JP2004265322A (en) 2004-09-24

Family

ID=33120718

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003057248A Pending JP2004265322A (en) 2003-03-04 2003-03-04 Abnormality monitoring device for microcomputer

Country Status (1)

Country Link
JP (1) JP2004265322A (en)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009003592A (en) * 2007-06-20 2009-01-08 Meidensha Corp Failure detection/recovery system for computer
JP2014019416A (en) * 2012-07-24 2014-02-03 Hitachi Automotive Systems Ltd Vehicle control device
JP2015144549A (en) * 2013-12-26 2015-08-06 株式会社デンソー Vehicle diagnosis system, and vehicle diagnosis method
JP2016091162A (en) * 2014-10-31 2016-05-23 株式会社デンソー Electronic control device
US9477542B2 (en) 2013-12-24 2016-10-25 Denso Corporation Electronic control unit
WO2017133788A1 (en) 2016-02-05 2017-08-10 Thyssenkrupp Presta Ag External watchdog with integrated backward regeneration support
JP2019128817A (en) * 2018-01-25 2019-08-01 株式会社デンソー Electronic control device
JP2021046859A (en) * 2019-09-11 2021-03-25 株式会社デンソー Engine control device
US11434846B2 (en) 2019-09-11 2022-09-06 Denso Corporation Engine control device

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009003592A (en) * 2007-06-20 2009-01-08 Meidensha Corp Failure detection/recovery system for computer
JP2014019416A (en) * 2012-07-24 2014-02-03 Hitachi Automotive Systems Ltd Vehicle control device
US9477542B2 (en) 2013-12-24 2016-10-25 Denso Corporation Electronic control unit
JP2015144549A (en) * 2013-12-26 2015-08-06 株式会社デンソー Vehicle diagnosis system, and vehicle diagnosis method
JP2016091162A (en) * 2014-10-31 2016-05-23 株式会社デンソー Electronic control device
CN108604083A (en) * 2016-02-05 2018-09-28 蒂森克虏伯普利斯坦股份公司 External monitor with integrated reversed regeneration supporter
WO2017133788A1 (en) 2016-02-05 2017-08-10 Thyssenkrupp Presta Ag External watchdog with integrated backward regeneration support
US10633018B2 (en) 2016-02-05 2020-04-28 Thyssenkrupp Presta Ag External watchdog with integrated backward regeneration support
CN108604083B (en) * 2016-02-05 2021-11-12 蒂森克虏伯普利斯坦股份公司 External monitor with integrated reverse regeneration support
JP2019128817A (en) * 2018-01-25 2019-08-01 株式会社デンソー Electronic control device
JP2021046859A (en) * 2019-09-11 2021-03-25 株式会社デンソー Engine control device
US11434846B2 (en) 2019-09-11 2022-09-06 Denso Corporation Engine control device
JP7367620B2 (en) 2019-09-11 2023-10-24 株式会社デンソー engine control device

Similar Documents

Publication Publication Date Title
KR100321235B1 (en) Circuit for controlling a passenger protection device in an automobile
JP3633092B2 (en) Microcomputer failure monitoring device
EP1305191B1 (en) Airbag trigger control system
JP2004265322A (en) Abnormality monitoring device for microcomputer
JPH0858524A (en) Testing method for passive safety device of car
KR960010523B1 (en) Starting circuit of passenger protecting apparatus
JP5094777B2 (en) In-vehicle electronic control unit
JPH07291091A (en) Malfunction preventive circuit of computer for control
JP2012183877A (en) Detection processing device of vehicle occupant protection system
JP3651273B2 (en) Self-shutoff diagnostic device
GB2339048A (en) Presettable component matching initiation controller for an occupant protectionsystem
JPH08115235A (en) Abnormality detector for controller and method therefor
JP2015112962A (en) Information processing apparatus
JP6551746B2 (en) Vehicle sensor device and vehicle sensor system
JP2007245898A (en) Sensor abnormality detection device
EP1222095A1 (en) Improvements in or relating to a vehicle safety arrangement
JPH08202589A (en) Information processor and fault diagnostic method
JP3897859B2 (en) Diagnostic circuit for watchdog circuit
JP2014141158A (en) Occupant protection control unit
JP2536789Y2 (en) Device for preventing malfunction of microcomputer system
JPH07231489A (en) Controller with watchdog diagnostic function
JP2004284422A (en) Occupant crash protection device
JP2018194365A (en) Failure diagnosis device and failure diagnosis method
KR100362251B1 (en) Diagnostic circuit of runaway detection circuit
JPH08123710A (en) Reset circuit for microcomputer

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050517

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20071108

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071113

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20080306