制御装置における監視構想
本発明は、自動車の制御装置にある計算素子を監視する監視構想を開示し、計算素子が実質的に3つのプログラムモジュールを含み、それにより自動車の走行挙動が影響を受ける。計算素子がプロセッサ上に構成され、プロセッサが実質的に機能計算機(FR)及び機能計算機(FR)から物理的に独立した監視計算機(UR)を含み、監視計算機(UR)が再び2つの互いに独立したモニタリング装置(MU1,MU2)を含んでいる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、独立請求項の上位概念に記載の計算素子を監視する方法、計算素子、プロセッサ及び監視素子に関する。
【0002】
自動車において使用するための計算素子を持つ制御装置を個々には安全でなく自身では安全に形成する種々の構想が存在する。制御装置の自身の安全性を得る可能性は3面構想の監視である。
【背景技術】
【0003】
ドイツ連邦共和国特許出願公開第4438714号明細書から、車両の駆動装置を制御する装置が公知である。この場合出力を制御する制御装置はただ1つの計算素子しか持っていない。計算素子は遮断バスの制御及び監視を行う。制御及び監視を行うために、互いに独立した2つの面がただ1つの計算素子に設けられ、第1の面において出力制御機能が求められ、第2の面において特に監視モジュールとの共同動作でこれらの機能従って計算素子自体の動作能力が監視されることによって、作動の確実性及び利用可能性が保証される。
【0004】
更にドイツ連邦共和国特許出願公開第4438714号明細書には、第2の面の経過監視を行う第3の面が記載されている。第3の面によるこの監視は、制御装置の信頼性及び利用可能性を著しく高める。特に監視モジュールにおいて、経過監視が質問−回答通信として実行される
【0005】
三面監視構想(EGAS構想)は、なるべく車両の機関制御装置において、電子機関制御システムの監視のために使用される。その際機関制御装置は、いわゆる機能計算機及び監視計算機から成っている。機能計算機と監視計算機は、質問−回答方法を介して通信する。更にそれは別個の遮断バスを使用できる。
【0006】
面1は、車両の駆動装置の機能を制御する固有の機能モジュールを含んでいる。従ってこの面は機能面とも称される。この面は、特に要求される機関トルクを変換する機関制御機能、部品監視、入力量及び出力量の診断、及び欠陥が検出される場合におけるシステム反応の制御を含んでいる。面1は機能計算機上に構成される。
【0007】
機能監視面とも称される面2は安全モジュールを含み、同様に機能計算機上に構成される。この面は、面1の機能モジュールの監視に関連する周囲の欠陥のある経過を、特に計算されるトルク又は車両加速度の監視によって検出する。欠陥がある場合、例えば安全に関連する最終段の遮断のようなシステム反応の開始が行われる。
【0008】
面2は、機能計算機の面3により保護されているハードウエア範囲において実行される。計算機監視面とも称される面3は、指令集合テスト、プログラム流れ監視、A/D変換器テスト、及び面2の周期的及び完全なメモリテストを持つ独立した機能計算機上の監視モジュールを含んでいる。監視モジュールは機能計算機上に構成される。機能計算機から独立した監視計算機は、質問−回答方法により、機能計算機のプログラム指令の規則正しい処理をテストする。欠陥がある場合、機能計算機には関係なく、システム反応の始動が行われる。
【0009】
現在の電子機関制御システムでは、全機能及び監視ソフトウエアは制御装置に統合されている。監視構想は別の車両制御装置特に変速機制御装置においても実現可能である。
【0010】
従来技術から公知の監視構想では、監視計算機が、機能計算機にあるただ1つの監視装置(モニタリング装置)により、1つより多いプログラム流れ監視を行う。その際この1つの監視装置は、個々のプログラム流れ監視からの個別回答を同期化し、個々の回答を1つの全体回答にまとめねばならない。回答の同期化及びまとめの際、誤りが生じることがある。
【発明の概要】
【発明が解決しようとする課題】
【0011】
従って自動車制御装置にある計算素子を監視する公知の方法を改良するという課題が与えられる。
【課題を解決するための手段】
【0012】
本発明によれば、この課題は独立請求項1の特徴を持つ方法によって解決される。
【0013】
自動車制御装置にある本発明による計算素子は、実質的に3つのソフトウエアプログラムモジュール、即ち自動車の機能を制御する機能モジュール、機能モジュールを検査する安全モジュール、及び安全モジュールを検査する監視モジュールを含んでいる。
【0014】
本発明の核心は、監視モジュールがソフトウエアとして構成される2つの互いに独立したモニタリング素子を含み、各モニタリング素子がハードウエアとして構成されるそれぞれ1つのモニタリング装置に付属していることである。
【0015】
それにより時間的に全く異なるソフトウエアタスクが監視される。両方の正しい回答が正しいタイムスロットにおいて与えられる時にのみ、安全にとって危険なバスが解釈される。
【0016】
特に制御装置の投入により、計算素子において、付属するモニタ装置を構成するそれぞれ1つのいわゆる状態機械が運転される。状態機械は、複数の状態、状態移行及び動作から成る行動モデルである。1つの状態は過去についての情報を記憶している。それは、システム開始から現在の時点までの入力の変化を反映する。状態移行は、状態機械の状態の変化を示し、移行を可能にするために満たさねばならない論理条件を記述する。動作は、特定の状況において行われる状態機械の出力である。
【0017】
両方の状態機械が順調に運転されている時、両方のモニタリング装置は、それぞれのモニタリング素子により、計算素子の監視を引受ける。
【0018】
第1のモニタリング装置が、第1のモニタリング素子により、安全モジュールにおける第1の監視として、特にメモリテスト及びプログラム流れ監視を行う。更に第2のモニタリング装置が、第2のモニタリング素子により、監視モジュールにおける第2の監視として、特に指令集合テスト及びA/D変換器テストを行う。有利なように、それぞれの監視がいわゆるテストバスにおいて行われる。
【0019】
誤りが生じると、機能計算機又は監視計算機が例えば安全に関連する最終段を正確に遮断できることを、遮断バステストが特に保証する。
【0020】
1つの監視に誤りが生じると、それぞれ1つの誤りカウンタが操作され、機能モジュールとは無関係に、自由にプログラム可能な誤り反応閾値を超過すると、システム反応が監視計算機により開始される。
【0021】
このようなシステム反応は、例えば車道の非常停止線上でとうやら停止するのを可能にする限られた非常走行モードへ車両をもたらすことができる。
【0022】
その際安全性を高めるため、誤り係数が有利なように非対称に実行され、即ち質問−回答方法において誤った回答の際2回上方へ計数され、これに反し正しい回答の際1回だけ下方へ計数される。
【0023】
制御装置の初期化の際、計算素子において適当なモニタリング装置が構成されるのがよい。この過程においてそれぞれ他のパラメータのほかに、例えば質問−回答方法の回答時間及び回答タイムスロットと、安全に関連する最終段の遮断閾値及びリセット解除を含めてリセット閾値が規定される。その際パラメータはモニタリング装置毎に互いに全く異なっていてもよい。しかし両方のモニタリング装置を同じに構成することも考えられる。
【0024】
適当なモニタリング装置の構成が適当なINIT状態においてのみ可能であり、1つの状態機械において所定の状態移行のみが許されると、特に有利である。更にINIT状態への戻りが、状態RESETを経てのみ行われる。それにより後で意識的に又は無意識にパラメータが変化されることがあるのを防止される。
【0025】
本発明の別の課題は、従来技術に比べて改善された、自動車の制御装置にある前述した監視計算素子を持つプロセッサを提示することである。
【0026】
本発明によればこの課題は、独立請求項12の特徴を持つプロセッサにより解決される。
【0027】
詳細に上述したように、制御装置の計算素子が大体において3つのプログラムモジュール、機能モジュール、安全モジュール及び監視モジュールを含み、計算素子がプロセッサに構成される。プロセッサは特に機能計算機と監視計算機に細分され、機能モジュール、安全モジュール及び監視モジュールが機能計算機に構成される。監視計算機は、通常インタフェースを介する質問−回答方法により、機能計算機と通信する。
【0028】
本発明の核心は、機能計算機と監視計算機が物理的に互いに独立しており、監視計算機が互いに無関係な2つのモニタリング装置を含んでいることである。機能計算機のプログラム指令の規則正しい処理を監視するために、機能計算機において、各モニタリング装置により、それぞれ1つの監視が実行可能である。それにより監視方法を有利に促進し、更に一層安全に実施することができる。
【0029】
以下の説明において、本発明の特徴及び詳細が、添付図面に関連して実施例により詳細に説明される。その際個々の変形例において説明される特徴及び関連は、基本的にすべての実施例に転用可能である。
【図面の簡単な説明】
【0030】
【図1】 モジュール(ソフトウエア)及び計算機(ハードウエア)に細分される3面構想を示す。
【図2】 状態、移行及び条件を持つ状態機械を示す。
【発明を実施するための形態】
【0031】
鎖線及び破線の縁を持つ図1の枠はそれぞれハードウエア成分を示し、実線の縁を持つ枠はそれぞれソフトウエア成分を示す。枠の間の直線矢印それぞれデータ交換を示す。
【0032】
図1は、例えば自動車における機関制御装置又は変速機制御装置において使用されるように、実質的にEGAS構想から周知の3面監視モデルを示す。
【0033】
第1の鎖線の枠はプロセッサの機能計算機FRを示す。第2の鎖線の枠はプロセッサの監視計算機URを示す。機能計算機FRと監視計算機URは、物理的に互いに独立してプロセッサに設けられている。監視計算機URは例えばASICとして構成することができる。3つのプログラムモジュール即ち機能モジュールE1、安全モジュールE2及び監視モジュールE3は、機能計算機ERに構成される。
【0034】
機能モジュールE1は、機能面とも称されるEGAS構想の面E1を示す。それは特に車両の駆動装置の機能制御に用いられ、上述したように、特に要求される機関トルクを変換するための例えば機関制御機能、部品監視、入力量及び出力量の診断、及び誤りが検出される場合システム反応の制御を含んでいる。
【0035】
安全モジュールE2は、機能監視面とも称されるEGAS構想の面2を示す。それは、面1の機能モジュールE1の監視に関連する範囲の誤りのある経過を検出する。特に計算されるトルク又は例えば車両加速度が監視される。誤りが生じると、特にシステム反応の始動が行われる。安全モジュールE2が、まず監視モジュールE3により保護される機能計算機FRのハードウエア範囲において実行される。
【0036】
監視モジュールE3は、計算機監視面とも称されるEGAS構想の面3を示す。監視モジュールE3は、特に監視計算機URとは独立した機能計算機FRに構成される。監視計算機URは、例えば少なくとも1つの質問−回答方法によって、機能計算機FRのプログラム指令の規則正しい処理を検査する。誤りが生じると、特にシステム反応の始動が機能計算機FRに関係なく行われる。
【0037】
監視計算機URは実質的に2つの互いに独立したモニタリング装置MU1,MU2を含んでいる。各モニタリング装置MU1,MU2に、安全モジュールE3の監視K1,K2のための適当なモニタリング素子ME1,ME2が構成される。
【0038】
こうして例えば第1のモニタリング装置MU1が、第1のモニタリング素子ME1により、第1の監視K1として、安全モジュールE2にある第1のテストバスTP1を介して、メモリテスト及びプログラム流れ監視を行う。
【0039】
これに並行して監視K1とは無関係に、第2のモニタリング装置MU2が、第2のモニタリング素子ME2により、第2の監視K2として、監視モジュールE3にある第2のテストバスTP2を介して、なるべく指令集合テスト及びA/D変換器テストを行う。第2の監視K2は、第1のモニタリング装置MU1においても、第1のモニタリング素子ME1により第1のテストバスTP1を介して行うこともできる。
【0040】
特に前記のプログラム流れ監視は、モニタリング装置MU1,MU2と機能計算機FRとの間の質問−回答方法として行われる。適当な質問は、例えばモニタリング素子ME1,ME2に付属する質問発生器FGにおいて発生される。両方の質問発生器FGは同じに構成されているが、質問の選択は偶然に行われる。従ってモニタリング装置MU1による質問とモニタリング装置MU2による質問は、実際には常に異なっている。
【0041】
監視K1,K2に誤りが生じると、有利なようにそれぞれ1つの誤りカウンタが高くセットされる。自由にプログラム可能な適当な誤り反応閾値を超過すると、特に監視モジュールE3により、機能モジュールE1に関係なくシステム反応が開始される。自由にプログラム可能な誤り反応閾値は、例えば安全に関連する最終段の遮断又は機能計算機FRのリセットのように、種々のシステム反応のために異なっていてもよい。モニタリング装置MU1,MU2の1つがリセットを発生すると、状態機械SM1,SM2及び機能計算機FRを含むシステム全体がリセットされる。しかしモニタリング装置MU1に誤りがある場合にのみリセットが開始され、モニタリング装置MU2に誤りがある場合安全に関連する最終段のみが遮断されるように、構成することもできる。
【0042】
更に誤り反応としてのリセット指令の発生を、選択的に可能にするか又は阻止することができる。
【0043】
監視計算機URの出力端は、有利なように相補的に構成されている。例えばチップ破壊又はいわゆるラッチアップ即ち半導体素子の低抵抗状態への移行により、例えばASICとして構成される監視計算機URが全故障する場合、監視計算機URのすべての出力端が同時に高レベル又は低レベルにあることを前提とする。この場合相補的な出力端は、図示しない外部回路と共に、システムの安全バス従ってシステムの安全に関連する最終段が遮断されるようにする。外部回路は、例えば抵抗及びトランジスタから成り、相補的な出力端の組合わせのみが安全に関連する最終段を使用可能にする。
【0044】
図2は状態機械を示す。状態機械は僅かなハードウエア費用で有利に実現可能である。状態機械のこの実施例は、ソフトウエアとして構成される状態機械より速くかつ確実で故障が少ない。更にそれは操作可能でない。明細書の始めにおいて既に述べたように状態機械は、複数の状態、状態移行及び動作から成る行動モデルである。状態は過去についての情報を記憶する。この状態は、システム開始から現在の時点までの入力の変化を再現する。状態移行は状態機械の状態の変化を示し、移行を可能にするために満たされねばならない論理的条件によって記述される。動作は、特定の状況において行われる状態機械の出力である。状態機械は、ディジタル回路において、主として記憶プログラム可能な制御素子、論理ゲート、フリップフロップ又はリレーにより実現可能である。ハードウエアを実現するため、一般に状態変数を記憶するレジスタ、状態移行を選択する論理装置、及び出力の権限を持つ別の論理装置が使用される。各モニタリング素子ME1,ME2に、特に状態機械SM1、SM2が付属している。
【0045】
制御装置の初期化の際又はリセット後、INIT状態がとられる。INIT状態においてモニタリング装置MU1,MU2が、機能モジュールE1により、監視計算機URと機能計算機FRとの間の通信インタフェースを介して構成される。その際特に回答時間、回答タイムスロット、誤り反応閾値、特に遮断閾値thresh及びリセット閾値reset threshが規定される。
【0046】
状態機械SM1,SM2の実行の際規定される回答時間は、大体において自由に構成可能であり、通常1ms〜255msの範囲にある。
【0047】
特に回答タイムスロットも状態機械に規定され、一次的に1ms〜255msの範囲にある。回答時間と回答タイムスロットとの関係は特に自由に規定可能である。
【0048】
更に誤りカウンタの初期値は、誤りカウンタがINIT状態において遮断されたままであるのを確実にするため、自動的に遮断閾値threshより上に設定される。動作EOI(初期状態の終了)により、モニタリング素子ME1,ME2の構成が終了され、もはや変化不可能である。それにより状態SOPCDIS(遮断バステスト不能)への状態移行が行われ、ここでSOPCは遮断バステストであり、誤りが生じる時、機能計算機又は監視計算機が例えば安全に関する出力最終段を正しく遮断できることを、遮断バステストは保証することができる。この状態で出力最終段はまだ解放されていない。
【0049】
遮断バステストの際、状態機械において状態SOPCDIS及びSOPCENAがとられる。第1段階で最終段が遮断され、第2段階で使用可能にされる。この解決策の利点は、遮断バステスト中に回答タイムスロットを考慮することなくできるだけ速く、回答を送ることができることである。それによりシステム立上がり時間を短く保つことができる。
【0050】
状態SOPCDISへ達することにより、特にSOPCタイマが始動されて、指令EOSOPC(SOPCの終了)まで時間を測定する。テストが長く続きすぎると、テストは中断され、状態SOPCDISが動作SOPC timeoutを経て状態RESETへ移行する。
【0051】
状態SOPCDISにおいて、テストのできるだけ速い経過を保証するため、監視計算機URと機能計算機FRとの間の質問−回答動作サイクルが、なるべく時間制限なしに始まる。即ち回答タイムスロットが空いている。誤った回答の場合、誤りカウンタが高められる。誤りカウンタが遮断閾値threshより下にあると、条件EC<disablethreshにより,状態SOPCENA(遮断バステスト可能)への移行が特に直ちに行われる。それにより出力最終段が解放される。
【0052】
状態SOPCDISから状態DISABLEへの移行は、機能計算機FRと監視計算機URとの間の通信インタフェースにより始動される条件EOSOPC(遮断バステストの終了)を介して行われる。状態SOPCDISにおいて規定されるように、出力最終段は阻止又は遮断されたままである。ただ1つの条件は、条件SOPC timeoutの経過前の正しい指令である。
【0053】
特に状態SOPCDISから始まって状態SOPCENAへ達すると、SOPCタイマが有利なように更に動作する。監視計算機URと機能計算機FRとの間の質問−回答動作サイクルも同様に時間的制限なしに続行される。誤りカウンタが遮断閾値threshに達するか又はこれを超過すると、特に条件EC≧disable threshにより状態SOPCDISへ戻る移行が行われる。
【0054】
遮断バステストが長く続きすぎると、このテストが中断され、状態SOPCENAが条件SOPC timeoutを経て状態RESETへ移行される。それに続く状態RESETから状態INITへの移行は自動的に行われる。
【0055】
状態SOPCENAから状態NORMALへの移行は、通信インタフェースにより再び開始される条件EOSOPCを経て行われる。
【0056】
出力最終段が既に前の状態で既に解放されていない限り、状態NORMALにおいて出力最終段が解放される。この状態で監視計算機URと機能計算機FRとの間の質問−回答動作サイクルが続行され、その際誤りカウンタの計数が前の状態から引継がれる。遮断バステストの状態COPCENA及びSOPCDISとは異なり、この場合回答時間及び回答タイムスロットに関して時間的制限があるのがよい。機能計算機の作動システムの実行時間監視を保証するために、回答は早すぎても遅すぎてもいけない。回答時間は、回答を送信するためのできるだけ遅い時点である。第2としていわゆる“クローズトウインドウ”が構成される。この範囲において回答が送信されてはならない。回答時間と“クローズトウインドウ”との差は“オープンウインドウ”又は回答タイムスロットを生じる。
【0057】
回答時間及び回答タイムスロットはまず状態INITにおいてプログラムされている。誤りカウンタは、有利なように誤った回答の際にも回答時間又は回答タイムスロットを超過する際にも高められる。遮断閾値threshに達するか又はこれを超過すると、条件EC≧disable threshにより状態DISABLEへの移行が行われる。
【0058】
状態DISABLEにおいて出力最終段が遮断される。この状態で、監視計算機URと機能計算機FRとの間の質問−回答動作サイクルが不変な計数状態で続行される。この場合も、回答時間及び回答タイムスロットに関して時間的制限がある。誤った回答の際にも回答時間又は回答タイムスロットを超過する際にも、誤りカウンタが高められる。閾値threshを下回ると、条件EC<disable threshにより状態NORMALへ戻る移行が行われる。状態NORMALにおいて最終段が再び使用可能にされる。
【0059】
状態DISABLEにおいて誤りカウンタがリセット閾値reset threshに達して、リセット使用可能用のレジスタが予め設定された値1を持つと、条件EC≧reset thresh AND i_req_rst_en=1により状態RESETへの移行が行われる。続いて状態RESETから状態INITへの移行が再び自動的に行われる。
【0060】
状態機械において全過程を一層速く形成するために、状態機械において状態SOPCENAを抜かすことができる。その場合一層速い遮断バステストが行われない。
【0061】
両方の状態機械が首尾よく運転されている場合、NORMAL状態にある両方のモニタリング装置は、それぞれのモニタリング素子により、計算素子の監視を引受ける。
【0062】
要約すれば、自動車の制御装置にある計算素子を監視するための本発明による監視構想が、公知の監視構想に比べて、速さ、プログラム費用及び確実さに関して改善を示していると結論することができる。
【技術分野】
【0001】
本発明は、独立請求項の上位概念に記載の計算素子を監視する方法、計算素子、プロセッサ及び監視素子に関する。
【0002】
自動車において使用するための計算素子を持つ制御装置を個々には安全でなく自身では安全に形成する種々の構想が存在する。制御装置の自身の安全性を得る可能性は3面構想の監視である。
【背景技術】
【0003】
ドイツ連邦共和国特許出願公開第4438714号明細書から、車両の駆動装置を制御する装置が公知である。この場合出力を制御する制御装置はただ1つの計算素子しか持っていない。計算素子は遮断バスの制御及び監視を行う。制御及び監視を行うために、互いに独立した2つの面がただ1つの計算素子に設けられ、第1の面において出力制御機能が求められ、第2の面において特に監視モジュールとの共同動作でこれらの機能従って計算素子自体の動作能力が監視されることによって、作動の確実性及び利用可能性が保証される。
【0004】
更にドイツ連邦共和国特許出願公開第4438714号明細書には、第2の面の経過監視を行う第3の面が記載されている。第3の面によるこの監視は、制御装置の信頼性及び利用可能性を著しく高める。特に監視モジュールにおいて、経過監視が質問−回答通信として実行される
【0005】
三面監視構想(EGAS構想)は、なるべく車両の機関制御装置において、電子機関制御システムの監視のために使用される。その際機関制御装置は、いわゆる機能計算機及び監視計算機から成っている。機能計算機と監視計算機は、質問−回答方法を介して通信する。更にそれは別個の遮断バスを使用できる。
【0006】
面1は、車両の駆動装置の機能を制御する固有の機能モジュールを含んでいる。従ってこの面は機能面とも称される。この面は、特に要求される機関トルクを変換する機関制御機能、部品監視、入力量及び出力量の診断、及び欠陥が検出される場合におけるシステム反応の制御を含んでいる。面1は機能計算機上に構成される。
【0007】
機能監視面とも称される面2は安全モジュールを含み、同様に機能計算機上に構成される。この面は、面1の機能モジュールの監視に関連する周囲の欠陥のある経過を、特に計算されるトルク又は車両加速度の監視によって検出する。欠陥がある場合、例えば安全に関連する最終段の遮断のようなシステム反応の開始が行われる。
【0008】
面2は、機能計算機の面3により保護されているハードウエア範囲において実行される。計算機監視面とも称される面3は、指令集合テスト、プログラム流れ監視、A/D変換器テスト、及び面2の周期的及び完全なメモリテストを持つ独立した機能計算機上の監視モジュールを含んでいる。監視モジュールは機能計算機上に構成される。機能計算機から独立した監視計算機は、質問−回答方法により、機能計算機のプログラム指令の規則正しい処理をテストする。欠陥がある場合、機能計算機には関係なく、システム反応の始動が行われる。
【0009】
現在の電子機関制御システムでは、全機能及び監視ソフトウエアは制御装置に統合されている。監視構想は別の車両制御装置特に変速機制御装置においても実現可能である。
【0010】
従来技術から公知の監視構想では、監視計算機が、機能計算機にあるただ1つの監視装置(モニタリング装置)により、1つより多いプログラム流れ監視を行う。その際この1つの監視装置は、個々のプログラム流れ監視からの個別回答を同期化し、個々の回答を1つの全体回答にまとめねばならない。回答の同期化及びまとめの際、誤りが生じることがある。
【発明の概要】
【発明が解決しようとする課題】
【0011】
従って自動車制御装置にある計算素子を監視する公知の方法を改良するという課題が与えられる。
【課題を解決するための手段】
【0012】
本発明によれば、この課題は独立請求項1の特徴を持つ方法によって解決される。
【0013】
自動車制御装置にある本発明による計算素子は、実質的に3つのソフトウエアプログラムモジュール、即ち自動車の機能を制御する機能モジュール、機能モジュールを検査する安全モジュール、及び安全モジュールを検査する監視モジュールを含んでいる。
【0014】
本発明の核心は、監視モジュールがソフトウエアとして構成される2つの互いに独立したモニタリング素子を含み、各モニタリング素子がハードウエアとして構成されるそれぞれ1つのモニタリング装置に付属していることである。
【0015】
それにより時間的に全く異なるソフトウエアタスクが監視される。両方の正しい回答が正しいタイムスロットにおいて与えられる時にのみ、安全にとって危険なバスが解釈される。
【0016】
特に制御装置の投入により、計算素子において、付属するモニタ装置を構成するそれぞれ1つのいわゆる状態機械が運転される。状態機械は、複数の状態、状態移行及び動作から成る行動モデルである。1つの状態は過去についての情報を記憶している。それは、システム開始から現在の時点までの入力の変化を反映する。状態移行は、状態機械の状態の変化を示し、移行を可能にするために満たさねばならない論理条件を記述する。動作は、特定の状況において行われる状態機械の出力である。
【0017】
両方の状態機械が順調に運転されている時、両方のモニタリング装置は、それぞれのモニタリング素子により、計算素子の監視を引受ける。
【0018】
第1のモニタリング装置が、第1のモニタリング素子により、安全モジュールにおける第1の監視として、特にメモリテスト及びプログラム流れ監視を行う。更に第2のモニタリング装置が、第2のモニタリング素子により、監視モジュールにおける第2の監視として、特に指令集合テスト及びA/D変換器テストを行う。有利なように、それぞれの監視がいわゆるテストバスにおいて行われる。
【0019】
誤りが生じると、機能計算機又は監視計算機が例えば安全に関連する最終段を正確に遮断できることを、遮断バステストが特に保証する。
【0020】
1つの監視に誤りが生じると、それぞれ1つの誤りカウンタが操作され、機能モジュールとは無関係に、自由にプログラム可能な誤り反応閾値を超過すると、システム反応が監視計算機により開始される。
【0021】
このようなシステム反応は、例えば車道の非常停止線上でとうやら停止するのを可能にする限られた非常走行モードへ車両をもたらすことができる。
【0022】
その際安全性を高めるため、誤り係数が有利なように非対称に実行され、即ち質問−回答方法において誤った回答の際2回上方へ計数され、これに反し正しい回答の際1回だけ下方へ計数される。
【0023】
制御装置の初期化の際、計算素子において適当なモニタリング装置が構成されるのがよい。この過程においてそれぞれ他のパラメータのほかに、例えば質問−回答方法の回答時間及び回答タイムスロットと、安全に関連する最終段の遮断閾値及びリセット解除を含めてリセット閾値が規定される。その際パラメータはモニタリング装置毎に互いに全く異なっていてもよい。しかし両方のモニタリング装置を同じに構成することも考えられる。
【0024】
適当なモニタリング装置の構成が適当なINIT状態においてのみ可能であり、1つの状態機械において所定の状態移行のみが許されると、特に有利である。更にINIT状態への戻りが、状態RESETを経てのみ行われる。それにより後で意識的に又は無意識にパラメータが変化されることがあるのを防止される。
【0025】
本発明の別の課題は、従来技術に比べて改善された、自動車の制御装置にある前述した監視計算素子を持つプロセッサを提示することである。
【0026】
本発明によればこの課題は、独立請求項12の特徴を持つプロセッサにより解決される。
【0027】
詳細に上述したように、制御装置の計算素子が大体において3つのプログラムモジュール、機能モジュール、安全モジュール及び監視モジュールを含み、計算素子がプロセッサに構成される。プロセッサは特に機能計算機と監視計算機に細分され、機能モジュール、安全モジュール及び監視モジュールが機能計算機に構成される。監視計算機は、通常インタフェースを介する質問−回答方法により、機能計算機と通信する。
【0028】
本発明の核心は、機能計算機と監視計算機が物理的に互いに独立しており、監視計算機が互いに無関係な2つのモニタリング装置を含んでいることである。機能計算機のプログラム指令の規則正しい処理を監視するために、機能計算機において、各モニタリング装置により、それぞれ1つの監視が実行可能である。それにより監視方法を有利に促進し、更に一層安全に実施することができる。
【0029】
以下の説明において、本発明の特徴及び詳細が、添付図面に関連して実施例により詳細に説明される。その際個々の変形例において説明される特徴及び関連は、基本的にすべての実施例に転用可能である。
【図面の簡単な説明】
【0030】
【図1】 モジュール(ソフトウエア)及び計算機(ハードウエア)に細分される3面構想を示す。
【図2】 状態、移行及び条件を持つ状態機械を示す。
【発明を実施するための形態】
【0031】
鎖線及び破線の縁を持つ図1の枠はそれぞれハードウエア成分を示し、実線の縁を持つ枠はそれぞれソフトウエア成分を示す。枠の間の直線矢印それぞれデータ交換を示す。
【0032】
図1は、例えば自動車における機関制御装置又は変速機制御装置において使用されるように、実質的にEGAS構想から周知の3面監視モデルを示す。
【0033】
第1の鎖線の枠はプロセッサの機能計算機FRを示す。第2の鎖線の枠はプロセッサの監視計算機URを示す。機能計算機FRと監視計算機URは、物理的に互いに独立してプロセッサに設けられている。監視計算機URは例えばASICとして構成することができる。3つのプログラムモジュール即ち機能モジュールE1、安全モジュールE2及び監視モジュールE3は、機能計算機ERに構成される。
【0034】
機能モジュールE1は、機能面とも称されるEGAS構想の面E1を示す。それは特に車両の駆動装置の機能制御に用いられ、上述したように、特に要求される機関トルクを変換するための例えば機関制御機能、部品監視、入力量及び出力量の診断、及び誤りが検出される場合システム反応の制御を含んでいる。
【0035】
安全モジュールE2は、機能監視面とも称されるEGAS構想の面2を示す。それは、面1の機能モジュールE1の監視に関連する範囲の誤りのある経過を検出する。特に計算されるトルク又は例えば車両加速度が監視される。誤りが生じると、特にシステム反応の始動が行われる。安全モジュールE2が、まず監視モジュールE3により保護される機能計算機FRのハードウエア範囲において実行される。
【0036】
監視モジュールE3は、計算機監視面とも称されるEGAS構想の面3を示す。監視モジュールE3は、特に監視計算機URとは独立した機能計算機FRに構成される。監視計算機URは、例えば少なくとも1つの質問−回答方法によって、機能計算機FRのプログラム指令の規則正しい処理を検査する。誤りが生じると、特にシステム反応の始動が機能計算機FRに関係なく行われる。
【0037】
監視計算機URは実質的に2つの互いに独立したモニタリング装置MU1,MU2を含んでいる。各モニタリング装置MU1,MU2に、安全モジュールE3の監視K1,K2のための適当なモニタリング素子ME1,ME2が構成される。
【0038】
こうして例えば第1のモニタリング装置MU1が、第1のモニタリング素子ME1により、第1の監視K1として、安全モジュールE2にある第1のテストバスTP1を介して、メモリテスト及びプログラム流れ監視を行う。
【0039】
これに並行して監視K1とは無関係に、第2のモニタリング装置MU2が、第2のモニタリング素子ME2により、第2の監視K2として、監視モジュールE3にある第2のテストバスTP2を介して、なるべく指令集合テスト及びA/D変換器テストを行う。第2の監視K2は、第1のモニタリング装置MU1においても、第1のモニタリング素子ME1により第1のテストバスTP1を介して行うこともできる。
【0040】
特に前記のプログラム流れ監視は、モニタリング装置MU1,MU2と機能計算機FRとの間の質問−回答方法として行われる。適当な質問は、例えばモニタリング素子ME1,ME2に付属する質問発生器FGにおいて発生される。両方の質問発生器FGは同じに構成されているが、質問の選択は偶然に行われる。従ってモニタリング装置MU1による質問とモニタリング装置MU2による質問は、実際には常に異なっている。
【0041】
監視K1,K2に誤りが生じると、有利なようにそれぞれ1つの誤りカウンタが高くセットされる。自由にプログラム可能な適当な誤り反応閾値を超過すると、特に監視モジュールE3により、機能モジュールE1に関係なくシステム反応が開始される。自由にプログラム可能な誤り反応閾値は、例えば安全に関連する最終段の遮断又は機能計算機FRのリセットのように、種々のシステム反応のために異なっていてもよい。モニタリング装置MU1,MU2の1つがリセットを発生すると、状態機械SM1,SM2及び機能計算機FRを含むシステム全体がリセットされる。しかしモニタリング装置MU1に誤りがある場合にのみリセットが開始され、モニタリング装置MU2に誤りがある場合安全に関連する最終段のみが遮断されるように、構成することもできる。
【0042】
更に誤り反応としてのリセット指令の発生を、選択的に可能にするか又は阻止することができる。
【0043】
監視計算機URの出力端は、有利なように相補的に構成されている。例えばチップ破壊又はいわゆるラッチアップ即ち半導体素子の低抵抗状態への移行により、例えばASICとして構成される監視計算機URが全故障する場合、監視計算機URのすべての出力端が同時に高レベル又は低レベルにあることを前提とする。この場合相補的な出力端は、図示しない外部回路と共に、システムの安全バス従ってシステムの安全に関連する最終段が遮断されるようにする。外部回路は、例えば抵抗及びトランジスタから成り、相補的な出力端の組合わせのみが安全に関連する最終段を使用可能にする。
【0044】
図2は状態機械を示す。状態機械は僅かなハードウエア費用で有利に実現可能である。状態機械のこの実施例は、ソフトウエアとして構成される状態機械より速くかつ確実で故障が少ない。更にそれは操作可能でない。明細書の始めにおいて既に述べたように状態機械は、複数の状態、状態移行及び動作から成る行動モデルである。状態は過去についての情報を記憶する。この状態は、システム開始から現在の時点までの入力の変化を再現する。状態移行は状態機械の状態の変化を示し、移行を可能にするために満たされねばならない論理的条件によって記述される。動作は、特定の状況において行われる状態機械の出力である。状態機械は、ディジタル回路において、主として記憶プログラム可能な制御素子、論理ゲート、フリップフロップ又はリレーにより実現可能である。ハードウエアを実現するため、一般に状態変数を記憶するレジスタ、状態移行を選択する論理装置、及び出力の権限を持つ別の論理装置が使用される。各モニタリング素子ME1,ME2に、特に状態機械SM1、SM2が付属している。
【0045】
制御装置の初期化の際又はリセット後、INIT状態がとられる。INIT状態においてモニタリング装置MU1,MU2が、機能モジュールE1により、監視計算機URと機能計算機FRとの間の通信インタフェースを介して構成される。その際特に回答時間、回答タイムスロット、誤り反応閾値、特に遮断閾値thresh及びリセット閾値reset threshが規定される。
【0046】
状態機械SM1,SM2の実行の際規定される回答時間は、大体において自由に構成可能であり、通常1ms〜255msの範囲にある。
【0047】
特に回答タイムスロットも状態機械に規定され、一次的に1ms〜255msの範囲にある。回答時間と回答タイムスロットとの関係は特に自由に規定可能である。
【0048】
更に誤りカウンタの初期値は、誤りカウンタがINIT状態において遮断されたままであるのを確実にするため、自動的に遮断閾値threshより上に設定される。動作EOI(初期状態の終了)により、モニタリング素子ME1,ME2の構成が終了され、もはや変化不可能である。それにより状態SOPCDIS(遮断バステスト不能)への状態移行が行われ、ここでSOPCは遮断バステストであり、誤りが生じる時、機能計算機又は監視計算機が例えば安全に関する出力最終段を正しく遮断できることを、遮断バステストは保証することができる。この状態で出力最終段はまだ解放されていない。
【0049】
遮断バステストの際、状態機械において状態SOPCDIS及びSOPCENAがとられる。第1段階で最終段が遮断され、第2段階で使用可能にされる。この解決策の利点は、遮断バステスト中に回答タイムスロットを考慮することなくできるだけ速く、回答を送ることができることである。それによりシステム立上がり時間を短く保つことができる。
【0050】
状態SOPCDISへ達することにより、特にSOPCタイマが始動されて、指令EOSOPC(SOPCの終了)まで時間を測定する。テストが長く続きすぎると、テストは中断され、状態SOPCDISが動作SOPC timeoutを経て状態RESETへ移行する。
【0051】
状態SOPCDISにおいて、テストのできるだけ速い経過を保証するため、監視計算機URと機能計算機FRとの間の質問−回答動作サイクルが、なるべく時間制限なしに始まる。即ち回答タイムスロットが空いている。誤った回答の場合、誤りカウンタが高められる。誤りカウンタが遮断閾値threshより下にあると、条件EC<disablethreshにより,状態SOPCENA(遮断バステスト可能)への移行が特に直ちに行われる。それにより出力最終段が解放される。
【0052】
状態SOPCDISから状態DISABLEへの移行は、機能計算機FRと監視計算機URとの間の通信インタフェースにより始動される条件EOSOPC(遮断バステストの終了)を介して行われる。状態SOPCDISにおいて規定されるように、出力最終段は阻止又は遮断されたままである。ただ1つの条件は、条件SOPC timeoutの経過前の正しい指令である。
【0053】
特に状態SOPCDISから始まって状態SOPCENAへ達すると、SOPCタイマが有利なように更に動作する。監視計算機URと機能計算機FRとの間の質問−回答動作サイクルも同様に時間的制限なしに続行される。誤りカウンタが遮断閾値threshに達するか又はこれを超過すると、特に条件EC≧disable threshにより状態SOPCDISへ戻る移行が行われる。
【0054】
遮断バステストが長く続きすぎると、このテストが中断され、状態SOPCENAが条件SOPC timeoutを経て状態RESETへ移行される。それに続く状態RESETから状態INITへの移行は自動的に行われる。
【0055】
状態SOPCENAから状態NORMALへの移行は、通信インタフェースにより再び開始される条件EOSOPCを経て行われる。
【0056】
出力最終段が既に前の状態で既に解放されていない限り、状態NORMALにおいて出力最終段が解放される。この状態で監視計算機URと機能計算機FRとの間の質問−回答動作サイクルが続行され、その際誤りカウンタの計数が前の状態から引継がれる。遮断バステストの状態COPCENA及びSOPCDISとは異なり、この場合回答時間及び回答タイムスロットに関して時間的制限があるのがよい。機能計算機の作動システムの実行時間監視を保証するために、回答は早すぎても遅すぎてもいけない。回答時間は、回答を送信するためのできるだけ遅い時点である。第2としていわゆる“クローズトウインドウ”が構成される。この範囲において回答が送信されてはならない。回答時間と“クローズトウインドウ”との差は“オープンウインドウ”又は回答タイムスロットを生じる。
【0057】
回答時間及び回答タイムスロットはまず状態INITにおいてプログラムされている。誤りカウンタは、有利なように誤った回答の際にも回答時間又は回答タイムスロットを超過する際にも高められる。遮断閾値threshに達するか又はこれを超過すると、条件EC≧disable threshにより状態DISABLEへの移行が行われる。
【0058】
状態DISABLEにおいて出力最終段が遮断される。この状態で、監視計算機URと機能計算機FRとの間の質問−回答動作サイクルが不変な計数状態で続行される。この場合も、回答時間及び回答タイムスロットに関して時間的制限がある。誤った回答の際にも回答時間又は回答タイムスロットを超過する際にも、誤りカウンタが高められる。閾値threshを下回ると、条件EC<disable threshにより状態NORMALへ戻る移行が行われる。状態NORMALにおいて最終段が再び使用可能にされる。
【0059】
状態DISABLEにおいて誤りカウンタがリセット閾値reset threshに達して、リセット使用可能用のレジスタが予め設定された値1を持つと、条件EC≧reset thresh AND i_req_rst_en=1により状態RESETへの移行が行われる。続いて状態RESETから状態INITへの移行が再び自動的に行われる。
【0060】
状態機械において全過程を一層速く形成するために、状態機械において状態SOPCENAを抜かすことができる。その場合一層速い遮断バステストが行われない。
【0061】
両方の状態機械が首尾よく運転されている場合、NORMAL状態にある両方のモニタリング装置は、それぞれのモニタリング素子により、計算素子の監視を引受ける。
【0062】
要約すれば、自動車の制御装置にある計算素子を監視するための本発明による監視構想が、公知の監視構想に比べて、速さ、プログラム費用及び確実さに関して改善を示していると結論することができる。
【特許請求の範囲】
【請求項1】
自動車の制御装置にある計算素子を監視する方法であって、計算素子が実質的に3つのプログラムモジュールを含み、これらのプログラムモジュールにより自動車の走行挙動が影響され、計算素子が、プログラムモジュールにより、少なくとも1つの入力量に関係して、自動車の少なくとも1つの機能を制御する少なくとも1つの量を発生し、
第1のプログラムモジュールが自動車の機能を制御する機能モジュール(E1)であり、
第2のプログラムモジュールが機能モジュール(E1)を検査する安全モジュール(E2)であり、
第3のプログラムモジュールが安全モジュール(E2)を少なくとも検査する監視モジュール(E3)である
ものにおいて、
監視モジュール(E3)が互いに独立して2つのモニタリング素子(ME1,ME2)を含み、制御装置の投入により計算素子において、付属するモニタリング装置(MU1,MU2)を構成するそれぞれ1つの状態機械(SM1,SM2)が運転され、両方の状態機械(SM1,SM2)が首尾よく運転されていると、モニタリング装置(MU1,MU2)が、それぞれのモニタリング素子(ME1,ME2)により監視機能を引受ける
事を特徴とする方法。
【請求項2】
第1のモニタリング装置(MU1)が、第1のモニタリング素子(ME1)により、安全モジュール(E2)における第1の監視(K1)を行い、第2のモニタリング装置(MU2)が、第2のモニタリング素子(ME2)により、テストバス(TP1,TP2)にある監視モジュール(E3)における第2の監視(K2)を行うことを特徴とする、請求項2に記載の方法。
【請求項3】
第1のモニタリング装置(MU1)が、安全モジュール(E2)における第1の監視(K1)として、メモリテスト及びプログラム流れ監視を行うことを特徴とする、請求項1又は2に記載の方法。
【請求項4】
第2のモニタリング装置(MU2)が、監視モジュール(E3)における第2の監視として、指令集合テスト及びA−D変換器テストを行うことを特徴とする、請求項1又は2に記載の方法。
【請求項5】
監視(K1,K2)に誤りが生じると、誤りカウンタが操作され、監視モジュール(E3)が自由にプログラム可能な誤り反応閾値(thresh,reset thresh)を超過すると、システム反応が機能モジュール(E1)とは無関係に始動されることを特徴とする、先行する請求項の1つに記載の方法。
【請求項6】
制御装置の初期化の際、計算素子において適当なモニタリング装置(MU1,MU2)を構成すると、他のパラメータのほかに、応答時間、応答タイムスロット、遮断閾値(thresh)及びリセット閾値(reset thresh)が規定され、パラメータがモニタリング装置(MU1,MU2)毎に互いに相違していてもよいことを特徴とする、先行する請求項の1つに記載の方法。
【請求項7】
両方のモニタリング装置(MU1,MU2)が同じに構成されることを特徴とする、先行する請求項の1つに記載の方法。
【請求項8】
付属する状態機械(SM1,SM2)における適当なモニタリング装置(MU1,MU2)の構成が1つの適当なINIT状態においてのみ可能であることを特徴とする、先行する請求項の1つに記載の方法。
【請求項9】
状態機械(SM1,SM2)において所定の状態移行のみが許され、INITへの戻りがリセットによってのみ行われることを特徴とする、先行する請求項の1つに記載の方法。
【請求項10】
誤り係数が非対称に行われることを特徴とする、先行する請求項の1つに記載の方法。
【請求項11】
請求項1に記載の方法を実施する計算素子であって、計算素子が実質的に3つのプログラムモジュールを含み、これらのプログラムモジュールにより自動車の走行挙動が影響され、プログラムモジュールにより計算素子が、少なくとも1つの入力量に関係して、自動車の少なくとも1つの機能を制御する少なくとも1つの量を発生し、
第1のプログラムモジュールが自動車の機能を制御する機能モジュール(E1)であり、
第2のプログラムモジュールが機能モジュール(E1)を検査する安全モジュール(E2)であり、
第3のプログラムモジュールが安全モジュール(E2)を検査する監視モジュール(E3)であるものにおいて、
監視モジュール(E3)が付属するモニタリング装置(MU1,MU2)を構成する2つの独立したモニタリング素子(ME1,ME2)を含んでいる
ことを特徴とする、計算素子。
【請求項12】
請求項11に記載の計算素子を持つプロセッサであって、プロセッサが実質的に機能計算機(FR)及び監視計算機(UR)を含み、機能モジュール(E1)、安全モジュール(E2)及び監視モジュール(E3)が機能計算機(FR)上に構成され、監視計算機(UR)が、インタフェースを介して質問−回答方法により機能計算機(FR)と通信するものにおいて、機能計算機(FR)と監視計算機(UR)が物理的に互いに独立しており、監視計算機(UR)が互いに無関係な2つのモニタリング装置(MU1,MU2)を含み、各モニタリング装置(MU1,MU2)により、機能計算機(FR)のプログラム指令の規則正しい処理を監視するためのそれぞれ1つの監視(K1,K2)が、機能計算機(FR)において実行可能であることを特徴とする、プロセッサ。
【請求項13】
請求項12に記載の監視計算機(UR)であって、監視計算機(UR)が互いに独立した2つのモニタリング装置(MU1,MU2)を含み、各モニタリング装置(MU1,MU2)により、機能計算機(FR)のプログラム指令の規則正しい処理を監視するためのそれぞれ1つの監視(K1,K2)が、機能計算機(FR)において実行されることを特徴とする、監視計算機。
【請求項1】
自動車の制御装置にある計算素子を監視する方法であって、計算素子が実質的に3つのプログラムモジュールを含み、これらのプログラムモジュールにより自動車の走行挙動が影響され、計算素子が、プログラムモジュールにより、少なくとも1つの入力量に関係して、自動車の少なくとも1つの機能を制御する少なくとも1つの量を発生し、
第1のプログラムモジュールが自動車の機能を制御する機能モジュール(E1)であり、
第2のプログラムモジュールが機能モジュール(E1)を検査する安全モジュール(E2)であり、
第3のプログラムモジュールが安全モジュール(E2)を少なくとも検査する監視モジュール(E3)である
ものにおいて、
監視モジュール(E3)が互いに独立して2つのモニタリング素子(ME1,ME2)を含み、制御装置の投入により計算素子において、付属するモニタリング装置(MU1,MU2)を構成するそれぞれ1つの状態機械(SM1,SM2)が運転され、両方の状態機械(SM1,SM2)が首尾よく運転されていると、モニタリング装置(MU1,MU2)が、それぞれのモニタリング素子(ME1,ME2)により監視機能を引受ける
事を特徴とする方法。
【請求項2】
第1のモニタリング装置(MU1)が、第1のモニタリング素子(ME1)により、安全モジュール(E2)における第1の監視(K1)を行い、第2のモニタリング装置(MU2)が、第2のモニタリング素子(ME2)により、テストバス(TP1,TP2)にある監視モジュール(E3)における第2の監視(K2)を行うことを特徴とする、請求項2に記載の方法。
【請求項3】
第1のモニタリング装置(MU1)が、安全モジュール(E2)における第1の監視(K1)として、メモリテスト及びプログラム流れ監視を行うことを特徴とする、請求項1又は2に記載の方法。
【請求項4】
第2のモニタリング装置(MU2)が、監視モジュール(E3)における第2の監視として、指令集合テスト及びA−D変換器テストを行うことを特徴とする、請求項1又は2に記載の方法。
【請求項5】
監視(K1,K2)に誤りが生じると、誤りカウンタが操作され、監視モジュール(E3)が自由にプログラム可能な誤り反応閾値(thresh,reset thresh)を超過すると、システム反応が機能モジュール(E1)とは無関係に始動されることを特徴とする、先行する請求項の1つに記載の方法。
【請求項6】
制御装置の初期化の際、計算素子において適当なモニタリング装置(MU1,MU2)を構成すると、他のパラメータのほかに、応答時間、応答タイムスロット、遮断閾値(thresh)及びリセット閾値(reset thresh)が規定され、パラメータがモニタリング装置(MU1,MU2)毎に互いに相違していてもよいことを特徴とする、先行する請求項の1つに記載の方法。
【請求項7】
両方のモニタリング装置(MU1,MU2)が同じに構成されることを特徴とする、先行する請求項の1つに記載の方法。
【請求項8】
付属する状態機械(SM1,SM2)における適当なモニタリング装置(MU1,MU2)の構成が1つの適当なINIT状態においてのみ可能であることを特徴とする、先行する請求項の1つに記載の方法。
【請求項9】
状態機械(SM1,SM2)において所定の状態移行のみが許され、INITへの戻りがリセットによってのみ行われることを特徴とする、先行する請求項の1つに記載の方法。
【請求項10】
誤り係数が非対称に行われることを特徴とする、先行する請求項の1つに記載の方法。
【請求項11】
請求項1に記載の方法を実施する計算素子であって、計算素子が実質的に3つのプログラムモジュールを含み、これらのプログラムモジュールにより自動車の走行挙動が影響され、プログラムモジュールにより計算素子が、少なくとも1つの入力量に関係して、自動車の少なくとも1つの機能を制御する少なくとも1つの量を発生し、
第1のプログラムモジュールが自動車の機能を制御する機能モジュール(E1)であり、
第2のプログラムモジュールが機能モジュール(E1)を検査する安全モジュール(E2)であり、
第3のプログラムモジュールが安全モジュール(E2)を検査する監視モジュール(E3)であるものにおいて、
監視モジュール(E3)が付属するモニタリング装置(MU1,MU2)を構成する2つの独立したモニタリング素子(ME1,ME2)を含んでいる
ことを特徴とする、計算素子。
【請求項12】
請求項11に記載の計算素子を持つプロセッサであって、プロセッサが実質的に機能計算機(FR)及び監視計算機(UR)を含み、機能モジュール(E1)、安全モジュール(E2)及び監視モジュール(E3)が機能計算機(FR)上に構成され、監視計算機(UR)が、インタフェースを介して質問−回答方法により機能計算機(FR)と通信するものにおいて、機能計算機(FR)と監視計算機(UR)が物理的に互いに独立しており、監視計算機(UR)が互いに無関係な2つのモニタリング装置(MU1,MU2)を含み、各モニタリング装置(MU1,MU2)により、機能計算機(FR)のプログラム指令の規則正しい処理を監視するためのそれぞれ1つの監視(K1,K2)が、機能計算機(FR)において実行可能であることを特徴とする、プロセッサ。
【請求項13】
請求項12に記載の監視計算機(UR)であって、監視計算機(UR)が互いに独立した2つのモニタリング装置(MU1,MU2)を含み、各モニタリング装置(MU1,MU2)により、機能計算機(FR)のプログラム指令の規則正しい処理を監視するためのそれぞれ1つの監視(K1,K2)が、機能計算機(FR)において実行されることを特徴とする、監視計算機。
【図1】
【図2】
【図2】
【公表番号】特表2013−514497(P2013−514497A)
【公表日】平成25年4月25日(2013.4.25)
【国際特許分類】
【出願番号】特願2012−546359(P2012−546359)
【出願日】平成22年12月20日(2010.12.20)
【国際出願番号】PCT/DE2010/001490
【国際公開番号】WO2011/072661
【国際公開日】平成23年6月23日(2011.6.23)
【出願人】(503355292)コンティ テミック マイクロエレクトロニック ゲゼルシャフト ミット ベシュレンクテル ハフツング (79)
【氏名又は名称原語表記】Conti Temic microelectronic GmbH
【住所又は居所原語表記】Sieboldstrasse 19, D−90411 Nuernberg, Germany
【Fターム(参考)】
【公表日】平成25年4月25日(2013.4.25)
【国際特許分類】
【出願日】平成22年12月20日(2010.12.20)
【国際出願番号】PCT/DE2010/001490
【国際公開番号】WO2011/072661
【国際公開日】平成23年6月23日(2011.6.23)
【出願人】(503355292)コンティ テミック マイクロエレクトロニック ゲゼルシャフト ミット ベシュレンクテル ハフツング (79)
【氏名又は名称原語表記】Conti Temic microelectronic GmbH
【住所又は居所原語表記】Sieboldstrasse 19, D−90411 Nuernberg, Germany
【Fターム(参考)】
[ Back to top ]