Verfahren und Vorrichtung zur Überprüfung einer Fehlerüberwachung einer Schaltung
Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Überprüfung einer Fehlerüberwachung einer Schaltung.
Für viele digitale Schaltungen ist eine zuverlässige Überprüfung ihrer Funktionstüchtigkeit außerordentlich wichtig. Beispielsweise müssen solche digitalen Schaltungen zuverlässig in ihrer Betriebstüchtigkeit erkannt werden, die in sicherheitsrelevanten Schaltungen arbeiten, beispielsweise in Steuerungs- oder Regelungseinrichtungen, etwa im Automobilbau. Digitale Schaltungen haben deshalb häufig Fehlerüberwachungseinrichtungen, die die Arbeitsweise der digitalen Schaltung beobachten und beim Vorliegen bzw. Eintreten eines einen Fehler anzeigenden Zustands ein Fehlersignal abgeben. Beispielsweise können redundante Komponenten auf Synchronlauf überwacht werden, und ein Fehlersignal würde entstehen, wenn die Daten in den redundanten Komponenten nicht gleich zueinander sind. Genausogut können Signale an einzelnen Schaltungspunkten abgegriffen werden und auf unerlaubte Zustände abgefragt werden oder ähnliches. Die Fehlerüberwachung kann auch Signale auf Verbindungsleitungen, beispielsweise auf einem Systembus, überwachen und bei einen Fehler anzeigenden Zuständen ein Fehlersignal abgeben,
Da Fehler in digitalen Schaltungen vergleichsweise selten entstehen, werden entsprechende Fehlerüberwachungseinrichtungen vergleichsweise selten tätig werden. Insofern ist praktisch nicht nachprüfbar, ob die Fehlerüberwachung ihrerseits richtig arbeitet.
Aufgabe der Erfindung ist es, ein Verfahren und eine Vorrichtung zur Überprüfung einer Fehlerüberwachung anzugeben, die einfach gestaltet sind und verschiedene Fehlerbedingungen erfassen können.
Diese Aufgabe wird mit den Merkmalen der unabhängigen Ansprüche gelöst. Abhängige Ansprüche sind auf bevorzugte Ausführungsformen der Erfindung gerichtet.
Bevor nachfolgend bezugnehmend auf die Zeichnungen einzelne erfindungsgemäße Ausführungsformen beschrieben werden, sei zur Vermeidung begrifflicher Schwierigkeiten die in dieser Anmeldung verwendete Terminologie erläutert. Die eingangs erwähnte, sicherheitsrelevant eingesetzte und in ihrer Betriebssicherheit zu überprüfende Schaltung wird als "Schaltung" bzw. "digitale Schaltung" bezeichnet. Wenn sie nicht richtig arbeitet, wird dies als "Fehler" bezeichnet. Die Schaltung wird durch eine "Fehlerüberwachung( seinrichtung) " überwacht. Wenn ein Fehler vorliegt, gibt die Fehlerüberwachung ein "Fehlersignal" aus. Erfindungsgemäß wird dieses Fehlersignal bzw. die es erzeugende Fehlerüberwachung durch ein "Verfahren zur Überprüfung" bzw. eine "Vorrichtung zur Überprüfung" auf richtige Arbeitsweise überprüft. Gleich hier wird darauf hingewiesen, daß einerseits die überwachte Schaltung und andererseits die Fehlerüberwachung nicht notwendigerweise diskret und damit getrennt aufgebaut sein müssen. Sie können Komponenten beispielsweise eines Mikroprozessors sein, so daß sie möglicherweise physisch nicht unterscheidbar sind. Jedenfalls aber gibt die Fehlerüberwachung beim Vorliegen eines einen Fehler der Schaltung anzeigenden Zustands das erwähnte Fehlersignal ab, wobei erfindungsgemäß die Fehlerüberwachung überprüft wird. Führt die erfindungsgemäße Überprüfung der Fehlerüberwachung zu dem Ergebnis, daß die Fehlerüberwachung ihrerseits fehlerhaft ist (weil sie das Fehlersignal nicht oder nicht richtig abgibt), erzeugt die erfindungsgemäße Überprüfungsvorrichtung bzw. das erfindungsgemäße Überprüfungsverfahren ein "Alarmsignal" .
Bezugnehmend auf die Zeichnungen werden nun erfindungsgemäße Ausführungsformen beschrieben, es zeigen
Fig. 1 ein Blockschaltbild der erfindungsgemäß vorgesehenen Komponenten,
Fig. 2 ein genaues Schaltbild der erfindungsgemäßen Überprüfungsvorrichtung,
Fig. 3 ein Schaltbild einer Impulsformschaltung für das Fehlersignal,
Fig. 4 Signalverläufe in den Schaltungen der Figuren 2 und 3, und
Fig. 5 eine Beobachtungsschaltung.
Fig. 1 zeigt ein Blockschaltbild einzelner Komponenten. 101 ist die in ihrer Arbeitsweise zu überprüfende Schaltung. Vorzugsweise handelt es sich um eine digitale Schaltung, die beispielsweise über eine Signalleitung 102 mit anderen Komponenten kommunizieren kann. 101 kann aber auch eine analoge Schaltung sein. 103 ist eine Einrichtung zum Hervorrufen eines einen Fehler anzeigenden Zustands. Die Einrichtung 103 kann auf die Schaltung 101 oder auf die Signalleitung 102 einwirken und dort Zustände hervorrufen, die von der Fehlerüberwachung 104 als Fehler erkannt werden müßten. Die Einrichtung 103 kann ihrerseits eine digitale oder analoge Einrichtung sein. Sie kann einen fehlerhaften Betrieb der Schaltung 101 selbst provozieren, oder sie kann mehr oder minder direkt den Eingang der Fehlerüberwachung 104 ansprechen. Die Fehlerüberwachung 104 überwacht die Schaltung 101 auf korrekte Arbeitsweise, indem sie Ausgangssignale und/ oder interne Schaltungspunkte abfragt und auf unerlaubte Zustände oder auch Zeitverläufe überprüft. Fig. 1 kann beispielsweise ein System sein, in dem 101 ein Prozessor ist, 102 ein Bus und 104 eine an den Bus angeschlossene Fehlerüberwachungseinrichtung.
Genauso sind aber auch Aufbauten innerhalb eines einzigen Chips möglich. Auch die Fehlerüberwachung 104 kann analog arbeiten. Vorzugsweise sind aber die Komponenten 101 bis 104 digitale Komponenten.
Liegt ein einen Fehler anzeigender Zustand vor (entweder tatsächlich oder provoziert durch die Einrichtung 103), gibt die Fehlerüberwachungseinrichtung 104 bei richtiger Arbeitsweise ihrerseits ein Fehlersignal 105 ab.
Weiterhin ist eine Überprüfungsvorrichtung 106 vorgesehen. Zusammen mit der Einrichtung 103 kann sie die Funktion der Fehlerüberwachung überprüfen. Bei dem erfindungsgemäßen Verfahren ruft die Einrichtung 103 mittelbar oder unmittelbar einen einen Fehler anzeigenden Zustand hervor. Dieser Zustand muß bei korrekter Arbeitsweise von der Überwachungseinrichtung 104 erkannt werden, so daß nach Hervorrufen des den Fehler anzeigenden Zustands durch die Einrichtung 103 die Überprüfungseinrichtung 104 ein Fehlersignal abgeben muß. Dies wird durch die Überprüfungsvorrichtung 106 überprüft. ird das Fehlersignal 105 auf das Hervorrufen des den Fehler anzeigenden Zustands hin erzeugt, wird kein Alarmsignal 107 ausgegeben. Wird dagegen das Fehlersignal 105 nicht oder nicht richtig oder nicht zum richtigen Zeitpunkt ausgegeben, gibt die Überprüfungseinrichtung 106 das Alarmsignal 107 aus.
Vorzugsweise erfolgt das Hervorrufen des den Fehler anzeigenden Zustands innerhalb einer Torzeit, wobei die Torzeit so bemessen ist, daß in ihr auch das richtig erzeugte Fehlersignal 105 erscheinen muß.
Zur Koordination von Überprüfungsvorrichtung 106 und Einrichtung 103 zum Hervorrufen des den Fehler anzeigenden Zustands können Signalleitungen 108 zwischen ihnen vorgesehen sein, über die beispielsweise ein die Torzeit anzei-
gendes digitales Signal ausgetauscht werden kann. Die Komponenten können aber auch beispielsweise durch die Schaltung 101 über Signalleitungen 109 koordiniert werden.
Auch hier wird nochmals darauf hingewiesen, daß die bisher angesprochenen Komponenten nicht diskret vorgesehen sein müssen. Fig. 1 kann als Darstellung von Funktionen verstanden werden, die innerhalb einer Schaltung, innerhalb eines Chips durch Hardware oder teilweise auch durch Software implementiert sein können. Vorzugsweise aber ist die erfindungsgemäße Überprüfungsvorrichtung 106 eine digitale Schaltung, während Schaltung 101, Einrichtung 103 und Überwachungseinrichtung 104 analoge Schaltungen sein können.
Bezugnehmend auf Fig. 2 wird eine konkrete, durch Hardware gebildete Ausführungsform der Überprüfungsvorrichtung 106 beschrieben. Fig. 2 zeigt vier D-Flip-Flops 201 bis 204. Drei von ihnen (201 bis 203) sind ringförmig derart verschaltet, daß der Q-Ausgang des einen Flip-Flops jeweils am D-Eingang des anderen Flip-Flops liegt. Die ringförmige Ver- schaltung erfolgt über die Leitungen 208.
Die D-Flip-Flops sind Kippschaltungen, die den am D-Eingang anliegenden digitalen Zustand dann übernehmen, wenn an ihrem Takteingang CLK z.B. eine steigende Flanke eines digitalen Signals auftritt. Durch Preset-Eingänge PRE und Clear-Ein- gänge CLR kann ein D-Flip-Flop nach Maßgabe externer Signale unabhängig vom Takteingang CLK in seinem Ausgang Q auf entweder logisch 1 oder logisch 0 gesetzt werden.
Um die erfindungsgemäße Überprüfung des Fehlersignals durchführen zu können, werden die ringförmig verschalteten Flip- Flops 201 bis 203 einerseits durch unterschiedliche Taktsignale getaktet (= zum Übernehmen des Signals am D-Eingang auf den Q-Ausgang veranlaßt), und sie werden in bestimmter Weise initialisiert. Eines der Flip-Flops (201, nachfolgende
als erstes Flip-Flop bezeichnet) wird zu Beginn der Torzeit und insbesondere durch eine geeignete Flanke des die Torzeit anzeigenden Signals 206 getaktet. Die danach folgenden Flip- Flops (202, 203, nachfolgend als zweites und drittes Flip- Flop bezeichnet) werden nach Maßgabe des Fehlersignals 105 durch ein Signal 207 getaktet. Das Torzeitsignal 206 kann ein digitales Signal sein, das mit dem einen Zustand den Zeitraum innerhalb der Torzeit und mit dem anderen Zustand den Zeitraum außerhalb der Torzeit anzeigt. Das erste Flip- Flop 201 wird durch das Torzeitsignal 206 so angesteuert, daß das Flip-Flop 201 zu Beginn der Torzeit das Eingangssignal übernimmt.
Das Fehlersignal 105, das durch die Überprüfungsvorrichtung zu überprüfen ist, kann beispielsweise ein bistabiles Signal sein, das bei jedem Fehler (realer oder provozierter Fehler) seinen Zustand einmal ändert und damit zu einer steigenden oder fallenden Flanke führt. Eine Flanke zeigt dann einen Fehler an. Das zweite und das dritte D-Flip-Flop 202, 203 werden so angesteuert, daß sie bei jedem Fehler den Zustand an ihrem D-Eingang an den Q-Ausgang übernehmen. Wenn das Fehlersignal 105 das bistabile Signal ist und die D-Flip- Flops nur auf steigende Flanken reagieren, muß durch eine geeignete Signalaufbereitung sichergestellt werden, daß jede Flanke (steigend oder fallend) des Fehlersignals 105 zu einer steigenden Flanke zur Triggerung der Takteingänge CLK des zweiten und des dritten D-Flip-Flops 202, 203 führt. Dies kann beispielsweise durch eine Signalaufbereitungsschaltung nach Fig. 3 erfolgen. Diese Schaltung, deren Funktion später erläutert wird, empfängt das eigentliche Fehlersignal 105 und gibt ein Taktsignal 207 für die D-Flip-Flops 202, 203 aus.
Die Ausführungsform nach Fig. 2 weist außerdem eine Initialisierungseinrichtung 209, 210 auf, die die Zustände der einzelnen Flip-Flops anfänglich in geeigneter Weise setzt. Die Initialisierungseinrichtung 209, 210 sind Signale bzw. Verbindungen, die auf die Preset-Eingänge bzw. Clear-Eingän- ge der Flip-Flops einwirken. Die Flip-Flops werden anfänglich so gesetzt, daß das dritte Flip-Flop 203 am Ausgang Q3 den einen digitalen Pegel (0 oder 1) hat, während die anderen zwei Flip-Flops 201, 202 so gesetzt werden, daß sie den entsprechend anderen digitalen Pegel (1 oder 0) haben. Das später zu erläuternde vierte D-Flip-Flop 4 wird durch die Initialisierungseinrichtung 209, 210 auf den gleichen Wert gesetzt wie das dritte D-Flip-Flop 203.
Die Ausführungsform nach Fig. 2 ist so gestaltet, daß das zu überprüfende Signal - das Fehlersignal 105 - die Schaltung taktet. Die Schaltung ist so gestaltet, daß, solange das Fehlersignal 105 in richtiger Weise erzeugt wird, der anfänglich eingestellte Zustand, wonach Q3 einen anderen Pegel hat als Ql und Q2 , erhalten bleibt, weil er durch die schleifenförmige Struktur (D-Flip-Flops 202-203 und Leitungen 208) nicht "vergessen" wird. Das gewünschte Alarmsignal wird am Ausgang Q2 des zweiten Flip-Flops 202 und/oder am Ausgang Q3 des dritten Flip-Flops 203 abgegriffen.
In der Ausführungsform der Fig. 2 wird der Ausgang Q3 des dritten Flip-Flops 203 auf den D-Eingang eines vierten Flip- Flops 204 gegeben. Dieses vierte Flip-Flop 204 wird zum Ende der Torzeit getaktet. Sein Ausgang wird mit dem Ausgang Q2 des zweiten Flip-Flops EXOR-verknüpft . Dadurch ergibt sich das Alarmsignal 107c.
Nachfolgend wird die Wirkungsweise der Schaltung in verschiedenen Betriebszuständen beschrieben. Die Fehlerüberwachung 104 kann einerseits richtig arbeiten, dann wird beim Erscheinen eines einen Fehler anzeigenden Zustands ein Feh-
lersignal ausgegeben. Es können aber auch unrichtige Betriebsweisen auftreten, nämlich
es erscheint kein Fehlersignal, es erscheinen mehrere Fehlersignale.
Die zuletzt genannte Möglichkeit kann verschiedene Ausgestaltungen haben: Das einem ersten Fehlersignal folgende weitere Fehlersignal kann innerhalb oder außerhalb der Torzeit liegen. Außerdem muß das weitere Fehlersignal nicht unbedingt auf eine Fehlfunktion der Fehlerüberwachung zurückzuführen sein. Vielmehr kann es einen tatsächlichen (nicht provozierten) Fehler der Schaltung 101 anzeigen.
Nachfolgend wird bezugnehmend auf die Figuren 4 und 2 der Betrieb der Ausführungsform nach Fig. 2 beschrieben. Das erfindungsgemäße Überprüfungsverfahren wird wiederholt, beispielsweise periodisch in Zeitabständen Tp ausgeführt. Vor dem Beginn dieser wiederholten Ausführung wird die Schaltung initialisiert. Hierzu werden durch einen geeigneten Impuls RES 401 die vorhandenen D-Flip-Flops wie oben beschrieben gesetzt. Anschließend wird beispielsweise periodisch mit Periodendauer Tp eine Torzeit gesetzt, die durch das Torzeit- Signal TOR 402 angezeigt wird. Die Torzeit Ti ist kürzer als die Periodendauer Tp. Die zeitliche Lage der Torzeit
(logisch 0 in Signal 402) wird so gewählt, daß in ihr das Fehlersignal, das durch die Einrichtung 103 "provoziert" wird, erscheinen muß. Vorzugsweise wird zu Beginn der Torzeit durch die Einrichtung 103 der den Fehler anzeigende Zustand hervorgerufen, so daß kurz danach das Fehlersignal 105 auftreten müßte. Das Fehlersignal 105 ist als Signal IN in Fig. 4 gezeigt. Wie oben beschrieben ist es in dieser Ausführungsform ein bistabiles Signal, das bei einem Fehler sich einmal ändert.
Die Impulsformschaltung aus Fig. 3 wandelt das Signal IN 105 in das Signal INP 207 um. Pro Flanke (steigend oder fallend) des Signals IN 105 hat das Signal INP 207 einen Impuls 414 mit je einer steigenden und fallenden Flanke. Damit können Flip-Flops angesteuert werden, die nur auf eine der beiden Flanken (steigend oder fallend) ansprechen. Zweck der Impulsformschaltung ist es somit allgemein, pro Fehler eine Taktung der Flip-Flops zu bewirken. Wenn das Fehlersignal schon entsprechend gestaltet ist oder die Flip-Flops beispielsweise auf steigende und fallende Flanken reagieren, kann die Impulsformschaltung nach Fig. 3 entfallen.
Flip-Flop 1 wird zu Beginn der Torzeit getriggert. Es übernimmt dadurch den Pegel an seinem D-Eingang. Im gezeigten Beispiel springt der Ausgang dann von 0 auf 1. Etwas später tritt das Fehlersignal IN 105 und das davon abgeleitete Impulssignal INP 207 mit dem Impuls 414 auf, es triggert/ taktet Flip-Flops 202 und 203, so daß diese jeweils ihre Eingänge an den Ausgang weiterschalten. Flip-Flop 202 übernimmt daher den 1-Pegel an seinem Ausgang, und Flip-Flop 3 übernimmt den (vorher vorhandenen) 0-Pegel an seinem Ausgang. Da die Flip-Flops 202 bis 204 lediglich auf eine Flanke reagieren (in der gezeigten Ausführungsform die steigende), passiert zum Ende der Torzeit bzw. zum Ende des Impulses 414 nichts. Die Zeitdauer T des Impulses 414 ist vorzugsweise so gewählt, daß sie kürzer ist als die Torzeit. Durch die oben beschriebenen Vorgänge ist ein einmaliger Überprüfungsvorgang bei richtiger Arbeitsweise der Fehlerüberwachung abgeschlossen. Das Ergebnis ist, daß sich die Ausgänge Ql bis Q3 in ihrem logischen Pegel geändert haben. Gleichwohl ist der anfänglich initialisierte Zustand, wonach Flip-Flop 3 einen Ausgangspegel hat, der sich von denen von Flip-Flop 1 und Flip-Flop 2 unterscheidet, erhalten. Nach einer weiteren Torzeit drehen sich die Verhältnisse abermals um, und der durch die Initialisierung eingestellte Zustand liegt wieder vor. Bei richtiger Arbeitsweise der Fehlerüber-
wachung wechseln sich die genannten Zustände demnach ab, und der alarmfreie Zustand wird damit durch ein Signal angezeigt, in dem sich die Ausgänge der Flip-Flops, insbesondere des zweiten und des dritten Flip-Flops 202, 203 regelmäßig ändern. Die beschriebenen Verhältnisse sind im Teil A der Fig. 4 gezeigt.
Teil B in Fig. 4 zeigt den Fall, daß kurz hintereinander zwei Fehlersignale auftreten. Die Schaltung verhält sich hier zunächst so wie weiter oben besprochen. Beim Auftreten des zweiten Fehlersignals (fallende Flanke im Signal IN in Fig. 4, B, bzw. zweiter Impuls im Signal INP in Fig. 4, B, übernehmen jedoch abermals die Flip-Flops 202 und 203 ihre jeweiligen Eingangswerte an ihren Ausgang. Da hier jedoch (wegen des nicht vorhandenen Torzeit-Taktes) der einzig unterschiedliche Pegel bei Q3 nicht an Ql weitergegeben wurde, wird der "unterschiedliche" Zustand vergessen, weil Q3 und Q2 jeweils mit dem Pegel 1 überschrieben werden. Dadurch haben alle Ausgänge Ql, Q2 und Q3 den gleichen logischen Wert 1, der sich auch durch nachfolgende Taktungen nicht mehr ändern kann. Es entsteht dadurch ein konstantes Ausgangssignal, auch nach weiteren Taktungen.
Ein in den Figuren nicht gezeigter Fall ist das Ausbleiben eines Fehlersignals IN 105. Dies hat zur Folge, daß die Flip-Flops 202, 203 nicht getaktet werden. Unabhängig davon, was Flip-Flop 201 macht, bleiben die Ausgänge Q2 und Q3 der Flip-Flops 202, 203 auf konstantem Pegel.
Das vierte Flip-Flop 204 ist vorgesehen, um die Fälle festzustellen, in denen ein Fehlersignal (Flanke im Signal IN 105 bzw. Impuls 414 im Signal INP 207) nach dem Ablauf der Torzeit eintrifft. Nach dem Initialisieren hat Q4 den Wert 1 und das EXOR-Gatter 205 den Wert 1. Ändert sich nach Beginn der Torzeit der Pegel des Fehlersignals IN 105, nimmt Q2 den Wert 1 an, und EXOR-Gatter 205 geht auf 0. Am Ende der Tor-
zeit (steigende Flanke des Torzeit-Signals TOR 402) übernimmt das vierte Flip-Flop 204 den Wert 0 an seinen Ausgang, und Gatter 205 wechselt von 0 auf 1. Dadurch ändert sich der Pegel. Bleibt dagegen ein Wechsel des Fehlersignals IN 105 während der Torzeit aus, ändert sich der Ausgangspegel des Gatters 205 nicht, so daß abermals durch ein konstantes Signal ein ungünstiges Überprüfungsergebnis angezeigt wird. Wechselt das Fehlersignal IN 105 während der Torzeit mehrfach, wird Q3 am Ende der Torzeit nach Q4 übernommen, so daß sich der Ausgang des Gatters 205 nicht ändert und das Signal 107c abermals konstant bleibt.
Läuft schließlich ein Fehlersignal nach Ende der Torzeit ein (Fall E in Fig. 4), übernimmt abermals Q3 den Wert von Q2, ohne daß vorher der einzig unterschiedliche Ausgangswert von Q3 in Ql gesichert worden wäre. Dadurch hat die Schleife die unterschiedliche Gestaltung der Ausgangspegel "vergessen", und beim nachfolgenden Überprüfungsdurchlauf (nächste Torzeit) findet abermals kein Pegelwechsel an den Ausgängen Ql bis Q3 statt, so daß durch ein konstantes Ausgangssignal ein Alarm angezeigt wird.
Die Ausführungsform der Fig. 2 ist so gestaltet, daß sie das Fehlersignal 105 und das Alarmsignal 107 derart zusammenfaßt, daß insgesamt lediglich das Alarmsignal 107 ausgegeben wird. Es zeigt einen Alarm sowohl dann an, wenn die Fehlerüberwachung 104 nicht richtig arbeitet, als auch dann, wenn die Fehlerüberwachung 104 richtig arbeitet und einen Fehler der Schaltung 101 feststellt. Der letztgenannte Fall entspricht dabei den Fällen, in denen mehrere Fehlersignale auftreten. In jedem Fall (beide Fehlersignale innerhalb der Torzeit oder eines innerhalb und das andere außerhalb der Torzeit), wird ein Alarmsignal generiert. Für den unwahrscheinlichen Fall, daß ein auf einem tatsächlichen Fehler beruhendes Fehlersignal mit einem provozierten Fehlersignal zeitlich zusammenfällt, kann davon ausgegangen werden, daß
das tatsächliche Fehlersignal später nochmals entsteht, so daß es später abermals erfaßt werden kann. Bei dieser Ausführungsform ist es nicht notwendig, die durch den durch die Einrichtung 103 ausgelösten provozierten Fehler hervorgerufene Fehlermeldung/Fehlersignal 105 als "nur provoziert" herauszufiltern. Im Alarmsignal 107 taucht der provozierte Fehler nicht auf.
In der Ausführungsform der Fig. 2 bedeutet demnach ein sich wiederholt änderndes Signal auf der Leitung 107c den fehlerfreien Betrieb, während ein über längere Zeit konstantes Signal eine Alarmbedingung bedeutet, wobei diese Alarmbedingung entweder Fehler in der Schaltung 101 oder Fehler in der Fehlerüberwachung 104 bedeuten kann. Eine Unterscheidung dieser beiden Fehler ist nicht notwendig, da in jedem Fall die Schaltung insgesamt zu überprüfen ist.
Um zu einem einfacher handhabbaren Alarmsignal 107 zu kommen, kann das Signal 107c (Ausgang des EXOR-Gatters 205) beispielsweise an eine Signalbeobachtungsschaltung 501 (Fig. 5) angelegt werden. Die Schaltung kann nach Art einer "Watchdog" -Schaltung ausgebildet sein. Sie gibt am Ausgang 502 so lange den einen Pegel aus, so lange sie am Eingang 107c ein sich regelmäßig änderndes Signal empfängt. Bleibt die regelmäßige Änderung dagegen aus, geht sie vom einen auf den anderen Zustand über, wobei dieser andere Zustand dann ein weiteres Alarmsignal darstellt. Dadurch kann durch einfache Betrachtung des Pegels des Signals 502 auf das Vorliegen bzw. Nichtvorliegen eines Alarms/Fehlers geschlossen werden. Die Zeitkonstanten der "Watchdog"-Schaltung werden vorzugsweise so gestaltet, daß rechtzeitige Pegeländerungen als "gut" und ausbleibende und/oder verfrühte und/oder verspätete Pegeländerungen als "schlecht" erkannt werden.
Die Impulsformschaltung 301 bis 304 in Fig. 3 arbeitet wie folgt: Zu Beginn der Signalüberprüfung wird in Initialisie-
rungsschritt die Schaltung mittels des Reset-Signals RES 401 zurückgesetzt. Flip-Flop 301 dient zusammen mit dem Gatter 303 als Flankendetektor. Jede Änderung am Eingang IN (steigende und fallende Flanke) erzeugt am Ausgang INP einen Impuls 414. Der invertierte Ausgang QN des Flip-Flops wird durch das Reset-Signal RES 401 auf den gleichen Pegel wie das Eingangssignal IN 105 gebracht. Ausgang INP 207 hat durch die EXOR-Verknüpfung 303 den Wert 0. Ändert das Eingangssignal/Fehlersignal IN 105 seinen Pegel, entsteht am Ausgang INP 207 eine steigende Flanke, die das Flip-Flop 301 taktet. Das Flip-Flop 301 ist als Frequenzteiler geschaltet, und der invertierende Ausgang QN wechselt seinen Wert. Damit hat das EXOR-Gatter 303 wieder zwei gleiche Eingangspegel, und sein Ausgang INP 207 kehrt auf 0 zurück.