DE3012425A1 - Fehlergesicherte einrichtung zur benutzung eines digitalen rechners - Google Patents
Fehlergesicherte einrichtung zur benutzung eines digitalen rechnersInfo
- Publication number
- DE3012425A1 DE3012425A1 DE19803012425 DE3012425A DE3012425A1 DE 3012425 A1 DE3012425 A1 DE 3012425A1 DE 19803012425 DE19803012425 DE 19803012425 DE 3012425 A DE3012425 A DE 3012425A DE 3012425 A1 DE3012425 A1 DE 3012425A1
- Authority
- DE
- Germany
- Prior art keywords
- program
- signal
- emergency
- interrupt
- level
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
- 230000002159 abnormal effect Effects 0.000 description 6
- 238000002485 combustion reaction Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000004075 alteration Effects 0.000 description 2
- 238000007599 discharging Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000002542 deteriorative effect Effects 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
- G06F11/0754—Error or fault detection not based on redundancy by exceeding limits
- G06F11/0757—Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F02—COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
- F02D—CONTROLLING COMBUSTION ENGINES
- F02D41/00—Electrical control of supply of combustible mixture or its constituents
- F02D41/24—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
- F02D41/26—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
- F02D41/263—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor the program execution being modifiable by physical parameters
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0736—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0736—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
- G06F11/0739—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0793—Remedial or corrective actions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/28—Error detection; Error correction; Monitoring by checking the correct order of processing
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Chemical & Material Sciences (AREA)
- Combustion & Propulsion (AREA)
- Mechanical Engineering (AREA)
- Debugging And Monitoring (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Safety Devices In Control Systems (AREA)
Description
Beschreibung
Die Erfindung bezieht sich auf einen digitalen Rechner,
der zum Steuern der Arbeitsweise einer Brennkraftmaschine eines Kraftfahrzeuges benutzt wird, und insbesondere
auf eine fehlergesicherte Einrichtung zur Benutzung bei einem solchen digitalen Rechner.
In jüngster Zeit wurden mit einem gespeicherten Programm versehene digitale Rechner in großem Umfange
bei verschiedenen Steuersystemen benutzt. Ein solches Steuersystem hat sich als vorteilhaft dann herausgestellt,
wenn mehrere intellektuelle Steuerungen ausgeführt werden können, jedoch ist er einer Steuerprogrammunterbrechung
ausgesetzt, die eine Beendigung einer Programmdurchführung infolge von Störungen, wie
von äußerem Rauschen, bewirkt, wenn er bei einem Kraftfahrzeug zum Steuern der Arbeitsweise der Brennkraftmaschine
vorgesehen ist.
Pig. 1 zeigt das Blockschaltbild eines typischen, einen digitalen Rechner enthaltenden Steuersystems. Das Steuersystem
umfaßt eine Steuereinheit 4, die Steuerungen nach Maßgabe von Programmbefehlen ausführt, die in
einem Speicher 5 gespeichert sind. Die Steuereinheit 4- ist gewöhnlich so ausgelegt, daß sie Mehrfachoperationen
durchführt, wobei Unterbrechungssignale benutzt werden, die von Unterbrechungssignalgeneratoren erzeugt werden
können. Obwohl in Pig. 1 drei Unterbrechungssignalgeneratoren 1 bis 3 gezeigt sind, die jeweils unterschiedliche
Arten von Unterbrechungssignalen S,,, S2 und
030043/0721
S, erzeugen, kann selbstverständlich irgendeine gewünschte
Anzahl von Unterbrechungssignalgeneratoren vorgesehen sein. Die Steuereinheit 4 kann von einem
Mikrocomputer gebildet son, der die Unterbrechungssignale
Sx,, S2 und S^ empfängt, um die jeweiligen
Steuerprogramme 51» 52 und 53 auszuführen, die in
dem Speicher 5 gespeichert sind, und erhält kein Unterbrechungssignal,
um wiederholt das Steuerprogramm 5^ auszuführen, das einer Grundarbeit (BGJ) zugeordnet
ist.
Um die Ausführung der Steuerprogramme zu prüfen, kann versucht werden, ein Prüfsignal für einen jeden Programmteil
zu erzeugen, jedoch erfordert ein solcher Versuch einen sehr komplizierten Signalprozessor, um
viele Unterbrechungen durchführen zu können.
Es ist daher ein Ziel der Erfindung, eine fehlergesicherte Einrichtung zur Benutzung bei einem einen
Rechner enthaltenden Steuersystem zu schaffen, das die Programmausführung überwacht und eine automatische
ITotfallverarbeitung durchführt.
Gemäß einem bevorzugten Gedanken der Erfindung wird
eine fehlergesicherte Einrichtung zur Benutzung in einem digitalen Rechner geschaffen, der einen Mikroprozessor
umfaßt, wobei mindestens ein erstes Programm zum Vornehmen einer Unterbrechung und ein zweites
Programm zum Ausführai einer Grundarbeit vorgesehen
sind. Das erste Programm umfaßt einen Programmteil, das den Mikroprozessor veranlaßt, ein Notfallentscheidungssignal
mit einem ersten Pegel zu erzeugen. Das zweite
03004 370721
Programm umfaßt einen Programmteil zum Ändern des Notfallentscheidungssignals auf seinen zweiten Pegel.
Es ist eine Einrichtung zum Ausführen einer Notfallverarbeitung vorgesehen,wenn die Zeitdauer, während
der das Notfallentscheidungssignal auf dem ersten oder zweiten Pegel gehalten wird, einen bestimmten
Wert übersteigt.
Ausgestaltungen der Erfindung sind in den Uhteransprüchen angegeben.
Ein Ausführungsbeispiel der Erfindung wird anhand der Zeichnung erläutert. Im einzelnen zeigt:
Fig. 1 ein Blockschaltbild eines herkömmlichen, einen
Rechner enthaltenden Steuersystems,
Fig. 2 ein Blockschaltbild eines einen Rechner enthaltenden Steuersystems,mit einer fehlergesicherten
Einrichtung, die erfindungsgemäß ausgebildet ist,
und
Fig. 5 ein Flußdiagramm zur Erläuterung der Arbeitsweise
der Erfindung.
Wie in Fig. 2 gezeigt ist, in der gleiche Bezugszeichen gleiche Bauteile wie in Fig. 1 angeben, erzeugt die
Steuereinheit 4 ein Notfallentscheidungssignal S^,, das
niedrige und hohe Pegel hat und- an eine Notfallentscheidungsschaltung
6 gegeben wird, die an ihrem Ausgang ein Notfallsignal Sc erzeugt, wenn die Zeitdauer,
während der das Notfallentscheidungssignal S^ auf seinem
niedrigen oder hohen Pegel gehalten wird, einen bestimmten
030Ö43/0721
Wert übersteigt, d.h., wenn irgendein anormaler Betriebszustand
in dem Steuersystem auftritt. Die Notfallentscheidungsschaltung
6 kann z.B. aus einer Auflade- und Entladeeinrichtung gebildet sein, die sich mit einer bestimmten Zeitkonstanten auflädt und entlädt,
sowie aus einer Yergleichseinrichtung, die ein Notfallsignal Sc erzeugt, wenn das Ausgangssignal der
Auflade- und Entladeeinrichtung oberhalb eines ersten bestimmten Pegels oder unterhalb eines zweiten bestimmten
Pegels liegt, der niedriger als der erste bestimmte Pegel ist.
Das Ausgangssignal der Notfallentscheidungsschaltung
6 wird an eine Notfallverarbeitungsschaltung 7 gegeben,. Die Notfallverarbeitungsschaltung 7 spricht auf ein
Notfallsignal S1- an, um eine Notfallverarbeitung durchzuführen,
die allein oder in Kombination folgende Schritte umfassen kann: (1) Rücksetzen der Steuereinheit 4-,
(2) Beenden der Ar.beitsweise der Steuereinheit 4 und
(3) Betätigen einer Alarmeinrichtung 8, wie z.B. eines Alarmsummers, einer Alarmlampe oder dergleichen, um
das Auftreten des anormalen Betriebszustandes anzugeben.
Das beim Auftreten eines Unterbrechungssignals S,, auszuführende
Programm 51 hat an seinem oberen Teil einen Programmteil 51', um das Notfallentscheidungssignal S^
auf seinen hohen Pegel zu ändern. Das die Grundarbeit ausführende Programm 54- hat an seinem Endteil einen
Programmteil 54·' ■>
um das Notfallentscheidungssignal
S^ auf seinen niedrigen Pegel zu ändern.
Anhand des in Fig. 5 gezeigten 3?lußdiagramms wird jetzt
030043/0721
die Arbeitsweise der Erfindung erläutert. Der Block F. des Flußdiagrammes wird als dessen Start gextfählt,
wenn der Speiseschalter geschlossen wird und die Steuereinheit 1 kein Unterbrechungssignal empfängt.
Der nächst e Block F~ in dem Flußdiagramm gibt die Durchführung
der Grundarbeit (BGJ) an, die schematisch bei 54 in dem Programmspeicher 5 dargestellt ist. Nach Ausführung
der Grundarbeit nach Maßgabe des Blocks Fo des Flußdiagrammes wird das Notfallentscheidungssignal
S^ auf seinen niedrigen Pegel beim Block F^ des Flußdiagramms
geändert. Das heißt, das Notfallentscheidungssignal S^ wird auf seinen niedrigen Pegel bei jeder
Beendigung der Grundarbeit geändert. Die den Blöcken F2 und F, des Flußdiagrammes zugeordneten Programmteile
sind nach Art einer Schleife miteinander verbunden, so daß sie wiederholt ausgeführt werden können, bis der
Speiseschalter geöffnet wird.
Wenn irgendein Unterbrechungssignal von den Uhterbrechungssignalgeneratoren
1 bis 3 zugeführt wird, wird der Block F^ als Start des Flußdiagramins ausgewählt. Der nächste
Block Fi- des Flußdiagramms gibt die Ausführung einer
Routine an, um zu bestimmen, ob das zugeführte Signal das Unterbrechungssignal S^, ist, das von dem ersten
Unterbrechungssignalgenerator 1 zugeführt wird. Wenn es dieses ist, geht die Steuerung zum Block Fn über
den mit JA bezeichneten Programmzweig über, wobei in diesem Block die Unterbrechung 1 reserviert ist. Im anderen
Fall geht die Steuerung vom Block F1- längs der mit
NEIN bezeichneten -^rogrammverzweigung zum Block Fg über,
in dem eine Routine ausgeführt wird, um zu bestimmen, ob das zugeführte Signal das Unterbrechungssignal S2 ist,
das von dem zweiten Unterbrechungssignalgenerator 2 zu-
030043/0721
geführt wird. Wenn dasUnterbrechungssignal Sp der
Steuereinheit 4· zugeführt wird, geht die Steuerung zum Block Fg über den mit JA bezeichneten Programmzweig
über, wobei in diesem Block die Unterbrechung 2 reserviert ist. Wenn ein Unterbrechungssignal S^ von
dem dritten Unterbrechungssignalgenerator 3 der Steuereinheit 4- zugeführt wird, geht die Steuerung über den
mit KEIN bezeichneten Programmzweig zum Block Fq über,
wo die Unterbrechung 3 reserviert ist. Bei der Beendigung dieser Routinen geht die Steuerung zum Block F,,q
über, in dem eine Routine ausgeführt wird, um zu bestimmen, ob irgendeine Unterbrechung behandelt wird. Venn dieses
der Fall ist, wird die Verarbeitung der Unterbrechung beim Block F^* beendet. Wenn keine Unterbrechung verarbeitet
wird, geht die Steuerung zum Block F^2 über,
in dem eine Routine durchgeführt wird, um zu bestimmen, ob die Unterbrechung 1 mit dem höchsten Prioritätspegel
reserviert ist. Wenn die Unterbrechung 1 reserviert ist, gelangt die Programmsteuerung nacheinander zu den
Blöcken Fx,^ bis F^q des Flußdiagrammes. Sonst geht die
Steuerung zum Block Fp0 über, in dem eine Routine durchgeführt
wird, um zu bestimmen, ob die Unterbrechung 2 reserviert ist, die die zweite Priorität hat. Wenn dieses
der Fall ist, gelangt die Programmsteuerung nacheinander zu den Blöcken F2^ bis F2^ des Flußdiagrammes. Andernfalls
geht die Steuerung zum Block F2,-, über, in dem
eine Routine ausgeführt wird, um zu bestimmen, ob die Unterbrechung 3 mit der dritten Priorität reserviert
ist. Wenn die Unterbrechung 3 reserviert ist, gelangt die Programmsteuerung nacheinander zu den Blöcken Fpo
bis F^ des Flußdiagrammes. Andererseits wird die Unterbrechungsverarbeitung
beim Block F5^, beendet. Bei der Be-
030043/0721
- ίο -
endigung der Routine beim Block iVini ^26 0<ier ^33
die Steuerung zum Block i1^ zurück. Wenn alle reservierten
Unterbrechungen verarbeitet sind, wird die Unterbrechungsverarbeitung beim Block I^ beendet.
Der Block i1.^ gibt den Zustand an, daß die Unterbrechung
1 verarbeitet wird. Nach dieser Angabe geht die Steuerung vom Block H1^0 längs der mit JA bezeichneten
Programmverzweigung zum Block Έ^ über, bis die
Angabe beim Block F^q gelöscht wird. Der Block ~S^
gibt die Löschung der Unterbrechungsannahmeverhinderung an, damit die anderen Unterbrechungen 2 und 3 reserviert
werden können, obwohl diese nicht verarbeitet werden, bis die Unterbrechungsannahme am Block I1^r7 verhindert
wird. Wenn verschiedene Arten von Unterbrechungen häufig auftreten, ist es unerwünscht, irgendeine Unterbrechung
zu ignorieren, was gegenüber einem herkömmlichen, einen Mikrocomputer enthaltenden Steuersystem
vorteilhaft ist, bei dem jede Unterbrechung verhindert wird, nachdem eine Unterbrechung einmal aufgetreten ist,
bis die Unterbrechung beendet ist. Beim Block Έ^^ wird
das Notfallentscheidungssignal S1, auf seinen hohen Pegel
geändert, der beibehalten wird, bis das Notfallentscheidungssignal S^ auf seinen hohen Pegel beim Block
Ε-? nach der Beendigung der Unterbrechungsverarbeitung
geändert wird. Der Block ϊ1.,- gibt die Ausführung der
Unterbrechungsroutine an, die dem Unterbrechungssignal S^ entspricht. Die Steuerung geht vom Block ]? ^ zum Block
I1^r7 über, bei dem eine Routine durchgeführt wird, um
irgendeine Unterbrechung zu verhindern. Dann geht die Steuerung zum Block ]? ο über, bei dem die Reservierung
der Unterbrechung 1 gelöscht wird, und danach zum Block F.q, bei dem die Unterbrechungsangabe gelöscht wird.
030043/0721
3012^25
Die Reihe von Blöcken I^ bis F2^ xm^ d:5-e Reihe von
Blöcken 3?00 bis Έ-,-, sind im wesentlichen gleich der
28 33
Reihe von Blöcken I". ^ bis I1^q mit der. Ausn ahme, daß
die Steuereinheit 4 die Unterbrechungsroutine entsprechend dem Unterbrechungssignal S2 oder S, ohne
Änderung des Motfallentscheidungssignals S^ auf
seinen hohen Pegel ausführt.
Bei diesem Ausführungsbeispiel kann die Steuereinheit 4- einen Mikroprozessor mit einem digitalen Ausgang
zur Aufnahme des Hotfallentscheidungssignals S^ enthalten.
Um jede Unterbrechung zu reservieren, kann ein Bit des Speichers als eine Entscheidungsflagge
benutzt werden. So wird z.B. der Zustand, bei dem die Unterbrechung reserviert ist, aurch eine binäre
1 angegeben, und der Zustand, bei der die Reservierung der Unterbrechung gelöscht wird, wird durch eine binäre
O angegeben. In gleicher Weise kann ein Bit des Speichers zum Bestimmen, ob die Unterbrechung verarbeitet
wird, benutzt werden.
Bei dem erfindungsgemäßen Steuersystem ändert sich das
Wotfallentscheidungssignal S^, zwischen seinen hohen
und niedrigen Pegeln abwechselnd, wenn Unterbrechungssignale in geeigneter Weise an die Steuereinheit gegeben
werden, und das Steuerprogramm in geeigneter Weise ausgeführt wird. Wenn jedoch das Steuerprogramm
z.B. während der Ausführung der Unterbrechung 1 aus irgendwelchen Gründen anhält, werden die durch die
Blöcke F^r7 und JB1Q angegebenen Programmteile nicht ausgeführt.
Die Unterbrechungsannähme wird daher im erlaubten
Zustand gehalten und die Angabe des Zustandes, daß die Unterbrechung 1 ausgeführt wird, wird nicht gelöscht
030043/0721
gehalten, so daß die Programmsteuerung immer zum Block F^. weitergelangt. Gleiche Zustände treten auf,
wenn das Steuerprogramm während der Ausführung der
Unterbrechung 2 oder 3 anhält. Dadurch wird das No tfallentscheidungssignal S^, auf dem Pegel gehalten,
der auftritt, wenn das Programm anhält. Wenn, das Steuerprogramm während der Ausführung der Grundarbeit anhält,
wird das Notfallentscheidungssignal S^ auf seinem
hohen Pegel gehalten, der beim Block JF^t- eingestellt
wird.
Diese anormalen Zustände können durch Benutzung, der
Notfallentscheidungsschaltung 6 erfaßt werden, die ein Notfallsignal Sj- erzeugt, wenn das Notfallentscheidungssignal
auf seinem einen Pegel während einer Zeitdauer gehalten wird, die länger als ein bestimmter Wert ist.
Das erfindungsgemäße Steuersystem umfaßt eine Einrichtung zum Erfassen anormaler Zustände, bei denen das
Steuerprogramm während einer Unterbrechungsverarbeitung oder einer Durchführung der Grundarbeit anhält, um eine
Notfallverarbeitung durchzuführen, wie ein Rücksetzen
der Steuereinheit, damit eine Verschlechterung der Arbeitsweise des Steuersystems verhindert wird. Die anormalen
Zustände, die das erfindungsgemäße Steuersystem erfassen kann, umfassen die Fälle, bei denen keine
Unterbrechung angenommen wird, selbst wenn die Steuereinheit irgendein Unterbrechungssignal empfängt, wenn
die Steuereinheit nicht in geeigneter Weise infolge von zeitlichen Schwierigkeiten in den Registern und Signalleitungen
weiterschreitet, und wenn häufige Unterbrechungen auftreten, um eine Ausführung der Grundarbeit
infolge &s Auftretens anormaler Zustände in der von
0043/0721
dem Steuersystem zu steuernden Einrichtung zu verhindern, wie infolge ungewöhnlich hoher Drehzahlen
der Brennkraftmaschine.
Obwohl die Erfindung in Verbindung mit besonderen Ausführungsbeispielen
erläutert wurde, sind selbstverständlich viele Änderungen, Modifikationen und Abwandlungen
für den Fachmann sofort zu erkennen. Diese Änderungen, Modifikationen und Abwandlungen fallen daher
alle unter den allgemeinen Erfindungsgedanken, wie
er durch die Patentansprüche umrissen ist.
030043/0721
Claims (6)
- P *.T E N TA N WA LT EA. GRUNECKERDtPL tPJfiH. KINKELDEYMl INC.W. STOCKMAIRPTX ING - AeE ICALTECH)K. SCHUMANNDft RER NAT. - DIPU-PHVSP. H. JAKOBDtPU-ING.G. BEZOLDDH REaNAT- WPL-CHEMNISSMi MOTOR COMPAQ, LIMITED2, Takara-cho, Kanagawa-ku, Xokohama-shi,Kanagawa-ken, Japan8 MÜNCHENMAXIMILIANSTRASSE51. März 1980 P 14- 928Eehlergesicherte Einrichtung zur Benutzung
eines digitalen RechnersPatentansprüchelehlergesicherte Einrichtung zur Benutzung eines digitalen Rechners mit einem Mikroprozessor, einem
Programmspeicher, in dem mindestens ein erstes Programm gespeichert ist, um eine Unterbrechung vorzunehmen, und ein zweites Programm gespeichert ist, um
eine Grundarbeit durchzuführen, gekennzeichnet durch:a) einen Programmteil in dem ersten Programm, damit030.043/0721TEUSFON (O8D) Q0 2B6aTELEX Ο5-29 38ΟTELEGRAMME MONAPATTELEKOPIERERder Mikroprozessor (4) ein Notfallentscheidungssignal mit einem ersten Pegel erzeugt,b) einen Programmteil in dem zweiten Programm zum Indern des Notfallentscheidungssignals auf seinen zweiten Pegel,c) eine auf das Ausgangssignal des Mikroprozessors (4-) ansprechende erste Einrichtung (6) zum Erzeugen eines ITo tf all signals, wenn die Zeitdauer, während der das Notfallentscheidungssignal auf dem ersten oder zweiten Pegel gehalten wird, einen bestimmten Wert überschreitet, undd) eine auf das Notfallsignal von der ersten Einrichtung (6) ansprechende zweite Einrichtung (7) zum Durchführen der Notfallverarbeitung. - 2. Einrichtung nach Anspruch 1, dadurch gekennzeichnet, daß der Rechner mehrere, in dem ersten Programmspeicher (5) gespeicherte erste Programme hat und daß nur eines der ersten Programme einen Programmteil zum Ändern des Notfallentscheidungssignals auf seinen ersten Pegel hat.
- 3- Einrichtung nach Anspruch 2, dadurch gekennzeichnet, daß eine weitere Unterbrechung während der Verarbeitung einer Unterbrechung auftritt, wobei die weitere Unterbrechung nach der Beendigung der einen Unterbrechung angenommen und durchgeführt wird.030043/07213012A25
- 4. Einrichtung nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß die zweite Einrichtung (7) zum Zurücksetzen des Rechners auf das Notfallsignal anspricht.
- 5- Einrichtung nach einem der Ansprüche Λ "bis 3, dadurch gekennzeichn et, daß die zweite Einrichtung (7) zum Beenden der Arbeitsweise des Rechners auf das Notfallsignal anspricht.
- 6. Einrichtung nach einem der Ansprüche Λ bis 3, dadurch gekennzeichnet, daß die zweite Einrichtung (7) zum Erzeugen eines Alarms auf das Notfallsignal anspricht.030043/0721
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP54038399A JPS6032217B2 (ja) | 1979-04-02 | 1979-04-02 | 制御用コンピュ−タのフェィルセ−フ装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
DE3012425A1 true DE3012425A1 (de) | 1980-10-23 |
Family
ID=12524208
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE19803012425 Ceased DE3012425A1 (de) | 1979-04-02 | 1980-03-31 | Fehlergesicherte einrichtung zur benutzung eines digitalen rechners |
Country Status (5)
Country | Link |
---|---|
US (1) | US4410938A (de) |
JP (1) | JPS6032217B2 (de) |
DE (1) | DE3012425A1 (de) |
FR (1) | FR2453442A1 (de) |
GB (1) | GB2050013B (de) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE3225712A1 (de) * | 1982-07-09 | 1984-01-12 | Maschf Augsburg Nuernberg Ag | Verfahren und vorrichtung zur funktionspruefung von rechnern |
DE3644631A1 (de) * | 1985-12-28 | 1987-07-02 | Honda Motor Co Ltd | Unregelmaessigkeiten ermittelnder mikrocomputer |
DE4219903A1 (de) * | 1991-06-17 | 1993-02-11 | Mitsubishi Electric Corp | Numerische steuerungseinheit mit ablaufplan-ueberspringfunktion |
DE19614128A1 (de) * | 1996-04-10 | 1997-10-23 | Agie Ag Ind Elektronik | Verfahren und Vorrichtung zur Steuerung einer Werkzeugmaschine, insbesondere einer Funkenerosionsmaschine |
Families Citing this family (52)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE2838619A1 (de) * | 1978-09-05 | 1980-03-20 | Bosch Gmbh Robert | Einrichtung zum steuern von betriebsparameterabhaengigen und sich wiederholenden vorgaengen fuer brennkraftmaschinen |
JPS57155601A (en) * | 1981-03-20 | 1982-09-25 | Nippon Denso Co Ltd | Car safety device |
JPS57182858A (en) * | 1981-05-06 | 1982-11-10 | Japan Electronic Control Syst Co Ltd | Monitor circuit for program runaway in computer |
US4704685A (en) * | 1982-04-09 | 1987-11-03 | Motorola, Inc. | Failsafe engine fuel control system |
DE3214006A1 (de) * | 1982-04-16 | 1983-10-20 | Robert Bosch Gmbh, 7000 Stuttgart | Vorrichtung zum ruecksetzen von rechenschaltungen |
US4514846A (en) * | 1982-09-21 | 1985-04-30 | Xerox Corporation | Control fault detection for machine recovery and diagnostics prior to malfunction |
JPS5968004A (ja) * | 1982-10-12 | 1984-04-17 | Honda Motor Co Ltd | 車載用コンピユ−タのフエイルセ−フ方法 |
JPS59116858A (ja) * | 1982-12-23 | 1984-07-05 | Fujitsu Ltd | マシンチエツク割込み処理方式 |
FR2539887B1 (fr) * | 1983-01-20 | 1985-07-26 | Tech Europ Commutation | Procede pour assurer la securite du fonctionnement d'un automate programmable et automate pour la mise en oeuvre du procede |
DE3328450A1 (de) * | 1983-08-06 | 1985-02-28 | Daimler-Benz Ag, 7000 Stuttgart | Verfahren zur ueberpruefung von messfuehlern |
DE3332626A1 (de) * | 1983-09-09 | 1985-03-28 | Siemens AG, 1000 Berlin und 8000 München | Schaltungsanordnung zum erkennen von statischen und dynamischen fehlern in schaltungsbaugruppen |
NL8303167A (nl) * | 1983-09-14 | 1985-04-01 | Philips Nv | Alleenstaande dienstverlenende inrichting met micro-computer, die beschermd is tegen storingen. |
DE3343227A1 (de) * | 1983-11-30 | 1985-06-05 | Robert Bosch Gmbh, 7000 Stuttgart | Verfahren zur ueberwachung von elektronischen rechenbausteinen, insbesondere mikroprozessoren |
US4586179A (en) * | 1983-12-09 | 1986-04-29 | Zenith Electronics Corporation | Microprocessor reset with power level detection and watchdog timer |
US4599695A (en) * | 1984-05-25 | 1986-07-08 | Motorola, Inc. | Microprocessor transient interrupt system adaptable for engine control |
US4649537A (en) * | 1984-10-22 | 1987-03-10 | Westinghouse Electric Corp. | Random pattern lock and key fault detection scheme for microprocessor systems |
US4635258A (en) * | 1984-10-22 | 1987-01-06 | Westinghouse Electric Corp. | System for detecting a program execution fault |
US4764893A (en) * | 1985-04-26 | 1988-08-16 | International Business Machines Corporation | Noise-immune interrupt level sharing |
US4866607A (en) * | 1985-05-06 | 1989-09-12 | Halliburton Company | Self-contained downhole gauge system |
US4920538A (en) * | 1985-06-28 | 1990-04-24 | International Business Machines Corporation | Method of checking the execution of microcode sequences |
US4695941A (en) * | 1985-07-29 | 1987-09-22 | General Electric Company | Loss of electrical feedback detector |
US4727549A (en) * | 1985-09-13 | 1988-02-23 | United Technologies Corporation | Watchdog activity monitor (WAM) for use wth high coverage processor self-test |
JPS62106524A (ja) * | 1985-11-01 | 1987-05-18 | Clarion Co Ltd | 車載用の機器のマイクロコンピユ−タリセツト回路 |
US4785417A (en) * | 1986-04-28 | 1988-11-15 | Pitney Bowes Inc. | Electronic postage meter having an out of sequence checking arrangement |
JPS6315340A (ja) * | 1986-07-07 | 1988-01-22 | Oki Electric Ind Co Ltd | 電子制御装置の誤動作検出方式 |
JPH06103472B2 (ja) * | 1986-10-29 | 1994-12-14 | 日本電気株式会社 | デバツグ用マイクロプロセツサ |
JPS63193242A (ja) * | 1987-02-05 | 1988-08-10 | Honda Motor Co Ltd | 制御装置の誤動作検出方法 |
JPS6461830A (en) * | 1987-08-31 | 1989-03-08 | Aisin Seiki | Protecting device for automobile microcomputer |
US5311451A (en) * | 1987-11-06 | 1994-05-10 | M. T. Mcbrian Company, Inc. | Reconfigurable controller for monitoring and controlling environmental conditions |
JP2646482B2 (ja) * | 1987-12-10 | 1997-08-27 | スズキ株式会社 | 車両用エンジンコントローラの診断装置 |
US5233613A (en) * | 1988-03-29 | 1993-08-03 | Advanced Micro Devices, Inc. | Reliable watchdog timer |
JP2834210B2 (ja) * | 1988-09-14 | 1998-12-09 | 株式会社日立製作所 | リング状ネットワークにおけるメッセージ制御方法 |
US4982404A (en) * | 1988-10-12 | 1991-01-01 | American Standard Inc. | Method and apparatus for insuring operation of a multiple part system controller |
JPH03142539A (ja) * | 1989-10-30 | 1991-06-18 | Nec Commun Syst Ltd | Cpuの暴走検出方式 |
US5222220A (en) * | 1989-11-16 | 1993-06-22 | Mehta Hemang S | Microprocessor stack built-in guards |
US5491631A (en) * | 1991-12-25 | 1996-02-13 | Honda Giken Kogyo Kabushiki Kaisha | Fault diagnostic system for vehicles using identification and program codes |
JPH0683652A (ja) * | 1992-08-31 | 1994-03-25 | Sharp Corp | マイクロコンピュ−タシステム |
JPH06168163A (ja) * | 1992-09-30 | 1994-06-14 | Nec Home Electron Ltd | Cpu監視方法及びcpu監視装置 |
US5482050A (en) * | 1994-02-17 | 1996-01-09 | Spacelabs Medical, Inc. | Method and system for providing safe patient monitoring in an electronic medical device while serving as a general-purpose windowed display |
DE19508793A1 (de) * | 1995-03-14 | 1996-09-19 | Bosch Gmbh Robert | Schaltung zum Betreiben von Rechenbausteinen, insbesondere Mikroprozessoren |
JPH09160807A (ja) * | 1995-12-06 | 1997-06-20 | Mitsuba Corp | マイクロプロセッサの誤動作検出方法 |
US6202174B1 (en) * | 1996-09-16 | 2001-03-13 | Advanced Micro Devices Inc | Method for identifying and correcting errors in a central processing unit |
DE19735319A1 (de) | 1997-08-14 | 1999-02-18 | Bayerische Motoren Werke Ag | Elektronisches Steuergerät |
DE19739530C1 (de) * | 1997-09-09 | 1998-12-24 | Siemens Ag | Schaltungsanordnung zur Erzeugung eines Interruptsignals für einen Mikroprozessor |
US6012154A (en) * | 1997-09-18 | 2000-01-04 | Intel Corporation | Method and apparatus for detecting and recovering from computer system malfunction |
FR2770917A1 (fr) * | 1997-11-07 | 1999-05-14 | Peugeot | Systeme de controle du fonctionnement d'un calculateur de pilotage d'organes fonctionnels d'un vehicule automobile |
JP2002158668A (ja) * | 2000-11-17 | 2002-05-31 | Denso Corp | 車両用ネットワークシステムの異常検出装置 |
JP2004102324A (ja) * | 2002-09-04 | 2004-04-02 | Oki Electric Ind Co Ltd | 割り込みプログラムモジュール、該モジュールを記録した記録媒体およびモニタのための割り込み処理が可能のコンピュータ |
DE102005008975A1 (de) * | 2005-02-28 | 2006-08-31 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Überwachung einer Prozessausführung |
WO2008052585A1 (de) * | 2006-11-03 | 2008-05-08 | Bayerische Motoren Werke Aktiengesellschaft | Fehlerverfolgung im datenbus-system eines fahrzeugs |
US8347149B2 (en) * | 2008-10-01 | 2013-01-01 | Cardiac Pacemakers, Inc. | System and method for providing fault tolerant processing in an implantable medical device |
JP5861438B2 (ja) * | 2011-12-16 | 2016-02-16 | 株式会社オートネットワーク技術研究所 | 制御装置及び処理監視方法 |
Family Cites Families (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US3568157A (en) * | 1963-12-31 | 1971-03-02 | Bell Telephone Labor Inc | Program controlled data processing system |
US3312951A (en) * | 1964-05-29 | 1967-04-04 | North American Aviation Inc | Multiple computer system with program interrupt |
US3504347A (en) * | 1967-07-03 | 1970-03-31 | Gen Electric | Interrupt monitor apparatus in a computer system |
US3593299A (en) * | 1967-07-14 | 1971-07-13 | Ibm | Input-output control system for data processing apparatus |
US3566368A (en) * | 1969-04-22 | 1971-02-23 | Us Army | Delta clock and interrupt logic |
BE758981A (fr) * | 1969-11-14 | 1971-05-17 | Westinghouse Electric Corp | Systeme de controle des erreurs de fonctionnement d'un processus industriel |
US3644936A (en) * | 1970-01-23 | 1972-02-22 | Boole & Babbage Inc | Method for measuring performance of a general purpose digital computer |
US3749897A (en) * | 1971-09-03 | 1973-07-31 | Collins Radio Co | System failure monitor title |
US3996567A (en) * | 1972-05-23 | 1976-12-07 | Telefonaktiebolaget L M Ericsson | Apparatus for indicating abnormal program execution in a process controlling computer operating in real time on different priority levels |
US3795800A (en) * | 1972-09-13 | 1974-03-05 | Honeywell Inf Systems | Watchdog reload initializer |
FR2269148B1 (de) * | 1974-04-25 | 1978-01-20 | Honeywell Bull Soc Ind | |
GB1502184A (en) * | 1974-07-05 | 1978-02-22 | Sperry Rand Corp | Automatic flight control systems |
US3919533A (en) * | 1974-11-08 | 1975-11-11 | Westinghouse Electric Corp | Electrical fault indicator |
US4044337A (en) * | 1975-12-23 | 1977-08-23 | International Business Machines Corporation | Instruction retry mechanism for a data processing system |
US4072852A (en) * | 1976-08-23 | 1978-02-07 | Honeywell Inc. | Digital computer monitoring and restart circuit |
US4218739A (en) * | 1976-10-28 | 1980-08-19 | Honeywell Information Systems Inc. | Data processing interrupt apparatus having selective suppression control |
US4145735A (en) * | 1977-02-02 | 1979-03-20 | Nippon Steel Corporation | Monitor for priority level of task in information processing system |
US4118792A (en) * | 1977-04-25 | 1978-10-03 | Allen-Bradley Company | Malfunction detection system for a microprocessor based programmable controller |
JPS6060024B2 (ja) * | 1977-10-19 | 1985-12-27 | 株式会社日立製作所 | エンジン制御方法 |
US4255789A (en) * | 1978-02-27 | 1981-03-10 | The Bendix Corporation | Microprocessor-based electronic engine control system |
US4231106A (en) * | 1978-07-13 | 1980-10-28 | Sperry Rand Corporation | Performance monitor apparatus and method |
US4270168A (en) * | 1978-08-31 | 1981-05-26 | United Technologies Corporation | Selective disablement in fail-operational, fail-safe multi-computer control system |
US4213178A (en) * | 1978-10-23 | 1980-07-15 | International Business Machines Corporation | Input/output command timing mechanism |
BE887134A (fr) * | 1979-12-14 | 1981-05-14 | Gte Automatic Electric Lab Inc | Circuit expanseur d'interruption |
US4323966A (en) * | 1980-02-05 | 1982-04-06 | The Bendix Corporation | Operations controller for a fault-tolerant multiple computer system |
-
1979
- 1979-04-02 JP JP54038399A patent/JPS6032217B2/ja not_active Expired
-
1980
- 1980-03-28 GB GB8010490A patent/GB2050013B/en not_active Expired
- 1980-03-31 DE DE19803012425 patent/DE3012425A1/de not_active Ceased
- 1980-04-01 US US06/136,403 patent/US4410938A/en not_active Expired - Lifetime
- 1980-04-01 FR FR8007345A patent/FR2453442A1/fr active Granted
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE3225712A1 (de) * | 1982-07-09 | 1984-01-12 | Maschf Augsburg Nuernberg Ag | Verfahren und vorrichtung zur funktionspruefung von rechnern |
DE3644631A1 (de) * | 1985-12-28 | 1987-07-02 | Honda Motor Co Ltd | Unregelmaessigkeiten ermittelnder mikrocomputer |
DE4219903A1 (de) * | 1991-06-17 | 1993-02-11 | Mitsubishi Electric Corp | Numerische steuerungseinheit mit ablaufplan-ueberspringfunktion |
DE19614128A1 (de) * | 1996-04-10 | 1997-10-23 | Agie Ag Ind Elektronik | Verfahren und Vorrichtung zur Steuerung einer Werkzeugmaschine, insbesondere einer Funkenerosionsmaschine |
DE19614128C2 (de) * | 1996-04-10 | 2001-03-01 | Agie Sa | Verfahren und Vorrichtung zur Steuerung einer Werkzeugmaschine, insbesondere einer Funkenerosionsmaschine |
Also Published As
Publication number | Publication date |
---|---|
JPS55131852A (en) | 1980-10-14 |
FR2453442B1 (de) | 1984-03-30 |
US4410938A (en) | 1983-10-18 |
JPS6032217B2 (ja) | 1985-07-26 |
FR2453442A1 (fr) | 1980-10-31 |
GB2050013A (en) | 1980-12-31 |
GB2050013B (en) | 1983-11-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE3012425A1 (de) | Fehlergesicherte einrichtung zur benutzung eines digitalen rechners | |
DE2913999C2 (de) | Einrichtung zum Prüfen von Systemprogrammen numerischer Steuerungen für Werkzeugmaschinen | |
EP0011685B1 (de) | Programmierbare Speicherschutzeinrichtung für Mikroprozessorsysteme und Schaltungsanordnung mit einer derartigen Einrichtung | |
DE4410775C2 (de) | Steuergerät und Arbeitsverfahren eines Betriebssystems für dieses Steuergerät | |
DE4111072C2 (de) | ||
DE2722124A1 (de) | Anordnung zum feststellen des prioritaetsranges in einem dv-system | |
DE3644631C2 (de) | ||
DE2756890A1 (de) | Datenverarbeitungssystem | |
DE69114328T2 (de) | Überwachung von Mikroprozessoren. | |
DE10235564A1 (de) | Verfahren zum Überwachen eines Mikroprozessors und Schaltungsanordnung mit einem Mikroprozessor | |
DE3036926C2 (de) | Verfahren und Anordnung zur Steuerung des Arbeitsablaufes in Datenverarbeitungsanlagen mit Mikroprogrammsteuerung | |
DE3507584C2 (de) | ||
DE2064383B2 (de) | Datenverarbeitungsanlage mit mehreren zentralen Verarbeitungseinrichtungen | |
DE112012002647B4 (de) | Erkennen eines durch Interrupt-Verarbeitung verursachten anormalen Betriebs | |
DE3780335T2 (de) | Prozesssteuerungssystem und -verfahren. | |
DE102013213087A1 (de) | Überwachungsschaltung mit einem fenster-watchdog | |
DE2622140C3 (de) | Einrichtung zur Steuerung manueller Operationen | |
DE69127008T2 (de) | Anzeigesteuergerät, das eine deutliche Anzeige der Betriebsleistung eines arithmetischen Prozessors ermöglicht | |
DE2949806C2 (de) | Digitales Ausfiltern von Störimpulsen | |
DE4319881B4 (de) | Verfahren zur Verarbeitung von Interruptsignalen einer Interruptquelle | |
DE2657404A1 (de) | Steuerwerk | |
DE3644248C2 (de) | ||
DE2216533C3 (de) | Anordnung zur Steuerung der Durchführung mehrerer Aufgaben in einer DTENVERARBEITUNGSANLAGE | |
EP0989494B1 (de) | Zweikanaliger sicherheitsgerichteter Zähler | |
DE19824568C2 (de) | Verfahren und Schaltungsanordnung zur Berücksichtigung von Ereignissen im Zuge des Ablaufs eines Programms, insbesondere in einer programmgesteuerten Vermittlungseinrichtung |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OAP | Request for examination filed | ||
OD | Request for examination | ||
8131 | Rejection |