DE10007952B4

DE10007952B4 - Process for processing self-diagnosis

Info

Publication number: DE10007952B4
Application number: DE2000107952
Authority: DE
Inventors: Rolf Dipl.-Ing. Uhrich (FH)
Original assignee: ABB Patent GmbH
Current assignee: ABB Schweiz AG
Priority date: 2000-02-22
Filing date: 2000-02-22
Publication date: 2006-02-02
Anticipated expiration: 2020-02-23
Also published as: DE10007952A1

Abstract

Verfahren zur Durchführung einer zyklischen Eigendiagnose mit Fehlererkennung und Fehlersignalausgabe in einem Verarbeitungsgerät (1),
– das einen Mikroprozessor und einen Hardware-Watchdog (6) sowie gegebenenfalls weitere, in die Eigendiagnose der Hard- und Software einbezogene Hardware-Komponenten, wie Datenspeicher oder Kommunikationseinrichtungen enthält, und
– in dem Programme zur Durchführung der Eigendiagnose gespeichert sind, die während des Prozessorbetriebs im Hintergrund durchgeführt wird,
– zur Durchführung der Eigendiagnose miteinander durch Testgruppennummern verkettete Testgruppen verwendet werden und die verketteten Testgruppen mittels eines Programms zur zeitlichen Programmlaufüberwachung (3) periodisch aufgerufen werden dadurch gekennzeichnet, dass
a) vor Beginn des Prozessorbetriebs ein Grundstock-Befehlssatz der Eigendiagnose-Programme als fehlerfrei definiert wird, der während des Betriebs als fehlerfreier Grundstock-Befehlssatz zur Durchführung der Eigendiagnose mittels der miteinander durch Testgruppennummern verketteten Testgruppen der Eigendiagnose-Programme verwendet wird, und
b) der Ablauf einer Testgruppe unter Einschluß einer Prüfung der Testgruppennummern-Folge jeweils mit der Generierung eines vom Grundstock-Befehlssatz bereitgestellten Triggersignals (5) abgeschlossen...Method for carrying out a cyclic self-diagnosis with error detection and error signal output in a processing device (1),
- Which contains a microprocessor and a hardware watchdog (6) and optionally further, included in the self-diagnosis of the hardware and software hardware components, such as data storage or communication facilities, and
- in which self-diagnosis programs are stored, which are performed in the background while the processor is running,
- be used to perform self-diagnosis with each other by test group numbers chained test groups and the chained test groups are called periodically by means of a program for temporal program monitoring (3), characterized in that
a) before start of the processor operation, a basic instruction set of the self-diagnosis programs is defined as error-free, which is used during operation as error-free foundation instruction set for performing the self-diagnosis using the self-diagnosis programs linked together by test group numbers, and
b) the execution of a test group, including a test of the test group number sequence, is completed in each case with the generation of a trigger signal (5) provided by the basic instruction set.

Description

Die Erfindung bezieht sich auf ein Verfahren zur Durchführung einer zyklischen Eigendiagnose mit Fehlererkennung und Fehlersignalausgabe in einem Verarbeitungsgerät.The The invention relates to a method for carrying out a cyclic self-diagnosis with error detection and error signal output in a processing device.

Ein solches Verarbeitungsgerät ist beispielsweise ein Sicherheits-Controller für Schutzsysteme in einem Kraftwerksprozess, beispielsweise für den Kesselschutz oder zur Brennersteuerung.One such processing device is, for example, a safety controller for protective systems in a power plant process, for example the boiler protection or burner control.

Für ein Schutzsystem in einem derartigen Anwendungsgebiet wird sowohl eine hohe Fehlersicherheit als auch eine entsprechend hohe Anlagenverfügbarkeit gefordert. Aus diesen Gründen basieren übliche Systemkonzepte in der Systemebene auf einem dreikanaligen 2-von-3-Schutzsystem. In der weiteren Beschreibung wird unterstellt, daß die Abschaltung des Prozesses die adäquate sicherheitsgerichtete Maßnahme ist.For a protection system In such an area of application both a high level of error safety becomes possible as well as a correspondingly high plant availability demanded. From these establish are common Systems concepts at the system level on a 3-channel 2-of-3 protection system. In the further description it is assumed that the shutdown the process the adequate one safety-related measure is.

