JP3217077B2 - Computer equipment - Google Patents

Computer equipment

Info

Publication number
JP3217077B2
JP3217077B2 JP01853091A JP1853091A JP3217077B2 JP 3217077 B2 JP3217077 B2 JP 3217077B2 JP 01853091 A JP01853091 A JP 01853091A JP 1853091 A JP1853091 A JP 1853091A JP 3217077 B2 JP3217077 B2 JP 3217077B2
Authority
JP
Japan
Prior art keywords
computer
unit
reset
signal
computer unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP01853091A
Other languages
Japanese (ja)
Other versions
JPH04215140A (en
Inventor
ハインリッヒ プライス カール
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of JPH04215140A publication Critical patent/JPH04215140A/en
Application granted granted Critical
Publication of JP3217077B2 publication Critical patent/JP3217077B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2038Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant with a single idle spare processing component
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/26Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
    • F02D41/266Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor the computer being backed-up or assisted by another circuit, e.g. analogue
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1415Saving, restoring, recovering or retrying at system level
    • G06F11/1438Restarting or rejuvenating
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2041Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant with more than one idle spare processing component
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • G06F15/177Initialisation or configuration control
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1679Temporal synchronisation or re-synchronisation of redundant processing components at clock signal level
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/2097Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements maintaining the standby controller/processing unit updated

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Chemical & Material Sciences (AREA)
  • Mechanical Engineering (AREA)
  • Combustion & Propulsion (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Software Systems (AREA)
  • Hardware Redundancy (AREA)
  • Debugging And Monitoring (AREA)
  • Safety Devices In Control Systems (AREA)
  • Retry When Errors Occur (AREA)
  • Multi Processors (AREA)

Description

【発明の詳細な説明】DETAILED DESCRIPTION OF THE INVENTION

【0001】[0001]

【産業上の利用分野】本発明は、コンピュータ装置、更
に詳細には、少なくとも1つのバス線を介して互いに接
続されてデータあるいは制御ないしチェック信号をやり
取りし、スタート時にはリセット信号によって初期化さ
れる(パワーオンリセット)少なくとも2つのコンピュ
ータユニットを有するコンピュータ装置であって、コン
ピュータ装置にはコンピュータユニットの誤動作状態を
検出する少なくとも1つの手段が設けられ、コンピュー
タユニットのいずれかが誤動作状態にある場合にそのコ
ンピュータユニットがリセット信号によって再スタート
されるコンピュータ装置に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a computer device, and more particularly, to a computer device which is connected to each other via at least one bus line to exchange data or control or check signals, and is initialized by a reset signal at start. (Power-on reset) A computer device having at least two computer units, wherein the computer device is provided with at least one means for detecting a malfunction state of the computer unit, and when any one of the computer units is malfunctioning, A computer device whose computer unit is restarted by a reset signal.

【0002】[0002]

【従来の技術】自動車の内燃機関の運転パラメータを制
御するこの種のコンピュータ装置が、ドイツ公開公報D
E−OS3726489に記載されている。同公報で提
案されているコンピュータ装置は、バス線を介して接続
されデータ信号と制御ないしチェック信号をやり取りす
る2つのプロセッサから構成されている。2つのプロセ
ッサを互いに監視させるためにそれぞれのプロセッサに
はウォッチドッグユニットが設けられている。ウォッチ
ドッグユニットからはそれぞれ他方のコンピュータにチ
ェック信号が送出され、その信号を用いてそれぞれ他方
のコンピュータがチェック信号を送出したコンピュータ
の機能をチェックすることができる。2. Description of the Related Art A computer system of this kind for controlling the operating parameters of an internal combustion engine of a motor vehicle is disclosed in German Offenlegungsschrift D.
It is described in E-OS 3726489. The computer device proposed in the publication includes two processors which are connected via a bus line and exchange a control signal or a check signal with a data signal. Each processor is provided with a watchdog unit so that the two processors can monitor each other. A check signal is sent from the watchdog unit to each of the other computers, and the signals of the other computers can be used to check the functions of the computers that have sent the check signals.

【0003】この種のダブルコンピュータ装置において
は2つのプロセッサ間でデータを伝送することによって
第2の監視路が形成される。データの伝送は所定のタイ
ミング時点で周期的に行われ、2つのコンピュータのう
ち一方のコンピュータのデータ伝送ないしデータリクエ
ストが欠落した場合に、それぞれ他方のコンピュータは
機能障害であると判断して、リセットパルスを介して異
常のあったコンピュータを再スタートさせる(ウォーム
スタート)。コンピュータ装置の運転開始時(スタート
時)には2つのコンピュータに共通の初期化パルス(パ
ワーオン)が発生され、それによって両方のコンピュー
タを同時にリセットする(コールドスタート)。In such a double computer system, a second monitoring path is formed by transmitting data between two processors. Data transmission is performed periodically at a predetermined timing, and when data transmission or data request of one of the two computers is lost, the other computer is determined to be malfunctioning and reset. Restart the abnormal computer via the pulse (warm start). At the start of operation of the computer device (at the start), an initialization pulse (power-on) common to the two computers is generated, thereby resetting both computers simultaneously (cold start).

【0004】また、ドイツ特許公開公報P379088
5(PCT/DE 87/00533)には、初期化パ
ルスないしリセットパルスを発生する回路装置が記載さ
れている。この回路装置は最初にスタートさせた場合
(パワーオン)にコンピュータ装置をリセットするのに
用いられるとともに、低電圧の場合、すなわち駆動電圧
が所定の値より低くなった場合にコンピュータ装置をリ
セットするのにも用いられる。さらに、この回路装置で
は、一方のコンピュータが故障した場合に正常な機能の
コンピュータによって故障のあったコンピュータを再ス
タートさせるリセットパルスが形成されている。[0004] Further, German Patent Publication P3790908
5 (PCT / DE 87/00533) describes a circuit arrangement for generating an initialization pulse or a reset pulse. This circuit device is used to reset the computer device when it is first started (power-on), and to reset the computer device at a low voltage, that is, when the drive voltage falls below a predetermined value. It is also used for Further, in this circuit device, when one computer fails, a reset pulse for restarting the failed computer by a computer having a normal function is formed.

【0005】[0005]

【発明が解決しようとする課題】この種の装置には、初
期化パルスないしこのパルスを発生する回路装置に故障
がある場合には、コンピュータ装置を秩序通りに動作さ
せることができないという欠点がある。このコンピュー
タ装置を内燃機関あるいは自動車の安全上問題となる機
能を制御するのに使用する場合には、このような故障が
生じた場合に安全上問題となる走行状態が生じる危険が
ある。This type of device has the disadvantage that the computer device cannot be operated in an orderly manner if there is a fault in the initialization pulse or in the circuit generating it. . If this computer device is used to control a safety-related function of an internal combustion engine or a vehicle, there is a risk that a safety-related running state may occur if such a failure occurs.

【0006】本発明の課題は、このような点に鑑みてな
されたもので、コンピュータ装置を確実に動作させるこ
とができるようにすることである。An object of the present invention has been made in view of such a point, and it is an object of the present invention to make it possible to operate a computer device reliably.

【0007】[0007]

【課題を解決するための手段】この課題を解決するため
に、本発明では、少なくとも2つのコンピュータユニッ
トを有するコンピュータ装置であって、両コンピュータ
ユニットは、バス線を介して接続されてデータあるいは
制御ないしチェック信号をやり取りし、スタート時には
両コンピュータユニットに入力されるリセット信号によ
って初期化され、該コンピュータ装置には、コンピュー
タユニットの誤動作状態を検出する手段が設けられ、コ
ンピュータユニットのいずれかが誤動作状態にある場合
にそのコンピュータユニットのみに入力されるリセット
信号によってそのコンピュータユニットが再スタートさ
れ、更に、コンピュータ装置には、コンピュータ装置の
スタート時、1つのコンピュータユニットだけを、前記
初期化を行うリセット信号とは独立したリセットパルス
により初期化させる付加的な信号形成ユニットが設けら
れる構成を採用した。According to the present invention, there is provided, in accordance with the present invention, a computer device having at least two computer units, wherein both computer units are connected via a bus line for data or control. A check signal is exchanged, and at the time of start, initialization is performed by a reset signal input to both computer units. The computer device is provided with a means for detecting a malfunction state of the computer unit. the computer unit is restarted by a reset signal which is input only to the computer unit when in, further, the computer device, at the start of the computer system, only one computer unit, performs the initialization Lise The bets signals employing the configuration in which additional signal forming unit that is initialized by an independent reset pulse is provided.

【0008】[0008]

【作用】本発明によれば、スタート時各コンピュータユ
ニットを初期化させるためのリセット信号を出力する回
路装置が故障して、スタート時初期化に失敗した場合で
も、この回路装置とは異なる付加的なリセット信号形成
ユニットによって、1つのコンピュータユニットだけ
を、リセットでき、また他方の初期化に失敗したコンピ
ュータユニットも、誤動作状態にある場合には再スター
トできるので、不必要なリセットを減少させるととも
に、コンピュータ装置を秩序通りに動作させることがで
きる。それによって、誤動作とそれによって発生する安
全上問題になる状態を回避することができる。According to the present invention, even if a circuit device for outputting a reset signal for initializing each computer unit at the time of start fails and initialization at the start fails, an additional circuit different from this circuit device is provided. Only one computer unit by a simple reset signal forming unit
And can be reset, also computer unit fails the other initialization, and if this malfunction state since it restarted, reducing unnecessary reset together
In addition, the computer device can be operated in an orderly manner. As a result, it is possible to avoid a malfunction and a state in which a safety problem occurs due to the malfunction.

【0009】従来技術に記載されているこの種のコンピ
ュータ装置の監視装置と組み合わせれば、この付加的な
信号形成ユニットを簡単かつ安価に実現することができ
る。In combination with the monitoring device of this type described in the prior art, this additional signal-forming unit can be realized simply and inexpensively.

【0010】[0010]

【実施例】以下、図面に示す実施例を用いて本発明を詳
細に説明する。DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS The present invention will be described below in detail with reference to the embodiments shown in the drawings.

【0011】図1は自動車の所定の機能を実行させるの
に使用されるダブルコンピュータ装置の例を示すもので
ある。例えばこの種のダブルコンピュータ装置はエアバ
ッグあるいはシートベルト締め付け装置などの安全装置
に使用され、あるいは自動車の内燃機関の運転パラメー
タの閉ループあるいは開ループ制御(例えば電子エンジ
ン出力制御)に用いることができる。FIG. 1 shows an example of a double computer device used to execute a predetermined function of an automobile. For example, such a double computer device can be used in safety devices such as airbags or seat belt fastening devices, or can be used for closed-loop or open-loop control of operating parameters of the internal combustion engine of a motor vehicle (for example, electronic engine power control).

【0012】2つのコンピュータユニット10と20は
バス線30を介して接続されている。この種のバス線に
はデータ線、アドレス線及び/あるいは制御線などが含
まれている。バス線30はデータ、アドレス及び/ある
いは制御またはチェック信号のやり取りに用いられ、そ
れによって両コンピュータ間の情報伝達が制御される。
2つのコンピュータユニット10と20には、ウォッチ
ドッグユニット12、22が設けられている。2つのウ
ォッチドッグユニットは2つの導線を介して互いに接続
されており、導線32はウォッチドッグユニット12か
ら発生される信号を伝達し、導線33はウォッチドッグ
ユニット22から発生される信号を伝達する。The two computer units 10 and 20 are connected via a bus line 30. Such bus lines include data lines, address lines, and / or control lines. The bus line 30 is used to exchange data, addresses and / or control or check signals, thereby controlling the transmission of information between the two computers.
Watchdog units 12 and 22 are provided in the two computer units 10 and 20. The two watchdog units are connected to each other via two conductors, with conductor 32 transmitting signals generated by watchdog unit 12 and conductor 33 transmitting signals generated by watchdog unit 22.

【0013】導線32はさらに回路ユニット34を介し
て論理回路36の入力と接続されている。この論理回路
36は論理的なオア機能を実行する回路であって、その
第2の入力はコンピュータユニット10の出力37と接
続されている。論理回路36の出力線38は第2の論理
回路40の入力線となっており、第2の論理回路40の
第2の入力は導線41を介してリセットパルスないし初
期化パルスを形成する回路装置42と接続されている。
同様に論理的なオア機能を実施する論理回路40の出力
線43はコンピュータユニット20の入力44に接続さ
れている。The conductor 32 is further connected to an input of a logic circuit 36 via a circuit unit 34. The logic circuit 36 performs a logical OR function, and has a second input connected to the output 37 of the computer unit 10. An output line 38 of the logic circuit 36 is an input line of a second logic circuit 40, and a second input of the second logic circuit 40 is a circuit device for forming a reset pulse or an initialization pulse via a conductor 41. 42.
Similarly, an output line 43 of a logic circuit 40 that performs a logical OR function is connected to an input 44 of the computer unit 20.

【0014】同様にして導線33は回路ユニット46を
介して第3の論理回路48と接続されており、論理回路
48の第2の入力はコンピュータユニット20の出力5
0と接続されている。論理回路48の出力線52は異な
るリセットパルスを形成するユニット56の入力54に
接続されている。ユニット56の他の入力58は導線4
1を介してリセットパルスないし初期化パルスを形成す
るユニット42と接続されている。ユニット56の第3
の入力60は導線62と接続されており、導線62は同
時にユニット42の入力線を形成し、かつシステムの電
源電圧を導くものである。ユニット56の出力64はさ
らにコンピュータユニット10の入力66と接続されて
いる。Similarly, the conductor 33 is connected to a third logic circuit 48 via a circuit unit 46, and a second input of the logic circuit 48 is an output 5 of the computer unit 20.
0 is connected. The output line 52 of the logic circuit 48 is connected to the input 54 of a unit 56 which forms a different reset pulse. Another input 58 of unit 56 is conductor 4
1 is connected to a unit 42 for generating a reset pulse or an initialization pulse. Third of unit 56
Input 60 is connected to conductor 62, which simultaneously forms the input of unit 42 and conducts the system supply voltage. Output 64 of unit 56 is further connected to input 66 of computer unit 10.

【0015】次に、図1に示す装置の機能を説明する。
ユニット42は導線62を介して供給される電源電圧値
に従ってパルス信号を形成し、このパルス信号は導線4
1、論理回路40及び導線43を介してコンピュータ2
0のリセット入力44に入力されてコンピュータ20を
リセットする。このリセットパルスは、例えばシステム
を作動(スタート)させたときに初期化パルスとして発
生する。リセットパルスはさらにユニット56の入力5
8及びユニット56の出力線64を介してコンピュータ
ユニット10のリセット入力66に入力される。上述の
駆動条件においてはコンピュータユニット10はコンピ
ュータユニット20と同時スタートとなる。この実施例
においては、好ましくはコンピュータは正の「ハイレベ
ル」信号によってリセットされる。初期化の場合には出
力12、37ないし22、50には「ローレベル」の電
位が印加される。Next, the function of the apparatus shown in FIG. 1 will be described.
Unit 42 forms a pulse signal according to the supply voltage value supplied via line 62, which pulse signal is
1. Computer 2 via logic circuit 40 and conductor 43
0 is input to a reset input 44 of 0 to reset the computer 20. This reset pulse is generated, for example, as an initialization pulse when the system is operated (started). The reset pulse is applied to input 5 of unit 56.
8 and the reset input 66 of the computer unit 10 via the output line 64 of the unit 56. Under the above-described driving conditions, the computer unit 10 and the computer unit 20 start simultaneously. In this embodiment, the computer is preferably reset by a positive "high" signal. In the case of initialization, a "low level" potential is applied to the outputs 12, 37 to 22, 50.

【0016】2つのコンピュータユニットの相互機能監
視は、冒頭で述べたドイツ公開公報DE−OS3726
489に従って行われる。その場合、第1の監視機能は
所定のタイミング時点で周期的に行なわれるデータのや
り取り(データ交換)において形成される。その際にコ
ンピュータユニット10、20の一方は所定のタイミン
グ時点で導線30を介してそれぞれ他方のコンピュータ
ユニットからのデータリクエストを待つ。データリクエ
ストを行ったコンピュータユニットはさらにそれぞれ他
方のコンピュータからのデータ伝送を待つ。The mutual function monitoring of the two computer units is described in German Offenlegungsschrift DE-OS 3726 mentioned at the outset.
489. In this case, the first monitoring function is formed in data exchange (data exchange) that is periodically performed at a predetermined timing. At this time, one of the computer units 10 and 20 waits for a data request from the other computer unit via the conductor 30 at a predetermined timing. The computer units that have made data requests each further wait for data transmission from the other computer.

【0017】この応答の一方が欠落した場合に、それぞ
れのコンピュータユニットは誤りがあると見なされる。
その場合には正しい機能を有するコンピュータはリセッ
ト出力(コンピュータ10の場合では出力37、コンピ
ュータ20の場合には出力50)を介して誤りのあるコ
ンピュータをリセットする。その場合、それぞれのコン
ピュータユニットは、コンピュータユニット20に機能
障害がある場合には、論理回路36と40を介してリセ
ット入力44にリセットパルスを送出し、コンピュータ
ユニット10が誤動作を示した場合には論理処理ユニッ
ト48とユニット56を介してコンピュータユニット1
0のリセット入力66にリセットパルスを送出する。以
上説明したデータプロトコルあるいは後述するウォッチ
ドッグユニット監視を用いて、誤りのあるコンピュータ
ユニットを効果的に再スタートさせることができる。If one of the responses is missing, the respective computer unit is deemed to be faulty.
The computer with the correct function then resets the faulty computer via the reset output (output 37 for computer 10 and output 50 for computer 20). In that case, each computer unit sends a reset pulse to the reset input 44 via the logic circuits 36 and 40 when the computer unit 20 has a malfunction, and when the computer unit 10 shows a malfunction, The computer unit 1 via the logic processing unit 48 and the unit 56
A reset pulse is sent to a reset input 66 of 0. Using the data protocol described above or the watchdog unit monitoring described below, the computer unit with the error can be effectively restarted.

【0018】他の監視機能は、2つのコンピュータユニ
ット間でウォッチドッグユニットからのチェック信号を
互いにやり取りすることによって形成される。その場
合、ウォッチドッグユニット12からは導線32を介し
てチェック信号がコンピュータユニット20のウォッチ
ドッグユニット22に出力され、ウォッチドッグユニッ
ト22はこのチェック信号を処理して、信号の形状ある
いはレベルによってコンピュータユニット10の機能が
正常であるかどうかを判断する。同様に、ユニット22
から導線33を介して同様なチェック信号がコンピュー
タユニット10のウォッチドッグユニット12に伝送さ
れて、処理される。導線32と33は回路ユニット34
ないし46と接続されており、これら回路ユニットはチ
ェック信号を処理して、誤りがあった場合に、それがコ
ンピュータユニット10の障害であれば、論理回路36
と40を介してコンピュータユニット20のリセット入
力44にリセットパルスを供給し、コンピュータユニッ
ト20の障害であれば、論理回路48と56を介してコ
ンピュータユニット10のリセット入力66にリセット
パルスを供給する。その後それぞれ誤りのあるコンピュ
ータユニットは他方のコンピュータユニットによって再
スタートされる。なお、論理回路36、40、48は論
理的なオア回路として形成されており、それによって誤
りを示すウォッチドッグ信号あるいは再スタート信号が
発生した場合、ユニット42によるリセットパルスと同
一の効果を発生させることができる。Another monitoring function is formed by exchanging check signals from the watchdog unit between the two computer units. In that case, a check signal is output from the watchdog unit 12 to the watchdog unit 22 of the computer unit 20 via the lead 32, and the watchdog unit 22 processes the check signal and outputs the check signal to the computer unit 20 according to the shape or level of the signal. It is determined whether or not the function of No. 10 is normal. Similarly, unit 22
A similar check signal is transmitted to the watchdog unit 12 of the computer unit 10 via the lead wire 33 and processed there. Conductors 32 and 33 are circuit units 34
To 46, these circuit units process the check signal and, if there is an error, if it is a fault of the computer unit 10, a logic circuit 36
A reset pulse is supplied to the reset input 44 of the computer unit 20 through the steps 40 and 40, and in the case of a failure of the computer unit 20, a reset pulse is supplied to the reset input 66 of the computer unit 10 through the logic circuits 48 and 56. Thereafter, each faulty computer unit is restarted by the other computer unit. The logic circuits 36, 40, and 48 are formed as logical OR circuits, and when a watchdog signal or a restart signal indicating an error is generated, the same effect as the reset pulse by the unit 42 is generated. be able to.

【0019】図3に回路例を示すリセット信号形成ユニ
ット56は、基本的には論理的なオア回路70によって
形成されており、このオア回路70によって論理回路4
8から導線52を介してユニット56の入力54に供給
されるリセット信号は、誤りのない状態においてユニッ
ト42から導線41を介してユニット56の入力58に
供給されるリセット信号と同じ機能をもつことになる。
さらに、パルスを形成する回路72はユニット56の一
部を構成する。このパルスを形成する回路72には論理
的なオア回路70の出力並びに導線62とユニット56
の入力60を介して電源電圧信号が供給され、パルスを
形成する回路72の出力はユニット56の出力64と接
続され、かつコンピュータユニット10のリセット入力
66を形成する。The reset signal forming unit 56 whose circuit example is shown in FIG. 3 is basically formed by a logical OR circuit 70.
The reset signal supplied from 8 to the input 54 of the unit 56 via the lead 52 has the same function as the reset signal supplied from the unit 42 via the lead 41 to the input 58 of the unit 56 in an error-free state. become.
Furthermore, the pulse forming circuit 72 forms part of the unit 56. The pulse forming circuit 72 includes the output of the logical OR circuit 70 and the conductor 62 and the unit 56.
A power supply voltage signal is supplied via an input 60 of the computer unit and the output of the circuit 72 for forming the pulse is connected to the output 64 of the unit 56 and forms the reset input 66 of the computer unit 10.

【0020】パルス形成回路72は、好ましい実施例に
おいては微分素子として形成することができる。スター
ト時にリセット信号を形成するユニット42が故障した
場合には、パルス形成回路72は導線62を介して供給
される電源電圧信号からリセット信号を形成するのに用
いられる。回路72はシステムの始動時にコンピュータ
ユニット10のリセット入力66にリセット信号を供給
し、コンピュータユニット10を初期化してスタートさ
せる。上述の監視機能を用いてコンピュータユニット1
0はコンピュータユニット20の誤動作を検出し、コン
ピュータユニット20の誤動作が検出された場合にはコ
ンピュータユニット10の出力端子37を介してコンピ
ュータユニット20のリセット入力44にリセット信号
を供給して、コンピュータユニット20を再スタートさ
せる。それによってユニット42が故障している場合で
もコンピュータシステムを正常にスタートさせることが
可能になる。The pulse forming circuit 72 can be formed as a differentiating element in the preferred embodiment. If the unit 42 that forms the reset signal at the time of the start fails, the pulse forming circuit 72 is used to generate the reset signal from the power supply voltage signal supplied via the lead 62. The circuit 72 provides a reset signal to the reset input 66 of the computer unit 10 at system start-up to initialize and start the computer unit 10. Computer unit 1 using the above monitoring function
0 detects a malfunction of the computer unit 20, and when a malfunction of the computer unit 20 is detected, supplies a reset signal to a reset input 44 of the computer unit 20 via the output terminal 37 of the computer unit 10, Restart 20. This allows the computer system to start normally even when the unit 42 has failed.

【0021】本発明の考え方は、マルチコンピュータ装
置に用いることも可能であって、さらにまたコンピュー
タユニット20にユニット56を設けることもできる。The concept of the present invention can be applied to a multi-computer apparatus, and the computer unit 20 can be provided with a unit 56.

【0022】図2は本発明の考え方をフローチャートを
用いて示すものであって、ユニット56を有するコンピ
ュータユニットのコンピュータ装置スタート時の手順の
原理を説明するものである。ステップ100において
は、コンピュータ装置のスタート時にリセットパルスを
用いてそれぞれのコンピュータユニットを初期化する。
動作に障害がない場合には、ユニット42から供給され
る初期化パルスによって初期化が行われる。障害があっ
た場合には、ユニット56はユニット56に関連するコ
ンピュータユニットに他のリセットパルスを供給する。FIG. 2 shows the concept of the present invention using a flow chart, and explains the principle of the procedure when the computer unit having the unit 56 is started. In step 100, each computer unit is initialized using a reset pulse at the start of the computer device.
When there is no obstacle in the operation, the initialization is performed by the initialization pulse supplied from the unit 42. In the event of a failure, unit 56 provides another reset pulse to the computer unit associated with unit 56.

【0023】判断ステップ102ではダブルコンピュー
タ装置の第2のコンピュータユニット(ユニット56の
設けられていない)の機能が正常であるかどうかがチェ
ックされる。正常である場合には、正常なスタートが行
われており、ステップ110においてコンピュータ装置
が正常動作であることが確認される。しかし第2のコン
ピュータユニットが誤動作である場合には、ステップ1
04で正常にスタートされたコンピュータユニットによ
ってこのコンピュータユニットをリセットさせる。ステ
ップ106においては再スタートされたコンピュータユ
ニットの機能が正常であるかどうかをチェックし、正常
に機能している場合にはシステムが正常にスタートした
ことを確認するが(110)、再スタートされたコンピ
ュータユニットがなお誤動作である場合には、ステップ
108においてこのコンピュータユニットに故障がある
と識別して、オフにする。In decision step 102, it is checked whether the function of the second computer unit (without unit 56) of the double computer device is normal. If it is normal, a normal start has been performed, and it is confirmed in step 110 that the computer device is operating normally. However, if the second computer unit is malfunctioning, step 1
This computer unit is reset by the computer unit which started normally in 04. In step 106, it is checked whether the function of the restarted computer unit is normal, and if it is functioning normally, it is confirmed that the system has started normally (110). If the computer unit is still malfunctioning, step 108 identifies that the computer unit is faulty and turns it off.

【0024】図3はユニット56の回路の例を示すもの
である。図1で使用したユニット56の入力ないし出力
の参照符号はそのままとする。簡単かつ安価な実施例で
は、2つのダイオードと1つの抵抗と1つのコンデンサ
から形成することができる。FIG. 3 shows an example of the circuit of the unit 56. The input or output reference numerals of the unit 56 used in FIG. In a simple and inexpensive embodiment, it can be formed from two diodes, one resistor and one capacitor.

【0025】誤りを示すウォッチドッグ信号あるいはそ
れぞれ他方のコンピュータのスタート信号に基づく信号
が印加される入力54はダイオード200のアノードに
接続されている。ダイオード200のカソードは接続点
202と接続されている。同様にユニット42の初期化
パルスないしリセットパルスが印加される入力58は他
のダイオード204のアノードに接続されており、ダイ
オード204のカソードは同様に接続点202に接続さ
れている。なお、2つのダイオードはすでに説明した論
理オア回路を形成しており、入力54と58に印加され
る2つの信号は、接続点202と直接接続されている出
力64において同じ機能をもって次段に伝送される。接
続点202にはさらに、コンデンサ206が接続されて
おり、コンデンサの他端はユニット56の入力60と接
続されている。抵抗208によって接続点202はアー
ス電位に接続されている。An input 54 to which a watchdog signal indicating an error or a signal based on the start signal of the other computer is applied is connected to the anode of the diode 200. The cathode of diode 200 is connected to node 202. Similarly, the input 58 of the unit 42 to which the initialization or reset pulse is applied is connected to the anode of another diode 204, the cathode of which is also connected to the connection point 202. The two diodes form a logic OR circuit as described above, and the two signals applied to inputs 54 and 58 are transmitted to the next stage with the same function at output 64 directly connected to node 202. Is done. The connection point 202 is further connected to a capacitor 206, the other end of which is connected to the input 60 of the unit 56. The connection point 202 is connected to the ground potential by the resistor 208.

【0026】コンピュータ装置をスタートさせる場合
に、ユニット56の入力60には対応した電圧信号が印
加される。コンデンサ206は電圧信号の変化によって
充電されるので、このコンデンサ電圧は指数関数特性を
示す。コンデンサ電圧の時間的な変化によって接続点2
02の電位は時間的に逆の変化を示す。この電圧特性
は、急峻な立ち上がりとコンデンサ電圧の上昇に従った
立ち下がりを有するパルス形状の「ハイレベル」信号を
示す。このようにして形成されたパルス信号がユニット
56の出力64に供給されて、ユニット56を有するコ
ンピュータユニットのリセット入力に供給され、それに
よってこのコンピュータユニットがリセットされる。こ
のようにしてユニット42に信号とは無関係に、すなわ
ちその信号とは独立にコンピュータ装置を正常にスター
トさせることができる。When starting the computer device, a corresponding voltage signal is applied to the input 60 of the unit 56. Since the capacitor 206 is charged by the change of the voltage signal, the capacitor voltage has an exponential function. Connection point 2 due to temporal change of capacitor voltage
The electric potential of 02 shows an inverse change with time. This voltage characteristic shows a pulse-shaped "high level" signal with a steep rise and a fall as the capacitor voltage rises. The pulse signal thus formed is supplied to the output 64 of the unit 56 and to the reset input of the computer unit having the unit 56, thereby resetting the computer unit. In this way, the computer can be started normally by the unit 42 independently of the signal, ie independently of the signal.

【0027】なお、本発明では、原理としては負の電圧
でも用いることができる。In the present invention, a negative voltage can be used in principle.

【0028】[0028]

【発明の効果】以上の説明から明らかなように、本発明
によれば、スタート時に両コンピュータユニットを初期
化させるリセット信号のほかに、このリセット信号とは
別のリセットパルスが形成され、それにより1つのコン
ピュータユニットだけが初期化される。したがって、両
コンピュータユニットを初期化させるリセット信号が故
障により発生されず、スタート時両コンピュータユニッ
トの初期化に失敗した場合でも、1つのコンピュータユ
ニットだけは、別のリセットパルスにより初期化でき
る。また、この場合、初期化に失敗した他方のコンピュ
ータユニットも、誤動作状態にある場合には再スタート
させることができるので、不必要なリセットが減少する
とともに、両コンピュータユニットを確実にスタートさ
せることが可能になる、という優れた効果が得られる。As is apparent from the above description, according to the present invention, in addition to the reset signal for initializing both computer units at the time of starting, a reset pulse different from this reset signal is formed, whereby Only one computer unit is initialized. Therefore, even if the reset signal for initializing both computer units is not generated due to a failure and the initialization of both computer units fails at the start, only one computer unit can be initialized by another reset pulse. Further, in this case, the other computer unit that has failed in initialization can be restarted when it is in a malfunction state, so that unnecessary resetting is reduced.
At the same time, an excellent effect that both computer units can be started reliably can be obtained.

【図面の簡単な説明】[Brief description of the drawings]

【図1】図1は、付加的なリセット回路を有するダブル
コンピュータ装置の実施例を示すブロック回路図であ
る。FIG. 1 is a block circuit diagram illustrating an embodiment of a double computer device having an additional reset circuit.

【図2】図2は、コンピュータ装置をスタートさせる場
合のコンピュータの監視と付加的なリセット回路の働き
を説明するフローチャート図である。FIG. 2 is a flowchart illustrating the operation of a computer monitor and an additional reset circuit when a computer device is started.

【図3】図3は、付加的なリセット回路の簡単かつ安価
な実施例を示す回路図である。FIG. 3 is a circuit diagram illustrating a simple and inexpensive embodiment of an additional reset circuit.

【符号の説明】[Explanation of symbols]

10、20 コンピュータユニット12、22 ウォッ
チドッグユニット30 バス線56 付加的なリセット
信号形成回路10, 20 Computer unit 12, 22 Watchdog unit 30 Bus line 56 Additional reset signal forming circuit

───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI G06F 15/177 670 G06F 1/00 350B (56)参考文献 特開 平1−298446(JP,A) 特開 昭59−170951(JP,A) 特開 平1−284914(JP,A) 特開 昭59−212932(JP,A) 特開 平1−310422(JP,A) 実開 昭61−81352(JP,U) 独国特許出願公開3726489(DE,A 1) (58)調査した分野(Int.Cl.7,DB名) G06F 11/14 G06F 11/18 G06F 11/30 G06F 1/00 G06F 1/24 ────────────────────────────────────────────────── 7 Continuation of the front page (51) Int.Cl. 7 Identification symbol FI G06F 15/177 670 G06F 1/00 350B (56) References JP-A-1-298446 (JP, A) JP-A-59-170951 (JP, A) JP-A-1-284914 (JP, A) JP-A-59-212932 (JP, A) JP-A-1-310422 (JP, A) JP-A-61-81352 (JP, U) Germany National Patent Application Publication No. 3726489 (DE, A1) (58) Fields investigated (Int. Cl. 7 , DB name) G06F 11/14 G06F 11/18 G06F 11/30 G06F 1/00 G06F 1/24

Claims (4)

(57)【特許請求の範囲】(57) [Claims] 【請求項1】 少なくとも2つのコンピュータユニット
を有するコンピュータ装置であって、 両コンピュータユニットは、バス線を介して接続されて
データあるいは制御ないしチェック信号をやり取りし、
スタート時には両コンピュータユニットに入力されるリ
セット信号によって初期化され、 該コンピュータ装置には、コンピュータユニットの誤動
作状態を検出する手段が設けられ、コンピュータユニッ
トのいずれかが誤動作状態にある場合にそのコンピュー
タユニットのみに入力されるリセット信号によってその
コンピュータユニットが再スタートされ、 更に、コンピュータ装置には、コンピュータ装置のスタ
ート時、1つのコンピュータユニットだけを、前記初期
化を行うリセット信号とは独立したリセットパルスによ
り初期化させる付加的な信号形成ユニットが設けられる
ことを特徴とするコンピュータ装置。1. A computer device having at least two computer units, wherein both computer units are connected via a bus line to exchange data or control or check signals,
At the start, initialization is performed by a reset signal input to both computer units. The computer device is provided with means for detecting a malfunction state of the computer unit, and when any one of the computer units is malfunctioning, the computer unit is disabled. The computer unit is restarted by a reset signal input only to the computer device. Further, at the start of the computer device, only one computer unit is reset by a reset pulse independent of the reset signal for performing the initialization. A computer device, characterized in that an additional signal forming unit to be initialized is provided. 【請求項2】 前記信号形成ユニットが電源電圧に直接
接続されていることを特徴とする請求項1に記載のコン
ピュータ装置。2. The computer device according to claim 1, wherein the signal forming unit is directly connected to a power supply voltage. 【請求項3】 前記独立したリセットパルスを供給され
るコンピュータユニットが、他のコンピュータユニット
の誤動作を検出して、誤動作が検出された場合にはその
コンピュータユニットを再スタートさせることを特徴と
する請求項1又は2に記載のコンピュータ装置。3. The computer unit to which the independent reset pulse is supplied detects a malfunction of another computer unit and restarts the computer unit when the malfunction is detected. Item 3. The computer device according to item 1 or 2 . 【請求項4】 前記信号形成ユニットが微分回路から構
成されることを特徴とする請求項1から請求項のいず
れか1項に記載のコンピュータ装置。4. A computer system according to any one of claims 1 to 3, wherein the signal forming unit is characterized in that it is composed of a differentiating circuit.
JP01853091A 1990-02-15 1991-02-12 Computer equipment Expired - Lifetime JP3217077B2 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE19904004709 DE4004709C2 (en) 1990-02-15 1990-02-15 Computer system
DE4004709.1 1990-02-15

Publications (2)

Publication Number Publication Date
JPH04215140A JPH04215140A (en) 1992-08-05
JP3217077B2 true JP3217077B2 (en) 2001-10-09

Family

ID=6400226

Family Applications (1)

Application Number Title Priority Date Filing Date
JP01853091A Expired - Lifetime JP3217077B2 (en) 1990-02-15 1991-02-12 Computer equipment

Country Status (4)

Country Link
JP (1) JP3217077B2 (en)
DE (1) DE4004709C2 (en)
FR (1) FR2658335B1 (en)
GB (1) GB2241361B (en)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB9024488D0 (en) * 1990-11-10 1991-01-02 Lucas Ind Plc Improvements in and relating to microprocessor based systems
DE19541734C2 (en) * 1995-11-09 1997-08-14 Bosch Gmbh Robert Circuit arrangement for performing a reset
JP3881177B2 (en) * 2001-02-06 2007-02-14 三菱電機株式会社 Vehicle control device
DE10151012A1 (en) * 2001-10-16 2003-04-17 Volkswagen Ag Computer error monitoring method e.g. for motor vehicle electronic control and braking systems, involves transmitting reset pulse via signal lines when error state of computer unit is detected
DE10252990B3 (en) 2002-11-14 2004-04-15 Siemens Ag Control unit for a motor vehicle occupant safety system, especially an airbag system, has additional AND gates in addition to dual controlling computers to ensure reliable detection and resetting of a faulty computer unit
DE10329196A1 (en) * 2003-06-28 2005-01-20 Audi Ag Reset method for a vehicle electronic control unit in which the unit is monitored by a central control unit and when a fault condition is detected it is reset by a reset command being applied to a reset trigger unit
DE10350853A1 (en) * 2003-10-31 2005-06-02 Conti Temic Microelectronic Gmbh Circuit arrangement for monitoring a motor vehicle safety device
US9740178B2 (en) * 2013-03-14 2017-08-22 GM Global Technology Operations LLC Primary controller designation in fault tolerant systems
JP6520962B2 (en) * 2017-01-18 2019-05-29 トヨタ自動車株式会社 Monitoring system

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4234926A (en) * 1978-12-05 1980-11-18 Sealand Service Inc. System & method for monitoring & diagnosing faults in environmentally controlled containers, such system and method being especially adapted for remote computer controlled monitoring of numerous transportable containers over existing on-site power wiring
AU575297B2 (en) * 1982-09-21 1988-07-28 Xerox Corporation Separate resetting of processors
FR2571872B1 (en) * 1984-10-15 1987-02-20 Sagem ELECTRIC POWER SUPPLY DEVICE FOR MICROPROCESSORS
DE3603082A1 (en) * 1986-02-01 1987-08-06 Bosch Gmbh Robert DEVICE FOR RESETTING COMPUTING DEVICES
WO1988005569A1 (en) * 1987-01-22 1988-07-28 Robert Bosch Gmbh Multicomputing system and process for driving same
DE3726489C2 (en) * 1987-08-08 1995-04-20 Bosch Gmbh Robert Device for monitoring a computer system with two processors in a motor vehicle

Also Published As

Publication number Publication date
FR2658335B1 (en) 1997-10-17
JPH04215140A (en) 1992-08-05
FR2658335A1 (en) 1991-08-16
DE4004709A1 (en) 1991-08-22
GB2241361A (en) 1991-08-28
GB2241361B (en) 1993-08-11
DE4004709C2 (en) 1999-01-07
GB9102732D0 (en) 1991-03-27

Similar Documents

Publication Publication Date Title
US10579484B2 (en) Apparatus and method for enhancing reliability of watchdog circuit for controlling central processing device for vehicle
US10826423B2 (en) Motor driving apparatus and motor driving method
US7978600B2 (en) Electronic control unit with a plurality of control circuits
US9031740B2 (en) Vehicle control device capable of controller area network communication and diagnostic method therefor
JP2880165B2 (en) Apparatus for monitoring an automotive computer system comprising two processors
JP3255693B2 (en) Automotive multi-computer system
JP3217077B2 (en) Computer equipment
JP2006191338A (en) Gateway apparatus for diagnosing fault of device in bus
US11770089B2 (en) Rotary electric machine control device
US20090252045A1 (en) Network system
US11697423B2 (en) In-vehicle communication system, in-vehicle relay apparatus, and in-vehicle control apparatus
JP2003115847A (en) Control system and redundant signal processor
US6446201B1 (en) Method and system of sending reset signals only to slaves requiring reinitialization by a bus master
CN107038095B (en) Method for redundantly processing data
JP2768693B2 (en) Apparatus for monitoring a computer system having two processors
CN107210937A (en) Bus monitor in data/address bus
JP3164360B2 (en) Microprocessor circuit device having watchdog circuit and method of monitoring flow of processor program
JP3570823B2 (en) Multiplex transmission equipment
JP2022080346A (en) Vehicle control system, abnormality detection method and abnormality detection program for vehicle control system
JP3059757B2 (en) In-vehicle multiplex transmission system
JP3830837B2 (en) In-vehicle electronic control circuit with sensor self-diagnosis signal proper processing function
JPH04275740A (en) On-vehicle multiplex transmission device
JPH09258853A (en) Reset device of calculation element
US20230001939A1 (en) Vehicle mounted electronic control apparatus
KR102252315B1 (en) Vehicular electronic control unit and monitoring method thereof

Legal Events

Date Code Title Description
R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080803

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080803

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090803

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090803

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100803

Year of fee payment: 9

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100803

Year of fee payment: 9

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110803

Year of fee payment: 10

EXPY Cancellation because of completion of term
FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110803

Year of fee payment: 10