DE10243789B4 - Verfahren und Schaltungsanordnung zum Überwachen der Funktion eines Prozessors - Google Patents

Verfahren und Schaltungsanordnung zum Überwachen der Funktion eines Prozessors Download PDF

Info

Publication number
DE10243789B4
DE10243789B4 DE2002143789 DE10243789A DE10243789B4 DE 10243789 B4 DE10243789 B4 DE 10243789B4 DE 2002143789 DE2002143789 DE 2002143789 DE 10243789 A DE10243789 A DE 10243789A DE 10243789 B4 DE10243789 B4 DE 10243789B4
Authority
DE
Germany
Prior art keywords
processor
trigger signal
trigger
signal
watchdog circuit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE2002143789
Other languages
English (en)
Other versions
DE10243789A1 (de
Inventor
Oliver Lehner
Richard Merl
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Vitesco Technologies GmbH
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE2002143789 priority Critical patent/DE10243789B4/de
Publication of DE10243789A1 publication Critical patent/DE10243789A1/de
Application granted granted Critical
Publication of DE10243789B4 publication Critical patent/DE10243789B4/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Verfahren zum Überwachen der Funktion eines Prozessors, das die folgenden Verfahrensschritte aufweist:
– eine Watchdogschaltung (WD) überwacht, ob in einem vorbestimmten Zeitfenster (Δt) ein Triggersignal (TS) eintrifft,
– die Watchdogschaltung (WD) vergleicht eine im Triggersignal enthaltene Information (ZTS) mit einer erwarteten Information (ZI),
– falls im Zeitfenster (Δt) kein Triggersignal (TS) eintrifft, so wird ein erstes Steuersignal (RS1) an den Prozessor ausgesandt,
– falls das Triggersignal (TS) im Zeitfenster (Δt) eintrifft und die im Triggersignal (TS) enthaltene Triggerinformation (ZTS) nicht mit der erwarteten Information (ZI) übereinstimmt, so wird ein zweites Steuersignal (RS2) an den Prozessor (μP) ausgesandt, und
– Auslösen eines Notlaufs des Prozessors (μP) aufgrund eines eintreffenden ersten und/oder zweiten Steuersignals (RS1, RS2), wobei der Prozessor (μP) im Notlauf nur noch sicherheitsrelevante Funktionen ausführt.

