EP1428120A2

EP1428120A2 - Verfahren, mikroprozessorsystem für sicherheitskritische regelungen und dessen verwendung

Info

Publication number: EP1428120A2
Application number: EP02742948A
Authority: EP
Inventors: Bernhard Giers
Original assignee: Continental Teves AG and Co OHG
Current assignee: Continental Teves AG and Co OHG
Priority date: 2001-05-16
Filing date: 2002-05-06
Publication date: 2004-06-16
Also published as: WO2002093287A3; WO2002093287A2; US7389390B2; DE10124027A1; US20060161918A1; JP2004533686A

Abstract

Beschrieben ist ein Verfahren zum Betrieb eines mit Sicherheitsfunktionen ausgestatteten Mikroprozessorsystems, welches auf einem gemeinsamen Chipträger zwei oder mehrere Prozessorkerne (1,2) und Peripherieelemente (5,7), auf die die Kerne schreibend oder lesend zugreifen können, umfasst, bei dem zwischen Algorithmen für sicherheitskritische Funktionen und Algorithmen für Komfortfunktionen unterschieden wird. Ausserdem ist ein zur Durchführung dieses Verfahrens geeignetes Mikroprozessorsystem und dessen Verwendung beschrieben, worin die Prozessorkerne über Bussysteme (3,4) mit Peripherieelementen (5,6,7,8,9,10) verbunden sind, und worin Bustreiber (19) vorgesehen sind, welche Businformationen von einem Bus in den anderen Bus übertragen können, und worin mindestens ein Adress-Vergleicher (18) vorgesehen ist.

Description

Verfahren, Mikroprozessorsystem für sicherheitskritische Regelungen und dessen Verwendung

Die Erfindung betrifft ein Verfahren gemäß Oberbegriff von Anspruch 1, ein Mikroprozessorsystem gemäß Oberbegriff von Anspruch 9 dessen Verwendung für Kraftfahrzeugsteuerungen/- regelungen.

Aus der EP 0843 853 AI ist ein Mikroprozessorsystem für sicherheitskritische Regelungssysteme bekannt, das zwei synchron betriebene Zentraleinheiten oder CPU-Kerne enthält, die über zwei getrennte Bussysteme auf einen auf dem gleichen Chip integrierte Peripherieelemente, wie Speicher und Ein-/Ausgabebausteine, zugreifen können. Das beschriebene Mikroprozessorsystem wird insbesondere für sicherheitskritische Steuer- und Regelsysteme in Fahrzeugen angewendet, beispielsweise zur aktiven oder durch die Bremsfunktion aktivierten Regelung des an den Rädern anliegenden Bremsdrucks, wie z.B. in Gierraten-Regelungssystemen (ESP, TCS) , Blok- kierschutzregelungen bzw. Antiblockiersystemen (ABS) und Antriebsschlupfregelungssystemen (ASR,TCS, etc.). Durch die Verdopplung des Prozessorkerns, des Bussystems und zumindest zum Teil auch der Peripherieelemente können Verarbeitungsfehler bei einem der beiden Prozessoren entweder durch den zweiten Prozessor überwacht werden oder es wird durch eine Einrichtung geprüft, ob das Ergebnis eines Arbeitsschrittes bei beiden Prozessoren übereinstimmt. Dieses Verfahren ermöglicht eine drastische Erhöhung der Fehlererkennungsrate, da gleichzeitig in beiden Prozessorsträngen auftretende Fehler eine vergleichsweise geringe Wahrscheinlichkeit haben. Wurde ein Fehler erkannt, können geeignete Maßnahmen, wie z.B. die Abschaltung cles ^'Regelsystems oder die Durchführung eines Notprogramms (Trap/Interrupt) oder ein Reset, getroffen werden, wodurch die Funktionssicherheit eines Bremssysteme erhöht wird. Die Peripherieelemente, welche an die beiden Bussysteme angeschlossen sind, umfassen in der Regel Festwert- (ROM, OTP, Flash) und Schreib-Lese-Speicher (RAM) sowie an Eingabe- und an Ausgabeeinheiten oder weitere Bussysteme, welche über Bustreiber angeschlossen sind. Die Bussysteme werden untereinander durch Treiberstufen miteinander verbunden bzw. gekoppelt, so daß die Prozessorkerne auch Daten in das jeweils andere Bussystems einschreiben bzw. diese lesen können. Der in der EP 0843 853 AI beschriebene Aufbau des Mikroprozessorsystems ist nicht vollredundant bezüglich des Speichers. Zumindest ein Teil des Speichers, welcher an einem der beiden Busse angebunden ist, wird virtuell durch einen Hardware-Vergleicher nachgebildet. Der nachgebildete Speicher enthält dann nicht das gleiche Datenwort, wie der erste Speicher an der selben Adresse, sondern eine mit dem vollständigen Datenwort verbundene Paritätsinformation, die beim Speichern aus dem zu schreibenden Datenwort errechnet bzw. gebildet wurde. Dies hat den Vorteil, daß praktisch ohne Verlust an Sicherheit ein Großteil des aus Redundanzgründen vorhandenen Speichers eingespart werden kann.

Aufgabe der vorliegenden Erfindung ist es nun, daß vorstehende Mikroprozessorsystem in der Weise weiterzubilden, daß zwischen bezüglich der Sicherheit unkritischen Daten und/oder Programmen und kritischen Daten und/oder Programmen unterschieden werden kann.

Der Erfindung liegt zudem die Aufgabe zugrunde, ein Mikroprozessorsystem bereitzustellen, daß bezüglich der kritischen Daten und/oder Programme weiterhin eine hohe Fehlererkennungsrate wie bei bekannten Systemen erreicht wird, sσ" daß die für sicherheitskritische Anwendungen geforderte Betriebssicherheit eingehalten wird, und zusätzlich die Möglichkeit zum Betrieb von Programmen bietet, die den hohen Sicherheitsanforderungen der sicherheitskritischen Programme nicht entsprechen, ohne daß der Ablauf der sicherheitskritischen Programme durch die zusätzlichen Programme gestört wird. Gleichzeitig soll das Mikroprozessorsystem einen vergleichsweise geringen Herstellungsaufwand erfordern.

Diese Aufgabe wird durch das Verfahren gemäß Anspruch 1 und das Mikroprozessorsystem gemäß Anspruch 9 gelöst.

Das Mikroprozessorsystem umfaßt zwei oder mehrere Mikrorechner. Von diesen Mikrorechner ist mindestens einer eine vollständige Einheit aus Zentraleinheit und Peripherie-Elementen, bestehend aus Festwert-, Schreib-Lese-Speicher und Ein- gangs-/Ausgangs-Einheit . Unter dem Begriff "vollständige Einheit" wird verstanden, daß der Mikrorechner die für seine Grundfunktionen erforderlichen Bausteine aufweist, was nicht ausschließt, daß ein Teil der Peripherie, wie etwa zusätzliche Speicherbausteine außerhalb des Chips bzw. des Chipgehäuses angeordnet sind. Diese außerhalb angeordneten Chips können dann über weitere externe Bussysteme oder über nach außen geführte lokale Busse angesteuert werden.

Die Peripherieelemente, die Prozessorkerne und die Bussysteme der vorhandenen mindestens zwei Mikrorechner sind auf einem gemeinsamen Chipträger integriert, welcher vorzugsweise ein Halbleitersubstrat ist. Wie bereits gesagt ist es möglich und daher bevorzugt, daß der Chipträger, auf den die Prozessorkerne integriert sind, integrierte Peripherieelemente umfaßt.

Es kann zweckmäßig sein, daß der an ein zweites Bussystem angeschlossene Mikrorechner in bestimmten Adreßbereichen nicht genau mit dem ersten Mikrorechner übereinstimmt, beispielsweise in dem bestimmte Speicherbausteine in einem Mi- krorechner fehlen. Es kann auch im einem der beiden Mikrorechner anstelle eines Festwert- und/oder Schreib-Lese- Speichers ein Speicher mit Speicherplätzen für Prüfdaten vorhanden sein. Die beide Bussysteme sind unter anderem für den Austausch von Daten in den vorstehenden Adreßbereichen über koppelnde Treiberstufen miteinander verbunden. Auf die überwiegend vollständige doppelte oder mehrfache Ausführung der Peripherie, insbesondere des Speichers, kann ein hohes Maß an Redundanz erzeugt werden.

