DE19805819A1 - Verfahren zur Überwachung von integrierten Schaltkreisen - Google Patents
Verfahren zur Überwachung von integrierten SchaltkreisenInfo
- Publication number
- DE19805819A1 DE19805819A1 DE19805819A DE19805819A DE19805819A1 DE 19805819 A1 DE19805819 A1 DE 19805819A1 DE 19805819 A DE19805819 A DE 19805819A DE 19805819 A DE19805819 A DE 19805819A DE 19805819 A1 DE19805819 A1 DE 19805819A1
- Authority
- DE
- Germany
- Prior art keywords
- asics
- unit
- monitoring
- asic
- circuit block
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Hardware Redundancy (AREA)
Description
Die Erfindung betrifft ein Verfahren zur Überwachung von Inte
grierten Schaltkreisen, insbesondere von Integrierten Schalt
kreisen in sicherheitskritischen Anwendungen, nach dem Oberbe
griff des Patentanspruchs 1.
Elektrische und elektronische Steuerschaltungen werden häufig
zur Steuerung, Regelung und Überwachung von technischen Prozes
sen eingesetzt. So gibt es eine Vielzahl von Anwendungen, bei
denen das von einem technischen Prozeß oder Verfahren aus gehen
de Risiko beim Versagen oder bei Fehlern innerhalb einer sol
chen Steuerschaltung weit über dem allgemein vertretbaren
Grenzrisiko liegt. Hier ist als ein typisches Beispiel der Ein
satz von Systemen bzw. komplexen Verfahrensabläufen in solchen
Bereichen zu nennen, bei denen eine Gefährdung von Menschen und
Sachwerten, beispielsweise im Kraftwerksbereich, in der Land- und
Forstwirtschaft, im Bergbau, in der Verfahrens-, Verkehrs- oder
in der Medizintechnik, gegeben ist. In diesen Bereichen
werden prinzipiell fehlerlos ablaufende Arbeitsprozesse und
fehlerlos arbeitende elektrische und elektronische Steuerschal
tungen gefordert.
Das latent vorhandene Gefährdungspotential muß in den geschil
derten Fällen auf ein vertretbares Maß reduziert werden, was
unter anderem auch durch technische Maßnahmen und Vorkehrungen
in den eingesetzten Steuerschaltungen geschieht. Es sind ins
besondere Mechanismen zur Fehlererkennung und zur Fehlerver
meidung sowie zur Selbst- und zur wechselseitigen Überwachung
innerhalb der eingesetzten Schaltkreise (Hardware) und Program
me (Software) erforderlich.
In den einschlägigen Normen, beispielsweise DIN V VDE 0801, IEC
65A oder ICE 1308, werden für die vorstehend genannten sicher
heitskritischen Anwendungen von elektrischen, elektronischen
und programmierbar elektronischen Systemen verschiedene ein- oder
mehrkanalige, diversitäre und/oder redundante Schaltungs
strukturen offenbart, mit denen die geforderte Erkennung und
Vermeidung von Fehlern innerhalb einer Schaltung möglich wird.
Eine Erkennung von auftretenden Fehlern ist nach diesen Normen
zum Beispiel durch einen Vergleich der Ergebnisse mehrfach in
identischer Weise ausgeführter Schaltungsteile möglich. In
ähnlicher Weise können auftretende Fehler in Schaltungen aber
auch durch eine Mehrheitsentscheidung, wie beispielsweise
"2-aus-3-Auswahl", toleriert werden.
Bei dem aus der Praxis bekannten Stand der Technik werden heute
Steuerungen für sicherheitskritische Anwendungen in der Regel
durch den Einsatz von programmierbaren Verarbeitungseinheiten,
wie Mikrocontroller oder Mikrorechner, realisiert. Dabei be
steht ein typischer Ansatz in der Parallelschaltung zweier sol
cher unabhängiger (Rechner-)Einheiten. Beide Einheiten verar
beiten identische Eingangsdaten und sind so synchronisiert, daß
die auf diesen Daten ausgeführten Operationen quasi zeitgleich
stattfinden. Damit wird ein gegenseitiger Vergleich von Zwi
schenergebnissen und Ausgangsgrößen möglich. Gleichzeitig kann
damit auch indirekt der identische Programmablauf in den beiden
(Rechner-)Einheiten überwacht werden. Die von den unabhängigen
Einheiten gelieferten Ausgangsgrößen werden dann in einem wei
teren Schaltungsblock derart verknüpft, daß bei auftretenden
und festgestellten Unstimmigkeiten zwischen den gelieferten Da
ten automatisch ein sicherer Zustand des technischen Prozesses
eingenommen bzw. aufrechterhalten wird.
Die vorstehend geschilderten bekannten Mikrocontroller bzw.
Mikrorechner weisen jedoch gegenüber dem Einsatz von ASICs in
sicherheitskritischen Anwendungen eine Reihe von Nachteilen
auf.
Ein herkömmlicher Mikrocontroller kann wegen der testweisen
Abarbeitung von Befehlssequenzen und der besonderen Auswertung
der Ergebnisse nur indirekt und unvollständig geprüft werden.
Ein Strukturtest dagegen ist nicht möglich. Ferner setzt die
Fehlererkennung und die Fehlerbehandlung, nämlich in Software
ausgeführte Prüfroutinen und Plausibilitättests, nicht gestörte
Grundfunktionen des Mikrocontrollers bzw. Mikrorechners voraus,
was nicht in jedem Fall zutrifft.
Die schrittweise Programmabarbeitung durch einen Mikrorechner
erlaubt außerdem keine parallele Verarbeitung von Informatio
nen. Deshalb können kritische Prozeßzustände damit nicht sofort
erkannt werden. Der Vergleich in einer mehrkanaligen Struktur
kann nur im Wechsel mit der Verarbeitung erfolgen, was aber zu
einer Erhöhung der Fehleroffenbarungszeit führt.
Bei dem Einsatz von ASICs ergeben sich nun zwar grundsätzliche
Vorteile. Jedoch weist auch hier der Stand der Technik Nachtei
le auf. Der Vergleich in einer mehrkanaligen Struktur bezieht
sich nämlich nur auf die Ausgangsdaten (beispielsweise Mehr
heitsentscheidung), und es findet kein Vergleich interner Zu
stände statt. Dies verhindert die Entdeckung von verdeckten
Fehlern, die sich (zunächst) nicht an den Ausgängen bemerkbar
machen.
Der Einsatz von anwendungsspezifischen Integrierten Schalt
kreisen (ASICs) in sicherheitskritischen Systemen zählt eben
falls bereits zum bekannten Stand der Technik. Da das Verhalten
und die Funktionalität eines ASIC's bei Entwurf und Produktion
festgelegt wird, sind nachträgliche Änderungen an dieser Funk
tionalität und im Gegensatz zu einer auf Software basierenden
Lösung jedoch nicht möglich. Dies schränkt zwar die Flexibili
tät ein, verhindert aber gleichzeitig eine Reihe von Fehlersi
tuationen, die durch unsachgemäße Wartung oder durch Eingriffe
des Benutzers in die Software entstehen können.
Aus "W. Glauert: Ultra-Large Scale Integration of a Control
Unit for Safety-Critical Systems", Reutlingen, 1994, (Abschluß-
bericht des Forschungsvorhabens 01 M 2882 A/6 JESSI AE11 Pro
jekt), sind Untersuchungen bekannt geworden, mit denen das Ziel
verfolgt wurde, die Zuverlässigkeit sowie die Auswirkungen von
Fehlern in einkanaligen ASIC-Strukturen derart zu verändern,
daß ein Einsatz nur eines derart angepaßten ASIC's ohne weitere
periphere oder strukturelle Maßnahmen in sicherheitskritischen
Anwendungen möglich wird.
Aus "Formal Verification and Synthesis of On-Line Self-Test"
von R. Tully, A. Hunter, R. Zimmer u. a. sind aus identischen
ASICs gebildete Strukturen mit mindestens drei Kanälen und
Mehrheitsentscheider ebenfalls schon bekannt. Diese Strukturen
werden besonders dann eingesetzt, wenn zusätzlich zur Sicher
heit auch eine hohe Verfügbarkeit des Gesamtsystems gefordert
wird.
Ausgehend von dem vorgenannten Stand der Technik ist es Aufgabe
der Erfindung, ein Verfahren zur Überwachung von Integrierten
Schaltkreisen der eingangs genannten Art zu schaffen, das die
zuverlässige Überwachung von ASICs in einer zumindest zweikana
ligen Struktur mit geringem technischen Aufwand erlaubt.
Erfindungsgemäß wird diese Aufgabe durch die Merkmale des Pa
tentanspruchs 1 gelöst. Vorteilhafte Weiterbildungen und Ausge
staltungen sind in den Unteransprüchen beschrieben.
Zwei- oder mehrkanalige Strukturen aus ASICs, und insbesondere
ein in einer solchen Struktur benötigtes, effizientes und ko
stenminimales Verfahren zum Vergleich von Endergebnissen oder
Zwischenergebnissen und Ausgangsdaten sind aus dem geschilder
ten Stand der Technik nicht bekannt. Das erfindungsgemäße Ver
fahren erlaubt die Überwachung von ASICs in einer vorzugsweise
zweikanaligen Struktur, wobei der logische Zustand in verschie
denen Überwachungspunkten überwacht werden kann. Solche Über
wachungspunkte können beispielsweise sein: die Zwischen- und
Endergebnisse der Informationsverarbeitung, interne Schaltzu
stände und interne Signale zu diskreten Abtastzeitpunkten.
Das für den Vergleich der Zustände in den Überwachungspunkten
eingesetzte Verfahren kann mit geringem technischen Aufwand
implementiert werden und ermöglicht den Vergleich einer großen
Anzahl von Überwachungspunkten pro Zeiteinheit.
Außerdem erlauben ASICs eine hochgradige, parallele Verarbei
tung von Informationen. Kritische Prozeßzustände können deshalb
weitaus schneller erkannt werden als dies beim Einsatz von Mi
krocontrollern der Fall ist. Ferner kann der Vergleich in einer
mehrkanaligen Struktur nebenläufig zur eigentlichen Verarbei
tung erfolgen, was zu kürzeren Fehleroffenbarungszeiten führt.
Schließlich kann der Systembetrieb durch die Überwachung nicht
gestört werden.
Zusätzlich zu diesen grundsätzlichen Vorteilen beim Einsatz von
ASICs werden durch das erfindungsgemäße paarweise Überwachen
der ASICs noch die weiteren Vorteile erzielt, daß eine einfache
Realisierung vorzugsweise zweikanaliger Strukturen und ein Ver
gleich der logischen Zustände in einer großen Anzahl von Über
wachungspunkten möglich ist. Hinzu kommt noch die höhere Wahr
scheinlichkeit der Fehlererkennung einschließlich der Erkennung
verdeckter Fehler, was zu einer kürzeren Fehleroffenbarungszeit
führt.
In einer praktischen Anwendung der erfinderischen Lösung hat
sich als vorteilhaft erwiesen, daß der ASIC eine Überwachung
nahezu aller internen Verbindungen und Schaltungsstrukturen
durchführen kann und dadurch einen wesentlich höheren Fehler
abdeckungsgrad ermöglicht als dies bei Mikrocontrollern und
Mikrorechnern möglich ist. Damit eignet sich das erfindungs
gemäße Verfahren auch für Selbsttests und Strukturtests in
sicherheitskritischen Anwendungen.
In der Zeichnung ist ein Beispiel der Erfindung dargestellt.
Darin zeigen:
Fig. 1 das Verfahren zur Überwachung von Integrierten
Schaltkreisen in einem Blockschaltbild;
Fig. 2 die Funktionsblöcke nach dem Blockschaltbild von
Fig. 1 in detaillierterer Darstellung, und
Fig. 3 ein Blockschaltbild eines in einem ASIC inte
grierten Test-Controllers.
In dem Blockschaltbild nach der Fig. 1 sind zwei Integrierte
Schaltkreise 21, 22 (ASICs) parallel nebeneinander und mit iden
tischem Aufbau dargestellt. Statt der zwei gezeigten Integrier
ten Schaltkreise 21, 22 sind auch mehrere solcher identischen
Schaltkreise möglich. Die prinzipielle Betrachtungsweise ändert
sich dadurch nicht.
Die Eingangsdaten 1 aus dem zu überwachenden technischen Prozeß
liegen parallel und zeitgleich an den beiden ASICs 21, 22 an.
Die beiden ASICs 21, 22 arbeiten streng synchron. Dennoch sind
kurzzeitige Abweichungen in den Eingangsdaten erlaubt, die bei
spielsweise durch asynchrone Signale entstehen können, die erst
im ASIC einsynchronisiert werden.
Wie Fig. 1 offenbart und weiter unten näher beschrieben ist,
wird also eine Überwachung von ASICs 21, 22 in einer hier zwei
kanaligen Struktur mit Vergleich eingesetzt. Die beiden ASICs
21 und 22 überwachen sich gegenseitig.
Die beiden ASICs 21, 22 weisen jeweils eine Einheit 31 für die
Vorverarbeitung und Aufbereitung der Eingangsgrößen auf. Dazu
sind in den beiden ASICs 21, 22 je eine Verarbeitungseinheit 32
und eine Ausgabeeinheit 33 integriert. Ferner besitzt jedes
ASIC 21, 22 noch eine Vergleichereinheit 34 und eine Einheit 35
für die Steuerung und Freigabe des Vergleiches.
In der Einheit 31 für die Vorverarbeitung und Aufbereitung der
Eingangsgrößen sind in Reihe Zustandsspeicher 311, 312, 313 mit
sicherheitsrelevanten Eingangsgrößen vorgesehen. Diese Zu
standsspeicher 311, 312, 313 sind ihrerseits wiederum in Reihe
mit den Zustandsspeichern 321, 322, 323 der Verarbeitungseinheit
32 mit den sicherheitsrelevanten Zwischenergebnissen angeord
net. Schließlich befinden sich die Zustandsspeicher 321, 322, 323
ihrerseits in Reihe mit den weiteren Zustandsspeichern 331, 332,
333 der Ausgabeeinheit 33 mit den sicherheitsrelevanten Aus
gangsgrößen und Endergebnissen. Gleichzeitig stehen die Ein
heiten 31, 32, 33 in wechselseitiger Verbindung mit der Einheit
35 für die Steuerung und Freigabe des Vergleichs.
In Reihe mit den Einheiten 31, 32, 33 befindet sich die Verglei
chereinheit 34, die eine Eingangszelle 341 mit dem aktuellen
Zustand aus dem zweiten ASIC, einen Vergleicher 342 für die
Feststellung der Identität der Eingangszelle 341 und des Zu
standsspeichers 343 und schließlich der Zustandsspeicher 343,
der ein aktuelles Element zum Vergleich darstellt. Die Ausgänge
und die Eingänge der Vergleichereinheit 34 der beiden ASICs 1, 22
sind jeweils in einer Überkreuz-Verbindung miteinander
verbunden, so daß die Eingangszelle 341 des ersten ASIC's 21
(22) mit dem Zustandsspeicher 343 des zweiten ASIC's 22 (21)
und umgekehrt verbunden sind. Die Vergleicher 342 der beiden
ASICs 21, 22 für die Feststellung auf Identität von Eingangs
zelle 341 und Zustandsspeicher 343 sind an den Schaltungsblock
7 für die Überwachung des Vergleichers 342 auf Fehlererkennung,
Watchdog und Notabschaltung angeschlossen. Dieser außerhalb der
ASICs 21, 22 liegende Schaltungsblock 7 stellt als Watchdog si
cher, daß innerhalb einer festgelegten Zeitdauer mindestens ein
Vergleich stattfindet.
Ein im Fehlerfall von den Vergleichereinheiten 342 geliefertes
Fehlersignal bewirkt ebenfalls durch den außerhalb der ASICs
21, 22 liegenden Schaltungsblock 7 einen Übergang in den siche
ren Zustand. Gleichzeitig wird dieser sichere Zustand auch an
den Ausgängen des ASIC's 21, 22 angenommen, falls dies trotz des
internen Fehlers noch möglich ist.
Mit 4 ist in Fig. 1 ein Taktgenerator bezeichnet, während
weiterhin eine Verknüpfungslogik 5 für die Zusammenführung der
beiden Kanäle (ASICs 21, 22) und Aktoren 6 bzw. aktiven Schalt
elemente am Ausgang der ASICs 21, 22 eingerichtet sind.
Der Aufbau und die Funktionsweise des durchgeführten Verglei
ches sind im Detail aus Fig. 2 am Beispiel der Ausgabeeinheit
zu entnehmen. Die Fig. 2 gilt für die Eingabeeinheit 31 und
die Verarbeitungseinheit 32 entsprechend. Die logischen Zustän
de der Überwachungspunkte in den einzelnen Funktionsblöcken
31, 32, 33 der ASICs 21, 22 werden zu diskreten Zeitpunkten abge
tastet und in den beschriebenen Zustandsspeichern 311, 312, 313;
321, 322, 323; 331, 332, 333 festgehalten. Solche Zustandsspeicher
können beispielsweise Flip-Flops sein. Die Zustandsspeicher
sind, wie vorstehend geschildert, zu einem Schieberegister ver
schaltet.
Die Ausgabeeinheit 33 besteht aus dem Schaltungsblock 334 mit
entsprechenden Überwachungspunkten 3341, 3342, 3343, dem Schal
tungsblock 335 zur Durchführung des Abtastvorganges und dem
Schaltungsblock 336 mit Zustandsspeichern für abgetastete In
formationen. Demzufolge wird also der Abtastvorgang durch den
Schaltungsblock 335 realisiert, der mit dem Schaltungsblock 35
kommuniziert wird. Der Inhalt der Zustandsspeicher kann unab
hängig von der weiteren Informationsverarbeitung im ASIC 21,
22 durch die Schieberegisterkette zum Eingang des Vergleichers
(Eingangszelle 343) transportiert werden. Der Vergleich findet
bitweise seriell durch eine Verknüpfungslogik (Vergleicher 342)
statt. Die vom zweiten ASIC 22 (21) gelieferte Information aus
dem Zustandsspeicher 341 wird dabei mit der eigenen Information
in der Eingangszelle 343 auf Identität verglichen. Wenn hierbei
Abweichungen festgestellt werden, so führt dies zum Abbruch des
Vergleichs und zu einer Störungsmeldung über den Schaltungs
block 7. Im Falle der Übereinstimmung wird der Vergleich im
nächsten Takt mit dem nächsten Element aus der Schieberegister
kette durchgeführt.
Um die erlaubten, kurzzeitigen Abweichungen von Daten und die
daraus resultierenden kurzzeitigen Abweichungen von Zwischen
ergebnissen tolerieren zu können, kann der Abtastvorgang oder
der Vergleich durch ein Signal von der Einheit 31, der Ver
arbeitungseinheit 32 oder der Ausgabeeinheit 33 an die Steue
rung 35 und Freigabe des Vergleiches einzelner Verarbeitungs
einheiten 31, 32, 33 verzögert werden. Diese Verzögerung dauert
so lange, bis sich die gelesene Eingangsinformation aus der
Sicht dieser Verarbeitungseinheit 31, 32, 33 stabilisiert hat. Es
sind nur jeweils kurze Verzögerungen der wechselseitigen Über
wachung erlaubt. Wenn innerhalb einer festgelegten Zeit ein
Vergleich nicht erfolgt, so resultiert dies in einer durch den
Watchdog 7 ausgelösten Störungsmeldung.
Die an den Ausgängen des ASIC's 21, 22 anliegenden Ausgangsdaten
werden zur Ansteuerung von Aktoren 6 bzw. aktiven Schaltelemen
ten verwendet. Hierzu ist ein weiterer, innerhalb oder außer
halb des ASIC's 21, 22 liegender Schaltungsblock 5 für die Zu
sammenführung der beiden Kanäle (ASICs 21, 22) erforderlich.
In einem praktischen Ausführungsbeispiel ist die erfindungsge
mäße zweikanalige Struktur in einem Frühwarnsystem im Bahnbe
trieb realisiert worden, die als sicherheitskritische Anwendung
gilt. Die beiden ASICs 21 und 22 überwachten sich gegenseitig,
wie bereits weiter oben beschrieben wurde. Durch die besondere
Ausführung des Schaltungsblocks 5, bei dem die Ausgänge des
ersten ASIC's 21 durch den zweiten ASIC 22 zurückgelesen und
gegen die interne Information geprüft wurden, wurde zusätzlich
eine Überwachung der Ausgänge und des Pinbereichs erreicht. In
dieser speziellen Anwendung wurde der zweite ASIC-Baustein
nicht als redundantes System zur Erhöhung der Verfügbarkeit
vorgesehen. Es bestand nämlich lediglich eine Redundanz bezüg
lich des Schaltens von Warnanzeigeeinrichtungen des besagten
Frühwarnsystems. Die ASICs 21 und 22 wurden in dieser Anwendung
als Hauptbaustein (ASIC 21) und Kontrollbaustein (ASIC 22)
eingesetzt. Die Konfiguration als Hauptbaustein und als Kon
trollbaustein erfolgte durch einen Konfigurationspin. Das Er
kennen eines Fehlers in einem der beiden Bausteine (ASICs 21,
22) führte regelmäßig zum Schalten in den sicheren Zustand.
Der ASIC 22 als Kontrollbaustein hat die Ausgangsdaten des
weiteren ASIC's 21 als Hauptbaustein mit den eigenen Ausgangs
daten verglichen. Auf diese Weise wurden auch alle gesendeten
seriellen Nachrichten verglichen.
Der Pin-Bereich ist bekanntermaßen ein Ausfallschwerpunkt bei
Integrierten Schaltungen. Nur durch die erfindungsgemäße Zwei-
Kanal-Lösung mit der speziellen Realisierung der Verknüpfungs
logik 5 konnten die Pins überwacht werden. Dadurch wurden Schä
digungen der Pin-Elektronik und auch Kontaktverluste zur Sy
stem- oder Hauptplatine bei einer Frühwarnanlage erkannt.
Die Überwachung im laufenden Betrieb erfolgte durch den zykli
schen Vergleich interner Werte der ASICs 21 und 22 (Hauptbau
stein und Kontrollbaustein). Dazu wurden die zu vergleichenden
Signalwerte in sogenannte Schattenregister kopiert, die den
Zustandsspeichern im Schieberegister 311, 312, 313; 321, 322, 323;
331, 332, 333 entsprechen. Die Inhalte der Schattenregister wur
den seriell zum jeweils anderen ASIC 21, 22 übertragen und dort
mit lokalen Werten verglichen. Etwaige Abweichungen zu vergli
chenen Werte führten sofort zur Auslösung einer Systemstörung.
In Fig. 3 ist schematisch in einem Blockschaltbild die Inte
gration eines Testcontrollers 8 in einem Integrierten Schalt
kreis (ASIC) 21, 22 dargestellt. Beispielhaft, weil üblicherwei
se ausreichend, ist der Testcontroller 8 nur in einem ASIC 21,
22 integriert, obwohl die Integration grundsätzlich auch in
jedem der beiden ASICs 21, 22 möglich ist. Die Implementierung
eines Testcontrollers 8 ist dann technisch sinnvoll, wenn hohe
Sicherheitsaufgaben zu erfüllen sind, wie dies beispielsweise
bei den schon früher erwähnten Frühwarnsystemen der Fall ist.
Der Testcontroller 8 bezieht seine Kriterien aus einem externen
Speicher 9, also von einem fremden Baustein. Unter diesen Kri
terien werden die bausteininternen Werte, beispielsweise die
physikalischen Eigenschaften, verstanden. Zu diesem Zweck sind
die Ausgänge des Testcontrollers 8 fair Adressen, Daten und
Steuerung zu dem sogenannten Testmusterspeicher 9 außerhalb des
Testcontrollers 8 geführt.
Der Testcontroller 8 liest den Inhalt des Testmusterspeichers 9
aus und steuert den (Einschalt)-Selbsttest des ASIC 21, 22, den
zyklischen Vergleich bausteininterner Werte (physikalische
Eigenschaften) während des Betriebes sowie den Systemtakt und
den Scantakt des Programms.
Der (Einschalt)-Selbsttest der ASICs 21, 22 ist eine wesentliche
Funktion vor allem bei einer sicherheitskritischen Anwendung
und bedeutet üblicherweise, daß der Testcontroller im ASIC das
eigene ASIC testet. Im Gegensatz dazu wird nun aber vorgeschla
gen, das Grundkonzept in der Weise weiterzuentwickeln, daß ein
externer Test des einen ASIC's 21 (22) durch den Testcontroller
8 des anderen ASIC's 22 (21) durchgeführt wird. Auf diese Weise
Weise kann der getestete ASIC 21 (22) in bezug auf die von den
Testvektoren abgedeckten Fehler komplett getestet werden. Der
Selbsttest findet in zwei wechselseitigen Phasen statt.
Nach dem Hochfahren steuert der Testcontroller 8 den zyklischen
Vergleich zwischen den ASICs 21, 22. Nach Abschluß des Selbst
tests wird die Kontrolle dann an einen Konfigurationsblock
übergeben. Wenn dieser den Abschluß der System-Konfiguration
und des Selbsttests meldet, wird der zyklische Vergleich der
internen Werte der beiden ASICs 21, 22 gestartet. Das System ist
jetzt betriebsbereit.
Die neben dem Selbsttest und einer Bausteineüberprüfung erfor
derliche, ständige Überwachung des ASICs 21, 22 als Haupt- und
Kontrollbaustein erfolgt in der Weise des geschilderten erfin
dungsgemäßen Verfahrens.
In der vorstehenden Beschreibung ist das Verfahren nur in der
Anwendung zur Überwachung von Integrierten Schaltkreisen, den
sogenannten ASICs (21, 22), dargestellt worden. Im Sinne der
Erfindung ist es aber ebenfalls möglich, das Verfahren zur
Überwachung von Microcontrollern einzusetzen. Das bedeutet, daß
dieses Verfahren mit den erfinderischen Merkmalen gemäß den
Patentansprüchen 1 bis 13 auch für Chips bzw. Microprozessoren
anwendbar ist, die irgendwelche Bearbeitungen durchführen. Auf
den Patentanspruch 1 gelesen wird mit dieser Anwendung
allgemein das Ziel verfolgt,daß zumindest zwei Microcontroller
mit identischem Aufbau parallel und zeitgleich an alle Eingänge
angeschlossen werden, wobei die Microcontroller streng synchron
miteinander arbeiten. Die zweikanalige Struktur, die aus den
Microcontrollern gebildet wird, führt einen Vergleich von
Zwischenergebnissen, Endergebnissen und Ausgangsdaten durch.
Der logische Zustand der zumindest zwei Microcontroller wird in
verschiedenen Überwachungspunkten überwacht.
Allgemein werden mit dieser Erfindung Zwei-Kanal-Systeme
beschrieben und geschützt, die für Integrierte Schaltkreise als
fest programmierte, kundenspezifische Schaltkreise und für
Microcontroller anwendbar sind. Ferner werden vom Schutzumfang
auch die bekannten Zwischenschritte von der Technologie der
Microcontroller über die einfach oder mehrfach beschreibbaren
Schaltkreise (FPGA), die nur teilweise fertig programmiert
sind, bis zu den Integrierten Schaltkreisen (ASICs) vom
Schutzumfang erfaßt. In der allgemeinen Form der Zwei-Kanal-Systeme
werden jeweils zwei Mechanismen beschrieben, die unter
Nutzung des mehrfach redundanten Verfahrens in ein
sicherheitskritisches System implementierbar sind, um die
Zuverlässigkeit zu erhöhen.
Claims (15)
1. Verfahren zur Überwachung von Integrierten Schaltkreisen
(ASICs), insbesondere von Integrierten Schaltkreisen in si
cherheitskritischen Anwendungen,
dadurch gekennzeichnet,
daß zumindest zwei Integrierte Schaltkreise (ASICs 21, 22) mit identischem Aufbau parallel und zeitgleich an alle Eingänge angeschlossen werden,
daß die zumindest zwei ASICs (21, 22) streng synchron zueinander arbeiten,
daß die aus den zumindest zwei ASICs (21, 22) gebildete zweika nalige Struktur einen Vergleich von Zwischenergebnissen, End ergebnissen und Ausgangsdaten durchführt, und
daß der logische Zustand der zumindest zwei ASICs (21, 22) in verschiedenen Überwachungspunkten überwacht wird.
daß zumindest zwei Integrierte Schaltkreise (ASICs 21, 22) mit identischem Aufbau parallel und zeitgleich an alle Eingänge angeschlossen werden,
daß die zumindest zwei ASICs (21, 22) streng synchron zueinander arbeiten,
daß die aus den zumindest zwei ASICs (21, 22) gebildete zweika nalige Struktur einen Vergleich von Zwischenergebnissen, End ergebnissen und Ausgangsdaten durchführt, und
daß der logische Zustand der zumindest zwei ASICs (21, 22) in verschiedenen Überwachungspunkten überwacht wird.
2. Verfahren nach Anspruch 1,
dadurch gekennzeichnet,
daß die Überwachungspunkte Zwischen- und Endergebnisse einer
Informationsverarbeitung, interne Schaltzustände in den ASICs
(21, 22) und/oder interne Signale zu diskreten Abtastzeitpunkten
sind.
3. Verfahren nach Anspruch 2,
dadurch gekennzeichnet,
daß die Zwischen- und Endergebnisse frei definierbar sind.
4. Verfahren nach Anspruch 1,
dadurch gekennzeichnet,
daß in zumindest einem ASIC (21, 22) ein vorzugsweise unabhän
giger Testcontroller (8) integriert ist, der den Selbsttest
eines ASIC's (21, 22) und den zyklischen Vergleich baustein
interner Werte in Verbindung mit einem externen Speicher (9)
steuert.
5. Verfahren nach einem der Ansprüche 1 bis 4,
dadurch gekennzeichnet,
daß in jedem der ASICs (21, 22) eine Einheit (31) für die Vor
verarbeitung und Aufbereitung von Eingangsdaten, eine Verarbei
tungseinheit (32), eine Ausgabeeinheit (33) und eine Verglei
chereinheit (34) vorgesehen ist, deren Zustandsspeicher (311,
312, 313; 321, 322, 323; 331, 332, 333) mit abgegriffenen Zustands
informationen aus den Einheiten (31, 32, 33, 34) in Reihe geschal
tet sind, wobei die Einheit (31), die Verarbeitungseinheit (32)
und die Ausgabeeinheit (33) jeweils mit einer Einheit (35) für
die Steuerung und Freigabe des Vergleichs in Wechselbeziehung
stehen, und daß die Ausgänge und die Eingänge der in jedem ASIC
(21, 22) integrierten Vergleichereinheit (34) in Überkreuz-Ver
bindung miteinander verbunden werden, so daß die Eingangszelle
(341) der ersten Vergleichereinheit (34) mit dem Zustandsspei
cher (343) der zweiten Vergleichereinheit (34) und umgekehrt
verbunden ist, während die Vergleicher (342) in den Verglei
chereinheiten (34) jeweils auf einen Schaltungsblock (7) für
die Überwachung auf Fehlererkennung, Watchdog und Notabschal
tung geschaltet sind.
