JP2012074057A - 信頼性のあるマイクロコントローラ並びにその設計方法及びそのためのコンピュータプログラム - Google Patents
信頼性のあるマイクロコントローラ並びにその設計方法及びそのためのコンピュータプログラム Download PDFInfo
- Publication number
- JP2012074057A JP2012074057A JP2011248216A JP2011248216A JP2012074057A JP 2012074057 A JP2012074057 A JP 2012074057A JP 2011248216 A JP2011248216 A JP 2011248216A JP 2011248216 A JP2011248216 A JP 2011248216A JP 2012074057 A JP2012074057 A JP 2012074057A
- Authority
- JP
- Japan
- Prior art keywords
- defect
- module
- microcontroller
- processing unit
- cpu
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/22—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
- G06F11/26—Functional testing
- G06F11/27—Built-in tests
Abstract
【解決手段】中央演算処理装置(50、51)と該中央演算処理装置(50、51)の動作のバリデーションの実行に適した欠陥処理装置(11)を含む信頼性のあるマイクロコントローラであって、欠陥処理装置(11)は、中央演算処理装置(51)に関して異なり、外部にあり、さらに、欠陥処理装置(11)は、少なくとも中央演算処理装置の動作のバリデーションを実行するモジュール、及び、マイクロコントローラ(10)の他の機能部分の動作のバリデーションを実行するように構成された1つ以上のモジュールを含んでいる。
【選択図】図1
Description
‐ ハードウェア及びソフトウェアの標準化(standardization)を可能にする;
‐ 顧客の要求に順応性がある;
‐ 良好に規定されたフローで、クリーンコード及びスクリプト(clean codes & script)を生成する;
‐ オペレーティングシステムと容易にリンク可能である;
‐ サブブロック及びカスタムブロックの簡単な検証が可能である;
‐ アップグレードが可能である。
‐ 迅速で簡単な方法によるスケーラビリティ(scalability);
‐ 詳細な検証を提供し、さらに検証のカスタマイズを可能にする;
‐ 前段階(設計及び検証の双方)での欠陥に対して強健であり、欠陥注入(fault injection)を可能にする。
‐ 信頼性:1つの設備、又は構成要素が、規定時間及び指定環境条件下で、その意図された機能を満足に実行するという、MTTF(Mean Time To Failure:故障への平均時間)で定量化される確率;
‐ 利用可能性:システムが、いかなる所与の時間でも正しく機能しているという、MTTR/MTTF(Mean Time To Repair:修復への平均時間)で定量化された確率;
‐ 安全性:結果として(少なくとも)特定レベル、又は損失(すなわち、事故)となる、所望されない、及び計画にない出来事からの自由度。
‐ 設計により、欠陥の回避を提供する欠陥回避;
‐ 検証により、存在する欠陥の減少を提供する欠陥除去。この方法において、欠陥注入技術は基本的である;
‐ 欠陥許容性、欠陥が存在しているにもかかわらず、正しい動作を提供する技術;
‐ 評価により、欠陥の存在、及び生成、及び結果の推定を提供し、さらに欠陥の発生を停止させる先制ステップをとる欠陥予測又は欠陥回避。
‐ 欠陥認識メモリ12、バスインターフェースコントローラ14、欠陥許容メモリインターフェース13、ハードウェア検証構成要素15などの欠陥認識周辺機器との相互作用、及び、参照番号70でまとめて示される、クロック及び電源などの、基本システム構成要素との相互作用が必要なモジュールである、システムモジュール21。さらに、システムモジュール21は、欠陥認識加速器11及びログラム監視装置の他の全ての内部モジュールの管理に必要な、基本モジュールを含んでいる。システムモジュール21は、設計に関する限りCPU独立(CPU independent)と見なすことができる;しかしながら、これらはシステム構造全体に依存している;
‐ 変数妥当性/デルタ値、コード&フローの認証信号などの、メイン欠陥保護技術の実行に必要なモジュールである、メイン保護モジュール22。これらのモジュールはCPU独立と見なすことができる;
‐ 欠陥認識加速器/CPUインタフェースモジュール24からのデータを処理し、メイン保護モジュールとデータ交換をするのに必要なモジュールである、CPU総称モジュール23。CPU総称モジュール23は、僅かにCPU依存(CPU dependent)である。すなわち、基本的アルゴリズムはCPU独立であるが、データの処理方法はCPUファミリと交換可能である。
‐ CPUコア51及びCPUシステムバス53とのデータ交換に必要なモジュールである、欠陥認識加速器/CPUインタフェースモジュール24。モジュール24は、CPU依存である。
‐ 欠陥認識加速器11の全ての基本機能を初期化し、オペラティブシステム116又はユーザーアプリケーションコード117により、独自にその周辺機器を初期化するのに必要なモジュールである、初期化モジュール112;
‐ オペラティブシステムとの相互作用に必要なモジュールである、オペラティブシステム相互作用モジュール113;
‐ 例えば、オペラティブシステム116及びユーザーアプリケーションコード117に基づくランタイム認証信号など、欠陥認識加速器11を構成するのに必要なモジュールである、アプリケーションコンフィグレーションモジュール114;
‐ 欠陥検出及び保護技術を可能にするために必要なインストラクションを、アプリケーションコード117内へ挿入するのに必要なモジュールである、ランタイムモジュール115。以下の記述部分でより詳細に述べられているように、大部分のランタイムモジュール115は、欠陥認識加速器11内に含まれるハードウェアモジュールに対応するものである。すなわち、例えば、領域オーバーヘッド規制、又は欠陥認識加速器/CPUインタフェースモジュール24のインタフェース能力に起因して、対応する機能が、対応するハードウェアモジュールで実行されない場合に限り必要なものである。
‐ パワーオン時のマイクロコントローラ欠陥予測:パワーオン後、欠陥認識加速器11により実行される、一連のBISTテスト又はBIST。こうしたBISTは、欠陥認識加速器11内で実行される自己矛盾のないソフトウェア、又は、そこに備えられた1つの専用ハードウェアであり、これらは、テスト中の機能性の最大割合をカバーするか、又は実際のアプリケーションに必要な、中心となる機能性のみをカバーするよう、焦点を合わせられる。欠陥認識加速器11により実行されるBIST系列は、実質的に、欠陥認識加速器11のRAM上の、パワーオン後に、その埋込欠陥許容メモリインタフェース13を通して実行されるビルトイン自己テストを含んでいる。その後、欠陥認識加速器11上のビルトイン自己テストが実行される。続いて、妥当性確認がCPUコア51上を通過し、CPU RAMビルトイン自己テストは欠陥許容メモリインタフェース13を通して実行される。その後、CPUコア51上のビルトイン自己テストが実行される。続いて、欠陥許容性周辺機器が、専用ハードウェア検証構成要素15を通して有効にされる。その後、BIST動作は、専用の欠陥許容性バスインタフェース14を通して、バスインタフェース上で実行される。最終的に、上記の全てのステップを有効にパスした場合、「システムOk」状態に達するよう、外部BIST動作が立ち上げられる;
‐ マイクロコントローラオンライン欠陥予測:これは、すでに述べたBISTの、システムランタイム中に実行される部分集合である。マイクロコントローラオンライン自己テストは、2つの方法で実行される:
‐ アイドルタイム中に、現状をセーブするシステムの残りにより、テストされるブロック(例えば、CPU、又はRAM、又は周辺機器の1つ)を隔離することにより、さらに、対応するBISTを実行し、そして最終的に初期状態を回復することにより;
‐ 通常の動作中に、欠陥認識コンパイラが挿入可能(例えば、ループの間に)となり、現在使われていないCPUの一部分内の並列能動テストを行うために、エキストラダミーがコード化される;
‐ オンライン欠陥許容性:これは、通常の動作中に欠陥を検出し、欠陥が発見された場合、データのシャドウデータ化、コード及びフローの認証信号、データ処理妥当性チェック、アドレスの妥当性チェック、ALU同時保全性チェック、及び同時モード/割込チェックを含む一組の技術である。
‐ ブロックの認証信号、すなわち、各無分岐ブロック内に含まれている全てのオペレーションコード(op-code)の認証信号。この認証信号は、自己矛盾のない非オーバーラッピングコードを用いてブロック内に含まれているインストラクションの動作コードをコード化することにより、コンパイラによって計算される;
‐ 制御フロー正規表現。コンパイル時間中、制御フローグラフが計算され、したがって、以前のブロックを尊重する許可された経路についての情報は、各認証信号に含まれている。
‐ ランタイム実行中に欠陥認識加速器11によりチェックされる、妥当性絶対値(すなわち、最大及び最小許容値);
‐ 同一変数上の以前の動作に関して評価される、妥当性デルタ値。こうした方法で、ALU又はMACにより実行される、各単一動作の結果は、許容値の組に対してランタイムチェックされ、エラーの場合は、動作が繰り返され、又は実行が停止され得る;
‐ これらの変数を読込/書込可能な、妥当性文脈値、すなわち、タイムフレーム及び処理/タスク。
‐ 例えば、図3のBIST系列のスケジューリングなど、全ての欠陥認識加速器11作動に対するメインコントローラ及びスケジューラである、グローバルスーパーバイザモジュール。それはまた、CPUシステムバス53を通して、オペレラティブシステム及びユーザーアプリケーションコードと共有される、全ての欠陥認識加速器状況及び構成情報を含んでいる;
‐ プログラム監視モジュールは、ユーザによりソフトウェアアプリケーションに挿入されたイベントにより、さらに欠陥認識加速器コンパイラ111自身により自動的に挿入されたタイムウインドウイベントによりトリガ(起動)される、監視装置によって構成されている。欠陥認識加速器コンパイラ111により挿入されたイベントのために、タイムアウトイベントは、予想されるタイミングリミット(上及び下)を考慮に入れて計算される。タイムアウトイベントは、グローバルスーパーバイザモジュールのための、及び、以下に説明される安全状態モジュールへの、このモジュールの例外を発生させる;
‐ 例えば、ハードウェア検証構成要素15のインタフェースなど、欠陥認識加速器11の周辺機器の全てのインタフェースを管理するモジュールである、欠陥認識加速器・周辺機器マネージャモジュール。CPUコア51内でエラーが検出された場合には、周辺機器はコンパイル時に構成された安全状態に置かれることができ、また、周辺機器内でエラーが検出された場合には、グローバルスーパーバイザモジュール及び安全状態モジュールに報告される;
‐ 追加システム欠陥検出が要件であるとき、又は多欠陥認識加速器アーキテクチャーが実行される場合に必要なモジュールである、FRACからFRACへのモジュール。こうしたモジュールは、欠陥認識加速器が損なわれた場合の追加的保護を得るために、実質的に、内部欠陥認識加速器11を、外部欠陥認識加速器(図3におけるように、階層的な欠陥強健システム、又は二重冗長性システム)又は外部監視装置と接続するブロックを含んでいる;
‐ デバッグ目的のために、JTAG又はIS09141インタフェースを通して、欠陥認識加速器11から外界への全てのデータ転送を管理する、デバッグ・イフマネージャモジュール(Debug-If Manager Module)。
‐ 欠陥認識加速器11と欠陥認識メモリ12との間の、全ての相互作用メモリを管理する、欠陥認識加速器・メモリマネージャモジュール;
‐ 独立クロックソースにより与えられるクロック監視装置を含む、クロックスーパバイザモジュール。一例として、このモジュールは、欠陥認識アクセラレータ11の内部又は外部にあってもよい遅いクロック振動子の、1周期内に含まれるシステムクロック数を数えることにより実行可能であり、さらに、監視装置は、一定のタイムウインドウの間のメインクロックの劣化、すなわち、クロックが所定の安全レベルより速いか、又は遅いかを検出可能である。タイムアウトイベントは、グローバルスーパーバイザモジュールに対するこのモジュールの例外を発生させ、遅いクロックは、フェールセイフ状態へシステムを駆動する安全状態モジュールの時間を計るのに使用される;
‐ 外部パワーサプライレベル検出器、及びグローバルスーパーバイザモジュールから、共に安全なパワーアップ又はパワーダウンの必要性を指定する信号を受信する、スケジューラにより構成されたモジュールである、パワースーパバイザモジュール。使用可能になると、これは安全状態モジュールを始動させ、その後、システムのリセット及びクロックをスイッチオン(パワーアップ:power-up)し、又はスイッチオフ(パワーダウン:power-down)する安全な手順を提供する。スイッチオフの間も、このモジュールは、外部第2電源装置を作動させることが可能である。
‐ アプリケーションにより用いられる重要な変数のコピーを作り、レジスタからメモリへの、又はメモリからレジスタへの、可視データ転送(ロード/ストアインストラクション:Load/Store instruction)に基づき、こうした変数をアップデートする、シャドウ変数モジュール。シャドウ変数モジュールは、レジスタ転送へのメモリの不一致を検出する。不一致が検出されると、グローバルスーパーバイザモジュール、安全状態モジュール、及びハードウェア又はソフトウェアのいずれかのデータ再試行モジュールに対する例外が発生する。シャドウ変数モジュールは、保護される変数を選択するソフトウェアを通して構成可能である;
‐ レジスタからメモリへの、又はメモリからレジスタへの、可視データ転送(ロード/ストアインストラクション)に基づき、所与の変数(妥当性絶対値、デルタ値、及び文脈値)に対する妥当性値をチェックするモジュールである、妥当性変数モジュール。不一致が検出されると、グローバルスーパーバイザモジュール、及び安全状態モジュールに対する例外が発生する。妥当性可変モジュールは、保護される変数を選択し、妥当性値を評価するソフトウェアを通して構成可能である;
‐ 欠陥認識加速器コンパイラ111により、コンパイル時に計算されたコード及びフロー認証信号に基づき、欠陥認識メモリ12に格納されるか、又はユーザコードメモリ内に埋め込まれ、さらに、ランタイムインストラクションコードを用いてそれらのモジュール自体によりランタイムに計算されたコード及びフロー認証信号に基づくモジュールである、コード&フロー認証信号モジュール。このモジュールは、CPUプログラムフローにおける欠陥を検出可能である。さらにモジュールは、それらがCPUコア51にロードされる際、インラインリテラル内の欠陥を検出可能である。不一致が検出されると、グローバルスーパーバイザモジュール、安全状態モジュール、及びプログラム再試行モジュールに対する例外が発生する;
‐ ソフトウェア信号により、又はグローバルスーパーバイザモジュールにより、又は上述の他のモジュールによりトリガーされると、システムを安全な状態に導く、すなわち、変数に安全な値を代入し、COU51を止め、及び欠陥認識加速器11のすべての周辺機器を安全な状態に置く信号を、欠陥認識加速器・周辺機器マネージャモジュールに送ることによる手順を開始することができる、安全状態モジュール。これはコンパイル時に構成される;
‐ CPUのレジスタバンクのコピーを作成し、及びメモリからレジスタへの可視データ転送(ロード/ストアインストラクション)に基づいて、さらに、欠陥認識加速器・コアインタフェースモジュールから利用可能な、ALU書込ポートへのアクセスに基づいてそれをアップデートする、シャドウレジスタモジュール。その後、シャドウレジスタモジュールは、メモリ転送への最終レジスタを内部コピーのコンテンツと比較して不一致を検出する。内部結果とALU書込ポート上の1つとの間に不一致が検出されると、グローバルスーパーバイザモジュール、安全状態モジュール、及びデータ再試行に対する例外が発生する。このモジュールは、保護されるレジスタを選択するソフトウェアにより構成可能である;
‐ レジスタからメモリへの可視データ転送(ロード/ストアインストラクション)に基づく、デルタ値、空間並びに時間文脈値に対する妥当性値をチェックするモジュールである、妥当性ロードストア装置(LSU)モジュール。不一致が検出されると、グローバルスーパーバイザモジュール、及び安全状態モジュールに対する例外が発生する。このモジュールは、保護されるアドレスを選択し、妥当性値を評価するソフトウェアで構成可能である;
‐ マルチプロセスアプリケーションで用いられる、タスクスーパバイザモジュール。メモリ可視データ転送(ロード/ストアインストラクション)へのレジスタに基づき、これは、様々なタスク、特に仮想アドレシングが用いられていないときに、メモリアクセス上でのチェックを実行する。より詳細には、タスクが、非共有へのアクセス、又はグローバルスーパーバイザモジュール、安全状態モジュール及びプログラム再試行モジュールのために生成された他のものに対して実行する場合;
‐ 欠陥検出以外に欠陥修正も必要であるときに用いられる、データ再試行モジュール。これは、シャドウ変数モジュール、又はシャドウレジスタモジュール、又は妥当性変数モジュールの結果に基づき、CPUポートを用いて、又はデータ再試行ソフトウェアモジュールと相互作用することにより、メモリ内の不完全な変数/レジスタの値を回復可能である;
‐ 欠陥検出以外に欠陥修正も必要であるときに用いられる、プログラム再試行モジュール。これは、コード&フロー認証信号モジュールの結果に基づき、CPUポートを用いて、又はプログラム再試行モジュールと相互作用することにより、CPU状態及びプログラムカウンタを回復可能である。
‐ 欠陥認識加速器11とコプロセッサ52との間のインタフェースから、又は欠陥認識加速器ETM(Embedded Trace Module:埋込トレースモジュール)インタフェースから読み込まれたオペレーションコードを解読し、さらに他のモジュールへ解読された制御信号を提供する一般モジュールである、オペレーションコード解読モジュール;
‐ 発せられた割り込み及び例外が有効でサーブされる場合、メモリマップ構成(アクセス許可、整列、及び非整列アクセスなど)及び割り込み要求を考慮して、絶え間なくチェックするモジュールである、Exc/Intスーパバイザモジュール。さらに、これは、例外の発生を考慮すべき場合(例えば、特権領域へユーザがアクセスしたことに起因)に発生しなかったことを検出する。欠陥が検出されると、グローバルスーパーバイザモジュール、及び安全状態モジュールに対する例外が発生する;
‐ シャドウレジスタモジュール、及び欠陥認識加速器ソフトウェアレジスタシャドウ化モジュールに基づき、及びCPUから来る信号に基づき、フラグ及びCPUモードを検査する、モード/フラグスーパバイザモジュール。不一致が検出されると、欠陥認識加速器グローバルスーパーバイザ、及び欠陥認識加速器安全状態モジュールに対する例外が発生する;
‐ 他のモジュールによりチェックされるのではなく、装置間の欠陥を検出するために、CPUメモリ境界を伴うロードストア装置(LSU)により生成されたアドレス、データ、及び制御信号を絶え間なく比較する、バウンダリスーパーバイザモジュール。不一致が検出されると、グローバルスーパーバイザモジュール、及び安全状態モジュールに対する例外が発生する;
‐ コード化された値(例えば、モジュール-3番号で動作する)上で実行される、最重要ALU/MAC動作を含むCPU整数コアの縮小コピーを作成する、ALU/MACスーパバイザモジュール。これは、シャドウレジスタモジュールへのアクセスを有し、さらに、欠陥認識加速器・コアインタフェースを通して取得された、コアのALU書込ポート上で検出された結果をチェックする。内部結果とALU書込ポート上の1つとの間に不一致が検出されると、グローバルスーパーバイザモジュール、及び安全状態モジュールに対する例外が発生する。この縮小モジュールに実装されていない動作で、欠陥検出が必要となる場合は、それらの動作は、欠陥認識加速器コンパイラ111による安全なインストラクション内で分解可能である;
‐ シャドウレジスタモジュールに基づき、CPUレジスタからコプロセッサへと転送されるデータが有効か否かをチェックする、コプロセッサスーパバイザモジュール。不一致が検出されると、グローバルスーパーバイザモジュール、及び安全状態モジュールに対する例外が発生する;
‐ ソフトウェア信号により、又はグローバルスーパーバイザモジュールにより、又はパワースーパバイザモジュールによりトリガーされると、CPUコア51、又はその一部分のBIST(ビルトイン自己テスト)を始動可能な、BISTスーパバイザモジュール。不一致が検出されると、グローバルスーパーバイザモジュール、及び安全状態モジュールに対する例外が発生する;
‐ CPUコア51により実行されたコードの直近部分を格納するキャッシュのソートを実行し、現在のプログラムフローと比較し、違いを検出する高度なモジュールである、インストラクション予測モジュール。不一致が検出されると、グローバルスーパーバイザモジュール、安全状態モジュール、プログラム再試行モジュール(ハードウェア又はソフトウェア)に対する例外が発生する。
‐ 欠陥認識加速器11をCPU割り込み線へ接続する、欠陥認識加速器・INTモジュール;
‐ 欠陥認識加速器・COPROCインタフェースモジュールは、欠陥認識加速器をCPUコプロセッサ52インタフェースへ接続する;
‐ 欠陥認識加速器をCPUコアETMインタフェースへ接続する、欠陥認識加速器・埋込トレースモジュール(ETM)インタフェース;
‐ 欠陥認識加速器11をCPUバス53、63及びインストラクションキャッシュメモリ、AMBAバスなどのインタフェース信号に接続する、欠陥認識加速器・バウンダリーインタフェース;
‐ 拡張ハードウェア視程(レジスタシャドウ化などのためのALU書込ポートの視程など)を提供するために、欠陥認識加速器をCPU整数コアに接続する、欠陥認識加速器・コアインタフェース。
‐ オペラティブシステム及びアプリケーションユーザーコードを伴う、欠陥認識加速器11の構成に必要なコードを含む、ベースコンフィグレーションソフトウェアモジュール;
‐ コンパイル時に欠陥認識加速器コンパイラ111により計算される、コード&フローの認証信号を伴う欠陥認識加速器の構成に必要なコードを含む、認証信号コンフィグレーションソフトウェアモジュール。
‐ ハードウェアExc/Intスーパバイザモジュールに対するソフトウェア対応物である、EXC/INTスーパバイザソフトウェアモジュール;
‐ プロセッサ構成(ブロック設定、メモリマッピングなど)を検査する必要があるコードを含む、CPUスーパバイザソフトウェアモジュール。欠陥が検出される場合、モジュールは、プログラム再試行モジュールとして、プログラムフローを回復可能である;
‐ タスクスーパバイザモジュールに対するソフトウェア対応物である、タスクスーパバイザソフトウェアモジュール;
‐ 欠陥認識加速器・コアソフトウェアインタフェースは、欠陥認識加速器・コアインタフェースをハードウェアレベルで行うことの、ソフトウェアレベルでの模擬となるコードにより構成される。特に、必要ならば、内部コアレジスタのコピーが、欠陥認識加速器11内に作成される;
‐ ハードウェアコプロセッサスーパバイザモジュールに対するソフトウェア対応物である、コプロセッサスーパバイザソフトウェア。
‐ ハードウェアBISTスーパバイザモジュールに対するソフトウェア対応物である、BISTスーパバイザソフトウェアモジュール;
‐ ハードウェアデータ再試行モジュールに対するソフトウェア対応物である、データ再試行ソフトウェアモジュール;
‐ ハードウェアプログラム再試行モジュールに対するソフトウェア対応物である、プログラム再試行ソフトウェアモジュール。
‐ 外部メモリをラップし、オンラインビルトイン自己テストを、さらに、必要ならばオンラインビルトイン自己修復を実行するために、そのコンテンツをコード化する、欠陥認識装置F−RAMモジュール;
‐ 外部メモリをラップし、オンラインビルトイン自己テストを、さらに、必要ならばオンラインビルトイン自己修復を実行するために、そのコンテンツをコード化する、欠陥認識装置F−ROMモジュール;
‐ アドレス及びデータ欠陥をチェックするために、外部メモリDMAコントローラをラップするブロックを含む、欠陥確認F−DMAモジュール。
‐ バスシステム53のように、メインAHB(Advanced High-performance:高度な高性能バス)バス上で伝送されるデータをチェックするために、冗長コード化されたAHBバスを用いる、AHBモジュール;
‐ 周辺バス63のように、メインAPB(Advanced Peripheral Bus:高度な周辺バス)バス上で伝送されるデータをチェックするために、冗長コード化されたAPBバスを用いる、APBモジュール;
‐ CANバスモジュールに対する特殊レベルの欠陥検出の及び修正を実行するCANモジュール。
<式> Expect @A_rise =>{[1..3];@B:rise}else PHY_error
‐ 図5を参照して詳述されている、1組のhVC基本モジュール;
‐ PWM、タイマなどの標準ブロックに対する、プレコンパイルハードウェア検査構成要素のhVCライブラリ。
‐ 所与のインタフェースに対してハードウェア検査ブロック15のハードウェア検査チェック装置を埋め込む、ハードウェア検査チェック装置モジュール604;
‐ 所与のインタフェースに対してハードウェア検査構成要素15のハードウェア検査BIST装置を埋め込む、ハードウェア検査BISTモジュール605;
‐ 欠陥認識加速器11とハードウェア検査構成要素15とを安全に接続し、コンフィグレーション値を受け取り、欠陥認識加速器11へ実行/非実行信号を供給し、欠陥認識加速器11からのコマンドを受け取り、欠陥認識周辺機器マネージャモジュールと相互作用する、ハードウェア検査インタフェースモジュール601;
‐ ハードウェア検査構成要素15全体のマネージャであり、必要ならば制御されたインタフェースを安全な状態に置く働きをする、ハードウェア検査マネージャモジュール602;
‐ 例えば、中央演算処理装置51信号、及びハードウェア検査構成要素15信号などの、システム信号間で選択するために用いられる安全なマルチプレクサー構造である、ハードウェア検査・MUXモジュール603;
‐ コンパイル時又は設計時に、例えば、インタフェースなどに対する選択/命令妥当性・デルタ・文脈チェックをするなど、ハードウェア検査構成要素15のモジュールを構成するために必要な全機能を実行する、ハードウェア検査コンフィグレーションソフトウェアモジュール。このモジュールは、すでに欠陥認識コンパイラ111に対して説明した、初期化ソフトウェアモジュールの一部である。
‐ プラットホーム構成要素のための1組のeVC構成要素。これらの構成ブロックを用いて、システムレベル態様を検査するために、より複雑なeVCが構成可能である;
‐ CPU検査手順。これは主に、ユーザ規制及び有効範囲分析装置からのフィードバックの双方に基づく、コーナーケースインストラクション系列を生成する、規制駆動テストジェネレータにより構成される;
‐ スペックマンエリート(SpecMan Elite)の能力を用いて実行される欠陥注入装置;
‐ 典型的なシステム状況、特に、マルチプロセッサCAN/TTPP装置、欠陥モデルなどのような自動車のシステム状況のデータベース。
‐ ステップ301は、仕様を考慮することを表す;
‐ ステップ302は、システム定義を表す;
‐ ステップ303は、システム分割及びシミュレーションを表す;
‐ ステップ304は、欠陥許容性システム定義を表す;
‐ ステップ305は、ECU設計を表す;
‐ ステップ306は、ECU検査を表す:
‐ ステップ307は、欠陥注入を伴うシステム検査を表す;
‐ ステップ308は、最終的な実装を表す。
‐ 欠陥許容性システム定義304:このステップは、RTOS(リアルタイムオペレーティングシステム)、及び、ソフトウェアフェーリャーモード(Software Failure Modes)及びエフェクツアナリシス(Effects Analysis)などのような、標準ハザードアナリシス(Hazard Analysis)技術を用いて、シミュリンク(SimuLink)環境で始動するシステムレベルの双方で実行可能である。その後、例えば、フェールサイレント又はフェールセイフの振舞いの定義などのような基本的ニーズが定義されると、これらの選択は、例えば、各システム構成要素のための欠陥認識加速器11ハードウェア/ソフトウェア統合のレベル、欠陥認識加速器メモリ12の大きさなどを定義することにより、設計手順内のECU設計レベルで実行可能である。
‐ ECU設計305及び検査306:システム分割及び欠陥許容性技術の定義の後、eVC及び欠陥注入と共に、各ブロックを設計並びに検査可能である;
‐ 欠陥注入を伴うシステム検査307:完成したシステムは欠陥に対して検査可能であり、さらに欠陥許容性選択をシステムレベルで有効にすることができる。
‐ 固着、開放ライン、不確定、不足、ブリッジング、グリッチ、及びビットフリップなどの、基本「ビットレベル(bit-level)」モデル;
‐ 基本メモリ欠陥モデル(SRAM、ROMなど);
‐ クロック/電力線での欠陥;
‐ 可変欠陥、ブランチ/ケース条件変異体など、より高レベルの抽出(例えば、純粋な振舞い)における、拡張「ビットレベル」欠陥モデル。
‐ 機械的欠陥、すなわち、システム内に電子欠陥を引き起こすとすぐに、劣化(摩耗、疲労、腐食)、又はショック(破砕、締めつけ、オーバーロード)に起因する;
‐ 電子欠陥、すなわち、それらが欠陥検出機構により検出されるとすぐに、さらに、設計上の欠陥に関係して、それらがアプリケーションコードに関して、妥当でない実行フロー、及び/又は妥当でない動作コード処理、及び/又は重要な変数の非妥当性値を引き起こすとすぐに、製造欠陥の待ち時間(回路の被蓋部での固着)、又は動作環境(放射、雑音、熱、ESD、エレクトロマイグレーション)に起因する;
‐ ソフトウェア欠陥(コンパイラ内のものを含む)、すなわち、アプリケーションコードに関して、非妥当性実行フロー、及び/又は非妥当性動作コード処理、及び/又は重要な変数の非妥当性値を引き起こす場合には、設計上の欠陥、又は「コードロット」(例えば、ランタイム欠陥の蓄積)。ソフトウェア欠陥も検出され、それらが周辺機器において妥当でない変換を引き起こす場合。
前記更なる欠陥処理装置(11)は、前記中央演算処理装置(51)に関して異なり、外部にあり、
前記更なる欠陥処理装置(11)は、少なくとも部分的にオンラインで動作し、前記中央演算処理装置(51)の動作のバリデーションを実行するよう構成された、少なくとも1つのモジュール(22、23、24)を含み、さらに、
少なくとも部分的にオンラインで作動し、前記マイクロコントローラ(10)の他の前記機能部分(61、62)の動作のバリデーションを実行するよう構成された、1つ以上のモジュール(21)を含んでいる、
ことを特徴とする信頼性マイクロコントローラ。
2. 前記他の機能部分(61、62)の動作のバリデーションを実行するのに適した前記1つ以上のモジュール(21)が、前記更なる欠陥処理装置(11)に関連付けられた欠陥認識周辺機器(12、13、14、15、16)と相互作用するのに適し、ベーシックシステム構成要素(70)と相互作用するのに適し、更なる欠陥処理装置(11)の他の内部モジュールを管理するのに適した、システムモジュール(21)を含むことを特徴とする、1.のマイクロコントローラ。
3. 前記システムモジュール(21)が、前記更なる欠陥処理装置(11)の他の内部モジュールを管理するグローバルスーパーバイザモジュールを含むことを特徴とする、2.のマイクロコントローラ。
4. 前記システムモジュール(21)が、第2欠陥処理装置(511)又は外部監視装置と情報を交換するのに適当なFRACからFRACへのインタフェース装置を含むことを特徴とする、3.のマイクロコントローラ。
5. 前記更なる欠陥処理装置(11)が、以下の欠陥保護技術の1つ以上を用いることにより、記中央演算処理装置(51)の操作のバリデーションを実行していることを特徴とする、1.から4.のいずれかのマイクロコントローラ:
‐ データのシャドウ化;
‐ コード及びフローサイン;
‐ データ処理リーガリティチェック;
‐ アドレッシングリーガリティチェック;
‐ ALU同時リーガリティチェッキング;
‐ 同時モード/割り込みチェック。
6. 前記中央演算処理装置(51)の動作のバリデーションを実行する、前記少なくともモジュール(22、23、24)が、前記欠陥保護技術を実行するのに適したメイン保護モジュール(22)を含むことを特徴とする、1.から5.のいずれかのマイクロコントローラ。
7. メイン保護モジュール(22)が、以下のモジュールうちの1つ以上を含むという特徴を有する、6.のマイクロコントローラ:
‐ アプリケーションにより用いられる重要な変数のコピーを作成するのに適したシャドウ変数モジュール;
‐ 所与の変数に対するリーガル値をチェックするのに適したリーガル変数モジュール;
‐ コードサインに基づくCPUプログラムフロー内の欠陥検出に適したコードアンドフローサインモジュール;
‐ システムを安全状態へ導くのに適した安全状態モジュール;
‐ CPUレジスタセットのコピーを作成するのに適したシャドウレジスタモジュール;
‐ 所与のアドレスに対するリーガル値をチェックするのに適したリーガルロード/ストア装置モジュール;
‐ 様々なタスクによりなされる、リーガルメモリアクセスをチェックする、マルチプロセスアプリケーションに適したタスクスーパバイザモジュール;
‐ メモリ内の不完全な変数/レジスタの値を回復することにより欠陥修正を実行するのに適したデータ再試行モジュール;
‐ CPU状態及びプログラムカウンタを回復することにより、欠陥修正を実行するのに適したプログ再試行モジュール。
8. 前記中央演算処理装置(51)の動作のバリデーションを実行する、前記少なくともモジュール(22、23、24)が、中央演算処理装置(51)及びシステムバス(53)とのデータ交換に適したCPUインタフェースモジュール(24)を含むことを特徴とする、1.から7.のいずれかのマイクロコントローラ。
9. 前記CPUインタフェースモジュール(24)が、前記更なる欠陥処理装置(11)と中央演算処理装置(51)整数コアとの間のインタフェースを含み、拡張ハードウェア視程を確実なものにするために、前記インタフェースが前記整数コアへの専用バス接続を実行することを特徴とする、8.のマイクロコントローラ。
10. 前記中央演算処理装置(51)の動作のバリデーションを実行する、前記少なくともモジュール(22、23、24)が、欠陥認識加速器/CPUインタフェースモジュール(24)からのデータを処理し、メイン保護モジュールとデータ交換をするのに適したCPUモジュール(23)を含み、さらに、前記CPUモジュール(23)が、以下のモジュールのうちの1つ以上を含むことを特徴とする、8.又は9.のマイクロコントローラ:
‐ 発せられた割り込み及び例外が有効でサーブされる場合、メモリマップ構成(アクセス許可、整列、及び非整列アクセスなど)及び割り込み要求を考慮して、同時にチェックするのに適した、EXC/INTスーパバイザモジュール;
‐ フラグ及びCPUモード信号が有効か否かを同時にチェックするのに適した、モード/フラグスーパバイザモジュール;
‐ CPUコアALU/MACの動作を同時にチェックするのに適したALU/MACスーパバイザモジュール;
‐ CPUコア又はその一部分のBISTを始動するのに適したBISTスーパバイザモジュール;
‐ 現在のプログラムフローと比較して、違いを検出し、CPUにより実行されたコードの直近部分を格納するキャッシュのソートを実現するのに適したインストラクション予測モジュール。
11. 動作のバリデーションを実行するのに適した、前記中央演算処理装置(51)及び前記更なる欠陥処理装置(11)が、第2処理装置(551)及び、二重冗長性システムを実現するために、第2処理装置(551)の動作のバリデーションを実行するのに適したそれぞれの第2欠陥処理装置(511)に接続されていることを特徴とする、10.のマイクロコントローラ。
12. 前記欠陥認識周辺機器(12、13、14、15、16)が、メモリモジュール(12)を含むことを特徴とする、1.から11.のいずれかのマイクロコントローラ。
13. 前記欠陥認識周辺機器(12、13、14、15、16)が、欠陥許容性メモリインタフェース(13)を含むことを特徴とする、1.から12.のいずれかのマイクロコントローラ。
14. ハードウェア検査構成要素(15)が、前記1つ以上のモジュール(21)の制御下での動作のバリデーションを実行する前記マイクロコントローラの、前記他の機能的な部分(61、62)と関連付けられていることを特徴とする、請求項1.から13.のいずれかのマイクロコントローラ。
15. 前記ハードウェア検査構成要素(15)が、設計検査に用いられるコード(eVC)の、ハードウェア翻訳として取得されることを特徴とする、14.のマイクロコントローラ。
16. 前記ハードウェア検査構成要素(15)が、前記ハードウェア翻訳を実行する、以下の基本的ハードウェア検査モジュールのうちの1つ以上を含むことを特徴とする、15.のマイクロコントローラ:
‐ ハードウェア検査チェックのためのモジュール(604);
‐ ハードウェア検査BISTのためのモジュール(605);
‐ インタフェースのハードウェア検査のためのモジュール(601);
‐ ハードウェア検査管理のためのモジュール(602);
‐ システム信号とハードウェア検査構成要素(15)信号との間の選択のためのマルチプレクサー構造(603);
‐ ソフトウェアの構成のためのモジュール。
17. 前記基本的ハードウェア検査モジュールが、コンパイル手順(111)の初期化モジュール(112)に含まれる、ハードウェア検査コンフィグレーションソフトウェアモジュールを通して構成されることを特徴とする、16.のマイクロコントローラ。
18. 前記欠陥認識周辺機器(12、13、14、15、16)が、前記マイクロコントローラ(10)のシステムバス(53)をモニターする、バスインタフェースコントローラ(14)をさらに含むことを特徴とする、1.から17.のいずれかのマイクロコントローラ。
19. 前記欠陥認識周辺機器(12、13、14、15、16)が、アプリケーション特定周辺機器(55)と関連付けられた簡易型プロセッサ(16)をさらに含むという特徴を有する、1.から18.のいずれかのマイクロコントローラ。
20. 少なくとも以下の動作のうちの1つを実行する、コンパイル手順(111)を実装することを特徴とする、1.から19.のいずれかのマイクロコントローラ:
‐ 更なる欠陥処理装置(11)の基本機能の初期化(112);
‐ オペラティブシステムとの相互作用(113);
‐ オペラティブシステム(116)及びユーザアプリケーションコード(117)に関する、更なる欠陥処理装置(11)のアプリケーション構成(114);
‐ 欠陥検出及び保護技術を可能にするための、ランタイムモジュールのユーザアプリケーションコード(117)への挿入(115)。
21. ランタイムモジュールのアプリケーションコード(117)への前記挿入(115)が、直接、CPUレジスタ及びALU視程、及び/又は、タスク及び例外の監督、及び/又は、BISTテストを実行することを特徴とする、9.及び20.のいずれかのマイクロコントローラ。
22. 前記処理装置(11)が、前記マイクロコントローラ活動中に、欠陥が検出された場合、欠陥アラーム及び欠陥イベントを発生させるのに適した、オンライン欠陥許容性動作を実行することを特徴とする、1.から21.のいずれかのマイクロコントローラにおける欠陥検出方法。
23. 前記オンライン欠陥許容性動作が、以下の欠陥保護技術のうちの1つ以上を実行することを特徴とする、22.の方法:
‐ データのシャドウ化;
‐ コードアンドフローサイン;
‐ データ処理リーガリティチェック;
‐ アドレッシングリーガリティチェック;
‐ ALU同時インテグリティチェッキング;
‐ 同時モード/割り込みチェック。
24. 前記欠陥処理装置(11)が、前記マイクロコントローラ活動中、異なる時間に以下の動作も実行することを特徴とする、22.又は23.の方法:
‐ パワーオン動作時のマイクロコントローラ欠陥予測;
‐ マイクロコントローラオンライン欠陥予測動作。
25. パワーオン動作での前記マイクロコントローラ欠陥予測が、パワーオンで実行される、一連のBISTテスト又はBISTsを実行することを特徴とする、24.の方法:
26. 前記マイクロコントローラオンライン欠陥予測動作が、システムランタイム中に実行される前記一連のBISTテスト又はBISTsを実行することを特徴とする、24.4の方法。
27. 以下の動作を含むことを特徴とする、マイクロコントローラに対する耐欠陥システムの設計方法:
‐ ソフトウェア検査構成要素(eVC)を用いて機能的検査を実行すること(306);
‐ 中央演算処理装置(51)検査手順を実行すること;
‐ 欠陥注入手順を実行すること(307);
‐ 最終的実装を実行すること(308)。
28. 典型的なシステム状況のデータベースを提供する動作をさらに含むことを特徴とする、27.の方法。
29. マイクロコントローラインタフェースに対する、前記ソフトウェア検査構成要素(eVC)が、前記最終的な実装ステップ(308)中に、ハードウェア検査構成要素(15)内で、hVC設計キットにより自動的に翻訳されることを特徴とする、27.の方法。
30. 前記欠陥注入手順(307)が、以下のモジュール内の1つ以上と関連付けられた、e−欠陥フェーズ(400)動作を含むことを特徴とする、27.の方法:
‐ 基本欠陥モデルの組み合わせを含む欠陥データベースモジュール(406);
‐ 高度な放射影響欠陥モデルの組み合わせを含む欠陥パッケージモジュール(405);
‐ カスタム欠陥モデル(404)を加えるのに適した欠陥モデル化装置モジュール;
‐ 注入される欠陥を選択し、及び圧縮する、欠陥リスト生成装置モジュール(407);
‐ 注入手順を提供する、欠陥注入装置エンジンモジュール(402);
‐ テストパターンを提供する、テストジェネレータ(403);
‐ 欠陥効果上の統計を提供する、欠陥分析装置モジュール(401);
‐ 電子装置の安全性の重要な設計に対する規範性とコンプライアンスを検査する、チェック装置モジュール(408)。
31. コンピュータのメモリ内に直接ロード可能で、製品がコンピュータ上で実行される際、27.から30.のいずれかの方法を実行するソフトウェアコード部分を含んでいるコンピュータプログラム製品。
11 欠陥処理装置
12,13,14,15,16 欠陥認識周辺機器
21,22,23,24 モジュール
50,51 中央演算処理装置
53 システムバス
55 アプリケーション特定周辺機器
61 インタフェース
62 周辺機器
70 ベーシックシステム構成要素
112 初期化モジュール
116 オペラティブシステム
117 ユーザアプリケーションコード
401,402,404〜408 モジュール
403 テストジェネレータ
511 第2欠陥処理装置
551 第2処理装置
601〜605 モジュール
Claims (19)
- 中央演算処理装置コア(51)を有する中央演算処理装置(50)と、システムバス(53)と、インタフェース(61)及び周辺機器(62)を含む1つ又は複数の機能部分(61、62)と、前記中央演算処理装置(50)の動作の妥当性確認を実行するように構成された欠陥処理装置(11)とを備えている信頼性のあるマイクロコントローラであって、
前記欠陥処理装置(11)は、前記中央演算処理装置コア(51)とは異なるものであって、前記中央演算処理装置コア(51)の外部にあり、
前記欠陥処理装置(11)は、システムランタイム中の動作の少なくとも一部をオンラインで実行する少なくとも1つのモジュール(22、23、24)を有していて、該モジュールは前記中央演算処理装置コア(51)の動作の妥当性確認を実行して該マイクロコントローラの動作の信頼性を実現するように構成され、
前記欠陥処理装置(11)は、前記中央演算処理装置コア(51)とのインタフェースモジュールを備えていて、該インタフェースモジュールは、前記中央演算処理装置のALU書込ポートへのアクセスを可能にすることにより、又は埋込トレースモジュールインタフェースにより、前記欠陥処理装置(11)と中央演算処理装置コア(51)・埋込トレースモジュールインタフェースとのインタフェースをとることを特徴とするマイクロコントローラ。 - 前記少なくとも1つのモジュールは、前記ALU書込ポートを介して前記インタフェースモジュールにより、前記中央演算処理装置コア(51)のレジスタバンクのコピーを作成するシャドウレジスタモジュールを備えていて、
前記欠陥処理装置(11)は、前記中央演算処理装置コア(51)のALU/MACの縮小バージョンを備えていることを特徴とする請求項1に記載のマイクロコントローラ。 - 該マイクロコントローラは、動作の少なくとも一部をオンラインで実行するシステムモジュール(21)を備えていて、
前記システムモジュール(21)は、該マイクロコントローラ(10)の前記機能部分(61、62)の動作の妥当性確認を実行するように構成され、
かつ、前記システムモジュール(21)は、前記欠陥処理装置(11)の他の内部モジュールを管理するグローバルスーパーバイザモジュールを備えていることを特徴とする請求項1に記載のマイクロコントローラ。 - 前記システムモジュール(21)は、第2の欠陥処理装置(511)又は外部監視装置と情報を交換するように構成された欠陥認識加速器インタフェース装置を備えていることを特徴とする請求項3に記載のマイクロコントローラ。
- 前記欠陥認識加速器インタフェース装置は、欠陥認識加速器と前記CPUコアETMインタフェースとのインタフェースをとる埋込トレースモジュール(ETM)インタフェースを備えていることを特徴とする請求項4に記載のマイクロコントローラ。
- 前記欠陥処理装置(11)は、
− データのシャドウデータ化、
− コード及びフローの認証信号、
− データ処理の妥当性チェック、
− アドレスの妥当性チェック、
− ALUの同時インテグリティチェック、及び
− 同時モード/割込チェック
からなる一組の欠陥保護技術群のうちの1つ又は複数のものを用いて、前記中央演算処理装置コア(51)の動作の妥当性確認を実行することを特徴とする請求項1〜5のいずれか1つに記載のマイクロコントローラ。 - 前記中央演算処理装置コア(51)の動作の妥当性確認を実行する前記少なくとも1つのモジュール(22、23、24)は、前記欠陥保護技術を実行するように構成されたメイン保護モジュール(22)を備えていることを特徴とする請求項1〜6のいずれか1つに記載のマイクロコントローラ。
- 前記メイン保護モジュール(22)は、
− アプリケーションにより用いられる重要な変数のコピーを作成するように構成されたシャドウ変数モジュール、
− 所与の変数のための妥当性の値をチェックするように構成された妥当性変数モジュール、
− コード認証信号に基づいて、CPUプログラムフロー内の欠陥を検出するように構成されたコード・フロー認証信号モジュール、
− システムを安全状態に導くように構成された安全状態モジュール、
− CPUレジスタセットのコピーを作成するように構成されたシャドウレジスタモジュール、
− 所与のアドレスに対する妥当性の値をチェックするように構成された妥当性ロード/ストア装置モジュール、
− 種々のタスクによりなされる、妥当性メモリアクセスをチェックする、マルチプロセスアプリケーションのためのタスクスーパバイザモジュール、
− メモリ内の不完全な変数/レジスタ中の値を回復することにより欠陥修正を実行するように構成されたデータ再試行モジュール、及び
− CPUの状態及びプログラムカウンタを回復することにより欠陥修正を実行するように構成されたプログラム再試行モジュール、
からなる一組のモジュール群のうちの1つ又は複数のものを備えていることを特徴とする請求項7に記載のマイクロコントローラ。 - 前記中央演算処理装置コア(51)の動作の妥当性確認を実行する前記少なくとも1つのモジュール(22、23、24)は、前記中央演算処理装置コア(51)及び前記システムバス(53)とデータを交換するように構成されたCPUインタフェースモジュール(24)を備えていることを特徴とする請求項1〜8のいずれか1つに記載のマイクロコントローラ。
- 前記CPUインタフェースモジュール(24)は、前記欠陥処理装置(11)と中央演算処理装置コア(51)整数コアの間のインタフェースを備えていて、該インタフェースは、拡張されたハードウェア可視性を確実化するために、前記整数コアとの専用バス接続を実行することを特徴とする請求項9に記載のマイクロコントローラ。
- 前記中央演算処理装置コア(51)の動作の妥当性確認を実行する前記少なくとも1つのモジュール(22、23、24)は、前記欠陥認識加速器/CPUインタフェースモジュール(24)から到着したデータを処理するように構成され、前記メイン保護モジュールとデータを交換するCPUモジュール(23)を備えていて、
前記CPUモジュール(23)は、
− メモリマップの構成(アクセス許可、整列アクセス及び非整列アクセス等)と割り込み要求とを考慮して、発せられた割り込み及び例外が有効であってサーブされたか否かを同時にチェックするように構成されたEXC/INTスーパバイザモジュール、
− フラグ及びCPUモード信号が有効であるか否かを同時にチェックするように構成されたモード/フラグスーパバイザモジュール、
− CPUコアALU/MACの動作を同時にチェックするように構成されたALU/MACスーパバイザモジュール
− CPUコア又はその一部分のBISTを始動するように構成されたBISTスーパバイザモジュール、及び
− 前記CPUにより実行されたコードの直近部分を格納し、現在のプログラムフローと比較して差異を検出し、キャッシュのソートを実現するように構成されたインストラクション予測モジュール
からなる一組のモジュール群のうちの1つ又は複数のものを備えていることを特徴とする請求項9又は10に記載のマイクロコントローラ。 - 二重冗長性システムを実現するために、前記中央演算処理装置コア(51)と、動作の妥当性確認を実行するように構成された前記欠陥処置総理(11)とが、第2の処理ユニット(511)と該第2の処理ユニット(511)の動作の妥当性確認を実行するように構成された第2の欠陥処理装置(511)とに接続されていることを特徴とする請求項1に記載のマイクロコントローラ。
- 欠陥認識周辺機器(12、13、14、15、16)がメモリモジュール(12)を備えていることを特徴とする請求項1〜12のいずれか1つに記載のマイクロコントローラ。
- 欠陥認識周辺機器(12、13、14、15、16)が欠陥許容メモリインタフェース(13)を備えていることを特徴とする請求項1〜11のいずれか1つに記載のマイクロコントローラ。
- 欠陥認識周辺機器(12、13、14、15、16)が、該マイクロコントローラ(10)のシステムバスを監視するバスインタフェースコントローラ(14)を備えていることを特徴とする請求項1〜14のいずれか1つに記載のマイクロコントローラ。
- 欠陥認識周辺機器(12、13、14、15、16)が、アプリケーション特定周辺機器(55)に関連付けられた簡素化されたプロセッサ(16)を備えていることを特徴とする請求項1〜15のいずれか1つに記載のマイクロコントローラ。
- 該マイクロコントローラの動作時に、前記欠陥処理装置(11)が、オンライン欠陥許容動作を実行することを特徴とする、請求項1〜16のいずれか1つに記載のマイクロコントローラにおける欠陥を検出する方法であって、
欠陥が検出されたときに欠陥アラーム及び欠陥イベントを生成することを特徴とする方法。 - 前記オンラインの欠陥許容動作が、
− データのシャドウデータ化、
− コード及びフローの認証信号、
− データ処理の妥当性チェック、
− アドレスの妥当性チェック、
− ALUの同時インテグリティチェック、及び
− 同時モード/割込チェック
からなる一組の欠陥保護技術群のうちの1つ又は複数のものを実行することを特徴とする請求項17に記載の方法。 - コンピュータのメモリに直接ロードすることができるコンピュータプログラムであって、
該コンピュータプログラムがコンピュータ内で実行されているときに、請求項17又は18に記載の方法を実行するソフトウェアコード部分を備えていることを特徴とするコンピュータプログラム。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP03015860A EP1496435A1 (en) | 2003-07-11 | 2003-07-11 | Dependable microcontroller, method for designing a dependable microcontroller and computer program product therefor |
EP03015860-4 | 2003-07-11 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004204737A Division JP4999262B2 (ja) | 2003-07-11 | 2004-07-12 | 信頼性マイクロコントローラ、マイクロコントローラにおける欠陥検出方法、マイクロコントローラ用欠陥許容システム設計方法、およびコンピュータプログラム製品 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012074057A true JP2012074057A (ja) | 2012-04-12 |
JP5631848B2 JP5631848B2 (ja) | 2014-11-26 |
Family
ID=33442788
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004204737A Expired - Fee Related JP4999262B2 (ja) | 2003-07-11 | 2004-07-12 | 信頼性マイクロコントローラ、マイクロコントローラにおける欠陥検出方法、マイクロコントローラ用欠陥許容システム設計方法、およびコンピュータプログラム製品 |
JP2011248216A Active JP5631848B2 (ja) | 2003-07-11 | 2011-11-14 | 信頼性のあるマイクロコントローラ並びにその設計方法及びそのためのコンピュータプログラム |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004204737A Expired - Fee Related JP4999262B2 (ja) | 2003-07-11 | 2004-07-12 | 信頼性マイクロコントローラ、マイクロコントローラにおける欠陥検出方法、マイクロコントローラ用欠陥許容システム設計方法、およびコンピュータプログラム製品 |
Country Status (3)
Country | Link |
---|---|
US (1) | US7472051B2 (ja) |
EP (1) | EP1496435A1 (ja) |
JP (2) | JP4999262B2 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016134049A (ja) * | 2015-01-21 | 2016-07-25 | 日立オートモティブシステムズ株式会社 | 車両制御装置 |
KR20180054746A (ko) * | 2016-01-15 | 2018-05-24 | 구글 엘엘씨 | 애플리케이션 컨테이너를 사용한 코드 및 종속 데이터의 전달 관리 |
Families Citing this family (74)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10148032A1 (de) * | 2001-09-28 | 2003-04-24 | Bosch Gmbh Robert | Verfahren zum Überprüfen eines Rechnerkerns eines Mikroprozessors oder eines Mikrocontrollers |
WO2004046924A1 (en) * | 2002-11-18 | 2004-06-03 | Arm Limited | Processor switching between secure and non-secure modes |
JP4348950B2 (ja) * | 2003-01-23 | 2009-10-21 | 株式会社デンソー | 電子制御装置 |
DE602004031562D1 (de) * | 2004-04-30 | 2011-04-07 | Research In Motion Ltd | System und verfahren zur sicherung von daten |
GB0412611D0 (en) * | 2004-06-05 | 2004-07-07 | Ibm | Probabilistic regression suites for functional verification |
RU2006123259A (ru) * | 2004-10-14 | 2008-01-20 | Лаготек Корпорейшн (Us) | Распределенные беспроводные системы автоматизации домашних и коммерческих электрических сетей |
US7321989B2 (en) * | 2005-01-05 | 2008-01-22 | The Aerospace Corporation | Simultaneously multithreaded processing and single event failure detection method |
US20070226572A1 (en) * | 2005-11-07 | 2007-09-27 | Ming Zhang | Soft error rate analysis system |
US8656191B2 (en) | 2005-12-23 | 2014-02-18 | Nagravision S.A. | Secure system-on-chip |
EP1802030A1 (en) * | 2005-12-23 | 2007-06-27 | Nagracard S.A. | Secure system-on-chip |
EP1811415A1 (en) * | 2005-12-23 | 2007-07-25 | Nagracard S.A. | Secure system-on-chip |
DE102006001872B4 (de) * | 2006-01-13 | 2013-08-22 | Infineon Technologies Ag | Vorrichtung und Verfahren zum Überprüfen einer Fehlererkennungsfunktionalität einer Datenverarbeitungseinrichtung auf Angriffe |
DE102006001873B4 (de) * | 2006-01-13 | 2009-12-24 | Infineon Technologies Ag | Vorrichtung und Verfahren zum Überprüfen einer Fehlererkennungsfunktionalität einer Speicherschaltung |
KR100686359B1 (ko) * | 2006-04-20 | 2007-02-26 | 성균관대학교산학협력단 | 이씨유 임베디드 시스템을 위한 3차원 자동차 시뮬레이터시스템 및 시뮬레이션 방법 |
TW200745873A (en) * | 2006-06-05 | 2007-12-16 | Dmp Electronics Inc | Dual computers for backup and being fault-tolerant system architecture |
US7933696B2 (en) * | 2006-08-31 | 2011-04-26 | GM Global Technology Operations LLC | Distributed arithmetic logic unit security check |
DE102006045906A1 (de) * | 2006-09-28 | 2008-04-17 | Infineon Technologies Ag | Modul mit einem Controller für eine Chipkarte |
US20080120189A1 (en) * | 2006-10-27 | 2008-05-22 | Mci, Llc. | Method and apparatus for providing workflow automation |
JP4479743B2 (ja) * | 2007-04-24 | 2010-06-09 | 株式会社デンソー | ロールバック方法及び情報処理装置 |
DE602008005611D1 (de) | 2007-08-16 | 2011-04-28 | Nxp Bv | System und verfahren zur bereitstellung von fehlerdetektionsfähigkeit |
US8280940B2 (en) * | 2007-10-22 | 2012-10-02 | Himax Technologies Limited | Data processing apparatus with shadow register and method thereof |
US8509094B2 (en) * | 2007-12-06 | 2013-08-13 | Rambus Inc. | Edge-based loss-of-signal detection |
US8117512B2 (en) * | 2008-02-06 | 2012-02-14 | Westinghouse Electric Company Llc | Failure detection and mitigation in logic circuits |
US7890810B1 (en) * | 2008-02-26 | 2011-02-15 | Network Appliance, Inc. | Method and apparatus for deterministic fault injection of storage shelves in a storage subsystem |
DE102008022620A1 (de) * | 2008-04-30 | 2009-11-05 | Mtu Aero Engines Gmbh | Triebwerkregelungssystem und Verfahren zur Qualifizierung der Komponenten des Triebwerksregelungssystems |
US8091050B2 (en) * | 2008-10-01 | 2012-01-03 | International Business Machines Corporation | Modeling system-level effects of soft errors |
EP2350818A4 (en) * | 2008-11-03 | 2013-07-10 | Enginelab Inc | SYSTEM AND METHOD FOR THE DYNAMIC CONSTRUCTION OF A BEHAVIOR MODEL IN A HARDWARE SYSTEM |
US8775886B2 (en) * | 2009-03-31 | 2014-07-08 | Toyota Jidosha Kabushiki Kaisha | Architecture for a self-healing computer system |
EP2537091A4 (en) | 2010-02-16 | 2014-08-06 | Freescale Semiconductor Inc | DATA PROCESSING METHOD, DATA PROCESSOR, AND APPARATUS COMPRISING DATA PROCESSOR |
US8683178B2 (en) * | 2011-01-21 | 2014-03-25 | Apple Inc. | Sharing a fault-status register when processing vector instructions |
US8731765B2 (en) * | 2011-06-28 | 2014-05-20 | GM Global Technology Operations LLC | Method and apparatus for fault detection in a torque machine of a powertrain system |
US8949101B2 (en) | 2011-10-12 | 2015-02-03 | International Business Machines Corporation | Hardware execution driven application level derating calculation for soft error rate analysis |
US8868989B2 (en) | 2012-07-12 | 2014-10-21 | Freescale Semiconductor, Inc. | System for testing error detection circuits |
US8813004B1 (en) | 2012-11-21 | 2014-08-19 | Cadence Design Systems, Inc. | Analog fault visualization system and method for circuit designs |
US8683400B1 (en) * | 2012-11-21 | 2014-03-25 | Cadence Design Systems, Inc. | System and method for fault sensitivity analysis of mixed-signal integrated circuit designs |
US8996348B1 (en) | 2012-11-21 | 2015-03-31 | Cadence Design Systems, Inc. | System and method for fault sensitivity analysis of digitally-calibrated-circuit designs |
US9842014B2 (en) | 2012-11-22 | 2017-12-12 | Nxp Usa, Inc. | Data processing device, method of execution error detection and integrated circuit |
US8645897B1 (en) * | 2013-01-07 | 2014-02-04 | Freescale Semiconductor, Inc. | Integrated circuit design verification system |
US9275757B2 (en) * | 2013-02-01 | 2016-03-01 | Scaleo Chip | Apparatus and method for non-intrusive random memory failure emulation within an integrated circuit |
US8863050B1 (en) | 2013-03-15 | 2014-10-14 | Cadence Design Systems, Inc. | Efficient single-run method to determine analog fault coverage versus bridge resistance |
FR3005179B1 (fr) * | 2013-04-25 | 2015-05-15 | Oberthur Technologies | Procede et systeme de simulation des effets d'une attaque sur un code informatique |
CN104541250B (zh) | 2013-08-20 | 2017-11-24 | 株式会社小松制作所 | 建筑机械用控制器 |
CN104583967B (zh) | 2013-08-20 | 2016-08-24 | 株式会社小松制作所 | 建筑机械用控制器 |
GB2519545A (en) * | 2013-10-24 | 2015-04-29 | Ibm | Determining a quality parameter for a verification environment |
US8875077B1 (en) | 2014-02-10 | 2014-10-28 | Cadence Design Systems, Inc. | Fault sensitivity analysis-based cell-aware automated test pattern generation flow |
CN104021054A (zh) * | 2014-06-11 | 2014-09-03 | 浪潮(北京)电子信息产业有限公司 | 服务器故障可视化侦测及处理方法、系统及可编程芯片 |
DE102014213922B4 (de) * | 2014-07-17 | 2020-02-20 | Continental Automotive Gmbh | Fahrzeug-Infotainmentsystem |
US20160062331A1 (en) * | 2014-08-27 | 2016-03-03 | Freescale Semiconductor, Inc. | Apparatus and method for validating the integrity of control signals in timing domain |
US9823983B2 (en) | 2014-09-25 | 2017-11-21 | Nxp Usa, Inc. | Electronic fault detection unit |
ITTO20140902A1 (it) | 2014-10-31 | 2016-05-01 | Intel Corp | Procedimento per misurare l'effetto di guasti hardware microscopici in applicazioni ad elevata complessità implementate in un sistema elettronico hardware, relativo sistema e prodotto informatico |
US9864583B2 (en) * | 2014-11-14 | 2018-01-09 | Cavium, Inc. | Algorithm to derive logic expression to select execution blocks for programmable network devices |
US9330227B1 (en) | 2014-11-14 | 2016-05-03 | Cavium Inc. | Testbench builder, system, device and method including a dispatcher |
KR20160098929A (ko) * | 2015-02-11 | 2016-08-19 | 한국전자통신연구원 | 시스템 개발을 위한 시스템 가용도 측정장치 및 그 방법 |
US10282315B2 (en) | 2015-03-27 | 2019-05-07 | Cavium, Llc | Software assisted hardware configuration for software defined network system-on-chip |
US9372772B1 (en) * | 2015-03-27 | 2016-06-21 | Cavium, Inc. | Co-verification—of hardware and software, a unified approach in verification |
KR102251991B1 (ko) | 2015-05-14 | 2021-05-17 | 한국전자통신연구원 | 결함 주입 및 결함 감내 분석을 위한 방법 및 장치 |
EP3110061B1 (de) * | 2015-06-23 | 2020-03-11 | TTTech Auto AG | Verteiltes echtzeitcomputersystem sowie verfahren zur erzwingung des fail-silent-verhaltens eines verteilten echtzeitcomputersystems |
US10818638B2 (en) * | 2015-11-30 | 2020-10-27 | Pezy Computing K.K. | Die and package |
WO2017094092A1 (ja) | 2015-11-30 | 2017-06-08 | 株式会社PEZY Computing | ダイ及びパッケージ |
KR102018541B1 (ko) * | 2016-03-09 | 2019-09-06 | 한국전자통신연구원 | 코어 컨트롤러를 포함하는 시스템 온 칩 및 그것의 코어 관리 방법 |
US10204698B2 (en) | 2016-12-20 | 2019-02-12 | Ampere Computing Llc | Method to dynamically inject errors in a repairable memory on silicon and a method to validate built-in-self-repair logic |
US10331529B2 (en) | 2017-03-15 | 2019-06-25 | International Business Machines Corporation | Maintaining system reliability in a CPU with co-processors |
KR102020994B1 (ko) * | 2017-06-09 | 2019-09-16 | 슈어소프트테크주식회사 | 결함 주입 테스트 방법 및 장치 |
US11408934B2 (en) | 2017-12-22 | 2022-08-09 | Nvidia Corporation | In system test of chips in functional systems |
US10495691B2 (en) * | 2018-02-09 | 2019-12-03 | Nxp Usa, Inc. | System architecture method and apparatus for adaptive hardware fault detection with hardware metrics subsystem |
JP7123573B2 (ja) * | 2018-02-28 | 2022-08-23 | 株式会社小松製作所 | 周辺監視装置、作業機械、周辺監視の制御方法及び表示装置 |
US10922203B1 (en) * | 2018-09-21 | 2021-02-16 | Nvidia Corporation | Fault injection architecture for resilient GPU computing |
US10831595B1 (en) | 2019-05-31 | 2020-11-10 | International Business Machines Corporation | Performing error detection during deterministic program execution |
CN110308732B (zh) * | 2019-07-25 | 2023-08-04 | 北京智行者科技股份有限公司 | 自动驾驶控制器的故障检测方法及自动驾驶控制器 |
CN111176927A (zh) * | 2019-11-26 | 2020-05-19 | 中盈创信(北京)科技有限公司 | 功能板卡的检测系统和检测方法 |
US11422185B2 (en) | 2020-06-30 | 2022-08-23 | Nxp Usa, Inc. | System and method for testing critical components on system-on-chip |
US20220100645A1 (en) * | 2020-09-29 | 2022-03-31 | Amazon Technologies, Inc. | Automated testing of systems and applications |
US11175340B1 (en) | 2021-02-15 | 2021-11-16 | Nxp B.V. | System and method for managing testing and availability of critical components on system-on-chip |
EP4275123A1 (en) * | 2021-03-22 | 2023-11-15 | Huawei Technologies Co., Ltd. | Program flow monitoring for gateway applications |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS55157042A (en) * | 1979-05-28 | 1980-12-06 | Toshiba Corp | Information processor |
JPH03228138A (ja) * | 1990-02-01 | 1991-10-09 | Nec Corp | 割り込み処理方式 |
JPH0777102A (ja) * | 1993-09-03 | 1995-03-20 | Matsushita Electric Ind Co Ltd | 車載用電子制御装置 |
JPH0863374A (ja) * | 1994-08-22 | 1996-03-08 | Toshiba Corp | トレース機能内蔵型lsi |
JPH09305223A (ja) * | 1996-04-19 | 1997-11-28 | Honda Motor Co Ltd | 車載用電子制御ユニット |
JPH1069399A (ja) * | 1996-08-28 | 1998-03-10 | Nec Corp | マイクロコンピュータ |
JPH10334043A (ja) * | 1996-12-31 | 1998-12-18 | Compaq Computer Corp | 制御及び割り込みラインのマスキングによるpci及びeisaマスタの分離 |
JPH1185554A (ja) * | 1997-09-12 | 1999-03-30 | Nec Corp | 実数演算方式 |
JP2001060160A (ja) * | 1999-08-23 | 2001-03-06 | Mitsubishi Heavy Ind Ltd | 制御装置のcpu二重化システム |
JP2002236595A (ja) * | 2001-02-09 | 2002-08-23 | Fujitsu Ten Ltd | 電子機器ならびにそのデバッグ支援装置および方法 |
JP2002335231A (ja) * | 2001-05-09 | 2002-11-22 | Nec Corp | 通信回線ボード検査システム |
US20030046666A1 (en) * | 2001-08-11 | 2003-03-06 | Harry Siebert | Program-controlled unit |
Family Cites Families (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4912707A (en) * | 1988-08-23 | 1990-03-27 | International Business Machines Corporation | Checkpoint retry mechanism |
US5781753A (en) * | 1989-02-24 | 1998-07-14 | Advanced Micro Devices, Inc. | Semi-autonomous RISC pipelines for overlapped execution of RISC-like instructions within the multiple superscalar execution units of a processor having distributed pipeline control for speculative and out-of-order execution of complex instructions |
JPH03256134A (ja) * | 1990-03-06 | 1991-11-14 | Koufu Nippon Denki Kk | ベクトル演算器のチェック回路 |
US5371742A (en) * | 1992-08-12 | 1994-12-06 | At&T Corp. | Table driven fault recovery system with redundancy and priority handling |
US6233702B1 (en) * | 1992-12-17 | 2001-05-15 | Compaq Computer Corporation | Self-checked, lock step processor pairs |
US5574927A (en) * | 1994-03-25 | 1996-11-12 | International Meta Systems, Inc. | RISC architecture computer configured for emulation of the instruction set of a target computer |
US5557737A (en) * | 1994-06-13 | 1996-09-17 | Bull Hn Information Systems Inc. | Automated safestore stack generation and recovery in a fault tolerant central processor |
US6105148A (en) * | 1995-06-16 | 2000-08-15 | Lucent Technologies Inc. | Persistent state checkpoint and restoration systems |
US5963167A (en) * | 1996-03-13 | 1999-10-05 | California Institute Of Technology | Analyzing system for global positioning system and general satellite tracking |
US6081864A (en) * | 1997-07-31 | 2000-06-27 | Advanced Micro Devices, Inc. | Dynamic configuration of a device under test |
US6170078B1 (en) * | 1998-02-27 | 2001-01-02 | International Business Machines Corporation | Fault simulation using dynamically alterable behavioral models |
JPH11338731A (ja) * | 1998-05-21 | 1999-12-10 | Oki Electric Ind Co Ltd | データ処理装置 |
US6249893B1 (en) * | 1998-10-30 | 2001-06-19 | Advantest Corp. | Method and structure for testing embedded cores based system-on-a-chip |
JP2000158724A (ja) * | 1998-11-30 | 2000-06-13 | Fuji Xerox Co Ltd | 画像処理装置、画像処理方法および記録媒体 |
US6981176B2 (en) * | 1999-05-10 | 2005-12-27 | Delphi Technologies, Inc. | Secured microcontroller architecture |
US6421790B1 (en) * | 1999-05-10 | 2002-07-16 | Delphi Technologies, Inc. | Method and circuit for analysis of the operation of a microcontroller using signature analysis of data and instructions |
US6691250B1 (en) * | 2000-06-29 | 2004-02-10 | Cisco Technology, Inc. | Fault handling process for enabling recovery, diagnosis, and self-testing of computer systems |
JP2002184948A (ja) * | 2000-12-12 | 2002-06-28 | Hitachi Ltd | 半導体集積回路装置の製造方法 |
TW591378B (en) * | 2001-02-22 | 2004-06-11 | Hitachi Ltd | Memory test method, information recording medium and semiconductor integrated circuit |
US6819327B2 (en) * | 2001-05-18 | 2004-11-16 | Sun Microsystems, Inc. | Signature analysis registers for testing a computer graphics system |
JP2003156542A (ja) * | 2001-11-22 | 2003-05-30 | Hitachi Ltd | テスト方法および半導体装置 |
US7137020B2 (en) * | 2002-05-17 | 2006-11-14 | Sun Microsystems, Inc. | Method and apparatus for disabling defective components in a computer system |
WO2004046924A1 (en) * | 2002-11-18 | 2004-06-03 | Arm Limited | Processor switching between secure and non-secure modes |
DE10317650A1 (de) * | 2003-04-17 | 2004-11-04 | Robert Bosch Gmbh | Programmgesteuerte Einheit und Verfahren |
US7197669B2 (en) * | 2003-07-30 | 2007-03-27 | Via Technologies, Inc. | Method and circuit for command integrity checking (CIC) in a graphics controller |
US7328376B2 (en) * | 2003-10-31 | 2008-02-05 | Sun Microsystems, Inc. | Error reporting to diagnostic engines based on their diagnostic capabilities |
-
2003
- 2003-07-11 EP EP03015860A patent/EP1496435A1/en not_active Ceased
-
2004
- 2004-07-09 US US10/888,355 patent/US7472051B2/en active Active
- 2004-07-12 JP JP2004204737A patent/JP4999262B2/ja not_active Expired - Fee Related
-
2011
- 2011-11-14 JP JP2011248216A patent/JP5631848B2/ja active Active
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS55157042A (en) * | 1979-05-28 | 1980-12-06 | Toshiba Corp | Information processor |
JPH03228138A (ja) * | 1990-02-01 | 1991-10-09 | Nec Corp | 割り込み処理方式 |
JPH0777102A (ja) * | 1993-09-03 | 1995-03-20 | Matsushita Electric Ind Co Ltd | 車載用電子制御装置 |
JPH0863374A (ja) * | 1994-08-22 | 1996-03-08 | Toshiba Corp | トレース機能内蔵型lsi |
JPH09305223A (ja) * | 1996-04-19 | 1997-11-28 | Honda Motor Co Ltd | 車載用電子制御ユニット |
JPH1069399A (ja) * | 1996-08-28 | 1998-03-10 | Nec Corp | マイクロコンピュータ |
JPH10334043A (ja) * | 1996-12-31 | 1998-12-18 | Compaq Computer Corp | 制御及び割り込みラインのマスキングによるpci及びeisaマスタの分離 |
JPH1185554A (ja) * | 1997-09-12 | 1999-03-30 | Nec Corp | 実数演算方式 |
JP2001060160A (ja) * | 1999-08-23 | 2001-03-06 | Mitsubishi Heavy Ind Ltd | 制御装置のcpu二重化システム |
JP2002236595A (ja) * | 2001-02-09 | 2002-08-23 | Fujitsu Ten Ltd | 電子機器ならびにそのデバッグ支援装置および方法 |
JP2002335231A (ja) * | 2001-05-09 | 2002-11-22 | Nec Corp | 通信回線ボード検査システム |
US20030046666A1 (en) * | 2001-08-11 | 2003-03-06 | Harry Siebert | Program-controlled unit |
Non-Patent Citations (2)
Title |
---|
CSNB199700153001; 飯田哲也/他: 情報・通信マイクロコンピュータ辞典 第1版, 19860120, p.53, 丸善株式会社 * |
JPN6014007706; 飯田哲也/他: 情報・通信マイクロコンピュータ辞典 第1版, 19860120, p.53, 丸善株式会社 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016134049A (ja) * | 2015-01-21 | 2016-07-25 | 日立オートモティブシステムズ株式会社 | 車両制御装置 |
WO2016117402A1 (ja) * | 2015-01-21 | 2016-07-28 | 日立オートモティブシステムズ株式会社 | 車両制御装置 |
US10394675B2 (en) | 2015-01-21 | 2019-08-27 | Hitachi Automotive Systems, Ltd. | Vehicle control device |
KR20180054746A (ko) * | 2016-01-15 | 2018-05-24 | 구글 엘엘씨 | 애플리케이션 컨테이너를 사용한 코드 및 종속 데이터의 전달 관리 |
KR102057269B1 (ko) | 2016-01-15 | 2020-01-22 | 구글 엘엘씨 | 애플리케이션 컨테이너를 사용한 코드 및 종속 데이터의 전달 관리 |
Also Published As
Publication number | Publication date |
---|---|
JP4999262B2 (ja) | 2012-08-15 |
JP2005050329A (ja) | 2005-02-24 |
EP1496435A1 (en) | 2005-01-12 |
US20050050387A1 (en) | 2005-03-03 |
US7472051B2 (en) | 2008-12-30 |
JP5631848B2 (ja) | 2014-11-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5631848B2 (ja) | 信頼性のあるマイクロコントローラ並びにその設計方法及びそのためのコンピュータプログラム | |
JP2005050329A5 (ja) | ||
Bernardi et al. | Development flow for on-line core self-test of automotive microcontrollers | |
Al-Asaad et al. | Online BIST for embedded systems | |
Hopkins et al. | Debug support strategy for systems-on-chips with multiple processor cores | |
Bernardi et al. | A new hybrid fault detection technique for systems-on-a-chip | |
Bellotti et al. | How future automotive functional safety requirements will impact microprocessors design | |
Portela-García et al. | On the use of embedded debug features for permanent and transient fault resilience in microprocessors | |
Kohn et al. | Architectural concepts for fail-operational automotive systems | |
Mariani et al. | A flexible microcontroller architecture for fail-safe and fail-operational systems | |
US8621273B2 (en) | Enhanced scalable CPU for coded execution of SW in high-dependable safety relevant applications | |
Mariani et al. | Fault-robust microcontrollers for automotive applications | |
Fruehling | Delphi secured microcontroller architecture | |
Scherer et al. | Trace and debug port based watchdog processor | |
Lari et al. | Providing fault tolerance through invasive computing | |
Brewerton et al. | Implementation of a Basic Single-Microcontroller Monitoring Concept for Safety Critical Systems on a Dual-Core Microcontroller | |
Lisboa et al. | Online hardening of programs against SEUs and SETs | |
Floridia et al. | Parallel software-based self-test suite for multi-core system-on-chip: Migration from single-core to multi-core automotive microcontrollers | |
Beckschulze et al. | Fault handling approaches on dual-core microcontrollers in safety-critical automotive applications | |
Schneider et al. | Basic single-microcontroller monitoring concept for safety critical systems | |
Mariani et al. | Cost-effective approach to error detection for an embedded automotive platform | |
Brewerton et al. | Practical use of autosar in safety critical automotive systems | |
Rajabzadeh et al. | A dependable microcontroller-based embedded system | |
Reinbacher et al. | A runtime verification unit for microcontrollers | |
Christoforakis et al. | Runtime Adaptation of Embedded Tasks with A-Priori Known Timing Behavior Utilizing On-Line Partner-Core Monitoring and Recovery |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130415 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130514 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20130812 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20130815 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20140225 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140623 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20140623 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20140815 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140916 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20141008 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5631848 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |