制御装置にある監視計算機
本発明は、計算素子が構成されているプロセッサを監視する監視計算機(UR)を開示し、計算素子が実質的に3つのプログラムモジュールを含み、それにより自動車の走行挙動が影響を受ける。プロセッサが実質的に機能計算機(FR)及び機能計算機(FR)から物理的に独立した監視計算機(UR)を含み、監視計算機(UR)が再び2つの互いに独立したモニタリング装置(MU1,MU2)を含んでいる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、独立請求項の上位概念に記載のプロセッサを監視する監視計算機、プロセッサ及びプロセッサを監視する方法に関する。
【0002】
自動車において使用するための計算素子を持つ制御装置を個々には安全でなく又は自身では安全に形成する種々の構想が存在する。制御装置の自身の安全性を得る可能性は3面構想の監視である。
【背景技術】
【0003】
ドイツ連邦共和国特許出願公開第4438714号明細書から、車両の駆動装置を制御する装置が公知である。この場合出力を制御する制御装置はただ1つの計算素子しか持っていない。計算素子は遮断バスの制御及び監視を行う。制御及び監視を行うために、互いに独立した2つの面がただ1つの計算素子に設けられ、第1の面において出力制御機能が求められ、第2の面において特に監視モジュールとの共同動作で計算素子自体のこれらの機能従って動作能力が監視されることによって、作動の確実性及び利用可能性が保証される。
【0004】
更にドイツ連邦共和国特許出願公開第4438714号明細書には、第2の面の経過監視を行う第3の面が記載されている。第3の面によるこの監視は、制御装置の信頼性及び利用可能性を著しく高める。特に監視モジュールにおいて、経過監視が質問−回答通信として実行される
【0005】
三面監視構想(EGAS構想)は、なるべく車両の機関制御装置において、電子機関制御システムの監視のために使用される。その際機関制御装置は、いわゆる機能計算機及び監視計算機から成っている。機能計算機と監視計算機は、質問−回答方法を介して通信する。更にそれは別個の遮断バスを使用できる。
【0006】
面1は、車両の駆動装置の機能を制御する固有の機能モジュールを含んでいる。従ってこの面は機能面とも称される。この面は、特に要求される機関トルクを変換する機関制御機能、部品監視、入力量及び出力量の診断、及び欠陥が検出される場合におけるシステム反応の制御を含んでいる。面1は機能計算機上に構成される。
【0007】
機能監視面とも称される面2は安全モジュールを含み、同様に機能計算機上に構成される。この面は、面1の機能モジュールの監視に関連する周囲の欠陥のある経過を、特に計算されるトルク又は車両加速度の監視によって検出する。欠陥がある場合、例えば安全に関連する最終段の遮断のようなシステム反応の開始が行われる。
【0008】
面2は、機能計算機の面3により保護されているハードウエア範囲において実行される。計算機監視面とも称される面3は、指令集合テスト、プログラム流れ監視、A/D変換器テスト、及び面2の周期的及び完全なメモリテストを持つ独立した機能計算機上の監視モジュールを含んでいる。監視モジュールは機能計算機上に構成される。機能計算機から独立した監視計算機は、質問−回答方法により、機能計算機のプログラム指令の規則正しい処理をテストする。欠陥がある場合、機能計算機には関係なく、システム反応の始動が行われる。
【0009】
現在の電子機関制御システムでは、全機能及び監視ソフトウエアは制御装置に統合されている。監視構想は別の車両制御装置特に変速機制御装置においても実現可能である。
【0010】
従来技術から公知の監視構想では、監視計算機が、機能計算機にあるただ1つの監視装置(モニタリング装置)により、1つより多いプログラム流れ監視を行う。その際この1つの監視装置は、個々のプログラム流れ監視からの個別回答を同期化し、個々の回答を1つの全体回答にまとめねばならない。回答の同期化及びまとめの際、誤りが生じることがある。
【発明の概要】
【発明が解決しようとする課題】
【0011】
従って自動車制御装置にあるプロセッサを監視する公知の監視計算機を改良するという課題が与えられる。
【課題を解決するための手段】
【0012】
本発明によれば、この課題は独立請求項1の特徴を持つ監視計算機によって解決される。
【0013】
プロセッサは実質的に監視計算機及び機能計算機を含んでいる。プロセッサ上に計算素子が構成される。計算素子は、特に3つのソフトウエアープログラムモジュール、即ち自動車の機能制御用機能モジュール、機能モジュールの検査用安全モジュール、及び少なくとも安全モジュールの検査用検査モジュールを含んでいる。監視計算機は、インタフェースを介する質問−回答方法により、機能計算機上の監視モジュールと通信する。
【0014】
特に機能計算機と監視計算機が物理的に互いに独立したビルディングブロックを構成している。有利なように監視計算機が互いに独立した2つのモニタリング装置を含み、ハードウエアとして構成される各モニタリング装置により、機能計算機においてソフトウエアとして構成される適当なモニタリング素子を用いて、機能計算機のプログラム指令の規則正しい処理を監視するそれぞれ1つの監視が実行可能である。それによりとりわけプログラム流れ監視の促進及び監視における安全性の向上が行われる。
【0015】
第1のモニタリング装置が、第1のモニタリング素子により、安全モジュールにおける第1の監視として、特にメモリテスト及びプログラム流れ監視を行う。更に第2のモニタリング装置が、第2のモニタリング素子により、監視モジュールにおける第2の監視として、特に指令集合テスト及びA−D変換器テストを行う。有利なように、それぞれの監視がいわゆるテストバスにおいて行われる。
【0016】
監視に誤りが生じると、誤りカウンタが操作可能であり、機能モジュールとは無関係に、自由にプログラム可能な誤り反応閾値を超過すると、システム反応が監視モジュールにより始動可能である。このようなシステム反応は、例えば車道の非常停止線上でどうやら停止するのを可能にする限られた非常走行モードへ車両をもたらすことができる。
【0017】
その際安全性を高めるため、誤り係数が非対称であってもよく、即ち質問−回答方法における誤った回答が2回上方へ数えられ、これに反し正しい回答が1回だけ下方へ数えられるようにすることができる。
【0018】
特に制御装置の投入により、計算素子において、付属するモニタ装置を構成するそれぞれ1つのいわゆる状態機械が駆動される。状態機械は、複数の状態、状態移行及び動作から成る行動モデルである。1つの状態は過去についての情報を記憶している。それは、システム開始から現在の時点までの入力の変化を反映する。状態移行は、状態機械の状態の変化を示し、移行を可能にするために満たさねばならない論理条件を記述する。動作は、特定の状況において行われる状態機械の出力である。
【0019】
計算素子における制御装置の初期化の際、適当なモニタリング装置が構成されるのがよい。この過程において、それぞれ付属する状態機械により、他のパラメータのほかに、例えば質問−回答方法の回答時間及び回答タイムスロット、遮断閾値及びリセット閾値が規定される。その際パラメータは、モニタ装置毎に完全に互いに相違していてもよい。しかし両方のモニタリング装置を同じに構成することも考えられる。
【0020】
両方の状態機械が順調に運転されている時、両方のモニタリング装置は、それぞれのモニタリング素子により、計算素子の監視を引受ける。
【0021】
監視計算機の出力端が特に相補的に構成されている。即ち一方の出力端が高であると、他方の出力端は低である。チップが破壊すると、高い確率で両方の出力端が高になるか又は低になる。それにより安全にとって危険な最終段は、遮断バスを介して遮断状態にある。
【0022】
状態機械の動作の際規定される回答時間は、大体において自由に構成可能であり、通常1〜255msの範囲にある。典型的な誤り反応時間は約60msである。しかしこの時間は、変速機の設計、顧客の要求等に関係して可変である。最大に可能な構成可能性と実行費用との妥協として、この範囲が選ばれた。
【0023】
応答時間も同様に状態機械において規定され、1ms〜255msの範囲にある。
【0024】
応答時間は、回答を送るためのできるだけ遅い時点である。第2としていわゆる“クローズトウィンドウ”が構成される。この範囲では、回答が送信されてはならない。回答時間と“クローズトウィンドウ”から成る差は“オープンウィンドウ”又は回答タイムスロットを生じる。回答時間と回答タイムスロットとの関係は特に自由に規定可能である。起こり得る機能−ソフトウエア誤り(例えば誤ったタイミング)では、正しい回答の送信が速すぎることがある。“クローズトウィンドウ”により、この早すぎる回答は評価されず、それにより誤りカウンタの増大が行われる。
【0025】
状態機械において、遮断バステストが有利に固有の状態として実行される。それにより監視計算機と機能計算機との間の質問−回答方法からの回答を、回答タイムスロットを考慮することなく、できるだけ速やかに送ることができる。遮断バステストは、誤りが生じる際、機能計算機又は監視計算機が例えば安全に関連する最終段を正しく遮断できるか否かを検査することができる。
【0026】
監視計算機において背景で連続的な検査合計テスト(CRCテスト)が実行可能であることによって、主として万一の“ビットチッパ”が例えばEMV障害により生じて、構成データにおいて検出される。これらの誤りは一般に遮断バスの始動に至る。
【0027】
特に次の質問の予想を可能にしないために、質問−回答方法における質問の選択に関連して、乱数発生が線形フィードバックシフトレジスタにより行われる。それぞれ1つの線形フィードバックシフトレジスタがモニタリング装置MU1及びMU2にある。
【0028】
本発明の別の課題は、従来技術に比べて改善された、自動車の制御装置にある前述した監視計算機を持つプロセッサを提示することである。
【0029】
本発明によればこの課題は、独立請求項14の特徴を持つプロセッサにより解決される。
【0030】
詳細に上述したように、制御装置のプロセッサ上に構成される計算素子が大体において3つのプログラムモジュール、安全モジュール及び監視モジュールを含んでいる。プロセッサは特に機能計算機と監視計算機に細分され、機能モジュール、安全モジュール及び監視モジュールが機能計算機に構成される。監視計算機は、通常インタフェースを介する質問−回答方法により、機能計算機と通信する。
【0031】
本発明の核心は、機能計算機と監視計算機が物理的に互いに独立しており、監視計算機が互いに無関係な2つのモニタリング装置を含んでいることである。機能計算機のプログラム指令の規則正しい処理を監視するために、機能計算機において、各モニタリング装置により適当なモニタリング素子を用いて、それぞれ1つの監視が実行可能である。それにより監視方法を有利に促進し、更に一層安全に形成することができる。
【0032】
以下の説明において、本発明の特徴及び詳細が、添付図面に関連して実施例により詳細に説明される。その際個々の変形例において説明される特徴及び関連は、基本的にすべての実施例に転用可能である。
【図面の簡単な説明】
【0033】
【図1】 モジュール(ソフトウエア)及び計算機(ハードウエア)に細分される3面構想を示す。
【図2】 状態、移行及び条件を持つ状態機械を示す。
【発明を実施するための形態】
【0034】
鎖線及び破線の縁を持つ図1の枠はそれぞれハードウエア成分を示し、実線の縁を持つ枠はそれぞれソフトウエア成分を示す。枠の間の直線矢印はそれぞれデータ交換を示す。
【0035】
図1は、例えば自動車における機関制御装置又は変速機制御装置において使用されるように、実質的にEGAS構想から周知の3面監視モデルを示す。
【0036】
第1の鎖線の枠はプロセッサの機能計算機FRを示す。第2の鎖線の枠はプロセッサの監視計算機URを示す。機能計算機FRと監視計算機URは、物理的に互いに独立してプロセッサに設けられている。監視計算機URは例えばASICとして構成することができる。3つのプログラムモジュール即ち機能モジュールE1、安全モジュールE2及び監視モジュールE3は、機能計算機ERに構成される。
【0037】
機能モジュールE1は、機能面とも称されるEGAS構想の面E1を示す。それは特に車両の駆動装置の機能制御に用いられ、上述したように、特に要求される機関トルクを変換するための例えば機関制御機能、部品監視、入力量及び出力量の診断、及び誤りが検出される場合システム反応の制御を含んでいる。
【0038】
安全モジュールE2は、機能監視面とも称されるEGAS構想の面2を示す。それは、面1の機能モジュールE1の監視に関連する範囲の誤りのある経過を検出する。特に計算されるトルク又は例えば車両加速度が監視される。誤りが生じると、特にシステム反応の始動が行われる。安全モジュールE2が、まず監視モジュールE3により保護される機能計算機FRのハードウエア範囲において実行される。
【0039】
監視モジュールE3は、計算機監視面とも称されるEGAS構想の面3を示す。監視モジュールE3は、特に監視計算機URとは独立した機能計算機に構成される。監視計算機URは、例えば少なくとも1つの質問−回答方法によって、機能計算機FRのプログラム指令の規則正しい処理を検査する。誤りが生じると、特にシステム反応の始動が機能計算機FRに関係なく行われる。
【0040】
監視計算機URは実質的に2つの互いに独立したモニタリング装置MU1,MU2を含んでいる。各モニタリング装置MU1,MU2に、安全モジュールE3の監視K1,K2のための適当なモニタリング素子ME1,ME2が構成される。
【0041】
こうして例えば第1のモニタリング装置MU1が、第1のモニタリング素子ME1により、第1の監視K1として、安全モジュールE2にある第1のテストバスTP1を介して、メモリテスト及びプログラム流れ監視を行う。
【0042】
これに並行して監視K1とは無関係に、第2のモニタリング装置MU2が、第2のモニタリング素子ME2により、第2の監視K2として、監視モジュールE3にある第2のテストバスTP2を介して、なるべく指令集合テスト及びA−D変換器テストを行う。第2の監視K2は、第1のモニタリング装置MU1においても、第1のモニタリング素子ME1により第1のテストバスTP1を介して行うこともできる。
【0043】
特に前記のプログラム流れ監視は、モニタリング装置MU1,MU2と機能計算機FRとの間の質問−回答方法として行われる。適当な質問は、例えばモニタリング素子ME1,ME2に付属する質問発生器FGにおいて発生される。両方の質問発生器FGは同じに構成されているが、質問の選択は偶然に行われる。従ってモニタリング装置MU1の質問とモニタリング装置MU2による質問は、実際には常に異なっている。
【0044】
監視K1,K2に誤りが生じると、有利なようにそれぞれ1つの誤りカウンタが高くセットされる。自由にプログラム可能な適当な誤り反応閾値を超過すると、特に監視モジュールE3により、機能モジュールE1に関係なくシステム反応が開始される。自由にプログラム可能な誤り反応閾値は、例えば安全に関連する最終段の遮断又は機能計算機FRのリセットのように、種々のシステム反応のために異なっていてもよい。モニタリング装置MU1,MU2の1つがリセットを発生すると、状態機械SM1,SM2及び機能計算機FRを含むシステム全体がリセットされる。しかしモニタリング装置MU1に誤りがある場合にのみリセットが開始され、モニタリング装置MU2に誤りがある場合安全に関連する最終段のみが遮断されるように、構成することもできる。
【0045】
更に誤り反応としてのリセット指令の発生を、可能にするか又は阻止することができる。
【0046】
監視計算機URの出力端は、有利なように相補的に構成されている。例えばチップ破壊又はいわゆるラッチアップ即ち半導体素子の低抵抗状態への移行により、例えばASICとして構成される監視計算機URが全故障する場合、監視計算機URのすべての出力端が同時に高レベル又は低レベルにあることを前提とする。この場合相補的な出力端は、図示しない外部回路と共に、システムの安全バス従ってシステムの安全に関連する最終段が遮断されるようにする。外部回路は、例えば抵抗及びトランジスタから成り、相補的な出力端の組合わせのみが安全に関連する最終段を使用可能にする。
【0047】
図2は状態機械を示す。状態機械は僅かなハードウエア費用で有利に実現可能である。状態機械のこの実施例は、ソフトウエアとして構成される状態機械より速くかつ確実で故障が少ない。更にそれは操作可能でない。明細書の始めにおいて既に述べたように状態機械は、状態、状態移行及び動作から成る行動モデルである。状態は過去についての情報を記述する。この状態は、システム開始から現在の時点までの入力の変化を再現する。状態移行は状態機械の状態の変化を示し、移行を可能にするために満たされねばならない論理的条件によって記述される。動作は、特定の状況において行われる状態機械の出力である。状態機械は、ディジタル回路において、主として記憶プログラム可能な制御素子、論理ゲート、フリップフロップ又はリレーにより実現可能である。ハードウエアを実現するため、一般に状態変数を記憶するレジスタ、状態移行を選択する論理装置、及び出力の権限を持つ別の論理装置が使用される。各モニタリング装置MU1,MU2に、特に状態機械SM1、SM2が付属している。
【0048】
制御装置の開始の際又はリセット後、INIT状態がとられる。INIT状態においてモニタリング装置MU1,MU2が、機能モジュールE1により、監視計算機URと機能計算機FRとの間の通信インタフェースを介して構成される。その際特に回答時間、回答タイムスロット、誤り反応閾値、特に遮断閾値thresh及びリセット閾値reset threshが規定される。
【0049】
状態機械SM1,SM2の運転の際規定される回答時間は、大体において自由に構成可能であり、通常1ms〜255msの範囲にある。
【0050】
特に回答タイムスロットも状態機械に規定され、一時的に1ms〜255msの範囲にある。回答時間と回答タイムスロットとの関係は特に自由に規定可能である。
【0051】
更に誤りカウンタの初期値は、誤りカウンタがINIT状態にINITにおいて遮断されたままであるのを確実にするため、自動的に遮断閾値threshより上に設定される。動作EOI(初期状態の終了)により、モニタリング素子ME1,ME2の構成が終了され、もはや変化不可能である。それにより状態SOPCDIS(遮断バステスト不能)への状態移行が行われ、ここでSOPCは遮断バステストであり、誤りが生じる時、機能計算機又は監視計算機が例えば安全に関する出力最終段を正しく遮断できることを、遮断バステストは保証することができる。この状態で出力最終段はまだ解放されていない。
【0052】
遮断バステストの際、状態機械において状態SOPCDIS及びSOPCENAがとられる。第1段階で最終段が遮断され、第2段階で解放される。この解決策の利点は、遮断バステスト中に回答タイムスロットを考慮することなくできるだけ速く、回答を送ることができることである。それによりシステム立上がり時間を短く保つことができる。
【0053】
状態SOPCDISへ達することにより、特にSOPCタイマが始動されて、指令EOSOPC(SOPCの終了)まで時間を測定する。テストが長く続きすぎると、テストは中断され、状態SOPCDISが動作SOPC timeoutを経て状態RESETへ移行する。
【0054】
状態SOPCDISにおいて、テストのできるだけ速い経過を保証するため、監視計算機URと機能計算機FRとの間の質問−回答動作サイクルが、なるべく時間制限なしに始まる。即ち回答タイムスロットが空いている。誤った回答の場合、誤りカウンタが高められる。誤りカウンタが遮断閾値threshより下にあると、条件EC<disablethreshにより,状態SOPCENAへの移行が特に直ちに行われる。それにより出力段が解放される。
【0055】
状態SOPCDISから状態DISABLEへの移行は、機能計算機FRと監視計算機URとの間の通信インタフェースにより始動される条件EOSOPC(遮断バステストの終了)を介して行われる。状態SOPCDISにおいて規定されるように、出力最終段は阻止又は遮断されたままである。ただ1つの条件は、条件SOPC timeoutの実行前の正しい指令である。
【0056】
特に状態SOPCDISから始まって状態SOPCENAへ達すると、SOPCタイマが有利なように更に動作する。監視計算機URと機能計算機FRとの間の質問−回答動作も同様に時間的制限なしに続行される。誤りカウンタが遮断閾値threshに達するか又はこれを超過すると、特に条件EC≧disable threshにより状態SOPCDISへ戻る移行が行われる。
【0057】
遮断バステストが長く続きすぎると、このテストが中断され、状態SOPCENAが条件SOPC timeoutを経て状態RESETへ移される。それに続く状態RESETから状態INITへの移行は自動的に行われる。
【0058】
状態SOPCENAから状態NORMALへの移行は、通信インタフェースにより再び開始される条件EOSOPCを経て行われる。
【0059】
出力最終段が既に前の状態で既に解放されていない限り、状態NORMALにおいて出力最終段が解放される。この状態で監視計算機URと機能計算機FRとの間の質問−回答動作が続行され、その際誤りカウンタの係数が前の状態から引継がれる。遮断バステストの状態COPCENA及びSOPCDISとは異なり、この場合回答時間及び回答タイムスロットに関して時間的制限があるのがよい。機能計算機の作動システムの伝搬時間監視を保証するために、回答は早すぎても遅すぎてもいけない。回答時間は、回答を送信するためのできるだけ遅い時点である。第2としていわゆる“クローズトウインドウ”が構成される。この範囲において回答が送信されてはならない。回答時間と“クローズトウインドウ”との差は゛オープンウインドウ”又は回答タイムスロットを生じる。
【0060】
回答時間及び回答タイムスロットはまず状態INITにおいてプログラムされている。誤りカウンタは、有利なように誤った回答の際にも回答時間又は回答タイムスロットを超過する際にも高められる。遮断閾値threshに達するか又はこれを超過すると、条件EC≧disable threshにより状態DISABLEへの移行が行われる。
【0061】
状態DISABLEにおいて出力最終段が遮断される。この状態で、監視計算機URと機能計算機FRとの間の質問−回答動作サイクルが続行される。この場合も、回答時間及び回答タイムスロットに関して時間的制限がある。誤った回答の際にも回答時間又は回答タイムスロットを超過する際にも、誤りカウンタが高められる。閾値threshを下回ると、条件EC<disable threshにより状態NORMALへ戻る移行が行われる。状態NORMALにおいて最終段が再び使用可能にされる。
【0062】
状態DISABLEにおいて誤りカウンタがリセット閾値reset threshに達して、リセット使用可能用のレジスタが予め設定された値1を持つと、条件EC≧reset thresh AND i_req_rst_en=1により状態RESETへの移行が行われる。続いて状態RESETから状態INITへの移行は再び自動的に行われる。
【0063】
状態機械において全過程を一層速く形成するために、状態機械において状態SOPCENAを抜かすことができる。その場合一層速い遮断バステストが行われる。
【0064】
両方の状態機械が首尾よく動作している場合、NORMAL状態にある両方のモニタリング装置は、それぞれのモニタリング素子により、計算素子の監視を引受ける。
【0065】
要約すれば、自動車の制御装置にある計算素子を監視するための本発明による監視構想が、公知の監視構想に比べて、速さ、プログラム費用及び確実さに関して改善を示していると結論することができる。
【技術分野】
【0001】
本発明は、独立請求項の上位概念に記載のプロセッサを監視する監視計算機、プロセッサ及びプロセッサを監視する方法に関する。
【0002】
自動車において使用するための計算素子を持つ制御装置を個々には安全でなく又は自身では安全に形成する種々の構想が存在する。制御装置の自身の安全性を得る可能性は3面構想の監視である。
【背景技術】
【0003】
ドイツ連邦共和国特許出願公開第4438714号明細書から、車両の駆動装置を制御する装置が公知である。この場合出力を制御する制御装置はただ1つの計算素子しか持っていない。計算素子は遮断バスの制御及び監視を行う。制御及び監視を行うために、互いに独立した2つの面がただ1つの計算素子に設けられ、第1の面において出力制御機能が求められ、第2の面において特に監視モジュールとの共同動作で計算素子自体のこれらの機能従って動作能力が監視されることによって、作動の確実性及び利用可能性が保証される。
【0004】
更にドイツ連邦共和国特許出願公開第4438714号明細書には、第2の面の経過監視を行う第3の面が記載されている。第3の面によるこの監視は、制御装置の信頼性及び利用可能性を著しく高める。特に監視モジュールにおいて、経過監視が質問−回答通信として実行される
【0005】
三面監視構想(EGAS構想)は、なるべく車両の機関制御装置において、電子機関制御システムの監視のために使用される。その際機関制御装置は、いわゆる機能計算機及び監視計算機から成っている。機能計算機と監視計算機は、質問−回答方法を介して通信する。更にそれは別個の遮断バスを使用できる。
【0006】
面1は、車両の駆動装置の機能を制御する固有の機能モジュールを含んでいる。従ってこの面は機能面とも称される。この面は、特に要求される機関トルクを変換する機関制御機能、部品監視、入力量及び出力量の診断、及び欠陥が検出される場合におけるシステム反応の制御を含んでいる。面1は機能計算機上に構成される。
【0007】
機能監視面とも称される面2は安全モジュールを含み、同様に機能計算機上に構成される。この面は、面1の機能モジュールの監視に関連する周囲の欠陥のある経過を、特に計算されるトルク又は車両加速度の監視によって検出する。欠陥がある場合、例えば安全に関連する最終段の遮断のようなシステム反応の開始が行われる。
【0008】
面2は、機能計算機の面3により保護されているハードウエア範囲において実行される。計算機監視面とも称される面3は、指令集合テスト、プログラム流れ監視、A/D変換器テスト、及び面2の周期的及び完全なメモリテストを持つ独立した機能計算機上の監視モジュールを含んでいる。監視モジュールは機能計算機上に構成される。機能計算機から独立した監視計算機は、質問−回答方法により、機能計算機のプログラム指令の規則正しい処理をテストする。欠陥がある場合、機能計算機には関係なく、システム反応の始動が行われる。
【0009】
現在の電子機関制御システムでは、全機能及び監視ソフトウエアは制御装置に統合されている。監視構想は別の車両制御装置特に変速機制御装置においても実現可能である。
【0010】
従来技術から公知の監視構想では、監視計算機が、機能計算機にあるただ1つの監視装置(モニタリング装置)により、1つより多いプログラム流れ監視を行う。その際この1つの監視装置は、個々のプログラム流れ監視からの個別回答を同期化し、個々の回答を1つの全体回答にまとめねばならない。回答の同期化及びまとめの際、誤りが生じることがある。
【発明の概要】
【発明が解決しようとする課題】
【0011】
従って自動車制御装置にあるプロセッサを監視する公知の監視計算機を改良するという課題が与えられる。
【課題を解決するための手段】
【0012】
本発明によれば、この課題は独立請求項1の特徴を持つ監視計算機によって解決される。
【0013】
プロセッサは実質的に監視計算機及び機能計算機を含んでいる。プロセッサ上に計算素子が構成される。計算素子は、特に3つのソフトウエアープログラムモジュール、即ち自動車の機能制御用機能モジュール、機能モジュールの検査用安全モジュール、及び少なくとも安全モジュールの検査用検査モジュールを含んでいる。監視計算機は、インタフェースを介する質問−回答方法により、機能計算機上の監視モジュールと通信する。
【0014】
特に機能計算機と監視計算機が物理的に互いに独立したビルディングブロックを構成している。有利なように監視計算機が互いに独立した2つのモニタリング装置を含み、ハードウエアとして構成される各モニタリング装置により、機能計算機においてソフトウエアとして構成される適当なモニタリング素子を用いて、機能計算機のプログラム指令の規則正しい処理を監視するそれぞれ1つの監視が実行可能である。それによりとりわけプログラム流れ監視の促進及び監視における安全性の向上が行われる。
【0015】
第1のモニタリング装置が、第1のモニタリング素子により、安全モジュールにおける第1の監視として、特にメモリテスト及びプログラム流れ監視を行う。更に第2のモニタリング装置が、第2のモニタリング素子により、監視モジュールにおける第2の監視として、特に指令集合テスト及びA−D変換器テストを行う。有利なように、それぞれの監視がいわゆるテストバスにおいて行われる。
【0016】
監視に誤りが生じると、誤りカウンタが操作可能であり、機能モジュールとは無関係に、自由にプログラム可能な誤り反応閾値を超過すると、システム反応が監視モジュールにより始動可能である。このようなシステム反応は、例えば車道の非常停止線上でどうやら停止するのを可能にする限られた非常走行モードへ車両をもたらすことができる。
【0017】
その際安全性を高めるため、誤り係数が非対称であってもよく、即ち質問−回答方法における誤った回答が2回上方へ数えられ、これに反し正しい回答が1回だけ下方へ数えられるようにすることができる。
【0018】
特に制御装置の投入により、計算素子において、付属するモニタ装置を構成するそれぞれ1つのいわゆる状態機械が駆動される。状態機械は、複数の状態、状態移行及び動作から成る行動モデルである。1つの状態は過去についての情報を記憶している。それは、システム開始から現在の時点までの入力の変化を反映する。状態移行は、状態機械の状態の変化を示し、移行を可能にするために満たさねばならない論理条件を記述する。動作は、特定の状況において行われる状態機械の出力である。
【0019】
計算素子における制御装置の初期化の際、適当なモニタリング装置が構成されるのがよい。この過程において、それぞれ付属する状態機械により、他のパラメータのほかに、例えば質問−回答方法の回答時間及び回答タイムスロット、遮断閾値及びリセット閾値が規定される。その際パラメータは、モニタ装置毎に完全に互いに相違していてもよい。しかし両方のモニタリング装置を同じに構成することも考えられる。
【0020】
両方の状態機械が順調に運転されている時、両方のモニタリング装置は、それぞれのモニタリング素子により、計算素子の監視を引受ける。
【0021】
監視計算機の出力端が特に相補的に構成されている。即ち一方の出力端が高であると、他方の出力端は低である。チップが破壊すると、高い確率で両方の出力端が高になるか又は低になる。それにより安全にとって危険な最終段は、遮断バスを介して遮断状態にある。
【0022】
状態機械の動作の際規定される回答時間は、大体において自由に構成可能であり、通常1〜255msの範囲にある。典型的な誤り反応時間は約60msである。しかしこの時間は、変速機の設計、顧客の要求等に関係して可変である。最大に可能な構成可能性と実行費用との妥協として、この範囲が選ばれた。
【0023】
応答時間も同様に状態機械において規定され、1ms〜255msの範囲にある。
【0024】
応答時間は、回答を送るためのできるだけ遅い時点である。第2としていわゆる“クローズトウィンドウ”が構成される。この範囲では、回答が送信されてはならない。回答時間と“クローズトウィンドウ”から成る差は“オープンウィンドウ”又は回答タイムスロットを生じる。回答時間と回答タイムスロットとの関係は特に自由に規定可能である。起こり得る機能−ソフトウエア誤り(例えば誤ったタイミング)では、正しい回答の送信が速すぎることがある。“クローズトウィンドウ”により、この早すぎる回答は評価されず、それにより誤りカウンタの増大が行われる。
【0025】
状態機械において、遮断バステストが有利に固有の状態として実行される。それにより監視計算機と機能計算機との間の質問−回答方法からの回答を、回答タイムスロットを考慮することなく、できるだけ速やかに送ることができる。遮断バステストは、誤りが生じる際、機能計算機又は監視計算機が例えば安全に関連する最終段を正しく遮断できるか否かを検査することができる。
【0026】
監視計算機において背景で連続的な検査合計テスト(CRCテスト)が実行可能であることによって、主として万一の“ビットチッパ”が例えばEMV障害により生じて、構成データにおいて検出される。これらの誤りは一般に遮断バスの始動に至る。
【0027】
特に次の質問の予想を可能にしないために、質問−回答方法における質問の選択に関連して、乱数発生が線形フィードバックシフトレジスタにより行われる。それぞれ1つの線形フィードバックシフトレジスタがモニタリング装置MU1及びMU2にある。
【0028】
本発明の別の課題は、従来技術に比べて改善された、自動車の制御装置にある前述した監視計算機を持つプロセッサを提示することである。
【0029】
本発明によればこの課題は、独立請求項14の特徴を持つプロセッサにより解決される。
【0030】
詳細に上述したように、制御装置のプロセッサ上に構成される計算素子が大体において3つのプログラムモジュール、安全モジュール及び監視モジュールを含んでいる。プロセッサは特に機能計算機と監視計算機に細分され、機能モジュール、安全モジュール及び監視モジュールが機能計算機に構成される。監視計算機は、通常インタフェースを介する質問−回答方法により、機能計算機と通信する。
【0031】
本発明の核心は、機能計算機と監視計算機が物理的に互いに独立しており、監視計算機が互いに無関係な2つのモニタリング装置を含んでいることである。機能計算機のプログラム指令の規則正しい処理を監視するために、機能計算機において、各モニタリング装置により適当なモニタリング素子を用いて、それぞれ1つの監視が実行可能である。それにより監視方法を有利に促進し、更に一層安全に形成することができる。
【0032】
以下の説明において、本発明の特徴及び詳細が、添付図面に関連して実施例により詳細に説明される。その際個々の変形例において説明される特徴及び関連は、基本的にすべての実施例に転用可能である。
【図面の簡単な説明】
【0033】
【図1】 モジュール(ソフトウエア)及び計算機(ハードウエア)に細分される3面構想を示す。
【図2】 状態、移行及び条件を持つ状態機械を示す。
【発明を実施するための形態】
【0034】
鎖線及び破線の縁を持つ図1の枠はそれぞれハードウエア成分を示し、実線の縁を持つ枠はそれぞれソフトウエア成分を示す。枠の間の直線矢印はそれぞれデータ交換を示す。
【0035】
図1は、例えば自動車における機関制御装置又は変速機制御装置において使用されるように、実質的にEGAS構想から周知の3面監視モデルを示す。
【0036】
第1の鎖線の枠はプロセッサの機能計算機FRを示す。第2の鎖線の枠はプロセッサの監視計算機URを示す。機能計算機FRと監視計算機URは、物理的に互いに独立してプロセッサに設けられている。監視計算機URは例えばASICとして構成することができる。3つのプログラムモジュール即ち機能モジュールE1、安全モジュールE2及び監視モジュールE3は、機能計算機ERに構成される。
【0037】
機能モジュールE1は、機能面とも称されるEGAS構想の面E1を示す。それは特に車両の駆動装置の機能制御に用いられ、上述したように、特に要求される機関トルクを変換するための例えば機関制御機能、部品監視、入力量及び出力量の診断、及び誤りが検出される場合システム反応の制御を含んでいる。
【0038】
安全モジュールE2は、機能監視面とも称されるEGAS構想の面2を示す。それは、面1の機能モジュールE1の監視に関連する範囲の誤りのある経過を検出する。特に計算されるトルク又は例えば車両加速度が監視される。誤りが生じると、特にシステム反応の始動が行われる。安全モジュールE2が、まず監視モジュールE3により保護される機能計算機FRのハードウエア範囲において実行される。
【0039】
監視モジュールE3は、計算機監視面とも称されるEGAS構想の面3を示す。監視モジュールE3は、特に監視計算機URとは独立した機能計算機に構成される。監視計算機URは、例えば少なくとも1つの質問−回答方法によって、機能計算機FRのプログラム指令の規則正しい処理を検査する。誤りが生じると、特にシステム反応の始動が機能計算機FRに関係なく行われる。
【0040】
監視計算機URは実質的に2つの互いに独立したモニタリング装置MU1,MU2を含んでいる。各モニタリング装置MU1,MU2に、安全モジュールE3の監視K1,K2のための適当なモニタリング素子ME1,ME2が構成される。
【0041】
こうして例えば第1のモニタリング装置MU1が、第1のモニタリング素子ME1により、第1の監視K1として、安全モジュールE2にある第1のテストバスTP1を介して、メモリテスト及びプログラム流れ監視を行う。
【0042】
これに並行して監視K1とは無関係に、第2のモニタリング装置MU2が、第2のモニタリング素子ME2により、第2の監視K2として、監視モジュールE3にある第2のテストバスTP2を介して、なるべく指令集合テスト及びA−D変換器テストを行う。第2の監視K2は、第1のモニタリング装置MU1においても、第1のモニタリング素子ME1により第1のテストバスTP1を介して行うこともできる。
【0043】
特に前記のプログラム流れ監視は、モニタリング装置MU1,MU2と機能計算機FRとの間の質問−回答方法として行われる。適当な質問は、例えばモニタリング素子ME1,ME2に付属する質問発生器FGにおいて発生される。両方の質問発生器FGは同じに構成されているが、質問の選択は偶然に行われる。従ってモニタリング装置MU1の質問とモニタリング装置MU2による質問は、実際には常に異なっている。
【0044】
監視K1,K2に誤りが生じると、有利なようにそれぞれ1つの誤りカウンタが高くセットされる。自由にプログラム可能な適当な誤り反応閾値を超過すると、特に監視モジュールE3により、機能モジュールE1に関係なくシステム反応が開始される。自由にプログラム可能な誤り反応閾値は、例えば安全に関連する最終段の遮断又は機能計算機FRのリセットのように、種々のシステム反応のために異なっていてもよい。モニタリング装置MU1,MU2の1つがリセットを発生すると、状態機械SM1,SM2及び機能計算機FRを含むシステム全体がリセットされる。しかしモニタリング装置MU1に誤りがある場合にのみリセットが開始され、モニタリング装置MU2に誤りがある場合安全に関連する最終段のみが遮断されるように、構成することもできる。
【0045】
更に誤り反応としてのリセット指令の発生を、可能にするか又は阻止することができる。
【0046】
監視計算機URの出力端は、有利なように相補的に構成されている。例えばチップ破壊又はいわゆるラッチアップ即ち半導体素子の低抵抗状態への移行により、例えばASICとして構成される監視計算機URが全故障する場合、監視計算機URのすべての出力端が同時に高レベル又は低レベルにあることを前提とする。この場合相補的な出力端は、図示しない外部回路と共に、システムの安全バス従ってシステムの安全に関連する最終段が遮断されるようにする。外部回路は、例えば抵抗及びトランジスタから成り、相補的な出力端の組合わせのみが安全に関連する最終段を使用可能にする。
【0047】
図2は状態機械を示す。状態機械は僅かなハードウエア費用で有利に実現可能である。状態機械のこの実施例は、ソフトウエアとして構成される状態機械より速くかつ確実で故障が少ない。更にそれは操作可能でない。明細書の始めにおいて既に述べたように状態機械は、状態、状態移行及び動作から成る行動モデルである。状態は過去についての情報を記述する。この状態は、システム開始から現在の時点までの入力の変化を再現する。状態移行は状態機械の状態の変化を示し、移行を可能にするために満たされねばならない論理的条件によって記述される。動作は、特定の状況において行われる状態機械の出力である。状態機械は、ディジタル回路において、主として記憶プログラム可能な制御素子、論理ゲート、フリップフロップ又はリレーにより実現可能である。ハードウエアを実現するため、一般に状態変数を記憶するレジスタ、状態移行を選択する論理装置、及び出力の権限を持つ別の論理装置が使用される。各モニタリング装置MU1,MU2に、特に状態機械SM1、SM2が付属している。
【0048】
制御装置の開始の際又はリセット後、INIT状態がとられる。INIT状態においてモニタリング装置MU1,MU2が、機能モジュールE1により、監視計算機URと機能計算機FRとの間の通信インタフェースを介して構成される。その際特に回答時間、回答タイムスロット、誤り反応閾値、特に遮断閾値thresh及びリセット閾値reset threshが規定される。
【0049】
状態機械SM1,SM2の運転の際規定される回答時間は、大体において自由に構成可能であり、通常1ms〜255msの範囲にある。
【0050】
特に回答タイムスロットも状態機械に規定され、一時的に1ms〜255msの範囲にある。回答時間と回答タイムスロットとの関係は特に自由に規定可能である。
【0051】
更に誤りカウンタの初期値は、誤りカウンタがINIT状態にINITにおいて遮断されたままであるのを確実にするため、自動的に遮断閾値threshより上に設定される。動作EOI(初期状態の終了)により、モニタリング素子ME1,ME2の構成が終了され、もはや変化不可能である。それにより状態SOPCDIS(遮断バステスト不能)への状態移行が行われ、ここでSOPCは遮断バステストであり、誤りが生じる時、機能計算機又は監視計算機が例えば安全に関する出力最終段を正しく遮断できることを、遮断バステストは保証することができる。この状態で出力最終段はまだ解放されていない。
【0052】
遮断バステストの際、状態機械において状態SOPCDIS及びSOPCENAがとられる。第1段階で最終段が遮断され、第2段階で解放される。この解決策の利点は、遮断バステスト中に回答タイムスロットを考慮することなくできるだけ速く、回答を送ることができることである。それによりシステム立上がり時間を短く保つことができる。
【0053】
状態SOPCDISへ達することにより、特にSOPCタイマが始動されて、指令EOSOPC(SOPCの終了)まで時間を測定する。テストが長く続きすぎると、テストは中断され、状態SOPCDISが動作SOPC timeoutを経て状態RESETへ移行する。
【0054】
状態SOPCDISにおいて、テストのできるだけ速い経過を保証するため、監視計算機URと機能計算機FRとの間の質問−回答動作サイクルが、なるべく時間制限なしに始まる。即ち回答タイムスロットが空いている。誤った回答の場合、誤りカウンタが高められる。誤りカウンタが遮断閾値threshより下にあると、条件EC<disablethreshにより,状態SOPCENAへの移行が特に直ちに行われる。それにより出力段が解放される。
【0055】
状態SOPCDISから状態DISABLEへの移行は、機能計算機FRと監視計算機URとの間の通信インタフェースにより始動される条件EOSOPC(遮断バステストの終了)を介して行われる。状態SOPCDISにおいて規定されるように、出力最終段は阻止又は遮断されたままである。ただ1つの条件は、条件SOPC timeoutの実行前の正しい指令である。
【0056】
特に状態SOPCDISから始まって状態SOPCENAへ達すると、SOPCタイマが有利なように更に動作する。監視計算機URと機能計算機FRとの間の質問−回答動作も同様に時間的制限なしに続行される。誤りカウンタが遮断閾値threshに達するか又はこれを超過すると、特に条件EC≧disable threshにより状態SOPCDISへ戻る移行が行われる。
【0057】
遮断バステストが長く続きすぎると、このテストが中断され、状態SOPCENAが条件SOPC timeoutを経て状態RESETへ移される。それに続く状態RESETから状態INITへの移行は自動的に行われる。
【0058】
状態SOPCENAから状態NORMALへの移行は、通信インタフェースにより再び開始される条件EOSOPCを経て行われる。
【0059】
出力最終段が既に前の状態で既に解放されていない限り、状態NORMALにおいて出力最終段が解放される。この状態で監視計算機URと機能計算機FRとの間の質問−回答動作が続行され、その際誤りカウンタの係数が前の状態から引継がれる。遮断バステストの状態COPCENA及びSOPCDISとは異なり、この場合回答時間及び回答タイムスロットに関して時間的制限があるのがよい。機能計算機の作動システムの伝搬時間監視を保証するために、回答は早すぎても遅すぎてもいけない。回答時間は、回答を送信するためのできるだけ遅い時点である。第2としていわゆる“クローズトウインドウ”が構成される。この範囲において回答が送信されてはならない。回答時間と“クローズトウインドウ”との差は゛オープンウインドウ”又は回答タイムスロットを生じる。
【0060】
回答時間及び回答タイムスロットはまず状態INITにおいてプログラムされている。誤りカウンタは、有利なように誤った回答の際にも回答時間又は回答タイムスロットを超過する際にも高められる。遮断閾値threshに達するか又はこれを超過すると、条件EC≧disable threshにより状態DISABLEへの移行が行われる。
【0061】
状態DISABLEにおいて出力最終段が遮断される。この状態で、監視計算機URと機能計算機FRとの間の質問−回答動作サイクルが続行される。この場合も、回答時間及び回答タイムスロットに関して時間的制限がある。誤った回答の際にも回答時間又は回答タイムスロットを超過する際にも、誤りカウンタが高められる。閾値threshを下回ると、条件EC<disable threshにより状態NORMALへ戻る移行が行われる。状態NORMALにおいて最終段が再び使用可能にされる。
【0062】
状態DISABLEにおいて誤りカウンタがリセット閾値reset threshに達して、リセット使用可能用のレジスタが予め設定された値1を持つと、条件EC≧reset thresh AND i_req_rst_en=1により状態RESETへの移行が行われる。続いて状態RESETから状態INITへの移行は再び自動的に行われる。
【0063】
状態機械において全過程を一層速く形成するために、状態機械において状態SOPCENAを抜かすことができる。その場合一層速い遮断バステストが行われる。
【0064】
両方の状態機械が首尾よく動作している場合、NORMAL状態にある両方のモニタリング装置は、それぞれのモニタリング素子により、計算素子の監視を引受ける。
【0065】
要約すれば、自動車の制御装置にある計算素子を監視するための本発明による監視構想が、公知の監視構想に比べて、速さ、プログラム費用及び確実さに関して改善を示していると結論することができる。
【特許請求の範囲】
【請求項1】
計算素子が構成されるプロセッサを監視する監視計算機(UR)であって、プロセッサが監視計算機(UR)のほかに機能計算機(FR)を含み、計算素子が機能モジュール(E2)及び監視モジュール(E3)を含み、すべてのモジュール(E1,E2及びE3)が機能計算機(FR)上に構成可能であり、監視計算機(UR)が、インタフェースを介して質問−応答方法により機能計算機(FR)上の少なくとも監視モジュール(E3)と通信するものにおいて、機能計算機(FR)と監視計算機(UR)が物理的に互いに独立しており、監視計算機(UR)が互いに独立した2つのモニタリング装置(MU1,MU2)を含み、各モニタリング装置(MU1,MU2)により、機能計算機(FR)において適当なモニタリング素子(ME1,ME2)を用いて、機能計算機(FR)のプログラム指令の規則正しい処理を監視するそれぞれ1つの監視が実行可能であることを特徴とする、監視計算機。
【請求項2】
第1のモニタリング装置(MU1)により安全モジュール(E2)における第1の監視(K1)が、また第2のモニタリング装置(MU2)により、監視モジュール(E3)における第2の監視(K2)が、それぞれテストバス(TP1,TP2)において実行可能であることを特徴とする、請求項1に記載の監視計算機。
【請求項3】
第1のモニタリング装置(MU1)により、安全モジュール(E2)における第1の監視(K1)として、メモリテスト及びプログラム流れ監視が実行可能であることを特徴とする、請求項1又は2に記載の監視計算機。
【請求項4】
第2のモニタリング装置(MU2)により、監視モジュール(E3)における第2の監視として、指令集合テスト及びA−D変換器テストが実行可能であることを特徴とする、請求項1に記載の監視計算機。
【請求項5】
監視(K1,K2)に誤りが生じると、誤りカウンタが操作可能であり、監視計算機(UR)が自由にプログラム可能な誤り反応閾値(thresh,reset thresh)を超過すると、システム反応が機能計算機(FR)とは無関係に始動可能であることを特徴とする、先行する請求項の1つに記載の監視計算機。
【請求項6】
それぞれ状態機械(SM1,SM2)により、計算素子におけるプロセッサの初期化の際、適当なモニタリング装置(MU1,MU2)を構成すると、他のパラメータのほかに、応答時間、応答タイムスロット、遮断閾値(thresh)及びリセット閾値(reset thresh)が規定可能であり、パラメータがモニタリング装置(MU1,MU2)毎に互いに相違していてもよいことを特徴とする、先行する請求項の1つに記載の監視計算機。
【請求項7】
誤り係数が非対称に行われることを特徴とする、先行する請求項の1つに記載の監視計算機。
【請求項8】
監視計算機(UR)の出力端(URA)が相補的に構成されていることを特徴とする、先行する請求項の1つに記載の監視計算機。
【請求項9】
応答時間が自由に構成可能に1ms〜255msの範囲にあることを特徴とする、先行する請求項の1つに記載の監視計算機。
【請求項10】
応答タイムスロットが1ms〜255msの範囲にあり、応答時間と応答タイムスロットとの比が自由に規定可能であることを特徴とする、先行する請求項の1つに記載の監視計算機。
【請求項11】
遮断バステスト(SOPC)が状態機械における固有の状態として実行されていることを特徴とする、先行する請求項の1つに記載の監視計算機。
【請求項12】
連続CRCテスト(検査合計テスト)が背景において実行可能であることを特徴とする、先行する請求項の1つに記載の監視計算機。
【請求項13】
質問−応答方法における質問を選択するための乱数発生がレジスタの線形フィードバックシフトにより行われることを特徴とする、先行する請求項の1つに記載の監視計算機。
【請求項14】
請求項1に記載の機能計算機(FR)及び監視計算機(UR)を持つプロセッサであって、プロセッサ上に、少なくとも1つの入力量に関係して自動車の少なくとも1つの機能を制御する計算素子が構成され監視計算機(UR)が、インタフェースを介して、質問−回答方法により機能計算機(FR)と通信するものにおいて、機能計算機(FR)と監視計算機(UR)が物理的に互いに独立しており、監視計算機(UR)が互いに無関係な2つのモニタリング装置(MU1,MU2)を含み、各モニタリング装置(MU1,MU2)により適当なモニタリング素子(ME1,ME2)を用いて、機能計算機(FR)のプログラム指令の規則正しい処理を監視するためのそれぞれ1つの監視(K1,K2)が、機能計算機(FR)において実行可能であることを特徴とする、プロセッサ。
【請求項15】
請求項14に記載のプロセッサを監視する方法であって、機能計算機(FR)と監視計算機(UR)が物理的に互いに独立しており、監視計算機(UR)が互いに独立した2つのモニタリング装置(MU1,MU2)を含み、各モニタリング装置(MU1,MU2)により適当なモニタリング素子(ME1,ME2)を用いて、機能計算機(FR)のプログラム指令の規則正しい処理を監視するためのそれぞれ1つの監視(K1,K2)が、機能計算機(FR)において実行されることを特徴とする、方法。
【請求項1】
計算素子が構成されるプロセッサを監視する監視計算機(UR)であって、プロセッサが監視計算機(UR)のほかに機能計算機(FR)を含み、計算素子が機能モジュール(E2)及び監視モジュール(E3)を含み、すべてのモジュール(E1,E2及びE3)が機能計算機(FR)上に構成可能であり、監視計算機(UR)が、インタフェースを介して質問−応答方法により機能計算機(FR)上の少なくとも監視モジュール(E3)と通信するものにおいて、機能計算機(FR)と監視計算機(UR)が物理的に互いに独立しており、監視計算機(UR)が互いに独立した2つのモニタリング装置(MU1,MU2)を含み、各モニタリング装置(MU1,MU2)により、機能計算機(FR)において適当なモニタリング素子(ME1,ME2)を用いて、機能計算機(FR)のプログラム指令の規則正しい処理を監視するそれぞれ1つの監視が実行可能であることを特徴とする、監視計算機。
【請求項2】
第1のモニタリング装置(MU1)により安全モジュール(E2)における第1の監視(K1)が、また第2のモニタリング装置(MU2)により、監視モジュール(E3)における第2の監視(K2)が、それぞれテストバス(TP1,TP2)において実行可能であることを特徴とする、請求項1に記載の監視計算機。
【請求項3】
第1のモニタリング装置(MU1)により、安全モジュール(E2)における第1の監視(K1)として、メモリテスト及びプログラム流れ監視が実行可能であることを特徴とする、請求項1又は2に記載の監視計算機。
【請求項4】
第2のモニタリング装置(MU2)により、監視モジュール(E3)における第2の監視として、指令集合テスト及びA−D変換器テストが実行可能であることを特徴とする、請求項1に記載の監視計算機。
【請求項5】
監視(K1,K2)に誤りが生じると、誤りカウンタが操作可能であり、監視計算機(UR)が自由にプログラム可能な誤り反応閾値(thresh,reset thresh)を超過すると、システム反応が機能計算機(FR)とは無関係に始動可能であることを特徴とする、先行する請求項の1つに記載の監視計算機。
【請求項6】
それぞれ状態機械(SM1,SM2)により、計算素子におけるプロセッサの初期化の際、適当なモニタリング装置(MU1,MU2)を構成すると、他のパラメータのほかに、応答時間、応答タイムスロット、遮断閾値(thresh)及びリセット閾値(reset thresh)が規定可能であり、パラメータがモニタリング装置(MU1,MU2)毎に互いに相違していてもよいことを特徴とする、先行する請求項の1つに記載の監視計算機。
【請求項7】
誤り係数が非対称に行われることを特徴とする、先行する請求項の1つに記載の監視計算機。
【請求項8】
監視計算機(UR)の出力端(URA)が相補的に構成されていることを特徴とする、先行する請求項の1つに記載の監視計算機。
【請求項9】
応答時間が自由に構成可能に1ms〜255msの範囲にあることを特徴とする、先行する請求項の1つに記載の監視計算機。
【請求項10】
応答タイムスロットが1ms〜255msの範囲にあり、応答時間と応答タイムスロットとの比が自由に規定可能であることを特徴とする、先行する請求項の1つに記載の監視計算機。
【請求項11】
遮断バステスト(SOPC)が状態機械における固有の状態として実行されていることを特徴とする、先行する請求項の1つに記載の監視計算機。
【請求項12】
連続CRCテスト(検査合計テスト)が背景において実行可能であることを特徴とする、先行する請求項の1つに記載の監視計算機。
【請求項13】
質問−応答方法における質問を選択するための乱数発生がレジスタの線形フィードバックシフトにより行われることを特徴とする、先行する請求項の1つに記載の監視計算機。
【請求項14】
請求項1に記載の機能計算機(FR)及び監視計算機(UR)を持つプロセッサであって、プロセッサ上に、少なくとも1つの入力量に関係して自動車の少なくとも1つの機能を制御する計算素子が構成され監視計算機(UR)が、インタフェースを介して、質問−回答方法により機能計算機(FR)と通信するものにおいて、機能計算機(FR)と監視計算機(UR)が物理的に互いに独立しており、監視計算機(UR)が互いに無関係な2つのモニタリング装置(MU1,MU2)を含み、各モニタリング装置(MU1,MU2)により適当なモニタリング素子(ME1,ME2)を用いて、機能計算機(FR)のプログラム指令の規則正しい処理を監視するためのそれぞれ1つの監視(K1,K2)が、機能計算機(FR)において実行可能であることを特徴とする、プロセッサ。
【請求項15】
請求項14に記載のプロセッサを監視する方法であって、機能計算機(FR)と監視計算機(UR)が物理的に互いに独立しており、監視計算機(UR)が互いに独立した2つのモニタリング装置(MU1,MU2)を含み、各モニタリング装置(MU1,MU2)により適当なモニタリング素子(ME1,ME2)を用いて、機能計算機(FR)のプログラム指令の規則正しい処理を監視するためのそれぞれ1つの監視(K1,K2)が、機能計算機(FR)において実行されることを特徴とする、方法。
【図1】
【図2】
【図2】
【公表番号】特表2013−514498(P2013−514498A)
【公表日】平成25年4月25日(2013.4.25)
【国際特許分類】
【出願番号】特願2012−546360(P2012−546360)
【出願日】平成22年12月20日(2010.12.20)
【国際出願番号】PCT/DE2010/001492
【国際公開番号】WO2011/072662
【国際公開日】平成23年6月23日(2011.6.23)
【出願人】(503355292)コンティ テミック マイクロエレクトロニック ゲゼルシャフト ミット ベシュレンクテル ハフツング (79)
【氏名又は名称原語表記】Conti Temic microelectronic GmbH
【住所又は居所原語表記】Sieboldstrasse 19, D−90411 Nuernberg, Germany
【Fターム(参考)】
【公表日】平成25年4月25日(2013.4.25)
【国際特許分類】
【出願日】平成22年12月20日(2010.12.20)
【国際出願番号】PCT/DE2010/001492
【国際公開番号】WO2011/072662
【国際公開日】平成23年6月23日(2011.6.23)
【出願人】(503355292)コンティ テミック マイクロエレクトロニック ゲゼルシャフト ミット ベシュレンクテル ハフツング (79)
【氏名又は名称原語表記】Conti Temic microelectronic GmbH
【住所又は居所原語表記】Sieboldstrasse 19, D−90411 Nuernberg, Germany
【Fターム(参考)】
[ Back to top ]