[go: up one dir, main page]

DE2842392C2 - Monitoring device for program-controlled devices - Google Patents

Monitoring device for program-controlled devices

Info

Publication number
DE2842392C2
DE2842392C2 DE19782842392 DE2842392A DE2842392C2 DE 2842392 C2 DE2842392 C2 DE 2842392C2 DE 19782842392 DE19782842392 DE 19782842392 DE 2842392 A DE2842392 A DE 2842392A DE 2842392 C2 DE2842392 C2 DE 2842392C2
Authority
DE
Germany
Prior art keywords
program
input
flop
monitoring device
controlled
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired
Application number
DE19782842392
Other languages
German (de)
Other versions
DE2842392A1 (en
Inventor
Jörg Ing.(grad.) 7518 Bretten Birmelin
Georg 8431 Berg Haubner
Günther Dipl.-Ing. 7251 Ditzingen Hönig
Uwe Dr.-Ing. 7140 Ludwigsburg Kiencke
Akfred Dipl.-Ing. 7141 Oberriexingen Schulz
Manfred Dipl.-Phys. Dr. 7016 Gerlingen Schwab
Jürgen Dipl.-Ing. 8500 Nürnberg Wesemeyer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE19782842392 priority Critical patent/DE2842392C2/en
Priority to JP12426379A priority patent/JPS5569810A/en
Priority to US06/080,520 priority patent/US4287565A/en
Publication of DE2842392A1 publication Critical patent/DE2842392A1/en
Application granted granted Critical
Publication of DE2842392C2 publication Critical patent/DE2842392C2/en
Priority to JP1987121545U priority patent/JPS6397106U/ja
Expired legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Safety Devices In Control Systems (AREA)
  • Debugging And Monitoring (AREA)

Description

Die Erfindung geht aus von einer Überwachungseinrichtung nach der Gattung des Hauptanspruches.The invention is based on a monitoring device according to the preamble of the main claim.

Es ist bekannt, bei programmgesteuerten Vorrichtungen Überwachungseinrichtungen vorzusehen, die einen ordnungsgemäßen Ablauf des Programms überwachen. Hierzu ist es beispielsweise bekannt, sogenannte Testprogramme ablaufen zu lassen, bei denen alle Funktionen der programmgesteuerten Vorrichtung nachgebildet werden. Je nach Art des dabei auftretenden Fehlersignals ist es dann möglich, den Fehler im Programm zu lokalisieren. Diese Art der Überwachung hat jedoch den Nachteil, daß die programmgesteuerte Vorrichtung für die Dauer der Überwachung durch das Testprogramm vollständig beansprucht wird, was insbesondere bei solchen Vorrichtungen, bei denen eine ununterbrochene Verarbeitung der Daten von Wichtigkeit ist, zu Schwierigkeiten führen kann.It is known to provide monitoring devices for program-controlled devices that monitor the correct execution of the program. For example, it is known to run so-called test programs in which all functions of the program-controlled device are simulated. Depending on the type of error signal that occurs, it is then possible to localize the error in the program. However, this type of monitoring has the disadvantage that the program-controlled device is completely occupied by the test program for the duration of the monitoring, which can lead to difficulties, particularly in devices where uninterrupted processing of the data is important.

Es ist weiterhin bekannt, programmgesteuerte Vorrichtungen derart zu überwachen, daß bei jedem Programmdurchlauf ein Kontrollimpuls gesetzt wird, um ein vollständiges Durchlaufen des Programms anzuzeigen. Verwendet man jedoch ein derartiges Kontrollsignal zur laufenden Überwachung der Vorrichtung, kann dies ohne Einsatz weiterer Mittel dazu führen, daß die Vorrichtung auch bei kurzzeitigen Störungen außer Betrieb gesetzt wird.It is also known to monitor program-controlled devices in such a way that a control pulse is set each time the program is run through in order to indicate that the program has been run through completely. However, if such a control signal is used to continuously monitor the device, this can lead to the device being put out of operation even in the event of brief disturbances without the use of further means.

Dies ist jedoch insbesondere bei solchen programmgesteuerten Vorrichtungen von Nachteil, die in stark störverseuchter Umgebung arbeiten, beispielsweise von Mikroprozessoren gesteuerten Systemen in Kraftfahrzeugen. Bei diesen müssen aus Sicherheitsgründen Überwachungseinrichtungen vorgesehen werden, die eine Fehlererkennung aufweisen, die bei Ausfall oder Störung der Steuerung des Fahrzeuges durch Auslösen von Sicherungen einen sicheren Betriebszustand des Kraftfahrzeuges herbeiführen und eventuell für nicht sicherheitskritische Systemfunktionen eine Notfunktion starten, die eine Weiterfahrt zur nächsten Werkstatt gestatten. Da dieser Störfall mit erheblichen Kosten für den Anwender verbunden ist, ist es notwendig, das Ansprechen derartiger Überwachungseinrichtungen auf die Fälle zu beschränken, in denen das Steuergerät nicht mehr funktionsfähig ist. Der Ausfall eines der eingangs geschilderten Kontrollimpulse ist hierfür jedoch kein sicheres Kriterium, da aufgrund der in Kraftfahrzeugen auftretenden unverhältnismäßig hohen Störpegel kurzzeitige, nicht systembedingte Betriebsstörungen und damit Ausfälle von Kontrollimpulsen möglich sind, die ihre Ursache jedoch nicht in einer Funktionsunfähigkeit des Steuergerätes haben.However, this is particularly disadvantageous for program-controlled devices that operate in environments with high levels of interference, such as microprocessor-controlled systems in motor vehicles. For safety reasons, monitoring devices must be provided for these devices that have error detection, which, in the event of a failure or malfunction of the vehicle control system, bring about a safe operating state of the vehicle by triggering fuses and possibly start an emergency function for non-safety-critical system functions that allow the vehicle to continue to the nearest workshop. Since this type of malfunction entails considerable costs for the user, it is necessary to limit the response of such monitoring devices to cases in which the control unit is no longer functional. The failure of one of the control pulses described at the beginning is not a reliable criterion for this, however, since the disproportionately high levels of interference that occur in motor vehicles mean that short-term, non-system-related operational malfunctions and thus failures of control pulses are possible, although these are not caused by the control unit not being functional.

Aus der Zeitschrift Elektronik-Praxis, Nr. 6, Juni 1978, Seiten 16, 18, ist eine Überwachungsschaltung bekannt, mit der es möglich ist, dann einen Rücksetzimpuls für den Mikroprozessor abzugeben, wenn während eines Programmdurchlaufs wenigstens ein Kontrollsignal ausbleibt. Durch das Rücksetzsignal wird dann ein neuer Programmdurchlauf gestartet. Eine so ausgebildete Überwachung ist zwar in vielen Fällen hinreichend, erfüllt jedoch nicht immer alle Anforderungen, die an eine Überwachungseinrichtung, insbesondere in Kraftfahrzeugen, gestellt wird.A monitoring circuit is known from the magazine Elektronik-Praxis, No. 6, June 1978, pages 16 and 18, which makes it possible to issue a reset pulse for the microprocessor if at least one control signal is missing during a program run. The reset signal then starts a new program run. Monitoring designed in this way is sufficient in many cases, but does not always meet all the requirements placed on a monitoring device, particularly in motor vehicles.

Es ist daher Aufgabe der Erfindung, die vorbekannte Überwachungseinrichtung so weiterzubilden, daß die Betriebssicherheit von mikroprozessorgesteuerten Systemen, insbesondere in Kraftfahrzeugen, weiter erhöht wird. Diese Aufgabe wird durch die im Anspruch 1 gekennzeichneten Merkmale gelöst.It is therefore the object of the invention to further develop the previously known monitoring device in such a way that the operational reliability of microprocessor-controlled systems, in particular in motor vehicles, is further increased. This object is achieved by the features characterized in claim 1.

Die erfindungsgemäße Überwachungseinrichtung mit den kennzeichnenden Merkmalen des Hauptanspruchs hat demgegenüber den Vorteil, daß eine synchrone Auslösung des Programmdurchlaufs ermöglicht wird, so daß der Programmablauf zu definierten Zeitpunkten beginnt.The monitoring device according to the invention with the characterizing features of the main claim has the advantage that a synchronous triggering of the program run is possible, so that the program run begins at defined times.

Ausführungsbeispiele der Erfindung sind in der Zeichnung dargestellt und in der nachfolgenden Beschreibung näher erläutert. Es zeigtEmbodiments of the invention are shown in the drawing and explained in more detail in the following description. It shows

Fig. 1 den Stromlaufplan einer Überwachungseinrichtung; Fig. 1 shows the circuit diagram of a monitoring device;

Fig. 2 den Stromlaufplan einer RESTART-Schaltung. Fig. 2 shows the circuit diagram of a RESTART circuit.

In Fig. 1 ist mit 10 eine programmgesteuerte Vorrichtung, beispielsweise ein von Mikroprozessoren gesteuertes System in einem Kraftfahrzeug, dargestellt. Die programmgesteuerte Vorrichtung 10 weist eine zu jedem Zeitpunkt setzbare monostabile Kippstufe (sogenanntes retriggerbares Monoflop) 101 auf. Eine derartige monostabile Kippstufe 101 hat die Eigenschaft, im gesetzten Zustand zu verharren, wenn während der Standzeit weitere Setzimpulse angelegt werden. Dabei wird von jedem neuen Setzimpuls die monostabile Kippstufe 101 wiederum für die gesamte Standzeit gesetzt. Dies bedeutet, daß die monostabile Kippstufe 101 nur dann abfällt, wenn während einer Zeit, die größer als die Standzeit ist, einmal kein neuer Setzimpuls angelegt wird. Der invertierte Ausgang ≙ der monostabilen Kippstufe 101 ist mit dem Setzeingang S einer weiteren monostabilen Kippstufe 11 sowie dem Takteingang eines JK-Flipflops 13, das als Koinzidenzschaltung 12 dient, verbunden. Der Ausgang des JK-Flipflops 13 ist an einen Eingang eines ODER-Gatters 14 angeschlossen, mit dessen Ausgang eine Notschalteinrichtung 15, im dargestellten Ausführungsbeispiel ein Schalter 16 mit Ruhekontakt, ansteuerbar ist. Der J-Eingang des JK-Flipflops 13 ist an den Ausgang Q der weiteren monostabilen Kippstufe 11 angeschlossen, der gleichzeitig mit einem invertierten Eingang eines UND-Gatters 17 verbunden ist. Ein weiterer invertierter Eingang des UND-Gatters 17 ist mit dem Ausgang Q der monostabilen Kippstufe 101 verbunden. Dieser ist weiterhin über ein RC-Glied 18, 19 an einen Eingang eines NAND- Gatters 20 gelegt, dessen zweiter Eingang mit dem invertierten Ausgang ≙ der monostabilen Kippstufe 101 verbunden ist. Der Ausgang des NAND-Gatters 20 ist mit einem Eingang (RESTART-Eingang) 102 der programmgesteuerten Vorrichtung 10 verbunden, über den der programmgesteuerten Vorrichtung 10 Schaltbefehle für einen erneuten Durchlauf des Programms zuführbar sind. Es ist weiterhin ein aus einem RC-Glied 22, 23 bestehendes Zeitglied vorgesehen, das über eine Klemme 21 mit der Versorgungsspannung der Überwachungseinrichtung beschaltbar ist und dessen Ausgang über einen Invertierer 24 mit einem dritten invertierten Eingang des UND-Gatters 17 sowie dem Reset-Eingang R des JK-Flipflops 13 verbunden ist. Schließlich ist ein dritter Eingang des ODER-Gatters 14 auf eine Klemme 25 geführt.In Fig. 1, 10 represents a program-controlled device, for example a system in a motor vehicle controlled by microprocessors. The program-controlled device 10 has a monostable flip-flop (so-called retriggerable monoflop) 101 that can be set at any time. Such a monostable flip-flop 101 has the property of remaining in the set state if further setting pulses are applied during the idle time. The monostable flip-flop 101 is again set for the entire idle time by each new setting pulse. This means that the monostable flip-flop 101 only drops out if no new setting pulse is applied for a time that is longer than the idle time. The inverted output ≙ the monostable multivibrator 101 is connected to the set input S of a further monostable multivibrator 11 and to the clock input of a JK flip-flop 13 , which serves as a coincidence circuit 12. The output of the JK flip-flop 13 is connected to an input of an OR gate 14 , with the output of which an emergency switching device 15 , in the embodiment shown a switch 16 with a normally closed contact, can be controlled. The J input of the JK flip-flop 13 is connected to the output Q of the further monostable multivibrator 11 , which is simultaneously connected to an inverted input of an AND gate 17. Another inverted input of the AND gate 17 is connected to the output Q of the monostable multivibrator 101 . This is further connected via an RC element 18, 19 to an input of a NAND gate 20 , the second input of which is connected to the inverted output ≙ of the monostable multivibrator 101. The output of the NAND gate 20 is connected to an input (RESTART input) 102 of the program-controlled device 10 , via which switching commands for a new run of the program can be fed to the program-controlled device 10. A timing element consisting of an RC element 22, 23 is also provided, which can be connected to the supply voltage of the monitoring device via a terminal 21 and whose output is connected via an inverter 24 to a third inverted input of the AND gate 17 and the reset input R of the JK flip-flop 13. Finally, a third input of the OR gate 14 is led to a terminal 25 .

Die Wirkungsweise der in Fig. 1 dargestellten Vorrichtung ist wie folgt:The operation of the device shown in Fig. 1 is as follows:

Wie bereits ausgeführt, ist die monostabile Kippstufe 101 der programmgesteuerten Vorrichtung 10 als retriggerbares Monoflop ausgebildet, d. h., daß in ordnungsgemäßem Betrieb der programmgesteuerten Vorrichtung 10 dem Setzeingang S bei jedem Programmdurchlauf wenigstens ein Kontrollimpuls zugeführt wird, wobei die Standzeit der monostabilen Kippfstufe 101 größer als die Zykluszeit der Kontrollimpulse bemessen ist, so daß die monostabile Kippstufe 101 bei störungsfreiem Betrieb im gesetzten Zustand statisch verharrt. Am Ausgang Q liegt dann ein positives logisches Signal an, am invertierten Ausgang ≙ liegt ständig logisch 0. Fällt nun aufgrund irgendeiner Störung ein Kontrollimpuls aus, fällt die monostabile Kippstufe 101 ab und am invertierten Ausgang ≙ liegt logisch 1. Dadurch wird der Takteingang des JK -Flipflops 13 angesteuert und die weitere monostabile Kippstufe 11 gesetzt. Aufgrund der Verzögerung, mit der das Signal logisch 1 am Ausgang der weiteren monostabilen Kippstufe 11 erscheint, wird das JK-Flipflop 13 jedoch noch nicht gesetzt. Die Standzeit der weiteren monostabilen Kippstufe 11 ist wesentlich größer bemessen als die der monostabilen Kippstufe 101. Typischerweise beträgt beispielsweise die Zykluszeit der Kontrollimpulse 8 ms, die Standzeit der monostabilen Kippstufe 101 12 ms und die Standzeit der weiteren monostabilen Kippstufe 11 50 ms. Beim Abfallen der monostabilen Kippstufe 101 wird über das Funktionsglied, bestehend aus dem RC-Glied 18, 19 sowie dem NAND-Gatter 20, ein kurzer negativer Impuls erzeugt, der dem Eingang 102 der programmgesteuerten Vorrichtung 10 zugeführt wird und ein erneutes Starten des Programms bewirkt. Wird das Programm beim erneuten Durchlauf fehlerfrei durchlaufen, wird die monostabile Kippstufe 101 wieder gesetzt. Tritt jedoch ein erneuter Ausfall eines Kontrollimpulses während der durch die weitere monostabile Kippstufe 11 bestimmten Standzeit von beispielsweise 50 ms auf, erscheint am invertierten Ausgang ≙ der monostabilen Kippstufe 101eine Schaltflanke und das JK-Flipflop 13 wird nun umgeschaltet. In diesem Fall wird über das ODER-Gatter 14 die Notschalteinrichtung 15 betätigt. Beispielsweise kann der Schalter 16 mit einem Ruhekontakt aufgetrennt werden, der in der Stromversorgung der programmgesteuerten Vorrichtung 10 angeordnet ist. As already explained, the monostable flip-flop 101 of the program-controlled device 10 is designed as a retriggerable monoflop, i.e. when the program-controlled device 10 is operating properly, at least one control pulse is fed to the set input S each time the program is run through, the service life of the monostable flip-flop 101 being greater than the cycle time of the control pulses, so that the monostable flip-flop 101 remains statically in the set state during trouble-free operation. A positive logic signal is then present at the output Q , and the inverted output ≙ is constantly at logic 0. If a control pulse fails due to some kind of fault, the monostable flip-flop 101 drops out and the inverted output ≙ is at logic 1. This controls the clock input of the JK flip-flop 13 and sets the further monostable flip-flop 11 . However, due to the delay with which the logic 1 signal appears at the output of the additional monostable multivibrator 11 , the JK flip-flop 13 is not yet set. The service life of the additional monostable multivibrator 11 is significantly longer than that of the monostable multivibrator 101. Typically, for example, the cycle time of the control pulses is 8 ms, the service life of the monostable multivibrator 101 is 12 ms, and the service life of the additional monostable multivibrator 11 is 50 ms. When the monostable multivibrator 101 drops out, a short negative pulse is generated via the functional element consisting of the RC element 18, 19 and the NAND gate 20 , which is fed to the input 102 of the program-controlled device 10 and causes the program to start again. If the program runs through without errors when it is run through again, the monostable multivibrator 101 is set again. However, if a control pulse fails again during the standby time of, for example, 50 ms determined by the further monostable multivibrator 11 , a switching edge appears at the inverted output ≙ of the monostable multivibrator 101 and the JK flip-flop 13 is now switched over. In this case, the emergency switching device 15 is actuated via the OR gate 14. For example, the switch 16 can be separated with a break contact that is arranged in the power supply of the program-controlled device 10 .

Es ist jedoch auch möglich, daß nach erneutem Starten des Programms überhaupt kein weiterer Kontrollimpuls mehr auftritt. In diesem Falle bleibt der Ausgang Q der monostabilen Kippstufe 101 statisch auf 0, der Ausgang Q der weiteren monostabilen Kippstufe 11 geht nach deren Standzeit ebenfalls auf 0. Dies bedeutet, läßt man einmal den dritten invertierten Eingang außer Betracht, daß das UND-Gatter 17 durchschaltet und ebenfalls über das ODER-Gatter 14 die Notschaltfunktion auslöst.However, it is also possible that after restarting the program no further control pulse occurs at all. In this case, the output Q of the monostable flip-flop 101 remains statically at 0, the output Q of the other monostable flip-flop 11 also goes to 0 after its idle time. This means, if we ignore the third inverted input, that the AND gate 17 switches through and also triggers the emergency switching function via the OR gate 14 .

Handelt es sich jedoch beim ersten Ausfall des Kontrollimpulses um eine vorübergehende Störung, und treten während der Standzeit der weiteren monostabilen Kippstufe 11 keine weiteren Ausfälle mehr auf, werden beide Eingänge des JK-Flipflops 13 mit 0 beaufschlagt, so daß dieses nicht mehr umschaltet und auch die beiden ersten Eingänge des UND-Gatters 17 werden mit einem 0- bzw. 1-Signal beaufschlagt, so daß auch über das UND-Gatter 17 kein Auslösesignal mehr auf die Notschalteinrichtung 15 gelangt. Die Überwachungseinrichtung, die durch den Ausfall des ersten Kontrollimpulses gesetzt wurde, wird demnach in diesem Betriebsfall nach Ablauf der Standzeit der weiteren monostabilen Kippstufe 11 von selbst desaktiviert. Es ist außerdem möglich, ein Signal über die Klemme 25 dem dritten Eingang des ODER-Gatters 14 und dem PRESET-Eingang P des JK-Flipflops 13 zuzuführen, um die Notschalteinrichtung 15 in Abhängigkeit von anderen Kriterien anzusteuern.However, if the first failure of the control pulse is a temporary fault and no further failures occur during the service life of the additional monostable multivibrator 11 , both inputs of the JK flip-flop 13 are supplied with 0 so that it no longer switches over and the first two inputs of the AND gate 17 are also supplied with a 0 or 1 signal so that no more trigger signals reach the emergency switching device 15 via the AND gate 17. The monitoring device which was set by the failure of the first control pulse is therefore automatically deactivated in this operating case after the service life of the additional monostable multivibrator 11 has elapsed. It is also possible to supply a signal via terminal 25 to the third input of the OR gate 14 and the PRESET input P of the JK flip-flop 13 in order to control the emergency switching device 15 depending on other criteria.

Um zu vermeiden, daß die erfindungsgemäße Überwachungseinrichtung bei jeder Inbetriebnahme der programmgesteuerten Vorrichtung 10 anspricht, wird die Versorgungsspannung auf die Klemme 21 geführt und erzeugt über das Zeitglied, bestehend aus dem RC-Glied 22, 23 und dem Invertierer 24, für eine kurze Zeit ein positives logisches Signal. Dies bewirkt einerseits, daß das JK-Flipflop 13 über den Reset-Eingang R angesteuert wird und damit nicht umgeschaltet werden kann, andererseits ist durch einen dritten invertierten Eingang des UND-Gatters 17 gewährleistet, daß auch dieses während der Einschaltphase nicht umgeschaltet werden kann. Nach einer durch das RC-Glied 22, 23 bestimmten Zeit verschwindet das Signal am Ausgang des Invertierers 24 und die Überwachungseinrichtung kann in der oben beschriebenen Weise ausgelöst werden.In order to prevent the monitoring device according to the invention from responding every time the program-controlled device 10 is started up, the supply voltage is fed to terminal 21 and generates a positive logic signal for a short time via the timing element consisting of the RC element 22, 23 and the inverter 24. On the one hand, this means that the JK flip-flop 13 is controlled via the reset input R and thus cannot be switched over; on the other hand, a third inverted input of the AND gate 17 ensures that this cannot be switched over during the switch-on phase either. After a time determined by the RC element 22, 23, the signal at the output of the inverter 24 disappears and the monitoring device can be triggered in the manner described above.

Fig. 2 zeigt den Stromlaufplan einer RESTART-Schaltung, wie sie bei einer erfindungsgemäßen Überwachungseinrichtung verwendet werden kann. Ein die Kontrollimpulse führender Ausgang der programmgesteuerten Vorrichtung 10 ist an ein Differenzierglied, bestehend aus einem Kondensator 30 und einem Widerstand 31 angeschlossen, das mit der Basis eines Transistors 32 verbunden ist. Der Kollektor dieses Transistors 32 liegt über einen Widerstand 33 an einem RC-Glied, bestehend aus einem Kondensator 34 und einem Widerstand 35, die in Serie mit einem Widerstand 36 zwischen Masse und eine an eine Klemme 37 gelegte Bezugsspannung geschaltet sind. Die Reihenschaltung von Kondensator 34 und Widerstand 35 ist einmal mit einer Zenerdiode 38 und zum anderen mit einem Kondensator 39 überbrückt. Der Verbindungspunkt von Kondensator 34 und Widerstand 35 ist über eine Diode 40 mit der Basis eines Transistors 41 verbunden, der mit einem anderen Transistor 42 in Reihe zwischen Masse und den einen neuen Programmdurchlauf bewirkenden Eingang (RESTART-Eingang) 102 der programmgesteuerten Vorrichtung 10 geschaltet ist. Fig. 2 shows the circuit diagram of a RESTART circuit as can be used in a monitoring device according to the invention. An output of the program-controlled device 10 which carries the control pulses is connected to a differentiating element consisting of a capacitor 30 and a resistor 31 , which is connected to the base of a transistor 32. The collector of this transistor 32 is connected via a resistor 33 to an RC element consisting of a capacitor 34 and a resistor 35 , which are connected in series with a resistor 36 between ground and a reference voltage applied to a terminal 37. The series connection of capacitor 34 and resistor 35 is bridged on the one hand with a Zener diode 38 and on the other hand with a capacitor 39 . The connection point of capacitor 34 and resistor 35 is connected via a diode 40 to the base of a transistor 41 which is connected in series with another transistor 42 between ground and the input (RESTART input) 102 of the program-controlled device 10 which causes a new program run.

Die Wirkungsweise der in Fig. 2 dargestellten Schaltung ist wie folgt:The operation of the circuit shown in Fig. 2 is as follows:

Die bei ordnungsgemäßem Betrieb periodisch auftretenden Kontrollimpulse der programmgesteuerten Vorrichtung 10 werden differenziert und gelangen auf die Basis des Transistors 32, der dadurch periodisch durchgeschaltet wird und den Kondensator 34, der aus der an der Klemme 37 anliegenden Bezugsspannung aufladbar ist, periodisch entlädt. Die Kondensatorspannung überschreitet daher bei ordnungsgemäßem Betrieb der programmgesteuerten Vorrichtung 10 einen bestimmten Pegel nicht. Zum Schutz des RC-Gliedes 34, 35 gegen Störspannungsspitzen sind der Widerstand 36 sowie die Zenerdiode 38 und der Kondensator 39 vorgesehen. Die Spannung am Kondensator 34 wird über die Diode 40 auf die Basis des einen Transistors 41 übertragen. Bei ordnungsgemäßem Betrieb der programmgesteuerten Vorrichtung 10 ist der eine Transistor 41 gesperrt. Fällt jedoch ein Kontrollimpuls aus, steigt die Spannung am Kondensator 34 soweit an, daß der eine Transistor 41 durchgesteuert wird. Für einen erneuten Durchlauf des Programms ist ein kurzer negativer Impuls am RESTART-Eingang 102 erforderlich. Dies wird beispielsweise in einer programmgesteuerten Vorrichtung 10 in einem Kraftfahrzeug dadurch bewirkt, daß von einem Bezugsmarkengeber 43 kurzzeitig ein Impuls auf den anderen Transistor 42 übertragen wird. Ist der eine Transistor 41 aufgrund des Ausbleibens eines Kontrollimpulses durchgeschaltet, und wird der andere Transistor 42 durch den Bezugsmarkengeber 43 ebenfalls kurzzeitig durchgeschaltet, wird der RESTART-Eingang 102 kurzfristig mit Masse verbunden. Dies bewirkt einen erneuten Durchlauf des Programms in der programmgesteuerten Vorrichtung 10.The control pulses of the program-controlled device 10 , which occur periodically during proper operation, are differentiated and reach the base of the transistor 32 , which is thereby periodically switched through and periodically discharges the capacitor 34 , which can be charged from the reference voltage applied to the terminal 37. The capacitor voltage exceeds therefore, when the program-controlled device 10 is operating correctly, a certain level is not reached. The resistor 36 , the Zener diode 38 and the capacitor 39 are provided to protect the RC element 34, 35 against interference voltage peaks. The voltage on the capacitor 34 is transferred via the diode 40 to the base of one transistor 41. When the program-controlled device 10 is operating correctly, one transistor 41 is blocked. However, if a control pulse fails, the voltage on the capacitor 34 rises to such an extent that one transistor 41 is turned on. To run the program again, a short negative pulse on the RESTART input 102 is required. This is brought about, for example, in a program-controlled device 10 in a motor vehicle by a pulse being briefly transferred from a reference mark transmitter 43 to the other transistor 42 . If one transistor 41 is switched through due to the absence of a control pulse and the other transistor 42 is also briefly switched through by the reference mark transmitter 43 , the RESTART input 102 is briefly connected to ground. This causes the program in the program-controlled device 10 to run through again.

Claims (2)

1. Überwachungseinrichtung für programmgesteuerte Vorrichtungen für von Mikroprozessoren gesteuerte Systeme, insbesondere in Kraftfahrzeugen, bei denen während eines Programmdurchlaufs wenigstens ein Kontrollsignal abnehmbar ist und bei denen bei Ausbleiben des Kontrollsignals durch Auslösen eines Startsignals der Programmdurchlauf erneut auslösbar ist, dadurch gekennzeichnet, daß die erneute Auslösung des Programmdurchlaufs in Abhängigkeit von dem Signal eines mit dem System verbundenen Bezugsmarkengebers (43) durchführbar ist. 1. Monitoring device for program-controlled devices for systems controlled by microprocessors, in particular in motor vehicles, in which at least one control signal can be taken during a program run and in which, if the control signal is absent, the program run can be triggered again by triggering a start signal, characterized in that the renewed triggering of the program run can be carried out as a function of the signal from a reference mark transmitter ( 43 ) connected to the system. 2. Überwachungseinrichtung nach Anspruch 1, dadurch gekennzeichnet, daß die erneute Auslösung des Programmdurchlaufs von einer Serienschaltung zweier Transistoren (41, 42) bewirkt wird, von denen der eine Transistor (41) vom Startsignal und der andere Transistor (42) von dem Signal des Bezugsmarkengebers (43) ansteuerbar sind. 2. Monitoring device according to claim 1, characterized in that the renewed initiation of the program run is effected by a series connection of two transistors ( 41, 42 ), of which one transistor ( 41 ) can be controlled by the start signal and the other transistor ( 42 ) by the signal of the reference mark transmitter ( 43 ).
DE19782842392 1978-09-29 1978-09-29 Monitoring device for program-controlled devices Expired DE2842392C2 (en)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE19782842392 DE2842392C2 (en) 1978-09-29 1978-09-29 Monitoring device for program-controlled devices
JP12426379A JPS5569810A (en) 1978-09-29 1979-09-28 Supervisory unit for program control device
US06/080,520 US4287565A (en) 1978-09-29 1979-10-01 Monitoring system for program controlled apparatus
JP1987121545U JPS6397106U (en) 1978-09-29 1987-08-10

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19782842392 DE2842392C2 (en) 1978-09-29 1978-09-29 Monitoring device for program-controlled devices

Publications (2)

Publication Number Publication Date
DE2842392A1 DE2842392A1 (en) 1980-04-17
DE2842392C2 true DE2842392C2 (en) 1987-04-16

Family

ID=6050798

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19782842392 Expired DE2842392C2 (en) 1978-09-29 1978-09-29 Monitoring device for program-controlled devices

Country Status (2)

Country Link
JP (1) JPS5569810A (en)
DE (1) DE2842392C2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3800829C1 (en) * 1988-01-14 1989-05-24 Hella Kg Hueck & Co, 4780 Lippstadt, De

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2903638A1 (en) * 1979-01-31 1980-08-14 Bosch Gmbh Robert Microprocessor controlled safety monitor in motor vehicle - re-runs program to avoid erroneous operation due to parasitic disturbances
DE2846040C2 (en) * 1978-10-23 1986-01-16 Siemens AG, 1000 Berlin und 8000 München Circuit arrangement for monitoring the correct execution of a program and for outputting an error signal
DE2846053A1 (en) * 1978-10-23 1980-05-29 Siemens Ag Programme monitoring system for use with processors - has continuous check on programme cycle using decoded addresses which produce output on demand by memory-write signal
GB2087577B (en) * 1980-10-17 1985-05-09 Canon Kk Variable magnification photocopying
US5008712B1 (en) * 1980-10-17 1995-04-18 Canon Kk Variable magnification copying apparatus and automatic shutdown therefor
DE3151634A1 (en) * 1980-12-27 1982-07-08 Canon K.K., Tokyo "IMAGE GENERATION DEVICE"
DE3146735C2 (en) * 1981-11-25 1983-12-22 Zi Gesellschaft für Zeit- und Informationserfassung mbH, 8033 Martinsried Self-monitoring device for a digital, program-controlled sequence control circuit
JPS58201108A (en) * 1982-05-19 1983-11-22 Nissan Motor Co Ltd Monitoring device of electronic control system for vehicle using microcomputer
JPS5968004A (en) * 1982-10-12 1984-04-17 Honda Motor Co Ltd Fail-safe method for automotive computers
DE3339347A1 (en) * 1983-10-29 1985-05-15 Steag Ag, 4300 Essen METHOD FOR MONITORING A STORAGE PROGRAMMABLE CONTROLLER ON CYCLICAL OPERATION
DE3440555A1 (en) * 1984-11-07 1986-05-07 Robert Bosch Gmbh, 7000 Stuttgart Device for self-diagnosis of electronic apparatuses
DE4138015C2 (en) * 1991-11-19 1996-11-14 Ako Werke Gmbh & Co Circuit arrangement for monitoring the program flow of a microcomputer
US5590235A (en) * 1993-12-03 1996-12-31 Papst-Motoren Gmbh & Co. Kg DC motor control with periodic reset
DE4425758A1 (en) * 1994-07-21 1996-01-25 Ako Werke Gmbh & Co Hybrid program control device, in particular for household machines

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3566368A (en) * 1969-04-22 1971-02-23 Us Army Delta clock and interrupt logic
JPS5255347A (en) * 1975-10-30 1977-05-06 Nippon Denso Co Ltd Fail-safe system of control computer

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3800829C1 (en) * 1988-01-14 1989-05-24 Hella Kg Hueck & Co, 4780 Lippstadt, De

Also Published As

Publication number Publication date
DE2842392A1 (en) 1980-04-17
JPS5569810A (en) 1980-05-26

Similar Documents

Publication Publication Date Title
DE2842392C2 (en) Monitoring device for program-controlled devices
EP0185667B1 (en) Resetting circuit for a microprocessor
DE3315049C2 (en) Monitoring circuit for a control system with microcomputer
DE2109226C3 (en) Circuit arrangement for monitoring the function of the flame sensor
DE102004018966B4 (en) Series motor
DE4440127A1 (en) Motor vehicle IC engine management control device
DE10143454B4 (en) Device for controlling a vehicle
EP0052759B1 (en) Device by an electronic signal box for the power supply and telecontrol of switch drives
DE2903638C2 (en)
DE3926377C2 (en) Electronic control device for an internal combustion engine
DE3232513A1 (en) MONITORING TIMER
DE2804130A1 (en) ELECTRIC CONTROL CIRCUIT FOR MACHINES WITH PUSH BUTTON CONTROL
DE3502387C2 (en)
DE3886024T2 (en) Microprocessor based controller with synchronous reset.
EP1446576B1 (en) Starter device for an internal combustion engine
DE3731097C2 (en) Circuit arrangement for monitoring a device controlled by two microprocessors, in particular motor vehicle electronics
DE102007052512B3 (en) Control device for a safety switching device, safety switching device, use of a control device and method for controlling a safety switching device
EP0608524A2 (en) Device to operate a microprocessor
DE102015215847B3 (en) Device and method for increasing the functional safety in a vehicle.
DE3739227C2 (en)
EP0195457B1 (en) Apparatus for self-monitoring a circuit comprising a microprocessor
DE10238547A1 (en) Control system for fault correction in vehicle electronic units or sub-networks, interrupts energy feed to electronic unit(s) if it detects faulty function or unit failure, restarts after defined time
DE19715013A1 (en) Circuit for starting a machine or the like and method for controlling a start of a machine
DE19930994B4 (en) Circuit arrangement for monitoring relays in safety circuits with at least 3 relays
DE3800829C1 (en)

Legal Events

Date Code Title Description
8110 Request for examination paragraph 44
Q161 Has additional application no.

Ref document number: 2903638

Country of ref document: DE

AG Has addition no.

Ref country code: DE

Ref document number: 2903638

Format of ref document f/p: P

D2 Grant after examination
AG Has addition no.

Ref country code: DE

Ref document number: 2903638

Format of ref document f/p: P

8364 No opposition during term of opposition
AG Has addition no.

Ref country code: DE

Ref document number: 2903638

Format of ref document f/p: P

8339 Ceased/non-payment of the annual fee