JP2000507020A - 計算ユニットの機能性の検査方法 - Google Patents

計算ユニットの機能性の検査方法

Info

Publication number
JP2000507020A
JP2000507020A JP10528210A JP52821098A JP2000507020A JP 2000507020 A JP2000507020 A JP 2000507020A JP 10528210 A JP10528210 A JP 10528210A JP 52821098 A JP52821098 A JP 52821098A JP 2000507020 A JP2000507020 A JP 2000507020A
Authority
JP
Japan
Prior art keywords
calculation
result
instruction
computing unit
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP10528210A
Other languages
English (en)
Inventor
ツィーグラー ヘルベルト
メール リヒャルト
ヨウヴェナール ホルスト
ペータース ディートマー
シュミット ヨハン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of JP2000507020A publication Critical patent/JP2000507020A/ja
Pending legal-status Critical Current

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T8/00Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force
    • B60T8/32Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration
    • B60T8/88Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means
    • B60T8/885Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means using electrical circuitry
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/26Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
    • F02D41/266Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor the computer being backed-up or assisted by another circuit, e.g. analogue
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T2270/00Further aspects of brake control systems not otherwise provided for
    • B60T2270/40Failsafe aspects of brake control systems
    • B60T2270/406Test-mode; Self-diagnosis
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0043Signal treatments, identification of variables or parameters, parameter estimation or state estimation
    • B60W2050/0044In digital systems
    • B60W2050/0045In digital systems using databus protocols
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • B60W2050/021Means for detecting failure or malfunction

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Transportation (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • Retry When Errors Occur (AREA)
  • Devices For Executing Special Programs (AREA)
  • Debugging And Monitoring (AREA)
  • Hardware Redundancy (AREA)

Abstract

(57)【要約】 第2の計算ユニットが第1の計算ユニットに計算規定およびスタート値を予め与える、第2の計算ユニットによって第1の計算ユニットの機能性を検査するための方法が提供される。第1の計算ユニットは前以て与えられたスタート値によって計算規定を実施しかつ該結果を前記第2の計算ユニットに返送する。第2の計算ユニットはこの結果をファイルされている参照結果と比較する。計算規定は、第1の計算ユニットのプログラミングのために使用される基本命令が検査されるように、構成されている。

