DE4004709C2 - Rechnersystem - Google Patents

Rechnersystem

Info

Publication number
DE4004709C2
DE4004709C2 DE19904004709 DE4004709A DE4004709C2 DE 4004709 C2 DE4004709 C2 DE 4004709C2 DE 19904004709 DE19904004709 DE 19904004709 DE 4004709 A DE4004709 A DE 4004709A DE 4004709 C2 DE4004709 C2 DE 4004709C2
Authority
DE
Germany
Prior art keywords
unit
reset
computer system
input
pulse
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE19904004709
Other languages
English (en)
Other versions
DE4004709A1 (de
Inventor
Karl-Heinrich Dipl Ing Preis
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE19904004709 priority Critical patent/DE4004709C2/de
Priority to FR9100191A priority patent/FR2658335B1/fr
Priority to GB9102732A priority patent/GB2241361B/en
Priority to JP01853091A priority patent/JP3217077B2/ja
Publication of DE4004709A1 publication Critical patent/DE4004709A1/de
Application granted granted Critical
Publication of DE4004709C2 publication Critical patent/DE4004709C2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2038Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant with a single idle spare processing component
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/26Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
    • F02D41/266Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor the computer being backed-up or assisted by another circuit, e.g. analogue
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1415Saving, restoring, recovering or retrying at system level
    • G06F11/1438Restarting or rejuvenating
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2041Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant with more than one idle spare processing component
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • G06F15/177Initialisation or configuration control
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1679Temporal synchronisation or re-synchronisation of redundant processing components at clock signal level
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/2097Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements maintaining the standby controller/processing unit updated

Description

Die Erfindung betrifft ein Rechnersystem gemäß dem Oberbegriff des Patentanspruchs 1.
Ein derartiges Rechnersystem zur Steuerung eines Betriebsparameters einer Brennkraftmaschine eines Kraftfahrzeugs ist aus der DE 37 26 489 A1 bekannt. Dort ist ein Rechnersystem bestehend aus zwei Prozessoren, die über ein Leitungssystem zum Austausch von Da­ ten und Steuer- bzw. Kontrollsignalen verbunden sind, vorgeschlagen. Zur gegenseitigen Überwachung der beiden Prozessoren ist jeder Pro­ zessor mit einem sogenannten Watch-Dog ausgestattet, der an den je­ weils anderen Rechner Kontrollsignale abgibt, anhand derer der je­ weils andere Rechner die Funktionsfähigkeit des das Kontrollsignal aussendenden Rechners überprüfen kann. Ein zweiter Überwachungspfad wird bei einem derartigen Zwei-Rechner-System durch die Übertragung von Daten zwischen den beiden Prozessoren aufgebaut. Die Datenüber­ tragung erfolgt zyklisch in einem festen Zeitraster, bei Ausbleiben einer Datenübertragung bzw. -anforderung eines der beiden Rechner schließt der jeweils andere auf einen Funktionsfehler und startet den fehlerhaften Rechner über einen Reset-Impuls neu (Warmstart). Bei Inbetriebnahme des Rechnersystems wird ein beiden Rechnern ge­ meinsamer Initialisierungsimpuls (Power on) erzeugt, der beide Rech­ ner gleichzeitig zur Initialisierung zurücksetzt (Kaltstart). Nach­ teilig an einer derartigen Anordnung ist, daß das Rechnersystem nicht ordnungsgemäß im Betrieb genommen werden kann, wenn der Ini­ tialisierungsimpuls bzw. die diesen Impuls erzeugende Schaltungsan­ ordung fehlerbehaftet ist. Dient das Rechnersystem zur Steuerung si­ cherheitskritischer Funktionen einer Brennkraftmaschine und/oder ei­ nes Kraftfahrzeugs, besteht die Gefahr, daß in einem derartigen Feh­ lerfall ein sicherheitskritischer Fahrzustand auftreten kann.
Der Erfindung liegt daher die Aufgabe zugrunde, die Verfügbarkeit eines derartigen Rechnersystems zu verbessern. Dazu ist eine zusätz­ liche Einheit vorgesehen, die einen vom eigentlichen Initialisie­ rungsimpuls unabhängigen zweiten Initialisierungsimpuls erzeugt.
Aus dem US-Patent 4,234,926 ist es bekannt, bei einem Computer zusätzlich zu und unabhängig von einem Rücksetzsignal einen durch eine zusätzliche signalerzeugende Einheit (external reset switch) erzeugten Rücksetzimpuls vorzusehen.
Aus der DE 37 90 885 A1 ist eine Schaltungsanordnung zur Erzeugung eines Initialisierungs- bzw. Rücksetzimpuls beschrieben. Diese Schaltungsanordnung dient einerseits zum Rücksetzen eines Rechner­ systems beim ersten Einschalten (Power on), andererseits zum Rück­ setzen des Rechnersystems bei Unterspannung, d. h. bei Absinken der Betriebsspannung unter einen vorgegebenen Wert. Ferner erzeugt diese vorgeschlagene Schaltungsanordnung ein Rücksetzsignal, das bei einem Ausfall eines Rechners von einem funktionsfähigen Rechner ausgelöst wird, um den funktionsunfähigen Rechner neu zu starten.
Vorteile der Erfindung
Die Erfindung hat den Vorteil, daß bei Ausfall der den Initialisie­ rungs- bzw. Rücksetzimpuls erzeugenden Schaltungsanordnung eine ord­ nungsgemäße Inbetriebnahme des Rechnersystems durch eine zusätzli­ che, von dieser Schaltungsanordnung unabhängigen Einheit ermöglicht wird. Eine fehlerhafte Inbetriebnahme und ein daraus folgender si­ cherheitskritischer Zustand kann dadurch wirksam vermieden werden.
In Verbindung mit aus dem Stand der Technik bekannten Überwachungs­ verfahren eines derartigen Rechnersystems kann die zusätzliche Ein­ heit auf einfache, kostengünstige Art realisiert werden.
Weitere Vorteile der Erfindung ergeben sich aus den Unteransprüchen in Verbindung mit dem im folgenden beschriebenen Ausführungsbeispiel.
Zeichnung
Im folgenden wird die Erfindung anhand des in der Zeichnung darge­ stellten Ausführungsbeispieles erläutert. Fig. 1 zeigt ein Beispiel eines als Blockschaltbild dargestellten Zwei-Rechner-Systems mit zu­ sätzlicher Rücksetzeinheit, Fig. 2 ein Übersichtsflußdiagramm des Zusammenspiels von Rechnerüberwachung und zusätzlicher Rücksetzein­ heit bei der Inbetriebnahme des Rechnersystems. Fig. 3 schließlich stellt eine schaltungstechnisch einfache, kostengünstige Realisie­ rungsform der zusätzlichen Rücksetzeinheit vor.
Beschreibung eines Ausführungsbeispieles
Fig. 1 zeigt beispielhaft ein Zwei-Rechner-System, das zur Ausfüh­ rung bestimmter Funktionen im Kraftfahrzeug dient. Beispielsweise können derartige Zwei-Rechner-Systeme bei Sicherheitseinrichtungen wie Airbag oder Gurtstraffer eingesetzt werden, oder zur Steuerung und/oder Regelung von Betriebsparametern der Brennkraftmaschine ei­ nes Kraftfahrzeugs, beispielsweise in einer elektronischen Motor­ leistungssteuerung, angewendet werden.
Die beiden Recheneinheiten 10 und 20 sind über ein Leitungssystem 30 verbunden. Ein derartiges Leitungssystem kann Datenleitungen, Adressleitungen und/oder Steuerleitungen umfassen. Das Leitungssy­ stem 30 dient zum Austausch von Daten, Adressen und/oder Steuer- oder Kontrollsignalen, mit deren Hilfe die Kommunikation zwischen den beiden Rechnern gesteuert wird. Beide Recheneinheiten 10 und 20 sind mit sogenannten Watch-Dogs 12, 22 ausgestattet. Die beiden Watch-Dog-Einheiten sind über zwei Leitungen 32, 33 miteinan­ der verbunden, wobei die Leitung 32 das von der Watch-Dog-Einheit 12 erzeugte Signal führt, die Leitung 33 das von der Watch-Dog-Einheit 22 erzeugte.
Die Verbindungsleitung 32 ist ferner über eine Schaltungseinheit 34 auf einen Eingang einer Verknüpfungsstufe 36 geführt. Diese Verknüp­ fungsstufe 36, die einer logischen ODER-Funktion entspricht, ist an ihrem zweiten Eingang mit einem Ausgang 37 der Recheneinheit 10 ver­ bunden. Die Ausgangsleitung 38 der Verknüpfungsstufe 36 bildet die Eingangsleitung einer zweiten Verknüpfungsstufe 40, deren zweiter Eingang über eine Leitung 41 mit einer Schaltungsanordnung 42 zur Bildung eines Rücksetzimpulses bzw. Initialisierungsimpulses ver­ knüpft ist. Die Ausgangsleitung 43 der ebenfalls eine logische ODER-Funktion ausführenden Verknüpfungsstufe 40 ist auf den Eingang 44 der Recheneinheit 20 geführt.
In analoger Weise ist die Verbindungsleitung 33 über eine Schal­ tungseinheit 46 mit einer dritten Verknüpfungsstufe 48 verbunden, deren zweiter Eingang mit einem Ausgang 50 der Recheneinheit 20 ver­ knüpft ist. Die Ausgangsleitung 52 der Verknüpfungsstufe 48 wird auf den Eingang 54 einer Einheit 56 zur Bildung eines unabhängigen Rück­ setzimpulses geführt. Die Einheit 56 ist an einem weiteren Eingang 58 mit der Einheit 42 zur Bildung eines Rücksetz- bzw. Initialisie­ rungsimpulses über die Leitung 41 verbunden. Ein dritter Eingang 60 der Einheit 56 ist mit der Leitung 62 beaufschlagt, die gleichzeitig die Eingangsleitung der Einheit 42 bildet und die Versorgungsspannung des Systems führt. Der Ausgang 64 der Einheit 56 ist schließlich mit dem Eingang 66 der Recheneinheit 10 verbunden.
Die Funktionsweise des in Fig. 1 dargestellten Systems ergibt sich aus dem folgenden. Die Einheit 42 bildet in Abhängigkeit des über die Leitung 62 ihr zugeführten Versorgungsspannungswertes ein Impuls­ signal, welches über die Leitung 41 die Verknüpfungsstufe 40 und die Leitung 43 den Rechner 20 über dessen Reset-Eingang 44 zurücksetzt. Ein derartiger Rücksetzimpuls tritt beispielsweise bei Inbetrieb­ nahme des Systems als Initialisierungsimpuls auf. Der Rücksetzimpuls ist ferner über den Eingang 58 der Einheit 56 und die Ausgangslei­ tung 64 der Einheit 56 auf den Reset-Eingang 66 der Recheneinheit 10 geführt. Die Recheneinheit 10 wird gleichzeitig mit der Rechenein­ heit 20 bei der oben beschriebenen Betriebsbedingung gestartet. Im ausgeführten Beispiel werden vorzugsweise die Rechner durch ein po­ sitives "high-"Signal zurückgesetzt. Im Initialisierungsfall führen die Ausgänge 12, 37 bzw. 22, 50 "low"Potential.
Die gegenseitige Funktionsüberwachung der beiden Rechner wird ent­ sprechend der eingangs genannten DE 37 26 489 A1 durchgeführt. Ein erster Überwachungspfad ist dabei im zyklischen, im festen Zeitra­ ster betriebenen Datenaustausch zu sehen. Eine der Recheneinheiten 10 oder 20 erwartet dabei in einem festen Zeitraster eine Datenan­ forderung der jeweilig anderen über das Leitungssystem 30. Die die Datenanforderung aussprechende Recheneinheit erwartet daraufhin eine Datenübertragung der jeweilig anderen. Bleibt eine dieser Reaktionen aus, wird die jeweilige Recheneinheit als fehlerhaft erkannt. Die funktionstüchtige Recheneinheit startet dabei über ihren Restart-Ausgang (im Falle der Recheneinheit 10 der Ausgang 37, im Fall der Recheneinheit 20 über den Ausgang 50) die fehlerhafte neu. Die jeweilige Recheneinheit sendet dabei im Falle einer Fehlfunktion der Recheneinheit 20 einen Rücksetzimpuls über die Verknüpfungsstu­ fen 36 und 40 zu dem Reset-Eingang 44, für den Fall, daß die Rechen­ einheit 10 eine Fehlfunktion zeigt über die Verknüpfungsstufe 48 und die Einheit 56 auf den Reset-Eingang 66 der Recheneinheit 10. Der erfolgreiche Neustart der fehlerhaften Recheneinheit kann anhand des oben beschriebenen Datenprotokolls oder anhand der im folgenden be­ schriebenen Watch-Dog-Überwachung durchgeführt werden.
Ein weiterer Überwachungspfad ist durch den gegenseitigen Austausch von Watch-Dog-Kontrollsignalen zwischen den beiden Recheneinheiten gegeben. Dabei wird von der Watch-Dog-Einheit 12 ein Kontrollsignal über die Leitung 32 an die Watch-Dog-Einheit 22 der Recheneinheit 20 abgegeben, die dieses auswertet und anhand der Signalform und/oder Höhe die Funktionstüchtigkeit der Recheneinheit 10 bestimmt. Analog wird ein ähnliches Kontrollsignal von der Einheit 22 über die Lei­ tung 33 an die Watch-Dog-Einheit 12 der Recheneinheit 10 übermittelt und dort ausgewertet. Die Leitungen 32 und 33 sind mit Schaltungs­ einheiten 34 bzw. 46 verbunden, die das Kontrollsignal auswerten und im Falle eines Fehlers einen Rücksetzimpuls über die Verknüpfungs­ stufen 36 und 40 an den Rücksetzeingang 44 der Recheneinheit 20 im Falle des Ausfalls der Recheneinheit 10 und über die Verknüpfungs­ leitung 48 und die Einheit 56 an den Rücksetzeingang 66 der Rechen­ einheit 10 im Fehlerfall der Recheneinheit 20 zuführen, wobei da­ rauffolgend die jeweils fehlerhafte Recheneinheit von der anderen neu gestartet wird. Die Verknüpfungsstufen 36, 40 und 48 sind dabei als logische ODER-Verknüpfung ausgebildet, um eine Gleichberechti­ gung der Rücksetzimpulse der Einheit 42, aufgrund eines fehlerhaften Watch-Dog-Signales oder aufgrund eines Neustartsignales zu erreichen.
Die Einheit 56, von der ein Realisierungsbeispiel in Fig. 3 be­ schrieben ist, besteht im wesentlichen aus einer logischen ODER-Ver­ knüpfung 70, die eine Gleichberechtigung zwischen dem am Eingang 54 der Einheit 56 über die Verbindungsleitung 52 von der Verknüpfungs­ stufe 48 gelieferten Rücksetzsignale mit dem im fehlerfreien Zustand von der Einheit 42 über Leitung 41 an den Eingang 58 der Einheit 56 zugeführten Rücksetzsignal gewährleistet. Ferner ist eine impuls­ bildende Stufe 72 Bestandteil der Einheit 56. Dieser impulsbildenden Stufe 72 ist der Ausgang der logischen ODER-Verknüpfung 70 und ein Versorgungsspannungssignal über die Verbindungsleitung 62 und den Eingang 60 der Einheit 56 zugeführt, wobei der Ausgang der impuls­ bildenden Stufe 72 mit dem Ausgang 64 der Einheit 56 verbunden ist und den Reset-Eingang 66 der Recheneinheit 10 bedient.
Die impulsbildende Stufe 72 kann in einem bevorzugten Ausführungs­ beispiel als differenzierendes Element ausgeführt sein. Fällt die Einheit 42 zur Bildung eines Rücksetzsignales bei Inbetriebnahme aus, so dient die impulserzeugende Einheit 72 zur Bildung eines Rücksetzsignals aus dem über die Leitung 62 zugeführten Versorgungs­ spannungssignal. Die Stufe 72 liefert bei Inbetriebnahme des Systems einen Rücksetzimpuls an den Reset-Eingang 66 der Recheneinheit 10, der diese initialisiert und startet. Anhand der oben beschriebenen Über­ wachungspfade kann die Recheneinheit 10 eine Fehlfunktion der Ein­ heit 20 erkennen und diese neu starten, indem sie über ihren Ausgang 37 bei erkannter Fehlfunktion der Einheit 20 deren Reset-Eingang 44 ein Rücksetzsignal zuführt. Dadurch ist auch bei Ausfall der Einheit 42 eine ordnungsgemäße Inbetriebnahme des Systems gewährleistet.
Der erfindungsgemäße Gedanke ist auch auf Mehrrechnersysteme anwend­ bar, ferner ist es auch möglich, daß die Einheit 56 der Rechenein­ heit 20 zugeordnet ist.
In Fig. 2 wird der erfindungsgemäße Gedanke anhand eines Über­ sichtsflußdiagramms dargestellt, das in prinzipieller Weise den Ab­ lauf bei Inbetriebnahme des Rechnersystems in der Recheneinheit, der die Einheit 56 zugeordnet ist, beschreibt. Im Schritt 100 wird bei Inbetriebnahme des Rechnersystems die jeweilige Recheneinheit durch Rücksetzimpulse initialisiert. Im fehlerfreien Betriebsfall ge­ schieht dies durch den von der Einheit 42 gelieferten Initialisie­ rungsimpuls. Ist diese defekt, so liefert die Einheit 56 einen zu­ sätzlichen Impuls an die ihr zugeordnete Rechenheit. Im Abfrageblock 102 wird die Funktionstüchtigkeit der im Zwei-Rechner-System zweiten Recheneinheit, der die Einheit 56 nicht zugeordnet ist, überprüft. Ist dies der Fall, so kann geschlossen werden, daß eine ordnungsge­ mäße Inbetriebnahme stattgefunden hat und in Block 110 der Normalbe­ trieb des Rechnersystems festgestellt. Arbeitet die andere Rechen­ einheit jedoch fehlerhaft, so wird entsprechend Block 104 diese von der ordnungsgemäß gestarteten Recheneinheit zurückgesetzt. Im Schritt 106 wird dann die ordnungsgemäße Arbeitsweise der neu ge­ starteten Recheneinheit überprüft, im Falle einer ordnungsgemäßen Arbeitsweise ein ordnungsgemäßer Start des Systems festgestellt (110), arbeitet die neugestartete Recheneinheit dennoch fehlerhaft, so wird im Schritt 108 diese Recheneinheit als fehlerhaft erkannt und abgeschaltet.
Fig. 3 zeigt eine schaltungstechnische Realisierungsform der Ein­ heit 56. Die in Fig. 1 verwendeten Bezugszeichen der Ein- bzw. Aus­ gänge der Einheit 56 sind dabei beibehalten worden. Eine einfache, kostengünstige Realisierungsmöglichkeit besteht aus zwei Dioden, ei­ nem Widerstand und einem Kondensator.
Der Eingang 54, an dem gegebenenfalls das aufgrund eines fehlerhaf­ ten Watch-Dog-Signals oder eines Neustartssignals des jeweilig ande­ ren Rechners anliegt, ist auf die Anode einer Diode 200 geführt. De­ ren Kathode ist mit einem Verknüpfungspunkt 202 verknüpft. Der Ein­ gang 58, an dem gegebenenfalls der Initialisierungs- bzw. Rücksetz­ impuls der Einheit 42 anliegt, ist auf die Anode einer zweiten Diode 204 geführt, deren Kathode ebenfalls mit dem Verknüpfungspunkt 202 verbunden ist. Die beiden Dioden bilden dabei die weiter oben be­ schriebene logische ODER-Verknüpfung, wobei die beiden an den Ein­ gängen 54 und 58 anliegenden Signale gleichberechtigt an den Ausgang 64, der direkt mit dem Verknüpfungspunkt 202 verbunden ist, weiter­ gegeben werden. Am Verknüpfungspunkt 202 ist ferner ein Kondensator angeschlossen, der andererseits mit dem Eingang 60 der Einheit 56 verbunden ist. Den Verknüpfungspunkt 202 verbindet ein Widerstand 208 mit Masse.
Bei Inbetriebnahme des Rechnersystems liegt am Eingang 60 der Ein­ heit 56 ein entsprechendes Spannungssignal an. Der Kondensator 206 wird entsprechend der Veränderung des Spannungssignals aufgeladen, so daß die Kondensatorspannung exponentiellen Verlauf annimmt. Die zeitliche Veränderung der Kondensatorspannung führt zu einer ent­ sprechenden, inversen zeitlichen Veränderung des Potentialverlaufs am Verknüpfungspunkt 202. Dieser Potentialverlauf stellt ein impuls­ förmiges "high"-Signal mit einer steilen und einer entsprechend dem ansteigenden Verlauf der Kondensatorspannung abfallenden Flanke dar. Das auf diese Weise gebildete Impulssignal liegt am Ausgang 64 der Einheit 56 an und wird dem Reset-Eingang der zugeordneten Rechenein­ heit zugeführt, worauf diese zurückgesetzt wird. Auf diese Weise ist unabhängig vom Signal der Einheit 42 ein ordnungsgemäßer Start des Rechnersystems gewährleistet.
Die erfindungsgemäße Vorgehensweise kann prinzipiell auch bei Unter­ spannungen Anwendung finden.

Claims (3)

1. Rechnersystem mit wenigstens zwei Recheneinheiten, die über wenigstens ein Leitungssystem zum Austausch von Daten und/oder Steuer- bzw. Kontrollsignalen verbunden sind und bei Inbetriebnahme durch ein auf beide wirkendes Rücksetzsignal initialisiert werden (power-on- reset), wobei das Rechnersystem mit wenigstens einem Mittel zur Erkennung von fehlerhaften Zuständen der Recheneinheiten ausgestattet ist (Watch-Dog, Datenaustauschprotokoll) und bei fehlerhaften Zuständen einer der Recheneinheiten diese durch ein nur auf sie wirkendes Rücksetzsignal erneut in Betrieb genommen wird (Restart), dadurch gekennzeichnet, daß das Rechnersystem mit einer zusätzlichen signalerzeugenden Einheit ausgestattet ist, die bei Inbetriebnahme des Rechnersystems wenigstens eine der Recheneinheiten durch einen vom initialisierenden Rücksetzsignal unabhängigen Rücksetzimpuls initialisiert.
2. Rechnersystem nach Anspruch 1, dadurch gekennzeichnet, daß die vom zusätzlichen Rücksetzsignal beaufschlagte Recheneinheit ein fehlerhaftes Arbeiten der anderen erkennt und diese bei erkanntem fehlerhaften Arbeiten neu startet.
3. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß die zusätzliche Einheit im wesentlichen aus einem differenzierenden Element, vorzugsweise einem RC-Element, besteht.
DE19904004709 1990-02-15 1990-02-15 Rechnersystem Expired - Lifetime DE4004709C2 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE19904004709 DE4004709C2 (de) 1990-02-15 1990-02-15 Rechnersystem
FR9100191A FR2658335B1 (fr) 1990-02-15 1991-01-09 Systeme de calculateur, mis en óoeuvre dans des dispositifs de securite appliques aux vehicules automobiles.
GB9102732A GB2241361B (en) 1990-02-15 1991-02-08 Computer system
JP01853091A JP3217077B2 (ja) 1990-02-15 1991-02-12 コンピュータ装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19904004709 DE4004709C2 (de) 1990-02-15 1990-02-15 Rechnersystem

Publications (2)

Publication Number Publication Date
DE4004709A1 DE4004709A1 (de) 1991-08-22
DE4004709C2 true DE4004709C2 (de) 1999-01-07

Family

ID=6400226

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19904004709 Expired - Lifetime DE4004709C2 (de) 1990-02-15 1990-02-15 Rechnersystem

Country Status (4)

Country Link
JP (1) JP3217077B2 (de)
DE (1) DE4004709C2 (de)
FR (1) FR2658335B1 (de)
GB (1) GB2241361B (de)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10151012A1 (de) * 2001-10-16 2003-04-17 Volkswagen Ag Rechnersystem
DE10252990B3 (de) * 2002-11-14 2004-04-15 Siemens Ag Steuereinheit zur Auslösung eines Insassenschutzmittels in einem Kraftfahrzeug und Verfahren zur Überwachung der ordnungsgemäßen Funktion einer vorzugsweise solchen Steuereinheit
DE10329196A1 (de) * 2003-06-28 2005-01-20 Audi Ag Verfahren zum Reset von elektronischen Fahrzeug-Steuergeräten
DE10143454B4 (de) * 2001-02-06 2006-05-11 Mitsubishi Denki K.K. Einrichtung zur Steuerung eines Fahrzeuges
DE112004000083B4 (de) * 2003-10-31 2012-03-08 Conti Temic Microelectronic Gmbh Schaltungsanordnung zum Überwachen einer Kraftfahrzeug-Sicherheitseinrichtung

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB9024488D0 (en) * 1990-11-10 1991-01-02 Lucas Ind Plc Improvements in and relating to microprocessor based systems
DE19541734C2 (de) * 1995-11-09 1997-08-14 Bosch Gmbh Robert Schaltungsanordnung zur Durchführung eines Reset
US9740178B2 (en) * 2013-03-14 2017-08-22 GM Global Technology Operations LLC Primary controller designation in fault tolerant systems
JP6520962B2 (ja) * 2017-01-18 2019-05-29 トヨタ自動車株式会社 監視システム

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4234926A (en) * 1978-12-05 1980-11-18 Sealand Service Inc. System & method for monitoring & diagnosing faults in environmentally controlled containers, such system and method being especially adapted for remote computer controlled monitoring of numerous transportable containers over existing on-site power wiring
DE3726489A1 (de) * 1987-08-08 1989-02-16 Bosch Gmbh Robert Einrichtung zur ueberwachung eines rechnersystems mit zwei prozessoren in einem kraftfahrzeug

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU575297B2 (en) * 1982-09-21 1988-07-28 Xerox Corporation Separate resetting of processors
FR2571872B1 (fr) * 1984-10-15 1987-02-20 Sagem Dispositif d'alimentation electrique de microprocesseurs
DE3603082A1 (de) * 1986-02-01 1987-08-06 Bosch Gmbh Robert Vorrichtung zum ruecksetzen von recheneinrichtungen
DE3790885D2 (en) * 1987-01-22 1989-05-03 Bosch Gmbh Robert Multicomputing system and process for driving same

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4234926A (en) * 1978-12-05 1980-11-18 Sealand Service Inc. System & method for monitoring & diagnosing faults in environmentally controlled containers, such system and method being especially adapted for remote computer controlled monitoring of numerous transportable containers over existing on-site power wiring
DE3726489A1 (de) * 1987-08-08 1989-02-16 Bosch Gmbh Robert Einrichtung zur ueberwachung eines rechnersystems mit zwei prozessoren in einem kraftfahrzeug

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10143454B4 (de) * 2001-02-06 2006-05-11 Mitsubishi Denki K.K. Einrichtung zur Steuerung eines Fahrzeuges
DE10151012A1 (de) * 2001-10-16 2003-04-17 Volkswagen Ag Rechnersystem
DE10252990B3 (de) * 2002-11-14 2004-04-15 Siemens Ag Steuereinheit zur Auslösung eines Insassenschutzmittels in einem Kraftfahrzeug und Verfahren zur Überwachung der ordnungsgemäßen Funktion einer vorzugsweise solchen Steuereinheit
US7426430B2 (en) 2002-11-14 2008-09-16 Siemens Aktiengesellschaft Control unit for activating an occupant protection means in a motor vehicle and method for monitoring the proper functioning of a control unit preferably of this type
DE10329196A1 (de) * 2003-06-28 2005-01-20 Audi Ag Verfahren zum Reset von elektronischen Fahrzeug-Steuergeräten
DE112004000083B4 (de) * 2003-10-31 2012-03-08 Conti Temic Microelectronic Gmbh Schaltungsanordnung zum Überwachen einer Kraftfahrzeug-Sicherheitseinrichtung

Also Published As

Publication number Publication date
GB2241361B (en) 1993-08-11
JPH04215140A (ja) 1992-08-05
GB2241361A (en) 1991-08-28
JP3217077B2 (ja) 2001-10-09
FR2658335B1 (fr) 1997-10-17
GB9102732D0 (en) 1991-03-27
DE4004709A1 (de) 1991-08-22
FR2658335A1 (fr) 1991-08-16

Similar Documents

Publication Publication Date Title
EP1323039B1 (de) Verfahren zum betrieb eines von einem prozessor gesteuerten systems
EP0512240B1 (de) System zur Steuerung eines Kraftfahrzeuges
EP1337921B1 (de) Vorrichtung zur überwachung eines prozessors
DE102005030770B4 (de) Schaltungsanordnung und Verfahren zum Steuern einer Sicherheitseinrichtung für ein Fahrzeug
DE3921250A1 (de) Insassen-sicherheitssystem und verfahren zum betreiben desselben
DE3209965A1 (de) Steuereinrichtung fuer fahrzeuge
WO1986000155A1 (en) Resetting circuit for a microprocessor
DE4039355A1 (de) Vorrichtung zur pruefung einer watchdog-schaltung
DE10143454B4 (de) Einrichtung zur Steuerung eines Fahrzeuges
DE4004709C2 (de) Rechnersystem
DE19509150C2 (de) Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-Bremsanlage
EP0799143B1 (de) Verfahren und schaltungsanordnung zur überwachung der funktion einer programmgesteuerten schaltung
WO2005001690A2 (de) Verfahren zur überwachung des programmlaufs in einem mikro-computer
DE4113959A1 (de) Ueberwachungseinrichtung
DE3926377C2 (de) Elektronisches Steuergerät für eine Brennkraftmaschine
EP1807760B1 (de) Datenverarbeitungssystem mit variabler taktrate
EP0996060A2 (de) Einzelprozessorsystem
DE102017011685A1 (de) Verfahren und Vorrichtung zur Verarbeitung von Alarmsignalen
DE10312553B3 (de) Kraftfahrzeug
WO2005106229A1 (de) Elektronische steuereinrichtung und verfahren zur steuerung des betriebs von kraftfahrzeugkomponenten
EP1305509B1 (de) Elektronische schaltungsanordnung und zugehöriges verfahren zur ansteuerung eines stellglieds , zum beispiel für ventile oder injektoren
EP0547259B1 (de) Schaltungsanordnung zum Sichern des Betriebes eines rechnergesteuerten Gerätes
DE112004000083B4 (de) Schaltungsanordnung zum Überwachen einer Kraftfahrzeug-Sicherheitseinrichtung
EP1561165A2 (de) Steuereinheit zur auslösung eines insassenschutzmittels in einem kraftfahrzeug und verfahren zur überwachung der ordnungsgemässen funktion einer vorzugsweise solchen steuereinheit
WO1996030775A1 (de) Verfahren und schaltungsanordnung zur überwachung einer datenverarbeitungsschaltung

Legal Events

Date Code Title Description
8110 Request for examination paragraph 44
D2 Grant after examination
8364 No opposition during term of opposition
8320 Willingness to grant licenses declared (paragraph 23)