WO1990009631A1 - Verfahren zur überwachung eines computer-netzwerks - Google Patents

Verfahren zur überwachung eines computer-netzwerks Download PDF

Info

Publication number
WO1990009631A1
WO1990009631A1 PCT/DE1989/000090 DE8900090W WO9009631A1 WO 1990009631 A1 WO1990009631 A1 WO 1990009631A1 DE 8900090 W DE8900090 W DE 8900090W WO 9009631 A1 WO9009631 A1 WO 9009631A1
Authority
WO
WIPO (PCT)
Prior art keywords
error
emergency operation
participants
subscriber
signal
Prior art date
Application number
PCT/DE1989/000090
Other languages
English (en)
French (fr)
Inventor
Harald BÜHREN
Bernd Klumpp
Karl-Heinrich Preis
Original Assignee
Robert Bosch Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch Gmbh filed Critical Robert Bosch Gmbh
Priority to DE58907627T priority Critical patent/DE58907627D1/de
Priority to PCT/DE1989/000090 priority patent/WO1990009631A1/de
Priority to JP1500991A priority patent/JP2677693B2/ja
Priority to KR1019910700903A priority patent/KR0129174B1/ko
Priority to EP89902232A priority patent/EP0458781B1/de
Publication of WO1990009631A1 publication Critical patent/WO1990009631A1/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/2002Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant
    • G06F11/2007Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant using redundant communication media
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0745Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in an input/output transactions management context
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/40Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/076Error or fault detection not based on redundancy by exceeding limits by exceeding a count or rate limit, e.g. word- or bit count limit

Definitions

  • the invention relates to a method for monitoring a computer network with at least two subscribers connected via a data bus comprising at least two lines according to the category of claim 1.
  • CAN-IC controller area network interfaces
  • the individual network participants are connected via a data bus which has, for example, two signal lines, the information of the participants being sent via these lines. Any failure of one of the two signal lines Cuts through a short to ground or for voltage supply or an interruption of the lines has the result that the entire network breaks down. This is also the case if a short circuit occurs between the two bus lines or if one of the participants is defective.
  • the individual participants in a network have a so-called bus coupling in addition to the CAN-IC.
  • This is a special connection of the CAN-IC, through which errors occurring on the bus lines are to be recognized.
  • the method according to the invention for monitoring a computer network with the features mentioned in claim 1 has the advantage over the fact that bus-side hardware errors and malfunctions of individual participants in a computer network can be quickly recognized and suitable emergency operation measures can be taken. It is particularly advantageous that the method can be used regardless of the number of CAN ICs participating in bus traffic. It is not necessary to adapt the emergency running measures to different numbers of participants. It is particularly important that no additional components for the implementation of the Method must be provided, moreover, the data bus is loaded very little by the inventive method.
  • the function of the data bus and / or subscriber takes place by means of error detection signals from at least one subscriber.
  • error detection signals the so-called watchdog signals
  • internal error detection signals the CAN error interrupt signals (CEI signals).
  • CEI signals CAN error interrupt signals
  • the external error detection signals are sent by a subscriber to the data bus. The participants in the bus traffic expect this signal within a specified time frame. Internal subscriber errors are recognized with the aid of a suitable error detection device and displayed by the CEI signal.
  • the method according to the invention is characterized in that suitable emergency operation measures are taken as a function of the error detection signals, as a result of which an emergency operation of the computer network is set.
  • the emergency measures are varied depending on the errors that occur. If errors continue to occur after the setting of a first emergency operation mode, subsequent emergency operation measures are taken in order to set a further emergency operation mode. Only when further errors then occur do the participants affected by the errors switch off the entire network if necessary, and so-called bus-off takes place.
  • a method is particularly preferred in which the bu ⁇ -off operation is canceled again if only lent a single subscriber is defective and was then switched off. This method has the advantage that all the other subscribers can start normal two-wire operation again.
  • the error monitoring can be switched off if a defect in the subscriber, the master, which emits the external error detection signal, the watchdog signal, means that the entire network has switched to bus-off operation . This measure enables emergency operation of the network, even if further error monitoring is then no longer possible.
  • the invention is explained in more detail below with reference to the figures.
  • the signals emitted by the participants in the computer network and the emergency operation measures taken due to errors are explained in individual diagrams. It is assumed, for example, that the computer network has two further subscribers A and B in addition to a subscriber (master) emitting an external error detection signal (watchdog signal).
  • the procedure is however in no way limited to a network with three participants.
  • FIG 1 shows the signals occurring in normal operation
  • FIGS. 2 to 4 show the timing of the signals in response to a stationary, global error
  • FIGS. 5 to 7 show the timing of the signals in response to a dynamic, global error
  • FIGS. 8 to 10 show the signals when responding to a stationary, local, reception-side error
  • FIGS. 11 and 12 show the signals when reacting to a local, transmission-side, dynamic error
  • FIG. 13 shows the signals when handling a bus-off of a subscriber
  • FIG. 14 shows a structure diagram from which the measures taken when an error occurs in the idle state can be seen
  • FIG. 15 shows the signals in response to a defect in the master
  • FIG. 16 shows a block diagram of a computer network in which the method can be used.
  • the fault monitoring method is to be described with the aid of a computer network or multiplex system which is equipped with a two-wire bus is.
  • the data are transmitted over both bus lines.
  • the information can be transferred in single-wire emergency mode.
  • a dominant level can always overwrite a recessive level.
  • the bus In stationary operation, during the training run, the bus is in a recessive state, that is to say that the first data line u + is at a first predetermined level of, for example, 3.5 V and the second line u and the data bus is on one second predetermined level of, for example, 1.5V.
  • a dominant level exists when the first data line takes on the potential of the second line and the second data line takes on the potential of the first line.
  • An error is said to be stationary if it can be detected independently of the bus status, regardless of whether the bus is idle or whether data is being transmitted.
  • An error is referred to as dynamic if it can only be detected during data transmission.
  • the errors can be differentiated as follows:
  • a defective node cannot read itself correctly.
  • the participants, who are equipped with a transmitting and receiving part read their own information, which is transmitted from their transmitting part to the data bus, for checking themselves, that is to say a participant reads his own information about the data provided by the transmitting part Receiving part and controls this.
  • a dynamic, local error is therefore only recognized by the defective subscriber when the defective subscriber is transmitting data.
  • the signal emitted is designated S WD .
  • Such a signal is followed by the master a Synchroni ⁇ ation ⁇ zeit tg ⁇ N output, which is used so that the individual participants, here Tln A and Tln B, can carry out a time synchronization.
  • the watchdog signal S jD is normally received by the participants.
  • the received signal is called E WD.
  • the watchdog signal from the master arrives at the participants within a time window which is designated by -t ⁇ - Q and + t ⁇ 0j .
  • the watchdog signal S WD is repeated after a " time of t WD .
  • Signals received or transmitted without errors are identified by a continuous vertical line.
  • the internal error detection signal CEI is output in FIG. 2 at time 1) by all participants in the computer network.
  • the next watchdog signal S WD is waited for.
  • colons lying vertically one above the other it is shown that the signal expected in the predetermined time grid cannot be transmitted or received.
  • the constantly dominant level means that no information about the data bus can be sent.
  • the watchdog signal S WD can therefore not be emitted by the master and therefore cannot be received by participants A and B (E w * ---).
  • a first emergency operation measure MI is initiated.
  • the initiation of the emergency operation measure is indicated by vertically superimposed plus signs.
  • the emergency operation measure MI is initiated.
  • the first emergency operation mode, single-wire emergency operation, is now maintained.
  • FIG. 3 shows a time diagram in which the emergency operation measure M1 initiated at time 3) did not lead to the elimination of errors.
  • the events at times 1), 2) and 3) coincide correspond to those explained with reference to FIG. 2. Their description can be omitted here.
  • the first emergency operation measure M1 is therefore initiated at time 3). Despite this measure, an internal error detection signal CEI occurs again at time 4) for all participants. So that means that the emergency measure did not correct the error.
  • the emergency operation measure M2 is then initiated at time 6). The emergency operation measure M1 is withdrawn.
  • FIG. 4 again shows a time diagram which shows the time sequence of the signals when handling a stationary, global error.
  • the emergency operation measure M2 did not lead to the elimination of the fault.
  • the signals at times 1) to 6) correspond to those in FIG. 3, so that the description thereof can be dispensed with.
  • the second emergency operation measure M2 is therefore initiated at the time 6), because after the initiation of the first emergency operation measure M1 an error signal CEI has again occurred at the time 4), so that the watchdog Signal at time 5) could not be sent and received.
  • the watchdog signal should have been sent and received at time 8).
  • the input RXO of all CAN ICs assigned to the first line U + of the data bus is set to a predetermined potential of, for example, V cc / 2. This can be achieved, for example, by means of a changeover switch SO, as shown in FIG. 16.
  • the CAN module of all participants is then restarted.
  • a first emergency operation a so-called single-wire emergency operation, is set by this emergency operation measure.
  • the second emergency operation measure M2 mentioned in FIGS. 3 and 4 consists, on the one hand, in reversing the first emergency operation measure M1.
  • All inputs RXO are in turn connected to the first line U + of the data bus and separated from the predetermined potential V cc / 2. All inputs RX1,. which are assigned to the second data line U and the data bus, are set to the predetermined potential by actuating the switch S1 in the form of a changeover switch.
  • the output terminal TX1 assigned to the second data line U is switched to each subscriber in such a way that information from the subscribers can no longer be transmitted to the data line.
  • the second data line U is additionally switched off. This takes place via a special control signal, for example a microprocessor ⁇ P, to the terminating network A1, which is provided by the master.
  • a special control signal for example a microprocessor ⁇ P
  • the second emergency operation measure M2 switches on the second emergency operation, the so-called special emergency operation. This is also a single-wire emergency run.
  • the timing of the error is at a dynamic Handling ⁇ mi ⁇ chen, global error darge ⁇ tellt '.
  • Each node detects an error when sending the watchdog signal S WD from the master. It can be seen from FIG. 5 that first of all the watchdog signal S ⁇ --- * emitted by the master was received by the participants A and B. The watchdog signal S ⁇ j * - * to be emitted by the master at time 1) was not output, the time frame specified by ⁇ - 0 when the watchdog signal was transmitted was exceeded. In addition, the master received a CAN error interrupt signal CEI at time 2) because the watch dog signal could not be issued without errors.
  • the subscriber A and B did not receive the master's watchdog signal either, the E WD signal was not received. Or the block-internal error detection signal CEI was received by both participants at time 2) because the watchdog signal was received incorrectly.
  • the emergency operation measure MI was then initiated at time 3), as in the case of error handling in the case of a stationary, global error.
  • the computer network now works correctly in the first emergency operation mode, single-wire emergency operation.
  • the diagram shown in FIG. 6 differs from that in FIG. 5 "in that the watchdog signal could not be transmitted and received at time 4), that is, the emergency operation measure M1, which was initiated at time 3), The watchdog signal was neither sent nor received at time 4). point 5) all participants received the internal error detection signal CEI.
  • the second emergency operation measure M2 was then initiated at time 6) for all participants. The steps required for this have been described above.
  • an error detection device is activated on the defective subscriber. This has, for example, an error counter which is incremented with each error until a CAN error interrupt signal (CEI) is finally issued.
  • CEI CAN error interrupt signal
  • the subscriber's error counter is reset by resetting or resetting the CAN module and then restarting it.
  • the watchdog signal S WD emitted by the master should have arrived at subscriber A. This was not the case, which is characterized by the colons lying one above the other, which are designated by E WD . From FIG. 8 it is indicated by the solid line that the watchdog signal arrives at subscriber B at time 2).
  • the emergency operation measure MI is initiated at subscriber A, as in the case of a stationary, global error, namely at time 3).
  • no further CEI signals occur at time 4), that is to say the first emergency operation, the single-wire emergency operation, of the defective subscriber A is maintained.
  • the network is now working properly again.
  • An internal error detection signal CEI of subscriber A therefore occurs at time 4). It is also not able to receive the external error detection signal of the master, the watchdog signal S WD , at time 5). The signal, however, arrives at subscriber B without errors.
  • FIG. 10 shows a time diagram in which the same signals as in FIGS. 8 and 9 are entered at times 1) to 6). However, at time 7), even after the emergency operation measure M2 has been classified, the error of the participant A is still not eliminated. Rather, a further internal error detection signal CEI appears there. He cannot receive the watchdog signal S W £> of the master even at time 8). It is therefore disconnected from the network at time 9) and changes to the bus-off state. Emergency operation with "emergency functions of subscriber A is also maintained here. By means of the emergency operation measure MI described in FIGS. 8 to 10, the defective subscriber A is brought into the first emergency operation mode, the so-called single-wire emergency operation. The defective subscriber A is brought into the second emergency operation mode, the so-called special emergency operation, by the emergency operation measure M2.
  • the error handling is identical to the dynamic, global error that was described with reference to FIGS. 5 to 7. This is because the participant cannot recognize whether it is just a local or a global error.
  • the error response, the error handling, in the case of a local, transmission-side error is described on the basis of the time diagrams in FIGS. 11 to 12.
  • a subscriber can receive the watchdog signal from the master, so that no error handling is initiated. However, it is unable to confirm receipt of the master's signal. To do this, he would have to send an acknowledge bit to the data network.
  • the master is unable to recognize which participant is defective, provided that it receives at least one acknowledge bit, since each participant who receives the watchdog signal sends such a bit.
  • the local error on the transmission end is recognized when a subscriber expects a signal from another. If this signal is not received, it can these participants recognize that the participant who wanted to send has an error in the transmitting part.
  • the time diagram in FIG. 4 assumes that subscriber A should send a signal S B to subscriber B. At time 1), this signal does not arrive at subscriber B, he does not receive a message (E A ) from subscriber A. At time 2), subscriber B then sends a so-called status message to the master with the content , "Subscriber A did not send". The reception of this signal with E B at time 2) is indicated in FIG. On the basis of the status message from subscriber B, the master recognizes the local, end-side defect at subscriber A and provokes the initiation of error handling by failing the next watchdog signal S WD at time 3). As a result, subscribers A and B cannot receive such a signal (E WD ).
  • the master After initiating the emergency operation measure, the master asks at time 5) the defective participant A to report to him. In this way, the defective participant has the opportunity to test himself.
  • FIG. 12 shows a time diagram which corresponds to that in FIG. 11 up to time 4). This means that in the event of an error reaction in FIG. 12, the emergency operation measure M1 is initiated at time 4 for all participants. The master then requests participant A to report to him. The signal S A of the master arrives at subscriber A at time 5), which is characterized by the continuous line that is denoted by E M.
  • the emergency running measures M1 and M2 are carried out for all participants, which are explained above with reference to the stationary global error.
  • the emergency operation measure M1 all participants are in the first emergency operation, the single-wire emergency operation.
  • the second emergency operation measure M2 has to be initiated after a further error, all participants are in the second emergency operation, the special emergency operation.
  • FIG. 13 shows the chronological sequence of the signals when handling errors in the case of a bus-off state of a subscriber. This error can only be recognized if there is no expected message from a subscriber. It is then checked whether the corresponding subscriber is defective on the transmission side or whether it is in the "bu ⁇ -off" state. In the illustration in FIG. 13, a start-off of subscriber A is assumed.
  • the external error detection signal of the master can be participants A and B are received.
  • subscriber B no longer receives an expected message from subscriber A.
  • it therefore issues a status message "subscriber A has not sent" to the master.
  • This then causes the watchdog signal to fail at the time 3), as a result of which the first emergency operation measure M1 is initiated at all times at the time 4).
  • the master requests subscriber A with signal S A to report to him. The subscriber is not able to do this.
  • the master concludes that subscriber A is not participating in the bus traffic and is in the bus-off state. Thereupon, in the case of the master and all the other participants, the emergency operation measure is withdrawn. Only subscriber A remains in the bus-off. The emergency running measures are withdrawn at time 10).
  • a first step 1 the voltage supply of the computer network is switched on.
  • the second step 2 all data transmissions of the participants are blocked.
  • the third step 3 it is waited until the synchronization time Tgy ⁇ shown in FIG. 1 has expired or until a watchdog signal has been received.
  • Step 4 asks whether the watchdog signal has been received. If this is the case, the computer network is synchronized in step 5 and then normal operation of the computer network is started in step 6.
  • emergency operation measure M1 is initiated in step 7. This is maintained until the synchronization time T M1 has elapsed or until a watchdog signal has been received. If this is the case, the timer synchronization is carried out in step 8 and the first emergency operation, the single-wire emergency operation 1 DN, is maintained in step 9. If no watchdog signal has been received, the emergency operation measure M2 is initiated in step 10. This is maintained until the time T M has expired or until a watchdog signal has been received. If this is the case, a timer synchronization is carried out in step 11 and the special emergency run SN is then maintained in step 12.
  • step 13 If no watchdog signal is received, the bu ⁇ -off of all participants is initiated in step 13. The participants remain in a basic emergency operating mode.
  • the limp home measures MI and M2 are identical to those described using the static global error. Reference is therefore made to the explanation of the error handling of this error case. It can also be seen that in the method in FIG. 14, the first emergency operation, the single-wire emergency operation, and the second emergency operation M2, the second emergency operation, the special emergency operation, are maintained by the emergency operation measure 1 .
  • FIG. 15 shows a time diagram in which the chronological sequence of the signals in response to a defect in the master is shown.
  • the signals occurring at times 1) to 7) correspond to those of error handling in the case of a dynamic, global defect.
  • subscriber A instead of the master, subscriber A, for example, now sends the next watchdog signal at time 8), with a continuous line and . the designation S WD is shown. This signal is also received by subscriber B without errors. Both participants now withdraw the emergency operation measures initiated at times 3) and 6) and continue to work without error monitoring. It is also possible for more than one further subscriber to be equipped in such a way that he can take over the full master function, that is to say also the bus supply and the monitoring of the levels on the bus lines. But this would have to in each case a termination network would be provided for the corresponding participants, which would be very expensive.
  • FIG. 1 a basic sketch of a computer network is shown in FIG. 1
  • a data bus connecting the subscribers here has, for example, two data lines U + and U-. The information of the network is passed on via these lines.
  • One of the participants takes over the bus supply and the monitoring of the levels present on the data lines. It serves as a master M. It is provided with a termination network AO and A1, which is connected on the one hand to a supply voltage V CC and on the other hand to the data lines U- and U + of the bus.
  • the termination networks can, for example, have emitter followers.
  • An element A1 of the termination network is connected to a microprocessor ⁇ P which emits control signals. For example, when the second emergency operation measure M2 is initiated, the second data line U- is switched off by a suitable control signal.
  • the master M has a CAN module, of which only the output terminals TXO and TX1 of the transmitting part and the input terminals RX1 and RXO of the receiving part are indicated. Of the transmitting part of the CAN component, only the driver stages T1 and TO are shown, of which the one, T1, with a supply voltage of, for example, + 5V and the another, TO, is connected to ground. The two driver stages are controlled in a suitable manner.
  • the input terminals RXO and RX1 of the CAN module are connected to a receive comparator 1, which evaluates the signals appearing on the input terminals and passes them on via an output line 3.
  • the CAN module is also provided with an operational amplifier 5, at whose input the voltage V cc / 2 is present; via its output 7, a terminal V cc / 2 is applied to this potential. It serves as a reference potential.
  • a bus coupling 9 is provided between the data lines U + and U- and the input terminals RXO and RX1 and the output terminals TXO and TX1, which is used to set special potentials.
  • the bus coupling 9 is also provided with changeover contacts SO and S1, which interact with the input terminals RXO and RX1 of the CAN module, and the first changeover contact SO allows the input terminal RXO of the CAN module to be connected to the predetermined potential .
  • the second changeover contact S1 serves to connect the input terminal RX1 of the CAN module to the specified potential if required.
  • the input terminal RXO is set to the predetermined potential of, for example, Vcc ⁇ 2 via the switch SO. If this emergency operation measure does not lead to the desired success and errors continue to occur, the switch SO is moved back to its original position shown in FIG. 16. 27
  • the Um ⁇ chalttitle is then actuated S1 and the input terminal RX1 of the CAN Bau ⁇ tein ⁇ connected to the predeterminable potential of cash bei ⁇ piel ⁇ weise V cc ⁇ 2 to initiate the second emergency operation measure M2.
  • FIGS. 1 to 15 each show two subscribers A and B.
  • FIG. 16 it is assumed that more than a total of 3 subscribers can also be connected to the data lines.
  • a subscriber Tln x is therefore shown.
  • Participants A to x all show the same structure. They are provided with a CAN module and a bus coupling 9. Only the master is still provided with a termination network.
  • the master M shown in FIG. 16 carries out level monitoring, stationary, global or dynamic, global and stationary, local level errors can be distinguished.
  • the level on the bus is distorted in the steady state or in the dynamic state.
  • the level at the comparator inputs RXO and "RX1 in the CAN module concerned is distorted.
  • the system remains functional. However, the master is able to display such errors.

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Hardware Redundancy (AREA)
  • Alarm Systems (AREA)

Abstract

Es wird ein Verfahren zur Überwachung eines Computer-Netzwerks mit mindestens zwei über einen wenigstens zwei Leitungen umfassenden Datenbus verbundenen Teilnehmern, die jeweils ein Empfangs- und/oder ein Sendeteil aufweist vorgeschlagen. Das Verfahren zeichnet sich dadurch aus, daß die Funktion des Datenbusses und/oder die Funktion der Teilnehmer mit Hilfe von Fehlererkennungssignalen (Watch-dog-Signale, CEI) mindestens einen Teilnehmer überwacht und daß auf den jeweiligen Fehlerfall abgestimmte Notlauf-Maßnahmen (M1; M2) zur Einstellung von definierten Notlauf-Betriebsarten (Eindraht-, Sonder-Notlauf) ergriffen werden. Nach Ergreifung der ersten Notlauf-Maßnahme (M1) wird geprüft, ob das Computer-Netzwerk fehlerfrei funktioniert. Wenn dies der Fall ist, wird die erste Notlaufmaßnahme aufrechterhalten und auch damit die erreichte Notlauf-Betriebsart (Eindraht-Notlauf). Sollten nach Ergreifen der ersten Notflauf-Maßnahme weitere Fehler im Computer-Netzwerk auftauchen, wird die erste Notlauf-Maßnahme zurückgenommen und die zweite Notlauf-Maßnahme (M2) ergriffen. Wenn nunmehr keine weiteren Fehler auftauchen wird der durch diese Maßnahme eingestellte Notlauf-Betrieb, der Sonder-Notlauf, aufrechterhalten. Erst wenn immer noch weitere Fehler auftauchen werden die betroffenen Teilnehmer oder das gesamte Computer-Netzwerk abgeschaltet (Bus-off).

Description

- -
Verfahren zur Überwachung eines Computernetzwerks
Stan der Technik
Die Erf indung betrifft ein Verfahren zur Überwachung eines Computernetzwerks mit mindestens zwei über einen wenigstens zwei Leitungen umf assenden Datenbus verbundenen Teilnehmern nach der Gattung des An¬ spruchs 1 .
Computer-Netzwerke werden immer häufiger eingesetzt, insbesondere auch im Kraftfahrzeugbau . Es sind soge¬ nannte Controller-Area-Network-Schnittstellen ( CAN- IC ) bekannt , die als integrierte Schaltkreise ausge¬ bildet sind. Die Verbindung der einzelnen Netzwerk¬ teilnehmer erfolgt über einen Datenbus , der bei¬ spielsweise zwei Signalleitungen aufweist , über diese Leitungen werden die Informationen der Teilnehmer ge¬ sendet . Jeder Ausfall einer der beiden Signallei- tungen durch Kruzschluß nach Masse oder zur Span¬ nungsversorgung oder eine Unterbrechung der Leitungen hat zur Folge, daß das gesamte Netzwerk zusammen¬ bricht. Dies ist auch dann der Fall, wenn ein Kurz¬ schluß zwischen den beiden Busseleitungen eintritt, oder wenn einer der Teilnehmer defekt ist.
Die einzelnen Teilnehmer eines Netzwerks weisen außer dem CAN-IC eine sogenannte Busankopplung auf. Es handelt sich dabei um eine spezielle Beschaltung des CAN-ICs, durch die auf den Busleitungen auftretende Fehler erkannt werden sollen.
Derartige Systeme erlauben jedoch keine zentrale Überwachung der Funktion des Datenbusses oder der Funktion einzelner Teilnehmer eines Computer-Netz¬ werks.
Vorteile der Erfindung
Das erfindungsgemäße Verfahren zur Überwachung eines Computer-Netzwerks mit den in Anspruch 1 genannten Merkmalen hat dem gegenüber den Vorteil, daß bussei- tige Hardware-Fehler und Funktionsstörungen einzelner Teilnehmer eines Computer-Netzwerk schnell erkannt und geeignete Notlauf-Maßnahmen ergriffen werden kön¬ nen. Besonders vorteilhaft ist es, daß das Verfahren unabhängig von der Zahl von der am Busverkehr teil¬ nehmenden CAN-ICs eingesetzt werden kann. Eine An¬ passung der Notlauf-Maßnahmen an verschiedene Teil¬ nehmerzahlen ist nicht erforderlich. Besonders wichtig ist es, daß bei den einzelnen Teilnehmern keine zusätzlichen Bauteile für die Durchführung des Verfahrens vorgesehen werden müssen, überdies wird durch das erfindungsgemäße Verfahren der Datenbus nur äußerst wenig belastet.
Die Funktion des Datenbusses und/oder Teilnehmer er¬ folgt mittels Fehlererkennungssignalen mindestens eines Teilnehmers. Dabei wird zwischen externen Fehlererkennungssignalen, den sogenannten Watch-dog- Signalen, und internen Fehlererkennungssignalen, den CAN-Error-Interrupt-Signalen (CEI-Signale) unter¬ schieden. Die externen Fehlererkennungssignale werden von einem Teilnehmer auf den Datenbus gegeben. Die am Busverkehr teilnehmenden Teilnehmer erwarten dieses Signal innerhalb eines vorgegebenen Zeitrasters. Teilnehmer-Interne Fehler werden mit Hilfe einer ge¬ eigneten Fehlererkennungseinrichtung erkannt und durch das CEI-Signal angezeigt.
Das erfindungsgemäße Verfahren zeichnet sich dadurch aus, daß in Abhängigkeit von den Fehlererkennungssig¬ nalen geeignete Notlauf-Maßnahmen ergriffen werden, wodurch ein Notbetrieb des Computer-Netzwerkes einge¬ stellt wird. Die Notlauf-Maßnahmen werden abhängig von den auftretenden Fehlern variiert. Wenn nach Ein¬ stellung eines ersten Notlaufbetriebs weiter Fehler auftauchen, werden nachfolgende Notlauf-Maßnahmen er¬ griffen, um eine weitere Notlaufbetriebεart einzu¬ stellen. Erst wenn danach noch weitere Fehler auf¬ treten, werden die von den Fehlern betroffenen Teil¬ nehmer notfalls das gesamte Netzwerk abgeschaltet, es erfolgt ein sogenannter Bus-off.
Besonders bevorzugt wird ein Verfahren, bei dem der Buε-off-Betrieb wieder aufgehoben wird, wenn ledig- lieh ein einzelner Teilnehmer defekt ist und darauf¬ hin abgeschaltet wurde. Dieses Verfahren hat den Vor¬ teil, daß man alle übrigen Teilnehmer wieder den nor¬ malen Zweidraht-Betrieb aufnehmen.
Schließlich wird ein Verfahren bevorzugt, bei dem die Fehlerüberwachung abgeschaltet werden kann, wenn durch einen Defekt des Teilnehmers, des Masters, der das externe Fehlererkennungsεignal, das Watch-dog- Signal, abgibt, daß gesamte Netzwerk in den Bus-off- Betrieb übergegangen ist. Durch diese Maßnahme ist ein Notlaufbetrieb des Netzwerks möglich, auch wenn eine weitere Fehlerüberwachung dann nicht mehr mög¬ lich ist.
Weitere Vorteile und Ausführungεformen des Verfahrens ergeben sich aus den ünteransprüchen. Insbesondere wird deutlich, wie auf verschiedene im Computer-Netz¬ werk auftretende Fehler Notlauf-Maßnahmen ergriffen werden können.
Zeichnung
Die Erfindung wird im folgenden anhand der Figuren näher erläutert. In einzelnen Diagrammen werden die von den Teilnehmern des Computer-Netzwerks abgegebe¬ nen Signale bzw. die aufgrund von Fehlern ergriffenen Notlauf-Maßnahmen erläutert. Es wird beiεpielhaft da¬ von ausgegangen, daß das Computer-Netzwerk neben ei¬ nem ein externes Fehlererkennungεεignal (Watch-dog- Signal) abgebenden Teilnehmer (Maεter) zwei weitere Teilnehmer A und B-aufweist. Das Verfahren ist jedoch keinesfalls auf ein Netzwerk mit drei Teilnehmern be¬ schränkt.
Es zeigen:
Figur 1 die im Normalbetrieb auftretenden Signale;
Figuren 2 bis 4 den zeitlichen Ablauf der Signale bei der Reaktion auf einen stationären, globalen Fehler;
Figuren 5 bis 7 den zeitlichen Ablauf der Signale bei der Reaktion auf einen dynamischen, globalen Fehler;
Figuren 8 bis 10 die Signale bei der Reaktion auf einen εtationären, lokalen, empfangεεeitigen Fehler;
Figuren 11 und 12 die Signale bei der Reaktion auf einen lokalen, sendeεeitigen, dynamiεchen Fehler;
Figur 13 die Signale bei der Handhabung eines Bus-off eines Teilnehmers;
Figur 14 ein Struktogramm, aus dem die bei einem im Ruhezustand eintretenden Fehler ergriffenen Maßnahmen ersichtlich sind;
Figur 15 die Signale bei der Reaktion auf einen De¬ fekt des Masters und
Figur 16 ein Blockschaltbild eine Computer-Netzwerks, bei dem daε Verfahren einεetzbar ist.
Daε Fehlerüberwachungsverfahren soll anhand eines Computernetzes bzw. Multiplex-Systemε, beschrieben werden, das mit einem Zwei-Draht-Bus ausgestattet ist. Die Daten werden über beide Busleitungen über¬ tragen. Im Fehlerfall können die Informationen im EindrahtNotbetrieb weiter übertragen werden.
Eε gibt rezeεive und dominante Pegel auf den Leitun¬ gen des Datenbuεεeε. Ein dominanter Pegel kann stets einen rezesiven Pegel überschreiben. Im stationären Betrieb, im Lehrlauf, ist der Bus im rezeεiven Zu- εtand, das heißt, die erste Datenleitung ü+ befindet sich auf einem erεten vorgegebenen Pegel von bei- spielsweiεe 3,5V und die zweite Leitung ü- des Daten¬ buεεeε auf einem zweiten vorgegebenen Pegel von bei- spielεweiεe 1,5V. Ein dominanter Pegel liegt vor, wenn die erεte Datenleitung daε Potential der zweiten Leitung annimmt und die zweite Datenleitung daε Po¬ tential der ersten Leitung.
Für die nachfolgende Beschreibung soll eine Klassifi¬ zierung der Fehler vorgenommen werden:
Als stationär wird ein Fehler bezeichnet, wenn er un¬ abhängig vom Buszuεtand erkannt werden kann, alεo un¬ abhängig davon, ob sich der Bus im Leerlauf befindet oder ob Daten übertragen werden.
Als dynamiεch wird ein Fehler bezeichnet, wenn er nur während einer Datenübertragung erkannt werden kann.
Nach dem Kriterium der Fehlererkennung können die Fehler wie folgt unterεchieden werden:
Bei einem εtationären, globalen Fehler stellt εich auf den Buεleitungen iεt ein ständig dominater Pegel ein. Dieser Fehler wird unmittelbar nach seinem Auf- treten von jedem CAN-Baustein eines Teilnehmers er¬ kannt.
Bei einem dynamischen, globalen Fehler iεt εtändig ein rezeεiver Pegel auf den Buεleitungen. Dieser Feh¬ ler iεt nicht im Leerlauf des Busses sondern erst bei einer Datenübertragung für alle Teilnehmer erkennbar.
Bei einem stationären, lokalen Fehler liest ein de¬ fekter Teilnehmer εtändig einen dominanten Pegel ein. Dieεer Fehler wird unmittelbar nach seinem Auftreten von dem betroffenen Teilnehmer erkannt.
Bei einem dynamischen, lokalen Fehler kann ein defek¬ ter Knoten εich selbst nicht korrekt einlesen. Die Teilnehmer, -die mit einem Sende- und Empfangεteil ausgeεtattet sind, lesen ihre eigenen Informationen, die von ihrem Sendeteil auf den Datenbuε abgegeben werden, zur Kontrolle selbst ein, das heißt, ein Teilnehmer liest seine eigenen vom Sendeteil abge¬ gebenen Informationen über den Empfangsteil ein und kontrolliert diese. Ein dynamischer, lokaler Fehler wird daher erst bei einer Datenübertragung des de¬ fekten Teilnehmers, von diesem erkannt.
Anhand von Figur 1 wird der Normalbetrieb des Compu¬ ter-Netzwerks erläutert.
Ein Teilnehmer, der beispielsweise auch die Busver¬ sorgung und die Überwachung des Pegels auf den Daten¬ leitungen übernimmt, sendet zyklisch ein erstes ex¬ ternes Fehlererkennungεεignal, eine Wätch-Dog-Mes- εage. Das ausgeεendete Signal wird mit SWD bezeich¬ net. Ein derartiges Signal wird von dem Master nach einer Synchroniεationεzeit tgγN ausgegeben, die dazu dient, daß die einzelnen Teilnehmer, hier Tln A und Tln B, eine Zeitsynchronisation vornehmen können.
Im Normalfall wird das Watch-dog-Signal SjD von den Teilnehmern empfangen. Das empfangene Signal wird mit EWD bezeichnet.
Im fehlerlosen Betrieb trifft das Watch-dog-Signal des Masters bei den Teilnehmern innerhalb eines Zeit- fenεterε ein, das mit -t^-Q und +t^0j bezeichnet ist. Das Watch-dog-Signal SWD wird nach einer "Zeit von tWD wiederholt.
Fehlerfrei empfangene bzw. übertragene Signale werden mit einem durchgehenden senkrechten Strich bezeich¬ net.
Nun wird anhand der Figuren 2 bis 4 das Überwachungε- konzept für einen stationären, globalen Fehler be¬ schrieben, bei dem auf den Busleitungen ständig ein dominanter Pegel anliegt und der alle Teilnehmer des Computer-Netzwerks betrifft.
Aus Figur 2 ist erεichtlich, daß zunächεt daε vom Master abgegebene Watch-dog-Signal S^j*-* von den -Teil¬ nehmern A und B empfangen wurde. Danach trat der sta¬ tionäre, globale Fehler ein. Dadurch wird bei jedem Teilnehmer eine Fehlererfassungseinrichtung akti¬ viert. Diese besteht beispielsweiεe in einem Fehler¬ zähler, der bei jedem Fehler inkrementiert wird, biε schließlich ein internes Fehlererkennungssignal, das CAN-Error-Interrupt-Signal (CEI) abgegeben wird. Nach jedem CEI werden die Fehlerzähler zurückgesetzt, in- dem der CAN-Baustein deε Teilnehmers zurückgesetzt und dann wieder neu gestartet wird.
Das interne Fehlererkennungssignal CEI wird in Figur 2 zum Zeitpunkt 1 ) von allen Teilnehmern des Com¬ puter-Netzwerkes abgegeben. Nach dem Auftreten des CEI-Signalε, daε durch εenkrecht übereinanderliegende Sternchen gekennzeichnet ist, wird das nächste Watch- dog-Signal SWD abgewartet. Durch senkrecht übereinan¬ derliegende Doppelpunkte ist dargestellt, daß daε im vorgegebenen Zeitraster erwartete Signal nicht gesen¬ det bzw. nicht empfangen werden kann. Im vorliegenden Fall kann durch den εtändig dominanten Pegel keine Information über den Datenbuε geεendet werden. Das Watch-dog-Signal SWD kann alεo vom Maεter nicht abge¬ geben und daher von den Teilnehmern A und B nicht em¬ pfangen werden (Ew*---). Aufgrund dieεer Tatεache wird eine erεte Notlauf-Maßnahme MI eingeleitet.
Das Einleiten der Notlauf-Maßnahme ist durch senk¬ recht übereinanderliegende Pluszeichen angedeutet. Zum Zeitpunkt 3) wird die Notlauf-Maßnahme MI einge¬ leitet. Zum Zeitpunkt 4) wird geprüft, ob weitere CEI Signale auftreten. Dies ist in Figur 2 nicht der Fall. Es iεt erkennbar, daß zum Zeitpunkt 5) das Watch-dog-Signal SWD vom Master abgegeben und von den Teilnehmern A und B empfangen werden kann. Es wird nunmehr die erste Notlaufbetriebsart, der Eindraht- Notlauf, aufrecht erhalten.
In Figur 3 iεt ein Zeitdiagramm dargestellt, bei dem die zum Zeitpunkt 3) eingeleitete Notlauf-Maßnahme M1 nicht zur Fehlerbeseitigung geführt hat. Die Ereig- niεεe zu den Zeitpunkten 1), 2) und 3) stimmen mit denen anhand von Figur 2 erläuterten überein. Auf ihre Beschreibung kann hier verzichtet werden.
In Figur 3 wird also zum Zeitpunkt 3) die erste Not¬ lauf-Maßnahme M1 eingeleitet. Trotz dieser Maßnahme tritt zum Zeitpunkt 4) erneut ein internes Fehlererkennungsεignal CEI bei allen Teilnehmern auf. Daε heißt also, durch die Notmaßnahme wurde der Fehler nicht behoben. Daraufhin wird zum Zeitpunkt 6) die Notlauf-Maßnahme M2 eingeleitet. Die Notlauf-Ma߬ nahme M1 wird zurückgenommen.
Zum Zeitpunkt 7) wird geprüft, ob weitere Fehler- εignale CEI eintreffen. Dies ist in Figur 3 nicht der Fall, die Handhabung der Fehlersituation, das εoge- nannte Error-Handling iεt beendet. Zum Zeitpunkt 8) wird das vom Master abgegebene Watch-dog-Signal SWD von den Teilnehmern A und B wieder empfangen (EWD). Es wird nunmehr die zweite Notlaufbetriebsart, der Sonder-Notlauf, aufrecht erhalten.
In Figur 4 ist wiederum ein Zeitdiagramm dargestellt, das den zeitlichen Ablauf der Signale bei der Hand¬ habung eines stationären, globalen Fehlerε wieder¬ gibt. Im Gegenεatz zum Fehlerfall in Figur 3 hat je¬ doch hier die Notlauf-Maßnahme M2 nicht zur Beεeiti- gung des Fehlers geführt. Die Signale zu den Zeit¬ punkten 1 ) bis 6) entsprechen denen in Figur 3, so daß auf deren Beschreibung verzichtet werden kann.
• Zum Zeitpunkt 6) wird also die zweite Notlauf-Ma߬ nahme M2 eingeleitet, weil nach Einleitung der ersten Notlauf-Maßnahme M1 wiederum ein Fehlersignal CEI zum Zeitpunkt 4) aufgetreten ist, so daß das Watch-dog- Signal zum Zeitpunkt 5) nicht gesendet und empfangen werden konnte.
Nach Einleitung der zweiten Notlauf-Maßnahme M2 trat wiederum ein Fehlersignal CEI bei allen Teilnehmern auf, daε Watch-dog-Signal S^jD konnte vom Maεter nicht geεendet und von den Teilnehmern A und B nicht em¬ pfangen (EWD) werden.
Das Watch-dog-Signal hätte zum Zeitpunkt 8) gesendet und empfangen werden müssen.
Daraufhin werden zum Zeitpunkt 9) alle Teilnehmer des Computer-Netzwerks abgeschaltet, es wird also der so¬ genannte Bus-off eingeleitet.
Auch im abgeschalteten Zustand sind die Teilnehmer des Netzwerkes nicht vollkommen stromlos. Sie können noch auf Signale reagieren, sie können in dieser Not¬ lauf-Phase noch Notfunktionen übernehmen.
Zur Einleitung der in den Figuren 2 bis 4 erwähnten ersten Notlauf-Maßnahme M1 werden folgende Schritte unternommen:
Der der ersten Leitung U+ des Datenbusses zugeordnete Eingang RXO aller CAN-ICs wird auf ein vorgegebeneε Potential von beispielweise Vcc/2 gelegt. Dieε kann beiεpielεweiεe mittels eines Umschalters SO erreicht werden, wie er in Figur 16 gezeigt ist. Anschließend wird der CAN-Baustein aller Teilnehmer neu gestartet. Durch diese Notlauf-Maßnahme wird ein erster Notlauf¬ betrieb, ein sogenannter Eindraht-Notlauf einge¬ stellt. Die in den Figuren 3 und 4 erwähnte zweite Notlauf- Maßnahme M2 besteht zum einem darin, die erεte Not¬ lauf-Maßnahme M1 rückgängig zu machen. Das heißt also, alle Eingänge RXO werden wiederum mit der ersten Leitung U+ des Datenbusεeε verbunden und von dem vorgegebenen Potential Vcc/2 abgetrennt. Dafür werden alle Eingänge RX1 ,. die der zweiten Datenlei¬ tung U- deε Datenbuεεes zugeordnet sind, auf das vor¬ gegebene Potential gelegt, indem der als Umschalter ausgebildete Schalter S1 betätigt wird.
überdies wird die der zweiten Datenleitung U- zuge¬ ordnete Ausgangsklemme TX1 eineε jeden Teilnehmerε εo geεchaltet, daß Informationen der Teilnehmer nicht mehr auf die Datenleitung abgegeben werden können.
Auεεchließlich beim Master wird zusätzlich die zweite Datenleitung- U- abgeschaltet. Dieε erfolgt über ein spezielles Steuersignal beispielsweise eines Mikro- prozeεεors μP an das Abschlußnetzwerk A1 , welcheε beim Master vorgesehen iεt.
Durch die zweite Notlauf-Maßnahme M2 wird der zweite Notlaufbetrieb eingeschaltet, der sogenannte Sonder- Notlauf. Auch hier handelt es sich um einen Eindraht- Notlauf.
In den Zeitdiagrammen der Figuren 5,6 und 7 ist der zeitliche Ablauf des Error-Handlingε bei einem dyna- miεchen, globalen Fehler' dargeεtellt. Beim Senden deε Watch-dog-Signals SWD des Masters erkennt jeder Knoten einen Fehler. Aus Figur 5 ist erεichtlich, daß zunächεt daε vom Maεter abgegebene Watch-dog-Signal S^---* von den Teil- nehmernε A und B empfangen wurde. Das zum Zeitpunkt 1 ) von Master abzugebende Watch-dog-Signal S^j*-* wurde nicht abgegeben, der durch ^-0 vorgegebene Zeit¬ rahmen beim Senden des Watch-dog-Signalε wurde über¬ schritten. Außerdem hat der Master ein CAN-Error- Interrupt-Signal CEI zur Zeit 2) erhalten, weil deas Watch-dog-Signal nicht fehlerfrei abgegeben werden konnte.
Bei den Teilnehmern A und B iεt daε Watch-dog-Signal des Masters auch nicht empfangen worden, das Signal EWD blieb aus. Oder es wurde bei beiden Teilnehmern zum Zeitpunkt 2) das bausteininterne Fehlererken¬ nungssignal CEI erhalten, weil das Watch-dog-Signal fehlerhaft empfangen wurde.
Daraufhin wurde zum Zeitpunkt 3) wie bei der Fehler¬ handhabung bei einem stationären, globalen Fehler die Notlauf-Maßnahme MI eingeleitet. In Figur 5 führte dies dazu, daß das Watch-dog-Signal S^D vom Master gesendet und von den Teilnehmern A und B empfangen (EWD) wurde. Dies war zum Zeitpunkt 4) der Fall. Das Computer-Netz arbeitet .nun fehlerfrei in der ersten Notlaufbetriebsart, dem Eindraht-Notlauf.
Daε in Figur 6 dargeεtellte Diagramm unterεcheidet εich von dem in Figur 5"dadurch, daß zum Zeitpunkt 4) daε Watch-dog-Signal nicht geεendet und empfangen werden konnte, daß alεo die Notlauf-Maßnahme M1 , die zum Zeitpunkt 3) eingeleitet wurde, nicht zur Fehler¬ behebung führte. Zum Zeitpunkt 4) wurde daε Watch- dog-Signal weder gesendet noch empfangen, zum Zeit- punkt 5) erhielten alle Teilnehmer das interne Fehlererkennungsεignal CEI.
Daraufhin wurde zum Zeitpunkt 6) die zweite Notlauf- Maßnahme M2 bei allen Teilnehmern eingeleitet. Die dafür erforderlichen Schritte wurden oben be- εchrieben.
Aufgrund der Notlauf-Maßnahme M2 trat bei dem in Figur 6 dargeεtellten Fall kein weiterer Fehler auf. Zum Zeitpunkt 7) konnte daε Watch-dog-Signal geεendet und von den Teilnehmern empfangen werden. Die Fehler¬ handhabung ist damit beendet. Der durch die Notlauf- Maßnahme M2 eingestellte Sonder-Notlauf wird auf¬ rechterhalten.
In dem Zeitdiagramm gemäß Figur 7 sind zu den Zeit¬ punkten 1) bis 6) die anhand der Figuren 5 und 6 er¬ läuterten Signale eingezeichnet. Hier hat jedoch die zweite Notlauf-Maßnahme M2 keinen Erfolg: zum Zeit¬ punkt 7) kann das Watch-dog-Signal SWD vom Master nicht gesendet und von den Teilnehmern A und B nicht empfangen werden (EWD).
Daraufhin schalten sich die Teilnehmer vom Bus ab, es wird der sogenannte Buε-off eingeleitet. Dieεer Vor¬ gang findet zum Zeitpunkt 8) statt.
Auch hier findet noch ein spezieller Notlauf der Teilnehmer εtatt, εo daß noch Notfunktionen erhalten εind.
Anhand der Zeitdiagramme in den Figuren 8 bis 10 wird die Reaktion auf einen stationären, lokalen, e - pfangsseitigen Fehler eines Teilnehmers, hier des Teilnehmers Tln A erläutert.
Sobald der Fehler auftritt, wird bei dem defekten Teilnehmer eine Fehlererkennungseinrichtung akti¬ viert. Diese weist beispielεweiεe einen Fehlerzähler auf, der bei jedem Fehler inkrementiert wird, bis schließlich ein CAN-Error-Interrupt-Signal (CEI) ab¬ gegeben wird. In Figur 8 tritt beim Teilnehmer A das CEI-Signal zum Zeitpunkt 1) auf.
Nach jedem CEI wird der Fehlerzähler deε Teilnehmers zurückgesetzt, indem der CAN-Baustein resettet bzw. zurückgesetzt und dann wieder neu gestartet wird.
Zum Zeitpunkt 2 ) hätte das vom Master abgegebene Watch-dog-Signal SWD beim Teilnehmer A eintreffen sollen. Dies war nicht der Fall, was durch die über¬ einanderliegenden Doppelpunkte gekennzeichnet ist, die mit EWD bezeichnet sind. Aus Figur 8 iεt durch den durchgezogenen Strich angedeutet, daß das Watch- dog-Signal beim Teilnehmer B zum Zeitpunkt 2) ein¬ trifft.
Aufgrund des ausbleibenden Watch-dog-Signals SWD wird beim Teilnehmer A - wie beim stationären, globalen Fehler - die Notlauf-Maßnahme MI eingeleitet, nämlich zum Zeitpunkt 3) . In Figur 8 treten zum Zeitpunkt 4) keine weiteren CEI-Signale auf, das heißt, der erste Notlauf-Betrieb, der Eindraht-Notlauf, des defekten Teilnehmers A wird aufrechterhalten. Das Netzwerk ar¬ beitet nun wieder fehlerfrei. Bei dem Zeitdiagramm in Figur 9 wird davon ausge¬ gangen, daß auch nach Einleitung der ersten Notmaß- nahme MI zum Zeitpunkt 3) der Fehler des ersten Teil¬ nehmers nicht beseitigt ist. Daher tritt zum Zeit¬ punkt 4) ein internes Fehlererkennungsεignal CEI deε Teilnehmers A auf. Er ist auch nicht in der Lage zum Zeitpunkt 5) das externe Fehlererkennungsignal des Masterε, daε Watch-dog-Signal SWD, zu empfangen. Daε Signal kommt dagegen beim Teilnehmer B fehlerfrei an.
Aufgrund dieεer Tatsache leitet der Teilnehmer A zum Zeitpunkt 6) die zweite Notlauf-Maßnahme M2 ein.
Zum Zeitpunkt 7) stellt sich heraus, daß keine weiteren Fehlererkennungssignale CEI beim Teilnehmer A auftreten. Er arbeitet nun also fehlerfrei und kann zum Zeitpunkt 8 ) das Watch-dog-Signal SWD deε Masters empfangen EWD- Es wird nunmehr die zweite Notlaufbe- triebεart, der Sonder-Notlauf, des Teilnehmers A auf¬ recht erhalten.
In Figur 10 ist ein Zeitdiagramm dargestellt, bei dem zu dem Zeitpunkten 1) bis 6) dieεelben Signale wie in den Figuren 8 und 9 eingetragen sind. Allerdings ist hier zum Zeitpunkt 7) auch nach Einteilung der Not¬ lauf-Maßnahme M2 der Fehler deε Teilnehmerε A immer¬ noch nicht behoben. Vielmehr taucht dort ein weitereε interneε Fehlererkennungεεignal CEI auf. Er kann auch zum Zeitpunkt 8) das Watch-dog-Signal SW£> des Masterε nicht empfangen. Er wird daher zum Zeitpunkt 9) vom Netz getrennt und geht in den Bus-off-Zustand über. Auch hier wird ein Notbetrieb mit" Notfunktionen des Teilnehmers A aufrechterhalten. Durch den in Figuren 8 bis 10 beschriebene Notlauf- Maßnahme MI wird der defekte Teilnehmer A in den ersten Notlauf-Betriebszustand, den sogenannten Ein- draht-Notlauf gebracht. Durch die Notlauf-Maßnahme M2 wird der defekte Teilnehmer A in den zweiten Notlauf- Betrieb, den sogenannten Sonder-Notlauf gebracht.
Bei einem dynamischen, lokalen emp angsseitigen Fehler eines Teilnehmers'ist das Error-Handling iden¬ tisch wie beim dynamischen, globalen Fehler, das an¬ hand der Figuren 5 bis 7 beschrieben wurde. Das liegt daran, daß der Teilnehmer nicht erkennen kann, ob es sich lediglich um einen lokalen oder einen globalen Fehler handelt.
Anhand der Zeitdiagramme in den Figuren 11 bis 12 wird die Fehlerreaktion, das Error-Handling, bei einem lokalen, sendeseitigen Fehler beεchrieben. Bei einem derartigen Defekt kann ein Teilnehmer das Watch-dog-Signal des Masters zwar empfangen, so daß kein Error-Handling eingeleitet wird. Er ist aller¬ dings nicht imstande, den Empfang des Signals des Masters zu bestätigen. Er müßte dazu ein Acknowledge- Bit auf das Datennetz abgeben. Bei mehreren Teil¬ nehmern iεt der Master nicht in der Lage zu erkennen, welcher Teilnehmer defekt ist, sofern er wenigstenε ein Acknowledge-Bit empfängt, da jeder Teilnehmer, der daε Watch-dog-Signal erhält, ein derartigeε Bit sendet.
Der lokale, εendeεeitige Fehler wird aber dann er¬ kannt, wenn ein Teilnehmer ein Signal eines anderen erwartet. Geht dieses Signal nicht ein, so kann dieεer Teilnehmer erkennen, daß der Teilnehmer, der εenden wollte, einen Fehler im Sendeteil aufweiεt.
Bei dem Zeitdiagramm in Figur 4 wird davon ausge- gangen, daß der Teilnehmer A ein Signal SB an den Teilnehmer B εenden sollte. Zum Zeitpunkt 1 ) geht dieεeε Signal beim Teilnehmer B nicht ein, er em¬ pfängt keine Nachricht (EA) vom Teilnehmer A. Der Teilnehmer B gibt daraufhin zum Zeitpunkt 2) eine so¬ genannte Statuε-Message an den Master mit dem Inhalt ab, "der Teilnehmer A hat nicht gesendet". In Figur 11 ist der Empfang dieses Signals mit EB zum Zeit¬ punkt 2) angedeutet. Aufgrund der Statuε-Message deε Teilnehmers B erkennt der Master den lokalen, εende- εeitigen Defekt beim Teilnehmer A und provoziert die Einleitung deε Error-Handlingε, indem er daε nächεte Watch-dog-Signal SWD zum Zeitpunkt 3) ausfallen läßt. Daraufhin können auch die Teilnehmer A und B ein der¬ artiges Signal nicht empfangen (EWD).
Aufgrund des Ausfalls des Watch-dog-Signals des Masterε wird bei allen Teilnehmern ein Error-Handling eingeleitet. Zum Zeitpunkt 4) wird daraufhin die erεte Notlauf-Maßnahme M1 eingeleitet, wie dieε bei einem globalen Fehler der Fall ist.
Nach Einleitung der Notlauf-Maßnahme bittet der Master zum Zeitpunkt 5) den defekten Teilnehmer A, sich bei ihm zu melden. Der defekte Teilnehmer hat auf diese Weise die Möglichkeit, sich zu testen.
In Figur 11 wird davon ausgegangen, daß der Teil¬ nehmer A aufgrund des durch die Maßnahme MI einge¬ leiteten Eindraht-Notlaufs nunmehr in der Lage ist, sich beim Master zu melden. Die Aufforderung SA des Masters trifft beim Teilnehmer ein. Dies iεt durch EM angedeutet. Daraufhin gibt der Teilnehmer A daε Signal Sy_ ab. Dieses Signal trifft auch beim Master ein, was durch EA angedeutet iεt. Der nachfolgende Zyklus erfolgt nunmehr fehlerfrei: das Watch-dog- Signal SWD des Masters trifft beim Teilnehmer A zum Zeitpunkt 6) ein (EWD). Selbstverεtändlich wird das Watch-dog-Signal des Maεterε vom fehlerfreien Teil¬ nehmer B empfangen.
In Figur 12 ist ein Zeitdiagramm gezeigt, das mit dem in Figur 11 bis zum Zeitpunkt 4) übereinstimmt. Daε heißt also, bei der Fehlerreaktion in Figur 12 wird die Notlauf-Maßnahme M1 zum Zeitpunkt 4 bei allen Teilnehmern eingeleitet. Danach fordert der Master den Teilnehmer A auf, sich bei ihm zu melden. Das Signal SA des Masters trifft zum Zeitpunkt 5) beim Teilnehmer A ein, was durch den durchgehenden Strich gekennzeichnet iεt, der mit EM bezeichnet iεt.
Der Teilnehmer A iεt aufgrund des εendeεeitigen De¬ fekts allerdings nicht in der Lage, das Signal SA an den Master abzusenden. Dieser unterdrückt daraufhin beim nächsten Zyklus zum Zeitpunkt 6) die Abgabe deε Watch-dog-Signals ^- , εo daß weder der Teilnehmer A noch der Teilnehmer B ein derartigeε Signal empfangen können. Bei allen Teilnehmern wird daraufhin die zweite Notlauf-Maßnahme M2 eingeleitet und zwar zum Zeitpunkt 7). In Figur 12 wird davon ausgegangen, daß nunmehr die Aufforderung des Masters an den Teil¬ nehmer A, sich beim Master zu melden, korrekt beant¬ wortet wird. Zum Zeitpunkt 8) werden also die Signale SA, EM fehlerfrei ausgetauscht. Danach kann zum Zeitpunkt 9) ein fehlerfreier Betrieb aufrechterhalten werden, nämlich der Sonder-Notlauf: daε Watch-dog-Signal SWD trifft fehlerfrei bei den Teilnehmern A und B ein.
•Bei der Behandlung deε lokalen, sendesseitigen Fehlers wird davon ausgegangen, daß bei allen Teil¬ nehmern die Notlauf-Maßnahmen M1 und M2 ausgeführt werden, die oben anhand deε εtationären, globalen Fehlers erläutert werden. Nach der Notlauf-Maßnahme M1 befinden sich alle Teilnehmer im ersten Notlauf- .Betrieb, dem Eindraht-Notlauf. Muß nach einem weiteren Fehler die zweite Notlauf-Maßnahme M2 einge¬ leitet werden, befinden sich alle Teilnehmer im zweiten Notlaufbetrieb, dem Sonder-Notlauf.
Figur 13 zeigt die zeitliche Abfolge der Signale bei der Fehlerhandhabung im Falle eines Bus-off-Zuεtand eines Teilnehmers. Dieser Fehler kann erst erkannt werden, wenn eine erwartete Botschaft eines Teil¬ nehmers ausbleibt. Es wird dann geprüft, ob der ent¬ sprechende Teilnehmer sendeseitig defekt ist, oder ob er sich im Zustand "Buε-off" befindet. Bei der Dar- εtellung in Figur 13 wird von einem Buε-off deε Teil¬ nehmerε A ausgegangen.
Die Maßnahmen, die in Figur 13 zu den Zeitpunkten 1) bis 7) dargestellt sind, entsprechen denen, die bei einem lokalen, sendeεeitigen Defekt ergriffen werden. Insofern wird auf die Beschreibung der Figuren 11 und 12 verwiesen.
Zunächst kann das externe Fehlererkennungsεignal deε Masters, das Watch-dog-Signal S^j--*, von den Teil- nehmern A und B empfangen werden. Zum Zeitpunkt 1 ) erhält der Teilnehmer B eine erwartete Nachricht des Teilnehmers A nicht mehr. Er gibt daher zum Zeitpunkt 2) eine Status-Meεεage "Teilnehmer A hat nicht ge¬ sendet" an den Master ab. Dieser läßt daraufhin zum Zeitpunkt 3) das Watch-dog-Signal ausfallen, wodurch bei allen Teilnehmern zum Zeitpunkt 4) die erste Not¬ lauf-Maßnahme M1 eingeleitet wird. Zum Zeitpunkt 5) fordert der Master den Teilnehmer A durch das Signal SA auf, sich beim ihm zu melden. Dazu ist der Teil¬ nehmer nicht in der Lage.
Daraufhin wird zum Zeitpunkt 6) das Watch-dog-Signal deε Masters wiederum unterdrückt. Alle Teilnehmer leiten deshalb zum Zeitpunkt 7 ) die zweite Notlauf- Maßnahme M2 ein.
Wiederum fordert der Master zum Zeitpunkt 8) den Teilnehmer A auf, sich bei ihm zu melden. Dazu iεt dieser immernoch nicht in der Lage.
Der Master schließt daraus, daß der Teilnehmer A nicht am Busverkehr teilnimmt und im Bus-off-Zuεtand iεt. Daraufhin werden εowohl beim Maεter alε auch bei allen anderen Teilnehmern die Notlauf-Maßnahme zu¬ rückgenommen. Lediglich der Teilnehmer A bleibt weiterhin im Bus-off. Die Rücknahme der Notlauf-Maß- nahmen erfolgt zum Zeitpunkt 10).
Anhand des Struktogramms in Figur 14 wird nun das Fehlerüberwachungsverfahren das Error-Handling bei einem Fehler im Ruhezustand erläutert. Wenn nämlich bereits vor dem Anεtarten deε Computer-Netzwerkes ein Fehler vorliegt, müssen die einzelnen Teilnehmer die Notlauf-Maßnahmen synchron einleiten. Dazu sind wesentliche längere Synchroniεationszeiten nötig, als in Figur 1 angedeutet. Um zu gewährleisten, daß alle Teilnehmer dieselbe Notlauf-Maßnahme gleichzeitig durchführen, sind beispielsweiεe Synchronisations¬ zeiten von TM1=1s und TM2=2s nötig. Mit TM1 und TM2 werden die Synchronisationszeiten bezeichnet, während der die Notlauf-Maßnahmen M1 und M2 aufrechterhalten werden. In diesen Zeiträumen wird geprüft, ob das Watch-dog-Signal eintrifft.
In einem ersten Schritt 1 wird die Spannungsversor¬ gung des Computer-Netzwerkes eingeschaltet. Im zweiten Schritt 2 werden alle Datenübertragungen der Teilnehmer gesperrt. Im dritten Schritt 3 wird ge¬ wartet, bis die in Figur 1 dargestellte Synchronisa- tionεzeit Tgy^ abgelaufen ist, oder bis ein Watch- dog-Signal empfangen wurde.
In Schritt 4 wird abgefragt, ob das Watch-dog-Signal eingegangen ist. Wenn dies der Fall ist, wird in Schritt 5 eine Synchronisation des Computer-Netzwerks vorgenommen und anschließend in Schritt 6 der Normal¬ betrieb deε Computer-Netzwerks aufgenommen.
Wenn kein Watch-dog-Signal empfangen wurde, wird in Schritt 7 die Notlauf-Maßnahme M1 eingeleitet. Diese wird aufrechterhalten, bis die Synchronisationszeit TM1 abgelaufen ist, oder bis ein Watch-dog-Signal empfangen wurde. Wenn dies der Fall ist, wird in Schritt 8 die Timer-Synchronisation vorgenommen und in Schritt 9 der erste Notlaufbetrieb, der Eindraht- Notlauf 1 DN aufrechterhalten. Wenn kein Watch-dog-Signal eingegangen ist, wird die Notlauf-Maßnahme M2 in Schritt 10 eingeleitet. Diese wird aufrechterhalten, bis die Zeit TM abgelaufen ist, oder bis ein Watch-dog-Signal empfangen wurde. Wenn dies der Fall ist, wird in Schritt 11 eine Timer-Synchronisation vorgenommen und anschließend in Schritt 12 der Sonder-Notlauf SN aufrechterhalten.
Sollte kein Watch-dog-Signal eingehen, εo wird im Schritt 13 der Buε-off aller Teilnehmer eingeleitet. Die Teilnehmer verbleiben in einer Grund-Notlauf-Be¬ triebsart.
Die Notlauf-Maßnahme MI und M2 iεt identiεch mit denen, die anhand deε εtatischen, globalen Fehlers beschrieben wurden. Auf die Erläuterung des Error- Handlings dieses Fehlerfalls wird daher verwiesen. Es zeigt sich auch, daß bei dem Verfahren in Figur 14 durch die Notlauf-Maßnahme 1 der erste Notlauf-Be¬ trieb, der Eindraht-Notlauf, und durch die zweite NotlaufMaßnahme M2 der zweite Notlauf-Betrieb, der Sonder-Notlauf, aufrechterhalten wird.
Figur 15 zeigt ein Zeitdiagramm, in dem der zeitliche Ablauf der Signale bei der Reaktion auf einen Defekt des Masterε wiedergegeben ist.
Die zu den Zeitpunkten 1 ) biε 7) auftretenden Signale entεprechen denen deε Error-Handlings bei einem dy¬ namischen, globalen Defekt.
Aus dem Diagramm iεt erεichtlich, daß zunächεt daε vom Maεter abgegebene Fehlererkennungεεignal, daε Watch-dog-Signal SWD von den beiden Teilnehmern A und B fehlerfrei empfangen wurde. Zum Zeitpunkt 1 ) wurde daε Watch-dog-Signal immernoch weder geεendet noch empfangen. Daraufhin gaben alle Teilnehmer zum Zeit¬ punkt 2) daε interne Fehlererkennungssignal CEI ab und leiteten zum Zeitpunkt 3) die ersten Notlauf-Ma߬ nahme MI ein. Es zeigt sich, daß diese Maßnahme den Fehler nicht beseitigen konnte: zum Zeitpunkt 4) wurde das Watch-dog-Signal weder gesendet noch em¬ pfangen. Daraufhin gaben alle Teilnehmer zum Zeit¬ punkt 5) das interne Fehlerεignal CEI ab und leiteten zum Zeitpunkt 6) die zweite Notlauf-Maßnahme M2 ein. Der daraufhin eingerichtete zweite Notlauf-Betrieb, der Sonder-Notlauf, konnte ebenfallε den Fehler nicht beseitigen. Zum Zeitpunkt 7) wurde das Watch-dog- Signal immernoch weder gesendet noch empfangen.
Um eine Totalabschaltung des gesamten Systems zu ver¬ meiden, wird nun zum Zeitpunkt 8) ausschließlich der Master vom Netz getrennt; es findet dort ein Buε-off εtatt. Eε wird lediglich eine Notlauffunktion des Masters aufrechterhalten.
Statt deε Masters sendet nun beispielsweise der Teil¬ nehmer A zum Zeitpunkt 8) das nächste Watch-dog- Signal, waε mit einem durchgehenden Strich und. der Bezeichnung SWD dargestellt iεt. Dieses Signal wird auch fehlerfrei vom Teilnehmer B empfangen. Beide Teilnehmer nehmen nun die zu den Zeitpunkten 3) und 6) eingeleiteten Notlauf-Maßnahmen zurück und arbeiten ohne Fehlerüberwachung weiter. Es ist auch möglich, daß mehr als ein weiterer Teilnehmer so aus¬ gestattet wird, daß er die volle Mästerfunktion, also auch die Busverεorgung und die Überwachung der Pegel auf den Buεleitungen übernehmen kann. Dazu müßte aber jeweilε ein Abεchlußnetzwerk bei den entεprechenden Teilnehmern vorgeεehen werden, waε allerdingε sehr aufwendig wäre.
Zur Verdeutlichung des oben Gesagten ist in Figur 16 eine Prinzipskizze eines Computer-Netzwerkes wieder¬ gegeben.
Ein die Teilnehmer verbindender Datenbus weist hier beispielsweiεe zwei Datenleitungen U+ und U- auf. über diese Leitungen werden die Informationen des Netzes weitergegeben.
Einer der Teilnehmer übernimmt die Busverεorgung und die Überwachung der auf den Datenleitungen vorhan¬ denen Pegel. Er dient als Maεter M. Er iεt mit einem Abschlußnetzwerk AO und A1 versehen, das einerseits mit einer Versorgungsspannung Vcc und andererseitε mit den Datenleitungen U- und U+ deε Buεεeε verbunden iεt. Die Abεchlußnetzwerke können beiεpielεweiεe Emitterfolger auf eiεen. Ein Element A1 deε Abεchluß- netzwerkes ist mit einem Mikroprozesεor μP verbunden, der Steuersignale abgibt. Beispielεweiεe bei der Ein¬ leitung der zweiten Notlauf-Maßnahme M2 wird durch ein geeignetes Steuersignal die zweite Datenleitung U- abgeεchaltet.
Der Maεter M weiεt einen CAN-Baustein auf, von dem hier lediglich die Ausgangsklemmen TXO und TX1 des Sendeteils und die Eingangεklemmen RX1 und RXO deε Empfangεteilε angedeutet sind. Von dem Sendeteil des CAN-Bauteils εind lediglich die Treiberεtufen T1 und TO dargeεtellt, von denen die eine, T1 , mit einer Verεorgungεεpannung von beispielεweiεe +5V und die andere, TO, mit Masse verbunden ist. Die beiden Treiberεtufen werden auf geeignete Weise angesteuert. Die Eingangsklemmen RXO und RX1 des CAN-Bausteins sind mit einem Empfangskomparator 1 verbunden, der die auf den Eingangsklemmen auftauchenden Signale auswertet und über eine Ausgangsleitung 3 weitergibt. Der CAN-Baustein ist überdies mit einem Operations- verεtärker 5 verεehen, an deεsen Eingang die Spannung Vcc/2 anliegt, über seinen Ausgang 7 wird eine Klemme Vcc/2 auf dieses Potential angelegt. Es dient als Be¬ zugspotential. Zwischen den Datenleitungen U+ und U- und den Eingangsklemmen RXO und RX1 εowie den Auε- gangsklemmen TXO und TX1 ist eine Busankopplung 9 vorgeεehen, die der Einεtellung εpezieller Potentiale dient.
Die Busankopplung 9 ist überdies mit Umschaltkon¬ takten SO und Sl versehen, die mit den Eingangε- klemmen RXO und RX1 des CAN-Bausteins zusammenwirken, über den ersten Umschaltkontakt SO kann die Eingangs¬ klemme RXO des CAN-Bausteinε mit dem vorgegebenen Potential verbunden werden. Der zweite Umεchaltkon- takt Sl dient dazu, die Eingangεklemme RX1 deε CAN- Bausteins bei Bedarf auf das vorgegebene Potential zu legen.
Aus der Beschreibung des Error-Handlings wird deut¬ lich, daß zur Einleitung der erεten Notlauf-Maßnahme MI die Eingangsklemme RXO über den Schalter SO auf das vorgegebene Potential von beispielεweise Vcc\2 gelegt wird. Wenn diese Notlauf-Maßnahme nicht zu dem gewünschten Erfolg führt und weiterhin Fehler auf¬ treten, so wird der Schalter SO in seine ursprüng¬ liche, in Figur 16 dargestellte Lage zurückbewegt. 27
Anschließend wird zur Einleitung der zweiten Notlauf- Maßnahme M2 der Umεchaltkontakt S1 betätigt und die Eingangsklemme RX1 des CAN-Bauεteinε mit dem vorgeb¬ baren Potential von beiεpielεweise Vcc\2 verbunden.
Die Zeitdiagramme der Figuren 1 bis 15 zeigen außer dem Master jeweils zwei Teilnehmer A und B. In der Darstellung gemäß Figur 16 wird davon ausgegangen, daß auch mehr als insgeεamt 3 Teilnehmer mit den Datenleitungen verbunden werden können. Es ist daher ein Teilnehmer Tln x dargestellt.
Die Teilnehmer A bis x zeigen alle denselben Aufbau. Sie sind mit einem CAN-Baustein und einer Buεankopp- lung 9 versehen. Ausschließlich der Master iεt noch mit einem Abschlußnetzwerk versehen.
Es iεt jedoch möglich, mindeεtenε einen weiteren Teilnehmer ebenfalls mit einem Abschlußnetzwerk zu versehen, damit dieser im Falle eines Fehlers des Masters dessen Funktion übernehmen kann. Dies wurde anhand der Beschreibung von Fiugr 15 erwähnt.
Nach allem ist festzustellen, daß mit dem oben be¬ schriebenen Verfahren Funktionsfehler des Datenbusses und/oder einzelner Teilnehmer des Computer-Netzwerkes erkannt werden können. Je nach Auswirkung des Fehlers wird eine geeignete Fehlerreaktion, ein Error-Hand¬ ling, eingeleitet. Dadurch werden entsprechende Not¬ lauf-Maßnahmen ergriffen, die eine weitere Funktion des Netzwerkeε auch nach Auftreten deε Fehlerε ermög¬ licht. Es ist denkbar, daß die verschiedenen Fehler, die an¬ hand der Fehlererkennungsεignale unterεcheidbar εind, angezeigt werden.
Dadurch, daß der in Figur 16 dargeεtellte Master M eine Pegelüberwachung vornimmt, sind stationäre, glo¬ bale oder dynamische, globale sowie stationäre, lo¬ kale Pegelfehler unterεcheidbar. Dabei ist der Pegel auf dem Bus im stationären Zustand oder im dy¬ namischen Zustand verzogen. Beim zuletzt erwähnten Pegelfehler ist der Pegel an den Komparatoreingängen RXO und "RX1 bei dem betroffenen CAN-Baustein ver¬ zogen. Bei derartigen Pegelfehlern bleibt daε Syεtem weiterhin funktionfähig. Der Master ist jedoch in der Lage, derartige Fehler anzuzeigen.

Claims

Ansprüche
1. Verfahren zur Überwachung eineε Computer-Netzwerkε mit mindeεtenε zwei über einen wenigstens zwei Lei¬ tungen umfasεenden Datenbuε verbundenen Teilnehmern, die jeweils ein Empfangs- und/oder ein Sendeteil auf¬ weisen, d a d u r c h g e k e n n z e i c h n e t , daß die Funktion des Datenbuεεeε und/oder der Teil¬ nehmer mit Hilfe von Fehlererkennungεεignalen (Watch- dog-Signale; CEI) mindeεtenε eines Teilnehmers über¬ wacht, und daß auf den jeweiligen Fehlerfall abge¬ stimmte Notlauf-Maßnahmen (M1 ; M2) zur Einεtellung von definierten Notlauf-Betriebsarten (Eindraht-, Sonder-Notlauf) ergriffen werden.
2. Verfahren nach Anspruch 1, d a d u r c h g e ¬ k e n n z e i c h n e t, daß mindeεtenε einer der - 3o -
Teilnehmer (Maεter) ein externes Fehlersignal (Watch- dog-Signal) abgibt, das im fehlerfreien Betrieb von allen anderen Teilnehmern - vorzugsweise innerhalb eines vorgebbaren Zeitfensterε - empfangen wird.
3. Verfahren nach Anspruch 1 oder 2, d a d u r c h g e k e n n z e i c h n e t , daß bei einem sta¬ tionären, globalen Fehler, der alle Teilnehmer be¬ trifft, und bei dem die Leitungen (U-, U+) des Daten- busεeε ständig ihren aktivierten Zustand (dominanter Pegel) einnehmen, bei jedem Teilnehmer eine Fehler- Er aεεungεeinrichtung aktiviert wird, biε ein teil- nehmer-internes Fehlererkennungssignal (CEI) ab¬ gegeben wird.
4. Verfahren nach Anspruch 1 oder 2, d a d u r c h g e k e n n z e i c h n e t , daß bei einem statio¬ nären Fehler des Empfangsteilε eineε Teilnehmerε des- εen Fehler-Erfaεεungεeinrichtung aktiviert wird, biε ein internes Fehlererkennungsεignal (CEI) abgegeben wird.
5. Verfahren nach Anspruch 3 oder 4, d a d u r c h g e k e n n z e i c h n e t , daß bei jedem internen Fehlererkennungssignal (CEI) die Fehler-Erfaεεungs- einrichtung in ihren Ausgangεzuεtand verεetzt wird.
6. Verfahren nach einem der Ansprüche 3 bis 5, d a - d u r c h g e k e n n z e i c h n e t , daß als Fehler-Erfaεsungseinrichtung ein Fehlerzähler verwen¬ det wird, der bei einem vorgebbaren Fehlerεtand daε Fehlersignal abgibt.
7. Verfahren nach Anspruch 6, d a d u r c h g e ¬ k e n n z e i c h n e t , daß der Fehlerzähler zu¬ rückgesetzt und damit in seinen Auεgangεzuεtand ver- εetzt wird, indem der Teilnehmer zurückgeεetzt und anεchließend neu gestartet wird.
8. Verfahren nach einem der Ansprüche 3 bis 7, d a - d u r c h g e k e n n z e i c h n e t , daß bei Auftreten des internen Fehlererkennungsεignalε (CEI), daε externe Fehlererkennungssignal (Watch-dog-Signal) nicht gesendet und nicht empfangen werden kann und eine erste Notlauf-Maßnahme (MI ) zur Einstellung einer ersten Notlauf-Betriebsart (Eindraht-Notlauf) eingeleitet wird.
9. Verfahren nach Anspruch 1 oder 2, d a d u r c h g e k e n n z e i c h n e t , daß ein dynamischer, globaler Fehler, der alle Teilnehmer betrifft, und bei dem die Leitungen (U-, U+) des Datenbusεeε εtän¬ dig in ihrem inaktivierten Zustand (rezessiver Pegel) verharren, daran erkannt wird, daß daε externe Fehlererkennungεεignal (Watch-dog-Signal) nicht oder nicht innerhalb eineε vorgebbaren Zeitrahmens und/oder ein internes Fehlererkennungssignal (CEI) empfangen wird, und daß daraufhin eine erste Notlauf- Maßnahme (MI ) zur Einstellung einer ersten Notlauf- Betriebεart (Eindraht-Notlauf) eingeleitet wird.
10. Verfahren nach Anspruch 2, d a d u r c h g e ¬ k e n n z e i c h n e t , daß bei einem Fehler des Sendeteils eines Teilnehmers daε externe Fehlererken¬ nungssignal (Watch-dog-Signal) des Maεterε unter¬ drückt und dadurch die erste Notlauf-Maßnahme (M1 ) zur Einεtellung deε erεten Notlaufbetriebε (Eindraht- Notlauf) bei allen Teilnehmern eingeleitet wird.
11. Verfahren nach Anεpruch 8, 9 oder 10, d a ¬ d u r c h g e k e n n z e i c h n e t , daß bei fehlerfreiem Betrieb des Netzwerks nach Einstellung des ersten Notlauf-Betriebε (Eindraht-Notlauf) dieεe Betriebεart beibehalten wird.
12. Verfahren nach Anεpruch 8, 9 oder 10, d a ¬ d u r c h g e k e n n z e i c h n e t , daß bei Auf¬ treten weiterer Fehlerεignale (Watch-dog-Si.gnale; CEI) nach Einεtellung deε erεten Notlauf-Betriebε (Eindraht-Notlauf) die erεte Notlauf-Maßnahme (M1 ) zurückgenommen und zur Einstellung des zweiten Not¬ lauf-Betriebε (Sonder-Notlauf) die zweite Notlauf- Maßnahme (M2) eingeleitet wird.
13. Verfahren nach Anεpruch 12, d a d u r c h g e ¬ k e n n z e i c h n e t , daß bei fehlerfreiem Be¬ trieb nach Einstellung deε zweiten Notlauf-Betriebε (Sonder-Notlauf) dieεe Betriebεart beibehalten wird.
14. Verfahren nach Anspruch 12, d a d u r c h g e ¬ k e n n z e i c h n e t , daß bei Auftreten eines weiteren externen oder internen Fehlererkennungsεi- gnalε (Watch-dog-Signal; CEI) nach Einstellung des zweiten Notlauf-Betriebs (Sonder-Notlauf) zumindest der defekte Teilnehmer, bei einem Fehler des Masterε und bei einem globalen, alle Teilnehmer betreffenden Fehler alle Teilnehmer abgeεchaltet (Bus-off) werden.
15. Verfahren nach Anspruch 14, d a d u r c h g e ¬ k e n n z e i c h n e t , daß nach Abschaltung (Bus- off) eines einzelnen Teilnehmers die zweite Notlauf- Maßnahme (M2) zurückgenommen wird.
16. Verfahren nach Anspruch 14, d a d u r c h g e ¬ k e n n z e i c h n e t , daß bei Abschaltung (Bus¬ off) des das externe Fehlererkenπungssignal (Watch- dog-Signal) abgebenden Teilnehmerε (Maεter) die Feh¬ lerüberwachung abgeεchaltet wird.
17. Verfahren nach einem der Anεprüche 1 biε 16, d a d u r c h g e k e n n z e i c h n e t , daß bei einem bereitε im Ruhezuεtand deε Computernetzeε vor¬ liegenden Fehler die Teilnehmer die Notlauf-Maßnahmen (M1 , M2) εynchron einleiten.
18. Verfahren nach Anεpruch 8, 9, 10, 12 oder 17, d a d u r c h g e k e n n z e.l e h n e t , daß bei einem lokalen, einzelne Teilnehmer betreffenden Feh¬ ler alε erεte Notlauf-Maßnahme (MI ) die der zweiten Leitung (U+) des Datenbusεeε zugeordnete Eingangε- klemme (RXO) des betroffenen Teilnehmers auf ein vor- gebbareε Potential gelegt wird.
19. Verfahren nach Anspruch 8, 9, 12 oder 17, a ¬ d u r c h g e k e n n z e i c h n e t , daß bei einem globalen, alle Teilnehmer betreffenden Fehler und/oder bei einem Fehler des Masters als erste Not¬ lauf-Maßnahme (M1 ) die der zweiten Leitung (U+) deε Datenbusses zugeordnete Eingangsklemmen (RXO) aller Teilnehmer auf ein vorgebbareε Potential gelegt und alle durch ein internes Fehlererkennungssignal (CEI) zurückgesetzten Teilnehmers neu geεtartet werden.
20. Verfahren nach Anεpruch 12, 13, 14 oder 15 oder 17, d a d u r c h g e k e n n z e i c h n e t , daß bei einem lokalen, einzelne Teilnehmer betreffende Fehler als zweite Notlauf-Maßnahme (M2) die der zwei¬ ten Leitung (U-) des Datenbuεses zugeordnete Ein¬ gangsklemme (RX1 ) des betroffenen Teilnehmers auf ein vorgebbares Potential gelegt, die der zweiten Leitung (U-) zugeordnete Ausgangεklemme (TX1 ) deε Teilnehmerε εo geεchaltet wird, daε keine Informationen auf die¬ εer Leitung abgegeben werden können.
21. Verfahren nach Anspruch 12, 13, 14, 15 oder 17, d a d u r c h g e k e n n z e i c h n e t , daß bei einem lokalen Fehler des das externe Fehlererken¬ nungsεignal (Watch-dog-Signal) abgebenden Teilnehmerε (Master) und/oder bei globalen, alle Teilnehmer be¬ treffenden Fehler als. zweite Notlauf-Maßnahme (M2), die zweite Leitung (U-) durch den Master abgeschaltet wird, die der zweiten Leitung (U-) des Datenbuεεeε zugeordnete Eingangεklemme (RX1 ) aller Teilnehmer auf ein vorgebbareε Potential gelegt, die der zweiten Leitung (U-) zugeordneten Auεgangεklemmen (TX1 ) aller Teilnehmer εo geschaltet werden, daß keine Informa¬ tionen auf dieεer Leitung abgegeben werden können.
PCT/DE1989/000090 1989-02-17 1989-02-17 Verfahren zur überwachung eines computer-netzwerks WO1990009631A1 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
DE58907627T DE58907627D1 (de) 1989-02-17 1989-02-17 Verfahren zur überwachung eines computer-netzwerks.
PCT/DE1989/000090 WO1990009631A1 (de) 1989-02-17 1989-02-17 Verfahren zur überwachung eines computer-netzwerks
JP1500991A JP2677693B2 (ja) 1989-02-17 1989-02-17 コンピュータネットワークの監視方法
KR1019910700903A KR0129174B1 (ko) 1989-02-17 1989-02-17 컴퓨터 네트워크 모니터링 방법
EP89902232A EP0458781B1 (de) 1989-02-17 1989-02-17 Verfahren zur überwachung eines computer-netzwerks

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/DE1989/000090 WO1990009631A1 (de) 1989-02-17 1989-02-17 Verfahren zur überwachung eines computer-netzwerks

Publications (1)

Publication Number Publication Date
WO1990009631A1 true WO1990009631A1 (de) 1990-08-23

Family

ID=6834830

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/DE1989/000090 WO1990009631A1 (de) 1989-02-17 1989-02-17 Verfahren zur überwachung eines computer-netzwerks

Country Status (5)

Country Link
EP (1) EP0458781B1 (de)
JP (1) JP2677693B2 (de)
KR (1) KR0129174B1 (de)
DE (1) DE58907627D1 (de)
WO (1) WO1990009631A1 (de)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0732654A1 (de) * 1995-03-16 1996-09-18 ABBPATENT GmbH Verfahren zur fehlertoleranten Kommunikation unter hohen Echtzeitbedingungen
US6542948B1 (en) 1996-05-14 2003-04-01 Gkr Gesellschaft Fur Fahrzeugklimaregelung Mbh Bus system and method of diagnosing subscribers interconnected via said bus-system
US6636100B1 (en) 1999-06-29 2003-10-21 Mitsubishi Denki Kabushiki Kaisha Can controller and one-chip computer having a built-in can controller
US6925581B2 (en) 2000-12-20 2005-08-02 Robert Bosch Gmbh Method and device for monitoring and disconnecting control units in a network and a network

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4338707A1 (de) * 1993-11-12 1995-05-18 Bosch Gmbh Robert Anordnung mit wenigstens zwei über Schnittstellen verbindbaren Teilnehmern
DE19705985A1 (de) * 1997-02-17 1998-07-02 Bosch Gmbh Robert Anordnung zum Betrieb und zur Steuerung von mit Steuergeräten versehenen Gasentladungslampen

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4245344A (en) * 1979-04-02 1981-01-13 Rockwell International Corporation Processing system with dual buses
GB2082355A (en) * 1980-08-20 1982-03-03 Gen Electric Canada Microprocessor watchdog system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4245344A (en) * 1979-04-02 1981-01-13 Rockwell International Corporation Processing system with dual buses
GB2082355A (en) * 1980-08-20 1982-03-03 Gen Electric Canada Microprocessor watchdog system

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Microprocessing & Microprogrammering, Band 21, Nr. 1-5, August 1987, North-Holland, (Amsterdam, NL), R. VOGT: "Improving the Reliability of Bus Systems: Fault Isolation and Fault Tolerance", seiten 333-338 *
Telecom Report, Band 2, Beiheft "Digital-Ubertragungstechnik", 1979, (Passau, DE), C. CHAILLIE et al.: "Fehlerererkennung und Fehlerlokalisierung in Datennetzen", seiten 159-163 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0732654A1 (de) * 1995-03-16 1996-09-18 ABBPATENT GmbH Verfahren zur fehlertoleranten Kommunikation unter hohen Echtzeitbedingungen
US5784547A (en) * 1995-03-16 1998-07-21 Abb Patent Gmbh Method for fault-tolerant communication under strictly real-time conditions
US6542948B1 (en) 1996-05-14 2003-04-01 Gkr Gesellschaft Fur Fahrzeugklimaregelung Mbh Bus system and method of diagnosing subscribers interconnected via said bus-system
US6636100B1 (en) 1999-06-29 2003-10-21 Mitsubishi Denki Kabushiki Kaisha Can controller and one-chip computer having a built-in can controller
US6925581B2 (en) 2000-12-20 2005-08-02 Robert Bosch Gmbh Method and device for monitoring and disconnecting control units in a network and a network

Also Published As

Publication number Publication date
DE58907627D1 (de) 1994-06-09
EP0458781A1 (de) 1991-12-04
KR920702891A (ko) 1992-10-28
EP0458781B1 (de) 1994-05-04
JP2677693B2 (ja) 1997-11-17
KR0129174B1 (ko) 1998-04-15
JPH04503434A (ja) 1992-06-18

Similar Documents

Publication Publication Date Title
DE69433098T2 (de) Vorrichtung zur Übertragung von Daten
DE3942661C2 (de)
WO2009109590A1 (de) Kommunikationssystem mit einem can-bus und verfahren zum betreiben eines solchen kommunikationssystems
DE3136128C2 (de)
EP1648117B1 (de) Verfahren zur Synchronisation in einem redundanten Kommunikationssystem
EP2090031B1 (de) Verfahren und anordnung zur kommunikation auf einem lin-bus
WO1994006080A1 (de) Kommunikationskontrolleinheit und verfahren zur übermittlung von nachrichten
DE10131307B4 (de) Verfahren und Bussystem zum Synchronisieren eines Datenaustausches zwischen einer Datenquelle und einer Steuereinrichtung
DE102004050424A1 (de) Verfahren zur Übertragung von Daten in einem Kommunikationssystem
WO1990009631A1 (de) Verfahren zur überwachung eines computer-netzwerks
DE102008029948A1 (de) Überwachungssystem
WO2007125019A1 (de) Verfahren zur anzeige der qualität einer digitalen kommunikationsverbindung für feldgeräte der automatisierungstechnik
DE10225556A1 (de) Verfahren und Schaltungsanordnung zum Erfassen des Masseversatzes von Teilen eines vernetzten Systems
EP1046109A1 (de) Verfahren und vorrichtung zur synchronisation und überprüfung von prozessor und überwachungsschaltung
EP0965924B1 (de) Anordung und Verfahren zum Übertragen von Adress-, Befehls- und/oder Datentelegrammen
EP0255069B1 (de) Schaltungsanordnung zur seriellen Datenübertragung
WO1989008354A1 (en) Process for controlling and/or monitoring and circuit arrangement for implementing the process
EP1444809B1 (de) Verfahren und Vorrichtung zur Überprüfung der fehlerfreien Funktion von Modulen in einem Bussystem mit einer Zentraleinheit
DE112016006679T5 (de) Steuerungsvorrichtung und Recovery-Verarbeitungsverfahren für Steuerungsvorrichtung
EP0271807A2 (de) Fehlertolerantes Rechensystem und Verfahren zum Erkennen, Lokalisieren und Eliminieren von fehlerhaften Einheiten in einem solchen System
EP1287435B1 (de) Vorrichtung und verfahren zur synchronisation eines systems von gekoppelten datenverarbeitungsanlagen
EP1170903B1 (de) Buswächtereinheit für einen Netzknoten eines zeitgetriggerten Datenkommunikationsnetzes
EP0506214B1 (de) Verfahren zum Betrieb einer Multiplexsteuerung für das Bordnetz eines Kraftfahrzeuges
DE102005001421A1 (de) Datenbustrennschalter und zugehörige Steuergeräteanordnung
EP1161026A2 (de) Kommunikationsverfahren für zwei mittels einer Punkt-zu-Punkt-Verbindung miteinander verbundenen Kommunikationspartner

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): JP KR US

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): AT BE CH DE FR GB IT LU NL SE

WR Later publication of a revised version of an international search report
WWE Wipo information: entry into national phase

Ref document number: 1989902232

Country of ref document: EP

WWP Wipo information: published in national office

Ref document number: 1989902232

Country of ref document: EP

WWG Wipo information: grant in national office

Ref document number: 1989902232

Country of ref document: EP