DE102017201032A1 - Redundante Prozessorarchitektur - Google Patents

Redundante Prozessorarchitektur Download PDF

Info

Publication number
DE102017201032A1
DE102017201032A1 DE102017201032.0A DE102017201032A DE102017201032A1 DE 102017201032 A1 DE102017201032 A1 DE 102017201032A1 DE 102017201032 A DE102017201032 A DE 102017201032A DE 102017201032 A1 DE102017201032 A1 DE 102017201032A1
Authority
DE
Germany
Prior art keywords
core
processor
procedure
execution
result
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102017201032.0A
Other languages
English (en)
Inventor
Bülent Sari
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZF Friedrichshafen AG
Original Assignee
ZF Friedrichshafen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZF Friedrichshafen AG filed Critical ZF Friedrichshafen AG
Priority to DE102017201032.0A priority Critical patent/DE102017201032A1/de
Priority to CN201780083812.9A priority patent/CN110192185B/zh
Priority to JP2019539786A priority patent/JP2020506472A/ja
Priority to PCT/EP2017/083986 priority patent/WO2018134023A1/de
Priority to US16/479,528 priority patent/US11281547B2/en
Priority to EP17825518.8A priority patent/EP3571593A1/de
Publication of DE102017201032A1 publication Critical patent/DE102017201032A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/181Eliminating the failing redundant component
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0721Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment within a central processing unit [CPU]
    • G06F11/0724Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment within a central processing unit [CPU] in a multiprocessor or a multi-core unit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/165Error detection by comparing the output of redundant processing systems with continued operation after detection of the error
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/183Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
    • G06F11/184Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)

Abstract

Die Erfindung betrifft eine Anordnung (101) mit einem ersten Prozessor (103) und einem zweiten Prozessor (103); wobei der erste Prozessor (103) einen ersten Kern (107), einen zweiten Kern (109) und eine Kontrollinstanz (113) aufweist; wobei der zweite Prozessor (105) einen ersten Kern (115) aufweist; und wobei der erste Kern (107) und der zweite Kern (109) des ersten Prozessors (103) sowie der erste Kern (115) des zweiten Prozessors (105) ausgebildet sind, eine erste Prozedur auszuführen. Die Kontrollinstanz (113) des ersten Prozessors (103) ist ausgebildet, die folgenden Schritte auszuführen: Vergleichen eines Ergebnisses der Ausführung der ersten Prozedur auf dem ersten Kern (107) des ersten Prozessors (103) mit einem Ergebnis der Ausführung der ersten Prozedur auf dem zweiten Kern (109) des ersten Prozessors (103); und Vergleichen des Ergebnisses der Ausführung der ersten Prozedur auf dem ersten Kern (107) des ersten Prozessors (103) und des Ergebnisses der Ausführung der ersten Prozedur auf dem zweiten Kern (109) des ersten Prozessors (103) jeweils mit einem Ergebnis der Ausführung der ersten Prozedur auf dem ersten Kern (115) des zweiten Prozessors (105), wenn die Ergebnisse der Ausführung der ersten Prozedur auf dem ersten Kern (107) und dem zweiten Kern (109) des ersten Prozessors (103) voneinander abweichen.

Description

  • Die Erfindung betrifft eine Anordnung nach dem Oberbegriff von Anspruch 1 und ein Verfahren nach Anspruch 10.
  • Aus dem Stand der Technik bekannte Multiprozessorarchitekturen sind nur eingeschränkt geeignet, zukünftige Anforderungen zu erfüllen, die durch autonom fahrende Fahrzeuge gestellt werden. Insbesondere ist es schwierig, die Anforderungen der Norm ISO 26262-1 zu erfüllen, wenn ASIL-D Spezifikationen implementiert werden soll.
  • Eine gängige Lösung zur Implementierung eines betriebssicheren Systems besteht darin, die Komponenten des Systems zu überwachen und im Falle eines Fehlers zu deaktivieren. Allerdings ist es nicht möglich, Komponenten zu deaktivieren, die sicherheitskritische Funktionen ausführen. Systeme mit sicherheitskritischen Funktionen müssen fehlertolerant sein und sicherstellen, dass im Falle eines Fehlers die sicherheitskritischen Funktionen weiterhin ausgeführt werden können. Aus dem Stand der Technik bekannte fehlertolerante Systeme sind beschrieben in C. Temple und A. Vilela:“Fehlertolerante Systeme im Fahrzeugbau- von Fail Safe zu Fail Operation“, Elektroniknet, Juli 2014.
  • Der Erfindung liegt die Aufgabe zugrunde, ein fehlertolerantes System unter Umgehung der den aus dem Stand der Technik bekannten Lösungen innewohnenden Nachteile bereitzustellen. Insbesondere soll die Verfügbarkeit des Systems erhöht werden.
  • Diese Aufgabe wird gelöst durch eine Anordnung nach Anspruch 1 und ein Verfahren nach Anspruch 10. Bevorzugte Weiterbildungen sind in den Unteransprüchen enthalten.
  • Die Anordnung umfasst einen ersten Prozessor und einen zweiten Prozessor. Ein Prozessor ist eine elektronische Schaltung, die ausgebildet ist, ein oder mehrere Befehle - eine Prozedur - einzulesen und auszuführen.
  • Ein Prozessor kann Teile aufweisen, die für sich in der Lage sind, eine oder mehrere Befehle auszuführen. Diese Teile werden Kerne genannt.
  • Der erste Prozessor weist einen ersten Kern, einen zweiten Kern und eine Kontrollinstanz aus. Der zweite Prozessor weist einen ersten Kern auf.
  • Der erste Kern und der zweite Kern des ersten Prozessors sowie der erste Kern des zweiten Prozessors sind ausgebildet, jeweils eine erste Prozedur auszuführen. Dies bedeutet, dass die erste Prozedur dreifach ausgeführt werden kann - auf dem ersten Kern und dem zweiten Kern des ersten Prozessors sowie auf dem ersten Kern des zweiten Prozessors.
  • Eine Kontrollinstanz kann als separater Kern ausgebildet oder in einem der genannten Kerne implementiert sein. Sie ist definiert als ein Mittel zum Ausführen von Schritten zum Vergleich von Ergebnissen.
  • Erfindungsgemäß ist die Kontrollinstanz des ersten Prozessors ausgebildet, die folgenden Schritte auszuführen:
    • - Vergleichen eines Ergebnisses der Ausführung der ersten Prozedur auf dem ersten Kern des ersten Prozessors mit einem Ergebnis der Ausführung der ersten Prozedur auf dem zweiten Kern des ersten Prozessors; und
    • - Vergleichen des Ergebnisses der Ausführung der ersten Prozedur auf dem ersten Kern des ersten Prozessors und des Ergebnisses der Ausführung der ersten Prozedur auf dem zweiten Kern des ersten Prozessors jeweils mit einem Ergebnis der Ausführung der ersten Prozedur auf dem ersten Kern des zweiten Prozessors, wenn die Ergebnisse der Ausführung der ersten Prozedur auf dem ersten Kern und dem zweiten Kern des ersten Prozessors voneinander abweichen.
  • Die Abweichung der Ergebnisse der Ausführung der ersten Prozedur auf dem ersten Kern und dem zweiten Kern des ersten Prozessors wird durch Vergleichen des Ergebnisses der Ausführung der ersten Prozedur auf dem ersten Kern des ersten Prozessors mit dem Ergebnis der Ausführung der ersten Prozedur auf dem zweiten Kern des ersten Prozessors festgestellt. Der Schritt des Vergleichens des Ergebnisses der Ausführung der ersten Prozedur auf dem ersten Kern des ersten Prozessors und des Ergebnisses der Ausführung der ersten Prozedur auf dem zweiten Kern des ersten Prozessors jeweils mit dem Ergebnis der Ausführung der ersten Prozedur auf dem ersten Kern des zweiten Prozessors impliziert, dass die erste Prozedur auf dem ersten Kern des zweiten Prozessors ausgeführt wird.
  • Unter dem Ergebnis der Ausführung einer Prozedur ist allgemein ein beliebiger Wert zu verstehen, der mit der Ausführung der Prozedur korreliert. So kann es sich etwa um den Ausgabewert einer Funktion handeln, wenn die Prozedur als Funktion ausgestaltet ist.
  • Durch die Erfindung wird dreifache Redundanz der Ausführung der ersten Prozedur geschaffen. Fällt einer der drei genannten Kerne, die die erste Prozedur ausführen aus oder ist fehlerhaft, so stehen zwei weitere Kerne weiterhin zur redundanten Ausführung zur Verfügung. Eine Abschaltung des gesamten Systems ist nicht erforderlich.
  • In einer bevorzugten Weiterbildung wird der erste Kern des ersten Prozessors deaktiviert, wenn die Ergebnisse der Ausführung der ersten Prozedur auf dem ersten Kern und dem zweiten Kern des ersten Prozessors voneinander abweichen und das Ergebnis der Ausführung der ersten Prozedur auf dem zweiten Kern des ersten Prozessors und das Ergebnis der Ausführung der ersten Prozedur auf dem ersten Kern des zweiten Prozessors übereinstimmen. Der zweite Kern des ersten Prozessors wird weitebildungsgemäß deaktiviert, wenn die Ergebnisse der Ausführung der ersten Prozedur auf dem ersten Kern und der zweiten Kern des ersten Prozessors voneinander abweichen und das Ergebnis der Ausführung der ersten Prozedur auf dem ersten Kern des ersten Prozessors und das Ergebnis der Ausführung der ersten Prozedur auf dem ersten Kern des zweiten Prozessors übereinstimmen. Die Abweichung der Ergebnisse der Ausführung der ersten Prozedur auf dem ersten Kern und dem zweiten Kern des ersten Prozessors zeigt an, dass in dem ersten Kern oder dem zweiten Kern des ersten Prozessors ein Fehler vorliegt. In diesem Fall lässt sich durch einen Abgleich mit dem Ergebnis der Ausführung der ersten Prozedur auf dem ersten Kern des zweiten Prozessors der fehlerhafte Kern des ersten Prozessors identifizieren und entsprechend deaktivieren.
  • Ein zweiter Sensor ist in einer bevorzugten Weiterbildung Teil der Anordnung. Mindestens ein Signal des ersten Sensors wird sowohl zu dem ersten Kern des ersten Prozessors als auch zu dem ersten Kern des zweiten Prozessors geleitet. Entsprechend wird mindestens ein Signal des zweiten Sensors zu dem zweiten Kern des ersten Prozessors und zu dem ersten Kern des zweiten Prozessors geleitet. Die Signale dienen bevorzugt als Eingangsdaten der auf dem jeweiligen Prozessor ausgeführten ersten Prozedur. Wenn der erste Kern des ersten Prozessors oder der zweite Kern des ersten Prozessors aufgrund eines Fehlers deaktiviert wird, steht das entsprechende Sensorsignal weiterbildungsgemäß dem ersten Kern des zweiten Prozessors zur Verfügung. Dies ermöglicht es, dem ersten Kern des zweiten Prozessors, die Aufgaben des deaktivierten Prozessorkern zu übernehmen.
  • In einer darüber hinaus bevorzugten Weiterbildung sind der erste Sensor und der zweite Sensor redundant ausgeführt. Dies bedeutet, dass der erste Sensor und der zweite Sensor ausgebildet sind, dieselbe physikalische Größe zu messen.
  • Die Anordnung ist vorzugsweise symmetrisch weitergebildet. Dies bedeutet, dass der erste Prozessor und der zweite Prozessor gleichartig aufgebaut sind. Insbesondere weisen der erste Prozessor und der zweite Prozessor jeweils einen ersten Kern, einen zweiten Kern, einen dritten Kern und eine Kontrollinstanz auf. Der zweite Kern und der dritte Kern des zweiten Prozessors sowie der dritte Kern des ersten Prozessors sind ausgebildet, eine zweite Prozedur auszuführen. Die Kontrollinstanz des ersten Prozessors ist analog zu der Kontrollinstanz des zweiten Prozessors ausgebildet, die folgenden Schritte auszuführen:
    • - Vergleichen eines Ergebnisses der Ausführung der zweiten Prozedur auf dem zweiten Kern des zweiten Prozessors mit einem Ergebnis der Ausführung der zweiten Prozedur auf dem dritten Kern des zweiten Prozessors; und
    • - Vergleichen des Ergebnisses der Ausführung der zweiten Prozedur auf dem zweiten Kern des zweiten Prozessors und des Ergebnisses der Ausführung der zweiten Prozedur auf dem dritten Kern des zweiten Prozessors jeweils mit einem Ergebnis der Ausführung der zweiten Prozedur auf dem dritten Kern des ersten Prozessors, wenn die Ergebnisse der Ausführung der zweiten Prozedur auf dem zweiten Kern und dem dritten Kern des zweiten Prozessors voneinander abweichen.
  • In einer bevorzugten Weiterbildung wird analog zu der Deaktivierung des ersten Kerns und des zweiten Kerns des ersten Prozessors der zweite Kern des zweiten Prozessors deaktiviert, wenn die Ergebnisse der Ausführung der zweiten Prozedur auf dem zweiten Kern und dem dritten Kern des zweiten Prozessors voneinander abweichen und das Ergebnis der Ausführung der zweiten Prozedur auf dem dritten Kern des zweiten Prozessors und das Ergebnis der Ausführung der zweiten Prozedur auf dem dritten Kern des ersten Prozessors übereinstimmen. Wenn die Ergebnisse der Ausführung der zweiten Prozedur auf dem zweiten Kern und dem dritten Kern des zweiten Prozessors voneinander abweichen und das Ergebnis der Ausführung der zweiten Prozedur auf dem zweiten Kern des zweiten Prozessors und das Ergebnis der Ausführung der zweiten Prozedur auf dem dritten Kern des ersten Prozessors übereinstimmen.
  • Der zweite Prozessor erhält in einer bevorzugten Weiterbildung Eingabesignale von einem dritten Sensor und einem vierten Sensor. Mindestens ein Signal des dritten Sensors wird zu dem zweiten Kern des zweiten Prozessors und zu dem dritten Kern des ersten Prozessors geleitet. Entsprechend wird mindestens ein Signal des vierten Sensors zu dem dritten Kern des zweiten Prozessors und zu dem dritten Kern des ersten Prozessors geleitet.
  • Wie der erste Sensor und der zweite Sensor sind auch der dritte Sensor und der vierte Sensor in einer bevorzugten Weiterbildung redundant ausgeführt. Der dritte Sensor und der vierte Sensor messen also weiterbildungsgemäß dieselbe physikalische Größe.
  • Die Anordnung ist bevorzugt als Bestandteil eines Fahrzeugs, etwa eines Kraftfahrzeugs weitergebildet. Insbesondere kann der erste Prozessor als Teil eines Getriebesteuergeräts und der zweite Prozessor zur Steuerung einer Leistungselektronik weitergebildet sein. Ein Fahrzeug mit der erfindungsgemäßen Anordnung ermöglicht eine betriebssichere Implementierung von Funktionen für Fahrassistenzsysteme oder zum autonomen Fahren.
  • Ein erfindungsgemäßes Verfahren sieht vor, unter Verwendung der erfindungsgemäßen Anordnung oder einer bevorzugten Weiterbildung die folgenden Schritte auszuführen:
    • - Ausführen der ersten Prozedur auf dem ersten Kern und dem zweiten Kern des ersten Prozessors;
    • - Vergleichen eines Ergebnisses der Ausführung der ersten Prozedur auf dem ersten Kern des ersten Prozessors mit einem Ergebnis der Ausführung der ersten Prozedur auf dem zweiten Kern des ersten Prozessors;
    • - Vergleichen des Ergebnisses der Ausführung der ersten Prozedur auf dem ersten Kern des ersten Prozessors und des Ergebnisses der Ausführung der ersten Prozedur auf dem zweiten Kern des ersten Prozessors jeweils mit einem Ergebnis einer Ausführung der ersten Prozedur auf dem ersten Kern des zweiten Prozessors, wenn die Ergebnisse der Ausführung der ersten Prozedur auf dem ersten Kern und dem zweiten Kern des ersten Prozessors voneinander abweichen.
  • Dieses Verfahren ist bevorzugt mit Verfahrensschritten weitergebildet, die, wie oben beschrieben, von bevorzugten Weiterbildungen der erfindungsgemäßen Anordnung ausführbar sind.
  • Ein bevorzugtes Ausführungsbeispiel der Erfindung ist in 1 dargestellt. Übereinstimmende Bezugsziffern kennzeichnen dabei gleiche oder funktionsgleiche Merkmale. Im Einzelnen zeigt:
    • 1 eine Prozessorarchitektur.
  • Ein Mehrprozessorsystem 101 gemäß 1 weist einen ersten Prozessor 103 und einen zweiten Prozessor 105 auf. Beide Prozessoren 103, 105 besitzen mehrere Kerne. So weist der erste Prozessor 103 einen ersten Kern 107, einen zweiten Kern 109, einen dritten Kern 111 und eine Kontrollinstanz 113 auf. Entsprechend weist der zweite Prozessor 105 einen ersten Kern 115, einen zweiten Kern 117, einen dritten Kern 119 und eine Kontrollinstanz 121 auf.
  • Ein erstes Sensorsignal 123 liegt am ersten Kern 107 des ersten Prozessors 103 und am ersten Kern 115 des zweiten Prozessors 105 an. Ein zweites Sensorsignal 125 liegt am zweiten Kern 109 des ersten Prozessors 103 und am ersten Kern 115 des zweiten Prozessors 105 an. Das erste Sensorsignal 123 und das zweite Sensorsignal 125 basieren auf einer redundanten Messung einer einzigen physikalischen Größe mittels zweier verschiedener Sensoren.
  • Ein drittes Sensorsignal 127 liegt analog dazu am zweiten Kern 117 des zweiten Prozessors und am dritten Kern 111 des ersten Prozessors 103 an. Ein redundant dazu ausgeführtes viertes Sensorsignal 129 liegt am dritten Kern 119 des zweiten Prozessors 105 und am dritten Kern 111 des ersten Prozessors 103 an. Zwei redundante Sensoren, die dieselbe physikalische Größe messen, stellen das dritte Sensorsignal 127 und das vierte Sensorsignal 129 bereit.
  • Der erste Kern 107 und der zweite Kern 109 des ersten Prozessors sowie der erste Kern 115 des zweiten Prozessors 105 dienen dazu, eine erste Prozedur mit dreifacher Redundanz auszuführen. Die Kontrollinstanz 113 des ersten Prozessors überwacht die Ausführung der ersten Prozedur durch den ersten Kern 107 und den zweiten Kern 109 des ersten Prozessors 103 und vergleicht deren Ergebnisse. Stimmen diese nicht überein, zieht die Kontrollinstanz 113 des ersten Prozessors 103 den ersten Kern 115 des zweiten Prozessors 105 hinzu, um festzustellen, ob der erste Kern 107 oder der zweite Kern 109 des ersten Prozessors 103 fehlerhaft arbeitet. Der fehlerhafte Kern 107, 109 wird deaktiviert. Hiernach steht noch eine zweifache Redundanz zur Ausführung der ersten Prozedur zur Verfügung.
  • Die Ausführung der zweiten Prozedur durch den zweiten Kern 117 und den dritten Kern 119 des zweiten Prozessors 105 sowie durch den dritten Kern 111 des ersten Prozessors 103 gestaltet sich analog zu der oben beschriebenen Ausführung der ersten Prozedur.
  • Zur Überwachung des ersten Prozessors 103 ist ein erster Watchdog 131 vorgesehen. Entsprechend wird der zweite Prozessor 105 durch einen zweiten Watchdog 133 überwacht. Durch die Watchdogs 131, 133 ist es möglich, den Totalausfall eines einzelnen Prozessors 103, 105 abzufangen.
  • Bezugszeichenliste
    • 101
    Mehrprozessorsystem
    103
    erster Prozessor
    105
    zweiter Prozessor
    107
    erster Kern des ersten Prozessors
    109
    zweiter Kern des ersten Prozessors
    111
    dritter Kern des ersten Prozessors
    113
    Kontrollinstanz des ersten Prozessors
    115
    erster Kern des zweiten Prozessors
    117
    zweiter Kern des zweiten Prozessors
    119
    dritter Kern des zweiten Prozessors
    121
    Kontrollinstanz des zweiten Prozessors
    123
    erstes Signal
    125
    zweites Signal
    127
    drittes Signal
    129
    viertes Signal
    131
    erster Watchdog
    133
    zweiter Watchdog

Claims (10)

  1. Anordnung (101) mit einem ersten Prozessor (103) und einem zweiten Prozessor (103); wobei der erste Prozessor (103) einen ersten Kern (107), einen zweiten Kern (109) und eine Kontrollinstanz (113) aufweist; wobei der zweite Prozessor (105) einen ersten Kern (115) aufweist; und wobei der erste Kern (107) und der zweite Kern (109) des ersten Prozessors (103) sowie der erste Kern (115) des zweiten Prozessors (105) ausgebildet sind, eine erste Prozedur auszuführen; dadurch gekennzeichnet, dass die Kontrollinstanz (113) des ersten Prozessors (103) ausgebildet ist, die folgenden Schritte auszuführen: - Vergleichen eines Ergebnisses der Ausführung der ersten Prozedur auf dem ersten Kern (107) des ersten Prozessors (103) mit einem Ergebnis der Ausführung der ersten Prozedur auf dem zweiten Kern (109) des ersten Prozessors (103); und - Vergleichen des Ergebnisses der Ausführung der ersten Prozedur auf dem ersten Kern (107) des ersten Prozessors (103) und des Ergebnisses der Ausführung der ersten Prozedur auf dem zweiten Kern (109) des ersten Prozessors (103) jeweils mit einem Ergebnis der Ausführung der ersten Prozedur auf dem ersten Kern (115) des zweiten Prozessors (105), wenn die Ergebnisse der Ausführung der ersten Prozedur auf dem ersten Kern (107) und dem zweiten Kern (109) des ersten Prozessors (103) voneinander abweichen.
  2. Anordnung nach dem vorhergehenden Anspruch; dadurch gekennzeichnet, dass der erste Kern (107) des ersten Prozessors (103) deaktiviert wird, wenn die Ergebnisse der Ausführung der ersten Prozedur auf dem ersten Kern (107) und dem zweiten Kern (109) des ersten Prozessors (103) voneinander abweichen und das Ergebnis der Ausführung der ersten Prozedur auf dem zweiten Kern (109) des ersten Prozessors (103) und das Ergebnis der Ausführung der ersten Prozedur auf dem ersten Kern (115) des zweiten Prozessors (105) übereinstimmen; und wobei der zweite Kern (109) des ersten Prozessors (103) deaktiviert wird, wenn die Ergebnisse der Ausführung der ersten Prozedur auf dem ersten Kern (107) und dem zweiten Kern (109) des ersten Prozessors (103) voneinander abweichen und das Ergebnis der Ausführung der ersten Prozedur auf dem ersten Kern (107) des ersten Prozessors (103) und das Ergebnis der Ausführung der ersten Prozedur auf dem ersten Kern (115) des zweiten Prozessors (105) übereinstimmen.
  3. Anordnung nach einem der vorhergehenden Ansprüche; gekennzeichnet durch einen ersten Sensor und einen zweiten Sensor; wobei mindestens ein Signal des ersten Sensors zu dem ersten Kern (107) des ersten Prozessors (103) und zu dem ersten Kern (115) des zweiten Prozessors (105) geleitet wird; und wobei mindestens ein Signal des zweiten Sensors zu dem zweiten Kern (109) des ersten Prozessors (103) und zu dem ersten Kern (115) des zweiten Prozessors (105) geleitet wird.
  4. Anordnung nach dem vorhergehenden Anspruch; dadurch gekennzeichnet, dass der erste Sensor und der zweite Sensor ausgebildet sind, dieselbe physikalische Größe messen.
  5. Anordnung nach einem der vorhergehenden Ansprüche; dadurch gekennzeichnet, dass der erste Prozessor (103) einen dritten Kern (111) aufweist; wobei der zweite Prozessor (105) einen zweiten Kern (117), einen dritten Kern (119) und eine Kontrollinstanz (121) aufweist; wobei der zweite Kern (117) und der dritte Kern (119) des zweiten Prozessors (105) sowie der dritte Kern (111) des ersten Prozessors (103) ausgebildet sind, eine zweite Prozedur auszuführen; wobei die Kontrollinstanz (121) des ersten Prozessors (105) ausgebildet ist, die folgenden Schritte auszuführen: - Vergleichen eines Ergebnisses der Ausführung der zweiten Prozedur auf dem zweiten Kern (117) des zweiten Prozessors (105) mit einem Ergebnis der Ausführung der zweiten Prozedur auf dem dritten Kern (119) des zweiten Prozessors (105); und - Vergleichen des Ergebnisses der Ausführung der zweiten Prozedur auf dem zweiten Kern (117) des zweiten Prozessors (105) und des Ergebnisses der Ausführung der zweiten Prozedur auf dem dritten Kern (119) des zweiten Prozessors (105) jeweils mit einem Ergebnis der Ausführung der zweiten Prozedur auf dem dritten Kern (111) des ersten Prozessors (103), wenn die Ergebnisse der Ausführung der zweiten Prozedur auf dem zweiten Kern (117) und dem dritten Kern (119) des zweiten Prozessors (105) voneinander abweichen.
  6. Anordnung nach dem vorhergehenden Anspruch; dadurch gekennzeichnet, dass der zweite Kern (117) des zweiten Prozessors (105) deaktiviert wird, wenn die Ergebnisse der Ausführung der zweiten Prozedur auf dem zweiten Kern (117) und dem dritten Kern (119) des zweiten Prozessors (105) voneinander abweichen und das Ergebnis der Ausführung der zweiten Prozedur auf dem dritten Kern (119) des zweiten Prozessors (105) und das Ergebnis der Ausführung der zweiten Prozedur auf dem dritten Kern (111) des ersten Prozessors (103) übereinstimmen; und wobei der dritten Kern (119) des zweiten Prozessors (105) deaktiviert wird, wenn die Ergebnisse der Ausführung der zweiten Prozedur auf dem zweiten Kern (117) und dem dritten Kern (119) des zweiten Prozessors (105) voneinander abweichen und das Ergebnis der Ausführung der zweiten Prozedur auf dem zweiten Kern (117) des zweiten Prozessors (105) und das Ergebnis der Ausführung der zweiten Prozedur auf dem dritten Kern (111) des ersten Prozessors (103) übereinstimmen.
  7. Anordnung nach einem der vorhergehenden zwei Ansprüche; gekennzeichnet durch einen dritten Sensor und einen vierten Sensor; wobei mindestens ein Signal des dritten Sensors zu dem zweiten Kern (117) des zweiten Prozessors (105) und zu dem dritten Kern (111) des ersten Prozessors (103) geleitet wird; und wobei mindestens ein Signal des vierten Sensors zu dem dritten Kern (119) des zweiten Prozessors (105) und zu dem dritten Kern (111) des ersten Prozessors (103) geleitet wird.
  8. Anordnung nach dem vorhergehenden Anspruch; dadurch gekennzeichnet, dass der dritte Sensor und der vierte Sensor dieselbe physikalische Größe messen.
  9. Fahrzeug mit einer Anordnung nach einem der vorhergehenden Ansprüche.
  10. Verfahren unter Verwendung einer Anordnung nach einem der vorhergehenden Ansprüche mit den folgenden Schritten: - Ausführen einer ersten Prozedur auf dem ersten Kern (107) und dem zweiten Kern (109) des ersten Prozessors (103); - Vergleichen eines Ergebnisses der Ausführung der ersten Prozedur auf dem ersten Kern (107) des ersten Prozessors (103) mit einem Ergebnis der Ausführung der ersten Prozedur auf dem zweiten Kern (109) des ersten Prozessors (103); und - Vergleichen des Ergebnisses der Ausführung der ersten Prozedur auf dem ersten Kern (107) des ersten Prozessors (103) und des Ergebnis der Ausführung der ersten Prozedur auf dem zweiten Kern (109) des ersten Prozessors (103) jeweils mit einem Ergebnis einer Ausführung der ersten Prozedur auf dem ersten Kern (115) des zweiten Prozessors (105), wenn die Ergebnisse der Ausführung der ersten Prozedur auf dem ersten Kern (107) und dem zweiten Kern (109) des ersten Prozessors (103) voneinander abweichen.
DE102017201032.0A 2017-01-23 2017-01-23 Redundante Prozessorarchitektur Pending DE102017201032A1 (de)

Priority Applications (6)

Application Number Priority Date Filing Date Title
DE102017201032.0A DE102017201032A1 (de) 2017-01-23 2017-01-23 Redundante Prozessorarchitektur
CN201780083812.9A CN110192185B (zh) 2017-01-23 2017-12-21 冗余的处理器架构
JP2019539786A JP2020506472A (ja) 2017-01-23 2017-12-21 冗長プロセッサアーキテクチャ
PCT/EP2017/083986 WO2018134023A1 (de) 2017-01-23 2017-12-21 Redundante prozessorarchitektur
US16/479,528 US11281547B2 (en) 2017-01-23 2017-12-21 Redundant processor architecture
EP17825518.8A EP3571593A1 (de) 2017-01-23 2017-12-21 Redundante prozessorarchitektur

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102017201032.0A DE102017201032A1 (de) 2017-01-23 2017-01-23 Redundante Prozessorarchitektur

Publications (1)

Publication Number Publication Date
DE102017201032A1 true DE102017201032A1 (de) 2018-05-03

Family

ID=60935841

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017201032.0A Pending DE102017201032A1 (de) 2017-01-23 2017-01-23 Redundante Prozessorarchitektur

Country Status (6)

Country Link
US (1) US11281547B2 (de)
EP (1) EP3571593A1 (de)
JP (1) JP2020506472A (de)
CN (1) CN110192185B (de)
DE (1) DE102017201032A1 (de)
WO (1) WO2018134023A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11281547B2 (en) 2017-01-23 2022-03-22 Zf Friedrichshafen Ag Redundant processor architecture

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11106205B2 (en) * 2018-09-18 2021-08-31 Raytheon Technologies Corporation Vehicle control with functional redundancy
WO2021116921A1 (en) 2019-12-09 2021-06-17 Thales Canada Inc. Method and system for high integrity can bus traffic supervision in safety critical application
US11697433B2 (en) 2020-03-31 2023-07-11 Uatc, Llc Autonomous vehicle computing system compute architecture for assured processing
CN114043997B (zh) * 2022-01-13 2022-04-12 禾美(浙江)汽车股份有限公司 一种基于高灵敏传感器自动驾驶智能决策方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100138693A1 (en) * 2008-11-28 2010-06-03 Hitachi Automotive Systems, Ltd. Multi-Core Processing System for Vehicle Control Or An Internal Combustion Engine Controller
DE102011086530A1 (de) * 2010-11-19 2012-05-24 Continental Teves Ag & Co. Ohg Mikroprozessorsystem mit fehlertoleranter Architektur

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19631309A1 (de) * 1996-08-02 1998-02-05 Teves Gmbh Alfred Mikroprozessoranordnung für ein Fahrzeug-Regelungssystem
US6687791B2 (en) * 2002-01-07 2004-02-03 Sun Microsystems, Inc. Shared cache for data integrity operations
EP1812860B1 (de) 2004-10-25 2009-01-14 Robert Bosch Gmbh Verfahren und vorrichtung zur modusumschaltung und zum signalvergleich bei einem rechnersystem mit wenigstens zwei verarbeitungseinheiten
US7953536B2 (en) * 2005-07-29 2011-05-31 GM Global Technology Operations LLC Inertial sensor software architecture security method
US7272681B2 (en) * 2005-08-05 2007-09-18 Raytheon Company System having parallel data processors which generate redundant effector date to detect errors
US7941698B1 (en) * 2008-04-30 2011-05-10 Hewlett-Packard Development Company, L.P. Selective availability in processor systems
US7877627B1 (en) * 2008-12-18 2011-01-25 Supercon, L.L.C. Multiple redundant computer system combining fault diagnostics and majority voting with dissimilar redundancy technology
WO2014207893A1 (ja) * 2013-06-28 2014-12-31 株式会社日立製作所 演算回路及び計算機
DE102017201032A1 (de) 2017-01-23 2018-05-03 Zf Friedrichshafen Ag Redundante Prozessorarchitektur

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100138693A1 (en) * 2008-11-28 2010-06-03 Hitachi Automotive Systems, Ltd. Multi-Core Processing System for Vehicle Control Or An Internal Combustion Engine Controller
DE102011086530A1 (de) * 2010-11-19 2012-05-24 Continental Teves Ag & Co. Ohg Mikroprozessorsystem mit fehlertoleranter Architektur

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11281547B2 (en) 2017-01-23 2022-03-22 Zf Friedrichshafen Ag Redundant processor architecture

Also Published As

Publication number Publication date
WO2018134023A1 (de) 2018-07-26
CN110192185B (zh) 2023-06-23
EP3571593A1 (de) 2019-11-27
JP2020506472A (ja) 2020-02-27
CN110192185A (zh) 2019-08-30
US11281547B2 (en) 2022-03-22
US20190361764A1 (en) 2019-11-28

Similar Documents

Publication Publication Date Title
EP3571593A1 (de) Redundante prozessorarchitektur
DE102010013349B4 (de) Computersystem und Verfahren zum Vergleichen von Ausgangssignalen
DE102013113296A1 (de) Redundante Rechenarchitektur
DE19919504A1 (de) Triebwerksregler, Triebwerk und Verfahren zum Regeln eines Triebwerks
DE102019124301A1 (de) Vorrichtung und Verfahren zur Gewährleistung der Fail-Safe-Funktion eines autonomen Fahrsystems
EP2902905B1 (de) Verfahren zur Überprüfung der Abarbeitung von Software
DE102013021231A1 (de) Verfahren zum Betrieb eines Assistenzsystems eines Fahrzeugs und Fahrzeugsteuergerät
DE102011007467A1 (de) Mehrkernige integrierte Mikroprozessorschaltung mit Prüfeinrichtung, Prüfverfahren und Verwendung
WO2017032513A1 (de) Verfahren und vorrichtung zum überwachen eines zustandes einer elektronischen schaltungseinheit eines fahrzeugs
EP3557356A1 (de) Verfahren und automatisierungssystem zum sicheren automatischen betrieb einer maschine oder eines fahrzeugs
EP2182331A1 (de) Auslagerung einer Komponente mit Auswirkung auf die Sicherheitsfunktion aus dem sicherheitsrelevanten Bereich
DE102004033263B4 (de) Steuer-und Regeleinheit
DE102019219870A1 (de) Integritätsüberwachung einer Recheneinheit
DE112019007286T5 (de) Fahrzeuginterne steuerungsvorrichtung und fahrzeuginternes steuerungssystem
EP3173928B1 (de) Verfahren und vorrichtung zum überprüfen eines komponentenfehlerbaums
DE102017110154B4 (de) Verfahren zur ISO 26262 konformen Überwachung der Versorgungsspannung VCC eines integrierten Sensorschaltkreises einer Fußgängeraufpralldämpfungsvorrichtung
DE102017110155B4 (de) Verfahren zur ISO 26262 konformen Überwachung der Versorgungsspannung VCC eines integrierten Sensorschaltkreises eines Sicherheitssystems
DE102018210733A1 (de) Verfahren zum Überwachen wenigstens einer Recheneinheit
DE112017000868B4 (de) Elektronische Steuervorrichtung
DE10220811B4 (de) Verfahren und Vorrichtung zur Überwachung der Funktionsweise eines Systems
DE102017110152B4 (de) Verfahren zur ISO 26262 konformen Überwachung der Versorgungsspannung VCC eines integrierten Sensorschaltkreises innerhalb eines Sensorsystems mit einem Mikrorechner
WO2011113405A1 (de) Steuergeräteanordnung
DE102015111430B4 (de) Handhabung gleichzeitiger Störmeldungen bei redundanten Servoantrieben
DE102022207018A1 (de) Verfahren zum Fehlermanagement, Computerprogrammprodukt sowie Fahrzeug
DE102019000715A1 (de) Verfahren zum Betreiben eines Systems, welches zumindest ein elektrisches Gerät und/oder zumindest einen Sensor umfasst, sowie Vorrichtung

Legal Events

Date Code Title Description
R230 Request for early publication
R163 Identified publications notified
R012 Request for examination validly filed