FR2741171A1 - Circuit electronique pour effectuer une remise a l'etat initial - Google Patents

Circuit electronique pour effectuer une remise a l'etat initial Download PDF

Info

Publication number
FR2741171A1
FR2741171A1 FR9613654A FR9613654A FR2741171A1 FR 2741171 A1 FR2741171 A1 FR 2741171A1 FR 9613654 A FR9613654 A FR 9613654A FR 9613654 A FR9613654 A FR 9613654A FR 2741171 A1 FR2741171 A1 FR 2741171A1
Authority
FR
France
Prior art keywords
reset
output
circuit according
stage
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR9613654A
Other languages
English (en)
Other versions
FR2741171B1 (fr
Inventor
Wolfgang Kosak
Reinhard Pfeufer
Guenter Braun
Klaus Mueller
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of FR2741171A1 publication Critical patent/FR2741171A1/fr
Application granted granted Critical
Publication of FR2741171B1 publication Critical patent/FR2741171B1/fr
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/24Resetting means

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)
  • Safety Devices In Control Systems (AREA)
  • Electronic Switches (AREA)

Abstract

Circuit pour une unité de calcul notamment pour un appareil de commande électronique d'un véhicule automobile comportant un étage de remise à l'état initial (Reset) et un étage de sortie commandé par l'unité de calcul. L'unité de calcul (12) comprend un calculateur de fonction (14) et un module de sécurité (16) travaillant d'une manière indépendante en étant reliés par une interface série (18) qui force les deux calculateurs à l'état Reset par l'étage Reset (20); ces calculateurs se surveillent réciproquement en continu et en cas de défaut ils peuvent réciproquement se remettre à l'état initial, pour lequel tous les états Reset de tous les étages de sortie (54) sont coupés avec certitude.

Description

I L'invention concerne un circuit pour exécuter la remise à l'état initial
d'une unité de calcul notamment pour un
appareil de commande électronique d'un véhicule automobile com-
portant un étage de remise à l'état initial (Reset) et au moins un étage de sortie (étage de puissance) commandé par l'unité de calcul. Etat de la technique
Les circuits de ce type sont connus. Dans les appa-
reils de commande électroniques équipant les véhicules, on uti-
lise des unités de calcul assurant de multiples fonctions de commande et/ou de surveillance des ensembles électroniques
et/ou électriques du véhicule. L'appareil de commande électro-
nique possède à cet effet des étages de puissance associés aux sorties par lesquelles il commande les ensembles. L'utilisation croissante de composants concernant la sécurité du véhicule avec des composants électroniques commandés par l'appareil de
commande électronique, la réaction réciproque entre ceux-ci de-
vient particulièrement importante notamment en cas d'incident.
Notamment lorsqu'il faut effectuer une remise à l'état initial,
c'est-à-dire une " Reset " de l'unité de calcul, il faut effec-
tuer une libération de contrôle de l'unité de calcul.
Avantages de l'invention
L'invention concerne un circuit du type défini ci-
dessus, caractérisé en ce que l'unité de calcul comprend un calculateur de fonction et un module de sécurité travaillant d'une manière totalement indépendante en étant reliés par une interface série qui force les deux calculateurs à l'état Reset
par l'étage Reset et ces calculateurs se surveillent récipro-
quement en continu et en cas de défaut ils peuvent réciproque-
ment se remettre à l'état initial, pour lequel tous les états
Reset de tous les étages de sortie sont coupés avec certitude.
Ce circuit offre l'avantage de créer un étage de
remise à l'état initial, protégé contre les incidents pour uni-
té de calcul commandant des composants en particulier ceux con-
cernant la sécurité. Comme l'unité de calcul comprend un calculateur de fonction et un module de sécurité relié à ce calculateur de fonction par une interface série, notamment un calculateur de sécurité, ces deux moyens sont reliés à un étage
de remise à l'état initial et sont forcés dans cet état de Re-
set par cet étage, il est avantageusement possible d'avoir une élimination extrêmement efficace et effective des défauts pour les systèmes concernant la sécurité par une surveillance perma-
nente, intelligente, réciproque du calculateur de fonction et du calculateur de sécurité ainsi qu'une surveillance du pro- gramme du calculateur de fonction par un circuit simple. Selon d'autres caractéristiques avantageuses de l'invention: - le module de sécurité est un calculateur communiquant avec le calculateur de fonction par une interface, série, synchrone à deux fils, - le module de sécurité est un calculateur communiquant avec le calculateur de fonction par une interface, série, asynchrone à un fil, - le module de sécurité est un circuit logique intelligent (par exemple un chien de garde) relié au calculateur de fonction, - une sortie Reset du composant Reset est reliée par un étage de commutation à une sortie Reset de programme du calculateur
de sécurité, une sortie de l'étage de commutation étant re-
liée à une entrée NMI et par un autre étage de commutation à une entrée Reset du calculateur de fonction, - l'étage de commutation comporte un élément de temporisation associé à la sortie Reset de programme, l'élément de temporisation associé est non symétrique,
- l'étage de commutation est un étage de commutation non inver-
sé avec un élément de temporisation pour retarder le signal d'entrée Reset par rapport au signal NMI, - une sortie Reset du calculateur de fonction est couplée par un étage de commutation à la sortie Reset du composant Reset,
une sortie de l'étage de commutation étant reliée à une en-
trée Reset du calculateur de sécurité, - la sortie de l'étage de commutation est couplée par un étage de commutation à une sortie de coupure d'étage de puissance
du calculateur de sécurité, une sortie de l'étage de commuta-
tion étant reliée aux étages de puissance,
- les sorties de commutation des calculateurs sont reliées di-
rectement par un étage de puissance EGAS,
- les étages de commutation sont constitués par des portes ET.
- les portes ET comprennent une double diode et/ou des compara-
teurs, - la sortie de l'étage de commutation est reliée à un circuit d'inversion pour fournir un signal Reset-haut, - la sortie de l'étage de commutation est reliée par une diode et la sortie Reset du calculateur de fonction est reliée par
l'intermédiaire d'une résistance pour former un signal Reset-
Flash par combinaison, - les comparateurs des étages de commutation sont accrochés par leurs entrées positives à la tension de diviseur formée à partir de l'alimentation permanente VSTDBY du circuit, - la tension d'alimentation des comparateurs est obtenue par l'intermédiaire d'une diode d'une résistance de protection à partir de la tension de branchement, - la tension d'alimentation des comparateurs est appliquée par
l'intermédiaire d'un condensateur tampon.
La présente invention sera décrite ci-après à l'aide d'exemples de réalisation représentés schématiquement dans les dessins annexés dans lesquels:
- la figure 1 est une vue d'ensemble du circuit se-
lon l'invention, - la figure 2 est un schéma d'une partie du circuit de la figure 1, - la figure 3 est une variante de réalisation du circuit de la figure 2, - la figure 4 est une autre variante du circuit de l'invention, - la figure 5 est une autre variante du circuit de l'invention,
- les figures 6 à 10 sont des chronogrammes de dif-
férents signaux.
Description des exemples de réalisation
La figure 1 montre sous la référence globale 10 un circuit pour la mise en oeuvre d'une remise à l'état initial
d'une unité de calcul 12. L'unité de calcul 12 comprend un cal-
culateur de fonction 14 et un calculateur de sécurité 16 dont les sorties/entrées d'émission/réception sont reliées par une
interface série 18. L'interface série 18 peut être une inter-
face série à deux fils synchrone, ou une interface série à un fil asynchrone. De plus, le circuit 10 comporte un composant de Reset qui peut être par exemple un composant Stabi-Reset. Ce composant Stabi- Reset est relié à la tension de la batterie (alimentation permanente) et peut être activé par un signal UBRE (Kl.15 entrée). Il fournit la tension de fonctionnement Vu au circuit et en cas de sous-tension il génère un signal Reset 22. En aval (UBRE < 3V) le composant peut être activé par un
signal Ni. La sortie Reset 22 est reliée à l'entrée d'une pre-
mière porte ET 24 et à la première entrée d'une seconde porte ET 26. La seconde entrée de la première porte ET 24 est reliée à une sortie de Reset de programme 28 (SWRST) du calculateur de
sécurité 16. La porte ET 24 présente un élément de temps asso-
cié à la seconde entrée et ayant un fonctionnement non symétri-
que. La sortie de la porte ET 24 est reliée à l'entrée NMI 32 du calculateur de fonction 14. En outre, la sortie de la porte ET 24 est reliée par un étage non-inverseur 34 à l'entrée Reset 36 du calculateur de fonction 14. L'étage de commutation 34 est
muni d'un élément de temps 38. La sortie de l'étage de commuta-
tion 34 est en outre reliée à un composant RAM 40 et à un com-
posant EEPROM 42.
La sortie Reset 44 (RESOUT) du calculateur de fonc-
tion 14 est reliée à la seconde entrée de la porte ET 26. La sortie de la porte ET 26 est reliée d'une part à l'entrée Reset 46 du calculateur de sécurité 16 et d'autre part à une première
entrée d'une porte ET 48. La sortie de la porte ET 26 est éga-
lement reliée à un composant CAN 50. La seconde entrée de la porte ET 48 est reliée à la sortie de coupure de l'étage de puissance 52 (ESENSR) du calculateur de sécurité 16. La sortie
de la porte ET 48 est reliée à l'étage de puissance 54. La sor-
tie 56 du calculateur de fonction 14 fournissant le signal d'autorisation DC du calculateur de fonction 14 ainsi que la sortie 58 du calculateur de sécurité 16 donnant le signal d'autorisation DC de ce calculateur de sécurité 16 sont reliées
à un composant logique d'entrée 60 d'un module EGAS 62. Les au-
tres liaisons du circuit 10 ne seront pas explicitées dans le
cadre de la présente description.
Le circuit 10 représenté à la figure 1 assure le fonctionnement suivant:
En cas de Reset, on dispose soit du signal du com-
posant Reset 20 soit du signal Reset de programme 28 sur la porte ET 24 qui applique à l'entrée NMI 32 du calculateur de fonction un signal NMI. Le signal Reset du programme SWRST est transmis dans ce cas par l'élément de temps 30 à fonctionnement non symétrique. On tient compte du fait que le calculateur de fonction 14 nécessite pour le traitement interne d'un programme Reset, complet, une durée minimale de Reset dépendant de la fréquence interne du quartz. L'élément de temps 30 temporise la
suspension du Reset de programme SWRST du calculateur de sécu-
rité 16 vers le calculateur de fonction 14. On évite ainsi que
lorsque le calculateur de sécurité déclenche un Reset de pro-
gramme, ce signal ne soit temporisé qu'à l'étage de commutation 34 qui sera décrit ultérieurement pour être alors immédiatement repris à l'état initial par la combinaison du signal de sortie Reset en RESOUT appliqué à la sortie 24 et le signal RESET par la porte ET 26 du calculateur de sécurité 16; le signal Reset de programme SWRST est éliminé et le calculateur de fonction 14
est immédiatement repris de l'état Reset par l'étage de commu-
tation 34 avant que le temps minimum de Reset ne se soit écou-
lé. Le signal NMI à la sortie de la porte ET 24 est
d'une part appliqué directement à l'entrée NMI 32 du calcula-
teur de fonction 14 et d'autre part, comme signal d'entrée Re-
set RSTIN par l'étage non-inverseur 34 à l'entrée Reset 36 du
calculateur de fonction 14. Cela permet d'utiliser les calcula-
teurs de fonction 14 qui restent figés immédiatement lorsqu'un signal RSTIN est appliqué à leur entrée Reset et tous les ports
passent en un mode à trois états et interrompent automatique-
ment les programmes de lecture et d'écriture engagés. Cela con-
duirait à un enregistrement erroné dans les cellules RAM du calculateur de fonction 14. L'élément de temps 38 associé à l'étage de commutation 34 retarde le signal d'entrée Reset RSTIN jusqu'à ce que le signal NMI appliqué à l'entrée 32 force le calculateur de fonction 14 à terminer le traitement complet de l'ordre qui vient d'être appelé selon un programme Reset particulier. Après que le calculateur de fonction 14 soit passé
dans ce programme Reset, le calculateur de fonction 14 est re-
mis à l'état initial par l'entrée Reset 36. Le signal RSTIN
pour l'entrée Reset, fourni à la sortie de l'étage de commuta-
tion 34, est utilisé en même temps pour bloquer un éventuel
composant RAM 40 ou un composant EEPROM 42.
Le calculateur de sécurité 16 est remis à l'état initial par la porte ET 26. Soit lorsque le signal Reset 22 est activé par le composant Reset 20, soit lorsque le signal RESOUT 44 est activé par le calculateur de fonction 14 (état bas). Ce
signal est appliqué à l'entrée Reset 36 du calculateur de sécu-
rité 16. En même temps, on peut utiliser le signal Reset pour le calculateur de sécurité 16, pour couper l'étage de puissance
54. Pour cela, ce signal est combiné par la porte ET 48 au si-
gnal de coupure de l'étage de puissance ESENSR du calculateur de sécurité 16 pour être appliqué aux entrées Reset des étages de puissance (ou étages de sorties) 54. Le signal Reset pour le calculateur de sécurité 16 peut servir en outre à la remise à
l'état initial d'éventuels composants CAN 50.
Globalement, le circuit 10 selon la figure 1 crée
un concept de Reset permettant par un étage Reset protégé con-
tre les incidents, de couper un étage de puissance, notamment dans la commande de système concernant la sécurité à l'aide des étages de puissance 54. La répartition de l'unité de calcul 12
en un calculateur de fonction 14 et d'un calculateur de sécuri-
té 16 communiquant par l'interface série 18, permet aux calcu-
lateurs d'agir séparément (chaque calculateur dispose de sa propre horloge) et ceux-ci restent néanmoins commandés par un
étage Reset 20. Le circuit 10 est réalisé pour qu'à chaque si-
gnal Reset fourni par l'étage Reset 20, à la fois le calcula-
teur de fonction 14 et le calculateur de sécurité 16 sont
forcément remis à l'état initial. Pendant toute la phase de re-
mise à l'état initial de l'unité de calcul 12, tous les étages
de puissance 54 sont inactifs, c'est-à-dire coupés du courant.
Le couplage du calculateur de fonction 14 au calculateur de sé-
curité 16 termine la phase de Reset du calculateur de sécurité 16 seulement après l'initialisation du calculateur de fonction 14. Les étages de puissance 54 ne sont de nouveau libérés
qu'après que le calculateur de sécurité 16 ait également termi-
né sa phase de remise à l'état initial. Pour cela, après son
initialisation par l'interface série 18, le calculateur de sé-
curité 16 communique avec le calculateur de fonction 14 et li-
bère les étages de puissance 54 seulement une fois que la communication a été effectuée. Le calculateur de fonction 14 et
le calculateur de sécurité 16 se surveillent ainsi réciproque-
ment par l'interface série 18 pour contrôler la plausibilité et l'aptitude au fonctionnement et en cas de défaut, ils peuvent déclencher réciproquement un Reset par programme. Cela permet quasiment une surveillance interne des programmes qui déclenche
un Reset de programme en cas d'incident de programme. Le calcu-
lateur de fonction 14 peut en outre activer un " chien de garde " interne qui déclenche également un Reset au cas o il
détecte un incident de programme.
Les signaux DCENFR- et DCENSR- appliqués aux sor-
ties 56 du calculateur de fonction 14 ou 58 du calculateur de sécurité 16 permettent d'augmenter encore plus la sécurité car ces signaux coupent séparément l'étage de puissance EGAS 62 du calculateur de fonction 14 et le calculateur de sécurité 16 en
ne les branchant toutefois qu'en commun.
La figure 2 montre une nouvelle fois les composants
principaux pour le concept Reset, en utilisant les mêmes réfé-
rences qu'à la figure 1 pour désigner les mêmes éléments dont
la description ne sera pas reprise.
Il apparaît clairement que l'ensemble du circuit pour la mise en oeuvre du Reset se compose principalement de quatre portes ET 24, 34, 26, 48. Pour expliciter la combinaison des portes ET entre elles, les entrées des signaux ou sorties
des signaux indiquent les signaux déjà utilisés à la figure 1.
Dans le circuit représenté à la figure 1, à la sor-
tie de la porte ET 48 on a un signal ESEN pour les étages de
puissance 54 avec un Reset-bas, actif. Si les étages de puis-
sance doivent être coupés par un Reset actif haut, le signal ESEN fourni à la sortie de la porte ET 48 doit passer par un étage inverseur 64 supplémentaire pour former ainsi en plus du
signal RST(L) Reset-bas, un signal RST(H) Reset-haut.
On peut en outre prévoir un élément de circuit sup- plémentaire pour former un signal RST FL Reset-Flash. Ce signal Reset-Flash est nécessaire car pour des unités de calcul 12 à mémoire flash, cette mémoire flash est remise à l'état initial5 plus tard que le calculateur et la suppression de l'état Reset doit être faite plus tôt que celle du calculateur. On évite ainsi des états irréguliers sur le bus du système du calcula- teur. Le signal Reset-Flash est formé avec le signal NMI par une diode DF et par le signal de sortie Reset RSTOUT du calcu-10 lateur de fonction 14. Le signal NMI est supprimé rapidement par la diode DF alors que le signal de sortie Reset RSTOUT est retardé par une résistance RF et un condensateur CF. La figure 2 montre en outre un signal de programme
PROG appliqué de manière externe et qui évite par un interrup-
teur analogique 66 que le signal Reset du composant 26 n'arrive
sur le calculateur de sécurité (qui est juste en cours de pro-
grammation). Différentes variantes de réalisation du circuit de la figure 2 sera décrit dans sa structure à l'aide de la figure 3. Il apparaît clairement ici que les portes ET 24, 26 et 48 sont constituées par des doubles diodes suivies par des
comparateurs K1, K2, K3 et K4.
Ainsi lors du branchement, c'est-à-dire lorsqu'on applique l'alimentation Vcc à l'unité de calcul 12, on ne peut
rencontrer des pointes de Reset et le circuit de sortie du com-
parateur K1 qui fournit le signal NMI et du comparateur K2 qui fournit le signal RSTIN ne doit pas être équivoque. Pour cela, il est prévu que l'entrée positive UT des comparateurs K1, K2, K3, K4 soit déduite de l'alimentation en tension continue VSTDBY. On définit ainsi un potentiel sans équivoque avant la
montée du potentiel Vcc par le signal Reset.
En outre, la tension de branchement UBRE du compo-
sant Reset 20 est appliquée par l'intermédiaire d'une résis-
tance de protection Rv et d'une diode Dv à l'alimentation de comparateur UK. Cela permet d'alimenter les comparateurs K1, K2, K3, K4 avant l'application du potentiel Vcc, car dans le
composant Reset 20, on a intégré une temporisation non repré-
sentée ici par l'application de la tension de branchement UBRE
jusqu'à l'application du potentiel Vcc.
Pour qu'à la coupure, c'est-à-dire qu'en cas de
coupure du potentiel Vcc on ne rencontre pas de pointe de si-
gnal Reset, l'alimentation des comparateurs K1, K2, K3, K4 est assurée par l'intermédiaire d'un condensateur tampon Cv. Cela
est nécessaire car à la coupure du composant Reset 20, à la fin de l'asservissement, la tension UB1 chute plus rapidement que la tension Vcc et les comparateurs K1, K2, K3, K4 ne dispose-10 raient plus de la tension d'alimentation UK=UCv. Le condensa-
teur tampon Cv est chargé par l'intermédiaire de la diode Dv à
la tension UB1; il est branché en parallèle sur les compara-
teurs K1, K2, K3, K4. Le condensateur tampon Cv est dimensionné
pour maintenir une tension d'alimentation UCv suffisamment éle-
vée sur les comparateurs K1, K2, K3, K4 que ne dure la chute de tension. En outre, en cas de chute de la tension d'alimentation Vcc, il est nécessaire de réduire au minimum la
durée entre le Reset de sous-tension du composant Reset 20 jus-
qu'à la mise en oeuvre du Reset sur le calculateur de fonction 14, c'està-dire l'application du signal d'entrée Reset RSTIN à
l'entrée 36 à tenir aussi rapide que possible, car si la tempo-
risation dure trop longtemps, la tension d'alimentation Vcc di-
minue à des niveaux auxquels les éléments de base du calculateur de fonction 14 ne sont plus spécifiés. Pour cela, il est prévu de tamponner la tension d'alimentation Vcc par un condensateur à électrolyte suffisamment grand et de rendre la durée de temporisation de l'élément de temporisation 38 aussi courte que possible. Pour une durée de chute caractéristique Vcc d'environ 5 mV/ms, partant du seuil de sous-tension Reset
du composant 20, égale à 4,5 V, on a une chute de tension maxi-
male de 60 mV, c'est-à-dire que l'on arrive à 4,44 V, c'est-à-
dire une valeur qui se trouve juste à la limite de spécifica-
tion des composants (à peu près égale à 4,5 V).
Lorsqu'on utilise des comparateurs CMOS nécessitant un faible courant d'alimentation, par exemple inférieur à pA ou pour une intensité d'attente, autorisée par
l'application, pour la tension d'alimentation VSTDBY est infé-
rieure à 2 mA, les comparateurs K1, K2, K3, K4 peuvent être re-
liés directement à la tension d'alimentation UK=VSTDBY ce qui ne rend pas nécessaire le lissage de la tension par l'intermédiaire de la résistance de protection Rv de la diode Dv et du compensateur tampon Cv (cela est représenté en trait
interrompu à la figure 3).
La figure 4 montre une autre variante du circuit 10 utilisant les mêmes références qu'à la figure 1 pour désigner
les mêmes éléments dont la description ne sera pas reprise.10 La variante de circuit représentée à la figure 4
est avantageuse pour une application pour laquelle la mise à disposition du signal NMI à l'entrée 32 et du signal d'entrée
Reset RSTIN à l'entrée 36 du calculateur de fonction ne pré-
sente pas nécessairement des flancs abrupts. Les comparateurs
K1 et K2 représentés à la figure 3 qui fournissent de tels si- gnaux peuvent alors être supprimés. Le signal NMI est formé di-
rectement à partir du signal RESET appliqué à la sortie 22 du composant Reset 20 et du signal Reset de programme SWRST du calculateur de sécurité 16. Le signal d'entrée RSTIN appliqué à20 l'entrée Reset 36 du calculateur de fonction 14 peut être formé
à l'aide du premier filtre passe-bas 68 comprenant la résis-
tance R2 et le condensateur C2. Le signal d'entrée Reset du composant RAM 40 est formé par un second filtre passe-bas 70 comprenant la résistance Rl et le condensateur Cl. On simplifie en outre le circuit 10 en remplaçant les autres comparateurs K3 et K4 par de simples portes ET. Il faut néanmoins veiller à ce que le signal RESET (USAT 0,4 V) appliqué à la sortie 22 du composant Reset 20, lors de la coupure de la tension d'alimentation Vcc, ne s'adapte à ce potentiel à partir de Vcc 1 V, car alors le transistor interne du composant Reset ne peut plus se saturer. On peut remédier à cette situation en modifiant par exemple l'étage de sortie du composant Reset , en alimentant par exemple le transistor Reset à partir de
la tension d'alimentation VSTDBY.
La figure 5 montre une autre variante de circuit utilisée en particulier pour des appareils de commande électro-
nique sans alimentation permanente. Les mêmes éléments que ceux des figures précédentes portent de nouveau les mêmes références I1
et leur description de sera pas reprise. Le circuit peut se
simplifier en mettant directement le signal NMI au potentiel
Vcc. Cela supprime l'étage de commutation 24 (figure 1). Le si-
gnal d'entrée Reset RSTIN est dans ce cas formé par un étage de commutation 72 recevant le signal de sortie du composant Reset RESET et le signal Reset de programme SWRST du calculateur de sécurité 16. Le signal Reset de programme RSWRST est conduit à travers le filtre passe- bas 74 composé de la résistance R3 et
du condensateur C3 pour la temporisation déjà évoquée.
o10 Les figures 6 à 10 montrent des chronogrammes ex-
plicitant l'évolution dans le temps des signaux décrits à
l'aide des figures précédentes.
La figure 6 montre la constitution des signaux
fournis par le composant Reset 20 après application de la ten-
sion de branchement UBRE au composant Reset 20. La suite de la constitution des signaux après la mise en oeuvre du composant
Reset 20, se fait suivant les chronogrammes de la figure 7.
La figure 8 montre le déroulement dans le temps des signaux après le déclenchement d'un Reset de programme par le " chien de garde " intégré au calculateur de fonction 14; la figure 9 montre l'évolution chronologique des signaux pour un
Reset de programme déclenché par le calculateur de sécurité 16.
Enfin, la figure 10 montre l'évolution chronologi-
que des signaux à la coupure de la tension de branchement UBRE
du composant Reset.

Claims (16)

R E V E N D I C A T IONS
1 ) Circuit pour exécuter la remise à l'état initial d'une uni-
té de calcul notamment pour un appareil de commande électroni-
que d'un véhicule automobile comportant un étage de remise à l'état initial (Reset) et au moins un étage de sortie (étage de puissance) commandé par l'unité de calcul, caractérisé en ce que l'unité de calcul (12) comprend un calculateur de fonction (14)
et un module de sécurité (16) travaillant d'une manière totale-
ment indépendante en étant reliés par une interface série (18)
qui force les deux calculateurs à l'état Reset par l'étage Re-
set (20) et ces calculateurs se surveillent réciproquement en
continu et en cas de défaut ils peuvent réciproquement se re-
mettre à l'état initial, pour lequel tous les états Reset de
tous les étages de sortie (54) sont coupés avec certitude.
2 ) Circuit selon la revendication 1, caractérisé en ce que le module de sécurité (16) est un calculateur communiquant avec le calculateur de fonction (14) par une interface (18), série,
synchrone à deux fils.
3 ) Circuit selon la revendication 1, caractérisé en ce que le module de sécurité (16) est un calculateur communiquant avec le calculateur de fonction (14) par une interface (18), série,
asynchrone à un fil.
4 ) Circuit selon la revendication 1, caractérisé en ce que le module de sécurité (16) est un circuit logique intelligent
(par exemple un chien de garde) relié au calculateur de fonc-
tion (14).
5 ) Circuit selon une quelconque des revendications précéden-
tes, caractérisé en ce que une sortie Reset (22) du composant Reset (20) est reliée par un étage de commutation (24) à une sortie Reset de programme (28)
du calculateur de sécurité (16), une sortie de l'étage de com-
mutation (24) étant reliée à une entrée NMI (32) et par un au-
tre étage de commutation (34) à une entrée Reset (36) du
calculateur de fonction (14).
6 ) Circuit selon la revendication 5, caractérisé en ce que
l'étage de commutation (24) comporte un élément de temporisa-
tion (30) associé à la sortie Reset de programme (28).
7 ) Circuit selon la revendication 6, caractérisé en ce que
l'élément de temporisation (30) associé est non symétrique.
8 ) Circuit selon la revendication 5 ou 6, caractérisé en ce que
l'étage de commutation (34) est un étage de commutation non in-
versé avec un élément de temporisation (38) pour retarder le
signal d'entrée Reset (RSTIN) par rapport au signal NMI (NMI).
9 ) Circuit selon l'une quelconque des revendications précéden-
tes, caractérisé en ce que
une sortie Reset (44) du calculateur de fonction (14) est cou-
plée par un étage de commutation (26) à la sortie Reset (22) du composant Reset (20), une sortie de l'étage de commutation (26) étant reliée à une entrée Reset (46) du calculateur de sécurité
(16).
) Circuit selon l'une quelconque des revendications précé-
dentes, caractérisé en ce que la sortie de l'étage de commutation (26) est couplée par un étage de commutation (48) à une sortie de coupure d'étage de puissance (52) du calculateur de sécurité (16), une sortie de
l'étage de commutation (48) étant reliée aux étages de puis-
sance (54).
11 ) Circuit selon l'une quelconque des revendications précé-
dentes, caractérisé en ce que les sorties de commutation (56, 58) des calculateurs (14, 16)
sont reliées directement par un étage de puissance EGAS (62).
12 ) Circuit selon l'une quelconque des revendications précé-
dentes, caractérisé en ce que les étages de commutation (24, 34, 26, 48) sont constitués par
des portes ET.
13 ) Circuit selon l'une quelconque des revendications précé-
dentes, caractérisé en ce que
les portes ET comprennent une double diode et/ou des compara-
teurs (K1, K2, K3, K4).
14 ) Circuit selon l'une quelconque des revendications précé-
dentes, caractérisé en ce que
la sortie de l'étage de commutation (48) est reliée à un cir-
cuit d'inversion (64) pour fournir un signal Reset-haut (RSTH).
) Circuit selon l'une quelconque des revendications précé-
dentes, caractérisé en ce que la sortie de l'étage de commutation (24) est reliée par une diode (DF) et la sortie Reset (44) du calculateur de fonction (14) est reliée par l'intermédiaire d'une résistance (RF) pour
former un signal Reset-Flash (RSTFL) par combinaison.
16 ) Circuit selon l'une quelconque des revendications précé-
dentes, caractérisé en ce que les comparateurs (K1, K2, K3, K4) des étages de commutation (24, 34, 26, 48) sont accrochés par leurs entrées positives à la tension de diviseur (UT) formée à partir de l'alimentation
permanente VSTDBY du circuit (10).
17 ) Circuit selon la revendication 12, caractérisé en ce que la tension d'alimentation (UT) des comparateurs (K1, K2, K3,
K4) est obtenue par l'intermédiaire d'une diode (Dv) d'une ré-
sistance de protection (Rv) à partir de la tension de branche- ment (UBRE).
18 ) Circuit selon l'une quelconque des revendications 12 et
13, caractérisé en ce que la tension d'alimentation (UT) des comparateurs (K1, K2, K3,
K4) est appliquée par l'intermédiaire d'un condensateur tampon (Cv).
FR9613654A 1995-11-09 1996-11-08 Circuit electronique pour effectuer une remise a l'etat initial Expired - Fee Related FR2741171B1 (fr)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19541734A DE19541734C2 (de) 1995-11-09 1995-11-09 Schaltungsanordnung zur Durchführung eines Reset

Publications (2)

Publication Number Publication Date
FR2741171A1 true FR2741171A1 (fr) 1997-05-16
FR2741171B1 FR2741171B1 (fr) 2005-01-14

Family

ID=7776987

Family Applications (1)

Application Number Title Priority Date Filing Date
FR9613654A Expired - Fee Related FR2741171B1 (fr) 1995-11-09 1996-11-08 Circuit electronique pour effectuer une remise a l'etat initial

Country Status (4)

Country Link
US (1) US5964888A (fr)
DE (1) DE19541734C2 (fr)
FR (1) FR2741171B1 (fr)
GB (1) GB2307067B (fr)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6144887A (en) 1996-12-09 2000-11-07 Denso Corporation Electronic control unit with reset blocking during loading
JP3513038B2 (ja) * 1998-12-10 2004-03-31 富士通株式会社 命令フェッチ制御装置
JP3376306B2 (ja) * 1998-12-25 2003-02-10 エヌイーシーマイクロシステム株式会社 データ処理装置、そのデータ処理方法
US7436291B2 (en) * 2006-01-03 2008-10-14 Alcatel Lucent Protection of devices in a redundant configuration
DE102007033365A1 (de) * 2007-07-16 2009-01-22 Huf Hülsbeck & Fürst Gmbh & Co. Kg Eine ein temperaturabhängiges Signal liefernde Watchdog-Schaltung für einen Mikrocontroller einer ELV
DE112010005400T5 (de) * 2010-03-18 2013-04-18 Toyota Jidosha Kabushiki Kaisha System für gegenseitige Überwachung von Mikrocomputern und ein Verfahren für gegenseitige Überwachung von Mikrocomputern
DE102011055756A1 (de) * 2011-11-28 2013-05-29 Zf Lenksysteme Gmbh Elektronisches Systemmodul, Verfahren zum Betreiben eines elektronischen Systemmoduls und elektronisches Master-Systemmodul

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3410257A1 (de) * 1984-03-21 1985-09-26 Robert Bosch Gmbh, 7000 Stuttgart Steuerungsanordnung fuer brennkraftmaschinen zum erzeugen eines rueckstellimpulses bei einer stoerung
GB2241361A (en) * 1990-02-15 1991-08-28 Bosch Gmbh Robert Computer system

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3322240A1 (de) * 1982-07-23 1984-01-26 Robert Bosch Gmbh, 7000 Stuttgart Sicherheits-notlaufeinrichtung fuer den leerlaufbetrieb von kraftfahrzeugen
JPH0782449B2 (ja) * 1986-06-09 1995-09-06 株式会社東芝 マイコン誤動作防止回路
DE3700986C2 (de) * 1987-01-15 1995-04-20 Bosch Gmbh Robert Einrichtung zur Überwachung eines Rechnersystems mit zwei Prozessoren in einem Kraftfahrzeug
US5203000A (en) * 1988-12-09 1993-04-13 Dallas Semiconductor Corp. Power-up reset conditioned on direction of voltage change
US5333285A (en) * 1991-11-21 1994-07-26 International Business Machines Corporation System crash detect and automatic reset mechanism for processor cards
US5654888A (en) * 1992-06-20 1997-08-05 Robert Bosch Gmbh Control arrangement for vehicles
US5600785A (en) * 1994-09-09 1997-02-04 Compaq Computer Corporation Computer system with error handling before reset

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3410257A1 (de) * 1984-03-21 1985-09-26 Robert Bosch Gmbh, 7000 Stuttgart Steuerungsanordnung fuer brennkraftmaschinen zum erzeugen eines rueckstellimpulses bei einer stoerung
GB2241361A (en) * 1990-02-15 1991-08-28 Bosch Gmbh Robert Computer system

Also Published As

Publication number Publication date
GB2307067B (en) 1998-04-29
US5964888A (en) 1999-10-12
GB2307067A (en) 1997-05-14
FR2741171B1 (fr) 2005-01-14
DE19541734C2 (de) 1997-08-14
GB9622429D0 (en) 1997-01-08
DE19541734A1 (de) 1997-05-15

Similar Documents

Publication Publication Date Title
FR2769670A1 (fr) Circuit et procede de commande d&#39;une machine electrique
FR2651890A1 (fr) Dispositif de detection et de discrimination de defauts de fonctionnement d&#39;un circuit d&#39;alimentation electrique.
FR2726793A1 (fr) Appareil de commande pour vehicule
EP0621521A2 (fr) Système de sécurité à microprocesseur, applicable notamment au domaine des transports ferroviaires
FR2555331A1 (fr) Circuit comprenant un micro-ordinateur destine notamment au reglage du siege d&#39;un vehicule automobile
FR2741171A1 (fr) Circuit electronique pour effectuer une remise a l&#39;etat initial
EP2285038B1 (fr) Surveillance de l&#39;activité d&#39;un circuit électronique
FR2802493A1 (fr) Equipement de direction assistee electrique
FR2757324A1 (fr) Circuit electronique d&#39;alimentation en tension
FR2768839A1 (fr) Systeme d&#39;affichage d&#39;informations pour vehicule automobile
FR2645649A1 (fr) Dispositif pour le controle de fonctionnement correct d&#39;un commutateur analysant l&#39;etat de fermeture d&#39;un verrou de ceinture de securite dans un vehicule automobile
FR2502412A1 (fr) Perfectionnements aux disjoncteurs sensibles aux courants de fuite
EP2864201B1 (fr) Circuit electrique de coupure d&#39;une alimentation electrique a transistors et fusibles a logique redondee
EP3028356B1 (fr) Système de gestion d&#39;une tension d&#39;alimentation d&#39;un réseau électrique de bord de véhicule automobile
FR2712552A1 (fr) Dispositif de commande de direction assistée actionnée électriquement.
EP1083645B1 (fr) Déclencheur électronique comportant un dispositif d&#39;initialisation
FR2512978A1 (fr) Circuit de rythme controleur de sequence
FR2534751A1 (fr) Circuit de restauration a la mise sous tension pour un systeme de commande electrique
EP0506531B1 (fr) Circuit de détection d&#39;un seuil haut d&#39;une tension d&#39;alimentation
FR2681160A1 (fr) Dispositif d&#39;entree ou de sortie, notamment pour automate programmable.
EP0720193B1 (fr) Dispositif électrique de commande d&#39;ouverture et de fermeture d&#39;un interrupteur ou d&#39;un disjoncteur
EP1465046A1 (fr) Dispositif de protection contre une inversion de polarité
EP3420619B1 (fr) Aéronef comprenant un réseau électrique à courant continu et un système de protection dudit réseau
EP2865062A2 (fr) Circuit electrique de coupure d&#39;une alimentation electrique a relais et fusibles
FR2492262A1 (fr) Procede et dispositif de commande d&#39;un appareil ou instrument notamment un stimulateur cardiaque implantable

Legal Events

Date Code Title Description
ST Notification of lapse

Effective date: 20150731