KR101991596B1 - 안전-필수 자동차 시스템을 위한 마이크로컨트롤러 시스템 및 방법 및 그의 이용 - Google Patents

안전-필수 자동차 시스템을 위한 마이크로컨트롤러 시스템 및 방법 및 그의 이용 Download PDF

Info

Publication number
KR101991596B1
KR101991596B1 KR1020177004551A KR20177004551A KR101991596B1 KR 101991596 B1 KR101991596 B1 KR 101991596B1 KR 1020177004551 A KR1020177004551 A KR 1020177004551A KR 20177004551 A KR20177004551 A KR 20177004551A KR 101991596 B1 KR101991596 B1 KR 101991596B1
Authority
KR
South Korea
Prior art keywords
subsystems
subsystem
local resources
microcontroller
resources
Prior art date
Application number
KR1020177004551A
Other languages
English (en)
Other versions
KR20170033381A (ko
Inventor
다니엘 바우마이슈터
아드리안 트라스코프
Original Assignee
콘티넨탈 테베스 아게 운트 코. 오하게
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 콘티넨탈 테베스 아게 운트 코. 오하게 filed Critical 콘티넨탈 테베스 아게 운트 코. 오하게
Publication of KR20170033381A publication Critical patent/KR20170033381A/ko
Application granted granted Critical
Publication of KR101991596B1 publication Critical patent/KR101991596B1/ko

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/023Avoiding failures by using redundant parts
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0225Failure correction strategy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2035Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant without idle spare hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2038Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant with a single idle spare processing component

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Hardware Redundancy (AREA)
  • Debugging And Monitoring (AREA)

Abstract

본 발명은, 공통 칩 (1) 상에 배열되는 복수의 서브시스템들 (A, B) 을 포함하는 안전-필수 자동차 시스템을 위한 마이크로컨트롤러 시스템으로서, 상기 서브시스템들 중 적어도 하나는 하나보다 많은 채널을 갖고, 상기 마이크로컨트롤러 시스템은 복수의 동작 모드들을 수행하도록 설계되는 것을 특징으로 하는 마이크로컨트롤러 시스템에 관한 것이다. 서브시스템들 (A, B) 은, 제 1 동작 모드에서, 서로 독립적으로 동작되고 온칩 인터페이스 (A27, B27) 를 통해 서로 통신한다. 제 2 동작 모드에서, 서브시스템들 (A, B) 중 적어도 하나는 데이터 송신 수단 (A25, B26, A26, B26) 에 의해 그리고 적어도 하나의 다른 서브 시스템 (A, B) 의 비로컬 리소스들 (A13-1, B13-1,..., A18) 를 이용하여 동작되거나 및/또는 서브 시스템 (A, B) 중 적어도 하나가 동작되고 적어도 하나의 다른 서브시스템 (A, B) 은 비활성이다. 본 발명은 또한 그러한 마이크로컨트롤러 시스템을 동작시키는 방법 및 그의 이용에 관한 것이다.

