DE3731097C2 - Schaltungsanordnung zur Überwachung einer von zwei Mikroprozessoren gesteuerten Einrichtung, insbesondere einer Kraftfahrzeug-Elektronik - Google Patents
Schaltungsanordnung zur Überwachung einer von zwei Mikroprozessoren gesteuerten Einrichtung, insbesondere einer Kraftfahrzeug-ElektronikInfo
- Publication number
- DE3731097C2 DE3731097C2 DE19873731097 DE3731097A DE3731097C2 DE 3731097 C2 DE3731097 C2 DE 3731097C2 DE 19873731097 DE19873731097 DE 19873731097 DE 3731097 A DE3731097 A DE 3731097A DE 3731097 C2 DE3731097 C2 DE 3731097C2
- Authority
- DE
- Germany
- Prior art keywords
- counter
- microprocessors
- circuit
- test
- pulse
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0796—Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F02—COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
- F02D—CONTROLLING COMBUSTION ENGINES
- F02D41/00—Electrical control of supply of combustible mixture or its constituents
- F02D41/24—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
- F02D41/26—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
- F02D41/266—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor the computer being backed-up or assisted by another circuit, e.g. analogue
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
- G06F11/0754—Error or fault detection not based on redundancy by exceeding limits
- G06F11/0757—Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C5/00—Registering or indicating the working of vehicles
- G07C5/08—Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
- G07C5/10—Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time using counting means or digital clocks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
Description
Die Erfindung betrifft eine Schaltungsanordnung zur Überwachung einer von
zwei Mikroprozessoren gesteuerten Einrichtung, insbesondere einer Kraft
fahrzeug-Elektronik nach dem Oberbegriff des Anspruchs 1.
Eine derartige Schaltungsanordnung, wie sie aus der GB 21 53 564 A
bekannt ist, wird insbesondere zur
Überwachung der Mikroprozessoren verwendet, die in einer
Einrichtung zur elektrischen Übertragung einer Gaspedal
stellung eines Kraftfahrzeugs auf dessen Drosselklappe oder
ein anderes, die Füllung eines Verbrennungsmotors beein
flussendes Organ eingesetzt werden. Dabei kommt es darauf
an, daß im Falle einer Störung der beiden Mikroprozessoren,
die in der Kraftfahrzeug-Elektronik enthalten sind, die
Drosselklappe selbsttätig einen sicheren Zustand einnimmt.
In der Regel wird dies eine Stellung in der Nähe der Leer
laufstellung sein, in welcher die Leistung des Verbrennungs
motors gedrosselt ist.
Zur Überwachung eines Mikroprozessors ist es bekannt, eine
CPU (Central Processing Unit) im ungestörten Zustand des
Mikroprozessors zyklisch zu triggern, wodurch ein sonst
durch einen rückstellbaren Zähler erzeugter, an die CPU
abgegebener Rückstellimpuls unterdrückt wird. Wenn dagegen
der Triggerimpuls in dem vorgesehenen Zeitrahmen ausbleibt,
wird die Schaltungsanordnung durch den Rückstellimpuls in
einen sicheren Zustand überführt, so daß der vorliegende
Störungsfall nicht gefährlich werden kann. Die zum Stand
der Technik gehörende Überwachungsschaltung ist jeweils
einen der eingesetzten beiden Mikroprozessoren zugeordnet
und kann sich dazu auf dem Prozessorchip befinden oder als
Prozessor-externe Schaltungsanordnung realisiert sein. Ob
wohl so jeder der beiden Mikroprozessoren überwacht wird, sind
Fehler denkbar, bei denen die Mikroprozessoren so geschädigt
werden, daß auch eine integrierte Überwachungsschaltung
zerstört wird.
Der vorliegenden Erfindung liegt daher die Aufgabe zugrunde,
ausgehend von einer Schaltungsanordnung der eingangs genann
ten Gattung mit zwei Mikroprozessoren, von denen jeder eine
integrierte Überwachungsschaltung aufweist, so weiterzubilden,
daß die Schaltungsanordnung mit großer Zuverlässigkeit in
einen sicheren Zustand auch dann versetzt wird, wenn eine
der integrierten Überwachungsschaltungen jedes Mikropro
zessors defekt wird. Zu der geforderten Zuverlässigkeit
gehört es, daß die gesamte Schaltungsanordnung, mit der
die integrierten Überwachungsschaltungen jedes Mikropro
zessors vervollständigt wird, nicht wiederum selbst Zustände
erzeugen kann, welche im Störungsfall das Versetzen der
Einrichtung in einen sicheren Zustand verhindern. Gleich
wohl soll der Aufwand für die gesamte Schaltungsanordnung
niedrig gehalten werden, was eine redundante Anordnung je
einer weiteren individuellen integrierten Überwachungs
schaltung zu jedem Mikroprozessor im Sinne einer einfachen
Redundanzbildung ausschließt.
Diese Aufgabe wird durch eine Ausbildung der Schaltungs
anordnung der eingangs genannten Gattung mit dem in dem
kennzeichnenden Teil des Anspruchs 1 angegebenen Merkmalen
gelöst.
Das Erfindungsprinzip beruht darauf, daß zusätzlich zu den
beiden integrierten Überwachungsschaltungen der beiden
Mikroprozessoren eine gemeinsame externe Überwachungs
schaltung vorgesehen ist, die mit den integrierten Über
wachungsschaltungen zusammenwirkt, um die ordnungsgemäße
Funktion der beiden Mikroprozessoren und deren integrierte
Überwachungsschaltungen einer Kontrolle zu unterziehen. Dazu
werden in der externen Überwachungsschaltung Triggerimpulse
ausgewertet, die von den Mikroprozessoren im ungestörten
Betriebsfall abgegeben werden. Diese Triggerimpulse können
identisch mit den internen Triggersignalen für die inte
grierte Überwachungsschaltung sein, können aber auch geson
dert generierte Triggerimpulse sein, die allerdings zur
gleichen Zeit wie die internen Triggerimpulse erzeugt werden.
