DE19805819B4 - Verfahren zur Überwachung von integrierten Schaltkreisen - Google Patents

Verfahren zur Überwachung von integrierten Schaltkreisen Download PDF

Info

Publication number
DE19805819B4
DE19805819B4 DE19805819A DE19805819A DE19805819B4 DE 19805819 B4 DE19805819 B4 DE 19805819B4 DE 19805819 A DE19805819 A DE 19805819A DE 19805819 A DE19805819 A DE 19805819A DE 19805819 B4 DE19805819 B4 DE 19805819B4
Authority
DE
Germany
Prior art keywords
asics
unit
asic
input
comparison
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE19805819A
Other languages
English (en)
Other versions
DE19805819A1 (de
Inventor
Claus Kuntzsch
Frank Mayer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ee-Signals & Co KG GmbH
EE Signals GmbH and Co KG
Original Assignee
Ee-Signals & Co KG GmbH
EE Signals GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ee-Signals & Co KG GmbH, EE Signals GmbH and Co KG filed Critical Ee-Signals & Co KG GmbH
Priority to DE19805819A priority Critical patent/DE19805819B4/de
Publication of DE19805819A1 publication Critical patent/DE19805819A1/de
Application granted granted Critical
Publication of DE19805819B4 publication Critical patent/DE19805819B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems

Abstract

Verfahren zur Überwachung von anwendungsspezifischen integrierten Schaltkreisen (nachfolgend ASICs), insbesondere von ASICs in sicherheitskritischen Anwendungen, wobei
– zumindest zwei ASICs (21, 22) mit identischem Aufbau parallel und zeitgleich mit den gleichen Eingangsdaten (1) beaufschlagt werden,
– die zumindest zwei ASICs (21, 22) streng synchron zueinander arbeiten,
– eine aus den zumindest zwei ASICs (21, 22) gebildete zwei- oder mehrkanaligen Struktur einen Vergleich von Zwischenergebnissen, Endergebnissen und Ausgangsdaten durchführt, und
– der logische Zustand der zumindest zwei ASICs (21, 22) in verschiedenen Überwachungspunkten überwacht wird, und
– wobei in jedem der ASICs (21, 22) eine Eingabeeinheit (31) für die Vorverarbeitung und Aufbereitung von Eingangsdaten, eine Verarbeitungseinheit (32), eine Ausgabeeinheit (33) und eine Vergleichereinheit (34) vorgesehen ist, deren Zustandsspeicher (311, 312, 313; 321, 322, 323; 331, 332, 333) mit abgegriffenen Zustandsinformationen aus den Einheiten (31, 32, 33, 34) in Reihe geschaltet sind, wobei die Eingabeeinheit (31), die...

Description

  • Die Erfindung betrifft ein Verfahren zur Überwachung von Integrierten Schaltkreisen, insbesondere von Integrierten Schaltkreisen in sicherheitskritischen Anwendungen.
  • Elektrische und elektronische Steuerschaltungen werden häufig zur Steuerung, Regelung und Überwachung von technischen Prozessen eingesetzt. So gibt es eine Vielzahl von Anwendungen, bei denen das von einem technischen Prozess oder Verfahren aus gehende Risiko beim Versagen oder bei Fehlern innerhalb einer solchen Steuerschaltung weit über dem allgemein vertretbaren Grenzrisiko liegt. Hier ist als ein typisches Beispiel der Einsatz von Systemen bzw. komplexen Verfahrensabläufen in solchen Bereichen zu nennen, bei denen eine Gefährdung von Menschen und Sachwerten, beispielsweise im Kraftwerksbereich, in der Land- und Forstwirtschaft, im Bergbau, in der Verfahrens-, Verkehrs- oder in der Medizintechnik, gegeben ist. In diesen Bereichen werden prinzipiell fehlerlos ablaufende Arbeitsprozesse und fehlerlos arbeitende elektrische und elektronische Steuerschaltungen gefordert.
  • Das latent vorhandene Gefährdungspotential muss in den geschilderten Fällen auf ein vertretbares Maß reduziert werden, was unter anderem auch durch technische Maßnahmen und Vorkehrungen in den eingesetzten Steuerschaltungen geschieht. Es sind insbesondere Mechanismen zur Fehlererkennung und zur Fehlervermeidung sowie zur Selbst- und zur wechselseitigen Überwachung innerhalb der eingesetzten Schaltkreise (Hardware) und Programme (Software) erforderlich.
  • In den einschlägigen Normen, beispielsweise DIN V VDE 0801, IEC 65A oder ICE 1308, werden für die vorstehend genannten sicherheitskritischen Anwendungen von elektrischen, elektronischen und programmierbar elektronischen Systemen verschiedene ein- oder mehrkanalige, diversitäre und/oder redundante Schaltungsstrukturen offenbart, mit denen die geforderte Erkennung und Vermeidung von Fehlern innerhalb einer Schaltung möglich wird. Eine Erkennung von auftretenden Fehlern ist nach diesen Normen zum Beispiel durch einen Vergleich der Ergebnisse mehrfach in identischer Weise ausgeführter Schaltungsteile möglich. In ähnlicher Weise können auftretende Fehler in Schaltungen aber auch durch eine Mehrheitsentscheidung, wie beispielsweise "2-aus-3-Auswahl", toleriert werden.
  • Bei dem aus der Praxis bekannten Stand der Technik werden heute Steuerungen für sicherheitskritische Anwendungen in der Regel durch den Einsatz von programmierbaren Verarbeitungseinheiten, wie Mikrocontroller oder Mikrorechner, realisiert. Dabei besteht ein typischer Ansatz in der Parallelschaltung zweier solcher unabhängiger (Rechner)Einheiten. Beide Einheiten verarbeiten identische Eingangsdaten und sind so synchronisiert, dass die auf diesen Daten ausgeführten Operationen quasi zeitgleich stattfinden. Damit wird ein gegenseitiger Vergleich von Zwischenergebnissen und Ausgangsgrößen möglich. Gleichzeitig kann damit auch indirekt der identische Programmablauf in den beiden (Rechner)Einheiten überwacht werden. Die von den unabhängigen Einheiten gelieferten Ausgangsgrößen werden dann in einem weiteren Schaltungsblock derart verknüpft, dass bei auftretenden und festgestellten Unstimmigkeiten zwischen den gelieferten Daten automatisch ein sicherer Zustand des technischen Prozesses eingenommen bzw. aufrechterhalten wird.
  • Die vorstehend geschilderten bekannten Mikrocontroller bzw. Mikrorechner weisen jedoch gegenüber dem Einsatz von ASICs in sicherheitskritischen Anwendungen eine Reihe von Nachteilen auf.
  • Ein herkömmlicher Mikrocontroller kann wegen der testweisen Abarbeitung von Befehlssequenzen und der besonderen Auswertung der Ergebnisse nur indirekt und unvollständig geprüft werden. Ein Strukturtest dagegen ist nicht möglich. Ferner setzt die Fehlererkennung und die Fehlerbehandlung, nämlich in Software ausgeführte Prüfroutinen und Plausibilitätstests, nicht gestörte Grundfunktionen des Mikrocontrollers bzw. Mikrorechners voraus, was nicht in jedem Fall zutrifft.
  • Die schrittweise Programmabarbeitung durch einen Mikrorechner erlaubt außerdem keine parallele Verarbeitung von Informationen. Deshalb können kritische Prozesszustände damit nicht sofort erkannt werden. Der Vergleich in einer mehrkanaligen Struktur kann nur im Wechsel mit der Verarbeitung erfolgen, was aber zu einer Erhöhung der Fehleroffenbarungszeit führt.
  • Bei dem Einsatz von ASICs ergeben sich nun zwar grundsätzliche Vorteile. Jedoch weist auch hier der Stand der Technik Nachteile auf. Der Vergleich in einer mehrkanaligen Struktur bezieht sich nämlich nur auf die Ausgangsdaten (beispielsweise Mehrheitsentscheidung), und es findet kein Vergleich interner Zustände statt. Dies verhindert die Entdeckung von verdeckten Fehlern, die sich (zunächst) nicht an den Ausgängen bemerkbar machen.
  • Der Einsatz von anwendungsspezifischen Integrierten Schaltkreisen (ASICs) in sicherheitskritischen Systemen zählt ebenfalls bereits zum bekannten Stand der Technik. Da das Verhalten und die Funktionalität eines ASIC's bei Entwurf und Produktion festgelegt wird, sind nachträgliche Änderungen an dieser Funktionalität und im Gegensatz zu einer auf Software basierenden Lösung jedoch nicht möglich. Dies schränkt zwar die Flexibilität ein, verhindert aber gleichzeitig eine Reihe von Fehlersituationen, die durch unsachgemäße Wartung oder durch Eingriffe des Benutzers in die Software entstehen können.
  • Aus "W. Glauert: Ultra-Large Scale Integration of a Control Unit for Safety-Critical Systems", Reutlingen, 1994, (Abschluss- bericht des Forschungsvorhabens 01 M 2882 A/6 JESSI AE11 Projekt), sind Untersuchungen bekannt geworden, mit denen das Ziel verfolgt wurde, die Zuverlässigkeit sowie die Auswirkungen von Fehlern in einkanaligen ASIC-Strukturen derart zu verändern, dass ein Einsatz nur eines derart angepassten ASIC's ohne weitere periphere oder strukturelle Maßnahmen in sicherheitskritischen Anwendungen möglich wird.
  • Aus "Formal Verification and Synthesis of On-Line Self-Test" von R. Tully, A. Hunter, R. Zimmer u. a. sind aus identischen ASICs gebildete Strukturen mit mindestens drei Kanälen und Mehrheitsentscheider ebenfalls schon bekannt. Diese Strukturen werden besonders dann eingesetzt, wenn zusätzlich zur Sicherheit auch eine hohe Verfügbarkeit des Gesamtsystems gefordert wird.
  • Aus der DE 195 29 443 A1 ist ein Verfahren zur Überwachung von Rechnerkernen eines Mikroprozessorsystems in sicherheitskritischen Anwendungen bekannt. Die beiden Rechnerkerne sind identisch und werden synchron zueinander betrieben. Beide Rechnerkerne arbeiten das gleiche Programm ab und sind auch ansonsten identisch ausgebildet. Die beiden Rechnerkerne sind über entsprechende Treiberstufen an zwei Bussysteme angeschlossen und können über diese miteinander kommunizieren.
  • Bei dem aus dieser Druckschrift bekannten Verfahren werden lediglich die Rechnerkerne (Mikroprozessoren) eines Mikroprozessorsystems und nicht anwendungsspezifische integrierte Schaltreise (ASICs) überwacht. Das bedeutet also, dass bei der Druckschrift auf jedem Rechnerkern zum einen ein Applikations-Programm und zum anderen ein Programm zum Überwachen der Funktion des Rechnerkerns abläuft. Das Applikations-Programm und das Überwachungsprogramm sind als zwei separate Komponenten ausgebildet, die beide auf dem zu überwachenden Rechnerkern ablaufen. Aufgrund dieser Konstellation kann das Überwachungsprogramm nicht überprüfen, ob der Rechnerkern während der Abarbeitung des Applikations-Programms Fehler erzeugt oder nicht. Das Überwachungsprogramm kennt zwar die Struktur des zu überwachenden Rechnerkern, nicht jedoch das Anwendungsprogramm und die entsprechende Reaktion des Rechnerkerns darauf. Eine Überwachung dahingehend, ob der Rechnerkern infolge der Abarbeitung des Anwendungsprogramms die richtigen Zustände einnimmt, ist somit nicht möglich. Außerdem können über die Bussysteme in den Rechnerkernen Daten lediglich seriell übertragen werden, wodurch sich im Rahmen der Überwachung der Rechnerkerne eine relativ lange Verarbeitungszeit ergibt.
    •
  • Ausgehend von dem vorgenannten Stand der Technik ist es Aufgabe der Erfindung, ein Verfahren zur Überwachung von Integrierten Schaltkreisen der eingangs genannten Art zu schaffen, das eine sichere und zuverlässige Überwachung von integrierten Schaltkreisen mit geringem technischen Aufwand erlaubt.
  • Erfindungsgemäß wird diese Aufgabe durch die Merkmale des Patentanspruchs 1 gelöst. Vorteilhafte Weiterbildungen und Ausge staltungen sind in den Unteransprüchen beschrieben.
  • Zwei- oder mehrkanalige Strukturen aus ASICs, und insbesondere ein in einer solchen Struktur benötigtes, effizientes und kostenminimales Verfahren zum Vergleich von Endergebnissen oder Zwischenergebnissen und Ausgangsdaten sind aus dem geschilderten Stand der Technik nicht bekannt. Das erfindungsgemäße Verfahren erlaubt die Überwachung von ASICs in einer vorzugsweise zweikanaligen Struktur, wobei der logische Zustand in verschiedenen Überwachungspunkten überwacht werden kann. Solche Überwachungspunkte können beispielsweise sein: die Zwischen- und Endergebnisse der Informationsverabeitung, interne Schaltzustände und interne Signale zu diskreten Abtastzeitpunkten.
  • Das für den Vergleich der Zustände in den Überwachungspunkten eingesetzte Verfahren kann mit geringem technischen Aufwand implementiert werden und ermöglicht den Vergleich einer großen Anzahl von Überwachungspunkten pro Zeiteinheit.
  • Außerdem erlauben ASICs eine hochgradige, parallele Verarbeitung von Informationen. Kritische Prozeßzustände können deshalb weitaus schneller erkannt werden als dies beim Einsatz von Mikrocontrollern der Fall ist. Ferner kann der Vergleich in einer mehrkanaligen Struktur nebenläufig zur eigentlichen Verarbeitung erfolgen, was zu kürzeren Fehleroffenbarungszeiten führt. Schließlich kann der Systembetrieb durch die Überwachung nicht gestört werden.
  • Zusätzlich zu diesen grundsätzlichen Vorteilen beim Einsatz von ASICs werden durch das erfindungsgemäße paarweise Überwachen der ASICs noch die weiteren Vorteile erzielt, daß eine einfache Realisierung vorzugsweise zweikanaliger Strukturen und ein Vergleich der logischen Zustände in einer großen Anzahl von Überwachungspunkten möglich ist. Hinzu kommt noch die höhere Wahrscheinlichkeit der Fehlererkennung einschließlich der Erkennung verdeckter Fehler, was zu einer kürzeren Fehleroffenbarungszeit führt.
  • In einer praktischen Anwendung der erfinderischen Lösung hat sich als vorteilhaft erwiesen, daß der ASIC eine Überwachung nahezu aller internen Verbindungen und Schaltungsstrukturen durchführen kann und dadurch einen wesentlich höheren Fehlerabdekungsgrad ermöglicht als dies bei Mikrocontrollern und Mikrorechnern möglich ist. Damit eignet sich das erfindungsgemäße Verfahren auch für Selbsttests und Strukturtests in sicherheitskritischen Anwendungen.
  • In der Zeichnung ist ein Beispiel der Erfindung dargestellt. Darin zeigen:
  • 1 das Verfahren zur Überwachung von Integrierten Schaltkreisen in einem Blockschaltbild;
  • 2 die Funktionsblöcke nach dem Blockschaltbild von 1 in detaillierterer Darstellung, und
  • 3 ein Blockschaltbild eines in einem ASIC integrierten Test-Controllers.
    •
  • In dem Blockschaltbild nach der 1 sind zwei Integrierte Schaltkreise 21, 22 (ABICs) parallel nebeneinander und mit identischem Aufbau dargestellt. Statt der zwei gezeigten Integrierten Schaltkreise 21, 22 sind auch mehrere solcher identischen Schaltkreise möglich. Die prinzipielle Betrachtungsweise ändert sich dadurch nicht.
  • Die Eingangsdaten 1 aus dem zu überwachenden technischen Prozeß liegen parallel und zeitgleich an den beiden ASICs 21, 22 an. Die beiden ASICs 21, 22 arbeiten streng synchron. Dennoch sind kurzzeitige Abweichungen in den Eingangsdaten erlaubt, die bei spielsweise durch asynchrone Signale entstehen können, die erst im ASIC einsynchronisiert werden.
  • Wie 1 offenbart und weiter unten näher beschrieben ist, wird also eine Überwachung von ASICs 21, 22 in einer hier zweikanaligen Struktur mit Vergleich eingesetzt. Die beiden ASICs 21 und 22 überwachen sich gegenseitig.
  • Die beiden ASICs 21, 22 weisen jeweils eine Einheit 31 für die Vorverarbeitung und Aufbereitung der Eingangsgrößen auf. Dazu sind in den beiden ASICs 21, 22 je eine Verarbeitungseinheit 32 und eine Ausgabeeinheit 33 integriert. Ferner besitzt jedes ASIC 21, 22 noch eine Vergleichereinheit 34 und eine Einheit 35 für die Steuerung und Freigabe des Vergleiches.
  • In der Einheit 31 für die Vorverarbeitung und Aufbereitung der Eingangsgrößen sind in Reihe Zustandsspeicher 311, 312, 313 mit sicherheitsrelevanten Eingangsgrößen vorgesehen. Diese Zustandsspeicher 311, 312, 313 sind ihrerseits wiederum in Reihe mit den Zustandsspeichern 321, 322, 323 der Verarbeitungseinheit 32 mit den sicherheitsrelevanten Zwischenergebnissen angeordnet. Schließlich befinden sich die Zustandsspeicher 321, 322, 323 ihrerseits in Reihe mit den weiteren Zustandsspeichern 331, 332, 333 der Ausgabeeinheit 33 mit den sicherheitsrelevanten Ausgangsgrößen und Endergebnissen. Gleichzeitig stehen die Einheiten 31, 32, 33 in wechselseitiger Verbindung mit der Einheit 35 für die Steuerung und Freigabe des Vergleichs.
  • In Reihe mit den Einheiten 31, 32, 33 befindet sich die Vergleichereinheit 34, die eine Eingangszelle 341 mit dem aktuellen Zustand aus dem zweiten ASIC, einen Vergleicher 342 für die Feststellung der Identität der Eingangszelle 341 und des Zustandsspeichers 343 und schließlich der Zustandsspeicher 343, der ein aktuelles Element zum Vergleich darstellt. Die Ausgänge und die Eingänge der Vergleichereinheit 34 der beiden ASICs 21, 22 sind jeweils in einer Überkreuz-Verbindung miteinander verbunden, so daß die Eingangszelle 341 des ersten ASIC's 21(22) mit dem Zustandsspeicher 343 des zweiten ASIC's 22(21) und umgekehrt verbunden sind. Die Vergeicher 342 der beiden ASICs 21, 22 für die Feststellung auf Identität von Eingangszelle 341 und Zustandsspeicher 343 sind an den Schaltungsblock 7 für die Überwachung des Vergleichers 342 auf Fehlererkennung, Watchdog und Notabschaltung angeschlossen. Dieser außerhalb der ASICs 21, 22 liegende Schaltungsblock 7 stellt als Watchdog sicher, daß innerhalb einer festgelegten Zeitdauer mindestens ein Vergleich stattfindet.
  • Ein im Fehlerfall von den Vergleichereinheiten 342 geliefertes Fehlersignal bewirkt ebenfalls durch den außerhalb der ASICs 21, 22 liegenden Schaltungsblock 7 einen Übergang in den sicheren Zustand. Gleichzeitig wird dieser sichere Zustand auch an den Ausgängen des ASIC's 21, 22 angenommen, falls dies trotz des internen Fehlers noch möglich ist.
  • Mit 4 ist in 1 ein Taktgenerator bezeichnet, während weiterhin eine Verknüpfungslogik 5 für die Zusammenführung der beiden Kanäle (ASICs 21, 22) und Aktoren 6 bzw. aktiven Schaltelemente am Ausgang der ASICs 21, 22 eingerichtet sind.
  • Der Aufbau und die Funktionsweise des durchgeführten Vergleiches sind im Detail aus 2 am Beispiel der Ausgabeeinheit zu entnehmen. Die 2 gilt für die Eingabeeinheit 31 und die Verarbeitungseinheit 32 entsprechend. Die logischen Zustände der Überwachungspunkte in den einzelnen Funktionsblöcken 31, 32, 33 der ASICs 21, 22 werden zu diskreten Zeitpunkten abgetastet und in den beschriebenen Zustandsspeichern 311, 312, 313; 321, 322, 323; 331, 332, 333 festgehalten. Solche Zustandsspeicher können beispielsweise Flip-Flops sein. Die Zustandsspeicher sind, wie vorstehend geschildert, zu einem Schieberegister verschaltet.
  • Die Ausgabeeinheit 33 besteht aus dem Schaltungsblock 334 mit entsprechenden Überwachungspunkten 3341, 3342, 3343, dem Schaltungsblock 335 zur Durchführung des Abtastvorganges und dem Schaltungsblock 336 mit Zustandsspeichern für abgetastete Informationen. Demzufolge wird also der Abtastvorgang durch den Schaltungsblock 335 realisiert, der mit dem Schaltungsblock 35 kommuniziert wird. Der Inhalt der Zustandsspeicher kann unabhängig von der weiteren Informationsverarbeitung im ASIC 21, 22 durch die Schieberegisterkette zum Eingang des Vergleichers (Eingangszelle 343) transportiert werden. Der Vergleich findet bitweise seriell durch eine Verknüpfungslogik (Vergleicher 342) statt. Die vom zweiten ASIC 22(21) gelieferte Information aus dem Zustandsspeicher 341 wird dabei mit der eigenen Information in der Eingangszelle 343 auf Identität verglichen. Wenn hierbei Abweichungen festgestellt werden, so führt dies zum Abbruch des Vergleichs und zu einer Störungsmeldung über den Schaltungsblock 7, Im Falle der Übereinstimmung wird der Vergleich im nächsten Takt mit dem nächsten Element aus der Schieberegisterkette durchgeführt.
  • Um die erlaubten, kurzzeitigen Abweichungen von Daten und die daraus resultierenden kurzzeitigen Abweichungen von Zwischenergebnissen tolerieren zu können, kann der Abtastvorgang oder der Vergleich durch ein Signal von der Einheit 31, der Verarbeitungseinheit 32 oder der Ausgabeeinheit 33 an die Steuerung 35 und Freigabe des Vergleiches einzelner Verarbeitungseinheiten 31, 32, 33 verzögert werden. Diese Verzögerung dauert so lange, bis sich die gelesene Eingangsinformation aus der Sicht dieser Verarbeitungseinheit 31, 32, 33 stabilisiert hat. Es sind nur jeweils kurze Verzögerungen der wechselseitigen Überwachung erlaubt. Wenn innerhalb einer festgelegten Zeit ein Vergleich nicht erfolgt, so resultiert dies in einer durch den Watchdog 7 ausgelösten Störungsmeldung.
  • Die an den Ausgängen des ASIC's 21, 22 anliegenden Ausgangsdaten werden zur Ansteuerung von Aktoren 6 bzw. aktiven Schaltelementen verwendet. Hierzu ist ein weiterer, innerhalb oder außerhalb des ASIC's 21, 22 liegender Schaltungsblock 5 für die Zusammenführung der beiden Kanäle (ASICs 21, 22) erforderlich.
  • In einem praktischen Ausführungsbeispiel ist die erfindungsgemäße zweikanalige Struktur in einem Frühwarnsystem im Bahnbetrieb realisiert worden, die als sicherheitskritische Anwendung gilt. Die beiden ASICs 21 und 22 überwachten sich gegenseitig, wie bereits weiter oben beschrieben wurde. Durch die besondere Ausführung des Schaltungsblocks 5, bei dem die Ausgänge des ersten ASIC's 21 durch den zweiten ASIC 22 zurückgelesen und gegen die interne Information geprüft wurden, wurde zusätzlich eine Überwachung der Ausgänge und des Pinbereichs erreicht. In dieser speziellen Anwendung wurde der zweite ASIC-Baustein nicht als redundantes System zur Erhöhung der Verfügbarkeit vorgesehen. Es bestand nämlich lediglich eine Redundanz bezüglich des Schaltens von Warnanzeigeeinrichtungen des besagten Frühwarnsystems. Die ASICs 21 und 22 wurden in dieser Anwendung als Hauptbaustein (ASIC 21) und Kontrollbaustein (ASIC 22) eingesetzt. Die Konfiguration als Hauptbaustein und als Kontrollbaustein erfolgte durch einen Konfigurationspin. Das Erkennen eines Fehlers in einem der beiden Bausteine (ASICs 21, 22) führte regelmäßig zum Schalten in den sicheren Zustand.
  • Der ASIC 22 als Kontrollbaustein hat die Ausgangsdaten des weiteren ASIC's 21 als Hauptbaustein mit den eigenen Ausgangsdaten verglichen. Auf diese Weise wurden auch alle gesendeten seriellen Nachrichten verglichen.
  • Der Pin-Bereich ist bekanntermaßen ein Ausfallschwerpunkt bei Integrierten Schaltungen. Nur durch die erfindungsgemäße Zwei-Kanal-Lösung mit der speziellen Realisierung der Verknüpfungslogik 5 konnten die Pins überwacht werden. Dadurch wurden Schä digungen der Pin-Elektronik und auch Kontaktverluste zur System- oder Hauptplatine bei einer Frühwarnanlage erkannt.
  • Die Überwachung im laufenden Betrieb erfolgte durch den zyklischen Vergleich interner Werte der ASICs 21 und 22 (Hauptbaustein und Kontrollbaustein). Dazu wurden die zu vergleichenden Signalwerte in sugenannte Schattenregister kopiert, die den Zustandsspeichern im Schieberegister 311, 312, 313; 321, 322, 323; 331, 332, 333 entsprechen. Die Inhalte der Schattenregister wurden seriell zum jeweils anderen ASIC 21, 22 übertragen und dort mit lokalen Werten verglichen. Etwaige Abweichungen zu verglichenen Werte führten sofort zur Auslösung einer Systemstörung.
  • In 3 ist schematisch in einem Blockschaltbild die Integration eines Testcontrollers 8 in einem Integrierten Schaltkreis (ASIC) 21, 22 dargestellt. Beispielhaft, weil üblicherweise ausreichend, ist der Testcontroller 8 nur in einem ASIC 21, 22 integriert, obwohl die Integration grundsätzlich auch in jedem der beiden ASICs 21, 22 möglich ist. Die Implementierung eines Testcontrollers 8 ist dann technisch sinvoll, wenn hohe Sicherheitsaufgaben zu erfüllen sind, wie dies beispielsweise bei den schon früher erwähnten Frühwarnsystemen der Fall ist. Der Testcontroller 8 bezieht seine Kriterien aus einem externen Speicher 9, also von einem fremden Baustein. Unter diesen Kriterien werden die bausteininternen Werte, beispielsweise die physikalischen Eigenschaften, verstanden. Zu diesem Zweck sind die Ausgänge des Testcontrollers 8 für Adressen, Daten und Steuerung zu dem sogenannten Testmusterspeicher 9 außerhalb des Testcontrollers 8 geführt.
  • Der Testcnntroller 8 liest den Inhalt des Testmusterspeichers 9 aus und steuert den (Einschalt) -Selbsttest des ASIC 21, 22, den zyklischen Vergleich bausteininterner Werte (physikalische Eigenschaften) während des Betriebes sowie den Systemtakt und den Scantakt des Programms.
  • Der (Einschalt)-Selbsttest der ASICs 21, 22 ist eine wesentliche Funktion vor allem bei einer sicherheitskritischen Anwendung und bedeutet üblicherweise, daß der Testcontroller im ASIC das eigene ASIC testet. Im Gegensatz dazu wird nunaber vorgeschlagen, das Grundkonzept in der Weise weiterzuentwickeln, daß ein externer Test des einen ASIC's 21(22) durch den Testcontroller 8 des anderen ASIC's 22(21) durchgeführt wird. Auf diese Weise Weise kann der getestete ASIC 21(22) in bezug auf die von den Testvektoren abgedeckten Fehler komplett getestet werden. Der Selbsttest findet in zwei wechselseitigen Phasen statt.
  • Nach dem Hochfahren steuert der Testcontroller 8 den zyklischen Vergleich zwischen den ASICs 21, 22. Nach Abschluß des Selbsttests wird die Kontrolle dann an einen Konfigurationsblock übergeben. Wenn dieser den Abschluß der System-Konfiguration und des Selbsttests meldet, wird der zyklische Vergleich der internen Werte der beiden ASICs 21, 22 gestartet. Das System ist jetzt betriebsbereit.
  • Die neben dem Selbsttest und einer Bausteineüberprüfung erforderliche, ständige Überwachung des ASICs 21, 22 als Haupt- und Kontrollbaustein erfolgt in der Weise des geschilderten erfingungsgemäßen Verfahrens.
  • In der vorstehenden Beschreibung ist das Verfahren nur in der Anwendung zur Überwachung von Integrierten Schaltkreisen, den sogenannten ASICs (21, 22), dargestellt worden. Im Sinne der Erfindung ist es aber ebenfalls möglich, das Verfahren zur Überwachung von Microcontrollern einzusetzen. Das bedeutet, daß dieses Verfahren mit den erfinderischen Merkmalen gemäß den Patentansprüchen 1 bis 13 auch für Chips bzw. Microprozessoren anwendbar ist, die irgendwelche Bearbeitungen durchführen. Auf den Patentanspruch 1 gelesen wird mit dieser Anwendung allgemein das Ziel verfolgt, daß zumindest zwei Microcontroller mit identischem Aufbau parallel und zeitgleich an alle Eingänge angeschlossen werden, wobei die Microcontroller streng synchron miteinander arbeiten. Die zweikanalige Struktur, die aus den Microcontrollern gebildet wird, führt einen Vergleich von Zwischenergebnissen, Endergebnissen und Ausgangsdaten durch. Der logische Zustand der zumindest zwei Microcontroller wird in verschiedenen Überwachungspunkten überwacht.
  • Allgemein werden mit dieser Erfindung Zwei-Kanal-Systeme beschrieben und geschützt, die für Integrierte Schaltkreise als fest programmierte, kundenspezifische Schaltkreise und für Microcontroller anwendbar sind. Ferner werden vom Schutzumfang auch die bekannten Zwischenschritte von der Technologie der Microcontroller über die einfach oder mehrfach beschreibbaren Schaltkreise (FPGA), die nur teilweise fertig programmiert sind, bis zu den Integrierten Schaltkreisen (ASICs) vom Schutzumfang erfasst. In der allgemeinen Form der Zwei-Kanal-Systeme werden jeweils zwei Mechanismen beschrieben, die unter Nutzung des mehrfach redundanten Verfahrens in ein sicherheitskritisches System implementierbar sind, um die Zuverlässigkeit zu erhöhen.

Claims (12)

  1. Verfahren zur Überwachung von anwendungsspezifischen integrierten Schaltkreisen (nachfolgend ASICs), insbesondere von ASICs in sicherheitskritischen Anwendungen, wobei – zumindest zwei ASICs (21, 22) mit identischem Aufbau parallel und zeitgleich mit den gleichen Eingangsdaten (1) beaufschlagt werden, – die zumindest zwei ASICs (21, 22) streng synchron zueinander arbeiten, – eine aus den zumindest zwei ASICs (21, 22) gebildete zwei- oder mehrkanaligen Struktur einen Vergleich von Zwischenergebnissen, Endergebnissen und Ausgangsdaten durchführt, und – der logische Zustand der zumindest zwei ASICs (21, 22) in verschiedenen Überwachungspunkten überwacht wird, und – wobei in jedem der ASICs (21, 22) eine Eingabeeinheit (31) für die Vorverarbeitung und Aufbereitung von Eingangsdaten, eine Verarbeitungseinheit (32), eine Ausgabeeinheit (33) und eine Vergleichereinheit (34) vorgesehen ist, deren Zustandsspeicher (311, 312, 313; 321, 322, 323; 331, 332, 333) mit abgegriffenen Zustandsinformationen aus den Einheiten (31, 32, 33, 34) in Reihe geschaltet sind, wobei die Eingabeeinheit (31), die Verarbeitungseinheit (32) und die Ausgabeeinheit (33) jeweils mit einer Einheit (35) für die Steuerung und Freigabe des Vergleichs in Wechselbeziehung stehen, und dass die Ausgänge und die Eingänge der in jedem ASIC (21, 22) integrierten Vergleichereinheit (34) in Überkreuz-Verbindung miteinander verbunden werden, so dass eine Eingangszelle (341) der ersten Vergleichereinheit (34) mit einem Zustandsspeicher (343) der zweiten Vergleichereinheit (34) und umgekehrt eine Eingangszelle (341) der zweiten Vergleichereinheit (34) mit einem Zustandsspeicher (343) der ersten Vergleichereinheit (34) verbunden ist, während Vergleicher (342) in den Vergleichereinheiten (34) jeweils auf einen Schaltungsblock (7) für die Überwachung auf Fehlererkennung, Watchdog und Notabschaltung geschaltet sind.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Überwachungspunkte Zwischen- und Endergebnisse einer Informationsverarbeitung, interne Schaltzustände in den ASICs (21, 22) und/oder interne Signale zu diskreten Abtastzeitpunkten sind.
  3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass die Zwischen- und Endergebnisse frei definierbar sind.
  4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass in zumindest einem ASIC (21, 22) ein vorzugsweise unabhängiger Testcontroller (8) integriert ist, der den Selbsttest eines ASICs (21, 22) und den zyklischen Vergleich bausteininterner Werte in Verbindung mit einem externen Speicher (9) steuert.
  5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass die Eingangsdaten (1) an den ASICs (21, 22) parallel und zeitgleich anliegen, und dass die ASICs (21, 22) ausgangsseitig ebenso wie der Schaltungsblock (7) an eine Verknüpfungslogik (5) für die zumindest zwei Kanäle angeschlossen werden, die ihrerseits ausgangsseitig mit Aktoren (6) bzw. mit aktiven Schaltelementen verbunden ist, wobei die Verknüpfungslogik (5) derart realisiert ist, dass die Ausgänge des einen Bausteins durch den anderen Baustein zurückgelesen und geprüft werden.
  6. Verfahren nach einem der vorgenannten Ansprüche, dadurch gekennzeichnet, dass die logischen Zustände der Überwachungspunkte in den einzelnen Funktionsblöcken zu diskreten Zeitpunkten abgetastet und in Zustandsspeichern (311, 312, 313; 321, 322, 323; 331, 332, 333) der Einheit (31), der Verarbeitungseinheit (32) und der Ausgabeeinheit (33) festgehalten werden.
  7. Verfahren nach einem der vorgenannten Ansprüche, dadurch gekennzeichnet, dass die Zustandsspeicher (311, 312, 313; 321, 322, 323; 331, 332, 333) zu einem Schieberegister verschaltet sind.
  8. Verfahren nach einem der vorstehend genannten Ansprüche, dadurch gekennzeichnet, dass die Ausgabeeinheit (33) aus einem Schaltungsblock (334) mit eingerichteten Überwachungspunkten, einem Schaltungsblock (335) zur Durchführung des Abtastvorganges und einem Schaltungsblock (336) mit Zustandsspeichern für abgetastete Informationen gebildet ist, und dass der Inhalt der Zustandsspeicher unabhängig von einer weiteren Informationsverarbeitung durch die Schieberegisterkette zum Eingang der Vergleichereinheit (34) transportiert wird.
  9. Verfahren nach Anspruch 8, dadurch gekennzeichnet, dass die Eingabeeinheit (31) und die Verarbeitungseinheit (32) analog der Ausgabeeinheit (33) aufgebaut sind.
  10. Verfahren nach einem der vorgenannten Ansprüche, dadurch gekennzeichnet, dass die ASICs (21, 22) einen zyklischen Vergleich der internen Beobachtungspunkte durchführen.
  11. Verfahren nach einem der vorgenannten Ansprüche, dadurch gekennzeichnet, dass zumindest ein interner Timer vorgesehen ist, der nach einer von aussen definierbaren Zeitspanne einen intermittierenden Betrieb und damit einen zyklischen Einschalt-Selbsttest erzwingt.
  12. Verfahren nach einem der vorgenannten Ansprüche, dadurch gekennzeichnet, dass durch die signaltechnisch sicher ausgelegte Watchdog-Schaltung im Schaltungsblock (7) die Synchronisation der ASICs (21, 22) kontrolliert und im Falle einer festgestellten Abweichung von der Synchronisation ein Alarm ausgelöst und das Gesamtsystem in den sicheren Zustand überführt wird.
DE19805819A 1997-05-06 1998-02-13 Verfahren zur Überwachung von integrierten Schaltkreisen Expired - Fee Related DE19805819B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE19805819A DE19805819B4 (de) 1997-05-06 1998-02-13 Verfahren zur Überwachung von integrierten Schaltkreisen

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE19719078.2 1997-05-06
DE19719078 1997-05-06
DE19805819A DE19805819B4 (de) 1997-05-06 1998-02-13 Verfahren zur Überwachung von integrierten Schaltkreisen

Publications (2)

Publication Number Publication Date
DE19805819A1 DE19805819A1 (de) 1998-11-19
DE19805819B4 true DE19805819B4 (de) 2006-11-23

Family

ID=7828759

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19805819A Expired - Fee Related DE19805819B4 (de) 1997-05-06 1998-02-13 Verfahren zur Überwachung von integrierten Schaltkreisen

Country Status (1)

Country Link
DE (1) DE19805819B4 (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10037992A1 (de) * 2000-08-03 2002-02-21 Siemens Ag Verfahren zum Betreiben eines Logik- und Speicherelemente aufweisenden Bausteins
ES2276862T3 (es) * 2001-02-15 2007-07-01 Siemens Schweiz Ag Circuito logico, en particular para sistemas ferroviarios.

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3225455A1 (de) * 1982-07-07 1984-01-19 Siemens AG, 1000 Berlin und 8000 München Verfahren zum sicheren betrieb eines redundanten steuersystems und anordnung zur durchfuehrung des verfahrens
DE3633953C2 (de) * 1986-10-06 1991-11-28 Siemens Ag, 1000 Berlin Und 8000 Muenchen, De
DE4438039A1 (de) * 1994-10-25 1996-05-02 Leon Helma Christina Elektronisches Schaltgerät für die Erfassung des Betätigungszustandes von taktilen Sensoren
DE4134396C2 (de) * 1990-10-30 1996-08-14 Siemens Ag Sicheres Automatisierungssystem
DE19520264A1 (de) * 1995-06-02 1996-12-12 Claus Friedrich Meßeinrichtung zur Erfassung der Förderstärke eines Schüttgutstromes
DE19529434A1 (de) * 1995-08-10 1997-02-13 Teves Gmbh Alfred Microprozessorsystem für sicherheitskritische Regelungen

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3225455A1 (de) * 1982-07-07 1984-01-19 Siemens AG, 1000 Berlin und 8000 München Verfahren zum sicheren betrieb eines redundanten steuersystems und anordnung zur durchfuehrung des verfahrens
DE3633953C2 (de) * 1986-10-06 1991-11-28 Siemens Ag, 1000 Berlin Und 8000 Muenchen, De
DE4134396C2 (de) * 1990-10-30 1996-08-14 Siemens Ag Sicheres Automatisierungssystem
DE4438039A1 (de) * 1994-10-25 1996-05-02 Leon Helma Christina Elektronisches Schaltgerät für die Erfassung des Betätigungszustandes von taktilen Sensoren
DE19520264A1 (de) * 1995-06-02 1996-12-12 Claus Friedrich Meßeinrichtung zur Erfassung der Förderstärke eines Schüttgutstromes
DE19529434A1 (de) * 1995-08-10 1997-02-13 Teves Gmbh Alfred Microprozessorsystem für sicherheitskritische Regelungen

Also Published As

Publication number Publication date
DE19805819A1 (de) 1998-11-19

Similar Documents

Publication Publication Date Title
DE60309928T2 (de) Verfahren zur erhöhung der sicherheitsintegritätsstufe eines kontrollsystems
EP0972388B1 (de) Verfahren zur programmierung eines sicherheitsgerichteten steuerungssystems
EP0186724B1 (de) Prüf- und Diagnoseeinrichtung für Digitalrechner
EP1952238B1 (de) Busmodul zum anschluss an ein bussystem sowie verwendung eines solchen busmoduls in einem as-i-bussystem
DE19927635A1 (de) Sicherheitsbezogenes Automatisierungsbussystem
DE102017123615B4 (de) Konfigurierbares Sicherheitsmodul zur Erfassung digitaler oder analoger Eingangs- oder Ausgangssignale
EP1805567B1 (de) Verfahren und automatisierungssystem zum bedienen und/oder beobachten mindestens eines feldgerätes
WO2005106603A1 (de) Redundantes automatisierungssystem umfassend ein master- und ein stand-by-automatisierungsgerät
CH654425A5 (en) Redundant control arrangement
DE10035174A1 (de) Peripheriebaustein mit hoher Fehlersicherheit für speicherprogrammierbare Steuerungen
EP0766092A1 (de) Testbare Schaltungsanordnung mit mehreren identischen Schaltungsblöcken
WO1992003785A1 (de) Einrichtung zur funktionsüberwachung externer synchronisations-baugruppen in einem mehrrechnersystem
EP1246033A1 (de) Verfahren zur Überwachung konsistenter Speicherinhalte in redundanten Systemen
DE4446314A1 (de) Verfahren und Schaltungsanordnung zur Überwachung der Funktion einer programmgesteuerten Schaltung
DE19847986C2 (de) Einzelprozessorsystem
DE102006012042A1 (de) Steuervorrichtung zur fehlersicheren Steuerung einer Maschine
EP1807760B1 (de) Datenverarbeitungssystem mit variabler taktrate
DE2651314C2 (de) Sicherheits-Ausgabeschaltung für eine Binärsignale abgebende Datenverarbeitungsanlage
DE19540069A1 (de) Anordnung zur Erfassung und/oder Verarbeitung von Signalen elektrischer Bauteile, die sicherheitstechnische Zwecke oder Auflagen für Geräte oder Anlagen erfüllen
DE19805819B4 (de) Verfahren zur Überwachung von integrierten Schaltkreisen
DE3238692A1 (de) Datenuebertragungssystem
DE2636352A1 (de) Schutzsystem, insbesondere fuer einen kernreaktor
EP1025501A1 (de) Verfahren und vorrichtung zur überprüfung einer fehlerüberwachung einer schaltung
EP0404992B1 (de) Verfahren zum hochverfügbaren Betrieb von redundanten Datenverarbeitungsanlagen
DE2108836A1 (de) Anordnung für ein Doppelrechnersystem

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee