DE10124027A1

DE10124027A1 - Verfahren,Mikroprozessorsystem für sicherheitskritische Regelungen und dessen Verwendung

Info

Publication number: DE10124027A1
Application number: DE10124027A
Authority: DE
Inventors: Bernhard Giers
Original assignee: Continental Teves AG and Co OHG
Current assignee: Continental Teves AG and Co OHG
Priority date: 2001-05-16
Filing date: 2001-05-16
Publication date: 2002-11-21
Also published as: EP1428120A2; JP2004533686A; US20060161918A1; WO2002093287A2; WO2002093287A3; US7389390B2

Abstract

Beschrieben ist ein Verfahren zum Betrieb eines mit Sicherheitsfunktionen ausgestatteten Mikroprozessorsystems, welches auf einem gemeinsamen Chipträger zwei oder mehrere Prozessorkerne (1, 2) und Peripherieelemente (5, 7), auf die die Kerne schreibend oder lesend zugreifen können, umfaßt, bei dem zwischen Algorithmen für sicherheitskritische Funktionen und Algorithmen für Komfortfunktionen unterschieden wird. DOLLAR A Außerdem ist ein zur Durchführung dieses Verfahrens geeignetes Mikroprozessorsystem und dessen Verwendung beschrieben, worin die Prozessorkerne über Bussysteme (3, 4) mit Peripherieelementen (5, 6, 7, 8, 9, 10) verbunden sind und worin Bustreiber (19) vorgesehen sind, welche Businformationen von einem Bus in den anderen Bus übertragen können, und worin mindestes ein Adreß-Vergleicher (18) vorgesehen ist.

Description

Die Erfindung betrifft ein Verfahren gemäß Oberbegriff von Anspruch 1, ein Mikroprozessorsystem gemäß Oberbegriff von Anspruch 9 dessen Verwendung für Kraftfahrzeugsteuerungen/- regelungen.

Aus der EP 0843 853 A1 ist ein Mikroprozessorsystem für si cherheitskritische Regelungssysteme bekannt, das zwei syn chron betriebene Zentraleinheiten oder CPU-Kerne enthält, die über zwei getrennte Bussysteme auf einen auf dem glei chen Chip integrierte Peripherieelemente, wie Speicher und Ein-/Ausgabebausteine, zugreifen können. Das beschriebene Mikroprozessorsystem wird insbesondere für sicherheitskriti sche Steuer- und Regelsysteme in Fahrzeugen angewendet, bei spielsweise zur aktiven oder durch die Bremsfunktion akti vierten Regelung des an den Rädern anliegenden Bremsdrucks, wie z. B. in Gierraten-Regelungssystemen (ESP, TCS), Bloc kierschutzregelungen bzw. Antiblockiersystemen (ABS) und An triebsschlupfregelungssystemen (ASR, TCS, etc.).

Durch die Verdopplung des Prozessorkerns, des Bussystems und zumindest zum Teil auch der Peripherieelemente können Verar beitungsfehler bei einem der beiden Prozessoren entweder durch den zweiten Prozessor überwacht werden oder es wird durch eine Einrichtung geprüft, ob das Ergebnis eines Ar beitsschrittes bei beiden Prozessoren übereinstimmt. Dieses Verfahren ermöglicht eine drastische Erhöhung der Fehlerer kennungsrate, da gleichzeitig in beiden Prozessorsträngen auftretende Fehler eine vergleichsweise geringe Wahrschein lichkeit haben. Wurde ein Fehler erkannt, können geeignete Maßnahmen, wie z. B. die Abschaltung des Regelsystems oder die Durchführung eines Notprogramms (Trap/Interrupt) oder ein Reset, getroffen werden, wodurch die Funktionssicherheit eines Bremssysteme erhöht wird.

Die Peripherieelemente, welche an die beiden Bussysteme an geschlossen sind, umfassen in der Regel Festwert- (ROM, OTP, Flash) und Schreib-Lese-Speicher (RAM) sowie an Eingabe- und an Ausgabeeinheiten oder weitere Bussysteme, welche über Bu streiber angeschlossen sind. Die Bussysteme werden unterein ander durch Treiberstufen miteinander verbunden bzw. gekop pelt, so daß die Prozessorkerne auch Daten in das jeweils andere Bussystems einschreiben bzw. diese lesen können. Der in der EP 0843 853 A1 beschriebene Aufbau des Mikropro zessorsystems ist nicht vollredundant bezüglich des Spei chers. Zumindest ein Teil des Speichers, welcher an einem der beiden Busse angebunden ist, wird virtuell durch einen Hardware-Vergleicher nachgebildet. Der nachgebildete Spei cher enthält dann nicht das gleiche Datenwort, wie der erste Speicher an der selben Adresse, sondern eine mit dem voll ständigen Datenwort verbundene Paritätsinformation, die beim Speichern aus dem zu schreibenden Datenwort errechnet bzw. gebildet wurde. Dies hat den Vorteil, daß praktisch ohne Verlust an Sicherheit ein Großteil des aus Redundanzgründen vorhandenen Speichers eingespart werden kann.

Aufgabe der vorliegenden Erfindung ist es nun, daß vorste hende Mikroprozessorsystem in der Weise weiterzubilden, daß zwischen bezüglich der Sicherheit unkritischen Daten und/oder Programmen und kritischen Daten und/oder Programmen unterschieden werden kann.

Der Erfindung liegt zudem die Aufgabe zugrunde, ein Mikro prozessorsystem bereitzustellen, daß bezüglich der kriti schen Daten und/oder Programme weiterhin eine hohe Fehlerer kennungsrate wie bei bekannten Systemen erreicht wird, so daß die für sicherheitskritische Anwendungen geforderte Be triebssicherheit eingehalten wird, und zusätzlich die Mög lichkeit zum Betrieb von Programmen bietet, die den hohen Sicherheitsanforderungen der sicherheitskritischen Programme nicht entsprechen, ohne daß der Ablauf der sicherheitskriti schen Programme durch die zusätzlichen Programme gestört wird. Gleichzeitig soll das Mikroprozessorsystem einen ver gleichsweise geringen Herstellungsaufwand erfordern.

Diese Aufgabe wird durch das Verfahren gemäß Anspruch 1 und das Mikroprozessorsystem gemäß Anspruch 9 gelöst.

Das Mikroprozessorsystem umfaßt zwei oder mehrere Mikrorech ner. Von diesen Mikrorechner ist mindestens einer eine voll ständige Einheit aus Zentraleinheit und Peripherie- Elementen, bestehend aus Festwert-, Schreib-Lese-Speicher und Eingangs-/Ausgangs-Einheit. Unter dem Begriff "vollständige Einheit" wird verstanden, daß der Mikrorechner die für seine Grundfunktionen erforderlichen Bausteine auf weist, was nicht ausschließt, daß ein Teil der Peripherie, wie etwa zusätzliche Speicherbausteine außerhalb des Chips bzw. des Chipgehäuses angeordnet sind. Diese außerhalb ange ordneten Chips können dann über weitere externe Bussysteme oder über nach außen geführte lokale Busse angesteuert wer den.

Die Peripherieelemente, die Prozessorkerne und die Bussyste me der vorhandenen mindestens zwei Mikrorechner sind auf ei nem gemeinsamen Chipträger integriert, welcher vorzugsweise ein Halbleitersubstrat ist.

Es kann zweckmäßig sein, daß der an ein zweites Bussystem angeschlossene Mikrorechner in bestimmten Adreßbereichen nicht genau mit dem ersten Mikrorechner übereinstimmt, bei spielsweise in dem bestimmte Speicherbausteine in einem Mi krorechner fehlen. Es kann auch im einem der beiden Mikro rechner anstelle eines Festwert- und/oder Schreib-Lese- Speichers ein Speicher mit Speicherplätzen für Prüfdaten vorhanden sein. Die beide Bussysteme sind unter anderem für den Austausch von Daten in den vorstehenden Adreßbereichen über koppelnde Treiberstufen miteinander verbunden.

Auf die überwiegend vollständige doppelte oder mehrfache Ausführung der Peripherie, insbesondere des Speichers, kann ein hohes Maß an Redundanz erzeugt werden.

Besonders bevorzugt ist jedoch ein Mikroprozessorsystem, bei dem der Speicher, insbesondere der Schreib-/Lesespeicher und der Festwertspeicher, zumindest in bestimmten Adreßbereichen vollredundant ausgeführt ist.

Weitere bevorzugte Ausführungsformen ergeben sich aus den Unteransprüchen und der nachfolgenden Figurenbeschreibung.

Es zeigt

Fig. 1 in schematischer Darstellung ein Mikroprozessorsy stem nach der Erfindung.

In Fig. 1 ist ein Ein-Chip-Mikrocomputersystem dargestellt, das zwei synchron betriebene Zentraleinheiten 1, 2, die auch als Rechner- oder Prozessorkerne oder als CPU's bezeichnet werden und separate Bussysteme umfaßt. Die Zentraleinheit 1 ist durch einen gemeinsamen oder mehrere Festwertspeicher 5, 7 (ROM), durch einen Schreib-Lese-Speicher 6 (RAM) und durch nichtgezeichnete Eingabe- oder Ausgangsstufen (z. B. für Pe ripherie oder externe weitere Bussysteme) zu einem vollstän digen Mikrocomputer MC1 ergänzt. An das zweite Bussystem 4 sind der Zentraleinheit 2 sind weitere Festwert-Speicher 8, 9 und Schreib-/Lesespeicher 10 angebunden, die den Speichern des ersten Mikrocomputers MC1 entweder nur logisch oder auch physikalisch genau entsprechen (vollständige Redundanz). Die Elemente an Bus 4 bilden dann den zweiten Mikrocomputer MC2.

Die Bussysteme, welche die Rechnerkerne mit dem Speicher und den Ein-/Ausgabebereichen verbinden, umfassen bevorzugt je weils einen Steuerbus, einen Datenbus und einen Adreß-Bus. Aus Gründen der Übersicht ist in Fig. 1 lediglich der Adreß bus 3 für Kern 1 und Adreßbus 4 für Kern 2 gezeichnet. Be kanntlich werden auf dem Datenbus die Daten von den Spei chern zum Mikroprozessor (Lesen) und von diesem später wie der in den Speicher übertragen (Schreiben), wobei die momen tan aktive Speicheradresse auf dem Adreßbus anliegt. Zur Kontrolle der am Adreßbus 4 anliegenden Adresse wird der Bus 4 einer Adreßüberwachungseinrichtung 18 zugeführt, welche bevorzugt redundant ausgeführt ist. Liegt die zu kontrollie rende Adresse innerhalb eines zulässigen Adreßbereichs, wird ein Signal über die Verbindung 13 ausgegeben. Die Ausgabe des Signals über Verbindung 13 kann davon abhängig gemacht werden, ob ein Schreibvorgang vorliegt (Leitung 14). Schreib- oder Lesefehler werden mittels den Vergleichern 16 und 17 festgestellt, die einen Vergleich der Daten auf den beiden Bussysteme von MC1 und MC2 ermöglichen.

Leitung 13 ist einem Überbrückungsmittel 19, insbesondere Treiber, zugeführt, welches in bestimmten Adreßräumen, z. B. für die Komfort-Algorithmen, die Nutzung von nichtredundan ten Speicherdaten ermöglicht.

Im Gegensatz zu bekannten Systemen ist bei dem erfindungsge mäßen Mikroprozessorsystem keine Unterscheidung in einen ak tiven und einen passiven Rechner möglich. Die beiden Rech nerkerne oder Zentraleinheiten 1, 2 sind vielmehr gleichbe rechtigt. Erfindungsgemäß wird zwischen sicherheitskriti schen Daten oder Algorithmen und Komfort-Daten oder Komfort- Algorithmen unterschieden. Vorzugsweise erhalten die Rech nerkerne bei der Verarbeitung der Sicherheitsalgorithmen die gleichen Eingangsinformationen und arbeiten den gleichen Al gorithmus (Programm, Unterprogramm, Task) ab. Sie verarbei ten insbesondere vollredundant die gemeinsam gelesenen Da ten. Während des Lesens oder Schreibens von Daten, welche einem Sicherheitsalgorithmus zuzuordnen sind, werden die Eingangs- und die Ausgangssignale der Rechner 1, 2 bevorzugt mit den Vergleichern in den weiter unten beschriebenen Ver gleichern 16 und 17 auf Übereinstimmung geprüft, wobei die zu vergleichenden Signale am Datenbus des jeweiligen Rech ners anliegen.

Vorzugsweise ist jedem Rechnerkern ein separater Datenbus zugeordnet. Mit den Vergleichern 16 und 17, welche insbeson dere durch einfache logische Bauelemente realisiert sind, werden die auf den Bussen liegenden Daten miteinander bit weise verglichen. Liegt keine Identität der Daten vor kann eine System-Abschaltung eingeleitet oder ein geeignetes Si gnal zur Fehlerbehandlung generiert werden.

Bei den Vergleichern 16 und 17 handelt es sich insbesondere um Binär-Vergleicher, die bevorzugt wie die Überbrückungs einrichtung redundant ausgeführt sind. Bei Nichtübereinstim mung der auf dem Bus anliegenden Werte, insbesondere Daten, oder bei Fehlern erzeugen diese vorzugsweise Abschaltsignale oder andere geeignete Signale zur Fehlerbehandlung.

Die Überbrückungseinrichtung 19 dient zur Übertragung von Businformationen von einem Bus in den anderen Bus.

Bei Systemen mit mehreren Prozessorkernen ermöglicht die Einrichtung 19 dem zweiten Kern Zugriff auf Daten, die nicht innerhalb des dem zweiten Kern zugeordneten möglichen Adreß raum liegen.

Zumindest bei der Abarbeitung der Sicherheitsalgorithmen sind die Ausgangssignale beider Zentraleinheiten gleichbe rechtigt, d. h. eine Ansteuerung der Peripherieelemente kann auch durch nur eine der beiden Zentraleinheiten erfolgen.

In der Fig. 1 nicht dargestellt sind die Ein-/Ausgabe einrichtungen der Peripherieelemente, an die bei einem Kraftfahrzeugregelungssystem z. B. die Radsensoren, deren Ausgangssignale die wichtigsten Eingangsgrößen des Rege lungssystems sind, angeschlossen werden. Dabei ist es bevor zugt, die Sensorsignal-Zuführung auf die beiden Bussysteme 3, 4 zu verteilen. Die Signalzuführung kann aber auch redun dant ausgeführt sein, nämlich durch Anschluß der Sensorsi gnale an beide Bussysteme 3, 4.

In einer ersten bevorzugten Ausführungsform ist der Speicher des Mikroprozessorsystems nach der Erfindung, insbesondere der Schreib/-Lese-Speicher, vollredundant ausgeführt, d. h. es existiert für jedes Datenwort des Speichers des ersten Prozessors 2 ein zugeordnetes gleich langes Datenwort des zweiten Prozessors 2.

In einer zweiten bevorzugten Ausführungsform der Mikropro zessoranordnung werden zur Fehlererkennung beim Lesen und Schreiben der gespeicherten und abzuspeichernden Daten Prüf daten bzw. Paritätsbits erzeugt, welche in einem zweiten Speicher abgelegt werden. Dieses Fehlererkennungsverfahren ist in der EP 0 843 853 A1 beschrieben.

Es ist aber auch möglich, daß einige oder alle Datenwörter im zweiten Speicher Paritätsinformationen sind, die an Stel le des vollständigen Datenwortes gespeichert sind.

Nach diesem Verfahren ist beispielsweise zu jeder Speicher zelle des Festwert- und/oder des Schreib-Lese-Speichers ei nes ersten Rechners MC1 unter der gleichen Adresse in einem Paritätsspeicher des zweiten Rechners MC2, der nur Speicher plätze für die Prüfdaten enthält, die Redundanzinformation abgelegt. Es kann dabei vorgesehene sein, daß für den Fest wertspeicher die Prüf- bzw. Redundanzinformation bereits während der Programmierung festgelegt wird. Bei den Schreib- Lese-Speichern wird diese Prüf- bzw. Redundanzinformation beim Schreibvorgang, insbesondere mittels logischer Bauele mente, generiert. Analog zu dem Lesevorgang der Daten und Befehle wird die Prüf- bzw. Redundanzinformation über die Treiberstufe 16 oder 17, die die beiden Bussysteme 3, 4 kop pelt, übertragen. Beim schreibenden Zugriff werden demnach die zu schreibenden Daten um eine redundante Information er weitert, die mit den Daten gespeichert werden. Bei einem le senden Zugriff werden diese Daten und die zurückgelesene redundante Information dann durch in den Bustreibern vorge sehene Vergleicher auf Gültigkeit überprüft.

Um Fehler bei der Übertragung von Informationen über das Bussystem zu erkennen, ist dieses redundant in Form der Bus systeme 3 und 4 ausgelegt. Die von den beiden Prozessorker nen 1, 2 abgegebenen, auf den Bussystemen anstehenden Signale werden durch Vergleicher auf Übereinstimmung überwacht.

Die Vergleicher lassen sich bevorzugt mittels logischer Bau elemente, wie z. B. in bekannter Weise mit Hilfe von Exklu siv-ODER-Gattern, realisieren.

Der Adreß-Vergleicher 18, welcher bevorzugt redundant ausge führt ist, vergleicht die Adressen eines Adreßbusses mit ei nem oder mehreren vorgegebenen gültigen bzw. ungültigen Adreßbereichen. Bevorzugt besteht dieser aus zwei binären Komparatoren, die den Zugriff auf Elemente innerhalb des Adreßbusses 4 überwacht und feststellt, ob der Zugriff auf einem bestimmten Speicherbereich erfolgt oder außerhalb die ses Bereichs liegt.

Mit dem zuvor beschriebenen Mikroprozessorsystem ist eine Unterscheidung zwischen kritischen, sicherheitsrelevanten Algorithmen und Komfort-Algorithmen, die zur Bearbeitung von nicht sicherheitskritischen Funktionen dienen, möglich. Wird beispielsweise das Mikroprozessorsystem in einem Steuergerät einer elektrohydraulischen Bremsanlage (EHB) oder elektrome chanischen Bremsanlage (EMB) eingesetzt, würde man einen Al gorithmus, der im Zusammenhang mit einer gewöhnlichen Brem sung benötigt wird, als sicherheitskritisch einstufen. Ande re Algorithmen, die z. B. zur Begrenzung der Geschwindigkeit des Fahrzeugs (Speedlimiter) oder zur Bestimmung des Reifen drucks aus den ABS-Raddrehzahldaten eingesetzt werden, kön nen dagegen als Komfort-Algorithmen angesehen werden, da ei ne Fehlfunktion bei einem Algorithmus der letztgenannten Art keine Gefährdung der Insassen oder anderer Verkehrsteilneh mer nach sich ziehen würde.

Die Erfindung bietet darüberhinaus den Vorteil, daß Fehler, die bei der Abarbeitung von Komfortalgorithmen entstehen, den Ablauf von Algorithmen für kritische Funktionen nicht unterbrechen, ungünstig beeinflussen oder gar beenden.

Durch die erfindungsgemäße Kopplung des Treibers 19 mit dem Adreß-Vergleichers 18, insbesondere über eine logische Lei tung 13, lassen sich beispielsweise durch einen Komfort- Algorithmus ausgelöste fehlerhafte Schreibzugriffe auf die Peripherie, insbesondere den Schreib-Lesespeicher, identifi zieren und die Originaldaten wiederherstellen.

Vorzugsweise werden Schreibzugriffe auf den Schreib- /Lesespeicher, die eine Folge von gerade bearbeiteten Kom fort-Algorithmen (siehe Programm-Bereich 7) sind, immer nur in einen der beiden aus Redundanzgründen vorhandenen Spei cher geschrieben, beispielsweise in den RAM-Bereich 12. Hierzu wird das Überbrückungselement 19 so geschaltet, daß für die dem Komfort-Algorithmus zugeordneten Adreßbereiche Lesezugriffe immer über das Element 19 aus einem der beiden Speicher 6 und 10 in beide Bussysteme 3 und 4 geliefert wer den. Bevorzugt ist daher eine Überwachungseinrichtung vorge sehen, die in Abhängigkeit davon, ob gelesen oder geschrie ben wird, das Überbrückungselement 19 in geeigneter Weise umschaltet. Auf diese Weise können Schreibzugriffe nur durch einen Mikroprozessor ausgeführt werden. Es ist ferner mög lich, die zu schreibenden Daten zuvor auf Übereinstimmung zu überprüfen.

Selbstverständlich kann es wünschenswert sein, daß sowohl Komfort-Algorithmen, als auch Sicherheits-Algorithmen auf gemeinsame Adreß-Bereiche zugreifen können. Dies ist entwe der bei gemeinsam benutzten Ein-Ausgabe/Einheiten, bei ge meinsam benötigten Unterprogrammen (z. B. Bibliotheksrouti nen) oder zum Zwecke des Datenaustauschs sinnvoll. Hierzu können sich die im Adreß-Vergleicher festgelegten Adreßbe reiche zumindest teilweise überlappen.

In einer weiteren bevorzugten Ausführungsform werden Schreibzugriffe außerhalb des oder der durch die Einheit 18 vorgegebenen zulässigen Adreßbereichs bzw. der Adreßbereiche nur in einen der beiden Speicher 6 oder 10 geschrieben (nichtredundantes Schreiben). Hierdurch kann dann der ggf. überschriebene Wert immer rekonstruiert werden. Dies ist möglich, da nach der Erfindung wirksam verhindert werden kann, daß der Datenwert im zweiten, zur Sicherheit vorhande nen, Speicher überschrieben wird, indem zuvor festgelegt wird, welcher physikalische Speicher-Bereich des Schreib/- Lese-Speichers als geschützter Bereich definiert ist.

In Adreß-Vergleicher 18 können die Werte, die die vorgegebe nen Adreßbereiche festlegen, entweder fest vorgegeben oder veränderbar festgelegt sein, im letzteren Fall beispielswei se mittels eines wiederbeschreibbaren Speichers (z. B. Flip- Flop), welcher in der Einheit 18 untergebracht ist. Es ist besonders zweckmäßig, wenn die durch den Adreß-Vergleicher 18 vorgegebenen Adreßbereiche nicht variabel, sondern fest vorgeben sind, insbesondere durch eine Anordnung, welche ei ne fest verdrahtete Dekodierung des Adreßbusses 4 vornimmt.

Claims

1. Verfahren zum Betrieb eines mit Sicherheitsfunktionen ausgestatten Mikroprozessorsystems, insbesondere nach mindestens einem der Anspruch 9 bis 15, welches auf ei nem gemeinsamen Chipträger zwei oder mehrere Prozessor kerne (1, 2) und Peripherieelemente (5, 7), auf die die Kerne schreibend oder lesend zugreifen können, umfaßt, dadurch gekennzeichnet, daß zwischen Algorithmen für si cherheitskritische Funktionen und Algorithmen für Kom fortfunktionen unterschieden wird.

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß nur dann, wenn ein Sicherheitsalgorithmus den Pro grammablauf des Systems steuert, Zugriffe auf Adreßbe reiche der Peripherieelemente, die dem Sicherheitsalgo rithmus zugeteilt sind, zugegriffen werden kann und nur dann, wenn Komfortalgorithmen den Programmablauf des Sy stems steuern, Zugriffe auf Bereiche der Peripherie zu gelassen sind, die den Komfortalgorithmen zugeteilt sind.

3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeich net, daß die Peripherieelemente Festwertspeicher (5, 7, 8, 9) umfassen, in denen neben Algorithmen für si cherheitskritische Funktionen auch Algorithmen für Funk tionen, die im wesentlichen dem Komfort dienen, gespei chert sind.

4. Verfahren nach mindestens einem der vorherigen Ansprü che, dadurch gekennzeichnet, daß die Peripherieelemente zwei oder mehrere Schreib-/Lesespeicher (6, 10) umfassen, in denen in kritischen Datenbereichen (11) eine Speiche rung von ausschließlich sicherheitskritischen Daten und in unkritische Bereichen (12) eine Speicherung von Kom fort-Daten erfolgt, wobei diese Datenbereiche sich ent weder in einem einzelnen Chip-Bereich oder Baustein der Schreib-Lesespeichers befinden oder auf mehrere Chip- Bereiche oder Bausteine der Schreib-Lesespeicher unter gebracht sind.

5. Verfahren nach mindestens einem der vorherigen Ansprü che, dadurch gekennzeichnet, daß in zwei oder mehreren ersten separaten Chip-Bereichen oder Bausteinen (20) von zwei oder mehreren Festwertspeichern (5 und 8) oder ent sprechenden Teilbereichen von jeweils zusammenhängenden gemeinsamen Festwertspeichern (5, 7 und 8, 9) ausschließ lich kritische Algorithmen gespeichert sind und in zwei oder mehreren weiteren separaten Chip-Bereichen oder Bausteinen (21) des Festwertspeichers (7 und 9) oder in entsprechenden weiteren Teilbereichen von jeweils zusam menhängenden gemeinsamen Festwertspeichern (5, 7 und 8, 9) ausschließlich Komfort-Algorithmen gespeichert sind.

6. Verfahren nach mindestens einem der vorherigen Ansprü che, dadurch gekennzeichnet, daß die sicherheitskriti schen Funktionen Ein-/Ausgabeoperationen für eine erste Sorte Vorrichtungen, welche für Sicherheitsfunktionen vorgesehen sind, erzeugen und die Komfortfunktionen Ein- /Ausgabeoperationen für eine zweite Sorte Vorrichtungen, welche für Komfortfunktionen vorgesehen sind, erzeugen.

7. Verfahren nach mindestens einem der vorherigen Ansprü che, dadurch gekennzeichnet, daß bei einem fehlerhaften Schreibzugriff eines Komfortalgorithmusses der fehler hafte Speicherzugriff identifiziert wird und der fehler hafte Datenwert korrigiert wird.

8. Verfahren nach mindestens einem der vorherigen Ansprü che, dadurch gekennzeichnet, daß in einem oder mehreren vorgegebenen Adreßbereichen bei einer Leseoperation kein Vergleich von auf den Datenbussen (3, 4) liegenden Daten vorgenommen wird.

9. Mikroprozessorsystem für zumindest zum Teil sicherheits kritische Regelungen, mit mindestens zwei, insbesondere synchron betriebenen, Prozessorkernen (1, 2), welche über mindestens zwei den Kernen zugeordneten Bussysteme (3, 4) mit Peripherieelementen (5, 6, 7, 8, 9, 10) verbunden sind, und mit einem oder mehreren Bustreibern (19), welche Bu sinformationen von einem Bus in den anderen Bus übertra gen können, gekennzeichnet, durch mindestens einen Adreß-Vergleicher (18), welcher die Adressen zumindest eines Prozessorkerns mit einem oder mehreren festgeleg ten Adreßbereichen vergleicht.

10. Mikroprozessorsystem nach Anspruch 9, gekennzeichnet, durch mindestens einen Daten-Vergleicher (16, 17), wel cher einen Schreibfehler in den Peripherieelementen durch Vergleich von Daten des ersten Busses mit den Da ten eines weiteren Busses erkennt.

11. Mikroprozessorsystem nach Anspruch 10, dadurch gekenn zeichnet, daß eine Überbrückungseinrichtung (19) vorge sehen ist, die vom Adreß-Vergleicher (18) über eine Ver bindung (13) angesteuert werden kann und in Abhängigkeit vom Ergebnis des Adreß-Vergleichs einen oder mehrere Da ten-Vergleicher (16, 17) deaktiviert oder überbrückt.

12. Mikroprozessorsystem nach mindestens einem der vorheri gen Ansprüche, dadurch gekennzeichnet, daß die Bussyste me im wesentlichen gleich aufgebaut sind.

13. Mikroprozessorsystem nach mindestens einem der vorheri gen Ansprüche, dadurch gekennzeichnet, daß die Periphe rieelemente Schreib-Lesespeicher (10), Festwertspeicher (5, 7, 8, 9) und Ein-/Ausgabe-Elemente (10) und ggf. außer halb des Chips angeschlossene weitere Peripherieelemente umfassen.

14. Mikroprozessorsystem nach mindestens einem der vorheri gen Ansprüche, dadurch gekennzeichnet, daß der Adreß- Vergleicher logische Bauelemente, insbesondere binäre Komparatoren umfaßt.

15. Mikroprozessorsystem nach mindestens einem der vorheri gen Ansprüche, dadurch gekennzeichnet, daß mindestens eines oder alle der Elemente Adreß-Vergleicher (18), Vergleicher (16, 17) und Treiber (19), redundant ausge führt ist.

16. Verwendung des Mikroprozessorsystems nach Anspruch 9 für Kraftfahrzeugsteuerungen/-regelungen, insbesondere für die gemeinsame Bremsensteuerung/Regelung und/oder auch der Fahrdynamik und von nicht sicherheitskritische Kom fortfunktionen des Kraftfahrzeugs.