DE102007035584B4 - Watchdog-Vorrichtung zur Überwachung eines elektronischen Systems - Google Patents

Watchdog-Vorrichtung zur Überwachung eines elektronischen Systems Download PDF

Info

Publication number
DE102007035584B4
DE102007035584B4 DE102007035584A DE102007035584A DE102007035584B4 DE 102007035584 B4 DE102007035584 B4 DE 102007035584B4 DE 102007035584 A DE102007035584 A DE 102007035584A DE 102007035584 A DE102007035584 A DE 102007035584A DE 102007035584 B4 DE102007035584 B4 DE 102007035584B4
Authority
DE
Germany
Prior art keywords
watchdog
reset
escalation
correct
error
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102007035584A
Other languages
English (en)
Other versions
DE102007035584A1 (de
Inventor
Rainer Troppmann
Giuseppe Maimone
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Texas Instruments Deutschland GmbH
Original Assignee
Texas Instruments Deutschland GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Texas Instruments Deutschland GmbH filed Critical Texas Instruments Deutschland GmbH
Priority to DE102007035584A priority Critical patent/DE102007035584B4/de
Priority to PCT/EP2008/059957 priority patent/WO2009016187A2/en
Priority to EP08786592A priority patent/EP2176757A2/de
Priority to US12/182,868 priority patent/US7966528B2/en
Publication of DE102007035584A1 publication Critical patent/DE102007035584A1/de
Application granted granted Critical
Publication of DE102007035584B4 publication Critical patent/DE102007035584B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/542Event management; Broadcasting; Multicasting; Notifications
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2209/00Indexing scheme relating to G06F9/00
    • G06F2209/54Indexing scheme relating to G06F9/54
    • G06F2209/543Local

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Quality & Reliability (AREA)
  • Multimedia (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Watchdog-Vorrichtung zur Überwachung eines elektronischen Systems, wobei die Watchdog-Vorrichtung so eingerichtet ist, dass sie
korrekte Watchdog-Ereignisse, bei denen ein Watchdog-Auslöser korrekt bedient wird und Watchdog-Fehler, bei denen ein Watchdog-Auslöser nicht korrekt bedient wird, vom elektronischen System empfängt und ein Rücksetzsignal (RESET) zum Rücksetzen von Funktionsblöcken des Systems und ein Watchdog-Fehlersignal (WDFault) an das elektronische System ausgibt, wobei die Watchdog-Vorrichtung weiter ausgestaltet ist, um
in einer normalen Betriebsart, in der das Watchdog-Fehlersignal (WDFault) und das Rücksetzsignal (RESET) inaktiv sind, einen ersten Watchdog-Fehler zu detektieren, und bei Detektion des Watchdog-Fehlers von der normalen Betriebsart in eine erste Eskalationsstufe einzutreten und das Watchdog-Fehlersignal (WDFault) auf aktiv zu setzen, bis ein korrektes Watchdog Ereignis auftritt, und das Rücksetzsignal (RESET) auf inaktiv zu lassen, wobei in der ersten Eskalationsstufe ein erster Zähler (sa: = sa + 1) zum Zählen weiterer Watchdog-Fehler vorgesehen ist
und die erste Eskalationsstufe verlassen wird, wenn eine erste...

Description

  • Die vorliegende Erfindung betrifft eine Watchdog-Vorrichtung zur Überwachung eines elektronischen Systems.
  • Watchdog-Mechanismen werden in elektronischen Vorrichtungen wie Watchdog-Vorrichtungen, Mikrocontrollern, digitalen Signalprozessoren (DSPs) oder jeglicher anderer Art von Prozessor mit einer CPU und ausgeführten Programmen verwendet. Diese elektronischen Vorrichtungen sind normalerweise Teil eines elektronischen Systems, das z. B. als Systemüberwachung agiert. Ein Watchdog-Mechanismus basiert typischerweise auf einem Zähler, wobei der Zähler durch den Systemtakt oder einen von dem Systemtakt abgeleiteten Takt getaktet ist. Der Zähler gibt jedes Mal dann, wenn ein vordefinierter Zählerstand erreicht wird, einen Watchdog-Fehler aus. Der Watchdog-Fehlerzustand hat normalerweise ein Rücksetzen des Systems zur Folge, um das System in einen genau festgelegten Ausgangszustand zurückzusetzen, falls der Zähler nicht durch einen Watchdog-Auslöser (”watchdog trigger”) bedient wird, bevor der vordefinierte Zählerzustand erreicht wird, z. B. da das den Watchdog-Auslöser ausgebende Programm hängt oder fehlerhaft funktioniert. Es kann jedoch sein, dass das Systemrücksetzen nicht das geeignete Mittel zur Überwindung der Probleme der CPU ist. Falls die CPU ernsthafte technische Probleme aufweist, kann ein bloßes Rücksetzen einen Verlust interner Daten verursachen. Ebenso ist die CPU während der für das Rücksetzen benötigten Zeit nicht für andere Datenverarbeitungsaufgaben verfügbar, was eine Verschwendung von CPU-Verarbeitungszeit darstellen kann, wenn lediglich ein kleines und kurzzeitiges Problem vorliegt.
  • US 5,961,622 A beruht auf der Problematik, dass anstelle zweier separater Timer zur Überwachung der Funktion der CPU und des Busses ein einzelner Timer zum Einsatz kommen soll. Daher wird vorgeschlagen in Reaktion auf das Auftreten eines ersten Time-Outs, eine erste Maßnahme zu ergreifen, die auf die Behebung eines der zwei möglichen Probleme gerichtet ist. Hat diese Maßnah me keinen Erfolg, wird das in einem Register vermerkt und die zweite Maßnahme wird ergriffen, die auf das andere Problem gerichtet ist. Dies ermöglicht jedoch nicht, auf gehäuft auftretende Fehler ungeachtet ihrer Ursache angemessen zu reagieren.
  • Es ist eine Aufgabe der vorliegenden Erfindung, eine elektronische Vorrichtung bereitzustellen, die eingerichtet ist, um ungeachtet der konkreten Ursache von Watchdog-Fehlern, auf das gehäufte Auftreten von Watchdog-Fehlern und korrekten Watchdog-Ereignissen so zu reagieren, dass eine Verlust von Daten und Verarbeitungszeit vermieden wird.
  • Die Aufgabe wird mit einer Vorrichtung gemäß Anspruch 1 gelöst.
  • Der Watchdog-Fehler und das Systemrücksetzen werden typischerweise als Signal ausgegeben, sind aber auch als ein den Signalwert angebendes Flag verfügbar.
  • In einer normalen Betriebsart wird ein Watchdog-Fehler, bei dem es sich um ein Watchdog-Ereignis handelt, bei dem ein Watchdog-Auslöser nicht korrekt bedient wird, detektiert. Bei Detektion des Watchdog-Fehlers tritt die elektronische Vorrichtung von der normalen Betriebsart in eine erste Eskalationsstufe ein. Die Eskalationsstufe kann eine von nx Eskalationsstufen sein, wobei nx eine ganze Zahl gleich oder größer 1 ist. In dieser ersten Eskalationsstufe werden korrekte Watchdog-Ereignisse, bei denen es sich um Watchdog-Ereignisse handelt, bei denen ein Watchdog-Auslöser korrekt bedient wird, und Watchdog-Fehler detektiert. Die elektronische Vorrichtung verbleibt in der ersten Eskalationsstufe, bis eine bestimmte erste Eskalationsbedingung erfüllt wird, die auf den detektierten korrekten Watchdog-Ereignissen und den detektierten Watchdog-Fehlern basiert. Somit stellt die vorliegende Erfindung zumindest eine Eskalationsstufe bereit, in der eine weitere Eskalationsbedingung überwacht wird, bevor die elektronische Vorrichtung zu einer anderen Stufe vorrückt. Hierdurch können die Watchdog-Fehler und das Systemrücksetzen flexibler gehandhabt werden. Insbesondere kann die elektronische Vorrichtung die Programmausführung in dieser ersten Eskalationsstufe fortführen bis die zweite Eskalationsbedingung erfüllt wird. In dem Kontext der vorliegenden Erfindung kann das Programm jede beliebige Art von Operationsfolge sein, die durch Software, Hardware, endliche Automaten, Mikrocode, Nanocode oder Logikgatter usw. implementiert wird.
