DE3639055A1 - Verfahren zur betriebsueberwachung und fehlerkorrektur von rechnern eines mehrrechnersystems und mehrrechnersystem - Google Patents

Verfahren zur betriebsueberwachung und fehlerkorrektur von rechnern eines mehrrechnersystems und mehrrechnersystem

Info

Publication number
DE3639055A1
DE3639055A1 DE19863639055 DE3639055A DE3639055A1 DE 3639055 A1 DE3639055 A1 DE 3639055A1 DE 19863639055 DE19863639055 DE 19863639055 DE 3639055 A DE3639055 A DE 3639055A DE 3639055 A1 DE3639055 A1 DE 3639055A1
Authority
DE
Germany
Prior art keywords
computers
computer
intermediate information
computer system
control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE19863639055
Other languages
English (en)
Other versions
DE3639055C2 (de
Inventor
Wolfgang Dipl Ing Drobny
Peter Taufer
Hugo Weller
Werner Nitschke
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE3639055A priority Critical patent/DE3639055C2/de
Priority to FR8713986A priority patent/FR2606908A1/fr
Priority to US07/107,386 priority patent/US4853932A/en
Priority to JP62281182A priority patent/JP2746587B2/ja
Publication of DE3639055A1 publication Critical patent/DE3639055A1/de
Application granted granted Critical
Publication of DE3639055C2 publication Critical patent/DE3639055C2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0763Error or fault detection not based on redundancy by bit configuration check, e.g. of formats or tags
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/26Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
    • F02D41/266Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor the computer being backed-up or assisted by another circuit, e.g. analogue
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation

Description

Die Erfindung betrifft ein Verfahren zur Betriebsüber­ wachung und Fehlerkorrektur von Rechnern eines Mehrrech­ nersystems, insbesondere für Sicherheitseinrichtungen in Kraftfahrzeugen, z.B. Antiblockiersysteme, Air bags oder Gurtstrammer, wobei die Rechner untereinander durch Daten- und Steuerleitungen verbunden und synchronisiert sind.
Mehrrechnersysteme werden bei der schnellen Verarbei­ tung großer Datenmengen in kurzer Zeit benötigt, wie sie bei der Überwachung, Steuerung und Regelung von Pro­ zessen oder beim Datenabruf aus umfangreichen Dateien auftreten. Dabei werden mehrere Rechner zur Ausführung einer gemeinsamen Aufgabe zusammengeschlossen, indem zwischen ihnen ein gegenseitiger Datenaustausch vorge­ nommen wird.
Ein Anwendungsbereich für derartige Mehrrechnersysteme ist die Steuerung von Sicherheitssystemem in Kraftfahr­ zeugen, wie Antiblockiersysteme oder passive Rückhalte­ systeme, z.B. aufblasbare Gaskissen (Air bags), die beim Aufprall des Fahrzeugs auf ein Hindernis automatisch wirksam werden, oder Sicherheitsgurte, die im Moment des Aufpralls gespannt werden (Gurtstrammer).
Die Notwendigkeit für die Verarbeitung großer Daten­ mengen ergibt sich z.B. bei den passiven Rückhalte­ systemen daraus, daß beim Aufprall des Fahrzeugs auf ein Hindernis die Verzögerungswerte in Form einer Maxi­ ma und Minima aufweisenden Kurve (Crash Kurve) verlau­ fen und der Auslösezeitpunkt für die Rückhaltesysteme in einem durch Versuche vorher bestimmten exakten Zeit­ punkt erfolgen muß.
Die weitere Notwendigkeit der Datenverarbeitung in mög­ lichst kurzer Zeit folgt aus der kurzen Zeitspanne zwischen dem Aufprall des Fahrzeugs auf das Hindernis und der Verletzungsmöglichkeit der Fahrzeuginsassen. In diesem kurzen Zeitraum ist eine lückenlose Erfassung des Verlaufs der Verzögerungskurve erforderlich.
Der Forderung nach einem wirksamen Ansprechen der Rück­ haltesysteme steht mit gleicher Gewichtung der sichere Schutz vor einer fehlerhaften Auslösung gegenüber. Han­ delt es sich bei dem Rückhaltesystem um aufblasbare Gas­ kissen, so kann deren Fehlauslösung bei hohen Geschwin­ digkeiten in Folge einer Sichtbehinderung oder Erschre­ cken des Fahrers erhebliche Folgeschäden hervorrufen.
Äußere Einflüsse, z.B. Funkstörungen durch Senderanlagen, Netzspannungsschwankungen, Netzausfälle oder Schaltim­ pulse, die sich über ein Leitungsnetz ausbreiten, kön­ nen dazu führen, daß einer oder mehrere Rechner des Mehr­ rechnersystems in ihrem programmablauf gestört werden. Sind diese Rechner Bestandteile eines Sicherheitssystems, so kann als Folge dieser Störung einmal das Sicherheits­ system im Notfall versagen, zum anderen kann es aber auch fehlerhaft auslösen. Auch bei Mehrrechnersystemen im nichtsicherheitsrelevanten Anwendungsbereich, z.B. Werk­ zeugnaschinen können als Folge dieser Störung erhebliche Sachschäden entstehen.
Um die Folgen solcher Störungen zu verhindern, ist es erforderlich, den Betrieb der Rechner eines Mehrrechner­ systems zu überwachen und bei Erkennen von Störungen Ge­ genmaßnahmen zu treffen. Wegen der außerordentlichen Komplexität und Rechengeschwindigkeit derartiger Mehr­ rechnersysteme kann es für ein korrigierendes Eingrei­ fen aber bereits zu spät sein, wenn eine Störung nach Außen in Erscheinung getreten ist.
Der Erfindung liegt deshalb die Aufgabe zugrunde, ein Verfahren zur Betriebsüberwachung und Fehlerkorrektur von Rechnern eines Mehrrechnersystems zu schaffen, mit dessen Hilfe Störungen zu einem sehr frühen Zeitpunkt erkannt werden können, und das ermöglicht, die Folgen der Störungen zu verhindern und die entstandenen Feh­ ler so zu korrigieren, daß der weitere Betrieb der Rechner so wenig wie möglich beeinträchtigt wird.
Diese Aufgabe wird bei einem Verfahren nach dem Ober­ begriff des Anspruchs 1 durch die im kennzeichnenden Teil angegebenen Merkmale gelöst.
Durch die Auswertung von Zwischeninformationen über den Programmablauf oder über Rechenergebnisse können Störungen bereits nach dem Ende des überwachten Rechen­ zyklus erkannt werden und damit in den meisten Fällen wesentlich früher als nach vollständigem Durchlauf des programms. Diese Überlegungen beruhen darauf, daß Stö­ rungen statistisch mit der gleichen Wahrscheinlichkeit im ersten, letzten oder jedem mittleren Rechenzyklus auftreten können und die Überwachung der einzelnen Rechenzyklen bis auf den Fall des letzten Rechenzyklus so die frühere Erkennbarkeit von Störungen ermöglicht.
Die Maßnahmen, die Überwachung der Rechner gegenseitig durchzuführen, beruht auf der Überlegung, daß äußere Einflüsse die zumeist örtlich getrennt angeordneten Rechner nicht in gleicher Weise stören oder nicht zu Störergebnissen führen, die die gegenseiteige Erkenn­ barkeit der Störungen vereitelt. Diese Möglichkeit kann dadurch ausgeschlossen werden, daß die Zwischeninforma­ tionen und die Sollwerte, welche verglichen werden, auf unterschiedliche Weise gewonnen werden.
Die Früherkennung von Störungen schafft gleichzeitig die Voraussetzungen zu einer Verhinderung der Folgen einer Störung und einer möglichst schnellen Korrektur der entstandenen Fehler. Solange die Störungen in ei­ nem dem letzten überwachten Rechenzyklus eines Programms vorangegangenen Zyklus auftreten, können durch entspre­ chende Steuerbefehle schädliche Folgen der Störung ver­ hindert werden. Aber selbst bei Störungen im letzten programmzyklus als dessen Ergebnis z.B. ein Stellbe­ fehl mit schädlicher Folge eingeleitet werden sollte, besteht die Möglichkeit, diese durch Steuerbefehle zu verhindern, wenn die Stellbefehle erst zu einem späte­ ren Zeitpunkt ausgeübt werden sollen. Die Verhinderung der Folgen einer Störung wird durch Unterdrückung des nachfolgenden Rechenzyklus erreicht.
Zur Korrektur der Fehler erfolgt ungeachtet ihrer Art und Schwere das Rücksetzen wenigstens des abweichenden Rechners. Ausgehend von der Überlegung, daß der abwei­ chende Rechner nach Abklingen der Störung wieder ein­ wandfrei arbeitet, ist dies die schnellste Möglichkeit, durch einfaches Wiederholen der Rechenoperationen rich­ tige Ergebnisse zu erhalten. Wenn die Störung frühzeitig erkannt und die Rücksetzung ebenso frühzeitig erfolgt ist, können auch noch die vor dem gestörten Programm­ durchlauf angefallenen Daten berücksichtigt werden, so daß keine Unterbrechung eintritt. Aber auch bei Störun­ gen, die erst zu einem späteren Zeitpunkt im Programm­ ablauf aufgetreten sind, wird die Weiterverarbeitung der Daten zum frühest möglichen Zeitpunkt fortgesetzt, so daß entstandene Lücken überbrückt werden können. Je nach dem, wieviele Rechenzyklen eines programms bereits durchlaufen sind, ehe die Störung auftritt, muß der ab­ weichende Rechner einen oder mehrere Rechenzyklen wie­ derholen.
Bei einer praktischen Ausführungsform werden nach einer vorgegebenen Anzahl von Rechenzyklen die Zwischeninfor­ mationen in eine erste Zeitspanne übertragen und empfan­ gen und in einer zweiten, daran anschließenden Zeitspan­ ne eingelesen und mit den eigenen Sollwerten verglichen.
Unter Rechenzyklen werden hier Programmschritte verstan­ den, in denen Zwischeninformationen so verändert werden, daß darauf auch die richtige Durchführung dieser Pro­ grammschritte rückgeschlossen werden kann. Für die Durch­ führung eines Rechenzyklus können demnach ein oder auch mehrere Taktimpulse erforderlich sein. Da die Zeit­ spanne, die für den Austausch und den Vergleich der Zwischeninformationen benötigt wird, von der Rechenzeit abgezogen werden muß, stellt die gewählte Anzahl der vorgegebenen Rechenzyklen eine Optimierung zwischen hoher Rechengeschwindigkeit und möglichst lückenloser Überwachung dar.
Vorzugsweise werden die Zwischeninformationen als solche und/oder ihr zeitliches Eintreffen mit den Sollwerten verglichen.
Diese Maßnahme schafft zwei voneinander unabhängige Prüf­ möglichkeiten und verbessert dadurch die Erkennbarkeit von Störungen. Dabei ist z.B. eine Fallgestaltung denk­ bar, wo bereits eingetretene Zeitverschiebungen zwischen den Programmabläufen der Rechner durch Störungen der Syn­ chronisation erst bei nachfolgenden Rechenzyklen zu Stö­ rungen der Zwischeninformationen an sich führen würden. Dieser Störfall ist durch die erfindungsgemäße Weiter­ bildung dann schon früher korrigierbar. Dadurch wird die Verfügbarkeit des Mehrrechnersystems zur Datenver­ arbeitung erhöht.
Für die Steuerungen der Rechner zur Korrektur von Feh­ lern sind mehrere Alternativen anwendbar. So können bei Abweichungen alle beteiligten Rechner zurückgesetzt werden. Dies wäre das einfachste Verfahren, da es nicht zwischen den abweichenden Rechnern und den die Abwei­ chung feststellenden Rechnern differenziert.
Als Abwandlung könnten bei Abweichungen nur der oder die abweichenden Rechner zurückgesetzt werden, während alle übrigen Rechner initialisiert werden oder es könnten bei Abweichungen nur der die Abweichungen feststellende Rechner initialisiert werden, während alle übrigen Rech­ ner zurückgesetzt werden.
Wird davon ausgegangen, daß nur die abweichenden Rechner gestört gewesen sind und diejenigen Rechner, die die Ab­ weichungen festgestellt haben nicht gestört worden sind, so kann darauf verzichtet werden, letztere die bisher einwandfrei durchlaufenen Rechenzyklen wiederholen zu lassen. Durch Initiierem werden sie auf einen vorwähl­ baren Rechenzyklus in Wartestellung gesetzt. Dies kann einmal der Programmanfang sein, was einem Rücksetzen gleich käme, es kann aber auch einer der vorhergehenden Rechenzyklen sein. Der oder die initialisierten Rechner warten dann bis der oder die abweichenden Rechner wieder im Programmablauf soweit fortgeschritten sind, daß alle Rechner ihr Programm fortsetzen können.
Bei einer praktischen Ausführungsform werden die betei­ ligten Rechner unmittelbar durch den die Abweichungen feststellenden Rechner zurückgesetzt bzw. initialisiert.
Dieser Verfahrensschritt sichert die schnellstmögliche Korrektur der Rechner und gewährleistet damit eine mög­ lichst hohe Verfügbarkeit des Mehrrechnersystems. Außer­ dem ermöglicht er die günstigste Realisierung, da die Durchführung ohne schaltungstechnischen Aufwand allein durch zusätzliche Programmbefehle erfolgen kann.
Alternativ können die Zwischeninformationen seriell und/ oder parallel übertragen werden.
Die hier aufgeführten Alternativen haben unterschied­ liche Auswirkungen auf den schaltungstechnischen Auf­ wand und die Schnelligkeit der Übertragung der Zwischen­ informationen. Die serielle Übertragung bietet die Mög­ lichkeit, vorhandene Datenleitungen mit zu benutzen. Allerdings geht dies auf Rosten der Zeit, die für die eigentlichen Rechenzyklen zur Verfügung steht. Die para­ llele Übertragung ist aufwendig und wegen der Vielzahl von Leitungen und Steckkontakten unter Umständen stör­ anfällig. Sie reduziert jedoch die benötigte Zeit zur Übertragung und Prüfung soweit, daß dadurch die Rechen­ geschwindigkeit praktisch nicht beeinflußt wird. Eine Kombination aus beiden Merkmalen ist vom Gesamtaufwand her hoch, steigert aber die Erkennbarkeit von Störungen, da die Übertragung und Erzeugung der Zwischeninformatio­ nen auf zwei Wegen erfolgen kann.
Alternativ können die Zwischeninformationen aus den Zwischenergebnissen von Rechenoperationen und/oder auf den Statusinformationen des Rechenprogramms gebildet werden.
Bereits die Statusinformationen als Zwischeninformationen bieten ein zuverlässiges Kriterium zur Feststellung von Störungen, da äußere Einflüsse in der Regel Störungen des Programmablaufs zur Folge haben, die sich in den Statusinformationen niederschlagen.
Werden Zwischenergebnisse von Rechenoperationen als Stö­ rungskriterien verwendet, so lassen sich neben Status­ fehlern auch eventuelle Fehler der Daten erkennen. Dies erfordert aber unter Umständen eine parallele Verarbei­ tung der Daten, was sehr aufwendig sein kann. Eine ande­ re Möglichkeit besteht darin, die Zwischenergebnisse von Rechenoperationen auf plausibilität zu überprüfen, was einen geringeren Aufwand erfordert.
Die Kombination beider Kriterien bietet bei entsprechend höherem Aufwand auch eine gesteigerte Erkennbarkeit von Störungen.
Vorzugsweise werden die Zwischeninformationen aus dem Quotienten aus einer Endadresse dividiert durch eine Anfangsadresse des Rechenprogrammes gebildet.
Diese Vorgehensweise bietet eine einfache aber sehr ver­ wechslungssichere Möglichkeit zur Bildung von Zwischenin­ formationen. Da die Anzahl der Variationsmöglichkeiten sehr hoch ist, ist die Wahrscheinlichkeit von nicht er­ kannten Störungen aufgrund nicht eindeutiger Zwischen­ ergebnisse gering.
Alternativ oder zusätzlich können die Zwischeninforma­ tionen auch aus statischen und/oder dynamischen poten­ tialänderungen gebildet werden.
Die Bildung von Zwischeninformationen allein aus Po­ tentialänderungen ist eine einfache aber noch nicht sehr sichere Möglichkeit, Störungen zuverlässig zu er­ kennen. In Kombiantion mit den vorerwähnten Maßnahmen kann sie jedoch zu einer besseren Erkennbarkeit von Störungen beitragen.
Die Erfindung betrifft ferner ein Mehrrechnersystem, bestehend aus wenigstens zwei durch Daten- und/oder Steuerleitungen untereinander verbundenen und synchro­ nisierten Rechnern, insbesondere für Sicherheitseinrich­ tungen in Kraftfahrzeugen, z.B. Antiblockiersysteme, Air bags oder Gurtstrammer.
Diesbezüglich liegt der Erfindung die Aufgabe zugrunde, ein Mehrrechnersystem zu schaffen, das Störungen zu einem sehr frühen Zeitpunkt erkennt und das ermöglicht, die Folgen von Störungen zu vermeiden und die entstehen­ den Fehler so zu korrigieren, daß der weitere Betrieb der Rechner so wenig wie möglich beeinträchtigt wird.
Diese Aufgabe wird bei einem Mehrrechnersystem nach dem Oberbegriff des Anspruchs 12 durch die im kennzeichnenden Teil angegebenen Merkmale gelöst.
Die Ausbildung der Rechner als Generatoren für die Er­ zeugung von Zwischeninformationssignalen schafft die Voraussetzungen dafür, daß der Betrieb jedes Rechners von den anderen Rechnern in kürzeren Zeitabständen über­ wacht werden kann, als dies nur bei Ausgabe von Endergeb­ nissen der Fall wäre. Die Abstände, zwischen denen die Zwischeninformationssignale erzeugt werden, richten sich nach der Häufigkeit der für eine zuverlässige Verhinde­ rung schädlicher Folgen von Störungen und für eine siche­ re Korrektur von Fehlern erforderlichen Vergleiche zwischen den Zwischeninformationen und den Sollwerten. Zweckmä­ ßig wird hier eine Optimierung zwischen einer möglichst hohen Rechengeschwindigkeit und einer möglichst großen Vergleichhäufigkeit vorgenommen.
Für die Art der Erzeugung der Zwischeninformationssig­ nale bieten sich mehrere Möglichkeiten an. Einmal kön­ nen die Zwischenergebnisse von Rechenoperationen her­ ausgegriffen werden. Außerdem können Kontrollrechnungen mit bekannten Größen durchgeführt werden und diese Er­ gebnisse als Zwischeninformationssignale aufbereitet werden.
Weiter ist es möglich, Statusinformationen über die je­ weils bearbeiteten Programmschritte eines Rechenprogramms zu gewinnen. Die Statusinformationen wiederum lassen sich direkt oder verschlüsselt verwenden. So können z.B. mehrere Einzelinformationen durch eine Rechenoperation in eine verschlüsselte Statusinformation umgewandelt werden.
Die Aufbereitung der Zwischeninformationen für die Über­ tragung zu den anderen Rechnern richtet sich danach, ob eine serielle oder parallele Datenübertragung erfolgen soll oder eine Kombination aus beiden.
Die weiter vorgesehene Ausbildung der Rechner als Soll­ wertgeber eröffnet die Möglichkeit, die eigenen Zwischen­ informationen aufzubereiten, um sie als Sollwerte in Form von Referenzsignalen den empfangenen Zwischeninformations­ signalen zur Verfügung zu stellen. Dabei können die Soll­ werte in gleicher Weise wie die Zwischeninformationssig­ nale oder auch auf unterschiedliche Weise gewonnen wer­ den. Eine Gewinnung auf unterschiedliche Weise kann sich vorteilhaft auf die Erkennbarkeit von Störungen auswir­ ken, da ausgeschlossen ist, daß sich äußere Einflüsse in gleichartigen Signalveränderungen niederschlagen, die sich dann bei Vergleichen der Zwischeninformationen mit den Sollwerten gegenseitig aufheben.
Durch die Ausbildung der Rechner als Vergleicher können die als Ergebnisse des Vergleichs der Zwischeninforma­ tionen mit den Sollwerten gewonnenen Signale gleichzei­ tig zu Steuerzwecken desselben Rechners als auch der übrigen Rechner eines Mehrrechnersystems verwendet wer­ den. Auf diese Weise wird erreicht, daß unmittelbar nach Erkennen einer Störung Maßnahmen getroffen werden kön­ nen, die schädliche Folgen verhindern und die die Feh­ ler korrigieren. Im Zuge einer schnellen Fehlerkorrek­ tur kann die weitere Datenverarbeitung zum frühestmög­ lichen Zeitpunkt fortgesetzt werden, so daß Lücken überbrückt werden können. Die geeignete Steuerung er­ folgt dabei durch einen mit dem Vergleicher gekoppel­ ten Steuersignalgeber.
Die beschriebenen Funktionen können einmal von fest­ verdrahteten Funktionsblöcken der Rechner ausgeführt werden. Es ist vom Aufwand und vom Raumbedarf jedoch zweckmäßig, sie in Form eines Rechenprogramms zu rea­ lisieren, das dann von den ohnehin für die Datenverar­ beitung vorhandenen Einrichtungen bearbeitet wird.
Bei einer Weiterbildung der Erfindung umfaßt jeder Rech­ ner einen Speicher, in den die von den anderen Rechnern empfangenen Zwischeninformationssignale für den Ver­ gleich mit den eigenen Sollwerten zwischengespeichert werden.
Diese Ausgestaltung ermöglicht die serielle Übertragung von Zwischeninformationssignalen und stellt sicher, daß bei mehr als zwei Rechnern alle von diesen Rechnern stammenden Zwischeninformationen beim Vergleich mit den Sollwerten verfügbar sind. Außerdem kann die Bildung von Sollwerten im zeitlichen Versatz zu der Erzeugung von Zwischeninformationssignalen erfolgen. Die Wahrschein­ lichkeit, daß beim Eintreten einer Störung nur einer dieser Vorgänge beeinträchtigt wird, wird dadurch er­ höht.
Vorzugsweise umfaßt der Sollwertgeber einen Zeitmarken­ geber.
Durch die Erzeugung von Zeitmarken wird eine zusätzliche Prüfmöglichkeit geschaffen. Diese gestattet, die Zwischen­ informationen nicht nur als solche, sondern auch ihr zeit­ liches Eintreffen zu überwachen.
Bei einer praktischen Ausgestaltung sind die Steuerein­ gänge jedes Steuersignalgebers mit Rücksetz- und/oder Initialisierungseingängen der übrigen Rechner verbun­ den.
Hierdurch lassen sich die abweichenden und die nicht­ abweichenden Rechner zur Herbeiführung einer Fehler­ korrektur differenziert steuern. So können die nicht abweichenden Rechner z.B. auf einen anderen Programm­ status als den Programmanfang gesetzt werden. Auf die­ se Weise läßt sich das Wiederholen von richtig ausgeführ­ ten Rechenzyklen vermeiden. Diese Maßnahme kann insofern zu einer Erhöhung der Betriebssicherheit des Mehrrech­ nersystems beitragen, als daß die Auswirkungen von wäh­ rend des Nachrechnens eintretenden Störungen bei die­ sen Rechnern vermieden werden.
Bei einer abgewandelten Ausführungsform sind logische Verknüpfungsschaltungen vorgesehen, durch die die Syn­ chronsignalausgänge anderer Rechner zu jeweils einer Steuerleitung zusammengefaßt werden.
Bei einer weiteren abgewandelten Ausführungsform sind die Rechner durch bidirektionale Steuerleitungen verbun­ den. Schließlich sind bei einer dritten abgewandelten Ausführung die Steuer- und Datenleitungen als gemeinsa­ me Leitungen ausgebildet.
Diese Maßnahmen tragen durch Verminderung des Leitungs­ bedarfs zwischen den einzelnen Rechnern zu einer Vermin­ derung der Baugröße und der Störanfälligkeit bei.
Weiterbildungen und vorteilhafte Ausführungsformen der Erfindung ergeben sich aus den Ansprüchen, der weiteren Beschreibung und der Zeichnung, anhand der das erfindungs­ gemäße Verfahren sowie das Mehrrechnersystem erläutert wird.
In der Zeichnung zeigen:
Fig. 1 ein Blockschaltbild eines Mehrrechnersystems aus drei Rechnern,
Fig. 2 eine abgewandelte Ausführungs­ form der Erfindung, und
Fig. 3 den zeitlichen Verlauf von Re­ chenzyklen, der Übertragung von Zwischeninformationssig­ nalen sowie dem Vergleich von Zwischeninformationssignalen mit Sollwerten bei einem Mehr­ rechnersystem aus zwei Rech­ nern.
Die in Fig. 1 dargestellten Rechner A, B, C eines Mehrrech­ nersystems sind durch Datenleitungen 10, 12, 14 und durch Steuerleitungen 16, 18, 20 untereinander verbunden. In den Umrahmungen sind die für die Überwachungs- und Korrekturfunktionen wirksamen Funktionsgruppen durch un­ tereinander verbundene Blöcke symbolisiert. Diese Blöcke können in der praxis sowohl als diskrete Baugruppen als auch durch den Rechner in Form eines Rechenprogramms re­ alisiert sein. Die Funktionsblöcke sind hier in allen drei Rechnern A, B, C gleich.
Im einzelnen umfassen die Rechner A, B, C jeweils einen Generator 22 zur Erzeugung von Zwischeninformationssig­ nalen, einen Sollwertgeber 24, welcher zusätzlich einen Zeitmarkengeber 32 beinhaltet einen Vergleicher 26 für den Vergleich der Zwischeninformationen anderer Rechner A, B, C mit eigenen Sollwerten, einen Steuersignalgeber 28 für die eigene Steuerung und die Steuerung anderer Rechner A, B, C, einen Speicher 30 sowie ein Rechen­ werk 50 für die eigentliche Datenverarbeitung.
Jeder Generator 22 ist mit dem zugehörigen Rechenwerk 50 der Rechner A, B, C verbunden, um aus den Daten über den Programmablauf Zwischeninformationen zu gewinnen. Ein Ausgang jedes Generators ist mit einer der Daten­ leitungen 10, 12, 14 verbunden, die zu den anderen Rech­ nern A, B, C führen und dort in Eingänge der Speicher 30 münden.
Die Übertragenen und empfangenen Zwischeninformations­ signale können mit Hilfe der Speicher 30 zwischenge­ speichert werden und zum Zwecke eines späteren Vergleichs mit Sollwerten in den Vergleicher 26 eingelesen werden. Dementsprechend ist ein Ausgang jedes Speichers 30 mit einem der Eingänge des zugehörigen Vergleichers 26 ver­ bunden. Der andere Eingang jedes Vergleichers 26 ist mit einem Ausgang des zugehörigen Sollwertgebers 24 verbun­ den.
Der Sollwertgeber 24 kann dem Vergleicher 26 sowohl feste als auch in Abhängigkeit der Programmschritte veränder­ liche Sollwerte liefern. Um auch die letzterwähmte Mög­ lichkeit realisieren zu können, ist ein Eingang des Soll­ wertgebers 24 mit einem Ausgang des Rechenwerks 50 verbun­ den, über den er Daten über den Programmablauf bezieht.
Der zusätzlich im Sollwertgeber 24 vorhandene Zeitmar­ kengeber 32 erzeugt Zeitmarken, wodurch neben der Prü­ fung der Zwischeninformationen als solchen auch ihr zeit­ liches Eintreffen überwacht werden kann. Die Speicher 30 sind zu diesem Zweck so ausgebildet, daß sie auch Zeit­ informationen des Empfangs der Zwischeninformationssig­ nale speichern. Ein Ausgang des Vergleichers 26 ist mit einem Eingang des Steuersignalgebers 28 verbunden, damit bei Abweichungen der Zwischeninformationen von den Zeit­ marken differenziert Steuersignale erzeugt werden können. Diese Steuersignale treten an Ausgängen 34 und 36 auf und zwar ein Rücksetzsignal an dem Ausgang 34 und ein Initialisierungssignal an dem Ausgang 36.
Während das Rücksetzsignal über eine der Steuerleitungen 16, 18, 20 zu Rücksetzeingängen 38 der übrigen Rechner gelangen kann, wird das Initialisierungssignal über ei­ ne interne Leitung auf einen Initialisiserungseingang 40 des jeweiligen Rechenwerks 50 gegeben.
Zur Reduzierung der Steuerleitungen sind zwischen den Steuerausgängen 34 und Rücksetzeingängen 38 externe lo­ gische Verknüpfungsschaltungen 42 angeordnet, welche die Steuersignale der Rechner jeweils auf eine Steuer­ leitung 44 einkoppeln.
Eine weitere Reduzierung der Steuerleitungen ist in Fig. 2 veranschaulicht, wo die Steuerleitungen als bi­ direktionale Steuerleitungen 46 ausgeführt sind. Der Datenaustausch der Zwischeninformationen erfolgt bei diesem Ausführungsbeispiel durch bidirektionale Daten­ leitungen 48.
Während des Betriebs der Rechner A, B, C werden aus den Daten des Programmablaufs der Rechenwerke 50 in vorgege­ benen Abständen in dem Generator 22 Zwischeninformationen gewonnen und zu den übrigen Rechnern A, B, C über die Da­ tenleitungen 10, 12, 14 übertragen. Im Ausführungsbeispiel handelt es sich um Statusinformationen, die durch den Quotienten aus der Endadresse dividiert duch die An­ fangsadresse des Rechenprogramms gebildet werden.
Die vom Rechner A erzeugten Statusinformationen gelan­ gen also an die Rechner B und C, die vom Rechner B er­ zeugten an die Rechner A und C und die vom Rechner C erzeugten an die Rechner A und B. Hier werden die Sta­ tusinformationen empfangen und als solche sowie ihr zeitliches Eintreffen gespeichert. Gleichzeitig mit der Übertragung der Statusinformationen oder zeitver­ setzt dazu werden Sollwerte, vorzugsweise ebenfalls Statusinformationen, der eigenen Rechner von den Soll­ wertgebern 24 erzeugt. Die eigenen Sollwerte und die fremden Statusinformationen werden nun bei jedem Rech­ ner A, B, C im Vergleicher 26 verglichen.
Ist das Ergebnis des Vergleichs eine Übereinstimmung zwischen den eigenen Sollwerten und den fremden Status­ informationen, so erfolgt keine Erregung der Steuersig­ nalgeber 28 und die Rechner setzen ihr Programm mit den nachfolgenden Rechenzyklen fort. Im Normalfall wiederholt sich dieser Vorgang nach jeder vorgegebenen Anzahl von überwachten Rechenzyklen.
Wird einer der Rechner z.B. A durch äußere Einflüsse z.B. einen Schaltimpuls gestört, der dazu führt, daß er einen Programmschritt überspringt, so wird die nächste von ihm übertragene Statusinformation vom Sollwert ab­ weichen. Diese Abweichung führt dazu, daß der Verglei­ cher 26 in einem der beiden Rechner B, C den Steuersig­ nalgeber 2 S erregt, sich selbst initialisiert und die beiden anderen Rechner zurücksetzt. Angenommen die Ab­ weichung wird vom Vergleicher 26 des Rechners B zuerst festgestellt, so werden die Rechner A und C zurückge­ setzt und der Rechner B initialisiert.
Die Rechner A und C arbeiten ihr Rechenprogramm dann wieder von Anfang an durch, beim Rechner B hängt die Arbeitsweise davon ab, auf welchen Programmstatus er initialisiert wird. Es kann sich dabei um den Programm­ anfang aber auch um einen anderen Programmstatus handeln, der bereits während des vergangenen Durchlaufs des Re­ chenprogramms erreicht worden ist. Handelt es sich z.B. um den Programmstatus nach dem ersten Rechenzyklus, dann wartet der Rechner B, bis die Rechner A und C diesen Rechenzyklus durchlaufen haben, und setzt anschließend, sofern nicht zwischenzeitlich wieder eine Störung einge­ treten ist, die weiteren Rechenzyklen gemeinsam mit den Rechnern A und C fort. Zur Erläuterung des zeitlichen Verlaufs der Vorgänge, allerdings mit der Einschränkung eines aus nur zwei Rechnern bestehenden Mehrrechnersystems, wird auf Fig. 3 Bezug genommen, in der in graphischer Darstellung die Rechenzyklen, die Übertragung von Zwischeninformationssignalen sowie der Vergleich von Zwischeninformationen mit Sollwerten wiedergegeben sind.
Da voraussetzungsgemäß die beiden Rechner A und B syn­ chronisiert sind, können die einander entsprechenden Zeitabschnitte übereinander dargestellt werden. Um die Vorgänge an mehreren Rechenzyklen erläutern zu können, sind die Zeitachsen in jeweils sechs Zeitfenster a, b, c, d, e und f unterteilt. In jedem Zeitfenster finden der oder die zu überwachenden Rechenzyklen statt. Diese nehmen den größten Zeitabschnitt 52 ein. Die Ordnungs­ zahlen n der jeweils durchlaufenen Rechenzyklen sind mit Ziffern in Verbindung mit n angegeben. Ein Programm­ status ist durch eine alleinstehende Ziffer bezeichnet, die für die Programmadresse steht. Neben den erwähnten Rechenzyklen sind auch die Zeitabschnitte 54 für die Zwischeninformationsübertragung und dessen Empfang und die Zeitabschnitte 56 für den Vergleich der Zwischenin­ formationen mit den Sollwerten dargestellt.
Jedem Rechenzyklus schließt sich zunächst die Übertra­ gung der Zwischeninformationssignale an und wird von dem Vergleich der Zwischeninformationen mit den Sollwer­ ten gefolgt. Anschließend beginnt wieder ein neuer Re­ chenzyklus. Mit den Pfeilen zwischen den Darstellungen soll die Richtung angedeutet werden, in die die Zwischen­ informationssignale übertragen werden.
Es wird angenommen, daß beide Rechner A und B am pro­ grammanfang beginnen. Nach Durchlaufen des Rechenzyklus n = 1 im Zeitfenster a werden die Zwischeninformationen ausgetauscht und beim Vergleich ihrer Übereinstimmung mit den Sollwerten festgestellt.
Im Zeitfenster b erfolgt nun das Durchlaufen des Rechen­ zyklus n = 2. Dabei wird der Rechner A gestört und die falschen Zwischeninformationen an den Rechner B übertra­ gen. Der Rechner B stellt im Zeitabschnitt 56 des Zeit­ fensters b die Abweichung fest und setzt den Rechner A zurück und sich selbst auf den Programmstatue nach dem ersten Rechenzyklus. In diesem Programmstatue Ziffer 1 verbleibt der Rechner B nunmehr, während der Rechner A wieder den ersten Rechenzyklus n=1 durchläuft. Wäh­ rend dieses Zeitabschnitts 52 im Zeitfenster c wird der Rechner A erneut gestört. Diesmal ist die Zwischeninfor­ mation als solche zwar noch richtig, wird aber verzögert übertragen, wie der Zeitabschnitt 56 im Zeitfenster c verdeutlicht. Im Zeitabschnitt 56 im Zeitfenster c stellt der Rechner B diese Abweichung fest und setzt den Rechner A abermals zurück. Sich selbst initialisiert er wieder auf den Programmstatus Ziffer 1 nach dem ersten Rechen­ zyklus.
Im Abschnitt d wird der Rechenzyklus vom Rechner A unge­ stört durchlaufen. Nach gegenseitiger Überprüfung der Zwischeninformationen und Feststellen der Übereinstimmung dieser mit den Sollwerten arbeiten beide Rechner anschlie­ ßend die folgenden Rechenzyklen n=2 und n=3 ab, wie in den Zeitfenster e und f veranschaulicht ist.

Claims (18)

1. Verfahren zur Betriebsüberwachung und Fehler­ korrektur von Rechnern eines Mehrrechnersystems, ins­ besondere für Sicherheitseinrichtungen in Kraftfahr­ zeugen, z.B. Antiblockiersysteme, Air bags oder Gurt­ strammer, wobei die Rechner untereinander durch Daten- und Steuerleitungen verbunden und synchronisiert sind, dadurch gekennzeichnet, daß jeder der beteiligten Rech­ ner in vorgegebenen Abständen Zwischeninformationen er­ zeugt, die zu den anderen Rechnern übertragen und von diesen empfangen werden, daß die Zwischeninformationen mit eigenen Sollwerten der Rechner verglichen werden, und daß bei Abweichungen ein nachfolgender Rechenzyklus unterdrückt und wenigstens einer der vorangegangenen Rechenzyklen von wenigstens den abweichenden Rechner wiederholt wird.
2. Verfahren nach Anspruch 1, dadurch gekennzeich­ net, daß nach einer vorgegebenen Anzahl von Rechenzyklen als jeweils kleinsten Einheiten von Programmschritten, in denen Zwischeninformationen verändert werden, die Zwischeninformationen in einer ersten Zeitspanne über­ tragen und empfangen und in einer zweiten, daran an­ schließenden Zeitspanne eingelesen und mit den eigenen Sollwerten verglichen werden.
3. Verfahren nach Anspruch 1 oder 2, dadurch ge­ kennzeichnet, daß die Zwischeninformationen als solche und/oder ihr zeitliches Eintreffen mit den Sollwerten verglichen werden (wird).
4. Verfahren nach einem der vorhergehenden An­ sprüche 1-3, dadurch gekennzeichnet, daß bei Abwei­ chungen alle beteiligten Rechner zurückgesetzt werden und die vorangegangenen Rechenzyklen wiederholt werden.
5. Verfahren nach einem der vorhergehenden An­ sprüche 1-3, dadurch gekennzeichnet, daß bei Abwei­ chungen nur der oder die abweichenden Rechner zurückge­ setzt werden, während alle übrigen Rechner initiali­ siert werden.
6. Verfahren nach einem der vorhergehenden An­ sprüche 1-3, dadurch gekennzeichnet, daß bei Abwei­ chungen nur der die Abweichungen feststellende Rechner initialisiert wird, während alle übrigen Rechner zurück­ gesetzt werden.
7. Verfahren nach einem der vorhergehenden An­ sprüche 4-6, dadurch gekennzeichnet, daß die betei­ ligten Rechner unmittelbar durch den die Abweichungen feststellenden Rechner zurückgesetzt bzw. initialisiert werden.
8. Verfahren nach einem der vorhergehenden An­ sprüche 1-7, dadurch gekennzeichnet, daß die Zwischen­ informationen seriell und/oder parallel übertragen wer­ den.
9. Verfahren nach einem der vorhergehenden An­ sprüche 1-8, dadurch gekennzeichnet, daß die Zwischen­ informationen aus den Zwischenergebnissen von Rechen­ operationen und/oder aus den Statusinformationen des Rechenprogramms gebildet werden.
10. Verfahren nach Anspruch 9, dadurch gekennzeich­ net, daß die Zwischeninformationen aus dem Quotienten aus einer Endadresse dividiert durch eine Anfangsadresse des Rechenprogramms gebildet werden.
11. Verfahren nach einem der vorhergehenden An­ sprüche 1-10, dadurch gekennzeichnet, daß die Zwischen­ informationen alternativ oder zusätzlich aus statischen und/oder dynamischen potentialänderungen gebildet wer­ den.
12. Mehrrechnersystem, bestehend aus wenigstens zwei durch Daten- (10, 12, 14) und/oder Steuerleitungen (16, 18, 20) untereinander verbundenen und synchronisierten Rechnern (A, B, C), insbesondere für Sicherheitsein­ richtungen in Kraftfahrzeugen, z.B. Antiblockiersysteme, Air bags oder Gurtstrammer, dadurch gekennzeichnet, daß jeder der beteiligten Rechner (A, B, C) als Gene­ rator (22) zur Erzeugung von Zwischeninformationssig­ nalen, als Sollwertgeber (24), als Vergleicher (26) für den Vergleich der Zwischeninformationen anderer Rechner (A, B, C) mit eigenen Sollwerten und als mit dem Vergleicher gekoppelter Steuersignalgeber (28) für seine eigenen Steuerung und die Steuerung der anderen Rechner (A, B, C) ausgebildet ist.
13. Mehrrechnersystem nach Anspruch 12, dadurch gekennzeichnet, daß jeder Rechner (A, B, C) einen Spei­ cher (30) umfaßt, in den die von den anderen Rechnern (A, B, C) empfangenen Zwischeninformationssignale für den Vergleich mit den eigenen Sollwerten zwischenge­ speichert werden.
14. Mehrrechnersystem nach Anspruch 12 oder 13, dadurch gekennzeichnet, daß der Sollwertgeber (24) einen Zeitmarkengeber (32) umfaßt.
15. Mehrrechnersystem nach einem der vorhergehen­ den Ansprüche 12-14, dadurch gekennzeichnet, daß Steuerausgänge (34, 35) jedes Steuersignalgebers (28) mit Rücksetz- (38) und/oder Initialisierungseingängen (40) der übrigen Rechner (A, B, C) verbunden sind.
16. Mehrrechnersystem nach einem der vorhergehen­ den Ansprüche 12-15, dadurch gekennzeichnet, daß lo­ gische Verknüpfungsschaltungen (42) vorgesehen sind, durch die Steuerausgänge (34) anderer Rechner (A, B, C) zu jeweils einer Steuerleitung (44) zusammengefaßt sind.
17. Mehrrechnersystem nach einem der vorhergehen­ den Ansprüche 12-15, dadurch gekennzeichnet, daß die Rechner (A, B, C) durch bidirektionale Steuerleitungen (46) verbunden sind.
18. Mehrrechnersystem nach einem der vorhergehen­ den Ansprüche 12-15, dadurch gekennzeichnet, daß die Rechner (A, B, C) für die Steuersignale und/oder Daten­ kommunikation durch gemeinsame Leitungen verbunden sind.
DE3639055A 1986-11-14 1986-11-14 Verfahren zur Betriebsüberwachung und Fehlerkorrektur von Rechnern eines Mehrrechnersystems und Mehrrechnersystem Expired - Fee Related DE3639055C2 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE3639055A DE3639055C2 (de) 1986-11-14 1986-11-14 Verfahren zur Betriebsüberwachung und Fehlerkorrektur von Rechnern eines Mehrrechnersystems und Mehrrechnersystem
FR8713986A FR2606908A1 (fr) 1986-11-14 1987-10-09 Procede pour surveiller le fonctionnement et corriger les erreurs de calculateurs appartenant a un systeme a multiples calculateurs et systeme a multiples calculateurs mettant en oeuvre ce procede
US07/107,386 US4853932A (en) 1986-11-14 1987-10-09 Method of monitoring an error correction of a plurality of computer apparatus units of a multi-computer system
JP62281182A JP2746587B2 (ja) 1986-11-14 1987-11-09 複合計算機装置の計算機の動作監視およびエラー修正方法及び複合計算機装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE3639055A DE3639055C2 (de) 1986-11-14 1986-11-14 Verfahren zur Betriebsüberwachung und Fehlerkorrektur von Rechnern eines Mehrrechnersystems und Mehrrechnersystem

Publications (2)

Publication Number Publication Date
DE3639055A1 true DE3639055A1 (de) 1988-05-19
DE3639055C2 DE3639055C2 (de) 1998-02-05

Family

ID=6314016

Family Applications (1)

Application Number Title Priority Date Filing Date
DE3639055A Expired - Fee Related DE3639055C2 (de) 1986-11-14 1986-11-14 Verfahren zur Betriebsüberwachung und Fehlerkorrektur von Rechnern eines Mehrrechnersystems und Mehrrechnersystem

Country Status (4)

Country Link
US (1) US4853932A (de)
JP (1) JP2746587B2 (de)
DE (1) DE3639055C2 (de)
FR (1) FR2606908A1 (de)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4117393A1 (de) * 1991-05-28 1992-12-03 Kloeckner Humboldt Deutz Ag Einrichtung zur steuerung der kraftstoffeinspritzung einer brennkraftmaschine
DE4332881A1 (de) * 1993-09-21 1995-03-23 Ksp Ingenieurtechnische Dienst Fehlertolerantes Multicomputersystem
EP1881187A1 (de) * 2006-07-18 2008-01-23 Siemens Aktiengesellschaft Motorsteuerung
DE10326287B4 (de) * 2002-06-12 2017-08-10 Denso Corporation Fahrzeug-Kommunikationssystem, Initialisierungseinheit sowie im Fahrzeug eingebaute Steuereinheit

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5357141A (en) * 1988-04-02 1994-10-18 Robert Bosch Gmbh Electronic device
US5081629A (en) * 1989-05-08 1992-01-14 Unisys Corporation Fault isolation for multiphase clock signals supplied to dual modules which are checked by comparison using residue code generators
JP3516344B2 (ja) * 1990-10-22 2004-04-05 株式会社日立製作所 分散処理システムの多重データ処理方法
IT1246467B (it) * 1990-10-22 1994-11-19 St Microelectronics Srl Macchina a stati finiti per sistemi affidabili di computazione e regolazione
US5276862A (en) * 1991-04-09 1994-01-04 Bull Hn Information Systems Inc. Safestore frame implementation in a central processor
US5435000A (en) * 1993-05-19 1995-07-18 Bull Hn Information Systems Inc. Central processing unit using dual basic processing units and combined result bus
US5440724A (en) * 1993-06-17 1995-08-08 Bull Hn Information Systems Inc. Central processing unit using dual basic processing units and combined result bus and incorporating means for obtaining access to internal BPU test signals
US5495579A (en) * 1994-03-25 1996-02-27 Bull Hn Information Systems Inc. Central processor with duplicate basic processing units employing multiplexed cache store control signals to reduce inter-unit conductor count
DE19735956C1 (de) * 1997-08-19 1998-09-10 Siemens Ag Verfahren zum Überwachen eines Ermittlungsverfahrens
DE19933086B4 (de) * 1999-07-15 2008-11-20 Robert Bosch Gmbh Verfahren und Vorrichtung zur gegenseitigen Überwachung von Steuereinheiten
DE10002306A1 (de) * 2000-01-20 2001-07-26 Zahnradfabrik Friedrichshafen Verfahren und Vorrichtung zum funktionssicheren Betreiben einer elektronischen Motor- und insbesondere Getriebesteuerung für Kraftfahrzeuge
DE10238547A1 (de) * 2002-08-22 2004-03-04 Bayerische Motoren Werke Ag Steuersystem und Verfahren zur Fehlerbehebung in elektronischen Einheiten oder Teilnetzen
DE10329196A1 (de) * 2003-06-28 2005-01-20 Audi Ag Verfahren zum Reset von elektronischen Fahrzeug-Steuergeräten
JP4222154B2 (ja) * 2003-08-28 2009-02-12 株式会社デンソー 車両制御システム
US7536632B2 (en) * 2004-01-10 2009-05-19 International Business Machines Corporation Method for monitoring data processing system availability
DE102005039392B4 (de) * 2005-08-20 2020-03-26 Bayerische Motoren Werke Aktiengesellschaft Verfahren zur Sicherung von Systemvariablen
DE102010002468A1 (de) * 2010-03-01 2011-09-01 Robert Bosch Gmbh Verfahren zum Stillsetzen einer von einem Steuergerät betriebenen Funktionseinheit in einem Kraftfahrzeug
US9798598B2 (en) * 2013-11-26 2017-10-24 International Business Machines Corporation Managing faults in a high availability system
JP6279152B1 (ja) 2016-04-01 2018-02-14 三菱電機株式会社 制御装置、制御システム、および、制御装置の復帰処理方法
CN113934135B (zh) * 2021-12-14 2022-04-01 国网江苏省电力工程咨询有限公司 一种基于电力管廊的复式监控系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4012717A (en) * 1972-04-24 1977-03-15 Compagnie Internationale Pour L'informatique Bi-processor data handling system including automatic control of exchanges with external equipment and automatically activated maintenance operation
DE3037150C2 (de) * 1980-09-27 1984-03-15 Licentia Patent-Verwaltungs-Gmbh, 6000 Frankfurt Sichere Datenverarbeitungseinrichtung

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE1524239B2 (de) * 1965-11-16 1971-07-22 Telefonaktiebolaget Lm Ericsson, Stockholm Schaltungsanordnung zur aufrechterhaltung eines fehler freien betriebes bei einer rechenanlage mit mindestens zwei parallel arbeitenden rechengeraeten
US4049957A (en) * 1971-06-23 1977-09-20 Hitachi, Ltd. Dual computer system
GB1434186A (en) * 1972-04-26 1976-05-05 Gen Electric Co Ltd Multiprocessor computer systems
US3898621A (en) * 1973-04-06 1975-08-05 Gte Automatic Electric Lab Inc Data processor system diagnostic arrangement
IT1014277B (it) * 1974-06-03 1977-04-20 Cselt Centro Studi Lab Telecom Sistema di controllo di elaboratori di processo operanti in parallelo
DE2701924B2 (de) * 1977-01-19 1981-03-19 Standard Elektrik Lorenz Ag, 7000 Stuttgart Steuereinrichtung für spurgebundene Fahrzeuge
US4162526A (en) * 1978-03-16 1979-07-24 International Business Machines Corporation Failsafe primary power control apparatus for systems using computer controlled power sequencing
JPS594054B2 (ja) * 1979-04-17 1984-01-27 株式会社日立製作所 マルチプロセツサ障害検出方式
DE2939487A1 (de) * 1979-09-28 1981-04-16 Siemens AG, 1000 Berlin und 8000 München Rechnerarchitektur auf der basis einer multi-mikrocomputerstruktur als fehlertolerantes system
JPS5814204A (ja) * 1981-07-20 1983-01-27 Hitachi Ltd マイクロコンピユ−タ制御装置
DE3208573C2 (de) * 1982-03-10 1985-06-27 Standard Elektrik Lorenz Ag, 7000 Stuttgart 2 aus 3-Auswahleinrichtung für ein 3-Rechnersystem
JPS59212902A (ja) * 1983-05-18 1984-12-01 Hitachi Ltd 多重化制御装置
JPS6022202A (ja) * 1983-07-19 1985-02-04 Hitachi Ltd 制御システム
JPS60116001A (ja) * 1983-11-28 1985-06-22 Canon Inc 制御装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4012717A (en) * 1972-04-24 1977-03-15 Compagnie Internationale Pour L'informatique Bi-processor data handling system including automatic control of exchanges with external equipment and automatically activated maintenance operation
DE3037150C2 (de) * 1980-09-27 1984-03-15 Licentia Patent-Verwaltungs-Gmbh, 6000 Frankfurt Sichere Datenverarbeitungseinrichtung

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4117393A1 (de) * 1991-05-28 1992-12-03 Kloeckner Humboldt Deutz Ag Einrichtung zur steuerung der kraftstoffeinspritzung einer brennkraftmaschine
DE4332881A1 (de) * 1993-09-21 1995-03-23 Ksp Ingenieurtechnische Dienst Fehlertolerantes Multicomputersystem
DE10326287B4 (de) * 2002-06-12 2017-08-10 Denso Corporation Fahrzeug-Kommunikationssystem, Initialisierungseinheit sowie im Fahrzeug eingebaute Steuereinheit
EP1881187A1 (de) * 2006-07-18 2008-01-23 Siemens Aktiengesellschaft Motorsteuerung

Also Published As

Publication number Publication date
JPH01134601A (ja) 1989-05-26
US4853932A (en) 1989-08-01
JP2746587B2 (ja) 1998-05-06
FR2606908A1 (fr) 1988-05-20
DE3639055C2 (de) 1998-02-05

Similar Documents

Publication Publication Date Title
DE3639055C2 (de) Verfahren zur Betriebsüberwachung und Fehlerkorrektur von Rechnern eines Mehrrechnersystems und Mehrrechnersystem
EP0512240B1 (de) System zur Steuerung eines Kraftfahrzeuges
EP0700611B1 (de) Verfahren zum gewinnen eines einen ausfall der synchronisation zwischen einer pseudozufallssignalfolge eines senders und einer referenz-pseudozufallssignalfolge eines empfängers anzeigenden signals
DE3638947C2 (de) Verfahren zur Synchronisation von Rechnern eines Mehrrechnersystems und Mehrrechnersystem
DE2023741B2 (de)
DE19742716A1 (de) Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten
DE2258917A1 (de) Kontrollvorrichtung
DE3701714A1 (de) Verfahren und vorrichtung zur ueberwachung rechnergesteuerter stellglieder
DE2706579A1 (de) Zug-betriebssteuerung
DE2646061A1 (de) Verfahren und einrichtung zur pruefung der funktion einer antiblockier-regelanlage
EP0009600B1 (de) Verfahren und Schnittstellenadapter zum Durchführen von Wartungsoperationen über eine Schnittstelle zwischen einem Wartungsprozessor und einer Mehrzahl einzeln zu prüfender Funktionseinheiten eines datenverarbeitenden Systems
DE2652233C3 (de) Einrichtung zur selbsttätigen Korrektur von Zählfehlern in Achszähleinrichtungen
DE4403156B4 (de) Verfahren und Vorrichtung zur Durchführung des Verfahrens zur Ansteuerung eines Verbrauchers
DE2014729C3 (de) Datenverarbeitungssystem mit Einrichtungen zur Fehlerermittlung und zur Systemumkonfiguration unter Ausschluß fehlerhafter Systemeinheiten
DE2725922C2 (de) Mehrrechnersystem zur Steuerung von trassengebundenen Verkehrsmitteln
DE2913371A1 (de) Verfahren und system zur ablaufsteuerung
DE4430177A1 (de) Überwachungsvorrichtung für einen Prozessor
DE3205217C1 (de) Einrichtung zur Sicherung der Eingabe einer Folge von Datentelegrammen in einen Rechner
DE19703890C1 (de) Watchdog-Bedienung
DE2712693A1 (de) Antiblockierregelsystem
DE2353588A1 (de) Telegrafiezeichen-erkennungsschaltung
DE3201864C2 (de)
DE3431841C2 (de)
DE19702269B4 (de) Verfahren zum Testen der Zuverlässigkeit der Informationsübertragung in einem System, insbesondere in einem Sicherheitssystem für Kraftfahrzeuge
DE19914742A1 (de) Verfahren zum Übertragen von Daten

Legal Events

Date Code Title Description
8110 Request for examination paragraph 44
8125 Change of the main classification

Ipc: G06F 11/16

D2 Grant after examination
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee