FR2773232A1 - Procede et dispositif pour la surveillance d'un systeme de calculateur comprenant au moins deux processeurs - Google Patents
Procede et dispositif pour la surveillance d'un systeme de calculateur comprenant au moins deux processeurs Download PDFInfo
- Publication number
- FR2773232A1 FR2773232A1 FR9813935A FR9813935A FR2773232A1 FR 2773232 A1 FR2773232 A1 FR 2773232A1 FR 9813935 A FR9813935 A FR 9813935A FR 9813935 A FR9813935 A FR 9813935A FR 2773232 A1 FR2773232 A1 FR 2773232A1
- Authority
- FR
- France
- Prior art keywords
- processor
- processors
- monitoring
- output signals
- units
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1654—Error detection by comparing the output of redundant processing systems where the output of only one of the redundant processing components can drive the attached hardware, e.g. memory or I/O
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F1/00—Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
- G06F1/26—Power supply means, e.g. regulation thereof
- G06F1/32—Means for saving power
- G06F1/3203—Power management, i.e. event-based initiation of a power-saving mode
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F1/00—Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
- G06F1/26—Power supply means, e.g. regulation thereof
- G06F1/32—Means for saving power
- G06F1/3203—Power management, i.e. event-based initiation of a power-saving mode
- G06F1/3234—Power saving characterised by the action undertaken
- G06F1/3293—Power saving characterised by the action undertaken by switching to a less power-consuming processor, e.g. sub-CPU
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1633—Error detection by comparing the output of redundant processing systems using mutual exchange of the output between the redundant processing components
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1637—Error detection by comparing the output of redundant processing systems using additional compare functionality in one or some but not all of the redundant processing components
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Hardware Redundancy (AREA)
- Power Sources (AREA)
- Debugging And Monitoring (AREA)
- Test And Diagnosis Of Digital Computers (AREA)
Abstract
Procédé pour la surveillance d'un système de calculateur comprenant au moins deux processeurs (1, 2), de préférence dans un appareil de commande (15) pour véhicule utilitaire, le premier des au moins deux processeurs surveillant au moins un second processeur (2) pour son fonctionnement correct, dans lequel le signal de sortie du second processeur ou les grandeurs transmises par celui-ci sont surveillés au moins en vue de leur arrivée dans le temps ou de leur contenu ou de leur forme de signal, caractérisé en ce qu'une transmission des signaux de sortie du second processeur (2) à d'autres unités (12) est fermée lorsque le premier processeur (1) est séparé du second processeur en étant commuté dans un mode d'utilisation consommant moins d'énergie.
Description
La présente invention concerne un procédé ainsi
qu'un dispositif pour la surveillance des fonctions d'un sys-
tème de calculateur comprenant au moins deux processeurs de
préférence dans un appareil de commande pour un véhicule au-
tomobile, le premier des deux processeurs surveillant le fonctionnement correct d'au moins un second processeur en surveillant les signaux de sortie du second processeur ou les
grandeurs qui en sont déduites au moins quant à leur succes-
sion dans le temps ou de leur contenu ou de leur forme de si-
gnal.
Etat de la technique.
On connaît un tel dispositif par exemple d'après le document DE 37 00 986 C2. Ce document décrit un système de calculateur avec deux processeurs qui participent dans une même proportion à la puissance de traitement de l'ensemble du
système. Pour pouvoir détecter à temps les erreurs apparais-
sant le cas échéant, les deux processeurs se surveillent ré-
ciproquement. Cette surveillance se fait selon un échange
cyclique de données entre deux processeurs selon une procé-
dure de " poignée de main ". Dans ce cas, il est possible que
les processeurs puissent chacun se réinitialiser réciproque-
ment; par exemple après la disparition d'une action pertur-
batrice sur le bus entrée/sortie I/O de l'un des deux processeurs ou lors d'une coupure totale, durable, de l'un des deux processeurs. En plus de la surveillance au moyen d'un échange cyclique de données, on prévoit un premier et un
second circuit de pompage associés chacun à un processeur.
Les deux circuits de pompage délivrent, sous une logique po-
sitive, chacun un état logique 1 aussi longtemps qu'ils sont
commandés par un signal de synchronisation du processeur as-
socié. La surveillance des signaux de sortie des deux cir-
cuits de pompage à chaque fois par l'autre processeur offre, dans le cas d'un circuit " chien de garde " (Watch-Dog), une
seconde possibilité de surveillance réciproque.
