Beschreibung

Verfahren und Vorrichtung zur Steuerung eines Zugriffs auf einen Datenspeicher in einer elektronischen Schaltung

Die Erfindung bezieht sich auf ein Verfahren, insbesondere in einem Tachographen für ein Kraftfahrzeug, zur Steuerung eines Zugriffs auf einen einen ersten Speicherbereich und einen zweiten Speicherbereich aufweisenden Datenspeicher in einer elektronischen Schaltung. Außerdem bezieht sich die Erfindung auf eine Vorrichtung, insbesondere einen Tachographen für ein Kraftfahrzeug, zur Durchführung des vorgenannten Verfahrens mit einer einen Datenspeicher aufweisenden elektronischen Schaltung.

Ein vorgenanntes Verfahren und eine vorgenannte Vorrichtung sind beispielsweise von einem Mikrocomputer mit einem Mikro ^¬ prozessor als Zentraleinheit, einem Hauptspeicher als Datenspeicher und einer Ein-/Ausgabeeinheit bekannt. Der Mikropro- zessor weist einen ausführenden Teil und einen steuernden

Teil auf, wobei der steuernde Teil während eines Befehlszyk ^¬ lus einen Befehl aus dem Hauptspeicher ausliest, der durch ein Programm vorgegeben ist; die Befehlsausführung geschieht dann in dem ausführenden Teil des Mikroprozessors. Der Haupt- Speicher kann verschiedene Speicherbereiche zur Speicherung von Daten aufweisen. In dem Hauptspeicher können nicht nur Befehle in Form von Daten abgelegt und ausgelesen werden, sondern auch beliebige andere Daten, zum Beispiel Betriebszu- stände des Mikrocomputers und/oder manuell über die Ein- /Ausgabeeinheit in den Mikrocomputer eingegebene, beispiels ^¬ weise personenbezogene, Daten. Allgemein ist der Prozessor eine Recheneinheit eines Computers, welche Recheneinheit an ^¬ dere Bestandteile des Computers mittels Software steuert.

Weiterhin ist für ein Kraftfahrzeug, insbesondere ein Nutz ^¬ fahrzeug, ein digitaler Tachograph bekannt, der unter anderem einen Chipkartenleser zur Aufnahme einer Fahrerkarte, einen

als Massenspeicher, beispielsweise batteriegepuffertes RAM (random access memory) , ausgebildeten Datenspeicher und eine elektronische Schaltung, die von einem Prozessor gesteuert wird, umfasst. In dem Massenspeicher werden beispielsweise von Sensoren und/oder durch manuelle Eingabe erfasste Daten fahrer- und fahrzeugbezogen gespeichert. Bei einem Ausfall einer elektrischen Spannungsversorgung besteht die Gefahr eines zumindest unerwünschten, wenn nicht gar unzulässigen Verlustes und/oder einer entsprechenden Beschädigung der in dem Massenspeicher abgelegten Daten.

Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren der eingangs genannten Art anzugeben, das eine erhöhte Datensi ^¬ cherheit gewährleistet. Darüber hinaus liegt der Erfindung die Aufgabe zugrunde, eine Vorrichtung der eingangs genannten Art zu schaffen, die eine erhöhte Datensicherheit gewährleis ^¬ tet und zur Durchführung eines vorgenannten Verfahrens geeig ^¬ net ist.

Die erstgenannte Aufgabe wird erfindungsgemäß gelöst mit ei ^¬ nem Verfahren der eingangs genannten Art, wobei der erste Speicherbereich zur Speicherung von mit einer höheren Sicherheit zu schützenden Daten und der zweite Speicherbereich zur Speicherung von mit einer niedrigeren Sicherheit zu schützen- den Daten vorgesehen ist, wobei eine Versorgungsspannung gemessen wird und wobei bei einer Versorgungsspannung unterhalb einer vorgegebenen ersten Spannungsschwelle der Zugriff auf den ersten Speicherbereich gesperrt ist.

Bevorzugt wird dabei als Versorgungsspannung eine Versor ^¬ gungsspannung des Datenspeichers oder einer Datenverarbei ^¬ tungseinrichtung der elektronischen Schaltung gemessen. Vorzugsweise kann der erste Speicherbereich ein Datensicherheit gewährleistender Speicherbereich und der zweite Speicherbe- reich ein Speicherbereich ohne Datensicherheit sein. Dieses ist zum Beispiel bei einem Tachographen für ein Kraftfahrzeug von Vorteil, wobei zu schützende Tachographendaten in dem er-

sten Speicherbereich und nicht zu schützende Tachographenda ^¬ ten in dem zweiten Speicherbereich abgelegt werden. Von besonderem Vorteil ist bei dem erfindungsgemäßen Verfahren, dass in Abhängigkeit der gemessenen Versorgungsspannung ein Sperren des ersten Speicherbereichs erfolgt; dazu wird die gemessene Versorgungsspannung, vorzugsweise des Datenspei ^¬ chers oder der Datenverarbeitungseinrichtung, insbesondere eines Mikroprozessors oder MikroControllers der Datenverar ^¬ beitungseinrichtung, der elektronischen Schaltung, mit der ersten Spannungsschwelle verglichen und in Abhängigkeit von dem Vergleich gegebenenfalls der Zugriff auf den ersten Speicherbereich gesperrt. Daten in dem ersten Speicherbereich, die eines höheren Schutzes insbesondere gegen Beschädigung und/oder Zerstörung und/oder unkontrollierte Veränderung be- dürfen als diejenigen des zweiten Speicherbereichs, sind so ^¬ mit zuverlässig vor Beschädigung und Zerstörung bei einem Ausfall und/oder einem unzulässig starken Abfall der Versorgungsspannung geschützt. Dass die erste Spannungsschwelle vorgegeben ist bedeutet, dass sie zum Zeitpunkt des Ver- gleichs der gemessenen Versorgungsspannung mit dem Wert der ersten Spannungsschwelle festgelegt ist; die erste Spannungs ^¬ schwelle kann aber grundsätzlich veränderbar, das heißt variabel, zum Beispiel vor einer Messung oder vor einem Starten des erfindungsgemäßen Verfahrens einstellbar, sein. Die e- lektronische Schaltung kann bei dem erfindungsgemäßen Verfahren zum Beispiel von einem Prozessor oder von einem logischen Array oder Gatter gesteuert werden. Vorzugsweise erfolgt die Messung der Versorgungsspannung des Datenspeichers in einer Endlosschleife, die auch dann nicht unterbrochen wird, wenn der Zugriff auf den ersten Speicherbereich gesperrt ist. Während des Sperrens des Zugriffs auf den ersten Speicherbereich verharrt das erfindungsgemäße Verfahren vorzugsweise in einem Zustand, den man als Halt-Mode bezeichnen kann.

Besonders vorteilhaft ist das erfindungsgemäße Verfahren für einen digitalen Tachographen, der ein elektronisches Registriergerät zum Sammeln und Auswerten von Daten ist und eine

elektronische Schaltung mit einer zentralen Verarbeitungseinheit und einem als Massenspeicher, insbesondere als - vor ^¬ zugsweise batteriegepuffertes - RAM, ausgebildeten Datenspei ^¬ cher aufweist. Zumindest ein Teil von in dem Massenspeicher gespeicherten Daten sind besonders schützenswert und müssen über einen längeren Zeitraum gesammelt und vorgehalten werden. Der übliche Einsatzort des Tachographen in einem Kraft ^¬ fahrzeug erfordert jedoch einen hohen Schutz gegen Spannungs ^¬ ausfälle und -Störungen, die beim Betrieb des Tachographen in kritisch niedrigen Spannungsbereichen auftreten können. Hier schafft die Erfindung Abhilfe. Die Erfindung kann insbesonde ^¬ re auch Undefinierte Zustände auf Daten- und Adressleitungen des Massenspeichers verhindern, die zu einem überschreiben von Datenbereichen führen könnten und im schlimmsten Fall so- gar den Tachographen unbrauchbar machen könnten. Mit dem erfindungsgemäßen Verfahren wird in einem kritischen Spannungsbereich, der durch die erste Spannungsschwelle festgelegt ist, der Versorgungsspannung, vorzugsweise der Versorgungs ^¬ spannung des Datenspeichers oder der Datenverarbeitungsein- richtung, der Zugriff auf den besonders zu schützenden, ersten Speicherbereich, der die wichtigsten gespeicherten Daten enthält, gesperrt. Die Zugriffsfunktionalität wird dabei an ^¬ gehalten und das den Tachographen steuernde Programm verharrt in einer Schleife entsprechend dem oben genannten Halt-Mode. Dabei ist nur noch ein Zugriff auf einen nicht oder zumindest weniger schützenswerten Speicherbereich, nämlich den zweiten Speicherbereich, möglich.

Gemäß einer vorteilhaften Weiterbildung der Erfindung wird die Versorgungsspannung kontinuierlich gemessen. Somit kann auf einen Spannungsaus- und/oder -abfall sehr schnell rea ^¬ giert und eine besonders hohe Datensicherheit gewährleistet werden. Die kontinuierliche Messung der Versorgungsspannung kann grundsätzlich eine ununterbrochene Messung bedeuten; von besonderem Vorteil ist bei der Erfindung aber eine kontinu ^¬ ierliche Messung in der Weise, dass eine regelmäßige, zykli ^¬ sche Messung der Versorgungsspannung, insbesondere des Daten-

Speichers oder der Datenverarbeitungseinrichtung, erfolgt. Es erfolgt so eine Spannungsmessung regelmäßig in bestimmten, gegebenenfalls veränderbaren, Zeitabständen.

Man könnte sich vorstellen, dass unmittelbar oberhalb der ersten Spannungsschwelle der Zugriff sowohl auf den ersten als auch den zweiten Speicherbereich frei ist. Jedoch ist es für eine weitere Erhöhung der Datensicherheit von besonderem Vorteil, wenn gemäß einer anderen Weiterbildung der Erfindung bei einer Versorgungsspannung oberhalb einer oberhalb der ersten Spannungsschwelle angeordneten, vorgegebenen zweiten Spannungsschwelle der Zugriff auf den ersten Speicherbereich und auf den zweiten Speicherbereich frei ist. Durch den Unterschied zwischen erster und zweiter Spannungsschwelle kann erreicht werden, dass bei einem Absinken der Versorgungsspannung ein niedrigerer Schwellwert, nämlich entsprechend der ersten Spannungsschwelle, vorliegt als bei einem Ansteigen der Versorgungsspannung, bei dem der Schwellwert der zweiten Spannungsschwelle entspricht (Hysterese) . Insbesondere kann damit ein fortwährendes Sperren und Entsperren des Zugriffs auf den ersten Speicherbereich bei um die erste Spannungsschwelle schwankender Versorgungsspannung, insbesondere Versorgungsspannung des Datenspeichers oder der Datenverarbei ^¬ tungseinrichtung, vermieden werden. Auch die zweite Span- nungsschwelle kann - wie oben bezüglich der ersten Spannungs ^¬ schwelle beschrieben - veränderbar, zum Beispiel einstellbar, sein .

Gemäß einer anderen vorteilhaften Weiterbildung der Erfindung wird ausgehend von einer Versorgungsspannung unterhalb der ersten Spannungsschwelle bei einem Ansteigen der Versorgungs ^¬ spannung über die zweite Spannungsschwelle ein Software- Reset, den man auch als Programm-Rückstellung oder programm- seitige Rückstellung bezeichnen kann, durchgeführt.

Von besonderem Vorteil bei einem Auftreten einer sehr niedrigen Versorgungsspannung oder deren kurzzeitigem Totalausfall

ist es, wenn gemäß einer anderen Weiterbildung der Erfindung bei einem Absinken der Versorgungsspannung unter eine unterhalb der ersten Spannungsschwelle angeordnete, vorgegebene dritte Spannungsschwelle ein Hardware-Reset , den man auch als Geräte-Rückstellung oder geräteseitige Rückstellung bezeichnen kann, durchgeführt wird. Auch die dritte Spannungsschwel ^¬ le kann - wie oben bezüglich der ersten Spannungsschwelle beschrieben - veränderbar, zum Beispiel einstellbar, sein; vorzugsweise ist sie jedoch durch die Hardware vorgegeben.

Eine zusätzliche Erhöhung der Datensicherheit kann gemäß ei ^¬ ner anderen vorteilhaften Weiterbildung der Erfindung erreicht werden, wenn die Messung der Versorgungsspannung mit einer veränderbaren Messrate erfolgt. Auf diese Weise kann beispielsweise gezielt dann die Messrate, das heißt die Mess ^¬ frequenz, erhöht werden, wenn mit einem unzulässigen Absinken der Versorgungsspannung, insbesondere der Versorgungsspannung des Datenspeichers oder der Datenverarbeitungseinrichtung, gerechnet werden muss. Andererseits kann die Messrate gering und damit das erfindungsgemäße Verfahren einfach gehalten werden, wenn die Versorgungsspannung erheblich über der ersten Spannungsschwelle liegt und somit seitens der Versor ^¬ gungsspannung keine unmittelbare Gefahr für die Datensicherheit besteht.

Besonders vorteilhaft ist es, wenn gemäß einer Weiterbildung der Erfindung ausgehend von einer Versorgungsspannung oberhalb der ersten Spannungsschwelle und einem Absinken der Versorgungsspannung in Richtung der ersten Spannungsschwelle die Messung der Versorgungsspannung mit einer ansteigenden Messrate erfolgt. Vorzugsweise erfolgt somit dann eine Erhöhung der Messrate, wenn die gemessene Versorgungsspannung ausge ^¬ hend von einer oberhalb der ersten Spannungsschwelle liegen ^¬ den Versorgungsspannung in Richtung der ersten Spannungs- schwelle absinkt und sich dieser annähert. Bevorzugt kann die Erhöhung der Messrate dabei automatisch erfolgen.

Insbesondere um bei niedriger Versorgungsspannung die noch zur Verfügung stehende elektrische Energie möglichst effi ^¬ zient für die Sicherung gespeicherter Daten einsetzen zu können, sieht eine andere vorteilhafte Weiterbildung der Erfin- düng vor, dass die Messung der Versorgungsspannung bei einer Versorgungsspannung unterhalb der ersten Spannungsschwelle mit einer niedrigeren Messrate, das heißt längeren Zyklus ^¬ zeit, erfolgt als bei einer Versorgungsspannung oberhalb der zweiten Spannungsschwelle; das heißt bei einer Versorgungs- Spannung oberhalb der zweiten Spannungsschwelle liegt dann eine kürzere Zykluszeit vor.

Gemäß einer vorteilhaften Weiterbildung der Erfindung wird zur weiteren Erhöhung der Genauigkeit des erfindungsgemäßen Verfahrens die gemessene Versorgungsspannung als Mittelwert aus einer Mehrzahl von Versorgungsspannungsmessungen gebildet.

Die oben zweitgenannte Aufgabe wird bei einer Vorrichtung der eingangs genannten Art erfindungsgemäß dadurch gelöst, dass der Datenspeicher einen ersten Speicherbereich zur Speicherung von mit einer höheren Sicherheit zu schützenden Daten und einen zweiten Speicherbereich zur Speicherung von mit einer niedrigeren Sicherheit zu schützenden Daten aufweist und dass eine Spannungsmesseinrichtung zum Messen einer Versorgungsspannung zum Sperren eines Zugriffs auf den ersten Speicherbereich bei einer von der Spannungsmesseinrichtung gemessenen Versorgungsspannung unterhalb einer ersten, vorgegebenen Spannungsschwelle vorgesehen ist.

Bevorzugt kann dabei die Spannungsmesseinrichtung eine Spannungsmesseinrichtung zum Messen einer Versorgungsspannung des Datenspeichers oder einer Datenverarbeitungseinrichtung der elektronischen Schaltung sein. Vorzugsweise kann eine Sperr- einrichtung zum Sperren des Zugriffs auf den ersten Speicherbereich bei einer von der Spannungsmesseinrichtung gemessenen Versorgungsspannung unterhalb der ersten, vorgegebenen

Spannungsschwelle vorgesehen sein. Besonders vorteilhaft ist ein Vorsehen der Spannungsmesseinrichtung bei der erfindungsgemäßen Vorrichtung in Verbindung mit der Sperreinrichtung, die den ersten Speicherbereich zum besonderen Schutz der darin ent- haltenen Daten in Abhängigkeit von der mit der Spannungs ^¬ messeinrichtung gemessenen Versorgungsspannung, insbesondere der Versorgungsspannung des Datenspeichers oder der Datenverarbeitungseinrichtung, insbesondere eines Mikroprozessors oder MikroControllers der Datenverarbeitungseinrichtung, sperrt. Mit Hilfe der Sperreinrichtung kann neben dem Sperren des ersten Speicherbereichs zudem auch eine Steuerung einer Freigabe des ersten und des zweiten Speicherbereichs erfolgen; die Sperreinrichtung kann dann allgemeiner eine Zugriffseinrichtung für den Datenspeicher bilden. Vorzugsweise kann der erste Speicherbereich ein Datensicherheit gewährleistender Speicherbereich und der zweite Speicherbereich ein Speicherbereich ohne Datensicherheit sein.

Vorteilhaft kann die erfindungsgemäße Vorrichtung einen be- sonders einfachen und betriebssicheren Aufbau aufweisen, wenn gemäß einer Weiterbildung der Erfindung die Spannungsmesseinrichtung einen AD-Wandler (Analog-Digital-Wandler) oder einen Hardware-Komparator zum Messen der Versorgungsspannung aufweist .

Es wäre denkbar, zur Steuerung der elektronischen Schaltung beispielsweise ein logisches Array oder Gatter vorzusehen. Jedoch kann ein einfacher, kostengünstiger Aufbau der elektronischen Schaltung und damit auch der erfindungsgemäßen Vor- richtung insgesamt dadurch erreicht werden, dass gemäß einer vorteilhaften Weiterbildung der Erfindung die elektronische Schaltung eine einen Mikroprozessor oder einen Mikrocontrol- ler aufweisende zentrale Datenverarbeitungseinrichtung zur Steuerung einer den Datenspeicher und gegebenenfalls die Sperreinrichtung aufweisenden Datensammel- und Datenauswerte- einrichtung aufweist.

Ausführungsbeispiele der Erfindung werden anhand der beige ^¬ fügten schematisierten Zeichnung im Folgenden näher beschrieben. Es zeigen:

Figur IA eine Vorrichtung zur Durchführung eines Verfahrens zur Steuerung eines Zugriffs auf einen Da ^¬ tenspeicher,

Figur IB eine weitere Vorrichtung zur Durchführung des Verfahrens zur Steuerung eines Zugriffs auf einen

Datenspeicher,

Figur 2 ein Ablaufdiagramm für das Verfahren zur Steuerung eines Zugriffs auf den Datenspeicher und

Figur 3 einen Verlauf einer Versorgungsspannung des Datenspeichers oder der Datenverarbeitungseinrichtung nach Figuren IA, IB über der Zeit.

Sich jeweils entsprechende Elemente sind in allen Figuren mit gleichen Bezugszeichen versehen. Figur IA zeigt eine beispielhaft als Tachograph 1 für ein Kraftfahrzeug ausgebildete Vorrichtung zur Durchführung eines Verfahrens zur Steuerung eines Zugriffs auf einen einen ersten Speicherbereich 2 und einen zweiten Speicherbereich 3 aufweisenden Datenspeicher 4 in einer elektronischen Schaltung 5, wobei Datenspeicher 4 und elektronische Schaltung 5 Bestandteil der Vorrichtung sind. Der erste Speicherbereich 2 des Datenspeichers 4 ist zur Speicherung von mit einer höheren Sicherheit zu schützen- den Daten und der zweite Speicherbereich 3 zur Speicherung von mit einer niedrigeren Sicherheit zu schützenden Daten vorgesehen .

Weiterhin weist die Vorrichtung eine Spannungsmesseinrichtung 6 zum Messen einer Versorgungsspannung des Datenspeichers 4 auf, wobei die Spannungsmesseinrichtung 6 beispielsweise ei ^¬ nen AD-Wandler 11 oder einen Hardware-Komparator aufweist.

Ferner ist in diesem Beispiel zusätzlich eine Sperreinrichtung 7 zum Sperren eines Zugriffs auf den ersten Speicherbe ^¬ reich 2 bei einer von der Spannungsmesseinrichtung 6 gemessenen Versorgungsspannung unterhalb einer ersten, vorgegebenen Spannungsschwelle vorgesehen.

Die elektronische Schaltung 5 weist eine zentrale Datenverar ^¬ beitungseinrichtung 8 mit zum Beispiel einem Mikroprozessor 9 oder einem MikroController auf. Die zentrale Datenverarbei- tungseinrichtung 8 dient unter anderem zur Steuerung einer den Datenspeicher 4 und die Sperreinrichtung 7 aufweisenden Datensammel- und Datenauswerteeinrichtung 10.

Eine Vorrichtung nach Figur IB unterscheidet sich von der Vorrichtung nach Figur IA lediglich dadurch, dass hier die

Spannungsmesseinrichtung 6 zum Messen einer Versorgungsspannung der Datenverarbeitungseinrichtung 8, und zwar in diesem Ausführungsbeispiel speziell des Mikroprozessors 9 der Daten ^¬ verarbeitungseinrichtung 8, vorgesehen ist.

Figur 2 veranschaulicht anhand eines Ablaufdiagramms ein zum Beispiel für eine Vorrichtung, insbesondere einen Tachogra ^¬ phen, nach Figuren IA, IB geeignetes Verfahren zur Steuerung eines Zugriffes auf einen einen ersten Speicherbereich und einen zweiten Speicherbereich aufweisenden Datenspeicher in einer elektronischen Schaltung. Dabei folgt nach einer einen Start des Verfahrens markierenden Grenzstelle A (Start) eine Operation B (Messen einer Versorgungsspannung) , die eine Messung einer Versorgungsspannung, insbesondere des Datenspei- chers oder der Datenverarbeitungseinrichtung, umfasst. Anschließend wird in einer Verzweigung C (Gemessene Versor ^¬ gungsspannung unterhalb einer ersten Spannungsschwelle (unte ^¬ re Halt-Mode-Schwelle) ?) beurteilt, ob die gemessene Versor ^¬ gungsspannung unterhalb einer vorgegebenen ersten Spannungs- schwelle liegt. Wenn das nicht der Fall ist, dann erfolgt ge ^¬ mäß einer zur Seite weisenden Ablauflinie n ein Sprung zurück, und die letzte Operation B wird erneut ausgeführt.

Liegt hingegen die gemessene Versorgungsspannung unterhalb der ersten Spannungsschwelle, so folgt gemäß einer nach unten weisenden Ablauflinie j eine weitere Operation D (Sperren Zugriff auf ersten Speicherbereich) , die einen Zugriff auf den ersten Speicherbereich des Datenspeichers sperrt und bei ^¬ spielsweise auch ein Abschalten nicht zwingend benötigter Stromverbraucher der Vorrichtung, insbesondere des Tachographen, umfassen kann. Eine daran anschließende Operation E (Messen der Versorgungsspannung) umfasst wiederum eine Messung der Versorgungsspannung, insbesondere des Datenspeichers oder der Datenverarbeitungseinrichtung, woran anschließend in einer Verzweigung F (Gemessene Versorgungsspannung oberhalb einer zweiten Spannungsschwelle (obere Halt-Mode-Schwelle) ?) beurteilt wird, ob die jetzt gemessene Versorgungsspannung oberhalb einer über der ersten Spannungsschwelle angeordne ^¬ ten, vorgegebenen zweiten Spannungsschwelle liegt.

Wenn das nicht der Fall ist, dann erfolgt gemäß einer zur Seite weisenden Ablauflinie n' ein Sprung zurück, und die letzte Operation E wird erneut ausgeführt. Ist hingegen die Bedingung der letztgenannten Verzweigung F erfüllt, so folgt gemäß einer nach unten weisenden Ablauflinie j ' eine nächste Operation G (Software-Reset ) , die einen Software-Reset um- fasst. Eine anschließende Grenzstelle H (Ende) markiert das Ende des Verfahrens.

Ein beispielhafter Verlauf V der Versorgungsspannung UV des Datenspeichers 4 oder des Mikroprozessors 9 der Datenverar- beitungseinrichtung 8 (siehe Figuren IA, IB) über der Zeit t ist in Figur 3 dargestellt; außerdem ist in einem unteren Bereich der Figur 3 jeweils der mit der Versorgungsspannung UV zu einem bestimmten Zeitpunkt korrespondierende Betriebszu ^¬ stand BZS beispielsweise des oben beschriebenen Verfahrens zur Steuerung des Zugriffs auf den Datenspeicher gezeigt. Waagerechte Linien zeigen die Lage der ersten Spannungs ^¬ schwelle UVSl, der zweiten Spannungsschwelle UVS2, die ober-

halb der ersten Spannungsschwelle UVSl angeordnet ist, und einer dritten Spannungsschwelle UVS3, die unterhalb der ers ^¬ ten Spannungsschwelle UVSl angeordnet ist, an.

Bei einer Versorgungsspannung UV unterhalb der ersten Spannungsschwelle UVSl ist der Zugriff auf den ersten Speicherbe ^¬ reich 2 (siehe Figuren IA, IB) gesperrt. Ein Sperren des Zugriffs auf den ersten Speicherbereich erfolgt mithin bei einem Absinken der Versorgungsspannung unter die erste Span- nungsschwelle UVSl; dieses ist bei dem Ausführungsbeispiel nach Figur 3 zu zwei Zeitpunkten tul, tu2 der Fall.

Weiterhin ist bei einer Versorgungsspannung UV oberhalb der zweiten Spannungsschwelle UVS2 der Zugriff auf den ersten Speicherbereich 2 und den zweiten Speicherbereich 3 frei.

Ausgehend von einer Versorgungsspannung UV unterhalb der ersten Spannungsschwelle UVSl wird bei einem Ansteigen der Ver ^¬ sorgungsspannung UV über die zweite Spannungsschwelle UVS2 ein Software-Reset durchgeführt. In dem Ausführungsbeispiel nach Figur 3 ist das der Fall zu zwei Zeitpunkten tSRl, tSR2, wobei der erste Zeitpunkt tSRl dieser Zeitpunkte tSRl, tSR2 nach dem ersten Zeitpunkt tul, zu dem ein Sperren des ersten Speicherbereichs erfolgt, und vor dem zweiten Zeitpunkt tu2, zu dem ein erneutes Sperren des ersten Speicherbereichs er- folgt, liegt. Nach dem letztgenannten Zeitpunkt tu2 liegt der zweite Zeitpunkt tSR2, zu dem ein Software-Reset durchgeführt wird.

Bei einem Absinken der Versorgungsspannung UV unter eine un- terhalb der ersten Spannungsschwelle UVSl angeordnete dritte Spannungsschwelle UVS3 - in diesem Beispiel zu einem Zeit ^¬ punkt tHRA, der nach dem zweiten Zeitpunkt tu2, zu dem ein Sperren des ersten Speicherbereichs erfolgt, liegt - wird ein Hardware-Reset durchgeführt bis die Versorgungsspannung UV die dritte Spannungsschwelle UVS3 zu einem späteren Zeitpunkt tHRE, der hier vor dem zweiten Zeitpunkt tSR2, zu dem ein

Software-Reset durchgeführt wird, liegt, wieder überschrei ^¬ tet.

Es hat sich gezeigt, dass die erste Spannungsschwelle UVSl beispielsweise in einem Bereich von 6, 6 V, die zweite Span ^¬ nungsschwelle UVS2 zum Beispiel in einem Bereich von 7,2 V und die dritte Spannungsschwelle UVS3 zum Beispiel in einem Bereich von 5,8 V liegen kann.

Wie in Figur 3 veranschaulicht, kann die Versorgungsspannung, insbesondere des Datenspeichers oder der Datenverarbeitungs ^¬ einrichtung, in einen unkritischen Bereich I, der dem normalen Betriebszustand entspricht, einen bedenklichen Bereich II und einen kritischen Bereich III, in dem der Betrieb des Da- tenspeichers nicht mehr sicher ist, eingeteilt werden. Die

Versorgungsspannung UV liegt dann in dem unkritischen Bereich I, wenn sie größer ist als eine oberhalb der zweiten Spannungsschwelle UVS2 angeordnete Grenzspannung UVG. In dem be ^¬ denklichen Bereich II liegt die Versorgungsspannung UV, wenn sie bei sinkendem Spannungsverlauf kleiner ist als die Grenz ^¬ spannung und größer als die erste Spannungsschwelle UVSl so ^¬ wie bei steigendem Spannungsverlauf größer als die zweite Spannungsschwelle UVS2 und kleiner als die Grenzspannung UVG. Darunter liegt je nach Verlauf der Versorgungsspannung der kritische Bereich III.

In dem unkritischen Bereich I kann zum Beispiel der AD- Wandler (siehe Figuren IA, IB) mit niedriger Messrate arbeiten, die jedoch bei Erreichen des bedenklichen Bereichs II wesentlich erhöht wird, um schnell bei plötzlichen Spannungs ^¬ änderungen reagieren zu können. Beim Erreichen des bedenklichen Bereichs II werden stromintensive Bauteile der Vorrich ^¬ tung, beispielsweise Beleuchtung und motorische Antriebe, ausgeschaltet, um intern gespeicherte elektrische Energie zu sparen. Beim Erreichen des kritischen Bereichs III tritt das die Vorrichtung steuernde Programm in eine Schleife entspre ^¬ chend einem Halt-Mode ein, wobei die Schwelle zum kritischen

Bereich III so zu wählen ist, dass noch hinreichend interne Energiereserven zum Eintritt in die Schleife vorhanden sind; andererseits sollte die Schwelle möglichst niedrig liegen, um einen langzeitigen Betrieb der elektronischen Schaltung zu gewährleisten. Innerhalb der Schleife wird nur noch ermit ^¬ telt, ob die Versorgungsspannung die Schwelle vom kritischen Bereich III zum bedenklichen Bereich II wieder überschreitet. Dafür notwendige Speicherbereiche dürfen nicht in einem schützenswerten Speicherbereich, das heißt nicht in dem ers- ten Speicherbereich, des Massenspeichers, insbesondere batte ^¬ riegepufferten RAM, liegen. Auch sind alle Interrupts gesperrt; sind zu einer Auswertung der Versorgungsspannung Interrupts erforderlich, so können diese weiterhin ausgeführt werden. Auch dabei gilt die Einschränkung, dass lediglich nicht schützenswerter Speicherbereich des Massenspeichers verwendet werden darf. Die Genauigkeit der Spannungsmessung kann gegebenenfalls durch Mittelwertbildung über eine Mehrzahl von Versorgungsspannungsmessungen verbessert werden, wobei zu berücksichtigen ist, dass kurze Messintervalle im ak- tuellen Betriebszustand keine große Bedeutung haben. Die

Schleife wird entweder dadurch beendet, dass die Versorgungs ^¬ spannung weiter sinkt und die elektrischen Komponenten, insbesondere der Datenspeicher und/oder die Datenverarbeitungs ^¬ einrichtung, der elektronischen Schaltung nicht mehr arbeiten können, so dass ein durch Unterspannung bedingter Hardware- Reset ausgelöst wird, oder die Versorgungsspannung steigt wieder an und überschreitet eine Schwelle, die geringfügig höher liegt als die Eintrittsschwelle in den kritischen Be ^¬ reich III. In diesem Fall wird ein Software-Reset durchge- führt, um ein definiertes Hochfahren der Vorrichtung mit der elektronischen Schaltung zu erzwingen. In einer Initialisierungsphase nach dem Software-Reset wird vorzugsweise zunächst wieder die Versorgungsspannung gemessen und bei kritischer Versorgungsspannung in die dem Halt-Mode entsprechende Schleife eingetreten. Auf diese Weise ist eine minimale Ver ^¬ sorgungsspannung, insbesondere des Datenspeichers oder der Datenverarbeitungseinrichtung, definiert. Im Falle einer ver-

änderbaren Messrate der Spannungsmessung beginnt die Initialisierungsphase mit einer hohen Messrate.

Für den Zeitraum des Hardware-Resets ist in dem unteren Be- reich der Figur 3 ein entsprechender Betriebszustand HWR als kreuzschraffierte Fläche eingetragen. Für die Zeiträume, in denen der Zugriff auf den ersten Speicherbereich gesperrt ist, sind Betriebszustände HM als einfach schraffierte Fläche eingetragen .

Der Software-Reset betrifft ein die oben beschriebene Vor ^¬ richtung steuerndes Programm und erfolgt durch die Datenverarbeitungseinrichtung 8 (siehe Figuren IA, IB) , insbesondere den Mikroprozessor 9, selbst. Beim Hardware-Reset wird hinge- gen die Datenverarbeitungseinrichtung 8, insbesondere der Mikroprozessor 9, selbst zurückgestellt; dieses kann beispiels ^¬ weise dadurch geschehen, dass ein externer Spannungsregler eine zu niedrige Versorgungsspannung UV erkennt und ein ent ^¬ sprechendes Signal abgibt, das die Datenverarbeitungseinrich- tung 8 zurückstellt. Vorzugsweise kann bei einem Hochfahren der Vorrichtung nach einem vollständigen Ausfall der Versorgungsspannung, insbesondere des Datenspeichers oder der Da ^¬ tenverarbeitungseinrichtung, die Spannungsmesseinrichtung 6 (siehe Figuren IA, IB), insbesondere der AD-Wandler 11, zu- nächst mit einer hohen Zykluszeit arbeiten, und danach kann, falls sich die Versorgungsspannung in dem kritischen Bereich befindet, in den Betriebszustand, in dem der Zugriff auf den ersten Speicherbereich gesperrt ist und das Programm in einer einem Halt-Mode entsprechenden Schleife, in der die Versor- gungsspannung gemessen und mit den Spannungsschwelle verglichen wird, verharrt, eingetreten werden.