Description

  • Die Erfindung betrifft ein Verfahren zum Überwachen der Funktion eines Prozessors, insbesondere mit einer Hardware-Watchdogschaltung in einem Kraftfahrzeug.
  • Eine bekannte Watchdogschaltung ( DE 197 12 375 A1 ) überwacht die Funktion eines Prozessors. Der Prozessor sendet zyklisch sich wiederholende Testsignale an die Watchdogschaltung. Die Watchdogschaltung sendet ein Resetsignal an den Prozessor, falls das Testsignal nicht in einem von der Watchdogschaltung vorgegebenen Zeitfenster eintrifft.
  • Diese Watchdogschaltung überwacht zwar, ob ein auf dem Prozessor ablaufendes Programm zu langsam oder zu schnell abläuft, es wird jedoch nicht überwacht, ob der funktionelle Ablauf des auf dem Prozessor ablaufenden Programms korrekt ist. Das Programm kann sich somit in einer Endlosschleife befinden, die zwar noch das Aussenden des Testsignals möglich macht, nicht jedoch die übrigen Funktionen sicherstellt.
  • Weiter ist ein Verfahren zur Überwachung der Funktion einer programmgesteuerten Schaltung bekannt ( DE 44 46 314 A1 ), ein Mikrocontroller, der ein Datenverarbeitungsergebnis erzeugt und dieses zu einem vorgegebenen Zeitpunkt an die Überwachungsschaltung sendet. Dort wird der Zeitpunkt des Eintreffens überwacht und der Inhalt des Datenworts mit einem vorgegebenen Inhalt verglichen. Im Fehlerfall wird die überwachte Schaltungsanordnung abgeschaltet.
  • Eine bekannte intelligente, wortorientierte Watchdogschaltung (Elektronik 11/25.05.1990) beschreibt einen Mikrocontroller und eine Watchdogschaltung, die beide eine Pseudo-Zufallszahlenfolge gemäß desselben Algorithmus erzeugen. Die Watchdogschaltung überwacht das Eintreffen des Signals des Mikrocontrollers in einem vorgegebenen Zeitbereich und vergleicht den darin übermittelten Wert mit der in der Watchdogschaltung erzeugten Zufallszahl. Trifft das Signal nicht innerhalb des Zeitfensters oder mit falschem Wert ein, so wird ein Fehlersignal aktiviert.
  • Ein bekanntes Verfahren zum Synchronisieren einer elektronischen Einrichtung zur Funktionsüberwachung eines Mikroprozessors ( DE 198 00 462 C1 ) beschreibt das Synchronisieren einer Watchdogschaltung beim Hochfahren des zu überwachenden Mikroprozessors. Hierbei erwartet die Watchdogschaltung nach dem Aktivieren während einer vorbestimmten Zeitdauer ein Triggersignal des zu überwachenden Mikroprozessors.
    •
  • Es ist Aufgabe der Erfindung, ein Verfahren zu schaffen, das sowohl den zeitlichen als auch den funktionellen Ablauf eines auf einem Prozessor ablaufenden Programms überwacht und in einen Fehlerfall einen zumindest eingeschränkten Betrieb der Prozessor erlaubt.
  • Diese Aufgabe wird erfindungsgemäß durch ein Verfahren mit den Merkmalen des Patentanspruchs 1 gelöst.
  • Zur Lösung der Aufgabe der Erfindung wird eine Watchdogschaltung eingesetzt, die einen Eingang für einen von dem zu über wachenden Prozessor kommendes Triggersignal und einen Ausgang zum Senden eines Steuersignals an den Prozessor aufweist.
  • Der Prozessor gibt bei korrekter Funktionalität ein zyklisch sich wiederholendes Triggersignal ab, das zusätzlich eine Triggerinformation enthält.
  • Die Watchdogschaltung überwacht das Eintreffen des Triggersignals und vergleicht die darin enthaltene Triggerinformation mit einem Wert, der die erwartete Triggerinformation enthält. Bleibt nun dieses Triggersignal aus oder stimmt die in einem ankommenden Triggersignal enthaltene Triggerinformation nicht mit der erwarteten Information überein, so sendet die Watchdogschaltung ein Steuersignal an den Prozessor. Dieses Steuersignal setzt den Prozessor in einen vorab bestimmten Zustand in dem nur sicherheitsrelevante Funktionen ausgeführt werden.
  • Dies hat den Vorteil, dass neben dem zeitlichen Programmablauf vielmehr auch noch der funktionelle Ablauf des auf dem Prozessor ablaufenden Programms überwacht wird.
  • Vorteilhafte Ausgestaltungen der Erfindung sind in den Unteransprüchen beschrieben.
  • So kann die Triggerinformation einen Zählerstand enthalten, der beim Aussenden eines Triggersignals jeweils um ein Inkrement erhöht oder um ein Dekrement erniedrigt wird. Die Watchdogschaltung beinhaltet dann ebenfalls einen Zähler, dessen Zählerstand beim Eintreffen eines Triggersignals jeweils auch um das selbe Inkrement erhöht wird.
  • Stimmen nun der interne Zählwert der Watchdogschaltung mit der im Triggersignal enthaltenen Triggerinformation überein und trifft das Triggersignal auch in dem zeitlichen vorbestimmten Rahmen ein, so wird die Funktion des Prozessors und der Programmablauf als korrekt bewertet.
  • Stimmen jedoch der Wert des internen Zählers mit dem in der Triggerinformation enthaltenen Wert nicht überein, so sendet die Watchdogschaltung ein Steuersignal (Resetsignal) an den Prozessor.
  • Des Weiteren kann das Zeitfenster, in dem ein Triggersignal am Eingang der Watchdogschaltung eintrifft in ein „offenes" und ein „geschlossenes" Zeitfenster unterteilt werden. Im „offenen" Zeitfenster wird ein Eintreffen eines Triggersignals erwartet, im „geschlossenen" Zeitfenster nicht. D. h. trifft das Triggersignal im falschen Zeitintervall ein, so läuft das Programm auf dem Mikroprozessor zu schnell oder zu langsam ab. Infolgedessen wird von der Watchdogschaltung ebenfalls ein Resetsignal an den Mikroprozessor gesendet.
  • Dieses zweite Resetsignal kann sich von dem Resetsignal unterscheiden, das bei einer falschen Triggerinformation ausgesandt wird. Auch kann das zweite Resetsignal über einen zweiten Ausgang gesendet werden.
  • Im Folgenden wird anhand der schematischen Zeichnung ein Ausführungsbeispiel näher erläutert. Es zeigen:
  • 1 ein Blockschaltbild einer erfindungsgemäßen Schaltungsanordnung und
  • 2 ein Ablaufdiagramm eines erfindungsgemäßen Verfahrens.
  • Eine Schaltungsanordnung zum Überwachen der Funktion eines Prozessors weist einen Prozessor μP (1) mit einem Triggersignalausgang AP und einem Resetsignal-Eingang EP auf.
  • Im Prozessor ist ein erster Zähler Z1 enthalten.
  • Eine den Prozessor μP überwachende Watchdogschaltung (Überwachungsschaltung) WD weist einen Triggersignaleingang EWD, der mit dem Triggersignalausgang AP des Prozessors μP verbunden ist und einen Resetsignal-Ausgang AWD, der mit dem Reset signal-Eingang EP verbunden ist, auf. In der Watchdogschaltung ist ein zweiter Zähler Z2 und ein Timer TWD enthalten.
  • Im Schritt 100 des in 2 dargestellten Ablaufdiagramms wird die Watchdogschaltung WD initialisiert. Die Initialisierung beinhaltet beispielsweise das Zurücksetzen des zweiten Zählers Z2 und eines Timers TWD in der Watchdogschaltung WD.
  • In Schritt 101 wird überprüft, ob in einem Zeitfenster Δt ein Triggersignal TS eingetroffen ist. Ist dies der Fall, so wird nach Schritt 102 verzweigt und in diesem Schritt überprüft in welchem Unterfenster des Zeitfensters Δt das Triggersignal TS eingetroffen ist.
  • Hierzu wird das Zeitfenster Δt in ein sogenanntes „offenes" und ein „geschlossenes" Zeitfenster unterteilt. Trifft das Triggersignal TS im „offenen" Fenster ein, so wird der zeitliche Ablauf eines auf dem Prozessor μP ausgeführten Programms als korrekt bewertet.
  • Trifft das Triggersignal TS jedoch im „geschlossenen" Fenster ein, so wird der zeitliche Ablauf als inkorrekt bewertet und nach Schritt 106 verzweigt, indem die Watchdogschaltung 2 ein Resetsignal RS2 an den Prozessor μP sendet.
  • Es wird ein weiteres Resetsignal RS1 an den Prozessor μP gesendet (Schritt 106) falls im gesamten Zeitfenster Δt kein Triggersignal TS am Eingang EWD der Watchdogschaltung WD eingetroffen ist.
  • Trifft das Triggersignal TS im „offenen" Fenster des Zeitfensters Δt ein, so wird im Schritt 103 die im Triggersignal TS enthaltene Triggerinformation ZTS, hier einem Zählerstand des ersten Zählers Z1 mit einer erwarteten Information ZI, hier dem Zählerstand des Zählers Z2, überein, so wird sowohl der zeitliche, als auch der funktionelle Ablauf des Prozes sors μP und des auf ihm ablaufenden Programms als korrekt bewertet.
  • Ist dies der Fall, wird der Wert des Zählers Z2 um ein Inkrement Inc erhöht (Schritt 104). Anschließend wird Timer TWD zurückgesetzt (Schritt 105), der den Eingang EWD der Watchdogschaltung WD auf das Eintreffen eines Triggersignals TS in einem Zeitfenster Δt überwacht.
  • Danach wird nach Schritt 101 verzweigt, wo erneut auf ein Eintreffen eines Triggersignals TS gewartet wird. Die Triggerinformation ZTS dieses Triggersignals TS ist der Wert des Zählers Z1, der bei funktionell richtigem Ablauf des Programms auf dem Prozessor μP ebenfalls um das Inkrement Inc erhöht wurde.
  • Stimmen jedoch die im Triggersignal enthaltene Triggerinformation ZTS mit der erwarteten Information ZI nicht überein, so wird aufgrund des damit als funktionell falsch bewerteten Ablaufs des auf dem Prozessor μP ausgeführten Programms ein Resetsignal RS3 an den Prozessor μP gesendet (Schritt 106).
  • Die an den Prozessor gesandten Resetsignale RS1, RS2 und RS3 sind hier Steuersignale, die beispielsweise den Prozessor zurücksetzen oder einen Sprung an eine vorbestimmte Stelle des Programms auslösen.
  • Weiter kann durch ein Steuersignal auch ein Notlauf des Prozessors μP ausgelöst werden, d.h. der Prozessor μP führt nur noch sicherheitsrelevante Funktionen aus.
    •

Claims (3)

  1. Verfahren zum Überwachen der Funktion eines Prozessors, das die folgenden Verfahrensschritte aufweist: – eine Watchdogschaltung (WD) überwacht, ob in einem vorbestimmten Zeitfenster (Δt) ein Triggersignal (TS) eintrifft, – die Watchdogschaltung (WD) vergleicht eine im Triggersignal enthaltene Information (ZTS) mit einer erwarteten Information (ZI), – falls im Zeitfenster (Δt) kein Triggersignal (TS) eintrifft, so wird ein erstes Steuersignal (RS1) an den Prozessor ausgesandt, – falls das Triggersignal (TS) im Zeitfenster (Δt) eintrifft und die im Triggersignal (TS) enthaltene Triggerinformation (ZTS) nicht mit der erwarteten Information (ZI) übereinstimmt, so wird ein zweites Steuersignal (RS2) an den Prozessor (μP) ausgesandt, und – Auslösen eines Notlaufs des Prozessors (μP) aufgrund eines eintreffenden ersten und/oder zweiten Steuersignals (RS1, RS2), wobei der Prozessor (μP) im Notlauf nur noch sicherheitsrelevante Funktionen ausführt.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das Zeitfenster (Δt) in ein erstes Unterfenster und ein zweites Unterfenster unterteilt wird und – falls das Triggersignal (TS) im ersten Unterfenster eintrifft, so wird die Funktion des Prozessors (μP) als richtig bewertet, und – falls das Triggersignal (TS) im zweiten Unterfenster eintrifft, so wird ein drittes Steuersignal (RS3) an den Prozessor (μP) ausgesandt.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet dass die im Triggersignal (TS) enthaltene Triggerinformation (ZTS) ein Zählerstand ist, der mit einem Zählerstand (ZI) eines Zählers (Z2) der Watchdogschaltung (WD) verglichen wird.
DE2002143789 2002-09-20 2002-09-20 Verfahren und Schaltungsanordnung zum Überwachen der Funktion eines Prozessors Expired - Lifetime DE10243789B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE2002143789 DE10243789B4 (de) 2002-09-20 2002-09-20 Verfahren und Schaltungsanordnung zum Überwachen der Funktion eines Prozessors

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE2002143789 DE10243789B4 (de) 2002-09-20 2002-09-20 Verfahren und Schaltungsanordnung zum Überwachen der Funktion eines Prozessors

Publications (2)

Publication Number Publication Date
DE10243789A1 DE10243789A1 (de) 2004-04-01
DE10243789B4 true DE10243789B4 (de) 2005-01-20

Family

ID=31969328

Family Applications (1)

Application Number Title Priority Date Filing Date
DE2002143789 Expired - Lifetime DE10243789B4 (de) 2002-09-20 2002-09-20 Verfahren und Schaltungsanordnung zum Überwachen der Funktion eines Prozessors

Country Status (1)

Country Link
DE (1) DE10243789B4 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4446314A1 (de) * 1994-12-23 1996-06-27 Teves Gmbh Alfred Verfahren und Schaltungsanordnung zur Überwachung der Funktion einer programmgesteuerten Schaltung
DE19800462C1 (de) * 1998-01-08 1999-06-17 Siemens Ag Verfahren zum Synchronisieren einer elektronischen Einrichtung zur Funktionsüberwachung eines Mikroprozessors sowie elektronische Einrichtung zur Durchführung des Verfahrens
DE19712371A1 (de) * 1997-03-25 2005-12-15 Rheinmetall Waffe Munition Gmbh Flächenverteidigungsmine

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4446314A1 (de) * 1994-12-23 1996-06-27 Teves Gmbh Alfred Verfahren und Schaltungsanordnung zur Überwachung der Funktion einer programmgesteuerten Schaltung
DE19712371A1 (de) * 1997-03-25 2005-12-15 Rheinmetall Waffe Munition Gmbh Flächenverteidigungsmine
DE19800462C1 (de) * 1998-01-08 1999-06-17 Siemens Ag Verfahren zum Synchronisieren einer elektronischen Einrichtung zur Funktionsüberwachung eines Mikroprozessors sowie elektronische Einrichtung zur Durchführung des Verfahrens

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Elektronik 11/23.5.1990, S.92-94 *

Also Published As

Publication number Publication date
DE10243789A1 (de) 2004-04-01

Similar Documents

Publication Publication Date Title
DE10049441B4 (de) Verfahren zum Betrieb eines von einem Prozessor gesteuerten Systems
DE602005000282T2 (de) Verfahren und Vorrichtung zur automatischen Erkennung der Bitrate von CAN-Bus-Netzwerk
EP2171585B1 (de) Verfahren zum betreiben eines mikrocontrollers und einer ausführungseinheit sowie ein mikrocontroller und eine ausführungseinheit
EP1748299A1 (de) Elektronische Schaltung, System mit einer elektronischen Schaltung und Verfahren zum Testen einer elektronischen Schaltung
DE4211579C1 (de) Verfahren zur Überwachung symmetrischer Zweidraht-Busleitungen und -Busschnittstellen, und Vorrichtung zur Durchführung des Verfahrens
DE102008024193A1 (de) System mit konfigurierbaren Funktionseinheiten und Verfahren
EP0564923B1 (de) Verfahren und Vorrichtung zur Phasenmessung
DE102017011685A1 (de) Verfahren und Vorrichtung zur Verarbeitung von Alarmsignalen
DE10243789B4 (de) Verfahren und Schaltungsanordnung zum Überwachen der Funktion eines Prozessors
DE10158853A1 (de) Verfahren zur Analyse des Zeitverhaltens komplexer verteilter Systeme
DE102004051991A1 (de) Verfahren, Betriebssystem und Rechengerät zum Abarbeiten eines Computerprogramms
EP0584512B1 (de) Verfahren zum zeitlichen Überwachen einer Programmabarbeitung
EP1812853A2 (de) Verfahren, betriebssystem und rechengerät zum abarbeiten eines computerprogramms
DE3914003C2 (de) Anordnung zur Überwachung des Programmablaufes einer zumindest einen Mikroprozessor enthaltenden Steuerungsbaugruppe
EP1497735B1 (de) Verfahren und vorrichtung zur überprufung einer überwachungsfunktion eines bussystems und bussystem
EP0195457B1 (de) Vorrichtung zur Eigenüberwachung einer Schaltungsanordnung mit einem Mikrocomputer
EP2338111B1 (de) Verfahren und vorrichtung zum testen eines rechnerkerns in einer mindestens zwei rechnerkerne aufweisenden recheneinheit
DE69120364T2 (de) Verfahren und Gerät zur Wahrnehmung einer Rahmenbitfolge in einem digitalen Datenübertragungssystem
DE19932692A1 (de) Verfahren zur Abtastung biphase codierter digitaler Signale
DE3920696A1 (de) Mikroprozessor-schaltungsanordnung mit watchdog-schaltung
EP3761179B1 (de) Verfahren zur überprüfung der funktion eines prozessors durch einen watchdog
DE19946548A1 (de) Verfahren und Vorrichtung zur Auswahl von unterschiedlichen Funktionen zur Realisierung an einem Anschluß einer Steuereinheit
DE3335549A1 (de) Ueberwachungseinrichtung fuer eine datenverarbeitungsanlage
DE4024029C2 (de) Entscheidungslogik zur Priorisierung und Synchronisierung zeitlich asynchroner Signale
DE10032216A1 (de) Sicherheitssystem in einem Kraftfahrzeug und Verfahren

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: CONTINENTAL AUTOMOTIVE GMBH, 30165 HANNOVER, DE

R084 Declaration of willingness to licence
R081 Change of applicant/patentee

Owner name: VITESCO TECHNOLOGIES GMBH, DE

Free format text: FORMER OWNER: CONTINENTAL AUTOMOTIVE GMBH, 30165 HANNOVER, DE

R081 Change of applicant/patentee

Owner name: VITESCO TECHNOLOGIES GMBH, DE

Free format text: FORMER OWNER: VITESCO TECHNOLOGIES GMBH, 30165 HANNOVER, DE

R071 Expiry of right