DE102007035586B4 - Watchdog-Vorrichtung zur Überwachung eines elektronischen Systems - Google Patents

Watchdog-Vorrichtung zur Überwachung eines elektronischen Systems Download PDF

Info

Publication number
DE102007035586B4
DE102007035586B4 DE102007035586A DE102007035586A DE102007035586B4 DE 102007035586 B4 DE102007035586 B4 DE 102007035586B4 DE 102007035586 A DE102007035586 A DE 102007035586A DE 102007035586 A DE102007035586 A DE 102007035586A DE 102007035586 B4 DE102007035586 B4 DE 102007035586B4
Authority
DE
Germany
Prior art keywords
watchdog
escalation
reset
correct
wdfault
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102007035586A
Other languages
English (en)
Other versions
DE102007035586A1 (de
Inventor
Giuseppe Maimone
Rainer Troppmann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Texas Instruments Deutschland GmbH
Original Assignee
Texas Instruments Deutschland GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Texas Instruments Deutschland GmbH filed Critical Texas Instruments Deutschland GmbH
Priority to DE102007035586A priority Critical patent/DE102007035586B4/de
Priority to US12/181,133 priority patent/US7966527B2/en
Priority to PCT/EP2008/059957 priority patent/WO2009016187A2/en
Priority to EP08786592A priority patent/EP2176757A2/de
Publication of DE102007035586A1 publication Critical patent/DE102007035586A1/de
Application granted granted Critical
Publication of DE102007035586B4 publication Critical patent/DE102007035586B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1415Saving, restoring, recovering or retrying at system level
    • G06F11/1441Resetting or repowering

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Watchdog-Vorrichtung zur Überwachung eines elektronischen System, wobei die Watchdog-Vorrichtung so eingerichtet ist, dass sie
korrekte Watchdog-Ereignisse, bei denen ein Watchdog-Auslöser korrekt bedient wird und Watchdog-Fehler, bei denen ein Watchdog-Auslöser nicht korrekt bedient wird vom elektronischen System empfängt und ein Rücksetzsignal (RESET) zum Rücksetzen von Funktionsblöcken des Systems und ein Watchdog-Fehlersignal (WDFault) an das elektronische System ausgibt, wobei die Watchdog-Vorrichtung weiter ausgestaltet ist um
in einer normalen Betriebsart, in der das Watchdog-Fehlersignal (WDFault) und das Rücksetzsignal (RESET) inaktiv sind einen ersten Watchdog-Fehler zu detektieren, und bei Detektion des Watchdog-Fehlers von der normalen Betriebsart in eine erste Eskalationsstufe einzutreten und das Watchdog-Fehlersignal (WDFault) auf aktiv zu setzen bis ein korrektes Watchdog Ereignis auftritt, und das Rücksetzsignal (RESET) auf inaktiv zu lassen, wobei in der ersten Eskalationsstufe ein erster Zähler (sa: = sa + 1) zum Zählen weiterer Watchdog-Fehler vorgesehen ist
und die erste Eskalationsstufe verlassen wird, wenn eine erste...

Description

  • Die vorliegende Erfindung betrifft eine Watchdog-Vorrichtung zur Überwachung eines elektronischen Systems.
  • Watchdog-Mechanismen werden in elektronischen Vorrichtungen wie Watchdog-Vorrichtungen, Mikrocontrollern, digitalen Signalprozessoren (DSPs) oder jeglicher anderer Art von Prozessor mit einer CPU und ausgeführten Programmen verwendet. Diese elektronischen Vorrichtungen sind normalerweise Teil eines elektronischen Systems, das z. B. als Systemüberwachung agiert. Ein Watchdog-Mechanismus basiert typischerweise auf einem Zähler, wobei der Zähler durch den Systemtakt oder einen von dem Systemtakt abgeleiteten Takt getaktet ist. Der Zähler gibt jedes Mal dann, wenn ein vordefinierter Zählerstand erreicht wird, einen Watchdog-Fehler aus. Der Watchdog-Fehlerzustand hat ein Zurücksetzen des Systems zur Folge, um das System in einen genau festgelegten Ausgangszustand zurückzusetzen, falls der Zähler nicht durch einen Watchdog-Auslöser (”watchdog trigger”) bedient wird, bevor der vordefinierte Zählerzustand erreicht wird, z. B. weil das den Watchdog-Auslöser ausgebende Programm hängt oder fehlerhaft funktioniert. Es kann jedoch sein, dass das Systemzurücksetzen nicht das geeignete Mittel zur Überwindung der Probleme der CPU ist. Falls die CPU ernsthafte technische Probleme aufweist, kann ein bloßes Zurücksetzen einen Verlust interner Daten verursachen. Ebenso ist die CPU während der für das Zurücksetzen benötigten Zeit nicht für andere Datenverarbeitungsaufgaben verfügbar, was eine Verschwendung von CPU-Verarbeitungszeit darstellen kann, wenn lediglich ein kleines und kurzzeitiges Problem vorliegt.
  • US 5,961,622 A beruht auf der Problematik, dass anstelle zweier separater Timer zur Überwachung der Funktion der CPU und des Busses ein einzelner Timer zum Einsatz kommen soll. Daher wird vorgeschlagen in Reaktion auf das Auftreten eines ersten Time-Outs, eine erste Maßnahme zu ergreifen, die auf die Behebung eines der zwei möglichen Probleme gerichtet ist. Hat diese Maßnahme keinen Erfolg, wird das in einem Register vermerkt und die zweite Maßnahme wird ergriffen, die auf das andere Problem gerichtet ist. Dies ermöglicht jedoch nicht, angemessen auf gehäuft auftretende Fehler ungeachtet ihrer Ursache angemessen zu reagieren.
  • Es ist eine Aufgabe der vorliegenden Erfindung, eine elektronische Vorrichtung bereitzustellen, die so eingerichtet sind, dass sie in Reaktion auf die Häufigkeit des Auftretens von Watchdog-Fehlern und korrekten Watchdog Ereignissen einen Verlust von Daten und Verarbeitungszeit vermeiden kann.
  • Die Aufgabe wird durch eine Vorrichtung gemäß Anspruch 1 gelöst.
  • Der Watchdog-Fehler und das Systemzurücksetzen werden typischerweise als Signal ausgegeben, sind aber auch als ein den Signalwert angebendes Flag verfügbar.
  • In einer normalen Betriebsart wird ein Watchdog-Fehler, bei dem es sich um ein Watchdog-Ereignis handelt, bei dem ein Watchdog-Auslöser nicht korrekt bedient wird, detektiert. Bei Detektion des Watchdog-Fehlers tritt die elektronische Vorrichtung von der normalen Betriebsart in eine erste Eskalationsstufe ein. Die Eskalationsstufe kann eine von nx Eskalationsstufen sein, wobei nx eine ganze Zahl gleich oder größer 1 ist. In dieser ersten Eskalationsstufe werden korrekte Watchdog-Ereignisse, bei denen es sich um Watchdog-Ereignisse handelt, bei denen ein Watchdog-Auslöser korrekt bedient wird, und Watchdog-Fehler detektiert. Die elektronische Vorrichtung bleibt in der ersten Eskalationsstufe, bis eine bestimmte erste Eskalationsbedingung oder eine erste Deeskalationsbedingung erfüllt wird. Beide Bedingungen können auf den detektierten korrekten Watchdog-Ereignissen und den detektierten Watchdog-Fehlern basieren. Insbesondere kann die elektronische Vorrichtung bei Erfüllung einer bestimmten Deeskalationsbedingung in einem Wiederherstellungsschritt von jeder beliebigen der nx Eskalationsstufen zu einer vorhergehenden Stufe bzw. Betriebsart zurückkehren. Somit stellt die vorliegende Erfindung zumindest eine Eskalationsstufe bereit, in der eine weitere Eskalationsbedingung überwacht wird, bevor die elektronische Vorrichtung zu einer anderen Stufe vorrückt. Des Weiteren wird ein Deeskalations- bzw. Wiederherstellungsmechanismus bereitgestellt, der es der elektronischen Vorrichtung ermöglicht, auf eine vorhergehende Eskalationsstufe oder in die normale Betriebsart zurückzukehren. Hierdurch können die Watchdog-Fehler und das Systemzurücksetzen flexibler gehandhabt werden. Insbesondere kann die elektronische Vorrichtung die Programmausführung in dieser ersten Eskalationsstufe fortführen bis die zweite Eskalationsbedingung erfüllt wird. Wenn eine bestimmte Deeskalationsbedingung erfüllt wird, kann die elektronische Vorrichtung sogar in die normale Betriebsart oder zu einer niedrigeren Eskalationsstufe zurückkehren. Dieser Aspekt sorgt dafür, dass das System nach einer bestimmten Zeit des normalen Betriebs eine komplett normale Funktionalität wiederherstellen kann. In dem Kontext der vorliegenden Erfindung kann das Programm jede beliebige Art von Operationsfolge sein, die durch Software, Hardware, endliche Automaten, Mikrocode, Nanocode oder Logikgatter usw. implementiert wird.
  • Die Deeskalationsbedingung kann zum Beispiel so definiert sein, dass n aufeinander folgende korrekte Watchdog-Ereignisse detektiert werden, bevor ein weiterer Watchdog-Fehler detektiert wird, wobei n größer ist als 1. Die Anzahl und Folge von korrekten Watchdog-Ereignissen sind ein zuverlässiger Indikator dafür, dass die normale Funktionalität der elektronischen Vorrichtung wiederaufgenommen wird.
  • Die erste Eskalationsbedingung kann erfüllt sein, wenn die Anzahl von gezählten Watchdog-Fehlern eine maximale Anzahl von Watchdog-Fehlern überschreitet, oder wenn ein korrektes Watchdog-Ereignis vor Ablauf einer ersten Wiederherstellungszeit nach der Detektion des letzten Watchdog-Fehlers nicht detektiert wird. Somit kann es eine Zeitbegrenzung in Form einer Wiederherstellungszeit geben, während derer zumindest ein korrektes Watchdog-Ereignis detektiert werden muss. Des Weiteren kann der entsprechende Watchdog-Fehler-Zähler bei jedem Auftreten eines Watchdog-Fehlers erhöht werden.
  • Es können weitere Eskalationsstufen bis zu einer theoretisch unbegrenzten Anzahl bereitgestellt werden. Die zweite Eskalationsstufe kann im Wesentlichen dieselben oder unterschiedliche Eigenschaften in Bezug auf die erste Eskalationsstufe haben. In dieser Situation kann die elektronische Vorrichtung nach Verlassen der ersten Eskalationsstufe in eine zweite Eskalationsstufe eintreten und in der zweiten Eskalationsstufe bleiben, bis eine zweite Eskalationsbedingung erfüllt wird. Die elektronische Vorrichtung kann jedoch bei Erfüllung einer zweiten Deeskalationsbedingung in einem Wiederherstellungsschritt von jeder beliebigen Eskalationsstufe, d. h. jeder der nx Eskalationsstufen, zu einer beliebigen vorhergehenden Stufe bzw. Betriebsart, zum Beispiel der ersten Eskalationsstufe oder der normalen Betriebsart, zurückkehren. In der zweiten Eskalationsstufe können die Watchdog-Fehler detektiert und gezählt werden, und korrekte Watchdog-Ereignisse können gleichzeitig detektiert werden. Die zweite Deeskalationsbedingung kann zum Beispiel so implementiert sein, dass sie derart definiert ist, dass m aufeinander folgende korrekte Watchdog-Ereignisse detektiert werden, bevor ein weiterer Watchdog-Fehler detektiert wird, wobei m größer ist als 1.
  • Die zweite Eskalationsbedingung kann so vorbestimmt sein, dass eine maximale Anzahl von Watchdog-Fehlern erreicht wird oder ein korrektes Watchdog-Ereignis nicht detektiert wird, bevor eine zweite Wiederherstellungszeit nach Detektion des letzten Watchdog-Fehlers verstrichen ist. Die Länge der zweiten und der ersten Wiederherstellungszeit kann gleich oder unterschiedlich sein. Vorteilhafterweise kann in der zweiten Eskalationsstufe ein Rücksetzsignal aktiviert werden. Das Rücksetzsignal kann zum Zurücksetzen von bestimmten Teilen oder Stufen des Systems (z. B. der CPU) oder einer begrenzten Anzahl von Funktionsblöcken einer elektronischen Vorrichtung verwendet werden. Der Überwachungszeitgeber (”watchdog”) wird vorzugsweise nicht in der zweiten Eskalationsstufe zurückgesetzt. Allgemein kann es eine unbegrenzte Anzahl von Eskalationsstufen geben, die gleich sind wie die erste Eskalationsstufe, bevor die elektronische Vorrichtung letztendlich in eine Eskalationsstufe der Art der zweiten Eskalationsstufe eintritt, in der ein Rücksetzsignal ausgegeben wird. In einer zweiten Eskalationsstufe kann das Rücksetzsignal vorzugsweise deaktiviert werden, wenn eine begrenzte Rücksetzzeit verstrichen ist. Ebenso kann das Rücksetzsignal bei jeder Detektion eines Watchdog-Fehlers die begrenzte Rücksetzzeit lang aktiviert werden. Dementsprechend wird das Rücksetzsignal lediglich eine Zeit lang aufrechterhalten, die ausreicht, um das System korrekt zurückzusetzen. Nach Zurücksetzen des Systems bleibt die elektronische Vorrichtung jedoch in der zweiten Eskalationsstufe und fährt mit dem Betrieb fort, bis eine zweite Eskalationsbedingung erfüllt wird.
  • Nach dem Verlassen einer beliebigen Eskalationsstufe oder mehrerer Eskalationsstufen einer ersten Art oder einer zweiten Art nach der ersten Art können die elektronische Vorrichtung und somit das System in einen finalen abgesicherten Zustand eintreten. Der finale abgesicherte Zustand ist ein Zustand, in dem das System, zu dem die elektronische Vorrichtung gehört, durch anwendungsspezifische Maßnahmen abgesichert wird. Die elektronische Vorrichtung kann zum Beispiel ein in einem Auto zur Steuerung der Bremsen verwendeter Mikrocontroller sein. Wenn der Mikrocontroller fehlerhaft funktioniert, d. h. wenn Watchdog-Fehler auftreten, kann der Mikrocontroller von normaler Betriebsart in eine erste Eskalationsstufe eintreten und von dort aus in eine zweite Eskalationsstufe. Wenn die Vorrichtung nach Zurücksetzen in der zweiten Eskalationsstufe noch immer fehlerhaft funktioniert, tritt die Vorrichtung in einen abgesicherten Zustand ein, in dem die Grundfunktionalität der Bremsen irgendwie aufrechterhalten wird. Nach Durchführung der notwendigen Schritte zur Sicherstellung, dass die Bremsen weiterhin funktionieren, kann der Mikrocontroller dann zum Beispiel abgeschaltet werden. Andere Anwendungen können es erfordern, dass bestimmte Daten von flüchtigem Speicher in nichtflüchtigen Speicher kopiert werden, wenn der abgesicherte Zustand eintritt.
  • Nach Ablauf der Rücksetzzeit werden weitere Watchdog-Fehler detektiert und gezählt. Gleichzeitig mit der Detektion und Zählung der Watchdog-Fehler werden korrekte Watchdog-Ereignisse detektiert. Bei jeder Detektion eines Watchdog-Fehlers wird ein weiterer Rücksetzimpuls ausgegeben, d. h. das Rücksetzsignal wird die begrenzte Rücksetzzeit lang aktiviert. Schließlich treten die elektronische Vorrichtung und somit das System in einen finalen abgesicherten Zustand ein, wenn eine maximal Anzahl von Watchdog-Fehlern erreicht wird oder ein korrektes Watchdog-Ereignis nicht detektiert wird, bevor eine zweite Wiederherstellungszeit nach Detektion des letzten Watchdog-Fehlers verstrichen ist. In diesem Zustand kann das Rücksetzsignal zum Beispiel aktiviert bleiben. Ebenso können in dem abgesicherten Zustand wichtige Daten dauerhaft gespeichert oder von einem flüchtigen Speicher in einen nichtflüchtigen Speicher verlagert werden. Es können in dem Prozessor Notfunktionen installiert sein, um die notwendigen Datenrettungsschritte in dem abgesicherten Zustand durchzuführen.
  • Gemäß der vorliegenden Erfindung werden Watchdog-Ereignisse flexibler gehandhabt. Wenn ein Prozessor, der die vorliegende Erfindung anwendet, einen Watchdog-Fehler erzeugt, kann der Prozessor in der ersten Eskalationsstufe bleiben. Es wird kein Rücksetzimpuls ausgegeben. Des Weiteren kann der normale Betrieb des Prozessors fortgeführt werden, und wichtige Verarbeitungszeit bleibt erhalten. Die Möglichkeit der Wiederherstellung bzw. der Deeskalation von jeder beliebigen Eskalationsstufe entweder schrittweise oder direkt in die normale Betriebsart sorgt für einen zusätzlichen Grad an Zuverlässigkeit und Systemstabilität.
  • Jede der Eskalationsstufen und ebenso die abgesicherte Betriebsart können mehrere Zustände enthalten. Die erste Eskalationsstufe kann zum Beispiel einen ersten Zustand und einen zweiten Zustand enthalten, die von dem letzten detektierten Watchdog-Ereignis abhängen. Ebenso kann die zweite Eskalationsstufe zwei Zustände enthalten; einen ersten Zustand, wenn das letzte detektierte Ereignis ein Watchdog-Fehler war, und einen zweiten Zustand, wenn das letzte Ereignis ein korrektes Watchdog-Ereignis war. Die elektronische Vorrichtung kann dann zwischen den beiden Zuständen hin- und herschalten, bis die Eskalationsbedingung erfüllt wird. In der zweiten Eskalationsstufe kann einer der Zustände die Ausgabe des Rücksetzimpulses enthalten, während der andere Zustand kein Rücksetzsignal auslöst. Ebenso kann ein Wiederherstellungsschritt auf eine niedrigere Eskalationsstufe vorteilhafterweise lediglich von einem bestimmten Zustand innerhalb einer Stufe beginnen. Dies kann vorzugsweise ein Zustand sein, in dem ein korrektes Watchdog-Ereignis zumindest ein Mal vorher detektiert wurde.
  • Weitere Aspekte der vorliegenden Erfindung ergeben sich aus der untenstehenden Beschreibung der bevorzugten Ausführungsformen unter Bezugnahme auf die beigefügten Zeichnungen. Es zeigen:
  • 1 ein vereinfachtes Zustandsdiagramm, das die Schritte gemäß der vorliegenden Erfindung darstellt,
  • 2 Signale, die sich auf die erste Eskalationsstufe gemäß der vorliegenden Erfindung beziehen, und
  • 3 Signale, die sich auf die zweite Eskalationsstufe gemäß der vorliegenden Erfindung beziehen.
  • 1 zeigt die verschiedenen Stufen bzw. Zustände einer gemäß der vorliegenden Erfindung ausgeführten elektronischen Vorrichtung. In einer normalen Betriebsart bleibt die elektronische Vorrichtung so lange in Zustand S1 wie sie korrekte Watchdog-Auslöser (d. h. korrekte WD-Trigger) wahrnimmt, und die Signale und die zugehörigen Flags WDFault und Reset sind inaktiv. Die Parameter sa und ha werden initialisiert und auf Null gesetzt. Wenn ein Watchdog-Fehler (d. h. ein inkorrekter WD-Trigger) detektiert wird, tritt die elektronische Vorrichtung in Zustand S2 in Eskalationsstufe 1 ein. In der Eskalationsstufe 1 wird der Parameter sa bei jeder Detektion eines Watchdog-Fehlers (eines inkorrekten WD-Triggers) um Eins erhöht. In Zustand S2 bleiben das WDFault-Signal und das zugehörige Flag aktiv, und das Rücksetzsignal Reset und das zugehörige Flag bleiben inaktiv. Wenn ein korrekter WD-Trigger detektiert wird, tritt der Prozessor in Zustand S3 ein, in dem das WDFault-Signal und das zugehörige Flag auf inaktiv gesetzt werden. Die elektronische Vorrichtung bleibt so lange in Zustand S3 wie korrekte WD-Trigger detektiert werden. Wenn jedoch entweder die maximale Anzahl samax inkorrekter WD-Trigger erreicht wird, (d. h. wenn sa = samax) oder innerhalb eines ersten Wiederherstellungszeitfensters trecover1 kein korrekter WD-Trigger detektiert wird, fährt die elektronische Vorrichtung mit Zustand S4 in der zweiten Eskalationsstufe (Eskalationsstufe 2) fort. Ebenso werden in Zustand S4, das WDFault-Signal und das zugehörige Flag so lange auf aktiv gesetzt, wie keine korrekten WD-Trigger detektiert werden. Bei jeder Detektion eines inkorrekten WD-Triggers wird der Parameter ha um Eins erhöht. Wenn ein korrekter WD-Trigger auftritt, begibt sich der Prozessor in Zustand S5, und das WDFault-Signal und das zugehörige Flag werden auf inaktiv gesetzt. Des Weiteren werden das Rücksetzsignal Reset und das zugehörige Flag inaktiv. Bei Eintreten in Zustand S4 in Eskalationsstufe 2 wird jedoch zumindest ein Rücksetzimpuls erzeugt, indem Reset auf einen aktiven Zustand gesetzt wird. Danach bleibt die elektronische Vorrichtung ohne weitere Rücksetzimpulse lediglich so lange in Zustand S5 wie korrekte WD-Trigger detektiert werden. Wenn innerhalb eines zweiten Wiederherstellungszeitfensters trecover2 kein korrekter WD-Trigger detektiert wird oder die maximale Anzahl hamax inkorrekter WD-Trigger erreicht wird (d. h. ha = hamax), tritt die elektronische Vorrichtung in einen abgesicherten Zustand S6 ein. In dem abgesicherten Zustand bleiben zum Beispiel WDFault und Reset beide aktiv, und es können spezielle Datenschutz- oder -sicherungsmaßnahmen durchgeführt werden.
  • Des Weiteren kann die elektronische Vorrichtung von Zustand S3 in Eskalationsstufe 1 und von Zustand S5 in Eskalationsstufe 2 zu Zustand S1 in normaler Betriebsart zurückkehren. Die Bedingung für diesen Wiederherstellungs- bzw. Deeskalationsschritt ist, dass eine Folge von entweder n oder m aufeinander folgenden korrekten WD-Triggern detektiert wurde. In einer alternativen Ausführungsform könnte ein Wiederherstellungsschritt bereitgestellt werden, der von Zustand S5 zu Zustand S3 führt. Somit kann jede Eskalationsstufe auf zwei Arten verlassen werden, entweder in eine höhere Eskalationsstufe oder zu einer niedrigeren (d. h. vorhergehenden) Eskalation. Eskalationsstufe 1 wäre dann die in Bezug auf Eskalationsstufe 2 vorhergehende Eskalationsstufe. Für eine Folge von nx Eskalationsstufen könnte ein Wiederherstellungsschritt implementiert werden, der zurück zu einer beliebigen Eskalationsstufe, die niedriger als nx ist (d. h. zu einer beliebigen vorhergehenden Eskalationsstufe), und ebenfalls zu der normalen Betriebsart führt.
  • 2 zeigt Signale, die sich auf die erste Eskalationsstufe, Eskalationsstufe 1, beziehen. 2(a) stellt eine Situation dar, in der sa < samax ist und innerhalb einer ersten Wiederherstellungszeit trecover1 n korrekte WD-Trigger empfangen werden. Dementsprechend bleibt das Rücksetzsignal Reset inaktiv, und das Watchdog-Fehlersignal WDFault schaltet bei Auftreten eines ersten Watchdog-Fehlers WDFault von hoch auf niedrig um. Innerhalb der Wiederherstellungszeit trecover1 treten jedoch n korrekte Watchdog-Ereignisse WD-Trigger auf, und das Watchdog-Fehlersignal WDFault wird auf inaktiv gesetzt, d. h. zurück auf hohe Logik. Außer, dass WDFault auf inaktiv gesetzt wird, begibt sich das System in einem Wiederherstellungsschritt in den Zustand S1, d. h. zurück in die normale Betriebsart. Des Weiteren beziehen sich die in 2(b) und (c) gezeigten Situationen auf eine Situation, in der sa = samax ist, aber innerhalb der ersten Wiederherstellungszeit trecover1 kein korrekter WD-Trigger detektiert wird. Dementsprechend schaltet die elektronische Vorrichtung auf die nächste Stufe, die Zustand S4 in Eskalationsstufe 2 ist, sobald der letzte Watchdog-Fehler WDFault auftritt. Ebenso schaltet die elektronische Vorrichtung, wie in 2(c) gezeigt, auf die nächste Stufe, die die zweite Eskalationsstufe ist, um, wenn die erste Wiederherstellungszeit trecover1 verstreicht, bevor ein korrekter Watchdog-Auslöser empfangen wird.
  • 3 zeigt Signale, die sich auf die zweite Eskalationsstufe beziehen. In der zweiten Eskalationsstufe wird ein Rücksetzimpuls ausgegeben, um die elektronische Vorrichtung zurückzusetzen. Die Situation für ha < hamax ist in 3(a) gezeigt. Wenn m korrekte Watchdog-Ereignisse detektiert werden (durch den mten WD-Trigger in 3(a) angezeigt), wird WDFault auf inaktiv gesetzt, d. h. WDFault wird auf hohe Logik gesetzt. Hierdurch wird ebenfalls das System deeskaliert, und das System fährt auf einer niedrigeren Stufe, d. h. in normaler Betriebsart, fort. Es ist auch ein Wiederherstellungsschritt zu Eskalationsstufe 1, d. h. zu jeder beliebigen vorhergehenden Eskalation, denkbar. 3(d) und (c) betreffen eine Situation, in der ha = hamax ist, oder in der innerhalb der zweiten Wiederherstellungszeit trecover2 kein korrekter WD-Trigger detektiert wird. Dementsprechend schaltet das System auf die nächste Stufe, die der abgesicherte Zustand S6 ist, um, wenn der nächste Watchdog-Fehler WDFault detektiert wird. Ebenso schaltet das System in den abgesicherten Zustand S6 um, wenn die zweite Wiederherstellungszeit trecover2 ohne ein korrektes Watchdog-Ereignis verstreicht. 3(a) betrifft eine Situation, in der ha < hamax ist und innerhalb der zweiten Wiederherstellungszeit trecover2 ein korrekter WD-Trigger detektiert wird.
  • Obwohl die ausführliche Beschreibung der bevorzugten Ausführungsformen der Erfindung ein Verfahren beschreibt, kann eine elektronische Vorrichtung, insbesondere jede beliebige integrierte elektronische Vorrichtung mit einer CPU, gemäß den Verfahrensschritten eingerichtet werden. Des Weiteren ist die Anzahl von Eskalationsstufen nicht auf eine erste Eskalationsstufe ohne Zurücksetzen und eine zweite Eskalationsstufe mit einer Rücksetzfunktion beschränkt. Die Anzahl und Folge der Eskalationsstufen der ersten Art oder der zweiten Art können eine ganze Zahl gleich oder größer 1 sein. Ebenso kann die Folge von Eskalationsstufen mit und ohne Zurücksetzen jede beliebige Folge von ersten und zweiten Eskalationsstufen sein. Der abgesicherte Zustand kann ebenfalls direkt nach der ersten Eskalationsstufe erreicht werden, wenn eine zweite Eskalationsstufe mit Zurücksetzen nicht benötigt wird. Die Wiederherstellungs- bzw. Deeskalationsschritte sind nicht begrenzt. Jede höhere Eskalationsstufe kann einen Wiederherstellungsmechanismus aufweisen, um eine beliebige niedrigere oder vorhergehende Eskalationsstufe wiederherzustellen.

Claims (1)

  1. Watchdog-Vorrichtung zur Überwachung eines elektronischen System, wobei die Watchdog-Vorrichtung so eingerichtet ist, dass sie korrekte Watchdog-Ereignisse, bei denen ein Watchdog-Auslöser korrekt bedient wird und Watchdog-Fehler, bei denen ein Watchdog-Auslöser nicht korrekt bedient wird vom elektronischen System empfängt und ein Rücksetzsignal (RESET) zum Rücksetzen von Funktionsblöcken des Systems und ein Watchdog-Fehlersignal (WDFault) an das elektronische System ausgibt, wobei die Watchdog-Vorrichtung weiter ausgestaltet ist um in einer normalen Betriebsart, in der das Watchdog-Fehlersignal (WDFault) und das Rücksetzsignal (RESET) inaktiv sind einen ersten Watchdog-Fehler zu detektieren, und bei Detektion des Watchdog-Fehlers von der normalen Betriebsart in eine erste Eskalationsstufe einzutreten und das Watchdog-Fehlersignal (WDFault) auf aktiv zu setzen bis ein korrektes Watchdog Ereignis auftritt, und das Rücksetzsignal (RESET) auf inaktiv zu lassen, wobei in der ersten Eskalationsstufe ein erster Zähler (sa: = sa + 1) zum Zählen weiterer Watchdog-Fehler vorgesehen ist und die erste Eskalationsstufe verlassen wird, wenn eine erste Eskalationsbedingung erfüllt wird, die darin besteht, dass die Anzahl von gezählten Watchdog-Fehlern eine maximale Anzahl mehrerer Watchdog-Fehler überschreitet, in eine zweite Eskalationsstufe nach Verlassen der ersten Eskalationsstufe einzutreten und das Rücksetzsignal (RESET) für eine begrenzte Rücksetzzeit auf aktiv zu setzen wenn ein Watchdog-Fehler auftritt, und auf inaktiv zu lassen, wenn ein korrektes Watchdog Ereignis auftritt, und das Watchdog-Fehlersignal (WDFault) auf aktiv zu lassen, wobei in der zweiten Eskalationsstufe ein zweiter Zähler (ha: = ha + 1) zum Zählen weiterer Watchdog-Fehler vorgesehen ist und die Watchdog-Vorrichtung in der zweiten Eskalationsstufe verbleibt, bis eine zweite Eskalationsbedingung erfüllt wird, die darin besteht, dass die Anzahl von gezählten Watchdog-Fehlern eine maximale Anzahl mehrerer Watchdog-Fehler überschreitet, und mindestens eine Deeskalationsbedingung vorgesehen ist, die bei Detektion einer Folge von korrekten Watchdog-Ereignissen erfüllt ist und die dazu führt, dass von einer höheren auf eine niedrigere Eskalationsstufe oder in die normale Betriebsart zurückgekehrt wird und das Rücksetzsignal (RESET) und das Watchdog-Fehlersignal (WDFault) entsprechend der niedrigeren Eskalationsstufe oder normalen Betriebsart gesetzt werden.
DE102007035586A 2007-07-30 2007-07-30 Watchdog-Vorrichtung zur Überwachung eines elektronischen Systems Active DE102007035586B4 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE102007035586A DE102007035586B4 (de) 2007-07-30 2007-07-30 Watchdog-Vorrichtung zur Überwachung eines elektronischen Systems
US12/181,133 US7966527B2 (en) 2007-07-30 2008-07-28 Watchdog mechanism with fault recovery
PCT/EP2008/059957 WO2009016187A2 (en) 2007-07-30 2008-07-29 Watchdog mechanism with fault recovery
EP08786592A EP2176757A2 (de) 2007-07-30 2008-07-29 Watchdog-mechanismus mit fehlerbehebung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102007035586A DE102007035586B4 (de) 2007-07-30 2007-07-30 Watchdog-Vorrichtung zur Überwachung eines elektronischen Systems

Publications (2)

Publication Number Publication Date
DE102007035586A1 DE102007035586A1 (de) 2009-02-05
DE102007035586B4 true DE102007035586B4 (de) 2009-12-17

Family

ID=40175664

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102007035586A Active DE102007035586B4 (de) 2007-07-30 2007-07-30 Watchdog-Vorrichtung zur Überwachung eines elektronischen Systems

Country Status (2)

Country Link
US (1) US7966527B2 (de)
DE (1) DE102007035586B4 (de)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5540697B2 (ja) * 2009-12-25 2014-07-02 富士通株式会社 演算処理装置、情報処理装置および演算処理装置の制御方法
CN102467417B (zh) * 2010-11-19 2014-04-23 英业达股份有限公司 计算机系统
WO2013076530A1 (en) 2011-11-23 2013-05-30 Freescale Semiconductor, Inc. Microprocessor device, and method of managing reset events therefor
JP6474046B2 (ja) * 2015-11-24 2019-02-27 株式会社デンソー 電子制御装置
US10673689B2 (en) * 2017-09-26 2020-06-02 Netscout Systems, Inc System and method for managing alerts using a state machine

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5961622A (en) * 1997-10-23 1999-10-05 Motorola, Inc. System and method for recovering a microprocessor from a locked bus state

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4291403A (en) * 1979-05-22 1981-09-22 Rockwell International Corporation Digital implementation of parity monitor and alarm
US4598355A (en) 1983-10-27 1986-07-01 Sundstrand Corporation Fault tolerant controller
US5600785A (en) * 1994-09-09 1997-02-04 Compaq Computer Corporation Computer system with error handling before reset
US5546452A (en) * 1995-03-02 1996-08-13 Geotel Communications Corp. Communications system using a central controller to control at least one network and agent system
US6292718B2 (en) * 1999-01-28 2001-09-18 International Business Machines Corp. Electronic control system
DE19958825A1 (de) * 1999-12-07 2001-06-13 Zeiss Carl Jena Gmbh Verfahren zur Kontrolle eines Steuerungssystems
DE10065118A1 (de) * 2000-12-28 2002-07-04 Bosch Gmbh Robert System und Verfahren zur Steuerung und/oder Überwachung eines wenigstens zwei Steuergeräte aufweisenden Steuergeräteverbundes
US20030028680A1 (en) * 2001-06-26 2003-02-06 Frank Jin Application manager for a content delivery system
DE10162853C1 (de) * 2001-12-17 2003-06-05 Iav Gmbh Kraftfahrzeugsteuersystem und Verfahren zur Kraftfahrzeugsteuerung
US7318169B2 (en) * 2002-05-15 2008-01-08 David Czajkowski Fault tolerant computer
US7263632B2 (en) * 2003-05-07 2007-08-28 Microsoft Corporation Programmatic computer problem diagnosis and resolution and automated reporting and updating of the same
WO2009086427A1 (en) * 2007-12-27 2009-07-09 Mark, James, G. Systems and methods for workflow processing

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5961622A (en) * 1997-10-23 1999-10-05 Motorola, Inc. System and method for recovering a microprocessor from a locked bus state

Also Published As

Publication number Publication date
US20090044050A1 (en) 2009-02-12
US7966527B2 (en) 2011-06-21
DE102007035586A1 (de) 2009-02-05

Similar Documents

Publication Publication Date Title
DE102007035584B4 (de) Watchdog-Vorrichtung zur Überwachung eines elektronischen Systems
DE102007035586B4 (de) Watchdog-Vorrichtung zur Überwachung eines elektronischen Systems
DE2946081A1 (de) Anordnung zur ueberwachung der funktion eines programmierbaren elektronischen schaltkreises
DE19781620B4 (de) Bus-Patcher
DE3521081A1 (de) Mikrocomputeranordnung
DE112010005400T5 (de) System für gegenseitige Überwachung von Mikrocomputern und ein Verfahren für gegenseitige Überwachung von Mikrocomputern
EP1866714B1 (de) Verfahren und vorrichtung zur überwachung einer prozessausführung
WO2006032617A1 (de) Verfahren zur abarbeitung eines computerprogramms auf einem computersystem
DE102006041444B4 (de) Schaltungsanordnung und Verfahren zum Erfassen einer Ausführungszeit eines Befehls in einem Rechnersystem
DE102016001920A1 (de) Steuervorrichtung zum Melden von Wartungs- und Inspektionszeiten signalgesteuerter Peripheriegeräte
DE3514079C2 (de) Ausfallsicherungsschaltung
DE102013213087A1 (de) Überwachungsschaltung mit einem fenster-watchdog
DE102004003102A1 (de) System und Verfahren zum Bestimmen einer Transaktionszeitüberschreitung
DE112011100168T5 (de) Erfassen von Diagnosedaten in einer Datenverarbeitungsumgebung
DE19847986A1 (de) Einzelprozessorsystem
DE102017011685A1 (de) Verfahren und Vorrichtung zur Verarbeitung von Alarmsignalen
DE102012111767B4 (de) Elektronische Steuereinheit und elektrische Servolenkvorrichtung
DE102013021231A1 (de) Verfahren zum Betrieb eines Assistenzsystems eines Fahrzeugs und Fahrzeugsteuergerät
DE10392916T5 (de) Selbsttestsystem
DE10162599B4 (de) Verfahren und Vorrichtung zur Überwachung von Drehzahlfühlern auf fehlende Zähne
DE102008004206A1 (de) Anordnung und Verfahren zur Fehlererkennung und -behandlung in einem Steuergerät in einem Kraftfahrzeug
DE4039013C2 (de)
EP1561165B1 (de) Steuereinheit zur auslösung eines insassenschutzmittels in einem kraftfahrzeug und verfahren zur überwachung der ordnungsgemässen funktion einer vorzugsweise solchen steuereinheit
DE102004051991A1 (de) Verfahren, Betriebssystem und Rechengerät zum Abarbeiten eines Computerprogramms
DE102011083655A1 (de) Überwachungsvorrichtung zur Überwachung eines Betriebs einer Steuerverarbeitungsvorrichtung

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
R082 Change of representative

Representative=s name: ZELLER, ANDREAS, DE