Nothing Special   »   [go: up one dir, main page]

WO2005001692A2 - Verfahren und vorrichtung zur überwachung eines verteilten systems - Google Patents

Verfahren und vorrichtung zur überwachung eines verteilten systems Download PDF

Info

Publication number
WO2005001692A2
WO2005001692A2 PCT/EP2004/050704 EP2004050704W WO2005001692A2 WO 2005001692 A2 WO2005001692 A2 WO 2005001692A2 EP 2004050704 W EP2004050704 W EP 2004050704W WO 2005001692 A2 WO2005001692 A2 WO 2005001692A2
Authority
WO
WIPO (PCT)
Prior art keywords
monitoring
participants
data
monitored
bus system
Prior art date
Application number
PCT/EP2004/050704
Other languages
English (en)
French (fr)
Other versions
WO2005001692A3 (de
Inventor
Dietmar Baumann
Dirk Hofmann
Herbert Vollert
Willi Nagel
Andreas Henke
Bertram Foitzik
Bernd Goetzelmann
Original Assignee
Robert Bosch Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch Gmbh filed Critical Robert Bosch Gmbh
Priority to US10/560,124 priority Critical patent/US7502973B2/en
Priority to EP04731022A priority patent/EP1649373A2/de
Publication of WO2005001692A2 publication Critical patent/WO2005001692A2/de
Publication of WO2005001692A3 publication Critical patent/WO2005001692A3/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/183Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
    • G06F11/184Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/182Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits based on mutual exchange of the output between redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/181Eliminating the failing redundant component

Definitions

  • the invention relates to a method and a device for monitoring a distributed system, which consists of several participants, which by means of a
  • Bussyslems are connected and a corresponding Bussyslem and a corresponding distributed system according to the preambles of the independent claims.
  • This task is solved by shifting essential monitoring functionality to the bus system itself. This enables monitoring of distributed systems across the bus system, which advantageously enables the subsystems or control units or subscribers to be set up based on their own function and additional monitoring effort in this Participant structure can be largely avoided.
  • the invention is based on a method and a device for monitoring a distributed system, which consists of several participants, which by means of a
  • Bus system are connected. It is then expedient to provide at least a number of participants as monitoring participants and process data of at least one monitored participant is stored in data areas of memory units of the bus system to which the monitoring participants have access, these process data being evaluated by the monitoring participants.
  • parts of the Monitoring devices are dispensed with, in that parts of the monitoring are taken over by other participants, in particular by the section of the bus system individually assigned to each participant, the bus coupling unit.
  • each of the data areas is expediently uniquely monitored
  • the Dalen areas can be distributed over the at least two memory units, so that virtual data areas are created, so to speak, and or at least some of the Dalen areas can be provided simultaneously in each storage unit, depending on the access potential of the individual participants.
  • each monitoring participant advantageously generates result data depending on the evaluation of the process data of the monitored participant.
  • These monitoring result data are generated by all monitoring participants with the exception of the at least one monitored participant themselves and result from the evaluation of the process data, in particular by comparing the proprietary process data with that of the participant to be monitored. It is then expedient for this result data to contain the same error information and / or a measure information. In this way, from the individual point of view of each monitoring subscriber, the subscriber to be monitored can be informed, on the one hand, whether there is an error and what measures the respective monitoring subscriber would initiate based on an existing error.
  • the result data are transmitted via the bus system to a communication controller of the bus system, which is assigned to the monitored subscriber.
  • the evaluation of the result data can thus be carried out by the communication controller of the monitored subscriber himself.
  • the result data are stored in the data areas, in particular the bus coupling unit, an evaluation can also be carried out by other subscribers or other communication controllers besides that of the monitored subscriber.
  • FIG. 1 shows a distributed system with several subscribers, eb subscribers consisting of a corresponding subsystem and a bus coupling unit.
  • FIG. 2 shows such a subscriber and its connection to the communication link fa in more detail.
  • FIG. 3 shows the bus coupling unit with data areas according to the invention.
  • FIG. 4 again shows a detail of the slave, this time with regard to a redundantly designed bus system.
  • FIG. 1 shows a distributed system 100 with four participants 101 to 104.
  • Each participant consists of a corresponding subsystem 1 to 4 and a bus coupling unit 106 to 109.
  • These participants 101 to 104 smd over a Communication link 105 connected withefaander.
  • the monitoring subscribers in particular their bus coupling units, also take over parts of the monitoring of the at least one monitored subscriber, here subscriber 101, for example, monitored by subscribers 102 to 104 monitored etc., so that each participant or each subsystem is monitored by at least two further participants in the distributed system.
  • voting function i.e. a selection function with regard to the
  • the monitoring participants can transmit their assessment, that is to say the result of the monitoring of the functional state of the at least one monitored participant, via the communication link to, for example, the communication controller of the monitored participant.
  • Result data are then evaluated by the communication controller, whereupon the latter then takes appropriate measures if necessary.
  • a voting can then be carried out such that, for example, with three monitoring participants, a 2- out of 3 evaluation can be carried out on the one hand for error detection and also for initiating measures.
  • This subscriber can be monitored by all other subscribers belonging to the distributed system or only by some of the subscribers, these subscribers then being provided as monitoring subscribers. To increase security, especially in the case of a defective subsystem, the
  • Subsystem itself in particular the computing unit of the subsystem, does not access the monitoring results, that is to say the result data of the other participants, so that the monitoring takes place independently in and via the bus system.
  • Function monitoring can also be processed outside of the subsystems, i.e. in the other nodes or in the bus coupling unit.
  • subsystem 1 stores the process data on the data bus in the bus system.
  • the process data in Dalen areas of memory units of the bus system in the bus coupling unit are as follows Drawings will be explained, filed.
  • the participants 101 to 104 or the subsystems 2 to 4 can access and process this process data in the data areas of memory units of the bus system, so that the monitoring can be calculated from this information.
  • Each subsystem stores its estimate b in the form of result data on the state of subsystem 1, that is to say the monitored subsystem, again on the data bus, that is to say the bus system, in special areas.
  • These result data areas sbd are assigned to the communication controller or the bus coupling unit or to an additional device specifically provided therein and can be evaluated by the latter.
  • this result data contains error information, that is to say the assessment of the respective subsystem as to whether the monitored leilsyslem has a malfunction or not.
  • this error information can be expanded in the form of an identifier in such a way that it can be specified in which process data and thus in which functionality the error was detected. Besides this
  • Error information which on the one hand allows a yes-no decision of the error or, in a more extensive form, can precisely identify the error (or the underlying process or the functionality), can also provide measure information in the result data.
  • error measures can be initiated in a differentiated manner. Such measures can be the shutdown of a subsystem, the transition of the subsystem to emergency operation or normal hamlet work with low error priority. In the event of a transition to an emergency run, a predefined program can be processed, fixed values can be accepted or limited functionality can be provided.
  • voting can take place, namely an N-out of M-selection or here a 2- out of 3-selection with a fixed error response or in a differentiated manner depending on the type of error, as described, a special one
  • Measure e can be directed, whereby an assignment of measure to type of error can be made, for example, via a predetermined assignment table or other selection criteria.
  • the arithmetic unit of subsystem 1 i.e. the monitored system, should not be able to use the special ones Data areas relating to the result data in the storage units of the
  • FIG. 2 now shows such a subscriber in detail, which is coupled to the communication connection 201.
  • the coupling to this communication connection 201 takes place via a bus coupling unit 202, which also includes a monitoring register or monitoring register 205 from the transceiver 203, a communication controller 204 and the storage unit.
  • the subsystem is connected to this bus coupling unit via etae computer unit 206, which represents the control unit or computer unit, the ⁇ C of the subsystem.
  • This subunit contains input data supplied by sensors 211 via etae sensor signal adaptation unit 212, such sensor data also being available to the computing unit via the communication link and the bus coupling unit. This applies, for example, to intelligent sensors, which in turn are connected to the communication network.
  • output signals are generated by the computer unit 206 and, on the one hand, a power unit 209 is controlled, which in turn operates actuators 210. Likewise, further signal outputs via a signal adaptation unit 208 are optionally possible.
  • the monitoring register or the bus coupling unit 202 is connected directly to an error unit 207 b.
  • the bus coupling unit in particular the communication controller 204, can output signals from the data in the data areas of the monitoring register 205, for example to a reset unit or reset unit, a voltage regulator, that is to say a voltage regulator, an oscillator and / or a watchdog.
  • the monitoring information is thus received, that is, on the one hand the process data of the monitored subscriber and on the other hand the Result data of the other participants, provided that it is itself monitored, directly from the communication controller 204 into the monitoring registers, that is, the Dalen areas of the storage unit 205. In these data areas, weighting can now be carried out, for example by voting, which measures should be initiated.
  • subsystem 1 performs its function incorrectly, or does such an assessment result, for example? from a corresponding voting, e.g. B. a 2- out of 3 selection, for example, subsystem 1 can be reset, that is, reset, switched off completely or, for example, only the power unit 209 can be deactivated.
  • a 2- out of 3 selection for example, subsystem 1 can be reset, that is, reset, switched off completely or, for example, only the power unit 209 can be deactivated.
  • Error reaction can also be implemented by the bus coupling unit, bypassing the computer unit 206, optionally by direct activation of the power unit 209 or the signal adaptation unit 208, as shown by the dashed arrows.
  • each subsystem can be checked crosswise using this method, this subsystem can now be examined specifically for errors. The process data of this subsystem are then evaluated and the subsystem that has erroneously recognized errors is checked in turn. This prevents incorrect shutdown. Inadequate or incorrect error reactions and measures are also prevented.
  • FIG. 3 again shows a bus coupling unit 300 with a transceiver 301, a communication controller 302 and the memory slope, that is to say the monitoring register 303.
  • This monitoring register is here, for example, divided into four data areas T1, T2, T3 and T4 according to the number of monitored or monitored subscribers. These Dalen areas T1 to T4 can then again be divided on one side, so that on the one hand the process data of the corresponding subscriber can be written in, and on the other hand the corresponding result data can be assigned.
  • These data areas can be provided identically in each bus coupling unit, with the number of monitored ones corresponding and monitoring participants also any other combinations are conceivable and possible according to the invention.
  • Communication controller now evaluates this result data by comparison or voting and initiates a corresponding error reaction.
  • the corresponding data can be written into the respective data area assigned to the subscriber, so that the respective process data of the corresponding subscriber are written in and special areas PE2 to PE4 are assigned to this process data in PE1 from T1, into which the respective result data of the subscriber 2, 3 or 4 can be written in, so that the communication controller 302 can use this optional line 304 to carry out a comparison and a voting as well as the corresponding measures.
  • the number of data areas corresponds to the number of monitored subscribers, so that a data area is uniquely assigned to each monitored subscriber.
  • the number of data areas corresponds to the sum of the number of monitoring and monitored participants, whereby, as already described, an intersection until the number of monitored and monitoring participants is completely identical is possible, so that in extreme cases each participant is different from all others is monitored ..
  • FIG. 4 now shows a redundant system with communication connections 401 and 402 as subscriber 400. There are now two bus coupling units 403 and
  • the bus coupling units contain a transceiver 405 or 408, a communication controller 406 or 409 and a monitoring register, the memory unit 407 or 410.
  • at least one error unit 411 is provided, which is operated by the memory unit or the bus coupling unit 404.
  • the same error unit 411 can also be operated by the other bus coupling unit 403, or a second error unit is provided for reasons of redundancy, that is, one error unit per bus coupling unit.
  • Both bus coupling units are also connected here to the computer unit 417 of the subsystem, which in turn is connected by sensors 415 via a
  • Sensor signal adaptation unit 416 receives input signals. Likewise, the computer unit 417 forms output signals to a power unit 413 or a number of signal adaptation units 412 here.
  • the power unit 413 also controls actuators 414 here
  • the data areas can be distributed over the two storage units or only partially distributed and partially equally provided. So it is possible to have some data areas in both
  • At least some of the data areas can include ta in each bus coupling unit of the distributed system, but also in each bus coupling unit of this redundant distributed system

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)
  • Small-Scale Networks (AREA)

Abstract

Verfahren, Vorrichtung und Bussysterm zur Überwachung des verteilten Systems, welches aus mehreren Teilnehmern besteht die mittels eines Bussystems verbunden sind, wobei wenigstens eine Anzahl der Teilnehmer als überwachende Teilnehmer vorgesehen sind und Prozessdaten wenigstens eines überwachten Teilnehmers in Datenbereichen von Speichereinheiten des Bussystems abgelegt werden auf welche die überwachenden Teilnehmer Zugriff haben und die Prozessdaten durch die überwachenden Teilnehmer ausgewertet werden.

Description

Verfahren und Vorrichtung zur Überwachung eines verteilten Systems
Stand der Technik
Die Erfindung geht aus von einem Verfahren und einer Vorrichtung zur Überwachung eines verteilten Systems, welches aus mehreren Teilnehmern besteht, die mittels eines
Bussyslems verbunden sind sowie einem entsprechenden Bussyslem und einem entsprechenden verteilten System gemäß den Oberbegriffen der unabhängigen Ansprüche. Der heulige Ansatz einer Vielzahl elektronischer Steuereinheiten in allen technischen
Bereichen, wie z. B. in industriellen Anwendungen, z. B. im Werkzeugmaschinenbereich oder auch der Automatisierung sowie im Fahrzeugbereich und die Vernetzung dieser Steuereinheiten wirft insbesondere bei sicherheitsrelevanten Anwendungen wie beispielsweise Bremsfunktionen beim Kraftfahrzeug, z. B. ABS oder ESP, Lenkfunktionen oder auch Getriebeschaltfunktionen sowie Motorsteuerungsfunktionen das Problem des sicheren Betriebs eines solchen verteilten Systems auf.
Dabei werden heule gerade im Kraftfahrzeugbereich gemischt mechanisch-elektronische Systeme verwendet. Heutige mechatronische Systeme überwachen die Funktion des Systems selbsttätig, indem z. B. Redundanz eingebaut wird. Übliche Systeme beinhallen dabei je Steuereinheit bzw. Teilsystem zwei Prozessoren, welche die Funktionen berechnen und dann die Ergebnisse vergleichen. Liegt eine Differenz der Ergebnisse vor, so muss ein Fehler eingetreten sein und es können sicherheitsrelevante Maßnahmen eingeleitet werden. Dabei ist der zweite Prozessor häufig leistungsschwächer ausgelegt. In einem solchen Fall rechnet dieser zweite Prozessor nur ausgewählte Teilbereiche nach und vergleicht diese mit dem eigentlichen Funktionsrechner, wie dies beispielsweise in der DE 195 00 188 AI gezeigt ist.
Übertragen auf ein verteiltes System bedeutet das, dass jedes Steuergerät des Teilsystems in sich so aufgebaut ist, dass es einen Fehler selbsttätig erkennen kann und dann
Fehlerbehandlungsmaßnahmen einleitet, jedes Teilsystem also selbst redundant zur Ermittlung der Ergebnisse aufgebaut ist. Zur Erzeugung dieser Redundanz in den selbslüberwachenden Steuereinheiten müssen diese sehr aufwändig aufgebaut sein und es müssen Komponenten integriert sein, die für die eigentliche Funktion der Steuereinheit nicht zwingend notwendig wären.
Aufgabe der Erfindung ist es nun, diesen Überwachungsaufwand für jedes einzelne Teilsystem zu reduzieren. Vorteile der Erfindung
Gelöst wird diese Aufgabe durch die Verlagerung wesentlicher Überwachungsfunktionalität auf das Bussystem selbst. So wird eine Überwachung von verteilten Systemen über das Bussystem hinweg ermöglicht, wodurch vorteilhafter Weise die Teilsysteme bzw. Steuereinheilen oder Teilnehmer auf ihre eigene Funktion bezogen aufgebaut werden können und zusätzlicher Überwachungsaufwand in diesem Teilnehmeraufbau weitgehend vermieden werden kann.
Dazu geht die Erfindung von einem Verfahren und einer Vorrichtung zur Überwachung eines verteilten Systems aus, welches aus mehreren Teilnehmern besteht, die mittels eines
Bussystems verbunden sind. Zweckmäßiger Weise wird dann wenigstens eine Anzahl der Teibehmer als überwachende Teilnehmer vorgesehen und Prozessdaten wenigstens eines überwachten Teilnehmers werden in Datenbereichen von Speichereinheiten des Bussystems abgelegt, aufweiche die überwachenden Teilnehmer Zugriff haben, wobei diese Prozessdalen durch die überwachenden Teilnehmer ausgewertet werden.
So muss vorteilhafter Weise in einem System mit verteilter Intelligenz nicht jedes Teilsystem in sich alle relevanten Fehler selbst entdecken und nötige Gegenmaßnahmen einleiten, da dies erhöhte Kosten aufwerfen würde und die vorhandenen Möglichkeiten des Bussystems nicht genutzt würden. So kann erfindungsgemäß auf Teile der Überwachungsvorrichtungen verzichtet werden, indem Teile der Überwachung durch andere Teilnehmer mitübernommen werden, insbesondere durch den jedem Teilnehmer individuell zugeordneten Abschnitt des Bussystems, die Busankoppeleinheit.
Zweckmäßiger Weise wird dazu jeder der Datenbereiche eindeutig einem überwachten
Teilnehmer zugeordnet.
Dabei ist es vorteilhaft, wenn der überwachte Teilnehmer selbst auf den ihm zugeordneten Datenbereich keinen Zugriff hat. Dabei können zum Einen die Dalenbereiche über die wenigstens zwei Speichereinheilen verteilt sein, so dass sozusagen virtuelle Datenbereiche entstehen und oder wenigstens ein Teil der Dalenbereiche ist gleichzeitig in jeder Speichereinheit vorsehbar, abhängig vom Zugriffspotential der einzeben Teibehmer. Zur Überwachung selbst, erzeugt jeder überwachende Teilnehmer vorteilhafter Weise abhängig von der Auswertung der Prozessdalen des überwachten Teilnehmers Ergebnisdaten. Diese Ergebnisdaten zur Überwachung werden von allen überwachenden Teilnehmern mit Ausnahme des wenigstens einen überwachten Teilnehmers selbst erzeugt und ergeben sich aus der Auswertung der Prozessdaten, tasbesondere indem die eigenermi -leiten Daten zu den Prozessen mit denen des zu überwachenden Teilnehmers verglichen werden. Zweckmäßiger Weise wird in diesen Ergebnisdaten dann ebe Fehlerinformalion und/oder eine Maßnahmeninformalion enthalten sein. Damit kann dem zu überwachenden Teilnehmer zum Einen aus individueller Sicht jedes überwachenden Teilnehmers mitgeteilt werden, ob ein Fehler vorliegt und welche Maßnahmen aufgrund eines vorliegenden Fehlers der jeweils überwachende Teibehmer einleiten würde.
Dies erfolgt vorteilhafter Weise dadurch, dass die Ergebnisdaten über das Bussystem zu einem KommunikationscontroUer des Bussystems übertragen werden, der dem überwachten Teilnehmer zugeordnet ist. Die Auswertung der Ergebnisdaten kann so zum Einen durch den Kommunikationscontroller des überwachten Teilnehmers selbst ausgefiihrt werden. Werden die Ergebnisdaten in einer vorteilhaften Ausführungsform b den Datenbereichen, insbesondere der Busankoppeleinheit abgelegt, kann eine Auswertung auch durch andere Teilnehmer oder andere KommunikationscontroUer außer dem des überwachten Teilnehmers erfolgen. Durch die erfindungsgemäßen Verfahren, Vorrichtung, Bussystem und Verteiltes System können im Gesamtsystem weniger kostenlrächtige Maßnahmen zur Überwachung einzelner Baugruppen oder Teilsysteme des Gesamtsystems eingesetzt werden, so dass insbesondere die Anzahl von Hardwarekomponenlen in den Teilsystemen und damit die Kosten für diese verringert werden können. Weiterhm kann ohne großen Mehraufwand eine Bewertung durch Voting der Überwachungsinformationen, insbesondere einer M- aus N-Λuswahl bezüglich der Ergebnisdaten erfolgen, wobei N und M natürliche Zahlen sind und M größer 2 sowie N größer M/2 ist. Weitere Vorteile und vorteilhafte Ausgestaltungen ergeben sich aus der Besehreibung sowie den Merkmalen der Ansprüche. Zeichnung Nachfolgend wird die Erfindung anhand der in der Zeichnung dargestellten Figuren näher
' erläutert. Dabei zeigt Figur 1 ein verteiltes System mit mehreren Teilnehmern, wobei eb Teilnehmer aus einem entsprechenden Teilsystem und einer Busankoppeleinheit besteht. Figur 2 zeigt einen solchen Teilnehmer und seine Anbindung an die Kommunikationsverbindung fa detaillierterer Darstellung. Figur 3 zeigt die Busankoppeleinheit mit erfindungsgemäßen Datenbereichen.
In Figur 4 ist nochmals em Teibehmer detailliert dargestellt, diesmal bezüglich eines redundant ausgelegten Bussystems.
Beschreibung der Ausführungsbeispiele
Figur 1 zeigt ein verteiltes System 100 mit vier Teilnehmern 101 bis 104. Jeder Teilnehmer besteht dabei aus einem entsprechenden Teilsystem 1 bis 4 sowie einer Busankoppeleinheit 106 bis 109. Diese Teilnehmer 101 bis 104 smd über eine Kommunikationsverbindung 105 mitefaander verbunden. Erfindungsgemäß übernehmen nun in diesem verteilten System die überwachenden Teilnehmer, insbesondere deren Busankoppeleinheiten, auch Teile der Überwachung des wenigstens einen überwachten Teilnehmers, hier beispielsweise Teilnehmer 101 überwacht durch die Teilnehmer 102 bis 104. Gleichzeitig wird beispielsweise Teibehmer 102 durch die Teitaehmer 101, 103 und 104 überwacht usw., so dass jeder Teilnehmer respektive jedes Teilsystem durch wenigstens zwei weitere Teilnehmer des verteilten Systems überwacht wird.
Wird jeder Teilnehmer durch wenigstens drei weitere Teibehmer des verteilten Systems überwacht, so ist auch eine Votingfunklion, also eine Auswahlfi-nktion bezüglich der
Beurteilung der überwachenden Teilnehmer bezogen auf den überwachten Teilnehmer möglich. Dazu können die überwachenden Teilnehmer ihre Einschätzung, also das Ergebnis der Überwachung über den Funktionszustand des wenigstens einen überwachten Teilnehmers über die Kommunikationsverbindung an beispielsweise den KommunikationscontroUer des überwachten Teibehmers übermitteln. Diese
Ergebnisdaten werden dann vom Kommunikationscontroller ausgewertet, woraufhin dieser dann gegebenenfalls entsprechende Maßnahmen ergreift. Bei dieser Auswertung kann dann ein Voting dergestalt erfolgen, dass beispielsweise bei drei überwachenden Teibehmern eine 2- aus 3-Bewertung zum Einen zur Fehlererkennung und auch zur Maßnahmeneinleilung erfolgen kann. Dabei kann jener Teilnehmer von allen anderen dem verteilten System zugehörigen Teilnehmern überwacht werden oder nur von einem Teil der Teilnehmer, wobei diese Teilnehmer dann als überwachende Teilnehmer vorgesehen sind. Zur Erhöhung der Sicherheit, insbesondere bei efaem fehlerhaften Teilsystem, kann das
Teilsystem selbst, insbesondere die Recheneinheit des Teilsystems, nicht auf die Überwachungsergebnisse, also die Ergebnisdaten der anderen Teibehmer zugreifen, so dass die Überwachung unabhängig im und über das Bussystem geschieht.
Das verteilte System gemäß Figur 1 ist somit so konzipiert, dass Teile der
Funktionsüberwachung auch außerhalb der Teilsysteme, sprich in den anderen Teilnehmern bzw. in der Busankoppeleinheit abgearbeitet werden können. Ausgehend von eber Überwachung des Teilsystems 1 legt das Teilsystem 1 die Prozessdaten auf dem Datenbus im Bussystem ab. Dabei werden die Prozessdaten in Dalenbereiche von Speichereinheiten des Bussystems in der Busankoppeleinheit wie fa den nachfolgenden Zeichnungen noch erläutert wird, abgelegt. Die Teibehmer 101 bis 104 respektive die Teilsysteme 2 bis 4 können auf diese Prozessdaten in den Datenbereichen von Speicherebheiten des Bussystems zugreifen und diese auswerten, so dass aus diesen Informationen die Überwachung gerechnet werden kann. Jedes Teilsystem legt seine Emschätzung b Form von Ergebnisdaten über den Zustand des Teilsystems 1, also des überwachten Teilsystems wieder auf dem Datenbus, also dem Bussystem in speziellen Bereichen ab. Diese Ergebnisdatenbereiche sbd dem Kommunikationscontroller bzw. der Busankoppeleinheit oder einer speziell darin vorgesehenen zusätzlichen Einrichtung zugeordnet und können von dieser ausgewertet werden.
Diese Ergebnisdaten enthalten zum Einen Fehlerinformationen, also die Einschätzung des jeweiligen Teilsystems, ob das überwachte leilsyslem eine Fehlfunklion aufweist oder nicht. Zum Anderen kann diese Fehlerinformation in Form e er Kennung derart ausgeweitet werden, dass konkret angegeben werden kann, bei welchen Prozessdaten und damit bei welcher Funktionalität eb Fehler erkannt wurde. Neben dieser
Fehlerinformation, die also zum Einen eine Ja-Nein-Entscheidung des Fehlers erlaubt oder in eber ausgeweiteten Form den Fehler genau bezeichnen kann (bzw. den zugrundeliegenden Prozess oder die Funktionalität), kann weiterhin in den Ergebnisdaten eine Maßnahmeiibformation vorgesehen sem. Dies bedeutet, dass abhängig von beispielsweise der Fehlerart oder der Prozessdalenart, bei der der Fehler aufgetreten ist oder der Prozessart bzw. Funktionalität, bei der der Fehler zu Tage trat, Fehlermaßnahmen differenziert eingeleitet werden können. Solche Maßnahmen können das Abschalten ebes Teilsystems, den Übergang e es Teilsystems in den Notlauf oder auch das normale Weilerarbeiten bei geringer Fehlerpriorität sein. Bei Übergang in einen Notlauf kann dabei ein vorgegebenes Programm abgearbeitet, feste Werte angenommen oder eine eingeschränkte Funktionalität vorgesehen werden.
Somit kann in einem einfachen Fall ein Voting erfolgen, eben eine N- aus M-Λuswahl oder hier eine 2- aus 3- Auswahl mit fest vorgegebener Fehlerreaktion oder auch in differenzierter Weise abhängig von der Art des Fehlers, wie beschrieben, eine spezielle
Maßnahme e geleitet werden, wobei eine Zuordnung von Maßnahme zu Fehlerart beispielsweise über eine fest vorgegebene Zuordnungstabelle oder andere Auswahlkriterien erfolgen kann. Um beispielsweise bei einem fehlerhaften Prozessor bzw. etaer so fehlerhaften Recheneinheit des Teilsystems 1 zu vermeiden, dass diese selbsttätig durch die eigene Fehlerhaftigkeit die Auswertung der Daten gefährdet, soll die Recheneinheit des Teilsystems 1, also des überwachten Systems, keine Möglichkeil haben, auf die speziellen Datenbereiche bezüglich der Ergebnisdaten in den Speichereinheiten des
Bussystems, die diesem Teilsystem 1 zugeordnet sind, zuzugreifen.
Figur 2 zeigt nun detailliert einen solchen Teilnehmer, der an die Komπ-unikationsverbindung 201 angekoppelt ist. Die Λnkopplung an diese Kommunikationsverbindung 201 erfolgt über eine Busankoppeleinheit 202, welche aus ebem Transceiver 203, einem KommunikationscontroUer 204 und der Speichere-nheit einem Überwachungsregister oder Monitoringregister 205 besieht. Mit dieser Busankoppeleinheit ist das Teilsystem über etae Rechnereinheit 206 verbunden, welche die Steuereinheit bzw. Rechnereinheil, den μC des Teilsystems darstellt. Diese Teileinheit enthält von Sensoren 211 über etae Sensorsignalanpassungse heit 212 gelieferte Eingangsdaten, wobei solche Sensordaten ebenfalls über die Kommunikationsverbindung und die Busankoppeleinheit zur Recheneinheit lieferbar sind. Dies gilt beispielsweise für intelligente Sensorik, die ihrerseits mit der Kommunikationsverbtadung in Verbbdung steht.
Ausgehend von diesen Ebgangsdaten werden Λusgangssignale durch die Rechnereinheit 206 generiert und zum Einen eine Leistungseinheit 209 angesteuert, welche ihrerseits wiederum Λktuatoren 210 bedient. Ebenso sind weitere Signalausgänge über eine Signalanpassungseinheit 208 optional möglich.
Das Überwachungsregister bzw. die Busankoppeleinheit 202 steht direkt mit einer Fehlereinheit 207 b Verbindung. Dadurch kann die Busankoppeleinheit, bsbesondere der Kommunikationscontroller 204 ausgehend von den Daten in den Datenbereichen des Überwachungsregisters 205 Signale ausgeben, beispielsweise an etae Rücksetzeinheit oder Reset-Unit, einen Spannungsregler, also voltage regulator, einen Oszillator und/oder eben watchdog.
In dem Teibehmer 200 nach Figur 2, bestehend eben aus dem entsprechenden Teilsystem und der Busankoppeleinheit, gelangen so die Überwachungsinformationen, also zum Einen die Prozessdaten des überwachten Teilnehmers und zum Anderen die Ergebnisdaten der anderen Teibehmer, sofern er selbst überwacht wird, direkt vom Kommunikationscontroller 204 in die Überwachungsregister, also die Dalenbereiche der Speicheretaheit 205. In diesen Datenbereichen kann nun eine Gewichtung, eben beispielsweise durch Voting erfolgen, welche Maßnahmen eingeleitet werden sollen.
Sind sich die Teilsystems 2 bis 4 respektive die Teilnehmer 102 bis 104 einig, das Teilsystem 1 seine Funktion fehlerhaft erfüllt bzw. ergibt sich eme solche Einschätzung z.B. aus einem entsprechenden Voting, eben z. B. einer 2- aus 3-Auswahl, so kann beispielsweise Teilsystem 1 resetiert, also zurückgesetzt, ganz abgeschaltet oder beispielsweise nur die Leistungseinheil 209 deaktiviert werden. Eine solche
Fehlerreaktion, wie auch schon vorher beschrieben, kann auch durch die Busankoppeleinheit unter Umgehung der Rechnereinheit 206 optional durch direkte Λnsteuerung der Leistungsetaheit 209 bzw. der Signalanpassungseinheit 208, wie durch die gestrichelten Pfeile dargestellt, realisiert werden.
Ist bei mehreren Teilsystemen oder Teilnehmern nur ein Teilnehmer der Meinung, dass das Teilsystem 1 einen Fehler aufweist, so ist denkbar, dass statt dem überwachten Teilsystem in diesem Teilsystem, das den Fehler delektiert hat, ein Fehler vorliegt. Da, wie zu Figur 1 beschrieben, jedes Teilsystem über Kreuz mit diesem Verfahren geprüft werden kann, kann nun speziell dieses Teilsystem auf Fehler hin untersucht werden. So werden dann die Prozessdaten dieses Teilsystems ausgewertet und das Teilsystem, das irrtümlich auf Fehler erkannt hat, wird seinerseits überprüft. Einem fehlerhaften Abschalten wird somit vorgebeugt. Ebenso wird unzureichenden oder falschen Fehlerreaktionen und Maßnahmen vorgebeugt.
Figur 3 zeigt nochmals eine Busankoppeleinheit 300 mit einem Transceiver301, einem Kommumkationscontroller 302 sowie der Speicheretaheit, also dem Überwachungsregister 303. Dieses Überwachungsregister ist hier beispielhaft in vier Datenbereiche Tl, T2, T3 und T4 entsprechend der Anzahl der überwachten oder zu überwachenden Teilnehmer eingeteilt. Diese Dalenbereiche Tl bis T4 können dann wieder semerseits geteilt sein, so dass zum Einen die Prozessdaten des entsprechenden Teilnehmers eingeschrieben werden, zum Anderen die entsprechenden Ergebnisdaten zugeordnet werden können. Diese Datenbereiche können identisch in jeder Busankoppeleinheit vorgesehen sein, wobei entsprechend der Anzahl der überwachten und überwachenden Teibehmer auch beliebige andere Kombbationen denkbar und erfindungsgemäß möglich sind.
Bei Überwachung des Teibehmers Tl werden somit die Prozessdaten dieses Teilnehmers in Tl etageschrieben. Die überwachenden Teilnehmer werten nun diese Prozessdaten aus und erstellen aus dieser Auswertung Ergebnisdaten. Für das Einschreiben der Ergebnisdaten gibt es nun verschiedene Möglichkeiten. Zum Eben können alle Ergebnisdaten der einzelnen Teilnehmer in den Datenbereich des überwachten Teibehmers etageschrieben werden, wobei z. B. durch etae Kennung etae Zuordnung der Daten zum jeweiligen überwachenden Teilnehmer möglich ist. Der
Koπ-munikationscontroller nimmt nun eine Bewertung dieser Ergebnisdaten durch Vergleich oder Voting vor und leitet eine entsprechende Fehlerreaktion ein.
Zum Anderen können die entsprechenden Daten dem jeweiligen teilnehmerzugeordeten Datenbereich eingeschrieben werden, so dass die jeweiligen Prozessdaten des entsprechenden Teilnehmers eingeschrieben werden und diesen Prozessdaten in PE1 von Tl spezielle Bereiche PE2 bis PE4 zugeordnet sind, in welche die jeweiligen Ergebnisdaten eben des Teilnehmers 2, 3 oder 4 eingeschrieben werden, so dass durch den Kommunikatio--scontroller 302 über diese optionale Zeile 304 ein Vergleich und ein Voting sowie die entsprechenden Maßnahmen durchgeführt werden können. Im ersten
Fall entspricht die Anzahl der Datenbereiche der Anzahl der überwachten Teibehmer, so dass jedem überwachten Teilnehmer ein Datenbereich eindeutig zugeordnet ist. Im zweiten Fall entspricht die Anzahl der Datenbereiche der Summe der Anzahl der überwachenden und der überwachten Teilnehmer, wobei, wie schon beschrieben, dabei auch eine Schnittmenge bis vollständigen Übereinstimmung der Anzahl von überwachten und überwachenden Teilnehmern möglich ist, sodaß im Extremfall jeder Teilnehmer von allen anderen überwacht wird..
In Figur 4 nun ist ein redundantes System mit Kommunikationsverbindungen 401 und 402 als Teilnehmer 400 dargestellt. Dabei sind nun zwei Busankoppeleinheiten 403 und
404 vorgesehen, von denen jede mit eber Kommunikationsverbtadung gekoppelt ist. Auch hier enthalten die Busankoppeleinheiten einen Transceiver 405 bzw. 408, einen Kommunikationscontroller 406 respektive 409 sowie ein Überwachungsregister, die Speichereinheit 407 bzw.410. Auch hierbei ist wenigstens eine Fehlereinheit 411 vorgesehen, die durch die Speicheretaheit bzw. die Busankoppeleinheit 404 bedient wird. Dabei kann die selbe Fehlereinheit 411 durch die andere Busankoppeleinheit 403 gleichfalls bedient werden, oder aber es ist eine zweite Fehlereinheit aus Redundanzgründen, also je Busankoppeleinheit eine Fehlereinheit vorgesehen. Beide Busankoppeleinheiten stehen auch hier mit der Rechnereinheit 417 des Teilsystems in Verbindung, welche wiederum von Sensoren 415 über eine
Sensorsignalanpassungsemheit 416 Eingangssignale erhält. Gleichermaßen bildet hier die Rechnereinheit 417 Λusgangssignale zu einer Leistungseinheit 413 oder etaer Signalanpassungseinheit 412. Die Leistungseinheit 413 steuert auch hier Aktuatoren 414
Durch Verwendung eines solchen redundanten Systems ist etae Skalierbarkeit bezüglich der Fehlersicherheit durch Anordnung der Dalenbereiche in den Speichereinheiten 407 bzw.410 möglich. So können die Datenbereiche beispielsweise über die zwei Speichereinheiten verteilt sein oder auch nur teilweise verteilt und teilweise gleichermaßen vorgesehen sein. So ist es möglich, manche Datenbereiche in beiden
Speichereinheiten 407 und 410 vorzusehen und andere Datenbereiche jeweils nur in einer Speicheretaheit. Dadurch ergibt sich eine skalierbare Redundanz, mit welcher sehr flexibel auf sicherheitsrelevante Anforderungen des Systems reagiert werden kann. So kann wenigstens eb Teil der Datenbereiche zum Einen ta jeder Busankoppeleinheit des verteilten Systems, aber auch in jeder Busankoppeleinheit dieses redundanten verteilten
Systems vorgesehen sein. Dies hängt auch msbesondere von der Anzahl der überwachten und/oder der überwachenden Teilnehmer ab.
Damit ist eine sehr flexible und dennoch einfache Form der Fehlerüberwachung in einem verteilten System gegeben.

Claims

Ansprüche
1. Verfahren zur Überwachung eines verteilten Systems, welches aus meberen
Teilnehmern besteht, die mittels eines Bussyslems verbunden sind, dadurch gekennzeichnet, dass wenigstens etae Anzahl der Teilnehmer als überwachende Teibehmer vorgesehen sind und Prozessdaten wenigstens eines überwachten Teilnehmers in Datenbereichen von
Speichereinheiten des Bussystems abgelegt werden auf eiche die überwachenden Teibehmer Zugriff haben und die Prozessdaten durch die überwachenden Teilnehmer ausgewertet werden.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass jeder der Datenbereiche eindeutig einem überwachten Teilnehmer zugeordnet ist.
3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass der überwachte Teilnehmer auf den ihm zugeordneten Datenbereich keinen Zugriff hat.
4. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Datenbereiche über wenigstens zwei Speichereinheiten verteilt sind.
5. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass wenigstens ein Teil der Datenbereiche gleichzeitig in jeder Speichereinheil vorgesehen ist.
6. Verfahren nach Anspruch 1 , dadurch gekennzeichnet, dass jeder überwachende Teilnehmer, außer der überwachte Teilnehmer selbst, abhängig von der Auswertung der Prozessdaten des überwachten Teibehmers Ergebnisdaten erzeugt.
7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass die Ergebnisdaten eine Fehlerinfoπnation enthalten.
8. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass die Ergebnisdaten eine Maßnahmeninformation enthalten.
9. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass die Ergebnisdaten über das Bussyslem zu einem Kommunikationskontroller des Bussystems bei dem überwachten
Teibehmers übertragen werden.
10. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass die Ergebnisdaten in den Datenbereichen abgelegt werden.
11. Verfahren nach Anspruch 2 und 6, dadurch gekennzeichnet, dass die Ergebnisdaten jeweils jedem überwachten Teilnehmer zugeordnet und in den diesen zugeordneten Datenbereichen abgelegt werden.
12. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass zur Überwachung etae gewichtete Fehlerauswahl als n aus m Entscheidung durchgeführt wird, wobei m die Anzahl der überwachenden Teibehmer ist, abzüglich des überwachten selbst und m > 2 mit n > m/2.
13. Vorrichtung zur Überwachung eines verteilten Systems, welches aus mehreren
Teilnehmern besteht, die mittels eines Bussystems verbunden sind, dadurch gekennzeichnet, dass wenigstens eine Anzahl der Teilnehmer als überwachende Teilnehmer vorgesehen sind und erste Mittel vorgesehen sind, welche die Prozessdaten wenigstens eines überwachten Teilnehmers in Datenbereichen von Speichereinheiten des Bussyslems ablegen auf weiche zweite Mittel der überwachenden Teilnehmer Zugriff haben und diese zweiten Mittel die
Prozessdaten auswerten.
14. Vorrichtung nach Anspruch 13, dadurch gekennzeichnet, dass jede der Speicherebheiten einem überwachenden Teibehmer zugeordnet ist.
15. Bussystem zur Überwachung eines verteilten Systems, welches aus mehreren Teilnehmern besteht, die mittels des Bussystems verbunden sind, dadurch gekennzeichnet, dass wenigstens eine Anzahl der Teilnehmer als überwachende Teilnehmer vorgesehen sind und erste Mittel vorgesehen smd, welche die Prozessdaten wenigstens ebes überwachten Teilnehmers in Datenbereichen von Speicheretaheiten des Bussystems ablegen aufweiche zweite Mittel der überwachenden Teilnehmer Zugriff haben und diese zweiten Mittel die Prozessdaten auswerten.
16. Verteiltes System, welches aus mehreren Teilnehmern besteht, die mittels eines Bussystems verbunden sbd, dadurch gekennzeichnet, dass wenigstens etae Anzahl der Teilnehmer als überwachende Teilnehmer vorgesehen sind und erste Mittel vorgesehen sind, welche die Prozessdaten wenigstens eines überwachten Teilnehmers in Datenbereichen von
Speicherebheiten des Bussystems ablegen aufweiche zweite Mittel der überwachenden Teilnehmer Zugriff haben und diese zweiten Mittel die Prozessdaten auswerten.
PCT/EP2004/050704 2003-06-23 2004-05-04 Verfahren und vorrichtung zur überwachung eines verteilten systems WO2005001692A2 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
US10/560,124 US7502973B2 (en) 2003-06-23 2004-05-04 Method and device for monitoring a distributed system
EP04731022A EP1649373A2 (de) 2003-06-23 2004-05-04 Verfahren und vorrichtung zur berwachung eines verteilten s ystems

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE10328059A DE10328059A1 (de) 2003-06-23 2003-06-23 Verfahren und Vorrichtung zur Überwachung eines verteilten Systems
DE10328059.6 2003-06-23

Publications (2)

Publication Number Publication Date
WO2005001692A2 true WO2005001692A2 (de) 2005-01-06
WO2005001692A3 WO2005001692A3 (de) 2005-04-21

Family

ID=33520796

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2004/050704 WO2005001692A2 (de) 2003-06-23 2004-05-04 Verfahren und vorrichtung zur überwachung eines verteilten systems

Country Status (4)

Country Link
US (1) US7502973B2 (de)
EP (1) EP1649373A2 (de)
DE (1) DE10328059A1 (de)
WO (1) WO2005001692A2 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2015182A3 (de) * 2007-05-30 2010-03-24 Hitachi Ltd. Verteiltes System
EP2045721A3 (de) * 2007-07-04 2010-04-21 Denso Corporation Fehlerüberwachungsvorrichtung mit mehreren Kernen
WO2010067308A2 (en) 2008-12-08 2010-06-17 Compugen Ltd. Polypeptides and polynucleotides, and uses thereof as a drug target for producing drugs and biologics

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102004041428A1 (de) * 2004-08-27 2006-03-02 Daimlerchrysler Ag Systemintegrationsprüfstand für vernetzte mechatronische Gesamtsysteme
US20080298256A1 (en) * 2007-05-30 2008-12-04 Hitachi, Ltd. Distributed System
US7913030B2 (en) * 2007-12-28 2011-03-22 Sandisk Il Ltd. Storage device with transaction logging capability
US7979662B2 (en) * 2007-12-28 2011-07-12 Sandisk Il Ltd. Storage device with transaction indexing capability
FR3000196B1 (fr) * 2012-12-21 2015-02-06 Airbus Operations Sas Dispositif de mise a disposition de valeurs de parametres de navigation d'un vehicule

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4321666A (en) * 1980-02-05 1982-03-23 The Bendix Corporation Fault handler for a multiple computer system
EP1107119A2 (de) * 1999-12-02 2001-06-13 Sun Microsystems, Inc. Erweiterung der Gruppenzugehörigkeit und Quorumsbestimmung zu intelligenten Speicherbereichsystemens

Family Cites Families (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB1253309A (en) * 1969-11-21 1971-11-10 Marconi Co Ltd Improvements in or relating to data processing arrangements
US3783250A (en) * 1972-02-25 1974-01-01 Nasa Adaptive voting computer system
GB1434186A (en) * 1972-04-26 1976-05-05 Gen Electric Co Ltd Multiprocessor computer systems
US3898621A (en) * 1973-04-06 1975-08-05 Gte Automatic Electric Lab Inc Data processor system diagnostic arrangement
US4015246A (en) * 1975-04-14 1977-03-29 The Charles Stark Draper Laboratory, Inc. Synchronous fault tolerant multi-processor system
JPS594054B2 (ja) * 1979-04-17 1984-01-27 株式会社日立製作所 マルチプロセツサ障害検出方式
US4323966A (en) * 1980-02-05 1982-04-06 The Bendix Corporation Operations controller for a fault-tolerant multiple computer system
US4453213A (en) * 1981-07-30 1984-06-05 Harris Corporation Error reporting scheme
US4926315A (en) * 1981-10-01 1990-05-15 Stratus Computer, Inc. Digital data processor with fault tolerant peripheral bus communications
US4757442A (en) * 1985-06-17 1988-07-12 Nec Corporation Re-synchronization system using common memory bus to transfer restart data from non-faulty processor to failed processor
US4965717A (en) * 1988-12-09 1990-10-23 Tandem Computers Incorporated Multiple processor system having shared memory with private-write capability
JPH07117905B2 (ja) * 1989-02-09 1995-12-18 日本電気株式会社 マイクロプロセッサ
US5295258A (en) * 1989-12-22 1994-03-15 Tandem Computers Incorporated Fault-tolerant computer system with online recovery and reintegration of redundant components
JPH0469141A (ja) * 1990-07-10 1992-03-04 Fujitsu Ltd 障害の集中・分散管理処理方式
CA2068048A1 (en) * 1991-05-06 1992-11-07 Douglas D. Cheung Fault tolerant processing section with dynamically reconfigurable voting
JP2500038B2 (ja) * 1992-03-04 1996-05-29 インターナショナル・ビジネス・マシーンズ・コーポレイション マルチプロセッサ・コンピュ―タ・システム、フォ―ルト・トレラント処理方法及びデ―タ処理システム
JP2812045B2 (ja) * 1992-03-16 1998-10-15 株式会社日立製作所 高信頼型分散処理システム
US5265832A (en) * 1992-03-18 1993-11-30 Aeg Transportation Systems, Inc. Distributed PTU interface system
US5485573A (en) * 1993-07-16 1996-01-16 Unisys Corporation Method and apparatus for assisting in the determination of the source of errors in a multi-host data base management system
US5453737A (en) * 1993-10-08 1995-09-26 Adc Telecommunications, Inc. Control and communications apparatus
DE19500188B4 (de) 1995-01-05 2006-05-11 Robert Bosch Gmbh Schaltungsanordnung für eine Bremsanlage
US5666483A (en) * 1995-09-22 1997-09-09 Honeywell Inc. Redundant processing system architecture
GB9606833D0 (en) * 1996-03-30 1996-06-05 Int Computers Ltd Multi-processor system
US5799022A (en) * 1996-07-01 1998-08-25 Sun Microsystems, Inc. Faulty module location in a fault tolerant computer system
US5991518A (en) * 1997-01-28 1999-11-23 Tandem Computers Incorporated Method and apparatus for split-brain avoidance in a multi-processor system
US5923830A (en) * 1997-05-07 1999-07-13 General Dynamics Information Systems, Inc. Non-interrupting power control for fault tolerant computer systems
US5931959A (en) * 1997-05-21 1999-08-03 The United States Of America As Represented By The Secretary Of The Air Force Dynamically reconfigurable FPGA apparatus and method for multiprocessing and fault tolerance
US6256753B1 (en) * 1998-06-30 2001-07-03 Sun Microsystems, Inc. Bus error handling in a computer system
US6449732B1 (en) * 1998-12-18 2002-09-10 Triconex Corporation Method and apparatus for processing control using a multiple redundant processor control system
US6651242B1 (en) * 1999-12-14 2003-11-18 Novell, Inc. High performance computing system for distributed applications over a computer
US6523139B1 (en) * 1999-12-17 2003-02-18 Honeywell International Inc. System and method for fail safe process execution monitoring and output control for critical systems
FR2803057B1 (fr) * 1999-12-22 2002-11-29 Centre Nat Etd Spatiales Systeme informatique tolerant aux erreurs transitoires et procede de gestion dans un tel systeme
US6862613B1 (en) * 2000-01-10 2005-03-01 Sun Microsystems, Inc. Method and apparatus for managing operations of clustered computer systems
US6732300B1 (en) * 2000-02-18 2004-05-04 Lev Freydel Hybrid triple redundant computer system
US6665811B1 (en) * 2000-08-24 2003-12-16 Hewlett-Packard Development Company, L.P. Method and apparatus for checking communicative connectivity between processor units of a distributed system
US6928583B2 (en) * 2001-04-11 2005-08-09 Stratus Technologies Bermuda Ltd. Apparatus and method for two computing elements in a fault-tolerant server to execute instructions in lockstep
US7260741B2 (en) * 2001-09-18 2007-08-21 Cedar Point Communications, Inc. Method and system to detect software faults
US6938183B2 (en) * 2001-09-21 2005-08-30 The Boeing Company Fault tolerant processing architecture
US7363543B2 (en) * 2002-04-30 2008-04-22 International Business Machines Corporation Method and apparatus for generating diagnostic recommendations for enhancing process performance
US7089484B2 (en) * 2002-10-21 2006-08-08 International Business Machines Corporation Dynamic sparing during normal computer system operation
US7373557B1 (en) * 2003-04-04 2008-05-13 Unisys Corporation Performance monitor for data processing systems

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4321666A (en) * 1980-02-05 1982-03-23 The Bendix Corporation Fault handler for a multiple computer system
EP1107119A2 (de) * 1999-12-02 2001-06-13 Sun Microsystems, Inc. Erweiterung der Gruppenzugehörigkeit und Quorumsbestimmung zu intelligenten Speicherbereichsystemens

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
SALIM HARIRI ET AL: "ARCHITECTURAL SUPPORT FOR DESIGNING FAULT-TOLERANT OPEN DISTRIBUTED SYSTEMS" COMPUTER, IEEE COMPUTER SOCIETY, LONG BEACH., CA, US, US, Bd. 25, Nr. 6, 1. Juni 1992 (1992-06-01), Seiten 50-61, XP000303775 ISSN: 0018-9162 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2015182A3 (de) * 2007-05-30 2010-03-24 Hitachi Ltd. Verteiltes System
EP2045721A3 (de) * 2007-07-04 2010-04-21 Denso Corporation Fehlerüberwachungsvorrichtung mit mehreren Kernen
WO2010067308A2 (en) 2008-12-08 2010-06-17 Compugen Ltd. Polypeptides and polynucleotides, and uses thereof as a drug target for producing drugs and biologics
EP2865689A1 (de) 2008-12-08 2015-04-29 Compugen Ltd. FAM26F Polypeptide und Polynukleotide und Verwendungen davon als Arzneimittel-Target zur Herstellung von Arzneimitteln und Biologika

Also Published As

Publication number Publication date
US7502973B2 (en) 2009-03-10
US20060248409A1 (en) 2006-11-02
EP1649373A2 (de) 2006-04-26
WO2005001692A3 (de) 2005-04-21
DE10328059A1 (de) 2005-01-13

Similar Documents

Publication Publication Date Title
EP1600831B1 (de) Verfahren und Vorrichtung zur Überwachung mehrerer Steuergeräte mittels einer Frage-Antwort-Kommunikation
DE60019038T2 (de) Intelligente Fehlerverwaltung
EP1597643B1 (de) Vorrichtung und verfahren zur modellbasierten on-board-diagnose
WO2002041148A1 (de) Vorrichtung zur überwachung eines prozessors
WO2008040641A2 (de) Verfahren und vorrichtung zur fehlerverwaltung
DE10331873A1 (de) Verfahren zur Überwachung verteilter Software
WO2000018613A1 (de) Verfahren zur fehlererkennung von mikroprozessoren in steuergeräten eines kfz
DE19509150C2 (de) Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-Bremsanlage
EP3709166B1 (de) Verfahren und system zur sicheren signalmanipulation für den test integrierter sicherheitsfunktionalitäten
EP1479003B1 (de) Verfahren und vorrichtung zur steuerung einer funktionseinheit eines kraftfahrzeugs
EP3473512A1 (de) Funktionsmodul, steuereinheit für ein betriebsassistenzsystem und arbeitsvorrichtung
EP1700211B1 (de) Laden von software-modulen
WO1998028687A1 (de) Verfahren zur überprüfung der funktionsfähigkeit einer recheneinheit
DE102007029116A1 (de) Verfahren zum Betreiben eines Mikrocontrollers und einer Ausführungseinheit sowie ein Mikrocontroller und eine Ausführungseinheit
EP1649373A2 (de) Verfahren und vorrichtung zur berwachung eines verteilten s ystems
EP3983897B1 (de) Verfahren zum sicherstellen und aufrechterhalten der funktion eines sicherheitskritischen gesamtsystems
WO2003075104A2 (de) Einrichtung und verfahren zur beurteilung und erzielung von sicherheit bei systemen sowie entsprechendes computerprogramm
DE102012221277A1 (de) Fahrzeugsteuervorrichtung
EP1733284B1 (de) Ablaufsteuerung von funktionen auf miteinander wechselwirkenden geräten
DE102007046706A1 (de) Steuervorrichtung für Fahrzeuge
WO2011000651A1 (de) Verfahren und system zur ansteuerung von mindestens einem aktuator
EP2013731A1 (de) Schaltungsanordnung und verfahren zum betrieb einer schaltungsanordnung
DE10002519C1 (de) Verfahren zur Verhinderung von Fehlfunktionen in einem signalverarbeitenden System und Prozessorsystem
DE102011011224A1 (de) Steuergeräteanordnung
DE102019134872B4 (de) Verbesserung der Betriebsparameter eines Rechensystems im Fahrzeug

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A2

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BW BY BZ CA CH CN CO CR CU CZ DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NA NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A2

Designated state(s): BW GH GM KE LS MW MZ NA SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IT LU MC NL PL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 2004731022

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 2006248409

Country of ref document: US

Ref document number: 10560124

Country of ref document: US

WWP Wipo information: published in national office

Ref document number: 2004731022

Country of ref document: EP

WWP Wipo information: published in national office

Ref document number: 10560124

Country of ref document: US