DE3726489C2 - Einrichtung zur Überwachung eines Rechnersystems mit zwei Prozessoren in einem Kraftfahrzeug - Google Patents

Einrichtung zur Überwachung eines Rechnersystems mit zwei Prozessoren in einem Kraftfahrzeug

Info

Publication number
DE3726489C2
DE3726489C2 DE19873726489 DE3726489A DE3726489C2 DE 3726489 C2 DE3726489 C2 DE 3726489C2 DE 19873726489 DE19873726489 DE 19873726489 DE 3726489 A DE3726489 A DE 3726489A DE 3726489 C2 DE3726489 C2 DE 3726489C2
Authority
DE
Germany
Prior art keywords
processor
processors
signal
output
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE19873726489
Other languages
English (en)
Other versions
DE3726489A1 (de
Inventor
Harald Dipl Ing Buehren
Karl-Heinz Dipl Ing Preis
Thomas Dipl Ing Riehemann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE19873726489 priority Critical patent/DE3726489C2/de
Priority to JP63193588A priority patent/JP2768693B2/ja
Publication of DE3726489A1 publication Critical patent/DE3726489A1/de
Application granted granted Critical
Publication of DE3726489C2 publication Critical patent/DE3726489C2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/076Error or fault detection not based on redundancy by exceeding limits by exceeding a count or rate limit, e.g. word- or bit count limit
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/26Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
    • F02D41/266Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor the computer being backed-up or assisted by another circuit, e.g. analogue
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs

Description

Stand der Technik
Die Erfindung geht aus von einem Rechnersystem mit zwei Prozessoren für die Gemischzumessung in eine Brennkraftmaschine nach der Gattung des Hauptanspruchs. Es sind Mehrrechnersysteme mit einer Funktions­ aufteilung bekannt, bei denen ein Hauptrechner im Normalbetrieb, der den störungsfreien Zustand darstellt, die gesamte Rechnerleistung für die erforderlichen Steuer- und Regelfunktionen bereitstellt. Ein zweiter Rechner, der ausschließlich als Notrechner dient, kann bei Ausfall des Hauptrechners Notfunktionen übernehmen und damit einen wenigstens eingeschränkten Betrieb aufrechterhalten. Solange kein Störungsfall vorliegt, bleibt der Notrechner im allgemeinen unge­ nutzt. In solchen Systemen wird jedenfalls der Hauptrechner über­ wacht; erkennt eine geeignete Überwachungseinrichtung eine Störung oder einen Defekt, übernimmt der Notrechner teilweise oder in vollem Umfang die Aufgaben des Hauptrechners.
In der deutschen Offenlegungsschrift DE 35 39 407 A1 ist ein Rechnersystem mit zwei Prozessoren zur Regelung von Kenngrößen einer Brennkraftmaschine beschrieben. Den zwei Pro­ zessoren sind gedoppelte Geber zugeordnet, von denen jeweils einer dem Hauptrechner und ein anderer dem Notrechner Meßwerte liefert. Es sind zwar beide Rechner so ausgeführt, daß sie dieselbe Verarbeits­ leistung erbringen können. Allerdings besteht die dort realisierte Notfunktion hauptsächlich in der alternativen Zuweisung von Geber­ signalen an die beiden Prozessoren bzw. der alternativen Zuweisung von Ausgangssignalen der beiden Prozessoren an Endstufen im Fehler­ fall. Stellen Überwachungsschaltungen in den zugeordneten Prozesso­ ren Störungen fest, wird über ein UND-Gatter eine die Kraftstoff­ zumessung beeinflussende Endstufe abgeschaltet. Eine weitergehende technische Lehre, wie die Überwachung der beiden leistungsgleichen Prozessoren mit Haupt- und Notfunktion geschieht, wird dort jedoch nicht gegeben. Insbesondere gibt jene Schrift keinen Hinweis darauf, wie die gegenseitige Überwachung mehrerer Prozessoren auch dann zu leisten wäre, wenn beide für verschiedene Aufgaben, unter Umständen gar in asynchroner Betriebsweise, benutzt werden.
Das US-Patent 46 10 013 zeigt eine Einrichtung zur Überwachung eines Rechnersystems mit zwei Prozessoren, wobei beide Prozessoren durch besondere Tore über Daten- und Steuerleitungen fest miteinander verbunden sind. Dabei sind beide Prozessoren bis auf einen zyklischen Daten- und Befehlsaustausch über diese Leitungen voneinander unabhängig betreibbar. Weiterhin weist jeder Prozessor einen Ausgang zur Abgabe eines Watch-Dog-Signals und einen entsprechenden Eingang zum Empfangen des Watch-Dog- Signals des anderen Prozessors auf. Ein Fehler wird dabei erkannt, wenn die Kontrollimpulse des zugeordneten Prozessors ausbleiben. Ein Fehlerzustand eines Prozessors wird über den Watch-Dog durch den anderen Prozessor erst nach einer vorbestimmten Zeitdauer erkannt. Dies kann infolge der Zeitverzögerung zu ungewollten Betriebssituationen führen.
Der Erfindung liegt deshalb die Aufgabe zugrunde, in einem mit zwei Prozessoren arbeitenden Kraftstoffzumessungssystem eine möglichst einfache, aber dennoch mächtige Sicherheitsfunktion vorzusehen, und zwar insbesondere dann, wenn beide Prozessoren im störungsfreien Fall gleichermaßen und gleichberechtigt zur Verarbeitungsleistung des Gesamtsystems beitragen. Die Erfindung zielt also ab auf ein System, in dem ein Datenaustausch zwischen beiden Prozessoren erfol­ gen muß und erfolgt, solange keine Störung vorliegt. Um die Verfüg­ barkeit des Gesamtsystems bei Ausfall eines Prozessors oder auch nur bei Fehlern in der Datenübertragung zu gewährleisten, ist es notwen­ dig, daß der entsprechende Fehler erkannt wird. Bei Erkennen eines Fehlers müssen die Prozessoren je nach Fehlerart geeignet reagie­ ren, um die Verfügbarkeit des Systems zu gewährleisten.
Vorteile der Erfindung
Die vorgenannte Aufgabe wird erfindungsgemäß durch eine Einrichtung nach der Gattung des Hauptanspruchs gelöst. Diese sieht vor, daß sich die beiden Prozessoren gleichberechtigt überwachen und diese Überwachung in der Art eines Hand-Shake-Betriebs im Zuge des zykli­ schen Datenaustauschs zwischen beiden Prozessoren erfolgt. Dabei ist es möglich, daß die Prozessoren sich jeweils gegenseitig neu starten können, z.B. nach Wegfall einer Störungseinwirkung auf den I/O-Bus eines der beiden Prozessoren, oder bei dauerhaftem Totalausfall ei­ nes der beiden Prozessoren. Ein großer Vorteil besteht hierbei in der sehr schnellen Erkennung eines Prozessordefekts.
Durch die in den Unteransprüchen aufgeführten Maßnahmen sind vor­ teilhafte Weiterbildungen der im Hauptanspruch angegebenen Einrich­ tung möglich. Dabei ist besonders vorteilhaft, daß die beiden Pro­ zessoren auch völlig unabhängig voneinander arbeiten können, keinen direkt gekoppelten oder gemeinsamen I/O-Bus benutzen müssen und überdies mit verschiedenen Clock-Frequenzen gegenseitig asynchron betreibbar sind. Schließlich leistet die Erfindung eine gleichbe­ rechtigt gegenseitige Überwachung zweier Prozessoren so, daß bei Auftreten eines Fehlers dieser lokalisiert werden kann. So erlaubt die erfindungsgemäße Einrichtung eine Unterscheidung, ob ein Prozes­ sor ausgefallen ist oder ob in der peripheren Hardware der Pro­ zessoren ein Fehler vorliegt. Zu diesem Zweck wird besagter zykli­ sche Datenaustausch zwischen beiden Prozessoren als Quittungspfad für die Überwachungsfunktion ausgenutzt.
Zeichnung
Ein Ausführungsbeispiel der Erfindung ist in der Zeichnung darge­ stellt und in der nachfolgenden Beschreibung näher erläutert.
Fig. 1 zeigt in Blocksymbolen eine erfindungsgemäße Einrichtung.
Fig. 2 veranschaulicht in schematischer Weise das Abtasten eines dynami­ schen Watch-Dog-Signals.
Fig. 3 zeigt ein Flußdiagramm eines Pro­ gramms der Abtastung wie in Fig. 2 veranschaulicht.
Beschreibung des Ausführungsbeispiels
Gemäß Fig. 1 ist ein erster Prozessor 10 mit einem Port 11 zur Speisung eines Daten- und Kontrollbusses 17 vorgesehen. Der Prozes­ sor 10 speist gleichzeitig einen - hier nur symbolisch angedeute­ ten - Eingangs/Ausgangs (I/O)-Bus 16. Entsprechend ist ein zweiter Prozessor 20 mit einem Port 21 zur Speisung desselben Daten- und Kontrollbusses 17 vorgesehen; dieser Prozessor ist ferner mit einem I/O-Bus 26 verbunden. Der Prozessor 10 verfügt über zwei Ausgänge 12 und 13, die über entsprechende Leitungen 33 und 34 einen ersten Ein­ gang 24 des Prozessors 20 und eine erste Pumpschaltung 27 bzw. den ersten Eingang eines ersten NOR-Gatters 29 ansteuern. Dabei gibt der Ausgang 12 des Prozessors 10 ein sogenanntes Watch-Dog-Signal und der Ausgang 13 ein sogenanntes Software-Reset-Signal ab. Weiter weist der Prozessor 10 zwei Eingänge 14 und 15 auf, die über ent­ sprechende Leitungen 37 bzw. 36 vom einem ersten Ausgang 22 des Pro­ zessors 20 bzw. vom Ausgang eines vierten NOR-Gatters 32 angesteuert werden. Der Eingang 14 des Prozessors 10 dient dabei zum Empfang eines Watch-Dog-Signals vom Prozessor 20 und der Eingang 15 dient zum Empfang eines Reset-Signals. Der Prozessor 20 verfügt neben dem bereits erwähnten Eingang 24 in entsprechender Weise noch über einen zweiten Eingang 25, der über eine Verbindungsleitung 40 vom Ausgang eines zweiten NOR-Gatters 31 angesteuert wird. Analog zu den Eingän­ gen 14 und 15 des Prozessors 10 dienen die Eingänge 22 und 23 des Prozessors 20 gleichermaßen zum Empfang eines Watch-Dog-Signals bzw. eines Reset-Signals vom Prozessor 10. Entsprechend dem Ausgang 13 des Prozessors 10 weist der Prozessor 20 neben dem schon erwähnten Ausgang 22 noch einen weiteren Ausgang 23 auf, der über eine Leitung 38 den ersten Eingang eines dritten NOR-Gatters 30 ansteuert. In entsprechender Weise steuert der Ausgang 13 des Prozessors 10 über eine Leitung 34 den ersten Eingang des ersten NOR-Gatters 29 an. Der Ausgang der ersten Pumpschaltung 27 ist an den zweiten Eingang des NOR-Gatters 29 geführt, dessen Ausgang über eine Verbindungsleitung 41 den ersten Eingang des zweiten NOR-Gatters 31 ansteuert. Entspre­ chend ist der Ausgang der zweiten Pumpschaltung 28 an den zweiten Eingang des dritten NOR-Gatters 30 geführt, dessen Ausgang den er­ sten Eingang des bereits erwähnten vierten NOR-Gatters 32 ansteuert. Den jeweils zweiten Eingängen des zweiten und vierten NOR-Gatters 31 und 32 kann über eine gemeinsame Ansteuerleitung 18 beim Einschalten des Systems ein Initialisierungssignal (Power-On-Impuls) zugeführt werden.
Die beiden zu überwachenden Prozessoren 10 und 20 können z.B. in ei­ nem E-Gas-System als Master- und Slave-Prozessor ausgeführt sein. Dabei können die beiden Prozessoren asynchron und bis auf eine zyk­ lische Datenübertragung völlig unabhängig voneinander arbeiten. Die Funktion der Anordnung gemäß Fig. 1 wird nun anhand Fig. 2 und Fig. 3 erläutert. Beide Prozessoren 10 und 20 geben bei störungs­ freiem Betrieb an ihren sogenannten Watch-Dog-Ausgängen 12 und 22 jeweils einen Watch-Dog-Signal-Puls mit fester Frequenz und festem Tastverhältnis an entsprechende Watch-Dog-Eingänge 24 und 14 des je­ weils anderen Prozessors 20 und 10 ab. Gemäß Fig. 2 wird nun ein solcher Watch-Dog-Signal-Puls vom jeweils anderen Prozessor mit hö­ herer Frequenz abgetastet (Strobe-Sampling). Durch empfangsseitiges Erkennen der richtigen Pulsfrequenz, des richtigen Tastverhältnisses und des Vorhandenseins bzw. Nichtvorhandenseins des Watch-Dog-Sig­ nals überhaupt wird eine dynamisch schnelle und eine statisch si­ chere Fehlererkennung erreicht; hierzu wird das Watch-Dog-Signal ge­ mäß Fig. 2a mit einer beispielhaften Periodendauer von 40 ms und einem Tastverhältnis von 50% während einer Periodendauer gemäß Fig. 2b beispielhaft 8mal, d.h. in acht äquidistanten Zeitpunkten, abgefragt und mittels eines Programms mit bei störungsfreiem Betrieb erwartbaren Signalwerten in diesen diskreten Zeitpunkten TA1 bis TA8 verglichen. Liegt Koinzidenz vor, wird vom empfangenden Pro­ zessor auf fehlerfreie Funktion des das Watch-Dog-Signal aussenden­ den Prozessors erkannt. Diese nur über die Verbindungsleitungen 33 und 37 abwickelbare Überwachung der ordnungsgemäßen Funktion der beiden Prozessoren 10 und 20 durch gegenseitige Koinzidenzprüfung zwischen einem erwartbaren und einem tatsächlichen Zeitverlauf eines Watch-Dog-Signals kann durch eine einfache Software-Routine gelei­ stet werden, deren Flußdiagramm in Fig. 3 dargestellt ist. Dazu ist ein in Fig. 3 nicht näher ausgeführter - vorzugsweise softwaremäßig ausgeführter - Abtastzähler vorgesehen, der im empfangenden Prozes­ sor mit einer ganzteilig vielfachen Frequenz gegenüber der Grundfre­ quenz des Watch-Dog-Signals inkrementiert wird. Ein Startbefehl 48 löst zu einem bestimmten Abtastzeitpunkt TA die Erkennung 49 des momentanen Pegels des Watch-Dog-Signals aus. Hierbei ist die ein­ fache Diskriminierung der Signalzustände HIGH (H) und LOW (L) vorge­ sehen. Beispielshaft ist für die rechte Hälfte des Flußdiagramms da­ von ausgegangen, daß der Signalzustand H erkannt wurde. Im Anschluß daran erfolgt die Abfrage 50, ob derselbe Signalzustand H bereits im vorherigen Abtastzeitpunkt vorlag. Für die beispielhafte Wahl der Abtastfrequenz als achtfache der normalen Grundfrequenz des Watch-Dog-Signals erfolgt bei negativem Ergebnis dieser Abfrage die weitere Abfrage 53, ob der Abtastzähler einen Zählerstand kleiner Vier aufweist, und bei positivem Ergebnis der Abfrage 50 erfolgt eine weitere Abfrage 51, ob der Abtastzähler ein Zählerstand kleiner Sechs aufweist. Bei negativem Ergebnis der Abfrage 53 wird der Ab­ tastzähler auf Null zurückgesetzt, und bei positivem Ergebnis der Abfrage 51 wird der Abtastzähler um Eins inkrementiert, worauf der momentane Watch-Dog-Signalzustand als neuer vorheriger für die näch­ ste Abfrage 50 abgespeichert wird. Bei positivem Ergebnis der Ab­ frage 53 bzw. negativem Ergebnis der Abfrage 51 wird das Vorliegen eines fehlerhaften Watch-Dog-Signals (falsche Frequenz, falsches Tastverhältnis, statischer Festwert) erkannt 54 und ohne Inkremen­ tierung des Abtastzählers der momentane Watch-Dog-Signalzustand als neuer vorheriger für die nächste Abfrage 50 abgespeichert 56. Für den Zustand L des Watch-Dog-Signals gilt der bezüglich der Symme­ trielinie 58 symmetrische linke Teil des Flußdigramms mit analogen Operationen. Diese gegenseitige Überwachung der beiden Prozessoren 10 und 20 geschieht also ohne zwischengeschaltete Verknüpfungsele­ mente allein durch direkte Kopplung des Watch-Dog-Ausgangs 12 bzw. 22 mit dem entsprechenden Watch-Dog-Erkennungseingang 24 bzw. 14 der Prozessoren 10 und 20, d.h. über einen völlig autonomen Überwa­ chungspfad.
Die Verknüpfungselemente 27 bis 32 erfüllen in Verbindung mit der zuvor beschriebenen Analyse der dynamischen Watch-Dog-Signale und dem Datenbus 17 folgende, die Überwachungssicherheit weiter erhöhen­ de Funktion: Der Prozessor 10 wird vom Prozessor 20 auf Fehlerhaf­ tigkeit überwacht anhand logischer Auswertung des Signalprotokolls, wie es sich aus der konjugierten Zusammenfassung dreier Signalpfade ergibt, nämlich dem Signalfluß auf den Bus 17, dem Watch-Dog-Signal auf der Leitung 33 und dem Software-Reset-Signal auf der Leitung 34. Analog wird der Prozessor 20 vom Prozessor 10 auf Fehlerhaftigkeit überwacht anhand logischer Auswertung des Signalprotokolls, wie es sich aus der Zusammenfassung dreier Signalpfade ergibt, nämlich dem Signalfluß auf den Bus 17, dem Watch-Dog-Signal auf der Leitung 37 und dem Software-Reset-Signal auf der Leitung 38.
Die Prozessoren 10 und 20 tauschen in einem festen Zeitraster Daten zyklisch aus. Zunächst ist davon ausgegangen, daß der Prozessor 10 (als Master) eine Datenanforderung über den Bus 17 an den Prozessor 20 (als Slave) abgibt; letzterer erwartet aufgrund der fest verein­ barten Zykluszeit eine Datentanforderung. Bleibt daraufhin eine Da­ tenübertragung von Prozessor 20 an Prozessor 10 aus, so erkennt dies jeweils der entsprechende Prozessor, und zwar Prozessor 10, wenn auf seine Datenanforderung nicht mit einer Datenübertragung reagiert wurde, und Prozessor 20, wenn nach Ablauf eines Zyklus keine Daten­ anforderung vom Prozessor 10 einging. Damit stellt der Bus 17 zusam­ men mit dem darauf stattfindenden Signalfluß und dessen Vergleich mit dem zugrundeliegenden Signalflußprotokoll einen bidirektionalen, zweiten Kausalpfad zur Überwachung beider Prozessoren gegeneinander dar.
Jeder Prozessor hat die Möglichkeit, den jeweils anderen Prozessor bei seinem Ausfall wieder zu starten (Software-Reset). Die Voraus­ setzung für die Abgabe eines Reset-Impulses auf der Leitung 34 bzw. 38 zum Prozessor 20 bzw. 10 ist, daß der Prozessor 10 bzw. 20 an seinem Eingang 14 bzw. 24 das Watch-Dog-Signal des Prozessors 20 bzw. 10 wie eingangs beschrieben als fehlerhaft erkennt. Die Pump­ schaltungen 27 und 28 erzeugen an ihren Ausgängen einen statischen logischen Pegel - hier z.B. L -, wenn an ihren Eingängen ein fehler­ freies Watch-Dog-Signal anliegt. Fällt das Watch-Dog-Signal aus oder nimmt es einen statischen Signalwert an, ergibt sich am Ausgang der Pumpschaltung 27 und 28 jeweils der andere logische Pegel. Somit kann ein Software-Reset-Impuls mit L-Pegel vom jeweiligen Prozessor 10 bzw. 20 über die NOR-Gatter 29 und 31 bzw. 30 und 32 an den ande­ ren Prozessor 20 bzw. 10 übertragen werden, wenn das Watch-Dog-Sig­ nal des den Reset-Impuls aussendenden Prozessors fehlerfrei ist.
Auf diese Weise ist es unmöglich, daß ein defekter Prozessor unkon­ trollierte Reset-Impulse an den betriebsfähigen anderen Prozessor abgeben kann. Alternativ zu jeweiligen Software-Reset-Impulsen kann ein gemeinsamer Initialisierungsimpuls (Power-On) mit H-Pegel über die beiden NOR-Gatter 31 und 32 beide Prozessoren gleichzeitig star­ ten, z.B. wenn ein derartiges System eingeschaltet und in Betrieb genommen wird. Der Austausch von Software-Reset-Signalen zwischen beiden Prozessoren stellt somit einen dritten Kausalpfad zur Über­ wachung beider Prozessoren gegeneinander dar. Die konjugierte Über­ prüfung der drei Kausalpfade leistet über die Erkennung fehlerhafter Betriebszustände hinaus auch die Lokalisierung solcher Fehler, wie nachfolgend erläutert wird:
Erkennt beispielsweise Prozessor 10, daß auf die Datenanforderung an Prozessor 20 keine Datenübertragung stattfindet, oder erkennt Pro­ zessor 20, daß nach Ablauf eines Übertragungszyklus keine Datenan­ forderung von Prozessor 10 eingeht, und erkennen beide Prozessoren gleichermaßen, daß der jeweilig andere Prozessor dennoch ein fehler­ freies Watch-Dog-Signal ausgibt und somit aktiv ist, wird auf Defekt der Steuerleitungen des Busses 17 erkannt. Bei einem Defekt der Datenleitungen hingegen ist eine Datenübertragung noch möglich. Der Fehler auf den Datenleitungen wird dadurch erkannt, daß der Prozes­ sor 10 ein Prüfwort an den Prozessor 20 abgibt und dieser dann mit einem falschen Prüfwort an Prozessor 10 antwortet. Der Prozessor 10 erkennt dabei die Einhaltung des Übertragungsprotokolls für den Da­ tenaustausch durch Prozessor 20 und dessen vorhandenes, fehlerfreies Watch-Dog-Signal, kann aber durch Auswerten des falschen Prüfwortes auf einen Fehler auf den Datenleitungen des Datenbusses schließen. Der Prozessor 20 erkennt das Einhalten des Übertragungsprotokolls durch Prozessor 10 und dessen vorhandenes Watch-Dog-Signal, und schließt gleichermaßen auf Fehler im Datenbus.
Fällt beispielsweise der Prozessor 10 aus, so erkennt der Prozessor 20 nach Ablauf des Übertragungszyklus das Fehlen einer Datenanforde­ rung von Prozessor 10 sowie den Ausfall dessen Watch-Dog-Signals. Das gleichzeitige Erkennen beider Zustände führt bei Prozessor 20 zur Auswertung eines Defekts an Prozessor 10. Prozessor 20 gibt dar­ aufhin einen Software-Reset-Impuls an Prozessor 10 ab. Sobald Pro­ zessor 10 wieder aktiv ist, gibt er ein fehlerfreies Watch-Dog-Sig­ nal aus und fordert wieder Daten vom Prozessor 20 an. Wird Prozessor 10 nicht aktiv, gibt er kein Watch-Dog-Signal und keine Daten-Anfor­ derung an Prozessor 20 ab, so daß dieser per Programm entsprechend reagiert. Entsprechendes gilt umgekehrt für den Prozessor 20.
Fällt beispielsweise das Watch-Dog-Signal von Prozessor 20 aus, so erkennt dies Prozessor 10. Reagiert Prozessor 20 richtig auf die Da­ tenanforderung von Prozessor 10, so erkennt dieser, daß Prozessor 20 noch aktiv ist und lokalisiert den Fehler im Ausgang 22 des Prozes­ sors 20 für dessen Watch-Dog-Signal. Über den Datenbus 17 überträgt Prozessor 10 diese Information an den Prozessor 20. Tritt umgekehrt ein Fehler beim Watch-Dog-Signal des Prozessor 10 auf, so erkennt dies Prozessor 20 und überträgt die entsprechende Information an Prozessor 10.
Die erfindungsgemäße Einrichtung sieht somit vor, daß sich beide Prozessoren mit hoher Sicherheit überwachen können, obwohl sie völ­ lig unabhängig voneinander arbeiten. Je nach Fehlerart können die Prozessoren entsprechend programmierten Fail-Safe-Routinen variabel reagieren. Es ist auch möglich, aufgrund einer erfolgten Lokalisie­ rung eines Fehlers diesen zu beheben, indem beispielsweise nach Aus­ fall eines Prozessors dieser durch den noch voll funktionsfähigen wieder neu gestartet (Reset) wird. Bei einem erfolglosen Neu­ start-Versuch (Reset) besteht weiter die Möglichkeit einer dauernden "Stillegung" des defekten oder fehlerhaft arbeitenden Prozessors. Insgesamt erhöhen diese verschiedenartigen, softwaregestützten Reak­ tionsmöglichkeiten bei Auftreten eines Fehlers die Verfügbarkeit des Gesamtsystems beträchtlich. Es versteht sich von selbst, daß eine entsprechende Fehlerauswertung auch zur Weitergabe von Fehlermeldun­ gen, beispielsweise an den Fahrer eines Kraftfahrzeugs, oder an ei­ nen besonderen beim Fahrzeug-Service abfragbaren Fehlerspeicher, ausgenutzt werden kann. Schließlich ist die erfindungsgemäße Ein­ richtung auch auf Zwei-Prozessor-Systeme anwendbar, in denen anders als in der Zeichnung dargestellt der Austausch von Daten zwischen den beiden Prozessoren nicht über einen speziellen, fest verdrahte­ ten Bus 17 zwischen besonderen Ports 11 und 21 erfolgt, sondern über einen Systembus oder einen Teil eines solchen Systembusses, über welchen generell erfaßte Meßgrößen eingelesen bzw. Verarbeitungser­ gebnisse ausgelesen werden.

Claims (11)

1. Einrichtung zur Überwachung eines Rechnersystems mit zwei Prozes­ soren in einem Kraftfahrzeug, wobei beide Prozessoren durch beson­ dere Tore (11, 21) über Daten- und Steuerleitungen (17) fest mitein­ ander verdrahtet sind, dadurch gekennzeichnet,
  • - daß beide Prozessoren bis auf einen zyklischen Daten- und Befehls­ austausch über besagte Daten- und Steuerleitungen (17) unabhängig voneinander betreibbar sind,
  • - daß je Prozessor ein besonderer (erster) Ausgang (12; 22) zur Ab­ gabe eines dynamischen Watch-Dog-Signals vorgesehen und fest be­ legt ist,
  • - daß je Prozessor ein besonderer (erster) Eingang (14; 24) zur Er­ kennung besagten Watch-Dog-Signals des jeweils anderen Prozessors vorgesehen und fest belegt ist,
  • - daß jeweils die besagten (ersten) Eingänge (14; 24) und Ausgänge (22; 12) der beiden Prozessoren direkt miteinander verbunden sind,
  • - daß die dynamischen Watch-Dog-Signale bei Fehlen einer Störung der Programmverarbeitung in beiden Prozessoren je ein vorgegebenes Tastverhältnis und eine vorgegebene Frequenz aufweisen, und
  • - daß bei Vorliegen einer Störung der Programmverarbeitung in einem der beiden Prozessoren das Tastverhältnis und/oder die Frequenz des Watch-Dog-Signals des gestörten Prozessors gegenüber je­ nem/jener bei Fehlen einer Störung der Programmverarbeitung ver­ ändert ist.
2. Einrichtung nach Anspruch 1, dadurch gekennzeichnet,
  • - daß jeder besagte erste Ausgang (12, 33; 22, 37) eines jeden Pro­ zessors auf den Eingang einer Pumpschaltung (27; 28) geführt ist, deren Ausgang in Abhängigkeit von einem an ihrem Eingang anliegen­ den dynamischen Watch-Dog-Signal ein statisches Watch-Dog-Signal entnehmbar ist,
  • - daß je ein besonderer (zweiter) Ausgang (13; 23) zur Abgabe eines Software-Reset-Signals vorgesehen und fest belegt ist,
  • - daß je Prozessor ein besonderer (zweiter) Eingang (15; 26) zum Empfang eines Reset/Restart-Signals des jeweils anderen Prozessors vorgesehen und fest belegt ist,
  • - daß jedem (zweiten) Eingang (15, 25) je eine logische Schaltung (30, 32; 29, 31) mit drei Eingängen vorgeschaltet ist, wobei je­ weils der erste dieser drei Eingänge (38; 34) mit besagtem (zwei­ ten) Ausgang (23; 13) des jeweils anderen Prozessors zur Abgabe eines Software-Reset-Signals und der zweite dieser drei Eingänge mit dem Ausgang der vom jeweils anderen Prozessor angesteuerten (22; 12) Pumpschaltung (28; 27) verbunden ist, und
  • - daß den dritten Eingängen besagter logischer Schaltungen (30, 32; 29, 31) über eine Sammelleitung (18) ein Initialisierungssignal zu­ führbar ist.
3. Einrichtung nach Anspruch 1, dadurch gekennzeichnet, daß bei Feh­ len einer Störung die von beiden Prozessoren abgegebenen Watch-Dog-Signale im wesentlichen gleiches Tastverhältnis und glei­ che Frequenz aufweisen.
4. Einrichtung nach Anspruch 3, dadurch gekennzeichnet, daß zwischen beiden Watch-Dog-Signalen bei Fehlen einer Störung ein vorbestimmter Phasenoffset besteht, der bei Eintreten einer Störung der Programm­ verarbeitung in einem Prozessor verloren geht.
5. Einrichtung nach Anspruch 1, dadurch gekennzeichnet, daß wenig­ stens einer der beiden Prozessoren mit einem weiteren, von besagten Daten- und Steuerleitungen (17) unabhängigen Datenbus (16, 26) ver­ bunden ist.
6. Einrichtung nach Anspruch 1, dadurch gekennzeichnet, daß die bei­ den Prozessoren mit unterschiedlicher Clockfrequenz betreibbar sind.
7. Einrichtung nach Anspruch 1, dadurch gekennzeichnet, daß die über besagte Steuerleitungen (17) ausgelösten Prüfworte für die Daten­ übertragung auf besagten Datenleitungen richtungsabhängig verschie­ den sind.
8. Einrichtung nach Anspruch 2, dadurch gekennzeichnet, daß besagte logische Schaltungen jeweils aus zwei seriell kaskadierten Gattern (29, 31; 30, 32) bestehen.
9. Einrichtung nach wenigstens einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß einer der beiden Prozessoren als Master mit Vorrang und der anderen Prozessor als Slave mit Nachrang be­ treibbar ist, solange kein Defekt vorliegt und daß bei Erkennung ei­ nes Defekts jeder der beiden Prozessoren im wesentlichen dieselbe Notfunktion mit gleicher Leistung abarbeitet.
10. Einrichtung nach einem der Ansprüche 2, 8 oder 9, dadurch gekennzeichnet, daß der (zweite) Eingang (15; 25) eines je­ den Prozessors zum Empfang eines Reset/Restart-Signals mit jeweils dem (zweiten) Ausgang (13; 23) des anderen Prozessors zur Abgabe ei­ nes Software-Reset-Signals dynamisch gekoppelt sind.
11. Einrichtung nach Anspruch 10, dadurch gekennzeichnet, daß bei Eintreten einer Störung der Programmverarbeitung in einem Prozessor derselbe durch eine erhöhte Anzahl von Software-Reset-Impulsen pro Zeiteinheit gegenüber der Anzahl im Zustand fehlender Störung blockierbar ist, wobei diese erhöhte Anzahl von Software-Reset-Im­ pulsen pro Zeiteinheit dem Ausgang (13; 23) des ungestörten Prozes­ sors entnehmbar ist.
DE19873726489 1987-08-08 1987-08-08 Einrichtung zur Überwachung eines Rechnersystems mit zwei Prozessoren in einem Kraftfahrzeug Expired - Lifetime DE3726489C2 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE19873726489 DE3726489C2 (de) 1987-08-08 1987-08-08 Einrichtung zur Überwachung eines Rechnersystems mit zwei Prozessoren in einem Kraftfahrzeug
JP63193588A JP2768693B2 (ja) 1987-08-08 1988-08-04 2台のプロセッサを有するコンピュータシステムを監視する装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19873726489 DE3726489C2 (de) 1987-08-08 1987-08-08 Einrichtung zur Überwachung eines Rechnersystems mit zwei Prozessoren in einem Kraftfahrzeug

Publications (2)

Publication Number Publication Date
DE3726489A1 DE3726489A1 (de) 1989-02-16
DE3726489C2 true DE3726489C2 (de) 1995-04-20

Family

ID=6333397

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19873726489 Expired - Lifetime DE3726489C2 (de) 1987-08-08 1987-08-08 Einrichtung zur Überwachung eines Rechnersystems mit zwei Prozessoren in einem Kraftfahrzeug

Country Status (2)

Country Link
JP (1) JP2768693B2 (de)
DE (1) DE3726489C2 (de)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4004709C2 (de) * 1990-02-15 1999-01-07 Bosch Gmbh Robert Rechnersystem
EP0509479B1 (de) * 1991-04-16 1998-10-14 Nec Corporation Multiprozessorssystem
DE4117393A1 (de) * 1991-05-28 1992-12-03 Kloeckner Humboldt Deutz Ag Einrichtung zur steuerung der kraftstoffeinspritzung einer brennkraftmaschine
JPH064353A (ja) * 1992-06-17 1994-01-14 Sumitomo Electric Ind Ltd 複数のマイクロコンピュータの相互監視回路
DE4438714A1 (de) * 1994-10-29 1996-05-02 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung der Antriebseinheit eines Fahrzeugs
DK1086408T3 (da) * 1998-06-10 2003-05-26 Siemens Ag Styreindretning til en maskine, et system eller et apparat og en fremgangsmåde til overvågning af styreindretningen.
FR2838532B1 (fr) * 2002-04-10 2004-07-30 Airbus France Systeme et procede de controle de plusieurs actionneurs
JP2014102662A (ja) * 2012-11-19 2014-06-05 Nikki Co Ltd マイクロコンピュータ暴走監視装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4610013A (en) * 1983-11-08 1986-09-02 Avco Corporation Remote multiplexer terminal with redundant central processor units
DE3539407A1 (de) * 1985-11-07 1987-05-14 Bosch Gmbh Robert Rechnersystem mit zwei prozessoren

Also Published As

Publication number Publication date
JP2768693B2 (ja) 1998-06-25
DE3726489A1 (de) 1989-02-16
JPH0261755A (ja) 1990-03-01

Similar Documents

Publication Publication Date Title
DE3700986C2 (de) Einrichtung zur Überwachung eines Rechnersystems mit zwei Prozessoren in einem Kraftfahrzeug
EP0512240B1 (de) System zur Steuerung eines Kraftfahrzeuges
EP1337921B1 (de) Vorrichtung zur überwachung eines prozessors
DE2539977B2 (de) Schaltungsanordnung zur Erkennung fehlerhafter Zustände peripherer Einheiten in einer Datenverarbeitungsanlage
DE1900042A1 (de) Verfahren und Anordnung zur Ortung von Fehlern in einer Datenverarbeitungsanlage
DE2258917B2 (de) Regelvorrichtung mit mindestens zwei parallelen signalkanaelen
EP0799143B1 (de) Verfahren und schaltungsanordnung zur überwachung der funktion einer programmgesteuerten schaltung
CH654425A5 (en) Redundant control arrangement
DE3726489C2 (de) Einrichtung zur Überwachung eines Rechnersystems mit zwei Prozessoren in einem Kraftfahrzeug
EP0766092A1 (de) Testbare Schaltungsanordnung mit mehreren identischen Schaltungsblöcken
DE19847986C2 (de) Einzelprozessorsystem
EP1615087B1 (de) Steuer- und Regeleinheit
DE3225712C2 (de) Verfahren und Vorrichtung zur Funktionsprüfung von digitalen Rechnern
EP2648100B1 (de) Automatisierungsgerät mit Vorrichtungen zur Prozessorüberwachung
EP0907919B1 (de) Vorrichtung zum betreiben von zwei funktionsmässig parallelgeschalteten prozessoren
DE4039013C2 (de)
EP0428934A2 (de) Verfahren zum Betrieb eines mehrkanaligen failsafe-Rechnersystems und Einrichtung zur Durhführung des Verfahrens
DE2161994A1 (de) Fehlerfeststellungsschaltung bei einer Datenverarbeitungsanlage
EP0404992B1 (de) Verfahren zum hochverfügbaren Betrieb von redundanten Datenverarbeitungsanlagen
DE3731097A1 (de) Schaltungsanordnung zur ueberwachung einer einrichtung mit zwei mikroprozessoren, insbesondere einer kraftfahrzeug-elektronik
EP0281890B1 (de) Sicherheitsschaltwerk mit mehreren dieselben Daten verarbeitenden Mikrocomputern
EP1019824B1 (de) Verfahren zum erzeugen eines fehlerkennzeichnungssignals im datenbestand eines speichers und hierzu geeignete einrichtung
DE2709819A1 (de) Schaltungsanordnung zur ueberpruefung von vergleichern
DE2130917C3 (de) Schaltungsanordnung von Impulszählern zum Prüfen eines Eingabe-Musgabe-Steuerwerks in einem Rechner-Steuersystem
EP0820615B1 (de) Anschaltung zur einkopplung von binären steuer- und meldesignalen in eine datenverarbeitungseinheit

Legal Events

Date Code Title Description
8110 Request for examination paragraph 44
D2 Grant after examination
8364 No opposition during term of opposition
8320 Willingness to grant licenses declared (paragraph 23)