DE10392916T5 - Selbsttestsystem - Google Patents

Selbsttestsystem Download PDF

Info

Publication number
DE10392916T5
DE10392916T5 DE10392916T DE10392916T DE10392916T5 DE 10392916 T5 DE10392916 T5 DE 10392916T5 DE 10392916 T DE10392916 T DE 10392916T DE 10392916 T DE10392916 T DE 10392916T DE 10392916 T5 DE10392916 T5 DE 10392916T5
Authority
DE
Germany
Prior art keywords
fault
error
fault monitoring
electronic system
monitoring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE10392916T
Other languages
English (en)
Inventor
Peter John Miller
Andrew Charles Osborne Smith
Michael John Lindsey
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricardo UK Ltd
Original Assignee
Ricardo UK Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricardo UK Ltd filed Critical Ricardo UK Ltd
Publication of DE10392916T5 publication Critical patent/DE10392916T5/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1415Saving, restoring, recovering or retrying at system level
    • G06F11/1441Resetting or repowering
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/26Functional testing
    • G06F11/267Reconfiguring circuits for testing, e.g. LSSD, partitioning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Debugging And Monitoring (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)

Abstract

Elektronisches System mit mehreren Fehlerüberwachungssystemen, von denen jedes ausgebildet ist zur Ausgabe eines Fehlersignales, wenn ein Eingang anzeigt, dass das elektronische System sich in einem Fehlerzustand in Verbindung mit dem Fehlerüberwachungssystem befindet, wobei:
die Fehlerüberwachungssysteme kaskadenartig derart angeordnet sind, dass ein Fehlersignalausgang eines Fehlerüberwachungssystemes als Eingang eines nachfolgenden Fehlerüberwachungssystemes in der Kaskade von Fehlerüberwachungssystemen dient, um einen Fehlerzustand in Zusammenhang mit dem nachfolgenden Fehlerüberwachungssystem zu simulieren.

Description

  • Die Erfindung betrifft ein Selbsttestverfahren und eine Vorrichtung mit Selbsttesteigenschaften zur Verwendung bei Steuersystemen, insbesondere, aber nicht ausschließlich zur Verwendung in Fahrzeugen.
  • Elektronische Systeme, die in Systemen verwendet werden, bei denen Fehler ernste Konsequenzen haben können, benötigen verschiedene Fehlerüberwachungssysteme, um sicherzustellen, dass solche Fehler erkannt und geeignete Korrekturmaßnahmen ergriffen werden. Viele solche Fehlerüberwachungssysteme sind bekannt (beispielsweise kann ein Komparator verwendet werden, um die Versorgungsspannung mit einer festen Referenzspannung zu vergleichen und um einen Fehler zu erzeugen, wann immer die Versorgungsspannung unter (oder über) der Referenzspannung liegt). Da Fehler seltene Ereignisse sind, ist es möglich, dass Fehler in den Fehlerüberwachungssystemen auftreten, bevor die Fehler auftreten, zu deren Überwachung sie dienen. Wenn diese Fehler unbemerkt bleiben, ist es möglich, dass, wenn ein ernsterer Fehler auftritt (ein Fehler, zu dessen Feststel lung das Fehlerüberwachungssystem vorgesehen ist), dieser unbemerkt bleibt, was ernste Konsequenzen haben kann.
  • Es ergibt sich daraus das Bedürfnis, die Fehlerüberwachungssysteme selbst zu überwachen.
  • Die Erfindung wird im folgenden beispielsweise mit Bezug auf die beigefügten Zeichnungen beschrieben, in denen gleiche Bezugszeichen entsprechende Elemente bezeichnen. Es zeigen:
  • 1: ein Funktionsdiagramm von Komponenten eines elektronischen Systems einer ersten Ausführungsform eines Selbsttestsystems.
  • 2: ein Schaltdiagramm der Ausführungsform des Selbsttestsystems gemäß 1,
  • 3: ein Funktionsdiagramm von Komponenten eines elektronischen Systems in einer zweiten Ausführungsform eines Selbsttestsystems und
  • 4: ein Flussdiagramm zur Darstellung des Betriebs des Selbsttestsystems der 3.
  • Es wird ein Verfahren und eine Vorrichtung zum Selbsttest eines elektronischen Systems beschrieben. In der folgenden Beschreibung sind zu Erläuterungszwecken eine Reihe von spezifischen Details angegeben, die dem besseren Verständnis der Erfindung dienen. Die vorliegende Erfindung kann jedoch auch ohne diese spezifischen Details ausgeführt werden. Bekannte Strukturen und Einrichtun gen sind in Blockdiagrammform gezeigt, um die Erfindung übersichtlicher zu gestalten.
  • Die oben angegebenen Bedürfnisse sowie weitere Bedürfnisse und Aufgaben, die sich aus der folgenden Beschreibung ergeben, werden mit der vorliegenden Erfindung gelöst, die, einerseits, ein elektronisches System aufweist mit einem zu überwachenden System und mehreren Fehlerüberwachungssystemen. Jedes der Fehlerüberwachungssysteme ist zur Ausgabe eines Fehlersignales ausgebildet, wenn ein Eingang anzeigt, dass das dem Fehlerüberwachungssystem zugeordnete elektronische System sich in einem Fehlerzustand befindet. Die Fehlerüberwachungssysteme sind kaskadenartig angeordnet, so dass ein Fehlersignalausgang von einem Fehlerüberwachungssystem als Eingang an ein folgendes Fehlerüberwachungssystem in der Kaskade von Fehlerüberwachungssystemen gegeben wird, um einen Fehlerzustand bei dem folgenden Fehlerüberwachungssystem zu simulieren. Der Ausgang des letzten Fehlerüberwachungssystemes in der Kaskade zeigt an, ob in irgend einem der Fehlerüberwachungssysteme ein Fehler vorliegt. Alternativ können die Ausgänge jedes der einzelnen Fehlerüberwachungssysteme überwacht werden, um anzuzeigen, ob in irgend einem der Fehlerüberwachungssysteme ein Fehler besteht.
  • Andererseits umfasst die vorliegende Erfindung ein Verfahren und ein computerlesbares Medium zum Ausführen der vorgenannten Schritte.
  • Das zu beschreibende elektronische System ist Teil des elektronischen Systems eines Fahrzeuges, z.B. eines Kraftwagens. Das Verfahren ist jedoch auf andere elektronische Systeme mit Fehlerüberwachungssystemen anwendbar.
  • 1 zeigt eine Ausführungsform eines Selbsttestfehlerüberwachungssystems. Das elektronische System enthält das zu überwachende System 2 (das typischer weise einen Mikroprozessor enthält), eine erste Fehlerüberwachungseinrichtung 4 (die beispielsweise die Form eines Wächters für den Prozessor annehmen kann) und eine zweite (und in diesem Falle letzte) Fehlerüberwachungseinrichtung 6 (die beispielsweise die Form eines Spannungspegelsdetektors annehmen kann zur Überwachung der Versorgungsleitungen des Prozessors. Ein System 8 besorgt die erforderliche Aktion bei Ermittlung eines Fehlers (beispielsweise zum Abschalten des Systems 2) und ein nicht flüchtiger Speicher 10 ermöglicht die Abspeicherung eines Protokolls über Erfolg oder Misserfolg des Selbsttestvorganges.
  • Bei jeder der vorgenannten Fehlerermittlungssituationen wird das Fehleraktionssystem 8 entweder direkt vom Fehlerüberwachungssystem 6 oder indirekt vom Fehlerüberwachungssysteme 4 durch Simulation eines Fehlers im Überwachungssystem 6 aktiviert, der dann die Aktion auslöst.
  • Die Fehlerüberwachungssysteme 4, 6 sind zur Überwachung auf Fehlerzustände ausgebildet. Das elektronische System, in dem diese Komponenten vorgesehen sind, hat jedoch keine Möglichkeit zu wissen, ob die Fehlerzustandsdetektoren korrekt arbeiten. Die in den Figuren dargestellte Ausführungsform erlaubt ein elektronisches System zur Überwachung der Fehlerüberwachungssysteme. Vorzugsweise wird bei jedem Abschalten des Systems ein Selbsttest ausgeführt.
  • Wenn das elektronische System heruntergefahren wird, ändert daher das überwachte System 2 seine Funktion, so dass der Fehlerdetektor 4 einen Fehler feststellt. Wenn der Fehlerdetektorschaltkreis 4 richtig arbeitet, so erzeugt er dann eine Ausgabe, die bewirkt, dass der Fehlerdetektor 6 einen Fehler sieht. Ein Protokoll dieses Ereignisses wird in dem nicht flüchtigen Speicher 10 abgespeichert und der Fehlerantwortaktivator 8 führt eine Antwort auf den Fehlerzustand aus (typischerweise fährt er das System 2 herunter). Wenn das System 2 das nächste Mal ein Startsignal erhält, prüft es das Protokoll in dem nicht flüchtigen Speicher.
  • Wenn beim Hochfahren ein solches Protokoll im nicht flüchtigen Speicher nicht vorhanden ist, stellt das System 2 fest, dass das Fehlerüberwachungssystem nicht korrekt gearbeitet hat und dass daher eines der Fehlerüberwachungssysteme 4, 6 nicht in Ordnung ist. Das System ergreift dann geeignete Aktionen, fährt z.B. selbst herunter nach Erzeugung einer geeigneten Fehlernachricht. Wenn das System 2 feststellt, dass der Test des Fehlerdetektors erfolgreich war, wird das Protokoll im nicht flüchtigen Speicher gelöscht und steht für den nächsten Selbsttest bereit.
  • In einem weiteren Aspekt der Erfindung wird ein teilweiser Selbsttest auch beim Hochfahren ausgeführt. Beim Einschalten fährt die Versorgungsspannung Vsupp auf den erforderlichen Pegel hoch. Daher kann ein Selbsttest eines Unterspannungsdetektors (z.B. des Fehlererkennungssystems 6) beim Hochfahren ausgeführt werden um zu testen, ob der Unterspannungsdetektor 6 eine Unterspannungssituation korrekt erkennt. Daher kann beim Startbetrieb des Systems ein Startmonitor 12 überprüfen, ob das Unterspannungsüberwachungssystem 6 zu Beginn einen Fehler feststellt (wenn die Versorgungsspannung niedrig ist), um sodann keinen Fehler festzustellen (wenn die Versorgungsspannung im spezifizierten Bereich liegt). Dieses Fehlerüberwachungssystem kann das zu überwachende elektronische System 2 über sein Ergebnis informieren und/oder den Fehlerantwortaktivator 8 aktivieren und/oder ein Protokoll im nicht flüchtigen Speicher 10 ablegen.
  • 2 zeigt eine Ausführungsform des Fehlerüberwachungssystems mit Unter- und Überspannungsdetektoren für zwei Spannungsversorgungsleitungen (5 V und 2,6 V). Die tatsächliche Ermittlung der Unter/Überspannung wird von den vier Komparatoren (30, 32, 34, 36) durchgeführt. Ein Signal A zeigt einen Eingang an die erste Fehlerüberwachungseinrichtung mit den Komparatoren 30, 32. Ein Transistor T1 ermöglicht dem System einen Fehler im ersten Komparator 30 zu erzeugen, der über T2 einen Fehler im zweiten Komparator 32 erzeugt. Das Fehlersignal B wird vom Komparator 32 ausgegeben und erzeugt einen Fehler in der nächsten Fehlerüberwachungseinrichtung mit den Komparatoren 34, 36. Daher erzeugt das Fehlersignal B am Ausgang des Komparators 32 einen Fehler im nächsten Komparator 34 über D1 und der Komparator 34 erzeugt wiederum einen Fehler im letzten Komparator 36 über D2. Das Fehlersignal C am Ausgang des zweiten Fehlerüberwachungssystems (mit den Komparatoren 34, 36) wird dann zum Triggern des Fehlerantwortaktivators 8 verwendet.
  • Bei der in den 1 und 2 dargestellten Ausführung der beschriebenen ersten Ausführungsform gibt es zwei Fehlerüberwachungseinrichtungen: Am Beginn der Kaskade von Fehlerüberwachungseinrichtungen liegt das Wächtersystem 4 (oder etwas Ähnliches), das mit einem Microprocessor verbunden ist, während am anderen Ende der Kaskade ein Fehlerausgangssignal von dem zweiten Fehlerüberwachungssystem 6 das System ausschaltet oder den Mikroprozessor resettet.
  • In einer weiteren Ausbildung wird, wenn das elektronische System, das von der ersten Fehlerüberwachungseinrichtung überwacht wird, in einen Fehlerzustand versetzt wird, ein Flag oder Wert (z.B. 1) im nicht flüchtigen Speicher 10 abgelegt. Wenn der Mikroprozessor des elektronischen Systems 2 nach einer vorgegebenen Zeitperiode immer noch läuft (z.B. hat der Mikroprozessor sich nicht heruntergefahren), dann wird die Kaskade getriggert. Der Prozessor schreibt dann einen anderen Wert (z.B. 2) in den nicht flüchtigen Speicher 10 und schaltet ab. Beim Hochfahren kann durch Überprüfen des nicht flüchtigen Speichers der Grund für den Stopp gefunden werden. Der Wert sollte nach dem Lesen gelöscht werden, so dass ein echter Fehler von einem "Test"-Fehler unterschieden werden kann.
  • Obwohl die 1 und 2 Ausführungsformen zeigen, bei denen nur zwei Fehlerüberwachungssysteme (4 und 6) vorgesehen sind, können auch weitere Fehlerüberwachungssysteme vorgesehen sein. In diesem Falle kann der Ausgang eines ersten Fehlerüberwachungssystemes als Eingang für ein zweites, der Ausgang des zweiten kann Eingang eines dritten sein usw.
  • 3 zeigt eine zweite Ausführungsform eines Selbsttestsystems. Das elektronische System weist ein zu überwachendes System 2 auf (typischerweise mit wenigstens einem Prozessor), eine erstes Fehlerüberwachungseinrichtung in Form eines Spannungspegeldetektors 4 und eine zweite Fehlerüberwachungseinrichtung in Form einer Wächterschaltung 6. Ein zweiter Prozessor 8 kann außerdem zur Überwachung des Betriebes des ersten Prozessors 2 vorgesehen sein. Ein nicht flüchtiger Speicher 10 kann zur Abspeicherung der Vorgeschichte von Fehlerprotokollen vorgesehen sein.
  • Der Spannungsdetektor 4 weist einen Op-Amp (Operationsverstärker) auf, einen ersten (nicht-invertierenden) Eingang, der mit der Versorgungsspannung Vsupp verbunden ist und von dem ein zweiter invertierender Eingang mit einer Referenz-Spannung Vref verbunden ist. Im Betrieb besteht die Wahrscheinlichkeit, dass die Versorgungsspannung des elektronischen Systems sich ändert. Beispielsweise steigt beim Hochfahren des elektronischen Systems die Spannung von nominellen 0 V auf eine Spannung in Bereichen dessen, was für das elektronische System erforderlich ist, z.B. 3 V. Während dieses Hochfahrzustandes kann die Spannung über die erforderliche Versorgungsspannung überschießen. Dann ergibt sich eine sogenannte Überspannungssituation. Da diese Überspannung das Ergebnis eines Fehlers bei der Stromversorgung des elektronischen Systems sein kann, wird dies als Fehlersituation angesehen.
  • Wenn der Wert der Versorgungsspannung größer ist als der Wert der Referenzspannung, erzeugt der Op-Amp ein Ausgangssignal und daher erzeugt der Spannungspegeldetektor 4 ein Fehlersignal.
  • Die Wächterschaltung 6 empfängt als Eingang ein Signal von dem Prozessor 2, um anzuzeigen, dass der Prozessor korrekt arbeitet. Unter normalen Bedingungen wird das Signal vom Prozessor 2 periodisch abgegeben. Wenn die Wächterschaltung das Signal nicht empfängt, wenn sie ein Signal erwartet, wird der Prozessor als in einem nicht normalen Zustand befindlich angesehen und die Wächterschaltung 6 gibt ein Fehlersignal in Form eines Reset-Signales ab.
  • In jeder der Fehlererkennungssituationen wird der Prozessor resettet, d.h. der Betrieb des Prozessors wird gestoppt und neu gestartet.
  • Der Pegeldetektor 4 und die Wächterschaltung 6 sind zur Überwachung auf Fehlerzustände ausgebildet. Jedoch kann das elektronische System, in dem diese Komponenten vorgesehen sind, nicht erkennen, ob die Fehlerzustandsdetektoren richtig arbeiten oder nicht. Daher wird ein Selbsttest bei jedem Herunterfahren des Microprocessors ausgeführt, entweder auf Grund eines Resets oder weil, das zugehörige System abgeschaltet wurde.
  • Wenn daher, in einem ersten Aspekt, das elektronisch System heruntergefahren wird, überwacht der Prozessor auf Feststellung eines Überspannungszustandes. Wenn der Pegeldetektor 4 ordnungsgemäß arbeitet, sollte die Pegeldetektorschaltung 4 ein Überspannungs-Resetsignal abgeben oder abschalten. Wenn daher das System, insbesondere der Prozessor des elektronischen Systems, heruntergefahren wird, überwacht der Prozessor auf ein Überspannungssignal am Ausgang des Pegeldetektors 4. Wenn ein Überspannungsstrom bei Betriebsstopp des Prozessors 2 auftritt, wird ein diesbezügliches Protokoll im nicht flüchtigen Spei cher 10 abgelegt. Wenn der Prozessor 2 das nächste Mal ein Startsignal erhält, überprüft der Prozessor das Protokoll im nicht flüchtigen Speicher. Wenn beim Hochfahren ein solches Protokoll im nicht flüchtigen Speicher nicht vorhanden ist, dann registriert der Prozessor 2, dass die Überspannungsüberwachungschaltung 4 die Überspannungssituation beim Herunterfahren nicht festgestellt hat und dass daher die Überspannungsüberwachungseinrichtung 4 fehlerhaft ist. Der Prozessor ergreift dann eine geeignete Aktion, z.B. fährt er sich selbst herunter, nachdem er eine entsprechende Fehlermeldung erzeugt hat. Das Protokoll im nicht flüchtigen Speicher wird vorzugsweise gelöscht, wenn diese Fehlermeldung erzeugt wird.
  • Ein zusätzlicher oder alternativer Selbsttest kann ausgeführt werden. Dies betrifft den Selbsttest der Wächterschaltung 6. Der Selbsttest wird automatisch beim Heurunterfahren des Prozessors 2 ausgeführt. Wenn an den Prozessor ein Signal zur Betriebsbeendigung gegeben wird, so hört der Prozessor auf, das periodische Signal an die Wächterschaltung 6 abzugeben. Die Wächterschaltung 6 stellt dann fest, dass sie nicht das periodische Signal vom Microprocessor 2 erhält und erzeugt daher ein Reset-Signal. Dieses wird vom Prozessor 2 empfangen und ein Protokoll des Reset-Signals im nicht flüchtigen Speicher 10 abgelegt. Der Prozessor 2 fährt dann herunter.
  • Bei nachfolgendem Betriebsbeginn des Prozessors 2 überprüft der Prozessor, ob der nicht flüchtige Speicher 10 das Protokoll eines von der Wächtereinrichtung 6 erzeugten Reset-Signales enthält. Wenn der nicht flüchtige Speicher keine solche Aufzeichnung enthält, wird eine Fehlernachricht erzeugt und der Prozessor heruntergefahren.
  • Vorzugsweise wird ein Selbsttest beim Herunterfahren sowohl für den Pegeldetektor 4 als auch für die Wächterschaltung 6 durchgeführt. Der Wächterselbsttest kann als erstes ausgeführt werden durch Beendigung des periodischen Signales vom Prozessor 2 zur Wächterschaltung 6 und durch Überwachung des Fehlersignales von der Wächterschaltung. Danach kann der Pegeldetektorselbsttest erfolgen.
  • Ein Selbsttest kann auch beim Hochfahren ausgeführt werden. Wie oben erwähnt, fährt die Versorgungsspannung Vsupp beim Starten auf den erforderlichen Pegel hoch. Daher wird beim Hochfahren ein Selbsttest des Pegeldetektors 4 ausgeführt zum Testen, ob der Pegeldetektor 4 eine Unterspannungssituation korrekt erfasst. Beim Hochfahrbetrieb des Prozessors überwacht daher der Selbsttestablauf die Erzeugung eines Fehlersignales durch den Pegeldetektor 4. Bei Erzeugung eines Fehlersignales durch die Fehlerüberwachung beim Start des Betriebes des Prozessors wird ein diesbezügliches Protokoll im nicht flüchtigen Speicher 10 abgespeichert. Beim anschließenden Empfang einer Nachricht zum Betriebsstopp des Prozessors überprüft der Prozessor, ob der nicht flüchtige Speicher 10 die Aufzeichnung eines Fehlersignales enthält und, wenn der nicht flüchtige Speicher keine Aufzeichnung eines Fehlersignales enthält, wird ein Alarmsignal erzeugt.
  • 4 zeigt in einem Flussdiagramm den Ablauf des Selbsttestprogramms. Diese Routine wird beim Hochfahren und beim Herunterfahren durchgeführt (z.B. wenn die Zündung eines Fahrzeuges eingeschaltet wird oder bei oder nach einem Reset aus irgend einem anderen Grund). Im ersten Schritt (401) empfängt der Prozessor einen Befehl zum Auslösen einer Fehlerbedingung für das erste Fehlerüberwachungssystem, z.B. zum Ausschalten des Prozessors 2. Der Grund dafür kann ein Reset von der Wächteranwendung oder vom Spannungsdetektor sein (oder von einer anderen Fehlerüberwachungseinrichtung). Der Prozessor gelangt dann in den Fehlerzustand (402), z.B. leitet er die Betriebsbeendigung ein, was zur Erzeugung einer Fehlerbedingung führt.
  • Das System führt dann die oben diskutierte Selbsttestroutine aus und überwacht (403) beispielsweise, ob die Wächteranwendung ein Fehler-Flag ausgibt und/oder ob der Spannungsdetektor ein Fehler-Flag ausgibt. Wenn ein Fehlersignal von der Fehlerüberwachungseinrichtung ausgegeben wird, dann wird das Fehlersignal im nicht flüchtigen Speicher abgespeichert (404). Auf jeden Fall beendet der Prozessor dann den gesamten Betrieb (405).
  • Bei nachfolgender Überführung (406) des Systems in einen Nicht-Fehler-Zustand, z.B. Starten des Prozessors (406) (entweder als Ergebnis eines Reset-Signales oder weil das System vom Bediener gestartet wird), prüft (407) der Prozessor, ob in dem nicht flüchtigen Speicher eine Aufzeichnung über den Selbsttest vorhanden ist, der beim Herunterfahren ausgeführt wurde. Wenn keine solche Aufzeichnung im nicht flüchtigen Speicher vorhanden ist, wird ein Alarmsignal generiert (408). Dieses Alarmsignal oder diese Nachricht zeigt an, dass die zugehörige Fehlerüberwachungskomponente nicht ordentlich funktioniert. Als Antwort würde der Prozessor normalerweise abschalten, bis der Fehler geklärt ist. Wenn jedoch der nicht flüchtige Speicher eine Aufzeichnung der zugehörigen Fehlererkennungskomponente enthält, kann das elektronische System mit dem Betrieb normal fortfahren (409).
  • Wenn auch ein Unterspannungsselbsttest ausgeführt wird, kann der Prozessor vor Schritt 409 überprüfen, ob eine Aufzeichnung vorhanden ist darüber, dass der Pegeldetektor 4 beim vorherigen Hochfahren des Prozessors einen Unterspannungszustand festgestellt hat. Wenn keine solche Aufzeichnung gefunden wird, wird ein Alarmsignal generiert (408). Alternativ kann der Prozessor nach Schritt 409 eine weitere Subroutine ausführen, bei der der Prozessor sich abschaltet und neu startet, um die Unterspannungsroutine auszuführen. Diese zusätzliche Stopp/Start-Routine ergibt eine kurze Verzögerung beim Starten des Prozessors zum normalen Betriebes, ist jedoch für den Bediener kaum wahrnehmbar.
  • Die Erfindung beabsichtigt daher die Verringerung des Risikos, dass ein Fehler in einem Fehlerüberwachungssystem unentdeckt bleibt, indem das Fehlerüberwachungssystem getestet wird. Vorzugsweise werden die Fehlerüberwachungssysteme jedesmal getestet, wenn das zu überwachende System heruntergefahren und neu gestartet wird (z.B. passiert dies im Falle eines Fahrzeuges, wie z.B. eines Kraftfahrzeuges jedesmal vor und nach einer Reise).
  • In der vorstehenden Beschreibung wurde die Erfindung in bezug auf spezielle Ausführungsformen beschrieben. Es können jedoch unterschiedliche Änderungen daran vorgenommen werden, ohne den Bereich der Erfindung zu verlassen. Die Beschreibung und die Zeichnungen sind daher als beispielhaft und nicht beschränkend zu verstehen.
  • ZUSAMMENFASSUNG
  • Die Erfindung betrifft ein elektronisches System mit einem zu überwachenden System (2) und mehreren Fehlerüberwachungssystemen (4, 6), von denen jedes ausgebildet ist zur Ausgabe eines Fehlersignales, wenn ein Eingang anzeigt, dass das elektronische System sich in einem Fehlerzustand in Verbindung mit dem Fehlerüberwachungssystem befindet. Die Fehlerüberwachungssysteme sind kaskadenartig derart angeordnet, dass ein Fehlersignalausgang eines Fehlerüberwachungssystemes (4) als Eingang eines nachfolgenden Fehlerüberwachungssystemes (6) in der Kaskade von Fehlerüberwachungssystemen dient, um einen Fehlerzustand in Zusammenhang mit dem nachfolgenden Fehlerüberwachungssystem zu simulieren. Der Ausgang des letzten Fehlerüberwachungssystems der Kaskade zeigt an, ob ein Fehler in einem der Fehlerüberwachungssysteme vorliegt.

Claims (31)

  1. Elektronisches System mit mehreren Fehlerüberwachungssystemen, von denen jedes ausgebildet ist zur Ausgabe eines Fehlersignales, wenn ein Eingang anzeigt, dass das elektronische System sich in einem Fehlerzustand in Verbindung mit dem Fehlerüberwachungssystem befindet, wobei: die Fehlerüberwachungssysteme kaskadenartig derart angeordnet sind, dass ein Fehlersignalausgang eines Fehlerüberwachungssystemes als Eingang eines nachfolgenden Fehlerüberwachungssystemes in der Kaskade von Fehlerüberwachungssystemen dient, um einen Fehlerzustand in Zusammenhang mit dem nachfolgenden Fehlerüberwachungssystem zu simulieren.
  2. Elektronisches System nach Anspruch 1, wobei der Ausgang eines letzten Fehlerüberwachungssystemes in der Kaskade als Anzeiger für einen Fehler in einem der Fehlerüberwachungssysteme benutzt wird.
  3. Elektronisches System nach den Ansprüchen 1 oder 2, wobei das System weiterhin ausgebildet ist zum: Setzen des Systems in einen ersten Fehlerzustand und Überwachung eines ersten Fehlersignales von einer ersten Fehlerüberwachungseinrichtung, Eingeben, nach Erzeugung eines ersten Fehlersignales durch die Fehlerüberwachungseinrichtung nach Setzen des Systems in den ersten Fehlerzustand, des ersten Fehlersignales in die zweite Fehlerüberwachungseinrichtung und Abspeichern, in Reaktion auf einen Ausgang von einer letzten Fehlerüberwachungseinrichtung, einer diesbezüglichen Aufzeichnung in einen nicht flüchtigen Speicher.
  4. Elektronisches System nach Anspruch 3, wobei nach darauffolgender Rückkehr des Systems in eine Nicht-Fehler-Bedingung das System ausgebildet ist zur Überprüfung, ob der nicht flüchtige Speicher eine Aufzeichnung enthält und wenn der nicht flüchtige Speicher bei der nachfolgenden Rückkehr keine Aufzeichnung enthält, ein Alarmsignal erzeugt wird.
  5. Elektronisches System nach einem der Ansprüche 1 bis 4, wobei ein erstes Fehleraufzeichnungssystem zur Ausgabe eines Fehlersignales ausgebildet ist, wenn das elektronische System in einen ausgeschalteten Zustand gebracht wird.
  6. Elektronisches System nach Anspruch 5, wobei das erste Fehlerüberwachungssystem ein Wächtersystem ist.
  7. Elektronisches System nach Anspruch 5, wobei das elektronische System zu einem Fahrzeug gehört und das elektronische System durch Drehen des Zündschlüssels in einen ausgeschalteten Zustand gebracht wird.
  8. Elektronisches System nach Anspruch 5, 6 oder 7, wobei ein zweites Fehlerüberwachungssystem als Eingang das Fehlersignal des ersten Fehlerüberwachungssystems hat, wobei das zweite Fehlerüberwachungssystem ausgebildet ist zur Ausgabe eines Fehlersignales, wenn das elektronische System sich in einem Unter- oder Überspannungszustand befindet.
  9. Elektronisches System nach einem der Ansprüche 1 bis 8, weiterhin aufweisend das Abspeichern einer Aufzeichnung eines Fehlersignalausganges eines der Fehlerüberwachungssysteme, zur Ermöglichung der Identifikation eines defekten Fehlerüberwachungssystemes.
  10. Selbsttestverfahren für ein elektronisches System mit mehreren Fehlerüberwachungssystemen, von denen jedes ausgebildet ist zur Ausgabe eines Fehlersignales, wenn ein Eingang anzeigt, dass das elektronische System sich in einem Fehlerzustand in Verbindung mit dem Fehlerüberwachungssystem befindet, wobei die Fehlerüberwachungssysteme kaskadenartig angeordnet sind, so dass ein Fehlersignalausgang eines Fehlerüberwachungssystems als Eingang eines nachfolgenden Fehlerüberwachungssystems in der Kaskade von Fehlerüberwachungssystemen dient, wobei das Verfahren aufweist: die Eingabe des Fehlersignales von einem Fehlerüberwachungssystem zu einem nächstfolgenden Fehlerüberwachungssystem zur Simulation eines Fehlerzustandes in Verbindung mit dem nächstfolgenden Fehlerüberwachungssystem.
  11. Selbsttestverfahren nach Anspruch 10, wobei der Ausgang eines letzten Fehlerüberwachungssystemes in der Kaskade als Anzeige eines Fehlers in einem der Fehlerüberwachungssysteme verwendet wird.
  12. Selbsttestverfahren nach Anspruch 10 oder 11, weiterhin beinhaltend: Setzen des Systems in einen ersten Fehlerzustand und Überwachung der Erzeugung eines ersten Fehlersignales von einer ersten Fehlerüberwachungseinrichtung, Eingabe, bei Generierung eines ersten Fehlersignales von der Fehlerüberwachungseinrichtung nach Setzen des Systems in einen ersten Fehlerzustand, des ersten Fehlersignales in die zweite Fehlerüberwachungseinrichtung und Abspeichern, als Antwort auf einen Ausgang von einer letzten Fehlerüberwachungseinrichtung, einer diesbezüglichen Aufzeichnung in einen nicht flüchtigen Speicher.
  13. Selbsttestverfahren nach Anspruch 12, weiterhin aufweisend, dass nach darauffolgender Rückkehr des Systems in einen Nicht-Fehler-Zustand überprüft wird, ob der nicht flüchtige Speicher eine Aufzeichnung enthält und dass, wenn der nicht flüchtige Speicher bei nachfolgender Rückkehr keine Aufzeichnung enthält, ein Alarmsignal generiert wird.
  14. Selbsttestverfahren nach einem der Ansprüche 10 bis 13, weiter enthaltend die Ausgabe eines Fehlersignales von dem ersten Fehlerüberwachungssystem, wenn das elektronische System in einen ausgeschalteten Zustand versetzt wird.
  15. Selbsttestverfahren nach Anspruch 14, wobei das erste Fehlerüberwachungssystem ein Wächtersystem ist.
  16. Selbsttestverfahren nach Anspruch 14 oder 15, wobei das elektronische System einem Fahrzeug zugehört und das elektronische System durch Drehen eines Zündschlüssels in einen ausgeschalteten Zustand versetzt wird.
  17. Elektronisches System nach Anspruch 14, 15 oder 16, wobei ein zweites Fehlerüberwachungssystem als Eingang das Fehlersignal von dem Fehlerüberwachungssystem hat, wobei das zweite Fehlerüberwachungssystem ausgebildet ist zur Ausgabe eines Fehlersignales, wenn das elektronische System sich in einem Unter- oder Überspannungszustand befindet.
  18. Selbsttestverfahren nach einem der Ansprüche 10 bis 17, weiter enthaltend das Abspeichern einer Aufzeichnung eines Fehlersignalausganges von jedem der Fehlerüberwachungssysteme, zur Ermöglichung der Identifikation eines defekten Fehlerüberwachungssystemes.
  19. Elektronisches System mit wenigstens einem Fehlerüberwachungssystem, wobei das System ausgebildet ist zum: Setzen des Systems in einen ersten Fehlerzustand und Überwachung auf Erzeugung eines ersten Fehlersignales von einer ersten Fehlerüberwachungseinrichtung, Abspeichern, nach Generierung eines ersten Fehlersignales von der ersten Fehlerüberwachungseinrichtung nach Setzen des Systems in einen ersten Fehlerzustand, einer diesbezüglichen Aufzeichnung in einen nicht flüchtigen Speicher, Überwachung, nach darauffolgender Rückkehr des Systems in einen Nicht-Fehler-Zustand, ob der nicht flüchtige Speicher eine Aufzeichnung des ersten Fehlersignales enthält, und wenn der nicht flüchtige Speicher keine Aufzeichnung eines ersten Fehlersignales bei darauffolgender Rückkehr enthält, Erzeugung eines Alarmsignales.
  20. Elektronisches System nach Anspruch 19, wobei: das Setzen des System in einen ersten Fehlerzustand das Stoppen des Betriebes des Prozessors umfaßt und die nachfolgende Rückkehr des Systems in einen Nicht-Fehler-Zustand den nachfolgenden Beginn des Betriebes des Prozessors umfaßt.
  21. Elektronisches System nach Anspruch 19 oder 20, wobei die Fehlerüberwachungseinrichtung einen Spannungsdetektor aufweist, der ein Fehlersignal erzeugt, wenn Überspannung auftritt.
  22. Elektronisches System nach Anspruch 19, 20 oder 21, wobei die Fehlerüberwachungseinrichtung eine Einrichtung zur Überwachung des Be triebes des Prozessors und zur Erzeugung eines Fehlersignales, wenn ein Fehler beim Betrieb des Prozessors festgestellt wird, aufweist.
  23. Elektronisches System nach einem der Ansprüche 19 bis 22, weiterhin ausgebildet zum Löschen der Aufzeichnung aus dem nicht flüchtigen Speicher, wenn festgestellt ist, ob der nicht flüchtige Speicher eine Aufzeichnung eines Fehlersignales enthält.
  24. Elektronisches System nach einem der Ansprüche 19 bis 23, weiterhin aufweisend mehrere Fehlerüberwachungssysteme, wobei ein Fehlersignalausgang eines ersten Fehlerüberwachungssystemes als Eingang eines zweiten Fehlerüberwachungssystemes derart dient, dass ein Eingang des zweiten Fehlerüberwachungssystemes einen zweiten Fehlerzustand simuliert.
  25. Elektronisches System nach Anspruch 24, wobei der Ausgang eines letzten Fehlerüberwachungssystemes zur Anzeige eines Fehlers in einem der Fehlerüberwachungssysteme verwendet wird.
  26. Selbsttestverfahren für ein elektronisches System, wobei das Verfahren aufweist: das Setzen des Systems in einen ersten Fehlerzustand und die Überwachung auf Erzeugung eines ersten Fehlersignales von einer Fehlerüberwachungseinrichtung, das Abspeichern, bei Generierung eines ersten Fehlersignales von der Fehlerüberwachungseinrichtung nach Setzen des Systemes in den ersten Fehlerzustand, einer diesbezüglichen Aufzeichnung in einen nicht flüchtigen Speicher, Überwachung, nach darauffolgender Rückkehr des Systems in einen Nicht-Fehler-Zustand, ob der nicht flüchtige Speicher eine Aufzeichnung eines ersten Fehlersignales enthält und wenn der nicht flüchtige Speicher nach der darauffolgenden Rückkehr eine Aufzeichnung eines solchen ersten Fehler-Signales nicht enthält, die Generierung eines Alarmsignales.
  27. Selbsttestverfahren nach Anspruch 26, wobei das elektronische System einen Prozessor aufweist, wobei: das Setzen des System in einen ersten Fehlerzustand das Stoppen des Betriebes des Prozessors umfaßt und die nachfolgende Rückkehr des Systems in einen Nicht-Fehler-Zustand den nachfolgenden Beginn des Betriebes des Prozessors umfaßt.
  28. Selbsttestverfahren nach Anspruch 26, wobei das elektronische System einen Prozessor aufweist, wobei: das Setzen des System in einen ersten Fehlerzustand das Starten des Betriebes des Prozessors umfaßt und die nachfolgende Rückkehr des Systems in einen Nicht-Fehler-Zustand die nachfolgende Beendigung des Betriebes des Prozessors umfaßt.
  29. Selbsttestverfahren nach Anspruch 28, wobei die Fehlerüberwachungseinrichtung eine Spannungsdetektor aufweist, welcher ein Fehlersignal erzeugt, wenn eine Überspannung auftritt.
  30. Selbsttestverfahren nach Anspruch 28, wobei die Fehlerüberwachungseinrichtung eine Einrichtung zur Überwachung des Betriebes eines Prozessors aufweist und zur Erzeugung eines Fehlersignales bei Feststellung eines Fehlers beim Betrieb des Prozessors.
  31. Selbsttestverfahren nach Anspruch 28, weiterhin aufweisend das Löschen der Aufzeichnung aus dem nicht flüchtigen Speicher, sobald festgestellt ist, ob der nicht flüchtige Speicher eine Aufzeichnung enthält.
DE10392916T 2002-07-18 2003-07-18 Selbsttestsystem Withdrawn DE10392916T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
GB0216742.7 2002-07-18
GBGB0216742.7A GB0216742D0 (en) 2002-07-18 2002-07-18 Self-testing watch dog system
PCT/GB2003/003141 WO2004010299A2 (en) 2002-07-18 2003-07-18 Self-test system

Publications (1)

Publication Number Publication Date
DE10392916T5 true DE10392916T5 (de) 2005-08-18

Family

ID=9940732

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10392916T Withdrawn DE10392916T5 (de) 2002-07-18 2003-07-18 Selbsttestsystem

Country Status (5)

Country Link
US (2) US7707458B2 (de)
AU (1) AU2003281577A1 (de)
DE (1) DE10392916T5 (de)
GB (2) GB0216742D0 (de)
WO (1) WO2004010299A2 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102019135553A1 (de) * 2019-12-20 2021-06-24 Airbus Defence and Space GmbH System mit Selbstprüffunktion und Verfahren zum Verifizieren der Selbstprüffunktion eines Systems

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7337368B2 (en) * 2004-06-07 2008-02-26 Dell Products L.P. System and method for shutdown memory testing
CN100581444C (zh) * 2004-11-15 2010-01-20 皇家飞利浦电子股份有限公司 具有音频指示器的移动医疗遥测设备
EP2306634A3 (de) * 2005-06-30 2015-04-29 Continental Automotive Systems US, Inc. Regelsystem für elektrische Antriebe
DE102006003740B4 (de) * 2006-01-20 2011-06-30 Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V., 80686 Verfahren und System zum Betreiben einer Hochtemperaturbrennstoffzelle
JP4836732B2 (ja) * 2006-09-27 2011-12-14 富士通株式会社 情報処理装置
US7900093B2 (en) * 2007-02-13 2011-03-01 Siemens Aktiengesellschaft Electronic data processing system and method for monitoring the functionality thereof
US7877347B2 (en) * 2007-05-03 2011-01-25 Payton David W Method and system for independently observing and modifying the activity of an actor processor
JP5246230B2 (ja) * 2010-09-13 2013-07-24 株式会社デンソー 車両用電子制御装置
US9046581B2 (en) * 2011-12-27 2015-06-02 Ford Global Technologies, Llc Supervisor monitoring system
US10018673B2 (en) * 2015-03-13 2018-07-10 Toshiba Memory Corporation Semiconductor device and current control method of semiconductor device

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
HU178550B (en) * 1978-04-22 1982-05-28 Girling Ltd Non-skid brake mechanism for multiple-axle wheeled vehicles
US4586179A (en) * 1983-12-09 1986-04-29 Zenith Electronics Corporation Microprocessor reset with power level detection and watchdog timer
DE68905509T2 (de) * 1988-02-23 1993-07-01 Valeo Equip Electr Moteur Mehrfunktionsregeleinrichtung mit taktsynchronwechselstromerzeuger.
US5001712A (en) * 1988-10-17 1991-03-19 Unisys Corporation Diagnostic error injection for a synchronous bus system
US4943919A (en) * 1988-10-17 1990-07-24 The Boeing Company Central maintenance computer system and fault data handling method
US4956842A (en) * 1988-11-16 1990-09-11 Sundstrand Corporation Diagnostic system for a watchdog timer
SU1619279A1 (ru) * 1989-02-28 1991-01-07 Ульяновский Научно-Производственный Комплекс "Центр Применения Микроэлектроники И Автоматизации В Машиностроении" Устройство дл имитации неисправностей
US4999837A (en) * 1989-03-20 1991-03-12 International Business Machines Corporation Programmable channel error injection
US5151854A (en) * 1990-07-20 1992-09-29 Honeywell Inc. Integrated low voltage detect and watchdog circuit
DE4039355C2 (de) * 1990-12-10 1998-07-30 Bosch Gmbh Robert Vorrichtung zur Funktionsüberprüfung einer Watchdog-Schaltung
US6208955B1 (en) * 1998-06-12 2001-03-27 Rockwell Science Center, Llc Distributed maintenance system based on causal networks
US7035834B2 (en) * 2002-05-15 2006-04-25 Caterpillar Inc. Engine control system using a cascaded neural network

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102019135553A1 (de) * 2019-12-20 2021-06-24 Airbus Defence and Space GmbH System mit Selbstprüffunktion und Verfahren zum Verifizieren der Selbstprüffunktion eines Systems
US11667404B2 (en) 2019-12-20 2023-06-06 Airbus Defence and Space GmbH System with a self-test function, and method for verifying the self-test function of a system

Also Published As

Publication number Publication date
GB0503432D0 (en) 2005-03-30
GB2407442B (en) 2006-02-22
US20060150016A1 (en) 2006-07-06
AU2003281577A1 (en) 2004-02-09
GB0216742D0 (en) 2002-08-28
GB2407442A (en) 2005-04-27
WO2004010299A2 (en) 2004-01-29
US20080263409A1 (en) 2008-10-23
US7707458B2 (en) 2010-04-27
AU2003281577A8 (en) 2004-02-09
WO2004010299A3 (en) 2004-09-23

Similar Documents

Publication Publication Date Title
DE69714507T2 (de) Einrichtung und Verfahren zur On-line-Überwachung von Speichern
DE102018113625A1 (de) Fehlerinjektionstestvorrichtung und -verfahren
DE4320173C2 (de) Diagnoseverfahren für Kraftfahrzeuge zum Überprüfen elektronisch gesteuerter Systeme
DE102012109614B4 (de) Verfahren zum Wiederherstellen von Stapelüberlauf- oder Stapelunterlauffehlern in einer Softwareanwendung
DE102007047150B4 (de) Elektroniksteuerung
DE2946081A1 (de) Anordnung zur ueberwachung der funktion eines programmierbaren elektronischen schaltkreises
DE112010005400T5 (de) System für gegenseitige Überwachung von Mikrocomputern und ein Verfahren für gegenseitige Überwachung von Mikrocomputern
DE102013113296A1 (de) Redundante Rechenarchitektur
DE10392916T5 (de) Selbsttestsystem
DE102015210651B4 (de) Schaltung und Verfahren zum Testen einer Fehlerkorrektur-Fähigkeit
EP4292025A1 (de) Vorrichtungen und verfahren zur überwachung eines quantencomputers im betrieb
DE102020205416A1 (de) Vorrichtung und Verfahren zum Diagnostizieren eines Ruhemodus eines CANs für ein Fahrzeug
DE3036926C2 (de) Verfahren und Anordnung zur Steuerung des Arbeitsablaufes in Datenverarbeitungsanlagen mit Mikroprogrammsteuerung
DE2835498C2 (de) Anordnung zur dynamischen Fehlerermittlung in Datenverarbeitungsanlagen
DE102019131865A1 (de) Verfahren und vorrichtung zur eigendiagnose der ram-fehlererkennungslogik eines antriebsstrangcontrollers
DE3728561A1 (de) Verfahren zur ueberpruefung einer ueberwachungseinrichtung fuer einen mikroprozessor
DE60008872T2 (de) Verfahren und vorrichtung zur automatischen reintegration eines moduls in ein rechnersystem
DE102016200130B4 (de) Elektronische Steuervorrichtung
EP1359485B1 (de) Steuer- und Überwachungssystem
DE112016007535T5 (de) Steuereinrichtung und verarbeitungsverfahren im falle einer fehlfunktion der steuereinrichtung
WO2007071590A1 (de) Verfahren zur erkennung einer versorgungsunterbrechung in einem datenspeicher und zur wiederherstellung des datenspeichers
EP0508081B1 (de) Schaltungsanordnung und Verfahren zum Überwachen eines brennstoffbeheizten Gerätes
DE3751374T2 (de) Verfahren und Mechanismus zum unabhängigen Sicherstellungsmodustransfer für digitale Steuerprozessoren.
DE102017219195B4 (de) Verfahren zum gewährleisten eines betriebs eines rechners
DE10029141A1 (de) Verfahren zur Fehlerüberwachung eines Speicherinhalts mittels Prüfsummen sowie Mikrocontroller mit einem prüfsummengesicherten Speicherbereich

Legal Events

Date Code Title Description
8110 Request for examination paragraph 44
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20130201