DE4112334C2 - - Google Patents

Info

Publication number
DE4112334C2
DE4112334C2 DE4112334A DE4112334A DE4112334C2 DE 4112334 C2 DE4112334 C2 DE 4112334C2 DE 4112334 A DE4112334 A DE 4112334A DE 4112334 A DE4112334 A DE 4112334A DE 4112334 C2 DE4112334 C2 DE 4112334C2
Authority
DE
Germany
Prior art keywords
computer
computer system
sequence
steps
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE4112334A
Other languages
English (en)
Other versions
DE4112334A1 (de
Inventor
Harald Dipl.-Ing. Buehren (Fh), 7580 Buehl, De
Stefan Dipl.-Ing. 7583 Ottersweier De Koch
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE4112334A priority Critical patent/DE4112334A1/de
Priority to JP08124092A priority patent/JP3255693B2/ja
Priority to US07/869,801 priority patent/US5367665A/en
Publication of DE4112334A1 publication Critical patent/DE4112334A1/de
Application granted granted Critical
Publication of DE4112334C2 publication Critical patent/DE4112334C2/de
Granted legal-status Critical Current

Links

Classifications

    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/26Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
    • F02D41/266Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor the computer being backed-up or assisted by another circuit, e.g. analogue
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/24Resetting means
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0721Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment within a central processing unit [CPU]
    • G06F11/0724Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment within a central processing unit [CPU] in a multiprocessor or a multi-core unit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/076Error or fault detection not based on redundancy by exceeding limits by exceeding a count or rate limit, e.g. word- or bit count limit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions

Description

Die Erfindung betrifft ein Mehrrechnersystem in einem Kraftfahrzeug gemäß dem Oberbegriff des Patentanspruchs 1.
Ein derartiges System ist aus der DE-OS 37 00 986 (US-PS 48 81 227) bekannt. Dort wird ein Zweirechnersystem für ein Kraftfahrzeug be­ schrieben, bei dem die beiden Rechner unter gegenseitigem Datenaus­ tausch Steuerungsfunktionen im Kraftfahrzeug ausführen. Zu Beginn eines Betriebszyklus des Kraftfahrzeugs, der im allgemeinen durch Schließen des Zündschalters eingeleitet wird, führen beide Rechner einen sogenannten Kaltstart durch, der durch einen sogenannten "Power-On-Reset"-Impuls ausgelöst wird. Ferner werden Maßnahmen vorgestellt, die anhand des zyklischen Datenaustausches zwischen den beiden Prozessoren und durch weitere gegenseitige Überwachungsein­ richtungen, z. B. Watch-Dogs, einen Fehlerzustand im Rechnersystem erkennen. Außerdem besteht für jeden Prozessor die Möglichkeit, den jeweils anderen Prozessor wieder zu starten, zu resettieren, nach­ dem er einen Fehlerzustand im Rechnersystem erkannt hat.
In der Regel, insbesondere bei Anwendungen im Kraftfahrzeug bei si­ cherheitsrelevanten Steuersystemen, umfassen die Maßnahmen zum Kalt­ start des Rechnersystems umfangreiche Tests und Überprüfungen ver­ schiedener Bauelemente, die zur Durchführung der Steuerfunktionen unverzichtbar sind. Derartige Maßnahmen binden durch ihren Umfang das Rechnersystem für eine gewisse Zeit, während der es bzgl. der Steuerfunktionen inaktiv ist. Es ist daher nicht wünschenswert, daß diese einem Kaltstart nachfolgenden Maßnahmen bei jedem Reset eines Prozessors aufgrund eines Fehlerzustandes oder durch möglicherweise während des Betriebs vorgenommenen, zyklischen Neustarts ausgelöst, durchgeführt werden. Das bekannte Rechnersystem bietet keine Unter­ scheidungsmöglichkeit zwischen Warm- und Kaltstart des Systems, so daß mit jedem Reset dieselben, umfangreichen Schrittfolgen ablaufen. Dies schränkt jedoch die Verfügbarkeit des Rechnersystems ein. Der Wunsch, bei einem Zweirechnersystem den funktionstüchtigen vom -un­ tüchtigen Prozessor zu unterscheiden, wird bei dem obengenannten Sy­ stem durch umfangreiche Überprüfungen und Überwachungen versucht zu erfüllen, die die Prozessoren ebenfalls zeitlich belasten.
Es ist daher Aufgabe der Erfindung, ein Mehrrechnersystem im Kraft­ fahrzeug im Hinblick auf eine Verbesserung seiner Verfügbarkeit und auf eine Vereinfachung der ablaufenden Prozeduren auszugestalten.
Dies wird dadurch erreicht, daß Mittel vorgesehen sind, die zwischen Kalt- und Warmstart unterscheiden und entsprechende Schrittfolgen einleiten. Außerdem können diese Mittel derart gestaltet sein, daß bei Überschreiten einer vorgegebenen Anzahl von Resets des einen Prozessors ein Prozessor während des Betriebszyklus des Systems in einen Wartezustand versetzt wird.
Aus der US-PS 46 83 568 ist bekannt, bei einem Einzelprozessor anhand einer Kennung zwischen Kalt- und Warmstart zu unterscheiden, wobei bei einem bei der Inbetriebnahme ausgelösten Rücksetzimpuls die Kennung einen ersten Wert aufweist, bei einem durch einen Watch-Dog ausgelösten Rücksetzimpuls die Kennung einen zweiten Wert aufweist. Durch Vergleich der Werte der Kennung mit vorgegebenen Werten unterscheidet der Prozessor zwischen Warm- und Kaltstartsituation. Diese, auf einen Einzelrechner zugeschnittenen Maßnahmen lassen sich nicht auf ein Mehrrechnersystem übertragen, da dort alle Rechner bei einem Neustart eines Rechners bzw. einer Inbetriebnahme des Systems zuverlässig diese Unterscheidung treffen müssen.
Neben Anwendungen in ABS-/ASR-Systemen, Motorsteuerungssysteme, Ge­ triebesteuerungen etc., finden derartige Mehrrechnersysteme im Kraftfahrzeug besonders bei gasgebenden Systemen, sogenannten elek­ tronischen Motorleistungssteuerungen (E-Gas), Anwendung. Ein derar­ tiges System ist in der Veröffentlichung "Gerhard Kolberg: Elektro­ nische Motorsteuerung für Kraftfahrzeuge MTZ 46 (1985), Heft 4" be­ schrieben. Bei derartigen Systemen ist die Überwachung der Prozesso­ ren von besonderer Bedeutung, da ein ungewolltes Gasgeben dieser Sy­ steme kritische Fahrsituationen zur Folge haben kann. Ferner ist bei derartigen Systemen ein sogenannter "Predrive-Check" vorgesehen, währenddessen bei Inbetriebnahme zu Beginn eines Betriebszyklus verschiedene wesentliche Bauelemente, wie die Endstufe des Systems, verschiedene Meßeinrichtungen oder das Kraftstoffpumpenrelais auf ihre Funktionsfähigkeit überprüft und Speicheroperationen und/oder das Lernen der Endanschläge des leistungsbestimmenden Elements durchgeführt werden. Wie oben erwähnt, nehmen diese Überprüfungen gewisse Zeit in Anspruch, daher ist bei derartigen Systemen sowohl eine wirkungsvolle Unterscheidung zwischen Kalt- und Warmstart als auch eine schnelle Erkennung eines Fehlers im System notwendig.
Eine Unterscheidungsmöglichkeit zwischen Warm- und Kaltstart wird in der WO-A 89/09 957 dadurch vorgenommen, daß der Resetimpuls für einen Prozessor bei Inbetriebnahme (Power-On) einem anderen physikali­ schen Eingang des Prozessors zugeführt wird wie die zyklischen Resets bzw. die Resets durch einen erkannten Fehlerzustand. Dadurch wird dem Prozessor ermöglicht zwischen Kalt- und Warmstart zu unter­ scheiden.
Die erfindungsgemäßen Maßnahmen verbessern die Verfügbarkeit eines Mehrrechnersystems in einem Kraftfahrzeug und tragen zu dessen Ver­ einfachung bei.
Durch die Unterscheidung zwischen Kalt- und Warmstart der Prozesso­ ren ergibt sich eine Verkürzung der zum Start der Prozessoren benö­ tigten Zeit, wobei die notwendigen Überprüfungen wesentlicher Bau­ elemente zu Beginn eines Betriebszyklus bei Inbetriebnahme des Sy­ stems weiterhin durchführbar sind.
Durch die Zählung der vom einen Prozessor zu dem anderen gesandten Resetimpulse und durch Setzen des Prozessors in einen Wartezustand, der die Überschreitung einer gewissen Anzahl von Resets erkannt hat, wird in diesem Fall das System abgeschaltet. Die Steuerfunktionen des Rechnersystems können dabei abgeschaltet oder in einfachstem Um­ fang weitergeführt werden.
Weitere Vorteile ergeben sich in Verbindung mit den Unteransprüchen aus der nachfolgenden Beschreibung einer Ausführungsform.
Die Erfindung wird nachstehend anhand der in der Zeichnung darge­ stellten Ausführungsform erläutert. Dabei zeigt Fig. 1 als Beispiel eines Mehrrechnersystems ein Zweiprozessorsystem zur Anwendung bei Steuerungssystemen in einem Kraftfahrzeug, insbesondere einer elek­ tronischen Motorleistungssteuerung, Fig. 2 und 3 stellen ein Über­ sichtsflußdiagramm der in den Prozessoren ablaufenden Schrittfolgen dar.
Fig. 1 zeigt ein Steuersystem 10, welches aus zwei Rechnern 12 und 14 besteht. Die Rechner 12 und 14 stellen dabei handelsübliche Pro­ zessoren dar. Beide sind sowohl untereinander als auch mit einem Speicherbereich 16 und einer Ein- und Ausgabeeinheit 18 über Bus­ systeme 20 und 22 verbunden. Die Bussysteme 20 und 22 sind bei­ spielhaft einerseits für Adreß- und Dateninformationsaustausch, andererseits für Steuer- und Kontrollsignalaustausch dargestellt.
Ferner ist eine Logikschaltung 24 vorgesehen, der einerseits eine Eingangsleitung 26 zugeführt wird, die die Logikeinheit 24 mit der Ein-/Ausgabeeinheit 18 verbindet und die andererseits über eine Ausgangsleitung 28 verfügt, die jeweils auf die Prozessoren 12 und 14 geführt ist. Die Ein-/Ausgabeeinheit 18 ist über Eingangsleitun­ gen 30 bis 32 mit Meßeinrichtungen 34 bis 36 verbunden, die Be­ triebsgrößen des Motors und/oder des Kraftfahrzeugs erfassen. Die Ausgangsleitungen 38 bis 40 der Ein-/Ausgabeeinheit 18 und damit des Steuerungssystems 10 verbinden diese mit Stelleinrichtungen bzw. ausführenden Organen 42 bis 44, mit deren Hilfe die vom Steuersystem 10 durchgeführten Funktionen ausgeführt werden.
Die oben geschilderte grundsätzliche Struktur eines Zweirechnersy­ stems findet in Kraftfahrzeugen verschiedene Anwendungsmöglichkei­ ten, beispielsweise bei E-Gas-Systemen, ABS/ASR-Systemen oder bei Mo­ torsteuerungen. Je nach Anwendungsfall sind daher dem Steuersystem 10 von den entsprechenden Meßeinrichtungen 34 bis 36 bestimmte, ei­ nem Fachmann im Zusammenhang mit dem jeweiligen Anwendungsfall ge­ läufige Betriebsgrößen zugeführt, während zur Ausführung der jeweils vorgesehenen Steuerfunktionen ebensolche Organe 42 bis 44 vorgesehen sind.
So werden beispielsweise bei E-Gas-Systemen von den Meßeinrichtungen 34 bis 36 dem Steuersystem 10 Betriebsgrößen wie Fahrpedalstellung, Bremsbetätigung, Drehzahl, Fahrgeschwindigkeit, Batteriespannung, Stellung des leistungsbestimmenden Elements, ASR/MSR-Eingriffssig­ nale, Motortemperatur, etc. zugeführt und zur Durchführung der Lei­ stungssteuerung über die Ausgangsleitungen 38 bis 40 Ansteuersignale an die Endstufen der jeweiligen ausführenden Organe, beispielsweise einer motorisch betriebenen Drosselklappe oder einer Einspritzpumpe, oder Ansteuersignale an Sicherheitseinrichtungen, wie ein Schalt­ relais der Kraftstoffpumpe des Kraftfahrzeugs abgegeben.
Bei ABS/ASR-Systemen und bei Motorsteuerungen sind entsprechend an­ dere Einrichtungen vorgesehen, beispielsweise Bremsdruckregulatoren, Einspritzventile, Zündungseinstelleinrichtungen, etc. Dementspre­ chend ändern sich auch die von den Meßeinrichtungen 34 bis 36 erfaß­ ten Betriebsgrößen. Selbstverständlich ist das geschilderte Rechner­ system auch bei Kraftfahrzeugen mit Elektroantrieb oder anderen An­ triebskonzepten anwendbar.
Allen Systemen ist gemeinsam, daß über eine der Meßeinrichtungen 34 bis 36 der Beginn eines Betriebszyklus durch das Schließen eines Schalters durch Drehen des Schlüssels erfaßt und an das Steuersystem 10 zum Zwecke der Inbetriebnahme (power-on) zugeführt wird.
Im beispielhaften Übersichtsschaltbild der Fig. 1 findet der Da­ ten- und Adressaustausch zwischen den Prozessoren, dem Speicherbe­ reich 16 und der Ein-/Ausgabeeinheit 18 über das Bussystem 20 statt, während Kontroll- und Steuersignale, beispielsweise gegenseitige Watch-Dog-Überwachungen, Statusmeldungen, Interupts, die nachfolgend beschriebenen Resets und Kennungen, etc. über das Bussystem 22 über­ tragen werden. Darüber hinaus können noch weitere Hardware-Komponen­ ten, die in Fig. 1 nicht dargestellt sind, vorgesehen sein, bei­ spielsweise Watch-Dog-Schaltungen für jeden einzelnen Prozessor.
Im folgenden wird ein Ausführungsbeispiel am Beispiel einer elektro­ nischen Motorleistungssteuerung geschildert. Bei Inbetriebnahme des Systems wird vom Zündschalter ein entsprechendes Signal über die Ein-/Ausgabeeinheit 18 und die Leitung 26 an die Logik 24 geleitet. Diese setzt das erfaßte Signal in einen sogenannten Inbetrieb­ nahme-Reset-Impuls (Power-On-Reset) um, den sie über die Ausgangs­ leitung 28 an die Prozessoren 12 und 14 abgibt. Diese führen im Rah­ men einer ersten Schrittfolge Synchronistations- und Initialisie­ rungsschritte und die bei einer Inbetriebnahme (Kaltstart) vorge­ sehenen Maßnahmen durch. Dabei stehen neben Selbsttests und Tests der Schreib-/Lese-Speicher eine Überprüfung der Endstufe der Stell­ einrichtung für die Leistung des Motors, deren Abschaltfähigkeit, eine Überprüfung des abschaltbaren Sicherheitsrelais der Kraftstoff­ pumpe des Kraftfahrzeugs, Überprüfungen von Meßeinrichtungen und Si­ cherheitssystemen und/oder das Lernen von Anschlägen der Stellein­ richtung im Vordergrund. Diese und weitere Maßnahmen werden unter dem Begriff "Predrive-Check" zusammengefaßt. Ferner wird in dieser Phase der Datenaustausch zwischen den beiden Prozessoren über das Bussystem 20 geprüft.
Erkennt einer der Prozessoren einen Fehlerzustand im Rechnersystem, beispielsweise anhand eines Verstoßes gegen das vorgeschriebene Pro­ tokoll des Datenaustausches oder an einem fehlerhaften oder abgelau­ fenen Watch-Dog, so sendet er an den anderen einen Rücksetzimpuls und setzt den jeweils anderen Prozessor zurück. Ein interner Zähler, der die Anzahl der abgesandten Resets erfaßt, wird erhöht. In diesem Fehlerfall führen dann beide Prozessoren einen erneuten Start, den sogenannten Warmstart durch. Dieser umfaßt eine verkürzte zweite Schrittfolge, wobei insbesondere der "Predrive-Check" ganz oder zu­ mindest teilweise fehlt. Die Unterscheidung zwischen Kalt- und Warm­ start wird anhand entsprechender Kennungen der beiden Prozessoren, wie anhand Fig. 2 und 3 dargestellt, vorgenommen. Der resettierende Rechner teilt dem zurückgesetzten mit, daß ein Warmstart durchzufüh­ ren ist. Erreicht einer der beiden Prozessoren eine maximal vorge­ sehene Anzahl von durchgeführten Resets, so wird dieser Prozessor für diesen Betriebszyklus in einen Wartezustand versetzt. Die Erfah­ rung zeigt, daß in diesem Fall auch der andere Prozessor die vorge­ sehene Anzahl Resets erreicht, und dann in einen Wartezustand über­ geht. Damit wird das System in einen sicheren Zustand überführt.
Im Normalbetrieb steuern die beiden Prozessoren abhängig von dem über die Meßeinrichtungen 34 bis 36 erfaßten Fahrerwunsch und ande­ ren Betriebsgrößen des Motors und/oder des Kraftfahrzeugs über die Stelleinrichtung 42 bis 44 die Leistung des Motors und damit des Kraftfahrzeugs im Sinne einer Angleichung der Leistung an den Fah­ rerwunsch unter Berücksichtigung der weiteren Betriebsgrößen des Kraftfahrzeugs.
Die gegenseitigen Überwachungsmaßnahmen der beiden Prozessoren sind im eingangs genannten Stand der Technik der DE-OS 37 00 986 (US-PS 48 81 227) beschrieben, der bezüglich dieser Überwachungsmaßnahme einen Teil der vorliegenden Offenbarung bildet.
Fig. 2 und 3 zeigen ein Übersichtsflußdiagramm eines in jedem der Prozessoren nach einem Reset (Kalt- oder Warmstart) ablaufenden Pro­ gramms.
Beginnend mit einer Inbetriebnahme des Rechnersystems (Power-On) wird der beschriebene Programmteil mit Schritt 100 eingeleitet. Dort wird eine Kennung (ein oder mehrere in einem Speicherelement abge­ legte Bits) des Prozessors gelöscht, die anzeigt, ob für den jewei­ ligen Prozessor ein Kaltstartzustand oder ein Warmstartzustand vor­ liegt. Im Schritt 100 wird diese Kennung in den Zustand "Kalt" über­ führt. Danach wird zum Schritt 102 weitergegangen, der Initialisie­ rungs- und Synchronisationsschritte der beiden Prozessoren umfaßt. Dabei werden beispielsweise die internen Register, Zeigerfunktionen und Kommunikationsleitungen initialisiert, die beiden Prozessoren durch Austausch entsprechender Kontrollsignale synchronisiert und die Datenübertragungsleitungen getestet. Die nachfolgende Abfrage 104 symbolisiert die im Initialisierungs- und Synchronisations­ schritt ablaufende Fehlerüberprüfung. Wird gemäß Schritt 104 bei­ spielsweise anhand der Datenübertragung oder des Watch-Dogs ein Feh­ ler erkannt, wird mit Fig. 3 fortgefahren, während bei fehlerfreier Initialisierung und Synchronisation das Programm mit Programmschritt 106 weitergeführt wird.
Dieser repräsentiert dabei die Maßnahme, die Kalt-/Warmstart-Kennun­ gen der beiden Prozessoren gegenseitig auszutauschen. Nachdem der Prozessor die Kennung des jeweilig anderen empfangen hat, wird im Abfrageschritt 108 überprüft, ob die eigene Kennung oder die des an­ deren einen den Zustand "Warmstart" anzeigenden Wert aufweist. Ist dies der Fall, wird ein Warmstart der jeweiligen Prozessoren durch­ geführt, im gegenteiligen Fall wird eine Kaltstartroutine eingelei­ tet.
Die im Schritt 110 durchgeführte Kaltstartroutine umfaßt dabei u. a. die folgenden Einzelmaßnahmen. Zum einen wird der oder die Schreib-/Lesespeicher des Prozessors bzw. der Steuerungssysteme auf ihre Funktion überprüft und die Dateninhalte gelöscht. Ferner wird der oben beschriebene "Predrive-Check" durchgeführt, mit dessen Hil­ fe die Funktion der Endstufe des Steuerungssystems zur Ansteuerung der Stelleinrichtung durch definierte Ansteuerung und Überwachung des durch die Endstufe fließenden Stromes oder die Bewegung des lei­ stungsbestimmenden Elements überprüft wird und ggf. die Endanschläge des Elements erfaßt werden. Der "Predrive-Check" umfaßt darüber hin­ aus eine Prüfung der Sicherheitspfade zur Abschaltung des Systems bei Fehler. Insbesondere wird dabei die Funktion des Kraftstoffpum­ penrelais überprüft. Ferner ist eine Überprüfung der Abschaltfähig­ keit der Endstufe durch das Steuersystem Bestandteil dieser ersten Schrittfolge. Außerdem erfolgt auch hier mehrmals die Überprüfung der Datenleitungen. Der Resetzähler des Prozessors wird auf Null ge­ setzt.
Im darauf abzuarbeitenden Abfrageschritt 112 sind die während der Kaltstartroutine mitlaufenden Fehlerüberwachungen zusammengefaßt, in denen überprüft wird, ob während der Kaltstartroutine ein Fehlerzu­ stand aufgetreten ist. Dieser Fehlerzustand kann durch Verstoß gegen die Datenaustauschvorschriften, durch den Watch-Dog oder durch die Überprüfungen im Zusammenhang mit dem "Predrive-Check" erkannt wer­ den. Wird im Abfrageschritt 112 ein derartiger Fehler erkannt, wird das Programm im Rahmen der Darstellung nach Fig. 3 weitergeführt. Im gegenteiligen Fall wird die Kennung des Prozessors im Schritt 114 im Sinne einer durchgeführten Kaltstartroutine im jeweiligen Be­ triebszyklus auf einen einen "Warmstart" repräsentierenden Wert ge­ setzt. Damit ist die Kaltstartroutine abgeschlossen.
Wird im Abfrageschritt 108 die eigene oder die Kennung des anderen Prozessors als warm erkannt, wird mit Abfrageschritt 116 weiterge­ gangen, in dem überprüft wird, ob der jeweilige Prozessor eine maxi­ male Anzahl von Resets erzeugt hat.
Ist diese maximal vorgegebene Anzahl erreicht oder überschritten, wird der Programmteil in Fig. 3 durchgeführt. Im anderen Fall wird mit Schritt 118 eine zweite Schrittfolge, eine Warmstartroutine, eingeleitet, nach deren Abschluß die Kennung "Warm" gesetzt wird. Die Warmstartroutine ist dabei wesentlich kürzer als die zuvor be­ schriebene, im Schritt 110 durchgeführte Kaltstartroutine. Eine Warmstartroutine umfaßt im wesentlichen ein Löschen des Schreib-/Lesespeichers, die Initialisierung von Zeitfunktionen, festlegen von Prioritäten, etc. Gegenüber der Kaltstartroutine feh­ len der "Predrive-Check", der Test des Schreib-/Lesespeichers etc. Aus diesen Gründen ist die Warmstartroutine gemäß Schritt 118 kürzer als die im Schritt 110 durchgeführte Kaltstartroutine.
Wie bei der Durchführung der zuvor beschriebenen Kaltstartroutine können während der Warmstartroutine Fehlerüberwachungen vorgenommen werden, welche bei erkanntem Fehler eine Weiterführung des Programms gemäß Fig. 3 einleiten.
Nach Abschluß der Startroutinen werden gemäß Schritt 120 die Anwender­ programme durchgeführt. Während der Durchführung der Anwenderpro­ gramme wird das Rechnersystem beispielsweise anhand des Datenaus­ tausches oder des Watch-Dogs auf Fehlerzustände hin überprüft. Dies ist durch den Abfrageschritt 122 symbolisiert. Erkennt einer der Rechner somit nach Schritt 122 einen Fehlerzustand im Rechnersystem, so leitet er die in Fig. 3 dargestellten Maßnahmen ein. Im anderen Fall wird im Abfrageschritt 124, der wie der Abfrageschritt 122 in die Abarbeitung der Anwendungsprogramme gemäß Schritt 120 integriert ist, untersucht, ob vom jeweilig anderen Rechner ein Reset vorliegt, den dieser beispielsweise aufgrund eines Fehlerzustandes im System auslöst. Ist dies nicht der Fall, wird die Schleife der Schritte 120 bis 124 beibehalten, während für diesen Prozessor bei einem vorlie­ genden Reset durch den anderen Rechner das Programm nach Fig. 2 von neuem mit Schritt 100 gestartet wird. Die Realisierung dieses Pro­ grammschritts kann auch dadurch erfolgen, daß der Resetimpuls durch schaltungstechnische Maßnahmen automatisch einen Neustart auslöst.
Bei der Beschreibung des Programms nach Fig. 2 wurden an mehreren Stellen Fehlerüberprüfungen durchgeführt. Wurde jeweils ein Fehler erkannt, so springt der den Fehler erkennende Prozessor in den in Fig. 3 dargestellten Programmteil. Dieser beginnt mit einer Abfrage im Schritt 200, ob der jeweilige Prozessor bereits die maximale An­ zahl von Resets erzeugt hat. Ist dies der Fall, geht er gemäß Schritt 202 in einen Wartezustand über, den er während des Betriebs­ zyklus beibehält. Dieser Wartezustand umfaßt dabei beispielsweise Maßnahmen, die die Ansteuerung der Stelleinrichtung durch diesen Prozessor verbieten. Ferner wird eine Fehleranzeige vorgenommen.
Wurde im Schritt 200 erkannt, daß der jeweilige Prozessor noch nicht die maximale Anzahl von Resets in einem Betriebszyklus erzeugt hat, so wird der andere Prozessor durch Ausgabe eines Resetsignals gemäß Schritt 204 zurückgesetzt und der Reset-Zähler um 1 erhöht. Danach springt der Prozessor in den Programmteil nach Fig. 2 zwischen die Schritte 100 und 102.
Neben der Überprüfung einer vorgegebenen Anzahl von Resets während des gesamten Betriebszykluses des Systems kann alternativ eine Maß­ nahme vorgesehen sein, die innerhalb einer vorgegebenen Zeitdauer eine vorgegebene Anzahl von Resets erlaubt, und die den Wartezustand des jeweiligen Prozessors einleitet, wenn diese maximale Anzahl von Resets innerhalb der vorgegebenen Zeitdauer überschritten wurde.
Zusammenfassend ist festzustellen, daß mit den anhand Fig. 2 und 3 geschilderten Maßnahmen eine Unterscheidung zwischen Kalt- und Warm­ start und/oder schnelle, einfache Erkennung eines Fehlers im System möglich ist. Erhält ein Prozessor von einem anderen einen Reset, so wird er neu gestartet, seine Kennung auf Kaltstart gesetzt. Demge­ genüber wird der resettierende Prozessor, der als erster der beiden Prozessoren den Fehlerzustand im System erkannt hat, zwar initiali­ siert und neu gestartet, seine, den Zustand Warmstart repräsentie­ rende Kennung bleibt jedoch erhalten. Diese Tatsache dient zur Un­ terscheidung zwischen Warm- und Kaltstart. Der Prozessor, der eine maximale Anzahl von Resets erzeugt hat, wird in einen Wartezustand überführt.
In einem anderen vorteilhaften Ausführungsbeispiel wird die Zahl der von einem Rechner erhaltenen Resets gezählt.

Claims (10)

1. Mehrrechnersystem, bestehend aus wenigstens zwei Rechnern, in ei­ nem Kraftfahrzeug zur Durchführung von Steuerfunktionen,
  • - wobei jedem Rechner bei Inbetriebnahme zu Beginn eines Betriebs­ zyklus ein Rücksetzsignal zugeführt wird,
  • - das ferner Mittel umfaßt, welche während des Betriebs des Systems einen Fehlerzustand eines Rechners erkennen,
  • - wobei bei erkanntem Fehlerzustand der den Fehlerzustand erkennende Rechner ebenfalls das Rücksetzsignal erzeugt, das einen Neustart des Rechnersystems während seines Betriebs auslöst,
  • - wobei jeder Rechner über Mittel zur Unterscheidung von Inbetriebnahme und Neustart anhand einer Kennung aufweist und bei Inbetriebnahme eine erste Schrittfolge, bei Neustart eine zweite Folge von Schritten durchführt,
  • - wobei jeder Rechner des Mehrrechnersystems eine veränderbare Kennung aufweist, die nach Inbetriebnahme des Systems einen vorgegebenen Wert aufweist, und
  • - das Mehrrechnersystem derart ausgestaltet ist, daß nach Erzeugung eines Rücksetzsignals die Kennung in dem rückgesetzten Rechner auf einen ersten Wert gesetzt wird,
  • - die Rechner jeweils ihre Kennungen gegenseitig austauschen und
  • - jeder Rechner durch Vergleich der Kennungen der anderen Rechner und seiner eigenen Kennung zwischen Inbetriebnahme und Neustart unterscheidet und die entsprechende Folge von Schritten auswählt.
2. Mehrrechnersystem, nach Anspruch 1, dadurch gekennzeichnet, daß zusätzlich bei Überschreiten einer vorgegebenen Anzahl von Rücksetzimpulsen eines Rechners ein Rechner während des Betriebszyklus des Systems in einen Wartezustand, vorzugsweise bis zu einer erneuten Inbetriebnahme, versetzt wird.
3. Mehrrechnersystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß die Kennung jedes Rechners bei Inbetriebnahme den ersten Wert aufweist.
4. Mehrrechnersystem nach einem der vorhergehenden Ansprüche, da­ durch gekennzeichnet, daß die erste Schrittfolge durchgeführt wird, wenn die Kennungen aller Rechner des Mehrrechnersystems den er­ sten Wert aufweisen und daß ansonsten die zweite Schrittfolge durch­ geführt wird.
5. Mehrrechnersystem nach einem der vorhergehenden Ansprüche, da­ durch gekennzeichnet, daß der Wert der Kennung des die anderen resettierenden Rechners erhalten bleibt.
6. Mehrrechnersystem nach einem der vorhergehenden Ansprüche, da­ durch gekennzeichnet, daß das Rechnersystem bei Motorsteuerungen für Kraftfahrzeuge Verwendung findet.
7. Mehrrechnersystem nach einem der vorhergehenden Ansprüche, da­ durch gekennzeichnet, daß die erste Schrittfolge eine komplette Überprüfung der Funktion des Motorsteuerungssystems, einen Predrive-Check, umfaßt.
8. Mehrrechnersystem nach einem der vorhergehenden Ansprüche, da­ durch gekennzeichnet, daß die zweite Schrittfolge zeitlich kürzer ist als die erste.
9. Mehrrechnersystem nach einem der vorhergehenden Ansprüche, da­ durch gekennzeichnet, daß bei Überführung eines Rechners in den Wartezustand eine Fehleranzeige aktiviert wird.
10. Mehrrechnersystem nach einem der vorhergehenden Ansprüche, da­ durch gekennzeichnet, daß bei erneuter Inbetriebnahme der im vorigen Betriebszyklus in den Wartezustand überführte Rechner auf normale Weise gestartet wird.
DE4112334A 1991-04-16 1991-04-16 Mehrrechnersystem in einem kraftfahrzeug Granted DE4112334A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE4112334A DE4112334A1 (de) 1991-04-16 1991-04-16 Mehrrechnersystem in einem kraftfahrzeug
JP08124092A JP3255693B2 (ja) 1991-04-16 1992-04-03 自動車のマルチコンピュータシステム
US07/869,801 US5367665A (en) 1991-04-16 1992-04-16 Multi-processor system in a motor vehicle

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE4112334A DE4112334A1 (de) 1991-04-16 1991-04-16 Mehrrechnersystem in einem kraftfahrzeug

Publications (2)

Publication Number Publication Date
DE4112334A1 DE4112334A1 (de) 1992-10-22
DE4112334C2 true DE4112334C2 (de) 1993-02-11

Family

ID=6429662

Family Applications (1)

Application Number Title Priority Date Filing Date
DE4112334A Granted DE4112334A1 (de) 1991-04-16 1991-04-16 Mehrrechnersystem in einem kraftfahrzeug

Country Status (3)

Country Link
US (1) US5367665A (de)
JP (1) JP3255693B2 (de)
DE (1) DE4112334A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19541651C1 (de) * 1995-11-08 1997-01-30 Siemens Nixdorf Inf Syst Schnelleinschaltungsverfahren
DE10321229B4 (de) * 2002-05-16 2007-03-15 General Motors Corp. (N.D.Ges.D. Staates Delaware), Detroit Gegenkontrollierende Prozessoren für Antriebsstrangsteuerungssysteme, die eine dedizierte serielle Datenleitung verwenden

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE69432369T2 (de) * 1993-07-26 2003-12-18 Hitachi Ltd Steuerungseinheit für Fahrzeug
US6009370A (en) * 1993-07-26 1999-12-28 Hitachi, Ltd. Control unit for vehicle and total control system therefor
US5590235A (en) * 1993-12-03 1996-12-31 Papst-Motoren Gmbh & Co. Kg DC motor control with periodic reset
US5463336A (en) * 1994-01-27 1995-10-31 Rockwell International Corporation Supply sensing power-on reset circuit
JP3231561B2 (ja) * 1994-09-22 2001-11-26 日本電気株式会社 バックアップメモリ制御方式
JP3427572B2 (ja) * 1994-09-26 2003-07-22 株式会社デンソー 車両等の盗難防止装置
JPH08132992A (ja) * 1994-11-10 1996-05-28 Mitsubishi Electric Corp 車載用制御装置
US5678003A (en) * 1995-10-20 1997-10-14 International Business Machines Corporation Method and system for providing a restartable stop in a multiprocessor system
DE19749068B4 (de) * 1997-11-06 2005-03-10 Bosch Gmbh Robert Verfahren und Vorrichtung zur Überwachung eines Rechnersystems bestehend aus wenigstens zwei Prozessoren
US6327675B1 (en) * 1998-07-31 2001-12-04 Nortel Networks Limited Fault tolerant system and method
DE19851438A1 (de) 1998-11-09 2000-05-11 Volkswagen Ag Rechnersystem für ein Kraftfahrzeug
US6944779B2 (en) * 1999-07-14 2005-09-13 Visteon Global Technologies, Inc. Power management fault strategy for automotive multimedia system
GB0212143D0 (en) * 2002-05-27 2002-07-03 Sendo Int Ltd Processor Monitor
DE10225472A1 (de) * 2002-06-10 2003-12-18 Philips Intellectual Property Verfahren und Chipeinheit zum Überwachen des Betriebs einer Mikrocontrollereinheit
ITBO20030256A1 (it) * 2003-04-30 2004-11-01 Magneti Marelli Powertrain Spa Sistema di controllo con architettura multiprocessore per
US7539739B2 (en) * 2003-05-21 2009-05-26 Panasonic Corporation Self-configuring network system and routers for use therein
JP4254577B2 (ja) * 2004-03-04 2009-04-15 株式会社デンソー 制御装置
KR101115149B1 (ko) * 2005-02-21 2012-02-24 주식회사 현대오토넷 주변 장치들을 가지는 차량용 시스템에서 고속 부팅 및 전원 관리 장치
CN100361118C (zh) * 2005-03-01 2008-01-09 华为技术有限公司 一种多cpu系统及其控制方法
CN102782655B (zh) * 2010-03-18 2015-03-04 丰田自动车株式会社 微机相互监视系统及微机相互监视方法
DE102011011755A1 (de) 2011-02-18 2012-08-23 Conti Temic Microelectronic Gmbh Halbleiterschaltkreis und Verfahren in einem Sicherheitskonzept zum Einsatz in einem Kraftfahrzeug
DE102012219917A1 (de) * 2012-10-31 2014-06-12 Continental Automotive Gmbh Verfahren zur Verwaltung eines Steuergerätenetzwerks in einem Fahrzeug und Steuergerätenetzwerk
DE102014019435A1 (de) 2014-12-22 2016-06-23 Audi Ag Verfahren zum Betreiben eines Infotainmentsystems, Infotainmentsystem und Fahrzeug

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4410991A (en) * 1981-06-03 1983-10-18 Gte Laboratories Incorporated Supervisory control apparatus
JPS59218525A (ja) * 1983-05-27 1984-12-08 Maitetsuku:Kk リセツト機能を持つたパ−ソナルコンピユ−タ
US4610013A (en) * 1983-11-08 1986-09-02 Avco Corporation Remote multiplexer terminal with redundant central processor units
DE3343227A1 (de) * 1983-11-30 1985-06-05 Robert Bosch Gmbh, 7000 Stuttgart Verfahren zur ueberwachung von elektronischen rechenbausteinen, insbesondere mikroprozessoren
JPS60186919A (ja) * 1984-01-30 1985-09-24 Nec Corp オ−トノ−マスタイマ回路
JPS61212653A (ja) * 1985-03-18 1986-09-20 Honda Motor Co Ltd 内燃エンジンの電子制御装置
US4843556A (en) * 1985-07-23 1989-06-27 Lucas Industries Public Limited Company Method and apparatus for controlling an internal combustion engine
US4745602A (en) * 1985-09-20 1988-05-17 Minolta Camera Company, Ltd. Printer error and control system
US4710926A (en) * 1985-12-27 1987-12-01 American Telephone And Telegraph Company, At&T Bell Laboratories Fault recovery in a distributed processing system
US4860196A (en) * 1986-12-01 1989-08-22 Siemens Aktiengesellschaft High-availability computer system with a support logic for a warm start
DE3700986C2 (de) * 1987-01-15 1995-04-20 Bosch Gmbh Robert Einrichtung zur Überwachung eines Rechnersystems mit zwei Prozessoren in einem Kraftfahrzeug
EP0409830A1 (de) * 1988-04-14 1991-01-30 Robert Bosch Gmbh Mikrorechner mit mitteln zur unterscheidung von rücksetzsignalen
US5303390A (en) * 1990-06-28 1994-04-12 Dallas Semiconductor Corporation Microprocessor auxiliary with combined pin for reset output and pushbutton input

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19541651C1 (de) * 1995-11-08 1997-01-30 Siemens Nixdorf Inf Syst Schnelleinschaltungsverfahren
DE10321229B4 (de) * 2002-05-16 2007-03-15 General Motors Corp. (N.D.Ges.D. Staates Delaware), Detroit Gegenkontrollierende Prozessoren für Antriebsstrangsteuerungssysteme, die eine dedizierte serielle Datenleitung verwenden

Also Published As

Publication number Publication date
DE4112334A1 (de) 1992-10-22
US5367665A (en) 1994-11-22
JP3255693B2 (ja) 2002-02-12
JPH0588924A (ja) 1993-04-09

Similar Documents

Publication Publication Date Title
DE4112334C2 (de)
EP0512240B1 (de) System zur Steuerung eines Kraftfahrzeuges
EP0185667B1 (de) Rücksetzschaltung für mikroprozessoren
DE2735397C2 (de) Überwachungseinrichtung für eine programmgesteuerte Maschine
DE3731142C2 (de) Überwachungseinrichtung in einer elektronischen Steuereinheit
EP0826102A1 (de) Verfahren und vorrichtung zur steuerung einer antriebseinheit eines fahrzeugs
DE10119197A1 (de) Elektronische Steuereinrichtung für Fahrzeuge
DE3249367C1 (en) Method and device for checking microcomputer-controlled switching devices of control devices in motor vehicles
DE10143454B4 (de) Einrichtung zur Steuerung eines Fahrzeuges
DE60211625T2 (de) Elektronische Steuervorrichtung mit Steuerungs und Überwachungs- CPU ' s
EP0671031B1 (de) Mikrorechner mit überwachungsschaltung
DE10163655A1 (de) Verfahren und Vorrichtung zur Steuerung einer Funktionseinheit eines Kraftfahrzeugs
WO2004039030A2 (de) Verfahren zur übertragung von daten auf einem bus
DE10345424A1 (de) Motorluftansaugsteuervorrichtung und Motorluftansaugsteuerverfahren
DE3728561C2 (de) Verfahren zur Überprüfung einer Überwachungseinrichtung für einen Mikroprozessor
DE102007006614A1 (de) Anwendung einer verteilten Diagnosearchitektur in AUTOSAR
EP0791929B1 (de) Elektronisches Gerät und Verfahren zu seiner Duplizierung und Einrichtung zur Datenübertragung zwischen zwei gleichartig aufgebauten elektronischen Geräten
DE19828057A1 (de) Vorrichtung und Verfahren zur Überwachung der Spannungsversorgung einer Kfz-Steuergerätanordnung
EP1025501B1 (de) Verfahren und vorrichtung zur überprüfung einer fehlerüberwachung einer schaltung
EP1305509B1 (de) Elektronische schaltungsanordnung und zugehöriges verfahren zur ansteuerung eines stellglieds , zum beispiel für ventile oder injektoren
DE4237198A1 (de) Verfahren und Vorrichtung zur Überprüfung einer Überwachungseinheit
DE102004051991A1 (de) Verfahren, Betriebssystem und Rechengerät zum Abarbeiten eines Computerprogramms
DE19605606B4 (de) Einrichtung zum Rücksetzen eines Rechenelements
EP1751630B1 (de) Mikrocontrollersystem und betriebsverfahren dafür
DE4115662C2 (de) Mehrrechnersystem in einem Kraftfahrzeug

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
D2 Grant after examination
8364 No opposition during term of opposition
8320 Willingness to grant licences declared (paragraph 23)
8339 Ceased/non-payment of the annual fee