WO2009138137A1 - Method and device for monitoring errors in a computer system - Google Patents

Method and device for monitoring errors in a computer system Download PDF

Info

Publication number
WO2009138137A1
WO2009138137A1 PCT/EP2008/066407 EP2008066407W WO2009138137A1 WO 2009138137 A1 WO2009138137 A1 WO 2009138137A1 EP 2008066407 W EP2008066407 W EP 2008066407W WO 2009138137 A1 WO2009138137 A1 WO 2009138137A1
Authority
WO
WIPO (PCT)
Prior art keywords
mode
pattern recognition
recognition algorithm
monitored
comparison
Prior art date
Application number
PCT/EP2008/066407
Other languages
German (de)
French (fr)
Inventor
Eberhard Boehl
Bernd Mueller
Markus Ferch
Yorck Collani
Holger Banski
Original Assignee
Robert Bosch Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch Gmbh filed Critical Robert Bosch Gmbh
Publication of WO2009138137A1 publication Critical patent/WO2009138137A1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/845Systems in which the redundancy can be transformed in increased performance

Definitions

  • the invention relates to a method for error monitoring of a computer system having at least two arithmetic units, wherein the computer system is switched between a first and a second operating mode and the first operating mode corresponds to a performance mode and the second operating mode corresponds to a comparison mode and an apparatus for performing the method.
  • a method and a device for generating a signal in a computer system with a plurality of components are known in which is switched between two operating modes.
  • the computer system works with two arithmetic units.
  • the different operating modes are aimed at operating the processor unit at least in a so-called performance mode as well as in a comparison mode.
  • the performance mode the computing units included in the computer system execute different programs.
  • comparison mode however, identical programs are executed by both arithmetic units and the result of both arithmetic units is compared with one another. If there is a difference in the results, an error signal is triggered.
  • the invention is based on the object of specifying a method and a device in which the computer system with at least two arithmetic units, the can work in different operating modes, regularly assumes a safe state.
  • the advantage of the invention is that both the comparison mode and the performance mode are monitored for errors. It is checked whether the computer system switches back to the comparison mode in a timely manner in which it is determined whether the arithmetic units are working correctly.
  • a pattern recognition algorithm that monitors the timing of the operating modes, an error is detected when a temporal condition monitored by the pattern recognition algorithm is not maintained in the sequence of operating modes. Since the pattern recognition algorithm permits simultaneous monitoring of several variables which characterize the respective operating mode, it is possible, due to the multiplicity of conditions to be monitored, to conclude an error in good time already with the deviation of only one condition.
  • the invention also detects an error in the performance mode, which prevents a return to the comparison mode, and a safe state is assumed.
  • the method according to the invention allows as many program parts as possible to be run in the efficient performance method, since thereby a high computing power is achieved. At the same time, all program parts are monitored with a high level of error detection, which is particularly important for safety-relevant applications.
  • a particularly simple monitoring option is provided if the pattern recognition algorithm monitors the occurrence of the comparison mode in which the occurrence of a mode signal is evaluated.
  • This mode signal is set active during the operation of the comparison mode and is inactive in the performance mode. The mode signal is therefore always active when the data of the two arithmetic units are compared.
  • the monitoring of the mode signal as such but not sufficient, but the temporal behavior of the mode signal must also be monitored.
  • the computer system changes more or less regularly between performance and comparison mode back and forth.
  • a faulty behavior in the temporal sequence of the mode signal can be achieved by comparison with predetermined reference values. be known.
  • predetermined reference values be known.
  • the comparison mode is considered to be a particularly secure mode in a computer system, then the security objectives of the given application can be achieved by always accepting the comparison mode in good time. The duration of the comparison mode and / or the performance mode is monitored. If there is a difference to a given reference value, an error is also detected here.
  • a check is carried out in that the maximum time in which the performance and / or the comparison mode are not interrupted is monitored by the pattern recognition algorithm.
  • lower and upper limits can be specified for these periods.
  • monitoring of periodic sequences of changing periods is possible.
  • the number of monitoring patterns is very diverse and can always be tailored to the particular application. This realization is particularly easy to set by a combination of hardware and software.
  • the number of activations of the performance and / or comparison mode is monitored by the pattern recognition algorithm.
  • the error monitoring by the pattern recognition algorithm is particularly easy to implement by monitoring the periodic occurrence of the comparison mode.
  • the computer system always assumes the comparison mode after a fixed period in the error-free case.
  • the pattern recognition algorithm monitors the relationship between comparison mode and performance mode. within a given period of time. This period should advantageously correspond to a period.
  • a so-called budget is set, which specifies upper and / or lower limits for a number of variables to be measured, which are monitored by the pattern recognition algorithm.
  • the budget may limit the maximum duration of the computing system remaining in the compare mode as well as the maximum duration of operating the computer system in the performance mode. The same applies to a minimum duration.
  • the number of mode changes or the number of changes in a certain direction are limited. With this configuration, you must monitor compliance with the time period, ie the period for which a budget is specified. On the other hand, compliance with the budget must be monitored within the period.
  • a device for error monitoring of a computer system is shown with at least two computing units, wherein the computer system switches between a first and a second operating mode and the first operating mode corresponds to a performance mode and the second operating mode a comparison mode.
  • the regular assumption of a safe state is ensured if it contains a monitoring logic with a pattern recognition algorithm monitoring the operating modes, the monitoring logic outputting an error signal if at least one operating mode of the Pattern recognition algorithm deviates.
  • the pattern recognition algorithm monitors the monitoring logic in which the occurrence of a mode signal is counted.
  • the temporal behavior of the performance and / or comparison mode can be easily evaluated by the pattern recognition algorithm of the monitoring logic.
  • the monitoring logic has an interface to which the input data that is evaluated by the pattern recognition algorithm is applied.
  • FIG. 1 Monitoring logic for a computer system with at least two arithmetic units
  • FIG. 4 monitoring pattern for a first budget
  • FIG. 5 Monitoring pattern for a second budget
  • FIG. 1 shows a monitoring logic 100 in which, in terms of hardware, a pattern recognition algorithm is stored, which monitors the work of unrepresented computing units which operate once in the performance mode and on the other hand in a comparison mode.
  • a pattern recognition algorithm To implement the pattern recognition algorithm, one or more timers 101 are needed, which are incremented with each rising edge of the system clock or a clock derived from the system clock.
  • a counter 102 In order to register the change of a mode signal, a counter 102 is present.
  • a memory 103 registers reference values, configuration parameters and timer values. For comparison of actual values with desired values, a comparator 104 is necessary.
  • a logic 105 for averaging is integrated into the monitoring logic 100.
  • the monitoring logic 100 receives the system clock 106, a signal 107 for the system reset and the mode signal 108 as input signals. Furthermore, a connection 109 to the internal system bus (not shown further) is present.
  • the output signal of the monitoring logic 100 which is output via the connection 109 to the internal system bus, is a 1-bit wide error signal, via which a deviation from the expected time behavior of the mode signal is signaled. Error signal active means that an error has occurred in the time sequence of the mode signal. In addition to a 1-bit wide signal, a dual rail or other implementation capable of transmitting this information is also possible.
  • the error signal is advantageously activated during the configuration, since no monitoring takes place during the configuration.
  • a configuration bit is set which represents protection against incorrect configuration accesses. A reconfiguration of the monitoring logic 100 during operation is therefore not possible without setting the configuration bit. Should a configuration be inadvertently made during the operation of the monitoring logic 100, the error signal of the monitoring logic 100 is automatically activated the moment the configuration bit is set. The monitoring logic 100 begins monitoring the mode signal 108 as soon as the configuration bit is cleared.
  • the monitoring logic starts with an unsetting configuration bit and thus an active error signal. Once a fault signal has been set, it can not be reconfigured until it has been reconfigured, i. after setting and then deleting the configuration bit, be reset.
  • a buffer time is kept between the completion of the configuration of the monitoring logic 100 and the start of monitoring by the monitoring logic 100.
  • the monitoring logic 100 is intended to check, by monitoring the temporal behavior of the mode signal, whether the computer system is operating in the desired manner.
  • three working modes are to be differentiated for which the monitoring of the mode signal has to be carried out differently.
  • the computer system In a permanent performance mode, the computer system is operated exclusively in the performance mode. A switch to the comparison mode never takes place instead of. The mode signal is therefore never activated. The activation of the mode signal thus represents an error case.
  • the mode signal is therefore permanently activated.
  • An error state to be detected in this case is the deactivation of the mode signal.
  • the computer system changes more or less regularly between the performance and comparison modes.
  • An erroneous behavior in the temporal sequence of the mode signal is detected by comparison with stored reference values.
  • the monitoring of the mode signal in the permanent performance or comparison mode is realized by comparing the mode signal with the constant values "0" and "1".
  • the monitoring logic When monitoring the change between the performance and comparison modes, the monitoring logic must ensure, in addition to observing the mode signal, that all transitions between performance and comparison modes occur at the correct time and, if possible, that the correct software tasks are performed.
  • the monitoring logic 100 can now monitor various monitoring patterns. Assuming that the compare mode is a particularly secure mode, the security objectives of the application can be achieved by ensuring that the compare mode is always timely accepted. It is checked whether the comparison mode is adopted at the latest after a certain duration, for example every x ms. This means that the maximum duration is monitored in which the performance mode is not interrupted. This is realized by a timer which is periodically incremented or decremented. A timer is used which expires when a certain value (eg0) is reached and outputs a corresponding signal.
  • the monitoring is shown in FIG.
  • the starting point in block 200 is the performance mode in which the computer system is located. In block 201, the timer is initialized and begins to run in block 202. Thereupon, a query is made in block 203 as to whether the comparison mode is accepted before the timer expires, which can be determined simply by the presence of the mode signal. If this is not the case, the monitoring logic 100 outputs an error signal in block 204.
  • the timer is paused with the transition to compare mode (block 205).
  • the computer system now operates in compare mode (block 206).
  • the computer system jumps into the performance mode. In this state transition, the timer is rebuilt in block 208. Return to block 202 where the timer expires and monitoring begins again.
  • Another monitoring pattern is that the monitoring ensures that the comparison mode is always accepted after a fixed period in the error-free case. This is particularly advantageous when all tasks of the comparison mode are periodic. It is checked whether the comparison mode after the last time of its activation is exactly accepted at a certain time again. This time is provided with a so-called jitter, which means that the specific time may be within a predetermined time window.
  • the computer system is initially in performance mode (block 300).
  • a timer is initialized, with the timer running in block 302.
  • block 303 it is queried whether the comparison mode was accepted in the correct time window. If this is not the case, the monitoring logic 100 outputs an error message in block 304.
  • the timer is stopped with the transition of the computer system from the performance mode to the comparison mode (block 305).
  • the computer system operates in block 306 in comparison mode.
  • it jumps back into the performance mode, with this state change of the computer system, the timer is rearmed (block 308).
  • the Timer starts to run again in block 302 and monitoring starts again. The timer does not monitor here for a maximum length but for a period.
  • a budget compliance of the ratio of comparison mode and performance mode within a period.
  • the performance mode should be used for 39 ms and the comparison mode for 1 ms.
  • the first check is to check whether there is a budget update every 40 ms, that is, a re-assessment of the budget, whereby the budget is released periodically by the software.
  • the second check is whether the ratio of performance mode to comparison mode is within an acceptable range, advantageously 39: 1.
  • the basic form of a budget is explained in FIG.
  • the budget 400 indicates upper bounds for a number of quantities measured by the monitoring logic 100.
  • the maximum duration e.g. B. x ms
  • the maximum duration, z. B y ms, for the performance mode is limited in the budget unit 402.
  • the maximum duration can also be specified in clock cycles or a multiple of clock cycles.
  • the maximum number of mode changes n is set in the budget unit 404, while in the budget unit 405, the maximum number m of switching from the compare mode to the performance mode is set.
  • the budget 500 consists of the budget unit 501, in which the minimum xl and the maximum x2 for the whereabouts of the computer system in comparison mode is determined.
  • the minumum yl and the maximum y2 for the whereabouts of the computer system in the performance mode are described.
  • the period (minimum zl and maximum z2) until the next budget update is listed in the budget unit 503.
  • the change of the mode signal, which is monitored with the budget unit 504 is a number of minimum nl to maximum n2.
  • the number of changes from the comparison mode to the performance mode can be from minimum ml to maximum m2 (budget unit 505). In addition to the conditions listed, other conditions may be added depending on the application.
  • the budget of a budget unit such as the budget unit 401, where the maximum x values of the stay are limited in a compare mode, is managed using this counter.
  • the counter associated with budget unit 401 is incremented at each system clock at which the system is in compare mode.
  • the counter associated with budget unit 402 is incremented on system clocks when the system is in performance mode.
  • the counter associated with budget unit 403 is incremented at each system clock.
  • a mode change counter (budget units 404 or 504) is incremented each time the mode is changed. If, as with the budget units 405 and 505, only a certain direction of the mode change is to be counted, this is selected accordingly.
  • the monitoring logic 100 outputs an error message.
  • next budget update within monitor logic 100 is to define a given time.
  • the budget is updated again after a fixed number of mode changes.
  • next mode change triggers the budget update.
  • the counters can also be implemented via decrementing. Then a budget update will set to a new maximum value. Instead of everyone System clock to perform a decrement or increment, can also be counted in a coarser unit, for example every 8 bars.
  • the budget update may be enabled by software accessing the monitoring logic 100.
  • the monitoring logic 100 requires an interface, which is shown in FIG. It consists of a configuration interface 110 for the budget, in which all values of the budget units 401 to 405 or 501 to 505 are stored, and a user interface 111 for the budget update.
  • This user interface 111 is addressed by the software. One bit is sufficient, which is regularly set within the budget or changes its value.
  • the software budget update provides an additional monitoring option that ensures that within the correct time window, the part of the software necessary to operate the budget update actually runs.
  • the corresponding maximum value of the budget share is set to 0.
  • a further optimization is that, for example, not stored in the budget unit 501 xl and x2, but only xl and the fixed difference to x2.
  • Patterns are monitored during these periods, such as periodic sequences 1 ms comparison mode, 5 ms performance mode, 2 ms comparison mode, 10 ms performance mode, etc.
  • a timer and one or two counters can be used to measure the number of activations of comparison mode or performance mode or both per unit of time.
  • the monitoring is deactivated by a corresponding configuration.

Abstract

The invention relates to a method for monitoring errors in a computer system which comprises at least two arithmetic units and is switched between a first and a second operating mode. The first operating mode corresponds to a performance mode while the second operating mode corresponds to a comparative mode. In a method in which the computer system that comprises at least two arithmetic units and can operate in different operating modes is regularly in a secure state, a pattern identification algorithm monitors the operating modes, an error being identified when at least one operating mode differs from the pattern identification algorithm.

Description

Beschreibung description
Titeltitle
Verfahren und Vorrichtung zur Fehlerüberwachung eines RechnersystemsMethod and device for error monitoring of a computer system
Die Erfindung betrifft ein Verfahren zur Fehlerüberwachung eines Rechnersystems mit mindestens zwei Recheneinheiten, wobei das Rechnersystem zwischen einem ersten und einem zweiten Betriebsmodus umgeschaltet wird und der erste Betriebsmodus einem Performanzmodus und der zweite Betriebsmodus einem Vergleichsmodus entspricht sowie eine Vorrichtung zur Durchführung des Verfahrens.The invention relates to a method for error monitoring of a computer system having at least two arithmetic units, wherein the computer system is switched between a first and a second operating mode and the first operating mode corresponds to a performance mode and the second operating mode corresponds to a comparison mode and an apparatus for performing the method.
In vielen Bereichen der Technik, wie beispielsweise in der Automobilindustrie oder der Automatisierungstechnik gibt es eine Vielzahl von Anwendungen, bei denen ein Fehler in der Hardware eines mit einem Mikroprozessor betriebenen Rechnersystems sicherheitsrelevante Konsequenzen haben kann. Um diese Konsequenzen zu vermeiden oder zumindest ihre Auswirkungen zu verringern, werden Überwachungsmaßnahmen eingesetzt, die auftretende Fehler detektieren sollen.In many areas of technology, such as the automotive industry or automation technology, there are a variety of applications in which a fault in the hardware of a microprocessor-based computer system can have safety-relevant consequences. In order to avoid these consequences or at least reduce their effects, monitoring measures are used to detect errors that occur.
Aus der DE 10 2005 037 261 Al sind ein Verfahren und eine Vorrichtung zur Erzeugung eines Signals bei einem Rechnersystem mit mehreren Komponenten bekannt, bei welchen zwischen zwei Betriebsmodi umgeschaltet wird. Das Rechnersystem arbeitet mit zwei Recheneinheiten. Die unterschiedlichen Betriebsmodi zielen darauf ab, dass die Prozessoreinheit mindestens in einem so genannten Performanzmodus als auch in einem Vergleichsmodus betrieben wird. In dem Performanzmodus führen die in dem Rechnersystem enthaltenen Recheneinheiten unterschiedliche Programme aus. Im Vergleichsmodus werden dagegen von beiden Recheneinheiten identische Programme ausgeführt und das Ergebnis beider Recheneinheiten miteinander verglichen. Bei einer Differenz der Ergebnisse wird ein Fehlersignal ausgelöst.From DE 10 2005 037 261 Al a method and a device for generating a signal in a computer system with a plurality of components are known in which is switched between two operating modes. The computer system works with two arithmetic units. The different operating modes are aimed at operating the processor unit at least in a so-called performance mode as well as in a comparison mode. In the performance mode, the computing units included in the computer system execute different programs. In comparison mode, however, identical programs are executed by both arithmetic units and the result of both arithmetic units is compared with one another. If there is a difference in the results, an error signal is triggered.
Der Erfindung liegt die Aufgabe zugrunde, eine Verfahren und eine Vorrichtung an- zugeben, bei welchem das Rechnersystem mit mindestens zwei Recheneinheiten, das in unterschiedlichen Betriebsmodi arbeiten kann, regelmäßig einen sicheren Zustand einnimmt.The invention is based on the object of specifying a method and a device in which the computer system with at least two arithmetic units, the can work in different operating modes, regularly assumes a safe state.
Der Vorteil der Erfindung besteht darin, dass sowohl der Vergleichsmodus als auch der Performanzmodus auf Fehler überwacht wird. Es wird überprüft, ob das Rechnersystem rechtzeitig wieder in den Vergleichsmodus wechselt, bei welchen festgestellt wird, ob die Recheneinheiten korrekt arbeiten. Durch die Verwendung eines Mustererkennungsalgorithmus, der die zeitliche Abfolge der Betriebsmodi überwacht, wird auf einen Fehler erkannt, wenn eine zeitliche Bedingung, die vom Mustererkennungsalgorithmus überwacht wird, in der Abfolge der Betriebsmodi nicht eingehalten wird. Da der Mustererkennungsalgorithmus eine gleichzeitige Überwachung von mehreren Größen, die den jeweiligen Betriebsmodus charakterisieren, zulässt, kann auf Grund der Vielzahl zu überwachenden Bedingungen, schon bei der Abweichung von nur einer Bedingung rechtzeitig auf einen Fehler geschlossen werden. Durch die Erfindung wird auch ein Fehler in dem Performanzmodus, der ein Zurückschalten in den Vergleichsmodus verhindert, erkannt und ein sicherer Zustand eingenommen.The advantage of the invention is that both the comparison mode and the performance mode are monitored for errors. It is checked whether the computer system switches back to the comparison mode in a timely manner in which it is determined whether the arithmetic units are working correctly. By using a pattern recognition algorithm that monitors the timing of the operating modes, an error is detected when a temporal condition monitored by the pattern recognition algorithm is not maintained in the sequence of operating modes. Since the pattern recognition algorithm permits simultaneous monitoring of several variables which characterize the respective operating mode, it is possible, due to the multiplicity of conditions to be monitored, to conclude an error in good time already with the deviation of only one condition. The invention also detects an error in the performance mode, which prevents a return to the comparison mode, and a safe state is assumed.
Das erfindungsgemäße Verfahren erlaubt möglichst viele Programmteile im leistungsfähigen Performanzverfahren laufen zu lassen, da dadurch eine hohe Rechenleistung erreicht wird. Gleichzeitig werden alle Programmteile mit einer hohen Fehlererkennung überwacht, was insbesondere für sicherheitsrelevante Anwendungen von besonderer Bedeutung ist.The method according to the invention allows as many program parts as possible to be run in the efficient performance method, since thereby a high computing power is achieved. At the same time, all program parts are monitored with a high level of error detection, which is particularly important for safety-relevant applications.
Eine besonders einfache Überwachungsmöglichkeit ist gegeben, wenn der Musterer- kennungsalgorithmus das Auftreten des Vergleichsmodus überwacht, in dem das Auftreten eines Modussignals bewertet wird. Dieses Modussignal wird während der Arbeit des Vergleichsmodus aktiv gesetzt und ist im Performanzmodus inaktiv. Das Modussignal ist also immer genau dann aktiv, wenn die Daten der beiden Recheneinheiten verglichen werden.A particularly simple monitoring option is provided if the pattern recognition algorithm monitors the occurrence of the comparison mode in which the occurrence of a mode signal is evaluated. This mode signal is set active during the operation of the comparison mode and is inactive in the performance mode. The mode signal is therefore always active when the data of the two arithmetic units are compared.
In vielen Fällen reicht die Überwachung des Modussignals als solches aber nicht aus, sondern das zeitliche Verhalten des Modussignals muss ebenfalls überwacht werden. So wechselt das Rechnersystem mehr oder weniger regelmäßig zwischen Performanz- und Vergleichsmodus hin und her. Ein fehlerhaftes Verhalten in der zeitlichen Abfolge des Modussignals kann durch einen Vergleich mit vorgegebenen Referenzwerten er- kannt werden. Somit lässt sich auch einfach feststellen, ob die Umschaltung in den Vergleichsmodus, d.h. die Aktivierung des Modussignals, zum richtigen Zeitpunkt erfolgt ist.In many cases, the monitoring of the mode signal as such but not sufficient, but the temporal behavior of the mode signal must also be monitored. Thus, the computer system changes more or less regularly between performance and comparison mode back and forth. A faulty behavior in the temporal sequence of the mode signal can be achieved by comparison with predetermined reference values. be known. Thus, it can also be easily determined whether the switchover to the comparison mode, ie the activation of the mode signal, has taken place at the correct time.
Wird der Vergleichsmodus in einem Rechnersystem als besonders sicherer Modus angesehen, so können die Sicherheitsziele der vorgegebenen Anwendung dadurch erreicht werden, dass der Vergleichsmodus immer wieder rechtzeitig angenommen wird. Es wird die Dauer des Vergleichsmodus und/oder des Performanzmodus überwacht. Ergibt sich ein Unterschied zu einem vorgegebenen Referenzwert, wird auch hier auf einen Fehler erkannt.If the comparison mode is considered to be a particularly secure mode in a computer system, then the security objectives of the given application can be achieved by always accepting the comparison mode in good time. The duration of the comparison mode and / or the performance mode is monitored. If there is a difference to a given reference value, an error is also detected here.
In einer Ausgestaltung erfolgt eine Überprüfung dadurch, dass durch den Mustererkennungsalgorithmus die maximale Dauer, in der der Performanz- und/oder der Vergleichsmodus nicht unterbrochen werden, überwacht wird. Vorteilhafterweise können Unter- und Obergrenzen für diese Zeiträume angegeben werden. Darüber hinaus ist eine Überwachung von periodischen Folgen von wechselnden Zeiträumen möglich. Die Zahl der Überwachungsmuster ist dabei sehr vielfältig und kann immer konkret auf den jeweiligen Anwendungsfall abgestimmt werden. Diese Realisierung lässt sich besonders einfach durch eine Kombination von Hard- und Software einstellen.In one embodiment, a check is carried out in that the maximum time in which the performance and / or the comparison mode are not interrupted is monitored by the pattern recognition algorithm. Advantageously, lower and upper limits can be specified for these periods. In addition, monitoring of periodic sequences of changing periods is possible. The number of monitoring patterns is very diverse and can always be tailored to the particular application. This realization is particularly easy to set by a combination of hardware and software.
In einer Weiterbildung der Erfindung wird durch den Mustererkennungsalgorithmus die Zahl der Aktivierungen des Performanz- und/oder des Vergleichsmodus überwacht.In one development of the invention, the number of activations of the performance and / or comparison mode is monitored by the pattern recognition algorithm.
Wenn der Anwendungsbereich durch einen hohen Grad an Periodizität gekennzeichnet ist, wie es beispielsweise in Echtzeitanwendungen im Automobilbereich der Fall ist, ist die Fehlerüberwachung durch den Mustererkennungsalgorithmus besonders einfach realisierbar, indem das periodische Auftreten des Vergleichsmodus überwacht wird.If the application area is characterized by a high degree of periodicity, as is the case for example in real-time automotive applications, the error monitoring by the pattern recognition algorithm is particularly easy to implement by monitoring the periodic occurrence of the comparison mode.
Das heißt, das Rechnersystem nimmt im fehlerfreien Fall den Vergleichsmodus immer nach einer festen Periode an.That is, the computer system always assumes the comparison mode after a fixed period in the error-free case.
Alternativ wird überwacht, ob der Vergleichsmodus nach dem letzten Zeitpunkt seinerAlternatively, it is monitored whether the comparison mode after the last time of his
Aktivierung genau zu einem bestimmten Zeitpunkt wieder angenommen wird.Activation is resumed at a specific time.
In einer besonders komfortablen Ausführung der Erfindung überwacht der Musterer- kennungsalgorithmus das Verhältnis von Vergleichsmodus und Performanzmodus in- nerhalb eines vorgegebenen Zeitraumes. Dieser Zeitraum sollte dabei vorteilhafterweise einer Periode entsprechen. Dabei wird zunächst ein so genanntes Budget festgelegt, das Ober- und/oder Untergrenzen für eine Reihe von zu messenden Größen angibt, die von dem Mustererkennungsalgorithmus überwacht werden. Beispielsweise kann das Budget die Maximaldauer des Verbleibens des Rechensystems im Vergleichsmodus genauso limitieren, wie die Maximaldauer des Arbeitens des Rechnersystems im Performanzmodus. Das gleiche gilt für eine Minimaldauer. Darüber hinaus werden die Zahl der Moduswechsel oder die Zahl der Wechsel in eine bestimmte Richtung limitiert. Bei dieser Konfiguration ist einmal die Einhaltung des Zeitraumes, also die Periode, für die ein Budget vorgegeben ist, zu überwachen. Zum anderen muss die Einhaltung des Budgets innerhalb der Periode überwacht werden.In a particularly convenient embodiment of the invention, the pattern recognition algorithm monitors the relationship between comparison mode and performance mode. within a given period of time. This period should advantageously correspond to a period. Initially, a so-called budget is set, which specifies upper and / or lower limits for a number of variables to be measured, which are monitored by the pattern recognition algorithm. For example, the budget may limit the maximum duration of the computing system remaining in the compare mode as well as the maximum duration of operating the computer system in the performance mode. The same applies to a minimum duration. In addition, the number of mode changes or the number of changes in a certain direction are limited. With this configuration, you must monitor compliance with the time period, ie the period for which a budget is specified. On the other hand, compliance with the budget must be monitored within the period.
In einer anderen Weiterbildung der Erfindung ist eine Vorrichtung zur Fehlerüberwachung eines Rechnersystems mit mindestens zwei Recheneinheiten dargestellt, wobei das Rechnersystem zwischen einem ersten und einem zweiten Betriebsmodus umschaltet und der erste Betriebsmodus einem Performanzmodus und der zweite Betriebsmodus einem Vergleichsmodus entspricht. Bei einem mit mindestens zwei Recheneinheiten arbeitenden Rechnersystem, das in unterschiedlichen Betriebsmodi arbeiten kann, ist die regelmäßig Annahme eines sicheren Zustands gewährleistet, wenn es eine Überwachungslogik mit einer die Betriebsmodi überwachenden Mustererkennungsalgorithmus enthält, wobei die Überwachungslogik ein Fehlersignal ausgibt, wenn mindestens ein Betriebsmodus von dem Mustererkennungsalgorithmus abweicht. Durch die Abbildung des Mustererkennungsalgorithmus in der Hardware der Überwachungslogik lässt sich die Fehlerüberwachung einfach realisieren.In another embodiment of the invention, a device for error monitoring of a computer system is shown with at least two computing units, wherein the computer system switches between a first and a second operating mode and the first operating mode corresponds to a performance mode and the second operating mode a comparison mode. In a computer system operating with at least two arithmetic units, which can operate in different operating modes, the regular assumption of a safe state is ensured if it contains a monitoring logic with a pattern recognition algorithm monitoring the operating modes, the monitoring logic outputting an error signal if at least one operating mode of the Pattern recognition algorithm deviates. By mapping the pattern recognition algorithm in the hardware of the monitoring logic, error monitoring can be easily realized.
Durch die Verwendung eines Zählers überwacht der Mustererkennungsalgorithmus der Überwachungslogik den Vergleichsmodus, in dem das Auftreten eines Modussignals gezählt wird.Through the use of a counter, the pattern recognition algorithm monitors the monitoring logic in which the occurrence of a mode signal is counted.
Durch Timer lässt sich einfach das zeitliche Verhalten von Performanz- und/oder Vergleichsmodus durch den Mustererkennungsalgorithmus der Überwachungslogik bewerten.With timers, the temporal behavior of the performance and / or comparison mode can be easily evaluated by the pattern recognition algorithm of the monitoring logic.
Darüber hinaus weist die Überwachungslogik eine Schnittstelle auf, an welcher die Ein- gangsdaten anliegen, die mit dem Mustererkennungsalgorithmus bewertet werde. Die Erfindung lässt zahlreiche Ausführungsbeispiele zu. Eines davon soll anhand der in der Zeichnung dargestellten Figuren näher erläutert werden.In addition, the monitoring logic has an interface to which the input data that is evaluated by the pattern recognition algorithm is applied. The invention allows numerous embodiments. One of them will be explained in more detail with reference to the figures shown in the drawing.
Es zeigt:It shows:
Figur 1 Überwachungslogik für ein Rechnersystem mit mindestens zwei RecheneinheitenFIG. 1 Monitoring logic for a computer system with at least two arithmetic units
Figur 2 Überwachungsbeispiel für die Maximaldauer des PerformanzmodusFigure 2 monitoring example for the maximum duration of the performance mode
Figur 3 Überwachungsbeispiel für das periodische Annehmen des VergleichsmodusFigure 3 monitoring example for the periodic acceptance of the comparison mode
Figur 4 Überwachungsmuster für ein erstes BudgetFIG. 4 monitoring pattern for a first budget
Figur 5 Überwachungsmuster für ein zweites BudgetFIG. 5 Monitoring pattern for a second budget
Figur 6 Überwachungslogik mit einem Software- InterfaceFigure 6 monitoring logic with a software interface
Gleiche Merkmale sind mit gleichen Bezugszeichen versehen.Same features are provided with the same reference numerals.
Figur 1 zeigt eine Überwachungslogik 100, in welcher hardwaremäßig ein Mustererkennungsalgorithmus abgelegt ist, der die Arbeit nicht weiter dargestellter Recheneinheiten, die einmal im Performanzmodus und zum anderen in einem Vergleichsmodus arbeiten, überwacht. Für die Realisierung des Mustererkennungsalgorithmus werden ein oder mehrere Timer 101 benötigt, die mit jeder steigenden Flanke des Systemtaktes oder einem aus dem Systemtakt abgeleiteten Takt inkrementiert werden. Um den Wechsel eines Modussignals registrieren zu können, ist ein Zähler 102 vorhanden. Ein Speicher 103 registriert Referenzwerte, Konfigurationsparameter und Timerwerte. Zum Vergleich von Ist-Werten mit Soll-Werten ist ein Komparator 104 notwendig. Darüber hinaus ist eine Logik 105 zur Mittelwertbildung in die Überwachungslogik 100 integriert. Als Eingangssignale erhält die Überwachungslogik 100 den Systemtakt 106, ein Signal 107 für den System Reset und das Modussignal 108. Weiterhin ist eine Anbindung 109 an den internen, nicht weiter dargestellten Systembus vorhanden. Das Ausgangssignal der Überwachungslogik 100, welches über die Anbindung 109 an den internen Systembus ausgegeben wird, ist ein 1 Bit breites Fehlersignal, über das eine Abweichung vom erwarteten zeitlichen Verhalten des Modussignals signalisiert wird. Fehlersignal aktiv bedeutet, dass ein Fehler in der zeitlichen Abfolge des Modus- Signals aufgetreten ist. Außer einem 1 Bit breiten Signal ist auch ein Dual Rail oder eine andere Implementierung möglich, die diese Information übermitteln kann.FIG. 1 shows a monitoring logic 100 in which, in terms of hardware, a pattern recognition algorithm is stored, which monitors the work of unrepresented computing units which operate once in the performance mode and on the other hand in a comparison mode. To implement the pattern recognition algorithm, one or more timers 101 are needed, which are incremented with each rising edge of the system clock or a clock derived from the system clock. In order to register the change of a mode signal, a counter 102 is present. A memory 103 registers reference values, configuration parameters and timer values. For comparison of actual values with desired values, a comparator 104 is necessary. In addition, a logic 105 for averaging is integrated into the monitoring logic 100. The monitoring logic 100 receives the system clock 106, a signal 107 for the system reset and the mode signal 108 as input signals. Furthermore, a connection 109 to the internal system bus (not shown further) is present. The output signal of the monitoring logic 100, which is output via the connection 109 to the internal system bus, is a 1-bit wide error signal, via which a deviation from the expected time behavior of the mode signal is signaled. Error signal active means that an error has occurred in the time sequence of the mode signal. In addition to a 1-bit wide signal, a dual rail or other implementation capable of transmitting this information is also possible.
Bei der Initialisierung der Überwachungslogik 100 muss eine anwendungsspezifische Konfiguration per Software erfolgen. Dabei wird vorteilhafterweise während der Konfigu- ration das Fehlersignal aktiviert, da während der Konfiguration keine Überwachung stattfindet. Zur Konfiguration wird ein Konfigurationsbit gesetzt, welches einen Schutz gegen fehlerhafte Konfigurationszugriffe darstellt. Eine Umkonfiguration der Überwachungslogik 100 während des Betriebes ist also nicht möglich, ohne das Konfigurationsbit zu setzen. Sollte versehentlich eine Konfiguration während des Betriebes der Überwachungslogik 100 erfolgen, wird in dem Moment, wo das Konfigurationsbit gesetzt wird, automatisch das Fehlersignal der Überwachungslogik 100 aktiviert. Die Ü- berwachungslogik 100 beginnt die Überwachung des Modussignals 108, sobald das Konfigurationsbit gelöscht ist.During the initialization of the monitoring logic 100, an application-specific configuration must be made by software. In this case, the error signal is advantageously activated during the configuration, since no monitoring takes place during the configuration. For configuration, a configuration bit is set which represents protection against incorrect configuration accesses. A reconfiguration of the monitoring logic 100 during operation is therefore not possible without setting the configuration bit. Should a configuration be inadvertently made during the operation of the monitoring logic 100, the error signal of the monitoring logic 100 is automatically activated the moment the configuration bit is set. The monitoring logic 100 begins monitoring the mode signal 108 as soon as the configuration bit is cleared.
Liegt ein Resetsignal 107 an, startet die Überwachungslogik mit einem nicht gesetzten Konfigurationsbit und somit aktivem Fehlersignal. Ein einmal gesetztes Fehlersignal kann erst nach einer Neukonfiguration, d.h. nach Setzen und anschließendem Löschen des Konfigurationsbits, wieder zurückgesetzt werden.If a reset signal 107 is present, the monitoring logic starts with an unsetting configuration bit and thus an active error signal. Once a fault signal has been set, it can not be reconfigured until it has been reconfigured, i. after setting and then deleting the configuration bit, be reset.
Um einen flexibleren Einsatz bei der Initialisierung zu ermöglichen, wird zwischen dem Abschluss der Konfiguration der Überwachungslogik 100 und dem Start der Überwachung durch die Überwachungslogik 100 eine Pufferzeit vorgehalten.To allow more flexible deployment during initialization, a buffer time is kept between the completion of the configuration of the monitoring logic 100 and the start of monitoring by the monitoring logic 100.
Die Überwachungslogik 100 soll durch Überwachung des zeitlichen Verhaltens des Modussignals überprüfen, ob das Rechnersystem in der gewünschten Art und Weise arbeitet. Dabei sind prinzipiell drei Arbeitsmodi zu unterscheiden, für die die Überwachung des Modussignals unterschiedlich durchzuführen ist.The monitoring logic 100 is intended to check, by monitoring the temporal behavior of the mode signal, whether the computer system is operating in the desired manner. In principle, three working modes are to be differentiated for which the monitoring of the mode signal has to be carried out differently.
Bei einem permanenten Performanzmodus wird das Rechnersystem ausschließlich im Performanzmodus betrieben. Eine Umschaltung in den Vergleichsmodus findet nie statt. Das Modussignal wird daher nie aktiviert. Die Aktivierung des Modussignals stellt somit einen Fehlerfall dar.In a permanent performance mode, the computer system is operated exclusively in the performance mode. A switch to the comparison mode never takes place instead of. The mode signal is therefore never activated. The activation of the mode signal thus represents an error case.
Arbeitet das Rechnersystem in einem permanenten Vergleichsmodus, findet nie eine Umschaltung in den Performanzmodus statt. Das Modussignal ist daher permanent aktiviert. Ein zu erkennender Fehlerzustand ist in diesem Fall die Deaktivierung des Modussignals.If the computer system operates in a permanent comparison mode, it never switches to performance mode. The mode signal is therefore permanently activated. An error state to be detected in this case is the deactivation of the mode signal.
In einem dritten Fall wechselt das Rechnersystem mehr oder weniger regelmäßig zwi- sehen Performanz- und Vergleichsmodus hin und her. Ein fehlerhaftes Verhalten in der zeitlichen Abfolge des Modussignals wird durch Vergleich mit gespeicherten Referenzwerten erkannt.In a third case, the computer system changes more or less regularly between the performance and comparison modes. An erroneous behavior in the temporal sequence of the mode signal is detected by comparison with stored reference values.
Die Überwachung des Modussignals im permanenten Performanz- bzw. Vergleichsmo- dus wird durch Vergleich des Modussignals mit den konstanten Werten „0" und „1" realisiert.The monitoring of the mode signal in the permanent performance or comparison mode is realized by comparing the mode signal with the constant values "0" and "1".
Bei der Überwachung des Wechsels zwischen Performanz- und Vergleichsmodus muss durch die Überwachungslogik neben der Beobachtung des Modussignals sicher- gestellt werden, dass alle Wechsel zwischen Performanz- und Vergleichsmodus zur richtigen Zeit stattfinden und wenn möglich, dass dabei die richtigen Softwaretasks ausgeführt werden.When monitoring the change between the performance and comparison modes, the monitoring logic must ensure, in addition to observing the mode signal, that all transitions between performance and comparison modes occur at the correct time and, if possible, that the correct software tasks are performed.
Die Überwachungslogik 100 kann nun verschiedene Überwachungsmuster überwa- chen. Bei der Annahme, dass der Vergleichsmodus ein besonders sicherer Modus ist, können die Sicherheitsziele der Anwendung dadurch erreicht werden, dass sichergestellt wird, dass der Vergleichsmodus immer wieder rechtzeitig angenommen wird. Es wird überprüft, ob der Vergleichsmodus spätestens nach einer gewissen Dauer, beispielsweise alle x ms angenommen wird. D.h. es erfolgt eine Überwachung der maxi- malen Dauer, in der der Performanzmodus nicht unterbrochen wird. Dies wird durch einen Timer realisiert, der periodisch inkrementiert oder dekrementiert wird. Es wird dabei ein Timer verwendet, der bei Erreichen eines bestimmten Wertes (z.B.0) abläuft und ein entsprechendes Signal ausgibt. Die Überwachung ist in Figur 2 dargestellt. Den Ausgangspunkt im Block 200 bildet der Performanzmodus, in welchem sich das Rechnersystem befindet. Im Block 201 wird der Timer initialisiert und beginnt im Block 202 zu laufen. Darauf hin wird im Block 203 abgefragt, ob der Vergleichsmodus vor Ablauf des Timers angenommen wird, was ein- fach anhand des Vorhandenseins des Modussignals festgestellt werden kann. Ist dies nicht der Fall, gibt die Überwachungslogik 100 im Block 204 ein Fehlersignal aus.The monitoring logic 100 can now monitor various monitoring patterns. Assuming that the compare mode is a particularly secure mode, the security objectives of the application can be achieved by ensuring that the compare mode is always timely accepted. It is checked whether the comparison mode is adopted at the latest after a certain duration, for example every x ms. This means that the maximum duration is monitored in which the performance mode is not interrupted. This is realized by a timer which is periodically incremented or decremented. A timer is used which expires when a certain value (eg0) is reached and outputs a corresponding signal. The monitoring is shown in FIG. The starting point in block 200 is the performance mode in which the computer system is located. In block 201, the timer is initialized and begins to run in block 202. Thereupon, a query is made in block 203 as to whether the comparison mode is accepted before the timer expires, which can be determined simply by the presence of the mode signal. If this is not the case, the monitoring logic 100 outputs an error signal in block 204.
Wird der Vergleichsmodus vor Ablauf des Timers angenommen, wird mit dem Übergang zum Vergleichsmodus der Timer angehalten (Block 205). Das Rechnersystem arbeitet nun im Vergleichsmodus (Block 206). Im Block 207 springt das Rechnersystem in den Performanzmodus. Bei diesem Zustandsübergang wird im Block 208 der Timer neu aufgezogen. Es wird zum Block 202 zurückgekehrt, in welchen der Timer abläuft und die Überwachung beginnt von neuem.If the compare mode is accepted before the timer expires, the timer is paused with the transition to compare mode (block 205). The computer system now operates in compare mode (block 206). In block 207, the computer system jumps into the performance mode. In this state transition, the timer is rebuilt in block 208. Return to block 202 where the timer expires and monitoring begins again.
Ein anderes Überwachungsmuster besteht darin, das die Überwachung darauf achtet, dass der Vergleichsmodus im fehlerfreien Fall immer nach einer festen Periode angenommen wird. Dies ist besonders vorteilhaft, wenn alle Tasks des Vergleichsmodus periodisch sind. Dabei wird überprüft, ob der Vergleichsmodus nach dem letzten Zeitpunkt seiner Aktivierung genau zu einem bestimmten Zeitpunkt wieder angenommen wird. Dieser Zeitpunkt ist mit einem so genannten Jitter versehen, was bedeutet, dass der bestimmte Zeitpunkt in einem vorgegebenen Zeitfenster liegen darf.Another monitoring pattern is that the monitoring ensures that the comparison mode is always accepted after a fixed period in the error-free case. This is particularly advantageous when all tasks of the comparison mode are periodic. It is checked whether the comparison mode after the last time of its activation is exactly accepted at a certain time again. This time is provided with a so-called jitter, which means that the specific time may be within a predetermined time window.
Mit Hilfe von Figur 3 soll dieses Überwachungsmuster erläutert werden. Auch hier befindet sich das Rechnersystem zunächst im Performanzmodus (Block 300). Im Block 301 wird ein Timer initialisiert, wobei der Timer im Block 302 läuft. Im Block 303 wird abgefragt, ob der Vergleichsmodus im richtigen Zeitfenster angenommen wurde. Ist dies nicht der Fall, gibt die Überwachungslogik 100 im Block 304 eine Fehlermeldung aus.With the help of Figure 3, this monitoring pattern will be explained. Again, the computer system is initially in performance mode (block 300). In block 301, a timer is initialized, with the timer running in block 302. In block 303 it is queried whether the comparison mode was accepted in the correct time window. If this is not the case, the monitoring logic 100 outputs an error message in block 304.
Wurde der Vergleichsmodus im richtigen Zeitfenster angenommen, wird mit dem Übergang des Rechnersystems vom Performanzmodus in den Vergleichsmodus der Timer angehalten (Block 305). Das Rechnersystem arbeitet im Block 306 im Vergleichsmodus. Im Block 207 springt es wieder in den Performanzmodus, wobei mit diesem Zustandwechsel des Rechnersystems der Timer neu aufgezogen wird (Block 308). Der Timer beginnt im Block 302 wieder zu laufen und die Überwachung beginnt von vorn. Der Timer überwacht hier nicht auf eine Maximallänge sondern auf einen Zeitraum.If the comparison mode was accepted in the correct time window, the timer is stopped with the transition of the computer system from the performance mode to the comparison mode (block 305). The computer system operates in block 306 in comparison mode. In block 207, it jumps back into the performance mode, with this state change of the computer system, the timer is rearmed (block 308). Of the Timer starts to run again in block 302 and monitoring starts again. The timer does not monitor here for a maximum length but for a period.
In einer weiteren Ausgestaltung besteht die Möglichkeit, eine Budgeteinhaltung des Verhältnisses von Vergleichsmodus und Performanzmodus innerhalb einer Periode zu überwachen. Dazu ist einerseits die Einhaltung einer Periode, für die jeweils ein Budget vorgegeben wird, zum anderen die Einhaltung des Budgets innerhalb der Periode zu überwachen. Beispielsweise soll innerhalb einer Periode von 40 ms der Performanzmodus für 39 ms und der Vergleichsmodus für 1 ms verwendet werden. Dabei wird als erste Überprüfung überwacht, ob alle 40 ms ein Budgetupdate, also eine Neufestsetzung des Budget stattfindet, wobei das Budget periodisch von der Software freigegeben wird. Die zweite Überprüfung besteht darin, ob das Verhältnis von Performanzmodus zu Vergleichsmodus in einem akzeptablen Rahmen, vorteilhafterweise 39:1, liegt.In a further embodiment, it is possible to monitor a budget compliance of the ratio of comparison mode and performance mode within a period. On the one hand, compliance with a period, for which a budget is specified on the one hand, and monitoring compliance with the budget within the period, on the other hand. For example, within a period of 40 ms, the performance mode should be used for 39 ms and the comparison mode for 1 ms. The first check is to check whether there is a budget update every 40 ms, that is, a re-assessment of the budget, whereby the budget is released periodically by the software. The second check is whether the ratio of performance mode to comparison mode is within an acceptable range, advantageously 39: 1.
Die prinzipielle Form eines Budgets wird in Figur 4 erläutert. Das Budget 400, gibt O- bergrenzen für eine Reihe von Größen an, die von der Überwachungslogik 100 gemessen werden. In der Budgeteinheit 401 wird die Maximaldauer, z. B. x ms, für den Vergleichsmodus limitiert. Die Maximaldauer, z. B y ms, für den Performanzmodus wird in der Budgeteinheit 402 limitiert. Eine Limitierung der Zeit bis zum nächsten Bud- getupdate z.B. z ms, erfolgt in der Budgeteinheit 403. Anstelle von ms kann die Maximaldauer auch in Taktzyklen oder einem Vielfachen von Taktzyklen angegeben werden. Die maximale Anzahl der Moduswechsel n wird in der Budgeteinheit 404 festgelegt, während in der Budgeteinheit 405 die maximale Anzahl m der Wechsel vom Vergleichsmodus in den Performanzmodus festgelegt wird.The basic form of a budget is explained in FIG. The budget 400 indicates upper bounds for a number of quantities measured by the monitoring logic 100. In budget unit 401, the maximum duration, e.g. B. x ms, limited for the comparison mode. The maximum duration, z. B y ms, for the performance mode is limited in the budget unit 402. A limitation of the time until the next budget update, e.g. z ms, takes place in the budget unit 403. Instead of ms, the maximum duration can also be specified in clock cycles or a multiple of clock cycles. The maximum number of mode changes n is set in the budget unit 404, while in the budget unit 405, the maximum number m of switching from the compare mode to the performance mode is set.
Ein Budget, bei welchem nicht nur Obergrenzen sondern auch Untergrenzen überwacht werden, ist in Figur 5 dargestellt. Das Budget 500 besteht dabei aus der Budgeteinheit 501, bei welchen das Minimum xl und das Maximum x2 für den Verbleib des Rechnersystems im Vergleichsmodus festgelegt wird. In der Budgeteinheit 502 sind das Mini- mum yl und das Maximum y2 für den Verbleib des Rechnersystems im Performanzmodus beschrieben. Der Zeitraum (Minimum zl und Maximum z2) bis zum nächsten Budgetupdate ist in der Budgeteinheit 503 angeführt. Auch der Wechsel des Modussignals, welches mit der Budgeteinheit 504 überwacht wird, beträgt eine Anzahl von Minimum nl bis Maximum n2. Die Anzahl der Wechsel vom Vergleichsmodus in den Per- formanzmodus kann von Minimum ml bis Maximum m2 betragen (Budgeteinheit 505). Neben den angeführten Bedingungen können je nach Anwendungsfall noch weitere Bedingungen hinzugefügt werden.A budget in which not only upper limits but also lower limits are monitored is shown in FIG. The budget 500 consists of the budget unit 501, in which the minimum xl and the maximum x2 for the whereabouts of the computer system in comparison mode is determined. In the budget unit 502, the minumum yl and the maximum y2 for the whereabouts of the computer system in the performance mode are described. The period (minimum zl and maximum z2) until the next budget update is listed in the budget unit 503. Also, the change of the mode signal, which is monitored with the budget unit 504, is a number of minimum nl to maximum n2. The number of changes from the comparison mode to the performance mode can be from minimum ml to maximum m2 (budget unit 505). In addition to the conditions listed, other conditions may be added depending on the application.
Eine Budgetüberwachung verläuft wie folgt:Budget monitoring is as follows:
Zu jeder Budgeteinheit gibt es einen Zähler. Das Budget einer Budgeteinheit, beispielsweise der Budgeteinheit 401, wo die maximalen x- Werte des Aufenthaltes in einem Vergleichsmodus limitiert sind, wird mit Hilfe dieses Zählers verwaltet. Der Zähler, der zur Budgeteinheit 401 gehört, wird bei jedem Systemtakt erhöht, bei dem sich das System im Vergleichsmodus befindet. Der Zähler, der zur Budgeteinheit 402 gehört, wird bei Systemtakten erhöht, bei denen sich das System im Performanzmodus befindet. Der Zähler, der zur Budgeteinheit 403 gehört wird bei jedem Systemtakt erhöht.There is a counter for each budget unit. The budget of a budget unit, such as the budget unit 401, where the maximum x values of the stay are limited in a compare mode, is managed using this counter. The counter associated with budget unit 401 is incremented at each system clock at which the system is in compare mode. The counter associated with budget unit 402 is incremented on system clocks when the system is in performance mode. The counter associated with budget unit 403 is incremented at each system clock.
Ein Zähler für den Moduswechsel (Budgeteinheiten 404 oder 504) wird bei jedem Mo- duswechsel inkrementiert. Soll wie bei den Budgeteinheiten 405 und 505 nur eine bestimmte Richtung des Moduswechsels gezählt werden, wird dies entsprechend selektiert.A mode change counter (budget units 404 or 504) is incremented each time the mode is changed. If, as with the budget units 405 and 505, only a certain direction of the mode change is to be counted, this is selected accordingly.
Bei jedem Update eines Zählers findet ein Vergleich des Zählwertes mit dem in dem Speicher abgelegten Maximalwert der jeweiligen Budgeteinheit statt. Ist der Maximalwert überschritten, gibt die Überwachungslogik 100 eine Fehlermeldung aus.Each time a counter is updated, the count value is compared with the maximum value of the respective budget unit stored in the memory. If the maximum value is exceeded, the monitoring logic 100 outputs an error message.
Bei dem Budgetupdate werden alle Zählerwerte aller Budgeteinheiten 401, 402, 403 mit den abgespeicherten Minimalwerten verglichen. Ist ein Minimalwert unterschritten, wird wieder eine Fehlermeldung ausgegeben. Tritt kein Fehler auf, werden alle Zähler wieder initialisiert.In the budget update, all counter values of all budget units 401, 402, 403 are compared with the stored minimum values. If the value falls below a minimum value, an error message is output again. If no error occurs, all counters are reinitialized.
Eine Möglichkeit das nächste Budgetupdate innerhalb der Überwachungslogik 100 zu definieren, besteht darin, dass eine vorgegebene Zeit definiert wird. Alternativ dazu wird das Budget nach einer fest vorgegebenen Zahl an Wechseln des Modus wieder aktualisiert. Eine weitere Möglichkeit besteht darin, dass nach einer fest vorgegeben Zeit der nächste Moduswechsel Auslöser des Budgetupdates ist.One way to define the next budget update within monitor logic 100 is to define a given time. Alternatively, the budget is updated again after a fixed number of mode changes. Another possibility is that after a fixed time, the next mode change triggers the budget update.
Die Zähler können natürlich auch über Dekrementierung implementiert werden. Dann führt ein Budgetupdate zum Setzen auf einen neuen Maximalwert. Anstatt bei jedem Systemtakt eine De- oder Inkrementierung durchzuführen, kann auch in einer gröberen Einheit gezählt werden, beispielsweise alle 8 Takte.Of course, the counters can also be implemented via decrementing. Then a budget update will set to a new maximum value. Instead of everyone System clock to perform a decrement or increment, can also be counted in a coarser unit, for example every 8 bars.
Darüber hinaus kann das Budgetupdate durch eine Software ermöglicht werden, wel- che auf die ÜberwachungslogiklOO zugreift. Dazu benötigt die Überwachungslogik 100 ein Interface, welches in Figur 6 dargestellt ist. Es besteht aus einem Konfigurationsinterface 110 für das Budget, in welchem alle Werte der Budgeteinheiten 401 bis 405 bzw. 501 bis 505 abgelegt sind, und einem Bedienerinterface 111 für das Budgetupdate. Dieses Bedienerinterface 111 wird durch die Software angesprochen. Dabei reicht ein Bit aus, welches regelmäßig innerhalb des Budgets gesetzt wird oder das seinen Wert ändert.In addition, the budget update may be enabled by software accessing the monitoring logic 100. For this purpose, the monitoring logic 100 requires an interface, which is shown in FIG. It consists of a configuration interface 110 for the budget, in which all values of the budget units 401 to 405 or 501 to 505 are stored, and a user interface 111 for the budget update. This user interface 111 is addressed by the software. One bit is sufficient, which is regularly set within the budget or changes its value.
Das Budgetupdate durch Software stellt eine zusätzliche Überwachungsmöglichkeit dar, bei welcher sichergestellt ist, dass innerhalb des richtigen Zeitfensters der Teil der Software, der für eine Bedienung des Budgetupdates notwendig ist, auch tatsächlich abläuft.The software budget update provides an additional monitoring option that ensures that within the correct time window, the part of the software necessary to operate the budget update actually runs.
Sollte es notwendig sein, eine bestimmte Budgetinformation nicht zu überwachen, wird der entsprechende Maximalwert des Budgetanteils auf 0 gesetzt.Should it be necessary not to monitor certain budget information, the corresponding maximum value of the budget share is set to 0.
Um die Speicherkapazitäten so gering wie möglich zu halten, reicht es aus, nur die x- und z-Werte zu zählen, da der y-Wert sich aus beiden berechnen lässt.In order to keep the storage capacities as low as possible, it is sufficient to count only the x and z values, since the y value can be calculated from both.
Entsprechendes gilt für die Moduswechsel. Eine weitere Optimierung besteht darin, dass beispielsweise in der Budgeteinheit 501 nicht xl und x2 gespeichert werden, sondern nur xl und die feststehende Differenz zu x2.The same applies to the mode change. A further optimization is that, for example, not stored in the budget unit 501 xl and x2, but only xl and the fixed difference to x2.
In einer gegebenen Implementierung mit einer dann festen Zahl von Budgeteinheiten ist es vorzugsweise konfigurierbar, welche Größen in einem Budget verwaltet werden und welche Bedingung eine Zählerinkrementierung/ -dekrementierung auslöst.In a given implementation with a then fixed number of budget units, it is preferably configurable which sizes are managed in a budget and which condition triggers counter increment / decrement.
Wenn die Bedienung des Budgetupdates über die Software erfolgt, wird in einer erweiterten Implementierung bei der Bedienung ein bestimmter Wert in das Bedienerinter- face geschrieben. Durch Vergleich mit vorher bekannten Werten wird überprüft, ob im- mer die richtige Form der Bedienung erfolgt ist. Erzeugt beispielsweise eine korrekt ablaufende Software eine bestimmte Reihenfolge der Werte, kann festgestellt werden, ob die Software auch von den richtigen Stellen aus die Bedienung vornimmt. Somit wird eine Kontrollflussüberwachung unterstützt.If the operation of the budget update is performed via the software, in an extended implementation during operation, a specific value is written to the user interface. By comparing with previously known values, it is checked whether the correct form of operation has taken place. If, for example, a correctly running software generates a specific sequence of values, it can be determined whether the software is also operating from the right places. Thus, a control flow monitoring is supported.
Über eine Verkopplung von aufeinander folgenden Werten, beispielsweise über ein Multiinputshiftregister MISR wird diese Kontrollflussüberwachung implementiert. Aufeinander folgende Werte werden so verknüpft, dass ein Vergleich des resultierenden Endergebnisses mit einem offline berechneten Wert sehr gute Fehlerentdeckungseigen- Schäften aufweist.By coupling successive values, for example via a multi-input shift register MISR, this control flow monitoring is implemented. Consecutive values are linked such that a comparison of the resulting final result with a value calculated offline takes very good error detection properties.
Neben den schon erläuterten Möglichkeiten der Musterüberwachung, besteht eine weitere Alternative darin, die Dauer des ununterbrochenen Aufenthaltes im Performanz- und/oder Vergleichsmodus zu überwachen, wobei Unter- und Obergrenzen dieser Zeit- räume angegeben werden können. Es werden Muster in diesen Zeiträumen überwacht, wie beispielsweise periodische Folgen 1 ms Vergleichsmodus, 5 ms Performanzmo- dus, 2 ms Vergleichsmodus, 10 ms Performanzmodus usw.In addition to the possibilities of pattern monitoring already explained, another alternative is to monitor the duration of the uninterrupted stay in the performance and / or comparison mode, whereby lower and upper limits of these periods can be specified. Patterns are monitored during these periods, such as periodic sequences 1 ms comparison mode, 5 ms performance mode, 2 ms comparison mode, 10 ms performance mode, etc.
Über einen Timer und einen oder zwei Zähler kann die Zahl der Aktivierungen von Ver- gleichsmodus oder Performanzmodus oder beiden pro Zeiteinheit gemessen werden.A timer and one or two counters can be used to measure the number of activations of comparison mode or performance mode or both per unit of time.
Für bestimmte Versuche und Tests wird die Überwachung durch eine entsprechende Konfiguration deaktiviert. For certain tests and tests, the monitoring is deactivated by a corresponding configuration.

Claims

Patentansprüche claims
1. Verfahren zur Fehlerüberwachung eines Rechnersystems mit mindestens zwei Recheneinheiten, wobei das Rechnersystem zwischen einem ersten und einem zweiten Betriebsmodus umgeschaltet wird und der erste Betriebsmodus einem Performanzmodus und der zweite Betriebsmodus einem Vergleichsmodus entspricht, dadurch gekennzeichnet, dass ein Mustererkennungsalgorithmus die zeitliche Abfolge der Betriebsmodi überwacht, wobei auf einen Fehler erkannt wird, wenn eine zeitliche Bedingung, die vom Mustererkennungsalgorithmus ü- berwacht wird, in der Abfolge der Betriebsmodi nicht eingehalten wird.A method for fault monitoring of a computer system having at least two arithmetic units, wherein the computer system is switched between a first and a second operating mode and the first operating mode corresponds to a performance mode and the second operating mode to a comparison mode, characterized in that a pattern recognition algorithm monitors the time sequence of the operating modes wherein an error is detected when a temporal condition monitored by the pattern recognition algorithm is not maintained in the sequence of operation modes.
2. Verfahren nach dem Anspruch 1 dadurch gekennzeichnet, dass der Mustererkennungsalgorithmus das Auftreten des Vergleichsmodus überwacht, in dem das Auftreten eines Modussignals bewertet wird, welches bei der Arbeit im Vergleichsmodus aktiv gesetzt wird.2. The method according to claim 1, characterized in that the pattern recognition algorithm monitors the occurrence of the comparison mode, in which the occurrence of a mode signal is evaluated, which is set active when working in the comparison mode.
3. Verfahren nach Anspruch 2 dadurch gekennzeichnet, dass der Mustererkennungsalgorithmus den Zeitpunkt der Aktivierung des Modussignals überwacht.3. The method according to claim 2, characterized in that the pattern recognition algorithm monitors the time of activation of the mode signal.
4. Verfahren nach einem der vorhergehenden Ansprüche dadurch gekennzeich- net, dass durch den Mustererkennungsalgorithmus die ununterbrochene Maximaldauer des Performanzmodus und/oder des Vergleichsmodus überwacht wird.4. Method according to one of the preceding claims, characterized in that the uninterrupted maximum duration of the performance mode and / or the comparison mode is monitored by the pattern recognition algorithm.
5. Verfahren nach Anspruch 4 dadurch gekennzeichnet, dass durch den Muster- erkennungsalgorithmus die Dauer des ununterbrochenen Aufenthaltes im Per- formanz- und/oder Vergleichsmodus überwacht wird.5. The method according to claim 4, characterized in that the duration of the uninterrupted stay in the performance and / or comparison mode is monitored by the pattern recognition algorithm.
6. Verfahren nach einem der vorhergehenden Ansprüche dadurch gekennzeichnet, dass durch den Mustererkennungsalgorithmus die Zahl der Aktivierungen des Performanz- und/oder des Vergleichsmodus überwacht werden. 6. The method according to any one of the preceding claims, characterized in that the number of activations of the performance and / or the comparison mode are monitored by the pattern recognition algorithm.
7. Verfahren nach einem der vorhergehenden Ansprüche dadurch gekennzeichnet, dass durch den Mustererkennungsalgorithmus das periodische Auftreten des Vergleichsmodus überwacht wird.7. The method according to any one of the preceding claims, characterized in that the periodic occurrence of the comparison mode is monitored by the pattern recognition algorithm.
8. Verfahren nach Anspruch 7 dadurch gekennzeichnet, dass durch den Mustererkennungsalgorithmus überwacht wird, ob der Vergleichsmodus nach dem letzten Zeitpunkt seiner Aktivierung genau in einem bestimmten Zeitfenster wieder angenommen wird.8. The method according to claim 7, characterized in that is monitored by the pattern recognition algorithm, whether the comparison mode after the last time of its activation is exactly accepted in a certain time window again.
9. Verfahren nach Anspruch 1 dadurch gekennzeichnet, dass durch den Mustererkennungsalgorithmus das Verhältnis von Vergleichsmodus und Perfor- manzmodus innerhalb eines vorgegebenen Zeitraumes überwacht wird.9. The method according to claim 1, characterized in that the ratio of comparison mode and performance mode is monitored within a predetermined period of time by the pattern recognition algorithm.
10. Verfahren nach einem der vorhergehenden Ansprüche dadurch gekennzeichnet, dass durch den Mustererkennungsalgorithmus das Auftreten des Vergleichsmodus spätestens nach einer festlegbaren Zeit überwacht wird.10. The method according to any one of the preceding claims, characterized in that the occurrence of the comparison mode is monitored by the pattern recognition algorithm at the latest after a definable time.
1 1. Verfahren nach einem der vorhergehenden Ansprüche dadurch gekennzeich- net, dass der Mustererkennungsalgorithmus periodisch aufgerufen wird.1 1. The method according to any one of the preceding claims characterized marked that the pattern recognition algorithm is called periodically.
12. Verfahren nach einem der vorhergehenden Ansprüche dadurch gekennzeichnet, dass der Mustererkennungsalgorithmus Zähler (102) verwendet, die bei mindestens einem Wechsel des Modus in- oder dekrementiert werden.12. The method according to any one of the preceding claims, characterized in that the pattern recognition algorithm uses counters (102) which are incremented or decremented at least one change of the mode.
13. Verfahren nach einem der vorhergehenden Ansprüche dadurch gekennzeichnet, dass der Mustererkennungsalgorithmus Timer (101) verwendet, die nur in einem Modus in- oder dekrementiert werden.13. Method according to one of the preceding claims, characterized in that the pattern recognition algorithm uses timers (101) which are incremented or decremented only in one mode.
14. Verfahren nach einem der vorhergehenden Ansprüche dadurch gekennzeichnet, dass der Mustererkennungsalgorithmus Timer (101) verwendet, die in einem Modus angehalten werden. 14. The method according to any one of the preceding claims, characterized in that the pattern recognition algorithm timer (101) used, which are stopped in a mode.
15. Verfahren nach einem der vorhergehenden Ansprüche dadurch gekennzeichnet, dass der Mustererkennungsalgorithmus für jede überwachte Größe überprüft, ob ein Budget (400, 500) eingehalten wird.15. The method according to any one of the preceding claims, characterized in that the pattern recognition algorithm checks for each monitored size, whether a budget (400, 500) is met.
16. Verfahren nach einem der vorhergehenden Ansprüche dadurch gekennzeichnet, dass der Mustererkennungsalgorithmus überprüft, ob Minimal- und/oder Maximalwerte des Budgets (400, 500) unter - oder überschritten werden.16. The method according to any one of the preceding claims, characterized in that the pattern recognition algorithm checks whether minimum and / or maximum values of the budget (400, 500) are under - or exceeded.
17. Verfahren nach einem der vorhergehenden Ansprüche dadurch gekenn- zeichnet, dass mehrere der überwachten Größen gleichzeitig von dem Mustererkennungsalgorithmus überwacht werden, wobei die überwachten Größen limitiert sind.17. The method according to any one of the preceding claims, characterized in that a plurality of the monitored variables are monitored simultaneously by the pattern recognition algorithm, wherein the monitored variables are limited.
18. Vorrichtung zur Fehlerüberwachung eines Rechnersystems mit mindestens zwei Recheneinheiten, wobei das Rechnersystem zwischen einem ersten und einem zweiten Betriebsmodus umschaltet und der erste Betriebsmodus einem Performanzmodus und der zweite Betriebsmodus einem Vergleichsmodus entspricht dadurch gekennzeichnet, dass eine Überwachungslogik (100) ein Mustererkennungsalgorithmus enthält, welcher die zeitliche Abfolge der Be- triebsmodi überwacht, wobei die Überwachungslogik (100) ein Fehlersignal ausgibt, wenn eine zeitliche Bedingung, die vom Mustererkennungsalgorithmus überwacht wird, in der Abfolge der Betriebsmodi nicht eingehalten wird.18. Device for error monitoring of a computer system having at least two arithmetic units, wherein the computer system switches between a first and a second operating mode and the first operating mode corresponds to a performance mode and the second operating mode to a comparison mode, characterized in that a monitoring logic (100) includes a pattern recognition algorithm, which monitors the timing of the operating modes, wherein the monitoring logic (100) outputs an error signal when a temporal condition monitored by the pattern recognition algorithm is not maintained in the sequence of operating modes.
19. Vorrichtung nach Anspruch 18 dadurch gekennzeichnet, dass der Musterer- kennungsalgorithmus der Überwachungslogik (100) das Auftreten des Vergleichsmodus überwacht, in dem das Auftreten eines Modussignals bewertet wird.19. Device according to claim 18, characterized in that the pattern recognition algorithm of the monitoring logic (100) monitors the occurrence of the comparison mode in which the occurrence of a mode signal is evaluated.
20. Vorrichtung nach Anspruch 18 dadurch gekennzeichnet, dass der Musterer- kennungsalgorithmus der Überwachungslogik (100) das zeitliche Verhalten von20. The apparatus of claim 18, characterized in that the pattern recognition algorithm of the monitoring logic (100) the temporal behavior of
Performanz- und/oder Vergleichsmodus bewertet.Performance and / or comparison mode evaluated.
21. Vorrichtung nach Anspruch 18 dadurch gekennzeichnet, dass die Überwachungslogik (100) die Eingangsdaten, welche an einer Schnittstelle (110, 111) der Überwachungslogik (100) anliegen mit dem Mustererkennungsalgorithmus bewertet.21. Device according to claim 18, characterized in that the monitoring logic (100) receives the input data which is sent to an interface (110, 111). the monitoring logic (100) are assessed with the pattern recognition algorithm.
22. Vorrichtung nach Anspruch 18 dadurch gekennzeichnet, dass während der Konfiguration der Überwachungslogik (100) das Fehlersignal aktiv ist.22. The device according to claim 18, characterized in that during the configuration of the monitoring logic (100), the error signal is active.
23. Vorrichtung nach einem der vorhergehenden Ansprüche 18 bis 22 dadurch gekennzeichnet, dass die Überwachungslogik (100) über mindestens einen Timer (101) und/oder einen Zähler (102) für den Wechsel des Modussignals und/oder einen Speicher (103) und/oder einen Komparator (104) verfügt.23. Device according to one of the preceding claims 18 to 22, characterized in that the monitoring logic (100) via at least one timer (101) and / or a counter (102) for the change of the mode signal and / or a memory (103) and / or a comparator (104).
24. Vorrichtung nach einem der vorhergehenden Ansprüche 18 bis 23 dadurch gekennzeichnet, dass die Bedienung des Budgetupdates durch eine Software erfolgt.24. Device according to one of the preceding claims 18 to 23, characterized in that the operation of the budget update is done by software.
25. Vorrichtung nach Anspruch 24 dadurch gekennzeichnet, dass ein Softwareinterface vorhanden ist, in welches bei Bedienung des Budgetupdates ein bestimmter Wert geschrieben wird, wobei aufeinander folgende Werte durch ein Multiinputshiftregister verarbeitet werden. 25. The apparatus of claim 24, characterized in that a software interface is present, in which when operating the budget update, a specific value is written, wherein successive values are processed by a multi-input shift register.
PCT/EP2008/066407 2008-05-15 2008-11-28 Method and device for monitoring errors in a computer system WO2009138137A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE200810001806 DE102008001806A1 (en) 2008-05-15 2008-05-15 Method and device for error monitoring of a computer system
DE102008001806.6 2008-05-15

Publications (1)

Publication Number Publication Date
WO2009138137A1 true WO2009138137A1 (en) 2009-11-19

Family

ID=40843259

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2008/066407 WO2009138137A1 (en) 2008-05-15 2008-11-28 Method and device for monitoring errors in a computer system

Country Status (2)

Country Link
DE (1) DE102008001806A1 (en)
WO (1) WO2009138137A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011107104B4 (en) * 2011-07-12 2020-11-12 Giesecke+Devrient Mobile Security Gmbh Portable security module and method for its operation to defend against an attack in real time using pattern recognition

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6615366B1 (en) * 1999-12-21 2003-09-02 Intel Corporation Microprocessor with dual execution core operable in high reliability mode
WO2006045781A2 (en) * 2004-10-25 2006-05-04 Robert Bosch Gmbh Vorrichtung und verfahren zur modusums- chaltung bei einem rechnersystem mit wenigstens zwei ausführungseinheiten
WO2006045782A2 (en) * 2004-10-25 2006-05-04 Robert Bosch Gmbh Method and device for switching between operating modes of a multiprocessor system by means of at least one external signal
US20060242517A1 (en) * 2005-04-26 2006-10-26 Christopher Pedley Monitoring a data processor to detect abnormal operation

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005037261A1 (en) 2005-08-08 2007-02-15 Robert Bosch Gmbh Mode signal generation for use in computer system involves producing mode signal indicating current operating mode of computer system and changes in mode signal in one of components of computer system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6615366B1 (en) * 1999-12-21 2003-09-02 Intel Corporation Microprocessor with dual execution core operable in high reliability mode
WO2006045781A2 (en) * 2004-10-25 2006-05-04 Robert Bosch Gmbh Vorrichtung und verfahren zur modusums- chaltung bei einem rechnersystem mit wenigstens zwei ausführungseinheiten
WO2006045782A2 (en) * 2004-10-25 2006-05-04 Robert Bosch Gmbh Method and device for switching between operating modes of a multiprocessor system by means of at least one external signal
US20060242517A1 (en) * 2005-04-26 2006-10-26 Christopher Pedley Monitoring a data processor to detect abnormal operation

Also Published As

Publication number Publication date
DE102008001806A1 (en) 2009-11-19

Similar Documents

Publication Publication Date Title
DE60019038T2 (en) Intelligent error management
DE60130830T2 (en) Apparatus and method for generating interrupt signals
EP2202592B1 (en) Safety device using multiple channels to control a safety device
DE102013015172A1 (en) Security system challenge-and-response procedure using a modified watchdog timer
EP0970424A1 (en) Watchdog circuit
DE10049441A1 (en) Process for operating a system controlled by a processor
EP0007579B1 (en) Circuit arrangement for monitoring the state of signalling systems, especially traffic light signalling systems
DE102004016929A1 (en) Selection logic block with blanking functions for operation and maintenance for a process control system
EP3338189A2 (en) Method for operating a multicore processor
EP1817662B1 (en) Method and device for switching between operating modes of a multiprocessor system by means of at least an external signal
EP3110061A1 (en) Distributed real time computer system and method for imposing the fail silent behaviour of a distributed real time computer system
WO2001079948A1 (en) System and method for the monitoring of a measurement and control device
WO2009138137A1 (en) Method and device for monitoring errors in a computer system
DE2161169C2 (en) Circuit arrangement for generating interrogation patterns required for fault localization among n amplifier points of PCM transmission lines
DE112017002556B4 (en) Control system
DE4004427C2 (en) Diagnostic fault reporting system
DE10134215A1 (en) Method for switching from a first operating state of an integrated circuit to a second operating state of the integrated circuit
DE102004051991A1 (en) Method, operating system and computing device for executing a computer program
DE102006001805A1 (en) Safety switching device for controlling e.g. three-phase motor, has microprocessor determining whether amplitude of analog signal lies outside of operating range, where microprocessor is component of safety device for controlling of drive
EP1025501A1 (en) Method and device for checking an error control procedure of a circuit
DE102009027369A1 (en) Method and system for controlling at least one actuator
DE10131135B4 (en) Method for operating a network node
DE4303048C2 (en) Method and switchover device for switching between an operating system and at least one reserve system within redundant circuits
EP2224340A1 (en) Method and management system for configuring a dynamic information system and computer program product
DE10229686A1 (en) Method and control device for controlling the execution of a multitasking-capable computer program

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 08874258

Country of ref document: EP

Kind code of ref document: A1

122 Ep: pct application non-entry in european phase

Ref document number: 08874258

Country of ref document: EP

Kind code of ref document: A1