DE102012204644B4 - Steuervorrichtung - Google Patents

Steuervorrichtung Download PDF

Info

Publication number
DE102012204644B4
DE102012204644B4 DE102012204644.5A DE102012204644A DE102012204644B4 DE 102012204644 B4 DE102012204644 B4 DE 102012204644B4 DE 102012204644 A DE102012204644 A DE 102012204644A DE 102012204644 B4 DE102012204644 B4 DE 102012204644B4
Authority
DE
Germany
Prior art keywords
reset
request signal
processing
abnormal system
components
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102012204644.5A
Other languages
English (en)
Other versions
DE102012204644A1 (de
Inventor
Yuu Nakagawa
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from JP2011063122A external-priority patent/JP5545250B2/ja
Priority claimed from JP2011063123A external-priority patent/JP5434942B2/ja
Application filed by Denso Corp filed Critical Denso Corp
Publication of DE102012204644A1 publication Critical patent/DE102012204644A1/de
Application granted granted Critical
Publication of DE102012204644B4 publication Critical patent/DE102012204644B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0721Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment within a central processing unit [CPU]
    • G06F11/0724Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment within a central processing unit [CPU] in a multiprocessor or a multi-core unit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Steuervorrichtung, die in sich mehrere Systeme durch einen Multikern-Mikrocomputer (1) ausbildet, wobei die Steuervorrichtung aufweist:ein Rücksetzmittel (50) zum Erfassen eines abnormalen Systems unter den mehren Systemen und Ausgeben eines Rücksetzanforderungssignals, dass das abnormale System identifiziert;mehrere Komponenten (11 bis 13, 20, 30), die mehrere CPU-Kerne (11 bis 13) des Mikrocomputers, die jeweils für die mehreren Systeme bereitgestellt werden, und einen dynamischen gemeinsamen Teil beinhalten (30), der dynamisch unter den mehreren Systemen geteilt wird, wobeider dynamische gemeinsame Teil (30) einen Funktionsteil (31) und einen dynamischen Vermittlungsteil (32) beinhaltet,der Funktionsteil (31) durch die mehreren Systeme, aber nur durch ein System zu einer Zeit verwendbar ist, und in Antwort auf das Rücksetzanforderungssignal zurückgesetzt wird, undder Vermittlungsteil (32) das Rücksetzanforderungssignal in den Funktionssteil unter der Bedingung eingibt, dass der Funktionsteil durch das abnormale System verwendet wird, dass durch das Rücksetzanforderungssignal identifiziert wird, wenn das Rücksetzanforderungssignal durch das Rücksetzmittel unter einer Bedingung ausgegeben wird, dass der Funktionsteil durch eines der mehreren Systeme verwendet wird.

Description

  • Die vorliegende Erfindung bezieht sich auf eine Steuervorrichtung, die durch mehrere Systeme unter Verwendung von mehreren CPU-Kernen ausgebildet ist.
  • Ein herkömmlicher Multikern-Mikrocomputer, der mehrere CPUs beinhaltet, ist in der JP 2009-245009 A offenbart. Als ein Anwendungsbeispiel eines derartigen Multikern-Mikrocomputers sind mehrere Systeme konfiguriert, um mehrere Funktionen unter Verwendung mehrerer CPU-Kerne durchzuführen. Das heißt, durch Verwendung des Multikern-Mikrocomputers wird eine Konfiguration, die den Mikrocomputer für jedes der mehreren Systeme verwendet, durch eine Konfiguration ersetzt, die die CPU-Kerne des Multikern-Mikrocomputers für die mehreren Systeme verwendet. Gemäß dieser Konfiguration werden Speicher und periphere Funktionsteile (Peripheriegeräte), die innerhalb oder außerhalb des Mikrocomputers vorgesehen sind, durch die mehreren CPU-Kerne geteilt.
  • Tritt eine Abnormität in einem System, das einen Mikrocomputer verwendet, auf, ist es nicht möglich, den Einfluss einer derartigen Abnormität in dem System vorherzusehen. Die Sicherheit des Systems wird demnach durch Rücksetzen aller in Beziehung mit dem System stehender Schaltkreise sichergestellt. Ein Rücksetzungsmittel stoppt einen Schaltungsbetrieb und stellt die Schaltung in einem Anfangszustand wieder her, der normalerweise sofort nach dem Einschalten einer Energieversorgung bereitgestellt wird.
  • In dem Fall, in dem ein einzelner Mikrocomputer jedem mehrerer Systeme zugeordnet ist, ist jedes System physikalisch geschlossen und somit können die Systeme eins nach dem anderen unabhängig rückgesetzt werden. Im Falle, dass ein CPU-Kern eines Multikern-Mikrocomputers jedem der mehreren Systeme zugeordnet ist, ist jedes System nicht physikalisch geschlossen und somit können die Systeme nicht auf gleiche Weise wie in dem Fall zurückgesetzt werden, in dem der einzelne Mikrocomputer zugeordnet ist. Beispielsweise, sogar, wenn der Multikern-Mikrocomputer aufgrund einer Abnormität von nur einem CPU-Kern, der einem System zugeordnet ist, rückgesetzt wird, werden alle Schaltungen wie beispielsweise CPU-Kerne, Speicher und periphere Funktionsteile auf einmal zurückgesetzt. Somit, werden sogar die CPU-Kerne und die Speicher, die dem System zugeordnet sind, das normal operiert, ebenso wie die peripheren Funktionsteile des normal operierenden Systems ebenso rückgesetzt.
  • Aus der US 2009 / 0 019 274 A1 ist ferner eine Datenverarbeitungsanordnung bekannt, die eine Rücksetzeinrichtung zum Rücksetzen eines oder mehrerer Prozessormodule, die einen Teil der Datenverarbeitungsanordnung bilden, aufweist. Die Datenverarbeitungsanordnung kann beispielsweise ein Multiprozessorsystem für ein Mobiltelefon sein.
  • Es ist eine Aufgabe der vorliegenden Erfindung eine Steuervorrichtung bereitzustellen, die selektiv nur ein abnormales System unter mehreren Systemen rücksetzt, die durch mehrere CPU-Kerne konfiguriert sind.
  • Die Aufgabe wird gelöst durch eine Steuervorrichtung nach dem Anspruch 1. Vorteilhafte Weiterbildungen sind Gegenstand der Unteransprüche.
  • Gemäß der vorliegenden Erfindung ist eine Steuervorrichtung aus mehreren Systeme in sich durch einen Multikern-Mikrocomputer ausgebildet und weist ein Rücksetzmittel und mehrere Komponenten auf. Das Rücksetzmittel erfasst ein abnormales System aus den mehreren Systemen und gibt ein Rücksetzanforderungssignal aus, dass das abnormale System identifiziert. Die mehreren Komponenten beinhalten mehrere CPU-Kerne des Mikrocomputers, die jeweils den mehreren Systemen bereitgestellt werden.
  • Gemäß einem Aspekt beinhalten die mehreren Komponenten einen dynamischen gemeinsamen Teil, der dynamisch unter den mehreren Systemen geteilt wird. Der dynamische gemeinsame Teil beinhaltet einen Funktionsteil und einen dynamischen Vermittlungsteil. Der Funktionsteil ist durch die mehreren Systeme aber nur durch ein System zu einer Zeit verwendbar und wird in Antwort auf das Rücksetzanforderungssignal zurückgesetzt. Der Vermittlungsteil gibt das Rücksetzanforderungssignal in den Funktionssteil unter der Bedingung ein, dass der Funktionsteil durch das abnormale System verwendet wird, dass durch das Rücksetzanforderungssignal identifiziert wird, wenn das Rücksetzanforderungssignal durch das Rücksetzmittel unter einer Bedingung ausgegeben wird, dass der Funktionsteil durch eines der mehreren Systeme verwendet wird.
  • Die vorstehenden und weitere Aufgaben, Merkmale und Vorteile der vorliegenden Erfindung werden aus der folgenden detaillierten Beschreibung in Zusammenschau mit den Zeichnungen ersichtlich.
  • In den Zeichnungen:
    • 1 ist ein Blockdiagramm, das einen Multikern-Mikrocomputer gemäß einer ersten Ausführungsform der vorliegenden Erfindung darstellt;
    • 2 ist ein Zeitablaufdiagramm, das einen Rücksetzbetrieb der ersten Ausführungsform darstellt;
    • 3 ist ein Zeitablaufdiagramm, das einen Rücksetzbetrieb einer zweiten Ausführungsform der vorliegenden Erfindung darstellt;
    • 4 ist ein Zeitablaufdiagramm, das einen Rücksetzbetrieb einer dritten Ausführungsform der vorliegenden Erfindung darstellt;
    • 5 ist ein Zeitablaufdiagramm, das einen Rücksetzbetrieb einer vierten Ausführungsform der vorliegenden Erfindung darstellt;
    • 6 ist ein Blockdiagramm, das einen Multikern-Mikrocomputer gemäß einer fünften Ausführungsform darstellt;
    • 7 ist ein Zeitablaufdiagramm, das eine Aktualisierungsverarbeitung der fünften Ausführungsform darstellt;
    • 8. ist ein Zeitablaufdiagramm, das die Aktualisierungsverarbeitung der fünften Ausführungsform darstellt, die basierend auf einem Unterschied durchgeführt wird; und
    • 9 ist ein Zeitablaufdiagramm, das eine Ausführungszeitgebung beziehungsweise einen Ausführungstakt der Aktualisierungsverarbeitung der fünften Ausführungsform darstellt.
  • (Erste Ausführungsform)
  • Gemäß 1 beinhaltet ein Multikern-Mikrocomputer, der als eine Steuervorrichtung für ein Fahrzeug verwendet wird, drei CPU-Kerne, das heißt, einen ersten CPU-Kern 11, einen zweiten CPU-Kern 12 und einen dritten CPU-Kern 13. Ein Speicher 20, ein peripherer Funktionsteil (Peripheriegerät) 30, ein Abnormitätsüberwachungsteil 40 und ein Rücksetzteil 50 sind innerhalb des Multikern-Mikrocomputers 1 vorgesehen. Ein Teil dieser Teile kann außerhalb des Multikern-Mikrocomputers 1 als eine Steuervorrichtung bereitgestellt werden, die einen Multikern-Mikrocomputer und eine externe Schaltung beinhaltet. Die Steuervorrichtung kann konfiguriert sein, um mehrere Speicher 20 und mehrere periphere Funktionsteile 30 zu beinhalten.
  • Die drei CPU-Kerne 11 bis 13 werden verwendet, um mehrere (drei) unabhängige Systeme auf integrierte Art und Weise zu konfigurieren. Jedes System ist durch mehrere Komponenten konfiguriert, das heißt, den CPU-Kern 11 bis 13, den Speicher 20 und den peripheren Funktionsteil 30 gemäß der ersten Ausführungsform. Jedes System wird durch einen Identifikationscode identifiziert, der als eine System-ID bezeichnet wird. Signalen, die in den Multikern-Mikrocomputer 1 eingegeben und von diesem ausgegeben werden, werden System-IDs zugewiesen, die mit den Signalen in Beziehung stehen. Beispielsweise werden die System-IDs auf [000], [001] und [002] entsprechend zugeordnet für das erste System des ersten CPU-Kerns 11, das zweite System, das den zweiten CPU-Kern 12 verwendet, und das dritte System festgelegt, das den dritten CPU-Kern 13 verwendet.
  • Der Speicher 20 ist eine gemeinsame Komponente, die Informationen speichert, die für Operationen der CPU-Kerne 11 bis 13 erforderlich sind und statisch durch die drei Systeme (drei CPU-Kerne 11 bis 13) geteilt werden. In dem Speicher 20 ist ein Teil, der durch die CPU-Kerne 11 bis 13 geteilt wird, fest und ändert sich nicht mit der Zeit. Er wird geteilt, um den CPU-Kernen 11 bis 13 zur selben Zeit zur Verfügung zu stehen. Konkret weist der Speicher 20 Speicherbereiche auf, das heißt, einen ersten Speicherbereich 21, einen zweiten Speicherbereich 22 und einen dritten Speicherbereich 23, die dem ersten System (erster CPU-Kern 11), dem zweiten System (zweiter CPU-Kern 12) und dem dritten System (dritter CPU-Kern 13) entsprechend zugeordnet sind. Die Speicherbereiche 21 bis 23 speichern darin Systemsteuerprogramme für entsprechende Systeme. Jeder der Steuerbereiche 21 bis 23 ist ein Abschnitt, der unabhängig von den anderen Speicherbereichen rücksetzbar ist.
  • Der Speicher 20 beinhaltet einen Vermittler 24. Wenn ein Signal von außerhalb des Speichers 20 eingegeben wird, spezifiziert der Vermittler 24 einen Speicherbereich, der dem Eingangssignal entspricht von dem ersten Speicherbereich 21, dem zweiten Speicherbereich 22 und dem dritten Speicherbereich 23. Zum Ausführen dieser Verarbeitung speichert der Speicher 20 eine Systemaufzeichnung 25, die eine Beziehung zwischen den Speicherbereichen 21 bis 23 und dem ersten, zweiten und dritten System darstellt. Konkret speichert die Systemaufzeichnung 50 eine Korrespondenz zwischen ersten Informationen, die den ersten Speicherbereich 21 identifizieren, und der System-ID [000] des ersten Systems, eine Korrespondenz zwischen zweiten Informationen, die den zweiten Speicherbereich 22 identifizieren, und der System-ID [001] des zweiten Systems und eine Korrespondenz zwischen den dritten Informationen, die den dritten Speicherbereich 23 identifizieren, und der System-ID [002] des dritten Systems. Der Vermittler kann somit durch Bezugnahme auf die Systemaufzeichnung 25 den Speicherbereich spezifizieren, der dem System zugeordnet ist, das durch die System-ID identifiziert wird, die dem Eingangssignal zugewiesen ist. Auf jedes der Systeme wird als ein abnormales System und ein normales System Bezug genommen, wenn es als eine Abnormität aufweisend beziehungsweise keine Abnormität aufweisend bestimmt wird. Wie nachfolgend beschrieben, wenn ein Rücksetzanforderungssignal durch den Rücksetzteil 50 an den Speicher 20 ausgehend vom Auftreten des abnormalen Systems ausgegeben wird, spezifiziert der Vermittler 24 unter den drei Speicherbereichen 21 bis 23 den Speicherbereich, der dem abnormalen System zugeordnet ist, das durch das Rücksetzanforderungssignal identifiziert wird, und setzt den spezifizierten Speicherbereich zurück.
  • Der periphere Funktionsteil 30 ist ebenso eine gemeinsame Komponente, die bezüglich jedes CPU-Kerns 11 bis 13 peripher ist. Der periphere Funktionsteil 30 beinhaltet beispielsweise einen Allzweck-Eingabe/-Ausgabeport, ein Kommunikationsfunktionsteil, einen Zeitgeber, ein Unterbrechungsverarbeitungsfunktionsteil beziehungsweise einen sogenannten Interrupt-Verarbeitungsfunktionsteil, einen DMA-Controller und einen A/D-Wandler. Der periphere Funktionsteil operiert in Antwort auf ein Operationsbeziehungsweise Betriebsanforderungssignal, das von jedem CPU-Kern 11 bis 14 ausgegeben wird und dynamisch durch die drei Systeme (drei CPU-Kerne 11 bis 13) geteilt wird. Er wird geteilt, das heißt, auf zeitlich unterteilte Weise beziehungsweise Zeitmultiplex-Weise unter einer Bedingung verwendet, dass der CPU-Kern 11 bis 13, der den peripheren Funktionsteil 30 verwendet, mit der Zeit von einem zum anderen wechselt.