  • Die erste Eskalationsbedingung ist erfüllt, wenn die Anzahl von gezählten Watchdog-Fehlern eine maximale Anzahl von Watchdog-Fehlern überschreitet, oder wenn ein korrektes Watchdog-Ereignis vor Ablauf einer ersten Wiederherstellungszeit nach der Detektion des letzten Watchdog-Fehlers nicht detektiert wird. Somit kann es eine Zeitbegrenzung in Form einer Wiederherstellungszeit geben, während derer zumindest ein korrektes Watchdog-Ereignis detektiert werden muss. Des Weiteren kann der entsprechende Watchdog-Fehler-Zähler bei jedem Auftreten eines Watchdog-Fehlers erhöht werden.
  • Es sind mindestens zwei weitere Eskalationsstufen bis zu einer theoretisch unbegrenzten Anzahl vorgesehen. Die zweite Eskalationsstufe kann im Wesentlichen dieselben oder unterschiedliche Eigenschaften in Bezug auf die erste Eskalationsstufe haben. In dieser Situation kann die elektronische Vorrichtung nach Verlassen der ersten Eskalationsstufe in eine zweite Eskalationsstufe eintreten und in der zweiten Eskalationsstufe bleiben, bis eine zweite Eskalationsbedingung erfüllt wird.
  • In der zweiten Eskalationsstufe werden die Watchdog-Fehler detektiert und gezählt, und korrekte Watchdog-Ereignisse können gleichzeitig detektiert werden. Die zweite Eskalationsbedingung ist so vorbestimmt, dass eine maximale Anzahl von Watchdog-Fehlern erreicht wird oder ein korrektes Watchdog-Ereignis nicht detektiert wird, bevor eine zweite Wiederherstellungszeit nach Detektion des letzten Watchdog-Fehlers verstrichen ist. Die Länge der zweiten und der ersten Wiederherstellungszeit kann gleich oder unterschiedlich sein. In der zweiten Eskalationsstufe wird ein Rücksetzsignal aktiviert. Das Rücksetzsignal kann zum Rücksetzen von bestimmten Teilen oder Stufen des Systems (z. B. der CPU) oder einer begrenzten Anzahl von Funktionsblöcken einer elektronischen Vorrichtung verwendet werden. Die Watchdog-Einheit (”watchdog unit”) wird nicht in der zweiten Eskalationsstufe zurückgesetzt. Allgemein kann es eine unbegrenzte Anzahl von Eskalationsstufen geben, die gleich sind wie die erste Eskalationsstufe, bevor die elektronische Vorrichtung letztendlich in eine Eskalationsstufe der Art der zweiten Eskalationsstufe eintritt, in der ein Rücksetzsignal ausgegeben wird. In einer zweiten Eskalationsstufe wird das Rücksetzsignal deaktiviert, wenn eine begrenzte Rücksetzzeit verstrichen ist. Ebenso wird das Rücksetzsignal bei jeder Detektion eines Watchdog-Fehlers die begrenzte Rücksetzzeit lang aktiviert. Die Detektion von Watchdog-Fehlern und korrekten Watchdog-Ereignissen wird während des für das Rücksetzen benötigten Zeitintervalls eingestellt. Dementsprechend wird das Rücksetzsignal lediglich eine Zeit lang aufrechterhalten, die ausreicht, um das System korrekt zurückzusetzen. Nach Rücksetzen des Systems bleibt die elektronische Vorrichtung jedoch in der zweiten Eskalationsstufe und fährt mit dem Betrieb fort, bis eine zweite Eskalationsbedingung erfüllt wird.
  • Nach dem Verlassen einer Eskalationsstufe einer zweiten Art tritt die elektronische Vorrichtung und somit das System in einen finalen abgesicherten Zustand ein. Der finale abgesicherte Zustand ist ein Zustand, in dem das System, zu dem die elektronische Vorrichtung gehört, durch anwendungsspezifische Maßnahmen abgesichert wird. Die elektronische Vorrichtung kann zum Beispiel ein in einem Auto zur Steuerung der Bremsen verwendeter Mikrocontroller sein. Wenn der Mikrocontroller fehlerhaft funktioniert, d. h. wenn Watchdog-Fehler auftreten, kann der Mikrocontroller von normaler Betriebsart in eine erste Eskalationsstufe eintreten und von dort aus in eine zweite Eskalationsstufe. Wenn die Vorrichtung nach Rücksetzen in der zweiten Eskalationsstufe noch immer fehlerhaft funktioniert, tritt die Vorrichtung in einen abgesicherten Zustand ein, in dem die Grundfunktionalität der Bremsen irgendwie aufrechterhalten wird. Nach Durchführung der notwendigen Schritte zur Sicherstellung, dass die Bremsen weiterhin funktionieren, kann der Mikrocontroller dann zum Beispiel abgeschaltet werden. Andere Anwendungen können es erfordern, dass bestimmte Daten von flüchtigem Speicher in nichtflüchtigen Speicher kopiert werden, wenn der abgesicherte Zustand eintritt.
  • Nach Ablauf der Rücksetzzeit werden weitere Watchdog-Fehler detektiert und gezählt. Gleichzeitig mit der Detektion und Zählung der Watchdog-Fehler werden korrekte Watchdog-Ereignisse detektiert. Bei jeder Detektion eines Watchdog-Fehlers wird ein weiterer Rücksetzimpuls ausgegeben, d. h. das Rücksetzsignal wird die begrenzte Rücksetzzeit lang aktiviert. Schließlich treten die elektronische Vorrichtung und somit das System in einen finalen abgesicherten Zustand ein, wenn eine maximal Anzahl von Watchdog-Fehlern erreicht wird oder ein korrektes Watchdog-Ereignis nicht detektiert wird, bevor eine zweite Wiederherstellungszeit nach Detektion des letzten Watchdog-Fehlers verstrichen ist. In diesem Zustand kann das Rücksetzsignal zum Beispiel aktiviert bleiben. Ebenso können in dem abgesicherten Zustand wichtige Daten dauerhaft gespeichert oder von einem flüchtigen Speicher in einen nichtflüchtigen Speicher verlagert werden. Es können in dem Prozessor Notfunktionen installiert sein, um die notwendigen Datenrettungsschritte in dem abgesicherten Zustand durchzuführen.
  • Gemäß der vorliegenden Erfindung werden Watchdog-Ereignisse flexibler gehandhabt. Wenn ein Prozessor, der die vorliegende Erfindung anwendet, einen Watchdog-Fehler erzeugt, kann der Prozessor in der ersten Eskalationsstufe bleiben. Es wird kein Rücksetzimpuls ausgegeben. Des Weiteren kann der normale Betrieb des Prozessors fortgeführt werden, und wichtige Verarbeitungszeit bleibt erhalten.
  • Jede der Eskalationsstufen und ebenso die abgesicherte Betriebsart können mehrere Zustände enthalten. Die erste Eskalationsstufe kann zum Beispiel einen ersten Zustand und einen zweiten Zustand enthalten, die von dem letzten detektierten Watchdog-Ereignis abhängen. Ebenso kann die zweite Eskalationsstufe zwei Zustände enthalten; einen ersten Zustand, wenn das letzte detektierte Ereignis ein Watchdog-Fehler war, und einen zweiten Zustand, wenn das letzte Ereignis ein korrektes Watchdog-Ereignis war. Die elektronische Vorrichtung kann dann zwischen den beiden Zuständen hin- und herschalten, bis die Eskalationsbedingung erfüllt wird. In der zweiten Eskalationsstufe kann einer der Zustände die Ausgabe des Rücksetzimpulses enthalten, während der andere Zustand kein Rücksetzsignal auslöst.
  • Weitere Aspekte der vorliegenden Erfindung ergeben sich aus der untenstehenden Beschreibung der bevorzugten Ausführungsformen der vorliegenden Erfindung unter Bezugnahme auf die beigefügten Zeichnungen. Es zeigen:
  • 1 ein vereinfachtes Zustandsdiagramm, das die Schritte gemäß der vorliegenden Erfindung darstellt,
  • 2 Signale, die sich auf die erste Eskalationsstufe gemäß der vorliegenden Erfindung beziehen, und
  • 3 Signale, die sich auf die zweite Eskalationsstufe gemäß der vorliegenden Erfindung beziehen.
  • 1 zeigt die verschiedenen Stufen bzw. Zustände einer gemäß der vorliegenden Erfindung ausgeführten elektronischen Vorrichtung. In einer normalen Betriebsart bleibt die elektronische Vorrichtung so lange in Zustand S1 wie sie korrekte Watchdog-Auslöser (korrekte WD-Trigger) wahrnimmt, und die Signale und die zugehörigen Flags WDFault und Reset sind inaktiv. Die Parameter sa und ha werden initialisiert und auf Null gesetzt. Wenn ein Watchdog-Fehler (d. h. ein inkorrekter WD-Trigger) detektiert wird, tritt die elektronische Vorrichtung in Zustand S2 in Eskalationsstufe 1 ein. In der Eskalationsstufe 1 wird der Parameter sa bei jeder Detektion eines Watchdog-Fehlers (eines inkorrekten WD-Triggers) um Eins erhöht. In Zustand B2 bleiben das WDFault-Signal und das zugehörige Flag aktiv, und das Rücksetzsignal Reset und das zugehörige Flag bleiben inaktiv. Wenn ein korrekter WD-Trigger detektiert wird, tritt der Prozessor in Zustand S3 ein, in dem das WDFault-Signal und das zugehörige Flag auf inaktiv gesetzt werden. Die elektronische Vorrichtung bleibt so lange in Zustand S3 wie korrekte WD-Trigger detektiert werden. Wenn jedoch entweder die maximale Anzahl samax inkorrekter WD-Trigger erreicht wird, (d. h. wenn sa = samax) oder innerhalb eines ersten Wiederherstellungszeitfensters trecover1 kein korrekter WD- Trigger detektiert wird, fährt die elektronische Vorrichtung mit Zustand S4 in der zweiten Eskalationsstufe (Eskalationsstufe 2) fort. Ebenso werden in Zustand S4, das WDFault-Signal und das zugehörige Flag so lange auf aktiv gesetzt, wie keine korrekten WD-Trigger detektiert werden. Bei jeder Detektion eines inkorrekten WD-Triggers wird der Parameter ha um Eins erhöht. Wenn ein korrekter WD-Trigger auftritt, begibt sich der Prozessor in Zustand S5, und das WDFault-Signal und das zugehörige Flag werden auf inaktiv gesetzt. Des Weiteren werden das Rücksetzsignal Reset und das zugehörige Flag inaktiv. Bei Eintreten in Zustand S4 in Eskalationsstufe 2 wird jedoch zumindest ein Rücksetzimpuls erzeugt, indem Reset auf einen aktiven Zustand gesetzt wird. Danach bleibt die elektronische Vorrichtung ohne weitere Rücksetzimpulse lediglich so lange in Zustand S5 wie korrekte WD-Trigger detektiert werden. Wenn innerhalb eines zweiten Wiederherstellungszeiffensters trecove2 kein korrekter WD-Trigger detektiert wird oder die maximale Anzahl hamax inkorrekter WD-Trigger erreicht wird (d. h. ha = hamax), tritt die elektronische Vorrichtung in einen abgesicherten Zustand S6 ein. In dem abgesicherten Zustand bleiben zum Beispiel WDFault und Reset beide aktiv, und es können spezielle Datenschutz- oder -sicherungsmaßnahmen durchgeführt werden.
  • 2 zeigt Signale, die sich auf die erste Eskalationsstufe, Eskalationsstufe 1, beziehen. 2(a) stellt eine Situation dar, in der sa < samax ist und innerhalb der ersten Wiederherstellungszeit trecover1 ein korrekter WD-Trigger empfangen wird. Dementsprechend bleibt das Rücksetzsignal Reset inaktiv, und das Watchdog-Fehlersignal WDFault schaltet bei Auftreten eines ersten Watchdog-Fehlers WDFault von hoch auf niedrig um. Innerhalb der Wiederherstellungszeit trecover1 tritt jedoch ein korrektes Watchdog-Ereignis WD-Trigger auf, und das Watchdog-Fehlersignal WDFault wird auf inaktiv gesetzt, d. h. zurück auf hohe Logik. Des Weiteren beziehen sich 2(b) und (c) auf eine Situation, in der sa = samax ist, aber innerhalb der ersten Wiederherstellungszeit trecover1 kein korrekter WD-Trigger detektiert wird. Dementsprechend schaltet die elektronische Vorrichtung auf die nächste Stufe, die Zustand S4 in Eskalationsstufe 2 ist, sobald der letzte Watchdog-Fehler WDFault auftritt. Ebenso schaltet die elektronische Vorrichtung, wie in 2(c) gezeigt, auf die nächste Stufe, die die zweite Eskalationsstufe ist, um, wenn die erste Wiederherstellungszeit trecover1 verstreicht, bevor ein korrekter Watchdog-Auslöser empfangen wird.
  • 3 zeigt Signale, die sich auf die zweite Eskalationsstufe beziehen. In der zweiten Eskalationsstufe wird ein Rücksetzimpuls ausgegeben, um die elektronische Vorrichtung zurückzusetzen. Die Situation für ha < hamax ist in 3(a) gezeigt. Wenn ein korrektes Watchdog-Ereignis detektiert wird (durch WD-Trigger in 3(a) angezeigt), wird WDFault auf inaktiv gesetzt, d. h. WDFault d. h. wird auf hohe Logik gesetzt. 3(d) und (c) betreffen eine Situation, in der ha = hamax ist, oder in der innerhalb der zweiten Wiederherstellungszeit trecover2 kein korrekter WD-Trigger detektiert wird. Dementsprechend schaltet das System auf die nächste Stufe, die der abgesicherte Zustand S6 ist, um, wenn der nächste Watchdog-Fehler WDFault detektiert wird. Ebenso schaltet das System in den abgesicherten Zustand S6 um, wenn die zweite Wiederherstellungszeit trecover1 ohne ein korrektes Watchdog-Ereignis verstreicht. 3(a) betrifft eine Situation, in der ha < hamax ist und innerhalb der zweiten Wiederherstellungszeit trecover2 ein korrekter WD-Trigger detektiert wird.
  • Obwohl die ausführliche Beschreibung der bevorzugten Ausführungsformen der Erfindung ein Verfahren beschreibt, kann eine elektronische Vorrichtung, insbesondere jede beliebige integrierte elektronische Vorrichtung mit einer CPU, gemäß den Verfahrensschritten eingerichtet werden. Des Weiteren ist die Anzahl von Eskalationsstufen nicht auf eine erste Eskalationsstufe ohne Rücksetzen und eine zweite Eskalationsstufe mit einer Rücksetzfunktion beschränkt. Die Anzahl der Eskalationsstufen der ersten Art oder der zweiten Art kann eine ganze Zahl gleich oder größer 1 sein. Ebenso kann die Folge von Eskalationsstufen mit und ohne Rücksetzen jede beliebige Folge von ersten und zweiten Eskalationsstufen sein. Der abgesicherte Zustand kann ebenfalls direkt nach der ersten Eskalationsstufe erreicht werden, wenn eine zweite Eskalationsstufe mit Rücksetzen nicht benötigt wird.

Claims (1)

  1. Watchdog-Vorrichtung zur Überwachung eines elektronischen Systems, wobei die Watchdog-Vorrichtung so eingerichtet ist, dass sie korrekte Watchdog-Ereignisse, bei denen ein Watchdog-Auslöser korrekt bedient wird und Watchdog-Fehler, bei denen ein Watchdog-Auslöser nicht korrekt bedient wird, vom elektronischen System empfängt und ein Rücksetzsignal (RESET) zum Rücksetzen von Funktionsblöcken des Systems und ein Watchdog-Fehlersignal (WDFault) an das elektronische System ausgibt, wobei die Watchdog-Vorrichtung weiter ausgestaltet ist, um in einer normalen Betriebsart, in der das Watchdog-Fehlersignal (WDFault) und das Rücksetzsignal (RESET) inaktiv sind, einen ersten Watchdog-Fehler zu detektieren, und bei Detektion des Watchdog-Fehlers von der normalen Betriebsart in eine erste Eskalationsstufe einzutreten und das Watchdog-Fehlersignal (WDFault) auf aktiv zu setzen, bis ein korrektes Watchdog Ereignis auftritt, und das Rücksetzsignal (RESET) auf inaktiv zu lassen, wobei in der ersten Eskalationsstufe ein erster Zähler (sa: = sa + 1) zum Zählen weiterer Watchdog-Fehler vorgesehen ist und die erste Eskalationsstufe verlassen wird, wenn eine erste Eskalationsbedingung erfüllt wird, die darin besteht, dass die Anzahl (sa) von gezählten Watchdog-Fehlern eine maximale Anzahl mehrerer Watchdog-Fehler überschreitet in eine zweite Eskalationsstufe nach Verlassen der ersten Eskalationsstufe einzutreten und das Rücksetzsignal (RESET) für eine begrenzte Rücksetzzeit auf aktiv zu setzen wenn ein Watchdog-Fehler auftritt, und auf inaktiv zu lassen, wenn ein korrektes Watchdog Ereignis auftritt, und das Watchdog-Fehlersignal (WDFault) auf aktiv zu lassen, wobei in der zweiten Eskalationsstufe ein zweiter Zähler (ha: = ha + 1) zum Zählen weiterer Watchdog-Fehler vorgesehen ist und die Watchdog-Vorrichtung in der zweiten Eskalationsstufe verbleibt, bis eine zweite Eskalationsbedingung erfüllt wird, die darin besteht, dass die Anzahl (ha) von gezählten Watchdog-Fehlern eine maximale Anzahl mehrerer Watchdog-Fehler überschreitet und in eine finale abgesicherte Eskalationsstufe nach Verlassen der zweiten Eskalationsstufe einzutreten, in der keine Watchdog-Ereignisse mehr detektiert werden und das Rücksetzsignal (RESET) und Watchdog-Fehlersignal (WDFault) auf aktiv verbleiben.
DE102007035584A 2007-07-30 2007-07-30 Watchdog-Vorrichtung zur Überwachung eines elektronischen Systems Active DE102007035584B4 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE102007035584A DE102007035584B4 (de) 2007-07-30 2007-07-30 Watchdog-Vorrichtung zur Überwachung eines elektronischen Systems
PCT/EP2008/059957 WO2009016187A2 (en) 2007-07-30 2008-07-29 Watchdog mechanism with fault recovery
EP08786592A EP2176757A2 (de) 2007-07-30 2008-07-29 Watchdog-mechanismus mit fehlerbehebung
US12/182,868 US7966528B2 (en) 2007-07-30 2008-07-30 Watchdog mechanism with fault escalation

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102007035584A DE102007035584B4 (de) 2007-07-30 2007-07-30 Watchdog-Vorrichtung zur Überwachung eines elektronischen Systems

Publications (2)

Publication Number Publication Date
DE102007035584A1 DE102007035584A1 (de) 2009-02-05
DE102007035584B4 true DE102007035584B4 (de) 2009-12-17

Family

ID=40175663

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102007035584A Active DE102007035584B4 (de) 2007-07-30 2007-07-30 Watchdog-Vorrichtung zur Überwachung eines elektronischen Systems

Country Status (2)

Country Link
US (1) US7966528B2 (de)
DE (1) DE102007035584B4 (de)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8332365B2 (en) 2009-03-31 2012-12-11 Amazon Technologies, Inc. Cloning and recovery of data volumes
US8713060B2 (en) 2009-03-31 2014-04-29 Amazon Technologies, Inc. Control service for relational data management
US9207984B2 (en) 2009-03-31 2015-12-08 Amazon Technologies, Inc. Monitoring and automatic scaling of data volumes
US9705888B2 (en) 2009-03-31 2017-07-11 Amazon Technologies, Inc. Managing security groups for data instances
US8060792B2 (en) * 2009-03-31 2011-11-15 Amazon Technologies, Inc. Monitoring and automated recovery of data instances
US8307003B1 (en) 2009-03-31 2012-11-06 Amazon Technologies, Inc. Self-service control environment
US9135283B2 (en) 2009-10-07 2015-09-15 Amazon Technologies, Inc. Self-service configuration for data environment
US8335765B2 (en) 2009-10-26 2012-12-18 Amazon Technologies, Inc. Provisioning and managing replicated data instances
US8676753B2 (en) * 2009-10-26 2014-03-18 Amazon Technologies, Inc. Monitoring of replicated data instances
US8074107B2 (en) 2009-10-26 2011-12-06 Amazon Technologies, Inc. Failover and recovery for replicated data instances
JP5716396B2 (ja) * 2010-02-05 2015-05-13 富士通株式会社 情報処理装置及び情報処理方法
US9448811B2 (en) 2011-11-23 2016-09-20 Freescale Semiconductor, Inc. Microprocessor device, and method of managing reset events therefor
SG11202111296TA (en) 2019-04-25 2021-11-29 Aerovironment Inc Methods of climb and glide operations of a high altitude long endurance aircraft
WO2020219765A1 (en) * 2019-04-25 2020-10-29 Aerovironment, Inc. Systems and methods for distributed control computing for a high altitude long endurance aircraft
AU2020313562A1 (en) 2019-04-25 2021-11-11 Aerovironment, Inc. Ground support equipment for a high altitude long endurance aircraft
EP4123455B1 (de) * 2021-07-23 2024-03-06 Nxp B.V. Fehlerwiederherstellungssystem für funktionsschaltungen

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2329266A (en) * 1997-09-10 1999-03-17 Ibm Automatic error recovery in data processing systems
US5961622A (en) * 1997-10-23 1999-10-05 Motorola, Inc. System and method for recovering a microprocessor from a locked bus state

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5546452A (en) * 1995-03-02 1996-08-13 Geotel Communications Corp. Communications system using a central controller to control at least one network and agent system
US6292718B2 (en) * 1999-01-28 2001-09-18 International Business Machines Corp. Electronic control system
DE19958825A1 (de) * 1999-12-07 2001-06-13 Zeiss Carl Jena Gmbh Verfahren zur Kontrolle eines Steuerungssystems
DE10065118A1 (de) * 2000-12-28 2002-07-04 Bosch Gmbh Robert System und Verfahren zur Steuerung und/oder Überwachung eines wenigstens zwei Steuergeräte aufweisenden Steuergeräteverbundes
DE10162853C1 (de) * 2001-12-17 2003-06-05 Iav Gmbh Kraftfahrzeugsteuersystem und Verfahren zur Kraftfahrzeugsteuerung
US7318169B2 (en) * 2002-05-15 2008-01-08 David Czajkowski Fault tolerant computer
US7263632B2 (en) * 2003-05-07 2007-08-28 Microsoft Corporation Programmatic computer problem diagnosis and resolution and automated reporting and updating of the same
KR101578743B1 (ko) * 2007-12-27 2015-12-18 제임스 쥐. 막스 워크 플로우 프로세싱을 위한 시스템 및 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2329266A (en) * 1997-09-10 1999-03-17 Ibm Automatic error recovery in data processing systems
US5961622A (en) * 1997-10-23 1999-10-05 Motorola, Inc. System and method for recovering a microprocessor from a locked bus state

Also Published As

Publication number Publication date
US7966528B2 (en) 2011-06-21
DE102007035584A1 (de) 2009-02-05
US20090037770A1 (en) 2009-02-05

Similar Documents

Publication Publication Date Title
DE102007035584B4 (de) Watchdog-Vorrichtung zur Überwachung eines elektronischen Systems
DE2946081A1 (de) Anordnung zur ueberwachung der funktion eines programmierbaren elektronischen schaltkreises
DE19781620B4 (de) Bus-Patcher
DE102007035586B4 (de) Watchdog-Vorrichtung zur Überwachung eines elektronischen Systems
DE112010005400T5 (de) System für gegenseitige Überwachung von Mikrocomputern und ein Verfahren für gegenseitige Überwachung von Mikrocomputern
EP1866714B1 (de) Verfahren und vorrichtung zur überwachung einer prozessausführung
DE112012006879T5 (de) Neuer Ansatz zum Handhaben eines Controller-Area-Network Bus-Off
DE112018001449T5 (de) Elektronische Steuereinheit
DE102009054637A1 (de) Verfahren zum Betreiben einer Recheneinheit
DE102006041444A1 (de) Schaltungsanordnung und Verfahren zum Erfassen einer Ausführungszeit eines Befehls in einem Rechnersystem
DE102013213087A1 (de) Überwachungsschaltung mit einem fenster-watchdog
DE102004003102A1 (de) System und Verfahren zum Bestimmen einer Transaktionszeitüberschreitung
DE102017011685A1 (de) Verfahren und Vorrichtung zur Verarbeitung von Alarmsignalen
DE102013021231A1 (de) Verfahren zum Betrieb eines Assistenzsystems eines Fahrzeugs und Fahrzeugsteuergerät
DE10162599B4 (de) Verfahren und Vorrichtung zur Überwachung von Drehzahlfühlern auf fehlende Zähne
DE102008004206A1 (de) Anordnung und Verfahren zur Fehlererkennung und -behandlung in einem Steuergerät in einem Kraftfahrzeug
DE102004051991A1 (de) Verfahren, Betriebssystem und Rechengerät zum Abarbeiten eines Computerprogramms
DE102016116221A1 (de) Verfahren und Einrichtung zur Überwachung der Ausführung eines Programmcodes
DE102014003774B4 (de) Analysevorrichtung und Verfahren zur Analyse eines Prüfsignals
DE102017212845B4 (de) Elektronische Steuereinheit
EP1461701B1 (de) Programmgesteuerte einheit mit überwachungseinrichtung
DE102004048945B4 (de) Systemüberwachungseinheit
DE102004051967A1 (de) Verfahren, Betriebssystem und Rechengerät zum Abarbeiten eines Computerprogramms
CH672853A5 (de)
DE102007018003A1 (de) Überwachungseinheit und Auswerteeinheit zum Überprüfen einer Fehlerfreiheit eines Systems

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
R082 Change of representative

Representative=s name: ZELLER, ANDREAS, DE