WO2022152509A1 - Bus system with error identification function - Google Patents

Bus system with error identification function Download PDF

Info

Publication number
WO2022152509A1
WO2022152509A1 PCT/EP2021/086636 EP2021086636W WO2022152509A1 WO 2022152509 A1 WO2022152509 A1 WO 2022152509A1 EP 2021086636 W EP2021086636 W EP 2021086636W WO 2022152509 A1 WO2022152509 A1 WO 2022152509A1
Authority
WO
WIPO (PCT)
Prior art keywords
slave
bus
master
checksum
signal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
PCT/EP2021/086636
Other languages
German (de)
French (fr)
Inventor
Stefan BRUCKLACHER
Michael Eichler
Djahanrad KORLOO
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of WO2022152509A1 publication Critical patent/WO2022152509A1/en
Anticipated expiration legal-status Critical
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/08Error detection or correction by redundancy in data representation, e.g. by using checking codes
    • G06F11/10Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's
    • G06F11/1004Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's to protect a block of data words, e.g. CRC or checksum

Definitions

  • the present invention relates to a bus system with an error detection function.
  • SoC system-on-chip
  • a standardized bus architecture is often used as the internal data bus.
  • ASIL-compliant protection for such bus implementations therefore provides for the following measures, for example:
  • the present invention therefore proposes a bus system with an error detection function, which can be used in particular but not exclusively in a system-on-chip.
  • the bus system has at least one bus master and at least one bus slave, the bus master having a master monitoring module according to the invention and the bus slave having a slave monitoring module according to the invention. If several bus masters and/or bus slaves are used in the bus system, each bus master and/or each bus slave preferably has a monitoring module according to the invention. If the safety requirements for the bus system permit, it is also conceivable that individual subnetworks and/or master/slave components of the bus system are used without the monitoring modules according to the invention.
  • the respective master and slave monitoring modules are advantageously designed as independent (“add-on”) components for a bus system known from the prior art, which can be used as a basic system in connection with the present invention.
  • the master and slave monitoring modules are particularly advantageously set up not to influence existing data communications or configurations of such a bus system used from the prior art, since the respective data or signals of the bus system are accessed exclusively for reading.
  • This is preferably achieved by designing the master and slave monitoring modules as independent hardware components which, together with the respective bus master and bus slave components of the bus system known from the prior art, are connected by means of respective master wrapper components or Slave wrapper components are encapsulated in such a way that they have a common signal interface to the outside (outside the respective wrapper components).
  • This signal interface preferably corresponds in an unchanged manner to the respective specification of the bus system used as the basis.
  • the master monitoring module is set up, a master checksum of slave address data (ie, data that identify / address that bus slave with which the bus master wants to exchange data), user data and control data generated by the bus master calculate the first signal and store the calculated checksum and compare the stored master checksum with a slave checksum, which is calculated by the slave monitoring module via the first signal received in the bus slave.
  • slave address data ie, data that identify / address that bus slave with which the bus master wants to exchange data
  • user data and control data generated by the bus master calculate the first signal and store the calculated checksum and compare the stored master checksum with a slave checksum, which is calculated by the slave monitoring module via the first signal received in the bus slave.
  • the master monitoring module is set up to output a checksum error signal if the master checksum does not match the slave checksum.
  • the checksum error signal is transmitted, for example in the form of an interrupt signal, to an interrupt handler of a chip or computer having the bus system, so that a suitable interrupt service routine for error handling is executed in response to the signal.
  • the slave monitoring module is set up to receive the first signal with slave subaddress data, to determine the slave address from predefined slave address information and to calculate a slave checksum using the slave address data, the user data and the control data of the first signal .
  • the slave subaddress data should be understood to mean those address data of a bus slave addressed by means of this address data, which are received by the addressed bus slave or by the associated slave monitoring module in the course of a master/slave communication.
  • the respectively addressed bus slave only has a part of a received the absolute or system-wide bus slave address originally used by the bus master. The reason for this is that a bus slave located in a subnet of the entire bus system only needs the respective subaddress data within this subnet in order to clearly identify the slave address addressed by the master.
  • the bus master uses the absolute or system-wide address of the addressed bus slave for the checksum calculation when sending data to the respective bus slave, it is necessary to compare the respective master checksum and the corresponding slave checksum required that the respectively addressed bus slave is the same full address used for slave checksum calculation.
  • the full bus slave address is calculated on the basis of the received subaddress, for example, in such a way that the full bus slave address and/or that part of the full address is persistently stored in the addressed slave monitoring module, which in the course of routing the first signal the slave address data is removed.
  • the slave monitoring module is also set up to transmit the slave checksum to the master monitoring module by means of a second signal, for example before the end of a respective bus cycle.
  • the slave checksum transmitted in this way is then, as described above, compared in the master monitoring module with the checksum stored in the master monitoring module.
  • an existing bus system offers e.g. the advantage that not only the respective user data that is transmitted between a bus master and a bus slave, but also the address data used to address a respective bus slave and the respective control data are secured on the hardware side by means of the checksums described above, which means that reliability and /or availability and/or performance and/or scope of error detection and/or handling of such a bus system is improved and/or general safety-critical requirements for data transmission of such a bus system can be met (e.g. requirements of ISO 26262- standards).
  • the master monitoring module is set up to output a timeout error signal when a transfer request to the bus slave generated by means of the first signal is not answered by the bus slave within a predefined period of time.
  • the predefined period of time is established, for example, on the basis of a predefined maximum number of bus clock cycles in the bus system.
  • a "watchdog" component for timeout monitoring of the bus slave responses, which preferably has a time base that is independent of the bus clock.
  • the bus system is an AMBA bus system which, in the basic configuration, meets the AMBA specification of the company ARM and preferably has an AHB (Advanced High-Performance) bus and/or an APB (Advanced Peripheral ) bus up. Furthermore, it is also possible for the AMBA bus system to have an ASB (Advanced System) bus.
  • the expansion components according to the invention and their functions are particularly advantageous in connection with the AMBA bus system, but can also be used advantageously in connection with bus systems that deviate from it.
  • the AMBA bus system is preferably set up to transmit the second signal within an AHB bus using a standard user signal and within an APB bus using an additionally provided sideband signal, since the APB Bus does not provide for the use of AHB bus user signals.
  • additional lines are preferably implemented between the respective bus master and bus slave components, via which the sideband signal is transmitted.
  • the bus system has at least one interconnect matrix for connecting a plurality of bus masters with respective master monitoring modules and/or a plurality of bus slaves with respective slave monitoring modules, via which respective data transmissions are coordinated .
  • the bus system advantageously comprises at least one protocol converter, which has a master monitoring module for one of the two protocols to be converted and for the respective other of the two protocols to be implemented has a slave monitoring module.
  • the protocol converter is an AHB/APB bridge, for example, which is set up to establish communication between an AHB bus and an APB bus of the AMBA bus system.
  • an information technology interface of the AHB/APB bridge that is connected to the AHB bus of the AMBA bus system functions as a bus slave, whose data communication with a bus master on the AHB bus is secured by means of a slave monitoring module according to the invention, while an APB bus interface of the AHB/APB bridge accordingly acts as a bus master on the APB bus, with this bus master having a master monitoring module according to the invention to protect data communication on the APB bus.
  • the protocol converter preferably has a redundant structure and/or lock-step operation to check the data to be converted for plausibility.
  • a protocol converter error signal is preferably output so that such an error can be evaluated and treated at a suitable point in the system. Error handling takes place, for example, in the manner suggested in connection with the checksum error signal.
  • the bus system according to the invention is thus able to completely protect data communication from a bus master of a specific bus protocol to a bus slave of another bus protocol against errors, since the protocol converter is also protected in this way, while the data on the protocol converter are protected by the respective Bus systems incoming data are secured by means of the above-described master and slave monitoring components of the protocol converter.
  • the bus system has at least one slave multiplexer, with each slave multiplexer being connected to a select monitoring module which is set up to output a select error signal if the slave multiplexer sends more than one bus slave is selected at the same time.
  • a slave multiplexer it is possible to have a plurality of bus slaves with one or to connect several bus masters in terms of information technology. If an AMBA bus system is used, the standard signals HSEL (on the AHB BUS) or PSEL/PENABLE (on the APB bus) are preferably evaluated. For example, the select error signal is registered and processed in the system in a manner similar to the checksum error signal.
  • the bus system is also set up to secure each data segment using a respective master/slave checksum, so that in the sum of all data of the data packet to be transmitted is secured accordingly.
  • the bus system is set up to assign respective slave checksums to their respective corresponding master checksums in that the second signal, which is sent by a respective bus slave, contains a unique identifier for the respective bus slave.
  • This unique identifier for assigning the respective slave checksum preferably includes the complete address information of the respective bus slave.
  • FIG. 1 shows a schematic overview of an example configuration of a bus system according to the invention.
  • FIG. 1 shows a schematic overview of an example configuration of a bus system according to the invention, the bus system being an AMBA bus system with AHB and APB bus segments in accordance with the specification from the ARM company.
  • the bus system has an interconnect matrix 50 here, which is connected in terms of information technology to a plurality of bus masters 10 directly and to a plurality of bus slaves 20 directly and indirectly (ie via other components of the bus system).
  • the components connected to the interconnect matrix 50 in terms of information technology each implement the AHB protocol of the AMBA bus system.
  • Respective data communications between respective bus masters 10 and bus slaves 20 addressed by the bus masters 10 are coordinated via the interconnect matrix 50 .
  • the respective bus masters 10 of the AHB bus are supplemented here by respective master monitoring modules 15, which implement protection according to the invention for data to be transmitted.
  • the master monitoring modules 15 each include a checksum generation unit 80, a checksum comparison unit 82 and a timeout determination unit 84. It should be noted that the aforementioned units of the master monitoring modules 15 are present here in all master monitoring modules 15, im For the purposes of a simplified overview, however, only one of the bus masters 10 is shown as an example.
  • the respective bus masters 10 and their associated master monitor modules 15 are encapsulated to the outside (i.e., to the interconnect matrix 50) by means of respective master wrapper components 17.
  • the respective master monitoring modules 15 are set up, in the course of a transfer request by a respective associated bus master 10, to a master checksum of address data HADDR, control data HCTRL and user data HDATA of a first signal generated by the respective bus master 10 calculate and store this checksum in a memory unit.
  • identifiers of respective signals are given by means of reference symbols, for reasons of clarity in Figure 1, as representative of only some of the illustrated components.
  • a bus slave 20 addressed by means of the transfer request which, analogous to the bus master 10, has an associated slave monitoring module 25, which is encapsulated together with the bus slave 10 by a slave wrapper component 27, is set up Based on the data received by the bus master 10 to calculate a slave checksum.
  • each slave monitoring module 25 has a checksum generation unit 80 and an address calculation unit 86, the latter being set up to assign the absolute bus slave address on the basis of the subaddress data of the bus slave contained in the first signal in the slave monitoring module 25 determine.
  • each bus slave 20 has a checksum generation unit 80 and an address calculation unit 86, but that these are only shown here as an example for one of the bus slaves 20 in the interests of a simplified overview.
  • the slave monitoring module 25 is accordingly set up to calculate a slave checksum using the address data HADDR, the control data HCTRL and the user data HDATA, which were transmitted to the bus slave 20 by the transfer request from the bus master 10 .
  • the slave monitoring module 25, in conjunction with the bus slave 20 and the slave wrapper component 27, is set up to transmit a second signal to the master monitoring module 15, which contains the slave checksum determined in the slave monitoring module 25 in standard User data HRUSER contains.
  • the master monitoring module 15 is in turn set up to compare the slave checksum transmitted by means of the user data HRUSER with the master checksum stored in the master monitoring module 15 . In the event of a discrepancy between the two checksums, the master monitoring module is set up to output a checksum error signal which can be used by an error monitoring module of a higher-level overall system for further processing of errors that have occurred.
  • FIG. 1 shows a slave multiplexer 70 on the AHB bus of the overall bus configuration described here. This is set up to select a bus slave 20 that corresponds to the slave address in accordance with a slave address of a bus master 10 transfer request.
  • a select monitoring module 75 ensures that only a single bus slave 20 is ever selected by the slave multiplexer 70 . If several bus slaves 20 are incorrectly selected, the select monitoring module 75 generates a select error signal for handling this error.
  • AHB/APB bridge 60 which is set up to convert signals of the AHB bus into signals of an APB bus which is connected to the AHB/APB bridge 60 in terms of information technology.
  • a slave monitor module 25 is provided, while on the APB bus side of the AHB/APB bridge 60, a master monitor module 15 is provided to monitor respective data communications of the respective Securing sub-buses with the AHB/APB-Bridge 60.
  • the data transmission between an AHB bus interface 30 and an APB bus interface 40 of the AHB/APB bridge 60 is protected by a redundant design of a protocol conversion unit of the AHB/APB bridge 60, so that any discrepancies between the redundant protocol conversion units can be determined .
  • AHB bus respective data HADDR, HCTRL, HDATA, HRIISER
  • APB bus respective data PADDR, PCTRL, PDATA, PRIISER
  • PRUSER signals of the APB bus are transmitted between the components of the APB bus by means of additional data lines.
  • An APB arbiter/slave multiplexer 90 is arranged here on the side of the APB bus of the AHB/APB bridge 60, via which communication between a bus master 10 of the APB bus and the respective bus slave 20 of the APB bus is carried out.
  • the other components of the APB bus shown here are constructed analogously to the above description, which is why reference is made to the above explanations to avoid repetition.
  • Bus configurations based on the present invention can be implemented and that the exemplary bus configuration shown here does not represent any limitation in this regard.

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

The present invention relates to a bus system with error identification function having: a bus master (10), a master monitoring module (15), a bus slave (20) and a slave monitoring module (25), wherein the master monitoring module (15) is configured to calculate a master checksum over slave address data, payload data and control data of a first signal (S1) generated by the bus master (10) and to compare said master checksum with a slave checksum which is calculated by the slave monitoring module (25) over the first signal (S1) received in the bus slave (20) and to output a checksum error signal if the master checksum does not match the slave checksum, wherein the slave monitoring module (25) is configured to receive the first signal (S1) with slave subaddress data, to determine, from predefined slave address information, the slave address data, to calculate a slave checksum over the slave address data, the payload data and the control data of the first signal (S1), and to transfer the slave checksum to the master monitoring module (15) by means of a second signal (S2).

Description

Beschreibung description

Titel title

Bussystem mit Fehlererkennungsfunktion Bus system with error detection function

Stand der Technik State of the art

Die vorliegende Erfindung betrifft ein Bussystem mit einer Fehlererkennungsfunktion. The present invention relates to a bus system with an error detection function.

In elektronischen Systemen (z.B. System-on-Chip- (SoC-) ASICs mit und ohne Mikrocontroller) wird häufig eine standardisierte Busarchitektur als interner Datenbus eingesetzt. In electronic systems (e.g. system-on-chip (SoC) ASICs with and without microcontroller), a standardized bus architecture is often used as the internal data bus.

In der Spezifikation einfacherer Bussysteme sind oftmals keine hardwareseitigen Maßnahmen zur Erkennung von permanenten oder temporären Einzelfehlern definiert. Dies gilt beispielsweise für die AMBA Busspezifikation der Firma ARM. Entsprechend muss bei einer Verwendung einer solchen Busarchitektur zur Einhaltung von Sicherheitsanforderungen (z. B. nach dem ASIL-Standard) das Bussystem hinsichtlich solcher Fehler in vordefinierter Weise abgesichert werden. Diesbezügliche ASIL-Anforderungen sind in der Norm ISO26262 Teil 5 spezifiziert. The specification of simpler bus systems often does not define any hardware-related measures for detecting permanent or temporary individual errors. This applies, for example, to the AMBA bus specification from ARM. Correspondingly, when using such a bus architecture in order to comply with safety requirements (eg according to the ASIL standard), the bus system must be secured in a predefined manner with regard to such errors. Related ASIL requirements are specified in the ISO26262 Part 5 standard.

Eine ASIL-konforme Absicherung für solche Bus-Implementierungen sieht daher beispielsweise nachfolgende Maßnahmen vor: ASIL-compliant protection for such bus implementations therefore provides for the following measures, for example:

Implementieren eines vollständig redundanten Bussystems, ein Betrieb im Lock- Step-Verfahren, integrierte Selbsttests des Bussystems (z. B. beim Systemstart und/oder im laufenden Betrieb), Absichern von Daten und/oder Adressen durch zusätzliche Prüfsummen, oder Rücklesen geschriebener Daten oder Wiederholung von Leseoperationen. Implementation of a fully redundant bus system, operation using the lock-step procedure, integrated self-tests of the bus system (e.g. when the system is started and/or during operation), securing of data and/or addresses using additional checksums, or reading back written data or Repetition of read operations.

Offenbarung der Erfindung Die vorliegende Erfindung schlägt daher ein Bussystem mit einer Fehlererkennungsfunktion vor, welches insbesondere aber nicht ausschließlich in einem System-on-Chip einsetzbar ist. Das Bussystem weist wenigstens einen Bus-Master und wenigstens einen Bus-Slave auf, wobei der Bus-Master über ein erfindungsgemäßes Master-Überwachungsmodul und der Bus-Slave über ein erfindungsgemäßes Slave-Überwachungsmodul verfügt. Im Falle einer Verwendung mehrere Bus-Master und/oder Bus-Slaves am Bussystem verfügt bevorzugt jeder Bus-Master und/oder jeder Bus-Slave über ein erfindungsgemäßes Überwachungsmodul. Sofern es die Sicherheitsanforderungen an das Bussystem erlauben, ist es aber auch denkbar, dass einzelne Subnetze und/oder Master/Slave-Komponenten des Bussystems ohne die erfindungsgemäßen Überwachungsmodule eingesetzt werden. Jeweilige Master- und Slave-Überwachungsmodule sind vorteilhaft als unabhängige („Add-On-“) Komponenten zu einem aus dem Stand Technik bekannten Bussystem ausgebildet, welches im Zusammenhang mit der vorliegenden Erfindung als Basissystem einsetzbar ist. Besonders vorteilhaft sind die Master- und Slave-Überwachungsmodule darüber hinaus eingerichtet, bestehende Datenkommunikationen bzw. Konfigurationen eines solchen aus dem Stand der Technik eingesetzten Bussystems nicht zu beeinflussen, da ausschließlich lesend auf jeweilige Daten bzw. Signale des Bussystems zugegriffen wird. Dies wird vorzugsweise dadurch erreicht, dass die Master- und Slave-Überwachungsmodule als eigenständige Hardware-Komponenten ausgebildet werden, welche zusammen mit jeweiligen Bus-Master und Bus-Slave Komponenten des aus dem Stand der Technik bekannten Bussystems mittels jeweiliger Master-Wrapper-Komponenten bzw. Slave-Wrapper-Komponenten derart gekapselt werden, dass diese nach außen hin (außerhalb der jeweiligen Wrapper-Komponenten) eine gemeinsame Signalschnittstelle aufweisen. Diese Signalschnittstelle entspricht bevorzugt in unveränderter weise der jeweiligen Spezifikation des als Basis eingesetzten Bussystems. Disclosure of Invention The present invention therefore proposes a bus system with an error detection function, which can be used in particular but not exclusively in a system-on-chip. The bus system has at least one bus master and at least one bus slave, the bus master having a master monitoring module according to the invention and the bus slave having a slave monitoring module according to the invention. If several bus masters and/or bus slaves are used in the bus system, each bus master and/or each bus slave preferably has a monitoring module according to the invention. If the safety requirements for the bus system permit, it is also conceivable that individual subnetworks and/or master/slave components of the bus system are used without the monitoring modules according to the invention. The respective master and slave monitoring modules are advantageously designed as independent (“add-on”) components for a bus system known from the prior art, which can be used as a basic system in connection with the present invention. In addition, the master and slave monitoring modules are particularly advantageously set up not to influence existing data communications or configurations of such a bus system used from the prior art, since the respective data or signals of the bus system are accessed exclusively for reading. This is preferably achieved by designing the master and slave monitoring modules as independent hardware components which, together with the respective bus master and bus slave components of the bus system known from the prior art, are connected by means of respective master wrapper components or Slave wrapper components are encapsulated in such a way that they have a common signal interface to the outside (outside the respective wrapper components). This signal interface preferably corresponds in an unchanged manner to the respective specification of the bus system used as the basis.

Das Master-Überwachungsmodul ist eingerichtet, eine Master-Prüfsumme über Slave-Adressdaten (d. h., Daten, welche denjenigen Bus-Slave identifizieren/adressieren, mit dem der Bus-Master Daten austauschen möchte), Nutzdaten und Steuerdaten eines durch den Bus-Master erzeugten ersten Signals zu berechnen und die berechnete Prüfsumme zu speichern und die gespeicherte Master-Prüfsumme mit einer Slave-Prüfsumme abzugleichen, welche durch das Slave-Überwachungsmodul über das im Bus-Slave empfangene erste Signal berechnet wird. The master monitoring module is set up, a master checksum of slave address data (ie, data that identify / address that bus slave with which the bus master wants to exchange data), user data and control data generated by the bus master calculate the first signal and store the calculated checksum and compare the stored master checksum with a slave checksum, which is calculated by the slave monitoring module via the first signal received in the bus slave.

Darüber hinaus ist das Master-Überwachungsmodul eingerichtet, ein Prüfsummen-Fehlersignal auszugeben, wenn die Master-Prüfsumme nicht mit der Slave-Prüfsumme übereinstimmt. Das Prüfsummen-Fehlersignal wird beispielsweise in Form eines Interrupt-Signals an einen Interrupt-Handler eines das Bussystem aufweisenden Chips bzw. Rechners übertragen, so dass im Ansprechen auf das Signal eine geeignete Interrupt-Service-Routine zur Fehlerbehandlung ausgeführt wird. Alternativ oder zusätzlich ist es auch denkbar, das Prüfsummen-Fehlersignal an davon abweichenden Hardware- und/oder Software-Komponenten eines das Bussystem einsetzenden Chips bzw. Rechners zu übertragen, um durch diese die Fehlerbehandlung auszuführen. Das Slave-Überwachungsmodul ist eingerichtet, das erste Signal mit Slave- Subadressdaten zu empfangen, aus einer vordefinierten Slave- Adressinformation die Slave-Adresse zu ermitteln und eine Slave-Prüfsumme über die Slave-Adressdaten, die Nutzdaten und die Steuerdaten des ersten Signals zu berechnen. In addition, the master monitoring module is set up to output a checksum error signal if the master checksum does not match the slave checksum. The checksum error signal is transmitted, for example in the form of an interrupt signal, to an interrupt handler of a chip or computer having the bus system, so that a suitable interrupt service routine for error handling is executed in response to the signal. Alternatively or additionally, it is also conceivable to transmit the checksum error signal to hardware and/or software components of a chip or computer using the bus system that deviate from it, in order to carry out the error handling by them. The slave monitoring module is set up to receive the first signal with slave subaddress data, to determine the slave address from predefined slave address information and to calculate a slave checksum using the slave address data, the user data and the control data of the first signal .

Unter den Slave-Subadressdaten sollen diejenigen Adressdaten eines mittels dieser Adressdaten adressierten Bus-Slaves verstanden werden, welche durch den adressierten Bus-Slave bzw. durch das zugehörige Slave- Überwachungsmodul im Zuge einer Master/Slave-Kommunikation empfangen werden. Insbesondere in hierarchisch aufgebauten Bussystemen und/oder bei einer Verwendung von Multiplexer- und/oder Router-Komponenten zwischen den jeweils kommunizierenden Bus-Master- und Bus-Slave-Komponenten ist es möglich, dass der jeweils adressierte Bus-Slave nur noch einen Teil einer ursprünglich durch den Bus-Master verwendeten absoluten bzw. systemweiten Bus-Slave-Adresse erhält. Dies liegt darin begründet, dass ein Bus-Slave, welcher sich in einem Subnetz des gesamten Bussystems befindet, innerhalb dieses Subnetzes nur noch die jeweiligen Subadressdaten benötigt um die vom Master angesprochene Slave-Adresse eindeutig zu identifizieren. Da der Bus- Master beim Versenden von Daten an den jeweiligen Bus-Slave erfindungsgemäß jedoch die absolute bzw. systemweite Adresse des jeweils adressierten Bus-Slaves für die Prüfsummenberechnung verwendet, ist es für einen Abgleich der jeweiligen Master-Prüfsumme und der korrespondierenden Slave-Prüfsumme erforderlich, dass der jeweils adressierte Bus-Slave dieselbe vollständige Adresse für die Berechnung der Slave-Prüfsumme verwendet. Das Berechnen der vollständigen Bus-Slave Adresse auf Basis der empfangenen Subadresse erfolgt beispielsweise derart, dass im adressierten Slave- Überwachungsmodul die vollständige Bus-Slave Adresse und/oder derjenige Teil der vollständigen Adresse persistent gespeichert ist, welcher im Zuge eines Routings des ersten Signals aus den Slave-Adressdaten entfernt wird. The slave subaddress data should be understood to mean those address data of a bus slave addressed by means of this address data, which are received by the addressed bus slave or by the associated slave monitoring module in the course of a master/slave communication. Particularly in hierarchically structured bus systems and/or when using multiplexer and/or router components between the respectively communicating bus master and bus slave components, it is possible that the respectively addressed bus slave only has a part of a received the absolute or system-wide bus slave address originally used by the bus master. The reason for this is that a bus slave located in a subnet of the entire bus system only needs the respective subaddress data within this subnet in order to clearly identify the slave address addressed by the master. However, since the bus master uses the absolute or system-wide address of the addressed bus slave for the checksum calculation when sending data to the respective bus slave, it is necessary to compare the respective master checksum and the corresponding slave checksum required that the respectively addressed bus slave is the same full address used for slave checksum calculation. The full bus slave address is calculated on the basis of the received subaddress, for example, in such a way that the full bus slave address and/or that part of the full address is persistently stored in the addressed slave monitoring module, which in the course of routing the first signal the slave address data is removed.

Im Falle einer vorliegenden Buskonfiguration, in welcher zwischen einem Bus- Master und einem mit diesem Bus-Master kommunizierenden Bus-Slave keine Kürzung von Adressdaten aufgrund eines Subnetz-Routings usw. erfolgt, ist es auch möglich, dass der Bus-Slave über das erste Signal direkt die vollständige d. h. die absolute Slave-Adresse empfängt und diese entsprechend nicht selbst berechnen muss. In the case of an existing bus configuration in which there is no shortening of address data due to subnet routing etc. between a bus master and a bus slave communicating with this bus master, it is also possible that the bus slave via the first signal directly the full d. H. receives the absolute slave address and therefore does not have to calculate it itself.

Das Slave-Überwachungsmodul ist außerdem eingerichtet, die Slave-Prüfsumme zum Beispiel vor dem Abschluss eines jeweiligen Buszyklus' mittels eines zweiten Signals an das Master-Überwachungsmodul zu übertragen. Die auf diese Weise übertragene Slave-Prüfsumme wird anschließend, wie oben beschrieben, im Master-Überwachungsmodul mit der im Master- Überwachungsmodul gespeicherten Prüfsumme abgeglichen. The slave monitoring module is also set up to transmit the slave checksum to the master monitoring module by means of a second signal, for example before the end of a respective bus cycle. The slave checksum transmitted in this way is then, as described above, compared in the master monitoring module with the checksum stored in the master monitoring module.

Die erfindungsgemäße Erweiterung eines bestehenden Bussystems bietet u. a. den Vorteil, dass nicht nur jeweilige Nutzdaten, welche zwischen einem Bus- Master und einem Bus-Slave übertragen werden, sondern auch die zur Adressierung eines jeweiligen Bus-Slaves verwendeten Adressdaten und jeweilige Steuerdaten hardwareseitig mittels vorstehend beschriebener Prüfsummen abgesichert werden, wodurch eine Zuverlässigkeit und/oder eine Verfügbarkeit und/oder eine Leistungsfähigkeit und/oder ein Umfang einer Fehlererkennung und/oder -behandlung eines solchen Bussystems verbessert und/oder allgemein sicherheitskritische Anforderungen an die Datenübertragung eines solchen Bussystems erfüllt werden können (z. B. Anforderungen des ISO 26262-Standards). The expansion of an existing bus system according to the invention offers e.g. the advantage that not only the respective user data that is transmitted between a bus master and a bus slave, but also the address data used to address a respective bus slave and the respective control data are secured on the hardware side by means of the checksums described above, which means that reliability and /or availability and/or performance and/or scope of error detection and/or handling of such a bus system is improved and/or general safety-critical requirements for data transmission of such a bus system can be met (e.g. requirements of ISO 26262- standards).

Die Unteransprüche zeigen bevorzugte Weiterbildungen der Erfindung. The dependent claims show preferred developments of the invention.

In einer vorteilhaften Ausgestaltung der vorliegenden Erfindung ist das Master- Überwachungsmodul eingerichtet, ein Timeout-Fehlersignal auszugeben, wenn eine mittels des ersten Signals erzeugte Transfer-Anforderung an den Bus-Slave nicht innerhalb eines vordefinierten Zeitraums durch den Bus-Slave beantwortet wird. Der vordefinierte Zeitraum wird beispielsweise auf Basis einer vordefinierten maximalen Anzahl von Bustakten des Bussystems festgelegt.In an advantageous embodiment of the present invention, the master monitoring module is set up to output a timeout error signal when a transfer request to the bus slave generated by means of the first signal is not answered by the bus slave within a predefined period of time. The predefined period of time is established, for example, on the basis of a predefined maximum number of bus clock cycles in the bus system.

Alternativ oder zusätzlich ist es auch denkbar, eine „Watchdog“-Komponente zur Timeout-Überwachung der Bus-Slave-Antworten einzusetzen, welche vorzugsweise über eine vom Bustakt unabhängige Zeitbasis verfügt. Alternatively or additionally, it is also conceivable to use a "watchdog" component for timeout monitoring of the bus slave responses, which preferably has a time base that is independent of the bus clock.

In einer besonders bevorzugten Ausgestaltung der vorliegenden Erfindung ist das Bussystem ein AMBA-Bussystem, welches in der Basiskonfiguration die AMBA-Spezifikation des Unternehmens ARM erfüllt und weist bevorzugt einen AHB- (Advanced High-performance) Bus und/oder einen APB- (Advanced Peripheral) Bus auf. Ferner ist es auch möglich, dass das AMBA-Bussystem über einen ASB- (Advanced System) Bus verfügt. Die erfindungsgemäßen Erweiterungskomponenten und deren Funktionen kommen insbesondere in Verbindung mit dem AMBA-Bussystem vorteilhaft zum Tragen, sind jedoch auch in Verbindung mit davon abweichenden Bussystemen vorteilhaft einsetzbar. In a particularly preferred embodiment of the present invention, the bus system is an AMBA bus system which, in the basic configuration, meets the AMBA specification of the company ARM and preferably has an AHB (Advanced High-Performance) bus and/or an APB (Advanced Peripheral ) bus up. Furthermore, it is also possible for the AMBA bus system to have an ASB (Advanced System) bus. The expansion components according to the invention and their functions are particularly advantageous in connection with the AMBA bus system, but can also be used advantageously in connection with bus systems that deviate from it.

Im Fall einer Verwendung eines AMBA-Bussystems ist das AMBA-Bussystem vorzugsweise eingerichtet, das zweite Signal innerhalb eines AHB-Busses mittels eines standardgemäßen User-Signals und innerhalb eines APB-Busses mittels eines zusätzlich vorgesehen Sideband-Signals zu übertragen, da der APB-Bus eine Verwendung von AHB-Bus-User-Signalen nicht vorsieht. Für die Übertragung eines solches Sideband-Signals werden bevorzugt zusätzliche Leitungen zwischen jeweiligen Bus-Master und Bus-Slave Komponenten realisiert, über welche das Sideband-Signal übertragen wird. If an AMBA bus system is used, the AMBA bus system is preferably set up to transmit the second signal within an AHB bus using a standard user signal and within an APB bus using an additionally provided sideband signal, since the APB Bus does not provide for the use of AHB bus user signals. For the transmission of such a sideband signal, additional lines are preferably implemented between the respective bus master and bus slave components, via which the sideband signal is transmitted.

In einer möglichen Ausgestaltung der vorliegenden Erfindung weist das Bussystem wenigstens eine Interconnect-Matrix zur Anbindung einer Mehrzahl von Bus-Mastern mit jeweiligen Master-Überwachungsmodulen und/oder einer Mehrzahl von Bus-Slaves mit jeweiligen Slave-Überwachungsmodulen auf, über welche jeweilige Datenübertragungen koordiniert werden. In one possible embodiment of the present invention, the bus system has at least one interconnect matrix for connecting a plurality of bus masters with respective master monitoring modules and/or a plurality of bus slaves with respective slave monitoring modules, via which respective data transmissions are coordinated .

Im Falle einer Verwendung von wenigstens zwei Bussubsystemen, welche jeweils unterschiedliche Busprotokolle implementieren, umfasst das Bussystem vorteilhaft wenigstens einen Protokollumsetzer, welcher für eines der beiden umzusetzenden Protokolle ein Master-Überwachungsmodul und für das jeweils andere der beiden umzusetzenden Protokolle eine Slave-Überwachungsmodul aufweist. Im Falle einer Verwendung eines AMBA-Bussystems ist der Protokollumsetzer beispielsweise eine AHB/APB-Bridge, welche eingerichtet ist, eine Kommunikation zwischen einem AHB-Bus und einem APB-Bus des AMBA- Bussystems herzustellen. In einem solchen Fall fungiert eine am AHB-Bus des AMBA-Bussystems informationstechnisch angebundene Schnittstelle der AHB/APB-Bridge als ein Bus-Slave, deren Datenkommunikation mit einem Bus- Master am AHB-Bus mittels eines erfindungsgemäßen Slave- Überwachungsmoduls abgesichert wird, während eine APB-Bus-Schnittstelle der AHB/APB-Bridge dementsprechend als Bus-Master am APB-Bus fungiert, wobei dieser Bus-Master über ein erfindungsgemäßes Master-Überwachungsmodul zur Absicherung der Datenkommunikation auf dem APB-Bus verfügt. If at least two bus subsystems are used, each of which implements different bus protocols, the bus system advantageously comprises at least one protocol converter, which has a master monitoring module for one of the two protocols to be converted and for the respective other of the two protocols to be implemented has a slave monitoring module. If an AMBA bus system is used, the protocol converter is an AHB/APB bridge, for example, which is set up to establish communication between an AHB bus and an APB bus of the AMBA bus system. In such a case, an information technology interface of the AHB/APB bridge that is connected to the AHB bus of the AMBA bus system functions as a bus slave, whose data communication with a bus master on the AHB bus is secured by means of a slave monitoring module according to the invention, while an APB bus interface of the AHB/APB bridge accordingly acts as a bus master on the APB bus, with this bus master having a master monitoring module according to the invention to protect data communication on the APB bus.

Für die Sicherstellung der Integrität sämtlicher Bussignale, welche mittels eines solchen Protokollumsetzers umgesetzt werden, weist der Protokollumsetzer vorzugsweise einen redundanten Aufbau und/oder einen Lock-Step-Betrieb zur Plausibilisierung der umzusetzenden Daten auf. Im Falle eines durch die redundante Auslegung des Protokollumsetzers ermittelten Fehlers bei der Plausibilisierung der umzusetzenden Daten, wird bevorzugt ein Protokollumsetzer-Fehlersignal ausgegeben, so dass ein solcher Fehlerfall an geeigneter Stelle im System auswertbar und behandelbar ist. Eine Fehlerbehandlung erfolgt beispielsweise auf solche Weise, wie sie im Zusammenhang mit dem Prüfsummen-Fehlersignal vorgeschlagen wurde. Somit ist das erfindungsgemäße Bussystem in der Lage, eine Datenkommunikation von einem Bus-Master eines bestimmten Busprotokolls zu einem Bus-Slave eines anderen Busprotokolls, lückenlos gegenüber Fehlern abzusichern, da auf diese Weise auch der Protokollumsetzer abgesichert wird, während die am Protokollumsetzer von den jeweiligen Bussystemen eintreffenden Daten mittels vorstehend beschriebener Master- und Slave-Überwachungskomponenten des Protokollumsetzers abgesichert sind. To ensure the integrity of all bus signals that are converted by means of such a protocol converter, the protocol converter preferably has a redundant structure and/or lock-step operation to check the data to be converted for plausibility. In the event of an error in the plausibility check of the data to be converted determined by the redundant design of the protocol converter, a protocol converter error signal is preferably output so that such an error can be evaluated and treated at a suitable point in the system. Error handling takes place, for example, in the manner suggested in connection with the checksum error signal. The bus system according to the invention is thus able to completely protect data communication from a bus master of a specific bus protocol to a bus slave of another bus protocol against errors, since the protocol converter is also protected in this way, while the data on the protocol converter are protected by the respective Bus systems incoming data are secured by means of the above-described master and slave monitoring components of the protocol converter.

In einer weiteren vorteilhaften Ausgestaltung der vorliegenden Erfindung weist das Bussystem wenigstens einen Slave-Multiplexer auf, wobei an jeden Slave- Multiplexer ein Select-Überwachungsmodul angebunden ist, welches eingerichtet ist, ein Select-Fehlersignal auszugeben, wenn durch den Slave-Multiplexer mehr als ein Bus-Slave gleichzeitig ausgewählt wird. Über einen solchen Slave- Multiplexer ist es möglich, eine Mehrzahl von Bus-Slaves mit einem oder mehreren Bus-Mastern informationstechnisch zu verbinden. Im Falle einer Verwendung eines AMBA-Bussystems werden hierbei vorzugsweise die standardgemäßen Signale HSEL (am AHB-BUS) bzw. PSEL/PENABLE (am APB-Bus) ausgewertet. Das Select-Fehlersignal wird beispielsweise ähnlich wie das Prüfsummen-Fehlersignal im System registriert und verarbeitet. In a further advantageous embodiment of the present invention, the bus system has at least one slave multiplexer, with each slave multiplexer being connected to a select monitoring module which is set up to output a select error signal if the slave multiplexer sends more than one bus slave is selected at the same time. Such a slave multiplexer, it is possible to have a plurality of bus slaves with one or to connect several bus masters in terms of information technology. If an AMBA bus system is used, the standard signals HSEL (on the AHB BUS) or PSEL/PENABLE (on the APB bus) are preferably evaluated. For example, the select error signal is registered and processed in the system in a manner similar to the checksum error signal.

Im Falle einer Verwendung segmentierter Datenübertragungen (d. h., wenn ein zu übertragendes Datenpaket zu groß ist, um in einem einzelnen Datentransfer übertragen zu werden), ist das Bussystem weiter eingerichtet, jedes Datensegment mittels einer jeweiligen Master-/Slave-Prüfsumme abzusichern, so dass in der Summe sämtliche Daten des zu übertragenden Datenpakets entsprechend abgesichert sind. If segmented data transmissions are used (i.e. if a data packet to be transmitted is too large to be transmitted in a single data transfer), the bus system is also set up to secure each data segment using a respective master/slave checksum, so that in the sum of all data of the data packet to be transmitted is secured accordingly.

Ferner ist das Bussystem eingerichtet, jeweilige Slave-Prüfsummen dadurch ihren jeweils korrespondierenden Master-Prüfsummen zuzuordnen, dass im zweiten Signal, welches durch einen jeweiligen Bus-Slave gesendet wird, eine eindeutige Kennung des jeweiligen Bus-Slaves enthalten ist. Vorzugsweise umfasst diese eindeutige Kennung zur Zuordnung der jeweiligen Slave- Prüfsumme die vollständige Adressinformation des jeweiligen Bus-Slaves. Auf diese Weise wird sichergestellt, dass eine in einem Master-Überwachungsmodul eines anfragenden Bus-Masters gespeicherte Prüfsumme stets nur mit derjenigen Prüfsumme des für diese Anfrage adressierten Bus-Slaves korrespondiert. Für den Fall, das aufgrund einer Fehlfunktion des Bussystems ein anderer Bus-Slave auf das erste Signal antwortet, als der durch den Bus- Master adressierte Bus-Slave, ist der Master auf Basis der in der Slave- Prüfsumme enthaltenen Slave-Adressinformation entsprechend in der Lage, einen solchen Fehler zu erkennen. Furthermore, the bus system is set up to assign respective slave checksums to their respective corresponding master checksums in that the second signal, which is sent by a respective bus slave, contains a unique identifier for the respective bus slave. This unique identifier for assigning the respective slave checksum preferably includes the complete address information of the respective bus slave. In this way it is ensured that a checksum stored in a master monitoring module of a requesting bus master only ever corresponds to that checksum of the bus slave addressed for this request. In the event that, due to a malfunction in the bus system, a bus slave other than the bus slave addressed by the bus master responds to the first signal, the master is based on the slave address information contained in the slave checksum in able to detect such an error.

Dies gilt stets mit der Einschränkung, dass der jeweils adressierte Bus-Slave in der Lage ist, innerhalb des oben beschriebenen Timeout-Zeitraums zu antworten. Sollte dies nicht der Fall sein, wird eine aktuelle Transfer-Anfrage eines jeweiligen Bus-Masters beispielsweise abgebrochen und stattdessen oben beschriebene Timeout-Fehlerbehandlung durchgeführt. This always applies with the restriction that the addressed bus slave is able to respond within the timeout period described above. If this is not the case, a current transfer request from a respective bus master is aborted, for example, and the timeout error handling described above is carried out instead.

Kurze Beschreibung der Zeichnungen Nachfolgend werden Ausführungsbeispiele der Erfindung unter Bezugnahme auf die begleitende Zeichnung im Detail beschrieben. Dabei zeigt: Brief description of the drawings Exemplary embodiments of the invention are described in detail below with reference to the accompanying drawings. It shows:

Figur 1 eine schematische Übersicht einer Beispielkonfiguration eines erfindungsgemäßen Bussystems. FIG. 1 shows a schematic overview of an example configuration of a bus system according to the invention.

Ausführungsformen der Erfindung Embodiments of the invention

Figur 1 zeigt eine schematische Übersicht einer Beispielkonfiguration eines erfindungsgemäßen Bussystems, wobei das Bussystem ein AMBA-Bussystem mit AHB- und APB-Bussegmenten gemäß der Spezifikation des Unternehmens ARM ist. Das Bussystem weist hier eine Interconnect-Matrix 50 auf, welche mit einer Mehrzahl von Bus-Mastern 10 direkt und mit einer Mehrzahl von Bus- Slaves 20 direkt und indirekt (d. h., über weitere Komponenten des Bussystems) informationstechnisch verbunden ist. Die mit der Interconnect-Matrix 50 informationstechnisch verbundenen Komponenten realisieren jeweils das AHB- Protokoll des AMBA-Bussystems. Jeweilige Datenkommunikationen zwischen jeweiligen Bus-Mastern 10 und durch die Bus-Master 10 adressierten Bus-Slaves 20 wird über die Interconnect-Matrix 50 koordiniert. Die jeweiligen Bus-Master 10 des AHB-Busses sind hier durch jeweilige Master-Überwachungsmodule 15 ergänzt, welche eine erfindungsgemäße Absicherung zu übertragender Daten realisieren. FIG. 1 shows a schematic overview of an example configuration of a bus system according to the invention, the bus system being an AMBA bus system with AHB and APB bus segments in accordance with the specification from the ARM company. The bus system has an interconnect matrix 50 here, which is connected in terms of information technology to a plurality of bus masters 10 directly and to a plurality of bus slaves 20 directly and indirectly (ie via other components of the bus system). The components connected to the interconnect matrix 50 in terms of information technology each implement the AHB protocol of the AMBA bus system. Respective data communications between respective bus masters 10 and bus slaves 20 addressed by the bus masters 10 are coordinated via the interconnect matrix 50 . The respective bus masters 10 of the AHB bus are supplemented here by respective master monitoring modules 15, which implement protection according to the invention for data to be transmitted.

Die Master-Überwachungsmodule 15 umfassen jeweils eine Prüfsummen- Erzeugungseinheit 80, eine Prüfsummen-Vergleichseinheit 82 und eine Timeout- Ermittlungseinheit 84. Es sei darauf hingewiesen, dass die vorgenannten Einheiten der Master-Überwachungsmodule 15 hier in sämtlichen Master- Überwachungsmodulen 15 vorhanden sind, im Sinne einer vereinfachten Übersicht aber nur für einen der Bus-Master 10 exemplarisch dargestellt. Die jeweiligen Bus-Master 10 und deren zugehörige Master-Überwachungsmodule 15 sind nach außen hin (d. h., zur Interconnect-Matrix 50 hin) mittels jeweiliger Master-Wrapper-Komponenten 17 gekapselt. The master monitoring modules 15 each include a checksum generation unit 80, a checksum comparison unit 82 and a timeout determination unit 84. It should be noted that the aforementioned units of the master monitoring modules 15 are present here in all master monitoring modules 15, im For the purposes of a simplified overview, however, only one of the bus masters 10 is shown as an example. The respective bus masters 10 and their associated master monitor modules 15 are encapsulated to the outside (i.e., to the interconnect matrix 50) by means of respective master wrapper components 17.

Die jeweiligen Master-Überwachungsmodule 15 sind eingerichtet, im Zuge einer Transfer-Anfrage durch einen jeweils zugehörigen Bus-Master 10 eine Master- Prüfsumme über Adressdaten HADDR, Steuerdaten HCTRL und Nutzdaten HDATA eines durch den jeweiligen Bus-Master 10 erzeugten ersten Signals zu berechnen und diese Prüfsumme in einer Speichereinheit abzulegen. Es sei darauf hingewiesen, dass die Kennzeichnungen jeweiliger Signale (wie HADDR, HCTRL, HDATA, HSEL, HRUSER, PRUSER, PSEL, usw.) mittels Bezugszeichen, aus Gründen der Übersichtlichkeit in Figur 1 stellvertretend für nur einige der dargestellten Komponenten angegeben sind. Ein mittels der Transfer-Anfrage adressierter Bus-Slave 20, welcher analog zum Bus-Master 10 ein zugehöriges Slave-Überwachungsmodul 25 aufweist, welches zusammen mit dem Bus-Slave 10 durch eine Slave-Wrapper-Komponente 27 gekapselt ist, ist eingerichtet, auf Basis der durch den Bus-Master 10 empfangenen Daten eine Slave-Prüfsumme zu berechnen. Hierfür weist jedes Slave-Überwachungsmodul 25 eine Prüfsummen-Erzeugungseinheit 80 und eine Adress-Berechnungseinheit 86 auf, wobei Letztere eingerichtet ist, auf Basis der im ersten Signal enthaltenen Subadressdaten des Bus-Slaves im Slave-Überwachungsmodul 25 die absolute Bus-Slave-Adresse zu ermitteln. The respective master monitoring modules 15 are set up, in the course of a transfer request by a respective associated bus master 10, to a master checksum of address data HADDR, control data HCTRL and user data HDATA of a first signal generated by the respective bus master 10 calculate and store this checksum in a memory unit. It should be noted that the identifiers of respective signals (such as HADDR, HCTRL, HDATA, HSEL, HRUSER, PRUSER, PSEL, etc.) are given by means of reference symbols, for reasons of clarity in Figure 1, as representative of only some of the illustrated components. A bus slave 20 addressed by means of the transfer request, which, analogous to the bus master 10, has an associated slave monitoring module 25, which is encapsulated together with the bus slave 10 by a slave wrapper component 27, is set up Based on the data received by the bus master 10 to calculate a slave checksum. For this purpose, each slave monitoring module 25 has a checksum generation unit 80 and an address calculation unit 86, the latter being set up to assign the absolute bus slave address on the basis of the subaddress data of the bus slave contained in the first signal in the slave monitoring module 25 determine.

Es sei darauf hingewiesen, dass jeder Bus-Slave 20 über eine Prüfsummen- Erzeugungseinheit 80 und eine Adress-Berechnungseinheit 86 verfügt, dass diese hier aber im Sinne einer vereinfachten Übersicht nur für einen der Bus- Slaves 20 exemplarisch dargestellt sind. Das Slave-Überwachungsmodul 25 ist dementsprechend eingerichtet, eine Slave-Prüfsumme über die Adressdaten HADDR, die Steuerdaten HCTRL und die Nutzdaten HDATA zu berechnen, welche durch die Transfer-Anfrage des Bus-Masters 10 an den Bus-Slave 20 übertragen wurden. Ferner ist das Slave-Überwachungsmodul 25 in Verbindung mit dem Bus-Slave 20 und der Slave-Wrapper-Komponente 27 eingerichtet, ein zweites Signal an das Master-Überwachungsmodul 15 zu übertragen, welches die im Slave-Überwachungsmodul 25 ermittelte Slave-Prüfsumme in standardgemäßen User-Daten HRUSER enthält. It should be pointed out that each bus slave 20 has a checksum generation unit 80 and an address calculation unit 86, but that these are only shown here as an example for one of the bus slaves 20 in the interests of a simplified overview. The slave monitoring module 25 is accordingly set up to calculate a slave checksum using the address data HADDR, the control data HCTRL and the user data HDATA, which were transmitted to the bus slave 20 by the transfer request from the bus master 10 . Furthermore, the slave monitoring module 25, in conjunction with the bus slave 20 and the slave wrapper component 27, is set up to transmit a second signal to the master monitoring module 15, which contains the slave checksum determined in the slave monitoring module 25 in standard User data HRUSER contains.

Das Master-Überwachungsmodul 15 ist wiederum eingerichtet, die mittels der User-Daten HRUSER übertragene Slave-Prüfsumme mit der im Master- Überwachungsmodul 15 gespeicherten Master-Prüfsumme abzugleichen. Im Falle einer Abweichung zwischen den beiden Prüfsummen ist das Master- Überwachungsmodul eingerichtet, ein Prüfsummen-Fehlersignal auszugeben, welches von einem Fehlerüberwachungsmodul eines übergeordneten Gesamtsystems zur weiteren Behandlung aufgetretener Fehler nutzbar ist. Darüber hinaus zeigt Fig. 1 einen Slave-Multiplexer 70 am hier beschrieben AHB-Bus der Gesamtbuskonfiguration. Dieser ist eingerichtet, in Übereinstimmung mit einer Slave-Adresse einer Bus-Master 10 Transfer-Anfrage einen mit der Slave-Adresse korrespondierenden Bus-Slave 20 auszuwählen. Ein Select-Überwachungsmodul 75 stellt dabei sicher, dass stets nur ein einziger Bus-Slave 20 durch den Slave-Multiplexer 70 selektiert wird. Im Falle einer fehlerhaften Selektion mehrerer Bus-Slaves 20 erzeugt das Select- Überwachungsmodul 75 ein Select-Fehlersignal zur Behandlung dieses Fehlers. The master monitoring module 15 is in turn set up to compare the slave checksum transmitted by means of the user data HRUSER with the master checksum stored in the master monitoring module 15 . In the event of a discrepancy between the two checksums, the master monitoring module is set up to output a checksum error signal which can be used by an error monitoring module of a higher-level overall system for further processing of errors that have occurred. In addition, FIG. 1 shows a slave multiplexer 70 on the AHB bus of the overall bus configuration described here. This is set up to select a bus slave 20 that corresponds to the slave address in accordance with a slave address of a bus master 10 transfer request. A select monitoring module 75 ensures that only a single bus slave 20 is ever selected by the slave multiplexer 70 . If several bus slaves 20 are incorrectly selected, the select monitoring module 75 generates a select error signal for handling this error.

Fig. 1 zeigt weiter eine AHB/APB-Bridge 60, welche eingerichtet ist, Signale des AHB-Busses in Signale eines APB-Busses umzuwandeln, welcher informationstechnisch an die AHB/APB-Bridge 60 angebunden ist. Auf der Seite des AHB-Busses der AHB/APB-Bridge 60 ist ein Slave-Überwachungsmodul 25 vorgesehen, während auf der Seite des APB-Busses der AHB/APB-Bridge 60 ein Master-Überwachungsmodul 15 vorgesehen ist, um jeweilige Datenkommunikationen der jeweiligen Sub-Busse mit der AHB/APB-Bridge 60 abzusichern. Eine Absicherung der Datenübertragung zwischen einer AHB- Busschnittstelle 30 und einer APB-Busschnittstelle 40 der AHB/APB-Bridge 60 erfolgt durch eine redundante Auslegung einer Protokollumsetzungseinheit der AHB/APB-Bridge 60, so dass ggf. vorhandene Abweichungen zwischen den redundanten Protokollumsetzungseinheiten ermittelbar sind. Jeweilige Daten des AHB-Busses (HADDR, HCTRL, HDATA, HRIISER) werden in jeweilige Daten des APB-Busses umgesetzt (PADDR, PCTRL, PDATA, PRIISER) und umgekehrt. Fig. 1 ist zu entnehmen, dass jeweilige PRUSER-Signale des APB- Busses mittels zusätzlicher Datenleitungen zwischen den Komponenten des APB-Busses übertragen werden. 1 also shows an AHB/APB bridge 60 which is set up to convert signals of the AHB bus into signals of an APB bus which is connected to the AHB/APB bridge 60 in terms of information technology. On the AHB bus side of the AHB/APB bridge 60, a slave monitor module 25 is provided, while on the APB bus side of the AHB/APB bridge 60, a master monitor module 15 is provided to monitor respective data communications of the respective Securing sub-buses with the AHB/APB-Bridge 60. The data transmission between an AHB bus interface 30 and an APB bus interface 40 of the AHB/APB bridge 60 is protected by a redundant design of a protocol conversion unit of the AHB/APB bridge 60, so that any discrepancies between the redundant protocol conversion units can be determined . AHB bus respective data (HADDR, HCTRL, HDATA, HRIISER) is mapped to APB bus respective data (PADDR, PCTRL, PDATA, PRIISER) and vice versa. 1 shows that respective PRUSER signals of the APB bus are transmitted between the components of the APB bus by means of additional data lines.

Auf der Seite des APB-Busses der AHB/APB-Bridge 60 ist hier ein APB- Arbiter/Slave-Multiplexer 90 angeordnet, über weichen die Kommunikation zwischen einem Bus-Master 10 des APB-Busses und jeweiligen Bus-Slaves 20 des APB-Busses durchgeführt wird. Die weiteren hier dargestellten Komponenten des APB-Busses sind analog zu obenstehender Beschreibung aufgebaut, weshalb zur Vermeidung von Wiederholungen auf obenstehende Ausführungen verwiesen wird. An APB arbiter/slave multiplexer 90 is arranged here on the side of the APB bus of the AHB/APB bridge 60, via which communication between a bus master 10 of the APB bus and the respective bus slave 20 of the APB bus is carried out. The other components of the APB bus shown here are constructed analogously to the above description, which is why reference is made to the above explanations to avoid repetition.

Es sei darauf hingewiesen, dass zahlreiche hiervon abweichendeIt should be noted that numerous deviating from this

Buskonfigurationen auf Basis der vorliegenden Erfindung realisierbar sind und dass die hier dargestellte exemplarische Buskonfiguration diesbezüglich keinerlei Beschränkung darstellt. Bus configurations based on the present invention can be implemented and that the exemplary bus configuration shown here does not represent any limitation in this regard.

Claims

Ansprüche Expectations 1. Bussystem mit Fehlererkennungsfunktion aufweisend: 1. Bus system with error detection function having: • einen Bus-Master (10), • a bus master (10), • ein Master-Überwachungsmodul (15), • a master monitoring module (15), • einen Bus-Slave (20), und • a bus slave (20), and • ein Slave-Überwachungsmodul (25), wobei • a slave monitoring module (25), wherein • das Master-Überwachungsmodul (15) eingerichtet ist, o eine Master-Prüfsumme über Slave-Adressdaten, Nutzdaten und Steuerdaten eines durch den Bus-Master (10) erzeugten ersten Signals (S1) zu berechnen und die berechnete Prüfsumme zu speichern, o die gespeicherte Master-Prüfsumme mit einer Slave- Prüfsumme abzugleichen, welche durch das Slave- Überwachungsmodul (25) über das im Bus-Slave (20) empfangene erste Signal (S1) berechnet wird, und o ein Prüfsummen-Fehlersignal auszugeben, wenn die Master- Prüfsumme mit der Slave-Prüfsumme nicht übereinstimmt,• the master monitoring module (15) is set up to calculate a master checksum for slave address data, user data and control data of a first signal (S1) generated by the bus master (10) and to store the calculated checksum, o the to compare the stored master checksum with a slave checksum, which is calculated by the slave monitoring module (25) via the first signal (S1) received in the bus slave (20), and o to output a checksum error signal if the master checksum does not match the slave checksum, • das Slave-Überwachungsmodul (25) eingerichtet ist, o das erste Signal (S1) mit Slave-Subadressdaten zu empfangen, o aus einer vordefinierten Slave-Adressinformation die Slave- Adressdaten zu ermitteln, o eine Slave-Prüfsumme über die Slave-Adressdaten, die Nutzdaten und die Steuerdaten des ersten Signals (S1) zu berechnen, und o die Slave-Prüfsumme mittels eines zweiten Signals (S2) an das Master-Überwachungsmodul (15) zu übertragen. • the slave monitoring module (25) is set up o to receive the first signal (S1) with slave sub-address data, o to determine the slave address data from predefined slave address information, o a slave checksum for the slave address data, to calculate the user data and the control data of the first signal (S1), and o to transmit the slave checksum to the master monitoring module (15) by means of a second signal (S2). 2. Bussystem nach Anspruch 1, wobei das Master-Überwachungsmodul (15) eingerichtet ist, ein Timeout-Fehlersignal auszugeben, wenn eine mittels des ersten Signals (S1) erzeugte Transfer-Anforderung an den Bus-Slave (20) nicht innerhalb eines vordefinierten Zeitraums durch den Bus-Slave (20) beantwortet wird. Bussystem nach einem der vorstehenden Ansprüche, wobei das Bussystem ein AMBA-Bussystem ist und bevorzugt einen AHB-Bus (30) und/oder einen APB-Bus (40) aufweist. Bussystem nach Anspruch 3, wobei das AMBA-Bussystem eingerichtet ist, das zweite Signal (S2) 2. Bus system according to claim 1, wherein the master monitoring module (15) is set up to output a timeout error signal when a means of the first signal (S1) generated transfer request to the bus slave (20) is not answered within a predefined period of time by the bus slave (20). Bus system according to one of the preceding claims, wherein the bus system is an AMBA bus system and preferably has an AHB bus (30) and/or an APB bus (40). Bus system according to claim 3, wherein the AMBA bus system is set up, the second signal (S2) • innerhalb eines AHB-Busses (30) mittels eines standardgemäßen User-Signals (HRUSER), und • within an AHB bus (30) by means of a standard user signal (HRUSER), and • innerhalb eines APB-Busses (40) mittels eines zusätzlich vorgesehenen Sideband-Signals (PRUSER) zu übertragen. Bussystem nach einem der vorstehenden Ansprüche aufweisend wenigstens eine Interconnect-Matrix (50) zur Anbindung • to be transmitted within an APB bus (40) by means of an additionally provided sideband signal (PRUSER). Bus system according to one of the preceding claims, having at least one interconnect matrix (50) for connection • einer Mehrzahl von Bus-Mastern (10) mit jeweiligen Master- Überwachungsmodulen (15), und/oder • a plurality of bus masters (10) with respective master monitoring modules (15), and/or • einer Mehrzahl von Bus-Slaves (20) mit jeweiligen Slave- Überwachungsmodulen (25). Bussystem nach einem der vorstehenden Ansprüche aufweisend wenigstens einen Protokollumsetzer (60), welcher für eines der beiden umzusetzenden Protokolle ein Master-Überwachungsmodul (15) und für das jeweils andere der beiden umzusetzenden Protokolle ein Slave- Überwachungsmodul (25) aufweist. Bussystem nach Anspruch 6, wobei jeder Protokollumsetzer (60) einen redundanten Aufbau und/oder einen Lock-Step-Betrieb zur Plausibilisierung der umzusetzenden Daten aufweist. Bussystem nach einem der vorstehenden Ansprüche aufweisend wenigstens einen Slave-Multiplexer (70), wobei an jeden Slave-Multiplexer (70) ein Select-Überwachungsmodul (75) angebunden ist, welches eingerichtet ist, ein Select-Fehlersignal auszugeben, wenn durch den Slave-Multiplexer (70) mehr als ein Bus-Slave (20) gleichzeitig ausgewählt wird. Bussystem nach einem der vorstehenden Ansprüche, wobei das Bussystem eingerichtet ist, bei segmentierten Datenübertragungen jedes Datensegment mittels einer jeweiligen Master/Slave-Prüfsumme abzusichern. Bussystem nach einem der vorstehenden Ansprüche, wobei das Bussystem eingerichtet ist, jeweilige Slave-Prüfsummen dadurch ihren jeweils korrespondierenden Master-Prüfsummen zuzuordnen, dass im zweiten Signal (S2), welches durch einen jeweiligen Bus-Slave (20) gesendet wird, eine eindeutige Kennung des jeweiligen Bus-Slaves (20) enthalten ist. • a plurality of bus slaves (20) with respective slave monitoring modules (25). Bus system according to one of the preceding claims, having at least one protocol converter (60) which has a master monitoring module (15) for one of the two protocols to be converted and a slave monitoring module (25) for the other of the two protocols to be converted. Bus system according to Claim 6, in which each protocol converter (60) has a redundant structure and/or lock-step operation for plausibility checking of the data to be converted. Bus system according to one of the preceding claims, having at least one slave multiplexer (70), wherein a select monitoring module (75) is connected to each slave multiplexer (70), which is set up to output a select error signal when the slave Multiplexer (70) selected more than one bus slave (20) at the same time becomes. Bus system according to one of the preceding claims, wherein the bus system is set up, in the case of segmented data transmissions, to secure each data segment by means of a respective master/slave checksum. Bus system according to one of the preceding claims, wherein the bus system is set up to assign respective slave checksums to their respective corresponding master checksums in that the second signal (S2), which is sent by a respective bus slave (20), contains a unique identifier of the respective bus slave (20) is included.
PCT/EP2021/086636 2021-01-18 2021-12-17 Bus system with error identification function Ceased WO2022152509A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102021200411.3A DE102021200411A1 (en) 2021-01-18 2021-01-18 Bus system with error detection function
DE102021200411.3 2021-01-18

Publications (1)

Publication Number Publication Date
WO2022152509A1 true WO2022152509A1 (en) 2022-07-21

Family

ID=79425431

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2021/086636 Ceased WO2022152509A1 (en) 2021-01-18 2021-12-17 Bus system with error identification function

Country Status (2)

Country Link
DE (1) DE102021200411A1 (en)
WO (1) WO2022152509A1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050060472A1 (en) * 2003-09-12 2005-03-17 Mantey Paul J. Communications bus transceiver
US20170293630A1 (en) * 2016-04-11 2017-10-12 Tyco Fire & Security Gmbh Fire detection system with distributed file system

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10243319B4 (en) 2002-09-18 2004-08-12 Daimlerchrysler Ag Secure data transmission
CN101989242B (en) 2010-11-12 2013-06-12 深圳国微技术有限公司 Bus monitor for improving safety of SOC (System on a Chip) as well as realizing method thereof
DE102012017339B4 (en) 2012-08-31 2014-12-24 Airbus Defence and Space GmbH computer system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050060472A1 (en) * 2003-09-12 2005-03-17 Mantey Paul J. Communications bus transceiver
US20170293630A1 (en) * 2016-04-11 2017-10-12 Tyco Fire & Security Gmbh Fire detection system with distributed file system

Also Published As

Publication number Publication date
DE102021200411A1 (en) 2022-07-21

Similar Documents

Publication Publication Date Title
DE102015108689B4 (en) Security nodes in interconnect data buses
DE68913629T2 (en) BLOCK LOCKING PROCESSOR FOR MULTIPLE PROCESSING DATA SYSTEM.
DE69729889T2 (en) METHOD AND SYSTEM FOR ALLOWING INTERRUPTION-FREE INSERTION AND REMOVAL OF EXPANSION CARDS IN A UNDER VOLTAGE CALCULATOR SYSTEM
DE102015103220B4 (en) A system comprising a master security check register, method, non-volatile medium and machine readable instructions
DE69901247T2 (en) DIRECT MEMORY ACCESS IN A BRIDGE FOR A MULTIPROCESSOR SYSTEM
DE102005009795A1 (en) Microprocessor system for machine control in safety certifiable applications
DE4035837A1 (en) MAIN BUS INTERFACE CIRCUIT WITH TRANSPARENT INTERRUPTION OF A DATA TRANSFER OPERATION
DE102011007437A1 (en) Method and circuit arrangement for data transmission between processor modules
EP3186710B1 (en) Microcontroller system and method for safety-critical motor vehicle systems and the use thereof
DE112012003420B4 (en) Vehicle control device and vehicle control system
DE112021001247B4 (en) TRANSMISSION SYSTEM, SIGNAL PROCESSING SYSTEM, AND MOTOR VEHICLE
DE102016106531A1 (en) Bus subscriber and method for operating a bus subscriber
EP1590737B1 (en) Control device for a motor vehicle and communication method therefor
DE102006002824A1 (en) Method and device for converting multichannel messages into a single-channel secure message
DE69919584T2 (en) OPERATING CONTROL IN A DATA PROCESSING SYSTEM
DE102012017339A1 (en) computer system
EP3655876B1 (en) Single-chip system, method for operating a single-chip system, and motor vehicle
EP2624082B1 (en) Mobile data storage
WO2022152509A1 (en) Bus system with error identification function
DE112019007853T5 (en) CONTROL DEVICE
EP0182134A2 (en) Method for operating a fail-safe multi-computer system with some not fail-safe input/output units
DE3137313C2 (en) Circuit arrangement for coupling two microprocessors
EP3469484B1 (en) Data transmission between signal failsafe computing units
DE102017201621A1 (en) Integrated circuit for a control unit of a motor vehicle, method for producing an integrated circuit
DE102016205965A1 (en) Microcontroller, control unit and motor vehicle

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 21840900

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 21840900

Country of ref document: EP

Kind code of ref document: A1