时钟监控单元.pdf

时钟监控单元
    【技术领域】

    本发明涉及时钟监控单元，以及包括用于对至少两个时钟(具体地，电子系统的内部时钟)进行监控的时钟监控单元的电子系统。

    背景技术

    目前汽车在驾驶安全方面的发展以及对于娱乐和信息娱乐的更多需求使得汽车中电子模块急剧增多。大多数电子模块集成在芯片上，其中每个电子模块包括多个不同的功能，每个功能集成在一个芯片上。这种在一个芯片上包括不同功能的电子模块是微控制器单元，称作MCU。汽车领域内的多种安全相关应用(如安全气囊、ABS或其他)需要可靠的操作。

    MCU以及连接至MCU的外围设备的可靠操作强烈依赖于有效的时钟信号。MCU的可靠操作还可以受到在MCU内包含的或连接至MCU的诊断单元的影响。MCU、外围设备和诊断单元全都需要被提供可靠且稳定的时钟信号。尤其在安全相关应用中，诸如漏失时钟或时钟频率的偏差之类的时钟故障对于MCU操作而言可能是严重的。例如，这样的时钟故障可能阻碍安全功能的执行或者可能去激活在线诊断。

    当检测到时钟故障时，必须发起适当的反应，该反应依赖于应用需求。对于严重时钟故障，可能需要使整个系统进入安全状态。传统上，在MCU内使用的所有时钟都直接或间接地来自于系统时钟，所述系统时钟用作参考，以通过计算在MCU内所得到的时钟的频率与系统时钟频率之比，来检测漏失时钟故障以及检测频率偏差。如果该比值未达到预定的值，则检测到时钟故障。换言之，时钟故障的正确检测依赖于正确系统时钟的存在。

    【发明内容】

    因此，本发明的目的是提供一种可以检测时钟故障的时钟监控单元，具体地，时钟故障是诸如漏失时钟或过快或过慢运行的时钟之类的时钟故障。

    本发明的另一目的是对时钟故障进行分类，以使得时钟监控单元可以自主地对严重时钟故障作出反应并将较不严重的时钟故障指示给软件或系统监控器单元。

    因此，本发明提出了一种具有辅助时钟、活动性单元和偏差单元的时钟监控单元。所述辅助时钟可以是在时钟监控单元内部产生的或者从外部提供的。时钟监控单元基于监视器(monitor)时钟对至少一个时钟进行分析，并提供与所述至少一个时钟有关的信息。具体地，活动性单元基于辅助时钟来检测监视器时钟的存在，以及基于监视器时钟来检测辅助时钟的存在。此外，偏差单元基于辅助时钟对监视器时钟的频率进行分析。通过确保监视器时钟正确地运行，时钟监控单元可以彼此独立地分析所述至少一个时钟中的所有时钟。现在，时钟监控单元可以自主地并且不同地对时钟故障作出反应。例如，可以通过发起关闭来处理在系统关键时钟(如，对中央处理单元或者到致动器的接口进行计时的系统时钟)中发生的时钟故障。例如可以通过软件来处理在较不严重的外围时钟中发生的时钟故障。此外，时钟监控单元可以对时钟故障进行分类。即，在漏失监视器时钟的情况下执行的错误处理过程可以与在监控器时钟频率严重偏离指定值的情况下执行的错误处理过程不同。

    优选地，活动性单元可以包括监视器时钟漏失单元和辅助时钟漏失单元。其中，监视器时钟漏失单元由辅助时钟来计时，并且由监视器时钟来连续地重置。只要由辅助时钟来计时并且由监视器时钟来重置，监视器时钟漏失单元就稳定地输出信号。如果监视器时钟漏失单元不被重置，则该信号在得自于辅助时钟的预定逝去时间之后发生改变。每当监视器时钟重置监视器时钟漏失单元时，所述预定逝去时间重新开始。

    辅助时钟漏失单元由监视器时钟来计时，并由辅助时钟来连续地重置。只要由监视器时钟来计时并且由辅助时钟来重置，辅助时钟漏失单元就稳定地输出信号。如果辅助时钟漏失单元不被重置，则该信号在得自于监视器时钟的预定逝去时间之后发生改变。每当辅助时钟重置辅助时钟漏失单元时，所述预定逝去时间重新开始。

    由于在电子系统中尤其在MCU中时钟丢失与系统安全的高度相关性，活动性单元实现多个任务。如果电子系统包括所谓的锁相环(下文中称作PLL)以产生从所述至少一个时钟得到的时钟信号，则PLL在所述至少一个时钟漏失的情况下自由运行。这样，PLL将产生有故障的时钟信号。通过利用活动性单元来检测时钟丢失以及发起适当的反应来防止这种情况。此外，漏失时钟可能阻止诊断单元操作从而无法检测危险地故障。

    偏差单元可以接收监视器时钟和辅助时钟，以基于辅助时钟来检测监视器时钟中的频率故障。如果监视器时钟在错误频率下进行，则对至少一个时钟的监控是不精确的和/或错误的。此外，如果要监控的监视器时钟和所述至少一个时钟得自于共享的时钟而所共享的时钟是错误的，则无法可靠地检测到在要监控的所述至少一个时钟中的频率错误。然而，如果在电子系统中所述至少一个时钟运行过慢或过快，则这可以阻止安全功能的执行或使得安全功能的执行变差。这样的时钟故障还可能导致诊断和错误预防过程不按照指定的方式进行，使得检测不到危险故障或者无法在指定的系统安全时间内执行该预防过程。因此，偏差单元识别出监视器时钟内的错误时钟频率，并在时钟故障的情况下发起适当的计数器动作。

    优选地，偏差单元可以包括监视器时钟计数器，所述监视器时钟计数器在基于辅助时钟而确定的时间窗内对监视器时钟的时钟数目进行计数。其中，如果在所述时间窗内，监视器时钟偏离预定频率，则指示时钟偏差故障。这种偏差单元的优点是，可以容易地调节时间窗的持续时间，以满足在大频率范围内监控不同监视器时钟频率的需求。例如可以利用可配置计数器来执行这种调节，以从辅助时钟得到时间窗。

    在本发明的时钟监控单元的优选实施例中，偏差单元输出不同的时钟偏差故障，所述时钟偏差故障适于分别地：

    1、在监视器时钟频率高于预定监视器时钟频率的情况下，指示频率高错误。由于从系统总线读取的随机数据或指令，过高的时钟频率可能导致危害。可以通过对该时钟偏差故障作出反应(例如，通过发起系统关闭)来防止这种危害。

    2、在监视器时钟频率低于第一预定监视器时钟频率但高于第二预定监视器时钟频率的情况下，指示频率低警告。这种过低的时钟频率可能阻碍与连接至MCU的外部设备进行交互所需的外围单元的正确操作。对于通信接口尤为如此。利用指示频率低警告的时钟偏差故障，MCU或电子系统可以修复相应的时钟或重置MCU。

    3、备选地或此外，在监视器时钟频率低于第二预定监视器时钟频率的情况下，时钟偏差故障可以指示频率低错误。如果时钟频率过低，则电子系统无法在系统安全时间内对于危险故障的检测做出反应。因此，指示频率低错误的时钟偏差故障使得根据本发明的时钟监控单元可以发起合适的错误处理反应以使系统进入安全状态。

    时钟监控单元还可以包括提供辅助时钟的内部振荡器。这使得时钟监控与由于向时钟监控单元提供外部辅助时钟而发生的任何问题无关。

    此外，还通过本发明的电子系统解决了上述问题，本发明的电子系统适于接收用于对该电子系统计时的外部时钟，其中，所述电子系统适于提供至少一个外围时钟以对与所述电子系统相连或者集成到所述电子系统中的至少一个外围设备计时，其中，所述电子系统耦合至上述时钟监控单元，以分析所述至少一个外围时钟和监视器时钟，所述至少一个外围时钟和监视器时钟两者均是基于外部时钟而创建的。

    时钟监控单元能够检测在系统时钟以及在所示至少一个外围时钟中的时钟故障，并在时钟故障的情况下发起适当的错误处理反应。如已经讨论的，如果提供给时钟监控单元的监视器时钟没有正确地工作，则使用辅助时钟来检测故障。如果辅助时钟错误，则时钟监控单元丢失其双重保护，然而监视器时钟用于检测并可选地发起适当的错误处理过程。

    优选地，时钟监控单元适于在所述至少一个外围时钟中、在监视时钟中、在辅助时钟中、或在外部时钟中发生预定时钟故障的情况下，发起与所述电子系统相连或包含在所述电子系统中的至少一个组件的关闭。这具有时钟监控单元能够独立于其他诊断单元自主地发起关闭的优点。

    优选地，电子系统还包括：判定单元，连接至所述时钟监控单元，并且适于基于所述时钟监控单元的输出来发起电子系统的关闭或错误处理过程。该判定单元非常适于对时钟故障作出灵活反应，并且独立于时钟监控单元。

    优选地，判定单元适于在接收到至少一个时钟漏失错误、至少一个频率低错误、或至少一个频率高错误的情况下发起与所述电子系统相连或包含在所述电子系统中的至少一个组件的关闭。如上所述，频率低错误或时钟漏失错误阻止电子系统进行操作，当关键时钟出现频率高错误时，该频率高错误因读取自总线的随机数据或指令而导致危害，如果这样的错误应用到关键时钟的话。因此，判定单元命令关闭，并且执行安全反应以防止这种情况下的危害。

    此外或备选地，判定单元可以在接收到至少一个频率低警告或接收到针对非关键时钟的时钟漏失错误的情况下发起错误处理过程。如上所述，频率低警告指示电子系统正在以有限的性能或有限的功能来运行。因此，可以开始错误处理过程以尝试例如通过重置时钟产生单元(其负责从系统时钟得到该时钟)来修复时钟，并从而使电子系统回到具有正常性能和功能的操作。

    判定单元还可以由与电子系统内的其他时钟无关的自主时钟来计时。这是对抗电子系统内的时钟故障的另一种适当保护。如果例如在系统时钟中发生时钟故障，则判定单元的功能也会失效。因此，在判定单元中提供的自主时钟可以使得甚至在系统时钟失效的情况下也可以对判定单元提供动作自由性。

    如果为判定单元提供自主时钟，则判定单元的时钟也由时钟监控单元来监控，使得附加的自主时钟的丢失并不导致检测不到危险故障。

    此外，判定单元可以分析所述至少一个频率低警告的原因，以得到关于该原因的信息并将该信息提供给显示器或在错误处理过程中发起自动修复。与频率低警告的原因有关的信息可以有助于技术人员更快地修复电子系统。

    在电子系统的优选实施例中，监视器时钟直接或间接得自于系统时钟。这节约了至少一个时钟产生电路。

    此外，电子设备的判定单元可以基于与从时钟监控单元接收到的至少一个外围时钟有关的信息来发起外围错误处理过程。

    可以利用晶体振荡器提供外部时钟。这非常适于本发明的实施例。晶体振荡器提供非常精确的时钟频率并且可以仅在预定的谐振频率(称作谐波)上振荡。这些谐振频率彼此远离。即，如果晶体振荡器具有故障，则该晶体振荡器最可能在错误的谐振频率下提供时钟频率，并且容易基于辅助时钟利用时钟监控单元来检测这样的故障并从而提高系统安全性。

    如果通过外部独立振荡器提供监视器时钟，则监视器时钟以及要监控的时钟彼此不相关。因此，要监控的时钟中的错误的可检测性提高。

    备选地，监视器时钟可以直接或间接得自于外部时钟。这可以进一步节约电子系统的时钟资源，并从而节约空间和制造成本。

    优选地，可以由环形振荡器或RC振荡器(例如，非稳态多谐振荡器)来提供时钟监控单元的辅助时钟。这样的振荡器廉价，可以容易地集成到电子系统中，并且提供了足够的精度以在运行于错误谐振频率的情况下检测用于外部时钟的晶体振荡器的频率偏差。在优选实施例中，在电子系统内提供环形振荡器或RC振荡器。

    在另一实施例中，在电子系统外部提供环形振荡器或RC振荡器。

    【附图说明】

    现在将基于以下描述和附图来描述本发明，附图中：

    图1示出了根据本发明的使用时钟监控单元的MCU的优选实施例；

    图2示出了根据本发明的时钟监控单元的实施例；

    图3示出了由活动性单元来监控的监视器时钟；

    图4示出了由偏差单元来监控的监视器时钟；

    图5示出了用于产生不同时钟偏差故障的阈值；

    图6示出了根据本发明的时钟监控单元以及系统监控单元的操作；以及

    图7示出了关闭发起单元的内部结构。

    【具体实施方式】

    图1示出了根据本发明的使用时钟监控单元100的MCU 10的优选实施例。MCU 10包括时钟监控单元100(下文中称作CSU)、时钟产生单元110、系统监控单元120(下文中称作SSU)、关闭发起单元140、时钟总线150、中央处理单元160(下文中称作CPU)、存储器161、系统总线162、以及三个外围接口170-172(下文中称作IF)。安全开关180和致动器181连接至MCU 10。

    时钟产生单元110接收从MCU 10外部提供的外部时钟e*，并且至少输出外围时钟集合c*。CSU 100接收外围时钟集合c*，并基于接收到的外围时钟集合c*来产生信息信号d，所述信息信号d被提供给SSU120。此外，CSU 100产生第一关闭发起信号f1，所述第一关闭发起信号f1被提供给关闭发起单元140。SSU 120接收信息信号d并产生第二关闭发起信号f2，所述第二关闭发起信号f2被提供给关闭发起单元140。此外，SSU120、CPU 160、存储器161以及三个IF 170-172通过系统总线162互连。同时，SSU 120、CPU 160、存储器161和三个IF 170-172接收由时钟产生单元110提供的外围时钟c*之一。三个IF 170-172都可以连接至外围设备。在本实施例中，第三IF 170连接至致动器181。

    在接收到外部时钟e*之后，时钟产生单元110基于外部时钟e*来得到外围时钟集合c*。这些外围时钟c*是对于驱动SSU 120、CPU 160、存储器161和三个IF 170-172而言必要的时钟c*。将所产生的外围时钟集合c*应用于时钟总线150。该时钟总线150将所述外围时钟集合c*提供给MCU 10内的上述单元。

    此外，为CSU 100提供所述外围时钟集合c*的所有时钟。在CSU100内部，产生辅助时钟a*。此外，CSU 100选择所述外围时钟集合c*中一个指定的时钟，然后由辅助时钟a*来验证该指定的时钟是否正确地运行。为了提高系统安全性，基于该指定的时钟来检测辅助时钟a*的存在。优选地，所述指定的时钟是外部时钟e*本身，其包含于所述外围时钟集合c*中而无需任何修改。还可以将所述指定的时钟直接提供给CSU 100而不经过时钟产生单元110。备选地，如图1中的虚线箭头所指示的，可以在时钟产生单元110中产生所述辅助时钟，并将所述辅助时钟提供给时钟监控单元100。

    有必要在外部时钟e*中检测至少两种类型的错误。第一错误类型是，外部时钟e*不存在。在这种情况下，CSU 100需要自主地将致动器181转换成安全状态。在本实施例中，通过发起关闭来达到该安全状态。因此，CSU 100输出第一关闭发起信号f1，以命令关闭发起单元140向安全开关180发送关闭信号s。然后安全开关180将致动器181断电。稍后将说明关闭发起单元140的功能。在将致动器181断电之后，可以重置MCU 10。

    另一错误是，外部时钟e*偏离指定的频率。在这种情况下，CSU100需要将频率偏差分类成高严重故障和低严重故障。在高严重故障的情况下，必须使制动器181进入安全状态。因此，CSU 100采用与上述相同的方式来发起关闭。在低严重故障的情况下，CSU 100创建包括与低严重故障有关的信息的信息信号d，并将该信息信号d提供给SSU120。基于该信息信号d，SSU 120判定对检测到的故障的适当反应。

    如果外部时钟e*是无错误的，则CSU 100基于外部时钟e*来检验外围时钟集合c*中其余时钟是否有错误。其中，对外围时钟集合c*内每个时钟的存在以及在预定极限内每个时钟的正确频率进行监控。最终，CSU 100对外围时钟集合c*内的时钟故障进行分析，并确定在外围时钟集合内是否存在潜在地导致危害的时钟故障。如果是，则CSU100根据上述过程立即发起关闭。否则，CSU 100将该信息包含到信息信号d中并将其提供给SSU 120。

    优选地，如果发起了关闭，则CSU创建包括与时钟故障有关的信息的信息信号d。在这种情况下，如稍后将描述的，SSU 120可以能够将该信息登记到非易失性存储器中。

    根据本发明的CSU 100包括以下优点。通过从外围时钟集合c*中选择出一个指定的时钟，并基于辅助时钟a*来检验该指定的时钟，获得了针对这一个指定的时钟的预定可靠性。在下一步骤中，可以基于在第一步骤中检验的这一个指定的时钟来独立地监控在外围时钟集合c*中所有其余的时钟。即，可以独立地接收与外围时钟集合内的每个时钟有关的信息。因此，CSU 100可以将多种多样的错误类型进行分类，使得MCU 10在对时钟错误的反应方面更灵活。

    在优选实施例中，由晶体振荡器来提供外部时钟e*。如本领域技术人员公知的，晶体振荡器仅可以在预定的谐振频率上振荡。由于频率漂移或晶体容限而导致的晶体振荡器频率的微小频率偏差不影响对MCU进行计时。换言之，晶体振荡器仅提供具有离散频率的时钟信号。即，根据本发明的CSU 100是尤其有利的。基于辅助时钟a*，确定外部时钟e*(即，晶体振荡器)是否在正确的谐振频率上振荡。这样，由于晶体振荡器的谐振频率被置于彼此远离，所以对辅助时钟a*的需求并不非常高。换言之，即使以非常不精确的振荡器(如，具有大约20％的容限的环形振荡器)来产生辅助时钟a*，如果检测结果指示正确谐振频率，则也可以将外部时钟e*假定为正确运行。相应地，如果将外部时钟e*标识为正确运行，则可以基于该外部时钟e*在小的容限范围内监控外围时钟集合c*中的其余时钟。

    关于SSU 120，该SSU 120接收包括与外围时钟集合c*有关的信息的信息信号d。优选地，如已经提到的，该外围时钟集合还包括外围时钟e*。可以利用外围时钟集合c*的一个时钟来对SSU 120计时。可以利用独立于外部时钟e*的自主时钟来对SSU 120计时。这样，还必须由CSU 100来监控该自主时钟。SSU 120获取与所有时钟故障有关的信息，所述时钟故障并不立即导致CSU 100发起系统关闭。基于信息信号d，SSU 120可以发起预定的错误处理过程。这些错误处理过程包括：与受时钟故障影响的功能单元通信以检测该功能单元是否在正确运行，发起MCU重置或甚至发起系统关闭，等等。在后一种情况下，SSU120向关闭发起单元140输出第二关闭发起信号f2，所述关闭发起单元140以上述方式发起致动器181的关闭。稍后将给出与SSU 120的功能有关的更多细节。

    CPU 160、存储器161以及IF 170-172是MCU 10的元件，其接收时钟产生单元110所产生的时钟之一。如上所述，SSU 120适于发起错误处理过程。通常，如果SSU 120不发起关闭，则命令CPU 160执行预定的错误处理过程。该指令是经由系统总线162来传送的。CPU 160可以从存储器161读取适当的程序，并执行相应的错误处理过程，以及将结果作为响应提供给SSU 120。然而，如果时钟故障影响了驱动CPU 160的时钟自身，则必须发起独立于CPU 160的错误处理过程。因此，驱动CPU 160的时钟的时钟故障是一个示例，其可能需要SSU 120或CSU100发起关闭。

    即，根据本发明的包括CSU 100的MCU 10可以独立地对时钟故障作出反应。另一方面，检测到可能导致危害的严重时钟故障强制CSU100自主地发起安全相关元件的关闭。例如，与MCU 10相连的致动器181。对于被视为可修复并且对于整个系统而言不关键的时钟故障，CSU 100将该时钟故障报告给SSU 120。然后SSU 120可以发起错误处理过程，并在通过该错误处理过程并未消除该时钟故障的情况下判定其他系统相关步骤。

    图2示出了根据本发明的时钟监控单元的实施例。CSU 100包括活动性单元210、偏差单元220、可配置时钟监控器230、内部时钟产生器240、事件分析器250以及时钟选择器260。

    时钟选择器260从时钟产生单元110接收外围时钟集合c*，并选择应该用于对所述外围时钟集合c*中的所有其他时钟进行监控的时钟。如上所述，该时钟优选地是外部时钟e*。该指定的时钟是由参考标记m*来指示的指定的时钟，并在下文中称作监视器时钟m*。将监视器时钟m*提供给活动性单元210以及偏差单元220。内部时钟产生器240将辅助时钟a*提供给活动性单元210和偏差单元220。基于监视器时钟m*以及辅助时钟a*，活动性单元240检测两个时钟是否都存在。其结果是输出至事件分析器250的、指示这两个时钟信号中每一个的存在性的存在信号p。偏差单元220基于辅助时钟a*对监视器时钟m*的正确频率进行分析。如果检测到监视器时钟m*的频率偏差，则偏差单元220适于在该频率过高的情况下输出偏差高信号，在该频率过低但是高于预定的临界极限的情况下输出偏差低警告，或者在频率在预定的临界极限以下的情况下输出偏差低错误。将偏差单元220的输出提供给事件分析器250。最终，将监视器时钟m*提供给可配置时钟监控器230。基于监视器时钟m*，可配置时钟监控器230得出与外围时钟集合c*中包含的所有时钟有关的时钟信息。这些时钟信息c可以包括每个时钟的存在性、与每个时钟的频率偏差有关的信息、每个时钟的幅度、或者对于保证MCU 10的可靠操作以及避免输出到致动器181的无效控制信息可能导致的危害而言必要的其他合适信息。最终还将时钟信息c馈送至事件分析器250。如果所输入的信息指示可能导致危害和/或无法修复的严重时钟故障，则事件分析器250可以基于所输入的信息来输出第一关闭发起信号f1。如上所述，如果监视器时钟m*运行过快或过慢，情况尤其是如此。其他可能是：例如，CPU 160的时钟或者SSU 120的时钟漏失。另一可能是，IF 170丢失其时钟，并且没有其他数据可以发送至致动器181，所述致动器181可以是急需控制数据以避免危险情况的伺服马达。在这种情况下，没有时间开始错误处理过程，必须立即使伺服马达(致动器)181进入安全状态。在这种故障的情况下，事件分析器250可以激活第一关闭发起信号f1。事件分析器250还输出信息信号d，所述信息信号d包括从活动性单元210、偏差单元220和可配置时钟监控器230提供的所有时钟信息。

    活动性单元210包括监视器时钟漏失单元211和辅助时钟漏失单元212。监视器时钟漏失单元211包括计数器，由辅助时钟a*来对所述计数器计时以定义超时，在所述超时之后将监视器时钟m*检测为漏失。具体地，在开始时，监视器时钟漏失单元211输出第一信号，所述第一信号指示监视器时钟m*存在。在超时之后，监视器时钟漏失单元211切换至第二信号，所述第二信号指示监视器时钟m*漏失。然而，监视器时钟m*以每个时钟周期来重置监视器时钟漏失单元211的计数器。即，周期性地重新开始超时，在所述超时之后监视器时钟漏失单元211利用第二信号来指示漏失监视器时钟m*。与监视器时钟漏失单元211一样，辅助时钟漏失单元也包括计数器。即，辅助时钟漏失单元212的操作与监视器时钟漏失单元211的操作相同。然而，辅助时钟漏失单元212的计数器是由监视器时钟m*来计时的，并且是由辅助时钟a*来重复地重置的。在最简单的情况下，活动性单元210所输出的存在信号p简单地指示监视器时钟m*和辅助时钟a*两者的存在。然而，优选地，存在信号p指示另外的信息。该信息可以包括哪个时钟是漏失的和/或包括指示漏失时间的定时器信号。这样，不仅仅可以可靠地检测到漏失时钟。事件分析器250还可以评估时钟故障的严重性。作为示例，与漏失监视器时钟m*相反，漏失辅助时钟a*不需要立即引起安全开关180的激活。

    偏差单元220适于检测监视器时钟m*的频率偏差。优选地利用计数器221来实现这一点。计数器包括两个输入。第一输入接收辅助时钟a*。基于辅助时钟a*，定义时间窗，在所述时间窗期间对监视器时钟m*的时钟周期进行计数。第二输入接收监视器时钟m*。基于所计数的时钟，在所定义的时间窗期间，偏差单元220适于判定监视器时钟m*是否有偏差，以及判定时钟频率是过高、过低、还是极低。然后以上述方式将结果发送至事件分析器250。然而，还可以将计数结果发送至事件分析器250。在这种情况下，事件分析器250必须对监视器时钟m*的频率偏差进行分析并分类。这将从偏差单元220移除所有智能，并使得可以实现非常简单的设计。

    图3示出了时钟漏失单元中所监控的监视器时钟。详细地，图3示出了在一段时间内的监视器时钟m*和存在信号p。一个监视器时钟周期包括周期长度Tr。假定监视器时钟m*无错误地在活动时间Ta上运行，监视器时钟m*的每个正时钟沿将活动性单元210中的监视器时钟漏失单元211重置。假定从监视器时钟漏失单元211的起始处输出的第一信号是具有任意电平的恒定信号，并且在监视器时钟m*的预定漏失时间Tm之后输出的第二信号包括零电平。即，根据图3，如果监视器时钟m*在活动时间Ta之后漏失，监视器时钟漏失单元211需要漏失时间Tm来切换至第二信号。漏失时间Tm是由辅助时钟a*的预定数目的时钟周期来确定的。利用存在信号p，活动性单元210可以将漏失监视器时钟m*指示给事件分析器250。

    图4示出了偏差单元220所监控的监视器时钟m*，图5示出了用于产生时钟偏差故障的阈值。详细地，图4示出了具有预定周期长度Tw的时间窗信号的示例，以及监视器时钟m*的三个示例。第一监视器时钟mn*无错误地运行，第二监视器时钟mh*运行过快，并且第三监视器时钟m1*运行过慢。如上所述，时间窗信号定义了时间周期，在所述时间周期期间对监视器时钟m*的时钟数目进行计数，其中所述时间窗是从辅助时钟a*得到的。即，时间窗信号可以是辅助时钟a*自身或者是适当地从辅助时钟a*得到的任何其他信号。时间窗信号的周期长度Tw的二分之一用于定义用于计数的时间周期的极限t1、t2。在本示例中，偏差单元220在时间周期的极限t1、t2内针对无错误的监视器时钟mn*计数了7个时钟。在第二监视器时钟mh*运行过快的情况下，偏差单元220在时间周期的极限t1、t2内计数了13个时钟，在监视器时钟m*运行过慢的情况下，偏差单元220在时间周期的极限t1、t2内仅计数了4个时钟。即，通过定义合适的阈值，偏差单元220可以适于输出错误信号以指示过高或极低的时钟频率，和/或输出警告信号以指示过低的时钟频率。在图5中指示了这些阈值，示出了监视器时钟m*的时钟的编号射线(number ray)。额定监视时钟m0*位于针对监视器时钟m*的允许范围内，其中监视器时钟m*的允许范围由第一监视器时钟极限m1*和第二监视器时钟极限m2*来限定，其中所述第一监视器时钟极限m1*指示针对过快监视器时钟m*的极限，所述第二监视器时钟极限m2*指示针对过慢监视器时钟m*的极限。为了概述该允许范围，由虚线矩形来指示该允许范围。在高于第一监视器时钟极限m1*的时钟频率处运行的监视器时钟m*落入第一错误范围，其中，偏差单元220产生高偏差错误dh。在低于第二监视器时钟极限m2*且高于第三监视器时钟极限m3*的时钟频率处运行的监视器时钟m*落入警告范围，其中偏差单元产生低偏差警告dl1。在图5中，该警告范围由点线矩形来指示。即，在低于第三监视器时钟极限m3*的时钟频率处运行的监视器时钟m*落入第二错误范围，其中偏差单元220产生低偏差错误dl2。关于错误、警告和允许范围的划分不限于上述实施例。例如，可以引入另外的警告范围，该另外的警告范围指示略微高于第一监视器时钟极限m1*的时钟频率。还可以对警告或错误范围进行分级。

    这样，由于事件分析器现在可以对频率错误或警告的严重性进行分析，所以可以实现对频率错误和警告作出反应的更高灵活性。

    图6示出了根据本发明的时钟监控单元100和系统监控单元的操作。CSU 100接收包括监视器时钟m*在内的外围时钟集合c*。如已经提到的，还可以独立于外围时钟c*地向CSU 100提供监视器时钟m*。基于所提供的时钟以及在CSU 100内部产生的辅助时钟a*，将信息信号d输出至SSU 120。此外，在严重时钟故障的情况下，CSU 100还可以适于向关闭发起单元140输出第一关闭发起信号f1。SSU 120对信息信号d进行分析并将其提供给错误登记单元630。该错误登记单元630是非易失性存储器，即使在MCU 10掉电之后也能够保存信息s。此外，SSU 120将指令信号h输出至CPU子系统610，所述CPU子系统610至少包括图1所示的CPU 160、存储器161和系统总线162。这样，SSU 120可以在CSU 100检测到时钟故障时发起基于软件的错误处理过程。另一可能是，指令信号h包括对CPU 160的中断请求。所述中断可以包括针对MCU 10的独立组件或整个MCU 10的重置指令。该中断是基于软件的错误处理，并由此是可以节省成本地实现的。此外，将立即执行被发送至CPU 160的指令信号h，使得错误处理过程不会有时间延迟。与指令信号h一起或者作为其替换物，SSU 120可以向关闭发起单元140输出第二关闭发起信号f2。在本实施例中，在关闭的情况下，安全开关180适于仅中断对致动器180的供电而不是对MCU 10的供电。即，在被识别为导致危害的严重时钟故障的情况下，MCU 10将保持其功能以登记信息信号d。这改进了MCU 10和致动器181的可服务性。

    图7示出了关闭发起单元140的内部结构。此后，关闭发起单元140包括OR(或)门710、受控开关720、有效信号(alive signal)供应器730和接地的管脚740。受控开关720初始地提供从有效信号供应器730到关闭发起单元140的输出的信号路径。有效信号供应器730可以适于产生合适的关闭信号s，所述关闭信号s向安全开关180指示MCU 10正确地工作。优选地，该信号是恒定的高电平信号。OR门710接收第一和第二关闭发起信号f1、f2。如果接收到信号f1、f2中的至少一个，则OR门710引起受控开关720将有效信号供应器730与关闭发起单元140的输出之间的信号路径改变成在接地管脚740与关闭发起单元140的输出之间的信号路径。在这种情况下，安全开关180丢失了指示MCU 10的正确操作的信号。作为对这种情形的响应，安全开关中断针对致动器181的供电，并从而执行关闭至安全状态。关闭发起单元140的优点是，不需要主动式信号(active signal)来执行关闭。取而代之地，需要主动式关闭信号s来阻止安全开关180执行关闭。在安全开关180处这种稳定地存在的关闭信号s的简单丢失不会导致危害。

    作为上述实施例的备选，有效信号供应器730或整个关闭发起单元140还可以集成到SSU 120中。在有效信号不是恒定高电平信号而是类似于时钟信号那样的周期性改变电平的信号的情况下，这尤其是有利的。