EP0437425A1 - Verfahren und einrichtung zur ausfallüberwachung eines taktsignals - Google Patents

Verfahren und einrichtung zur ausfallüberwachung eines taktsignals

Info

Publication number
EP0437425A1
EP0437425A1 EP19880909294 EP88909294A EP0437425A1 EP 0437425 A1 EP0437425 A1 EP 0437425A1 EP 19880909294 EP19880909294 EP 19880909294 EP 88909294 A EP88909294 A EP 88909294A EP 0437425 A1 EP0437425 A1 EP 0437425A1
Authority
EP
European Patent Office
Prior art keywords
signal
clock
clock signal
test
flip
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
EP19880909294
Other languages
English (en)
French (fr)
Inventor
Hermann-Josef Wiegand
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of EP0437425A1 publication Critical patent/EP0437425A1/de
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R29/00Arrangements for measuring or indicating electric quantities not covered by groups G01R19/00 - G01R27/00
    • G01R29/02Measuring characteristics of individual pulses, e.g. deviation from pulse flatness, rise time or duration
    • G01R29/027Indicating that a pulse characteristic is either above or below a predetermined value or within or beyond a predetermined range of values
    • G01R29/0273Indicating that a pulse characteristic is either above or below a predetermined value or within or beyond a predetermined range of values the pulse characteristic being duration, i.e. width (indicating that frequency of pulses is above or below a certain limit)
    • HELECTRICITY
    • H03ELECTRONIC CIRCUITRY
    • H03KPULSE TECHNIQUE
    • H03K5/00Manipulating of pulses not covered by one of the other main groups of this subclass
    • H03K5/19Monitoring patterns of pulse trains

Definitions

  • the present invention relates to a method and a device for monitoring the failure of a clock signal, which is particularly important in the case of highly secure microprocessors. There, clock errors are to be recognized and, if necessary, the system part which is defective in this regard is to be switched off to prevent repercussions. Cycle monitoring - also known as "watch dogs" - should be able to actively initiate the error response independently.
  • a monostable multivibrator contains, as an essential element, a capacitor, the installation of which in today's highly integrated semiconductor circuits is difficult, if not impossible.
  • the invention has for its object to provide a simple clock signal failure monitoring, which does not require the use of capacitors. This object is achieved according to the invention with the measures specified in the patent claim.
  • FIG. 1 shows exemplary pulse diagrams for explaining the method according to the invention
  • 2 shows an advantageous technical implementation of the method according to the invention
  • FIG. 3 shows a block diagram for mutual failure monitoring of two clock signals
  • FIG. 4 shows a block diagram for clock monitoring in a multiple redundant clock supply system
  • FIG. 5 shows a fault-tolerant variant of the clock monitoring according to FIG. 4.
  • the top line of the pulse diagram shown in FIG. 1 shows the clock signal T to be monitored, the frequency of which is f ⁇ and thus the period duration is l / f ⁇ .
  • the third line of FIG. 1 shows the test clock signal PT with the frequency f p ⁇ or the period l / f p ⁇ .
  • the test cycle duration PZ or the frequency divider ratio with which the frequency of the test clock signal PT is reduced should be selected so that it is equal to or greater than the period of the rectangular pulse train T 1 . This ensures that, with a correct clock supply T, a change in the signal level of those derived from the clock signal T within each test cycle PZ
  • Rectangular pulse sequence T ' occurs, which can be detected by sampling the rectangular signal T' at the time of rising pulse edges of the test clock signal PT. If, for example, an H signal level of the rectangular pulse sequence T 1 is present at the time t on a rising pulse edge of the test clock signal PT, the output AI of a first memory device is opened H signal set, while an L signal level of the rectangular pulse train T 1 at time t would cause an ascending pulse edge of the test clock signal PT at output A2 of a second memory device to produce an H signal. At the end of each test cycle PZ, if the clock supply T is correct, both signals AI and A2 must be H (high) signals.
  • the two memory devices for the level values are reset at the end of each test cycle PZ, which takes place within a negligibly short time t R caused by the signal propagation times of the components used, and a new test cycle PZ can begin. If the clock supply T fails, the output signals AI and A2 of the scan memory devices do not both have an H signal, which can be recognized as a clock error with the output of a corresponding warning signal.
  • clock failure monitoring can be implemented for any values of clock signal frequency and test clock signal frequency if the following conditions are met according to the invention:
  • a division ratio n p ⁇ of 4 was chosen, which can be realized in a very simple manner using a binary divider.
  • a division ratio of 3 would have been possible to fulfill equation (2), which would have shortened the test cycle time PZ and thus would have led to a faster output of a warning signal in the event of a clock signal failure.
  • FIG. 2 shows an advantageous implementation in terms of device technology of a clock monitor TM operating according to the inventive method. It contains four edge-controlled D flip-flops Kl to K4.
  • edge-controlled D flip-flops when the pulse edges of the signal present at control input C rise, the information of the signal present at the D input is adopted and appears as the output signal of output Q assigned to controlled input D.
  • Control inputs C of D flip-flops K1 and K2 are applied to the clock signal T to be monitored at the input terminal 1 via a frequency expensive FT1 with the divider ratio n ⁇ , while the test clock signal PT applied to the input terminal 2 is fed directly to the control inputs C of the D flip-flops K1 and K2 .
  • a second frequency divider FT2 with the divider factor n p ⁇ reduces the frequency of the test clock signal PT and the frequency-reduced voltage corresponding to this divider factor n p ⁇ is fed to the control inputs C of the D flip-flops K3 and K4.
  • the divider factors n ⁇ and n p ⁇ are dimensioned according to equations (1) and (2), the frequency dividers themselves consisting either of repetitive preset counters or of binary dividers.
  • the outputs Q are each fed back to their set inputs S, so that latching is achieved in such a way that, once the output H signal has been received, this state, which is fed back to the set input S, is maintained until on dominating reset input R an H signal is applied.
  • the outputs AI and A2 of the flip-flops Kl and K2 are each connected to the inputs of an AND gate AN and a NAND gate N, the outputs of which act on the D inputs of the Kippglie ⁇ der K3 and K4.
  • the output Q of the flip-flop K3 is connected to the reset inputs R of the flip-flops K1 and K2, while the Q output of the flip-flop K4 is connected to the output terminal 3 for emitting a clock error signal TF in the event of a clock signal failure.
  • RS further input terminal
  • the mode of operation of the clock monitor TM shown in FIG. 2, using the pulse diagrams of FIG. 1, is as follows: If no clock error was found in the previous test cycle PZ, the flip-flops K1 and K2 are reset by the output signal Q of the flip-flop K3, which has an H signal, ie they are then in the state in which their Q outputs each have an L (low) signal. As a result of this, the output signal of the AND gate AN is an L signal which, when inverted and acting on the reset input of the trigger circuit K3, forces an L signal at the Q output thereof.
  • one of the two flip-flops is set, depending on whether the signal level of the rectangular pulse train T 1 is an L or an H signal.
  • the signal level of the rectangular pulse train T 1 is an L signal on a rising pulse edge of the test clock signal PT, which is the case in FIG.
  • the output signal of the AND gate AN consists of an H signal and at the end of the test cycle the rising pulse edge acts the rectangular pulse train PT 1 at the C input of the D flip-flop K3 that an H signal is present at its Q output and a reset of the flip-flops Kl and K2 a new test cycle is prepared, which then runs again in the manner just described.
  • the method according to the invention can be implemented with any frequency relation of the clock signal and test clock signal to be monitored, i.e. the frequency of the clock signal to be monitored can be greater than, equal to or less than the test clock signal. This is used in the further development of the invention shown in FIG. 3 for the simultaneous mutual failure monitoring of the clock and test clock signals, which results in highly reliable clock monitoring.
  • the arrangement shown in FIG. 3 contains, in addition to a first clock monitor TM1 like the clock monitor TM shown in FIG. 2, an additional clock monitor TM2 and is based on the idea of exchanging the roles of clock signal T and test clock signal in this additional clock monitor, ie with the clock signal T, the test clock signal in exactly the same way as in Monitor TMl clock monitor for failure.
  • the test clock signal PT is fed to the clock signal input 1 of the clock monitor TM2 and the clock signal T is fed to the test clock input 2.
  • the error signal outputs 3 of the two clock monitors are connected to indicator lamps L1 and L2 and to the inputs of an OR gate 0, on the latter Output then a failure collective signal FS would appear if the clock signal T or the clock signal PT fails.
  • each clock signal to be monitored has a separate test clock signal with an additional clock monitor according to the arrangement according to FIG. 3 to each clock signal to be monitored.
  • 4 shows an embodiment with which multiple clock supply can be used without such additional clock monitors.
  • each of the clock signals T1 to Tn is used as a test clock signal for another clock signal and is consequently connected to the test clock signal input 2 of the adjacent clock monitor.
  • the clock error outputs 3 are individually monitored by means of indicator lamps and connected to the inputs of an OR gate which, in the event of failure of one of the clock signals T1 to Tn, outputs the error collective signal FS.
  • a malfunction of the clock supply can thus be recognized centrally, identified by means of display lamps or other display devices, and a targeted error reaction can be initiated.
  • 5 shows a fault-tolerant embodiment of the arrangement according to FIG. 4, with which, if one clock signal fails, the mutual monitoring of the remaining clock signals can continue undisturbed. For example, four clock signals T1 to T4 with the associated clock monitors TM1 to TM4 are present, which act on the clock monitors TM1 to TM4 in the manner shown in FIG.
  • each clock signal T1 to T4 is prepared in this way to apply the test clock input 2 of a further adjacent clock monitor when the switch assigned to this input is actuated accordingly, the disturbed clock signal can be removed from the chain of self-monitoring clock signals and the Clock signal monitoring of the other clock signals is still fully secured.

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Nonlinear Science (AREA)
  • Tests Of Electronic Circuits (AREA)

Description

Verfahren und Einrichtung zur Ausfallüberwachung eines Taktsignals
Die vorliegende Erfindung bezieht sich auf ein Verfahren und eine Einrichtung zur Ausfallüberwachung eines Taktsignals, was besonders bei hochsicheren Mikroprozessoren von Wichtigkeit ist, Dort sollen Taktfehler erkannt und bei Bedarf zur Verhinderung von Rückwirkungen das diesbezüglich fehlerhafte Systemteil ab¬ geschaltet werden. Taktzyklusüberwachungen - auch als "watch dogs" bezeichnet - sollten eigenständig die Fehlerreaktion aktiv einleiten zu können.
Man könnte daran denken, derartige eigenständige Zyklusüber¬ wachungen mit retriggerbaren monostabilen Kippstufen zu imple- mentieren, welche vom zu überwachenden Taktsignal jeweils ange¬ stoßen werden und bei Ausfall desselben eine Fehlermeldung pro¬ duzieren. Eine monostabile Kippstufe enthält jedoch als wesent¬ liches Element einen Kondensator, dessen Einbau in die heutzu¬ tage hochintegrierten Halbleiterschaltkreise Schwierigkeiten bereitet, wenn nicht gar unmöglich ist.
Die Erfindung stellt sich die Aufgabe, mit einfachen Mitteln eine sichere Taktsignalausfallüberwachung anzugeben, welche ohne die Verwendung von Kondensatoren auskommt. Die Lösung die- ser Aufgabe gelingt erfindungsgemäß mit den im Patentanspruch angegebenen Maßnahmen.
Die Erfindung samt ihren weiteren Ausgestaltungen, welche in Unteransprüchen gekennzeichnet sind, soll nachstehend anhand der Figuren näher erläutert werden. Es zeigen:
FIG 1 beispielhafte Impulsdiagramme zur Erläuterung des erfindungsgemäßen Verfahrens, FIG 2 eine vorteilhafte gerätetechnische Realisierung des erfindungsgemäßen Verfahren, FIG 3 ein Blockschaltbild für eine gegenseitige Ausfallüber¬ wachung zweier Taktsignale, FIG 4 ein Blockschaltbild zur Taktüberwachung bei einem mehr¬ fach redundanten Taktversorgungssystem und FIG 5 eine fehlertolerante Ausführungsvariante der Taktüber¬ wachung nach FIG 4.
In der obersten Zeile der in FIG 1 dargestellten Impulsdiagramm ist das zu überwachende Taktsignal T dargestellt, dessen Fre¬ quenz fτ und damit dessen Periodendauer l/fτ beträgt. Die dritt Zeile von FIG 1 gibt das Prüftaktsignal PT mit der Frequenz f bzw. der Periodendauer l/f wieder. Das zu überwachende Takt- signal T wird in eine Rechteckimpulsfolge T1 mit dem Tastver¬ hältnis 2 (Impulsdauer = Impulspause) umgeformt, was in sehr einfacher Weise mit einem als Frequenzteiler verwendeten Binär¬ teiler erfolgen kann, wobei mit entsprechender Wahl des Teiler- Verhältnisses die Periodendauer der Rechteckimpulsfolge T1 so festgelegt wird, daß sie mehr als doppelt so groß ist wie die Periodendauer des Prüftaktsignals PT, von welchem ebenfalls mit tels Frequenzteilung eine weitere Impulsfolge PT' abgeleitet wird, deren Periodendauer l/fpτι die Dauer jeweils aufeinander¬ folgender Prüfzyklen PZ bestimmt. Die Prüfzyklusdauer PZ bzw. das Frequenzteilerverhältnis, mit dem die Frequenz des Prüftakt signals PT reduziert wird, soll so gewählt werden, daß sie gleich oder größer als die Periodendauer der Rechteckimpulsfol¬ ge T1 ist. Damit wird sichergestellt, daß bei ordnungsgemäßer Taktversorgung T innerhalb eines jeden Prüfzyklus PZ eine Ände- rung des Signalpegels der von dem Taktsignal T abgeleiteten