Le dispositif décrit ici permet une surveillance réciproque fiable de deux processeurs qui peuvent effectuer des tâches de même priorité ou de priorité inférieure. Si
l'un des deux processeurs n'est pas utilisé durant un inter-
valle de temps qui lui est connu d'avance ou dans un inter-
valle prévisible, il serait avantageux, pour réduire la perte de puissance, de pouvoir commuter le processeur pendant cet
intervalle dans un mode d'utilisation plus économe en éner-
gie. De tels modes de fonctionnement économisant l'énergie (Power-SaveModus) sont déjà connus en tant que tels pour les processeurs et peuvent souvent être activés ou désactivés par
une entrée de commande externe. Durant un tel mode de fonc-
tionnement en économie de puissance, en règle générale, le
processeur n'exécute pas d'opération, ce qui réduit la de-
mande de courant et ainsi la consommation de puissance par rapport à une utilisation normale. Cela signifie toutefois que pendant un tel mode d'économie de puissance, on ne peut pas non plus effectuer des opérations de surveillance d'un
autre processeur. Ainsi, dans le circuit connu d'après le do-
cument DE 37 00 986 C2, il est impossible de commuter l'un des deux processeurs dans un mode d'économie de puissance
sans interrompre la continuité de la surveillance de fonc-
tionnement.
But, solutions et avantages selon l'invention.
Le but de la présente invention est de réaliser un dispositif et un procédé selon lesquels un fonctionnement sans erreur du système de calculateurs est réalisé également lorsque l'un des processeurs prenant part à la surveillance
réciproque est commuté dans un mode économie de puissance.
Ce problème est résolu par un procédé selon le-
quel on bloque la transmission des signaux de sortie du se-
cond processeur à d'autres unités si le premier processeur est mis, indépendamment du second processeur, dans un mode
d'économie de puissance.
Il est également résolu par un dispositif selon lequel des premiers moyens ou dispositifs avec lesquels un
premier d'au moins deux processeurs peut surveiller le fonc-
tionnement correct d'au moins un second processeur, caractérisé par - des seconds moyens mettant le premier processeur séparément du second processeur, dans un mode d'économie d'énergie, - des troisièmes moyens supprimant les signaux de sortie du second processeur et - les troisièmes moyens peuvent être commandés par le premier processeur. L'idée de base de l'invention est que l'on peut renoncer à la surveillance du fonctionnement aussi longtemps que celui-ci n'a pas d'influence sur l'extérieur. En termes
techniques, cela signifie que l'on peut renoncer à la sur-
veillance aussi longtemps que le processeur surveillé ne transmet pas de signal vers d'autres unités. De telles autres unités peuvent par exemple être d'autres calculateurs, un
élément de réseau ou de's actionneurs d'un système de régula-
tion. Selon l'invention on a un dispositif et un procédé se-
lon lesquels les signaux de sortie du processeur surveillé sont bloqués aussi longtemps que le processeur assurant la
surveillance se trouve dans un mode d'économie de puissance.
Des réalisations avantageuses de l'invention se-
ront décrites plus en détail ci-après à l'aide d'un exemple
de réalisation.
Il est avantageux selon l'invention d'assurer de manière fiable la surveillance d'un processeur par un autre processeur même si le processeur surveillant est commuté dans un mode d'économie de puissance. Un dispositif selon l'invention permet ainsi, sans diminution de la surveillance de fonctionnement, d'économiser de la puissance; cela est particulièrement nécessaire pour l'utilisation d'un système à
plusieurs processeurs selon l'invention dans un véhicule au-
tomobile. Il est en outre très simple de réaliser l'invention
économiquement ainsi qu'avec une faible dépense de moyens.
D'autres avantages seront décrits plus en détail à l'aide de
l'exemple de réalisation ci-après.
Suivant d'autres caractéristiques avantageuses du procédé: le blocage des signaux de sortie du second processeur par
le premier processeur est supprimé lorsque celui-ci est ré-
tabli dans son mode normal d'utilisation et qu'un contrôle
réciproque du premier et du second processeur n'a pas révé-
lé d'erreur; * on envoie une information aux autres unités permettant de reconnaître si les signaux de sortie du second processeur
sont ou non supprimés.
