DE3012425A1 - Fehlergesicherte einrichtung zur benutzung eines digitalen rechners - Google Patents

Fehlergesicherte einrichtung zur benutzung eines digitalen rechners

Info

Publication number
DE3012425A1
DE3012425A1 DE19803012425 DE3012425A DE3012425A1 DE 3012425 A1 DE3012425 A1 DE 3012425A1 DE 19803012425 DE19803012425 DE 19803012425 DE 3012425 A DE3012425 A DE 3012425A DE 3012425 A1 DE3012425 A1 DE 3012425A1
Authority
DE
Germany
Prior art keywords
program
signal
emergency
interrupt
level
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE19803012425
Other languages
English (en)
Inventor
Kazuhiro Higashiyama
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nissan Motor Co Ltd
Original Assignee
Nissan Motor Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nissan Motor Co Ltd filed Critical Nissan Motor Co Ltd
Publication of DE3012425A1 publication Critical patent/DE3012425A1/de
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/26Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
    • F02D41/263Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor the program execution being modifiable by physical parameters
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/28Error detection; Error correction; Monitoring by checking the correct order of processing

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • Mechanical Engineering (AREA)
  • Debugging And Monitoring (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Safety Devices In Control Systems (AREA)

Description

Beschreibung
Die Erfindung bezieht sich auf einen digitalen Rechner, der zum Steuern der Arbeitsweise einer Brennkraftmaschine eines Kraftfahrzeuges benutzt wird, und insbesondere auf eine fehlergesicherte Einrichtung zur Benutzung bei einem solchen digitalen Rechner.
In jüngster Zeit wurden mit einem gespeicherten Programm versehene digitale Rechner in großem Umfange bei verschiedenen Steuersystemen benutzt. Ein solches Steuersystem hat sich als vorteilhaft dann herausgestellt, wenn mehrere intellektuelle Steuerungen ausgeführt werden können, jedoch ist er einer Steuerprogrammunterbrechung ausgesetzt, die eine Beendigung einer Programmdurchführung infolge von Störungen, wie von äußerem Rauschen, bewirkt, wenn er bei einem Kraftfahrzeug zum Steuern der Arbeitsweise der Brennkraftmaschine vorgesehen ist.
Pig. 1 zeigt das Blockschaltbild eines typischen, einen digitalen Rechner enthaltenden Steuersystems. Das Steuersystem umfaßt eine Steuereinheit 4, die Steuerungen nach Maßgabe von Programmbefehlen ausführt, die in einem Speicher 5 gespeichert sind. Die Steuereinheit 4- ist gewöhnlich so ausgelegt, daß sie Mehrfachoperationen durchführt, wobei Unterbrechungssignale benutzt werden, die von Unterbrechungssignalgeneratoren erzeugt werden können. Obwohl in Pig. 1 drei Unterbrechungssignalgeneratoren 1 bis 3 gezeigt sind, die jeweils unterschiedliche Arten von Unterbrechungssignalen S,,, S2 und
030043/0721
S, erzeugen, kann selbstverständlich irgendeine gewünschte Anzahl von Unterbrechungssignalgeneratoren vorgesehen sein. Die Steuereinheit 4 kann von einem Mikrocomputer gebildet son, der die Unterbrechungssignale Sx,, S2 und S^ empfängt, um die jeweiligen Steuerprogramme 51» 52 und 53 auszuführen, die in dem Speicher 5 gespeichert sind, und erhält kein Unterbrechungssignal, um wiederholt das Steuerprogramm 5^ auszuführen, das einer Grundarbeit (BGJ) zugeordnet ist.
Um die Ausführung der Steuerprogramme zu prüfen, kann versucht werden, ein Prüfsignal für einen jeden Programmteil zu erzeugen, jedoch erfordert ein solcher Versuch einen sehr komplizierten Signalprozessor, um viele Unterbrechungen durchführen zu können.
Es ist daher ein Ziel der Erfindung, eine fehlergesicherte Einrichtung zur Benutzung bei einem einen Rechner enthaltenden Steuersystem zu schaffen, das die Programmausführung überwacht und eine automatische ITotfallverarbeitung durchführt.
Gemäß einem bevorzugten Gedanken der Erfindung wird eine fehlergesicherte Einrichtung zur Benutzung in einem digitalen Rechner geschaffen, der einen Mikroprozessor umfaßt, wobei mindestens ein erstes Programm zum Vornehmen einer Unterbrechung und ein zweites Programm zum Ausführai einer Grundarbeit vorgesehen sind. Das erste Programm umfaßt einen Programmteil, das den Mikroprozessor veranlaßt, ein Notfallentscheidungssignal mit einem ersten Pegel zu erzeugen. Das zweite
03004 370721
Programm umfaßt einen Programmteil zum Ändern des Notfallentscheidungssignals auf seinen zweiten Pegel. Es ist eine Einrichtung zum Ausführen einer Notfallverarbeitung vorgesehen,wenn die Zeitdauer, während der das Notfallentscheidungssignal auf dem ersten oder zweiten Pegel gehalten wird, einen bestimmten Wert übersteigt.
Ausgestaltungen der Erfindung sind in den Uhteransprüchen angegeben.
Ein Ausführungsbeispiel der Erfindung wird anhand der Zeichnung erläutert. Im einzelnen zeigt:
Fig. 1 ein Blockschaltbild eines herkömmlichen, einen Rechner enthaltenden Steuersystems,
Fig. 2 ein Blockschaltbild eines einen Rechner enthaltenden Steuersystems,mit einer fehlergesicherten Einrichtung, die erfindungsgemäß ausgebildet ist, und
Fig. 5 ein Flußdiagramm zur Erläuterung der Arbeitsweise der Erfindung.
Wie in Fig. 2 gezeigt ist, in der gleiche Bezugszeichen gleiche Bauteile wie in Fig. 1 angeben, erzeugt die Steuereinheit 4 ein Notfallentscheidungssignal S^,, das niedrige und hohe Pegel hat und- an eine Notfallentscheidungsschaltung 6 gegeben wird, die an ihrem Ausgang ein Notfallsignal Sc erzeugt, wenn die Zeitdauer, während der das Notfallentscheidungssignal S^ auf seinem niedrigen oder hohen Pegel gehalten wird, einen bestimmten
030Ö43/0721
Wert übersteigt, d.h., wenn irgendein anormaler Betriebszustand in dem Steuersystem auftritt. Die Notfallentscheidungsschaltung 6 kann z.B. aus einer Auflade- und Entladeeinrichtung gebildet sein, die sich mit einer bestimmten Zeitkonstanten auflädt und entlädt, sowie aus einer Yergleichseinrichtung, die ein Notfallsignal Sc erzeugt, wenn das Ausgangssignal der Auflade- und Entladeeinrichtung oberhalb eines ersten bestimmten Pegels oder unterhalb eines zweiten bestimmten Pegels liegt, der niedriger als der erste bestimmte Pegel ist.
Das Ausgangssignal der Notfallentscheidungsschaltung 6 wird an eine Notfallverarbeitungsschaltung 7 gegeben,. Die Notfallverarbeitungsschaltung 7 spricht auf ein Notfallsignal S1- an, um eine Notfallverarbeitung durchzuführen, die allein oder in Kombination folgende Schritte umfassen kann: (1) Rücksetzen der Steuereinheit 4-,
(2) Beenden der Ar.beitsweise der Steuereinheit 4 und
(3) Betätigen einer Alarmeinrichtung 8, wie z.B. eines Alarmsummers, einer Alarmlampe oder dergleichen, um das Auftreten des anormalen Betriebszustandes anzugeben.
Das beim Auftreten eines Unterbrechungssignals S,, auszuführende Programm 51 hat an seinem oberen Teil einen Programmteil 51', um das Notfallentscheidungssignal S^ auf seinen hohen Pegel zu ändern. Das die Grundarbeit ausführende Programm 54- hat an seinem Endteil einen Programmteil 54·' ■> um das Notfallentscheidungssignal S^ auf seinen niedrigen Pegel zu ändern.
Anhand des in Fig. 5 gezeigten 3?lußdiagramms wird jetzt
030043/0721
die Arbeitsweise der Erfindung erläutert. Der Block F. des Flußdiagrammes wird als dessen Start gextfählt, wenn der Speiseschalter geschlossen wird und die Steuereinheit 1 kein Unterbrechungssignal empfängt. Der nächst e Block F~ in dem Flußdiagramm gibt die Durchführung der Grundarbeit (BGJ) an, die schematisch bei 54 in dem Programmspeicher 5 dargestellt ist. Nach Ausführung der Grundarbeit nach Maßgabe des Blocks Fo des Flußdiagrammes wird das Notfallentscheidungssignal S^ auf seinen niedrigen Pegel beim Block F^ des Flußdiagramms geändert. Das heißt, das Notfallentscheidungssignal S^ wird auf seinen niedrigen Pegel bei jeder Beendigung der Grundarbeit geändert. Die den Blöcken F2 und F, des Flußdiagrammes zugeordneten Programmteile sind nach Art einer Schleife miteinander verbunden, so daß sie wiederholt ausgeführt werden können, bis der Speiseschalter geöffnet wird.
Wenn irgendein Unterbrechungssignal von den Uhterbrechungssignalgeneratoren 1 bis 3 zugeführt wird, wird der Block F^ als Start des Flußdiagramins ausgewählt. Der nächste Block Fi- des Flußdiagramms gibt die Ausführung einer Routine an, um zu bestimmen, ob das zugeführte Signal das Unterbrechungssignal S^, ist, das von dem ersten Unterbrechungssignalgenerator 1 zugeführt wird. Wenn es dieses ist, geht die Steuerung zum Block Fn über den mit JA bezeichneten Programmzweig über, wobei in diesem Block die Unterbrechung 1 reserviert ist. Im anderen Fall geht die Steuerung vom Block F1- längs der mit NEIN bezeichneten -^rogrammverzweigung zum Block Fg über, in dem eine Routine ausgeführt wird, um zu bestimmen, ob das zugeführte Signal das Unterbrechungssignal S2 ist, das von dem zweiten Unterbrechungssignalgenerator 2 zu-
030043/0721
geführt wird. Wenn dasUnterbrechungssignal Sp der Steuereinheit 4· zugeführt wird, geht die Steuerung zum Block Fg über den mit JA bezeichneten Programmzweig über, wobei in diesem Block die Unterbrechung 2 reserviert ist. Wenn ein Unterbrechungssignal S^ von dem dritten Unterbrechungssignalgenerator 3 der Steuereinheit 4- zugeführt wird, geht die Steuerung über den mit KEIN bezeichneten Programmzweig zum Block Fq über, wo die Unterbrechung 3 reserviert ist. Bei der Beendigung dieser Routinen geht die Steuerung zum Block F,,q über, in dem eine Routine ausgeführt wird, um zu bestimmen, ob irgendeine Unterbrechung behandelt wird. Venn dieses der Fall ist, wird die Verarbeitung der Unterbrechung beim Block F^* beendet. Wenn keine Unterbrechung verarbeitet wird, geht die Steuerung zum Block F^2 über, in dem eine Routine durchgeführt wird, um zu bestimmen, ob die Unterbrechung 1 mit dem höchsten Prioritätspegel reserviert ist. Wenn die Unterbrechung 1 reserviert ist, gelangt die Programmsteuerung nacheinander zu den Blöcken Fx,^ bis F^q des Flußdiagrammes. Sonst geht die Steuerung zum Block Fp0 über, in dem eine Routine durchgeführt wird, um zu bestimmen, ob die Unterbrechung 2 reserviert ist, die die zweite Priorität hat. Wenn dieses der Fall ist, gelangt die Programmsteuerung nacheinander zu den Blöcken F2^ bis F2^ des Flußdiagrammes. Andernfalls geht die Steuerung zum Block F2,-, über, in dem eine Routine ausgeführt wird, um zu bestimmen, ob die Unterbrechung 3 mit der dritten Priorität reserviert ist. Wenn die Unterbrechung 3 reserviert ist, gelangt die Programmsteuerung nacheinander zu den Blöcken Fpo bis F^ des Flußdiagrammes. Andererseits wird die Unterbrechungsverarbeitung beim Block F5^, beendet. Bei der Be-
030043/0721
- ίο -
endigung der Routine beim Block iVini ^26 0<ier ^33 die Steuerung zum Block i1^ zurück. Wenn alle reservierten Unterbrechungen verarbeitet sind, wird die Unterbrechungsverarbeitung beim Block I^ beendet.
Der Block i1.^ gibt den Zustand an, daß die Unterbrechung 1 verarbeitet wird. Nach dieser Angabe geht die Steuerung vom Block H1^0 längs der mit JA bezeichneten Programmverzweigung zum Block Έ^ über, bis die Angabe beim Block F^q gelöscht wird. Der Block ~S^ gibt die Löschung der Unterbrechungsannahmeverhinderung an, damit die anderen Unterbrechungen 2 und 3 reserviert werden können, obwohl diese nicht verarbeitet werden, bis die Unterbrechungsannahme am Block I1^r7 verhindert wird. Wenn verschiedene Arten von Unterbrechungen häufig auftreten, ist es unerwünscht, irgendeine Unterbrechung zu ignorieren, was gegenüber einem herkömmlichen, einen Mikrocomputer enthaltenden Steuersystem vorteilhaft ist, bei dem jede Unterbrechung verhindert wird, nachdem eine Unterbrechung einmal aufgetreten ist, bis die Unterbrechung beendet ist. Beim Block Έ^^ wird das Notfallentscheidungssignal S1, auf seinen hohen Pegel geändert, der beibehalten wird, bis das Notfallentscheidungssignal S^ auf seinen hohen Pegel beim Block Ε-? nach der Beendigung der Unterbrechungsverarbeitung geändert wird. Der Block ϊ1.,- gibt die Ausführung der Unterbrechungsroutine an, die dem Unterbrechungssignal S^ entspricht. Die Steuerung geht vom Block ]? ^ zum Block I1^r7 über, bei dem eine Routine durchgeführt wird, um irgendeine Unterbrechung zu verhindern. Dann geht die Steuerung zum Block ]? ο über, bei dem die Reservierung der Unterbrechung 1 gelöscht wird, und danach zum Block F.q, bei dem die Unterbrechungsangabe gelöscht wird.
030043/0721
3012^25
Die Reihe von Blöcken I^ bis F2^ xm^ d:5-e Reihe von
Blöcken 3?00 bis Έ-,-, sind im wesentlichen gleich der 28 33
Reihe von Blöcken I". ^ bis I1^q mit der. Ausn ahme, daß die Steuereinheit 4 die Unterbrechungsroutine entsprechend dem Unterbrechungssignal S2 oder S, ohne Änderung des Motfallentscheidungssignals S^ auf seinen hohen Pegel ausführt.
Bei diesem Ausführungsbeispiel kann die Steuereinheit 4- einen Mikroprozessor mit einem digitalen Ausgang zur Aufnahme des Hotfallentscheidungssignals S^ enthalten. Um jede Unterbrechung zu reservieren, kann ein Bit des Speichers als eine Entscheidungsflagge benutzt werden. So wird z.B. der Zustand, bei dem die Unterbrechung reserviert ist, aurch eine binäre 1 angegeben, und der Zustand, bei der die Reservierung der Unterbrechung gelöscht wird, wird durch eine binäre O angegeben. In gleicher Weise kann ein Bit des Speichers zum Bestimmen, ob die Unterbrechung verarbeitet wird, benutzt werden.
Bei dem erfindungsgemäßen Steuersystem ändert sich das Wotfallentscheidungssignal S^, zwischen seinen hohen und niedrigen Pegeln abwechselnd, wenn Unterbrechungssignale in geeigneter Weise an die Steuereinheit gegeben werden, und das Steuerprogramm in geeigneter Weise ausgeführt wird. Wenn jedoch das Steuerprogramm z.B. während der Ausführung der Unterbrechung 1 aus irgendwelchen Gründen anhält, werden die durch die Blöcke F^r7 und JB1Q angegebenen Programmteile nicht ausgeführt. Die Unterbrechungsannähme wird daher im erlaubten Zustand gehalten und die Angabe des Zustandes, daß die Unterbrechung 1 ausgeführt wird, wird nicht gelöscht
030043/0721
gehalten, so daß die Programmsteuerung immer zum Block F^. weitergelangt. Gleiche Zustände treten auf, wenn das Steuerprogramm während der Ausführung der Unterbrechung 2 oder 3 anhält. Dadurch wird das No tfallentscheidungssignal S^, auf dem Pegel gehalten, der auftritt, wenn das Programm anhält. Wenn, das Steuerprogramm während der Ausführung der Grundarbeit anhält, wird das Notfallentscheidungssignal S^ auf seinem hohen Pegel gehalten, der beim Block JF^t- eingestellt wird.
Diese anormalen Zustände können durch Benutzung, der Notfallentscheidungsschaltung 6 erfaßt werden, die ein Notfallsignal Sj- erzeugt, wenn das Notfallentscheidungssignal auf seinem einen Pegel während einer Zeitdauer gehalten wird, die länger als ein bestimmter Wert ist.
Das erfindungsgemäße Steuersystem umfaßt eine Einrichtung zum Erfassen anormaler Zustände, bei denen das Steuerprogramm während einer Unterbrechungsverarbeitung oder einer Durchführung der Grundarbeit anhält, um eine Notfallverarbeitung durchzuführen, wie ein Rücksetzen der Steuereinheit, damit eine Verschlechterung der Arbeitsweise des Steuersystems verhindert wird. Die anormalen Zustände, die das erfindungsgemäße Steuersystem erfassen kann, umfassen die Fälle, bei denen keine Unterbrechung angenommen wird, selbst wenn die Steuereinheit irgendein Unterbrechungssignal empfängt, wenn die Steuereinheit nicht in geeigneter Weise infolge von zeitlichen Schwierigkeiten in den Registern und Signalleitungen weiterschreitet, und wenn häufige Unterbrechungen auftreten, um eine Ausführung der Grundarbeit infolge &s Auftretens anormaler Zustände in der von
0043/0721
dem Steuersystem zu steuernden Einrichtung zu verhindern, wie infolge ungewöhnlich hoher Drehzahlen der Brennkraftmaschine.
Obwohl die Erfindung in Verbindung mit besonderen Ausführungsbeispielen erläutert wurde, sind selbstverständlich viele Änderungen, Modifikationen und Abwandlungen für den Fachmann sofort zu erkennen. Diese Änderungen, Modifikationen und Abwandlungen fallen daher alle unter den allgemeinen Erfindungsgedanken, wie er durch die Patentansprüche umrissen ist.
030043/0721

Claims (6)

  1. P *.T E N TA N WA LT E
    A. GRUNECKER
    DtPL tPJfi
    H. KINKELDEY
    Ml INC.
    W. STOCKMAIR
    PTX ING - AeE ICALTECH)
    K. SCHUMANN
    Dft RER NAT. - DIPU-PHVS
    P. H. JAKOB
    DtPU-ING.
    G. BEZOLD
    DH REaNAT- WPL-CHEM
    NISSMi MOTOR COMPAQ, LIMITED
    2, Takara-cho, Kanagawa-ku, Xokohama-shi,
    Kanagawa-ken, Japan
    8 MÜNCHEN
    MAXIMILIANSTRASSE
    51. März 1980 P 14- 928
    Eehlergesicherte Einrichtung zur Benutzung
    eines digitalen Rechners
    Patentansprüche
    lehlergesicherte Einrichtung zur Benutzung eines digitalen Rechners mit einem Mikroprozessor, einem
    Programmspeicher, in dem mindestens ein erstes Programm gespeichert ist, um eine Unterbrechung vorzunehmen, und ein zweites Programm gespeichert ist, um
    eine Grundarbeit durchzuführen, gekennzeichnet durch:
    a) einen Programmteil in dem ersten Programm, damit
    030.043/0721
    TEUSFON (O8D) Q0 2B6a
    TELEX Ο5-29 38Ο
    TELEGRAMME MONAPAT
    TELEKOPIERER
    der Mikroprozessor (4) ein Notfallentscheidungssignal mit einem ersten Pegel erzeugt,
    b) einen Programmteil in dem zweiten Programm zum Indern des Notfallentscheidungssignals auf seinen zweiten Pegel,
    c) eine auf das Ausgangssignal des Mikroprozessors (4-) ansprechende erste Einrichtung (6) zum Erzeugen eines ITo tf all signals, wenn die Zeitdauer, während der das Notfallentscheidungssignal auf dem ersten oder zweiten Pegel gehalten wird, einen bestimmten Wert überschreitet, und
    d) eine auf das Notfallsignal von der ersten Einrichtung (6) ansprechende zweite Einrichtung (7) zum Durchführen der Notfallverarbeitung.
  2. 2. Einrichtung nach Anspruch 1, dadurch gekennzeichnet, daß der Rechner mehrere, in dem ersten Programmspeicher (5) gespeicherte erste Programme hat und daß nur eines der ersten Programme einen Programmteil zum Ändern des Notfallentscheidungssignals auf seinen ersten Pegel hat.
  3. 3- Einrichtung nach Anspruch 2, dadurch gekennzeichnet, daß eine weitere Unterbrechung während der Verarbeitung einer Unterbrechung auftritt, wobei die weitere Unterbrechung nach der Beendigung der einen Unterbrechung angenommen und durchgeführt wird.
    030043/0721
    3012A25
  4. 4. Einrichtung nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß die zweite Einrichtung (7) zum Zurücksetzen des Rechners auf das Notfallsignal anspricht.
  5. 5- Einrichtung nach einem der Ansprüche Λ "bis 3, dadurch gekennzeichn et, daß die zweite Einrichtung (7) zum Beenden der Arbeitsweise des Rechners auf das Notfallsignal anspricht.
  6. 6. Einrichtung nach einem der Ansprüche Λ bis 3, dadurch gekennzeichnet, daß die zweite Einrichtung (7) zum Erzeugen eines Alarms auf das Notfallsignal anspricht.
    030043/0721
DE19803012425 1979-04-02 1980-03-31 Fehlergesicherte einrichtung zur benutzung eines digitalen rechners Ceased DE3012425A1 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP54038399A JPS6032217B2 (ja) 1979-04-02 1979-04-02 制御用コンピュ−タのフェィルセ−フ装置

Publications (1)

Publication Number Publication Date
DE3012425A1 true DE3012425A1 (de) 1980-10-23

Family

ID=12524208

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19803012425 Ceased DE3012425A1 (de) 1979-04-02 1980-03-31 Fehlergesicherte einrichtung zur benutzung eines digitalen rechners

Country Status (5)

Country Link
US (1) US4410938A (de)
JP (1) JPS6032217B2 (de)
DE (1) DE3012425A1 (de)
FR (1) FR2453442A1 (de)
GB (1) GB2050013B (de)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3225712A1 (de) * 1982-07-09 1984-01-12 Maschf Augsburg Nuernberg Ag Verfahren und vorrichtung zur funktionspruefung von rechnern
DE3644631A1 (de) * 1985-12-28 1987-07-02 Honda Motor Co Ltd Unregelmaessigkeiten ermittelnder mikrocomputer
DE4219903A1 (de) * 1991-06-17 1993-02-11 Mitsubishi Electric Corp Numerische steuerungseinheit mit ablaufplan-ueberspringfunktion
DE19614128A1 (de) * 1996-04-10 1997-10-23 Agie Ag Ind Elektronik Verfahren und Vorrichtung zur Steuerung einer Werkzeugmaschine, insbesondere einer Funkenerosionsmaschine

Families Citing this family (52)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2838619A1 (de) * 1978-09-05 1980-03-20 Bosch Gmbh Robert Einrichtung zum steuern von betriebsparameterabhaengigen und sich wiederholenden vorgaengen fuer brennkraftmaschinen
JPS57155601A (en) * 1981-03-20 1982-09-25 Nippon Denso Co Ltd Car safety device
JPS57182858A (en) * 1981-05-06 1982-11-10 Japan Electronic Control Syst Co Ltd Monitor circuit for program runaway in computer
US4704685A (en) * 1982-04-09 1987-11-03 Motorola, Inc. Failsafe engine fuel control system
DE3214006A1 (de) * 1982-04-16 1983-10-20 Robert Bosch Gmbh, 7000 Stuttgart Vorrichtung zum ruecksetzen von rechenschaltungen
US4514846A (en) * 1982-09-21 1985-04-30 Xerox Corporation Control fault detection for machine recovery and diagnostics prior to malfunction
JPS5968004A (ja) * 1982-10-12 1984-04-17 Honda Motor Co Ltd 車載用コンピユ−タのフエイルセ−フ方法
JPS59116858A (ja) * 1982-12-23 1984-07-05 Fujitsu Ltd マシンチエツク割込み処理方式
FR2539887B1 (fr) * 1983-01-20 1985-07-26 Tech Europ Commutation Procede pour assurer la securite du fonctionnement d'un automate programmable et automate pour la mise en oeuvre du procede
DE3328450A1 (de) * 1983-08-06 1985-02-28 Daimler-Benz Ag, 7000 Stuttgart Verfahren zur ueberpruefung von messfuehlern
DE3332626A1 (de) * 1983-09-09 1985-03-28 Siemens AG, 1000 Berlin und 8000 München Schaltungsanordnung zum erkennen von statischen und dynamischen fehlern in schaltungsbaugruppen
NL8303167A (nl) * 1983-09-14 1985-04-01 Philips Nv Alleenstaande dienstverlenende inrichting met micro-computer, die beschermd is tegen storingen.
DE3343227A1 (de) * 1983-11-30 1985-06-05 Robert Bosch Gmbh, 7000 Stuttgart Verfahren zur ueberwachung von elektronischen rechenbausteinen, insbesondere mikroprozessoren
US4586179A (en) * 1983-12-09 1986-04-29 Zenith Electronics Corporation Microprocessor reset with power level detection and watchdog timer
US4599695A (en) * 1984-05-25 1986-07-08 Motorola, Inc. Microprocessor transient interrupt system adaptable for engine control
US4635258A (en) * 1984-10-22 1987-01-06 Westinghouse Electric Corp. System for detecting a program execution fault
US4649537A (en) * 1984-10-22 1987-03-10 Westinghouse Electric Corp. Random pattern lock and key fault detection scheme for microprocessor systems
US4764893A (en) * 1985-04-26 1988-08-16 International Business Machines Corporation Noise-immune interrupt level sharing
US4866607A (en) * 1985-05-06 1989-09-12 Halliburton Company Self-contained downhole gauge system
US4920538A (en) * 1985-06-28 1990-04-24 International Business Machines Corporation Method of checking the execution of microcode sequences
US4695941A (en) * 1985-07-29 1987-09-22 General Electric Company Loss of electrical feedback detector
US4727549A (en) * 1985-09-13 1988-02-23 United Technologies Corporation Watchdog activity monitor (WAM) for use wth high coverage processor self-test
JPS62106524A (ja) * 1985-11-01 1987-05-18 Clarion Co Ltd 車載用の機器のマイクロコンピユ−タリセツト回路
US4785417A (en) * 1986-04-28 1988-11-15 Pitney Bowes Inc. Electronic postage meter having an out of sequence checking arrangement
JPS6315340A (ja) * 1986-07-07 1988-01-22 Oki Electric Ind Co Ltd 電子制御装置の誤動作検出方式
JPH06103472B2 (ja) * 1986-10-29 1994-12-14 日本電気株式会社 デバツグ用マイクロプロセツサ
JPS63193242A (ja) * 1987-02-05 1988-08-10 Honda Motor Co Ltd 制御装置の誤動作検出方法
JPS6461830A (en) * 1987-08-31 1989-03-08 Aisin Seiki Protecting device for automobile microcomputer
US5311451A (en) * 1987-11-06 1994-05-10 M. T. Mcbrian Company, Inc. Reconfigurable controller for monitoring and controlling environmental conditions
JP2646482B2 (ja) * 1987-12-10 1997-08-27 スズキ株式会社 車両用エンジンコントローラの診断装置
US5233613A (en) * 1988-03-29 1993-08-03 Advanced Micro Devices, Inc. Reliable watchdog timer
JP2834210B2 (ja) * 1988-09-14 1998-12-09 株式会社日立製作所 リング状ネットワークにおけるメッセージ制御方法
US4982404A (en) * 1988-10-12 1991-01-01 American Standard Inc. Method and apparatus for insuring operation of a multiple part system controller
JPH03142539A (ja) * 1989-10-30 1991-06-18 Nec Commun Syst Ltd Cpuの暴走検出方式
US5222220A (en) * 1989-11-16 1993-06-22 Mehta Hemang S Microprocessor stack built-in guards
US5491631A (en) * 1991-12-25 1996-02-13 Honda Giken Kogyo Kabushiki Kaisha Fault diagnostic system for vehicles using identification and program codes
JPH0683652A (ja) * 1992-08-31 1994-03-25 Sharp Corp マイクロコンピュ−タシステム
JPH06168163A (ja) * 1992-09-30 1994-06-14 Nec Home Electron Ltd Cpu監視方法及びcpu監視装置
US5482050A (en) * 1994-02-17 1996-01-09 Spacelabs Medical, Inc. Method and system for providing safe patient monitoring in an electronic medical device while serving as a general-purpose windowed display
DE19508793A1 (de) * 1995-03-14 1996-09-19 Bosch Gmbh Robert Schaltung zum Betreiben von Rechenbausteinen, insbesondere Mikroprozessoren
JPH09160807A (ja) * 1995-12-06 1997-06-20 Mitsuba Corp マイクロプロセッサの誤動作検出方法
US6202174B1 (en) 1996-09-16 2001-03-13 Advanced Micro Devices Inc Method for identifying and correcting errors in a central processing unit
DE19735319A1 (de) 1997-08-14 1999-02-18 Bayerische Motoren Werke Ag Elektronisches Steuergerät
DE19739530C1 (de) * 1997-09-09 1998-12-24 Siemens Ag Schaltungsanordnung zur Erzeugung eines Interruptsignals für einen Mikroprozessor
US6012154A (en) * 1997-09-18 2000-01-04 Intel Corporation Method and apparatus for detecting and recovering from computer system malfunction
FR2770917A1 (fr) * 1997-11-07 1999-05-14 Peugeot Systeme de controle du fonctionnement d'un calculateur de pilotage d'organes fonctionnels d'un vehicule automobile
JP2002158668A (ja) * 2000-11-17 2002-05-31 Denso Corp 車両用ネットワークシステムの異常検出装置
JP2004102324A (ja) * 2002-09-04 2004-04-02 Oki Electric Ind Co Ltd 割り込みプログラムモジュール、該モジュールを記録した記録媒体およびモニタのための割り込み処理が可能のコンピュータ
DE102005008975A1 (de) * 2005-02-28 2006-08-31 Robert Bosch Gmbh Verfahren und Vorrichtung zur Überwachung einer Prozessausführung
DE112006004050A5 (de) * 2006-11-03 2009-09-10 Bayerische Motoren Werke Aktiengesellschaft Fehlerverfolgung im Datenbus-System eines Fahrzeugs
US8347149B2 (en) * 2008-10-01 2013-01-01 Cardiac Pacemakers, Inc. System and method for providing fault tolerant processing in an implantable medical device
JP5861438B2 (ja) * 2011-12-16 2016-02-16 株式会社オートネットワーク技術研究所 制御装置及び処理監視方法

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3568157A (en) * 1963-12-31 1971-03-02 Bell Telephone Labor Inc Program controlled data processing system
US3312951A (en) * 1964-05-29 1967-04-04 North American Aviation Inc Multiple computer system with program interrupt
US3504347A (en) * 1967-07-03 1970-03-31 Gen Electric Interrupt monitor apparatus in a computer system
US3593299A (en) * 1967-07-14 1971-07-13 Ibm Input-output control system for data processing apparatus
US3566368A (en) * 1969-04-22 1971-02-23 Us Army Delta clock and interrupt logic
BE758981A (fr) * 1969-11-14 1971-05-17 Westinghouse Electric Corp Systeme de controle des erreurs de fonctionnement d'un processus industriel
US3644936A (en) * 1970-01-23 1972-02-22 Boole & Babbage Inc Method for measuring performance of a general purpose digital computer
US3749897A (en) * 1971-09-03 1973-07-31 Collins Radio Co System failure monitor title
US3996567A (en) * 1972-05-23 1976-12-07 Telefonaktiebolaget L M Ericsson Apparatus for indicating abnormal program execution in a process controlling computer operating in real time on different priority levels
US3795800A (en) * 1972-09-13 1974-03-05 Honeywell Inf Systems Watchdog reload initializer
FR2269148B1 (de) * 1974-04-25 1978-01-20 Honeywell Bull Soc Ind
GB1502184A (en) * 1974-07-05 1978-02-22 Sperry Rand Corp Automatic flight control systems
US3919533A (en) * 1974-11-08 1975-11-11 Westinghouse Electric Corp Electrical fault indicator
US4044337A (en) * 1975-12-23 1977-08-23 International Business Machines Corporation Instruction retry mechanism for a data processing system
US4072852A (en) * 1976-08-23 1978-02-07 Honeywell Inc. Digital computer monitoring and restart circuit
US4218739A (en) * 1976-10-28 1980-08-19 Honeywell Information Systems Inc. Data processing interrupt apparatus having selective suppression control
US4145735A (en) * 1977-02-02 1979-03-20 Nippon Steel Corporation Monitor for priority level of task in information processing system
US4118792A (en) * 1977-04-25 1978-10-03 Allen-Bradley Company Malfunction detection system for a microprocessor based programmable controller
JPS6060024B2 (ja) * 1977-10-19 1985-12-27 株式会社日立製作所 エンジン制御方法
US4255789A (en) * 1978-02-27 1981-03-10 The Bendix Corporation Microprocessor-based electronic engine control system
US4231106A (en) * 1978-07-13 1980-10-28 Sperry Rand Corporation Performance monitor apparatus and method
US4270168A (en) * 1978-08-31 1981-05-26 United Technologies Corporation Selective disablement in fail-operational, fail-safe multi-computer control system
US4213178A (en) * 1978-10-23 1980-07-15 International Business Machines Corporation Input/output command timing mechanism
BE887134A (fr) * 1979-12-14 1981-05-14 Gte Automatic Electric Lab Inc Circuit expanseur d'interruption
US4323966A (en) * 1980-02-05 1982-04-06 The Bendix Corporation Operations controller for a fault-tolerant multiple computer system

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3225712A1 (de) * 1982-07-09 1984-01-12 Maschf Augsburg Nuernberg Ag Verfahren und vorrichtung zur funktionspruefung von rechnern
DE3644631A1 (de) * 1985-12-28 1987-07-02 Honda Motor Co Ltd Unregelmaessigkeiten ermittelnder mikrocomputer
DE4219903A1 (de) * 1991-06-17 1993-02-11 Mitsubishi Electric Corp Numerische steuerungseinheit mit ablaufplan-ueberspringfunktion
DE19614128A1 (de) * 1996-04-10 1997-10-23 Agie Ag Ind Elektronik Verfahren und Vorrichtung zur Steuerung einer Werkzeugmaschine, insbesondere einer Funkenerosionsmaschine
DE19614128C2 (de) * 1996-04-10 2001-03-01 Agie Sa Verfahren und Vorrichtung zur Steuerung einer Werkzeugmaschine, insbesondere einer Funkenerosionsmaschine

Also Published As

Publication number Publication date
JPS55131852A (en) 1980-10-14
GB2050013A (en) 1980-12-31
FR2453442B1 (de) 1984-03-30
GB2050013B (en) 1983-11-16
JPS6032217B2 (ja) 1985-07-26
US4410938A (en) 1983-10-18
FR2453442A1 (fr) 1980-10-31

Similar Documents

Publication Publication Date Title
DE3012425A1 (de) Fehlergesicherte einrichtung zur benutzung eines digitalen rechners
DE2913999C2 (de) Einrichtung zum Prüfen von Systemprogrammen numerischer Steuerungen für Werkzeugmaschinen
EP0011685B1 (de) Programmierbare Speicherschutzeinrichtung für Mikroprozessorsysteme und Schaltungsanordnung mit einer derartigen Einrichtung
DE4410775C2 (de) Steuergerät und Arbeitsverfahren eines Betriebssystems für dieses Steuergerät
DE4111072C2 (de)
DE2722124A1 (de) Anordnung zum feststellen des prioritaetsranges in einem dv-system
DE3644631C2 (de)
DE2756890A1 (de) Datenverarbeitungssystem
DE10235564A1 (de) Verfahren zum Überwachen eines Mikroprozessors und Schaltungsanordnung mit einem Mikroprozessor
DE3507584C2 (de)
EP0048991B1 (de) Verfahren und Anordnung zur Behandlung von Unterbrechungsbedingungen während des Arbeitsablaufes in Datenverarbeitungsanlagen mit Mikroprogrammsteuerung
DE2064383B2 (de) Datenverarbeitungsanlage mit mehreren zentralen Verarbeitungseinrichtungen
DE112012002647B4 (de) Erkennen eines durch Interrupt-Verarbeitung verursachten anormalen Betriebs
DE102013213087A1 (de) Überwachungsschaltung mit einem fenster-watchdog
DE2622140C3 (de) Einrichtung zur Steuerung manueller Operationen
DE2949806C2 (de) Digitales Ausfiltern von Störimpulsen
DE2657404A1 (de) Steuerwerk
DE3644248C2 (de)
DE2216533C3 (de) Anordnung zur Steuerung der Durchführung mehrerer Aufgaben in einer DTENVERARBEITUNGSANLAGE
DE4319881B4 (de) Verfahren zur Verarbeitung von Interruptsignalen einer Interruptquelle
EP0989494B1 (de) Zweikanaliger sicherheitsgerichteter Zähler
DE19824568C2 (de) Verfahren und Schaltungsanordnung zur Berücksichtigung von Ereignissen im Zuge des Ablaufs eines Programms, insbesondere in einer programmgesteuerten Vermittlungseinrichtung
EP1157468B1 (de) Anordnung und verfahren zum ermitteln, ob der zählstand eines zählers einen vorbestimmten zählstand erreicht hat oder nicht
DE2322349C3 (de) Anordnung zur Anzeige einer zeitlich abnormalen Programmausführung in einem prozeBsteuernden Rechner, welcher auf verschiedenen Prioritätsstufen arbeitet
DE10110050A1 (de) Verfahren zur Absicherung sicherheitskritischer Programmteile vor versehentlicher Ausführung und eine Speichereinrichtung zur Durchführung dieses Verfahrens

Legal Events

Date Code Title Description
OAP Request for examination filed
OD Request for examination
8131 Rejection