DE102015222321A1 - Verfahren zum Betrieb eines Mehrkernprozessors - Google Patents

Verfahren zum Betrieb eines Mehrkernprozessors Download PDF

Info

Publication number
DE102015222321A1
DE102015222321A1 DE102015222321.3A DE102015222321A DE102015222321A1 DE 102015222321 A1 DE102015222321 A1 DE 102015222321A1 DE 102015222321 A DE102015222321 A DE 102015222321A DE 102015222321 A1 DE102015222321 A1 DE 102015222321A1
Authority
DE
Germany
Prior art keywords
distance
result
arithmetic operation
processor
difference
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102015222321.3A
Other languages
English (en)
Inventor
Michael Armbruster
Martin Bischoff
Ludger Fiege
Christian Buckl
Andreas Zirkler
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102015222321.3A priority Critical patent/DE102015222321A1/de
Priority to PCT/EP2016/075381 priority patent/WO2017080793A2/de
Priority to US15/773,774 priority patent/US20180322001A1/en
Priority to KR1020187016720A priority patent/KR20180072829A/ko
Priority to CN201680066047.5A priority patent/CN108351815A/zh
Priority to EP16790913.4A priority patent/EP3338189A2/de
Priority to JP2018524403A priority patent/JP2019500682A/ja
Publication of DE102015222321A1 publication Critical patent/DE102015222321A1/de
Ceased legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1497Details of time redundant execution on a single processing unit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0721Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment within a central processing unit [CPU]
    • G06F11/0724Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment within a central processing unit [CPU] in a multiprocessor or a multi-core unit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2035Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant without idle spare hardware

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)
  • Debugging And Monitoring (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Mathematical Physics (AREA)

Abstract

Erfindungsgemäß werden mindestens zwei Prozessorkerne eines Mehrkernprozessors dazu genutzt, eine sicherheitskritische Applikation zweikanalig zu berechnen. Dabei werden die Rechenoperationen nicht in jedem Rechenzyklus auf beiden Prozessorkernen redundant berechnet, sondern beide Prozessorkerne werden in verschiedenen Arbeitszyklen mit verschiedenen Applikationen ausgelastet. Somit wird eine Verdoppelung der benötigten Rechenkapazität in vorteilhafter Weise vermieden. Um eine gegenseitige Überwachung der Prozessorkerne zu erreichen, werden die Rechenoperationen abwechselnd auf beiden Prozessorkernen zur berechnet. Durch die beschriebenen Fehlererkennungsmechanismen können zufällige Fehler erkannt werden. Zwar liegt die Güte der erfindungsgemäßen Fehlererkennung etwas unter dem bei einem aus dem Stand der Technik bekannten »Dual-Lane-Betrieb« mit einer parallel-redundanten mehrkanaligen Berechnung. Die Güte der Fehlererkennung kann allerdings gegenüber dem Erfordernis eines geringeren Aufwands an Rechenleistung hintanstehen, insbesondere wenn für das Steuersystem eine wirtschaftliche Verwirklichung gefordert ist. Die Erfindung vereinigt somit Anforderungen an eine hinreichend sichere Fehlererkennung mit einer ökonomischen Auslegung der Rechenleistung.

Description

  • Die Erfindung betrifft ein Verfahren zum Betrieb eines Mehrkernprozessors gemäß dem Oberbegriff des Patentanspruchs 1.
  • Moderne und zukünftige Fahrzeuge werden mit einer Vielzahl an elektronisch gesteuerten Funktionen ausgestattet, welche hinsichtlich ihrer Sicherheit und Verfügbarkeit erhöhte Anforderungen an das Steuersystem des Fahrzeugs stellen.
  • Derzeit werden hochsichere und hochverfügbare Steuersysteme auf der Basis von Duplex-Control-Computern (DCC) eingesetzt, mit denen eine fehlersichere Ausführung von Software-Funktionen gewährleistet werden kann. Dazu wird eine identische Software auf zwei unabhängigen Mikroprozessoren zur Ausführung gebracht. Auch die Peripheriefunktionen der Mikroprozessoren, also nichtflüchtige und flüchtige Speichereinheiten, Netzwerkverbindungseinheiten, Ressourcenmanager, usw., erfolgen auf zwei getrennten Bearbeitungswegen, auf welche auch als »Lanes« einer gedoppelten »Dual Lane«-Verarbeitungsweise Bezug genommen wird. Zu bestimmten Zeitpunkten werden die Ergebnisse der beiden Mikroprozessoren gegenseitig ausgetauscht und in beiden Mikroprozessoren miteinander verglichen.
  • Falls in einer dieser so genannten Lanes oder in deren Kommunikationsverbindung ein Fehler auftritt, wird mit diesem Vergleich in zumindest einer der Lanes ein abweichendes Ergebnis erkannt. In Folge dessen wird der Duplex-Control-Computer als fehlerhaft betrachtet und schaltet sich ab. Damit ist garantiert, dass kein falsches Steuersignal von einem Duplex-Control-Computer ausgesendet wird und somit ein »Fail Silent«-Verhalten erreicht. Durch die Bereitstellung eines weiteren Duplex-Control-Computers, der bei einem Fehler des ersten Duplex-Control-Computers dessen Bearbeitung übernimmt, kann sogar ein »Fail Operational«-Verhalten erreicht werden.
  • Diese durch einen Dual-Lane-Betrieb unter Verwendung zweier unabhängig arbeitender Prozessoren gewährleistete Fehlererkennungswahrscheinlichkeit wird durch einen hohen Hardwareaufwand erzielt.
  • Der Erfindung liegt die Aufgabe zugrunde, eine Vorrichtung und ein Verfahren zur Realisierung eines Steuersystems mit hoher Verfügbarkeit und Integrität zu schaffen, welches einen geringeren Aufwand an Hardware erfordert und gleichzeitig eine optimale Ausnutzung der Hardware-Ressourcen ermöglicht.
  • Die Aufgabe wird erfindungsgemäß durch ein Verfahren mit den Merkmalen des Patentanspruchs 1 gelöst.
  • Beim erfindungsgemäßen Verfahren ist ein Betrieb eines Mehrkernprozessors vorgesehen, auf dem eine vorzugsweise sicherheitskritische Applikation zur Ausführung gebracht wird, welche eine Mehrzahl zyklischer Rechenoperationen umfasst. Der Begriff zyklische Rechenoperationen umfasst insbesondere eine mehrstufige Berechnung von Regelgrößen, bei denen zu diskreten Zeitpunkten dem Steuersystem digitalisierte Stellgrößen zugeführt, dort zeitsynchron berechnet und als digitales Ausgangssignal ausgegeben werden. Zur Berechnung einer jeweiligen Rechenoperation ist ein zeitlich bemessener Arbeitszyklus vorgesehen, welcher vorzugsweise wesentlich kleiner als eine kleinste Zeitkonstante eines zugrundliegenden Regelkreises ist.
  • Erfindungsgemäß ist vorgesehen, ein Verteilungschema vorzusehen, gemäß dem eine Berechnung einer Rechenoperation einem Kern des Mehrkernprozessors zugeführt wird. Nach Erhalt eines Ergebnisses einer aktuellen Rechenoperation wird innerhalb des aktuellen Arbeitszyklus und abhängig von einem Vergleichsschema mindestens ein Abstand zwischen dem aktuellen Ergebnis und mindestens einem Ergebnis einer mindestens einen Arbeitszyklus zurückliegenden Rechenoperation durchgeführt. Falls mindestens ein Abstand außerhalb eines erwarteten Werts ist, wird eine Fehlerindikation ausgegeben. Anschließend erfolgt die Berechnung einer darauffolgenden Rechenoperation auf einem gemäß dem Verteilungschema zugewiesenen anderen Kern des Mehrkernprozessors.
  • Erfindungsgemäß werden die Prozessorkerne (Cores) eines Mehrkernprozessors für eine mehrkanalige Berechnung einer sicherheitskritischen Applikation verwendet, wobei die Prozessorkerne in jedem Arbeitszyklus gewechselt werden.
  • Durch den erfindungsgemäßen Vergleich mindestens eines Abstand zwischen dem aktuellen Ergebnis und mindestens einem Ergebnis einer mindestens einen Arbeitszyklus zurückliegenden Rechenoperation anhand eines Vergleichsschemas können zufällige Fehler erkannt werden. Zwar liegt die Güte der erfindungsgemäßen Fehlererkennung etwas unter dem bei einem aus dem Stand der Technik bekannten »Dual-Lane-Betrieb« mit einer parallel-redundanten mehrkanaligen Berechnung. Die Güte der Fehlererkennung kann allerdings gegenüber dem Erfordernis eines geringeren Aufwands an Rechenleistung hintanstehen, insbesondere wenn für das Steuersystem eine wirtschaftliche Verwirklichung gefordert ist. Die Erfindung vereinigt somit Anforderungen an eine hinreichend sichere Fehlererkennung mit einer ökonomischen Auslegung der Rechenleistung.
  • In vorteilhafter Weise können auf den übrigen Prozessorkernen, welche derzeit nicht mit der Bearbeitung der sicherheitskritischen Applikation beaufschlagt sind, Rechenoperationen für andere sicherheitskritische oder nicht sicherheitskritische Applikationen durchgeführt werden, sodass trotz der mehrkanaligen Berechnung insgesamt kein merklicher Mehrbedarf an Rechenleistung aufgewendet wird. Insbesondere wird eine Verdoppelung der benötigten Rechenleistung vermieden, welche aus dem Stand der Technik bei einem Dual-Lane-Betrieb mit einer redundanten Berechnung auf jeweils einem Prozessorkern bekannt ist.
  • Weitere vorteilhafte Ausgestaltungen der Erfindung sind Gegenstand der abhängigen Ansprüche.
  • Gemäß einer Ausgestaltung der Erfindung ist eine jeweils wechselweise Zuweisung der Rechenoperationen zu einem der Kerne des Mehrkernprozessors vorgesehen. Diese Ausgestaltung der Erfindung ist insbesondere bei einem Betrieb von Zwei- oder Mehrkernprozessoren mit einer zweikanaligen Berechnung der sicherheitskritischen Applikation das Mittel der Wahl, wobei die Prozessorkerne in jedem Arbeitszyklus gewechselt werden.
  • Die im folgendem erläuterten Ausgestaltungen der Erfindung basieren auf einem mehrstufigen Vergleichsschema, welches auf folgenden Überlegungen beruht: Falls in einem ersten Prozessorkern oder in einem dem ersten Prozessorkern zugeordneten Speicher in einem beispielhaften Arbeitszyklus i ein Fehler auftritt, ist das durch diesen ersten Prozessorkern errechnete Ergebnis verfälscht. In einem darauf folgenden Arbeitszyklus i + 1 berechnet nun der zweite Prozessorkern ein unverfälschtes Ergebnis. Im Arbeitszyklus i + 2 wird wiederum ein verfälschtes Ergebnis im ersten Prozessorkern berechnet. In jedem Arbeitszyklus wird auf jedem der beiden Prozessorkerne der Abstand zwischen dem aktuellen Ergebnis und mindestens einem zurückliegenden Ergebnis verglichen. Dabei wird frühestens im Arbeitszyklus i und spätestens im Arbeitszyklus i + 2 ein Fehler feststellbar sein.
  • Gemäß einer Ausgestaltung der Erfindung ist ein Vergleichsschema vorgesehen, gemäß dem aus dem Ergebnis einer einen Arbeitszyklus zurückliegenden Rechenoperation und dem Ergebnis des aktuellen Arbeitszyklus ein erster Abstand bestimmt wird. Überschreitet dieser erste Abstand einen Maximalwert oder, mit anderen Worten, ist dieser außerhalb eines für den ersten Abstand erwarteten Werts, wird erfindungsgemäß eine Fehlerindikation ausgegeben. Gemäß dieser Ausgestaltung wird bei einer zweikanaligen Berechnung der sicherheitskritischen Applikation auf einem jeweils wechselnden Prozessorkern eine Fehlberechnung eines Prozessorkerns im Arbeitszyklus i erkannt, bei der das von einem Prozessorkern errechnete Ergebnis von dem vom anderen Prozessorkern errechneten Ergebnis im Arbeitszyklus i – 1 dahingehend abweicht, dass das aktuelle Ergebnis vom anderen Ergebnis einen Abstand aufweist, welcher außerhalb eines vorgebbaren Maximalwerts bzw. Maximalabstands liegt.
  • Die durch die Erfindung vorgegebene Konsistenzüberprüfung auf Basis des Vergleichsschemas erfolgt nicht auf Bit-Identität wie etwa in dem aus dem Stand der Technik bekannten Dual-Lane-Betrieb. Der Grund hierfür liegt darin, dass für Rechenoperation in aufeinanderfolgenden Arbeitszyklen auch Eingangsdaten aus aufeinanderfolgenden Arbeitszyklen verwendet werden. Da die Eingangsdaten aus aufeinanderfolgenden Arbeitszyklen üblicherweise verschieden sind können auch die Ergebnisse bzw. Ausgangsdaten um einen zulässigen Abstand verschieden sein. Für diesen zulässigen Abstand kann ein zulässiger Maximalabstand vorgebbar sein oder, alternativ oder zusätzlich, ein zulässiger Abstand aus den Abständen der Ergebnisse aus zurückliegenden Arbeitszyklen berechnet werden. Die zuletzt genannte Berechnung eines zulässigen Abstands aus den Abständen der Ergebnisse aus zurückliegenden Arbeitszyklen wird in den folgenden Ausgestaltungen erläutert.
  • Durch die erfindungsgemäßen Maßnahmen können zufällige Fehler erkannt werden. Bei einem Ausführen derselben Software auf verschiedenen Prozessorkernen können generell systematische Fehler nicht erkannt werden. Dies gilt im Übrigen auch für den im Stand der Technik bekannten Dual-Lane-Betrieb.
  • Sollen auch systematische Fehler erkannt werden, ist es im Stand der Technik bekannt, auf zwei Prozessoren eines Dual-Lane-Computers verschiedenartige Software auszuführen, die damit sehr wahrscheinlich nicht den gleichen Fehler enthält. Dabei kann die zweite Software entweder denselben Funktionsumfang haben wie die erste, oder eine vereinfachte Berechnung durchführen. Letztere wird auch als Envelope-Funktion bezeichnet. In beiden Fällen kann auch beim Dual-Lane-Computer kein Vergleich einer Bit-Identität, sondern nur ein Vergleich der Ergebnisse durchgeführt werden. In vorteilhafter Weise sind beide genannten Verfahren mit dem vorliegenden erfindungsgemäßen Verfahren kombinierbar. Dazu würde beispielsweise die Applikation A1 im Zyklus i auf Core C1 und die Applikation A2 im Zyklus i + 1 auf Core C2 ausgeführt. Im fehlerfreien Fall würde die beschriebene Fehlererkennung unverändert funktionieren, gegebenenfalls mit einem vergrößerten zulässigen Delta. Insbesondere wenn eine der Applikationen eine Envelope-Funktion ist, wird ein größeres Delta vorzusehen sein, wie es auch im Stand der Technik üblich ist. Durch die Verschiedenartigkeit der Funktionen würden die beschriebenen Fehlererkennungsmechanismen in dieser Ausführungsform auch Fehler bzw. Unterschiede in den Applikationen A1 und A2 erkennen können.
  • Gemäß einer Ausgestaltung der Erfindung werden weitere Abstände sowie Differenzen zwischen Ergebnissen zurückliegender Rechenoperationen im Arbeitszyklus i + 1 bestimmt, wobei:
    • – aus dem Ergebnis einer zwei Arbeitszyklen zurückliegenden Rechenoperation und dem Ergebnis des aktuellen Arbeitszyklus ein zweiter Abstand bestimmt wird; und/oder;
    • – aus dem Ergebnis einer zwei Arbeitszyklen zurückliegenden Rechenoperation und dem Ergebnis einer einen Arbeitszyklus zurückliegenden Rechenoperation ein dritter Abstand bestimmt wird; und/oder;
    • – aus einer Differenz aus dem Ergebnis der einen Arbeitszyklus zurückliegenden Rechenoperation und dem Ergebnis des aktuellen Arbeitszyklus eine erste Differenz bestimmt wird; und/oder;
    • – aus einer Differenz aus dem Ergebnis der zwei Arbeitszyklen zurückliegenden Rechenoperation und dem Ergebnis der einen Arbeitszyklus zurückliegenden Rechenoperation eine zweite Differenz bestimmt wird.
  • Gemäß einer Ausgestaltung der Erfindung wird eine Fehlerindikation ausgegeben, falls
    • – der zweite Abstand geringer als der erste Abstand ist; und;
    • – der zweite Abstand geringer als der dritte Abstand ist; und;
    • – die erste Differenz ein von der zweiten Differenz unterschiedliches Vorzeichen hat.
  • Gemäß dieser Ausgestaltung wird bei einer zweikanaligen Berechnung der sicherheitskritischen Applikation auf einem jeweils wechselnden Prozessorkern eine Fehlberechnung eines Prozessorkerns im Arbeitszyklus i + 1 erkannt, bei der die von einem Prozessorkern errechneten Ergebnisse systematisch von der vom anderen Prozessorkern errechneten Ergebnisse abweichen. Dabei ist der zweite Abstand der Ergebnisse, die in den Arbeitszyklen i – 1 und i + 1 berechnet wurden, geringer als der erste Abstand der Ergebnisse aus den Arbeitszyklen i und i + 1 sowie geringer als der dritte Abstand der Ergebnisse aus den Arbeitszyklen i – 1 und i. Außerdem hat die erste Differenz der Ergebnisse aus den Arbeitszyklen i – 1 und i ein von der zweiten Differenz der Ergebnisse aus den Arbeitszyklen i und i + 1 unterschiedliches Vorzeichen.
  • Gemäß einer Ausgestaltung der Erfindung werden weitere Abstände sowie Differenzen zwischen Ergebnissen zurückliegender Rechenoperationen im Arbeitszyklus i + 2 bestimmt, wobei:
    • – aus dem Ergebnis einer drei Arbeitszyklen zurückliegenden Rechenoperation und dem Ergebnis einer einen Arbeitszyklus zurückliegenden Rechenoperation ein vierter Abstand bestimmt wird; und/oder;
    • – aus dem Ergebnis einer drei Arbeitszyklen zurückliegenden Rechenoperation und dem Ergebnis einer zwei Arbeitszyklen zurückliegenden Rechenoperation ein fünfter Abstand bestimmt wird; und/oder;
    • – aus einer Differenz aus dem Ergebnis der drei Arbeitszyklen zurückliegenden Rechenoperation und dem Ergebnis der zwei Arbeitszyklen zurückliegenden Rechenoperation eine dritte Differenz bestimmt wird.
  • Gemäß einer Ausgestaltung der Erfindung wird eine Fehlerindikation ausgegeben, falls
    • – der zweite Abstand geringer als der erste Abstand ist; und;
    • – der zweite Abstand geringer als der dritte Abstand ist; und;
    • – der vierte Abstand geringer als der dritte Abstand ist; und;
    • – der vierte Abstand geringer als der fünfte Abstand ist; und;
    • – die erste Differenz ein von der dritten Differenz unterschiedliches Vorzeichen hat; und;
    • – die dritte Differenz ein von der zweiten Differenz unterschiedliches Vorzeichen hat.
  • Gemäß dieser Ausgestaltung wird bei einer zweikanaligen Berechnung der sicherheitskritischen Applikation auf einem jeweils wechselnden Prozessorkern eine Fehlberechnung eines Prozessorkerns im Arbeitszyklus i + 2 erkannt, bei der die von einem Prozessorkern errechneten Ergebnisse systematisch von der vom anderen Prozessorkern errechneten Ergebnisse abweichen. Dabei ist der zweite Abstand der Ergebnisse, die in den Arbeitszyklen i und i + 2 berechnet wurden, geringer als der erste Abstand der Ergebnisse aus den Arbeitszyklen i + 1 und i + 2 sowie geringer als der dritte Abstand der Ergebnisse aus den Arbeitszyklen i und i + 1.
  • Weiterhin ist der vierte Abstand der Ergebnisse, die in den Arbeitszyklen i – 1 und i + 1 berechnet wurden, geringer als der dritte Abstand der Ergebnisse aus den Arbeitszyklen i und i + 1 sowie geringer als der fünfte Abstand der Ergebnisse aus den Arbeitszyklen i – 1 und i. Außerdem hat die erste Differenz der Ergebnisse aus den Arbeitszyklen i und i + 1 ein von der dritten Differenz der Ergebnisse aus den Arbeitszyklen i – 1 und i unterschiedliches Vorzeichen, wobei die dritte Differenz wiederum ein von der zweiten Differenz der Ergebnisse aus den Arbeitszyklen i und i + 1 unterschiedliches Vorzeichen hat.
  • Gemäß einer Ausgestaltung der Erfindung ist ein Vergleichsschema vorgesehen, welches in jedem Arbeitszyklus eine Bestimmung mindestens eines Abstandes sowie einen Vergleich mit vorausgehenden Abständen und/oder Differenzen vorsieht. Alternativ findet eine Bestimmung von Abständen bzw. Differenzen und/oder deren Vergleich lediglich in vorbehaltenen Arbeitszyklen statt, beispielsweise in jedem vierten bzw. n-ten Arbeitszyklus. Weiterhin gemäß dem Vergleichsschema auch eine Erhöhung der Vergleichszyklen vorgesehen sein, wenn die jeweils pro Prozessorkern ermittelten Ergebnisse auseinanderdriften und/oder sich in Richtung eines Grenzwerts bewegen.
  • Im Folgenden werden weitere Ausführungsbeispiele und Vorteile der Erfindung anhand der Zeichnung näher erläutert. Dabei zeigen:
  • 1: eine schematische Darstellung von Ergebnissen zweier jeweils wechselweise berechneten Rechenoperationen zu diskreten Arbeitszyklen, bei der ein jeweiliger erwarteter Wertebereich für einen Abstand zwischen einem aktuellen Ergebnis und einem folgenden Ergebnis aufgetragen ist;
  • 2: eine schematische Darstellung von Ergebnissen zweier jeweils wechselweise berechneten Rechenoperationen zu diskreten Arbeitszyklen, bei der ein jeweiliger Abstand zwischen einem aktuellen Ergebnis und einem folgenden Ergebnis aufgetragen ist;
  • 3: eine schematische Darstellung von Ergebnissen zweier Rechenoperationen über die Zeit, wobei die zugrundeliegende Rechenoperation ein integrierendes Regelglied enthält;
  • 4: eine schematische Darstellung von Ergebnissen zweier jeweils wechselweise berechneten Rechenoperationen zu diskreten Arbeitszyklen mit einer ersten Abtastrate, wobei die zugrundeliegende Rechenoperation ein integrierendes Regelglied enthält; und;
  • 5: eine schematische Darstellung von Ergebnissen zweier jeweils wechselweise berechneten Rechenoperationen zu diskreten Arbeitszyklen mit einer zweiten Abtastrate, wobei die zugrundeliegende Rechenoperation ein integrierendes Regelglied enthält.
  • In 1 und 2 ist ein Zeitdiagramm gezeigt, auf dessen Ordinate Ergebnisse C2i – 1, C1i, C2i + 1, C1i + 2, C2i + 3 zweier jeweils wechselweise von einem von zwei Prozessorkernen – mit einem jeweiligen entsprechenden Bezugszeichenpräfix C1 für einen ersten Prozessorkern und C2 für einen zweiten Prozessorkern – berechneten Rechenoperationen zu diskreten Zeitpunkten aufgetragen sind. Die auf der Abszisse aufgetragenen diskreten Zeitpunkte entsprechen Arbeitszyklen i – 1, i, i + 1, i + 2, i + 3.
  • In 1 ist ein jeweiliger erwarteter Wertebereich für einen Abstand zwischen einem aktuellen Ergebnis und einem folgenden Ergebnis aufgetragen, siehe den von einem jeweiligen punktförmigen Ergebniswert C2i – 1, C1i, C2i + 1, C1i + 2, C2i + 3 ausgehenden dreieckförmigen Bereich.
  • Erfindungsgemäß werden die Prozessorkerne, welche die beiden im Wesentlichen identischen Rechenoperationen zyklisch bearbeiten, in jedem Arbeitszyklus i – 1, i, i + 1, i + 2, i + 3 gewechselt. Damit kann ein jeweils nicht an der Bearbeitung der Rechenoperation beteiligter Prozessorkern andere Aufgaben bearbeiten, sodass keine redundante Rechenleistung verschwendet wird. Gleichzeitig wirken sich Fehler in der Bearbeitung der Rechenoperation auch die jeweils andere Rechenoperation auf dem anderen Prozessorkern aus.
  • Falls in einem Prozessorkern C1 oder in einem dem Prozessorkern C1 zugeordneten Speicher beispielsweise im Arbeitszyklus i ein Fehler auftritt, wird das durch diesen Prozessorkern C1 errechnete Ergebnis C1i verfälscht. Im nächsten Arbeitszyklus i + 1 rechnet nun der andere Prozessorkern C2 ein diesmal unverfälschtes Ergebnis C2i + 1.
  • Im nächsten Arbeitszyklus i + 2 wird wieder ein verfälschte Ergebnis C1i + 2 im Prozessorkern C1 berechnet. In beiden Prozessorkernen C1, C2 sind, gemäß einer Ausgestaltung des erfindungsgemäßen Vergleichsschemas, folgende Überwachungsmechanismen vorgesehen, die frühestens im Arbeitszyklus i und spätestens im Arbeitszyklus i + 2 feststellen können, dass ein Fehler vorliegt.
    • a. Im Arbeitszyklus i: Ein erster Abstand der in den Arbeitszyklen i und i + 1 berechneten Ergebnisse C1i und C2i + 1 überschreiten einen Maximalwert gemäß 1. Mit anderen Worten befindet sich das im Arbeitszyklus i + 1 berechnete Ergebnis C2i + 1 außerhalb des dreieckförmige Bereichs eines für einen maximalen Abstand erwarteten Werts.
    • b. Im Arbeitszyklus i + 1: Der zweite Abstand der in den Arbeitszyklen i – 1 und i + 1 berechneten Ergebnisse C2i – 1 und C2i + 1 ist geringer als der erste Abstand der in den Arbeitszyklen i und i + 1 berechneten Ergebnisse C1i und C2i + 1. Weiterhin ist der zweite Abstand der in den Arbeitszyklen i – 1 und i + 1 berechneten Ergebnisse C2i – 1 und C2i + 1 geringer als der dritte Abstand der in den Arbeitszyklen i – 1 und i berechneten Ergebnisse C2i – 1 und C1i. Außerdem hat die erste Differenz der Ergebnisse aus den Arbeitszyklen i – 1 und i, also (C2i – 1) – (C1i), ein von der zweiten Differenz der Ergebnisse aus den Arbeitszyklen i und i + 1, also (C1i – C2i + 1), unterschiedliches Vorzeichen.
    • c. Im Arbeitszyklus i + 2: Der zweite Abstand der in den Arbeitszyklen i und i + 2 berechneten Ergebnisse C1i und C1i + 2 ist geringer als der erste Abstand der der in den Arbeitszyklen i + 1 und i + 2 berechneten Ergebnisse C2i + 1 und C1i + 2 sowie geringer als der dritte Abstand der in den Arbeitszyklen i und i + 1 berechneten Ergebnisse C1i und C2i + 1. Weiterhin ist der der in den Arbeitszyklen i – 1 und i + 1 berechnete vierte Abstand der Ergebnisse C2i – 1 und C2i + 1 geringer als der in den Arbeitszyklen i und i + 1 berechneten dritte Abstand der Ergebnisse C1i und C2i + 1 sowie geringer als der in den Arbeitszyklen i – 1 und i berechnete fünfte Abstand der Ergebnisse C1i und C2i – 1 und C1i. Außerdem hat die erste Differenz der in den Arbeitszyklen i und i + 1 errechneten Ergebnisse (C1i) – (C2i + 1) ein von der dritten Differenz der in den Arbeitszyklen i – 1 und i errechneten Ergebnisse (C2i – 1) – (C1i) unterschiedliches Vorzeichen, wobei die dritte Differenz wiederum ein von der zweiten Differenz der in den Arbeitszyklen i und i + 1 errechneten Ergebnisse (C1i) – (C2i + 1) unterschiedliches Vorzeichen hat.
  • 2 zeigt den ersten Abstand A1, den zweiten Abstand A2, den dritten Abstand A3, den vierten Abstand A4 und den fünften Abstand A5.
  • Falls keine Vorschrift für einen maximalen Gradienten vorliegt, kann demnach erst im Arbeitszyklus i + 2 sicher erkannt werden, dass ein Fehler vorliegt. Dieser Test kann je nach Bedarf kontinuierlich in jedem Arbeitszyklus durchgeführt werden, oder z.B. in jedem n-ten Zyklus.
  • Zusätzlich können auch engere maximale Abstände definiert werden, die ein- oder mehrmals überschritten werden dürfen, bevor ein Fehler detektiert wird. Die Konsistenzüberprüfung kann nicht, wie in einem »echten« Dual-Lane-Betrieb, auf Bit-Identität erfolgen, da die beiden Prozessorkerne für die Berechnungen in aufeinanderfolgenden Arbeitszyklen die Eingangsdaten aus aufeinanderfolgenden Zyklen verwenden.
  • Da die Eingangsdaten in aufeinanderfolgenden Arbeitszyklen verschieden sein werden, evtl. um ein durch einen vorgegebenen maximalen Abstand begrenzt, können auch die Ausgangsdaten um ein zulässiges Delta verschieden sein. Für dieses Delta kann ein zulässiger Wert bekannt sein oder aus den Abständen der Eingangsdaten berechnet werden.
  • Der erfindungsgemäße Vorteil ist eine Halbierung der benötigten Rechenleistung, ohne eine Zykluszeit eines mit einer Applikation realisierten digitalen Reglers gegenüber der zweikanaligen Berechnung zu erhöhen. Dies hat zwar eine Reduktion der Güte der Konsistenzprüfung – Delta-Konsistenz statt Bit-Identität – und eine Verlangsamung der Fehlerreaktion um bis zu zwei Arbeitszyklen zur Folge, die Zykluszeit des Reglers im fehlerfreien Fall wird gegenüber der zweikanaligen Berechnung allerdings nicht erhöht.
  • Gemäß weiteren Ausführungsformen der Erfindung werden zusätzliche Maßnahmen getroffen, falls die Applikation zumindest teilweise einen digitalen Regler realisiert, welcher zumindest teilweise integrierende Regelglieder, also Regler mit I-Anteilen enthält oder auch anderweitig vergangene Systemzustände mit in die Berechnung einbezogen werden.
  • 3 zeigt eine schematische Darstellung zweier jeweiliger von einem ersten Prozessorkern C1 und einem zweiten Prozessorkern C2 ermittelten Ergebnissen einer Rechenoperation über die Zeit dargestellt, wobei die zugrundeliegende Rechenoperation ein integrierendes Regelglied enthält. Während der vom zweiten Prozessorkern C2 ermittelte Ergebnisverlauf im Wesentlichen einem Idealwertverlauf ID der Rechenoperation folgt, driftet der vom erstem Prozessorkern C1 ermittelte Ergebnisverlauf ab.
  • Da beide oder mehrere Prozessorkerne leicht unterschiedliche Eingangswerte erhalten, können die Ausgangswerte ebenfalls leicht unterschiedlich sein. Dies ist im Rahmen der Deltakonsistenzprüfung gemäß der Erfindung zulässig. Falls aber die Regelziele der beiden Prozessorkerne leicht über und unter dem Idealwert liegen können sich die Integrator-Variablen in den beiden Prozessorkernen stetig vergrößern, da jeder Prozessorkern stetig eine leichte Abweichung in der gleichen Richtung sieht.
  • Dies kann zu einem Zittern eines angesteuerten Aggregates führen, da die beiden Regler immer stärker in entgegengesetzte Richtungen regeln. Eine kritische Situation wird erreicht, sobald die Integratorvariablen in einem der Regler einen Grenzwert, z.B. die Wertebereichsgrenze der Variablen erreichen. Jetzt kann einer der Regler nicht mehr entsprechend gegensteuern und der Regelwert driftet ab. Dies würde zwar unter den oben beschriebenen Bedingungen zu einer sicheren Abschaltung führen. Die Zuverlässigkeit des Systems wäre aber nicht mehr gegeben, da in diesem Fall das Wechseln der Prozessorkerne den Fehler erzeugt. Um dieses Problem zu vermeiden, ist eine geeignete Drift-Kompensation vorzusehen. Dazu können beispielsweise die Werte der Integratoren in den beiden Bearbeitungswegen gegenseitig ausgetauscht werden. Um eine mögliche Fehlerausbreitung zu vermeiden, empfiehlt es sich, die ausgetauschten Werte der Integratoren zu begrenzen. Aus der Dynamik der Regelstrecke und der Auslegung des Reglers können die im Normalbetrieb zulässigen Integratorwerte bestimmt werden. Eine Begrenzung der Integratorwerte ist nicht kritisch, da sie schlimmstenfalls zu einer Verlangsamung des Reglerverhaltens, nicht aber zu einer Instabilität führen kann.
  • Zu Instabilitäten kann es kommen, wenn das Eingangssignal des Reglers mit einer Frequenz, die der Arbeitszyklusfrequenz – also dem Kehrwert eines zeitlichen Werts des Arbeitszyklus – ähnlich ist, oszilliert. Dies kann dazu führen, dass einem Prozessorkern stets ein zu hoher, dem andere Prozessorkern stets ein zu niedriger Wert am Reglereingang übergeben wird und dadurch die Stellgrößen gemäß 4 oszillieren. Dieses Verhalten würde nach den obenstehenden Regeln als Fehler erkannt und ist deshalb zu vermeiden.
  • Folgende Ausgestaltungen sind hierzu geeignet:
    • – Vermeiden von Unterabtastung. Regler sollten grundsätzlich so ausgelegt werden, dass die Abtastrate wesentlich höher ist als die Frequenz der Regelgrößen. Betriebsbewährt sind Faktoren von vier oder größer, vgl. 5. Bei allen Regelstrecken, deren Dynamik hinreichend bekannt ist, kann und sollte diese Maßnahme angewendet werden.
    • – Wechsel des Prozessorkerns in einem »Walzertakt« oder ähnliche diskontinuierliche Wechsel: Falls die Dynamik der Regelstrecke nicht bekannt ist, kann der Rhythmus, in dem die Prozessorkerns gewechselt werden, verändert werden. Beispielsweise könnte die Berechnung einer Rechenoperation dem ersten Prozessorkern C1 immer zweimal zugeführt werden, anschließend einmal dem zweiten Prozessorkern C2. Durch die asymmetrische Periodendauer beim Wechsel der Prozessorkerne kann es keine Frequenz einer Reglergröße geben, die zu dem oben beschrieben Verhalten verbunden mit einer ungewollten Fehlererkennung führt.
    • – Verwendung eines Drei- oder Mehr-kernprozessors. Beispielsweise könnte die Berechnung einer Rechenoperation einmal einem ersten Prozessorkern C1, dann einem zweiten Prozessorkern C2, dann einem dritten Prozessorkern C3 zugeführt werden. Ein Fehler in einem der Prozessorkerne könnte somit von oszillierenden Eingangsdaten unterschieden werden, da ein Fehler in einem der Prozessorkerne nur in jeden dritten Zyklus auftreten würde.
    • – Integratorwert-Rückführung mit Begrenzung des gültigen Wertebereichs für rückgeführte Integratorwerte wie oben ausgeführt.
    • – Abgleich von Systemzuständen mit Historie: Falls Systemzustände aus einer Anzahl von Werten aus der Vergangenheit berechnet werden, können unterschiedliche Eingangsdaten auch zu unterschiedlichen Ergebnissen bei der Berechnung dieser Systemzustände führen. Um hier eine Fehlererkennung zu vermeiden, sind entweder zeitliche Deltas bei der Berechnung dieser Fehlerzustände zu erlauben, oder die Zustände zwischen den Bearbeitungswegen auszutauschen.
  • Alternativ zu den oben dargestellten Verfahren können gemäß einer alternativen Ausgestaltung der Erfindung beide Bearbeitungswege auf denselben Speicherbereich zugreifen. Damit wären alle historischen Daten, Integratorwerte etc. für beide Bearbeitungswege identisch und damit keine der obigen Mechanismen erforderlich. Der Preis für diese Vereinfachung ist, dass der gemeinsam genutzte Speicherbereich zu einem gemeinsamen Fehlerursachenbereich wird. Für einige Anwendungsfälle kann dies akzeptabel sein, wenn die Wahrscheinlichkeit für unentdeckte Fehler in dem gemeinsamen Fehlerursachenbereich durch geeignete Maßnahmen, z.B. ECC (Error-Correcting Code) oder Memory Scrambling, ausreichend gering ist.
  • Erfindungsgemäß werden mindestens zwei Prozessorkerne eines Mehrkernprozessors dazu genutzt, eine sicherheitskritische Applikation zweikanalig zu berechnen. Dabei werden die Rechenoperationen nicht in jedem Rechenzyklus auf beiden Prozessorkernen redundant berechnet, sondern beide Prozessorkerne werden in verschiedenen Arbeitszyklen mit verschiedenen Applikationen ausgelastet. Somit wird eine Verdoppelung der benötigten Rechenkapazität in vorteilhafter Weise vermieden. Um eine gegenseitige Überwachung der Prozessorkerne zu erreichen, werden die Rechenoperationen abwechselnd auf beiden Prozessorkernen berechnet. Durch die beschriebenen Fehlererkennungsmechanismen können zufällige Fehler erkannt werden. Zwar liegt die Güte der erfindungsgemäßen Fehlererkennung etwas unter dem bei einem aus dem Stand der Technik bekannten »Dual-Lane-Betrieb« mit einer parallel-redundanten mehrkanaligen Berechnung. Die Güte der Fehlererkennung kann allerdings gegenüber dem Erfordernis eines geringeren Aufwands an Rechenleistung hintanstehen, insbesondere wenn für das Steuersystem eine wirtschaftliche Verwirklichung gefordert ist. Die Erfindung vereinigt somit Anforderungen an eine hinreichend sichere Fehlererkennung mit einer ökonomischen Auslegung der Rechenleistung.

Claims (14)

  1. Verfahren zum Betrieb eines Mehrkernprozessors, auf dem eine Applikation zur Ausführung gebracht wird, welche eine Mehrzahl zyklischer Rechenoperationen umfasst, wobei zur Berechnung einer jeweiligen Rechenoperation ein zeitlich bemessener Arbeitszyklus vorgesehen ist, das Verfahren dadurch gekennzeichnet, – dass eine Berechnung einer Rechenoperation auf einem gemäß einem Verteilungschema zugewiesenen Prozessorkern des Mehrkernprozessors durchgeführt wird; – dass nach Erhalt eines Ergebnisses der aktuellen Rechenoperation innerhalb eines aktuellen Arbeitszyklus und abhängig von einem Vergleichsschema mindestens ein Abstand zwischen dem aktuellen Ergebnis und mindestens einem Ergebnis einer mindestens einen Arbeitszyklus zurückliegenden Rechenoperation erfolgt; – dass eine Fehlerindikation ausgegeben wird, falls mindestens ein Abstand außerhalb eines erwarteten Werts ist; – dass die Berechnung einer darauffolgenden Rechenoperation auf einem gemäß dem Verteilungschema zugewiesenen Prozessorkern des Mehrkernprozessors durchgeführt wird.
  2. Verfahren gemäß Patentanspruch 1, dadurch gekennzeichnet, dass gemäß dem Verteilungschema eine jeweils wechselweise Zuweisung der Rechenoperationen zu einem der Prozessorkerne des Mehrkernprozessors vorgesehen ist.
  3. Verfahren gemäß einem der vorgenannten Patentansprüche, dadurch gekennzeichnet, dass gemäß dem das Verteilungschema eine Zuweisung zu einem ersten Prozessorkern für eine vorgebbare Mehrzahl an Arbeitszyklen vorgesehen ist, bevor ein Wechsel der Zuweisung an einen zweiten Prozessorkern des Mehrkernprozessors erfolgt.
  4. Verfahren gemäß Patentanspruch 3, dadurch gekennzeichnet, dass bei Ausgabe einer Fehlerindikation die Mehrzahl an Arbeitszyklen zur Zuweisung an den ersten Prozessorkern erhöht wird.
  5. Verfahren gemäß einem der vorgenannten Patentansprüche 2 bis 4, dadurch gekennzeichnet, dass gemäß dem Verteilungschema eine jeweils wechselweise, insbesondere rotierende Zuweisung der Rechenoperationen zu einem von mindestens drei Prozessorkernen des Mehrkernprozessors vorgesehen ist.
  6. Verfahren gemäß einem der vorgenannten Patentansprüche, dadurch gekennzeichnet, dass gemäß dem Vergleichsschema aus dem Ergebnis einer einen Arbeitszyklus zurückliegenden Rechenoperation und dem Ergebnis des aktuellen Arbeitszyklus ein erster Abstand bestimmt wird.
  7. Verfahren gemäß Patentanspruch 6, dadurch gekennzeichnet, dass die Fehlerindikation ausgegeben wird, falls der erste Abstand außerhalb eines für den ersten Abstand erwarteten Werts ist.
  8. Verfahren gemäß Patentanspruch 6, dadurch gekennzeichnet, dass – aus dem Ergebnis einer zwei Arbeitszyklen zurückliegenden Rechenoperation und dem Ergebnis des aktuellen Arbeitszyklus ein zweiter Abstand bestimmt wird; und/oder; – aus dem Ergebnis einer zwei Arbeitszyklen zurückliegenden Rechenoperation und dem Ergebnis einer einen Arbeitszyklus zurückliegenden Rechenoperation ein dritter Abstand bestimmt wird; und/oder; – aus einer Differenz aus dem Ergebnis der einen Arbeitszyklus zurückliegenden Rechenoperation und dem Ergebnis des aktuellen Arbeitszyklus eine erste Differenz bestimmt wird; und/oder; – aus einer Differenz aus dem Ergebnis der zwei Arbeitszyklen zurückliegenden Rechenoperation und dem Ergebnis der einen Arbeitszyklus zurückliegenden Rechenoperation eine zweite Differenz bestimmt wird.
  9. Verfahren gemäß Patentanspruch 8, dadurch gekennzeichnet, dass die Fehlerindikation ausgegeben wird, falls – der zweite Abstand geringer als der erste Abstand ist; und; – der zweite Abstand geringer als der dritte Abstand ist; und; – die erste Differenz ein von der zweiten Differenz unterschiedliches Vorzeichen hat.
  10. Verfahren gemäß Patentanspruch 8, dadurch gekennzeichnet, dass – aus dem Ergebnis einer drei Arbeitszyklen zurückliegenden Rechenoperation und dem Ergebnis einer einen Arbeitszyklus zurückliegenden Rechenoperation ein vierter Abstand bestimmt wird; – aus dem Ergebnis einer drei Arbeitszyklen zurückliegenden Rechenoperation und dem Ergebnis einer zwei Arbeitszyklen zurückliegenden Rechenoperation ein fünfter Abstand bestimmt wird; – aus einer Differenz aus dem Ergebnis der drei Arbeitszyklen zurückliegenden Rechenoperation und dem Ergebnis der zwei Arbeitszyklen zurückliegenden Rechenoperation eine dritte Differenz bestimmt wird.
  11. Verfahren gemäß Patentanspruch 10, dadurch gekennzeichnet, dass die Fehlerindikation ausgegeben wird, falls – der zweite Abstand geringer als der erste Abstand ist; und; – der zweite Abstand geringer als der dritte Abstand ist; und; – der vierte Abstand geringer als der dritte Abstand ist; und; – der vierte Abstand geringer als der fünfte Abstand ist; und; – die erste Differenz ein von der dritten Differenz unterschiedliches Vorzeichen hat; und; – die dritte Differenz ein von der zweiten Differenz unterschiedliches Vorzeichen hat.
  12. Verfahren gemäß einem der vorgenannten Patentansprüche, dadurch gekennzeichnet, dass gemäß dem Vergleichsschema für jeden Arbeitszyklus eine Bestimmung mindestens eines Abstandes vorgesehen ist.
  13. Verfahren gemäß einem der vorgenannten Patentansprüche 1 bis 12, dadurch gekennzeichnet, dass gemäß dem Vergleichsschema für jeden n-ten Arbeitszyklus eine Bestimmung mindestens eines Abstandes vorgesehen ist, wobei n eine natürliche Zahl ist.
  14. Computerprogrammprodukt mit Mitteln zur Durchführung des Verfahrens nach einem der vorhergehenden Ansprüche, wenn das Computerprogrammprodukt an einem Steuersystem durch den mindestens einen Mehrkernprozessor zur Ausführung gebracht wird.
DE102015222321.3A 2015-11-12 2015-11-12 Verfahren zum Betrieb eines Mehrkernprozessors Ceased DE102015222321A1 (de)

Priority Applications (7)

Application Number Priority Date Filing Date Title
DE102015222321.3A DE102015222321A1 (de) 2015-11-12 2015-11-12 Verfahren zum Betrieb eines Mehrkernprozessors
PCT/EP2016/075381 WO2017080793A2 (de) 2015-11-12 2016-10-21 Verfahren zum betrieb eines mehrkernprozessors
US15/773,774 US20180322001A1 (en) 2015-11-12 2016-10-21 Methods for operating multicore processors
KR1020187016720A KR20180072829A (ko) 2015-11-12 2016-10-21 멀티코어 프로세서를 동작시키기 위한 방법
CN201680066047.5A CN108351815A (zh) 2015-11-12 2016-10-21 用于运行多核处理器的方法
EP16790913.4A EP3338189A2 (de) 2015-11-12 2016-10-21 Verfahren zum betrieb eines mehrkernprozessors
JP2018524403A JP2019500682A (ja) 2015-11-12 2016-10-21 マルチコアプロセッサの操作方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102015222321.3A DE102015222321A1 (de) 2015-11-12 2015-11-12 Verfahren zum Betrieb eines Mehrkernprozessors

Publications (1)

Publication Number Publication Date
DE102015222321A1 true DE102015222321A1 (de) 2017-05-18

Family

ID=57233400

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102015222321.3A Ceased DE102015222321A1 (de) 2015-11-12 2015-11-12 Verfahren zum Betrieb eines Mehrkernprozessors

Country Status (7)

Country Link
US (1) US20180322001A1 (de)
EP (1) EP3338189A2 (de)
JP (1) JP2019500682A (de)
KR (1) KR20180072829A (de)
CN (1) CN108351815A (de)
DE (1) DE102015222321A1 (de)
WO (1) WO2017080793A2 (de)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7400222B2 (ja) * 2019-06-14 2023-12-19 マツダ株式会社 外部環境認識装置
JP7419157B2 (ja) * 2020-05-13 2024-01-22 株式会社日立製作所 プログラム生成装置、並列演算デバイス、及び、並列演算デバイスに並列演算を実行させるためのコンピュータプログラム
KR102403767B1 (ko) 2020-11-25 2022-05-30 현대제철 주식회사 초고강도 냉연강판 및 그 제조방법
CN114201332A (zh) * 2022-02-21 2022-03-18 岚图汽车科技有限公司 一种冗余控制方法、装置、芯片及存储介质

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1820307B1 (de) * 2004-11-26 2012-04-11 Nokia Siemens Networks GmbH & Co. KG Verfahren zum nachweis der verf]gbarkeit von systemkomponenten eines redundanten kommunikationssystems
WO2008148625A1 (en) * 2007-06-05 2008-12-11 Siemens Aktiengesellschaft Method and device for scheduling a predictable operation of an algorithm on a multi-core processor
US8112194B2 (en) * 2007-10-29 2012-02-07 GM Global Technology Operations LLC Method and apparatus for monitoring regenerative operation in a hybrid powertrain system
JP4709268B2 (ja) * 2008-11-28 2011-06-22 日立オートモティブシステムズ株式会社 車両制御用マルチコアシステムまたは内燃機関の制御装置
US9015536B1 (en) * 2011-08-31 2015-04-21 Amazon Technologies, Inc. Integration based anomaly detection service
US9081653B2 (en) * 2011-11-16 2015-07-14 Flextronics Ap, Llc Duplicated processing in vehicles
KR101332022B1 (ko) * 2011-12-29 2013-11-25 전자부품연구원 Ecu 모니터링 시스템 및 방법
JPWO2014033941A1 (ja) * 2012-09-03 2016-08-08 株式会社日立製作所 計算機システムおよび計算機システムの制御方法
JP6069104B2 (ja) * 2013-05-31 2017-01-25 富士重工業株式会社 制御装置および制御装置の異常検出方法
JP6324127B2 (ja) * 2014-03-14 2018-05-16 三菱電機株式会社 情報処理装置、情報処理方法及びプログラム

Also Published As

Publication number Publication date
CN108351815A (zh) 2018-07-31
EP3338189A2 (de) 2018-06-27
US20180322001A1 (en) 2018-11-08
WO2017080793A2 (de) 2017-05-18
JP2019500682A (ja) 2019-01-10
KR20180072829A (ko) 2018-06-29
WO2017080793A3 (de) 2017-08-17

Similar Documents

Publication Publication Date Title
DE102011102274B4 (de) Verfahren zum Betreiben eines Sicherheitssteuergeräts
EP2513796B1 (de) Verfahren zum betreiben einer recheneinheit
DE19509150C2 (de) Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-Bremsanlage
DE1538493A1 (de) Rechneranlage zur ausfallsicheren Regelung von industriellen Verfahrensablaeufen
DE102015222321A1 (de) Verfahren zum Betrieb eines Mehrkernprozessors
EP3109999B1 (de) Verfahren und vorrichtung zur ermittlung einer physikalischen grösse einer mehrphasen-synchronmaschine
EP2085883A1 (de) Verfahren zur Behandlung von transienten Fehlern in Echtzeitsystemen, insbesondere in Steuergeräten von Kraftfahrzeugen
DE102007014478A1 (de) Sicherheitsgerichtete speicherprogrammierte Steuerung
EP4200727B1 (de) Verfahren und einrichtung zur sicherung von zugriffen auf codierte variablen in einem computerprogramm
AT515341B1 (de) Verfahren zur Überprüfung der Abarbeitung von Software
EP2520989B1 (de) Verfahren zum Betrieb eines hochverfügbaren Systems mit funktionaler Sicherheit sowie ein hochverfügbares System mit funktionaler Sicherheit
EP2237118A1 (de) Sicherheitssystem zur Sicherung einer fehlersicheren Steuerung elektrischer Anlagen und Sicherheitssteuerung damit
EP1366416A1 (de) Fehlertolerante Rechneranordnung und Verfahren zum Betrieb einer derartigen Anordnung
WO2022084176A1 (de) Datenverarbeitungsnetzwerk zur datenverarbeitung
DE102010039607B3 (de) Verfahren zum redundanten Steuern von Prozessen eines Automatisierungssystems
EP1461701B1 (de) Programmgesteuerte einheit mit überwachungseinrichtung
EP3975017A1 (de) Verfahren zur protokollierung einer vielzahl von ereignissen in einer codierten tracer-variablen in einem sicherheitsgerichteten computerprogramm
EP1426862B1 (de) Synchronisation der Datenverarbeitung in redundanten Datenverarbeitungseinheiten eines Datenverarbeitungssystems
DE10233879B4 (de) Verfahren zum Steuern und Überwachen einer sicherheitskritischen Anlage, insbesondere Verkehrs-Signalanlage sowie Vorrichtung zur Durchführung des Verfahrens
EP3172671B1 (de) Verfahren zur parallelen verarbeitung von daten in einem rechnersystem mit mehreren rechnereinheiten und rechnersystem mit mehreren rechnereinheiten
EP1176508B1 (de) Anordnung zur Überwachung des ordnungsgemässen Betriebes von die selben oder einander entsprechende Aktionen ausführenden Komponenten eines elektrischen Systems
WO2024099723A1 (de) Redundante prozessorarchitektur für sicherheitskritische anwendungen
EP2583178A1 (de) Vorrichtung und verfahren zum steuern einer maschine mit codiertem und nicht codiertem programmcode

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R083 Amendment of/additions to inventor(s)
R163 Identified publications notified
R002 Refusal decision in examination/registration proceedings
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee
R003 Refusal decision now final