Description

【発明の詳細な説明】 計算ユニットの機能性の検査方法 本発明は、請求項1の上位概念に記載の計算ユニットの機能性の検査方法に関 する。 計算ユニットの機能性の検査方法は殊に、計算ユニットが車両の安全性にとっ て重要な機能を制御するとき、車両技術において使用される。例えば、走行速度 調整器の制御または絞り弁位置の制御は安全性にとって重要であるので、走行速 度調整器または絞り弁位置を制御する計算ユニットは正しい機能性について検査 される。 ドイツ連邦共和国特許出願公開第4438714号公報から、出力制御のため に、制御機能および監視機能を実施するための計算エレメントが設けられている 、車両の駆動エレメントの制御方法が公知である。この計算エレメントは3つの 独立したレベルに分割されている。第1のレベルは出力の制御を実施し、第2の レベルは制御の実施を監視しかつ第3のレベルは第2のレベルの機能性を監視す る。 第2のレベルは、出力の予備設定値と調整設定値との比較によって絞り弁を制 御するための制御機能を監視する。 本発明の課題は、障害が確実に検出される、計算ユ ニットの機能性を監視するための方法を提供することである。 本発明の課題は、請求項1の特徴部分に記載の構成によって解決される。 本発明の重要な利点は、機能を処理するための計算ユニットが使用する基本機 能が検査されるという点にある。 本発明の有利な態様および改良例はその他の請求項に記載されている。 本発明を図面に基づいて詳細に説明する。その際: 第1図は、制御装置を有する車両の基本構成を示すブロック線図であり、 第2図は、プログラムシーケンスを示す略図であり、 第3図は、命令テーブルを示す図であり、 第4図は、結果テーブルを示す図であり、 第5図は、プログラムシーケンスを示す略図であり、 第6図は、第1のサブプログラムのシーケンスを示す略図であり、 第7図は、第2のサブプログラムのシーケンスを示す略図であり、 第8図は、第3のサブプログラムのシーケンスを示す略図である。 第1図には、噴射装置を備えた車両に対する制御部の構成が略示されている。 噴射装置は吸気ダクト12を有しており、ここには絞り弁調整器2が配属されて いる絞り弁17が配置されている。内燃機関1は更に、排気ガスを排出するため の排気ガスダクト13を有している。更に、ガスペダル14が設けられており、 その位置はガスペダル発生器11によって検出される。 ガスペダル発生器11はセンサ線路15を介して第1の計算ユニット3に接続 されている。この計算ユニットは制御線路4を介して第1のメモリ5に接続され ており、第1のデータバス16を介して内燃機関1に接続されており、第2のデ ータバス7を介して第2の計算ユニット8に接続されている。第2の計算ユニッ ト8は第2のデータ線路9を介して第2のメモリ10に接続されている。 本発明の方法を以下、内燃機関1の出力制御の例に基づいて説明する。この場 合、内燃機関の出力は絞り弁17の位置を介して調整設定される。 運転者が所望する出力はガスペダル14の相応の操作を介して指示される。ガ スペダル14の位置は、ガスペダル発生器11によって測定されかつ第1の制御 装置3に転送される。それから第1の制御装置3は、運転者の希望を絞り弁調整 器2の相応の制御に変換する。絞り弁調整器は絞り弁17を調整設定する。 第1の計算ユニット3は、更に、運転者の希望から、第1のデータバス16を 介して第1の計算ユニット3に供給される、内燃機関1のパラメータを考慮しか つ第1のメモリ5にファイルされている計算および制御関数を使用して、絞り弁 調整器を制御する制御信号を計算する。有利には例えば外気温度または湿度のよ うな周囲のパラメータが考慮される。 第1の計算ユニット3の正しい機能性は第2の計算ユニット8によって第2の データバス7を介するデータ交換によって検査され、その際第2の計算ユニット 8は第2のメモリ10にファイルされているデータにアクセスする。 第2図には、第1の計算ユニット3の正しい機能性を第2の計算ユニット8に よって検査する方法が略示されている。 プログラム点20において電圧供給の投入後に、初期化が行われる。初期化に おいて、前以て決められた初期パラメータが第1のメモリ5および第2のメモリ 10から読み出される。 引き続いて、プログラム点21において第2の計算ユニット8から第1の計算 ユニット3にスタート値が供給される。それから第2の計算ユニット8はプログ ラム点22において第1の計算ユニット3に計算規定を予め与える。 スタート値および計算規定を得た後、第1の計算ユニット3はプログラム点2 3において前以て与えられた計算規定を前以て与えられたスタート値によって実 行する。プログラム点24において、第1の計算ユニ ット3は前以て決められた計算規定およびスタートから計算された結果を第2の 計算ユニット8に送出する。 第2の計算ユニット8は第1の計算ユニット3から供給された結果を、第2の メモリ10において前以て決められたスタート値および前以て決められた計算規 定に依存してファイルされている参照結果と比較する。プログラム点25におい て、この結果および参照結果が一致しているという比較結果になれば、プログラ ム点29に分岐される。 しかしプログラム点25において、この結果および参照結果が一致しないとい う比較結果になれば、引き続いてプログラム点26において第2の計算ユニット 8によってエラー計数器が値1だけインクリメントされる。プログラム点26の 処理後、プログラム点31に分岐される。 プログラム点29において、第2の計算ユニット8は第1の計算ユニット3に 、供給された結果が参照結果と一致しているという情報を送出する。次いで、第 2の計算ユニット8はエラー計数器を検査しかつ、エラー計数器の値が零より大 きいとき、プログラム点30においてエラー計数器の値を低減する。 引き続きプログラム点31において、エラー計数器の値が第2の計算ユニット 3によって最大値と比較される。