Besonders bevorzugt ist jedoch ein Mikroprozessorsystem, bei dem der Speicher, insbesondere der Schreib-/Lesespeicher und der Festwertspeicher, zumindest in bestimmten Adreßbereichen vollredundant ausgeführt ist.

Weitere bevorzugte Ausführungsformen ergeben sich aus den Unteransprüchen und der nachfolgenden Figurenbeschreibung.

Es zeigt

Fig. 1 in schematischer Darstellung ein Mikroprozessorsystem nach der Erfindung.

In Fig. 1 ist ein Ein-Chip-Mikrocomputersystem dargestellt, das zwei synchron betriebene Zentraleinheiten 1,2, die auch als Rechner- oder Prozessorkerne oder als CPU's bezeichnet werden und separate Bussysteme umfaßt. Die Zentraleinheit 1 ist durch einen gemeinsamen oder mehrere Festwertspeicher 5, 7 (ROM) , durch einen Schreib-Lese-Speicher 6 (RAM) und durch nichtgezeichnete Eingabe- oder Ausgangsstufen (z.B. für Peripherie oder externe weitere Bussysteme) zu einem vollständigen Mikrocomputer MCI ergänzt. An das zweite Bussystem 4 sind der Zentraleinheit 2 sind weitere Festwert-Speicher 8,9 und Schreib-/Lesespeicher 10 angebunden, die den Speichern des ersten Mikrocomputers MCI entweder nur logisch oder auch physikalisch genau entsprechen (vollständige Redundanz) . Die Elemente an Bus 4 bilden dann den zweiten Mikrocomputer MC2.

Die Bussysteme, welche die Rechnerkerne mit dem Speicher und den Ein-/Ausgabebereichen verbinden, umfassen bevorzugt jeweils einen Steuerbus, einen Datenbus und einen Adreß-Bus . Aus Gründen der Übersicht ist in Fig. 1 lediglich der Adreßbus 3 für Kern 1 und Adreßbus 4 für Kern 2 gezeichnet. Bekanntlich werden auf dem Datenbus die Daten von den Speichern zum Mikroprozessor (Lesen) und von diesem später wieder in den Speicher übertragen (Schreiben) , wobei die momentan aktive Speicheradresse auf dem Adreßbus anliegt. Zur Kontrolle der am Adreßbus 4 anliegenden Adresse wird der Bus 4 einer Adreßüberwachungseinrichtung 18 zugeführt, welche bevorzugt redundant ausgeführt ist. Liegt die zu kontrollierende Adresse innerhalb eines zulässigen Adreßbereichs, wird ein Signal übe die Verbindung 13 ausgegeben. Die Ausgabe des Signals über Verbindung 13 kann davon abhängig gemacht werden, ob ein Schreibvorgang vorliegt (Leitung 14) . Schreib- oder Lesefehler werden mittels den Vergleichern 16 und 17 festgestellt, die einen Vergleich der Daten auf den beiden Bussysteme von MCI und MC2 ermöglichen. Leitung 13 ist einem Überbrückungsmittel 19, insbesondere Treiber, zugeführt, welches in bestimmten Adreßräumen, z.B. für die Komfort-Algorithmen, die Nutzung von nichtredundanten Speicherdaten ermöglicht.

Im Gegensatz zu bekannten Systemen ist bei dem erfindungsge- mäßen_^Mikroprozessorsystem keine Unterscheidung in einen aktiven und einen passiven Rechner möglich. Die beiden Rechnerkerne oder Zentraleinheiten 1,2 sind vielmehr gleichberechtigt. Erfindungsgemäß wird zwischen sicherheitskritischen Daten oder Algorithmen und Komfort-Daten oder Komfort- Algorithmen unterschieden. Vorzugsweise erhalten die Rechnerkerne bei der Verarbeitung der Sicherheitsalgorithmen die gleichen Eingangsinformationen und arbeiten den gleichen Algorithmus (Programm, Unterprogramm, Task) ab. Sie verarbeiten insbesondere vollredundant die gemeinsam gelesenen Daten. Während des Lesens oder Schreibens von Daten, welche einem Sicherheitsalgorithmus zuzuordnen sind, werden die Eingangs- und die Ausgangssignale der Rechner 1,2 bevorzugt mit den Vergleichern in den weiter unten beschriebenen Vergleichern 16 und 17 auf Übereinstimmung geprüft, wobei die zu vergleichenden Signale am Datenbus des jeweiligen Rechners anliegen.

Vorzugsweise ist jedem Rechnerkern ein separater Datenbus zugeordnet. Mit den Vergleichern 16 und 17, welche insbesondere durch einfache logische Bauelemente realisiert sind, werden die auf den Bussen liegenden Daten miteinander bitweise verglichen. Liegt keine Identität der Daten vor kann eine System-Abschaltung eingeleitet oder ein geeignetes Signal zur Fehlerbehandlung generiert werden.

Bei den Vergleichern 16 und 17 handelt es sich insbesondere um Binär-Vergleicher, die bevorzugt wie die Überbrückungs- einrichtung redundant ausgeführt sind. Bei Nichtübereinstimmung der auf dem Bus anliegenden Werte, insbesondere Daten, oder bei Fehlern erzeugen diese vorzugsweise Abschaltsignale oder andere geeignete Signale zur Fehlerbehandlung.

Die Überbrückungseinrichtung 19 dient zur Übertragung von Businformationen von einem Bus in den anderen Bus.

Bei Systemen mit mehreren Prozessorkerne ermöglicht die Einrichtung 19 dem zweiten Kern Zugriff auf Daten, die nicht innerhalb des dem zweiten Kern zugeordneten möglichen Adreß- raum liegen. Zumindest bei der Abarbeitung der Sicherheitsalgorithmen sind die Ausgangssignale beider Zentraleinheiten gleichberechtigt, d.h. eine Ansteuerung der Peripherieelemente kann auch durch nur eine der beiden Zentraleinheiten erfolgen.

In der Fig. 1 nicht dargestellt sind die Ein-/Ausgabe- einrichtungen der Peripherieelemente, an die bei einem Kraftfahrzeugregelungssystem z. B. die Radsensoren, deren Ausgangssignale die wichtigsten Eingangsgrößen des Regelungssystems sind, angeschlossen werden. Dabei ist es bevorzugt, die Sensorsignal-Zuführung auf die beiden Bussysteme 3,4 zu verteilen. Die Signalzuführung kann aber auch redundant ausgeführt sein, nämlich durch Anschluß der Sensorsignale an beide Bussysteme 3,4.

In einer ersten bevorzugten Ausführungsform ist der Speicher des Mikroprozessorsystems nach der Erfindung, insbesondere der Schreib/-Lese-Speicher, vollredundant ausgeführt, d.h. es existiert für jedes Datenwort des Speichers des ersten Prozessors 2 ein zugeordnetes gleich langes Datenwort des zweiten Prozessors 2.

In einer zweiten bevorzugten Ausführungsform der Mikroprozessoranordnung werden zur Fehlererkennung beim Lesen und Schreiben der gespeicherten und abzuspeichernden Daten Prüfdaten bzw. Paritätsbits erzeugt, welche in einem zweiten Speicher abgelegt werden. Dieses Fehlererkennungsverfahren ist in der EP 0 843 853 AI beschrieben.

Es ist aber auch möglich, daß einige oder alle Datenwörter im zweiten Speicher Paritätsinformationen sind, die an Stelle des vollständigen Datenwortes gespeichert sind. Nach diesem Verfahren ist beispielsweise zu jeder Speicherzelle des Festwert- und/oder des Schreib-Lese-Speichers ei- nes ersten Rechners MCI unter der gleichen Adresse in einem Paritätsspeicher des zweiten Rechners MC2, der nur Speicherplätze für die Prüfdaten enthält, die Redundanzinformation abgelegt. Es kann dabei vorgesehene sein, daß für den Festwertspeicher die Prüf- bzw. Redundanzinformation bereits während der Programmierung festgelegt wird. Bei den Schreib- Lese-Speichern wird diese Prüf- bzw. Redundanzinformation beim Schreibvorgang, insbesondere mittels logischer Bauelemente, generiert. Analog zu dem Lesevorgang der Daten und Befehle wird die Prüf- bzw. Redundanzinformation über die Treiberstufe 16 oder 17, die die beiden Bussysteme 3,4 koppelt, übertragen. Beim schreibenden Zugriff werden demnach die zu schreibenden Daten um eine redundante Information erweitert, die mit den Daten gespeichert werden. Bei einem lesenden Zugriff werden diese Daten und die zurückgelesene redundante Information dann durch in den Bustreibern vorgesehene Vergleicher auf Gültigkeit überprüft.

Um Fehler bei der Übertragung von Informationen über das Bussystem zu erkennen, ist dieses redundant in Form der Bussysteme 3 und 4 ausgelegt. Die von den beiden Prozessorker-- nen 1,2 abgegebenen, auf den Bussystemen anstehenden Signale werden durch Vergleicher auf Übereinstimmung überwacht.

Die Vergleicher lassen sich bevorzugt mittels logischer Bauelemente, wie z.B. in bekannter Weise mit Hilfe von Exklu- siv-ODER-Gattern, realisieren.

Der Adreß-Vergleicher 18, welcher bevorzugt redundant ausgeführt ist, vergleicht die Adressen eines Adreßbusses mit einem oder mehreren vorgegebenen gültigen bzw. ungültigen Adreßbereichen. Bevorzugt besteht dieser aus zwei binären Komparatoren, die den Zugriff auf Elemente innerhalb des Adreßbusses 4 überwacht und feststellt, ob der Zugriff auf einem bestimmten Speicherbereich erfolgt oder außerhalb dieses Bereichs liegt.

Mit dem zuvor beschriebenen Mikroprozessorsystem ist eine Unterscheidung zwischen kritischen, sicherheitsrelevanten Algorithmen und Komfort-Algorithmen, die zur Bearbeitung von nicht sicherheitskritischen Funktionen dienen, möglich. Wird beispielsweise das Mikroprozessorsystem in einem Steuergerät einer elektrohydraulischen Bremsanlage (EHB) oder elektrome- chanischen Bremsanlage (EMB) eingesetzt, würde man einen Algorithmus, der im Zusammenhang mit einer gewöhnlichen Bremsung benötigt wird, als sicherheitskritisch einstufen. Andere Algorithmen, die z.B. zur Begrenzung der Geschwindigkeit des Fahrzeugs (Speedlimiter) oder zur Bestimmung des Reifendrucks aus den ABS-Raddrehzahldaten eingesetzt werden, können dagegen als Komfort-Algorithmen angesehen werden, da eine Fehlfunktion bei einem Algorithmus der letztgenannten Art keine Gefährdung der Insassen oder anderer Verkehrsteilnehmer nach sich ziehen würde.

Die Erfindung bietet darüberhinhaus den Vorteil, daß Fehler, die bei der Abarbeitung von Komfortalgorithmen entstehen, den Ablauf von Algorithmen für kritische Funktionen nicht unterbrechen, ungünstig beeinflussen oder gar beenden.

Durch die erfindungsgemäße Kopplung des Treibers 19 mit dem Adreß-Vergleichers 18, insbesondere über eine logische Leitung 13, lassen sich beispielsweise durch einen Komfort- Algorithmus ausgelöste fehlerhafte Schreibzugriffe auf die Peripherie, insbesondere den Schreib-Lesespeicher, identifizieren und die Originaldaten wiederherstellen. Vorzugsweise werden Schreibzugriffe auf den Schreib- /Lesespeicher, die eine Folge von gerade bearbeiteten Komfort-Algorithmen (siehe Programm-Bereich 7) sind, immer nur in einen der beiden aus Redundanzgründen vorhandenen Speicher geschrieben, beispielsweise in den RAM-Bereich 12. Hierzu wird das Überbrückungselement 19 so geschaltet, daß für die dem Komfort-Algorithmus zugeordneten Adreßbereiche Lesezugriffe immer über das Element 19 aus einem der beiden Speicher 6 und 10 in beide Bussysteme 3 und 4 geliefert werden. Bevorzugt ist daher eine Überwachungseinrichtung vorgesehen, die in Abhängigkeit davon, ob gelesen oder geschrieben wird, das Überbrückungselement 19 in geeigneter Weise umschaltet. Auf diese Weise können Schreibzugriffe nur durch einen Mikroprozessor ausgeführt werden. Es ist ferner möglich, die zu schreibenden Daten zuvor auf Übereinstimmung zu überprüfen.

Selbstverständlich kann es wünschenswert sein, daß sowohl Komfort-Algorithmen, als auch Sicherheits-Algorithmen auf gemeinsame Adreß-Bereiche zugreifen können. Dies ist entweder bei gemeinsam benutzten Ein-Ausgabe/Einheiten, bei gemeinsam benötigten Unterprogrammen (z.B. Bibliotheksroutinen) oder zum Zwecke des Datenaustauschs sinnvoll. Hierzu können sich die im Adreß-Vergleicher festgelegten Adreßbereiche zumindest teilweise überlappen.

In einer weiteren bevorzugten Ausführungsform werden Schreibzugriffe außerhalb des oder der durch die Einheit 18 vorgegebenen zulässigen Adreßbereichs bzw. der Adreßbereiche nur in einen der beiden Speicher 6 oder 10 geschrieben (nichtredundantes Schreiben) . Hierdurch kann dann der ggf. überschriebene Wert immer rekonstruiert werden. Dies ist möglich, da nach der Erfindung wirksam verhindert werden kann, daß der Datenwert im zweiten, zur Sicherheit vorhandenen, Speicher überschrieben wird, indem zuvor festgelegt wird, welcher physikalische Speicher-Bereich des Schreib/- Lese-Speichers als geschützter Bereich definiert ist.

In Adreß-Vergleicher 18 können die Werte, die die vorgegebenen Adreßbereiche festlegen, entweder fest vorgegeben oder veränderbar festgelegt sein, im letzteren Fall beispielsweise mittels eines wiederbeschreibbaren Speichers (z.B. Flip- Flop), welcher in der Einheit 18 untergebracht ist. Es ist besonders zweckmäßig, wenn die durch den Adreß-Vergleicher 18 vorgegebenen Adreßbereiche nicht variabel, sondern fest vorgeben sind, insbesondere durch «eine Anordnung, welche eine fest verdrahtete Dekodierung des Adreßbusses 4 vornimmt.

Claims

Patentansprüche

1. Verfahren zum Betrieb eines mit Sicherheitsfunktionen ausgestatten Mikroprozessorsystems, insbesondere nach mindestens einem der Anspruch 9 bis 15, welches auf einem gemeinsamen Chipträger zwei oder mehrere Prozessorkerne (1,2) umfaßt und das Mikroprozessorsystem Peripherieelemente (5,7) umfaßt, auf die die Kerne schreibend oder lesend zugreifen können, dadurch gekennzeichnet, daß zwischen Algorithmen für sicherheitskritische Funktionen und Algorithmen für Komfortfunktionen unterschieden wird.

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß nur dann, wenn ein Sicherheitsalgorithmus den Programmablauf des Systems steuert, Zugriffe auf Adreßbereiche der Peripherieelemente, die dem Sicherheitsalgorithmus zugeteilt sind, zugegriffen werden kann und nur dann, wenn Komfortalgorithmen den Programmablauf des Systems steuern, Zugriffe auf Bereiche der Peripherie zugelassen sind, die den Komfortalgorithmen zugeteilt sind.

3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß die Peripherieelemente Festwertspeicher

(5,7,8,9) umfassen, in denen neben Algorithmen für sicherheitskritische Funktionen auch Algorithmen für Funktionen, die im wesentlichen dem Komfort dienen, gespeichert sind.

4. Verfahren nach mindestens einem der vorherigen Ansprüche, dadjirch gekennzeichnet, daß die Peripheri-eelemen-fce** zwei oder mehrere Schreib-/Lesespeicher (6,10) umfassen, in denen in kritischen Datenbereichen (11) eine Speicherung von ausschließlich sicherheitskritischen Daten und in -unkritische Bereichen (12) eine Speicherung von Korn- fort-Daten erfolgt, wobei diese Datenbereiche sich entweder in einem einzelnen Chip-Bereich oder Baustein der Schreib-Lesespeichers befinden oder auf mehrere Chip- Bereiche oder Bausteine der Schreib-Lesespeicher untergebracht sind.

5. Verfahren nach mindestens einem der vorherigen Ansprüche, .dadurch gekennzeichnet, daß in zwei oder mehreren ersten separaten Chip-Bereichen oder Bausteinen (20) von zwei oder mehreren Festwertspeichern (5 und 8) oder entsprechenden Teilbereichen von jeweils zusammenhängenden gemeinsamen Festwertspeichern (5,7 und 8,9) ausschließlich kritische Algorithmen gespeichert sind und in zwei oder mehreren weiteren separaten Chip-Bereichen oder Bausteinen (21) des Festwertspeichers (7 und 9) oder in entsprechenden weiteren Teilbereichen von jeweils zusammenhängenden gemeinsamen Festwertspeichern (5,7 und 8,9) ausschließlich Komfort-Algorithmen gespeichert sind.

6. Verfahren nach mindestens einem der vorherigen Ansprüche, dadurch gekennzeichnet, daß die sicherheitskritischen Funktionen Ein-/Ausgabeoperationen für eine erste Sorte Vorrichtungen, welche für Sicherheitsfunktionen vorgesehen sind, erzeugen und die Komfortfunktionen Ein- /Ausgabeoperationen für eine zweite Sorte Vorrichtungen, welche für Komfortfunktionen vorgesehen sind, erzeugen.

7. Verfahren nach mindestens einem der vorherigen Ansprüche, dadurch gekennzeichnet, daß bei einem fehlerhaften Schreibzugriff eines Komfortalgorithmusses der fehlerhafte Speicherzugriff identifiziert wird und der fehlerhafte Datenwert korrigiert wird.

8. Verfahren nach mindestens einem der vorherigen Ansprüche, dadurch gekennzeichnet, daß in einem oder mehreren vorgegebenen Adreßbereichen bei einer Leseoperation kein Vergleich von auf den Datenbussen (3,4) liegenden Datenvorgenommen wird.

9. Mikroprozessorsystem für zumindest zum Teil sicherheitskritische Regelungen, mit mindestens zwei, insbesondere synchron betriebenen, Prozessorkernen (1,2), welche über mindestens zwei den Kernen zugeordneten Bussysteme (3,4) mit Peripherieelementen (5,6,7,8,9,10) verbunden sind, und mit einem oder mehreren Bustreibern (19) , welche Businformationen von einem Bus in den anderen Bus übertragen können, gekennzeichnet, durch mindestens einen Adreß-Vergleicher (18), welcher die Adressen zumindest eines Prozessorkerns mit einem oder mehreren festgelegten Adreßbereichen vergleicht.

10. Mikroprozessorsystem nach Anspruch 9, gekennzeichnet, durch mindestens einen Daten-Vergleicher (16,17), welcher einen Schreibfehler in den Peripherieelementen durch Vergleich von Daten des ersten Busses mit den Daten eines weiteren Busses erkennt.

11. Mikroprozessorsystem nach Anspruch 10, dadurch gekennzeichnet, daß eine Überbrückungseinrichtung (19) vorgesehen ist, die vom Adreß-Vergleicher (18) über eine Verbindung (13) angesteuert werden kann und in Abhängigkeit vom Ergebnis des Adreß-Vergleichs einen oder mehrere Daten-Vergleicher (16,17) deaktiviert oder überbrückt.

12. MiKroprozessorsystem nach mindestens einem der vorherigen Ansprüche, dadurch gekennzeichnet, daß die Bussysteme im wesentlichen gleich aufgebaut sind.

13. Mikroprozessorsystem nach mindestens einem der vorherigen Ansprüche, dadurch gekennzeichnet, daß die Peripherieelemente Schreib-Lesespeicher (10), Festwertspeicher (5,7,8,9) und Ein-/Ausgabe-Elemente (10) und ggf. außerhalb des Chips angeschlossene weitere Peripherieelemente umfassen.

14. Mikroprozessorsystem nach mindestens einem der vorherigen Ansprüche, dadurch gekennzeichnet, daß der Adreß- Vergleicher logische Bauelemente, insbesondere binäre Komparatoren umfaßt .

15. Mikroprozessorsystem nach mindestens einem der vorherigen Ansprüche, dadurch gekennzeichnet, daß mindestens eines oder alle der Elemente Adreß-Vergleicher (18), Vergleicher (16,17) und Treiber (19), redundant ausgeführt ist.

16. Verwendung des Mikroprozessorsystems nach Anspruch 9 für Kraftfahrzeugsteuerungen/-regelungen, insbesondere für die gemeinsame Bremsensteuerung/Regelung und/oder auch der Fahrdynamik und von nicht sicherheitskritische Komfortfunktionen des Kraftfahrzeugs.