DE4430177A1 - Überwachungsvorrichtung für einen Prozessor - Google Patents

Überwachungsvorrichtung für einen Prozessor

Info

Publication number
DE4430177A1
DE4430177A1 DE19944430177 DE4430177A DE4430177A1 DE 4430177 A1 DE4430177 A1 DE 4430177A1 DE 19944430177 DE19944430177 DE 19944430177 DE 4430177 A DE4430177 A DE 4430177A DE 4430177 A1 DE4430177 A1 DE 4430177A1
Authority
DE
Germany
Prior art keywords
processor
circuit
output
comparator
code
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE19944430177
Other languages
English (en)
Inventor
Stephen John Priddey
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Smiths Group PLC
Original Assignee
Smiths Group PLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Smiths Group PLC filed Critical Smiths Group PLC
Publication of DE4430177A1 publication Critical patent/DE4430177A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0763Error or fault detection not based on redundancy by bit configuration check, e.g. of formats or tags

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)
  • Debugging And Monitoring (AREA)

Description

Die Erfindung bezieht sich auf Überwachungsvorrichtungen für einen Prozessor nach dem Oberbegriff des Anspruchs 1.
In vielen Anwendungsfällen ist es wichtig, den Betrieb eines Prozessors zu überwa­ chen, um einen fehlerhaften Betrieb detektieren zu können. Bei einem Duplexsystem kann die Detektion eines fehlerhaften Betriebs dazu verwendet werden, den fehler­ haften Prozessor abzuschalten und auf einen alternativen Prozessor umzuschalten. Ein fehlerhafter Betrieb des Prozessors kann mit Hilfe einer Beobachtungsschaltung erfaßt werden. Diese Beobachtungsschaltung wird in periodischen Abständen von dem Prozessor angesteuert und ein Fehlen dieser Ansteuerung führt zu einem Unter­ brechen oder Zurücksetzen des Prozessors. Dies kann zu einem unbestimmten Aus­ gangssignal des Prozessors während des Betriebs der Beobachtungsschaltung führen und einen Sicherheitsalarm auslösen, während der Prozessor seinen Normalbetrieb wieder aufnimmt.
Es besteht daher die Aufgabe, eine Überwachungsvorrichtung so auszubilden, daß kein unbestimmtes Ausgangssignal auftritt.
Gelöst wird diese Aufgabe mit dem kennzeichnenden Merkmal des Anspruchs 1. Vorteilhafte Ausgestaltungen sind den Unteransprüchen entnehmbar.
Ein Ausführungsbeispiel der Erfindung wird im folgenden unter Bezugnahme auf die Zeichnung näher beschrieben, welche einen schematischen Schaltplan der Vor­ richtung zeigt.
Die Vorrichtung umfaßt einen Prozessor 1, dessen Ausgang über eine Beobachtungs­ schaltung 3 an eine zugeordnete Apparatur 2 angeschlossen ist. Die Beobachtungs­ schaltung 3 überwacht den korrekten Betrieb des Prozessors 1 und verhindert den Zugang des Prozessorausgangssignals zu der Apparatur, wenn sie einen fehlerhaf­ ten Betrieb detektiert. Die Beobachtungsschaltung 3 kann auch zu einem (nicht dargestellten) alternativen Prozessor zur Kontrolle der Apparatur umschalten.
Die Beobachtungsschaltung 3 verfügt über ein logisches Gatter 30 innerhalb eines Schaltkreises 31. Das logische Gatter 30 hat zwei Eingänge, von denen einer an den Ausgang des Prozessors 1 angeschlossen ist. Der Ausgang des Gatters 30 bildet den Eingang zu der Apparatur 2.
Der Schaltkreis 31 beinhaltet auch eine Serienanordnung zweier monostabiler Schal­ tungen 32 und 33, welche das andere Eingangssignal des logischen Gatters 30 lie­ fern. Die erste monostabile Schaltung 32 ist an den Ausgang eines UND-Gatters 34 angeschlossen, dessen beide Eingänge an entsprechende Komparatoren 35 und 55 angeschlossen sind. Der Komparator 35 hat zwei Eingänge 37 und 38, welche beide entsprechende Codeworte empfangen. Das Codewort des einen Eingangs 37 wird von einer Schaltung 39 gebildet, die unabhängig von dem Prozessor 1 und vorzugsweise als einfache festverdrahtete Schaltung ausgebildet ist. Der andere Eingang 38 wird von dem Prozessor 1 selbst abgeleitet, beispielsweise durch einen von dem Prozessor ausgeführten Algorithmus, wie er in der Zeichnung als Block 40 dargestellt ist. Der von dem Algorithmus 40 abgeleitete Code ist mit dem am anderen Eingang 37 so lange identisch, wie der Prozessor 1 korrekt funktioniert, unterscheidet sich jedoch von dem festverdrahteten Code, wenn der Prozessor fehlerhaft arbeitet. Das Ergeb­ nis des Algorithmus 40 wird dem Komparator 35 alternierend direkt und indirekt über eine Korruptionseinheit 41, welche den Code ändert, zugeführt. Die Korrupti­ onseinheit 41 kann beispielsweise ein zusätzlicher Schritt in dem Algorithmus sein, der das Komplement des Codes erzeugt.