Description

안전-필수 자동차 시스템을 위한 마이크로컨트롤러 시스템 및 방법 및 그의 이용{MICROCONTROLLER SYSTEM AND METHOD FOR SAFETY-CRITICAL MOTOR VEHICLE SYSTEMS AND THE USE THEREOF}
본 발명은 청구항 1의 전제부에 따른 안전-필수 자동차 시스템을 위한 마이크로컨트롤러 시스템, 청구항 6의 전제부에 따른 안전-필수 자동차 시스템을 위한 마이크로컨트롤러 시스템을 동작시키는 방법, 및 그의 이용에 관한 것이다.
자율 주행 (automated driving) 에서의 애플리케이션에 요구되는 것과 같이 고가용성 (highly available) 또는 고장안전 (failsafe) 차량 시스템은 개개의 자동차 시스템의, 그리고 여기서 특히 각각의 마이크로컨트롤러로서, 상기 마이크로컨트롤러에 의해 동작되는 차량 시스템의 기본 소프트웨어를 실행하는, 상기 각각의 마이크로컨트롤러의 전자 컴포넌트들간에 가용성 및 자유로운 상호작용의 요구를 증가시킨다. 따라서 이러한 차량 시스템의 경우, 이에 대응하여 가능한 가장 낮은 고장 확률을 목표로 한다. 고가용성 또는 고장안전 차량 시스템의 일례는 자동차의 브레이크 시스템이다. 그러한 시스템의 고장은 도로 사용자에게 위험을 초래할 수 있는데, 이런 이유로 이 시스템의 기능적 능력은, 예를 들어 결함이 발생할 때 폴백 레벨 (fallback level) 을 작동시키기 위해 연속적으로 모니터링되어야 한다. 결함 허용 리던던시 (fault-tolerant redundancy) 개념은 전적으로 전자적 폴백 레벨을 갖는 자동차 시스템에 각별한 정도로 중요하다.
고장 안전성을 증가시키기 위해, DE 32 34 637 C2 로부터, 대칭적인 리던던시로 지칭될 수도 있는, 동일한 소프트웨어로 2 개의 프로세서를 동작시키는 것이 알려져 있다. DE 41 37 124 A1 은 비대칭 리던던시를 갖는 마이크로프로세서 시스템을 설명하며, 여기서 2개의 프로세서는 상이한 소프트웨어로 동작된다.
동기적으로 동작하는 2개의 프로세서 코어가 동일한 입력 정보를 포함하고 동일한 프로그램을 처리하는 하나 이상의 칩 상에 제공되는 코어 리던던시를 갖는 다른 시스템이 DE 195 29 434 A1에 설명되어 있다. 2 개의 프로세서 코어는 여기에서 별개의 버스 시스템을 통해 입출력 유닛뿐만 아니라 판독 전용 및 랜덤 액세스 메모리에 접속된다. 버스 시스템은, 2개의 프로세서 코어가 체크 데이터 및 명령을 포함한 사용가능한 데이터의 공통 판독 및 처리를 수행할 수 있게 하는 드라이버 스테이지 또는 바이패스에 의해 서로 접속된다. 2개의 프로세서 코어 중 하나만이 완전한 (fully fledged) 판독 전용 및 랜덤 액세스 메모리에 (직접) 접속되는 한편, 제 2 프로세서 코어의 메모리 용량은, 체크 데이터 발생기와 함께, 체크 데이터 (패리티 모니터링) 을 위한 메모리 위치로 제한된다. 모든 데이터에의 액세스는 바이패스를 통한다. 결과적으로, 2개의 프로세서 코어는 각각 전체 프로그램을 처리할 수 있다.
EP 1 673 667 B1은, 안전-필수 (safety-critical) 애플리케이션들을 위한 코어 리던던시를 갖는 마이크로컨트롤러 시스템을 설명하고, 이 마이크로컨트롤러 시스템에서 고성능 컨슈머들을 구동하기 위한 디지털 회로 컴포넌트들 및 아날로그 회로 컴포넌트들이 공통 칩 또는 칩 캐리어 상에 수용되고 격리된 지역들에 의해 서로 보호된다.
안전-필수 자동차 시스템에 대해 그 자체로 알려진 마이크로컨트롤러 (MCU) 는 프로그래밍 모델의 견지에서, 단일 코어 시스템이지만, 종종 병렬 소프트웨어 구현을 성취하기 위해 복수의 프로세서 코어가 물리적으로 존재한다. 그러나, 예를 들어, 메모리 리소스 및/또는 주변 리소스와 같은 리소스는 종종 다중적으로 구체화되지 않고 프로세서 코어에 의해 공동으로 사용된다. 이와 대조적으로, 다중 칩 마이크로컨트롤러는 전체 리소스를 다중적으로 이용가능하게 만든다. 이 설명에 따르면, 칩은 개별 반도체 기판 상에 수용된 집적 회로로 이해된다.
멀티 코어 마이크로컨트롤러의 공유 리소스의 중요한 단점은, 이러한 리소스를 공유하는 코어는 항상 영향을 받기 때문에 예를 들어, 랜덤 하드웨어 결함과 같은 결함에 취약하다는 것이다. 따라서 다중적으로 현 서브시스템들 (코어들) 의 독립성은 상기 시스템에서의 결함에 대해서만 존재한다. 따라서 멀티코어 마이크로컨트롤러의 고장 확률은 본질적으로 공유 리소스에서의 결함에 의해 결정되며, 예를 들어 전체 고장률의 40 % 규모의 정도 (order of magnitude) 이다.
그러나, 이러한 다중 구현으로 인해, 다중 칩 시스템은, 특히, 오늘날 표준에 의해, 예를 들어, 4 MB보다 큰 판독 전용 메모리 및 256 kB보다 큰 주 메모리를 갖는 큰 프로그램 및 데이터 메모리들에 대한 경우인, 멀티 코어 시스템과 비교하여 더 비싸다. 따라서, 고가용성 시스템을 위한 복수의 칩의 이용은, 특히 더 많은 수의 집적 회로 및 기본 회로 캐리어의 증가된 복잡성이 기여하는, 비용의 현저한 증가를 구성한다.
집적 회로의 큰 생산 수효로 인해, 모든 컴포넌트들에 대한 엄청난 비용 압박이 있다. 그러나, 특히 안전을 위해 설계된 기능은 비용 절감 조치에 의해 제한되지 않는다.
따라서, 본 발명의 목적은 안전-필수 자동차 시스템을 위한 마이크로 컨트롤러 시스템의 적어도 계속적으로 높은 수준의 이용 가능성을 허용하고 동시에 가능한 한 비용 효율적으로 구현될 수 있는 수단을 가능하게 하는 것이다.
이 목적은 청구항 1에 따른 마이크로컨트롤러 시스템 및 청구항 6에 따른 방법에 의해 달성된다.
본 발명은, 공통 칩 상에 배열되는 복수의 서브시스템들을 포함하는 안전-필수 자동차 시스템을 위한 마이크로컨트롤러 시스템으로서, 상기 서브시스템들 중 적어도 하나는 다중 채널 설계로 되어 있고, 마이크로컨트롤러 시스템은 또한, 복수의 동작 모드들을 수행하도록 구성되고, 제 1 동작 모드에서 상기 서브시스템들은 서로 독립적으로 동작하고 칩 내부 인터페이스에 의해 서로 통신하고, 제 2 동작 모드에서 상기 서브시스템들 중 적어도 하나는 다른 서브시스템들 중 적어도 하나의 서브시스템의 비로컬 리소스들을 추가로 사용하여 제공된 데이터 송신 수단에 의해 동작되거나 및/또는 상기 서브시스템들 중 적어도 하나가 동작되고 상기 서브시스템들 중 적어도 다른 하나는 비활성이라는 사실에 의해 구분되는 마이크로컨트롤러 시스템을 기술한다.
본 발명에 따른 마이크로컨트롤러 시스템 및 본 발명에 따른 방법은 유리하게는, 안전-필수 자동차 시스템을 위한 마이크로컨트롤러 시스템의 가능한 구성 (configuration) 들의 수의 감소를 달성하고, 적어도 일정한 가용성이 또한 구현될 수 있는 공통 칩 상에서 상기 구성들을 결합한다. 현대 반도체 기술 노드 - 현재 40nm 미만의 최소 구조 크기 달성 - 의 집적 회로의 마스크 생산을 위한 비용 상승의 배경에서, 이것은 1회성의 개발 비용 (one-off development cost) 의 감소를 이루고 이들 집적 회로 또는 마이크로컨트롤러 시스템들의 전체 수를 증가시키는데, 왜냐하면 그것들은 매우 광범위하게 다양한 시스템들에 사용될 수 있기 때문이다. 이러한 이점들로 인하여, 제조 비용의 상당한 감소가 가능하다.
본 발명의 의미에서의 서브시스템은 바람직하게는 별개의 칩 상에 수용되야할 필요가 없는 마이크로컨트롤러, 또는, 다른 말로, 현대 자동차 시스템을 동작하도록 구성된 컴퓨터 시스템이다. 서브시스템은 디지털뿐만 아니라 바람직하게는 아날로그 회로 부품을 포함할 수 있다. 다중 채널 시스템들은, 그 자체로 공지된 방식으로, 적어도 2개의 별개의 채널을 갖고, 그 결과로서 트러블슈팅 (troubleshooting) 이 증가되고 기본 시스템의 가용성이 향상된다. 이러한 맥락에서, 예를 들어, 리던던트 및 적절하다면, 다양한 하드웨어 구성 및/또는 소프트웨어 구성, 예를 들어, 상이하게 프로그램된 알고리즘을 갖는 복수의 프로세서가 알려져 있고, 여기서 각각의 결과가 비교된다. 결과적으로, 결함의 경우에, 안전-필수 상황들을 피할 수 있다.
비활성이라는 용어는 바람직하게는, 서브시스템이 프로그램의 임의의 독립적인 실행을 수행하지 않는 동작 상태로서 본 발명의 의미 내에서 이해되어야 한다. 이것은, 특히 I/O 통신이 일어나지 않는 휴지 상태 (quiescent state) 또는 비활성화 상태 (deactivated state) 이다. 따라서, 마이크로컨트롤러 시스템에 의한 보다 낮은 에너지 소비 측면에서의 요건들이 유리하게 충족될 수 있다.
하나의 바람직한 실시 형태에 따르면, 서브시스템들은, 그들에 각각 할당된 별개의 전압 공급부 및/또는 시스템 클록 공급부를 갖는다. 결과적으로, 서브시스템들의 독립성 및 마이크로컨트롤러 시스템의 고장 안전성이 유리하게 증가된다.
부가적으로 사용된 비로컬 리소스는 바람직하게는 적어도 하나의 다른 서브시스템의 메모리 리소스 및/또는 주변 리소스이며, 이들 리소스는 비로컬 리소스를 추가로 사용하는 적어도 하나의 서브시스템의 어드레스 영역으로 통합된다. 따라서 비로컬 리소스를 추가로 사용하는 서브시스템이 로컬 리소스와 비슷한 방식으로 비로컬 리소스에 액세스할 수 있으므로, 특히 이용 요건들에 대한 간단한 적응화를 기반으로 또는 연속적으로, 사용 범위 확장이 가능하다는 것이 이점이다.
마이크로컨트롤러 시스템의 하나의 바람직한 실시 형태에 따르면, 서브시스템들은 전기적 배리어에 의해 서로 격리된다. 따라서 전기적 누화는 공통 칩에 의해 유리하게 회피될 수 있다.
바람직하게는, 서브시스템들은 상이한 시스템 클록 도메인을 가지며, 비로컬 리소스와의 통신 동안 하나의 서브시스템은 동기화 유닛에 의해 다른 서브시스템과 동기화된다.
본 발명은 또한 안전-필수 자동차 시스템을 위한 마이크로컨트롤러 시스템을 동작시키는 방법으로서, 상기 마이크로컨트롤러 시스템은 공통 칩 상에 배열된 복수의 서브시스템들을 가지며, 상기 서브시스템들 중 적어도 하나는 다중 채널 방식으로 동작되고, 서브시스템들은 제 1 동작 모드에서 서로 독립적으로 동작하고, 칩 내부 인터페이스에 의해 서로 통신하며, 제 2 동작 모드에서 상기 서브시스템들 중 적어도 하나는 다른 서브시스템들 중 적어도 하나의 서브시스템의 비로컬 리소스들을 추가적으로 이용하여 동작되거나, 및/또는 서브시스템 중 적어도 하나가 동작되며, 상기 서브시스템 중 적어도 다른 하나는 비활성인, 마이크로컨트롤러 시스템을 동작시키는 방법을 기술한다.
본 발명에 따른 방법의 경우, 본질적으로 동일한 이점이 본 발명에 따른 마이크로컨트롤러 시스템에 대해 이미 나타낸 바와 같이 발생한다.
하나의 바람직한 실시 형태에 따르면, 서브시스템들은, 그들에 각각 할당된 별개의 전압 공급부 및/또는 시스템 클록 공급부에 의해 동작된다
다른 서브시스템들 중 하나 서브시스템의 비로컬 리소스를 추가적으로 사용하기 위해, 상기 리소스는 비로컬 리소스를 추가로 사용하는 적어도 하나의 서브시스템의 어드레스 영역으로 통합된다.
다른 서브시스템들 중 적어도 하나의 서브시스템의 비로컬 리소스에의 상이한 액세스 시간은, 특히 비로컬 리소스를 부가적으로 사용하는 서브시스템의 소프트웨어 파티셔닝에서 고려되는 것이 바람직하다.
본 발명은 또한 안전-필수 자동차 시스템, 특히 자동차 브레이크 시스템에서의 본 발명에 따른 마이크로컨트롤러 시스템 및/또는 본 발명에 따른 방법의 이용에 관한 것이다.
추가의 바람직한 실시 형태들은 도 1을 참조하여 예시적인 실시 형태의 다음 설명에서 찾을 수 있다.
기본적인 예시에서:
도 1은 본 발명에 따른 마이크로컨트롤러 시스템의 예시적인 실시 형태를 도시한다.
도 1 및 예시적인 실시 형태의 설명에서, 본 발명을 이해하는데 필수적인 컴포넌트들에만 세부 사항이 주어져 있다.
도 1은 본 발명에 따른 마이크로컨트롤러 시스템의 예시적인 실시 형태를 도시하고, 이것은 단일 칩 또는 실리콘 기판 상의 멀티 코어 시스템과 다중 칩 시스템의 조합으로서 구현된다. 후자는 이 문맥에서 서브시스템 (A) 및 서브시스템 (B) 을 포함하고 이것들은 각각 단일 코어 시스템 또는 멀티 코어 시스템으로서 구현될 수 있고, 공통 실리콘 기판으로 인한 결합과는 별도로, 물리적으로 분리되고, 별개의 전압 공급부 (A11 , B11) 및 시스템 클럭 공급부 (A12, B12) 를 갖는다. 기능적 안전성을 향상시키기 위해, 2개의 서브시스템 (A 및 B) 는, 예를 들어 리던던트 코어 (1A, 2A 및 1B, 2B) 그리고 메모리 버스 (A13-1, A13-2, B13-1, B13-2), RAM 메모리 (A14-1, A14-2, B14-1, B14-2) 및 비교기 유닛 (A15-1, A15-2, B15-1, B15-2) 를 갖는 2채널 안전 아키텍처를 구현한다. 또한, 서브시스템 (A 및 B) 의 각각은 적어도 하나의 디버그 모듈 (A9, B9), 적어도 하나의 비휘발성 메모리 (A18, B18), 주변 인터페이스 (A17-1, A17-2, B17-1, B17-2) 및 주변 인터페이스 (A17-1, A17-2, B17-1, B17-2) 를 접속시키기 위한 주변 버스 (A16-1, A16-2, B16-1, B16-2) 를 포함한다.
물리적 구현 (포지셔닝 및 라우팅) 에서, 서브시스템 (A 및 B)는 마치 독립형 회로인 것처럼 설계된다. 서브시스템 (A 및 B) 은 각각 그리고 추가적으로, 특히 주위 기판과 비교하여 높은 임피던스로 구체화되고, 예를 들어, 과전압, ESD (electrostatic voltage) 및/또는 과부하와 같은 장애 (disruption) 에 대한 격리를 제공하는 수단의 역할을 하는 전기적 배리어들 (A10, B10, AB10) 에 의해 공동으로 둘러싸여진다. 따라서, 서브시스템들 중 하나에서 발생하는 장애는 국부적으로 제한되고 다른 서브시스템으로 전파되거나 또는 칩 (1) 상의 다른 기능 어셈블리 (도시되지 않음) 의 장애로부터 서브시스템 (A, B) 상으로 전파될 수 없다. 특히, 서브시스템 (A) 와 서브시스템 (B) 사이의 영역에서는, 2개의 별개의 배리어들 (A10, B10) 대신 딱 하나의 배리어를 제공할 수도 있다. 서브시스템들 (A, B) 간의 통신을 구현하는 전기적 리드들은 배리어 (A10, B10) 를 통해 그리고 그 너머로 멀리 라우팅되고, 이들 리드들에서 발생할 수 있는 안전성에 관한 제약을 피하기 위해, 버퍼 (A24, B24) 및/또는 ESD 보호 구조가 제공된다. 칩 (1) 상의 다른 컴포넌트와 통신을 수행하기 위한 서브시스템으로서 작용하는 신호는 또한, 예를 들어 이하에 더 설명되는 칩 내부 인터페이스 (A27, B27) 및 버퍼 (A24, B24) 에 대해 구현되는 바와 같은 칩 내부 드라이버를 통해 라우팅될 수 있다.
이 예시적인 실시 형태에 따르면, 마이크로컨트롤러 시스템의 3가지 상이한 동작 모드가 제공된다. 제 1 동작 모드는 다중 칩 동작을 구현하며, 여기서 서로 독립적인 2 개의 서브시스템 (A 및 B) 이 작동되고 전용 칩 내부 인터페이스 (A27, B27) 를 통해 서로 통신한다. 특히 이 제 1 동작 모드에서, 서브시스템들 (A 및 B) 을 모니터링하기 위해, 각각의 서브시스템들은 다중 칩 모니터링 디바이스 (A29, B29) ("감시 장치") (watchdog) 를 갖는다.
비로컬 메모리 리소스 및 주변 리소스를 사용하는 멀티-코어 동작은 제 2 동작 모드에 따라 발생하며, 여기서 서브시스템 (예를 들어, A) 는 다른 서브시스템 (예를 들어, B) 의 메모리 리소스 (A14-1, A14-2, A18, B14-1, B14-2, B18) 및/또는 주변 리소스 (A16-1, A16-2, B16-1, B16-2) 에 액세스한다. 액세스는 바람직하게는 서브시스템 (B)의 각각의 메모리 버스 (A13-1, A13-2, B13-1, B13-2) 및 주변 버스 (A16-1, A16-2, B16-1, B16-2) 를 통해 여기서 일어난다. 메모리 액세스 동작에서, 대안적으로, 예를 들어, 이중 액세스를 갖는 메모리가 또한 제공될 수 있다. 리소스들이 이용가능하게 되는 (이 예시적인 실시 형태 서브시스템 (B) 에 따른) 서브시스템은 소프트웨어 자체를 - 단지 노출된 리소스를 사용하지 않고서 - 구현할 수 있거나 또는 비활성일 수 있다.
따라서 서브시스템에서 장애의 경우에, 다른 서브시스템에 아무런 반응이 없다. 메모리 확장 유닛 (A25, B25) 은 제 2 동작 모드에서 서브시스템 (B) 의 추가 메모리 리소스를 서브시스템 (A) 에 이용 가능하게 하고, 따라서 서브시스템 (A) 의 로컬 메모리 (A14-1, A14-2, A18) 을 서브시스템 (B) 의 전체 메모리 리소스 (B14-1, B14-2, B18) 또는 이의 부분으로 확장시키는 역할을 한다. 이러한 추가 메모리 모듈에 대한 상대적으로 큰 물리적 리드 길이로 인해, 로컬 메모리에 비해 상대적으로 느린 액세스 시간이 있다. 이 사실은 소프트웨어 파티셔닝 (소/대 메모리 액세스 레이턴시 시간의 차별화) 에서 고려된다.
주변 확장 유닛 (A26 및 B26) 은 제 2 동작 모드에서 서브시스템 (B) 의 추가 주변 리소스를 서브시스템 (A) 에 이용 가능하게 하고, 따라서 주변 인터페이스의 범위를 확장시키는 역할을 한다. 이러한 추가 주변 모듈에 대한 상대적으로 큰 물리적 리드 길이 때문에, 로컬적으로 이용가능한 주변 리소스에 비해 액세스 시간이 느려진다. 서브시스템 (A) 의 주변 확장 유닛 (A26) 은 여기에서 각각의 주변 인터페이스 (A17-1, A17-2) 를 서브시스템 (A) 의 어드레스 영역으로 통합하고, 그 결과 후자는 소프트웨어 측면에서 로컬 주변 인터페이스와 같이 동작될 수 있다. 제 2 동작 모드는 또한 여기서 반대의 경우, 구체적으로는 서브시스템 (B) 가 서브시스템 (A) 의 메모리 리소스 및/또는 주변 리소스에 액세스하는 것을 포함한다.
서브시스템들 (A 및 B) 이 독립적인 시스템 클록 공급 디바이스 (A12, B12) 를 사용하기 때문에 - 따라서 상이한 시스템 클럭 도메인들이 서브시스템들 (A 및 B) 에 존재한다 - 이들 신호들의 대응하는 동기화가, 특히 제 2 동작 모드에서, 하나의 서브시스템으로부터 다른 서브시스템으로의 전환 ("클럭 도메인 교차") 시 수행되어야 한다. 이를 위해, 메모리 유닛 (A25, B25) 및 주변 확장 유닛 (A26, B26) 의 통신 경로에 동기화 유닛 (A28, B28) 이 제공된다.
제 3 동작 모드는, 예를 들어, 동시에 로컬 메모리 리소스 및 주변 리소스, 즉 상기 서브시스템 (A) 상에 배열된 리소스를 사용하여 서브시스템 (A) 만이 작동되는 멀티 코어 동작을 나타낸다. 이 모드에 따르면, 서브시스템 (B) 는 휴지 상태에 있거나 또는 비활성화된다.
또한, 각각의 서브시스템 (A, B) 은 그의 에너지 공급 또는 전압 공급을 모니터링하기 위한 디바이스 (A30, B30) 를 포함하며, 하나 이상의 미리 정의된 제한 값보다 큰 설정 값으로부터의 편차가 있는 경우, 각각의 서브시스템은 안전 상태로 변경된다. 각각의 서브시스템 (A 및 B) 은 시스템 클록을 모니터링하기 위한 디바이스 (A31, B31) 를 추가적으로 포함하고, 하나 이상의 미리 정의된 제한 값보다 큰 기준 값으로부터의 편차가 있는 경우, 각각의 서브시스템은 또한 안전 상태로 변경된다.

Claims (10)

  1. 안전-필수 자동차 시스템을 위한 마이크로컨트롤러 시스템으로서, 상기 마이크로컨트롤러 시스템은:
    공통 칩;
    상기 공통 칩 상에 배열되는 제 1 및 제 2 서브시스템들;
    을 포함하고,
    상기 제 1 또는 제 2 서브시스템은 다중 채널 설계를 포함하며, 각각의 서브시스템은:
    칩 내부 인터페이스; 및
    로컬 리소스들;
    을 포함하고,
    상기 마이크로컨트롤러의 제 1 동작 모드에서, 상기 제 1 및 제 2 서브시스템들은 서로 독립적으로 동작하고 상기 칩 내부 인터페이스를 거쳐 서로 통신하고, 그리고
    상기 마이크로컨트롤러의 제 2 동작 모드에서, 상기 제 1 서브시스템은 상기 제 2 서브시스템의 상기 로컬 리소스들을 나타내는 비로컬 리소스들을 사용하기 위해 상기 제 2 서브시스템에 데이터를 송신하며, 상기 제 1 서브시스템은 동작되고 상기 제 2 서브시스템은 상기 제 2 서브시스템과 관련된 상기 로컬 리소스들을 사용할 수 없는, 마이크로컨트롤러 시스템.
  2. 제 1 항에 있어서,
    상기 제 1 및 제 2 서브시스템들은 상기 제 1 및 제 2 서브시스템들에 각각 할당되는 별개의 전압 공급부 및 별개의 시스템 클록 공급부를 갖는, 마이크로컨트롤러 시스템.
  3. 제 1 항 또는 제 2 항에 있어서,
    추가적으로 사용된 상기 비로컬 리소스들은 상기 적어도 하나의 다른 서브시스템의 메모리 리소스 및/또는 주변 리소스이며, 상기 메모리 리소스 및 상기 주변 리소스는 상기 메모리 리소스 및 상기 주변 비로컬 리소스들을 추가로 사용하는 상기 제 1 서브시스템의 어드레스 영역으로 통합되는, 마이크로컨트롤러 시스템.
  4. 제 1 항 또는 제 2 항에 있어서,
    상기 제 1 및 제 2 서브시스템들은 전기적 배리어에 의해 서로 격리되는, 마이크로컨트롤러 시스템.
  5. 제 1 항 또는 제 2 항에 있어서,
    상기 제 1 및 제 2 서브시스템들은 상이한 시스템 클록 도메인들을 갖고, 상기 제 2 동작 모드에서 상기 비로컬 리소스들과의 통신 동안, 하나의 서브시스템은 동기화 유닛들을 이용하여 다른 서브시스템과 동기화되는, 마이크로컨트롤러 시스템.
  6. 안전-필수 자동차 시스템을 위한 마이크로컨트롤러 시스템을 동작시키는 방법으로서,
    공통 칩을 제공하는 단계;
    상기 공통 칩 상에 배열된 복수의 서브시스템들을 제공하는 단계로서, 상기 서브시스템들 중 적어도 하나는 다중 채널 방식으로 동작되는, 상기 배열된 복수의 서브시스템들을 제공하는 단계;
    제 1 동작 모드에서, 상기 서브시스템들을 서로 독립적으로 동작시키는 단계로서, 상기 서브시스템들은 칩 내부 인터페이스에 의해 서로 통신하는, 상기 서브시스템들을 서로 독립적으로 동작시키는 단계;
    제 2 동작 모드에서, 상기 서브시스템들 중 적어도 하나를 동작시키는 단계로서, 상기 서브시스템들 중 적어도 다른 하나의 비로컬 리소스들을 추가적으로 이용하여 상기 서브시스템들 중 적어도 하나를 동작시키고, 그리고 상기 서브시스템들 중 적어도 하나가 동작되며 상기 서브시스템들 중 적어도 상기 다른 하나는 상기 서브시스템들 중 적어도 상기 다른 하나의 상기 비로컬 리소스들을 사용할 수 없는, 상기 서브시스템들 중 적어도 하나를 동작시키는 단계를 포함하는, 마이크로컨트롤러 시스템을 동작시키는 방법.
  7. 제 6 항에 있어서,
    상기 서브시스템들에 각각 할당되는 별개의 전압 공급부 및 시스템 클록 공급부에 의해 상기 서브시스템들을 동작시키는 단계를 더 포함하는, 마이크로컨트롤러 시스템을 동작시키는 방법.
  8. 제 6 항 또는 제 7 항에 있어서,
    상기 서브시스템들 중 적어도 상기 다른 하나의 상기 비로컬 리소스들을 추가적으로 사용하기 위해, 상기 비로컬 리소스들은 상기 비로컬 리소스들을 추가로 사용하는 상기 서브시스템들 중 상기 적어도 하나의 어드레스 영역으로 통합되는, 마이크로컨트롤러 시스템을 동작시키는 방법.
  9. 제 6 항 또는 제 7 항에 있어서,
    상기 서브시스템들 중 적어도 상기 다른 하나의 상기 비로컬 리소스들에의 상이한 액세스 시간이 소프트웨어 파티셔닝에서 고려되는, 마이크로컨트롤러 시스템을 동작시키는 방법.
  10. 제 1 항 또는 제 2 항에 있어서,
    상기 마이크로컨트롤러 시스템은 안전-필수 자동차 시스템에 이용되는 것을 특징으로 하는 마이크로컨트롤러 시스템.
KR1020177004551A 2014-08-29 2015-08-24 안전-필수 자동차 시스템을 위한 마이크로컨트롤러 시스템 및 방법 및 그의 이용 KR101991596B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102014217321.3A DE102014217321A1 (de) 2014-08-29 2014-08-29 Mikrocontrollersystem und Verfahren für sicherheitskritische Kraftfahrzeugsysteme sowie deren Verwendung
DE102014217321.3 2014-08-29
PCT/EP2015/069342 WO2016030324A1 (de) 2014-08-29 2015-08-24 Mikrocontrollersystem und verfahren für sicherheitskritische kraftfahrzeugsysteme sowie deren verwendung

Publications (2)

Publication Number Publication Date
KR20170033381A KR20170033381A (ko) 2017-03-24
KR101991596B1 true KR101991596B1 (ko) 2019-06-20

Family

ID=54145727

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020177004551A KR101991596B1 (ko) 2014-08-29 2015-08-24 안전-필수 자동차 시스템을 위한 마이크로컨트롤러 시스템 및 방법 및 그의 이용

Country Status (6)

Country Link
US (1) US10173692B2 (ko)
EP (1) EP3186710B1 (ko)
KR (1) KR101991596B1 (ko)
CN (1) CN106796539A (ko)
DE (1) DE102014217321A1 (ko)
WO (1) WO2016030324A1 (ko)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017210156B4 (de) * 2017-06-19 2021-07-22 Zf Friedrichshafen Ag Vorrichtung und Verfahren zum Ansteuern eines Fahrzeugmoduls
CN108973903B (zh) * 2018-08-02 2020-09-11 北京新能源汽车股份有限公司 一种车载供电系统及车辆
US11379297B2 (en) 2019-05-07 2022-07-05 Nxp Usa, Inc. System and method to provide safety partition for automotive system-on-a-chip
DE102020114844A1 (de) 2020-06-04 2021-12-09 Infineon Technologies Ag Systeme, vorrichtungen und verfahren für steuerungsvorrichtungen, die fehlerereignisse behandeln

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3234637A1 (de) 1982-09-18 1984-03-22 Alfred Teves Gmbh, 6000 Frankfurt Verfahren und schaltungsanordnung zur steuerung einer bremsschlupfregelanlage
US4665522A (en) * 1985-01-28 1987-05-12 The Charles Stark Draper Laboratory, Inc. Multi-channel redundant processing systems
US5458404A (en) 1991-11-12 1995-10-17 Itt Automotive Europe Gmbh Redundant wheel sensor signal processing in both controller and monitoring circuits
DE19529434B4 (de) 1995-08-10 2009-09-17 Continental Teves Ag & Co. Ohg Microprozessorsystem für sicherheitskritische Regelungen
DE19716197A1 (de) 1997-04-18 1998-10-22 Itt Mfg Enterprises Inc Mikroprozessorsystem für sicherheitskritische Regelungen
WO2002057963A2 (de) * 2001-01-19 2002-07-25 Continental Teves Ag & Co. Ohg Verfahren zur separierung redundanter systeme während des designs von kundenspezifischen schaltkreisen
DE10124027A1 (de) * 2001-05-16 2002-11-21 Continental Teves Ag & Co Ohg Verfahren,Mikroprozessorsystem für sicherheitskritische Regelungen und dessen Verwendung
US7412588B2 (en) * 2003-07-25 2008-08-12 International Business Machines Corporation Network processor system on chip with bridge coupling protocol converting multiprocessor macro core local bus to peripheral interfaces coupled system bus
US8412409B2 (en) * 2003-10-08 2013-04-02 Continental Teves Ag & Co. Ohg Integrated microprocessor system for safety-critical regulations
WO2006045776A1 (de) * 2004-10-25 2006-05-04 Robert Bosch Gmbh Verfahren und vorrichtung zur erzeugung eines modussignals bei einem rechnersystem mit mehreren komponenten
DE102006008958A1 (de) * 2005-03-10 2006-09-28 Continental Teves Ag & Co. Ohg Elektronisches Kraftfahrzeugbremsensteuergerät
ATE520079T1 (de) * 2007-05-25 2011-08-15 Freescale Semiconductor Inc Datenverarbeitungssystem, datenverarbeitungsverfahren und vorrichtung
DE102011005800A1 (de) * 2010-03-23 2011-09-29 Continental Teves Ag & Co. Ohg Kontrollrechnersystem, Verfahren zur Steuerung eines Kontrollrechnersystems, sowie Verwendung eines Kontrollrechnersystems
DE102011007437A1 (de) * 2010-11-15 2012-05-16 Continental Teves Ag & Co. Ohg Verfahren und Schaltungsanrodnung zur Datenübertragung zwischen Prozessorbausteinen
US9021284B2 (en) * 2011-09-08 2015-04-28 Infineon Technologies Ag Standby operation with additional micro-controller
KR20150067380A (ko) * 2012-10-16 2015-06-17 콘티넨탈 테베스 아게 운트 코. 오하게 자동차를 제어하기 위한 리던던트 프로그램들 간에 데이터를 교환하기 위한 인터페이스
CN103995471A (zh) * 2014-05-23 2014-08-20 华中科技大学 一种分布式控制系统的时钟同步方法

Also Published As

Publication number Publication date
WO2016030324A1 (de) 2016-03-03
EP3186710B1 (de) 2019-01-30
US10173692B2 (en) 2019-01-08
US20170217443A1 (en) 2017-08-03
DE102014217321A1 (de) 2016-03-03
CN106796539A (zh) 2017-05-31
KR20170033381A (ko) 2017-03-24
EP3186710A1 (de) 2017-07-05

Similar Documents

Publication Publication Date Title
JP6895939B2 (ja) ハイエンドマイクロコントローラ用のマルチダイにおけるスケーラブルなマルチコア型のシステムオンチップアーキテクチャ
KR101991596B1 (ko) 안전-필수 자동차 시스템을 위한 마이크로컨트롤러 시스템 및 방법 및 그의 이용
US9804942B2 (en) Safety node in interconnect data buses
KR100369492B1 (ko) 임계안전도제어시스템용마이크로프로세서시스템
ES2329581T3 (es) Sistema integrado de microprocesadores para regulaciones criticas para la seguridad.
KR100985926B1 (ko) 메모리 시스템 컴포넌트들 사이에서 신호들을 리라우팅하는시스템 및 방법
US10214189B2 (en) Interface for interchanging data between redundant programs for controlling a motor vehicle
US20130024721A1 (en) Control computer system, method for controlling a control computer system, and use of a control computer system
CN105373443B (zh) 具有存储器系统体系结构的数据系统和数据读取方法
JP2016170786A (ja) セーフティクリティカルなエラーを処理するための方法と装置
TWI437427B (zh) 在多個儲存裝置中提供資料冗餘之系統、方法及電腦程式產品
CN105378587B (zh) 优化的电源架构
US9195553B2 (en) Redundant system control method
US9632869B1 (en) Error correction for interconnect circuits
JP2017535125A (ja) セーフティサブシステムを有するプログラマブルic
CN110447015B (zh) 用于冗余执行运行功能的车载控制装置及相应的机动车
US10176131B1 (en) Controlling exclusive access using supplemental transaction identifiers
US20210382536A1 (en) Systems, devices, and methods for controller devices handling fault events
US20150039944A1 (en) System and Method of High Integrity DMA Operation
JP4594737B2 (ja) 組込み型処理システム
JP6135403B2 (ja) 情報処理システム、情報処理システムの障害処理方法
US9552385B2 (en) Centralized peripheral access protection
CN106815093B (zh) 一种基于国产龙芯处理器间互连的计算机故障容错装置
US20220371565A1 (en) Switching device for a brake system for a vehicle, brake system with a switching device and method for operating a switching device
JP4829821B2 (ja) マルチプロセッサシステムおよびマルチプロセッサシステムにおける復旧方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right