[go: up one dir, main page]

DE60312859T2 - Verfahren und basis-schaltkreis zur überwachung des betriebs eines mikrokontrollers - Google Patents

Verfahren und basis-schaltkreis zur überwachung des betriebs eines mikrokontrollers Download PDF

Info

Publication number
DE60312859T2
DE60312859T2 DE60312859T DE60312859T DE60312859T2 DE 60312859 T2 DE60312859 T2 DE 60312859T2 DE 60312859 T DE60312859 T DE 60312859T DE 60312859 T DE60312859 T DE 60312859T DE 60312859 T2 DE60312859 T2 DE 60312859T2
Authority
DE
Germany
Prior art keywords
unit
microcontroller unit
microcontroller
memory area
base chip
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60312859T
Other languages
English (en)
Other versions
DE60312859D1 (de
Inventor
Martin Philips Int.Prop.& Standards WAGNER
Matthias Philips Int.Prop. & Standar MUTH
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NXP BV
Original Assignee
Philips Intellectual Property and Standards GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Philips Intellectual Property and Standards GmbH filed Critical Philips Intellectual Property and Standards GmbH
Application granted granted Critical
Publication of DE60312859D1 publication Critical patent/DE60312859D1/de
Publication of DE60312859T2 publication Critical patent/DE60312859T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/24Resetting means
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/004Error avoidance
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/073Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a memory management context, e.g. virtual memory or cache management
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Debugging And Monitoring (AREA)
  • Techniques For Improving Reliability Of Storages (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Selective Calling Equipment (AREA)

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zum Überwachen des Betriebs mindestens einer Mikrocontroller-Einheit, die für mindestens eine Anwendung vorgesehen und mit einem System nach dem Oberbegriff von Anspruch 1 verbunden ist (vgl. Dokument zum Stand der Technik DE 196 11 942 A1 ).
  • Die vorliegende Erfindung betrifft ferner einen Basis-Chip nach dem Oberbegriff von Anspruch 4 (vgl. Dokument zum Stand der Technik DE 196 11 942 A1 ) sowie ein verbundenes System, insbesondere ein Steuerungssystem.
  • In modernen Steuerungseinheiten, zum Beispiel in der Automobilelektronik, ist es nicht mehr üblich, dauerhaft vorprogrammierte Mikrocontroller zu verwenden, da das fest voreingestellte Programm bedeutet, dass dann während laufender Massenproduktion oder durch den Endkunden keine Veränderungen vorgenommen werden können. Hersteller von Kraftfahrzeugen gehen daher zunehmend zu der Praxis über, so genannte flüchtige Speicher oder Flash-Speicher in den Mikrocontrollern zu verwenden; flüchtige Speicher dieser Art ermöglichen, dass der Programmcode jederzeit überschrieben werden kann, was sowohl in der Produktion als auch in einer Werkstatt, z. B. als Teil einer Inspektion, ausgeführt werden kann.
  • Normalerweise wird bei Flash-Speichern dieser Art die Tatsache sehr stark als Nachteil empfunden, dass prinzipiell die Möglichkeit besteht, dass das Programm während der Lebensdauer des Kraftwagens teilweise oder sogar völlig verloren geht, und dass folglich die eingebrannte Software zu einem beliebigen Zeitpunkt versagen kann. Programmversagen dieser Art können dann bedeuten, dass eine Steuerungseinheit nicht mehr ordnungsgemäß in einen Zustand umgeschaltet werden kann, in dem sein Stromverbrauch auf einem reduzierten Niveau ist. Folglich unterliegt das Fahrzeug einem dauerhaften erhöhten Stromverbrauch auch in geparktem Zustand, d.h. wenn die Zündung ausgeschaltet ist, und dies entlädt die Batterie des Fahrzeugs und führt im schlimmsten Fall dazu, dass das Fahrzeug nicht mehr gestartet werden kann.
  • Da alle Steuerungseinheiten miteinander in Reihe verbunden sind, kann die Ernsthaftigkeit einer Fehlfunktion der oben beschriebenen Art sehr groß werden. Über die Verbindungen kann eine fehlerhafte Steuerungseinheit mit einem schadhaften Flash-Speicher dazu führen, dass das gesamte Kraftfahrzeug ständig „wach" ist, und kann auf diese Art zu einem extremen Stromverbrauch führen. Im Wesentlichen wird dasselbe Problem durch alle anderen zyklisch auftretenden Fehler verursacht, die eine ständige Rückstellung der Steuerungseinheit verursachen, wie z. B. ein Kurzschluss in der Versorgung (die eine durch das Anschalten einer Last usw. verursachte Unterspannung erzeugt) oder ähnliches.
  • Nach dem Stand der Technik werden nun Versuche gemacht, das Verhalten des Systems mit Hilfe eines so genannten „Wachhunds" (eines konfigurierbaren Taktgebers mit einem von einer unabhängigen Quelle stammenden Taktsignal) in der Steuerungseinheit zu erfassen. Der Begriff „Wachhund" wird in diesem Zusammenhang im Allgemeinen als ein Verfahren verstanden, das verwendet wird, um Vorrichtungen, Verbindungen oder Software zyklisch zu überwachen. Wenn ein Teil der Software nicht mehr dem durch die Software vorgeschriebenen Verlauf folgt, soll der Wachhund den Mikrocontroller zurückstellen und auf diese Weise dem Ablauf des Programms wieder zu seinem geplanten Verlauf verhelfen.
  • Der Wachhund hat jedoch nicht die Möglichkeit zu helfen, wenn das, was wiederholt auftritt, darin besteht, dass es an einem beliebigen Punkt im Programm ein Versagen der Software oder eine Rückstellung gibt, z. B. aufgrund einer Unterspannung, der Wachhund oder Unterspannungsdetektor die Steuerungseinheit zurückstellt und sie dann zu einem späteren Zeitpunkt an demselben Punkt in der Software erneut versagt oder eine Unterspannung verursacht. Was auf diese Art erzeugt wird, ist eine endlose Schleife, aus der die Steuerungseinheit nicht entkommen kann.
