JP6525906B2 - セーフティクリティカルなエラーを処理するための方法と装置 - Google Patents
セーフティクリティカルなエラーを処理するための方法と装置 Download PDFInfo
- Publication number
- JP6525906B2 JP6525906B2 JP2016048158A JP2016048158A JP6525906B2 JP 6525906 B2 JP6525906 B2 JP 6525906B2 JP 2016048158 A JP2016048158 A JP 2016048158A JP 2016048158 A JP2016048158 A JP 2016048158A JP 6525906 B2 JP6525906 B2 JP 6525906B2
- Authority
- JP
- Japan
- Prior art keywords
- controller
- operate
- control signal
- control unit
- die
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 23
- 230000002093 peripheral effect Effects 0.000 claims description 20
- 238000011156 evaluation Methods 0.000 claims description 7
- 230000006870 function Effects 0.000 description 31
- 238000005516 engineering process Methods 0.000 description 8
- XUIMIQQOPSSXEZ-UHFFFAOYSA-N Silicon Chemical compound [Si] XUIMIQQOPSSXEZ-UHFFFAOYSA-N 0.000 description 6
- 229910052710 silicon Inorganic materials 0.000 description 6
- 239000010703 silicon Substances 0.000 description 6
- 238000013461 design Methods 0.000 description 5
- 238000013459 approach Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 4
- 238000007726 management method Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 239000004065 semiconductor Substances 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000009897 systematic effect Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 229910000679 solder Inorganic materials 0.000 description 1
- 238000003786 synthesis reaction Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 230000032258 transport Effects 0.000 description 1
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/029—Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/023—Avoiding failures by using redundant parts
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/06—Improving the dynamic response of the control system, e.g. improving the speed of regulation or avoiding hunting or overshoot
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W2050/0001—Details of the control system
- B60W2050/0002—Automatic control, details of type of controller or control system architecture
- B60W2050/0018—Method for the design of a control system
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/029—Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
- B60W2050/0292—Fail-safe or redundant systems, e.g. limp-home or backup systems
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24188—Redundant processors run different programs
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24191—Redundant processors are different in structure
Landscapes
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Mechanical Engineering (AREA)
- Human Computer Interaction (AREA)
- Transportation (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Hardware Redundancy (AREA)
- Debugging And Monitoring (AREA)
- Safety Devices In Control Systems (AREA)
Description
本発明の実施の形態は、自動車の用途、特に安全性に関連する用途、例えば、伝動装置の制御、警告表示の制御、電動パワーステアリング又は電動ブレーキの制御のための自動車の用途に関する。
自動車の用途における電子的な機能は、問題が検出された際に単純にオフにされることが多い。電子制御ユニット(ECU)においては、セーフティクリティカルな障害が発生すると、マイクロコントローラが、パッシブセーフな状態に移行される。これはフェールセーフ状態として知られている。セーフティクリティカルな障害の一部は永続的でないが、しかしながら、カーエレクトロニクスネットワーク全体のシャットダウン及びシステムの再始動のための新たなイグニッションサイクルを要求する。
別のアプローチでは、自動車の作動中に電子機能が再始動される。そのようなシステムは、リセットの実行に続いてセルフテストを行い、その後、動作の再始動を試みる。この手順は一般的に、最良のケースでも数百ミリ秒を要し、最悪のケースでは動作が再開しない。従って、最良のケースですら、動作が回復するまでの時間は多くの用途にとって、例えばパワーステアリングにとって極めて長いものとなる。
安全性にとって重大な何らかの問題が発生すると即座にパッシブセーフな状態に移行する、自動車の用途において使用されるマイクロコントローラも複数実現されている。ソフトウェアの複雑性が高いことから、それらの問題の多くはソフトウェアのバグによって引き起こされる。それらのバグはウォッチドッグ又はその他の保護メカニズムによって検出される。その他の根本的な原因はハードウェアに関連するものであるが、しかしながら、それらの原因のうちの少数だけが、潜在的な故障(latent fault)と称される永続的な損傷によって惹起される。
そのようなエラー処理の許容形態は近年変化してきている。つまり、ECU全体がセーフ状態、パッシブ状態、オフ状態に移行することはもはや許容されなくなっている。現在ではセーフティクリティカルなECUに関して、例えば車両を安全に駐車できるまで、又は、通常の動作を再開できるまで、何らかの動作を提供するバックアップシステムが要求されている。そのような動作は一般的に、リンプホーム、路肩への回避動作(limp aside)、又はバックアップ動作と称される。
フェールオペレーショナルシステムによる解決手段又は可用性が高められたシステムは、故障が発生した場合であっても、セーフティクリティカルな機能に関する性能の許容可能なレベルを提供する。このオペレーションモードへの切り替えが行われる原因として、ハードウェアの潜在的な故障、そのようなハードウェアの潜在的な故障ではない突発的な故障、又は、ソフトウェアフォールトが考えられる。
1つのアプローチとして、単一の信号コントローラを使用するが、しかしながら最も高い故障率(FIT:Failure-In-Time)を有している最もクリティカルな部分を二重にすることが挙げられる。別のアプローチとして、少なくとも1つの第2のCPUコア及び周辺装置の別個のセットを含んでいるマルチコアコントローラを使用することが挙げられる。第2のCPUコア及び周辺装置セットは、マルチコアコントローラの第1のCPUコアが問題を検出すると、動作を引き継ぐ。
最もコストの掛かる解決手段は、2つ又は3つのECU、複数の給電部及び通信システムを使用して、電子制御システム全体を二重又は三重にすることである。そのようなアプローチは余りに不経済であり、また自動車の用途にとっては占有空間が大きすぎる。
別の問題は、それらの解決手段の大部分が依然として、共通のエラーソースによって惹起されるエラーに取り組まなければならないことである。特に、複数のコントローラが同一のツール及びソフトウェアを使用する場合、それらは潜在的に、ソフトウェアバグによって惹起される同一のシステマチックな問題を有している。
更に、そのようなシステムは、故障する可能性があるコンポーネントをより多く含んでおり、またそのような故障が更に信頼性を低下させるか、又は動作が限定された状況が許容できないほど数多く発生する虞を含んでいる。そのような車両に及ぼされる影響の1つとして、修理工場に出向くことを強いられる回数が過度に多くなることが考えられる。
米国特許出願公開第2013/0067259号明細書には、メインコントローラ及びスタンバイコントローラを含んでいるマイクロコントローラユニットが開示されている。しかしながら、スタンバイコントローラが低消費電力のために最適化されているのに対し、メインコントローラは高性能のために最適化されている。
第1の実施の形態は、第1の制御信号によって制御されるように構成されており、且つ、装置を動作させるように構成されている第1のコントローラと、第2の制御信号によって制御されるように構成されている、且つ、装置を動作させるように構成されている第2のコントローラと、第1のコントローラ及び第2のコントローラに接続されて動作する制御ユニットと、を含んでいる装置を動作させるためのデバイスに関する。
第2の実施の形態は、車両の装置を動作させるための方法に関する。この方法は、第1のオペレーションモードにおいて車両の装置を動作させる第1のコントローラによって制御信号を生成するステップと、制御ユニットによって制御信号を評価して、評価結果を提供するステップと、評価結果に応じて、第2のコントローラによって装置の動作を引き継ぐステップと、を備えている。
第3の実施の形態は、セーフティ機能を実施するように構成されている車両の装置を動作させ、且つ、第1のダイに構成されている第1のコントローラと、装置を動作させ、且つ、第2のダイに構成されている第2のコントローラと、第1のコントローラ及び第2のコントローラを制御するように構成されている制御ユニットと、を含んでいるシステムに関する。
第4の実施の形態は、セーフティ機能を実施するように構成されている車両の装置を動作させる第1のコントローラと、装置を動作させる第2のコントローラと、第1のコントローラ及び第2のコントローラを制御する制御ユニットと、を含んでおり、第1のコントローラ及び第2のコントローラが1つのダイに構成されている、システムに関する。
図面には複数の実施の形態が示されており、それら複数の実施の形態を、それらの図面を参照しながら説明する。図面は基本的な原理を説明するために用いられるものであって、基本的な原理を理解するにあたり必要とされる態様のみが示されている。図中、同一の参照番号は同一の特徴を表している。
複数の実施の形態は、自動車の安全性に関連する用途においてエラーを処理するための装置及び方法に関する。これらを少なくとも2つのコントローラを使用することによって達成することができ、一方のコントローラはメインコントローラであり、他方のコントローラはバックアップコントローラとして動作する。
メインコントローラにおいてエラーが生じるケースでは、バックアップコントローラは、その種々のアーキテクチャ又は種々のインプリメンテーションを使用して、安全性に関連する機能を引き継ぐことができる。多様性を使用することによって、バックアップコントローラは、メインコントローラと同じ問題に直面することはない。
図1には、メインコントローラ101と、バックアップコントローラ102と、それらメインコントローラ101及びバックアップコントローラ102に接続されている制御ユニット103と、から成るデバイス100が示されている。デバイス100は、車両のセーフティクリティカルなシステムである装置150を制御することができる。セーフティクリティカルなシステムは、例えば、電動パワーステアリングシステム、伝動装置制御ユニット、電子ブレーキシステム又は車両内の自動車機能を実行するその他の構成要素であって良い。
メインコントローラ101は、CPUコア、メモリ及び周辺装置の第1のセットを含むことができるマイクロプロセッサ又はマイクロコントローラであって良い。CPUコアは、8ビットCPUコア、16ビットCPUコア、32ビットCPUコア又は64ビットCPUコアとして実施されており、また周辺装置の第1のセットは、インタフェースモジュール、タイマ、アナログ・ディジタル変換器又はポートモジュールのようなハードウェアユニットを含むことができる。メインコントローラ101は、図示していない給電部から給電されており、また、第1のクロックソースから導出される所定のクロック周波数でソフトウェア命令を実行する。
バックアップコントローラ102は、状態マシン、プログラミング可能な状態マシン、マイクロプロセッサ又はマイクロコントローラであって良い。バックアップコントローラ102は、別のCPUコア、別のメモリ及び別のハードウェアモジュール、例えば周辺装置の第2のセットを含むことができる。しかしながら、バックアップコントローラ102は、メインコントローラ101と比較して単純なアーキテクチャを有することができる。
デバイス100は、2つの異なるオペレーションモードを実行することができるか、又は、2つの異なるオペレーションモードで動作することができる。通常オペレーションモードの間は、メインコントローラ101が、装置150を制御するための特定のアプリケーション又は機能を実行している。セーフティクリティカルなエラーイベントが発生すると、デバイス100は通常オペレーションモードから緊急オペレーションモードに切り替わる。緊急オペレーションモードでは、バックアップコントローラ102が装置150を制御するためのアプリケーション又は機能を実行する。
デバイス100の挙動の1つの例として、電動パワーステアリングシステムのDCモータを制御するためのメインコントローラ101によるソフトウェアの実行中に、エラーが発生することが挙げられる。このケースでは、バックアップコントローラが緊急オペレーションモードにおいて、必要とされる機能を引き継ぎ、その機能を実現することができる。例えば、バックアップコントローラは単純に、問題が発生する前と同様にシステムを動かし続けることができる。
バックアップコントローラがステアリングシステムを動作させている間に、メインコントローラはリブートされる。メインコントローラのリブートが完了した後に、メインコントローラはステアリングシステムの制御を引き継ぎ直し、その一方で、バックアップコントローラを非アクティブ状態にセットすることができる。
従って、電動パワーステアリングシステムの動作は、メインコントローラ又はバックアップコントローラによって処理される。
制御ユニット103はセーフティ管理ユニット(SMU)であって良い。制御ユニット103は、メインコントローラ101とバックアップコントローラ102との間で、一種のスーパーバイザーとして動作する。制御ユニット103は、制御信号104を介してメインコントローラに接続されており、且つ、制御信号105を介してバックアップコントローラに接続されている。制御信号(104,105)は一方向であっても良いし、双方向であっても良く、また複数の信号線から成るものであって良い。
制御ユニット103は、第1の制御信号104を評価する。第1の制御信号104は、警告信号から成るものであって良い。結果に応じて、制御ユニットは、第2の制御信号105の信号線をセットしてバックアップコントローラ102を起動させることができ、バックアップコントローラ102は、緊急モードにおいてメインコントローラから機能を引き継ぐ。
メインコントローラがセーフティクリティカルな機能におけるエラーを認識すると、即座に警告信号を生成することができる。メインコントローラをリブート又はリセットし、且つ、バックアップコントローラを起動させるために、この警告信号を制御ユニット103によって評価することができる。警告信号のタイプ又はこの警告信号に対応するその他の統計値を、制御ユニット103又はその他のメモリに記憶することができる。
メインコントローラが機能を再開できる状態になると、制御ユニットは即座に、第1の制御信号104の対応する信号線をセットすることができる。メインコントローラが通常モードで作動し始めると、制御ユニットは、バックアップコントローラ102に対する適切な制御信号105を生成することができる。
装置150をハードウェア(HW)として、つまり有線で固定された電子回路として実現することができるか、又は、特定のセーフティ機能を実現するCPUにおいて実行されるソフトウェア(SW)として実現することができる。セーフティ機能は、例えば、伝動装置の制御、警告表示の制御、電動パワーステアリング又は電動ブレーキの制御であって良い。
制御ユニット103はセーフティクリティカルなエラー条件を識別することができ、このイベント及び関連する全ての状態情報を、例えば、特定のメモリに記憶することができ、また、バックアップコントローラ102の処理を開始することができる。
デバイス100の2つのオペレーションモードは、同一のセーフティクリティカルな機能を、例えば電動ステアリングを、異なるハードウェア(HW)構造又はソフトウェア(SW)構造において実現するか、又は、HW/SW構造の異なる組み合わせにおいて実現することができる。
この実施の形態の1つの例においては、バックアップコントローラ102のCPUコアが8ビットCPUコアとして実施されており、またメインコントローラ101のCPUコアは32ビットCPUコアとして実施されている。このケースでは、バックアップコントローラは少数の電子コンポーネントを使用する。
バックアップコントローラ102のCPUコアを、メインコントローラ101のCPUコアのクロック周波数と同一であるか又は異なるクロック周波数で動作させることができる。バックアップコントローラがより低いクロック周波数で動作する場合、バックアップコントローラの消費電力はより少ないものとなる。
第2のオペレーションモード、つまり緊急モードを、例えば、第1のオペレーションモード、つまり通常モードにおいてメインコントローラにおいて実行される比較的複雑なソフトウェアに比べて単純である、バックアップコントローラにおいて実行されるソフトウェアによって実現することができる。
この実施の形態の一例として、メインコントローラ101は、例えば車両によって使用される電動パワーステアリングの用途の一部としての電気モータを含んでいる装置150を制御するために複雑なソフトウェアルーチンを実行する。ソフトウェアは快適なステアリング機能を提供することができ、また、初めからC言語で記述して、第1のCコンパイラによってコンパイルすることができる。このセーフティ機能に関して、バックアップとしての緊急用の第2のソフトウェアインプリメンテーションが設けられていても良い。1つの例においては、異なるソフトウェアインプリメンテーションを取得するために、第2のソフトウェアインプリメンテーションが第2のCコンパイラを使用している。
別の例においては、第2のソフトウェアインプリメンテーションが異なる命令から構成されており、且つ、その複雑性は低くなっているが、しかしながらシステム全体を安全にリセットできるまでの、例えば車両が停止され、メインコントローラ101をリセットできるまでの、パワーステアリングの基本的な制御を保証する。メインコントローラ101がその動作中にエラーを示唆する場合、第2のソフトウェアインプリメンテーションが、バックアップコントローラ102のCPUにおいて実行される。
この実施の形態の別の例においては、バックアップコントローラ102の周辺装置が、多様化されたデザインツールを使用して実施されている。それらのデザインツールはハードウェア記述言語、例えばVHDL又はVerilogのソースコードを、シリコンダイにおいて実施することができるゲートレベルのネットリストにコンパイルする。バックアップコントローラ102のゲートレベルのネットリストの実施は、メインコントローラ101のためのゲートレベルネットリストを実施するために使用されるデザインツールとは異なるデザインツールを使用して行われている。バックアップコントローラ102は、シミュレータ、デバッガ又は形式的検証ツールによって検証されている。バックアップコントローラ102のアーキテクチャに使用されるツールを、メインコントローラ101のアーキテクチャを検証するために使用されるツールとは異ならせることができる。
異なる設計ツール、検証ツール及び異なるソフトウェアインプリメンテーションの使用により、メインコントローラ101のアーキテクチャ及び/又はインプリメンテーションとは異なる、バックアップコントローラ102のアーキテクチャ及び/又はインプリメンテーションを提供することができる。異なるアーキテクチャ及び/又は異なるインプリメンテーションによって、共通原因の故障が発生するリスクが低下する。メインコントローラ101において実行されるセーフティクリティカルな機能の動作中のエラーの根本原因が、バックアップコントローラ102において実行される機能も妨害する可能性は低下する。
メインコントローラ及びバックアップコントローラはそのアーキテクチャに関して異なる。更に、異なるアーキテクチャを異なる合成ツールを使用して設計することができ、また異なる検証ツール及びデバッギングによって検証することができる。
図2には、装置150と、その装置150を制御するためのデバイス200と、が示されている。デバイス200は、2つの別個のドメインとしてドメイン210及びドメイン220を含んでいる。それらのドメイン210及び220を、1つのシリコンダイ又は別個のシリコンダイに集積させることができる。ドメイン210及び220は、それら2つのドメインのうちの一方に属するコンポーネントがドメイン固有のパラメータ範囲で動作することを意味する、専用のパワードメイン又はクロックドメインによって特徴付けられている。
この実施の形態の1つの例においては、ドメイン210は、3.3Vをこのドメイン210に属するコンポーネントに供給する給電部によって特徴付けられているパワードメインであり、他方、ドメイン220は5Vを自身のコンポーネントに供給する給電部によって特徴付けられているパワードメインである。コンポーネントは、複数のコンポーネント又は周辺装置から成るグループに特定の電圧を供給する、埋込型電圧レギュレータ(EVR)を含むことができる。
この実施の形態の別の例においては、ドメイン210は、特定のクロックソース及び/又は特定のクロック周波数によって特徴付けられている。このケースでは、ドメイン210に属する全ての同期モジュールが、特定のドメインクロックソースから導出されるクロックで動作する。ドメイン220は、同一の又は異なる周波数で動作する別個のクロックソースを有することができる。
1つの実施の形態においては、制御ユニットはセーフティ管理ユニット(SMU)であって良い。SMUを、その第1の部分が第1のパワードメインにおいて実施され、且つ第2の部分が第2のパワードメインにおいて実施されるように、実施することができる。第1のドメイン210は、メインコントローラ101と、SMU103の第1の部分であるデバイス203aと、を含んでいる。メインコントローラ101は、第1のCPUを含んでおり、且つ、デバイス203aに入力される制御信号104の一部としての警告信号を生成することができる。SMUの第1の部分であるデバイス203aは、制御信号104を読み出し、警告信号を評価し、メインコントローラ101に対する制御信号104の一部としてのリセット信号を供給する。その他の種類の制御信号、例えばリブート信号をメインコントローラに供給することも可能である。
第2のドメイン220は、バックアップコントローラ102と、SMU103の第2の部分であるデバイス203bと、を含んでいる。第1のドメイン210に関して説明したように、第2のドメイン220を別個のパワードメイン又はクロックドメインによって特徴付けることができる。
メインコントローラ101及び/又はバックアップコントローラ102は、制御信号104又は制御信号105の一部として、それぞれ警告信号又は状態信号を生成することができる。それらの警告信号又はデータ信号を、制御ユニット103によって、又はそのドメイン固有の回路203a及び203bによって評価することができる。この評価の結果に応じて、制御ユニット103は、各コントローラに対する制御信号104又は105の一部としてのリセット信号を生成することができる。
制御ユニット103の一部としてのドメイン固有の回路203a及び203bは、インタフェース206を介して相互に通信する。このインタフェース206は、ドメイン210からドメイン220に警告信号、状態信号又は一般的な情報を伝送するために使用される。装置150のセーフティクリティカルな用途に関する1つの例として、電動パワーステアリングが考えられ、そこでは重要な機能を通常オペレーションモード中にデバイス101(メインコントローラ)において実行することができる。警告信号204によって制御ユニット103に通知することができるエラーが生じるケースでは、デバイス102(バックアップコントローラ)が緊急オペレーションモードにおいて装置150の制御を引き継ぐ。
緊急オペレーションモードを実行するために、バックアップコントローラ102は、ステアリングシステムの目下のトルク又はステアリング角度のような必要情報を要求する。それらの情報を、インタフェース207を介して、メインコントローラ101からバックアップコントローラ102に通信する必要がある。
メインコントローラとバックアップコントローラの相異によって、システマチックなエラー又は共通原因のエラー、特にソフトウェアエラーが回避される。メインコントローラ及びバックアップコントローラは、専用のクロックソースを有することができる。つまり、それら2つのコントローラは、同一のクロック周波数、類似のクロック周波数又は異なるクロック周波数で動作することができる。
1つの実施の形態においては、バックアップコントローラは、メインコントローラへの給電が行われなくなったとしても、依然として動作を続けるべきである。従って、メインコントローラ及びバックアップコントローラは、専用の給電部及び/又はパワードメインを有するべきである。
図3には、別の実施の形態として、デバイス200に類似するデバイス300が示されている。しかしながら図2とは異なり、メインコントローラ101が、複数の信号線を含むことができる警告信号又は状態信号304を生成し、生成された警告信号又は状態信号304がドメイン固有のサブ回路203bによって読み出される。つまり警告信号又は状態信号304はドメインの境界を越える。バックアップコントローラ102は、複数の信号線を含むことができる警告信号又は状態信号305を生成し、その信号305をドメイン固有のサブ回路203aに入力することができる。
図示していない別の実施の形態においては、ドメイン固有の回路203bが、メインコントローラ101へと供給される制御信号を生成する。反対に、ドメイン210のドメイン固有の回路203aは、バックアップコントローラ102に供給される制御信号を生成する。
図4には、第1のダイ450及び第2のダイ460を含んでいるデバイス400が示されている。それら2つのシリコンダイは、例えば、1つの共通の半導体パッケージに構成されている。メインコントローラ101、システム管理ユニット(SMU)のドメイン固有の部分203a、メインコントローラ101とSMU部分203aとの間のインタフェース404は、第1のシリコンダイ450に構成されている。
バックアップコントローラ102と、SMUのドメイン固有の部分203bと、バックアップコントローラ102とSMUの部分203bとの間のインタフェース404は、第2のシリコンダイ460に構成されている。ドメインの境界を越えるインタフェース信号404,405及び406を、ダイ間の専用ワイヤによって実現することができるか、フリップチップ技術によって実現することができる。フリップチップは、チップパッド上に堆積されたはんだバンプを用いて、半導体デバイスを相互接続するための方法である。
図5には、車両の装置を動作させるために上述の方法を実施するための3つのステップを備えているフローチャートが示されている。ステップ501においては、第1のオペレーションモードで動作しているメインコントローラによって、制御信号が生成される。1つの実施例においては、このオペレーションモードをセーフティクリティカルな機能によって特徴付けることができる。
車両は、人間を移送するいずれかの移動機械であるか、又はワゴン、自転車、自動車両(バイク、車、トラック、バス、列車)のようなカーゴ、船艇(船、ボート)、宇宙船及び飛行機であって良い。
制御信号は、例えば、セーフティクリティカルな自動車の用途の実行中に認識される欠陥によって生成される。制御信号は、複数の信号線を含むことができる警告信号であって良く、それらはステップ502において、例えばセーフティ管理ユニット(SMU)によって読み出されて評価される。
続いて、ステップ503においては第1の機能の実行が例えばバックアップコントローラによって引き継がれる。バックアップコントローラは、メインコントローラとは異なるアーキテクチャを有することができるか、異なるソフトウェアインプリメンテーションを有することができるか、もしくは、メインコントローラのインプリメンテーションとは異なっている。
本明細書において提案される例は、特に、以下の解決手段のうちの少なくとも1つを基礎とすることができる。特に、以下の特徴の組み合わせを使用して、所望の結果を達成することができる。本方法の特徴を、デバイス、装置又はシステムのいずれかの(1つ又は複数の)特徴と組み合わせることができるか、又は反対に、装置又はシステムのいずれかの(1つ又は複数の)特徴を本方法の特徴と組み合わせることができる。
車両の装置を動作させるためのデバイスが提供される。デバイスは、第1の制御信号によって制御されるように構成されている第1のコントローラと、第2の制御信号によって制御されるように構成されている第2のコントローラと、を含んでいる。更に、デバイスは、第1のコントローラ及び第2のコントローラに接続されて動作する制御ユニットを含んでおり、この場合、第1のコントローラ及び第2のコントローラはいずれも装置を動作させるように構成されている。
車両の安全性に関連する部分であって良い装置、例えば電動ブレーキを動作させる第1のコントローラに問題が生じるケースでは、第2のコントローラは装置の動作を引き継ぎ、その間に第1のコントローラはリブートされる。
1つの実施の形態においては、第1のコントローラは、第1のオペレーションモードにおいて装置を動作させるように構成されており、また第2のコントローラは、第2のオペレーションモードにおいて装置を動作させるように構成されている。
第1のオペレーションを、車両の通常オペレーションによって、つまり、自動車の一般的な運転によって特徴付けることができる。第2のオペレーションモードは、車両の基本的な安全性に関する更なる機能を保証するが、機能性又は快適性は低下している緊急モードであって良い。
1つの実施の形態においては、第1のオペレーションモードが第1のHW/SW構造においてセーフティ機能を実施し、また第2のオペレーションモードが第2のHW/SW構造においてセーフティ機能を実施する。
2つのコントローラによって使用されるハードウェア(HW)は異なっていても良い。それら2つのコントローラは異なるCPU、周辺装置及び/又はメモリの異なるセットを使用することができる。また、異なるハードウェアに加えて、又はただ1つの相異点として、2つのコントローラにおいて実行されるソフトウェア(SW)が異なっていても良い。
1つの実施の形態においては、デバイスが更に、第1のコントローラをクロック制御するための第1のクロックソースと、第2のコントローラをクロック制御するための第2のクロックソースと、を含んでいる。
異なるクロック信号によって、異なる電力消費量及び異なる性能を達成することができる。1つの例においては、第1のコントローラ又はメインコントローラが、第2のコントローラ又はバックアップコントローラよりも高いクロックレートでもって、全体としてより高い性能で動作する。
1つの実施の形態においては、第1のコントローラが、第1のクロック周波数で動作するように構成されており、また第2のコントローラが、第2のクロック周波数で動作するように構成されている。
1つの実施の形態においては、第1のコントローラが、第1のパワードメインにおいて動作するように構成されており、また第2のコントローラが、第2のパワードメインにおいて動作するように構成されている。
1つの実施の形態においては、制御ユニットが、第1のパワードメインにおいて実施されている第1のサブ回路と、第2のパワードメインにおいて実施されている第2のサブ回路と、を含んでいる。
1つの実施の形態においては、第1のコントローラが、周辺装置の第1のセットを用いて動作するように構成されており、また第2のコントローラが、周辺装置の第2のセットを用いて動作するように構成されている。
1つの実施の形態においては、周辺装置の第2のセットにおける周辺装置の数は、周辺装置の第1のセットにおける周辺装置の数よりも少ない。
1つの実施の形態においては、制御ユニットが、第1の制御信号を記憶するように構成されている。
車両の装置を動作させるための方法が提供される。この方法は、第1のコントローラによって制御信号を生成し、第1のオペレーションモードにおいて装置を動作させるステップを含んでいる。この方法では続いて、制御ユニットによって制御信号が評価されて評価結果が提供され、評価結果に応じて、装置の動作は第2のコントローラによって引き継がれる。
第1のモードにおいては、第1のコントローラが、即ちメインコントローラが、装置を更に動作させた場合に問題があることを示唆する警告信号を生成することができる。装置は車両のセーフティクリティカルな部分、例えば電動ブレーキ又は電動ステアリングシステムであって良い。生成された警告信号を、セーフティ制御ユニットによって評価し、装置は第2のコントローラによって、即ちバックアップコントローラによって動作及び制御された方が良いか否かを決定することができる。
1つの実施の形態においては、本方法において使用される装置がセーフティ機能を実施するように構成されている。
1つの実施の形態においては、第2のコントローラが、第1のコントローラとは異なるアーキテクチャで実施されている。
1つの実施の形態においては、第1のコントローラ及び第2のコントローラが、別個のパワードメインにおいて動作するように構成されている。
システムが提供される。このシステムは、車両の装置を動作させる第1のコントローラを含んでおり、装置はセーフティ機能を実施するように構成されている。システムは更に、装置を動作させるための第2のコントローラと、第1のコントローラ及び第2のコントローラを制御するように構成されている制御ユニットと、を含んでおり、第1のコントローラは第1のダイに構成されており、第2のコントローラは第2のダイに構成されている。
第1のダイを特定のCMOS半導体技術で製造することができ、その一方で第2のダイを、第1のダイで使用されるCMOS技術とは異なる技術で製造することができる。2つのダイは、それら2つのダイをインタフェースにより接続するためのパッドを提供することができる。2つのダイのパッドを、ワイヤボンディング技術又はフリップチップ技術を使用して相互に接続することができる。
1つの実施の形態においては、第1のダイ及び第2のダイが1つの共通のパッケージに構成されている。
パッケージは、MQFP,TQFPであっても良いし、BGA(Ball Grid Arrays)のためのパッケージであっても良い。システムの異なる部分を、2つのコントローラのうちの一方と共に実施することができる。別の例では、制御ユニットを第3のダイに構成することができ、その場合、第3のダイを第1のダイ及び第2のダイと同一の技術で製造しても良いし、異なる技術で製造しても良い。
別のシステムが提供される。このシステムは、車両の装置を動作させる第1のコントローラと、装置を動作させる第2のコントローラと、を含んでおり、装置はセーフティ機能を実施するように構成されている。システムは更に、第1のコントローラ及び第2のコントローラを制御するための制御ユニットを含んでおり、第1のコントローラ及び第2のコントローラは1つのダイに構成されている。
1つ又は複数の例においては、本明細書において記載した自動車のセーフティ機能を、少なくとも部分的にハードウェアで、例えば特定のハードウェアコンポーネント又はプロセッサで実施することができる。より一般的には、種々の技術をハードウェア、プロセッサ、ソフトウェア、ファームウェア又はそれらの任意の組み合わせで実施することができる。
ソフトウェアで実施される場合、セーフティ機能をコンピュータ読み出し可能媒体に記憶することができるか、又は、コンピュータ読み出し可能媒体における1つ又は複数の命令又はコードを伝送し、ハードウェアベースの処理ユニットによって実行することができる。コンピュータ読み出し可能媒体は、有形の媒体、例えばデータ記憶媒体に対応するコンピュータ読み出し可能な記憶媒体を含むことができるか、又は、例えば通信プロトコルに準拠してある場所から別の場所へのコンピュータプログラムの伝送を容易にする任意の媒体を含めた通信媒体を含むことができる。
データ記憶媒体は、1つ又は複数のコンピュータによって、又は、1つ又は複数のプロセッサによって、本明細書において説明した種々の技術を実施するための命令、コード及び/又はデータ構造を検索するためにアクセスすることができる、利用可能なあらゆる媒体であって良い。コンピュータプログラム製品はコンピュータ読み出し可能媒体を含むことができる。
本明細書において開示した技術を実施するように構成されているデバイスの機能的な態様を強調するために、本明細書において種々のコンポーネント、モジュール又はユニットを説明したが、それらを異なるハードウェアユニットで実現することは必ずしも要求されない。むしろ、上記において説明したように、種々のユニットを、適切なソフトウェア及び/又はファームウェアと共に、上記において説明したような1つ又は複数のプロセッサを含めて、単一のハードウェアにおいて組み合わせることができるか、又は、相互的に動作する複数のハードウェアユニットの集合体によって提供することができる。
本発明の実施の形態の種々の例を説明したが、当業者であれば、本発明の精神及び範囲から逸脱することなく、本発明の利点の一部を達成するであろう種々の変更及び修正を行えることが分かる。当業者には自明であるように、同一の機能を実行するその他のコンポーネントを適切に置換することができる。ある特定の図面を参照しながら説明した種々の特徴を、その他の図面の特徴と組み合わせても良いことを言及しておく。これはそのような組み合わせが明示的に記載されていない場合であっても該当する。更に、本発明の方法を、適切なプロセッサ命令を使用して、あらゆる全てのソフトウェアインプリメンテーションにおいて達成することができるか、又は、同一の結果を達成するために、ハードウェアロジックとソフトウェアロジックの組み合わせを使用するハイブリッド型のインプリメンテーションにおいて達成することができる。本発明のコンセプトに関するそのような変更は、添付の特許請求の範囲によってカバーされることが意図されている。
Claims (15)
- 車両の装置(150)を動作させるためのデバイス(100)において、
第1の制御信号(104)によって制御されるように構成されている第1のコントローラ(101)と、
第2の制御信号(105)によって制御されるように構成されている第2のコントローラ(102)と、
前記第1のコントローラ及び前記第2のコントローラに接続されて動作する制御ユニット(103)と、
を含んでおり、
前記第1のコントローラ及び前記第2のコントローラは、いずれも前記装置(150)を動作させるように構成されており、
前記第1のコントローラは、第1のパワードメイン(210)において動作するように構成されており、
前記第2のコントローラは、第2のパワードメイン(220)において動作するように構成されており、
前記制御ユニット(103)は、前記第1のパワードメイン(210)において実施されている第1のサブ回路(203a)と、前記第2のパワードメイン(220)において実施されている第2のサブ回路(203b)と、を含んでおり、
前記第1のサブ回路(203a)は、前記第1の制御信号(104)によって前記第1のコントローラ(101)に接続され、
前記第2のサブ回路(203b)は、前記第2の制御信号(105)によって前記第2のコントローラ(102)に接続され、
前記第1のコントローラ(101)は、警告信号又は状態信号(304)を前記第2のサブ回路(203b)に送信し、
前記第2のコントローラ(102)は、警告信号又は状態信号(305)を前記第1のサブ回路(203a)に送信し、
前記第1のパワードメイン(210)の供給電圧は、前記第2のパワードメイン(220)の供給電圧と異なる、
デバイス(100)。 - 前記第1のコントローラは、第1のオペレーションモードにおいて前記装置を動作させるように構成されており、
前記第2のコントローラは、第2のオペレーションモードにおいて前記装置を動作させるように構成されている、
請求項1に記載のデバイス。 - 前記第1のオペレーションモードは、第1のHW/SW構造においてセーフティ機能を実施し、
前記第2のオペレーションモードは、第2のHW/SW構造において前記セーフティ機能を実施する、
請求項2に記載のデバイス。 - 前記第1のコントローラをクロック制御するための第1のクロックソースと、前記第2のコントローラをクロック制御するための第2のクロックソースと、を更に含んでいる、
請求項1乃至3のいずれか1項に記載のデバイス。 - 前記第1のコントローラ(101)は、第1のクロック周波数で動作するように構成されており、
前記第2のコントローラ(102)は、第2のクロック周波数で動作するように構成されている、
請求項1乃至4のいずれか1項に記載のデバイス。 - 前記第1のコントローラは、周辺装置の第1のセットを用いて動作するように構成されており、
前記第2のコントローラは、周辺装置の第2のセットを用いて動作するように構成されている、
請求項1乃至5のいずれか1項に記載のデバイス。 - 前記周辺装置の第2のセットにおける周辺装置の数は、前記周辺装置の第1のセットにおける周辺装置の数よりも少ない、
請求項6に記載のデバイス。 - 前記制御ユニット(103)は、前記第1の制御信号(104)を記憶するように構成されている、
請求項1乃至7のいずれか1項に記載のデバイス。 - 請求項1乃至8のいずれか1項に記載のデバイス(100)によって車両の装置(150)を動作させるための方法において、
第1のオペレーションモードにおいて前記装置(150)を動作させる前記第1のコントローラ(101)によって前記第1の制御信号(104)を生成するステップと、
前記制御ユニット(103)によって前記第1の制御信号(104)を評価して、評価結果を提供するステップと、
前記評価結果に応じて、前記第2のコントローラ(102)によって前記装置(150)の動作を引き継ぐステップと、
を備えていることを特徴とする、
方法。 - 前記装置は、セーフティ機能を実施するように構成されている、
請求項9に記載の方法。 - 前記第2のコントローラは、前記第1のコントローラとは異なるアーキテクチャで実施されている、
請求項9又は10に記載の方法。 - 前記第1のコントローラ及び前記第2のコントローラは、別個のパワードメイン(220,230)において動作するように構成されている、
請求項9乃至11のいずれか1項に記載の方法。 - 請求項1乃至8のいずれか1項に記載のデバイス(100)を備えるシステムにおいて、
前記第1のコントローラは、第1のダイ(450)に構成されており、且つ、前記第2のコントローラは、第2のダイ(460)に構成されていることを特徴とする、
システム。 - 前記第1のダイ及び前記第2のダイは、1つの共通のパッケージに構成されている、
請求項13に記載のシステム。 - 請求項1乃至8のいずれか1項に記載のデバイス(100)を備えるシステムにおいて、
前記第1のコントローラ及び前記第2のコントローラは1つのダイに構成されていることを特徴とする、
システム。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102015003194.5A DE102015003194A1 (de) | 2015-03-12 | 2015-03-12 | Verfahren und Vorrichtung zum Handhaben von sicherheitskritischen Fehlern |
| DE102015003194.5 | 2015-03-12 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016170786A JP2016170786A (ja) | 2016-09-23 |
| JP6525906B2 true JP6525906B2 (ja) | 2019-06-05 |
Family
ID=56800916
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016048158A Active JP6525906B2 (ja) | 2015-03-12 | 2016-03-11 | セーフティクリティカルなエラーを処理するための方法と装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US10017188B2 (ja) |
| JP (1) | JP6525906B2 (ja) |
| KR (2) | KR20160110203A (ja) |
| DE (1) | DE102015003194A1 (ja) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9805525B2 (en) | 2014-07-07 | 2017-10-31 | Infineon Technologies Ag | Apparatus and a method for providing an error signal for a control unit |
| CN110573394B (zh) * | 2017-03-31 | 2022-06-14 | 日立安斯泰莫株式会社 | 车辆用制动系统 |
| KR102300908B1 (ko) * | 2017-05-24 | 2021-09-10 | 현대모비스 주식회사 | 다중 코어 제어 방법 |
| DE102017223331A1 (de) * | 2017-12-20 | 2019-06-27 | Audi Ag | Steuerung einer Fahrwerkkomponente eines Fahrzeugs |
| WO2019127079A1 (en) | 2017-12-27 | 2019-07-04 | Bayerische Motoren Werke Aktiengesellschaft | Vehicle lane change prediction |
| US10671067B2 (en) * | 2018-01-15 | 2020-06-02 | Qualcomm Incorporated | Managing limited safe mode operations of a robotic vehicle |
| KR102111295B1 (ko) * | 2018-02-05 | 2020-05-15 | 주식회사 만도 | 리던던트 구조 기반의 차량 제어 장치 및 방법 |
| KR102066219B1 (ko) * | 2018-02-05 | 2020-01-14 | 주식회사 만도 | 리던던트 구조 기반의 차량 제어 장치 및 방법 |
| US11188075B2 (en) * | 2018-08-02 | 2021-11-30 | Qualcomm Incorporated | Controlling a robotic vehicle following flight controller signal loss |
| DE102019201607A1 (de) * | 2019-02-07 | 2020-08-13 | Volkswagen Aktiengesellschaft | Steuerungssystem für ein Kraftfahrzeug |
| DE102019202627B3 (de) * | 2019-02-27 | 2020-04-16 | Robert Bosch Gmbh | Verfahren zum Betrieb einer Lenkungssteuervorrichtung zur Ansteuerung einer elektrischen Lenkung und Lenkungssteuervorrichtung |
| DE102019125867B4 (de) | 2019-09-25 | 2022-05-05 | Keba Industrial Automation Germany Gmbh | Programmierbarer elektronischer Leistungssteller |
| US11749122B1 (en) * | 2019-12-12 | 2023-09-05 | Amazon Technologies, Inc. | Multi-device redundant flight controller |
| DE102022209229A1 (de) | 2022-09-06 | 2024-03-07 | Robert Bosch Gesellschaft mit beschränkter Haftung | Vorrichtung zur Interprozessorkommunikation, Steuergerät mit der Vorrichtung und Fahrzeug mit dem Steuergerät, Verfahren zum Betreiben der Vorrichtung |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0811942B2 (ja) | 1984-07-11 | 1996-02-07 | 株式会社日立製作所 | エンジン制御装置 |
| JPH0544546A (ja) | 1991-08-20 | 1993-02-23 | Fujitsu Ten Ltd | スロツトル制御装置 |
| JP3308669B2 (ja) | 1993-07-30 | 2002-07-29 | マツダ株式会社 | システム制御装置 |
| JPH07253897A (ja) | 1994-03-15 | 1995-10-03 | Fujitsu Ltd | I/o回路 |
| DE19834868B4 (de) * | 1998-08-01 | 2007-10-18 | Robert Bosch Gmbh | Lenkradsteller für die Steer-by-Wire-Anwendung in Kraftfahrzeugen |
| JP3493640B2 (ja) | 2000-04-05 | 2004-02-03 | 本田技研工業株式会社 | 車両用電子制御装置 |
| WO2006024957A2 (en) * | 2004-07-01 | 2006-03-09 | Harman Becker Automotive Systems Gmbh | Computer architecture for a multimedia system used in a vehicle |
| DE102005037246A1 (de) | 2005-08-08 | 2007-02-15 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Steuerung eines Rechnersystems mit wenigstens zwei Ausführungseinheiten und einer Vergleichseinheit |
| JP5363243B2 (ja) | 2009-08-28 | 2013-12-11 | 株式会社ミツバ | パーキングロックアクチュエータ用制御回路 |
| KR101728581B1 (ko) * | 2010-03-23 | 2017-04-19 | 콘티넨탈 테베스 아게 운트 코. 오하게 | 제어 컴퓨터 시스템, 제어 컴퓨터 시스템을 제어하는 방법, 및 제어 컴퓨터 시스템의 이용 |
| DE102010013349B4 (de) | 2010-03-30 | 2013-06-13 | Eads Deutschland Gmbh | Computersystem und Verfahren zum Vergleichen von Ausgangssignalen |
| JP2011227786A (ja) * | 2010-04-22 | 2011-11-10 | Panasonic Corp | マイクロコンピュータ制御システム、並びにそれを用いた充電装置および太陽光電源システム |
| JP5525402B2 (ja) | 2010-09-30 | 2014-06-18 | 株式会社日立製作所 | 2重系装置の制御装置 |
| US9021284B2 (en) | 2011-09-08 | 2015-04-28 | Infineon Technologies Ag | Standby operation with additional micro-controller |
| US8538558B1 (en) * | 2012-03-01 | 2013-09-17 | Texas Instruments Incorporated | Systems and methods for control with a multi-chip module with multiple dies |
| US9076807B2 (en) * | 2012-09-11 | 2015-07-07 | Analog Devices, Inc. | Overvoltage protection for multi-chip module and system-in-package |
-
2015
- 2015-03-12 DE DE102015003194.5A patent/DE102015003194A1/de active Pending
-
2016
- 2016-02-11 US US15/041,789 patent/US10017188B2/en active Active
- 2016-03-10 KR KR1020160028608A patent/KR20160110203A/ko active Application Filing
- 2016-03-11 JP JP2016048158A patent/JP6525906B2/ja active Active
-
2017
- 2017-12-20 US US15/848,626 patent/US10576990B2/en active Active
-
2018
- 2018-02-26 KR KR1020180022786A patent/KR20180022759A/ko active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| US10017188B2 (en) | 2018-07-10 |
| JP2016170786A (ja) | 2016-09-23 |
| US20180111626A1 (en) | 2018-04-26 |
| US10576990B2 (en) | 2020-03-03 |
| KR20160110203A (ko) | 2016-09-21 |
| DE102015003194A1 (de) | 2016-09-15 |
| KR20180022759A (ko) | 2018-03-06 |
| US20160264150A1 (en) | 2016-09-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6525906B2 (ja) | セーフティクリティカルなエラーを処理するための方法と装置 | |
| US10042791B2 (en) | Abnormal interrupt request processing | |
| JP5722150B2 (ja) | マイクロコントローラ | |
| US9207661B2 (en) | Dual core architecture of a control module of an engine | |
| US20080046603A1 (en) | Line Diagnostic Device, Bus System, Line Diagnostic Method, Bus System Control Method, and Line Diagnostic Program | |
| EP3330857B1 (en) | Vehicle control device | |
| CN107077407B (zh) | 车辆控制装置 | |
| US8645886B2 (en) | Integrated circuit power management verification method | |
| Kohn et al. | Architectural concepts for fail-operational automotive systems | |
| US8509989B2 (en) | Monitoring concept in a control device | |
| EP3460632B1 (en) | Microcontroller and control method of the same | |
| JPWO2016207933A1 (ja) | フィールドプログラマブルゲートアレイ | |
| KR102016004B1 (ko) | 록스텝 시스템들의 주기적인 비-간섭적 진단 | |
| US9128838B2 (en) | System and method of high integrity DMA operation | |
| EP3249532B1 (en) | Power supply controller system and semiconductor device | |
| US9384078B2 (en) | Method for diagnosing a mechanism of untimely cut-offs of the power supply to a motor vehicle computer | |
| KR20050084077A (ko) | 전자 회로 및 내장형 시스템 | |
| KR20070068405A (ko) | 가변 클록 속도를 갖는 데이터 처리 시스템 | |
| JP2005208939A (ja) | マイコン電源電圧監視システム | |
| Schneider et al. | Multicore vs safety | |
| CN117519065A (zh) | 车辆中央计算架构故障诊断方法及装置 | |
| Osajda | Solutions for Safety Critical Automotive Applications | |
| Schneider et al. | Multicore vs Safety 2010-01-0207 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170228 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170306 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170511 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171106 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180201 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20180305 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190507 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6525906 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |