JP2001525965A - 自動車コントロールシステム用マイクロプロセッサ装置 - Google Patents
自動車コントロールシステム用マイクロプロセッサ装置Info
- Publication number
- JP2001525965A JP2001525965A JP54983798A JP54983798A JP2001525965A JP 2001525965 A JP2001525965 A JP 2001525965A JP 54983798 A JP54983798 A JP 54983798A JP 54983798 A JP54983798 A JP 54983798A JP 2001525965 A JP2001525965 A JP 2001525965A
- Authority
- JP
- Japan
- Prior art keywords
- central processing
- read
- memory
- systems
- processing unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/18—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
- G06F11/181—Eliminating the failing redundant component
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F02—COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
- F02D—CONTROLLING COMBUSTION ENGINES
- F02D41/00—Electrical control of supply of combustible mixture or its constituents
- F02D41/24—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
- F02D41/26—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
- F02D41/266—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor the computer being backed-up or assisted by another circuit, e.g. analogue
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/18—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
- G06F11/183—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
- G06F11/184—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality
- G06F11/185—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality and the voting is itself performed redundantly
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24187—Redundant processors run identical programs
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24195—Compare data in channels at timed intervals, for equality
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/26—Pc applications
- G05B2219/2637—Vehicle, car, auto, wheelchair
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Automation & Control Theory (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Chemical & Material Sciences (AREA)
- Combustion & Propulsion (AREA)
- Mechanical Engineering (AREA)
- Hardware Redundancy (AREA)
Abstract
(57)【要約】
本発明は、1つのチップに一緒に配置され同じプログラムを実行する3個の中央処理装置(1,2,3)を備えた、安全上重要なコントロールシステムのためのマイクロプロセッサ装置に関する。この装置は、読出し専用メモリ(7,12,17)、随時書込み読出しメモリ(8,13,18)、入出力ユニット(9,19)および比較器(15,22,23)を備え、この比較器は中央処理装置(1,2,3)の出力信号を一致しているかどうかチェックする。中央処理装置(1,2,3)はバスシステム(4,5,6)とバイパス(14,16)によって互いに接続さている。このバイパスにより、中央処理装置(1,2,3)は現在のデータや命令を一緒に読取って同じプログラムに従って処理することができる。読出し専用メモリと随時書込み読出しメモリの記憶容量は、冗長的でないシステムのために必要なメモリの記憶容量の少なくとも2倍である。記憶場所は例えば、100:50:50の比で次のシステムに分割されている。中央処理装置(1,2,3)は冗長的な周辺装置ユニット(10,20)によって、2つの完全な制御信号回路を備えている。この制御信号回路は、1個の中央処理装置(1,2,3)に故障したときに、エラーを有する中央処理装置が多数決によって識別可能であり、緊急時動作モードへの切換えが行われるように、互いに接続されている。
Description
【発明の詳細な説明】
自動車コントロールシステム用マイクロプロセッサ装置
本発明は、冗長的なデータ処理部と、別個のバスシステムを介して読出し専用
メモリ、随時書込み読出しメモリ、入出力ユニットおよび比較器に接続された、
複数のデータ処理システムを形成している複数の中央処理装置(CPU)とを備
え、この比較器がデータ処理の結果およびまたは中間結果をチェックし、中央処
理装置がバスシステムを介して互いに情報を連絡し、同じプログラムを実行し、
バスシステムがバイパスによって互いに接続され、このバイパスにより、中央処
理装置が現在のデータや命令を一緒に読取って実行することができる、自動車コ
ントロールシステム、特に安全上重要な制御装置のためのマイクロプロセッサ装
置に関する。
安全上重要であるこの種のコントロールには特に、自動車のブレーキング機能
に介入するコントロールシステムが含まれる。このコントロールシステムは多彩
なものが多数市販されている。例えば、アンチロックコントロールシステム(A
BS)、トラクションコントロールシステム(TCS)、走行安定性コントロー
ルシステム(DSC,ASMS)、サスペンションコントロールシステム等があ
る。このようなコントロールシステムが故障すると、車両の走行安定性が危険に
さらされることになる。従って、エラー発生時にコントロールを停止するかまた
は安全性の観点からあまり危険でない状態に切換えできるようにするために、シ
ステムの操作性が絶えず監視される。電子機器の故障時に機械式または液圧式シ
ステムに切換えできないブレーキシステムまたは自動車制御システムは更に重大
である。これらのシステムには、今後重要性を増すであろう“ブレーキバイワイ
ヤ”のようなブレーキシステムが含まれる。このようなシステムの場合には、ブ
レーキング機能は正常な電子機器に頼らざるを得ない。
アンチロックコントロール式車両ブレーキ装置を制御および監視するためのマ
イクロプロセッサ装置の一例が、ドイツ連邦共和国特許第3234637号公報
によって知られている。この公報によれば、入力データは同一にプログラミング
された2つのマイクロコンピュータに平行に供給され、そこで同期処理される。
両マイクロコンピュータの出力信号と中間信号が一致しているかどうかチェック
される。信号が互いに異なっていると、コントロールが停止される。
ドイツ連邦共和国特許出願公開第4137124号公報に記載された回路を構
成する他の公知のシステムによれば、入力データは同様に2つのマイクロコンピ
ュータに平行に供給され、そこから、コストのかかる完全な1個だけの信号処理
部に供給される。第2のマイクロコンピュータは特に監視のために役立つ。従っ
て、入力信号は調整、時間的な微分計算等の後で、簡単化された制御アルゴリズ
ムと簡単化された制御フィロソフィーによって更に処理可能である。簡単化され
たデータ処理は、コストのかかるマイクロコンピュータで処理された信号と比較
することによってシステムの規定通りの動作を推測することができる信号を発生
するのに充分である。
ドイツ連邦共和国特許出願公開第4341082号公報により、特にアンチロ
ックコントロール式ブレーキ装置のコントロールシステムのために設けられたマ
イクロプロ装置が知られている。1個のチップに収納可能なこの公知のシステム
は、入力データを平行に処理する2つの中央処理装置を含んでいる。両中央処理
装置に接続された読出し専用メモリと随時書込み読出しメモリは、チェック情報
のための付加的な記憶場所を有し、チェック情報を発生するためのジェネレータ
を1個ずつ備えている。両中央処理装置の一方の出力信号が制御信号を発生する
ために更に処理され、他方の中央処理装置が受動的な中央処理装置として、能動
的な中央処理装置を監視するためにのみ役立つ。
ドイツ連邦共和国特許出願公開第19529434号公報により、冒頭に述べ
た種類の装置が知られている。この装置の場合には、同期的に動作する2個の中
央処理装置が1個または複数のチップに設けられ、同じ入力信号を受け取り、同
じプログラムを実行する。その際、両中央ユニットは別個のバスシステムを介し
て読出し専用メモリと随時書込み読出しメモリおよび入出力ユニットに接続され
ている。バスシステムはドライバまたはバイパスによって互いに接続されている
。このドライバまたはバイパスにより、両中央処理装置は、供されるデータと命
令を一緒に読取り、実行することができる。この装置は記憶場所を節約すること
ができる。両中央ユニットの一方だけが完備した読出し専用メモリと随時書込み
読出しメモリに(直接的に)接続され、第2のプロセッサの記憶容量はチェック
データジェネレータに関連してチェックデータ(パリティ監視)のための記憶場
所に制限されている。すべてのデータへのアクセスはバイパスを介して行われる
。それによって、両中央処理装置はそれぞれ完備したプログラムを実行すること
ができる。
上記のすべての装置は基本的には、差が発生したときの冗長的に処理されたデ
ータの比較とエラー信号の発生に基づいている。そして、1つのシステムのエラ
ーまたは故障の発生時に、コントロールを停止することができる。緊急時動作モ
ード、すなわちエラー発生後のコントロールの継続は不可能である。このような
緊急時動作モードは基本的には、エラー源の識別および遮断に関連して、システ
ムを2倍にすることによってのみ可能である。
本発明の根底をなす課題は、エラーの発生時に緊急時動作モードが可能となる
、冒頭に述べた種類のマイクロプロセッサ装置を、最も少ない付加的なコストで
提供することである。
この課題は請求項1記載のマイクロプロセッサ装置によって解決される。この
マイクロプロセッサ装置の特徴は、冗長的でないシステムと比較して全部で少な
くとも2倍の記憶容量を有する少なくとも3個の中央処理装置が設けられ、中央
処理装置が冗長的な周辺装置ユニットによって、少なくとも2つの完全な制御信
号回路に拡張され、そして1個の中央処理装置およびまたはそれに所属する構成
要素が故障したときあるいはデータ処理システムの1つにエラーが発生したとき
に、エラーを有する中央処理装置が識別ユニットでの多数決によって識別可能で
あり、かつ緊急時動作モードへの移行が行われるように、中央処理装置が互いに
接続され、緊急時動作モードにおいて記憶容量全部を有する少なくとも1つの制
御信号回路が使用可能であり、エラーを含む中央処理装置に依存する出力信号ま
たは制御信号の出力が阻止されることにある。
本発明では、きわめて簡単なコントローラ構造のために、きわめて希な場合、
冗長性、すなわち冗長的なデータ処理の維持が省略される。というのは、短い緊
急時動作相の間他のエラーの発生は、きわめて不利であり、制御の停止が問題に
ならないかまたはリスクを増大することになるからである。その代わり、エラー
の発生時にエラー源または正常なシステムを識別した後で、エラーの作用が除去
され、エラーのないシステムと信号に基づいて制御およびまたは調整が続けられ
る。
本発明の有利な実施形では、バスシステムを1つずつ備えた3個の中央ユニッ
トが設けられ、データ処理システムの1つにエラーが発生したときあるいは中央
処理装置の1つが故障したときに、残りの両データ処理システムまたは中央処理
装置が全部で少なくとも読出し専用メモリと随時書込み読出しメモリの全記憶容
量を使用可能であり、すべての中央処理装置がバイパスを介して随時書込み読出
し装置の記憶場所と入出力ユニットに接続されている。
その際、1つの中央処理装置が、冗長的でないシステムのために必要な読出し
専用メモリと随時書込み読出メモリの全記憶容量(100%の記憶容量)を備え
、他の両中央処理装置がこの全記憶容量の少なくとも50%を備えていると、特
に合目的的であることが判った。
本発明は、ドイツ連邦共和国特許出願公開第19529434号公報によって
知られている上記の装置から出発している。この装置は原理的には、完全なデー
タ処理システムと不完全なデータ処理システムからなり、所属の周辺装置ユニッ
トを備えた付加的な完全データ処理システムによって、このシステムを拡張して
いる。これにより、緊急時動作可能な全体システムを相互接続形成する2つの完
全な制御信号回路または制御信号処理システムが生じる。この全体システムはプ
ロセッサの故障時およびエラー源の識別の際にも、制御を維持することができる
。個々のシステムまたは構成要素の本発明による相互接続により、プロセッサの
故障時に、正常の回路を使用することによって、制御と調整を継続することがで
きる。
マイクロプロセッサ装置の価格を決定する記憶場所の全体個所は、冗長的でな
いシステムにおける処理と比較して2倍になるだけある。この場合、個々のプロ
セッサに対する記憶場所の分配と割り当ては広い限界内で可変である。すなわち
、個々のすべてのプロセッサまたは個々のすべてのプロセッサユニットが全部の
プログラムを実行できるようにしなければならない。
マイクロプロセッサ装置の本発明による実施形は、すべての構成要素または主
要な構成要素、特にすべての中央処理装置、メモリ、比較器およびバイパスと、
必要であれば入出力ユニットを、1個のチップに収容することを可能にする。
3つの中央処理装置は、メモリ、入出力ユニットおよび周辺装置ユニットと共
に、電圧供給部等を含めて、2つの完全なデータ処理システムと1つの不完全な
データ処理システムを形成する。完全なプログラム実行のために必要な記憶場所
は複数のデータ処理システムに分配される。このデータ処理システムは好ましく
はそれぞれ1つの中央処理装置と、バスシステムと、読出し専用メモリおよび随
時書込み読出しメモリを含んでいる。この場合、エラーの発生時および緊急時動
作モードへの移行の際に正常なシステムが完全なデータ処理のために充分な記憶
場所を有し、完全なプログラムを実行することができるように、記憶場所が個々
のデータ処理システムに分配されている。
本発明の他の実施形は、マイクロプロセッサ装置が、ブレーキバイワイヤ、A
BS、TCS、ASMS等のような複数の自動車コントロールシステムまたはこ
れらの自動車コントロールシステムの組み合わせのために設計され、緊急時動作
モードがすべてのコントロールシステムの運転を維持するかるいは選択されたコ
ントロール機能、例えば安全上きわめて重要な機能だけに制限されている。
従属請求項には他の有利な実施形が記載されている。
本発明によるマイクロプロセッサ装置の基本構成要素を概略的に示す添付の図
と、次の説明とから、本発明の他の細部が明らかになる。この図は本発明の一実
施の形態の原理的な構成および作用を説明するために役立つものである。
図はシングルチップ型マイクロコンピュータシステムに関する。このシングル
チップ型マイクロコンピュータ装置は、同期作動する3個のプロセッサすなわち
中央処理装置1,2,3を備えている。このプロセッサは演算コア、あるいはそ
の機能のためにプロセッサコアとも呼ばれる。各々のプロセッサにはバスシステ
ム4,5,6が付設されている。中央処理装置1,2,3は冗長的に設計された
同期式クロック装置cl(コモンクロック)に接続されている。
中央処理装置1すなわちプロセッサコア1は読出し専用メモリ7(ROM1)
と、随時書込み読出しメモリ8(RAM1)と、入出力ユニット9とによって補
足されて、完備した(完全な)データ処理システムまたはマイクロコンピュータ
MC1を形成している。必要な周辺構成要素(周辺装置1)は、外側のブロック
10によって象徴的に示してある。周辺構成要素には、電圧供給部と、入力信号
(例えば自動車コントロールシステムにおけるセンサ信号)供給部と、データ処
理システムの出力データまたは出力信号によるアクチュエータ制御装置または弁
制御装置等が含まれる。
中央処理装置2を収納した、完備していない第2のデータ処理システムすなわ
ちマイクロコンピュータMC2は、図示した実施の形態では、冗長的でないシス
テムのために必要なデータの50%の記憶場所だけしか含んでいない。マイクロ
コンピュータMC2の中には、読出し専用メモリの場所12と、随時書込み読出
し領域内のデータのための記憶場所13が象徴的に示してある。
バス1(バスシステム4)とバス2(バスシステム5)がバイパス14を介し
て互いに接続されている。バイパス14は中央処理装置1による、記憶場所12
,13に記憶されたデータの読取りを可能にし、マイクロコンピュータMC1の
メモリ7,8とプロセッサコア1から、マイクロコンピュータMC2、特に中央
処理装置2へのデータの流れを可能にする。これにより、両中央処理装置1,2
による完全なデータ処理プログラムの冗長的な実行が保証される。このようなマ
イクロプロセッサシステムの構造と作用のそれ以上の詳細は上記のドイツ連邦共
和国特許出願公開第19529434号公報から推察することができる。
両システムMC1,MC2またはプロセッサ1,2のデータ処理結果は、上記
の公報に同様に説明されているように、比較器15によって一致しているかどう
か監視される。両プロセッサの出力信号の直接的な比較はハードウェア比較器1
5によって行われる。
本発明によるマイクロプロセッサシステムと図示した実施の形態の重要な特徴
は、ドイツ連邦共和国特許出願公開第19529434号公報によって知られて
いる上述のシステムが、他のデータ処理システム、すなわち、マイクロコンピュ
ータMC3によって拡張されていることにある。このマイクロコンピュータMC
3は同様に、完備していない(不完全な)マイクロコンピュータMC2と、更に
マイクロコンピュータMC1と協働する。この付加的なマイクロコンピュータシ
ステム(MC3)の機能の一部、すなわち、データの一部の記憶、例えば読出し
専用データおよび随時書込み読出しデータの50%の記憶は勿論、第2のマイク
ロコンピュータシステムMC2と場合によっては第1のシステムMC1によって
実施される。なぜなら、冗長機能を保証するための全体システムは全体として、
同じプログラムを実行する冗長的でないシステムと比べて2倍の記憶容量だけし
か必要としないからである。その際、1つがシステムが故障した時に残りのシス
テムが充分な記憶場所、すなわち少なくとも100%を提供するように、記憶容
量を3個のデータ処理システムMC1,MC2,MC3に分配しなければならな
い。好ましい実施の形態では、マイクロプロセッサシステムMC1が冗長でない
システムのために必要な記憶場所の100%を備え、両マイクロコンピュータシ
ステムMC2,MC3がそれぞれ50%を備えている。
第3のマイクロコンピュータシステムMC3は同様にバイパス16によって(
不完全な)マイクロコンピュータMC2に接続されている。このバイパスは既に
詳細に述べたバイパス14と同じ機能を有し、それによって中央処理装置2,3
はすべての入力データの冗長的な処理をすることができる。
マイクロプロセッサシステムMC3は読出し専用メモリ17(ROM)と、随
時書込み読出しメモリ18(RAM)と、入出力ユニット19と、周辺構成要素
20(周辺装置2)を備えている。MC3は図示した実施の形態では、完全なマ
イクロコンピュータであり、しかし、このマイクロコンピュータにとって、前述
のように減少した記憶容量で充分である。MC2,MC3のメモリの容量は合計
で(少なくとも)100%である。
バイパス14,16を経て、バス1(バスシステム49からバス3(バスシス
テム6)へ両方向にデータ流れが可能である。フェールセーフ機能を高めるため
に、場合によっては、図示していない付加的なバイパスを介して、この両バスシ
ステム4,6(バス1とバス3)を直接接続することができる。
マイクロコンピュータMC3はマイクロコンピュータMC1と同じ構造および
同じ構成要素を有する。従って、本発明によるマイクロプロセッサシステムは、
電圧供給部とセンサ信号入力部とアクチュエータ制御部を有する入出力ユニット
9,19と周辺構成要素10,20を2倍備えている。
第3のマイクロコンピュータMC3の出力信号またはデータ処理結果は、比較
器22によって、マイクロコンピュータMC2または中央処理装置2の結果また
は出力信号と一致しているかどうかがチェックされ、同様に比較器23によって
、MC1または中央処理装置1の結果と一致しているかどうかがチェックされる
。それによって、エラー認識だけでなく、エラーが存在するシステムの識別も可
能である。特に冗長的に形成され、比較器15,22,23の出力信号が送信さ
れる識別段24において、多数決によってエラー源が認識され、そしてシステム
が緊急時動作モードに切換えられる。これは、制御信号の出力がエラーを含むデ
ータ処理結果に左右されず、その代わりに正常なシステムに切換えられることを
意味する。
本発明によるシステムは比較的に少ない製作コストで実現可能である。原理的
には、緊急時動作が不可能な公知のシステムと比べて、プロセッサコアを追加し
、メモリ容量を2倍に増やすことで充分である。緊急時動作モードを有する従来
の公知の解決策は3倍のメモリコストを必要とする。
記憶容量が200%の最小値と比較して若干の記憶場所、例えば各々のパリテ
ィビットのための記憶場所だけ増大すると、記憶領域内のエラー個所特定はハー
ドウェア多数決によっても可能である。200%の記憶容量の最小定格が選択さ
れると、エラー個所特定は例えばメモリブロックを介してのディジットを合計す
ることによってあるいは他のソフトウェア手段によって行うことができる。
記憶容量が本発明による設計により、公知のシステムよりも低減されると、き
わめて有利である。というのは、全体装置のコストが動作メモリ(読出し専用メ
モリと随時書込み読出しメモリ)の大きさに左右されるからである。
識別監視を行う比較器15,22,23のコストは少なくて済む。バイパスを
介しての個々のマイクロコンピュータ間の信号の交換は、それほどコストを必要
としない。見かけのシングルプロセッサシステムのためのソフトウェアはプログ
ラム技術によって実現される。すなわち、マイクロコンピュータ間での信号交換
を行うソフトウェア構造あるいは信号の同一性または類似性を検査するソフトウ
ェア構造は不要である。
基本的には、内部のコンピュータエラーの発生時に、入力情報と信号出力をエ
ラーのない回路によって受け取るかまたはエラーのない回路に伝送することがで
きる。これは、システム機能を一層簡単にする。
─────────────────────────────────────────────────────
【要約の続き】
回路を備えている。この制御信号回路は、1個の中央処
理装置(1,2,3)に故障したときに、エラーを有す
る中央処理装置が多数決によって識別可能であり、緊急
時動作モードへの切換えが行われるように、互いに接続
されている。
Claims (1)
- 【特許請求の範囲】 1.冗長的なデータ処理部と、別個のバスシステムを介して読出し専用メモリ、 随時書込み読出しメモリ、入出力ユニットおよび比較器に接続された、複数の データ処理システムを形成している複数の中央処理装置(CPU)とを備え、 この比較器がデータ処理の結果およびまたは中間結果をチェックし、中央処理 装置がバスシステムを介して互いに情報を連絡し、同じプログラムを実行し、 バスシステムがバイパスによって互いに接続され、このバイパスにより、中央 処理装置が現在のデータや命令を一緒に読取って実行することができる、自動 車コントロールシステム、特に安全上重要な制御装置のためのマイクロプロセ ッサ装置において、冗長的でないシステムと比較して全部で少なくとも2倍の 記憶容量を有する少なくとも3個の中央処理装置(1,2,3)が設けられ、 中央処理装置(1,2,3)が冗長的な周辺装置ユニット(10,20)によ って、少なくとも2つの完全な制御信号回路に拡張され、そして1個の中央処 理装置(1,2,3)およびまたはそれに所属する構成要素が故障したときあ るいはデータ処理システムの1つにエラーが発生したときに、エラーを有する 中央処理装置(1,2,3)が識別ユニット(24)での多数決によって識別 可能であり、かつ緊急時動作モードへの移行が行われるように、中央処理装置 が互いに接続され、緊急時動作モードにおいて記憶容量全部を有する少なくと も1つの制御信号回路が使用可能であり、エラーを含む中央処理装置に依存す る出力信号または制御信号の出力が阻止されることを特徴とするマイクロプロ セッサ装置。 2.バスシステム(4,5,6)を1つずつ備えた3個の中央ユニット(1,2 ,3)が設けられ、データ処理システム(MCI,MC2,MC3)の1つに エラーが発生したときあるいは中央処理装置の1つが故障したときに、残りの 両データ処理システムまたは中央処理装置が全部で少なくとも読出し専用メモ リ(7,12,17)と随時書込み読出しメモリ(8,13,18)の全記憶 容量を使用可能であり、すべての中央処理装置(1,2,3)がバイパス(1 4,16)を介して随時書込み読出し装置の記憶場所と入出力ユニット(9, 10)に接続されていることを特徴とする請求項1記載のマイクロプロセッサ 装置。 3.1つの中央処理装置(1,2,3)が、冗長的でないシステムのために必要 な読出し専用メモリと随時書込み読出メモリの全記憶容量を備え、他の両中央 処理装置がこの全記憶容量の少なくとも50%を備えていることを特徴とする 請求項2記載のマイクロプロセッサ装置。 4.3つの中央処理装置(1,2,3)がメモリ(7,8,12,13,17, 18)、入出力ユニット(9,10)および周辺構成要素(10,20)と共 に、全部で2つの完全なデータ処理システムと1つの不完全データ処理システ ムを形成していることを特徴とする請求項2または3記載のマイクロプロセッ サ装置。 5.2つの中央処理装置(1,2,3)のデータ処理結果または出力信号がそれ ぞれ比較器(15,22,23)に供給可能であることを特徴とする請求項1 〜4のいずれか一つまたは複数に記載のマイクロプロセッサ装置。 6.少なくとも、バスシステム(4,5,6)を備えた中央処理装置(1,2, 3)、メモリ(7,8,12,13,17,18)、バイパス(14,16) 、入出力ユニット(9,19)、比較器(15,22,23)および識別ユニ ット(24)が共通の1つのチップに配置されていることを特徴とする請求項 1〜5のいずれか一つまたは複数に記載のマイクロプロセッサ装置。 7.マイクロプロセッサ装置が、ブレーキバイワイヤ、ABS、TCS、ASM S等のような複数の自動車コントロールシステムまたはこれらの自動車コント ロールシステムの組み合わせのために設計され、緊急時動作モードがすべての コントロールシステムの運転を維持することを特徴とする請求項1〜6のいず れか一つまたは複数に記載のマイクロプロセッサ装置。 8.マイクロプロセッサ装置が複数の自動車コントロールシステムまたはこれら の自動車コントロールシステムの組み合わせのために設計され、緊急時動作モ ードが選択されたコントロール機能、例えば安全上きわめて重要な機能の動作 の維持に制限されていることを特徴とする請求項1〜7のいずれか一つまたは 複数に記載のマイクロプロセッサ装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE19720618.2 | 1997-05-16 | ||
| DE19720618A DE19720618A1 (de) | 1997-05-16 | 1997-05-16 | Mikroprozessorsystem für Kfz-Regelungssysteme |
| PCT/EP1998/001108 WO1998053374A1 (de) | 1997-05-16 | 1998-02-27 | Mikroprozessorsystem für kfz-regelungssysteme |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2001525965A true JP2001525965A (ja) | 2001-12-11 |
Family
ID=7829696
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP54983798A Pending JP2001525965A (ja) | 1997-05-16 | 1998-02-27 | 自動車コントロールシステム用マイクロプロセッサ装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US6275752B1 (ja) |
| EP (1) | EP0981783B1 (ja) |
| JP (1) | JP2001525965A (ja) |
| DE (2) | DE19720618A1 (ja) |
| WO (1) | WO1998053374A1 (ja) |
Families Citing this family (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19742988C1 (de) * | 1997-09-29 | 1999-01-28 | Siemens Ag | Bremsanlage für ein Kraftfahrzeug |
| DE10006206A1 (de) | 2000-02-11 | 2001-08-30 | Daimler Chrysler Ag | Elektronisches Steuersystem |
| DE10008434A1 (de) * | 2000-02-23 | 2001-09-20 | Phoenix Contact Gmbh & Co | Verfahren und Vorrichtung zur Sicherheitsüberwachung einer Steuereinrichtung |
| GB2360856B (en) * | 2000-03-30 | 2004-06-23 | Llanelli Radiators Ltd | Intelligent control unit |
| DE10064673B4 (de) * | 2000-12-22 | 2005-02-24 | Renk Ag | Fehlertolerante elektromechanische Stelleinrichtung |
| EP1364319B1 (de) * | 2001-01-19 | 2008-07-09 | Continental Teves AG & Co. oHG | Verfahren zur separierung redundanter systeme während des designs von kundenspezifischen schaltkreisen |
| US7019632B2 (en) * | 2001-08-13 | 2006-03-28 | George Stuart Cole | Vehicle braking signal system with varying area display |
| DE20205496U1 (de) * | 2002-04-10 | 2003-05-22 | Brose Fahrzeugteile | Türsteuergerät |
| JP2006529072A (ja) * | 2003-05-20 | 2006-12-28 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | 二重チャネルネットワークの同期化に関する時間トリガ型通信システムおよび方法 |
| DE102004008895A1 (de) * | 2004-02-24 | 2005-09-08 | Robert Bosch Gmbh | System zum Steuern und/oder zum Regeln von Fahrerassistenzsystemen sowie hierauf bezogenes Verfahren |
| DE102004046288A1 (de) * | 2004-09-24 | 2006-03-30 | Robert Bosch Gmbh | Verfahren zur Abarbeitung eines Computerprogramms auf einem Computersystem |
| DE102004046611A1 (de) * | 2004-09-25 | 2006-03-30 | Robert Bosch Gmbh | Verfahren zur Abarbeitung eines Computerprogramms auf einem Computersystem |
| DE102005034161B3 (de) * | 2005-07-21 | 2006-10-12 | Siemens Ag | Elektronische Vorrichtung |
| WO2007017444A1 (de) * | 2005-08-11 | 2007-02-15 | Continental Teves Ag & Co. Ohg | Mikroprozessorsystem zur steuerung bzw. regelung von zumindest zum teil sicherheitskritischen prozessen |
| US7577870B2 (en) * | 2005-12-21 | 2009-08-18 | The Boeing Company | Method and system for controlling command execution |
| ATE520079T1 (de) | 2007-05-25 | 2011-08-15 | Freescale Semiconductor Inc | Datenverarbeitungssystem, datenverarbeitungsverfahren und vorrichtung |
| US7661023B2 (en) * | 2007-07-18 | 2010-02-09 | International Business Machines Corporation | System and method for verification of cache snoop logic and coherency between instruction & data caches for processor design verification and validation |
| US7689886B2 (en) * | 2007-07-18 | 2010-03-30 | International Business Machines Corporation | System and method for predicting lwarx and stwcx instructions in test pattern generation and simulation for processor design verification and validation |
| US8127192B2 (en) * | 2007-07-18 | 2012-02-28 | International Business Machines Corporation | Predicting lwarx and stwcx instructions in test pattern generation and simulation for processor design verification/validation in interrupt mode |
| US7747908B2 (en) * | 2007-07-18 | 2010-06-29 | International Business Machines Corporation | System and method for creating different start cache and bus states using multiple test patterns for processor design verification and validation |
| US7739570B2 (en) * | 2007-07-18 | 2010-06-15 | International Business Machines Corporation | System and method for increasing error checking performance by calculating CRC calculations after multiple test patterns for processor design verification and validation |
| US7647539B2 (en) * | 2007-07-18 | 2010-01-12 | International Business Machines Corporation | System and method of testing using test pattern re-execution in varying timing scenarios for processor design verification and validation |
| DE102007045398A1 (de) | 2007-09-21 | 2009-04-02 | Continental Teves Ag & Co. Ohg | Integriertes Mikroprozessorsystem für sicherheitskritische Regelungen |
| WO2009090502A1 (en) * | 2008-01-16 | 2009-07-23 | Freescale Semiconductor, Inc. | Processor based system having ecc based check and access validation information means |
| DE102008026574A1 (de) * | 2008-05-30 | 2009-12-10 | Siemens Aktiengesellschaft | Steuerungssystem, Steuerrechner sowie Verfahren zum Betreiben eine Steuerungssystems |
| US8185694B2 (en) * | 2008-07-25 | 2012-05-22 | International Business Machines Corporation | Testing real page number bits in a cache directory |
| DE102011080989B4 (de) * | 2011-08-16 | 2013-12-12 | Mtu Friedrichshafen Gmbh | Steuereinrichtung für ein Einspritzsystem, Einspritzsystem mit einer Brennkraftmaschine und Notstromaggregat |
| DE102011084569B4 (de) * | 2011-10-14 | 2019-02-21 | Continental Automotive Gmbh | Verfahren zum Betreiben eines informationstechnischen Systems und informationstechnisches System |
| DE102015218898A1 (de) * | 2015-09-30 | 2017-03-30 | Robert Bosch Gmbh | Verfahren zur redundanten Verarbeitung von Daten |
| DE202016007417U1 (de) * | 2016-12-03 | 2018-03-06 | WAGO Verwaltungsgesellschaft mit beschränkter Haftung | Steuerung Redundanter Verarbeitungseinheiten |
| DE102017210151A1 (de) * | 2017-06-19 | 2018-12-20 | Zf Friedrichshafen Ag | Vorrichtung und Verfahren zur Ansteuerung eines Fahrzeugmoduls in Abhängigkeit eines Zustandssignals |
Family Cites Families (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE197315C (ja) | ||||
| DE2041041B2 (de) | 1970-08-18 | 1972-05-04 | Siemens Ag | Datenverarbeitungsanordnung mit mehreren datenverarbeitungsanlagen, insbesondere zur abwicklung von vermittlungsvorgaengen in der fernsprechtechnik |
| JPS5810246A (ja) | 1981-07-13 | 1983-01-20 | Nissan Motor Co Ltd | 車両用ディジタル制御装置 |
| DE3209718A1 (de) | 1982-03-17 | 1983-09-29 | M.A.N. Maschinenfabrik Augsburg-Nürnberg AG, 8000 München | Funktionssichere steuereinrichtung |
| DE3225455C2 (de) * | 1982-07-07 | 1986-07-17 | Siemens AG, 1000 Berlin und 8000 München | Verfahren zum sicheren Betrieb eines redundanten Steuersystems |
| DE3234637A1 (de) | 1982-09-18 | 1984-03-22 | Alfred Teves Gmbh, 6000 Frankfurt | Verfahren und schaltungsanordnung zur steuerung einer bremsschlupfregelanlage |
| GB2237904B (en) | 1984-02-28 | 1991-10-02 | Lucas Ind Plc | Digital control system |
| DE3433778A1 (de) | 1984-09-14 | 1986-03-27 | Robert Bosch Gmbh, 7000 Stuttgart | Verfahren zur seriellen datenuebertragung in einem steuergeraet fuer brennkraftmaschinen |
| US4672530A (en) * | 1984-12-17 | 1987-06-09 | Combustion Engineering, Inc. | Distributed control with universal program |
| JPS61212653A (ja) | 1985-03-18 | 1986-09-20 | Honda Motor Co Ltd | 内燃エンジンの電子制御装置 |
| DE3725750A1 (de) | 1987-08-04 | 1989-02-23 | Vdo Schindling | Mehrprozessorsystem mit wenigstens zwei prozessoren zur erzeugung gleicher oder nahezu gleicher ausgangssignale |
| FR2632748B1 (fr) * | 1988-06-14 | 1994-04-29 | Alsthom | Dispositif de traitement de donnees et de commande |
| DE4002389A1 (de) | 1989-05-02 | 1990-11-08 | Bosch Gmbh Robert | Kraftstoffzumesssystem mit redundanter regeleinrichtung |
| US5086499A (en) | 1989-05-23 | 1992-02-04 | Aeg Westinghouse Transportation Systems, Inc. | Computer network for real time control with automatic fault identification and by-pass |
| GB2241123B (en) * | 1990-02-16 | 1993-09-29 | Teves Gmbh Alfred | Circuit arrangement for an anti-lock-controlled vehicle brake system |
| JPH04133601A (ja) * | 1990-09-21 | 1992-05-07 | Toshiba Corp | 保安機能付自動運転制御装置 |
| DE4030696A1 (de) | 1990-09-28 | 1992-04-02 | Bosch Gmbh Robert | Rechnersystem mit zwei prozessoren |
| DE4124987A1 (de) | 1991-07-27 | 1993-01-28 | Bosch Gmbh Robert | System zur ansteuerung sicherheitsrelevanter systeme |
| US5458404A (en) | 1991-11-12 | 1995-10-17 | Itt Automotive Europe Gmbh | Redundant wheel sensor signal processing in both controller and monitoring circuits |
| DE4341082A1 (de) | 1993-12-02 | 1995-06-08 | Teves Gmbh Alfred | Schaltungsanordnung für sicherheitskritische Regelungssysteme |
| US5485379A (en) * | 1994-07-25 | 1996-01-16 | Kelsey Hayes Company | Method and system for detecting the proper functioning of an ABS control unit utilizing substantially identical programmed microprocessors |
| DE4439060A1 (de) | 1994-11-02 | 1996-05-09 | Teves Gmbh Alfred | Mikroprozessoranordnung für ein Fahrzeug-Regelungssystem |
| DE19509150C2 (de) | 1995-03-14 | 2003-03-27 | Continental Teves Ag & Co Ohg | Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-Bremsanlage |
| DE19529434B4 (de) * | 1995-08-10 | 2009-09-17 | Continental Teves Ag & Co. Ohg | Microprozessorsystem für sicherheitskritische Regelungen |
-
1997
- 1997-05-16 DE DE19720618A patent/DE19720618A1/de not_active Withdrawn
-
1998
- 1998-02-27 US US09/423,226 patent/US6275752B1/en not_active Expired - Lifetime
- 1998-02-27 DE DE59804432T patent/DE59804432D1/de not_active Expired - Lifetime
- 1998-02-27 JP JP54983798A patent/JP2001525965A/ja active Pending
- 1998-02-27 EP EP98909480A patent/EP0981783B1/de not_active Expired - Lifetime
- 1998-02-27 WO PCT/EP1998/001108 patent/WO1998053374A1/de active IP Right Grant
Also Published As
| Publication number | Publication date |
|---|---|
| DE19720618A1 (de) | 1998-11-19 |
| US6275752B1 (en) | 2001-08-14 |
| EP0981783A1 (de) | 2000-03-01 |
| DE59804432D1 (de) | 2002-07-18 |
| WO1998053374A1 (de) | 1998-11-26 |
| EP0981783B1 (de) | 2002-06-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2001525965A (ja) | 自動車コントロールシステム用マイクロプロセッサ装置 | |
| US6823251B1 (en) | Microprocessor system for safety-critical control systems | |
| JP3958365B2 (ja) | 安全上重要な制御装置のためのマイクロプロセッサ装置 | |
| US5895434A (en) | Microprocessor arrangement for a vehicle control system | |
| US6410993B1 (en) | Circuit configuration for a motor vehicle control system | |
| US6317675B1 (en) | Electromechanical brake system | |
| JP4768617B2 (ja) | 安全限界制御用の組み込まれたマイクロプロセッサシステム | |
| US20130268798A1 (en) | Microprocessor System Having Fault-Tolerant Architecture | |
| JPH04310459A (ja) | 制御装置 | |
| US20090217092A1 (en) | Method and Device for Controlling a Computer System Having At Least Two Execution Units and One Comparator Unit | |
| JP2001525953A (ja) | 車両コントロールシステム用マイクロプロセッサ装置 | |
| JP2005512218A (ja) | マルチコア型冗長制御コンピュータシステム、自動車における安全上重要な用途のためのコンピュータネットワーク並びにその使用 | |
| US7389390B2 (en) | Method, microprocessor system for critical safety regulations and the use of the same | |
| US5713643A (en) | Control circuit for automotive vehicle motion control systems | |
| JP4598245B2 (ja) | 電気制御式ブレーキ装置 | |
| US20050225165A1 (en) | Brake by-wire control system | |
| JP2002502755A (ja) | 電子式ブレーキシステムのエラーの処理方法と装置 | |
| JP4594737B2 (ja) | 組込み型処理システム | |
| US6928346B2 (en) | Method for monitoring the functioning of a control unit | |
| US20100114422A1 (en) | Control device for vehicles | |
| KR20080033393A (ko) | 적어도 부분적으로 안전-결정적 프로세스들을 제어 또는조정하기 위한 마이크로프로세서 시스템 | |
| US20040060050A1 (en) | Method and controller for program control of a computer program having multitasking capability | |
| Scobie et al. | A cost efficient fault tolerant brake by wire architecture | |
| JPH0830517A (ja) | 計装制御装置 | |
| WO2019106830A1 (ja) | 分散制御装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20041215 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070130 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070423 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070717 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20071003 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20071112 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071221 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20080219 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080523 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20080703 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20080717 |