知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5769403
(24)【登録日】2015年7月3日
(45)【発行日】2015年8月26日
(54)【発明の名称】監視装置及び電子装置
(51)【国際特許分類】
G06F 11/30 20060101AFI20150806BHJP
G06F 11/00 20060101ALI20150806BHJP
【FI】
G06F11/30 310B
G06F11/00 350F
【請求項の数】6
【全頁数】14
(21)【出願番号】特願2010-266717(P2010-266717)
(22)【出願日】2010年11月30日
(65)【公開番号】特開2012-118686(P2012-118686A)
(43)【公開日】2012年6月21日
【審査請求日】2013年8月6日
【前置審査】
(73)【特許権者】
【識別番号】000237592
【氏名又は名称】富士通テン株式会社
(74)【代理人】
【識別番号】100099759
【弁理士】
【氏名又は名称】青木 篤
(74)【代理人】
【識別番号】100092624
【弁理士】
【氏名又は名称】鶴田 準一
(74)【代理人】
【識別番号】100114018
【弁理士】
【氏名又は名称】南山 知広
(72)【発明者】
【氏名】小宮 基樹
(72)【発明者】
【氏名】芝地 義徳
【審査官】
多賀 実
(56)【参考文献】
【文献】
特開平10−161911(JP,A)
【文献】
特開2000−132264(JP,A)
【文献】
特開平03−278201(JP,A)
【文献】
特開平07−291091(JP,A)
【文献】
特開昭63−305436(JP,A)
【文献】
特開2010−130316(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
B60R16/02
G06F11/00
G06F11/28−11/34
G05B 9/00− 9/05
G05B23/00−23/02
F02D43/00−45/00
(57)【特許請求の範囲】
【請求項1】
マイクロプロセッサからウオッチドッグカウンタ信号の入力の有無を監視し、電源がオンになることによって、前記マイクロプロセッサの動作を開始してから所定期間に亘って前記ウオッチドッグカウンタ信号が連続して入力された場合に、前記ウオッチドッグカウンタ信号の入力が正常であると判定する第1監視手段と、
前記マイクロプロセッサが所定の動作モードであるか否かを監視する第2監視手段と、
前記ウオッチドッグカウンタ信号の入力が正常でないとき、又は前記マイクロプロセッサが前記所定の動作モードにあるとき、前記マイクロプロセッサの出力論理値を所定値に固定する出力制御回路に前記出力論理値を所定値に固定させるための制御信号を生成する制御信号生成手段と、
を備え、
前記マイクロプロセッサの動作を開始してから前記所定期間が経過するまでの間、前記出力論理値を前記所定値に固定させる制御信号を生成するように構成される監視装置。
前記マイクロプロセッサが所定の動作モードであるか否かを監視する第2監視手段と、
前記ウオッチドッグカウンタ信号の入力が正常でないとき、又は前記マイクロプロセッサが前記所定の動作モードにあるとき、前記マイクロプロセッサの出力論理値を所定値に固定する出力制御回路に前記出力論理値を所定値に固定させるための制御信号を生成する制御信号生成手段と、
を備え、
前記マイクロプロセッサの動作を開始してから前記所定期間が経過するまでの間、前記出力論理値を前記所定値に固定させる制御信号を生成するように構成される監視装置。
【請求項2】
前記所定の動作モードは、前記マイクロプロセッサが前記ウオッチドックカウンタ信号を出力しないことが予定されている動作モードであることを特徴とする請求項1に記載の監視装置。
【請求項3】
前記制御信号生成手段は、前記ウオッチドッグカウンタ信号の入力が無いか否かを示す前記第1監視手段の出力論理信号と、前記マイクロプロセッサが所定の動作モードであるか否かを示す前記第2監視手段の出力論理信号との論理積信号を生成する論理回路を備える請求項1又は2に記載の監視装置。
【請求項4】
前記所定の動作モードは、前記マイクロプロセッサのスリープ状態である請求項1〜3のいずれか一項に記載の監視装置。
【請求項5】
前記所定の動作モードは、前記マイクロプロセッサ内の不揮発性メモリの書き換えを行う動作モードである請求項1〜3のいずれか一項に記載の監視装置。
【請求項6】
正常動作時にウオッチドッグカウンタ信号を出力し、スリープモード時に動作を停止させるマイクロプロセッサと、
前記マイクロプロセッサの出力論理値を所定値に固定する出力制御回路と、
前記マイクロプロセッサを監視する監視装置と、を備え、
前記監視装置は、
マイクロプロセッサからウオッチドッグカウンタ信号の入力の有無を監視し、電源がオンになることによって、前記マイクロプロセッサの動作を開始してから所定期間に亘って前記ウオッチドッグカウンタ信号が連続して入力された場合に、前記ウオッチドッグカウンタ信号の入力が正常であると判定する第1監視手段と、
前記マイクロプロセッサが前記スリープモードであるか否かを監視する第2監視手段と、
前記ウオッチドッグカウンタ信号の入力が正常でないとき、又は前記マイクロプロセッサが前記所定の動作モードにあるとき、前記出力制御回路に前記出力論理値を所定値に固定させるための制御信号を生成する制御信号生成手段と、
を備え、
前記監視装置は、前記マイクロプロセッサの動作を開始してから前記所定期間が経過するまでの間、前記出力論理値を前記所定値に固定させる制御信号を生成するように構成される電子装置。
前記マイクロプロセッサの出力論理値を所定値に固定する出力制御回路と、
前記マイクロプロセッサを監視する監視装置と、を備え、
前記監視装置は、
マイクロプロセッサからウオッチドッグカウンタ信号の入力の有無を監視し、電源がオンになることによって、前記マイクロプロセッサの動作を開始してから所定期間に亘って前記ウオッチドッグカウンタ信号が連続して入力された場合に、前記ウオッチドッグカウンタ信号の入力が正常であると判定する第1監視手段と、
前記マイクロプロセッサが前記スリープモードであるか否かを監視する第2監視手段と、
前記ウオッチドッグカウンタ信号の入力が正常でないとき、又は前記マイクロプロセッサが前記所定の動作モードにあるとき、前記出力制御回路に前記出力論理値を所定値に固定させるための制御信号を生成する制御信号生成手段と、
を備え、
前記監視装置は、前記マイクロプロセッサの動作を開始してから前記所定期間が経過するまでの間、前記出力論理値を前記所定値に固定させる制御信号を生成するように構成される電子装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、マイクロプロセッサの動作を監視する監視装置に関する。
【背景技術】
【0002】
マイクロプロセッサには、ウオッチドックカウンタ信号を出力することにより、マイクロプロセッサが正常に動作しているか否かを監視できるものがある。このようなマイクロプロセッサが設けられる制御装置の例としては、通常よりも高い信頼性、安全性又はフェールセーフ性能が要求される車載用の電子制御ユニット(ECU:Electronic Control Unit)がある。
【0003】
なお、下記引用文献1には、車両のイグニッションスイッチがオフされECUがスリープモードに移行する際、主制御マイコンが、入出力回路の出力ポートから副制御マイコンに出力される信号の出力レベルをローレベルにすることが提案されている。
【0004】
また、下記引用文献2には、CPUがスリープモードに入って内部クロックが停止したとき、クロック検知回路がこれを検知し、検知出力信号に基づいてCPUからのI/O信号をゲート回路で遮断することが提案されている。
【0005】
また、下記引用文献3には、マイクロコンピュータから動作中に信号が出力されなくなるとマイクロコンピュータをリセットし、スリープ信号が出力されるとマイクロコンピュータのリセットを停止するウオッチドッグタイマと、車両のキースイッチがオン状態にある時にマイクロコンピュータからスリープ信号が出力されると、車載機器の作動条件を満たす場合は車載機器の作動信号を出力する補助作動回路と、マイクロコンピュータまたは補助作動回路からの作動信号により車載機器を駆動する駆動回路とを備える電子制御装置が提案されている。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2007−213137号公報
【特許文献2】特開2000−132264号公報
【特許文献3】特開平10−222402号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
マイクロプロセッサによる制御の安全性を向上するために、ウオッチドックカウンタ信号によりマイクロプロセッサの異常を検出し、異常時にマイクロプロセッサの出力論理値を所定値に固定することが考えられる。
【0008】
一方で、マイクロプロセッサの動作モードには、マイクロプロセッサがウオッチドッグカウンタ信号を出力しないモードがある。このような動作モードには、例えば、動作を一時的に停止させるスリープ状態となるスリープモードや、マイクロプロセッサ内の不揮発性メモリの書き換えを行うモードがある。近年、環境問題への配慮から低消費電力化が望まれているため、スリープ状態への移行により消費電力を低減する技術がマイクロプロセッサに採用されることが多くなった。
【0009】
マイクロプロセッサの動作モードが上記モードである間は、ウオッチドッグカウンタ信号が生成されないためマイクロプロセッサの異常を検出することができない。そこで、ウオッチドックカウンタ信号の監視だけでなく、マイクロプロセッサが上記動作モード時であるときにも出力論理値を固定することが考えられる。
【0010】
しかしながら、ウオッチドックカウンタ信号の監視に基づいて出力論理値を固定する回路に加えて上記動作モード時に出力論理値を固定する回路を別個に備えると回路構成が複雑化することになる。
【0011】
本発明は、上記動作モード時にマイクロプロセッサの異常が生じてもマイクロプロセッサの出力論理値を所定値に固定することができる構成を簡素化することを目的とする。
【課題を解決するための手段】
【0012】
本件開示の監視装置は、マイクロプロセッサからウオッチドッグカウンタ信号の入力の有無を監視する第1監視手段と、マイクロプロセッサが所定の動作モードであるか否かを監視する第2監視手段と、ウオッチドッグカウンタ信号の入力がなく又はマイクロプロセッサが所定の動作モードにあるとき、マイクロプロセッサの出力論理値を所定値に固定する出力制御回路に出力論理値を所定値に固定させるための制御信号を生成する制御信号生成手段を備える。
【発明の効果】
【0013】
ウオッチドッグカウンタの監視処理と所定の動作モードの監視処理との間で、マイクロプロセッサの出力論理値を所定値に固定する出力制御回路を兼用するため、出力論理値を固定する構成が簡素化される。また、上記監視処理の間で、出力制御回路を制御するための制御信号生成手段自体も兼用されるため、出力論理値を固定する構成が更に簡素化される。
【図面の簡単な説明】
【0014】
【図1】制御装置の概略構成例を示す図である。
【図4】出力制御信号の変化を示す説明図(その1)である。
【図5】出力制御信号の変化を示す説明図(その2)である。
【図6】出力制御信号の値の決定方法の説明図である。
【図7】出力制御信号の変化を示す説明図(その3)である。
【発明を実施するための形態】
【0015】
以下、添付する図面を参照して本発明の実施例について説明する。図1は、制御装置の概略構成例を示す図である。制御装置1は、マイクロプロセッサ10と、電源回路11と、出力ドライバ12と、出力遮断部14を備える。
【0016】
制御装置1は、マイクロプロセッサ10により所与の制御プログラムが実行されることによって、負荷4の動作を制御する。制御装置1は、例えば車載用ECUであってよい。
【0017】
電源回路11は、外部電源としてのバッテリ2から供給される電圧を所定電圧に変換する。電源回路11は、この所定電圧をマイクロプロセッサ10へ電源電圧として供給する。スイッチ3は、電源回路11とバッテリ2との間の接続を開閉する。すなわちスイッチ3は、電源回路11のオンオフを切り替える。制御装置1が車載用ECUである場合、スイッチ3は、例えばイグニッションスイッチであってよい。
【0018】
以下の説明及び添付する図面において、スイッチ3から電源回路11へ入力される入力電圧を「入力電圧SS」と表記し、電源回路11が供給する出力電圧を「出力電圧PO」と表記することがある。
【0019】
出力ドライバ12は、抵抗素子13を介してマイクロプロセッサ10の出力線17から出力される出力論理値を入力する。出力ドライバ12は、入力された出力論理値に応じて負荷を駆動する駆動電力OUTを出力する。
【0020】
出力遮断部14は、マイクロプロセッサ10が異常である場合に、出力ドライバ12に入力される出力論理値を予め定められた所定値に固定するための構成要素である。出力遮断部14は、マイクロプロセッサ10から出力ドライバ12へ至る出力線17のいずれかの点に電気的に接続される制御線18を有していてよい。本明細書において出力線17と制御線18との接続点を「A点」と表記することがある。出力遮断部14は、制御線18を介してA点に所定値を与えることによって、出力ドライバ12に入力される出力論理値を所定値に固定する。
【0021】
上記所定値は、出力ドライバ12に所定値が入力された場合に負荷4が安全側に動作するように定めてよい。例えば、負荷4の動作や機能が停止することがより安全な場合には、上記所定値が入力された場合に出力ドライバ12が駆動電力OUTを出力しないように所定値が定められてよい。
【0022】
負荷4が動作し続けることがより安全な場合には、上記所定値が入力された場合に出力ドライバ12が駆動電力OUTを出力するように所定値が定められてよい。このような負荷4の例は、動作することによって安全性の向上をもたらす負荷、例えばワイパーなどであってよい。負荷4は、保安部品であってもよい。
【0023】
出力遮断部14は、監視装置15と出力制御回路16を備える。監視装置15は、入力電圧SSの電圧値及び出力電圧POの電圧値を入力する。また、出力遮断部14は、マイクロプロセッサ10から、スリープ信号SL及びウオッチドッグカウンタ信号WDCを入力する。なお、監視装置15は集積回路として形成されてよい。出力制御回路16と監視装置15は、一体の集積回路として形成されてもよい。
【0024】
監視装置15は、所定期間T0に亘ってウオッチドッグカウンタ信号WDCが、マイクロプロセッサ10から入力されないとき、リセット信号RSをマイクロプロセッサ10へ出力する。監視装置15は、電源回路11の出力電圧POの電源が低下した場合もリセット信号RSを出力する。
【0025】
監視装置15は、スイッチ3を閉じることによりマイクロプロセッサ10へ電源が供給されマイクロプロセッサ10が動作を開始してから、ウオッチドッグカウンタ信号WDCの入力が正常であると判定するまでの間、「V1」の値を持つ出力制御信号DEFを出力する。すなわち、マイクロプロセッサ10が動作を開始した直後の出力制御信号DEFの初期値は「V1」である。監視装置15は、所定期間T1に亘ってウオッチドッグカウンタ信号WDCが連続して入力される場合に、ウオッチドッグカウンタ信号WDCの入力が正常であると判定する。
【0026】
また、監視装置15は、ウオッチドッグカウンタ信号WDCが所定期間T0に亘ってマイクロプロセッサ10から入力されないとき、「V1」の値を持つ出力制御信号DEFを出力する。出力制御信号DEFは出力制御回路16へ入力される。
【0027】
また、監視装置15は、マイクロプロセッサ10がスリープ状態である場合、すなわち、スイッチ3が開いているかマイクロプロセッサ10からスリープ信号SLが出力されている場合、「V1」の値を持つ出力制御信号DEFを出力する。それ以外の場合に監視装置15は、「V2」の値を持つ出力制御信号DEFを出力する。
【0028】
ある実施例において「V1」の論理値は「L」であり、「V2」の論理値は「H」であってよい。但し、これら信号V1及びV2、並びに他の信号の論理値の組み合わせは、本明細書において示される論理値の組み合わせの例によって実現される動作と同様の動作を実現することが可能な組み合わせであれば、どのような値の組み合わせであってもよい。
【0029】
出力制御回路16は、「V1」の値を持つ出力制御信号DEFが出力される場合に、A点の電位を所定値に固定する。すなわち、出力制御回路16は、出力ドライバ12に入力される出力論理値を所定値に固定する。出力制御回路16は、「V2」の値を持つ出力制御信号DEFが出力される場合には、出力ドライバ12に入力される出力論理値を固定しない。すなわち、出力制御回路16は、マイクロプロセッサ10の出力線17から出力される論理値を、そのまま出力ドライバ12に入力させる。
【0030】
次に、監視装置15の構成を説明する。図2は、図1に示す監視装置15の構成例を示す図である。監視装置15は、電源低下検知部20と、第1監視部21と、第2監視部22と、論理回路23と、制御信号生成部24と、リセット信号生成部25を備える。
【0031】
電源低下検知部20は、電源回路11の出力電圧POの電圧の低下を検出し、検出結果を示す検出信号を論理回路23へ出力する。例えば、電源低下検知部20は、出力電圧POが所定の閾値より低いとき、出力電圧POの電圧の低下を検出してよい。電源低下検知部20は、出力他の条件を用いて出力電圧POの電圧の低下を検出してもよい。
【0032】
例えば、電源低下検知部20は、出力電圧POの電圧の低下を検出したとき論理値「L」を出力し、それ以外の場合には論理値「H」を出力してよい。
【0033】
第1監視部21は、ウオッチドッグカウンタ信号WDCの入力の有無を判定する。第1監視部21は、電源回路11への入力電圧SSに基づいてスイッチ3の開閉、すなわち電源回路11のオンオフを判定する。電源回路11がオフからオンに切り替わったことを検出した場合、第1監視部21は、所定期間T1に亘ってウオッチドッグカウンタ信号WDCが連続して入力される場合に、ウオッチドッグカウンタ信号WDCの入力が正常であると判定する。
【0034】
それ以降、第1監視部21は、ウオッチドッグカウンタ信号WDCが入力されている場合に、ウオッチドッグカウンタ信号WDCの入力が正常であると判定してよい。第1監視部21は、ウオッチドッグカウンタ信号WDCの入力の中断が所定期間T0よりも長く連続しない場合に、ウオッチドッグカウンタ信号WDCの入力が正常であると判定してもよい。
【0035】
第1監視部21は、ウオッチドッグカウンタ信号WDCの入力が正常であるか否かを判定した結果を示す判定信号を、論理回路23及び制御信号生成部24に出力する。例えば第1監視部21は、ウオッチドッグカウンタ信号WDCの入力が正常である場合に論理値「H」を、それ以外の場合に論理値「L」を出力してよい。この場合、論理値「H」はマイクロプロセッサ10が正常であることを示し、論理値「L」はマイクロプロセッサ10が異常であることを示す。
【0036】
第2監視部22は、マイクロプロセッサ10からのスリープ信号SLの入力の有無を判定する。第2監視部22は、入力電圧SSに基づいてスイッチ3の開閉を判定する。第1監視部21は、スイッチ3が開いているかマイクロプロセッサ10からスリープ信号SLを入力している場合に、マイクロプロセッサ10がスリープ状態であると判定する。
【0037】
第2監視部22は、マイクロプロセッサ10がスリープ状態であるか否かの判定結果を示す判定信号を、制御信号生成部24に出力する。例えば第2監視部22は、マイクロプロセッサ10がスリープ状態でないとき、論理値「H」を出力してよい。第2監視部22は、マイクロプロセッサ10がスリープ状態であるとき、論理値「L」を出力してよい。
【0038】
論理回路23は、電源低下検知部20から出力される検出信号及び第1監視部21から出力される判定信号に基づいて、出力電圧POの電圧低下が生じたか、又はウオッチドッグカウンタ信号WDCの入力が異常であることを示す論理信号を生成する。このため論理回路23は、出力電圧POの電圧低下が生じたことを示す論理信号と、ウオッチドッグカウンタ信号WDCの入力の異常であることを示す論理信号との論理積信号を生成してよい。例えば、論理回路23は、電源低下検知部20から出力される検出信号と第1監視部21から出力される判定信号とのNAND値を演算する論理素子と、このNAND値を反転させる論理素子を備えていてよい。
【0039】
リセット信号生成部25は、論理回路23の出力論理値に基づいてリセット信号RSを出力する。
【0040】
制御信号生成部24は、第1監視部21及び第2監視部22から各々出力される判定信号に基づいて、ウオッチドッグカウンタ信号WDCの入力が異常であるか、又はマイクロプロセッサ10がスリープ状態である示す論理信号を生成する。このため、制御信号生成部24は、ウオッチドッグカウンタ信号WDCの入力が異常であることを示す論理信号と、マイクロプロセッサ10がスリープ状態である示す論理信号との論理積信号を生成してよい。例えば、制御信号生成部24は、第1監視部21及び第2監視部22から各々出力される検出信号のNAND値を演算する論理素子と、このNAND値を反転させる論理素子を備えていてよい。制御信号生成部24は、生成した論理値を出力制御信号DEFとして出力する。
【0041】
次に、出力制御回路16の構成を説明する。図3は、図1に示す出力制御回路16の第1例を示す図である。出力制御回路16は、スイッチング素子30及び32と、抵抗31を備える。図示の構成例は、スイッチング素子30及び32としてNPN型トランジスタを使用するが、他のタイプの能動素子をスイッチング素子として使用してもよい。以下に説明する他の実施例でも同様である。
【0042】
トランジスタ32は、出力制御信号DEFに応じて、マイクロプロセッサ10の出力線17のA点に電気的に接続される制御線18と上記所定値に対応する電位との間の接続を開閉する。図3に示す例の場合、トランジスタ32は、出力制御信号DEFが値「V1」であるとき制御線18とグランド(GND)とを接続し、出力制御信号DEFが値「V2」であるとき制御線18とグランド(GND)との接続を切断する。この場合、所定値に対応する電位が示す論理値は「L」である。
【0043】
トランジスタ30のコレクタは抵抗31を介して所定の正電位が与えられ、エミッタは接地され、出力制御信号DEFはトランジスタ30のベースに入力される。トランジスタ30のコレクタ電圧はトランジスタ32のベースに入力され、トランジスタ32のエミッタが接地される。このようにトランジスタ30及び32を接続することにより、制御線18が接続されるトランジスタ32のコレクタは、出力制御信号DEFの論理値に応じてグランドに接続される。
【0044】
次に、ウオッチドッグカウンタ信号WDCとスリープ信号SLによるマイクロプロセッサの出力論理値の制御方法について説明する。まず、比較のために、図1〜図3を参照して上述した制御装置による制御方法とは異なる他の制御方法を説明する。図4は、マイクロプロセッサの出力論理値の他の制御方法の一例を示す。
【0045】
なお、図4の制御方法の例は、マイクロプロセッサ10が動作を開始した直後の出力制御信号DEFの初期値が「V2」である点で、少なくとも図1〜図3を参照して上述した制御装置の制御方法と異なる。図1〜図3を参照して上述した制御装置は、マイクロプロセッサ10が動作を開始してから、所定期間T1に亘ってウオッチドッグカウンタ信号が入力されるまでの間の出力制御信号DEFの初期値は「V1」である。
【0046】
図4の(A)は、バッテリ2から制御装置1への電源供給のスイッチ3のオンオフを示すタイムチャートであり、図4の(B)は、マイクロプロセッサ10への供給電源へ変換する電源回路11のオンオフを示すタイムチャートである。
【0047】
図4の(C)〜図4の(G)は、それぞれ、ウオッチドッグカウンタ信号WDC、リセット信号RS、出力制御信号DEF、マイクロプロセッサ10の論理出力値、及び出力ドライバ12の出力のタイムチャートを示す。
【0048】
時刻t1においてスイッチ3がオンになり、電源回路11がオンになることによってマイクロプロセッサ10が動作を開始する。図4の(C)はウオッチドッグカウンタ信号WDCのタイムチャートは、ウオッチドッグカウンタ信号WDCの入力がないことを示している。
【0049】
マイクロプロセッサ10の動作中に、所定期間T0に亘ってウオッチドッグカウンタ信号WDCが入力されないとき、時刻t2においてリセット信号RSの値は論理値「H」から「L」に変化し、マイクロプロセッサ10がリセットされる。マイクロプロセッサ10のリセット後にリセット信号RSの論理値は「H」に復帰する。
【0050】
時刻t1においてスイッチ3がオンになった直後の出力制御信号DEFの初期値は「V2」である。時刻t2においてリセット信号RSが出力されると、出力制御信号DEFの値は「V1」へ変化する。出力制御信号DEFの値は、リセット信号RSの復帰後、所定期間T0よりも長い遅延時間が経過した後に「V2」へ復帰する。
【0051】
したがって、マイクロプロセッサ10がリセットされてもマイクロプロセッサ10が異常から回復せず、ウオッチドッグカウンタ信号WDCの出力が開始しない場合には、出力制御信号DEFの値は「V2」に回復しない。図4の(E)の例では、時刻t2以降、出力制御信号DEFは「V1」の値を維持する。
【0052】
図4の(F)に示すタイムチャートは、異常により、マイクロプロセッサ10の出力論理値が「H」になっている状態を示す。マイクロプロセッサ10の出力論理値は、リセット期間を除いて値「H」のまま固定されている。
【0053】
出力制御信号DEFの値が「V1」である間、出力ドライバ12の入力は所定値に固定される。図4の(F)に示すタイムチャートは、所定値を入力する出力ドライバ12の出力がオフになる状態を示している。出力制御信号DEFにより、時刻t2のリセット信号RS生成後は、マイクロプロセッサ10の出力に関わらず出力ドライバ12の出力はオフになる。出力ドライバ12の出力がオフである間は負荷4が動作しないため安全性が保たれる。
【0054】
しかしながら、図4の制御方法の例の場合、スイッチ3がオンになる時刻t1からリセット信号RSが生成される時刻t2までの間、異常によって出力ドライバ12の出力がオンになり、負荷4に誤動作の恐れが生じる。
【0055】
図5は、制御方法の更なる他の例を示す。図5の制御方法の例では、ウオッチドッグカウンタ信号WDCの入力が無くても、マイクロプロセッサ10がスリープ状態の間は出力制御信号DEFの値を「V1」へ変化させない点で、図1〜図3を参照して上述した制御装置の動作と異なる。
【0056】
図5の(A)〜図5の(G)は、スイッチ3のオンオフ、電源回路11のオンオフ、スリープ信号SL、ウオッチドッグカウンタ信号WDC、出力制御信号DEF、マイクロプロセッサ10の論理出力値、及び出力ドライバ12の出力のタイムチャートを示す。
【0057】
時刻t1においてスイッチ3がオンになり、電源回路がオンになることによってマイクロプロセッサ10が動作を開始する。図4の(D)のタイムチャートはウオッチドッグカウンタ信号WDCの入力があることを示している。
【0058】
時刻t1においてスイッチ3がオンになった直後の出力制御信号DEFの初期値は「V2」である。所定期間T0に亘ってウオッチドッグカウンタ信号WDCが入力されているので、時刻t2においてリセット信号RSは生成されない。このため、出力制御信号DEFの値は「V2」を維持する。
【0059】
図5の(C)に示すように、時刻t3において、マイクロプロセッサ10がスリープ状態になることによって、スリープ信号SLの値は「H」から「L」に変化する。マイクロプロセッサ10がスリープ状態になると、ウオッチドッグカウンタ信号WDCの入力が中断する。図5の制御方法の例の場合、スリープ状態中は、ウオッチドッグカウンタ信号WDCの入力が中断しても、出力制御信号DEFの値を「V1」へ変化させない。
【0060】
図5の(F)は、マイクロプロセッサ10のスリープ状態中の異常により、時刻t4において、マイクロプロセッサ10の出力論理値が「H」になっている状態を示す。このとき、出力制御信号DEFの値は依然として「V2」のままなので、異常によって出力ドライバ12の出力がオンになり、負荷4に誤動作の恐れが生じる。
【0061】
続いて、図1〜図3を参照して上述した制御装置における出力制御信号DEFの値の決定方法を説明する。図6は、出力制御信号DEFの値の決定方法の説明図である。なお、他の実施態様においては、下記のオペレーションAA〜AFの各オペレーションはステップであってもよい。
【0062】
オペレーションAAにおいて監視装置15は、初期値「V1」を持つ出力制御信号DEFを出力する。オペレーションABにおいて監視装置15は、スイッチ3がオンになったか否かを判定する。スイッチ3がオフである場合(オペレーションAB:N)、処理はオペレーションAAに戻る。スイッチ3がオンである場合(オペレーションAB:Y)、処理はオペレーションACへ進む。
【0063】
オペレーションACにおいて監視装置15は、ウオッチドッグカウンタ信号WDCの入力が正常か否かを判定する。ウオッチドッグカウンタ信号WDCの入力が正常である場合、処理はオペレーションAEへ進む。ウオッチドッグカウンタ信号WDCの入力が正常でない場合、処理はオペレーションADへ進む。
【0064】
オペレーションADにおいて監視装置15は、値「V1」を持つ出力制御信号DEFを出力する。その後処理をオペレーションABへ戻す。オペレーションAEにおいて監視装置15は、マイクロプロセッサ10の動作モードが所定のモードであるか否かを判定する。所定のモードは、例えば上記説明したスリープ状態であってよい。マイクロプロセッサ10の動作モードが所定のモードである場合(オペレーションAE:Y)、処理はオペレーションADへ進む。マイクロプロセッサ10の動作モードが所定のモードでない場合(オペレーションAE:N)、処理はオペレーションAFへ進む。
【0065】
オペレーションAFにおいて、監視装置15は、値「V2」を持つ出力制御信号DEFを出力する。その後処理をオペレーションABへ戻す。
【0066】
続いて、図6の決定方法により決定される出力制御信号DEFによるマイクロプロセッサ10の出力論理値の制御を説明する。図7は、図1〜図3を参照して上述した制御装置1において実施されるマイクロプロセッサ10の出力論理値の制御を示す。
【0067】
図7の(A)〜図7の(G)は、スイッチ3のオンオフ、電源回路11のオンオフ、スリープ信号SL、ウオッチドッグカウンタ信号WDC、出力制御信号DEF、マイクロプロセッサ10の論理出力値、及び出力ドライバ12の出力のタイムチャートを示す。
【0068】
時刻t1においてスイッチ3がオンになり、電源回路11がオンになることによってマイクロプロセッサ10が動作を開始する。また、図7の(C)に示すように、時刻t3において、マイクロプロセッサ10がスリープ状態になることによって、スリープ信号SLの値は「H」から「L」に変化する。図7の(D)に示す通り、時刻t1から時刻t3までの間、ウオッチドッグカウンタ信号WDCが入力される。
【0069】
図7の(E)に示すように、出力制御信号DEFの初期値は「V1」であり、監視装置15は、所定期間T1に亘ってウオッチドッグカウンタ信号が入力された時刻t2に出力制御信号DEFの値を「V2」へ変化させる。
【0070】
このように、出力制御信号DEFの初期値を「V1」とすることにより、マイクロプロセッサ10が動作を開始した直後にウオッチドッグカウンタ信号の入力が正常か否か判定するまでの間、誤って出力ドライバ12を動作させてしまう問題が解消される。
【0071】
図7の(E)に示すように、時刻t3においてマイクロプロセッサ10がスリープ状態になると、監視装置15は出力制御信号DEFの値を「V1」へ変化させる。その後の時刻t4において、マイクロプロセッサ10のスリープ状態中の異常によって、マイクロプロセッサ10の出力論理値が「H」になる(図7の(F))。
【0072】
図7の(E)に示すように、時刻t4において出力制御信号DEFの値は「V1」なので、出力ドライバ12に入力される論理値は、出力ドライバ12の出力をオフにするように定められた所定値に固定される。このため出力ドライバ12の出力はオフのまま保たれ、安全性が確保される。
【0073】
本実施例によれば、スリープ状態などの、ウオッチドッグカウンタ信号の出力がないことが予定されている所定の動作モード中にマイクロプロセッサ10に異常が発生した場合でも、負荷を制御するマイクロプロセッサ10の出力論理値を所定値に固定できる。このため、所定の動作モード中に生じた異常によって負荷が危険側に動作することが防止できる。
【0074】
また、ウオッチドックカウンタ信号の異常時、及びマイクロプロセッサの所定の動作モード時のどちらでも出力論理値を固定する場合に、ウオッチドックカウンタ信号の監視により出力論理値を固定する処理と、所定の動作モード時に出力論理値を固定する処理との間で、出力論理値を固定する回路を兼用することができる。このため回路構成が簡素化される。
【0075】
次に、出力制御回路16の他の構成例を説明する。A点に与える上記所定値は、出力ドライバ12に所定値が入力された場合に負荷4が安全側に動作するように、任意に定めてよい。したがって、出力ドライバ12や負荷4に応じて適切な値が所定値として選択される。このため、所定値として、上記の例のように論理値「L」に対応する電位だけでなく論理値「H」に対応する電位を使用する場合もある。以下の構成例では、A点の電位を論理値「H」に対応する所定値に固定する。図8は、図2に示す出力制御回路16の第2例を示す図である。
【0076】
出力制御回路16は、スイッチング素子30及び32と、抵抗31を備える。トランジスタ30のコレクタは抵抗31を介して所定の正電位が与えられ、エミッタは接地され、出力制御信号DEFはトランジスタ30のベースに入力される。トランジスタ30のコレクタ電圧はトランジスタ32のベースに入力され、論理値「H」に対応する電位にコレクタエミッタ間電圧に対応する電位差を加えた電位がトランジスタ32のコレクタに与えられる。このようにトランジスタ30及び32を接続することにより、制御線18が接続されるトランジスタ32のエミッタは、出力制御信号DEFの論理値に応じて論理値「H」に対応する電位に接続される。
【0077】
上記の実施例では、監視装置15はマイクロプロセッサ10がスリープ状態であるとき、値「V1」の出力制御信号DEFを出力する。これに代えて又はこれに加えて、監視装置15は、他の所定の動作モードの場合に値「V1」の出力制御信号DEFを出力するように構成されてもよい。例えば、監視装置15は、マイクロプロセッサ10がウオッチドックカウンタ信号WDCを出力しないことが予定されている他の所定の動作モードにおいて、値「V1」の出力制御信号DEFを出力してよい。このような動作モードとして、例えば、マイクロプロセッサ10内の不揮発性メモリの書き換えを行う動作モードがある。
【符号の説明】
【0078】
1 制御装置14 出力遮断部
15 監視装置
16 出力制御回路
20 電源低下検知部
21 第1監視部
22 第2監視部
23 論理回路
24 制御信号生成部
25 リセット信号生成部