エラー計数器が前以て決められた最大値より上 にあるという参照結果であれば、後続のプログラム点27において第1の計算ユ ニット3が第2の計算ユニット8によって非常実行機能に切り換えられる。ここ では内燃機関1の制御は前以て決められた、制限された出力領域においてしか可 能でないので、危険に陥るようなことはできるだけ制限されているが、なお最も 近くの工場に辿り着くことはできる。 本発明の更なる改良例は次の機能によって実現される:第2の計算ユニット8 が第1の計算ユニット3に、第1の計算ユニット3によって計算された結果が相 応の、ファイルされている参照結果と一致しないとき、エラー信号を供給する。 第1の計算ユニット3はエラー信号を受け取ると、エラー計数器を値1だけ高め る。正しい結果の場合には第2の計算ユニット8は第1の計算ユニット3に応答 信号を供給する。次いで、第1の計算ユニット3は応答信号を受信した際にエラ ー計数器を値1だけ低減する。第2の計算ユニット8はエラー計数器の低減を検 査しかつ第1の計算ユニット3が応答信号においてエラー計数器を低減しなかっ たとき、警報信号を第1の計算ユニット3に送出する。第1の計算ユニット3は エラー信号において、制限された出力制御しか可能でない非常実行機能に移行す る。 しかしプログラム点31での質問の結果が、エラー計数器は前以て決められた 最大値の下にあるであれば 、プログラム点32に分岐される。 プログラム点32において、第2の計算ユニット8は第2のメモリ10から別 のスタート値および/または別の計算規定を選択する。これらはそれから引き続 いてプログラム点21およびプログラム点22において第1の計算ユニット2に 前以て与えられる。有利には第2の計算ユニット8はエラー計数器が0に等しく ない場合、次のテストプログラムにおいて、同じ計算規定および有利には、第1 の計算ユニット3が誤った結果を計算したのと同じスタート値を選択する。この 同じ計算規定は、エラーが取り除かれるかまたは第1の計算ユニット3が非常実 行機能に切り換えられるまで使用される。 第3図は、第1の計算ユニット3がプログラムおよび/または計算を処理する 、第1の計算ユニット3の命令セットが例として示されているテーブルである。 命令セットの命令はこの場合4つの異なった計算規定に割り当てられている。こ れら計算規定は計算0,計算1,計算2,計算3によって示されている。命令セ ットは命令の形式として、算術命令、論理命令、ビットセット命令、比較命令、 シフト命令、トランスファ命令および飛び越し命令を有している。 それぞれの計算規定には、有利には少なくとも1つの算術命令、論理命令、ビ ットセット命令、比較命令、シフト命令、トランスファ命令および飛び越し命令 が含まれている。第3図に図示の計算テーブルは第1のメモリ5にファイルされ ている。 第4図は、スタート値に依存して計算規定0ないし3の結果を示す結果テーブ ルである。この結果は計算規定の正しい処理の際に第1の計算ユニット3によっ て得られるものである。その際、結果0,結果1,結果2および結果3によって 計算0,計算1,計算2,計算3の結果が示されている。 第4図には、16進数値155Cに相応するスタート値0に対して、計算0の 結果0が16進数値B246によって示されている。 スタート値155Cによって、第1の計算ユニット3によって計算1が実施さ れると、計算ユニット3の機能性が正しい場合には、16進数値09BEを有す る結果1が得られるはずである。 16進数値DFDBを有するスタート値の場合、計算0の処理の場合、第1の 計算ユニット3が正しく動作するとき、第1の計算ユニット3によって16進数 値ACCDを有する結果0が得られるはずである。 第3図に図示の計算規定は有利な計算規定を示すものである。簡単な場合、計 算規定はテストすべき計算ユニットの命令セットの僅か少なくとも1つの命令か ら成っている。 第3図において例として示されている命令は、アッセンブラー命令である。計 算ユニット3における計算 規定のプログラミングの際に、計算規定は有利には直接相応の機械言語において プログラミングされるべきである。というのは、これによってしか正確な命令セ ットが確定されないからである。アッセンブラー命令セットの場合、計算規定0 ないし3はアッセンブラーにおいてプログラミングされるべきである。 計算0は、第2の計算ユニット8によって前以て与えられるスタート値によっ て、アッセンブラー命令が列計算0において上から下へ通し計算されるものと解 することができる。このことは、計算0に対して、値0から出発して、スタート 値が加算され(ADD)かつ結果として16進数値155Cが得られることを意 味する。結果は引き続いてすスタート値と乗算される(MUL)。このようにし て、計算0のすべてのアッセンブラー命令は順次、先行するアッセンブラー命令 の結果が次のアッセンブラー命令に対して再び使用されるようにして処理される 。従って、それぞれのアッセンブラー命令は誤機能があれば最終結果になって現 れる。 計算規定0のすべての命令が処理されると、最後の結果、即ち飛び越し命令J NBの後に得られた最終結果が第2の計算ユニット8に結果としてプログラム点 24において供給される。 この実施例においては、有利には個別または、第3図の計算規定に図示されて いるように複数個、正しい 機能性について検査されるアッセンブラー命令が説明された。 プログラミングの際に計算ユニット3の別の機械命令、即ち命令セット(イン ストラクション・セット)が使用されるならば、これらは第1の計算ユニット3 の正しい機能性の検査のために、相応の計算規定を用いて検査される。 機械命令とは、アッセンブラー言語の使用の際の個別アッセンブラーコードの ようなプログラムを作成するプログラミング言語の最も小さな前以て決められた 命令を表す命令である。 