DE19803824A1 - Verfahren und Vorrichtung zur Überprüfung einer Fehlerüberwachung einer Schaltung - Google Patents

Verfahren und Vorrichtung zur Überprüfung einer Fehlerüberwachung einer Schaltung

Info

Publication number
DE19803824A1
DE19803824A1 DE19803824A DE19803824A DE19803824A1 DE 19803824 A1 DE19803824 A1 DE 19803824A1 DE 19803824 A DE19803824 A DE 19803824A DE 19803824 A DE19803824 A DE 19803824A DE 19803824 A1 DE19803824 A1 DE 19803824A1
Authority
DE
Germany
Prior art keywords
error
signal
flip
error signal
circuit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE19803824A
Other languages
English (en)
Inventor
Leonhard Link
Wolfgang Fey
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Continental Teves AG and Co OHG
Original Assignee
ITT Manufacturing Enterprises LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ITT Manufacturing Enterprises LLC filed Critical ITT Manufacturing Enterprises LLC
Priority to DE19803824A priority Critical patent/DE19803824A1/de
Priority to PCT/EP1998/006802 priority patent/WO1999022298A1/de
Priority to US09/530,254 priority patent/US6658606B1/en
Priority to JP2000518325A priority patent/JP2001521244A/ja
Priority to EP98954451A priority patent/EP1025501B1/de
Priority to DE59803664T priority patent/DE59803664D1/de
Publication of DE19803824A1 publication Critical patent/DE19803824A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/2205Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested
    • G06F11/2215Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested to test error correction or detection circuits

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Description

Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Überprüfung einer Fehlerüberwachung einer Schaltung.
Für viele digitale Schaltungen ist eine zuverlässige Über­ prüfung ihrer Funktionstüchtigkeit außerordentlich wichtig. Beispielsweise müssen solche digitalen Schaltungen zuver­ lässig in ihrer Betriebstüchtigkeit erkannt werden, die in sicherheitsrelevanten Schaltungen arbeiten, beispielsweise in Steuerungs- oder Regelungseinrichtungen, etwa im Automo­ bilbau. Digitale Schaltungen haben deshalb häufig Fehler­ überwachungseinrichtungen, die die Arbeitsweise der digita­ len Schaltung beobachten und beim Vorliegen bzw. Eintreten eines einen Fehler anzeigenden Zustands ein Fehlersignal abgeben. Beispielsweise können redundante Komponenten auf Synchronlauf überwacht werden, und ein Fehlersignal würde entstehen, wenn die Daten in den redundanten Komponenten nicht gleich zueinander sind. Genausogut können Signale an einzelnen Schaltungspunkten abgegriffen werden und auf un­ erlaubte Zustände abgefragt werden oder ähnliches. Die Fehlerüberwachung kann auch Signale auf Verbindungsleitun­ gen, beispielsweise auf einem Systembus, überwachen und bei einen Fehler anzeigenden Zuständen ein Fehlersignal abgeben.
Da Fehler in digitalen Schaltungen vergleichsweise selten entstehen, werden entsprechende Fehlerüberwachungseinrich­ tungen vergleichsweise selten tätig werden. Insofern ist praktisch nicht nachprüfbar, ob die Fehlerüberwachung ih­ rerseits richtig arbeitet.
Aufgabe der Erfindung ist es, ein Verfahren und eine Vor­ richtung zur Überprüfung einer Fehlerüberwachung anzugeben, die einfach gestaltet sind und verschiedene Fehlerbedin­ gungen erfassen können.
Diese Aufgabe wird mit den Merkmalen der unabhängigen Ansprüche gelöst. Abhängige Ansprüche sind auf bevorzugte Ausführungsformen der Erfindung gerichtet.
Bevor nachfolgend bezugnehmend auf die Zeichnungen einzelne erfindungsgemäße Ausführungsformen beschrieben werden, sei zur Vermeidung begrifflicher Schwierigkeiten die in dieser Anmeldung verwendete Terminologie erläutert. Die eingangs erwähnte, sicherheitsrelevant eingesetzte und in ihrer Be­ triebssicherheit zu überprüfende Schaltung wird als "Schal­ tung" bzw. "digitale Schaltung" bezeichnet. Wenn sie nicht richtig arbeitet, wird dies als "Fehler" bezeichnet. Die Schaltung wird durch eine "Fehlerüberwachung(seinrichtung)" überwacht. Wenn ein Fehler vorliegt, gibt die Fehlerüber­ wachung ein "Fehlersignal" aus. Erfindungsgemäß wird dieses Fehlersignal bzw. die es erzeugende Fehlerüberwachung durch ein "Verfahren zur Überprüfung" bzw. eine "Vorrichtung zur Überprüfung" auf richtige Arbeitsweise überprüft. Gleich hier wird darauf hingewiesen, daß einerseits die überwachte Schaltung und andererseits die Fehlerüberwachung nicht not­ wendigerweise diskret und damit getrennt aufgebaut sein müssen. Sie können Komponenten beispielsweise eines Mikro­ prozessors sein, so daß sie möglicherweise physisch nicht unterscheidbar sind. Jedenfalls aber gibt die Fehlerüberwa­ chung beim Vorliegen eines einen Fehler der Schaltung an­ zeigenden Zustands das erwähnte Fehlersignal ab, wobei er­ findungsgemäß die Fehlerüberwachung überprüft wird. Führt die erfindungsgemäße Überprüfung der Fehlerüberwachung zu dem Ergebnis, daß die Fehlerüberwachung ihrerseits fehler­ haft ist (weil sie das Fehlersignal nicht oder nicht richtig abgibt), erzeugt die erfindungsgemäße Überprüfungsvorrich­ tung bzw. das erfindungsgemäße Überprüfungsverfahren ein "Alarmsignal".
Bezugnehmend auf die Zeichnungen werden nun erfindungsgemäße Ausführungsformen beschrieben, es zeigen
Fig. 1 ein Blockschaltbild der erfindungsgemäß vorgesehenen Komponenten,
Fig. 2 ein genaues Schaltbild der erfindungsgemäßen Über­ prüfungsvorrichtung,
Fig. 3 ein Schaltbild einer Impulsformschaltung für das Fehlersignal,
Fig. 4 Signalverläufe in den Schaltungen der Fig. 2 und 3, und
Fig. 5 eine Beobachtungsschaltung.
Fig. 1 zeigt ein Blockschaltbild einzelner Komponenten. 101 ist die in ihrer Arbeitsweise zu überprüfende Schaltung. Vorzugsweise handelt es sich um eine digitale Schaltung, die beispielsweise über eine Signalleitung 102 mit anderen Kom­ ponenten kommunizieren kann. 101 kann aber auch eine analoge Schaltung sein. 103 ist eine Einrichtung zum Hervorrufen eines einen Fehler anzeigenden Zustands. Die Einrichtung 103 kann auf die Schaltung 101 oder auf die Signalleitung 102 einwirken und dort Zustände hervorrufen, die von der Fehler­ überwachung 104 als Fehler erkannt werden müßten. Die Ein­ richtung 103 kann ihrerseits eine digitale oder analoge Einrichtung sein. Sie kann einen fehlerhaften Betrieb der Schaltung 101 selbst provozieren, oder sie kann mehr oder minder direkt den Eingang der Fehlerüberwachung 104 anspre­ chen. Die Fehlerüberwachung 104 überwacht die Schaltung 101 auf korrekte Arbeitsweise, indem sie Ausgangssignale und/ oder interne Schaltungspunkte abfragt und auf unerlaubte Zustände oder auch Zeitverläufe überprüft. Fig. 1 kann bei­ spielsweise ein System sein, in dem 101 ein Prozessor ist, 102 ein Bus und 104 eine an den Bus angeschlossene Fehler­ überwachungseinrichtung. Genauso sind aber auch Aufbauten innerhalb eines einzigen Chips möglich. Auch die Fehlerüber­ wachung 104 kann analog arbeiten. Vorzugsweise sind aber die Komponenten 101 bis 104 digitale Komponenten.
Liegt ein einen Fehler anzeigender Zustand vor (entweder tatsächlich oder provoziert durch die Einrichtung 103), gibt die Fehlerüberwachungseinrichtung 104 bei richtiger Arbeits­ weise ihrerseits ein Fehlersignal 105 ab.
Weiterhin ist eine Überprüfungsvorrichtung 106 vorgesehen. Zusammen mit der Einrichtung 103 kann sie die Funktion der Fehlerüberwachung überprüfen. Bei dem erfindungsgemäßen Verfahren ruft die Einrichtung 103 mittelbar oder unmittel­ bar einen einen Fehler anzeigenden Zustand hervor. Dieser Zustand muß bei korrekter Arbeitsweise von der Überwachungs­ einrichtung 104 erkannt werden, so daß nach Hervorrufen des den Fehler anzeigenden Zustands durch die Einrichtung 103 die Überprüfungseinrichtung 104 ein Fehlersignal abgeben muß. Dies wird durch die Überprüfungsvorrichtung 106 über­ prüft. Wird das Fehlersignal 105 auf das Hervorrufen des den Fehler anzeigenden Zustands hin erzeugt, wird kein Alarmsi­ gnal 107 ausgegeben. Wird dagegen das Fehlersignal 105 nicht oder nicht richtig oder nicht zum richtigen Zeitpunkt aus­ gegeben, gibt die Überprüfungseinrichtung 106 das Alarmsi­ gnal 107 aus.
Vorzugsweise erfolgt das Hervorrufen des den Fehler anzei­ genden Zustands innerhalb einer Torzeit, wobei die Torzeit so bemessen ist, daß in ihr auch das richtig erzeugte Feh­ lersignal 105 erscheinen muß.
Zur Koordination von Überprüfungsvorrichtung 106 und Ein­ richtung 103 zum Hervorrufen des den Fehler anzeigenden Zustands können Signalleitungen 108 zwischen ihnen vorge­ sehen sein, über die beispielsweise ein die Torzeit anzei­ gendes digitales Signal ausgetauscht werden kann. Die Kom­ ponenten können, aber auch beispielsweise durch die Schaltung 101 über Signalleitungen 109 koordiniert werden.
Auch hier wird nochmals darauf hingewiesen, daß die bisher angesprochenen Komponenten nicht diskret vorgesehen sein müssen. Fig. 1 kann als Darstellung von Funktionen verstan­ den werden, die innerhalb einer Schaltung, innerhalb eines Chips durch Hardware oder teilweise auch durch Software implementiert sein können. Vorzugsweise aber ist die erfin­ dungsgemäße Überprüfungsvorrichtung 106 eine digitale Schal­ tung, während Schaltung 101, Einrichtung 103 und Überwa­ chungseinrichtung 104 analoge Schaltungen sein können.
Bezugnehmend auf Fig. 2 wird eine konkrete, durch Hardware gebildete Ausführungsform der Überprüfungsvorrichtung 106 beschrieben. Fig. 2 zeigt vier D-Flip-Flops 201 bis 204. Drei von ihnen (201 bis 203) sind ringförmig derart ver­ schaltet, daß der Q-Ausgang des einen Flip-Flops jeweils am D-Eingang des anderen Flip-Flops liegt. Die ringförmige Ver­ schaltung erfolgt über die Leitungen 208.
Die D-Flip-Flops sind Kippschaltungen, die den am D-Eingang anliegenden digitalen Zustand dann übernehmen, wenn an ihrem Takteingang CLK z. B. eine steigende Flanke eines digitalen Signals auftritt. Durch Preset-Eingänge PRE und Clear-Ein­ gänge CLR kann ein D-Flip-Flop nach Maßgabe externer Signale unabhängig vom Takteingang CLK in seinem Ausgang Q auf ent­ weder logisch 1 oder logisch 0 gesetzt werden.
Um die erfindungsgemäße Überprüfung des Fehlersignals durch­ führen zu können, werden die ringförmig verschalteten Flip- Flops 201 bis 203 einerseits durch unterschiedliche Taktsi­ gnale getaktet (= zum Übernehmen des Signals am D-Eingang auf den Q-Ausgang veranlaßt), und sie werden in bestimmter Weise initialisiert. Eines der Flip-Flops (201, nachfolgende als erstes Flip-Flop bezeichnet) wird zu Beginn der Torzeit und insbesondere durch eine geeignete Flanke des die Torzeit anzeigenden Signals 206 getaktet. Die danach folgenden Flip- Flops (202, 203, nachfolgend als zweites und drittes Flip- Flop bezeichnet) werden nach Maßgabe des Fehlersignals 105 durch ein Signal 207 getaktet. Das Torzeitsignal 206 kann ein digitales Signal sein, das mit dem einen Zustand den Zeitraum innerhalb der Torzeit und mit dem anderen Zustand den Zeitraum außerhalb der Torzeit anzeigt. Das erste Flip- Flop 201 wird durch das Torzeitsignal 206 so angesteuert, daß das Flip-Flop 201 zu Beginn der Torzeit das Eingangs­ signal übernimmt.
Das Fehlersignal 105, das durch die Überprüfungsvorrichtung zu überprüfen ist, kann beispielsweise ein bistabiles Signal sein, das bei jedem Fehler (realer oder provozierter Fehler) seinen Zustand einmal ändert und damit zu einer steigenden oder fallenden Flanke führt. Eine Flanke zeigt dann einen Fehler an. Das zweite und das dritte D-Flip-Flop 202, 203 werden so angesteuert, daß sie bei jedem Fehler den Zustand an ihrem D-Eingang an den Q-Ausgang übernehmen. Wenn das Fehlersignal 105 das bistabile Signal ist und die D-Flip- Flops nur aufsteigende Flanken reagieren, muß durch eine geeignete Signalaufbereitung sichergestellt werden, daß jede Flanke (steigend oder fallend) des Fehlersignals 105 zu einer steigenden Flanke zur Triggerung der Takteingänge CLK des zweiten und des dritten D-Flip-Flops 202, 203 führt. Dies kann beispielsweise durch eine Signalaufbereitungs­ schaltung nach Fig. 3 erfolgen. Diese Schaltung, deren Funk­ tion später erläutert wird, empfängt das eigentliche Fehler­ signal 105 und gibt ein Taktsignal 207 für die D-Flip-Flops 202, 203 aus.
Die Ausführungsform nach Fig. 2 weist außerdem eine Initia­ lisierungseinrichtung 209, 210 auf, die die Zustände der einzelnen Flip-Flops anfänglich in geeigneter Weise setzt. Die Initialisierungseinrichtung 209, 210 sind Signale bzw. Verbindungen, die auf die Preset-Eingänge bzw. Clear-Eingän­ ge der Flip-Flops einwirken. Die Flip-Flops werden anfäng­ lich so gesetzt, daß das dritte Flip-Flop 203 am Ausgang Q3 den einen digitalen Pegel (0 oder 1) hat, während die ande­ ren zwei Flip-Flops 201, 202 so gesetzt werden, daß sie den entsprechend anderen digitalen Pegel (1 oder 0) haben. Das später zu erläuternde vierte D-Flip-Flop 4 wird durch die Initialisierungseinrichtung 209, 210 auf den gleichen Wert gesetzt wie das dritte D-Flip-Flop 203.
Die Ausführungsform nach Fig. 2 ist so gestaltet, daß das zu überprüfende Signal - das Fehlersignal 105 - die Schaltung taktet. Die Schaltung ist so gestaltet, daß, solange das Fehlersignal 105 in richtiger Weise erzeugt wird, der an­ fänglich eingestellte Zustand, wonach Q3 einen anderen Pegel hat als Q1 und Q2, erhalten bleibt, weil er durch die schleifenförmige Struktur (D-Flip-Flops 202-203 und Leitun­ gen 208) nicht "vergessen" wird. Das gewünschte Alarmsignal wird am Ausgang Q2 des zweiten Flip-Flops 202 und/oder am Ausgang Q3 des dritten Flip-Flops 203 abgegriffen.
In der Ausführungsform der Fig. 2 wird der Ausgang Q3 des dritten Flip-Flops 203 auf den D-Eingang eines vierten Flip- Flops 204 gegeben. Dieses vierte Flip-Flop 204 wird zum Ende der Torzeit getaktet. Sein Ausgang wird mit dem Ausgang Q2 des zweiten Flip-Flops EXOR-verknüpft. Dadurch ergibt sich das Alarmsignal 107c.
Nachfolgend wird die Wirkungsweise der Schaltung in ver­ schiedenen Betriebszuständen beschrieben. Die Fehlerüber­ wachung 104 kann einerseits richtig arbeiten, dann wird beim Erscheinen eines einen Fehler an zeigenden Zustands ein Feh­ lersignal ausgegeben. Es können aber auch unrichtige Be­ triebsweisen auftreten, nämlich
  • - es erscheint kein Fehlersignal,
  • - es erscheinen mehrere Fehlersignale.
Die zuletzt genannte Möglichkeit kann verschiedene Ausge­ staltungen haben: Das einem ersten Fehlersignal folgende weitere Fehlersignal kann innerhalb oder außerhalb der Tor­ zeit liegen. Außerdem muß das weitere Fehlersignal nicht unbedingt auf eine Fehlfunktion der Fehlerüberwachung zu­ rückzuführen sein. Vielmehr kann es einen tatsächlichen (nicht provozierten) Fehler der Schaltung 101 anzeigen.
Nachfolgend wird bezugnehmend auf die Fig. 4 und 2 der betrieb der Ausführungsform nach Fig. 2 beschrieben. Das er­ findungsgemäße Überprüfungsverfahren wird wiederholt, bei­ spielsweise periodisch in Zeitabständen TP ausgeführt. Vor dem Beginn dieser wiederholten Ausführung wird die Schaltung initialisiert. Hierzu werden durch einen geeigneten Impuls RES 401 die vorhandenen D-Flip-Flops wie oben beschrieben gesetzt. Anschließend wird beispielsweise periodisch mit Pe­ riodendauer TP eine Torzeit gesetzt, die durch das Torzeit- Signal TOR 402 angezeigt wird. Die Torzeit TT ist kürzer als die Periodendauer TP. Die zeitliche Lage der Torzeit (lo­ gisch 0 in Signal 402) wird so gewählt, daß in ihr das Feh­ lersignal, das durch die Einrichtung 103 "provoziert" wird, erscheinen muß. Vorzugsweise wird zu Beginn der Torzeit durch die Einrichtung 103 der den Fehler anzeigende Zustand hervorgerufen, so daß kurz danach das Fehlersignal 105 auf­ treten müßte. Das Fehlersignal 105 ist als Signal IN in Fig. 4 gezeigt. Wie oben beschrieben ist es in dieser Ausfüh­ rungsform ein bistabiles Signal, das bei einem Fehler sich einmal ändert.
Die Impulsformschaltung aus Fig. 3 wandelt das Signal IN 105 in das Signal INP 207 um. Pro Flanke (steigend oder fallend) des Signals IN 105 hat das Signal INP 207 einen Impuls 414 mit je einer steigenden und fallenden Flanke. Damit können Flip-Flops angesteuert werden, die nur auf eine der beiden Flanken (steigend oder fallend) ansprechen. Zweck der Im­ pulsformschaltung ist es somit allgemein, pro Fehler eine Taktung der Flip-Flops zu bewirken. Wenn das Fehlersignal schon entsprechend gestaltet ist oder die Flip-Flops bei­ spielsweise aufsteigende und fallende Flanken reagieren, kann die Impulsformschaltung nach Fig. 3 entfallen.
Flip-Flop 1 wird zu Beginn der Torzeit getriggert. Es über­ nimmt dadurch den Pegel an seinem D-Eingang. Im gezeigten Beispiel springt der Ausgang dann von 0 auf 1. Etwas später tritt das Fehlersignal IN 105 und das davon abgeleitete Im­ pulssignal INP 207 mit dem Impuls 414 auf, es triggert/taktet Flip-Flops 202 und 203, so daß diese jeweils ihre Eingänge an den Ausgang weiterschalten. Flip-Flop 202 über­ nimmt daher den 1-Pegel an seinem Ausgang, und Flip-Flop 3 übernimmt den (vorher vorhandenen) 0-Pegel an seinem Aus­ gang. Da die Flip-Flops 202 bis 204 lediglich auf eine Flan­ ke reagieren (in der gezeigten Ausführungsform die steigen­ de), passiert zum Ende der Torzeit bzw. zum Ende des Impul­ ses 414 nichts. Die Zeitdauer TI des Impulses 414 ist vor­ zugsweise so gewählt, daß sie kürzer ist als die Torzeit. Durch die oben beschriebenen Vorgänge ist ein einmaliger Überprüfungsvorgang bei richtiger Arbeitsweise der Fehler­ überwachung abgeschlossen. Das Ergebnis ist, daß sich die Ausgänge Q1 bis Q3 in ihrem logischen Pegel geändert haben. Gleichwohl ist der anfänglich initialisierte Zustand, wonach Flip-Flop 3 einen Ausgangspegel hat, der sich von denen von Flip-Flop 1 und Flip-Flop 2 unterscheidet, erhalten. Nach einer weiteren Tor zeit drehen sich die Verhältnisse abermals um, und der durch die Initialisierung eingestellte Zustand liegt wieder vor. Bei richtiger Arbeitsweise der Fehlerüber­ wachung wechseln sich die genannten Zustände demnach ab, und der alarmfreie Zustand wird damit durch ein Signal ange­ zeigt, in dem sich die Ausgänge der Flip-Flops, insbesondere des zweiten und des dritten Flip-Flops 202, 203 regelmäßig ändern. Die beschriebenen Verhältnisse sind im Teil A der Fig. 4 gezeigt.
Teil B in Fig. 4 zeigt den Fall, daß kurz hintereinander zwei Fehlersignale auftreten. Die Schaltung verhält sich hier zunächst so wie weiter oben besprochen. Beim Auftreten des zweiten Fehlersignals (fallende Flanke im Signal IN in Fig. 4, B, bzw. zweiter Impuls im Signal INP in Fig. 4, B, übernehmen jedoch abermals die Flip-Flops 202 und 203 ihre jeweiligen Eingangswerte an ihren Ausgang. Da hier jedoch (wegen des nicht vorhandenen Torzeit-Taktes) der einzig un­ terschiedliche Pegel bei Q3 nicht an Q1 weitergegeben wurde, wird der "unterschiedliche" Zustand vergessen, weil Q3 und Q2 jeweils mit dem Pegel 1 überschrieben werden. Dadurch haben alle Ausgänge Q1, Q2 und Q3 den gleichen logischen Wert 1, der sich auch durch nachfolgende Taktungen nicht mehr ändern kann. Es entsteht dadurch ein konstantes Aus­ gangssignal, auch nach weiteren Taktungen.
Ein in den Figuren nicht gezeigter Fall ist das Ausbleiben eines Fehlersignals IN 105. Dies hat zur Folge, daß die Flip-Flops 202, 203 nicht getaktet werden. Unabhängig davon, was Flip-Flop 201 macht, bleiben die Ausgänge Q2 und Q3 der Flip-Flops 202, 203 auf konstantem Pegel.
Das vierte Flip-Flop 204 ist vorgesehen, um die Fälle fest­ zustellen, in denen ein Fehlersignal (Flanke im Signal IN 105 bzw. Impuls 414 im Signal INP 207) nach dem Ablauf der Torzeit eintrifft. Nach dem Initialisieren hat Q4 den Wert 1 und das EXOR-Gatter 205 den Wert 1. Ändert sich nach Beginn der Torzeit der Pegel des Fehlersignals IN 105, nimmt Q2 den Wert 1 an, und EXOR-Gatter 205 geht auf 0. Am Ende der Tor­ zeit (steigende Flanke des Torzeit-Signals TOR 402) über­ nimmt das vierte Flip-Flop 204 den Wert 0 an seinen Ausgang, und Gatter 205 wechselt von 0 auf 1. Dadurch ändert sich der Pegel. Bleibt dagegen ein Wechsel des Fehlersignals IN 105 während der Torzeit aus, ändert sich der Ausgangspegel des Gatters 205 nicht, so daß abermals durch ein konstantes Si­ gnal ein ungünstiges Überprüfungsergebnis angezeigt wird. Wechselt das Fehlersignal IN 105 während der Torzeit mehr­ fach, wird Q3 am Ende der Torzeit nach Q4 übernommen, so daß sich der Ausgang des Gatters 205 nicht ändert und das Signal 107c abermals konstant bleibt.
Läuft schließlich ein Fehlersignal nach Ende- der Tor zeit ein (Fall E in Fig. 4), übernimmt abermals Q3 den Wert von Q2, ohne daß vorher der einzig unterschiedliche Ausgangswert von Q3 in Q1 gesichert worden wäre. Dadurch hat die Schleife die unterschiedliche Gestaltung der Ausgangspegel "vergessen", und beim nachfolgenden Überprüfungsdurchlauf (nächste Tor­ zeit) findet abermals kein Pegelwechsel an den Ausgängen Q1 bis Q3 statt, so daß durch ein konstantes Ausgangssignal ein Alarm angezeigt wird.
Die Ausführungsform der Fig. 2 ist so gestaltet, daß sie das Fehlersignal 105 und das Alarmsignal 107 derart zusammen­ faßt, daß insgesamt lediglich das Alarmsignal 107 ausgegeben wird. Es zeigt einen Alarm sowohl dann an, wenn die Fehler­ überwachung 104 nicht richtig arbeitet, als auch dann, wenn die Fehlerüberwachung 104 richtig arbeitet und einen Fehler der Schaltung 101 feststellt. Der letztgenannte Fall ent­ spricht dabei den Fällen, in denen mehrere Fehlersignale auftreten. In jedem Fall (beide Fehlersignale innerhalb der Torzeit oder eines innerhalb und das andere außerhalb der Torzeit), wird ein Alarmsignal generiert. Für den unwahr­ scheinlichen Fall, daß ein auf einem tatsächlichen Fehler beruhendes Fehlersignal mit einem provozierten Fehlersignal zeitlich zusammenfällt, kann davon ausgegangen werden, daß das tatsächliche Fehlersignal später nochmals entsteht, so daß es später abermals erfaßt werden kann. Bei dieser Aus­ führungsform ist es nicht notwendig, die durch den durch die Einrichtung 103 ausgelösten provozierten Fehler hervorgeru­ fene Fehlermeldung/Fehlersignal 105 als "nur provoziert" herauszufiltern. Im Alarmsignal 107 taucht der provozierte Fehler nicht auf.
In der Ausführungsform der Fig. 2 bedeutet demnach ein sich wiederholt änderndes Signal auf der Leitung 107c den fehler­ freien Betrieb, während ein über längere Zeit konstantes Signal eine Alarmbedingung bedeutet, wobei diese Alarmbedin­ gung entweder Fehler in der Schaltung 101 oder Fehler in der Fehlerüberwachung 104 bedeuten kann. Eine Unterscheidung dieser beiden Fehler ist nicht notwendig, da in jedem Fall die Schaltung insgesamt zu überprüfen ist.
Um zu einem einfacher handhabbaren Alarmsignal 107 zu kom­ men, kann das Signal 107c (Ausgang des EXOR-Gatters 205) beispielsweise an eine Signalbeobachtungsschaltung 501 (Fig. 5) angelegt werden. Die Schaltung kann nach Art einer "Watchdog"-Schaltung ausgebildet sein. Sie gibt am Ausgang 502 so lange den einen Pegel aus, so lange sie am Eingang 107c ein sich regelmäßig änderndes Signal empfängt. Bleibt die regelmäßige Änderung dagegen aus, geht sie vom einen auf den anderen Zustand über, wobei dieser andere Zustand dann ein weiteres Alarmsignal darstellt. Dadurch kann durch ein­ fache Betrachtung des Pegels des Signals 502 auf das Vorlie­ gen bzw. Nichtvorliegen eines Alarms/Fehlers geschlossen werden. Die Zeitkonstanten der "Watchdog"-Schaltung werden vorzugsweise so gestaltet, daß rechtzeitige Pegeländerungen als "gut" und ausbleibende und/oder verfrühte und/oder verspätete Pegeländerungen als "schlecht" erkannt werden.
Die Impulsformschaltung 301 bis 304 in Fig. 3 arbeitet wie folgt: Zu Beginn der Signalüberprüfung wird in Initialisie­ rungsschritt die Schaltung mittels des Reset-Signals RES 401 zurückgesetzt. Flip-Flop 301 dient zusammen mit dem Gatter 303 als Flankendetektor. Jede Änderung am Eingang IN (stei­ gende und fallende Flanke) erzeugt am Ausgang INP einen Im­ puls 414. Der invertierte Ausgang QN des Flip-Flops wird durch das Reset-Signal RES 401 auf den gleichen Pegel wie das Eingangssignal IN 105 gebracht. Ausgang INP 207 hat durch die EXOR-Verknüpfung 303 den Wert 0. Ändert das Ein­ gangssignal/Fehlersignal IN 105 seinen Pegel, entsteht am Ausgang INP 207 eine steigende Flanke, die das Flip-Flop 301 taktet. Das Flip-Flop 301 ist als Frequenzteiler geschaltet, und der invertierende Ausgang QN wechselt seinen Wert. Damit hat das EXOR-Gatter 303 wieder zwei gleiche Eingangspegel, und sein Ausgang INP 207 kehrt auf 0 zurück.

Claims (15)

1. Verfahren zur Überprüfung einer Fehlerüberwachung in einer Schaltung, wobei die Fehlerüberwachung bei rich­ tiger Arbeitsweise ihrerseits ein Fehlersignal ausgibt, wenn die digitale Schaltung einen einen Fehler anzei­ genden Zustand einnimmt, gekennzeichnet durch die Schritte
Hervorrufen des den Fehler anzeigenden Zustandes,
Überwachen des Fehlersignals, und
Erzeugen eines Alarmsignals, wenn das Fehlersignal nicht oder nicht richtig erscheint.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß der den Fehler anzeigende Zustand innerhalb einer Tor­ zeit hervorgerufen wird, das Fehlersignal innerhalb der Tor zeit überwacht wird und das Alarmsignal erzeugt wird, wenn das Fehlersignal innerhalb der Torzeit nicht oder nicht richtig erscheint.
3. Vorrichtung zur Überprüfung einer Fehlerüberwachungs­ einrichtung (104) einer Schaltung (101), wobei die Feh­ lerüberwachungseinrichtung bei ihrer richtigen Arbeits­ weise ein Fehlersignal (105) ausgibt, wenn die Schal­ tung (101) einen einen Fehler anzeigenden Zustand ein­ nimmt oder ausgibt, gekennzeichnet durch eine Einrichtung (106) zum Überwachen des Fehlersignals (105), nachdem ein den Fehler anzeigender Zustand her­ vorgerufen wurde, und zum Erzeugen eines Alarmsignals (107), wenn das Fehlersignal auf das Hervorrufen des den Fehler anzeigenden Zustandes hin nicht oder nicht richtig erscheint.
4. Vorrichtung nach Anspruch 3, gekennzeichnet durch ein digitales Torzeitsignal (206), dessen einer Zustand eine Torzeit anzeigt, innerhalb derer der den Fehler anzeigende Zustand hervorgerufen wird, wobei die Über­ wachungseinrichtung (106) das Fehlersignal (105) inner­ halb der Torzeit überwacht und das Alarmsignal (107) erzeugt, wenn das Fehlersignal innerhalb der Torzeit nicht oder nicht richtig erscheint.
5. Vorrichtung nach Anspruch 4, gekennzeichnet durch eine ringförmige Verschaltung (208) mehrerer D-Flipflops (201-203), die durch unterschiedliche Signale (206, 207) getaktet werden.
6. Vorrichtung nach Anspruch 5, gekennzeichnet durch eine Initialisierungseinrichtung (209, 210), die die Aus­ gänge der D-Flipflops (201-203) anfänglich so setzt, daß sie nicht alle gleich zueinander sind.
7. Vorrichtung nach Anspruch 5 oder 6, dadurch gekenn­ zeichnet, daß drei D-Flipflops (201-203) ringförmig verschaltet sind, von denen ein erstes (201) nach Maßgabe des Torzeit-Signals (206) und ein zweites (202) und ein drittes (203) nach Maßgabe des Fehlersignals (105) getaktet werden.
8. Vorrichtung nach Anspruch 7, dadurch gekennzeichnet, daß das erste und das zweite D-Flipflop (201, 202) durch die Initialisierungseinrichtung (209, 210) an­ fänglich auf den einen logischen Pegel und das dritte D-Flipflop (203) auf den anderen logischen Pegel ge­ setzt werden.
9. Vorrichtung nach einem der Ansprüche 7 oder 8, dadurch gekennzeichnet, daß das Alarmsignal (107) ein Signal ist, das im Alarmfall mindestens über eine bestimmte Zeitdauer konstant ist und das vom Ausgang zumindest eines D-Flipflops abgegriffen wird.
10. Vorrichtung nach Anspruch 9, dadurch gekennzeichnet, daß das Alarmsignal (107) aus den Ausgangssignalen der nach Maßgabe des Fehlersignals (105) getakteten D-Flipflops (202, 203) gebildet wird.
11. Vorrichtung nach einem der Ansprüche 3 bis 10, dadurch gekennzeichnet, daß das Fehlersignal (105) ein Signal ist, dessen Pegel sich auf das Eintreten des den Fehler anzeigenden Zustandes hin einmal ändert, wobei die nach Maßgabe des Fehlersignals getakteten D-Flipflops (202, 203) bei jeder Flanke des Fehlersignals getaktet wer­ den.
12. Vorrichtung nach Anspruch 11, gekennzeichnet durch eine Impulsformschaltung (301 - 304), die das Fehlersignal (105) empfängt und auf jede seiner Flanken hin einen vorzugsweise im Vergleich zur Torzeit kurzen Impuls (414) als Taktsignal (207) für das zweite und das drit­ te D-Flipflop (202, 203) ausgibt.
13. Vorrichtung nach Anspruch 9, gekennzeichnet durch eine Beobachtungsschaltung (501), die das Alarmsignal (107) empfängt und bei Ausbleiben einer Pegeländerung während einer Zeitdauer, die länger als die bestimmte Zeitdauer ist, ein weiteres Alarmsignal (502) ausgibt.
14. Vorrichtung nach einem der Ansprüche 7 bis 10, gekenn­ zeichnet durch ein viertes D-Flipflop (204), das zum Ende der Torzeit getaktet wird, dessen D-Eingang den Ausgang des dritten Flip-Flops (203) empfängt und des­ sen Ausgang (107b) zur Bildung des Alarmsignals (107c) mit dem Ausgang (107a) des zweiten D-Flipflops (202) EXOR-verknüpft wird.
15. Vorrichtung nach einem der Ansprüche 3 bis 14, dadurch gekennzeichnet, daß die Schaltung (101) und/oder die Fehlerüberwachungseinrichtung (104) digitale Schal­ tungen sind.
DE19803824A 1997-10-29 1998-01-31 Verfahren und Vorrichtung zur Überprüfung einer Fehlerüberwachung einer Schaltung Withdrawn DE19803824A1 (de)

Priority Applications (6)

Application Number Priority Date Filing Date Title
DE19803824A DE19803824A1 (de) 1997-10-29 1998-01-31 Verfahren und Vorrichtung zur Überprüfung einer Fehlerüberwachung einer Schaltung
PCT/EP1998/006802 WO1999022298A1 (de) 1997-10-29 1998-10-27 Verfahren und vorrichtung zur überprüfung einer fehlerüberwachung einer schaltung
US09/530,254 US6658606B1 (en) 1997-10-29 1998-10-27 Method and device for checking an error control procedure of a circuit
JP2000518325A JP2001521244A (ja) 1997-10-29 1998-10-27 回路のエラー監視装置をチェックする方法と装置
EP98954451A EP1025501B1 (de) 1997-10-29 1998-10-27 Verfahren und vorrichtung zur überprüfung einer fehlerüberwachung einer schaltung
DE59803664T DE59803664D1 (de) 1997-10-29 1998-10-27 Verfahren und vorrichtung zur überprüfung einer fehlerüberwachung einer schaltung

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE19747721 1997-10-29
DE19803824A DE19803824A1 (de) 1997-10-29 1998-01-31 Verfahren und Vorrichtung zur Überprüfung einer Fehlerüberwachung einer Schaltung

Publications (1)

Publication Number Publication Date
DE19803824A1 true DE19803824A1 (de) 1999-05-06

Family

ID=7846965

Family Applications (2)

Application Number Title Priority Date Filing Date
DE19803824A Withdrawn DE19803824A1 (de) 1997-10-29 1998-01-31 Verfahren und Vorrichtung zur Überprüfung einer Fehlerüberwachung einer Schaltung
DE59803664T Expired - Lifetime DE59803664D1 (de) 1997-10-29 1998-10-27 Verfahren und vorrichtung zur überprüfung einer fehlerüberwachung einer schaltung

Family Applications After (1)

Application Number Title Priority Date Filing Date
DE59803664T Expired - Lifetime DE59803664D1 (de) 1997-10-29 1998-10-27 Verfahren und vorrichtung zur überprüfung einer fehlerüberwachung einer schaltung

Country Status (1)

Country Link
DE (2) DE19803824A1 (de)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3639065A1 (de) * 1986-11-14 1988-05-19 Bosch Gmbh Robert Verfahren und vorrichtung zur ueberwachung rechnergesteuerter stellglieder
DE4137124A1 (de) * 1991-11-12 1993-05-13 Teves Gmbh Alfred Schaltungsanordnung fuer eine bremsanlage mit blockierschutz- und/oder antriebsschlupfregelung
DE4326919A1 (de) * 1993-08-11 1995-02-16 Teves Gmbh Alfred Regelschaltung für Bremsanlagen mit ABS und/oder ASR
DE4436372A1 (de) * 1994-10-12 1996-04-18 Teves Gmbh Alfred Schaltungsanordnung für ein elektronisches Kraftfahrzeug-Regelungssystem
DE19506288A1 (de) * 1995-02-23 1996-08-29 Bosch Gmbh Robert Verfahren und Vorrichtung zur Funktionsüberprüfung einer elektronisch geregelten Bremsanlage

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3639065A1 (de) * 1986-11-14 1988-05-19 Bosch Gmbh Robert Verfahren und vorrichtung zur ueberwachung rechnergesteuerter stellglieder
DE4137124A1 (de) * 1991-11-12 1993-05-13 Teves Gmbh Alfred Schaltungsanordnung fuer eine bremsanlage mit blockierschutz- und/oder antriebsschlupfregelung
DE4326919A1 (de) * 1993-08-11 1995-02-16 Teves Gmbh Alfred Regelschaltung für Bremsanlagen mit ABS und/oder ASR
DE4436372A1 (de) * 1994-10-12 1996-04-18 Teves Gmbh Alfred Schaltungsanordnung für ein elektronisches Kraftfahrzeug-Regelungssystem
DE19506288A1 (de) * 1995-02-23 1996-08-29 Bosch Gmbh Robert Verfahren und Vorrichtung zur Funktionsüberprüfung einer elektronisch geregelten Bremsanlage

Also Published As

Publication number Publication date
DE59803664D1 (de) 2002-05-08

Similar Documents

Publication Publication Date Title
DE4114999C2 (de) System zur Steuerung eines Kraftfahrzeuges
EP2263347B1 (de) Kommunikationssystem umfassend einen datenbus und mehrere daran angeschlossene teilnehmerknoten sowie verfahren zum betreiben eines solchen kommunikationssystems
DE4111072C3 (de) Verfahren zum Feststellen einer Störung in einem Mikrocomputersystem
DE69016169T2 (de) Leitungschnittstelle für ein Nachrichtenübertragungsnetz.
DE2023741B2 (de)
DE3702408C2 (de)
DE10035174A1 (de) Peripheriebaustein mit hoher Fehlersicherheit für speicherprogrammierbare Steuerungen
DE69013874T2 (de) Schaltung zur Unterbindung eines metastabilen Zustands.
WO2000043797A1 (de) Steuergerät zur steuerung sicherheitskritischer anwendungen
EP1866714A1 (de) Verfahren und vorrichtung zur überwachung einer prozessausführung
DE3686902T2 (de) Selbstpruefender zweikanal-anstiegsflanken-synchronisierer.
EP1025501B1 (de) Verfahren und vorrichtung zur überprüfung einer fehlerüberwachung einer schaltung
DE69328648T2 (de) Übertragungssteuerungsvorrichtung
DE4421083C2 (de) Verfahren zur Überwachung einer seriellen Übertragung von digitalen Daten auf einer Ein-Draht-Multiplexverbindung zwischen untereinander kommunizierenden Signalverarbeitungsgeräten
EP0328093A2 (de) Gray-Code-Wandler mit Fehlersignal
EP0012185B1 (de) Prüfschaltung für synchron arbeitende Taktgeber
EP0660043B1 (de) Steuereinrichtung zur Betätigung von Schalteinrichtungen nach einem Zeitprogramm
DE3888469T2 (de) Detektion von Synchronisationsstörungen.
EP0248269B1 (de) Verfahren zur Simulation eines Unterbrechungsfehlers in einer Logikschaltung mit Feldeffekttransistoren und Anordnungen zur Durchführung des Verfahrens
DE19803824A1 (de) Verfahren und Vorrichtung zur Überprüfung einer Fehlerüberwachung einer Schaltung
WO1998000782A1 (de) Vorrichtung zum betreiben von zwei funktionsmässig parallelgeschalteten prozessoren
EP1282859B1 (de) Peripheriebaustein mit hoher fehlersicherheit für speicherprogrammierbare steuerungen
DE2842350C2 (de) Schaltungsanordnung zur Überwachung von Taktimpulsfolgen
AT391952B (de) Schaltungsanordnung zur auswertung eines von einem pruefling, z.b. einer flachbaugruppe, abgegebenen testsignals
DE102021001093B4 (de) Eingebundenes Testinstrument für Hochgeschwindigkeitsschnittstellen

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
8127 New person/name/address of the applicant

Owner name: CONTINENTAL TEVES AG & CO. OHG, 60488 FRANKFURT, D

8130 Withdrawal