DE102017201621A1 - Integrated circuit for a control unit of a motor vehicle, method for producing an integrated circuit - Google Patents

Integrated circuit for a control unit of a motor vehicle, method for producing an integrated circuit Download PDF

Info

Publication number
DE102017201621A1
DE102017201621A1 DE102017201621.3A DE102017201621A DE102017201621A1 DE 102017201621 A1 DE102017201621 A1 DE 102017201621A1 DE 102017201621 A DE102017201621 A DE 102017201621A DE 102017201621 A1 DE102017201621 A1 DE 102017201621A1
Authority
DE
Germany
Prior art keywords
microprocessor
microcontroller
integrated circuit
instructions
data line
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102017201621.3A
Other languages
German (de)
Inventor
Mikkel Liisberg
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102017201621.3A priority Critical patent/DE102017201621A1/en
Publication of DE102017201621A1 publication Critical patent/DE102017201621A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs

Abstract

Integrierte Schaltung (116), die mindestens einen Mikroprozessor (1240, 1241, ..., 124M) und einen zusätzlichen, vom mindestens einen Mikroprozessor (1240, 1241, ..., 124M) verschiedenen Mikrocontroller (128) aufweist, wobei der mindestens eine Mikroprozessor (1240, 1241, ..., 124M) ausgebildet ist, Instruktionen einer sicherheitsrelevanten Funktion auszuführen, wobei der Mikrocontroller (128) einen Speicher für Instruktionen zur Überwachung des mindestens einen Mikroprozessors (1240, 1241, ..., 124M) aufweist, wobei der Mikrocontroller (128) ausgebildet ist, die Instruktionen zur Überwachung des mindestens einen Mikroprozessors (1240, 1241, ..., 124M) auszuführen, um die Funktion des mindestens einen Mikroprozessors (1240, 1241, ..., 124M) zu überwachen, wobei mindestens eine in der integrierten Schaltung angeordnete Datenleitung (126) vorgesehen ist, wobei der Mikrocontroller (128) ausgebildet ist, zur Überwachung des mindestens einen Mikroprozessors (1240, 1241, ..., 124M) mit dem mindestens einen Mikroprozessor (1240, 1241, ..., 124M) über die mindestens eine Datenleitung (126) zu kommunizieren.An integrated circuit (116) comprising at least one microprocessor (1240, 1241, ..., 124M) and an additional microcontroller (128) different from the at least one microprocessor (1240, 1241, ..., 124M), the at least one a microprocessor (1240, 1241, ..., 124M) is adapted to execute instructions of a safety-related function, wherein the microcontroller (128) has a memory for instructions for monitoring the at least one microprocessor (1240, 1241, ..., 124M) wherein the microcontroller (128) is adapted to execute the instructions for monitoring the at least one microprocessor (1240, 1241, ..., 124M) to enable the function of the at least one microprocessor (1240, 1241, ..., 124M) monitor, wherein at least one arranged in the integrated circuit data line (126) is provided, wherein the microcontroller (128) is designed to monitor the at least one microprocessor (1240, 1241, ..., 124M) m to communicate with the at least one microprocessor (1240, 1241, ..., 124M) via the at least one data line (126).

Description

Stand der TechnikState of the art

Die Erfindung betrifft eine integrierte Schaltung für ein Steuergerät eines Kraftfahrzeugs und ein Verfahren zur Herstellung dieser integrierten Schaltung.The invention relates to an integrated circuit for a control unit of a motor vehicle and to a method for producing this integrated circuit.

Für eine zunehmende Zahl von Anwendungen, bspw. aus der Domäne des hochautomatisierten Fahrens, wird die Durchführung von Berechnungen sowohl mit hoher Sicherheitsintegrität, safety integrity, als auch eine Integration von kommerziellen Software-Anteilen von Drittanbietern z.B. aus der Linux-Welt gefordert. Auch sicherheitsrelevante Systeme, d.h. Rechner-Systeme für sicherheitsrelevante Anwendungen, bestehen in der Regel aus Standard-Komponenten wie Mikroprozessoren mit mehreren Recheneinheiten, d.h. Multi-Core CPUs, die durch mindestens einen Kommunikations-Bus, z.B. einem Controller Area Network oder auf Ethernet-Basis, innerhalb eines Fahrzeugs oder auch extern mit einem Leitsystem verbunden sind. Sicherheitsrelevante Systeme sind beispielsweise Systeme nach IEC 61508:2010 oder ISO 26262-1:2011 bis ISO 26262-10:2012 oder einer früheren oder späteren Version dieses Standards.For an increasing number of applications, for example from the domain of highly automated driving, the implementation of calculations with both high security integrity, safety integrity, as well as an integration of commercial software portions of third party providers, for example, from the Linux world is required. Security-relevant systems, ie computer systems for security-relevant applications, usually also comprise standard components such as microprocessors with multiple arithmetic units, ie multi-core CPUs that run through at least one communication bus, eg a controller area network or on an Ethernet basis , inside a vehicle or externally connected to a control system. Safety-relevant systems are, for example, systems according to IEC 61508: 2010 or ISO 26262-1: 2011 to ISO 26262-10: 2012 or an earlier or later version of this standard.

Um die hohe Sicherheitsintegrität mit Mikroprozessoren zu erreichen sind üblicherweise externe Maßnahmen wie Software Lockstep, Clock und Spannungs-Überwachung nötig. Software Lockstep bezeichnet eine Überprüfung der Rechen-Ergebnisse mindestens zweier Mikroprozessoren durch einen Mikrocontroller. Mindestens zwei Mikroprozessoren führen dazu dieselben Instruktionen zeitgleich aus. Eine Abweichung des Ergebnisses der Berechnung in den Mikroprozessoren voneinander wird dabei vom Mikrocontroller als Fehler erkannt, ohne dass der Mikrocontroller selbst dieselben Instruktionen ausführen muss.In order to achieve high safety integrity with microprocessors, external measures such as software lockstep, clock and voltage monitoring are usually required. Software Lockstep refers to a check of the results of at least two microprocessors by a microcontroller. At least two microprocessors execute the same instructions at the same time. A deviation of the result of the calculation in the microprocessors from each other is detected by the microcontroller as an error, without the microcontroller itself must execute the same instructions.

Der Mikrocontroller weist dazu eine hohe Sicherheitsintegrität auf. Die Sicherheitsintegrität wird nach IEC 61508:2010 oder einer anderen Version dieses Standards in Sicherheitsanforderungsstufen SIL 1 bis SIL 4 festgelegt. SIL4 gibt die zuverlässigste Stufe an.The microcontroller has a high safety integrity. Safety integrity is specified in IEC 61508: 2010 or another version of this standard in Safety Requirements SIL 1 to SIL 4. SIL4 indicates the most reliable level.

In sicherheitsrelevanten Systemen in denen Standardrecheneinheiten z.B. Multi-Core Mikroprozessoren zum Einsatz kommen, ist es nicht möglich, das komplette System abzusichern, da Standardrecheneinheiten selbst eine unzureichende Sicherheitsanforderungsstufe aufweisen. Derzeit ist daher der Mikrocontroller mit einer hohen Sicherheitsintegritätsstufe als eine externe Komponente nötig, um die Überwachung der Mikroprozessor-Hardware oder Mikroprozessor-Diagnosen zu starten, deren Ergebnis zu prüfen und das System im Fehlerfall in einen sicheren Zustand zu führen.In security relevant systems where standard computational units e.g. Multi-core microprocessors are used, it is not possible to secure the entire system, since standard computational units themselves have an insufficient safety requirement level. At present, therefore, the microcontroller with a high level of safety integrity is required as an external component to start monitoring the microprocessor hardware or microprocessor diagnostics, checking its result, and keeping the system in a safe state in the event of a fault.

Wünschenswert ist daher eine demgegenüber verbesserte Ausführung.It is therefore desirable on the other hand, an improved design.

Offenbarung der ErfindungDisclosure of the invention

Dieses Ziel wird durch ein Vorrichtung und ein Verfahren gemäß den unabhängigen Ansprüchen erreicht.This object is achieved by an apparatus and a method according to the independent claims.

Bezüglich der Vorrichtung ist in einer integrierten Schaltung für ein Steuergerät, insbesondere eines Kraftfahrzeugs, mindestens ein Mikroprozessor und ein zusätzlicher, vom mindestens einen Mikroprozessor verschiedener Mikrocontroller angeordnet, wobei der mindestens eine Mikroprozessor, ausgebildet ist, Instruktionen einer sicherheitsrelevanten Funktion, insbesondere des Kraftfahrzeugs, auszuführen, wobei der Mikrocontroller einen Speicher für Instruktionen zur Überwachung des mindestens einen Mikroprozessors aufweist, wobei der Mikrocontroller ausgebildet ist, die Instruktionen zur Überwachung des mindestens einen Mikroprozessors auszuführen, um die Funktion des mindestens einen Mikroprozessors zu überwachen, wobei mindestens eine in der integrierten Schaltung angeordnete Datenleitung vorgesehen ist, wobei der Mikrocontroller ausgebildet ist, zur Überwachung des mindestens einen Mikroprozessors mit dem mindestens einen Mikroprozessor über die mindestens eine Datenleitung zu kommunizieren.With regard to the device, at least one microprocessor and an additional microcontroller different from the at least one microprocessor are arranged in an integrated circuit for a control device, wherein the at least one microprocessor is designed to execute instructions of a safety-relevant function, in particular of the motor vehicle wherein the microcontroller has a memory for instructions for monitoring the at least one microprocessor, wherein the microcontroller is configured to execute the instructions for monitoring the at least one microprocessor to monitor the function of the at least one microprocessor, wherein at least one arranged in the integrated circuit Data line is provided, wherein the microcontroller is designed to monitor the at least one microprocessor with the at least one microprocessor via the at least one data line to communicate.

Durch die Integration des Mikrocontrollers wird direkt auf die relevanten Komponenten innerhalb des mindestens einen Mikroprozessors zugegriffen. Jeder der Mikroprozessoren bildet dabei einen der Kerne eines Multi-Core-Mikroprozessors auf einen Chip. Externe Sicherheits-Maßnahmen außerhalb einer integrierten Schaltung des Chips sind nicht mehr nötig. Die Integration in der integrierten Schaltung, d.h. auf dem Chip verringert auch den Platzbedarf auf einer Leiterplatte.The integration of the microcontroller directly accesses the relevant components within the at least one microprocessor. Each of the microprocessors forms one of the cores of a multi-core microprocessor on a chip. External security measures outside an integrated circuit of the chip are no longer necessary. Integration in the integrated circuit, i. on the chip also reduces the space requirement on a circuit board.

Vorzugsweise sind der mindestens eine Mikroprozessor und der Mikrocontroller in voneinander verschiedenen Funktionsblöcken in einem gemeinsamen Halbleiterbaustein integriert.Preferably, the at least one microprocessor and the microcontroller are integrated in mutually different functional blocks in a common semiconductor device.

Die Integration in verschiedenen Funktionsblöcken in einem gemeinsamen Halbleiterbaustein ermöglicht es, sowohl Mikroprozessor als auch Mikrocontroller als separate intellectual property cores, IP-Cores, auszuführen. Jeder IP-Core bildet damit einen vorgefertigten, wiederverwertbaren Funktionsblock für ein Chipdesign. Der Mikrocontroller stellt dabei einen separaten IP-Core dar, der als vorgefertigter Funktionsblock für ein Design, d.h. einen Bauplan, für den Chip vielfach einsetzbar ist. Es kann sich bei mindestens einem der IP-Cores um einen Soft-Core oder einen Hard-Core handeln. Der Soft-Core wird in einem frei programmierbaren Bereich eines als Field Programmable Gateway Arrays, FPGAs, aus Quellcode oder in Form einer Netzliste implementiert. Der Hard-Core ist als Schaltung unveränderbar in den Chip beispielsweise eines FPGAs integriert. Der Hard-Core benötigt weniger Chipfläche als der Soft-Core. Der IP-Core kann auch in einem Application Specific Integrated Circuit, ASIC, realisiert sein.The integration in different function blocks in a common semiconductor device makes it possible to execute both microprocessor and microcontroller as separate intellectual property cores, IP cores. Each IP core thus forms a prefabricated, reusable function block for a chip design. The microcontroller is a separate IP core, which can be used as a prefabricated function block for a design, ie a blueprint, for the chip. It can become at least one of the IP cores to trade a soft core or a hard core. The soft core is implemented in a freely programmable area of a field programmable gateway array, FPGAs, source code or in the form of a netlist. The hard core is integrated as a circuit unchangeable in the chip, for example, an FPGA. The hard core requires less chip area than the soft core. The IP core can also be implemented in an Application Specific Integrated Circuit, ASIC.

Vorzugsweise sind mindestens zwei der Mikroprozessoren ausgebildet, gleichzeitig dieselben Instruktionen einer Software-Lockstep Operation auszuführen, wobei der Mikrocontroller ausgebildet ist, ein erstes Ergebnis einer ersten Ausführung der Instruktionen auf einem ersten der Mikroprozessoren über die mindestens eine Datenleitung zu empfangen, ein zweites Ergebnis einer zweiten Ausführung der Instruktionen auf einem zweiten der Mikroprozessoren über die mindestens eine Datenleitung zu empfangen, und das erste Ergebnis mit dem zweiten Ergebnis zu vergleichen, und abhängig vom Ergebnis Information über einen Fehlerfall zu bestimmen.Preferably, at least two of the microprocessors are configured to simultaneously execute the same instructions of a software lockstep operation, wherein the microcontroller is configured to receive a first result of a first execution of the instructions on a first one of the microprocessors via the at least one data line, a second result of a second one Execution of the instructions on a second of the microprocessors over the at least one data line to receive, and to compare the first result with the second result, and depending on the result information on an error case to determine.

Eine Datenkommunikation für den Software-Lockstep erfolgt somit intern über die Datenleitungen im Halbleiter des Chips. Dies ermöglicht eine höhere Datentransfer-Rate.Data communication for the software lockstep thus takes place internally via the data lines in the semiconductor of the chip. This allows a higher data transfer rate.

Vorzugsweise ist der Mikrocontroller ausgebildet, den mindestens einen Mikroprozessor über die mindestens eine Datenleitung zur Diagnose einer Hardware des mindestens einen Mikroprozessors anzusteuern.Preferably, the microcontroller is designed to control the at least one microprocessor via the at least one data line for diagnosing a hardware of the at least one microprocessor.

Hardware Diagnosen, die nötig sind, um eine für das Erreichen einer hohen Sicherheitsintegrität erforderliche Zuverlässigkeit zu erreichen, können so auf dem Halbleiter, d.h. Chip intern, gestartet werden und müssen nicht über separate Pins oder Kommunikations-Busse außerhalb des Halbleiters gesteuert werden.Hardware diagnostics necessary to achieve reliability required to achieve high safety integrity can thus be provided on the semiconductor, i. Chip can be started internally, and do not need to be controlled via separate pins or communication buses outside the semiconductor.

Vorzugsweise umfasst der Mikrocontroller eine Kommunikationsschnittstelle, insbesondere für einen Controller Area Network oder einen Flexray Datenbus.Preferably, the microcontroller comprises a communication interface, in particular for a controller area network or a flexray data bus.

Die Integration der Kommunikationsschnittstelle in den Mikrocontroller ermöglicht es, die Kommunikationsschnittstelle, d.h. eine typische Komponente, im selben IP-Core unterzubringen, in dem auch die Überwachung untergebracht ist.The integration of the communication interface into the microcontroller enables the communication interface, i. a typical component to house in the same IP core that houses the monitoring.

Vorzugsweise sind der mindestens eine Mikroprozessor und der Mikrocontroller an eine gemeinsame Peripherie anschließbar.Preferably, the at least one microprocessor and the microcontroller can be connected to a common periphery.

Die Peripherie, d.h. auch Peripheriebausteine oder Peripheriefunktionen, bieten Funktionalität, die nicht vom Mikroprozessor oder Mikrocontroller selbst zur Verfügung gestellt wird. Beispielsweise ist die Peripherie als zusätzliche Hardware, insbesondere auf weiteren integrierten Schaltkreisen, oder auf demselben Halbleiter realisiert. Beispiele für gemeinsame Peripherie sind Spannungsversorgung, Stromversorgung, Schnittstellen-Bausteine, Zeitgeber oder Watchdog.The periphery, i. also peripheral modules or peripheral functions, provide functionality that is not provided by the microprocessor or microcontroller itself. For example, the periphery is implemented as additional hardware, in particular on further integrated circuits, or on the same semiconductor. Examples of common peripherals are power supply, power supply, interface modules, timer or watchdog.

Bezüglich des Verfahrens zur Fertigung wird in einer integrierten Schaltung für ein Steuergerät, insbesondere eines Kraftfahrzeugs, mindestens ein Mikroprozessor und ein zusätzlicher, vom Mikroprozessor verschiedener Mikrocontroller angeordnet, der mindestens eine Mikroprozessor wird ausgebildet, Instruktionen einer sicherheitsrelevanten Funktion, insbesondere des Kraftfahrzeugs, auszuführen, wobei der Mikrocontroller einen Speicher für Instruktionen zur Überwachung des mindestens einen Mikroprozessors aufweist. Der Mikrocontroller wird ausgebildet, die Instruktionen zur Überwachung des mindestens einen Mikroprozessors auszuführen, um die Funktion des mindestens einen Mikroprozessors zu überwachen. In der integrierten Schaltung wird mindestens eine Datenleitung angeordnet, der Mikrocontroller wird ausgebildet, zur Überwachung des mindestens einen Mikroprozessors mit dem mindestens einen Mikroprozessor über die mindestens eine Datenleitung zu kommunizieren.With regard to the method of production, in an integrated circuit for a control device, in particular of a motor vehicle, at least one microprocessor and an additional, different from the microprocessor microcontroller, the at least one microprocessor is configured to perform instructions of a safety-relevant function, in particular of the motor vehicle, wherein the microcontroller has a memory for instructions for monitoring the at least one microprocessor. The microcontroller is configured to execute the instructions for monitoring the at least one microprocessor to monitor the operation of the at least one microprocessor. At least one data line is arranged in the integrated circuit, the microcontroller is designed to communicate with the at least one microprocessor via the at least one data line for monitoring the at least one microprocessor.

Vorzugsweise werden der mindestens eine Mikroprozessor und der Mikrocontroller in voneinander verschiedenen Funktionsblöcken in einem gemeinsamen Halbleiterbaustein integriert.Preferably, the at least one microprocessor and the microcontroller are integrated in mutually different functional blocks in a common semiconductor device.

Vorzugsweise werden mindestens zwei der Mikroprozessoren ausgebildet, gleichzeitig dieselben Instruktionen einer Software-Lockstep Operation auszuführen, wobei der Mikrocontroller ausgebildet wird, ein erstes Ergebnis einer ersten Ausführung der Instruktionen auf einem erstender Mikroprozessor über die mindestens eine Datenleitung zu empfangen, ein zweites Ergebnis einer zweiten Ausführung der Instruktionen auf einem zweiten der Mikroprozessoren über die mindestens eine Datenleitung zu empfangen, und das erste Ergebnis mit dem zweiten Ergebnis zu vergleichen, und abhängig vom Ergebnis Information über einen Fehlerfall zu bestimmen.Preferably, at least two of the microprocessors are configured to simultaneously execute the same instructions of a software lockstep operation, wherein the microcontroller is adapted to receive a first result of a first execution of the instructions on a first microprocessor via the at least one data line, a second result of a second embodiment receive the instructions on a second of the microprocessors via the at least one data line, and to compare the first result with the second result, and depending on the result to determine information about an error case.

Vorzugsweise wird der Mikrocontroller ausgebildet, den mindestens einen Mikroprozessor über die mindestens eine Datenleitung zur Diagnose einer Hardware des mindestens einen Mikroprozessors anzusteuern.Preferably, the microcontroller is designed to control the at least one microprocessor via the at least one data line for diagnosing a hardware of the at least one microprocessor.

Vorzugsweise wird im Mikrocontroller eine Kommunikationsschnittstelle, insbesondere für ein Controller Area Network oder einen Flexray Datenbus angeordnet.Preferably, in the microcontroller, a communication interface, in particular for a Controller Area Network or a Flexray data bus arranged.

Vorzugsweise wird der mindestens eine Mikroprozessor und der Mikrocontroller an eine gemeinsame Peripherie angeschlossen.Preferably, the at least one microprocessor and the microcontroller are connected to a common periphery.

Weitere vorteilhafte Weiterbildungen ergeben sich aus den Unteransprüchen und den im Folgenden beschriebenen Ausführungsbeispielen.Further advantageous developments emerge from the dependent claims and the embodiments described below.

Es zeigen

  • 1 schematisch einen Teil einer Architektur eines Steuergeräts,
  • 2 schematisch einen Teil einer ersten Ausführungsform einer integrierten Schaltung,
  • 3 schematisch einen Teil einer zweiten Ausführungsform der integrierten Schaltung,
  • 4 schematisch einen Aufbau eines Funktionsblock für die integrierten Schaltung.
Show it
  • 1 schematically a part of an architecture of a control unit,
  • 2 schematically a part of a first embodiment of an integrated circuit,
  • 3 schematically a part of a second embodiment of the integrated circuit,
  • 4 schematically a structure of a functional block for the integrated circuit.

1 stellt schematisch einen Teil einer Architektur eines Steuergeräts 100 dar. Das Steuergerät 100 weist einen Anschluss 102 für eine Spannungsversorung auf. Der Anschluss 102 ist durch eine erste elektrische Leitung 104 mit einem Power Management Integrated Circuit 106 verbunden. Der Anschluss 102 ist durch einer zweiten elektrischen Leitung 108 mit einem Voltage Supply Integrated Circuit 110 verbunden. Der Anschluss 102 ist durch eine dritte elektrische Leitung 112 mit einem Watchdog Integrated Circuit 114 verbunden. 1 schematically represents part of an architecture of a controller 100 dar. The control unit 100 has a connection 102 for a power supply. The connection 102 is through a first electrical line 104 with a Power Management Integrated Circuit 106 connected. The connection 102 is through a second electrical line 108 with a Voltage Supply Integrated Circuit 110 connected. The connection 102 is through a third electrical line 112 with a Watchdog Integrated Circuit 114 connected.

Der Anschluss 102, der Power Management Integrated Circuit 106 der Voltage Supply Integrated Circuit 110 der Watchdog Integrated Circuit 114 und die zugehörigen Leitungen bilden eine Peripherie. Die Peripherie ist mit einer integrierten Schaltung 116 verbunden. Die Peripherie, d.h. auch Peripheriebausteine oder Peripheriefunktionen, bieten Funktionalität, die nicht von der integrierten Schaltung 116 selbst zur Verfügung gestellt wird. Beispielsweise ist die Peripherie als zusätzliche Hardware, insbesondere auf weiteren integrierten Schaltkreisen, oder auf demselben Halbleiter realisiert. Beispiele für gemeinsame Peripherie sind Spannungsversorgung, Stromversorgung, Schnittstellen-Bausteine, Zeitgeber oder Watchdog. Die Peripherie muss nicht jede der genannten Schaltungen aufweisen. Die Peripherie kann zusätzliche Schaltungen aufweisen.The connection 102 , the Power Management Integrated Circuit 106 the Voltage Supply Integrated Circuit 110 the Watchdog Integrated Circuit 114 and the associated lines form a periphery. The periphery is with an integrated circuit 116 connected. The peripherals, including peripherals or peripheral functions, provide functionality that is not provided by the integrated circuit 116 self-provided. For example, the periphery is implemented as additional hardware, in particular on further integrated circuits, or on the same semiconductor. Examples of common peripherals are power supply, power supply, interface modules, timer or watchdog. The periphery does not have to have any of the circuits mentioned. The periphery may include additional circuitry.

Die integrierte Schaltung 116 umfasst ein Safe Voltage Unit 118. Das Safe Voltage Unit 118 ist über ein Voltage Communication Interface 120 mit dem Power Management Integrated Circuit 106 verbunden. Das Safe Voltage Unit 118 ist durch mindestens eine Spannungsversorgungsleitung 1220, ... 122N mit dem Power Management Integrated Circuit 106 verbunden. N gibt die Anzahl der Spannungsversorgungsleitungen an, beispielsweise N=1, N=2, ..., N=16 oder mehr.The integrated circuit 116 includes a safe voltage unit 118 , The safe voltage unit 118 is via a Voltage Communication Interface 120 with the Power Management Integrated Circuit 106 connected. The Safe Voltage Unit 118 is connected by at least one power supply line 1220 , ... 122N with the Power Management Integrated Circuit 106 connected. N indicates the number of power supply lines, for example, N = 1, N = 2,..., N = 16 or more.

Die integrierte Schaltung 116 umfasst einen Mikrocontroller 128 und mindestens einen Mikroprozessor 1240, ... 124M. Die mindestens eine Spannungsversorgungsleitung 1220, ... 122N versorgt entsprechende Eingänge des Safe Voltage Unit 118 mit Spannung zum Betrieb des mindestens einen Mikroprozessors 1240, 1241 ... 124M. M gibt die Anzahl der Mikroprozessoren an, beispielsweise M=1, M=2, ..., M=16 oder mehr. Jeder der Mikroprozessoren ist ein Kern einer Mehrkernarchitektur eines Multi-Core-Mikroprozessors.The integrated circuit 116 includes a microcontroller 128 and at least one microprocessor 1240 , ... 124M. The at least one power supply line 1220 , ... 122N supplies corresponding inputs of the Safe Voltage Unit 118 with voltage to operate the at least one microprocessor 1240 . 1241 ... 124M. M indicates the number of microprocessors, for example M = 1, M = 2, ..., M = 16 or more. Each of the microprocessors is a core of a multi-core architecture of a multi-core microprocessor.

Der mindestens eine Mikroprozessor 1240, 1241, ..., 124M und der Mikrocontroller 128 sind somit an eine gemeinsame Peripherie anschließbar.The at least one microprocessor 1240 . 1241 , ..., 124M and the microcontroller 128 are thus connectable to a common periphery.

Jeder der Mikroprozessoren 1240, 1241, ..., 124M ist über Anschlüsse 1260, 1261, ..., 126M mit mindestens einer Datenleitung 126 verbunden. Die mindestens eine Datenleitung 126 kann als Datenbus, eine gemeinsame oder mehrere einzelne elektrische Leitungen realisiert sein. Die mindestens eine Datenleitung 126 ist in der integrierten Schaltung 116, vorzugsweise im selben Halbleiter wie der mindestens eine Mikroprozessor 1240, 1241, ..., 124M und der Mikrocontroller 128 realisiert.Each of the microprocessors 1240 . 1241 , ..., 124M is about connections 1260 , 1261, ..., 126M with at least one data line 126 connected. The at least one data line 126 can be implemented as a data bus, a common or multiple individual electrical lines. The at least one data line 126 is in the integrated circuit 116 , preferably in the same semiconductor as the at least one microprocessor 1240 . 1241 , ..., 124M and the microcontroller 128 realized.

Der Mikrocontroller 128 umfasst einen Lockstep Comparator 130. Der Mikrocontroller 128 umfasst eine Spannungsversorgung 132, die durch eine Versorgungsleitung 134 mit der Voltage Supply 110 verbunden ist. Der Microkontroller umfasst eine Watchdog-Kommunikationsschnittstelle 136, die über eine Kommunikationsleitung 138 mit dem Watchdog 114 verbunden ist. Der Lockstep Comparator 130 ist über eine Anschlussleitung 140 mit der Datenleitung 126 verbunden. Der Mikrokontroller 128 umfasst eine Mikroprozessor-Hardware-Testeinrichtung 142. Die Mikroprozessor-Hardware-Testeinrichtung 142 kann mit der Datenleitung 126 verbunden sein und/oder über andere Datenleitungen mit entsprechenden Bauteilen mindestens eines der mindestens einen Mikroprozessoren 1240, 1241, ..., 124M verbunden sein. Der Mikrocontroller 128 weist einen Signalausgang 144 für Information über einen Fehlerzustand, beispielsweise ein Safe State Trigger Signal, auf. Die integrierte Schaltung 116 umfasst eine Clock Monitoring Unit 146, die im Beispiel einen oder mehrere Taktgeber für die integrierte Schaltung 116 überwacht.The microcontroller 128 includes a lockstep comparator 130 , The microcontroller 128 includes a power supply 132 passing through a utility line 134 with the Voltage Supply 110 connected is. The microcontroller includes a watchdog communication interface 136 that have a communication line 138 with the watchdog 114 connected is. The lockstep comparator 130 is via a connection cable 140 with the data line 126 connected. The microcontroller 128 includes a microprocessor hardware tester 142 , The microprocessor hardware tester 142 can with the data line 126 be connected and / or via other data lines with corresponding components of at least one of the at least one microprocessor 1240 . 1241 , ..., 124M be connected. The microcontroller 128 has a signal output 144 for information about a fault condition, for example a safe state trigger signal. The integrated circuit 116 includes a clock monitoring unit 146 in the example, one or more timers for the integrated circuit 116 supervised.

Die mindestens eine Datenleitung 126 ist vorzugsweise zur bidirektionalen Kommunikation ausgebildet. Die Datenleitung 126 überträgt beispielsweise elektrische Signale verschiedener Spannungspegel, insbesondere nach einem Kommunikationsprotokoll.The at least one data line 126 is preferably designed for bidirectional communication. The data line 126 transmits, for example, electrical signals of different voltage levels, in particular according to a communication protocol.

Der Mikrocontroller 128, die Clock Monitoring Unit 146 und die Voltage Supply Unit 118 sind derart ausgebildet, dass sie eine hohe Sicherheitsintegrität aufweisen. Die Sicherheitsintegritätstufe dieser Bauteile ist beispielsweise größer als SIL 1, insbesondere SIL 3 nach IEC 61508:2010 oder einer anderen Version dieses Standards. Der mindestens eine Mikroprozessor 1240, ... 124M ist beispielsweise derart ausgebildet, dass er eine Sicherheitsintegrität aufweist, die geringer ist als die Sicherheitsintegrität des Mikrocontrollers 128, der Clock Monitoring Unit 146 und/oder der Voltage Supply Unit 118. The microcontroller 128 , the clock monitoring unit 146 and the Voltage Supply Unit 118 are designed such that they have a high safety integrity. For example, the safety integrity level of these components is greater than SIL 1 , in particular SIL 3 according to IEC 61508 : 2010 or another version of this standard. The at least one microprocessor 1240 For example, 124M is designed to have safety integrity that is less than the safety integrity of the microcontroller 128 , the clock monitoring unit 146 and / or the Voltage Supply Unit 118 ,

In der integrierten Schaltung 116 für das Steuergerät 100 ist somit der mindestens eine Mikroprozessor 1240, 1241, ..., 124M und zusätzlich der, vom Mikroprozessor 1240, 1241, ..., 124M verschiedene Mikrocontroller 128 angeordnet. Dabei ist der mindestens eine Mikroprozessor 1240, 1241, ..., 124M ausgebildet, Instruktionen einer sicherheitsrelevanten Funktion, insbesondere eines Kraftfahrzeugs, auszuführen.In the integrated circuit 116 for the control unit 100 is thus the at least one microprocessor 1240 . 1241 , ..., 124M and additionally, from the microprocessor 1240 . 1241 , ..., 124M different microcontrollers 128 arranged. It is the at least one microprocessor 1240 . 1241 , ..., 124M designed to execute instructions of a safety-relevant function, in particular of a motor vehicle.

Der Mikrocontroller 128 umfasst einen Speicher für Instruktionen zur Überwachung des mindestens einen Mikroprozessors 1240, 1241, ..., 124M und ist ausgebildet, die Instruktionen zur Überwachung des mindestens einen Mikroprozessors 1240, 1241, 124M auszuführen. Dadurch wird die Funktion des mindestens einen Mikroprozessors 1240, 1241, 124M überwacht.The microcontroller 128 comprises a memory for instructions for monitoring the at least one microprocessor 1240 . 1241 , ..., 124M and is configured, the instructions for monitoring the at least one microprocessor 1240 . 1241 . 124M perform. This will be the function of the at least one microprocessor 1240 . 1241 . 124M supervised.

Vorzugsweise ist der Mikrocontroller 128 ausgebildet, den mindestens einen Mikroprozessor 1240, 1241, ..., 124M über die mindestens eine Datenleitung 126 zur Diagnose zumindest eines Teils einer Hardware des mindestens einen Mikroprozessors 1240, 1241, ..., 124M anzusteuern. Hardware Diagnosen, die nötig sind, um eine für das Erreichen einer hohen Sicherheitsintegrität erforderliche Zuverlässigkeit zu erreichen, können so auf dem Halbleiter, d.h. Chip intern, gestartet werden und müssen nicht über separate Pins oder Kommunikations-Busse außerhalb des Halbleiters gesteuert werden.Preferably, the microcontroller 128 formed, the at least one microprocessor 1240 . 1241 , ..., 124M over the at least one data line 126 for diagnosing at least part of a hardware of the at least one microprocessor 1240 . 1241 , ..., 124M head for. Hardware diagnostics needed to achieve reliability required to achieve high safety integrity can thus be started on the semiconductor, ie chip internally, and need not be controlled via separate pins or communication buses outside the semiconductor.

Der Mikrocontroller 128 ist ausgebildet, zur Überwachung des mindestens einen Mikroprozessors 1240, 1241, ..., 124M mit dem mindestens einen Mikroprozessor 1240, 1241, ..., 124M über die mindestens eine Datenleitung 126 zu kommunizieren. Durch die Integration des Mikrocontrollers 128 in die integrierte Schaltung 116 wird direkt auf die relevanten Komponenten innerhalb des mindestens einen Mikroprozessors 1240, 1241, ..., 124M zugegriffen. Externe Sicherheits-Maßnahmen außerhalb der integrierten Schaltung 116 des Chips sind nicht mehr nötig, und der Platzbedarf auf einer Leiterplatte ist geringer.The microcontroller 128 is designed to monitor the at least one microprocessor 1240 . 1241 , ..., 124M with the at least one microprocessor 1240 . 1241 , ..., 124M over the at least one data line 126 to communicate. By integrating the microcontroller 128 in the integrated circuit 116 is directly related to the relevant components within the at least one microprocessor 1240 . 1241 , ..., 124M accessed. External security measures outside the integrated circuit 116 of the chip are no longer necessary, and the space requirement on a printed circuit board is lower.

Vorzugsweise sind mindestens zwei der Mikroprozessoren 1240, 1241, ..., 124M ausgebildet, gleichzeitig dieselben Instruktionen einer Software-Lockstep Operation auszuführen. Der Mikrocontroller 128, d.h. der Lockstep Comparator 130 im Mikrocontroller 128, ist ausgebildet, ein erstes Ergebnis einer ersten Ausführung der Instruktionen auf einem ersten der Mikroprozessoren 1240, 1241, ..., 124M über die mindestens eine Datenleitung 126 und die Anschlussleitung 140 zu empfangen, ein zweites Ergebnis einer zweiten Ausführung der Instruktionen auf einem zweiten der Mikroprozessoren 1240, 1241, ..., 124M über die mindestens eine Datenleitung 126 zu empfangen, und das erste Ergebnis mit dem zweiten Ergebnis zu vergleichen, und abhängig vom Ergebnis die Information über den Fehlerfall zu bestimmen. Eine Datenkommunikation für den Software-Lockstep erfolgt somit intern über die Datenleitungen im Halbleiter des Chips. Dies ermöglicht eine höhere Datentransfer-Rate.Preferably, at least two of the microprocessors are 1240 . 1241 , ..., 124M trained to simultaneously execute the same instructions of a software lockstep operation. The microcontroller 128 ie the lockstep comparator 130 in the microcontroller 128 , is adapted to a first result of a first execution of the instructions on a first one of the microprocessors 1240 , 1241, ..., 124M via the at least one data line 126 and the connection line 140 a second result of a second execution of the instructions on a second of the microprocessors 1240 , 1241, ..., 124M via the at least one data line 126 to receive and compare the first result with the second result, and depending on the result to determine the information about the error case. Data communication for the software lockstep thus takes place internally via the data lines in the semiconductor of the chip. This allows a higher data transfer rate.

Der mindestens eine Mikroprozessor 1240, 1241, ..., 124M und der Mikrocontroller 128 sind im Beispiel in voneinander verschiedenen Funktionsblöcken in einem gemeinsamen Halbleiterbaustein integriert.The at least one microprocessor 1240 . 1241 , ..., 124M and the microcontroller 128 are integrated in the example in mutually different functional blocks in a common semiconductor device.

Der mindestens eine Mikroprozessor 1240, 1241, ..., 124M und der Mikrocontroller 128 sind im Beispiel als separate intellectual property cores, IP-Cores, ausgeführt. Jeder IP-Core bildet einen vorgefertigten, wiederverwertbaren Funktionsblock. Der Mikrocontroller 128 stellt dabei einen separaten IP-Core 148 dar, der als vorgefertigter Funktionsblock für ein Design, d.h. für einen Bauplan, sowohl für diesen Chip als auch für andere Chips einsetzbar ist.The at least one microprocessor 1240 . 1241 , ..., 124M and the microcontroller 128 are in the example as separate intellectual property cores, IP cores executed. Each IP core forms a prefabricated, reusable function block. The microcontroller 128 provides a separate IP core 148 which can be used as a prefabricated functional block for a design, ie for a blueprint, both for this chip and for other chips.

Es kann sich bei mindestens einem der IP-Cores um einen Soft-Core oder einen Hard-Core handeln. Der Soft-Core wird in einem frei programmierbaren Bereich eines als Field Programmable Gateway Arrays, FPGAs, aus Quellcode oder in Form einer Netzliste implementiert. Der Hard-Core ist als Schaltung unveränderbar in den Chip beispielsweise eines FPGAs integriert. Der Hard-Core benötigt weniger Chipfläche als der Soft-Core. Der IP-Core kann auch in einem Application Specific Integrated Circuit, ASIC, realisiert sein.At least one of the IP cores may be a soft core or a hard core. The soft core is implemented in a freely programmable area of a field programmable gateway array, FPGAs, source code or in the form of a netlist. The hard core is integrated as a circuit unchangeable in the chip, for example, an FPGA. The hard core requires less chip area than the soft core. The IP core can also be implemented in an Application Specific Integrated Circuit, ASIC.

2 zeigt schematisch einen Teil einer ersten Ausführungsform der integrierten Schaltung 116, die auf einem Halbleiterbaustein als Hard-Core realisiert ist. 2 schematically shows a part of a first embodiment of the integrated circuit 116 , which is realized on a semiconductor device as a hard core.

3 zeigt schematisch einen Teil einer zweiten Ausführungsform der integrierten Schaltung 116, die auf einem Halbleiterbaustein realisiert ist, wobei der Mikrocontroller 128 in einem FPGA realisiert ist. 3 schematically shows a part of a second embodiment of the integrated circuit 116 , which is realized on a semiconductor device, wherein the microcontroller 128 realized in an FPGA.

In 2 und 3 sind die Bauteile derselben oder ähnlicher Funktion mit denselben Bezugszeichen bezeichnet, wie in 1. In 2 and 3 the components of the same or similar function are denoted by the same reference numerals as in FIG 1 ,

4 zeigt schematisch einen Aufbau eines Funktionsblocks 400 für die integrierten Schaltung 116. Der Funktionsblock 400 umfasst den Mikrocontroller 128. Der Funktionsblock 400 umfasst mindestens eine Kommunikationsschnittstelle 402, 404, insbesondere eine erste Kommuniktationsschnittstelle 402 für ein Controller Area Network und/oder eine zweite Kommunikationsschnittstelle 404 für einen Flexray Datenbus, die im Mikrocontroller 128 integriert ist. Der Funktionsblock 400 umfasst eine Safe State Trigger Unit 406, die die Information über den Fehlerfall am Signalausgang 144 für Information über den Fehlerzustand, beispielsweise als Safe State Trigger Signal, ausgibt. Der Funktionsblock 400 umfasst die Watchdog-Kommunikationsschnittstelle 136, den Lockstep Comparator 130 und die Mikroprozessor-Hardware-Testeinrichtung 142. Zudem ist im Funktionsblock 400 eine optionale Mikrocontroller-Hardware-Testeinrichtung 408 und eine optionale Leistungsfaktorkorrekturschaltung 410 für den mindestens einen Mikroprozessor 1240, 1241, ..., 124M angeordnet, mit der der Mikrocontroller 128 sich selbst überwacht und eine Power Factor Correction, PFC, für den mindestens einen Mikroprozessor 1240, 1241, ..., 124M durchführt. 4 schematically shows a structure of a functional block 400 for the integrated circuit 116 , The function block 400 includes the microcontroller 128. The functional block 400 includes at least one communication interface 402 . 404 , in particular a first communication interface 402 for a controller area network and / or a second communication interface 404 for a Flexray data bus, which is in the microcontroller 128 is integrated. The function block 400 includes a safe state trigger unit 406 providing the information about the error case at the signal output 144 for information about the error state, for example as a safe state trigger signal outputs. The function block 400 includes the watchdog communication interface 136 , the lockstep comparator 130 and the microprocessor hardware tester 142 , In addition, in the function block 400 an optional microcontroller hardware tester 408 and an optional power factor correction circuit 410 for the at least one microprocessor 1240, 1241, ..., 124M arranged, with which the microcontroller 128 self-monitoring and a Power Factor Correction, PFC, for the at least one microprocessor 1240 . 1241 , ..., 124M performs.

Die Kommunikation und Ansteuerung der Komponenten im Funktionsblock 400 erfolgt über Signale, die über Leitungen innerhalb des Funktionsblocks 400 ausgetauscht werden. Die dazu erforderlichen Instruktionen 412 sind im Funktionsblock 400 beispielsweise im Speicher hinterlegt oder im Halbleiter als integrierte Schaltung umgesetzt, und werden ausgeführt, sobald der Funktionsblock 400 von der Peripherie mit Spannung versorgt wird.The communication and control of the components in the function block 400 takes place via signals that are transmitted via lines within the function block 400 be replaced. The required instructions 412 are in the function block 400 For example, stored in memory or implemented in the semiconductor as an integrated circuit, and are executed as soon as the function block 400 is powered by the periphery.

Zur Herstellung der integrierten Schaltung für das Steuergerät wird der mindestens eine Mikroprozessor 1240, 1241, ..., 124M und der zusätzliche, vom mindestens eine Mikroprozessor 1240, 1241, ..., 124M verschiedene Mikrocontroller 128 vorzugsweise auf einem gemeinsamen Halbleiterbauteil angeordnet.To produce the integrated circuit for the control unit, the at least one microprocessor 1240 . 1241 , ..., 124M and the additional, from the at least one microprocessor 1240 . 1241 , ..., 124M different microcontrollers 128 preferably arranged on a common semiconductor device.

Der mindestens eine Mikroprozessor 1240, 1241, ..., 124M wird ausgebildet, Instruktionen der sicherheitsrelevanten Funktion des Kraftfahrzeugs auszuführen. Im Mikrocontroller 128 wird ein Speicher für Instruktionen zur Überwachung des mindestens einen Mikroprozessors 1240, 1241, ..., 124M angeordnet. Der Mikrocontroller 128 wird ausgebildet, die Instruktionen zur Überwachung des mindestens einen Mikroprozessors 1240, 1241, ..., 124M auszuführen, um die Funktion des mindestens einen Mikroprozessors 1240, 1241, ..., 124M zu überwachen. In der integrierten Schaltung 116 wird die mindestens eine Datenleitung 126 angeordnet. Der Mikrocontroller 128 wird ausgebildet, zur Überwachung des mindestens einen Mikroprozessors 1240, 1241, ..., 124M mit dem mindestens einen Mikroprozessor 1240, 1241, ..., 124M über die mindestens eine Datenleitung 126 zu kommunizieren.The at least one microprocessor 1240 . 1241 , ..., 124M is designed to carry out instructions of the safety-related function of the motor vehicle. In the microcontroller 128 becomes a memory for instructions to monitor the at least one microprocessor 1240 . 1241 , ..., 124M arranged. The microcontroller 128 is formed, the instructions for monitoring the at least one microprocessor 1240 . 1241 , ..., 124M perform the function of the at least one microprocessor 1240 . 1241 , ..., 124M to monitor. In the integrated circuit 116 becomes the at least one data line 126 arranged. The microcontroller 128 is formed to monitor the at least one microprocessor 1240 . 1241 , ..., 124M with the at least one microprocessor 1240 . 1241 , ..., 124M over the at least one data line 126 to communicate.

Vorzugsweise werden mindestens zwei der Mikroprozessor 1240, 1241, ..., 124M ausgebildet, gleichzeitig dieselben Instruktionen einer Software-Lockstep Operation auszuführen, wobei der Mikrocontroller 128 ausgebildet wird, ein erstes Ergebnis einer ersten Ausführung der Instruktionen auf einem ersten der Mikroprozessor 1240, 1241, ..., 124M über die Datenleitung zu empfangen, ein zweites Ergebnis einer zweiten Ausführung der Instruktionen auf einem zweiten der Mikroprozessoren (1240, 1241, ..., 124M) über die mindestens eine Datenleitung (126) zu empfangen, und das erste Ergebnis mit dem zweiten Ergebnis zu vergleichen, und abhängig vom Ergebnis Information über einen Fehlerfall zu bestimmen.Preferably, at least two of the microprocessors 1240 . 1241 , ..., 124M are designed to simultaneously execute the same instructions of a software lockstep operation, wherein the microcontroller 128 is formed, a first result of a first execution of the instructions on a first of the microprocessor 1240 . 1241 , ..., 124M receive a second result of a second execution of the instructions on a second of the microprocessors ( 1240 . 1241 , ..., 124M ) via the at least one data line ( 126 ) and to compare the first result with the second result and, depending on the result, to determine information about an error case.

Vorzugsweise wird der Mikrocontroller ausgebildet, den mindestens einen Mikroprozessor 1240, 1241, ..., 124M über die mindestens eine Datenleitung 126 zur Diagnose der Hardware des mindestens einen Mikroprozessors 1240, 1241, ..., 124M anzusteuern.Preferably, the microcontroller is formed, the at least one microprocessor 1240 . 1241 , ..., 124M over the at least one data line 126 for diagnosing the hardware of the at least one microprocessor 1240 . 1241 , ..., 124M head for.

Vorzugsweise wird im Mikrocontroller 128 die Kommunikationsschnittstelle, insbesondere für das Controller Area Network oder den Flexray Datenbus angeordnet.Preferably, in the microcontroller 128 the communication interface, in particular for the controller area network or the Flexray data bus arranged.

Vorzugsweise werden der mindestens eine Mikroprozessor 1240, 1241, ..., 124M und der Mikrocontroller 128 an eine gemeinsame Peripherie angeschlossen.Preferably, the at least one microprocessor 1240 . 1241 , ..., 124M and the microcontroller 128 connected to a common periphery.

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte Nicht-PatentliteraturCited non-patent literature

  • ISO 26262-1:2011 [0002]ISO 26262-1: 2011 [0002]
  • ISO 26262-10:2012 [0002]ISO 26262-10: 2012 [0002]

Claims (12)

Integrierte Schaltung (116), dadurch gekennzeichnet, dass die integrierte Schaltung mindestens einen Mikroprozessor (1240, 1241, ..., 124M) und einen zusätzlichen, vom mindestens einen Mikroprozessor (1240, 1241, ..., 124M) verschiedenen Mikrocontroller (128) aufweist, wobei der mindestens eine Mikroprozessor (1240, 1241, ..., 124M) ausgebildet ist, Instruktionen einer sicherheitsrelevanten Funktion auszuführen, wobei der Mikrocontroller (128) einen Speicher für Instruktionen zur Überwachung des mindestens einen Mikroprozessors (1240, 1241, ..., 124M) aufweist, wobei der Mikrocontroller (128) ausgebildet ist, die Instruktionen zur Überwachung des mindestens einen Mikroprozessors (1240, 1241, ..., 124M) auszuführen, um die Funktion des mindestens einen Mikroprozessors (1240, 1241, ..., 124M) zu überwachen, wobei mindestens eine in der integrierten Schaltung angeordnete Datenleitung (126) vorgesehen ist, wobei der Mikrocontroller (128) ausgebildet ist, zur Überwachung des mindestens einen Mikroprozessors (1240, 1241, ..., 124M) mit dem mindestens einen Mikroprozessor (1240, 1241, ..., 124M) über die mindestens eine Datenleitung (126) zu kommunizieren.An integrated circuit (116), characterized in that the integrated circuit comprises at least one microprocessor (1240, 1241, ..., 124M) and an additional microcontroller (128, 128) different from the at least one microprocessor (1240, 1241, ..., 124M) The at least one microprocessor (1240, 1241, ..., 124M) is adapted to execute instructions of a safety-related function, wherein the microcontroller (128) has a memory for instructions for monitoring the at least one microprocessor (1240, 1241,. .., 124M), wherein the microcontroller (128) is adapted to execute the instructions for monitoring the at least one microprocessor (1240, 1241, ..., 124M) to determine the function of the at least one microprocessor (1240, 1241,. .., 124M), wherein at least one arranged in the integrated circuit data line (126) is provided, wherein the microcontroller (128) is formed, for monitoring the mindes at least one microprocessor (1240, 1241, ..., 124M) to communicate with the at least one microprocessor (1240, 1241, ..., 124M) via the at least one data line (126). Integrierte Schaltung (116) nach Anspruch 1, dadurch gekennzeichnet, dass der mindestens eine Mikroprozessor (1240, 1241, ..., 124M) und der Mikrocontroller (128) in voneinander verschiedenen Funktionsblöcken in einem gemeinsamen Halbleiterbaustein integriert sind.Integrated circuit (116) after Claim 1 , characterized in that the at least one microprocessor (1240, 1241, ..., 124M) and the microcontroller (128) are integrated in mutually different functional blocks in a common semiconductor device. Integrierte Schaltung (116) nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass mindestens zwei der Mikroprozessoren (1240, 1241, ..., 124M) ausgebildet sind, gleichzeitig dieselben Instruktionen einer Software-Lockstep Operation auszuführen, wobei der Mikrocontroller (128) ausgebildet ist, ein erstes Ergebnis einer ersten Ausführung der Instruktionen auf einem der Mikroprozessoren (1240, 1241, ..., 124M) über die mindestens eine Datenleitung (126) zu empfangen, ein zweites Ergebnis einer zweiten Ausführung der Instruktionen auf einem zweiten der Mikroprozessoren (1240, 1241, ..., 124M) über die mindestens eine Datenleitung (126) zu empfangen, und das erste Ergebnis mit dem zweiten Ergebnis zu vergleichen, und abhängig vom Ergebnis Information über einen Fehlerfall zu bestimmen.An integrated circuit (116) according to any one of the preceding claims, characterized in that at least two of the microprocessors (1240, 1241, ..., 124M) are adapted to execute simultaneously the same instructions of a software lockstep operation, wherein the microcontroller (128) is formed is to receive a first result of a first execution of the instructions on one of the microprocessors (1240, 1241, ..., 124M) via the at least one data line (126), a second result of a second execution of the instructions on a second one of the microprocessors ( 1240, 1241, ..., 124M) via the at least one data line (126), and comparing the first result with the second result, and determining information about an error case, depending on the result. Integrierte Schaltung (116) nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass der Mikrocontroller (128) ausgebildet, den mindestens einen Mikroprozessor (1240, 1241, ..., 124M) über die mindestens eine Datenleitung (126) zur Diagnose einer Hardware des mindestens einen Mikroprozessors (1240, 1241, ..., 124M) anzusteuern.Integrated circuit (116) according to any one of the preceding claims, characterized in that the microcontroller (128) is formed, the at least one microprocessor (1240, 1241, ..., 124M) via the at least one data line (126) for diagnosing a hardware of at least one microprocessor (1240, 1241, ..., 124M) to control. Integrierte Schaltung (116) nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass der Mikrocontroller (128) eine Kommunikationsschnittstelle (402, 404) umfasst.Integrated circuit (116) according to one of the preceding claims, characterized in that the microcontroller (128) comprises a communication interface (402, 404). Integrierte Schaltung (116) nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass der mindestens eine Mikroprozessor (1240, 1241, ..., 124M) und der Mikrocontroller (128) an eine gemeinsame Peripherie anschließbar sind.Integrated circuit (116) according to one of the preceding claims, characterized in that the at least one microprocessor (1240, 1241, ..., 124M) and the microcontroller (128) can be connected to a common periphery. Verfahren zur Fertigung einer integrierten Schaltung (116), dadurch gekennzeichnet, dass mindestens ein Mikroprozessor (1240, 1241, ..., 124M) und ein zusätzlicher, vom Mikroprozessor (1240, 1241, ..., 124M) verschiedener Mikrocontroller (128) angeordnet werden, wobei der mindestens eine Mikroprozessor (1240, 1241, ..., 124M) ausgebildet wird, Instruktionen einer sicherheitsrelevanten Funktion auszuführen, wobei der Mikrocontroller (128) einen Speicher für Instruktionen zur Überwachung des mindestens einen Mikroprozessors (1240, 1241, ..., 124M) aufweist, wobei der Mikrocontroller (128) ausgebildet wird, die Instruktionen zur Überwachung des mindestens einen Mikroprozessors (1240, 1241, ..., 124M) auszuführen, um die Funktion des mindestens einen Mikroprozessors (1240, 1241, ..., 124M) zu überwachen, wobei in der integrierten Schaltung mindestens eine Datenleitung (126) angeordnet wird, wobei der Mikrocontroller (128) ausgebildet wird, zur Überwachung des mindestens einen Mikroprozessors (1240, 1241, ..., 124M) mit dem mindestens einen Mikroprozessor (1240, 1241, ..., 124M) über die mindestens eine Datenleitung (126) zu kommunizieren.Process for the production of an integrated circuit (116), characterized in that at least one microprocessor (1240, 1241, ..., 124M) and an additional microcontroller (128) different from the microprocessor (1240, 1241, ..., 124M) wherein the at least one microprocessor (1240, 1241, ..., 124M) is adapted to execute instructions of a safety-related function, wherein the microcontroller (128) has a memory for instructions for monitoring the at least one microprocessor (1240, 1241,. .., 124M), wherein the microcontroller (128) is adapted to execute the instructions for monitoring the at least one microprocessor (1240, 1241, ..., 124M) to perform the function of the at least one microprocessor (1240, 1241,. .., 124M), wherein in the integrated circuit at least one data line (126) is arranged, wherein the microcontroller (128) is formed, for monitoring the at least one microns oprozessors (1240, 1241, ..., 124M) with the at least one microprocessor (1240, 1241, ..., 124M) via the at least one data line (126) to communicate. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass der mindestens eine Mikroprozessor (1240, 1241, ..., 124M) und der Mikrocontroller (128) in voneinander verschiedenen Funktionsblöcken in einem gemeinsamen Halbleiterbaustein integriert werden.Method according to Claim 7 , characterized in that the at least one microprocessor (1240, 1241, ..., 124M) and the microcontroller (128) are integrated in mutually different functional blocks in a common semiconductor device. Verfahren nach einem der Ansprüche 7 oder 8, dadurch gekennzeichnet, dass mindestens zwei der Mikroprozessoren (1240, 1241, ..., 124M) ausgebildet werden, gleichzeitig dieselben Instruktionen einer Software-Lockstep Operation auszuführen, wobei der Mikrocontroller (128) ausgebildet wird, ein erstes Ergebnis einer ersten Ausführung der Instruktionen auf einem ersten der Mikroprozessoren (1240, 1241, ..., 124M) über die mindestens einen Datenleitung (126) zu empfangen, ein zweites Ergebnis einer zweiten Ausführung der Instruktionen auf einem zweiten der Mikroprozessoren (1240, 1241, ..., 124M) über die mindestens eine Datenleitung (126) zu empfangen, und das erste Ergebnis mit dem zweiten Ergebnis zu vergleichen, und abhängig vom Ergebnis Information über einen Fehlerfall zu bestimmen. Method according to one of Claims 7 or 8th characterized in that at least two of the microprocessors (1240, 1241, ..., 124M) are adapted to simultaneously execute the same instructions of software lockstep operation, wherein the microcontroller (128) is formed, a first result of a first execution of the instructions on a first of the microprocessors (1240, 1241, ..., 124M) via the at least one data line (126), a second result of a second execution of the instructions on a second of the microprocessors (1240, 1241, ..., 124M ) via the at least one data line (126), and to compare the first result with the second result, and to determine information on an error case, depending on the result. Verfahren nach einem der Ansprüche 7 bis 9, dadurch gekennzeichnet, dass der Mikrocontroller (128) ausgebildet wird, den mindestens einen Mikroprozessor (1240, 1241, ..., 124M) über die mindestens eine Datenleitung (126) zur Diagnose einer Hardware des mindestens einen Mikroprozessors (1240, 1241, ..., 124M) anzusteuern.Method according to one of Claims 7 to 9 characterized in that the microcontroller (128) is adapted to connect the at least one microprocessor (1240, 1241, ..., 124M) via the at least one data line (126) for diagnosing hardware of the at least one microprocessor (1240, 1241,. .., 124M). Verfahren nach einem der Ansprüche 7 bis 10, dadurch gekennzeichnet, dass im Mikrocontroller (128) eine Kommunikationsschnittstelle (402, 404) angeordnet wird.Method according to one of Claims 7 to 10 , characterized in that a communication interface (402, 404) is arranged in the microcontroller (128). Verfahren nach einem der Ansprüche 7 bis 11 dadurch gekennzeichnet, dass der mindestens einen Mikroprozessor (1240, 1241, ..., 124M) und der Mikrocontroller (128) an eine gemeinsame Peripherie angeschlossen werden.Method according to one of Claims 7 to 11 characterized in that the at least one microprocessor (1240, 1241, ..., 124M) and the microcontroller (128) are connected to a common peripheral.
DE102017201621.3A 2017-02-01 2017-02-01 Integrated circuit for a control unit of a motor vehicle, method for producing an integrated circuit Pending DE102017201621A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102017201621.3A DE102017201621A1 (en) 2017-02-01 2017-02-01 Integrated circuit for a control unit of a motor vehicle, method for producing an integrated circuit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102017201621.3A DE102017201621A1 (en) 2017-02-01 2017-02-01 Integrated circuit for a control unit of a motor vehicle, method for producing an integrated circuit

Publications (1)

Publication Number Publication Date
DE102017201621A1 true DE102017201621A1 (en) 2018-08-02

Family

ID=62843402

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017201621.3A Pending DE102017201621A1 (en) 2017-02-01 2017-02-01 Integrated circuit for a control unit of a motor vehicle, method for producing an integrated circuit

Country Status (1)

Country Link
DE (1) DE102017201621A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102019204646A1 (en) * 2019-04-02 2020-10-08 Brose Fahrzeugteile SE & Co. Kommanditgesellschaft, Würzburg Integrated circuit arrangement and control unit
DE102020211540A1 (en) 2020-09-15 2022-03-17 Robert Bosch Gesellschaft mit beschränkter Haftung Procedure for protecting a microcontroller

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
ISO 26262-1:2011
ISO 26262-10:2012

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102019204646A1 (en) * 2019-04-02 2020-10-08 Brose Fahrzeugteile SE & Co. Kommanditgesellschaft, Würzburg Integrated circuit arrangement and control unit
DE102020211540A1 (en) 2020-09-15 2022-03-17 Robert Bosch Gesellschaft mit beschränkter Haftung Procedure for protecting a microcontroller

Similar Documents

Publication Publication Date Title
DE102010041492A1 (en) Method and arrangement for monitoring at least one battery, battery with such an arrangement and a motor vehicle with a corresponding battery
DE102010012904B4 (en) Systems for performing a test
DE2225841C3 (en) Method and arrangement for systematic error checking of a monolithic semiconductor memory
EP1597643A1 (en) Device and method for on-board diagnosis based on a model
DE102010013349A1 (en) Computer system and method for comparing output signals
DE102008044018A1 (en) Method for determining a security level and security manager
DE102018122766A1 (en) ANALOG TO DIGITAL ERROR DETECTION, INSULATION AND REDUCTION FOR A LOW VOLTAGE COMMUNICATION NETWORK
DE102019131865A1 (en) METHOD AND DEVICE FOR SELF-DIAGNOSTICING THE RAM ERROR DETECTION LOGIC OF A DRIVELINE CONTROLLER
DE102017201621A1 (en) Integrated circuit for a control unit of a motor vehicle, method for producing an integrated circuit
EP3073333A1 (en) Security architecture for fail-safe systems
DE102019212909A1 (en) Method for detecting a fault in a battery system as well as battery system and motor vehicle
DE102007045509B4 (en) Vehicle control unit with a supply voltage monitored microcontroller and associated method
EP2786162B1 (en) Method of detecting a fault in connecting lines between a central unit and a plurality of electronic components which are independent of one another
DE102017011685A1 (en) Method and device for processing alarm signals
EP2237118B1 (en) Safety system for ensuring error-free control of electrical devices and safety device
DE102016106531A1 (en) Bus subscriber and method for operating a bus subscriber
EP2729857B1 (en) Documentation of faults in a fault memory of a motor vehicle
DE102008046397A1 (en) System-level system-level transaction verification by translating transactions into machine code
DE102013213402A1 (en) Microcontroller with at least two cores
DE19805819B4 (en) Method for monitoring integrated circuits
DE102007007537A1 (en) Control system of a technical system
EP2878965A1 (en) Method for checking an operation device for a vehicle and operation device for a vehicle with diagnostic device
EP2149956A1 (en) Modular electrical system and method for its operation
DE102005001421A1 (en) Data bus disconnection circuit for e.g. triple modular redundancy system in vehicle, has signal paths each having two separation units, for examining proper functioning of circuit during separation and connection modes
DE102021204361A1 (en) Method for self-diagnosis of a vehicle system

Legal Events

Date Code Title Description
R012 Request for examination validly filed