DE102021200411A1 - Bussystem mit Fehlererkennungsfunktion - Google Patents

Bussystem mit Fehlererkennungsfunktion Download PDF

Info

Publication number
DE102021200411A1
DE102021200411A1 DE102021200411.3A DE102021200411A DE102021200411A1 DE 102021200411 A1 DE102021200411 A1 DE 102021200411A1 DE 102021200411 A DE102021200411 A DE 102021200411A DE 102021200411 A1 DE102021200411 A1 DE 102021200411A1
Authority
DE
Germany
Prior art keywords
slave
bus
master
checksum
signal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102021200411.3A
Other languages
English (en)
Inventor
Stefan Brucklacher
Michael Eichler
Djahanrad Korloo
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102021200411.3A priority Critical patent/DE102021200411A1/de
Priority to PCT/EP2021/086636 priority patent/WO2022152509A1/de
Publication of DE102021200411A1 publication Critical patent/DE102021200411A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/08Error detection or correction by redundancy in data representation, e.g. by using checking codes
    • G06F11/10Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's
    • G06F11/1004Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's to protect a block of data words, e.g. CRC or checksum

Abstract

Die vorliegende Erfindung betrifft ein Bussystem mit Fehlererkennungsfunktion aufweisend: einen Bus-Master (10), ein Master-Überwachungsmodul (15), einen Bus-Slave (20) und ein Slave-Überwachungsmodul (25), wobei das Master-Überwachungsmodul (15) eingerichtet ist, eine Master-Prüfsumme über Slave-Adressdaten, Nutzdaten und Steuerdaten eines durch den Bus-Master (10) erzeugten ersten Signals (S1) zu berechnen und mit einer Slave-Prüfsumme abzugleichen, welche durch das Slave-Überwachungsmodul (25) über das im Bus-Slave (20) empfangene erste Signal (S1) berechnet wird und ein Prüfsummen-Fehlersignal auszugeben, wenn die Master-Prüfsumme mit der Slave-Prüfsumme nicht übereinstimmt, wobei das Slave-Überwachungsmodul (25) eingerichtet ist, das erste Signal (S1) mit Slave-Subadressdaten zu empfangen, aus einer vordefinierten Slave-Adressinformation die Slave-Adressdaten zu ermitteln, eine Slave-Prüfsumme über die Slave-Adressdaten, die Nutzdaten und die Steuerdaten des ersten Signals (S1) zu berechnen und die Slave-Prüfsumme mittels eines zweiten Signals (S2) an das Master-Überwachungsmodul (15) zu übertragen.

Description

  • Stand der Technik
  • Die vorliegende Erfindung betrifft ein Bussystem mit einer Fehlererkennungsfunktion.
  • In elektronischen Systemen (z.B. System-on-Chip- (SoC-) ASICs mit und ohne Mikrocontroller) wird häufig eine standardisierte Busarchitektur als interner Datenbus eingesetzt.
  • In der Spezifikation einfacherer Bussysteme sind oftmals keine hardwareseitigen Maßnahmen zur Erkennung von permanenten oder temporären Einzelfehlern definiert. Dies gilt beispielsweise für die AMBA Busspezifikation der Firma ARM. Entsprechend muss bei einer Verwendung einer solchen Busarchitektur zur Einhaltung von Sicherheitsanforderungen (z. B. nach dem ASIL-Standard) das Bussystem hinsichtlich solcher Fehler in vordefinierter Weise abgesichert werden. Diesbezügliche ASIL-Anforderungen sind in der Norm ISO26262 Teil 5 spezifiziert.
  • Eine ASIL-konforme Absicherung für solche Bus-Implementierungen sieht daher beispielsweise nachfolgende Maßnahmen vor:
    • Implementieren eines vollständig redundanten Bussystems, ein Betrieb im Lock-Step-Verfahren, integrierte Selbsttests des Bussystems (z. B. beim Systemstart und/oder im laufenden Betrieb), Absichern von Daten und/oder Adressen durch zusätzliche Prüfsummen, oder Rücklesen geschriebener Daten oder Wiederholung von Leseoperationen.
  • Offenbarung der Erfindung
  • Die vorliegende Erfindung schlägt daher ein Bussystem mit einer Fehlererkennungsfunktion vor, welches insbesondere aber nicht ausschließlich in einem System-on-Chip einsetzbar ist. Das Bussystem weist wenigstens einen Bus-Master und wenigstens einen Bus-Slave auf, wobei der Bus-Master über ein erfindungsgemäßes Master-Überwachungsmodul und der Bus-Slave über ein erfindungsgemäßes Slave-Überwachungsmodul verfügt. Im Falle einer Verwendung mehrere Bus-Master und/oder Bus-Slaves am Bussystem verfügt bevorzugt jeder Bus-Master und/oder jeder Bus-Slave über ein erfindungsgemäßes Überwachungsmodul. Sofern es die Sicherheitsanforderungen an das Bussystem erlauben, ist es aber auch denkbar, dass einzelne Subnetze und/oder Master/Slave-Komponenten des Bussystems ohne die erfindungsgemäßen Überwachungsmodule eingesetzt werden. Jeweilige Master- und Slave-Überwachungsmodule sind vorteilhaft als unabhängige („Add-On-“) Komponenten zu einem aus dem Stand Technik bekannten Bussystem ausgebildet, welches im Zusammenhang mit der vorliegenden Erfindung als Basissystem einsetzbar ist. Besonders vorteilhaft sind die Master- und Slave-Überwachungsmodule darüber hinaus eingerichtet, bestehende Datenkommunikationen bzw. Konfigurationen eines solchen aus dem Stand der Technik eingesetzten Bussystems nicht zu beeinflussen, da ausschließlich lesend auf jeweilige Daten bzw. Signale des Bussystems zugegriffen wird. Dies wird vorzugsweise dadurch erreicht, dass die Master- und Slave-Überwachungsmodule als eigenständige Hardware-Komponenten ausgebildet werden, welche zusammen mit jeweiligen Bus-Master und Bus-Slave Komponenten des aus dem Stand der Technik bekannten Bussystems mittels jeweiliger Master-Wrapper-Komponenten bzw. Slave-Wrapper-Komponenten derart gekapselt werden, dass diese nach außen hin (außerhalb der jeweiligen Wrapper-Komponenten) eine gemeinsame Signalschnittstelle aufweisen. Diese Signalschnittstelle entspricht bevorzugt in unveränderter Weise der jeweiligen Spezifikation des als Basis eingesetzten Bussystems.
  • Das Master-Überwachungsmodul ist eingerichtet, eine Master-Prüfsumme über Slave-Adressdaten (d. h., Daten, welche denjenigen Bus-Slave identifizieren/adressieren, mit dem der Bus-Master Daten austauschen möchte), Nutzdaten und Steuerdaten eines durch den Bus-Master erzeugten ersten Signals zu berechnen und die berechnete Prüfsumme zu speichern und die gespeicherte Master-Prüfsumme mit einer Slave-Prüfsumme abzugleichen, welche durch das Slave-Überwachungsmodul über das im Bus-Slave empfangene erste Signal berechnet wird.
  • Darüber hinaus ist das Master-Überwachungsmodul eingerichtet, ein Prüfsummen-Fehlersignal auszugeben, wenn die Master-Prüfsumme nicht mit der Slave-Prüfsumme übereinstimmt. Das Prüfsummen-Fehlersignal wird beispielsweise in Form eines Interrupt-Signals an einen Interrupt-Handler eines das Bussystem aufweisenden Chips bzw. Rechners übertragen, so dass im Ansprechen auf das Signal eine geeignete Interrupt-Service-Routine zur Fehlerbehandlung ausgeführt wird. Alternativ oder zusätzlich ist es auch denkbar, das Prüfsummen-Fehlersignal an davon abweichenden Hardware- und/oder Software-Komponenten eines das Bussystem einsetzenden Chips bzw. Rechners zu übertragen, um durch diese die Fehlerbehandlung auszuführen. Das Slave-Überwachungsmodul ist eingerichtet, das erste Signal mit Slave-Subadressdaten zu empfangen, aus einer vordefinierten Slave-Adressinformation die Slave-Adresse zu ermitteln und eine Slave-Prüfsumme über die Slave-Adressdaten, die Nutzdaten und die Steuerdaten des ersten Signals zu berechnen.
  • Unter den Slave-Subadressdaten sollen diejenigen Adressdaten eines mittels dieser Adressdaten adressierten Bus-Slaves verstanden werden, welche durch den adressierten Bus-Slave bzw. durch das zugehörige Slave-Überwachungsmodul im Zuge einer Master/Slave-Kommunikation empfangen werden. Insbesondere in hierarchisch aufgebauten Bussystemen und/oder bei einer Verwendung von Multiplexer- und/oder Router-Komponenten zwischen den jeweils kommunizierenden Bus-Master- und Bus-Slave-Komponenten ist es möglich, dass der jeweils adressierte Bus-Slave nur noch einen Teil einer ursprünglich durch den Bus-Master verwendeten absoluten bzw. systemweiten Bus-Slave-Adresse erhält. Dies liegt darin begründet, dass ein Bus-Slave, welcher sich in einem Subnetz des gesamten Bussystems befindet, innerhalb dieses Subnetzes nur noch die jeweiligen Subadressdaten benötigt um die vom Master angesprochene Slave-Adresse eindeutig zu identifizieren. Da der Bus-Master beim Versenden von Daten an den jeweiligen Bus-Slave erfindungsgemäß jedoch die absolute bzw. systemweite Adresse des jeweils adressierten Bus-Slaves für die Prüfsummenberechnung verwendet, ist es für einen Abgleich der jeweiligen Master-Prüfsumme und der korrespondierenden Slave-Prüfsumme erforderlich, dass der jeweils adressierte Bus-Slave dieselbe vollständige Adresse für die Berechnung der Slave-Prüfsumme verwendet. Das Berechnen der vollständigen Bus-Slave Adresse auf Basis der empfangenen Subadresse erfolgt beispielsweise derart, dass im adressierten Slave-Überwachungsmodul die vollständige Bus-Slave Adresse und/oder derjenige Teil der vollständigen Adresse persistent gespeichert ist, welcher im Zuge eines Routings des ersten Signals aus den Slave-Adressdaten entfernt wird.
  • Im Falle einer vorliegenden Buskonfiguration, in welcher zwischen einem Bus-Master und einem mit diesem Bus-Master kommunizierenden Bus-Slave keine Kürzung von Adressdaten aufgrund eines Subnetz-Routings usw. erfolgt, ist es auch möglich, dass der Bus-Slave über das erste Signal direkt die vollständige d. h. die absolute Slave-Adresse empfängt und diese entsprechend nicht selbst berechnen muss.
  • Das Slave-Überwachungsmodul ist außerdem eingerichtet, die Slave-Prüfsumme zum Beispiel vor dem Abschluss eines jeweiligen Buszyklus' mittels eines zweiten Signals an das Master-Überwachungsmodul zu übertragen. Die auf diese Weise übertragene Slave-Prüfsumme wird anschließend, wie oben beschrieben, im Master-Überwachungsmodul mit der im Master-Überwachungsmodul gespeicherten Prüfsumme abgeglichen.
  • Die erfindungsgemäße Erweiterung eines bestehenden Bussystems bietet u. a. den Vorteil, dass nicht nur jeweilige Nutzdaten, welche zwischen einem Bus-Master und einem Bus-Slave übertragen werden, sondern auch die zur Adressierung eines jeweiligen Bus-Slaves verwendeten Adressdaten und jeweilige Steuerdaten hardwareseitig mittels vorstehend beschriebener Prüfsummen abgesichert werden, wodurch eine Zuverlässigkeit und/oder eine Verfügbarkeit und/oder eine Leistungsfähigkeit und/oder ein Umfang einer Fehlererkennung und/oder -behandlung eines solchen Bussystems verbessert und/oder allgemein sicherheitskritische Anforderungen an die Datenübertragung eines solchen Bussystems erfüllt werden können (z. B. Anforderungen des ISO 26262-Standards).
  • Die Unteransprüche zeigen bevorzugte Weiterbildungen der Erfindung.
  • In einer vorteilhaften Ausgestaltung der vorliegenden Erfindung ist das Master-Überwachungsmodul eingerichtet, ein Timeout-Fehlersignal auszugeben, wenn eine mittels des ersten Signals erzeugte Transfer-Anforderung an den Bus-Slave nicht innerhalb eines vordefinierten Zeitraums durch den Bus-Slave beantwortet wird. Der vordefinierte Zeitraum wird beispielsweise auf Basis einer vordefinierten maximalen Anzahl von Bustakten des Bussystems festgelegt. Alternativ oder zusätzlich ist es auch denkbar, eine „Watchdog“-Komponente zur Timeout-Überwachung der Bus-Slave-Antworten einzusetzen, welche vorzugsweise über eine vom Bustakt unabhängige Zeitbasis verfügt.
  • In einer besonders bevorzugten Ausgestaltung der vorliegenden Erfindung ist das Bussystem ein AMBA-Bussystem, welches in der Basiskonfiguration die AMBA-Spezifikation des Unternehmens ARM erfüllt und weist bevorzugt einen AHB- (Advanced High-performance) Bus und/oder einen APB- (Advanced Peripheral) Bus auf. Ferner ist es auch möglich, dass das AMBA-Bussystem über einen ASB- (Advanced System) Bus verfügt. Die erfindungsgemäßen Erweiterungskomponenten und deren Funktionen kommen insbesondere in Verbindung mit dem AMBA-Bussystem vorteilhaft zum Tragen, sind jedoch auch in Verbindung mit davon abweichenden Bussystemen vorteilhaft einsetzbar.
  • Im Fall einer Verwendung eines AMBA-Bussystems ist das AMBA-Bussystem vorzugsweise eingerichtet, das zweite Signal innerhalb eines AHB-Busses mittels eines standardgemäßen User-Signals und innerhalb eines APB-Busses mittels eines zusätzlich vorgesehen Sideband-Signals zu übertragen, da der APB-Bus eine Verwendung von AHB-Bus-User-Signalen nicht vorsieht. Für die Übertragung eines solches Sideband-Signals werden bevorzugt zusätzliche Leitungen zwischen jeweiligen Bus-Master und Bus-Slave Komponenten realisiert, über welche das Sideband-Signal übertragen wird.
  • In einer möglichen Ausgestaltung der vorliegenden Erfindung weist das Bussystem wenigstens eine Interconnect-Matrix zur Anbindung einer Mehrzahl von Bus-Mastern mit jeweiligen Master-Überwachungsmodulen und/oder einer Mehrzahl von Bus-Slaves mit jeweiligen Slave-Überwachungsmodulen auf, über welche jeweilige Datenübertragungen koordiniert werden.
  • Im Falle einer Verwendung von wenigstens zwei Bussubsystemen, welche jeweils unterschiedliche Busprotokolle implementieren, umfasst das Bussystem vorteilhaft wenigstens einen Protokollumsetzer, welcher für eines der beiden umzusetzenden Protokolle ein Master-Überwachungsmodul und für das jeweils andere der beiden umzusetzenden Protokolle eine Slave-Überwachungsmodul aufweist. Im Falle einer Verwendung eines AMBA-Bussystems ist der Protokollumsetzer beispielsweise eine AHB/APB-Bridge, welche eingerichtet ist, eine Kommunikation zwischen einem AHB-Bus und einem APB-Bus des AMBA-Bussystems herzustellen. In einem solchen Fall fungiert eine am AHB-Bus des AMBA-Bussystems informationstechnisch angebundene Schnittstelle der AHB/APB-Bridge als ein Bus-Slave, deren Datenkommunikation mit einem Bus-Master am AHB-Bus mittels eines erfindungsgemäßen Slave-Überwachungsmoduls abgesichert wird, während eine APB-Bus-Schnittstelle der AHB/APB-Bridge dementsprechend als Bus-Master am APB-Bus fungiert, wobei dieser Bus-Master über ein erfindungsgemäßes Master-Überwachungsmodul zur Absicherung der Datenkommunikation auf dem APB-Bus verfügt.
  • Für die Sicherstellung der Integrität sämtlicher Bussignale, welche mittels eines solchen Protokollumsetzers umgesetzt werden, weist der Protokollumsetzer vorzugsweise einen redundanten Aufbau und/oder einen Lock-Step-Betrieb zur Plausibilisierung der umzusetzenden Daten auf. Im Falle eines durch die redundante Auslegung des Protokollumsetzers ermittelten Fehlers bei der Plausibilisierung der umzusetzenden Daten, wird bevorzugt ein Protokollumsetzer-Fehlersignal ausgegeben, so dass ein solcher Fehlerfall an geeigneter Stelle im System auswertbar und behandelbar ist. Eine Fehlerbehandlung erfolgt beispielsweise auf solche Weise, wie sie im Zusammenhang mit dem Prüfsummen-Fehlersignal vorgeschlagen wurde. Somit ist das erfindungsgemäße Bussystem in der Lage, eine Datenkommunikation von einem Bus-Master eines bestimmten Busprotokolls zu einem Bus-Slave eines anderen Busprotokolls, lückenlos gegenüber Fehlern abzusichern, da auf diese Weise auch der Protokollumsetzer abgesichert wird, während die am Protokollumsetzer von den jeweiligen Bussystemen eintreffenden Daten mittels vorstehend beschriebener Master- und Slave-Überwachungskomponenten des Protokollumsetzers abgesichert sind.
  • In einer weiteren vorteilhaften Ausgestaltung der vorliegenden Erfindung weist das Bussystem wenigstens einen Slave-Multiplexer auf, wobei an jeden Slave-Multiplexer ein Select-Überwachungsmodul angebunden ist, welches eingerichtet ist, ein Select-Fehlersignal auszugeben, wenn durch den Slave-Multiplexer mehr als ein Bus-Slave gleichzeitig ausgewählt wird. Über einen solchen Slave-Multiplexer ist es möglich, eine Mehrzahl von Bus-Slaves mit einem oder mehreren Bus-Mastern informationstechnisch zu verbinden. Im Falle einer Verwendung eines AMBA-Bussystems werden hierbei vorzugsweise die standardgemäßen Signale HSEL (am AHB-BUS) bzw. PSEL/PENABLE (am APB-Bus) ausgewertet. Das Select-Fehlersignal wird beispielsweise ähnlich wie das Prüfsummen-Fehlersignal im System registriert und verarbeitet.
  • Im Falle einer Verwendung segmentierter Datenübertragungen (d. h., wenn ein zu übertragendes Datenpaket zu groß ist, um in einem einzelnen Datentransfer übertragen zu werden), ist das Bussystem weiter eingerichtet, jedes Datensegment mittels einer jeweiligen Master-/Slave-Prüfsumme abzusichern, so dass in der Summe sämtliche Daten des zu übertragenden Datenpakets entsprechend abgesichert sind.
  • Ferner ist das Bussystem eingerichtet, jeweilige Slave-Prüfsummen dadurch ihren jeweils korrespondierenden Master-Prüfsummen zuzuordnen, dass im zweiten Signal, welches durch einen jeweiligen Bus-Slave gesendet wird, eine eindeutige Kennung des jeweiligen Bus-Slaves enthalten ist. Vorzugsweise umfasst diese eindeutige Kennung zur Zuordnung der jeweiligen Slave-Prüfsumme die vollständige Adressinformation des jeweiligen Bus-Slaves. Auf diese Weise wird sichergestellt, dass eine in einem Master-Überwachungsmodul eines anfragenden Bus-Masters gespeicherte Prüfsumme stets nur mit derjenigen Prüfsumme des für diese Anfrage adressierten Bus-Slaves korrespondiert. Für den Fall, das aufgrund einer Fehlfunktion des Bussystems ein anderer Bus-Slave auf das erste Signal antwortet, als der durch den Bus-Master adressierte Bus-Slave, ist der Master auf Basis der in der Slave-Prüfsumme enthaltenen Slave-Adressinformation entsprechend in der Lage, einen solchen Fehler zu erkennen.
  • Dies gilt stets mit der Einschränkung, dass der jeweils adressierte Bus-Slave in der Lage ist, innerhalb des oben beschriebenen Timeout-Zeitraums zu antworten. Sollte dies nicht der Fall sein, wird eine aktuelle Transfer-Anfrage eines jeweiligen Bus-Masters beispielsweise abgebrochen und stattdessen oben beschriebene Timeout-Fehlerbehandlung durchgeführt.
  • Figurenliste
  • Nachfolgend werden Ausführungsbeispiele der Erfindung unter Bezugnahme auf die begleitende Zeichnung im Detail beschrieben. Dabei zeigt:
    • 1 eine schematische Übersicht einer Beispielkonfiguration eines erfindungsgemäßen Bussystems.
  • Ausführungsformen der Erfindung
  • 1 zeigt eine schematische Übersicht einer Beispielkonfiguration eines erfindungsgemäßen Bussystems, wobei das Bussystem ein AMBA-Bussystem mit AHB- und APB-Bussegmenten gemäß der Spezifikation des Unternehmens ARM ist. Das Bussystem weist hier eine Interconnect-Matrix 50 auf, welche mit einer Mehrzahl von Bus-Mastern 10 direkt und mit einer Mehrzahl von Bus-Slaves 20 direkt und indirekt (d. h., über weitere Komponenten des Bussystems) informationstechnisch verbunden ist. Die mit der Interconnect-Matrix 50 informationstechnisch verbundenen Komponenten realisieren jeweils das AHB-Protokoll des AMBA-Bussystems. Jeweilige Datenkommunikationen zwischen jeweiligen Bus-Mastern 10 und durch die Bus-Master 10 adressierten Bus-Slaves 20 wird über die Interconnect-Matrix 50 koordiniert. Die jeweiligen Bus-Master 10 des AHB-Busses sind hier durch jeweilige Master-Überwachungsmodule 15 ergänzt, welche eine erfindungsgemäße Absicherung zu übertragender Daten realisieren.
  • Die Master-Überwachungsmodule 15 umfassen jeweils eine Prüfsummen-Erzeugungseinheit 80, eine Prüfsummen-Vergleichseinheit 82 und eine Timeout-Ermittlungseinheit 84. Es sei darauf hingewiesen, dass die vorgenannten Einheiten der Master-Überwachungsmodule 15 hier in sämtlichen Master-Überwachungsmodulen 15 vorhanden sind, im Sinne einer vereinfachten Übersicht aber nur für einen der Bus-Master 10 exemplarisch dargestellt. Die jeweiligen Bus-Master 10 und deren zugehörige Master-Überwachungsmodule 15 sind nach außen hin (d. h., zur Interconnect-Matrix 50 hin) mittels jeweiliger Master-Wrapper-Komponenten 17 gekapselt.
  • Die jeweiligen Master-Überwachungsmodule 15 sind eingerichtet, im Zuge einer Transfer-Anfrage durch einen jeweils zugehörigen Bus-Master 10 eine Master-Prüfsumme über Adressdaten HADDR, Steuerdaten HCTRL und Nutzdaten HDATA eines durch den jeweiligen Bus-Master 10 erzeugten ersten Signals zu berechnen und diese Prüfsumme in einer Speichereinheit abzulegen. Es sei darauf hingewiesen, dass die Kennzeichnungen jeweiliger Signale (wie HADDR, HCTRL, HDATA, HSEL, HRUSER, PRUSER, PSEL, usw.) mittels Bezugszeichen, aus Gründen der Übersichtlichkeit in 1 stellvertretend für nur einige der dargestellten Komponenten angegeben sind. Ein mittels der Transfer-Anfrage adressierter Bus-Slave 20, welcher analog zum Bus-Master 10 ein zugehöriges Slave-Überwachungsmodul 25 aufweist, welches zusammen mit dem Bus-Slave 10 durch eine Slave-Wrapper-Komponente 27 gekapselt ist, ist eingerichtet, auf Basis der durch den Bus-Master 10 empfangenen Daten eine Slave-Prüfsumme zu berechnen. Hierfür weist jedes Slave-Überwachungsmodul 25 eine Prüfsummen-Erzeugungseinheit 80 und eine Adress-Berechnungseinheit 86 auf, wobei Letztere eingerichtet ist, auf Basis der im ersten Signal enthaltenen Subadressdaten des Bus-Slaves im Slave-Überwachungsmodul 25 die absolute Bus-Slave-Adresse zu ermitteln.
  • Es sei darauf hingewiesen, dass jeder Bus-Slave 20 über eine Prüfsummen-Erzeugungseinheit 80 und eine Adress-Berechnungseinheit 86 verfügt, dass diese hier aber im Sinne einer vereinfachten Übersicht nur für einen der Bus-Slaves 20 exemplarisch dargestellt sind. Das Slave-Überwachungsmodul 25 ist dementsprechend eingerichtet, eine Slave-Prüfsumme über die Adressdaten HADDR, die Steuerdaten HCTRL und die Nutzdaten HDATA zu berechnen, welche durch die Transfer-Anfrage des Bus-Masters 10 an den Bus-Slave 20 übertragen wurden. Ferner ist das Slave-Überwachungsmodul 25 in Verbindung mit dem Bus-Slave 20 und der Slave-Wrapper-Komponente 27 eingerichtet, ein zweites Signal an das Master-Überwachungsmodul 15 zu übertragen, welches die im Slave-Überwachungsmodul 25 ermittelte Slave-Prüfsumme in standardgemäßen User-Daten HRUSER enthält.
  • Das Master-Überwachungsmodul 15 ist wiederum eingerichtet, die mittels der User-Daten HRUSER übertragene Slave-Prüfsumme mit der im Master-Überwachungsmodul 15 gespeicherten Master-Prüfsumme abzugleichen. Im Falle einer Abweichung zwischen den beiden Prüfsummen ist das Master-Überwachungsmodul eingerichtet, ein Prüfsummen-Fehlersignal auszugeben, welches von einem Fehlerüberwachungsmodul eines übergeordneten Gesamtsystems zur weiteren Behandlung aufgetretener Fehler nutzbar ist.
  • Darüber hinaus zeigt 1 einen Slave-Multiplexer 70 am hier beschrieben AHB-Bus der Gesamtbuskonfiguration. Dieser ist eingerichtet, in Übereinstimmung mit einer Slave-Adresse einer Bus-Master 10 Transfer-Anfrage einen mit der Slave-Adresse korrespondierenden Bus-Slave 20 auszuwählen. Ein Select-Überwachungsmodul 75 stellt dabei sicher, dass stets nur ein einziger Bus-Slave 20 durch den Slave-Multiplexer 70 selektiert wird. Im Falle einer fehlerhaften Selektion mehrerer Bus-Slaves 20 erzeugt das Select-Überwachungsmodul 75 ein Select-Fehlersignal zur Behandlung dieses Fehlers.
  • 1 zeigt weiter eine AHB/APB-Bridge 60, welche eingerichtet ist, Signale des AHB-Busses in Signale eines APB-Busses umzuwandeln, welcher informationstechnisch an die AHB/APB-Bridge 60 angebunden ist. Auf der Seite des AHB-Busses der AHB/APB-Bridge 60 ist ein Slave-Überwachungsmodul 25 vorgesehen, während auf der Seite des APB-Busses der AHB/APB-Bridge 60 ein Master-Überwachungsmodul 15 vorgesehen ist, um jeweilige Datenkommunikationen der jeweiligen Sub-Busse mit der AHB/APB-Bridge 60 abzusichern. Eine Absicherung der Datenübertragung zwischen einer AHB-Busschnittstelle 30 und einer APB-Busschnittstelle 40 der AHB/APB-Bridge 60 erfolgt durch eine redundante Auslegung einer Protokollumsetzungseinheit der AHB/APB-Bridge 60, so dass ggf. vorhandene Abweichungen zwischen den redundanten Protokollumsetzungseinheiten ermittelbar sind. Jeweilige Daten des AHB-Busses (HADDR, HCTRL, HDATA, HRUSER) werden in jeweilige Daten des APB-Busses umgesetzt (PADDR, PCTRL, PDATA, PRUSER) und umgekehrt. 1 ist zu entnehmen, dass jeweilige PRUSER-Signale des APB-Busses mittels zusätzlicher Datenleitungen zwischen den Komponenten des APB-Busses übertragen werden.
  • Auf der Seite des APB-Busses der AHB/APB-Bridge 60 ist hier ein APB-Arbiter/Slave-Multiplexer 90 angeordnet, über welchen die Kommunikation zwischen einem Bus-Master 10 des APB-Busses und jeweiligen Bus-Slaves 20 des APB-Busses durchgeführt wird. Die weiteren hier dargestellten Komponenten des APB-Busses sind analog zu obenstehender Beschreibung aufgebaut, weshalb zur Vermeidung von Wiederholungen auf obenstehende Ausführungen verwiesen wird.
  • Es sei darauf hingewiesen, dass zahlreiche hiervon abweichende Buskonfigurationen auf Basis der vorliegenden Erfindung realisierbar sind und dass die hier dargestellte exemplarische Buskonfiguration diesbezüglich keinerlei Beschränkung darstellt.

Claims (10)

  1. Bussystem mit Fehlererkennungsfunktion aufweisend: • einen Bus-Master (10), • ein Master-Überwachungsmodul (15), • einen Bus-Slave (20), und • ein Slave-Überwachungsmodul (25), wobei • das Master-Überwachungsmodul (15) eingerichtet ist, o eine Master-Prüfsumme über Slave-Adressdaten, Nutzdaten und Steuerdaten eines durch den Bus-Master (10) erzeugten ersten Signals (S1) zu berechnen und die berechnete Prüfsumme zu speichern, ◯ die gespeicherte Master-Prüfsumme mit einer Slave-Prüfsumme abzugleichen, welche durch das Slave-Überwachungsmodul (25) über das im Bus-Slave (20) empfangene erste Signal (S1) berechnet wird, und ◯ ein Prüfsummen-Fehlersignal auszugeben, wenn die Master-Prüfsumme mit der Slave-Prüfsumme nicht übereinstimmt, • das Slave-Überwachungsmodul (25) eingerichtet ist, ◯ das erste Signal (S1) mit Slave-Subadressdaten zu empfangen, ◯ aus einer vordefinierten Slave-Adressinformation die Slave-Adressdaten zu ermitteln, ◯ eine Slave-Prüfsumme über die Slave-Adressdaten, die Nutzdaten und die Steuerdaten des ersten Signals (S1) zu berechnen, und ◯ die Slave-Prüfsumme mittels eines zweiten Signals (S2) an das Master-Überwachungsmodul (15) zu übertragen.
  2. Bussystem nach Anspruch 1, wobei das Master-Überwachungsmodul (15) eingerichtet ist, ein Timeout-Fehlersignal auszugeben, wenn eine mittels des ersten Signals (S1) erzeugte Transfer-Anforderung an den Bus-Slave (20) nicht innerhalb eines vordefinierten Zeitraums durch den Bus-Slave (20) beantwortet wird.
  3. Bussystem nach einem der vorstehenden Ansprüche, wobei das Bussystem ein AMBA-Bussystem ist und bevorzugt einen AHB-Bus (30) und/oder einen APB-Bus (40) aufweist.
  4. Bussystem nach Anspruch 3, wobei das AMBA-Bussystem eingerichtet ist, das zweite Signal (S2) • innerhalb eines AHB-Busses (30) mittels eines standardgemäßen User-Signals (HRUSER), und • innerhalb eines APB-Busses (40) mittels eines zusätzlich vorgesehenen Sideband-Signals (PRUSER) zu übertragen.
  5. Bussystem nach einem der vorstehenden Ansprüche aufweisend wenigstens eine Interconnect-Matrix (50) zur Anbindung • einer Mehrzahl von Bus-Mastern (10) mit jeweiligen Master-Überwachungsmodulen (15), und/oder • einer Mehrzahl von Bus-Slaves (20) mit jeweiligen Slave-Überwachungsmodulen (25).
  6. Bussystem nach einem der vorstehenden Ansprüche aufweisend wenigstens einen Protokollumsetzer (60), welcher für eines der beiden umzusetzenden Protokolle ein Master-Überwachungsmodul (15) und für das jeweils andere der beiden umzusetzenden Protokolle ein Slave-Überwachungsmodul (25) aufweist.
  7. Bussystem nach Anspruch 6, wobei jeder Protokollumsetzer (60) einen redundanten Aufbau und/oder einen Lock-Step-Betrieb zur Plausibilisierung der umzusetzenden Daten aufweist.
  8. Bussystem nach einem der vorstehenden Ansprüche aufweisend wenigstens einen Slave-Multiplexer (70), wobei an jeden Slave-Multiplexer (70) ein Select-Überwachungsmodul (75) angebunden ist, welches eingerichtet ist, ein Select-Fehlersignal auszugeben, wenn durch den Slave-Multiplexer (70) mehr als ein Bus-Slave (20) gleichzeitig ausgewählt wird.
  9. Bussystem nach einem der vorstehenden Ansprüche, wobei das Bussystem eingerichtet ist, bei segmentierten Datenübertragungen jedes Datensegment mittels einer jeweiligen Master/Slave-Prüfsumme abzusichern.
  10. Bussystem nach einem der vorstehenden Ansprüche, wobei das Bussystem eingerichtet ist, jeweilige Slave-Prüfsummen dadurch ihren jeweils korrespondierenden Master-Prüfsummen zuzuordnen, dass im zweiten Signal (S2), welches durch einen jeweiligen Bus-Slave (20) gesendet wird, eine eindeutige Kennung des jeweiligen Bus-Slaves (20) enthalten ist.
DE102021200411.3A 2021-01-18 2021-01-18 Bussystem mit Fehlererkennungsfunktion Pending DE102021200411A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102021200411.3A DE102021200411A1 (de) 2021-01-18 2021-01-18 Bussystem mit Fehlererkennungsfunktion
PCT/EP2021/086636 WO2022152509A1 (de) 2021-01-18 2021-12-17 Bussystem mit fehlererkennungsfunktion

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102021200411.3A DE102021200411A1 (de) 2021-01-18 2021-01-18 Bussystem mit Fehlererkennungsfunktion

Publications (1)

Publication Number Publication Date
DE102021200411A1 true DE102021200411A1 (de) 2022-07-21

Family

ID=79425431

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021200411.3A Pending DE102021200411A1 (de) 2021-01-18 2021-01-18 Bussystem mit Fehlererkennungsfunktion

Country Status (2)

Country Link
DE (1) DE102021200411A1 (de)
WO (1) WO2022152509A1 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10243319A1 (de) 2002-09-18 2004-04-01 Daimlerchrysler Ag Sichere Datenübertragung
US20130219452A1 (en) 2010-11-12 2013-08-22 Shenzhen Statemicro Electronics Co.,Ltd. Bus monitor for enhancing soc system security and realization method thereof
DE102012017339A1 (de) 2012-08-31 2014-03-06 Eads Deutschland Gmbh Rechnersystem

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7676621B2 (en) * 2003-09-12 2010-03-09 Hewlett-Packard Development Company, L.P. Communications bus transceiver
US10860541B2 (en) * 2016-04-11 2020-12-08 Johnson Controls Fire Protection LP Fire detection system with distributed file system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10243319A1 (de) 2002-09-18 2004-04-01 Daimlerchrysler Ag Sichere Datenübertragung
US20130219452A1 (en) 2010-11-12 2013-08-22 Shenzhen Statemicro Electronics Co.,Ltd. Bus monitor for enhancing soc system security and realization method thereof
DE102012017339A1 (de) 2012-08-31 2014-03-06 Eads Deutschland Gmbh Rechnersystem

Also Published As

Publication number Publication date
WO2022152509A1 (de) 2022-07-21

Similar Documents

Publication Publication Date Title
DE102015108689B4 (de) Sicherheitsknoten in Zwischenverbindungsdatenbussen
DE69729889T2 (de) Verfahren und system zum ermöglichen einer unterbrechungsfreien einsetzung und entfernung von erweiterungskarten in einem unterspannungrechnersystem
DE102005009795A1 (de) Mikroprozessorsystem für eine Maschinensteuerung in sicherheitszertifizierbaren Anwendungen
DE102011007437A1 (de) Verfahren und Schaltungsanrodnung zur Datenübertragung zwischen Prozessorbausteinen
EP1590737B1 (de) Steuergerät für ein kraftfahrzeug und kommunikationsverfahren dafür
DE69727293T2 (de) Geteilte busarchitektur für anwendungen mit unterschiedlichen integritätsanforderungsstufen
DE102006002824A1 (de) Verfahren und Vorrichtung zur Umwandlung mehrkanalig vorliegender Nachrichten in eine einkanalige sichere Nachricht
DE112012003420B4 (de) Fahrzeugsteuerungsvorrichtung und Fahrzeugsteuerungssystem
DE69919584T2 (de) Betriebsmittelsteuerung in einer datenverarbeitungsanlage
EP3655876B1 (de) Ein-chip-system, verfahren zum betrieb eines ein-chip-systems und kraftfahrzeug
EP3186710B1 (de) Mikrocontrollersystem und verfahren für sicherheitskritische kraftfahrzeugsysteme sowie deren verwendung
EP2624082B1 (de) Mobiler Datenspeicher
DE102021200411A1 (de) Bussystem mit Fehlererkennungsfunktion
DE102010010369A1 (de) Informationsverarbeitungsvorrichtung und Fehlererkennungsverfahren
EP0182134B1 (de) Verfahren zum Betrieb eines signaltechnisch sicheren Mehrrechnersystems mit mehreren signaltechnisch nicht sicheren Ein/Ausgabebaugruppen
DE102016206109A1 (de) Speicherdirektzugriffssteuereinrichtung für mindestens eine einen Arbeitsspeicher aufweisende Recheneinheit
DE69729598T2 (de) Verfahren und Vorrichtung zur Adressenparitätsprüfung für mehrfache überlappende Addressbereiche auf einem gemeinsamen Bus
DE102016106531A1 (de) Busteilnehmer und Verfahren zum Betreiben eines Busteilnehmers
DE10306285A1 (de) Mikrocomputersystem
DE112021001247T5 (de) Übertragungssystem, dessen serialisierer, deserialisierer, signalverarbeitungssystem, und kraftfahrzeug
DE3137313C2 (de) Schaltungsanordnung zur Kopplung zweier Mikroprozessoren
EP1316891B1 (de) Datenübertragungseinrichtung
EP1260905B1 (de) Programmgesteuerte Einheit
DE102016109298A1 (de) Debug-Trigger-Schnittstelle für ein Nicht-Debug-Domänen-Systemrücksetzen
EP3469484B1 (de) Datenübertragung zwischen signaltechnisch sicheren recheneinheiten

Legal Events

Date Code Title Description
R163 Identified publications notified