本発明の重要な利点は、命令セット(インストラクション・セット)の命令、 有利には第1の計算ユニット3がプログラムまたは計算を処理するないし処理す ることができる命令セットのすべての命令が正しい機能性について個別または複 数の命令を有する群としてテスト計算において計算されるということにある。 有利には、種々の形式の可能な命令のうち少なくとも1つの命令を有している 命令チェーンが検査されるので、種々の命令形式が唯一の計算規定によって検査 される。 次に、命令セット、この場合にはアッセンブラーコードの僅か2、3の命令を 計算ユニット3に対して有している例に基づいて、機能監視の原理について説明 する。有利には、命令の出来るだけ多く、最良にはす ベての命令が、計算ユニット3の機能性を監視するために、テスト計算によって 検査される。 第5図には、アッセンブラー命令XORB,ADDC,JNBおよびXORか ら成る計算規定の計算の概略が示されている。これらのアッセンブラー命令は例 えば、SIMENS社の16ビットCMOSシングル・チップ・マイクロコント ローラのインストラクション・セット・マニュアルに示されている。 プログラム点40において、計算規定が第2図のプログラム点23に相応して スタートされる。まず、プログラム点41において、計算規定の結果がファイル されるメモリ場所にエラー値が格納される。この前以ての格納は、計算規定の中 断の際に結果がエラー結果によって占有されており、従って中断が結果に基づい てエラーとして識別されるという利点を有している。 引き続いて、プログラム点42においてアッセンブラー命令XORBが実施さ れる。この命令の実施は第6図に詳細に示されている。アッセンブラー命令XO RBは、第1の値と第2の値との間のビット毎の排他的論理和が実施されかつ結 果が新しい値としてファイルされる排他的論理和である: W1=XORB(W1,W2)、ただしW1およびW2は第1の値および第2の 値を表している。 アッセンブラー命令のような計算規定の処理の際、結果の他に、更に条件ビッ トが設けられており、これ らは計算規定の処理に関する別の情報を表している。16ビットCMOSシング ル・チップ・マイクロコントローラの例において、5つの条件ビットが設けられ ている。これらビットには実施されたアッセンブラー条件ビットの結果に依存し て種々異なった値が割り当てられる。5つの条件ビットはビットレジスタにファ イルされておりかつ以下、Eビット、Zビット、Vビット、CビットおよびNビ ットと称する。Nビットは、結果の最上位ビット(MOST significant bit)がセ ットされているとき、値1を有している。Nビットは、結果の最上位ビットがセ ットされないとき、値0を有している。 Cビットは、最上位ビット個所でオーバフローが生じるとき、値1を有してい る。Cビットは、アッセンブラー命令の処理の際にオーバフローが生じないとき 、値0を有している。Vビットは、アッセンブラー命令の処理の際に算術的オー バフローが生じるとき、値1を有している。Vビットは、アッセンブラー命令の 処理の際に算術的オーバフローが生じないとき、値0を有している。Zビットは 、アッセンブラー命令の結果が値0を有しているとき、値1を有している。Zビ ットは、アッセンブラー命令の結果が値0を有していないとき、値0を有してい る。Eビットは、第2の値(W2)が最小の負の値を呈しているとき、値1を有 している。そうでない場合、Eビットは値0を有して いる。アッセンブラー命令XORBに対してVビットおよびCビットはいつも0 が占有されている。 プログラム点60において、アッセンブラー命令XORBの実施がスタート際 、その際第1の値として、第4図のテーブルから、第2の計算ユニット8から第 1の計算ユニット3に供給されるスタート値が使用される。スタートが16ビッ ト幅のデータ語であるならば、アッセンブラー命令XORBの実施のために、ス タート値のハイビットのみが、即ち最上位8つのビットのみが使用される。 第2の値(W2)として、スタート値から8ビットを取り出す前以て決められ たマスクの値(value)が使用される。この実施例において、使用されるマスク は、スタート値の最下位の8ビットから成っている。 計算操作XORBの実施後、プログラム点61において、結果が中間結果とし て一次レジスタに記憶される。これに続いて、プログラム点62において、新し い中間結果として、プログラム点61において記憶された中間結果プラスビット レジスタの値がファイルされ、その際アッセンブラー命令XORBによって影響 されない条件ビットは値0を占めている: ZW=ZW+(ビットレジスタ)。 引き続いて、プログラム点63において、第5図のプログラム点43に戻し分 岐される。 プログラム点43では、繰り越しビット、即ちCビ ットを考慮して整数加算を実施するアッセンブラー命令ADDCがテストされる : ADDC(W1,W2)=W1+W2+Cビット。 ADDCアッセンブラー命令は第2の値および第1の値の2の補数の2進加算 を実施し、その際付加的に、最後の計算ステップにおいて生成されたCビットが 加算される。ADDC計算捜査の結果は新しい第1の値として記憶される: W1=ADDC(W1,W2)。 ADDC計算操作に対するテスト計算の実施を第7図に基づいて詳細に説明す る。プログラム点43から、ADDC計算操作に対するテスト計算がスタートさ れるプログラム点70に分岐される。プログラム点71において、第4図のテー ブルからわかるスタート値の15番目のビットが値1を有しているかどうかが検 査される。イエスであれば、プログラム点72に分岐される。プログラム点72 において、作業レジスタARにADDC計算操作の結果が格納され、その際第1 の値としておよび第2の値としてそれぞれスタート値が使用される: AR=ADDC(W1,W2)=ADDC(スタート値、スタート値)。 引き続いて、プログラム点73において、実施されるADDC命令に対するC ビットが値1を有してるかどうかを検査する。イエスであれば、これに次いでプ ログラム点74において、新しい中間結果ZWとして、作業レジスタARとその 前の中間レジスタZW(n−1)とから成る和がファイルされる: ZW(n)=AR+ZW(n−1)。 引き続いて、プログラム点75において第5図のプログラム点44に戻し分岐 される。 プログラム点73において、Cビットは値1を有していないという質問結果で あれば、プログラム点79に分岐され、ここで、結果として、エラー値がファイ ルされかつ引き続いてプログラム点80においてテスト計算が終了する。 プログラム点71での質問結果が、スタート値の第15のビットが値1を有し ているであれば、引き続いてプログラム点76に分岐される。プログラム点76 の後、作業レジスタARには計算操作ADDCの値がファイルされ、その際第1 の値としておよび第2の値として、それぞれスタート値が使用される: AR=ADDC(スタート値、スタート値)。 引き続いて、プログラム点77において、ADDC命令のCビットが検査され る。Cビットが値0を有していれば、プログラム点78に分岐される。プログラ ム78において、新しい中間結果ZWとして、作業レジスタの値とその前の中間 結果ZW(n−1)の値との和がファイルされる:ZW(n)=AR+ZW(n −1)。 引き続いて、プログラム点81において、第5図のプログラム点44に分岐さ れる。 プログラム点77の質問の結果が、Cビットが値0を有していないということ であれば、プログラム点79に分岐される。プログラム点79では、結果として エラー値がファイルされかつ引き続いてプログラム点80においてテスト計算が 終了する。 プログラム点44に対するテスト計算は、アッセンブラー命令JNBおよびX ORを含んでいる。アッセンブラー命令JNBは、前以て決められたビットが値 0を有しているとき実施される条件付きの飛び越し命令を示すものである。次に どの命令が実施されるべきであるかを確定するために、次に実施すべき命令がフ ァイルされている実アドレスを示す命令ポインタが使用される。 飛び越し命令JNBが実施されると、第2の値W2によって決定される命令レ ジスタが前以て決められた数のアドレスだけシフトされる。しかし前以て決めら れたビットが値1を有していれば、次の命令として、実アドレスにファイルされ ている命令が実施される。 XOR計算操作は第1の値W1と第2の値W2との間の排他的論理和である: XOR(W1,W2)。XOR計算操作の結果は新しい値W1としてファイルさ れる: W1=XOR(W1,W2)。 プログラム点44からプログラム点90に分岐される。ここで、JTB命令お よびXOR命令に対するテスト計算がスタートされる。プログラム点91におい て、一次作業レジスタARに第4図のテーブルの前以て決められたスタート値が 格納される:AR=スタート値。 引き続いてプログラム点92において、作業レジスタの第4ビットに値0が格 納される。次いで、プログラム点93において、JNB命令が実施され、その際 第1の値として作業レジスタARの第4ビットが使用される。第2の値W2は、 命令ポインタが、命令としてエラールーチンがファイルされている新しいアドレ スに飛び越すように選定されている。そこで、JNB命令の実施が、作業レジス タの第4ビットが0ではないことを示すと、前以て決められた第2の値W2に相 応してプログラム点94に分岐される。ここでエラールーチンがスタートされて 、結果に対するメモリにエラー値が格納されかつ引き続いてプログラム点97に おいてプログラムは終了される。 しかしプログラム点93における質問の結果が第4のビットは値0を有してい るであれば、プログラム点95に分岐される。プログラム点95において、新し い中間結果ZWとして、第1の値W1としてのその前の中間結果ZW(n−1) と、第2の値としての作業レジスタARとのXOR計算操作の結果がファイルさ れる: ZW(n)=XOR(ZN(n−1),AR)。 引き続いて、プログラム点96においてプログラム点45に戻り分岐される。 プログラム点45において、第2図におけるプログラム点24に相応して第1 の計算ユニット3は結果を第2の計算ユニット8に送出し、第2の計算ユニット はこの結果を参照結果と比較しかつ結果が参照結果と有利には前以て決められた 関係において一致していないとき、第1の計算ユニット3の誤機能を検出する。 第5図において使用されたスタート値は有利にはいつも、相応の計算規定に対 応付けられている、第4図のテーブルの同じスタート値である。 後続の命令に対する命令の結果が再び使用される命令チェーンにおける複数の 検査は、最終結果に各命令が関与し、従って個々の命令の比較的小さな不正確さ もこのようにして強調され、従って最終結果における和に顕著なエラーになって 現れ、これにより計算ユニットの誤機能に関する情報を提供することができると いう利点を有する。 第1の計算ユニット3の簡単な検査は、命令の処理の際にこの命令の少なくと も1つの条件ビットの正しい値ないし正しい変化を検査することにある。誤った 条件ビットにおいて、第1の計算ユニット3の誤機能について推測することがで きる。第1の計算ユニット 3の条件ビットは第1の計算ユニット3または第2の計算ユニット8を検査する 。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 ホルスト ヨウヴェナール ドイツ連邦共和国 D―75446 ヴィール ンスハイム ヴァルデンザーシュトラーセ 33 (72)発明者 ディートマー ペータース ドイツ連邦共和国 D―93059 レーゲン スブルク アルテ ニュールンベルガー シュトラーセ 4アー (72)発明者 ヨハン シュミット ドイツ連邦共和国 D―93413 シャーム ティールシュタイン 10