Der zweite Komparator 55 hat ebenfalls zwei Eingänge 57 und 58, welche Codeworte von einer von dem Prozessor 1 unabhängigen Schaltung 59 und vom dem Prozessor selbst empfangen. Der dem zweiten Komparator 55 zugeführte Code unterschei­ det sich von dem dem ersten Komparator 35 zugeführten und kann durch einen verschiedenen Algorithmus 50 oder durch Modifikation des Algorithmus 40 erzeugt werden.
Bei normalem, korrektem Betrieb des Prozessors 1 erzeugt dieser zwei Ausgangs­ signale zu je einem Eingang 38 und 58 der entsprechenden Komparatoren 35 und 55. Die Ausgänge des Prozessors 1 wechseln sich alternierend ab von einem identi­ schen und einem verschiedenen Zustand der Eingänge 37 und 57 der entsprechenden Komparatoren. Auf diese Weise schalten die Ausgänge der Komparatoren 35 und 55 beide gleichzeitig zwischen einem "hohen" Ausgangssignal und einem "tiefen" Ausgangssignal, wenn sich das Ausgangssignal des Prozessors 1 ändert. Diese bei­ den alternierenden Signale werden dem UND-Gatter 34 zugeführt, so daß dessen Ausgang auf "hoch" umschaltet, wenn beide Eingänge "hoch" sind und ansonsten bei "tief" verbleibt. Bei normalem Betrieb ist daher das Ausgangssignal des Gatters 34 ein alternierendes, gepulstes Signal bei der Frequenz, mit welcher sich der Prozes­ sorausgang ändert. Dieses Ausgangssignal wird der ersten monostabilen Schaltung 32 zugeführt, welche eine kurze Zeitkonstante aufweist und an ihrem Eingang durch einen Übergang von "tief" nach "hoch" getriggert wird. Demzufolge wird jedesmal, wenn der Prozessor 1 einen korrekten Codeausgang erzeugt, am Ausgang der ersten monostabilen Schaltung 32 ein Impuls geliefert. Der Impuls wird gelöscht, falls die Codeworte von dem Prozessor 1 einen genügend hohen zeitlichen Abstand für die Zeitkonstante der monostabilen Schaltung 32 haben. Der Ausgang der ersten mo­ nostabilen Schaltung 32 wird dem Eingang der zweiten monostabilen Schaltung 33 zugeführt, welche eine längere Zeitkonstante hat, typischerweise einige Sekunden. Der Ausgang der zweiten monostabilen Schaltung 33 geht auf "hoch", wenn diese Ausgangsimpulse von der ersten monostabilen Schaltung 32 empfängt und verbleibt "hoch" so lange sie weitere Ausgangsimpulse von der ersten monostabilen Schaltung innerhalb der Dauer der Zeitkonstanten empfängt.
Wenn eines der korrekten Codeworte von dem Prozessor 1 nicht mehr gesendet wird, schaltet der Ausgang des entsprechenden Komparators 35 oder 55 auf "tief" und das UND-Gatter 34 schließt, wodurch die zweite monostabile Schaltung 33 keine Impulse mehr von der ersten monostabilen Schaltung 32 erhält. Der Ausgang der zweiten monostabilen Schaltung 33 schaltet damit auf "tief", nachdem ihre Zeitkonstante verstrichen ist. Hierdurch schließt sich das logische Gatter 30 und verhindert damit die Weiterleitung des Prozessorausgangssignals an die zugeordnete Apparatur 2.
Wenn die korrekten Codeworte von dem Prozessor 1 zu schnell erzeugt werden, kann dies auch auf einem Fehler des Prozessors 1 beruhen. Dies wird auch durch die Beobachtungsschaltung 3 detektiert, wenn die Frequenz der Codeworte des Pro­ zessors 1 so hoch ist, daß der Abstand zwischen den Codeworten geringer ist als die Zeitkonstante der ersten monostabilen Schaltung 32. Dies würde zu einem konti­ nuierlichen "hoch"-Ausgang der ersten monostabilen Schaltung 32 führen und die zweite monostabile Schaltung nicht mehr triggern, weil nur ein Übergang von einem "tiefen" zu einem "hohen" Eingang vorkäme. Die Schaltung 31 ermöglicht damit die Zuführung des Ausgangssignals des Prozessors 1 zu der Apparatur 2 solange der Ausgang der Komparatoren 35 und 55 innerhalb eines vorbestimmten Bereichs alterniert.
Das Gatter 30 kann auch einen invertierenden Ausgang aufweisen, so daß ein "hohes" Ausgangssignal des Prozessors 1 bei korrekter Funktion ein "tiefes" Ausgangssignal der Beobachtungsschaltung bewirkt.
Die Beobachtungsschaltung kann anstelle der beiden beschriebenen Komparatoren 35 und 55 auch nur einen einzelnen Komparator aufweisen.

Claims (6)

1. Überwachungsvorrichtung für einen Prozessor (1) mit einer elektronischen Schaltung (3) zur Überwachung des korrekten Betriebs des Prozessors (1) und zur Verhinderung der Zuführung eines fehlerhaften Ausgangs des Prozessors (1) zu einer zugeordneten Apparatur (2), wobei die Überwachungsschaltung ei­ nen zwischen dem Ausgang des Prozessors (1) und der zugeordneten Apparatur (2) angeordneten Schalter (31) aufweist, dadurch gekennzeichnet, daß die Schaltung (3) einen Komparator (35) umfaßt sowie einen Schaltkreis (39) zur Zuführung eines ersten Codes zu einem Eingang des Komparators (35), der Prozessor (1) einem zweiten Eingang des Komparators (35) periodisch und alternierend einen zweiten Code zuführt, welcher mit dem ersten Code no­ minell identisch und abhängig von dem korrekten Betrieb des Prozessors (1) ist, sowie ein von dem zweiten Code verschiedenes Reset-Signal, wodurch der Ausgang des Komparators (35) zwischen zwei verschiedenen Zuständen alter­ niert, der Schalter (31) auf den Ausgang des Komparators (35) anspricht und die Zuführung des Prozessorausgangs zu der zugeordneten Apparatur (2) nur so lange ermöglicht, wie der Ausgang des Komparators (35) innerhalb eines vorbestimmten Bereichs alterniert.
2. Vorrichtung nach Anspruch 1, dadurch gekennzeichnet, daß der Schalter (31) eine monostabile Schaltung (32) umfaßt, welche durch den Ausgang des Komparators (35) getriggert ist sowie ein Gatter (30), welches durch einen Ausgang der monostabilen Schaltung (32) kontrolliert ist.
3. Vorrichtung nach Anspruch 2, dadurch gekennzeichnet, daß der Schalter (31) eine erste monostabile Schaltung (32) aufweist, welche bei Triggerung ei­ nen kurzen Impuls erzeugt, eine zweite monostabile Schaltung (33) mit ihrem Eingang an den Ausgang der ersten monostabilen Schaltung (32) angeschlossen ist und die zweite monostabile Schaltung (33) einen längeren Impuls als die erste monostabile Schaltung (32) erzeugt und die zweite monostabile Schal­ tung (33) mit dem Gatter (30) verbunden ist, wodurch bei alternierendem Komparator (35) zur Erzeugung eines kontinuierlichen Ausgangs aus der er­ sten monostabilen Schaltung (32) die zweite monostabile Schaltung (33) nur einen Impuls erzeugt und das Gatter daraufhin den Durchgang von Signalen von dem Prozessor (1) zu der Apparatur (2) sperrt.
4. Vorrichtung nach einem der voranstehenden Ansprüche, dadurch gekenn­ zeichnet, daß sie einen festverdrahteten Schaltkreis (39) zur Erzeugung des ersten Codes aufweist.
5. Vorrichtung nach einem der voranstehenden Ansprüche, dadurch gekenn­ zeichnet, daß der Prozessor (1) eine Korruptionseinheit (41) aufweist und das Reset-Signal ableitet, indem er den zweiten Code durch die Korruptions­ einheit (41) führt.
6. Vorrichtung nach einem der voranstehenden Ansprüche, dadurch gekenn­ zeichnet, daß die Schaltung (3) einen zweiten Komparator (55) und eine Schaltung zur Zuführung eines dritten Codes zu einem Eingang des zweiten Komparators (55) aufweist, der Prozessor (1) periodisch alternierend einen vierten Code dem zweiten Komparator (55) zuführt, welcher nominell iden­ tisch mit dem dritten Code und abhängig von der korrekten Betriebsweise des Prozessors ist und ein von diesem dritten Code verschiedenes Reset-Signal, wo­ durch der Ausgang des zweiten Komparators (55) zwischen zwei verschiedenen Zuständen alterniert, die Schaltung (3) ein Gatter (34) mit an die Ausgänge des ersten und zweiten Komparators (35, 55) angeschlossenen Eingängen auf­ weist und der Ausgang dieses Gatters (34) an den Schalter (31) angeschlossen ist.
DE19944430177 1993-09-28 1994-08-25 Überwachungsvorrichtung für einen Prozessor Withdrawn DE4430177A1 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
GB9319974A GB9319974D0 (en) 1993-09-28 1993-09-28 Electronic circuits and processing systems

Publications (1)

Publication Number Publication Date
DE4430177A1 true DE4430177A1 (de) 1995-03-30

Family

ID=10742639

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19944430177 Withdrawn DE4430177A1 (de) 1993-09-28 1994-08-25 Überwachungsvorrichtung für einen Prozessor

Country Status (3)

Country Link
DE (1) DE4430177A1 (de)
FR (1) FR2710765A1 (de)
GB (2) GB9319974D0 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19847986A1 (de) * 1998-10-17 2000-05-04 Daimler Chrysler Ag Einzelprozessorsystem
US6463546B1 (en) 1996-08-12 2002-10-08 Papst-Motoren Gmbh & Co. Kg Method and apparatus for monitoring a microprocessor
DE10211571B4 (de) * 2002-03-15 2006-03-02 Infineon Technologies Ag Vorrichtung und Verfahren zur Überwachung eines Zustandes einer elektronischen Komponente, insbesondere einer Sicherung

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3210833B2 (ja) * 1995-05-09 2001-09-25 株式会社日立製作所 エラーチェック方法および装置
JP5246230B2 (ja) * 2010-09-13 2013-07-24 株式会社デンソー 車両用電子制御装置

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4398233A (en) * 1982-03-03 1983-08-09 Electronics Corporation Of America Fail-safe device for electronic control circuit
DE3240704A1 (de) * 1982-11-04 1984-05-10 Robert Bosch Gmbh, 7000 Stuttgart Schaltungsanordnung zur ueberwachung von elektronischen rechenbausteinen
JPS59114652A (ja) * 1982-12-21 1984-07-02 Nissan Motor Co Ltd ウォッチドッグ・タイマ回路
GB2197508A (en) * 1986-11-03 1988-05-18 Philips Electronic Associated Data processing system with watchdog
DE3732973A1 (de) * 1987-09-30 1989-04-20 Vdo Schindling Schaltungsanordnung zur fehlerueberwachung zweier rechenergebnisse eines mikroprozessors

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6463546B1 (en) 1996-08-12 2002-10-08 Papst-Motoren Gmbh & Co. Kg Method and apparatus for monitoring a microprocessor
DE19847986A1 (de) * 1998-10-17 2000-05-04 Daimler Chrysler Ag Einzelprozessorsystem
DE19847986C2 (de) * 1998-10-17 2000-10-26 Daimler Chrysler Ag Einzelprozessorsystem
DE10211571B4 (de) * 2002-03-15 2006-03-02 Infineon Technologies Ag Vorrichtung und Verfahren zur Überwachung eines Zustandes einer elektronischen Komponente, insbesondere einer Sicherung
US7483326B2 (en) 2002-03-15 2009-01-27 Infineon Technologies Ag Apparatus and method for monitoring a state, in particular of a fuse

Also Published As

Publication number Publication date
GB9319974D0 (en) 1993-11-17
GB2282250A (en) 1995-03-29
GB9415766D0 (en) 1994-09-28
FR2710765A1 (fr) 1995-04-07

Similar Documents

Publication Publication Date Title
EP0403763A2 (de) Verfahren zum Vernetzen von Rechnern und/oder Rechnernetzen sowie Vernetzungssystem
EP0524330B1 (de) Verfahren zur Fehlererkennung und -lokalisierung von redundanten Signalgebern einer Automatisierungsanlage
DE19847986C2 (de) Einzelprozessorsystem
EP1277095B1 (de) System und verfahren zur überwachung einer einrichtung zum messen, steuern und regeln
WO1988005570A1 (en) Process and device for monitoring computer-controlled final control elements
DE4430177A1 (de) Überwachungsvorrichtung für einen Prozessor
EP0660043B1 (de) Steuereinrichtung zur Betätigung von Schalteinrichtungen nach einem Zeitprogramm
EP0059789B1 (de) Einrichtung zur Funktionsprüfung eines Mehrrechnersystems
DE4403156B4 (de) Verfahren und Vorrichtung zur Durchführung des Verfahrens zur Ansteuerung eines Verbrauchers
EP1025501A1 (de) Verfahren und vorrichtung zur überprüfung einer fehlerüberwachung einer schaltung
EP0046317B1 (de) Verfahren und Einrichtung zur Kurzschluss-Richtungsdetektion
EP0864875B1 (de) Verfahren zur Überprüfung einer Sicherheitsschaltung
EP0815459A1 (de) Schaltungsanordnung und verfahren zum testen von nicht intermittierenden gebern
DE4303048C2 (de) Verfahren und Umschalteinrichtung zum Umschalten zwischen einem Betriebssystem und mindestens einem Reservesystem innerhalb redunant aufgebauten Schaltungen
DE102019126953B3 (de) Steuergerät für ein Fahrzeug
DE3243699C2 (de) Signaltechnisch sicherer paralleler Ausgabevergleicher
DE3138650A1 (de) Verfahren zur ueberwachung einer funkempfangsanlage
DE2712693A1 (de) Antiblockierregelsystem
DE2831960C2 (de) Sicherungseinrichtung für die empfangsseitige Auswerteschaltung einer Datenübertragungsanlage mit sich paarweise ausschließenden Informationen
DE4319750A1 (de) Verfahren und Vorrichtung zur Funktionsüberwachung von Schaltausgängen sowie deren Verwendung
DE19703890C1 (de) Watchdog-Bedienung
EP4116620A1 (de) Überwachungseinrichtung und verfahren zum betrieb einer überwachungseinrichtung
CH668323A5 (de) Datenverarbeitungsanlage mit in zwei kanaelen dieselben daten verarbeitenden rechnern.
CH667746A5 (de) Lichtsignalsteuergeraet fuer verkehrssignalanlagen.
DE2900631B1 (de) Sicherheits-Ausgabeschaltung

Legal Events

Date Code Title Description
8139 Disposal/non-payment of the annual fee