KR20190045677A - 복수의 mcu를 가진 시스템의 페일 세이프 장치 및 방법 - Google Patents

복수의 mcu를 가진 시스템의 페일 세이프 장치 및 방법 Download PDF

Info

Publication number
KR20190045677A
KR20190045677A KR1020170138533A KR20170138533A KR20190045677A KR 20190045677 A KR20190045677 A KR 20190045677A KR 1020170138533 A KR1020170138533 A KR 1020170138533A KR 20170138533 A KR20170138533 A KR 20170138533A KR 20190045677 A KR20190045677 A KR 20190045677A
Authority
KR
South Korea
Prior art keywords
pulse
unit
mcu
fail
signal
Prior art date
Application number
KR1020170138533A
Other languages
English (en)
Inventor
조동철
김연수
윤필산
조수빈
Original Assignee
엘에스오토모티브테크놀로지스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘에스오토모티브테크놀로지스 주식회사 filed Critical 엘에스오토모티브테크놀로지스 주식회사
Priority to KR1020170138533A priority Critical patent/KR20190045677A/ko
Publication of KR20190045677A publication Critical patent/KR20190045677A/ko

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/03Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for supply of electrical power to vehicle subsystems or for
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0062Adapting control system settings
    • B60W2050/0075Automatic parameter input, automatic initialising or calibrating means
    • B60W2050/0083Setting, resetting, calibration
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0292Fail-safe or redundant systems, e.g. limp-home or backup systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Debugging And Monitoring (AREA)

Abstract

복수의 MCU를 가진 시스템의 페일 세이프 장치 및 방법에 관한 기술이 개시된다.
본 발명의 일 실시예에 따른 복수의 MCU를 가진 시스템의 페일 세이프 장치는, 상기 시스템에 포함되는 메인 시스템부 및 서브 시스템부에 각각 전원을 공급하고, 상기 메인 시스템부를 제어하며 상기 서브 시스템부의 장애 발생 여부를 검사하는 제1 MCU로부터 워치독 타이머(watchdog timer)를 리셋하는 펄스를 수신하여 상기 펄스의 이상 여부를 확인하는 전원 공급부; 상기 전원 공급부로부터 상기 펄스의 이상을 알리는 펄스 이상 확인 신호를 수신하고, 상기 서브 시스템부를 제어하며 상기 메인 시스템부의 장애 발생 여부를 검사하는 제2 MCU로부터 상기 메인 시스템부의 장애 발생을 알리는 제1 장애 확인 신호를 수신하여, 상기 제1 MCU를 리셋하는 제1 페일 세이프 처리부; 및 상기 전원 공급부로부터 상기 펄스 이상 확인 신호를 수신하고, 상기 제1 MCU로부터 상기 서브 시스템부의 장애 발생을 알리는 제2 장애 확인 신호를 수신하여, 상기 제2 MCU를 리셋하는 제2 페일 세이프 처리부를 포함하여, 복수의 MCU를 가진 시스템에서 시스템 정지 또는 장애 상태의 고착화를 방지하고, 페일 세이프 제어의 정확성과 신뢰성을 개선한다.

Description

복수의 MCU를 가진 시스템의 페일 세이프 장치 및 방법{Fail-safe device and method of a system having multiple MCUs}
본 발명은 복수의 MCU를 가진 시스템의 페일 세이프 장치 및 방법에 관한 것으로서, 더욱 상세하게는, 각 MCU의 동작 이상에 따른 시스템 정지 또는 장애 상태의 고착화를 방지하는 페일 세이프 장치 및 방법에 관한 것이다.
일반적으로, 페일 세이프(fail safe) 기술은, 전체 시스템을 구성하는 일부분의 장애나 오작동에 대비하여 추가적인 장치나 시스템을 적용함으로써, 전체 시스템의 동작 중단을 방지하는 기술을 말한다. 최근, 페일 세이프 기술은 차량의 전장 시스템 기술 분야 등과 같이 시스템의 동작 중단이 심각한 피해를 초래하는 기술 분야에서 더욱 중요시되고 있다.
그러나, 한국 공개특허공보 제10-2012-0017853호, 제10-2009-0056124호 등에 개시된 바와 같이, 기존 기술들은 2개의 프로세서 상호 간의 동작 상태 점검 결과만을 이용하여 상기 2개의 프로세스 중 어느 하나를 고장으로 판단하기 때문에, 페일 세이프 제어의 정확성과 신뢰성이 떨어지는 문제가 있다.
또한, 기존 기술들은 전체 시스템에 포함되는 메인 시스템부와 서브 시스템부를 분리하여 각각 독립적인 전원 공급을 통해 제어하기 때문에, 시스템 간 상호 보완적 페일 세이프 제어를 어렵게 하고 시스템 구성의 효율성이 떨어지는 문제가 있다.
본 발명이 해결하고자 하는 기술적 과제는, 차량의 전장 시스템 등과 같이 복수의 MCU를 가진 시스템에서 시스템 정지 또는 장애 상태의 고착화를 방지하고, 페일 세이프 제어의 정확성과 신뢰성을 개선하는 페일 세이프 장치 및 방법을 제공하는 것이다.
본 발명의 일 실시예에 따른 복수의 MCU를 가진 시스템의 페일 세이프 장치는, 상기 시스템에 포함되는 메인 시스템부 및 서브 시스템부에 각각 전원을 공급하고, 상기 메인 시스템부를 제어하며 상기 서브 시스템부의 장애 발생 여부를 검사하는 제1 MCU로부터 워치독 타이머(watchdog timer)를 리셋하는 펄스를 수신하여 상기 펄스의 이상 여부를 확인하는 전원 공급부; 상기 전원 공급부로부터 상기 펄스의 이상을 알리는 펄스 이상 확인 신호를 수신하고, 상기 서브 시스템부를 제어하며 상기 메인 시스템부의 장애 발생 여부를 검사하는 제2 MCU로부터 상기 메인 시스템부의 장애 발생을 알리는 제1 장애 확인 신호를 수신하여, 상기 제1 MCU를 리셋하는 제1 페일 세이프 처리부; 및 상기 전원 공급부로부터 상기 펄스 이상 확인 신호를 수신하고, 상기 제1 MCU로부터 상기 서브 시스템부의 장애 발생을 알리는 제2 장애 확인 신호를 수신하여, 상기 제2 MCU를 리셋하는 제2 페일 세이프 처리부를 포함할 수 있다.
일 실시예에 있어서, 상기 전원 공급부는, 상기 시스템의 전원 전압을 조정하여 상기 제1 MCU 및 제2 MCU에 각각 조정된 전압의 전원을 공급하는 레귤레이터부; 상기 제1 MCU로부터 상기 펄스를 주기적으로 수신하여, 상기 펄스의 수신 여부 또는 미리 설정된 정상 펄스 기준과 상기 펄스의 일치 여부를 기반으로 상기 펄스의 이상 여부를 확인하는 펄스 확인부; 및 상기 펄스의 이상이 확인되는 경우 상기 펄스 이상 확인 신호를 생성하여 상기 제1 페일 세이프 처리부 및 제2 페일 세이프 처리부로 전달하는 확인 신호 생성부를 포함할 수 있다.
일 실시예에 있어서, 제1 페일 세이프 처리부는, 상기 전원 공급부로부터 상기 펄스 이상 확인 신호를 입력받는 제1 입력부; 상기 제2 MCU로부터 상기 제1 장애 확인 신호를 입력받는 제2 입력부; 및 상기 제1 입력부에 상기 펄스 이상 확인 신호가 입력되고 상기 제2 입력부에 상기 제1 장애 확인 신호가 입력되는 경우, 상기 제1 MCU를 리셋하는 리셋 신호를 생성하여 상기 제1 MCU에 전달하는 제1 리셋 신호 생성부를 포함할 수 있다.
일 실시예에 있어서, 제2 페일 세이프 처리부는, 상기 전원 공급부로부터 상기 펄스 이상 확인 신호를 입력받는 제3 입력부; 상기 제1 MCU로부터 상기 제2 장애 확인 신호를 입력받는 제4 입력부; 및 상기 제3 입력부에 상기 펄스 이상 확인 신호가 입력되고 상기 제4입력부에 상기 제2 장애 확인 신호가 입력되는 경우, 상기 제2 MCU를 리셋하는 리셋 신호를 생성하여 상기 제2 MCU에 전달하는 제2 리셋 신호 생성부를 포함할 수 있다.
본 발명의 일 실시예에 따른 복수의 MCU를 가진 시스템의 페일 세이프 방법은, 상기 시스템에 포함되는 메인 시스템부 및 서브 시스템부에 각각 전원을 공급하는 전원 공급부가, 상기 메인 시스템부를 제어하며 상기 서브 시스템부의 장애 발생 여부를 검사하는 제1 MCU로부터 워치독 타이머(watchdog timer)를 리셋하는 펄스를 수신하여 상기 펄스의 이상 여부를 확인하는 단계; 상기 제1 MCU에 대한 페일 세이프 처리를 수행하는 제1 페일 세이프 처리부가, 상기 전원 공급부로부터 상기 펄스의 이상을 알리는 펄스 이상 확인 신호를 수신하고, 상기 서브 시스템부를 제어하며 상기 메인 시스템부의 장애 발생 여부를 검사하는 제2 MCU로부터 상기 메인 시스템부의 장애 발생을 알리는 제1 장애 확인 신호를 수신하여, 상기 제1 MCU를 리셋하는 단계; 및 상기 제2 MCU에 대한 페일 세이프 처리를 수행하는 제2 페일 세이프 처리부가, 상기 전원 공급부로부터 상기 펄스 이상 확인 신호를 수신하고, 상기 제1 MCU로부터 상기 서브 시스템부의 장애 발생을 알리는 제2 장애 확인 신호를 수신하여, 상기 제2 MCU를 리셋하는 단계를 포함할 수 있다.
일 실시예에 있어서, 상기 펄스의 이상 여부를 확인하는 단계는, 상기 전원 공급부가 상기 시스템의 전원 전압을 조정하여 상기 제1 MCU 및 제2 MCU에 각각 조정된 전압의 전원을 공급하는 단계; 상기 전원 공급부가 상기 제1 MCU로부터 상기 펄스를 주기적으로 수신하여, 상기 펄스의 수신 여부 또는 미리 설정된 정상 펄스 기준과 상기 펄스의 일치 여부를 기반으로 상기 펄스의 이상 여부를 확인하는 단계; 및 상기 펄스의 이상이 확인되는 경우, 상기 전원 공급부가 상기 펄스 이상 확인 신호를 생성하여 상기 제1 페일 세이프 처리부 및 제2 페일 세이프 처리부로 전달하는 단계를 포함할 수 있다.
일 실시예에 있어서, 상기 제1 MCU를 리셋하는 단계는, 상기 제1 페일 세이프 처리부가 상기 전원 공급부로부터 상기 펄스 이상 확인 신호를 입력받는 단계; 상기 제1 페일 세이프 처리부가 상기 제2 MCU로부터 상기 제1 장애 확인 신호를 입력받는 단계; 및 상기 펄스 이상 확인 신호 및 제1 장애 확인 신호가 입력되는 경우, 상기 제1 페일 세이프 처리부가 상기 제1 MCU를 리셋하는 리셋 신호를 생성하여 상기 제1 MCU에 전달하는 단계를 포함할 수 있다.
일 실시예에 있어서, 상기 제2 MCU를 리셋하는 단계는, 상기 제2 페일 세이프 처리부가 상기 전원 공급부로부터 상기 펄스 이상 확인 신호를 입력받는 단계; 제2 페일 세이프 처리부가 상기 제1 MCU로부터 상기 제2 장애 확인 신호를 입력받는 단계; 및 상기 펄스 이상 확인 신호 및 제2 장애 확인 신호가 입력되는 경우, 상기 제2 페일 세이프 처리부가 상기 제2 MCU를 리셋하는 리셋 신호를 생성하여 상기 제2 MCU에 전달하는 단계를 포함할 수 있다.
본 발명에 따른 실시예들은, 상술한 동작 또는 방법을 컴퓨터 시스템을 통해 실행하는 컴퓨터 프로그램으로서 기록매체에 기록되는 컴퓨터 프로그램을 이용하여 구현될 수 있다.
본 발명에 따르면, 차량의 전장 시스템 등과 같이 복수의 MCU를 가진 시스템에서, 페일 세이프 장치가 상기 시스템의 메인 시스템부를 제어하는 제1 MCU의 워치독 펄스 이상 여부와 상기 메인 시스템부의 장애 발생 여부를 확인하여 상기 제1 MCU을 리셋시키거나, 상기 제1 MCU의 워치독 펄스 이상 여부와 상기 시스템의 서브 시스템부 장애 발생 여부를 확인하여 상기 서브 시스템부을 제어하는 제2 MCU의 리셋시킴으로써, 시스템 정지 또는 장애 상태의 고착화를 방지하고, 페일 세이프 제어의 정확성과 신뢰성을 개선할 수 있다.
또한, 단일한 전압 공급부가 복수의 MCU에 각각 전원을 공급하며 해당 MCU들 대한 페일 세이프 제어에 참여함으로써, 복수의 MCU가 적용되는 시스템에서 MCU들 간의 상호 보완적 제어를 가능하게 하고 시스템 구성을 효율화할 수 있다.
나아가, 본 발명이 속하는 기술 분야의 통상의 지식을 가진 자라면, 본 발명에 따른 여러 실시예들이 상기 언급되지 않은 여러 기술적 과제들을 해결할 수 있음을 이하의 설명으로부터 자명하게 이해할 수 있을 것이다.
도 1은 본 발명의 일 실시예에 따른 페일 세이프 장치를 나타낸 블록도이다.
도 2는 본 발명의 일 실시예에 따른 페일 세이프 방법에서의 제1 MCU에 대한 페일 세이프 제어 프로세스를 나타낸 흐름도이다.
도 3은 본 발명의 일 실시예에 따른 페일 세이프 방법에서의 제2 MCU에 대한 페일 세이프 제어 프로세스를 나타낸 흐름도이다.
이하, 본 발명의 기술적 과제에 대한 해결 방안을 명확화하기 위해 첨부도면을 참조하여 본 발명의 실시예들을 상세하게 설명한다. 다만, 본 발명을 설명함에 있어서 관련 공지기술에 관한 설명이 오히려 본 발명의 요지를 불명료하게 하는 경우 그에 관한 설명은 생략하기로 한다. 또한, 후술하는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 설계자, 제조자 등의 의도 또는 관례 등에 따라 달라질 수 있을 것이다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1에는 본 발명의 일 실시예에 따른 페일 세이프 장치(100)가 블록도로 도시되어 있다.
도 1에 도시된 바와 같이, 본 발명의 일 실시예에 따른 페일 세이프 장치(100)는, 차량의 전장 시스템 등과 같이 복수의 MCU(Micro Controller Unit)를 가진 시스템(10)에 적용되는 것으로서, 전원 공급부(110), 제1 페일 세이프 제어부(120) 및 제2 페일 세이프 제어부(130)를 포함할 수 있다.
상기 전원 공급부(110)는, 상기 시스템(10)에 포함되는 메인 시스템부(20) 및 서브 시스템부(30)에 각각 전원을 공급하고, 상기 메인 시스템부(20)를 제어하며 상기 서브 시스템부(30)의 장애 발생 여부를 검사하는 제1 MCU(22)로부터 워치독 타이머(watchdog timer)를 리셋(reset) 또는 리프레시(refresh) 하는 워치독 펄스(watchdog pulse)를 수신하여 상기 펄스의 이상 여부를 확인할 수 있다. 이를 위해, 상기 전원 공급부(110)는 후술되는 레귤레이터부(112), 펄스 확인부(114) 및 확인 신호 생성부(116)를 포함할 수 있다.
상기 제1 페일 세이프 제어부(120)는, 상기 전원 공급부(110)로부터 상기 펄스의 이상을 알리는 펄스 이상 확인 신호를 수신하고, 상기 서브 시스템부(30)를 제어하며 상기 메인 시스템부(20)의 장애 발생 여부를 검사하는 제2 MCU(32)로부터 상기 메인 시스템부(20)의 장애 발생을 알리는 제1 장애 확인 신호를 수신하여, 상기 제1 MCU(22)를 리셋할 수 있다. 이를 위해, 상기 제1 페일 세이프 제어부(120)는 후술되는 제1 입력부(122), 제2 입력부(124) 및 제1 리셋 신호 생성부(126)를 포함할 수 있다.
상기 제2 페일 세이프 제어부(130)는, 상기 전원 공급부(110)로부터 상기 펄스 이상 확인 신호를 수신하고, 상기 제1 MCU(22)로부터 상기 서브 시스템부(30)의 장애 발생을 알리는 제2 장애 확인 신호를 수신하여, 상기 제2 MCU(32)를 리셋할 수 있다. 이를 위해, 상기 제2 페일 세이프 제어부(130)는 제3 입력부(132), 제4 입력부(134) 및 제2 리셋 신호 생성부(136)를 포함할 수 있다.
한편, 상기 제1 MCU(22)는 제1 드라이버(24)를 통해 메인 시스템부(20)의 다양한 하드웨어들을 독립적으로 제어할 수 있으며, 상기 제2 MCU(32)는 제2 드라이버(34)를 통해 상기 서브 시스템부(30)의 다양한 하드웨어들을 독립적으로 제어할 수 있다. 실시예에 따라, 상기 서브 시스템부(30)는 상기 메인 시스템부(20)의 장애 발생시 상기 메인 시스템부(20)를 대체하도록 구성될 수도 있다.
도 2에는 본 발명의 일 실시예에 따른 페일 세이프 방법에서의 제1 MCU(22)에 대한 페일 세이프 제어 프로세스가 흐름도로 도시되어 있다. 도 2를 참조하여, 도 1에 도시된 페일 세이프 장치(100)의 세부 구성들과 그 동작들을 구체적으로 설명한다.
도 2에 도시된 바와 같이, 예컨대 차량 시스템(10)에 포함되는 메인 시스템부(20) 및 서브 시스템부(30)에 각각 전원을 공급하는 전원 공급부(110)는, 상기 메인 시스템부(20)를 제어하며 상기 서브 시스템부(30)의 장애 발생 여부를 검사하는 제1 MCU(22)로부터 워치독 타이머를 리셋하는 워치독 펄스를 수신하여 상기 펄스의 이상 여부를 확인할 수 있다. 이를 위해, 상기 전원 공급부(110)는 레귤레이터부(112), 펄스 확인부(114) 및 확인 신호 생성부(116)를 포함할 수 있다.
즉, 상기 전원 공급부(110)의 레귤레이터부(112)는, 상기 시스템(10)의 전원 전압을 조정하여 상기 제1 MCU(22) 및 제2 MCU(32)에 각각 조정된 전압의 전원을 공급할 수 있다(S200, S202). 예컨대, 상기 레귤레이터부(112)는 12V의 차량용 전원 또는 이를 차량의 전장 시스템에 적용하기 위해 강압한 5V 전원을 각각의 MCU가 사용하는 2.8V에서 3.5V까지의 전원으로 조정하여 제1 MCU(22) 및 제2 MCU(32)에 각각 공급할 수 있다. 이 경우, 상기 레귤레이터부(112)는 LDO(Low Drop Out regulator)등의 레귤레이터를 이용할 수 있다.
그 다음, 상기 전원 공급부(110)의 펄스 확인부(114)는, 상기 제1 MCU(22)로부터 상기 워치독 펄스를 주기적으로 수신하고(S210), 상기 펄스의 수신 여부, 또는 미리 설정된 정상 펄스 기준과 상기 펄스의 일치 여부를 기반으로 상기 펄스의 이상 여부를 확인할 수 있다(S220). 이 경우, 상기 워치독 펄스는, 워치독 타이머(watchdog timer)의 카운트가 일정 시간 진행되어 완료되기 전에 상기 워치독 타이머를 리셋시켜 해당 카운트를 다시 0에서 재개시키는 펄스에 해당하는 것이다.
그 다음, 상기 전원 공급부(110)의 확인 신호 생성부(116)는, 상기 워치독 펄스의 이상이 확인된 경우 상기 워치독 펄스의 이상을 알리는 펄스 이상 확인 신호를 생성하여 상기 제1 페일 세이프 제어부(120)로 전달할 수 있다(S230). 이 경우, 상기 확인 신호 생성부(116)는 상기 제1 MCU(22)의 워치독 펄스에 이상이 발생하지 않은 경우에는 신호를 생성하지 않고, 상기 제1 MCU(22)의 워치독 펄스에 이상이 발생한 경우에만 상기 펄스 이상 확인 신호를 생성하도록 구성될 수 있다.
그 다음, 상기 제1 페일 세이프 제어부(120)는, 상기 전원 공급부(110)로부터, 상기 워치독 펄스의 이상을 알리는 펄스 이상 확인 신호를 수신하고, 상기 서브 시스템부(30)를 제어하며 상기 메인 시스템부(20)의 장애 발생 여부를 검사하는 제2 MCU(32)로부터, 상기 메인 시스템부(20)의 장애 발생을 알리는 제1 장애 확인 신호를 수신하여, 상기 제1 MCU(22)를 리셋할 수 있다. 이를 위해, 상기 제1 페일 세이프 제어부(120)는 제1 입력부(122), 제2 입력부(124) 및 제1 리셋 신호 생성부(126)를 포함할 수 있다.
즉, 상기 제1 페일 세이프 제어부(120)의 제1 입력부(122)는, 상기 전원 공급부(110)의 확인 신호 생성부(116)로부터 상기 펄스 이상 확인 신호를 입력받을 수 있다(S230).
한편, 상기 제2 MCU(32)는 시리얼 통신, CAN(Controller Area Network) 통신 등을 통해 상기 메인 시스템부(20) 또는 제1 MCU(22)와 통신을 수행하여 상기 메인 시스템부(20)에 대한 장애 검사를 수행할 수 있다(S240). 상기 장애 검사 결과 상기 메인 시스템부(20)에 장애가 발생한 것으로 확인된 경우, 상기 제1 페일 세이프 제어부(120)의 제2 입력부(124)는, 상기 제2 MCU(32)로부터 상기 메인 시스템부(20)의 장애 발생을 알리는 제1 장애 확인 신호를 수신할 수 있다(S250).
상기 제1 입력부(122)에 상기 펄스 이상 확인 신호가 입력되고 상기 제2 입력부(124)에 상기 제1 장애 확인 신호가 입력된 경우, 상기 제1 페일 세이프 제어부(120)의 제1 리셋 신호 생성부(126)는, 상기 제1 MCU(22)를 리셋하는 리셋 신호를 생성하여 상기 제1 MCU(22)에 전달할 수 있다(S260).
그 결과, 상기 제1 MCU(22)가 리셋되어, 상기 제1 MCU(22) 또는 상기 메인 시스템부(20)의 동작이 정상 상태로 복구될 수 있다(S270).
도 3에는 본 발명의 일 실시예에 따른 페일 세이프 방법에서의 제2 MCU(32)에 대한 페일 세이프 제어 프로세스가 흐름도로 도시되어 있다. 도 3를 참조하여, 도 1에 도시된 페일 세이프 장치(100)의 세부 구성들과 그 동작들을 구체적으로 설명한다.
도 3에 도시된 바와 같이, 상기 메인 시스템부(20) 및 서브 시스템부(30)에 각각 전원을 공급하는 전원 공급부(110)는, 상기 메인 시스템부(20)를 제어하며 상기 서브 시스템부(30)의 장애 발생 여부를 검사하는 제1 MCU(22)로부터 워치독 타이머를 리셋하는 워치독 펄스를 수신하여 상기 펄스의 이상 여부를 확인할 수 있다.
즉, 상기 전원 공급부(110)의 레귤레이터부(112)는, 상기 시스템(10)의 전원 전압을 조정하여 상기 제1 MCU(22) 및 제2 MCU(32)에 각각 조정된 전압의 전원을 공급할 수 있다(S300, S302).
그 다음, 상기 전원 공급부(110)의 펄스 확인부(114)는, 상기 제1 MCU(22)로부터 상기 워치독 펄스를 주기적으로 수신하고(S310), 상기 펄스의 수신 여부, 또는 미리 설정된 정상 펄스 기준과 상기 펄스의 일치 여부를 기반으로 상기 펄스의 이상 여부를 확인할 수 있다(S320).
그 다음, 상기 전원 공급부(110)의 확인 신호 생성부(116)는, 상기 워치독 펄스의 이상이 확인된 경우 상기 워치독 펄스의 이상을 알리는 펄스 이상 확인 신호를 생성하여 상기 제2 페일 세이프 제어부(130)로 전달할 수 있다(S330). 앞서 언급한 바와 같이, 상기 확인 신호 생성부(116)는 상기 제1 MCU(22)의 워치독 펄스에 이상이 발생하지 않은 경우에는 신호를 생성하지 않고, 상기 제1 MCU(22)의 워치독 펄스에 이상이 발생한 경우에만 상기 펄스 이상 확인 신호를 생성하도록 구성될 수 있다.
그 다음, 상기 제2 페일 세이프 제어부(130)는, 상기 전원 공급부(110)로부터, 상기 워치독 펄스의 이상을 알리는 펄스 이상 확인 신호를 수신하고, 상기 서브 시스템부(30)의 장애 발생 여부를 검사하는 제1 MCU(22)로부터, 상기 서브 시스템부(30)의 장애 발생을 알리는 제2 장애 확인 신호를 수신하여, 상기 제2 MCU(32)를 리셋할 수 있다. 이를 위해, 상기 제2 페일 세이프 제어부(130)는 제3 입력부(132), 제4 입력부(134) 및 제2 리셋 신호 생성부(136)를 포함할 수 있다.
즉, 상기 제2 페일 세이프 제어부(130)의 제1 입력부(132)는, 상기 전원 공급부(110)의 확인 신호 생성부(116)로부터 상기 펄스 이상 확인 신호를 입력받을 수 있다(S330).
한편, 상기 제1 MCU(22)는 시리얼 통신, CAN(Controller Area Network) 통신 등을 통해 상기 서브 시스템부(30) 또는 제2 MCU(32)와 통신을 수행하여 상기 서브 시스템부(30)에 대한 장애 검사를 수행할 수 있다(S340). 상기 장애 검사 결과 상기 서브 시스템부(30)에 장애가 발생한 것으로 확인된 경우, 상기 제2 페일 세이프 제어부(130)의 제4 입력부(134)는, 상기 제1 MCU(22)로부터 상기 서브 시스템부(30)의 장애 발생을 알리는 제2 장애 확인 신호를 수신할 수 있다(S350).
상기 제3 입력부(132)에 상기 펄스 이상 확인 신호가 입력되고 상기 제4 입력부(134)에 상기 제2 장애 확인 신호가 입력된 경우, 상기 제2 페일 세이프 제어부(130)의 제2 리셋 신호 생성부(136)는, 상기 제2 MCU(32)를 리셋하는 리셋 신호를 생성하여 상기 제2 MCU(32)에 전달할 수 있다(S360).
그 결과, 상기 제2 MCU(32)가 리셋되어, 상기 제2 MCU(32) 또는 상기 서브 시스템부(30)의 동작이 정상 상태로 복구될 수 있다(S370).
한편, 본 발명에 따른 실시예들은 컴퓨터 시스템과 이러한 컴퓨터 시스템을 구동하는 컴퓨터 프로그램으로 구현될 수 있다. 본 발명의 실시예들이 컴퓨터 프로그램으로 구현되는 경우, 본 발명의 구성요소들은 해당 컴퓨터 시스템을 통해 해당 동작이나 작업을 실행하는 프로그램 세그먼트들이다. 이러한 컴퓨터 프로그램 내지 프로그램 세그먼트들은 컴퓨터로 판독 가능한 다양한 기록매체에 저장될 수 있다. 컴퓨터로 판독 가능한 기록매체에는 컴퓨터 시스템이 읽어들일 수 있는 데이터를 기록하는 모든 종류의 매체가 포함된다. 예컨대, 컴퓨터로 판독 가능한 기록매체에는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장 장치 등이 포함될 수 있다. 또한, 이러한 기록매체는 다양한 네트워크로 연결된 컴퓨터 시스템들에 분산 배치되어 프로그램 코드들을 분산 방식으로 저장하거나 실행시킬 수 있다.
상술한 바와 같이, 본 발명에 따르면, 차량의 전장 시스템 등과 같이 복수의 MCU를 가진 시스템에서, 페일 세이프 장치가 상기 시스템의 메인 시스템부를 제어하는 제1 MCU의 워치독 펄스 이상 여부와 상기 메인 시스템부의 장애 발생 여부를 확인하여 상기 제1 MCU을 리셋시키거나, 상기 제1 MCU의 워치독 펄스 이상 여부와 상기 시스템의 서브 시스템부 장애 발생 여부를 확인하여 상기 서브 시스템부을 제어하는 제2 MCU의 리셋시킴으로써, 시스템 정지 또는 장애 상태의 고착화를 방지하고, 페일 세이프 제어의 정확성과 신뢰성을 개선할 수 있다. 또한, 단일한 전압 공급부가 복수의 MCU에 각각 전원을 공급하며 해당 MCU들 대한 페일 세이프 제어에 참여함으로써, 복수의 MCU가 적용되는 시스템에서 MCU들 간의 상호 보완적 제어를 가능하게 하고 시스템 구성을 효율화할 수 있다. 나아가, 본 발명에 따른 실시예들은, 당해 기술 분야는 물론 관련 기술 분야에서 본 명세서에 언급된 내용 이외의 다른 여러 기술적 과제들을 해결할 수 있음은 물론이다.
지금까지 본 발명에 대해 구체적인 실시예들을 참고하여 설명하였다. 그러나 당업자라면 본 발명의 기술적 범위에서 다양한 변형 실시예들이 구현될 수 있음을 명확하게 이해할 수 있을 것이다. 그러므로 앞서 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 할 것이다. 즉, 본 발명의 진정한 기술적 사상의 범위는 청구범위에 나타나 있으며, 그와 균등범위 내에 있는 모든 차이점은 본 발명에 포함되는 것으로 해석되어야 할 것이다.
100 : 페일 세이프 장치 110 : 전원 공급부
112 : 레귤레이터부 114 : 펄스 확인부
116 : 확인 신호 생성부 120 : 제1 페일 세이프 제어부
122 : 제1 입력부 124 : 제2 입력부
126 : 제1 리셋 신호 생성부 130 : 제2 페일 세이프 제어부
132 : 제3 입력부 134 : 제4 입력부
136 : 제2 리셋 신호 생성부

Claims (8)

  1. 복수의 MCU를 가진 시스템의 페일 세이프 장치로서,
    상기 시스템에 포함되는 메인 시스템부 및 서브 시스템부에 각각 전원을 공급하고, 상기 메인 시스템부를 제어하며 상기 서브 시스템부의 장애 발생 여부를 검사하는 제1 MCU로부터 워치독 타이머(watchdog timer)를 리셋하는 펄스를 수신하여 상기 펄스의 이상 여부를 확인하는 전원 공급부;
    상기 전원 공급부로부터 상기 펄스의 이상을 알리는 펄스 이상 확인 신호를 수신하고, 상기 서브 시스템부를 제어하며 상기 메인 시스템부의 장애 발생 여부를 검사하는 제2 MCU로부터 상기 메인 시스템부의 장애 발생을 알리는 제1 장애 확인 신호를 수신하여, 상기 제1 MCU를 리셋하는 제1 페일 세이프 처리부; 및
    상기 전원 공급부로부터 상기 펄스 이상 확인 신호를 수신하고, 상기 제1 MCU로부터 상기 서브 시스템부의 장애 발생을 알리는 제2 장애 확인 신호를 수신하여, 상기 제2 MCU를 리셋하는 제2 페일 세이프 처리부를 포함하는 페일 세이프 장치.
  2. 제1항에 있어서,
    상기 전원 공급부는,
    상기 시스템의 전원 전압을 조정하여 상기 제1 MCU 및 제2 MCU에 각각 조정된 전압의 전원을 공급하는 레귤레이터부;
    상기 제1 MCU로부터 상기 펄스를 주기적으로 수신하여, 상기 펄스의 수신 여부 또는 미리 설정된 정상 펄스 기준과 상기 펄스의 일치 여부를 기반으로 상기 펄스의 이상 여부를 확인하는 펄스 확인부; 및
    상기 펄스의 이상이 확인되는 경우 상기 펄스 이상 확인 신호를 생성하여 상기 제1 페일 세이프 처리부 및 제2 페일 세이프 처리부로 전달하는 확인 신호 생성부를 포함하는 것을 특징으로 하는 페일 세이프 장치.
  3. 제1항에 있어서,
    제1 페일 세이프 처리부는,
    상기 전원 공급부로부터 상기 펄스 이상 확인 신호를 입력받는 제1 입력부;
    상기 제2 MCU로부터 상기 제1 장애 확인 신호를 입력받는 제2 입력부; 및
    상기 제1 입력부에 상기 펄스 이상 확인 신호가 입력되고 상기 제2 입력부에 상기 제1 장애 확인 신호가 입력되는 경우, 상기 제1 MCU를 리셋하는 리셋 신호를 생성하여 상기 제1 MCU에 전달하는 제1 리셋 신호 생성부를 포함하는 것을 특징으로 하는 페일 세이프 장치.
  4. 제1항에 있어서,
    제2 페일 세이프 처리부는,
    상기 전원 공급부로부터 상기 펄스 이상 확인 신호를 입력받는 제3 입력부;
    상기 제1 MCU로부터 상기 제2 장애 확인 신호를 입력받는 제4 입력부; 및
    상기 제3 입력부에 상기 펄스 이상 확인 신호가 입력되고 상기 제4입력부에 상기 제2 장애 확인 신호가 입력되는 경우, 상기 제2 MCU를 리셋하는 리셋 신호를 생성하여 상기 제2 MCU에 전달하는 제2 리셋 신호 생성부를 포함하는 것을 특징으로 하는 페일 세이프 장치.
  5. 복수의 MCU를 가진 시스템의 페일 세이프 방법으로서,
    상기 시스템에 포함되는 메인 시스템부 및 서브 시스템부에 각각 전원을 공급하는 전원 공급부가, 상기 메인 시스템부를 제어하며 상기 서브 시스템부의 장애 발생 여부를 검사하는 제1 MCU로부터 워치독 타이머(watchdog timer)를 리셋하는 펄스를 수신하여 상기 펄스의 이상 여부를 확인하는 단계;
    상기 제1 MCU에 대한 페일 세이프 처리를 수행하는 제1 페일 세이프 처리부가, 상기 전원 공급부로부터 상기 펄스의 이상을 알리는 펄스 이상 확인 신호를 수신하고, 상기 서브 시스템부를 제어하며 상기 메인 시스템부의 장애 발생 여부를 검사하는 제2 MCU로부터 상기 메인 시스템부의 장애 발생을 알리는 제1 장애 확인 신호를 수신하여, 상기 제1 MCU를 리셋하는 단계; 및
    상기 제2 MCU에 대한 페일 세이프 처리를 수행하는 제2 페일 세이프 처리부가, 상기 전원 공급부로부터 상기 펄스 이상 확인 신호를 수신하고, 상기 제1 MCU로부터 상기 서브 시스템부의 장애 발생을 알리는 제2 장애 확인 신호를 수신하여, 상기 제2 MCU를 리셋하는 단계를 포함하는 페일 세이프 방법.
  6. 제5항에 있어서,
    상기 펄스의 이상 여부를 확인하는 단계는,
    상기 전원 공급부가 상기 시스템의 전원 전압을 조정하여 상기 제1 MCU 및 제2 MCU에 각각 조정된 전압의 전원을 공급하는 단계;
    상기 전원 공급부가 상기 제1 MCU로부터 상기 펄스를 주기적으로 수신하여, 상기 펄스의 수신 여부 또는 미리 설정된 정상 펄스 기준과 상기 펄스의 일치 여부를 기반으로 상기 펄스의 이상 여부를 확인하는 단계; 및
    상기 펄스의 이상이 확인되는 경우, 상기 전원 공급부가 상기 펄스 이상 확인 신호를 생성하여 상기 제1 페일 세이프 처리부 및 제2 페일 세이프 처리부로 전달하는 단계를 포함하는 것을 특징으로 하는 페일 세이프 방법.
  7. 제5항에 있어서,
    상기 제1 MCU를 리셋하는 단계는,
    상기 제1 페일 세이프 처리부가 상기 전원 공급부로부터 상기 펄스 이상 확인 신호를 입력받는 단계;
    상기 제1 페일 세이프 처리부가 상기 제2 MCU로부터 상기 제1 장애 확인 신호를 입력받는 단계; 및
    상기 펄스 이상 확인 신호 및 제1 장애 확인 신호가 입력되는 경우, 상기 제1 페일 세이프 처리부가 상기 제1 MCU를 리셋하는 리셋 신호를 생성하여 상기 제1 MCU에 전달하는 단계를 포함하는 것을 특징으로 하는 페일 세이프 방법.
  8. 제5항에 있어서,
    상기 제2 MCU를 리셋하는 단계는,
    상기 제2 페일 세이프 처리부가 상기 전원 공급부로부터 상기 펄스 이상 확인 신호를 입력받는 단계;
    제2 페일 세이프 처리부가 상기 제1 MCU로부터 상기 제2 장애 확인 신호를 입력받는 단계; 및
    상기 펄스 이상 확인 신호 및 제2 장애 확인 신호가 입력되는 경우, 상기 제2 페일 세이프 처리부가 상기 제2 MCU를 리셋하는 리셋 신호를 생성하여 상기 제2 MCU에 전달하는 단계를 포함하는 것을 특징으로 하는 페일 세이프 방법.
KR1020170138533A 2017-10-24 2017-10-24 복수의 mcu를 가진 시스템의 페일 세이프 장치 및 방법 KR20190045677A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170138533A KR20190045677A (ko) 2017-10-24 2017-10-24 복수의 mcu를 가진 시스템의 페일 세이프 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170138533A KR20190045677A (ko) 2017-10-24 2017-10-24 복수의 mcu를 가진 시스템의 페일 세이프 장치 및 방법

Publications (1)

Publication Number Publication Date
KR20190045677A true KR20190045677A (ko) 2019-05-03

Family

ID=66583018

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170138533A KR20190045677A (ko) 2017-10-24 2017-10-24 복수의 mcu를 가진 시스템의 페일 세이프 장치 및 방법

Country Status (1)

Country Link
KR (1) KR20190045677A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102365256B1 (ko) 2020-11-13 2022-02-22 주식회사 현대케피코 차량용 모터 제어 장치 및 그 제어방법
US20230001939A1 (en) * 2019-12-05 2023-01-05 Hitachi Astemo, Ltd. Vehicle mounted electronic control apparatus

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230001939A1 (en) * 2019-12-05 2023-01-05 Hitachi Astemo, Ltd. Vehicle mounted electronic control apparatus
KR102365256B1 (ko) 2020-11-13 2022-02-22 주식회사 현대케피코 차량용 모터 제어 장치 및 그 제어방법

Similar Documents

Publication Publication Date Title
US9742198B2 (en) Controlling a fault-tolerant array of converters
US9342123B2 (en) Determine voltage supplied to a core
US9747184B2 (en) Operation of I/O in a safe system
US9367375B2 (en) Direct connect algorithm
US10042812B2 (en) Method and system of synchronizing processors to the same computational point
JP2014099151A (ja) ラックおよびラックの電力制御方法
CN104679610B (zh) 计算机系统的管理方法和装置
CN110109782B (zh) 一种故障PCIe设备的更换方法、装置及系统
US10592356B2 (en) Microcontroller and electronic control unit
KR20190045677A (ko) 복수의 mcu를 가진 시스템의 페일 세이프 장치 및 방법
KR20110124711A (ko) 멀티레벨 알에이아이디 아키텍처용 하이브리드 저장 시스템
KR20190058310A (ko) 반도체 장치
US10360115B2 (en) Monitoring device, fault-tolerant system, and control method
US9665447B2 (en) Fault-tolerant failsafe computer system using COTS components
KR101448013B1 (ko) 항공기용 다중 컴퓨터의 고장 허용 장치 및 방법
CN109491842B (zh) 用于故障安全计算系统的模块扩展的信号配对
KR101581309B1 (ko) 보드단위별 연동고장검출 및 배제 방식 항공전자장비
US9311212B2 (en) Task based voting for fault-tolerant fail safe computer systems
JP6285123B2 (ja) 電源監視装置、電源装置、情報処理システム及び電源監視方法
KR20210147982A (ko) 하나이상의 서버로의 전력 전달을 제어하기 위한 방법 및 그 제어 회로
JP2011154593A (ja) メモリ装置およびそのセルフチェック制御方法
US10574514B2 (en) Duplex control device and duplex system
US10621031B2 (en) Daisy-chain of safety systems
CN108459881A (zh) 一种驱动服务器运行的系统、方法、装置及可读存储介质
JP2005092695A (ja) 二重化コントローラ、その等値化モード決定方法

Legal Events

Date Code Title Description
N231 Notification of change of applicant