Die nach Anspruch 2 ausgebildete externe gemeinsame Über
wachungsschaltung für beide Mikroprozessoren erfaßt weiter
hin die von den gegebenenfalls gestörten Mikroprozessoren
erzeugten Rückstellimpulse für diese Mikroprozessoren, um
ein Signal direkt, d. h. über den gestörten Mikroprozessor,
zu erzeugen, welches die Einrichtung in einen sicheren
Zustand versetzt. Die Schaltungsanordnung nach Anspruch 2
ermöglichst darüber hinaus einen Test der Überwachungsfunktion
sowohl der externen Überwachungsschaltung selbst, als auch
der simuliert erzeugten Rückstellimpulse der integrierten
Überwachungsschaltungen der beiden Mikroprozessoren. Trotz
geringen Aufwands ist die externe Überwachungsschaltung nach
Anspruch 2 redundant, da auch dann, wenn nur einer der
beiden in der externen Überwachungsschaltung vorgesehenen
Schieberegister eine Störung eines der beiden Mikropro
zessoren erfaßt, das Signal erzeugt wird, welches die
Einrichtung in einen sicheren Zustand versetzt. Hierzu
werden die von den Endstufen der beiden Schieberegister
abgegebenen Signale miteinander verknüpft. Es kann also
eine dieser Endstufen defekt sein und trotzdem die Einrich
tung in den sicheren Zustand überführt werden. Weiterhin
können in der Testphase von Ausgängen der beiden Schiebe
register Testsignale entnommen werden, welche in die
beiden Mikroprozessoren eingespeist werden und in diesen
insbesondere in einer Initialisierungsphase einmal einen
Triggerimpuls für die integrierte Überwachungsschaltung
zu unterdrücken, damit die Überwachungsschaltung zur Abgabe
eines Rückstellimpulses veranlaßt wird, welcher die ord
nungsgemäße Funktion der integrierten Überwachungsschaltung
anzeigt und zugleich das zugeordnete Schieberegister weiter
schaltet, um den Test abzuschließen und das Schieberegister
in die reguläre Überwachungsfunktion zu steuern. Die rück
geführten Testsignale können die Generierung der Trigger
signale hardwaremäßig unterdrücken. Der durch die Test
signale ausgelöste Ablauf kann aber auch so erfolgen, daß
die Testsignale von dem zugehörigen Mikroprozessor ge
messen werden und dieser nach einprogrammierten Kriterien
entscheidet, die Generierung von Triggerimpulsen zu unter
drücken.
Bei dem normalen Überwachungsbetrieb der Schaltungsanordnung
nach Anspruch 2 wird also jeweils dann ein die Einrichtung in
einen sicheren Zustand versetzendes Signal von den Aus
gängen der Schieberegister ausgelöst, wenn ein Rückstell
impuls von einer der beiden integrierten Überwachungs
schaltungen der beiden Mikroprozessoren abgegeben wird, oder
aber die von diesen integrierten Überwachungsschaltungen
generierten Triggerimpulse nicht in einem vorgegebenen
Zeitrahmen aufeinander folgen, was mit der externen Über
wachungsschaltung festgestellt wird.
Zu dem letztgenannten Zweck ist die externe Überwachungs
schaltung vorteilhaft nach Anspruch 3 aufgebaut. Nach
Anspruch 3 wird mit dem Zähler-Rückstellimpulserzeuger
während der regulären Überwachungsphase der Schaltungs
anordnung festgestellt, ob von beiden Mikroprozessoren
Triggerimpulse in vorgegebenen Zeitabschnitten aufeinander
folgen. Im positiven Fall generiert der Zähler-Rückstell
impulserzeuger jeweils einen Rückstellimpuls für den
Zähler der externen Überwachungsschaltung, so daß dieser
keinen als Rückstellsignal für die externe Überwachungs
schaltung wirkenden Überlaufimpuls erzeugt. Statt des
Überlaufimpulses, der von der letzten Zählstufe abgenommen
wird, kann auch eine andere Zählstufe den Rückstellimpuls
erzeugen, der als Schiebeimpuls in die beiden Schiebe
register eingespeist wird, damit diese die durch die
Mikroprozessoren gesteuerte Einrichtung in einen sicheren
Zustand versetzen.
Zum Betrieb der externen Überwachungsschaltung in den Test
phasen weist diese nach Anspruch 4 eine Logikschaltung zur
Zähler-Rückstellimpulsfreigabe in einem Signalflußweg
zwischen dem Zähler-Rückstellimpulserzeuger und dem Zähler
rückstelleingang auf sowie eine weitere Logikschaltung,
welche eine Zählersperrung und -freigabe bewirkt. Beide
Logikschaltungen werden durch die Schieberegister gesteuert.
In einer ersten Testphase werden durch die Logikschaltung
zur Zähler-Rückstellimpulsfreigabe die von dem Zähler-Rück
stellimpuls abgegebenen Zähler-Rückstellimpulse nicht an
den Zähler der externen Überwachungsschaltung weitergeleitet,
damit diese den Zustand - Überlaufzustand - erreicht, indem
er einen als Schiebeimpuls wirkenden Impuls an die Schiebe
register abgibt. Damit kann die ordnungsgemäße Funktion des
Zählers und der Schieberegister überprüft werden. In der
darauf folgenden zweiten Testphase bleibt die Weiterleitung
der Zähler-Rückstellimpulse unterbrochen. In dieser Test
phase erzeugen die internen Überwachungsschaltungen der
beiden Mikroprozessoren jeweils einen Rückstellimpuls,
der als Schiebeimpuls in das zugeordnete Schieberegister
eingespeist wird. In dieser Testphase soll der Zähler der
externen Überwachungsschaltung inaktiv bleiben, damit die
Schieberegister durch die von den integrierten Überwachungs
schaltungen abgegebenen Rückstellimpulse in definierter
Weise die in ihnen enthaltenen Informationen weiterschieben.
Der inaktive Zustand des Zählers der externen Überwachungs
schaltung bedeutet dabei, daß dieser zurückgestellt ist und
in dieser Einstellung gehalten wird. Erst wenn die Schiebe
register durch die Rückstellimpulse von den internen Über
wachungsschaltungen definiert weitergeschaltet wurden, geben
die Ausgänge der Schieberegister an die Logikschaltung der
Zählersperrung/-freigabe Signale ab, welche diese Logik
schaltung in einen Freigabezustand für den Zähler der
externen Überwachungsschaltung steuern. Der Zähler der
externen Überwachungsschaltung zählt daher durch den Os
zillator gespeist hoch, bis er durch einen Zähler-Rückstell
impuls von dem Zähler-Rückstellimpulserzeuger zurückgestellt
wird, und zwar bevor ein Impuls, insbesondere ein Überlauf
impuls, von einer vorgegebenen Zählerstufe abgegeben wird,
um die gesamte Überwachungseinrichtung zurückzustellen.
Vielmehr verbleibt die gesamte Überwachungsschaltungs
anordnung in diesem Fall in einem Zustand, in dem die von
der Schaltungsanordnung gesteuerte Einrichtung, beispiels
weise ein Stellglied, nicht in einen vorbestimmten sicheren
Zustand versetzt wird, sondern entsprechend der hier nicht
beschriebenen Weise erzeugten Stellgröße verstellt wird.
Zu der beschriebenen Einstellung der beiden Testphasen und
der anschließenden Betriebsphase sind die Schieberegister
stufen in der in Anspruch 6 angegebenen Weise mit der End
stufen-Sperrung/-freigabelogik sowie der Logikschaltung
zur Zähler-Rückstellimpulsfreigabe einerseits sowie der
weiteren Logikschaltung zur Zählersperrung/-freigabe anderer
seits verbunden.
Zur Einstellung der Schieberegister in einen definierten
Anfangszustand, so daß diese die Testphasen durchlaufen und
in einer anschließenden betriebsmäßigen Überwachungsphase
die beiden Mikroprozessoren überwacht, ist ein durch ein
Spannungseinschaltsignal gesteuerter Schiebeimpulserzeuger
nach Anspruch 7 vorgesehen.
Die Schaltungsanordnung wird im folgenden anhand einer
Zeichnung mit zwei Figuren beschrieben. Es zeigen:
Fig. 1 grob schematisch die Verbindung der Schaltungs
anordnung mit den beiden Mikroprozessoren sowie
einer Elektronik zum Betrieb einer Stellvorrichtung
und
Fig. 2 ein Blockschaltbild der externen Überwachungs
schaltung.
In Fig. 1 sind mit 1 und 2 zwei Mikroprozessoren bezeichnet,
deren interne Überwachungsschaltungen in der Zeichnung
nicht hervorgehoben sind.
Eine mit beiden Mikroprozessoren in Verbindung stehende
externe Überwachungsschaltung trägt das Bezugszeichen 3.
Sie erzeugt ein Signal WD, welches in eine Elektronik
zum Betrieb einer Stellvorrichtung 4 eingespeist wird und
welche die Stellvorrichtung und damit die gesamte Ein
richtung in einen sicheren Zustand versetzen kann.
Die beiden Mikroprozessoren 1 und 2 sowie die externe Über
wachungsschaltung werden von einer Spannungsquelle 5 ge
speist, die ein Spannungseinschaltsignal PUR erzeugt. Das
Spannungseinschaltsignal PUR stellt die beiden Mikro
prozessoren 1 und 2 und die externe Überwachungsschaltung
in bestimmte Überwachungszustände ein.
Die beiden Mikroprozessoren 1 und 2 erzeugen Trigger
signale WDT 1 und WDT 2, welche die Zähler der inte
grierten Überwachungsschaltungen zurücksetzen sollen.
Diese Triggersignale werden über Leitungen 6 und 7 eben
falls in die externe Überwachungsschaltung eingespeist.
Weiterhin erzeugen die integrierten Überwachungsschaltungen
der Mikroprozessoren 1 und 2 Rückstellimpulse RES 1 und RES 2,
welche über Leitungen 8 und 9 ebenfalls in die externe
Überwachungsschaltung 3 geleitet werden. Diese externe
Überwachungsschaltung gibt andererseits Testsignale über
jeweils 2 Leitungen an jeden der beiden Mikroprozessoren
ab. Die beiden Leitungen, welche zu dem Mikroprozessor 1
führen, sind mit 10 und 11 bezeichnet, während die ent
sprechenden Leitungen zu dem Mikroprozessor 2 die Bezugs
zeichen 12 und 13 tragen. Die für den Mikroprozessor 1
bestimmten Testsignale auf den genannten Leitungen sind
TEST 11 und TEST 12, während die entsprechenden beiden
Testsignale für den zweiten Mikroprozessor 2 mit TEST 21
und TEST 22 bezeichnet sind. Näheres zur Signalbildung
ergibt sich aus dem Blockschaltbild aus Fig. 2, welches
eine Ausführungsform der externen Überwachungsschaltung
darstellt. Die in den Fig. 1 und 2 übereinstimmenden
Leitungen bzw. Signalwege sind mit gleichen Bezugszeichen
versehen. Ergänzend steht ein Spannungseinschaltsignal
PUR auf einer Leitung 14 an, wenn die Spannungsquelle 5
in Fig. 1 eingeschaltet wird und die Spannung genügend
angestiegen ist. Eine Ausgangsleitung 15 führt ein
Signal, welches die Einrichtung in den sicheren Zustand
versetzt, wenn die externe Überwachungsschaltung 3 nicht
die ordnungsgemäße Funktion der Mikroprozessoren 1 und
2 sowie der externen Überwachungsschaltung selbst veri
fizieren konnte.
Wesentliche Bestandteile der externen Überwachungsschaltung
sind zwei Schieberegister 16 und 17, von denen das Schiebe
register 16 über die Leitung 8 mit Rückstellimpulsen der
internen Überwachungsschaltung des Mikroprozessors 1 ge
speist wird und daher diesem Mikroprozessor 1 zugeordnet
ist. Analog dazu wird das Schieberegister 17 mit Rückstell
impulsen von der internen Überwachungseinrichtung des
Mikroprozessors 2 über die Leitung 9 gespeist. Jedes Schiebe
register weist mindestens drei Stufen und dementsprechend
mindestens drei Ausgänge Q auf. Wenn wie in dem Ausführungs
beispiel jedes Schieberegister vier Stufen umfaßt, da dies
eine Standardausführung ist, kann statt des Ausgangs der
dritten Stufe derjenige der vierten Stufe zur Erfassung
des Schieberegisterzustands herangezogen werden. Die Aus
gänge des Schieberegisters 16 sind mit Q 10, Q 11 und Q 12
bezeichnet, die Ausgänge des Schieberegisters 17 mit Q 20,
Q 21 und Q 22. Jedes Schieberegister kann mit einem aus
vier Bit bestehenden Datenwort aus einem Speicherteil 18
bzw. 19 geladen werden, wenn auf einer Leitung 20 ein
entsprechender Ladebefehl geleitet wird. Zur Erzeugung
des Ladebefehls dient ein Impulserzeuger 21, der über
die Leitung 14 mit einem Spannungseinschaltsignal ge
speist wird.
Die Ausgänge der jeweils beiden niedrigsten Stufen der
beiden Schieberegister 16 und 17, d. h. einerseits Q 10
und Q 11 sowie andererseits Q 20 und Q 21 stellen über die
Leitungen 10 bis 13 Testsignale zur Ansteuerung des
Mikroprozessors 1 bzw. 2 in den Testphasen zur Verfügung.
Die Ausgänge Q 12 bzw. Q 22 der jeweils höchsten Schiebe
registerstufen der beiden Schieberegister 16, 17 werden
in einer Endstufensperrung/-freigabelogik 22 miteinander
logisch verknüpft, um die Einrichtung über die Leitung
15 freizugeben, wenn beide Ausgänge Q 12 und Q 22 Low-
Daten führen. Die beiden Ausgänge Q 12 und Q 22 in den beiden höchsten
Stufen der Schieberegister 16, 17 dienen außerdem zur Steuerung einer
Zähler-Rückstellimpulsfreigabelogik 23. Die Ausgänge Q 10, Q 11, Q 20
und Q 21 der niedrigeren Stufen der beiden Schieberegister
16 und 17 werden andererseits auch dazu herangezogen, eine
weitere Logikschaltung 24 zur Zählersperrung/-freigabe eines
rückstellbaren, anhaltbaren Zählers mit zugeordnetem Oszilla
tor zu steuern. Ein Ausgang des Zählers 25 führt über eine
Leitung 26 einen Überlaufimpuls bzw. einen Impuls, der
das Erreichen einer bestimmten Zählstufe signalisiert,
über je ein Gatter 27 bzw. 28 zu je einem Schiebeimpuls
eingang 29 bzw. 30 des Schieberegisters 16 bzw. 17.
Der rückstellbare und anhaltbare Zähler mit Oszillator 25
hat einen Zähler-Rückstelleingang 31, welcher Zähler-Rück
stellimpulse von einem Zähler-Rückstellimpulserzeuger 32
über die in einen Signalweg bzw. eine Leitung 33 einge
fügte Rückstellimpulsfreigabelogik 23 sowie ein Gatter 34
erhält. Das Gatter erhält außerdem ein Signal von der
Logikschaltung zur Zählersperrung/-freigabe sowie von dem
Impulserzeuger, welcher bei Empfang eines PUR Signals einen
Impuls abgibt. Das Gatter 34 wirkt als logisches UND, ist
aber als ODER-Gatter dargestellt, was auf die Spannungs
pegel auf den signalführenden Leitungen, beispielsweise
Leitung 33, zurückzuführen ist.
Die beschriebene Schaltungsanordnung funktioniert wie folgt:
Nach dem Einschalten der Spannungsquelle 5 entsteht ein Spannungseinschaltsignal PUR, welches für eine definierte Zeit auf Low-Pegel (im folgenden auf L-Pegel abgekürzt) ver bleibt und damit die beiden Mikroprozessoren 1 und 2 im inaktiven Reset-Zustand hält. Danach steigt der Pegel des Spannungseinschaltsignals auf High (im folgenden H abge kürzt),und die Mikroprozessoren 1 und 2 beginnen ent sprechend ihrem Programm zu arbeiten. Durch das Spannungs einschaltsignal PUR werden außerdem die Schieberegister 16 und 17 mit je einem Datenwort aus den Speicherteilen 18 und 19 geladen. In dem vorliegenden Fall ist das für beide Schieberegister übereinstimmende Datenwort so ge wählt, daß die Ausgänge Q 10 und Q 20 auf Low-Pegel sind und die Ausgänge Q 11, Q 21, Q 12 und Q 22 auf High-Pegel. Damit befindet sich das Signal WD, welches die Einrichtung in einen sicheren Zustand versetzen kann, auf einem Low- Pegel, denn die Endstufensperrung/-freigabelogik beinhaltet eine invertierte ODER-Verknüpfung der Ausgangssignale Q 12, Q 22. Es sei an dieser Stelle vermerkt, daß das Signal WD nur dann die Einrichtung, d. h. insbesondere die Elektronik 4 zum Betrieb einer Stellvorrichtung aktiviert, wenn dieses Signal einen High-Pegel annimmt. - Die beschriebene Schaltungs anordnung kann auch für eine entgegengesetzte Zuordnung der Signalpegel zu definierten Zuständen ausgelegt werden, wozu insbesondere die Logikverknüpfung in der Endstufensperrung/ -freigabelogik 22 entsprechend zu ändern ist. - Die Schiebe register 16 und 17 erzeugen nach Einspeisung des Datenworts weiterhin an ihren Ausgängen Q 10, Q 11, Q 20 und Q 21 der niedrigeren Schieberegisterstufen Testsignale TEST 11, TEST 12, TEST 21 und TEST 22, die zu den Mikroprozessoren 1 und 2 geführt werden, wie es aus den Leitungsbezeichnungen hervor geht. Die Testsignale werden in den Mikroprozessoren 1 und 2 für bestimmte Testeinstellungen, insbesondere Unterdrückung von Triggerimpulsen ausgewertet. Diese Testsignale steuern auch die Logikschaltung 24 zur Zählersperrung/-freigabe des Zählers 25. Die Ausgänge an den höchsten Schieberegisterstufen Q 12 und Q 22 steuern schließlich auch die Rückstellimpuls freigabelogik 23 in dem Signalweg zwischen dem Zähler 25 und dem Zähler-Rückstellimpulserzeuger 32.
Nach dem Einschalten der Spannungsquelle 5 entsteht ein Spannungseinschaltsignal PUR, welches für eine definierte Zeit auf Low-Pegel (im folgenden auf L-Pegel abgekürzt) ver bleibt und damit die beiden Mikroprozessoren 1 und 2 im inaktiven Reset-Zustand hält. Danach steigt der Pegel des Spannungseinschaltsignals auf High (im folgenden H abge kürzt),und die Mikroprozessoren 1 und 2 beginnen ent sprechend ihrem Programm zu arbeiten. Durch das Spannungs einschaltsignal PUR werden außerdem die Schieberegister 16 und 17 mit je einem Datenwort aus den Speicherteilen 18 und 19 geladen. In dem vorliegenden Fall ist das für beide Schieberegister übereinstimmende Datenwort so ge wählt, daß die Ausgänge Q 10 und Q 20 auf Low-Pegel sind und die Ausgänge Q 11, Q 21, Q 12 und Q 22 auf High-Pegel. Damit befindet sich das Signal WD, welches die Einrichtung in einen sicheren Zustand versetzen kann, auf einem Low- Pegel, denn die Endstufensperrung/-freigabelogik beinhaltet eine invertierte ODER-Verknüpfung der Ausgangssignale Q 12, Q 22. Es sei an dieser Stelle vermerkt, daß das Signal WD nur dann die Einrichtung, d. h. insbesondere die Elektronik 4 zum Betrieb einer Stellvorrichtung aktiviert, wenn dieses Signal einen High-Pegel annimmt. - Die beschriebene Schaltungs anordnung kann auch für eine entgegengesetzte Zuordnung der Signalpegel zu definierten Zuständen ausgelegt werden, wozu insbesondere die Logikverknüpfung in der Endstufensperrung/ -freigabelogik 22 entsprechend zu ändern ist. - Die Schiebe register 16 und 17 erzeugen nach Einspeisung des Datenworts weiterhin an ihren Ausgängen Q 10, Q 11, Q 20 und Q 21 der niedrigeren Schieberegisterstufen Testsignale TEST 11, TEST 12, TEST 21 und TEST 22, die zu den Mikroprozessoren 1 und 2 geführt werden, wie es aus den Leitungsbezeichnungen hervor geht. Die Testsignale werden in den Mikroprozessoren 1 und 2 für bestimmte Testeinstellungen, insbesondere Unterdrückung von Triggerimpulsen ausgewertet. Diese Testsignale steuern auch die Logikschaltung 24 zur Zählersperrung/-freigabe des Zählers 25. Die Ausgänge an den höchsten Schieberegisterstufen Q 12 und Q 22 steuern schließlich auch die Rückstellimpuls freigabelogik 23 in dem Signalweg zwischen dem Zähler 25 und dem Zähler-Rückstellimpulserzeuger 32.
Die Testsignale bewirken, daß in einer ersten Testphase die
von den Mikroprozessoren 1 und 2 normalerweise zyklisch abge
gebenen Triggerimpulse WDT 1 und WDT 2 in Form der mit dem
Zähler-Rückstellimpulserzeuger 32 erzeugten Zähler-Rückstell
impulse nicht zu dem Zähler 25 gelangen. Der Zähler 25 zählt
deswegen von seinem Oszillator gesteuert hoch, bis er den Über
lauf erreicht. In diesem Fall gibt er einen Überlaufimpuls als
Schiebeimpuls über die Leitung 26 an die Schiebeimpulseingänge
29 und 30 der Schieberegister 16 und 17 ab, wodurch das Daten
wort um eine Stufe durch das Schieberegister weitergeschoben
wird. Daher wechseln die Zustände an den Ausgängen Q 10, Q 11,
Q 20 und Q 21. Die Mikroprozessoren 1 und 2, welchen die
entsprechenden Testsignale TEST 11, TEST 12, TEST 21 und
TEST 22 zugeführt werden, erkennen aus diesen die korrekte
Funktion des Überlaufimpulses als Schiebeimpuls bei Über
lauf des Zählers 25 und die damit ausgelöste Schiebefunktion
des Schieberegisters. Bei korrektem Ablauf dieser getesteten
Funktionen sind die Ausgänge Q 10, Q 20, Q 12 und Q 22 auf
High-Pegel, während die Ausgänge Q 11 und Q 21 den Low-Pegel
annehmen. Aufgrund der Invertierung durch die Endstufen
sperrung/-freigabelogik 22 verbleibt das Signal auf der
Leitung 15 in dem die Einrichtung sperrenden Zustand. Die
Testsignale auf den Leitungen 10 bis 13 aufgrund der ange
gebenen Pegel der Schieberegisterausgänge Q 10, Q 11, Q 20
und Q 21 steuern jedoch die Logikschaltung 24 zur Zähler
sperrung/-freigabe so, daß der Zähler 25 zurückgesetzt und
bis auf weiteres angehalten wird.
Letzteres ist eine Voraussetzung für die zweite Testphase,
die durch die Testsignale über die Leitungen 10 bis 13
mit den Mikroprozessoren 1 und 2 eingeleitet wird. In dieser
zweiten Testphase unterdrücken die Mikroprozessoren 1, 2
die Triggerung ihrer integrierten Überwachungsschaltungen
und die Abgabe der Triggerimpulse als Signale WDT 1 und
WDT 2 über die Leitungen 6, 7 an den Zähler-Rückstell
impulserzeuger 32. Infolge der in den Mikroprozessoren
1 und 2 unterdrückten Triggerimpulse geben deren inte
grierte Überwachungsschaltungen Rückstellsignale (die
auch als Rücksetzsignale bezeichnet werden) RES 1 und RES 2
über die Leitungen 8 und 9 als Schiebeimpulse an die
Schiebeimpulseingänge 29 und 30 der Schieberegister 16, 17
ab. Dadurch wird das Datenwort in jedem Schieberegister
16, 17 wiederum um eine Stufe weitergeschoben. Die Ausgänge
Q 10, Q 20, Q 11 und Q 21 nehmen den High-Pegel an; die
Ausgänge Q 12 und Q 22 hingegen den Low-Pegel, wenn eine
ordnungsgemäße Funktion der Rückstellimpulserzeugung in
den Mikroprozessoren 1 und 2 sowie die Schiebefunktion
aufgrund der entsprechenden Schiebeimpulse in den beiden
Schieberegistern 16 und 17 erfüllt ist. Da die beiden
höchsten Stufen der beiden Schieberegister 16, 17 über
einstimmend auf Low-Pegel sind, wird jetzt das Signal WD
auf der Leitung 15 aufgrund der invertierenden Funktion
der Endstufensperrung/-freigabelogik 22 high und die Ein
richtung, d. h. die Elektronik zum Betreiben der Stell
vorrichtung 4 wird freigegeben, da auch die zweite Test
phase erfolgreich abgeschlossen ist.
Zugleich wird aufgrund der in der zweiten Testphase weiter
geschobenen Datenwörter in den beiden Schieberegistern 16
und 17 und der dementsprechend von den Ausgängen entnommenen
Testsignale auf den Leitungen 10 bis 13 die Triggerimpuls
erzeugung in den Mikroprozessoren 1 und 2 freigegeben.
Außerdem wird durch die Logikschaltung 24 zur Zähler
sperrung/-freigabe jetzt das Anhalten des Zählers 25 auf
gehoben, d. h. der Zähler zählt durch seinen Oszillator
gesteuert wieder hoch. Außerdem schaltet die Rückstell
impulsfreigabelogik 23 die Zähler-Rückstellimpulse von
dem Zähler-Rückstellimpulserzeuger 32 zu dem Rücksetz
eingang 31 des Zählers 25 durch, da auch das Gatter 34
durch das Spannungseinschaltsignal PUR von dem Impuls
erzeuger 21 gesteuert die Weiterleitung der Zähler-Rück
stellimpulse zu dem Rücksetzeingang 31 gestattet.
In der jetzt laufenden normalen Betriebsphase der Schal
tungsanordnung und der Einrichtung müssen zyklische
Triggerimpulse auf den Leitungen 6 und 7 auftreten, welche
von den Mikroprozessoren 1 und 2 erzeugt werden, damit
der Zähler 25 stets zurückgesetzt wird, bevor der Zähler
überlauf erreicht ist. Der Zähler 25 wird also nur dann
zurückgesetzt, wenn auf beiden Leitungen 6 und 7 innerhalb
vorgegebener Intervalle Signale WDT 1 und WDT 2 aufgetreten
sind.
Aus der voranstehenden Beschreibung der ersten und der
zweiten Testphase ergibt es sich auch, daß auf den Leitungen
10 bis 13 Testsignale entstehen und auf der Leitung 15 ein
Signal auftritt, welches die Einrichtung, insbesondere die
Elektronik 4, in einen sicheren Zustand versetzt und die
Einrichtung nicht zur betriebsmäßigen Funktion freigeben.
Zu der Ausführung der Schieberegister 16 und 17 mit je vier
Stufen, von denen jedoch nur die ersten drei zur Einspeisung
des Datenworts aus den zugeordneten Speicherteilen benutzt
werden, wird noch bemerkt, daß durch die Auswertung der
Information aus der höchsten vierten Stufe statt aus der
dritten Stufe zur Bildung des Signals WD erst bei Wieder
holung eines Fehler abgeschaltet wird, während jeweils
ein erster Störimpuls toleriert wird.
Claims (7)
1. Schaltungsanordnung zur Überwachung einer von zwei Mikroprozessoren
gesteuerten Einrichtung, insbesondere einer Fahrzeugelektronik, wobei jeder
Mikroprozessor eine integrierte Überwachungsschaltung aufweist, die durch
eine zentrale Recheneinheit (CPU) des ungestörten Mikroprozessors
zyklisch getriggert wird und bei Ausbleiben eines
Triggerimpulses einen Rückstellimpuls an die zentrale
Recheneinheit abgibt,
dadurch gekennzeichnet,
daß beide Mikroprozessoren (1, 2) zusätzlich an eine
gemeinsame externe Überwachungsschaltung (3) ange
schlossen sind, in welche Triggerimpulse (WDT 1,
WDT 2) beider Mikroprozessoren (1, 2) eingespeist
werden, und daß die externe Überwachungsschaltung (3)
so aufgebaut ist, daß sie bei Ausbleiben eines Trigger
impulses (WDT 1; WDT 2) wenigstens eines der beiden
Mikroprozessoren (1, 2) ein Signal (WD) erzeugt, mit
welchem die Einrichtung (4) in einen sicheren Zustand
versetzt wird.
2. Schaltungsanordnung nach Anspruch 1,
dadurch gekennzeichnet,
daß die externe Überwachungsschaltung (3) zwei vor
einstellbare Schieberegister (16, 17) umfaßt, von
denen jedes je einem der beiden Mikroprozessoren (1, 2)
zugeordnet ist, daß jedes der Schieberegister (16, 17)
mit den Rückstellimpulsen (RES 1, RES 2) des zugeord
neten Mikroprozessors (1; 2) und mit in der externen
Überwachungsschaltung (3) in Abhängigkeit von den
Triggerimpulsen (WDT 1, WDT 2) beider Mikroprozessoren
(1, 2) erzeugten Impulsen (Überlaufimpulsen) als
Schiebeimpulse gespeist wird, und daß von Ausgängen
(Q 10, Q 11, Q 12; Q 20, Q 21, Q 22) der Schiebe
register (16; 17) die die Mikroprozessoren (1, 2) in
Testzustände versetzenden Testsignale (TEST 11, TEST 12,
TEST 21, TEST 22) abgegeben werden sowie das Signal
(WD) abgeleitet wird, welches die Einrichtung (4) in
einen sicheren Zustand versetzt.
3. Schaltungsanordnung nach Anspruch 2,
dadurch gekennzeichnet,
daß die externe Überwachungsschaltung (3) einen rück
stellbaren, anhaltbaren Zähler (25), der von einem
Oszillator gespeist wird, aufweist, daß jeweils ein
Zähler-Rückstellimpuls zur Überwachung der beiden
Mikroprozessoren (1, 2) aus von diesen abgegebenen
Triggerimpulsen (WDT 1, WDT 2) mit einem Zähler-Rück
stellimpulserzeuger (32) dann erzeugt wird, wenn die
Triggerimpulse (WDT 1, WDT 2) beider Mikroprozessoren
(1, 2) in vorgegebenen Intervallen aufeinander folgen,
und daß der Zähler (25) einen Impuls (Überlaufimpuls)
jeweils bei Erreichen eines vorgegebenen Zählerstands
an die Schieberegister (16, 17) abgibt.
4. Schaltungsanordnung nach Anspruch 3,
dadurch gekennzeichnet,
daß eine durch Ausgänge (Q 10, Q 11, Q 20, Q 21) beider
Schieberegister (16, 17) gesteuerte Logikschaltung (23)
zur Zähler-Rückstellimpulsfreigabe einen Signalfluß
weg (33) von einem Ausgang des Zähler-Rückstellimpuls
erzeugers (32) zu einem Zähler-Rückstelleingang (31)
in einer Testphase der Zähler- und Schieberegister
funktionen unterbricht, so daß der intakte Zähler (25)
einen Impuls (Überlaufimpuls) an die Schieberegister
(16, 17) abgibt, und daß der Zähler (25) anschließend
in einer Testphase der Rückstellimpulsabgabe (RES 1,
RES 2) von beiden Mikroprozessoren (1, 2) durch eine
weitere, durch Ausgänge (Q 10, Q 11; Q 20, Q 21) beider
Schieberegister (16, 17) gesteuerte Logikschaltung (24)
zur Zählersperrung/-freigabe zurückgesetzt und ange
halten wird.
5. Schaltungsanordnung nach Anspruch 4,
dadurch gekennzeichnet,
daß durch einen von jedem der beiden Mikroprozessoren
(1, 2) abgegebenen Rückstellimpuls (RES 1, RES 2) das
jeweils zugeordnete Schieberegister (16 bzw. 17) einen
solchen Schiebezustand annimmt, daß die Zählerrück
setzung und das Anhalten des Zählers (24) über die
weitere, durch die Ausgänge (Q 1, Q 11; Q 20, Q 21)
beider Schieberegister (16, 17) gesteuerte Logik
schaltung (24) zur Zählersperrung/-freigabe aufgehoben
wird, ferner von dem Zähler-Rückstellimpulserzeuger
(32) erzeugte Zähler-Rückstellimpulse über die von
den Ausgängen (Q 12, Q 22) der Schieberegister (16, 17)
gesteuerte Logikschaltung (23) zur Zähler-Rückstell
impulsfreigabe zu dem Zähler (25) durchgeschaltet
werden, und daß die Einrichtung (4) über eine von den
Ausgängen (Q 12, Q 22) der Schieberegister (1, 2)
gesteuerte Endstufen-Sperrung/-freigabelogik (22)
freigegeben wird.
6. Schaltungsanordnung nach den Ansprüchen 4 und 5,
dadurch gekennzeichnet,
daß die Endstufen-Sperrung/-freigabelogik (22) sowie
die Logikschaltung (23) zur Zähler-Rückstellimpuls
freigabe von der jeweils höchsten Schieberegisterstufe
beider Schieberegister (16, 17) gesteuert werden und
die weitere Logikschaltung (24) zur Zählersperrung/
-freigabe durch die jeweils niedrigeren Schieberegister
stufen beider Schieberegister (16, 17) gesteuert wird.
7. Schaltungsanordnung nach einem der Ansprüche 2-6,
dadurch gekennzeichnet,
daß ein durch ein Spannungseinschaltsignal (PUR) ge
steuerter Impulserzeuger (21) in der zusätzlichen Über
wachungsschaltung (3) vorgesehen ist, der die beiden
Schieberegister (16, 17) beim Auftreten eines Spannungs
einschaltsignals (PUR) in einen definierten Anfangs
zustand stellt und dabei die Schieberegisterstufen mit
einem Datenwort lädt.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE19873731097 DE3731097C2 (de) | 1987-09-16 | 1987-09-16 | Schaltungsanordnung zur Überwachung einer von zwei Mikroprozessoren gesteuerten Einrichtung, insbesondere einer Kraftfahrzeug-Elektronik |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE19873731097 DE3731097C2 (de) | 1987-09-16 | 1987-09-16 | Schaltungsanordnung zur Überwachung einer von zwei Mikroprozessoren gesteuerten Einrichtung, insbesondere einer Kraftfahrzeug-Elektronik |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| DE3731097A1 DE3731097A1 (de) | 1989-03-30 |
| DE3731097C2 true DE3731097C2 (de) | 1996-02-08 |
Family
ID=6336138
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| DE19873731097 Expired - Fee Related DE3731097C2 (de) | 1987-09-16 | 1987-09-16 | Schaltungsanordnung zur Überwachung einer von zwei Mikroprozessoren gesteuerten Einrichtung, insbesondere einer Kraftfahrzeug-Elektronik |
Country Status (1)
| Country | Link |
|---|---|
| DE (1) | DE3731097C2 (de) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE4117393A1 (de) * | 1991-05-28 | 1992-12-03 | Kloeckner Humboldt Deutz Ag | Einrichtung zur steuerung der kraftstoffeinspritzung einer brennkraftmaschine |
| DE19511842A1 (de) * | 1995-03-31 | 1996-10-02 | Teves Gmbh Alfred | Verfahren und Schaltungsanordnung zur Überwachung einer Datenverarbeitungsschaltung |
| DE19735015B4 (de) * | 1997-08-13 | 2016-11-24 | Volkswagen Ag | Verfahren und Vorrichtung für Sicherheitsstrategien in Kraftfahrzeugen |
| DE19735018A1 (de) * | 1997-08-13 | 1999-02-18 | Volkswagen Ag | Systemarchitektur zur Realisierung von Funktionen in einem Kraftfahrzeug |
| JP5153392B2 (ja) * | 2008-03-11 | 2013-02-27 | 株式会社日立製作所 | 記憶制御装置及び方法 |
| JP5246230B2 (ja) * | 2010-09-13 | 2013-07-24 | 株式会社デンソー | 車両用電子制御装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS60186919A (ja) * | 1984-01-30 | 1985-09-24 | Nec Corp | オ−トノ−マスタイマ回路 |
-
1987
- 1987-09-16 DE DE19873731097 patent/DE3731097C2/de not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| DE3731097A1 (de) | 1989-03-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| DE4012109C2 (de) | Vorrichtung zur Funktionsüberwachung eines elektrischen/elektronischen Schaltmittels, seines angeschlossenen Verbrauchers, einer Ansteuerung und seiner Verbindungsleitung | |
| WO1986000155A1 (en) | Resetting circuit for a microprocessor | |
| DE2731336A1 (de) | Taktsystem | |
| DE2023741A1 (de) | Testeinrichtung für komplexe, eine Vielzahl von Anschlußstiften aufweisende Funktionslogikschaltungen | |
| DE4039355A1 (de) | Vorrichtung zur pruefung einer watchdog-schaltung | |
| DD230948A1 (de) | Schaltungsanordnung zur ueberwachung eines mikroprozessors | |
| DE102013113296A1 (de) | Redundante Rechenarchitektur | |
| DE19536226C2 (de) | Testbare Schaltungsanordnung mit mehreren identischen Schaltungsblöcken | |
| DE2418650C2 (de) | Einrichtung zur Prüfung und Überwachung von Stromversorgungseinrichtungen | |
| DE112018000220T5 (de) | Elektronische Steuervorrichtung und Anomalie/Normalzustands-Bestimmungsverfahren einer elektronischen Steuervorrichtung | |
| DE3731097C2 (de) | Schaltungsanordnung zur Überwachung einer von zwei Mikroprozessoren gesteuerten Einrichtung, insbesondere einer Kraftfahrzeug-Elektronik | |
| DE2630234C2 (de) | Schutzeinrichtung für Maschinenanlagen gegenüber Betriebsstörungen | |
| DE10127054B4 (de) | Verfahren zur Überwachung einer Spannungsversorgung eines Steuergeräts in einem Kraftfahrzeug | |
| EP0031025B1 (de) | Fehlererkennungs- und -korrektureinrichtung für eine logische Anordnung | |
| EP0547259B1 (de) | Schaltungsanordnung zum Sichern des Betriebes eines rechnergesteuerten Gerätes | |
| DE2161994A1 (de) | Fehlerfeststellungsschaltung bei einer Datenverarbeitungsanlage | |
| DE2607893B2 (de) | Zählschaltung | |
| EP1561165B1 (de) | Steuereinheit zur auslösung eines insassenschutzmittels in einem kraftfahrzeug und verfahren zur überwachung der ordnungsgemässen funktion einer vorzugsweise solchen steuereinheit | |
| DE2400112A1 (de) | Digitales datenaufzeichnungsgeraet | |
| EP0037965B1 (de) | Einrichtung zum Prüfen einer digitalen Schaltung mittels in diese Schaltung eingebauter Prüfschaltungen | |
| DE2333194A1 (de) | Einbaumessgeraet fuer elektronische anlagen | |
| DE2903383C2 (de) | Separates Testgerät für adressierbare Schaltungen | |
| DE3320587A1 (de) | Schaltungsanordnung zur ueberwachung von elektronischen rechenbausteinen | |
| DE2737133C2 (de) | Schaltungsanordnung zum Verhindern von Doppelfehlern in einer Datenverarbeitungsanlage | |
| DE2942133C2 (de) | Prüfeinrichtung für Kleinrechnersysteme |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 8110 | Request for examination paragraph 44 | ||
| 8125 | Change of the main classification |
Ipc: G06F 11/30 |
|
| D2 | Grant after examination | ||
| 8363 | Opposition against the patent | ||
| 8327 | Change in the person/name/address of the patent owner |
Owner name: MANNESMANN VDO AG, 60326 FRANKFURT, DE |
|
| 8365 | Fully valid after opposition proceedings | ||
| 8339 | Ceased/non-payment of the annual fee |