CN106796539A - 安全关键的机动车系统的微控制器系统和方法及其应用 - Google Patents
安全关键的机动车系统的微控制器系统和方法及其应用 Download PDFInfo
- Publication number
- CN106796539A CN106796539A CN201580046107.2A CN201580046107A CN106796539A CN 106796539 A CN106796539 A CN 106796539A CN 201580046107 A CN201580046107 A CN 201580046107A CN 106796539 A CN106796539 A CN 106796539A
- Authority
- CN
- China
- Prior art keywords
- subsystem
- micro controller
- controller system
- resource
- non local
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 16
- 238000004891 communication Methods 0.000 claims abstract description 10
- 230000005540 biological transmission Effects 0.000 claims abstract description 3
- 230000002093 peripheral effect Effects 0.000 claims description 21
- 238000003860 storage Methods 0.000 claims description 19
- 230000007246 mechanism Effects 0.000 claims description 10
- 230000004888 barrier function Effects 0.000 claims description 7
- 230000001360 synchronised effect Effects 0.000 claims description 3
- 238000013461 design Methods 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 4
- 238000001514 detection method Methods 0.000 description 3
- XUIMIQQOPSSXEZ-UHFFFAOYSA-N Silicon Chemical compound [Si] XUIMIQQOPSSXEZ-UHFFFAOYSA-N 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000009849 deactivation Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000014759 maintenance of location Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 229910052710 silicon Inorganic materials 0.000 description 2
- 239000010703 silicon Substances 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000005421 electrostatic potential Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000000630 rising effect Effects 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/023—Avoiding failures by using redundant parts
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/0225—Failure correction strategy
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0796—Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2035—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant without idle spare hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2038—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant with a single idle spare processing component
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Automation & Control Theory (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Human Computer Interaction (AREA)
- Transportation (AREA)
- Mechanical Engineering (AREA)
- Hardware Redundancy (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明描述一种用于安全关键的机动车系统的微控制器系统,包括多个设置在公共的芯片(1)上的子系统(A、B),至少一个子系统多通道地构成,该微控制器系统的特征在于,微控制器系统设计为用于执行多个运行模式,其中所述子系统(A、B)在第一运行模式下相互独立地运行并且借助于芯片内部的接口(A27、B27)相互通信,在第二运行模式下子系统(A、B)中的至少之一借助于设定的数据传输器件(A25、B26、A26、B26)调用另外的子系统(A、B)中的至少之一的非局部资源(A13‑1、B13‑1、...、A18)运行,和/或子系统(A、B)中的至少之一处于运行而子系统(A、B)中的至少另一是非激活的。本发明还描述一种用于运行微控制器系统的方法以及其应用。
Description
技术领域
本发明涉及一种按照权利要求1前序部分所述的用于安全关键的机动车系统的微控制器系统、按照权利要求6的前序部分所述的用于运行用于安全关键的机动车系统的方法以及其应用。
背景技术
高度可用或防事故的车辆系统——如其需要用于自动化驾驶的应用——对各个机动车系统的电子构件的可用性和相互作用自由性以及在此特别是对相应微控制器提出提高的要求,微控制器执行通过该微控制器运行的车辆系统的基础软件。对于这些车辆系统相应地力求尽可能小的事故可能性。对于高度可用或防事故的车辆系统的例子是机动车的制动系统。这样的制动系统的故障意味着对于交通参与者的危险,因此必须不断监控该系统的功能能力,以便在出现故障时例如激活备份。故障公差冗余方案以特别的程度对于仅仅具有电子备份的机动车系统是重要的。
为了提高故障安全性,由文献DE 32 34 637 C2已知的是,以相同软件运行两个处理器,这也称为对称冗余。在文献DE 4137124A1中描述一种具有非对称冗余的微处理器系统,其中两个处理器以不同软件运行。
在文献DE 195 29 434 A1中描述了另一核芯冗余的系统,其中两个同步运行的处理器核芯设定在一个或多个芯片上,该些处理器核芯获得相同输入信息并且处理相同程序。两个处理器核芯在此通过单独的总线系统连接到只读存储器和写-读存储器上以及输入和输出单元上。总线系统相互间通过驱动级或旁路连接,它们对于两个处理器核芯能实现可用数据包括检测数据和命令的共同的读取和处理。两个处理器核芯中仅仅之一(直接)与完整的只读和写-读存储器连接,而第二处理器核芯的存储能力限于结合检测数据生成器检测数据(奇偶监控)的存储空间。对所有数据的访问在于通过旁路。由此两个处理器核芯能够分别处理完全的程序。
在文献EP1673667B1中描述了用于安全关键的应用的微控制器系统,其中用于驱控具有能力的负载的数字电路构件和模拟电路构件安装在共同的芯片或芯片载体上并且通过隔离的区域相互保护。
对于安全关键的机动车系统已知的微控制器(MCU)由编程模型方面看来是单核系统,自然地然而经常存在于多个处理器核芯,以便使得软件执行并行化。资源,如例如存储资源和/或外围资源自然不多次执行并且由处理器核芯共同使用。相比之下,多芯片微控制器多次提供完整的资源。芯片在该说明书的意义上理解为集成在单独的半导体基底上的电路。
由多核芯微控制器分享的资源的基本缺点是其易错性,如例如随机硬件错误,因为总是也涉及分享该资源的核芯。多次存在的子系统(核芯)的独立性因此也对于在该子系统中的错误产生。多核芯微控制器的故障概率因此极大地由在分享的资源中的错误确定并且例如在总故障率的40%的数量级上。
然而基于该多重设计,多芯片系统相比于多核芯系统精确度更高,这特别是对于当今具有例如大于4MB只读存储器和大于256KB主存储器的大的程序和数据存储器中的情况。高度可用的系统的多个芯片的应用因此表示成本的显著提高,特别是更大数量的集成电路以及基于的电路载体的提高的复杂性有助于这一点。
由于生产集成电路的高部件数量,存在对全部构件的极大的成本压力。其特别是针对安全设计的功能然而不应通过降低成本的措施限制。
发明内容
因此,本发明的任务在于,提供一种机构,该机构能实现对于安全关键的机动车系统的微控制器系统的至少一如既往高的可用性并且在此可尽可能成本低廉地实现。
该任务通过按照权利要求1的微控制器系统和按照权利要求6的方法实现。
本发明描述一种用于安全关键的机动车系统的微控制器系统,包括多个设置在公共的芯片上的子系统,其中至少一个子系统多通道地构成,其中微控制器系统的特征还在于,该微控制器系统设计为用于执行多个运行模式,其中子系统在第一运行模式下相互独立地运行并且借助于芯片内部的接口相互通信,在第二运行模式下,子系统中的至少之一借助于设定的数据传输器件调用另外的子系统中的至少之一的非局部资源运行,和/或子系统中的至少之一处于运行而子系统中的至少另一是非激活的。
有利地,通过按照本发明的微控制器系统以及按照本发明的方法实现降低对于安全关键的机动车系统的微控制器系统的可能设计方案的数量以及实现其在整个芯片上的结合,利用该芯片此外可实现至少保持不变的可用性。在对于现代半导体技术节点——具有当前实现的小于40纳米的最小结构大小——的集成电路的掩膜制造的上升成本的背景下,这意味着一次性研发成本的降低并且提高该集成电路或微控制器系统的总件数,因为可以实现在不同系统中的应用。基于该优点,制造成本的显著降低是可能的。
在本发明的意义上的子系统优选是微控制器,微控制器没有必要必须安装在单独的芯片上,或者换言之子系统是计算机系统,该计算机系统设计用于运行现代车辆系统。除了数字电路部分,子系统优选也可以包括模拟电路部分。多通道系统自身已知地具有至少两个分开的通道,由此提高错误识别并且改善基础系统的可用性。在此,例如冗余的以及必要时可能多种硬件和/或软件设计,例如具有不同编程算法的多个处理器,其中比较相应的结果。由此可以在故障情况下避免安全关键的情况。
非激活在本发明的意义上优选可理解为运行状态,在该运行状态下子系统不进行独立的程序执行。这特别是休止状态或去激活状态,其中不发生I/O通信。有利地可以因此满足关于微控制器系统的较小的能量消耗的要求。
根据一个优选实施形式,子系统具有单独的并且分别配置给子系统的电压源和/或系统时钟供应装置。由此有利地提高子系统的独立性和微控制器系统的故障安全性。
调用的非局部资源优选是至少另一子系统的存储资源和/或外围资源,其中这些存储资源和/或外围资源结合到至少一个要调用非局部资源的子系统的地址区域中。其优点在于,要调用非局部资源的子系统因此可以以相似方式访问非局部资源,如访问局部资源并因此扩展的应用范围,例如可以基于短时或持久地匹配于满负荷要求。
根据微控制器系统的一个优选实施形式,子系统借助于电气屏障相互隔离。因此可以有利地避免在公共的芯片上的电气串扰。
子系统优选具有不同的系统时钟域,其中在与非局部资源通信的情况下借助于同步单元实现一个子系统与另一个子系统的同步。
本发明还描述一种用于运行用于安全关键的机动车系统的微控制器系统的方法,其中微控制器系统包括多个设置在公共的芯片上的子系统并且至少一个子系统多通道地运行,其中,所述子系统在第一运行模式下相互独立地运行并且借助于芯片内部的接口相互通信,在第二运行模式下,子系统中的至少之一调用另外的子系统中的至少之一的非局部资源运行,和/或子系统中的至少之一处于运行状态而子系统中的至少另一是非激活的。
对于按照本发明的方法产生基本上相同的优点,如其已经对于按照本发明的微控制器系统阐明的那样。
根据一个优选实施形式,子系统借助于单独的并且分别配置给这些子系统的电压源和/或系统时钟供应装置运行。
为了调用另外的子系统中之一的非局部资源,将这些非局部资源结合到至少一个要调用非局部资源的子系统的地址区域中。
优选地,在软件分区中考虑对另外的子系统的至少之一,特别是要调用非局部资源的子系统的非局部资源的不同访问时间。
此外,本发明还涉及按照本发明的微控制器系统和/或按照本发明的方法在安全关键的机动车系统特别是机动车制动系统中的应用。
附图说明
另外的优选实施形式根据图1由实施例的以下描述产生。其中:
图1示出按照本发明的微控制器系统的示例性实施形式。
具体实施方式
在图1和实施例的说明中仅仅讨论对于本发明的理解重要的构件。
图1示出按照本发明的微控制器系统的一个实施例,该微控制器系统实现为多核芯(多核)和多芯片系统在唯一的芯片或硅基底上的组合。该微控制器系统在此包括子系统A和子系统B,它们可以分别实现为单核或多核系统并且——除了基于共同的硅基底的耦合之外——物理上分离并且具有分开的电压源A11、B11和系统时钟供应装置A12、B12。为了改善功能安全性,两个子系统A和B例如实现两通道安全架构,包括冗余的核芯1A、2A以及1B、2B以及存储总线A13-1、A13-2、B13-1、B13-2,RAM存储器A14-1、A14-2、B14-1、B14-2和比较单元A15-1、A15-2、B15-1、B15-2。此外,子系统A和B中的每个包括至少一个排错模块A9、B9,至少一个非易失性存储器A18、B18,外围接口A17-1、AI7-2、Bl7-1、Bl7-2以及用于连接外围接口A17-1、AI7-2、Bl7-1、Bl7-2的外围总线A16-1、A16-2、B16-1、B16-2。
在物理实现(安放&布线)中如此设计子系统A和B,如同其是独立的电路那样。子系统A和B分别并且附加地共同由电气屏障A10、B10,AB10包围,该电气屏障相比于包围的基底特别是高阻地构成并且用作抗干扰的隔离,该干扰例如是过压、静电电压(ESD)和/或过载。在子系统之一中出现的干扰因此被限制在局部并且不会扩展到其他子系统或者芯片1上未示出的其它功能组件的干扰不会扩展到子系统A、B。特别是在子系统A与B之间的区域中也可以代替两个单独的屏障A10、B10而设有仅仅一个屏障。在子系统A、B之间实现通信的电气导线通过屏障A10、B10引出,其中为了避免关于安全性的限制,该限制可以由这些导线产生,设有缓冲器A24、B24和/或ESD保护结构。用于与芯片1上作为子系统的其它构件通信的信号同样可以经由这样的芯片内驱动器引导,如例如对于以下描述的芯片内部接口A27、B27和缓冲器A24、B24所实现的那样。
根据该实施例设有微控制器系统的三个不同的运行模式。第一运行模式实现多芯片运行,其中两个相互独立的子系统A和B是激活的并且相互通过专用芯片内接口A27、B27通信。为了监控子系统A和B,特别是在该第一运行模式下,子系统中的每个具有多芯片监控机构A29、B29(“Watchdog”)。
按照第二运行模式存在使用非局部存储和外围资源的多核芯运行,其中例如A子系统访问另一子系统例如B的存储资源A14-1、A14-2、A18、B14-1、B14-2、B18和/或外围资源A16-1、A16-2、B16-1、B16-2。访问在此优选通过子系统B的相应存储总线A13-1、A13-2、B13-1、B13-2和外围总线A16-1、A16-2、B16-1、B16-2实现。特别是对于存储访问备选地例如也可以设有具有双重访问的存储器。提供资源的子系统(按照该实施例是子系统B)在此必须可以执行软件自身——仅仅没有应用扩展的资源——或者是非激活的。
因此在一个子系统中干扰的情况下不产生对另一子系统的反馈。在第二运行模式下,存储扩展单元A25和B25用于给子系统A提供子系统B的附加的存储资源并且因此给子系统A的局部存储器A14-1、A14-2、A18扩展子系统B的部分或全部存储资源B14-1、B14-2、B18。相比于局部存储器,由于到该附加的存储模块较大的物理线路长度存在较长的访问时间。该状态在软件分区中被考虑(区别小/大的存储访问延迟时间)。
在第二运行模式下,外围扩展单元A26和B26用于,给子系统A提供子系统B的附加的外围资源并且因此扩展在外围接口上的范围。由于到该附加的外围模块的较大的物理线路长度,相比于局部可用的外围资源访问时间缓慢。子系统A的外围扩展单元A26在此将相应的外围接口A17-l、A17-2结合到子系统A的地址区域,从而这些外围接口在软件侧可以如局部外围接口那样运行。第二运行模式在此也包括相反的情况,亦即子系统B访问子系统A的存储资源和/或外围资源。
因为子系统A、B应用独立的系统时钟提供机构A12、B12——那么在子系统A和B上存在不同的系统时钟域——,那么在第二运行模式下特别是必须在由一个子系统到另一子系统的过渡中实施这些信号的相应同步(跨时钟域)。对于该目的,在存储A25、B25和外围扩展单元A26、B26的通信路径中设有同步单元A28、B28。
第三运行模式代表多核芯运行,其中例如仅仅子系统A是激活的并且在此使用局部——亦即在该子系统上设置的——存储和外围资源运行。子系统B根据该模式位于在休止状态或者是去激活的。
此外,每个子系统A、B分别包括用于监控其能量源或电压源A30、B30,其中,在与额定值的偏差大于一个或多个预定临界值的情况下将相应的子系统转变到安全状态。子系统A和B中的每个还包括用于监控系统时钟的机构A31、B31,其中,在与参考值的偏差大于一个或多个预定的临界值的情况下将相应的子系统同样转变到安全状态。
Claims (10)
1.一种用于安全关键的机动车系统的微控制器系统,包括多个设置在公共的芯片(1)上的子系统(A、B),其中至少一个子系统多通道地构成,其特征在于,所述微控制器系统设计为用于执行多个运行模式,其中所述子系统(A、B)在第一运行模式下相互独立地运行并且借助于芯片内部的接口(A27、B27)相互通信,在第二运行模式下,子系统(A、B)中的至少之一借助于设定的数据传输器件(A25、B26、A26、B26)调用另外的子系统(A、B)中的至少之一的非局部资源(A13-1、B13-1、...、A18)运行,和/或子系统(A、B)中的至少之一处于运行状态,而子系统(A、B)中的至少另一是非激活的。
2.根据权利要求1所述的微控制器系统,其特征在于,子系统(A、B)具有单独的并且分别配置给子系统的电压源(A11、B11)和/或系统时钟供应装置(A12、B12)。
3.根据上述权利要求之一所述的微控制器系统,其特征在于,调用的非局部资源(A13-1、B13-1、...、A18)是至少另一子系统(A、B)的存储资源和/或外围资源,其中,这些存储资源和/或外围资源结合到至少一个要调用非局部资源的子系统(A、B)的地址区域中。
4.根据上述权利要求之一所述的微控制器系统,其特征在于,子系统借助于电气屏障(A10、B10)相互隔离。
5.根据上述权利要求之一所述的微控制器系统,其特征在于,子系统(A、B)具有不同的系统时钟域,其中,在与非局部资源(A13-1、B13-1、...、A18)通信的情况下借助于同步单元(A28,B28)实现一个子系统与另一个子系统(A、B)的同步。
6.一种用于运行用于安全关键的机动车系统的微控制器系统的方法,其中,微控制器系统包括多个设置在公共的芯片(1)上的子系统(A、B)并且至少一个子系统(A、B)多通道地运行,其特征在于,所述子系统(A、B)在第一运行模式下相互独立地运行并且借助于芯片内部的接口(A27、B27)相互通信,在第二运行模式下,子系统(A、B)中的至少之一调用另外的子系统(A、B)中的至少之一的非局部资源(A13-1、B13-1、...、A18)运行,和/或子系统(A、B)中的至少之一处于运行状态而子系统(A、B)中的至少另一是非激活的。
7.根据权利要求5所述的方法,其特征在于,子系统(A、B)借助于单独的并且分别配置给这些子系统的电压源(A11、B11)和/或系统时钟供应装置(A12、B12)运行。
8.根据上述权利要求之一所述的方法,其特征在于,为了调用另外的子系统(A、B)中之一的非局部资源(A13-1、B13-1、...、A18)将这些非局部资源结合到至少一个要调用非局部资源的子系统(A、B)的地址区域中。
9.根据上述权利要求之一所述的方法,其特征在于,在软件分区中考虑对另外的子系统(A、B)的至少之一的非局部资源(A13-1、B13-1、...、A18)的不同访问时间。
10.按照权利要求1至5之一的微控制器系统和/或按照权利要求6至9之一的方法在安全关键的机动车系统,特别是机动车制动系统中的应用。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102014217321.3A DE102014217321A1 (de) | 2014-08-29 | 2014-08-29 | Mikrocontrollersystem und Verfahren für sicherheitskritische Kraftfahrzeugsysteme sowie deren Verwendung |
DE102014217321.3 | 2014-08-29 | ||
PCT/EP2015/069342 WO2016030324A1 (de) | 2014-08-29 | 2015-08-24 | Mikrocontrollersystem und verfahren für sicherheitskritische kraftfahrzeugsysteme sowie deren verwendung |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106796539A true CN106796539A (zh) | 2017-05-31 |
Family
ID=54145727
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201580046107.2A Pending CN106796539A (zh) | 2014-08-29 | 2015-08-24 | 安全关键的机动车系统的微控制器系统和方法及其应用 |
Country Status (6)
Country | Link |
---|---|
US (1) | US10173692B2 (zh) |
EP (1) | EP3186710B1 (zh) |
KR (1) | KR101991596B1 (zh) |
CN (1) | CN106796539A (zh) |
DE (1) | DE102014217321A1 (zh) |
WO (1) | WO2016030324A1 (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102017210156B4 (de) * | 2017-06-19 | 2021-07-22 | Zf Friedrichshafen Ag | Vorrichtung und Verfahren zum Ansteuern eines Fahrzeugmoduls |
CN108973903B (zh) * | 2018-08-02 | 2020-09-11 | 北京新能源汽车股份有限公司 | 一种车载供电系统及车辆 |
US11379297B2 (en) | 2019-05-07 | 2022-07-05 | Nxp Usa, Inc. | System and method to provide safety partition for automotive system-on-a-chip |
DE102020114844A1 (de) | 2020-06-04 | 2021-12-09 | Infineon Technologies Ag | Systeme, vorrichtungen und verfahren für steuerungsvorrichtungen, die fehlerereignisse behandeln |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080258253A1 (en) * | 2003-10-08 | 2008-10-23 | Wolfgang Fey | Integrated Microprocessor System for Safety-Critical Regulations |
CN102822807A (zh) * | 2010-03-23 | 2012-12-12 | 大陆-特韦斯贸易合伙股份公司及两合公司 | 控制计算机系统、用于控制控制计算机系统的方法及控制计算机系统的使用 |
CN103123579A (zh) * | 2011-09-08 | 2013-05-29 | 英飞凌科技股份有限公司 | 具有附加微控制器的备用工作 |
CN103995471A (zh) * | 2014-05-23 | 2014-08-20 | 华中科技大学 | 一种分布式控制系统的时钟同步方法 |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE3234637A1 (de) | 1982-09-18 | 1984-03-22 | Alfred Teves Gmbh, 6000 Frankfurt | Verfahren und schaltungsanordnung zur steuerung einer bremsschlupfregelanlage |
US4665522A (en) * | 1985-01-28 | 1987-05-12 | The Charles Stark Draper Laboratory, Inc. | Multi-channel redundant processing systems |
US5458404A (en) | 1991-11-12 | 1995-10-17 | Itt Automotive Europe Gmbh | Redundant wheel sensor signal processing in both controller and monitoring circuits |
DE19529434B4 (de) | 1995-08-10 | 2009-09-17 | Continental Teves Ag & Co. Ohg | Microprozessorsystem für sicherheitskritische Regelungen |
DE19716197A1 (de) | 1997-04-18 | 1998-10-22 | Itt Mfg Enterprises Inc | Mikroprozessorsystem für sicherheitskritische Regelungen |
WO2002057963A2 (de) * | 2001-01-19 | 2002-07-25 | Continental Teves Ag & Co. Ohg | Verfahren zur separierung redundanter systeme während des designs von kundenspezifischen schaltkreisen |
DE10124027A1 (de) | 2001-05-16 | 2002-11-21 | Continental Teves Ag & Co Ohg | Verfahren,Mikroprozessorsystem für sicherheitskritische Regelungen und dessen Verwendung |
US7412588B2 (en) * | 2003-07-25 | 2008-08-12 | International Business Machines Corporation | Network processor system on chip with bridge coupling protocol converting multiprocessor macro core local bus to peripheral interfaces coupled system bus |
ATE407401T1 (de) * | 2004-10-25 | 2008-09-15 | Bosch Gmbh Robert | Verfahren und vorrichtung zur erzeugung eines modussignals bei einem rechnersystem mit mehreren komponenten |
DE102006008958A1 (de) * | 2005-03-10 | 2006-09-28 | Continental Teves Ag & Co. Ohg | Elektronisches Kraftfahrzeugbremsensteuergerät |
EP2153328B1 (en) * | 2007-05-25 | 2011-08-10 | Freescale Semiconductor, Inc. | Data processing system, data processing method, and apparatus |
DE102011007437A1 (de) * | 2010-11-15 | 2012-05-16 | Continental Teves Ag & Co. Ohg | Verfahren und Schaltungsanrodnung zur Datenübertragung zwischen Prozessorbausteinen |
WO2014060470A1 (de) * | 2012-10-16 | 2014-04-24 | Continental Teves Ag & Co. Ohg | Schnittstelle zum datenaustausch zwischen redundant ausgeführten programmen zur kraftfahrzeugsteuerung |
-
2014
- 2014-08-29 DE DE102014217321.3A patent/DE102014217321A1/de not_active Withdrawn
-
2015
- 2015-08-24 EP EP15763839.6A patent/EP3186710B1/de active Active
- 2015-08-24 WO PCT/EP2015/069342 patent/WO2016030324A1/de active Application Filing
- 2015-08-24 KR KR1020177004551A patent/KR101991596B1/ko active IP Right Grant
- 2015-08-24 CN CN201580046107.2A patent/CN106796539A/zh active Pending
-
2017
- 2017-02-23 US US15/440,331 patent/US10173692B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080258253A1 (en) * | 2003-10-08 | 2008-10-23 | Wolfgang Fey | Integrated Microprocessor System for Safety-Critical Regulations |
CN102822807A (zh) * | 2010-03-23 | 2012-12-12 | 大陆-特韦斯贸易合伙股份公司及两合公司 | 控制计算机系统、用于控制控制计算机系统的方法及控制计算机系统的使用 |
CN103123579A (zh) * | 2011-09-08 | 2013-05-29 | 英飞凌科技股份有限公司 | 具有附加微控制器的备用工作 |
CN103995471A (zh) * | 2014-05-23 | 2014-08-20 | 华中科技大学 | 一种分布式控制系统的时钟同步方法 |
Also Published As
Publication number | Publication date |
---|---|
DE102014217321A1 (de) | 2016-03-03 |
KR101991596B1 (ko) | 2019-06-20 |
WO2016030324A1 (de) | 2016-03-03 |
US10173692B2 (en) | 2019-01-08 |
EP3186710A1 (de) | 2017-07-05 |
US20170217443A1 (en) | 2017-08-03 |
EP3186710B1 (de) | 2019-01-30 |
KR20170033381A (ko) | 2017-03-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106796539A (zh) | 安全关键的机动车系统的微控制器系统和方法及其应用 | |
CN108075954B (zh) | 具有改善的安全性的用于控制器局域网的收发器电路 | |
US20150355989A1 (en) | Safety node in interconnect data buses | |
KR100947791B1 (ko) | 멀티-코어 중복 제어 컴퓨터 시스템, 모터 차량의 안전에 중요한 어플리케이션을 위한 컴퓨터 네트워크, 및 그 용도 | |
US10017188B2 (en) | Method and device for handling safety critical errors | |
US20160046265A1 (en) | Interface for interchanging data between redundant programs for controlling a motor vehicle | |
CN105378587B (zh) | 优化的电源架构 | |
CN107407910A (zh) | 用于在车辆电控系统内提供冗余的方法和设备 | |
CN107953890B (zh) | 用于处理用于自动化车辆的数据的方法 | |
CN105501156A (zh) | 汽车电气系统和用于汽车电气系统的隔离系统 | |
CN106796575B (zh) | 具有高操作确定性的片上系统 | |
CN111033485B (zh) | 用于在数据处理装置中过滤通过通信连接到达的通信数据的方法、数据处理装置和机动车 | |
US9623818B2 (en) | Sensor system for an electric/electronic architecture and associated electric/electronic architecture for a vehicle | |
DE102020111707A1 (de) | Einzelchip-mehrfach-die-architektur mit sicherheitskonformer kreuzüberwachungsfähigkeit | |
US6580288B1 (en) | Multi-property microprocessor with no additional logic overhead to shared pins | |
JP3773784B2 (ja) | ディジタル形保護制御装置 | |
CN112416702A (zh) | 一种混合运行多安全等级任务的安全隔离系统 | |
US11461159B2 (en) | Integrated circuit, embedded system and motor vehicle | |
Seo et al. | A Design of Fail-safe Gateway-embedded System for In-vehicle Networks | |
EP1488570B1 (en) | Remote switching of a communication device in a communication network | |
Gaidhane et al. | FPGA implementation of serial peripheral interface of flexray controller | |
CN117009285A (zh) | 集成直接存储器访问电路的片上系统以及对应方法 | |
US9606795B1 (en) | Providing intelligent components access to an external interface | |
RU127956U1 (ru) | Устройство переключения каналов троированной системы управления | |
JPH04343538A (ja) | データ処理装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170531 |