JP4436571B2 - 安全を保障する応用システムの制御装置 - Google Patents

安全を保障する応用システムの制御装置 Download PDF

Info

Publication number
JP4436571B2
JP4436571B2 JP2000595166A JP2000595166A JP4436571B2 JP 4436571 B2 JP4436571 B2 JP 4436571B2 JP 2000595166 A JP2000595166 A JP 2000595166A JP 2000595166 A JP2000595166 A JP 2000595166A JP 4436571 B2 JP4436571 B2 JP 4436571B2
Authority
JP
Japan
Prior art keywords
microcomputer
test data
monitoring unit
control device
signal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2000595166A
Other languages
English (en)
Other versions
JP2002535765A (ja
Inventor
ドミンケ,ペーター
プファイファー,ヴォルフガング
ハルター,ヴェルナー
リンデンクロイツ,トーマス
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of JP2002535765A publication Critical patent/JP2002535765A/ja
Application granted granted Critical
Publication of JP4436571B2 publication Critical patent/JP4436571B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • G05B23/0256Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults injecting test signals and analyzing monitored process response, e.g. injecting the test signal while interrupting the normal operation of the monitored system; superimposing the test signal onto a control signal during normal operation of the monitored system
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24036Test signal generated by microprocessor, for all I-O tests
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24037Switch on pin of microprocessor for test
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24061Simulator, generates input signals, shows output signals of logic
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24065Real time diagnostics

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Tests Of Electronic Circuits (AREA)
  • Testing Of Short-Circuits, Discontinuities, Leakage, Or Incorrect Line Connections (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)

Description

本発明は、マイクロコンピュータ(MC)と、監視ユニット(チェックユニット、CU)と、周辺回路(入出力、IO)とを持つ安全を保障する応用システムの制御装置に関する。本発明は更に、マイクロコンピュータ(MC)と、監視ユニット(チェックユニット、CU)と、周辺回路(入出力、IO)とを持つ安全を保障する応用システムの制御装置のマイクロコンピュータ(MC)をチェックするための方法に関する。
【0001】
技術の現状
安全を保障する応用システム或いは機能を制御し或いは調節する制御装置では、マイクロコンピュータ(MC)或いはマイクロコンピュータのプロセッサのエラーが監視によって検出されなければならない。安全に係わる使命を持っているその様な制御装置は、例えば、アンチブロックシステム(ABS)、駆動スリップコントロールシステム(トラクションコントロールシステム)、及び/又はビークルダイナミクスコントロール(=DC)システムのために用いられている。この様な制御装置によって制御される安全を保障する応用システムは、周辺回路を通して制御装置と結ばれている。シングルコンピュータ制御装置の場合には、自己検査、プロージビリティー(尤もらしさ)監視、及びウォッチドッグを用いる方法が知られている。
【0002】
メーカーの下でCMOSチップ(集積回路、IC)の試験をするために、静止電流の測定方法及び測定装置が用いられている。いわゆる静止電流試験の背景となっているのは、純粋に静的な論理の中のデジタルCMOSチップでは、スイッチング過程の間のほとんど全ての損失出力がチップの内部で発生するという事実である。静止状態では電流の流れはごく僅かな漏れ電流、並びに入力端のプルアップ抵抗或いはプルダウン抵抗と出力ドライバの外部負荷とによる電流に限定される。製造に起因する多くのエラーは、プラスとマイナスの供給電圧の間の導電率の引き上げをもたらす。回路にその様な欠陥のある領域(点欠陥)が作動されると、この領域が電流消費の急激な上昇をもたらす。テスト過程の間の電流消費の高精度測定と、対応する基準値との比較によってその様な欠陥を確認することが出来る。既に説明された通り、その様な静止電流測定は、CMOSチップの製造において、製造プロセスの後で欠陥のあるチップを選別するために利用されている。
【0003】
従来の技術から、コンピュータチップの製造の際に知られている静止電流の試験方法を、冒頭に述べられた種類の制御装置において(コンピュータチップ、特にマイクロコンピュータ(MC)で最も頻繁に見られる欠陥、例えば付着欠陥(Stuck−at)、架橋欠陥(Bridging)、及び/又は破断欠陥(Stack−Open)、を検出することが出来る様にするために)、コンピュータチップの通常の動作の間に該チップをチェックするために使用することが知られている。
【0004】
更に、従来の技術から、冒頭に述べられた種類の制御装置でエラー安全性を高めるために、並列計算及び/又はプラウジビリティー試験によって互いに相手をチェックし合う、2つのマイクロコンピュータ(MC)を装備することが知られている。しかしながら、特にコスト上の考慮から、その様な制御装置でも唯一つのマイクロコンピュータ(MC)しか使わないということが出来ないかどうか検討されている。
【0005】
この発明の課題は、冒頭に述べられた種類の制御装置を、エラー検出の信頼性が更に向上され、また検出出来るエラーの種類がその他の種類へと広げられる様に、発展させ且つ拡張することである。
【0006】
これ等の課題の解決のためにこの発明は冒頭に述べられた種類の制御装置から出発して、監視ユニット(CU)がマイクロコンピュータ(MC)の静止電流の測定のための第1の手段を備えており、静止電流の測定の制御のために監視ユニット(CU)の上記の第1の手段とマイクロコンピュータ(MC)との間に、少なくとも1本の静止電流ハンドシェーク回線が走っているということ、並びに監視ユニット(CU)がマイクロコンピュータ(MC)にテストデータ入力信号を送るための、該テストデータ入力信号を処理するための、およびマイクロコンピュータ(MC)の対応するテストデータ出力信号を監視ユニット(CU)の対応するテストデータ出力信号と比較するための第2の手段を備えており、監視ユニット(CU)の該第2の手段とマイクロコンピュータ(MC)との間に、少なくとも1本のテストデータ信号伝送回線が走っているということ、を提案する。
【0007】
本発明に基づいて、エラー検出の信頼性を引き上げることが出来るということが知られ、その際には互いに相手を補足し合う二つの異なるテスト方法が使用される。この様にすることによって、マイクロコンピュータ(MC)の計算ユニットは非常に沢山の数の、異なる種類のエラーでも検出することが出来る。
【0008】
本発明に基づく制御装置はまた、複数のマイクロコンピュータ(MC)と複数の監視ユニット(CU)を備えることも出来る。しかしながら以下の説明では、この制御装置が一つのマイクロコンピュータ(MC)と一つの監視ユニット(CU)備えるということが前提とされる。本発明に基づく監視ユニット(CU)は、監視ユニット(CU)の静止電流を測定するための第1の手段を備えている。
【0009】
監視ユニット(CU)の第1の手段とマイクロコンピュータ(MC)との間には、静止電流の測定を制御するための少なくとも1本のハンドシェーク回線が走っている。このハンドシェーク回線は、例えば双方向回線として作ることが出来る。
【0010】
静止電流測定は、制御装置のスイッチが入れられた後に、定められた数(代表的には8から16まで)の選ばれた命令についてテストプログラムの枠内で実施される。マイクロコンピュータTMS470については、例えば、内部機械サイクルを含む、選ばれた14の命令が実行される。
【0011】
静止電流測定を補足するために、本発明に基づく監視ユニット(CU)は、第2の手段を有している。監視ユニット(CU)のこの第2の手段とマイクロコンピュータ(MC)との間には少なくとも1本のテストデータ信号伝送回線が走っている。
【0012】
上記の第2の手段は、マイクロコンピュータ(MC)にテストデータ入力信号を印加する。マイクロコンピュータ(MC)は、テストデータ入力信号とマイクロコンピュータ(MC)の内部の状態に依存しているテストデータ出力信号を計算する。エラー状態は、マイクロコンピュータ(MC)のテストデータ出力信号の変化をもたらす。
【0013】
監視ユニット(CU)の第2の手段では、テストデータ入力信号もマイクロコンピュータ(MC)のテストデータ出力信号のチェックのための基準信号として役立つテストデータ出力信号へ処理される。テストデータ出力信号の計算の場合に、監視ユニット(CU)はエラー無しに作られたマイクロコンピュータ(MC)を前提としている。実施された計算は、好ましくは非常に簡単に構成されている。マイクロコンピュータの並列コンピュータシステムの場合の様に二重配置されず又監視ユニット(CU)によってマイクロコンピュータ(MC)の場合と同じ計算が行われる。もっと正確にいえば、マイクロコンピュータ(MC)が、前もって与えられた試験機能の入力データに基づいて出力データを計算し、その結果が、監視ユニット(CU)によって監視ユニット(CU)によって計算された基準信号を用いてチェックされる。出力データの計算のために用いられた試験機能は一般に非常に簡単に作られており、非常に僅かな計算時間しか必要としない。しかしながら、応用プログラムからの複雑なテストや結果をこの試験機能の中へ入れることも出来る。
【0014】
最後に、監視ユニット(CU)のテストデータ出力信号が監視ユニット(CU)のテストデータ出力信号と比較される。それ等の信号が互いにずれているか或いは当該のずれが前もって定められていた閾値をオーバーしている場合には、監視ユニット(CU)がマイクロコンピュータ(MC)のエラーを検出する。テストの結果は、表示装置によって表示することが出来るし、又/或いは、エラーの発生の際には制御装置によって調節及び/又は制御されているシステムのスイッチが切られる様にすることが出来る。
【0015】
本発明の一つの有利な拡張例によれば、上記の第1の手段が、IDDQ測定回路、電圧供給装置、IDDQ測定経過制御装置(MAS)、および監視ユニット(CU)の制御装置を含んでいること、並びに上記の第1の手段とマイクロコンピュータ(MC)との間の接続が、IDDQ測定経過制御装置(MAS)からマイクロコンピュータ(MC)へ伸びている2本のハンドシェーク回線と、電圧供給装置からマイクロコンピュータ(MC)へ走っている少なくとも1本の電源供給線とを含んでおり、少なくとも1本の電源供給線がIDDQ測定回路を通って伸びているということが提案される。IDDによって、半導体の場合のプラスの供給電流が示されている。IDDQは静止電流の標識である。ハンドシェーク回線は、例えば機能テストの開始のため或いは終了のフィードバックのためのSTARTハンドシェーク回線として、またENDハンドシェーク回線として作られている。
【0016】
静止電流の測定のためのマイクロコンピュータ(MC)と監視ユニット(CU)との間の通信は、これ等の2本のハンドシェーク回線を通して行なわれる。監視ユニット(CU)によるマイクロコンピュータ(MC)の静止電流の測定は、別の電圧供給線を通して行なわれる。
【0017】
既に述べられた様に、本発明は、制御装置のマイクロコンピュータのテストのための監視ユニットを持つ制御装置に関している。制御装置の、従ってマイクロコンピュータの電圧供給のために、電圧供給ユニットが備えられている。監視ユニット(CU)の制御ユニットは、監視ユニット(CU)を特定の作動状態へ導くための手段を含んでいる。更に、IDDQ測定回路には、監視ユニット(CU)の電圧供給回路の電流又は電圧を検知する測定手段が備えられており、更に、同じくIDDQ測定回路に備えられている比較手段で、上記の検知された電流或いは上記の検知された電圧が、少なくとも一つの前もって与えられている閾値と比較される。
【0018】
IDDQ測定により、簡単な電流或いは電圧の測定によって起こり得る多数ののエラーをコンピュータで検知することが出来る。その際には、少ないテストステップで、監視ユニット(CU)の構成部品の中で最も頻繁に発生するエラーの高いカバー率が達成される。その様な最も頻繁なエラーには、付着欠陥(Stuck−at)、架橋欠陥(Bridging)、及び/又は破断欠陥(Stack−Open)がある。
【0019】
静止電流測定を他の適当なチェック方法、特にテストデータセットに基づく監視ユニット(CU)の機能のチェック、と組み合わせると、コンピュータチップ、特にCMOSプロセッサでの重要な欠陥に関して、とりわけ安全に関して重要な応用システムにとって有利な幅の広いエラーのカバー領域が生まれる。
【0020】
先に説明された第2のプロセッサの節約は、本発明に基づく制御装置の経済的な利点として十分に保持されている。何故なら、本発明に基づく静止電流測定は、僅かなハードウェア費用しか必要としないからである。
【0021】
IDDQ・MASは、監視ユニット(CU)の前もって与えられている部分を監視ユニット(CU)の特別の制御によって少ない電流状態へ導く。この制御の背景となっているのは、監視ユニット(CU)には、比較的多くの電流を必要とするほとんどの構成部品が存在しているという事実である。冒頭で述べられた様に、静止電流測定は一般に、比較的小さな帯域幅の中での静止電流の変動をベースとして行なわれるので、大きな消費電流を持つ監視ユニット(CU)の構成部分は、IDDQ測定の障害となる。特に、その様な構成部分が、IDDQ測定とは係わりの無い、電流の少ない状態へ導かれると言うことが考えられる。その様な構成部分には、マイクロコンピュータ(MC)の最終段及び/又は入力段(例えばアナログ/デジタル変換器)、並びに内部のクロック増倍回路がある。最も簡単な場合に、それ等の大きな消費電流を持つ構成部分は、テストの間スイッチを切られる。それ故、大きな電流をもたらす内部の回路部分と回路出力はスイッチを切られる。その後で、静止電流の測定を行なうことが出来る。
【0022】
上に述べられた大きな電流を持つマイクロコンピュータ(MC)の構成部分のスイッチを切ることから更に進んで、マイクロコンピュータ(MC)のコア部を消費電流の少ない状態へ導くことも考えることが出来る。その様な、静止電流測定のために特別に設計されたマイクロコンピュータ(MC)チップの場合には、特別な作動状態、いわゆるIDDQテストモード、が備えられている。この作動状態の下では、コンピュータ内部の全ての電流がスイッチオフされる、即ち、マイクロコンピュータ(MC)のコア部の電流が最小化される。IDDQ設計というのは、マイクロコンピュータ(MC)のコア部内の標準エラーを、静止電流の上昇という形で感知することが出来る様にするというものである。かくして、例えば、短絡或いは付着欠陥(アースへの短絡或いは供給電圧)は、直ちに静止電流の上昇の形で示される。この場合、その様な欠陥の影響がマイクロコンピュータ(MC)の出力端まで先送りされる(伝播される)必要は無い。上昇した電流の受け取りが直ちに欠陥の標識となる。
【0023】
上に述べられたIDDQテストモードと並んで、マイクロコンピュータ(MC)の高い電流の構成部分だけをスイッチオフし、マイクロコンピュータ(MC)が命令に応じて低い電流の定められた状態へ移行するということを考えることが出来る。この場合には、マイクロコンピュータ(MC)のコア部は、IDDQテストモード用に特別に設計される必要は無い。この方法は、パワーダウンモード(Power−Down−Mode)と名付けられている。
【0024】
コンピュータ内部のレジスタやメモリ等の部分に特定のパターンがロードされてパワーダウンモードが導入されると、上に述べられたコンピュータの構成部分が、例えば特定のコンピュータ命令の実行によって、少ない電流消費の状態へ移行される。この状態になると、クロック発生器がスイッチオフされるか或いは分離されることが出来る。続いて、静止電流或いはこれと対応する電圧値が測定され、マイクロコンピュータ(MC)のコア部の上記の作動状態(パワーダウン状態)に対応する閾値と比較される。コンピュータに特定の欠陥(付着欠陥、架橋欠陥、破断欠陥)があると、その欠陥は、静止電流の上昇、或いは静止電流によって引き起こされた電圧降下の増大をもたらす。
【0025】
この様なテストステップの後で、更に他のテストステップが続くことが出来、後続のステップでは、先ずパワーダウンモードがマイクロコンピュータ(MC)の特定の接続端に特定の信号レベルを印加することによって解除される。クロック発生器を改めてスタートさせるか、或いは接続することによって、レジスタやメモリ等の様なコンピュータ内部部分に別のパターンがロードされ、上に述べられた構成部分が、例えば特定のコンピュータ命令(パワーダウン命令)の実行によって、再び電流の少ない状態へ移行される。その後に再び、上に説明された静止電流の測定が続く。相前後して実施されるこの様な一連のパワーダウン電流の測定によって、レジスタ、メモリ、及びコンピュータのコア部の欠陥の検知がますます完全なものとなる。
【0026】
個々のテストステップは、コンピュータの形式と回路の設計に応じて、クロック発生器、リセット開始、或いは外部割込みの開始によって、終了される。最後のテストステップの後で、マイクロコンピュータ(MC)は再びその通常の作動モードで作動される(ノーマル作動)。
【0027】
テストすべきコンピュータがその様な設計となっていれば、上に説明されたパワーダウンモードでの静止電流測定と並んで、同じく本発明に基づいて、既に説明されたIDDQテストモードでの静止電流の測定を考えることも出来る。IDDQテストモードへのエントリは、例えばマイクロコンピュータ(MC)の接続端での信号レベルを変えることによって行なわれる。この場合にも、IDDQテストモードへ入る前に、レジスタとメモリに定められたパターンがロードされる。IDDQテストモードへのエントリと共に、コンピュータの消費電流の高い部分がスイッチオフされる。更に、コンピュータのコア部を、コマンドの実行の間クロックの停止或いは切り離しによって、当該のコマンドにとって代表的な状態に保持することが出来る。これ等のコマンドは、それ等のコマンドがコンピュータのコア部の内部回路ノードの状態を、静止電流測定を通して出来るだけ多くのエラーを検出することが出来る様に、調節可能に選ばれている。
【0028】
静止電流測定のためのハンドシェークは、次の様に複数のステップで行なわれる:
S1(ステップ1):マイクロコンピュータ(MC)がSTART(スタート)信号をHIGH(ハイ、高)にセットする。これによって監視ユニット(CU)は、IDDQ測定が開始されたということを知る。
【0029】
S2(ステップ2):或いは、その代わりにマイクロコンピュータ(MC)はクロック(マスタークロック、MCLK)の停止を用意することが出来る。この場合には、マイクロコンピュータ(MC)は内部コマンドによって信号PREPをLOW(ロー、低)にセットする。
【0030】
S3(ステップ3):マイクロコンピュータ(MC)は、次の適当なコマンドの間にIDDQテストのための正確に定められた時点をデコードして、信号DEKODをも同じくLOW(ロー)にセットする。今やクロック(MCLK)も同じくLOW(ロー)となり、マイクロコンピュータ(MC)のデジタル部はIDDQ測定のために静的作動に合わせられる。
【0031】
S4(ステップ4):監視ユニット(CU)がIDDQ測定を実行する。
S5(ステップ5):監視ユニット(CU)が信号ENDにLOW・HIGH・LOWというレベル系列を印加し、これによってクロック(MCLK)を再び起動する。
【0032】
S6(ステップ6):マイクロコンピュータ(MC)が再びアクティブとなり、START信号をLOWにセットすることによって測定を終了させる。マイクロコンピュータ(MC)は、プログラムを続行して次のIDDQ測定の準備をし、全ての測定が実施された場合には、IDDQ測定を終了させる。
好ましくは、電圧供給装置とマイクロコンピュータ(MC)との間に2本の電圧供給線が走っており、その際、1本の電圧供給線は、IDDQ測定回路を通って走っている。IDDQ測定回路を通って走っている電圧供給線を通して、マイクロコンピュータ(MC)の静止電流が測定される。
【0033】
本発明に基づく制御装置のもう一つの有利な拡張例によれば、上記の第1の手段が、IDDQ測定回路、電圧供給装置、IDDQ測定経過制御装置(MAS)、および監視ユニット(CU)の制御装置を含んでいること、並びに上記の第1の手段とマイクロコンピュータ(MC)との間の接続が、IDDQ測定経過制御装置(MAS)からマイクロコンピュータ(MC)へ伸びている4本のハンドシェーク回線と、電圧供給装置からマイクロコンピュータ(MC)へ走っている少なくとも1本の電源供給線とを含んでおり、その際、少なくとも一本の電源供給線がIDDQ測定回路を通って伸びているということが提案される。4本のハンドシェーク回線の場合には、2本のハンドシェーク回線の場合の回線START、ENDに対する追加として更に、クロック(CLK)回線とマイクロコンピュータ(MC)のためのパワーダウン(PWRDN)制御のための回線を備えることが出来る。制御装置のこの様な実施態様の場合には、静止電流が測定されるプロセッサへの1本の共通の電圧供給線があれば十分である。この場合には、クロック発生器の停止は監視ユニット(CU)で行なわれる。マイクロコンピュータ(MC)内のアナログ回路及びIO回路のための電圧供給スイッチの制御は、監視ユニット(CU)からのパワーダウン(PWRDN)回線によって行なわれる。かくして測定の際には、マイクロコンピュータ(MC)のデジタル部分の静止電流だけが上記の共通の電圧供給線を通って流れる。
【0034】
上記の第1の手段には、好ましくは初期化回路が備えられ、該初期化回路は制御装置のスイッチが入れられた後に、電圧供給装置から初期化信号を受け取り、次いでIDDQ測定の解除のために、クロック(CLK)回線でクロック信号をIDDQ測定経過制御装置(MAS)へ送る。IDDQ測定が成功裏に終了されると、もう一つの別の信号によって監視ユニット(CU)の制御装置に対して信号が送られる。これに基づいて監視ユニット(CU)がテストを続行させ、初期化回路が、別の信号を通してテストデータ信号発生器をスタートさせる。
【0035】
本発明の一つの有利な実施例によれば、上記の第2の手段は、マイクロコンピュータ(MC)にテストデータ入力信号を送り込むためのテストデータ信号ジェネレータと、該テストデータ入力信号を処理し且つ対応するテストデータ出力信号を形成するための応答ジェネレータと、テストデータを送受信するためのテストデータレジスタと、マイクロコンピュータ(MC)のテストデータ出力信号を監視ユニット(CU)のテストデータ出力信号と比較するための比較器とを含んでいること、並びに、上記の第2の手段とマイクロコンピュータ(MC)との間の接続が、上記のテストデータレジスタとマイクロコンピュータ(MC)との間を走る、少なくとも1本のテストデータ伝送線を含んでいること、が示されている。好ましくは、テストデータレジスタとマイクロコンピュータ(MC)との間には、2本のテストデータ伝送線が走っている。
【0036】
テストデータ信号発生器もまた、制御装置のスイッチオンの後に、初期化回路によって起動される。テストデータ信号発生器では、マイクロコンピュータ(MC)のためのテストデータが、フィードバックされたシフトレジスタによってほぼランダムな順序で生成される。各々のテストデータ入力信号に対して、応答ジェネレータで、Reed−Mullerコード(符号)を利用して、テストデータ出力信号のためのビット列(いわゆる基準信号)が形成される。上記のコードは、テストデータ出力信号のデータ空間内で可能な最大の間隔(ハミング距離)を得るために利用されている。次いで、比較器により、監視ユニット(CU)の応答ジェネレータからの理論的に計算されたテストデータ出力信号がテストデータレジスタからのマイクロコンピュータ(MC)の実際のテストデータ出力信号と比較される。
【0037】
上記の第2の手段は、好ましくはトリガジェネレータを備えており、該ジェネレータは、マイクロコンピュータ(MC)にエラーが無い場合に、マイクロコンピュータ(MC)のテストデータ出力信号が比較器に印加される時点を確定する。上記のトリガジェネレータは、マイクロコンピュータ(MC)の求められたテストデータ出力信号と監視ユニット(CU)の実際の応答との比較の時点を設定する。これによって、マイクロコンピュータ(MC)内のタイムスライスが適切に流れることが保証される。比較器は、単にデータの値の正しさについてだけでなく、テストデータ出力信号が定められた時間枠内に伝達されるか否かについて、テストデータ出力信号をチェックする。
【0038】
上記の第2の手段は、好ましくはエラーカウンタを備えており、該カウンタは、マイクロコンピュータ(MC)のテストデータ出力が信号監視ユニット(CU)のテストデータ出力信号と一致していないか、および/またはマイクロコンピュータ(MC)のテストデータ出力信号がトリガジェネレータによって求められた時点とは異なる時点に比較器に印加された場合に、カウントアップし或いはカウントダウンする。比較器は、カウントパルスによって、エラーカウンタのカウントアップ或いはカウントダウンを行なわせる。テストデータ出力信号の値と時点が正しければ、エラーカウンタは、例えばデクリメント(減分きざみで減少)される。エラーカウンタが前もって与えられている値を下回った場合には、信号インタフェースを通して、例えば外部の警告ランプが点灯或いは消灯され、且つ安全を保障する応用システムの操作のためのリレーが解放される。
【0039】
制御すべき応用システムの操作は、原則として応用システムのスイッチオフに限定される。しかしながら、特別な応用システムの場合には、エラーカウンタが複数の反応閾値を持ち、それ等の閾値をオーバーするとそれぞれ異なる反応がもたらされる様にするということが有利である。これによって、一回の障害で応用システムが直ちに遮断されてしまうことを防止し、またコンピュータによる遮断経路のチェックを可能にすることが出来る。
【0040】
テストデータ入力信号が、誤った時点に或いは誤った値でマイクロコンピュータ(MC)によって応答されると、マイクロコンピュータ(MC)には、テストデータ出力信号の時点と値が正しくなるまで同じテストデータ入力信号が繰り返し印加される。これが前もって定められた時間内に行なわれない場合には、監視ユニット(CU)が制御装置或いは応用システムを遮断してしまうので、正しい応答によっても制御装置或いは応用システムが最早作動されないことがある。
【0041】
上記の第2の手段は、好ましくは初期化回路を備えており、該初期化回路は、制御装置のスイッチが入れられた後に、電圧供給装置から初期化信号を受け取り、その後に監視ユニット(CU)をマイクロコンピュータ(MC)と同期化し、その後にテストデータ信号ジェネレータとエラーカウンタを起動する。監視ユニット(CU)は、マイクロコンピュータ(MC)からの最初のデータ伝送を待つことによって、マイクロコンピュータ(MC)と同期化される。
【0042】
本発明のもう一つの課題は、冒頭に述べられた種類のマイクロコンピュータをチェックするための方法を、エラー検出の信頼性が更に向上され且つ検出出来るエラーの種類をその他の種類へと拡張される様に発展させ又拡張することである。
【0043】
この課題の解決のために、本発明は、冒頭に述べられた種類の方法から出発して、監視ユニット(CU)が、
マイクロコンピュータ(MC)の静止電流の測定を行ない、
監視ユニット(CU)にテストデータ入力信号を印加し
第1のテストデータ出力信号を確定し、
マイクロコンピュータ(MC)の第2のテストデータ出力信号を監視ユニット(CU)の第1のテストデータ出力信号と比較する、
ということを提案する。
【0044】
有利なことに、静止電流測定は、IDDQ測定として構成されている。好ましくは、IDDQ測定は、制御装置のスイッチオンの後に、解除信号による解除の後に実施される。
【0045】
本発明に基づく方法の一つの有利な拡張例によれば、マイクロコンピュータ(MC)の第2のテストデータ出力信号と監視ユニット(CU)の第1のテストデータ出力信号との比較は、制御装置の作動の間に実施される。このことは、マイクロコンピュータの機能をチェックするためには、制御装置がスイッチオフされてはならないという利点を持っている。それどころか、制御装置の作動の間に応用システムの制御のために使用されていない監視ユニット(CU)の計算能力を、マイクロコンピュータ(MC)のチェックのために使用することが出来る。
【0046】
好ましくは、スイッチオフ経路の機能をチェックするために、制御装置の作動の間に、規則的な間隔で単発的に偽のテストデータ出力信号が監視ユニット(CU)に対して送られる。
【0047】
本発明のもう一つの有利な実施態様は、IDDQ測定の間に、及び/又はマイクロコンピュータ(MC)の第2のテストデータ出力信号と監視ユニット(CU)の最初のテストデータ出力信号との比較の間に、クロック発生器が監視ユニット(CU)によって停止されるということを前提としている。このクロック発生器は、監視ユニット(CU)の制御装置に備えられている。このクロック発生器の出力信号に依存して、特にコンピュータ内部のプロセスが制御される。上述のIDDQテストモードの場合には、このクロック発生器がスイッチオフ又は遮断されるか或いはマイクロコンピュータ(MC)から分離される、ということが考えられている。これは、特に低い静止電流が達成されなければならない時には、パワーダウンモードの場合にも実現されることが出来る。クロック発生器のスイッチオフ又は遮断或いは分離は、とりわけ各々の静止電流測定の開始時に行なわれる。
【0048】
好ましくは、監視ユニット(CU)のテストデータ入力信号は、テストデータ信号ジェネレータから、フィードバックされたシフトレジスタによって生成される。有利なことに、監視ユニット(CU)のテストデータ出力信号は、応答ジェネレータからReed−Muller−Codeを利用して生み出される。
【0049】
本発明に基づく制御装置は、2つの異なるテストの流れによってチェックされる。いわゆるスタートアップテスト(Startup−Test)は、制御装置のスイッチオンの直ぐ後で、且つ安全を保障する応用システムの制御或いは調節のための制御装置の作動の前に、実施される。いわゆるオンラインテスト(Online−Test)は、スタートアップテストの後に、制御装置の作動中に時々実施される。
【0050】
スタートアップテストは、いわゆるプロセッサ初期化(Proz−Init)部分と、それに続くいわゆる作動システム初期化(BS−Init)部分との、2つのテストステップに分けられている。プロセッサ初期化(Proz−Init)部分は、命令及びコアのテスト、RAM/ROMのテスト、およびIDDQテストを含んでいる。作動システム初期化(BS−Init)部分は、スタートアップコントロールと監視ユニット(CU)のテストとを含んでいる。スタートアップコントロールの場合には、制御装置に様々な入力値(例えば、代表的には車両のアンチブロックシステム制御装置の入力端に現れる様な、車両の車輪の定められた回転数の値)が提示される。制御装置は、これ等の入力値に基づいて応用システムの調節或いは制御を行なう。シミュレートされたこの調節或いは制御の結果は、対応する基準値と比較される。監視ユニット(CU)のテストの場合には、欠陥のあるマイクロコンピュータ(MC)がシミュレートされ、その欠陥に対する監視ユニット(CU)の反応がチェックされる。
【0051】
オンラインテスト(Online−Test)は、命令及びコアのテスト、RAM/ROMのテスト、監視ユニット(CU)のテスト、及びレプリケーション(複製)のテスト(Replications−Test)を備えている。レプリケーションテストの場合には、安全に関して重要な定められた変数のために二重の記憶場所が用意され、安全に関して重要な特定の計算が二重に実施される。二重の記憶場所の内容と二重の計算の結果は互いに比較される。この冗長の記憶と冗長の計算は、制御装置のプロセッサによって行われる。オンラインテストは更に、プラウジビリティー(尤度)監視機能を備えており、この監視の際には、マイクロコンピュータ(MC)によって求められた制御信号又は調節信号のプラウジビリティー(尤もらしさ)がチェックされる。アンチブロックシステム制御装置の場合には、例えば、速度、加速度、或いは遅延が、定められたリミットの範囲内にあるか否かがチェックされる。更に、車両の個々の車輪の値は、互いに一定の関係に無ければならず、このことも又チェックすることが出来る。最後にオンラインテストは更に、作動システムのテストと、制御装置のその他の監視ユニットのテストとを備えている。
【0052】
この発明の一つの好ましい実施例が、以下に付属の図面に基づいて詳しく説明される。
図1には、本発明に基づく制御装置の略全体ブロック図が示されている。本発明に基づく制御装置は、その全体が参照符号1で指示されている。制御装置1は、例えばアンチブロックシステムのための、駆動スリップコントロールシステム(トラクションコントロールシステム)のための、及び/又はビークルダイナミクスコントロールシステムのための、安全を保障する応用システムの制御のために用いられる。制御装置1は、マイクロコンピュータ(MC)、監視ユニット(CU、Check Unit)、及び周辺回路(IO、Input/Output)を備えている。マイクロコンピュータ(MC)、監視ユニット(CU)、及び周辺回路IOは、シリアル同期データバス2を介して直列に接続されている。マイクロコンピュータ(MC)は、そのデータ出力線MC_Doutからデータ出力信号をデータバス2を通じてバス構成ユニットに送ると同時に、データ入力信号をそのデータ入力線MC_Dinを通じて受け取る。
【0053】
信号SAM(サンプル)によって、バス構成ユニットはその記憶レジスタに送られて来たデータを記憶する。
マイクロコンピュータ(MC)と監視ユニット(CU)との間には、その他の接続線、即ち共通の供給線VDD、或いはそれに代わる、マイクロコンピュータ(MC)のデジタル及びアナログの供給のための複数の供給線VDD、がある。最後に、マイクロコンピュータ(MC)と監視ユニット(CU)との間には、マイクロコンピュータ(MC)の静止電流測定(IDDQ測定)を制御するために役立つIDDQハンドシェーク回線IDDQ−HDSHKが走っている。監視ユニット(CU)からは、監視ユニット(CU)がマイクロコンピュータ(MC)のエラーを検出するか否かに応じて、いわゆる外部警告ランプへの遮断経路3及び/又は制御すべき安全に関して重要な応用システムの操作のためのリレーが続いている。周辺回路IOは、制御すべき安全に関して重要な応用システム5への接続線4を備えている。
【0054】
制御装置1のスイッチオンの後に、マイクロコンピュータ(MC)の機能チェックのために静止電流測定が行なわれる。制御装置1の作動の間に、マイクロコンピュータ(MC)の機能がチェックされる。その際には、マイクロコンピュータ(MC)には規則的にテストデータセットが印加され、それに対応するマイクロコンピュータ(MC)の第2のテストデータ出力信号が、監視ユニット(CU)によって計算されたエラーの無い第1のテストデータ出力信号と比較される。
【0055】
図2には、図1の制御装置1の詳細な全体ブロック図が示されている。監視ユニット(CU)には、監視ユニット(CU)の制御装置6、IDDQ測定のための測定経過制御装置7、IDDQ測定回路8、及び電圧供給装置9が含まれている。
【0056】
監視ユニット(CU)の制御装置6は、テストデータ信号発生器10、応答ジェネレータ11、及び比較器12を含んでいる。テストデータ発生器10によって、マイクロコンピュータ(MC)はテストデータ入力信号を印加され、該テストデータ入力信号とMCの内部状態とに依存して、第2のテストデータ出力信号を求める。応答ジェネレータ11は、上と同じテストデータ入力信号を処理して対応する第1のテストデータ出力信号を生成する。比較器12では、監視ユニット(CU)の第1のテストデータ出力信号がマイクロコンピュータ(MC)の第2のテストデータ出力信号と比較される。トリガジェネレータ13は、マイクロコンピュータ(MC)がエラー無しに作動している場合に、マイクロコンピュータ(MC)の第2のテストデータ出力信号を比較器12に印加する時点を求める。
【0057】
監視ユニット(CU)の制御装置6は更に、エラーカウンタ14を備えており、該カウンタは、マイクロコンピュータ(MC)の第2のテストデータ出力信号が監視ユニット(CU)の第1のテストデータ出力信号と一致していない場合に、及び/又はマイクロコンピュータ(MC)の第2のテストデータ出力信号がトリガジェネレータ13によって求められた時点とは異なる時点に比較器12に印加された場合に、エラーをカウントする。
【0058】
更に監視ユニット(CU)は、テストデータレジスタ17を備えており、該レジスタはテストデータの送受信に用いられる。
最後に、監視ユニット(CU)の制御装置6は初期化回路15も備えており、該初期化回路は、制御装置1のスイッチオンの後に、電圧供給装置9から初期化信号RSTを受け取り、且つ該信号に基づいて監視ユニット(CU)をマイクロコンピュータ(MC)と同期化する。その際、同期化は、監視ユニット(CU)がマイクロコンピュータ(MC)の最初のデータ伝送を待つことによって行なわれる。その後に、初期化回路15は、テストデータ信号ジェネレータ10とエラーカウンタ14とを起動する。
【0059】
テストデータ信号ジェネレータ10では、マイクロコンピュータ(MC)のためのテストデータ入力信号が、フィードバックされたシフトレジスタによってほぼランダムな順序で生成される。各々のテストデータ入力信号に対して、応答ジェネレータ11で“Reed−Mullerコード(符号)”を利用して対応する第1のテストデータ出力信号のためのビット列が形成される。上記のコードは、テストデータ出力信号のデータ空間内で可能な最大の間隔(ハミング距離)を得るために利用されている。次いで、比較器12で、監視ユニット(CU)の応答ジェネレータ11で求められた第1のテストデータ出力信号が、マイクロコンピュータ(MC)の実際の第2のテストデータ出力信号と比較される。
【0060】
比較を行なう時点は、トリガジェネレータ13によって設定される。これによって、マイクロコンピュータ(MC)のタイムスライスが適切に流れることが保証される。比較器12は、単にデータの値の正しさについてだけでなく、テストデータ出力信号が定められた時間枠内に伝達されるか否かについて、マイクロコンピュータ(MC)の第2のテストデータ出力信号をチェックする。上記の値とマイクロコンピュータ(MC)の第2のテストデータ出力信号の時点が適正であれば、エラーカウンタ14がデクリメントされ、信号インタフェース16を通じて、安全に関して重要な制御されるべき応用システムがアクティブの状態に保持され、その際に、外部の警告ランプがスイッチオフされ、また応用システム5の制御のためのリレーが起動される。
【0061】
この様な第一のサイクルに続く各々のサイクルでは、エラーカウンタ14の即時の反応を防止するために、マイクロコンピュータ(MC)の第2のテストデータ出力信号の時点と値は正しくなければならない。エラーカウンタ14は、1回の障害で制御装置1或いは応用システム5がスイッチオフされてしまうのを防止するために、またマイクロコンピュータ(MC)によるスイッチオフ経路のチェックを可能にするために、複数の反応閾値を持っている。第1の段階は、信号ENによって弁の最終段階をストップし、弁リレーVRAを介して弁の電圧供給を遮断する。警告ランプSILAの表示は、遮断経路のテストの際には表示が行なわれない様にするために、1サイクルだけ遅延される。
【0062】
テストデータ入力信号が誤った時点に或いは誤った値で応答されると、マイクロコンピュータ(MC)には、テストデータ出力信号の時点と値が正しくなるまで同じテストデータ入力信号が繰り返し印加される。これが前もって定められた時間内に行なわれない場合には、監視ユニット(CU)が制御装置1を遮断してしまうので、正しい応答によっても制御装置1は最早起動されない。
【0063】
静止電流測定は、制御装置1のスイッチオンの後に、テストプログラムの定められた数(代表的には8から16まで)の時点で実施される。静止電流測定のためのマイクロコンピュータ(MC)と監視ユニット(CU)との間の通信は、2本のハンドシェーク回線STARTとENDを通して行なわれる。静止電流測定の間は、マイクロコンピュータ(MC)はクロック発生器CLKを停止させる。監視ユニット(CU)とマイクロコンピュータ(MC)との間には2本の異なる電圧供給線、即ちマイクロコンピュータ(MC)のデジタル部分の給電のためのVDD_digitalとマイクロコンピュータ(MC)のアナログ部分の給電のためのVDD_analogとがある。静止電流は、電圧供給線VDD_digitalで測定される。
【0064】
静止電流測定の解除は、供給電圧のスイッチオンの後に、監視ユニット(CU)の制御装置6の信号IDDQ_ENによって行なわれる。静止電流測定が成功裏に終了されたことは、信号IDDQ_FINによって監視ユニット(CU)の制御装置6に対して知らせられる。すると監視ユニット(CU)は、初期化回路15を、信号IDDQ_OKを介してテストデータ信号ジェネレータ10を解除することによって、テストの流れを更に切り替える。
【0065】
図3には、2線式ハンドシェークによる静止電流測定のための回路装置が示されている。図4には、図3からの静止電流測定のための測定経過制御装置7の時間ダイヤグラムが示されている。制御装置1のスイッチオンの後に、マイクロコンピュータ(MC)はその自己テストを開始する。この自己テストの一つの部分が静止電流測定である。マイクロコンピュータ(MC)での流れが静止電流テストに到達すると、信号STARTが起動される。時点T1で静止電流測定が信号M_Actによって起動される。比較器12の出力が、静止電流測定のために時間T2の後で評価される。この値が正当であれば、マイクロコンピュータ(MC)は、END信号によって再び起動される。値がリミット値の範囲外にあると、測定が繰り返される。繰り返しの回数は前もって設定されている。測定を繰り返しても正しい答えに到達しなかった場合には、測定は中止され、監視ユニット(CU)は、最早マイクロコンピュータ(MC)をスイッチオンせず、フェイルセーフモードに留まる。全ての静止電流測定が終了すると、信号IDDQ_FINがハイ(HIGH)へセットされる。これに応じて、監視ユニット(CU)の制御装置6が信号IDDQ_ENをハイ(HIGH)からロー(LOW)へ戻す。
【図面の簡単な説明】
【図1】 本発明に基づく制御装置の略全体ブロック図である。
【図2】 図1の制御装置1の詳細な全体ブロック図である。
【図3】 2線式ハンドシェークによる静止電流測定のための回路装置である。
【図4】 図3の静止電流測定のための測定経過制御装置7の時間ダイヤグラムである。

Claims (11)

  1. マイクロコンピュータ(MC)と、監視ユニット(チェックユニット、CU)と、周辺回路(入出力、IO)とを有する、安全を保障する応用システム(5)の制御装置(1)において、
    監視ユニット(CU)が、マイクロコンピュータ(MC)の静止電流の測定のための第1の手段を備えており、静止電流の測定の制御のために、監視ユニット(CU)の前記第1の手段とマイクロコンピュータ(MC)との間に、少なくとも一本の静止電流ハンドシェーク回線(IDDQ−HDSHK)が設けられていること、
    監視ユニット(CU)が、マイクロコンピュータ(MC)にテストデータ入力信号を送り、該テストデータ入力信号を処理し、且つマイクロコンピュータ(MC)の対応するテストデータ出力信号を監視ユニット(CU)の対応するテストデータ出力信号と比較するための第2の手段を備えており、監視ユニット(CU)の前記第2の手段とマイクロコンピュータ(MC)との間に、少なくとも一本のテストデータ信号伝送回線が設けられていること、
    前記第1の手段が、IDDQ測定回路(8)と、電圧供給装置(9)と、IDDQ測定経過制御装置(MAS)(7)と、監視ユニット(CU)の制御装置(6)と、を含むこと、
    前記第1の手段とマイクロコンピュータ(MC)との間の接続が、IDDQ測定経過制御装置(MAS)からマイクロコンピュータ(MC)へ伸びている2本のハンドシェーク回線(START、END)と、電圧供給装置(9)からマイクロコンピュータ(MC)への少なくとも一本の電源供給線(VDD)とを含んでおり、少なくとも一本の電源供給線(VDD)がIDDQ測定回路(8)を通って伸びていること、および、
    前記第1の手段が初期化回路(15)を備えており、該初期化回路が、制御装置(1)のスイッチが入れられた後に電圧供給装置(9)から初期化信号(RST)を受け取り、且つその後にIDDQ測定の解除のためにIDDQ測定経過制御装置(MAS)(7)に対して解除信号(IDDQ_EN)を送ること、
    を特徴とする安全を保障する応用システム(5)の制御装置(1)。
  2. 電圧供給装置(9)とマイクロコンピュータ(MC)との間に2本の電源供給線(VDD_analog、VDD_digital)が設けられ、1本の電源供給線(VDD_digital)がIDDQ測定回路(8)を通って伸びていることを特徴とする請求項1に記載の制御装置(1)。
  3. マイクロコンピュータ(MC)と、監視ユニット(チェックユニット、CU)と、周辺回路(入出力、IO)とを有する、安全を保障する応用システム(5)の制御装置(1)において、
    監視ユニット(CU)が、マイクロコンピュータ(MC)の静止電流の測定のための第1の手段を備えており、静止電流の測定の制御のために、監視ユニット(CU)の前記第1の手段とマイクロコンピュータ(MC)との間に、少なくとも一本の静止電流ハンドシェーク回線(IDDQ−HDSHK)が設けられていること、
    監視ユニット(CU)が、マイクロコンピュータ(MC)にテストデータ入力信号を送り、該テストデータ入力信号を処理し、且つマイクロコンピュータ(MC)の対応するテストデータ出力信号を監視ユニット(CU)の対応するテストデータ出力信号と比較するための第2の手段を備えており、監視ユニット(CU)の前記第2の手段とマイクロコンピュータ(MC)との間に、少なくとも一本のテストデータ信号伝送回線が設けられていること、
    前記第1の手段が、IDDQ測定回路(8)と、電圧供給装置(9)と、IDDQ測定経過制御装置(MAS)(7)と、監視ユニット(CU)の制御装置(6)とを含んでいること、
    前記第1の手段とマイクロコンピュータ(MC)との間の接続が、IDDQ測定経過制御装置(MAS)(7)からマイクロコンピュータ(MC)へ伸びている4本のハンドシェーク回線(START、END、CLK、PWR_DN)と、電圧供給装置(9)からマイクロコンピュータ(MC)へ走っている少なくとも一本の電源供給線(VDD)とを含んでおり、少なくとも1本の電源供給線(VDD)がIDDQ測定回路(8)を通って伸びていること、および
    前記第1の手段が初期化回路(15)を備えており、該初期化回路が、制御装置(1)のスイッチが入れられた後に電圧供給装置(9)から初期化信号(RST)を受け取り、且つその後にIDDQ測定の解除のためにIDDQ測定経過制御装置(MAS)(7)に対して解除信号(IDDQ_EN)を送ること、
    を特徴とする安全を保障する応用システム(5)の制御装置(1)。
  4. マイクロコンピュータ(MC)と、監視ユニット(チェックユニット、CU)と、周辺回路(入出力、IO)とを有する、安全を保障する応用システム(5)の制御装置(1)において、
    監視ユニット(CU)が、マイクロコンピュータ(MC)の静止電流の測定のための第1の手段を備えており、静止電流の測定の制御のために、監視ユニット(CU)の前記第1の手段とマイクロコンピュータ(MC)との間に、少なくとも一本の静止電流ハンドシェーク回線(IDDQ−HDSHK)が設けられていること、
    監視ユニット(CU)が、マイクロコンピュータ(MC)にテストデータ入力信号を送り、該テストデータ入力信号を処理し、且つマイクロコンピュータ(MC)の対応するテストデータ出力信号を監視ユニット(CU)の対応するテストデータ出力信号と比較するための第2の手段を備えており、監視ユニット(CU)の前記第2の手段とマイクロコンピュータ(MC)との間に、少なくとも一本のテストデータ信号伝送回線が設けられていること、
    前記第2の手段が、マイクロコンピュータ(MC)にテストデータ入力信号を送り込むためのテストデータ信号ジェネレータ(10)と、該テストデータ入力信号を処理し且つ対応するテストデータ出力信号を形成するための応答ジェネレータ(11)と、テストデータを送受信するためのテストデータレジスタ(17)と、マイクロコンピュータ(MC)のテストデータ出力信号を監視ユニット(CU)のテストデータ出力信号と比較するための比較器(12)とを含んでいること、
    前記第2の手段とマイクロコンピュータ(MC)との間の接続が、テストデータレジスタ(17)とマイクロコンピュータ(MC)との間を走る、少なくとも1本のテストデータ伝送線を含んでいること、
    前記第2の手段がエラーカウンター(14)を備えており、マイクロコンピュータ(MC)のテストデータ出力信号が監視ユニット(CU)のテストデータ出力信号と一致していない場合に、及び/又は、マイクロコンピュータ(MC)のテストデータ出力信号がトリガジェネレータ(13)によって求められた時点とは異なる時点に比較器(12)に与えられる場合に、前記エラーカウンターがエラーをカウントすること、
    前記第2の手段が初期化回路(15)を備えており、該初期化回路が、制御装置(1)のスイッチが入れられた後に電圧供給装置(9)から初期化信号(RST)を受け取り、その後に監視ユニット(CU)をマイクロコンピュータ(MC)と同期化し、またその後にテストデータ信号ジェネレータ(10)とエラーカウンター(14)とを作動すること、
    を特徴とする請求項1ないし3のいずれかに記載の制御装置(1)。
  5. 前記第2の手段とマイクロコンピュータ(MC)との間の接続が、テストデータレジスタ(17)とマイクロコンピュータ(MC)との間を走る、2本のテストデータ伝送線(CU_Dout、CU_Din)を含んでいることを特徴とする請求項4に記載の制御装置(1)。
  6. 前記第2の手段が、マイクロコンピュータ(MC)にエラーが無い時に、マイクロコンピュータ(MC)のテストデータ出力信号が比較器(12)に与えられる時点を求めるためのトリガジェネレータ(13)を備えていることを特徴とする請求項4又は5に記載の制御装置(1)。
  7. マイクロコンピュータ(MC)と、監視ユニット(チェックユニット、CU)と、周辺回路(入出力、IO)とを有する安全を保障する応用システム(5)の制御装置(1)におけるマイクロコンピュータ(MC)をチェックするための方法において、
    マイクロコンピュータ(MC)の静止電流を測定し、その際、静止電流の測定が監視ユニット(CU)によって制御され、更に少なくとも一つのハンドシェーク信号(IDDQ−EN、IDDQ−FIN)がマイクロコンピュータ(MC)と監視ユニット(CU)との間で交換されるステップと、
    マイクロコンピュータ(MC)にテストデータ入力信号を与えるステップと、
    第1のテストデータ出力信号を確定するステップと、
    マイクロコンピュータ(MC)の第2のテストデータ出力信号と監視ユニット(CU)の第1のテストデータ出力信号とを比較するステップと、
    を含み、
    前記静止電流の測定が、IDDQ測定として形成されていること、
    前記IDDQ測定が、制御装置(1)のスイッチを入れた後に、解除信号(IDDQ_EN)による解除の後で実行されること、
    を特徴とする方法。
  8. マイクロコンピュータ(MC)の前記第2のテストデータ出力信号と監視ユニット(CU)の前記第1のテストデータ出力信号との比較が、制御装置(1)の作動の間に実行されることを特徴とする請求項7に記載の方法。
  9. 前記IDDQ測定の間に、及び/又はマイクロコンピュータ(MC)の前記第2のテストデータ出力信号と監視ユニット(CU)の前記第1のテストデータ出力信号との比較の間に、時間パルス発生器(Clock、CLK)がマイクロコンピュータ(MC)によって停止されることを特徴とする請求項7または8に記載の方法。
  10. 監視ユニット(CU)の前記テストデータ入力信号が、テストデータ信号ジェネレータ(10)からフィードバックされたシフトレジスタによって生成されることを特徴とする請求項7ないし9のいずれかに記載の方法。
  11. 監視ユニット(CU)の前記テストデータ出力信号が、応答ジェネレータ(11)からリード・ミュラー・コード(Reed−Muller−Code)によって生成されることを特徴とする請求項10に記載の方法。
JP2000595166A 1999-01-20 2000-01-18 安全を保障する応用システムの制御装置 Expired - Fee Related JP4436571B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE19902031A DE19902031A1 (de) 1999-01-20 1999-01-20 Steuergerät zur Steuerung sicherheitskritischer Anwendungen
DE19902031.0 1999-01-20
PCT/DE2000/000157 WO2000043797A1 (de) 1999-01-20 2000-01-18 Steuergerät zur steuerung sicherheitskritischer anwendungen

Publications (2)

Publication Number Publication Date
JP2002535765A JP2002535765A (ja) 2002-10-22
JP4436571B2 true JP4436571B2 (ja) 2010-03-24

Family

ID=7894784

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000595166A Expired - Fee Related JP4436571B2 (ja) 1999-01-20 2000-01-18 安全を保障する応用システムの制御装置

Country Status (5)

Country Link
US (1) US6820220B1 (ja)
EP (1) EP1149295B1 (ja)
JP (1) JP4436571B2 (ja)
DE (2) DE19902031A1 (ja)
WO (1) WO2000043797A1 (ja)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19902031A1 (de) * 1999-01-20 2000-07-27 Bosch Gmbh Robert Steuergerät zur Steuerung sicherheitskritischer Anwendungen
US7216285B2 (en) * 2001-11-09 2007-05-08 Marvell International Ltd. System and method for generating cyclic redundancy check
DE10302456A1 (de) * 2003-01-23 2004-07-29 Robert Bosch Gmbh Vorrichtung für sicherheitskritische Anwendungen und sichere Elektronik-Architektur
JP2004259137A (ja) * 2003-02-27 2004-09-16 Denso Corp 電子制御装置
DE10326595A1 (de) * 2003-06-13 2004-12-30 Daimlerchrysler Ag Verfahren und Vorrichtung zur Ermittlung von fehlerhaften Steuergeräten in einem Fahrzeug
US7818646B1 (en) * 2003-11-12 2010-10-19 Hewlett-Packard Development Company, L.P. Expectation based event verification
US20050154953A1 (en) * 2004-01-12 2005-07-14 Norskog Allen C. Multiple function pattern generator and comparator having self-seeding test function
EP2037340A1 (de) * 2007-09-14 2009-03-18 Siemens Aktiengesellschaft System und Verfahren zum Überwachen einer Steuereinrichtung eines Sicherheitsschaltgeräts
CN101452265B (zh) * 2007-12-04 2011-12-21 丁晓跃 实时在线自动校准方法和装置
US8044676B2 (en) * 2008-06-11 2011-10-25 Infineon Technologies Ag IDDQ testing
DE102009033156B4 (de) * 2009-07-13 2013-09-19 Dspace Digital Signal Processing And Control Engineering Gmbh Vorrichtung und Verfahren zum Messen und/oder Erzeugen von elektrischen Größen
DE102010026694A1 (de) * 2010-07-06 2012-01-12 Siemens Aktiengesellschaft Verfahren zur Überwachung eines Schalters, insbesondere eines Leistungsschalters für Niederspannungen
DE102010039271A1 (de) 2010-08-12 2012-02-16 Endress + Hauser Gmbh + Co. Kg Schaltung zum Regeln und Überwachen eines Signalstroms und Messumformer mit einer solchen Schaltung
WO2015087110A1 (en) 2013-12-09 2015-06-18 Freescale Semiconductor, Inc. Monitor, integrated circuit and method for monitoring an integrated circuit
CN104820420B (zh) * 2015-04-20 2017-08-11 中国科学院光电技术研究所 一种控制系统模拟电位传感器误差补偿方法
US10365702B2 (en) * 2017-04-10 2019-07-30 International Business Machines Corporation Autonomic supply voltage compensation for degradation of circuits over circuit lifetime
DE102018211844B4 (de) * 2018-07-17 2024-05-16 Infineon Technologies Ag Elektronische Anomalieerkennungseinheit zum Einsatz in einem Fahrzeug und Verfahren zum Erkennen einer Anomalie in einer Komponente eines Fahrzeugs
CN114067729B (zh) * 2021-11-16 2022-10-04 武汉华星光电技术有限公司 发光驱动电路及显示面板
CN116184177B (zh) * 2023-04-27 2023-12-08 合肥中晶新材料有限公司 一种用于半导体集成电路封装的测试系统

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4797541A (en) * 1986-04-14 1989-01-10 American Telephone and Telegraph Company--AT&T Information Systems Power regulator for a contactless credit card system
DE3639065C2 (de) 1986-11-14 1997-01-09 Bosch Gmbh Robert Verfahren zur Überwachung eines rechnergesteuerte Stellglieder ansteuernden Prozeßrechners
GB8729901D0 (en) * 1987-12-22 1988-02-03 Lucas Ind Plc Dual computer cross-checking system
DE4114999C2 (de) 1991-05-08 2001-04-26 Bosch Gmbh Robert System zur Steuerung eines Kraftfahrzeuges
DE4305288A1 (de) * 1993-02-20 1994-08-25 Bosch Gmbh Robert Selbsttestverfahren für nicht-reguläre CMOS-Schaltstrukturen mit hoher Defekterfassung
KR100358609B1 (ko) * 1993-12-16 2003-01-14 코닌클리케 필립스 일렉트로닉스 엔.브이. 반도체기판에집적된전자회로의검사방법,전자회로및집적회로
JPH09172818A (ja) * 1995-12-25 1997-07-08 Kubota Corp 移植機の覆土方法及び装置
DE19611520A1 (de) * 1996-03-23 1997-09-25 Bosch Gmbh Robert System zum Test eines in einem Steuergerät eingebauten Rechners
DE19902031A1 (de) * 1999-01-20 2000-07-27 Bosch Gmbh Robert Steuergerät zur Steuerung sicherheitskritischer Anwendungen
US6550033B1 (en) * 1999-12-22 2003-04-15 Advanced Micro Devices, Inc. Method and apparatus for exercising external memory with a memory built-in test
US20030126477A1 (en) * 2001-12-28 2003-07-03 Zhang Kevin X. Method and apparatus for controlling a supply voltage to a processor
US6950950B2 (en) * 2001-12-28 2005-09-27 Hewlett-Packard Development Company, L.P. Technique for conveying overload conditions from an AC adapter to a load powered by the adapter

Also Published As

Publication number Publication date
EP1149295B1 (de) 2003-04-09
EP1149295A1 (de) 2001-10-31
US6820220B1 (en) 2004-11-16
WO2000043797A1 (de) 2000-07-27
DE19902031A1 (de) 2000-07-27
DE50001706D1 (de) 2003-05-15
JP2002535765A (ja) 2002-10-22

Similar Documents

Publication Publication Date Title
JP4436571B2 (ja) 安全を保障する応用システムの制御装置
CN107390511B (zh) 用于运行冗余的自动化系统的方法
US9207661B2 (en) Dual core architecture of a control module of an engine
US7802138B2 (en) Control method for information processing apparatus, information processing apparatus, control program for information processing system and redundant comprisal control apparatus
US6076172A (en) Monitoting system for electronic control unit
US9678900B2 (en) Abnormal interrupt request processing
KR19990036222A (ko) 임계 안전도 조절 시스템용 마이크로프로세서 시스템
US20030163766A1 (en) Microcontroller having an error detector detecting errors in itself as well
US6035421A (en) System for testing a computer built into a control device
US10467889B2 (en) Alarm handling circuitry and method of handling an alarm
CN1893339B (zh) 连续中值故障控制系统和方法
US20040199824A1 (en) Device for safety-critical applications and secure electronic architecture
US5412794A (en) Microprocessor based systems providing simulated low voltage conditions for testing reset circuits
KR102509781B1 (ko) 마이크로컨트롤러와 적어도 하나의 센서 칩 사이에서의 통신을 위한 설계
JP3916495B2 (ja) フェイルセーフ機能を備えたコントローラ
CN109478160B (zh) 用于检测系统性故障和随机故障的电路
JP2002196948A (ja) 演算制御装置
JPH08115235A (ja) 制御装置の異常検出装置およびその方法
JPS5911452A (ja) パリテイチエツク回路の試験方式
JP3627545B2 (ja) Cpuの異常検出方法
JP2003150408A (ja) 車載制御装置用マイクロコンピュータの監視方法及び回路
JP6716429B2 (ja) 電子制御装置及びその診断方法
HU187029B (en) Programmable measuring system of controlled run and emulator for using in measuring system
JPS5916302B2 (ja) チエツク装置
US6807514B2 (en) Apparatus for monitoring the proper operation of components of an electrical system carrying out the same or mutually corresponding actions

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070111

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20081017

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081022

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20090122

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20090129

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090408

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20091130

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091228

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130108

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees