DE19749068A1 - Verfahren und Vorrichtung zur Überwachung eines Rechnersystems bestehend aus wenigstens zwei Prozessoren - Google Patents

Verfahren und Vorrichtung zur Überwachung eines Rechnersystems bestehend aus wenigstens zwei Prozessoren

Info

Publication number
DE19749068A1
DE19749068A1 DE19749068A DE19749068A DE19749068A1 DE 19749068 A1 DE19749068 A1 DE 19749068A1 DE 19749068 A DE19749068 A DE 19749068A DE 19749068 A DE19749068 A DE 19749068A DE 19749068 A1 DE19749068 A1 DE 19749068A1
Authority
DE
Germany
Prior art keywords
processor
processors
output signals
monitoring
further units
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE19749068A
Other languages
English (en)
Other versions
DE19749068B4 (de
Inventor
Hermann Mayer
Manfred Hellmann
Hermann Dr Winner
Ralph Lauxmann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE19749068A priority Critical patent/DE19749068B4/de
Priority to US09/187,101 priority patent/US6351823B1/en
Priority to FR9813935A priority patent/FR2773232B1/fr
Priority to JP31578498A priority patent/JP4377463B2/ja
Publication of DE19749068A1 publication Critical patent/DE19749068A1/de
Application granted granted Critical
Publication of DE19749068B4 publication Critical patent/DE19749068B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1654Error detection by comparing the output of redundant processing systems where the output of only one of the redundant processing components can drive the attached hardware, e.g. memory or I/O
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/32Means for saving power
    • G06F1/3203Power management, i.e. event-based initiation of a power-saving mode
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/32Means for saving power
    • G06F1/3203Power management, i.e. event-based initiation of a power-saving mode
    • G06F1/3234Power saving characterised by the action undertaken
    • G06F1/3293Power saving characterised by the action undertaken by switching to a less power-consuming processor, e.g. sub-CPU
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1633Error detection by comparing the output of redundant processing systems using mutual exchange of the output between the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1637Error detection by comparing the output of redundant processing systems using additional compare functionality in one or some but not all of the redundant processing components
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Hardware Redundancy (AREA)
  • Power Sources (AREA)
  • Debugging And Monitoring (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)

Description

Die vorliegende Erfindung betrifft ein Verfahren sowie eine Vorrichtung zur Funktionsüberwachung eines Rechnersystems bestehend aus wenigstens zwei Prozessoren gemäß dem Ober­ begriff des Hauptanspruchs.
Stand der Technik
Eine gattungsgemäße Vorrichtung ist beispielsweise aus der DE 37 00 986 C2 bekannt. In dieser Schrift ist ein Rechner­ system mit zwei Prozessoren beschrieben, die gleichberech­ tigt zur Verarbeitungsleistung des Gesamtsystems beitragen. Um gegebenenfalls auftretende Fehler rechtzeitig erkennen zu können, überwachen sich die beiden Prozessoren gegenseitig. Diese Überwachung erfolgt im Zuge eines zyklischen Daten­ austauschs zwischen den beiden Prozessoren in der Art eines Hand-Shake-Betriebs. Dabei ist es möglich, daß die Prozes­ soren sich jeweils gegenseitig neu starten können, z. B. nach Wegfall einer Störeinwirkung auf den I/O-Bus eines der beiden Prozessoren oder bei dauerhaften Totalausfall eines der beiden Prozessoren. Zusätzlich zu der Überwachung mittels eines zyklischen Datenaustausches sind eine erste und eine zweite Pumpschaltung vorgesehen, die jeweils einem Prozessor zugeordnet sind. Die beiden Pumpschaltungen liefern unter Zugrundelegung einer positiven Logik jeweils eine logische 1, solange sie mit einem Taktsignal des jeweils zugeordneten Prozessors angesteuert werden. Die Überwachung der Ausgangssignale der beiden Pumpschaltungen durch den jeweils anderen Prozessor bietet in der Art einer Watch-Dog-Schaltung eine zweite gegenseitige Überwachungs­ möglichkeit.
Die hier beschriebene Vorrichtung ermöglicht eine zuverläs­ sige, gegenseitige Überwachung zweier Prozessoren, die sowohl gleichberechtigte als auch einander untergeordnete Aufgaben ausführen können. Wird jedoch einer der beiden Prozessoren während einer im vorhinein bekannten oder zu erwartenden Zeitspanne nicht benötigt, wäre es zur Reduzie­ rung der Verlustleistung sinnvoll, diesen während dieser Zeitspanne in einen energieverbrauchsärmeren Betriebsmodus umzuschalten. Solche sogenannten Power-Save-Modi sind bei Prozessoren an sich bereits bekannt und können oftmals über einen externen Steuereingang aktiviert und deaktiviert werden. Während eines solchen Power-Save-Modus führt ein Prozessor in der Regel keine Operationen aus, wodurch der Strom- und damit auch der Leistungsverbrauch gegenüber einem normalen Betriebsmodus wesentlich verringert ist. Dies bedeutet jedoch, daß während eines solchen Power-Save-Modus auch keine Operationen zur Überwachung eines anderen Prozes­ sors möglich sind. Bei der aus der DE 37 00 986 C2 bekannten Anordnung ist es demnach nicht möglich, einen der beiden Prozessoren in einen Power-Save-Modus zu versetzen, ohne die lückenlose Funktionsüberwachung des anderen Prozessors auf­ zugeben.
Aufgabe, Lösung und Vorteile der Erfindung
Aufgabe der vorliegenden Erfindung ist es, eine gattungs­ gemäße Vorrichtung sowie ein Verfahren anzugeben, bei der bzw. dem eine fehlerfreie Funktion des Rechnersystems auch dann gewährleistet ist, wenn ein an der gegenseitigen Über­ wachung beteiligter Prozessor in einen Power-Save-Modus ver­ setzt ist.
Diese Aufgabe wird durch ein Verfahren gemäß dem Anspruch 1 und eine Vorrichtung gemäß dem Anspruch 4 gelöst. Der der Erfindung zugrunde liegende Gedanke besteht dabei darin, daß auf eine Funktionsüberwachung eines Prozessors solange ver­ zichtet werden kann, wie keine Außenwirkungen von ihm aus­ gehen. Technisch gesprochen bedeutet dies, daß auf eine Überwachung solange verzichtet werden kann, wie der über­ wachte Prozessor keine Ausgangssignale an andere Einheiten übermittelt. Solche anderen Einheiten können beispielsweise weitere Rechner eines Netzwerkes oder auch Stellglieder in einem Regelungssystem sein. Durch die in den Ansprüchen aufgeführten Merkmale wird eine Vorrichtung bzw. ein Ver­ fahren angegeben, bei dem Ausgangssignale des überwachten Prozessors gesperrt sind, solange sich der überwachende Prozessor in einem Power-Save-Modus befindet. Vorteilhafte Ausgestaltungen der Erfindung ergeben sich aus dem nach­ folgend dargestellten Ausführungsbeispiel sowie den unter­ geordneten Ansprüchen.
Vorteil der Erfindung ist der Aufgabenstellung entsprechend, daß eine Funktionsüberwachung eines Prozessors durch einen weiteren Prozessor zuverlässig gegeben ist, auch wenn der überwachende Prozessor in einen Power-Save-Modus versetzt wird. Eine erfindungsgemäße Vorrichtung ermöglicht somit bei unverminderter Funktionsüberwachung, Verlustleistung einzu­ sparen. Dies ist insbesondere bei der Verwendung eines gattungsgemäßen Mehrprozessorsystems in einem Kraftfahrzeug notwendig. Gleichzeitig ist die Erfindung sehr einfach und mit geringem Aufwand kostengünstig zu realisieren. Weitere Vorteile ergeben sich aus dem nachfolgend beschriebenen Aus­ führungsbeispiel.
Beschreibung von Ausführungsbeispielen
Nachfolgend wird ein bevorzugtes Ausführungsbeispiel der Erfindung anhand einer Zeichnung erläutert. Es zeigen
Fig. 1 ein Blockschaltbild eines bevorzugten Ausführungs­ beispiels,
Fig. 2 ein Flußdiagramm eines Verfahrens, welches in dem ersten Prozessor durchgeführt wird und
Fig. 3 ein Flußdiagramm eines Verfahrens, welches in dem zweiten Prozessor durchgeführt wird.
Fig. 1 zeigt ein Blockschaltbild eines bevorzugten Aus­ führungsbeispiels der Erfindung. Mit 1 ist ein erster Pro­ zessor, mit 2 ein zweiter Prozessor und mit 3 eine Strom- bzw. Spannungsversorgung bezeichnet, die hier alle zu einem Steuergerät 15 gehören. Die Spannungsversorgung 3 versorgt über Verbindungsleitungen 14 wenigstens die Prozessoren 1 und 2 mit der von ihnen benötigten Leistung. Die beiden Pro­ zessoren 1 und 2 sind über eine Schnittstelle mit zugehö­ rigen Verbindungsleitungen 13 miteinander verbunden, die es ihnen ermöglicht, Daten und/oder Steuerbefehle auszutau­ schen. Der Prozessor 2 ist über eine Sendeleitung 9 mit einem UND-Gatter 4 verbunden, welches eine Torschaltung bildet. Ein zweiter Eingang des UND-Gatters 4 ist mit dem Ausgang eines Flip-Flops 6 verbunden. Das Flip-Flop 6 wird an seinem Setzeingang durch ein Steuersignal 8 des Prozes­ sors 1 angesteuert. An seinem Rücksetzeingang wird das Flip-Flop 6 durch ein Steuersignal 7 des Prozessors 2 ange­ steuert. Der Ausgang des UND-Gatters 4 ist mit einem Block 5 verbunden, der eine Schnittstelle zu einem externen Netzwerk darstellt. Beispielsweise beinhaltet der Block 5 einen Treiberbaustein zur Ansteuerung eines externen Netzwerk­ busses. An dieses Netzwerk angeschlossen sind weitere Ein­ heiten 12. Für die bevorzugte Anwendung der Erfindung bei einem Kraftfahrzeug ist der externe Netzwerkbus vorzugsweise ein in diesem Bereich bekannter CAN-Bus (Controler Area Network). Die weiteren Einheiten sind dann beispielsweise weitere Steuergeräte.
Mit 10 ist eine Empfangsleitung bezeichnet, über die dem Prozessor 2 Empfangssignale von den weiteren Einheiten zugeführt werden. Selbstverständlich können auch die Sende­ leitung 9 und die Empfangsleitung 10 mehrere parallele Leitungen umfassen. Die Steuerleitung 7 vom Prozessor 2 führt weiterhin an einen Power-Down-Eingang des Prozessors 1. Mit 11 ist ein Pull-Down-Widerstand bezeichnet, der zur Gewährleistung eines stabilen Signalpegels auf der Steuer­ leitung 8 dient. Außerdem führt eine Verbindung 16 vom Ausgang des Flip-Flops 6 zu einem Eingang des Prozessors 1. Hierüber erhält der Prozessor 1 eine Information über den Ausgangszustand des Flip-Flops 6.
Bei dem hier dargestellten Ausführungsbeispiel ist der Pro­ zessor 1 ein Signalprozessor eines Entfernungssensors, ins­ besondere eines Radarsystems, das an einem Fahrzeug zur Detektion vorausfahrender Fahrzeuge eingesetzt wird. Der Prozessor 2 ist ein Steuersignalbestimmungsprozessor zur Bestimmung von Steuersignalen anhand der ihm zugeführten Daten des Signalprozessors 1. Konkret handelt es sich bei dem Prozessor 2 um einen Steuerprozessor zur Bestimmung von Sollwerten einer adaptiven Fahrgeschwindigkeitsregelung. Die Erfindung ist jedoch keineswegs auf diese Verwendungen der Prozessoren beschränkt und prinzipiell auf jedes Rechner­ system mit wenigstens zwei Prozessoren übertragbar.
Im normalen Betriebsmodus der Vorrichtung arbeiten die beiden Prozessoren 1 und 2 ihrer jeweiligen Hauptfunktion entsprechend. Gleichzeitig findet zumindest eine Überwachung des Prozessors 2 durch den Prozessor 1 statt. Vorzugsweise überwachen sich die beiden Prozessoren sogar gegenseitig, wie dies beispielsweise aus der DE 37 00 986 C2 bekannt ist. Die gegenseitige Überwachung erfolgt hier beispielsweise durch einen wechselseitigen Austausch von Prüfdaten über die Schnittstelle 13. Dabei kann festgelegt sein, daß jeder der beiden Prozessoren von dem jeweils anderen Prozessor in einem vorgegebenen Zeitraster eine Prüfanfrage erhält. Bleibt die Prüfanfrage innerhalb des vorgegebenen Zeit­ rasters aus, liegt ein Indiz für eine Funktionsstörung vor. Geht eine Prüfanfrage bei einem der Prozessoren ein, beant­ wortet er diese in einem ebenfalls vorgegebenen Zeitraster mit einem von ihm bestimmten Datenwert. Unterscheidet sich der von ihm bestimmte Datenwert von einem zu erwartenden Datenwert, liegt ebenfalls ein Indiz für eine Funktions­ störung vor. Die Prüfanfragen und -antworten beinhalten somit Testaufgaben, die jeder der beiden Prozessoren dem jeweils anderen innerhalb des vorgegebenen Zeitrasters stellt. Die Testaufgaben sind vorzugsweise so gestellt, daß sie möglichst viele Bereiche der Hardware und auch der Soft­ ware des überprüften Prozessors ansprechen. Dies gewähr­ leistet eine hohe Repräsentanz der Testergebnisse. Besonders vorteilhaft ist es, wenn eine fehlerhafte Testantwort auch einen Rückschluß auf die jeweilige Funktionsstörung bzw. die jeweilige Fehlerquelle ermöglicht. Durch das vorgegebene Zeitraster wird eine Watch-Dog-Funktion realisiert. Selbst­ verständlich kann die gegenseitige Überprüfung der beiden Prozessoren ergänzend oder alternativ durch andere Verfahren erfolgen.
Wird nun für eine bekannte oder zu erwartende Zeitspanne die Rechen- oder Signalverarbeitungsleistung des Prozessors 1 aufgrund seiner Hauptfunktion nicht benötigt, ist es sinn­ voll, diesen in einen energieverbrauchsärmeren Betriebs­ modus, einen sogenannten Power-Save-Modus zu versetzen.
Hierzu sind verschiedene Möglichkeiten bekannt. Gemäß Fig. 1 erfolgt eine solche Umschaltung des Prozessors 1 bei dem hier gezeigten Ausführungsbeispiel durch den Prozessors 2 über die Steuerleitung 7. Da der Prozessor 1 während dieses Power-Save-Modus jedoch keine Rechenoperationen durchführt, ist er auch nicht in der Lage, Testanfragen des Prozessors 2 zu beantworten oder an diesen zu stellen. Der erste Fall ist dabei unkritisch, da der Prozessor 1 selbst ja keine Rechen­ operationen durchführt und somit eine Funktionsstörung keine Auswirkung hätte. Eine zuverlässige Funktion des Prozessors 2 ist jedoch nicht mehr gewährleistet. Denkbar ist eine solche Situation beispielsweise bei der o.g. Anwendung, wenn der Prozessor 1 in einem Entfernungssensor und der Prozessor 2 in einem Steuergerät zur adaptiven Fahrgeschwindigkeits­ regelung eingesetzt sind. Beispielsweise würde eine Entfer­ nungsmessung unter Verwendung des Prozessors 1 für eine bestimmte Zeitspanne nicht benötigt, wenn die Funktion des adaptiven Fahrgeschwindigkeitsreglers beispielsweise nach einer Bremsbetätigung des Fahrers deaktiviert wurde, ohne sie jedoch endgültig auszuschalten. In einem solchen Fall kann es nun zur Einsparung von Energie vorteilhaft sein, daß der Prozessor 2 den Prozessor 1 in den Power-Save-Modus ver­ setzt. Erfindungsgemäß wird dabei über das Flip-Flop 6 die Torschaltung 4 gesperrt. Alternativ könnte die Torschaltung 4 vom Prozessor 1 beispielsweise auch über das Steuersignal 8 direkt angesteuert werden. Hierzu muß der Prozessor 1 dann das Steuersignal 8 auf einen Low-Pegel legen, während er sich im Power-Save-Modus befindet. Darüber hinaus gibt es zahlreiche weitere Möglichkeiten, die Torschaltung 4 anzu­ steuern, die jedoch zweifelsfrei dem normalen Rahmen fach­ männischen Handelns zuzuordnen sind.
Die Sperrung der Torschaltung 4 hat zur Folge, daß Ausgangs­ signale des Prozessors 2 nicht mehr zum Block 5 und damit nicht mehr an die weiteren Einheiten 12 gelangen können. Somit sind Außenwirkungen des Prozessors 2 unterbunden. Dies bedeutet jedoch nicht zwangsläufig, daß der Prozessor 2 ebenfalls abgeschaltet ist. Über die Empfangsleitung 10 kann er nach wie vor Daten oder Steuerbefehle aufnehmen und diese verarbeiten. Über eine Abzweigung der Steuerleitung 8 wird dem Prozessor 2 vorteilhafter Weise signalisiert, daß seine Außenwirkungen durch den Prozessor 1 unterbunden sind.
Fig. 2 zeigt anhand eines Flußdiagramms, welche Verfahrens­ schritte bei diesem Ausführungsbeispiel der Erfindung im ersten Prozessor 1 ablaufen. Nach jedem Start und damit auch nach jeder Beendigung eines Power-Save-Modus erwartet der Prozessor 1 in Schritt 20 zunächst eine Testaufgabe von dem Prozessor 2. Gemäß Schritt 21 führt er die gestellte Aufgabe aus und überträgt in Schritt 22 sein Ergebnis an den Prozes­ sor 2. Anschließend stellt in Schritt 23 der Prozessor 1 seinerseits eine Testaufgabe an den Prozessor 2. Mit Schritt 24 ist eine Warteschleife bezeichnet, in der der Prozessor 1 auf das Ergebnis des Prozessors 2 wartet. Bleibt das Ergeb­ nis nach Ablauf einer voreingestellten Wartezeit aus oder stimmt die Antwort gemäß Schritt 26 nicht mit der erwarteten Antwort überein, liegt ein Indiz für einen Fehlerzustand beim Prozessor 2 vor. In beiden Fällen verzweigt das Ver­ fahren zu einer Fehlerroutine 210. Andernfalls wird gemäß Schritt 27 überprüft, ob die Torschaltung 4 gesperrt ist. Die kann vorzugsweise anhand des Signalpegels der Leitung 16 erfolgen. Ist die Torschaltung gesperrt, wird sie gemäß Schritt 28 freigegeben. Ansonsten verzweigt das Verfahren direkt zu dem Hauptprogramm 29 des Prozessors 1. Üblicher­ weise werden die Schritte 20 bis 26, die die gegenseitige Überprüfung der beiden Prozessoren darstellen, zyklisch wiederholt. Dies ist hier beispielhaft durch die Verzweigung 211 angedeutet.
Fig. 3 zeigt anhand eines Flußdiagramms, welche Verfahrens­ schritte bei diesem Ausführungsbeispiel der Erfindung im Prozessor 2 ablaufen. Im Normalfall arbeitet der Prozessor 2 sein Hauptprogramm 38 ab. Soll nun der Prozessor 1 in den energieverbrauchsärmeren Power-Save-Modus umgeschaltet werden, verzweigt das Verfahren zu Schritt 30. Hier wird zunächst den weiteren Einheiten 12 eine Information über­ mittelt, daß die Ausgangssignale des Prozessors 2 nach­ folgend gesperrt sind. Eine solche Information der weiteren Einheiten 12 ist vorteilhaft, damit diese nicht auf eine Fehlfunktion des Prozessors 2 bzw. des ihn beinhaltenden Steuergeräts 15 schließen, wenn angeforderte Ausgangssignale ausbleiben. Diese Information kann sowohl hard- als auch softwaremäßig erfolgen. Hier dargestellt ist eine Software­ lösung, bei der ein ROMF = 1 (Read-Only-Modus-Flag) an die weiteren Einheiten 12 übertragen wird. Anschließend wird in Schritt 31 über die Steuerleitung 7 der Power-Save-Modus des Prozessors 1 aktiviert. Gleichzeitig wird bei der in Fig. 1 dargestellten Schaltung das Flip-Flop 6 zurückgesetzt, so daß dann das UND-Gatter 4 die Ausgangssignale des Prozessors 2 sperrt. Gemäß Schritt 32 kann der Prozessor 2 nun ein internes Programm abarbeiten, das keine Ausgangssignale für die anderen Einheiten 12 erzeugt. Schritt 31 beinhaltet eine Abfrage, ob der Prozessor 1 wieder in den Normalbetrieb versetzt werden soll. Dies ist einerseits notwendig, wenn der Prozessor 2 Ausgangssignale an die anderen Einheiten übertragen will oder andererseits wenn der Prozessor 1 wieder im Rahmen seiner normalen Hauptfunktion benötigt wird. Soll der Prozessor 1 wieder in seinen Normalbetrieb versetzt werden, nimmt der Prozessor 2 gemäß Schritt 34 das Power-Down-Signal auf der Steuerleitung 7 zurück. Gemäß Schritt 35 erfolgt dann als nächstes eine gegenseitige Über­ prüfung der beiden Prozessoren, wie sie anhand der Schritte 20 bis 26 in Fig. 2 gezeigt ist. Liefert die Überprüfung ein Indiz für einen Fehler, verzweigt das Verfahren gemäß Schritt 36 zu einer gesonderten Fehlerbehandlung 39. Liegen keine Indizien für einen Fehler vor, wird gemäß Schritt 37 den anderen Einheiten 12 eine Information übermittelt, daß die Ausgangssignale des Prozessors 2 bzw. des Steuergeräts 15 nun nicht mehr gesperrt sind. Entsprechend Schritt 30 wird in diesem Fall nun ein ROMF = 0 an die anderen Ein­ heiten 12 übertragen. Anschließend bearbeitet der Prozessor 2 wiederum sein vorgesehenes Hauptprogramm 38. Durch die gegenseitige Überprüfung in den Schritten 20 bis 26 bzw. 35 ist jederzeit sichergestellt, daß der Prozessor 2 fehlerfrei arbeitet, wenn er Ausgangssignale an andere Einheiten 21 überträgt. Trotzdem kann wie gezeigt der Prozessor 1 zeit­ weise in einen Power-Save-Modus versetzt werden.
Vorteilhafterweise wird die Torschaltung 4 vom Prozessor 1 auch dann gesperrt, wenn der Prozessor 1 aufgrund der Funktionsüberprüfung einen Fehlerzustand beim Prozessor 2 feststellt. Umgekehrt kann der Prozessor 2 den Prozessor 1 in einem solchen Fall in den Power-Save-Betriebsmodus ver­ setzen oder alternativ wie beispielsweise aus der DE 37 00 986 C2 bekannt, zurücksetzen.
Das hier beschriebene Ausführungsbeispiel stellt eine bevor­ zugte Anwendung der Erfindung dar. Jedoch ist die Erfindung nicht allein hierauf beschränkt. Beispielsweise können innerhalb der beschriebenen Vorrichtung auch mehr als nur die beiden genannten Prozessoren 1 und 2 vorhanden sein. Eine gegenseitige Überprüfung sowie eine Umschaltung in einen Power-Save-Modus ist dann in verschiedenen Kombina­ tionen denkbar. Ebenso kann das Grundprinzip der Erfindung von einer gegenseitigen Überwachung zweier Prozessoren auf eine gegenseitige Überwachung zweier oder mehrerer voll­ ständiger Steuergeräte übertragen werden. Auch für diesen Fall läßt sich mit dem Grundgedanken der Erfindung ein Umschalten einzelner, an der gegenseitigen Überwachung beteiligter Steuergeräte in einem Power-Save-Modus realisieren.

Claims (8)

1. Verfahren zur Überwachung eines Rechnersystems bestehend aus wenigstens zwei Prozessoren (1, 2), vorzugsweise in einem Steuergerät (15) für ein Kraftfahrzeug, wobei ein erster (1) der wenigstens zwei Prozessoren wenigstens einen zweiten Prozessor (2) auf korrekte Funktion über­ wacht, indem er Ausgangssignale des zweiten Prozessors oder daraus abgeleitete Größen wenigstens hinsichtlich ihrer zeitlichen Abfolge oder ihres Inhalts oder ihrer Signalform überwacht (23-26), dadurch gekennzeichnet, daß eine Weitergabe von Ausgangssignalen des zweiten Prozessors (2) an weitere Einheiten (12) gesperrt wird (4), wenn der erste Prozessor (1) getrennt von dem zweiten Prozessor in einen energieverbrauchsärmeren Betriebsmodus versetzt wird (31).
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß die Sperre der Ausgangssignale des zweiten Prozessors durch den ersten Prozessor aufgehoben wird (28), wenn dieser in seinen normalen Betriebsmodus zurückversetzt wird (34) und eine gegenseitige Überprüfung (35) des ersten und des zweiten Prozessors keine Fehler ergeben hat.
3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß den weiteren Einheiten (12) eine Information (30, 37) gesendet wird, aus der erkennbar ist, ob die Ausgangs­ signale des zweiten Prozessors unterdrückt sind oder nicht.
4. Vorrichtung zur Überwachung eines Rechnersystems bestehend aus wenigstens zwei Prozessoren (1, 2), vor­ zugsweise in einem Steuergerät für ein Kraftfahrzeug,
  • - wobei erste Mittel oder Anordnungen (13) vorgesehen sind, mit denen ein erster der wenigstens zwei Prozes­ soren (1) wenigstens einen zweiten Prozessor (2) auf dessen korrekte Funktion überwachen kann,
dadurch gekennzeichnet,
  • - daß zweite Mittel vorgesehen sind, mit denen der erste Prozessor (1) getrennt von dem zweiten Prozessor in einen energieverbrauchsärmeren Betriebsmodus versetz­ bar ist (7),
  • - daß dritte Mittel (4) vorgesehen sind, mit denen Aus­ gangssignale des zweiten Prozessors (2) unterdrückbar sind und
  • - daß die dritten Mittel (4) durch den ersten Prozessor (1) ansteuerbar sind.
5. Vorrichtung nach Anspruch 4, dadurch gekennzeichnet, daß der zweite Prozessor (2) an weitere Einheiten (12) ange­ bunden ist und daß Mittel vorgesehen sind, mit denen den weiteren Einheiten signalisierbar ist, ob Ausgangssig­ nale des zweiten Prozessors (2) unterdrückt sind.
6. Vorrichtung nach Anspruch 4, dadurch gekennzeichnet, daß die zweiten Mittel, mit denen der erste Prozessor (1) in den energieverbrauchsärmeren Betriebsmodus versetzbar ist, von dem zweiten Prozessor (2) aktivierbar sind (7).
7. Vorrichtung nach Anspruch 4, dadurch gekennzeichnet, daß der erste Prozessor (1) ein Signalverarbeitungsprozessor zur Aufbereitung von aufgenommenen Meßsignalen ist und daß der zweite Prozessor (2) ein Steuersignalbestim­ mungsprozessor zur Bestimmung von Steuersignalen wenig­ stens in Abhängigkeit der von dem ersten Prozessor (1) aufbereiteten Meßsignale ist.
8. Vorrichtung nach Anspruch 7, dadurch gekennzeichnet, daß der erste Prozessor (1) ein Signalverarbeitungsprozessor in einem Entfernungssensors ist und daß der zweite Pro­ zessor (2) ein Fahrgeschwindigkeitsregelungsprozessor ist.
DE19749068A 1997-11-06 1997-11-06 Verfahren und Vorrichtung zur Überwachung eines Rechnersystems bestehend aus wenigstens zwei Prozessoren Expired - Fee Related DE19749068B4 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE19749068A DE19749068B4 (de) 1997-11-06 1997-11-06 Verfahren und Vorrichtung zur Überwachung eines Rechnersystems bestehend aus wenigstens zwei Prozessoren
US09/187,101 US6351823B1 (en) 1997-11-06 1998-11-05 Method and device for monitoring a computer system having at least two processors
FR9813935A FR2773232B1 (fr) 1997-11-06 1998-11-05 Procede et dispositif pour la surveillance d'un systeme de calculateur comprenant au moins deux processeurs
JP31578498A JP4377463B2 (ja) 1997-11-06 1998-11-06 少なくとも2つのプロセッサからなるコンピュータ装置のモニタ方法および装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19749068A DE19749068B4 (de) 1997-11-06 1997-11-06 Verfahren und Vorrichtung zur Überwachung eines Rechnersystems bestehend aus wenigstens zwei Prozessoren

Publications (2)

Publication Number Publication Date
DE19749068A1 true DE19749068A1 (de) 1999-05-12
DE19749068B4 DE19749068B4 (de) 2005-03-10

Family

ID=7847818

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19749068A Expired - Fee Related DE19749068B4 (de) 1997-11-06 1997-11-06 Verfahren und Vorrichtung zur Überwachung eines Rechnersystems bestehend aus wenigstens zwei Prozessoren

Country Status (4)

Country Link
US (1) US6351823B1 (de)
JP (1) JP4377463B2 (de)
DE (1) DE19749068B4 (de)
FR (1) FR2773232B1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1873598A1 (de) * 2006-06-27 2008-01-02 ATMEL Germany GmbH Schaltungsanordnung und Verfahren zum Steuern mindestens eines Aktors in einem Kraftfahrzeug
WO2013110394A1 (de) * 2012-01-27 2013-08-01 Siemens Aktiengesellschaft Verfahren zum betreiben mindestens zweier datenverarbeitungseinheiten mit hoher verfügbarkeit, insbesondere in einem fahrzeug, und vorrichtung zum betreiben einer maschine

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6944779B2 (en) * 1999-07-14 2005-09-13 Visteon Global Technologies, Inc. Power management fault strategy for automotive multimedia system
US6735716B1 (en) * 1999-09-27 2004-05-11 Cisco Technology, Inc. Computerized diagnostics and failure recovery
US6766460B1 (en) * 2000-08-23 2004-07-20 Koninklijke Philips Electronics N.V. System and method for power management in a Java accelerator environment
US20030212473A1 (en) * 2002-02-25 2003-11-13 General Electric Company Processing system for a power distribution system
US7532955B2 (en) * 2002-02-25 2009-05-12 General Electric Company Distributed protection system for power distribution systems
AU2003230562A1 (en) * 2002-02-25 2003-09-09 General Electric Company Method and apparatus for ground fault protection
US7111195B2 (en) * 2002-02-25 2006-09-19 General Electric Company Method and system for external clock to obtain multiple synchronized redundant computers
US7747356B2 (en) 2002-02-25 2010-06-29 General Electric Company Integrated protection, monitoring, and control system
JP3835312B2 (ja) * 2002-03-07 2006-10-18 株式会社デンソー 車両用電子制御装置
US7117390B1 (en) * 2002-05-20 2006-10-03 Sandia Corporation Practical, redundant, failure-tolerant, self-reconfiguring embedded system architecture
US7162279B2 (en) * 2002-12-20 2007-01-09 Intel Corporation Portable communication device having dynamic power management control and method therefor
US7127621B2 (en) * 2002-12-21 2006-10-24 Emc Corporation Peer power control
US7636616B2 (en) * 2003-02-25 2009-12-22 General Electric Company Protection system for power distribution systems
GB2401467B (en) * 2003-05-09 2006-01-25 Autoliv Dev Improvements in or relating to a movable or removable unit for a motor vehicle
US9623817B2 (en) * 2010-02-12 2017-04-18 GM Global Technology Operations LLC Method and system for controlling electrical systems of vehicles
WO2012079214A1 (en) * 2010-12-13 2012-06-21 Mediatek Singapore Pte. Ltd. In-vehicle protection system using multiple processing units and/or using mobile phone module to send positioning information
US9676368B2 (en) 2010-12-13 2017-06-13 Mediatek Singapore Pte. Ltd. In-vehicle protection system using multiple processing units and/or using communication module to send positioning information
US9329667B2 (en) * 2012-11-21 2016-05-03 Completecover, Llc Computing device employing a proxy processor to learn received patterns
JP5831523B2 (ja) 2013-10-09 2015-12-09 株式会社デンソー 電子制御装置

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4598356A (en) * 1983-12-30 1986-07-01 International Business Machines Corporation Data processing system including a main processor and a co-processor and co-processor error handling logic
DE3700986C2 (de) * 1987-01-15 1995-04-20 Bosch Gmbh Robert Einrichtung zur Überwachung eines Rechnersystems mit zwei Prozessoren in einem Kraftfahrzeug
GB8729901D0 (en) * 1987-12-22 1988-02-03 Lucas Ind Plc Dual computer cross-checking system
DE4112334A1 (de) * 1991-04-16 1992-10-22 Bosch Gmbh Robert Mehrrechnersystem in einem kraftfahrzeug
DE4114999C2 (de) * 1991-05-08 2001-04-26 Bosch Gmbh Robert System zur Steuerung eines Kraftfahrzeuges
JPH0510201A (ja) * 1991-07-04 1993-01-19 Fuji Heavy Ind Ltd 車輌の制御方法
US5367697A (en) * 1991-10-22 1994-11-22 Bull Hn Information Systems Inc. Means for providing a graceful power shut-down capability in a multiprocessor system having certain processors not inherently having a power shut-down capability
US5464435A (en) * 1994-02-03 1995-11-07 Medtronic, Inc. Parallel processors in implantable medical device
JP3358412B2 (ja) * 1995-12-04 2002-12-16 トヨタ自動車株式会社 車両用電子制御装置
DE19653551C1 (de) * 1996-12-20 1998-02-05 Siemens Ag Verfahren zur Überprüfung der Funktionsfähigkeit einer Recheneinheit

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1873598A1 (de) * 2006-06-27 2008-01-02 ATMEL Germany GmbH Schaltungsanordnung und Verfahren zum Steuern mindestens eines Aktors in einem Kraftfahrzeug
WO2013110394A1 (de) * 2012-01-27 2013-08-01 Siemens Aktiengesellschaft Verfahren zum betreiben mindestens zweier datenverarbeitungseinheiten mit hoher verfügbarkeit, insbesondere in einem fahrzeug, und vorrichtung zum betreiben einer maschine
US9891688B2 (en) 2012-01-27 2018-02-13 Siemens Aktiengesellschaft Method for operating at least two data processing units with high availability, in particular in a vehicle, and device for operating a machine

Also Published As

Publication number Publication date
US6351823B1 (en) 2002-02-26
DE19749068B4 (de) 2005-03-10
JP4377463B2 (ja) 2009-12-02
FR2773232B1 (fr) 2005-05-13
JPH11250029A (ja) 1999-09-17
FR2773232A1 (fr) 1999-07-02

Similar Documents

Publication Publication Date Title
DE19749068A1 (de) Verfahren und Vorrichtung zur Überwachung eines Rechnersystems bestehend aus wenigstens zwei Prozessoren
EP2040957B1 (de) Verfahren und vorrichtung zur plausibilitätskontrolle von messwerten im kraftfahrzeugumfeld
DE19650104A1 (de) Elektronische Steuervorrichtung für ein Kraftfahrzeug
EP3149710B1 (de) Fahrzeugdiagnosevorrichtung und datenübertragungsvorrichtung
DE3727017A1 (de) Synchronisiervorrichtung fuer prozessoren
DE10163655A1 (de) Verfahren und Vorrichtung zur Steuerung einer Funktionseinheit eines Kraftfahrzeugs
EP3291094A1 (de) Prozessorsystem und verfahren zur überwachung von prozessoren
EP0799441B1 (de) Verfahren zur steuerung von technischen vorgängen
DE102012023350B4 (de) Systeme, Schaltungen und ein Verfahren zum Erzeugen einer konfigurierbaren Rückmeldung
EP2202596B1 (de) Anordnung bestehend aus einer programmgesteuerten Einheit und einem mit dieser verbundenen Power-Baustein
EP1777381A1 (de) Verfahren und Vorrichtung zur Steuerung eines computergestützten Rechenverfahrens in einer technischen Anlage
DE102004006767B4 (de) Verfahren und Vorrichtung zum Transport von Datenabschnitten mittels eines DMA-Controllers
EP1426774B1 (de) Anordnung bestehend aus einem ersten Halbleiter-Baustein und einem mit diesem verbundenen zweiten Halbleiter-Baustein
DE112016006679B4 (de) Steuerungsvorrichtung und Recovery-Verarbeitungsverfahren für Steuerungsvorrichtung
EP1282274A2 (de) Teilnehmer für ein synchrones Master-Slave Netzwerk
DE19755311B4 (de) Verfahren und Vorrichtung zur Informationsübertragung in Kraftfahrzeugen
EP3720056B1 (de) Verfahren und system zur parallelen echtzeitanalyse bei funktionsprüfungen von hardware und software von steuergeräten
EP1137997B1 (de) Multimaster-bussystem und verfahren zum betreiben desselben
DE102019130642B4 (de) Verfahren zur Notunterbrechung der Generierung eines EPM-Microticks mittels eines direkten Speicherzugriffs
DE3853129T2 (de) Direkte Kontrolleinrichtung für Multiprozessornetzwerk.
DE2612316C3 (de) Anordnung zur Steuerung des Multiplexbetriebes zwischen mehreren Kanälen und einer zentralen Steuerschaltung eines Ein-/Ausgabewerkes in einem Datenverarbeitungssystem
EP1153339A1 (de) Verfahren und vorrichtung zur funktionsauswahl einer steuereinheit
EP1426775A1 (de) Anordnung bestehend aus einem ersten Halbleiter-Baustein und einem mit diesem verbundenen zweiten Halbleiter-Baustein
EP4174660A1 (de) Verfahren zum testen von steuergeräte
WO2022063663A1 (de) Verfahren, datenverarbeitungsmodul und datenverarbeitungsnetzwerk zur verarbeitung von daten

Legal Events

Date Code Title Description
8110 Request for examination paragraph 44
8364 No opposition during term of opposition
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20130601