SCHOLER MARTIN (FR)
| WO1990003602A1 | 1990-04-05 | |||
| WO2005106229A1 | 2005-11-10 |
| US4906979A | 1990-03-06 | |||
| GB2129587A | 1984-05-16 |
P a t e n t a n s p r ü c h e
Schaltungsanordnung und Verfahren zum Betrieb einer Schaltungsanordnung
1. Schaltungsanordnung, umfassend einen ersten und einen zweiten, mit dem ersten verbundenen Mikrocontroller, beinhaltend folgende Merkmale:
- Der erste Mikrocontroller ist derart eingerichtet, dass ein wenigstens ein Ausgangssignal des ersten MikroControllers steuernder oder regelnder
Hauptprozess und ein zum Erkennen eines Fehlerzustands des ersten Mik- rocontrollers ausgebildeter Sicherheitsprozess parallel ausführbar sind, und
- der zweite Mikrocontroller ist als ein Watchdog derart ausgebildet, dass bei einem Erkennen eines Fehlerzustandes durch den Sicherheitsprozess und/oder durch den zweiten Mikrocontroller am zweiten Mikrocontroller ein gegenüber dem Ausgangssignal des ersten Mikrocontrollers vorrangiges Signal ausgebbar ist.
2. Schaltungsanordnung nach Anspruch 1, wobei der Hauptprozess frei von einer Fehlererkennung ausgebildet ist.
3. Schaltungsanordnung nach einem der Ansprüche 1 oder 2, wobei der Sicherheitsprozess und/oder der zweite Mikrocontroller zum Erkennen eines Einzelfehlerzustands des ersten Mikrocontrollers ausgebildet sind.
4. Schaltungsanordnung nach einem der Ansprüche 1 bis 3, wobei der erste Mik- rocontroller eine über Parameter einstellbare Verknüpfung umfasst, über die in Abhängigkeit von wenigstens einem Eingangssignal am ersten Mikrocontrol- ler das Ausgangssignal Steuer- oder regelbar ist.
5. Schaltungsanordnung nach Anspruch 4, wobei der Sicherheitsprozess ein Zurücklesen von Werten des Ausgangssignals und ein Vergleichen dieser mit Werten des Eingangssignals und der Parameter umfasst.
6. Schaltungsanordnung nach einem der Ansprüche 1 bis 5, wobei der Sicherheitsprozess ein periodisches überprüfen von RAM und/oder ROM im dem Sicherheitsprozess eigenen Daten- und/oder Codebereichs des ersten Mikro- controllers und/oder ein überprüfen einer Zentralprozessoreinheit des ersten Mikrocontrollers umfasst.
7. Schaltungsanordnung nach einem der Ansprüche 1 bis 6, wobei der Sicherheitsprozess mit dem zweiten Mikrocontroller zeitfensterbasiert kommunizierend ausgebildet ist.
8. Schaltungsanordnung nach einem der Ansprüche 1 bis 7, wobei im Triggerrahmen des ersten Mikrocontrollers Informationen hinsichtlich eines Programmflusses des Sicherheitsprozesses an den zweiten Mikrocontroller übertragbar und von diesem überwachbar sind.
9. Schaltungsanordnung nach einem der Ansprüche 1 bis 8, wobei die Schaltungsanordnung derart ausgebildet ist, dass bei einer Fehlerzustandserkennung des Sicherheitsprozesses ein Datenübertragen zu dem zweiten Mikrocontroller gestoppt wird, der daraufhin seinerseits das vorrangige Signal ausgibt.
10. Schaltungsanordnung nach einem der Ansprüche 1 bis 9, wobei der Sicher- heitsprozess zum Mitüberwachen des zweiten Mikrocontrollers ausgebildet ist.
11. Schaltungsanordnung nach einem der Ansprüche 1 bis 10, wobei die Schal- tungsanordnung eine Vorrangschaltung umfasst, der das Ausgangssignal des ersten Mikrocontrollers und das vorrangige Signal des zweiten MikroControllers zugeführt sind und die derart hergerichtet ist, dass das vorrangige Signal die höhere Priorität bzw. den Vorrang hat.
12. Schaltungsanordnung nach einem der Ansprüche 1 bis 1 1, wobei das Ausgangssignal des ersten Mikrocontrollers zur Steuerung oder Regelung eines Motors und das vorrangige Signal als ein Freigabesignal für den Motor ausgebildet sind.
13. Schaltungsanordnung nach einem der Ansprüche 1 bis 12, wobei der zweite Mikrocontroller periodisch neu zu triggern ist.
14. Verfahren zum Betrieb einer Schaltungsanordnung, umfassend einen ersten und einen zweiten, mit dem ersten verbundenen Mikrocontroller, beinhaltend folgende Merkmale:
- Im ersten Mikrocontroller werden ein wenigstens ein Ausgangssignal des ersten Mikrocontrollers steuernder oder regelnder Hauptprozess und ein zum Erkennen eines Fehlerzustands des ersten Mikrocontrollers ausgebildeter Sicherheitsprozess parallel ausgeführt, und - der zweite als ein Watchdog ausgebildete Mikrocontroller wird derart betrieben, dass bei einem Erkennen eines Fehlerzustandes durch den Sicherheitsprozess und/oder durch den zweiten Mikrocontroller am zweiten Mikrocontroller ein gegenüber dem Ausgangssignal des ersten Mikrocontrollers vorrangiges Signal ausgegeben wird.
15. Verfahren nach Anspruch 14, wobei der Hauptprozess frei von einer Fehlererkennung ausgebildet ist.
16. Verfahren nach einem der Ansprüche 14 oder 15, wobei der Sicherheitsprozess und/oder der zweite MikroController zum Erkennen eines
Einzelfehlerzustands des ersten Mikrocontrollers ausgebildet sind.
17. Verfahren nach einem der Ansprüche 14 bis 16, wobei der erste Mikrocontrol- ler eine über Parameter einstellbare Verknüpfung umfasst, über die in Abhän- gigkeit von wenigstens einem Eingangssignal am ersten Mikrocontroller das
Ausgangssignal gesteuert oder geregelt wird.
18. Verfahren nach Anspruch 17, wobei der Sicherheitsprozess ein Zurücklesen von Werten des Ausgangssignals und ein Vergleichen dieser mit Werten des Eingangssignals und der Parameter umfasst.
19. Verfahren nach einem der Ansprüche 14 bis 18, wobei der Sicherheitsprozess periodisch RAM und/oder ROM im dem Sicherheitsprozess eigenen Daten- und/oder Codebereich des ersten Mikrocontrollers und/oder eine Zentralpro- zessoreinheit des ersten Mikrocontrollers überprüft.
20. Verfahren nach einem der Ansprüche 14 bis 19, wobei der Sicherheitsprozess mit dem zweiten Mikrocontroller zeitfensterbasiert kommuniziert.
21. Verfahren nach einem der Ansprüche 14 bis 20, wobei im Triggerrahmen des ersten Mikrocontrollers Informationen hinsichtlich eines Programmflusses des Sicherheitsprozesses an den zweiten Mikrocontroller übertragen und von diesem überwacht werden.
22. Verfahren nach einem der Ansprüche 14 bis 21, wobei bei einer Fehlerzu- standserkennung des Sicherheitsprozesses ein Datenübertragen zu dem zweiten Mikrocontroller gestoppt wird, der daraufhin seinerseits das vorrangige Signal ausgibt.
23. Verfahren nach einem der Ansprüche 14 bis 22, wobei der Sicherheitsprozess den zweiten Mikrocontroller mit überwacht.
24. Verfahren nach einem der Ansprüche 14 bis 23, wobei die Schaltungsanord- nung eine Vorrangschaltung umfasst, der das Ausgangssignal des ersten Mik- rocontrollers und das vorrangige Signal des zweiten Mikrocontrollers zugeführt werden und die derart hergerichtet ist, dass das vorrangige Signal die höhere Priorität bzw. den Vorrang hat.
25. Verfahren nach einem der Ansprüche 14 bis 24, wobei das Ausgangssignal des ersten Mikrocontrollers einen Motor steuert oder regelt und das vorrangige Signal den Motor freigibt oder stoppt.
26. Verfahren nach einem der Ansprüche 14 bis 25, wobei der zweite Mikrocont- roller periodisch neu getriggert wird. |
B e s c h r e i b u n g
Schaltungsanordnung und Verfahren zum Betrieb einer Schaltungsanordnung
Die Erfindung betrifft eine Schaltungsanordnung, umfassend einen ersten und einen zweiten, mit dem ersten verbundenen Mikrocontroller und ein Verfahren zum Betrieb einer Schaltungsanordnung.
Bei einer Vielzahl von technischen Geräten steht neben deren Hauptfunktion eine Sicherheit von Personen im Vordergrund, die in den Einflussbereich besagten Geräts kommen, was insbesondere für die Sicherheit von Patienten und den Gerätebe- dienern bei medizinischen Geräten gilt. Dabei benötigen viele dieser Geräte zur Ausführung ihrer Funktion im Inneren elektrische bzw. mechanische Energie, durch die es insbesondere bei einer Fehlbedienung oder einer Fehlfunktion des Gerätes zur Personengefährdung kommen kann. Zur Reduzierung dieses Gefährdungspotentials ist es beispielsweise bekannt, eine redundante Anordnung und/oder ein komplettes überwachungssystem einzusetzen, was mit Nachteil mit einem vergleichsweise ho- hen Materialaufwand einhergeht.
Eine Aufgabe der Erfindung ist es daher, eine Schaltungsanordnung und ein Verfahren zum Betrieb einer Schaltungsanordnung zu schaffen, mit der bei vergleichsweise geringem Materialaufwand das eingangs genannte Gefährdungspotential redu- zierbar ist.
Die Aufgabe wird hinsichtlich der Vorrichtung durch den Gegenstand des Anspruchs 1 und hinsichtlich des Verfahrens durch den Gegenstand des Anspruchs 14 gelöst.
Gemäß Anspruch 1 beinhaltet eine Schaltungsanordnung, umfassend einen ersten und einen zweiten, mit dem ersten verbundenen MikroController, folgende Merkmale:
- Der erste MikroController ist derart ausgebildet, dass ein wenigstens ein Aus- gangssignal des ersten MikroControllers steuernder oder regelnder Hauptprozess und ein zum Erkennen eines Fehlerzustands des ersten Mikrocontrollers ausgebildeter Sicherheitsprozess parallel ausführbar sind, und
- der zweite Mikrocontroller ist als ein Watchdog derart ausgebildet, dass bei einem Erkennen eines Fehlerzustandes durch den Sicherheitsprozess und/oder durch den zweiten Mikrocontroller am zweiten Mikrocontroller ein gegenüber dem Ausgangssignal des ersten Mikrocontrollers vorrangiges Signal ausgebbar ist.
Dadurch, dass die Schaltungsanordnung einen Watchdog-Mikrocontroller und einen Hauptmikrocontroller umfasst, auf dem neben dem Hauptprozess zum Steuern oder Regeln einer eigentlichen Gerätefunktion ein Sicherheitsprozess mit abläuft, wird bei geringem Materialaufwand und bei gleichzeitig hoher Zuverlässigkeit eine gute Erkennung interner Fehler sichergestellt. Damit ist mit Vorteil eine redundante Ausbildung von wenigstens Teilen der Schaltungsanordnung und/oder ein komplet- tes überwachungssystem nicht notwendig.
Weitere Vorteile, Merkmale und Einzelheiten der Erfindung ergeben sich aus dem im folgenden beschriebenen Ausführungsbeispiel der Erfindung anhand der Figur.
Die Figur zeigt als ein Ausfuhrungsbeispiel der Erfindung eine Prinzipskizze einer Schaltungsanordnung. Dabei umfasst die Schaltungsanordnung einen ersten Mikro- controller, der im folgenden als Hauptmikrocontroller 10 bezeichnet wird, und einen zweiten Mikrocontroller, der im folgenden als Watchdog-Mikrocontroller 20 bezeichnet wird.
Der Hauptmikrocontroller 10 umfasst dabei eine vorgebbare Anzahl von Eingängen, an die über entsprechende Verbindungen 16 Eingangsgrößen in den Hauptmikrocontroller 10 eingespeist werden können. Dabei können die Eingangssignale von einem Handbedienteil für ein medizinisches Gerät herrühren und sowohl binäre als auch analoge Signale umfassen. Im Rahmen einer Motorsteuerung bzw. -regelung können die Eingangssignale beispielsweise Informationen hinsichtlich eines Betriebszustands eines Motors umfassen, beispielsweise ob der Motor läuft oder abgeschaltet ist und/oder für welche Drehrichtung er geschaltet ist.
Weiterhin umfasst der Hauptmikrocontroller 10 Ausgänge, über die beispielsweise der Motor ein- und abschaltbar und/oder dessen Drehrichtung bestimmbar ist. In der Figur ist dazu lediglich exemplarisch ein Ausgang dargestellt, der über die Verbindung 17 mit einer zur Motorsteuerung bzw. -regelung zugehörigen Vorrangschal- tung 30 verbunden ist.
Die Schaltungsanordnung umfasst neben dem Hauptmikrocontroller 10 und der Vorrangschaltung 30 den Watchdog-Mikrocontroller 20, der über eine Verbindung 18 mit dem Hauptmikrocontroller 10 und über eine Verbindung 21 mit der Vor- rangschaltung 30 verbunden ist. Dabei gibt der Watchdog-Mikrocontroller 20 bei einem Fehlerzustand über die Verbindung 21 ein Signal aus, das bezüglich dem Ausgangssignal des Hauptmikrocontrollers 10 der Verbindung 17 vorrangig ist. Besagte Vorrangigkeit wird dabei in der Vorrangschaltung 30 entsprechend sichergestellt. Zurückkommend auf das Beispiel der Motorsteuerung bzw. -regelung bedeu- tet dies, dass bei Ausgeben eines entsprechenden Signals vom Watchdog-
Mikrocontroller 20 über die Verbindung 21 ein Stoppen des Motors bewirkt wird, auch wenn über die Verbindung 17 vom Hauptmikrocontroller 10 herrührend beispielsweise ein Einschaltsignal für den Motor vorliegt.
Das über die Verbindung 21 ausgebbare vorrangige Signal kann dabei als ein Freigabesignal ausgebildet sein. Dies heißt, dass ein aktiver Zustand des vorrangigen Signals beispielsweise ein Starten des Motors durch das über die Verbindung 17 ausgebbare Ausgangssignal erlaubt. Setzt der Watchdog-Mikrocontroller das Freigabesignal zurück, wird der Motor gestoppt.
Der Hauptmikrocontroller 10 umfasst einen Speicherbereich 13, der als RAM oder ROM ausgebildet sein kann, sowie eine Zentralprozessoreinheit 14. Programmtechnisch ist dabei der Hauptmikrocontroller 10 derart eingerichtet, dass auf ihm parallel ein Hauptprozess 11 und ein Sicherheitsprozess 12 laufen. Der Hauptprozess 11 ist dabei derart ausgebildet, dass ein über die Verbindung 17 ausgebbares Ausgangssignal des Hauptmikrocontrollers 10 in Abhängigkeit von den über die Verbindungen 16 zugeführten Eingangssignalen und von einer über Parameter einstellbaren, im Hauptmikrocontroller 10 hinterlegbaren Verknüpfung gesteuert bzw. geregelt wird. Dieser Hauptprozess 1 1 ist dabei frei von einer Fehlererkennung.
Der Sicherheitsprozess 12 ist wie auch der Watchdog-Mikrocontroller 20 zum Erkennen von Fehlerzuständen des Hauptmikrocontrollers 10 ausgebildet, insbesondere zum Erkennen von Einzelfehlerzuständen. Wird dabei vom Sicherheitsprozess 12 ein Fehlerzustand erkannt, so wird eine Kommunikation mit dem Watchdog- Mikrocontroller 20 gestoppt, der daraufhin seinerseits besagtes vorrangiges Signal über die Verbindung 21 ausgibt.
Der Sicherheitsprozess 12 umfasst dabei ein Zurücklesen von Werten für das Ausgangssignal sowie ein Vergleichen dieser Werte mit Werten der Eingangssignale und der eingestellten Parameter besagter Verknüpfung. Bei einem Nichtüberein-
stimmen stoppt dabei der Sicherheitsprozess 12 die Kommunikation mit dem Watchdog-Mikrocontroller 20. Weiterhin überprüft der Sicherheitsprozess 12 periodisch den dem Sicherheitsprozess 12 eigenen Daten- und/oder Codierungsbereich des Speicherbereichs 13 und/oder überprüft die Zentralprozessoreinheit 14. Weiter- hin sind mit dem Sicherheitsprozess 12 auch Fehlerzustände an den Eingängen und/oder Ausgängen des Hauptmikrocontrollers 10 erkennbar.
Ferner ist die Schaltungsanordnung derart ausgebildet, dass der Sicherheitsprozess 12 und der Watchdog-Mikrocontroller 20 zeitfensterbasiert miteinander kommuni- zieren, so dass Time-out-Zustände wie auch Zeitknappheitszustände des Hauptmik- rocontrollers 10 erkennbar sind. Weiterhin werden im Triggerrahmen des Hauptmikrocontrollers 10 Informationen hinsichtlich eines Programmflusses des Sicherheitsprozesses 12 an den Watchdog-Mikrocontroller 20 übertragen, so dass vom Watchdog-Mikrocontroller 20 besagter Programmfluss überwachbar ist. Ein Oszil- latorfehler wird ebenfalls vom Watchdog-Mikrocontroller 20 erkannt.
Der Watchdog-Mikrocontroller 20 ist periodisch neu zu triggern. Der Watchdog- Mikrocontroller 20 wird dabei über den Sicherheitsprozess 12 periodisch getriggert bevor der Motor eingeschaltet wird, so dass der Watchdog-Mikrocontroller 20 über die Verbindung 21 das Freigabesignal aktiviert. In einem Ruhezustand, also bei ruhendem Motor, ist das Freigabesignal deaktiviert; das heißt, dass der Watchdog- Mikrocontroller 20 nicht getriggert wird.
über eine weitere Verbindung 22 zwischen dem Watchdog-Mikrocontroller 20 und dem Hauptmikrocontroller 10 überwacht der Sicherheitsprozess 12 wiederum den Watchdog-Mikrocontroller 20. Falls hierüber ein Fehler, insbesondere ein unerlaubtes aktives Freigabesignal oder ein fehlendes Freigabesignal erkannt wird, stoppt der Sicherheitsprozess 12 über die Verbindung 17 jegliche Bewegung des Motors bzw. es wird keine Bewegung gestartet. Weiterhin überwacht sich auch der Watch-
dog-Mikrocontroller 20 mit einem überprüfen seiner RAM/ROM Zentralprozessoreinheit und Ein- und Ausgänge selbst.
Bezugszeichenliste
10 Hauptmikrocontroller
1 1 Hauptprozess 12 Sicherheitsprozess
13 Speicherbereich
14 Zentralprozessoreinheit 16, 17, 18, 21, 22 Verbindung
20 Watchdog-Mikrocontroller
30 Vorrangschaltung