CN101243401A - 用于控制或调节至少部分安全关键处理的微处理器系统 - Google Patents
用于控制或调节至少部分安全关键处理的微处理器系统 Download PDFInfo
- Publication number
- CN101243401A CN101243401A CNA2006800294808A CN200680029480A CN101243401A CN 101243401 A CN101243401 A CN 101243401A CN A2006800294808 A CNA2006800294808 A CN A2006800294808A CN 200680029480 A CN200680029480 A CN 200680029480A CN 101243401 A CN101243401 A CN 101243401A
- Authority
- CN
- China
- Prior art keywords
- data
- bus
- test data
- microprocessor system
- storer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 11
- 230000001105 regulatory effect Effects 0.000 title claims abstract 3
- 230000001276 controlling effect Effects 0.000 title abstract 2
- 238000012360 testing method Methods 0.000 claims abstract description 70
- 238000003860 storage Methods 0.000 claims abstract description 7
- 230000000052 comparative effect Effects 0.000 claims abstract 3
- 230000005055 memory storage Effects 0.000 claims description 23
- 238000012545 processing Methods 0.000 claims description 9
- 238000013500 data storage Methods 0.000 claims description 6
- 238000004806 packaging method and process Methods 0.000 claims description 2
- 238000004519 manufacturing process Methods 0.000 description 4
- 238000011084 recovery Methods 0.000 description 4
- 238000012795 verification Methods 0.000 description 3
- 230000033228 biological regulation Effects 0.000 description 2
- 238000012937 correction Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000009977 dual effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000001915 proofreading effect Effects 0.000 description 1
Images
Landscapes
- Detection And Correction Of Errors (AREA)
- Techniques For Improving Reliability Of Storages (AREA)
Abstract
用于控制或调节至少部分安全关键处理的微处理器系统。一种用于控制或调节至少部分安全关键处理的微处理器系统(50),其包含:集成在芯片封装内的两个中央处理单元(1,2);第一与第二总线系统;第一总线系统上的至少一个全存储器(7);第二总线系统上的至少一个测试数据存储装置(51),其具有与第一总线系统上的全存储器相比减小的存储范围,且其中存储联系到第一总线系统上的存储器(7)中的数据的测试数据,总线系统包含比较和/或驱动器部件,该部件允许两个总线系统之间的数据交换和/或数据比较,且硬件测试数据产生器(4)至少被布置在第二总线系统上,在这种情况下,第一总线上的全存储器的至少一部分附加地使用第一总线上的测试数据以及另一测试数据存储装置(5)进行备份。本发明还涉及上述微处理器系统在机动车控制器中的应用。
Description
技术领域
本发明涉及根据权利要求1的微处理器系统及其在机动车控制器中的应用。
背景技术
DE 195 29 434 A1(P 7959)公开了一种根据权利要求1的前序部分的、用于安全关键(safety-critical)应用的微处理器系统。出于冗余性的原因,这种微处理器系统包含两个同类的微处理器核(核冗余),它们以时钟同步和并行的方式执行同样的程序。类似地一式二份提供与这种微处理器系统相关联的总线系统,但出于成本原因,存储器不具有完全对称的设计。已经发现,如果两个总线系统中的一个仅在具有相对较低存储容量的测试数据存储装置内存储测试数据,可实现高的错误识别率。所述测试数据明确地与全存储器(full memory)中的全数据(full data)相关联。故而,两个核各自以冗余形式使所有数据可用,使用硬件产生器,将全数据连续地与测试数据进行比较。硬件产生器可产生测试数据,或者可使用全数据对用于比较的测试数据进行补充(数据错误校正)。
发明内容
本发明的目的在于指出一种替代性的双核微处理器系统,其类似地包含全存储器与测试数据存储装置(其具有相对较小的大小,用于存储与存储在全存储器中的原始数据相关联的冗余信息),且该微处理系统与对应的双核微处理器系统相比具有增大的错误识别率。
本发明借助根据权利要求1的微处理器系统实现了此目的。
基于本发明的微处理器系统包含集成在芯片封装中的两个中央处理单元。
每个处理单元具有相关联的专用总线系统(第一与第二总线),这意味着此总线系统也具有冗余设计。
至少一个全存储器被布置在第一总线上。至少一个测试数据存储装置被设置在第二总线上,其具有与第一总线系统中的全存储器相比减小的存储容量。
第二总线中的测试数据存储装置用于存储被联系到全存储器中的数据的测试数据。对测试数据进行存储用于识别典型数据存储装置错误,该错误可在读取或写入操作过程中在很少的情况下发生。这样的错误也可通过一式二份地提供的全存储器以及以相同形式两次存储的数据识别出。然而,这是成本巨大的,因为存储器构成芯片制造成本的相当大的部分。已经发现,沿着基于本发明的微处理器系统的思路,还可以使用具有减小的存储器空间需求的冗余存储器——即测试数据存储装置——实现充分的错误识别。为此,举例而言,全存储器中的数据字(数据项)具有在测试数据存储装置中为之存储的测试信息项或测试值(例如奇偶信息、汉明码等等)。在最简单的情况下,这可以为具有1位的长度的奇偶位。更为复杂的编码方法——例如汉明码——也可使得错误校正成为可能,并识别多种错误。奇偶信息项可在逐字的基础上形成,和/或由全存储器中的多个数据字组合形成(块状测试数据编码)。
优选为,仅部分全存储器由测试数据存储装置进行备份。在这种情况下,因此在全存储器中存在未被防备错误地进行备份的存储器区域。这些存储器区域可装有并非安全关键的、重要性较低的程序功能。然而,也可以由第二总线上的测试数据存储装置对整个全存储器进行备份。
另外,总线系统包含比较和/或驱动器部件,其允许两总线系统之间的数据交换和/或数据比较。
至少第二总线系统具有布置在其上的、固有的已知硬件测试数据产生器,其通过例如逻辑门制造。识别存储器错误所需要的测试信息因此不由中央处理单元(CPU)而是由硬件测试数据产生器(其在物理上与CPU分立地布置)来产生。硬件测试数据产生器优选为基本为硬件实现的半导体结构,其将规定的逻辑用作独立而不依赖中央处理单元协助地执行用于数据处理和/或信号处理的特定工步的基础。尽管硬件产生器所执行的操作在原理上也可由中央处理单元执行,除了可能增大的错误率以外,这通常是与更高的时钟周期消耗相关联的,其大大增加了延迟时间。
全存储器优选为读/写存储器。然而,在本发明的原理的基础上,可对只读存储器(例如ROM、Otp ROM、EPROM、EEPROM或闪速ROM)进行备份。
尽管使用由DE 195 29 434 A1可知的测试数据存储装置的备份方法满足对于现在的应用所需的可用性需求,除了所提到的存储器错误以外,还存在已知的体系结构不能防御的、附加类型的错误。举例而言,不能识别地址总线上的错误和地址解码器中的错误。尽管用于产生测试信息的块状测试数据编码可允许这些附加类型的错误被识别出,这种方法被限制于只读存储器的应用。因此,沿着本发明的思路,使用同样地布置在第一总线上的附加测试数据存储装置以及适当的测试数据对至少部分第一总线上的全存储器进行备份。这实现了对前面提到的附加类型的错误的识别。
优选为,基于本发明的微处理器系统具有用于在其中实现地址错误识别的装置。这被特别设计为提供这样的手段:其在测试数据计算中包含被备份的数据的地址。特别优选为,写入特别涉及不仅使用数据位而且使用被备份数据以及相关联的地址计算得到的测试数据(其为例如校验位)。通过这种方式,当数据被读取时,寻址(addressing)错误可被识别出。地址错误识别优选为在两个总线系统中的每一个上提供。
一种用于地址错误识别的替代性优选手段包含这样的装置:其附加地在微处理器系统中实现,且其执行用于在后台进行地址错误识别的一个或一个以上的测试。这种类型的错误识别便利地不再是在读/写访问操作过程中并行执行。相反,这种错误识别措施特别地仅在优选为不存在进一步基本CPU活动的周期性单独校验的背景下采取。这里介绍的这种替代性地址错误识别可采用软件或硬件措施的形式。这里介绍的手段可采用内嵌自测试类型的形式,特别是在CPU内或硬件状态机内。
沿着自测试的思路,存储器优选为具有写入其上并接着从其上读取的、预定义的模式(pattern)。该模式可特别优选为采用这样的形式:使得可能的解码错误或致动错误有意地导致数据的污染(corruption)。在读取过程中,这种有意导致的错误于是被识别出。
作为对前面提到的两种错误识别装置的补充或替代的是,优选为实现寻址错误识别手段,其中,存储器单元使得存储器单元的地址被写入其中并接着被检查。
先前介绍的方法的例子被称为“地址到数据”测试。这种测试涉及使得存储器位置的地址的数字值被写入其中的每个存储器位置:
地址 数据项
0x00 0x00
0x01 0x01
0xff 0xff
在错误出现时,于是,一数字不被读回,作为替代的是,另一个被加倍。
本发明的思路所用的测试数据存储装置在原理上为传统的读写存储器,但其具有与全存储器相比减小的存储容量。
微处理器系统被集成在共用芯片封装上,并优选为以时钟同步方式运行。优选为,两个系统被布置在共用半导体材料上。
微处理器系统包含两个总线系统,其优选为各自包含数据总线、地址总线与控制总线。
除了读/写存储器以外,自然还有至少一个只读存储器,其用于运行微处理器系统。术语“只读存储器”以本发明的思路被理解为至少对于某个时间是非易失性的存储器,例如特别是ROM、闪速ROM或OTP ROM类型。沿着核冗余原理的思路,于是,不是绝对有必要使两个总线系统均在其上具有全部或相同内容只读存储器。如果冗余概念也被传递到只读存储器(其是优选的),则为适当的测试信息进行准备,以便保证只读存储器中的数据被备份。这能特别通过第二总线上较小的只读存储器实现,该存储器包含适当的测试信息而不是数据。
优选为,基于本发明的微处理器系统用于在物理存储器中或至少与全读/写存储器直接邻近地存储附加地在第一总线上的测试数据。直接邻近意味着相关的芯片结构彼此毗连,其意味着可以观察到对于数据的必需短延迟时间。
优选为,微处理器系统被设计为使得读取周期涉及全存储器中这样的数据:由位于数据存储器区域内或接近数据存储器区域的一个或一个以上的硬件测试单元将该数据与关联到这些数据的测试数据进行比较。硬件校正单元在错误的情况下使用测试数据对数据进行校正。举例而言,这种校正允许简单的错误——例如不正确的位——被直接校正,使得微处理器系统不需要被关断。取决于测试字的复杂性,因此可以拦截更为复杂的错误。如果校正不成功,也就是说,如果数据中的错误复杂到使具有测试信息的逻辑组合使得校正后的数据仍是错误的,则这些数据由优选的当前进一步比较单元认出(spot),该单元比较在并行的总线系统上排队的数据。因此,在适当的错误线(其特别地关闭微处理器系统或将之与电子电路的其余部分解耦合)上方便地输出错误信号。例如,在电子制动系统中,这有效地防止阀驱动器被错误地致动。
与已知的错误校正/错误识别微处理器(其使用核冗余原理并仅仅包含在一个存储器单元中识别/校正错误的机制)形成对比的是,本发明现在允许整个存储器被备份。这使得所用的冗余概念由只读存储器扩展到数据存储装置。这允许制造成本的进一步降低,同时,保持已有的安全性要求。
附图说明
进一步的优选实施例可在从属权利要求以及下面参照附图对示例性实施例的介绍中找到。
在附图中:
图1示出了具有附加测试存储器和数据存储装置的双核集成微控制器。
具体实施方式
图1中的微控制器包含两个中央处理单元(CPU)1、2,其以时钟同步的形式运行。两个微计算机执行同样的程序。每个单元具有各自单独的相关联地址与数据总线。CPU 1具有连接到其上的全数据存储装置7,使用第二总线上的测试数据存储装置51部分地对之进行备份。另外,微处理器系统包含比较器3,其采用硬件单元的形式,并用于连续地将两个总线系统上的排队地址和数据彼此进行比较。如果不匹配,产生错误信号。出于简化图示的目的,附图没有更加详细地示出微处理器系统中通常存在的部件,例如输入/输出单元、只读存储器等等。这些没有示出的部件本质上基于WO99/35543中介绍的冗余核微控制器。
第二总线上的测试数据存储装置51具有与存储器7相比减小了参数8的存储容量。存储装置51用于存储测试数据,该数据由硬件产生器6在由CPU 1在存储器7对于数据的每个写入操作过程中实际上同时地产生。在没有程序相关手段的情况下产生测试数据允许写入操作在原则上没有增大的时钟周期消耗的情况下进行。另外,已经为存储装置51产生的测试数据在另一存储器地址5中在存储器7的物理存储器模块内第二次存储。用于错误校正和用于错误识别的代码在这种情况下可以是相同或不同的,故测试数据彼此相同或不同。
读取涉及由CPU 1使用地址解码器8寻址的存储器7。在读取操作期间,硬件单元6是有效的。硬件单元6用于沿着测试数据产生方法(例如汉明码)的思路对数据进行校验,并可立即对之进行校正。块3所包含的总线驱动器用于同时提供对于CPU 1与CPU 2的排队数据。在CPU 1的读取操作过程中,与CPU 2的数据读取并行地借助地址解码器9对存储装置51进行寻址。存储装置51类似地容纳用于错误识别的测试数据,该数据特别地为存储器7中的数据的测试和。如果数据与测试数据不匹配,也识别出错误。尽管错误识别也在第二总线上发生,其涉及可能在第一总线的区域内校正的数据。这种校验在硬件比较器4中进行,其可类似地产生错误信号。测试数据存储装置5被布置为在物理上与数据存储装置7邻近,使得数据可在短时间内被校正,且因此这种校正仍可能在规定定时内。
Claims (9)
1.一种用于控制或调节至少部分安全关键处理的微处理器系统(50),其包含:集成在芯片封装内的两个中央处理单元(1,2);第一与第二总线系统;第一总线系统上的至少一个全存储器(7);第二总线系统上的至少一个测试数据存储装置(51),其具有与第一总线系统上的全存储器相比减小的存储范围,且其中存储联系到第一总线系统上的存储器(7)中的数据的测试数据,总线系统包含比较和/或驱动器部件,该部件允许两个总线系统之间的数据交换和/或数据比较,且硬件测试数据产生器(4)至少被布置在第二总线系统上,
该微处理器系统的特征在于,第一总线上的全存储器的至少一部分附加地借助第一总线上的测试数据以及另一测试数据存储装置(5)进行备份。
2.根据权利要求1的微处理器系统,其特征在于第一总线上的附加测试数据产生器(6)用于对第一总线上的附加测试数据进行备份。
3.根据权利要求2的微处理器系统,其特征在于第一总线上的测试数据存储装置和全存储器以及第二总线上的测试数据存储装置各自具有专用地址解码器(8,9)。
4.根据权利要求1-3中至少一项的微处理器系统,其特征在于第一总线上排队的测试数据被存储在物理存储器中或至少直接邻近具有高值的全存储器。
5.根据权利要求1-4中至少一项的微处理器系统,其特征在于一个或一个以上的比较结构在硬件(3)中实现,并在每个读取和/或写入操作过程中,将地址总线上的排队地址和/或数据总线上排队的数据彼此进行比较,并在地址和/或数据不同的条件下产生错误信号。
6.根据权利要求1-5中至少一项的微处理器系统,其特征在于:在使用直接在此总线上与全存储器相关联的测试数据存储区域以及被校正的数据对错误进行测试或在错误时产生错误信号的、比较结构(3)中的比较之前,读取周期首先包含全存储器中的数据。
7.根据权利要求1-6中至少一项的微处理器系统,其特征在于读取周期包含全存储器中这样的数据:由位于数据存储器区域中或邻近数据存储器区域的硬件测试单元(6)将该数据与关联到这些数据的测试数据相比较,且硬件校正单元(6)在出现错误时使用测试数据对该数据进行校正。
8.根据权利要求1-7中至少一项的微处理器系统,其特征在于第一总线系统上布置硬件测试数据产生器(6),其由测试数据存储装置(5)产生测试数据。
9.根据上述权利要求的微处理器系统在机动车控制器中的应用,特别是在机动车制动控制器、用于底盘调节的控制器、用于安全系统的控制器或适当组合的控制器中的应用。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102005038306 | 2005-08-11 | ||
| DE102005038306.8 | 2005-08-11 | ||
| DE102006036384.1 | 2006-08-02 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101243401A true CN101243401A (zh) | 2008-08-13 |
Family
ID=39933923
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006800294899A Active CN101243402B (zh) | 2005-08-11 | 2006-08-02 | 用于控制或调节至少部分安全关键处理的微处理器系统 |
| CNA2006800294808A Pending CN101243401A (zh) | 2005-08-11 | 2006-08-02 | 用于控制或调节至少部分安全关键处理的微处理器系统 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006800294899A Active CN101243402B (zh) | 2005-08-11 | 2006-08-02 | 用于控制或调节至少部分安全关键处理的微处理器系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (2) | CN101243402B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103262045A (zh) * | 2010-11-19 | 2013-08-21 | 大陆-特韦斯贸易合伙股份公司及两合公司 | 具有容错架构的微处理器系统 |
| CN103294022A (zh) * | 2012-03-01 | 2013-09-11 | 德州仪器公司 | 用于控制工业工艺的的多芯片模块和方法 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014060470A1 (de) * | 2012-10-16 | 2014-04-24 | Continental Teves Ag & Co. Ohg | Schnittstelle zum datenaustausch zwischen redundant ausgeführten programmen zur kraftfahrzeugsteuerung |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE4341082A1 (de) * | 1993-12-02 | 1995-06-08 | Teves Gmbh Alfred | Schaltungsanordnung für sicherheitskritische Regelungssysteme |
| KR0149891B1 (ko) * | 1994-12-22 | 1999-05-15 | 윤종용 | 버스상태분석기 및 그 내부버스시험방법 |
| US5915082A (en) * | 1996-06-07 | 1999-06-22 | Lockheed Martin Corporation | Error detection and fault isolation for lockstep processor systems |
| US6324666B1 (en) * | 1998-04-20 | 2001-11-27 | Mitsubishi Denki Kabushiki Kaisha | Memory test device and method capable of achieving fast memory test without increasing chip pin number |
-
2006
- 2006-08-02 CN CN2006800294899A patent/CN101243402B/zh active Active
- 2006-08-02 CN CNA2006800294808A patent/CN101243401A/zh active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103262045A (zh) * | 2010-11-19 | 2013-08-21 | 大陆-特韦斯贸易合伙股份公司及两合公司 | 具有容错架构的微处理器系统 |
| CN103262045B (zh) * | 2010-11-19 | 2015-06-17 | 大陆-特韦斯贸易合伙股份公司及两合公司 | 具有容错架构的微处理器系统 |
| CN103294022A (zh) * | 2012-03-01 | 2013-09-11 | 德州仪器公司 | 用于控制工业工艺的的多芯片模块和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101243402A (zh) | 2008-08-13 |
| CN101243402B (zh) | 2011-08-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8694857B2 (en) | Systems and methods for error detection and correction in a memory module which includes a memory buffer | |
| EP2530594B1 (en) | System and method of tracking error data within a storage device | |
| US8140216B2 (en) | Method of detecting manipulation of a programmable memory device of a digital controller | |
| EP2095234B1 (en) | Memory system with ecc-unit and further processing arrangement | |
| CN102132354B (zh) | 闪存中的数据的快速低功率读取 | |
| CN108062259B (zh) | Mcu内部数据存储ecc处理系统及其处理方法 | |
| CN105340022A (zh) | 用于校正数据错误的电路、设备及方法 | |
| JP4227149B2 (ja) | 電子制御装置の情報記憶方法 | |
| US8219860B2 (en) | Microprocessor system for controlling at least partly safety-critical processes | |
| WO2017131700A1 (en) | Row repair of corrected memory address | |
| US10108469B2 (en) | Microcomputer and microcomputer system | |
| US20090327838A1 (en) | Memory system and operating method for it | |
| CN115050410A (zh) | 可擦除非易失性存储器的控制装置、系统以及控制芯片 | |
| CN101243402B (zh) | 用于控制或调节至少部分安全关键处理的微处理器系统 | |
| CN109949854B (zh) | 存储系统及其操作方法 | |
| US9529681B2 (en) | Microprocessor system for controlling or regulating at least partly safety-critical processes | |
| CN103890739A (zh) | 电子控制装置 | |
| US8078937B2 (en) | Memory-module controller, memory controller and corresponding memory arrangement, and also method for error correction | |
| WO2013070381A1 (en) | Method of storing host data and meta data in nand memory, memory controller and memory system | |
| EP2188812B1 (en) | Circuit arrangement and method for data processing | |
| JP4950214B2 (ja) | データ記憶装置における停電を検出する方法、およびデータ記憶装置を復旧する方法 | |
| US8352817B2 (en) | Method for testing a memory device, as well as a control device having means for testing a memory | |
| US9003265B2 (en) | Method for processing a non-volatile memory, in particular a memory of the EEPROM type, for the storage then the extraction of information, and corresponding memory device | |
| JP2023104466A (ja) | 車載電子制御装置、及びメモリ制御方法 | |
| CN117369733A (zh) | 集成电路、数据处理系统和车辆 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20080813 |
|
| C20 | Patent right or utility model deemed to be abandoned or is abandoned |