  • Konkret beinhaltet der periphere Funktionsteil 30 eine Funktionsschaltung 31 und einen Vermittler 32. Die Funktionsschaltung 31 operiert in Antwort auf das Operationsbeziehungsweise Betriebsanforderungssignal und der Vermittler 32 vermittelt Signale, die von seiner Außenseite eingegeben werden. Die Funktionsschaltung 31 wird durch die drei Systeme verwendet und in Antwort auf das Rücksetzanforderungssignal zurückgesetzt. Die Anzahl von Systemen, denen es erlaubt ist, die Funktionsschaltung zur selben Zeit zu verwenden, ist auf eins begrenzt. Werden die Operations- beziehungsweise Betriebsanforderungssignale von zwei oder mehr der drei Systeme (drei CPU-Kerne 11 bis 13) ausgegeben, wählt der Vermittler 32 ein einziges Operations- beziehungsweise Betriebsanforderungssignal bei einer einzigen Zeitgebung aus, das durch die Funktionsschaltung 31 auszugeben ist, sodass das System, dem es erlaubt ist, die Funktionsschaltung 31 zu verwenden, mit der Zeit umgeschaltet wird. Diese Auswahlverarbeitung wird beispielsweise stapelweise realisiert. Ferner, wie später beschrieben wird, gibt der Vermittler 32 das Rücksetzanforderungssignal an die Funktionsschaltung 31 unter der Bedingung aus, dass das abnormale System, das durch das Rücksetzanforderungssignal identifiziert wird, und das System, das die Funktionsschaltung 31 verwendet, dieselben sind, wenn der Rücksetzteil 50 das Rücksetzanforderungssignal ausgehend von dem Auftreten des abnormalen Systems unter einer Bedingung ausgibt, das die Funktionsschaltung von einem der Systeme verwendet wird.
  • Der Abnormitätsüberwachungsteil 40 überwacht Komponenten (CPU-Kerne 11 bis 13, Speicher 20 und peripheres Funktionsteil 30) die jedes System ausbilden, um ein abnormales unter den drei Systemen zu erfassen. Der Abnormitätsüberwachungsteil 40 kann beispielsweise durch Laufzeitüberwachung beziehungsweise einen sogenannten Watchdog-Timer, Softwareüberwachung durch eine CPU oder einen Gleichschritt-Kern beziehungsweise einen sogenannten Lockstep-Kern realisiert werden.
  • Der Rücksetzteil 50 gibt das Rücksetzanforderungssignal durch Ändern des Signals hin zu einem aktiven Pegel aus, um jede Komponente des abnormalen Systems in den Rücksetzzustand zu ändern, wenn der Abnormitätsüberwachungsteil 40 das abnormale System erfasst. Der Rücksetzteil 50 gibt dann den Rücksetzzustand durch Stoppen des Rücksetzanforderungssignals durch Ändern des Signals in einen nicht aktiven Pegel frei. In dem Multikern-Mikrocomputer1 führt jeder CPU-Kern 11 bis 13 ein Systemsteuerprogramm für das entsprechende System durch das Lesen des Systemsteuerprogramms vom entsprechenden Speicherbereich 21 bis 23 aus und gibt das Operations- beziehungsweise Betriebsanforderungssignal an den peripheren Funktionsteil 30 entsprechend dem Inhalt des Systemsteuerprogramms aus. Jede Komponente (CPU-Kern 11 bis 13, Speicher 20 und periphere Funktionsteil 30), die jedes System ausbilden, gibt das Zustandssignal, das den Betriebszustand angibt, periodisch an den Abnormitätsüberwachungsteil 40 aus. Der Abnormitätsüberwachungsteil 40 gibt das Rücksetzanforderungssignal an jede Komponente durch den Rücksetzteil 50 ausgehend vom Erfassen des abnormalen Zustands irgendeines der Systeme basierend auf dem Zustandssignal aus, das von den Komponenten ausgegeben wird.
  • Wird die Komponente (konkret, der Speicher 20 und der periphere Funktionsteil 30), die von mehreren Systemen geteilt wird, rückgesetzt, wenn ein abnormales System auftritt, ist es wahrscheinlich, dass andere normale Systeme beeinträchtigt werden. Demnach wird die System-ID den Eingangs- und Ausgangssignalen zugewiesen oder angehängt (Operations- beziehungsweise Betriebsanforderungssignal, Zustandssignal und Rücksetzanforderungssignal), sodass die Korrespondenz zwischen dem Signal und dem System identifiziert werden kann. In dem Speicher 20, der statisch von den drei Systemen geteilt wird, nimmt der Vermittler 24 Bezug auf die Systemaufzeichnung 25 in Antwort auf das Rücksetzanforderungssignal, das von dem Rücksetzteil 50 empfangen wird, und spezifiziert den Speicherbereich, der dem abnormalen System zugeordnet ist, das durch das System-ID identifiziert wird, die dem Rücksetzanforderungssignal zugewiesen ist, als einen Speicherbereich, der zurückzusetzen ist. Das heißt, nur der der Speicherbereich, der dem abnormalen System unter den Speicherbereichen 21 bis 23 zugeordnet ist, die den Systemen zugeordnet sind, wird rückgesetzt aber die Speicherbereiche, die den normalen Systemen zugeordnet sind, werden nicht zurückgesetzt.
  • In dem peripheren Funktionsteil 30, der dynamisch von den drei Systemen geteilt wird, maskiert der Vermittler 32 das Rücksetzanforderungssignal, das von dem Rücksetzteil 50 empfangen wird, basierend auf der System-ID, die dem Rücksetzanforderungssignal zugewiesen ist. Konkret überprüft der Vermittler 32 die System-IDs, die dem Operations- beziehungsweise Betriebsanforderungssignal, das an die Funktionsschaltung 31 ausgegeben wird, und dem Rücksetzanforderungssignal zugewiesen sind, das von dem Rücksetzteil 50 eingegeben wird, wenn das Operations- beziehungsweise Betriebsanforderungssignal, das von einem der CPU-Kerne 11 bis 13 eingegeben wird, an die Funktionsschaltung 31 ausgegeben wird. Stimmen die System-IDs nicht überein, wird das Rücksetzanforderungssignal maskiert, so dass das Rücksetzanforderungssignal nicht an die Funktionsschaltung 31 ausgegeben wird. Stimmen die System-IDs überein oder wird das Operations- beziehungsweise Betriebsanforderungssignal nicht von einem der CPU-Kerne 11 bis 13 eingegeben, wird das Rücksetzanforderungssignal an die Funktionsschaltung 31 ausgegeben. Das heißt, der periphere Funktionssteil 30 wird nicht bei einer Zeitgebung beziehungsweise einem Takt zurückgesetzt, wenn der periphere Funktionssteil 30 durch die normalen Systeme verwendet wird.
  • Wie vorstehend beschrieben, wird es ermöglicht, Rücksetzen in jeder der Komponenten durchzuführen, die von den drei Systemen (drei CPU-Kerne 11 bis 13) statisch (Speicher 20) und dynamisch (peripherer Funktionsteil 30) geteilt werden, so dass das normale System nicht beeinträchtigt wird.
  • Eine Zeitdauer zwischen einem Start und einem Ende der Rücksetzverarbeitung (erforderliche Rücksetzperiode) variiert von Komponente zu Komponente. In einigen Fällen ist es nicht möglich, die Rücksetzverarbeitung sofort bei der Zeitgebung beziehungsweise bei dem Takt des Auftretens der Abnormität in der Komponente, die dynamisch geteilt wird, zu starten. Somit variiert die Zeitgebung des Startens der Rücksetzverarbeitung ebenso von Komponente zu Komponente. Es ist demnach notwendig, die Rücksetzverarbeitung bei entsprechenden Zeitgebungen zu starten und normal zu beenden, die für alle die Komponenten, die zurückzusetzen sind, angemessen sind, wenn ein abnormales System erfasst wird. Das Rücksetzen sollte unter all den Komponenten synchronisiert werden.
  • In der ersten Ausführungsform, wenn das Rücksetzanforderungssignal von dem Rücksetzteil 50 ausgehend von der Erfassung des abnormalen Systems durch den Abnormitätsüberwachungsteil 40 ausgegeben wird, beginnt jede Komponente, die das abnormale System ausbildet, die Rücksetzverarbeitung sofort nachdem sie rücksetzbar wird. Die Ausgabe des Rücksetzanforderungssignals wird gestoppt, das heißt, der Rücksetzzustand wird freigegeben, nachdem die Rücksetzverarbeitung in allen Komponenten des abnormalen Systems beendet ist.
  • Konkret gibt jede Komponente ein Rücksetz-Flag an den Rücksetzteil 50 aus. Das Rücksetz-Flag gibt als EIN- und AUS-Information Zustände an, dass die Rücksetzverarbeitung abgeschlossen wurde beziehungsweise noch nicht abgeschlossen wurde. Der Rücksetzteil 50 gibt den Rücksetzzustand nach Bestätigung basierend auf den Rücksetz-Flags, die von den Komponenten ausgegeben werden, dass alle Komponenten des abnormalen Systems die entsprechende Rücksetzverarbeitung beendet haben, frei.
  • Die Komponente, das heißt, der Speicher 20, der statisch von den drei Systemen geteilt wird, verwendet unterschiedliche Rücksetz-Flag aus dem ersten Speicherbereich 21, dem zweiten Speicherbereich 22 und dem dritten Speicherbereich 23. Wird das Rücksetzanforderungssignal eingegeben, wird das Rücksetz-Flag des Speicherbereichs in dem Speicher 20, der dem abnormalen System zugeordnet ist, das durch die System-ID identifiziert wird, die dem Rücksetzanforderungssignal zugewiesen ist, zur Zeit des Eingebens des Rücksetzanforderungssignals AUS und zur Zeit des Vervollständigens der Rücksetzverarbeitung EIN. Die Rücksetz-Flags der Speicherbereiche ausgenommen dem Speicherbereich, der dem abnormalen System zugeordnet ist, bleiben ohne Änderung EIN, sogar wenn das Rücksetzanforderungssignal eingegeben wird.
  • Das Rücksetzflag der Komponente (peripherer Funktionsteil 30), das dynamisch unter den drei Systemen geteilt wird, wird zur Zeit des Eingebens des Rücksetzanforderungssignals AUS und zur Zeit des Vervollständigens der Rücksetzverarbeitung EIN. Das Rücksetz-Flag des CPU-Kerns, der das abnormale System unter den CPU-Kernen 11 bis 13 ausbildet, wird zur Zeit des Eingebens des Rücksetzanforderungssignals AUS und zur Zeit des Vervollständigens der Rücksetzverarbeitung EIN. Die Rücksetz-Flags der CPU-Kerne, die das abnormale System nicht ausbilden, bleiben ohne Änderung EIN, sogar wenn das Rücksetzanforderungssignal eingegeben wird.
  • Der Rücksetzteil 50 gibt den Rücksetzzustand nicht frei, wenn ein Betriebsergebnis einer AND-Logik beziehungsweise einer UND-Logik (Betriebsergebnis einer NOR-Logik beziehungsweise Nicht-Oder-Logik, wenn der aktive Pegel 0 ist) der Rücksetz-Flags aller Komponenten angibt, dass mindestens eine Komponente die Rücksetzverarbeitung noch nicht beendet hat. Der Rücksetzteil gibt den Rücksetzzustand frei, wenn das Betriebsergebnis der AND-Logik beziehungsweise der UND-Logik angibt, dass alle der Komponenten die Rücksetzverarbeitung beendet haben.
  • Ein Beispiel des Rücksetzbetriebs ist in 2 dargestellt, in der davon ausgegangen wird, dass das dritte System, das den dritten CPU-Kern 13 beinhaltet, abnormal geworden ist. Tritt in dem dritten CPU-Kern 13 des dritten Systems bei einem Takt T1 eine Abnormität auf und erfasst der Abnormitätsüberwachungsteil 40, dass das dritte System abnormal ist, gibt der Rücksetzteil 50 das Rücksetzanforderungssignal, dem die System-ID [002] zugewiesen ist, an jede Komponente aus. Wird das Rücksetzanforderungssignal in den dritten CPU-Kern 13 eingegeben, wird das Rücksetz-Flag von EIN nach AUS geändert und die Rücksetzverarbeitung wird unmittelbar gestartet, um den dritten CPU-Kern 13 zurückzusetzen. Läuft eine Rücksetzperiode RP13 ab, die erforderlich ist, um den dritten CPU-Kern zurückzusetzen, wird die Rücksetzverarbeitung beendet und das Rücksetz-Flag von AUS nach EIN geändert.
  • Ähnlich zum dritten CPU-Kern 13, wenn das Rücksetzanforderungssignal in den dritten Speicherbereich 23 des Speichers 20 eingegeben wird, wird das Rücksetz-Flag von EIN nach AUS geändert und die Rücksetzverarbeitung wird unmittelbar gestartet, um den Speicherbereich 23 entsprechend dem abnormalen System (dritter CPU-Kern 13) zurückzusetzen. Wenn eine Rücksetzperiode RP13, die erforderlich ist, um den dritten Speicherbereich 23 zurückzusetzen und sich von der RP13 des dritten CPU-Kerns 13 unterscheidet, abläuft, wird die Rücksetzverarbeitung beendet und das Rücksetz-Flag von AUS nach EIN geändert. Da der erste Speicherbereich 21 und der zweite Bereich 22 des Speichers 20 nicht rückgesetzt werden, werden die anderen normalen Systeme (erstes System und zweites System) nicht beeinträchtigt.
  • Wird das Rücksetzsignal in den peripheren Funktionsteil 30 eingegeben, wird das Rücksetz-Flag von EIN nach AUS geändert. Da das Operations- beziehungsweise Betriebsanforderungssignal (System-ID [001]) von dem zweiten CPU-Kern 12 beim Takt T1 eingegeben wird, wird das Rücksetzanforderungssignal bezüglich dem dritten System durch den Vermittler 32 maskiert, um durch den peripheren Funktionsteil 30 eingegeben zu werden. Aus diesem Grund, sogar wenn die Rücksetzverarbeitung für den dritten CPU-Kern 13 und den Speicherbereich 23 des Speichers 20 beendet ist, ist das Rücksetz-Flag, das vom peripheren Funktionsteil 30 ausgegeben wird, bei dieser Zeitgebung AUS. Das heißt, da das AND-Logik-Operationsergebnis beziehungsweise das UND-Logik-Operationsergebnis des Rücksetz-Flags von allen Komponenten NEIN (nicht wahr) angibt, stoppt der Rücksetzteil 50 das Rücksetzanforderungssignal nicht von seiner Ausgabe. Das heißt, der Rücksetzzustand wird nicht freigegeben.
  • Wird die Ausgabe des Operations- beziehungsweise Betriebsanforderungssignals von dem zweiten CPU-Kern 12 an den peripheren Funktionsteil 30 bei einer Zeitgebung T2 gestoppt, wird das Rücksetzanforderungssignal von dem Vermittler 32 an die Funktionsschaltung 31 ausgegeben und die Rücksetzverarbeitung wird gestartet um den peripheren Funktionsteil zurückzusetzen. Wenn eine Rücksetzperiode RP 30, die zum Rücksetzen des peripheren Funktionsteil 30 erforderlich ist und sich von RP 13 und RP23 des dritten CPU-Kerns 13 und des Speichers 20 unterscheidet, abläuft, ist die Rücksetzverarbeitung beendet und das Rücksetz-Flag wird von AUS nach EIN bei einer Zeitgebung T3 geändert. Demzufolge gibt das AND-Logik-Operationsergebnis beziehungsweise das UND-Logik-Operationsergebnis der Rücksetz-Flags von allen Komponenten des abnormalen Systems JA (wahr) an, der Rücksetzteil 50 stoppt die Ausgabe des Rücksetzanforderungssignals. Das heißt, der Rücksetzzustand wird freigegeben.
  • Gemäß der ersten Ausführungsform wird der periphere Funktionsteil 30, der die Funktionsschaltung 31 und den Vermittler 32 beinhaltet, dynamisch durch die drei Systeme geteilt. Wenn der Rücksetzteil 50 das Rücksetzanforderungssignal unter einer Bedingung ausgibt, dass die Funktionsschaltung 31 durch irgendeines der drei Systeme verwendet wird, wird das Rücksetzanforderungssignal in die Funktionsschaltung 31 unter der Bedingung eingegeben, dass das abnormale System, das basierend auf dem Rücksetzanforderungssignal identifiziert wird und das System, das die Funktionsschaltung 31 verwendet, dasselbe ist. Demnach ist es möglich, die Eingabe des Rücksetzanforderungssignals in die Funktionsschaltung 31 zu unterbinden, sogar wenn das Rücksetzanforderungssignal durch den Rücksetzteil 50 ausgegeben wird, wobei die Funktionsschaltung 31 durch die normalen Systeme verwendet wird. Somit wird vermieden, dass der periphere Funktionsteil zurückgesetzt wird, solange er durch die normalen Systeme verwendet wird, und nur die normalen Systeme können selektiv zurückgesetzt werden.
  • Der Speicher 20, der die drei Speicherbereiche 21 bis 23 beinhaltet und der Vermittler 24 werden statisch durch die drei Systeme geteilt. Gibt der Rücksetzteil 50 das Rücksetzanforderungssignal aus, setzt der Vermittler 24 den Speicherbereich von den drei Speicherbereichen 21 bis 23 zurück, der dem abnormalen System zugeordnet ist, das durch das Rücksetzanforderungssignal identifiziert wird. Demnach ist es möglich, dem vorzubeugen, dass die Speicherbereiche, die durch die normalen Systeme verwendet werden, zurückgesetzt werden, wenn das Rücksetzanforderungssignal durch den Rücksetzteil 50 ausgegeben wird. Nur das abnormale System unter den drei Systemen kann selektiv zurückgesetzt werden.
  • Wenn der Rücksetzteil 50 das Rücksetzanforderungssignal ausgibt, wird die Rücksetzverarbeitung unmittelbar gestartet, nachdem jede Komponente des abnormalen Systems als rücksetzbar erbracht ist. Der Rücksetzteil 50 stoppt die Ausgabe des Rücksetzanforderungssignals, wenn bestimmt wird, dass alle Komponenten des abnormalen Systems die Rücksetzverarbeitung beendet haben. Somit wird die Rücksetzverarbeitung für die Komponenten, die das abnormale System ausbilden, früh gestartet und die Periode, in der die Komponente unter dem normalen Zustand fortführt zu operieren, kann verkürzt werden.
  • Das Rücksetz-Flag, das angibt, ob die Rücksetzverarbeitung beendet wurde, wird von jeder Komponente ausgegeben. Der Rücksetzteil 50 überprüft, ob alle Komponenten des abnormalen Systems der Rücksetzverarbeitung beendet haben, basierend auf den Rücksetz-Flags, die von den Komponenten ausgegeben werden. Aus diesem Grund ist es möglich, zu überprüfen, ob alle Komponenten, die das abnormale System ausbilden, die Rücksetzverarbeitung beendet haben, und den Rücksetzzustand früh freizugeben. Da der Rücksetzteil 50 die System-ID des abnormalen Systems zusammen mit dem Rücksetzanforderungssignal ausgibt, ist es nicht erforderlich, eine Signalleitung zum Übertragen der System-ID separat von der Signalleitung zum Übertragen des Rücksetzanforderungssignals bereit zu stellen.
  • Der Speicher 20 bildet einen statisch geteilten oder gemeinsamen Teil und der Vermittler 24 bildet einen statischen Vermittlungsteil aus. Der periphere Funktionsteil 30 bildet einen dynamisch geteilten oder gemeinsamen Teil aus, die Funktionsschaltung 31 bildet einen Funktionsteil aus und der Vermittler 32 bildet einen dynamischen Vermittlungsteil aus. Der Abnormitätsüberwachungsteil 40 und der Rücksetzteil 50 bilden ein Rücksetzmittel aus. Das Rücksetz-Flag bildet Rücksetzinformationen und die System-ID bildet Identifikationsinformationen aus.
  • (Zweite Ausführungsform)
  • Eine zweite Ausführungsform des Mikrocomputers 1 ist bezüglich Konfiguration und Basisbetrieb ähnlich zur ersten Ausführungsform. Jedoch unterscheidet sich die zweite Ausführungsform von der ersten Ausführungsform dadurch, dass der Rücksetzteil 50 die Rücksetz-Flags jeder Komponente erlangt. Das heißt, obwohl jede Komponente das Rücksetz-Flag an den Rücksetzteil 50 in der ersten Ausführungsform ausgibt, ruft der Rücksetzteil 50 in der zweiten Ausführungsform periodisch das Rücksetz-Flag jeder Komponente ab.
  • In der zweiten Ausführungsform wird das Rücksetz-Flag in einem Speicherteil jeder Komponente derart gespeichert, dass es der Rücksetzteil 50 ohne Weiteres abrufen kann. Der Rücksetzteil 50 führt periodisches Abrufen (Erlangen) des Rücksetz-Flags von dem Speicherteil jeder Komponente durch. Der Speicher 20 speichert die Rücksetz-Flags, die jeweils dem ersten Speicherbereich 21, dem zweiten Speicherbereich 22 und dem dritten Speicherbereich 23 entsprechen. Ähnlich zur ersten Ausführungsform gibt der Rücksetzteil 50 den Rücksetzzustand nicht frei, wenn das AND-Logik-Operationsergebnis beziehungsweise das UND-Logik-Operationsergebnis des Rücksetz-Flags aller Komponenten nicht wahr ist, und gibt den Rücksetzzustand frei, wenn das AND-Logik-Operationsergebnis beziehungsweise das UND-Logik-Operationsergebnis wahr wird.
  • Ein Beispiel der Rücksetzoperation der zweiten Ausführungsform ist in 3 dargestellt, in der davon ausgegangen wird, dass das dritte System, wie in der ersten Ausführungsform, abnormal wird. Tritt die Abnormität in dem dritten CPU-Kern 13 des dritten Systems bei der Zeitgebung T1 auf und erfasst der Abnormitätsüberwachungsteil 40, dass das dritte System abnormal ist, gibt der Rücksetzteil 50 das Rücksetzanforderungssignal, dem die System-ID [002] zugewiesen ist, an jede Komponente aus.
  • Wird das Rücksetzanforderungssignal in den dritten CPU-Kern 13 eingegeben, wird das Rücksetz-Flag von EIN nach AUS geändert und die Rücksetzverarbeitung wird unmittelbar gestartet, um den dritten CPU-Kern 13 zurückzusetzen. Läuft die Rücksetzperiode RP 13 ab, die erforderlich ist, um den dritten CPU-Kern 13 zurückzusetzen, wird die Rücksetzverarbeitung beendet und das Rücksetz-Flag von AUS nach EIN geändert.
  • Ähnlich wie beim dritten CPU-Kern 13, wenn das Rücksetzanforderungssignal in den dritten Speicherbereich 23 des Speichers 20 eingegeben wird, wird das Rücksetz-Flag von EIN nach AUS geändert und die Rücksetzverarbeitung wird unmittelbar gestartet, um den Speicherbereich 23 zurückzusetzen. Wenn die Rücksetzperiode RP 23 abläuft, die erforderlich ist, um den dritten Speicherbereich 23 zurückzusetzen, wird die Rücksetzverarbeitung beendet und das Rücksetz-Flag von AUS zu EIN geändert. Da der erste Speicherbereich 21 und der zweite Speicherbereich 22 des Speichers 20 nicht zurückgesetzt werden, werden die anderen Systeme (erstes System und zweites System) nicht beeinträchtigt.
  • Wird das Rücksetzanforderungssignal in den peripheren Funktionsteil 30 eingegeben, wird das Rücksetz-Flag von EIN nach AUS geändert. Da das Operations- beziehungsweise Betriebsanforderungssignal (System-ID [001]) von dem zweiten CPU-Kern 12 bei der Zeitgebung T1 eingegeben wird, wird das Rücksetzanforderungssignal bezüglich dem dritten System maskiert, um in dem peripheren Funktionsteil 30 durch den Vermittler 32 eingegeben zu werden.
  • Der Rücksetzteil 50 ruft das Rücksetz-Flag von dem Speicherteil jeder Komponente bei der Zeitgebung T2 ab, die nach einer vorbestimmten festen Warteperiode ausgehend von der Zeitgebung T1 ist. Diese feste Warteperiode wird so festgelegt, dass sie länger als eine maximale Periode ist, die erforderlich ist, um alle Komponenten zurückzusetzen. Das Rücksetz-Flag, das von dem Speicherteil des peripheren Funktionsteils 30 zu dieser Zeit abgerufen wird, ist AUS und das AND-Logik-Operationsergebnis beziehungsweise das UND-Logik-Operationsergebnis der Rücksetz-Flags aller Komponenten gibt NEIN (nicht wahr) an. Der Rücksetzteil 50 stoppt daher die Ausgabe des Rücksetzanforderungssignals nicht. Das heißt, der Rücksetzzustand ist nicht freigegeben.
  • Wird die Ausgabe des Operations- beziehungsweise Betriebsanforderungssignals von dem zweiten CPU-Kern 12 zum peripheren Funktionsteil 30 bei der Zeitgebung T3 gestoppt, wird das Rücksetzanforderungssignal vom Vermittler 32 zur Funktionsschaltung 31 ausgegeben und die Rücksetzverarbeitung wird gestartet, um den peripheren Funktionsteil 30 zurückzusetzen. Wenn die Rücksetzperiode RP 30, die erforderlich ist um den peripheren Funktionsteil 30 zurückzusetzen, abläuft, wird die Rücksetzverarbeitung beendet und das Rücksetz-Flag wird von AUS nach EIN geändert
  • Der Rücksetzteil 50 ruft das Rücksetz-Flag von dem Speicherbereich jeder Komponente bei der Zeitgebung T4 ab, die nach einer vorbestimmten festen Warteperiode ausgehend von der Zeitgebung T2 ist. Bei dieser Zeitgebung T4 ist das Rücksetz-Flag, das von dem Speicherteil des peripheren Funktionsteils 30 abgerufen wird, EIN und das AND-Logik-Operationsergebnis beziehungsweise das UND-Logik-Operationsergebnis der Rücksetz-Flags aller der Komponenten gibt JA (wahr) an. Der Rücksetzteil 50 stoppt daher die Ausgabe des Rücksetzanforderungssignals. Das heißt, der Rücksetzzustand wird freigegeben.
  • Gemäß der zweiten Ausführungsform speichert jede Komponente das Rücksetz-Flag, das angibt, ob die Rücksetzverarbeitung in seinem Speicherbereich auf eine Weise abgeschlossen wurde, dass es durch den Rücksetzteil 50 abrufbar ist. Der Rücksetzteil 50 ruft das Rücksetz-Flag ab, das in jeder Komponente gespeichert ist, und überprüft basierend auf den abgerufenen Rücksetz-Flags, ob alle Komponenten des abnormalen Systems die Rücksetzverarbeitung beendet haben. Somit ist es möglich, zu überprüfen, ob die Rücksetzverarbeitung durch jede Komponente, die das abnormale System ausbildet, beendet wurde, ohne dass es erforderlich ist, das jede Komponente eine Funktion zur Ausgabe eines Rücksetz-Flags aufweist.
  • (Dritte Ausführungsform)
  • Eine dritte Ausführungsform des Mikrocomputers 1 ist ähnlich zur ersten und zweiten Ausführungsform bezüglich seiner Konfiguration und seinem Basisbetrieb. Jedoch unterscheidet sich die dritte Ausführungsform von der ersten Ausführungsform in der Zeitgebung bei der die Komponente des abnormalen Systems die Rücksetzverarbeitung startet. In der ersten Ausführungsform wird jede Komponente des abnormalen Systems beispielhaft so dargestellt, dass sie die Rücksetzverarbeitung unmittelbar startet, nachdem sie rücksetzbar wird. In der dritten Ausführungsform jedoch, wird jede Komponente des abnormalen Systems beispielhaft so dargestellt, dass sie wartet, bis alle Komponenten des abnormalen Systems rücksetzbar werden.
  • Gemäß der dritten Ausführungsform wartet jede Komponente bis alle Komponenten des abnormalen Systems rücksetzbar werden, wenn das abnormale System durch den Abnormitätsüberwachungsteil 40 erfasst wird und das Rücksetzanforderungssignal von dem Rücksetzteil 50 ausgegeben wird. Wenn alle Komponenten, die das abnormale System ausbilden, bereit zum Rücksetzen werden, startet jede Komponente unmittelbar die Rücksetzverarbeitung und gibt den Rücksetzzustand bei einer Zeitgebung aus, wenn ein Maximum der Perioden, die zum Durchführen der Rücksetzverarbeitung in den Komponenten erforderlich ist, ausgehend vom Start der Rücksetzverarbeitung abläuft.
  • Die Informationen, die angeben, ob die anderen Komponenten rücksetzbar sind, werden unter den Komponenten in der dritten Ausführungsform geteilt. Konkret ist es die Komponente (Teil 30), die dynamisch unter den drei Systemen geteilt wird, die möglicherweise nicht unmittelbar, nachdem das Rücksetzanforderungssignal ausgegeben wird, rücksetzbar wird. Aus diesem Grund wird ein Rücksetzmaskensignal an allen anderen Komponenten ausgegeben, um das Rücksetzanforderungssignal gewaltsam zu maskieren, wen der periphere Funktionsteil 30 nicht im rücksetzbaren Zustand ist, das heißt, der Vermittler 32 maskiert das Rücksetzanforderungssignal.
  • Ein Beispiel des Rücksetzbetriebs der dritten Ausführungsform ist in 4 dargestellt, in dem davon ausgegangen wird, dass das dritte System, wie in der ersten und zweiten Ausführungsform abnormal wird. Tritt eine Abnormität in dem dritten CPU-Kern 13 des dritten Systems bei der Zeitgebung T1 auf und erfasst der Abnormitätsüberwachungsteil 40, dass das dritte System abnormal ist, gibt der Rücksetzteil 50 das Rücksetzanforderungssignal, dem die System-ID [002] zugewiesen ist, an jede Komponente aus.
  • Da das Operations- beziehungsweise Betriebsanforderungssignal, dem die System-ID [001] zugewiesen ist, ausgehend von dem zweiten CPU-Kern 12 in den peripheren Funktionsteil 30 bei der Zeitgebung T1 eingegeben wird, wird das Rücksetzanforderungssignal bezüglich dem dritten System durch den Vermittler 32 maskiert. Somit wird das Rücksetzmaskensignal von dem peripheren Funktionsteil 30 an alle anderen Komponenten ausgegeben und die Rücksetzanforderungssignale für die anderen Komponenten werden gewaltsam maskiert. Demzufolge wird die Rücksetzverarbeitung nicht in irgendeiner der anderen Komponenten gestartet (Rücksetzung wird abgewartet) der dritte CPU-Kern 13 fährt fort unter dem abnormalen Zustand zu operieren und der Speicherbereich 23 des Speichers 20 fährt mit der vorhergehenden oder existierenden Operation fort.
  • Stoppt das Operations- beziehungsweise Betriebsanforderungssignal, das von dem zweiten CPU-Kern 12 an den peripheren Funktionsteil 30 ausgegeben wird, bei der Zeitgebung T2, wird das Rücksetzanforderungssignal von dem Vermittler 32 an die Funktionsschaltung 31 ausgegeben, so dass die Rücksetzverarbeitung für den peripheren Funktionsteil 30 gestartet wird. Zur selben Zeit wird die Ausgabe des Rücksetzmaskensignals von dem peripheren Funktionsteil 30 an die anderen Komponenten gestoppt und die Rücksetzverarbeitung für den dritten CPU-Kern 13 und den dritten Speicherbereich 23 des Speichers 20 wird ebenso gestartet. Dann bei der Zeitgebung T3, die nach der maximalen der Perioden kommt, die zum Durchführen der Rücksetzverarbeitung in den Komponenten ausgehend von der Zeitgebung T2 (Start der Rücksetzverarbeitung) erforderlich ist, stoppt der Rücksetzteil 50 die Ausgabe des Rücksetzanforderungssignals. Das heißt, der Rücksetzzustand ist freigegeben.
  • Gemäß der dritten Ausführungsform wartet jede Komponente des abnormalen Systems mit dem Starten der Rücksetzverarbeitung bis alle Komponenten des abnormalen Systems rücksetzbar werden, wenn der Rücksetzteil 50 das Rücksetzanforderungssignal ausgibt. Die Rücksetzverarbeitung wird unmittelbar gestartet, nachdem alle Komponenten rücksetzbar werden. Der Rücksetzteil 50 stoppt die Ausgabe des Rücksetzanforderungssignals, wenn die Maximale der Rücksetzperioden aller Komponenten abläuft, nachdem die Komponenten des abnormalen Systems die Rücksetzverarbeitung gestartet haben. Somit ist es möglich, auf vereinfachte Weise zu überprüfen, ob alle Komponenten des abnormalen Systems die Rücksetzverarbeitung basierend auf dem Ablauf der vorbestimmten maximalen Periode beendet haben.
  • (Vierte Ausführungsform)
  • Eine vierte Ausführungsform des Mikrocomputers 1 ist bezüglich Konfiguration und Basisbetrieb ähnlich zur ersten bis dritten Ausführungsform. Jedoch unterscheidet sich die vierte Ausführungsform von der ersten Ausführungsform in der Zeitgebung, bei der die Komponente die Rücksetzverarbeitung startet. In der vierten Ausführungsform wird eine Fensterperiode synchron unter allen Komponenten bei einem vorbestimmten festen Intervall bereitgestellt und das Operations- beziehungsweise Betriebsanforderungssignal wird während dieser Fensterperiode maskiert. Die Fensterperiode wird festgelegt um länger als die maximale der Rücksetzperioden der Komponenten zu sein.
  • Wird das abnormale System durch den Abnormitätsüberwachungsteil 40 erfasst und das Rücksetzanforderungssignal durch den Rücksetzteil 50 zu einer Zeitgebung außerhalb der Fensterperiode ausgegeben, wartet die jede Komponente bis die Fensterperiode ankommt. Wird es in der Fensterperiode ausgegeben, startet die Komponente die Rücksetzverarbeitung. Die Komponente gibt den Rücksetzzustand frei, wenn die maximale Periode unter den Rücksitzperioden der Komponenten nach dem Starten der Rücksetzverarbeitung abläuft. Ist die Rücksetzverarbeitung innerhalb der Fensterperiode nicht beendet und wird das Operations- beziehungsweise Betriebsanforderungssignal des anderen Systems nach dem Ende der Fensterperiode ausgegeben, fährt jede Komponente mit seiner vorhergehenden Operation fort. Auf ähnliche Weise, wie in der dritten Ausführungsform, gibt der periphere Funktionsteil 30 das Rücksetzmaskensignal an alle anderen Komponenten aus, wenn er nicht in dem rücksetzbaren Zustand ist.
  • Ein Beispiel der Rücksetzoperation beziehungsweise des Rücksetzbetriebs der vierten Ausführungsform ist in 5 dargestellt, in der davon ausgegangen wird, dass das dritte System wie in der ersten bis dritten Ausführungsform abnormal wird. Tritt die Abnormität in den dritten CPU-Kern 13 des dritten Systems bei einer Zeitgebung T1 auf und erfasst der Abnormitätsüberwachungsteil 40, dass das dritte System abnormal ist, gibt der Rücksetzteil 50 das Rücksetzanforderungssignal, dem die System-ID [002] zugewiesen ist, an jede Komponente aus.
  • Da das Operations- beziehungsweise Betriebsanforderungssignal, dem die System-ID [001] zugewiesen ist von dem zweiten CPU-Kern 12 an den peripheren Funktionsteil 30 bei der Zeitgebung T1 eingegeben wird, wird das Rücksetzanforderungssignal bezüglich dem dritten System durch den Vermittler 32 maskiert. Somit das Rücksetzmaskensignal von dem peripheren Funktionsteil 30 an alle Komponenten ausgegeben und die Rücksetzanforderungssignale für die anderen Komponenten werden gewaltsam maskiert. Demzufolge wird die Rücksetzverarbeitung in keiner der Komponenten gestartet (Rücksetzen wird abgewartet), der dritte CPU-Kern 13 fährt fort, unter dem abnormalen Zustand zu operieren und der Speicherbereich 23 des Speichers 20 fährt mit der vorhergehenden oder existierenden Operation fort.
  • Wird die Fensterperiode bei der Zeitgebung T2 bereitgestellt, maskiert der periphere Funktionsteil 30 das Operations- beziehungsweise Betriebsanforderungssignal, das vom zweiten CPU-Kern 12 ausgegeben wird, und setzt seinen Betrieb beziehungsweise Operation einmal aus. Der Betriebszustand unmittelbar vor dem Aussetzen wird in einem Register gespeichert. In Folge des Aussetzens des peripheren Funktionsteils 30, wird die Rücksetzverarbeitung für den peripheren Funktionsteil 30 gestartet. Zur selben Zeit wird die Ausgabe des Rücksetzmaskensignals vom peripheren Funktionsteil 30 an die anderen Komponenten gestoppt und die Rücksetzverarbeitung für den dritten CPU-Kern 13 und den Speicherbereich 23 des Speichers 20 wird ebenso gestartet. Dann bei der Zeitgebung T3, die nach der maximalen der Perioden kommt, die zum Durchführen der Rücksetzverarbeitung in den Komponenten ausgehend von der Zeitgebung T2 erforderlich sind (Start der Fensterperiode), stoppt der Rücksetzteil die Ausgabe des Rücksetzanforderungssignals. Das heißt, der Rücksetzzustand wird freigegeben. Somit werden alle Systeme normal. Wird die Fensterperiode zur Zeitgebung T4 bereitgestellt, die nach einem festen Zeitintervall ausgehend von der Zeitgebung T3 kommt, wird die Operation beziehungsweise der Betrieb während der Fensterperiode gestoppt. Ein sogenannter Overhead, der in der normalen Verarbeitung durch die Fensterperiode erzeugt wird, wird durch Unterbinden der Fensterperiode, in einem Fall, in dem alle Systeme normal sind, reduziert.
  • Gemäß der vierten Ausführungsform wird die Fensterperiode unter den Komponenten so bereitgestellt, dass jede Komponente das Rücksetzanforderungssignal mit Priorität eingibt. Die Fensterperioden sind unter den Komponenten synchron. Wird das Rücksetzanforderungssignal vom Rücksetzteil 50 ausgegeben, startet jede Komponente des abnormalen Systems die Rücksetzverarbeitung in der Fensterperiode. Es ist somit möglich Fälle zu reduzieren, in denen der Start der Rücksetzverarbeitung deutlich verzögert wird, da der periphere Funktionsteil 30 nicht rücksetzbar wird.
  • (Fünfte Ausführungsform)
  • Eine fünfte Ausführungsform des Mikrocomputers 1 unterscheidet sich von der ersten bis vierten Ausführungsform dadurch, wie in 6 dargestellt ist, dass ein Pufferspeicher 60 und ein Controller 70 zusätzlich zur Konfiguration der ersten Ausführungsform (1) vorgesehen sind. Der Pufferspeicher 60 dient zum Puffern eines Teils der Informationen, die in dem Speicher 20 gespeichert sind, der ein Hauptspeicher ist. Der Controller 70 (Aktualisierungsmittel) dient zum Steuern des Speichers 20 und des Pufferspeichers 60.
  • Es ist erforderlich Anfangswerte beim Rücksetzen des Speichers 20 zu speichern, wenn die Anfangswerte in dem ROM-Bereich des Speichers 20 vor Einschalten beispielsweise nicht für jede Einrichtung spezifisch sind, beispielsweise keine Werte sind, die durch einen Benutzer bestimmt werden. Der Multikern-Mikrocomputer 1 ist demnach mit dem Pufferspeicher 60 separat vom Speicher 20 versehen, der für normale Verarbeitung vorgesehen ist. Die Informationen, die in dem ROM-Bereich des Speichers 20 gespeichert werden beziehungsweise sind, werden ebenso in dem Pufferspeicher 60 als eine Kopie gespeichert (ROM-Bereiche werden verdoppelt oder dupliziert). Konkret wird ein Teil der Informationen, die in dem ROM-Bereich des Speichers 20 gespeichert werden beziehungsweise sind, in den Pufferspeicher 60 kopiert. Ein derartiger Informationsteil ist auf signifikante Informationen (beispielsweise Steuerinformationen bezüglich Bewegen, Lenken und Stoppen eines Fahrzeugs) beschränkt, die bei einer Systemoperation beziehungsweise für einen Systembetrieb kritisch sind, wenn sie abnormal sind. In dem Beispiel, das in 6 gezeigt ist, werden die signifikanten Informationen in dem zweiten Speicherbereich 22 und dem dritten Speicherbereich 23 von den drei Speicherbereichen 21 bis 23 des Speichers 20 gespeichert. Die Informationen, die in dem zweiten Speicherbereich 22 und dem dritten Speicherbereich 23 gespeichert werden beziehungsweise sind, werden in den Pufferspeicher 60 kopiert.
  • Ist der Speicher 20 zurückzusetzen, überschreibt der Controller 70 einen Rücksetzbereich des Speichers 20 mit den Informationen, die in den Pufferspeicher 60 kopiert sind, um dabei den Speicher 20 in demselben Zustand zu initialisieren, wie bevor die Zufuhr elektrischer Energie eingeschaltet wird. Der Rücksetzbereich des Speichers 20 ist ein Speicherbereich in dem ROM-Bereich und dem abnormalen System zugeordnet. Da andere Informationen, die nicht in dem Pufferspeicher 60 gespeichert werden, nicht zurücksetzt werden, werden derartige Informationen nicht initialisiert und die existierende Operation wird fortgeführt, sogar im Fall der Abnormität. Es ist möglich, alle Informationen, die in den ROM-Bereichen des Speichers 20 gespeichert sind, zu kopieren (duplizieren). Jedoch kann durch Limitieren beziehungsweise Begrenzen von zu duplizierenden Speicherbereichen auf nur die Speicherbereiche, in denen die signifikanten Informationen gespeichert werden, der Befestigungsbereich beziehungsweise der Platzbedarf der Speicherbereiche auf einem Siliziumchip reduziert werden.
  • In der fünften Ausführungsform werden die Informationen, die in einem ROM-Bereich gespeichert sind, zwischen den duplizierten ROM-Bereichen periodisch durch die Informationen aktualisiert, die in dem anderen ROM-Bereich gespeichert sind, sodass Abnormität nicht auftritt. Konkret, wird wie in 7 dargestellt, der Inhalt des Pufferspeichers 60 periodisch in den ROM-Bereich des Speichers 20 (beispielsweise bei den Zeitgebungen T10 und T30) als Aktualisierungsverarbeitung überschrieben, um dabei das Auftreten von Abnormität zu vermeiden. In diesem Beispiel, wird, wenn die Abnormität bei einer Zeitgebung T20 auftritt, der Speicher 20 mit dem Inhalt des Pufferspeichers 60 überschrieben. Der Speicher 20 wird somit auf den normalen Zustand aktualisiert.
  • Der Speicher 20 ist im Allgemeinen bezüglich der möglichen Anzahl von Überschreibungen begrenzt. Es ist demnach bevorzugt, die Anzahl von Überschreibungen durch vergleichen der zu duplizierten ROM-Bereichen zu reduzieren. Das heißt, dass Aktualisieren wird erlaubt und verboten, wenn das Vergleichsergebnis einen Unterschied beziehungsweise keinen Unterschied zwischen dem duplizierten ROM-Bereichen angibt. Konkret werden, wie in 8 dargestellt ist, der Inhalt des Speichers 20 und der Inhalt des Pufferspeichers 60 periodisch verglichen (Zeitgebungen T10 und T30). Weisen die Inhalte dazwischen einen Unterschied auf, wird der Speicher 20 mit dem Inhalt des Pufferspeichers 60 aktualisiert. In dem Beispiel, das in 8 dargestellt ist, wird die Aktualisierungsverarbeitung durchgeführt, wenn der Unterschied zwischen den verglichenen Inhalten bei der Zeitgebung T10 erfasst wird. Jedoch wird die Aktualisierungsverarbeitung nicht durchgeführt, wenn die verglichenen Inhalte dieselben sind wie bei der Zeitgebung T30. In diesem Beispiel wird ähnlich dem Beispiel in 7 der Speicher 20 ebenso mit dem Inhalt des Pufferspeichers 60 überschrieben, wobei davon ausgegangen wird, dass die Abnormität zur Zeitgebung T20 auftritt. Der Speicher 20 wird somit auf den normalen Zustand aktualisiert.
  • Es wird somit vermieden, dass die Aktualisierungsverarbeitung die normale Verarbeitung beeinträchtigt, in dem die Aktualisierungsverarbeitung unter einer Bedingung durchgeführt wird, dass die Energieversorgung für den Multikern-Mikrocomputer 1 ausgeschaltet ist (das heißt, die CPU-Kerne 11 bis 13 sind nicht betriebsbereit, aber der Controller 70 ist betriebsbereit).
  • Konkret, werden wie in 9 dargestellt ist, in dem Fall, in dem die Energieversorgung für den Multikern-Mikrocomputer 1 bei den Zeitgebungen T10 und T30 ausgeschaltet wird, der Inhalt des Speichers 20 und der Inhalt des Pufferspeicher 60 bei diesen Zeitgebungen T10 und T30 verglichen. Nur wenn das Vergleichsergebnis angibt, dass die verglichenen Inhalte sich unterscheiden, wird der Speicher 20 mit dem Inhalt des Pufferspeichers 60 aktualisiert. Das heißt, ähnlich wie in dem Fall von 8, wird die Aktualisierungsverarbeitung durchgeführt, wenn der Unterschied erfasst wird (Zeitgebung T10) aber nicht durchgeführt, wenn kein Unterschied erfasst wird (Zeitgebung T30).
  • Gemäß der fünften Ausführungsform werden die Informationen, die in dem ROM-Bereich des Speichers 20 gespeichert sind, in dem Pufferspeicher 60 dupliziert und der Speicher 20 wird rückgesetzt, indem er in seinem Speicherbereich in dem ROM-Bereich, der dem abnormalen System zugeordnet ist, mit den Informationen überschrieben wird, die in dem Pufferspeicher 60 dupliziert sind. Somit werden die Informationen, die in dem ROM-Bereich des Speichers 20 gespeichert sind, mit passenden Informationen initialisiert.
  • Nur ein Teil der Informationen unter allen Informationen, die in dem ROM-Bereich des Speichers 20 gespeichert sind, wird in den ROM-Bereich des Pufferspeichers 60 kopiert. Das Speichervolumen des Pufferspeichers 60 kann verglichen mit dem Fall, in dem alle Informationen, die in dem ROM-Bereich des Speichers 20 gespeichert sind, in den Speicher 60 kopiert werden, eingespart werden.
  • Der Controller 70 führt die Aktualisierungsverarbeitung periodisch aus, um die Informationen, die in dem Pufferspeicher 60 kopiert sind, in den ROM-Bereich des Speichers 20 zu schreiben. Die Informationen, die in dem ROM-Bereich des Speichers 30 gespeichert sind, werden als normale Informationen beibehalten.
  • Der Controller 70 vergleicht die Informationen, die in den Pufferspeicher 60 kopiert sind, und die Informationen, die in dem ROM-Bereich des Speichers 20 gespeichert sind, und führt die Aktualisierungsverarbeitung nicht durch, wenn die verglichenen Informationen übereinstimmen. Die Anzahl, wie oft der ROM-Bereich wiederbeschrieben wird, ist reduziert.
  • Der Controller 70 führt die Aktualisierungsverarbeitung unter der Bedingung durch, dass jeder CPU-Kern 11 bis 13 nicht in Betrieb ist. Die Aktualisierungsverarbeitung wird somit ausgeführt, ohne die normale Verarbeitung, die durch die CPU-Kerne 11 bis 13 ausgeführt wird, zu beeinträchtigen.
  • Die vorliegende Erfindung, die vorhergehend mit Bezug auf die erste bis vierte Ausführungsform erläutert wurde, kann mit weiteren Modifikationen wie nachfolgend beispielhaft dargestellt implementiert werden.
    • (1) In der ersten und zweiten Ausführungsform stoppt der Rücksetzteil 50 die Ausgabe des Rücksetzanforderungssignals, das heißt, gibt den Rücksetzzustand frei, unter der Bedingung, dass die AND-Logik-Operation beziehungsweise die UND-Logik-Operation des Rücksetz-Flags aller Komponenten wahr wird. Jedoch kann dies auf alternative Weisen (1A) und (1B) durchgeführt werden.
    • (1A) Der Rücksetzteil 50 speichert in seinem Speicherteil eine Aufzeichnung (ähnlich der Systemaufzeichnung 25), die eine Korrespondenzbeziehung zwischen jeder Komponente und seinem zugehörigen System angibt. Die Komponenten, die das abnormale System ausbilden, werden basierend auf der Aufzeichnung identifiziert. Der Rücksetzzustand wird freigegeben, wenn die Rücksetz-Flags aller identifizierten Komponenten EIN werden. Diese Modifikation unterscheidet sich in einem Verfahren zum Bestimmen, dass der Rücksetzzustand freigegeben werden soll, wobei der Rücksetzbetrieb derselbe ist, wie in dem Beispiel, das in 2 und 3 dargestellt ist.
    • (1B) Der Rücksetzteil 50 rastet die Flanke des Rücksetz-Flags jeder Komponente ein und gibt die AND-Logik-Operation beziehungsweise die UND-Logik-Operation (NOR-Logik-Operation beziehungsweise Nicht-Oder-Operation in dem Fall, in dem der aktive Pegel 0 ist) der Einrastsignale ein. Konkret wird das Signal des Rücksetz-Flags nach der Pegeländerung eingerastet, sodass das Einrastsignal AUS in dem Fall der Änderung von EIN nach AUS und EIN in dem Fall der Änderung von AUS nach EIN wird. Ist die AND-Logik-Operation beziehungsweise die UND-Logik-Operation des Einrastsignals falsch beziehungsweise nicht wahr, wird der Rücksetzzustand beibehalten und nicht freigegeben. Ist die AND-Logik-Operation beziehungsweise die UND-Logik-Operation des Einrastsignals wahr, wird der Rücksetzzustand freigegeben. Diese Modifikation unterscheidet sich ebenso durch ein Verfahren zum Bestimmen, dass der Rücksetzzustand freigegeben werden soll, wobei die Rücksetzoperation die gleiche wie in dem Beispiel ist, das in 2 und 3 dargestellt ist.
    • (2) In den vorstehend beschriebenen Ausführungsformen gibt der Rücksetzteil 50 das Rücksetzanforderungssignal durch Zuweisen der System-ID des abnormalen Systems aus. Stattdessen kann die System-ID durch eine Signalleitung ausgegeben werden, die separat zur Signalleitung für das Rücksetzanforderungssignal ist. Das heißt, in 1 und 6 wird die Signalleitung zur Übertragung des Rücksetzanforderungssignals verdoppelt. Mit dieser Konfiguration ist es möglich, dass Rücksetzanforderungssignal auszugeben, dass das abnormale System identifiziert, ohne die System-ID an das Rücksetzanforderungssignal anzuhängen.
    • (3) Jeder CPU-Kern 11 bis 13 kann auf die Speicherbereiche 21 bis 23, die den Systemen in dem Speicher 20 zugeordnet sind, durch den Vermittler 24 zugreifen. Das heißt, jeder CPU-Kern 11 bis 13 überträgt das Operations- beziehungsweise Betriebsanforderungssignal, das die Adresse des Speichers 20 bestimmt, an den Vermittler 24. In diesem Fall ist es möglich, dass der Vermittler 24 eine fehlerhafte Operation durch Maskieren des Operations- beziehungsweise Betriebsanforderungssignals vermeidet, wenn eine Korrespondenzbeziehung zwischen der Adresse des Speichers 20, die durch das Operations- beziehungsweise Betriebsanforderungssignal bestimmt wird und der System-ID, die dem Operations- beziehungsweise Betriebsanforderungssignal zugewiesen ist, sich von einer vorbestimmten Korrespondenzbeziehung unterscheidet, die in der Systemaufzeichnung 25 gespeichert ist.
  • In den vorstehend beschriebenen Ausführungsformen wird der Multikern-Mikrocomputer 1 beispielhaft so dargestellt, dass er drei CPU-Kerne 11 bis 13 aufweist. Der Multikern-Mikrocomputer 1 kann zwei oder vier oder mehr CPU-Kerne aufweisen. Die Ausführungsformen können als eine Steuervorrichtung konfiguriert werden, die einen Multikern-Mikrocomputer und externe Schaltungen beinhaltet.
  • Zusammengefasst beinhaltet eine Steuervorrichtung einen Multikern-Mikrocomputer der durch mehrere Systeme unter Verwendung mehrerer CPU-Kerne ausgebildet ist. Der Mikrocomputer weist einen Speicher, einen peripheren Teil, einen Abnormitätsüberwachungsteil und einen Rücksetzteil auf. Erfasst der Abnormitätsüberwachungsteil ein abnormales System, erzeugt das Rücksetzteil ein Rücksetzanforderungssignal, dass das abnormale System identifiziert. Der periphere Teil, der dynamisch durch die drei Systeme geteilt wird, wird unter der Bedingung zurückgesetzt, dass das System, das den peripheren Teil benutzt, und das abnormale System, das durch das Rücksetzanforderungssignal identifiziert wird, das selbe ist. Es ist somit möglich, den peripheren Teil nicht zurückzusetzen, während der durch die normalen Systeme verwendet wird.

Claims (8)

  1. Steuervorrichtung, die in sich mehrere Systeme durch einen Multikern-Mikrocomputer (1) ausbildet, wobei die Steuervorrichtung aufweist: ein Rücksetzmittel (50) zum Erfassen eines abnormalen Systems unter den mehren Systemen und Ausgeben eines Rücksetzanforderungssignals, dass das abnormale System identifiziert; mehrere Komponenten (11 bis 13, 20, 30), die mehrere CPU-Kerne (11 bis 13) des Mikrocomputers, die jeweils für die mehreren Systeme bereitgestellt werden, und einen dynamischen gemeinsamen Teil beinhalten (30), der dynamisch unter den mehreren Systemen geteilt wird, wobei der dynamische gemeinsame Teil (30) einen Funktionsteil (31) und einen dynamischen Vermittlungsteil (32) beinhaltet, der Funktionsteil (31) durch die mehreren Systeme, aber nur durch ein System zu einer Zeit verwendbar ist, und in Antwort auf das Rücksetzanforderungssignal zurückgesetzt wird, und der Vermittlungsteil (32) das Rücksetzanforderungssignal in den Funktionssteil unter der Bedingung eingibt, dass der Funktionsteil durch das abnormale System verwendet wird, dass durch das Rücksetzanforderungssignal identifiziert wird, wenn das Rücksetzanforderungssignal durch das Rücksetzmittel unter einer Bedingung ausgegeben wird, dass der Funktionsteil durch eines der mehreren Systeme verwendet wird.
  2. Steuervorrichtung gemäß Anspruch 1, wobei: jede Komponente (11 bis 13, 20, 30) des abnormalen Systems die Rücksetzverarbeitung sofort startet, nachdem sie rücksetzbar wird, wenn das Rücksetzanforderungssignal von dem Rücksetzmittel erzeugt wird; jede Komponente die Rücksetzverarbeitung beendet, wenn eine vorbestimmte Periode, die für die Rücksetzungsverarbeitung erforderlich ist, ausgehend von einem Start der Rücksetzungsverarbeitung abläuft, wobei die vorbestimmte Periode unter den mehreren Komponenten des abnormalen Systems variabel ist; und das Rücksetzmittel (50) die Ausgabe des Rücksetzanforderungssignals stoppt, wenn alle Komponenten des abnormalen Systems die Rücksetzverarbeitung beenden.
  3. Steuervorrichtung gemäß Anspruch 2, wobei: jede Komponente (11 bis 13, 20, 30) Rücksetzinformationen, die angeben, ob die Rücksetzverarbeitung beendet ist, an das Rücksetzmittel ausgibt; und das Rücksetzmittel (50) überprüft, ob alle Komponenten des abnormalen Systems die Rücksetzverarbeitung basierend auf der Rücksetzinformation, die von jeder Komponente ausgegeben wird, beendet haben.
  4. Steuervorrichtung gemäß Anspruch 2, wobei: jede Komponente (11 bis 13, 20, 30) Rücksetzinformationen, die angeben, ob die Rücksetzverarbeitung beendet ist, auf eine Weise speichert, dass Rücksetzinformationen durch das Rücksetzmittel abgerufen werden können; und das Rücksetzmittel (50) die Rücksetzinformationen abruft, die in jeder Komponente gespeichert sind, und basierend auf der Information, die von jeder Komponente abgerufen wird, überprüft, ob alle Komponenten des abnormalen Systems die Rücksetzverarbeitung beendet haben,.
  5. Steuervorrichtung gemäß Anspruch 1, wobei: jede Komponente (11 bis 13, 20, 30) des abnormalen Systems die Rücksetzverarbeitung sofort, nachdem sie rücksetzbar wird, startet, wenn das Rücksetzanforderungssignal von dem Rücksetzmittel erzeugt wird; jede Komponente (11 bis 13, 20, 30) die Rücksetzverarbeitung beendet, wenn eine vorbestimmte Periode, die für die Rücksetzverarbeitung erforderlich ist, ausgehend von einem Start der Rücksetzverarbeitung abläuft, wobei die vorbestimmte Periode unter den mehreren Komponenten des abnormalen Systems variabel ist; und das Rücksetzmittel (50) stoppt, das Rücksetzanforderungssignal auszugeben, wenn eine der maximalen vorbestimmten Perioden der mehreren Komponenten des abnormalen Systems abläuft, nachdem alle der mehreren Komponenten des abnormalen Systems die Rücksetzverarbeitung gestartet haben.
  6. Die Steuervorrichtung gemäß Anspruch 1, wobei: die mehreren Komponenten (11 bis 13, 20, 30) entsprechende Fensterperioden zum Eingeben des Rücksetzanforderungssignals mit Priorität aufweisen, wobei die Fensterperioden bezüglich Zeit unter den mehreren Komponenten synchronisiert werden; jede Komponente (11 bis 13, 20, 30) des abnormalen Systems die Rücksetzverarbeitung in der Fensterperiode startet, wenn das Rücksetzanforderungssignal vom Rücksetzmittel erzeugt wird; jede Komponente (11 bis 13, 20, 30) die Rücksetzverarbeitung beendet, wenn eine vorbestimmte Periode, die für die Rücksetzverarbeitung erforderlich ist, ausgehend von einem Start der Rücksetzverarbeitung abläuft, wobei die vorbestimmte Periode unter den mehreren Komponenten des abnormalen Systems variabel ist; und das Rücksetzmittel (50) das Ausgeben des Rücksetzanforderungssignals stoppt, wenn alle der mehreren Komponenten des abnormalen Systems die Rücksetzverarbeitung beenden.
  7. Steuervorrichtung gemäß einem der Ansprüche 1 bis 6, wobei: das Rücksetzmittel (50) das Rücksetzanforderungssignal ausgibt, dass das abnormale System durch Zuordnen von Identifikationsinformationen des abnormalen Systems dem Rücksetzanforderungssignal angibt.
  8. Steuervorrichtung gemäß einem der Ansprüche 1 bis 6, wobei: das Rücksetzmittel (50) die Identifikationsinformation des abnormalen Systems durch eine Signalleitung ausgibt, die sie von einer Signalleitung unterscheidet, die zum Übertragen des Rücksetzanforderungssignals bereite gestellt wird.
DE102012204644.5A 2011-03-22 2012-03-22 Steuervorrichtung Active DE102012204644B4 (de)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2011063122A JP5545250B2 (ja) 2011-03-22 2011-03-22 制御装置
JP2011-63123 2011-03-22
JP2011-63122 2011-03-22
JP2011063123A JP5434942B2 (ja) 2011-03-22 2011-03-22 制御装置

Publications (2)

Publication Number Publication Date
DE102012204644A1 DE102012204644A1 (de) 2012-09-27
DE102012204644B4 true DE102012204644B4 (de) 2018-08-09

Family

ID=46831861

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102012204644.5A Active DE102012204644B4 (de) 2011-03-22 2012-03-22 Steuervorrichtung

Country Status (1)

Country Link
DE (1) DE102012204644B4 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113407020B (zh) * 2021-06-09 2024-03-22 北京集创北方科技股份有限公司 组件启动方法及装置、触控芯片和电子设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020124164A1 (en) 2001-03-02 2002-09-05 Hitachi, Ltd. Method for starting computer system
US20090019274A1 (en) 2005-10-25 2009-01-15 Nxp B.V. Data processing arrangement comprising a reset facility
JP2009245009A (ja) 2008-03-28 2009-10-22 Fujitsu Ten Ltd 車両制御装置及びマルチコアプロセッサ

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020124164A1 (en) 2001-03-02 2002-09-05 Hitachi, Ltd. Method for starting computer system
US20090019274A1 (en) 2005-10-25 2009-01-15 Nxp B.V. Data processing arrangement comprising a reset facility
JP2009245009A (ja) 2008-03-28 2009-10-22 Fujitsu Ten Ltd 車両制御装置及びマルチコアプロセッサ

Also Published As

Publication number Publication date
DE102012204644A1 (de) 2012-09-27

Similar Documents

Publication Publication Date Title
DE69533312T2 (de) Geschütztes speichersystem und verfahren dafür
DE10397004B4 (de) Verfahren und Vorrichtung zum Laden eines vertrauenswürdigen Betriebssystems
DE60301702T2 (de) Fehlertolerantes Computersystem, Verfahren zur Resynchronisation desselben und Programm zur Resynchronisation desselben
DE102013022299B3 (de) Schutz globaler Register in einem Multithreaded-Prozessor
DE102011005209B4 (de) Programmanweisungsgesteuerte Instruktionsflusskontrolle
DE10393727T5 (de) Prozessor-Cache-Speicher als RAM zur Ausführung von Boot-Code
DE112005001515T5 (de) Verfahren und Vorrichtung zur spekulativen Ausführung von nicht kollisionsbehafteten Sperrbefehlen
DE112006002237T5 (de) Verfahren zur selbstinitiierenden Synchronisierung in einem Computersystem
DE102005037246A1 (de) Verfahren und Vorrichtung zur Steuerung eines Rechnersystems mit wenigstens zwei Ausführungseinheiten und einer Vergleichseinheit
WO2006045804A1 (de) Verfahren und vorrichtung zur verzögerung von zugriffen auf daten und/oder befehle eines mehrprozessorsystems
WO2007057271A1 (de) Vorrichtung und verfahren zum beheben von fehlern bei einem wenigstens zwei ausführungseinheiten mit registern aufweisenden system
EP2513796B1 (de) Verfahren zum betreiben einer recheneinheit
DE10312264A1 (de) Verfahren und Vorrichtung zum Hervorrufen von Unterschieden bei mit Verriegelungsschritten versehenen Prozessoren
DE112006002908T5 (de) Technik für die Kommunikation und Synchronisation von Threads
DE2629459A1 (de) Datenverarbeitungssystem
DE102008058209A1 (de) Anordnung und Verfahren um zu verhindern, dass ein Anwenderbetriebssystem in einem VMM System eine Anordnung abschaltet, die von einem Servicebetriebssystem verwendet wird
DE112018006401T5 (de) Transparent zugeordnete flash-memory-sicherheit
DE102017123812A1 (de) Steuervorrichtung
DE102011011333A1 (de) Lesen in Peripheriegeräte und schreiben aus Peripheriegeräten mit zeitlich getrennter, redundanter Prozessorausführung
EP1398701A1 (de) Verfahren zur Ereignissynchronisation, insbesondere für Prozessoren fehlertoleranter Systeme
DE102012204644B4 (de) Steuervorrichtung
DE102014011665A1 (de) System und Verfahren für DMA-Betrieb mit hoher Integrität
DE102011007467A1 (de) Mehrkernige integrierte Mikroprozessorschaltung mit Prüfeinrichtung, Prüfverfahren und Verwendung
DE60313088T2 (de) Gatterwortakquisition in einer Multiprozessor-"Write-Into-Cache"-Umgebung
DE102016224206A1 (de) Fahrzeugsteuervorrichtung

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R012 Request for examination validly filed

Effective date: 20140912

R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R084 Declaration of willingness to licence
R020 Patent grant now final