CN104281217A - 微型计算机 - Google Patents
微型计算机 Download PDFInfo
- Publication number
- CN104281217A CN104281217A CN201410330526.6A CN201410330526A CN104281217A CN 104281217 A CN104281217 A CN 104281217A CN 201410330526 A CN201410330526 A CN 201410330526A CN 104281217 A CN104281217 A CN 104281217A
- Authority
- CN
- China
- Prior art keywords
- interrupt request
- interrupt
- controller
- test
- interruptable controller
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/14—Handling requests for interconnection or transfer
- G06F13/20—Handling requests for interconnection or transfer for access to input/output bus
- G06F13/24—Handling requests for interconnection or transfer for access to input/output bus using interrupt
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/22—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
- G06F11/2205—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested
- G06F11/2231—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested to test interrupt circuits
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/22—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
- G06F11/2273—Test methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2211/00—Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
- G06F2211/002—Bus
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Hardware Redundancy (AREA)
- Debugging And Monitoring (AREA)
- Test And Diagnosis Of Digital Computers (AREA)
- Microcomputers (AREA)
- Power Sources (AREA)
Abstract
本发明涉及微型计算机。本发明公开了一种对于中断控制系统的异常进行检测的技术,尤其涉及一种无需将所有电路进行二元化、无需花费时间制作内建自测试的测试模式,且不会大幅增加功耗的情况下便可检测出中断控制系统的异常的技术。在从中断控制器到中央处理器的中断信号系统中使用定时器等定期产生测试中断请求,并通过中断处理例程对中断控制器内的中断请求标记的状态进行确认,如果检测到同一中断请求标记连续2次或2次以上处于设置状态时,便可认定该中断信号系统存在故障的可能性很高,所以可判断其存在异常。
Description
技术领域
本发明涉及一种故障检测技术,尤其涉及一种根据中断请求向中央处理器发送中断指示的中断信号系统故障的检测技术,如为适用于搭载了故障-安全功能的车载控制用的微型计算机中安全相关的中断信号系统的故障检测的有效的技术。
背景技术
对于搭载了故障-安全功能的车载控制用的微型计算机,在用于和人命息息相关的电子控制装置方面,硬件和软件都必须遵守的准则例如有功能安全基准的ISO26262及IEC61508等。锁步结构作为实现故障-安全功能的手段而被广泛使用。例如,将中央处理器的内核设为双核,且分别在不同的内核上并列执行同一软件,便可通过判断动作结果是否一致来尽快检测出系统是否存在故障。但是上述锁步结构大幅增大了硬件规模。专利文献1中记载了车载微型计算机中的锁步动作。
在车载微型计算机中,与功能安全相关的中断请求数量非常多。对于上述中断请求,对优先级和中断屏蔽进行相应的处理,使中央处理器检测出可进行中断控制的中断控制器及中断信号系统的故障,这对在提高车载微型计算机的故障-安全功能方面是很必要的。如在专利文献2至4中记载了对于中断控制功能相关的故障和误动作进行检测的技术。
专利文献2中公开了如下技术,即:使用看门狗定时器的监视功能,便可在生成与中断控制器的中断请求输入引脚连接的实时处理请求时检测相关的故障和误动作的技术。
专利文献3中公开了如下技术,即:接收中断请求信号的中断控制器在向CPU输出中断信号后,在CPU返送回响应信号之前,可消除中断请求信号无效时的问题。也就是说,中断控制器通过监视该状态并向CPU发出通知,使CPU在任何时候都能够消除无法读取向量地址的状态。
专利文献4中公开了如下技术,即:使用测试仪对中断控制器进行测试时,由于与CPU的运行相关,所以制作测试模式并非易事,而且由于测试需要时间,所以可将中断控制器的内部数据和向量直接输出到LSI的外部,也可以通过内部总线将必要的数据提供给中断控制器的技术。
专利文献1 日本特开2010-262432号公报
专利文献2 日本特开1997-198280号公报
专利文献3 日本特开2000-347880号公报
专利文献4 日本特开3-109644号公报
发明内容
为了提高微型计算机的故障-安全功能,尤其为了提高涉及多种中断的功能安全的中断处理的可靠性,本案发明人就如何才能更容易检测出中断控制器及中断信号系统的故障进行了探讨。中断控制器也可采用锁步结构,例如,在车载控制用的微型计算机中,如果功能安全相关的中断数量非常多时,采用二元化将会导致电路规模过大、芯片大型化及成本增加等。并且,如果采用如下的器件结构,即启动时可进行逻辑和内存的内建自测试(BIST:Built-In Self-Test)作为硬件测试的器件结构,虽然中断信号系统的故障可通过内建自测试执行,但是为了提高执行测试时的覆盖范围而制作的测试模式并非易事,而且,还需采取新的对策来防止由于测试规模变大而导致功耗变大的问题。在专利文献4所公开的技术中,因追加硬件而导致电路规模增大这方面也不容忽视。尤其是如车载控制用的微型计算机中与功能安全相关的中断数量非常多而导致中断控制功能的规模大时尤其不能忽视。而且,根据专利文献2、3所公开的技术,也不可能很容易地检测出中断控制器自身的故障及误动作。
本发明的所述内容及所述内容以外的目的和新特征将在本说明书的描述及附图说明中写明。
本发明中公开的最具代表性的实施方式概要简单介绍如下。
即,对于从中断控制器到中央处理器的中断信号系统,使用定时器等定期产生测试中断请求,并在所述中断处理例程内对中断控制器内的中断请求标记的状态进行确认,通过功能安全相关检测到同一中断请求标记连续2次或2次以上处于设置状态时,就可认为该中断信号系统发生故障的可能性很高,并将之判断为测试故障,即存在异常。
根据本发明中公开的最具代表性的实施方式得出的效果简单介绍如下。
即,无需全面实施电路的二元化,也无需花费时间制作内建自测试的测试模式,便可在无需大幅增加功耗的情况下检测出中断控制系统的异常。
附图说明
图1所示的是第1实施方式中微型计算机的中断控制系统中故障检测的详细示例的框图。
图2所示的是微型计算机的结构例的框图。
图3所示的是对测试中断请求信号OSTM进行响应的中央处理器的操作流程例的流程图。
图4所示的是对测试中断请求信号进行响应的测试中断处理的动作时序例的时序流程图。
图5所示的是第2实施方式中作为微型计算机的中断控制系统的主要结构例的框图。
图6所示的是着眼于二元化的测试中断请求信号OSTMa,OSTMb时的从设备中断控制器及主设备中断控制器的具体例的框图。
图7所示的是第3实施方式中微型计算机的中断控制系统的主要结构例的框图。
图8所示的是第4实施方式中微型计算机的中断控制系统的主要结构例的框图。
图9所示的是第5实施方式中微型计算机的中断控制系统的主要结构例的框图。
图10所示的是第6实施方式中微型计算机的中断控制系统的主要结构例及1个从设备中断控制器的示例的框图。
图11所示的是第6实施方式中微型计算机的中断控制系统的主要结构例及2个从设备中断控制器的示例的框图。
符号说明
1 微型计算机
2 处理单元(PE0)
3 处理单元(PE1)
4、4A、4B 主设备中断控制器(INTC1)
5 中央处理器(CPU)
6 比较部(COMP)
7 错误控制电路(ERRCNT)
15 定时器电路(TMR)
18 从设备中断控制器(INTC2)
