Die vorliegende Erfindung bezieht sich auf ein Verfahren und eine Einrichtung zur Ausfallüberwachung eines Taktsignals, was besonders bei hochsicheren Mikroprozessoren von Wichtigkeit ist, Dort sollen Taktfehler erkannt und bei Bedarf zur Verhinderung von Rückwirkungen das diesbezüglich fehlerhafte Systemteil ab¬ geschaltet werden. Taktzyklusüberwachungen - auch als "watch dogs" bezeichnet - sollten eigenständig die Fehlerreaktion aktiv einleiten zu können.

Man könnte daran denken, derartige eigenständige Zyklusüber¬ wachungen mit retriggerbaren monostabilen Kippstufen zu imple- mentieren, welche vom zu überwachenden Taktsignal jeweils ange¬ stoßen werden und bei Ausfall desselben eine Fehlermeldung pro¬ duzieren. Eine monostabile Kippstufe enthält jedoch als wesent¬ liches Element einen Kondensator, dessen Einbau in die heutzu¬ tage hochintegrierten Halbleiterschaltkreise Schwierigkeiten bereitet, wenn nicht gar unmöglich ist.

Die Erfindung stellt sich die Aufgabe, mit einfachen Mitteln eine sichere Taktsignalausfallüberwachung anzugeben, welche ohne die Verwendung von Kondensatoren auskommt. Die Lösung die- ser Aufgabe gelingt erfindungsgemäß mit den im Patentanspruch angegebenen Maßnahmen.

Die Erfindung samt ihren weiteren Ausgestaltungen, welche in Unteransprüchen gekennzeichnet sind, soll nachstehend anhand der Figuren näher erläutert werden. Es zeigen:

FIG 1 beispielhafte Impulsdiagramme zur Erläuterung des erfindungsgemäßen Verfahrens,

FIG 2 eine vorteilhafte gerätetechnische Realisierung des erfindungsgemäßen Verfahren, FIG 3 ein Blockschaltbild für eine gegenseitige Ausfallüber¬ wachung zweier Taktsignale, FIG 4 ein Blockschaltbild zur Taktüberwachung bei einem mehr¬ fach redundanten Taktversorgungssystem und FIG 5 eine fehlertolerante Ausführungsvariante der Taktüber¬ wachung nach FIG 4.

In der obersten Zeile der in FIG 1 dargestellten Impulsdiagramm ist das zu überwachende Taktsignal T dargestellt, dessen Fre¬ quenz f _τ und damit dessen Periodendauer l/f _τ beträgt. Die dritt Zeile von FIG 1 gibt das Prüftaktsignal PT mit der Frequenz f _pτ bzw. der Periodendauer l/f _pτ wieder. Das zu überwachende Takt- signal T wird in eine Rechteckimpulsfolge T ¹ mit dem Tastver¬ hältnis 2 (Impulsdauer = Impulspause) umgeformt, was in sehr einfacher Weise mit einem als Frequenzteiler verwendeten Binär¬ teiler erfolgen kann, wobei mit entsprechender Wahl des Teiler- Verhältnisses die Periodendauer der Rechteckimpulsfolge T ¹ so festgelegt wird, daß sie mehr als doppelt so groß ist wie die Periodendauer des Prüftaktsignals PT, von welchem ebenfalls mit tels Frequenzteilung eine weitere Impulsfolge PT' abgeleitet wird, deren Periodendauer l/f _pτι die Dauer jeweils aufeinander¬ folgender Prüfzyklen PZ bestimmt. Die Prüfzyklusdauer PZ bzw. das Frequenzteilerverhältnis, mit dem die Frequenz des Prüftakt signals PT reduziert wird, soll so gewählt werden, daß sie gleich oder größer als die Periodendauer der Rechteckimpulsfol¬ ge T ¹ ist. Damit wird sichergestellt, daß bei ordnungsgemäßer Taktversorgung T innerhalb eines jeden Prüfzyklus PZ eine Ände- rung des Signalpegels der von dem Taktsignal T abgeleiteten

Rechteckimpulsfolge T' auftritt, was durch Abtastung des Recht¬ ecksignals T' jeweils zu den Zeitpunkten ansteigender Impuls¬ flanken des Prüftaktsignals PT erfaßt werden kann. Liegt z.B. zum Zeitpunkt t bei ansteigender Impulsflanke des Prüftakt- signals PT ein H-Signalpegel der Rechteckimpulsfolge T ¹ vor, so wird der Ausgang AI einer ersten Speichereinrichtung auf

H-Signal gesetzt, während ein L-Signalpegel der Rechteckimpuls¬ folge T ¹ zum Zeitpunkt t einer aufsteigenden Impulsflanke des Prüftaktsignals PT am Ausgang A2 einer zweiten Speichereinrich¬ tung auf H-Signal bewirken würde. Am Ende jedes Prüfzyklus PZ müssen also bei ordnungsgemäßer Taktversorgung T beide Signale AI und A2 H-(High)-Signale sein. Die beiden Speichereinrichtun¬ gen für die Pegelwerte werden am Ende jedes Prüfzyklus PZ zurück¬ gesetzt, was innerhalb einer vernachlässigbar kleinen, durch Si¬ gnallaufzeiten der eingesetzten Bauteile bedingten Zeit t _R er- folgt und ein neuer Prüfzyklus PZ kann beginnen. Bei Ausfall der Taktversorgung T weisen die Ausgangssignale AI und A2 der Abtastspeichereinrichtungen nicht beide ein H-Signal auf, was als Taktfehler unter Ausgabe eines entsprechenden Warnsignals erkannt werden kann.

Bezeichnet man mit n _τ das Verhältnis von Taktsignalfrequenz f _γ zu der Frequenz der von ihr durch Frequenzteilung abgeleiteten Rechteckimpulsfolge T ¹ und mit n _pτ das Verhältnis der Prüftakt¬ frequenz f _pτ zu der Frequenz fp-*-* der ebenfalls aus ihr durch Frequenzteilung gewonnenen und den Prüfzyklus PZ bestimmenden Rechteckimpulsfolge PT' , dann läßt sich eine Taktausfallüber¬ wachung für beliebige Werte von Taktsignalfrequenz und Prüf- taktsignalfrequenz realisieren, wenn erfindungsgemäß folgende Bedingungen eingehalten werden:

n _τ ^ 2 . f _τ /f _pτ (1)

Bei dem in FIG 1 dargestellten Beispiel sollen sich die Fre¬ quenzen von Taktsignal T und Prüftaktsignal PT wie 4 : 5 ver¬ halten. Nach obiger Gleichung (1) ergäbe sich damit ein Teiler¬ verhältnis zwischen Taktsignal T und Rechteckimpulsfolge T ¹ von f_/f _pτ w 1,6, für im allgemeinen nur ganzzahlig realisierbare Teilerverhältnisse daher ein Teilerverhältnis von n _τ = 2. Damit würde der gemäß Gleichung (2) vorzusehende Teilerfaktor n _pτ

gleich oder größer als 2,5 zu bemessen sein. Beim Beispiel der FIG 1 wurde ein Teilerverhältnis n _pτ von 4 gewählt, was auf recht einfache Weise mittels eines Binärteilers realisierbar ist. Es wäre jedoch zur Erfüllung der Gleichung (2) auch ein Teilerverhältnis von 3 möglich gewesen, was zu einer Verkür¬ zung der Prüfungszykluszeit PZ und damit zu einer schnelleren Ausgabe eines Warnsignals bei einem Taktsignalausfall geführt hätte.

FIG 2 zeigt eine vorteilhafte gerätetechnische Realisierung eines nach dem erfindungsgemäßen Verfahren arbeitenden Takt¬ monitors TM. Er enthält vier flankengesteuerten D-Kippglieder Kl bis K4. Bei flankengesteuerten D-Kippgliedern wird bei an¬ steigenden Impulsflanken des am Steuereingang C anstehenden Signals die Information des am D-Eingang anliegenden Signals übernommen und erscheint als Ausgangssignal des dem gesteuerten Eingang D zugeordneten Ausgangs Q. Die Steuereingänge C der D-Kippglieder Kl und K2 werden von dem an der Eingangsklemme 1 anliegenden, zu überwachenden Taktsignal T über einen Frequenz- teuer FT1 mit dem Teilerverhältnis n _τ beaufschlagt, während das an der Eingangsklemme 2 anliegende Prüftaktsignal PT den Steuereingängen C der D-Kippglieder Kl und K2 unmittelbar zuge¬ führt ist. Ein zweiter Frequenzteiler FT2 mit dem Teilerfaktor n _pτ reduziert die Frequenz des Prüftaktsignales PT und die ent- sprechend diesem Teilerfaktor n _pτ frequenzreduzierte Spannung ist den Steuereingängen C der D-Kippglieder K3 und K4 zugeführt. Die Teilerfaktoren n _τ und n _pτ sind entsprechend den Gleichungen (1) und (2) bemessen, wobei die Frequenzteiler selbst entweder aus repetierend arbeitenden voreingestellten Zählern oder aus Binärteilern bestehen. Bei den D-Kippgliedern Kl und K2 sind jeweils die Ausgänge Q auf ihre Setzeingänge S rückgekoppelt, womit eine Selbsthaltung in der Weise bewerkstelligt wird, daß bei einmal eingenommenen H-Signal des Ausgangs dieser auf den Setzeingang S rückgekoppelte Zustand solange beibehalten wird, bis am dominierenden Rücksetzeingang R ein H-Signal angelegt wird. Die Ausgänge AI und A2 der Kippglieder Kl und K2 sind

jeweils mit den Eingängen eines UND-Gatters AN und eines NAND- Gatters N verbunden, deren Ausgänge die D-Eingänge der Kippglie¬ der K3 bzw. K4 beaufschlagen. Der Ausgang Q des Kippgliedes K3 ist mit den Rücksetzeingängen R der Kippglieder Kl und K2 ver- bunden, während der Q-Ausgang des Kippgliedes K4 mit der Aus¬ gangsklemme 3 zur Abgabe eines Taktfehlersignales TF bei Takt¬ signalausfall verbunden ist. Zur Rücksetzung des Kippgliedes K4 ist eine weitere, mit RS bezeichnete Eingangsklemme vorhanden, welche zur Wiederinbetriebnahme des Taktmonitors nach durchge- führter Reparatur des Taktsystems kurzzeitig mit einem H-Signal zu beaufschlagen ist.

Die Wirkungsweise des in FIG 2 dargestellten Taktmonitors TM ist unter Hinzuziehung der Impulsdiagramme der FIG 1 wie folgt: Wurde im vorherigen Prüfzyklus PZ kein Taktfehler festgestellt, dann werden die Kippglieder Kl und K2 durch das ein H-Signal aufweisende Ausgangssignal Q der Kippstufe K3 zurückgestellt, d.h. sie befinden sich dann in dem Zustand, in dem ihre Q-Aus- gänge jeweils L-(Low)-Signal aufweisen. Als Folge davon ist das Ausgangssignal des UND-Gatters AN ein L-Signal, welches - inver¬ tiert auf den Rücksetzeingang der Kippstufe K3 wirkend - am Q- Ausgang derselben ein L-Signal erzwingt. Beim nächsten an den Steuereingängen der D-Kippglieder Kl und K2 eintreffenden Im¬ puls des Prüftaktsignales PT wird eines der beiden Kippglieder gesetzt, je nachdem, ob der Signalpegel der Rechteckimpulsfolge T ¹ ein L- oder ein H-Signal ist. In Übereinstimmung mit dem in FIG 1 dargestellten Verlauf soll angenommen werden, daß zum Zeitpunkt t der erste nach Prüfzyklusbeginn eintreffende Im¬ puls des Prüftaktsignales PT einen H-Signalpegel beim Signal T ¹ vorfindet, so daß ein H-Signal von dem Kippglied Kl übernommen wird und das Signal AI ebenfalls zu einem H-Signal wird. Ist dagegen bei einer ansteigenden Impulsflanke des Prüftaktsignals PT der Signalpegel der Rechteckimpulsfolge T ¹ ein L-Signal, was in FIG 1 beispielsweise zum Zeitpunkt t der Fall ist, dann liegt infolge der Invertierung am D-Eingang des Kippgliedes K2 ein H-Signal an, welches von diesem Kippglied gespeichert wird,

so daß das Ausgangssignal A2 an deren Q-Ausgang ebenfalls zu einem H-Signal wird. Infolge der Selbsthaltewirkung der rückge¬ koppelten Ausgangssignale AI und A2 bleiben diese Zustände der Kippglieder Kl und K2 für den Rest des Prüfzyklus erhalten. Ist also während eines Prüfzyklus PZ eine Änderung des Signalpegels bei der vom zu überwachenden Taktsignal T abgeleiteten Prüftakt¬ impulsfolge T ¹ eingetreten, dann besteht das Ausgangssignal des UND-Gatters AN in einem H-Signal und am Ende des Prüfzyklus be¬ wirkt die ansteigende Impulsflanke der Rechteckimpulsfolge PT ¹ am C-Eingang des D-Kippgliedes K3, daß an seinem Q-Ausgang ein H-Signal absteht und unter Rücksetzung der Kippglieder Kl und K2 ein neuer Prüfzyklus vorbereitet wird, der dann in der eben beschriebenen Weise wieder abläuft. Hat jedoch innerhalb eines Prüfzyklus infolge des Ausfalls des Taktsignals T kein Signal- Wechsel bei der Rechteckimpulsfolge T ¹ stattgefunden, so sind am Ende des Prüfzyklus die Ausgangssignale AI und A2 nicht gleich¬ zeitig H-Signale und der Ausgang des NAND-Gatters NA weist ein H-Signal auf, welches bei Ende des Prüfzyklus ein auf ein ge¬ störtes Taktsignal hinweisendes Taktfehlersignal TF an der Aus- gangsklemme 3 hervorruft.

Das erfindungsgemäße Verfahren ist bei jeder beliebigen Fre¬ quenzrelation von zu überwachendem Taktsignal und Prüftaktsi¬ gnal realisierbar ist, d.h. die Frequenz des zu überwachenden Taktsignals kann größer, gleich oder kleiner sein als das Prüf¬ taktsignal. Dies wird bei der in FIG 3 dargestellten Weiter¬ bildung der Erfindung zur gleichzeitig erfolgenden gegenseiti¬ gen Ausfallüberwachung von Takt- und Prüftaktsignal ausgenutzt, womit sich eine hochsichere Taktüberwachung ergibt.

Die in FIG 3 dargestellte Anordnung enthält neben einem ersten Taktmonitor TM1 nach Art des in FIG 2 dargestellten Taktmonitors TM einen zusätzlichen Taktmonitor TM2 und beruht auf dem Gedan¬ ken, bei diesem zusätzlichen Taktmonitor die Rollen von Takt- signal T und Prüftaktsignal zu tauschen, d.h. mit dem Taktsi¬ gnal T das Prüftaktsignal in genau gleicher Weise wie beim

Taktmonitor TMl auf Ausfall zu überwachen. Hierzu wird das Prüf¬ taktsignal PT dem Taktsignaleingang 1 des Taktmonitors TM2 zuge¬ führt und das Taktsignal T dem Prüftakteingang 2. Die Fehlersi¬ gnalausgänge 3 der beiden Taktmonitoren sind mit Anzeigelampen Ll und L2 sowie den Eingängen eines ODER-Gatters 0 verbunden, an dessen Ausgang dann bei Ausfall des Taktsignals T oder des Taktsignals PT ein Fehlersammeisignal FS erscheinen würde. Legt man bezüglich der Frequenzrelation von dem Taktsignal T und dem Prüftaktsignal PT die bereits erwähnten Werte der FIG 1 zugrun- de (f _τ /f _p _ = 0,8), dann kehrt sich bei der Festlegung der Tei¬ lerfaktoren n _τ und n _pτ für den Taktmonitor TM2 infolge des Rollentausches der Signale T und PT diese Relation um und es ergeben sich für n _γ und n _pτ entsprechend den Gleichungen (1) und (2) beidesmal derselbe, ganzzahlig minimal realisierbare Wert von 3 bzw. bei Verwendung von Binärteilern der Wert von 4.

In komplexen Mikroprozessorsystemen sind oft mehrere Taktver¬ sorgungen vorhanden und auf Ausfall zu überwachen. Man könnte jedem zu überwachenden Taktsignal ein eigenes Prüftaktsignal mit einem zusätzlichen Taktmonitor entsprechend der Anordnung gemäß FIG 3 zuordnen. FIG 4 zeigt eine Ausführung, mit welcher man bei mehrfacher Taktversorgung ohne solche zusätzlichen Takt¬ monitore auskommt. Es sind n Taktsignale Tl bis Tn vorhanden, welche auf Ausfall zu überwachen und demgemäß jeweils an die mit 1 bezeichneten Taktsignaleingängen der Taktmonitoren TMl bis TMn angeschlossen sind. In zyklischer Zuordnung wird dabei jedes der Taktsignale Tl bis Tn als Prüftaktsignal für ein ande¬ res Taktsignal verwendet und demzufolge an den Prüftaktsignal- eingang 2 des benachbarten Taktmonitors angeschlossen. Die Takt- fehlerausgänge 3 werden wie bei der Anordnung gemäß FIG 3 mit¬ tels Anzeigelampen einzeln überwacht und mit den Eingängen eines ODER-Gliedes verbunden, welches bei Ausfall eines der Taktsigna¬ le Tl bis Tn das Fehlersammelsignal FS ausgibt. Damit kann eine Störung der Taktversorgung zentral erkannt, mittels Anzeigelam- pen oder sonstigen Anzeigeeinrichtungen identifiziert und eine gezielte Fehlerreaktion eingeleitet werden.

FIG 5 zeigt eine fehlertolerante Ausführungsvariante der An¬ ordnung gemäß FIG 4, mit der bei Ausfall eines Taktsignals die die gegenseitige Überwachung der restlichen Taktsignale unge¬ stört weitererfolgen kann. Beispielsweise seien vier Taktsignale Tl bis T4 mit den zugehörigen Taktmonitoren TMl bis TM4 vorhan¬ den, welche bei der dargestellten Stellung der den Prüftaktein¬ gängen 2 zugeordneten Umschaltern Sl bis S4 die Taktmonitoren TMl bis TM4 nach Art der in FIG 4 dargestellten Weise beauf¬ schlagen. Mit der Betätigung des seinem Prüftakteingang 2 zuge- ordneten Umschalters durch das Fehlersignal am Ausgang 3 des ihm unmittelbar (zyklisch) benachbarten Taktmonitors eröffnet sich für den einzelnen Taktmonitor die Möglichkeit, das Prüftaktsi¬ gnal anstatt vom gestörten Taktsignal des unmittelbar benach¬ barten Monitors vom ungestörten Taktsignal eines weiter benach- harten Taktmonitors zu beziehen. Es wird also bei Ausfall eines Taktsignals dessen Funktion als Prüftaktsignal dem dem ausgefal¬ lenen Taktsignal zugeordneten Prüftaktsignal übergeben. Da jedes Taktsignal Tl bis T4 auf diese Weise dafür vorbereitet ist, den Prüftakteingang 2 eines weiter benachbarten Taktmonitors bei ent sprechender Betätigung des diesem Eingang zugeordneten Umschal¬ ters zu beaufschlagen, kann das gestörte Taktsignal aus der Kette der sich selbst überwachenden Taktsignale herausgenommen werden und die Taktsignalüberwachung der übrigen Taktsignale ist weiterhin in vollem Umfange gesichert.