6. Verfahren nach einem der Ansprüche 1 bis 5,
dadurch gekennzeichnet,
daß die Eingangsdaten (1) an den ASICs (21, 22) parallel und
zeitgleich anliegen, und daß die ASICs (21, 22) ausgangsseitig
ebenso wie der Schaltungsblock (7) an eine Verknüpfungslogik (5)
für die zumindest zwei Kanäle angeschlossen werden, die
ihrerseits ausgangsseitig mit Aktoren (6) bzw. mit aktiven
Schaltelementen verbunden ist, wobei die Verknüpfungslogik (5)
derart realisiert ist, daß die Ausgänge des einen Bausteins
durch den anderen Baustein zurückgelesen und geprüft werden.
7. Verfahren nach einem der vorgenannten Ansprüche,
dadurch gekennzeichnet,
daß die logischen Zustände der Überwachungspunkte in den ein
zelnen Funktionsblöcken zu diskreten Zeitpunkten abgetastet und
in Zustandsspeichern (311, 312, 313; 321, 322, 323; 331, 332, 333)
der Einheit (31), der Verarbeitungseinheit (32) und der Aus
gabeeinheit (33) festgehalten werden.
8. Verfahren nach einem der vorgenannten Ansprüche,
dadurch gekennzeichnet,
daß die Zustandsspeicher (311, 312, 313; 321, 322, 323; 331, 332,
333) zu einem Schieberegister verschaltet sind.
9. Verfahren nach einem der vorstehend genannten Ansprüche,
dadurch gekennzeichnet,
daß die Ausgabeeinheit (33) aus einem Schaltungsblock (334) mit
eingerichteten Überwachungspunkten, einem Schaltungsblock (335)
zur Durchführung des Abtastvorganges und einem Schaltungsblock
(336) mit Zustandsspeichern für abgetastete Informationen ge
bildet ist, und daß der Inhalt der Zustandsspeicher unabhängig
von einer weiteren Informationsverarbeitung durch die Schiebe
registerkette zum Eingang der Vergleichereinheit (34) transpor
tiert wird.
10. Verfahren nach Anspruch 9,
dadurch gekennzeichnet,
daß die Eingabeeinheit (31) und die Verarbeitungseinheit (32)
analog der Ausgabeeinheit (33) aufgebaut sind.
11. Verfahren nach einem der vorgenannten Ansprüche,
dadurch gekennzeichnet,
daß die ASICs (21, 22) einen zyklischen Vergleich der internen
Beobachtungspunkte durchführen.
12. Verfahren nach einem der vorgenannten Ansprüche,
dadurch gekennzeichnet,
daß zumindest ein interner Timer vorgesehen ist, der nach einer
von außen definierbaren Zeitspanne einen intermittierenden Be
trieb und damit einen zyklischen Einschalt-Selbsttest erzwingt.
13. Verfahren nach einem der vorgenannten Ansprüche,
dadurch gekennzeichnet,
daß durch die signaltechnisch sicher ausgelegte Watchdog-Schal
tung im Schaltungsblock (7) die Synchronisation der ASICs (21,
22) kontrolliert und im Falle einer festgestellten Abweichung
von der Synchronisation ein Alarm ausgelöst und das Gesamt
system in den sicheren Zustand überführt wird.
14. Anwendung des Verfahrens zur Überwachung von Integrierten
Schaltkreisen mit den Merkmalen nach einem oder mehreren der
vorhergehenden Ansprüche für Microcontroller oder einfach oder
mehrfach beschreibbare Schaltkreise, Chips oder dergleichen.
15. Anwendung des Verfahrens zur Überwachung von Integrierten
Schaltkreisen in sicherheitskritischen Anwendungen,
Einrichtungen, Gebieten und dergleichen mit den Merkmalen nach
einem oder mehreren der Ansprüche 1 bis 13 für Microcontroller.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE19805819A DE19805819B4 (de) | 1997-05-06 | 1998-02-13 | Verfahren zur Überwachung von integrierten Schaltkreisen |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE19719078 | 1997-05-06 | ||
DE19719078.2 | 1997-05-06 | ||
DE19805819A DE19805819B4 (de) | 1997-05-06 | 1998-02-13 | Verfahren zur Überwachung von integrierten Schaltkreisen |
Publications (2)
Publication Number | Publication Date |
---|---|
DE19805819A1 true DE19805819A1 (de) | 1998-11-19 |
DE19805819B4 DE19805819B4 (de) | 2006-11-23 |
Family
ID=7828759
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE19805819A Expired - Fee Related DE19805819B4 (de) | 1997-05-06 | 1998-02-13 | Verfahren zur Überwachung von integrierten Schaltkreisen |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE19805819B4 (de) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1178321A2 (de) * | 2000-08-03 | 2002-02-06 | Siemens Aktiengesellschaft | Verfahren zum Betreiben eines Logik- und Speicherelemente aufweisenden Bausteins |
EP1233516A2 (de) * | 2001-02-15 | 2002-08-21 | Siemens Schweiz AG | Logikschaltung, insbesondere für eisenbahntechnische Anlagen |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE3225455C2 (de) * | 1982-07-07 | 1986-07-17 | Siemens AG, 1000 Berlin und 8000 München | Verfahren zum sicheren Betrieb eines redundanten Steuersystems |
DE3633953A1 (de) * | 1986-10-06 | 1988-04-07 | Siemens Ag | Verfahren zum betrieb eines programmgesteuerten automatisierungsgeraets |
DE4134396C2 (de) * | 1990-10-30 | 1996-08-14 | Siemens Ag | Sicheres Automatisierungssystem |
DE4438039A1 (de) * | 1994-10-25 | 1996-05-02 | Leon Helma Christina | Elektronisches Schaltgerät für die Erfassung des Betätigungszustandes von taktilen Sensoren |
DE19520264C2 (de) * | 1995-06-02 | 1997-08-07 | Claus Friedrich | Meßeinrichtung zur Erfassung der Förderstärke eines Schüttgutstromes |
DE19529434B4 (de) * | 1995-08-10 | 2009-09-17 | Continental Teves Ag & Co. Ohg | Microprozessorsystem für sicherheitskritische Regelungen |
-
1998
- 1998-02-13 DE DE19805819A patent/DE19805819B4/de not_active Expired - Fee Related
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1178321A2 (de) * | 2000-08-03 | 2002-02-06 | Siemens Aktiengesellschaft | Verfahren zum Betreiben eines Logik- und Speicherelemente aufweisenden Bausteins |
EP1178321A3 (de) * | 2000-08-03 | 2004-01-02 | Siemens Aktiengesellschaft | Verfahren zum Betreiben eines Logik- und Speicherelemente aufweisenden Bausteins |
EP1233516A2 (de) * | 2001-02-15 | 2002-08-21 | Siemens Schweiz AG | Logikschaltung, insbesondere für eisenbahntechnische Anlagen |
EP1233516A3 (de) * | 2001-02-15 | 2004-03-31 | Siemens Schweiz AG | Logikschaltung, insbesondere für eisenbahntechnische Anlagen |
Also Published As
Publication number | Publication date |
---|---|
DE19805819B4 (de) | 2006-11-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP0186724B1 (de) | Prüf- und Diagnoseeinrichtung für Digitalrechner | |
DE2842750A1 (de) | Verfahren und anordnung zur pruefung von durch monolithisch integrierten halbleiterschaltungen dargestellten sequentiellen schaltungen | |
DE3702408C2 (de) | ||
DE2311034A1 (de) | Verfahren zum pruefen einer schaltungsanordnung | |
EP0073946A2 (de) | Verfahren und Anordnung zur Funktionsprüfung einer programmierbaren Logikanordnung | |
DE2258917A1 (de) | Kontrollvorrichtung | |
DE19536226C2 (de) | Testbare Schaltungsanordnung mit mehreren identischen Schaltungsblöcken | |
DE10035174A1 (de) | Peripheriebaustein mit hoher Fehlersicherheit für speicherprogrammierbare Steuerungen | |
DE3024370A1 (de) | Redundantes steuersystem | |
EP3110061A1 (de) | Verteiltes echtzeitcomputersystem sowie verfahren zur erzwingung des fail-silent-verhaltens eines verteilten echtzeitcomputersystems | |
DE3838940A1 (de) | Schaltung mit testfunktionsschaltung | |
DE4211701A1 (de) | Verfahren und Vorrichtung zur Phasenmessung | |
CH618029A5 (de) | ||
EP1025501B1 (de) | Verfahren und vorrichtung zur überprüfung einer fehlerüberwachung einer schaltung | |
DE19805819A1 (de) | Verfahren zur Überwachung von integrierten Schaltkreisen | |
DE102004051130A1 (de) | Verfahren und Automatisierungssystem zum Bedienen und/oder Beobachten mindestens eines Feldgerätes | |
EP0404992B1 (de) | Verfahren zum hochverfügbaren Betrieb von redundanten Datenverarbeitungsanlagen | |
EP1178321B1 (de) | Verfahren zum Betreiben eines Logik- und Speicherelemente aufweisenden Bausteins | |
DE3838939A1 (de) | Schaltung mit testfunktionsschaltung | |
WO2020239437A1 (de) | Anlagenkomponente, sicherheitsrelevante anlage und betriebsverfahren | |
EP3739479A1 (de) | Verfahren zur fehlersuche in der programmlogik eines systems verteilter programmierbarer gatteranordnungen | |
DE2365092C3 (de) | Elektronische Schaltung zur Frequenz- und Phasenüberwachung von Taktimpulsen | |
DE4418653C2 (de) | Vorrichtung zum Auswählen eines von wenigstens zwei Taktsignalen in redundanten Einrichtungen eines Kommunikationssystems | |
EP0012794B1 (de) | Verfahren und Einrichtung für eine elektronische Datenverarbeitungsanlage zur Prüfung der aus einer Instruktion abgeleiteten Steuersignale | |
DE1566782B1 (de) | Verfahren zum Pruefen von impulsbetriebenen Schaltungen und Schaltungsanordnung zu seiner Durchfuehrung |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8364 | No opposition during term of opposition | ||
8339 | Ceased/non-payment of the annual fee |