21、21A 第1从设备中断控制器(INTC2_0)
22 第2从设备中断控制器(INTC2_1)
IFLG 中断请求标记
IntS1、IntS2、IntReq 中断信号
31、32、33、33B 中断请求标记电路
41、42、43、43B 标记控制逻辑电路(FLGC)
51、52、53、51A、53A 优先级及屏蔽控制逻辑电路(PMLGC)
CSCD 级联码
INT[127:32] 中断请求信号
OSTM 测试中断请求
NSRS 非安全相关的中断请求信号
SRS 安全相关的中断请求信号
INT[255:128] 中断请求信号
INT_PE[31:0] 中断请求信号
OSTMa、OSTMb 二元化的测试中断请求
15a、15b 定时器通道
60 异或门
61 优先级及屏蔽控制逻辑电路(PMLGC)
62 逻辑与门
70、71 优先级及屏蔽控制逻辑电路(PMLGC)
80 选择器
SEL 选择信号
具体实施方式
1.实施方式概要
下面首先,对本发明中公开的实施方式概要进行说明。在实施方式的概要说明中,括号内的参照图中的参照符号仅为示出了构成要素的概念而已。
〔1〕<判断定期参照的中断请求标记是否连续多次处于设置状态>
微型计算机(1)具有中央处理器(5)和中断控制器(4,18,21,22,21A)。其中,所述中央处理器定期对以规定的间隔产生的规定的测试中断请求(OSTM)进行响应,并参照所述中断控制器所保持有的中断请求标记(IFLG),通过参照多次所述测试中断请求并判断同一中断请求标记连续多次处于设置状态时,判断为存在异常。
由此,在参照每一次定期产生的测试中断请求时的中断控制器内的中断请求标记后,如果检测到同一中断请求标记连续两次以上处于设置状态,而该设置状态的中断请求标记产生的中断依然没得到处理时,这种状态持续的时间越长,说明中断信号系统发生故障的可能性越高。通过将此状态认定为异常状态,便可提高微型计算机所控制的系统的功能安全性。尤其是由于中断控制器全面实现了二元化而可不完全依赖锁步结构,所以无需大幅增加电路规模。而且,由于无需花费时间制作用于内建自测试的测试模式,所以也不会出现因内建自测试而导致功耗大幅增加的现象。由此,便可在无需增加电路规模、无需花费时间制作测试模式、以及不会出现因进行测试而导致功耗大幅增加的情况下检测出控制系统的异常。
〔2〕<将测试中断请求及作为中断请求标记的参照对象的中断请求输入不同的中断控制器>
在〔1〕中,所述中断控制器具有被供给所述测试中断请求的第1中断控制器(21)、以及第2中断控制器(22),所述第2中断控制器(22)包括通过对所述测试中断请求进行响应的所述中央处理器处理后作为参照对象的中断请求标记(请参照图1)。
由此,中断请求大致可分为对功能安全方面要求很高的功能安全相关的中断请求、以及在功能安全方面要求不高的非功能安全相关的中断请求。此时,通过在测试中断请求的输入侧和作为中断请求标记的参照对象的中断请求的输入侧设置不同的中断控制器,便可将通过测试中断请求进行中断处理时中断处理标记的参照范围限定为与功能安全相关的中断请求侧的第2中断控制器。而且,在判断为存在异常时,还可将对该异常进行处理的范围限定在包括第2中断控制器的信号系统上。
〔3〕<将测试中断请求产生电路进行二元化>
在〔2〕中,将产生所述测试中断请求的测试中断请求产生电路(15a,15b)进行二元化(请参照图5)。所述第1中断控制器(21A)还具有判断电路,所述判断电路对于从二元化后的测试中断请求产生电路并联输入的测试中断请求及其他中断请求分别进行接收控制,并判断所进行的各接收控制结果是否匹配。
由此,便可检测从二元化后的测试中断请求产生电路输出的信号是否匹配,所以可保证通过测试中断请求进行处理的结果的合理性。因此,便可避免出现因测试中断处理系统的故障而导致中央处理器根据测试中断请求进行处理的现象,从系统功能安全方面来考虑,可进一步提高系统的安全性。
〔4〕<将输入第2中断控制器的中断请求选择性地输入到第1中断控制器>
在〔2〕中,还具有选择器(80)(请参照图7),所述选择器(80)选择输入第2中断控制器的中断请求并将之输入到第1中断控制器。所述中央处理器参照所述中断控制器的中断请求标记后判断为存在异常时,即通过参照多次所述测试中断请求后判断为同一中断请求标记连续多次处于设置状态时,通过所述选择器选择与所述连续多次处于设置状态的同一中断请求标记对应的中断请求并将之输入到第1中断控制器。
由此,即使在判断为存在异常时,将与已判断为连续多次处于设置状态的中断请求标记对应的中断请求输入第1中断控制器,由此便可继续通过该中断请求继续进行原来的处理。简言之便是,可将之作为在系统出现问题时的应急措施继续进行处理。
〔5〕<中断控制器的级联连接>
在〔1〕中,所述中断控制器具有级联连接的主设备中断控制器(4)、以及从设备中断控制器(18)。主设备中断控制器可输入多个中断请求,并可根据所输入的中断请求的接收控制结果向中央处理器输出中断信号。从设备中断控制器可输入多个中断请求,并可根据所输入的中断请求的接收控制结果向所述主设备中断控制器输出中断请求信号。
由此,对于1个中断控制器无法完全处理的多个中断请求信号,可通过中断控制器的级联连接来应对。
〔6〕<关于级联连接的中断请求,从设备中断控制器和主设备中断控制器分别保持有中断请求标记并将之作为参照对象>
在〔5〕中,所述中央处理器定期对以规定间隔产生的规定的测试中断请求进行响应,并参照图8所示的如下中断请求标记,即:所述从设备中断控制器(22)所保持有的从设备侧中断请求标记(对应SRS的IFLG);以及与从所述从设备中断控制器向所述主设备中断控制器(4)供给的中断请求信号对应并置位的、所述主设备中断控制器所保持有的主设备侧中断请求标记(对应IntS2的IFLG)。中央处理器通过参照多次所述测试中断请求,在判断为同一从设备侧的中断请求标记连续多次处于设置状态、以及与其对应的主设备侧中断请求标记是否连续多次处于设置状态来判断其是否存在异常。
由此,通过参照级联连接的从设备侧和主设备侧的中断请求标记的状态,便可判断故障位置是在主设备中断控制器的中断请求标记的之前还是之后。
〔7〕<从从设备中断控制器到主设备中断控制器路径中的故障>
在〔6〕中,所述中央处理器通过参照多次所述的测试中断请求来判断同一从设备侧中断请求标记连续多次处于设置状态,且与之相对应的主设备侧中断请求标记连续多次处于设置状态,以此来判断经由从设备中断控制器及主设备中断控制器至中央处理器的输入路径中存在异常。另外,通过参照多次所述测试中断请求判断为同一从设备侧中断请求标记连续多次处于设置状态、且与之对应的主设备侧中断请求标记不为连续多次处于设置状态时,便可认为从从设备中断控制器至主设备中断控制器的输入路径中存在异常。
由此,便可具体判断故障位置是在主设备中断控制器的中断请求标记之前或之后。
〔8〕<向主设备中断控制器输入规定的测试中断请求>
在〔5〕中,向所述主设备中断控制器输入所述规定的测试中断请求(请参照图10、图11)。
由此,由于接收测试中断请求信号的中断控制器仅为1段,与向级联连接的从设备侧输入测试中断请求信号时相比,可减少因测试中断请求信号进行处理时产生异常的可能性。
〔9〕<将测试中断请求及与作为中断请求标记的参照对象的中断请求输入不同的从设备中断控制器>
在〔5〕中,所述从设备中断控制器具有被供给所述测试中断请求的第1从设备中断控制器(21)、以及第2从设备中断控制器(22)(请参照图1),所述第2从设备中断控制器具有通过对所述测试中断请求进行响应的中央处理器进行处理而成为参照对象的中断请求标记。
由此,即使在级联连接结构时,也可大体分为对于功能安全要求较高的功能安全相关的中断请求、以及对于功能安全要求不高的非功能安全相关的中断请求。此时,通过在测试中断请求的输入侧和在作为中断请求标记的参照对象的输入设置不同的从设备中断控制器,便可将通过测试中断请求进行中断处理时中断请求标记的参照范围限定为功能安全相关的中断请求侧的第2从设备中断控制器。由此,判断为存在异常时,便可将对于该异常的处理范围限定在具有第2从设备中断控制器的信号系统中。
〔10〕<将测试中断请求的产生电路进行二元化>
在〔9〕中,将产生所述测试中断请求的测试中断请求产生电路(15a,15b)进行二元化(请参照图5)。所述第1从设备中断控制器还具有判断电路,所述判断电路对于从二元化的中断请求产生电路并联输入的测试中断请求及其他的中断请求分别进行接收控制,并判断分别执行的接收控制结果是否匹配。所述主设备中断控制器将通过所述第1从设备中断控制器对于分别执行的接收控制结果的逻辑与信号作为一个中断请求信号进行处理。
由此,由于可检测从二元化后的测试中断请求产生电路发出的信号是否匹配,所以可保证通过测试中断请求进行处理的结果的合理性。因此,便可避免出现因测试中断处理系统的故障而无法通过中央处理器根据测试中断请求进行处理的现象,从系统的功能安全方面来考虑,可进一步提高系统的安全性。
〔11〕<将输入第2从设备中断控制器的中断请求选择性地输入到第1从设备中断控制器>
在〔9〕中,还具有选择器(80)(请参照图7),所述选择器(80)选择输入第2从设备中断控制器的中断请求并将之输入到第1从设备中断控制器。所述中央处理器参照所述第2从设备中断控制器的中断请求标记后判断为存在异常时,通过参照多次所述测试中断请求后判断为同一中断请求标记连续多次处于设置状态时,通过所述选择器选择与所述连续多次处于设置状态的同一中断请求并将之输入到第1从设备中断控制器。
由此,即使在判断为存在异常时,将与所述连续多次处于设置状态的中断请求标记对应的中断请求输入第1从设备中断控制器,便可继续通过该中断请求进行原来的处理。简言之便是,可将之作为在系统出现问题时的应急措施继续进行处理。
〔12〕<通过主设备中断控制器及中央处理器的二元化实现的锁步结构>
在〔5〕中,具有锁步结构,所述锁步结构通过所述主设备中断控制器(4)及所述中央处理器(5)的二元化(2,3)实现相互并联的动作,并根据相互动作结果的不同检测到异常。
由此,在器件面积允许时,对一部分采用锁步结构便可进一步提高器件的功能安全性。
〔13〕<将测试中断请求产生电路进行二元化,便可将测试中断请求以及作为中断请求标记的参照对象的中断请求输入到同一中断控制器内>
在〔1〕中,所述中断控制器具有被供给所述测试中断请求及第1中断请求的第1中断控制器(21A)、以及被供给第2中断请求的第2中断控制器(22)。而且,产生所述测试中断请求的测试中断请求产生电路(15a,15b)为二元化电路。所述第1中断控制器还具有判断电路(60),所述判断电路(60)对于从二元化的测试中断请求产生电路并联输入的测试中断请求及所述第1中断请求分别进行接收控制,并判断各接收控制结果是否匹配。所述中央处理器定期对以规定间隔产生的测试中断请求进行响应,并参照所述第1中断控制器及第2中断控制器所保持有的中断请求标记,通过参照多次所述测试中断请求判断为同一中断请求标记连续多次处于设置状态时,判断为存在异常(请参照图9)。
由此,不仅可确实检测出从产生测试中断请求起至其接收控制中出现的异常,还可更容易地保证中央处理器可接收正常产生的测试中断请求。换言之即是,由于能够检测出第1中断控制器产生的中断请求的接收处理和信号路径中的异常,所以对于功能安全相关的中断请求信号并非仅限于供给第2中断控制器,还可供给第1中断控制器,由此便可进一步提高其功能安全性。此时,对测试中断请求进行响应并参照第1中断控制器侧的中断请求标记进行判断,可有助于进一步提高功能安全性。
〔14〕<定时器中断请求>
在〔1〕中,还具有定时器,所述规定的测试中断请求是所述定时器(15)以规定的间隔产生的定时器中断请求。
由此,便可根据中央处理器的控制来任意决定定期产生测试中断请求的产生间隔。
〔15〕<与安全相关的中断请求对应的中断请求标记>
在〔14〕中,作为参照对象的中断请求标记是与考虑了功能安全的安全相关的中断请求对应的中断请求标记。
由此,便可适用于搭载了故障-安全功能且大量使用了安全相关的中断请求的车载控制用的微型计算机。
〔16〕<规定的间隔>
在〔15〕中,所述规定的间隔的时间比通过所述安全相关的中断请求产生的故障-安全处理的FTTI(Fault Tolerant Time Interval)的时间短。
正常状态下,通过安全相关的中断请求进行的处理将比FTTI更短的时间内结束,且其中断请求标记将从设置状态被清除。相反地,如果存在异常,通过安全相关的中断请求进行的处理即使超过了FTTI时间也不会结束,从而导致其中断请求标记一直处于设置状态。因此,如果将测试中断请求的产生间隔设定为比FTTI时间短,在第1次测试中断请求的处理和第2次测试中断请求的处理过程中,如果同一中断请求标记连续2次处于设置状态,便可判断其存在异常。
〔17〕<用户模式下的测试中断请求>
在〔15〕中,在用户模式下通过中央处理器进行控制,便可从所述定时器定期产生所述规定的测试中断请求。
由此,便无需从用户模式转移到特别的测试模式,而且可将测试中断处理作为用户模式下的一个中断处理来执行,而且还能检测出系统或是设备中因时间变化而出现的劣化。
〔18〕<既定处理所设想的故障>
在〔1〕中,由所述中央处理器认定所存在的异常是指从所述中断控制器到所述中央处理器的路径中存在的异常。
由此,根据所设想的异常,便可预先决定存在异常时的异常处理及恢复处理措施。
2.实施方式的详细内容
下面进一步详细说明实施方式的内容。
《微型计算机》
图2示出了微型计算机的结构例。图中所示的微型计算机(MCU)1并无特别限定,如可为在单晶硅晶等一个半导体衬底上通过CMOS集成电路制造技术形成的半导体集成电路。
微型计算机1具有将彼此相同的二元化后的处理单元(PE0)2和处理单元(PE1)3。处理单元(2,3)分别具有主设备中断控制器(INTC1)4和中央处理器(CPU)5。处理单元(2,3)的中央处理器5与相同的时钟信号同步并执行相同的命令。处理单元(2,3)的主设备中断控制器4输入相同的中断请求信号后进行接收处理,并向对应的中央处理器5输出中断信号。根据处理单元(2,3)的并联动作分别生成的信号和其他内部信息,例如通过比较部(COMP)6以中央处理器5的动作周期单位进行比较。比较结果不匹配时将通过错误信号ERR向错误控制电路(ERRCNT)7进行通知。通知的具体内容及对于结果不匹配时的通知的具体处理内容并无特别限定,而是可根据微型计算机1执行的软件、或者适用于微型计算机1的系统内容等来做适当的决定。如上所述将处理单元(2,3)进行二元化,是为了实现故障-安全功能的锁步结构的一例,可及早检测出微型计算机1乃至其应用系统的故障。但是,上述的锁步结构当然也会成倍增加硬件规模。
处理单元(2,3)的外围电路如具有SRAM等的RAM10及可电改写的非易失性存储器即闪存(FLASH)11等存储设备,且经由内部总线与多个电路模块连接。所述电路模块如具有:可将数字信号转换为模拟信号的DA转换电路及将模拟信号转换为数字信号的AD转换电路等的模拟电路(ANLG)13、锁相环电路(PLL)14、定时器电路(TMR)15、串行通信电路(SRLCOM)16、输入输出端口(I/O)17、以及从设备中断控制器(INTC2)18等。另外,上述外围电路所输出的数据和信号供给二元化后的处理单元(2,3),但也可由定位为主要设备的处理设备2来将数据及信号供给上述外围电路。
本实施方式中,所述从设备中断控制器18与主设备中断控制器4的中断信号路径级联连接。中断控制器的级联连接是指当主设备中断控制器4的中断请求输入引脚数量比应该处理的中断请求数少时,为了扩大中断控制功能而采用的。虽无特别限定,但本实施方式中的从设备中断控制器18是由第1从设备中断控制器(INTC2_0)21和第2从设备中断控制器(INTC2_1)22构成的。
下面参照图1对中断控制器(4,21,22)的级联连接的基本结构进行说明。
第1从设备中断控制器21可从96个中断请求输入引脚输入中断请求信号INT[127:32],并根据对于所输入的中断请求信号的接收控制结果,从中断请求输出引脚输出中断信号IntS1。
第2从设备中断控制器22可从128个中断请求输入引脚输入中断请求信号INT[255:128],并根据所输入的中断请求信号的接收控制结果,从中断请求输出引脚输出中断信号IntS2。
主设备中断控制器4例如可从34个中断请求输入引脚输入32个中断请求信号INT_PE[31:0]以及所述中断信号IntS1,IntS2,并根据所输入的信号的接收控制结果,从中断请求输出引脚向中央处理器5输出1个中断信号IntReq。
中断控制器(4,21,22)如果分别被输入中断请求信号,就会将与所输入的中断请求信号对应的中断请求标记IFLG进行置位,对于通过置位后的中断请求标记IFLG进行的中断请求,对中断屏蔽及中断优先级进行判断。此时对中断屏蔽及中断优先级的判断仅为上述接收处理的一例而已。即中断控制器(4,21,22)对于未解除中断屏蔽的中断请求,将会忽视其所对应的中断请求标记IFLG,并将处于设置状态的中断请求标记IFLG中优先级最高的中断请求作为最优先的中断请求进行接收,并输出中断信号IntS1,IntS2,IntReq。此时,主设备中断控制器4将中断信号IntS1,IntS2作为与中断请求信号进行同等处理。在图2中,31,32,33为以中断控制器为单位,将多个中断请求标记统称为中断请求标记电路。实际上中断请求标记电路(31,32,33)中,以中断请求信号为单位设置了中断请求标记IFLG。但是,中断请求标记电路31不包括与中断信号IntS1,IntS2对应的中断请求标记。对于中断控制器(21,22,4)中的上述中断请求,分别由优先级及屏蔽控制逻辑电路(PMLGC)51,52,53来执行对上述优先级及屏蔽判断的控制。
中央处理器5通过输入主设备中断控制器4输出的中断信号IntReq来结束执行过程中的命令并进行保存,并将中断确认信号IntAck输出到中断控制器(4,21,22)。
当从中央处理器5将中断确认信号IntAck返送回来,且被判断为最优先级的中断请求不为从设备侧的中断信号IntS1,IntS2时,主设备中断控制器4向中央处理器5输出与被判断为最优先级的中断请求对应的向量,同时将与被判断为最优先级的中断请求对应的中断请求标记IFLG的设置状态器清除为重置状态。另一方面,如果被判断为上述最优先级的中断请求为从设备侧的中断信号IntS1,IntS2时,如将通过如部总线12将显示该请求源是哪一个从设备中断控制器的级联码CSCD向从设备中断控制器(21,22)通知,而主设备中断控制器4自身不会输出向量及清除中断请求标记,而是通过标记控制逻辑电路(FLGC)43来进行。
从设备中断控制器(21,22)通过中断确认信号IntAck激活,且由级联码CSCD自我指定,便可经由内部总线12将与被判断为最优先级的中断请求对应的向量提供给中央处理器5,同时,将与判断为最优先级的中断请求对应的中断请求标记IFLG的设置状态清除为重置状态。例如分别通过各从设备中断控制器断控制器(21,22)所保持有的标记控制逻辑电路(FLGC)41,42来执行该控制。
FCLR是标记控制逻辑电路(41,42,43)向对应的中断请求标记电路(31,32,33)输出的标记清除信号。标记清除信号FCLR是在中断请求标记电路(31,32,33)中指定要清除的中断请求标记的多个位的信号。
中央处理器5获取由中断控制器(4,21,22)中的任意一个提供的向量后,执行根据该向量指定的中断处理例程,便可执行对该中断请求进行响应的中断处理。
《中断控制系统的故障检测》
虽无特别限定,但上述微型计算机1假设为搭载了与汽车传动系统或车体的功能安全相关的ECU。此时,功能安全相关的中断请求的种类太多而无法被二元化后的中断控制器4全部容纳。即使以还没进行二元化的从设备中断控制器来接收功能安全相关的中断请求时,为了提高涉及多种数量的功能安全相关的中断处理的可靠性,微型计算机1中也考虑到了如何才可很容易地检测出中断控制器及其中断信号系统的故障的结构。下面将就微型计算机1中关于中断控制系统的故障检测技术进行详细说明。
《故障检测的第1实施方式》
图1详细示出了微型计算机的中断控制系统的结构。
在第1从设备中断控制器21中,将96个中断请求信号INT[127:32]提供给中断请求标记电路31,还设置了分别与中断请求信号INT[127:32]对应的中断请求标记IFLG。不同的中断请求标记IFLG被输出至优先级及屏蔽控制逻辑电路51,且根据中央处理器5预先设定的屏蔽及优先级,接收与处于设置状态的标记输出中的一个对应的一个中断请求,并输出中断请求信号IntS1。
尤其是中断请求信号INT[127:32]中的1个被视为从定时器15定期以规定的间隔产生的测试中断请求OSTM。其余的95个中断请求信号例如只需为对上述功能安全相关的中断处理以外的处理进行适当处理的非安全相关的中断请求信号NSRS。
在第2从设备中断控制器22中,将128个中断请求信号INT[255:128]提供给中断请求标记电路32,并设置有分别与中断请求信号INT[255:128]对应的中断请求标记IFLG。而且,将中断请求标记IFLG分别输出到优先级及屏蔽控制逻辑电路52,并根据由中央处理器5预先设定的屏蔽设定及优先级,接收与设置状态的标记输出中的一个对应的中断请求并输出中断请求信号IntS2。
尤其是中断请求信号INT[255:128]中的一部分是请求进行上述功能安全相关的中断处理的安全相关的中断请求信号SRS,而其余部分与上述一样为被认为是与所述相同的非安全中断请求信号NSRS。
主设备中断控制器4中,32个中断请求信号INT_PE[31:0]及所述中断信号IntS1,IntS2被提供给中断请求标记电路33,还设置有分别与中断请求信号INT_PE[31:0]及所述中断信号IntS1,IntS2对应的中断请求标记IFLG。各中断请求标记IFLG分别被输出到优先级及屏蔽控制逻辑电路53,且根据中央处理器5预先设定的屏蔽及优先级,接收与处于设置状态的标记输出中的一个对应的中断请求,并输出中断请求信号IntReq。中断请求信号INT_PE[31:0]既可以是安全相关的中断请求信号SRS,也可为非安全相关的中断请求信号NSRS,也可以是两种信号的适当混合。由于主设备中断控制器4由于进行了二元化,从而可高度保证其可靠性。
下面对于通过安全相关的中断请求信号SRS对中断信号系统进行故障检测的情况进行详细说明。中央处理器5将定时器15进行初始设定后,定期以规定的间隔产生测试中断请求OSTM。中央处理器5对测试中断请求OSTM进行响应,并参照与第2从设备中断控制器22所保持有的安全相关的中断请求信号SRS对应的中断请求标记,如果通过参照多次所述测试中断请求后判断同一中断请求连续多次处于设置状态时,便可认定通过安全相关的中断请求信号SRS进行的中断信号系统中存在某种异常。即,对于每个定期产生的测试中断请求OSTM,参照与第2从设备中断控制器22内的安全相关的中断请求信号SRS对应的中断请求标记IFLG后,当检测到同一中断请求标记IFLG连续2次或2次以上处于设置状态时,则可认为该设置状态的中断请求标记IFLG产生的中断仍然存在且还未得到处理,这种状态持续的时间越长,则表明该中断系统发生故障的可能性越高。通过判断该状态存在异常,便可提高微型计算机1所控制的系统的功能安全性。尤其是在将从设备中断控制器22全面进行二元化时无需完全依赖锁步结构,因此不会大幅增加电路规模。而且,由于无需花费时间制作用于内建自测试的测试模式,所以也不会出现因内建自测试而导致功耗大幅增加的现象。如上所述,便可在无需大幅增加电路规模、无需测试模式的制作时间、而且不会出现因进行测试而导致功耗大幅增加的情况下检测出中断控制系统的异常。此时所设想的中断控制系统的异常是指,从第2从设备中断控制器22的中断请求信号输入经由主设备中断控制器4到中央处理器5的中断信号IntReq输入为止的路径中存在所设想的异常。由此,针对所设想的异常处理,只需在中央处理器5中预先准备例外处理及恢复处理作为存在异常时的新的响应处理便可。当然,内容也如前所述,并没有任何特殊限制。
由于所述测试中断请求OSTM采用的是定时器15的定时中断请求,所以可以在中央处理器5的控制下任意决定定期产生的测试中断请求OSTM产生的间隔。而且,根据处于用户模式下的中央处理器5的软件(如用户程序)使定时器15定期产生测试中断请求。因此,无需从用户模式转为特别的测试模式,而且,由于测试中断的处理将被作为用户模式下的一个中断处理来执行,所以能够检测出系统上或是机器上经多年变化而导致的中断控制系统的劣化。
定期产生的测试中断请求OSTM的间隔例如比考虑了安全相关的中断请求进行的故障-安全处理的FTTI(Fault Tolerant TimeInterval)的时间更短。正常状态下通过安全相关的中断请求进行的处理将在比FTTI更短的时间内完成并将所述中断请求标记从设置状态进行清除。相反地,如果存在异常,则通过安全相关的中断请求进行的处理即使在超过FTTI时间后也没完成,该中断请求标记仍处于设置状态。因此,通过将测试中断请求的产生间隔设定为比FTTI的时间短,便可通过第1次测试中断请求的处理和第2次测试中断请求的处理判断同一中断请求标记连续2次处于设置状态而将其判断为存在异常。
图3示出了对测试中断OSTM进行响应的中央处理器5的操作流程之一例。中央处理器5通过由测试中断请求OSTM激活中断信号IntReq而进入OSTM中断例程并开始测试(S1)。
首先,中央处理器5从中断请求标记电路32读取与安全相关的中断请求信号SRS对应的所有中断请求标记(安全相关的中断请求标记)(S2)。中央处理器5将判断所读取的安全相关的中断请求标记是否处于设置状态(如为逻辑值1)(S3)。中央处理器的每个中断请求标记都具有中断状态,且每次判断中断请求标记的设置状态时将对应的中断状态加上值1(S4)。由此,判断中断状态的值是否为2(S5)。根据判断结果,为2时将测试失败标记进行置位(S6)、不为2时不对测试失败标记进行任何操作而认为测试通过(S8)。在步骤S3中如果安全相关中断请求标记不处于设置状态(如为逻辑值0)就将所对应的中断状态清除为值0(S7)、并将之作为测试通过(S8)。另外,如果因FTTI和定时器15对测试中断请求信号OSTM的产生间隔的设定等原因,也可将作为测试失败的中断状态的值设为3或3以上,在此无需赘言。
如果测试失败标记被置位,则由中央处理器5来进行对测试失败进行响应的规定的错误处理。如测试失败时,就必须判断中断请求标记置位的中断请求是由于中断优先级低才没开始执行中断处理,还是因发生故障才不执行中断处理。例如,通过中央处理器5对所有的中断请求标记进行确认后,如果优先级高的其他中断请求不被置位时,便可判断为发生故障了。如果优先级高的中断请求已被置位时,在执行完该优先级高的中断后,只需对与造成测试失败原因的中断请求对应的中断处理进行确认便可。如果判断为故障时,例如高位的软件只需执行将系统转移到安全状态的处理即可。
图4示出了对测试中断请求OSTM进行响应的测试中断处理的动作时序之一例。通过进入对测试中断请求OSTM进行响应的OSTM中断处理例程,便开始进行测试,且由中央处理器5读取安全相关中断请求标记。
如动作ACT1的示例所示,在所读取的安全相关中断请求标记被清除的状态下(逻辑值为0、低电平)时,判断为测试通过(t1)。在OSTM中断处理例程结束(t2)后,存在SRS安全相关中断请求时安全相关的中断请求标记将处于设置状态(逻辑值为1、高电平)(t3),通过中央处理器5接收该中断请求,该安全相关的中断请求标记再次被中央处理器5清除(t4)。
如动作ACT2的示例所示,如果在OSTM中断处理例程开始(t11)后存在SRS安全相关的中断请求,则安全相关的中断请求标记被处于设置状态(逻辑值为1、高电平)(t12)。此时,虽然所读取的该安全相关的中断请求标记处于设置状态(t13),但在OSTM中断处理例程结束(t14)后,通过中央处理器5接收与上述设置状态的安全相关的中断请求标记对应的中断请求,该安全相关的中断请求标记将被清除(t15)。在上述时序中也有可能发生安全相关的中断请求,但由于对于对应的安全相关的中断请求标记进行检测的设置状态仅为1次,所以通过OSTM中断处理例程进行的测试结果就为测试通过。
动作ACT3的示例所示,在动作ACT2的下一个OSTM中断处理例程中如果安全相关的中断请求标记不处于设置状态则判断为测试通过(t16_a)、安全相关的中断请求标记如果如t16_b的示例所示的一样连续2次处于设置状态时,上一次的中断请求依然没被中央处理器5接收,该安全相关的中断请求标记也没被清除而仍继续残留,即意味着安全相关的中断信号系统中存在故障的可能性非常高。因此,此时则为测试失败。
根据第1实施方式所获得效果如下。
(1)按每个定期产生的测试中断请求OSTM来参照从设备中断控制器22内的安全相关的中断请求标记,如果检测到同一安全相关的中断请求标记连续2次或2次以上处于设置状态时,由于通过该设置状态的安全相关的中断请求标记进行的中断依然没被中央处理器5处理而仍残留,由此便可判断该中断信号系统发生故障的可能性非常高。通过将此状态判断为存在异常,可提高微型计算机1所控制的系统的功能安全性。
(2)由于将从设备中断控制器22进行二元化后并不完全依靠锁步结构,所以无需大幅增加电路规模。
(3)而且,由于无需花费时间来制作用于内建自测试的测试模式,所以也不会出现因内建自测试而导致的功耗大幅增加的情况。
(4)通过将与测试中断请求及作为中断请求标记参照对象的中断请求输入不同的从设备中断控制器(21,22),即使在级联连接结构时,也可将在通过测试中断请求进行的中断处理中,中断请求标记的参照范围限定在功能安全相关的中断请求侧的第2从设备中断控制器22上。而且,存在异常时,可将针对该异常进行处理的范围限定在包括第2从设备中断控制器22的中断信号系统中。
(5)针对主设备中断控制器4采用将从设备中断控制器21,22进行级联连接的结构,便可应对1个中断控制器无法完全处理的多个功能安全相关的中断请求信号。
(6)通过将主设备中断控制器4及中央处理器5进行二元化并采用锁步结构,便可在器件面积容许的范围内部分采用锁步结构,所以可更进一步提高功能安全性。
(7)在测试中断请求OSTM中使用按规定间隔从定时器15产生的定时器中断请求,便可根据中央处理器5的控制任意决定定期产生测试中断请求OSTM的产生间隔。
(8)微型计算机1可适用于搭载有多方面使用了安全相关的中断请求的故障-安全功能的车载微型计算机。
(9)测试中断请求OSTM的产生间隔比FTTI的时间短。因此,通过第1次测试中断请求处理和第2次测试中断请求处理,如果判断同一中断请求标记连续2次处于设置状态,便可判断存在异常。
(10)根据用户模式下中央处理器5的控制从所述定时器15定期产生测试中断请求OSTM。因此无需从用户模式转移到特殊的测试模式,便可将通过测试中断进行的处理作为用户模式中的一个中断处理来执行。因此,便可容易检测出系统中或在设备经过长时间变化后的劣化。
《故障检测的第2实施方式》
如第1实施方式所述,通过中央处理器5的软件对安全相关的中断请求的处理系统的故障进行检测时,其前提是将测试中断请求OSTM定期产生定时器中断。因此,在定时器电路15中,如果产生测试中断请求OSTM的定时器通道出现故障,或者从测试中断请求OSTM的路径经由从设备中断控制器21至主设备中断控制器4为止的中断信号系统发生故障时,便无法执行上述软件测试。在故障检测的第2实施方式中,测试中断请求OSTM的产生源、以及其请求信号的处理系统都已进行二元化。
图5示出了第2实施方式中作为微型计算机1的中断控制系统的主要结构之一例。图5中,OSTMa,OSTMb为二元化后的测试中断请求,分别从二元化后的单个定时器通道(15a,15b)输出。定时器电路15具有多个可分别对定时器进行设定的定时器通道,且利用这些通道形成定时器通道(15a,15b)。在定时器通道(15a,15b)中可对定时器进行设定以使定时器在同一时间内重复动作,只要双方定时器通道(15a,15b)正常动作,则二元化后的测试中断请求(OSTMa,OSTMb)呈现出同样的信号波形。测试中断请求(OSTMa,OSTMb)被供给至从设备中断控制器21A,由此,便可将从设备中断控制器21A的输出供给至主设备中断控制器4A。
图6所示的是着眼于二元化的测试中断请求信号OSTMa,OSTMb时的从设备中断控制器21A及主设备中断控制器4A的具体例之一。从设备中断控制器21A分别具有:对于通过测试中断请求OSTMa进行的测试中断请求及其他的中断请求进行优先级及屏蔽判断控制的优先级及屏蔽控制逻辑电路(PMLGC)70、以及对于通过测试中断请求OSTMb进行的测试中断请求及其他中断请求进行的优先级及屏蔽判断的控制的优先级及屏蔽控制逻辑电路(PMLGC)71。优先级及屏蔽控制逻辑电路(PMLGC)70将中断信号IntS1a作为优先级及屏蔽判断控制的结果输出,优先级及屏蔽控制逻辑电路(PMLGC)71将中断信号IntS1b作为优先级及屏蔽判断控制的结果输出。
异或门60判断中断信号IntS1a与IntS1b是否匹配后生成错误信号ERRtmr。错误控制电路7通过该错误信号对定时器中断信号IntS1a与IntS1b是否匹配及对定时器通道15a,15b的异常进行判断。主设备中断控制器4A将中断信号IntS1a及IntS1b输入逻辑与门62,如果双方都是被激活的状态时,将被激活的中断信号IntS1供给优先级及屏蔽控制逻辑电路(PMLGC)61。因此,优先级及屏蔽控制逻辑电路(PMLGC)61将中断信号IntS1a与IntS1b的逻辑与信号作为一个中断请求进行处理。
根据第2实施方式,通过错误控制电路7来检测测试中断请求OSTMa与OSTMb是否匹配,其不匹配状态可在OSTM中断处理例程之前检测到,所以可确保通过测试中断请求进行的中断处理结果的合理性。因此,可避免因OSTM测试中断处理系统的故障而导致中央处理器5无法根据测试中断请求进行软件测试的状态,从提高系统的功能安全方面来看,可进一步提高安全性。
另外,由于第2实施方式中其他的结构与作用及效果与第1实施方式相同,所以在此不再进行重复说明。
《故障检测的第3实施方式》
安全相关的中断控制系统中的故障检测是在考虑功能安全的基础上,在系统正常运行的状态下通过中央处理器5进行的软件测试来确认安全相关的中断请求信号系统中是否发生故障。第3实施方式中,如果故障检测结果为测试失败时,不是进行将系统转移到安全状态的处理,而是继续原来的处理。从有效性(可用性)的观点来看,这是由于即使发生故障时,系统有时也仍努力恢复正常动作的缘故。
图7示出了第3实施方式中微型计算机1的中断控制系统的主要结构例。第3实施方式中设置有选择器80,所述选择器80从安全相关的中断请求信号SRS中选择一个作为中断请求信号供给第1从设备中断控制器21。通过选择器80例如通过中央处理器5所输出的选择信号SEL来进行选择。中央处理器5在参照与第2从设备中断控制器22的安全相关的中断请求信号SRS相关的中断请求标记并判断为存在异常时,通过参照多次所述测试中断请求判断为同一中断请求标记连续多次处于设置状态时,使用选择信号SEL并通过选择器80来选择与连续多次处于设置状态的中断请求标记对应的中断请求,并将之供给第1从设备中断控制器21。因此,假设在中断信号系统中发生与安全相关的中断请求时可通过第1从设备中断控制器21进行处理。通过上述处理,便可继续该中断请求进行原来的处理。简单地说就是,在系统出现问题时可作为应急措施继续进行处理。换言之便是,可提高系统的有效性(可用性)。或者说,可提高失败的可操作性。此时,对于第2从设备中断控制器中检测到的中央处理器无法处理完的中断请求标记优选不将其清除而是原样保留。即使可作为应急措施,但从系统的安全性来说,能时常检测出该异常也是非常有益的。
第3实施方式中的其他结构及作用效果与第1实施方式相同,所以在此不再进行重复说明。另外,虽然图中未示出,但是第2实施方式同样可适用于第3实施方式中。
《故障检测的第4实施方式》
图8示出了第4实施方式中微型计算机1的中断控制系统的主要结构例。第1至第3实施方式中,主设备中断控制器4对于从设备中断控制器(21,22)输出的中断信号IntS1,IntS2,并不具有中断请求标记IFLG。而第4实施方式的主设备中断控制器4B中,对于中断信号IntS1,IntS2,采用了设置有中断请求标记IFLG的中断请求标记电路33B。对应中断信号IntS1,IntS2而在中断请求标记电路33B上设置的中断请求标记IFLG通过激活中断信号IntS1,IntS2而被置位。在与中断信号IntS1,IntS2对应的中断被优先级及屏蔽控制逻辑电路(PMLGC)53接收且中断信号IntReq被激活时,如果对此响应并从中央处理器5返送回中断确认信号IntAck时,在标记控制电路43B将CSCD向从设备中断控制器(21,22)输出的同时,还将此时与所接收的中断信号IntS1及IntS2对应的中断请求标记IFLG进行清除。即,对于与中断信号IntS1,IntS2对应的中断请求标记IFLG也与其他中断请求标记进行同样的操作。
如上所述,如果主设备中断控制器4B中也具有来自与从设备中断控制器21,22的中断请求信号IntS1,IntS2对应的中断请求标记,且根据上述测试中断请求的OSTM中断处理例程测试失败时,有助于特定在哪个路径中存在故障。测试失败时也可读取并使用与主设备中断控制器4B的中断信号IntS1或IntS2对应的中断请求标记IFLG。例如,通过多次OSTM中断处理例程判断判断从设备中断控制器22内的同一中断请求标记连续2次处于设置状态时,而追加在主设备中断控制器4B上的所述中断请求标记不处于设置状态时,可考虑从从设备中断控制器至主设备中断控制器的输入为止的路径上存在故障。另外,如果从设备中断控制器22和主设备中断控制器4B双方的该中断请求标记都处于设置状态时,便可判断从设备中断控制器22的内部或者从主设备中断控制器4B至中央处理器5的中断输入为止的路径上存在异常。
由此,对于级联连接的中断请求,如果分别参照从设备侧和主设备侧各自的中断请求标记的状态,便可判断故障位置是位于主设备中断控制器的中断请求标记之前或之后。测试失败时,可有助于特定故障路径。
另外,第4实施方式中的其他结构与第1实施方式相同,所以在此不再进行重复说明。另外,虽然图中未示出,但是第2或第3实施方式同样可适用于第4实施方式中。
《故障检测的第5实施方式》
图9示出了第5实施方式中微型计算机1的中断控制系统的主要结构例之一。第5实施方式中沿用了与第2实施方式相关的结构,但在第5实施方式中,第1从设备中断控制器21A并非限定于非安全相关的中断请求信号NSRS,而且还供给并可利用安全相关的中断请求信号SRS,这是与第2实施方式的不同点。因此,OSTM中断处理例程中,中央处理器5也对与第1从设备中断控制器21A中安全相关的中断请求信号SRS对应的中断请求标记进行判断,判断其是否连续多次处于设置状态。另外,虽然图中的第1从设备中断控制器21A并未有非安全相关的中断请求信号NSRS输入,但当然也可为输入非安全相关的中断请求信号NSRS和安全相关的中断请求信号SRS混在的方式,理由在此不再赘述。
如第2实施方式所述,将测试中断请求OSTM的生成系统进行二元化,并确认从第1从设备中断控制器21A至中央处理器5为止的路径上不存在故障后,便可通过OSTM中断处理例程进行软件测试。因此,无需将安全相关的中断请求集约到第2从设备中断控制器22中,也可输入第1从设备中断控制器。
由此,便可确实检测出从测试中断请求的产生至对其接收控制为止所产生的异常,因此,可更加容易保证在测试中断请求正常产生并被中央处理器5所接收。换言之即是,由于可对第1从设备中断控制器21A进行的中断请求的接收处理及向主设备中断控制器4的信号路径进行异常检测,所以功能安全相关的中断请求信号并不仅限于输入第2从设备中断控制器22,也可供给第1从设备中断控制器21A因而有助于进一步提高功能安全性。由此,对于因安全相关的中断请求信号SRS的数量变多而无法收容在第2从设备中断控制器22中时,可更容易应对。
另外,第5实施方式中的其他结构与第2实施方式相同,所以在此不再进行重复说明。
《故障检测的第6实施方式》
图10及图11示出了第6实施方式中微型计算机1的中断控制系统的主要结构例。上文的实施方式中,都是将测试中断请求OSTM供给从设备中断控制器(18,21,21A)。但并不仅限于此,也可如图10及图11所示供给主设备中断控制器4。通过将测试中断请求OSTM供给二元化后采用锁步结构的主设备中断控制器4,便可容易检测到测试中断请求OSTM的处理路径上发生的异常,所以可与第2实施方式一样,可避免因OSTM测试中断处理系统的故障而导致中央处理器5无法根据测试中断请求进行软件测试的状态,从系统的功能安全方面来看,可进一步提高系统的安全性。
另外,如图11所示,也可通过1个从设备中断控制器22来执行从设备中断控制器18。而且,虽然图中未示出,但是与主设备中断控制器级联连接的从设备中断控制器的数量可为3个或3个以上,而且,对于主设备中断控制器来说,多个从设备中断控制器的连接方式并不仅限于并联方式,也可为分层的级联连接。当然,级联连接的分层连接层数也可为3层及3层以上,在此无需赘言。
以上根据实施方式具体地说明了本案发明人所作的发明,但是本发明并不受到所述实施方式的限定,在不超出其要旨的范围内能够进行种种变更,在此无需赘言。
例如,中央处理器及主设备中断控制器并不限定为进行二元化后采用的锁步结构,也可仅将中央处理器进行二元化后采用锁步结构。中央处理器也可解释为处理器核心。即,处理器核心如具有,所述加速器如有中央处理器、高速缓冲存储器、TLB以及浮点运算单元等。
将中断控制器进行级联连接后的中断请求标记的清除方法及向量的输出方式并不受上述实施方式的限定,而是可进行适当变更。可通过专用信号按每个从设备中断控制器并来传达代码CSCD,标记清除信号FCLR也可利用该专用信号。
另外,如果半导体芯片的面积还较宽裕,并不妨碍在部分从设备中断控制器采用二元化的锁步结构。此时,被认为存在问题的安全相关的中断信号为供给至没采用二元化的锁步结构的中断控制器的中断请求信号。
本发明不仅可适用于单处理器内核的微型计算机,也可适用于多处理器内核的微型计算机。另外,微型计算机为数据处理器、微处理器、SoC(System On Chip)型半导体器件等的数据处理器件的总称。可为单芯片器件、也可为将多个芯片整合到模块中的模块器件。
另外,微型计算机并不仅限定于车载用途。对测试中断请求进行响应的中断处理例程中所参照的中断请求标记也不限于功能安全相关的中断请求标记。上述实施方式中也可以非功能安全相关的中断请求标记作为参照对象进行故障检测。
Claims (18)
1.一种微型计算机,其特征在于,具有:
中央处理器;以及
中断控制器,
其中,所述中央处理器定期对以规定的间隔产生的规定的测试中断请求进行响应,并参照所述中断控制器所保持有的中断请求标记,参照多次所述测试中断请求后判断同一中断请求标记连续多次处于设置状态时,视为存在异常。
2.如权利要求1所述的微型计算机,其特征在于,
所述中断控制器具有第一中断控制器和第二中断控制器,其中,
所述第一中断控制器被供给所述测试中断请求,
所述第二中断控制器具有通过对所述测试中断请求进行响应的所述中央处理器的处理而设为参照对象的中断请求标记。
3.如权利要求2所述的微型计算机,其特征在于,
对产生所述测试中断请求的测试中断请求产生电路进行二元化,
所述第一中断控制器还具有判断电路,所述判断电路对从二元化的中断请求产生电路并联输入的测试中断请求的各个分别进行与其他的中断请求之间的接收控制,并判断分别进行的接收控制的结果是否一致。
4.如权利要求2所述的微型计算机,其特征在于,
还具有选择器,所述选择器选择输入到第2中断控制器的中断请求并将其输入到第1中断控制器;
所述中央处理器参照所述中断控制器的中断请求标记,在视为存在异常时,通过所述选择器选择与通过参照多次所述测试中断请求而判断为同一中断请求标记连续多次处于设置状态的该中断请求标记对应的中断请求,并将其输入到第1中断控制器。
5.如权利要求1所述的微型计算机,其特征在于,
所述中断控制器具有:
主设备中断控制器,所述主设备中断控制器能够输入多个中断请求,并根据针对所输入的中断请求的接收控制结果,向中央处理器输出中断信号;以及
从设备中断控制器,所述从设备中断控制器能够输入多个中断请求,并根据针对所输入的中断请求的接收控制的结果,向所述主设备中断控制器输出中断请求信号。
6.如权利要求5所述的微型计算机,其特征在于,
所述中央处理器定期对以规定的间隔产生的规定的测试中断请求进行响应,并参照所述从设备中断控制器所保持的从设备侧中断请求标记和所述主设备中断控制器所保持的主设备侧中断请求标记,通过参照多次所述测试中断请求后判断同一从设备侧中断请求标记连续多次处于设置状态、并且与其对应的主设备侧中断请求标记连续多次处于设置状态时,视为存在异常,其中,与从所述从设备中断控制器向所述主设备中断控制器供给的中断请求信号对应地设置有所述主设备侧中断请求标记。
7.如权利要求6所述的微型计算机,其特征在于,
所述中央处理器通过参照多次所述测试中断请求,在判断为同一从设备侧中断请求标记连续多次处于设置状态、并且与其对应的主设备侧中断请求标记连续多次处于设置状态时,视为在从设备中断控制器的内部、或经由主设备中断控制器至中央处理器的输入为止的路径中存在异常,
通过参照多次所述测试中断请求,通过判断为在同一从设备侧中断请求标记连续多次处于设置状态并且与其对应的主设备侧中断请求标记没有连续多次处于设置状态时,视为从从设备中断控制器至主设备中断控制器的输入的路径中存在异常。
8.如权利要求5所述的微型计算机,其特征在于,
将所述规定的测试中断请求输入到所述主设备中断控制器。
9.如权利要求5所述的微型计算机,其特征在于,
所述从设备中断控制器具有第1从设备中断控制器和第2从设备中断控制器,其中
所述第1从设备中断控制器被供给所述测试中断请求,所述第2从设备中断控制器具有通过对所述测试中断请求进行响应的所述中央处理器的处理而设为参照对象的中断请求标记。
10.如权利要求9所述的微型计算机,其特征在于,
对产生所述测试中断请求的测试中断请求产生电路进行二元化,
所述第1从设备中断控制器还具有判断电路,所述判断电路对从二元化的中断请求产生电路并联输入的测试中断请求的各个分别进行与其他的中断请求之间的接收控制,并判断分别进行的接收控制的结果是否一致;
所述主设备中断控制器将通过所述第1从设备中断控制器分别进行的接收控制的结果的逻辑与信号作为一个中断请求进行处理。
11.如权利要求9所述的微型计算机,其特征在于,
还具有选择器,所述选择器选择输入到第2从设备中断控制器的中断请求并输入到第1从设备中断控制器,
所述中央处理器通过参照所述第2从设备中断控制器的中断请求标记后视为存在异常时,通过所述选择器选择与通过参照多次所述测试中断请求而判断为同一中断请求标记连续多次处于设置状态的该中断请求标记对应的中断请求,并将其输入到第1从设备中断控制器。
12.如权利要求5所述的微型计算机,其特征在于,
所述主设备中断控制器及所述中央处理器还具有锁步结构,该锁步结构通过分别被二元化而相互并行动作,能够根据相互的动作结果的不同来检测异常。
13.如权利要求1所述的微型计算机,其特征在于,
所述中断控制器具有:
第1中断控制器,所述第1中断控制器被供给所述测试中断请求及第1中断请求;以及
第2中断控制器,所述第2中断控制器被供给第2中断请求,
对产生所述测试中断请求的测试中断请求产生电路进行二元化,
所述第1中断控制器还具有判断电路,所述判断电路对从二元化的测试中断请求产生电路并联输入的测试中断请求的各个分别进行与所述第1中断请求之间接收控制,并判断分别进行的接收控制的结果是否一致;
所述中央处理器定期对以规定的间隔产生的规定的测试中断请求进行响应,并参照所述第1中断控制器及第2中断控制器所保持的中断请求标记,通过参照多次所述测试中断请求后判断同一中断请求标记连续多次处于设置状态时,视为存在异常。
14.如权利要求1所述的微型计算机,其特征在于,
还具有定时器,
所述规定的测试中断请求是以规定的间隔从所述定时器产生的定时器中断请求。
15.如权利要求14所述的微型计算机,其特征在于,
被设为参照对象的中断请求标记为与考虑了功能安全的安全相关的中断请求对应的中断请求标记。
16.如权利要求15所述的微型计算机,其特征在于,
所述规定的间隔是比通过所述安全相关的中断请求进行的故障-安全处理中考虑的FTTI即容错时间间隔短的时间。
17.如权利要求15所述的微型计算机,其特征在于,
所述规定的测试中断请求是根据用户模式中的中央处理器的控制而从所述定时器定期产生的。
18.如权利要求1所述的微型计算机,其特征在于,
被所述中央处理器视为存在的异常是指假设在从所述中断控制器至所述中央处理器的路径中存在的异常。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013145230A JP6266239B2 (ja) | 2013-07-11 | 2013-07-11 | マイクロコンピュータ |
JP2013-145230 | 2013-07-11 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104281217A true CN104281217A (zh) | 2015-01-14 |
CN104281217B CN104281217B (zh) | 2019-11-05 |
Family
ID=50979558
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410330526.6A Active CN104281217B (zh) | 2013-07-11 | 2014-07-11 | 微型计算机 |
Country Status (5)
Country | Link |
---|---|
US (2) | US9678900B2 (zh) |
EP (1) | EP2824573B1 (zh) |
JP (1) | JP6266239B2 (zh) |
KR (1) | KR20150007973A (zh) |
CN (1) | CN104281217B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107251001A (zh) * | 2015-03-06 | 2017-10-13 | 密克罗奇普技术公司 | 具有双模式中断的微控制器或微处理器 |
CN110462603A (zh) * | 2017-03-28 | 2019-11-15 | 株式会社电装 | 微型计算机 |
CN110554979A (zh) * | 2018-05-31 | 2019-12-10 | 瑞昱半导体股份有限公司 | 计时装置及其运行方法 |
CN113165244A (zh) * | 2018-12-12 | 2021-07-23 | 住友重机械工业株式会社 | 注射成型机、控制器 |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6266239B2 (ja) * | 2013-07-11 | 2018-01-24 | ルネサスエレクトロニクス株式会社 | マイクロコンピュータ |
US10002056B2 (en) * | 2015-09-15 | 2018-06-19 | Texas Instruments Incorporated | Integrated circuit chip with cores asymmetrically oriented with respect to each other |
CN105227384A (zh) * | 2015-11-10 | 2016-01-06 | 中国建设银行股份有限公司 | 联机事务处理系统之间的交易方法及交易装置 |
US10255132B2 (en) | 2016-06-22 | 2019-04-09 | Advanced Micro Devices, Inc. | System and method for protecting GPU memory instructions against faults |
CN108289299B (zh) * | 2017-05-31 | 2020-12-29 | 新华三技术有限公司 | 防止用户下线的方法和装置 |
JP2019096243A (ja) * | 2017-11-28 | 2019-06-20 | ルネサスエレクトロニクス株式会社 | 半導体装置及びその故障検出方法 |
DE102019203251B3 (de) * | 2019-03-11 | 2020-06-18 | Volkswagen Aktiengesellschaft | Verfahren und System zur sicheren Signalmanipulation für den Test integrierter Sicherheitsfunktionalitäten |
JP7295780B2 (ja) | 2019-11-05 | 2023-06-21 | ルネサスエレクトロニクス株式会社 | 半導体装置及びその動作方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1228561A (zh) * | 1998-02-04 | 1999-09-15 | 日本电气株式会社 | 具有中断控制功能的信息处理方法和信息处理装置 |
CN1688975A (zh) * | 2003-01-24 | 2005-10-26 | 富士通株式会社 | 中断控制方法和中断控制装置 |
CN1877471A (zh) * | 2005-06-10 | 2006-12-13 | 株式会社日立制作所 | 控制装置的任务管理装置和方法 |
CN102656568A (zh) * | 2009-10-15 | 2012-09-05 | 株式会社雷捷电子科技 | 微计算机及其动作方法 |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS61226843A (ja) * | 1985-03-30 | 1986-10-08 | Toshiba Corp | 割込み異常検出装置 |
JPH02130646A (ja) * | 1988-11-11 | 1990-05-18 | Meidensha Corp | Cpuの異常検出方式 |
JP2591181B2 (ja) | 1989-09-22 | 1997-03-19 | 日本電気株式会社 | マイクロコンピュータ |
JPH055946Y2 (zh) | 1990-02-21 | 1993-02-16 | ||
JPH07271408A (ja) * | 1994-03-30 | 1995-10-20 | Hitachi Ltd | 制御用処理装置 |
JPH09198280A (ja) | 1996-01-23 | 1997-07-31 | Furukawa Electric Co Ltd:The | システム監視用パルス生成方法および監視用パルス生成機能を備えたリアルタイム・オペレーティングシステム |
US5790871A (en) * | 1996-05-17 | 1998-08-04 | Advanced Micro Devices | System and method for testing and debugging a multiprocessing interrupt controller |
JPH10269109A (ja) * | 1997-03-21 | 1998-10-09 | Mitsubishi Electric Corp | マイクロコンピュータ |
JP2000307600A (ja) * | 1999-04-23 | 2000-11-02 | Nec Corp | デバイス装置のハートビート回路 |
JP2000347880A (ja) | 1999-06-02 | 2000-12-15 | Denso Corp | 割り込みコントローラおよびマイクロコンピュータ |
JP2001084152A (ja) * | 1999-09-16 | 2001-03-30 | Mitsubishi Electric Corp | 割込み信号制御装置 |
US6587966B1 (en) * | 2000-04-25 | 2003-07-01 | Hewlett-Packard Development Company, L.P. | Operating system hang detection and correction |
US20080288828A1 (en) * | 2006-12-09 | 2008-11-20 | Baker Marcus A | structures for interrupt management in a processing environment |
JP2010262432A (ja) | 2009-05-01 | 2010-11-18 | Mitsubishi Electric Corp | 安全制御装置 |
WO2013027529A1 (ja) * | 2011-08-25 | 2013-02-28 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 割り込み処理に起因する異常動作の検知 |
JP6266239B2 (ja) * | 2013-07-11 | 2018-01-24 | ルネサスエレクトロニクス株式会社 | マイクロコンピュータ |
-
2013
- 2013-07-11 JP JP2013145230A patent/JP6266239B2/ja active Active
-
2014
- 2014-06-17 EP EP14172824.6A patent/EP2824573B1/en active Active
- 2014-07-09 KR KR1020140086142A patent/KR20150007973A/ko not_active Application Discontinuation
- 2014-07-10 US US14/328,154 patent/US9678900B2/en active Active
- 2014-07-11 CN CN201410330526.6A patent/CN104281217B/zh active Active
-
2017
- 2017-05-05 US US15/588,246 patent/US10042791B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1228561A (zh) * | 1998-02-04 | 1999-09-15 | 日本电气株式会社 | 具有中断控制功能的信息处理方法和信息处理装置 |
CN1688975A (zh) * | 2003-01-24 | 2005-10-26 | 富士通株式会社 | 中断控制方法和中断控制装置 |
CN1877471A (zh) * | 2005-06-10 | 2006-12-13 | 株式会社日立制作所 | 控制装置的任务管理装置和方法 |
CN102656568A (zh) * | 2009-10-15 | 2012-09-05 | 株式会社雷捷电子科技 | 微计算机及其动作方法 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107251001A (zh) * | 2015-03-06 | 2017-10-13 | 密克罗奇普技术公司 | 具有双模式中断的微控制器或微处理器 |
CN107251001B (zh) * | 2015-03-06 | 2020-08-04 | 密克罗奇普技术公司 | 具有双模式中断的微控制器或微处理器 |
CN110462603A (zh) * | 2017-03-28 | 2019-11-15 | 株式会社电装 | 微型计算机 |
CN110462603B (zh) * | 2017-03-28 | 2023-09-22 | 株式会社电装 | 微型计算机 |
CN110554979A (zh) * | 2018-05-31 | 2019-12-10 | 瑞昱半导体股份有限公司 | 计时装置及其运行方法 |
CN113165244A (zh) * | 2018-12-12 | 2021-07-23 | 住友重机械工业株式会社 | 注射成型机、控制器 |
CN113165244B (zh) * | 2018-12-12 | 2023-08-04 | 住友重机械工业株式会社 | 注射成型机、控制器 |
Also Published As
Publication number | Publication date |
---|---|
EP2824573B1 (en) | 2017-09-20 |
US20170242809A1 (en) | 2017-08-24 |
EP2824573A2 (en) | 2015-01-14 |
CN104281217B (zh) | 2019-11-05 |
US9678900B2 (en) | 2017-06-13 |
KR20150007973A (ko) | 2015-01-21 |
JP6266239B2 (ja) | 2018-01-24 |
US20150019779A1 (en) | 2015-01-15 |
EP2824573A3 (en) | 2015-03-11 |
US10042791B2 (en) | 2018-08-07 |
JP2015018414A (ja) | 2015-01-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104281217A (zh) | 微型计算机 | |
EP3198725B1 (en) | Programmable ic with safety sub-system | |
US8909971B2 (en) | Clock supervision unit | |
CN109872150A (zh) | 具有时钟同步操作的数据处理系统 | |
JPH052654A (ja) | マイクロコンピユータの故障検知方法および回路 | |
CA2549540C (en) | A task management control apparatus and method | |
US9529686B1 (en) | Error protection for bus interconnect circuits | |
JP2008009795A (ja) | 診断装置,回線診断方法及び回線診断プログラム | |
JP2011043957A (ja) | 障害監視回路、半導体集積回路及び故障個所特定方法 | |
US20080028266A1 (en) | Method to prevent firmware defects from disturbing logic clocks to improve system reliability | |
CN106796541A (zh) | 数据处理装置 | |
JP6341795B2 (ja) | マイクロコンピュータ及びマイクロコンピュータシステム | |
CN103927241B (zh) | 一种软硬件结合的内存避错方法及其装置 | |
CN109254894B (zh) | 芯片的心跳监测装置及方法 | |
US9130566B1 (en) | Programmable IC with power fault tolerance | |
US9495239B1 (en) | User-configurable error handling | |
CN104346306B (zh) | 高完整性dma操作的系统和方法 | |
US20180129624A1 (en) | Method and apparatus for handling outstanding interconnect transactions | |
JP6588068B2 (ja) | マイクロコンピュータ | |
JP2008267999A (ja) | 制御中に自己診断できるプログラム可能な制御装置 | |
JP5352815B2 (ja) | 制御装置および制御方法 | |
EP0342261B1 (en) | Arrangement for error recovery in a self-guarding data processing system | |
JP2011081705A (ja) | メモリ制御装置及びメモリ制御装置の制御方法 | |
JP2006146319A (ja) | 2重化システム | |
JP2014159982A (ja) | 半導体装置およびその診断方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
CB02 | Change of applicant information |
Address after: Tokyo, Japan Applicant after: Renesas Electronics Corporation Address before: Kanagawa, Japan Applicant before: Renesas Electronics Corporation |
|
COR | Change of bibliographic data | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |