KR20180043322A - 차량의 전자 회로 유닛의 상태 모니터링 방법 및 그 장치 - Google Patents

차량의 전자 회로 유닛의 상태 모니터링 방법 및 그 장치 Download PDF

Info

Publication number
KR20180043322A
KR20180043322A KR1020187007995A KR20187007995A KR20180043322A KR 20180043322 A KR20180043322 A KR 20180043322A KR 1020187007995 A KR1020187007995 A KR 1020187007995A KR 20187007995 A KR20187007995 A KR 20187007995A KR 20180043322 A KR20180043322 A KR 20180043322A
Authority
KR
South Korea
Prior art keywords
electronic circuit
processing
arithmetic logic
circuit unit
logic unit
Prior art date
Application number
KR1020187007995A
Other languages
English (en)
Other versions
KR102636306B1 (ko
Inventor
알프레드 쿠텐베르거
베른트 뮐러
Original Assignee
로베르트 보쉬 게엠베하
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 로베르트 보쉬 게엠베하 filed Critical 로베르트 보쉬 게엠베하
Publication of KR20180043322A publication Critical patent/KR20180043322A/ko
Application granted granted Critical
Publication of KR102636306B1 publication Critical patent/KR102636306B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
    • G05D1/02Control of position or course in two dimensions
    • G05D1/021Control of position or course in two dimensions specially adapted to land vehicles
    • G05D1/0212Control of position or course in two dimensions specially adapted to land vehicles with means for defining a desired trajectory
    • G05D1/0214Control of position or course in two dimensions specially adapted to land vehicles with means for defining a desired trajectory in accordance with safety or protection criteria, e.g. avoiding hazardous areas
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1479Generic software techniques for error detection or fault masking
    • G06F11/1487Generic software techniques for error detection or fault masking using N-version programming
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • G06F11/1645Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components and the comparison itself uses redundant hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1695Error detection or correction of the data by redundancy in hardware which are operating with time diversity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3013Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3495Performance evaluation by tracing or monitoring for systems
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/02Registering or indicating driving, working, idle, or waiting time only

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Computing Systems (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Remote Sensing (AREA)
  • Automation & Control Theory (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Mathematical Physics (AREA)
  • Computer Hardware Design (AREA)
  • Hardware Redundancy (AREA)
  • Traffic Control Systems (AREA)

Abstract

본 발명은 차량(100)의 전자 회로 유닛(120)의 상태를 모니터링하기 위한 방법(200)에 관한 것이다. 상기 방법(200)은, 제1 처리 결과(155)를 얻기 위해 전자 회로 유닛(120)의 제1 산술논리 유닛(145)에서 제1 처리 사양(150)을 구현하고(210), 제2 처리 결과(170)를 얻기 위해 전자 회로 유닛(120)의 제2 산술논리 유닛(160)에서 제1 처리 사양(150)과는 다른 제2 처리 사양(165)을 구현하는 단계(210)를 포함하며, 이때 제2 산술논리 유닛(170)은 제1 산술논리 유닛(145)으로부터 독립적으로 제2 처리 사양(165)을 구현하도록 형성된다. 또한, 상기 방법(200)은, 제2 처리 결과(170)가 제1 처리 결과(155) 및/또는 사전 정의된 기준과 사전 결정된 관계가 있다면, 그리고/또는 제1 처리 결과(155)가 제2 처리 결과(170) 및/또는 사전 정의된 기준과 사전 결정된 관계가 있다면, 전자 회로 유닛(120)의 정확한 상태(180)를 판단하는 단계(220)도 추가로 포함하며, 이때 판단 단계(220)는 전자 회로 유닛(120)의 안전 영역(300) 내에서 구현되고, 전자 회로 유닛(120)의 안전 영역(300)은 보호 모듈을 포함하며, 보호 모듈은 제1 산술논리 유닛(145) 또는 제2 산술논리 유닛(160)에 비해 부정확한 실행으로부터 더 확실하게 보호되는 알고리즘들의 구현을 보장하도록 형성된다.

Description

차량의 전자 회로 유닛의 상태 모니터링 방법 및 그 장치
본 발명은 독립 청구항들의 유형에 따른 장치 또는 방법에 관한 것이다. 또한, 본 발명의 대상은 컴퓨터 프로그램이다.
자동차 산업에서, 2011년 이후 ISO 26262는 기능 안전성을 위한 중요한 표준이다. 상기 표준에서는 안전 관련 시스템들에 대한 요건들이 정의된다. 요건들의 중요 등급은 돌발적인 하드웨어 결함들과 관계가 있는 (진단 커버리지, 단일점 결함 메트릭 또는 잠재 결함 메트릭으로서의) 커버리지에 관한 것이다. 이 경우, μC 내부에서 코어들의 보호를 위한 높은 커버리지의 표시를 위해 듀얼 코어 록 스텝(Dual Core Lockstep)이 제공될 수 있다. 또한, 이런 조치는, 적합한 공통 원인 조치(common cause measure)로서, ASIL D를 위해서도 타당하고 충분하다.
운전자 보조 세그먼트에서는 매우 높은 계산 처리 능력이 요구된다. 현재 시장에는 록 스텝 형태로 요구되는 계산 처리 능력을 나타내는 컴퓨터는 가용하지 않다. 그러므로 코어 내에서의 돌발적인 하드웨어 결함에 대해 높은 수준의 ASIL에 적합한 보호를 달성하는 것은 쉽지 않다. 이런 문제점은, 재차 캐시(Cash) 및 램(RAM)을 위해서도 적합한 보호가 존재해야 한다는 점을 통해 증대되고 있다. 또 다른 도전은, ISO 26262에서 전적으로 고려되는 기능 안전성의 문제들에 추가로 또 다른 안전 문제들도 존재한다는 점에 있다. 알고리즘이 충분히 자신의 임무를 충족할 수 있는지, 예컨대 보행자를 검출할 수 있는지 그 여부의 문제는 ISO 26262에서 다루어지고 있지 않다. 그러나 이처럼 보통 "기능적 결점"으로서 지칭되는 문제 유형들의 경우, 상기 시스템이 소비자의 안전 기대감에 부합할 수 있도록 타당한 해결책 역시도 찾아야만 한다.
독일 공보 DE 10 2009 001 048 A1호로부터는 2개 이상의 처리 유닛을 포함하는 컴퓨터 시스템의 기능 검사를 위한 장치가 공지되어 있으며, 상기 처리 유닛들은, 처리 유닛 자신들이 상이한 프로그램들을 실행(execution)하는 제1 작동 모드로 작동하거나, 또는 처리 유닛 자신들이 동일한 프로그램들을 실행하는 제2 작동 모드로 작동하며, 전환 장치에서 출력되는 전환 신호를 통해 두 작동 모드 간의 전환이 수행된다.
상기 종래기술의 배경에서, 본원에서 제안되는 접근법으로, 주 청구항들에 따르는, 전자 회로 유닛의 상태를 모니터링하기 위한 방법, 그 밖에도 상기 방법을 이용하는 장치, 그리고 마지막으로 상응하는 컴퓨터 프로그램이 제안된다. 종속 청구항들에 열거되는 조치들을 통해서는 독립 청구항에 명시된 장치의 바람직한 개량 및 개선들이 가능하다.
본원에서 제안되는 접근법은 차량의 전자 회로 유닛의 상태를 모니터링하기 위한 방법을 제공하며, 상기 방법은 하기 단계들을 포함한다.
- 제1 처리 결과를 얻기 위해 전자 회로 유닛의 제1 산술논리 유닛에서 제1 처리 사양(processing specification)을 구현하고, 제2 처리 결과를 얻기 위해 전자 회로 유닛의 제2 산술논리 유닛에서 제1 처리 사양과는 다른 제2 처리 사양을 구현하는 단계이며, 이때 제2 산술논리 유닛은 제1 산술논리 유닛으로부터 독립적으로 제2 처리 사양을 구현하도록 형성되는, 상기 구현 단계와;
- 제2 처리 결과가 제1 처리 결과 및/또는 사전 정의된 기준과 사전 결정된 관계가 있다면, 그리고/또는 제1 처리 결과가 제2 처리 결과 및/또는 사전 정의된 기준과 사전 결정된 관계가 있다면, 전자 회로 유닛의 정확한 상태를 판단하는 단계이며, 여기서 상기 판단 단계는 전자 회로 유닛의 안전 영역 내에서 구현되고, 전자 회로 유닛의 안전 영역은 보호 모듈을 포함하며, 보호 모듈은 제1 산술논리 유닛 또는 제2 산술논리 유닛에 비해 부정확한 실행(incorrect execution)으로부터 더 확실하게 보호되는 알고리즘들의 구현을 보장하도록 형성되는, 상기 판단 단계를 포함한다.
전자 회로 유닛의 상태의 모니터링은 전자 회로 유닛의 부정확한 기능의 검출을 의미할 수 있다. 전자 회로 유닛은, 예컨대 공통 하우징 내에 수용되거나, 또는 심지어 예컨대 반도체 웨이퍼와 동일한 제조 기판 상에서 제조된 구성요소들을 포함하는 집적 회로일 수 있다. 처리 사양은, 컴퓨터 또는 자동화 컴퓨터 시스템을 위한 알고리즘 또는 작업 명령들의 시퀀스를 의미할 수 있다. 산술논리 유닛은, 알고리즘의 명령들을 구현하고 실행하도록 구성되는 임의의 유형의 장치를 의미할 수 있다. 예컨대 산술논리 유닛은 마이크로컨트롤러, 디지털 신호 프로세서, FPGA, ASIC를 의미할 수 있거나, 또는 처리 사양의 구현을 위한 명령들의 시퀀스로 로딩될 수 있거나, 또는 이미 상기 처리 사양이 그 내에 비휘발성으로 기록되어 있는 또 다른 CPU 유닛을 의미할 수 있다. 처리 결과는 본원에서는 개별 결과들의 수치 값 또는 집합을 의미할 수 있으며, 예컨대 차량의 주위 영역에서 검출되는 객체들 및/또는 상기 객체들의 위치들의 집합을 의미할 수 있다. 사전 정의된 기준은 예컨대 상회되어서는 안 되거나, 또는 그 대안으로 하회되어서도 안 되는 임계값 또는 한계 값을 의미할 수 있다. 처리 결과들의 사전 결정된 관계는, 예컨대 제1 처리 결과가 제2 처리 결과보다 크거나, 작거나, 또는 특히 그와 같거나, 또는 예컨대 10%의 공차 범위 이내에서 그와 같다는 점을 의미할 수 있다. 이는, 달리 말하면, 제1 처리 결과와 제2 처리 결과 간의 차의 절댓값이 공차 범위의 폭보다 작다는 점을 의미한다.
보호 모듈은 예컨대 전자 회로 유닛의 안전 영역 내에서 연산의 구현을 위한 상응하는 회로 구조(예컨대 컴퓨터 코어)의 2배 구현을 의미할 수 있으며, 오직 두 판단 구조에서 구현된 알고리즘들의 결과가 동일할 때에만 정확하게 구현된 것으로서 평가된다. 그에 따라 전자 회로 유닛의 안전 영역은 예컨대 전술한 산술논리 유닛과 유사하게 구성되는 제1 컴퓨터 코어를 포함할 수 있고, 보호 모듈은 예컨대 제1 컴퓨터 코어와 동일한 제2 컴퓨터 코어 내에 존재하며, 제2 컴퓨터 코어에서는 계산 또는 비교 알고리즘의 실행이 제1 컴퓨터 코어에서와 동일하게, 예컨대 병행하여 수행된다. 그 다음, 제1 컴퓨터 코어 및 제2 컴퓨터 코어에서 관련된 계산 또는 비교 알고리즘의 실행에 기인하는 계산 또는 비교 결과들이 동일하거나, 또는 적어도 10%의 공차 범위 이내에서 같다면, 계산 결과들은 유효한 것으로서 고려될 수 있다.
본원에서 제안되는 접근법은, 서로 독립적인 산술논리 유닛들에서 다양한 처리 사양들의 구현을 통해, 상이한 산술논리 유닛들에서 구현되는 처리 사양들의 각각의 처리 결과들이 서로 비교된다면, 산술논리 유닛들 중 하나 이상의 산술논리 유닛의 하드웨어 내 결함은 기술적으로 신속하고 간단하게 검출될 수 있다는 지식을 기초로 한다. 이런 경우, 상기 처리 결과들의 사전 결정된 관계가 이미 사전에 알려진 기지사항이거나, 또는 산술논리 유닛의 처리 사양의 구현 시 소정의 처리 결과가 예상될 수 있다는 점이 활용될 수 있다. 이는, 특히 제1 처리 사양과 제2 처리 사양이 서로 다를 때, 다시 말해 2개의 상이한 처리 사양이 각각의 제1 산술논리 유닛 및 제2 산술논리 유닛에서 구현될 때, 또는 제1 처리 사양이 제2 처리 사양과 다를 때 바람직하다. 따라서 본원에서 제안되는 접근법은, 표준에 따라서, 집적 회로 또는 전자 회로 유닛의 특별한 안전 영역보다 알고리즘들의 부정확한 처리에 대해 좀 더 덜 보호되지만, 그럼에도 활용될 수 있는 하드웨어 환경들에서도, 차량의 전자 회로 유닛의 기능 또는 상태에 대해 정확성 여부를 모니터링하는 가능성을 제공한다. 이런 사항은, 특히 예컨대 엔진 제어 또는 변속기 제어, 또는 비상 제동의 개시처럼 차량 내의 차량 제어 기능들 또는 운전자 보조 기능들과 같은 다량의 안전 임계 기능들이 모니터링되어야 하고, 이를 위해 집적 회로의 안전 영역 내에 가용한 수치 또는 회로 관련 자원들이 충분하지 않을 수도 있고 이를 위해 오늘날의 프로세서들에 대개 이미 존재하는 집적 회로들 또는 전자 회로 유닛의 약하게 보호되는 영역들이 이용되어야 할 때 활용될 수 있다.
본원에서 제안되는 접근법의 바람직한 일 실시형태에 따라서, 상기 구현 단계에서, 전자 회로 유닛의 공통 하우징 내에 배치되는 제1 산술논리 유닛 및 제2 산술논리 유닛이 이용되며, 특히 제1 산술논리 유닛 및 제2 산술논리 유닛은 공통 제조 기판 상에서 그리고/또는 공통 제조 기판 내에서 제조된다. 본원에서 제안되는 접근법의 상기 실시형태는, 상응하는 산술논리 유닛들을 포함하는 전자 회로 유닛의 상이한 영역들 또는 컴퓨터 코어들이, 그럼에도 불구하고 전자 회로 유닛을 이용할 때 높은 레벨의 안전 기능을 보장하기 위해, 병행하여 이용될 수 있다는 장점을 제공한다.
또한, 본원에서 제안되는 접근법의 바람직한 일 실시형태에 따라서, 상기 구현 단계에서, 차량 기능 및/또는 운전자 보조 기능을 구현하는 제1 및/또는 제2 처리 사양이 이용되며, 특히 차량 기능은 엔진 제어, 변속기 제어 및/또는 인명 보호 수단들의 제어를 구현하고, 그리고/또는 운전자 보조 기능은 차량의 차선 검출, 보행자 검출 및/또는 차량의 이동 궤적의 충돌 자유도의 평가를 구현한다. 차량 기능은 본원에서 예컨대 차량의 임의의 제어 기능, 예컨대 에어백 또는 가역식 탑승자 구속 시스템(reversible passenger restraint system)과 같은 인명 보호 수단의 제어, 엔진 제어, 또는 변속기 제어를 의미할 수 있다. 운전자 보조 기능은, 운전자가 운전자 보조 기능을 이용하지 않을 때에도 실행할 수도 있지만, 그러나 그런 경우 증가된 노력 또는 증가된 주의력으로 실행하게 되는 활동들에서 운전자의 보조를 제공하는 기능을 의미한다. 본원에 제안되는 접근법의 상기 실시형태는, 차량 기능 및/또는 운전자 보조 기능의 구현의 안전 임계 영역에서 이용되어야 하는 전자 회로 유닛의 상태를 특히 신뢰성 있으면서 확실하게 판단하게 한다는 장점을 제공한다.
또한, 본원에서 제안되는 접근법의 생각해볼 수 있는 또 다른 실시형태에 따라서, 구현 단계에서, 제1 처리 사양 및 제2 처리 사양은 공차 범위 이내에서 동일한 제1 처리 결과 및 제2 처리 결과를 공급하도록 형성되고, 판단 단계에서는, 제1 처리 결과가 공차 범위 이내에서 제2 처리 결과와 같다면, 전자 회로 유닛의 정확한 상태가 판단된다. 여기서 공차 범위는, 예컨대 제1 처리 결과가 제2 처리 결과로부터 10% 이하만큼 편차를 나타내는 것을 의미할 수 있다. 본원에서 제안되는 접근법의 상기 실시형태는, 제1 처리 사양 및 제2 처리 사양에서 제1 처리 결과 및 제2 처리 결과의 다양한 계산을 통해, 제1 산술논리 유닛 및 제2 산술논리 유닛의 정확한 기능을 기술적으로 매우 간단하게 점검할 수 있다는 장점을 제공한다. 이런 경우, 예컨대 제1 처리 사양에서는 처리 명령들의 순서가 제2 처리 사양에서의 처리 명령들의 순서에 비해 변경될 수 있다. 이로써, 제1 산술논리 유닛 및 제2 산술논리 유닛의 정확한 기능이 매우 간단하게 점검된다.
본원에서 제안되는 접근법의 또 다른 실시형태에 따라서, 구현 단계에서, 제2 처리 사양은 제1 처리 결과에 적용될 수 있으며, 판단 단계에서는, 제1 처리 사양을 적용할 때 제1 처리 결과를 야기하는 출발 값 또는 초깃값에 제2 처리 결과가 상응한다면, 전자 회로 유닛의 정확한 상태가 판단된다. 본원에서 제안되는 접근법의 상기 실시형태는, 제1 처리 사양을 통해 야기되는 함수 또는 연산의 역함수 또는 역연산이 제2 처리 사양을 통해 수행될 수 있고, 일부 상황들에서 제1 처리 사양 및 제2 처리 사양을 통한 "왕복 계산"을 통해 제1 산술논리 유닛 및 제2 산술논리 유닛의 정확한 기능에 대해 수치 또는 회로 관련 측면에서 매우 간단한 점검이 수행될 수 있다는 장점을 제공한다.
또한, 본원에서 제안되는 접근법의 바람직한 또 다른 실시형태에 따라서, 구현 단계에서, 제2 처리 사양이 제1 처리 결과에 적용되고, 제2 처리 사양은 제1 처리 결과를 필터링하도록 형성된다. 상기 처리 사양 역시도 본원에서 제안되는 콘셉트를 기술적으로 매우 간단하게 구현한다는 장점을 제공한다. 특히 필터링은 상응하는 처리 결과에서 개별 결과들의 집합의 감소를 의미할 수 있으며, 예를 들어 필터링되고 폐기된 개별 결과들은 필터 기준에 상응하지 않는다.
본원에서 제안되는 접근법의 특히 바람직한 일 실시형태에 따라서, 구현 단계 및 판단 단계가 반복해서 실행되고, 후속하여 실행되는 구현 단계에서는 제1 처리 사양이 전자 회로 유닛의 제2 산술논리 유닛에서 실행되고 제2 처리 사양은 전자 회로 유닛의 제1 산술논리 유닛에서, 또는 제1 산술논리 유닛 및 제2 산술논리 유닛과 다른 제3 산술논리 유닛에서 실행된다. 본원에서 제안되는 접근법의 상기 실시형태는, 상이한 산술논리 유닛들에서 상응하는 처리 사양들의 구현의 회전을 통해, 상응하는 개별 산술논리 유닛들에서 하드웨어 결함들의 매우 정밀한 검출의 가능성을 제공한다.
전자 회로 유닛의 상태의 고정밀 판단을 위한 본원에서 제안되는 접근법의 또 다른 실시형태는, 구현 단계에서, 제1 처리 결과 및 제2 처리 결과를 얻기 위해 제1 처리 사양 및 제2 처리 사양이 상이한 초기 데이터에 적용되는 것을 통해 구현된다. 여기서 초기 데이터는 제1 처리 사양 및 제2 처리 사양에서의 처리를 위한 입력 값으로서 이용되는 시작 값을 의미할 수 있다.
또한, 본원에서 제안되는 접근법의 바람직한 일 실시형태에 따라서, 판단 단계의 실행을 위해, 구현 단계의 실행보다 더 적은 계산 처리 능력이 요구된다. 본원에서 제안되는 접근법의 상기 실시형태는, 가용한 계산 처리 능력을 특히 자원 효율적으로 활용한다는 장점을 제공하며, 그럼에도 전자 회로 유닛의 부정확한 기능은 높은 안전도로 검출될 수 있다.
본원에서 제안되는 방법은 예컨대 소프트웨어 또는 하드웨어에서, 또는 소프트웨어와 하드웨어로 구성된 혼합 형태에서, 예컨대 제어 장치에서 구현될 수 있다.
또한, 본원에서 제안되는 접근법은, 상응하는 유닛들에서 본원에서 제안되는 방법의 일 변형예의 단계들을 실행하고 제어하고 구현하도록 형성되는 장치를 제공한다. 장치의 형태인 본 발명의 상기 실시 변형예를 통해서도, 본 발명의 기초가 되는 과제는 신속하면서도 효율적으로 해결될 수 있다.
장치는 본원에서 센서 신호들을 처리하고 이 센서 신호들에 따라서 제어 신호 및/또는 데이터 신호들을 송출하는 전기 장치를 의미할 수 있다. 본원의 장치는 하드웨어 및/또는 소프트웨어에 따라서 형성될 수 있는 인터페이스를 포함할 수 있다. 하드웨어에 따른 형성의 경우, 인터페이스들은, 본원의 장치의 다양한 기능들을 포함하는 이른바 시스템-ASIC의 부분일 수 있다. 그러나 인터페이스들은 고유의 집적 회로일 수 있거나, 또는 적어도 부분적으로 이산 소자들로 구성될 수 있다. 소프트웨어에 따른 형성의 경우에서는, 인터페이스들은, 예컨대 또 다른 소프트웨어 모듈들에 추가로 마이크로컨트롤러 상에 제공되는 소프트웨어 모듈들일 수 있다.
또한, 반도체 메모리, 하드디스크 저장장치, 또는 광학 메모리와 같은 기계 판독 가능 캐리어 또는 저장 매체에 저장될 수 있으며, 그리고 특히 프로그램 제품 또는 프로그램이 컴퓨터 또는 장치에서 실행되면, 앞에서 기재한 실시형태들 중 어느 하나에 따르는 방법의 단계들의 실행, 구현 및/또는 제어를 위해 이용되는 프로그램 코드를 포함하는 컴퓨터 프로그램 제품 또는 컴퓨터 프로그램도 바람직하다.
본 발명의 실시예들은 도면들에 도시되어 있고 하기 기재내용에서 더 상세하게 설명된다.
도 1은 본원에서 제안되는 접근법의 일 실시예에 따르는 장치를 포함하는 차량을 도시한 블록회로도이다.
도 2는 본원에서 제안되는 접근법의 일 실시예에 따르는 방법을 나타낸 흐름도이다.
도 3은 본원에서 제안되는 접근법의 일 실시예에서의 이용을 위한 전자 회로 유닛을 도시한 블록회로도이다.
도 4는 본원에서 제안되는 접근법의 일 실시예에서의 이용을 위한 전자 회로 유닛을 도시한 또 다른 블록회로도이다.
본 발명의 유리한 실시예들의 하기 기재내용에서, 다양한 도면들에 도시되고 유사하게 기능하는 요소들을 위해 동일하거나 유사한 도면부호들이 이용되며, 상기 요소들의 반복 기재는 생략된다.
도 1에는, 본원에서 제안되는 접근법의 일 실시예에 따른 장치(110)가 이용될 수 있는 차량(100)의 블록회로도가 도시되어 있다. 이런 경우, 차량(100)은, 예컨대 차량(100)의 차선 검출, 차량(100) 전방 또는 옆의 보행자 검출, 또는 차량(100)의 차량 궤적에서 객체에 대한 차량 궤적의 충돌 자유도의 평가와 같은 다양한 운전자 보조 기능들을 실행할 수 있도록 하기 위해, 예컨대 전자 회로 유닛(120)을 구비한 운전자 보조 시스템(115)을 포함한다. 그러나 이런 경우, 상기 운전자 보조 시스템(115)의 정확한 기능, 또는 운전자 보조 시스템(115)의 기능들을 실행하는 전자 회로 유닛(120)의 정확한 기능을 보장하는 것이 특히 중요하다. 특히 예컨대 상기 운전자 보조 시스템(115)의 전자 회로 유닛(120) 내의 하드웨어 결함을 통해 차량(100)의 주행 안전성에 대해 중대한 결과를 갖는 오동작들이 야기되는 점은 방지되어야 한다. 예컨대 상기 오동작을 통해 차량(100)의 잘못된 비상 제동이 유도될 수도 있고, 이는 한편으로 차량 탑승자들에 대한 상해위험, 및/또는 후방에서 접근하는 후행 차량을 통한 사고 위험을 초래할 수도 있다. 비록, 운전자 보조 기능들의 알고리즘들을 위한 오늘날의 제어 장치들 또는 실행 유닛들 내에, 이미 특히 오동작에 대해 보호되는 회로 구조들이 존재하기는 하지만, 그러나 주행 기능들 또는 보조 기능들의 증가하는 자동화로 인해 상기 보호되는 회로 구조들의 증가된 소요가 요구되고 있다. 상기 요구를 고려하기 위해, 비록 상대적으로 더 많은 상기 보호되는 회로 구조, 예컨대 2배 개수의 상응하는 컴퓨터 코어들을 포함하는 회로 유닛들이 이용될 수도 있기는 하지만, 그러나 이는 이용 대상 회로들을 위한, 그리고 그에 따라 상기 운전자 보조 기능들의 구현을 위한 증가된 비용을 야기할 수도 있다.
이와 유사하게, 많은 차량(100)에는, 마찬가지로 예컨대 엔진 제어 기능 또는 변속기 제어 기능들의 실행, 또는 에어백 또는 보행자 보호 시스템들과 같은 인명 보호 수단들의 제어와 같은 차량 기능들을 실행하는 하나 또는 복수의 전자 회로 유닛이 구현되어 있다. 또한, 상기 전자 회로 유닛들을 위해, 높은 레벨의 안전성의 전술한 문제점과 유사하게 운전자 보조 시스템들의 경우 상기 전자 회로 유닛들이 정확하게 기능을 발휘하는 점이 보장되어야 하며, 그럼으로써 여기서도 특별한 안전 아키텍처가 이용되어야 한다.
상기 유형으로 상대적으로 더 많은 개수의 보호되는 회로 구조를 포함하는 상기 회로 유닛들의 이용에 비해, 본원에서 제안되는 접근법에서는, 종래 전자 회로 유닛(120)에 의해서도, 전자 회로 유닛(120)의 상태가 매우 바람직하게 모니터링될 수 있음으로써, 운전자 보조 시스템(115) 또는 상응하는 차량 제어 시스템의 유사하게 확실한 기능이 보장될 수 있는 방법이 제시된다. 전자 회로 유닛(120)의 상태의 상기 모니터링은, 예컨대 가속도 센서(125), 압력 센서(130) 또는 레이더 센서(135)와 같은 하나 또는 복수의 센서의 데이터(122)가 판독 입력 인터페이스(140)(read-in interface)를 통해 전자 회로 유닛(120)의 상태 모니터링용 장치(110) 내에 판독 입력되는 것을 통해 수행될 수 있다. 그런 다음, 상기 데이터(122) 또는 상기 데이터(122)의 일부분은, 제1 처리 결과(155)를 얻기 위해, 제1 산술논리 유닛(145) 내에서 제1 처리 사양(150)의 이용하에 처리될 수 있다. 이런 경우, 제1 처리 사양(150)은 데이터(122) 또는 상기 데이터(122)의 일부분이 처리되는데 도움을 주는 특수 알고리즘 또는 명령들의 시퀀스일 수 있다.
이런 경우, 제1 처리 결과(155)는, 예컨대 차량(100)의 주변 공간에 있는 객체들 또는 이 객체들의 위치들을 나타내는 정확한 값이거나, 또는 값들의 집합일 수 있다.
또한, 이와 유사하게, 데이터(122), 상기 데이터(122)의 일부분, 또는 제1 처리 결과(155)는 제2 산술논리 유닛(160) 내로 전달될 수 있으며, 이 제2 산술논리 유닛 내에서는, 제2 처리 결과(170)를 얻기 위해, 제2 처리 사양(165)이 상기 데이터(122) 또는 제1 처리 결과(155)에 적용된다. 이 경우, 제1 산술논리 유닛(145)은 제2 산술논리 유닛(160)으로부터 독립적으로 작동해야 하는데, 다시 말해 제1 산술논리 유닛(145) 내에서의 명령들의 실행은 제2 산술논리 유닛(160) 내에서의 상태들 또는 실행되는 명령들로부터 독립적이어야 한다. 여기서도, 제2 처리 사양(165)은, 데이터(122) 또는 상기 데이터(122)의 일부분이 처리되는데 도움을 주는 특수 알고리즘 또는 명령들의 시퀀스일 수 있다. 제2 처리 결과(170)는 마찬가지로 다시 예컨대 차량(100)의 공간 내에 있는 객체들 또는 이 객체들의 위치들을 나타내는 정확한 값이거나, 또는 값들의 집합일 수 있다. 이제, 판단 유닛(175) 내에서는, 전자 회로 유닛(120)의 정확한 상태를 판단하기 위해, 제1 처리 결과(155) 및/또는 제2 처리 결과(170)가 이용될 수 있다. 판단 유닛(175)은 전자 회로 유닛(120)의 안전 영역 내에 배치되며, 전자 회로 유닛(120)의 안전 영역은 보호 모듈을 포함하며, 보호 모듈은 제1 산술논리 유닛(145) 또는 제2 산술논리 유닛(160)에 비해 부정확한 실행으로부터 더 확실하게 보호되는 알고리즘들의 구현을 보장하도록 형성된다.
예컨대 신호(180)로서 출력되는 전자 회로 유닛(120)의 정확한 상태의 상기 판단은, 예컨대 제2 처리 결과(170)가 제1 처리 결과(155), 및/또는 예컨대 임계값과 같은 사전 정의된 기준과 사전 결정된 관계가 있을 때 수행될 수 있다. 그 대안으로, 또는 그에 추가로, 전자 회로 유닛(120)의 정확한 상태는, 제1 처리 결과(155)가 제2 처리 결과(170), 및/또는 예컨대 임계값과 같은 사전 정의된 기준과 사전 결정된 관계가 있을 때 판단될 수 있다. 이 경우, 예컨대, 제1 처리 결과(155) 및/또는 제2 처리 결과(170)는, 전자 회로 유닛의 정확한 상태를 판단하기 위해, 사전 정의된 기준으로서의 상기 임계값보다 크거나, 작거나, 그와 같거나, 또는 예컨대 10%의 사전 결정된 공차 범위 이내에서 그와 같을 수 있다.
도 2에는, 차량의 전자 회로 유닛의 상태를 모니터링하기 위한 방법(200)으로서 본원에서 제안되는 접근법의 일 실시예의 흐름도가 도시되어 있다. 본원의 방법(200)은, 제1 처리 결과를 얻기 위해 전자 회로 유닛의 제1 산술논리 유닛에서 제1 처리 사양을 구현하고, 제2 처리 결과를 얻기 위해 전자 회로 유닛의 제2 산술논리 유닛에서 제1 처리 사양과는 다른 제2 처리 사양을 구현하는 단계(210)이며, 이때, 제2 산술논리 유닛은 제1 산술논리 유닛으로부터 독립적으로 제2 처리 사양을 구현하도록 형성되는, 상기 구현 단계를 포함한다. 또한, 본원의 방법(200)은, 제2 처리 결과가 제1 처리 결과 및/또는 사전 정의된 기준과 사전 결정된 관계가 있다면, 그리고/또는 제1 처리 결과가 제2 처리 결과 및/또는 사전 정의된 기준과 사전 결정된 관계가 있다면, 전자 회로 유닛의 정확한 상태를 판단하는 단계(220)도 추가로 포함하며, 여기서 상기 판단 단계(220)는 전자 회로 유닛의 안전 영역 내에서 구현되고, 전자 회로 유닛의 안전 영역은 보호 모듈을 포함하며, 보호 모듈은 제1 산술논리 유닛 또는 제2 산술논리 유닛에 비해 부정확한 실행으로부터 더 확실하게 보호되는 알고리즘들의 구현을 보장하도록 형성된다.
따라서 본원에서 제안되는 접근법은, 운전자 보호 시스템들을 위한 향상된 안전성 콘셉트를 구현하는 바람직한 가능성을 제공한다. 이 경우, 기능적 결점의 억제 및 하드웨어 보호도 동시에 타당하게 구현될 수 있게 하는 콘셉트도 제안된다.
적용 기능의 안전성 분석의 과정에서, 타당한 방식으로 확실하게 구현되어야 하는 운전자 보조 시스템(115)의 부분 기능들이 확인된다. 본원에서 제안되는 접근법에서, 상기 부분 기능들은, 차량 탑승자, 또는 차량(100) 외부의 인명 또는 객체에 위험요소를 야기하지 않도록 하기 위해, 특히 확실히 기능을 발휘해야 하는 상이한 처리 사양들로서, 또는 DSF(디자인 안전성 기능)로서 지칭된다. 특히 상기 처리 사양들 또는 DSF들의 예시들은 하기와 같을 수 있다.
- 차량(100)의 차선 검출,
- 차량(100) 외부에 있는 보행자들의 검출,
- 차량(100)의 주행 궤적의 충돌 자유도의 평가.
DSF의 구현 시 기능적 결점의 억제를 위해, 보통, DSF의 알고리즘 실현 시에, 모두 기여도를 갖는 (적어도) 2개의 상이한 부분(DSF_1 및 DSF_2)을 이용하는 것이 적합하다. 예컨대 제1 처리 사양(150)은 전술한 기재내용에 따라서 제1 부분("DSF_1")으로서 간주되거나 지칭될 수 있고, 제2 처리 사양(165)은 제2 부분("DSF_2")으로서 간주되거나 지칭될 수 있다. 단지 두 부분 모두 기여를 거절할 때에만, 전자 회로 유닛(120)의 임계적 시스템 결함이 발생한다. 이는 예컨대 하기와 같이 구현될 수 있다.
- 다양한 계산, 다시 말해 2가지 방식의 계산. 이런 경우에, DSF_1(150) 및 DSF_2(165)는 실질적으로 동일한 임무를 갖는다. 그에 따라, 처리 사양들(150 또는 165)은, 비록 처리 사양들의 명령들의 시퀀스 또는 그 구조가 변경된다고 하더라도, 적어도 실질적으로 동일한 결과로 이어져야 한다.
- 검사 루틴: 일측 부분의 결과는 타측 부분에 의해 타당성이 검사된다. 예컨대 DSF_2에서의 제2 처리 결과(170)를 통해, 제1 처리 사양(DSF_1)의 제1 처리 결과(155)의 타당성이 검사될 수 있다. 상기 사전 할당은, 예컨대 제1 처리 사양(150)이 수치로, 또는 회로와 관련하여 복잡하게 구현되는 경우, 상기 복잡한 제1 처리 사양(155)에 대해 매우 간단한 역연산이 제2 처리 사양(165)으로서 이용된다면, 제1 처리 결과는 훨씬 더 간단하게 점검될 수 있다는 장점을 제공한다.
- 2차 필터: 또한, 제2 처리 사양(165 또는 DSF_2) 역시도 제1 처리 결과(155)를 추가 처리할 수 있고 이와 동시에 제1 처리 사양(150 또는 DSF_1)의 결함을 필터링할 수 있다.
한편, 추가 형태들, 또한 혼합된 형태들 역시도 있다. 여기서 알고리즘 차이 및 상호작용의 형태는 계속 고려되지 않지만, 그러나 본원에서 제안되는 접근법에 의해 배제되지는 않는다.
여기서 중요한 점은, 최대한 독립적인 고장 거동을 나타내야 하고 그에 따라 최대한 2개의 상이한 산술논리 유닛(145 또는 160) 또는 컴퓨터 코어에서 실행되어야 하는 (적어도) 2개의 부분이 존재한다는 점이다. 이런 경우, 본원에서 제안되는 접근법의 중요한 양태는, 상기 두 부분이 다양한 코어들에서, 가능하다면 다양한 캐시들에서, 그리고 심지어는 분리된 RAM 영역들에서 실행된다는 점에 있다.
본원에서 제안되는 접근법의 주요 장점은, 그 결과로서, 바로 다수의 부분 기능(DSF_1 및 DSF_2)의 도입처럼, 기능적 결점들의 억제를 위해 도입되는 메커니즘들을 하드웨어 보호를 위해서도 이용할 수 있다는 점에 있는데, 그 이유는 그렇게 상황에 따라서 코어 보호, 캐시 보호 및 RAM 보호를 위한 높은 커버리지를 논거에 따라 판단할 수 있기 때문이다.
운전자 보조 시스템들 및 고자동화 시스템들을 위한 고성능 칩 또는 상응하는 전자 회로 유닛(120)의 가능한 하드웨어 아키텍처의 블록회로도는 도 3에 도시되어 있다.
칩 또는 전자 회로 유닛(120) 내에는 "세이프 아일랜드(safe island)"가 존재하며, 다시 말하면 하나 또는 복수의 하드웨어 보호형 코어 또는 컴퓨터 코어(310)를 포함하는 전자 회로 유닛(120)의 안전 영역(300)으로서 보호되는 계산 플랫폼이 존재한다. 상기 보호는 예컨대 안전 모듈을 통해 수행될 수 있는데, 이 안전 모듈은 상응하는 컴퓨터 코어들(310)을 배가(doubling)시키며, 그리고 두 컴퓨터 코어(310) 상에서 동일하게 실행되는 처리 사양이, 동일한 결과 역시 공급할 때에만, 상기 처리 사양의 정확한 처리를 상정한다. 바람직하게, 상기 컴퓨터 코어들(310)은 예컨대 록 스텝 컴퓨터로서 표시된다. 이런 컴퓨터 플랫폼 또는 안전 영역(300)은, 최상의 경우에서, 이용되는 코어들(310)에 추가로 여기서 이용되는 캐시들 역시도 보호하면서 ASIL D에 적합한 플랫폼을 나타낸다. 그에 따라, 예컨대 운전자 보조, 또는 예컨대 엔진 제어 또는 사람 구속 수단 제어와 같은 차량 기능의 전술한 상응하는 기능들의 구현을 위해 필요한 총 계산 처리 능력이 상기 세이프 아일랜드(300)에서 제공될 수 있는지는 고려되지 않는다. 그러므로 예컨대 제1 산술논리 유닛(145)으로서, 제2 산술논리 유닛(160) 또는 추가 산술논리 유닛들(330)로서 지칭될 수 있으면서 매우 고성능인 복수의 코어를 포함하는 계산 출력 구역(320)이 존재한다. 칩 상에는, 재차 또 다른 구성요소들(340)(예: 통신, I/O, 사전 처리, ...)이 존재하지만, 그러나 상기 구성요소들은 여기서는 계속해서 관련되지 않으며 그에 따라 더 상세하게 기재하지는 않는다.
세이프 아일랜드(300)에서 구현되지 않는 DSF 또는 처리 사양들은 상황에 따라서 계산 출력 구역(320)의 구성요소들(320) 내에서 실행되어야 한다. 이는, 도 4에 따른 블록회로도 도면에 재현되어 있는 것처럼, DSF의 구성요소들 또는 처리 사양들(DSF_1 및 DSF_2)이 계산 출력 구역(320)의 2개의 상이한 코어 또는 산술논리 유닛(145 및 160)으로 분배되도록, 또는 실행을 위해 상기 산술논리 유닛들로 로딩되도록 일어난다. 그에 따라, DSF_1(150) 및 DSF_2(165)는 코어들 중 하나(145 또는 160) 내의 동일한 하드웨어 결합을 통해 직접적인 영향을 받지 않을 수 있으며, 특히 동일한 유형의 영향 가능성도 충분히 낮다. 전형적으로 코어들 각각(145, 160 또는 330)은 고유의 L1 캐시를 포함한다. 다시 말해, 상기 캐시들을 위해, 상기 방법은 추가로 (DSF와 관련된) 보호 논거(protection argument)를 생성한다. 그럼에도, 자명하게, 바람직하게는, L1 캐시는 추가로 적합한 조치들(예: 패리티, ECC, 태그 보호, 재부호화, ...)을 통해 보호된다. 공통 원인 분석은 적용 고유의 방식으로 자연히 실행되어야 한다. 상기 공통 원인 분석은, 그 충족을 통해 두 부분의 독립성이 증가될 수 있게 하는 추가 요구사항들을 야기할 수 있다. 예컨대, L2 캐시 결함이 직접적인 영향을 미칠 수 없도록 하기 위해, 다양한 라이브러리들이 이용되어야 할 수 있다.
원칙상, 코어들(145, 160, 또는 330)의 최대한 강력한 시험들을 가용하게 하는 것이 적합하다. 상기 시험들은 가능하다면 하드웨어 지원 BIST(내장 자기 테스트)이어야 하지만, 그러나 소프트웨어 솔루션도 역시 생각해볼 수 있다. 기능적 결점을 통한 두 변형예의 차이의 빈도에 따라서, 차이가 확인되었다면, 시험을 목표한 바대로 활성화할 수도 있다. 코어들 및 계산 처리 능력이 충분하게 존재한다면, 중복 작동하는 "스페어(spare)" 코어의 교차 비교 역시도 시험으로서 고려될 수 있다. DSF_1 및 DSF_2의 두 부분 결과의 병합(merging)은 바람직하게는 부정확한 알고리즘 실행에 대해 특히 보호되는 안전 영역(300) 내에서 "세이프 아일랜드" 또는 "유닛(들)(310)을 통해 수행되어야 한다. "세이프 아일랜드"(300)가 없는 아키텍처가 선택되어야 한다면, 병합은 각각 두 코어 상에서도 구현되지만, 그러나 그와 동시에 개별 결함들이 두 코어(145 또는 160)에 어떠한 작용도 하지 않도록 보장되어야 한다.
각각의 제1 처리 사양 및 제2 처리 사양(150 또는 165)은 도 3 및 도 4에 미도시한 모니터링용 장치(110)를 통해 제1 또는 제2 산술논리 유닛(145 및 160)으로 로딩될 수 있다. 제1 및/또는 제2 처리 결과(155 또는 170)에 따른 전자 회로 유닛(120)의 정확한 상태의 평가 또는 판단 역시도, 일부 실시예들에서 안전 영역의 컴퓨터 코어들(310)을 통해 형성될 수 있지만, 그러나 도 3 및 도 4에 도시되지 않은 유닛들을 통해서도 구현될 수 있는 상응하는 유닛(175) 내에서 실행될 수 있다.
분명한 점은, 본원에서 제안되는 방법이 3개 이상의 구성요소들로 확대될 수 있다는 점이다. 이런 경우, 필요에 따라, 보팅(voting) 및 그에 따른 결함 공차 계층(defect tolerance layer) 역시도 구현될 수 있다.
확장의 측면에서, 바람직한 선택 사항으로서, 관련된 코어들을 주기적으로 교체할 수 있다. 예컨대 일 주기에서 쌍(DSF_1, DSF_2)은 코어들(C1, C2 또는 145 및 160)에 의존하게 할 수 있고, 다음 주기에서는 (C2 또는 160 및 C3 또는 330) 등 내지 (Cn, C1)에 의존하게 할 수 있다. 어느 것이 소프트웨어 복잡성에서 여전히 통제 가능한 주기 크기(cycle size)(시스템 주기에서부터 주행 주기까지)인지는 개별적으로 결정된다. 원칙상, 바람직하게는, 부분들(DSF_1, DSF_2)은, 심지어 입력 데이터(122)와 관련하여, 서로 다르다. 견고성의 문맥에서 최적인 사항에 따라서, 다양한 (최대한 다양한) 센서 데이터가 이용된다. 그러나 이는 반드시 필요한 것은 아니다.
일 실시예가 제1 특징과 제2 특징 사이에 "및/또는" 혹은 "그리고/또는" 접속사를 포함한다면, 이는, 상기 실시예가 일 실시형태에 따라서 제1 특징뿐 아니라 제2 특징도 포함하고 또 다른 실시형태에 따라서는 단지 제1 특징만을, 또는 단지 제2 특징만을 포함하는 것으로 해석되어야 한다.

Claims (12)

  1. 차량(100)의 전자 회로 유닛(120)의 상태를 모니터링하기 위한 방법(200)에 있어서, 상기 방법(200)은
    - 제1 처리 결과(155)를 얻기 위해 전자 회로 유닛(120)의 제1 산술논리 유닛(145)에서 제1 처리 사양(150)을 구현하고(210), 제2 처리 결과(170)를 얻기 위해 전자 회로 유닛(120)의 제2 산술논리 유닛(160)에서 제1 처리 사양(150)과는 다른 제2 처리 사양(165)을 구현하는 단계(210)이며, 제2 산술논리 유닛(160)은 제1 산술논리 유닛(145)으로부터 독립적으로 제2 처리 사양(165)을 구현하도록 형성되는 상기 구현 단계와;
    - 제2 처리 결과(170)가 제1 처리 결과(155) 및/또는 사전 정의된 기준과 사전 결정된 관계가 있다면, 그리고/또는 제1 처리 결과(155)가 제2 처리 결과(170) 및/또는 사전 정의된 기준과 사전 결정된 관계가 있다면, 전자 회로 유닛(120)의 정확한 상태(180)를 판단하는 단계(220)이며, 상기 판단 단계(220)는 전자 회로 유닛(120)의 안전 영역(300) 내에서 구현되고, 전자 회로 유닛(120)의 안전 영역(300)은 보호 모듈을 포함하며, 상기 보호 모듈은 제1 산술논리 유닛(145) 또는 제2 산술논리 유닛(160)에 비해 부정확한 실행으로부터 더 확실하게 보호되는 알고리즘들의 구현을 보장하도록 형성되는, 상기 판단 단계를 포함하는, 차량의 전자 회로 유닛의 상태 모니터링 방법(200).
  2. 제1항에 있어서, 상기 구현 단계(210)에서, 제1 처리 사양(150) 및 제2 처리 사양(165)은, 공차 범위 이내에서 동일한 제1 처리 결과(155) 및 제2 처리 결과(170)를 공급하도록 형성되며, 상기 판단 단계(220)에서는, 제1 처리 결과(155)가 공차 범위 이내에서 제2 처리 결과(170)와 같다면, 전자 회로 유닛(120)의 정확한 상태(180)가 판단되는 것을 특징으로 하는, 차량의 전자 회로 유닛의 상태 모니터링 방법(200).
  3. 제1항 또는 제2항에 있어서, 상기 구현 단계(210)에서, 제2 처리 사양(165)이 제1 처리 결과(155)에 적용되고, 상기 판단 단계(220)에서는, 제2 처리 결과(170)가, 제1 처리 사양(150)을 적용할 때 제1 처리 결과(155)를 야기하는 초깃값(122)에 상응한다면, 전자 회로 유닛(120)의 정확한 상태가 판단되는 것을 특징으로 하는, 차량의 전자 회로 유닛의 상태 모니터링 방법(200).
  4. 제1항 내지 제3항 중 어느 한 항에 있어서, 상기 구현 단계(210)에서, 제2 처리 사양(165)은 제1 처리 결과(155)에 적용되며, 제2 처리 사양(165)은 제1 처리 결과(155)를 필터링하도록 형성되는 것을 특징으로 하는, 차량의 전자 회로 유닛의 상태 모니터링 방법(200).
  5. 제1항 내지 제4항 중 어느 한 항에 있어서, 상기 구현 단계(210) 및 판단 단계(220)가 반복해서 실행되며, 후속하여 실행되는 구현 단계(210)에서는 제1 처리 사양(150)이 전자 회로 유닛(120)의 제2 산술논리 유닛(160)에서 실행되고 제2 처리 사양(165)은 전자 회로 유닛(120)의 제1 산술논리 유닛(145)에서, 또는 제1 산술논리 유닛(145) 및 제2 산술논리 유닛(160)과 다른 제3 산술논리 유닛(330)에서 실행되는 것을 특징으로 하는, 차량의 전자 회로 유닛의 상태 모니터링 방법(200).
  6. 제1항 내지 제5항 중 어느 한 항에 있어서, 상기 구현 단계(210)에서, 제1 처리 사양(150) 및 제2 처리 사양(165)은, 제1 처리 결과(155) 및 제2 처리 결과(170)를 얻기 위해, 상이한 초기 데이터(122)에 적용되는 것을 특징으로 하는, 차량의 전자 회로 유닛의 상태 모니터링 방법(200).
  7. 제1항 내지 제6항 중 어느 한 항에 있어서, 상기 판단 단계(220)의 실행을 위해, 상기 구현 단계(210)의 실행보다 더 적은 계산 처리 능력이 요구되는 것을 특징으로 하는, 차량의 전자 회로 유닛의 상태 모니터링 방법(200).
  8. 제1항 내지 제7항 중 어느 한 항에 있어서, 상기 구현 단계(210)에서, 공통 제조 기판 상에서 그리고/또는 공통 제조 기판 내에서 제조되는 제1 산술논리 유닛(145) 및 제2 산술논리 유닛(160)이 이용되며, 특히 제1 산술논리 유닛(145) 및 제2 산술논리 유닛(160)은 전자 회로 유닛(120)의 공통 하우징 내에 배치되는 것을 특징으로 하는, 차량의 전자 회로 유닛의 상태 모니터링 방법(200).
  9. 제1항 내지 제8항 중 어느 한 항에 있어서, 상기 구현 단계(210)에서, 차량 기능 및/또는 운전자 보조 기능을 구현하는 제1 및/또는 제2 처리 사양(165)이 이용되며, 특히 차량 기능은 엔진 제어, 변속기 제어 및/또는 인명 보호 수단들의 제어를 구현하고, 그리고/또는 운전자 보조 기능은 차량(100)의 차선 검출, 보행자 검출 및/또는 및/또는 차량(100)의 이동 궤적의 충돌 자유도의 평가를 구현하는 것을 특징으로 하는, 차량의 전자 회로 유닛의 상태 모니터링 방법(200).
  10. 제1항 내지 제9항 중 어느 한 항에 따른 방법(200)을 실행하도록 구성되는 장치(110).
  11. 제1항 내지 제9항 중 어느 한 항에 따른 방법(200)을 실행하도록 구성되는 컴퓨터 프로그램.
  12. 제11항에 따른 컴퓨터 프로그램이 저장되어 있는 기계 판독 가능 저장 매체.
KR1020187007995A 2015-08-24 2016-07-20 차량의 전자 회로 유닛의 상태 모니터링 방법 및 그 장치 KR102636306B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102015216086.6 2015-08-24
DE102015216086.6A DE102015216086A1 (de) 2015-08-24 2015-08-24 Verfahren und Vorrichtung zum Überwachen eines Zustandes einer elektronischen Schaltungseinheit eines Fahrzeugs
PCT/EP2016/067253 WO2017032513A1 (de) 2015-08-24 2016-07-20 Verfahren und vorrichtung zum überwachen eines zustandes einer elektronischen schaltungseinheit eines fahrzeugs

Publications (2)

Publication Number Publication Date
KR20180043322A true KR20180043322A (ko) 2018-04-27
KR102636306B1 KR102636306B1 (ko) 2024-02-15

Family

ID=56550862

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020187007995A KR102636306B1 (ko) 2015-08-24 2016-07-20 차량의 전자 회로 유닛의 상태 모니터링 방법 및 그 장치

Country Status (6)

Country Link
US (1) US10782697B2 (ko)
EP (1) EP3341843B1 (ko)
KR (1) KR102636306B1 (ko)
CN (1) CN107924348B (ko)
DE (1) DE102015216086A1 (ko)
WO (1) WO2017032513A1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112100028A (zh) * 2020-09-02 2020-12-18 宁波吉利汽车研究开发有限公司 一种车用算法的监测方法、系统及车辆
DE102020213226A1 (de) 2020-10-20 2022-04-21 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren und Vorrichtung zur Prüfung einer Funktionsfähigkeit eines Umfeldsensorsystems in einem zumindest teilautomatisierten Fahrzeug
DE102021117947A1 (de) 2021-07-12 2023-01-12 Bayerische Motoren Werke Aktiengesellschaft Steuern einer Steuervorrichtung

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070062577A (ko) * 2004-10-25 2007-06-15 로베르트 보쉬 게엠베하 적어도 2개의 실행 유닛을 포함하는 컴퓨터 시스템의신호를 평가하기 위한 방법 및 장치
US20090217092A1 (en) * 2005-08-08 2009-08-27 Reinhard Weiberle Method and Device for Controlling a Computer System Having At Least Two Execution Units and One Comparator Unit
US20100306601A1 (en) * 2007-09-21 2010-12-02 Continental Teves Ag & Co. Ohg Integrated microprocessor system for safety-critical control systems
KR20130119452A (ko) * 2010-11-19 2013-10-31 콘티넨탈 테베스 아게 운트 코. 오하게 오류 허용 아키텍쳐를 갖는 마이크로프로세서 시스템

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5903454A (en) * 1991-12-23 1999-05-11 Hoffberg; Linda Irene Human-factored interface corporating adaptive pattern recognition based controller apparatus
DE4302483C2 (de) 1993-01-29 2002-07-11 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung einer Brennkraftmaschine
DE10007008B4 (de) 2000-02-16 2007-03-08 Daimlerchrysler Ag Verfahren zur Überwachung einer Datenverarbeitungseinrichtung
DE102008021241B4 (de) 2008-04-28 2018-04-19 Bombardier Transportation Gmbh Messwert-Anzeige, insbesondere im Führerstand eines Schienenfahrzeugs
DE102009001048A1 (de) 2009-02-20 2010-08-26 Robert Bosch Gmbh Vorrichtung und Verfahren zur Prüfung der Arbeitsweise eines Rechnersystems
JP5316128B2 (ja) 2009-03-17 2013-10-16 トヨタ自動車株式会社 故障診断システム、電子制御ユニット、故障診断方法
FR2950769B1 (fr) * 2009-09-30 2022-09-16 Trustseed Sas Systeme et procede de gestion de sessions de correspondance electronique securisee
DE102009047071A1 (de) 2009-11-24 2011-05-26 Robert Bosch Gmbh Verfahren und Steuergerät zur Erkennung einer Breite eines Aufprallbereiches eines Objektes im Frontbereich eines Fahrzeugs
US9015093B1 (en) * 2010-10-26 2015-04-21 Michael Lamport Commons Intelligent control with hierarchical stacked neural networks
JP2014063258A (ja) 2012-09-20 2014-04-10 Renesas Electronics Corp 半導体集積回路装置及びマイクロコントローラ

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070062577A (ko) * 2004-10-25 2007-06-15 로베르트 보쉬 게엠베하 적어도 2개의 실행 유닛을 포함하는 컴퓨터 시스템의신호를 평가하기 위한 방법 및 장치
US20090217092A1 (en) * 2005-08-08 2009-08-27 Reinhard Weiberle Method and Device for Controlling a Computer System Having At Least Two Execution Units and One Comparator Unit
US20100306601A1 (en) * 2007-09-21 2010-12-02 Continental Teves Ag & Co. Ohg Integrated microprocessor system for safety-critical control systems
KR20130119452A (ko) * 2010-11-19 2013-10-31 콘티넨탈 테베스 아게 운트 코. 오하게 오류 허용 아키텍쳐를 갖는 마이크로프로세서 시스템

Also Published As

Publication number Publication date
DE102015216086A1 (de) 2017-03-02
EP3341843A1 (de) 2018-07-04
CN107924348A (zh) 2018-04-17
CN107924348B (zh) 2021-06-18
US20200225667A1 (en) 2020-07-16
US10782697B2 (en) 2020-09-22
WO2017032513A1 (de) 2017-03-02
EP3341843B1 (de) 2019-07-10
KR102636306B1 (ko) 2024-02-15

Similar Documents

Publication Publication Date Title
CN110650878B (zh) 异常判定装置、异常判定方法以及计算机可读存储介质
US9874609B2 (en) Sensor self-diagnostics using multiple signal paths
JP4601524B2 (ja) エアバッグ装置
US6625688B1 (en) Method and circuit for analysis of the operation of a microcontroller using signature analysis of memory
US6421790B1 (en) Method and circuit for analysis of the operation of a microcontroller using signature analysis of data and instructions
US10042791B2 (en) Abnormal interrupt request processing
US9323595B2 (en) Microcontroller, control device and determination method
US9207661B2 (en) Dual core architecture of a control module of an engine
US10281525B2 (en) Semiconductor device and diagnostic test method for both single-point and latent faults using first and second scan tests
KR20180043322A (ko) 차량의 전자 회로 유닛의 상태 모니터링 방법 및 그 장치
JP2008074127A (ja) 車両用乗員保護装置の起動制御装置
JP5094777B2 (ja) 車載用電子制御装置
CN108466622A (zh) 用于控制对象安全系统的传感器设备的装置和方法
US8854049B2 (en) Timer unit, system, computer program product and method for testing a logic circuit
JP2012006535A (ja) 車載電子制御装置
JP2021518304A (ja) 車両用センサ装置およびセンサを監視する方法
JP2012183877A (ja) 車両用乗員保護システムの検知処理装置
US9244750B2 (en) Method and control system for carrying out a plausibility check of a first driver input sensor with regard to a second driver input sensor which is different from the first driver input sensor of a motor vehicle
EP3153970A1 (en) A vehicle safety electronic control system
JP6390381B2 (ja) 車両用ecu
JP4820679B2 (ja) 車両用電子制御装置
CN113602225A (zh) 用于确定车辆的碰撞类型的方法
JP2022541555A (ja) 車両の人員保護手段を起動させるための制御装置および方法
JP2012068788A (ja) 情報処理装置、異常検出方法
JP3830837B2 (ja) センサ自己診断信号適正処理機能付き車載電子制御回路

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right