Rechteckimpulsfolge T' auftritt, was durch Abtastung des Recht¬ ecksignals T' jeweils zu den Zeitpunkten ansteigender Impuls¬ flanken des Prüftaktsignals PT erfaßt werden kann. Liegt z.B. zum Zeitpunkt t bei ansteigender Impulsflanke des Prüftakt- signals PT ein H-Signalpegel der Rechteckimpulsfolge T1 vor, so wird der Ausgang AI einer ersten Speichereinrichtung auf H-Signal gesetzt, während ein L-Signalpegel der Rechteckimpuls¬ folge T1 zum Zeitpunkt t einer aufsteigenden Impulsflanke des Prüftaktsignals PT am Ausgang A2 einer zweiten Speichereinrich¬ tung auf H-Signal bewirken würde. Am Ende jedes Prüfzyklus PZ müssen also bei ordnungsgemäßer Taktversorgung T beide Signale AI und A2 H-(High)-Signale sein. Die beiden Speichereinrichtun¬ gen für die Pegelwerte werden am Ende jedes Prüfzyklus PZ zurück¬ gesetzt, was innerhalb einer vernachlässigbar kleinen, durch Si¬ gnallaufzeiten der eingesetzten Bauteile bedingten Zeit tR er- folgt und ein neuer Prüfzyklus PZ kann beginnen. Bei Ausfall der Taktversorgung T weisen die Ausgangssignale AI und A2 der Abtastspeichereinrichtungen nicht beide ein H-Signal auf, was als Taktfehler unter Ausgabe eines entsprechenden Warnsignals erkannt werden kann.
Bezeichnet man mit nτ das Verhältnis von Taktsignalfrequenz fγ zu der Frequenz der von ihr durch Frequenzteilung abgeleiteten Rechteckimpulsfolge T1 und mit n das Verhältnis der Prüftakt¬ frequenz f zu der Frequenz fp-*-* der ebenfalls aus ihr durch Frequenzteilung gewonnenen und den Prüfzyklus PZ bestimmenden Rechteckimpulsfolge PT' , dann läßt sich eine Taktausfallüber¬ wachung für beliebige Werte von Taktsignalfrequenz und Prüf- taktsignalfrequenz realisieren, wenn erfindungsgemäß folgende Bedingungen eingehalten werden:
nτ ^ 2 . fτ/f (1)
Bei dem in FIG 1 dargestellten Beispiel sollen sich die Fre¬ quenzen von Taktsignal T und Prüftaktsignal PT wie 4 : 5 ver¬ halten. Nach obiger Gleichung (1) ergäbe sich damit ein Teiler¬ verhältnis zwischen Taktsignal T und Rechteckimpulsfolge T1 von f_/f w 1,6, für im allgemeinen nur ganzzahlig realisierbare Teilerverhältnisse daher ein Teilerverhältnis von nτ = 2. Damit würde der gemäß Gleichung (2) vorzusehende Teilerfaktor n gleich oder größer als 2,5 zu bemessen sein. Beim Beispiel der FIG 1 wurde ein Teilerverhältnis n von 4 gewählt, was auf recht einfache Weise mittels eines Binärteilers realisierbar ist. Es wäre jedoch zur Erfüllung der Gleichung (2) auch ein Teilerverhältnis von 3 möglich gewesen, was zu einer Verkür¬ zung der Prüfungszykluszeit PZ und damit zu einer schnelleren Ausgabe eines Warnsignals bei einem Taktsignalausfall geführt hätte.
FIG 2 zeigt eine vorteilhafte gerätetechnische Realisierung eines nach dem erfindungsgemäßen Verfahren arbeitenden Takt¬ monitors TM. Er enthält vier flankengesteuerten D-Kippglieder Kl bis K4. Bei flankengesteuerten D-Kippgliedern wird bei an¬ steigenden Impulsflanken des am Steuereingang C anstehenden Signals die Information des am D-Eingang anliegenden Signals übernommen und erscheint als Ausgangssignal des dem gesteuerten Eingang D zugeordneten Ausgangs Q. Die Steuereingänge C der D-Kippglieder Kl und K2 werden von dem an der Eingangsklemme 1 anliegenden, zu überwachenden Taktsignal T über einen Frequenz- teuer FT1 mit dem Teilerverhältnis nτ beaufschlagt, während das an der Eingangsklemme 2 anliegende Prüftaktsignal PT den Steuereingängen C der D-Kippglieder Kl und K2 unmittelbar zuge¬ führt ist. Ein zweiter Frequenzteiler FT2 mit dem Teilerfaktor n reduziert die Frequenz des Prüftaktsignales PT und die ent- sprechend diesem Teilerfaktor n frequenzreduzierte Spannung ist den Steuereingängen C der D-Kippglieder K3 und K4 zugeführt. Die Teilerfaktoren nτ und n sind entsprechend den Gleichungen (1) und (2) bemessen, wobei die Frequenzteiler selbst entweder aus repetierend arbeitenden voreingestellten Zählern oder aus Binärteilern bestehen. Bei den D-Kippgliedern Kl und K2 sind jeweils die Ausgänge Q auf ihre Setzeingänge S rückgekoppelt, womit eine Selbsthaltung in der Weise bewerkstelligt wird, daß bei einmal eingenommenen H-Signal des Ausgangs dieser auf den Setzeingang S rückgekoppelte Zustand solange beibehalten wird, bis am dominierenden Rücksetzeingang R ein H-Signal angelegt wird. Die Ausgänge AI und A2 der Kippglieder Kl und K2 sind jeweils mit den Eingängen eines UND-Gatters AN und eines NAND- Gatters N verbunden, deren Ausgänge die D-Eingänge der Kippglie¬ der K3 bzw. K4 beaufschlagen. Der Ausgang Q des Kippgliedes K3 ist mit den Rücksetzeingängen R der Kippglieder Kl und K2 ver- bunden, während der Q-Ausgang des Kippgliedes K4 mit der Aus¬ gangsklemme 3 zur Abgabe eines Taktfehlersignales TF bei Takt¬ signalausfall verbunden ist. Zur Rücksetzung des Kippgliedes K4 ist eine weitere, mit RS bezeichnete Eingangsklemme vorhanden, welche zur Wiederinbetriebnahme des Taktmonitors nach durchge- führter Reparatur des Taktsystems kurzzeitig mit einem H-Signal zu beaufschlagen ist.
Die Wirkungsweise des in FIG 2 dargestellten Taktmonitors TM ist unter Hinzuziehung der Impulsdiagramme der FIG 1 wie folgt: Wurde im vorherigen Prüfzyklus PZ kein Taktfehler festgestellt, dann werden die Kippglieder Kl und K2 durch das ein H-Signal aufweisende Ausgangssignal Q der Kippstufe K3 zurückgestellt, d.h. sie befinden sich dann in dem Zustand, in dem ihre Q-Aus- gänge jeweils L-(Low)-Signal aufweisen. Als Folge davon ist das Ausgangssignal des UND-Gatters AN ein L-Signal, welches - inver¬ tiert auf den Rücksetzeingang der Kippstufe K3 wirkend - am Q- Ausgang derselben ein L-Signal erzwingt. Beim nächsten an den Steuereingängen der D-Kippglieder Kl und K2 eintreffenden Im¬ puls des Prüftaktsignales PT wird eines der beiden Kippglieder gesetzt, je nachdem, ob der Signalpegel der Rechteckimpulsfolge T1 ein L- oder ein H-Signal ist. In Übereinstimmung mit dem in FIG 1 dargestellten Verlauf soll angenommen werden, daß zum Zeitpunkt t der erste nach Prüfzyklusbeginn eintreffende Im¬ puls des Prüftaktsignales PT einen H-Signalpegel beim Signal T1 vorfindet, so daß ein H-Signal von dem Kippglied Kl übernommen wird und das Signal AI ebenfalls zu einem H-Signal wird. Ist dagegen bei einer ansteigenden Impulsflanke des Prüftaktsignals PT der Signalpegel der Rechteckimpulsfolge T1 ein L-Signal, was in FIG 1 beispielsweise zum Zeitpunkt t der Fall ist, dann liegt infolge der Invertierung am D-Eingang des Kippgliedes K2 ein H-Signal an, welches von diesem Kippglied gespeichert wird, so daß das Ausgangssignal A2 an deren Q-Ausgang ebenfalls zu einem H-Signal wird. Infolge der Selbsthaltewirkung der rückge¬ koppelten Ausgangssignale AI und A2 bleiben diese Zustände der Kippglieder Kl und K2 für den Rest des Prüfzyklus erhalten. Ist also während eines Prüfzyklus PZ eine Änderung des Signalpegels bei der vom zu überwachenden Taktsignal T abgeleiteten Prüftakt¬ impulsfolge T1 eingetreten, dann besteht das Ausgangssignal des UND-Gatters AN in einem H-Signal und am Ende des Prüfzyklus be¬ wirkt die ansteigende Impulsflanke der Rechteckimpulsfolge PT1 am C-Eingang des D-Kippgliedes K3, daß an seinem Q-Ausgang ein H-Signal absteht und unter Rücksetzung der Kippglieder Kl und K2 ein neuer Prüfzyklus vorbereitet wird, der dann in der eben beschriebenen Weise wieder abläuft. Hat jedoch innerhalb eines Prüfzyklus infolge des Ausfalls des Taktsignals T kein Signal- Wechsel bei der Rechteckimpulsfolge T1 stattgefunden, so sind am Ende des Prüfzyklus die Ausgangssignale AI und A2 nicht gleich¬ zeitig H-Signale und der Ausgang des NAND-Gatters NA weist ein H-Signal auf, welches bei Ende des Prüfzyklus ein auf ein ge¬ störtes Taktsignal hinweisendes Taktfehlersignal TF an der Aus- gangsklemme 3 hervorruft.
Das erfindungsgemäße Verfahren ist bei jeder beliebigen Fre¬ quenzrelation von zu überwachendem Taktsignal und Prüftaktsi¬ gnal realisierbar ist, d.h. die Frequenz des zu überwachenden Taktsignals kann größer, gleich oder kleiner sein als das Prüf¬ taktsignal. Dies wird bei der in FIG 3 dargestellten Weiter¬ bildung der Erfindung zur gleichzeitig erfolgenden gegenseiti¬ gen Ausfallüberwachung von Takt- und Prüftaktsignal ausgenutzt, womit sich eine hochsichere Taktüberwachung ergibt.
Die in FIG 3 dargestellte Anordnung enthält neben einem ersten Taktmonitor TM1 nach Art des in FIG 2 dargestellten Taktmonitors TM einen zusätzlichen Taktmonitor TM2 und beruht auf dem Gedan¬ ken, bei diesem zusätzlichen Taktmonitor die Rollen von Takt- signal T und Prüftaktsignal zu tauschen, d.h. mit dem Taktsi¬ gnal T das Prüftaktsignal in genau gleicher Weise wie beim Taktmonitor TMl auf Ausfall zu überwachen. Hierzu wird das Prüf¬ taktsignal PT dem Taktsignaleingang 1 des Taktmonitors TM2 zuge¬ führt und das Taktsignal T dem Prüftakteingang 2. Die Fehlersi¬ gnalausgänge 3 der beiden Taktmonitoren sind mit Anzeigelampen Ll und L2 sowie den Eingängen eines ODER-Gatters 0 verbunden, an dessen Ausgang dann bei Ausfall des Taktsignals T oder des Taktsignals PT ein Fehlersammeisignal FS erscheinen würde. Legt man bezüglich der Frequenzrelation von dem Taktsignal T und dem Prüftaktsignal PT die bereits erwähnten Werte der FIG 1 zugrun- de (fτ/fp_ = 0,8), dann kehrt sich bei der Festlegung der Tei¬ lerfaktoren nτ und n für den Taktmonitor TM2 infolge des Rollentausches der Signale T und PT diese Relation um und es ergeben sich für nγ und n entsprechend den Gleichungen (1) und (2) beidesmal derselbe, ganzzahlig minimal realisierbare Wert von 3 bzw. bei Verwendung von Binärteilern der Wert von 4.
In komplexen Mikroprozessorsystemen sind oft mehrere Taktver¬ sorgungen vorhanden und auf Ausfall zu überwachen. Man könnte jedem zu überwachenden Taktsignal ein eigenes Prüftaktsignal mit einem zusätzlichen Taktmonitor entsprechend der Anordnung gemäß FIG 3 zuordnen. FIG 4 zeigt eine Ausführung, mit welcher man bei mehrfacher Taktversorgung ohne solche zusätzlichen Takt¬ monitore auskommt. Es sind n Taktsignale Tl bis Tn vorhanden, welche auf Ausfall zu überwachen und demgemäß jeweils an die mit 1 bezeichneten Taktsignaleingängen der Taktmonitoren TMl bis TMn angeschlossen sind. In zyklischer Zuordnung wird dabei jedes der Taktsignale Tl bis Tn als Prüftaktsignal für ein ande¬ res Taktsignal verwendet und demzufolge an den Prüftaktsignal- eingang 2 des benachbarten Taktmonitors angeschlossen. Die Takt- fehlerausgänge 3 werden wie bei der Anordnung gemäß FIG 3 mit¬ tels Anzeigelampen einzeln überwacht und mit den Eingängen eines ODER-Gliedes verbunden, welches bei Ausfall eines der Taktsigna¬ le Tl bis Tn das Fehlersammelsignal FS ausgibt. Damit kann eine Störung der Taktversorgung zentral erkannt, mittels Anzeigelam- pen oder sonstigen Anzeigeeinrichtungen identifiziert und eine gezielte Fehlerreaktion eingeleitet werden. FIG 5 zeigt eine fehlertolerante Ausführungsvariante der An¬ ordnung gemäß FIG 4, mit der bei Ausfall eines Taktsignals die die gegenseitige Überwachung der restlichen Taktsignale unge¬ stört weitererfolgen kann. Beispielsweise seien vier Taktsignale Tl bis T4 mit den zugehörigen Taktmonitoren TMl bis TM4 vorhan¬ den, welche bei der dargestellten Stellung der den Prüftaktein¬ gängen 2 zugeordneten Umschaltern Sl bis S4 die Taktmonitoren TMl bis TM4 nach Art der in FIG 4 dargestellten Weise beauf¬ schlagen. Mit der Betätigung des seinem Prüftakteingang 2 zuge- ordneten Umschalters durch das Fehlersignal am Ausgang 3 des ihm unmittelbar (zyklisch) benachbarten Taktmonitors eröffnet sich für den einzelnen Taktmonitor die Möglichkeit, das Prüftaktsi¬ gnal anstatt vom gestörten Taktsignal des unmittelbar benach¬ barten Monitors vom ungestörten Taktsignal eines weiter benach- harten Taktmonitors zu beziehen. Es wird also bei Ausfall eines Taktsignals dessen Funktion als Prüftaktsignal dem dem ausgefal¬ lenen Taktsignal zugeordneten Prüftaktsignal übergeben. Da jedes Taktsignal Tl bis T4 auf diese Weise dafür vorbereitet ist, den Prüftakteingang 2 eines weiter benachbarten Taktmonitors bei ent sprechender Betätigung des diesem Eingang zugeordneten Umschal¬ ters zu beaufschlagen, kann das gestörte Taktsignal aus der Kette der sich selbst überwachenden Taktsignale herausgenommen werden und die Taktsignalüberwachung der übrigen Taktsignale ist weiterhin in vollem Umfange gesichert.

Claims

Patentansprüche
1. Verfahren zur Ausfallüberwachung eines Taktsignals, ins¬ besondere für hochsichere Mikroprozessorsysteme, g e k e n n - z e i c h n e t durch folgende Schritte:
a) Das zu überwachende Taktsignal (T) wird in eine periodische, ein Tastverhältnis von 2 aufweisende Rechteckimpulsfolge (T1) umgeformt, deren Periodendauer mehr als doppelt so groß ist, wie die Periodendauer eines Prüftaktsignals (PT); b) jeweils während eines vom Prüftaktsignal (PT) abgeleiteten Prüfzyklus (PZ) , welcher mindestens gleich der Perioden¬ dauer der Rechteckimpulsfolge (T1 ) ist, wird mit dem Prüftakt* signal der Signalpegel der Rechteckimpulsfolge abgetastet; c) für den Fall, daß am Ende eines Prüfzyklus keine Änderung des Signalpegels der Rechteckimpulsfolge (T1) festgestellt wird, wird ein Taktfehlersignal (TF) ausgegeben.
2. Verfahren nach Anspruch 1, g e k e n n z e i c h n e t durch eine gleichzeitig erfolgende, gegenseitige Ausfallüber¬ wachung von Taktsignal (T) und Prüftaktsignal (PT).
3. Verfahren nach Anspruch 1 bei mehreren Taktsignalen (Tl -Tn) , d a d u r c h g e k e n n z e i c h n e t , daß in zyklischer Zuordnung jeweils ein Taktsignal als Prüftakt¬ signal eines anderen verwendet ist.
4. Verfahren nach Anspruch 3, d a d u r c h g e k e n n ¬ z e i c h n e t , daß bei Ausfall eines Taktsignals dessen Funktion als Prüftaktsignal dem ihm zugeordneten Prüftaktsignal übergeben wird.
5. Einrichtung zur Durchführung des Verfahrens nach einem der vorhergehenden Ansprüche, g e k e n n z e i c h n e t durch folgende Merkmale: a) das zu überwachende Taktsignal (T) ist einem ersten Binär- teuer (FT1) zugeführt, dessen Ausgangssignal und das hierzu invertierte Signal den D-Eingängen von zwei ersten D-Kippglie¬ dern (Kl, K2) zugeführt sind, deren Setz-Eingänge (S) jeweils mit dem ihrem D-Eingang zugeordneten Ausgangssignal beauf¬ schlagt sind; b) das Prüftaktsignal (PT) beaufschlagt die Steuereingänge der beiden ersten D-Kippgliedern unmittelbar und die Steuerein¬ gänge von zwei zweiten D-Kippgliedern (K3, K4) über einen zweiten Binärteiler (FT2); c) die Ausgangssignale der beiden ersten D-Kippglieder (Kl, K2) beaufschlagen über ein NAND-Gatter (NA) den D-Eingang eines der beiden zweiten D-Kippglieder (K4), welches zur Abgabe eines Taktfehlersignals (TF) vorgesehen ist, sowie über ein UND-Gatter (AN) den D-Eingang des anderen D-Kippgliedes (K3) , welches zur Rücksetzung der beiden ersten D-Kippglieder vor- gesehen ist.
6. Einrichtung nach Anspruch 5, d a d u r c h g e k e n n ¬ z e i c h n e t , daß bei gegenseitiger Ausfallüberwachung mehrerer Taktsignale (Tl - Tn) sämtliche Taktfehlersignalaus- gänge (3) mit Anzeigeeinrichtungen sowie zur Bildung eines Feh- lersa melsignals (FS) mit den Eingängen eines ODER-Gatters ver¬ bunden sind.
7. Einrichtung nach Anspruch 6, d a d u r c h g e k e n n - z e i c h n e t , daß die Prüftakteingänge (2) der Taktmonito¬ ren (TMl - TM4) jeweils mit einem Umschalter (Sl - S4) versehen sind, welcher bei Betätigung durch das Fehlersignal eines zy¬ klisch benachbarten Taktmonitors seinen Prüftakteingang mit dessen Prüftakteingang verbindet.
EP19880909294 1988-10-05 1988-10-31 Verfahren und einrichtung zur ausfallüberwachung eines taktsignals Ceased EP0437425A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
WOPCT/DE88/00614 1988-10-05
DE8800614 1988-10-05

Publications (1)

Publication Number Publication Date
EP0437425A1 true EP0437425A1 (de) 1991-07-24

Family

ID=6819745

Family Applications (1)

Application Number Title Priority Date Filing Date
EP19880909294 Ceased EP0437425A1 (de) 1988-10-05 1988-10-31 Verfahren und einrichtung zur ausfallüberwachung eines taktsignals

Country Status (2)

Country Link
EP (1) EP0437425A1 (de)
WO (1) WO1990004287A1 (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1333579B1 (de) * 2002-01-30 2013-03-13 Infineon Technologies AG Einrichtung zur Erkennung eines Taktsignalausfalls
DE102004021928A1 (de) 2004-05-04 2005-12-01 Krones Ag Prüfvorrichtung und Verfahren zur Prüfung der Funktionstüchtigkeit eines Drehimpulsgebers

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4467285A (en) * 1981-12-21 1984-08-21 Gte Automatic Electric Labs Inc. Pulse monitor circuit
US4446437A (en) * 1981-12-21 1984-05-01 Gte Automatic Electric Labs Inc. Pulse monitor circuit

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO9004287A1 *

Also Published As

Publication number Publication date
WO1990004287A1 (de) 1990-04-19

Similar Documents

Publication Publication Date Title
DE2724759A1 (de) Einrichtung zur verteilung elektrischer energie in fahrzeugen
DE3934974A1 (de) Vorrichtung zur funktionskontrolle mehrerer steuergeraete in einem kraftfahrzeug
DE19536226C2 (de) Testbare Schaltungsanordnung mit mehreren identischen Schaltungsblöcken
DE2433885C3 (de) Vorrichtung zum Synchronisieren der Eingansschaltung eines elektronischen Testinstruments auf zu prüfende Signalfolgen
EP0115326A2 (de) Schaltungsanordnung zum Einstellen der Mittenfrequenz des Oszillators eines Phasenregelkreises
DE4211701A1 (de) Verfahren und Vorrichtung zur Phasenmessung
EP0437425A1 (de) Verfahren und einrichtung zur ausfallüberwachung eines taktsignals
EP1025501B1 (de) Verfahren und vorrichtung zur überprüfung einer fehlerüberwachung einer schaltung
EP1927053B1 (de) Mikrocontroller und verfahren zum betrieb
EP0195457B1 (de) Vorrichtung zur Eigenüberwachung einer Schaltungsanordnung mit einem Mikrocomputer
DE10323908A1 (de) Verfahren und Anordnung zur Überwachung einer Leistungsendstufe
DE69631508T2 (de) Sichere Datenübertragung zur Prozessausführung mit dem ARINC 629 Protokoll
DE2522441C2 (de) Überwachungssystem für elektronische Baugruppen oder Geräte in drahtgebundenen Fernmeldeanlagen
EP0062768B1 (de) Schaltungsanordnung zur Überwachung von Schaltwerken
EP0394861A2 (de) Digitale Filterlogik
DE3127624C2 (de) Schaltungsanordnung zum Erzeugen von signaltechnisch sicheren Impulsfolgen
DE3035758C2 (de) Signaldarstellung für die beiden Werte von binären Schaltveriablen in elektronischen Schaltwerken der Eisenbahnsicherungstechnik
EP0622734B1 (de) Schnittstelle
DE112007000089B4 (de) Verfahren und Anordnung zum digitalen Übermitteln eines analogen Messsignals
DE4236626C2 (de) Filterverfahren
DE2543392A1 (de) Schaltungsanordnung zum pruefen von umsetzern einer fernsprechvermittlungsstelle
DE2740560A1 (de) Verfahren zum vergleich zweier elektrischer zustaende
DE19805819A1 (de) Verfahren zur Überwachung von integrierten Schaltkreisen
DE2365092B2 (de) Elektronische Schaltung zur Frequenz- und Phasenüberwachung von Taktimpulsen
DE2842350A1 (de) Schaltungsanordnung zur ueberwachung von taktimpulsfolgen

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 19910225

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE CH DE FR GB IT LI SE

17Q First examination report despatched

Effective date: 19930420

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN REFUSED

18R Application refused

Effective date: 19931010