FR2658335A1 - Systeme de calculateur, mis en óoeuvre dans des dispositifs de securite appliques aux vehicules automobiles. - Google Patents
Systeme de calculateur, mis en óoeuvre dans des dispositifs de securite appliques aux vehicules automobiles. Download PDFInfo
- Publication number
- FR2658335A1 FR2658335A1 FR9100191A FR9100191A FR2658335A1 FR 2658335 A1 FR2658335 A1 FR 2658335A1 FR 9100191 A FR9100191 A FR 9100191A FR 9100191 A FR9100191 A FR 9100191A FR 2658335 A1 FR2658335 A1 FR 2658335A1
- Authority
- FR
- France
- Prior art keywords
- unit
- computer system
- reset
- signal
- additional
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2038—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant with a single idle spare processing component
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F02—COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
- F02D—CONTROLLING COMBUSTION ENGINES
- F02D41/00—Electrical control of supply of combustible mixture or its constituents
- F02D41/24—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
- F02D41/26—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
- F02D41/266—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor the computer being backed-up or assisted by another circuit, e.g. analogue
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1415—Saving, restoring, recovering or retrying at system level
- G06F11/1438—Restarting or rejuvenating
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2041—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant with more than one idle spare processing component
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
- G06F15/177—Initialisation or configuration control
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1675—Temporal synchronisation or re-synchronisation of redundant processing components
- G06F11/1679—Temporal synchronisation or re-synchronisation of redundant processing components at clock signal level
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/2097—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements maintaining the standby controller/processing unit updated
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Chemical & Material Sciences (AREA)
- Mechanical Engineering (AREA)
- Combustion & Propulsion (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Software Systems (AREA)
- Hardware Redundancy (AREA)
- Debugging And Monitoring (AREA)
- Safety Devices In Control Systems (AREA)
- Retry When Errors Occur (AREA)
- Multi Processors (AREA)
Abstract
a) Système de calculateur mis en œuvre dans des dispositifs de sécurité appliqués aux véhicules automobiles, b) système de calculateur caractérisé en ce qu'il est équipé d'une unité supplémentaire émettant des signaux, qui élimine au moins une des unités de calcul par une impulsion de remise à l'état initial, indépendante du signal de remise à zéro d'initialisation. c) L'invention se rapporte aux systèmes de calculateurs mis en œuvre dans des dispositifs de sécurité appliqués aux véhicules automobiles.
Description
"Système de calculateur, mis en oeuvre dans des dispo-
sitifs de sécurité appliqués aux véhicules automobi-
les"
L'invention concerne un système de calcula-
teur avec au moins deux unités de calcul qui sont
reliées par au moins un système de liaison pour per-
mettre l'échange de données et/ou de signaux de com-
mande ou de contrôle, et qui, lors de la mise en ser-
vice, sont initialisées par un signal de remise à l'état initial, ce système de calculateur étant équipé d'au moins un moyen pour détecter des états défectueux des unités de calcul, et au cas o une des unités de calcul est dans un état défectueux, cette unité est remise en service par un signal de remise à l'état
initial.
Un tel système de calculateur pour commander
un paramètre de fonctionnement d'un moteur à combus-
tion interne d'un véhicule automobile, est connu par le document DE-OS 3 726 489 Il est proposé dans ce document, un système de calculateur constitué par deux processeurs qui sont reliés par l'intermédiaire d'un système de liaison pour l'échange de données des deux signaux de commande de contrôle Pour la surveillance réciproque des deux processeurs, chaque processeur est
équipé de ce que l'on appelle un dispositif de sur-
vaillance, qui délivre à un autre calculateur respec-
tif, des signaux de contrôle à l'aide desquels cet au-
tre calculateur peut vérifier l'aptitude au fonction-
nement du calculateur émettant le signal de contrôle.
Un second trajet de surveillance est constitué dans le cas d'un tel système à deux calculateurs, par la
transmission de données entre les deux processeurs.
Cette transmission de données s'effectue cycliquement selon une trame de temps fixe, et, en cas d'absence d'une transmission ou d'une demande de données d'un des deux calculateurs ferme l'autre calculateur au moins sur un défaut de fonctionnement et démarre à nouveau le calculateur défectueux par l'intermédiaire à nouveau d'une impulsion de remise à l'état initial (démarrage à chaud) Lors de la mise en service du système de calculateur, une impulsion d'initialisation commune aux deux calculateurs (power on) est émise et remet simultanément les deux calculateurs à l'état
initial pour leur initialisation (démarrage à froid).
L'inconvénient d'une telle disposition est que le sys-
tème de calculateur ne peut pas être mis en fonction-
nement correctement lorsque l'impulsion d'initialisa-
tion ou bien le dispositif de circuit produisant cette impulsion, est affecté d'un défaut Si le système de calculateur est utilisé pour contrôler les fonctions critiques de sécurité d'un moteur à combustion interne et/ou d'un véhicule automobile, il existe le risque que dans un tel cas de défaut, on puisse avoir un état
de marche critique pour la sécurité.
L'invention a en conséquence pour but d'amé-
liorer la disponibilité d'un tel système de calcula-
teur A cet effet, il est prévu une unité supplémen-
taire émettant des signaux, qui élimine au moins une des unités de calcul par une impulsion de remise à l'état initial indépendante du signal de remise à zéro d'initialisation. Dans le document DE-OS 37 90 885 est décrit un dispositif de circuit permettant de produire une impulsion d'initialisation ou bien de remise à l'état initial Ce dispositif de circuit sert, d'une part, à remettre à l'état initial un système de calculateur lors d'une première mise en circuit (power on), et, d'autre part, à remettre à l'état initial le système de calculateur lors d'une sous-tension, c'est-à-dire lors de l'abaissement de la tension de fonctionnement
au-dessous d'une valeur prédéfinie En outre, le dis-
positif de circuit ainsi proposé engendre un signal de remise à l'état initial qui, lors d'une défaillance d'un calculateur, est déclenché par un calculateur en
mesure de fonctionner pour démarrer à nouveau le cal-
culateur qui n'est pas en mesure de fonctionner.
L'invention présente l'avantage qu'en cas de
défaillance du dispositif de circuit engendrant l'im-
pulsion d'initialisation ou bien de remise à l'état initial, une mise en service correcte du système de
calculateur est rendue possible par une unité supplé-
mentaire indépendante de ce dispositif de circuit Une mise en service défectueuse et une situation critique
pour la sécurité en résultant, peuvent ainsi être évi-
tées efficacement.
En combinaison avec le procédé connu par
l'état de la technique de surveillance d'un tel systè-
me de calculateur, l'unité supplémentaire peut être
réalisée d'une façon simple et économique.
D'autres avantages de l'invention résultent d'autres caractéristiques de celle-ci en conjonction
avec l'exemple de réalisation décrit ci-après.
Selon une caractéristique de l'invention, l'impulsion de remise à l'état initial indépendante est délivrée lors de la mise en service du système de calculateur.
Selon une autre caractéristique de l'inven-
tion, l'unité supplémentaire est en dépendance directe
de la tension d'alimentation.
Selon une autre caractéristique de l'inven- tion, seule une unité de calcul est alimentée par le
signal de remise à l'état initial indépendant.
Selon une autre caractéristique de l'inven-
tion, l'unité de calcul alimentée par le signal sup-
plémentaire de remise à l'état initial détecte un fonctionnement défectueux de l'autre unité et démarre à nouveau celle-ci lorsqu'un fonctionnement défectueux
est détecté.
Selon encore une autre caractéristique de
l'invention, l'unité supplémentaire est essentielle-
ment constituée par un élément de différentiation, de
préférence un élément RC (résistance-capacité).
L'invention va être exposée ci-après à l'ai-
de d'un exemple de réalisation représenté aux dessins
ci-joints.
la figure 1 montre un exemple d'un système de deux calculateurs représenté sous forme de schéma par blocs et comportant une unité supplémentaire de remise à l'état initial, la figure 2 est un diagramme fonctionnel d'ensemble de la coopération de la surveillance du calculateur et de l'unité supplémentaire de remise à l'état initial lors de la mise en service du système
de calculateur.
la figure 3 présente une forme de réalisa-
tion simple au point de vue de la technique de bran-
chement et économique de l'unité supplémentaire de
remise à l'état initial.
La figure 1 montre à titre d'exemple, un système à deux calculateurs qui est prévu pour assurer
des fonctions déterminées dans le véhicule automobile.
Par exemple, de tels systèmes à deux calculateurs peu-
vent être mis en oeuvre dans des dispositifs de sécu-
rité, tels que des sacs à air ou des tendeurs de cein-
tures, ou bien ils peuvent être utilisés pour la com-
mande et/ou la régulation de paramètres de fonctionne-
ment du moteur à combustion interne d'un véhicule automobile, par exemple dans une commande électronique
de la puissance du moteur.
Les deux unités de calcul 10 et 20 sont reliées par l'intermédiaire d'un système de liaison Un tel système de liaison peut comprendre des liaisons pour les données, des liaisons d'adressage et/ou des liaisons de commande Le système de liaison 30 sert à échanger des données, des adresses et/ou des signaux de commande ou de contrôle à l'aide desquels
est commandée la communication entre les deux calcula-
teurs Les deux unités de calcul 10 et 20 sont équi-
pées de ce que l'on appelle des dispositifs de sur-
veillance 12, 22 Les deux unités dispositifs de sur-
veillance sont reliées entre elles par l'intermédiaire de deux liaisons 32, 33, la liaison 32 acheminant le
signal en provenance de l'unité-dispositif de surveil-
lance 12 et la liaison 33 celui en provenance de
l'unité-dispositif de surveillance 22.
La liaison 32 est en outre reliée par l'in-
termédiaire d'une unité de circuit 34 à une entrée d'un étage de combinaison 36 Cet étage de combinaison 36 qui correspond à une fonction logique OU, est relié par sa seconde entrée à une sortie 37 de l'unité de
calcul 10 La liaison de sortie 38 de l'étage de com-
binaison 36 constitue la liaison d'entrée d'un second étage de combinaison 40 dont la seconde entrée est combinée, par l'intermédiaire d'une liaison 41, avec un dispositif de circuit 42 pour la formation d'une impulsion de remise à l'état initial ou impulsion de signalisation La liaison de sortie 43 de l'étage de combinaison 40 assurant également une fonction logique
OU est reliée à l'entrée 44 de l'unité de calcul 20.
D'une façon analogue, la liaison 33 est reliée par l'intermédiaire d'une unité de commutation 46 avec un troisième étage de combinaison 48, dont la seconde entrée est combinée avec une sortie 50 de l'unité de calcul 20 La liaison de sortie 52 de l'étage de combinaison 48 est reliée à l'entrée 54 d'une unité 56 pour la formation d'une impulsion de remise à l'état initial indépendante A une autre entrée 58, l'unité 56 est reliée par l'intermédiaire de la liaison 41 à l'unité 42 pour la formation d'une impulsion de remise à l'état initial ou impulsion d'initialisation Une troisième entrée 60 de l'unité 56 est alimentée par la liaison 62 qui constitue en même temps la liaison d'entrée de l'unité 42 qui
apporte la tension d'alimentation du système La sor-
tie 64 de l'unité 56 est enfin reliée à l'entrée 66 de
l'unité de calcul 10.
Le mode de fonctionnement du système repré-
senté à la figure 1, résulte de ce qui suit L'unité
42 forme, en fonction des valeurs de tension d'alimen-
tation qui lui sont appliquées par l'intermédiaire de
la liaison 62, un signal pulsé qui, par l'intermédiai-
re de la liaison 41, de l'étage de combinaison 40 et
de la liaison 43, remet à l'état initial le calcula-
teur 20 par l'intermédiaire de son entrée 44 de remise a l'état initial Une telle impulsion de remise à l'état initial intervient par exemple lors de la mise
en service du système en tant qu'impulsion d'initiali-
sation L'impulsion de remise à l'état initial est en outre appliquée, par l'intermédiaire de l'entrée 58 de l'unité 56 et la liaison de sortie 64 de l'unité 56, à l'entrée de remise à l'état initial 66 de l'unité de calcul 10 L'unité de calcul 10 est simultanément démarrée par l'unité de calcul 20 dans les conditions de fonctionnement décrites ci-dessus Dans l'exemple représenté, les calculateurs sont, de préférence,
remis à l'état initial par un signal positif "haut".
Dans le cas d'initialisation, les sorties 12, 37 ou
bien 22, 50 dont à un potentiel "Sas".
La surveillance réciproque du fonctionnement
des deux calculateurs est effectuée de façon corres-
pondante au document initialement mentionné DE-OS 3 726 489 Une première voie de-surveillance peut alors résider dans un échange cyclique de données exploité selon une trame de temps fixe Une des unités de calcul 10 ou 20 attend alors, dans une trame de temps fixe, une demande de données de l'autre unité par l'intermédiaire du système de liaison 30 L'unité de calcul exprimant la demande de données, attend
ensuite une transmission de données de l'autre unité.
Si l'une de ces réactions est absente, l'unité de cal-
cul concernée est identifiée comme défectueuse L'uni-
té en mesure de fonctionner démarre alors à nouveau l'unité défectueuse par l'intermédiaire de sa sortie de redémarrage (dans le cas de l'unité de calcul 10, la sortie 37, dans le cas de l'unité de calcul 20, par l'intermédiaire de la sortie 50) L'unité de calcul
considéré envoie alors, dans le cas d'un fonctionne-
ment défectueux-de l'unité de calcul 20, une impulsion de remise à l'état initial, par l'intermédiaire des étages de combinaison 36 et 40 à l'entrée de remise à l'état initial 44, et pour le cas o l'unité de calcul fait preuve d'un fonctionnement défectueux, par l'intermédiaire de l'étage de combinaison 48 et de l'unité 56 à l'entrée de remise à l'état initial 66 de l'unité de calcul 10 Le nouveau démarrage couronné de
succès de l'unité de calcul défectueuse peut être con-
trôlé à l'aide du protocole de données décrit ci-
dessus ou bien à l'aide du dispositif de surveillance
décrit ci-après.
Une autre voie de surveillance est donnée par l'échange réciproque de signaux de contrôle du dispositif de surveillance entre les deux unités de calcul Dans ce cas, un signal de contrôle est délivré à partir de l'unité dispositif de surveillance 12 par l'intermédiaire de la liaison 32 à l'unité dispositif
de surveillance 22 de l'unité de calcul 20 qui exploi-
te ce signal et qui détermine, à l'aide de la forme du
signal et/ou de son niveau, la capacité de fonctionne-
ment de l'unité de calcul 10 De façon analogue, un signal de contrôle analogue est transmis à partir de l'unité 22 par l'intermédiaire de la liaison 33 à l'unité dispositif de surveillance 12 de l'unité de calcul 10 o il est exploité Les liaisons 32 et 33 sont reliées à des unités de circuit 34 ou bien 46 qui exploitent le signal de contrôle et qui, dans le cas d'un défaut, appliquent une impulsion de remise à
l'état initial par l'intermédiaire des étages de com-
binaison 36 et 40 à l'entrée de remise à l'état ini-
tial 44 de l'unité de calcul 20 dans le cas de la défaillance de l'unité de calcul 10, et qui appliquent
ce signal par l'intermédiaire de la liaison de combi-
naison 48 et de l'unité 56, à l'entrée de remise à l'état initial 66 de l'unité de calcul 10 en cas de
défaut de l'unité de calcul 20, l'unité de calcul res-
pectivement défectueuse étant ensuite à nouveau démar-
rée par l'autre unité Les étages de combinaison 36,
et 48 sont alors réalisés sous la forme de combi-
naisons OU pour obtenir une égalité des impulsions de remise à l'état initial de l'unité 42 sur la base d'un signal dispositif de surveillance défectueux ou bien
sur la base d'un signal de redémarrage.
L'unité 56, dont un exemple de réalisation
est représenté à la figure 3, est constituée essen-
tiellement par une combinaison logique OU 70 qui garantit une égalité entre les signaux de remise à
l'état initial délivrés à partir de l'étage de combi-
naison 48 à l'entrée 54 de l'unité 56 par l'intermé-
diaire de la liaison 52 et le signal de remise à l'état initial appliqué en cas d'état défectueux de l'unité 42, par l'intermédiaire de la liaison 41 à
l'entrée 58 de l'unité 56 Un étage de formation d'im-
pulsions 72 fait en outre partie de l'unité 56 A cet étage de formation d'impulsions 72 est appliquée la sortie de la combinaison logique OU 70 et un signal de tension d'alimentation, par l'intermédiaire de la liaison 62 et de l'entrée 60 de l'unité 56, la sortie de l'étage de formation d'impulsions 72 étant reliée à la sortie 64 de l'unité 56 et desservant l'entrée de
remise à l'état initial 66 de l'unité de calcul 10.
L'étage de formation d'impulsions 72 peut, dans un exemple de réalisation préféré, être réalisé sous la forme d'un élément de différentiation Si l'unité 42 est défaillante pour former un signal de remise à l'état initial lors de la mise en route,
l'unité de formation d'impulsions 72 sert alors à for-
mer un signal de remise à l'état initial à partir du
signal de tension d'alimentation acheminé par l'inter-
médiaire de la liaison 62 L'étage 72 délivre, lors de la mise en service du système, à l'entrée de remise à
l'état initial 66 de l'unité de calcul 10, une impul-
sion de remise à l'état initial qui initialise et
démarre cette unité A l'aide de la voie de surveil-
lance précédemment décrite, l'unité de calcul 10 peut détecter un fonctionnement défectueux de l'unité 20 et
démarrer à nouveau celle-ci, en ce que, par l'intermé-
diaire de sa sortie 37, lorsqu'un fonctionnement défectueux de l'unité 20 est détecté, elle applique à l'entrée de remise à l'état initial 44 de cette unité, un signal de remise à l'état initial Ainsi, même en cas de défaillance de l'unité 42, une mise en service
correcte du système est garantie.
Le concept de l'invention peut également être appliqué à des systèmes comportant un plus grand nombre de calculateurs, et il est en outre également possible, que l'unité 56 soit associée à l'unité de
calcul 20.
A la figure 2, le concept de l'invention est
représenté à l'aide d'un diagramme fonctionnel d'en-
semble, qui décline en son principe le déroulement dans l'unité de calcul, qui est associée à l'unité 56,
lors de la mise en service du système de calculateur.
A l'étape 100, lors de la mise en service du système
de calculateur, l'unité de calcul considérée est ini-
tialisée par des impulsions de remise à l'état ini-
tial Dans le cas d'un fonctionnement sans défaut,
ceci s'effectue par l'impulsion d'initialisation déli-
vrée par l'unité 42 Si celle-ci est défectueuse, alors l'unité 56 délivre une impulsion supplémentaire à l'unité de calcul qui lui est associée Dans le bloc d'interrogation 102, est vérifié, dans le système à deux calculateurs, l'aptitude au fonctionnement de la deuxième unité de calcul à laquelle n'est pas associée l'unité 56 Si c'est le cas, on peut en conclure qu'une mise en service correcte a eu lieu et, dans le
bloc 110, le fonctionnement normal du système de cal-
culateur est constaté Mais si l'autre unité de calcul fonctionne de façon défectueuse, cette unité, de façon
correspondante au bloc 104, est remise à l'état ini-
tial par l'unité de calcul démarrée correctement A l'étape 106, le mode de fonctionnement correct de l'unité de calcul venant d'être démarrée à nouveau, est contrôlé, dans le cas d'un mode de fonctionnement correct, un démarrage correct du système est constaté ( 110), mais si l'unité de calcul à nouveau démarrée fonctionne de façon défectueuse, cette unité de calcul est identifiée comme défectueuse à l'étape 108 est
mise hors circuit.
La figure 3 montre une forme de réalisation de l'unité 56 Les références utilisées à la figure 1 des entrées ou bien des sorties de l'unité 56, ont été maintenues Une possibilité de réalisation simple et
économique est constituée par deux diodes, une résis-
tance et un condensateur.
L'entrée 54 à laquelle s'applique, éventuel-
lement, du fait d'un défaut, un signal du dispositif de surveillance ou bien un signal de redémarrage de l'autre calculateur, est reliée à l'anode d'une diode
dont la cathode est reliée à un point de combinai-
son 202 L'entrée 58 à laquelle éventuellement s'ap-
plique l'impulsion d'initialisation ou impulsion de remise à l'état initial de l'unité 42, est reliée à l'anode d'une seconde diode 204 dont la cathode est également reliée au point de combinaison 202 Les deux diodes constituent alors la combinaison logique OU décrite précédemment, auquel cas, les deux signaux s'appliquant aux entrées 54 et 58 sont transmis dans
les mêmes conditions à la sortie 64 qui est directe-
ment reliée au point de combinaison 202 Au point de combinaison 202 est en outre raccordé un condensateur qui, par ailleurs, est relié à l'entrée 60 de l'unité 56 Une résistance 208 relie à la masse le point de
combinaison 202.
Lors de la mise en fonctionnement du système de calculateur, un signal de tension correspondant
s'applique à l'entrée 60 de l'unité 56 Le condensa-
teur 206 est chargé, de façon correspondante, à la modification du signal de tension, de sorte que la
tension du condensateur prend une allure exponentiel-
le La modification dans le temps de la tension du condensateur se traduit par une modification corres-
pondante, inverse dans le temps, de l'allure du poten-
tiel au point de combinaison 202 Cette allure du
potentiel représente un signal "haut" en forme d'im-
pulsion avec un flanc raide et un flanc tombant cor-
respondant à l'allure montante de la tension du con-
densateur Le signal pulsé formé de cette façon, est appliqué à la sortie 64 de l'unité 56 et est amené à
l'entrée de remise à l'état initial de l'unité de cal-
cul associée, grâce à quoi, celle-ci est remise à l'état initial De cette façon, un démarrage correct du système de calculateur est garanti indépendamment
du signal de l'unité 42.
La façon de procéder conforme à l'invention peut, en principe, s'appliquer également dans le cas
de sous tension.
Claims (6)
1. Système de calculateur avec au moins deux unités de calcul ( 10-20) qui sont reliées par au moins un système de liaison ( 30) pour permettre l'échange de données et/ou de signaux de commande ou de contrôle, et qui lors de la mise en service, sont initialisées par un signal de remise à l'état initial (power-on-reset), ce système de calculateur étant équipé d'au moins un moyen pour détecter des états
défectueux des unités de calcul (dispositif de sur-
veillance, protocole d'échange de données) et au cas
o une des unités de calcul est dans un état défec-
tueux, cette unité est remise en service par un signal
de remise à l'état initial (restart), système de cal-
culateur caractérisé en ce qu'il est équipé d'une uni-
té supplémentaire émettant des signaux, qui élimine au moins une des unités de calcul par une impulsion de remise à l'état initial indépendante du signal de
remise à zéro d'initialisation.
2 Système de calculateur selon la revendi-
cation 1, caractérisé en ce que l'impulsion de remise à l'état initial indépendante est délivrée lors de la
mise en service du système de calculateur.
3. Système de calculateur selon l'une quel-
conque des revendications 1 ou 2, caractérisé en ce
que l'unité supplémentaire est en dépendance directe
de la tension d'alimentation.
4. Système de calculateur selon l'une quel-
conque des revendications 1 à 3, caractérisé en ce que
seule une unité de calcul est alimentée par le signal
de remise à l'état initial indépendant.
5. Système de calculateur selon l'une quel-
conque des revendications 1 à 4, caractérisé en ce que
l'unité de calcul alimenté par le signal supplémentai-
re de remise à l'état initial détecte un fonctionne-
ment défectueux de l'autre unité et démarre à nouveau celle-ci lorsqu'un fonctionnement défectueux est détecté.
6. Système de calculateur selon l'une quel-
conque des revendications 1 à 5, caractérisé en ce que
l'unité supplémentaire est essentiellement constituée par un élément de différentiation, de préférence un
élément RC (résistance-capacité).
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE19904004709 DE4004709C2 (de) | 1990-02-15 | 1990-02-15 | Rechnersystem |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| FR2658335A1 true FR2658335A1 (fr) | 1991-08-16 |
| FR2658335B1 FR2658335B1 (fr) | 1997-10-17 |
Family
ID=6400226
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| FR9100191A Expired - Fee Related FR2658335B1 (fr) | 1990-02-15 | 1991-01-09 | Systeme de calculateur, mis en óoeuvre dans des dispositifs de securite appliques aux vehicules automobiles. |
Country Status (4)
| Country | Link |
|---|---|
| JP (1) | JP3217077B2 (fr) |
| DE (1) | DE4004709C2 (fr) |
| FR (1) | FR2658335B1 (fr) |
| GB (1) | GB2241361B (fr) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0486222A2 (fr) * | 1990-11-10 | 1992-05-20 | Lucas Industries Public Limited Company | Améliorations de systèmes à base de microprocesseur |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19541734C2 (de) * | 1995-11-09 | 1997-08-14 | Bosch Gmbh Robert | Schaltungsanordnung zur Durchführung eines Reset |
| JP3881177B2 (ja) * | 2001-02-06 | 2007-02-14 | 三菱電機株式会社 | 車両用制御装置 |
| DE10151012A1 (de) * | 2001-10-16 | 2003-04-17 | Volkswagen Ag | Rechnersystem |
| DE10252990B3 (de) | 2002-11-14 | 2004-04-15 | Siemens Ag | Steuereinheit zur Auslösung eines Insassenschutzmittels in einem Kraftfahrzeug und Verfahren zur Überwachung der ordnungsgemäßen Funktion einer vorzugsweise solchen Steuereinheit |
| DE10329196A1 (de) * | 2003-06-28 | 2005-01-20 | Audi Ag | Verfahren zum Reset von elektronischen Fahrzeug-Steuergeräten |
| DE10350853A1 (de) * | 2003-10-31 | 2005-06-02 | Conti Temic Microelectronic Gmbh | Schaltungsanordnung zum Überwachen einer Kraftfahrzeug-Sicherheitseinrichtung |
| US9740178B2 (en) * | 2013-03-14 | 2017-08-22 | GM Global Technology Operations LLC | Primary controller designation in fault tolerant systems |
| JP6520962B2 (ja) * | 2017-01-18 | 2019-05-29 | トヨタ自動車株式会社 | 監視システム |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO1988005569A1 (fr) * | 1987-01-22 | 1988-07-28 | Robert Bosch Gmbh | Systeme a multicalculateur et son procede de commande |
| DE3726489A1 (de) * | 1987-08-08 | 1989-02-16 | Bosch Gmbh Robert | Einrichtung zur ueberwachung eines rechnersystems mit zwei prozessoren in einem kraftfahrzeug |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4234926A (en) * | 1978-12-05 | 1980-11-18 | Sealand Service Inc. | System & method for monitoring & diagnosing faults in environmentally controlled containers, such system and method being especially adapted for remote computer controlled monitoring of numerous transportable containers over existing on-site power wiring |
| AU575297B2 (en) * | 1982-09-21 | 1988-07-28 | Xerox Corporation | Separate resetting of processors |
| FR2571872B1 (fr) * | 1984-10-15 | 1987-02-20 | Sagem | Dispositif d'alimentation electrique de microprocesseurs |
| DE3603082A1 (de) * | 1986-02-01 | 1987-08-06 | Bosch Gmbh Robert | Vorrichtung zum ruecksetzen von recheneinrichtungen |
-
1990
- 1990-02-15 DE DE19904004709 patent/DE4004709C2/de not_active Expired - Lifetime
-
1991
- 1991-01-09 FR FR9100191A patent/FR2658335B1/fr not_active Expired - Fee Related
- 1991-02-08 GB GB9102732A patent/GB2241361B/en not_active Expired - Fee Related
- 1991-02-12 JP JP01853091A patent/JP3217077B2/ja not_active Expired - Lifetime
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO1988005569A1 (fr) * | 1987-01-22 | 1988-07-28 | Robert Bosch Gmbh | Systeme a multicalculateur et son procede de commande |
| DE3726489A1 (de) * | 1987-08-08 | 1989-02-16 | Bosch Gmbh Robert | Einrichtung zur ueberwachung eines rechnersystems mit zwei prozessoren in einem kraftfahrzeug |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0486222A2 (fr) * | 1990-11-10 | 1992-05-20 | Lucas Industries Public Limited Company | Améliorations de systèmes à base de microprocesseur |
| EP0486222A3 (en) * | 1990-11-10 | 1993-02-24 | Lucas Industries Public Limited Company | Improvements in and relating to microprocessor based systems |
Also Published As
| Publication number | Publication date |
|---|---|
| FR2658335B1 (fr) | 1997-10-17 |
| JPH04215140A (ja) | 1992-08-05 |
| DE4004709A1 (de) | 1991-08-22 |
| GB2241361A (en) | 1991-08-28 |
| GB2241361B (en) | 1993-08-11 |
| JP3217077B2 (ja) | 2001-10-09 |
| DE4004709C2 (de) | 1999-01-07 |
| GB9102732D0 (en) | 1991-03-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| FR2897454A1 (fr) | Dispositif de communication | |
| FR2658335A1 (fr) | Systeme de calculateur, mis en óoeuvre dans des dispositifs de securite appliques aux vehicules automobiles. | |
| FR2651890A1 (fr) | Dispositif de detection et de discrimination de defauts de fonctionnement d'un circuit d'alimentation electrique. | |
| FR2704321A1 (fr) | Appareil et procédé de détection d'erreur pour un affichage électro-optique. | |
| EP0318354B1 (fr) | Dispositif de transmission d'informations pour véhicule automobile et procédé de mise en oeuvre d'un tel dispositif | |
| FR2575119A1 (fr) | Dispositif de commande d'eclairage pour un vehicule | |
| FR2527358A1 (fr) | Moniteur du mode de fonctionnement d'un microcalculateur et procede de surveillance | |
| CH658924A5 (fr) | Installation d'alarme d'incendie. | |
| FR2659155A1 (fr) | Dispositif de commande de l'alimentation electrique d'une pluralite de modules electroniques. | |
| FR2802493A1 (fr) | Equipement de direction assistee electrique | |
| FR2596712A1 (fr) | Regulateur electronique du glissement de freinage | |
| FR2814781A1 (fr) | Dispositif de protection de demarreur | |
| FR2998758A1 (fr) | Dispositif d'eclairage embarque dans un vehicule automobile et procede associe de commande d'une source lumineuse | |
| FR3054772A1 (fr) | Circuit d'eclairage et feu de vehicule | |
| FR2993221A1 (fr) | Dispositif et procede de communication entre un module electronique et un capteur de detection comportant une source lumineuse | |
| FR2763099A1 (fr) | Procede et dispositif de commande d'un groupe moteur d'un vehicule automobile | |
| FR2532592A1 (fr) | Installation de circuits pour la surveillance de la pression de pneumatiques pour vehicules automobiles | |
| FR2682831A1 (fr) | Dispositif de commande pour des moteurs electriques dans des vehicules. | |
| FR2713798A1 (fr) | Calculateur de commande, qui est relié, par l'intermédiaire d'un bus d'adresses, à plusieurs unités périphériques. | |
| FR2519494A1 (fr) | Circuit d'interconnexion selective de sources de signal et de destinations de signal | |
| FR2508257A1 (fr) | Procede de transmission de messages entre modules emetteurs recepteurs autonomes possedant des horloges et des dispositifs de synchronisation internes independants | |
| FR2471892A1 (fr) | Procede et dispositif de controle d'un systeme antiblocage et de signalisation de defaut pour freins de vehicules | |
| FR2741171A1 (fr) | Circuit electronique pour effectuer une remise a l'etat initial | |
| EP2547554A1 (fr) | Dispositif de commutation pour haut de colonne de direction de véhicule automobile | |
| FR2993222A1 (fr) | Dispositif et procede de communication entre un module electronique et un capteur de detection en presence d'une source lumineuse |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| ST | Notification of lapse |