DE102013213402A1 - Microcontroller with at least two cores - Google Patents
Microcontroller with at least two cores Download PDFInfo
- Publication number
- DE102013213402A1 DE102013213402A1 DE102013213402.9A DE102013213402A DE102013213402A1 DE 102013213402 A1 DE102013213402 A1 DE 102013213402A1 DE 102013213402 A DE102013213402 A DE 102013213402A DE 102013213402 A1 DE102013213402 A1 DE 102013213402A1
- Authority
- DE
- Germany
- Prior art keywords
- core
- unit
- monitoring unit
- microcontroller
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0736—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
- G06F11/0739—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
- G06F11/0763—Error or fault detection not based on redundancy by bit configuration check, e.g. of formats or tags
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
Die Erfindung betrifft einen Mikrocontroller (100) mit mindestens einem ersten Kern (11) und einem zweiten Kern (12), wobei der erste Kern (11) eine interne Überwachungseinheit (30) aufweist und eine erste Sicherheitseinheit (21) aufweist, wobei die erste Sicherheitseinheit (21) eine Schnittstelle (40) aufweist, wobei die Schnittstelle (40) mit einer externen Überwachungseinheit (31) verbindbar ist, wobei der zweite Kern (12) eine zweite Sicherheitseinheit (22) aufweist, wobei die zweite Sicherheitseinheit (22) mit der Überwachungseinheit (30) des ersten Kerns (11) verbunden ist, wobei die interne Überwachungseinheit (30) dazu eingerichtet ist, zu überprüfen, ob der zweite Kern (12) vorbestimmte Sicherheitskriterien erfüllt.The invention relates to a microcontroller (100) having at least one first core (11) and a second core (12), wherein the first core (11) has an internal monitoring unit (30) and has a first security unit (21) Security unit (21) has an interface (40), wherein the interface (40) with an external monitoring unit (31) is connectable, wherein the second core (12) has a second security unit (22), wherein the second security unit (22) the monitoring unit (30) of the first core (11) is connected, wherein the internal monitoring unit (30) is arranged to check whether the second core (12) meets predetermined safety criteria.
Description
Die vorliegende Erfindung betrifft einen Mikrocontroller mit mindestens zwei Kernen, sowie ein Sicherheitssystem zur Fehlersicherung eines Steuergeräts.The present invention relates to a microcontroller having at least two cores, as well as a security system for error protection of a control device.
Stand der TechnikState of the art
Herkömmlicherweise gibt es Sicherheitssteuerungen für technische Anlagen, wie beispielsweise Werkzeugmaschinen, Druckmaschinen, Airbags in Kraftfahrzeugen usw., die durch ein elektrisches, elektronisches und/oder programmierbar elektronisches System gesteuert werden. Ein solches System ist zumeist aus mindestens einer integrierten Schaltung aufgebaut. Der Hauptbestandteil einer solchen integrierten Schaltung ist üblicherweise ein Mikrocontroller, welcher Speicher (z.B. RAM, ROM), einen Zeitgeber bzw. Timer, mindestens einen Mikroprozessor (CPU), einen Eingangsanschluss, einen Ausgangsanschluss und ein die Speicher, den Zeitgeber, die CPU(s), und die Eingangs-/ Ausgangsanschlüsse miteinander verbindendes Bussystem aufweist. Der Mikrocontroller dient zur zentralen Steuerung des elektrischen, elektronischen und/oder programmierbar elektronischen Systems. Ist die Funktion des Mikrocontrollers aufgrund eines Fehlers, wie beispielsweise Überhitzung oder Überlastung beeinträchtigt, oder fällt der Mikrocontroller aufgrund eines Fehlers sogar ganz aus, ist die Funktion der gesamten zu steuernden technischen Anlage nicht mehr gewährleistet. Daher ist es von erheblicher Bedeutung, einen Ausfall des diese technischen Anlagen steuernden Mikrocontrollers zu vermeiden, bzw. die von dem Mikrocontroller gesteuerte technische Anlage in einen fehlersicheren Betrieb zu überführen.Conventionally, there are safety controls for technical equipment, such as machine tools, printing machines, airbags in automobiles, etc., which are controlled by an electric, electronic and / or programmable electronic system. Such a system is usually composed of at least one integrated circuit. The main component of such an integrated circuit is usually a microcontroller, which memory (eg RAM, ROM), a timer, at least one microprocessor (CPU), an input terminal, an output terminal and the memory, the timer, the CPU (s ), and the input / output terminals interconnecting bus system. The microcontroller is used for central control of the electrical, electronic and / or programmable electronic system. If the function of the microcontroller is impaired due to an error, such as overheating or overloading, or if the microcontroller fails completely due to a fault, the function of the entire technical system to be controlled is no longer guaranteed. Therefore, it is of considerable importance to avoid a failure of the microcontroller controlling these technical systems, or to convert the technical system controlled by the microcontroller into a fail-safe operation.
Mikrocontroller können mit Mehrkernprozessoren ausgestattet sein, die mehr als einen Prozessorkern aufweisen (sog. Multi-Core-Prozessoren). Dabei können die auszuführenden Funktionen, Anwendungen bzw. Prozesse zweckmäßig auf die einzelnen Kerne des Mikrocontrollers verteilt werden, um beispielsweise freie Rechenleistungen oder Kapazitäten der einzelnen Kerne optimal auszunutzen. Essentielle, sicherheitsrelevante Funktionen können dabei auf sämtliche Kerne des Mikrocontrollers verteilt sein. Jeder der Kerne des Mikrocontrollers muss daher gegen Ausfall und vor Fehlern geschützt sein.Microcontrollers can be equipped with multi-core processors that have more than one processor core (so-called multi-core processors). In this case, the functions to be executed, applications or processes can be expediently distributed to the individual cores of the microcontroller in order, for example, to optimally utilize free computing power or capacities of the individual cores. Essential, safety-relevant functions can be distributed to all cores of the microcontroller. Each of the cores of the microcontroller must therefore be protected against failure and faults.
In der
Es ist wünschenswert, einen Mikrocontroller mit mehreren Kernen bereitzustellen, wobei die einzelnen Kerne des Mikrocontrollers auf einfache, aber sichere Weise gegen Ausfall und Fehler geschützt sind.It is desirable to provide a multi-core microcontroller with the individual cores of the microcontroller protected in a simple yet secure manner against failure and failure.
Offenbarung der ErfindungDisclosure of the invention
Erfindungsgemäß werden ein Mikrocontroller mit mindestens zwei Kernen, sowie ein Sicherheitssystem zur Fehlersicherung eines Steuergeräts mit den Merkmalen der unabhängigen Patentansprüche vorgeschlagen. Vorteilhafte Ausgestaltungen sind Gegenstand der Unteransprüche sowie der nachfolgenden Beschreibung.According to the invention, a microcontroller having at least two cores, as well as a security system for error protection of a control device with the features of the independent patent claims are proposed. Advantageous embodiments are the subject of the dependent claims and the following description.
In einem erfindungsgemäßen Mikrocontroller weist ein zweiter Kern, insbesondere jeder der einzelnen Kerne des Mikrocontrollers, eine Sicherheitseinheit auf. Eine Überwachungseinheit eines ersten Kerns ist mit der Sicherheitseinheit des zweiten Kerns bzw. insbesondere mit der Sicherheitseinheit eines jeden anderen Kerns des Mikrocontrollers verbunden. Der erste Kern bzw. die Überwachungseinheit des ersten Kerns überwacht somit wenigstens den zweiten Kern und insbesondere alle anderen Kerne des Mikrocontrollers. Die Überwachung der Sicherheitseinheit durch die Überwachungseinheit kann grundsätzlich entsprechend einer Frage-Antwort-Überwachung stattfinden, wie sie beispielsweise in der Veröffentlichung "Standardisiertes E-GAS Überwachungskonzept für Benzin und Diesel Motorsteuerungen. Arbeitskreis EGAS / 16.05.2013 / Version 5.5" als Ebene-3-Überwachung beschrieben wird.In a microcontroller according to the invention, a second core, in particular each of the individual cores of the microcontroller, has a security unit. A monitoring unit of a first core is connected to the security unit of the second core or in particular to the security unit of each other core of the microcontroller. The first core or the monitoring unit of the first core thus monitors at least the second core and in particular all other cores of the microcontroller. The monitoring of the safety unit by the monitoring unit can in principle take place according to a question and answer monitoring, as described, for example, in the publication "Standardized E-Gas Surveillance Concept for Gasoline and Diesel Engine Controls, Working Group EGAS / 16.05.2013 / Version 5.5" as level-3 Monitoring is described.
Es sei darauf hingewiesen, dass zwar in der nachfolgenden Beschreibung zumeist die Rede von zwei Kernen ist. Die Erfindung und ihre Ausführungen sollen allerdings nicht auf zwei Kerne beschränkt sein, sondern können auf beliebig viele Kerne erweitert werden. Insbesondere gelten die nachfolgenden Erläuterungen in Bezug auf den zweiten Kern in analoger Weise für mehrere der Kerne und insbesondere für alle anderen Kerne des Mikrocontrollers.It should be noted that although in the following description is usually the talk of two cores. However, the invention and its embodiments should not be limited to two cores, but can be extended to any number of cores. In particular, the following explanations with respect to the second core apply analogously to several of the cores and in particular to all other cores of the microcontroller.
Vorteile der ErfindungAdvantages of the invention
Im Zuge der Überprüfung, ob der zweite Kern die vorbestimmten Sicherheitskriterien erfüllt, überprüft die Überwachungseinheit insbesondere, ob der zweite Kern bestimmte Fragen mit einer vorbestimmten Antwort beantwortet. Antwortet der zweite Kern nicht in der vorbestimmten Weise, kann der zweite Kern sicherheitsrelevante Funktionen nicht mehr entsprechend vorbestimmter Sicherheitskriterien ausführen. Die Überwachungseinheit überprüft somit, ob der zweite Kern noch für einen sichereren Betrieb des Mikrocontrollers geeignet ist. Weist der zweite Kern einen Fehler auf oder fällt der zweite Kern aus, wird dies durch die Überwachungseinheit erkannt und die Überwachungseinheit kann entsprechende Maßnahmen ergreifen. Die Überwachungseinheit bzw. der erste Kern sichert den zweiten Kern somit gegen Ausfall ab.In the course of checking whether the second core fulfills the predetermined security criteria, the monitoring unit checks in particular whether the second core answers certain questions with a predetermined answer. If the second core does not respond in the predetermined manner, the second core can no longer have security-related functions perform according to predetermined safety criteria. The monitoring unit thus checks whether the second core is still suitable for safer operation of the microcontroller. If the second core has an error or the second core fails, this is detected by the monitoring unit and the monitoring unit can take appropriate measures. The monitoring unit or the first core thus secures the second core against failure.
Durch die erste Sicherheitseinheit bzw. durch die erste Schnittstelle ist der erste Kern mit einer externen Überwachungseinheit (sog. Überwachungsrechner bzw. Watchdog) verbindbar. Unter externer Überwachungseinheit ist dabei zu verstehen, dass die externe Überwachungseinheit kein Teil des Mikrocontrollers ist. Through the first security unit or through the first interface, the first core can be connected to an external monitoring unit (so-called monitoring computer or watchdog). By external monitoring unit is to be understood that the external monitoring unit is not part of the microcontroller.
Der erste Kern kann dabei insbesondere mittels einer externen Überwachungseinheit überwacht werden. Der erste Kern ist demgemäß ein gegen einen Ausfall abgesicherter, überwachter Kern, der wiederum die restlichen Kerne des Mikrocontrollers gegen einen Ausfall absichert und überwacht. Die Schnittstelle zwischen erster Sicherheitseinheit und externer Überwachungseinrichtung kann beispielsweise eine SPI-Schnittstelle sein (Serial Peripheral Interface). The first core can be monitored in particular by means of an external monitoring unit. The first core is accordingly a fail-safe, monitored core, which in turn protects and monitors the remaining cores of the microcontroller against failure. The interface between the first security unit and external monitoring device can be, for example, an SPI interface (Serial Peripheral Interface).
Um zu überprüfen, ob der zweite Kern die vorbestimmten Sicherheitskriterien erfüllt, können spezielle Algorithmen auf dem ersten und/oder dem zweiten Kern implementiert werden. Diese Algorithmen ermöglichen eine entsprechende Kommunikation zwischen der Überwachungseinheit und der Sicherheitseinheit des zweiten Kerns. Für diese Kommunikation zwischen dem ersten und dem zweiten Kern können insbesondere Kommunikationsschnittstellen genutzt werden, die bereits in dem Mikrocontroller vorhanden sind, beispielsweise ein RAM. Es müssen somit keine zusätzlichen Hardwarebauteile in den Mikrocontroller implementiert werden.To verify that the second core meets the predetermined security criteria, special algorithms may be implemented on the first and / or second core. These algorithms enable appropriate communication between the monitoring unit and the security unit of the second core. In particular, communication interfaces which are already present in the microcontroller, for example a RAM, can be used for this communication between the first and the second core. Thus, no additional hardware components must be implemented in the microcontroller.
Dadurch, dass erfindungsgemäß der zweite Kern bzw. sämtliche andere Kerne durch den ersten Kern abgesichert werden, ergeben sich erhebliche Vorteile gegenüber einem Mikrocontroller, in dem alle Kerne mittels einer externen Überwachungseinheit abgesichert sind. Hierzu müsste ein mit der externen Überwachungseinheit verbundener Kern stets auf Daten bzw. eine Rückantwort der anderen Kerne warten, damit er sämtliche Daten bzw. Rückantworten zusammenführen und gemeinsam an die externe Überwachungseinheit übermitteln kann. Dies würde aufgrund von Randbedingungen des Betriebssystems (Jitter von Softwaretasks) zu einer signifikanten Verlängerung einer Fehlerlatenzzeit führen. Zwar könnte die Fehlerlatenzzeit konstant gehalten werden, dies würde allerdings zu einer eingeschränkten Verfügbarkeit des Mikrocontrollers führen.The fact that according to the invention the second core or all other cores are secured by the first core, there are significant advantages over a microcontroller, in which all cores are protected by means of an external monitoring unit. For this purpose, a core connected to the external monitoring unit would always have to wait for data or a reply from the other cores, so that it can combine all the data or responses and transmit them together to the external monitoring unit. This would lead to significant prolongation of an error latency due to operating system constraints (jitter of software tasks). Although the error latency could be kept constant, this would result in a limited availability of the microcontroller.
Da durch die Erfindung insbesondere jeder der Kerne des Mikrocontrollers überwacht und gegen einen Ausfall abgesichert ist, können auszuführenden Funktionen, Anwendungen und Prozesse beliebig auf die einzelnen Kerne verteilt werden. Es ist nicht notwendig, dass sämtliche sicherheitsrelevante Funktionen auf einem bestimmten Kern ablaufen, der beispielsweise als einziger der Kerne gegen Ausfall abgesichert ist. Die einzelnen Anwendungen und Funktionen können somit zweckmäßig aufgrund von freien Rechenleistungen oder Kapazitäten der einzelnen Kerne verteilt werden.Since, in particular, each of the cores of the microcontroller is monitored by the invention and secured against failure, functions, applications and processes to be executed can be distributed as desired to the individual cores. It is not necessary for all safety-relevant functions to run on a specific core, which, for example, is the only one of the cores that is protected against failure. The individual applications and functions can thus be expediently distributed on the basis of free computing power or capacities of the individual cores.
Vorzugsweise ist die Überwachungseinheit dazu eingerichtet, den zweiten Kern zu deaktivieren bzw. eine Leistungsendstufe zu deaktivieren, wenn der zweite Kern die vorbestimmten Sicherheitskriterien nicht erfüllt. Die Überwachungseinheit kann dafür insbesondere einen Ausgang aufweisen, über welchen ein spezielles Signal ausgegeben wird, wenn der zweite Kern die vorbestimmten Sicherheitskriterien nicht erfüllt. Des Weiteren können Maßnahmen in die Wege geleitet werden, um den Mikrocontroller in einen sicheren Betriebszustand zu überführen. Beispielsweise können für einen fehlerfreien Betrieb des Mikrocontrollers essentielle Funktionen und Prozesse des zweiten Kerns auf andere Kerne des Mikrocontrollers verteilt werden oder der Mikrocontroller kann in einem speziellen Notfall-Betriebsmodus betrieben oder abgeschaltet werden.Preferably, the monitoring unit is configured to deactivate the second core or to deactivate a power output stage if the second core does not fulfill the predetermined safety criteria. In particular, the monitoring unit can have an output via which a special signal is output if the second core does not fulfill the predetermined safety criteria. Furthermore, measures can be taken to bring the microcontroller in a safe operating condition. For example, for fault-free operation of the microcontroller, essential functions and processes of the second core may be distributed to other cores of the microcontroller, or the microcontroller may be operated or shut down in a special emergency mode of operation.
Vorteilhafterweise ist die Sicherheitseinheit des ersten Kerns über die Schnittstelle mit der externen Überwachungseinheit verbunden. Die externe Überwachungseinheit überwacht somit den ersten Kern auf die gleiche Art, wie der erste Kern den zweiten Kern überwacht. Die externe Überwachungseinheit ist insbesondere als eine Watchdog-Einheit ausgebildet. Dabei kann insbesondere eine herkömmliche Überwachungseinheit bzw. Watchdog-Einheit genutzt werden, die auf herkömmliche Weise dazu eingerichtet ist, eine Komponente zu überwachen. An dieser herkömmlichen Überwachungseinheit bzw. Watchdog-Einheit müssen keinerlei Veränderungen vorgenommen werden. Weder müssen Hardwarebauteile hinzugefügt werden, noch muss dessen Programmierung geändert werden. Es muss keine neue Chipentwicklung der herkömmlichen Überwachungseinheit bzw. Watchdog-Einheit durchgeführt werden und ein bestehendes Design der herkömmlichen Überwachungseinheit bzw. Watchdog-Einheit kann beibehalten werden. Herkömmliche Überwachungseinheiten bzw. Watchdog-Einheiten weisen insbesondere eine einzige Schnittstelle auf, über die sie mit der jeweiligen zu überwachenden Komponente verbunden sind. Dadurch, dass der erfindungsgemäße Mikrocontroller nur eine externe Schnittstelle in Form der Schnittstelle der ersten Sicherheitseinheit aufweist, ist der erfindungsgemäße Mikrocontroller für die Nutzung mit einer herkömmlichen Überwachungseinheit bzw. Watchdog-Einheit geeignet.Advantageously, the security unit of the first core is connected via the interface with the external monitoring unit. The external monitoring unit thus monitors the first core in the same way as the first core monitors the second core. The external monitoring unit is designed in particular as a watchdog unit. In this case, it is possible in particular to use a conventional monitoring unit or watchdog unit which is conventionally set up to monitor a component. At this conventional monitoring unit or watchdog unit, no changes must be made. Neither hardware components need to be added, nor its programming changed. No new chip development of the conventional monitoring unit or watchdog unit has to be performed, and an existing design of the conventional monitoring unit or watchdog unit can be maintained. Conventional monitoring units or watchdog units have in particular a single interface, via which they are connected to the respective component to be monitored. Characterized in that the microcontroller according to the invention only an external Having the interface in the form of the interface of the first security unit, the microcontroller according to the invention for use with a conventional monitoring unit or watchdog unit is suitable.
Bevorzugt ist die externe Überwachungseinheit dazu eingerichtet, den Mikrocontroller zu deaktivieren, wenn der erste Kern die vorgebestimmten Sicherheitskriterien nicht erfüllt. Für diesen Fall, dass der erste Kern einen Fehler aufweist oder ausfällt, kann die Überwachung des zweiten Kerns bzw. der restlichen Kerne nicht mehr von der Überwachungseinheit des ersten Kerns durchgeführt werden.The external monitoring unit is preferably set up to deactivate the microcontroller if the first core does not fulfill the predetermined safety criteria. In this case, if the first core has an error or fails, the monitoring of the second core (s) can no longer be performed by the monitoring unit of the first core.
In einer vorteilhaften Ausgestaltung der Erfindung weist auch der zweite Kern eine Überwachungseinheit auf, um den ersten Kern zu überwachen. Dadurch können Fehlerlatenzzeiten für alle Kerne reduziert werden, da Parameter der Überprüfung zwischen den einzelnen Kernen leichter zu variieren sind als gegenüber der externen Überwachungseinheit. Fehler oder ein Ausfall eines der Kerne können somit schneller erkannt werden. Die Sicherheitseinheit des ersten Kerns ist dazu mit der Überwachungseinheit des zweiten Kerns und mit der externen Überwachungseinheit verbindbar, entweder über die bereits erwähnte Schnittstelle oder über eine weitere Schnittstelle. Alternativ kann der erste Kern auch zwei Sicherheitseinheiten aufweisen, von denen eine mit der externen Überwachungseinheit verbindbar ist und von denen die andere mit der Überwachungseinheit des zweiten Kerns verbunden ist. In an advantageous embodiment of the invention, the second core also has a monitoring unit in order to monitor the first core. This can reduce error latency for all cores, as parameters of verification between the individual cores are easier to vary than compared to the external monitoring unit. Errors or failure of one of the cores can thus be detected faster. The security unit of the first core can be connected to the monitoring unit of the second core and to the external monitoring unit, either via the already mentioned interface or via a further interface. Alternatively, the first core may also have two security units, one of which is connectable to the external monitoring unit and of which the other is connected to the monitoring unit of the second core.
Bevorzugt führt die Überwachungseinheit des ersten Kerns im Zuge der Überprüfung, ob der zweite Kern die vorbestimmten Sicherheitskriterien erfüllt, eine Frage/Antwort-Kommunikation mit dem zweiten Kern durch. Die Überwachungseinheit stellt dabei Anfragen an die Sicherheitseinheit des zweiten Kerns und diese übermittelt der Überwachungseinheiten Antworten auf diese Anfragen. Auf jede Anfrage existiert eine vorbestimmte Antwort. Die Überwachungseinheit überprüft, ob die Antwort der zweiten Sicherheitseinheit dieser vorbestimmten erwarteten Antwort entspricht. Ist dies nicht der Fall, deutet dies auf einen Fehler bzw. einen Ausfall des zweiten Kerns hin. Vorteilhafterweise wird diese Frage/Antwort Kommunikation mittels eines Program Flow Checks realisiert. Die Überwachungseinheit und die zweite Sicherheitseinheit sind dabei dazu eingerichtet, einen Program Flow Check durchzuführen. Im Zuge dessen bietet es sich insbesondere an, dass die Überwachungseinheit als eine Watchdog-Einheit ausgebildet ist. Analoge Ausführungen gelten für die externe Überwachungseinheit und die erste Sicherheitseinheit bzw. für die zweite Überwachungseinheit und die erste (bzw. vierte) Sicherheitseinheit.Preferably, the monitoring unit of the first core performs a question / answer communication with the second core in the course of checking whether the second core satisfies the predetermined security criteria. The monitoring unit makes requests to the security unit of the second core and this transmits the monitoring units answers to these requests. Each request has a predetermined answer. The monitoring unit checks whether the response of the second security unit corresponds to this predetermined expected response. If this is not the case, this indicates an error or a failure of the second core. Advantageously, this question / answer communication is realized by means of a program flow check. The monitoring unit and the second security unit are set up to perform a program flow check. In the course of this it is particularly appropriate that the monitoring unit is designed as a watchdog unit. Analogous versions apply to the external monitoring unit and the first safety unit or to the second monitoring unit and the first (or fourth) safety unit.
Die Erfindung betrifft weiterhin ein Sicherheitssystem zur Fehlersicherung eines Steuergeräts mit einem erfindungsgemäßen Mikrocontroller. Ausgestaltungen dieses erfindungsgemäßen Sicherheitssystems ergeben sich aus der obigen Beschreibung des erfindungsgemäßen Mikrocontrollers in analoger Art und Weise.The invention further relates to a security system for fail-safe control of a control device with a microcontroller according to the invention. Embodiments of this security system according to the invention will become apparent from the above description of the microcontroller according to the invention in an analogous manner.
Ein erfindungsgemäßer Mikrocontroller bzw. ein erfindungsgemäßes Sicherheitssystem können in vielen Bereichen Anwendung finden und sind insbesondere für Steuergeräte zur Steuerung von technischen Anlagen geeignet, in denen es aus Sicherheitsgründen zum Schutz von Menschenleben oder zur Vermeidung eines großen wirtschaftlichen Schadens notwendig ist, einen Ausfall dieses die technische Anlage steuernden Steuergeräts zu vermeiden bzw. die von dem Steuergerät gesteuerte technische Anlage in einen fehlersicheren Betrieb zu überführen. Derartige technische Anlagen können beispielsweise Werkzeugmaschinen, Druckmaschinen, Kernkraftwerken, Eisenbahnen, Flugzeugen oder Kraftfahrzeugen sein. In Kraftfahrzeugen eignet sich die Erfindung insbesondere für Steuergeräte zur Motorsteuerung und/oder Hybridsteuerung, sowie zur Steuerung von Airbag, ESP, Lenkungssteuergeräte usw.A microcontroller according to the invention or a security system according to the invention can be used in many areas and are particularly suitable for control units for controlling technical installations in which it is necessary for safety reasons to protect human life or to avoid a large economic loss, a failure of this technical To avoid system-controlling control unit or to convert the controlled by the control unit technical equipment in a fail-safe operation. Such technical systems may be, for example, machine tools, printing presses, nuclear power plants, railways, aircraft or motor vehicles. In motor vehicles, the invention is particularly suitable for control units for engine control and / or hybrid control, as well as for controlling airbag, ESP, steering control devices, etc.
Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und der beiliegenden Zeichnung.Further advantages and embodiments of the invention will become apparent from the description and the accompanying drawings.
Es versteht sich, dass die vorstehend genannten und die nachfolgend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen. It is understood that the features mentioned above and those yet to be explained below can be used not only in the particular combination indicated, but also in other combinations or in isolation, without departing from the scope of the present invention.
Die Erfindung ist anhand von Ausführungsbeispielen in der Zeichnung schematisch dargestellt und wird im Folgenden unter Bezugnahme auf die Zeichnung ausführlich beschrieben.The invention is illustrated schematically by means of exemplary embodiments in the drawing and will be described in detail below with reference to the drawing.
Kurze Beschreibung der ZeichnungenBrief description of the drawings
Ausführungsform(en) der ErfindungEmbodiment (s) of the invention
In
Ein erster Kern
Um zu überprüfen, ob der zweite Kern
Durch diese Frage/Antwort-Kommunikation
Ist dies nicht der Fall, weist der zweite Kern
Die Überwachungseinheit
Ist dies nicht der Fall, sendet die externe Überwachungseinheit
Der Mikrocontroller
In
Dabei weist der zweite Kern
Der erste Kern
Alternativ kann der erste Kern
ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.
Zitierte PatentliteraturCited patent literature
- DE 102009015683 A1 [0004] DE 102009015683 A1 [0004]
Claims (8)
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102013213402.9A DE102013213402A1 (en) | 2013-07-09 | 2013-07-09 | Microcontroller with at least two cores |
CN201410321575.3A CN104281557A (en) | 2013-07-09 | 2014-07-08 | Microcontroller having at least two cores |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102013213402.9A DE102013213402A1 (en) | 2013-07-09 | 2013-07-09 | Microcontroller with at least two cores |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102013213402A1 true DE102013213402A1 (en) | 2015-01-15 |
Family
ID=52107244
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102013213402.9A Ceased DE102013213402A1 (en) | 2013-07-09 | 2013-07-09 | Microcontroller with at least two cores |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN104281557A (en) |
DE (1) | DE102013213402A1 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102016202749A1 (en) * | 2016-02-23 | 2017-08-24 | Festo Ag & Co. Kg | Safety-related control device and method for operating a safety-related control device |
DE102020211540A1 (en) | 2020-09-15 | 2022-03-17 | Robert Bosch Gesellschaft mit beschränkter Haftung | Procedure for protecting a microcontroller |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102009015683A1 (en) | 2009-03-31 | 2010-10-07 | Robert Bosch Gmbh | Safety system for ensuring fail-safe control of electrical systems and safety control with it |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4491726B2 (en) * | 2004-10-15 | 2010-06-30 | 株式会社タイトー | Device control method |
CN101634959B (en) * | 2009-08-21 | 2011-05-04 | 北京航空航天大学 | Dual redundant fault-tolerant system based on embedded type CPU, |
DE102010041003A1 (en) * | 2010-09-20 | 2012-03-22 | Sb Limotive Company Ltd. | Method for monitoring at least two microcontrollers |
-
2013
- 2013-07-09 DE DE102013213402.9A patent/DE102013213402A1/en not_active Ceased
-
2014
- 2014-07-08 CN CN201410321575.3A patent/CN104281557A/en active Pending
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102009015683A1 (en) | 2009-03-31 | 2010-10-07 | Robert Bosch Gmbh | Safety system for ensuring fail-safe control of electrical systems and safety control with it |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102016202749A1 (en) * | 2016-02-23 | 2017-08-24 | Festo Ag & Co. Kg | Safety-related control device and method for operating a safety-related control device |
US10295984B2 (en) | 2016-02-23 | 2019-05-21 | Festo Ag & Co. Kg | Safety-related control device and method for operating a safety-related control device |
DE102020211540A1 (en) | 2020-09-15 | 2022-03-17 | Robert Bosch Gesellschaft mit beschränkter Haftung | Procedure for protecting a microcontroller |
Also Published As
Publication number | Publication date |
---|---|
CN104281557A (en) | 2015-01-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102012024818A1 (en) | Procedures to improve functional safety and increase the availability of an electronic control system, as well as an electronic control system | |
DE102011014142A1 (en) | Vehicle control device for a CAN communication and diagnostic method therefor | |
DE102015003194A1 (en) | Method and device for handling safety-critical errors | |
DE112015002210T5 (en) | Motor controller | |
WO2019072840A1 (en) | Apparatus for protecting diagnosis commands to a controller, and corresponding motor vehicle | |
DE102014200111A1 (en) | A battery management system for monitoring and controlling the operation of a battery and battery system having such a battery management system | |
EP3661819B1 (en) | Control system for a motor vehicle, motor vehicle, method for controlling a motor vehicle, computer program product, and computer-readable medium | |
DE112014002675T5 (en) | Optimized power supply architecture | |
DE102018212879A1 (en) | Control device and control method | |
EP3473512B1 (en) | Functional module, control unit for an operating assisting system and working device | |
WO2013164224A2 (en) | Method and device for monitoring functions of a computer system, preferably of an engine control system of a motor vehicle | |
DE102008009652A1 (en) | Monitoring device and monitoring method for a sensor, and sensor | |
WO2016005187A1 (en) | Control arrangement for safety-relevant actuators | |
WO2008014940A1 (en) | Control device and method for the control of functions | |
DE102013213402A1 (en) | Microcontroller with at least two cores | |
EP2237118B1 (en) | Safety system for ensuring error-free control of electrical devices and safety device | |
DE102006037124A1 (en) | Drive system for a drive unit of a motor vehicle | |
EP2879897B1 (en) | Method for deactivating a high voltage system of a motor vehicle | |
DE10331872A1 (en) | Method for monitoring a technical system | |
DE102013021231A1 (en) | Method for operating an assistance system of a vehicle and vehicle control unit | |
EP2013731B1 (en) | Circuit arrangement, and method for the operation of a circuit arrangement | |
EP3499324A1 (en) | Method of modular verification of a configuration of a device | |
DE102017220068A1 (en) | Method and on-board control unit for controlling and / or monitoring components of a rail vehicle | |
DE102017201621A1 (en) | Integrated circuit for a control unit of a motor vehicle, method for producing an integrated circuit | |
DE102012209445A1 (en) | Method for secure transmission of safety critical function data between diagnosis tester and control device in control system in vehicle, involves synchronizing keys, and initiating access to client during coincidence of keys |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed | ||
R002 | Refusal decision in examination/registration proceedings | ||
R003 | Refusal decision now final |