JPH11502652A - データ処理回路を監視する方法と回路 - Google Patents
データ処理回路を監視する方法と回路Info
- Publication number
- JPH11502652A JPH11502652A JP8528832A JP52883296A JPH11502652A JP H11502652 A JPH11502652 A JP H11502652A JP 8528832 A JP8528832 A JP 8528832A JP 52883296 A JP52883296 A JP 52883296A JP H11502652 A JPH11502652 A JP H11502652A
- Authority
- JP
- Japan
- Prior art keywords
- word
- data
- words
- data processing
- circuit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60T—VEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
- B60T8/00—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force
- B60T8/32—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration
- B60T8/88—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means
- B60T8/885—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means using electrical circuitry
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/28—Error detection; Error correction; Monitoring by checking the correct order of processing
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60T—VEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
- B60T2270/00—Further aspects of brake control systems not otherwise provided for
- B60T2270/40—Failsafe aspects of brake control systems
- B60T2270/406—Test-mode; Self-diagnosis
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Transportation (AREA)
- Mechanical Engineering (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Hardware Redundancy (AREA)
- Debugging And Monitoring (AREA)
Abstract
(57)【要約】
1つのジョイント・チップ上に搭載され、データ・ライン(1)によって接続された2つ(またはそれ以上)のマイクロプロセッサ(MP1、MP2)または他のデータ処理システムを有するデータ処置回路を監視するために、このマイクロプロセッサは、1つのデータ・ワード・シーケンスを形成し、さらに、予め定められた時間にこの監視回路(4)に送信されるデータ・ワードを共同で生成する。この監視回路(4)は別のチップ(IC2)上に配置されている。データ・ワード・シーケンスのデータ・ワードは、監視回路によって、その個々の内容および出力タイミングについてチェックされる。個々のデータ・ワードを、別のアルゴリズムにしたがって生成されたパートワードで作ることが望ましい。
Description
【発明の詳細な説明】
データ処理回路を監視する方法と回路
本発明は、ジョイント・チップ(a joint chip)上に搭載されデータ・ラインに
よって接続されたマイクロプロセッサ、マイクロコンピュータなどのデータ処理
システムを2つまたはそれ以上有するデータ処理回路を監視する方法に関する。
本方法を実施するための回路もまた本発明に含まれる。
マイクロプロセッサ、マイクロコンピュータおよび他のプログラムされた回路
システムを含むデータ処理回路の特有の、無失敗(fail-free)の動作は,当該分
野で知られているように,監視されなければならない。これは、該回路がセフテ
ィ・クリティカルな制御システムの一部を形成する場合にとくに適用される。セ
フティ・クリティカルな応用の1例は、例えば,アンチロック制御や牽引スリッ
プの制御やドライビング安定性制御の目的のために、自動車のブレーキ・システ
ムにおける制御である。データ処理回路の誤動作が検出されると、制御装置は非
活動的にされるか、または、エラー発生にもかかわらずなお動作可能であり安全
性の点から見てよりクリティカルでない動作モードに切り替えられる。
このような監視動作にとっては、該誤動作が迅速にそして高い信頼性で検出さ
れることが重要である。この目的を達成するために、ドイツ特許第32 34
637号(p.5248)では、ホイール・センサー中に発生した入力データは
、2つの並列な、同じ設計および同じプログラミングを施された互いに依存しな
い2つのマイクロコントローラ中で処理される。次に、この2つのマイクロコン
トローラからの出力信号は、その相関関係がチェックされる。誤動作を示す差が
発生したら、電子制御装置が不能にされ、こうしてブレーキ機能が維持される。
このように、先行技術による制御回路は2つの完全システム中における冗長デー
タ処理に基づいており、この冗長さの唯一の目的は、このような場合に制御シス
テムが不能にされるように、発生したエラーを高い信頼性で識別することである
。発生した差を識別し、評価する監視回路と該活動的にするエレクトロニクスは
また、実質的に冗長な設計となっている。このように、より複雑になることは,
安全のためには許容されねばならない。
さらに、ドイツ特許出願第41 37 124号(p.7255)に、入力信
号が、別々の設計とプログラムを持つ2つの並列マイクロコントローラ中で処理
される回路が開示されている。この2つのマイクロコントローラの内の1つのみ
が、完全で複雑な信号処理動作を実行する。第2のマイクロコントローラは主と
して監視目的で用いられ、この目的のために、入力信号は、調整された後および
時間導関数(time derivatives)が生成された後で、簡略化された制御アルゴリズ
ムおよび簡略化された制御哲学に基づいてさらに処理される。上記の先行技術の
回路と比較して、監視用のマイクロコントローラにおける簡略化されたデータ処
理動作のために複雑さは減じられる。
最近では、複数の完全データ処理システム、例えば2つのマイクロコンピュー
タを1つの単一チップ上に収納して、その双方のマイクロコンピュータに同一の
入力データを供給してその双方のシステムのデータ処理結果を比較して、システ
ムが適切に動作しているか否かチェックすることも基本的に可能である。しかし
ながら、電子システムが構造的にこの傾向と結び付いる場合、双方のシステムに
対して等しい影響を持つ明瞭な回路の欠陥や誤動作に関して,たとえエラーが存
在しても正しい監視信号を充分高い信頼性をもって生成することはできない。
従来タイプの監視動作に関して,1つの単一データ処理システムに基づいた回
路では、充分高い信頼性で誤動作を検出することはまったく期待できない。
最後に、ドイツ特許出願第40 04 782号(p.6892)には、予め
定められた周波数および予め定められた変動を持つ交番信号を表す監視信号を双
方が発生する2つのマイクロコントローラを持つアンチロック・システムが開示
されている。安全回路が、その交番信号をマイクロコントローラの作動クロック
に依存しないクロック・ジェネレータから派生した時間基準と比較する。この時
間基準の誤動作と共にこの交番信号の変動は、アンチロック制御を非活動的に導
く。パルスが予め定められた時間ウインドウから落ちると、制御装置は不能とな
る。この回路はまた、冗長動作をする2つのマイクロコントローラの使用に基づ
いている。
本発明の目的は、1つの単一チップ上に搭載された2つまたはそれ以上のプロ
セッサを有するデータ処理回路または他のデータ処理システムを監視すること,
および高度の安全度と信頼性で誤動作が検出されて通信されるようにすることで
ある。さらに、本発明による方法を実現するに要する費用およびそれに応じた回
路は最小化されるべきである。
本発明は請求項1に記載の方法によって達成されることが判明している。上記
の方法の特別の特徴には、複数のデータ処理システムが一緒になって、別のチッ
プに搭載されている監視回路に予め定められた時間に送信され、監視回路によっ
て個々のデータ・ワードの内容および生成時間に関してチェックされるデータ・
ワードおよびデータ・ワード・シーケンスを生成することが含まれる。
本発明の好ましい観点において,データ・ワード・シーケンスを生成する個別
のデータ・ワードの一部は、データ処理システム中で生成され、該パートワード
(part words)は複数のデータ処理システムの内の1つの中で完全なワードに結合
され、これは全体として監視回路に送信される。
パートワードは各々のデータ処理システム中で異なったアルゴリズムに従って
生成されるので安全性はかなり高まる。すべてのデータ処理システムに関して影
響を持つような誤動作においては、結合された後で正しいデータ・ワードとなる
ような正しいパートワードが生成されることは期待できない。
データ・ワード・シーケンスの個々のワードが、監視回路中で生成されたワー
ドについての内容および時間と相関関係があるか否か、さらに、差が生起すると
、すなわち差が予め定められた制限値を超えると,エラー検出信号および/また
は非活性信号がトリガされるか否かをチェックすると,特に効果があることが分
かっている。例えば、少しのタイミング差であれば許容される。
パートワードもまた、監視回路中で生成され、結合されて完全なワードとなり
、このパートワードは次に別のアルゴリズムにしたがって生成され得るようにす
るのが適切である。
本発明の別の態様によると、個々のデータ・ワードは、8ビット長を有し,互
いに等しい長さを持つ2つのパートワードから成っている。本発明のさらに別の
観点によれば、パートワードは監視回路中で、ハードウエアによって、すなわち
、マスク・プログラムされた回路技術によって、さらに、データ処理システム中
では、ソフトウエアによって、すなわち、対応するプログラミングによって生成
される。パートワードの内の1つは、関係(G1.1)にしたがって生成される
:
WDn(2)からWDn+1(3)
WDn(1)からWDn+1(2)
WDn(0)からWDn+1(1)
[WDn-1(3)XOR WDn(1)]XOR WDn(0)からWDn+1(
0)そして,他のパートワードは関係(G1.2)にしたがって生成される:
WDn(2)からWDn+1(3)
WDn(1)からWDn+1(2)
WDn(0)からWDn+1(1)
WDn(3)XOR WDn(2)からWDn+1(0)
ここで、(0...3)...は、4ビットパートワードの個別の位置である,
n.... は、作動クロック中での時点である,
XOR... は、論理結合の「排他的論理和」である,
から... は、「・・に起因する」を意味する。
本発明による方法を実施する回路の好ましい実施例の内の一部はサブクレーム
中に記述されている。このような実施例の内の1つによると、各々が完全なデー
タ処理システムを表し、データ・ラインで相互接続されている2つの集積回路は
、1つのジョイント・チップ(joint chip)上に搭載され、1つのパートワードが
、この2つのデータ処理システムの各々中で生成される。その内の一方のシステ
ムがパートワードを完全データ・ワードに結合させ、それを監視回路に送信する
役目を担う。他方のデータ処理システムは、監視回路へのこのワード送信を制御
する。この「タスク・シェアリング」は、本発明による監視の概念に基づいた回
路安全性をさらに向上させる。
本発明のさらなる特徴、長所および可能な応用例は、本発明の実施態様を通し
て以下に示す詳細な説明で明かにされる。
図1は、本発明による回路の基本設計の略図;
図2は、監視回路のさらなる詳細を含む、図1の回路の略図;
図2Aは、監視回路の入力部に現れるさまざまな信号;
図3は、図2の監視回路の1実施態様。
図1は、本発明が基礎とする監視の概念の説明に用いられる。この実施例では
、2つの完全マイクロプロセッサMP1とMP2、マイクロコンピュータおよび
他のデータ処理システムは、シリコン・チップIC1上に搭載されている。これ
らのマイクロプロセッサは、アンチロック制御システム(ABS)、牽引スリッ
プ制御システム(TCS)やドライブ安定性制御システム(DSC)などの自動
車制御システムの電子部品中での2つのマイクロプロセッサであってもよい。こ
の2つのプロセッサまたはデータ処置システムMP1とMP2はデータ・ライン
1で相互接続されている。監視回路4は、「ウオッチドッグ(watchdog)」(WD
)と呼ばれるが、シリアル・インタフェースSSIOによって2つのプロセッサ
の内の1つ(この場合はプロセッサMP2)に接続されている。出力”OUT”
は、制御装置を非活動的にし,転換させ、および/または、監視回路がエラーを
識別するとエラー検出信号を発生する安全性スイッチに入力される。
最後に、図1は、データ処理システムMP1から監視回路4に伸長する信号ラ
インCSNを示す。信号ラインCSNは、以下に詳述される、プロセッサMP2
から監視回路4へのデータ送信を制御するために使用される。
この2つのプロセッサMP1とMP2が適切に動作しているか否か監視するた
めに備えられている内でこれらの手段及び回路部分だけを図示して説明する。実
際のデータ処理動作に必要とされるステップは図示されない。
本発明によれば、2つのマイクロプロセッサMP1とMP2は、監視目的のデ
ータ・ワードおよびデータ・ワード・シーケンスを生成させる。これらデータ・
ワードおよびデータ・ワード・シーケンスは,監視回路4に送信され、予め定め
られたデータ・ワード・シーケンスまたは個別のデータ・ワードとの相関関係を
チェックされる。個別のデータ・ワードとの内容に関する相関関係と個別のデー
タ・ワードのタイミングとの双方が監視される。差が生成すると、すなわち差が
予め定められた制限値を超えると、これはエラーと判定され、OUT出力で通信
される。
本発明によれば、データ・ワード・シーケンスの個別のワードは、パートワー
ドを生成させることによって生成され、次に完全なワードに結合される。この結
合動作は、マイクロプロセッサMP1とMP2中ではソフトエウアまたはマイク
ロプロセッサの対応するプログラミングによって実行される。これに対応するデ
ータ・ワードは、図3を参照にして以下に説明するように、監視回路4中で配線
された回路電子系統によって生成される。
この個別のデータ・ワードは本発明の実施例中では8ビット長となっている。
データ・ワードは、各々が4ビット長の2つのパートワードから成っている。こ
のパートワードは、マイクロプロセッサMP1とMP2中で生成される。図1を
見ると、一方のマイクロプロセッサ、すなわちマイクロプロセッサMP2は、2
つのパートワードを結合してその完全ワードをシリアル・インタフェースSSI
Oを介して監視回路4に送信する役目をする。他方のマイクロプロセッサ、すな
わちMP1は、パートワードの結合には与らないが、信号ライン2CSN(CS
:chip−select、N:負論理)を介してのマイクロプロセッサMP2
から監視回路4への完全ワードの送信を支配する。1つの完全データ・ワードは
、7ms台の1動作クロック・サイクル中で生成され、送信される。次のデータ
・ワードは次のクロック・サイクル中で発生、送信される。本発明の場合は、以
下に説明するように、1つのワード・シーケンスは、1つのエンドレス・シーケ
ンス中にある210の互いに異なったワードから成っている。
プロセッサMP1とMP2中で生成されたこの2つのパートワードは、本発明
による別のアルゴリズムに基づいて生成される。これは、本発明による方法を応
用する上で、安全性やエラー検出性にとって非常に重要である。
データ・ワードは次のように生成される:
図1の実施例中では、最初に、データ・ワード・ハーフが各々のプロセッサM
P1とMP2内で、そのプログラム・メモリに対する読み出しアクセスによって
生成される。マイクロプロセッサMP1内で生成されたこのワード・ハーフは次
に、並列データ接続1によってマイクロプロセッサMP2に送信され、そこで結
合されて完全データ・ワードとなる。マイクロプロセッサMP2がワード・ハー
フの結合に際して失敗すると、完全データ・ワードは誤ったものとなる。こうし
て、データ・ワードの発生が完了する。次に、ワードは監視回路4に送信され、
シリアル・インタフェースSSIOを介して、例えば作動クロックが満了したそ
の正確な時点で、別のチップ(IC2)上に搭載される。データ・ワードは、監
視回路4のシフト・レジスタに付与される。この際の送信は、CSN信号がライ
ン2に出力されると同時に実行される。CSNは、監視回路4内でシフト・レジ
スタを開放する信号である。
図1の実施例中では、マイクロプロセッサMP2は、ワードが正しく送信され
たか否か、すなわちその内容を判断し、さらに、マイクロプロセッサMP1は、
そのタイミング、すなわち適切な時間で送信したか否かを判断する。送信された
ワードは、監視回路4中で、相関関係を調べるための予め定められたワードと比
較される。正しい相関関係が存在したら、個々のクロック・サイクルで、次のワ
ードに切り替わり、このワードは次に、予め定められた時間ウインドウ中で評価
される。
もちろん、マイクロプロセッサMP2が、CSNを含む完全な送信を扱うこと
も可能である。しかしながら、こうすると、エラー検出の安全性が減じられるこ
とになる。
監視回路4の一部であり、ジョイント・チップIC2上に搭載されているアセ
ンブリ・グループを図2に示す。マイクロプロセッサMP1とMP2中で一緒に
生成されるデータ・ワード・シーケンスのデータ・ワードは、シリアル・インタ
フェースを通じて、SSIO入力5の一部を形成するシフト・レジスタおよび中
間メモリに送信される。コンパレータ6中で、個別のデータ・ワードWDPRO
Cは、ジェネレータ7(GEN)によって監視回路4中に生成された所定のワー
ドWDGENと比較される。RESET信号を生成する回路8および、作動クロ
ックWDCLKを生成する発振器及び分周器9もまた図示されている。
予め定められたデータ・ワード・シーケンスとなるデータ・ワードは、配線さ
れた論理回路を通じて監視回路4(IC2)中で生成される。次に、データ・ワ
ードは、マイクロプロセッサMP1とMP2中のソフトウエアにより生成された
データ・ワードおよびデータ・ワード・シーケンスとの相関関係を比較され、継
いで回路4に送信される。この比較の結果(WD)は、分析回路11によって評
価される。回路10には、いわゆる安全カットアウトが含まれる。
図3に、図1および図2の監視回路4の実施例の詳細を示す。その設計と動作
の詳細は以下の通りである・
プロセッサ回路(IC1)中で生成されたデータ・ワードまたはウオッチドッ
グ・ワードは、決まったインタバルで、すなわち作動クロック・サイクル中で、
シリアル・インタフェースSSIO(ラインは、SIN、SOUT、SCK、C
SN)を通じて、監視回路4の入力5に送信される。接続SINに出力されるデ
ータは、クロックSCLKによって入力回路5の入力シフト・レジスタ中に移さ
れる。ローアクテイブ(low-active)のCSN信号の立ち上がりで、入力シフト・
レジスタ中のデータは、中間メモリ(これも入力回路5に包含されている)に書
き込まれ、次にバス上にの8ビットのデータ・ワードWDPROC(0:7)と
して評価される。入力回路5が出力する信号LDWDは、図2Aに示すように信
号CSNWDとSCLKから作られる。
次に、マイクロプロセッサMP1とMP2から発するデータ・ワードWDPR
OC(0:7)は、コンパレータ6を通じて監視回路4中で生成されたデータ・
ワードWDGEN(0:7)と比較される。コンパレータ6の出力端子に現れる
信号WDは、双方のデータ・ワードが等しければ’1’である。
8ビットのデータ・ワードは、プロセッサMP1およびMP2によってまたは
チップIC1内で生成されたデータ・ワードと同様に、監視回路4中で、各々が
4ビット幅である2つのパートワードから成る。監視回路4内で生成された第1
のパートワードWDGEN(0:3)は上位5つのフリップフロップによって生
成され、第2のパートワードWDGEN(4:7)は下位4つのフリップフロッ
プおよび個別のXORフィードバックによって生成される。このウオッチドッグ
・ジェネレータは、WDPパルスをクロックとしてトリガされ、クロックの立ち
上がり毎に、現在のデータ・ワードとは無関係に新しいデータ・ワードを生成す
る。フィードバックのタイプによって、ワード・シーケンスの各ワードおよび長
さが決まる。本実施例中では、第1のパートワードのワード・シーケンスは14
の異なった4ビット・ワードから成り、第2のパートワードの長さは15の異な
った4ビット・ワードから成っている。これらのウオッチドッグ・ジェネレータ
・ワードであるWDGENは、以下に示すアルゴリズムにしたがって生成される
。第1のパートワードWDGEN(0:3)の場合、関係G1.1が次のように
適用される:
WDn(2)からWDn+1(3)
WDn(1)からWDn+1(2)
WDn(0)からWDn+1(1)
[WDn-1(3)XORWDn(1)]XOR WDn(0)からWDn+1(0
)そして,他のパートワードには関係G1.2が適用される。
WDn(2)からWDn+1(3)
WDn(1)からWDn+1(2)
WDn(0)からWDn+1(1)
WDn(3)XOR WDn(2)からWDn+1(0)
これらの略字の意味は次の通りである:
WD=WDGEN=watchdog data word, generat
ed by the generator GEN(ジェネレータGEN
によって生成 されたウオッチドッグ・データ・ワード);
(0...3)...4ビットのパートワードの各々の位置;
n... 作動クロック内の時点
XOR... 論理結合「排他的論理和」;
から... 「・・・に起因する」を意味する。
したがって、この2つのパートワード発生のためのアルゴリズム(G1.1,
G1.2)は互いに異なる。個々が合計で14または15の異なった4ビット・
ワードを発生する2つのパートワードを結合して完全なワードを提供すると、4
ビットのパートワードから成る210の異なった8ビットのデータ・ワードのエ
ンドスのシーケーンスとなる。この様子を次の表に示す。
初期ワード(1): 1 000 0001
この210の異なったデータ・ワードから成るエンドレス・シーケンスに対し
て、次の関係が適用される:
Wn = W(n+m・210)
Wn = 8ビットのデータ・ワード・シーケンスのn番目のワード
n,m= 自然数1, 2, 3, ....
ウオッチドッグ・ジェネレータのフリップフロップは、リセット動作中にワー
ド・シーケンスの初期ワード’1000 0001’で占められる。
監視回路4の作動クロックWDCLKの1周期から2周期のインタバルの後で
、ANDゲート12の入力部に入力されるDOREAD信号は、入力回路5から
出力されるLDWD信号の立ち上がりで’1’になる。その結果は、プロセッサ
の出力したデータ・ワードWDPROC(1:7)と監視回路中で生成されたデ
ータ・ワードWDGEN(1:7)との回路6における比較または比較結果WD
が評価されることになる。WDPは、クロックWDCLKの次の立ち上がりで設
定される。WDPは、双方のデータ・ワードに相関関係があれば’1’となる。
ウオッチドッグ・ジェネレータは、WDP信号のエッジが’0’から’1’に変
化するので、次のウオッチドッグ・ワードにスイッチする。この時、WDPRO
C(0:7)はまだ直前のワード上にある。したがって、WDは’0’となる。
WDPは、クロックWDCLKの次の立ち上がりで再度’0’になる。したがっ
て、WDPは、クロックWDCLKの1周期にわたって正確に’1’である。
ウオッチドッグ・パルスWDCLKの時間ウインドウは、信号TB、TA_N
およびTEによって定義される。これらの3つの信号は、WDCLKでクロック
される9ステップのタイマにより生成される。信号TIMERRESがタイマを
リセットする(TB = ’1’、TA_N = ’1’、TE = ’1’)
。時間ウインドウは、TANが最初に’0’になると同時に始まる。信号TIM
ERRESはパルスWDCLKの立ち下がりと同期して出力される(すなわち’
0’になる)という事実を考慮すると、この条件はWDCLKパルスが正確に1
27.5発だけ出力されると発生する。時間ウインドウは、TBEが最初に’1
’になると同時に(WDCLKパルスが287.5発出力されると)終了する。
ウオッチドッグ回路または監視回路全体が(MRESET信号によって)リセ
ットされると、信号QWDは分析回路11の出力部ではゼロとなる,すなわち、
QWD=’0’。安全スイッチは、出力OUT次第で、「不能」状態や「エラー
検出」状態になったりする。第2のウオッチドッグ信号または第2のデータ・ワ
ードが正しく送信された後のみで,QWDは、信号FLAGENが’1’になっ
て’1’に変わる。
信号I2はリセットされると’0’になる。したがって、I2とI3の間に配
置されているRSフリップフロップは、出力側が’0’に設定される。早期ウオ
ッチドッグ・パルスWDPの検出はこのようにして不能にされる。これは、最初
のウオッチドッグ・ワードまたはデータ・ワードが、リセットの後に直ちに送出
される可能性があることを意味する。時間ウインドウの終了と共にその開始はそ
れに続くすべてのデータ・ワードに関連するが、この理由は、RSフリップフロ
ップが、先行するウオッチドッグ・パルスWDPによって’1’にリセットされ
ており、’0’にリセットされるのは、時間ウインドウが開始された時だけであ
るからである。ウオッチドッグ・パルスWDPの入力が早すぎると、すなわちI
3 = ’1’である間に入力されると、QWD1は’1’となり、その結果、
QWDは’0’にセットされ、さらに「安全カットアウト」または「エラー検出
」となる。
ウオッチドッグ・ワードまたはデータ・ワードが予め定められた時間ウインド
ウに従って常に正確に送出される場合、該信号TBEはけっして’1’にはなら
ないが、この理由は、タイマは、時間ウインドウが終点に達する前に、毎回ウオ
ッチドッグ・パルスWDPによって再度リセットされるからである。しかしなが
ら、もし時間ウインドウの終点が過ぎると、TBEは’1’となり、これによっ
て次段のRSフリップフロップが設定される。TBEMONが’1’になると、
出力フリップフロップがリセットされる。その結果、出力信号QWDは’0’と
なり、安全カットアウトがトリガされる。
誤ったウオッチドッグ・ワードやデータ・ワードによって、ウオッチドッグ・
パルスWDPが生じることはない。この場合、エラー検出および安全カットアウ
トは、この誤ったデータ・ワードが送出された時間に応じて、さらに、その誤っ
たデータ・ワードの後に時間ウインドウ内の正しいデータ・ワードが依然として
続いているか否かによって発生する。次の例がこの状態を説明する。
例1:
誤ったデータ・ワードが2つの正しいデータ・ワード間に送出され、第2のデ
ータ・ワードが、時間ウインドウの終点に達する(TBE=’1’)以前に送出
される。この場合、信号CLKMONは、その第2のデータ・ワードに関するチ
ップ・セレクト信号CSNWDの立ち下がりで値’1’になる。これによって、
出力フリップフロップはリセットされる。
例2:
この場合、時間ウインドウが終点(TBE=’1’)に達するまでは正しいデ
ータ・ワードは送出されない。誤ったデータは、ウオッチドッグ・パルスWDP
を発生しないので、出力TBEMONは値’1’を採る。したがって、エラー検
出または安全カットアウトがこのタイムアウトのゆえに発生する。
このように、本発明によれば、データ・ワードは、その内容とタイミングの双
方が正しいか否かについて監視回路中でチェックされる。
─────────────────────────────────────────────────────
フロントページの続き
(72)発明者 ツィンケ、オラフ
ドイツ連邦共和国、デー−65719 ホフハ
イム、ノイガッセ 21
(72)発明者 エンゲルマン、マリオ
ドイツ連邦共和国、デー−61449 シュタ
インバッハ、ビルケンベーク 52
Claims (1)
- 【特許請求の範囲】 1.複数の該データ処理システム(MP1、MP2)が共同して、別のチップ (IC2)上に搭載されている監視回路(4)に予め定められた時間に送信され 、さらに、個々のデータ・ワードの内容および出現時間に関して該監視回路(4 )によってチェックされる,データ・ワードおよびデータ・ワード・シーケンス (WDPROC)を生成することを特徴とする,ジョイント・チップ上に搭載さ れ,そしてデータ・ラインで接続されたマイクロプロセッサやマイクロコンピュ ータなどのデータ処理システムを2つ以上含むデータ処理回路を監視する方法。 2.請求項1に記載の方法であって,該データ・ワード・シーケンスの個別の データ・ワードの該一部が、複数の該データ処理システム(MP1、MP2)中 で生成され、該パートワードが該データ処理システムの内の一方(MP2)中で 完全なワードに結合され、この完全なワードは全体として次に、該データ処理シ ステムによって該監視回路に送信されることを特徴とする方法。 3.請求項2に記載の方法であって,該パートワードが、該データ処理システ ム中の別のアルゴリズムに従って生成されることを特徴とする方法。 4.請求項1から3のいずれか一項に記載の方法であって、 該データ・ワード・シーケンス(WDPROC)の該個別のワードが、監視回 路(4)内で生成されたワード(WDGEN)の、内容および時間に関する相関 関係についてチェックされ,そしてエラー検出信号および/または非活動的信号 (”OUT”)が、差が発生すると、すなわち該差が予め定められた制限値を超 えると、トリガされる,ことを特徴とする方法。 5.請求項1から4のいずれか一項に記載の方法であって、パートワードが該 監視回路(4)中で生成され、完全ワードに結合されることを特徴とする方法。 6.請求項5に記載の方法であって、該パートワードが、異なったアルゴリズ ムにしたがって互いに無関係に該監視回路(4)中で生成されることを特徴とす る方法。 7.請求項1から6のいずれか一項に記載の方法であって、該パートワードお よびデータ・ワード・シーケンスが、複数の該データ処理システム(MP1、M P2)をプログラミングすることによって該データ処理システム(MP1、MP 2)中で生成され、さらに、固定配線電子回路によって該監視回路(4)中で生 成されることを特徴とする方法。 8.請求項1から7のいずれか一項に記載の方法であって、該ワード・シーケ ンスの該個々のデータ・ワードが8ビット長であり、互いに等しい長さを持つ2 つのパートワードから成ることを特徴とする方法。 9.請求項8に記載の方法であって、 該監視回路(4)中であって、そして、該データ処理システム(MP1、MP 2)を手段として、該パートワードの一方が次の関係(G1.1)によって生成 され: WDn(2)からWDn+1(3) WDn(1)からWDn+1(2) WDn(0)からWDn+1(1) [WDn-1(3)XOR WDn(1)]XOR WDn(0)からWDn+1( 0)そして,他のパートワードは関係(G1.2)にしたがって生成される: WDn(2)からWDn+1(3) WDn(1)からWDn+1(2) WDn(0)からWDn+1(1) WDn(3)XOR WDn(2)からWDn+1(0) ここで、(0...3)...は、4ビットパートワードの個別の位置である, n.... は、作動クロック中での時点である, XOR... は、論理結合の「排他的論理和」である, から... は、「・・に起因する」を意味する。 ことを特徴とする方法。 10.請求項1から9のいずれか一項に記載の該方法を実施する回路であって、 該回路が、各々が完全なデータ処理システム(MP1、MP2)を表し、デー タ・ラインによって相互接続される、1つのジョイント・チップ(IC1)に搭 載される2つの集積回路を包含し,一方のパートワードが、該2つのデータ処理 システム(MP1、MP2)の各々において生成され、次に、該第2のデータ処 置システムで生成されたパートワードと結合して1つの完全なデータ・ワードと なり,該2つのデータ処理システムの内の一方(MP2)が該パートワードを結 合し、さらに、該完全ワードを該監視回路(4)に送信する,ことを特徴とする 回路。 11.請求項10に記載の回路であって、他方のデータ処置システム(MP1 )が、該パートワードを結合する該データ処理システム(MP2)からの該完全 データ・ワードの該監視回路(4)への送信を支配することを特徴とする回路。 12.請求項10または11に記載の回路であって、該監視回路(4)が、該 パートワードを別のアルゴリズムに基づいて生成し、該パートワードを完全デー タ・ワード(WDGEN)に結合し、さらに、それらを、該データ処理システム (MP1、MP2)内で生成された該データ・ワード・シーケンスの各々のワー ド(WDPROC)と比較する配線された論理回路として構成されていることを 特徴とする回路。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE19511842A DE19511842A1 (de) | 1995-03-31 | 1995-03-31 | Verfahren und Schaltungsanordnung zur Überwachung einer Datenverarbeitungsschaltung |
| DE19511842.1 | 1995-03-31 | ||
| PCT/EP1996/000704 WO1996030775A1 (de) | 1995-03-31 | 1996-02-21 | Verfahren und schaltungsanordnung zur überwachung einer datenverarbeitungsschaltung |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH11502652A true JPH11502652A (ja) | 1999-03-02 |
| JP4505057B2 JP4505057B2 (ja) | 2010-07-14 |
Family
ID=7758262
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP52883296A Expired - Lifetime JP4505057B2 (ja) | 1995-03-31 | 1996-02-21 | データ処理回路を監視する方法と回路 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US6115832A (ja) |
| EP (1) | EP0817975B1 (ja) |
| JP (1) | JP4505057B2 (ja) |
| DE (2) | DE19511842A1 (ja) |
| WO (1) | WO1996030775A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018003560A1 (ja) * | 2016-06-30 | 2018-01-04 | 日立オートモティブシステムズ株式会社 | 電子制御装置 |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19743463A1 (de) * | 1997-10-01 | 1999-04-08 | Itt Mfg Enterprises Inc | Verfahren zur Fehlerkennung von Mikroprozessoren in Steuergeräten eines Kfz. |
| JP3636031B2 (ja) * | 2000-04-28 | 2005-04-06 | 株式会社デンソー | 電子制御装置内のマイクロコンピュータ監視方法 |
| DE10148157B4 (de) * | 2001-09-28 | 2006-05-18 | Infineon Technologies Ag | Programmgesteuerte Einheit |
| DE102005037222A1 (de) * | 2004-10-25 | 2007-02-15 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Auswertung eines Signals eines Rechnersystems mit wenigstens zwei Ausführungseinheiten |
| WO2009024884A2 (en) * | 2007-08-17 | 2009-02-26 | Nxp B.V. | System for providing fault tolerance for at least one micro controller unit |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US3810119A (en) * | 1971-05-04 | 1974-05-07 | Us Navy | Processor synchronization scheme |
| US3891279A (en) * | 1973-10-19 | 1975-06-24 | Kelsey Hayes Co | Failsafe system for skid control systems and the like |
| IT1014277B (it) * | 1974-06-03 | 1977-04-20 | Cselt Centro Studi Lab Telecom | Sistema di controllo di elaboratori di processo operanti in parallelo |
| DE2534904B2 (de) * | 1975-08-05 | 1979-09-13 | Wabco Fahrzeugbremsen Gmbh, 3000 Hannover | Sicherheits- und Überwachungsschaltung für blockiergeschützte Fahrzeugbremsen |
| DE2534902B2 (de) * | 1975-08-05 | 1978-06-01 | Dirksmoeller, Hermann, 6300 Giessen | Verfahren und Vorrichtung zur Gewinnung von Süßwasser aus Salzwasser |
| JPS58221453A (ja) * | 1982-06-17 | 1983-12-23 | Toshiba Corp | 多重系情報処理装置 |
| DE3225712C2 (de) * | 1982-07-09 | 1985-04-11 | M.A.N. Maschinenfabrik Augsburg-Nuernberg Ag, 8000 Muenchen | Verfahren und Vorrichtung zur Funktionsprüfung von digitalen Rechnern |
| DE3731097C2 (de) * | 1987-09-16 | 1996-02-08 | Vdo Schindling | Schaltungsanordnung zur Überwachung einer von zwei Mikroprozessoren gesteuerten Einrichtung, insbesondere einer Kraftfahrzeug-Elektronik |
| GB2241123B (en) * | 1990-02-16 | 1993-09-29 | Teves Gmbh Alfred | Circuit arrangement for an anti-lock-controlled vehicle brake system |
| GB9101227D0 (en) * | 1991-01-19 | 1991-02-27 | Lucas Ind Plc | Method of and apparatus for arbitrating between a plurality of controllers,and control system |
| US5440724A (en) * | 1993-06-17 | 1995-08-08 | Bull Hn Information Systems Inc. | Central processing unit using dual basic processing units and combined result bus and incorporating means for obtaining access to internal BPU test signals |
| DE4326919A1 (de) * | 1993-08-11 | 1995-02-16 | Teves Gmbh Alfred | Regelschaltung für Bremsanlagen mit ABS und/oder ASR |
| DE4332143A1 (de) * | 1993-09-17 | 1995-03-23 | Siemens Ag | Verfahren zum Betrieb eines Datensichtgerätes und Einrichtungen zur Durchführung des Verfahrens |
-
1995
- 1995-03-31 DE DE19511842A patent/DE19511842A1/de not_active Withdrawn
-
1996
- 1996-02-21 JP JP52883296A patent/JP4505057B2/ja not_active Expired - Lifetime
- 1996-02-21 EP EP96902284A patent/EP0817975B1/de not_active Expired - Lifetime
- 1996-02-21 WO PCT/EP1996/000704 patent/WO1996030775A1/de active IP Right Grant
- 1996-02-21 US US08/913,424 patent/US6115832A/en not_active Expired - Lifetime
- 1996-02-21 DE DE59602876T patent/DE59602876D1/de not_active Expired - Lifetime
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018003560A1 (ja) * | 2016-06-30 | 2018-01-04 | 日立オートモティブシステムズ株式会社 | 電子制御装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| DE59602876D1 (de) | 1999-09-30 |
| EP0817975A1 (de) | 1998-01-14 |
| DE19511842A1 (de) | 1996-10-02 |
| JP4505057B2 (ja) | 2010-07-14 |
| EP0817975B1 (de) | 1999-08-25 |
| US6115832A (en) | 2000-09-05 |
| WO1996030775A1 (de) | 1996-10-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US5136704A (en) | Redundant microprocessor control system using locks and keys | |
| US5359515A (en) | Vehicle occupant safety system and method for operating the same | |
| US5809013A (en) | Message packet management in a wireless security system | |
| US6356821B1 (en) | Electronic control unit for vehicle having reduced circuit scale | |
| JPS6345697A (ja) | 侵入者検出装置 | |
| US6076172A (en) | Monitoting system for electronic control unit | |
| JPH10513286A (ja) | プログラム制御回路の機能をモニタするための処理及び回路構成 | |
| US7137036B2 (en) | Microcontroller having an error detector detecting errors in itself as well | |
| JPH11502652A (ja) | データ処理回路を監視する方法と回路 | |
| US5313621A (en) | Programmable wait states generator for a microprocessor and computer system utilizing it | |
| US4468768A (en) | Self-testing computer monitor | |
| JP2000305603A (ja) | 自己監視機能付き車載用電子制御装置 | |
| EP0590637B1 (en) | Detection of improper CPU operation from lap time pulses and count of executed significant steps | |
| US5440725A (en) | Microprocessor circuit arrangement with watchdog circuit | |
| JP2002526859A (ja) | プロセッサの同期および検査方法および装置および監視回路 | |
| JP2005529403A (ja) | マイクロコントローラユニットの動作を監視する方法およびベースチップ | |
| JP2005006376A (ja) | 電気車のフェールセーフcpu処理装置 | |
| US20030093725A1 (en) | Method and circuit for monitoring microcomputer for onboard electronic control device | |
| JP3367379B2 (ja) | Cpuの出力制御回路 | |
| JP3006330B2 (ja) | データ処理装置のクロック衝突検知回路 | |
| JP2605440B2 (ja) | データ処理装置 | |
| JP2006309639A (ja) | コンピュータ異常検知回路およびコンピュータ異常検知方法 | |
| JPS5812062A (ja) | 並列電子計算機システムの出力装置 | |
| JP2774595B2 (ja) | Cpuシステムの動作監視装置 | |
| JPS6115437A (ja) | シリアルデ−タ受信系のスタ−トビツト検出回路 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050531 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050831 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060620 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20060913 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20061030 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20061220 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070306 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070704 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20070726 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20070802 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20090714 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20090814 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100301 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100426 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130430 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130430 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140430 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |