KR20170134710A - 차량 안전 전자 제어 시스템 - Google Patents

차량 안전 전자 제어 시스템 Download PDF

Info

Publication number
KR20170134710A
KR20170134710A KR1020177032261A KR20177032261A KR20170134710A KR 20170134710 A KR20170134710 A KR 20170134710A KR 1020177032261 A KR1020177032261 A KR 1020177032261A KR 20177032261 A KR20177032261 A KR 20177032261A KR 20170134710 A KR20170134710 A KR 20170134710A
Authority
KR
South Korea
Prior art keywords
microcontroller
cores
core
lockstep
electronic control
Prior art date
Application number
KR1020177032261A
Other languages
English (en)
Other versions
KR102033387B1 (ko
Inventor
노르베르트 콜머
Original Assignee
아우토리브 디벨롭먼트 아베
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 아우토리브 디벨롭먼트 아베 filed Critical 아우토리브 디벨롭먼트 아베
Publication of KR20170134710A publication Critical patent/KR20170134710A/ko
Application granted granted Critical
Publication of KR102033387B1 publication Critical patent/KR102033387B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • G06F11/1645Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components and the comparison itself uses redundant hardware
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1633Error detection by comparing the output of redundant processing systems using mutual exchange of the output between the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/165Error detection by comparing the output of redundant processing systems with continued operation after detection of the error
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0808Diagnosing performance data
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0006Digital architecture hierarchy
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • B60W2050/021Means for detecting failure or malfunction
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60YINDEXING SCHEME RELATING TO ASPECTS CROSS-CUTTING VEHICLE TECHNOLOGY
    • B60Y2306/00Other features of vehicle sub-units
    • B60Y2306/15Failure diagnostics
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Hardware Redundancy (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

차량 안전 전자 제어 시스템 (8)이 개시되며, 이 차량 안전 전자 제어 시스템은 통합된 전자 제어 유닛의 모습으로 바람직하게 제공된다. 상기 시스템은 락스텝 (lockstep) 코어 (14)를 가진 락스텝 구조를 구비한 제1 마이크로제어기 (11); 그리고 적어도 두 개의 프로세싱 코어들 (16, 17)을 구비한 제2 마이크로제어기 (12)를 포함한다. 상기 제1 마이크로제어기 (11)의 락스텝 코어 (14)는 상기 제2 마이크로제어기 (12)의 상기 적어도 두 개의 프로세싱 코어들 (16, 17)의 출력들을 모니터하고 제어하도록 구성된다.

Description

차량 안전 전자 제어 시스템
본 발명은 전자 제어 시스템에 관한 것이며, 더욱 상세하게는 차량 안전 전자 제어 시스템에 관한 것이다.
전자 안전 시스템들은 자동차들에서 이제 아주 널리 사용된다. 그런 안전 시스템들은, 예를 들면, 다음의 것들을 포함할 수 있다: 사각 (blind spot) 모니터링 시스템; 액티브 크루즈 제어 시스템; 프리-세이프 (pre-safe) 브레이크 시스템; 충돌 회피 시스템; 차로 이탈 방지 시스템; 및 후방-추돌 경감 시스템.
현대의 차량 안전 시스템들의 복잡한 속성은 그 안전 시스템들을 제공하고 관리하기 위해 필요한 전자 제어 시스템들의 성능 및 신뢰성에 큰 중요함을 부여한다. 그런 제어 시스템들은 소위 ADAS (Advanced Driver Assistance System) 알고리즘들을 호스트하고 실행하기 위해 통합된 하드웨어와 소프트웨어를 포함하는 것이 일반적이다.
그런 시스템들은 소위 말하는 자동차 안전 무결성 레벨 (Automotive Safety Integrity Level (ASIL)) 위험 분류 방식을 정의하는 ISO 26262 도로 차량들을 위한 기능 안전 (Functional Safety for Road Vehicles) 표준과 같은 매우 엄중한 안전 요구사항들을 충족시킬 것을 필요로 한다. ASIL-D는 이 표준 하의 가장 높은 무결성 요구사항들을 나타내며, 그리고 안전-관련 프로세싱 태스크들에 적용 가능하다.
기능 안전 표준의 요구사항은 제어 시스템은 자신의 산술 유닛, 논리 유닛 및 메모리 유닛 내 안전 관련 오류들을 식별할 수 있어야만 한다는 것이며, 이는 락스텝 (lockstep) 프로세서 구조가 사용된다면 ASIL-D 전자 제어 유닛에 대해서만 가능하다. 그러나, 이런 유형의 락스텝 구조들은 상대적으로 낮은 프로세싱 전력만을 가질 뿐이며, 이는 레이더, 라이더 (Lidar) 및/또는 카메라들과 같은 적합한 센서들의 세트를 구비한 ADAS 같은 현재의 애플리케이션들을 처리하게는 충분하지 않다. 그러므로, 필요한 안전 무결성 요구사항들을 충족시키면서 향상된 프로세싱 전력을 제공할 수 있는 차량 안전 전자 제어 시스템에 대한 필요성이 존재한다.
현재의 고성능 마이크로프로세서들은 영구적인 그리고 일시적인 오류 검출을 위한 주기적인 진단 테스트들을 통해서 상기 요구되는 안전 무결성 요구사항들을 달성하기에는 너무 복잡하다.
본 발명은 상기에서 설명된 차량 안전 전자 제어 시스템을 제공하려고 한다.
본 발명에 따라, 차량 안전 전자 제어 시스템이 제공되며, 이 차량 안전 전자 제어 시스템은; 락스텝 (lockstep) 코어를 가진 락스텝 구조를 구비한 제1 마이크로제어기; 그리고 적어도 두 개의 프로세싱 코어들을 구비한 제2 마이크로제어기를 포함하며, 여기에서 상기 제1 마이크로제어기의 상기 락스텝 코어는 상기 제2 마이크로제어기의 상기 적어도 두 개의 프로세싱 코어들의 출력들을 모니터하고 제어하도록 구성된다.
상기 제1 마이크로제어기는 적어도 하나의 비-락스텝 코어를 가질 수 있다.
바람직하게는, 상기 제1 마이크로제어기의 상기 락스텝 코어는 상기 제2 마이크로제어기 코어들의 직접 출력들을 나타내는 데이터를 상기 제2 마이크로제어기로부터 수신하도록 구성된다.
유리하게는, 상기 제1 마이크로제어기의 상기 락스텝 코어는 상기 제2 마이크로제어기 코어들의 출력들의 비교를 나타내는 데이터를 상기 제2 마이크로제어기로부터 수신하도록 구성되며, 그리고 그 비교 데이터로부터 상기 제2 마이크로제어기의 작동 상태를 도출하도록 구성된다.
편리하게는, 상기 제1 마이크로제어기는 상기 제2 마이크로제어기 코어들 중 어느 하나가 교란되거나 고장인가의 여부를 상기 비교 데이터로부터 판별하도록 구성된다.
바람직하게는, 제1 마이크로제어기의 상기 락스텝 코어는 상기 제2 마이크로제어기 코어들 중 어느 하나가 교란되거나 고장이라고 판별한 것에 응답하여; 차량 안전 시스템으로 오류 메시지를 송신; 상기 제2 마이크로제어기의 교란되거나 고장난 코어를 리셋; 그리고 교란되거나 고장난 코어를 미리 정의된 안전 상태로 진입시키는 것 중 적어도 하나를 하도록 구성된다.
유리하게는, 상기 제2 마이크로제어기의 상기 두 코어들 둘 모두는 각자의 결과들을 획득하기 위해 동시에 동일한 소프트웨어 동작을 실행하도록 작동가능하며, 그리고 상기 두 코어들 각각은 자신의 결과를 다른 코어의 결과와 비교하며, 그에 의해서 상기 비교 데이터를 도출하도록 작동가능하다.
편리하게는, 상기 소프트웨어의 실행 동안의 각 프레임 이후에 상기 제2 마이크로제어기의 상기 두 코어들 각각은 자신의 상기 결과를 다른 코어의 상기 결과와 비교하도록 작동가능하다.
바람직하게는, 상기 제2 마이크로제어기의 상기 코어들은 차량 안전-관련 소프트웨어를 실행하도록 작동가능하다.
유리하게는, 상기 제1 마이크로제어기 및 제2 마이크로제어기는 동기하여 동작하도록 구성된다.
편리하게는, 상기 제1 마이크로제어기는 미리 정해진 사이클 시간으로 주기적으로 상기 제2 마이크로제어기를 모니터하도록 구성된다.
바람직하게는, 상기 사이클 시간은 상기 제2 마이크로제어기 코어 또는 각 제2 마이크로제어기 코어를 자신 각자의 상기 안전 상태로 전환하기에 필요한 시간보다 더 짧다.
유리하게는, 상기 제1 마이크로제어기는 상기 제2 마이크로제어기에 대한 와치독 타이머 (watchdog timer)로서 행동하도록 구성된다.
편리하게는, 상기 제1 마이트로제어기의 락스텝 코어는 소프트웨어 와치독 애플리케이션을 실행하도록 작동가능하다.
바람직하게는, 상기 와치독 애플리케이션은 하트비트 (heartbeat) 모니터링 유닛, 프로그램 흐름 체킹 유닛, 및 태스크 상태 표시 유닛을 포함한다.
유리하게는, 상기 제어 시스템은 통합 전자 제어 유닛의 모습으로 제공된다.
본 발명의 전자 제어 시스템은, 예를 들면, 사각 모니터링 시스템; 액티브 크루즈 제어 시스템; 프리-세이프 브레이크 시스템; 충돌 회피 시스템; 차로 이탈 방지 시스템; 및/또는 후방-추돌 경감 시스템을 포함할 수 있는 ADAS (Advanced Driver Assistance System)와 같은 자동차 내 전자 안전 시스템의 일부로서 제공될 수 있다.
본 발명의 효과는 본 명세서의 해당되는 부분들에 개별적으로 명시되어 있다.
그래서 본 발명은 더욱 쉽게 이해될 수 있으며, 그리고 본 발명의 추가의 특징들이 인정될 수 있으며, 본 발명의 실시예들은 동반된 도면들을 참조하여 예로서 이제 설명될 것이다.
도 1은 본 발명에 따른 전자 제어 시스템을 포함할 수 있는 전형적인 자동차 안전 시스템의 개략을 보여주는 개략적인 도면이다.
도 2는 본 발명에 따른 전자 제어 시스템의 주요 하드웨어 요소들의 개략을 보여주는 개략적인 도면이다.
도 3은 도 2와 유사하지만 마이크로프로세서 코어들을 ASIL 무결성 요구사항들에 바람직하게 할당하는 것을 보여주는 개략적인 도면이다.
도 4는 본 발명의 바람직한 실시예의 소프트웨어 모니터링 양상을 도시한 흐름도의 모습인 개략적 도면이다.
도 h5는 자동차 안전 시스템의 일부로서 설치된 본 발명에 따른 전자 제어 시스템을 보여주는 개략적 도면이다.
도 1을 더욱 상세하게 고려하면, 자동차 (2) 내에 설치된 예시적인 전자 안전 시스템 (1)의 개략적인 표면이 도시된다 (차량의 방위를 표시하기 위해서 도 1에는 자동차의 한 측면 패널만이 표시된다). 상기 안전 시스템 (1)은 상기 자동차 (2) 상의 적절한 위치들에 마운트된 여러 상이한 유형의 센서를 포함한다. 특히, 도시된 상기 시스템은 다음의 것들을 포함한다: 상기 차량 (2)의 각 전면 코너들에 마운트 된 발산 및 외부로 향한 중간-범위 레이더 (mid-range radar ("MRR")) 센서들 (3)의 쌍, 상기 차량의 각 후면 코너들에 마운트 된 발산 및 외부로 향한 다중-역할 레이더 센서들 (4)의 유사한 쌍, 상기 차량의 (2)의 전면 중심에 마운트 된 전방으로 향한 긴-범위 레이더 (long-range radar ("LRR")) 센서 (5), 그리고 예를 들면, 차량의 방풍 유리의 상단 가장자리의 영역 내에 마운트될 수 있는 스테레오 비젼 시스템 (stereo vision system ("SVS")) (7)의 일부를 형성하는 대체적으로 전방으로 향하는 광학 센서들 (6). 차량 내 편리한 위치에 마운트된 통합된 전자 제어 유닛 (8)의 모습으로 보통 제공되는 중앙 전자 제어 시스템에 상기 다양한 센서들 (3 - 6)이 작동적으로 연결된다. 도시된 특별한 배열 내에서, 상기 전면 및 후면 MBR 센서들 (3, 4)은 통상적인 제어기 영역 네트워크 (Controller Area Network ("CAN")) 버스 (9)를 경유하여 중앙 제어 유닛 (8)에 연결되며, 그리고 LRR 센서 (5) 및 SVS (7)의 센서들은 또한 자체적으로 알려진 유형인 더 빠른 FlexRay 시리얼 버스 (10)를 경유하여 상기 중앙 제어 유닛 (8)에 연결된다
집합적으로, 그리고 상기 제어 유닛 (8)의 제어 하에서, 상기 다양한 센서들 (3-6)은, 예를 들면, 사각 (blind spot) 모니터링 시스템, 액티브 크루즈 제어 시스템, 충돌 회피 시스템, 차로 이탈 방지 시스템 및 후방추돌 경감과 같은 다양한 상이한 유형의 운전자 보조 시스템을 제공하기 위해 사용될 수 있다. 따라서, 상기 제어 유닛 (8)은 그런 각 운전자 시스템을 위한 적절한 소프트웨어 알고리즘들을 실행하도록 구성될 것이다.
도 2는 본 발명에 따른 제어 시스템의 주요 하드웨어 요소들을 개략적으로 도시하며, 이것들이 도 1에서 도시된 통합된 제어 유닛 (8)의 모습으로 제공될 수 있다는 것이 인정될 것이다. 상기 제어 시스템은 제1 (마스터) 마이크로제어기 (11), 및 제2 (슬레이브) 마이크로제어기 (12)를 포함한다. 명백해지듯이, 마스터 마이크로제어기 (11)는 상기 시스템의 가장 엄격한 (ASIL-D) 안전 무결성 요구사항들을 실현하기 위해 안전 소프트웨어를 실행하도록 구성되며, 이는 프로세싱 오류들 및 락스텝 (lockstep) 구조를 확인할 것을 필요로 하며, 반면에 슬레이브 마이크로제어기 (12)는 더 높은 프로세싱 능력을 가지며 어떤 락스텝 구조도 가지지 않으며, 그리고 마스터 마이크로제어기 (11)의 부담을 덜어주기 위해서 몇몇의 안전-관련 프로세싱 태스크들을 처리하도록 구성된다. 마스터 마이크로제어기 (11)가 상기 시스템의 엄격한 안전 무결성 요구사항들을 충족하도록 구성되기 때문에, 그 마스터 마이크로제어기는 소위 말하는 "안전 마이크로제어기"를 나타내는 것으로 간주될 수 있다. 유사하게, 상기 슬레이브 마이크로제어기 (12)가 상기 마스터 마이크로제어기보다 더 높은 프로세싱 능력을 구비하도록 구성되기 때문에, 그 슬레이브 마이크로제어기는 소위 말하는 "성능 마이크로제어기"를 나타내는 것으로 간주될 수 있다.
더 상세하게는, 도시된 특별한 실시예에서, 상기 마스터 마이크로제어기 (11)는, 도 2에서 각각 "코어 0", "코어 1/1'", 및 "코어 2"로 도시된 세 개의 프로세싱 코어들 (13, 14, 15)을 포함하는 락스텝 구조를 가진다. 그러므로, 인정될 것처럼, 도 2 내 (Core 1/1'로 표시된) 코어 (14)는 상기 마스터 마이크로제어기 (11)의 소위 말하는 락스텝 코어 (또는 리던턴트 코어)를 나타낸다. 상기 슬레이브 마이크로제어기 (12)는 락스텝 구조를 필요로 하지 않으며, 그리고 도시된 실시예에서 두 개의 프로세싱 코어들 (16, 17)을 포함하며, 이는 도 2에서 각각 "코어 4" 및 "코어 5"로 도시된다. 그러나, 다른 실시예들에서 상기 마스터 마이크로제어기 (11), 또는 상기 슬레이브 마이크로제어기 (12) 중 어느 하나가 (도 2에 도시되지 않은) 더 많은 프로세싱 코어들을 구비하는 것이 가능하다.
현재의 바람직한 실시예들에서, 상기 마스터 마이크로제어기 (11)는 Infineon Technologies AG로부터 상업적으로 입수할 수 있는 Aurix TC29x 프로세서의 모습으로 제공될 수 있으며, 반면에 상기 슬레이브 마이크로제어기 (12)는 Texas Instruments Inc로부터 상업적으로 입수할 수 있는 Fusion28 프로세서의 모습으로 제공될 수 있다는 것이 예견된다. 따라서, 그런 실시예에서, 상기 마스터 마이크로제어기의 각 코어 (13, 14, 15) 500 DMIPS에서 실행할 것이며, 반면에 각 마이크로제어기 (12)의 각 코어 (16, 17)는 3000 DMIPS에서 실행할 것이며, 이는 마스터 마이크로제어기 (11)의 코어들에 비교하면 아주 더 높은 프로세싱 능력을 나타내는 것을 의미할 것이다. 그러나 다른 유형의 프로세서들이 상기 마스터 마이크로제어기 및 슬레이브 마이크로제어기 중 어느 하나 또는 둘 모두를 위해 사용될 수 있다는 것이 인정될 것이다.
상기 두 마이크로제어기들은 도 2에서 참조번호 18에서 개략적으로 도시된 시리얼 주변기기 인터페이스 (Serial Peripheral Interface ("SPI")) 버스의 모습인 동기식 시리얼 통신 인터페이스를 경유하여 작동적으로 연결되며, 그래서 동기식으로 작동하도록 구성된다. 바람직한 실시예들에서, 상기 두 개의 마이크로제어기들 사이에서 필요한 대역폭을 확립하기 위해 심플렉스 모드에서 작동가능한 네 개의 채널들을 가진 쿼드 (quad) SPI 접속의 모습으로 상기 SPI 버스 (18)가 제공될 것이라는 것이 예견된다.
따라서, 도 2에서 개략적으로 도시된 것처럼, 상기 마스터 마이크로제어기의 락스텝 코어 (14)는 상기 마스터 마이크로제어기 (11) 자기 자신의 다른 프로세싱 코어들 (13. 15)은 물론이며 상기 슬레이브 마이크로제어기 (12)의 프로세싱 코어들 (16, 17) 둘 모두를 모니터하고 제어하도록 구성된다. 도 2에서 또한 도시된 것처럼, 상기 마스터 마이크로제어기 (11)는 차량 버스들로의 직접적인 연결을 위해 구성되며, 그 차량 버스들은 CAN 버스 (9) 및 FlexRay 버스 (10), 그리고 이더넷 버스를 포함할 수 있다.
이제 도 3을 고려하면, 상기 마스터 마이크로제어기 (11)의 두 개의 비-락스텝 코어들 (13, 15)은 안전 관련된 소프트웨어를 실행하도록 구성되며, 이는 소위 말하는 도 3에서 참조번호 19의 블록에 의해 개략적으로 도시된 "블랙 박스" 소프트웨어를 나타내도록 간주될 수 있다. 이 소프트웨어 (19)는 안전 관련되기 때문에, 그것의 프로세싱은 ASIL-B 안전 무결성 요구사항들을 충족시키도록 요청되며, 그래서 상기 두 비-락스텝 코어들 (13, 15)에 의해 신뢰성있고 안전하게 처리될 수 있다.
상기 고성능 슬레이브 마이크로제어기 (12)의 두 프로세싱 코어들 (16. 17)은 안전-관련된 소프트웨어를 실행하도록 구성되며, 이는 도 3에서 참조번호 20의 블록에 의해 개략적으로 표시된 소위 말하는 "블랙 박스" 소프트웨어를 나타내도록 다시 구성될 수 있다. 상기 두 개의 슬레이브 코어들 (16, 17)이 동작하는 방식은 아래에서 더욱 상세하게 설명될 것이지만, 상기 코어들 (16, 17)은 상기 가장 엄격한 (ASIL-D) 표준이 아니라, 상대적으로 낮은 (ASIL-B/C) 안전 무결성 요구사항을 충족하면서 동작할 뿐이라는 것에 유의한다. 이것은 본 발명의 시스템에서 허용되며, 이는 아래에서 더욱 상세하게 또한 설명될 것처럼, 상기 두 개의 슬레이브 코어들 (16, 17)의 출력들은, SPI 버스 (18)의 데이터 교환을 통해서 가장 엄격한 (ASIL-D) 표준을 충족하면서 동작하는 상기 마스터 마이크로제어기 (11)의 락스텝 코어 (14)에 의해 모니터되고 제어되기 때문이다. 상기 슬레이브 코어들 (16, 17)이 상기 락스텝 코어 (14)보다 아주 더 높은 프로세싱 능력을 가지기 때문에, 상기 슬레이브 마이크로제어기는 상기 마스터 마이크로제어기 (11)가 할 수 있을 것보다 더욱 빠르고 효과적으로 복합 안전-관련 소프트웨어를 동작시킬 수 있다. 그러나, 상기 락스텝 코어 (14)가 상기 두 슬레이브 코어들 (16, 17)의 출력들을 모니터하고 제어하도로 구성되기 때문에, 상기 가장 높은 (ASIL-D) 안전 무결성 요구사항들이 충족된다.
논의될 것처럼, 도 3에 도시된 슬레이브 마이크로제어기 (12)의 특별한 구성은 위에서 설명된 두 개의 코어들 (16, 17)에 추가로 다른 프로세싱 코어들을 구비한 쿼드 코어 배열이다. 각 실행가능 태스크가 전용의 슬레이브 코어 상에서 실행되는 것처럼 이런 유형의 배열은 모든 필요한 실행가능 태스크들을 실행시키기 위해 충분한 개수의 프로세싱 코어들을 제공하기 위해 사용될 수 있다.
상기 두 개의 슬레이브 프로세싱 코어 (16, 17)의 출력들을 모니터하고 제어하는 것은 물론이며, 상기 마스터 마이크로제어기 (11)의 락스텝 코어 (14)는 도 3의 참조번호 21의 블록에 의해 표시된 프레임 소프트웨어를 동작시키도록 구성된다. 상기 프레임 소프트웨어 (21)는 다양한 소프트웨어 컴포넌트들, 활동 모니터링 유닛 (28a), 도착 레이트 모니터링 유닛 (28b), 제어 흐름 모니터링 유닛 (29), 그리고 태스크 상태 표시 유닛 (30)을 포함할 수 있으며; 이는 소위 말하는 복합 소프트웨어 와치독 (watchdog) (26)을 함께 형성한다.
상기 마스터 마이크로제어기 (11)는 내부 버스 오류 교정 코드 (22), 메모리 오류 교정 코드 (23), 안전 관리 유닛 (24), 및 메모리 보호 유닛 (25)처럼 고장들을 검출하고 처리하기 위해 다양한 하드웨어 컴포넌트들을 포함한다
상기 마스터 마이크로제어기 (11)의 락스텝 코어 (14)는 상기 슬레이브 마이크로제어기 (12)의 프로세싱 코어들 (16, 17)을, 상기 슬레이브 마이크로제어기의 코어들 (16, 17)을 각자의 안전 상태로 전환하기 위해 필요한 시간보다 더 짧은 바람직한 사이클 시간으로 주기적으로 모니터하도록 구성된다. 더욱이, 복합 소프트웨어 와치독 (26)의 덕분에 상기 락스텝 코어 (14)는 상기 슬레이브 마이크로제어기 (12)를 위한 감시자로서 행동한다는 것이 인정될 것이다.
상기 시스템의 건강을 모니터하기 위해 그리고 하드웨어 및 소프트웨어 고장들에 반응하기 위해서, 런타임에서 개별 애플리케이션 소프트웨어 컴포넌트들을 모니터하기 위해 상기 락스텝 코어 (14)에 의해 소프트웨어 서비스가 제공되며, 그럼으로써 상기 시스템의 전반적인 확실성을 향상시켜서 안전 무결성 요구사항들을 충족시킨다. 상기 기능적인 안전 개념은 하트비트 (heartbeat) 모니터링 및 프로그램 흐름 체크를 제공하는 상기 복합 소프트웨어 와치독 (26)에 의해 지지된다. 마스터 마이크로제어기 (11) 상에 제공된 소프트웨어 플랫폼 내에 상기 소프트웨어 와치독 (26)이 통합되는 것이 인정될 것이다.
상기 소프트웨어 와치독 (26)의 바람직한 설계는 실행가능 태스크들 (27)의 하트비트 모니터링의 개념을 따르며 그리고 도 4에서 개략적으로 도시된다. 상기 소프트웨어 와치독 (26)은 하트비트 모니터링 유닛 (28), 제어 흐름 모니터링 유닛 (29), 그리고 태스크 상태 표시 (task state indication ("TSI")) 유닛 (30)을 포함한다.
하트비트 표시 루틴의 도움으로, 다양한 실행가능 태스크들 (27)은 자신들의 하트비트들을 소프트웨어 와치독 (26)의 하트비트 모니터링 유닛 (28)에게 보고한다. 각 태스크의 데드라인 감시 메카니즘은, 그 태스크가 상대적으로 낮은 실행 우선순위를 가지고 그리고 더 높은 우선순위인 하나 이상의 태스크들에 의해 중단될 때에, 유용할 수 있다. 태스크 응답 시간과 같은 다른 파라미터들은 상기 시스템의 건강 상태를 정의하기 위해 또한 사용될 수 있다.
상기 제어 흐름 모니터링 유닛 (29)은 실제의 실행된 후계자들을 전임자들의 가능한 후계자들의 미리 정의된 세트와 비교함으로써 상기 실행가능 태스크들 (27)의 실행 시퀀스를 모니터한다. 운영 시스템은 모든 실행가능 태스크들을 고정된 스케줄 테이블에 의해 정의된 미리-정의된 순서로 실행시킨다. 상기 제어 흐름 모니터링 유닛 (29)은 상기 고정된 스케줄 테이블에 따라 상기 실행가능 태스크들의 올바른 활성화를 감시한다. 제어 흐름을 체크하는 것은 다양한 상이한 레벨의 정밀도로 달성될 수 있다.
상기 하트비트 모니터링 유닛 (28) 및 상기 제어 흐름 체킹 유닛 (29)에 의해 식별된 실행가능 태스크들 (27) 중 어느 하나에서의 오류들은 태스크 상태 표시 유닛 (30)으로 보고된다. 그 후에 태스크 상태 표시 유닛 (30)은 탐지된 오류들의 개수를 적절한 미리 정의된 임계 값들과 비교하며, 그리고 그것으로부터 각 실행가능 태스크 (27)에 관한 개별적인 감시 보고들을 생성한다. 이 보고들은 그 후에 상기 다양한 태스크들을 위한 표시 상태들을 도출하기 위해 사용될 수 있으며, 이는 다양한 소프트웨어 애플리케이션들의 상태를 판별하기 위해 사용될 수 있다.
슬레이브 마이크로제어기 (12)의 상기 두 개의 프로세싱 코어들 (16, 17)에 의해 실행되는 안전-관련 소프트웨어 (20)를 이제 고려하면, 바람직한 실시예들에서 상기 슬레이브 코어들 (16, 17) 둘 모두는 동일한 소프트웨어 동작들을 동시에 실행하도록 구성되며, 그럼으로써 각자의 결과들을 얻는다는 것에 유의한다. 이것은 적절한 데이터가 생성되어 가장 높은 (ASIL-D) 안전 무결성 요구사항을 충족시키기 위해 상기 마스터 마이크로제어기 (11)의 락스텝 코어 (14)로 넘어가는 것을 보장하기 위한 것이다. 그러면 슬레이브 코어들 (16, 17) 각각은 자신 각자의 결과를 다른 코어의 결과와 비교하도록 작동하며, 그럼으로써, 하나가 각 코어 (16, 17)에 의해 제공된 것인 두 개의 비교된 결과들을 포함하는 비교 데이터를 도출한다. 완전한 비교 결과를 제공하기 위해, 상기 소프트웨어 실행 동안 각 프레임 이후에 상기 슬레이브 코어들 (16, 17) 각각이 자신 각자의 결과를 다른 슬레이브 코어의 대응 결과와 비교하는 것이 특히 유리한 것으로 간주된다. 그러나, 현재의 바람직한 실시예들이 위에서 설명된 두 개의 비교된 결과들을 포함하는 비교 데이터를 도출하기 위해 작동가능하지만, 다른 실시예들에서는, 예를 들면, 두 슬레이브 코어들 (16, 17)의 프로세싱된 데이터를 상기 마스터 마이크로제어기 (11)에게 직접적으로 송신할 때에 단일의 비교 결과만을 도출하는 것이 가능할 것이라는 것에 유의해야 한다. 또한, 몇몇의 배열에서, 상기 안전 관련 태스크들에 추가로 비-안전 관련 태스크들이 상기 두 개의 슬레이브 코어들 (16, 17)에 의해 프로세싱될 수 있다.
슬레이브 코어들 (16, 17)에 의해 상기에서 설명된 방식으로 획득된 비교 데이터는, 프로세싱된 순환 중복 코드 (Cyclic Redundancy Code), 메시지 카운터 및 타임 스탬프와 함께 SPI 버스 (18)를 경유하여 상기 마스터 마이크로제어기 (12)의 락스텝 코어 (14)로 그 후에 송신되며, 이는 자신의 프레임 소프트웨어 (21)에 의해 (ASIL-D 요구사항들에 따라) 추가의 프로세싱을 위한 것이다. 그래서 상기 락스텝 코어 (14)는 상기 슬레이브 마이크로제어기 (12)의 작동 상태를 도출하기 위해 상기 비교 데이터에 관한 진단 알고리즘을 실행하도록 구성되며, 그럼으로써 상기 슬레이브 마이크로제어기 (12)가 올바르게 작동하고 있는지 아닌지의 여부를 판별한다. 더 상세하게는, 상기 락스텝 코어 (14)는 상기 슬레이브 코어들 (16, 17) 중 어느 하나가 교란되거나 또는 고장인가의 여부를, 상기 슬레이브 마이크로제어기 (12)로부터 수신된 상기 비교 데이터로부터 판별하도록 동작가능하다. 어느 하나의 슬레이브 코어 (16, 17)가 교란되거나 고장인 것으로 판별된다면, 그러면 상기 락스텝 코어 (14)는 오류 메시지를 관련된 수신기에게 송신할 것이며, 그럼으로써 그것을 안전 모드로 진입하도록 한다.
전술한 내용으로부터 인정되듯이, 본 발명의 제어 시스템은 진보된 운전자 보조 시스템의 크게 향상된 프로세싱 성능을 제공하며, 그러면서도 기능 안전 무결성 요구사항들을 충족하기 위해 안전-관련 소프트웨어 루틴들이 신뢰성있는 진단 측정들을 받는 것을 보장한다. 슬레이브 마이크로프로세서 (12)의 두 프로세싱 코어들 (16, 17)은 안전-관련 소프트웨어를 높은 프로세싱 능력으로 실행시킬 수 있으며, 상기 결과들 및 비교 데이터는 ASIL-D 레벨까지의 안전 무결성 요구사항들을 충족시키기 위해 마스터 마이크로제어기 (11)의 락스텝 코어 (14)에 의해 검토된다. 인정되듯이, 생상된 완전한 데이터가 아니라, 슬레이브 코어들 (16, 17)로부터의 계산된 결과들 및 비교 데이터를 추가의 프로세싱을 위해 락스텝 코어 (14)로 단지 송신함으로써, 상기 락스텝 코어 (14)는 자신의 (슬레이브 코어들 (16, 17)에 비교하여) 상대적으로 낮은 프로세싱 능력을 가지고 효과적으로 기능할 수 있다.
도 5는 통합된 전자 제어 유닛 (8) 내에 구현되어 차량 안전 시스템 (1)의 일부를 형성하는 본 발명의 전자 제어 시스템을 보여주는 개략적인 도면이다. 상기 제어 유닛 (8)은 적합한 파워 서플라이 (31)에 연결되며, 그리고 그 제어 유닛이 배열되어 제어하고 동작시키는 상기 안전 시스템 (1)은 다수의 상이한 유형의 센서들을 포함하며, 이 센서들은 다음의 것들을 포함한다: CAN 버스 (9)를 경유하여 제어 유닛 (8)에 연결된 후방 단거리 레이더 센서들의 쌍 (32), FlexRay 버스 (10)를 경유하여 상기 제어 유닛에 연결된 SVS 센서 어레이 (7), 그리고 FlexRay 버스 (10)를 경유하여 제어 유닛 (8)에 또한 연결된 전면 원거리 레이더 센서 (5).
추가로, 상기 차량 안전 시스템은 상기 센서들 (5, 7, 32)로부터의 신호들 또는 차량의 운전자에게로의 디스플레이 또는 사운드 경보들에 응답하여 차량의 안전을 유지하기 위해서 교정성 행동들을 구현하기 위해 상기 제어 유닛 (8)에 의해 제어되는 여러 액튜에이터들을 포함한다. 도 5에 도시된 특정 시스템에서, 상기 액튜에이터들은, 차량의 전자 안정/브레이크 시스템 (33), 차량의 엔진 제어 시스템 (34), 차량의 스티어링 시스템 (35), 및 차량의 계기판 (instrument cluster) (36)의 일부로서 포함되어 제공된다. 그 액튜에이터들 모두는 FlexRay 버스 (10)를 경유하여 상기 제어 유닛 (8)에 연결된다.
본 발명의 상기 제어 시스템은 락스텝 구조를 가진 다중-코어 마스터 마이크로프로세서 (11) 및 적어도 두 개의 프로세싱 코어들 (16, 17)을 구비한 슬레이브 마이크로제어기 (12)를 포함하며, 매우 짧은 시간 구간에서 필요한 진단 기능성을 달성하기 위해 상기 마스터 마이크로프로세서 (11) 내 코어 리던던시 (core redundancy)를 이용함으로써, ASIL-D 레벨까지의 안전 무결성 요구사항들을 여전히 충족시키면서 높은 전반적인 프로세싱 능력을 제공한다.
본 발명의 시스템의 변형들에서, 상기 슬레이브 마이크로프로세서 (12) 내에 추가의 코어를 제공하는 것이 가능할 것이며, 그럼으로써 소위 말하는 2oo3 구조를 제공한다. 이 유형의 배열에서, 상기 슬레이브 마이크로프로세서 (12)는 그러면 소위 말하는 "페일 오퍼레이셔널 (fail operational)" 프로세서로서 기능할 것이며, 그리고 결함이 있는 슬레이브 코어는 그러면 모든 세 개의 슬레이브 코어들의 프로세싱 결과들을 비교함으로써 식별될 수 있을 것이다. 이것은 심지어는 상기 슬레이브 코어들 중 하나가 고장이 난 경우에도 상기 소프트웨어가 계속해서 실행되는 것을 허용할 것이며, 그러면서도 관련된 ASIL 안전 요구사항들을 여전히 충족시킨다. 더 많은 프로세싱 능력이 필요하다면, 추가적인 슬레이브 프로세싱 코어들이 제공될 수 있을 것이며, 또는 심지어 추가적인 슬레이브 마이크로프로세서들이 제공될 수 있을 것이다.
본 발명이 데이터가 SPI 버스 (9)를 경유하여 상기 마스터 마이크로프로세서 (11) 및 슬레이브 마이크로프로세서 (12) 사이에서 송신되는 특별한 실시예를 참조하여 위에서 설명되었지만, 상기 슬레이브 마이크로프로세서를 차량 버스에 연결시키고, 그리고 데이터를 그 연결을 통해서 전송하는 것이 또한 가능하다는 것에 유의해야 한다.
본 명세서 및 청구항들에서 사용될 때에, "포함한다" 및 "포함하는"의 용어들 그리고 그 변형들은 특정된 특징들, 단계들 또는 정수들이 포함된다는 것을 의미한다. 그 용어들은 다른 특징들, 단계들 또는 정수들의 존재를 배제하는 것으로 해석되지 않아야 한다.
전술한 설명에서, 또는 다음의 청구항들에서, 또는 동반된 도면들에서 개시된, 그 개시된 결과들을 획득하기 위한 방법들이나 프로세스 또는 개시된 기능을 수행하기 위한 수단의 면에서 또는 그것들의 특정 모습으로 적절하게 표현된 상기 특징들은 분리하여 또는 그런 특징들의 어떤 조합에서, 다양한 모습들로 본 발명을 실현하기 위해 활용될 수 있다.
본 발명이 위에서 설명된 예시적인 실시예들과 함께 설명되었지만, 이 개시가 주어지면, 본 발명이 속한 기술 분야에서의 통상의 지식을 가진 자들에게는 많은 동등한 수정 및 변형들이 명백할 것이다. 따라서, 위에서 제시된 본 발명의 예시적인 실시예들은 예시적인 것이며 제한하지 않는 것으로 간주된다. 상기 설명된 실시예들에 대한 다양한 변화들은 본 발명의 사상 및 범위로부터 벗어나지 않으면서도 만들어질 수 있다.

Claims (15)

  1. 차량 안전 전자 제어 시스템으로:
    락스텝 (lockstep) 코어를 가진 락스텝 구조를 구비한 제1 마이크로제어기; 그리고
    적어도 두 개의 프로세싱 코어들을 구비한 제2 마이크로제어기를 포함하며,
    상기 제1 마이크로제어기의 상기 락스텝 코어는 상기 제2 마이크로제어기의 상기 적어도 두 개의 프로세싱 코어들의 출력들을 모니터하고 제어하도록 구성된, 차량 안전 전자 제어 시스템.
  2. 제1항에 있어서,
    상기 제1 마이크로제어기의 상기 락스텝 코어는 상기 제2 마이크로제어기 코어들의 직접 출력들을 나타내는 데이터를 상기 제2 마이크로제어기로부터 수신하도록 구성된, 차량 안전 전자 제어 시스템.
  3. 제1항 또는 제2항에 있어서,
    상기 제1 마이크로제어기의 락스텝 코어는 상기 제2 마이크로제어기 코어들의 출력들의 비교를 나타내는 데이터를 상기 제2 마이크로제어기로부터 수신하도록 구성되며, 그리고 그 비교 데이터로부터 상기 제2 마이크로제어기의 작동 상태를 도출하도록 구성된, 차량 안전 전자 제어 시스템.
  4. 제3항에 있어서,
    상기 제1 마이크로제어기는 상기 제2 마이크로제어기 코어들 중 어느 하나가 교란되거나 고장인가의 여부를 상기 비교 데이터로부터 판별하도록 구성된, 차량 안전 전자 제어 시스템.
  5. 제3항 또는 제4항에 있어서,
    제1 마이크로제어기의 상기 락스텝 코어는 상기 제2 마이크로제어기 코어들 중 어느 하나가 교란되거나 고장이라고 판별한 것에 응답하여,
    차량 안전 시스템으로 오류 메시지를 송신;
    상기 제2 마이크로제어기의 교란되거나 고장난 코어를 리셋; 그리고
    교란되거나 고장난 코어를 미리 정의된 안전 상태로 진입시키는 것
    중 적어도 하나를 하도록 구성된, 차량 안전 전자 제어 시스템.
  6. 제3항 내지 제5항 중 어느 한 항에 있어서,
    상기 제2 마이크로제어기의 상기 두 코어들 둘 모두는 각자의 결과들을 획득하기 위해 동시에 동일한 소프트웨어 동작을 실행하도록 작동가능하며, 그리고
    상기 두 코어들 각각은 자신의 결과를 다른 코어의 결과와 비교하며, 그에 의해서 상기 비교 데이터를 도출하도록 작동가능한, 차량 안전 전자 제어 시스템.
  7. 제6항에 있어서,
    상기 소프트웨어의 실행 동안의 각 프레임 이후에 상기 제2 마이크로제어기의 상기 두 코어들 각각은 자신의 상기 결과를 다른 코어의 상기 결과와 비교하도록 작동가능한, 차량 안전 전자 제어 시스템.
  8. 제1항 내지 제7항 중 어느 한 항에 있어서,
    상기 제2 마이크로제어기의 상기 코어들은 차량 안전-관련 소프트웨어를 실행하도록 작동가능한, 차량 안전 전자 제어 시스템.
  9. 제1항 내지 제8항 중 어느 한 항에 있어서,
    상기 제1 마이크로제어기 및 제2 마이크로제어기는 동기하여 동작하도록 구성된, 차량 안전 전자 제어 시스템.
  10. 제1항 내지 제9항 중 어느 한 항에 있어서,
    상기 제1 마이크로제어기는 미리 정해진 사이클 시간으로 주기적으로 상기 제2 마이크로제어기를 모니터하도록 구성된, 차량 안전 전자 제어 시스템.
  11. 제5항에 종속된 제10항에 있어서,
    상기 사이클 시간은 상기 제2 마이크로제어기 코어 또는 각 제2 마이크로제어기 코어를 자신 각자의 상기 안전 상태로 전환하기에 필요한 시간보다 더 짧은, 차량 안전 전자 제어 시스템.
  12. 제1항 내지 제11항 중 어느 한 항에 있어서,
    상기 제1 마이크로제어기는 상기 제2 마이크로제어기에 대한 와치독 타이머 (watchdog timer)로서 행동하도록 구성된, 차량 안전 전자 제어 시스템.
  13. 제12항에 있어서,
    상기 제1 마이트로제어기의 락스텝 코어는 복합 소프트웨어 와치독 애플리케이션을 실행하도록 작동가능한, 차량 안전 전자 제어 시스템.
  14. 제13항에 있어서,
    상기 와치독 애플리케이션은 하트비트 (heartbeat) 모니터링 유닛, 프로그램 흐름 체킹 유닛 (28), 및 태스크 상태 표시 유닛을 포함하는, 차량 안전 전자 제어 시스템.
  15. 제1항 내지 제14항 중 어느 한 항에 있어서,
    통합 전자 제어 유닛의 모습으로 제공된, 차량 안전 전자 제어 시스템.
KR1020177032261A 2015-04-20 2016-04-15 차량 안전 전자 제어 시스템 KR102033387B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP15164320.2 2015-04-20
EP15164320.2A EP3085596B1 (en) 2015-04-20 2015-04-20 A vehicle safety electronic control system
PCT/EP2016/058408 WO2016169856A1 (en) 2015-04-20 2016-04-15 A vehicle safety electronic control system

Publications (2)

Publication Number Publication Date
KR20170134710A true KR20170134710A (ko) 2017-12-06
KR102033387B1 KR102033387B1 (ko) 2019-11-08

Family

ID=53005481

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020177032261A KR102033387B1 (ko) 2015-04-20 2016-04-15 차량 안전 전자 제어 시스템

Country Status (6)

Country Link
US (1) US11360864B2 (ko)
EP (1) EP3085596B1 (ko)
JP (1) JP6556253B2 (ko)
KR (1) KR102033387B1 (ko)
CN (1) CN107531250B (ko)
WO (1) WO2016169856A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220083031A (ko) * 2020-12-11 2022-06-20 현대모비스 주식회사 컨트롤러의 상태 감시 방법 및 이를 위한 장치

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013202253A1 (de) * 2013-02-12 2014-08-14 Paravan Gmbh Schaltung zur Steuerung eines Beschleunigungs-, Brems- und Lenksystems eines Fahrzeugs
JP6486485B2 (ja) * 2015-09-30 2019-03-20 日立オートモティブシステムズ株式会社 車載制御装置
DE102016210984A1 (de) * 2016-06-20 2017-12-21 Robert Bosch Gmbh Verfahren zum Betreiben eines Steuergeräts
DE102016014417B4 (de) * 2016-12-03 2020-03-26 WAGO Verwaltungsgesellschaft mit beschränkter Haftung Schaltung zur überwachung eines datenverarbeitungssystems
WO2018193449A1 (en) * 2017-04-17 2018-10-25 Mobileye Vision Technologies Ltd. Secure system that includes driving related systems
US10452446B1 (en) * 2017-06-07 2019-10-22 Rockwell Collins, Inc. High integrity multi-core processing
DE102017210151A1 (de) * 2017-06-19 2018-12-20 Zf Friedrichshafen Ag Vorrichtung und Verfahren zur Ansteuerung eines Fahrzeugmoduls in Abhängigkeit eines Zustandssignals
DE102017210156B4 (de) * 2017-06-19 2021-07-22 Zf Friedrichshafen Ag Vorrichtung und Verfahren zum Ansteuern eines Fahrzeugmoduls
US20210406008A1 (en) * 2018-06-11 2021-12-30 Traxen Inc. Safety supervised general purpose computing devices
CN108536045B (zh) * 2018-04-27 2020-12-29 国机智骏汽车有限公司 电动汽车的整车控制器、车辆及方法
JP7042709B2 (ja) * 2018-06-28 2022-03-28 ルネサスエレクトロニクス株式会社 半導体装置、制御システムおよび半導体装置の制御方法
DE102019108412A1 (de) * 2019-04-01 2020-10-01 Knorr-Bremse Systeme für Nutzfahrzeuge GmbH Verfahren und Vorrichtung zur Ansteuerung von zumindest einem Aktuator eines Aktuatorsystems
IT201900018362A1 (it) * 2019-10-10 2021-04-10 Texa Spa Metodo e sistema di controllo di almeno due motori elettrici di trazione di un veicolo
KR20210058566A (ko) 2019-11-14 2021-05-24 삼성전자주식회사 전자 시스템, 그것의 결함 검출 방법, 시스템 온 칩 및 버스 시스템
DE102019219800A1 (de) * 2019-12-17 2021-06-17 Zf Automotive Germany Gmbh Steuerungssystem für ein wenigstens teilweise automatisiertes Kraftfahrzeug und Verfahren zum Steuern eines wenigstens teilautomatisierten Kraftfahrzeugs
EP3869338A1 (en) 2020-02-18 2021-08-25 Veoneer Sweden AB A vehicle safety electronic control system
DE102020205146A1 (de) * 2020-04-23 2021-10-28 Robert Bosch Gesellschaft mit beschränkter Haftung Vorrichtung und Verfahren zur Steuerung eines technischen Systems
US11334409B2 (en) * 2020-06-18 2022-05-17 Nxp Usa, Inc. Method and system for fault collection and reaction in system-on-chip
DE102020208370A1 (de) * 2020-07-03 2022-01-05 Vitesco Technologies GmbH Elektronische Steuereinheit
CN112596916A (zh) * 2021-03-03 2021-04-02 上海励驰半导体有限公司 双核锁步错误恢复系统及方法
WO2022199787A1 (en) * 2021-03-22 2022-09-29 Huawei Technologies Co., Ltd. Program flow monitoring for gateway applications
CN113147633B (zh) * 2021-04-13 2023-03-31 联合汽车电子有限公司 电源分配模块及车身控制器
DE102021117947A1 (de) 2021-07-12 2023-01-12 Bayerische Motoren Werke Aktiengesellschaft Steuern einer Steuervorrichtung
TWI787057B (zh) * 2021-09-30 2022-12-11 財團法人工業技術研究院 車用控制裝置及其方法
DE102021125798A1 (de) 2021-10-05 2023-04-06 Bayerische Motoren Werke Aktiengesellschaft System und Verfahren zur Bereitstellung einer Fahrzeugfunktion
US11892505B1 (en) 2022-09-15 2024-02-06 Stmicroelectronics International N.V. Debug and trace circuit in lockstep architectures, associated method, processing system, and apparatus

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008234141A (ja) * 2007-03-19 2008-10-02 Nec Corp フォールトトレラントコンピュータシステム及びデータ送信制御方法
JP2009505183A (ja) * 2005-08-08 2009-02-05 ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング 少なくとも2つの命令実行部および1つの比較ユニットを備えたコンピュータシステムを制御する方法および装置
JP2010211391A (ja) * 2009-03-09 2010-09-24 Fuji Electric Holdings Co Ltd Cpuの動作監視方法および装置
JP2013025570A (ja) * 2011-07-21 2013-02-04 Denso Corp 電子制御ユニット
JP2015067107A (ja) * 2013-09-30 2015-04-13 日立オートモティブシステムズ株式会社 車両用制御装置

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040003019A1 (en) * 2002-06-28 2004-01-01 Sun Microsystems, Inc., A Delaware Corporation Process management for real time systems management controller
US20050114735A1 (en) * 2003-11-20 2005-05-26 Smith Zachary S. Systems and methods for verifying core determinacy
US7290169B2 (en) * 2004-04-06 2007-10-30 Hewlett-Packard Development Company, L.P. Core-level processor lockstepping
US7747932B2 (en) * 2005-06-30 2010-06-29 Intel Corporation Reducing the uncorrectable error rate in a lockstepped dual-modular redundancy system
JP5527270B2 (ja) * 2011-04-12 2014-06-18 株式会社デンソー 車載用電子制御装置
JP5879075B2 (ja) 2011-09-08 2016-03-08 国立大学法人北陸先端科学技術大学院大学 電子透かし検出装置及び電子透かし検出方法
US20140278447A1 (en) 2011-09-08 2014-09-18 Japan Advanced Institute Of Science And Technology Digital watermark detection device and digital watermark detection method, as well as tampering detection device using digital watermark and tampering detection method using digital watermark
WO2013057825A1 (ja) * 2011-10-20 2013-04-25 トヨタ自動車株式会社 情報処理装置、データ管理方法、データ管理プログラム
US8847535B2 (en) * 2011-11-08 2014-09-30 Autoliv Asp, Inc. System and method to determine the operating status of an electrical system having a system controller and an actuator controller
JP2014102662A (ja) 2012-11-19 2014-06-05 Nikki Co Ltd マイクロコンピュータ暴走監視装置
JP2014191655A (ja) * 2013-03-27 2014-10-06 Toyota Motor Corp マルチプロセッサ、電子制御装置、プログラム
US9495239B1 (en) * 2014-08-22 2016-11-15 Xilinx, Inc. User-configurable error handling
EP3151123B1 (en) * 2015-10-02 2018-04-11 Autoliv Development AB A vehicle safety electronic control system
DE102016210984A1 (de) * 2016-06-20 2017-12-21 Robert Bosch Gmbh Verfahren zum Betreiben eines Steuergeräts

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009505183A (ja) * 2005-08-08 2009-02-05 ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング 少なくとも2つの命令実行部および1つの比較ユニットを備えたコンピュータシステムを制御する方法および装置
JP2008234141A (ja) * 2007-03-19 2008-10-02 Nec Corp フォールトトレラントコンピュータシステム及びデータ送信制御方法
JP2010211391A (ja) * 2009-03-09 2010-09-24 Fuji Electric Holdings Co Ltd Cpuの動作監視方法および装置
JP2013025570A (ja) * 2011-07-21 2013-02-04 Denso Corp 電子制御ユニット
JP2015067107A (ja) * 2013-09-30 2015-04-13 日立オートモティブシステムズ株式会社 車両用制御装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220083031A (ko) * 2020-12-11 2022-06-20 현대모비스 주식회사 컨트롤러의 상태 감시 방법 및 이를 위한 장치

Also Published As

Publication number Publication date
EP3085596B1 (en) 2017-11-29
CN107531250A (zh) 2018-01-02
US20180105183A1 (en) 2018-04-19
KR102033387B1 (ko) 2019-11-08
CN107531250B (zh) 2020-05-12
JP6556253B2 (ja) 2019-08-07
EP3085596A1 (en) 2016-10-26
WO2016169856A1 (en) 2016-10-27
US11360864B2 (en) 2022-06-14
JP2018528111A (ja) 2018-09-27

Similar Documents

Publication Publication Date Title
KR102033387B1 (ko) 차량 안전 전자 제어 시스템
CN112004730B (zh) 车辆控制装置
US9952948B2 (en) Fault-tolerance pattern and switching protocol for multiple hot and cold standby redundancies
KR102586265B1 (ko) 중복 휠 속도 감지를 위한 시스템들 및 방법들
CN105515739B (zh) 具有第一计算单元和第二计算单元的系统和运行系统的方法
JP6923458B2 (ja) 電子制御装置
US9367377B2 (en) Apparatus and method for monitoring multiple micro-cores
US10037016B2 (en) Hybrid dual-duplex fail-operational pattern and generalization to arbitrary number of failures
US20100218047A1 (en) Method and device for error management
CN111665849B (zh) 一种自动驾驶系统
WO2023005638A1 (zh) 辅助驾驶方法、装置、设备及存储介质
EP3869338A1 (en) A vehicle safety electronic control system
US20180162389A1 (en) Vehicle control device and vehicle control method
CN108146250B (zh) 一种基于多核cpu的汽车扭矩安全控制方法
CN112740121A (zh) 用于车辆的控制架构
US11054825B2 (en) Method and fault tolerant computer architecture for reducing false negatives in fail-safe trajectory planning for a moving entity
EP3153970A1 (en) A vehicle safety electronic control system
US9244750B2 (en) Method and control system for carrying out a plausibility check of a first driver input sensor with regard to a second driver input sensor which is different from the first driver input sensor of a motor vehicle
EP3422131B1 (en) Method and fault tolerant computer architecture to improve the performance in fail-safe trajectory planning for a moving entity
JP7333251B2 (ja) 電子制御装置
CN115892060A (zh) 自动驾驶故障处理方法及自动驾驶系统
CN115525012A (zh) 车辆控制方法、装置、车辆及存储介质
CN117555310A (zh) 一种冗余智能驾驶控制器的功能设计方法、装置及设备

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)