KR20150067380A - 자동차를 제어하기 위한 리던던트 프로그램들 간에 데이터를 교환하기 위한 인터페이스 - Google Patents

자동차를 제어하기 위한 리던던트 프로그램들 간에 데이터를 교환하기 위한 인터페이스 Download PDF

Info

Publication number
KR20150067380A
KR20150067380A KR1020157012942A KR20157012942A KR20150067380A KR 20150067380 A KR20150067380 A KR 20150067380A KR 1020157012942 A KR1020157012942 A KR 1020157012942A KR 20157012942 A KR20157012942 A KR 20157012942A KR 20150067380 A KR20150067380 A KR 20150067380A
Authority
KR
South Korea
Prior art keywords
microcontroller
units
unit
control unit
electronic control
Prior art date
Application number
KR1020157012942A
Other languages
English (en)
Inventor
안드레아스 하이제
카이 샤데
마르코 젱거
라인하르트 헤어
미하엘 치덱
랄프 하르트만
호우만 암야디
Original Assignee
콘티넨탈 테베스 아게 운트 코. 오하게
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 콘티넨탈 테베스 아게 운트 코. 오하게 filed Critical 콘티넨탈 테베스 아게 운트 코. 오하게
Publication of KR20150067380A publication Critical patent/KR20150067380A/ko

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T7/00Brake-action initiating means
    • B60T7/12Brake-action initiating means for automatic initiation; for initiation not subject to will of driver or passenger
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B15/00Systems controlled by a computer
    • G05B15/02Systems controlled by a computer electric
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
    • G05D1/0055Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/544Buffers; Shared memory; Pipes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/845Systems in which the redundancy can be transformed in increased performance

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Automation & Control Theory (AREA)
  • Quality & Reliability (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Remote Sensing (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Regulating Braking Force (AREA)
  • Hardware Redundancy (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

본 발명은 적어도 하나의 자동차 시스템을 제어 및/또는 조정하기 위한 전자 제어 유닛 (30) 에 관한 것이며, 전자 제어 유닛 (30) 은 소프트웨어를 실행하도록 의도되고 각각 적어도 하나의 독립적인 오퍼레이팅 시스템 (5, 5') 을 실행하는 적어도 2 개의 마이크로제어기 유닛들 (1, 1') 을 갖는 적어도 하나의 통합된 마이크로제어기 시스템 (34) 을 포함하며, 여기서 마이크로제어기 유닛들 (1, 1') 간에 정보를 교환하기 위해 적어도 하나의 인터페이스 (2) 가 제공되고, 전자 제어 유닛 (30) 은 또한, 제 1 마이크로제어기 유닛 (1) 이 제 1 자동차 시스템, 특히 자동차 브레이크 시스템을 제어 및/또는 조정하도록 설계되고, 제 2 마이크로제어기 유닛 (1') 이 인터페이스 (2) 를 사용하여 제 1 자동차 시스템의 제어 및/또는 조정하기 위한 사양들을 제 1 마이크로제어기 유닛 (1) 에 제공할 수 있도록 설계된다는 사실에 의해 구별된다. 본 발명은 또한 전자 제어 유닛의 사용을 포함한다.

Description

자동차를 제어하기 위한 리던던트 프로그램들 간에 데이터를 교환하기 위한 인터페이스{INTERFACE FOR INTERCHANGING DATA BETWEEN REDUNDANT PROGRAMS FOR CONTROLLING A MOTOR VEHICLE}
본 발명은 청구항 제 1 항의 전제부에 따른 전자 제어 유닛 및 그 사용에 관한 것이다.
특히, 차량을 운전할 경우 운전자의 부담을 줄이기 위해 의도된 보조 기능들의 통합이 증가함에 따라, 현대 자동차들의 시스템들의 복잡도는 증가하고 있다. 이들 기능들의 제공은 센서들과 같이, 그들 모두가 차량 외부 및/또는 내부에서 증가된 양의 정보와 광범위한 상호 관계들을 발생하는, 증가하는 수의 컴포넌트들을 요구한다. 그로부터 발생하는 문제들은, 예컨대 시스템들의 복잡도가 증가함에 따른 고장 안전성 (fail-safety) 을 보장하는 것, 증가하는 시스템 및 통합 비용들, 충족될 품질 요구들, 차량마다 증가하는 제품 도입 시간들 및 생산 시간들이다. 이들은 자주 마스터/슬레이브 통신 개념을 구현하는 현대식 멀티코어 마이크로제어기 시스템들을 사용한다. 이 경우, 마스터 엔티티들은 CPU 시스템들, DMA (direct memory access) 모듈들, 및 플렉스레이 (FlexRay), 이더넷 및 인터-프로세서 링크와 같은 지능적인 주변 모듈들을 포함한다. 보통의 주변 리소스들은 이 경우, 슬레이브 엔티티들로서 역할을 한다.
EP 1 456 720 B1 는 복수의 컴퓨터 블록들을 포함하는 안전-필수 애플리케이션들을 위한 멀티코어 리던던트 제어 컴퓨터 시스템을 설명하며, 여기서 각 컴퓨터 블록은 차례로, 적어도 2 개의 제어 컴퓨터들을 갖는 멀티코어 리던던트 제어 컴퓨터 시스템을 갖는다. 제어 컴퓨터들은 각각 세미-리던던트 또는 풀-리던던트 주변 엘리먼트들과 세미-리던던트 또는 풀-리던던트 메모리 엘리먼트들을 갖는 계산 코어를 구비하며, 오기능들에 대하여 제어 컴퓨터들을 모니터링하고 이러한 목적을 위해 제공된 통신 제어기에 의해 차량 데이터 버스로부터 제어 컴퓨터들을 커플링하거나 디커플링할 수 있는 중재 유닛에 접속된다.
DE 10 2011 007 467 A1 는 메인 프로세서 구조 및 보조 프로세서 구조를 갖는 멀티코어 통합형 마이크로프로세서 회로를 설명하며, 여기서 적어도 메인 프로세서 구조는 리던던트-코어 설계로 이루어지고 본질적으로 오직 안전-필수 프로그램들만을 실행하지만, 보조 프로세서 구조는 본질적으로 비-안전-필수 프로그램들을 실행한다. 메인 프로세서 구조는 정정 동작을 위해 보조 프로세서 구조를 체크한다. 이 경우, 2 개의 프로세서 구조들은 그들 각각과 독점적으로 연관된 메모리 영역들에 액세스하며, 데이터 교환은 공유되는 메모리 영역에 의해 발생할 수 있다. 추가로, 독립적이고 본질적으로 상이한 오퍼레이팅 시스템들이 2 개의 프로세서 구조들에서 실행된다.
특히, 자동차 제조업자들에 의해 빈번하게 제공되거나 상기 자동차 제조업자들에 대하여 개별화된 소프트웨어 모듈들은 현대의 자동차 제어기들에서 리소스들에 대하여 증가하는 요구를 갖는다. 이는 더 광범위해지는 소프트웨어 모듈들의 통합을 점점 더 비경제적으로 만드는데, 이는 그 모듈들이 예컨대, 공급자에 의해 제공된 기본 소프트웨어와 병합되어야만 하기 때문이다. 새롭거나 확대된 소프트웨어에 적합하기 위해 소프트웨어 모두의 주문제작은 그에 상응하여 정교해지고 있다.
본 발명의 목적은, 특히 향후 자동차 시스템들에 대한 리소스들에 대하여 엄청난 수요가 있을 경우, 소프트웨어 모듈들의 통합이 효율적이고 효과적으로 실현될 수 있는 자동차 제어기를 제공하는 것이다.
이러한 목적은 청구항 제 1 항에 따른 전자 제어 유닛에 의해 달성된다.
본 발명은 적어도 하나의 자동차 시스템을 제어 및/또는 조정하기 위한 전자 제어 유닛을 설명하며, 그 전자 제어 유닛은 각각 적어도 하나의 독립적인 오퍼레이팅 시스템을 실행하는 적어도 2 개의 마이크로제어기 유닛들을 갖는, 소프트웨어를 실행하는 적어도 하나의 통합된 마이크로제어기 시스템을 포함하며, 여기서 적어도 하나의 인터페이스가 마이크로제어기 유닛들 간에 정보를 교환하기 위한 목적으로 제공되며, 전자 제어 유닛은 제 1 마이크로제어기 유닛이 제 1 자동차 시스템, 특히 자동차 브레이킹 시스템의 제어 및/또는 조정을 실행하도록 구현되고, 제 2 마이크로제어기 유닛이 제 1 마이크로제어기 유닛의 인터페이스를 사용하여 제 1 자동차 시스템의 제어 및/또는 조정을 위한 디폴트들을 제공할 수 있도록 구현된다는 점에서 추가로 구별된다.
상기 설명의 맥락에서, 마이크로제어기는 또한, 적어도 하나의 프로세서를 가지고 주변 기능부들 또는 주변 인터페이스들에 의해 신호들을 캡처하고 출력할 수 있는, 마이크로프로세서들 및 당해 타입의 추가의 집적 회로들을 의미하는 것으로 이해된다. 본 발명의 맥락 내에서의 제어기는 자동차 시스템을 동작시키기 위해 유리한 방식으로 사용될 수 있는 전자 메모리들, 예컨대 레지스터들, 합성 신호 회로들 및 추가의 기능적 어셈블리들을 추가로 포함할 수도 있다.
그러므로, 제 1 자동차 시스템을 작동시키기 위한 기본 기능들은 유리하게 제 1 마이크로제어기 유닛에 의해 실행되며, 이는 규정된 안전 레벨에 따른 증가된 사용가능성에 대한 요구들이 만족될 수 있는 것을 의미한다. 추가로, 제 2 마이크로제어기 유닛은 유리하게 컴퓨터-집약적 작업들을 수행하기 위해 사용될 수 있는 리소스들을 제공하는데 사용될 수 있다. 결과적으로 획득된 성능 증가는, 예컨대 도로 사용자들의 안전을 개선하도록 의도되는 향후 리소스-집약적 보조 시스템들의 사용을 허용한다.
유리한 실시형태에 따르면, 제 1 및/또는 제 2 마이크로제어기 유닛은 추가로, 개별화된 회로 부분들, 또는 센서들, 액추에이터들 및/또는 버스들 (LIN, FlexRay, CAN) 을 위한 전자장치와 같은 특수화된 하드웨어에 대한 베이스로서 사용될 수 있다.
본 발명의 특히 바람직한 실시형태에 따르면, 마이크로제어기 유닛들 상에 구현되는 소프트웨어는, 상기 소프트웨어에 대한 변경이 다른 마이크로제어기 유닛 상의 소프트웨어를 변경시켜야할 필요 없이 적어도 하나의 마이크로제어기 유닛들 중 적어도 하나에서 실행될 수 있도록, 캡슐화된다.
유리하게, 그러한 방식으로 제공된 캡슐화는, 특히 안전-필수 자동차 시스템들의 고장 안전성을 증가시키고, 소프트웨어 모듈들은 통합될 수 있거나, 마이크로제어기 유닛들의 현존의 소프트웨어는 다른 마이크로제어기 유닛과 그에 구현된 소프트웨어에 독립적으로 커스터마이징될 수 있다. 또한, 하드웨어 및 소프트웨어의 모듈러 접근 방식은, 시스템들의 분리와 캡슐화 및 따라서 다른 하드웨어로의 이동성이 개선되어 개발 프로세서들이 더 간단해지기 때문에, 개발 시간을 감소시킨다.
바람직하게, 적어도 제 1 오퍼레이팅 시스템 및 제 2 오퍼레이팅 시스템은 서로 상이하다. 제 1 오퍼레이팅 시스템은 바람직하게, 오퍼레이팅 시스템 표준, 특히 OSEK-OS 를 따르고, 제 2 오퍼레이팅 시스템은 바람직하게 표준화된 소프트웨어 아키텍처, 특히 AUTOSAR 에 기초한다.
유리하게, 제 2 오퍼레이팅 시스템을 위한 소프트웨어 모듈들의 구현은 예컨대 차량 제조업자에 의해 촉진되지만, 안전-지향적 소프트웨어는 특히, 고 안전 레벨을 따르는 오퍼레이팅 시스템 표준에서 제공될 수도 있다.
바람직하게, 제 2 마이크로제어기 유닛은, 적어도 하나의 추가의 자동차 시스템의 제어 및/또는 조정을 실행하도록 구현된다.
제 1 자동차 시스템의 제어 또는 조정는 독점적으로 제 1 마이크로제어기 유닛을 위해 보유되지만, 이에 따라 제 2 마이크로제어기 유닛에는, 특히 본 발명에 따른 근본적인 아이디어의 토대인 글로벌 계산 리소스들을 제공할 가능성인 적어도 하나의 추가의 자동차 시스템의 제어 또는 조정이 유리하게 할당될 수 있다.
본 발명의 유리한 실시형태에 따르면, 마이크로제어기 시스템은 멀티코어 프로세서, 특히 4-코어 프로세서로서 구현되며, 여기서 마이크로제어기 유닛들은 공통 기판 상에 수용된다. 특히 바람직하게, 각각의 마이크로제어기 유닛은 적어도 2 개의 리던던트 프로세서들을 갖는다.
이는 유리하게 마이크로프로세서 시스템의 사용가능성이 증가되고 대응하는 안전 레벨에 대한 요구들이 만족되는 것을 허용한다.
특히 바람직한 실시형태에 따르면, 마이크로제어기 시스템은, 개별 메모리 및/또는 주변 리소스들이 제 1 마이크로제어기 유닛 또는 제 2 마이크로제어기 유닛과 또는 양자의 마이크로제어기 유닛들과 연관되도록, 구현된다.
유리하게, 이는 마이크로제어기 유닛들의 캡슐화에 있어 개선을 달성한다.
특히 바람직하게, 메모리 및/또는 주변 리소스들의 연관은 액세스 동작들에 대한 하드웨어-기반의 보호 개념에 의해 실현된다.
이는 유사하게 하드웨어의 성능에 대하여 유리한 영향을 가지는, 매우 큰 수의 또는 매우 미세한 입도 (granulation) 의 메모리 보호 규칙들의 구현을 회피한다. 유리하게, 마이크로프로세서 시스템에 존재하는 마이크로제어기 유닛들 또는 마스터 엔티티들 간에 메모리 및/또는 주변 리소스들의 미세한 파티셔닝이 실현될 수 있다.
이는 또한, 다양한 마이크로제어기 유닛들의 소프트웨어 컴포넌트들 간을 구별하기 위한 목적으로 주변 모듈들의 다수의 구현을 불필요하게 만드는 개별 하드웨어 리소스들, 예컨대 레지스터 세트들의 공동 사용에 대한 기회를, 유리하게 복수의 마이크로제어기 유닛들에 제공한다.
본 발명의 바람직한 전개에 따르면, 하드웨어-기반의 보호 개념은 각각의 마이크로제어기 유닛이 적어도 하나의 연관된, 특히 고정된 식별자를 가지고 마이크로제어기 시스템이 액세스 제어를 실현하기 위한 목적으로 마이크로제어기 유닛들에 대한 인증을 수행하도록 구현된다.
바람직하게, 마이크로제어기 시스템은, 마이크로제어기 유닛들과 개별적으로 연관된 메모리 영역들을 포함하는 적어도 하나의 전자 메모리 및/또는 메모리 영역을 갖는다.
추가로 바람직하게, 인터페이스는 마이크로제어기 유닛들에 의해 및/또는 공동으로 및/또는 포인트-투-포인트 접속에 의해 사용되는 메모리 영역이다.
전자 제어 유닛의 바람직한 실시형태에 따르면, 전자 제어 유닛은 적어도 하나의 도메인 제어기를 포함하고, 적어도 하나의 자동차 네트워크의 도메인 제어기 기능이 제공되도록 구현된다.
바람직한 실시형태에 따르면, 전자 제어 유닛은 적어도 하나의 게이트웨이 제어기를 포함하고 및/또는 상이한 자동차 네트워크들에 의한 통신을 위한 게이트웨이 기능이 제공되도록 구현된다.
추가로, 본 발명은 자동차 브레이킹 시스템에서 전술된 전자 제어 유닛의 적어도 하나의 실시형태의 사용을 포함한다.
추가의 바람직한 실시형태들은 도면들을 참조하여 이하 예시적인 실시형태들의 설명으로부터 출현할 것이다.
기본적인 도면에서:
도 1 은 일 실시예에 따른 마이크로제어기 시스템을 도시하고,
도 2 는 4-코어 마이크로제어기를 포함하는, 일 실시예에 따른 마이크로제어기 시스템을 도시하고,
도 3 은 본 발명에 따른 전자 제어 유닛의 일 실시형태를 도시하고, 본 발명에서 상기 전자 제어 유닛은 차량 네트워크에 대한 도메인 제어기로서 제공된다.
예시적인 실시형태들의 짧고 간단한 설명을 허용하기 위해, 동일한 엘리먼트들에는 동일한 도면 부호들이 제공되고, 본 발명에 필수적인 세부사항들만이 각 경우에 설명된다.
특히 기능적 관계들을 우선 설명하기 위한 목적으로, 도 1 은 적어도 하나의 자동차 시스템, 예컨대 자동차 브레이킹 시스템을 작동시키기 위한 전자 제어 유닛의 마이크로제어기 시스템 (34) 을 도시한다. 이 경우, 상기 자동차 시스템은 제 1 의 2-코어 마이크로제어기 유닛 (1) 을 포함하며, 그 프로세서들은 리던던트 설계로 이루어진다.
그 실시예에 따르면, 마이크로제어기 유닛 (1) 은 자동차 브레이킹 시스템의 작동을 실행하고, 그에 필요한 작동 소프트웨어 및 주변부들 (예컨대, 아날로그/디지털 컨버터, PWM, 타이머, 플렉스레이, CAN) 을 접속하기 위한 인터페이스들 (4) 을 포함하며, 마이크로제어기 유닛 (1) 이 포함하는 오퍼레이팅 시스템 (5) 은 인터페이스들 (4) 을 통해 관련 주변부들과 통신할 수 있다. 오퍼레이팅 시스템 (5) 은 오퍼레이팅 시스템 표준 OSEK-OS 와 같은, 자동차 분야의 내장형 실시간 오퍼레이팅 시스템들을 위한 표준을 따른다. 실시예에 따르면, 기능 추상화 레벨 (8), 시스템 추상화 레벨 (9), 하드웨어 추상화 레벨 (10) 및 차량 통합 레벨 (11) 이 구별된다.
상기 예시적인 실시형태에 따르면, 본 발명에 따른 제어 유닛 (30) 은 적어도 하나의 제 2 멀티코어 마이크로제어기 유닛 (1') 과 함께 주변부들 (4') 을 접속하기 위한 연관된 인터페이스들을 포함하는 독립적인 제 2 오퍼레이팅 시스템 (5') 을 갖는다. 이 경우, 제 2 마이크로제어기 유닛 (1') 은 표면적으로, 예컨대 차량 제조업자들에 의해 제공되는 안전-지향 소프트웨어 모듈들 (6') 을 실행하는 작업을 갖는다. 마이크로제어기 유닛 (1') 은 드라이빙 및 역학 기능들과 같은 컴퓨터-집약적 작업들을 수행하기 위해 사용될 수 있는 리소스들을 제공하는 반면, 브레이킹 시스템의 기본 소프트웨어 및 기본 기능들은 제 1 마이크로제어기 유닛 (1) 에 의해 실행된다. 결과적으로, 차량 제조업자들에게는 특히, 본질적으로 리소스들이 전반적으로 제공되며, 관련 ASIL 레벨 (ASIL-D) 의 요구들을 만족하기 위한 지원은 그 중에서도 마이크로제어기 유닛들 (1, 1') 의 코어-리던던트 실행에 의해 제공된다. 제공되는 오퍼레이팅 시스템 (5') 은 바람직하게 표준화된 소프트웨어 아키텍처, 특히 AUTOSAR 이며, AUTOSAR 의 상이한 소프트웨어 요약 레벨들은 도 1 에 개략적으로 도시된다. 이 경우, 애플리케이션 레벨은 인터페이스들 (4') 에 의해 관련 주변부들과 통신할 수 있는 소프트웨어 모듈들 (6') 을 포함한다.
MCU들 (1, 1') 은 인터페이스 (2) 를 통해, 특히 포인트-투-포인트 접속에 의해 및 관련 드라이버들 또는 소프트웨어 (7, 7') 를 사용하여 통신한다. 이러한 방식으로, 정의된 하드웨어 및 소프트웨어 인터페이스들을 사용하는 소프트웨어 모듈들 (6') 은 디폴트 값들 또는 명령들을 제 1 오퍼레이팅 시스템 (5) 또는 마이크로제어기 유닛 (1) 에 전송할 수 있고, 이들은 그 후 브레이킹 시스템의 실제 제어를 수행하기 위해 디폴트 값들 또는 명령들을 사용한다. MCU들에 의한 서로 간의 통신 및 주변부들과의 통신은 바람직하게 체크 데이터에 의해 보장된다.
도 2 는 마이크로제어기 시스템 (34) 의 예시적인 실시형태를 도시하며, 상기 마이크로제어기 시스템 또는 마이크로제어기 유닛들 (1, 1') 은 도 1 에 관련된 설명에 따라서, 그에 따라 적어도 4 개의 프로세서들 (3, 3')(4-코어 프로세서) 을 가지는 공통 집적 하우징에서 제공된다. 본질적으로 이미 설명된 컴포넌트들은 도 1 과 동일한 도면 부호들에 의해 도 2 에 표시된다.
상기 실시형태에 따르면, 멀티프로세서 소프트웨어 개념은 멀티코어 하드웨어 아키텍처 상에 실현되며, 리던던트 설계의 적어도 하나의 전자 메모리 (21) 는 제 2 오퍼레이팅 시스템 (5') 에 대하여 디스에이블되는 제 1 메모리 영역 (22) 및 제 2 오퍼레이팅 시스템 (5') 과 연관된 제 2 메모리 영역 (23) 을 포함한다. 메모리 영역 (22) 은 제 1 오퍼레이팅 시스템 (5) 과 연관되고 제 1 오퍼레이팅 시스템 (5) 에 대하여 인에이블되는 반면, 제 2 메모리 영역 (23) 은 제 1 오퍼레이팅 시스템 (5) 에 대하여 디스에이블된다. 추가로, 공동으로 사용되는 메모리 영역 (24) 은 제 1 및 제 2 오퍼레이팅 시스템들을 위해 제공되며, 상기 메모리 영역은 오퍼레이팅 시스템들 (5, 5') 또는 마이크로제어기 유닛들 (1, 1') 에 의한 서로의 통신을 위해 사용되는, 도 1 에 설명된 인터페이스 (2) 를 실현한다. 이 경우, 메모리 영역들 (22, 23, 24) 은 도 2 에 도시된 것과 같은 공통 물리적 메모리의 부분일 필요가 없으며, 오히려 개별적인 물리적 메모리들에서 실현될 수도 있다. 4-코어 마이크로제어기 시스템은 마이크로제어기 유닛들 (1, 1') 의 분리를 보장하기 위해 도시되지 않은 구성 레지스터들을 포함한다.
그러나, 추가의 바람직한 실시형태에 따르면, 마이크로제어기 유닛들 (1, 1') 은 또한 개별적인 집적 회로 하우징들을 갖는 2 개의 개별적인 마이크로제어기들 또는 마이크로프로세서들에서 제공될 수도 있다.
설명된 실시형태들에 따르면, 마이크로제어기 유닛 (1, 1') 의 프로세서들 (3, 3') 은 각각 리던던트 설계이고, 바람직하게 리던던시 모니터링을 갖는 록스텝 (lockstep) 모드에서 동작한다. 개별 마이크로제어기 유닛 (1, 1') 이 따라야만 하는 사용가능성에 대한 요구 또는 안전 레벨에 의존하여, 리던던시를 생략하는 것이 또한 가능하며, 추가의 프로세서는 추가의 계산 리소스로서 제공될 수 있거나 생략된다. 마이크로프로세서 시스템 (34) 또는 리던던트 프로세서들 (3, 3') 의 하드웨어 및/또는 소프트웨어는 추가로 다양하게 설계될 수도 있다.
마이크로제어기 시스템 (34) 의 소프트웨어는 상이한 마이크로제어기 유닛들 (1, 1') 및 따라서 상이한 마스터 엔티티들에서 실행된다. 이들 분리된 소프트웨어 컴포넌트들간의 상호작용으로부터 자유를 보장하기 위해, 다양한 마스터 엔티티들에 의한 메모리 및 주변 리소스들로의 액세스 동작들이 분리된다. 정확히 완전한 주변 모듈들이 마이크로제어기 유닛들 (1, 1') 간에 파티셔닝된다면, 바람직하게 코어 또는 메모리 버스 레벨에서의 메모리 관리 유닛들 (MMU) 과 같은 고유하게 알려진 방법들 및/또는 주변 버스 레벨에서의 신뢰할 수 있는 소스의 개념을 사용하여 분리가 실행된다.
마이크로프로세서 시스템 (34) 의 상이한 실시형태들에 대하여, 마이크로제어기 유닛들 (1, 1') 은 바람직하게 다양한, 예컨대 프로젝트-특정의 기준으로 주변 리소스들이 할당될 수 있다. 이는 마이크로제어기 시스템 (34) 에 대한 주변 리소스들의 다수의 셋업에 대한 필요성을 제거한다. 전술된 접근방식들은, 그러나, 하드웨어의 성능에 대하여 불리한 영향들을 가지는, 매우 큰 수의 또는 매우 미세한 입도의 메모리 보호 규칙들의 구현되어야만 하기 때문에, 양자의 마이크로제어기 유닛들 (1, 1') 에 의해 공동으로 사용되는 주변 리소스들에 대하여 충분하지 않다. 그러므로, 주변 리소스들로의 액세스 동작들에 대한 하드웨어-기반의 보호 개념이 추가로 제공되며, 이는 마이크로프로세서 시스템 (34) 에 존재하는 마이크로제어기 유닛들 (1, 1') 또는 마스터 엔티티들 간에 상기 주변 리소스들의 미세한 파티셔닝을 허용한다.
관련된 하드웨어 컴포넌트, 예컨대 주변 모듈 (4, 4') 또는 메모리 (22, 23, 24) 는 소프트웨어에 의해 정적으로 구성되고, 모든 단일 마스터와 연관된 식별 번호는 마이크로제어기 유닛들 (1, 1') 을 인증하기 위해 사용된다. 주변 리소스들로의 액세스 동작들은 오직 마이크로제어기 유닛 (1, 1') 에 대해서 또는 이 유닛이 인에이블되거나, 그렇지 않으면 디스에이블되는 마스터에 대해서만 수행된다. 이 경우, 분리는 마이크로제어기 유닛들 (1, 1') 중 하나에 할당되는 전체 레지스터들 및/또는 레지스터 섹션들의 레벨까지 실행될 수 있다. 복수의 마이크로제어기 유닛들 (1, 1') 과 개별 하드웨어 리소스들의 공동 사용에 대한 결과적인 기회는 다양한 마이크로제어기 유닛들 (1, 1') 의 소프트웨어 컴포넌트들 간을 구별하는 목적으로 주변 모듈들 (4, 4') 의 다수의 구현을 회피한다.
도 3 은 자동차 브레이킹 시스템에서 브레이크 제어기에 대한 본 발명에 따른 제어 유닛 (30) 의 예시적인 실시형태를 도시한다. 이 경우, 제어 유닛 (30) 은 본 발명에 따른 마이크로제어기 시스템 (34) 을 포함한다. 특히 바람직한 실시형태에 따르면, 제어 유닛 (30) 및/또는 마이크로제어기 시스템 (34) 은 자동차의 네트워크들 또는 버스 시스템들 (31, 37) 에서 도메인 제어기 기능 (35) 을 수행한다. 이 경우, 도메인 제어기 (35) 는 프로토콜의 근본적인 타입들이 상이할 경우 상이한 버스 시스템들 (31 및 37) 에 의한 통신을 허용하는, 게이트웨이 기능들 (36) 을 지원한다. 상기 도메인 제어기는 예컨대, 추가의 시스템들 (33) 을 위해 액추에이터들, 센서들 및/또는 제어기들을 연관시킨다. 네트워크 (31) 에 직접 접속된 센서들, 액추에이터들 및/또는 제어기들은 블록 (32) 에 의해 표현된다. 추가의 도메인 제어기들 및 연관된 컴포넌트들은 블록들 (30' 및 33') 에 의해 표현된다.

Claims (15)

  1. 적어도 하나의 자동차 시스템을 제어 및/또는 조정하기 위한 전자 제어 유닛 (30) 으로서,
    각각 적어도 하나의 독립적인 오퍼레이팅 시스템 (5, 5') 을 실행하는 적어도 2 개의 마이크로제어기 유닛들 (1, 1') 을 갖는, 소프트웨어를 실행하기 위한 적어도 하나의 통합된 마이크로제어기 시스템 (34) 을 포함하며, 적어도 하나의 인터페이스 (2) 가 상기 마이크로제어기 유닛들 (1, 1') 간에 정보를 교환하기 위한 목적으로 제공되며,
    제 1 마이크로제어기 유닛 (1) 은 제 1 자동차 시스템, 특히 자동차 브레이킹 시스템의 제어 및/또는 조정을 실행하도록 구현되고, 제 2 마이크로제어기 유닛 (1') 은 상기 제 1 마이크로제어기 유닛 (1) 의 인터페이스 (2) 를 사용하여 상기 제 1 자동차 시스템의 제어 및/또는 조정을 위한 디폴트들을 제공할 수 있도록 구현되는 것을 특징으로 하는 전자 제어 유닛.
  2. 제 1 항에 있어서,
    상기 마이크로제어기 유닛들 (1, 1') 상에 구현되는 소프트웨어는, 상기 소프트웨어에 대한 변경이 다른 마이크로제어기 유닛 (1, 1') 상의 소프트웨어를 변경시켜야할 필요 없이 상기 마이크로제어기 유닛들 (1, 1') 중 적어도 하나에 실행될 수 있도록, 캡슐화되는 것을 특징으로 하는 전자 제어 유닛.
  3. 제 1 항 또는 제 2 항에 있어서,
    적어도 제 1 오퍼레이팅 시스템 (5) 및 제 2 오퍼레이팅 시스템 (5') 은 서로 상이한 것을 특징으로 하는 전자 제어 유닛.
  4. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    상기 제 2 마이크로제어기 유닛 (1') 은, 적어도 하나의 추가의 자동차 시스템의 제어 및/또는 조정을 실행하도록 구현되는 것을 특징으로 하는 전자 제어 유닛.
  5. 제 1 항 내지 제 4 항 중 어느 한 항에 있어서,
    상기 마이크로제어기 시스템 (34) 은 멀티코어 프로세서, 특히 4-코어 프로세서로서 구현되며, 상기 마이크로제어기 유닛들 (1, 1') 은 공통 기판 상에 수용되는 것을 특징으로 하는 전자 제어 유닛.
  6. 제 1 항 내지 제 5 항 중 어느 한 항에 있어서,
    각각의 마이크로제어기 유닛 (1, 1') 은 적어도 2 개의 리던던트 프로세서들 (3, 3') 을 가지는 것을 특징으로 하는 전자 제어 유닛.
  7. 제 1 항 내지 제 6 항 중 어느 한 항에 있어서,
    상기 마이크로제어기 시스템은, 개별 메모리 및/또는 주변 리소스들 (4, 4', 22, 23, 24) 이 상기 제 1 마이크로제어기 유닛 (1) 또는 상기 제 2 마이크로제어기 유닛 (1') 과 또는 양자의 마이크로제어기 유닛들 (1, 1') 과 연관되도록, 구현되는 것을 특징으로 하는 전자 제어 유닛.
  8. 제 7 항에 있어서,
    상기 메모리 및/또는 주변 리소스들 (4, 4', 22, 23, 24) 의 상기 마이크로제어기 유닛들 (1, 1') 과의 연관은 액세스 제어에 대한 하드웨어-기반의 보호 개념에 의해 실현되는 것을 특징으로 하는 전자 제어 유닛.
  9. 제 8 항에 있어서,
    상기 하드웨어-기반의 보호 개념은, 각각의 마이크로제어기 유닛 (1, 1') 이 적어도 하나의 연관된, 특히 고정된 식별자를 가지고, 상기 마이크로제어기 시스템 (34) 이 액세스 제어를 실현하기 위한 목적으로 상기 마이크로제어기 유닛들 (1, 1') 에 대한 인증을 수행하도록, 구현되는 것을 특징으로 하는 전자 제어 유닛.
  10. 제 1 항 내지 제 9 항 중 어느 한 항에 있어서,
    상기 마이크로제어기 시스템 (34) 은, 상기 마이크로제어기 유닛들 (1, 1') 과 개별적으로 연관된 메모리 영역들 (22, 23) 을 포함하는 적어도 하나의 전자 메모리 및/또는 메모리 영역 (21) 을 가지는 것을 특징으로 하는 전자 제어 유닛.
  11. 제 1 항 내지 제 10 항 중 어느 한 항에 있어서,
    상기 인터페이스 (2) 는 상기 마이크로제어기 유닛들 (1, 1') 에 의해 공동으로 및/또는 포인트-투-포인트 접속 (2) 에 의해 사용되는 메모리 영역 (24) 인 것을 특징으로 하는 전자 제어 유닛.
  12. 제 1 항 내지 제 11 항 중 어느 한 항에 있어서,
    제 1 오퍼레이팅 시스템 (5) 은 오퍼레이팅 시스템 표준, 특히 OSEK-OS 를 따르고, 제 2 오퍼레이팅 시스템 (5') 은 표준화된 소프트웨어 아키텍처, 특히 AUTOSAR 에 기반하는 것을 특징으로 하는 전자 제어 유닛.
  13. 제 1 항 내지 제 12 항 중 어느 한 항에 있어서,
    상기 전자 제어 유닛 및/또는 마이크로프로세서 시스템 (34) 은 적어도 하나의 도메인 제어기 (35) 를 포함하고 및/또는 적어도 하나의 자동차 네트워크 (31) 의 도메인 제어기 기능 (35) 이 제공되도록 구현되는 것을 특징으로 하는 전자 제어 유닛.
  14. 제 1 항 내지 제 13 항 중 어느 한 항에 있어서,
    상기 전자 제어 유닛 및/또는 마이크로프로세서 시스템 (34) 은 적어도 하나의 게이트웨이 제어기 (36) 를 포함하고 및/또는 상이한 자동차 네트워크들 (31, 37) 에 의한 통신을 위해 게이트웨이 기능 (36) 이 제공되도록 구현되는 것을 특징으로 하는 전자 제어 유닛.
  15. 자동차 브레이킹 시스템에서 제 1 항 내지 제 14 항 중 어느 한 항에 기재된 전자 제어 유닛 (30) 의 사용.
KR1020157012942A 2012-10-16 2013-10-16 자동차를 제어하기 위한 리던던트 프로그램들 간에 데이터를 교환하기 위한 인터페이스 KR20150067380A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102012218852.5 2012-10-16
DE102012218852 2012-10-16
PCT/EP2013/071615 WO2014060470A1 (de) 2012-10-16 2013-10-16 Schnittstelle zum datenaustausch zwischen redundant ausgeführten programmen zur kraftfahrzeugsteuerung

Publications (1)

Publication Number Publication Date
KR20150067380A true KR20150067380A (ko) 2015-06-17

Family

ID=49448133

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020157012942A KR20150067380A (ko) 2012-10-16 2013-10-16 자동차를 제어하기 위한 리던던트 프로그램들 간에 데이터를 교환하기 위한 인터페이스

Country Status (6)

Country Link
US (1) US10214189B2 (ko)
EP (1) EP2909721A1 (ko)
KR (1) KR20150067380A (ko)
CN (1) CN104718532A (ko)
DE (1) DE112013005824A5 (ko)
WO (1) WO2014060470A1 (ko)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014217321A1 (de) * 2014-08-29 2016-03-03 Continental Teves Ag & Co. Ohg Mikrocontrollersystem und Verfahren für sicherheitskritische Kraftfahrzeugsysteme sowie deren Verwendung
EP3269158A1 (en) * 2015-03-09 2018-01-17 AutoConnect Holdings LLC Vehicle and occupant application integration
EP3156904A1 (en) * 2015-10-13 2017-04-19 Autoliv Development AB A vehicle safety electronic control system
DE102016224747A1 (de) * 2016-12-12 2018-06-14 Robert Bosch Gmbh Steuergerät
US11214273B2 (en) 2017-06-23 2022-01-04 Nvidia Corporation Method of using a single controller (ECU) for a fault-tolerant/fail-operational self-driving system
US10606764B1 (en) * 2017-10-02 2020-03-31 Northrop Grumman Systems Corporation Fault-tolerant embedded root of trust using lockstep processor cores on an FPGA
DE102017218898A1 (de) 2017-10-23 2019-04-25 Volkswagen Aktiengesellschaft Kontrollsystem für ein Batteriesystem
FR3077403B1 (fr) * 2018-01-29 2019-12-27 Continental Automotive France Procede de conception d’une architecture de taches applicative d’une unite de controle electronique avec un ou des cœurs virtuels
CN109541987B (zh) * 2018-10-17 2021-09-03 同济大学 一种具有冗余结构的即插即用型智能汽车域控制器及方法
CN110955232A (zh) * 2019-12-13 2020-04-03 深圳市英博超算科技有限公司 一种自动驾驶系统架构
CN112187744B (zh) * 2020-09-14 2022-01-11 北京航空航天大学 一种面向车载域架构CAN总线DoS攻击的OTA升级方法
CN112506701B (zh) * 2020-12-02 2022-01-21 广东电网有限责任公司佛山供电局 一种基于三模lockstep的多处理器芯片错误恢复方法
EP4060487A1 (en) * 2021-03-17 2022-09-21 Aptiv Technologies Limited Electronic control unit, vehicle comprising the electronic control unit and computer-implemented method
CN113904882B (zh) * 2021-09-24 2023-08-18 广东汇天航空航天科技有限公司 一种多mcu单元的通信控制系统及通信控制方法
CN115412394B (zh) * 2022-08-22 2023-08-18 奥特酷智能科技(南京)有限公司 基于AutoSar的异构域控制器核间通信方法

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040026158A1 (en) * 2000-03-27 2004-02-12 Peter Rieth Vehicle system and axle guide module for a vehicle steering system
JP4319547B2 (ja) * 2001-12-11 2009-08-26 コンティネンタル・テーベス・アクチエンゲゼルシヤフト・ウント・コンパニー・オッフェネ・ハンデルスゲゼルシヤフト マルチコア型冗長制御コンピュータシステム、自動車における安全上重要な用途のためのコンピュータネットワーク並びにその使用
JP2006513471A (ja) * 2003-01-15 2006-04-20 コンティネンタル・テーベス・アクチエンゲゼルシヤフト・ウント・コンパニー・オッフェネ・ハンデルスゲゼルシヤフト メモリアクセスエラーの検出及び/又は訂正方法、並びにこの方法を実行するための電子回路構成
CN101243402B (zh) * 2005-08-11 2011-08-31 大陆-特韦斯贸易合伙股份公司及两合公司 用于控制或调节至少部分安全关键处理的微处理器系统
US8014793B2 (en) * 2007-02-08 2011-09-06 Hewlett-Packard Development Company, L.P. Use of previously-calculated position fix for location based query
JP4458119B2 (ja) * 2007-06-11 2010-04-28 トヨタ自動車株式会社 マルチプロセッサシステム及びその制御方法
US9383213B2 (en) * 2007-08-25 2016-07-05 Continental Teves Ag & Co. Ohg Update of digital maps and position-finding
EP2242993B1 (de) * 2008-02-15 2013-10-23 Continental Teves AG & Co. oHG Fahrzeugsystem zur navigation und/oder fahrerassistenz
JP5722426B2 (ja) * 2010-03-23 2015-05-20 コンチネンタル・テベス・アーゲー・ウント・コンパニー・オーハーゲー 制御用コンピュータシステム、制御用コンピュータシステムを制御する方法、および制御用コンピュータシステムの使用
DE102011007467A1 (de) 2010-04-28 2011-11-03 Continental Teves Ag & Co. Ohg Mehrkernige integrierte Mikroprozessorschaltung mit Prüfeinrichtung, Prüfverfahren und Verwendung
CN102622470A (zh) 2012-02-21 2012-08-01 重庆邮电大学 一种通用汽车代码转换方法

Also Published As

Publication number Publication date
WO2014060470A1 (de) 2014-04-24
DE112013005824A5 (de) 2015-09-24
CN104718532A (zh) 2015-06-17
US20160046265A1 (en) 2016-02-18
EP2909721A1 (de) 2015-08-26
US10214189B2 (en) 2019-02-26

Similar Documents

Publication Publication Date Title
US10214189B2 (en) Interface for interchanging data between redundant programs for controlling a motor vehicle
Reinhardt et al. Domain controlled architecture
EP2123517B1 (en) Vehicle control system
US8397043B2 (en) Memory mapping system, request controller, multi-processing arrangement, central interrupt request controller, apparatus, method for controlling memory access and computer program product
US9836318B2 (en) Safety hypervisor function
CN110447015B (zh) 用于冗余执行运行功能的车载控制装置及相应的机动车
KR20170109169A (ko) Autosar를 적용한 샤시/안전 통합제어 시스템의 응용 소프트웨어 설계 및 멀티코어 기반 각 러너블의 할당 방법
WO2015045507A1 (ja) 車両用制御装置
KR20160076270A (ko) 차량용 멀티 코어 시스템
Vu et al. Enabling partial reconfiguration for coprocessors in mixed criticality multicore systems using PCI Express Single-Root I/O Virtualization
KR101991596B1 (ko) 안전-필수 자동차 시스템을 위한 마이크로컨트롤러 시스템 및 방법 및 그의 이용
CN110291504B (zh) 用于机动车的控制器和相应的机动车
JP4594737B2 (ja) 組込み型処理システム
CN115509726B (zh) 一种传感器数据访问系统
KR101995515B1 (ko) 제어 인가를 컴퓨터에 할당하기 위한 방법 및 시스템
US20090187605A1 (en) Vehicle Control Apparatus
EP3153970A1 (en) A vehicle safety electronic control system
KR20160087274A (ko) 오토사 기반의 전자제어유닛 멀티코어 아키텍처 및 이를 포함하는 차량
Zeller et al. Co-simulation of self-adaptive automotive embedded systems
CN202748784U (zh) 一种3取2或2取2控制系统中的16位多总线电路
CN107291642B (zh) 微控制器、控制设备和机动车辆
US20110055446A1 (en) Semiconductor integrated circuit device
CN114244878B (zh) 一种异构多核环境下的设备分布式访问系统及方法
Sivaram et al. AUTOSAR: In-vehicle Standardization with Certainty of Operations towards Globalization
WO2023210128A1 (ja) 電子制御装置

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid