JP6683806B2 - 車両安全電子制御システム - Google Patents

車両安全電子制御システム Download PDF

Info

Publication number
JP6683806B2
JP6683806B2 JP2018515310A JP2018515310A JP6683806B2 JP 6683806 B2 JP6683806 B2 JP 6683806B2 JP 2018515310 A JP2018515310 A JP 2018515310A JP 2018515310 A JP2018515310 A JP 2018515310A JP 6683806 B2 JP6683806 B2 JP 6683806B2
Authority
JP
Japan
Prior art keywords
microcontroller
control system
mode
simplex mode
microcontrollers
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018515310A
Other languages
English (en)
Other versions
JP2018531451A6 (ja
JP2018531451A (ja
Inventor
ロタ、アリナ
ルンディン、トーマス
ドラガン、ミハイ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Veoneer Sweden AB
Original Assignee
Veoneer Sweden AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Veoneer Sweden AB filed Critical Veoneer Sweden AB
Publication of JP2018531451A publication Critical patent/JP2018531451A/ja
Publication of JP2018531451A6 publication Critical patent/JP2018531451A6/ja
Application granted granted Critical
Publication of JP6683806B2 publication Critical patent/JP6683806B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/14Handling requests for interconnection or transfer
    • G06F13/36Handling requests for interconnection or transfer for access to common bus or bus system
    • G06F13/362Handling requests for interconnection or transfer for access to common bus or bus system with centralised access control
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/04Generating or distributing clock signals or signals derived directly therefrom
    • G06F1/10Distribution of clock signals, e.g. skew
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/2002Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant
    • G06F11/2005Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant using redundant communication controllers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2023Failover techniques
    • G06F11/2028Failover techniques eliminating a faulty processor or activating a spare
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2038Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant with a single idle spare processing component
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/38Information transfer, e.g. on bus
    • G06F13/42Bus transfer protocol, e.g. handshake; Synchronisation
    • G06F13/4282Bus transfer protocol, e.g. handshake; Synchronisation on a serial bus, e.g. I2C bus, SPI bus
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • G06F15/163Interprocessor communication
    • G06F15/17Interprocessor communication using an input/output type connection, e.g. channel, I/O port
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T7/00Brake-action initiating means
    • B60T7/12Brake-action initiating means for automatic initiation; for initiation not subject to will of driver or passenger
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W30/00Purposes of road vehicle drive control systems not related to the control of a particular sub-unit, e.g. of systems using conjoint control of vehicle sub-units
    • B60W30/08Active safety systems predicting or avoiding probable or impending collision or attempting to minimise its consequences
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W30/00Purposes of road vehicle drive control systems not related to the control of a particular sub-unit, e.g. of systems using conjoint control of vehicle sub-units
    • B60W30/10Path keeping
    • B60W30/12Lane keeping
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W30/00Purposes of road vehicle drive control systems not related to the control of a particular sub-unit, e.g. of systems using conjoint control of vehicle sub-units
    • B60W30/14Adaptive cruise control
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Hardware Redundancy (AREA)
  • Information Transfer Systems (AREA)

Description

本発明は電子制御システムに関し、より詳細には、車両安全電子制御システムに関する。
自動車において、現在、電子安全システムが非常に広く使用されている。そのような安全システムは、例えば、死角監視システム、アクティブクルーズコントロールシステム、プレセーフブレーキシステム、衝突回避システム、車線逸脱防止システム、及び後方衝突軽減システムを含むことができる。
最新の車両安全システムの複雑性は、安全システムを提供し、管理するために必要とされる電子制御システムの性能及び信頼性を重視している。そのような制御システムは通常、いわゆる先進運転支援システム(ADAS:Advanced Driver Assistance System)アルゴリズムをホスティングし、実行するために、統合されたハードウェア及びソフトウェアを含む。
そのようなシステムは、いわゆる自動車安全完全性レベル(ASIL:Automotive Safety Integrity Level)リスク分類方式を規定するISO 26262「道路車両の機能安全規格」(Functional Safety for Road Vehicles standard)のような非常に厳密な安全要件を満たすように要求される。ASIL−Dは、この規格下の最も高い完全性要件を表し、安全関連処理タスクに適用可能である。
機能安全規格の要件は、制御システムが、算術ユニット、論理ユニット及びメモリユニット内の安全関連誤りを特定できなければならないことであり、それは、ロックステッププロセッサアーキテクチャが使用される場合のASIL−D電子制御ユニットにおいてのみ可能である。しかしながら、このタイプのロックステップアーキテクチャを有するプロセッサが有する処理能力は比較的低く、レーダー、ライダー及び/又はカメラ等の一組の適したセンサーを用いてADASのような最新のアプリケーションを取り扱うには不十分である。したがって、2つのマイクロコントローラーを用いることが提案されており、第1のいわゆる「安全」マイクロコントローラーは、重要な安全関連タスクを取り扱うとともに第2のいわゆる「性能」マイクロコントローラーの動作を監視することができ、第2のいわゆる「性能」マイクロコントローラーは、より高い処理能力を有し、したがって、安全マイクロコントローラーの監督の下でシステムの主な処理タスクを取り扱うよう構成されるようになっている。
上記で説明されたタイプの構成では、2つのマイクロコントローラーは、互いに通信することが必要とされる。安全マイクロコントローラーは、通常、高レベルソフトウェアフロー監視手法を介して性能マイクロコントローラーを監視するように構成される。このタイプの構成では、性能マイクロコントローラーが安全マイクロコントローラーと通信することができるような2つのマイクロコントローラー間の通信パスが健全であるという条件で、安全マイクロコントローラーは、性能マイクロコントローラーにおける問題を診断することができる。したがって、安全マイクロコントローラーは、マスターマイクロコントローラーとして動作するように構成することができ、性能マイクロコントローラーは、スレーブマイクロコントローラーとして動作するように構成することができる。安全(マスター)マイクロコントローラーは、したがって、2つのマイクロコントローラー間の通信を開始するように動作し、一般に、任意の所与の時点における通信がシンプレックス(simplex:単信)モードであるべきか又はデュプレックス(duplex:二重)モードであるべきかを判断するとともに、データの転送をクロック制御するように構成される。理解されるように、性能(スレーブ)マイクロコントローラーがその状態又は性能に関するデータを安全(マスター)マイクロコントローラーに返信することが必要とされるとき、デュプレックス通信が必要となる。2つのマイクロコントローラー間の通信は、プロセッサ間通信(「IPC」)パスを介して達成される。IPCパスは、様々な異なる形態を取ることができるが、シリアルペリフェラルインターフェース(「SPI」)バスが一般的である。帯域幅に関して、ADAS機能を動作させるには、少なくとも100MbpsのIPC速度が必要とされることがわかっている。
しかしながら、従来技術の構成においてマイクロプロセッサ間でIPCに十分な帯域幅を実現することは困難であり得ることがわかっている。さらに、デュプレックスモードを用いてマイクロコントローラー間で通信するとき、高速通信を可能にするには、2つのマイクロコントローラーが周波数に関して厳密に一致していることが重要である。この要件は、多くの場合、システム設計者が適したマイクロプロセッサを選択することが制限されて、設計者が他の有利な技術的特性のみに基づいてマイクロプロセッサを選択することができないようになることを意味する可能性があり、これは、最適化されたシステムを作製する設計者の能力が損なわれることを意味する。例えば、設計者は、異なる製造業者から2つのマイクロプロセッサを選択したい場合があるが、これを行うと、それらのマイクロプロセッサ間の信頼できる高速デュプレックス通信を実現することが非常に困難になる可能性がある。
したがって、本発明の目的は、改良された車両安全電子制御システムを提供することである。
本発明によれば、第1のマイクロコントローラーと、第2のマイクロコントローラーと、該マイクロコントローラーの間のデータの前記転送のためのプロセッサ間通信パスとを備える車両安全電子制御システムであって、該システムは、
前記第1のマイクロコントローラーから前記第2のマイクロコントローラーへのデータの前記転送について、前記第1のマイクロコントローラーがマスターとして動作するとともに前記第2のマイクロコントローラーがスレーブとして動作するプロセッサ間通信の第1のシンプレックスモードと、
前記第2のマイクロコントローラーから前記第1のマイクロコントローラーへのデータの前記転送について、前記第2のマイクロコントローラーがマスターとして動作するとともに前記第1のマイクロコントローラーがスレーブとして動作するプロセッサ間通信の第2のシンプレックスモードと、
前記第1のモードと前記第2のモードとの間で選択及び切り替えを行うように構成されるモード選択手段と、
を有し、
前記モード選択手段が、前記マイクロコントローラーの間に少なくとも2つの汎用入力/出力接続を備え、該汎用入力/出力接続は、前記プロセッサ間通信パスから分離しており、前記通信モードの前記選択をハンドシェイクするとともに、前記マイクロコントローラーの間の前記プロセッサ間通信パスに沿ったデータ送信の開始を同期させるように構成される、制御システムが提供される。
前記モード選択手段は、前記第1のモードと前記第2のモードとの間で動的に選択及び切り替えを行うように構成されることが有利である。
前記モード選択手段は、前記第1のモードに入るように動作可能な前記第1のマイクロコントローラー上のソフトウェアアプリケーションと、前記第2のモードに入るように動作可能な前記第2のマイクロコントローラー上のソフトウェアアプリケーションとを含むことが好都合である。
前記システムは、前記システムの起動の際及び前記2つのマイクロコントローラーの間のデータの各転送の成功後にデフォルトで前記第1のモードになるように構成されることが好ましい。
前記プロセッサ間通信パスは、同期シリアル通信インターフェースの形態で提供されることが有利である。
前記同期シリアル通信インターフェースは、シリアルペリフェラルインターフェース(SPI)バスであることが好都合である。
前記システムは、前記第1の通信モード及び前記第2の通信モードのそれぞれにおけるデータ転送を少なくとも100Mbpsの速度で可能にするように構成されることが好ましい。
前記第1のモードにおけるプロセッサ間通信の最大データ転送周波数は、前記第2のモードにおける最大データ転送周波数と異なることが有利である。
前記第1のモードにおけるプロセッサ間通信の最大データ転送周波数は、前記第2のモードにおける最大データ転送周波数よりも小さいことが好都合である。
前記第1のマイクロコントローラーは、安全マイクロコントローラーの形態を取り、前記第2のマイクロコントローラーは、性能マイクロコントローラーの形態を取ることが好ましい。
前記第1のマイクロコントローラーは、ロックステップアーキテクチャを有し、前記第2のマイクロコントローラーは、ロックステップアーキテクチャを有しないことが有利である。
前記第1のマイクロコントローラーは、前記第1の通信モードにおける前記第2のマイクロコントローラーへのデータの前記転送のためのクロック機能を提供するように構成され、前記第2のマイクロコントローラーは、前記第2の通信モードにおける前記第1のマイクロコントローラーへのデータの前記転送のためのクロック機能を提供するように構成されることが好都合である。
前記第1のマイクロコントローラーは、前記第2のマイクロコントローラーよりも高い処理能力を有することが好ましい。前記第1のマイクロコントローラーは、ロックステップ構成を有することもできる。
制御システムは、集積電子制御ユニットの形態で提供することができる。
本発明の第2の態様によれば、第1の態様に記載の制御システムを備える、自動車電子安全システムが提供される。
本発明の別の態様によれば、第1のマイクロコントローラーと、第2のマイクロコントローラーと、該マイクロコントローラーの間のデータの双方向転送のためのプロセッサ間通信パスとを備える車両安全電子制御システムであって、
前記第1のマイクロコントローラーがマスターとして動作するとともに前記第2のマイクロコントローラーがスレーブとして動作するプロセッサ間通信の第1のモードと、
前記第2のマイクロコントローラーがマスターとして動作するとともに前記第1のマイクロコントローラーがスレーブとして動作するプロセッサ間通信の第2のモードと、
前記第1のモードと前記第2のモードとの間で選択及び切り替えを行うように構成されるモード選択手段と、
を有することを特徴とする、制御システムが提供される。
本発明をより容易に理解することができるように、そして、本発明の更なる特徴を認識することができるように、ここで、添付の図面を参照しがら、例として、本発明の実施形態が説明されることになる。
本発明による電子制御システムを含むことができる通常の自動車安全システムの概観を示す概略図である。 本発明による電子制御システムの主なハードウェア要素の概観を示す概略図である。
ここで図1についてのより詳細な検討に進むと、自動車2内に設置された例示的な電子安全システム1の概略図が示される(車両の向きを示すために、図1には、その一方のサイドパネルのみが示される)。安全システム1は、自動車2上の適切な位置に取り付けられた幾つかの異なるタイプのセンサーを備える。詳細には、図示されるシステム1は、車両2のそれぞれの前方角部に取り付けられる一対の発散性及び外向きのミッドレンジレーダー(「MRR」)センサー3と、車両のそれぞれの後方角部に取り付けられる類似の一対の発散性及び外向きの多機能レーダーセンサー4と、車両2の前方中央に配置される前方に向けられたロングレンジレーダー(「LRR」)センサー5と、例えば、車両のワイドスクリーンの上縁部の領域内に取り付けられる場合があるステレオビジョンシステム(「SVS」)7の一部を形成する一対の一般的に前方に向けられた光センサー6とを備える。種々のセンサー3〜6は、中央電子制御システムに作動的に接続され、中央電子制御システムは通常、車両内の都合の良い場所に取り付けられる統合電子制御ユニット8の形で設けられる。図示される特定の構成において、前方及び後方MMRセンサー3、4は、従来のコントローラーエリアネットワーク(「CAN」)バス9を介して中央制御ユニット8に接続され、LRRセンサー5、とSVS7のセンサーとは、同じくそれ自体が既知であるタイプの、より高速のFlexRayシリアルバス9を介して、中央制御ユニット8に接続される。
集合的に、そして制御ユニット8の制御下で、種々のセンサー3〜6を用いて、例えば、死角監視、アダプティブクルーズコントロール、衝突防止支援、車線逸脱防止、後方衝突軽減のような、様々な異なるタイプの運転支援システムを提供することができる。したがって、制御ユニット8は、そのような運転システムごとに適切なソフトウェアアルゴリズムを実行するように構成される。
図2は、本発明による制御システムの主なハードウェア要素を概略的に示しており、そのシステムが、図1に示される統合制御ユニット8の形態で提供できることは理解されよう。制御システムは、第1のマイクロコントローラー11と、第2のマイクロコントローラー12とを備える。第1のマイクロコントローラー11は、処理誤りの特定を必要とする、システムの最も厳密な(ASIL−D)安全完全性要件に応えるために安全ソフトウェアを実行するように構成することができる一方、第2のマイクロコントローラー12は、より高い処理能力を有し、システムの主な処理タスクと、第1のマイクロコントローラー11を救援するための幾つかの安全関連処理タスクとを取り扱うように構成される。第1のマイクロコントローラー11は、システムの厳密な安全完全性要件を満たすように構成されるので、いわゆる「安全マイクロコントローラー」を表すと考えることができ、ロックステップアーキテクチャを有することができる。第2のマイクロコントローラー12は、マスターマイクロコントローラーよりも高い処理能力を有するように構成されるので、いわゆる「性能マイクロコントローラー」を表すと考えることができ、ロックステップアーキテクチャを必要としない。
現時点で好ましい実施形態では、第1のマイクロコントローラー11は、Infineon Technologies AG社から市販されるAurix TC29xプロセッサの形態で設けることができ、一方、第2のマイクロコントローラー12は、Texas Instruments Inc.社から市販されるXC5777Xプロセッサの形態で設けることができると想定される。しかしながら、第1のマイクロコントローラー11及び第2のマイクロコントローラー12の一方又は両方のために他のタイプのプロセッサを使用できることは理解されたい。
理解されるように、2つのマイクロコントローラー11、12は、データの双方向転送、すなわち、i)第1のマイクロコントローラー11から第2のマイクロコントローラー12への転送と、その逆のii)第2のマイクロコントローラー12から第1のマイクロコントローラー11への転送とを含む形式で互いに通信することが必要とされる。従来技術の構成は、これらのマイクロコントローラーのうちの一方が常にマスターとして動作し、他方が常にスレーブとして動作する2つのマイクロコントローラー間のデュプレックス通信を介してこの双方向データ転送を達成するように構成されるが、本発明の構成は、2つのマイクロコントローラー11、12の間の全ての通信をシンプレックスモードで行うことを可能にする。
2つのマイクロコントローラー11、12は、図2において13で概略的に示されるプロセッサ間通信パス(「IPC」)によって作動的に接続される。IPC13は、同期シリアル通信インターフェースの形態で提供され、現行の実施形態においては、いわゆるシリアルペリフェラルインターフェース(「SPI」)バスの形態で提供することができる。
理解されるように、SPIバス13は、2つのマイクロコントローラー11、12の間の効果的な通信を可能にするために4つの論理信号、すなわち、SCLK(マスターから出力されるシリアルクロック)と、MOSI(マスター出力、スレーブ入力)と、MISO(マスター入力、スレーブ出力)と、SS(スレーブ選択)とを必要とする。したがって、各マイクロコントローラーは、SPI規格に完全に準拠した少なくとも4つのSPIモジュールを必要とする。Infineon Technologies AG社及びTexas Instruments
Inc.社から入手可能な上述のマイクロコントローラー11、12の例示のケースでは、第1のマイクロコントローラー11は、5つのキュー付きSPIモジュール(図2において14で概略的に示される)を有し、第2のマイクロコントローラー12は、図2における4つのマルチチャネルSPIモジュール(15で概略的に示される)を有する。第2のマイクロコントローラー12の4つのSPIモジュール15は、それゆえ、図示されるように第1のマイクロコントローラー11のそれぞれのSPIモジュール14にそれぞれ接続され、それによって、それらの2つのマイクロコントローラー間にIPC13がもたらされる。図示されるIPC13は、それゆえ、2つのマイクロコントローラー11、12の間に4つのSPI接続16を備える。
各マイクロコントローラー11、12は、デュプレックスモード及びシンプレックスモードにおける、製造業者が規定した最大達成可能SPI周波数を有する。理解されるように、シンプレックスモードにおける最大達成可能SPI周波数は、どの所与のマイクロコントローラーについても、デュプレックスモードにおける最大達成可能SPI周波数よりもかなり高い。第1のマイクロコントローラー11がAurix TC29xプロセッサであり、第2のマイクロコントローラーがXC5777Xプロセッサである具体例を挙げると、シンプレックスモードにおける規定された最大達成可能周波数は、それぞれ50MHz及び48MHzである。ただし、実世界のアプリケーションは、各マイクロコントローラーのSPI周辺内部回路機構に依存する幾つかの特定の電気特性を誘発し、したがって、これによって、実際の達成可能周波数は、好ましい第1のマイクロコントローラー11及び第2のマイクロコントローラー12のシンプレックスモードにおいてそれぞれ25MHz及び38MHzに低減される。フルデュプレックスモードは、最大達成可能周波数が15MHz未満の場合には、動作が不十分であることがわかっている。
最大達成可能周波数を制限することが知られているSPIタイミングは、MOSIデータ遅延、MOSIセットアップ時間、MOSIホールド時間、MISOデータ遅延、MISOセットアップ時間、MISOホールド時間、及びクロックジッターである。これらのタイミングは、SPI規格適合ポートを有するいずれのデバイスのSPI接続においても検討されるべきことであり、データ完全性は、SPIタイミングを完全に遵守することによって達成される。したがって、最大達成可能SPI周波数を求めることが必要である。
上記に示されるように、本発明の構成は、2つのマイクロコントローラー11、12の間の全ての双方向データ転送をシンプレックスモードで達成し、それによって、デュプレックスモードの使用をその相対的に不十分な性能に起因して完全に回避する。これには、第1のマイクロコントローラー11がマスターとして動作するとともに第2のマイクロコントローラー12がスレーブとして動作する第1のシンプレックス通信モードと、第2のマイクロコントローラー12がマスターとして動作するとともに第1のマイクロコントローラー11がスレーブとして動作する第2のシンプレックス通信モードとの間の動的な切り替えが必要とされる。この構成は、どの時点においても2つのSPIマスター及び2つのSPIスレーブが存在することを回避するために、これらの2つのモードの間で動的に選択及び切り替えを行うように構成される。これは、以下で説明されるように、モード選択手段を介して達成される。
各マイクロコントローラー11、12は、複数の一般に従来の汎用入力及び出力(GPIO)17を備える。第1のマイクロコントローラー11におけるGPIOのうちの少なくとも2つは、第2のマイクロコントローラー12におけるそれぞれのGPIOに直接接続され、それによって、2つのマイクロコントローラーの間の少なくとも2つのGPIO接続18、19が規定される。これらのGPIO接続18、19は、上述のモード選択手段の一部を形成する。GPIO接続のうちの一方18は、マイクロコントローラー間のシンプレックスデータ転送を確保するための適切な通信モードの選択、ひいては、いずれのマイクロコントローラー11、12がマスターとしての機能を果たし、いずれがスレーブとしての機能を果たすのかの選択をハンドシェイクするのに用いられる。他方のGPIO接続19は、マイクロコントローラー間のデータ送信の開始を同期させるのに用いられる。データ転送自体は、上記で説明したIPC13を介して行われる。
本発明は、2つのマイクロコントローラー11、12の間に2つのGPIO接続を有する一実施形態に関して上記で説明されているが、2つのマイクロコントローラー11、12の間に追加のGPIO接続を有する他の実施形態を提供することができることが想定されていると理解すべきである。そのような構成は、追加の機能を提供するのに用いることができる。例えば、第3のGPIO接続(図示せず)を、マイクロコントローラー間のデータの出力転送中に通信モードの変更を求める高優先度要求をトリガーするのに用いることができる。
各マイクロコントローラー11、12は、20及び21で概略的に示されるそれぞれのソフトウェアアプリケーションを実行するように構成される。第1のマイクロコントローラーにおけるソフトウェアアプリケーション20は、幾つかのタスクの中でも特に、第1のGPIO接続18を介してハンドシェイク信号を送信し、第2のGPIO接続19を介して2つのマイクロコントローラー間のデータの送信を同期させることによって、第1のマイクロコントローラー11がマスターとして動作するとともに第2のマイクロコントローラー12がスレーブとして動作する第1のシンプレックス通信モードを選択するように動作可能であるように構成される。同様に、第2のマイクロコントローラー12におけるソフトウェアアプリケーション21は、幾つかのタスクの中でも特に、第1のGPIO接続18を介してハンドシェイク信号を送信し、第2のGPIO接続19を介して2つのマイクロコントローラー間のデータの送信を同期させることによって、第2のマイクロコントローラー12がマスターとして動作するとともに第1のマイクロコントローラー11がスレーブとして動作する第2のシンプレックス通信モードを選択するように構成される。これらのソフトウェアは、いずれかの通信モードがユースケースにおいて選択をいつ必要とするのかを判断するように構成される。
上記で説明されたシンプレックス通信モードのいずれにおいても、2つのマイクロコントローラー11、12の間で交換されるデータは、4つのデータコンテナーに分割され、IPC13のそれぞれのSPI接続16を介して並列に転送される。各データコンテナーには巡回冗長検査が適用される。
したがって、理解されるように、上記で説明された構成は、データが、第1のマイクロコントローラー11から第2のマイクロコントローラー12に転送されているのか、又は第2のマイクロコントローラー12から第1のマイクロコントローラー11に転送されているのかにかかわらず、各マイクロコントローラー11、12のマスター/スレーブモード間で動的に切り替えを行うことによって、2つのマイクロコントローラー11、12の間でデータをシンプレックスモードで転送するように構成される。いずれのマイクロコントローラー11、12も、他方(スレーブ)のマイクロコントローラーにデータを転送するマスターとして動作しているときは常に、転送クロック機能を提供する。
2つのマイクロコントローラー11、12が、シンプレックスモードにおいて同じ達成可能データ転送周波数を有しない場合には、一方の方向における達成可能な最大転送周波数が、他方の方向における達成可能な最大転送周波数よりも大きくなる。例えば、第1のマイクロコントローラー11が25MHzの最大達成可能転送周波数を有し、第2のマイクロコントローラー12が38MHzのより高い最大達成可能転送周波数を有する例示の場合には、第1のシンプレックス通信モード(すなわち、第1のマイクロコントローラー11から第2のマイクロコントローラー12へのシンプレックス通信モード)における最大ライン転送周波数は25MHzとなり、第2のシンプレックスモード(すなわち、第2のマイクロコントローラー12から第1のマイクロコントローラー11へのシンプレックス通信モード)における最大ライン転送周波数は38MHzとなる。
電子制御システムは、好ましくは、システムの起動の際及びマイクロコントローラー間のデータの各転送の成功後に、マイクロコントローラー11、12のうちの一方がデフォルトでSPIマスターとなり、他方がデフォルトでSPIスレーブとなるデフォルト構成を有するように構成される。
本発明の電子制御システムは、2つのマイクロコントローラー間のデータの双方向転送の帯域幅が限られているという従来技術の問題を、データを双方の方向にシンプレックスモードで転送することを可能にしてデュプレックス通信が必要とされないようにすることによって解決する。これによって、2つのマイクロコントローラー11、12の間でいずれの方向にも100Mbpsを越える速度でデータを転送することができるシステムの構成が可能になることが見出された。
本明細書及び特許請求の範囲において使用されるときに、「備える("comprises" and "comprising")」という用語及びその変形は、規定された特徴、ステップ又は整数が含まれることを意味する。その用語は、他の特徴、ステップ又は整数の存在を除外するように解釈されるべきではない。
これまでの説明において、又は添付の特許請求の範囲において、又は添付の図面において開示される特徴は、必要に応じて、特定の形において表されるか、開示される機能を実行するための手段に関して表されるか、又は開示される結果を得るための方法若しくはプロセスに関して表され、その多様な形において本発明を実現するために、別々に、又はそのような特徴の任意の組み合わせにおいて利用される場合がある。
本発明は上記の例示的な実施形態に関連して説明されてきたが、本開示を与えられるときに、数多くの均等の変更形態及び変形形態が当業者には明らかになるであろう。したがって、これまでに記載された本発明の例示的な実施形態は、例示であると見なされ、限定するものと見なされるべきでない。本発明の趣旨及び範囲から逸脱することなく、説明された実施形態に対して種々の変更を加えることができる。

Claims (13)

  1. 第1のマイクロコントローラー(11)と、第2のマイクロコントローラー(12)と、該マイクロコントローラー(11、12)の間のデータ転送のためのプロセッサ間通信パス(13)とを備える車両安全電子制御システム(8)であって、
    前記第1のマイクロコントローラー(11)から前記第2のマイクロコントローラー(12)へのデータ転送について、前記第1のマイクロコントローラー(11)がマスターとして動作するとともに前記第2のマイクロコントローラー(12)がスレーブとして動作するプロセッサ間通信の第1のシンプレックスモードと、
    前記第2のマイクロコントローラー(12)から前記第1のマイクロコントローラー(11)へのデータ転送について、前記第2のマイクロコントローラー(12)がマスターとして動作するとともに前記第1のマイクロコントローラー(11)がスレーブとして動作するプロセッサ間通信の第2のシンプレックスモードと、
    前記第1のシンプレックスモードと前記第2のシンプレックスモードとの間で通信モードの選択及び切り替えを動的に行うように構成されるモード選択手段(18〜20)とを有し、
    該システムは、前記モード選択手段が、前記プロセッサ間通信パス(13)から分離して設けられた、前記マイクロコントローラー(11、12)の間を連結する第1及び第2の汎用入力/出力接続(18、19)を備え、
    前記第1の汎用入力/出力接続(18)は、前記通信モードの前記選択をハンドシェイクするために用いられ、
    前記第2の汎用入力/出力接続(19)は、前記マイクロコントローラー(11、12)の間の前記プロセッサ間通信パス(13)に沿ったデータ送信の開始を同期させるように構成されることを特徴とする、制御システム。
  2. 前記モード選択手段は、前記第1のシンプレックスモードに入るように動作可能な前記第1のマイクロコントローラー上のソフトウェアアプリケーション(20)と、前記第2のシンプレックスモードに入るように動作可能な前記第2のマイクロコントローラー上のソフトウェアアプリケーション(21)とを含む、請求項1に記載の制御システム。
  3. 前記システムの起動の際及び前記2つのマイクロコントローラー(11、12)の間のデータの各転送の成功後にデフォルトで前記第1のシンプレックスモードになるように構成される、請求項1又は2に記載の制御システム。
  4. 前記プロセッサ間通信パス(13)は、同期シリアル通信インターフェースの形態で提供される、請求項1〜3のいずれか1項に記載の制御システム。
  5. 前記同期シリアル通信インターフェースは、シリアルペリフェラルインターフェース(SPI)バスである、請求項4に記載の制御システム。
  6. 前記第1のシンプレックスモード及び前記第2のシンプレックスモードのそれぞれにおけるデータ転送を少なくとも100Mbpsの速度で可能にするように構成される、請求項1〜5のいずれか1項に記載の制御システム。
  7. 前記第1のシンプレックスモードにおけるプロセッサ間通信の最大データ転送周波数は、前記第2のシンプレックスモードにおける最大データ転送周波数と異なる、請求項1〜6のいずれか1項に記載の制御システム。
  8. 前記第1のシンプレックスモードにおけるプロセッサ間通信の最大データ転送周波数は、前記第2のシンプレックスモードにおける最大データ転送周波数よりも小さい、請求項7に記載の制御システム。
  9. 前記第1のマイクロコントローラー(11)は、安全マイクロコントローラーの形態を取り、前記第2のマイクロコントローラー(12)は、性能マイクロコントローラーの形態を取る、請求項1〜8のいずれか1項に記載の制御システム。
  10. 前記第1のマイクロコントローラー(11)は、ロックステップアーキテクチャを有し、前記第2のマイクロコントローラー(12)は、ロックステップアーキテクチャを有しない、請求項9に記載の制御システム。
  11. 前記第1のマイクロコントローラー(11)は、前記第1のシンプレックスモードにおける前記第2のマイクロコントローラー(12)へのデータの前記転送のためのクロック機能を提供するように構成され、前記第2のマイクロコントローラー(12)は、前記第2のシンプレックスモードにおける前記第1のマイクロコントローラー(11)へのデータの前記転送のためのクロック機能を提供するように構成される、請求項1〜10のいずれか1項に記載の制御システム。
  12. 集積電子制御ユニット(8)の形態で提供される、請求項1〜11のいずれか1項に記載の制御システム。
  13. 請求項1〜12のいずれか1項に記載の制御システム(8)を備える、自動車電子安全システム(1)。
JP2018515310A 2015-10-02 2016-09-29 車両安全電子制御システム Active JP6683806B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP15188252.9 2015-10-02
EP15188252.9A EP3151123B1 (en) 2015-10-02 2015-10-02 A vehicle safety electronic control system
PCT/EP2016/073365 WO2017055513A1 (en) 2015-10-02 2016-09-29 A vehicle safety electronic control system

Publications (3)

Publication Number Publication Date
JP2018531451A JP2018531451A (ja) 2018-10-25
JP2018531451A6 JP2018531451A6 (ja) 2018-12-13
JP6683806B2 true JP6683806B2 (ja) 2020-04-22

Family

ID=54329368

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018515310A Active JP6683806B2 (ja) 2015-10-02 2016-09-29 車両安全電子制御システム

Country Status (5)

Country Link
US (1) US10417153B2 (ja)
EP (1) EP3151123B1 (ja)
JP (1) JP6683806B2 (ja)
CN (1) CN108139959A (ja)
WO (1) WO2017055513A1 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3085596B1 (en) * 2015-04-20 2017-11-29 Autoliv Development AB A vehicle safety electronic control system
US10606764B1 (en) * 2017-10-02 2020-03-31 Northrop Grumman Systems Corporation Fault-tolerant embedded root of trust using lockstep processor cores on an FPGA
US10802929B2 (en) 2018-01-03 2020-10-13 Tesla, Inc. Parallel processing system runtime state reload
US11379297B2 (en) * 2019-05-07 2022-07-05 Nxp Usa, Inc. System and method to provide safety partition for automotive system-on-a-chip
EP3736716B1 (en) * 2019-05-10 2021-12-22 Aptiv Technologies Limited Method for protecting an electronic control unit
US11289893B2 (en) 2019-12-18 2022-03-29 Semiconductor Components Industries, Llc Devices, systems and methods for avoiding fault propagation in safety systems
US11679731B2 (en) * 2020-06-04 2023-06-20 Veoneer Us, Llc Remote sensor communication adaptive synchronization control for restraint control system
US11946972B2 (en) 2020-08-06 2024-04-02 Semiconductor Components Industries, Llc Monitoring of interconnect lines
CN112600787B (zh) * 2020-11-16 2023-07-07 江苏徐工工程机械研究院有限公司 一种通信系统及通信方法

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5053964A (en) * 1989-07-17 1991-10-01 Utdc, Inc. On-board integrated vehicle control and communication system
US5023778A (en) * 1990-03-23 1991-06-11 General Motors Corporation Interprocessor communication method
US5481456A (en) * 1990-09-04 1996-01-02 Fuji Jukogyo Kabushiki Kaisha Electronic control system having master/slave CPUs for a motor vehicle
JPH07111670B2 (ja) * 1991-03-12 1995-11-29 インターナショナル・ビジネス・マシーンズ・コーポレイション コントローラ、通信インターフェース、およびデータ伝送を制御する方法
US5475818A (en) 1992-03-18 1995-12-12 Aeg Transportation Systems, Inc. Communications controller central processing unit board
US5481675A (en) * 1992-05-12 1996-01-02 International Business Machines Corporation Asynchronous serial communication system for delaying with software dwell time a receiving computer's acknowledgement in order for the transmitting computer to see the acknowledgement
JPH0685874A (ja) * 1992-09-02 1994-03-25 Honda Motor Co Ltd デ−タ通信システム
JP3369035B2 (ja) * 1995-11-29 2003-01-20 富士通株式会社 マイクロコントローラ間の通信制御方式
JP3592547B2 (ja) * 1998-09-04 2004-11-24 株式会社ルネサステクノロジ 情報処理装置および信号転送方法
JP3626741B2 (ja) * 2002-04-16 2005-03-09 オリオン電機株式会社 データ転送システム
US20060107116A1 (en) * 2004-10-25 2006-05-18 Michaelis Scott L System and method for reestablishing lockstep for a processor module for which loss of lockstep is detected
US7684026B2 (en) * 2007-07-27 2010-03-23 Snap-On Incorporated Fault tolerant wheel alignment head and system
US20090089473A1 (en) * 2007-10-01 2009-04-02 Wangping He Data transmission system and method thereof
CN101339432B (zh) * 2008-08-19 2010-09-29 上海汽车集团股份有限公司 一种整车控制器监控系统及其实现方法
JP5541246B2 (ja) 2011-07-21 2014-07-09 株式会社デンソー 電子制御ユニット
DE102012012521A1 (de) * 2012-06-26 2014-01-02 Inter Control Hermann Köhler Elektrik GmbH & Co. KG Vorrichtung und Verfahren für eine sicherheitskritische Anwendung
US9118374B2 (en) * 2013-11-18 2015-08-25 Silicon Laboratories Inc. Integrated circuit with inter-chip link for boot-up
CN104808572A (zh) * 2015-03-13 2015-07-29 沈阳中科博微自动化技术有限公司 基于功能安全的高完整性plc控制器

Also Published As

Publication number Publication date
JP2018531451A (ja) 2018-10-25
CN108139959A (zh) 2018-06-08
WO2017055513A1 (en) 2017-04-06
EP3151123A1 (en) 2017-04-05
EP3151123B1 (en) 2018-04-11
US10417153B2 (en) 2019-09-17
US20180285296A1 (en) 2018-10-04

Similar Documents

Publication Publication Date Title
JP6683806B2 (ja) 車両安全電子制御システム
JP2018531451A6 (ja) 車両安全電子制御システム
US10284387B2 (en) Hybrid intra-vehicle communication network
US20180105183A1 (en) A vehicle safety electronic control system
KR20200115594A (ko) 차량 탑재 제어 유닛, fpga 기반 차량 자동 주행 방법 및 장치
US11378954B2 (en) Multi-processor SoC system
US9819532B2 (en) Multi-service node management system, device and method
US10776295B2 (en) Vehicle safety electronic control system
KR101720815B1 (ko) 2개의 마스터와 하나 이상의 슬레이브 사이에서 신호를 전송하기 위한 전기 회로
CN111295599A (zh) 在汽车环境中广播传感器输出的方法和系统
KR20130129388A (ko) 프로세서 모듈들 사이에서 데이터를 송신하는 방법 및 회로 배열
KR101443276B1 (ko) 차량용 이더넷을 위한 제어기 및 그 제어방법
JP7059899B2 (ja) ネットワークシステム
US10958472B2 (en) Direct access to bus signals in a motor vehicle
US11308003B2 (en) Communication device and method for communication between two control devices in a vehicle
EP3153970A1 (en) A vehicle safety electronic control system
JP6939482B2 (ja) モータ制御装置、モータ制御装置の制御方法、制御プログラム、および記録媒体
JP6979630B2 (ja) 監視装置、監視方法及びプログラム
JP7243544B2 (ja) 制御装置及び通信方法
JP4125178B2 (ja) 動的再構成デバイスを用いた車両機能担保システム
CN117104156A (zh) 一种车辆控制电路、车辆主机及车辆
JP6812765B2 (ja) 電子制御装置
JP2019046011A (ja) 通信機器、通信システム
JP2017095050A (ja) 制御装置及び制御方法
JP2003029866A (ja) クロック同期型バス用ボード

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180423

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190220

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190319

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20190416

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20190416

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20190617

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190706

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191204

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200302

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200325

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200326

R150 Certificate of patent or registration of utility model

Ref document number: 6683806

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350