JP2000155703A - 単一プロセッサシステム - Google Patents

単一プロセッサシステム

Info

Publication number
JP2000155703A
JP2000155703A JP11323076A JP32307699A JP2000155703A JP 2000155703 A JP2000155703 A JP 2000155703A JP 11323076 A JP11323076 A JP 11323076A JP 32307699 A JP32307699 A JP 32307699A JP 2000155703 A JP2000155703 A JP 2000155703A
Authority
JP
Japan
Prior art keywords
error
watchdog
processor
unit
processor unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP11323076A
Other languages
English (en)
Other versions
JP3486747B2 (ja
Inventor
Richard Gall
リヒヤルド・ガル
Thomas Maier
トーマス・マイエル
Erwin Schmidt
エルヴイン・シユミツト
Juergen Trost
ユルゲン・トロースト
Gert Dr Volk
ゲルト・フオルク
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mercedes Benz Group AG
Original Assignee
DaimlerChrysler AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DaimlerChrysler AG filed Critical DaimlerChrysler AG
Publication of JP2000155703A publication Critical patent/JP2000155703A/ja
Application granted granted Critical
Publication of JP3486747B2 publication Critical patent/JP3486747B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25158Watchdog

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Debugging And Monitoring (AREA)
  • Hardware Redundancy (AREA)

Abstract

(57)【要約】 【課題】 比較的わずかな費用で実現可能な誤り反応手
段を含み、これらの誤り反応手段が、誤りを確認した際
にシステムを所定の誤り反応状態に移すことが可能であ
り、かつ所定の範囲において故障に対して安全に動作す
る、単一プロセッサシステムを提供する。 【解決手段】 1.単一プロセッサシステム 2.1.本発明は、必要なシステム機能を果たすプロセ
ッサユニット(1)を有し、かつ誤り反応手段を有し、
この誤り反応手段が、生じる誤りに関してシステムを監
視し、かつ誤りが確認された際に、システムを所定の誤
り反応状態に移す、必要なシステム機能を果たす、とく
に安全にとって危険な制御機能を実行する単一プロセッ
サシステムに関する。2.2.本発明によれば、誤り反
応手段は、誤り監視のためにプロセッサユニット(1)
に付属した互いに独立の2つのウオッチドッグユニット
(WD1,WD2)を含み、これらのウオッチドッグユ
ニットは、誤りを確認した際に、誤り反応状態へのシス
テムの移行を引起こす。2.3.例えば自動車の制御装
置における利用。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、必要なシステム機
能を果たすプロセッサユニットを有し、かつ誤り反応手
段を有し、この誤り反応手段が、生じるシステム誤りに
関してプロセッサシステムを監視し、かつ誤り監視のた
めにプロセッサユニットに付属の少なくとも2つのウオ
ッチドックユニットを有し、これらのウオッチドックユ
ニットが、誤りが確認された際に、プロセッサシステム
を所定の誤り反応状態に移す、必要なシステム機能を果
たす、とくに安全にとって危険な制御機能を実行する単
一プロセッサシステムに関する。
【0002】
【従来の技術】単一プロセッサシステムとは、ここで
は、所定のシステム課題において複数のプロセッサユニ
ットが並列に動作する、例えばヨーロッパ特許出願公開
第0086601号明細書、同第0635784号明細
書及びドイツ連邦共和国特許出願公開第3502721
号明細書に記載されたようなマルチプロセッサシステム
とは相違して、所定のシステム機能を果たすために1つ
のプロセッサだけしか設けられていないシステムのこと
である。その他の機能を果たすために、この単一プロセ
ッサシステムにおいて、別のプロセッサユニットを設け
てもよいことは明らかである。
【0003】所定のシステム機能を果たすために1つの
プロセッサユニットしか利用しないということは、マル
チプロセッサシステムに対して、わずかな実現費用の利
点を有する。なぜなら後者は、追加的なプロセッサユニ
ット、及び複数のプロセッサユニットの衝突のない並列
動作のための処置を必要とするからである。しかし単一
プロセッサシステムの困難は、プロセッサユニットの部
分的又は完全な故障の際に、場合によってはもはやシス
テム機能が果たされず、かつシステムが定義されない状
態に至ることがあるという点にある。このことは、例え
ば安全にとって危険な制御機能を実行する自動車技術に
おける利用の際のように、とくに安全にとって危険な用
途において不所望である。
【0004】この困難を取り除く周知の処置は、冗長な
システム構成にあり、ここでは少なくとも2つの並列の
プロセッサユニットがマルチプロセッサシステムを形成
しており、このマルチプロセッサシステムは、一方のプ
ロセッサユニットの故障の際にも、まだ動作能力を有す
る他方のプロセッサユニットによって必要なシステム機
能を果たすことを保証している。しかしこのことは、再
び相応する実現費用に結び付いている。
【0005】それ故にいわゆるウオッチドックユニット
によって単一のプロセッサユニットを監視することも、
すでに周知であり、このウオッチドックユニットは、ハ
ードウエア又はソフトウエアにおいて構成することがで
き、かつプロセッサユニットによって実行されるプログ
ラムシーケンスを場合によっては生じる誤りについてチ
ェックする。このことは、所定の位置におけるプロセッ
サユニットのプログラムシーケンス内に、ウオッチドッ
クユニットのコールが、すなわち制御部が設けられてい
ることによって行なわれる。このコールが、正規に、例
えばウオッチドックユニット内のクロック発生器によっ
て計数される期間内に行なわれないとき、ウオッチドッ
クユニットは、プロセッサユニットにリセット命令を送
出し、かつそれによりこれを定義された初期状態に移
す。しかしながらこの処置は、とくに安全にとって危険
な用途に対して、まだ常に満足すべきものではない。な
ぜならこれは、例えばウオッチドックユニットの故障の
際に、もはや保証されておらず、かつ加えて誤りの生じ
た際にかなりの場合、プロセッサユニットのリセットの
他に、なお少なくとも1つの別の誤り反応処置が望まれ
ることがあるからである。例えばプロセッサユニットに
よる安全にとって危険なアクチュエータの制御の場合、
誤りが生じた際にプロセッサユニットをその定義された
初期状態にリセットするだけでなく、追加的にアクチュ
エータを定義された安全状態に移すことが望まれること
がある。
【0006】ドイツ連邦共和国特許出願公開第4330
940号明細書に、初めに述べたような単一プロセッサ
システムが開示されており、ここでは2つのウオッチド
ックユニットは、その入力が両方のウオッチドックユニ
ットに対して同一でありかつマイクロプロセッサから発
生されるプログラム管理信号によって作用を受けるよう
に、それにより監視されるマイクロプロセッサに並列に
連結されている。追加的に両方のウオッチドッグユニッ
トは、その動作能力についてマイクロプロセッサによっ
てチェックされることができ、そのためにマイクロプロ
セッサは、第2の入力端子を介してそれぞれ監視される
ウオッチドッグユニットに、正規でないプログラム管理
信号に相当する妨害テスト信号を加える。
【0007】ドイツ連邦共和国特許出願公開第4430
177号明細書に、プロセッサのための監視装置が記載
されており、この監視装置は、観察回路を含み、この観
察回路は、正しいプロセッサ動作を監視し、かつ制御可
能なスイッチによって装置に通じるプロセッサ出力線内
にループ接続されていることによって、誤りを含むプロ
セッサ出力信号をプロセッサによって制御される装置に
加えることを阻止する。プロセッサの誤りのないことを
認識した際にだけ、観察回路は、プロセッサ出力信号を
装置に通過させる。
【0008】
【発明が解決しようとする課題】本発明の基礎とする技
術的な問題は、比較的わずかな費用で実現可能な誤り反
応手段を含み、これらの誤り反応手段が、誤りを確認し
た際にシステムを所定の誤り反応状態に移すことが可能
であり、かつ所定の範囲において故障に対して安全に動
作する、初めに挙げたような単一プロセッサシステムを
提供することにある。
【0009】
【課題を解決するための手段】本発明は、特許請求の範
囲第1項の特徴を有する単一プロセッサシステムを提供
することによって、この問題を解決する。このシステム
において少なくとも2つのウオッチドックユニットは、
互いに独立にプロセッサユニットに付属しており、すな
わちこれらのウオッチドックユニットのために、プロセ
ッサユニットからプログラムシーケンスに依存して送出
される互いに異なったウオッチドックコールが設けられ
ている。
【0010】本発明によるこのシステムは、マルチプロ
セッサシステムの費用を回避し、かつそれでもなお両方
の並列のウオッチドッグシステムによって、とくにこれ
らのウオッチドッグユニットのうちの一方の機能故障に
対して確実な故障安全性を提供する。後者は、その基本
方式について従来のウオッチドッグユニットのように構
成することができ、その際、用途に応じて追加的な動作
能力を実行することができる。両方のウオッチドッグユ
ニットが互いに独立していることは、ここではこれらが
両方とも同一のシステム誤りによって故障しないので、
これに関して確実性を高める所望のウオッチドッグ冗長
度が与えられていることを意味する。
【0011】請求の範囲第2項にしたがって変形された
単一プロセッサシステムは、プロセッサユニットによっ
て制御されるアクチュエータを含んでいる。この時、ウ
オッチドッグユニットは、生じた誤りを認識した際に、
安全にとって危険な範囲において動作するアクチュエー
タの場合にとくに危険でない安全状態であることができ
る所定の状態にアクチュエータを移すように構成されて
いる。追加的にウオッチドッグユニットは、誤りを認識
した際に、プロセッサユニットをその定義された初期状
態にリセットすることを考慮することができる。請求の
範囲第3項によれば、この処置の別の構成において、ア
クチュエータは、誤りを認識するウオッチドッグユニッ
トによって、これがプロセッサユニットからエネーブル
情報を受取るまで、所定の状態に維持し、このエネーブ
ル情報の受信の後に、ウオッチドッグユニットは、アク
チュエータを再び通常動作のためにエネーブルする。
【0012】請求の範囲第4項にしたがって変形された
単一プロセッサユニットにおいて、ウオッチドックのコ
ールは、プロセッサユニットによって実行されるプログ
ラムシーケンスの1つ又は複数の定義された位置に設け
られており、その際、それぞれのウオッチドッグコール
は、どのプログラムシーケンス位置からこれを開始する
かに関する情報を含むことができる。ウオッチドックユ
ニットは、適当なシーケンステスト手段を含み、これら
のシーケンステスト手段は、コールを評価し、かつそれ
によりプロセッサユニットがプログラムを正規に実行す
るかどうか、又はシステム誤りが存在するかどうかを認
識することができる。ウオッチドッグユニットの相応し
てインテリジェントな構成は、とくにプロセッサユニッ
トがなお完全なプログラムシーケンスの一部分だけしか
周期的に通過しない誤りの認識を可能にすることができ
る。このプログラム部分に及びその他のプログラム部分
に、このようなインテリジェントなウオッチドッグユニ
ットのそれぞれ1つのコールが存在すれば、ウオッチド
ッグユニットは、十分に短い時間間隔で制御されるが、
これは、それにもかかわらずもはや片付けられない残り
のプログラムの生じなかったコールに基づいて誤りを認
識する。
【0013】
【発明の実施の形態】本発明の有利な構成は、図面に示
されており、かつ次に説明する。
【0014】図1に示された単一プロセッサシステム
は、マイクロプロセッサユニット1、及びこれにより制
御線2を介して制御可能なアクチュエータ3を含み、か
つ例えば安全にとって危険な機能を有する自動車制御装
置に組込むことができる。特徴的にその他にシステム
は、2つの並列のウオッチドッグユニットWD1、WD
2を有する。図示した例において両方のウオッチドッグ
ユニットWD1、WD2は、プロセッサユニット1に連
結された相応するウオッチドッグ回路の形の外部構成ユ
ニットとして実現されているが、その代わりにこれら
は、ソフトウエアにして実現することができ、かつ一方
又は両方のウオッチドッグユニットWD1、WD2は、
必要な場合には、従来のウオッチドッグユニットにとっ
てそれ自体周知のようにプロセッサユニット1内に統合
してもよい。
【0015】両方のウオッチドッグユニットWD1、W
D2は、一方において従来のウオッチドッグ機能を果た
す。そのためにこれらは、プロセッサユニット1によっ
て実行されるプログラムシーケンスにおける相応するウ
オッチドッグコールによってこれがトリガされるとき常
に、所属の制御線4a、4bを介してプロセッサユニッ
ト1によって制御される。プロセッサユニット1からの
このような制御信号が、ウオッチドッグユニットWD
1、WD2に構成されたクロック発生器によって計数さ
れる所定の期間よりも長く現われない場合、当該のウオ
ッチドッグユニットWD1、WD2は、システム誤りと
推論し、かつリセット線5a、5bを介してリセット信
号を送出し、このリセット信号によってプロセッサユニ
ット1は、所定の初期状態にリセットされる。
【0016】この従来の動作様式を越えて両方のウオッ
チドッグユニットWD1、WD2は、それ以上の動作特
性を有し、そのためにこれらは、相応してインテリジェ
ントなウオッチドッグユニットとして構成されている。
これらそれ以上の特性は、一方において両方のウオッチ
ドッグユニットWD1、WD2がプロセッサユニット1
によって実行されるプログラムシーケンスのどの位置か
らそれぞれのウオッチドッグコールが出たかを認識する
ことができる能力を含んでいる。そのためにプロセッサ
ユニット1からそれぞれのウオッチドッグユニットに送
信されるコールは、プログラムシーケンス内のコールの
位置に関する相応する出所情報を含んでいる。そのため
にウオッチドッグユニットWD1、WD2は、適切なシ
ーケンステスト手段を含み、これらのシーケンステスト
手段は、この出所情報を評価し、かつそれによりシステ
ムが正規に動作しているか又は誤りが存在するかどうか
を推論することができる。これらのシーケンステスト手
段は、従来のように、例えば前にファイルされたテーブ
ルを含むことができ、このテーブル内に当該のウオッチ
ドッグユニットWD1、WD2に対するコールの認識ラ
ベルが、正規のプログラムシーケンスの際のこのコール
の順序でリストアップされている。その代わりにシーケ
ンステスト手段は、カウンタ及び所定の時間値からなる
ことができ、これらの時間値は、正規のプログラムシー
ケンスの際に当該のウオッチドッグユニットWD1、W
D2の連続する2つのコールの間に高々経過する期間を
表わしている。連続する2つのコールの間にカウンタに
よって計数される期間がさらに長いと、ウオッチドッグ
ユニットは、このことを誤りと解釈する。その際、連続
する異なったコールに対する時間値を必要な場合には異
なって選定することができ、1つのプログラムサイクル
内において、例えば第1と第2のコールの間の時間値に
対して第2と第3のコールの間のものとは異なるように
選定することができる。
【0017】ウオッチドッグユニットWD1、WD2の
別の特性は、誤りが認識された際にプロセッサユニット
1をリセットできるだけでなく、加えてアクチュエータ
をそのためにシステム誤りが生じた際にあらかじめ与え
られる定義された状態に移すその能力にあり、その際、
とくに危険でない安全状態を問題にすることができる。
そのためにそれぞれのウオッチドッグユニットWD1、
WD2からアクチュエータ3に相応するアクチュエータ
制御線6a、6bが通じている。ウオッチドッグユニッ
トWD1、WD2は、これらにより認識される誤りが生
じた際に、そのために使われるエネーブル線7a、7b
を介してプロセッサ1からエネーブル情報を受取るま
で、アクチュエータ3をこの定義された状態に保持する
ように構成されている。プロセッサユニット1は、シス
テムが再び動作準備されていることを認識するとすぐ
に、このエネーブル情報7a、7bを送出し、かつエネ
ーブル情報は、ウオッチドッグユニットWD1、WD2
内において、これらが、当該の制御線6a、6bを介し
てアクチュエータ3を、再びプロセッサユニット1から
所属の制御線2を介して引起こされる通常の動作に対し
てエネーブルするようにする。
【0018】図2は、プロセッサユニット1により周期
的に実行されるプログラムシーケンスの例として選ばれ
た最初の部分によって、ウオッチドッグユニットWD
1、WD2の機能を説明している。プログラムサイクル
のスタートの後に(ステップ10)、まず第1のプログ
ラム部分PT1が実行され、このプログラム部分は、と
りわけアクチュエータのエネーブルを含んでいる(ステ
ップ11)。この第1のプログラム部分PT1の最後
に、前後して両方のウオッチドッグユニットWD1、W
D2のそれぞれのそれぞれ1つのコールが設けられてい
る。まず第1のウオッチドッグユニットWD1に対する
第1のコールAR1が行なわれ、その際、このコールA
R1は、前記のように、これがプログラムシーケンス内
において第1のプログラム部分PT1の最後に構成され
ていることに関する情報を含み、かつこのようにして第
1のウオッチドッグユニットWD1に対する第1のコー
ルをプログラムサイクル内に形成する(ステップ1
2)。
【0019】このコールAR1について、第1のウオッ
チドッグユニットWD1に相応してプログラム監視が行
なわれる(ステップ13)。そのためにこのウオッチド
ッグユニットは、同様に前記のように、到来したコール
が適正な時間における適正なコールであるかどうか、及
びそれ故に正規のプログラムシーケンスに相当するか又
はしないかをテストする(ステップ14)。そうでない
場合、第1のウオッチドッグユニットWD1によってア
クチュエータ3は、定義された状態に移され、例えば遮
断される(ステップ15)。同時にウオッチドッグユニ
ットWD1は、プロセッサユニット1をリセットする。
それからプロセッサユニット1において誤り処理を行な
うことができる。誤り除去の後に、プロセッサユニット
1は、それからエネーブル線7a、7bを介してウオッ
チドッグユニットWD1、WD2にエネーブル信号を送
信し、これらのウオッチドッグユニットは、それから再
びアクチュエータ動作をエネーブルする。
【0020】それに反して第1のウオッチドッグユニッ
トWD1におけるウオッチドッグ監視が、正規の第1の
コールを、したがってその点においてこれまで誤りのな
いプログラムシーケンスを確認すると、プログラムシー
ケンス内の次のステップとして、第2のウオッチドッグ
ユニットWD2のための第1のコールAR2が続く(ス
テップ16)。第2のウオッチドッグユニットWD2の
この活性化によって(ステップ17)、これにより行な
われるプログラムシーケンスのウオッチドッグ監視は、
このコールAR2が適正な順序で又はそのために設けら
れた期間内において到来するかどうか、かつプログラム
シーケンス内の適正な位置から出たかどうか(ステップ
18)をチェックすることによって行なわれる。これが
そうでない場合、第2のウオッチドッグユニットWD2
は、システム誤りを推論し、アクチュエータ3をそのた
めに設けられた定義された状態に制御し、例えばこれを
遮断することによって制御し、かつ同時にプロセッサユ
ニット1のリセットを引起こし(ステップ15)、この
プロセッサユニットは、それから誤り除去の後にプログ
ラムサイクルを再び改めてスタートする。
【0021】それに反して第2のウオッチドッグユニッ
トWD2も、第1のプログラム部分PT1の最後におけ
るその第1のコールAR2の際に、これまで正規のプロ
グラムシーケンスを推論すると、プロセッサユニット1
は、それに続く第2のプログラム部分PT2の実行によ
ってプログラムシーケンスを継続する(ステップ1
9)。この処置様式は、プログラムサイクルの最後まで
繰返され、その際、それぞれ適当なプログラム位置にお
いて、両方のウオッチドッグユニットWD1、WD2に
対して新たなコールが設けられている。
【0022】したがってコールが、一方においてプロセ
ッサユニット1の不所望なリセットを引起こさないため
に、十分に頻繁に制御されるように、かつ他方において
十分に細かいプログラム実行の管理を保証するように、
両方のウオッチドックユニットWD1、WD2のために
プログラムシーケンスの相応する位置に設けられている
ことは、目的に合っている。プログラムサイクル内に設
けられたコール位置が少ないほど、ウオッチドッグユニ
ットWD1、WD2が、コールの順序を評価せずに、連
続したコールの間の時間間隔だけに反応するとき、誤り
認識安全度は高くなる。なぜなら存在するコール位置が
少ないほど、プロセッサユニット1が、全プログラムサ
イクルを片付けることなく、誤りに基づいて周期的に通
過するプログラム部分内に、このようなコールが存在す
る確率は、低くなるからである。それに反してウオッチ
ドッグユニットWD1、WD2が、コール順序も評価で
きるように構成されている場合、これらのウオッチドッ
グユニットは、常になお同一のプログラム位置に所属の
コールだけが到来し、かつもはやプログラムサイクル内
に設けられたすべてのコールが順に到来しないことにつ
いて、このような誤りをわけなく認識することができ
る。
【0023】有利な例の前記の説明によって明らかなよ
うに、本発明による単一プロセッサシステムは、制御装
置、電子装置構造等における安全にとって危険な用途の
ためにも使用することができ、かつシステムが、誤りの
生じた際にそのために前に定義された状態を占めること
を引起こす。有利なようにシステムは、1つのプロセッ
サユニットで十分である。それでもなおアクチュエータ
の用途において、これは、プロセッサユニットの故障の
後にも、定義された状態に移すことができ、とくに遮断
することができ、このことは、本発明によれば、誤りを
認識するウオッチドッグユニットによって引起こされ
る。
【図面の簡単な説明】
【図1】制御されるアクチュエータを有する単一プロセ
ッサシステムのブロック回路図である。
【図2】アクチュエータの制御のために図1におけるプ
ロセッサユニットによって片付けられるプログラムの一
部のフローチャートである。
【符号の説明】
1 プロセッサユニット 3 アクチュエータ AR1 ウオッチドッグコール AR2 ウオッチドッグコール WD1 ウオッチドッグユニット WD2 ウオッチドッグユニット
───────────────────────────────────────────────────── フロントページの続き (72)発明者 トーマス・マイエル デンマーク国コペンハーゲン・スルゼホル メン8 (72)発明者 エルヴイン・シユミツト ドイツ連邦共和国シユトウツトガルト・ヴ アルブルンネンシユトラーセ18 (72)発明者 ユルゲン・トロースト ドイツ連邦共和国グラーフエンベルグ・ツ イーゲルヴアーゼンシユトラーセ1 (72)発明者 ゲルト・フオルク ドイツ連邦共和国シユトウツトガルト・フ ツゲルシユトラーセ25

Claims (4)

    【特許請求の範囲】
  1. 【請求項1】 −必要なシステム機能を果たすプロセッ
    サユニット(1)を有し、かつ −誤り反応手段を有し、この誤り反応手段が、生じるシ
    ステム誤りに関してプロセッサシステムを監視し、かつ
    誤り監視のためにプロセッサユニット(1)に付属の少
    なくとも2つのウオッチドックユニット(WD1,WD
    2)を有し、これらのウオッチドックユニットが、誤り
    が確認された際に、プロセッサシステムを所定の誤り反
    応状態に移す、 必要なシステム機能を果たす、とくに安全にとって危険
    な制御機能を実行する単一プロセッサシステムにおい
    て、 −両方のウオッチドックユニットのために、プロセッサ
    ユニットからプログラムシーケンスに依存して送出され
    る互いに異なったウオッチドックコール(AR1,AR
    2)が設けられていることを特徴とする、必要なシステ
    ム機能を果たす、とくに安全にとって危険な制御機能を
    実行する単一プロセッサシステム。
  2. 【請求項2】 −プロセッサユニット(1)によって制
    御されるアクチュエータ(3)を含み、かつ −誤り反応状態へのプロセッサシステムの移行が、誤り
    を認識するウオッチドッグユニット(WD1,WD2)
    がアクチュエータ(3)をそのために所定の状態に移す
    ことを含むことを特徴とする、請求項1に記載の単一プ
    ロセッサシステム。
  3. 【請求項3】 誤りを認識するウオッチドックユニット
    (WD1,WD2)が、プロセッサユニット(1)から
    エネーブル情報を受取るまで、アクチュエータ(3)を
    所定の状態に保持することを特徴とする、請求項2に記
    載の単一プロセッサシステム。
  4. 【請求項4】 ウオッチドックコール(AR1,AR
    2)が、プロセッサユニット(1)によって実行される
    プログラムシーケンスの1つ又は複数の位置において実
    行されており、かつウオッチドックユニット(WD1,
    WD2)が、シーケンステスト手段を含み、これらのシ
    ーケンステスト手段が、それぞれのウオッチドックコー
    ルの誤りのない生起をチェックし、かつ誤りを含んだコ
    ールの際に、生じたシステム誤りを推論することを特徴
    とする、請求項1ないし3の1つに記載の単一プロセッ
    サシステム。
JP32307699A 1998-10-17 1999-10-08 自動車制御装置及びこれに組込まれる単一プロセッサシステム Expired - Fee Related JP3486747B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE19847986A DE19847986C2 (de) 1998-10-17 1998-10-17 Einzelprozessorsystem
DE19847986.7 1998-10-17

Publications (2)

Publication Number Publication Date
JP2000155703A true JP2000155703A (ja) 2000-06-06
JP3486747B2 JP3486747B2 (ja) 2004-01-13

Family

ID=7884844

Family Applications (1)

Application Number Title Priority Date Filing Date
JP32307699A Expired - Fee Related JP3486747B2 (ja) 1998-10-17 1999-10-08 自動車制御装置及びこれに組込まれる単一プロセッサシステム

Country Status (4)

Country Link
US (1) US6526527B1 (ja)
EP (1) EP0996060A2 (ja)
JP (1) JP3486747B2 (ja)
DE (1) DE19847986C2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008520985A (ja) * 2004-11-23 2008-06-19 ローベルト ボツシユ ゲゼルシヤフト ミツト ベシユレンクテル ハフツング 制御装置における加速度センサ

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3616367B2 (ja) * 2001-10-24 2005-02-02 三菱電機株式会社 電子制御装置
US7194665B2 (en) * 2001-11-01 2007-03-20 Advanced Micro Devices, Inc. ASF state determination using chipset-resident watchdog timer
DE10163655A1 (de) 2001-12-21 2003-07-03 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung einer Funktionseinheit eines Kraftfahrzeugs
DE10225471A1 (de) * 2002-06-10 2003-12-18 Philips Intellectual Property Verfahren und Chipeinheit zum Überwachen des Betriebs einer Mikrocontrollereinheit
DE10229817B4 (de) * 2002-06-28 2007-05-24 Robert Bosch Gmbh Verfahren und Vorrichtung zum Ablegen eines Computerprogramms in einen Programmspeicher eines Steuergeräts
US20030158700A1 (en) * 2002-11-27 2003-08-21 Forler Joseph Wayne Watchdog arrangement
US7089450B2 (en) * 2003-04-24 2006-08-08 International Business Machines Corporation Apparatus and method for process recovery in an embedded processor system
US7774648B2 (en) * 2007-05-02 2010-08-10 Honeywell International Inc. Microprocessor supervision in a special purpose computer system
GB2460024B (en) * 2008-05-12 2013-10-16 Rolls Royce Plc Developments in or relating to system prognostics
US8943303B2 (en) 2012-07-05 2015-01-27 Infineon Technologies Ag Monitoring circuit with a window watchdog
US10838795B2 (en) 2012-07-05 2020-11-17 Infineon Technologies Ag Monitoring circuit with a signature watchdog
ES2835575T3 (es) * 2014-05-11 2021-06-22 Safetty Systems Ltd Una unidad de monitorización, así como un método para predecir el funcionamiento anormal de sistemas de ordenador activados por tiempo

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS58201108A (ja) * 1982-05-19 1983-11-22 Nissan Motor Co Ltd マイクロコンピユ−タを用いた車両用電子制御システムの監視装置
US4866713A (en) * 1987-11-02 1989-09-12 Motorola, Inc. Operational function checking method and device for microprocessors
GB2241799B (en) * 1990-03-08 1993-12-08 Sony Corp Supervision of microprocessors
JPH058649A (ja) 1991-06-26 1993-01-19 Iseki & Co Ltd 車両の推進装置
JP2870250B2 (ja) 1991-09-20 1999-03-17 富士電機株式会社 マイクロプロセッサの暴走監視装置
DE4330940A1 (de) * 1993-09-08 1995-03-09 Siemens Ag Verfahren zum Überwachen einer programmgesteuerten Schaltung
GB9319974D0 (en) * 1993-09-28 1993-11-17 Smiths Industries Plc Electronic circuits and processing systems

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008520985A (ja) * 2004-11-23 2008-06-19 ローベルト ボツシユ ゲゼルシヤフト ミツト ベシユレンクテル ハフツング 制御装置における加速度センサ
JP2011189931A (ja) * 2004-11-23 2011-09-29 Robert Bosch Gmbh 加速度センサを備えた制御装置

Also Published As

Publication number Publication date
DE19847986C2 (de) 2000-10-26
DE19847986A1 (de) 2000-05-04
US6526527B1 (en) 2003-02-25
EP0996060A2 (de) 2000-04-26
JP3486747B2 (ja) 2004-01-13

Similar Documents

Publication Publication Date Title
JP3486747B2 (ja) 自動車制御装置及びこれに組込まれる単一プロセッサシステム
US20110072313A1 (en) System for providing fault tolerance for at least one micro controller unit
KR100892370B1 (ko) 차량진단시 진단단말기간의 충돌방지 시스템 및 그 방법
US6446201B1 (en) Method and system of sending reset signals only to slaves requiring reinitialization by a bus master
US8831912B2 (en) Checking of functions of a control system having components
JPH01298446A (ja) ダブルマイコンシステム暴走防止回路
US5226151A (en) Emergency resumption processing apparatus for an information processing system
EP1222543B1 (en) Method and device for improving the reliability of a computer system
JP2977705B2 (ja) ネットワーク接続された多重化コンピュータシステムの制御方式
US20230398955A1 (en) In-vehicle use control system
JPS6398242A (ja) 直列データ交換装置
JP2022156616A (ja) 制御装置及びリセット機能の診断方法
JP4613019B2 (ja) コンピュータシステム
JP2998804B2 (ja) マルチマイクロプロセッサシステム
CN111149088A (zh) 用于运行控制器的方法以及具有对应的控制器的设备
WO2023223940A1 (ja) 車載装置、プログラム及び情報処理方法
JPH02281343A (ja) Cpu動作の監視方式
JP2685061B2 (ja) マイクロ初期診断方式
US7216261B2 (en) Method for controlling a program run of a central data processor
US20230012925A1 (en) Computer system installed on board a carrier implementing at least one service critical for the operating safety of the carrier
JP2007026038A (ja) パス監視システム,パス監視方法,およびパス監視プログラム
JPH0247731A (ja) 二重化比較装置
JPS6224354A (ja) デユプレツクス計算機システム
JPH01310422A (ja) マイクロコンピュータのリセット回路
KR0125945B1 (ko) 중앙처리장치의 동작 상태 감시장치 및 그 방법

Legal Events

Date Code Title Description
R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20071031

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081031

Year of fee payment: 5

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081031

Year of fee payment: 5

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081031

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091031

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101031

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101031

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111031

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121031

Year of fee payment: 9

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131031

Year of fee payment: 10

LAPS Cancellation because of no payment of annual fees