Jeder Schutzkanal des Schutzsystems besteht aus einem zentralen Verarbeitungsgerät, auf dem sich auch die Kommunikationsschnittstellen für eine Kommunikation mit Nachbarkanälen befinden. Daneben gibt es zugehörige Ein-/Ausgabegeräte für Verbindungen zum Prozess. Eine vorhandene 2-von-3-Bewertung entscheidet auf der Basis der Ausgangssignale der drei Kanäle über eine Abschaltung.Everyone Protection channel of the protection system consists of a central processing unit on which the communication interfaces for communication with neighboring channels are also located. Besides there are associated ones Input / output devices for connections to the process. An existing 2-of-3 rating decides on the Base the output signals of the three channels via a shutdown.

Zur Erfüllung von Sicherheitsanforderungen an das Schutzsystem ist es erforderlich, daß neben der strukturellen Auslegung der Systemebene zusätzliche Maßnahmen zur Beherrschung von Fehlern unterhalb der Systemebene eingebunden werden. Unter diesen Maßnahmen versteht man insbesondere eine Eigendiagnose und zyklische Selbsttests, die alle zentralen Hardware-Komponenten eines Prozessorgeräts wie Mikroprozessor, Programm- und Daten-Speicher, zeitliche Programmlaufüberwachungen (Watchdog), Kommunikationseinrichtungen und Stromversorgung betreffen. Maßnahmen zur Erfüllung der Sicherheitsanforderungen müssen Vorgaben nach DIN VDE 0116 sowie der Anforderungsklasse 5 nach DIN VDE 0801 entsprechen.to fulfillment safety requirements for the protection system, it is necessary that next to the structural design of the system level additional measures for the control of Errors below the system level are involved. Under these activities In particular, self-diagnosis and cyclic self-tests are understood the all central hardware components of a processor device like microprocessor, Program and data memory, temporal program monitoring (Watchdog), communications equipment and power relate. activities to fulfillment of security requirements Specifications according to DIN VDE 0116 as well as requirement class 5 according to DIN VDE 0801 correspond.

Die Druckschrift DE 37 28 561 C2 offenbart ein Verfahren zur Überprüfung einer als Watchdog ausgeführten Überwachungseinrichtung für einen Prozessor, welche bei Ausfall eines ansonsten vom Prozessor abgegebenen Triggersignals ein Fehlersignal abgibt und der Prozessor ein Stellglied steuert.The publication DE 37 28 561 C2 discloses a method for checking a monitoring device designed as a watchdog for a processor which emits an error signal in the event of the failure of a trigger signal otherwise emitted by the processor and the processor controls an actuator.

In der Druckschrift DE 37 90 186 C2 ist eine fehlersichere Einrichtung für ein ausfallsicheres Computersystem mit einer im Hintergrund ablaufenden Eigendiagnose beschrieben, wobei zur Durchführung der Eigendiagnose Prüfmodule verwendet werden, und die Prüfmodule mittels eines Watchdogs überprüft werden. Zum Prüfen des Prozessors wird der entsprechende Befehlssatz komplett mittels Software getestet. Im Fehlerfall erfolgt eine Abschaltung der Stromversorgung im Mikroprozessor des Computers mittels einer externen Überwachungsschaltung.In the publication DE 37 90 186 C2 a fail-safe device for a fail-safe computer system is described with a running in the background self-diagnosis, being used to perform the self-diagnosis test modules, and the test modules are checked by means of a watchdog. To test the processor, the corresponding instruction set is completely tested by software. In case of failure, a shutdown of the power supply in the microprocessor of the computer by means of an external monitoring circuit.

Die Prüfung eines Prozessors mittels eines Selbsttestes ist auch in Hunger A. „Mikroprozessor-Selbsttest auf der Basis des Befehlssatzes", in: Elektronische Rechenanlagen 1982 beschrieben.The exam a processor by means of a self-test is also in hunger A. "Microprocessor self-test on the basis of the instruction set ", in: Electronic Computing Systems 1982 described.

Ein von der Eigendiagnose des Computersystems erkannter Fehler führt dabei zur Auslösung von Funktionen innerhalb des Computers.One The error detected by the self-diagnosis of the computer system leads to this to trigger Functions within the computer.

Die Erfindung bezieht sich auf den speziellen Aspekt der Eigendiagnose eines für Schutzsysteme geeigneten Verarbeitungsgerätes, das einen Mikroprozessor (CPU) enthält.The This invention relates to the specific aspect of self-diagnosis one for Protection systems suitable processing equipment that uses a microprocessor (CPU) contains.

Bisher eingesetzten Verfahren sehen auch einen einfachen CPU-Test während des System-Starts vor. Im laufenden Betrieb findet eine Programmlaufüberwachung mittels eines Hardware-Watchdogs statt, der im Fehlerfall, d.h. bei Ausfall von Triggersignalen, einen Reset der CPU bewirkt.So far procedures used also see a simple CPU test during the System launches ago. During operation, there is a program monitoring by means of a hardware watchdog, which in the event of an error, i. in case of failure of trigger signals, a reset of the CPU causes.

Der jeweils vorhandene Relaisausgang des Verarbeitungsgeräts, über den in einem Fehlerfall die Prozessausgänge abgeschaltet werden können, wird direkt aus der Systemsoftware bedient und repräsentiert den aktuellen Betriebszustand.Of the each existing relay output of the processing device, via the In case of an error the process outputs can be switched off, becomes direct operated from the system software and represents the current operating state.

Nachteilig ist jedoch, daß während des laufenden Betriebs kein CPU-Test stattfindet. Die übliche Implementierung des Hardware-Watchdogs mit der Fehlerreaktion in Form eines Resets des Prozessorboards läßt keinen zyklischen Funktionstest zu. Die Triggerbandbreite zur Laufzeitüberwachung im Hardware-Watchdog ist zu groß, um den Anforderungen zu genügen. Die Ansteuerung des Relaisausgangs kann in bestimmten Fehlersituationen zur Blockierung der Abschaltung führen.adversely is, however, that during the ongoing operation no CPU test takes place. The usual implementation of the hardware watchdog with the error reaction in the form of a reset the processor board does not leave any cyclic function test too. The trigger bandwidth for runtime monitoring in the hardware watchdog is too big to meet the requirements. The control of the relay output can in certain error situations to block the shutdown.

Der Erfindung liegt die Aufgabe zugrunde, ein bezüglich Sicherheit und Reaktionszeit verbessertes Verfahren zur Verarbeitungsgerät-Eigendiagnose anzugeben.Of the Invention is based on the object with respect to safety and reaction time specify an improved method for processing device self-diagnosis.

Diese Aufgabe wird durch ein Eigendiagnose-Verfahren mit den im Anspruch 1 angegebenen Merkmalen gelöst.These Task is by a self-diagnosis method with the in the claim 1 specified characteristics solved.

Vorteilhafte Ausgestaltungen sind in weiteren Ansprüchen angegeben.Advantageous embodiments are in wide ren claims.

Das vorgeschlagene Verfahren ermöglicht es, eine zeitliche Programmlaufüberwachung mit einem Test der Verarbeitungseinrichtung zu kombinieren. Ein im Testlauf generiertes Triggersignal wird mittels eines Fenster-Watchdogs überwacht, dessen Zeitfenster eng gewählt ist. Die Funktion des Watchdogs kann durch einen periodischen überlagerten Testzyklus geprüft werden. Es stehen zwei voneinander unabhängige Abschaltwege zur Verfügung. Das Verfahren hat außerdem den Vorteil, daß auch ein Fehler in einem als fehlerfrei vorausgesetzten Befehlssatz erkannt wird, da eine auf einem fehlerhaften Befehl basierende Triggersignal-Generierung ebenfalls fehlerhaft wäre und zur Auslösung einer Fehlersignalausgabe führen würde. Es läßt sich eine sichere und schnelle Fehlererkennung erreichen; beim Mikroprozessortest erfolgt eine Fehlererkennung innerhalb von weniger als 100 ms, beim zusätzlichen Watchdog-Test innerhalb von weniger als 3 s.The proposed method makes it possible a temporal program monitoring to combine with a test of the processing device. One test signal generated in the test run is monitored by means of a window watchdog, whose time window was narrowly selected is. The function of the watchdog can be achieved by a periodic overlaid test cycle checked become. There are two independent shutdown paths available. The procedure has as well the advantage of that too detected an error in a command set assumed to be error-free because there is a trigger signal generation based on a faulty instruction would also be faulty and to trigger lead to an error signal output would. It can be achieve a safe and fast error detection; at the microprocessor test an error detection occurs within less than 100 ms, during the additional watchdog test within less than 3 s.

Eine weitere Beschreibung des Verfahrens erfolgt nachstehend anhand eines in der Zeichnung dargestellten Ausführungsbeispiels.A Further description of the method is given below with reference to a in the drawing illustrated embodiment.

1 zeigt ein Blockschema mit für die Eigendiagnose wesentlichen Funktionen eines Verarbeitungsgeräts 1 und eines damit angesteuerten Ausgabegeräts 2. 1 shows a block diagram with essential for the self-diagnosis functions of a processing device 1 and an output device controlled thereby 2 ,

Eine zeitliche Programmlaufüberwachung 3, die Teil der verwendeten Systemsoftware ist, arbeitet mit einer festen Zeitbasis. Diese Überwachung 3 steuert das im Verarbeitungsgerät 1 laufende Nutzprogramm und das im Hintergrund laufende Testprogramm 7. Mit Rücksicht auf die im Nutzprogramm angestrebten Reaktionszeiten ist das Testprogramm in Testgruppen 4, z.B. 32 Teilsequenzen unterteilt, die mit Testgruppennummern versehen und damit verkettet sind. Dadurch läßt sich ein folgerichtiger und vollständiger Ablauf des gesamten Testzyklus mit Hilfe eines Prüfalgorithmus prüfen, obwohl die Testgruppen nicht unmittelbar nacheinander abgearbeitet werden. Das Verarbeitungsgerät 1 ist im Ausführungsbeispiel mittels eines Mikroprozessor-Chips, zusätzlichen Programm- und Datenspeichern und einem als Fenster-Watchdog 6 bezeichneten Hardware-Watchdog realisiert. Der Mikroprozessor-Chip enthält u. a. eine CPU, Timer-, Kommunikations-, Steuerungs- und Überwachungsfunktionen.A temporal program monitoring 3 , which is part of the system software used, works with a fixed time base. This monitoring 3 controls this in the processing device 1 running utility and running in the background test program 7 , The test program is in test groups with regard to the reaction times aimed at in the utility program 4 , eg 32 subsequences subdivided and linked with test group numbers. As a result, a consistent and complete run of the entire test cycle can be checked with the aid of a test algorithm, although the test groups are not processed directly one after the other. The processing device 1 is in the embodiment by means of a microprocessor chip, additional program and data storage and a window watchdog 6 realized hardware watchdog realized. The microprocessor chip contains, among other things, a CPU, timer, communication, control and monitoring functions.

Bei einer – wie im vorliegenden Fall – mittels Software gelösten CPU-Eigendiagnose besteht das grundsätzliche Problem, daß von einem Befehlssatz ausgegangen werden muß, der als fehlerfrei angenommen wird.at one - like in the present case - by means of software dissolved CPU self-diagnosis is the fundamental problem that of a Command set must be assumed that accepted as error-free becomes.

Erfindungsgemäß wird eine für eine Triggersignal-Generierung 5 verwendete Befehlsfolge als fehlerfrei definiert (Grundstock-Befehlsatz). Eine fehlerhafte Triggersignal-Generierung würde vom Fenster-Watchdog 6 erkannt werden, dem die Triggersignale jeweils zugeführt werden.According to the invention for a trigger signal generation 5 used command sequence defined as error free (rootstock command set). A faulty trigger signal generation would come from the window watchdog 6 be recognized, to which the trigger signals are respectively supplied.

Auf dem Grundstock-Befehlssatz läßt sich der CPU-Test aufbauen, wobei nach und nach ein Set geprüfter Instruktionen für den Test zunächst einfacher und dann komplexerer Befehle entsteht. Auf diese Weise wird der gesamte Befehlssatz getestet.On the foundation instruction set can be the Build CPU test, gradually adding a set of validated instructions for the Test first simple and then more complex commands. In this way the entire instruction set is tested.

Der Fenster-Watchdog 6 überwacht eine in einem Normalbetrieb benutzte Triggersignalperiode von beispielsweise 8 ms. Entsprechend ist ein Zeitfenster von beispielsweise 6,5 ms bis 10,5 ms eingestellt.The window watchdog 6 monitors a trigger signal period of, for example, 8 ms used in a normal operation. Accordingly, a time window of, for example, 6.5 ms to 10.5 ms is set.

Bei fehlerhaftem Triggersignal bildet der Fenster-Watchdog 6 ein Ein/Aus-Signal zur Ansteuerung eines Relais 9, das über einen als 2. Abschaltweg bezeichneten Weg eine Prozeß-Abschaltfunktion 10 im Ausgabegerät 2 auslöst. Ein nicht dargestellter 1. Abschaltweg wird durch entdeckte Fehler im Testlauf vom Testprogramm ausgelöst.If the trigger signal is faulty, the window watchdog forms 6 an on / off signal for controlling a relay 9 that over one as 2 , Off way referred to a process shutdown function 10 in the output device 2 triggers. An unillustrated first shutdown path is triggered by detected errors in the test run by the test program.

Da die Hardware des Fenster-Watchdogs ebenfalls fehlerbehaftet sein kann, wird durch zyklische Tests die einwandfreie Funktion geprüft. Im Rahmen der Triggersignal-Generierung wird daher eine Mode-Umschaltung vorgenommen, wobei zwischen Normal- und Testbetrieb zyklisch gewechselt wird.There the hardware of the window watchdog also be faulty can, is tested by cyclic tests, the proper function. As part of the trigger signal generation is therefore a mode switching made whereby between normal and test operation is changed cyclically.

Das Watchdog-Testprogramm 7 zur Watchdog-Überprüfung bewirkt zu diesem Zweck in einem Test-Mode, daß Triggersignale mit einer Triggersignalperiode benutzt werden, die z.B. 4 ms oder 16 ms beträgt, also außerhalb des Watchdog-Fensters liegt, so daß der Watchdog 6 ein Fehlersignal an das Relais 9 abgibt. Das als Watchdog-Auslösung bezeichnete Fehlersignal wird außerdem einem Interrupt-Handler 8 zugeleitet, der eine Umschaltung der Triggersignal-Generierung in den Normal-Mode vornimmt und außerdem eine Test-Rückmeldung an das Watchdog-Testprogramm 7 liefert. Mittels dieser Maßnahmen erfolgt eine Rückstellung des Watchdogs und damit seiner Signalausgabe so rechtzeitig, daß das Relais 9 noch nicht anspricht, und somit eine testbedingte Prozeßabschaltung vermieden wird.The watchdog test program 7 For watchdog checking causes for this purpose in a test mode that trigger signals are used with a trigger signal period, for example, is 4 ms or 16 ms, that is outside the watchdog window, so that the watchdog 6 an error signal to the relay 9 emits. The error signal called watchdog tripping also becomes an interrupt handler 8th which switches the trigger signal generation into the normal mode and also sends a test feedback to the watchdog test program 7 supplies. By means of these measures, a reset of the watchdog and thus its signal output takes place in good time so that the relay 9 not yet responding, and thus a test-related process shutdown is avoided.

Claims

Verfahren zur Durchführung einer zyklischen Eigendiagnose mit Fehlererkennung und Fehlersignalausgabe in einem Verarbeitungsgerät (1), – das einen Mikroprozessor und einen Hardware-Watchdog (6) sowie gegebenenfalls weitere, in die Eigendiagnose der Hard- und Software einbezogene Hardware-Komponenten, wie Datenspeicher oder Kommunikationseinrichtungen enthält, und – in dem Programme zur Durchführung der Eigendiagnose gespeichert sind, die während des Prozessorbetriebs im Hintergrund durchgeführt wird, – zur Durchführung der Eigendiagnose miteinander durch Testgruppennummern verkettete Testgruppen verwendet werden und die verketteten Testgruppen mittels eines Programms zur zeitlichen Programmlaufüberwachung (3) periodisch aufgerufen werden dadurch gekennzeichnet, dass a) vor Beginn des Prozessorbetriebs ein Grundstock-Befehlssatz der Eigendiagnose-Programme als fehlerfrei definiert wird, der während des Betriebs als fehlerfreier Grundstock-Befehlssatz zur Durchführung der Eigendiagnose mittels der miteinander durch Testgruppennummern verketteten Testgruppen der Eigendiagnose-Programme verwendet wird, und b) der Ablauf einer Testgruppe unter Einschluß einer Prüfung der Testgruppennummern-Folge jeweils mit der Generierung eines vom Grundstock-Befehlssatz bereitgestellten Triggersignals (5) abgeschlossen wird, dessen Signalperiode mittels des als Fenster-Watchdog arbeitenden Hardware-Watchdogs (6) überprüft wird, der ein „Ein-„ oder „Aus"-Ansteuersignal für die Fehlersignalausgabe als Prozess-Abschaltfunktion (10) an einen Prozess ausgibt.Method for carrying out a cyclic self-diagnosis with error detection and error signal output in a processing device ( 1 ), - a microprocessor and a hardware watchdog ( 6 ) and optionally further, in the self-diagnosis of hardware and software einbezo - stored in the program for performing the self-diagnosis, which is performed during the processor operation in the background, - are used to perform the self-diagnosis with each other by test group numbers concatenated test groups and the chained test groups by means of a Program for temporal program monitoring ( 3 ) are called periodically, characterized in that a) before starting the processor operation, a basic instruction set of the self-diagnosis programs is defined as error-free, which during operation operates as a fault-free basic instruction set for carrying out the self-diagnosis by means of the test groups of the self-diagnosis linked to one another by test group numbers. Programs, and b) the expiration of a test group including a test of the test group number sequence each time with the generation of a trigger signal provided by the basic instruction set ( 5 ) whose signal period is executed by means of the window watchdog hardware watchdog ( 6 ) which provides an "on" or "off" drive signal for the error signal output as a process shutdown function ( 10 ) to a process.

Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß zur periodischen Überprüfung des Hardware-Watchdogs (6) mittels eines Watchdog-Testprogramms (7) zyklisch ein Watchdog-Testbetrieb veranlaßt wird, während dem eine Triggersignal-Periode erzeugt wird, die außerhalb des im Hardware-Watchdog (6) eingestellten Zeitfensters liegt, so daß am Ausgang des Hardware-Watchdogs (6) ein „Ein"-Ansteuersignal für die Fehlersignalausgabe erscheint, das von einem Interrupt-Handler (8) erkannt wird, der das „Ein"-Ansteuersignal daraufhin rückgestellt, bevor ein damit für die Fehlersignalausgabe angesteuertes Relais (9) ansprechen kann.Method according to Claim 1, characterized in that for periodic checking of the hardware watchdog ( 6 ) by means of a watchdog test program ( 7 ) cyclically initiates a watchdog test operation during which a trigger signal period is generated which is outside of the hardware watchdog ( 6 ) is set so that at the output of the hardware watchdog ( 6 ) an "on" drive signal for the error signal output appears, which is provided by an interrupt handler ( 8th ), which then resets the "on" drive signal before a relay (hence 9 ) can appeal.

Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, daß das Verarbeitungsgerät (1) als Teil eines dreikanaligen Schutzsystems eines technischen Prozesses, insbesondere eines Kraftwerksprozesses verwendet wird.Method according to one of the preceding claims, characterized in that the processing device ( 1 ) is used as part of a three-channel protection system of a technical process, in particular a power plant process.

Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, daß die vom Hardware-Watchdog (6) und die von Testprogrammen auslösbaren Fehlersignale für zwei voneinander unabhängige Abschaltwege genutzt werden.Method according to one of the preceding claims, characterized in that the hardware watchdog ( 6 ) and the error signals that can be triggered by test programs are used for two independent switch-off paths.