DE3700986A1 - Einrichtung zur ueberwachung eines rechnersystems mit zwei prozessoren in einem kraftfahrzeug - Google Patents

Einrichtung zur ueberwachung eines rechnersystems mit zwei prozessoren in einem kraftfahrzeug

Info

Publication number
DE3700986A1
DE3700986A1 DE19873700986 DE3700986A DE3700986A1 DE 3700986 A1 DE3700986 A1 DE 3700986A1 DE 19873700986 DE19873700986 DE 19873700986 DE 3700986 A DE3700986 A DE 3700986A DE 3700986 A1 DE3700986 A1 DE 3700986A1
Authority
DE
Germany
Prior art keywords
processor
processors
output
input
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE19873700986
Other languages
English (en)
Other versions
DE3700986C2 (de
Inventor
Harald Dipl Ing Buehren
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE3700986A priority Critical patent/DE3700986C2/de
Priority to US07/138,943 priority patent/US4881227A/en
Priority to JP63002662A priority patent/JP2880165B2/ja
Publication of DE3700986A1 publication Critical patent/DE3700986A1/de
Application granted granted Critical
Publication of DE3700986C2 publication Critical patent/DE3700986C2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2038Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant with a single idle spare processing component
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/26Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
    • F02D41/266Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor the computer being backed-up or assisted by another circuit, e.g. analogue
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/10Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time using counting means or digital clocks
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F16ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
    • F16HGEARING
    • F16H61/00Control functions within control units of change-speed- or reversing-gearings for conveying rotary motion ; Control of exclusively fluid gearing, friction gearing, gearings with endless flexible members or other particular types of gearing
    • F16H61/12Detecting malfunction or potential malfunction, e.g. fail safe; Circumventing or fixing failures
    • F16H2061/122Avoiding failures by using redundant parts
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F16ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
    • F16HGEARING
    • F16H61/00Control functions within control units of change-speed- or reversing-gearings for conveying rotary motion ; Control of exclusively fluid gearing, friction gearing, gearings with endless flexible members or other particular types of gearing
    • F16H61/12Detecting malfunction or potential malfunction, e.g. fail safe; Circumventing or fixing failures
    • F16H2061/1256Detecting malfunction or potential malfunction, e.g. fail safe; Circumventing or fixing failures characterised by the parts or units where malfunctioning was assumed or detected
    • F16H2061/126Detecting malfunction or potential malfunction, e.g. fail safe; Circumventing or fixing failures characterised by the parts or units where malfunctioning was assumed or detected the failing part is the controller
    • F16H2061/1268Electric parts of the controller, e.g. a defect solenoid, wiring or microprocessor
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F16ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
    • F16HGEARING
    • F16H61/00Control functions within control units of change-speed- or reversing-gearings for conveying rotary motion ; Control of exclusively fluid gearing, friction gearing, gearings with endless flexible members or other particular types of gearing
    • F16H61/12Detecting malfunction or potential malfunction, e.g. fail safe; Circumventing or fixing failures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2048Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant where the redundant components share neither address space nor persistent storage

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Mechanical Engineering (AREA)
  • Combustion & Propulsion (AREA)
  • Chemical & Material Sciences (AREA)
  • Quality & Reliability (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Hardware Redundancy (AREA)
  • Debugging And Monitoring (AREA)
  • Multi Processors (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)

Description

Stand der Technik
Die Erfindung geht aus von einem Rechnersystem mit zwei Prozessoren für die Gemischzumessung in eine Brennkraftmaschine nach der Gattung des Hauptanspruchs. Es sind Mehrrechnersysteme mit einer Funktions­ aufteilung bekannt, bei denen ein Hauptrechner im Normalbetrieb, der den störungsfreien Zustand darstellt, die gesamte Rechnerleistung für die erforderlichen Steuer- und Regelfunktionen bereitstellt. Ein zweiter Rechner, der ausschließlich als Notrechner dient, kann bei Ausfall des Hauptrechners Notfunktionen übernehmen und damit einen wenigstens eingeschränkten Betrieb aufrechterhalten. Solange kein Störungsfall vorliegt, bleibt der Notrechner im allgemeinen unge­ nutzt. In solchen Systemen wird jedenfalls der Hauptrechner über­ wacht; erkennt eine geeignete Überwachungseinrichtung eine Störung oder einen Defekt, übernimmt der Notrechner teilweise oder in vollem Umfang die Aufgaben des Hauptrechners.
In der noch unveröffentlichten deutschen Patentanmeldung P 35 39 407.2 ist ein Rechnersystem mit zwei Prozessoren zur Regelung von Kenngrößen einer Brennkraftmaschine beschrieben. Den zwei Pro­ zessoren sind gedoppelte Geber zugeordnet, von denen jeweils einer dem Hauptrechner und ein anderer dem Notrechner Meßwerte liefert. Es sind zwar beide Rechner so ausgeführt, daß sie dieselbe Verarbeits­ leistung erbringen können. Allerdings besteht die dort realisierte Notfunktion hauptsächlich in der alternativen Zuweisung von Geber­ signalen an die beiden Prozessoren bzw. der alternativen Zuweisung von Ausgangssignalen der beiden Prozessoren an Endstufen im Fehler­ fall. Stellen Überwachungsschaltungen in den zugeordneten Prozesso­ ren Störungen fest, wid über ein UND-Gatter eine die Kraftstoff­ zumessung beeinflussende Endstufe abgeschaltet. Eine weitergehende technische Lehre, wie die Überwachung der beiden leistungsgleichen Prozessoren mit Haupt- und Notfunktion geschieht, wird dort jedoch nicht gegeben. Insbesondere gibt jene Schrift keinen Hinweis darauf, wie die gegenseitige Überwachung mehrerer Prozessoren auch dann zu leisten wäre, wenn beide für verschiedene Aufgaben, unter Umständen gar in synchroner Betriebsweise, benutzt werden.
Der Erfindung liegt deshalb die Aufgabe zugrunde, in einem mit zwei Prozessoren arbeitenden Kraftsstoffzumessungssystem eine möglichst einfache, aber dennoch mächtige Sicherheitsfunktion vorzusehen, und zwar insbesondere dann, wenn beide Prozessoren im störungsfreien Fall gleichermaßen und gleichberechtigt zur Verarbeitungsleistung des Gesamtsystems beitragen. Die Erfindung zielt also ab auf ein System, in dem ein Datenaustausch zwischen beiden Prozessoren erfol­ gen muß und erfolgt, solange keine Störung vorliegt. Um die Verfüg­ barkeit des Gesamtsystems bei Ausfall eines Prozessors oder auch nur bei Fehlern in der Datenübertragung zu gewährleisten, ist es notwen­ dig, daß der entsprechende Fehler erkannt wird. Bei Erkennen eines Fehlers müssen die Prozessoren je nach Fehlerart geeignet reagie­ ren, um die Verfügbarkeit des Systems zu gewährleisten.
Vorteile der Erfindung
Die vorgenannte Aufgabe wird erfindungsgemäß durch eine Einrichtung nach der Gattung des Hauptanspruchs gelöst. Diese sieht vor, daß sich die beiden Prozessoren gleichberechtigt überwachen und diese Überwachung in der Art eines Hand-Shake-Betriebs im Zuge des zykli­ schen Datenaustauschs zwischen beiden Prozessoren erfolgt. Dabei ist es möglicht, daß die Prozessoren sich jeweils gegenseitig neu starten können, z. B. nach Wegfall einer Störungseinwirkung auf den I/O-Bus eines der beiden Prozessoren, oder bei dauerhaftem Totalausfall ei­ nes der beiden Prozessoren.
Durch die in den Unteransprüchen aufgeführten Maßnahmen sind vor­ teilhafte Weiterbildungen der im Hauptanspruch angegebenen Einrich­ tung möglich. Dabei ist besonders vorteilhaft, daß die beiden Pro­ zessoren auch völlig unabhängig voneinander arbeiten können, keinen direkt gekoppelten oder gemeinsamen I/O-Bus benutzen müssen und überdies mit verschiedenen Clock-Frequenzen gegenseitig asynchron betreibbar sind. Schließlich leistet die Erfindung eine gleichbe­ rechtigt gegenseitige Überwachung zweier Prozessoren so, daß bei Auftreten eines Fehlers dieser lokalisiert werden kann. So erlaubt die erfindungsgemäße Einrichtung eine Unterscheidung, ob ein Prozes­ sor ausgefallen ist oder ob in der peripheren Hardware der Pro­ zessoren ein Fehler vorliegt. Zu diesem Zweck wird besagter zykli­ scher Datenaustausch zwischen beiden Prozessoren als Quittungspfad für die Überwachungsfunktion ausgenutzt.
Zeichnung
Ein Ausführungsbeispiel der Erfindung ist in der Zeichnung darge­ stellt und in der nachfolgenden Beschreibung näher erläutert. Die einzige Figur zeigt in Blocksymbolen eine erfindungsgemäße Einrich­ tung zur Überwachung eines Rechnersystems mit zwei Prozessoren in einem Kraftfahrzeug.
Beschreibung des Ausführungsbeispiels
Die Zeichnung zeigt einen ersten Prozessor 10 mit einem Tor 11 zur Speisung eines Daten- und Kontrollbusses 17 und mit einem - hier nur symbolisch angedeutet - Eingangs/Ausgangs(I/O)-Bus 16. Entsprechend ist ein zweiter Prozessor 20 mit einem Tor 21 zur Speisung desselben Daten- und Kontrollbusses 17 und mit einem I/O-Bus 26 vorgesehen. Der Prozessor 10 verfügt über zwei Ausgänge 12 und 13, die über ent­ sprechende Leitungen 33 und 34 eine erste Pumpschaltung 27 bzw. den ersten Eingang eines ersten UND-Gatters 29 ansteuern. Dabei gibt der Ausgang 12 ein sogenanntes Watch-Dog-Signal und der Ausgang 13 ein sogenanntes Software-Reset-Signal ab. Weiter weist der Prozessor 10 zwei Eingänge 14 und 15 auf, die über entsprechende Leitungen 35 bzw. 36 vom Ausgang einer zweiten Pumpschaltung 28 bzw. eines ersten ODER-Gatters 32 angesteuert werden. Der Eingang 14 dient dabei zum Empfang eines Watch-Dog-Signals und der Eingang 15 dient zum Empfang eines Reset-Signals. Der Prozessor 20 verfügt ebenfalls über zwei Eingänge 22 und 23, die über entsprechende Leitungen 39 bzw. 40 vom Ausgang der ersten Pumpschaltung 27 bzw. vom Ausgang einer zweiten ODER-Schaltung 31 angesteuert werden. Dabei dienen die Eingänge 22 und 23 analog zu den Eingängen 14 und 15 des Prozessors 10 zum Emp­ fang eines Watch-Dog-Signals bzw. eines Reset-Signals. Entsprechend zum Prozessor 10 weist der Prozessor 20 noch zwei Ausgänge 24 und 25 auf, die über Leitungen 37 bzw. 38 eine zweite Pumpschaltung 28 bzw. den ersten Eingang eines zweiten UND-Gatters 30 ansteuern. Der Aus­ gang der ersten Pumpschaltung 27 ist noch an den zweiten Eingang des ersten UND-Gatters 29 geführt, dessen Ausgang über eine Verbindungs­ leitung 41 den ersten Eingang besagten ODER-Gatters 31 ansteuert. Entsprechend ist der Ausgang der zweiten Pumpschaltung noch auf den ersten Eingang eines zweiten UND-Gatters 30 geführt, dessen Ausgang über eine Verbindungsleitung 42 den ersten Eingang besagten ODER- Gatters 32 ansteuert. Den jeweils zweiten Eingänge der ODER-Gatter 31 und 32 kann über eine gemeinsame Ansteuerleitung 18 beim Ein­ schalten des Systems ein Initialisierungssignal (Power-On-Impuls) zugeführt werden.
Die beiden zu überwachenden Prozessoren 10 und 20 können z. B. in ei­ nem E-Gas-System als Master- und Slave-Prozessor ausgeführt sein. Dabei arbeiten die beiden Prozessoren asynchron und bis auf eine zyklische Datenübertragung völlig unabhängig voneinander. Die gegen­ seitige Überwachung erfolgt jeweils durch die Auswertung der Signal­ zustände auf drei parallelen Pfaden: der Prozessor 10 wird vom Pro­ zessor 20 auf Fehlerhaftigkeit überwacht anhand logischer Auswertung des Signalprotokolls, wie es sich aus der Zusammenfassung dreier Signalpfade ergibt, nämlich dem Signalfluß auf dem Bus 17, dem Watch-Dog-Signal auf der Leitung 33 und dem Software-Reset-Signal auf der Leitung 34, der Prozessor 20 wird vom Prozessor 10 auf Feh­ lerhaftigkeit überwacht anhand logischer Auswertung des Signalproto­ kolls, wie es sich aus der Zusammenfassung dreier Signalpfade er­ gibt, nämlich dem Signalfluß auf dem Bus 17, dem Watch-Dog-Signal auf der Leitung 37 und dem Software-Reset-Signal auf der Leitung 38.
Die Prozessoren 10 und 20 tauschen in einem festen Zeitraster Daten zyklisch aus. Es wird davon ausgegangen, daß zunächst der Prozessor 10 (als Master) eine Datenanforderung über den Bus 17 an den Prozes­ sor 20 (als Slave) abgibt; letzterer erwartet aufgrund der fest ver­ einbarten Zykluszeit eine Datenanforderung. Bleibt daraufhin eine Datenübertragung von Prozessor 20 an Prozessor 10 aus, so erkennt dies jeweils der entsprechende Prozessor, und zwar Prozessor 10, wenn auf seine Datenanforderung nicht mit einer Datenübertragung reagiert wurde, und Prozessor 20, wenn nach Ablauf eines Zyklus keine Datenanforderung vom Prozessor 10 einging. Damit stellt der Bus 17 zusammen mit dem darauf stattfindenden Signalfluß und dessen Vergleich mit dem zugrundeliegenden Signalflußprotokoll einen bidi­ rektionalen, ersten Kausalpfad zur Überwachung beider Prozessoren gegeneinander dar.
Der Prozessor 10 bzw. 20 gibt über die Leitung 33 bzw. 37 ein dyna­ misches Watch-Dog-Signal - in der Regel einen Puls - an die Pump­ schaltung 27 bzw. 28 in Richtung des jeweils anderen Prozessors ab. Bei den Pumpschaltungen 27 und 28 handelt es sich um Einrichtungen, die aus dem Vorhandensein eines Eingangspulses während einer be­ stimmten Mindestzeitdauer ein statisches Ausgangssignal erzeugen; unter Zugrundelegung einer positiven Logik wird also von einer sol­ chen Pumpschaltung eine logische 1 am Ausgang ausgegeben, sofern der Watch-Dog-Puls am Eingang anliegt. Dieses statische Ausgangssignal wird jeweils vom anderen Prozessor eingelesen (Watch-Dog-Erkennung). Bei Ausfall des Watch-Dog-Signals auf der Leitung 33 bzw. 37 wird somit eine logische Brennzahl 0 in den Eingang 22 bzw. 14 des Pro­ zessors 20 bzw. 10 eingelesen. Der Ausfall des Watch-Dog-Signals ist ein Anzeichen dafür, daß ein Fehler im entsprechenden Prozessor vor­ liegt, der auf diese Weise vom jeweils anderen Prozessor erkannt wird. Somit stellt die Auswertung des Watch-Dog-Status der beiden Prozessoren den zweiten Kausalpfad zur Überwachung beider Prozesso­ ren gegeneinander dar.
Jeder Prozessor hat die Möglichkeit, den jeweils anderen Prozessor bei seinem Ausfall wieder zu starten (Software-Reset-Output). Die Voraussetzung für die Abgabe eines Reset-Impulses auf der Leitung 34 bzw. 38 zum Prozessor 20 bzw. 10 ist, daß der Prozessor 10 bzw. 20 an seinem Eingang 14 bzw. 22 eine logische 1 infolge Vorhandenseins des Watch-Dog-Signals am Ausgang 24 bzw. 12 des Prozessors 20 bzw. 10 erkennt. Damit der Prozessor 10 bzw. 20 bei einem Defekt nicht unkontrolliert Reset-Impulse an den Prozessor 20 bzw. 10 abgeben kann, fungiert das UND-Gatter 29 bzw. 30 als Torschaltung, indem der betreffende Reset-Impuls nur bei Vorhandensein eines Watch-Dog-Si­ gnals des aussendenden Prozessors in Richtung des jeweils anderen Prozessors durchgelassen wird. Die ODER-Gatter 31 und 32 erlauben die gleichzeitige Rücksetzung beider Prozessoren beim Aktivieren des Gesamtsystems, also z. B. beim Einschalten der entsprechend ausge­ rüsteten E-Gas-Anlage. Der Austausch von Software-Reset-Signalen zwischen beiden Prozessoren stellt somit den dritten Kausalpfad zur Überwachung beider Prozessoren gegeneinander dar.
Zur Verknüpfung der drei Kausalpfade zur Erkennung und Lokalisierung von Fehlern werden die folgenden Prüfungen miteinander konjugiert und wie erläutert ausgewertet:
Erkennt beispielsweise Prozessor 10, daß auf die Datenanforderung an Prozessor 20 keine Datenübertragung erfolgt, oder erkennt Prozessor 20, daß nach Ablauf eines Übertragungszyklus keine Datenanforderung von Prozessor 10 eingeht, und erkennen beide Prozessoren gleicher­ maßen, daß der jeweilig andere Prozessor dennoch ein Watch-Dog-Si­ gnal ausgibt und somit aktiv ist, wird auf Defekt der Steuerleitung des Datenbusses 17 erkannt. Bei einem Defekt der Datenleitungen hin­ gegen ist eine Datenübertragung noch möglich. Der Fehler auf den Da­ tenleitungen wird dadurch erkannt, daß der Prozessor 10 ein Prüfwort an den Prozessor 20 abgibt und dieser dann mit einem falschen Prüf­ wort an Prozessor 10 antwortet. Der Prozessor 10 erkennt dabei die Einhaltung des Übertragungsprotokolls für den Datenaustausch durch Prozessor 20 und dessen vorhandenes Watch-Dog-Signal, kann aber durch Auswerten des falschen Prüfwortes auf einen Fehler auf den Da­ tenleitungen des Datenbusses schließen und die Datenübertragung ab­ brechen. Der Prozessor 20 erkennt das Einhalten des Übertragungs­ protokolls durch Prozessor 10 und dessen vorhandenes Watch-Dog-Si­ gnal, und schließt gleichermaßen auf Fehler im Datenbus.
Fällt beispielsweise der Prozessor 10 aus, so erkennt der Prozessor 20 nach Ablauf des Übertragungszyklus das Fehlen einer Datenanforde­ rung von Prozessor 10 sowie den Ausfall dessen Watch-Dog-Signals. Das konjugierte Erkennen beider Zustände führt bei Prozessor 20 zur Auswertung eines Defekts an Prozessor 10. Prozessor 20 gibt darauf­ hin einen Software-Reset-Impuls an Prozessor 10 ab. Sobald Prozessor 10 wieder aktiv ist, gibt er ein Watch-Dog-Signal aus und fordert wieder Daten vom Prozessor 20 an. Wird Prozessor 10 nicht aktiv, gibt er kein Watch-Dog-Signal und keine Daten-Anforderung an Prozes­ sor 20 ab, so daß dieser per Programm entsprecfhend reagiert. Ent­ sprechendes gilt umgekehrt für den Prozessor 20.
Fällt beispielsweise das Watch-Dog-Signal von Prozessor 20 aus, so erkennt diese Prozessor 10. Reagiert Prozessor 20 richtig auf die Da­ tenanforderung von Prozessor 10, so erkennt dieser, daß Prozessor 20 noch aktiv ist und lokalisiert den Fehler im Ausgang 24 des Prozes­ sors 20 für das Watch-Dog-Signal. Über den Datenbus 17 überträgt Prozessor 10 diese Information an den Prozessor 20. Tritt umgekehrt ein Fehler beim Watch-Dog-Signal des Prozessor 10 auf, so erkennt dies Prozessor 20 und überträgt die entsprechende Information an Prozessor 10.
Die erfindungsgemäße Einrichtung sieht somit vor, daß sich beide Prozessoren einwandfrei überwachen können, obwohl sie völlig unab­ hängig voneinander arbeiten. Je nach Fehlerart können die Prozesso­ ren entsprechend programmierter Fail-Safe-Routinen variabel reagie­ ren. Weiter ist es möglich, aufgrund einer erfolgten Lokalisierung eines Fehlers diesen zu beheben, beispielsweise nach Ausfall eines Prozessors diesen durch den noch voll funktionsfähigen wieder neu zu starten. Insgesamt erhöhen die verschiedenartig, softwaregestützten Reaktionsmöglichkeiten bei Auftreten eines Fehlers die Verfügbarkeit des Gesamtsystems beträchtlich. Es versteht sich von selbst, daß ei­ ne entsprechende Fehlerauswertung auch zur Weitergabe von Fehlermel­ dungen, beispielsweise an den Fahrer eines Kraftfahrzeugs, ausge­ nutzt werden kann. Schließlich ist die erfindungsgemäße Einrichtung auch auf Zwei-Prozessor-Systeme implementierbar, in denen anders als in der Zeichnung dargestellt der Austausch von Daten zwischen den beiden Prozessoren nicht über einen speziellen, fest verdrahteten Bus 17 zwischen besonderen Ports 11 und 21 erfolgt, sondern über ei­ nen Systembus oder einen Teil eines solchen Systembusses, über den generell erfaßte Meßgrößen eingelesen bzw. Verarbeitungsergebnisse ausgelesen werden.

Claims (5)

1. Einrichtung zur Überwachung eines Rechnersystems mit zwei Prozes­ soren in einem Kraftfahrzeug, wobei beide Prozessoren durch beson­ dere Tore über Daten- und Steuerleitungen (17) fest miteinander ver­ drahtet sind, dadurch gekennzeichnet,
  • - daß beide Prozessoren (10, 20) bis auf einen zyklischen Daten- und Befehlsaustausch über besagte Daten- und Steuerleitungen unabhän­ gig voneinander betreibbar sind,
  • - daß je Prozessor ein erster Ausgang (12, 24) zur Abgabe eines dy­ namischen Watch-Dog-Signale vorgesehen und fest belegt ist,
  • - daß je Prozessor ein besonderer Eingang (14, 22) zur Erkennung ei­ nes statischen Watch-Dog-Signals vorgesehen und fest belegt ist,
  • - daß je Prozessor ein zweiter Ausgang (13, 25) zur Abgabe eines Software-Reset-Signales vorgesehen und fest belegt ist,
  • - daß ein Reset-Eingang (15, 23) eines jeden Prozessors jeweils mit dem Ausgang einer zugeordneten logischen ODER-Schaltung (31, 32) verbunden ist, wobei beide ODER-Schaltungen einen ersten und einen zweiten Eingang aufweisen und die ersten Eingänge derselben zur gemeinsamen Beaufschlagung mit einem Startimpuls, vorzugsweise mit einem Power-On-Impuls beaufschlagbar sind,
  • - daß besagter erster Ausgang (12, 24) eines jeden Prozessors auf den Eingang einer Pumpschaltung (27, 28) geführt ist, deren Aus­ gang jeweils an besagten besonderen Eingang (14, 22) des jeweils anderen Prozessors geführt ist und der in Abhängigkeit von einem anliegenden dynamischen Watch-Dog-Signal ein statisches Watch-Dog-Signal entnehmbar ist,
  • - daß besagter zweiter Ausgang (13, 25) eines jeden Prozessors je­ weils auf einen ersten Eingang einer diesem Prozessor zugeordneten logischen UND-Schaltung (29, 30) geführt ist,
  • - daß ein zweiter Eingang besagter logischer UND-Schaltung (29, 30) jeweils an den Ausgang der Pumpschaltung (27, 28) zum Empfang des stationären Watch-Dog-Signals des der jeweiligen UND-Schaltung zu­ geordneten Prozessors geführt ist und
  • - daß der Ausgang jeder der beiden besagten logischen UND-Schaltung (29, 30) jeweils auf den zweiten Eingang der dem anderen Prozessor zugeordneten ODER-Schaltung geführt ist.
2. Einrichtung nach Anspruch 1, dadurch gekennzeichnet, daß wenig­ stens einer der beiden Prozessoren mit einem weiteren, von besagten Daten- und Steuerleitungen unabhängigen Datenbus verbunden ist.
3. Einrichtung nach Anspruch 1, dadurch gekennzeichnet, daß die bei­ den Prozessoren mit voneinander verschiedener Clockfrequenz betreib­ bar sind.
4. Einrichtung nach Anspruch 1, dadurch gekennzeichnet, daß die über besagte Steuerleitung (17) ausgelösten Prüfworte für die Daten­ übertragung auf besagten Datenleitungen richtungsabhängig verschie­ den sind.
5. Einrichtung nach Anspruch 1, dadurch gekennzeichnet, daß einer der beiden Prozessoren als Master mit Vorrang und der anderen Pro­ zessor als Slave mit Nachrang betreibbar ist, solange kein Defekt vorliegt und daß bei Erkennung eines Defekts jeder der beiden Pro­ zessoren im wesentlichen dieselbe Notfunktion mit gleicher Leistung abarbeitet.
DE3700986A 1987-01-15 1987-01-15 Einrichtung zur Überwachung eines Rechnersystems mit zwei Prozessoren in einem Kraftfahrzeug Expired - Fee Related DE3700986C2 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE3700986A DE3700986C2 (de) 1987-01-15 1987-01-15 Einrichtung zur Überwachung eines Rechnersystems mit zwei Prozessoren in einem Kraftfahrzeug
US07/138,943 US4881227A (en) 1987-01-15 1987-12-29 Arrangement for monitoring a computer system having two processors in a motor vehicle
JP63002662A JP2880165B2 (ja) 1987-01-15 1988-01-11 2つのプロセッサからなる自動車のコンピュータシステムを監視する装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE3700986A DE3700986C2 (de) 1987-01-15 1987-01-15 Einrichtung zur Überwachung eines Rechnersystems mit zwei Prozessoren in einem Kraftfahrzeug

Publications (2)

Publication Number Publication Date
DE3700986A1 true DE3700986A1 (de) 1988-07-28
DE3700986C2 DE3700986C2 (de) 1995-04-20

Family

ID=6318863

Family Applications (1)

Application Number Title Priority Date Filing Date
DE3700986A Expired - Fee Related DE3700986C2 (de) 1987-01-15 1987-01-15 Einrichtung zur Überwachung eines Rechnersystems mit zwei Prozessoren in einem Kraftfahrzeug

Country Status (3)

Country Link
US (1) US4881227A (de)
JP (1) JP2880165B2 (de)
DE (1) DE3700986C2 (de)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4113959A1 (de) * 1991-04-29 1992-11-05 Kloeckner Humboldt Deutz Ag Ueberwachungseinrichtung
DE4117393A1 (de) * 1991-05-28 1992-12-03 Kloeckner Humboldt Deutz Ag Einrichtung zur steuerung der kraftstoffeinspritzung einer brennkraftmaschine
EP0575854A2 (de) * 1992-06-17 1993-12-29 Sumitomo Electric Industries, Ltd. Schaltung für die gegenseitige Überwachung von Computergeräten
EP0601424A2 (de) * 1992-12-09 1994-06-15 Robert Bosch Gmbh Rechnersystem
DE4327455A1 (de) * 1993-08-16 1995-02-23 Hella Kg Hueck & Co System zur Ansteuerung eines Stellgliedes zur Einstellung der Luftzufuhr eines Kraftfahrzeugmotors
DE4432237A1 (de) * 1994-06-08 1995-12-14 Orenstein & Koppel Ag Steuerung für mobile Arbeitsmaschinen
FR2745101A1 (fr) * 1996-02-15 1997-08-22 Bosch Gmbh Robert Installation pour remettre a l'etat initial un element de calcul
DE19640432A1 (de) * 1996-09-30 1998-04-09 Siemens Ag Verfahren zum Überwachen einer Brennkraftmaschine
FR2773232A1 (fr) * 1997-11-06 1999-07-02 Bosch Gmbh Robert Procede et dispositif pour la surveillance d'un systeme de calculateur comprenant au moins deux processeurs
EP1000810A2 (de) 1998-11-09 2000-05-17 Volkswagen Aktiengesellschaft Rechnersystem für ein Kraftfahrzeug
DE4115662C2 (de) * 1991-05-14 2000-09-14 Bosch Gmbh Robert Mehrrechnersystem in einem Kraftfahrzeug
DE4302483C2 (de) * 1993-01-29 2002-07-11 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung einer Brennkraftmaschine
DE10252990B3 (de) * 2002-11-14 2004-04-15 Siemens Ag Steuereinheit zur Auslösung eines Insassenschutzmittels in einem Kraftfahrzeug und Verfahren zur Überwachung der ordnungsgemäßen Funktion einer vorzugsweise solchen Steuereinheit
WO2010026011A1 (de) * 2008-09-02 2010-03-11 Endress+Hauser Conducta Gesellschaft Für Mess- Und Regeltechnik Mbh+Co. Kg Verfahren zum betreiben eines gerätes der prozessautomatisierungstechnik

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0814797B2 (ja) * 1988-11-14 1996-02-14 日本電気株式会社 二重化処理装置におけるチェック方法
JP2768791B2 (ja) * 1990-03-09 1998-06-25 三菱自動車工業株式会社 車載用電子制御装置
DE4112334A1 (de) * 1991-04-16 1992-10-22 Bosch Gmbh Robert Mehrrechnersystem in einem kraftfahrzeug
DE4114999C2 (de) * 1991-05-08 2001-04-26 Bosch Gmbh Robert System zur Steuerung eines Kraftfahrzeuges
JPH0510201A (ja) * 1991-07-04 1993-01-19 Fuji Heavy Ind Ltd 車輌の制御方法
JPH0571410A (ja) * 1991-09-09 1993-03-23 Honda Motor Co Ltd 車両用電子制御装置
JPH05128080A (ja) * 1991-10-14 1993-05-25 Mitsubishi Electric Corp 情報処理装置
JPH05225159A (ja) * 1992-02-10 1993-09-03 Fujitsu Ltd 制御情報のバックアップ方式
US5654888A (en) * 1992-06-20 1997-08-05 Robert Bosch Gmbh Control arrangement for vehicles
JP2880364B2 (ja) * 1993-02-25 1999-04-05 株式会社日立製作所 自動車用エンジン制御装置
KR950008089B1 (ko) * 1993-07-21 1995-07-25 대우전자 주식회사 마이컴의 프로그램 폭주 처리방법 및 장치
WO1995034026A1 (de) * 1994-06-08 1995-12-14 O & K Orenstein & Koppel Ag Steuerung für mobile arbeitsmaschinen
DE19541734C2 (de) * 1995-11-09 1997-08-14 Bosch Gmbh Robert Schaltungsanordnung zur Durchführung eines Reset
JP3358412B2 (ja) * 1995-12-04 2002-12-16 トヨタ自動車株式会社 車両用電子制御装置
US6181929B1 (en) * 1996-05-20 2001-01-30 Motorola, Inc. Method for switching cell site controllers
US6182171B1 (en) * 1997-06-06 2001-01-30 Nissan Motor Co., Ltd. Information communication system and method applicable to in-vehicle networking architecture
JPH11341020A (ja) * 1998-05-22 1999-12-10 Yazaki Corp 多重通信システム
US6327675B1 (en) * 1998-07-31 2001-12-04 Nortel Networks Limited Fault tolerant system and method
DE19840484A1 (de) * 1998-09-04 2000-03-09 Bosch Gmbh Robert Fahrzeugrechneranordnung
JP3939961B2 (ja) * 2001-10-31 2007-07-04 株式会社デンソー 車両用電子制御装置
US7117390B1 (en) * 2002-05-20 2006-10-03 Sandia Corporation Practical, redundant, failure-tolerant, self-reconfiguring embedded system architecture
NL1023076C2 (nl) * 2003-04-01 2004-10-04 Iku Holding Montfoort Bv Buitenspiegeleenheid en actuator.
US8364829B2 (en) * 2004-09-24 2013-01-29 Hewlett-Packard Development Company, L.P. System and method for ascribing resource consumption to activity in a causal path of a node of a distributed computing system
DE102004058288A1 (de) * 2004-12-02 2006-06-08 Robert Bosch Gmbh Vorrichtung und Verfahren zur Behebung von Fehlern bei einem Prozessor mit zwei Ausführungseinheiten
US7424641B2 (en) * 2005-04-06 2008-09-09 Delphi Technologies, Inc. Control system and method for validating operation of the control system
US20070005203A1 (en) * 2005-06-30 2007-01-04 Padma Sundaram Vehicle diagnostic system and method for monitoring vehicle controllers
US20070050687A1 (en) * 2005-08-16 2007-03-01 Disser Robert J Watchdog monitoring circuit and method for controlling energization of the load using the watchdog monitoring circuit
FI123738B (fi) * 2006-08-09 2013-10-15 Sandvik Mining & Constr Oy Kallionporauslaite ja menetelmä kallionporauslaitteen ohjaamiseksi
US7917812B2 (en) * 2006-09-30 2011-03-29 Codman Neuro Sciences Sárl Resetting of multiple processors in an electronic device
US9623817B2 (en) * 2010-02-12 2017-04-18 GM Global Technology Operations LLC Method and system for controlling electrical systems of vehicles
DE102011088764A1 (de) * 2011-12-15 2013-06-20 Robert Bosch Gmbh Verfahren zum Betreiben eines Steuergeräts
DE102012224103A1 (de) * 2012-12-20 2014-06-26 Continental Teves Ag & Co. Ohg Vorrichtung zum Ausgeben eines eine physikalische Messgröße anzeigenden Messsignals
KR102450296B1 (ko) 2017-12-26 2022-10-04 삼성전자주식회사 동기식 및 비동기식 혼합 방식의 디지털 인터페이스를 포함하는 장치, 이를 포함하는 디지털 처리 시스템, 및 이들에 의해 수행되는 디지털 처리 방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4610013A (en) * 1983-11-08 1986-09-02 Avco Corporation Remote multiplexer terminal with redundant central processor units
DE3539407A1 (de) * 1985-11-07 1987-05-14 Bosch Gmbh Robert Rechnersystem mit zwei prozessoren

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3898621A (en) * 1973-04-06 1975-08-05 Gte Automatic Electric Lab Inc Data processor system diagnostic arrangement
DE2701924C3 (de) * 1977-01-19 1987-07-30 Standard Elektrik Lorenz Ag, 7000 Stuttgart Steuereinrichtung für spurgebundene Fahrzeuge
US4245315A (en) * 1978-02-27 1981-01-13 The Bendix Corporation Ignition limp home circuit for electronic engine control systems
US4200226A (en) * 1978-07-12 1980-04-29 Euteco S.P.A. Parallel multiprocessing system for an industrial plant
US4270168A (en) * 1978-08-31 1981-05-26 United Technologies Corporation Selective disablement in fail-operational, fail-safe multi-computer control system
JPS55116150A (en) * 1979-02-28 1980-09-06 Nec Corp Fault detection system for processor
DE3003291C2 (de) * 1980-01-30 1983-02-24 Siemens AG, 1000 Berlin und 8000 München Zweikanalige Datenverarbeitungsanordnung für Eisenbahnsicherungszwecke
US4351023A (en) * 1980-04-11 1982-09-21 The Foxboro Company Process control system with improved system security features
US4371754A (en) * 1980-11-19 1983-02-01 Rockwell International Corporation Automatic fault recovery system for a multiple processor telecommunications switching control
US4521871A (en) * 1982-04-12 1985-06-04 Allen-Bradley Company Programmable controller with back-up capability
JPS59170951A (ja) * 1983-03-17 1984-09-27 Toshiba Corp 電子機器
JPS60118941A (ja) * 1983-11-30 1985-06-26 Nec Home Electronics Ltd 暴走制御回路
JPS60144842A (ja) * 1984-01-07 1985-07-31 Fujitsu Ltd 他系中央処理装置の異常判定方式
JPS61117631A (ja) * 1984-11-14 1986-06-05 Fujitsu Ten Ltd マイクロ・コンピユ−タの出力信号制御装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4610013A (en) * 1983-11-08 1986-09-02 Avco Corporation Remote multiplexer terminal with redundant central processor units
DE3539407A1 (de) * 1985-11-07 1987-05-14 Bosch Gmbh Robert Rechnersystem mit zwei prozessoren

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4113959A1 (de) * 1991-04-29 1992-11-05 Kloeckner Humboldt Deutz Ag Ueberwachungseinrichtung
DE4115662C2 (de) * 1991-05-14 2000-09-14 Bosch Gmbh Robert Mehrrechnersystem in einem Kraftfahrzeug
DE4117393A1 (de) * 1991-05-28 1992-12-03 Kloeckner Humboldt Deutz Ag Einrichtung zur steuerung der kraftstoffeinspritzung einer brennkraftmaschine
EP0575854A2 (de) * 1992-06-17 1993-12-29 Sumitomo Electric Industries, Ltd. Schaltung für die gegenseitige Überwachung von Computergeräten
EP0575854A3 (de) * 1992-06-17 1994-04-13 Sumitomo Electric Industries
EP0601424A2 (de) * 1992-12-09 1994-06-15 Robert Bosch Gmbh Rechnersystem
EP0601424A3 (de) * 1992-12-09 1995-03-29 Ant Nachrichtentech Rechnersystem.
DE4302483C2 (de) * 1993-01-29 2002-07-11 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung einer Brennkraftmaschine
DE4327455A1 (de) * 1993-08-16 1995-02-23 Hella Kg Hueck & Co System zur Ansteuerung eines Stellgliedes zur Einstellung der Luftzufuhr eines Kraftfahrzeugmotors
DE4432237A1 (de) * 1994-06-08 1995-12-14 Orenstein & Koppel Ag Steuerung für mobile Arbeitsmaschinen
FR2745101A1 (fr) * 1996-02-15 1997-08-22 Bosch Gmbh Robert Installation pour remettre a l'etat initial un element de calcul
DE19640432A1 (de) * 1996-09-30 1998-04-09 Siemens Ag Verfahren zum Überwachen einer Brennkraftmaschine
DE19640432C2 (de) * 1996-09-30 2002-09-26 Siemens Ag Verfahren zum Überwachen einer Brennkraftmaschine
FR2773232A1 (fr) * 1997-11-06 1999-07-02 Bosch Gmbh Robert Procede et dispositif pour la surveillance d'un systeme de calculateur comprenant au moins deux processeurs
EP1000810A2 (de) 1998-11-09 2000-05-17 Volkswagen Aktiengesellschaft Rechnersystem für ein Kraftfahrzeug
DE10252990B3 (de) * 2002-11-14 2004-04-15 Siemens Ag Steuereinheit zur Auslösung eines Insassenschutzmittels in einem Kraftfahrzeug und Verfahren zur Überwachung der ordnungsgemäßen Funktion einer vorzugsweise solchen Steuereinheit
US7426430B2 (en) 2002-11-14 2008-09-16 Siemens Aktiengesellschaft Control unit for activating an occupant protection means in a motor vehicle and method for monitoring the proper functioning of a control unit preferably of this type
WO2010026011A1 (de) * 2008-09-02 2010-03-11 Endress+Hauser Conducta Gesellschaft Für Mess- Und Regeltechnik Mbh+Co. Kg Verfahren zum betreiben eines gerätes der prozessautomatisierungstechnik

Also Published As

Publication number Publication date
DE3700986C2 (de) 1995-04-20
JP2880165B2 (ja) 1999-04-05
US4881227A (en) 1989-11-14
JPS63183254A (ja) 1988-07-28

Similar Documents

Publication Publication Date Title
DE3700986C2 (de) Einrichtung zur Überwachung eines Rechnersystems mit zwei Prozessoren in einem Kraftfahrzeug
DE3686901T2 (de) Auf hohem systemniveau selbstpruefendes intelligentes e/a-steuergeraet.
EP0512240B1 (de) System zur Steuerung eines Kraftfahrzeuges
DE69706245T2 (de) Lokalisierung eines fehlerhaften Moduls in einem fehlertoleranten Rechnersystem
DE10030329C1 (de) Redundantes Steuerungssystem sowie Steuerrechner und Peripherieeinheit für ein derartiges Steuerungssystem
DE69119523T2 (de) Fehlererkennung in Relaisansteuerungsschaltungen
WO2005101145A1 (de) Sicherheitssteuerung
DE2258917A1 (de) Kontrollvorrichtung
DE68922440T2 (de) Gerät und Verfahren zur gleichzeitigen Einreichung von Fehlerunterbrechung und Fehlerdaten zu einem Unterstützungsprozessor.
CH654425A5 (en) Redundant control arrangement
EP1246033A1 (de) Verfahren zur Überwachung konsistenter Speicherinhalte in redundanten Systemen
DE3225712C2 (de) Verfahren und Vorrichtung zur Funktionsprüfung von digitalen Rechnern
DE19847986C2 (de) Einzelprozessorsystem
EP3493000A1 (de) Verfahren zum fehlersicheren erfassen eines messwertes und automatisierungssystem
DE3726489C2 (de) Einrichtung zur Überwachung eines Rechnersystems mit zwei Prozessoren in einem Kraftfahrzeug
DE1524135B2 (de) Fehlersuchverfahren fuer ein speichersystem und einrichtung zur durchfuehrung
EP2228723B1 (de) Verfahren zur Fehlerbehandlung eines Rechnersystems
EP1128241A2 (de) Verfahren und Vorrichtung zur Sicherheitsüberwachung einer Steuereinrichtung
DE3938501A1 (de) Verfahren zum betrieb eines mehrkanaligen failsafe-rechnersystems und einrichtung zur durchfuehrung des verfahrens
CH668872A5 (de) Naeherungsschalter.
EP0090162B1 (de) Zweikanaliges Fail-Safe-Mikrocomputerschaltwerk, insbesondere für Eisenbahnsicherungsanlagen
DE29914463U1 (de) Projektierungseinheit für korrespondierende Diagnosedatensätze eines Systems mit Steuerungseinheit und Bedien- und/oder Beobachtungseinheit, und System mit Mitteln zum Versionsvergleich von zugeordneten Diagnosedatensätzen
DE19805819B4 (de) Verfahren zur Überwachung von integrierten Schaltkreisen
DE3911407A1 (de) Redundantes rechnersystem
WO2001031443A2 (de) Integrierter elektronischer baustein mit dublizierter kernlogik und hardware-fehlereinspeisung für prüfzwecke

Legal Events

Date Code Title Description
8110 Request for examination paragraph 44
D2 Grant after examination
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee