DE10124027A1 - Verfahren,Mikroprozessorsystem für sicherheitskritische Regelungen und dessen Verwendung - Google Patents
Verfahren,Mikroprozessorsystem für sicherheitskritische Regelungen und dessen VerwendungInfo
- Publication number
- DE10124027A1 DE10124027A1 DE10124027A DE10124027A DE10124027A1 DE 10124027 A1 DE10124027 A1 DE 10124027A1 DE 10124027 A DE10124027 A DE 10124027A DE 10124027 A DE10124027 A DE 10124027A DE 10124027 A1 DE10124027 A1 DE 10124027A1
- Authority
- DE
- Germany
- Prior art keywords
- bus
- data
- functions
- read
- microprocessor system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000000034 method Methods 0.000 title claims abstract description 18
- 230000006870 function Effects 0.000 title claims abstract description 16
- 230000002093 peripheral effect Effects 0.000 claims abstract description 18
- 230000015654 memory Effects 0.000 claims description 53
- 108090000623 proteins and genes Proteins 0.000 claims 2
- 239000000853 adhesive Substances 0.000 claims 1
- 230000001070 adhesive effect Effects 0.000 claims 1
- 238000012546 transfer Methods 0.000 abstract description 2
- 238000012545 processing Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 238000012360 testing method Methods 0.000 description 5
- 230000008901 benefit Effects 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000002411 adverse Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 230000005662 electromechanics Effects 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1458—Protection against unauthorised use of memory or access to memory by checking the subject access rights
- G06F12/1491—Protection against unauthorised use of memory or access to memory by checking the subject access rights in a hierarchical protection system, e.g. privilege levels, memory rings
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1641—Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1658—Data re-synchronization of a redundant component, or initial sync of replacement, additional or spare unit
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Computer Security & Cryptography (AREA)
- Hardware Redundancy (AREA)
- Storage Device Security (AREA)
- Bus Control (AREA)
Abstract
Beschrieben ist ein Verfahren zum Betrieb eines mit Sicherheitsfunktionen ausgestatteten Mikroprozessorsystems, welches auf einem gemeinsamen Chipträger zwei oder mehrere Prozessorkerne (1, 2) und Peripherieelemente (5, 7), auf die die Kerne schreibend oder lesend zugreifen können, umfaßt, bei dem zwischen Algorithmen für sicherheitskritische Funktionen und Algorithmen für Komfortfunktionen unterschieden wird. DOLLAR A Außerdem ist ein zur Durchführung dieses Verfahrens geeignetes Mikroprozessorsystem und dessen Verwendung beschrieben, worin die Prozessorkerne über Bussysteme (3, 4) mit Peripherieelementen (5, 6, 7, 8, 9, 10) verbunden sind und worin Bustreiber (19) vorgesehen sind, welche Businformationen von einem Bus in den anderen Bus übertragen können, und worin mindestes ein Adreß-Vergleicher (18) vorgesehen ist.
Description
Die Erfindung betrifft ein Verfahren gemäß Oberbegriff von
Anspruch 1, ein Mikroprozessorsystem gemäß Oberbegriff von
Anspruch 9 dessen Verwendung für Kraftfahrzeugsteuerungen/-
regelungen.
Aus der EP 0843 853 A1 ist ein Mikroprozessorsystem für si
cherheitskritische Regelungssysteme bekannt, das zwei syn
chron betriebene Zentraleinheiten oder CPU-Kerne enthält,
die über zwei getrennte Bussysteme auf einen auf dem glei
chen Chip integrierte Peripherieelemente, wie Speicher und
Ein-/Ausgabebausteine, zugreifen können. Das beschriebene
Mikroprozessorsystem wird insbesondere für sicherheitskriti
sche Steuer- und Regelsysteme in Fahrzeugen angewendet, bei
spielsweise zur aktiven oder durch die Bremsfunktion akti
vierten Regelung des an den Rädern anliegenden Bremsdrucks,
wie z. B. in Gierraten-Regelungssystemen (ESP, TCS), Bloc
kierschutzregelungen bzw. Antiblockiersystemen (ABS) und An
triebsschlupfregelungssystemen (ASR, TCS, etc.).
Durch die Verdopplung des Prozessorkerns, des Bussystems und
zumindest zum Teil auch der Peripherieelemente können Verar
beitungsfehler bei einem der beiden Prozessoren entweder
durch den zweiten Prozessor überwacht werden oder es wird
durch eine Einrichtung geprüft, ob das Ergebnis eines Ar
beitsschrittes bei beiden Prozessoren übereinstimmt. Dieses
Verfahren ermöglicht eine drastische Erhöhung der Fehlerer
kennungsrate, da gleichzeitig in beiden Prozessorsträngen
auftretende Fehler eine vergleichsweise geringe Wahrschein
lichkeit haben. Wurde ein Fehler erkannt, können geeignete
Maßnahmen, wie z. B. die Abschaltung des Regelsystems oder
die Durchführung eines Notprogramms (Trap/Interrupt) oder
ein Reset, getroffen werden, wodurch die Funktionssicherheit
eines Bremssysteme erhöht wird.
Die Peripherieelemente, welche an die beiden Bussysteme an
geschlossen sind, umfassen in der Regel Festwert- (ROM, OTP,
Flash) und Schreib-Lese-Speicher (RAM) sowie an Eingabe- und
an Ausgabeeinheiten oder weitere Bussysteme, welche über Bu
streiber angeschlossen sind. Die Bussysteme werden unterein
ander durch Treiberstufen miteinander verbunden bzw. gekop
pelt, so daß die Prozessorkerne auch Daten in das jeweils
andere Bussystems einschreiben bzw. diese lesen können.
Der in der EP 0843 853 A1 beschriebene Aufbau des Mikropro
zessorsystems ist nicht vollredundant bezüglich des Spei
chers. Zumindest ein Teil des Speichers, welcher an einem
der beiden Busse angebunden ist, wird virtuell durch einen
Hardware-Vergleicher nachgebildet. Der nachgebildete Spei
cher enthält dann nicht das gleiche Datenwort, wie der erste
Speicher an der selben Adresse, sondern eine mit dem voll
ständigen Datenwort verbundene Paritätsinformation, die beim
Speichern aus dem zu schreibenden Datenwort errechnet bzw.
gebildet wurde. Dies hat den Vorteil, daß praktisch ohne
Verlust an Sicherheit ein Großteil des aus Redundanzgründen
vorhandenen Speichers eingespart werden kann.
Aufgabe der vorliegenden Erfindung ist es nun, daß vorste
hende Mikroprozessorsystem in der Weise weiterzubilden, daß
zwischen bezüglich der Sicherheit unkritischen Daten
und/oder Programmen und kritischen Daten und/oder Programmen
unterschieden werden kann.
Der Erfindung liegt zudem die Aufgabe zugrunde, ein Mikro
prozessorsystem bereitzustellen, daß bezüglich der kriti
schen Daten und/oder Programme weiterhin eine hohe Fehlerer
kennungsrate wie bei bekannten Systemen erreicht wird, so
daß die für sicherheitskritische Anwendungen geforderte Be
triebssicherheit eingehalten wird, und zusätzlich die Mög
lichkeit zum Betrieb von Programmen bietet, die den hohen
Sicherheitsanforderungen der sicherheitskritischen Programme
nicht entsprechen, ohne daß der Ablauf der sicherheitskriti
schen Programme durch die zusätzlichen Programme gestört
wird. Gleichzeitig soll das Mikroprozessorsystem einen ver
gleichsweise geringen Herstellungsaufwand erfordern.
Diese Aufgabe wird durch das Verfahren gemäß Anspruch 1 und
das Mikroprozessorsystem gemäß Anspruch 9 gelöst.
Das Mikroprozessorsystem umfaßt zwei oder mehrere Mikrorech
ner. Von diesen Mikrorechner ist mindestens einer eine voll
ständige Einheit aus Zentraleinheit und Peripherie-
Elementen, bestehend aus Festwert-, Schreib-Lese-Speicher
und Eingangs-/Ausgangs-Einheit. Unter dem Begriff
"vollständige Einheit" wird verstanden, daß der Mikrorechner
die für seine Grundfunktionen erforderlichen Bausteine auf
weist, was nicht ausschließt, daß ein Teil der Peripherie,
wie etwa zusätzliche Speicherbausteine außerhalb des Chips
bzw. des Chipgehäuses angeordnet sind. Diese außerhalb ange
ordneten Chips können dann über weitere externe Bussysteme
oder über nach außen geführte lokale Busse angesteuert wer
den.
Die Peripherieelemente, die Prozessorkerne und die Bussyste
me der vorhandenen mindestens zwei Mikrorechner sind auf ei
nem gemeinsamen Chipträger integriert, welcher vorzugsweise
ein Halbleitersubstrat ist.
Es kann zweckmäßig sein, daß der an ein zweites Bussystem
angeschlossene Mikrorechner in bestimmten Adreßbereichen
nicht genau mit dem ersten Mikrorechner übereinstimmt, bei
spielsweise in dem bestimmte Speicherbausteine in einem Mi
krorechner fehlen. Es kann auch im einem der beiden Mikro
rechner anstelle eines Festwert- und/oder Schreib-Lese-
Speichers ein Speicher mit Speicherplätzen für Prüfdaten
vorhanden sein. Die beide Bussysteme sind unter anderem für
den Austausch von Daten in den vorstehenden Adreßbereichen
über koppelnde Treiberstufen miteinander verbunden.
Auf die überwiegend vollständige doppelte oder mehrfache
Ausführung der Peripherie, insbesondere des Speichers, kann
ein hohes Maß an Redundanz erzeugt werden.
Besonders bevorzugt ist jedoch ein Mikroprozessorsystem, bei
dem der Speicher, insbesondere der Schreib-/Lesespeicher und
der Festwertspeicher, zumindest in bestimmten Adreßbereichen
vollredundant ausgeführt ist.
Weitere bevorzugte Ausführungsformen ergeben sich aus den
Unteransprüchen und der nachfolgenden Figurenbeschreibung.
Es zeigt
Fig. 1 in schematischer Darstellung ein Mikroprozessorsy
stem nach der Erfindung.
In Fig. 1 ist ein Ein-Chip-Mikrocomputersystem dargestellt,
das zwei synchron betriebene Zentraleinheiten 1, 2, die auch
als Rechner- oder Prozessorkerne oder als CPU's bezeichnet
werden und separate Bussysteme umfaßt. Die Zentraleinheit 1
ist durch einen gemeinsamen oder mehrere Festwertspeicher 5,
7 (ROM), durch einen Schreib-Lese-Speicher 6 (RAM) und durch
nichtgezeichnete Eingabe- oder Ausgangsstufen (z. B. für Pe
ripherie oder externe weitere Bussysteme) zu einem vollstän
digen Mikrocomputer MC1 ergänzt. An das zweite Bussystem 4
sind der Zentraleinheit 2 sind weitere Festwert-Speicher 8, 9
und Schreib-/Lesespeicher 10 angebunden, die den Speichern
des ersten Mikrocomputers MC1 entweder nur logisch oder auch
physikalisch genau entsprechen (vollständige Redundanz). Die
Elemente an Bus 4 bilden dann den zweiten Mikrocomputer MC2.
Die Bussysteme, welche die Rechnerkerne mit dem Speicher und
den Ein-/Ausgabebereichen verbinden, umfassen bevorzugt je
weils einen Steuerbus, einen Datenbus und einen Adreß-Bus.
Aus Gründen der Übersicht ist in Fig. 1 lediglich der Adreß
bus 3 für Kern 1 und Adreßbus 4 für Kern 2 gezeichnet. Be
kanntlich werden auf dem Datenbus die Daten von den Spei
chern zum Mikroprozessor (Lesen) und von diesem später wie
der in den Speicher übertragen (Schreiben), wobei die momen
tan aktive Speicheradresse auf dem Adreßbus anliegt. Zur
Kontrolle der am Adreßbus 4 anliegenden Adresse wird der Bus
4 einer Adreßüberwachungseinrichtung 18 zugeführt, welche
bevorzugt redundant ausgeführt ist. Liegt die zu kontrollie
rende Adresse innerhalb eines zulässigen Adreßbereichs, wird
ein Signal über die Verbindung 13 ausgegeben. Die Ausgabe
des Signals über Verbindung 13 kann davon abhängig gemacht
werden, ob ein Schreibvorgang vorliegt (Leitung 14).
Schreib- oder Lesefehler werden mittels den Vergleichern 16
und 17 festgestellt, die einen Vergleich der Daten auf den
beiden Bussysteme von MC1 und MC2 ermöglichen.
Leitung 13 ist einem Überbrückungsmittel 19, insbesondere
Treiber, zugeführt, welches in bestimmten Adreßräumen, z. B.
für die Komfort-Algorithmen, die Nutzung von nichtredundan
ten Speicherdaten ermöglicht.
Im Gegensatz zu bekannten Systemen ist bei dem erfindungsge
mäßen Mikroprozessorsystem keine Unterscheidung in einen ak
tiven und einen passiven Rechner möglich. Die beiden Rech
nerkerne oder Zentraleinheiten 1, 2 sind vielmehr gleichbe
rechtigt. Erfindungsgemäß wird zwischen sicherheitskriti
schen Daten oder Algorithmen und Komfort-Daten oder Komfort-
Algorithmen unterschieden. Vorzugsweise erhalten die Rech
nerkerne bei der Verarbeitung der Sicherheitsalgorithmen die
gleichen Eingangsinformationen und arbeiten den gleichen Al
gorithmus (Programm, Unterprogramm, Task) ab. Sie verarbei
ten insbesondere vollredundant die gemeinsam gelesenen Da
ten. Während des Lesens oder Schreibens von Daten, welche
einem Sicherheitsalgorithmus zuzuordnen sind, werden die
Eingangs- und die Ausgangssignale der Rechner 1, 2 bevorzugt
mit den Vergleichern in den weiter unten beschriebenen Ver
gleichern 16 und 17 auf Übereinstimmung geprüft, wobei die
zu vergleichenden Signale am Datenbus des jeweiligen Rech
ners anliegen.
Vorzugsweise ist jedem Rechnerkern ein separater Datenbus
zugeordnet. Mit den Vergleichern 16 und 17, welche insbeson
dere durch einfache logische Bauelemente realisiert sind,
werden die auf den Bussen liegenden Daten miteinander bit
weise verglichen. Liegt keine Identität der Daten vor kann
eine System-Abschaltung eingeleitet oder ein geeignetes Si
gnal zur Fehlerbehandlung generiert werden.
Bei den Vergleichern 16 und 17 handelt es sich insbesondere
um Binär-Vergleicher, die bevorzugt wie die Überbrückungs
einrichtung redundant ausgeführt sind. Bei Nichtübereinstim
mung der auf dem Bus anliegenden Werte, insbesondere Daten,
oder bei Fehlern erzeugen diese vorzugsweise Abschaltsignale
oder andere geeignete Signale zur Fehlerbehandlung.
Die Überbrückungseinrichtung 19 dient zur Übertragung von
Businformationen von einem Bus in den anderen Bus.
Bei Systemen mit mehreren Prozessorkernen ermöglicht die
Einrichtung 19 dem zweiten Kern Zugriff auf Daten, die nicht
innerhalb des dem zweiten Kern zugeordneten möglichen Adreß
raum liegen.
Zumindest bei der Abarbeitung der Sicherheitsalgorithmen
sind die Ausgangssignale beider Zentraleinheiten gleichbe
rechtigt, d. h. eine Ansteuerung der Peripherieelemente kann
auch durch nur eine der beiden Zentraleinheiten erfolgen.
In der Fig. 1 nicht dargestellt sind die Ein-/Ausgabe
einrichtungen der Peripherieelemente, an die bei einem
Kraftfahrzeugregelungssystem z. B. die Radsensoren, deren
Ausgangssignale die wichtigsten Eingangsgrößen des Rege
lungssystems sind, angeschlossen werden. Dabei ist es bevor
zugt, die Sensorsignal-Zuführung auf die beiden Bussysteme
3, 4 zu verteilen. Die Signalzuführung kann aber auch redun
dant ausgeführt sein, nämlich durch Anschluß der Sensorsi
gnale an beide Bussysteme 3, 4.
In einer ersten bevorzugten Ausführungsform ist der Speicher
des Mikroprozessorsystems nach der Erfindung, insbesondere
der Schreib/-Lese-Speicher, vollredundant ausgeführt, d. h.
es existiert für jedes Datenwort des Speichers des ersten
Prozessors 2 ein zugeordnetes gleich langes Datenwort des
zweiten Prozessors 2.
In einer zweiten bevorzugten Ausführungsform der Mikropro
zessoranordnung werden zur Fehlererkennung beim Lesen und
Schreiben der gespeicherten und abzuspeichernden Daten Prüf
daten bzw. Paritätsbits erzeugt, welche in einem zweiten
Speicher abgelegt werden. Dieses Fehlererkennungsverfahren
ist in der EP 0 843 853 A1 beschrieben.
Es ist aber auch möglich, daß einige oder alle Datenwörter
im zweiten Speicher Paritätsinformationen sind, die an Stel
le des vollständigen Datenwortes gespeichert sind.
Nach diesem Verfahren ist beispielsweise zu jeder Speicher
zelle des Festwert- und/oder des Schreib-Lese-Speichers ei
nes ersten Rechners MC1 unter der gleichen Adresse in einem
Paritätsspeicher des zweiten Rechners MC2, der nur Speicher
plätze für die Prüfdaten enthält, die Redundanzinformation
abgelegt. Es kann dabei vorgesehene sein, daß für den Fest
wertspeicher die Prüf- bzw. Redundanzinformation bereits
während der Programmierung festgelegt wird. Bei den Schreib-
Lese-Speichern wird diese Prüf- bzw. Redundanzinformation
beim Schreibvorgang, insbesondere mittels logischer Bauele
mente, generiert. Analog zu dem Lesevorgang der Daten und
Befehle wird die Prüf- bzw. Redundanzinformation über die
Treiberstufe 16 oder 17, die die beiden Bussysteme 3, 4 kop
pelt, übertragen. Beim schreibenden Zugriff werden demnach
die zu schreibenden Daten um eine redundante Information er
weitert, die mit den Daten gespeichert werden. Bei einem le
senden Zugriff werden diese Daten und die zurückgelesene
redundante Information dann durch in den Bustreibern vorge
sehene Vergleicher auf Gültigkeit überprüft.
Um Fehler bei der Übertragung von Informationen über das
Bussystem zu erkennen, ist dieses redundant in Form der Bus
systeme 3 und 4 ausgelegt. Die von den beiden Prozessorker
nen 1, 2 abgegebenen, auf den Bussystemen anstehenden Signale
werden durch Vergleicher auf Übereinstimmung überwacht.
Die Vergleicher lassen sich bevorzugt mittels logischer Bau
elemente, wie z. B. in bekannter Weise mit Hilfe von Exklu
siv-ODER-Gattern, realisieren.
Der Adreß-Vergleicher 18, welcher bevorzugt redundant ausge
führt ist, vergleicht die Adressen eines Adreßbusses mit ei
nem oder mehreren vorgegebenen gültigen bzw. ungültigen
Adreßbereichen. Bevorzugt besteht dieser aus zwei binären
Komparatoren, die den Zugriff auf Elemente innerhalb des
Adreßbusses 4 überwacht und feststellt, ob der Zugriff auf
einem bestimmten Speicherbereich erfolgt oder außerhalb die
ses Bereichs liegt.
Mit dem zuvor beschriebenen Mikroprozessorsystem ist eine
Unterscheidung zwischen kritischen, sicherheitsrelevanten
Algorithmen und Komfort-Algorithmen, die zur Bearbeitung von
nicht sicherheitskritischen Funktionen dienen, möglich. Wird
beispielsweise das Mikroprozessorsystem in einem Steuergerät
einer elektrohydraulischen Bremsanlage (EHB) oder elektrome
chanischen Bremsanlage (EMB) eingesetzt, würde man einen Al
gorithmus, der im Zusammenhang mit einer gewöhnlichen Brem
sung benötigt wird, als sicherheitskritisch einstufen. Ande
re Algorithmen, die z. B. zur Begrenzung der Geschwindigkeit
des Fahrzeugs (Speedlimiter) oder zur Bestimmung des Reifen
drucks aus den ABS-Raddrehzahldaten eingesetzt werden, kön
nen dagegen als Komfort-Algorithmen angesehen werden, da ei
ne Fehlfunktion bei einem Algorithmus der letztgenannten Art
keine Gefährdung der Insassen oder anderer Verkehrsteilneh
mer nach sich ziehen würde.
Die Erfindung bietet darüberhinaus den Vorteil, daß Fehler,
die bei der Abarbeitung von Komfortalgorithmen entstehen,
den Ablauf von Algorithmen für kritische Funktionen nicht
unterbrechen, ungünstig beeinflussen oder gar beenden.
Durch die erfindungsgemäße Kopplung des Treibers 19 mit dem
Adreß-Vergleichers 18, insbesondere über eine logische Lei
tung 13, lassen sich beispielsweise durch einen Komfort-
Algorithmus ausgelöste fehlerhafte Schreibzugriffe auf die
Peripherie, insbesondere den Schreib-Lesespeicher, identifi
zieren und die Originaldaten wiederherstellen.
Vorzugsweise werden Schreibzugriffe auf den Schreib-
/Lesespeicher, die eine Folge von gerade bearbeiteten Kom
fort-Algorithmen (siehe Programm-Bereich 7) sind, immer nur
in einen der beiden aus Redundanzgründen vorhandenen Spei
cher geschrieben, beispielsweise in den RAM-Bereich 12.
Hierzu wird das Überbrückungselement 19 so geschaltet, daß
für die dem Komfort-Algorithmus zugeordneten Adreßbereiche
Lesezugriffe immer über das Element 19 aus einem der beiden
Speicher 6 und 10 in beide Bussysteme 3 und 4 geliefert wer
den. Bevorzugt ist daher eine Überwachungseinrichtung vorge
sehen, die in Abhängigkeit davon, ob gelesen oder geschrie
ben wird, das Überbrückungselement 19 in geeigneter Weise
umschaltet. Auf diese Weise können Schreibzugriffe nur durch
einen Mikroprozessor ausgeführt werden. Es ist ferner mög
lich, die zu schreibenden Daten zuvor auf Übereinstimmung zu
überprüfen.
Selbstverständlich kann es wünschenswert sein, daß sowohl
Komfort-Algorithmen, als auch Sicherheits-Algorithmen auf
gemeinsame Adreß-Bereiche zugreifen können. Dies ist entwe
der bei gemeinsam benutzten Ein-Ausgabe/Einheiten, bei ge
meinsam benötigten Unterprogrammen (z. B. Bibliotheksrouti
nen) oder zum Zwecke des Datenaustauschs sinnvoll. Hierzu
können sich die im Adreß-Vergleicher festgelegten Adreßbe
reiche zumindest teilweise überlappen.
In einer weiteren bevorzugten Ausführungsform werden
Schreibzugriffe außerhalb des oder der durch die Einheit 18
vorgegebenen zulässigen Adreßbereichs bzw. der Adreßbereiche
nur in einen der beiden Speicher 6 oder 10 geschrieben
(nichtredundantes Schreiben). Hierdurch kann dann der ggf.
überschriebene Wert immer rekonstruiert werden. Dies ist
möglich, da nach der Erfindung wirksam verhindert werden
kann, daß der Datenwert im zweiten, zur Sicherheit vorhande
nen, Speicher überschrieben wird, indem zuvor festgelegt
wird, welcher physikalische Speicher-Bereich des Schreib/-
Lese-Speichers als geschützter Bereich definiert ist.
In Adreß-Vergleicher 18 können die Werte, die die vorgegebe
nen Adreßbereiche festlegen, entweder fest vorgegeben oder
veränderbar festgelegt sein, im letzteren Fall beispielswei
se mittels eines wiederbeschreibbaren Speichers (z. B. Flip-
Flop), welcher in der Einheit 18 untergebracht ist. Es ist
besonders zweckmäßig, wenn die durch den Adreß-Vergleicher
18 vorgegebenen Adreßbereiche nicht variabel, sondern fest
vorgeben sind, insbesondere durch eine Anordnung, welche ei
ne fest verdrahtete Dekodierung des Adreßbusses 4 vornimmt.
Claims (16)
1. Verfahren zum Betrieb eines mit Sicherheitsfunktionen
ausgestatten Mikroprozessorsystems, insbesondere nach
mindestens einem der Anspruch 9 bis 15, welches auf ei
nem gemeinsamen Chipträger zwei oder mehrere Prozessor
kerne (1, 2) und Peripherieelemente (5, 7), auf die die
Kerne schreibend oder lesend zugreifen können, umfaßt,
dadurch gekennzeichnet, daß zwischen Algorithmen für si
cherheitskritische Funktionen und Algorithmen für Kom
fortfunktionen unterschieden wird.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß
nur dann, wenn ein Sicherheitsalgorithmus den Pro
grammablauf des Systems steuert, Zugriffe auf Adreßbe
reiche der Peripherieelemente, die dem Sicherheitsalgo
rithmus zugeteilt sind, zugegriffen werden kann und nur
dann, wenn Komfortalgorithmen den Programmablauf des Sy
stems steuern, Zugriffe auf Bereiche der Peripherie zu
gelassen sind, die den Komfortalgorithmen zugeteilt
sind.
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeich
net, daß die Peripherieelemente Festwertspeicher
(5, 7, 8, 9) umfassen, in denen neben Algorithmen für si
cherheitskritische Funktionen auch Algorithmen für Funk
tionen, die im wesentlichen dem Komfort dienen, gespei
chert sind.
4. Verfahren nach mindestens einem der vorherigen Ansprü
che, dadurch gekennzeichnet, daß die Peripherieelemente
zwei oder mehrere Schreib-/Lesespeicher (6, 10) umfassen,
in denen in kritischen Datenbereichen (11) eine Speiche
rung von ausschließlich sicherheitskritischen Daten und
in unkritische Bereichen (12) eine Speicherung von Kom
fort-Daten erfolgt, wobei diese Datenbereiche sich ent
weder in einem einzelnen Chip-Bereich oder Baustein der
Schreib-Lesespeichers befinden oder auf mehrere Chip-
Bereiche oder Bausteine der Schreib-Lesespeicher unter
gebracht sind.
5. Verfahren nach mindestens einem der vorherigen Ansprü
che, dadurch gekennzeichnet, daß in zwei oder mehreren
ersten separaten Chip-Bereichen oder Bausteinen (20) von
zwei oder mehreren Festwertspeichern (5 und 8) oder ent
sprechenden Teilbereichen von jeweils zusammenhängenden
gemeinsamen Festwertspeichern (5, 7 und 8, 9) ausschließ
lich kritische Algorithmen gespeichert sind und in zwei
oder mehreren weiteren separaten Chip-Bereichen oder
Bausteinen (21) des Festwertspeichers (7 und 9) oder in
entsprechenden weiteren Teilbereichen von jeweils zusam
menhängenden gemeinsamen Festwertspeichern (5, 7 und 8, 9)
ausschließlich Komfort-Algorithmen gespeichert sind.
6. Verfahren nach mindestens einem der vorherigen Ansprü
che, dadurch gekennzeichnet, daß die sicherheitskriti
schen Funktionen Ein-/Ausgabeoperationen für eine erste
Sorte Vorrichtungen, welche für Sicherheitsfunktionen
vorgesehen sind, erzeugen und die Komfortfunktionen Ein-
/Ausgabeoperationen für eine zweite Sorte Vorrichtungen,
welche für Komfortfunktionen vorgesehen sind, erzeugen.
7. Verfahren nach mindestens einem der vorherigen Ansprü
che, dadurch gekennzeichnet, daß bei einem fehlerhaften
Schreibzugriff eines Komfortalgorithmusses der fehler
hafte Speicherzugriff identifiziert wird und der fehler
hafte Datenwert korrigiert wird.
8. Verfahren nach mindestens einem der vorherigen Ansprü
che, dadurch gekennzeichnet, daß in einem oder mehreren
vorgegebenen Adreßbereichen bei einer Leseoperation kein
Vergleich von auf den Datenbussen (3, 4) liegenden Daten
vorgenommen wird.
9. Mikroprozessorsystem für zumindest zum Teil sicherheits
kritische Regelungen, mit mindestens zwei, insbesondere
synchron betriebenen, Prozessorkernen (1, 2), welche über
mindestens zwei den Kernen zugeordneten Bussysteme (3, 4)
mit Peripherieelementen (5, 6, 7, 8, 9, 10) verbunden sind,
und mit einem oder mehreren Bustreibern (19), welche Bu
sinformationen von einem Bus in den anderen Bus übertra
gen können, gekennzeichnet, durch mindestens einen
Adreß-Vergleicher (18), welcher die Adressen zumindest
eines Prozessorkerns mit einem oder mehreren festgeleg
ten Adreßbereichen vergleicht.
10. Mikroprozessorsystem nach Anspruch 9, gekennzeichnet,
durch mindestens einen Daten-Vergleicher (16, 17), wel
cher einen Schreibfehler in den Peripherieelementen
durch Vergleich von Daten des ersten Busses mit den Da
ten eines weiteren Busses erkennt.
11. Mikroprozessorsystem nach Anspruch 10, dadurch gekenn
zeichnet, daß eine Überbrückungseinrichtung (19) vorge
sehen ist, die vom Adreß-Vergleicher (18) über eine Ver
bindung (13) angesteuert werden kann und in Abhängigkeit
vom Ergebnis des Adreß-Vergleichs einen oder mehrere Da
ten-Vergleicher (16, 17) deaktiviert oder überbrückt.
12. Mikroprozessorsystem nach mindestens einem der vorheri
gen Ansprüche, dadurch gekennzeichnet, daß die Bussyste
me im wesentlichen gleich aufgebaut sind.
13. Mikroprozessorsystem nach mindestens einem der vorheri
gen Ansprüche, dadurch gekennzeichnet, daß die Periphe
rieelemente Schreib-Lesespeicher (10), Festwertspeicher
(5, 7, 8, 9) und Ein-/Ausgabe-Elemente (10) und ggf. außer
halb des Chips angeschlossene weitere Peripherieelemente
umfassen.
14. Mikroprozessorsystem nach mindestens einem der vorheri
gen Ansprüche, dadurch gekennzeichnet, daß der Adreß-
Vergleicher logische Bauelemente, insbesondere binäre
Komparatoren umfaßt.
15. Mikroprozessorsystem nach mindestens einem der vorheri
gen Ansprüche, dadurch gekennzeichnet, daß mindestens
eines oder alle der Elemente Adreß-Vergleicher (18),
Vergleicher (16, 17) und Treiber (19), redundant ausge
führt ist.
16. Verwendung des Mikroprozessorsystems nach Anspruch 9 für
Kraftfahrzeugsteuerungen/-regelungen, insbesondere für
die gemeinsame Bremsensteuerung/Regelung und/oder auch
der Fahrdynamik und von nicht sicherheitskritische Kom
fortfunktionen des Kraftfahrzeugs.
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10124027A DE10124027A1 (de) | 2001-05-16 | 2001-05-16 | Verfahren,Mikroprozessorsystem für sicherheitskritische Regelungen und dessen Verwendung |
US10/477,856 US7389390B2 (en) | 2001-05-16 | 2002-05-06 | Method, microprocessor system for critical safety regulations and the use of the same |
JP2002589900A JP2004533686A (ja) | 2001-05-16 | 2002-05-06 | 安全上重要な制御のための方法、マイクロプロセッサシステムおよびその使用 |
EP02742948A EP1428120A2 (de) | 2001-05-16 | 2002-05-06 | Verfahren, mikroprozessorsystem für sicherheitskritische regelungen und dessen verwendung |
PCT/EP2002/004946 WO2002093287A2 (de) | 2001-05-16 | 2002-05-06 | Verfahren, mikroprozessorsystem für sicherheitskritische regelungen und dessen verwendung |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10124027A DE10124027A1 (de) | 2001-05-16 | 2001-05-16 | Verfahren,Mikroprozessorsystem für sicherheitskritische Regelungen und dessen Verwendung |
Publications (1)
Publication Number | Publication Date |
---|---|
DE10124027A1 true DE10124027A1 (de) | 2002-11-21 |
Family
ID=7685129
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE10124027A Withdrawn DE10124027A1 (de) | 2001-05-16 | 2001-05-16 | Verfahren,Mikroprozessorsystem für sicherheitskritische Regelungen und dessen Verwendung |
Country Status (5)
Country | Link |
---|---|
US (1) | US7389390B2 (de) |
EP (1) | EP1428120A2 (de) |
JP (1) | JP2004533686A (de) |
DE (1) | DE10124027A1 (de) |
WO (1) | WO2002093287A2 (de) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006000373A1 (de) * | 2004-06-24 | 2006-01-05 | Daimlerchrysler Ag | Bedien- und anzeigesystem für ein fahrzeug |
DE102005028685A1 (de) * | 2005-06-21 | 2006-12-28 | Wago Verwaltungsgesellschaft Mbh | Buskopplungsvorrichtung für sicherheitszertifizierbare Anwendungen |
DE102014111996A1 (de) * | 2014-08-21 | 2016-02-25 | Wieland Electric Gmbh | Verfahren zur Ermittlung des Zustands eines kurzschlussbildenden Meldeelements |
DE102014217321A1 (de) * | 2014-08-29 | 2016-03-03 | Continental Teves Ag & Co. Ohg | Mikrocontrollersystem und Verfahren für sicherheitskritische Kraftfahrzeugsysteme sowie deren Verwendung |
WO2016055569A1 (de) * | 2014-10-09 | 2016-04-14 | Continental Automotive Gmbh | Vorrichtung und verfahren zum steuern einer audioausgabe für ein kraftfahrzeug |
DE102020208370A1 (de) | 2020-07-03 | 2022-01-05 | Vitesco Technologies GmbH | Elektronische Steuereinheit |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8412409B2 (en) * | 2003-10-08 | 2013-04-02 | Continental Teves Ag & Co. Ohg | Integrated microprocessor system for safety-critical regulations |
EP1913477A1 (de) * | 2005-08-11 | 2008-04-23 | Continental Teves AG & Co. oHG | Mikroprozessorsystem zur steuerung bzw. regelung von zumindest zum teil sicherheitskritischen prozessen |
ATE520079T1 (de) | 2007-05-25 | 2011-08-15 | Freescale Semiconductor Inc | Datenverarbeitungssystem, datenverarbeitungsverfahren und vorrichtung |
DE102007045398A1 (de) | 2007-09-21 | 2009-04-02 | Continental Teves Ag & Co. Ohg | Integriertes Mikroprozessorsystem für sicherheitskritische Regelungen |
WO2009090502A1 (en) * | 2008-01-16 | 2009-07-23 | Freescale Semiconductor, Inc. | Processor based system having ecc based check and access validation information means |
JP2011128821A (ja) * | 2009-12-17 | 2011-06-30 | Yokogawa Electric Corp | 二重化フィールド機器 |
DE102011005800A1 (de) * | 2010-03-23 | 2011-09-29 | Continental Teves Ag & Co. Ohg | Kontrollrechnersystem, Verfahren zur Steuerung eines Kontrollrechnersystems, sowie Verwendung eines Kontrollrechnersystems |
US8527737B2 (en) * | 2010-06-23 | 2013-09-03 | Apple Inc. | Using addresses to detect overlapping memory regions |
FR2989800B1 (fr) | 2012-04-18 | 2014-11-21 | Schneider Electric Ind Sas | Systeme de gestion d'applications securisees et non securisees sur un meme microcontroleur |
US9524113B2 (en) * | 2013-05-24 | 2016-12-20 | Seagate Technology Llc | Variable redundancy in a solid state drive |
DE102016215345A1 (de) * | 2016-08-17 | 2018-02-22 | Siemens Aktiengesellschaft | Verfahren und Vorrichtung zur redundanten Datenverarbeitung |
US10520928B2 (en) * | 2017-05-15 | 2019-12-31 | Rockwell Automation Technologies, Inc. | Safety industrial controller providing diversity in single multicore processor |
GB2594530B (en) * | 2020-06-09 | 2022-06-22 | Ineos Automotive Ltd | An automobile control system |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE3938501A1 (de) * | 1989-11-20 | 1991-05-23 | Siemens Ag | Verfahren zum betrieb eines mehrkanaligen failsafe-rechnersystems und einrichtung zur durchfuehrung des verfahrens |
DE19529434A1 (de) * | 1995-08-10 | 1997-02-13 | Teves Gmbh Alfred | Microprozessorsystem für sicherheitskritische Regelungen |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2267984A (en) * | 1992-06-16 | 1993-12-22 | Thorn Emi Electronics Ltd | Multiplexing bus interface. |
DE19716197A1 (de) * | 1997-04-18 | 1998-10-22 | Itt Mfg Enterprises Inc | Mikroprozessorsystem für sicherheitskritische Regelungen |
US6148348A (en) * | 1998-06-15 | 2000-11-14 | Sun Microsystems, Inc. | Bridge interfacing two processing sets operating in a lockstep mode and having a posted write buffer storing write operations upon detection of a lockstep error |
US6629033B2 (en) * | 2001-04-24 | 2003-09-30 | Medius, Inc. | Open communication system for real-time multiprocessor applications |
-
2001
- 2001-05-16 DE DE10124027A patent/DE10124027A1/de not_active Withdrawn
-
2002
- 2002-05-06 WO PCT/EP2002/004946 patent/WO2002093287A2/de active Application Filing
- 2002-05-06 EP EP02742948A patent/EP1428120A2/de not_active Withdrawn
- 2002-05-06 JP JP2002589900A patent/JP2004533686A/ja active Pending
- 2002-05-06 US US10/477,856 patent/US7389390B2/en not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE3938501A1 (de) * | 1989-11-20 | 1991-05-23 | Siemens Ag | Verfahren zum betrieb eines mehrkanaligen failsafe-rechnersystems und einrichtung zur durchfuehrung des verfahrens |
DE19529434A1 (de) * | 1995-08-10 | 1997-02-13 | Teves Gmbh Alfred | Microprozessorsystem für sicherheitskritische Regelungen |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006000373A1 (de) * | 2004-06-24 | 2006-01-05 | Daimlerchrysler Ag | Bedien- und anzeigesystem für ein fahrzeug |
DE102005028685A1 (de) * | 2005-06-21 | 2006-12-28 | Wago Verwaltungsgesellschaft Mbh | Buskopplungsvorrichtung für sicherheitszertifizierbare Anwendungen |
DE102005028685B4 (de) * | 2005-06-21 | 2007-06-06 | Wago Verwaltungsgesellschaft Mbh | Buskopplungsvorrichtung für sicherheitszertifizierbare Anwendungen |
DE202005021479U1 (de) | 2005-06-21 | 2008-09-04 | Wago Verwaltungsgesellschaft Mbh | Buskopplungsvorrichtung für sicherheitszertifizierbare Anwendungen |
DE102014111996A1 (de) * | 2014-08-21 | 2016-02-25 | Wieland Electric Gmbh | Verfahren zur Ermittlung des Zustands eines kurzschlussbildenden Meldeelements |
DE102014217321A1 (de) * | 2014-08-29 | 2016-03-03 | Continental Teves Ag & Co. Ohg | Mikrocontrollersystem und Verfahren für sicherheitskritische Kraftfahrzeugsysteme sowie deren Verwendung |
US10173692B2 (en) | 2014-08-29 | 2019-01-08 | Continental Teves Ag & Co. Ohg | Microcontroller system and method for safety-critical motor vehicle systems and the use thereof |
WO2016055569A1 (de) * | 2014-10-09 | 2016-04-14 | Continental Automotive Gmbh | Vorrichtung und verfahren zum steuern einer audioausgabe für ein kraftfahrzeug |
CN106717028A (zh) * | 2014-10-09 | 2017-05-24 | 大陆汽车有限公司 | 用于控制用于机动车辆的音频输出的设备和方法 |
US10437550B2 (en) | 2014-10-09 | 2019-10-08 | Continental Automotive Gmbh | Device and method for controlling an audio output for a motor vehicle |
CN106717028B (zh) * | 2014-10-09 | 2020-08-11 | 大陆汽车有限公司 | 用于控制用于机动车辆的音频输出的设备和方法 |
DE102020208370A1 (de) | 2020-07-03 | 2022-01-05 | Vitesco Technologies GmbH | Elektronische Steuereinheit |
Also Published As
Publication number | Publication date |
---|---|
EP1428120A2 (de) | 2004-06-16 |
JP2004533686A (ja) | 2004-11-04 |
US20060161918A1 (en) | 2006-07-20 |
WO2002093287A2 (de) | 2002-11-21 |
WO2002093287A3 (de) | 2004-04-08 |
US7389390B2 (en) | 2008-06-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE10124027A1 (de) | Verfahren,Mikroprozessorsystem für sicherheitskritische Regelungen und dessen Verwendung | |
EP0843853B1 (de) | Microprozessorsystem für sicherheitskritische regelungen | |
EP0981783B1 (de) | Mikroprozessorsystem für kfz-regelungssysteme | |
EP1046088B1 (de) | Elektronische, digitale einrichtung | |
EP0731937B1 (de) | Schaltungsanordnung für sicherheitskritische regelungssysteme | |
DE102008033675B4 (de) | Dualkernarchitektur eines Steuermoduls eines Motors | |
DE2225841C3 (de) | Verfahren und Anordnung zur systematischen Fehlerprüfung eines monolithischen Halbleiterspeichers | |
EP0976012A1 (de) | Mikroprozessorsystem für sicherheitskritische regelungen | |
EP3642716A1 (de) | Vorrichtung und verfahren zur ansteuerung eines fahrzeugmoduls in abhängigkeit eines zustandssignals | |
DE102007042353A1 (de) | Sicherheitsstrategie einer Koordination eines mechanischen und elektrischen Verriegelns für ein System einer aktiven Frontlenkung | |
DE10211278A1 (de) | Verfahren zur Ansteuerung einer Komponente eines verteilten sicherheitsrelevanten Systems | |
EP1588380B1 (de) | Verfahren zur erkennung und/oder korrektur von speicherzugriffsfehlern und elektronische schaltungsanordnung zur durchführung des verfahrens | |
EP1913478A1 (de) | Mikroprozessorsystem zur steuerung bzw. regelung von zumindest zum teil sicherheitskritischen prozessen | |
WO2007017444A1 (de) | Mikroprozessorsystem zur steuerung bzw. regelung von zumindest zum teil sicherheitskritischen prozessen | |
DE102005037226A1 (de) | Verfahren und Vorrichtung zur Festlegung eines Startzustandes bei einem Rechnersystem mit wenigstens zwei Ausführungseinheiten durch markieren von Registern | |
EP1461689B1 (de) | Verfahren und prüfeinrichtung zum entdecken von adressierungsfehlern in steuergeräten | |
EP0919917B1 (de) | Verfahren zum Testen des Pufferspeichers eines Mikroprozessorsystems | |
EP1428218A2 (de) | Verfahren zur erkennung von speicherfehlern in elektronischen bremssystemen, rechnersystem und dessen verwendung |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OM8 | Search report available as to paragraph 43 lit. 1 sentence 1 patent law | ||
8110 | Request for examination paragraph 44 | ||
R016 | Response to examination communication | ||
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee | ||
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |
Effective date: 20141202 |