Claims (1)

  1. 【特許請求の範囲】 1.第1の計算ユニット(1)に計算規定およびスタート値を予め与える第2 の計算ユニット(8)によって第1の計算ユニット(3)の機能性を検査するた めの方法であって、該第1の計算ユニット(3)が前記スタート値および計算規 定を使用して結果を計算しかつ該結果を前記第2の計算ユニット(8)に転送し 、該第2の計算ユニットが該結果を参照結果と比較する形式の方法において、 計算規定として、前記第1の計算ユニット(3)がプログラムまたは計算規定の 処理のために使用する命令セットの1つの命令を前以て決める ことを特徴とする方法。 2.前記計算規定は、使用の命令セットの少なくとも1つの算術命令および/ または論理命令および/またはビットセット命令および/または比較命令および /またはシフト命令および/またはトランスファ命令および/または飛び越し命 令を有している 請求項1記載の方法。 3.前記第2の計算ユニット(8)は前記第1の計算ユニット(3)に循環的 に種々の計算規定および種々のスタート値を前以て与える 請求項1記載の方法。 4.前記種々の計算規定は同じ命令セットに対して 種々異なった命令を有している 請求項3記載の方法。 5.前記第1の計算ユニット(8)は前記第1の計算ユニット(3)に、該第 1の計算ユニット(3)によって計算された結果が相応の参照結果に一致しない とき、エラー信号を供給し、かつ前記第1の計算ユニット(3)はエラー信号が 供給されると、エラー計数器を前以て決められた値だけ高め、前記第2の計算ユ ニット(8)は結果が正しい場合、前記第1の計算ユニット(3)に応答信号を 供給し、かつ前記第1の計算ユニット(3)は応答信号を受信するとエラー計数 器を前以て決められた値だけ低減し、かつ前記第2の計算ユニット(8)は前記 エラー計数器の低減を検査し、かつ前記第2の計算ユニット(8)は、前記第1 の計算ユニット(3)が応答信号においてエラー計数器を低減しないときに該第 1の計算ユニットに警報信号を送出する 請求項1記載の方法。 6.前記命令セットはマイクロコントローラの機械命令セット、有利にはアッ センブラー命令セットである 請求項1記載の方法。 7.計算規定として、命令列を前以て与え、かつ第2の命令の処理の際に第1 の命令の結果または第1の命令の条件ビットを考慮する 請求項1記載の方法。 8.前記命令列を順次処理し、この場合スタート値によって第1の命令を処理 しかつ該第1の命令の結果を第2の命令のスタート値として使用し、かつ第2の 命令の結果を前記第2の計算ユニット(8)に最終結果として供給する 請求項7記載の方法。 9.前記計算ユニット(3)の機能性の検査の際に、前記処理された命令の少 なくとも1つの条件ビットを正しい値について検査する 請求項1記載の方法。
JP10528210A 1996-12-20 1997-12-03 計算ユニットの機能性の検査方法 Pending JP2000507020A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE19653429.1 1996-12-20
DE19653429A DE19653429C2 (de) 1996-12-20 1996-12-20 Verfahren zur Überprüfung der Funktionsfähigkeit einer Recheneinheit
PCT/DE1997/002830 WO1998028692A1 (de) 1996-12-20 1997-12-03 Verfahren zur überprüfung der funktionsfähigkeit einer recheneinheit

Publications (1)

Publication Number Publication Date
JP2000507020A true JP2000507020A (ja) 2000-06-06

Family

ID=7815632

Family Applications (1)

Application Number Title Priority Date Filing Date
JP10528210A Pending JP2000507020A (ja) 1996-12-20 1997-12-03 計算ユニットの機能性の検査方法

Country Status (6)

Country Link
US (1) US6158021A (ja)
EP (1) EP0898745B1 (ja)
JP (1) JP2000507020A (ja)
KR (1) KR100498150B1 (ja)
DE (2) DE19653429C2 (ja)
WO (1) WO1998028692A1 (ja)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000029734A (ja) * 1998-07-13 2000-01-28 Nissan Motor Co Ltd Cpu異常監視システム
DE19917208A1 (de) * 1999-04-16 2000-10-19 Bosch Gmbh Robert Verfahren und Vorrichtung zur Überwachung eines Rechenelements in einem Kraftfahrzeug
DE19944939C1 (de) * 1999-09-20 2001-08-30 Mannesmann Vdo Ag Steuergerät für ein Kraftfahrzeug
GB0011251D0 (en) * 2000-05-11 2000-06-28 Lucas Industries Ltd Fault monitoring system
SE518104C2 (sv) 2000-06-13 2002-08-27 Saab Ab System och metod för programvaruunderhåll
DE10041697A1 (de) * 2000-08-24 2002-03-14 Infineon Technologies Ag Verfahren zum Testen einer programmgesteuerten Einheit durch eine externe Testvorrichtung
DE10113917B4 (de) 2001-03-21 2019-05-23 Robert Bosch Gmbh Verfahren und Vorrichtung zur Überwachung von Steuereinheiten
DE10152273B4 (de) * 2001-10-20 2007-03-08 Robert Bosch Gmbh Verfahren und Vorrichtung zur Überwachung eines redundanten Abschaltpfades
US8055492B2 (en) * 2002-01-10 2011-11-08 International Business Machines Corporation Non-unique results in design verification by test programs
JP3818218B2 (ja) * 2002-05-22 2006-09-06 トヨタ自動車株式会社 車両用電子制御装置
JP4625620B2 (ja) * 2003-10-10 2011-02-02 株式会社日立製作所 フェイルセイフ制御装置
DE102006029171A1 (de) * 2006-06-24 2007-12-27 Dr.Ing.H.C. F. Porsche Ag Verfahren zum Betreiben von über einen Datenbus kommunizierenden Steuergeräten eines Kraftfahrzeugs
US7984341B2 (en) * 2008-02-25 2011-07-19 International Business Machines Corporation Method, system and computer program product involving error thresholds
DE102008020812A1 (de) * 2008-04-25 2009-10-29 Siemens Aktiengesellschaft Vorrichtung zum Erkennen eines in einem Prozessor vorhandenen Fehlers
DE102009026741A1 (de) * 2009-06-04 2011-02-03 Robert Bosch Gmbh Elektronisches Steuersystem und Verfahren zum Prüfen der korrekten Funktion einer Recheneinheit in einem elektronischen Steuersystem
GB2528443B (en) 2014-07-21 2016-12-14 Ibm Checking arithmetic computations

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4456952A (en) * 1977-03-17 1984-06-26 Honeywell Information Systems Inc. Data processing system having redundant control processors for fault detection
US4460999A (en) * 1981-07-15 1984-07-17 Pacific Western Systems, Inc. Memory tester having memory repair analysis under pattern generator control
AU9144782A (en) * 1981-12-21 1983-06-30 General Electric Company Primary and secondary computer system
GB8329509D0 (en) * 1983-11-04 1983-12-07 Inmos Ltd Computer
EP0154551A3 (en) * 1984-03-06 1987-12-16 Codex Corporation Apparatus for enabling a first processor to cause a second processor to effect a transfer of data between said processors
JPS6191732A (ja) * 1984-10-11 1986-05-09 Nec Corp デ−タ処理システムにおける故障処理方式
US5043984A (en) * 1987-04-14 1991-08-27 Japan Electronic Control Systems Co., Ltd. Method and system for inspecting microprocessor-based unit and/or component thereof
JPH0792764B2 (ja) * 1988-05-25 1995-10-09 日本電気株式会社 マイクロプロセッサ
US5410685A (en) * 1990-06-12 1995-04-25 Regents Of The University Of Michigan Non-intrinsive method and system for recovering the state of a computer system and non-intrusive debugging method and system utilizing same
DE4114999C2 (de) * 1991-05-08 2001-04-26 Bosch Gmbh Robert System zur Steuerung eines Kraftfahrzeuges
US5455935A (en) * 1991-05-31 1995-10-03 Tandem Computers Incorporated Clock synchronization system
GB9121540D0 (en) * 1991-10-10 1991-11-27 Smiths Industries Plc Computing systems and methods
JPH05233352A (ja) * 1992-02-19 1993-09-10 Nec Corp マイクロプロセッサ
US5406504A (en) * 1993-06-30 1995-04-11 Digital Equipment Multiprocessor cache examiner and coherency checker
JPH07225263A (ja) * 1994-02-09 1995-08-22 Advantest Corp ビット誤り測定器
DE4438714A1 (de) * 1994-10-29 1996-05-02 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung der Antriebseinheit eines Fahrzeugs
JPH08137824A (ja) * 1994-11-15 1996-05-31 Mitsubishi Semiconductor Software Kk セルフテスト機能内蔵シングルチップマイコン
JP3412349B2 (ja) * 1994-12-28 2003-06-03 株式会社日立製作所 制御装置
US5732209A (en) * 1995-11-29 1998-03-24 Exponential Technology, Inc. Self-testing multi-processor die with internal compare points

Also Published As

Publication number Publication date
DE59701150D1 (de) 2000-03-30
DE19653429C2 (de) 1998-10-15
KR19990087086A (ko) 1999-12-15
WO1998028692A1 (de) 1998-07-02
US6158021A (en) 2000-12-05
DE19653429A1 (de) 1998-07-16
EP0898745B1 (de) 2000-02-23
EP0898745A1 (de) 1999-03-03
KR100498150B1 (ko) 2005-09-09

Similar Documents

Publication Publication Date Title
JP2000507020A (ja) 計算ユニットの機能性の検査方法
US6981176B2 (en) Secured microcontroller architecture
KR101326316B1 (ko) 내연 기관의 엔진 제어 장치의 기능을 모니터링하기 위한 방법 및 장치
EP0636955A1 (en) Control unit for vehicle and total control system therefor
US6580974B2 (en) Method and apparatus for monitoring the control of operational sequences in a vehicle
JP6125111B2 (ja) 車載電子制御装置
JPH11504747A (ja) 計算ユニットの機能性を検査する方法
KR20060103317A (ko) 프로세서 유닛의 적어도 두 개의 운영 모드 간의 절환을위한 방법 및 장치
JP3578638B2 (ja) マイコン用メモリの診断装置
EP0065703A2 (en) Electronic control method and apparatus for internal combustion engine
US4351050A (en) Fail-safe control computer
KR100704322B1 (ko) 자동차 내 연산 소자를 모니터링하기 위한 방법 및 장치
US20010041954A1 (en) Control apparatus having object-oriented self-diagnosis program
US20120246650A1 (en) Method for processing information and activities in a control and/or regulating system with the aid of a multi-core processor
US6366839B1 (en) Monitoring fault in control device CPU containing exercise calculating section executing on proposed data to produce monitor converted result
JP7546346B2 (ja) セーフティクリティカルなシステムでデータを計算するための方法及び装置
JPH11141391A (ja) 自動車用制御装置
US6044455A (en) Central processing unit adapted for pipeline process
US6928346B2 (en) Method for monitoring the functioning of a control unit
US20030037213A1 (en) Method for protecting a microcomputer system against manipulation of its program
JP3688224B2 (ja) 自動車用制御ユニット
JP2599262B2 (ja) 電子式エンジン制御装置の故障診断装置
JP2001290510A (ja) 自動車用制御ユニット
JPH0312655B2 (ja)
JPS61234401A (ja) 車両用制御装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20041105

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20061128

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070228

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20080122