  • Schließlich kann Bezug genommen werden auf das Dokument zum Stand der Technik US 5 594 646 , in dem ein Verfahren sowie eine Vorrichtung zur Selbstdiagnose eines elektronischen Steuerungssystems für Fahrzeuge offenbart werden, wobei dieses Verfahren und diese Vorrichtung einen Speicher mit Batterie umfassen.
  • Nimmt man die oben beschriebenen Nachteile und Schwächen als Ausgangspunkt und mit angemessener Berücksichtigung des kurz dargestellten Stands der Technik, ist eine Aufgabe der vorliegenden Erfindung, ein Verfahren der im ersten Abschnitt ausgeführten Art und einen Basis-Chip der im zweiten Abschnitt ausgeführten Art so weiter zu entwickeln, dass der Betrieb einer Mikrocontrollereinheit, die für eine Anwendung vorgesehen und mit einem seriellen System der oben genannten Art verbunden ist, so überwacht wird, dass fehlerhafter Betrieb, und insbesondere fehlerhafter Betrieb, der zur Entladung der Batterie führt, zuverlässig vermieden werden kann.
  • Diese Aufgabe wird durch ein Verfahren mit den in Anspruch 1 genannten Merkmalen und durch einen Basis-Chip mit den in Anspruch 4 genannten Merkmalen erreicht Vorteilhafte Ausführungsformen und nützliche Verbesserungen der vorliegenden Erfindung sind in der jeweiligen Gruppe abhängiger Ansprüche beschrieben.
  • Die vorliegende Erfindung beruht daher nicht nur auf dem Bereitstellen eines Überwachungsverfahrens, sondern auch auf dem Bereitstellen eines Systemchips, der Fehlerstatistiken unterstützt. Zu diesem Zweck wird vorgeschlagen, dass mindestens ein nichtflüchtiger Speicherbereich, der es der Anwendungssoftware ermöglicht, Fehlerstatistiken zu führen, in der Anwendung und insbesondere im Systemchip bereitgestellt wird.
  • Dieser Speicherbereich sollte vorteilhaft außerhalb des Mikrocontrollers angeordnet sein und sollte auch eine unabhängige Versorgung haben, so dass auch Kurzschlüsse in der Versorgungsspannung des Mikrocontrollers nicht den Verlust der statistischen Daten, die protokolliert worden sind, verursachen Ein unabhängig versorgter Speicherbereich dieser Art ermöglicht es dem Mikrocontroller auch, in Zwischenzeiten eine geplante Betriebsart zu nutzen, in denen keine Stromversorgung vorhanden ist (einen so genannten „Schlafmodus"), ohne die statistischen Daten zu verlieren.
  • In einer besonders vorteilhaften Verbesserung der vorliegenden Erfindung wird Schreibzugriff auf den Speicherbereich nur zugelassen, wenn das System nach einem Rückstellungsprozess neu startet. Auf diese Weise kann die Möglichkeit ausgeschlossen werden, dass der Speicherbereich während des Betriebs z. B. durch fehlerhafte Software unabsichtlich überschrieben wird. Lesezugriff sollte andererseits immer möglich sein, um zu ermöglichen, dass jederzeit eine Systemdiagnose durchgeführt werden kann.
  • Sowohl in dem Verfahren als auch dem Basis-Chip gemäß der vorliegenden Erfindung ist es möglich, dass die Ursache eines Rückstellungsereignisses erkannt und der Mikrocontroller-Einheit bei Bedarf zugänglich gemacht wird. Auf diese Weise können unterschiedliche Rückstellungsereignisse erkannt und getrennt behandelt werden.
  • Wenn zum Beispiel der Wachhund aufgrund eines fehlerhaften flüchtigen Speichers seinen Betrieb unterbricht, wird der Mikrocontroller über dieses Rückstellungsereignis benachrichtigt und die Anwendungssoftware speichert diese Information in dem nichtflüchtigen Speicherbereich, der erfindungsgemäß bereitgestellt wird. Für jedes Rückstellungsereignis dieser Art kann die Software zum Beispiel diesen Fehlerspeicher erhöhen und kann, wenn eine festgelegte Anzahl erreicht ist, nicht mehr normal starten, sondern in einen abgesicherten Fehlerzustand wechseln, in dem der Stromverbrauch gering ist.
  • In einer besonders erfindungsreichen Ausführungsform ermöglicht die Verwendung mindestens eines S[ystem]-B[asis]-C[hips], dass sowohl für die Spannungsversorgung der Mikrocontroller-Einheit als auch für den Wachhund und die Rückstellungshardware Einrichtungen zur Unterspannungserkennung bereitgestellt werden.
  • In solchen System-Basis-Chips, die ständig durch die Batterie versorgt werden, kann der vorgeschriebene Speicherbereich einfach in der Form eines R[andom] A[ccess] M[emory] umgesetzt werden, weil in diesem Fall ständig Spannung verfügbar ist (was gegenüber einem E[lectrically] E[rasable] P[rogrammable] R[ead] O[nly] M[emory] einen Kostenvorteil bringt).
  • Das Erkennen des Rückstellungsereignisses kann auch vorteilhaft im S[ystem]-B[asis]-C[hip] stattfinden und dort gespeichert werden, weil der S[ystem]-B[asis]-C[hip] selbst für das Überprüfen der Systemrückstellung zuständig ist. Folglich kann der System-Basis-Chip auch auf optimale Weise das Sperren der Speicherbits in dem nichtflüchtigen Speicherbereich ausführen, da der S[ystem]-B[asis]-C[hip] selbst das Starten des Systems überprüft und den Speicherbereich nach einem erfolgreichen Startvorgang blockieren kann.
  • Gemäß der vorliegenden Erfindung stehen dem Benutzer alle Komponenten zur Verfügung, die notwendig sind, um ein gegen Fehler abgesichertes System zu entwickeln. Besonders vorteilhaft ist die Flexibilität der vorliegenden Herangehensweise, da es keine fest voreingestellten automatischen Funktionen gibt, die in den S[ystem]-B[asis]-C[hip] eingegliedert werden müssen. Dadurch kann das Sicherheitssystem für eine Anwendung auf optimale Weise eingerichtet und angepasst und vom Benutzer auf jede gewünschte Art definiert und/oder dimensioniert werden.
  • Schließlich betrifft die vorliegende Erfindung die Verwendung eines Verfahrens der oben beschriebenen Art und/oder mindestens eines Basis-Chips der oben beschriebenen Art zum Überwachen des Betriebs einer Mikrocontroller-Einheit, die für mindestens eine Anwendung in der Automobilelektronik und insbesondere in der Elektronik von Kraftfahrzeugen vorgesehen ist.
  • Wie bereits oben beschrieben, gibt es viele mögliche Arten, wie die Idee der vorliegenden Erfindung vorteilhaft ausgeführt und verbessert werden kann. Einerseits kann in die sem Zusammenhang insbesondere auf die abhängigen Ansprüchen der Ansprüche 1 und 5 Bezug genommen werden, und andererseits sind weitere Aspekte, Merkmale und Vorteile der vorliegenden Erfindung aus der in 1 dargestellten und im Folgenden beschriebenen beispielhaften Ausführungsform ersichtlich und werden unter Bezugnahme auf diese ausgeführt.
  • In den Zeichnungen zeigt:
  • 1 ein Blockdiagramm einer Ausführungsform des Systems gemäß der vorliegenden Erfindung mit einem Basis-Chip und einer Mikrocontroller-Einheit.
  • Schematisch dargestellt in 1 ist ein Steuerungssystem 100, das neben einer Mikrocontroller-Einheit 300 mit einer Versorgungseinheit 310 (die die VDD-Versorgung bereitstellt), einer Rückstellungseinheit 320 und einem I[nput]/O[utput]-Modul 330 auch einen so genannten S[ystem]-B[asis]-C[hip] 200 zum Überwachen des Betriebs der Mikrocontroller-Einheit 300 hat, wobei die Mikrocontroller-Einheit 300 für eine Anwendung vorgesehen ist.
  • Zu diesem Zweck hat der Systemchip 200 unter anderem einen nichtflüchtigen Speicherbereich 10 (= einen „Allzweckspeicher"), mit dessen Hilfe Fehlerstatistiken, die sich auf den Betrieb der Mikrocontroller-Einheit 300 beziehen, erzeugt und protokolliert werden können. Der Systemchip 200 erlaubt Schreibzugriff auf die frei programmierbaren Bits der Speichereinheit 10 nur während des Starts des Systems 100, um zu verhindern, dass irrtümlicher Schreibzugriff während des Betriebs vorkommt. Lesezugriff auf die frei programmierbaren Bits der Speichereinheit 10 ist andererseits immer möglich.
  • Weil der Systemchip 200 ermöglicht, dass eine Unterscheidung zwischen verschiedenen Rückstellungsereignissen gemacht wird, und dass verschiedene Rückstellungsereignisse für die Anwendungssteuerung 300 verfügbar gemacht werden, hat der Systemchip 200 eine Informationseinheit 20 (für Informationen über Rückstellungsquellen), die bereitgestellt wird, um verschiedene Rückstellungsereignisse zu ermöglichen, und eine Rückstel lungseinheit 40 (für Systemrückstellungen), die mit der Mikrocontroller-Einheit 300 verbunden ist durch eine Verbindung 42 (die zur Rückstellungseinheit 320 der Mikrocontroller-Einheit 300 führt).
  • Damit Informationen, und insbesondere Daten über Fehlerstatistiken, ausgetauscht werden können, ist vor dem Speicherbereich 10 und der Informationseinheit 20 eine Schnittstelleneinheit 30 eingefügt (die das I[nput]/O[utput]-Modul 330 der Mikrocontroller-Einheit 300 beschickt).
  • Wie ebenfalls aus der Darstellung in 1 ersichtlich ist, sind der Speicherbereich 10 und eine Mikrocontroller-Versorgungseinheit 50, die durch eine Verbindung 52 mit der Mikrocontroller-Einheit 300 verbunden ist, ständig mit mindestens einer Batterieeinheit 400 verbunden. Während die Speicherbits in der Speichereinheit 10, die für die Anwendung verfügbar sind, eine ständige Versorgung aus der Batterie 400 erhalten, kann die Mikrocontroller-Versorgungseinheit 50 mit Hilfe eines Schalters 54 ein- und ausgeschaltet werden, wodurch eine vorübergehende Energieversorgung mit der Mikrocontroller-Einheit 300 über die Mikrocontroller-Versorgungseinheit 50 (die die VDD-Versorgungseinheit 310 der Mikrocontroller-Einheit 300 versorgt) verbunden werden kann.
  • Daher kann man zusammenfassend sagen, dass der in 1 dargestellte System Basis-Chip 200 dazu vorgesehen ist, zyklische Fehlfunktionssituationen in E[lectronic] C[ontrol] U[nits] zu erkennen und zu erfassen, um zu verhindern, dass durch zyklische Fehlfunktionssituationen dieser Art ein dauerhafter hoher Stromverbrauch durch das Steuerungssystem 100 verursacht wird.
  • Bestimmte Bits (= so genannte „Allzweckbits") in einer Speichreinheit 10, die er nen Teil des System-Basis-Chips 200 bildet, die eine ständige Versorgung haben, ermöglichen dann, dass die oben genannten Fehlfunktionsereignisse unter Verwendung der Anwendungssoftware gespeichert werden, und dass die dadurch erlangten statistischen Informatio nen verfügbar gehalten werden, insbesondere auch dann, wenn es aufgrund von Niedrig energiebetrieb oder Fehlfunktion (im Wesentlichen) keine Stromversorgung der Anwendungssteuerung 300 gibt.
  • In diesem Zusammenhang ermöglicht es ein speziell bereitgestelltes Protokoll oder Verzeichnis im System Basis-Chip 200, zwischen verschiedenen Fehlfunktionsereignissen zu unterscheiden und die verschiedenen zyklischen Probleme auf diese Weise zu erfassen. Wenn ein vom Benutzer definierter Schwellenwert überschritten wird, kann die Anwendung dann erfindungsgemäß entscheiden, nicht (erneut) zu starten, sondern direkt in eine Betriebsart mit niedriger Energie zu wechseln.
  • LISTE VON BEZUGSZEICHEN:
    • 100
    System, insbesondere ein Steuerungssystem
    10
    Speicherbereich
    20
    Informationseinheit
    30
    Schnittstelleneinheit
    40
    Rückstellungseinheit
    42
    Verbindung zwischen Rückstellungseinheit 40 und Mikrocontroller-Einheit 300
    50
    Mikrocontroller-Versorgungseinheit
    52
    Verbindung zwischen Versorgungseinheit 50 und Mikrocontroller-Einheit 300
    54
    Schalter der Versorgungseinheit 50
    200
    Basis-Chip, insbesondere ein System-Basis-Chip
    300
    Mikrocontroller-Einheit, insbesondere Anwendungsmikrocontroller
    310
    Versorgungseinheit für Mikrocontroller-Einheit 300
    320
    Rückstellungseinheit für Mikrocontroller-Einheit 300
    330
    I[nput]/O[utput]-Modul der Mikrocontroller-Einheit 300
    400
    Batterieeinheit

Claims (8)

  1. Verfahren zum Überwachen des Betriebs mindestens einer Mikrocontroller-Einheit (300), die für mindestens eine Anwendung vorgesehen und mit einem System (100) verbunden ist, wobei – die Mikrocontroller-Einheit (300) mindestens einen mit ihr verbundenen, nichtflüchtigen Speicherbereich (10) hat, – der Speicherbereich (10) von der Mikrokontroller-Einheit ausgelesen und/oder beschrieben werden kann und – mit Hilfe des Speicherbereichs (10) eine Reihe von Statistiken, insbesondere mindestens eine Reihe von Fehlerstatistiken, die sich auf den Betrieb der Mikrocontroller-Einheit (300) beziehen, geführt werden kann, dadurch gekennzeichnet, dass – in Bezug auf den Betrieb der Mikrocontroller-Einheit auf der Grundlage von Informationen zur Rückstellungsquelle eine Unterscheidung getroffen wird zwischen verschiedenen Rückstellungsereignissen, und – diese verschiedenen Rückstellungsereignisse der Mikrocontroller-Einheit (300) zugänglich gemacht werden.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der Speicherbereich (10) ständig von mindestens einer Batterieeinheit (400) versorgt wird.
  3. Verfahren nach den Ansprüchen 1 oder 2, dadurch gekennzeichnet, dass der Speicherbereich (10) – jederzeit ausgelesen werden kann und/oder – nur nach einer Rückstellung oder während des Neustarts des Systems (100) beschrieben werden kann.
  4. Basis-Chip (200), insbesondere System-Basis-Chip, zum Überwachen des Betriebs mindestens einer Mikrocontroller-Einheit (300), die für mindestens eine Anwendung vorsehen ist, wobei der Basis-Chip (200) mindestens einen nichtflüchtigen Speicherbereich (10) umfasst, der von der Mikrokontroller-Einheit ausgelesen und/oder beschrieben werden kann, und wobei mit Hilfe dieses Speicherbereichs (10) mindestens eine Reihe von Statistiken, insbesondere mindestens eine Reihe von Fehlerstatistiken, die sich auf den Betrieb der Mikrocontroller-Einheit (300) beziehen, geführt werden kann, gekennzeichnet durch – mindestens eine Informationseinheit (20), die Informationen über die Rückstellungsquelle bereithält, um die Unterscheidung verschiedener Rückstellungsereignisse zu erlauben, – mindestens eine Rückstellungseinheit (40) zum Rückstellen der Mikrocontroller-Einheit (300), wobei die Rückstellungseinheit (40) mit der Mikrocontroller-Einheit (300) verbunden ist (52), und – mindestens eines Energiequelle (50), die mit der Mikrocontroller-Einheit (300) verbunden ist.
  5. Der Basis-Chip nach Anspruch 4, dadurch gekennzeichnet, dass – der Speicherbereich (10) und die Versorgungseinheit (50) ständig mit mindestens einer Batterieeinheit (400) verbunden sind, und – die Mikrocontroller-Einheit (300) mindestens eine vorläufige Energieversorgung hat, mit der sie über die Versorgungseinheit (50) verbunden ist.
  6. Der Basis-Chip nach den Ansprüchen 4 oder 5, dadurch gekennzeichnet, dass der Speicherbereich (10) und/oder die Informationseinheit (20) mit mindestens einer Schnittstelleneinheit (30) zum Datenaustausch mit der Mikrocontroller-Einheit (300) verbunden sind.
  7. System (100), insbesondere Steuerungssystem, gekennzeichnet durch mindestens eine für mindestens eine Anwendung vorgesehene Mikrocontroller-Einheit (300) und durch mindestens einen Basis-Chip nach den Ansprüchen 4 bis 6.
  8. Verwendung eines Verfahrens nach einem der Ansprüche 1 bis 3 und/oder mindestens eines Basis-Chips (200) nach den Ansprüchen 4 bis 6 zum Überwachen des Betriebs mindestens einer Mikrocontroller-Einheit (300), die für mindestens eine Anwendung in der Automobilelektronik, insbesondere in der Elektronik von Kraftfahrzeugen, vorgesehen ist.
DE60312859T 2002-06-10 2003-06-04 Verfahren und basis-schaltkreis zur überwachung des betriebs eines mikrokontrollers Expired - Lifetime DE60312859T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE10225472A DE10225472A1 (de) 2002-06-10 2002-06-10 Verfahren und Chipeinheit zum Überwachen des Betriebs einer Mikrocontrollereinheit
DE10225472 2002-06-10
PCT/IB2003/002098 WO2003104993A1 (en) 2002-06-10 2003-06-04 Method and base chip for monitoring the operation of a microcontroller unit

Publications (2)

Publication Number Publication Date
DE60312859D1 DE60312859D1 (de) 2007-05-10
DE60312859T2 true DE60312859T2 (de) 2007-10-18

Family

ID=29557674

Family Applications (2)

Application Number Title Priority Date Filing Date
DE10225472A Withdrawn DE10225472A1 (de) 2002-06-10 2002-06-10 Verfahren und Chipeinheit zum Überwachen des Betriebs einer Mikrocontrollereinheit
DE60312859T Expired - Lifetime DE60312859T2 (de) 2002-06-10 2003-06-04 Verfahren und basis-schaltkreis zur überwachung des betriebs eines mikrokontrollers

Family Applications Before (1)

Application Number Title Priority Date Filing Date
DE10225472A Withdrawn DE10225472A1 (de) 2002-06-10 2002-06-10 Verfahren und Chipeinheit zum Überwachen des Betriebs einer Mikrocontrollereinheit

Country Status (8)

Country Link
US (1) US20050251704A1 (de)
EP (1) EP1516256B1 (de)
JP (1) JP2005529405A (de)
CN (1) CN100378676C (de)
AT (1) ATE358296T1 (de)
AU (1) AU2003240152A1 (de)
DE (2) DE10225472A1 (de)
WO (1) WO2003104993A1 (de)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102004023084B3 (de) * 2004-05-11 2005-06-16 Daimlerchrysler Ag Verfahren zur Spannungsüberwachung bei einer Fahrzeug-Steuergeräteanordnung
DE102007054608A1 (de) * 2007-11-15 2009-05-20 Continental Automotive Gmbh Verfahren zum Betrieb eines elektronischen Gerätes
WO2010007469A1 (en) * 2008-07-16 2010-01-21 Freescale Semiconductor, Inc. Micro controller unit including an error indicator module
DE102010041003A1 (de) * 2010-09-20 2012-03-22 Sb Limotive Company Ltd. Verfahren zum Überwachen von mindestens zwei Mikrocontrollern
KR20180009246A (ko) * 2016-07-18 2018-01-26 에스케이하이닉스 주식회사 비휘발성 메모리 장치, 데이터 저장 장치 및 그것의 동작 방법
US10606702B2 (en) * 2016-11-17 2020-03-31 Ricoh Company, Ltd. System, information processing apparatus, and method for rebooting a part corresponding to a cause identified
KR102690958B1 (ko) * 2022-11-25 2024-08-05 주식회사제우 기능 안전 및 오류 감지가 적용된 산업차량용 통합 컨트롤러

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4307455A (en) * 1978-02-27 1981-12-22 Rockwell International Corporation Power supply for computing means with data protected shut-down
JPS573164A (en) * 1980-06-04 1982-01-08 Nippon Denso Co Ltd Microcomputer control device
US4651307A (en) * 1984-11-01 1987-03-17 Motorola, Inc. Non-volatile memory storage system
DE3829546C1 (de) * 1988-08-31 1989-11-16 Voest-Alpine Automotive Ges.M.B.H., Linz, At
DE4112334A1 (de) * 1991-04-16 1992-10-22 Bosch Gmbh Robert Mehrrechnersystem in einem kraftfahrzeug
GB9113924D0 (en) * 1991-06-27 1991-08-14 Thomson Consumer Electronics Fault protection using microprocessor power up reset
US5421006A (en) * 1992-05-07 1995-05-30 Compaq Computer Corp. Method and apparatus for assessing integrity of computer system software
JP3138709B2 (ja) * 1993-12-21 2001-02-26 アイシン・エィ・ダブリュ株式会社 車両用電子制御装置の自己故障診断方法及び装置
US5600785A (en) * 1994-09-09 1997-02-04 Compaq Computer Corporation Computer system with error handling before reset
DE19611942C2 (de) * 1996-03-26 2003-02-20 Daimler Chrysler Ag Halbleiterschaltkreis für ein elektronisches Steuergerät
US5802545A (en) * 1996-05-23 1998-09-01 Freightliner Corporation Method and system for recording vehicle data relative to vehicle standard time
FI108898B (fi) * 1996-07-09 2002-04-15 Nokia Corp Menetelmä prosessorin resetoimiseksi ja vahtikoira
US5935259A (en) * 1996-09-24 1999-08-10 Apple Computer, Inc. System and method for preventing damage to media files within a digital camera device
US6298449B1 (en) * 1998-07-29 2001-10-02 Siemens Information And Communication Networks, Inc. Apparatus and method for high reliability PC platform telecommunications systems
US6314532B1 (en) * 1998-12-04 2001-11-06 Lucent Technologies Inc. Method and system for recovering from a software failure
US6553496B1 (en) * 1999-02-01 2003-04-22 Koninklijke Philips Electronics N.V. Integration of security modules on an integrated circuit
TW452727B (en) * 1999-03-29 2001-09-01 Winbond Electronics Corp Micro-computer system and method for using reset to set different working modes
DE10030991A1 (de) * 2000-06-30 2002-01-10 Bosch Gmbh Robert Verfahren und Vorrichtung zur Synchronisation eines Rechners und einer Überwachungsschaltung
US7017085B2 (en) * 2002-05-30 2006-03-21 Capital One Financial Corporation Systems and methods for remote tracking of reboot status

Also Published As

Publication number Publication date
ATE358296T1 (de) 2007-04-15
DE10225472A1 (de) 2003-12-18
JP2005529405A (ja) 2005-09-29
CN100378676C (zh) 2008-04-02
CN1659521A (zh) 2005-08-24
AU2003240152A1 (en) 2003-12-22
EP1516256B1 (de) 2007-03-28
EP1516256A1 (de) 2005-03-23
WO2003104993A1 (en) 2003-12-18
US20050251704A1 (en) 2005-11-10
DE60312859D1 (de) 2007-05-10

Similar Documents

Publication Publication Date Title
DE3315049C2 (de) Überwachungsschaltung für ein Steuersystem mit Mikrocomputer
DE2539977C3 (de) Schaltungsanordnung zur Erkennung fehlerhafter Zustände peripherer Einheiten in einer Datenverarbeitungsanlage
DE102015107671A1 (de) Steuerung und Diagnose einer Steuerungs-Wakeup-Funktionalität
DE102012109614A1 (de) Fehlerbehebung bei Stapel-Korruption in eingebetteten Softwaresystemen
DE10143454B4 (de) Einrichtung zur Steuerung eines Fahrzeuges
DE102007035586B4 (de) Watchdog-Vorrichtung zur Überwachung eines elektronischen Systems
DE3514079C2 (de) Ausfallsicherungsschaltung
DE60312859T2 (de) Verfahren und basis-schaltkreis zur überwachung des betriebs eines mikrokontrollers
DE10339464A1 (de) Kommunikationsfehler-Detektionsverfahren für ein Buskommunikationsnetz in einem Fahrzeug
WO1996020103A1 (de) Verfahren und schaltungsanordnung zur überwachung der funktion einer programmgesteuerten schaltung
DE69616266T2 (de) Einschalt-rücksetzschaltung
EP0815511B1 (de) Verfahren und vorrichtung zum überwachen einer elektronischen rechnereinheit
DE3529494A1 (de) Schaltungsanordnung umfassend einen mikrocomputer und einen mit diesem im datenaustausch stehenden halbleiter-speicher
DE102017207858B3 (de) Verfahren zum Betreiben eines Steuergeräts als Busteilnehmer an einem Busnetzwerk während eines Teilnetzbetriebs des Busnetzwerks sowie Steuergerät und Kraftfahrzeug
DE10312553B3 (de) Kraftfahrzeug
EP1854007A2 (de) Verfahren, betriebssysem und rechengerät zum abarbeiten eines computerprogramms
DE60008872T2 (de) Verfahren und vorrichtung zur automatischen reintegration eines moduls in ein rechnersystem
DE112012004323T5 (de) Elektronisches Steuergerät
EP0608524B1 (de) Vorrichtung zum Betreiben eines Mikroprozessors
EP1807760B1 (de) Datenverarbeitungssystem mit variabler taktrate
DE10311250B4 (de) Mikroprozessorsystem und Verfahren zum Schützen des Systems vor dem Austausch von Bausteinen
EP1913478B1 (de) Mikroprozessorsystem zur steuerung bzw. regelung von zumindest zum teil sicherheitskritischen prozessen
DE102006051909A1 (de) Elektronisches Kraftfahrzeugsteuergerät mit zumindest einem Mikroprozessorsystem
DE60030236T2 (de) Elektronischer Steuerapparat, der eine Modusüberprüfungsfunktion hat
EP1979910B1 (de) Verfahren und vorrichtung zur steuerung eines zugriffs auf einen datenspeicher in einer elektronischen schaltung

Legal Events

Date Code Title Description
8320 Willingness to grant licences declared (paragraph 23)
8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: NXP B.V., EINDHOVEN, NL