CN109478160B - 用于检测系统性故障和随机故障的电路 - Google Patents

用于检测系统性故障和随机故障的电路 Download PDF

Info

Publication number
CN109478160B
CN109478160B CN201780048358.3A CN201780048358A CN109478160B CN 109478160 B CN109478160 B CN 109478160B CN 201780048358 A CN201780048358 A CN 201780048358A CN 109478160 B CN109478160 B CN 109478160B
Authority
CN
China
Prior art keywords
microcontroller
supervising
value
predetermined
comparison
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201780048358.3A
Other languages
English (en)
Other versions
CN109478160A (zh
Inventor
V.埃热
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Continental Automotive GmbH
Continental Automotive France SAS
Original Assignee
Continental Automotive GmbH
Continental Automotive France SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Automotive GmbH, Continental Automotive France SAS filed Critical Continental Automotive GmbH
Publication of CN109478160A publication Critical patent/CN109478160A/zh
Application granted granted Critical
Publication of CN109478160B publication Critical patent/CN109478160B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1637Error detection by comparing the output of redundant processing systems using additional compare functionality in one or some but not all of the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0721Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment within a central processing unit [CPU]
    • G06F11/0724Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment within a central processing unit [CPU] in a multiprocessor or a multi-core unit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/28Error detection; Error correction; Monitoring by checking the correct order of processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/54Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Debugging And Monitoring (AREA)

Abstract

一种用于机动车电子计算机的故障检测电路(100),包括:•主微控制器(110),其具有‑至少两个微控制器核心(111、112),其被配置成并行地执行相同的指令,以及‑确保机动车辆的关键功能的至少一个第一软件模块(113),第一软件模块包括预定输入点(Pin)和预定输出点(Sout),•监督微控制器(120),以及•同步通信接口(130),其用于耦合主微控制器(110)和监督微控制器(120),以使得其能够实现互相监督。该检测电路使得能够检测系统性故障和随机故障。

Description

用于检测系统性故障和随机故障的电路
本发明涉及机动车领域,并且更具体地涉及用于电子计算机的故障检测电路。
本发明还涉及包括该检测电路的电子计算机。
机动车领域中的电子计算机的开发必须考虑功能安全性的众多约束,如ISO 26262标准规定的那些。
在该标准的背景中,尤其需要能够检测与计算机软件模块中的开发错误相关联的称为系统性故障(英语为“systematic failures(系统性故障)”)的故障(例如,功能执行中的阻滞、部分存储空间的粉碎)。
该标准的要求特别适用于实施机动车辆的称为关键功能的功能中涉及到的电子计算机,所述关键功能如ABS、ESP、EPS、EPB或安全气囊功能。
为了满足这些要求,专利申请EP 2 685 379 A1提出了将主微控制器和监督微控制器集成到电子计算机中,所述主微控制器和监督微控制器被适配成经由总线型通信接口进行互相监督。该布置使得能够检测机动车辆的关键功能的众多故障。
然而,文献EP 2 685 379 A1没有设想这样的配置,其中主微控制器包括至少两个微控制器核心,所述至少两个微控制器核心被布置成并行地执行相同的指令。
在该特定情况下,监督微控制器无法检测到系统性故障,因为主微控制器的两个核心将执行相同的软件代码并因此产生相同的结果。因此,监督微控制器不能基于两个微控制器核心产生的相同结果而推断出与软件执行相关联的故障。
此外,监督微控制器也无法检测到称为“共同随机故障(défaillances aléatoires communes)”的随机故障。共同随机故障是源于电子计算机的至少两个冗余元件(如微控制器核心、电源或时钟)共同的失灵。例如,当主微控制器包括如模数转换器(下文称为ADC)之类的两个外部设备时,可以通过比较所述ADC中的每一个ADC产生的结果来推断出ADC故障检测。然而,一般来说,两个ADC,就像两个核心一样,具有相同的电源,被馈送有相同的时钟,并且通常构成同一组块的一部分。于是可能出现这样的情况:可能产生两个ADC或两个核心共同的失灵,使得来自ADC的结果不可用于检测可能的故障。实际上,完全可能产生由于电源和/或时钟的失灵或者由包括ADC和核心的组块的静电放电(ESD)导致的失灵而引起的故障。因此,监督微控制器不能基于两个外部设备产生的结果而推断出共同随机故障。
这由于检测不到众多关键故障而对于所考虑的应用来说是不可接受的。
为此,提出了一种用于检测主微控制器的故障的电路,该主微控制器包括被布置成并行地执行相同指令的至少两个微控制器核心。
为此目的,本发明的第一方面提出了一种用于机动车电子计算机的故障检测电路。该电路包括:
• 主微控制器,其包括,
- 被配置成并行地执行相同指令的至少两个微控制器核心,以及
- 确保机动车辆的关键功能的至少一个第一软件模块,第一软件模块包括预定输入点和预定输出点,
• 监督微控制器,以及
• 同步通信接口,其用于耦合主微控制器和监督微控制器,以使得其能够实现互相监督。
此外,该电路的特征在于:
• 所述监督微控制器被配置成向主微控制器提供第一初始化值和第二初始化值;
• 所述主微控制器被配置成响应于第一软件模块的执行而:
- 基于第一初始化值和指示主微控制器的软件模块开始执行的执行开始值,确定第一软件模块的预定输入点处的第一输入点值;
- 基于第二初始化值和指示主微控制器的软件模块结束执行的执行结束值,确定第一软件模块的预定输出点处的第一输出点值;
- 基于第一输入点值和第一输出点值,确定预定计算的第一结果值;以及
- 将该第一结果值提供给监督微控制器。
• 所述监督微控制器配备有比较装置,其用于实现第一结果值与所述预定计算的预定第一结果值之间的第一比较,使得监督微控制器能够响应于第一比较来检测主微控制器的故障。
这具有能够检测双核心微控制器的系统性故障和随机故障的优点,并且这样做是为了符合ISO 26 262标准。
在第一实施方式中,所述预定计算是至少二阶的多项式计算。这样做是为了确保两个微控制器核心都能够实现正确的计算。
在第二实施方式中:
• 所述主微控制器包括确保机动车辆的关键功能的第二软件模块,第二软件模块包括预定输入点和预定输出点,主微控制器还被配置成响应于第二软件模块的执行而:
- 基于第一输入点值和执行开始值,确定第二软件模块的预定输入点处的第二输入点值,
- 基于第一输出点值和执行结束值,确定第二软件模块的预定输出点处的第二输出点值,
- 基于第二输入点值和第二输出点值,确定所述预定计算的第二结果值;以及
- 将该第二结果值提供给监督微控制器。
• 所述监督微控制器的比较装置还被配置成实现第二结果值与所述预定计算的预定第二结果值之间的第二比较,使得监督微控制器能够响应于第二比较来检测主微控制器的故障。
该实施方式使得能够检测一系列关键功能的执行中的故障。
在第三实施方式中:
• 所述监督微控制器配备有测量装置,其用于测量在向主微控制器提供第一和第二初始化值与接收结果值之间经过的时间,以及
• 所述监督微控制器的比较装置还被配置成实现该往返时间(temps ALLER-RETOUR)与预定往返时间之间的第三比较,使得监督微控制器能够响应于第三比较来检测主微控制器的故障。
在第四实施方式中:
• 所述主微控制器配备有测量装置,其用于测量主微控制器的一个或多个软件模块的执行周期,以及
• 所述监督微控制器的比较装置还被配置成实现被传输给所述监督微控制器的执行周期的测量值与预定执行周期之间的第四比较,使得监督微控制器能够响应于第四比较来检测主微控制器的故障。
在第五实施方式中:
• 所述主微控制器和所述监督微控制器各自独立地包括运行时钟,
• 所述监督微控制器还配备有时钟生成装置,其用于基于所述运行时钟和运行时钟的预定值来生成所述通信接口的运行时钟,以及
• 所述主微控制器还配备有:
- 测量装置,其用于测量所述通信接口的时钟,以及
- 比较装置,其用于实现由所述测量装置对所述通信接口的运行时钟的测量与运行时钟的预定值之间的第五比较,使得主微控制器能够响应于第五比较来检测监督微控制器的故障。
在第六实施方式中:
• 所述主微控制器还配备有用于基于预定周期性值而周期性地生成指示经由通信接口的通信初始化的初始化信号的装置,以及
• 所述监督微控制器还配备有用于测量所述初始化信号的周期性的测量装置,所述监督微控制器的比较装置还被配置成实现由所述测量装置对所述初始化信号的接收周期性的测量与预定的周期性值之间的第六比较,使得监督微控制器能够响应于第六比较来检测主微控制器的故障。
在第七实施方式中:
• 所述主微控制器包括第一供电单元,并且所述监督微控制器包括第二供电单元,第一和第二供电单元在物理上彼此独立,
• 所述主微控制器和所述监督微控制器各自独立地包括电压测量装置,
• 所述主微控制器耦合到第二供电单元,并且所述主微控制器的比较装置还被配置成实现由所述测量装置对第二供电单元的运行电压的测量与预定的第一运行电压范围之间的第七比较,使得主微控制器能够响应于第七比较来检测监督微控制器的故障,以及
• 所述监督微控制器耦合到第一供电单元,并且所述监督微控制器的比较装置还被配置成实现由所述测量装置对第一供电单元的运行电压的测量与预定的第二运行电压范围之间的第八比较,使得监督微控制器能够响应于第八比较来检测主微控制器的故障。
在第八实施方式中:
• 致动器接口耦合到所述主微控制器和所述监督微控制器,所述致动器接口被配置成将致动信号发送到预备用于连接到所述检测电路的致动器,
• 所述主微控制器和所述监督微控制器各自独立地包括模数转换器,所述模数转换器被配置成接收相同的致动信号,以及
• 所述监督微控制器的比较装置还被配置成实现从所述主微控制器的模数转换器获得的数字转换值与来自所述监督微控制器的模数转换器的数字转换值之间的第九比较,使得监督微控制器能够响应于第九比较来检测主微控制器的故障。
在第二方面中,本发明还涉及一种电子控制模块或ECU(针对英语的“EngineControl Unit(引擎控制单元)”),其预备用于检测机动车辆的至少一个关键功能的故障。所述电子控制模块包括根据第一方面的电路,其耦合到传感器和用于车辆的关键功能的致动器。
通过阅读下面的描述,本发明的其他特征和优点将变得更加明显。该描述纯粹是例示性的,并且应该对照附图来阅读该描述,在附图中:
- 图1是根据本发明的用于机动车电子计算机的故障检测电路的示意性表示,
- 图2是根据本发明的一个实施例的流程图,
- 图3是图1电路的一部分的示意性表示,其示出了根据本发明一个实施例的时钟控制机构,
- 图4是图1的电路的一部分的示意性表示,其示出了电源控制机构,以及
- 图5是图1的电路的一部分的示意性表示,其示出了用于在主微控制器和辅助微控制器之间交换数据的机构,该电路尤其包括传输控制机构。
在这些图中,各图之间的相同或相似的附图标记表示相同或类似的元件。为清楚起见,除非有相反的说法,否则所示元件并非相对于彼此是按比例的。
图1示意性地示出了根据本发明的用于机动车辆(未示出)的电子计算机(未示出)的故障检测电路100。
如图1所示,电路100至少包括主微控制器110、监督微控制器120和通信接口130。
主微控制器110包括两个微控制器核心111和112,它们被配置成并行地执行被提供给主微控制器110的软件指令。更确切地说,在操作期间,由这两个微控制器核心111和112并行地执行同一指令。然而,也可以设想使用三个、四个、五个或更多个微控制器核心,而不需要对本发明的运转进行任何重大修改。主微控制器110还包括至少一个软件模块113,其使得能够确保机动车辆的关键功能的实施。在本说明书的其余部分中,需要将术语“关键功能”的使用理解为表示机动车辆的其故障可能对车辆驾驶员造成身体伤害的功能。例如,车轮防抱死系统(ABS)和辅助转向计算系统(EPS)被认为是机动车辆的关键功能,所述功能可以全部或部分地经由软件来实施。实际上,关键功能应该被理解为不仅能够完全通过软件来实施,而且还能够部分地通过软件且部分地通过电路100的一个或多个电子和/或机械元件来实施。然而要注意的是,一个或多个关键功能可以通过同一软件模块来实施,比如软件模块113。
软件模块113包括预定输入点Pin和预定输出点Sout。一般而言,这些点应该位于软件模块113的源代码中,比如标记(jalon),使得可以分别确定软件模块113的执行开始和执行结束。例如,软件模块113的预定输入点Pin可以位于由周期性任务执行的功能处,而预定输出点Sout可以位于由另一周期性任务或由软件模块113的另一子组件执行的功能处。在该示例中,周期性任务可以由主微控制器110的操作系统来执行。
监督微控制器120可以具有与主微控制器110的配置不同的配置。例如,在一个特定实施方式中,监督微控制器120包括单个微控制器核心(未示出)。然而,根据需要,主微控制器110和监督微控制器120可以具有相同的技术特征。此外,监督微控制器120配备有用于比较至少两个值的比较装置129。最后,监督微控制器120包括用于存储一个或多个值的存储器128。在本发明的背景中,监督微控制器120知晓主微控制器110的多个软件模块的执行布局。因此,监督微控制器120知晓应该按照其来执行主微控制器110的软件模块中的每一个的循环和顺序。
通信接口130是同步的并且被布置成耦合主微控制器110和监督微控制器120,以使得它们能够互相监督。例如,通信接口130可以是根据以下标准之一的串行通信总线:I2C(英语为“Inter Integrated Circuit(内部集成电路)”)、RS232或SPI(英语为“SerialPeripheral Interface(串行外设接口)”)。然而,也可以设想呈现同步方面的其他通信接口。
图2示意性地示出了根据本发明的一个实施例的流程图。
在步骤S400处,监督微控制器120经由通信接口130向主微控制器110提供第一初始化值InitA和第二初始化值InitB。例如,这些值是预先存储在存储器128中的整数。在一个特定实施方式中,这些初始化值具有0到255之间的值。在另一特定实施方式中,按照预定的周期性来修改所述初始化值。
步骤S410是在执行软件模块113以实施一个或多个对应的关键功能时实现的。在该背景下,主微控制器110基于第一初始化值InitA和执行开始值K1来确定软件模块113的预定输入点Pin处的输入点值Entree[0]。该执行开始值K1使得能够确定在执行软件模块时是否跨过了该软件模块的预定输入点Pin。执行开始值K1是预定的并且对于监督微控制器120和主微控制器110是已知的。在一个实施方式中,执行开始值K1是恒定值,而在另一实施方式中,它是可由主微控制器110执行的每个软件模块所特有的值。在一个示例中,输入点值Entree[0]等于第一初始化值InitA与执行开始值K1之和。然而,可设想用于确定输入点值Entree[0]的其他公式,在所使用的公式对于监督微控制器120和主微控制器110是已知的的情况下即可。
接下来,仍然在步骤S410处,主微控制器110基于第二初始化值InitB和执行结束值K2来确定软件模块113的预定输出点Sout处的输出点值Sortie[0]。执行结束值K2使得能够确定在执行软件模块时是否跨过了该软件模块的预定输出点Sout。执行结束值K2是预定的并且对于监督微控制器120和主微控制器110是已知的。与执行开始值K1类似,执行结束值K2可以具有恒定值或可由主微控制器110执行的每个软件模块所特有的值。在一个示例中,输出点值Sortie[0]等于执行结束值K2与第二初始化值initB的平方和。然而,可设想用于确定输出点值Sortie[0]的其他公式,在所使用的公式对于监督微控制器120和主微控制器110是已知的的情况下即可。
在步骤S420处,主微控制器110基于输入点值Entree[0]和输出点值Sortie[0]来确定预定计算的结果值RESULT[0]。在一个示例中,结果值RESULT[0]等于输出点值Sortie[0]的平方与输入点值Entree[0]之和。然而,可设想用于确定结果值RESULT[0]的其他公式,在所使用的预定计算的公式对于监督微控制器120和主微控制器110是已知的的情况下即可。例如,在一个特定实施方式中,预定计算是至少二阶的多项式计算。接下来,仍然在步骤S420处,主微控制器110经由通信接口130向监督微控制器120提供结果值RESULT[0]。
最后,仍然在步骤S420处,监督微控制器120借助于比较装置129将结果值RESULT[0]与该预定计算的预定结果值RESULT[0]*进行比较。预定结果值RESULT[0]*可以由监督微控制器120基于初始化值、执行值和对由主微控制器110执行的软件模块的布局的知晓来在飞行中计算。此外,可以预先计算预定结果值RESULT[0]*,然后将其存储在存储器128中。
基于该比较的结果,监督微控制器120能够检测主微控制器110的故障。实际上,由于监督微控制器120知晓使得能够获得结果值RESULT[0]的所有参数,因此其能够确定所获得的结果是否对应于预期结果。因此,如果结果值RESULT[0]不同于预定结果值RESULT[0]*,那么监督微控制器120能够由此推断出在主微控制器110处产生了至少一个故障。相反,如果结果值RESULT[0]等于预定结果值RESULT[0]*,那么监督微控制器120能够由此推断出主微控制器110处没有产生任何故障。
由于通过在软件模块的执行开始和执行结束之间建立链接来获得结果值RESULT[0],根据本发明的机制使得能够检查是否遵守了主微控制器110的软件模块的执行循环。实际上,根据图2的示例,如果软件模块113并未开始其执行,那么将不会使用执行开始值K1来确定输入点值Entree[0],从而导致由结果值RESULT[0]构成的结果的错误值。如果软件模块113并未开始其执行,则情况相同,因为将不会使用执行结束值K2来确定输出点值Sortie[0]。此外,如果软件模块113执行的次数多于预计次数(例如两次而不是一次),这也将导致由结果值RESULT[0]构成的结果的错误值,因为执行开始值K1和/或执行结束值K2将被多次考虑,以分别确定输入点值Entree[0]和输出点值Sortie[0]。以这种方式,能够检测到系统性故障。检测作为计算单元的微控制器核心111和112的共同出错的故障也是可能的。实际上,结果值的预定计算的复杂性使得能够确保微控制器核心111和112能够实现正确的计算。实际上,如果在微控制器核心111和112处产生共同故障(例如,如果微控制器核心源自于同一个有缺陷的生产系列),则将获得结果值RESULT[0]的错误值。此外,可以注意到,主微控制器110执行关键功能可能利用主微控制器110所固有的外部设备,如自动存储器传输机构(英语为DMA,“Direct Memory Access(直接存储器访问)”)、中断管理器(英语为“Interrupt Controller(中断控制器)”)或者定时事件管理器(英语为“Timer(定时器)”)。这些外部设备中的至少一个的故障可能导致结果值RESULT[0]的错误结果。因此,实现预定计算还使得能够通过监督微控制器120检测这些外部设备的故障。
要注意的是,推断出主微控制器110处存在至少一个故障主要使得能够识别出故障,但不一定能识别出其来源。然而,由于被监督的机动车功能是关键功能,因此首先最重要的是能够检测到尽可能最多数量的故障的存在,然后才能够识别其来源。因此,知晓机动车辆的关键功能有故障使得能够尽可能快速地采取适当的安全措施。
在一个特定实施方式中,监督微控制器120能够在主微控制器110未在预定时间内提供结果值RESULT[0]时检测到主微控制器110的故障。在该实施方式中,监督微控制器120配备有测量装置(未示出),其用于测量在向主微控制器110提供第一和第二初始化值InitA和InitB与接收结果值RESULT[0]之间经过的时间。该经过的时间在下文中称为“往返时间”。利用该布置,当由监督微控制器120测量的“往返时间”不同于监督微控制器120已知的预定“往返时间”或者未被包括在预定“往返时间”周围的预定时间间隔内时,监督微控制器120的比较装置129使得能够推断出主微控制器110的故障。在一个示例中,预定“往返时间”存储在监督微控制器120的存储器128中。
在与先前的实施方式兼容的替换方案中,主微控制器110配备有测量装置(未示出),其用于测量软件模块113的执行周期,即执行软件模块113所需的时间。在该背景下,在执行软件模块之后,经由通信接口130将执行周期的测量值发送到监督微控制器120。在该特定布置中,当软件模块113的测量出的执行周期不同于监督微控制器120所已知的软件模块113的预定执行周期或者未被包括在预定执行周期周围的预定时间间隔内时,监督微控制器120能够检测到主微控制器110的故障。在一个示例中,预定执行周期存储在监督微控制器120的存储器128中。在该实施方式中,可以在电路100的测试阶段期间确定软件模块113的预定执行周期和预定“往返时间”。
在检测电路100的另一特定实施方式中,主微控制器110包括多个软件模块。在该背景下,这多个软件模块中的每个软件模块都确保机动车辆的一个关键功能。此外,这多个软件模块的执行是顺序地实现的。换句话说,这多个软件模块中的软件模块被“链接在一起”,使得第二软件模块的执行跟随在这多个软件模块中的第一软件模块的执行结束之后。在图1的示例中,除了软件模块113之外,主微控制器110还包括第二软件模块114。
返回图2,在步骤S430处,主微控制器110基于输入点值Entree[0]和执行开始值K1来确定软件模块114的预定输入点Pin处的输入点值Entree[1]。接下来,主微控制器110基于输出点值Sortie[0]和执行结束值K2来确定软件模块114的预定输出点Sout处的输出点值Sortie[1]。此后,仍然在步骤S430处,主微控制器110基于输入点值Entree[1]和输出点值Sortie[1]来确定预定计算的结果值RESULT[1]。输入点值Entree[1]、输出点值Sortie[1]和结果值RESULT[1]的确定类似于如上所述的输入点值Entree[0]、输出点值Sortie[0]和结果值RESULT[0]的确定。以相同的方式,主微控制器110经由通信接口130将结果值RESULT[1]发送到监督微控制器120,以便在那里与预定结果值RESULT[1]*进行比较,使得能够检测到主微控制器110的故障。在一个示例中,仅将结果值RESULT[1]发送到监督微控制器120。在这种情况下,将仅考虑预定计算的最终值以便检测主微控制器110的故障。在另一示例中,结果值RESULT[0]和RESULT[1]被发送到监督微控制器120。在这种情况下,结果值RESULT[0]被认为是预定计算的中间值,其能够帮助识别发生给定故障的位置。实际上,如果结果值RESULT[0]对应于期待结果值RESULT[0]*,那么监督微控制器120能够由此推断出软件模块113已经执行而没有任何错误。相反,如果结果值RESULT[0]不同于期待结果值RESULT[0]*,那么监督微控制器120能够由此推断出在软件模块113的执行期间发生了故障。
上文呈现的关于在计算结果没有在预定时间内或按照预定执行时间被提供给监督微控制器120时检测到主微控制器110的故障的可能性的特征也设想用于该实施方式。
根据电路100的另一实施例,提出了监督微控制器120还被配置成响应于检测到主微控制器110的故障而向主微控制器110发送用于重启主微控制器110的信号,并且这样做是为了尝试重启主微控制器110或故障起源处的(一个或多个)软件模块。在电路100的该实施例的背景下,还提出了监督微控制器120还被配置成响应于检测到主微控制器110的预定数量的故障而防止主微控制器110重启,并且这是在预定时段期间。例如,当监督微控制器120在被认为较短的时段期间请求了重启主微控制器110的众多请求时,这意味着由软件模块113确保的关键功能不再得到保障。实际上,在有限的时间间隔内检测到的主微控制器110的多个故障意味着由当前正在执行的软件模块确保的关键功能将不会恢复正常运行模式。在这种情况下,不必尝试重启主微控制器110。相反,完全切断可能源自于系统故障的这一个或多个关键功能可能更为合理。例如,可以设想通过仅激活机动车辆的重要功能来将机动车辆置于降级运行模式中。这将使得能够向驾驶员告知车辆的关键功能不再运转,并且优选的是停下来并请求技术帮助。
图3示意性地示出了根据本发明的一个实施例的电路100的一部分。在该实施例中,主微控制器110和监督微控制器120各自独立地包括运行时钟115、125。主微控制器110还配备有时钟测量装置(未示出),其用于测量通信接口130的运行时钟。此外,监督微控制器120配备有时钟生成装置121,其用于基于监督微控制器120的运行时钟125并且基于主微控制器110和监督微控制器120已知的预定运行时钟值horl*来生成通信接口130的运行时钟。在图3的示例中,主微控制器110处的预定运行时钟值horl*是基于主微控制器110外部的时钟115生成的。在图3的示例中,主微控制器110的外部时钟115包括耦合到锁相环PLL的外部振荡器,锁相环PLL本身耦合到两个分频器DIV。然而,在另一示例中,还可以设想将预定运行时钟值horl*存储在主微控制器110的存储器118中。此外,在监督微控制器120处,预定运行时钟值horl*存储在存储器128中。另外,主微控制器110配备有比较装置119,其用于实现通信接口130的运行时钟的测量值与预定运行时钟值horl*之间的比较。利用该布置,该比较的结果使得主微控制器110在其能够以可靠的方式生成运行时钟的情况下能够检测监督微控制器120的故障。实际上,如果通信接口的运行时钟的测量值与预定运行时钟值不同或者未被包括在包含预定运行时钟值的预定间隔内,则可以由此推断出监督微控制器120的时钟管理机构有故障。
在图3的一个特定实现中,主微控制器110配备有用于周期性地生成指示经由通信接口130的通信的初始化的初始化信号Sp的装置(未示出),并且其是基于监督微控制器120和主微控制器110已知的预定周期性值Sinit*。换句话说,初始化信号Sp被配置成由主微控制器110周期性地发送到监督微控制器120。在图3的示例中,基于运行时钟115生成周期性初始化信号Sp。此外,监督微控制器120设有用于测量信号的周期性的测量装置(未示出),以便测量初始化信号Sp的接收周期性。利用该布置,监督微控制器120的比较装置129还被配置成实现初始化信号的接收周期性的测量值与预定周期性值Sinit*之间的比较。在该布置中,该比较的结果使得监督微控制器120在其能够以周期性方式生成信号的情况下能够检测主微控制器110的故障。
返回图1,根据电路100的另一实施例,提出了主微控制器110和监督微控制器120各自独立地包括供电单元117、127。在该实施例中,主微控制器110耦合到监督微控制器120的供电单元127,并且监督微控制器120是主微控制器110的供电单元117。此外,提出了主微控制器110和监督微控制器120各自独立地包括用于测量供电单元的电压的电压测量装置(未示出)。利用该布置,主微控制器110的比较装置119还被配置成实现供电单元127的运行电压的测量值与供电单元127的预定运行电压范围V1*之间的比较。另外,监督微控制器120的比较装置129还被配置成实现供电单元117的运行电压的测量值与供电单元117的预定运行电压范围V2*之间的比较。在该布置中,供电单元127的预定运行电压范围V1*对于主微控制器110是已知的,并且可以存储在存储器118中。此外,供电单元117的预定运行电压范围V2*对于监督微控制器120是已知的,并且可以存储在存储器128中。利用该布置,所述比较的结果使得主微控制器110和监督微控制器120能够互相检测另一个微控制器的供电单元的故障。尤其是,微控制器可以检测受监督的供电单元的欠电压和过电压。
图4示意性地示出了涉及前一实施例的电路100的一部分。在图4的示例中,监督微控制器120测量主微控制器110的供电单元117的供电电压Vcc_110。此后,将电压测量值Vcc_110与供电单元117的预定运行电压范围V2*(图4中以浅灰色表示的区域)进行比较。因此,当电压测量值Vcc_110在供电单元117的预定运行电压范围V2*内时(图4中虚线之间的以白色表示的区域),那么监督微控制器120没有检测到供电单元117的任何故障。相反,如果电压测量值Vcc_110位于供电单元117的预定运行电压范围V2*之外,则监督微控制器120将检测到供电单元117的故障。可以补全图4的布置以便检测供电单元117的欠电压。知晓该信息可能是有益的,因为电压Vcc_110可以用于向主微控制器110的外部设备PERIPH供电。因此,直接在主微控制器110处检测供电单元117的欠电压是有益的。为此,可以在微控制器处使用已知类型的低压抑制模块(英语为LVI,“Low Voltage Inhibit(低压抑制)”)。当电压测量值Vcc_110处于低于供电单元117的预定运行电压范围V2*时,可以检测到欠电压。
返回图1,根据电路100的另一实施例,提出了致动器接口140,其耦合到主微控制器110和监督微控制器120。致动器接口140被配置成将致动信号发送到致动器300。致动器300被配置成耦合到电路100。在一个示例中,致动器300是用于触发ABS系统的致动器。在该示例中,可以响应于经由传感器接口150接收到来自碰撞传感器200的测量值而生成致动信号。此外,提出了主微控制器110和监督微控制器120各自独立地包括模数转换器(ADC)116、126。每个ADC 116、126被配置成接收和转换来自致动器接口140的同一个致动模拟信号。在第一布置中,监督微控制器120的比较装置129还被配置成实现来自主微控制器110的ADC116的数字转换值与来自监督微控制器120的ADC 126的数字转换值之间的同一物理信号的比较。在该布置中,来自监督微控制器120的ADC 116的数字转换值经由通信接口130发送到主微控制器110。利用该布置,该比较的结果使得主微控制器110能够检测主微控制器110的ADC 116或监督微控制器120的ADC 126的故障。实际上,如果两个微控制器110、120的ADC提供了不同的数字转换值,则可以由此推断出所述ADC中的至少一个有故障。在第二布置中,主微控制器110的比较装置119还被配置成实现来自监督微控制器120的ADC 126的数字转换值与来自主微控制器的ADC 116的数字转换值之间的比较。此后,能够从主微控制器110采集的测量值的比较推断出所述ADC中的至少一个的故障,如上面关于监督微控制器120所解释的那样。
在前一实施例的一个特定实现中,根据图1,提出了开关单元160,其耦合在致动器接口140与致动器300之间。开关单元160被配置成在第一状态与第二状态之间交替,在第一状态中,致动器接口140能够与致动器300通信,在第二状态中,致动器接口140不能与致动器300通信。此外,主微控制器110被配置成响应于检测到监督微控制器120的故障而向开关单元160发送停用电路100的信号。以相同的方式,监督微控制器120被配置成响应于检测到主微控制器110的故障而向开关单元160发送停用电路100的另一信号。在该布置中,开关单元160被配置成响应于接收到停用信号而从第一状态转为第二状态。利用该布置,如果检测到至少一个微控制器110、120的故障,则建议检测到故障的微控制器生成停用信号以停用电路100,从而防止电路100向致动器300发送致动信号。
图5示意性地示出了根据本发明的一个实施例的电路100的一部分。在图5的示例中,可以看到由主微控制器110发送的数据帧Tx_110和由监督微控制器120发送的数据帧Tx_120。图5的示例中的帧Tx_110和Tx_120是经由通信接口130传输的。根据图5的实施例,提出了主微控制器110和监督微控制器120各自包括用于形成要在通信接口130上发送的数据帧的装置(未示出)。帧形成装置被适配成形成要在通信接口130上发送的数据帧,但是还被适配成提取经由通信接口130接收到的帧中的数据。帧形成装置中的每一个还被配置成响应于帧的接收而将帧标识符插入到要发送的帧中。指示符的该插入取决于接收到的最后一帧中包含的帧标识符。利用该布置,主微控制器110的比较装置119还被配置成实现由监督微控制器120响应于由主微控制器110发出的帧而发出的最后一帧的标识符与由主微控制器110发出的帧的标识符之间的比较。监督微控制器120的比较装置129以相同的方式被配置成实现由主微控制器110响应于由监督微控制器120发出的帧而发出的帧的标识符与由监督微控制器120发出的帧的标识符之间的比较。
图5的示例示出了帧Tx_120的标识符ID0和帧Tx_110的标识符ID1。在该示例中,标识符ID0对应于在每次帧发射时由主微控制器110递增1的数值,而标识符ID1对应于在每次帧发射时由监督微控制器120递增1的数值。一般而言,标识符ID0和ID1是同步的,使得接收帧识别码的微控制器能够检查该识别码确实链接到由该同一微控制器在前一帧的发射期间生成的识别码。该原理使得能够确保没有任何帧“丢失”并且两个微控制器能够彼此通信。
此外,在图5中,帧Tx_120包括初始化值InitA和initB,并且帧tx_110包括由主微控制器110的两个核心111和112如上所述地实现的多项式计算的结果RESULT[0]。帧Tx_110和Tx_120还可以包括检测到故障的指示ERR。另外,循环冗余校验CRC可以包括在每个帧Tx_110和Tx_120中,以便检查是否良好遵守了传输期间的帧的完整性。
本发明具有众多优点。实际上,借助于上面介绍的所有机制,可以检测双核心微控制器的故障,并且这样做是为了符合ISO 26 262标准。
已经在本详细描述和说明书附图的各图中描述和图示了本发明。然而本发明并不限于如此描述的实现形式。在阅读本说明书和附图之后,本领域技术人员可以推导和实施其他变化和实施例。
还设想了一种用于检测机动车辆的至少一个关键功能的失灵的机动车电子计算机(ECU),并且其包括如上所述的检测电路,以及单独或组合地采用的本发明的各种实施例。
最后,还设想了一种包括根据本发明的一个或多个ECU的机动车辆。
在权利要求书中,术语“包括”不排除其他的元件或步骤。不定冠词“一”不排除复数。可以有利地组合所呈现和/或要求保护的各种特征。它们在说明书中或在不同的从属权利要求中的存在不排除这种可能性。最后,附图各图中的参考标记不应被理解为限制本发明的范围。

Claims (10)

1.用于机动车电子计算机的故障检测电路(100),该电路包括:
• 主微控制器(110),其包括,
- 被配置成并行地执行相同指令的至少两个微控制器核心(111、112),以及
- 确保机动车辆的关键功能的至少一个第一软件模块(113),第一软件模块包括预定输入点和预定输出点,
• 监督微控制器(120),以及
• 同步通信接口(130),其用于耦合主微控制器(110)和监督微控制器(120),以使得其能够实现互相监督,
故障检测电路(100)的特征在于:
• 所述监督微控制器(120)被配置成向主微控制器(110)提供第一初始化值和第二初始化值;
• 所述主微控制器(110)被配置成响应于第一软件模块(113)的执行而,
- 基于第一初始化值和指示主微控制器(110)的软件模块开始执行的执行开始值,确定第一软件模块(113)的预定输入点处的第一输入点值;
- 基于第二初始化值和指示主微控制器(110)的软件模块结束执行的执行结束值,确定第一软件模块(113)的预定输出点处的第一输出点值;
- 基于第一输入点值和第一输出点值,确定预定计算的第一结果值;以及
- 将该第一结果值提供给监督微控制器(120);
• 所述监督微控制器(120)配备有比较装置(129),其用于实现第一结果值与所述预定计算的预定第一结果值之间的第一比较,使得监督微控制器(120)能够响应于第一比较来检测主微控制器(110)的故障。
2.根据权利要求1所述的检测电路,其中,所述预定计算是至少二阶的多项式计算。
3.根据权利要求1或2中的一项所述的检测电路,其中:
• 所述主微控制器(110)包括确保机动车辆的关键功能的第二软件模块(114),第二软件模块包括预定输入点和预定输出点,主微控制器(110)还被配置成响应于第二软件模块(114)的执行而:
- 基于第一输入点值和执行开始值,确定第二软件模块(114)的预定输入点处的第二输入点值;
- 基于第一输出点值和执行结束值,确定第二软件模块(114)的预定输出点处的第二输出点值;
- 基于第二输入点值和第二输出点值,确定所述预定计算的第二结果值;以及
- 将该第二结果值提供给监督微控制器(120);
• 所述监督微控制器(120)的比较装置(129)还被配置成实现第二结果值与所述预定计算的预定第二结果值之间的第二比较,使得监督微控制器(120)能够响应于第二比较来检测主微控制器(110)的故障。
4.根据权利要求1或2中的一项所述的检测电路,其中:
• 所述监督微控制器(120)配备有测量装置,其用于测量在向主微控制器(110)提供第一和第二初始化值与接收结果值之间经过的往返时间,以及
• 所述监督微控制器(120)的比较装置(129)还被配置成实现该往返时间与预定往返时间之间的第三比较,使得监督微控制器(120)能够响应于第三比较来检测主微控制器(110)的故障。
5.根据权利要求1或2中的一项所述的检测电路,其中:
• 所述主微控制器(110)配备有测量装置,其用于测量主微控制器(110)的一个或多个软件模块的执行周期,以及
• 所述监督微控制器(120)的比较装置(129)还被配置成实现被传输给所述监督微控制器(120)的执行周期的测量值与预定执行周期之间的第四比较,使得监督微控制器(120)能够响应于第四比较来检测主微控制器(110)的故障。
6.根据权利要求1或2中的一项所述的检测电路,其中:
• 所述主微控制器(110)和所述监督微控制器(120)各自独立地包括运行时钟,
• 所述监督微控制器(120)还配备有时钟生成装置(121),其用于基于所述运行时钟和运行时钟的预定值来生成所述通信接口(130)的运行时钟,以及
• 所述主微控制器(110)还配备有:
- 测量装置,其用于测量所述通信接口(130)的时钟,以及
- 比较装置(119),其用于实现由所述测量装置对所述通信接口(130)的运行时钟的测量与所述运行时钟的预定值之间的第五比较,使得主微控制器(110)能够响应于第五比较来检测监督微控制器(120)的故障。
7.根据权利要求6所述的检测电路,其中:
• 所述主微控制器(110)还配备有用于基于预定周期性值而周期性地生成指示经由通信接口(130)的通信初始化的初始化信号的装置,以及
• 所述监督微控制器(120)还配备有测量装置,其用于测量所述初始化信号的周期性,所述监督微控制器(120)的比较装置(129)还被配置成实现第六比较,其比较由所述测量装置对所述初始化信号的接收周期性的测量与所述预定周期性值,使得监督微控制器(120)能够响应于第六比较来检测主微控制器(110)的故障。
8.根据权利要求1或2中的一项所述的检测电路,其中:
• 所述主微控制器(110)包括第一供电单元(117),并且所述监督微控制器(120)包括第二供电单元(127),第一供电单元(117)和第二供电单元(127)在物理上彼此独立,
• 所述主微控制器(110)和所述监督微控制器(120)各自独立地包括电压测量装置,所述主微控制器(110)耦合到第二供电单元(127),并且所述主微控制器(110)的比较装置(119)还被配置成实现由所述测量装置对第二供电单元(127)的运行电压的测量与预定的第一运行电压范围之间的第七比较,使得主微控制器(110)能够响应于第七比较来检测监督微控制器(120)的故障,以及
• 所述监督微控制器(120)耦合到第一供电单元(117),并且所述监督微控制器(120)的比较装置(119)还被配置成实现由所述测量装置对第一供电单元(117)的运行电压的测量与预定的第二运行电压范围之间的第八比较,使得监督微控制器(120)能够响应于第八比较来检测主微控制器(110)的故障。
9.根据权利要求1或2中的一项所述的检测电路,其中:
• 致动器接口(140)耦合到所述主微控制器(110)和所述监督微控制器(120),所述致动器接口(140)被配置成将致动信号发送到预备用于连接到所述故障检测电路(100)的致动器(300),
• 所述主微控制器(110)和所述监督微控制器(120)各自独立地包括模数转换器,所述模数转换器被配置成接收相同的致动信号,以及
• 所述监督微控制器(120)的比较装置(129)还被配置成实现从所述主微控制器(110)的模数转换器(116)获得的数字转换值与来自所述监督微控制器(120)的模数转换器(126)的数字转换值之间的第九比较,使得监督微控制器(120)能够响应于第九比较来检测主微控制器(110)的故障。
10.用于检测机动车辆的至少一个关键功能的故障的机动车电子计算机,其特征在于,其包括根据权利要求1至9中的任一项所述的检测电路,其耦合到传感器(200)并且耦合到用于车辆的关键功能的致动器(300)。
CN201780048358.3A 2016-06-08 2017-06-02 用于检测系统性故障和随机故障的电路 Active CN109478160B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR1655245 2016-06-08
FR1655245A FR3052575B1 (fr) 2016-06-08 2016-06-08 Circuit de detection de defaillances systematiques et aleatoires
PCT/FR2017/051398 WO2017212152A1 (fr) 2016-06-08 2017-06-02 Circuit de détection de défaillances systématiques et aléatoires

Publications (2)

Publication Number Publication Date
CN109478160A CN109478160A (zh) 2019-03-15
CN109478160B true CN109478160B (zh) 2022-06-28

Family

ID=57348774

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201780048358.3A Active CN109478160B (zh) 2016-06-08 2017-06-02 用于检测系统性故障和随机故障的电路

Country Status (4)

Country Link
US (1) US11256580B2 (zh)
CN (1) CN109478160B (zh)
FR (1) FR3052575B1 (zh)
WO (1) WO2017212152A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10802929B2 (en) * 2018-01-03 2020-10-13 Tesla, Inc. Parallel processing system runtime state reload

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6654906B1 (en) * 2000-06-08 2003-11-25 International Business Machines Corporation Recovery from instruction fetch errors in hypervisor code
CN101910856A (zh) * 2008-01-29 2010-12-08 立维腾制造有限公司 自测试故障电路中断器装置和方法
CN104228589A (zh) * 2014-09-05 2014-12-24 北京新能源汽车股份有限公司 纯电动汽车基于双cpu的高等级安全装置

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB9911890D0 (en) * 1999-05-22 1999-07-21 Lucas Ind Plc Method and apparatus for detecting a fault condition in a computer processor
US6654908B1 (en) 2000-04-29 2003-11-25 Hewlett-Packard Development Company, L.P. Method for and system producing shared usage of intercommunication fabric error logging registers in a multiprocessor environment
GB2379527B (en) * 2001-09-11 2003-11-26 Marconi Comm Ltd Fault intolerant processor arrangement
US9207661B2 (en) * 2007-07-20 2015-12-08 GM Global Technology Operations LLC Dual core architecture of a control module of an engine
JP4518150B2 (ja) 2008-01-11 2010-08-04 株式会社デンソー 車両用電子制御装置
US8516356B2 (en) * 2010-07-20 2013-08-20 Infineon Technologies Ag Real-time error detection by inverse processing
EP2685379B1 (en) 2012-07-11 2021-09-22 Rohm Co., Ltd. An integrated supervisory circuit for an automotive electrical component unit
JP6050083B2 (ja) * 2012-10-18 2016-12-21 ルネサスエレクトロニクス株式会社 半導体装置
US9389985B2 (en) * 2013-02-04 2016-07-12 Abbott Medical Optics Inc. Codepath integrity checking
US9632139B2 (en) 2013-06-08 2017-04-25 Silicon Mobility IO pad circuitry with safety monitoring and control for integrated circuits
EP3543718B1 (en) * 2018-03-19 2020-08-19 Melexis Technologies NV Method for detecting a failure in an electronic system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6654906B1 (en) * 2000-06-08 2003-11-25 International Business Machines Corporation Recovery from instruction fetch errors in hypervisor code
CN101910856A (zh) * 2008-01-29 2010-12-08 立维腾制造有限公司 自测试故障电路中断器装置和方法
CN104228589A (zh) * 2014-09-05 2014-12-24 北京新能源汽车股份有限公司 纯电动汽车基于双cpu的高等级安全装置

Also Published As

Publication number Publication date
FR3052575B1 (fr) 2019-10-04
WO2017212152A1 (fr) 2017-12-14
US11256580B2 (en) 2022-02-22
US20190138406A1 (en) 2019-05-09
FR3052575A1 (fr) 2017-12-15
CN109478160A (zh) 2019-03-15

Similar Documents

Publication Publication Date Title
US10576990B2 (en) Method and device for handling safety critical errors
US20130268798A1 (en) Microprocessor System Having Fault-Tolerant Architecture
US9207661B2 (en) Dual core architecture of a control module of an engine
EP3770765B1 (en) Error recovery method and apparatus
Hedenetz et al. Brake-by-wire without mechanical backup by using a TTP-communication network
JP4436571B2 (ja) 安全を保障する応用システムの制御装置
KR20120085810A (ko) 마이크로 컴퓨터 및 그 동작 방법
US20190361764A1 (en) Redundant processor architecture
Lee et al. Approach to functional safety-compliant ECU design for electro-mechanical brake systems
CN105868060B (zh) 用于运行驾驶员辅助系统的数据处理单元的方法和数据处理单元
JP6207987B2 (ja) 車載用電子制御装置
CN109478160B (zh) 用于检测系统性故障和随机故障的电路
JP2010244311A (ja) 車載用電子制御装置
US8854049B2 (en) Timer unit, system, computer program product and method for testing a logic circuit
EP3629176B1 (en) Fault detection circuit with progress register and status register
KR20070068405A (ko) 가변 클록 속도를 갖는 데이터 처리 시스템
CN113485185B (zh) N倍冗余控制系统的方法
JPH08115235A (ja) 制御装置の異常検出装置およびその方法
US10514970B2 (en) Method of ensuring operation of calculator
Beckschulze et al. Fault handling approaches on dual-core microcontrollers in safety-critical automotive applications
CN110825017A (zh) 包括安全逻辑的装置和操作该装置的方法
JP2018097442A (ja) 電子制御装置
Hwang et al. Microcontroller Approach to Functional Safety Critical Factors in Electro-Mechanical Brake (EMB) System
JPH11345217A (ja) 電子制御装置間通信時の故障検出方法
CN117425881A (zh) 用于车辆的控制装置以及辅助系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant