WO2006045788A1 - Verfahren und vorrichtung zur modusumschaltung und zum signalvergleich bei einem rechnersystem mit wenigstens zwei verarbeitungseinheiten - Google Patents

Verfahren und vorrichtung zur modusumschaltung und zum signalvergleich bei einem rechnersystem mit wenigstens zwei verarbeitungseinheiten Download PDF

Info

Publication number
WO2006045788A1
WO2006045788A1 PCT/EP2005/055516 EP2005055516W WO2006045788A1 WO 2006045788 A1 WO2006045788 A1 WO 2006045788A1 EP 2005055516 W EP2005055516 W EP 2005055516W WO 2006045788 A1 WO2006045788 A1 WO 2006045788A1
Authority
WO
WIPO (PCT)
Prior art keywords
comparison
signal
signals
processing units
analog
Prior art date
Application number
PCT/EP2005/055516
Other languages
English (en)
French (fr)
Inventor
Bernd Mueller
Eberhard Boehl
Original Assignee
Robert Bosch Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from DE102004051950A external-priority patent/DE102004051950A1/de
Priority claimed from DE200410051964 external-priority patent/DE102004051964A1/de
Priority claimed from DE200410051937 external-priority patent/DE102004051937A1/de
Priority claimed from DE102004051952A external-priority patent/DE102004051952A1/de
Priority claimed from DE200410051992 external-priority patent/DE102004051992A1/de
Priority claimed from DE200510037238 external-priority patent/DE102005037238A1/de
Application filed by Robert Bosch Gmbh filed Critical Robert Bosch Gmbh
Priority to EP05797174A priority Critical patent/EP1810148A1/de
Priority to US11/666,175 priority patent/US20080270746A1/en
Priority to JP2007537298A priority patent/JP2008518306A/ja
Publication of WO2006045788A1 publication Critical patent/WO2006045788A1/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/183Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1679Temporal synchronisation or re-synchronisation of redundant processing components at clock signal level
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/76Architectures of general purpose stored program computers
    • G06F15/78Architectures of general purpose stored program computers comprising a single central processing unit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1654Error detection by comparing the output of redundant processing systems where the output of only one of the redundant processing components can drive the attached hardware, e.g. memory or I/O
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1695Error detection or correction of the data by redundancy in hardware which are operating with time diversity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/845Systems in which the redundancy can be transformed in increased performance

Definitions

  • a method for detecting errors in a comparison mode is described in Wo 01/46806 A1.
  • the data is processed and compared in parallel in a processing unit with two processing units ALUs.
  • both ALUs work there independently of each other until the faulty data have been removed and a repeated (partially repeated) redundant processing can be carried out. This presupposes that both ALUs work synchronously with each other and that the results can be compared in exact time.
  • Voting systems are known from the aircraft industry, which can use inputs from standard computers and process them safely by a majority decision and thus trigger safety-relevant actions.
  • a system that combines inter-processing unit and inter-control-unit communication is the FME system, which maintains the system still operational by a high degree of redundancy even in the case of single or even multiple faults and by the DASA for Space has been developed (Urban, et al: A survivable avionics System for Space applications, Int. Symposium on Fault-tolerant
  • a method for switching and signal comparison is used in a computer system having at least two processing units, wherein switching means are provided and switched between at least two operating modes, wherein Comparison means are provided and a first mode of operation corresponds to a comparison mode and a second mode of operation a performance mode, characterized in that at least two analog signals of the processing units are compared such that a difference is formed depending on these signals.
  • a method is used in which the analog signals are synchronized within a predefinable tolerance.
  • a method is used in which at least one analog signal is output by the processing unit for a predeterminable time, in order to produce both analogue signals
  • a method is used in which a difference is formed for comparing the analog signals from a first analog signal of a first processing unit and a second analog signal of a second processing unit.
  • a method is used in which at least one comparison unit outputs validity information in addition to the analog signal and the analog signals are only compared in dependence on this validity information.
  • a method is used in which the difference is compared with a predefinable reference signal.
  • a method is used in which, depending on the comparison, a signal is generated which represents the comparison result.
  • a method is used in which an error signal is generated as a function of the comparison.
  • a method is used in which at least one analog signal is digitally converted, stored for a predefinable time, and for the comparison - A -
  • the difference comparison means is designed as a comparator, in particular as a differential amplifier.
  • a device for switching and for signal comparison is used in a computer system having at least two processing units, wherein switching means are provided and switched between at least two operating modes, wherein comparison means are provided and a first operating mode corresponds to a comparison mode and a second operating mode corresponds to a performance mode, characterized in that a difference comparison means is provided, which is designed such that at least two analog signals of the processing units are compared such that a difference is formed depending on these signals.
  • a device is used in which the analog signals are synchronized within a predefinable tolerance.
  • a device is used in which a reference signal source is contained.
  • a device in which at least one additional comparison means is included, which is designed such that the difference is compared with a reference signal of a reference signal source.
  • the additional comparison means is designed as a comparator which is connected to two resistors and these resistors are in a fixed relationship to a level of the reference signal.
  • FIG. 1 shows the basic function of a switching and comparison unit for two processing units
  • FIG. 1a shows a generalized representation of a comparator
  • FIG. 1c shows an expanded representation of a comparator
  • Figure Ib shows a generalized representation of a switching and comparison unit
  • FIG. 2 shows a more detailed representation of the switching and comparison unit for two processing units
  • FIG. 3 shows a possible realization of a switching and comparison unit for two processing units
  • FIG. 4 shows a more detailed representation of a switching and comparison unit for more than two processing units
  • FIG. 5 shows a possible implementation of a switching and comparison unit for more than two processing units
  • FIG. 6 shows a possible realization of a control register
  • FIG. 7 shows a voting unit for central voting
  • FIG. 8 shows a voting unit for decentralized voting
  • FIG. 9 shows a synchronization element
  • Figure 10 shows a handshake interface
  • FIG. 11 shows a differential amplifier
  • FIG. 12 shows a comparator for positive voltage difference
  • FIG. 13 shows a comparator for negative voltage difference
  • Figure 14 shows a circuit for storing an error
  • Figure 15 shows an analog-to-digital converter with output registers
  • FIG. 16 shows the representation of a digitally converted analog value with kung and analog bit
  • FIG. 17 shows the representation of a digital value as a digital word with digital bit
  • An execution unit or processing unit may refer in the following to a processor / core / CPU as well as an FPU (floating point unit), DSP (digital signal processor), coprocessor or ALU (Arithmetic Logical Unit).
  • FPU floating point unit
  • DSP digital signal processor
  • ALU Arimetic Logical Unit
  • each processing unit should be able to operate with its own clock, i.
  • the execution of identical tasks for the purpose of comparison can also work asynchronously to each other.
  • This object is achieved in that a universal, widely deployable IP is created, which allows switching of the operating modes (eg comparison, performance or voting mode) at arbitrary times without previously switching off the processing units and possibly the comparison or the voting of each other manages asynchronous data streams.
  • This IP may be implemented as a chip, or it may be integrated with one or more processing units on a chip. It is not further
  • a WAIT signal is usually provided. If an execution unit does not have a wait signal, it can also be synchronized via an interrupt.
  • the synchronization signal (for example, M 140 in FIG. 2) is not routed to a wait input, but is set to an interrupt.
  • This interrupt must have a sufficiently high priority over the processing program and also against other interrupts to interrupt normal operation.
  • the associated interrupt routine only executes a certain number of NOPs (empty commands with no effect on data) before jumping back into the interrupted program, thereby delaying further processing of the processing program. If need be in the interrupt routine nor the usual memory operations are made at the beginning and at the end, so as not to interfere with the normal program execution by the interrupt.
  • Isochronous and in particular phase match with other processing units can be guaranteed only conditionally with this method. It is therefore recommended that when using the interrupt signal for synchronization, the data to be compared is temporarily stored in the UVE before being compared.
  • the advantage of the invention is that any commercially available standard structures can be used, because no additional signals are needed (no interference with the hardware structure) and any output signals of these components can be monitored, which are for example used directly to drive actuators. This includes the verification of transducer structures such as DACs and PWMs, which were previously used after the
  • any access to a (e.g., external) memory can be monitored, or even just driving external VO modules.
  • Internal signals can be checked via the software-controlled additional output to the switching module on the external data and / or address bus.
  • All control signals for the comparison operations are generated in the preferably programmable switching and voting unit and the comparison also takes place there.
  • the processing units eg processors
  • whose outputs are compared can use the same program, a duplicate program (which also allows detection of memory access errors), or a diversified software error detection program. In this case, not all signals provided by the processing units must be compared with each other, but it is also possible by means of an identifier (address or control signals) certain signals for the
  • This identifier is evaluated in the switching and comparison device and thus controlled the comparison.
  • Separate timers monitor deviations in the time response beyond a specifiable limit.
  • Some or even all modules of the switching and comparison unit can be integrated on a chip, be housed on a common board or spatially separated.
  • the data and control signals are exchanged with each other via suitable bus systems.
  • On-site registers are then described via the bus system and control the operations by means of the data and / or addresses / control signals stored therein.
  • FIG. 1 shows the basic function of the switching unit BO1 according to the invention for the
  • the switching unit includes at least one control register B 15 having at least one binary bit memory element (bit) B 16 which switches the mode of the comparison unit.
  • B16 can take at least the two values 0 and 1 and can be detected both by the signals B20 or B21 of the processing units or by internal processes of the
  • Switching unit set or reset.
  • the changeover unit operates in comparison mode. In this mode, all the incoming data signals from B20 are compared with the data signals from B21, provided that certain predeterminable comparison conditions of the control and / or address signals from the signals B20 and B21 are met, the validity of the data and the intended comparison for this data signal.
  • Processing unit B21 or B20 is met. In this case, the comparison is carried out and the corresponding synchronization signal is reset.
  • Processing unit provides the corresponding comparison data. 1, one of the signals B40 or B41 can be dispensed with if it is always ensured that the associated processing unit does not provide comparison data before the other processing unit.
  • the comparison component M500 can receive two input signals M510 and M511. It then compares these to equality, in the context presented here, preferably in the sense of a bit-wise equality. If it detects inequality, the error signal M530 is activated and the signal M520 is deactivated. In the same case, the value of the input signals M510, M511 is given to the output signal M520 and the error signal M530 is not active, ie it signals the 'Guf' state. From this basic system, a variety of advanced embodiments are conceivable. First, the component M500 can be executed as a so-called TSC component (totally seif checking).
  • the error signal M530 will be on at least two lines It is ensured by means of internal design and fault detection measures that in every possible case of error of the comparison component this signal is correct or recognizable incorrectly
  • a preferred embodiment in the use of the system according to the invention is one TSC comparator to use.
  • a second class of embodiments can be distinguished as to what degree of synchronicity the two inputs M510, M511 (or M610, M611) must have.
  • One possible variant is characterized by intermittent synchronicity, i. the comparison of the data can be done in one cycle.
  • intermittent synchronicity i. the comparison of the data can be done in one cycle.
  • phase offset is useful to avoid common cause errors, i. these are errors that can affect multiple processing units simultaneously.
  • component M640 which delays the previous input by the phase offset, is therefore inserted beyond the components in FIG.
  • this delay element is accommodated in the comparator to use this element only in the comparison mode.
  • intermediate buffers can be placed in the input chain. Preferably, these are designed as FIFO memory. If such a buffer exists, one can also tolerate asynchronisms up to the maximum depth of the buffer. In this case, an error signal must be output even if the buffer overflows.
  • M520 or M620
  • a preferred embodiment is to put the input signals M510, M511 (or M610, M611) on the output and to make the connection interruptible by switches.
  • the particular advantage of this variant is that the same switches can be used to switch between the performance mode and possible different comparison modes.
  • the signals can also be generated from internal comparator buffers.
  • a final class of embodiments may be distinguished as to how many inputs are present on the comparator and how the comparator should react. With three inputs, a majority voting, a comparison of all three or a comparison of only two signals can be made. With four or more inputs, correspondingly more variants are conceivable.
  • These variants are preferably to be coupled with the various operating modes of the overall system.
  • a generalized representation of a switching and comparison unit is shown in FIG. 1b, as it is to be preferably used.
  • n signals N140,..., N14n go to the switching and comparison component N100. This can be up to n output signals N160, ...,
  • N16n Generate N16n from these input signals.
  • the "pure performance mode” all signals N14i are directed to the corresponding output signals N16i.
  • the "pure comparison mode” all signals N140, ..., N14n are directed to exactly one of the output signals N16i ,
  • This figure shows how the various conceivable modes can arise.
  • the logical component of a switching logic Nl 10 is included in this figure.
  • the component does not have to exist as such, it is crucial that its function is present. It first determines how many output signals there are.
  • the switching logic NI lO determines which of the input signals contribute to which of the output signals.
  • the circuit logic defines a function that assigns an element of the set ⁇ N160, ..., N16n ⁇ to each element of the set ⁇ N140, ..., N14n ⁇ .
  • the function of the processing logic N120 determines to which of the outputs N16i the form in which the inputs contribute to this output signal. Also, this component does not have to exist as a separate component. It is again crucial that the functions described are implemented in the system. By way of example, to describe the various possible variations, it is assumed without loss of generality that the output N 160 is generated by the signals N141, ..., N 14m. If m
  • a first possibility is to compare all signals and to detect an error in the presence of at least two different values, which can be optionally signaled.
  • a second possibility is to make a k out of m selection (k> m / 2). This can be realized by using comparators.
  • an error signal can be generated if one of the signals is detected as deviating.
  • a possibly different error signal can be generated if all three signals are different.
  • a third option is to apply these values to an algorithm.
  • This may be, for example, the formation of an average, a median, or the use of a Fault Tolerant Algorithm (FTA).
  • FTA Fault Tolerant Algorithm
  • Such an FTA is based on eliminating extreme values of the input values and performing a kind of averaging over the remaining values. This averaging can be done over the entire set of residual values, or preferably over a subset that is easy to form in HW. In this case, it is not always necessary to actually compare the values. For example, averaging only adds and divides, FTM, FTA, or median require partial sorting. If necessary, an error signal can optionally also be output at sufficiently large extreme values
  • Processing logic i.e., the determination of the comparison operation per output signal, i.e. per function value
  • This information is of course multivalued in the general case, i. not just a logical bit. Not all the theoretically conceivable modes are useful in a given implementation, it is preferable to restrict the number of modes allowed. It should be emphasized that in the case of only two execution units, where there is only one compare mode, all the information can be condensed to only one logical bit.
  • Switching from a performance mode to a comparison mode is characterized in the general case by the fact that execution units that are displayed in the performance mode on different outputs are mapped in the compare mode to the same output.
  • this is realized in that there is a subsystem of execution units in which in the performance mode all input signals N14i to be considered in the subsystem are switched directly to corresponding output signals N16i, while in the compare mode all are mapped to one output are.
  • switching can also be realized by changing pairings. It is represented by the fact that in the general case one can not speak of the performance mode and the comparison mode, although in a given form of the invention one can restrict the set of allowed modes such that this is the case. But you can always switch from performance to performance
  • the switching is triggered, for example, by the execution of special switching instructions, special instruction sequences, explicitly marked instructions or by accessing specific addresses by at least one of the
  • FIG. 2 shows a detailed two-processor or two ⁇ C system with a switching and comparison unit M100 according to the invention, in which optionally also different signals can be dispensed with. It consists of two
  • Processing units MIlO, Ml I l and a switching and comparison unit M100. From each processing unit, data signals (M120, M121) and address / control signals (M130, M131) go to the switching unit, and each processing unit optionally also receives data from the switching unit (M150, M151) and control signals (M140, M141).
  • the unit M100 outputs data (M160, M161) and status information M169 and receives signals such as e.g. Data (M170, M171) and control signals M179, which can also be forwarded to the processing units.
  • the operating mode of the unit M100 can be set independently of the processing units; likewise, the processors may be connected through the outputs M120, M121 (e.g., data bus) and the control and address signals M130, M131 (e.g., Write) in the unit M100
  • status information M169 In a faulty comparison of the signals in the comparison mode is an error signal is generated and signaled to the outside (eg via double-rail signals: fail-safe) (part of status information M169). Status M169 may also include the operating mode or information about the skew of the execution unit signals. In the case of non-provision of comparison data of a processing unit in a predetermined (programmable) time interval is the
  • Error signal also activated.
  • the outputs M 160, M161 can be disabled (fail silent behavior). This can affect both digital and analog signals.
  • these output driver stages can also output the instantaneous (non-buffered) output signals M120, M121 of a processing unit, with the possibility of subsequent error detection. This is tolerated by a safety relevant system as long as the fault tolerance time is not exceeded, i. the time that a (sluggish) system does not yet catastrophically react to errors and therefore there is still the possibility of correction.
  • output signals M 180, Ml 81 which are not led to the UVE and internal signals of a processing unit, can be compared at least with respect to their calculated value by outputting this value on the outputs M 120, M121 for the purpose of comparison.
  • input signals M 190, M 191 which do not come via M100.
  • selected or also all signals M 160, M 161 to read them back via M 170, M 171 or also M 190, M 191. In this way, it is also possible to ensure in the comparison mode that erroneous signals from the unit M100 are detected.
  • a suitable switch-off path to which (in an OR link) M100, M10, M11 have access, a fail-silence behavior of the entire system can thus be established.
  • FIG. 3 shows a possible implementation of the switching and comparison unit M100 from FIG. 2 in detail.
  • the unit M100 contains a control register M200 with at least one bit representing the mode (performance / comparison) and a status register M220 with at least one bit representing the error status in comparison mode.
  • the wait and interrupt signals are from other bits in the control register for both
  • Controlled processing units It may also be necessary to differentiate between different interrupts, for example for synchronization purposes, for preparing for the operating mode switches and for error handling.
  • control registers such as M240, which contains the maximum permitted time difference (in number of clock periods) between the processing units for controlling an internal or external watchdog, and M241 with the time difference value (clock cycle number), from which the fastest processor is assigned by means of WAIT or interrupt signals should be temporarily stopped or delayed, for example, to prevent overflow of data registers.
  • At least one timer M230 is always started by a processing unit when a data item specially identified (via address and control signals, e.g., a specific address range) is first provided and the value of the timer is transferred to the status register whenever the corresponding data value is provided by the second processing unit.
  • the timer is preferably set so that even with different program sequences corresponding to the WCET (worst case execution time) all processing units must supply a date. If the preset value is exceeded by the timer, an error signal is output.
  • the outputs M120, M121 of the processing units are to be stored in M100, in particular for the comparison mode in a buffer memory M250, M251, as far as they are digital data and can not be provided in a clock-accurate manner.
  • this memory may be implemented as a FIFO. If this memory has only a depth of 1 (register), then e.g. Wait signals are used to delay the output of further values until the comparison has been made in order to avoid data loss.
  • M251 can receive the serial data and convert it into parallel data, which are then compared in M210.
  • asynchronous digital input signals M 170, Ml 71 can be synchronized via additional memory units M270, M271. As with the input signals 120, 121, they are preferably buffered in a FIFO.
  • Switching between performance and comparison mode is done by setting or resetting the mode bit in the control register, which causes eg corresponding interrupts in the two processing units.
  • the comparison itself is provided by the provided data M120, M121 as well as the associated addresses and control signals M130, M131 everanlasst. In this case, certain signals from M120 and M130 or M121 and M131 can act as an identifier indicating whether a comparison of the assigned data is to take place.
  • analogue data can also be compared with one another in a suitable analog comparison unit M211 (analogue compare unit).
  • analogue compare unit provides for storage of the data digitized by an ADC implemented there (see further comments on FIGS. 12 to 14).
  • Synchronicity can be achieved by comparing the digital outputs of the processing units (data, address and control signals) as described above and maintaining the processing unit too fast. For this purpose one can also use the digital signals, which are used as source of analogue signals in the
  • Processing unit via the outputs M120, M121 give to the unit MlOO, although these signals are otherwise not needed externally.
  • This redundant comparison in addition to the comparison of the analog signals ensures that an error in the calculation can be detected earlier and also facilitates the synchronization of the processing units.
  • the comparison of the analog signals causes an additional
  • FIG. 4 shows a multiprocessor system with at least n + 1 processing units, wherein each of these components may in turn also consist of several sub-processing units (CPUs, ALUs, DSPs with corresponding additional components).
  • the signals of these processing units are also connected to a switching and comparison unit, as described in the two-person system of Figure 2. All components and signals in this figure therefore have the same meaning in content as the corresponding components and signals in FIG. 2.
  • the switching and comparison unit M300 can distinguish between the performance mode (all processing units execute different tasks), different comparison modes (FIG. the data of two or more processing units should be compared and at
  • FIG. 5 shows a possible implementation of a switching unit for a multiprocessor system with n + 1 processing units.
  • at least one control register M44i is provided in the control unit of the switching and comparison module.
  • a preferred set of control registers is shown and described in detail in FIG. M44i corresponds to the control register Ci.
  • Various embodiments in the control register are conceivable. It may be described by appropriate bit combinations whether to use an error detection or fault tolerance pattern. Depending on the effort involved in the M300 unit, it is also possible to specify which type of fault tolerance pattern (2 out of 3, median, 2 out of 4, 3 out of 4, FTA, FTM ...) you want to use. Next you can make it configurable, which output one goes through. One can then also form embodiments, which components for which date can influence this configuration.
  • the output signals of the processing units involved are then compared with one another in the switching unit. Since the signals are not necessarily processed clock-accurate, a caching of the data is required. In this case, data can also be compared in the switching unit, with a larger time difference of the various processing units are given to the switching unit.
  • an intermediate memory eg designed as FIFO memory: first in-out or else in another buffer form
  • a plurality of data can initially also be received by one processing unit, while other processing units do not yet provide any data. It is a measure of the synchronicity of the two processing units of
  • Level of the FIFO memory If a certain predefinable fill level is exceeded, the processing unit furthest advanced in the processing is temporarily stopped either by an existing WAIT signal or by suitable interrupt routines, in order to wait for the slower processing units progressing in the processing.
  • the monitoring should apply to all externally available signals
  • Processing unit to be extended also includes analog signals or PWM signals.
  • the switching unit structures are provided to allow a comparison of such signals.
  • bit B514x of the control register Cx switches between comparison / voting on the one hand and parallel work on the other hand and corresponds to the value of B16 of Figure 1.
  • the bit B513x indicates whether the processing unit concerned is ready for comparison
  • bit B512x controls this Synchronization signal (WAIT or INTERRUPT)
  • bit B511x may be used to prepare the corresponding processing unit x for the comparison by an interrupt.
  • bit B5110x controls an interrupt that returns the processing unit to parallel mode.
  • B50ik and B50kk of the control register Ck are set to one (0 ⁇ i, k ⁇ n).
  • the bit B514i in the control register Ci is set to activate the comparison or the voting. This bit may be set by the processing unit itself as well as by the switching and comparing unit depending on certain system conditions, timing conditions or other conditions (such as accessing particular memory areas, errors or implausibilities).
  • B514i sets bits B50ii and B5 (M)
  • the UVE automatically sets bits B51 Ii and B51 Ik, thereby triggering interrupts in processing units i and k
  • These interrupts cause the processing units to jump to a particular program location Initialization steps for the transition to the comparison mode and then output a response (Ready) to the switching and comparison unit.
  • the ready signal causes an automatic reset of the interrupt bit B511i in each control register Ci of the processing unit and simultaneously setting the wait bit B512i.
  • the consistency of all control registers with each other is monitored in accordance with user specifications, and in the event of an error, an error signal is generated which is part of the status information. For example, it may not happen that one processing unit is used concurrently for multiple independent comparison or voting processes, because then the synchronization is not guaranteed. It is conceivable, however, to compare several processing units without an output of the data signals, but only for the purpose of generating an error signal in the event of inequality.
  • the entry is to be made similar in several or all control registers of the processing units involved in a comparison or voting, i. the corresponding bits of these processing units are to be set there identically, with the possible exception of their own bit i, which controls the output.
  • FIG. 7 shows the voting unit Q100 for central voting. Voting can be carried out both by means of suitable hardware and by software.
  • the voting can be carried out both by means of suitable hardware and by software.
  • the voting unit Q100 receives several signals Q1, Q1, Q1, and Q112, and from these forms an output signal Q 120, which is produced by voting (for example, an m out of n selection).
  • the error bit is set in the respective control register. In a voting, the date of the processing unit concerned is ignored; in a simple comparison the output is locked.
  • a decentralized voting unit Q200 is controlled by a control unit Q210. It is connected via bus systems Q221, Q222, receives data via these bus systems and also outputs them there.
  • the reset of the comparison and voting bits in a control register with active output bit causes an interrupt in the participating processing units, which are then returned to a parallel operation.
  • each processing unit may have a different entry address, which is managed separately.
  • the program execution can also take place from the same program memory.
  • Accesses are separate and usually to different addresses. If the security-relevant part is small in comparison to the parallel modes, it must be weighed whether a separate program memory with duplicated security part may be less expensive.
  • the data memory can also be shared in performance mode. The accesses are then successively, for example by means of the AHB / ABP bus.
  • Processing units work with the same or derived clocks, which are in constant phase relation to each other. If clocks of different oscillators and generators are used for the processing devices, in which the phase relationships change, then one must synchronize the signals thus generated when they change the clock domain.
  • a synchronization element M800 is shown in FIG. 9 for this purpose.
  • synchronization devices M800 are required, which can be attached anywhere in the signal flow. These once ensure the storage of data M820 with the clock M830 of the processing unit that provides this data. For reading, the clock is then used with which the date M840 is further processed.
  • Such a synchronization stage M800 can be developed as a FIFO in order to store a plurality of data (see FIG. 9). In the general case, the synchronization of the data alone is not sufficient, but it is also the sync signal of the data to synchronize with the receive clock. For this purpose, moreover, a handshake interface is required ( Figure 10) that through
  • Request signals M850 and acknowledgment signals M880 guarantees the transfer. Such an interface is necessary whenever the clock domain changes to ensure secure transmission of data from one clock domain to another.
  • the data M820 from the area Q305 with the clock M830 in the register cells M800 is provided in sync and a write request signal M850 indicates the provision of the data.
  • This write request signal is taken from the area Q306 with the clock M860 in a memory element M801 and as a synchronized signal M870 it indicates the provision of the data. With the next active clock edge of clock M860 then the synchronized date M840 is adopted and thereby a
  • the memory elements M800 are designed as FIFO memories (first-in, first-out).
  • the circuits for comparing analog signals of Figure 11 to Figure 14 assume that the processing units that provide the analog signals to be compared, are synchronized with each other so that the comparison makes sense.
  • the synchronization can be achieved by the corresponding signals B40 and B41 of FIG.
  • FIG. 11 shows a differential amplifier. With the help of this element two voltages can be compared.
  • BlOO is an operational amplifier, to the negative input BlOl a signal B 141 is connected, which is connected via a resistor Bl 10 with the value R 1n to the input signal BlI l, at which the voltage value Vi is present.
  • the positive input B 102 is connected to the signal B 142, via the resistor B 120 with the value R 1n to the input
  • the output B 103 of this operational amplifier is connected to the output signal B 190 having the voltage value V 0Ut .
  • the signal B190 is f via the resistor B140 with the value R connected to the signal B141 and the signal B142 is f via the resistor B130 with the value R to the signal B131 connected which carries the voltage value of the analog reference point V AGN (j.
  • the signal B242 is connected via the resistor B 160 with the value R 2 to the signal B231, which is used as the digital reference potential V dgng .
  • the negative input B201 of the operational amplifier is connected to the input signal 211, which carries the voltage value of a reference voltage V ref .
  • the output B203 of the operational amplifier B200 is connected to the output signal B290, which is the
  • the input signal B321 is connected through the resistor B 170 of the value R 3 to the signal B342 which is connected to the negative input B301 of the operational amplifier B300.
  • This signal B342 is further connected via the resistor B 180 with the value R4 to the signal B331, which is also the digital
  • Reference potential Vi gnd bears.
  • the positive input B302 of the operational amplifier B300 is connected to the input signal B311 which carries voltage value of a reference voltage V ref .
  • the output B303 of the operational amplifier B300 is connected to the output signal B390, which is the voltage value
  • V ref (V agnd + V 1U a) * R 2 / (R 1 + R 2 ) (2)
  • V- ( - VdM) * R / (R 3 + R 4 ) (3)
  • V d i ff ((V 2max - V lmin ) * R f / R ta ) - V agnd (4)
  • V 2max denotes the maximum tolerated voltage value of V 2 at signal B 121 and Vi m i n the minimum tolerated voltage value of Vi at signal Bl I l.
  • the reference voltage source can be made available externally, or by a internally realized bandgap (temperature-compensated and operating voltage-independent reference voltage) can be realized.
  • the maximum tolerated difference V dMf is determined from the maximum positive deviation V 2max and the associated maximum negative deviation Vi n J n , ie (V 2max - Vi n J n ) is the maximum tolerated voltage deviation of redundant analog signals to each other to be compared with each other.
  • the synchronicity is given, for example, when the ready signal in the control register of the corresponding processing units is active, or certain digital signals are sent to the UVE, which signal a particular state of the relevant analog signal and thus also the value to be compared in the sense of an identifier.
  • a circuit which stores the error is shown in FIG. In this circuit are the two input signals
  • NOR circuit logical OR circuit with subsequent inversion
  • This signal B411 is combined with the input signal B421 in another NOR element B420 to the output signal B421.
  • This signal B421 is linked in an OR circuit B430 with the signal B401 to the signal B431, which serves as an input signal for the memory element (D flip-flop) B400.
  • the output signal B401 of this element B400 indicates an error with the value 1.
  • the D flip-flop B400 stores with the clock B403 is a 1 if one of the two voltage values V, thus contributes positively bottom or V at the top on the signals B390 or B290 as a digital signal the value is high, the signal B421 is not active and no reset signal B402 is present. The error remains stored until the signal Reset was active at least once.
  • FIG. 15 shows an ADC.
  • this ADC can be implemented using the various known conversion methods. For example, one can choose the principle of successive approximation, where one compares the analog signal with a generated signal from a digital-to-analog converter (DAC) by means of a comparator, wherein the digital input bits of the DAC systematically from the MSB (most significant bit - most significant bit) to LSB (least significant bit) is set to high as a test and reset immediately if the DAC's analog output signal is higher than the analog input signal (the signal to be converted).
  • the DAC controls with its digital bits from the LSB to the MSB either
  • Resistors or capacitances with the weights 1, 2, 4, 8, 16, ... in such a way that the setting of the next higher bit always has twice the effect on the analog value as the previous one. After all bits have been set and, if necessary, reset again, the value of the digital word corresponds to the digital representation of the analog input signal. For higher speed requirements, continuous data streams can also be used
  • Converter can be used, which continuously processes the analog signal and outputs a serial digital signal, which approximates this analog data stream through the serial bit sequence.
  • the digital word is here represented by the bit sequence stored in a shift register.
  • transducers presuppose that changes in the analog signal are constantly made during the conversion period because they can not process constant values.
  • converters can be used according to the counting principle, for example, by means of the input voltage or the input current cause a corresponding constant charging or discharging a capacitor connected to an integrator. The time required for this is measured and put into relation to the time in the opposite direction to the charge or charge of the same capacitor
  • the ADC B600 of Figure 15 is controlled by a trigger signal B602, which is typically an output of the processor providing the analog signal and optionally an identifier B603 which provides information about the type of analog signal being provided is to allow a distinction of several analog signals.
  • the converted analog word is taken into the memory area B640 as a digital value in a register B610 and optionally together with the identifier B603, which is stored in B620 and possibly an additional signal B604 (which is 1 for the identification of an analogue value) is stored in the memory B630.
  • FIG. 17 shows a variant of a digital value stored in the same memory area.
  • the digital value itself is stored, in B820 an optiona option is provided which, for example, indicates whether the digital value is to be compared at all or whether it may also contain further conditions for the comparison.
  • the value 0 is then stored to indicate that it is a digital value.
  • the sequence of the storage and possibly the A bit (B730 or B830) as well as the identifier B720 or B820 in conjunction with the converted digital value B710 or the digital value B810 are checked.
  • the comparison is then event-controlled: whenever a value of a processor is transmitted to the UVE, it is checked whether the other participating processors have already provided such a value. If this is not the case, the value in the corresponding FIFO or
  • the comparison is carried out directly, in which case the FIFO can serve as a memory.
  • a comparison is always completed if the FIFOs involved are not empty.
  • more than two participating processors or comparison signals can be determined by a vote, if all signals for distribution be allowed (fail silent behavior) or if possibly the error state is signaled only by an error signal.

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Computer Hardware Design (AREA)
  • Hardware Redundancy (AREA)

Abstract

Verfahren und Vorrichtung zur Umschaltung und zum Signalvergleich bei einem Rechnersystem mit wenigstens zwei Verarbeitungseinheiten, wobei Umschaltmittel vorgesehen sind und zwischen wenigstens zwei Betriebsmodi umgeschaltet wird, wobei Vergleichsmittel vorgesehen sind und ein erster Betriebsmodus einem Vergleichsmodus und ein zweiter Betriebsmodus einem Performanzmodus entspricht, dadurch gekennzeichnet, dass wenigstens zwei analoge Signale der Verarbeitungseinheiten derart verglichen werden, dass abhängig von diesen Signalen eine Differenz gebildet wird.

Description

Verfahren und Vorrichtung zur Umschaltung und zum Signalvergleich bei einem
Rechnersystem mit wenigstens zwei Verarbeitungseinheiten
Stand der Technik
Ein Verfahren zur Erkennung von Fehlern in einem Vergleichsmodus ist in Wo 01/46806 Al beschrieben. Dabei werden die Daten in einem Verarbeitungseinheit mit zwei Verarbeitungseinheiten ALUs parallel verarbeitet und verglichen. Bei einem Fehler (Soft-Error, transienter Fehler) arbeiten dort beide ALUs solange unabhängig voneinander, bis die fehlerhaften Daten entfernt sind und eine erneute (teilweise wiederholte) redundante Verarbeitung vorgenommen werden kann. Das setzt voraus, dass beide ALUs synchron zueinander arbeiten und die Ergebnisse taktgenau verglichen werden können.
Im Stand der Technik sind Verfahren bekannt, wie zwischen einem Vergleichsmodus zur Fehlererkennung, in dem Aufgaben redundant abgearbeitet werden, und einem Performanzmodus zur Erzielung einer höheren Leistungsfähigkeit umgeschaltet werden kann.
Voraussetzung ist hier, dass die Verarbeitungseinheiten für den Vergleichsmodus gegenseitig synchronisiert werden. Dazu ist es notwendig, dass beide Verarbeitungseinheiten angehalten werden können und taktgenau synchron arbeiten, um die Ergebnisdaten beim Schreiben in den Speicher miteinander vergleichen zu können. Dazu sind Eingriffe in die Hardware notwendig, einzelne Lösungen werden vorgeschlagen.
In der Patentschrift EP 0969373 A2 wird dem gegenüber ein Vergleich der Ergebnisse von redundant arbeitenden Verarbeitungseinheiten oder Verarbeitungseinheiten auch dann gewährleistet, auch wenn diese asynchron zueinander arbeiten, d.h. nicht taktgleich oder mit einem unbekannten Taktversatz.
Aus der Flugzeugindustrie sind Votingsysteme bekannt, die Inputs von Standardrechnern verwenden können und diese durch einen Mehrheitsentscheid sicher verarbeiten und damit sicherheitsrelevante Aktionen auslösen können. Ein System, das inter- Verarbeitungseinheit und inter-Control-Unit Kommunikation miteinander kombiniert, ist das FME-System, bei dem durch einen hohen Grad von Redundanz auch im Falle von einzelnen oder gar mehreren Fehlern das System noch arbeitsfähig bleibt und von der DASA für die Raumfahrt entwickelt wurde (Urban, et al: A survivable avioncs System for Space applications, Int. Symposium on Fault-tolerant
Computing, FTCS-28 (1998),pp.372-381). Dieses System kann sogar byzantinische Fehler (d.h. besonders bösartige Fehler, bei denen nicht alle Komponenten die gleiche Informationen erhalten, sondern von einem Intriganten sogar „vorsätzlich" unterschiedlich falsche Informationen an verschiedene Komponenten verteilt werden) tolerieren. Ein solches System ist wegen des hohen Aufwandes kommerziell anwendbar für besonders kritische Systeme, die in sehr geringen Stückzahlen gefertigt werden. Eine kostengünstige Lösung, die in großen Stückzahlen herstellbar ist und zusätzlich noch Umschaltmöglichkeiten besitzt, ist nicht bekannt. Es besteht deshalb die Aufgabe, eine Umschalt- und Vergleichseinheit zu schaffen, die es erlaubt, den Betriebsmodus von zwei oder mehreren Verarbeitungseinheiten umzuschalten und dabei ohne Eingriffe in die Struktur dieser Verarbeitungseinheiten auskommt und auch keinen zusätzlichen Signale zu diesem Zweck benötigt. Dabei soll es möglich sein, verschiedene digitale oder analoge Signale von verschiedenen Verarbeitungseinheiten in einem Vergleichmodus gegenseitig zu vergleichen. Dabei soll dieser Vergleich unter Umständen auch dann möglich sein, wenn die Verarbeitungseinheiten mit verschiedenen Taktsignalen betrieben werden und nicht synchron zueinander arbeiten. Darüber hinaus besteht die Aufgabe, Mittel und
Verfahren zur Verfügung zu stellen, die speziell den Vergleich von analogen Signalen in einer vielseitig anwendbaren Form ermöglichen.
Vorteile
Vorteilhafterweise verwendet man ein Verfahren zur Umschaltung und zum Signalvergleich bei einem Rechnersystem mit wenigstens zwei Verarbeitungseinheiten, wobei Umschaltmittel vorgesehen sind und zwischen wenigstens zwei Betriebsmodi umgeschaltet wird, wobei Vergleichsmittel vorgesehen sind und ein erster Betriebsmodus einem Vergleichsmodus und ein zweiter Betriebsmodus einem Performanzmodus entspricht, dadurch gekennzeichnet, dass wenigstens zwei analoge Signale der Verarbeitungseinheiten derart verglichen werden, dass abhängig von diesen Signalen eine Differenz gebildet wird.
Vorteilhafterweise verwendet man ein Verfahren, bei dem die analogen Signale innerhalb einer vorgebbaren Toleranz synchron sind.
Vorteilhafterweise verwendet man ein Verfahren, bei dem wenigstens ein analoges Signal für eine vorgebbare Zeit von der Verarbeitungseinheit ausgegeben wird, um beide analogen
Signale für den Vergleich zu synchronisieren.
Vorteilhafterweise verwendet man ein Verfahren, bei dem zum Vergleich der analogen Signale aus einem ersten analogen Signal einer ersten Verarbeitungseinheit und einem zweiten analogen Signal einer zweiten Verarbeitungseinheit eine Differenz gebildet wird.
Vorteilhafterweise verwendet man ein Verfahren, bei dem wenigstens eine Vergleichseinheit neben dem analogen Signal eine Gültigkeitsinformation ausgibt und die analogen Signale nur verglichen werden in Abhängigkeit von dieser Gültigkeitsinformation.
Vorteilhafterweise verwendet man ein Verfahren, bei dem die Differenz mit einem vorgebbaren Referenzsignal verglichen wird.
Vorteilhafterweise verwendet man ein Verfahren, bei dem dass abhängig von dem Vergleich ein Signal erzeugt wird, welches das Vergleichergebnis darstellt.
Vorteilhafterweise verwendet man ein Verfahren, bei dem abhängig von dem Vergleich ein Fehlersignal erzeugt wird.
Vorteilhafterweise verwendet man ein Verfahren, bei dem das Referenzsignal von einer zur
Recheneinheit externen Quelle vorgegeben wird.
Vorteilhafterweise verwendet man ein Verfahren, bei dem wenigstens ein analoges Signal digital gewandelt wird, für eine vorgebbare Zeit gespeichert wird und für den Vergleich - A -
wieder in ein analoges Signal rückgewandelt wird.
Vorteilhafterweise verwendet man ein Verfahren, bei dem das Differenzvergleichsmittel als Komparator, insbesondere als Differenzverstärker, ausgebildet ist.
Vorteilhafterweise verwendet man eine Vorrichtung zur Umschaltung und zum Signalvergleich bei einem Rechnersystem mit wenigstens zwei Verarbeitungseinheiten, wobei Umschaltmittel vorgesehen sind und zwischen wenigstens zwei Betriebsmodi umgeschaltet wird, wobei Vergleichsmittel vorgesehen sind und ein erster Betriebsmodus einem Vergleichsmodus und ein zweiter Betriebsmodus einem Performanzmodus entspricht, dadurch gekennzeichnet, dass ein Differenzvergleichsmittel enthalten ist, das derart ausgestaltet ist, dass wenigstens zwei analoge Signale der Verarbeitungseinheiten derart verglichen werden, dass abhängig von diesen Signalen eine Differenz gebildet wird.
Vorteilhafterweise verwendet man eine Vorrichtung, bei der die analogen Signale innerhalb einer vorgebbaren Toleranz synchron sind.
Vorteilhafterweise verwendet man eine Vorrichtung bei der eine Referenzsignalquelle enthalten ist.
Vorteilhafterweise verwendet man eine Vorrichtung bei der wenigstens ein zusätzliches Vergleichsmittel enthalten ist, welches derart ausgestaltet ist, dass die Differenz mit einem Referenzsignal einer Referenzsignalquelle verglichen wird.
Vorteilhafterweise verwendet man eine Vorrichtung bei der das zusätzliche Vergleichsmittel als Komparator ausgebildet ist, der mit zwei Widerständen in Verbindung steht und diese Widerstände in einer festgelegten Beziehung zu einem Pegel des Referenzsignals stehen. Weitere Vorteile und vorteilhafte Ausgestaltungen ergeben sich aus den Merkmalen der Ansprüche sowie der Beschreibung.
Figuren
Figur 1 zeigt die Grundfunktion einer Umschalt- und Vergleichseinheit für zwei Verarbeitungseinheiten
Figur Ia zeigt eine verallgemeinerte Darstellung eines Vergleichers
Figur Ic zeigt eine erweiterte Darstellung eines Vergleichers
Figur Ib zeigt eine verallgemeinerte Darstellung einer Umschalt- und Vergleichseinheit
Figur 2 zeigt eine detailliertere Darstellung der Umschalt-und Vergleichseinheit für zwei Verarbeitungseinheiten
Figur 3 zeigt eine mögliche Realisierung einer Umschalt- und Vergleichseinheit für zwei Verarbeitungseinheiten
Figur 4 zeigt eine mehr detaillierte Dartstellung einer Umschalt- und Vergleichseinheit für mehr als zwei Verarbeitungseinheiten
Figur 5 zeigt eine mögliche Realisierung einer Umschalt- und Vergleichseinheit für mehr als zwei Verarbeitungseinheiten
Figur 6 zeigt eine mögliche Realisierung eines Controlregisters
Figur 7 zeigt eine Votingeinheit für zentrales Voting
Figur 8 zeigt eine Votingeinheit für dezentrales Voting
Figur 9 zeigt ein Synchronisationselement Figur 10 zeigt ein Handshake-Interface
Figur 11 zeigt einen Differenzverstärker
Figur 12 zeigt einen Komparator für positive Spannungsdifferenz
Figur 13 zeigt einen Komparator für negative Spannungsdifferenz
Figur 14 zeigt eine Schaltung zur Speicherung eines Fehlers
Figur 15 zeigt einen Analogz-zu-Digitalkonverter mit Ausgangsregister
Figur 16 zeigt die Darstellung eines digitalgewandelten Analogwertes mit Kenung und Analogbit
Figur 17 zeigt die Darstellung eines Digitalwertes als Digitalwort mit Digitalbit
Beschreibung der Ausführungsbeispiele
Eine Ausführungseinheit oder Verarbeitungseinheit kann im Folgenden sowohl einen Prozessor/Core/CPU, als auch eine FPU (Floating Point Unit), DSP (Digitaler Signalprozessor), Coprozessor oder ALU (Arithmetic logical Unit) bezeichnen. Es wird ein System von zwei oder mehr Verarbeitungseinheiten betrachtet. Grundsätzlich gibt es in sicherheitsrelevanten Systemen die Möglichkeit, solche Ressourcen entweder zur Erhöhung der Leistungsfähigkeit zu verwenden, in dem man die verschiedenen Verarbeitungseinheiten möglichst mit verschiedenen Aufgaben versorgt. Alternativ kann man einige der Ressourcen auch redundant zueinander verwenden, indem man sie mit der gleichen Aufgabe versorgt und bei ungleichem Resultat auf einen Fehler erkennt.
Je nachdem, wie viele Verarbeitungseinheiten es gibt, sind mehrere Modi denkbar. In einem Zweier-System existieren die beiden Modi „Vergleich" und , ,Performanz", wie oben beschrieben. In einem Dreier-System kann man neben dem reinen Performanz-Modus, in dem alle drei Verarbeitungseinheiten parallel arbeiten, und dem reinen Vergleichsmodus, in dem alle drei Verarbeitungseinheiten redundant rechnen und verglichen wird, auch einen 2aus3-Voting Modus realisieren, in dem alle drei Verarbeitungseinheiten redundant rechnen und eine Majoritätsauswahl vorgenommen wird. Weiter kann man auch einen gemischten Modus realisieren, bei dem z.B. zwei der Verarbeitungseinheiten redundant zueinander rechnen und die Ergebnisse verglichen werden, während die dritte Verarbeitungseinheit eine andere, parallele
Aufgabe bearbeitet. In einem vier-oder mehr- Verarbeitungseinheiten System sind offensichtlich noch weitere Kombinationen denkbar.
Die zu lösende Aufgabe ist es, dass die zur Verfügung stehenden Verarbeitungseinheiten in einem System im Betrieb variabel eingesetzt werden können, ohne einen Eingriff in die bestehende Struktur dieser Verarbeitungseinheiten (z.B. zu Synchronisationszwecken) notwendig zu machen. In einer speziellen Ausführung soll jede Verarbeitungseinheit mit einem eigenen Takt arbeiten können, d.h. die Abarbeitung gleicher Aufgaben zum Zwecke des Vergleichs auch asynchron zueinander abarbeiten können. Diese Aufgabe wird dadurch gelöst, dass ein universelles, breit einsetzbares IP geschaffen wird, das eine Umschaltung der Betriebsmodi (z.B. Vergleichs-, Performanz- oder Voting Modus) zu beliebigen Zeitpunkten ohne vorheriges Abschalten der Verarbeitungseinheiten ermöglicht und den Vergleich oder das Voting der zueinander möglicherweise asynchronen Datenströme managt. Dieses IP kann als Chip ausgeführt werden, oder es kann zusammen mit einer oder mehreren Verarbeitungseinheiten auf einem Chip integriert werden. Weiter ist es nicht
Voraussetzung, dass dieser Chip nur aus einem Stück Silizium besteht, es ist durchaus auch möglich, dass dieses aus getrennten Bausteinen realisiert wird.
Um die Synchronität zwischen unterschiedlichen Verarbeitungseinheiten zu gewährleisten, sind Signale notwendig, die eine ständig weitergehende Programmabarbeitung einzelner
Verarbeitungseinheiten verhindern. Dazu ist üblicherweise ein WAIT-Signal vorgesehen. Falls eine Ausführungseinheit nicht über ein Wait-Signal verfügt, kann sie auch über einen Interrupt synchronisiert werden. Dazu wird das Synchronisationssignal (z.B. M 140 in Figur 2) nicht an einen Wait-Eingang geführt, sondern auf einen Interrupt gelegt. Dieser Interrupt muss eine genügend hohe Priorität gegenüber dem Verarbeitungsprogramm und auch gegenüber anderen Interrupts haben, um die normale Arbeitsweise zu unterbrechen. Die zugehörige Interrupt-Routine führt nur eine bestimmte Anzahl von NOPs (Leerbefehle ohne Auswirkung auf Daten) aus, bevor wieder in das unterbrochene Programm zurückgesprungen wird, und verzögert damit die weitere Abarbeitung des Verarbeitungsprogramms. Gegebenenfalls müssen in der Interruptroutine noch die üblichen Speicheroperationen am Anfang und am Ende vorgenommen werden, um die normale Programmabarbeitung nicht durch den Interrupt zu beeinträchtigen.
Dieser Vorgang wird solange fortgesetzt, bis die Synchronität hergestellt wurde (z.B. liefern andere Verarbeitungseinheiten die erwarteten Vergleichsdaten ab). Eine genaue
Taktsynchronität und insbesondere Phasengleichheit mit anderen Verarbeitungseinheiten kann jedoch mit diesem Verfahren nur bedingt garantiert werden. Es ist deshalb zu empfehlen, dass bei einer Benutzung des Interrupt-Signals zur Synchronisation die zu vergleichenden Daten in der UVE zwischengespeichert werden, bevor sie verglichen werden.
Der Vorteil der Erfindung ist, dass beliebige kommerziell verfügbare Standard-Strukturen eingesetzt werden können, weil keine zusätzlichen Signale benötigt werden (keine Eingriffe in die Hardwarestruktur) und beliebige Ausgangssignale dieser Komponenten überwacht werden können, die beispielsweise direkt zur Ansteuerung von Aktoren verwendet werden. Das schließt die Überprüfung von Wandlerstrukturen wie DACs und PWMs mit ein, die bisher nach dem
Stand der Technik so nicht direkt durch einen Vergleich prüfbar sind.
Sofern die Überprüfung für einzelne Aufgaben oder SW-Tasks nicht benötigt wird, ist aber auch eine Umschaltung in einen Performanzmodus möglich, in dem unterschiedliche Tasks auf verschiedene Verarbeitungseinheiten verteilt werden. Ein weiterer Vorteil ist es, dass in einem Vergleichs- oder Votingmodus nicht alle Daten verglichen werden müssen. Nur die zu vergleichenden oder zu votenden Daten werden in der Umschalt- und Vergleichseinheit zueinander synchronisiert. Die Auswahl dieser Daten ist durch das gezielte Ansprechen der Umschalt- und Vergleichseinheit variabel (programmierbar) und kann an die jeweilige Verarbeitungseinheitarchitektur sowie an die Anwendung angepasst werden. Damit ist auch die Verwendung von diversitären μC oder Softwareteilen leicht möglich, da nur Ergebnisse, die sinnvollerweise verglichen werden können, tatsächlich auch verglichen werden.
Weiter kann jeder Zugriff zu einem (z.B. externen) Speicher damit überwacht werden oder auch nur die Ansteuerung externer VO Module. Interne Signale können über die softwaregesteuerte zusätzliche Ausgabe zum Umschaltmodul auf dem externen Daten- und/oder Adressbus geprüft werden.
Alle Steuersignale für die Vergleichsoperationen werden in der vorzugsweise programmierbaren Umschalt- und Voting-Einheit erzeugt und der Vergleich findet auch dort statt. Die Verarbeitungseinheiten (z.B. Prozessoren), deren Ausgaben miteinander verglichen werden sollen, können das gleiche Programm benutzen, ein dupliziertes Programm (was zusätzlich die Erkennung von Fehlern beim Speicherzugriff ermöglicht) oder auch ein diversifiziertes Programm zur Erkennung von Software-Fehlern. Dabei müssen nicht alle von den Verarbeitungseinheiten bereitgestellten Signale miteinander verglichen werden, sondern es ist auch möglich, mittels einer Kennung (Adress- oder Steuersignale) bestimmte Signale für den
Vergleich vorzusehen oder auch nicht. Diese Kennung wird in der Umschalt- und Vergleicheinrichtung ausgewertet und damit der Vergleich gesteuert.
Separate Timer überwachen Abweichungen im Zeitverhalten über ein vorgebbares Limit hinaus. Einige oder auch alle Module der Umschalt- und Vergleichseinheit können auf einem Chip integriert sein, auf einem gemeinsamen Board oder auch räumlich getrennt untergebracht sein.
Im letzteren Fall werden die Daten und Steuersignale über geeignete Bussysteme miteinander ausgetauscht. Register vor Ort werden dann über das Bussystem beschrieben und steuern die Vorgänge mittels der darin abgespeicherten Daten und/oder Adressen/Steuersignale.
In Figur 1 ist die Grundfunktion der erfindungsgemäßen Umschalteinheit BOl für die
Anwendung in Verbindung mit zwei Verarbeitungseinheiten BIO und BI l gezeigt. Verschiedene Ausgangssignale, wie Daten, Steuer- und Adresssignale B20 bzw. B21 der Verarbeitungseinheiten BIO und BI l sind mit der Umschalteinheit BOl verbunden. Darüber hinaus gibt es mindestens ein Synchronisationssignal, in Ausgestaltung der erfindungsgemäßen Anordnung die beiden Ausgangssignale B40 und B41, das mit einer der
Vergleichseinheiten verbunden sind.
Die Umschalteinheit enthält mindestens ein Steuerregister B 15, das mindestens ein Speicherelement für ein binäres Zeichen (Bit) B 16 besitzt, das den Modus der Vergleichseinheit umschaltet. B16 kann mindestens die beiden Werte 0 und 1 annehmen und kann sowohl durch die Signale B20 oder B21 der Verarbeitungseinheiten oder durch interne Prozesse der
Umschalteinheit gesetzt oder rückgesetzt werden.
Ist B 16 auf den ersten Wert gesetzt, so arbeitet die Umschalteinheit im Vergleichsmodus. In diesem Modus werden alle ankommenden Datensignale aus B20 mit den Datensignalen aus B21 verglichen, sofern bestimmte vorgebbare Vergleichs-Bedingungen der Steuer- und/oder Adresssignale aus den Signalen B20 und B21 erfüllt sind, die die Gültigkeit der Daten und den vorgesehenen Vergleich für diese Daten signalisieren .
Sind diese Vergleichs-Bedingungen an beiden Signalen B20 und B21 gleichzeitig erfüllt, so werden die Daten aus diesen Signalen unmittelbar verglichen und bei Ungleichheit wird ein Fehlersignal B17 gesetzt. Ist nur die Vergleichs-Bedingung aus entweder den Signalen B20 bzw. B21 erfüllt, so wird das entsprechende Synchronisationssignal B40 bzw. B41 gesetzt. Dieses Signal bewirkt in der entsprechenden Verarbeitungseinheit BIO bzw. BI l ein Anhalten der Verarbeitung, und damit eine Verhinderung der Weiterschaltung der entsprechenden Signale, die bisher nicht miteinander verglichen werden konnten. Das Signal B40 bzw. B41 bleibt solange gesetzt, bis die entsprechende Vergleichs-Bedingung der jeweils anderen
Verarbeitungseinheit B21 bzw. B20 erfüllt ist. In diesem Fall wird der Vergleich ausgeführt und das entsprechende Synchronisationssignal zurückgesetzt.
Um den Vergleich bei der beschriebenen ungleichzeitigen Bereitstellung der zu vergleichenden Daten durch die beiden Verarbeitungseinheiten sicherzustellen, ist es entweder notwendig, dass die Daten und Vergleichs-Bedingungen der entsprechenden Verarbeitungseinheit solange auf den entsprechenden Werten gehalten werden, bis das entsprechende Synchronisationssignal B40 bzw. B41 zurückgesetzt wurde, oder es müssen die zuerst bereitgestellten Daten in der Umschalteinheit bis zum Vergleich gespeichert werden. Je nachdem, welche Verarbeitungseinheit zuerst Daten bereitstellt, muss diese mit der Weiterabarbeitung ihres Programms oder ihrer Prozesse solange warten, bis die andere
Verarbeitungseinheit die entsprechenden Vergleichsdaten bereitstellt. In einer speziellen Ausführung der Umschalteinheit nach Figur 1 kann auf eines der Signale B40 bzw. B41 verzichtet werden, wenn immer gewährleistet ist, dass die zugehörige Verarbeitungseinheit nicht eher Vergleichsdaten bereitstellt, als die andere Verarbeitungseinheit.
Ist B16 auf den zweiten Wert gesetzt, so sind die Synchronisationssignale B20 und B21 sowie das Fehlersignal B 17 immer inaktiv, beispielsweise auf den Wert 0 gesetzt. Es findet auch kein Vergleich statt und beide Verarbeitungseinheiten arbeiten voneinander unabhängig.
Eine wesentliche Komponente in dem erfindungsgemäßen System ist der Vergleicher. In der einfachsten Form ist er in Figur Ia dargestellt. Die Vergleichskomponente M500 kann zwei Inputsignale M510 und M511 aufnehmen. Sie vergleicht diese dann auf Gleichheit, im hier dargestellten Kontext vorzugsweise im Sinne einer Bit-weisen Gleichheit. Falls sie Ungleichheit detektiert wird das Fehlersignal M530 aktiviert und das Signal M520 deaktiviert. Im Gleichheitsfalle wird der Wert der Inputsignale M510, M511 auf das Outputsignal M520 gegeben und das Fehlersignal M530 wird nicht aktiv, d.h. es signalisiert den „Guf'-Zustand. Von diesem Basis-System aus sind eine Vielzahl von erweiterten Ausführungsformen denkbar. Zunächst kann die Komponente M500 als so genannte TSC- Komponente (totally seif checking) ausgeführt werden. In diesem Fall wird das Fehlersignal M530 auf mindestens zwei Leitungen („dual rail") nach außen geführt, und es ist durch interne Design- und Fehlerentdeckungsmaßnahmen sichergestellt, dass in jedem möglichen Fehlerfall der Vergleichskomponente dieses Signal korrekt oder erkennbar unkorrekt vorliegt. Eine bevorzugte Ausfuhrungsform in der Benutzung des erfindungsgemäßen Systems ist es, einen solchen TSC- Vergleicher zu verwenden.
Eine zweite Klasse von Ausfuhrungsformen kann dahingehend unterschieden werden, welchen Grad der Synchronität die beiden Inputs M510, M511 (bzw. M610, M611) haben müssen. Eine möglich Variante ist durch taktweise Synchronität gekennzeichnet, d.h. der Vergleich der Daten kann in einem Takt durchgeführt werden. Eine leichte Änderung entsteht dadurch, dass bei einem festen Phasenversatz zwischen den Inputs ein synchrones Verzögerungselement verwendet wird, das die entsprechenden Signale beispielsweise um ganzahlige oder auch halbe Taktperioden verögert. Ein solcher Phasenversatz ist nützlich um Common Cause Fehler zu vermeiden, d.h. das sind solche Fehler, die gleichzeitig auf mehrere Verarbeitungseinheiten wirken können. In Figur Ic ist daher über die Komponenten aus Bild M5 hinaus die Komponente M640 eingefügt, die den früheren Input um den Phasenversatz verzögert.
Vorzugsweise ist dieses Verzögerungselement im Vergleicher untergebracht, um dieses Element nur im Vergleichsmodus zu verwenden. Alternativ oder ergänzend kann man, um Asynchronitäten ebenfalls tolerieren zu können, Zwischenpuffer in die Inputkette legen. Vorzugsweise werden diese als FIFO-Speicher ausgelegt. Falls ein solcher Puffer vorliegt, kann man auch Asynchronitäten bis zur maximalen Tiefe des Puffers tolerieren. In diesem Fall muss ein Fehlersignal auch dann ausgegeben werden, wenn der Puffer überläuft. Weiter kann man im Vergleicher Ausführungsformen danach unterscheiden, wie das Signal M520 (oder M620) generiert wird. Eine bevorzugte Ausführungsform ist es, die Inputsignale M510, M511 (bzw. M610, M611) auf den Ausgang zu legen und die Verbindung durch Schalter unterbrechbar zu machen. Der besondere Vorteil dieser Variante ist es, dass zur Umschaltung zwischen Performanzmodus und möglichen verschiedenen Vergleichsmodi dieselben Schalter verwendet werden können. Alternativ können die Signale auch aus vergleicherinternen Zwischenspeichern generiert werden. Eine letzte Klasse von Ausführungsformen kann dahingehend unterschieden werden, wie viele Inputs am Vergleicher vorliegen und wie der Vergleicher reagieren soll. Bei drei Inputs kann ein Majoritätsvoting, ein Vergleich von allen drei oder ein Vergleich von nur zwei Signalen vorgenommen werden. Bei vier oder mehr Inputs sind entsprechend mehr Varianten denkbar. Diese Varianten sind vorzugsweise mit den verschiedenen Betriebsmodi des Gesamtsystems zu koppeln. Um den allgemeinen Fall darzulegen wird in Figur Ib eine verallgemeinerte Darstellung einer Umschalt- und Vergleichseinheit dargestellt, wie sie vorzugsweise verwendet werden soll. Von den n zu berücksichtigenden Ausfuhrungseinheiten gehen n Signale N140,..., N14n an die Umschalt- und Vergleichskomponente NlOO. Diese kann bis zu n Ausgangssignale N160,...,
N16n aus diesen Eingangssignalen erzeugen. Im einfachsten Fall, dem „reinen Performanzmodus", werden alle Signale N14i auf die entsprechenden Ausgangssignale N16i geleitet. Im entgegen gesetzten Grenzfall, dem „reinen Vergleichsmodus" werden alle Signale N 140,..., N14n nur auf genau eines der Ausgangssignale N16i geleitet.
An dieser Figur lässt sich darlegen, wie die verschiedenen denkbaren Modi entstehen können. Dazu ist in dieser Figur die logische Komponente einer Schaltlogik Nl 10 enthalten. Die Komponente muss nicht als solche existieren, entscheidend ist, dass ihre Funktion vorhanden ist. Sie legt zunächst fest, wie viele Ausgangssignale es überhaupt gibt. Weiter legt die Schaltlogik NI lO fest, welche der Eingangssignale zu welchem der Ausgangssignale beitragen.
Dabei kann ein Eingangssignal zu genau einem Ausgangssignal beitragen. In mathematischer Form anders formuliert ist also durch die Schaltlogik eine Funktion definiert, die jedem Element der Menge {N140,..., N14n} ein Element der Menge {N160,..., N16n} zuordnet.
Die Funktion der Verarbeitungslogik N120 legt dann zu jedem der Ausgänge N16i fest, in welcher Form die Eingänge zu diesem Ausgangsignal beitragen. Auch diese Komponente muss nicht als eigene Komponente vorhanden sein. Entscheidend ist wieder, dass die beschriebenen Funktionen im System realisiert sind. Um beispielhaft die verschiedenen Variationsmöglichkeiten zu beschreiben, sei ohne Beschränkung der Allgemeinheit angenommen, dass der Ausgang N 160 durch die Signale N141, ..., N 14m erzeugt wird. Falls m
= 1 entspricht dies einfach einer Durchschaltung des Signals, falls m = 2 dann werden die Signale N141, N 142 verglichen. Dieser Vergleich kann synchron oder asynchron durchgeführt werden, er kann bitweise oder nur auf signifikante Bits oder auch mit einem Toleranzband durchgeführt werden. Falls m >= 3 gibt es mehrere Möglichkeiten.
Eine erste Möglichkeit besteht darin, alle Signale zu vergleichen und bei Vorhandensein mindestens zweier verschiedener Werte einen Fehler zu detektieren, den man optional signalisieren kann. Eine zweite Möglichkeit besteht darin, dass man eine k aus m -Auswahl vornimmt (k >m/2). Diese kann durch Verwendung von Vergleichern realisiert werden. Optional kann ein Fehlersignal generiert werden, wenn eines der Signale als abweichend erkannt wird. Ein möglicherweise verschiedenes Fehlersignal kann generiert werden, wenn alle drei Signale verschieden sind.
Eine dritte Möglichkeit besteht darin, diese Werte einem Algorithmus zuzuführen. Dies kann beispielsweise die Bildung eines Mittelwerts, eines Medianwert, oder die Verwendung eines fehlertoleranten Algorithmus (FTA) darstellen. Ein solcher FTA beruht darauf, Extremwerte der Eingangswerte weg zu streichen und eine Art der Mittelung über die restlichen Werte vorzunehmen. Diese Mittelung kann über die gesamte Menge der restlichen Werte, oder vorzugsweise über eine in HW leicht zu bildenden Teilmenge vorgenommen werden. In diesem Fall ist es nicht immer notwendig, die Werte tatsächlich zu vergleichen. Bei der Mittelwertbildung muss beispielsweise nur addiert und dividiert werden, FTM, FTA oder Median erfordern eine teilweise Sortierung. Gegebenenfalls kann auch hier bei hinreichend großen Extremwerten optional ein Fehlersignal ausgegeben werden
Diese verschiedenen genannten Möglichkeiten der Verarbeitung mehrerer Signale zu einem Signal werden der Kürze wegen als Vergleichsoperationen bezeichnet. Die Aufgabe der Verarbeitungslogik ist es also, die genaue Gestalt der Vergleichsoperation für jedes Ausgangssignal - und damit auch für die zugehörigen Eingangssignale - festzulegen. Die Kombination der Information der Schaltlogik Nl 10 (d.h. die o.g. Funktion) und der
Verarbeitungslogik (d.h. die Festlegung der Vergleichsoperation pro Ausgangssignal, d.h. pro Funktionswert) ist die Modusinformation und diese legt den Modus fest. Diese Information ist im allgemeinen Fall natürlich mehrwertig, d.h. nicht nur über ein logisches Bit darstellbar. Nicht alle theoretisch denkbaren Modi sind in einer gegebenen Implementierung sinnvoll, man wird vorzugsweise die Zahl der erlaubten Modi einschränken. Zu betonen ist, dass im Fall von nur zwei Ausführungseinheiten, wo es nur einen Vergleichsmodus gibt, die gesamte Information auf nur ein logisches Bit kondensiert werden kann.
Eine Umschaltung von einem Performanz- in einen Vergleichsmodus ist im allgemeinen Fall dadurch charakterisiert, dass Ausführungseinheiten, die im Performanzmodus auf verschiedene Ausgänge hin abgebildet werden, im Vergleichsmodus auf den gleichen Ausgang hin abgebildet werden. Vorzugsweise ist dies dadurch realisiert, dass es ein Teilsystem von Ausführungseinheiten gibt, bei dem im Performanzmodus alle Eingangssignale N14i, die im Teilsystem zu berücksichtigen sind, direkt auf korrespondierende Ausgangssignale N16i geschalten werden, während sie im Vergleichsmodus alle auf einen Ausgang hin abgebildet sind. Alternativ kann eine solche Umschaltung auch dadurch realisiert werden, dass Paarungen geändert werden. Es ist dadurch dargestellt, dass man im allgemeinen Fall nicht von dem Performanzmodus und dem Vergleichsmodus sprechen kann, obwohl man in einer gegebenen Ausprägung der Erfindung die Menge der erlaubten Modi so einschränken kann, dass dies der Fall ist. Man kann aber immer von einer Umschaltung vom Performanz- in den
Vergleichsmodus (und umgekehrt) sprechen.
Zwischen diesen Modi kann, über Software gesteuert, dynamisch im Betrieb umgeschaltet werden. Ausgelöst wird die Umschaltung dabei beispielsweise über die Ausführung von speziellen Umschaltinstruktionen, speziellen Instruktionssequenzen, explizit gekennzeichneten Instruktionen oder durch den Zugriff auf bestimmte Adressen durch wenigstens eine der
Ausführungseinheiten des Multiprozessorsystems.
In Figur 2 ist ein detaillierter beschriebenes Zwei-Prozessor- oder Zwei μC-System mit einer erfindungsgemäßen Umschalt- und Vergleichseinheit MlOO dargestellt, bei dem optional auch verschiedene der eingezeichneten Signale entfallen können. Es besteht aus zwei
Verarbeitungseinheiten (MIlO, Ml I l) und einer Umschalt- und Vergleichseinheit M100. Von jeder Verarbeitungseinheit gehen Datensignale (M120, M121) und Adress/Steuersignale (M130, M131) zu der Umschalteinheit, und jede Verarbeitungseinheit bekommt optional auch von der Umschalteinheit Daten (M150, M151) und Steuersignale (M140, M141) zurück. Die Einheit MlOO gibt Daten (M 160, M161) und Statusinformationen M 169 aus und empfängt Signale wie z.B. Daten (M170, M171) und Steuersignale M179, die auch an die Verarbeitungseinheiten weitergeleitet werden können. Über M 170, Ml 71 und M 179 kann optional auch der Betriebsmodus der Einheit M100 unabhängig von den Verarbeitungseinheiten eingestellt werden; ebenso können die Prozessoren über die Ausgänge M120, M121 (z.B. Datenbus) und die Steuer- und Adresssignale M130, M131 (z.B. Write) in der Einheit M100 den
Betriebsmodus einstellen - z.B. Performanzmodus (ohne Vergleich) oder Vergleichsmodus (mit Vergleich der Signale M120, M121 und/oder der Signale M170, M171, die z.B. von peripheren Einheiten kommen). Im Performanzmodus werden die Ausgänge M120, M121 gegebenenfalls in Verbindung mit Steuersignalen auf die Ausgänge M 160, M161 weitergeleitet und umgekehrt die Eingänge M170, M171 auf M150, M151. Im Vergleichsmodus werden die Ausgänge verglichen und vorteilhafterweise nur im fehlerfreien Fall an M 160, M 161 weitergeleitet, wobei wahlweise beide Ausgänge benutzt werden, oder nur einer von beiden. Ebenso ist eine Überprüfung von Eingangsdaten M 170, M171 möglich, die an die Verarbeitungseinheiten weitergeleitet werden. Bei einem fehlerhaften Vergleich der Signale im Vergleichsmodus wird ein Fehlersignal generiert und - z.B. mittels double-rail Signalen: fehlersicher - nach außen signalisiert (Bestandteil der Statusinformation M169). Der Status M169 kann auch den Betriebsmodus oder Informationen über den zeitlichen Versatz der Signale der Ausführungseinheiten beinhalten. Im Falle der Nichtbereitstellung von Vergleichsdaten einer Verarbeitungseinheit in einem vorgegebenen (programmierbaren) Zeitintervall wird das
Fehlersignal auch aktiviert. Im Falle eines Fehlers können die Ausgänge M 160, M161 gesperrt werden (fail silent Verhalten). Das kann sowohl digitale als auch analoge Signale betreffen. Diese Ausgangstreiberstufen können aber auch die unverzögerten (nicht zwischengespeicherten) Ausgangssignale M120, M121 einer Verarbeitungseinheit ausgeben, mit der Möglichkeit der nachträglichen Fehlerentdeckung. Das wird von einem sicherheitsrelevanten System toleriert, solange die Fehlertoleranzzeit nicht überschritten wird, d.h. die Zeit, die ein (träges) System noch nicht katastrophal auf Fehler reagiert und deshalb noch die Möglichkeit der Korrektur besteht. Auch Ausgangssignale M 180, Ml 81, die nicht in die UVE geführt werden und interne Signale einer Verarbeitungseinheit, können zumindest bezüglich ihres berechneten Wertes verglichen werden, indem man diesen Wert auf den Ausgängen M 120, M121 zum Zwecke des Vergleichs ausgibt. Entsprechendes kann auch mit Eingangssignalen M 190, M 191, die nicht über M100 kommen, durchgeführt werden. Um die Einheit M100 zu überwachen kann es für ausgewählte oder auch alle Signale M 160, M 161 möglich sein, sie über M 170, M171 oder auch M 190, M 191 zurück zu lesen. Damit kann man auch im Vergleichsmodus sicherstellen, dass fehlerhafte Signale aus der Einheit M100 detektiert werden. Durch einen geeigneten Abschaltpfad, auf den (in einer ODER- Verknüpfung) MlOO, Ml 10, Ml 11 Zugriff haben, kann damit ein fail-silence Verhalten des gesamten Systems hergestellt werden.
In Figur 3 ist eine mögliche Implementierung der Umschalt- und Vergleichseinheit M100 aus Figur 2 im Detail dargestellt. Die Einheit M100 enthält ein Controlregister M200 mit mindestens einem Bit, das den Modus (Performanz/Vergleich) darstellt und ein Statusregister M220 mit mindestens einem Bit, das den Fehlerzustand im Vergleichsmodus darstellt. Die Wait- und Interruptsignale werden von weiteren Bits im Controlregister für jeweils beide
Verarbeitungseinheiten gesteuert. Dabei ist auch gegebenenfalls zwischen verschiedenen Interrupts zu unterscheiden, wie zum Beispiel für Synchronisationszwecke, zum Vorbereiten auf die Betriebsmodusumschaltungen sowie für die Fehlerbehandlung. Optional gibt es weitere Controlregister, wie z.B. M240, das die maximal erlaubte Zeitzdifferenz (in Anzahl von Taktperioden) zwischen den Verarbeitungseinheiten zur Ansteuerung eines internen oder externen Watchdogs enthält, sowie M241 mit dem Zeitdifferenzwert (Taktperiodenanzahl), ab welchem der schnellste Prozessor mittels WAIT- oder Interrupt-Signalen zeitweise angehalten bzw. verzögert werden soll, um beispielsweise einen Überlauf von Datenregistern zu verhindern.
Im Statusregister M220 wird z.B. neben dem Error-Bit auch gespeichert, wie groß der Taktversatz zwischen den Verarbeitungseinheiten aktuell ist. Dazu wird z.B. mindestens ein Timer M230 immer von einer Verarbeitungseinheit gestartet wenn ein (über Adress-und Steuersignale, z.B. bestimmter Adressbereich) besonders gekennzeichneter Datenwert zuerst bereitgestellt wird und der Wert des Timers immer dann ins Statusregister übernommen, wenn der entsprechende Datenwert von der zweiten Verarbeitungseinheit bereitgestellt wird. Der Timer wird darüber hinaus vorzugsweise so eingestellt, dass auch bei unterschiedlichen Programmabläufen entsprechend der WCET (worst case execution time) garantiert alle Verarbeitungseinheiten ein Datum liefern müssen. Falls der vorgegebene Wert vom Timer überschritten wird, wird ein Fehlersignal ausgegeben.
Die Ausgänge M120, M121 der Verarbeitungseinheiten sind in MlOO insbesondere für den Vergleichsmodus in einem Pufferspeicher M250, M251 zu speichern, sofern es sich um digitale Daten handelt und sie nicht taktgenau bereitgestellt werden können. Vorzugsweise kann dieser Speicher als FIFO ausgeführt sein. Besitzt dieser Speicher nur eine Tiefe von 1 (Register), so ist z.B. durch Wait-Signale dafür zu sorgen, dass die Ausgabe weiterer Werte bis zum erfolgten Vergleich verzögert wird, um einen Datenverlust zu vermeiden. Weiterhin gibt es eine Vergleichseinheit M210, die die digitalen Daten aus den Eingangsspeichern M250, M251, den direkten Eingängen M120, M121 oder M170, M171 miteinander vergleicht. Diese Vergleichseinheit kann auch serielle digitale Daten (z.B. PWM-
Signale) miteinander vergleichen, wenn man z.B. in der Speichereinheit M250, M251 die seriellen Daten empfangen und in parallele Daten umwandeln kann, die dann in M210 verglichen werden. Ebenso können asynchrone digitale Eingangssignale M 170, Ml 71 über zusätzliche Speichereinheiten M270, M271 synchronisiert werden. Wie auch für die Eingangssignale 120, 121, werden diese vorzugsweise in einem FIFO zwischengepuffert.
Die Umschaltung zwischen Performance- und Vergleichsmodus erfolgt durch Setzen oder Rücksetzen des Modus-Bits im Controlregister, wodurch z.B. entsprechende Interrupts in den beiden Verarbeitungseinheiten verursacht werden. Der Vergleich selbst wird durch die bereitgestellten Daten M120, M121 sowie den dazugehörigen Adressen und Steuersignalen M130, M131 everanlasst. Dabei können bestimmte Signale aus M120 und M130 bzw. M121 und M131 als Kennung fungieren, die angibt, ob ein Vergleich der zugeordmneten Daten erfolgen soll.
Dies ist eine weitere Ausfuhrungsform gegenüber der einfachen Umschaltung in Figur 1. Hier sind vorteilhafterweise beim Übergang in einen Vergleichsmodus mittels der Interrupt-Routinen verschiedene Vorbereitungen zu treffen, damit gleiche Anfangs-Bedingungen für beide Verarbeitungseinheiten geschaffen werden. Ist die Verarbeitungseinheit damit fertig, wird von ihr das prozessorspezifische Ready-Bit im Controlregister gesetzt und die Verarbeitungseinheit bleibt im Wartezustand, bis auch der andere Verarbeitungseinheit seine Bereitschaft durch sein Ready-Bit signalisiert (siehe auch Beschreibung des Contolregisters in Figur 6).
In dieser Vergleichseinheit können ebenso analoge Daten in einer speziell dafür geeigneten analogen Vergleichseinheit M211 (analog compare unit) miteinander verglichen werden. Das setzt aber voraus, dass die Ausgabe der analogen Signale genügend synchron zueinander erfolgt oder dass man in der analog compare unit eine Speicherung der durch einen dort implementierten ADC digitalisierten Daten vorsieht (siehe dazu weitere Ausführungen zu den Figuren 12 bis 14). Die Synchronität kann man erreichen, indem man die digitalen Ausgaben der Verarbeitungseinheiten (Daten, Adress- und Steuersignale) wie oben beschrieben miteinander vergleicht und die zu schnellen Verarbeitungseinheit warten lässt. Zu diesem Zwecke kann man auch die digitalen Signale, die als Quelle der analogen Signale im
Verarbeitungseinheit verarbeitet werden, über die Ausgänge M120, M121 an die Einheit MlOO geben, obwohl diese Signale sonst extern nicht benötigt werden. Dieser redundante Vergleich zusätzlich zum Vergleich der analogen Signale sorgt dafür, dass ein Fehler in der Berechnung schon frühzeitiger erkannt werden kann und außerdem erleichtert das die Synchronisation der Verarbeitungseinheiten. Der Vergleich der analogen Signale bewirkt eine zusätzliche
Fehlererkennung für den DAC (digital to analog Converter) der Verarbeitungseinheit. In anderen Strukturen der DCSL-Architekturen ist eine solche Möglichkeit nicht gegeben. Für analoge Eingangssignale von den peripheren Einheiten ist auch ein Vergleich möglich. Insbesondere wenn es sich um redundante Sensorsignale des gleichen Systemparameters handelt, benötigt man dann keine zusätzlichen Synchronisationsmaßnahmen, sondern nur gegebenenfalls ein Steuersignal, das die Gültigkeit der Sensorsignale anzeigt. Die Realisierung eines Vergleichs analoger Signale wird im Detail noch gezeigt. Figur 4 zeigt ein Multiprozessorsystem mit wenigstens n+1 Verarbeitungseinheiten, wobei jede dieser Komponenten wiederum auch aus mehreren Teil- Verarbeitungseinheiten (CPUs, ALUs, DSPs mit entsprechenden Zusatzkomponenten) bestehen kann. Die Signale dieser Verarbeitungseinheiten werden genauso mit einer Umschalt- und Vergleichseinheit verbunden, wie es im Zweier-System nach Figur 2 beschrieben wurde. Alle Komponenten und Signale in dieser Figur haben deshalb inhaltlich die gleiche Bedeutung wie die entsprechenden Komponenten und Signale in Figur 2. Die Umschalt- und Vergleichseinheit M300 kann im Multiprozessor-System unterscheiden zwischen dem Performanzmodus (alle Verarbeitungseinheiten arbeiten verschiedene Tasks ab), verschiedenen Vergleichsmodi (die Daten zweier oder auch mehrerer Verarbeitungseinheiten sollen verglichen werden und bei
Abweichungen soll ein Fehler signalisiert werden) und verschiedenen Votingmodi (Mehrheitsentscheid bei Abweichung nach unterschiedlichen vorgebbaren Algorithmen). Für jede Verarbeitungseinheit kann dabei separat entschieden werden, in welchem Modus sie arbeitet und mit welchen anderen Verarbeitungseinheiten zusammen sie gegebenenfalls in diesen Modi arbeitet. Wie die Umschaltung genau erfolgt, wird im Anschluss bei der
Beschreibung der Controlregister nach Figur 6 weiter ausgeführt.
Figur 5 zeigt eine mögliche Implementierung einer Umschalteinheit für ein Multiprozessorsystem mit n+1 Verarbeitungseinheiten. Für jeden Verarbeitungseinheit ist mindestens ein Controlregister M44i in der Steuereinheit des Umschalt- und Vergleichsmoduls vorgesehen. Ein bevorzugter Satz von Controlregistern ist in Figur 6 ausführlich gezeigt und beschrieben. Dabei entspricht M44i jeweils dem Controlregister Ci. Verschiedene Ausführungsformen im Controlregister sind denkbar. Es kann über geeignete Bitkombinationen beschrieben werden, ob ein Fehlererkennungs- oder ein Fehlertoleranzmuster verwendet werden soll. Je nach Aufwand, den man in die Einheit M300 steckt, kann man auch noch angeben, welchen Typ von Fehlertoleranzmuster (2 aus 3, Median, 2 aus 4, 3 aus 4, FTA, FTM...) man verwenden will. Weiter kann man es konfigurierbar gestalten, welchen Ausgang man durchschaltet. Man kann auch danach Ausführungsformen bilden, welche Komponenten für welches Datum auf diese Konfiguration Einfluss nehmen können.
Die Ausgangssignale der beteiligten Verarbeitungseinheiten werden dann in der Umschalteinheit miteinander verglichen. Da die Signale nicht notwendigerweise taktgenau verarbeitet werden, ist eine Zwischenspeicherung der Daten erforderlich. Dabei können auch Daten in der Umschalteinheit verglichen werden, die mit einer größeren Zeitdifferenz von den verschiedenen Verarbeitungseinheiten an die Umschalteinheit gegeben werden. Durch die Verwendung eines Zwischenspeichers (z.B. ausgebildet als FIFO-Speicher: fϊrst in - flrst out oder auch in einer anderen Pufferform) können auch zunächst von einem Verarbeitungseinheit mehrere Daten empfangen werden, während andere Verarbeitungseinheiten noch keine Daten bereitstellen. Dabei ist ein Maß für die Synchronität der beiden Verarbeitungseinheiten der
Füllstand des FIFO-Speichers. Wird ein bestimmter vorgebbarer Füllstand überschritten, so wird die in der Bearbeitung am weitesten vorangeschrittene Verarbeitungseinheit entweder durch ein vorhandenes WAIT-Signal oder durch geeignete Interrupt-Routinen zeitweise angehalten, um auf die langsamer in der Bearbeitung voranschreitenden Verarbeitungseinheiten zu warten. Die Überwachung sollte dabei auf alle extern verfügbaren Signale einer
Verarbeitungseinheit ausgedehnt werden; das schließt auch analoge Signale oder PWM-Signale mit ein. In der Umschalteinheit sind dazu Strukturen vorzusehen, die einen Vergleich solcher Signale zulassen. Zusätzlich wird vorgeschlagen, eine maximale Zeitabweichung zwischen den zu vergleichenden Daten vorzugeben und mittels mindestens eines Timers zu überwachen.
Werden im allgemeinen Fall mehr als zwei Verarbeitungseinheiten durch eine gemeinsame Umschalteinheit miteinander verbunden, so ist für jede diese Verarbeitungseinheiten oder Verarbeitungseinheiten ein Controlregister erforderlich. Eine spezielle Ausführung dieser Controlregister ist in Figur 6 erklärt. Die (n+1) unteren Bits B500x bis B50nx des jeweiligen Controlregisters Cx sind den n+1
Prozessoren/Verarbeitungseinheiten eindeutig zugeordnet. Das Bit B514x des Controlregisters Cx schaltet zwischen Vergleich/Voting einerseits und paralleler Arbeit andererseits um und entspricht dem Wert von B16 aus Figur 1. Das Bit B513x zeigt an, ob die betreffende Verarbeitungseinheit bereit zum Vergleich ist (Ready), das Bit B512x steuert das Synchronisationssignal (WAIT oder INTERRUPT) und das Bit B511x kann benutzt werden, um die entsprechende Verarbeitungseinheit x durch einen Interrupt auf den Vergleich vorzubereiten. Entsprechend steuert das Bit B5110x einen Interrupt, der die Verarbeitungseinheit in den Parallelmodus zurückschaltet.
Sind B50ik und B50kk des Controlregisters Ck auf Eins gesetzt (0 < i, k < n)., so bedeutet das in dieser ausführungsform, daß die Ausgänge der Verarbeitungseinheit i mit denen vom Verarbeitungseinheit k verglichen werden sollen. Ist zusätzlich auch B50jk gleich Eins, dann soll zwischen i, j und k gevotet werden und das Votingergebnis wird am Ausgang k der UVE ausgegeben (0 < i, j, k < n). Dazu kann für jede Gruppe von Verarbeitungseinheiten eine spezielle Art des Votings oder auch nur eines mehrheitlichen Vergleichs festgelegt werden, wie schon in der Erläuterung zum Bild M4 aufgezählt wurde. Allgemein müssen alle Bits B50ik für die zu vergleichenden/zu votenden Verarbeitungseinheiten i (im Controlregister Ck) gesetzt sein, wenn am Ausgang k der UVE das Votingergebnis ausgegeben werden soll. Eine parallele Ausgabe auf anderen Ausgängen ist möglich.
Eine Eins in B50ii des Controlregisters i (0 < i,< n) gibt an, daß der Ausgang i der Vergleichseinheit aktiv sein soll. Tragen alle Controlregister Ci nur in den entsprechenden Speicherstellen B50ii eine Eins (i = 0, 1, ...n), so arbeiten alle Verarbeitungseinheiten im Performanzmodus mit beliebig unterschiedlichen Programmen und eigenen Ausgangssignalen.
Sind alle n+1 unteren Bits B50ik gleich Eins (i = 0, 1, ...n), und ist außerdem B514k gesetzt, dann werden die Ausgangssignale aller Verarbeitungseinheiten durch Mehrheitsentscheid (Voting) ausgewählt und auf den Ausgang k der UVE ausgegeben; bei n=l findet nur ein Vergleich statt.
In den folgenden Ausführungen wird beispielhaft beschrieben, wie ein Ablauf beim Übergang zu einem Vergleich/Voting in einem System mit mehreren Verarbeitungseinheiten aussehen kann.
Das Bit B514i im Controlregister Ci wird gesetzt, um den Vergleich oder das Voting zu aktivieren. Dieses Bit kann sowohl durch den Verarbeitungseinheit selbst gesetzt werden, als auch von den Umschalt-und Vergleichseinheit in Abhängigkeit von bestimmten Systemzuständen, Zeitbedingenungen oder anderen Bedingungen (wie zum Beispiel Zugriffen auf bestimmte Speicherbereiche, Fehler oder Unplausibilitäten). Werden mit B514i die Bits B50ii und B5(M gesetzt, werden durch die UVE automatisch die Bits B51 Ii und B51 Ik gesetzt und dadurch Interrupts in den Verarbeitungseinheiten i und k ausgelöst. Diese Interrupts bewirken, daß die Verarbeitungseinheiten an eine bestimmte Programmstelle springen, bestimmte Initialisierungsschritte für den Übergang zum zum Vergleichsmodus durchführen und dann eine Rückmeldung (Ready) an die Umschalt- und Vergleichseinheit ausgeben. Das Ready-Signal bewirkt ein automatisches Zurücksetzen des Interrupt-Bits B511i im jeweiligen Controlregister Ci der Verarbeitungseinheit und gleichzeitig das Setzen des Wait-Bits B512i.
Wenn alle Wait-Bits der beteiligten Verarbeitungseinheiten gesetzt sind, werden sie von der Umschalt- und Vergleichseinheit gleichzeitig zurückgesetzt. Die Verarbeitungseinheiten beginnen dann mit der Abarbeitung der zu überwachenden Programmteile. In einer vorteilhaften Ausführungsform ist ein Schreiben auf ein Controlregister Ci mit gesetztem Bit B514i durch Verriegelung (HW oder SW) verhindert. Das bewirkt sinnvollerweise, dass die Konfiguration des Vergleichs nicht während der Abarbeitung geändert werden kann. Eine Änderung im Controlregister Ci ist erst nach dem Rücksetzen des Bits B514i möglich. Dieses Rücksetzen bewirkt Interrupts in den betreffenden Verarbeitungseinheiten durch Setzen der Bits B510x in den Controlregistern aller beteiligten Verarbeitungseinheiten zum Übergang in den
Normalmodus (parallele Arbeitsweise).
Die Konsistenz aller Controlregister zueinander wird entsprechend Anwendervorgaben überwacht und im Fehlerfalle wird ein Fehlersignal generiert, das Bestandteil der Statusinformationen ist. So darf es zum Beispiel nicht vorkommen, dass eine Verarbeitungseinheit gleichzeitige für mehrere unabhängige Vergleichs- oder Votingprozesse verwendet werden, weil dann die Synchronisation nicht gewährleistet ist. Denkbar ist aber ein Vergleich auch mehrerer Verarbeitungseinheiten ohne eine Ausgabe der Datensignale, sondern nur zu dem Zwecke, ein Fehlersignal bei Ungleichheit zu erzeugen. In einer weiteren Ausführungsform ist der Eintrag in mehreren oder allen Controlregistern der an einem Vergleich oder einem Voting beteiligten Verarbeitungseinheiten gleichartig vorzunehmen, d.h. die entsprechenden Bits dieser Verarbeitungseinheiten sind dort gleichartig zu setzen, ggf. mit Ausnahme des eigenen Bits i, das die Ausgabe steuert.
In Figur 7 ist die Voting-Einheit QlOO für zentrales Voting dargestellt. Das Voten kann sowohl mittels geigneter Hardware als auch softwaremäßig durchgeführt werden. Der Voting-
Algorithmus (z.B. bitgenaues Voting) ist dazu vorzugeben. Die Voting-Einheit Q100 erhält dabei mehrere Signale QI lO, Ql I l, Q112 und bildet aus diesen ein Ausgangssignal Q 120, das durch Voting (z.B. eine m aus n-Auswahl) entsteht.
Tritt ein Fehler beim Vergleich auf, wird in dem betreffenden Controlregister das Error-Bit gesetzt. Bei einem Voting wird das Datum der betreffenden Verarbeitungseinheit ignoriert; bei einem einfachen Vergleich der Ausgang gesperrt.
Alle Daten, die nicht rechtzeitig vor Ablauf der programmierten Zeit bereitstehen, werden wie Fehler behandelt. Das Rücksetzen der Error-Bits erfolgt systemabhängig und ermöglicht gegebenenfalls eine Reintegration der betreffenden Verarbeitungseinheit Für den Fall, daß die Verarbeitungseinheiten und/oder der Voter nicht räumlich konzentriert angeordnert sind, ist auch ein dezentrales Voting in Verbindung mit einem geeigneten Bussystem gemäß Figur 8 möglich. In Figur 8 wird eine dezentrale Votingeinheit Q200 von eine Steuereinheit Q210 kontrolliert. Sie ist über Bussysteme Q221, Q222 angebunden, erhält Daten über diese Bussysteme und gibt sie auch dort wieder aus. Die Rücksetzung des Vergleichs- und Votingbits in einem Controlregister mit aktivem Ausgangsbit bewirkt einen Interrupt in den beteiligten Verarbeitungseinheiten, die dann wieder in eine parallele Arbeitsweise zurückgeführt werden. Dabei kann jeder Verarbeitungseinheit eine unterschiedliche Einsprungadresse besitzen, die separat verwaltet wird. Die Programmabarbeitung kann auch dann vom gleichen Programmspeicher aus erfolgen. Die
Zugriffe sind aber separat und in der Regel zu unterschiedlichen Adressen. Sofern der sicherheitsrelevante Teil gering ist im Vergleich zu den parallelen Modi ist abzuwägen, ob ein eigener Programmspeicher mit dupliziertem Sicherheitspart eventuell weniger aufwändig ist. Auch der Datenspeicher kann im Performance-Mode gemeinsam benutzt werden. Die Zugriffe erfolgen dann nacheinander beispielsweise mittels des AHB/ABP-Bus.
Als Besonderheit ist noch zu erwähnen, daß die Error-Bits vom System ausgewertet werden müssen. Um eine sichere Abschaltung im Fehlerfalle zu gewährleisten, sind die sicherheitsrelevanten Signale in geeigneter Form redundant zu realisieren (zum Beispiel im 1- aus-2 Code). In den bisherigen UVEs nach den Figuren 1, 2,3,4 und 5 wurde zunächst angenommen, dass die
Verarbeitungseinheiten mit gleichen oder voneinander abgeleiteten Takten arbeiten, die zueinander in einer konstanten Phasenbeziehung stehen. Werden für die Verarbeitungs¬ einrichtungen auch Takte von verschiedenen Oszillatoren und Generatoren verwendet, bei denen sich die Phasenbeziehungen ändern, so muss man die damit erzeugten Signale synchronisieren, wenn sie die Taktdomäne wechseln. Ein Synchronisationelement M800 ist dazu in Figur 9 gezeigt. Um insbesondere die digitalen Daten sicher abzuspeichern und zu vergleichen sind dann Synchronisationseinrichtungen M800 erforderlich, die an beliebigen Stellen im Signalfluss angebracht werden können. Diese gewährleisten einmal das Abspeichern der Daten M820 mit dem Takt M830 der Verarbeitungseinheit, die diese Daten bereitstellt. Zum Lesen wird dann der Takt benutzt, mit dem das Datum M840 weiterverarbeitet wird. Eine solche Synchronisationsstufe M800 kann als FIFO ausgebaut sein, um mehrere Daten speichern zu können (siehe Figur 9). Im allgemeinen Fall reicht die Synchronisation der Daten allein nicht aus, sondern es ist auch das Bereitstellungssignal der Daten mit dem Empfangstakt zu synchronisieren. Dazu ist darüber hinaus ein Handshake-Interface erforderlich (Figur 10), dass durch
Anforderungsisgnale M850 und Quittungssignale M880 die Übernahme gewährleistet. Ein solches Interface ist immer dann notwendig, wenn sich die Taktdomäne ändert, um eine sichere Übertragung der Daten von einer Taktdomäne zur anderen zu gewährleisten. Beim Schreiben werden dabei die Daten M820 aus dem Bereich Q305 mit dem Takt M830 in den Registerzellen M800 synchronisiert zur Verfügung gestellt und ein Schreibanforderungssignal M850 zeigt die Bereitstellung der Daten an. Dieses Schreibanforderungssignal wird von dem Bereich Q306 mit dem Takt M860 in ein Speicherelement M801 übernommen und als synchronisiertes Signal M870 zeigt es die Bereitstellung der Daten an. Mit der nächsten aktiven Taktflanke von Takt M860 wird daraufhin das synchronisierte Datum M840 übernommen und dabei ein
Bestätigungssignal M880 zurückgesendet. Dieses Bestätigungssignal wird vom Takt M830 in einem weiteren Speicherelement M801 synchronisiert zum Signal M890 und damit wird die Bereitstellung der Daten beendet. Es können dann neue Daten in das betreffende Register geschrieben werden. Solche Interfaces sind Stand der Technik und bekannt und können in speziellen Ausführungsformen durch eine zusätzliche Codierung besonders schnell arbeiten, ohne auf ein Quittungssignal warten zu müssen.
In einer besonderen Ausführungsform sind die Speicherelemente M800 als FIFO-Speicher (fϊrst- in, first-out) ausgestaltet.
Die Schaltungen zum Vergleich analoger Signale von Figur 11 bis Figur 14 setzen voraus, dass die Verarbeitungseinheiten, die die zu vergleichenden analogen Signale liefern, miteinander so synchronisiert sind, dass der Vergleich sinnvoll ist. Die Synchronisation kann durch die entsprechenden Signale B40 und B41 von Figur 1 erreicht werden.
Figur 11 zeigt einen Differenzverstärker. Mit Hilfe dieses Elementes können zwei Spannungen miteinander verglichen werden.
Dabei ist BlOO ein Operationsverstärker, auf dessen negativen Eingang BlOl ein Signal B 141 geschaltet ist, das über einen Widerstand Bl 10 mit dem Wert R1n mit dem Eingangssignal BlI l verbunden ist, an dem der Spannungswert Vi anliegt. Der positive Eingang B 102 ist mit dem Signal B 142 verbunden, das über den Widerstand B 120 mit dem Wert R1n mit dem Eingang
B 121 verbunden, an dem der Spannungswert V2 anliegt. DerAusgang B 103 dieses Operationsverstärkers ist mit dem Ausgangssignal B 190 verbunden, das den Spannungswert V0Ut besitzt. Das Signal B190 ist über den Widerstand B140 mit dem Wert Rf mit dem Signal B141 verbunden und das Signal B142 ist über den Widerstand B130 mit dem Wert Rf mit dem Signal B131 verbunden, das den Spannungswert des analogen Bezugspunktes Vagn(j trägt.
Die Ausgangsspannung kann mit den oben angegebenen Spannungs- und Widerstandswerten nach folgender Formel berechnet werden: V0nJ = Rf Z Rjn ( V2 - V1). (1) Wird der Differenzverstärker nur mit einer positiven Betriebsspannung betrieben, wie üblicherweise bei CMOS, so wird als Analog-Ground Vagnd eine Spannung zwischen Betriebsspannung und Digital-Ground gewählt, üblicherweise das mittlere Potential. Sind die zwei analogen Eingangsspannungen Vi und V2 nur geringfügig unterschiedlich, so wird die Ausgangsspannung Vout nur eine geringe Differenz V<jiff zu dem analogen Ground aufweisen
(positiv oder negativ).
Mit Hilfe von 2 Komparatoren wird nun geprüft, ob die Ausgangsspannung oberhalb Vagnd + Vdiff (Figur 12) bzw. unterhalb Vagnd - Vdiff zudem analogen Bezugspunkt liegt (Figur 13). Dabei wird in Figur 12 das Eigangssignal B221 über den Widerstand B150 mit dem Wert Ri an das Signal B242 angeschlossen, das mit dem positiven Eingang B202 des Operationsverstärkers
B200 verbunden ist. Weiterhin wird das Signal B242 über den Widerstand B 160 mit dem Wert R2 an das Signal B231 angeschlosssen , das als digitales Bezugspotential Vdgng benutzt wird. Der negative Eingang B201 des Operationsverstärkers wird mit dem Einganssignal 211 verbunden, das den Spannungswert einer Referenzspannung Vref trägt. Der Ausgang B203 des Operationsverstärkers B200 ist mit dem Ausgangssignal B290 verbunden, das den
Spannungswert VOben trägt.
In Figur 13 wird entsprechend das Eingangssignal B321 über den Widerstand B 170 mit dem Wert R3 an das Signal B342 angeschlossen, das mit dem negativen Eingang B301 des Operationsverstärkers B300 verbunden ist. Dieses Signal B342 ist weiterhin über den Widerstand B 180 mit dem Wert R4 an das Signal B331 angeschlossen, das auch das digitale
Bezugspotential Vignd trägt. Der positive Eingang B302 des Operationsverstärkers B300 ist mit dem Einganssignal B311 verbunden, das Spannungswert einer Referenzspannung Vref trägt. Der Ausgang B303 des Operationsverstärkers B300 ist mit dem Ausgangssignal B390 verbunden, das den Spannungswert
Figure imgf000026_0001
Das wird dadurch erreicht, indem die Widerstände B150, B160, B170 und B180 mit ihren Werten Ri, R2, R3 und R4 in Beziehung zu der festen Referenzspannung Vref, die an den Signalen B211 und B311 anliegt, wie folgt dimensioniert werden:
Vref = ( Vagnd + V1Ua) * R2 / (R1 + R2) (2) V- = (
Figure imgf000026_0002
- VdM) * R. / (R3 + R4) (3)
Vdiff = (( V2max - Vlmin) * Rf / Rta) - Vagnd (4)
Mit V2max wird dabei der maximal tolerierte Spannungswert von V2 an Signal B 121 und mit Vimin der minimal tolerierte Spannungswert von Vi an Signal Bl I l bezeichnet. Die Referenzspannungsquelle kann von extern zur Verfügung gestellt werden, oder aber durch eine intern realisierte bandgap (temperaturkompensierte und betriebsspannungsunabhängige Referenzspannung) realisiert werden. In Gleichung (4) wird die maximale tolerierte Differenz VdMf aus der maximalen positiven Abweichung V2max und der zugehörigen maximalen negativen Abweichung VinJn bestimmt, d.h. ( V2max - VinJn) ist die maximal tolerierte Spannungsabweichung redundanter analoger Signale zueinander, die miteinander verglichen werden sollen.
Wird einer der Spannungswerte an den beiden Signale B290 oder B390 (VOben oder Vunten) positiv, so liegt eine größere Abweichung der Analogsignale vor, als sie toleriert werden soll. Sofern die Prozessoren, die diese Analogsignale liefern, synchronisiert sind, liegt somit ein Fehler vor, der gespeichert werden muß und ggf. zum Abschalten der Ausgangssignale führt.
Die Synchronität ist gegeben, wenn zum Beispiel das Ready-Signal im Controlregister der entsprechenden Verarbeitungseinheiten aktiv ist, oder bestimmte digitale Signale an die UVE gesendet werden, die einen bestimmten Zustand des betreffenden Analogsignals und damit auch den zu vergleichenden Wert im Sinne einer Kennung signalisieren. Eine Schaltung, die den Fehler einspeichert, ist in Figur 14 gezeigt. In dieser Schaltung sind die beiden Eingangssignale
B390 und B290 über eine NOR-Schaltung (logische ODER-Schaltung mit nachfolgender Invertierung) B410 zum Ausgangssignal B411 verknüpft. Dieser Signal B411 wird mit dem Eingangssignal B421 in einem weiteren NOR-Element B420 zum Ausgangssignal B421 verknüpft. Dieses Signal B421 wird in einer ODER-Schaltung B430 mit dem Signal B401 zum Signal B431 verknüpft, das als Eingangssignal für das Speicherelement (D-Flip-Flop) B400 dient. Das Ausgangssignal B401 dieses Elements B400 zeigt mit dem Wert 1 einen Fehler an. Das D-Flip-Flop B400 speichert mit dem Takt B403 eine 1 ein, wenn einer der beiden Spannungswerte Vunten oder VOben an den Signalen B390 bzw. B290 positiv, also als digitales Signal den Wert high trägt, das Signal B421 nicht aktiv ist und kein Reset-Signal B402 anliegt. Der Fehler bleibt solange gespeichert, bis das Signal Reset wenigstens einmal aktiv war.
Zu beachten ist bei der Dimensionierung der Schaltungen Figur 11 bis Figur 13, daß die Widerstände zueinander matchen, d.h. daß die Widerstandsverhältnisse von Rf und R1n, Ri und R2 sowie R3 und R4 möglichst unabhängig von Fertigungstoleranzen konstant sind. Mit dem Signal B421 kann man steuern, ob die Schaltung aktiv sein soll, oder gerade eine Synchronisation der Verarbeitungseinheiten stattfindet, bei der nicht verglichen werden soll. Das
Signal B402 setzt einen vorherigen Fehler zurück und ermöglicht deshalb einen neuen Vergleich. Figur 15 zeigt einen ADC. Dieser ADC kann je nach den bestehenden Anforderungen, wie z.B. bezüglich Wandlunggeschwindigkeit, Genauigkeit, Auflösung, Störfestigkeit, Linearität und Frequenzspektrum mit den verschiedenen bekannten Wandlungsmethoden realisiert werden. So kann man zum Beispiel das Prinzip der sukzessiven Approximation wählen, wo man das Analogsignal mit einem generiertem Signal aus einem Digital-to-Analog-Converter (DAC) mittels eines Komparators vergleicht, wobei man die digitalen Eingangsbits des DAC systematisch vom MSB (most significant bit - höchstwertiges Bit) zum LSB (least significant bit - niedrigstwertiges Bit) probeweise auf high setzt und genau dann wieder zurücksetzt, wenn das analoge Ausgangssignal des DAC einen höheren Wert als das analoge Eingangssignal (das zu wandelnde Signal) hat. Der DAC steuert mit seinen Digitalbits vom LSB zum MSB entweder
Widerstände oder Kapazitäten mit den Wichtungen 1, 2, 4, 8, 16, ... in der Weise, daß das Setzen des nächsthöheren Bits immer die doppelt so große Auswirkung auf den Analogwert hat, wie das vorherige. Nachdem alle Bits probeweise gesetzt und ggf. wieder zurückgesetzt wurden, entspricht der Wert des Digitalworts der digitalen Representation des analogen Eingangssignals. Für höhere Geschwindigkeitsanforderungen kann bei kontinuierlichen Datenströmen auch ein
Konverter verwendet werden, der kontinuierlich das analoge Signal verarbeitet und ein serielles digitales Signal ausgibt, das diesen analogen Datenstrom durch die serielle Bitfolge annähert. Das Digitalwort ist hier durch die in einem Schieberegister gespeicherte Bitfolge repräsentiert. Solche Wandler setzen aber voraus, daß im Wandlungszeitraum ständig Änderungen des analogen Signals erfolgen, weil sie keine konstanten Werte verarbeiten können.
Für niedrigere Geschwindigkeitsanforderungen können auch Wandler nach dem Zählprinzip benutzt werden, die zum Beispiel mittels der Eingansspannung oder des Eingansstroms eine entsprechende konstante Auf- oder Entladung eines zu einem Integrator geschalteten Kondensators bewirken. Die dazu notwendige Zeit wird gemessen und ins Verhältnis gesetzt zu der Zeit, die in der Gegenrichtung zur Ent- bzw. Aufladung des gleichen Kondensators
(Integrators) mittels einer Referenzspannungsquelle bzw. eines entsprechenden Referenzstromes notwendig ist. Die Zeiteinheit wird in Takten gemessen und die Zahl der benötigten Takte ist ein Maß für den analogen Eingangswert. Ein solches Verfahren ist zum Beispiel das dual-slope Verfahren, bei dem die eine Flanke (slope) durch die Entladung entsprechend dem Analogwert bestimmt ist und die zweite Flanke durch die Wiederaufladung entsprechend dem Referenzwert bestimmt ist (siehe auch httpV/www.exstrom.com/journal/adc/dsadc.html). Der ADC B600 von Figur 15 wird gesteuert durch ein Triggersignal B602, das üblicherweise ein Ausgangssignal des Prozessors ist, der das Analogsignal bereitstellt und optional eine Kennung B603, die Auskunft über die Art des analogen Signals gibt, das gerade bereitgestellt wird, um eine Unterscheidung von mehreren analogen Signalen zu ermöglichen. Mit dem Triggersignal B602 wird das gewandelte Analogwort in den Speicherbereich B640 als Digitalwert in ein Register B610 übernommen und optional zusammen mit der Kennung B603, die in B620 abgespeichert wird und eventuell einem zusätzlichen Signal B604 (das ist 1 für die Kennzeichnung eines analogernWertes), die in dem Speicher B630 abgelegt wird. Der
Speicherbereich B640 kann vorteilhafterweise auch als FIFO (first-in, first-out) realisiertwerden, wenn mehrere Werte abgespeichert werden sollen und der zuerst abgespeicherte Wert auch zuerst wieder ausgfegeben werden soll. Wird der Speicherbereich B640 sowohl für digitale als auch für digitalisierte analoge Werte benutzt, so werden vorteilhafterweise alle Digitalwerte um ein Bit A=O an der MSB-Stelle ergänzt, entsprechend zu
B630, um sie von digitalisierten Analogwerten mit A=I (B630) zu unterscheiden (siehe Figuren 16 und 17). Sowohl B602 als auch B603 sind Bestandteil der digitalen Ausgangsdaten O1 eines Prozessors i. In Figur 16 sind die Teile des abgespeicherten digitalisierten Analogwertes separat dargestellt, wie sie in dem Speichj erbereich abgelegt werden. Dabei ist B710 der digitalisiete Analogwert selbst, B720 die dazugehörige Kennuing und B730 das
Analogbit, das in diesem Fall als 1 abzuspeichern ist. In Figur 17 ist eine Variante eines in dem gleichen Speicherbereich abgelegten Digitalwertes zu sehen. In B810 ist der Digitalwert selbst gespeichert, in B820 dazu optiona eine Kennung, die zum Beispiel darüber auskunft gibt, ob der Digitalwert überhaupt verglichen werden soll oder auch weitere Bedingungen für den Vergleich enthalten kann. In B830 ist dann der Wert 0 eingespeichert um zu kennzeichnen, dass es sich um einen Digitalwert handelt.
Zum Vergleich der zwischengespeicherten digitalen und analogen Signale werden die Reihenfolge der Abspeicherung und ggf. das A-Bit (B730 bzw. B830) sowie die Kennung B720 oder B820 in Verbindung mit dem gewandelten Digitalwert B710 bzw. der Digitalwert B810 geprüft. Es besteht auch die Möglichkeit, z.B. wegen unterschiedlicher Bitbreite, die analogen und die digitalen Signale in getrennten Speichern (zwei FIFOs) unterzubringen. Der Vergleich erfolgt dann ereignisgesteuert: immer wenn ein Wert eines Prozessors zur UVE übertragen wird, wird geprüft, ob die anderen beteiligten Prozessoren einen solchen Wert schon bereitgestellt haben. Sofern das nicht der Fall ist, wird der Wert im entsprechenden FIFO oder
Speicher abgelegt, im anderen Fall der Vergleich unmittelbar durchgeführt, wobei auch hier der FIFO als Speicher dienen kann. Ein Vergleich wird zum Beispiel immer dann dann absolviert, wenn die beteiligten FIFOs nicht leer sind. Bei mehr als zwei beteiligten Prozessoren bzw. Vergleichssignalen kann durch ein Voting ermittelt werden, ob alle Signale zur Verteilung zugelassen werden (fail silent Verhalten) oder ob ggf. nur durch ein Error-Signal der Fehlerzustand signalisiert wird.

Claims

Patentansprüche
1. Verfahren zur Umschaltung und zum Signalvergleich bei einem Rechnersystem mit wenigstens zwei Verarbeitungseinheiten, wobei Umschaltmittel vorgesehen sind und zwischen wenigstens zwei Betriebsmodi umgeschaltet wird, wobei Vergleichsmittel vorgesehen sind und ein erster Betriebsmodus einem Vergleichsmodus und ein zweiter
Betriebsmodus einem Performanzmodus entspricht, dadurch gekennzeichnet, dass wenigstens zwei analoge Signale der Verarbeitungseinheiten derart verglichen werden, dass abhängig von diesen Signalen eine Differenz gebildet wird.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die analogen Signale innerhalb einer vorgebbaren Toleranz synchron sind.
3. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass wenigstens ein analoges Signal für eine vorgebbare Zeit von der Verarbeitungseinheit ausgegeben wird, um beide analogen Signale für den Vergleich zu synchronisieren.
4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass zum Vergleich der analogen Signale aus einem ersten analogen Signal einer ersten Verarbeitungseinheit und einem zweiten analogen Signal einer zweiten Verarbeitungseinheit eine Differenz gebildet wird.
5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass wenigstens eine Vergleichseinheit neben dem analogen Signal eine Gültigkeitsinformation ausgibt und die analogen Signale nur verglichen werden in Abhängigkeit von dieser Gültigkeitsinformation.
6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Differenz mit einem vorgebbaren Referenzsignal verglichen wird.
7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass abhängig von dem Vergleich ein Signal erzeugt wird, welches das Vergleichergebnis darstellt.
8. Verfahren nach Anspruch 6 oder 7, dadurch gekennzeichnet, dass abhängig von dem Vergleich ein Fehlersignal erzeugt wird.
9. Verfahren nach einem der Ansprüche 6 bis 8, dadurch gekennzeichnet, dass das Referenzsignal von einer zur Recheneinheit externen Quelle vorgegeben wird.
10. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass wenigstens ein analoges Signal digital gewandelt wird, für eine vorgebbare Zeit gespeichert wird und für den Vergleich wieder in ein analoges Signal rückgewandelt wird.
11. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Differenzvergleichsmittel als Komparator, insbesondere als Differenzverstärker, ausgebildet ist.
12. Vorrichtung zur Umschaltung und zum Signalvergleich bei einem Rechnersystem mit wenigstens zwei Verarbeitungseinheiten, wobei Umschaltmittel vorgesehen sind und zwischen wenigstens zwei Betriebsmodi umgeschaltet wird, wobei Vergleichsmittel vorgesehen sind und ein erster Betriebsmodus einem Vergleichsmodus und ein zweiter Betriebsmodus einem Performanzmodus entspricht, dadurch gekennzeichnet, dass ein Differenzvergleichsmittel enthalten ist, das derart ausgestaltet ist, dass wenigstens zwei analoge Signale der Verarbeitungseinheiten derart verglichen werden, dass abhängig von diesen Signalen eine Differenz gebildet wird.
13. Vorrichtung nach Anspruch 12, dadurch gekennzeichnet, dass die analogen Signale innerhalb einer vorgebbaren Toleranz synchron sind.
14. Vorrichtung nach einem der Ansprüche 12 bis 13, dadurch gekennzeichnet, dass eine Referenzsignalquelle enthalten ist.
15. Vorrichtung nach einem der Ansprüche 12 bis 14, dadurch gekennzeichnet, dass wenigstens ein zusätzliches Vergleichsmittel enthalten ist, welches derart ausgestaltet ist, dass die Differenz mit einem Referenzsignal einer Referenzsignalquelle verglichen wird.
16. Vorrichtung nach einem der Ansprüche 12 bis 15, dadurch gekennzeichnet, dass das zusätzliche Vergleichsmittel als Komparator ausgebildet ist, der mit zwei Widerständen in Verbindung steht und diese Widerstände in einer festgelegten Beziehung zu einem Pegel des
Referenzsignals stehen.
PCT/EP2005/055516 2004-10-25 2005-10-25 Verfahren und vorrichtung zur modusumschaltung und zum signalvergleich bei einem rechnersystem mit wenigstens zwei verarbeitungseinheiten WO2006045788A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
EP05797174A EP1810148A1 (de) 2004-10-25 2005-10-25 Verfahren und vorrichtung zur modusumschaltung und zum signalvergleich bei einem rechnersystem mit wenigstens zwei verarbeitungseinheiten
US11/666,175 US20080270746A1 (en) 2004-10-25 2005-10-25 Method and Device for Performing Switchover Operations and for Comparing Signals in a Computer System Having at Least Two Processing Units
JP2007537298A JP2008518306A (ja) 2004-10-25 2005-10-25 少なくとも2つの処理ユニットを有する計算機システムにおける切り替えおよび信号比較の方法および装置

Applications Claiming Priority (12)

Application Number Priority Date Filing Date Title
DE102004051950A DE102004051950A1 (de) 2004-10-25 2004-10-25 Verfahren und Vorrichtung zur Taktumschaltung bei einem Mehrprozessorsystem
DE102004051952.8 2004-10-25
DE102004051964.1 2004-10-25
DE102004051937.4 2004-10-25
DE200410051964 DE102004051964A1 (de) 2004-10-25 2004-10-25 Verfahren und Vorrichtung zur Überwachung einer Speichereinheit in einem Mehrprozessorsystem
DE200410051937 DE102004051937A1 (de) 2004-10-25 2004-10-25 Verfahren und Vorrichtung zur Synchronisierung in einem Mehrprozessorsystem
DE102004051992.7 2004-10-25
DE102004051952A DE102004051952A1 (de) 2004-10-25 2004-10-25 Verfahren zur Datenverteilung und Datenverteilungseinheit in einem Mehrprozessorsystem
DE102004051950.1 2004-10-25
DE200410051992 DE102004051992A1 (de) 2004-10-25 2004-10-25 Verfahren und Vorrichtung zur Verzögerung von Zugriffen auf Daten und/oder Befehle eines Mehrprozessorsystems
DE200510037238 DE102005037238A1 (de) 2005-08-08 2005-08-08 Verfahren und Vorrichtung zur Umschaltung und zum Datenvergleich bei einem Rechnersystem mit wenigstens drei Verarbeitungseinheiten
DE102005037238.4 2005-08-08

Publications (1)

Publication Number Publication Date
WO2006045788A1 true WO2006045788A1 (de) 2006-05-04

Family

ID=35735373

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2005/055516 WO2006045788A1 (de) 2004-10-25 2005-10-25 Verfahren und vorrichtung zur modusumschaltung und zum signalvergleich bei einem rechnersystem mit wenigstens zwei verarbeitungseinheiten

Country Status (5)

Country Link
US (1) US20080270746A1 (de)
EP (1) EP1810148A1 (de)
JP (1) JP2008518306A (de)
KR (1) KR20070062565A (de)
WO (1) WO2006045788A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009541636A (ja) * 2006-10-10 2009-11-26 ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング 内燃機関のエンジン制御部の機能を監視するための方法および装置

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005037242A1 (de) * 2004-10-25 2007-02-15 Robert Bosch Gmbh Verfahren und Vorrichtung zur Umschaltung und zum Signalvergleich bei einem Rechnersystem mit wenigstens zwei Verarbeitungseinheiten
KR20070085278A (ko) * 2004-10-25 2007-08-27 로베르트 보쉬 게엠베하 적어도 2개의 실행 유닛을 구비한 컴퓨터 시스템의 전환방법 및 그 전환 장치
JP5507830B2 (ja) 2008-11-04 2014-05-28 ルネサスエレクトロニクス株式会社 マイクロコントローラ及び自動車制御装置
JP5796311B2 (ja) 2011-03-15 2015-10-21 オムロン株式会社 制御装置およびシステムプログラム
DE102013202253A1 (de) * 2013-02-12 2014-08-14 Paravan Gmbh Schaltung zur Steuerung eines Beschleunigungs-, Brems- und Lenksystems eines Fahrzeugs
EP3531286B1 (de) * 2018-02-26 2020-08-05 ARM Limited Schaltung
JP7221070B2 (ja) * 2019-02-07 2023-02-13 日立Astemo株式会社 電子制御装置、制御方法
DE102021206133A1 (de) * 2021-06-16 2022-12-22 Robert Bosch Gesellschaft mit beschränkter Haftung Steuerungssystem für mindestens ein empfangendes Gerät in sicherheitskritischen Anwendungen

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4356546A (en) * 1980-02-05 1982-10-26 The Bendix Corporation Fault-tolerant multi-computer system
US4672529A (en) * 1984-10-26 1987-06-09 Autech Partners Ltd. Self contained data acquisition apparatus and system
US5583757A (en) * 1992-08-04 1996-12-10 The Dow Chemical Company Method of input signal resolution for actively redundant process control computers
EP0840225A2 (de) * 1996-10-29 1998-05-06 Hitachi, Ltd. Redundantes Datenverarbeitungssystem
US6389041B1 (en) * 1997-12-05 2002-05-14 Hitachi, Ltd. Synchronization system and synchronization method of multisystem control apparatus
US20040186979A1 (en) * 2001-07-26 2004-09-23 Infineon Technologies Ag Processor with several calculating units

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3688099A (en) * 1971-04-28 1972-08-29 Lear Siegler Inc Automatic control system with a digital computer
US4868826A (en) * 1987-08-31 1989-09-19 Triplex Fault-tolerant output circuits
US4907228A (en) * 1987-09-04 1990-03-06 Digital Equipment Corporation Dual-rail processor with error checking at single rail interfaces
US5428769A (en) * 1992-03-31 1995-06-27 The Dow Chemical Company Process control interface system having triply redundant remote field units
WO2000036492A2 (en) * 1998-12-18 2000-06-22 Triconex Corporation Method and apparatus for processing control using a multiple redundant processor control system

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4356546A (en) * 1980-02-05 1982-10-26 The Bendix Corporation Fault-tolerant multi-computer system
US4672529A (en) * 1984-10-26 1987-06-09 Autech Partners Ltd. Self contained data acquisition apparatus and system
US5583757A (en) * 1992-08-04 1996-12-10 The Dow Chemical Company Method of input signal resolution for actively redundant process control computers
EP0840225A2 (de) * 1996-10-29 1998-05-06 Hitachi, Ltd. Redundantes Datenverarbeitungssystem
US6389041B1 (en) * 1997-12-05 2002-05-14 Hitachi, Ltd. Synchronization system and synchronization method of multisystem control apparatus
US20040186979A1 (en) * 2001-07-26 2004-09-23 Infineon Technologies Ag Processor with several calculating units

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009541636A (ja) * 2006-10-10 2009-11-26 ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング 内燃機関のエンジン制御部の機能を監視するための方法および装置
US8296043B2 (en) 2006-10-10 2012-10-23 Robert Bosch Gmbh Method and device for monitoring a functional capacity of an engine controller of an internal combustion engine

Also Published As

Publication number Publication date
JP2008518306A (ja) 2008-05-29
EP1810148A1 (de) 2007-07-25
KR20070062565A (ko) 2007-06-15
US20080270746A1 (en) 2008-10-30

Similar Documents

Publication Publication Date Title
EP1812860B1 (de) Verfahren und vorrichtung zur modusumschaltung und zum signalvergleich bei einem rechnersystem mit wenigstens zwei verarbeitungseinheiten
WO2006045785A1 (de) VERFAHREN UND VORRICHTUNG ZUR MODUSUMSCHALTtMG UND ZUM SIGNALVERGLEICH BEI EINEM RECHNERSYSTEM MIT WENIGSTENS ZWEI VERARBEITUNGSEINHEITEN
EP1812859B1 (de) Verfahren und vorrichtung zur modusumschaltung und zum signalvergleich bei einem rechnersystem mit wenigstens zwei verarbeitungseinheiten
EP1812855B1 (de) Verfahren und vorrichtung zur modusumschaltung und zum signalvergleich bei einem rechnersystem mit wenigstens zwei verarbeitungseinheiten
WO2006045788A1 (de) Verfahren und vorrichtung zur modusumschaltung und zum signalvergleich bei einem rechnersystem mit wenigstens zwei verarbeitungseinheiten
WO2006045789A1 (de) Verfahren und vorrichtung zur modusumschaltung und zum signalvergleich bei einem rechnersystem mit wenigstens zwei verarbeitungseinheiten
WO2007017396A2 (de) Verfahren und vorrichtung zur überwachung von funktionen eines rechnersystems
EP1955164A1 (de) Programmgesteuerte einheit und verfahren zum betreiben derselbigen
DE102008024193A1 (de) System mit konfigurierbaren Funktionseinheiten und Verfahren
CN101048760A (zh) 在具有至少两个处理单元的计算机系统中进行模式转换和信号比较的方法和设备
DE102005037241A1 (de) Verfahren und Vorrichtung zur Umschaltung bei einem Rechnersystem mit wenigstens zwei Verarbeitungseinheiten
DE102005037239A1 (de) Verfahren und Vorrichtung zur Umschaltung bei einem Rechnersystem mit wenigstens zwei Verarbeitungseinheiten
DE102005037240A1 (de) Verfahren und Vorrichtung zur Umschaltung und zum Datenvergleich bei einem Rechnersystem mit wenigstens drei Verarbeitungseinheiten
DE102005037243A1 (de) Verfahren und Vorrichtung zur Umschaltung und zum Datenvergleich bei einem Rechnersystem mit wenigstens zwei Verarbeitungseinheiten
DE102005037238A1 (de) Verfahren und Vorrichtung zur Umschaltung und zum Datenvergleich bei einem Rechnersystem mit wenigstens drei Verarbeitungseinheiten
WO2009103372A1 (de) Anordnung zur überprüfung eines programmspeichers einer recheneinheit

Legal Events

Date Code Title Description
WWE Wipo information: entry into national phase

Ref document number: 2005797174

Country of ref document: EP

AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BW BY BZ CA CH CN CO CR CU CZ DM DZ EC EE EG ES FI GB GD GE GH HR HU ID IL IN IS JP KE KG KM KP KZ LC LK LR LS LT LU LV LY MA MG MK MN MW MX MZ NA NG NI NZ OM PG PH PL PT RO RU SC SD SE SK SL SM SY TJ TM TN TR TT TZ UA US UZ VC VN YU ZA ZM

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): BW GH GM KE LS MW MZ NA SD SZ TZ UG ZM ZW AM AZ BY KG MD RU TJ TM AT BE BG CH CY DE DK EE ES FI FR GB GR HU IE IS IT LU LV MC NL PL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 1020077008951

Country of ref document: KR

WWE Wipo information: entry into national phase

Ref document number: 2007537298

Country of ref document: JP

WWE Wipo information: entry into national phase

Ref document number: 200580036590.2

Country of ref document: CN

Ref document number: 1715/CHENP/2007

Country of ref document: IN

WWP Wipo information: published in national office

Ref document number: 2005797174

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 11666175

Country of ref document: US