DE19805819A1 - Verfahren zur Überwachung von integrierten Schaltkreisen - Google Patents

Verfahren zur Überwachung von integrierten Schaltkreisen

Info

Publication number
DE19805819A1
DE19805819A1 DE19805819A DE19805819A DE19805819A1 DE 19805819 A1 DE19805819 A1 DE 19805819A1 DE 19805819 A DE19805819 A DE 19805819A DE 19805819 A DE19805819 A DE 19805819A DE 19805819 A1 DE19805819 A1 DE 19805819A1
Authority
DE
Germany
Prior art keywords
asics
unit
monitoring
asic
circuit block
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE19805819A
Other languages
English (en)
Other versions
DE19805819B4 (de
Inventor
Claus Kuntzsch
Frank Mayer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
EE Signals GmbH and Co KG
Original Assignee
EE Signals GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by EE Signals GmbH and Co KG filed Critical EE Signals GmbH and Co KG
Priority to DE19805819A priority Critical patent/DE19805819B4/de
Publication of DE19805819A1 publication Critical patent/DE19805819A1/de
Application granted granted Critical
Publication of DE19805819B4 publication Critical patent/DE19805819B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Hardware Redundancy (AREA)

Description

Die Erfindung betrifft ein Verfahren zur Überwachung von Inte­ grierten Schaltkreisen, insbesondere von Integrierten Schalt­ kreisen in sicherheitskritischen Anwendungen, nach dem Oberbe­ griff des Patentanspruchs 1.
Elektrische und elektronische Steuerschaltungen werden häufig zur Steuerung, Regelung und Überwachung von technischen Prozes­ sen eingesetzt. So gibt es eine Vielzahl von Anwendungen, bei denen das von einem technischen Prozeß oder Verfahren aus gehen­ de Risiko beim Versagen oder bei Fehlern innerhalb einer sol­ chen Steuerschaltung weit über dem allgemein vertretbaren Grenzrisiko liegt. Hier ist als ein typisches Beispiel der Ein­ satz von Systemen bzw. komplexen Verfahrensabläufen in solchen Bereichen zu nennen, bei denen eine Gefährdung von Menschen und Sachwerten, beispielsweise im Kraftwerksbereich, in der Land- und Forstwirtschaft, im Bergbau, in der Verfahrens-, Verkehrs- oder in der Medizintechnik, gegeben ist. In diesen Bereichen werden prinzipiell fehlerlos ablaufende Arbeitsprozesse und fehlerlos arbeitende elektrische und elektronische Steuerschal­ tungen gefordert.
Das latent vorhandene Gefährdungspotential muß in den geschil­ derten Fällen auf ein vertretbares Maß reduziert werden, was unter anderem auch durch technische Maßnahmen und Vorkehrungen in den eingesetzten Steuerschaltungen geschieht. Es sind ins­ besondere Mechanismen zur Fehlererkennung und zur Fehlerver­ meidung sowie zur Selbst- und zur wechselseitigen Überwachung innerhalb der eingesetzten Schaltkreise (Hardware) und Program­ me (Software) erforderlich.
In den einschlägigen Normen, beispielsweise DIN V VDE 0801, IEC 65A oder ICE 1308, werden für die vorstehend genannten sicher­ heitskritischen Anwendungen von elektrischen, elektronischen und programmierbar elektronischen Systemen verschiedene ein- oder mehrkanalige, diversitäre und/oder redundante Schaltungs­ strukturen offenbart, mit denen die geforderte Erkennung und Vermeidung von Fehlern innerhalb einer Schaltung möglich wird. Eine Erkennung von auftretenden Fehlern ist nach diesen Normen zum Beispiel durch einen Vergleich der Ergebnisse mehrfach in identischer Weise ausgeführter Schaltungsteile möglich. In ähnlicher Weise können auftretende Fehler in Schaltungen aber auch durch eine Mehrheitsentscheidung, wie beispielsweise "2-aus-3-Auswahl", toleriert werden.
Bei dem aus der Praxis bekannten Stand der Technik werden heute Steuerungen für sicherheitskritische Anwendungen in der Regel durch den Einsatz von programmierbaren Verarbeitungseinheiten, wie Mikrocontroller oder Mikrorechner, realisiert. Dabei be­ steht ein typischer Ansatz in der Parallelschaltung zweier sol­ cher unabhängiger (Rechner-)Einheiten. Beide Einheiten verar­ beiten identische Eingangsdaten und sind so synchronisiert, daß die auf diesen Daten ausgeführten Operationen quasi zeitgleich stattfinden. Damit wird ein gegenseitiger Vergleich von Zwi­ schenergebnissen und Ausgangsgrößen möglich. Gleichzeitig kann damit auch indirekt der identische Programmablauf in den beiden (Rechner-)Einheiten überwacht werden. Die von den unabhängigen Einheiten gelieferten Ausgangsgrößen werden dann in einem wei­ teren Schaltungsblock derart verknüpft, daß bei auftretenden und festgestellten Unstimmigkeiten zwischen den gelieferten Da­ ten automatisch ein sicherer Zustand des technischen Prozesses eingenommen bzw. aufrechterhalten wird.
Die vorstehend geschilderten bekannten Mikrocontroller bzw. Mikrorechner weisen jedoch gegenüber dem Einsatz von ASICs in sicherheitskritischen Anwendungen eine Reihe von Nachteilen auf.
Ein herkömmlicher Mikrocontroller kann wegen der testweisen Abarbeitung von Befehlssequenzen und der besonderen Auswertung der Ergebnisse nur indirekt und unvollständig geprüft werden. Ein Strukturtest dagegen ist nicht möglich. Ferner setzt die Fehlererkennung und die Fehlerbehandlung, nämlich in Software ausgeführte Prüfroutinen und Plausibilitättests, nicht gestörte Grundfunktionen des Mikrocontrollers bzw. Mikrorechners voraus, was nicht in jedem Fall zutrifft.
Die schrittweise Programmabarbeitung durch einen Mikrorechner erlaubt außerdem keine parallele Verarbeitung von Informatio­ nen. Deshalb können kritische Prozeßzustände damit nicht sofort erkannt werden. Der Vergleich in einer mehrkanaligen Struktur kann nur im Wechsel mit der Verarbeitung erfolgen, was aber zu einer Erhöhung der Fehleroffenbarungszeit führt.
Bei dem Einsatz von ASICs ergeben sich nun zwar grundsätzliche Vorteile. Jedoch weist auch hier der Stand der Technik Nachtei­ le auf. Der Vergleich in einer mehrkanaligen Struktur bezieht sich nämlich nur auf die Ausgangsdaten (beispielsweise Mehr­ heitsentscheidung), und es findet kein Vergleich interner Zu­ stände statt. Dies verhindert die Entdeckung von verdeckten Fehlern, die sich (zunächst) nicht an den Ausgängen bemerkbar machen.
Der Einsatz von anwendungsspezifischen Integrierten Schalt­ kreisen (ASICs) in sicherheitskritischen Systemen zählt eben­ falls bereits zum bekannten Stand der Technik. Da das Verhalten und die Funktionalität eines ASIC's bei Entwurf und Produktion festgelegt wird, sind nachträgliche Änderungen an dieser Funk­ tionalität und im Gegensatz zu einer auf Software basierenden Lösung jedoch nicht möglich. Dies schränkt zwar die Flexibili­ tät ein, verhindert aber gleichzeitig eine Reihe von Fehlersi­ tuationen, die durch unsachgemäße Wartung oder durch Eingriffe des Benutzers in die Software entstehen können.
Aus "W. Glauert: Ultra-Large Scale Integration of a Control Unit for Safety-Critical Systems", Reutlingen, 1994, (Abschluß- bericht des Forschungsvorhabens 01 M 2882 A/6 JESSI AE11 Pro­ jekt), sind Untersuchungen bekannt geworden, mit denen das Ziel verfolgt wurde, die Zuverlässigkeit sowie die Auswirkungen von Fehlern in einkanaligen ASIC-Strukturen derart zu verändern, daß ein Einsatz nur eines derart angepaßten ASIC's ohne weitere periphere oder strukturelle Maßnahmen in sicherheitskritischen Anwendungen möglich wird.
Aus "Formal Verification and Synthesis of On-Line Self-Test" von R. Tully, A. Hunter, R. Zimmer u. a. sind aus identischen ASICs gebildete Strukturen mit mindestens drei Kanälen und Mehrheitsentscheider ebenfalls schon bekannt. Diese Strukturen werden besonders dann eingesetzt, wenn zusätzlich zur Sicher­ heit auch eine hohe Verfügbarkeit des Gesamtsystems gefordert wird.
Ausgehend von dem vorgenannten Stand der Technik ist es Aufgabe der Erfindung, ein Verfahren zur Überwachung von Integrierten Schaltkreisen der eingangs genannten Art zu schaffen, das die zuverlässige Überwachung von ASICs in einer zumindest zweikana­ ligen Struktur mit geringem technischen Aufwand erlaubt.
Erfindungsgemäß wird diese Aufgabe durch die Merkmale des Pa­ tentanspruchs 1 gelöst. Vorteilhafte Weiterbildungen und Ausge­ staltungen sind in den Unteransprüchen beschrieben.
Zwei- oder mehrkanalige Strukturen aus ASICs, und insbesondere ein in einer solchen Struktur benötigtes, effizientes und ko­ stenminimales Verfahren zum Vergleich von Endergebnissen oder Zwischenergebnissen und Ausgangsdaten sind aus dem geschilder­ ten Stand der Technik nicht bekannt. Das erfindungsgemäße Ver­ fahren erlaubt die Überwachung von ASICs in einer vorzugsweise zweikanaligen Struktur, wobei der logische Zustand in verschie­ denen Überwachungspunkten überwacht werden kann. Solche Über­ wachungspunkte können beispielsweise sein: die Zwischen- und Endergebnisse der Informationsverarbeitung, interne Schaltzu­ stände und interne Signale zu diskreten Abtastzeitpunkten.
Das für den Vergleich der Zustände in den Überwachungspunkten eingesetzte Verfahren kann mit geringem technischen Aufwand implementiert werden und ermöglicht den Vergleich einer großen Anzahl von Überwachungspunkten pro Zeiteinheit.
Außerdem erlauben ASICs eine hochgradige, parallele Verarbei­ tung von Informationen. Kritische Prozeßzustände können deshalb weitaus schneller erkannt werden als dies beim Einsatz von Mi­ krocontrollern der Fall ist. Ferner kann der Vergleich in einer mehrkanaligen Struktur nebenläufig zur eigentlichen Verarbei­ tung erfolgen, was zu kürzeren Fehleroffenbarungszeiten führt. Schließlich kann der Systembetrieb durch die Überwachung nicht gestört werden.
Zusätzlich zu diesen grundsätzlichen Vorteilen beim Einsatz von ASICs werden durch das erfindungsgemäße paarweise Überwachen der ASICs noch die weiteren Vorteile erzielt, daß eine einfache Realisierung vorzugsweise zweikanaliger Strukturen und ein Ver­ gleich der logischen Zustände in einer großen Anzahl von Über­ wachungspunkten möglich ist. Hinzu kommt noch die höhere Wahr­ scheinlichkeit der Fehlererkennung einschließlich der Erkennung verdeckter Fehler, was zu einer kürzeren Fehleroffenbarungszeit führt.
In einer praktischen Anwendung der erfinderischen Lösung hat sich als vorteilhaft erwiesen, daß der ASIC eine Überwachung nahezu aller internen Verbindungen und Schaltungsstrukturen durchführen kann und dadurch einen wesentlich höheren Fehler­ abdeckungsgrad ermöglicht als dies bei Mikrocontrollern und Mikrorechnern möglich ist. Damit eignet sich das erfindungs­ gemäße Verfahren auch für Selbsttests und Strukturtests in sicherheitskritischen Anwendungen.
In der Zeichnung ist ein Beispiel der Erfindung dargestellt. Darin zeigen:
Fig. 1 das Verfahren zur Überwachung von Integrierten Schaltkreisen in einem Blockschaltbild;
Fig. 2 die Funktionsblöcke nach dem Blockschaltbild von Fig. 1 in detaillierterer Darstellung, und
Fig. 3 ein Blockschaltbild eines in einem ASIC inte­ grierten Test-Controllers.
In dem Blockschaltbild nach der Fig. 1 sind zwei Integrierte Schaltkreise 21, 22 (ASICs) parallel nebeneinander und mit iden­ tischem Aufbau dargestellt. Statt der zwei gezeigten Integrier­ ten Schaltkreise 21, 22 sind auch mehrere solcher identischen Schaltkreise möglich. Die prinzipielle Betrachtungsweise ändert sich dadurch nicht.
Die Eingangsdaten 1 aus dem zu überwachenden technischen Prozeß liegen parallel und zeitgleich an den beiden ASICs 21, 22 an. Die beiden ASICs 21, 22 arbeiten streng synchron. Dennoch sind kurzzeitige Abweichungen in den Eingangsdaten erlaubt, die bei­ spielsweise durch asynchrone Signale entstehen können, die erst im ASIC einsynchronisiert werden.
Wie Fig. 1 offenbart und weiter unten näher beschrieben ist, wird also eine Überwachung von ASICs 21, 22 in einer hier zwei­ kanaligen Struktur mit Vergleich eingesetzt. Die beiden ASICs 21 und 22 überwachen sich gegenseitig.
Die beiden ASICs 21, 22 weisen jeweils eine Einheit 31 für die Vorverarbeitung und Aufbereitung der Eingangsgrößen auf. Dazu sind in den beiden ASICs 21, 22 je eine Verarbeitungseinheit 32 und eine Ausgabeeinheit 33 integriert. Ferner besitzt jedes ASIC 21, 22 noch eine Vergleichereinheit 34 und eine Einheit 35 für die Steuerung und Freigabe des Vergleiches.
In der Einheit 31 für die Vorverarbeitung und Aufbereitung der Eingangsgrößen sind in Reihe Zustandsspeicher 311, 312, 313 mit sicherheitsrelevanten Eingangsgrößen vorgesehen. Diese Zu­ standsspeicher 311, 312, 313 sind ihrerseits wiederum in Reihe mit den Zustandsspeichern 321, 322, 323 der Verarbeitungseinheit 32 mit den sicherheitsrelevanten Zwischenergebnissen angeord­ net. Schließlich befinden sich die Zustandsspeicher 321, 322, 323 ihrerseits in Reihe mit den weiteren Zustandsspeichern 331, 332, 333 der Ausgabeeinheit 33 mit den sicherheitsrelevanten Aus­ gangsgrößen und Endergebnissen. Gleichzeitig stehen die Ein­ heiten 31, 32, 33 in wechselseitiger Verbindung mit der Einheit 35 für die Steuerung und Freigabe des Vergleichs.
In Reihe mit den Einheiten 31, 32, 33 befindet sich die Verglei­ chereinheit 34, die eine Eingangszelle 341 mit dem aktuellen Zustand aus dem zweiten ASIC, einen Vergleicher 342 für die Feststellung der Identität der Eingangszelle 341 und des Zu­ standsspeichers 343 und schließlich der Zustandsspeicher 343, der ein aktuelles Element zum Vergleich darstellt. Die Ausgänge und die Eingänge der Vergleichereinheit 34 der beiden ASICs 1, 22 sind jeweils in einer Überkreuz-Verbindung miteinander verbunden, so daß die Eingangszelle 341 des ersten ASIC's 21 (22) mit dem Zustandsspeicher 343 des zweiten ASIC's 22 (21) und umgekehrt verbunden sind. Die Vergleicher 342 der beiden ASICs 21, 22 für die Feststellung auf Identität von Eingangs­ zelle 341 und Zustandsspeicher 343 sind an den Schaltungsblock 7 für die Überwachung des Vergleichers 342 auf Fehlererkennung, Watchdog und Notabschaltung angeschlossen. Dieser außerhalb der ASICs 21, 22 liegende Schaltungsblock 7 stellt als Watchdog si­ cher, daß innerhalb einer festgelegten Zeitdauer mindestens ein Vergleich stattfindet.
Ein im Fehlerfall von den Vergleichereinheiten 342 geliefertes Fehlersignal bewirkt ebenfalls durch den außerhalb der ASICs 21, 22 liegenden Schaltungsblock 7 einen Übergang in den siche­ ren Zustand. Gleichzeitig wird dieser sichere Zustand auch an den Ausgängen des ASIC's 21, 22 angenommen, falls dies trotz des internen Fehlers noch möglich ist.
Mit 4 ist in Fig. 1 ein Taktgenerator bezeichnet, während weiterhin eine Verknüpfungslogik 5 für die Zusammenführung der beiden Kanäle (ASICs 21, 22) und Aktoren 6 bzw. aktiven Schalt­ elemente am Ausgang der ASICs 21, 22 eingerichtet sind.
Der Aufbau und die Funktionsweise des durchgeführten Verglei­ ches sind im Detail aus Fig. 2 am Beispiel der Ausgabeeinheit zu entnehmen. Die Fig. 2 gilt für die Eingabeeinheit 31 und die Verarbeitungseinheit 32 entsprechend. Die logischen Zustän­ de der Überwachungspunkte in den einzelnen Funktionsblöcken 31, 32, 33 der ASICs 21, 22 werden zu diskreten Zeitpunkten abge­ tastet und in den beschriebenen Zustandsspeichern 311, 312, 313; 321, 322, 323; 331, 332, 333 festgehalten. Solche Zustandsspeicher können beispielsweise Flip-Flops sein. Die Zustandsspeicher sind, wie vorstehend geschildert, zu einem Schieberegister ver­ schaltet.
Die Ausgabeeinheit 33 besteht aus dem Schaltungsblock 334 mit entsprechenden Überwachungspunkten 3341, 3342, 3343, dem Schal­ tungsblock 335 zur Durchführung des Abtastvorganges und dem Schaltungsblock 336 mit Zustandsspeichern für abgetastete In­ formationen. Demzufolge wird also der Abtastvorgang durch den Schaltungsblock 335 realisiert, der mit dem Schaltungsblock 35 kommuniziert wird. Der Inhalt der Zustandsspeicher kann unab­ hängig von der weiteren Informationsverarbeitung im ASIC 21, 22 durch die Schieberegisterkette zum Eingang des Vergleichers (Eingangszelle 343) transportiert werden. Der Vergleich findet bitweise seriell durch eine Verknüpfungslogik (Vergleicher 342) statt. Die vom zweiten ASIC 22 (21) gelieferte Information aus dem Zustandsspeicher 341 wird dabei mit der eigenen Information in der Eingangszelle 343 auf Identität verglichen. Wenn hierbei Abweichungen festgestellt werden, so führt dies zum Abbruch des Vergleichs und zu einer Störungsmeldung über den Schaltungs­ block 7. Im Falle der Übereinstimmung wird der Vergleich im nächsten Takt mit dem nächsten Element aus der Schieberegister­ kette durchgeführt.
Um die erlaubten, kurzzeitigen Abweichungen von Daten und die daraus resultierenden kurzzeitigen Abweichungen von Zwischen­ ergebnissen tolerieren zu können, kann der Abtastvorgang oder der Vergleich durch ein Signal von der Einheit 31, der Ver­ arbeitungseinheit 32 oder der Ausgabeeinheit 33 an die Steue­ rung 35 und Freigabe des Vergleiches einzelner Verarbeitungs­ einheiten 31, 32, 33 verzögert werden. Diese Verzögerung dauert so lange, bis sich die gelesene Eingangsinformation aus der Sicht dieser Verarbeitungseinheit 31, 32, 33 stabilisiert hat. Es sind nur jeweils kurze Verzögerungen der wechselseitigen Über­ wachung erlaubt. Wenn innerhalb einer festgelegten Zeit ein Vergleich nicht erfolgt, so resultiert dies in einer durch den Watchdog 7 ausgelösten Störungsmeldung.
Die an den Ausgängen des ASIC's 21, 22 anliegenden Ausgangsdaten werden zur Ansteuerung von Aktoren 6 bzw. aktiven Schaltelemen­ ten verwendet. Hierzu ist ein weiterer, innerhalb oder außer­ halb des ASIC's 21, 22 liegender Schaltungsblock 5 für die Zu­ sammenführung der beiden Kanäle (ASICs 21, 22) erforderlich.
In einem praktischen Ausführungsbeispiel ist die erfindungsge­ mäße zweikanalige Struktur in einem Frühwarnsystem im Bahnbe­ trieb realisiert worden, die als sicherheitskritische Anwendung gilt. Die beiden ASICs 21 und 22 überwachten sich gegenseitig, wie bereits weiter oben beschrieben wurde. Durch die besondere Ausführung des Schaltungsblocks 5, bei dem die Ausgänge des ersten ASIC's 21 durch den zweiten ASIC 22 zurückgelesen und gegen die interne Information geprüft wurden, wurde zusätzlich eine Überwachung der Ausgänge und des Pinbereichs erreicht. In dieser speziellen Anwendung wurde der zweite ASIC-Baustein nicht als redundantes System zur Erhöhung der Verfügbarkeit vorgesehen. Es bestand nämlich lediglich eine Redundanz bezüg­ lich des Schaltens von Warnanzeigeeinrichtungen des besagten Frühwarnsystems. Die ASICs 21 und 22 wurden in dieser Anwendung als Hauptbaustein (ASIC 21) und Kontrollbaustein (ASIC 22) eingesetzt. Die Konfiguration als Hauptbaustein und als Kon­ trollbaustein erfolgte durch einen Konfigurationspin. Das Er­ kennen eines Fehlers in einem der beiden Bausteine (ASICs 21, 22) führte regelmäßig zum Schalten in den sicheren Zustand.
Der ASIC 22 als Kontrollbaustein hat die Ausgangsdaten des weiteren ASIC's 21 als Hauptbaustein mit den eigenen Ausgangs­ daten verglichen. Auf diese Weise wurden auch alle gesendeten seriellen Nachrichten verglichen.
Der Pin-Bereich ist bekanntermaßen ein Ausfallschwerpunkt bei Integrierten Schaltungen. Nur durch die erfindungsgemäße Zwei- Kanal-Lösung mit der speziellen Realisierung der Verknüpfungs­ logik 5 konnten die Pins überwacht werden. Dadurch wurden Schä­ digungen der Pin-Elektronik und auch Kontaktverluste zur Sy­ stem- oder Hauptplatine bei einer Frühwarnanlage erkannt.
Die Überwachung im laufenden Betrieb erfolgte durch den zykli­ schen Vergleich interner Werte der ASICs 21 und 22 (Hauptbau­ stein und Kontrollbaustein). Dazu wurden die zu vergleichenden Signalwerte in sogenannte Schattenregister kopiert, die den Zustandsspeichern im Schieberegister 311, 312, 313; 321, 322, 323; 331, 332, 333 entsprechen. Die Inhalte der Schattenregister wur­ den seriell zum jeweils anderen ASIC 21, 22 übertragen und dort mit lokalen Werten verglichen. Etwaige Abweichungen zu vergli­ chenen Werte führten sofort zur Auslösung einer Systemstörung.
In Fig. 3 ist schematisch in einem Blockschaltbild die Inte­ gration eines Testcontrollers 8 in einem Integrierten Schalt­ kreis (ASIC) 21, 22 dargestellt. Beispielhaft, weil üblicherwei­ se ausreichend, ist der Testcontroller 8 nur in einem ASIC 21, 22 integriert, obwohl die Integration grundsätzlich auch in jedem der beiden ASICs 21, 22 möglich ist. Die Implementierung eines Testcontrollers 8 ist dann technisch sinnvoll, wenn hohe Sicherheitsaufgaben zu erfüllen sind, wie dies beispielsweise bei den schon früher erwähnten Frühwarnsystemen der Fall ist. Der Testcontroller 8 bezieht seine Kriterien aus einem externen Speicher 9, also von einem fremden Baustein. Unter diesen Kri­ terien werden die bausteininternen Werte, beispielsweise die physikalischen Eigenschaften, verstanden. Zu diesem Zweck sind die Ausgänge des Testcontrollers 8 fair Adressen, Daten und Steuerung zu dem sogenannten Testmusterspeicher 9 außerhalb des Testcontrollers 8 geführt.
Der Testcontroller 8 liest den Inhalt des Testmusterspeichers 9 aus und steuert den (Einschalt)-Selbsttest des ASIC 21, 22, den zyklischen Vergleich bausteininterner Werte (physikalische Eigenschaften) während des Betriebes sowie den Systemtakt und den Scantakt des Programms.
Der (Einschalt)-Selbsttest der ASICs 21, 22 ist eine wesentliche Funktion vor allem bei einer sicherheitskritischen Anwendung und bedeutet üblicherweise, daß der Testcontroller im ASIC das eigene ASIC testet. Im Gegensatz dazu wird nun aber vorgeschla­ gen, das Grundkonzept in der Weise weiterzuentwickeln, daß ein externer Test des einen ASIC's 21 (22) durch den Testcontroller 8 des anderen ASIC's 22 (21) durchgeführt wird. Auf diese Weise Weise kann der getestete ASIC 21 (22) in bezug auf die von den Testvektoren abgedeckten Fehler komplett getestet werden. Der Selbsttest findet in zwei wechselseitigen Phasen statt.
Nach dem Hochfahren steuert der Testcontroller 8 den zyklischen Vergleich zwischen den ASICs 21, 22. Nach Abschluß des Selbst­ tests wird die Kontrolle dann an einen Konfigurationsblock übergeben. Wenn dieser den Abschluß der System-Konfiguration und des Selbsttests meldet, wird der zyklische Vergleich der internen Werte der beiden ASICs 21, 22 gestartet. Das System ist jetzt betriebsbereit.
Die neben dem Selbsttest und einer Bausteineüberprüfung erfor­ derliche, ständige Überwachung des ASICs 21, 22 als Haupt- und Kontrollbaustein erfolgt in der Weise des geschilderten erfin­ dungsgemäßen Verfahrens.
In der vorstehenden Beschreibung ist das Verfahren nur in der Anwendung zur Überwachung von Integrierten Schaltkreisen, den sogenannten ASICs (21, 22), dargestellt worden. Im Sinne der Erfindung ist es aber ebenfalls möglich, das Verfahren zur Überwachung von Microcontrollern einzusetzen. Das bedeutet, daß dieses Verfahren mit den erfinderischen Merkmalen gemäß den Patentansprüchen 1 bis 13 auch für Chips bzw. Microprozessoren anwendbar ist, die irgendwelche Bearbeitungen durchführen. Auf den Patentanspruch 1 gelesen wird mit dieser Anwendung allgemein das Ziel verfolgt,daß zumindest zwei Microcontroller mit identischem Aufbau parallel und zeitgleich an alle Eingänge angeschlossen werden, wobei die Microcontroller streng synchron miteinander arbeiten. Die zweikanalige Struktur, die aus den Microcontrollern gebildet wird, führt einen Vergleich von Zwischenergebnissen, Endergebnissen und Ausgangsdaten durch. Der logische Zustand der zumindest zwei Microcontroller wird in verschiedenen Überwachungspunkten überwacht.
Allgemein werden mit dieser Erfindung Zwei-Kanal-Systeme beschrieben und geschützt, die für Integrierte Schaltkreise als fest programmierte, kundenspezifische Schaltkreise und für Microcontroller anwendbar sind. Ferner werden vom Schutzumfang auch die bekannten Zwischenschritte von der Technologie der Microcontroller über die einfach oder mehrfach beschreibbaren Schaltkreise (FPGA), die nur teilweise fertig programmiert sind, bis zu den Integrierten Schaltkreisen (ASICs) vom Schutzumfang erfaßt. In der allgemeinen Form der Zwei-Kanal-Systeme werden jeweils zwei Mechanismen beschrieben, die unter Nutzung des mehrfach redundanten Verfahrens in ein sicherheitskritisches System implementierbar sind, um die Zuverlässigkeit zu erhöhen.

Claims (15)

1. Verfahren zur Überwachung von Integrierten Schaltkreisen (ASICs), insbesondere von Integrierten Schaltkreisen in si­ cherheitskritischen Anwendungen, dadurch gekennzeichnet,
daß zumindest zwei Integrierte Schaltkreise (ASICs 21, 22) mit identischem Aufbau parallel und zeitgleich an alle Eingänge angeschlossen werden,
daß die zumindest zwei ASICs (21, 22) streng synchron zueinander arbeiten,
daß die aus den zumindest zwei ASICs (21, 22) gebildete zweika­ nalige Struktur einen Vergleich von Zwischenergebnissen, End­ ergebnissen und Ausgangsdaten durchführt, und
daß der logische Zustand der zumindest zwei ASICs (21, 22) in verschiedenen Überwachungspunkten überwacht wird.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß die Überwachungspunkte Zwischen- und Endergebnisse einer Informationsverarbeitung, interne Schaltzustände in den ASICs (21, 22) und/oder interne Signale zu diskreten Abtastzeitpunkten sind.
3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, daß die Zwischen- und Endergebnisse frei definierbar sind.
4. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß in zumindest einem ASIC (21, 22) ein vorzugsweise unabhän­ giger Testcontroller (8) integriert ist, der den Selbsttest eines ASIC's (21, 22) und den zyklischen Vergleich baustein­ interner Werte in Verbindung mit einem externen Speicher (9) steuert.
5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, daß in jedem der ASICs (21, 22) eine Einheit (31) für die Vor­ verarbeitung und Aufbereitung von Eingangsdaten, eine Verarbei­ tungseinheit (32), eine Ausgabeeinheit (33) und eine Verglei­ chereinheit (34) vorgesehen ist, deren Zustandsspeicher (311, 312, 313; 321, 322, 323; 331, 332, 333) mit abgegriffenen Zustands­ informationen aus den Einheiten (31, 32, 33, 34) in Reihe geschal­ tet sind, wobei die Einheit (31), die Verarbeitungseinheit (32) und die Ausgabeeinheit (33) jeweils mit einer Einheit (35) für die Steuerung und Freigabe des Vergleichs in Wechselbeziehung stehen, und daß die Ausgänge und die Eingänge der in jedem ASIC (21, 22) integrierten Vergleichereinheit (34) in Überkreuz-Ver­ bindung miteinander verbunden werden, so daß die Eingangszelle (341) der ersten Vergleichereinheit (34) mit dem Zustandsspei­ cher (343) der zweiten Vergleichereinheit (34) und umgekehrt verbunden ist, während die Vergleicher (342) in den Verglei­ chereinheiten (34) jeweils auf einen Schaltungsblock (7) für die Überwachung auf Fehlererkennung, Watchdog und Notabschal­ tung geschaltet sind.
6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, daß die Eingangsdaten (1) an den ASICs (21, 22) parallel und zeitgleich anliegen, und daß die ASICs (21, 22) ausgangsseitig ebenso wie der Schaltungsblock (7) an eine Verknüpfungslogik (5) für die zumindest zwei Kanäle angeschlossen werden, die ihrerseits ausgangsseitig mit Aktoren (6) bzw. mit aktiven Schaltelementen verbunden ist, wobei die Verknüpfungslogik (5) derart realisiert ist, daß die Ausgänge des einen Bausteins durch den anderen Baustein zurückgelesen und geprüft werden.
7. Verfahren nach einem der vorgenannten Ansprüche, dadurch gekennzeichnet, daß die logischen Zustände der Überwachungspunkte in den ein­ zelnen Funktionsblöcken zu diskreten Zeitpunkten abgetastet und in Zustandsspeichern (311, 312, 313; 321, 322, 323; 331, 332, 333) der Einheit (31), der Verarbeitungseinheit (32) und der Aus­ gabeeinheit (33) festgehalten werden.
8. Verfahren nach einem der vorgenannten Ansprüche, dadurch gekennzeichnet, daß die Zustandsspeicher (311, 312, 313; 321, 322, 323; 331, 332, 333) zu einem Schieberegister verschaltet sind.
9. Verfahren nach einem der vorstehend genannten Ansprüche, dadurch gekennzeichnet, daß die Ausgabeeinheit (33) aus einem Schaltungsblock (334) mit eingerichteten Überwachungspunkten, einem Schaltungsblock (335) zur Durchführung des Abtastvorganges und einem Schaltungsblock (336) mit Zustandsspeichern für abgetastete Informationen ge­ bildet ist, und daß der Inhalt der Zustandsspeicher unabhängig von einer weiteren Informationsverarbeitung durch die Schiebe­ registerkette zum Eingang der Vergleichereinheit (34) transpor­ tiert wird.
10. Verfahren nach Anspruch 9, dadurch gekennzeichnet, daß die Eingabeeinheit (31) und die Verarbeitungseinheit (32) analog der Ausgabeeinheit (33) aufgebaut sind.
11. Verfahren nach einem der vorgenannten Ansprüche, dadurch gekennzeichnet, daß die ASICs (21, 22) einen zyklischen Vergleich der internen Beobachtungspunkte durchführen.
12. Verfahren nach einem der vorgenannten Ansprüche, dadurch gekennzeichnet, daß zumindest ein interner Timer vorgesehen ist, der nach einer von außen definierbaren Zeitspanne einen intermittierenden Be­ trieb und damit einen zyklischen Einschalt-Selbsttest erzwingt.
13. Verfahren nach einem der vorgenannten Ansprüche, dadurch gekennzeichnet, daß durch die signaltechnisch sicher ausgelegte Watchdog-Schal­ tung im Schaltungsblock (7) die Synchronisation der ASICs (21, 22) kontrolliert und im Falle einer festgestellten Abweichung von der Synchronisation ein Alarm ausgelöst und das Gesamt­ system in den sicheren Zustand überführt wird.
14. Anwendung des Verfahrens zur Überwachung von Integrierten Schaltkreisen mit den Merkmalen nach einem oder mehreren der vorhergehenden Ansprüche für Microcontroller oder einfach oder mehrfach beschreibbare Schaltkreise, Chips oder dergleichen.
15. Anwendung des Verfahrens zur Überwachung von Integrierten Schaltkreisen in sicherheitskritischen Anwendungen, Einrichtungen, Gebieten und dergleichen mit den Merkmalen nach einem oder mehreren der Ansprüche 1 bis 13 für Microcontroller.
DE19805819A 1997-05-06 1998-02-13 Verfahren zur Überwachung von integrierten Schaltkreisen Expired - Fee Related DE19805819B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE19805819A DE19805819B4 (de) 1997-05-06 1998-02-13 Verfahren zur Überwachung von integrierten Schaltkreisen

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE19719078 1997-05-06
DE19719078.2 1997-05-06
DE19805819A DE19805819B4 (de) 1997-05-06 1998-02-13 Verfahren zur Überwachung von integrierten Schaltkreisen

Publications (2)

Publication Number Publication Date
DE19805819A1 true DE19805819A1 (de) 1998-11-19
DE19805819B4 DE19805819B4 (de) 2006-11-23

Family

ID=7828759

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19805819A Expired - Fee Related DE19805819B4 (de) 1997-05-06 1998-02-13 Verfahren zur Überwachung von integrierten Schaltkreisen

Country Status (1)

Country Link
DE (1) DE19805819B4 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1178321A2 (de) * 2000-08-03 2002-02-06 Siemens Aktiengesellschaft Verfahren zum Betreiben eines Logik- und Speicherelemente aufweisenden Bausteins
EP1233516A2 (de) * 2001-02-15 2002-08-21 Siemens Schweiz AG Logikschaltung, insbesondere für eisenbahntechnische Anlagen

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3225455C2 (de) * 1982-07-07 1986-07-17 Siemens AG, 1000 Berlin und 8000 München Verfahren zum sicheren Betrieb eines redundanten Steuersystems
DE3633953A1 (de) * 1986-10-06 1988-04-07 Siemens Ag Verfahren zum betrieb eines programmgesteuerten automatisierungsgeraets
DE4134396C2 (de) * 1990-10-30 1996-08-14 Siemens Ag Sicheres Automatisierungssystem
DE4438039A1 (de) * 1994-10-25 1996-05-02 Leon Helma Christina Elektronisches Schaltgerät für die Erfassung des Betätigungszustandes von taktilen Sensoren
DE19520264C2 (de) * 1995-06-02 1997-08-07 Claus Friedrich Meßeinrichtung zur Erfassung der Förderstärke eines Schüttgutstromes
DE19529434B4 (de) * 1995-08-10 2009-09-17 Continental Teves Ag & Co. Ohg Microprozessorsystem für sicherheitskritische Regelungen

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1178321A2 (de) * 2000-08-03 2002-02-06 Siemens Aktiengesellschaft Verfahren zum Betreiben eines Logik- und Speicherelemente aufweisenden Bausteins
EP1178321A3 (de) * 2000-08-03 2004-01-02 Siemens Aktiengesellschaft Verfahren zum Betreiben eines Logik- und Speicherelemente aufweisenden Bausteins
EP1233516A2 (de) * 2001-02-15 2002-08-21 Siemens Schweiz AG Logikschaltung, insbesondere für eisenbahntechnische Anlagen
EP1233516A3 (de) * 2001-02-15 2004-03-31 Siemens Schweiz AG Logikschaltung, insbesondere für eisenbahntechnische Anlagen

Also Published As

Publication number Publication date
DE19805819B4 (de) 2006-11-23

Similar Documents

Publication Publication Date Title
EP0186724B1 (de) Prüf- und Diagnoseeinrichtung für Digitalrechner
DE2842750A1 (de) Verfahren und anordnung zur pruefung von durch monolithisch integrierten halbleiterschaltungen dargestellten sequentiellen schaltungen
DE3702408C2 (de)
DE2311034A1 (de) Verfahren zum pruefen einer schaltungsanordnung
EP0073946A2 (de) Verfahren und Anordnung zur Funktionsprüfung einer programmierbaren Logikanordnung
DE2258917A1 (de) Kontrollvorrichtung
DE19536226C2 (de) Testbare Schaltungsanordnung mit mehreren identischen Schaltungsblöcken
DE10035174A1 (de) Peripheriebaustein mit hoher Fehlersicherheit für speicherprogrammierbare Steuerungen
DE3024370A1 (de) Redundantes steuersystem
EP3110061A1 (de) Verteiltes echtzeitcomputersystem sowie verfahren zur erzwingung des fail-silent-verhaltens eines verteilten echtzeitcomputersystems
DE3838940A1 (de) Schaltung mit testfunktionsschaltung
DE4211701A1 (de) Verfahren und Vorrichtung zur Phasenmessung
CH618029A5 (de)
EP1025501B1 (de) Verfahren und vorrichtung zur überprüfung einer fehlerüberwachung einer schaltung
DE19805819A1 (de) Verfahren zur Überwachung von integrierten Schaltkreisen
DE102004051130A1 (de) Verfahren und Automatisierungssystem zum Bedienen und/oder Beobachten mindestens eines Feldgerätes
EP0404992B1 (de) Verfahren zum hochverfügbaren Betrieb von redundanten Datenverarbeitungsanlagen
EP1178321B1 (de) Verfahren zum Betreiben eines Logik- und Speicherelemente aufweisenden Bausteins
DE3838939A1 (de) Schaltung mit testfunktionsschaltung
WO2020239437A1 (de) Anlagenkomponente, sicherheitsrelevante anlage und betriebsverfahren
EP3739479A1 (de) Verfahren zur fehlersuche in der programmlogik eines systems verteilter programmierbarer gatteranordnungen
DE2365092C3 (de) Elektronische Schaltung zur Frequenz- und Phasenüberwachung von Taktimpulsen
DE4418653C2 (de) Vorrichtung zum Auswählen eines von wenigstens zwei Taktsignalen in redundanten Einrichtungen eines Kommunikationssystems
EP0012794B1 (de) Verfahren und Einrichtung für eine elektronische Datenverarbeitungsanlage zur Prüfung der aus einer Instruktion abgeleiteten Steuersignale
DE1566782B1 (de) Verfahren zum Pruefen von impulsbetriebenen Schaltungen und Schaltungsanordnung zu seiner Durchfuehrung

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee