JP4505057B2 - データ処理回路を監視する方法と回路 - Google Patents
データ処理回路を監視する方法と回路 Download PDFInfo
- Publication number
- JP4505057B2 JP4505057B2 JP52883296A JP52883296A JP4505057B2 JP 4505057 B2 JP4505057 B2 JP 4505057B2 JP 52883296 A JP52883296 A JP 52883296A JP 52883296 A JP52883296 A JP 52883296A JP 4505057 B2 JP4505057 B2 JP 4505057B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- word
- generated
- data processing
- words
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60T—VEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
- B60T8/00—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force
- B60T8/32—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration
- B60T8/88—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means
- B60T8/885—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means using electrical circuitry
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/28—Error detection; Error correction; Monitoring by checking the correct order of processing
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60T—VEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
- B60T2270/00—Further aspects of brake control systems not otherwise provided for
- B60T2270/40—Failsafe aspects of brake control systems
- B60T2270/406—Test-mode; Self-diagnosis
Description
本発明は、ジョイント・チップ(a joint chip)上に搭載されデータ・ラインによって接続されたマイクロプロセッサ、マイクロコンピュータなどのデータ処理システムを2つまたはそれ以上有するデータ処理回路を監視する方法に関する。本方法を実施するための回路もまた本発明に含まれる。
マイクロプロセッサ、マイクロコンピュータおよび他のプログラムされた回路システムを含むデータ処理回路の特有の、無失敗(fail-free)の動作は,当該分野で知られているように,監視されなければならない。これは、該回路がセフティ・クリティカルな制御システムの一部を形成する場合にとくに適用される。セフティ・クリティカルな応用の1例は、例えば,アンチロック制御や牽引スリップの制御やドライビング安定性制御の目的のために、自動車のブレーキ・システムにおける制御である。データ処理回路の誤動作が検出されると、制御装置は非活動的にされるか、または、エラー発生にもかかわらずなお動作可能であり安全性の点から見てよりクリティカルでない動作モードに切り替えられる。
このような監視動作にとっては、該誤動作が迅速にそして高い信頼性で検出されることが重要である。この目的を達成するために、ドイツ特許第32 34 637号(p.5248)では、ホイール・センサー中に発生した入力データは、2つの並列な、同じ設計および同じプログラミングを施された互いに依存しない2つのマイクロコントローラ中で処理される。次に、この2つのマイクロコントローラからの出力信号は、その相関関係がチェックされる。誤動作を示す差が発生したら、電子制御装置が不能にされ、こうしてブレーキ機能が維持される。このように、先行技術による制御回路は2つの完全システム中における冗長データ処理に基づいており、この冗長さの唯一の目的は、このような場合に制御システムが不能にされるように、発生したエラーを高い信頼性で識別することである。発生した差を識別し、評価する監視回路と該活動的にするエレクトロニクスはまた、実質的に冗長な設計となっている。このように、より複雑になることは,安全のためには許容されねばならない。
さらに、ドイツ特許出願第41 37 124号(p.7255)に、入力信号が、別々の設計とプログラムを持つ2つの並列マイクロコントローラ中で処理される回路が開示されている。この2つのマイクロコントローラの内の1つのみが、完全で複雑な信号処理動作を実行する。第2のマイクロコントローラは主として監視目的で用いられ、この目的のために、入力信号は、調整された後および時間導関数(time derivatives)が生成された後で、簡略化された制御アルゴリズムおよび簡略化された制御哲学に基づいてさらに処理される。上記の先行技術の回路と比較して、監視用のマイクロコントローラにおける簡略化されたデータ処理動作のために複雑さは減じられる。
最近では、複数の完全データ処理システム、例えば2つのマイクロコンピュータを1つの単一チップ上に収納して、その双方のマイクロコンピュータに同一の入力データを供給してその双方のシステムのデータ処理結果を比較して、システムが適切に動作しているか否かチェックすることも基本的に可能である。しかしながら、電子システムが構造的にこの傾向と結び付いる場合、双方のシステムに対して等しい影響を持つ明瞭な回路の欠陥や誤動作に関して,たとえエラーが存在しても正しい監視信号を充分高い信頼性をもって生成することはできない。
従来タイプの監視動作に関して,1つの単一データ処理システムに基づいた回路では、充分高い信頼性で誤動作を検出することはまったく期待できない。
最後に、ドイツ特許出願第40 04 782号(p.6892)には、予め定められた周波数および予め定められた変動を持つ交番信号を表す監視信号を双方が発生する2つのマイクロコントローラを持つアンチロック・システムが開示されている。安全回路が、その交番信号をマイクロコントローラの作動クロックに依存しないクロック・ジェネレータから派生した時間基準と比較する。この時間基準の誤動作と共にこの交番信号の変動は、アンチロック制御を非活動的に導く。パルスが予め定められた時間ウインドウから落ちると、制御装置は不能となる。この回路はまた、冗長動作をする2つのマイクロコントローラの使用に基づいている。
本発明の目的は、1つの単一チップ上に搭載された2つまたはそれ以上のプロセッサを有するデータ処理回路または他のデータ処理システムを監視すること,および高度の安全度と信頼性で誤動作が検出されて通信されるようにすることである。さらに、本発明による方法を実現するに要する費用およびそれに応じた回路は最小化されるべきである。
本発明は請求項1に記載の方法によって達成されることが判明している。上記の方法の特別の特徴には、複数のデータ処理システムが一緒になって、別のチップに搭載されている監視回路に予め定められた時間に送信され、監視回路によって個々のデータ・ワードの内容および生成時間に関してチェックされるデータ・ワードおよびデータ・ワード・シーケンスを生成することが含まれる。
本発明の好ましい観点において,データ・ワード・シーケンスを生成する個別のデータ・ワードの一部は、データ処理システム中で生成され、該パートワード(part words)は複数のデータ処理システムの内の1つの中で完全なワードに結合され、これは全体として監視回路に送信される。
パートワードは各々のデータ処理システム中で異なったアルゴリズムに従って生成されるので安全性はかなり高まる。すべてのデータ処理システムに関して影響を持つような誤作動においては、結合された後で正しいデータ・ワードとなるような正しいパートワードが生成されることは期待できない。
データ・ワード・シーケンスの個々のワードが、監視回路中で生成されたワードについての内容および時間と相関関係があるか否か、さらに、差が生起すると、すなわち差が予め定められた制限値を超えると,エラー検出信号および/または非活性信号がトリガされるか否かをチェックすると,特に効果があることが分かっている。例えば、少しのタイミング差であれば許容される。
パートワードもまた、監視回路中で生成され、結合されて完全なワードとなり、このパートワードは次に別のアルゴリズムにしたがって生成され得るようにするのが適切である。
本発明の別の態様によると、個々のデータ・ワードは、8ビット長を有し,互いに等しい長さを持つ2つのパートワードから成っている。本発明のさらに別の観点によれば、パートワードは監視回路中で、ハードウエアによって、すなわち、マスク・プログラムされた回路技術によって、さらに、データ処理システム中では、ソフトウエアによって、すなわち、対応するプログラミングによって生成される。パートワードの内の1つは、関係(G1.1)にしたがって生成される:
WDn(2)からWDn+1(3)
WDn(1)からWDn+1(2)
WDn(0)からWDn+1(1)
[WDn-1(3)XOR WDn(1)]XOR WDn(0)からWDn+1(0)そして,他のパートワードは関係(G1.2)にしたがって生成される:
WDn(2)からWDn+1(3)
WDn(1)からWDn+1(2)
WDn(0)からWDn+1(1)
WDn(3)XOR WDn(2)からWDn+1(0)
ここで、(0...3)...は、4ビットパートワードの個別の位置である,
n.... は、作動クロック中での時点である,
XOR... は、論理結合の「排他的論理和」である,
から... は、「・・に起因する」を意味する。
本発明による方法を実施する回路の好ましい実施例の内の一部はサブクレーム中に記述されている。このような実施例の内の1つによると、各々が完全なデータ処理システムを表し、データ・ラインで相互接続されている2つの集積回路は、1つのジョイント・チップ(joint chip)上に搭載され、1つのパートワードが、この2つのデータ処理システムの各々中で生成される。その内の一方のシステムがパートワードを完全データ・ワードに結合させ、それを監視回路に送信する役目を担う。他方のデータ処理システムは、監視回路へのこのワード送信を制御する。この「タスク・シェアリング」は、本発明による監視の概念に基づいた回路安全性をさらに向上させる。
本発明のさらなる特徴、長所および可能な応用例は、本発明の実施態様を通して以下に示す詳細な説明で明かにされる。
図1は、本発明による回路の基本設計の略図;
図2は、監視回路のさらなる詳細を含む、図1の回路の略図;
図2Aは、監視回路の入力部に現れるさまざまな信号;
図3は、図2の監視回路の1実施態様。
図1は、本発明が基礎とする監視の概念の説明に用いられる。この実施例では、2つの完全マイクロプロセッサMP1とMP2、マイクロコンピュータおよび他のデータ処理システムは、シリコン・チップIC1上に搭載されている。これらのマイクロプロセッサは、アンチロック制御システム(ABS)、牽引スリップ制御システム(TCS)やドライブ安定性制御システム(DSC)などの自動車制御システムの電子部品中での2つのマイクロプロセッサであってもよい。この2つのプロセッサまたはデータ処置システムMP1とMP2はデータ・ライン1で相互接続されている。監視回路4は、「ウオッチドッグ(watchdog)」(WD)と呼ばれるが、シリアル・インタフェースSSIOによって2つのプロセッサの内の1つ(この場合はプロセッサMP2)に接続されている。出力”OUT”は、制御装置を非活動的にし,転換させ、および/または、監視回路がエラーを識別するとエラー検出信号を発生する安全性スイッチに入力される。
最後に、図1は、データ処理システムMP1から監視回路4に伸長する信号ラインCSNを示す。信号ラインCSNは、以下に詳述される、プロセッサMP2から監視回路4へのデータ送信を制御するために使用される。
この2つのプロセッサMP1とMP2が適切に動作しているか否か監視するために備えられている内でこれらの手段及び回路部分だけを図示して説明する。実際のデータ処理動作に必要とされるステップは図示されない。
本発明によれば、2つのマイクロプロセッサMP1とMP2は、監視目的のデータ・ワードおよびデータ・ワード・シーケンスを生成させる。これらデータ・ワードおよびデータ・ワード・シーケンスは,監視回路4に送信され、予め定められたデータ・ワード・シーケンスまたは個別のデータ・ワードとの相関関係をチェックされる。個別のデータ・ワードとの内容に関する相関関係と個別のデータ・ワードのタイミングとの双方が監視される。差が生成すると、すなわち差が予め定められた制限値を超えると、これはエラーと判定され、OUT出力で通信される。
本発明によれば、データ・ワード・シーケンスの個別のワードは、パートワード(データ・ワードの一部のワード)を生成させることによって生成され、次に完全なワードに結合される。この結合動作は、マイクロプロセッサMP1とMP2中ではソフトエウアまたはマイクロプロセッサの対応するプログラミングによって実行される。これに対応するデータ・ワードは、図3を参照にして以下に説明するように、監視回路4中で配線された回路電子系統によって生成される。
この個別のデータ・ワードは本発明の実施例中では8ビット長となっている。データ・ワードは、各々が4ビット長の2つのパートワードから成っている。このパートワードは、マイクロプロセッサMP1とMP2中で生成される。図1を見ると、一方のマイクロプロセッサ、すなわちマイクロプロセッサMP2は、2つのパートワードを結合してその完全ワードをシリアル・インタフェースSSIOを介して監視回路4に送信する役目をする。他方のマイクロプロセッサ、すなわちMP1は、パートワードの結合には与らないが、信号ライン2CSN(CS:chip−select、N:負論理)を介してのマイクロプロセッサMP2から監視回路4への完全ワードの送信を支配する。1つの完全データ・ワードは、7ms台の1動作クロック・サイクル中で生成され、送信される。次のデータ・ワードは次のクロック・サイクル中で発生、送信される。本発明の場合は、以下に説明するように、1つのワード・シーケンスは、1つのエンドレス・シーケンス中にある210の互いに異なったワードから成っている。
プロセッサMP1とMP2中で生成されたこの2つのパートワードは、本発明による別のアルゴリズムに基づいて生成される。これは、本発明による方法を応用する上で、安全性やエラー検出性にとって非常に重要である。
データ・ワードは次のように生成される:
図1の実施例中では、最初に、データ・ワード・ハーフが各々のプロセッサMP1とMP2内で、そのプログラム・メモリに対する読み出しアクセスによって生成される。マイクロプロセッサMP1内で生成されたこのワード・ハーフは次に、並列データ接続1によってマイクロプロセッサMP2に送信され、そこで結合されて完全データ・ワードとなる。マイクロプロセッサMP2がワード・ハーフの結合に際して失敗すると、完全データ・ワードは誤ったものとなる。こうして、データ・ワードの発生が完了する。次に、ワードは監視回路4に送信され、シリアル・インタフェースSSIOを介して、例えば作動クロックが満了したその正確な時点で、別のチップ(IC2)上に搭載される。データ・ワードは、監視回路4のシフト・レジスタに付与される。この際の送信は、CSN信号がライン2に出力されると同時に実行される。CSNは、監視回路4内でシフト・レジスタを開放する信号である。
図1の実施例中では、マイクロプロセッサMP2は、ワードが正しく送信されたか否か、すなわちその内容を判断し、さらに、マイクロプロセッサMP1は、そのタイミング、すなわち適切な時間で送信したか否かを判断する。送信されたワードは、監視回路4中で、相関関係を調べるための予め定められたワードと比較される。正しい相関関係が存在したら、個々のクロック・サイクルで、次のワードに切り替わり、このワードは次に、予め定められた時間ウインドウ中で評価される。
もちろん、マイクロプロセッサMP2が、CSNを含む完全な送信を扱うことも可能である。しかしながら、こうすると、エラー検出の安全性が減じられることになる。
監視回路4の一部であり、ジョイント・チップIC2上に搭載されているアセンブリ・グループを図2に示す。マイクロプロセッサMP1とMP2中で一緒に生成されるデータ・ワード・シーケンスのデータ・ワードは、シリアル・インタフェースを通じて、SSIO入力5の一部を形成するシフト・レジスタおよび中間メモリに送信される。コンパレータ6中で、個別のデータ・ワードWDPROCは、ジェネレータ7(GEN)によって監視回路4中に生成された所定のワードWDGENと比較される。RESET信号を生成する回路8および、作動クロックWDCLKを生成する発振器及び分周器9もまた図示されている。
予め定められたデータ・ワード・シーケンスとなるデータ・ワードは、配線された論理回路を通じて監視回路4(IC2)中で生成される。次に、データ・ワードは、マイクロプロセッサMP1とMP2中のソフトウエアにより生成されたデータ・ワードおよびデータ・ワード・シーケンスとの相関関係を比較され、継いで回路4に送信される。この比較の結果(WD)は、分析回路11によって評価される。回路10には、いわゆる安全カットアウトが含まれる。
図3に、図1および図2の監視回路4の実施例の詳細を示す。その設計と動作の詳細は以下の通りである・
プロセッサ回路(IC1)中で生成されたデータ・ワードまたはウオッチドッグ・ワードは、決まったインタバルで、すなわち作動クロック・サイクル中で、シリアル・インタフェースSSIO(ラインは、SIN、SOUT、SCK、CSN)を通じて、監視回路4の入力5に送信される。接続SINに出力されるデータは、クロックSCLKによって入力回路5の入力シフト・レジスタ中に移される。ローアクテイブ(low-active)のCSN信号の立ち上がりで、入力シフト・レジスタ中のデータは、中間メモリ(これも入力回路5に包含されている)に書き込まれ、次にバス上にの8ビットのデータ・ワードWDPROC(0:7)として評価される。入力回路5が出力する信号LDWDは、図2Aに示すように信号CSNWDとSCLKから作られる。
次に、マイクロプロセッサMP1とMP2から発するデータ・ワードWDPROC(0:7)は、コンパレータ6を通じて監視回路4中で生成されたデータ・ワードWDGEN(0:7)と比較される。コンパレータ6の出力端子に現れる信号WDは、双方のデータ・ワードが等しければ’1’である。
8ビットのデータ・ワードは、プロセッサMP1およびMP2によってまたはチップIC1内で生成されたデータ・ワードと同様に、監視回路4中で、各々が4ビット幅である2つのパートワードから成る。監視回路4内で生成された第1のパートワードWDGEN(0:3)は上位5つのフリップフロップによって生成され、第2のパートワードWDGEN(4:7)は下位4つのフリップフロップおよび個別のXORフィードバックによって生成される。このウオッチドッグ・ジェネレータは、WDPパルスをクロックとしてトリガされ、クロックの立ち上がり毎に、現在のデータ・ワードとは無関係に新しいデータ・ワードを生成する。フィードバックのタイプによって、ワード・シーケンスの各ワードおよび長さが決まる。本実施例中では、第1のパートワードのワード・シーケンスは14の異なった4ビット・ワードから成り、第2のパートワードの長さは15の異なった4ビット・ワードから成っている。これらのウオッチドッグ・ジェネレータ・ワードであるWDGENは、以下に示すアルゴリズムにしたがって生成される。第1のパートワードWDGEN(0:3)の場合、関係G1.1が次のように適用される:
WDn(2)からWDn+1(3)
WDn(1)からWDn+1(2)
WDn(0)からWDn+1(1)
[WDn-1(3)XORWDn(1)]XOR WDn(0)からWDn+1(0)そして,他のパートワードには関係G1.2が適用される。
WDn(2)からWDn+1(3)
WDn(1)からWDn+1(2)
WDn(0)からWDn+1(1)
WDn(3)XOR WDn(2)からWDn+1(0)
これらの略字の意味は次の通りである:
WD=WDGEN=watchdog data word,generated by the generator GEN(ジェネレータGENによって生成されたウオッチドッグ・データ・ワード);
(0...3)...4ビットのパートワードの各々の位置;
n... 作動クロック内の時点
XOR... 論理結合「排他的論理和」;
から... 「・・・に起因する」を意味する。
したがって、この2つのパートワード発生のためのアルゴリズム(G1.1,G1.2)は互いに異なる。個々が合計で14または15の異なった4ビット・ワードを発生する2つのパートワードを結合して完全なワードを提供すると、4ビットのパートワードから成る210の異なった8ビットのデータ・ワードのエンドスのシーケーンスとなる。この様子を次の表に示す。
初期ワード(1):1 000 0001
この210の異なったデータ・ワードから成るエンドレス・シーケンスに対して、次の関係が適用される:
Wn =W(n+m・210)
Wn =8ビットのデータ・ワード・シーケンスのn番目のワード
n,m=自然数1,2,3,....
ウオッチドッグ・ジェネレータのフリップフロップは、リセット動作中にワード・シーケンスの初期ワード’1000 0001’で占められる。
監視回路4の作動クロックWDCLKの1周期から2周期のインタバルの後で、ANDゲート12の入力部に入力されるDOREAD信号は、入力回路5から出力されるLDWD信号の立ち上がりで’1’になる。その結果は、プロセッサの出力したデータ・ワードWDPROC(1:7)と監視回路中で生成されたデータ・ワードWDGEN(1:7)との回路6における比較または比較結果WDが評価されることになる。WDPは、クロックWDCLKの次の立ち上がりで設定される。WDPは、双方のデータ・ワードに相関関係があれば’1’となる。ウオッチドッグ・ジェネレータは、WDP信号のエッジが’0’から’1’に変化するので、次のウオッチドッグ・ワードにスイッチする。この時、WDPROC(0:7)はまだ直前のワード上にある。したがって、WDは’0’となる。WDPは、クロックWDCLKの次の立ち上がりで再度’0’になる。したがって、WDPは、クロックWDCLKの1周期にわたって正確に’1’である。
ウオッチドッグ・パルスWDCLKの時間ウインドウは、信号TB、TA_NおよびTEによって定義される。これらの3つの信号は、WDCLKでクロックされる9ステップのタイマにより生成される。信号TIMERRESがタイマをリセットする(TB=’1’、TA_N=’1’、TE=’1’)。時間ウインドウは、TANが最初に’0’になると同時に始まる。信号TIMERRESはパルスWDCLKの立ち下がりと同期して出力される(すなわち’0’になる)という事実を考慮すると、この条件はWDCLKパルスが正確に127.5発だけ出力されると発生する。時間ウインドウは、TBEが最初に’1’になると同時に(WDCLKパルスが287.5発出力されると)終了する。
ウオッチドッグ回路または監視回路全体が(MRESET信号によって)リセットされると、信号QWDは分析回路11の出力部ではゼロとなる,すなわち、QWD=’0’。安全スイッチは、出力OUT次第で、「不能」状態や「エラー検出」状態になったりする。第2のウオッチドッグ信号または第2のデータ・ワードが正しく送信された後のみで,QWDは、信号FLAGENが’1’になって’1’に変わる。
信号I2はリセットされると’0’になる。したがって、I2とI3の間に配置されているRSフリップフロップは、出力側が’0’に設定される。早期ウオッチドッグ・パルスWDPの検出はこのようにして不能にされる。これは、最初のウオッチドッグ・ワードまたはデータ・ワードが、リセットの後に直ちに送出される可能性があることを意味する。時間ウインドウの終了と共にその開始はそれに続くすべてのデータ・ワードに関連するが、この理由は、RSフリップフロップが、先行するウオッチドッグ・パルスWDPによって’1’にリセットされており、’0’にリセットされるのは、時間ウインドウが開始された時だけであるからである。ウオッチドッグ・パルスWDPの入力が早すぎると、すなわちI3=’1’である間に入力されると、QWD1は’1’となり、その結果、QWDは’0’にセットされ、さらに「安全カットアウト」または「エラー検出」となる。
ウオッチドッグ・ワードまたはデータ・ワードが予め定められた時間ウインドウに従って常に正確に送出される場合、該信号TBEはけっして’1’にはならないが、この理由は、タイマは、時間ウインドウが終点に達する前に、毎回ウオッチドッグ・パルスWDPによって再度リセットされるからである。しかしながら、もし時間ウインドウの終点が過ぎると、TBEは’1’となり、これによって次段のRSフリップフロップが設定される。TBEMONが’1’になると、出力フリップフロップがリセットされる。その結果、出力信号QWDは’0’となり、安全カットアウトがトリガされる。
誤ったウオッチドッグ・ワードやデータ・ワードによって、ウオッチドッグ・パルスWDPが生じることはない。この場合、エラー検出および安全カットアウトは、この誤ったデータ・ワードが送出された時間に応じて、さらに、その誤ったデータ・ワードの後に時間ウインドウ内の正しいデータ・ワードが依然として続いているか否かによって発生する。次の例がこの状態を説明する。
例1:
誤ったデータ・ワードが2つの正しいデータ・ワード間に送出され、第2のデータ・ワードが、時間ウインドウの終点に達する(TBE=’1’)以前に送出される。この場合、信号CLKMONは、その第2のデータ・ワードに関するチップ・セレクト信号CSNWDの立ち下がりで値’1’になる。これによって、出力フリップフロップはリセットされる。
例2:
この場合、時間ウインドウが終点(TBE=’1’)に達するまでは正しいデータ・ワードは送出されない。誤ったデータは、ウオッチドッグ・パルスWDPを発生しないので、出力TBEMONは値’1’を採る。したがって、エラー検出または安全カットアウトがこのタイムアウトのゆえに発生する。
このように、本発明によれば、データ・ワードは、その内容とタイミングの双方が正しいか否かについて監視回路中でチェックされる。
マイクロプロセッサ、マイクロコンピュータおよび他のプログラムされた回路システムを含むデータ処理回路の特有の、無失敗(fail-free)の動作は,当該分野で知られているように,監視されなければならない。これは、該回路がセフティ・クリティカルな制御システムの一部を形成する場合にとくに適用される。セフティ・クリティカルな応用の1例は、例えば,アンチロック制御や牽引スリップの制御やドライビング安定性制御の目的のために、自動車のブレーキ・システムにおける制御である。データ処理回路の誤動作が検出されると、制御装置は非活動的にされるか、または、エラー発生にもかかわらずなお動作可能であり安全性の点から見てよりクリティカルでない動作モードに切り替えられる。
このような監視動作にとっては、該誤動作が迅速にそして高い信頼性で検出されることが重要である。この目的を達成するために、ドイツ特許第32 34 637号(p.5248)では、ホイール・センサー中に発生した入力データは、2つの並列な、同じ設計および同じプログラミングを施された互いに依存しない2つのマイクロコントローラ中で処理される。次に、この2つのマイクロコントローラからの出力信号は、その相関関係がチェックされる。誤動作を示す差が発生したら、電子制御装置が不能にされ、こうしてブレーキ機能が維持される。このように、先行技術による制御回路は2つの完全システム中における冗長データ処理に基づいており、この冗長さの唯一の目的は、このような場合に制御システムが不能にされるように、発生したエラーを高い信頼性で識別することである。発生した差を識別し、評価する監視回路と該活動的にするエレクトロニクスはまた、実質的に冗長な設計となっている。このように、より複雑になることは,安全のためには許容されねばならない。
さらに、ドイツ特許出願第41 37 124号(p.7255)に、入力信号が、別々の設計とプログラムを持つ2つの並列マイクロコントローラ中で処理される回路が開示されている。この2つのマイクロコントローラの内の1つのみが、完全で複雑な信号処理動作を実行する。第2のマイクロコントローラは主として監視目的で用いられ、この目的のために、入力信号は、調整された後および時間導関数(time derivatives)が生成された後で、簡略化された制御アルゴリズムおよび簡略化された制御哲学に基づいてさらに処理される。上記の先行技術の回路と比較して、監視用のマイクロコントローラにおける簡略化されたデータ処理動作のために複雑さは減じられる。
最近では、複数の完全データ処理システム、例えば2つのマイクロコンピュータを1つの単一チップ上に収納して、その双方のマイクロコンピュータに同一の入力データを供給してその双方のシステムのデータ処理結果を比較して、システムが適切に動作しているか否かチェックすることも基本的に可能である。しかしながら、電子システムが構造的にこの傾向と結び付いる場合、双方のシステムに対して等しい影響を持つ明瞭な回路の欠陥や誤動作に関して,たとえエラーが存在しても正しい監視信号を充分高い信頼性をもって生成することはできない。
従来タイプの監視動作に関して,1つの単一データ処理システムに基づいた回路では、充分高い信頼性で誤動作を検出することはまったく期待できない。
最後に、ドイツ特許出願第40 04 782号(p.6892)には、予め定められた周波数および予め定められた変動を持つ交番信号を表す監視信号を双方が発生する2つのマイクロコントローラを持つアンチロック・システムが開示されている。安全回路が、その交番信号をマイクロコントローラの作動クロックに依存しないクロック・ジェネレータから派生した時間基準と比較する。この時間基準の誤動作と共にこの交番信号の変動は、アンチロック制御を非活動的に導く。パルスが予め定められた時間ウインドウから落ちると、制御装置は不能となる。この回路はまた、冗長動作をする2つのマイクロコントローラの使用に基づいている。
本発明の目的は、1つの単一チップ上に搭載された2つまたはそれ以上のプロセッサを有するデータ処理回路または他のデータ処理システムを監視すること,および高度の安全度と信頼性で誤動作が検出されて通信されるようにすることである。さらに、本発明による方法を実現するに要する費用およびそれに応じた回路は最小化されるべきである。
本発明は請求項1に記載の方法によって達成されることが判明している。上記の方法の特別の特徴には、複数のデータ処理システムが一緒になって、別のチップに搭載されている監視回路に予め定められた時間に送信され、監視回路によって個々のデータ・ワードの内容および生成時間に関してチェックされるデータ・ワードおよびデータ・ワード・シーケンスを生成することが含まれる。
本発明の好ましい観点において,データ・ワード・シーケンスを生成する個別のデータ・ワードの一部は、データ処理システム中で生成され、該パートワード(part words)は複数のデータ処理システムの内の1つの中で完全なワードに結合され、これは全体として監視回路に送信される。
パートワードは各々のデータ処理システム中で異なったアルゴリズムに従って生成されるので安全性はかなり高まる。すべてのデータ処理システムに関して影響を持つような誤作動においては、結合された後で正しいデータ・ワードとなるような正しいパートワードが生成されることは期待できない。
データ・ワード・シーケンスの個々のワードが、監視回路中で生成されたワードについての内容および時間と相関関係があるか否か、さらに、差が生起すると、すなわち差が予め定められた制限値を超えると,エラー検出信号および/または非活性信号がトリガされるか否かをチェックすると,特に効果があることが分かっている。例えば、少しのタイミング差であれば許容される。
パートワードもまた、監視回路中で生成され、結合されて完全なワードとなり、このパートワードは次に別のアルゴリズムにしたがって生成され得るようにするのが適切である。
本発明の別の態様によると、個々のデータ・ワードは、8ビット長を有し,互いに等しい長さを持つ2つのパートワードから成っている。本発明のさらに別の観点によれば、パートワードは監視回路中で、ハードウエアによって、すなわち、マスク・プログラムされた回路技術によって、さらに、データ処理システム中では、ソフトウエアによって、すなわち、対応するプログラミングによって生成される。パートワードの内の1つは、関係(G1.1)にしたがって生成される:
WDn(2)からWDn+1(3)
WDn(1)からWDn+1(2)
WDn(0)からWDn+1(1)
[WDn-1(3)XOR WDn(1)]XOR WDn(0)からWDn+1(0)そして,他のパートワードは関係(G1.2)にしたがって生成される:
WDn(2)からWDn+1(3)
WDn(1)からWDn+1(2)
WDn(0)からWDn+1(1)
WDn(3)XOR WDn(2)からWDn+1(0)
ここで、(0...3)...は、4ビットパートワードの個別の位置である,
n.... は、作動クロック中での時点である,
XOR... は、論理結合の「排他的論理和」である,
から... は、「・・に起因する」を意味する。
本発明による方法を実施する回路の好ましい実施例の内の一部はサブクレーム中に記述されている。このような実施例の内の1つによると、各々が完全なデータ処理システムを表し、データ・ラインで相互接続されている2つの集積回路は、1つのジョイント・チップ(joint chip)上に搭載され、1つのパートワードが、この2つのデータ処理システムの各々中で生成される。その内の一方のシステムがパートワードを完全データ・ワードに結合させ、それを監視回路に送信する役目を担う。他方のデータ処理システムは、監視回路へのこのワード送信を制御する。この「タスク・シェアリング」は、本発明による監視の概念に基づいた回路安全性をさらに向上させる。
本発明のさらなる特徴、長所および可能な応用例は、本発明の実施態様を通して以下に示す詳細な説明で明かにされる。
図1は、本発明による回路の基本設計の略図;
図2は、監視回路のさらなる詳細を含む、図1の回路の略図;
図2Aは、監視回路の入力部に現れるさまざまな信号;
図3は、図2の監視回路の1実施態様。
図1は、本発明が基礎とする監視の概念の説明に用いられる。この実施例では、2つの完全マイクロプロセッサMP1とMP2、マイクロコンピュータおよび他のデータ処理システムは、シリコン・チップIC1上に搭載されている。これらのマイクロプロセッサは、アンチロック制御システム(ABS)、牽引スリップ制御システム(TCS)やドライブ安定性制御システム(DSC)などの自動車制御システムの電子部品中での2つのマイクロプロセッサであってもよい。この2つのプロセッサまたはデータ処置システムMP1とMP2はデータ・ライン1で相互接続されている。監視回路4は、「ウオッチドッグ(watchdog)」(WD)と呼ばれるが、シリアル・インタフェースSSIOによって2つのプロセッサの内の1つ(この場合はプロセッサMP2)に接続されている。出力”OUT”は、制御装置を非活動的にし,転換させ、および/または、監視回路がエラーを識別するとエラー検出信号を発生する安全性スイッチに入力される。
最後に、図1は、データ処理システムMP1から監視回路4に伸長する信号ラインCSNを示す。信号ラインCSNは、以下に詳述される、プロセッサMP2から監視回路4へのデータ送信を制御するために使用される。
この2つのプロセッサMP1とMP2が適切に動作しているか否か監視するために備えられている内でこれらの手段及び回路部分だけを図示して説明する。実際のデータ処理動作に必要とされるステップは図示されない。
本発明によれば、2つのマイクロプロセッサMP1とMP2は、監視目的のデータ・ワードおよびデータ・ワード・シーケンスを生成させる。これらデータ・ワードおよびデータ・ワード・シーケンスは,監視回路4に送信され、予め定められたデータ・ワード・シーケンスまたは個別のデータ・ワードとの相関関係をチェックされる。個別のデータ・ワードとの内容に関する相関関係と個別のデータ・ワードのタイミングとの双方が監視される。差が生成すると、すなわち差が予め定められた制限値を超えると、これはエラーと判定され、OUT出力で通信される。
本発明によれば、データ・ワード・シーケンスの個別のワードは、パートワード(データ・ワードの一部のワード)を生成させることによって生成され、次に完全なワードに結合される。この結合動作は、マイクロプロセッサMP1とMP2中ではソフトエウアまたはマイクロプロセッサの対応するプログラミングによって実行される。これに対応するデータ・ワードは、図3を参照にして以下に説明するように、監視回路4中で配線された回路電子系統によって生成される。
この個別のデータ・ワードは本発明の実施例中では8ビット長となっている。データ・ワードは、各々が4ビット長の2つのパートワードから成っている。このパートワードは、マイクロプロセッサMP1とMP2中で生成される。図1を見ると、一方のマイクロプロセッサ、すなわちマイクロプロセッサMP2は、2つのパートワードを結合してその完全ワードをシリアル・インタフェースSSIOを介して監視回路4に送信する役目をする。他方のマイクロプロセッサ、すなわちMP1は、パートワードの結合には与らないが、信号ライン2CSN(CS:chip−select、N:負論理)を介してのマイクロプロセッサMP2から監視回路4への完全ワードの送信を支配する。1つの完全データ・ワードは、7ms台の1動作クロック・サイクル中で生成され、送信される。次のデータ・ワードは次のクロック・サイクル中で発生、送信される。本発明の場合は、以下に説明するように、1つのワード・シーケンスは、1つのエンドレス・シーケンス中にある210の互いに異なったワードから成っている。
プロセッサMP1とMP2中で生成されたこの2つのパートワードは、本発明による別のアルゴリズムに基づいて生成される。これは、本発明による方法を応用する上で、安全性やエラー検出性にとって非常に重要である。
データ・ワードは次のように生成される:
図1の実施例中では、最初に、データ・ワード・ハーフが各々のプロセッサMP1とMP2内で、そのプログラム・メモリに対する読み出しアクセスによって生成される。マイクロプロセッサMP1内で生成されたこのワード・ハーフは次に、並列データ接続1によってマイクロプロセッサMP2に送信され、そこで結合されて完全データ・ワードとなる。マイクロプロセッサMP2がワード・ハーフの結合に際して失敗すると、完全データ・ワードは誤ったものとなる。こうして、データ・ワードの発生が完了する。次に、ワードは監視回路4に送信され、シリアル・インタフェースSSIOを介して、例えば作動クロックが満了したその正確な時点で、別のチップ(IC2)上に搭載される。データ・ワードは、監視回路4のシフト・レジスタに付与される。この際の送信は、CSN信号がライン2に出力されると同時に実行される。CSNは、監視回路4内でシフト・レジスタを開放する信号である。
図1の実施例中では、マイクロプロセッサMP2は、ワードが正しく送信されたか否か、すなわちその内容を判断し、さらに、マイクロプロセッサMP1は、そのタイミング、すなわち適切な時間で送信したか否かを判断する。送信されたワードは、監視回路4中で、相関関係を調べるための予め定められたワードと比較される。正しい相関関係が存在したら、個々のクロック・サイクルで、次のワードに切り替わり、このワードは次に、予め定められた時間ウインドウ中で評価される。
もちろん、マイクロプロセッサMP2が、CSNを含む完全な送信を扱うことも可能である。しかしながら、こうすると、エラー検出の安全性が減じられることになる。
監視回路4の一部であり、ジョイント・チップIC2上に搭載されているアセンブリ・グループを図2に示す。マイクロプロセッサMP1とMP2中で一緒に生成されるデータ・ワード・シーケンスのデータ・ワードは、シリアル・インタフェースを通じて、SSIO入力5の一部を形成するシフト・レジスタおよび中間メモリに送信される。コンパレータ6中で、個別のデータ・ワードWDPROCは、ジェネレータ7(GEN)によって監視回路4中に生成された所定のワードWDGENと比較される。RESET信号を生成する回路8および、作動クロックWDCLKを生成する発振器及び分周器9もまた図示されている。
予め定められたデータ・ワード・シーケンスとなるデータ・ワードは、配線された論理回路を通じて監視回路4(IC2)中で生成される。次に、データ・ワードは、マイクロプロセッサMP1とMP2中のソフトウエアにより生成されたデータ・ワードおよびデータ・ワード・シーケンスとの相関関係を比較され、継いで回路4に送信される。この比較の結果(WD)は、分析回路11によって評価される。回路10には、いわゆる安全カットアウトが含まれる。
図3に、図1および図2の監視回路4の実施例の詳細を示す。その設計と動作の詳細は以下の通りである・
プロセッサ回路(IC1)中で生成されたデータ・ワードまたはウオッチドッグ・ワードは、決まったインタバルで、すなわち作動クロック・サイクル中で、シリアル・インタフェースSSIO(ラインは、SIN、SOUT、SCK、CSN)を通じて、監視回路4の入力5に送信される。接続SINに出力されるデータは、クロックSCLKによって入力回路5の入力シフト・レジスタ中に移される。ローアクテイブ(low-active)のCSN信号の立ち上がりで、入力シフト・レジスタ中のデータは、中間メモリ(これも入力回路5に包含されている)に書き込まれ、次にバス上にの8ビットのデータ・ワードWDPROC(0:7)として評価される。入力回路5が出力する信号LDWDは、図2Aに示すように信号CSNWDとSCLKから作られる。
次に、マイクロプロセッサMP1とMP2から発するデータ・ワードWDPROC(0:7)は、コンパレータ6を通じて監視回路4中で生成されたデータ・ワードWDGEN(0:7)と比較される。コンパレータ6の出力端子に現れる信号WDは、双方のデータ・ワードが等しければ’1’である。
8ビットのデータ・ワードは、プロセッサMP1およびMP2によってまたはチップIC1内で生成されたデータ・ワードと同様に、監視回路4中で、各々が4ビット幅である2つのパートワードから成る。監視回路4内で生成された第1のパートワードWDGEN(0:3)は上位5つのフリップフロップによって生成され、第2のパートワードWDGEN(4:7)は下位4つのフリップフロップおよび個別のXORフィードバックによって生成される。このウオッチドッグ・ジェネレータは、WDPパルスをクロックとしてトリガされ、クロックの立ち上がり毎に、現在のデータ・ワードとは無関係に新しいデータ・ワードを生成する。フィードバックのタイプによって、ワード・シーケンスの各ワードおよび長さが決まる。本実施例中では、第1のパートワードのワード・シーケンスは14の異なった4ビット・ワードから成り、第2のパートワードの長さは15の異なった4ビット・ワードから成っている。これらのウオッチドッグ・ジェネレータ・ワードであるWDGENは、以下に示すアルゴリズムにしたがって生成される。第1のパートワードWDGEN(0:3)の場合、関係G1.1が次のように適用される:
WDn(2)からWDn+1(3)
WDn(1)からWDn+1(2)
WDn(0)からWDn+1(1)
[WDn-1(3)XORWDn(1)]XOR WDn(0)からWDn+1(0)そして,他のパートワードには関係G1.2が適用される。
WDn(2)からWDn+1(3)
WDn(1)からWDn+1(2)
WDn(0)からWDn+1(1)
WDn(3)XOR WDn(2)からWDn+1(0)
これらの略字の意味は次の通りである:
WD=WDGEN=watchdog data word,generated by the generator GEN(ジェネレータGENによって生成されたウオッチドッグ・データ・ワード);
(0...3)...4ビットのパートワードの各々の位置;
n... 作動クロック内の時点
XOR... 論理結合「排他的論理和」;
から... 「・・・に起因する」を意味する。
したがって、この2つのパートワード発生のためのアルゴリズム(G1.1,G1.2)は互いに異なる。個々が合計で14または15の異なった4ビット・ワードを発生する2つのパートワードを結合して完全なワードを提供すると、4ビットのパートワードから成る210の異なった8ビットのデータ・ワードのエンドスのシーケーンスとなる。この様子を次の表に示す。
初期ワード(1):1 000 0001
Wn =W(n+m・210)
Wn =8ビットのデータ・ワード・シーケンスのn番目のワード
n,m=自然数1,2,3,....
ウオッチドッグ・ジェネレータのフリップフロップは、リセット動作中にワード・シーケンスの初期ワード’1000 0001’で占められる。
監視回路4の作動クロックWDCLKの1周期から2周期のインタバルの後で、ANDゲート12の入力部に入力されるDOREAD信号は、入力回路5から出力されるLDWD信号の立ち上がりで’1’になる。その結果は、プロセッサの出力したデータ・ワードWDPROC(1:7)と監視回路中で生成されたデータ・ワードWDGEN(1:7)との回路6における比較または比較結果WDが評価されることになる。WDPは、クロックWDCLKの次の立ち上がりで設定される。WDPは、双方のデータ・ワードに相関関係があれば’1’となる。ウオッチドッグ・ジェネレータは、WDP信号のエッジが’0’から’1’に変化するので、次のウオッチドッグ・ワードにスイッチする。この時、WDPROC(0:7)はまだ直前のワード上にある。したがって、WDは’0’となる。WDPは、クロックWDCLKの次の立ち上がりで再度’0’になる。したがって、WDPは、クロックWDCLKの1周期にわたって正確に’1’である。
ウオッチドッグ・パルスWDCLKの時間ウインドウは、信号TB、TA_NおよびTEによって定義される。これらの3つの信号は、WDCLKでクロックされる9ステップのタイマにより生成される。信号TIMERRESがタイマをリセットする(TB=’1’、TA_N=’1’、TE=’1’)。時間ウインドウは、TANが最初に’0’になると同時に始まる。信号TIMERRESはパルスWDCLKの立ち下がりと同期して出力される(すなわち’0’になる)という事実を考慮すると、この条件はWDCLKパルスが正確に127.5発だけ出力されると発生する。時間ウインドウは、TBEが最初に’1’になると同時に(WDCLKパルスが287.5発出力されると)終了する。
ウオッチドッグ回路または監視回路全体が(MRESET信号によって)リセットされると、信号QWDは分析回路11の出力部ではゼロとなる,すなわち、QWD=’0’。安全スイッチは、出力OUT次第で、「不能」状態や「エラー検出」状態になったりする。第2のウオッチドッグ信号または第2のデータ・ワードが正しく送信された後のみで,QWDは、信号FLAGENが’1’になって’1’に変わる。
信号I2はリセットされると’0’になる。したがって、I2とI3の間に配置されているRSフリップフロップは、出力側が’0’に設定される。早期ウオッチドッグ・パルスWDPの検出はこのようにして不能にされる。これは、最初のウオッチドッグ・ワードまたはデータ・ワードが、リセットの後に直ちに送出される可能性があることを意味する。時間ウインドウの終了と共にその開始はそれに続くすべてのデータ・ワードに関連するが、この理由は、RSフリップフロップが、先行するウオッチドッグ・パルスWDPによって’1’にリセットされており、’0’にリセットされるのは、時間ウインドウが開始された時だけであるからである。ウオッチドッグ・パルスWDPの入力が早すぎると、すなわちI3=’1’である間に入力されると、QWD1は’1’となり、その結果、QWDは’0’にセットされ、さらに「安全カットアウト」または「エラー検出」となる。
ウオッチドッグ・ワードまたはデータ・ワードが予め定められた時間ウインドウに従って常に正確に送出される場合、該信号TBEはけっして’1’にはならないが、この理由は、タイマは、時間ウインドウが終点に達する前に、毎回ウオッチドッグ・パルスWDPによって再度リセットされるからである。しかしながら、もし時間ウインドウの終点が過ぎると、TBEは’1’となり、これによって次段のRSフリップフロップが設定される。TBEMONが’1’になると、出力フリップフロップがリセットされる。その結果、出力信号QWDは’0’となり、安全カットアウトがトリガされる。
誤ったウオッチドッグ・ワードやデータ・ワードによって、ウオッチドッグ・パルスWDPが生じることはない。この場合、エラー検出および安全カットアウトは、この誤ったデータ・ワードが送出された時間に応じて、さらに、その誤ったデータ・ワードの後に時間ウインドウ内の正しいデータ・ワードが依然として続いているか否かによって発生する。次の例がこの状態を説明する。
例1:
誤ったデータ・ワードが2つの正しいデータ・ワード間に送出され、第2のデータ・ワードが、時間ウインドウの終点に達する(TBE=’1’)以前に送出される。この場合、信号CLKMONは、その第2のデータ・ワードに関するチップ・セレクト信号CSNWDの立ち下がりで値’1’になる。これによって、出力フリップフロップはリセットされる。
例2:
この場合、時間ウインドウが終点(TBE=’1’)に達するまでは正しいデータ・ワードは送出されない。誤ったデータは、ウオッチドッグ・パルスWDPを発生しないので、出力TBEMONは値’1’を採る。したがって、エラー検出または安全カットアウトがこのタイムアウトのゆえに発生する。
このように、本発明によれば、データ・ワードは、その内容とタイミングの双方が正しいか否かについて監視回路中でチェックされる。
Claims (7)
- 複数のデータ処理システム(MP1、MP2)が共同して、別のチップ(IC2)上に搭載されている監視回路(4)に予め定められた時間に送信され、さらに、それぞれのデータワードの内容および出現時間に関して該監視回路(4)によってチェックされる、データワードおよびデータワード・シーケンス(WDPROC)を生成することを特徴とする、ジョイント・チップ上に搭載され、そしてデータ・ラインで接続されたマイクロプロセッサやマイクロコンピュータなどのデータ処理システムを2つ以上含むデータ処理回路を監視する方法であって、
該データ処理回路は、2つのデータ処理システム(MP1、MP2)のそれぞれが、データ・ラインによって相互接続されるように1つのジョイント・チップ(IC1)上に搭載され、
パートワードが、該2つのデータ処理システム(MP1、MP2)のそれぞれにおいて生成され、次に、該2つのデータ処理システムの内の一方(MP2)が、他方のデータ処理システムで生成されたパートワードを、該一方のデータ処理システムで生成されたパートワードに結合して1つのデータワードとし、さらに、該データワードを該監視回路(4)に送信し、
該監視回路(4)が、該監視装置(4)中のジェネレータ(7)によって、パートワードを別のアルゴリズムに基づいて生成し、該パートワードをデータワード(WDGEN)に結合し、さらに、それらを、該データ処理システム(MP1、MP2)内で生成された該データワード・シーケンスのそれぞれのデータワード(WDPROC)と比較する配線された論理回路として構成されていることを特徴とする方法。 - 請求項1に記載の方法であって、該データワード・シーケンス(WDPROC)の該それぞれのデータワードが、監視回路(4)内で生成されたデータワード(WDGEN)の、内容および時間に関する相関関係についてチェックされ、そして、差が発生すると、すなわち該差が予め定められた制限値を超えると、エラー検出信号および/または非活動的信号(“OUT”)がトリガされることを特徴とする方法。
- 請求項1または2のいずれか一項に記載の方法であって、複数のパートワードが該監視回路(4)中で生成され、データワードに結合されることを特徴とする方法。
- 請求項3に記載の方法であって、該パートワードが、異なったアルゴリズムにしたがって互いに無関係に該監視回路(4)中で生成されることを特徴とする方法。
- 請求項1ないし4のいずれか一項に記載の方法であって、該パートワードおよび該データワード・シーケンスは、複数の該データ処理システム(MP1、MP2)をプログラミングすることによって該データ処理システム(MP1、MP2)中で生成されることを特徴とする方法。
- 請求項1ないし5のいずれか一項に記載の方法であって、該データワード・シーケンスの該それぞれのデータワードが8ビット長であり、互いに等しい長さを持つ2つのパートワードから成ることを特徴とする方法。
- 請求項6に記載の方法であって、該監視回路(4)中において、そして、該データ処理システム(MP1、MP2)を手段として、該パートワードの一方が次の関係(Gl.1)によって生成され:
WDn(2)からWDn+1(3)
WDn(1)からWDn+1(2)
WDn(0)からWDn+1(1)
[WDn-1(3)XOR WDn(1)]XOR WDn(0)からWDn+1(0)そして、他のパートワードは関係(Gl.2)にしたがって生成される:
WDn(2)からWDn+1(3)
WDn(1)からWDn+1(2)
WDn(0)からWDn+1(1)
WDn(3)XOR WDn(2)からWDn+1(0)
ここで、
(0...3)...は、4ビットパートワードの個別の位置である、
n....は、作動クロック中での時点である、
XOR...は、論理結合の「排他的論理和」であることを特徴とする方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE19511842.1 | 1995-03-31 | ||
| DE19511842A DE19511842A1 (de) | 1995-03-31 | 1995-03-31 | Verfahren und Schaltungsanordnung zur Überwachung einer Datenverarbeitungsschaltung |
| PCT/EP1996/000704 WO1996030775A1 (de) | 1995-03-31 | 1996-02-21 | Verfahren und schaltungsanordnung zur überwachung einer datenverarbeitungsschaltung |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH11502652A JPH11502652A (ja) | 1999-03-02 |
| JP4505057B2 true JP4505057B2 (ja) | 2010-07-14 |
Family
ID=7758262
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP52883296A Expired - Lifetime JP4505057B2 (ja) | 1995-03-31 | 1996-02-21 | データ処理回路を監視する方法と回路 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US6115832A (ja) |
| EP (1) | EP0817975B1 (ja) |
| JP (1) | JP4505057B2 (ja) |
| DE (2) | DE19511842A1 (ja) |
| WO (1) | WO1996030775A1 (ja) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19743463A1 (de) * | 1997-10-01 | 1999-04-08 | Itt Mfg Enterprises Inc | Verfahren zur Fehlerkennung von Mikroprozessoren in Steuergeräten eines Kfz. |
| JP3636031B2 (ja) * | 2000-04-28 | 2005-04-06 | 株式会社デンソー | 電子制御装置内のマイクロコンピュータ監視方法 |
| DE10148157B4 (de) | 2001-09-28 | 2006-05-18 | Infineon Technologies Ag | Programmgesteuerte Einheit |
| DE102005037222A1 (de) * | 2004-10-25 | 2007-02-15 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Auswertung eines Signals eines Rechnersystems mit wenigstens zwei Ausführungseinheiten |
| WO2009024884A2 (en) * | 2007-08-17 | 2009-02-26 | Nxp B.V. | System for providing fault tolerance for at least one micro controller unit |
| JP6765874B2 (ja) * | 2016-06-30 | 2020-10-07 | 日立オートモティブシステムズ株式会社 | 電子制御装置 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US3810119A (en) * | 1971-05-04 | 1974-05-07 | Us Navy | Processor synchronization scheme |
| US3891279A (en) * | 1973-10-19 | 1975-06-24 | Kelsey Hayes Co | Failsafe system for skid control systems and the like |
| IT1014277B (it) * | 1974-06-03 | 1977-04-20 | Cselt Centro Studi Lab Telecom | Sistema di controllo di elaboratori di processo operanti in parallelo |
| DE2534904B2 (de) * | 1975-08-05 | 1979-09-13 | Wabco Fahrzeugbremsen Gmbh, 3000 Hannover | Sicherheits- und Überwachungsschaltung für blockiergeschützte Fahrzeugbremsen |
| DE2534902B2 (de) * | 1975-08-05 | 1978-06-01 | Dirksmoeller, Hermann, 6300 Giessen | Verfahren und Vorrichtung zur Gewinnung von Süßwasser aus Salzwasser |
| JPS58221453A (ja) * | 1982-06-17 | 1983-12-23 | Toshiba Corp | 多重系情報処理装置 |
| DE3225712C2 (de) * | 1982-07-09 | 1985-04-11 | M.A.N. Maschinenfabrik Augsburg-Nuernberg Ag, 8000 Muenchen | Verfahren und Vorrichtung zur Funktionsprüfung von digitalen Rechnern |
| DE3731097C2 (de) * | 1987-09-16 | 1996-02-08 | Vdo Schindling | Schaltungsanordnung zur Überwachung einer von zwei Mikroprozessoren gesteuerten Einrichtung, insbesondere einer Kraftfahrzeug-Elektronik |
| GB2241123B (en) * | 1990-02-16 | 1993-09-29 | Teves Gmbh Alfred | Circuit arrangement for an anti-lock-controlled vehicle brake system |
| GB9101227D0 (en) * | 1991-01-19 | 1991-02-27 | Lucas Ind Plc | Method of and apparatus for arbitrating between a plurality of controllers,and control system |
| US5440724A (en) * | 1993-06-17 | 1995-08-08 | Bull Hn Information Systems Inc. | Central processing unit using dual basic processing units and combined result bus and incorporating means for obtaining access to internal BPU test signals |
| DE4326919A1 (de) * | 1993-08-11 | 1995-02-16 | Teves Gmbh Alfred | Regelschaltung für Bremsanlagen mit ABS und/oder ASR |
| DE4332143A1 (de) * | 1993-09-17 | 1995-03-23 | Siemens Ag | Verfahren zum Betrieb eines Datensichtgerätes und Einrichtungen zur Durchführung des Verfahrens |
-
1995
- 1995-03-31 DE DE19511842A patent/DE19511842A1/de not_active Withdrawn
-
1996
- 1996-02-21 DE DE59602876T patent/DE59602876D1/de not_active Expired - Lifetime
- 1996-02-21 US US08/913,424 patent/US6115832A/en not_active Expired - Lifetime
- 1996-02-21 JP JP52883296A patent/JP4505057B2/ja not_active Expired - Lifetime
- 1996-02-21 EP EP96902284A patent/EP0817975B1/de not_active Expired - Lifetime
- 1996-02-21 WO PCT/EP1996/000704 patent/WO1996030775A1/de active IP Right Grant
Also Published As
| Publication number | Publication date |
|---|---|
| US6115832A (en) | 2000-09-05 |
| DE19511842A1 (de) | 1996-10-02 |
| EP0817975A1 (de) | 1998-01-14 |
| JPH11502652A (ja) | 1999-03-02 |
| DE59602876D1 (de) | 1999-09-30 |
| EP0817975B1 (de) | 1999-08-25 |
| WO1996030775A1 (de) | 1996-10-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4166782B2 (ja) | 少なくともアンチロック制御およびトラクションスリップ制御のいずれかを有するブレーキ装置の回路構成 | |
| US6704628B1 (en) | Method for detecting errors of microprocessors in control devices of an automobile | |
| AU614277B2 (en) | Method and apparatus for digital logic synchronism monitoring | |
| US6356821B1 (en) | Electronic control unit for vehicle having reduced circuit scale | |
| KR19990036222A (ko) | 임계 안전도 조절 시스템용 마이크로프로세서 시스템 | |
| US6076172A (en) | Monitoting system for electronic control unit | |
| JPH1153207A (ja) | 車両用制御装置 | |
| JP4436571B2 (ja) | 安全を保障する応用システムの制御装置 | |
| US5713643A (en) | Control circuit for automotive vehicle motion control systems | |
| US6012156A (en) | Process and circuit arrangement for monitoring the function of a program-controlled circuit | |
| JP4505057B2 (ja) | データ処理回路を監視する方法と回路 | |
| US7137036B2 (en) | Microcontroller having an error detector detecting errors in itself as well | |
| JP2000305603A (ja) | 自己監視機能付き車載用電子制御装置 | |
| JPH01298446A (ja) | ダブルマイコンシステム暴走防止回路 | |
| JP2002089336A (ja) | 車両用電子制御システムの故障検出装置 | |
| JP3529994B2 (ja) | 照合回路 | |
| US20030093725A1 (en) | Method and circuit for monitoring microcomputer for onboard electronic control device | |
| JP2002243800A (ja) | 半導体集積回路の異常検出回路および異常検出装置 | |
| JP2003175834A (ja) | パワーステアリング装置 | |
| JPH10307601A (ja) | Cpuの出力制御回路 | |
| JP2006309639A (ja) | コンピュータ異常検知回路およびコンピュータ異常検知方法 | |
| JP2534268B2 (ja) | 制御装置 | |
| JP5730173B2 (ja) | 自己診断機能付き装置 | |
| JP2000172521A (ja) | Cpuの異常検出方法 | |
| JPH09259010A (ja) | Cpuの異常検知方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050531 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050831 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060620 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20060913 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20061030 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20061220 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070306 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070704 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20070726 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20070802 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20090714 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20090814 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100301 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100426 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130430 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130430 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140430 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |