DE4341082A1 - Schaltungsanordnung für sicherheitskritische Regelungssysteme - Google Patents
Schaltungsanordnung für sicherheitskritische RegelungssystemeInfo
- Publication number
- DE4341082A1 DE4341082A1 DE4341082A DE4341082A DE4341082A1 DE 4341082 A1 DE4341082 A1 DE 4341082A1 DE 4341082 A DE4341082 A DE 4341082A DE 4341082 A DE4341082 A DE 4341082A DE 4341082 A1 DE4341082 A1 DE 4341082A1
- Authority
- DE
- Germany
- Prior art keywords
- data
- circuit arrangement
- arrangement according
- cpu
- read
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 230000015654 memory Effects 0.000 claims description 40
- 238000012360 testing method Methods 0.000 claims description 39
- 238000012545 processing Methods 0.000 claims description 22
- 238000001514 detection method Methods 0.000 claims description 16
- 230000015572 biosynthetic process Effects 0.000 claims description 5
- 230000000903 blocking effect Effects 0.000 claims description 5
- 230000000875 corresponding effect Effects 0.000 claims description 5
- 230000006399 behavior Effects 0.000 claims description 4
- 238000004422 calculation algorithm Methods 0.000 claims description 3
- 238000004364 calculation method Methods 0.000 claims description 2
- 230000002596 correlated effect Effects 0.000 claims description 2
- 230000028838 turning behavior Effects 0.000 claims description 2
- 230000006870 function Effects 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000000034 method Methods 0.000 description 2
- 238000003860 storage Methods 0.000 description 2
- 230000002123 temporal effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60T—VEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
- B60T8/00—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force
- B60T8/32—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration
- B60T8/88—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means
- B60T8/885—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means using electrical circuitry
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60T—VEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
- B60T2270/00—Further aspects of brake control systems not otherwise provided for
- B60T2270/40—Failsafe aspects of brake control systems
- B60T2270/406—Test-mode; Self-diagnosis
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60T—VEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
- B60T2270/00—Further aspects of brake control systems not otherwise provided for
- B60T2270/40—Failsafe aspects of brake control systems
- B60T2270/413—Plausibility monitoring, cross check, redundancy
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Transportation (AREA)
- Mechanical Engineering (AREA)
- Hardware Redundancy (AREA)
Description
Die Erfindung bezieht sich auf eine für sicherheits
kritische Regelungssysteme vorgesehene Schaltungsan
ordnung, mit der durch Datenverarbeitung, die zumindest
teilweise redundant ausgelegt ist, Eingangssignale ausge
wertet und Regelsignale erzeugt werden, wobei zur Er
mittlung von Fehlern Ergebnisse der redundanten Datenver
arbeitung verglichen und bei Nicht-Übereinstimmung Signale
zur Fehlererkennung bzw. Abschaltung oder Sperrung des
Regelungssystems gewonnen werden.
Ein Beispiel einer solchen Schaltungsanordnung, die zur
Steuerung und Überwachung einer blockiergeschützten Fahr
zeugbremsanlage dient, ist aus der Patentschrift DE 32 34
637 C2 bekannt. Nach dieser Schrift werden die Eingangs
daten zwei identisch programmierten Mikrocomputern
parallel zugeführt und dort synchron verarbeitet. Die Aus
gangssignale (und Zwischensignale) der beiden Mikrocom
puter werden auf Übereinstimmung überprüft. Wenn die
Signale voneinander abweichen, wird ein Abschaltsignal
ausgegeben. Bei dieser bekannten Schaltung dient einer der
beiden Mikrocomputer zur Erzeugung der Bremsdrucksteuer
steuersignale, der andere lediglich zur Bildung der Prüf
signale. Nach diesem Konzept ist eigens zum Zweck der
Erkennung eines Datenverarbeitungsfehlers
ein zweiter Mikrocomputer, der in seinem Aufbau und seiner
Programmierung mit dem ersten Mikrocomputer identisch ist,
vorgesehen.
Nach einer anderen bekannten, in der Offenlegungsschrift
DE 41 37 124 A1 beschriebenen Schaltungsanordnung werden
die Eingangsdaten ebenfalls zwei Mikrocomputern zugeführt,
von denen jedoch nur einer die vollständige, aufwendige
Signalverarbeitung ausführt. Der zweite Microcomputer
dient vornehmlich zur Überwachung, weshalb die Eingangs
signale nach Aufbereitung und Bildung von zeitlichen Ab
leitungen mit Hilfe vereinfachter Regelalgorithmen und
vereinfachter Regelphilosophie weiter verarbeitet werden.
Die vereinfachte Verarbeitung reicht zur Erzeugung von
Signalen aus, die durch Vergleich mit den in dem auf
wendigeren Mikrocomputer verarbeiteten Signale Rück
schlüsse auf den ordnungsgemäßen Betrieb zulassen. Durch
diese Verwendung eines Prüf-Mikrocomputers geringerer
Leistungsfähigkeit läßt sich zwar der Herstellungsaufwand
im Vergleich zu einem System mit zwei Mikrocomputern
gleicher Leistung reduzieren, doch ist immer noch der für
die Fehlererkennung erforderliche Aufwand erheblich.
Der Erfindung liegt daher die Aufgabe zugrunde, eine
Schaltungsanordnung der eingangs genannten Art zu ent
wickeln, die sich gegenüber den vorgenannten bekannten
Schaltungen durch verringerten Herstellungsaufwand aus
zeichnet und die dennoch mit "hoher Sicherheit Fehler in
der Datenverarbeitung erkennt und signalisiert.
Es hat sich gezeigt, daß diese Aufgabe durch eine
Schaltungsanordnung gelöst werden kann, deren Besonderheit
darin besteht, zur Datenverarbeitung ein Mikroprozessor
system vorgesehen ist, das zwei oder mehrere Zentralein
heiten (CPU′s) enthält, in denen die Eingangsdaten
parallel verarbeitet werden,
daß Ausgangsdaten einer CPU, nämlich zumindest die Rechenergebnisse (Datenverarbeitungs-Ergebnisse) bzw. "Daten" oder diese Daten, die Adressen und/oder die Ab laufsteuerungsdaten, mit den entsprechenden Ausgangsdaten der zweiten bzw. anderen CPU′s verglichen werden und bei Nicht-Übereinstimmung ein Fehlererkennungssignal erzeugt wird,
daß den Schreib-/Lesespeichern des Mikroprozessorsystems jeweils ein Generator zur Erzeugung einer Prüfinformation zugeordnet und die Schreib-/Lesespeicher sowie die Fest wertspeicher durch Speicherplätze für die Prüfinformation erweitert sind, und
daß bei jedem schreibenden oder lesenden Zugriff zu den Speichern der Inhalt des Speicherplatzes mit der zuge hörigen Prüfinformation verglichen bzw. korreliert und ein Fehlererkennungssignal erzeugt wird, wenn Übereinstimmung oder "Plausibilität" nicht gegeben ist.
daß Ausgangsdaten einer CPU, nämlich zumindest die Rechenergebnisse (Datenverarbeitungs-Ergebnisse) bzw. "Daten" oder diese Daten, die Adressen und/oder die Ab laufsteuerungsdaten, mit den entsprechenden Ausgangsdaten der zweiten bzw. anderen CPU′s verglichen werden und bei Nicht-Übereinstimmung ein Fehlererkennungssignal erzeugt wird,
daß den Schreib-/Lesespeichern des Mikroprozessorsystems jeweils ein Generator zur Erzeugung einer Prüfinformation zugeordnet und die Schreib-/Lesespeicher sowie die Fest wertspeicher durch Speicherplätze für die Prüfinformation erweitert sind, und
daß bei jedem schreibenden oder lesenden Zugriff zu den Speichern der Inhalt des Speicherplatzes mit der zuge hörigen Prüfinformation verglichen bzw. korreliert und ein Fehlererkennungssignal erzeugt wird, wenn Übereinstimmung oder "Plausibilität" nicht gegeben ist.
Erfindungsgemäß wird die geforderte hohe Sicherheit der
Erkennung von Datenverarbeitungsfehlern trotz Verzicht auf
einen zweiten, die Eingangssignale redundant verarbeiten
den Mikrocomputer erreicht. Es genügt ein einziger Mikro
computer, der sich von herkömmlichen Schaltkreisen dieser
Art im wesentlichen nur durch redundante Verarbeitung der
Eingangsdaten mit Hilfe zweier CPU′s und durch relativ
geringfügige Erweiterung der Speicher durch Speicherplätze
für Prüfinformationen, durch zusätzliche, z. B. aus einigen
Exklusiv-ODER-Gattern bestehende Generatoren zur Erzeugung
der Prüf- oder Redundanzinformation und durch einige
zusätzliche Vergleicher unterscheidet.
Die Erweiterung der Speicher durch Plätze für die
Prüf- bzw. Redundanzinformationen beschränkt sich - je
nach geforderter Redundanz - auf einige Prozent, z. B. 5
bis 20%, des für den Speicher erforderlichen Platzes. Die
Verwendung von zwei vollständigen CPU′s fällt im Vergleich
zu dem Aufwand für das gesamte Mikroprozessorsystem nur
wenig ins Gewicht. Der Herstellungsaufwand für das er
findungsgemäße Mikroprozessorsystem, das vorzugsweise auf
einem Chip untergebracht wird, ist folglich nur wenig
höher als für ein vergleichbares Chip bekannter Art. Die
Beschränkung auf nur ein Mikroprozessorsystem im Vergleich
zu entsprechenden Schaltungen bekannter Art, die zwei
Prozessoren besitzen, führt also zu erheblichen Ein
sparungen.
Einige vorteilhafte Ausführungsarten der erfindungsgemäßen
Schaltungsanordnung sind in den Unteransprüchen be
schrieben.
Ein Ausführungsbeispiel der Erfindung besteht darin, daß
die Prüfinformation in Form von Redundanzinformation vor
liegt. Zweckmäßig ist es, zur Bildung der Prüf- bzw.
Redundanzinformation die gerade oder ungerade Parität der
Bits der einzelnen Daten zu ermitteln. Es kann jedoch auch
die Quersumme der gespeicherten oder übertragenen Daten
oder einer Redundanzinformation auf Basis eines vorge
gebenen Polynoms gebildet werden.
Nach einer weiteren vorteilhaften Ausführungsart der Er
findung werden zur Erzeugung der Prüf- bzw. Redundanzin
formation die gespeicherten und/oder die
übertragenen Daten durch ein Paritätsbit erweitert. Der
zusätzliche Speicherplatzbedarf für dieses Prüfbit fällt
kaum ins Gewicht.
Das Fehlererkennungssignal führt nach einem weiteren Aus
führungsbeispiel der Erfindung zur Abschaltung oder zur
Sperrung des Mikroprozessorsystems. Bei Verwendung der
erfindungsgemäßen Schaltungsanordnung zur Blockierschutz
regelung wird durch Abschaltung des Mikroprozessorsystems
die Regelung beendet und die konventionelle Bremsen
funktion, d. h. die Bremsenfunktion ohne Regelung, sicher
gestellt.
Eine Weiterbildung der erfindungsgemäßen Schaltungsan
ordnung besteht darin, daß zur Erhöhung der Redundanz
nicht nur die CPU′s, sondern noch weitere ausgewählte
Komponenten des Mikroprozessorsystems, wie Speicher,
Eingabe-Ausgabe-Einheiten usw., zweifach in diesem
1-Chip-Mikroprozessorsystem vorhanden sind.
Ein sicherheitskritisches Regelungssystem, für das sich
die erfindungsgemäße Schaltungsanordnung besonders eignet,
ist eine Kraftfahrzeug-Bremsanlage mit Blockierschutz-
und/oder Antriebsschlupfregelung. In diesem Fall werden
die Sensorsignale, die das Drehverhalten der Räder
und/oder das Fahrverhalten des Fahrzeugs wiedergeben, mit
dieser Schaltungsanordnung verarbeitet und zur Erzeugung
von Bremsdruck-Steuersignalen ausgewertet.
Weitere Merkmale, Vorteile und Anwendungsmöglichkeiten der
Erfindung gehen aus der folgenden Beschreibung spezieller
Ausführungsbeispiele anhand der beigefügten Abbildungen
hervor.
Es zeigen in Prinzipdarstellung als Blockschaltbild und in
Teildarstellung
Fig. 1 das Zusammenwirken der Zentraleinheiten (CPU′s),
der zugehörigen Vergleicher und der
Abschaltfunktion eines Mikroprozessorsystems nach
der Erfindung,
Fig. 2 in gleicher Darstellungsweise wie Fig. 1 einen
Festwertspeicher (ROM) und die zugehörigen
Prüf-Komponenten,
Fig. 3 in gleicher Darstellungsweise wie Fig. 2 einen
Schreib-/Lesespeicher und die zugehörigen
Prüf-Komponenten,
Fig. 4 in gleicher Darstellungsweise den Anschluß von
Eingabe- oder Ausgabeeinheiten und
Fig. 5 in gleicher Darstellungsweise wie die
vorangegangenen Figuren die Zusammenschaltung der
wesentlichen Komponenten eines
Mikroprozessorsystems nach der Erfindung.
Fig. 1 veranschaulicht, daß das erfindungsgemäße
Mikroprozessorsystem zwei Zentraleinheiten 1, 2, CPU′ s
genannt, aufweist, denen über Bus-Systeme, nämlich einen
Datenbus Memory DATA IN, einen Steuerbus CONTROL DATA IN
und einen Adreßbus ADDRESS IN die Eingangssignale bzw.
Eingangsdaten parallel zugeführt werden. Die CPU 1 wird
als "aktiv" bezeichnet, weil ihre Ausgangsdaten über die
Bus-Systeme D OUT, C OUT, A OUT zur Weiterverarbeitung
weitergeleitet werden. Die CPU 2 ist dagegen "passiv",
weil sie lediglich zu Prüfzwecken vorhanden ist. Da beide
CPU′s 1, 2 in dem vorliegenden Beispiel identisch aufgebaut
und programmiert sind, lassen sich durch Vergleich der
Ausgangsdaten beider Einheiten 1, 2 Datenverarbeitungs
fehler erkennen. Die Ausgangsdaten der beiden CPU′s werden
daher mit Hilfe von Vergleichern 3, 4, 5 auf Übereinstimmung
verglichen; dem Datenbus, dem Steuerbus und dem Adreßbus
sind jeweils ein eigener Vergleicher 3 bzw. 4 und 5
zugeordnet. Stimmen die Daten nicht überein, wird dies als
Datenverarbeitungsfehler bewertet und über ein Gatter 6
ein Abschalt- oder Sperrsignal ausgegeben.
In Bezug auf die Datenverarbeitung in den CPU′s 1, 2 ist
also bei dem erfindungsgemäßen Mikroprozessorsystem
100%ige Redundanz gegeben. Die Prüfung und Überwachung der
Speicher beruht auf einem anderen Prinzip. Wie Fig. 2
zeigt, ist einem Festwertspeicher (ROM) 7 ein weiterer
Speicher 8 für Redundanzinformationen zugeordnet. In der
Praxis wird der Festwertspeicher 7 zur Aufnahme dieser
Redundanzinformationen um die entsprechenden
Speicherplätze erweitert.
Die aus dem Speicher 7 ausgelesenen Daten werden einem
Prüf- oder Redundanz-Generator 9 zugeführt, der Logik
schaltungen zur Erzeugung der Prüf-Informationen enthält.
Die mit Hilfe des Generators 9 gewonnenen Prüfin
formationen müssen mit den im Speicher 8 enthaltenen
Informationen übereinstimmen. Trifft dies nicht zu, wird
von einem Vergleicher 10 ein Abschalt- oder Sperrsignal
erzeugt.
Liegt die Prüfinformation in Form eines Paritätsbits vor,
besteht der Generator 9 zur Bildung dieser Prüf- bzw.
Redundanzinformation z. B. aus der erforderlichen Anzahl
von Exklusiv-ODER-Gattern zur Feststellung der Parität.
Auf diese Weise kann jeder Einfach-Fehler erkannt werden;
natürlich lassen sich durch Prüf-Informationen auf Basis
von zwei oder mehreren Bits auch gleichzeitige Mehrfach
fehler erkennen. Die Bildung von Redundanz-Information auf
Basis von Polynomen und bestimmten Algorithmen kann eben
falls zweckmäßig sein.
Für das Lesen von Informationen aus einem Schreib-/Lese
speicher (RAM) gelten die Erläuterungen anhand der Fig. 2
analog. Auch dieser Schreib-/Lesespeicher wird erfindungs
gemäß durch einige Speicherplätze für die Redundanz-In
formationen erweitert.
Bei einem schreibenden Zugriff zu einem Schreib-/Lese
speicher 11, siehe Fig. 3, wird mit einem Generator 12,
der dem Generator 9 nach Fig. 2 entspricht, eine Prüfin
formation erzeugt und in einem Zusatzspeicher 13 - oder
zusätzlichen Speicherplätzen im zugehörigen Schreib-/Lese
speicher - abgelegt. Beim lesenden Zugriff auf diese In
formation wird dann wiederum die Übereinstimmung oder
"Plausibilität" überprüft.
Wie Fig. 4 zu entnehmen ist, werden die über eine
Eingabeeinheit 14 dem erfindungsgemäßen
Mikropozessorsystem zugeführten Daten analog der bereits
erläuterten Behandlungsweise überprüft. Es werden in einem
Generator 15 Prüf- bzw. Redundanzinformationen gebildet.
Bei Übertragung oder Weiterverarbeitung der Daten erfolgt
dann jeweils die Überprüfung in der beschriebenen Weise.
Die Eingabeeinheit 14 erhält die zu verarbeitenden
Eingangssignale über doppelt ausgelegte Wege -
symbolisiert durch die beiden Eingangspfeile E1, E2 in
Fig. 4 - aus der zugehörigen Quelle. Die Prüfredundanz
kommt erst nach Erfassung der Signale durch das
erfindungsgemäße Mikroprozessorsystem zum Tragen.
Grundsätzlich wird die Anzahl der durch die Redundanz
generatoren generierten Informationen durch die jeweiligen
Forderungen nach Erkennung von Einfach- oder Mehrfach
fehlern festgelegt. Ist für einen Anwendungsfall die Er
kennung von Einfachfehlern ausreichend, wird der Redun
danzgenerator (9, 15) am einfachsten durch eine Kette von
Exklusiv-ODER-Gattern verwirklicht. Sollen auch Doppel
fehler erkennbar sein, so werden mehrere Redundanzbits,
z. B. durch Bilden der Quersumme bzw. Addieren aller Bits
eines Wortes, gebildet. Die "Größe" der Prüfinformationen
läßt sich somit in Abhängigkeit von der geforderten
Sicherheit gegen gleichzeitig auftretende Fehler
variieren.
Die anhand der Fig. 1 beschriebenen Vergleicher 3, 4, 5
lassen sich z. B. durch Komparatorschaltungen realisieren,
die "bit"-weise alle Informationen vergleichen. Eine
mögliche Ausführungsform ist der bit-weise Vergleich durch
die vorgenannten Exklusiv-ODER-Gatter, deren Ausgänge
durch ein weiteres ODER-Gatter zusammengefaßt werden.
Der Vergleicher 10 nach Fig. 2 vergleicht die aus dem
Speicher 7 ausgelesene Information, die durch die in dem
Redundanzgenerator 9 erzeugte Redundanzinformation
erweitert ist, mit der Prüf-Information aus dem Speicher
8. Diese Überprüfung geschieht wiederum z. B. mit Hilfe
der zuvor genannten Exklusiv-ODER-Gatter.
Die Sicherheit der Fehlererkennung mit Hilfe der er
findungsgemäßen Schaltungsanordnung läßt sich bei Bedarf
noch durch folgende Naßnahmen erhöhen: Die Vergleicher
und/oder Abschaltpfade können mehrfach ausgelegt werden.
Ein "schlafender" Fehler innerhalb eines Vergleichers oder
eines Abschaltpfades kann dann eine Systemabschaltung im
Fehlerfalle nicht mehr verhindern.
Grundsätzlich ist es auch möglich, einen Vergleicher
außerhalb des eigentlichen Mikroprozessorchips anzuordnen.
Da ein externer Vergleicher zyklisch Werte aus dem Chip
erhält, kann der Vergleicher durch eine zweite Taktver
sorgung das Zeitverhalten der CPU′s überprüfen und im
Fehlerfall eine Abschaltung des Regelungssystems hervor
rufen. Als Überprüfungskriterien dienen sowohl der
Dateninhalt der empfangenen Informationen als auch das
zeitliche Verhalten der Signale.
Zur Reduzierung der Übertragungsbandbreite zwischen
Vergleicher und den CPU′s kann eine zusätzliche Logik
verwendet werden, die bestimmte Informationen auswählt und
jedes n-te-Resultat zum externen Vergleicher weiterleitet.
Durch ein derartiges Auswahlsystem kann die Anzahl der
überprüften Stichproben auf ein noch geringeres, noch
ausreichendes Maß reduziert werden.
Des weiteren ist es grundsätzlich möglich, lediglich die
empfangene Prüf- bzw. Redundanzinformation und die zum
Vergleich berechnete Information durch einen externen
Schaltkreis zu überprüfen. Die Anzahl der zu dem externen
Schaltkreis zu übermittelnden Signale läßt sich auf diese
Weise reduzieren.
Fig. 5 dient zur Veranschaulichung des Zusammenwirkens der
einzelnen bereits beschriebenen oder diskutierten
Komponenten eines Mikroprozessorsystems nach der
Erfindung. Soweit Übereinstimmung mit den
Ausführungsbeispielen nach den Fig. 1 bis 4 besteht,
wurden gleiche Bezugszeichen in Fig. 5 verwendet.
Die Ausgangsdaten der Zentraleinheiten 1, 2 sind in Fig. 5
mit DO (Data OUT), die Adreßdaten mit AO (Adress OUT) und
die Ablaufsteuerungsdaten mit CO (Control OUT) bezeichnet.
"R" deutet auf die zugehörige Prüf- bzw.
Redundanzinformation hin. Die′ Eingangsdaten sind mit "I"
(DI, AI, CI) bezeichnet.
Abweichend von dem Ausführungsbeispiel nach Fig. 1 werden
die Ausgänge der Zentraleinheiten oder CPU′s (1, 2) über
Redundanzgeneratoren 16, 17, 18 bzw. 16′, 17′, 18′, die der
übertragenen Information eine Prüfinformation, z. B. ein
Prüfbit hinzufügen, zu den Vergleichern 3, 4, 5,
weitergeleitet. Wie in Fig. 5 angedeutet ist, sind jeweils
zwei Vergleicher 3, 3′; 4, 4′; 5, 5′ parallelgeschaltet.
Jeder Vergleicher ist in der Lage, ein Fehlererkennungs-
oder Abschaltsignal (Switch OFF) abzugeben. Zur
Überprüfung der Eingangsdaten DI + R ("R" symbolisiert die
Prüf- bzw. Redundanzinformation) ist eine weitere
Schaltungskomponente 19, 19′ vorhanden, die ebenfalls ein
Abschaltsignal SW OFF erzeugt, wenn die Information und
das zugehörige Prüfsignal nicht plausibel sind.
Abweichend von Fig. 1 sind der besseren Übersicht wegen in
Fig. 5 die Signaleingänge der Zentraleinheit 1, 2 für die
Adreß- und Steuerdaten nicht dargestellt, sondern
lediglich der Dateneingang DI bzw. DI + R.
Die Anschaltung des Schreib-/Lesespeichers RAM 11 mit dem
zugehörigen Speicher 13 für die Prüf- bzw. Redundanzin
formation sowie des Festwertspeichers (ROM) 7 und des
zugehörigen Prüfspeichers 8 wurden bereits anhand der Fig.
2 und 3 erläutert; es besteht kein Unterschied gegenüber
dem Ausführungsbeispiel nach Fig. 5. Die Eingabeeinheit 14
mit dem zugehörigen Redundanzgenerator 15 wurden ebenfalls
bereits anhand der Fig. 4 erläutert. Wiederum werden zwei
in die Eingangssignale E1, E2 parallel zugeführt.
Zur Überprüfung der Ablaufsteuerungsdaten (Controldaten)
und der Adreßdaten sind die Schaltungskomponenten 20,20′
und 21, 21′ vorgesehen, die ebenfalls jeweils zweifach
vorhanden sind. Wird in diesen Schaltungskomponenten eine
Nicht-Übereinstimmung oder fehlende Plausibilität zwischen
den Daten und den zugehörigen Prüfinformationen
festgestellt, wird wiederum ein Abschaltsignal SW OFF
erzeugt. Die zugehörigen Redundanzgeneratoren sind mit
22, 22′ und 23, 23′ beziffert.
Claims (10)
1. Schaltungsanordnung für sicherheitskritische Regelungs-
Systeme, mit der durch Datenverarbeitung, die zumindest
teilweise redundant ausgelegt ist, Eingangssignale aus
gewertet und Regelsignale erzeugt werden, wobei Ergeb
nisse der redundanten Datenverarbeitung verglichen und
bei Nicht-Übereinstimmung Signale zur Fehlererkennung
bzw. Abschaltung oder Sperrung des Regelungssystems
gewonnen werden, dadurch gekennzeichnet,
daß zur Datenverarbeitung ein Mikroprozessorsystem vorgesehen ist, das zwei oder mehrere Zentraleinheiten bzw. CPU′s (1, 2) enthält, in denen die Eingangsdaten (DI, AI, CI) parallel verarbeitet werden, daß Ausgangsdaten einer CPU, nämlich zumindest die Rechenergebnisse (Datenverarbeitungs-Ergebnisse) bzw. "Daten", mit den entsprechenden Ausgangsdaten der zweiten bzw. der anderen CPU′s verglichen werden und bei Nicht-Übereinstimmung ein Fehlererkennungssignal (SW OFF)erzeugt wird,
daß den Schreib-/Lesespeichern (11) des Mikroprozessor systems jeweils ein Generator (12) zur Erzeugung einer Prüfinformation zugeordnet ist und die Schreib-/Lese speicher (11) sowie die Festwertspeicher (7) (7) durch Speicherplätze (13, 8) für die Prüfinformation erweitert sind, und
daß bei jedem schreibenden oder lesenden Zugriff zu den Speichern (11) der Inhalt des Speicherplatzes mit der zugehörigen Prüfinformation verglichen bzw. korreliert und ein Fehlererkennungssignal (SW OFF) erzeugt wird, wenn Übereinstimmung oder "Plausibilität" nicht gegeben ist.
daß zur Datenverarbeitung ein Mikroprozessorsystem vorgesehen ist, das zwei oder mehrere Zentraleinheiten bzw. CPU′s (1, 2) enthält, in denen die Eingangsdaten (DI, AI, CI) parallel verarbeitet werden, daß Ausgangsdaten einer CPU, nämlich zumindest die Rechenergebnisse (Datenverarbeitungs-Ergebnisse) bzw. "Daten", mit den entsprechenden Ausgangsdaten der zweiten bzw. der anderen CPU′s verglichen werden und bei Nicht-Übereinstimmung ein Fehlererkennungssignal (SW OFF)erzeugt wird,
daß den Schreib-/Lesespeichern (11) des Mikroprozessor systems jeweils ein Generator (12) zur Erzeugung einer Prüfinformation zugeordnet ist und die Schreib-/Lese speicher (11) sowie die Festwertspeicher (7) (7) durch Speicherplätze (13, 8) für die Prüfinformation erweitert sind, und
daß bei jedem schreibenden oder lesenden Zugriff zu den Speichern (11) der Inhalt des Speicherplatzes mit der zugehörigen Prüfinformation verglichen bzw. korreliert und ein Fehlererkennungssignal (SW OFF) erzeugt wird, wenn Übereinstimmung oder "Plausibilität" nicht gegeben ist.
2. Schaltungsanordnung nach Anspruch 1, dadurch ge
kennzeichnet, daß sowohl die Rechener
gebnisse bzw. "Daten" als auch die Adressen und/oder
die Ablaufsteuerungsdaten mit den entsprechenden Aus
gangsdaten der zweiten bzw. der anderen CPU′s ver
glichen werden und bei Nicht-Übereinstimmung das
Fehlersignal (SW OFF) erzeugt wird.
3. Schaltungsanordnung nach Anspruch 1 oder 2, dadurch
gekennzeichnet, daß die Prüfinformation
in Form von Redundanzinformation (R) vorliegt.
4. Schaltungsanordnung nach einem oder mehreren der An
sprüche 1 bis 3, dadurch gekennzeich
net, daß zur Erzeugung der Prüf- bzw. Redundanzin
formation (R) die gerade oder ungerade Parität der Bits
der einzelnen Daten ermittelt wird.
5. Schaltungsanordnung nach einem oder mehreren der An
sprüche 1 bis 3, dadurch gekennzeich
net, daß zur Erzeugung der Prüfinformation die
Quersummen der die einzelnen gespeicherten oder über
tragenen Daten darstellenden Zahlen oder eine Redun
danzinformation auf Basis eines vorgegebenen Polynoms
oder Algorithmus gebildet wird.
6. Schaltungsanordnung nach einem oder mehreren der An
sprüche 1 bis 5, dadurch gekennzeich
net, daß zur Erzeugung der Prüf- bzw. Redundanzin
formation die gespeicherten und/oder die übertragenen
Daten durch ein Paritätsbit erweitert werden.
7. Schaltungsanordnung nach einem oder mehreren der
Ansprüche 1 bis 6, dadurch gekennzeich
net, daß die Eingangsdaten in den CPU′s (1, 2)
synchron verarbeitet werden.
8. Schaltungsanordnung nach einem oder mehreren der
Ansprüche 1 bis 7, dadurch gekennzeich
net, daß das Fehlererkennungssignal (SW OFF) zur
Abschaltung oder Sperrung des Mikroprozessorsystems
führt.
9. Schaltungsanordnung nach einem oder mehreren der
Ansprüche 1 bis 8, dadurch gekennzeich
net, daß zur weiteren Erhöhung der Sicherheit der
Fehlererkennung zusätzlich zu den CPU′s (1, 2) noch
weitere Komponenten des Mikroprozessorsystems, wie
Festwertspeicher (7), Schreib-/Lesespeicher,
Eingang-/Ausgangkomponenten (14), Bussysteme etc.,
zweifach oder mehrfach vorhanden sind, wobei mit
Vergleichern jeweils die Übereinstimmung der
Informationen oder die Plausibilität überprüft wird.
10. Schaltungsanordnung nach einem oder mehreren der
Ansprüche 1 bis 8, dadurch gekennzeich
net, daß diese Bestandteil einer Kraftfahrzeug-
Bremsanlage mit Blockierschutz- und/oder Antriebs
schlupfregelung ist und zur Verarbeitung von Signalen,
die das Drehverhalten der Fahrzeugräder und/oder das
Fahrverhalten des Fahrzeugs wiedergeben, und zum
Erzeugen von Bremsdrucksteuersignalen dient.
Priority Applications (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE4341082A DE4341082A1 (de) | 1993-12-02 | 1993-12-02 | Schaltungsanordnung für sicherheitskritische Regelungssysteme |
JP7515353A JPH09509269A (ja) | 1993-12-02 | 1994-11-04 | 安全確認制御システム用回路構成 |
PCT/EP1994/003623 WO1995015518A1 (de) | 1993-12-02 | 1994-11-04 | Schaltungsanordnung für sicherheitskritische regelungssysteme |
EP95900669A EP0731937B1 (de) | 1993-12-02 | 1994-11-04 | Schaltungsanordnung für sicherheitskritische regelungssysteme |
US08/647,935 US5862502A (en) | 1993-12-02 | 1994-11-04 | Circuit arrangement for safety-critical control systems |
DE59406518T DE59406518D1 (de) | 1993-12-02 | 1994-11-04 | Schaltungsanordnung für sicherheitskritische regelungssysteme |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE4341082A DE4341082A1 (de) | 1993-12-02 | 1993-12-02 | Schaltungsanordnung für sicherheitskritische Regelungssysteme |
Publications (1)
Publication Number | Publication Date |
---|---|
DE4341082A1 true DE4341082A1 (de) | 1995-06-08 |
Family
ID=6504007
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE4341082A Withdrawn DE4341082A1 (de) | 1993-12-02 | 1993-12-02 | Schaltungsanordnung für sicherheitskritische Regelungssysteme |
DE59406518T Expired - Lifetime DE59406518D1 (de) | 1993-12-02 | 1994-11-04 | Schaltungsanordnung für sicherheitskritische regelungssysteme |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE59406518T Expired - Lifetime DE59406518D1 (de) | 1993-12-02 | 1994-11-04 | Schaltungsanordnung für sicherheitskritische regelungssysteme |
Country Status (5)
Country | Link |
---|---|
US (1) | US5862502A (de) |
EP (1) | EP0731937B1 (de) |
JP (1) | JPH09509269A (de) |
DE (2) | DE4341082A1 (de) |
WO (1) | WO1995015518A1 (de) |
Cited By (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19525217A1 (de) * | 1995-07-11 | 1997-01-16 | Teves Gmbh Alfred | Erfassung und Auswertung von sicherheitskritischen Meßgrößen |
DE19529434A1 (de) * | 1995-08-10 | 1997-02-13 | Teves Gmbh Alfred | Microprozessorsystem für sicherheitskritische Regelungen |
DE19626385A1 (de) * | 1995-09-21 | 1997-03-27 | Baranski Sicherheitstechn Gmbh | Anordnung zur Übertragung einer Ereignismeldung und/oder einer Zustandsmeldung |
DE19640107A1 (de) * | 1996-09-28 | 1998-04-09 | Teves Gmbh Alfred | Überwachungseinrichtung für Fahrzeugbremssysteme mit einem Bremskraftverstärker |
DE19716197A1 (de) * | 1997-04-18 | 1998-10-22 | Itt Mfg Enterprises Inc | Mikroprozessorsystem für sicherheitskritische Regelungen |
DE19717686A1 (de) * | 1997-04-28 | 1998-10-29 | Itt Mfg Enterprises Inc | Schaltungsanordnung für ein Kraftfahrzeug-Regelungssystem |
WO1998053374A1 (de) * | 1997-05-16 | 1998-11-26 | Continental Teves Ag & Co. Ohg | Mikroprozessorsystem für kfz-regelungssysteme |
WO1999056187A1 (de) * | 1998-04-23 | 1999-11-04 | Dr. Johannes Heidenhain Gmbh | Verfahren und anordnung zur auswahl von zu überwachenden sicherheitsparametern |
WO1999064938A1 (de) * | 1998-06-10 | 1999-12-16 | Siemens Aktiengesellschaft | Steuereinrichtung für eine maschine, anlage oder ein gerät, sowie verfahren zum überwachen einer steuerung |
EP0785489A3 (de) * | 1995-12-26 | 1999-12-29 | Carrier Corporation | System zur Verarbeitung von Steuerinformationen von Heizungs-, Lüftungs- und Klimaanlagen |
DE19947252A1 (de) * | 1999-09-30 | 2001-05-03 | Bosch Gmbh Robert | Vorrichtung und Verfahren zur Steuerung einer Antriebseinheit |
US6317674B1 (en) | 1996-06-20 | 2001-11-13 | Itt Manufacturing Enterprises, Inc. | Acquisition and evaluation of measured variables which are critical for safety |
US6502019B1 (en) | 1998-01-07 | 2002-12-31 | Continental Teves Ag & Co., Ohg | Electronic digital device employing fault detection |
WO2007017445A1 (de) * | 2005-08-11 | 2007-02-15 | Continental Teves Ag & Co. Ohg | Mikroprozessorsystem zur steuerung bzw. regelung von zumindest zum teil sicherheitskritischen prozessen |
EP1804144A1 (de) * | 2005-12-20 | 2007-07-04 | Robert Bosch Gmbh | Überprüfung des Steuerprogramms eines Steuergerätes für eine Maschine |
DE102007045398A1 (de) * | 2007-09-21 | 2009-04-02 | Continental Teves Ag & Co. Ohg | Integriertes Mikroprozessorsystem für sicherheitskritische Regelungen |
CN101900775A (zh) * | 2009-05-28 | 2010-12-01 | 株式会社山武 | 组件间信号传达装置 |
DE102009058518A1 (de) * | 2009-12-16 | 2011-06-22 | Siemens Aktiengesellschaft, 80333 | Verfahren und Vorrichtung zum Überwachen eines Produktion-Steuerrechners |
US8365037B2 (en) | 2007-01-03 | 2013-01-29 | GM Global Technology Operations LLC | Vehicle parameter infrastructure security strategy |
US8412409B2 (en) | 2003-10-08 | 2013-04-02 | Continental Teves Ag & Co. Ohg | Integrated microprocessor system for safety-critical regulations |
DE102016007149A1 (de) * | 2016-06-10 | 2017-12-14 | Wabco Gmbh | Verfahren zum Überwachen einer ABS-Regelung in einem elektrisch steuerbaren Bremssystem sowie elektronisch steuerbares Bremssystem |
WO2019210964A1 (en) * | 2018-05-03 | 2019-11-07 | Volvo Truck Corporation | Redundant motion control for a vehicle with a redundant braking arrangement |
Families Citing this family (33)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19631309A1 (de) * | 1996-08-02 | 1998-02-05 | Teves Gmbh Alfred | Mikroprozessoranordnung für ein Fahrzeug-Regelungssystem |
DE19826875A1 (de) * | 1998-06-17 | 1999-12-23 | Heidenhain Gmbh Dr Johannes | Numerische Steuerung mit einem räumlich getrennten Eingabegerät |
TR199902280A2 (xx) * | 1999-09-17 | 2001-02-21 | Netaş Northem Electric Telecommuni̇cation A.Ş. | Eş zamanlama devresi. |
DE10001395A1 (de) * | 2000-01-14 | 2001-08-02 | Infineon Technologies Ag | Codierverfahren zur Codierung von Aktoren-Steuerbefehlen und Aktorensteuereinheit zur Steuerung von Aktoren |
DE10053820A1 (de) | 2000-10-30 | 2002-05-29 | Pilz Gmbh & Co | Elektronisches Sicherheitsschaltgerät |
DE10118262A1 (de) * | 2001-04-12 | 2002-10-17 | Bosch Gmbh Robert | Elektrisches Bremssystem |
KR100947791B1 (ko) * | 2001-12-11 | 2010-03-15 | 콘티넨탈 테베스 아게 운트 코. 오하게 | 멀티-코어 중복 제어 컴퓨터 시스템, 모터 차량의 안전에 중요한 어플리케이션을 위한 컴퓨터 네트워크, 및 그 용도 |
DE10206068B4 (de) * | 2002-02-13 | 2005-06-09 | Elan Schaltelemente Gmbh & Co. Kg | System zur Übertragung von digitalen Daten zwischen Komponenten eines Steuerungssystems |
DE10234944B4 (de) * | 2002-07-31 | 2004-10-28 | Infineon Technologies Ag | Verfahren zum Testen eines Halbleiterspeichers mit mehreren Speicherbänken |
GB2395241B (en) * | 2002-11-12 | 2004-12-29 | Knorr Bremse Systeme | Electronic control apparatus for a vehicle |
US20040223874A1 (en) * | 2003-03-31 | 2004-11-11 | Canon Kabushiki Kaisha | Biochemical reaction cartridge |
US7467035B2 (en) * | 2004-05-18 | 2008-12-16 | Haldex Brake Products Ltd. | Vehicle control system with redundant storage of vehicle control parameters |
DE102006008958A1 (de) * | 2005-03-10 | 2006-09-28 | Continental Teves Ag & Co. Ohg | Elektronisches Kraftfahrzeugbremsensteuergerät |
CN101243401A (zh) * | 2005-08-11 | 2008-08-13 | 大陆-特韦斯贸易合伙股份公司及两合公司 | 用于控制或调节至少部分安全关键处理的微处理器系统 |
KR20080033393A (ko) * | 2005-08-11 | 2008-04-16 | 콘티넨탈 테베스 아게 운트 코. 오하게 | 적어도 부분적으로 안전-결정적 프로세스들을 제어 또는조정하기 위한 마이크로프로세서 시스템 |
WO2007064781A2 (en) * | 2005-11-30 | 2007-06-07 | Kelsey-Hayes Company | Microprocessor memory management |
US8527681B2 (en) * | 2007-05-25 | 2013-09-03 | Freescale Semiconductor, Inc. | Data processing system, data processing method, and apparatus |
JP5029168B2 (ja) * | 2007-06-25 | 2012-09-19 | 富士通株式会社 | 音声読み上げのための装置、プログラム及び方法 |
US9207661B2 (en) * | 2007-07-20 | 2015-12-08 | GM Global Technology Operations LLC | Dual core architecture of a control module of an engine |
DE102008003440A1 (de) * | 2008-01-07 | 2009-07-09 | Kuka Roboter Gmbh | Verfahren zur Fehlererkennung in einem Steuerungssystem eines medizinischen Behandlungs- und/oder Diagnosegeräts |
WO2009090502A1 (en) | 2008-01-16 | 2009-07-23 | Freescale Semiconductor, Inc. | Processor based system having ecc based check and access validation information means |
US8090984B2 (en) * | 2008-12-10 | 2012-01-03 | Freescale Semiconductor, Inc. | Error detection and communication of an error location in multi-processor data processing system having processors operating in Lockstep |
US8185773B2 (en) * | 2008-12-31 | 2012-05-22 | Stmicroelectronics S.R.L. | Processor system employing a signal acquisition managing device and signal acquisition managing device |
US8069367B2 (en) * | 2009-05-05 | 2011-11-29 | Lockheed Martin Corporation | Virtual lock stepping in a vital processing environment for safety assurance |
US8478478B2 (en) * | 2009-07-31 | 2013-07-02 | Stmicroelectronics S.R.L. | Processor system and fault managing unit thereof |
US8187979B2 (en) * | 2009-12-23 | 2012-05-29 | Varian Semiconductor Equipment Associates, Inc. | Workpiece patterning with plasma sheath modulation |
JP5404437B2 (ja) * | 2010-01-13 | 2014-01-29 | 株式会社東芝 | 安全出力装置 |
JP5404442B2 (ja) * | 2010-01-18 | 2014-01-29 | 株式会社東芝 | 安全入力装置 |
DE102011086530A1 (de) * | 2010-11-19 | 2012-05-24 | Continental Teves Ag & Co. Ohg | Mikroprozessorsystem mit fehlertoleranter Architektur |
DE102013012497A1 (de) * | 2013-07-26 | 2015-01-29 | Wabco Gmbh | Verfahren und elektronische Schaltungsanordnung zur redundanten Signalverarbeitung einer sicherheitsrelevanten Anwendung, Kraftfahrzeugbremssystem und Kraftfahrzeug damit sowie Verwendung einer derartigen elektronischen Schaltungsanordnung |
US10974746B2 (en) * | 2017-03-20 | 2021-04-13 | General Electric Technology Gmbh | System and method for remote control of locomotives |
US11163303B2 (en) * | 2018-02-13 | 2021-11-02 | Nvidia Corporation | Sharing sensor data between multiple controllers to support vehicle operations |
US20190299955A1 (en) * | 2018-03-29 | 2019-10-03 | Veoneer Us Inc. | Autonomous vehicle brake system |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE3024370C2 (de) * | 1980-06-27 | 1987-01-02 | Siemens AG, 1000 Berlin und 8000 München | Redundantes Steuersystem |
DE3234637C2 (de) * | 1982-09-18 | 1990-10-18 | Alfred Teves Gmbh, 6000 Frankfurt, De | |
DE4101598A1 (de) * | 1990-02-16 | 1991-08-22 | Teves Gmbh Alfred | Schaltungsanordnung fuer eine blockiergeschuetzte bremsanlage |
DE4117099A1 (de) * | 1991-03-30 | 1992-10-01 | Teves Gmbh Alfred | Schaltungsanordnung fuer einen regler |
DE4122016A1 (de) * | 1991-07-03 | 1993-01-21 | Hella Kg Hueck & Co | Antiblockierregelsystem |
DE4137124A1 (de) * | 1991-11-12 | 1993-05-13 | Teves Gmbh Alfred | Schaltungsanordnung fuer eine bremsanlage mit blockierschutz- und/oder antriebsschlupfregelung |
DE4212337A1 (de) * | 1992-04-13 | 1993-10-14 | Bosch Gmbh Robert | Sicherheitsanlage für ein Fahrzeug |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US3579200A (en) * | 1969-07-30 | 1971-05-18 | Ibm | Data processing system |
US3618015A (en) * | 1970-06-30 | 1971-11-02 | Gte Automatic Electric Lab Inc | Apparatus for discriminating between errors and faults |
DE2612100A1 (de) * | 1976-03-22 | 1977-10-06 | Siemens Ag | Digitale datenverarbeitungsanordnung, insbesondere fuer die eisenbahnsicherungstechnik |
DE2614016A1 (de) * | 1976-04-01 | 1977-10-06 | Teldix Gmbh | Antiblockierregelsystem |
DE2701924C3 (de) * | 1977-01-19 | 1987-07-30 | Standard Elektrik Lorenz Ag, 7000 Stuttgart | Steuereinrichtung für spurgebundene Fahrzeuge |
US4358823A (en) * | 1977-03-25 | 1982-11-09 | Trw, Inc. | Double redundant processor |
US4277844A (en) * | 1979-07-26 | 1981-07-07 | Storage Technology Corporation | Method of detecting and correcting errors in digital data storage systems |
AU568977B2 (en) * | 1985-05-10 | 1988-01-14 | Tandem Computers Inc. | Dual processor error detection system |
JPH061402B2 (ja) * | 1987-03-20 | 1994-01-05 | 住友電気工業株式会社 | 多重系制御回路 |
EP0348240B1 (de) * | 1988-06-24 | 1996-05-08 | Nec Corporation | Mit einer Paritätsteuerungseinheit auf demselben Chip bestückter Mikroprozessor |
JPH0484348A (ja) * | 1990-07-27 | 1992-03-17 | Nec Corp | Romデータ保護方式 |
GB9101227D0 (en) * | 1991-01-19 | 1991-02-27 | Lucas Ind Plc | Method of and apparatus for arbitrating between a plurality of controllers,and control system |
US5265944A (en) * | 1991-09-23 | 1993-11-30 | Allied-Signal, Inc. | Wheel speed verification system |
DE4136338A1 (de) * | 1991-11-05 | 1993-05-06 | Robert Bosch Gmbh, 7000 Stuttgart, De | Verfahren und vorrichtung zur fehlerbehandlung in elektronischen steuergeraeten |
JP2790034B2 (ja) * | 1994-03-28 | 1998-08-27 | 日本電気株式会社 | 非運用系メモリ更新方式 |
-
1993
- 1993-12-02 DE DE4341082A patent/DE4341082A1/de not_active Withdrawn
-
1994
- 1994-11-04 US US08/647,935 patent/US5862502A/en not_active Expired - Lifetime
- 1994-11-04 EP EP95900669A patent/EP0731937B1/de not_active Expired - Lifetime
- 1994-11-04 JP JP7515353A patent/JPH09509269A/ja not_active Ceased
- 1994-11-04 DE DE59406518T patent/DE59406518D1/de not_active Expired - Lifetime
- 1994-11-04 WO PCT/EP1994/003623 patent/WO1995015518A1/de active IP Right Grant
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE3024370C2 (de) * | 1980-06-27 | 1987-01-02 | Siemens AG, 1000 Berlin und 8000 München | Redundantes Steuersystem |
DE3234637C2 (de) * | 1982-09-18 | 1990-10-18 | Alfred Teves Gmbh, 6000 Frankfurt, De | |
DE4101598A1 (de) * | 1990-02-16 | 1991-08-22 | Teves Gmbh Alfred | Schaltungsanordnung fuer eine blockiergeschuetzte bremsanlage |
DE4117099A1 (de) * | 1991-03-30 | 1992-10-01 | Teves Gmbh Alfred | Schaltungsanordnung fuer einen regler |
DE4122016A1 (de) * | 1991-07-03 | 1993-01-21 | Hella Kg Hueck & Co | Antiblockierregelsystem |
DE4137124A1 (de) * | 1991-11-12 | 1993-05-13 | Teves Gmbh Alfred | Schaltungsanordnung fuer eine bremsanlage mit blockierschutz- und/oder antriebsschlupfregelung |
DE4212337A1 (de) * | 1992-04-13 | 1993-10-14 | Bosch Gmbh Robert | Sicherheitsanlage für ein Fahrzeug |
Non-Patent Citations (9)
Title |
---|
JOHNSON,Barry W.: Design and Analysis of Fault-To-lerant Digital Systems, Addison-Wesley Publishing Company, 1989, S.81-92, S.315-319 * |
KLING, Uwe * |
NIKOLAIZIK, Jürgen * |
NIX, H.G.: Sichere Steuerungen in Mikroprozessor- technik. In: messen + prüfen/automatik,Juli/August1984, S.368-370 * |
NIX, Heinz Gerhard: Weniger Ausfälle und hohe Si- cherheit durch redundante Automatisierungssysteme.In: Siemens Energie & Automation 8,1986,H.1,S.2-4 * |
Patents Abstracts of Japan: * |
SCHRODI,Ewald: Redundantes,hochverfüg-bares Automatisierungssystem AS220H im dezentralenProzeßleitsystem Teleperm M. In: Siemens-Energie- technik 5, 1983, H.2, S.73-76 * |
u.a.: Fehlertolerante Mikro- computersysteme, Verlag Technik GmbH Berlin, 1990,S.68-77 * |
WOBIG, Karl-Heinz: Vom Sinn (und Unsinn) der Di- versität bei sicheren Steuerungen. In: ZEV-Glas. Ann. 110, 1986, Nr. 12, S. 417-422 * |
Cited By (39)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1997002972A1 (de) * | 1995-07-11 | 1997-01-30 | Itt Automotive Europe Gmbh | Erfassung und auswertung von sicherheitskritischen messgrössen |
DE19525217A1 (de) * | 1995-07-11 | 1997-01-16 | Teves Gmbh Alfred | Erfassung und Auswertung von sicherheitskritischen Meßgrößen |
DE19529434B4 (de) * | 1995-08-10 | 2009-09-17 | Continental Teves Ag & Co. Ohg | Microprozessorsystem für sicherheitskritische Regelungen |
DE19529434A1 (de) * | 1995-08-10 | 1997-02-13 | Teves Gmbh Alfred | Microprozessorsystem für sicherheitskritische Regelungen |
US6201997B1 (en) | 1995-08-10 | 2001-03-13 | Itt Manufacturing Enterprises, Inc. | Microprocessor system for safety-critical control systems |
DE19626385A1 (de) * | 1995-09-21 | 1997-03-27 | Baranski Sicherheitstechn Gmbh | Anordnung zur Übertragung einer Ereignismeldung und/oder einer Zustandsmeldung |
DE19626385C2 (de) * | 1995-09-21 | 1999-12-02 | Baranski Sicherheitstechn Gmbh | Anordnung zur Übertragung einer Ereignismeldung und/oder einer Zustandsmeldung |
EP0785489A3 (de) * | 1995-12-26 | 1999-12-29 | Carrier Corporation | System zur Verarbeitung von Steuerinformationen von Heizungs-, Lüftungs- und Klimaanlagen |
US6317674B1 (en) | 1996-06-20 | 2001-11-13 | Itt Manufacturing Enterprises, Inc. | Acquisition and evaluation of measured variables which are critical for safety |
DE19640107A1 (de) * | 1996-09-28 | 1998-04-09 | Teves Gmbh Alfred | Überwachungseinrichtung für Fahrzeugbremssysteme mit einem Bremskraftverstärker |
US6823251B1 (en) | 1997-04-18 | 2004-11-23 | Continental Teves Ag & Co., Ohg | Microprocessor system for safety-critical control systems |
WO1998048326A1 (de) * | 1997-04-18 | 1998-10-29 | Continental Teves Ag & Co. Ohg | Mikroprozessorsystem für sicherheitskritische regelungen |
DE19716197A1 (de) * | 1997-04-18 | 1998-10-22 | Itt Mfg Enterprises Inc | Mikroprozessorsystem für sicherheitskritische Regelungen |
WO1998049038A1 (de) * | 1997-04-28 | 1998-11-05 | Continental Teves Ag & Co. Ohg | Schaltungsanordnung für ein kraftfahrzeug-regelungssystem |
DE19717686A1 (de) * | 1997-04-28 | 1998-10-29 | Itt Mfg Enterprises Inc | Schaltungsanordnung für ein Kraftfahrzeug-Regelungssystem |
US6410993B1 (en) | 1997-04-28 | 2002-06-25 | Continental Teves Ag & Co., Ohg | Circuit configuration for a motor vehicle control system |
WO1998053374A1 (de) * | 1997-05-16 | 1998-11-26 | Continental Teves Ag & Co. Ohg | Mikroprozessorsystem für kfz-regelungssysteme |
US6275752B1 (en) | 1997-05-16 | 2001-08-14 | Continental Teves Ag & Co., Ohg | Microprocessor system for automobile control systems |
US6502019B1 (en) | 1998-01-07 | 2002-12-31 | Continental Teves Ag & Co., Ohg | Electronic digital device employing fault detection |
WO1999056187A1 (de) * | 1998-04-23 | 1999-11-04 | Dr. Johannes Heidenhain Gmbh | Verfahren und anordnung zur auswahl von zu überwachenden sicherheitsparametern |
US6445965B1 (en) | 1998-04-23 | 2002-09-03 | Johannes Heidenhain Gmbh | Method and arrangement for selecting safety parameters to be monitored |
US6604006B2 (en) | 1998-06-10 | 2003-08-05 | Siemens Aktiengesellschaft | Control device in a system and method for monitoring a controller |
WO1999064938A1 (de) * | 1998-06-10 | 1999-12-16 | Siemens Aktiengesellschaft | Steuereinrichtung für eine maschine, anlage oder ein gerät, sowie verfahren zum überwachen einer steuerung |
DE19947252A1 (de) * | 1999-09-30 | 2001-05-03 | Bosch Gmbh Robert | Vorrichtung und Verfahren zur Steuerung einer Antriebseinheit |
US8412409B2 (en) | 2003-10-08 | 2013-04-02 | Continental Teves Ag & Co. Ohg | Integrated microprocessor system for safety-critical regulations |
WO2007017445A1 (de) * | 2005-08-11 | 2007-02-15 | Continental Teves Ag & Co. Ohg | Mikroprozessorsystem zur steuerung bzw. regelung von zumindest zum teil sicherheitskritischen prozessen |
EP1804144A1 (de) * | 2005-12-20 | 2007-07-04 | Robert Bosch Gmbh | Überprüfung des Steuerprogramms eines Steuergerätes für eine Maschine |
US8365037B2 (en) | 2007-01-03 | 2013-01-29 | GM Global Technology Operations LLC | Vehicle parameter infrastructure security strategy |
US8549352B2 (en) | 2007-09-21 | 2013-10-01 | Continental Teves Ag & Co. Ohg | Integrated microprocessor system for safety-critical control systems including a main program and a monitoring program stored in a memory device |
DE102007045398A1 (de) * | 2007-09-21 | 2009-04-02 | Continental Teves Ag & Co. Ohg | Integriertes Mikroprozessorsystem für sicherheitskritische Regelungen |
US8341508B2 (en) | 2009-05-28 | 2012-12-25 | Azbil Corporation | System for sending signals between modules |
EP2256565A3 (de) * | 2009-05-28 | 2011-01-26 | Yamatake Corporation | System zum Senden von Signalen zwischen Modulen |
CN101900775A (zh) * | 2009-05-28 | 2010-12-01 | 株式会社山武 | 组件间信号传达装置 |
CN101900775B (zh) * | 2009-05-28 | 2013-05-29 | 阿自倍尔株式会社 | 组件间信号传达装置 |
DE102009058518A1 (de) * | 2009-12-16 | 2011-06-22 | Siemens Aktiengesellschaft, 80333 | Verfahren und Vorrichtung zum Überwachen eines Produktion-Steuerrechners |
DE102016007149A1 (de) * | 2016-06-10 | 2017-12-14 | Wabco Gmbh | Verfahren zum Überwachen einer ABS-Regelung in einem elektrisch steuerbaren Bremssystem sowie elektronisch steuerbares Bremssystem |
US11472390B2 (en) | 2016-06-10 | 2022-10-18 | Zf Cv Systems Europe Bv | Method for monitoring an ABS control procedure in an electrically controllable brake system and electronically controllable brake system |
WO2019210964A1 (en) * | 2018-05-03 | 2019-11-07 | Volvo Truck Corporation | Redundant motion control for a vehicle with a redundant braking arrangement |
US11691609B2 (en) | 2018-05-03 | 2023-07-04 | Volvo Truck Corporation | Redundant motion control for a vehicle with a redundant braking arrangement |
Also Published As
Publication number | Publication date |
---|---|
EP0731937B1 (de) | 1998-07-22 |
JPH09509269A (ja) | 1997-09-16 |
WO1995015518A1 (de) | 1995-06-08 |
DE59406518D1 (de) | 1998-08-27 |
US5862502A (en) | 1999-01-19 |
EP0731937A1 (de) | 1996-09-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE4341082A1 (de) | Schaltungsanordnung für sicherheitskritische Regelungssysteme | |
EP0976012B1 (de) | Mikroprozessorsystem für sicherheitskritische regelungen | |
DE19529434B4 (de) | Microprozessorsystem für sicherheitskritische Regelungen | |
DE60006031T2 (de) | Speicherfehlerkorrektur mit einem redundanten geschnittenen Speicher und Standard ECC Mechanismus | |
EP0981783B1 (de) | Mikroprozessorsystem für kfz-regelungssysteme | |
EP1046088B1 (de) | Elektronische, digitale einrichtung | |
DE69112624T2 (de) | Mehrfehlerkorrektur eines rechnerspeichers. | |
DE69126057T2 (de) | Ein Informationsverarbeitungsgerät mit einer Fehlerprüf- und Korrekturschaltung | |
DE3702006A1 (de) | Speichervorrichtung | |
DE2430464A1 (de) | Einrichtung zur fehlergesicherten datenuebertragung | |
DE2225841C3 (de) | Verfahren und Anordnung zur systematischen Fehlerprüfung eines monolithischen Halbleiterspeichers | |
DE102006005817B4 (de) | Fehlererkennungsvorrichtung für einen Adressdecoder und Vorrichtung zur Fehlererkennung für einen Adressdecoder | |
WO2002093287A2 (de) | Verfahren, mikroprozessorsystem für sicherheitskritische regelungen und dessen verwendung | |
DE68918840T2 (de) | Fehlererkennung für teilschreiboperationen für speicher. | |
DE3587374T2 (de) | Halbleiterspeichergeraet mit einer bit-fehlererkennungsfunktion. | |
EP1588380B1 (de) | Verfahren zur erkennung und/oder korrektur von speicherzugriffsfehlern und elektronische schaltungsanordnung zur durchführung des verfahrens | |
WO2001022225A1 (de) | Verfahren und schaltungsanordnung zum speichern von datenworten in einem ram modul | |
DE102006036386A1 (de) | Mikroprozessorsystem zur Steuerung bzw. Regelung von zumindest zum Teil sicherheitskritischen Prozessen | |
DE69619373T2 (de) | Verfahren und gerät um fehlercodes wirksam zu speichern | |
DE102006036384A1 (de) | Mikroprozessorsystem zur Steuerung bzw. Regelung von zumindest zum Teil sicherheitskritischen Prozessen | |
DE10340236B4 (de) | Anordnung mit einer Datenverarbeitungseinrichtung und einem Speicher | |
DE3433679C2 (de) | ||
EP0453609B1 (de) | Verfahren zum Testen einer kleinsten adressierbaren Einheit eines RAM's auf über einer bestimmten Zahl liegende Bitfehler | |
EP0294678B1 (de) | Sicherungseinrichtung zum Absichern von Daten in Speichereinheiten einer Datenverarbeitungsanlage unter Verwendung eines Fehlererkennungs- und Fehlerkorrekturcodes | |
EP1019824B1 (de) | Verfahren zum erzeugen eines fehlerkennzeichnungssignals im datenbestand eines speichers und hierzu geeignete einrichtung |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OM8 | Search report available as to paragraph 43 lit. 1 sentence 1 patent law | ||
8127 | New person/name/address of the applicant |
Owner name: CONTINENTAL TEVES AG & CO. OHG, 60488 FRANKFURT, D |
|
8141 | Disposal/no request for examination |