DE3537416A1 - Elektronische steuereinheit - Google Patents

Elektronische steuereinheit

Info

Publication number
DE3537416A1
DE3537416A1 DE19853537416 DE3537416A DE3537416A1 DE 3537416 A1 DE3537416 A1 DE 3537416A1 DE 19853537416 DE19853537416 DE 19853537416 DE 3537416 A DE3537416 A DE 3537416A DE 3537416 A1 DE3537416 A1 DE 3537416A1
Authority
DE
Germany
Prior art keywords
data word
control unit
data
electronic control
random
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE19853537416
Other languages
English (en)
Inventor
Leland Louis Lima Ohio Kessler
Mark Allen Ada Ohio Rosswurm
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sundstrand Corp
Original Assignee
Westinghouse Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Westinghouse Electric Corp filed Critical Westinghouse Electric Corp
Publication of DE3537416A1 publication Critical patent/DE3537416A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0763Error or fault detection not based on redundancy by bit configuration check, e.g. of formats or tags
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)
  • Hardware Redundancy (AREA)
  • Control Of Motors That Do Not Use Commutators (AREA)
  • Selective Calling Equipment (AREA)
  • Soundproofing, Sound Blocking, And Sound Damping (AREA)
  • Storage Device Security (AREA)

Description

- 4 - WS437P-2996
Elektronische Steuereinheit
Die Erfindung betrifft eine elektronische Steuereinheit zur Feststellung von Fehlern in Mikroprozessorsystemen.
Wenn ein Fehler in einem elektrischen System dazu führen kann, daß Leben oder Eigentum extrem gefährdet werden, ist es von wesentlicher Bedeutung, daß das System mit engen Toleranzen gesteuert wird. Jeder Ausfall im System oder der Steuereinheit sollte eine sofortige Korrektur auslösen. Zur Konstruktion eines elektrischen Systems, das hochverläßliche Steuerfunktionen ausführt, sind verschiedene Möglichkeiten bekannt. Zu diesen Techniken gehören Reserve-Logikschaltkreise, Majoritätsverfahren und spezielle Datenverarbeitungsverfahren.
Es ist wichtig, daß Mikroprozessorsysteme, die in kritischen Steueranwendungen eingesetzt werden, irgendwelche Vorrichtungen enthalten, mit denen Ausfälle im Mikroprozessor und der Peripherie festgestellt werden können, um Schaden durch ein ausgefallenes System zu verhindern. Detektionseinrichtungen für Ausfälle werden verwendet, um die Ausgangssignale des Systems auf vorbestimmte Zustände zu zwingen, oder zu verhindern, daß der Ausgangszustand des Systems sich nach der Feststellung eines Ausfalls ändert. Dabei besteht der Wunsch, die Einrichtung zum Feststellen von Fehlern so auszugestalten, daß sie den Mikroprozessor in ausreichender Weise prüft und gleichzeitig dem gesteuerten System
keinen
- 5 - WS437P-2996
keinen unnötigen Hardware- oder Softwareaufwand hinzufügt.
Das am 11. Oktober 1983 an den Erfinder Kraus ausgegebene US Patent 4,409,635 beschreibt ein Verfahren zur Feststellung von Ausfällen in einem Mikroprozessor. Das Verfahren dieses Patents erfordert, daß der Mikroprozessor einen Nur-Lesespeicher (ROM) mit festem Muster ausliest, um Selbstprüf-Routinen einzuleiten. Die sich daraus ergebenden Selbstprüf-Daten werden zusammen mit dem korrekten Ausgang aus dem Selbstprüf-ROM einem Komparator zugeführt. Wenn der Datenausgang des Mikroprozessors mit dem ROM-Ausgang übereinstimmt, gibt der Komparator eine logische eins aus. Ein korrekter Ausgang setzt einen Monoflop in Gang, um den Wert eines binären Zählers zu erhöhen, der eine weitere Selbstprüf-Routine aus dem ROM ausliest, die vom Mikroprozessor durchgeführt werden soll. Während der Mikroprozessor die Selbstprüfung ausführt, ist der Ausgang des Komparators null, da die vorher verriegelten Daten nicht mit den neuen ROM-Daten übereinstimmen. Arbeitet das System noriral, so ist das Ausgangssignal des Komparators eine Rechteckwelle. Diese Rechteckwelle wird dann verstärkt, gefiltert und gleichgerichtet, um eine UND-Torschaltung freizugeben, mit der die Mikroprozessorsteuerung des Systems erlaubt wird. Fällt ein beliebiger Teil des Mikroprozessorsystems aus, so geht die Rechteckwelle des Komparators verloren, und der Mikroprozessor verliert die Steuerung des Systems. Auf den Inhalt des US Patents 4,409,635 wird hiermit ausdrücklich Bezug genommen.
Obwohl das beschriebene im Stand der Technik bekannte Verfahren zur Feststellung von Fehlern das Mikroprozessorsystem
- 6 - WS437P-2996
zessorsystem in ausreichender Weise prüft und ihm bei Auftreten eines Fehlers die Steuerung des Systems entzieht, sind Hardware- und Verwaltungsaufwand bei diesem Verfahren nicht tragbar. Der dort verwendete Schaltkreis erfordert einen speziell dafür vorgesehenen Nur-Lesespeicher, einen Komparator, einen Monoflop, einen binären Zähler, einen Verstärker, ein Bandpassfilter und einen Vollwellengleichrichter, um das Verfahren zur Feststellung von Ausfällen zu implementieren. Es besteht daher der Wunsch nach einem Verfahren zur Feststellung von Fehlern, das mit einer geringeren Anzahl von Hardwarekomponenten aufgebaut werden kann.
Die vorliegende Erfindung stellt sich daher die Aufgabe, eine effektive Feststellung von Fehlern in einem Mikroprozessorsteuersystem zu ermöglichen und den dazu erforderlichen Schaltungsaufwand gering zu halten. Die Aufgabe wird durch die im Anspruch 1 beschriebene Erfindung gelöst; Ausgestaltungen der Erfindung sind in den abhängigen Ansprüchen gekennzeichnet.
Das von der Erfindung vorgeschlagene Verfahren zur Feststellung von Fehlern verwendet ein Zufallsmuster, das nach dem Prinzip von Schloß und Schlüssel verarbeitet wird. Dazu empfängt der Mikroprozessor ein Zufallsdatenwort, das während der Prüfung in einer Weise verarbeitet wird, daß ein Ausgangsdatenwort entsteht, das eine bestimmte Beziehung zu dem Zufallsdatenwort aufweist. Dieses Ausgangsdatenwort und das Zufallsdaten-
3Q wort werden kombiniert und ergeben ein vorbestimmtes Datenwort, das erforderlich ist, um die Steuerung des elektrischen Systems durch den Mikroprozessor aufrechtzuerhalten.
Die
- 7 - WS437P-2996
Die bevorzugte Ausführungsform der Erfindung wird nun als Beispiel mit Bezug auf die beigefügten Zeichnungen beschrieben; dabei zeigen:
Fig. 1 ein logisches Schaltbild einer Steuereinheit, die gemäß einem Ausführungsbeispiel der vorliegenden Erfindung aufgebaut ist;
Fig. 2 ein Flußdiagramm zur Erläuterung des Betriebs der Steuereinheit dieser Erfindung;
Fig. 3 eine schematische Schaltung einer Vier-Bit-Steuereinheit, die gemäß der vorliegenden Erfindung aufgebaut ist;
Fig. 4 eine logische Schaltung einer Acht-Bit-Steuereinheit, die gemäß dieser Erfindung aufgebaut ist;
Fig. 5 eine Reihe von Schwingungsformen zur Erläuterung des Betriebs der Schaltung in Fig. 3; und
Fig. 6 eine schematische Schaltung eines elektrischen Energieerzeugungssystems, in dem die Steuer
einheit der vorliegenden Erfindung eingebaut ist.
Fig. 1 zeigt ein logisches Schaltdiagramm einer elektronischen Steuereinheit, die gemäß einer Ausführungsform der vorliegenden Erfindung aufgebaut ist. Vorhandene zufällige Signale 10 dienen als Eingänge zur Erzeugung eines Zufallsdatenworts, das eine Mehrzahl von Bits aufweist. Dieses Zufallsdatenwort wird dann in einem
Schieberegister
- 8 - WS437P-2996
Schieberegister 12 gespeichert. Ein Mikroprozessorsystem 14 dient als Systemdatenprozessor und liest das in dem Schieberegister 12 gespeicherte Zufallsdatenwort über Datenleitung 16. Nach dem Auslesen des Datenworts gibt das Mikroprozessorsystem 14 das gleiche Zufallsdatenwort auf Datenleitung 18 aus, um das Zufallsdatenwort wieder in das Schieberegister 12 einzuschreiben. Dann führt das Mikroprozessorsystem eine Reihe von Selbstprüfungen durch, um anschließend ein erstes Datenwort auf Datenleitung 18 auszugeben, wobei das erste Datenwort eine bestimmte Beziehung zu dem Zufallsdatenwort aufweist. Eine Exklusiv-ODER-Torschaltung 20 kombiniert das erste Datenwort mit dem Zufallsdatenwort. Zwischen dem ersten Datenwort und dem Zufallsdatenwort besteht eine solche Beziehung, daß an den Ausgängen des Schieberegisters 12 ein vorbestimmtes zweites Datenwort entsteht. Nach Abschluß der Selbstprüf-Routinen des Mikroprozessorsystems wird das zweite Datenwort den Eingängen von Komparator 22 zugeführt und vom Mikroprozessorsystem auf Datenleitung 24 ein Öffnungsimpuls erzeugt. Wenn das zweite Datenwort korrekt ist, gibt der Komparator auf Datenleitung 26 ein Entriegelungssignal aus. Eine Zeitüberwachungsschaltung 28 (Totmann-Zeitgeber) empfängt das Entriegelungssignal auf Datenleitung 30 und hält auf Datenleitung 32 einen vorbestimmten logischen Pegel aufrecht, wenn der Zeitabstand zwischen zwei aufeinanderfolgenden Entriegelungssignalen eine vorbestimmte Ausfallzeit nicht überschreitet. Das Entriegelungssignal wird einer Datenverriegelung 34 zugeführt, mit der das zugehörige elektrische System über Eingangs- bzw. Ausgangsleitungen 36 und 38 gesteuert wird. Datenverriegelung 34 kann eine Schnittstellenschaltung enthalten, wie sie beispielsweise in den Figuren 4, 5 und 6 des US Patents 4,409,635 angegeben ist.
Ein
9 - WS437P-2996
Ein einmaliges Merkmal der Steuereinheiten der vorliegenden Erfindung besteht darin, daß ein Zufallsmuster in bezug auf den Takt des Mikroprozessorsystems als die Kombination verwendet wird, die erforderlich ist, um die Verriegelung zu entriegeln. Die Verwendung eines Zufallsmusters stellt sicher, daß der Mikroprozessor ordnungsgemäß arbeitet, da ein festes Schlüsseldatenwort, d. h. das erste Datenwort, nicht immer in der Lage ist, die Verriegelung zu entriegeln und den Systemzustand zu ändern. Der Einbau der Zeitüberwachungsschaltung 28 bewirkt, daß ein Sperrsignal auf Datenleitung 32 auftritt, wenn keine aufeinanderfolgenden Entriegelungssignale erzeugt werden, so daß die Datenverriegelung 34 keine neuen Daten akzeptieren kann. Es ist darauf hinzuweisen, daß das Verfahren mit dem Zufallsmuster hardwaremäßig mit nur zwei üblichen integrierten Schaltkreisen implementiert werden kann.
Fig. 2 zeigt ein Flußdiagramm zur Erläuterung des Betriebs der Schaltung von Fig. 1. Beginnend bei Block zur Initialisierung der Verriegelungsroutine werden die Eingangssignale mit Zufallsmuster in dem Schieberegister verriegelt, wie es im Block 42 dargestellt ist, wobei die Exklusiv-ODER-Torschaltung 20 für nicht komplementäre Daten eingestellt ist. Block 44 zeigt, daß das Zufallsdatenwort vom Schieberegister von dem Mikroprozessorsystem gelesen wird, wobei es gleichzeitig während des Lesens über Datenleitung 18 wieder an das Schieberegister zurückgeführt wird. Das Mikroprozessorsystem führt dann eine Reihe von Selbstprüf-Routinen durch und gibt ein erstes Datenwort und einen Taktstrom an das Schieberegister aus. Die Software im Mikroprozessorsystem bestimmt für jedes Bit des Ausgangsmusters, ob die Daten für den Eingang des Schieberegisters
- 10 - WS437P-2996
gisters durch die Exklusiv-ODER-Torschaltung in die Komplementärform übergeführt oder ungeändert gelassen werden müssen, um eine logische Eins in den Ausgang der ersten Stufe zu schieben. In der bevorzugten Ausführungsform wird die Exklusiv-ODER-Torschaltung auf Datenleitung 18 auf logisch eins gesetzt, wenn das gespeicherte Datenbit null war, so daß die Daten der ersten Stufe in Komplementärform vorliegen und somit der Ausgang des Schieberegisters nach einem Taktimpuls auf den Wert eins gesetzt ist. Wenn das gespeicherte Datenbit eine logische Eins war, wird der Eingang für die Exklusiv-ODER-Torschaltung auf Leitung 18 auf null gesetzt, so daß die Daten der ersten Stufe unverändert bleiben und eine logische Eins in die erste Stufe eingegeben wird. Jedes Bit der gespeicherten Zufallsdaten wird auf diese Weise analysiert und das erste Datenwort erscheint als ein Datenstrom, der vom Mikroprozessorsystem auf Leitung 18 erzeugt wird. Jedes Bit dieses ersten Datenworts ist so eingestellt, daß der Eingang für das Schieberegister auf einen geeigneten Wert geändert wird und nur logische Einsen in das Schieberegister eingeschoben werden. Diese Reihe von logischen Einsen stellt dann ein vorbestimmtes zweites Datenwort dar, das verwendet wird, um später das Entriegelungssignal zu erzeugen. Wenn das Mikroprozessorsystem richtig arbeitet, entsprechend Block 46 in Fig. 2, führt der Algorithmus dazu, daß das Schieberegister mit lauter logischen Einsen gefüllt ist und der Komparator 22 ein Freigabesignal erhält.
Wenn alle die zusätzlichen Selbstprüfungen, die während des vorangegangenen Programmzyklus durchgeführt werden, die richtige Betriebsweise der anderen Mikroprozesscrenkcir.ponenten anzeigen, wird das richtige
zweite
- 11 - WS437P-2996
zweite Datenwort, das in diesem Fall aus lauter logischen Einsen besteht, an den Komparator 22 geliefert, entsprechend der Darstellung in Block 48 von Fig. 2; dann wird nach Block 50 in Fig. 2 vom Mikroprozessor ein Öffnungsimpuls für das Entriegeln erzeugt. Hat der Mikroprozessor das ursprüngliche Zufallsmuster gelesen, dieses Zufallsmuster in das Register zurückgeführt, anschließend einen entsprechenden zufälligen Schlüssel als seriellen Datenstrom erzeugt, der schließlich das Register mit lauter Einsen füllt, wird ein Entriegelungssignal erzeugt. Dieses Entriegelungssignal erlaubt es, daß der Systemzustand in eine Datenverriegelung eingegeben und zur Steuerung des Systems verwendet werden kann. Sind nicht alle der oben erwähnten Bedingungen erfüllt, so bleibt die Verriegelung geschlossen, der Systemstatus kann sich nicht ändern und die Zeitüberwachungsschaltung empfängt keinen Rücksetζimpuls. Dann zeigt die Zeitüberwachungsschaltung eine Zeitüberschreitung an und sperrt die Datenverriegelung bezüglieh der Annahme weiterer Entriegelungssignale.
Fig. 3 ist eine schematische Schaltung der bevorzugten Ausführungsform der vorliegenden Erfindung für ein Vier-Bit-Zufallsmuster. Zur Implementierung des Schloß- und Schlüsselteils in der Einrichtung zur Feststellung von Fehlern sind nur zwei integrierte Schaltkreise erforderlich. Beim Betrieb werden die Zufallsdaten über eine Parallel/Seriell-Eingangsdatenleitung 54 in einem 4035 Schieberegister 12 verriegelt. Das Mikroprozessorsystens liest das Zufallsdatenmuster im Schieberegister aus, indem es das Schieberegister auf Datenleitung 56 taktet und gleichzeitig die Daten vom Ausgang Q
Schieberegisters eingibt. Eine interne Exlusiv-ODER-Torschaltung für den Q3-Ausgang ist auf nicht komplementierte
- 12 - WS437P-2996
mentierte Daten gesetzt, indem ein Eingangssignal wahr/komplementiert auf Datenleitung 18 auf logisch eins gesetzt wird. Damit kann das Zufallsmuster unverändert wieder in das Schieberegister eingegeben werden.
Nachdem das Muster gelesen ist, prüft das Mikroprczessorprograrnm Bit 3 des gespeicherten Musters und gibt ein unkomplementiertes Signal an den Eingang wahr/komplementiert des Schieberegisters aus. Da der Exklusiv-ODER-Ausgang Q-, des Schieberegisters auf den seriellen Eingang des Registers zurückgeführt ist, bewirkt das Exklusiv-ODER-Ausgangsbit 3, daß eine logische Eins zum Ausgang der ersten Schieberegisterstufe ausgeschoben wird. Bit 2 des gespeicherten Datenmusters wird dann geprüft und der Ausgang wieder auf den Wahr/komplementiert-Eingang des Schieberegisters gesetzt, bevor der Taktimpuls ausgegeben wird. Bits 1 und 0 werden in der gleichen Weise verarbeitet.
Wenn das Mikroprozessorsystem bis zum Ende des Datenstroms für das Schlüsselwort richtig arbeitet, wird das Schieberegister mit lauter Einsen gefüllt sein. Es ist zu beachten, daß der Exklusiv-ODER- und Schiebealgorithmus das Schieberegister das Schieberegister nicht mit lauter Einsen füllt, wenn das ursprüngliche Zufallsmuster nicht korrekt an das Schieberegister zurückgeschoben wurde, nachdem es ausgelesen war. Der Ausgang des Schieberegisters wird daher nicht gleich dem richtigen zweiten Datenwort sein. Außerdem ist zu bemerken, daß das Schieberegister am Ende der Routine nicht aus lauter Einsen besteht, wenn die Daten für den Wahr/komplementiert-Eingang des Schieberegisters auf hohem oder niedrigem Pegel bleiben.
Die
- 13 - WS437P-2996
Die Ausgänge des Schieberegisters sind mit den Eingängen eines 4073 UND-Torschaltungskomparators 22 verbunden. Nachdem der Mikroprozessor die Auffüllung des Schieberegisters beendet hat, wird auf Leitung 24 ein Entriegelung-öffnungsimpuls an Komparator 22 geschickt, wenn alle anderen während des vorhergehenden Programmzyklus durchgeführten Selbstprüfungen keinen Fehler anzeigen.
Hat der Mikroprozessor erfolgreich das Schieberegister mit lauter Einsen aufgefüllt, erzeugt der Entriegelungsöffnungsimpuls ein Entriegelungssignal auf Datenleitung 26. Dieses Entriegelungssignal wird von der Verriegelungsschaltung 34 verwendet, um neue Systemdaten einzugeben und um die Zeitüberwachungsschaltung 28 zurückzusetzen. Wenn das Entriegelungssignal nicht erzeugt ist, bleibt der Systemstatus der gleiche und die Zeitüberwachungsschaltung zeigt eine Zeitüberschreitung und damit einen Fehler an. Die Zeitüberwachungsschaltung wird auch als Eingang für die Verriegelungsschaltung verwendet, so daß ein Mikroprozessorausfall alle weiteren Änderungen in der Datenverriegelung verhindert.
Fig. 4 zeigt eine schematische Schaltung der bevorzugten Ausführungsform der vorliegenden Erfindung für ein Acht-Bit-Zufallsmuster. Diese Schaltung verwendet ein 4034 Schieberegister 12, eine 4070 Exklusiv-ODER-Torschaltung 60 und zwei 4073 UND-Netzwerke für den Komparator.
Fig. 5 gibt eine Reihe von Schwingungsformen wieder, mit denen die Betriebsweise der Steuereinheit erläutert werden kann, die in der schematischen Schaltung von Fig. 3 dargestellt ist. Schwingungsform A ist ein
- 14 - WS437P-2996
Datensignal, das auf einer Parallel/Seriell-Eingangsdatenleitung 54 des Schieberegisters erscheint. Schwingungsform B stellt das Taktsignal auf Datenleitung 56 dar. Schwingungsformen C, D, E und F sind die Eingangsdatenbits IQ, I-, I2 bzw. I3. Der Wahr/komplementär-Eingang auf Datenleitung 18 ist durch Schwingungsform G dargestellt. Schwingungsfcrmen H, I, J und K stellen die Ausgänge des Schieberegisters QQ, Q1, Q2 bzw. Q3 dar. Der Öffnungsimpuls auf Datenleitung 24 ist als Schwingungsform L dargestellt, und Schwingungsform M gibt den Entriegelungsausgang auf Datenleitung 26 wieder.
Fig. 6 zeigt ein auf eine Leitung reduziertes Diagramm eines elektrischen Energieerzeugungssystems mit Steuer- und Regeleinheiten, die gemäß der vorliegenden Erfindung aufgebaut sind. Dieses Energieerzeugungssystem enthält drei unabhängige Generatoren 100, 102 und 104. Generatorsteuereinheiten 106, 108 und 110 und die Steuereinheit 112 für die Stromschienenleistung überwachen das System und stellen sicher, daß die Leistung an die rechte Stromschiene 114 und die linke Stromschiene 116 unter normalen Bedingungen abgegeben wird, und wenn in einer einzigen Schaltung ein Fehler auftritt.
Schalter 118, 120 und 124 sind normalerweise geschlossen, während Schalter 122 und 126 normalerweise offen sind. Deshalb liefert unter normalen Bedingungen Generator Leistung an die linke Stromschiene 116 und Generator liefert Leistung an die rechte Stromschiene 114.
Jede. Steuereinheit von Fig. 6 ist entsprechend Fig. 4 aufgebaut. Steuereinheit 106 überwacht das Verhalten des Generators 100 über Datenleitung 128. Sie überwacht
auch
15 - WS437P-2996
auch die Verbindung zwischen Masse und der linken Stromschiene 116, indem sie den Strom vergleicht, der durch die Stromtransformatoren 130, 132 und 134 gemessen wird. Wenn die Parameter auf der Datenleitung 128 einen Ausfall im Generator 100 anzeigen oder der von den Stromtransformatoren 130, 132 und 134 gemessene Strom nicht gleich ist und so einen Leitungsausfall anzeigt, oder wenn die Selbstprüf-Routine der Steuereinheit 106 einen Fehler in der Steuereinheit 106 feststellt, geht die Steuereinheit 106 in einen verriegelten Ausgangszustand über, der den Schalter 118 öffnet und die Steuereinheit 112 über Datenleitung 136 informiert, daß ein Fehler aufgetreten ist. Steuereinheit 112 antwortet darauf durch Schließen des Schalters 122, so daß der Generator 102 Leistung an die linke Stromschiene 116 liefern kann.
Steuereinheit 108 überwacht die Funktion des Generators 102 über Datenleitung 138. Die Leitungsverbxndungen zwischen Masse und der linken Stromschiene 116 werden von der Steuereinheit 108 überwacht, indem der Strom mit Stromtransformatoren 140, 142 und 144 gemessen wird. Ein Ausfall im Generator 102, seinen zugehörigen Leitungsverbxndungen oder der Steuereinheit 108 führt dazu, daß der Schalter 124 geöffnet wird und die Steuer-
einheit 112 über Datenleitung 146 von dem Fehler informiert wird.
Steuereinheit 110 führt ähnliche Funktionen aus wie Steuereinheit 106, aber für die Schaltungen, die zu der rechten Stromschiene 114 gehören. Die Funktion des Generators 104 wird über Datenleitung 148 überwacht und die Leitungsverbindungen zwischen Masse und der rechten Stromschiene 114 über Stromtransformatoren 150, 152 und 154 überwacht. Ein Ausfall im Generator
104
- 16 - WS437P-2996
104 oder den zugehörigen Leitungsverbindungen oder der Steuereinheit 110 führen dazu, daß der Schalter 120 geöffnet und Steuereinheit 112 über Datenleitung 156 über den Fehler benachrichtigt wird. Steuereinheit 112 antwortet darauf, indem der Schalter 126 geschlossen wird, so daß Generator 102 Leistung an die rechte Stromschiene 114 liefern kann.
Steuereinheit 112 überwacht den Strom über Stromtransformatoren 158 und 160, um festzustellen, ob Schalter 122 oder 126 geschlossen sind. Stromtransformatoren 162, 164 und 166 werden gleichzeitigt überwacht und so verdrahtet, daß ein beliebiger Fehler in den Leitungsverbindungen zwischen ihnen ein Signal bei der Steuereinheit 112 erzeugt, das anzeigt, daß eine Korrektur erforderlich ist.
- Leerseite
ORIGINAL INSPECTED

Claims (8)

PATENTANSPRÜCHE
1. Eine elektronische Steuereinheit zur Feststellung von Fehlern in einem Mikroprozessorssystem, gekennzeichnet durch Speichervorrichtungen (12) , denen als Eingang ein Zufallsdatenwort mit einer Vielzahl von Bits zugeführt wird, durch einen Datenprozessor (40), dem als Eingang das Zufallsdatenwort von den Speichervorrichtungen (12) zugeführt wird und der das Datenwort als Ausgangsdaten zu anderen Komponenten der Steuereinheit überträgt, wobei der Datenprozessor (14) das Zufallsdatenwort in den Speichervorrichtungen (12) liest und das Zufallsdatenwort zu den Speichervorrichtungen (12) zurückführt und außerdem eine Reihe von Selbstprüfungen durchführt, um anschließend ein ersten Datenwort auszugeben, das eine bestimmte Beziehung zu dem Zufallsdatenwort aufweist, durch erste Schaltungen (60), die das erste Datenwort mit dem Zufallsdatenwort kombinieren, um ein vorbestimmtes zweites Datenwort zu erzeugen, wenn der Datenprozessor (14) richtig arbeitet und durch zweite Schaltungen (22) , die ein Entriegelungssignal erzeugen, wenn das vorbestimmte zweite Datenwort erscheint.
2. Elektronische Steuereinheit nach Anspruch 1, dadurch gekennzeichnet, daß entsprechende Bits in dem ersten Datenwort und dem Zufallsdatenwort so zueinander in
Beziehung ^
- 2 - WS437P-2996
Beziehung stehen, daß für jedes Bit im Zufallsdatenwort mit einem ersten logischen Pegel das entsprechende Bit im ersten Datenwort den gleichen logischen Pegel aufweist und für jedes Datenbit im Zufallsdatenwort mit einem zweiten logischen Pegel das entsprechende Bit im ersten Datenwort den komplementären logischen Pegel aufweist.
3. Elektronische Steuerschaltung nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß der Datenprozessor einen Ausgang für einen Öffnungsimpuls aufweist und bei Beendigung einer Reihe von Selbstprüfungen auf dem Ausgang einen öffnungsimpuls erzeugt.
4. Elektronische Steuereinheit nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß das Entriegelungssignal gesperrt ist, wenn das vorbestimmte zweite Datenwort nicht innerhalb einer vorgewählten Zeit nach dem Auslesen des Zufallsdatenworts durch den Datenprozessor erzeugt wird.
5. Elektronische Steuereinheit nach Anspruch 4, dadurch gekennzeichnet, daß die Sperre durch eine Zeitüberwachungsschaltung (28) erfolgt.
6. Elektronische Steuereinheit nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, daß die Speichervorrichtungen ein Schieberegister sind.
7. Elektronische
35374^6
- 3 - WS437P-2996
7. Elektronische Steuereinheit nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, daß die erste Schaltung (60) eine Exklusiv-ODER-Torschaltung ist.
8. Elektronische Steuereinheit nach einem der Ansprüche 1 bis 1, dadurch gekennzeichnet/ daß die zweite Schaltung (22) eine UND-Torschaltung ist.
DE19853537416 1984-10-22 1985-10-21 Elektronische steuereinheit Withdrawn DE3537416A1 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US06/663,526 US4649537A (en) 1984-10-22 1984-10-22 Random pattern lock and key fault detection scheme for microprocessor systems

Publications (1)

Publication Number Publication Date
DE3537416A1 true DE3537416A1 (de) 1986-04-24

Family

ID=24662211

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19853537416 Withdrawn DE3537416A1 (de) 1984-10-22 1985-10-21 Elektronische steuereinheit

Country Status (5)

Country Link
US (1) US4649537A (de)
JP (1) JPS61100840A (de)
DE (1) DE3537416A1 (de)
FR (1) FR2572204B1 (de)
GB (1) GB2165972B (de)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4926427A (en) * 1986-09-30 1990-05-15 Siemens Aktiengesellschaft Software error detection apparatus
GB2197507A (en) * 1986-11-03 1988-05-18 Philips Electronic Associated Data processing system
DE3701699A1 (de) * 1987-01-22 1988-08-04 Bosch Gmbh Robert Verfahren zur ansteuerung eines rechnergesteuerten stellgliedes sowie mit einem stellglied gekoppelter rechner
US5043984A (en) * 1987-04-14 1991-08-27 Japan Electronic Control Systems Co., Ltd. Method and system for inspecting microprocessor-based unit and/or component thereof
US4866718A (en) * 1987-08-25 1989-09-12 Galaxy Microsystems, Inc. Error tolerant microprocessor
US4912708A (en) * 1988-03-22 1990-03-27 Siemens Transmission Systems, Inc. Automatic microprocessor fault recovery system
US5136704A (en) * 1989-06-28 1992-08-04 Motorola, Inc. Redundant microprocessor control system using locks and keys
JP2553297Y2 (ja) * 1991-04-03 1997-11-05 株式会社三陽電機製作所 カード処理装置付運賃箱
US5309445A (en) * 1992-06-12 1994-05-03 Honeywell Inc. Dynamic self-checking safety circuit means
EP0704074B1 (de) * 1993-06-16 1997-07-23 Honeywell Inc. Dynamisch selbstprüfendes sicherheitschaltungsmittel
US20030022036A1 (en) * 2001-07-25 2003-01-30 Ballard Power Systems Inc. Fuel cell controller self inspection
US6979504B2 (en) * 2001-07-25 2005-12-27 Ballard Power Systems Inc. Fuel cell system automatic power switching method and apparatus
US7788205B2 (en) * 2006-05-12 2010-08-31 International Business Machines Corporation Using stochastic models to diagnose and predict complex system problems
US7349826B2 (en) * 2006-05-23 2008-03-25 International Business Machines Corporation Causal ladder mechanism for proactive problem determination, avoidance and recovery
US11837304B2 (en) * 2022-04-02 2023-12-05 Changxin Memory Technologies, Inc. Detection circuit
US11816361B2 (en) 2022-04-02 2023-11-14 Changxin Memory Technologies, Inc. Circuit and method for transmitting data to memory array, and storage apparatus

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4090173A (en) * 1976-12-17 1978-05-16 General Signal Corporation Vital digital communication system
US4263647A (en) * 1979-02-07 1981-04-21 Allen-Bradley Company Fault monitor for numerical control system
JPS6032217B2 (ja) * 1979-04-02 1985-07-26 日産自動車株式会社 制御用コンピュ−タのフェィルセ−フ装置
US4409635A (en) * 1981-06-18 1983-10-11 Westinghouse Electric Corp. Electrical power system with fault tolerant control unit
US4433413A (en) * 1981-10-22 1984-02-21 Siemens Corporation Built-in apparatus and method for testing a microprocessor system
DE3225712C2 (de) * 1982-07-09 1985-04-11 M.A.N. Maschinenfabrik Augsburg-Nuernberg Ag, 8000 Muenchen Verfahren und Vorrichtung zur Funktionsprüfung von digitalen Rechnern
US4519090A (en) * 1982-07-27 1985-05-21 General Electric Company Testable time delay
US4538273A (en) * 1982-11-12 1985-08-27 Honeywell Inc. Dual input watchdog timer

Also Published As

Publication number Publication date
GB2165972A (en) 1986-04-23
US4649537A (en) 1987-03-10
FR2572204B1 (fr) 1989-09-29
GB2165972B (en) 1988-04-27
JPS61100840A (ja) 1986-05-19
FR2572204A1 (fr) 1986-04-25
GB8524258D0 (en) 1985-11-06

Similar Documents

Publication Publication Date Title
DE3537416A1 (de) Elektronische steuereinheit
DE69114881T2 (de) Analysevorrichtung zur Rettung von Halbleiterspeicherfehlern.
DE2225841C3 (de) Verfahren und Anordnung zur systematischen Fehlerprüfung eines monolithischen Halbleiterspeichers
EP0512240B1 (de) System zur Steuerung eines Kraftfahrzeuges
DE4430387C2 (de) Fehlererkennungsvorrichtung
DE19741174A1 (de) Speichertestgerät
DE3345863A1 (de) Ueberwachungsschaltung fuer rechner
DE3880132T2 (de) Verfahren und geraet zur digitalen logischen synchronismusueberwachung.
DE3222692A1 (de) Elektrisches stromversorgungssystem
DE3702006A1 (de) Speichervorrichtung
DE3012202A1 (de) Anordnung und verfahren zur automatischen umschaltung bzw. uebertragung der regelungs/-steuerungskompetenz von einer ausgewaehlten regel/steuereinheit auf eine nicht ausgewaehlte regel/steuereinheit in einem mehrere regel/steuereinheiten enthaltenden system
EP0038947A2 (de) Programmierbare logische Anordnung
DE3382810T2 (de) Mikroprozessorsysteme für Frankiermaschinenanordnungen
DE2202231A1 (de) Verarbeitungssystem mit verdreifachten systemeinheiten
DE2210325A1 (de) Datenverarbeitungssystem
DE2258917B2 (de) Regelvorrichtung mit mindestens zwei parallelen signalkanaelen
DE3322509C2 (de)
DE2735397A1 (de) Programmierbarer maschinen-funktionsregler
DE3024370C2 (de) Redundantes Steuersystem
DE3514079C2 (de) Ausfallsicherungsschaltung
DE19902031A1 (de) Steuergerät zur Steuerung sicherheitskritischer Anwendungen
DE69120214T2 (de) Digitale Schutzrelaisanordnung
DE3317642C2 (de)
WO2009062655A1 (de) Verfahren zum prüfen eines arbeitsspeichers
DE69515118T2 (de) Verfahren und system zum feststellen des korrekten funktionierens einer abs-steuereinheit unter benutzung von zwei programmierten mikroprozessoren

Legal Events

Date Code Title Description
8141 Disposal/no request for examination
8127 New person/name/address of the applicant

Owner name: SUNDSTRAND CORP., ROCKFORD, ILL., US

8128 New person/name/address of the agent

Representative=s name: BEETZ, R., DIPL.-ING. DR.-ING. TIMPE, W., DR.-ING.