DE69911255T2 - Mikroprozessormodul mit abstimmungseinrichtung zur rückstellung und verfahren dazu - Google Patents

Mikroprozessormodul mit abstimmungseinrichtung zur rückstellung und verfahren dazu Download PDF

Info

Publication number
DE69911255T2
DE69911255T2 DE69911255T DE69911255T DE69911255T2 DE 69911255 T2 DE69911255 T2 DE 69911255T2 DE 69911255 T DE69911255 T DE 69911255T DE 69911255 T DE69911255 T DE 69911255T DE 69911255 T2 DE69911255 T2 DE 69911255T2
Authority
DE
Germany
Prior art keywords
module
reset
microprocessor module
modules
status signals
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE69911255T
Other languages
English (en)
Other versions
DE69911255D1 (de
Inventor
Mark Maiolani
Mark Jordan
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NXP USA Inc
Original Assignee
Motorola Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Motorola Ltd filed Critical Motorola Ltd
Publication of DE69911255D1 publication Critical patent/DE69911255D1/de
Application granted granted Critical
Publication of DE69911255T2 publication Critical patent/DE69911255T2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1415Saving, restoring, recovering or retrying at system level
    • G06F11/1417Boot up procedures

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)
  • Preparation Of Compounds By Using Micro-Organisms (AREA)
  • Selective Calling Equipment (AREA)
  • Multi Processors (AREA)

Description

  • Gebiet der Erfindung
  • Diese Erfindung bezieht sich auf Mikroprozessormodule und insbesondere, jedoch nicht ausschließlich, auf derartige Module in verteilten Multiprozessorsystemen.
  • Hintergrund der Erfindung
  • Verteilte Multiprozessorsysteme (mit einem Systembus und einer Anzahl von verteilten Prozessoren an Knoten des Busses) werden in steigendem Maße in der Automobilindustrie zur Bereitstellung verteilter Funktionen innerhalb eines Fahrzeugs verwendet. Viele Anwendungen solch eines Systems (beispielsweise ein elektromechanisches Bremssystem (EMB: Electro-Mechanical Braking oder "Brake-by-Wire") sind sicherheitskritisch, und ein hohes Maß an Abhängigkeit wird typischerweise in die Knoten des Systembusses hinein konstruiert.
  • Ein Beispiel für diese Abhängigkeit ist eine Anordnung, bei der Prozessoren jedes Knotens redundant Aufgaben erfüllen, die untergeordnete Aufgaben von Prozessoren der anderen Knoten sind, und dann über den Systembus kreuzweise Prüfungen mit den anderen Prozessoren durchführen. Wenn ein Prozessor fehlerhaft ist, wird er in einigen Fällen aufgrund der kreuzweisen Überprüfung mit anderen Prozessoren den Fehler erkennen und dann korrektive Handlungen vornehmen, um sich teilweise oder ganz von dem Fehler zu erholen. Es besteht jedoch ein Problem in Fällen, in denen der fehlerhafte Prozessor nicht erkennt, dass er von den anderen Prozessoren als fehlerhaft identifiziert wurde, sei es aufgrund eines internen Fehlers oder aufgrund eines Fehlers, der mit der Kommunikation mit dem Bussystem zu tun hat. Selbst wenn ein solcher Fehler erkannt wird, ist der fehlerhafte Prozessor in einigen Fällen nicht in der Lage, unter Softwaresteuerung korrektive Handlungen vorzunehmen.
  • In jedem dieser Fälle kann es sein, dass der Prozessor und somit der Knoten eine reduzierte oder unkorrekte Operation erdulden muss, welche bei sicherheitskritischen Anwendungen fatale Ergebnisse haben könnte.
  • Aus dem US Patent Nr. 4,570,261 ist ein System zur Fehlerisolierung und Überwittdung bei verteilten Mikroprozessoren sowie ein Verfahren bekannt, bei dem eine Mehrzahl von verteilten Prozessoren Status- und Entscheidungsinformationen auf besonders dafür vorgesehenen und separaten Bussen kommuniziert.
  • Diese Erfindung will ein Mikroprozessormodul sowie ein Verfahren bereitstellen, welches die oben erwähnten Nachteile mindert.
  • Zusammenfassung der Erfindung
  • Gemäß einem ersten Aspekt der vorliegenden Erfindung wird ein Mikroprozessormodul, wie in Anspruch 1 beansprucht, zur Verfügung gestellt.
  • Gemäß einem zweiten Aspekt der vorliegenden Erfindung wird ein Verfahren zum Zurrücksetzen eines Mikroprozessormoduls, wie in Anspruch 7 beansprucht, zur Verfügung gestellt.
  • Vorzugsweise umfassen die Statussignale Anzeigen von der Mehrzahl von Modulen, ob das Mikroprozessormodul fehlerhaft zu sein scheint. Das Entscheidungsschema umfasst vorzugsweise eine Aufsummierung der Anzeigen und einen Vergleich der aufsummierten Anzeigen mit einem Schwellenwert, um zu bestimmen, ob die Reset-Bedingung erfüllt ist.
  • Die Interrupt-Anforderung ist vorzugsweise nicht maskierbar. Das Modul oder Verfahren ist vorzugsweise weiterhin so eingerichtet, dass es Statussignale an das Kommunikationsnetzwerk liefert, welche den wahrgenommen Status der Mehrzahl von Modulen anzeigen.
  • Auf diese Weise werden ein Mikroprozessormodul und ein Verfahren zur Verfügung gestellt, bei denen ein fehlerhaftes Modul ferngesteuert zurückgesetzt werden kann, basierend auf "Stimmabgaben", die von anderen Modulen des Systems erfolgen, selbst wenn das Modul selbst nicht in der Lage sein mag, den Fehler zu berichtigen.
  • Kurze Beschreibung der Zeichnungen
  • Eine beispielhafte Ausführungsform der Erfindung soll nun unter Bezugnahme auf die Zeichnung beschrieben werden, in welcher:
  • 1 eine bevorzugte Ausführungsform einer Mikroprozessoranordnung gemäß der vorliegenden Erfindung zeigt;
  • 2 eine typische Timing-Anordnung zur Verwendung in der Anordnung von 1 zeigt; und
  • 3 eine Entscheidungsanordnung mit Bezug zu der Timing-Anordnung von 2 zeigt.
  • Beschreibung einer bevorzugten Ausführungsform
  • Es wird Bezug genommen auf 1. Dort ist eine Mikroprozessoranordnung 5 dargestellt, welche eingerichtet ist, mit einem Systembus 7 eines verteilten Multiprozessorsystems (nicht dargestellt), wie etwa eines sog. "Brake-By-Wire"-Fahrzeugbremssystems verbunden zu werden. In einem solchen System ist ein Pedalmodul oder -knoten, umfassend einen Mikroprozessor, mit einem Bremspedal verbunden, und eine Anzahl von Bremsmodulen oder -knoten (umfassend Mikroprozessoren) sind jeweils mit einer Bremsanordnung eines Fahrzeugrades verbunden. Die Module/Knoten sind so eingerichtet, dass sie über den Systembus miteinander kommunizieren.
  • Die Mikroprozessoranordnung 5 könnte ein Pedal- oder Radknoten sein und umfasst eine zentrale Verarbeitungseinheit (CPU: Central Processing Unit) 10 und einen Netzwerk-Kommunikations-Controller (NCC: Network Communications Controller) 20, welcher ein verteiltes Reset-Modul (DRM: Distributed Reset Module) 25 umfasst. Der NCC 20 ist so eingerichtet, dass er eine Schnittstelle zwischen der CPU 10 und dem Systembus 7 zum Datenaustausch zwischen diesen bereitstellt.
  • Das DRM 25 hat eine Interrupt-Anforderungsleitung IRQ 26 und eine Resetleitung RESET 27, die mit der CPU 10 verbunden sind. Die IRQ-Leitung 26 ist eingerichtet zum Senden eines nicht maskierbaren Interrupt-Anforderungspegels an die CPU 10, so dass die CPU 10, falls sie nicht vollständig versagt, gezwungen wird, auf ein Signal auf der IRQ-Leitung 26 zu antworten. Die IRQ-Leitung 26 und die RESET-Leitung 27 werden weiter unten beschrieben. Das DRM 25 weist auch ein Entscheidungsregister 28, ein Schwellenwertregister 29, einen Komparator 30 und einen Reset-Abwärtszähler (RDC: Reset Down Counter) 35 auf, die weiter unten beschrieben werden sollen.
  • Es wird nun auch auf 2 Bezug genommen. Dort ist eine Timing-Anordnung des Systembusses 7 bei Betrieb dargestellt. In jedem Timing-Zyklus 50 des Systems gibt es n Zeit-Slots (100, 200, 300), wobei n die Anzahl von Knoten des Systems ist. Jeder Slot ist einem speziellen Knoten zugeordnet und in diesem Fall ist Slot 100 symbolisch der Mikroprozessoranordnung 5 zugeordnet. Innerhalb von Slot 100 gibt es Datenpakete, die zu unterschiedlichen Funktionen des Systems gehören, wie etwa Datenanweisungen und Anforderungen. Ein DRM-Paket-Slot 101 ist für den Mikroprozessor 5 zum Schreiben von Statusdaten reserviert, welche zum Betrieb jedes Knotens gehören, wobei andere Paket-Slots (102, 103) für andere Funktionen reserviert sind.
  • Innerhalb des DRM-Paket-Slots 101 gibt es eine Anzahl definierter Datenbit-Slots (110, 111, 112, 113 etc.), die Knoten-Reset-Anforderungsbits sind, die zu jedem Knoten des Systems gehören. Der Mikroprozessor 5 ist so eingerichtet, dass er sich selbst sowie das Bussystem 7 auf Daten, welche zu anderen Knoten des Systems gehören, überwacht und diese Daten verarbeitet, um zu bestimmen, ob andere Knoten korrekt funktionierend erscheinen. Falls ein spezieller Knoten als korrekt funktionierend beurteilt wird, wird ein logischer wert null (0) während des Datenbit-Slots dieses Knotens auf den Systembus 7 geschrieben. Falls ein spezieller Knoten als inkorrekt funktionierend beurteilt wird, wird ein logischer Wert eins (1) während des Datenbit-Slots dieses Knotens auf den Systembus 7 geschrieben. Der Mikroprozessor 5 schreibt auch einen Wert für den Datenbit-Slot, welcher zu ihm selbst gehört.
  • Es wird nun auch auf 3 Bezug genommen. Falls die Anzahl von Knoten n = 6, stellen die Daten der Bit-Slots 110 - 115 für den dem Knoten 1 zugeordneten Slot 100 den Status der Knoten des Systems (Knoten 0–5) dar, wie er von dem Mikroprozessor 5 wahrgenommen wird. In diesem Fall ist der Mikroprozessor 5 Knoten 2 (Slot 112), und die anderen Knoten des Systems sind die Knoten 0, 1, 3, 4 und 5 (Slots 110, 111, 113, 114 und 115).
  • Im Fall, dass der Mikroprozessor 5 fehlerhaft ist, kann es sein, dass dies intern nicht erkannt wird. Daher wird eine logische null im Slot 112 geschrieben. Da der Mikroprozessor 5 fehlerhaft ist, kann es sein, dass er für die anderen Slots eine Diskrepanz mit Daten feststellt, welche zu den anderen Knoten gehören und bestimmt, dass all diese anderen Knoten fehlerhaft sind. Daher wird eine logische 1 in die Slots 110, 111, 113, 114 und 115 geschrieben.
  • Jeder der anderen Knoten des Systems führt dieselbe Operation durch und sie liefern Statusdaten in ihre entsprechenden DRM-Paket-Slots 201601. Auf diese Weise "stimmt" jeder Knoten darüber "ab", welcher Knoten fehlerhaft erscheint und welcher Knoten korrekt zu funktionieren scheint. In diesem Fall kann man sehen, dass jeder der anderen Knoten meint, dass Knoten 2 fehlerhaft ist und dass alle anderen Knoten korrekt funktionieren.
  • Die Anzahl von "Stimmen" gegen Knoten 2 beträgt insgesamt 5 (binärer Wert "101"), und diese Zahl wird in dem Entscheidungsregister 28 in dem DRM-Modul 25 gespeichert. Diese Anzahl wird dann mit einem Schwellenwert verglichen, der in dem Schwellenwertregister 29 innerhalb des DRM-Moduls 25 gespeichert ist. Der Schwellenwert wird während der Konfiguration des Systems bestimmt und gemäß der Gesamtzahl an Knoten des Systems und der in dem System erforderlichen Fehlersensitivität gewählt. In diesem Fall ist die Gesamtzahl der Knoten 6, und als Schwellenwert wird 4 (binärer Wert "100") gewählt, da 4 eine Abstimmungsmehrheit darstellt.
  • Der Vergleich wird unter Verwendung des Komparators 30 durchgeführt, welcher vorzugsweise in Hardware implementiert ist und falls die in dem Entscheidungsregister 28 gespeicherte Zahl gleich derjenigen, die in dem Schwellenwertregister 29 gespeichert ist, oder diese überschreitet, veranlasst der Komparator 30 das DRM-Modul 25 unter Verwendung der IRQ-Leitung 26, ein Interrupt-Anforderungssignal an die CPU zu senden. Zur gleichen Zeit wird ein Signal an den Reset-Abwärtszähler (RDC) 35 gesendet, welcher um 1 verringert wird.
  • Der RDC hat einen vorbestimmten Startwert (z. B. den Wert 3). Der Zweck des RDC ist es, eine Anzahl von Möglichkeiten für das DRM-Modul 25 zu Verfügung zu stellen, um einen Fehler in der CPU 10 durch ein IRQ-Signal auf der IRQ-Leitung 26 zu korrigieren, bevor Ausflucht genommen wird zu dem stärkeren RESET-Signal unter Verwendung der RESET-Leitung 27. Mit dem RDC, der einen Anfangswert von 3 hat, gibt es daher bis zu drei Versuche, den Fehler in der CPU 10 unter Verwendung eines IRQ-Signals zu korrigieren, bevor Ausflucht zu einem RESET-Signal genommen wird.
  • Falls die in dem Entscheidungsregister 28 gespeicherte Zahl kleiner ist als diejenige, die im Schwellenwertregister 29 gespeichert ist, veranlasst der Komparator 30 den RDC, wieder mit dem vorbestimmten Startwert geladen zu werden. Auf diese Weise werden im Fall eines künftigen Fehlers wieder die ursprüngliche Zahl von IRQ-Signalen ausprobiert.
  • Auf diese Weise stellt das DRM-Modul 25 ein Mittel zur Verfügung, durch welches in dem Fall, dass ein Fehler in dem Mikroprozessor 5 auftritt, die CPU 10 ferngesteuert von den anderen Mikroprozessoren des Systems über den Systembus 7 zurückgesetzt werden kann. Dies stellt die Möglichkeit bereit, den Fehler in dem Fall zu korrigieren, in dem die CPU 10 nicht in der Lage ist, den Fehler selbst zu korrigieren.
  • Man wird erkennen, dass alternative Ausführungsformen zu der oben beschriebenen möglich sind. Beispielsweise könnte das Protokoll, welches die zeitlich eingeteilten Slots definiert von dem oben beschriebenen verschieden sein. Insbesondere könnte jeder Knoten eingerichtet sein, Statusinformationen, welche zu einem speziellen Knoten gehören, in denselben DRM-Paketslot zu schreiben, so dass je der DRM-Slot Statusinformationen für nur einen Knoten enthält.
  • Weiterhin könnte der RDC-Zählerstand jede Zahl sein, einschließlich 1. In diesem Fall würde das erste Auftreten eines Überschreitens des Schwellenwertes zu einem RESET-Signal führen, in welchem Fall das IRQ-Signal und die IRQ-Leitung nicht implementiert sein müssen.

Claims (7)

  1. Mikroprozessormodul (5), das eingerichtet ist, um mit einem Kommunikationsnetz verbunden zu werden, welches eine Mehrzahl von verteilten Modulen aufweist, wobei die verteilten Module eingerichtet sind, um auf einem Bus (7) Statussignale (110115) zu senden, welche sich auf den wahrgenommenen Funktionsstatus des Mikroprozessormoduls beziehen, wobei das Mikroprozessormodul umfasst: eine Verarbeitungseinheit (10); und eine mit dem Netzwerk und der Verarbeitungseinheit verbundene Steuerschaltung (25), wobei die Steuerschaltung die Statussignale speichert, von denen jedes einen Wert aufweist, welcher einen von einem vorbestimmten aus der Mehrzahl der verteilten Module wahrgenommen Funktionsstatus des Mikroprozessormoduls anzeigt, wobei die Steuerschaltung ein Interrupt-Anforderungssignal (26) an die Verarbeitungseinheit als Reaktion auf die eine Interrupt-Anforderungsbedingung erfüllenden Signale liefert und ein Reset-Signal (27) an die Verarbeitungseinheit liefert, um das Modul in Abhängigkeit von einer Reset-Bedingung zurückzusetzen, wobei die Reset-Bedingung von einem Entscheidungsschema bestimmt wird, welches auf die von der Mehrzahl verteilter Module her auf dem Bus (7) empfangenen Statussignale angewendet wird.
  2. Modul nach Anspruch 1, wobei die Statussignale (110-115) Anzeigen von der Mehrzahl von Modulen umfassen, ob das Mikroprozessormodul fehlerhaft erscheint.
  3. Modul nach Anspruch 2, wobei das Entscheidungsschema eine Aufsummierung der Anzeigen und einen Vergleich der aufsummierten Anzeigen mit einem Schwellenwert (29) umfasst, um zu bestimmen, ob die Reset-Bedingung erfüllt ist.
  4. Modul nach einem der vorangehenden Ansprüche, wobei die Reset-Bedingung in Abhängigkeit davon bestimmt wird, ob eine vorbestimmte Anzahl von Interrupt-Anforderungsbedingungen erfüllt ist.
  5. Modul nach einem der vorangehenden Ansprüche, wobei die Interrupt-Anforderung nicht maskierbar ist.
  6. Modul nach einem der vorangehenden Ansprüche, das weiter eingerichtet ist, um dem Kommunikationsnetzwerk Statussignale zu liefern, welche den wahrgenommen Status der Mehrzahl von Modulen anzeigen.
  7. Verfahren zum Zurücksetzen eines Mikroprozessormoduls (5), wobei das Modul eingerichtet ist, um mit einem Kommunikationsnetzwerk verbunden zu werden, welches eine Mehrzahl verteilter Module aufweist, wobei das Verfahren umfasst Empfangen von Statussignalen von den verteilten Modulen auf einem Bus (7), welche sich auf den wahrgenommenen Funktionsstatus des Mikroprozessormoduls beziehen; Speichern (28) der empfangnen Statussignale in dem Mikroprozessormodul; Anwenden eines Entscheidungsschemas auf die empfangenen Statussignale auf dem Bus (7), um zu bestimmen, ob eine Interrupt-Anforderungsbedingung oder eine Reset-Bedingung erfüllt ist; Anwenden einer Interrupt-Anforderung (26) auf eine Verarbeitungseinheit (10) des Mikroprozessormoduls, wenn die Interrupt-Anforderungsbedingung erfüllt ist; und Liefern eines Reset-Signals (27), um die Verarbeitungseinheit des Mikroprozessormoduls in Abhängigkeit davon, ob die Reset-Bedingung erfüllt ist, zurückzusetzen.
DE69911255T 1998-12-23 1999-12-22 Mikroprozessormodul mit abstimmungseinrichtung zur rückstellung und verfahren dazu Expired - Fee Related DE69911255T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
GB9828531A GB2345161A (en) 1998-12-23 1998-12-23 Microprocessor module and method
GB9828531 1998-12-23
PCT/EP1999/010451 WO2000039683A1 (en) 1998-12-23 1999-12-22 Microprocessor module with reset voting arrangement and method therefor

Publications (2)

Publication Number Publication Date
DE69911255D1 DE69911255D1 (de) 2003-10-16
DE69911255T2 true DE69911255T2 (de) 2004-04-01

Family

ID=10844960

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69911255T Expired - Fee Related DE69911255T2 (de) 1998-12-23 1999-12-22 Mikroprozessormodul mit abstimmungseinrichtung zur rückstellung und verfahren dazu

Country Status (6)

Country Link
US (1) US6434698B1 (de)
EP (1) EP1141833B1 (de)
AT (1) ATE249641T1 (de)
DE (1) DE69911255T2 (de)
GB (1) GB2345161A (de)
WO (1) WO2000039683A1 (de)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002075464A1 (de) * 2001-03-15 2002-09-26 Robert Bosch Gmbh Verfahren zum betreiben eines verteilten sicherheitsrelevanten systems
DE10291112D2 (de) * 2001-03-15 2004-04-15 Bosch Gmbh Robert Verfahren zur Ansteuerung einer Komponente eines verteilten sicherheitsrelevanten Systems
US7587523B2 (en) * 2002-12-02 2009-09-08 Cedar Point Communications, Inc. Distributed systems for determining card status
JP4871687B2 (ja) * 2005-10-03 2012-02-08 日立オートモティブシステムズ株式会社 車両制御システム
US10112606B2 (en) * 2016-01-22 2018-10-30 International Business Machines Corporation Scalable sensor fusion and autonomous x-by-wire control

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4570261A (en) 1983-12-09 1986-02-11 Motorola, Inc. Distributed fault isolation and recovery system and method
US4816989A (en) * 1987-04-15 1989-03-28 Allied-Signal Inc. Synchronizer for a fault tolerant multiple node processing system
JPH0219958A (ja) * 1988-06-27 1990-01-23 Internatl Business Mach Corp <Ibm> 同報通信機能を備えたマルチプロセツサシステム及びその同報通信方法
JP2758742B2 (ja) 1991-07-19 1998-05-28 日本電気株式会社 誤動作検出方式
US5640504A (en) * 1994-01-24 1997-06-17 Advanced Computer Applications, Inc. Distributed computing network
JPH09160807A (ja) * 1995-12-06 1997-06-20 Mitsuba Corp マイクロプロセッサの誤動作検出方法
US6012154A (en) * 1997-09-18 2000-01-04 Intel Corporation Method and apparatus for detecting and recovering from computer system malfunction
US6061788A (en) * 1997-10-02 2000-05-09 Siemens Information And Communication Networks, Inc. System and method for intelligent and reliable booting

Also Published As

Publication number Publication date
GB2345161A (en) 2000-06-28
WO2000039683A1 (en) 2000-07-06
US6434698B1 (en) 2002-08-13
ATE249641T1 (de) 2003-09-15
DE69911255D1 (de) 2003-10-16
EP1141833B1 (de) 2003-09-10
EP1141833A1 (de) 2001-10-10
GB9828531D0 (en) 1999-02-17

Similar Documents

Publication Publication Date Title
EP2550599B1 (de) Kontrollrechnersystem, verfahren zur steuerung eines kontrollrechnersystems, sowie verwendung eines kontrollrechnersystems
EP2641176B1 (de) Mikroprozessorsystem mit fehlertoleranter architektur
EP1917592B1 (de) Rechnersystems mit wenigstens zwei ausführungseinheiten und einer vergleichseinheit sowie verfahren zu dessen steuerung
DE102014102582B4 (de) Strategie für fehlertolerante Controller
EP0843853B1 (de) Microprozessorsystem für sicherheitskritische regelungen
DE60019038T2 (de) Intelligente Fehlerverwaltung
DE69925000T2 (de) Fehlertolerantes elektronisches bremssystem
DE102012024818A1 (de) Verfahren zur Verbesserung der funktionalen Sicherheit und Steigerung der Verfügbarkeit eines elektronischen Regelungssystems sowie ein elektronisches Regelungssystem
WO2008040641A2 (de) Verfahren und vorrichtung zur fehlerverwaltung
DE112010005400T5 (de) System für gegenseitige Überwachung von Mikrocomputern und ein Verfahren für gegenseitige Überwachung von Mikrocomputern
DE102017106086A1 (de) Hybrid-dual-duplex fail-betriebsmuster und verallgemeinerung einer beliebigen anzahl an ausfällen
DE102008004205A1 (de) Schaltungsanordnung und Verfahren zur Fehlerbehandlung in Echtzeitsystemen
WO2002093287A2 (de) Verfahren, mikroprozessorsystem für sicherheitskritische regelungen und dessen verwendung
DE69911255T2 (de) Mikroprozessormodul mit abstimmungseinrichtung zur rückstellung und verfahren dazu
DE102015202326A1 (de) Verfahren zum Betreiben einer Datenverarbeitungseinheit eines Fahrerassistenzsystems und Datenverarbeitungseinheit
EP1615087A2 (de) Steuer- und Regeleinheit
DE102008004206A1 (de) Anordnung und Verfahren zur Fehlererkennung und -behandlung in einem Steuergerät in einem Kraftfahrzeug
EP1640869A2 (de) Verfahren zur Durchführung eines Votings von redundanten Informationen
DE102011007467A1 (de) Mehrkernige integrierte Mikroprozessorschaltung mit Prüfeinrichtung, Prüfverfahren und Verwendung
EP0182134A2 (de) Verfahren zum Betrieb eines signaltechnisch sicheren Mehrrechnersystems mit mehreren signaltechnisch nicht sicheren Ein/Ausgabebaugruppen
DE102021202935A1 (de) Verfahren und Vorrichtung zum Steuern einer Fahrfunktion
WO2007074056A2 (de) Fehlertolerantes prozessorsystem
WO2008128710A1 (de) Steuervorrichtung für fahrzeuge
EP1915687A1 (de) Verfahren und vorrichtung zur steuerung eines rechnersystems mit wenigstens zwei ausführungseinheiten
DE102017212560A1 (de) Verfahren zum ausfallsicheren Durchführen einer sicherheitsgerichteten Funktion

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: FREESCALE SEMICONDUCTOR, INC., AUSTIN, TEX., US

8339 Ceased/non-payment of the annual fee