WO1990004287A1 - Process and device for monitoring failures of timing signals - Google Patents

Process and device for monitoring failures of timing signals Download PDF

Info

Publication number
WO1990004287A1
WO1990004287A1 PCT/DE1988/000671 DE8800671W WO9004287A1 WO 1990004287 A1 WO1990004287 A1 WO 1990004287A1 DE 8800671 W DE8800671 W DE 8800671W WO 9004287 A1 WO9004287 A1 WO 9004287A1
Authority
WO
WIPO (PCT)
Prior art keywords
signal
clock
clock signal
test
flip
Prior art date
Application number
PCT/DE1988/000671
Other languages
German (de)
French (fr)
Inventor
Hermann-Josef Wiegand
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Publication of WO1990004287A1 publication Critical patent/WO1990004287A1/en

Links

Classifications

    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R29/00Arrangements for measuring or indicating electric quantities not covered by groups G01R19/00 - G01R27/00
    • G01R29/02Measuring characteristics of individual pulses, e.g. deviation from pulse flatness, rise time or duration
    • G01R29/027Indicating that a pulse characteristic is either above or below a predetermined value or within or beyond a predetermined range of values
    • G01R29/0273Indicating that a pulse characteristic is either above or below a predetermined value or within or beyond a predetermined range of values the pulse characteristic being duration, i.e. width (indicating that frequency of pulses is above or below a certain limit)
    • HELECTRICITY
    • H03ELECTRONIC CIRCUITRY
    • H03KPULSE TECHNIQUE
    • H03K5/00Manipulating of pulses not covered by one of the other main groups of this subclass
    • H03K5/19Monitoring patterns of pulse trains

Definitions

  • the invention has for its object to provide a simple clock signal failure monitoring, which does not require the use of capacitors. This object is achieved according to the invention with the measures specified in the patent claim.

Abstract

The timing signals to be monitored are preferably converted by a binary divider into a square pulse sequence having a pulse-duty factor equal to 2 (interpulse period = pulse duration) and a period that is more than twice as long as the period of a test timing signal. The timing signals thus converted are then scanned by the test timing signal of the signal level of the square pulse sequence. The absence of changes in the signal level during a test cycle is taken as a criterion for a disturbed timing signal.

Description

Verfahren und Einrichtung zur Ausfallüberwachung eines TaktsignalsMethod and device for monitoring the failure of a clock signal
Die vorliegende Erfindung bezieht sich auf ein Verfahren und eine Einrichtung zur Ausfallüberwachung eines Taktsignals, was besonders bei hochsicheren Mikroprozessoren von Wichtigkeit ist, Dort sollen Taktfehler erkannt und bei Bedarf zur Verhinderung von Rückwirkungen das diesbezüglich fehlerhafte Systemteil ab¬ geschaltet werden. Taktzyklusüberwachungen - auch als "watch dogs" bezeichnet - sollten eigenständig die Fehlerreaktion aktiv einleiten zu können.The present invention relates to a method and a device for monitoring the failure of a clock signal, which is particularly important in the case of highly secure microprocessors. There, clock errors are to be recognized and, if necessary, the system part which is defective in this regard is to be switched off to prevent repercussions. Cycle monitoring - also known as "watch dogs" - should be able to actively initiate the error response independently.
Man könnte daran denken, derartige eigenständige Zyklusüber¬ wachungen mit retriggerbaren monostabilen Kippstufen zu imple- mentieren, welche vom zu überwachenden Taktsignal jeweils ange¬ stoßen werden und bei Ausfall desselben eine Fehlermeldung pro¬ duzieren. Eine monostabile Kippstufe enthält jedoch als wesent¬ liches Element einen Kondensator, dessen Einbau in die heutzu¬ tage hochintegrierten Halbleiterschaltkreise Schwierigkeiten bereitet, wenn nicht gar unmöglich ist.One could think of implementing such independent cycle monitors with retriggerable monostable flip-flops which are triggered by the clock signal to be monitored and produce an error message if the clock signal fails. However, a monostable multivibrator contains, as an essential element, a capacitor, the installation of which in today's highly integrated semiconductor circuits is difficult, if not impossible.
Die Erfindung stellt sich die Aufgabe, mit einfachen Mitteln eine sichere Taktsignalausfallüberwachung anzugeben, welche ohne die Verwendung von Kondensatoren auskommt. Die Lösung die- ser Aufgabe gelingt erfindungsgemäß mit den im Patentanspruch angegebenen Maßnahmen.The invention has for its object to provide a simple clock signal failure monitoring, which does not require the use of capacitors. This object is achieved according to the invention with the measures specified in the patent claim.
Die Erfindung samt ihren weiteren Ausgestaltungen, welche in Unteransprüchen gekennzeichnet sind, soll nachstehend anhand der Figuren näher erläutert werden. Es zeigen:The invention together with its further refinements, which are characterized in the subclaims, will be explained in more detail below with reference to the figures. Show it:
FIG 1 beispielhafte Impulsdiagramme zur Erläuterung des erfindungsgemäßen Verfahrens, FIG 2 eine vorteilhafte gerätetechnische Realisierung des erfindungsgemäßen Verfahren, FIG 3 ein Blockschaltbild für eine gegenseitige Ausfallüber¬ wachung zweier Taktsignale, FIG 4 ein Blockschaltbild zur Taktüberwachung bei einem mehr¬ fach redundanten Taktversorgungssystem und FIG 5 eine fehlertolerante Ausführungsvariante der Taktüber¬ wachung nach FIG 4.1 shows exemplary pulse diagrams for explaining the method according to the invention, 2 shows an advantageous technical implementation of the method according to the invention, FIG. 3 shows a block diagram for mutual failure monitoring of two clock signals, FIG. 4 shows a block diagram for clock monitoring in a multiple redundant clock supply system, and FIG. 5 shows a fault-tolerant variant of the clock monitoring according to FIG. 4.
In der obersten Zeile der in FIG 1 dargestellten Impulsdiagramm ist das zu überwachende Taktsignal T dargestellt, dessen Fre¬ quenz fτ und damit dessen Periodendauer l/fτ beträgt. Die dritt Zeile von FIG 1 gibt das Prüftaktsignal PT mit der Frequenz f bzw. der Periodendauer l/f wieder. Das zu überwachende Takt- signal T wird in eine Rechteckimpulsfolge T1 mit dem Tastver¬ hältnis 2 (Impulsdauer = Impulspause) umgeformt, was in sehr einfacher Weise mit einem als Frequenzteiler verwendeten Binär¬ teiler erfolgen kann, wobei mit entsprechender Wahl des Teiler- Verhältnisses die Periodendauer der Rechteckimpulsfolge T1 so festgelegt wird, daß sie mehr als doppelt so groß ist wie die Periodendauer des Prüftaktsignals PT, von welchem ebenfalls mit tels Frequenzteilung eine weitere Impulsfolge PT' abgeleitet wird, deren Periodendauer l/fpτι die Dauer jeweils aufeinander¬ folgender Prüfzyklen PZ bestimmt. Die Prüfzyklusdauer PZ bzw. das Frequenzteilerverhältnis, mit dem die Frequenz des Prüftakt signals PT reduziert wird, soll so gewählt werden, daß sie gleich oder größer als die Periodendauer der Rechteckimpulsfol¬ ge T1 ist. Damit wird sichergestellt, daß bei ordnungsgemäßer Taktversorgung T innerhalb eines jeden Prüfzyklus PZ eine Ände- rung des Signalpegels der von dem Taktsignal T abgeleitetenThe top line of the pulse diagram shown in FIG. 1 shows the clock signal T to be monitored, the frequency of which is f τ and thus the period duration is l / f τ . The third line of FIG. 1 shows the test clock signal PT with the frequency f or the period l / f . The clock signal T to be monitored is converted into a rectangular pulse sequence T 1 with the duty cycle 2 (pulse duration = pulse pause), which can be done very simply with a binary divider used as a frequency divider, with a corresponding choice of the divider ratio the period of the rectangular pulse train T 1 is set so that it is more than twice as large as the period of the test clock signal PT, from which another pulse train PT 'is derived with frequency division, the period l / f pτι the duration of each other following test cycles PZ determined. The test cycle duration PZ or the frequency divider ratio with which the frequency of the test clock signal PT is reduced should be selected so that it is equal to or greater than the period of the rectangular pulse train T 1 . This ensures that, with a correct clock supply T, a change in the signal level of those derived from the clock signal T within each test cycle PZ
Rechteckimpulsfolge T' auftritt, was durch Abtastung des Recht¬ ecksignals T' jeweils zu den Zeitpunkten ansteigender Impuls¬ flanken des Prüftaktsignals PT erfaßt werden kann. Liegt z.B. zum Zeitpunkt t bei ansteigender Impulsflanke des Prüftakt- signals PT ein H-Signalpegel der Rechteckimpulsfolge T1 vor, so wird der Ausgang AI einer ersten Speichereinrichtung auf H-Signal gesetzt, während ein L-Signalpegel der Rechteckimpuls¬ folge T1 zum Zeitpunkt t einer aufsteigenden Impulsflanke des Prüftaktsignals PT am Ausgang A2 einer zweiten Speichereinrich¬ tung auf H-Signal bewirken würde. Am Ende jedes Prüfzyklus PZ müssen also bei ordnungsgemäßer Taktversorgung T beide Signale AI und A2 H-(High)-Signale sein. Die beiden Speichereinrichtun¬ gen für die Pegelwerte werden am Ende jedes Prüfzyklus PZ zurück¬ gesetzt, was innerhalb einer vernachlässigbar kleinen, durch Si¬ gnallaufzeiten der eingesetzten Bauteile bedingten Zeit tR er- folgt und ein neuer Prüfzyklus PZ kann beginnen. Bei Ausfall der Taktversorgung T weisen die Ausgangssignale AI und A2 der Abtastspeichereinrichtungen nicht beide ein H-Signal auf, was als Taktfehler unter Ausgabe eines entsprechenden Warnsignals erkannt werden kann.Rectangular pulse sequence T 'occurs, which can be detected by sampling the rectangular signal T' at the time of rising pulse edges of the test clock signal PT. If, for example, an H signal level of the rectangular pulse sequence T 1 is present at the time t on a rising pulse edge of the test clock signal PT, the output AI of a first memory device is opened H signal set, while an L signal level of the rectangular pulse train T 1 at time t would cause an ascending pulse edge of the test clock signal PT at output A2 of a second memory device to produce an H signal. At the end of each test cycle PZ, if the clock supply T is correct, both signals AI and A2 must be H (high) signals. The two memory devices for the level values are reset at the end of each test cycle PZ, which takes place within a negligibly short time t R caused by the signal propagation times of the components used, and a new test cycle PZ can begin. If the clock supply T fails, the output signals AI and A2 of the scan memory devices do not both have an H signal, which can be recognized as a clock error with the output of a corresponding warning signal.
Bezeichnet man mit nτ das Verhältnis von Taktsignalfrequenz fγ zu der Frequenz der von ihr durch Frequenzteilung abgeleiteten Rechteckimpulsfolge T1 und mit n das Verhältnis der Prüftakt¬ frequenz f zu der Frequenz fp-*-* der ebenfalls aus ihr durch Frequenzteilung gewonnenen und den Prüfzyklus PZ bestimmenden Rechteckimpulsfolge PT' , dann läßt sich eine Taktausfallüber¬ wachung für beliebige Werte von Taktsignalfrequenz und Prüf- taktsignalfrequenz realisieren, wenn erfindungsgemäß folgende Bedingungen eingehalten werden:Denote by n τ the ratio of clock signal frequency f γ to the frequency of the rectangular pulse train T 1 derived from it by frequency division, and by n the ratio of the test clock frequency f to the frequency fp - * - * of that also obtained from it by frequency division and the rectangular pulse sequence PT 'determining the test cycle PZ, then clock failure monitoring can be implemented for any values of clock signal frequency and test clock signal frequency if the following conditions are met according to the invention:
nτ ^ 2 . fτ/f (1)n τ ^ 2. f τ / f (1)
Figure imgf000005_0001
Figure imgf000005_0001
Bei dem in FIG 1 dargestellten Beispiel sollen sich die Fre¬ quenzen von Taktsignal T und Prüftaktsignal PT wie 4 : 5 ver¬ halten. Nach obiger Gleichung (1) ergäbe sich damit ein Teiler¬ verhältnis zwischen Taktsignal T und Rechteckimpulsfolge T1 von f_/f w 1,6, für im allgemeinen nur ganzzahlig realisierbare Teilerverhältnisse daher ein Teilerverhältnis von nτ = 2. Damit würde der gemäß Gleichung (2) vorzusehende Teilerfaktor n gleich oder größer als 2,5 zu bemessen sein. Beim Beispiel der FIG 1 wurde ein Teilerverhältnis n von 4 gewählt, was auf recht einfache Weise mittels eines Binärteilers realisierbar ist. Es wäre jedoch zur Erfüllung der Gleichung (2) auch ein Teilerverhältnis von 3 möglich gewesen, was zu einer Verkür¬ zung der Prüfungszykluszeit PZ und damit zu einer schnelleren Ausgabe eines Warnsignals bei einem Taktsignalausfall geführt hätte.In the example shown in FIG. 1, the frequencies of clock signal T and test clock signal PT should behave as 4: 5. According to equation (1) above, this would result in a divider ratio between clock signal T and square-wave pulse train T 1 of f_ / f w 1.6, so for divider ratios that can generally only be implemented as an integer, a divider ratio of n τ = 2 Equation (2) to be provided divider factor n be equal to or greater than 2.5. In the example of FIG. 1, a division ratio n of 4 was chosen, which can be realized in a very simple manner using a binary divider. However, a division ratio of 3 would have been possible to fulfill equation (2), which would have shortened the test cycle time PZ and thus would have led to a faster output of a warning signal in the event of a clock signal failure.
FIG 2 zeigt eine vorteilhafte gerätetechnische Realisierung eines nach dem erfindungsgemäßen Verfahren arbeitenden Takt¬ monitors TM. Er enthält vier flankengesteuerten D-Kippglieder Kl bis K4. Bei flankengesteuerten D-Kippgliedern wird bei an¬ steigenden Impulsflanken des am Steuereingang C anstehenden Signals die Information des am D-Eingang anliegenden Signals übernommen und erscheint als Ausgangssignal des dem gesteuerten Eingang D zugeordneten Ausgangs Q. Die Steuereingänge C der D-Kippglieder Kl und K2 werden von dem an der Eingangsklemme 1 anliegenden, zu überwachenden Taktsignal T über einen Frequenz- teuer FT1 mit dem Teilerverhältnis nτ beaufschlagt, während das an der Eingangsklemme 2 anliegende Prüftaktsignal PT den Steuereingängen C der D-Kippglieder Kl und K2 unmittelbar zuge¬ führt ist. Ein zweiter Frequenzteiler FT2 mit dem Teilerfaktor n reduziert die Frequenz des Prüftaktsignales PT und die ent- sprechend diesem Teilerfaktor n frequenzreduzierte Spannung ist den Steuereingängen C der D-Kippglieder K3 und K4 zugeführt. Die Teilerfaktoren nτ und n sind entsprechend den Gleichungen (1) und (2) bemessen, wobei die Frequenzteiler selbst entweder aus repetierend arbeitenden voreingestellten Zählern oder aus Binärteilern bestehen. Bei den D-Kippgliedern Kl und K2 sind jeweils die Ausgänge Q auf ihre Setzeingänge S rückgekoppelt, womit eine Selbsthaltung in der Weise bewerkstelligt wird, daß bei einmal eingenommenen H-Signal des Ausgangs dieser auf den Setzeingang S rückgekoppelte Zustand solange beibehalten wird, bis am dominierenden Rücksetzeingang R ein H-Signal angelegt wird. Die Ausgänge AI und A2 der Kippglieder Kl und K2 sind jeweils mit den Eingängen eines UND-Gatters AN und eines NAND- Gatters N verbunden, deren Ausgänge die D-Eingänge der Kippglie¬ der K3 bzw. K4 beaufschlagen. Der Ausgang Q des Kippgliedes K3 ist mit den Rücksetzeingängen R der Kippglieder Kl und K2 ver- bunden, während der Q-Ausgang des Kippgliedes K4 mit der Aus¬ gangsklemme 3 zur Abgabe eines Taktfehlersignales TF bei Takt¬ signalausfall verbunden ist. Zur Rücksetzung des Kippgliedes K4 ist eine weitere, mit RS bezeichnete Eingangsklemme vorhanden, welche zur Wiederinbetriebnahme des Taktmonitors nach durchge- führter Reparatur des Taktsystems kurzzeitig mit einem H-Signal zu beaufschlagen ist.2 shows an advantageous implementation in terms of device technology of a clock monitor TM operating according to the inventive method. It contains four edge-controlled D flip-flops Kl to K4. In the case of edge-controlled D flip-flops, when the pulse edges of the signal present at control input C rise, the information of the signal present at the D input is adopted and appears as the output signal of output Q assigned to controlled input D. Control inputs C of D flip-flops K1 and K2 are applied to the clock signal T to be monitored at the input terminal 1 via a frequency expensive FT1 with the divider ratio n τ , while the test clock signal PT applied to the input terminal 2 is fed directly to the control inputs C of the D flip-flops K1 and K2 . A second frequency divider FT2 with the divider factor n reduces the frequency of the test clock signal PT and the frequency-reduced voltage corresponding to this divider factor n is fed to the control inputs C of the D flip-flops K3 and K4. The divider factors n τ and n are dimensioned according to equations (1) and (2), the frequency dividers themselves consisting either of repetitive preset counters or of binary dividers. In the case of the D flip-flops Kl and K2, the outputs Q are each fed back to their set inputs S, so that latching is achieved in such a way that, once the output H signal has been received, this state, which is fed back to the set input S, is maintained until on dominating reset input R an H signal is applied. The outputs AI and A2 of the flip-flops Kl and K2 are each connected to the inputs of an AND gate AN and a NAND gate N, the outputs of which act on the D inputs of the Kippglie¬ der K3 and K4. The output Q of the flip-flop K3 is connected to the reset inputs R of the flip-flops K1 and K2, while the Q output of the flip-flop K4 is connected to the output terminal 3 for emitting a clock error signal TF in the event of a clock signal failure. To reset the flip-flop K4, there is a further input terminal, designated RS, which is to be briefly supplied with an H signal to restart the clock monitor after the clock system has been repaired.
Die Wirkungsweise des in FIG 2 dargestellten Taktmonitors TM ist unter Hinzuziehung der Impulsdiagramme der FIG 1 wie folgt: Wurde im vorherigen Prüfzyklus PZ kein Taktfehler festgestellt, dann werden die Kippglieder Kl und K2 durch das ein H-Signal aufweisende Ausgangssignal Q der Kippstufe K3 zurückgestellt, d.h. sie befinden sich dann in dem Zustand, in dem ihre Q-Aus- gänge jeweils L-(Low)-Signal aufweisen. Als Folge davon ist das Ausgangssignal des UND-Gatters AN ein L-Signal, welches - inver¬ tiert auf den Rücksetzeingang der Kippstufe K3 wirkend - am Q- Ausgang derselben ein L-Signal erzwingt. Beim nächsten an den Steuereingängen der D-Kippglieder Kl und K2 eintreffenden Im¬ puls des Prüftaktsignales PT wird eines der beiden Kippglieder gesetzt, je nachdem, ob der Signalpegel der Rechteckimpulsfolge T1 ein L- oder ein H-Signal ist. In Übereinstimmung mit dem in FIG 1 dargestellten Verlauf soll angenommen werden, daß zum Zeitpunkt t der erste nach Prüfzyklusbeginn eintreffende Im¬ puls des Prüftaktsignales PT einen H-Signalpegel beim Signal T1 vorfindet, so daß ein H-Signal von dem Kippglied Kl übernommen wird und das Signal AI ebenfalls zu einem H-Signal wird. Ist dagegen bei einer ansteigenden Impulsflanke des Prüftaktsignals PT der Signalpegel der Rechteckimpulsfolge T1 ein L-Signal, was in FIG 1 beispielsweise zum Zeitpunkt t der Fall ist, dann liegt infolge der Invertierung am D-Eingang des Kippgliedes K2 ein H-Signal an, welches von diesem Kippglied gespeichert wird, so daß das Ausgangssignal A2 an deren Q-Ausgang ebenfalls zu einem H-Signal wird. Infolge der Selbsthaltewirkung der rückge¬ koppelten Ausgangssignale AI und A2 bleiben diese Zustände der Kippglieder Kl und K2 für den Rest des Prüfzyklus erhalten. Ist also während eines Prüfzyklus PZ eine Änderung des Signalpegels bei der vom zu überwachenden Taktsignal T abgeleiteten Prüftakt¬ impulsfolge T1 eingetreten, dann besteht das Ausgangssignal des UND-Gatters AN in einem H-Signal und am Ende des Prüfzyklus be¬ wirkt die ansteigende Impulsflanke der Rechteckimpulsfolge PT1 am C-Eingang des D-Kippgliedes K3, daß an seinem Q-Ausgang ein H-Signal absteht und unter Rücksetzung der Kippglieder Kl und K2 ein neuer Prüfzyklus vorbereitet wird, der dann in der eben beschriebenen Weise wieder abläuft. Hat jedoch innerhalb eines Prüfzyklus infolge des Ausfalls des Taktsignals T kein Signal- Wechsel bei der Rechteckimpulsfolge T1 stattgefunden, so sind am Ende des Prüfzyklus die Ausgangssignale AI und A2 nicht gleich¬ zeitig H-Signale und der Ausgang des NAND-Gatters NA weist ein H-Signal auf, welches bei Ende des Prüfzyklus ein auf ein ge¬ störtes Taktsignal hinweisendes Taktfehlersignal TF an der Aus- gangsklemme 3 hervorruft.The mode of operation of the clock monitor TM shown in FIG. 2, using the pulse diagrams of FIG. 1, is as follows: If no clock error was found in the previous test cycle PZ, the flip-flops K1 and K2 are reset by the output signal Q of the flip-flop K3, which has an H signal, ie they are then in the state in which their Q outputs each have an L (low) signal. As a result of this, the output signal of the AND gate AN is an L signal which, when inverted and acting on the reset input of the trigger circuit K3, forces an L signal at the Q output thereof. At the next pulse of the test clock signal PT arriving at the control inputs of the D flip-flops K1 and K2, one of the two flip-flops is set, depending on whether the signal level of the rectangular pulse train T 1 is an L or an H signal. In accordance with the curve shown in FIG. 1, it should be assumed that at time t the first pulse of the test clock signal PT arriving after the start of the test cycle finds an H signal level in the signal T 1 , so that an H signal is taken over by the flip-flop Kl and the signal AI also becomes an H signal. If, on the other hand, the signal level of the rectangular pulse train T 1 is an L signal on a rising pulse edge of the test clock signal PT, which is the case in FIG. 1 for example at time t, then an H signal is present as a result of the inversion at the D input of the flip-flop K2. which is stored by this flip-flop so that the output signal A2 at its Q output also becomes an H signal. As a result of the self-holding effect of the feedback output signals AI and A2, these states of the flip-flops K1 and K2 are retained for the rest of the test cycle. If a change in the signal level in the test clock pulse sequence T 1 derived from the clock signal T to be monitored has occurred during a test cycle PZ, then the output signal of the AND gate AN consists of an H signal and at the end of the test cycle the rising pulse edge acts the rectangular pulse train PT 1 at the C input of the D flip-flop K3 that an H signal is present at its Q output and a reset of the flip-flops Kl and K2 a new test cycle is prepared, which then runs again in the manner just described. However, if there was no signal change in the rectangular pulse train T 1 within a test cycle due to the failure of the clock signal T, then at the end of the test cycle the output signals AI and A2 are not simultaneously H signals and the output of the NAND gate NA has one H signal which, at the end of the test cycle, causes a clock error signal TF at the output terminal 3 which indicates a disturbed clock signal.
Das erfindungsgemäße Verfahren ist bei jeder beliebigen Fre¬ quenzrelation von zu überwachendem Taktsignal und Prüftaktsi¬ gnal realisierbar ist, d.h. die Frequenz des zu überwachenden Taktsignals kann größer, gleich oder kleiner sein als das Prüf¬ taktsignal. Dies wird bei der in FIG 3 dargestellten Weiter¬ bildung der Erfindung zur gleichzeitig erfolgenden gegenseiti¬ gen Ausfallüberwachung von Takt- und Prüftaktsignal ausgenutzt, womit sich eine hochsichere Taktüberwachung ergibt.The method according to the invention can be implemented with any frequency relation of the clock signal and test clock signal to be monitored, i.e. the frequency of the clock signal to be monitored can be greater than, equal to or less than the test clock signal. This is used in the further development of the invention shown in FIG. 3 for the simultaneous mutual failure monitoring of the clock and test clock signals, which results in highly reliable clock monitoring.
Die in FIG 3 dargestellte Anordnung enthält neben einem ersten Taktmonitor TM1 nach Art des in FIG 2 dargestellten Taktmonitors TM einen zusätzlichen Taktmonitor TM2 und beruht auf dem Gedan¬ ken, bei diesem zusätzlichen Taktmonitor die Rollen von Takt- signal T und Prüftaktsignal zu tauschen, d.h. mit dem Taktsi¬ gnal T das Prüftaktsignal in genau gleicher Weise wie beim Taktmonitor TMl auf Ausfall zu überwachen. Hierzu wird das Prüf¬ taktsignal PT dem Taktsignaleingang 1 des Taktmonitors TM2 zuge¬ führt und das Taktsignal T dem Prüftakteingang 2. Die Fehlersi¬ gnalausgänge 3 der beiden Taktmonitoren sind mit Anzeigelampen Ll und L2 sowie den Eingängen eines ODER-Gatters 0 verbunden, an dessen Ausgang dann bei Ausfall des Taktsignals T oder des Taktsignals PT ein Fehlersammeisignal FS erscheinen würde. Legt man bezüglich der Frequenzrelation von dem Taktsignal T und dem Prüftaktsignal PT die bereits erwähnten Werte der FIG 1 zugrun- de (fτ/fp_ = 0,8), dann kehrt sich bei der Festlegung der Tei¬ lerfaktoren nτ und n für den Taktmonitor TM2 infolge des Rollentausches der Signale T und PT diese Relation um und es ergeben sich für nγ und n entsprechend den Gleichungen (1) und (2) beidesmal derselbe, ganzzahlig minimal realisierbare Wert von 3 bzw. bei Verwendung von Binärteilern der Wert von 4.The arrangement shown in FIG. 3 contains, in addition to a first clock monitor TM1 like the clock monitor TM shown in FIG. 2, an additional clock monitor TM2 and is based on the idea of exchanging the roles of clock signal T and test clock signal in this additional clock monitor, ie with the clock signal T, the test clock signal in exactly the same way as in Monitor TMl clock monitor for failure. For this purpose, the test clock signal PT is fed to the clock signal input 1 of the clock monitor TM2 and the clock signal T is fed to the test clock input 2. The error signal outputs 3 of the two clock monitors are connected to indicator lamps L1 and L2 and to the inputs of an OR gate 0, on the latter Output then a failure collective signal FS would appear if the clock signal T or the clock signal PT fails. If one bases the previously mentioned values of FIG. 1 on the frequency relation of the clock signal T and the test clock signal PT (f τ / f p _ = 0.8), then the determination of the divider factors n τ and n changes for the clock monitor TM2 due to the role reversal of the signals T and PT this relation around and it results for n γ and n according to equations (1) and (2) both the same integer minimally realizable value of 3 or when using Binary divisors the value of 4.
In komplexen Mikroprozessorsystemen sind oft mehrere Taktver¬ sorgungen vorhanden und auf Ausfall zu überwachen. Man könnte jedem zu überwachenden Taktsignal ein eigenes Prüftaktsignal mit einem zusätzlichen Taktmonitor entsprechend der Anordnung gemäß FIG 3 zuordnen. FIG 4 zeigt eine Ausführung, mit welcher man bei mehrfacher Taktversorgung ohne solche zusätzlichen Takt¬ monitore auskommt. Es sind n Taktsignale Tl bis Tn vorhanden, welche auf Ausfall zu überwachen und demgemäß jeweils an die mit 1 bezeichneten Taktsignaleingängen der Taktmonitoren TMl bis TMn angeschlossen sind. In zyklischer Zuordnung wird dabei jedes der Taktsignale Tl bis Tn als Prüftaktsignal für ein ande¬ res Taktsignal verwendet und demzufolge an den Prüftaktsignal- eingang 2 des benachbarten Taktmonitors angeschlossen. Die Takt- fehlerausgänge 3 werden wie bei der Anordnung gemäß FIG 3 mit¬ tels Anzeigelampen einzeln überwacht und mit den Eingängen eines ODER-Gliedes verbunden, welches bei Ausfall eines der Taktsigna¬ le Tl bis Tn das Fehlersammelsignal FS ausgibt. Damit kann eine Störung der Taktversorgung zentral erkannt, mittels Anzeigelam- pen oder sonstigen Anzeigeeinrichtungen identifiziert und eine gezielte Fehlerreaktion eingeleitet werden. FIG 5 zeigt eine fehlertolerante Ausführungsvariante der An¬ ordnung gemäß FIG 4, mit der bei Ausfall eines Taktsignals die die gegenseitige Überwachung der restlichen Taktsignale unge¬ stört weitererfolgen kann. Beispielsweise seien vier Taktsignale Tl bis T4 mit den zugehörigen Taktmonitoren TMl bis TM4 vorhan¬ den, welche bei der dargestellten Stellung der den Prüftaktein¬ gängen 2 zugeordneten Umschaltern Sl bis S4 die Taktmonitoren TMl bis TM4 nach Art der in FIG 4 dargestellten Weise beauf¬ schlagen. Mit der Betätigung des seinem Prüftakteingang 2 zuge- ordneten Umschalters durch das Fehlersignal am Ausgang 3 des ihm unmittelbar (zyklisch) benachbarten Taktmonitors eröffnet sich für den einzelnen Taktmonitor die Möglichkeit, das Prüftaktsi¬ gnal anstatt vom gestörten Taktsignal des unmittelbar benach¬ barten Monitors vom ungestörten Taktsignal eines weiter benach- harten Taktmonitors zu beziehen. Es wird also bei Ausfall eines Taktsignals dessen Funktion als Prüftaktsignal dem dem ausgefal¬ lenen Taktsignal zugeordneten Prüftaktsignal übergeben. Da jedes Taktsignal Tl bis T4 auf diese Weise dafür vorbereitet ist, den Prüftakteingang 2 eines weiter benachbarten Taktmonitors bei ent sprechender Betätigung des diesem Eingang zugeordneten Umschal¬ ters zu beaufschlagen, kann das gestörte Taktsignal aus der Kette der sich selbst überwachenden Taktsignale herausgenommen werden und die Taktsignalüberwachung der übrigen Taktsignale ist weiterhin in vollem Umfange gesichert. In complex microprocessor systems, multiple clock supplies are often available and have to be monitored for failure. One could assign a separate test clock signal with an additional clock monitor according to the arrangement according to FIG. 3 to each clock signal to be monitored. 4 shows an embodiment with which multiple clock supply can be used without such additional clock monitors. There are n clock signals T1 to Tn, which are to be monitored for failure and are accordingly connected to the clock signal inputs of the clock monitors TM1 to TMn, which are designated by 1. In cyclical assignment, each of the clock signals T1 to Tn is used as a test clock signal for another clock signal and is consequently connected to the test clock signal input 2 of the adjacent clock monitor. As in the arrangement according to FIG. 3, the clock error outputs 3 are individually monitored by means of indicator lamps and connected to the inputs of an OR gate which, in the event of failure of one of the clock signals T1 to Tn, outputs the error collective signal FS. A malfunction of the clock supply can thus be recognized centrally, identified by means of display lamps or other display devices, and a targeted error reaction can be initiated. 5 shows a fault-tolerant embodiment of the arrangement according to FIG. 4, with which, if one clock signal fails, the mutual monitoring of the remaining clock signals can continue undisturbed. For example, four clock signals T1 to T4 with the associated clock monitors TM1 to TM4 are present, which act on the clock monitors TM1 to TM4 in the manner shown in FIG. 4 when the switches S1 to S4 assigned to the test clock inputs 2 are shown . When the changeover switch assigned to its test clock input 2 is actuated by the error signal at output 3 of the clock monitor which is directly (cyclically) adjacent to it, the individual clock monitor has the possibility of the undisturbed test clock signal instead of the disturbed clock signal of the immediately adjacent monitor Obtain clock signal from a further adjacent clock monitor. If a clock signal fails, its function as a test clock signal is transferred to the test clock signal assigned to the failed clock signal. Since each clock signal T1 to T4 is prepared in this way to apply the test clock input 2 of a further adjacent clock monitor when the switch assigned to this input is actuated accordingly, the disturbed clock signal can be removed from the chain of self-monitoring clock signals and the Clock signal monitoring of the other clock signals is still fully secured.

Claims

Patentansprüche Claims
1. Verfahren zur Ausfallüberwachung eines Taktsignals, ins¬ besondere für hochsichere Mikroprozessorsysteme, g e k e n n - z e i c h n e t durch folgende Schritte:1. Method for monitoring the failure of a clock signal, in particular for high-security microprocessor systems, g e k e n n - z e i c h n e t by the following steps:
a) Das zu überwachende Taktsignal (T) wird in eine periodische, ein Tastverhältnis von 2 aufweisende Rechteckimpulsfolge (T1) umgeformt, deren Periodendauer mehr als doppelt so groß ist, wie die Periodendauer eines Prüftaktsignals (PT); b) jeweils während eines vom Prüftaktsignal (PT) abgeleiteten Prüfzyklus (PZ) , welcher mindestens gleich der Perioden¬ dauer der Rechteckimpulsfolge (T1 ) ist, wird mit dem Prüftakt* signal der Signalpegel der Rechteckimpulsfolge abgetastet; c) für den Fall, daß am Ende eines Prüfzyklus keine Änderung des Signalpegels der Rechteckimpulsfolge (T1) festgestellt wird, wird ein Taktfehlersignal (TF) ausgegeben.a) The clock signal (T) to be monitored is converted into a periodic pulse pulse sequence (T 1 ) having a pulse duty factor of 2, the period of which is more than twice as long as the period of a test clock signal (PT); b) in each case during a test cycle (PZ) derived from the test clock signal (PT), which is at least equal to the period of the rectangular pulse train (T 1 ), the signal level of the rectangular pulse train is sampled with the test clock * signal; c) in the event that no change in the signal level of the rectangular pulse train (T 1 ) is found at the end of a test cycle, a clock error signal (TF) is output.
2. Verfahren nach Anspruch 1, g e k e n n z e i c h n e t durch eine gleichzeitig erfolgende, gegenseitige Ausfallüber¬ wachung von Taktsignal (T) und Prüftaktsignal (PT).2. The method according to claim 1, g e k e n e z e i c h n e t by a simultaneous, mutual failure monitoring of the clock signal (T) and test clock signal (PT).
3. Verfahren nach Anspruch 1 bei mehreren Taktsignalen (Tl -Tn) , d a d u r c h g e k e n n z e i c h n e t , daß in zyklischer Zuordnung jeweils ein Taktsignal als Prüftakt¬ signal eines anderen verwendet ist.3. The method of claim 1 with several clock signals (Tl -Tn), d a d u r c h g e k e n n z e i c h n e t that a clock signal is used as a test clock signal of another in cyclical assignment.
4. Verfahren nach Anspruch 3, d a d u r c h g e k e n n ¬ z e i c h n e t , daß bei Ausfall eines Taktsignals dessen Funktion als Prüftaktsignal dem ihm zugeordneten Prüftaktsignal übergeben wird. 4. The method according to claim 3, characterized in that if a clock signal fails, its function as a test clock signal is transferred to the test clock signal assigned to it.
5. Einrichtung zur Durchführung des Verfahrens nach einem der vorhergehenden Ansprüche, g e k e n n z e i c h n e t durch folgende Merkmale: a) das zu überwachende Taktsignal (T) ist einem ersten Binär- teuer (FT1) zugeführt, dessen Ausgangssignal und das hierzu invertierte Signal den D-Eingängen von zwei ersten D-Kippglie¬ dern (Kl, K2) zugeführt sind, deren Setz-Eingänge (S) jeweils mit dem ihrem D-Eingang zugeordneten Ausgangssignal beauf¬ schlagt sind; b) das Prüftaktsignal (PT) beaufschlagt die Steuereingänge der beiden ersten D-Kippgliedern unmittelbar und die Steuerein¬ gänge von zwei zweiten D-Kippgliedern (K3, K4) über einen zweiten Binärteiler (FT2); c) die Ausgangssignale der beiden ersten D-Kippglieder (Kl, K2) beaufschlagen über ein NAND-Gatter (NA) den D-Eingang eines der beiden zweiten D-Kippglieder (K4), welches zur Abgabe eines Taktfehlersignals (TF) vorgesehen ist, sowie über ein UND-Gatter (AN) den D-Eingang des anderen D-Kippgliedes (K3) , welches zur Rücksetzung der beiden ersten D-Kippglieder vor- gesehen ist.5. Device for performing the method according to one of the preceding claims, characterized by the following features: a) the clock signal (T) to be monitored is fed to a first binary device (FT1), the output signal and the signal inverted for this purpose are the D inputs of two first D-flip-flops (K1, K2) are supplied, the setting inputs (S) of which are each acted upon by the output signal assigned to their D-input; b) the test clock signal (PT) acts directly on the control inputs of the two first D flip-flops and the control inputs of two second D-flip-flops (K3, K4) via a second binary divider (FT2); c) the output signals of the first two D flip-flops (K1, K2) act via a NAND gate (NA) on the D input of one of the two second D-flip-flops (K4), which is provided for emitting a clock error signal (TF), and via an AND gate (AN) the D input of the other D flip-flop (K3), which is provided for resetting the first two D flip-flops.
6. Einrichtung nach Anspruch 5, d a d u r c h g e k e n n ¬ z e i c h n e t , daß bei gegenseitiger Ausfallüberwachung mehrerer Taktsignale (Tl - Tn) sämtliche Taktfehlersignalaus- gänge (3) mit Anzeigeeinrichtungen sowie zur Bildung eines Feh- lersa melsignals (FS) mit den Eingängen eines ODER-Gatters ver¬ bunden sind.6. Device according to claim 5, characterized in that, in the event of mutual failure monitoring of a plurality of clock signals (Tl - Tn), all clock error signal outputs (3) with display devices and for forming an error signal signal (FS) with the inputs of an OR gate ver ¬ are bound.
7. Einrichtung nach Anspruch 6, d a d u r c h g e k e n n - z e i c h n e t , daß die Prüftakteingänge (2) der Taktmonito¬ ren (TMl - TM4) jeweils mit einem Umschalter (Sl - S4) versehen sind, welcher bei Betätigung durch das Fehlersignal eines zy¬ klisch benachbarten Taktmonitors seinen Prüftakteingang mit dessen Prüftakteingang verbindet. 7. Device according to claim 6, characterized in that the test clock inputs (2) of the clock monitors (TMl - TM4) are each provided with a changeover switch (S1 - S4) which, when actuated by the error signal of a cyclically adjacent clock monitor connects its test clock input to its test clock input.
PCT/DE1988/000671 1988-10-05 1988-10-31 Process and device for monitoring failures of timing signals WO1990004287A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DEPCT/DE88/00614 1988-10-05
DE8800614 1988-10-05

Publications (1)

Publication Number Publication Date
WO1990004287A1 true WO1990004287A1 (en) 1990-04-19

Family

ID=6819745

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/DE1988/000671 WO1990004287A1 (en) 1988-10-05 1988-10-31 Process and device for monitoring failures of timing signals

Country Status (2)

Country Link
EP (1) EP0437425A1 (en)
WO (1) WO1990004287A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1333579A1 (en) * 2002-01-30 2003-08-06 Infineon Technologies AG Device for recognising clock failure
EP1593971A2 (en) 2004-05-04 2005-11-09 Krones AG Device and method for the verification of the functionality of an angular encoder

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4446437A (en) * 1981-12-21 1984-05-01 Gte Automatic Electric Labs Inc. Pulse monitor circuit
US4467285A (en) * 1981-12-21 1984-08-21 Gte Automatic Electric Labs Inc. Pulse monitor circuit

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4446437A (en) * 1981-12-21 1984-05-01 Gte Automatic Electric Labs Inc. Pulse monitor circuit
US4467285A (en) * 1981-12-21 1984-08-21 Gte Automatic Electric Labs Inc. Pulse monitor circuit

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1333579A1 (en) * 2002-01-30 2003-08-06 Infineon Technologies AG Device for recognising clock failure
EP1593971A2 (en) 2004-05-04 2005-11-09 Krones AG Device and method for the verification of the functionality of an angular encoder
DE102004021928A1 (en) * 2004-05-04 2005-12-01 Krones Ag Test device and method for testing the functionality of an encoder

Also Published As

Publication number Publication date
EP0437425A1 (en) 1991-07-24

Similar Documents

Publication Publication Date Title
EP1662353B1 (en) Method and device for recognition of the direction of travel
DE2724759A1 (en) DEVICE FOR DISTRIBUTION OF ELECTRICAL ENERGY IN VEHICLES
DE3341472C2 (en) Circuit arrangement with a microcomputer
DE19536226C2 (en) Testable circuit arrangement with several identical circuit blocks
DE2433885C3 (en) Device for synchronizing the input circuit of an electronic test instrument to signal sequences to be tested
DE10054745B4 (en) Method for the safe transmission of sensor signals and apparatus for carrying out the method
DE4211701A1 (en) Method and device for phase measurement
WO1990004287A1 (en) Process and device for monitoring failures of timing signals
DE10323908A1 (en) Method and arrangement for monitoring a power output stage
EP0195457B1 (en) Apparatus for self-monitoring a circuit comprising a microprocessor
WO2007033945A1 (en) Microcontroller and method for the operation thereof
DE2903383C2 (en) Separate test device for addressable circuits
DE2522441C2 (en) Monitoring system for electronic assemblies or devices in wired telecommunications systems
DE2627830C2 (en) System for delaying a signal
EP0062768B1 (en) Circuitry for monitoring switching devices
EP1157468B1 (en) System and method for detecting whether the count of a counter has reached a predetermined count or not
EP0394861A2 (en) Digital filter logic
DE3035758C2 (en) Signal display for the two values of binary switching variables in electronic switchgear for railway safety technology
EP0622734B1 (en) Interface
DE3127624C2 (en) Circuit arrangement for generating signal-technically safe pulse trains
DE3221366C2 (en) Switching device for the delivery of output pulses
DE3822419A1 (en) PHASE AND FREQUENCY SENSITIVE DETECTOR
DE2543392A1 (en) Testing circuit for telephone exchanges time multiplex converter - has comparator comparing binary samples from central unit and counter
DE2365092B2 (en) Electronic circuit for frequency and phase monitoring of clock pulses
DE3127100A1 (en) Time delay switch

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): JP US

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): AT BE CH DE FR GB IT LU NL SE

WWE Wipo information: entry into national phase

Ref document number: 1988909294

Country of ref document: EP

WWP Wipo information: published in national office

Ref document number: 1988909294

Country of ref document: EP

WWR Wipo information: refused in national office

Ref document number: 1988909294

Country of ref document: EP

WWW Wipo information: withdrawn in national office

Ref document number: 1988909294

Country of ref document: EP