Suivant d'autres caractéristiques avantageuses du dispositif: * le second processeur est relié à d'autres unités et des moyens sont prévus pour signaler aux autres unités si les signaux de sortie du second processeur sont supprimés, * les seconds moyens, à l'aide desquels le premier processeur
peut être commuté dans un mode d'économie d'énergie, peu-
vent être activés par le second processeur, * le premier processeur est un processeur de traitement de
signaux pour traiter les signaux de mesure reçus et le se-
cond processeur est un processeur de définition de signaux de commande pour définir des signaux de commande au moins en fonction des signaux de mesure traités par le premier processeur, * le premier processeur est un processeur de traitement de signaux d'un capteur de distance et le second processeur
est un processeur de régulation de vitesse de véhicule.
Description de l'exemple de réalisation.
Un exemple de réalisation avantageux de l'invention sera décrit plus en détail ci-après à l'aide des figures. Ainsi:
- la figure 1 est un schéma par blocs d'un exem-
ple de réalisation préférentiel, - la figure 2 est un ordinogramme d'un procédé mis en oeuvre par le premier processeur, - la figure 3 est un ordinogramme d'un procédé
mis en oeuvre par le second processeur.
La figure 1 montre un schéma par blocs d'un exem-
ple de réalisation avantageux de l'invention. La référence 1
désigne un premier processeur. La référence 2 désigne un se-
cond processeur et la référence 3 désigne l'alimentation en
tension, ces trois moyens appartiennent à un appareil de com-
mande 15. L'alimentation en tension 3 alimente, par les li-
gnes 14, les processeurs 1 et 2 avec la puissance qui leur est nécessaire. Les deux processeurs 1 et 2 sont reliés aux lignes de liaison 12 correspondantes par une interface, ce qui leur permet d'échanger des données ou des ordres de com- mande. Le processeur 2 est relié par une ligne d'émission 9 à5 une porte ET 4 qui constitue une porte de commutation. Une seconde entrée de la porte ET 4 est reliée avec la sortie d'un flip-flop 6. Le flip-flop 6 est commandé à son entrée de pilotage par un signal de commande 8 du processeur 1. A son entrée de remise à l'état initial, le flip-flop 6 reçoit un signal de commande 7 du processeur 2. La sortie de la porte ET 4 est reliée à un bloc 5 qui représente une interface avec
un réseau extérieur. Le'bloc 5 contient par exemple un compo-
sant pilote destiné à commander un bus de réseau extérieur.
D'autres unités 12 sont reliées à ce réseau. Dans
l'application préférentielle de l'invention à un véhicule au-
tomobile, le bus de réseau externe est de préférence un bus
CAN (Controler Area Network) connu dans ce domaine. Les au-
tres unités sont par exemple d'autres appareils de commande.
La référence 10 désigne une ligne de réception par laquelle on transmet les signaux de réception des autres unités au processeur 2. Naturellement, la ligne d'émission 9
et la ligne de réception 10 peuvent comprendre plusieurs li-
gnes parallèles. La ligne de commande 7 du processeur 2 con-
duit de plus à une entrée de coupure d'alimentation du processeur 1. La référence 11 désigne une résistance d'excursion basse servant à stabiliser le niveau de signal
sur la conduite de commande 8. En outre, une liaison 16 con-
duit de la sortie du flip-flop à une entrée du processeur 1.
Ainsi, le processeur 1 reçoit une information sur l'état de
sortie du flip-flop 6.
Dans l'exemple de réalisation représenté, le pro-
cesseur 1 est un processeur de signaux d'un capteur de dis-
tance, en particulier un système de radar installé dans un véhicule pour la détection des véhicules le précédant. Le processeur 2 est un processeur de détermination de signaux de commande pour déterminer des signaux de commande au moyen des
données reçues du processeur de signaux 1. De manière con-
crète, le processeur 2 est un processeur de commande pour dé-
terminer les valeurs de consigne d'un régulateur adaptatif de vitesse de véhicule. L'invention n'est toutefois aucunement limitée à l'utilisation des processeurs et elle peut être transposée à n'importe quel système de calculateur utilisant au moins deux processeurs. Dans le mode d'utilisation du dispositif, les
deux processeurs 1 et 2 travaillent selon leur fonction prin-
cipale respective. En même temps, au moins, le processeur 1
surveille le processeur 2. De préférence, les deux proces-
seurs se surveillent réciproquement comme cela est connu par exemple d'après le document DE 37 00 986 C2. La surveillance réciproque se fait ici par exemple par un échange de données de contrôle par l'interface 13. On peut ainsi déterminer que chacun des deux processeurs reçoit une question de contrôle
venant de l'autre processeur, dans une grille de temps prédé-
terminée. Si l'interrogation de contrôle reste éteinte dans
une grille de temps prédéterminée, cela est un indice de dys-
fonctionnement. Si l'interrogation de contrôle s'allume à l'un des processeurs, celui-ci répond dans une grille de temps également prédéterminée avec une valeur de données
qu'il détermine lui-même. Si la valeur de données qu'il a dé-
terminée se différencie d'une valeur attendue, on a également
un indice d'un dysfonctionnement. Les questions et les répon-
ses de contrôle contiennent ainsi des exercices de tests que chacun des processeurs pose à l'autre dans la grille de temps prédéterminée. Les exercices test sont de préférence posés de sorte qu'ils correspondent au plus grand nombre possible de
zones du matériel et des programmes du processeur contrôlé.
Cela donne une grande représentativité aux résultats des con-
trôles. Il est particulièrement avantageux que les réponses erronées aux contrôles permettent un retour sur l'erreur de fonctionnement ou la source d'erreur. Grâce à la grille de temps prédéterminée on réalise une fonction " chien de garde ". Naturellement, la surveillance réciproque des deux
processeurs peut être complétée ou remplacée par d'autres procédés.
Si pour un intervalle de temps connu ou escompté,
la puissance de calcul ou de traitement de signal du proces-
seur 1 n'est pas nécessaire sur le plan de sa fonction prin-
cipale, il est intéressant de commuter celui-ci dans un mode
de fonctionnement économisant de l'énergie (Power-Save-
Modus). Pour cela, on connaît différentes possibilités. Selon la figure 1, une telle commutation du processeur 1 se fait selon l'exemple de réalisation représenté ici au moyen du processeur 2 par la ligne de commande 7. Comme le processeur 1 n'effectue pas d'opération dans ce mode d'utilisation en économie de puissance, il n'est pas en mesure de répondre ou
de poser les questions de contrôle au processeur 1. Le pre-
mier cas n'est pas critique car le processeur 1 n'effectue
pas lui-même d'opération de calcul et ainsi un dysfonctionne-
ment n'a pas de conséquence. Le fonction sûr du processeur 2
n'est toutefois plus réalisé. On peut imaginer une telle si-
tuation par exemple dans l'utilisation mentionnée ci-dessus si le processeur 1 équipe un capteur de distance et si le
processeur 2 est installé dans un régulateur de vitesse adap-
tatif. Si par exemple, on n'utilise pas, pendant un inter-
valle de temps prédéterminé, la mesure de distance par le
processeur 1, lorsque le fonctionnement du régulateur de vi-
tesse adaptatif est désactivé, par exemple par un actionne-
ment du frein par le conducteur sans qu'il soit
définitivement éteint. Dans un tel cas, il peut être avanta-
geux, pour économiser de l'énergie, que le processeur 2 com-
mute le processeur 1 en mode économie de puissance. Selon l'invention, le flip-flop 6 bloque alors la porte 4. Selon
une variante, la porte 4 peut également être directement blo-
quée, par exemple par le signal de commande 8. Pour cela, le processeur 1 doit mettre le signal de commande 8 à un niveau bas pendant qu'il se trouve en mode économie de puissance. En
outre, il y a un grand nombre d'autres possibilités pour com-
mander la porte 4, qui font, sans aucun doute, partie des
connaissances normales de l'homme de l'art.
Le blocage de la porte 4 a pour conséquence que les signaux de sortie du processeur 2 ne peuvent plus arriver au bloc 5 et ainsi aux autres unités 12. On empêche ainsi l'influence extérieure du processeur 2. Cela ne signifie pas nécessairement que le processeur 2 est déconnecté. Il peut, comme précédemment, recevoir des données ou des ordres de commande par la ligne de réception 10 et les traiter. Par une dérivation de la ligne de commande 8, on signale de manière avantageuse au processeur 2 que son influence vers l'extérieur est interdite par le processeur 1. La figure 2 montre au moyen d'un ordinogramme les différentes étapes ayant lieu dans le premier processeur, dans l'exemple de réalisation selon l'invention. Après chaque démarrage et ainsi également après chaque arrêt d'un mode de
fonctionnement d'économie de puissance, le processeur 1 at-
tend dans l'étape 20 au moins un exercice de contrôle venant
du processeur 2. Selon l'étape 21, il réalise l'exercice de-
mandé et transmet ses résultats au processeur 2, à l'étape
22. Enfin le processus 1 à l'étape 23 met à l'état de son co-
té une remise de test au processeur 2. L'étape 24 désigne une boucle d'attente durant laquelle le processeur 1 attend les résultats du processeur 2. S'il n'y a pas de réponse après qu'un temps d'attente prédéterminé se soit écoulé, ou si la réponse selon l'étape 26 ne correspond pas à celle attendue, cela est un indice d'un état d'erreur au processeur 2. Dans
les deux cas, le processeur passe à une routine d'erreur 210.
Au cas contraire, on vérifie selon l'étape 27 si la porte 4 est bloquée. Cela peut se faire de préférence selon le niveau du signal de la ligne 16. Si la porte est bloquée, celle-ci
est libérée par l'étape 28 sinon le procédé se poursuit di-
rectement par le programme principal 29 du processeur 1. En
général, les étapes 20 à 26 qui constituent le contrôle réci-
proque des deux processeurs, sont répétés cycliquement. Cela
est représenté ici par exemple par l'extension 211.
La figure 3 montre, au moyen d'un ordinogramme, les étapes du procédé se déroulant dans le processeur 2 selon l'exemple de réalisation. Dans le cas normal, le processeur 2 effectue son programme principal 38. Si le processeur 1 doit être commuté dans son mode d'économie de puissance, alors, le processus se poursuit par l'étape 30. On transmet ici au moins une information aux autres unités 12 leur signifiant que les signaux de sortie du processeur 2 seront bloqués par la suite. Une telle information aux autres unités 12 est avantageuse pour que celles-ci ne concluent pas à une erreur
de fonctionnement du processeur 2 ou de son appareil de com-
mande 15, lors de l'absence de signaux de sortie demandés.
Cette information peut se faire par les circuits aussi bien que par les programmes. Ici, c'est une solution par les pro- grammes qui est représentée selon laquelle un ROMF = 1
(drapeau de mémoire morte) est transmis aux autres unités 12.
Ensuite, le mode d'économie de puissance du processeur 1 est activé par la ligne de commande 7 au cours de l'étape 31. En même temps, dans le circuit représenté à la figure 1, le flip-flop est remis à l'état initial de sorte que la porte ET 4 bloque les signaux de sortie du processeur 2. Selon l'étape
32, le processeur 2 peut maintenant exécuter un programme in-
terne qui ne crée pas de signaux sortant pour les autres uni-
tés 12. L'étape 31 contient une interrogation demandant si le
processeur 1 doit à nouveau être commuté en régime normal.
Cela est nécessaire, d'une part, lorsque le processeur 2 veut transmettre des signaux de sortie aux autres unités 12 ou, d'autre part, lorsque le processeur 1 est à nouveau utilisé
dans le cadre de sa fonction principale, normale. Si le pro-
cesseur 1 doit à nouveau être commuté dans son régime normal, alors le processeur reprend le signal Power-Down à la ligne de commande 7 à l'étape 34. Selon l'étape 35 on a ensuite une
interrogation réciproque des deux processeurs comme le mon-
trent les étapes 20 à 26 de la figure 2. Si l'interrogation délivre un indice pour une erreur, alors le processus se poursuit selon l'étape 36 par un traitement particulier 39 de l'erreur. S'il n'apparaît pas d'indice d'erreur selon l'étape
37, on transmet une information aux autres unités 12 indi-
quant que les signaux de sortie du processeur 2 ou de l'appareil de commande 15 ne sont plus bloqués. Selon l'étape , on ne transmet alors aux autres unités 12 qu'un signal ROMF = 0. Ensuite, le processeur 2 effectue à nouveau son programme principal 38. Du fait de la vérification réciproque des étapes 20 à 26, ou 35, on est certain qu'à chaque instant le processeur 2 travaille sans erreur lorsqu'il transmet un
signal sortant aux autres unités 12. Malgré cela, le proces-
seur 1 peut être commuté périodiquement en mode d'économie de
puissance, comme cela a été montré.
De manière avantageuse, la porte 4 est également
bloquée par le processeur 1 lorsque celui-ci détecte une er-
reur de fonctionnement du processeur 2 lors du contrôle de fonctionnement. Inversement, dans un tel cas, le processeur 2 peut commuter le processeur 1 en mode d'économie de puissance ou alternativement le remettre dans son état initial comme
cela est connu d'après le document DE 37 00 986 C2.
L'exemple de réalisation décrit ici représente
une utilisation avantageuse mais non limitative de l'inven-
tion. On peut par exemple utiliser plus de deux processeurs 1 et 2. Un contrôle réciproque ainsi qu'une commutation dans un
mode d'économie de puissance peuvent alors être envisagés se-
lon différentes combinaisons. Le cas échéant, le principe de base de l'invention d'une surveillance réciproque de deux processeurs peut être utilisé pour la surveillance réciproque de deux ou plus de deux appareils de commande complets. Dans ce cas également on peut utiliser, selon l'idée de base de l'invention, la commutation d'un appareil de commande prenant
part à la surveillance réciproque en mode d'économie de puis-
sance.
Claims (6)
1 ) Procédé pour la surveillance d'un système de calculateur comprenant au moins deux processeurs (1, 2), de préférence
dans un appareil de commande (15) pour un véhicule automo-
bile, le premier des deux processeurs surveillant le fonc- tionnement correct d'au moins un second processeur (2) en surveillant les signaux de sortie du second processeur ou les
grandeurs qui en sont déduites au moins quant à leur succes-
sion dans le temps ou de leur contenu ou de leur forme de si-
gnal (23-26), caractérisé en ce qu' on bloque la transmission des signaux de sortie du second
processeur (2) à d'autres unités (12) si le premier proces-
seur (1) est mis, indépendamment du second processeur, dans
un mode d'économie de puissance (31).
2 ) Procédé selon la revendication 1, caractérisé en ce que le blocage des signaux de sortie du second processeur par le
premier processeur est supprimé (28) lorsque celui-ci est ré-
tabli dans son mode normal d'utilisation (34) et qu'un con-
trôle réciproque (35) du premier et du second processeur n'a
pas révélé d'erreur.
3 ) Procédé selon la revendication 1, caractérisé en ce qu' on envoie une information (30, 37) aux autres unités (12) permettant de reconnaître si les signaux de sortie du second
processeur sont ou non supprimés.
4 ) Dispositif pour la surveillance d'un système de calcula-
teur comprenant au moins deux processeurs (1, 2), de préfé-
rence dans un appareil de commande pour un véhicule automobile comprenant - des premiers moyens ou dispositifs (13) avec lesquels un premier d'au moins deux processeurs (1) peut surveiller le fonctionnement correct d'au moins un second processeur (2), caractérisé par
- des seconds moyens mettant le premier processeur (1) sépa-
rément du second processeur, dans un mode d'économie d'énergie (7), - des troisièmes moyens (4) supprimant les signaux de sortie du second processeur (2) et - les troisièmes moyens (4) peuvent être commandés par le premier processeur (1) ) Dispositif selon la revendication 4, caractérisé en ce que le second processeur (2) est relié à d'autres unités (12) et des moyens sont prévus pour signaler aux autres unités si les
signaux de sortie du second processeur sont supprimés.
6 ) Dispositif selon la revendication 4, caractérisé en ce que les seconds moyens, à l'aide desquels le premier processeur
(1) peut être commuté dans un mode d'économie d'énergie, peu-
vent être activés par le second processeur (2).
7 ) Dispositif selon la revendication 4, caractérisé en ce que le premier processeur (1) est un processeur de traitement de signaux pour traiter les signaux de mesure reçus et le second processeur (2) est un processeur de définition de signaux de commande pour définir des signaux de commande au moins en
fonction des signaux de mesure traités par le premier proces-
seur (1) 8 ) Dispositif selon la revendication 7, caractérisé en ce que le premier processeur (1) est un processeur de traitement de signaux d'un capteur de distance et le second processeur (2)
est un processeur de régulation de vitesse de véhicule.
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE19749068A DE19749068B4 (de) | 1997-11-06 | 1997-11-06 | Verfahren und Vorrichtung zur Überwachung eines Rechnersystems bestehend aus wenigstens zwei Prozessoren |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| FR2773232A1 true FR2773232A1 (fr) | 1999-07-02 |
| FR2773232B1 FR2773232B1 (fr) | 2005-05-13 |
Family
ID=7847818
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| FR9813935A Expired - Fee Related FR2773232B1 (fr) | 1997-11-06 | 1998-11-05 | Procede et dispositif pour la surveillance d'un systeme de calculateur comprenant au moins deux processeurs |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US6351823B1 (fr) |
| JP (1) | JP4377463B2 (fr) |
| DE (1) | DE19749068B4 (fr) |
| FR (1) | FR2773232B1 (fr) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6944779B2 (en) * | 1999-07-14 | 2005-09-13 | Visteon Global Technologies, Inc. | Power management fault strategy for automotive multimedia system |
| US6735716B1 (en) * | 1999-09-27 | 2004-05-11 | Cisco Technology, Inc. | Computerized diagnostics and failure recovery |
| US6766460B1 (en) * | 2000-08-23 | 2004-07-20 | Koninklijke Philips Electronics N.V. | System and method for power management in a Java accelerator environment |
| US7111195B2 (en) * | 2002-02-25 | 2006-09-19 | General Electric Company | Method and system for external clock to obtain multiple synchronized redundant computers |
| US7747356B2 (en) | 2002-02-25 | 2010-06-29 | General Electric Company | Integrated protection, monitoring, and control system |
| US20030212473A1 (en) * | 2002-02-25 | 2003-11-13 | General Electric Company | Processing system for a power distribution system |
| AU2003224622A1 (en) * | 2002-02-25 | 2003-09-09 | General Electric Company | Configuring a centrally controlled circuit breaker protection system |
| US7532955B2 (en) * | 2002-02-25 | 2009-05-12 | General Electric Company | Distributed protection system for power distribution systems |
| JP3835312B2 (ja) * | 2002-03-07 | 2006-10-18 | 株式会社デンソー | 車両用電子制御装置 |
| US7117390B1 (en) * | 2002-05-20 | 2006-10-03 | Sandia Corporation | Practical, redundant, failure-tolerant, self-reconfiguring embedded system architecture |
| US7162279B2 (en) * | 2002-12-20 | 2007-01-09 | Intel Corporation | Portable communication device having dynamic power management control and method therefor |
| US7127621B2 (en) * | 2002-12-21 | 2006-10-24 | Emc Corporation | Peer power control |
| US7636616B2 (en) * | 2003-02-25 | 2009-12-22 | General Electric Company | Protection system for power distribution systems |
| GB2401467B (en) * | 2003-05-09 | 2006-01-25 | Autoliv Dev | Improvements in or relating to a movable or removable unit for a motor vehicle |
| DE102006029514B3 (de) * | 2006-06-27 | 2007-05-31 | Atmel Germany Gmbh | Schaltungsanordnung und Verfahren zum Steuern mindestens eines Aktors in einem Kraftfahrzeug |
| US9623817B2 (en) * | 2010-02-12 | 2017-04-18 | GM Global Technology Operations LLC | Method and system for controlling electrical systems of vehicles |
| WO2012079214A1 (fr) * | 2010-12-13 | 2012-06-21 | Mediatek Singapore Pte. Ltd. | Système de protection à bord d'un véhicule utilisant de multiples unités de traitement et/ou utilisant un module de téléphone mobile pour envoyer des informations de positionnement |
| US9676368B2 (en) | 2010-12-13 | 2017-06-13 | Mediatek Singapore Pte. Ltd. | In-vehicle protection system using multiple processing units and/or using communication module to send positioning information |
| DE102012201185A1 (de) | 2012-01-27 | 2013-08-01 | Siemens Aktiengesellschaft | Verfahren zum Betreiben mindestens zweier Datenverarbeitungseinheiten mit hoher Verfügbarkeit, insbesondere in einem Fahrzeug, und Vorrichtung zum Betreiben einer Maschine |
| US9329667B2 (en) * | 2012-11-21 | 2016-05-03 | Completecover, Llc | Computing device employing a proxy processor to learn received patterns |
| JP5831523B2 (ja) * | 2013-10-09 | 2015-12-09 | 株式会社デンソー | 電子制御装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE3700986A1 (de) * | 1987-01-15 | 1988-07-28 | Bosch Gmbh Robert | Einrichtung zur ueberwachung eines rechnersystems mit zwei prozessoren in einem kraftfahrzeug |
| US5464435A (en) * | 1994-02-03 | 1995-11-07 | Medtronic, Inc. | Parallel processors in implantable medical device |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4598356A (en) * | 1983-12-30 | 1986-07-01 | International Business Machines Corporation | Data processing system including a main processor and a co-processor and co-processor error handling logic |
| GB8729901D0 (en) * | 1987-12-22 | 1988-02-03 | Lucas Ind Plc | Dual computer cross-checking system |
| DE4112334A1 (de) * | 1991-04-16 | 1992-10-22 | Bosch Gmbh Robert | Mehrrechnersystem in einem kraftfahrzeug |
| DE4114999C2 (de) * | 1991-05-08 | 2001-04-26 | Bosch Gmbh Robert | System zur Steuerung eines Kraftfahrzeuges |
| JPH0510201A (ja) * | 1991-07-04 | 1993-01-19 | Fuji Heavy Ind Ltd | 車輌の制御方法 |
| US5367697A (en) * | 1991-10-22 | 1994-11-22 | Bull Hn Information Systems Inc. | Means for providing a graceful power shut-down capability in a multiprocessor system having certain processors not inherently having a power shut-down capability |
| JP3358412B2 (ja) * | 1995-12-04 | 2002-12-16 | トヨタ自動車株式会社 | 車両用電子制御装置 |
| DE19653551C1 (de) * | 1996-12-20 | 1998-02-05 | Siemens Ag | Verfahren zur Überprüfung der Funktionsfähigkeit einer Recheneinheit |
-
1997
- 1997-11-06 DE DE19749068A patent/DE19749068B4/de not_active Expired - Fee Related
-
1998
- 1998-11-05 FR FR9813935A patent/FR2773232B1/fr not_active Expired - Fee Related
- 1998-11-05 US US09/187,101 patent/US6351823B1/en not_active Expired - Fee Related
- 1998-11-06 JP JP31578498A patent/JP4377463B2/ja not_active Expired - Lifetime
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE3700986A1 (de) * | 1987-01-15 | 1988-07-28 | Bosch Gmbh Robert | Einrichtung zur ueberwachung eines rechnersystems mit zwei prozessoren in einem kraftfahrzeug |
| US5464435A (en) * | 1994-02-03 | 1995-11-07 | Medtronic, Inc. | Parallel processors in implantable medical device |
Also Published As
| Publication number | Publication date |
|---|---|
| DE19749068B4 (de) | 2005-03-10 |
| FR2773232B1 (fr) | 2005-05-13 |
| DE19749068A1 (de) | 1999-05-12 |
| JP4377463B2 (ja) | 2009-12-02 |
| US6351823B1 (en) | 2002-02-26 |
| JPH11250029A (ja) | 1999-09-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| FR2773232A1 (fr) | Procede et dispositif pour la surveillance d'un systeme de calculateur comprenant au moins deux processeurs | |
| US20130117865A1 (en) | Message control system for a portable device | |
| FR2822562A1 (fr) | Procede et dispositif de surveillance d'unites de commande | |
| FR2986881A1 (fr) | Procede d'election de l'equipement maitre actif parmi deux equipements maitres redondants | |
| WO2022062672A1 (fr) | Procédé de traitement de défaut de capteur et appareil associé | |
| CN109842676B (zh) | 空中下载控制方法、电子设备、汽车及可读存储介质 | |
| KR101802858B1 (ko) | 자동차용 통합데이터 처리 제어 시스템 및 방법 | |
| CN110789349A (zh) | 一种车辆行驶中控制器被重启的处理方法及装置 | |
| JP2004503135A (ja) | 車両通信ネットワークに接続された機器の作動方法 | |
| CN113428177A (zh) | 一种车辆控制方法、装置、设备及存储介质 | |
| EP1865412A1 (fr) | Pilotage d'un dispositif multifonctions | |
| CN115923796A (zh) | 车辆蠕行控制方法、装置、电子设备及存储介质 | |
| EP3513294B1 (fr) | Dispositif de controle de la reinitialisation d'un calculateur embarque automobile | |
| CN103488552B (zh) | 一种局部放电智能故障恢复系统及其工作方法 | |
| CN116009510A (zh) | 车载控制系统异常处理方法、装置和车辆 | |
| CN113300913B (zh) | 一种设备测试方法、装置、测试设备及存储介质 | |
| CN113183988B (zh) | 一种车辆自动驾驶的监督方法、装置、设备及存储介质 | |
| CN115416670A (zh) | 脱手检测方法、装置、电子设备、存储介质及车辆 | |
| CN115426607B (zh) | 一种音频诊断方法、装置、电子设备及存储介质 | |
| CN116504054A (zh) | 路侧设备的服务控制方法、装置及电子设备、存储介质 | |
| JPH0668714B2 (ja) | オンライン端末の電源制御方法 | |
| CN117929610A (zh) | 一种液相色谱仪系统控制方法及装置 | |
| WO2021110820A1 (fr) | Système électronique de commande d'un aéronef sans pilote à bord, procédés et programmes d'ordinateur associés | |
| CN113792016A (zh) | 提取行车数据的方法、装置、设备和介质 | |
| FR3108084A1 (fr) | Procédé et dispositif de surveillance de l’état de vigilance d’un conducteur lors d’une phase de conduite autonome d’un véhicule |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| ST | Notification of lapse |
Effective date: 20130731 |