-
Die
Erfindung betrifft ein Verfahren zur Überwachung von Integrierten
Schaltkreisen, insbesondere von Integrierten Schaltkreisen in sicherheitskritischen
Anwendungen.
-
Elektrische
und elektronische Steuerschaltungen werden häufig zur Steuerung, Regelung
und Überwachung
von technischen Prozessen eingesetzt. So gibt es eine Vielzahl von
Anwendungen, bei denen das von einem technischen Prozess oder Verfahren
aus gehende Risiko beim Versagen oder bei Fehlern innerhalb einer
solchen Steuerschaltung weit über
dem allgemein vertretbaren Grenzrisiko liegt. Hier ist als ein typisches
Beispiel der Einsatz von Systemen bzw. komplexen Verfahrensabläufen in solchen
Bereichen zu nennen, bei denen eine Gefährdung von Menschen und Sachwerten,
beispielsweise im Kraftwerksbereich, in der Land- und Forstwirtschaft,
im Bergbau, in der Verfahrens-, Verkehrs- oder in der Medizintechnik,
gegeben ist. In diesen Bereichen werden prinzipiell fehlerlos ablaufende
Arbeitsprozesse und fehlerlos arbeitende elektrische und elektronische
Steuerschaltungen gefordert.
-
Das
latent vorhandene Gefährdungspotential
muss in den geschilderten Fällen
auf ein vertretbares Maß reduziert
werden, was unter anderem auch durch technische Maßnahmen
und Vorkehrungen in den eingesetzten Steuerschaltungen geschieht.
Es sind insbesondere Mechanismen zur Fehlererkennung und zur Fehlervermeidung
sowie zur Selbst- und zur wechselseitigen Überwachung innerhalb der eingesetzten
Schaltkreise (Hardware) und Programme (Software) erforderlich.
-
In
den einschlägigen
Normen, beispielsweise DIN V VDE 0801, IEC 65A oder ICE 1308, werden für die vorstehend
genannten sicherheitskritischen Anwendungen von elektrischen, elektronischen
und programmierbar elektronischen Systemen verschiedene ein- oder
mehrkanalige, diversitäre
und/oder redundante Schaltungsstrukturen offenbart, mit denen die geforderte
Erkennung und Vermeidung von Fehlern innerhalb einer Schaltung möglich wird.
Eine Erkennung von auftretenden Fehlern ist nach diesen Normen zum
Beispiel durch einen Vergleich der Ergebnisse mehrfach in identischer
Weise ausgeführter Schaltungsteile
möglich.
In ähnlicher
Weise können auftretende
Fehler in Schaltungen aber auch durch eine Mehrheitsentscheidung,
wie beispielsweise "2-aus-3-Auswahl", toleriert werden.
-
Bei
dem aus der Praxis bekannten Stand der Technik werden heute Steuerungen
für sicherheitskritische
Anwendungen in der Regel durch den Einsatz von programmierbaren
Verarbeitungseinheiten, wie Mikrocontroller oder Mikrorechner, realisiert.
Dabei besteht ein typischer Ansatz in der Parallelschaltung zweier
solcher unabhängiger
(Rechner)Einheiten. Beide Einheiten verarbeiten identische Eingangsdaten
und sind so synchronisiert, dass die auf diesen Daten ausgeführten Operationen
quasi zeitgleich stattfinden. Damit wird ein gegenseitiger Vergleich
von Zwischenergebnissen und Ausgangsgrößen möglich. Gleichzeitig kann damit
auch indirekt der identische Programmablauf in den beiden (Rechner)Einheiten überwacht
werden. Die von den unabhängigen
Einheiten gelieferten Ausgangsgrößen werden
dann in einem weiteren Schaltungsblock derart verknüpft, dass
bei auftretenden und festgestellten Unstimmigkeiten zwischen den
gelieferten Daten automatisch ein sicherer Zustand des technischen Prozesses
eingenommen bzw. aufrechterhalten wird.
-
Die
vorstehend geschilderten bekannten Mikrocontroller bzw. Mikrorechner
weisen jedoch gegenüber
dem Einsatz von ASICs in sicherheitskritischen Anwendungen eine
Reihe von Nachteilen auf.
-
Ein
herkömmlicher
Mikrocontroller kann wegen der testweisen Abarbeitung von Befehlssequenzen
und der besonderen Auswertung der Ergebnisse nur indirekt und unvollständig geprüft werden.
Ein Strukturtest dagegen ist nicht möglich. Ferner setzt die Fehlererkennung
und die Fehlerbehandlung, nämlich
in Software ausgeführte
Prüfroutinen
und Plausibilitätstests,
nicht gestörte
Grundfunktionen des Mikrocontrollers bzw. Mikrorechners voraus,
was nicht in jedem Fall zutrifft.
-
Die
schrittweise Programmabarbeitung durch einen Mikrorechner erlaubt
außerdem
keine parallele Verarbeitung von Informationen. Deshalb können kritische
Prozesszustände
damit nicht sofort erkannt werden. Der Vergleich in einer mehrkanaligen
Struktur kann nur im Wechsel mit der Verarbeitung erfolgen, was
aber zu einer Erhöhung
der Fehleroffenbarungszeit führt.
-
Bei
dem Einsatz von ASICs ergeben sich nun zwar grundsätzliche
Vorteile. Jedoch weist auch hier der Stand der Technik Nachteile
auf. Der Vergleich in einer mehrkanaligen Struktur bezieht sich nämlich nur
auf die Ausgangsdaten (beispielsweise Mehrheitsentscheidung), und
es findet kein Vergleich interner Zustände statt. Dies verhindert
die Entdeckung von verdeckten Fehlern, die sich (zunächst) nicht
an den Ausgängen
bemerkbar machen.
-
Der
Einsatz von anwendungsspezifischen Integrierten Schaltkreisen (ASICs)
in sicherheitskritischen Systemen zählt ebenfalls bereits zum bekannten
Stand der Technik. Da das Verhalten und die Funktionalität eines
ASIC's bei Entwurf
und Produktion festgelegt wird, sind nachträgliche Änderungen an dieser Funktionalität und im
Gegensatz zu einer auf Software basierenden Lösung jedoch nicht möglich. Dies
schränkt
zwar die Flexibilität
ein, verhindert aber gleichzeitig eine Reihe von Fehlersituationen,
die durch unsachgemäße Wartung
oder durch Eingriffe des Benutzers in die Software entstehen können.
-
Aus "W. Glauert: Ultra-Large
Scale Integration of a Control Unit for Safety-Critical Systems", Reutlingen, 1994,
(Abschluss- bericht des Forschungsvorhabens 01 M 2882 A/6 JESSI
AE11 Projekt), sind Untersuchungen bekannt geworden, mit denen das
Ziel verfolgt wurde, die Zuverlässigkeit
sowie die Auswirkungen von Fehlern in einkanaligen ASIC-Strukturen
derart zu verändern,
dass ein Einsatz nur eines derart angepassten ASIC's ohne weitere periphere
oder strukturelle Maßnahmen
in sicherheitskritischen Anwendungen möglich wird.
-
Aus "Formal Verification
and Synthesis of On-Line Self-Test" von R. Tully, A. Hunter, R. Zimmer u.
a. sind aus identischen ASICs gebildete Strukturen mit mindestens
drei Kanälen
und Mehrheitsentscheider ebenfalls schon bekannt. Diese Strukturen
werden besonders dann eingesetzt, wenn zusätzlich zur Sicherheit auch
eine hohe Verfügbarkeit
des Gesamtsystems gefordert wird.
-
Aus
der
DE 195 29 443
A1 ist ein Verfahren zur Überwachung von Rechnerkernen
eines Mikroprozessorsystems in sicherheitskritischen Anwendungen
bekannt. Die beiden Rechnerkerne sind identisch und werden synchron
zueinander betrieben. Beide Rechnerkerne arbeiten das gleiche Programm
ab und sind auch ansonsten identisch ausgebildet. Die beiden Rechnerkerne
sind über
entsprechende Treiberstufen an zwei Bussysteme angeschlossen und
können über diese
miteinander kommunizieren.
-
Bei
dem aus dieser Druckschrift bekannten Verfahren werden lediglich
die Rechnerkerne (Mikroprozessoren) eines Mikroprozessorsystems
und nicht anwendungsspezifische integrierte Schaltreise (ASICs) überwacht.
Das bedeutet also, dass bei der Druckschrift auf jedem Rechnerkern
zum einen ein Applikations-Programm und zum anderen ein Programm
zum Überwachen
der Funktion des Rechnerkerns abläuft. Das Applikations-Programm
und das Überwachungsprogramm
sind als zwei separate Komponenten ausgebildet, die beide auf dem
zu überwachenden
Rechnerkern ablaufen. Aufgrund dieser Konstellation kann das Überwachungsprogramm
nicht überprüfen, ob
der Rechnerkern während
der Abarbeitung des Applikations-Programms Fehler
erzeugt oder nicht. Das Überwachungsprogramm
kennt zwar die Struktur des zu überwachenden
Rechnerkern, nicht jedoch das Anwendungsprogramm und die entsprechende
Reaktion des Rechnerkerns darauf. Eine Überwachung dahingehend, ob
der Rechnerkern infolge der Abarbeitung des Anwendungsprogramms
die richtigen Zustände
einnimmt, ist somit nicht möglich.
Außerdem
können über die
Bussysteme in den Rechnerkernen Daten lediglich seriell übertragen
werden, wodurch sich im Rahmen der Überwachung der Rechnerkerne
eine relativ lange Verarbeitungszeit ergibt.
-
Ausgehend
von dem vorgenannten Stand der Technik ist es Aufgabe der Erfindung,
ein Verfahren zur Überwachung
von Integrierten Schaltkreisen der eingangs genannten Art zu schaffen,
das eine sichere und zuverlässige Überwachung
von integrierten Schaltkreisen mit geringem technischen Aufwand erlaubt.
-
Erfindungsgemäß wird diese
Aufgabe durch die Merkmale des Patentanspruchs 1 gelöst. Vorteilhafte
Weiterbildungen und Ausge staltungen sind in den Unteransprüchen beschrieben.
-
Zwei-
oder mehrkanalige Strukturen aus ASICs, und insbesondere ein in
einer solchen Struktur benötigtes,
effizientes und kostenminimales Verfahren zum Vergleich von Endergebnissen
oder Zwischenergebnissen und Ausgangsdaten sind aus dem geschilderten
Stand der Technik nicht bekannt. Das erfindungsgemäße Verfahren
erlaubt die Überwachung
von ASICs in einer vorzugsweise zweikanaligen Struktur, wobei der
logische Zustand in verschiedenen Überwachungspunkten überwacht
werden kann. Solche Überwachungspunkte
können
beispielsweise sein: die Zwischen- und Endergebnisse der Informationsverabeitung,
interne Schaltzustände und
interne Signale zu diskreten Abtastzeitpunkten.
-
Das
für den
Vergleich der Zustände
in den Überwachungspunkten
eingesetzte Verfahren kann mit geringem technischen Aufwand implementiert werden
und ermöglicht
den Vergleich einer großen Anzahl
von Überwachungspunkten
pro Zeiteinheit.
-
Außerdem erlauben
ASICs eine hochgradige, parallele Verarbeitung von Informationen.
Kritische Prozeßzustände können deshalb
weitaus schneller erkannt werden als dies beim Einsatz von Mikrocontrollern
der Fall ist. Ferner kann der Vergleich in einer mehrkanaligen Struktur
nebenläufig zur
eigentlichen Verarbeitung erfolgen, was zu kürzeren Fehleroffenbarungszeiten
führt.
Schließlich
kann der Systembetrieb durch die Überwachung nicht gestört werden.
-
Zusätzlich zu
diesen grundsätzlichen
Vorteilen beim Einsatz von ASICs werden durch das erfindungsgemäße paarweise Überwachen
der ASICs noch die weiteren Vorteile erzielt, daß eine einfache Realisierung
vorzugsweise zweikanaliger Strukturen und ein Vergleich der logischen
Zustände
in einer großen
Anzahl von Überwachungspunkten
möglich ist.
Hinzu kommt noch die höhere
Wahrscheinlichkeit der Fehlererkennung einschließlich der Erkennung verdeckter
Fehler, was zu einer kürzeren
Fehleroffenbarungszeit führt.
-
In
einer praktischen Anwendung der erfinderischen Lösung hat sich als vorteilhaft
erwiesen, daß der
ASIC eine Überwachung
nahezu aller internen Verbindungen und Schaltungsstrukturen durchführen kann
und dadurch einen wesentlich höheren
Fehlerabdekungsgrad ermöglicht
als dies bei Mikrocontrollern und Mikrorechnern möglich ist.
Damit eignet sich das erfindungsgemäße Verfahren auch für Selbsttests
und Strukturtests in sicherheitskritischen Anwendungen.
-
In
der Zeichnung ist ein Beispiel der Erfindung dargestellt. Darin
zeigen:
-
1 das
Verfahren zur Überwachung
von Integrierten Schaltkreisen in einem Blockschaltbild;
-
2 die
Funktionsblöcke
nach dem Blockschaltbild von 1 in detaillierterer
Darstellung, und
-
3 ein
Blockschaltbild eines in einem ASIC integrierten Test-Controllers.
-
In
dem Blockschaltbild nach der 1 sind zwei
Integrierte Schaltkreise 21, 22 (ABICs) parallel nebeneinander
und mit identischem Aufbau dargestellt. Statt der zwei gezeigten
Integrierten Schaltkreise 21, 22 sind auch mehrere
solcher identischen Schaltkreise möglich. Die prinzipielle Betrachtungsweise ändert sich
dadurch nicht.
-
Die
Eingangsdaten 1 aus dem zu überwachenden technischen Prozeß liegen
parallel und zeitgleich an den beiden ASICs 21, 22 an.
Die beiden ASICs 21, 22 arbeiten streng synchron.
Dennoch sind kurzzeitige Abweichungen in den Eingangsdaten erlaubt,
die bei spielsweise durch asynchrone Signale entstehen können, die
erst im ASIC einsynchronisiert werden.
-
Wie 1 offenbart
und weiter unten näher beschrieben
ist, wird also eine Überwachung
von ASICs 21, 22 in einer hier zweikanaligen Struktur
mit Vergleich eingesetzt. Die beiden ASICs 21 und 22 überwachen
sich gegenseitig.
-
Die
beiden ASICs 21, 22 weisen jeweils eine Einheit 31 für die Vorverarbeitung
und Aufbereitung der Eingangsgrößen auf.
Dazu sind in den beiden ASICs 21, 22 je eine Verarbeitungseinheit 32 und eine
Ausgabeeinheit 33 integriert. Ferner besitzt jedes ASIC 21, 22 noch
eine Vergleichereinheit 34 und eine Einheit 35 für die Steuerung
und Freigabe des Vergleiches.
-
In
der Einheit 31 für
die Vorverarbeitung und Aufbereitung der Eingangsgrößen sind
in Reihe Zustandsspeicher 311, 312, 313 mit
sicherheitsrelevanten Eingangsgrößen vorgesehen.
Diese Zustandsspeicher 311, 312, 313 sind
ihrerseits wiederum in Reihe mit den Zustandsspeichern 321, 322, 323 der Verarbeitungseinheit 32 mit
den sicherheitsrelevanten Zwischenergebnissen angeordnet. Schließlich befinden
sich die Zustandsspeicher 321, 322, 323 ihrerseits
in Reihe mit den weiteren Zustandsspeichern 331, 332, 333 der
Ausgabeeinheit 33 mit den sicherheitsrelevanten Ausgangsgrößen und
Endergebnissen. Gleichzeitig stehen die Einheiten 31, 32, 33 in wechselseitiger
Verbindung mit der Einheit 35 für die Steuerung und Freigabe
des Vergleichs.
-
In
Reihe mit den Einheiten 31, 32, 33 befindet
sich die Vergleichereinheit 34, die eine Eingangszelle 341 mit
dem aktuellen Zustand aus dem zweiten ASIC, einen Vergleicher 342 für die Feststellung
der Identität
der Eingangszelle 341 und des Zustandsspeichers 343 und
schließlich
der Zustandsspeicher 343, der ein aktuelles Element zum
Vergleich darstellt. Die Ausgänge
und die Eingänge
der Vergleichereinheit 34 der beiden ASICs 21, 22 sind
jeweils in einer Überkreuz-Verbindung
miteinander verbunden, so daß die
Eingangszelle 341 des ersten ASIC's 21(22) mit dem Zustandsspeicher 343 des
zweiten ASIC's 22(21) und
umgekehrt verbunden sind. Die Vergeicher 342 der beiden
ASICs 21, 22 für
die Feststellung auf Identität
von Eingangszelle 341 und Zustandsspeicher 343 sind
an den Schaltungsblock 7 für die Überwachung des Vergleichers 342 auf
Fehlererkennung, Watchdog und Notabschaltung angeschlossen. Dieser
außerhalb
der ASICs 21, 22 liegende Schaltungsblock 7 stellt
als Watchdog sicher, daß innerhalb
einer festgelegten Zeitdauer mindestens ein Vergleich stattfindet.
-
Ein
im Fehlerfall von den Vergleichereinheiten 342 geliefertes
Fehlersignal bewirkt ebenfalls durch den außerhalb der ASICs 21, 22 liegenden Schaltungsblock 7 einen Übergang
in den sicheren Zustand. Gleichzeitig wird dieser sichere Zustand auch
an den Ausgängen
des ASIC's 21, 22 angenommen,
falls dies trotz des internen Fehlers noch möglich ist.
-
Mit 4 ist
in 1 ein Taktgenerator bezeichnet, während weiterhin
eine Verknüpfungslogik 5 für die Zusammenführung der
beiden Kanäle
(ASICs 21, 22) und Aktoren 6 bzw. aktiven
Schaltelemente am Ausgang der ASICs 21, 22 eingerichtet
sind.
-
Der
Aufbau und die Funktionsweise des durchgeführten Vergleiches sind im Detail
aus 2 am Beispiel der Ausgabeeinheit zu entnehmen.
Die 2 gilt für
die Eingabeeinheit 31 und die Verarbeitungseinheit 32 entsprechend.
Die logischen Zustände
der Überwachungspunkte
in den einzelnen Funktionsblöcken 31, 32, 33 der
ASICs 21, 22 werden zu diskreten Zeitpunkten abgetastet
und in den beschriebenen Zustandsspeichern 311, 312, 313; 321, 322, 323; 331, 332, 333 festgehalten.
Solche Zustandsspeicher können
beispielsweise Flip-Flops sein. Die Zustandsspeicher sind, wie vorstehend
geschildert, zu einem Schieberegister verschaltet.
-
Die
Ausgabeeinheit 33 besteht aus dem Schaltungsblock 334 mit
entsprechenden Überwachungspunkten 3341, 3342, 3343,
dem Schaltungsblock 335 zur Durchführung des Abtastvorganges und
dem Schaltungsblock 336 mit Zustandsspeichern für abgetastete
Informationen. Demzufolge wird also der Abtastvorgang durch den
Schaltungsblock 335 realisiert, der mit dem Schaltungsblock 35 kommuniziert
wird. Der Inhalt der Zustandsspeicher kann unabhängig von der weiteren Informationsverarbeitung
im ASIC 21, 22 durch die Schieberegisterkette
zum Eingang des Vergleichers (Eingangszelle 343) transportiert
werden. Der Vergleich findet bitweise seriell durch eine Verknüpfungslogik
(Vergleicher 342) statt. Die vom zweiten ASIC 22(21) gelieferte
Information aus dem Zustandsspeicher 341 wird dabei mit
der eigenen Information in der Eingangszelle 343 auf Identität verglichen.
Wenn hierbei Abweichungen festgestellt werden, so führt dies
zum Abbruch des Vergleichs und zu einer Störungsmeldung über den Schaltungsblock 7,
Im Falle der Übereinstimmung wird
der Vergleich im nächsten
Takt mit dem nächsten
Element aus der Schieberegisterkette durchgeführt.
-
Um
die erlaubten, kurzzeitigen Abweichungen von Daten und die daraus
resultierenden kurzzeitigen Abweichungen von Zwischenergebnissen tolerieren
zu können,
kann der Abtastvorgang oder der Vergleich durch ein Signal von der
Einheit 31, der Verarbeitungseinheit 32 oder der
Ausgabeeinheit 33 an die Steuerung 35 und Freigabe
des Vergleiches einzelner Verarbeitungseinheiten 31, 32, 33 verzögert werden.
Diese Verzögerung
dauert so lange, bis sich die gelesene Eingangsinformation aus der
Sicht dieser Verarbeitungseinheit 31, 32, 33 stabilisiert
hat. Es sind nur jeweils kurze Verzögerungen der wechselseitigen Überwachung
erlaubt. Wenn innerhalb einer festgelegten Zeit ein Vergleich nicht
erfolgt, so resultiert dies in einer durch den Watchdog 7 ausgelösten Störungsmeldung.
-
Die
an den Ausgängen
des ASIC's 21, 22 anliegenden
Ausgangsdaten werden zur Ansteuerung von Aktoren 6 bzw.
aktiven Schaltelementen verwendet. Hierzu ist ein weiterer, innerhalb
oder außerhalb des
ASIC's 21, 22 liegender
Schaltungsblock 5 für die
Zusammenführung
der beiden Kanäle
(ASICs 21, 22) erforderlich.
-
In
einem praktischen Ausführungsbeispiel
ist die erfindungsgemäße zweikanalige
Struktur in einem Frühwarnsystem
im Bahnbetrieb realisiert worden, die als sicherheitskritische Anwendung
gilt. Die beiden ASICs 21 und 22 überwachten
sich gegenseitig, wie bereits weiter oben beschrieben wurde. Durch
die besondere Ausführung
des Schaltungsblocks 5, bei dem die Ausgänge des
ersten ASIC's 21 durch
den zweiten ASIC 22 zurückgelesen
und gegen die interne Information geprüft wurden, wurde zusätzlich eine Überwachung
der Ausgänge
und des Pinbereichs erreicht. In dieser speziellen Anwendung wurde
der zweite ASIC-Baustein nicht als redundantes System zur Erhöhung der
Verfügbarkeit
vorgesehen. Es bestand nämlich
lediglich eine Redundanz bezüglich
des Schaltens von Warnanzeigeeinrichtungen des besagten Frühwarnsystems.
Die ASICs 21 und 22 wurden in dieser Anwendung
als Hauptbaustein (ASIC 21) und Kontrollbaustein (ASIC 22)
eingesetzt. Die Konfiguration als Hauptbaustein und als Kontrollbaustein
erfolgte durch einen Konfigurationspin. Das Erkennen eines Fehlers
in einem der beiden Bausteine (ASICs 21, 22) führte regelmäßig zum
Schalten in den sicheren Zustand.
-
Der
ASIC 22 als Kontrollbaustein hat die Ausgangsdaten des
weiteren ASIC's 21 als
Hauptbaustein mit den eigenen Ausgangsdaten verglichen. Auf diese
Weise wurden auch alle gesendeten seriellen Nachrichten verglichen.
-
Der
Pin-Bereich ist bekanntermaßen
ein Ausfallschwerpunkt bei Integrierten Schaltungen. Nur durch die
erfindungsgemäße Zwei-Kanal-Lösung mit
der speziellen Realisierung der Verknüpfungslogik 5 konnten
die Pins überwacht
werden. Dadurch wurden Schä digungen
der Pin-Elektronik und auch Kontaktverluste zur System- oder Hauptplatine
bei einer Frühwarnanlage
erkannt.
-
Die Überwachung
im laufenden Betrieb erfolgte durch den zyklischen Vergleich interner
Werte der ASICs 21 und 22 (Hauptbaustein und Kontrollbaustein).
Dazu wurden die zu vergleichenden Signalwerte in sugenannte Schattenregister
kopiert, die den Zustandsspeichern im Schieberegister 311, 312, 313; 321, 322, 323; 331, 332, 333 entsprechen.
Die Inhalte der Schattenregister wurden seriell zum jeweils anderen
ASIC 21, 22 übertragen
und dort mit lokalen Werten verglichen. Etwaige Abweichungen zu
verglichenen Werte führten
sofort zur Auslösung einer
Systemstörung.
-
In 3 ist
schematisch in einem Blockschaltbild die Integration eines Testcontrollers 8 in
einem Integrierten Schaltkreis (ASIC) 21, 22 dargestellt.
Beispielhaft, weil üblicherweise
ausreichend, ist der Testcontroller 8 nur in einem ASIC 21, 22 integriert,
obwohl die Integration grundsätzlich
auch in jedem der beiden ASICs 21, 22 möglich ist.
Die Implementierung eines Testcontrollers 8 ist dann technisch sinvoll,
wenn hohe Sicherheitsaufgaben zu erfüllen sind, wie dies beispielsweise
bei den schon früher
erwähnten
Frühwarnsystemen
der Fall ist. Der Testcontroller 8 bezieht seine Kriterien
aus einem externen Speicher 9, also von einem fremden Baustein. Unter
diesen Kriterien werden die bausteininternen Werte, beispielsweise
die physikalischen Eigenschaften, verstanden. Zu diesem Zweck sind
die Ausgänge
des Testcontrollers 8 für
Adressen, Daten und Steuerung zu dem sogenannten Testmusterspeicher 9 außerhalb
des Testcontrollers 8 geführt.
-
Der
Testcnntroller 8 liest den Inhalt des Testmusterspeichers 9 aus
und steuert den (Einschalt) -Selbsttest des ASIC 21, 22,
den zyklischen Vergleich bausteininterner Werte (physikalische Eigenschaften)
während
des Betriebes sowie den Systemtakt und den Scantakt des Programms.
-
Der
(Einschalt)-Selbsttest der ASICs 21, 22 ist eine
wesentliche Funktion vor allem bei einer sicherheitskritischen Anwendung
und bedeutet üblicherweise,
daß der
Testcontroller im ASIC das eigene ASIC testet. Im Gegensatz dazu
wird nunaber vorgeschlagen, das Grundkonzept in der Weise weiterzuentwickeln,
daß ein
externer Test des einen ASIC's 21(22) durch
den Testcontroller 8 des anderen ASIC's 22(21) durchgeführt wird.
Auf diese Weise Weise kann der getestete ASIC 21(22) in
bezug auf die von den Testvektoren abgedeckten Fehler komplett getestet
werden. Der Selbsttest findet in zwei wechselseitigen Phasen statt.
-
Nach
dem Hochfahren steuert der Testcontroller 8 den zyklischen
Vergleich zwischen den ASICs 21, 22. Nach Abschluß des Selbsttests
wird die Kontrolle dann an einen Konfigurationsblock übergeben. Wenn
dieser den Abschluß der
System-Konfiguration und des Selbsttests meldet, wird der zyklische
Vergleich der internen Werte der beiden ASICs 21, 22 gestartet.
Das System ist jetzt betriebsbereit.
-
Die
neben dem Selbsttest und einer Bausteineüberprüfung erforderliche, ständige Überwachung des
ASICs 21, 22 als Haupt- und Kontrollbaustein erfolgt
in der Weise des geschilderten erfingungsgemäßen Verfahrens.
-
In
der vorstehenden Beschreibung ist das Verfahren nur in der Anwendung
zur Überwachung von
Integrierten Schaltkreisen, den sogenannten ASICs (21, 22),
dargestellt worden. Im Sinne der Erfindung ist es aber ebenfalls
möglich,
das Verfahren zur Überwachung
von Microcontrollern einzusetzen. Das bedeutet, daß dieses
Verfahren mit den erfinderischen Merkmalen gemäß den Patentansprüchen 1 bis
13 auch für
Chips bzw. Microprozessoren anwendbar ist, die irgendwelche Bearbeitungen
durchführen.
Auf den Patentanspruch 1 gelesen wird mit dieser Anwendung allgemein
das Ziel verfolgt, daß zumindest
zwei Microcontroller mit identischem Aufbau parallel und zeitgleich
an alle Eingänge
angeschlossen werden, wobei die Microcontroller streng synchron
miteinander arbeiten. Die zweikanalige Struktur, die aus den Microcontrollern
gebildet wird, führt
einen Vergleich von Zwischenergebnissen, Endergebnissen und Ausgangsdaten
durch. Der logische Zustand der zumindest zwei Microcontroller wird
in verschiedenen Überwachungspunkten überwacht.
-
Allgemein
werden mit dieser Erfindung Zwei-Kanal-Systeme beschrieben und geschützt, die für Integrierte
Schaltkreise als fest programmierte, kundenspezifische Schaltkreise
und für
Microcontroller anwendbar sind. Ferner werden vom Schutzumfang auch
die bekannten Zwischenschritte von der Technologie der Microcontroller über die
einfach oder mehrfach beschreibbaren Schaltkreise (FPGA), die nur
teilweise fertig programmiert sind, bis zu den Integrierten Schaltkreisen
(ASICs) vom Schutzumfang erfasst. In der allgemeinen Form der Zwei-Kanal-Systeme werden jeweils
zwei Mechanismen beschrieben, die unter Nutzung des mehrfach redundanten
Verfahrens in ein sicherheitskritisches System implementierbar sind,
um die Zuverlässigkeit
zu erhöhen.