微机相互监视系统及微机相互监视方法

摘要

本发明是由第1微机(11)和第2微机(12)进行相互监视的微机相互监视系统，其特征在于，当由于第2微机产生异常而实施了第2微机的复位时，在该复位过程中，利用在主微机内部安装的替代监视功能(142)执行对主微机的监视，来代替利用第2微机的监视功能对主微机进行监视。由此得到可以在维持作为系统的可靠性的同时防止适销性降低的微机相互监视系统。

说明书

技术领域

本发明涉及由第1微机和第2微机进行相互监视的微机相互监视系 统及微机相互监视方法等。

背景技术

一直以来，已知把2个CPU作为主CPU和备用CPU来使用，以 相互补充的方式构成的CPU互补系统中的CPU间相互监视方法(例如， 参照专利文献1)。在该CPU间相互监视方法中，当由于在处理的中途 主CPU发生故障而成为主CPU不能工作的状态的情况下，在备用CPU 中从处于处理中途的任务处理开始工作。

另外，已知当副微机在其处理时间内不能执行运算监视处理的各控 制处理的情况下，停止运行脉冲信号并将主微机及副微机都进行复位的 运算装置(例如，参照专利文献2)。

专利文献1：日本特开平7-64930号公报

专利文献2：日本专利第4003420号

发明内容

然而，在具备2个微机(在此，叫做主微机和副微机)的系统中， 在相互监视ALU，检测出对方侧的微机的异常时，将对方侧的微机复 位，来尝试恢复。

一般来说，主微机除了接受副微机的监视(运行脉冲校验、通信校 验、ALU运算校验)以外，还接受来自监视IC的运行脉冲校验，但为 了利用监视IC实现通信校验、ALU运算校验等，必要条件太复杂，所 以在副微机被复位的期间，不能进行通信校验、ALU运算校验等。

特别地，近年来，为了降低成本，一直进行ECU的功能综合，但 是，存在搭载于副微机的控制软件在检测出异常的情况下想要将副微机 复位的例子。这时，对于每个搭载系统，即使在微机复位条件不同的情 况下，在微机构造上，也不能只对一部分进行复位，所以如果在哪1个 搭载系统中有复位的必要性，则不得不对副微机整体进行复位，其结果 是，如果在哪1个搭载系统中有复位的必要性，则连带地主微机的监视 功能停止了。

在这点上，如果是在副微机被复位的期间尽管不能监视主微机但却 继续主微机的处理的构成，则有作为系统的可靠性降低的问题。

另一方面，可以考虑在副微机被复位的期间，由于不能监视主微机， 所以中止(复位)主微机的处理的构成(例如，参照专利文献2)。但是， 在这样的构成中，不论主微机正常或异常都将主微机复位，所以有降低 适销性的问题。

因此，本发明的目的在于，提供能够维持作为系统的可靠性的同时 防止适销性降低的微机相互监视系统及微机相互监视方法等。

为了实现上述目的，根据本发明的一方面，提供了一种微机相互监视 系统，是由第1微机和第2微机进行相互监视的微机相互监视系统，其特 征在于，当由于第2微机产生异常而实施了第2微机的复位时，在该复 位过程中，利用在主微机内部安装的替代监视功能执行对主微机的监 视，来代替利用第2微机的监视功能对主微机进行监视。

根据本发明的另外的一方面，提供一种微机，其特征在于，被其他微 机监视，

具备在内部安装的替代监视功能，

上述替代监视功能构成为，在实施上述其他微机的复位时，接受表 示该情况的通知，

上述替代监视功能构成为，在接受了上述通知时，执行对该微机的 监视。

根据本发明的另外的一方面，提供一种微机相互监视方法，是由第1 微机和第2微机进行相互监视的微机相互监视方法，其中，包括：

检测第2微机的异常的阶段；

在检测出第2微机的异常的情况下，实施第2微机的复位的复位阶段； 和

在上述复位阶段中，利用在主微机内部安装的替代监视功能执行对主 微机的监视来代替利用第2微机的监视功能对主微机进行监视的阶段。

根据本发明，得到可以在维持作为系统的可靠性的同时防止适销性 降低的微机相互监视系统及微机相互监视方法。

附图说明

图1是表示基于本发明的一实施例的微机相互监视系统10的主要 部分的硬件构成的图。

图2是表示微机相互监视系统10的主要功能(软件构成)的图。

图3是表示由本实施例的微机相互监视系统10所执行的微机相互 监视方法的一例的流程图。

具体实施方式

以下，参照附图，对用于实施本发明的最佳方式进行说明。

图1是表示本发明的一实施例的微机相互监视系统10的主要部分 的硬件构成的图。

微机相互监视系统10包含主微型计算机(以下，叫做主微机。)11、 副微型计算机(以下，叫做副微机。)12和监视电路13。另外，主微机 11及副微机12可以分别是1芯片微机。监视电路13可以由IC(例如， 包含监视计时器的电源IC)等构成。

主微机11用于进行车辆控制，由主CPU14、ROM15、RAM16等 构成。主微机11以规定的处理周期(例如500μsec)的定时中断来反 复执行用于进行车辆控制的主控制程序。车辆控制是任意的，但例如在 车辆是混合动力车的情况下，也可以是混合动力系统的控制。

副微机12用于监视主微机11在主控制程序的各控制处理中执行的 运算处理是否正常地被执行，由处理能力比主微机11低的副CPU17和 ROM18及RAM19等构成。副微机12也可以以比主控制程序长的规定 监视周期(例如，5msec)只反复执行用于监视主微机11的运算内容的 运算监视程序。但是，副微机12可以是除了实现对主微机11的监视功 能以外，还实现车辆控制等其他功能的微机。

图2是表示微机相互监视系统10的主要功能(软件构成)的图。 图2同时表示了在主微机11和副微机12之间交换的主要的信息/信号输 出以及在主微机11和监视电路13之间的主要的信号输出。

主微机11包含ALU运算功能141、替代监视功能142、运算监视 功能143、异常判定故障保护功能144、复位实施功能145和其他监视 功能146。这些各种功能可以通过主微机11的主CPU14执行存储于主 微机11的ROM15内的各种软件而实现。

副微机12包含ALU运算功能171、运算监视功能173、异常判定 故障保护功能174、复位实施功能175和其他监视功能176。这些各种 功能可以通过副微机12的副CPU17执行存储于副微机12的ROM18 的各种软件而实现。

微机相互监视系统10，作为主要的特征性的构成，具备下面的2个 构成。

(1)将副微机12的复位状态向主微机11的替代监视功能142进行通 知。

(2)主微机11的替代监视功能142，在副微机12复位后直到副微机 12恢复为止的期间，进行对主微机11的监视。

图2所示的例中，为了实现上述的构成(1)，具备以下的具体的构 成。在副微机12的其他监视功能176检测出副微机12的异常的情况下， 使副微机12本身复位。这时，在复位实施前，向主微机11的替代监视 功能142通知副微机12自身的复位实施(参照图2的箭头Y1)。另外， 在主微机11的运算监视功能143等检测出副微机12异常(运行脉冲、 通信、ALU运算的异常)的情况下，借助于主微机11的异常判定故障 保护功能144，复位实施功能145实施副微机12的复位。这时，主微机 11的异常判定故障保护功能144将实施副微机12的复位这一情况向主 微机11的替代监视功能142进行通知(参照图2的箭头Y2)。

在图2所示的例中，为了实现上述的构成(2)，而具备以下的具体 的构成。主微机11的替代监视功能142接受来自副微机12的其他监视 功能176的复位通知，或者，接受来自主微机11内部的软件的副微机 12的复位实施的存储，在直到副微机12恢复为止的期间，代替副微机 12的运算监视功能173(由于在复位过程中功能停止)，实现对主微机 11的监视功能。

对于基于主微机11的替代监视功能142的监视方法，只要是能够适 当地检测出主微机11的异常(ALU运算的异常等)的方法，可以是任 意的方法。例如，也可以读出预先存储于ROM15的运算问题(运算式)， 通过主微机11的ALU14a运算已读出的运算问题，并将该运算结果与 预先存储于ROM15的答案进行比较。这时，运算问题及答案可以特别 为替代监视功能142用而准备，也可以为副微机12的监视用(即，运 算监视功能143用)而准备。在这种情况下，如上述的专利文献2所公 开的方法那样，对于运算问题及答案，也可以准备一系列的多组，另外， 作为答案，也可以有意地准备错误的答案。

作为主微机11的替代监视功能142的监视方法的其他的优选的实施 例，也可以利用在过去对主微机11的监视(基于副微机12的运算监视 功能173的监视)中利用的运算问题及答案的各自的存储值。具体来说， 在副微机12的运算监视功能173发挥功能期间，将在主微机11内运算 得到的运算问题和其运算结果(向副微机12发送的运算结果)以建立 对应关系的方式预先存储于主微机11内的存储器(例如RAM16)(参 照图2的箭头Y3)。在副微机12复位过程中，实施存储于存储器的运 算问题，并与以与之建立对应关系的方式而预先存储的运算结果进行比 较(参照图2的箭头Y4)。另外，在执行主微机11的替代监视功能142 的过程中，不将运算问题及运算结果向存储器存储。在此，因为在副微 机12的运算监视功能173发挥功能的期间，主微机11本身也处于未被 复位的状态，所以由副微机12的运算监视功能173监视的主微机11的 运算结果应该是正常的结果。即，因为如果主微机11的运算结果有异 常，则主微机11应该已被复位，所以主微机11未被复位的状态下的主 微机11的运算结果，应该是正常的结果。从而，通过挪用这样的副微 机12正常时的运算问题及运算结果，可以有效而恰当地执行对主微机 11的监视。

主微机11的替代监视功能142比较主微机11的ALU14a的运算结 果和与此相对应的答案，如果这些结果一致，则继续向监视电路13输 出运行脉冲。另一方面，在主微机11的ALU14a的运算结果和与此相 对应的答案不一致的情况下，主微机11的替代监视功能142停止向监 视电路13输出运行脉冲(参照图2的箭头Y5)。在这种情况下，监视 电路13实施使主微机11复位等的故障保护(参照图2的箭头Y6)。

图3是表示由本实施例的微机相互监视系统10所执行的微机相互 监视方法的一例的流程图。

在步骤300中，在主微机11的替代监视功能142中判定是否从副微 机12的其他监视功能176接收到表示实施副微机12的复位的信息的通 知。在收到副微机12的复位通知的情况下，进入步骤308。在没有收到 副微机12的复位通知的情况下，进入步骤302。

在步骤302中，主微机11的运算监视功能143等判定是否检测出副 微机12的异常(运行脉冲、通信、ALU运算的异常)。在检测出副微 机12的异常的情况下，进入步骤306，在未检测出副微机12的异常的 情况下，进入步骤304。

在步骤304中，将ALU的监视方法设定为通常方法。

在步骤306中，实施副微机12的复位。

在步骤308中，将ALU的监视方法设定为替代方法。

在步骤310中，判定将ALU的监视方法设定为通常方法还是设定 为替代方法。当在上述的步骤304中将ALU的监视方法设定为通常方 法的情况下，进入步骤312。当在上述的步骤308中将ALU的监视方 法设定为替代方法的情况下，进入步骤318。

在步骤312中，为了利用副微机12的运算监视功能173进行监视， 主微机11的ALU14a实施从副微机12通知的运算式的运算。另外，来 自副微机12的运算式，预先被存储于副微机12的ROM18内，依次被 读出并通知。

在步骤314中，为了将来能够利用主微机11的替代监视功能142 进行监视，将在上述步骤312中得到的运算式和运算结果建立对应关系， 保存在主微机11的存储器(例如RAM16)。该运算式和运算结果的存 储也可以以FIFO方式来存储以使得总是维持最新的规定数量的组，也 可以在存储了规定数量的组之后停止。另外，在将主微机11复位了的 情况下，伴随于此，删除存储于主微机11的存储器的运算式和运算结 果(清零)。

在步骤316中，将在上述步骤312中得到的运算结果向副微机12 通知。另外，接受该通知，副微机12的运算监视功能173比较与在上 述步骤312中进行了通知的运算式对应的答案和接受了这次的通知而得 到的运算结果。而且，如果这些结果一致，则判断为主微机11正常， 不执行复位等的故障保护。另一方面，在主微机11的ALU14a的运算 结果和与此相对应的答案不一致的情况下，借助于副微机12的异常判 定故障保护功能174，复位实施功能175实施主微机11的复位。

在步骤318中，主微机11的ALU14a读出存储于存储器的运算式 (参照上述步骤314)，并实施已读出的运算式的运算。

在步骤320中，在主微机11的替代监视功能142中，读出与在上述 步骤318中读出的运算式相对应的答案(过去的运算结果，参照上述步 骤314)。

在步骤322中，在主微机11的替代监视功能142中，比较在上述步 骤318中进行运算而得到的运算结果和在上述步骤320中读出的答案。 作为比较结果，当在上述步骤318中进行运算而得到的运算结果和在上 述步骤320中读出的答案一致的情况下，进入步骤324，在不一致的情 况下，进入步骤326。

在步骤324中，主微机11的替代监视功能142继续向监视电路13 输出运行脉冲。

在步骤326中，主微机11的替代监视功能142停止向监视电路13 输出运行脉冲。在这种情况下，监视电路13实施使主微机11复位等的 故障保护。

根据以上说明的本实施例，尤其发挥以下那样的优异的效果。

因为即使在将副微机12复位的期间，主微机11也能够单独地实现 同等的ALU异常检查，所以即使在将副微机12复位的期间，也不用停 止主微机11的处理，可以确保系统的可靠性和安全性。

另外，主微机11的替代监视功能142及与此相关联的功能，因为不 需要外部的特殊的硬件电路和IC等，只用软件就能够实现，所以成本 低。

另外，如参照图3的处理那样，在挪用在副微机12正常而能够适 当地监视主微机11时的运算式和运算结果的各自的存储值的情况下， 可以以有效的方式确保对于主微机11内部自身的监视而言所需要的可 靠性。

以上，详细地说明了本发明的优选的实施例，但本发明不限定于上 述的实施例，在不脱离本发明的范围内，可以对上述的实施例施加各种 变形及置换。

例如，在上述的实施例中，在主微机11侧搭载了替代监视功能142 及与此相关联的功能，但是，也可以代替之，或除此以外，还在副微机 12侧搭载同样的替代监视功能及与此相关联的功能。即副微机12，除 了主微机11的运算监视功能143以外，也具备在主微机11复位过程中 用于监视副微机12自身的替代监视功能。特别地，在副微机12具有对 主微机11的监视功能以外的控制功能(车辆控制功能等)的情况下， 优选这样的构成。这是因为，即使在将主微机11复位的期间，也不用 停止该控制功能，而可以确保系统的可靠性乃至安全性。

另外，上述的实施例涉及在主微机11和副微机12之间的相互监视 系统，但对于在3个以上的微机之间的相互监视系统也能够通过扩展进 行应用。

另外，上述的实施例涉及在主微机11和副微机12之间的相互监视 系统，但也同样地能够应用于2个CPU核之间的相互监视系统。即， 在多核微机中，也同样地能够应用于各CPU核之间的相互监视系统。

符号的说明

10微机相互监视系统、11主微机、12副微机、13监视电路、14 主CPU、14a主微机内的ALU、15主微机内的ROM、16主微机内的 RAM、17副CPU、18副微机内的ROM、19副微机内的RAM、141 主微机内的ALU运算功能、142主微机内的替代监视功能、143主微机 内的运算监视功能、144主微机内的异常判定故障保护功能、145主微 机内的复位实施功能、146主微机内的其他监视功能、171副微机内的 ALU运算功能、173副微机内的运算监视功能、174副微机内的异常判 定故障保护功能、175副微机内的复位实施功能、176副微机内的其他 监视功能。