DE102013213402A1

DE102013213402A1 - Microcontroller with at least two cores

Info

Publication number: DE102013213402A1
Application number: DE102013213402.9A
Authority: DE
Inventors: Sascha Dreschmann; Marco Rajapakse; Thomas Kiewnick; Sevan Tatiyosyan
Original assignee: Robert Bosch GmbH
Current assignee: Robert Bosch GmbH
Priority date: 2013-07-09
Filing date: 2013-07-09
Publication date: 2015-01-15
Also published as: CN104281557A

Abstract

Die Erfindung betrifft einen Mikrocontroller (100) mit mindestens einem ersten Kern (11) und einem zweiten Kern (12), wobei der erste Kern (11) eine interne Überwachungseinheit (30) aufweist und eine erste Sicherheitseinheit (21) aufweist, wobei die erste Sicherheitseinheit (21) eine Schnittstelle (40) aufweist, wobei die Schnittstelle (40) mit einer externen Überwachungseinheit (31) verbindbar ist, wobei der zweite Kern (12) eine zweite Sicherheitseinheit (22) aufweist, wobei die zweite Sicherheitseinheit (22) mit der Überwachungseinheit (30) des ersten Kerns (11) verbunden ist, wobei die interne Überwachungseinheit (30) dazu eingerichtet ist, zu überprüfen, ob der zweite Kern (12) vorbestimmte Sicherheitskriterien erfüllt.The invention relates to a microcontroller (100) having at least one first core (11) and a second core (12), wherein the first core (11) has an internal monitoring unit (30) and has a first security unit (21) Security unit (21) has an interface (40), wherein the interface (40) with an external monitoring unit (31) is connectable, wherein the second core (12) has a second security unit (22), wherein the second security unit (22) the monitoring unit (30) of the first core (11) is connected, wherein the internal monitoring unit (30) is arranged to check whether the second core (12) meets predetermined safety criteria.

Description

Die vorliegende Erfindung betrifft einen Mikrocontroller mit mindestens zwei Kernen, sowie ein Sicherheitssystem zur Fehlersicherung eines Steuergeräts.The present invention relates to a microcontroller having at least two cores, as well as a security system for error protection of a control device.

Stand der TechnikState of the art

Herkömmlicherweise gibt es Sicherheitssteuerungen für technische Anlagen, wie beispielsweise Werkzeugmaschinen, Druckmaschinen, Airbags in Kraftfahrzeugen usw., die durch ein elektrisches, elektronisches und/oder programmierbar elektronisches System gesteuert werden. Ein solches System ist zumeist aus mindestens einer integrierten Schaltung aufgebaut. Der Hauptbestandteil einer solchen integrierten Schaltung ist üblicherweise ein Mikrocontroller, welcher Speicher (z.B. RAM, ROM), einen Zeitgeber bzw. Timer, mindestens einen Mikroprozessor (CPU), einen Eingangsanschluss, einen Ausgangsanschluss und ein die Speicher, den Zeitgeber, die CPU(s), und die Eingangs-/ Ausgangsanschlüsse miteinander verbindendes Bussystem aufweist. Der Mikrocontroller dient zur zentralen Steuerung des elektrischen, elektronischen und/oder programmierbar elektronischen Systems. Ist die Funktion des Mikrocontrollers aufgrund eines Fehlers, wie beispielsweise Überhitzung oder Überlastung beeinträchtigt, oder fällt der Mikrocontroller aufgrund eines Fehlers sogar ganz aus, ist die Funktion der gesamten zu steuernden technischen Anlage nicht mehr gewährleistet. Daher ist es von erheblicher Bedeutung, einen Ausfall des diese technischen Anlagen steuernden Mikrocontrollers zu vermeiden, bzw. die von dem Mikrocontroller gesteuerte technische Anlage in einen fehlersicheren Betrieb zu überführen.Conventionally, there are safety controls for technical equipment, such as machine tools, printing machines, airbags in automobiles, etc., which are controlled by an electric, electronic and / or programmable electronic system. Such a system is usually composed of at least one integrated circuit. The main component of such an integrated circuit is usually a microcontroller, which memory (eg RAM, ROM), a timer, at least one microprocessor (CPU), an input terminal, an output terminal and the memory, the timer, the CPU (s ), and the input / output terminals interconnecting bus system. The microcontroller is used for central control of the electrical, electronic and / or programmable electronic system. If the function of the microcontroller is impaired due to an error, such as overheating or overloading, or if the microcontroller fails completely due to a fault, the function of the entire technical system to be controlled is no longer guaranteed. Therefore, it is of considerable importance to avoid a failure of the microcontroller controlling these technical systems, or to convert the technical system controlled by the microcontroller into a fail-safe operation.

Mikrocontroller können mit Mehrkernprozessoren ausgestattet sein, die mehr als einen Prozessorkern aufweisen (sog. Multi-Core-Prozessoren). Dabei können die auszuführenden Funktionen, Anwendungen bzw. Prozesse zweckmäßig auf die einzelnen Kerne des Mikrocontrollers verteilt werden, um beispielsweise freie Rechenleistungen oder Kapazitäten der einzelnen Kerne optimal auszunutzen. Essentielle, sicherheitsrelevante Funktionen können dabei auf sämtliche Kerne des Mikrocontrollers verteilt sein. Jeder der Kerne des Mikrocontrollers muss daher gegen Ausfall und vor Fehlern geschützt sein.Microcontrollers can be equipped with multi-core processors that have more than one processor core (so-called multi-core processors). In this case, the functions to be executed, applications or processes can be expediently distributed to the individual cores of the microcontroller in order, for example, to optimally utilize free computing power or capacities of the individual cores. Essential, safety-relevant functions can be distributed to all cores of the microcontroller. Each of the cores of the microcontroller must therefore be protected against failure and faults.

In der DE 10 2009 015 683 A1 wird ein Sicherheitssystem zur Sicherung eines Mehrkernprozessors beschrieben. Eine externe Überwachungseinrichtung (sog. Watchdog) ist dabei mit den einzelnen Kernen des Mehrkernprozessors verbunden und überwacht diese. Dabei muss eine Schnittstelle zwischen der Überwachungseinrichtung und jedem einzelnen der Kerne des Mehrkernprozessors eingerichtet werden. Die einzelnen Schnittstellen müssen auf Hardware-Basis in die Überwachungseinheit und in den Mehrkernprozessor implementiert werden, was relativ aufwändig ist.In the DE 10 2009 015 683 A1 describes a security system for securing a multi-core processor. An external monitoring device (so-called watchdog) is connected to the individual cores of the multi-core processor and monitors them. In this case, an interface between the monitoring device and each of the cores of the multi-core processor must be set up. The individual interfaces must be implemented on a hardware basis in the monitoring unit and in the multi-core processor, which is relatively expensive.

Es ist wünschenswert, einen Mikrocontroller mit mehreren Kernen bereitzustellen, wobei die einzelnen Kerne des Mikrocontrollers auf einfache, aber sichere Weise gegen Ausfall und Fehler geschützt sind.It is desirable to provide a multi-core microcontroller with the individual cores of the microcontroller protected in a simple yet secure manner against failure and failure.

Offenbarung der ErfindungDisclosure of the invention

Erfindungsgemäß werden ein Mikrocontroller mit mindestens zwei Kernen, sowie ein Sicherheitssystem zur Fehlersicherung eines Steuergeräts mit den Merkmalen der unabhängigen Patentansprüche vorgeschlagen. Vorteilhafte Ausgestaltungen sind Gegenstand der Unteransprüche sowie der nachfolgenden Beschreibung.According to the invention, a microcontroller having at least two cores, as well as a security system for error protection of a control device with the features of the independent patent claims are proposed. Advantageous embodiments are the subject of the dependent claims and the following description.

In einem erfindungsgemäßen Mikrocontroller weist ein zweiter Kern, insbesondere jeder der einzelnen Kerne des Mikrocontrollers, eine Sicherheitseinheit auf. Eine Überwachungseinheit eines ersten Kerns ist mit der Sicherheitseinheit des zweiten Kerns bzw. insbesondere mit der Sicherheitseinheit eines jeden anderen Kerns des Mikrocontrollers verbunden. Der erste Kern bzw. die Überwachungseinheit des ersten Kerns überwacht somit wenigstens den zweiten Kern und insbesondere alle anderen Kerne des Mikrocontrollers. Die Überwachung der Sicherheitseinheit durch die Überwachungseinheit kann grundsätzlich entsprechend einer Frage-Antwort-Überwachung stattfinden, wie sie beispielsweise in der Veröffentlichung "Standardisiertes E-GAS Überwachungskonzept für Benzin und Diesel Motorsteuerungen. Arbeitskreis EGAS / 16.05.2013 / Version 5.5" als Ebene-3-Überwachung beschrieben wird.In a microcontroller according to the invention, a second core, in particular each of the individual cores of the microcontroller, has a security unit. A monitoring unit of a first core is connected to the security unit of the second core or in particular to the security unit of each other core of the microcontroller. The first core or the monitoring unit of the first core thus monitors at least the second core and in particular all other cores of the microcontroller. The monitoring of the safety unit by the monitoring unit can in principle take place according to a question and answer monitoring, as described, for example, in the publication "Standardized E-Gas Surveillance Concept for Gasoline and Diesel Engine Controls, Working Group EGAS / 16.05.2013 / Version 5.5" as level-3 Monitoring is described.

Es sei darauf hingewiesen, dass zwar in der nachfolgenden Beschreibung zumeist die Rede von zwei Kernen ist. Die Erfindung und ihre Ausführungen sollen allerdings nicht auf zwei Kerne beschränkt sein, sondern können auf beliebig viele Kerne erweitert werden. Insbesondere gelten die nachfolgenden Erläuterungen in Bezug auf den zweiten Kern in analoger Weise für mehrere der Kerne und insbesondere für alle anderen Kerne des Mikrocontrollers.It should be noted that although in the following description is usually the talk of two cores. However, the invention and its embodiments should not be limited to two cores, but can be extended to any number of cores. In particular, the following explanations with respect to the second core apply analogously to several of the cores and in particular to all other cores of the microcontroller.

Vorteile der ErfindungAdvantages of the invention

Im Zuge der Überprüfung, ob der zweite Kern die vorbestimmten Sicherheitskriterien erfüllt, überprüft die Überwachungseinheit insbesondere, ob der zweite Kern bestimmte Fragen mit einer vorbestimmten Antwort beantwortet. Antwortet der zweite Kern nicht in der vorbestimmten Weise, kann der zweite Kern sicherheitsrelevante Funktionen nicht mehr entsprechend vorbestimmter Sicherheitskriterien ausführen. Die Überwachungseinheit überprüft somit, ob der zweite Kern noch für einen sichereren Betrieb des Mikrocontrollers geeignet ist. Weist der zweite Kern einen Fehler auf oder fällt der zweite Kern aus, wird dies durch die Überwachungseinheit erkannt und die Überwachungseinheit kann entsprechende Maßnahmen ergreifen. Die Überwachungseinheit bzw. der erste Kern sichert den zweiten Kern somit gegen Ausfall ab.In the course of checking whether the second core fulfills the predetermined security criteria, the monitoring unit checks in particular whether the second core answers certain questions with a predetermined answer. If the second core does not respond in the predetermined manner, the second core can no longer have security-related functions perform according to predetermined safety criteria. The monitoring unit thus checks whether the second core is still suitable for safer operation of the microcontroller. If the second core has an error or the second core fails, this is detected by the monitoring unit and the monitoring unit can take appropriate measures. The monitoring unit or the first core thus secures the second core against failure.

Durch die erste Sicherheitseinheit bzw. durch die erste Schnittstelle ist der erste Kern mit einer externen Überwachungseinheit (sog. Überwachungsrechner bzw. Watchdog) verbindbar. Unter externer Überwachungseinheit ist dabei zu verstehen, dass die externe Überwachungseinheit kein Teil des Mikrocontrollers ist. Through the first security unit or through the first interface, the first core can be connected to an external monitoring unit (so-called monitoring computer or watchdog). By external monitoring unit is to be understood that the external monitoring unit is not part of the microcontroller.

Der erste Kern kann dabei insbesondere mittels einer externen Überwachungseinheit überwacht werden. Der erste Kern ist demgemäß ein gegen einen Ausfall abgesicherter, überwachter Kern, der wiederum die restlichen Kerne des Mikrocontrollers gegen einen Ausfall absichert und überwacht. Die Schnittstelle zwischen erster Sicherheitseinheit und externer Überwachungseinrichtung kann beispielsweise eine SPI-Schnittstelle sein (Serial Peripheral Interface). The first core can be monitored in particular by means of an external monitoring unit. The first core is accordingly a fail-safe, monitored core, which in turn protects and monitors the remaining cores of the microcontroller against failure. The interface between the first security unit and external monitoring device can be, for example, an SPI interface (Serial Peripheral Interface).

Um zu überprüfen, ob der zweite Kern die vorbestimmten Sicherheitskriterien erfüllt, können spezielle Algorithmen auf dem ersten und/oder dem zweiten Kern implementiert werden. Diese Algorithmen ermöglichen eine entsprechende Kommunikation zwischen der Überwachungseinheit und der Sicherheitseinheit des zweiten Kerns. Für diese Kommunikation zwischen dem ersten und dem zweiten Kern können insbesondere Kommunikationsschnittstellen genutzt werden, die bereits in dem Mikrocontroller vorhanden sind, beispielsweise ein RAM. Es müssen somit keine zusätzlichen Hardwarebauteile in den Mikrocontroller implementiert werden.To verify that the second core meets the predetermined security criteria, special algorithms may be implemented on the first and / or second core. These algorithms enable appropriate communication between the monitoring unit and the security unit of the second core. In particular, communication interfaces which are already present in the microcontroller, for example a RAM, can be used for this communication between the first and the second core. Thus, no additional hardware components must be implemented in the microcontroller.

Dadurch, dass erfindungsgemäß der zweite Kern bzw. sämtliche andere Kerne durch den ersten Kern abgesichert werden, ergeben sich erhebliche Vorteile gegenüber einem Mikrocontroller, in dem alle Kerne mittels einer externen Überwachungseinheit abgesichert sind. Hierzu müsste ein mit der externen Überwachungseinheit verbundener Kern stets auf Daten bzw. eine Rückantwort der anderen Kerne warten, damit er sämtliche Daten bzw. Rückantworten zusammenführen und gemeinsam an die externe Überwachungseinheit übermitteln kann. Dies würde aufgrund von Randbedingungen des Betriebssystems (Jitter von Softwaretasks) zu einer signifikanten Verlängerung einer Fehlerlatenzzeit führen. Zwar könnte die Fehlerlatenzzeit konstant gehalten werden, dies würde allerdings zu einer eingeschränkten Verfügbarkeit des Mikrocontrollers führen.The fact that according to the invention the second core or all other cores are secured by the first core, there are significant advantages over a microcontroller, in which all cores are protected by means of an external monitoring unit. For this purpose, a core connected to the external monitoring unit would always have to wait for data or a reply from the other cores, so that it can combine all the data or responses and transmit them together to the external monitoring unit. This would lead to significant prolongation of an error latency due to operating system constraints (jitter of software tasks). Although the error latency could be kept constant, this would result in a limited availability of the microcontroller.

Da durch die Erfindung insbesondere jeder der Kerne des Mikrocontrollers überwacht und gegen einen Ausfall abgesichert ist, können auszuführenden Funktionen, Anwendungen und Prozesse beliebig auf die einzelnen Kerne verteilt werden. Es ist nicht notwendig, dass sämtliche sicherheitsrelevante Funktionen auf einem bestimmten Kern ablaufen, der beispielsweise als einziger der Kerne gegen Ausfall abgesichert ist. Die einzelnen Anwendungen und Funktionen können somit zweckmäßig aufgrund von freien Rechenleistungen oder Kapazitäten der einzelnen Kerne verteilt werden.Since, in particular, each of the cores of the microcontroller is monitored by the invention and secured against failure, functions, applications and processes to be executed can be distributed as desired to the individual cores. It is not necessary for all safety-relevant functions to run on a specific core, which, for example, is the only one of the cores that is protected against failure. The individual applications and functions can thus be expediently distributed on the basis of free computing power or capacities of the individual cores.

Vorzugsweise ist die Überwachungseinheit dazu eingerichtet, den zweiten Kern zu deaktivieren bzw. eine Leistungsendstufe zu deaktivieren, wenn der zweite Kern die vorbestimmten Sicherheitskriterien nicht erfüllt. Die Überwachungseinheit kann dafür insbesondere einen Ausgang aufweisen, über welchen ein spezielles Signal ausgegeben wird, wenn der zweite Kern die vorbestimmten Sicherheitskriterien nicht erfüllt. Des Weiteren können Maßnahmen in die Wege geleitet werden, um den Mikrocontroller in einen sicheren Betriebszustand zu überführen. Beispielsweise können für einen fehlerfreien Betrieb des Mikrocontrollers essentielle Funktionen und Prozesse des zweiten Kerns auf andere Kerne des Mikrocontrollers verteilt werden oder der Mikrocontroller kann in einem speziellen Notfall-Betriebsmodus betrieben oder abgeschaltet werden.Preferably, the monitoring unit is configured to deactivate the second core or to deactivate a power output stage if the second core does not fulfill the predetermined safety criteria. In particular, the monitoring unit can have an output via which a special signal is output if the second core does not fulfill the predetermined safety criteria. Furthermore, measures can be taken to bring the microcontroller in a safe operating condition. For example, for fault-free operation of the microcontroller, essential functions and processes of the second core may be distributed to other cores of the microcontroller, or the microcontroller may be operated or shut down in a special emergency mode of operation.

Vorteilhafterweise ist die Sicherheitseinheit des ersten Kerns über die Schnittstelle mit der externen Überwachungseinheit verbunden. Die externe Überwachungseinheit überwacht somit den ersten Kern auf die gleiche Art, wie der erste Kern den zweiten Kern überwacht. Die externe Überwachungseinheit ist insbesondere als eine Watchdog-Einheit ausgebildet. Dabei kann insbesondere eine herkömmliche Überwachungseinheit bzw. Watchdog-Einheit genutzt werden, die auf herkömmliche Weise dazu eingerichtet ist, eine Komponente zu überwachen. An dieser herkömmlichen Überwachungseinheit bzw. Watchdog-Einheit müssen keinerlei Veränderungen vorgenommen werden. Weder müssen Hardwarebauteile hinzugefügt werden, noch muss dessen Programmierung geändert werden. Es muss keine neue Chipentwicklung der herkömmlichen Überwachungseinheit bzw. Watchdog-Einheit durchgeführt werden und ein bestehendes Design der herkömmlichen Überwachungseinheit bzw. Watchdog-Einheit kann beibehalten werden. Herkömmliche Überwachungseinheiten bzw. Watchdog-Einheiten weisen insbesondere eine einzige Schnittstelle auf, über die sie mit der jeweiligen zu überwachenden Komponente verbunden sind. Dadurch, dass der erfindungsgemäße Mikrocontroller nur eine externe Schnittstelle in Form der Schnittstelle der ersten Sicherheitseinheit aufweist, ist der erfindungsgemäße Mikrocontroller für die Nutzung mit einer herkömmlichen Überwachungseinheit bzw. Watchdog-Einheit geeignet.Advantageously, the security unit of the first core is connected via the interface with the external monitoring unit. The external monitoring unit thus monitors the first core in the same way as the first core monitors the second core. The external monitoring unit is designed in particular as a watchdog unit. In this case, it is possible in particular to use a conventional monitoring unit or watchdog unit which is conventionally set up to monitor a component. At this conventional monitoring unit or watchdog unit, no changes must be made. Neither hardware components need to be added, nor its programming changed. No new chip development of the conventional monitoring unit or watchdog unit has to be performed, and an existing design of the conventional monitoring unit or watchdog unit can be maintained. Conventional monitoring units or watchdog units have in particular a single interface, via which they are connected to the respective component to be monitored. Characterized in that the microcontroller according to the invention only an external Having the interface in the form of the interface of the first security unit, the microcontroller according to the invention for use with a conventional monitoring unit or watchdog unit is suitable.

Bevorzugt ist die externe Überwachungseinheit dazu eingerichtet, den Mikrocontroller zu deaktivieren, wenn der erste Kern die vorgebestimmten Sicherheitskriterien nicht erfüllt. Für diesen Fall, dass der erste Kern einen Fehler aufweist oder ausfällt, kann die Überwachung des zweiten Kerns bzw. der restlichen Kerne nicht mehr von der Überwachungseinheit des ersten Kerns durchgeführt werden.The external monitoring unit is preferably set up to deactivate the microcontroller if the first core does not fulfill the predetermined safety criteria. In this case, if the first core has an error or fails, the monitoring of the second core (s) can no longer be performed by the monitoring unit of the first core.

In einer vorteilhaften Ausgestaltung der Erfindung weist auch der zweite Kern eine Überwachungseinheit auf, um den ersten Kern zu überwachen. Dadurch können Fehlerlatenzzeiten für alle Kerne reduziert werden, da Parameter der Überprüfung zwischen den einzelnen Kernen leichter zu variieren sind als gegenüber der externen Überwachungseinheit. Fehler oder ein Ausfall eines der Kerne können somit schneller erkannt werden. Die Sicherheitseinheit des ersten Kerns ist dazu mit der Überwachungseinheit des zweiten Kerns und mit der externen Überwachungseinheit verbindbar, entweder über die bereits erwähnte Schnittstelle oder über eine weitere Schnittstelle. Alternativ kann der erste Kern auch zwei Sicherheitseinheiten aufweisen, von denen eine mit der externen Überwachungseinheit verbindbar ist und von denen die andere mit der Überwachungseinheit des zweiten Kerns verbunden ist. In an advantageous embodiment of the invention, the second core also has a monitoring unit in order to monitor the first core. This can reduce error latency for all cores, as parameters of verification between the individual cores are easier to vary than compared to the external monitoring unit. Errors or failure of one of the cores can thus be detected faster. The security unit of the first core can be connected to the monitoring unit of the second core and to the external monitoring unit, either via the already mentioned interface or via a further interface. Alternatively, the first core may also have two security units, one of which is connectable to the external monitoring unit and of which the other is connected to the monitoring unit of the second core.

Bevorzugt führt die Überwachungseinheit des ersten Kerns im Zuge der Überprüfung, ob der zweite Kern die vorbestimmten Sicherheitskriterien erfüllt, eine Frage/Antwort-Kommunikation mit dem zweiten Kern durch. Die Überwachungseinheit stellt dabei Anfragen an die Sicherheitseinheit des zweiten Kerns und diese übermittelt der Überwachungseinheiten Antworten auf diese Anfragen. Auf jede Anfrage existiert eine vorbestimmte Antwort. Die Überwachungseinheit überprüft, ob die Antwort der zweiten Sicherheitseinheit dieser vorbestimmten erwarteten Antwort entspricht. Ist dies nicht der Fall, deutet dies auf einen Fehler bzw. einen Ausfall des zweiten Kerns hin. Vorteilhafterweise wird diese Frage/Antwort Kommunikation mittels eines Program Flow Checks realisiert. Die Überwachungseinheit und die zweite Sicherheitseinheit sind dabei dazu eingerichtet, einen Program Flow Check durchzuführen. Im Zuge dessen bietet es sich insbesondere an, dass die Überwachungseinheit als eine Watchdog-Einheit ausgebildet ist. Analoge Ausführungen gelten für die externe Überwachungseinheit und die erste Sicherheitseinheit bzw. für die zweite Überwachungseinheit und die erste (bzw. vierte) Sicherheitseinheit.Preferably, the monitoring unit of the first core performs a question / answer communication with the second core in the course of checking whether the second core satisfies the predetermined security criteria. The monitoring unit makes requests to the security unit of the second core and this transmits the monitoring units answers to these requests. Each request has a predetermined answer. The monitoring unit checks whether the response of the second security unit corresponds to this predetermined expected response. If this is not the case, this indicates an error or a failure of the second core. Advantageously, this question / answer communication is realized by means of a program flow check. The monitoring unit and the second security unit are set up to perform a program flow check. In the course of this it is particularly appropriate that the monitoring unit is designed as a watchdog unit. Analogous versions apply to the external monitoring unit and the first safety unit or to the second monitoring unit and the first (or fourth) safety unit.

Die Erfindung betrifft weiterhin ein Sicherheitssystem zur Fehlersicherung eines Steuergeräts mit einem erfindungsgemäßen Mikrocontroller. Ausgestaltungen dieses erfindungsgemäßen Sicherheitssystems ergeben sich aus der obigen Beschreibung des erfindungsgemäßen Mikrocontrollers in analoger Art und Weise.The invention further relates to a security system for fail-safe control of a control device with a microcontroller according to the invention. Embodiments of this security system according to the invention will become apparent from the above description of the microcontroller according to the invention in an analogous manner.

Ein erfindungsgemäßer Mikrocontroller bzw. ein erfindungsgemäßes Sicherheitssystem können in vielen Bereichen Anwendung finden und sind insbesondere für Steuergeräte zur Steuerung von technischen Anlagen geeignet, in denen es aus Sicherheitsgründen zum Schutz von Menschenleben oder zur Vermeidung eines großen wirtschaftlichen Schadens notwendig ist, einen Ausfall dieses die technische Anlage steuernden Steuergeräts zu vermeiden bzw. die von dem Steuergerät gesteuerte technische Anlage in einen fehlersicheren Betrieb zu überführen. Derartige technische Anlagen können beispielsweise Werkzeugmaschinen, Druckmaschinen, Kernkraftwerken, Eisenbahnen, Flugzeugen oder Kraftfahrzeugen sein. In Kraftfahrzeugen eignet sich die Erfindung insbesondere für Steuergeräte zur Motorsteuerung und/oder Hybridsteuerung, sowie zur Steuerung von Airbag, ESP, Lenkungssteuergeräte usw.A microcontroller according to the invention or a security system according to the invention can be used in many areas and are particularly suitable for control units for controlling technical installations in which it is necessary for safety reasons to protect human life or to avoid a large economic loss, a failure of this technical To avoid system-controlling control unit or to convert the controlled by the control unit technical equipment in a fail-safe operation. Such technical systems may be, for example, machine tools, printing presses, nuclear power plants, railways, aircraft or motor vehicles. In motor vehicles, the invention is particularly suitable for control units for engine control and / or hybrid control, as well as for controlling airbag, ESP, steering control devices, etc.

Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und der beiliegenden Zeichnung.Further advantages and embodiments of the invention will become apparent from the description and the accompanying drawings.

Es versteht sich, dass die vorstehend genannten und die nachfolgend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen. It is understood that the features mentioned above and those yet to be explained below can be used not only in the particular combination indicated, but also in other combinations or in isolation, without departing from the scope of the present invention.

Die Erfindung ist anhand von Ausführungsbeispielen in der Zeichnung schematisch dargestellt und wird im Folgenden unter Bezugnahme auf die Zeichnung ausführlich beschrieben.The invention is illustrated schematically by means of exemplary embodiments in the drawing and will be described in detail below with reference to the drawing.

Kurze Beschreibung der ZeichnungenBrief description of the drawings

1 zeigt schematisch eine bevorzugte Ausführungsform eines erfindungsgemäßen Mikrocontrollers. 1 schematically shows a preferred embodiment of a microcontroller according to the invention.

2 zeigt schematisch eine weitere bevorzugte Ausführungsform eines erfindungsgemäßen Mikrocontrollers. 2 schematically shows a further preferred embodiment of a microcontroller according to the invention.

Ausführungsform(en) der ErfindungEmbodiment (s) of the invention

In 1 ist eine bevorzugte Ausführungsform eines erfindungsgemäßen Mikrocontrollers schematisch dargestellt und mit 100 bezeichnet. Der Mikrocontroller weist einen Multicore-Prozessor 10 mit drei Kerne 11, 12 und 13 auf.In 1 a preferred embodiment of a microcontroller according to the invention is shown schematically and with 100 designated. Of the Microcontroller has a multicore processor 10 with three cores 11 . 12 and 13 on.

Ein erster Kern 11 weist eine erste Sicherheitseinheit 21 auf, ein zweiter Kern 12 weist eine zweite Sicherheitseinheit 22 auf und ein dritter Kern 13 weist eine dritte Sicherheitseinheit 23 auf. Der erste Kern 11 weist weiterhin eine Überwachungseinheit 30 auf, die sowohl mit der zweiten Sicherheitseinheit 22 des zweiten Kerns 12, als auch mit der dritten Sicherheitseinheit 23 des dritten Kerns 13 verbunden ist. Mittels einer Schnittstelle 40 ist die erste Sicherheitseinheit 21 mit einer externen Überwachungseinheit 31 verbunden. Die Überwachungseinheit 30 und die externen Überwachungseinheit 31 sind jeweils als eine Watchdog-Einheit ausgebildet.A first core 11 has a first security unit 21 on, a second core 12 has a second security unit 22 on and a third core 13 has a third security unit 23 on. The first core 11 also has a monitoring unit 30 on that with both the second security unit 22 of the second core 12 , as well as with the third security unit 23 of the third core 13 connected is. By means of an interface 40 is the first security unit 21 with an external monitoring unit 31 connected. The monitoring unit 30 and the external monitoring unit 31 are each designed as a watchdog unit.

Um zu überprüfen, ob der zweite Kern 12 und der dritte Kern 13 vorbestimmte Sicherheitskriterien erfüllen, führt die Überwachungseinheit 30 mit der zweiten Sicherheitseinheit 22 und der dritten Sicherheitseinheit 23 jeweils einen Program Flow Check durch. Die Überwachungseinheit 30 sendet dabei an die zweite Sicherheitseinheit 22 und die dritte Sicherheitseinheit 23 jeweils bestimmte Anfragen, angedeutet durch die Bezugszeichen 22a und 23a. Die zweite Sicherheitseinheit 22 und die dritte Sicherheitseinheit 23 senden jeweils Antworten an die Überwachungseinheit 30, angedeutet durch die Bezugszeichen 22b und 23b. Die Überwachungseinheit 30 überprüft, ob die Antworten mit vorbestimmten Antworten übereinstimmen, welche auf die jeweiligen Anfragen erwarteten werden.To check if the second core 12 and the third core 13 fulfill predetermined safety criteria, leads the monitoring unit 30 with the second security unit 22 and the third security unit 23 one program flow check each. The monitoring unit 30 sends to the second security unit 22 and the third security unit 23 certain requests, indicated by the reference numerals 22a and 23a , The second security unit 22 and the third security unit 23 send replies to the monitoring unit 30 , indicated by the reference numerals 22b and 23b , The monitoring unit 30 checks if the answers match predetermined answers expected to the respective requests.

Durch diese Frage/Antwort-Kommunikation 22a/22b bzw. 23a/23b zwischen der Überwachungseinheit 30 und der zweiten Sicherheitseinheit 22 bzw. der dritten Sicherheitseinheit 23 überprüft die Überwachungseinheit 30, ob der zweite Kern 12 bzw. der dritte Kern 13 jeweils sicherheitsrelevante Funktionen in einem vorbestimmten Zeitintervall ausführt und sicherheitsrelevante Funktionen in einer vorbestimmten Reihenfolge ausführt. Ist dies der Fall, erfüllt der zweite Kern 12 bzw. der dritte Kern 13 die vorbestimmten Sicherheitskriterien. Through this question / answer communication 22a / 22b respectively. 23a / 23b between the monitoring unit 30 and the second security unit 22 or the third security unit 23 checks the monitoring unit 30 whether the second core 12 or the third core 13 each performs security-relevant functions in a predetermined time interval and performs security-related functions in a predetermined order. If this is the case, the second core will fulfill 12 or the third core 13 the predetermined safety criteria.

Ist dies nicht der Fall, weist der zweite Kern 12 bzw. der dritte Kern 13 einen Fehler auf oder ist ausgefallen. In diesem Fall sendet die Überwachungseinheit 30 ein entsprechendes Signal an einen Ausgang 30b des Mikrocontrollers, angedeutet durch das Bezugszeichen 30a. An dem Ausgang 30b des Mikrocontrollers kann beispielsweise eine Steuereinheit verbunden sein, welche den jeweiligen Kern bzw. eine entsprechende Leistungsendstufe des jeweiligen Kerns deaktiviert, welcher die vorgebestimmten Sicherheitskriterien nicht erfüllt.If this is not the case, the second core points 12 or the third core 13 has an error or has failed. In this case, the monitoring unit sends 30 a corresponding signal to an output 30b of the microcontroller, indicated by the reference numeral 30a , At the exit 30b For example, a control unit may be connected to the microcontroller, which deactivates the respective core or a corresponding power output stage of the respective core, which does not fulfill the predetermined safety criteria.

Die Überwachungseinheit 30 bzw. der erste Kern 11 überwacht somit die anderen Kerne 12 und 13 und sichert die anderen Kerne 12 und 13 gegen Ausfall ab. Mittels der externen Überwachungseinheit 31 wird der erste Kern überwacht und gegen Ausfall abgesichert. Diese externe Absicherung ist im Automobilbau beispielsweise als Funktionsrechner/Überwachungsrechner-Absicherung bekannt. Analog zu obiger Beschreibung der Überwachungseinheit 30 führen die externe Überwachungseinheit 31 und die erste Sicherheitseinheit 21 eine Frage/Antwort-Kommunikation in Form eines Program Flow Checks durch. Die externe Überwachungseinheit 31 sendet dabei Anfragen an die erste Sicherheitseinheit 21 des ersten Kerns 11, angedeutet durch Bezugszeichen 21a, und die erste Sicherheitseinheit 21 übermittelt entsprechende Antworten an die externe Überwachungseinheit 31, angedeutet durch Bezugszeichen 21b. Die externe Überwachungseinheit 31 überprüft, ob diese Antworten erwarteten vorbestimmten Antworten entsprechen und überprüft somit, ob der erste Kern die vorbestimmten Sicherheitskriterien erfüllt. The monitoring unit 30 or the first core 11 thus monitors the other nuclei 12 and 13 and secures the other cores 12 and 13 against failure. By means of the external monitoring unit 31 the first core is monitored and secured against failure. This external protection is known in automotive engineering, for example, as a function computer / monitoring computer hedge. Analogous to the above description of the monitoring unit 30 lead the external monitoring unit 31 and the first security unit 21 a question / answer communication in the form of a program flow check. The external monitoring unit 31 sends requests to the first security unit 21 of the first core 11 , indicated by reference numerals 21a , and the first security unit 21 sends corresponding answers to the external monitoring unit 31 , indicated by reference numerals 21b , The external monitoring unit 31 checks whether these responses correspond to expected predetermined responses and thus verifies that the first core meets the predetermined security criteria.

Ist dies nicht der Fall, sendet die externe Überwachungseinheit 31 ein entsprechendes Signal an einen Ausgang 31b, angedeutet durch das Bezugszeichen 31a. An dem Ausgang 31b kann ebenfalls eine Steuereinheit verbunden sein, welche den Mikrocontroller eine entsprechende Leistungsendstufe des Mikrocontrollers deaktiviert, wenn der erste Kern 11 die vorgebestimmten Sicherheitskriterien nicht erfüllt.If this is not the case, the external monitoring unit sends 31 a corresponding signal to an output 31b , indicated by the reference numeral 31a , At the exit 31b can also be connected to a control unit which deactivates the microcontroller, a corresponding power output stage of the microcontroller when the first core 11 does not meet the predetermined safety criteria.

Der Mikrocontroller 100 und die externen Überwachungseinheit 31 bilden eine bevorzugte Ausgestaltung einer erfindungsgemäßen Sicherheitssystem 200 und sind Teil eines Steuergeräts, beispielsweise eines Steuergeräts eines Kraftfahrzeugs.The microcontroller 100 and the external monitoring unit 31 form a preferred embodiment of a security system according to the invention 200 and are part of a control device, such as a control unit of a motor vehicle.

In 2 ist eine weitere bevorzugte Ausführungsform eines erfindungsgemäßen Mikrocontrollers 100 bzw. eines erfindungsgemäßen Sicherheitssystems 200 schematisch dargestellt. Identische Bezugszeichen beziehen sich dabei auf identische Teile der 1.In 2 is another preferred embodiment of a microcontroller according to the invention 100 or a security system according to the invention 200 shown schematically. Identical reference numbers refer to identical parts of the 1 ,

Dabei weist der zweite Kern 12 eine zweite Überwachungseinheit 32 auf. Des Weiteren weist der erste Kern 11 zusätzlich zu der ersten Sicherheitseinheit eine vierte Sicherheitseinheit 24 auf. Die zweite Überwachungseinheit 32 ist mit der vierten Sicherheitseinheit 24 verbunden. Analog zu obiger Beschreibung überprüft die zweite Überwachungseinheit 32, ob der erste Kern 11 die vorbestimmten Sicherheitskriterien erfüllt. Dazu sendet die zweite Überwachungseinheit 32 Anfragen an die vierten Sicherheitseinheit 24, angedeutet durch Bezugszeichen 24a, und erhält von dieser Antworten, angedeutet durch Bezugszeichen 24b. Erfüllt der erste Kern 11 die vorbestimmten Sicherheitskriterien nicht, sendet die zweite Überwachungseinheit 32 ein entsprechendes Signal an einen Ausgang 32b des Mikrocontrollers 100, angedeutet durch das Bezugszeichen 32a. Analog zu obiger Beschreibung kann an dem Ausgang 32b eine Steuereinheit verbunden sein, welche den Mikrocontroller bzw. eine entsprechende Leistungsendstufe des Mikrocontrollers deaktiviert, wenn der erste Kern 11 die vorgebestimmten Sicherheitskriterien nicht erfüllt.In this case, the second core 12 a second monitoring unit 32 on. Furthermore, the first core points 11 in addition to the first security unit, a fourth security unit 24 on. The second monitoring unit 32 is with the fourth security unit 24 connected. Analogously to the above description, the second monitoring unit checks 32 whether the first core 11 meets the predetermined safety criteria. For this purpose, the second monitoring unit sends 32 Inquiries to the fourth security unit 24 , indicated by reference numerals 24a , and receives from these answers, indicated by reference numerals 24b , Meets the first core 11 the predetermined security criteria not, sends the second monitoring unit 32 one corresponding signal to an output 32b of the microcontroller 100 , indicated by the reference numeral 32a , Analogous to the above description may be at the output 32b be connected to a control unit which deactivates the microcontroller or a corresponding power output stage of the microcontroller when the first core 11 does not meet the predetermined safety criteria.

Der erste Kern 11 kann zusätzlich weiterhin über die erste Sicherheitseinheit 21 mit der externen Überwachungseinheit 31 verbunden sein und zusätzlich von dieser überwacht und gegen Ausfall gesichert sein. The first core 11 In addition, you can continue using the first security unit 21 with the external monitoring unit 31 be connected and additionally monitored by this and secured against failure.

Alternativ kann der erste Kern 11 auch über die erste Sicherheitseinheit 21 mit der zweiten Überwachungseinheit 32 verbunden sein und keine vierte Sicherheitseinheit 24 aufweisen. Dabei kann die erste Sicherheitseinheit 21 entweder mit der zweiten Überwachungseinheit 32 oder der externen Überwachungseinheit 31 verbindbar sein, oder mit der zweiten Überwachungseinheit 32 und der externen Überwachungseinheit 32 gleichzeitig.Alternatively, the first core 11 also about the first security unit 21 with the second monitoring unit 32 be connected and no fourth security unit 24 exhibit. In this case, the first security unit 21 either with the second monitoring unit 32 or the external monitoring unit 31 be connectable, or with the second monitoring unit 32 and the external monitoring unit 32 simultaneously.

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

DE 102009015683 A1 [0004] DE 102009015683 A1 [0004]

Claims

Mikrocontroller (100) mit mindestens einem ersten Kern (11) und einem zweiten Kern (12), wobei – der erste Kern (11) – eine interne Überwachungseinheit (30) aufweist und – eine erste Sicherheitseinheit (21) aufweist, wobei die erste Sicherheitseinheit (21) eine Schnittstelle (40) aufweist, wobei die Schnittstelle (40) mit einer externen Überwachungseinheit (31) verbindbar ist, – der zweite Kern (12) eine zweite Sicherheitseinheit (22) aufweist, wobei die zweite Sicherheitseinheit (22) mit der Überwachungseinheit (30) des ersten Kerns (11) verbunden ist, – wobei die interne Überwachungseinheit (30) dazu eingerichtet ist, zu überprüfen, ob der zweite Kern (12) vorbestimmte Sicherheitskriterien erfüllt.Microcontroller ( 100 ) with at least one first core ( 11 ) and a second core ( 12 ), where - the first core ( 11 ) - an internal monitoring unit ( 30 ) and - a first security unit ( 21 ), wherein the first security unit ( 21 ) an interface ( 40 ), wherein the interface ( 40 ) with an external monitoring unit ( 31 ), - the second core ( 12 ) a second security unit ( 22 ), wherein the second security unit ( 22 ) with the monitoring unit ( 30 ) of the first core ( 11 ), the internal monitoring unit ( 30 ) is set up to verify that the second core ( 12 ) meets predetermined safety criteria.

Mikrocontroller (100) nach Anspruch 1, wobei die interne Überwachungseinheit (30) dazu eingerichtet ist den zweiten Kern (12) oder den Mikrocontroller (100) zu deaktivieren, wenn der zweite Kern (12) die vorbestimmten Sicherheitskriterien nicht erfüllt.Microcontroller ( 100 ) according to claim 1, wherein the internal monitoring unit ( 30 ) is set up the second core ( 12 ) or the microcontroller ( 100 ) if the second core ( 12 ) does not meet the predetermined safety criteria.

Mikrocontroller (100) nach einem der vorstehenden Ansprüche, wobei der zweite Kern (12) eine zweite Überwachungseinheit (32) aufweist, wobei die erste Sicherheitseinheit (21) mit der zweiten Überwachungseinheit (32) verbundent ist.Microcontroller ( 100 ) according to any one of the preceding claims, wherein the second core ( 12 ) a second monitoring unit ( 32 ), wherein the first security unit ( 21 ) with the second monitoring unit ( 32 ) is connected.

Mikrocontroller (100) nach Anspruch 3, wobei die erste Sicherheitseinheit (21) mit der zweiten Überwachungseinheit (32) verbunden ist und die zweite Überwachungseinheit (32) dazu eingerichtet ist, über die erste Sicherheitseinheit (21) zu überprüfen, ob der erste Kern (11) die vorbestimmten Sicherheitskriterien erfüllt.Microcontroller ( 100 ) according to claim 3, wherein the first security unit ( 21 ) with the second monitoring unit ( 32 ) and the second monitoring unit ( 32 ) is set up via the first security unit ( 21 ) to check if the first core ( 11 ) meets the predetermined safety criteria.

Mikrocontroller (100) nach einem der vorstehenden Ansprüche, wobei die interne Überwachungseinheit (30) dazu eingerichtet ist, im Zuge der Überprüfung, ob der zweite Kern (12) die vorbestimmten Sicherheitskriterien erfüllt, Anfragen an die zweite Sicherheitseinheit (22) zu stellen (22a) und zu überprüfen, ob Antworten der zweiten Sicherheitseinheit (12) auf die Anfragen erwarteten Antworten entsprechen.Microcontroller ( 100 ) according to one of the preceding claims, wherein the internal monitoring unit ( 30 ) has been set up in the course of the verification that the second core ( 12 ) meets the predetermined security criteria, requests to the second security unit ( 22 ) to deliver ( 22a ) and check whether replies from the second security unit ( 12 ) correspond to the answers expected to the requests.

Mikrocontroller (100) nach einem der vorstehenden Ansprüche, wobei die interne Überwachungseinheit (30) und die zweite Sicherheitseinheit (22) dazu eingerichtet sind, im Zuge der Überprüfung, ob der zweite Kern (12) die vorbestimmten Sicherheitskriterien erfüllt, einen Program Flow Check durchzuführen.Microcontroller ( 100 ) according to one of the preceding claims, wherein the internal monitoring unit ( 30 ) and the second security unit ( 22 ) are set up in the course of the review to see if the second core ( 12 ) meets the predetermined safety criteria to perform a program flow check.

Sicherheitssystem (200) zur Fehlersicherung eines Steuergeräts, aufweisend einen Mikrocontroller (100) nach einem der vorstehenden Ansprüche und eine externe Überwachungseinheit (31), die über die Schnittstelle (40) mit der ersten Sicherheitseinheit (21) des ersten Kerns (11) des Mikrocontrollers (100) verbunden ist, wobei die externe Überwachungseinheit (31) dazu eingerichtet ist, über die erste Sicherheitseinheit (21) zu überprüfen, ob der erste Kern (21) die vorbestimmten Sicherheitskriterien erfüllt.Security system ( 200 ) for error protection of a control unit, comprising a microcontroller ( 100 ) according to one of the preceding claims and an external monitoring unit ( 31 ), which communicate via the interface ( 40 ) with the first security unit ( 21 ) of the first core ( 11 ) of the microcontroller ( 100 ), the external monitoring unit ( 31 ) is set up via the first security unit ( 21 ) to check if the first core ( 21 ) meets the predetermined safety criteria.

Sicherheitssystem (200) nach Anspruch 7, wobei die externe Überwachungseinheit (31) dazu eingerichtet ist, den ersten Kern (11) oder den Mikrocontroller (100) zu deaktivieren, wenn der erste Kern (11) die vorbestimmten Sicherheitskriterien nicht erfüllt.Security system ( 200 ) according to claim 7, wherein the external monitoring unit ( 31 ) is set up the first core ( 11 ) or the microcontroller ( 100 ) if the first core ( 11 ) does not meet the predetermined safety criteria.