EP3571593A1 - Redundant processor architecture - Google Patents

Redundant processor architecture

Info

Publication number
EP3571593A1
EP3571593A1 EP17825518.8A EP17825518A EP3571593A1 EP 3571593 A1 EP3571593 A1 EP 3571593A1 EP 17825518 A EP17825518 A EP 17825518A EP 3571593 A1 EP3571593 A1 EP 3571593A1
Authority
EP
European Patent Office
Prior art keywords
core
processor
procedure
result
execution
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP17825518.8A
Other languages
German (de)
French (fr)
Inventor
Bülent Sari
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZF Friedrichshafen AG
Original Assignee
ZF Friedrichshafen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZF Friedrichshafen AG filed Critical ZF Friedrichshafen AG
Publication of EP3571593A1 publication Critical patent/EP3571593A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/181Eliminating the failing redundant component
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0721Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment within a central processing unit [CPU]
    • G06F11/0724Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment within a central processing unit [CPU] in a multiprocessor or a multi-core unit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/165Error detection by comparing the output of redundant processing systems with continued operation after detection of the error
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/183Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
    • G06F11/184Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality

Definitions

  • the invention relates to an arrangement according to the preamble of claim 1 and a method according to claim 10.
  • Prior art multi-processor architectures are limited in their ability to meet future requirements imposed by autonomous vehicles. In particular, it is difficult to meet the requirements of the ISO 26262-1 standard if ASIL-D specifications are to be implemented.
  • the invention has for its object to provide a fault-tolerant system, bypassing the known from the prior art solutions inherent disadvantages. In particular, the availability of the system should be increased.
  • the arrangement comprises a first processor and a second processor.
  • a processor is an electronic circuit that is configured to read and execute one or more instructions - a procedure.
  • a processor may include portions that are capable of executing one or more instructions. These parts are called cores.
  • the first processor has a first core, a second core, and a second core
  • the second processor has a first core.
  • the first core and the second core of the first processor and the first core of the second processor are configured to execute a first procedure. This means that the first procedure can be performed in triplicate on the first core and the second core of the first processor as well as on the first core of the second processor.
  • a control entity may be formed as a separate core or implemented in one of said cores. It is defined as a means of performing steps to compare results.
  • control entity of the first processor is designed to carry out the following steps:
  • the deviation of the results of the execution of the first procedure on the first core and the second core of the first processor is determined by comparing the result of the first procedure. Result of the execution of the first procedure on the first core of the first processor with the result of the execution of the first procedure on the second core of the first processor detected.
  • the step of comparing the result of executing the first procedure on the first core of the first processor and the result of executing the first procedure on the second core of the first processor each implies the result of executing the first procedure on the first core of the second processor in that the first procedure is performed on the first core of the second processor.
  • the result of executing a procedure is generally any value that correlates with the execution of the procedure.
  • it may be the output value of a function if the procedure is a function.
  • the invention provides triple redundancy in the execution of the first procedure. If one of the three named cores executing the first procedure fails or is faulty, two further cores remain available for redundant execution. A shutdown of the entire system is not required.
  • the first core of the first processor is deactivated when the results of the execution of the first procedure on the first core and the second core of the first processor differ and the result of executing the first procedure on the second core of the first processor and match the result of the execution of the first procedure on the first core of the second processor.
  • the second core of the first processor is further deactivated when the results of the execution of the first procedure on the first core and the second core of the first processor differ and the result of the execution of the first procedure on the first core of the first processor and the result of Execution of the first procedure on the first core of the second processor match.
  • the deviation of the results of the execution of the first procedure on the first core and the second core of the first processor indicates that in the first core or the second core of the first processor has an error.
  • the defective core of the first processor can be identified and deactivated accordingly.
  • a second sensor is part of the arrangement in a preferred development. At least one signal from the first sensor is routed to both the first core of the first processor and the first core of the second processor. Accordingly, at least one signal of the second sensor is directed to the second core of the first processor and to the first core of the second processor.
  • the signals preferably serve as input data of the first procedure executed on the respective processor. If the first core of the first processor or the second core of the first processor is deactivated due to an error, the corresponding sensor signal is the further development of the first core of the second processor available. This allows the first core of the second processor to take over the tasks of the disabled processor core.
  • first sensor and the second sensor are redundant. This means that the first sensor and the second sensor are designed to measure the same physical quantity.
  • the arrangement is preferably developed symmetrically.
  • the first processor and the second processor have the same structure.
  • the first processor and the second processor each have a first core, a second core, a third core, and a control entity.
  • the second core and the third core of the second processor and the third core of the first processor are configured to execute a second procedure.
  • the control entity of the first processor is designed, analogously to the control entity of the second processor, to carry out the following steps:
  • the second core of the second processor is deactivated if the results of the execution of the second procedure on the second core and the third core of the second processor differ from each other and Result of execution of the second procedure on the third core of the second processor and the result of execution of the second procedure on the third core of the first processor match. If the results of the execution of the second procedure on the second core and the third core of the second processor differ and the result of the execution of the second procedure on the second core of the second processor and the result of the execution of the second procedure on the third core of the first one Processor match.
  • the second processor receives input signals from a third sensor and a fourth sensor. At least one signal from the third sensor is passed to the second core of the second processor and to the third core of the first processor. Accordingly, at least one signal of the fourth sensor is routed to the third core of the second processor and to the third core of the first processor.
  • the third sensor and the fourth sensor are designed to be redundant in a preferred embodiment.
  • the third sensor and the fourth sensor thus measure the same physical size according to further development.
  • the arrangement is preferably developed as part of a vehicle, for example a motor vehicle.
  • the first processor may be developed as part of a transmission control unit and the second processor for controlling power electronics.
  • a vehicle with the arrangement according to the invention enables a reliable implementation of functions for driver assistance systems or for autonomous driving.
  • a method according to the invention provides for the following steps to be carried out using the arrangement according to the invention or a preferred development:
  • This method is preferably developed further with method steps which, as described above, can be carried out by preferred developments of the arrangement according to the invention.
  • FIG. 1 is a processor architecture.
  • a multiprocessor system 101 according to FIG. 1 has a first processor 103 and a second processor 105. Both processors 103, 105 have multiple cores. Thus, the first processor 103 has a first core 107, a second core 109, a third core 1 1 1 and a control entity 1 13. Correspondingly, the second processor 105 has a first core 1 15, a second core 1 17, a third core 1 19 and a control entity 121.
  • a first sensor signal 123 is applied to the first core 107 of the first processor 103 and to the first core 1 15 of the second processor 105.
  • a second sensor signal 125 is applied to the second core 109 of the first processor 103 and to the first core 1 15 of the second processor 105.
  • the first sensor signal 123 and the second sensor signal 125 are based on a redundant measurement of a single physical quantity by means of two different sensors.
  • a third sensor signal 127 is applied analogously thereto to the second core 1 17 of the second processor and to the third core 1 1 1 of the first processor 103.
  • a fourth sensor signal 129 executed redundantly thereto is applied to the third core 1 19 of the second processor 105 and to the third core 1 1 1 of the first processor 103. Two redundant sensors measuring the same physical quantity provide the third sensor signal 127 and the fourth sensor signal 129.
  • the first core 107 and the second core 109 of the first processor and the first core 15 of the second processor 105 serve to execute a first procedure with triple redundancy.
  • the first processor controller 13 monitors the execution of the first procedure by the first core 107 and the second core 109 of the first processor 103 and compares their results.
  • control entity 1 13 of the first processor 103 adds the first core 1 15 of the second processor 105 to determine whether the first core 107 or the second core 109 of the first processor 103 malfunctions. The faulty core 107, 109 is deactivated. After that there is still a double redundancy to execute the first procedure.
  • the execution of the second procedure by the second core 1 17 and the third core 1 19 of the second processor 105 and by the third core 1 1 1 of the first processor 103 is analogous to the embodiment of the first procedure described above.
  • a first watchdog 131 is provided for monitoring the first processor 103. Accordingly, the second processor 105 is monitored by a second watchdog 133.
  • the watchdogs 131, 133 it is possible to intercept the total failure of a single processor 103, 105.

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)

Abstract

The invention relates to an assembly (101) with a first processor (103) and a second processor (103); wherein the first processor (103) has a first core (107), a second core (109), and a control entity (113); the second processor (105) has a first core (115); and the first core (107) and the second core (109) of the first processor (103) and the first core (115) of the second processor (105) are designed to carry out a first procedure. The control entity (113) of the first processor (103) is designed to carry out the following steps: comparing the result of carrying out the first procedure on the first core (107) of the first processor (103) with the result of carrying out the first procedure on the second core (109) of the first processor (103); and comparing the result of carrying out the first procedure on the first core (107) of the first processor (103) and the result of carrying out the first procedure on the second core (109) of the first processor (103) with the result of carrying out the first procedure on the first core (115) of the second processor (105) if the results of carrying out the first procedure on the first core (107) and the second core (109) of the first processor (103) deviate from each other.

Description

Redundante Prozessorarchitektur  Redundant processor architecture
Die Erfindung betrifft eine Anordnung nach dem Oberbegriff von Anspruch 1 und ein Verfahren nach Anspruch 10. The invention relates to an arrangement according to the preamble of claim 1 and a method according to claim 10.
Aus dem Stand der Technik bekannte Multiprozessorarchitekturen sind nur eingeschränkt geeignet, zukünftige Anforderungen zu erfüllen, die durch autonom fahrende Fahrzeuge gestellt werden. Insbesondere ist es schwierig, die Anforderungen der Norm ISO 26262-1 zu erfüllen, wenn ASIL-D Spezifikationen implementiert werden soll. Prior art multi-processor architectures are limited in their ability to meet future requirements imposed by autonomous vehicles. In particular, it is difficult to meet the requirements of the ISO 26262-1 standard if ASIL-D specifications are to be implemented.
Eine gängige Lösung zur Implementierung eines betriebssicheren Systems besteht darin, die Komponenten des Systems zu überwachen und im Falle eines Fehlers zu deaktivieren. Allerdings ist es nicht möglich, Komponenten zu deaktivieren, die sicherheitskritische Funktionen ausführen. Systeme mit sicherheitskritischen Funktionen müssen fehlertolerant sein und sicherstellen, dass im Falle eines Fehlers die sicherheitskritischen Funktionen weiterhin ausgeführt werden können. Aus dem Stand der Technik bekannte fehlertolerante Systeme sind beschrieben in C. Temple und A. Vilela:"Fehlertolerante Systeme im Fahrzeugbau- von Fail Safe zu Fail Operation", Elektroniknet, Juli 2014. One common solution to implementing a fail-safe system is to monitor the components of the system and disable them in the event of a failure. However, it is not possible to disable components that perform safety-critical functions. Systems with safety-critical functions must be fault-tolerant and must ensure that safety-critical functions can continue to be performed in the event of a fault. Fault-tolerant systems known in the art are described in C. Temple and A. Vilela: "Fail-Safe Vehicle Fail-Safe Systems", Elektroniknet, July 2014.
Der Erfindung liegt die Aufgabe zugrunde, ein fehlertolerantes System unter Umgehung der den aus dem Stand der Technik bekannten Lösungen innewohnenden Nachteile bereitzustellen. Insbesondere soll die Verfügbarkeit des Systems erhöht werden. The invention has for its object to provide a fault-tolerant system, bypassing the known from the prior art solutions inherent disadvantages. In particular, the availability of the system should be increased.
Diese Aufgabe wird gelöst durch eine Anordnung nach Anspruch 1 und ein Verfahren nach Anspruch 10. Bevorzugte Weiterbildungen sind in den Unteransprüchen enthalten. This object is achieved by an arrangement according to claim 1 and a method according to claim 10. Preferred developments are contained in the subclaims.
Die Anordnung umfasst einen ersten Prozessor und einen zweiten Prozessor. Ein Prozessor ist eine elektronische Schaltung, die ausgebildet ist, ein oder mehrere Befehle - eine Prozedur - einzulesen und auszuführen. Ein Prozessor kann Teile aufweisen, die für sich in der Lage sind, eine oder mehrere Befehle auszuführen. Diese Teile werden Kerne genannt. The arrangement comprises a first processor and a second processor. A processor is an electronic circuit that is configured to read and execute one or more instructions - a procedure. A processor may include portions that are capable of executing one or more instructions. These parts are called cores.
Der erste Prozessor weist einen ersten Kern, einen zweiten Kern und eine The first processor has a first core, a second core, and a second core
Kontrollinstanz aus. Der zweite Prozessor weist einen ersten Kern auf. Control instance off. The second processor has a first core.
Der erste Kern und der zweite Kern des ersten Prozessors sowie der erste Kern des zweiten Prozessors sind ausgebildet, jeweils eine erste Prozedur auszuführen. Dies bedeutet, dass die erste Prozedur dreifach ausgeführt werden kann - auf dem ersten Kern und dem zweiten Kern des ersten Prozessors sowie auf dem ersten Kern des zweiten Prozessors. The first core and the second core of the first processor and the first core of the second processor are configured to execute a first procedure. This means that the first procedure can be performed in triplicate on the first core and the second core of the first processor as well as on the first core of the second processor.
Eine Kontrollinstanz kann als separater Kern ausgebildet oder in einem der genannten Kerne implementiert sein. Sie ist definiert als ein Mittel zum Ausführen von Schritten zum Vergleich von Ergebnissen. A control entity may be formed as a separate core or implemented in one of said cores. It is defined as a means of performing steps to compare results.
Erfindungsgemäß ist die Kontrollinstanz des ersten Prozessors ausgebildet, die folgenden Schritte auszuführen: According to the invention, the control entity of the first processor is designed to carry out the following steps:
- Vergleichen eines Ergebnisses der Ausführung der ersten Prozedur auf dem ersten Kern des ersten Prozessors mit einem Ergebnis der Ausführung der ersten Prozedur auf dem zweiten Kern des ersten Prozessors; und Comparing a result of the execution of the first procedure on the first core of the first processor with a result of the execution of the first procedure on the second core of the first processor; and
- Vergleichen des Ergebnisses der Ausführung der ersten Prozedur auf dem ersten Kern des ersten Prozessors und des Ergebnisses der Ausführung der ersten Prozedur auf dem zweiten Kern des ersten Prozessors jeweils mit einem Ergebnis der Ausführung der ersten Prozedur auf dem ersten Kern des zweiten Prozessors, wenn die Ergebnisse der Ausführung der ersten Prozedur auf dem ersten Kern und dem zweiten Kern des ersten Prozessors voneinander abweichen.  Comparing the result of the execution of the first procedure on the first core of the first processor and the result of the execution of the first procedure on the second core of the first processor, each with a result of the execution of the first procedure on the first core of the second processor, if the Results of the execution of the first procedure on the first core and the second core of the first processor differ from one another.
Die Abweichung der Ergebnisse der Ausführung der ersten Prozedur auf dem ersten Kern und dem zweiten Kern des ersten Prozessors wird durch Vergleichen des Er- gebnisses der Ausführung der ersten Prozedur auf dem ersten Kern des ersten Prozessors mit dem Ergebnis der Ausführung der ersten Prozedur auf dem zweiten Kern des ersten Prozessors festgestellt. Der Schritt des Vergleichens des Ergebnisses der Ausführung der ersten Prozedur auf dem ersten Kern des ersten Prozessors und des Ergebnisses der Ausführung der ersten Prozedur auf dem zweiten Kern des ersten Prozessors jeweils mit dem Ergebnis der Ausführung der ersten Prozedur auf dem ersten Kern des zweiten Prozessors impliziert, dass die erste Prozedur auf dem ersten Kern des zweiten Prozessors ausgeführt wird. The deviation of the results of the execution of the first procedure on the first core and the second core of the first processor is determined by comparing the result of the first procedure. Result of the execution of the first procedure on the first core of the first processor with the result of the execution of the first procedure on the second core of the first processor detected. The step of comparing the result of executing the first procedure on the first core of the first processor and the result of executing the first procedure on the second core of the first processor each implies the result of executing the first procedure on the first core of the second processor in that the first procedure is performed on the first core of the second processor.
Unter dem Ergebnis der Ausführung einer Prozedur ist allgemein ein beliebiger Wert zu verstehen, der mit der Ausführung der Prozedur korreliert. So kann es sich etwa um den Ausgabewert einer Funktion handeln, wenn die Prozedur als Funktion ausgestaltet ist. The result of executing a procedure is generally any value that correlates with the execution of the procedure. For example, it may be the output value of a function if the procedure is a function.
Durch die Erfindung wird dreifache Redundanz der Ausführung der ersten Prozedur geschaffen. Fällt einer der drei genannten Kerne, die die erste Prozedur ausführen aus oder ist fehlerhaft, so stehen zwei weitere Kerne weiterhin zur redundanten Ausführung zur Verfügung. Eine Abschaltung des gesamten Systems ist nicht erforderlich. The invention provides triple redundancy in the execution of the first procedure. If one of the three named cores executing the first procedure fails or is faulty, two further cores remain available for redundant execution. A shutdown of the entire system is not required.
In einer bevorzugten Weiterbildung wird der erste Kern des ersten Prozessors deaktiviert, wenn die Ergebnisse der Ausführung der ersten Prozedur auf dem ersten Kern und dem zweiten Kern des ersten Prozessors voneinander abweichen und das Ergebnis der Ausführung der ersten Prozedur auf dem zweiten Kern des ersten Prozessors und das Ergebnis der Ausführung der ersten Prozedur auf dem ersten Kern des zweiten Prozessors übereinstimmen. Der zweite Kern des ersten Prozessors wird weitebildungsgemäß deaktiviert, wenn die Ergebnisse der Ausführung der ersten Prozedur auf dem ersten Kern und der zweiten Kern des ersten Prozessors voneinander abweichen und das Ergebnis der Ausführung der ersten Prozedur auf dem ersten Kern des ersten Prozessors und das Ergebnis der Ausführung der ersten Prozedur auf dem ersten Kern des zweiten Prozessors übereinstimmen. Die Abweichung der Ergebnisse der Ausführung der ersten Prozedur auf dem ersten Kern und dem zweiten Kern des ersten Prozessors zeigt an, dass in dem ersten Kern oder dem zweiten Kern des ersten Prozessors ein Fehler vorliegt. In diesem Fall lässt sich durch einen Abgleich mit dem Ergebnis der Ausführung der ersten Prozedur auf dem ersten Kern des zweiten Prozessors der fehlerhafte Kern des ersten Prozessors identifizieren und entsprechend deaktivieren. In a preferred embodiment, the first core of the first processor is deactivated when the results of the execution of the first procedure on the first core and the second core of the first processor differ and the result of executing the first procedure on the second core of the first processor and match the result of the execution of the first procedure on the first core of the second processor. The second core of the first processor is further deactivated when the results of the execution of the first procedure on the first core and the second core of the first processor differ and the result of the execution of the first procedure on the first core of the first processor and the result of Execution of the first procedure on the first core of the second processor match. The deviation of the results of the execution of the first procedure on the first core and the second core of the first processor indicates that in the first core or the second core of the first processor has an error. In this case, by matching the result of executing the first procedure on the first core of the second processor, the defective core of the first processor can be identified and deactivated accordingly.
Ein zweiter Sensor ist in einer bevorzugten Weiterbildung Teil der Anordnung. Mindestens ein Signal des ersten Sensors wird sowohl zu dem ersten Kern des ersten Prozessors als auch zu dem ersten Kern des zweiten Prozessors geleitet. Entsprechend wird mindestens ein Signal des zweiten Sensors zu dem zweiten Kern des ersten Prozessors und zu dem ersten Kern des zweiten Prozessors geleitet. Die Signale dienen bevorzugt als Eingangsdaten der auf dem jeweiligen Prozessor ausgeführten ersten Prozedur. Wenn der erste Kern des ersten Prozessors oder der zweite Kern des ersten Prozessors aufgrund eines Fehlers deaktiviert wird, steht das entsprechende Sensorsignal weiterbildungsgemäß dem ersten Kern des zweiten Prozessors zur Verfügung. Dies ermöglicht es, dem ersten Kern des zweiten Prozessors, die Aufgaben des deaktivierten Prozessorkern zu übernehmen. A second sensor is part of the arrangement in a preferred development. At least one signal from the first sensor is routed to both the first core of the first processor and the first core of the second processor. Accordingly, at least one signal of the second sensor is directed to the second core of the first processor and to the first core of the second processor. The signals preferably serve as input data of the first procedure executed on the respective processor. If the first core of the first processor or the second core of the first processor is deactivated due to an error, the corresponding sensor signal is the further development of the first core of the second processor available. This allows the first core of the second processor to take over the tasks of the disabled processor core.
In einer darüber hinaus bevorzugten Weiterbildung sind der erste Sensor und der zweite Sensor redundant ausgeführt. Dies bedeutet, dass der erste Sensor und der zweite Sensor ausgebildet sind, dieselbe physikalische Größe zu messen. In a further preferred embodiment, the first sensor and the second sensor are redundant. This means that the first sensor and the second sensor are designed to measure the same physical quantity.
Die Anordnung ist vorzugsweise symmetrisch weitergebildet. Dies bedeutet, dass der erste Prozessor und der zweite Prozessor gleichartig aufgebaut sind. Insbesondere weisen der erste Prozessor und der zweite Prozessor jeweils einen ersten Kern, einen zweiten Kern, einen dritten Kern und eine Kontrollinstanz auf. Der zweite Kern und der dritte Kern des zweiten Prozessors sowie der dritte Kern des ersten Prozessors sind ausgebildet, eine zweite Prozedur auszuführen. Die Kontrollinstanz des ersten Prozessors ist analog zu der Kontrollinstanz des zweiten Prozessors ausgebildet, die folgenden Schritte auszuführen: The arrangement is preferably developed symmetrically. This means that the first processor and the second processor have the same structure. In particular, the first processor and the second processor each have a first core, a second core, a third core, and a control entity. The second core and the third core of the second processor and the third core of the first processor are configured to execute a second procedure. The control entity of the first processor is designed, analogously to the control entity of the second processor, to carry out the following steps:
- Vergleichen eines Ergebnisses der Ausführung der zweiten Prozedur auf dem zweiten Kern des zweiten Prozessors mit einem Ergebnis der Ausführung der zweiten Prozedur auf dem dritten Kern des zweiten Prozessors; und - Vergleichen des Ergebnisses der Ausführung der zweiten Prozedur auf dem zweiten Kern des zweiten Prozessors und des Ergebnisses der Ausführung der zweiten Prozedur auf dem dritten Kern des zweiten Prozessors jeweils mit einem Ergebnis der Ausführung der zweiten Prozedur auf dem dritten Kern des ersten Prozessors, wenn die Ergebnisse der Ausführung der zweiten Prozedur auf dem zweiten Kern und dem dritten Kern des zweiten Prozessors voneinander abweichen. Comparing a result of the execution of the second procedure on the second core of the second processor with a result of the execution of the second procedure on the third core of the second processor; and Comparing the result of the execution of the second procedure on the second core of the second processor and the result of the execution of the second procedure on the third core of the second processor, each with a result of the execution of the second procedure on the third core of the first processor, if the Results of the execution of the second procedure on the second core and the third core of the second processor differ from one another.
In einer bevorzugten Weiterbildung wird analog zu der Deaktivierung des ersten Kerns und des zweiten Kerns des ersten Prozessors der zweite Kern des zweiten Prozessors deaktiviert, wenn die Ergebnisse der Ausführung der zweiten Prozedur auf dem zweiten Kern und dem dritten Kern des zweiten Prozessors voneinander abweichen und das Ergebnis der Ausführung der zweiten Prozedur auf dem dritten Kern des zweiten Prozessors und das Ergebnis der Ausführung der zweiten Prozedur auf dem dritten Kern des ersten Prozessors übereinstimmen. Wenn die Ergebnisse der Ausführung der zweiten Prozedur auf dem zweiten Kern und dem dritten Kern des zweiten Prozessors voneinander abweichen und das Ergebnis der Ausführung der zweiten Prozedur auf dem zweiten Kern des zweiten Prozessors und das Ergebnis der Ausführung der zweiten Prozedur auf dem dritten Kern des ersten Prozessors übereinstimmen. In a preferred development, analogously to the deactivation of the first core and the second core of the first processor, the second core of the second processor is deactivated if the results of the execution of the second procedure on the second core and the third core of the second processor differ from each other and Result of execution of the second procedure on the third core of the second processor and the result of execution of the second procedure on the third core of the first processor match. If the results of the execution of the second procedure on the second core and the third core of the second processor differ and the result of the execution of the second procedure on the second core of the second processor and the result of the execution of the second procedure on the third core of the first one Processor match.
Der zweite Prozessor erhält in einer bevorzugten Weiterbildung Eingabesignale von einem dritten Sensor und einem vierten Sensor. Mindestens ein Signal des dritten Sensors wird zu dem zweiten Kern des zweiten Prozessors und zu dem dritten Kern des ersten Prozessors geleitet. Entsprechend wird mindestens ein Signal des vierten Sensors zu dem dritten Kern des zweiten Prozessors und zu dem dritten Kern des ersten Prozessors geleitet. In a preferred embodiment, the second processor receives input signals from a third sensor and a fourth sensor. At least one signal from the third sensor is passed to the second core of the second processor and to the third core of the first processor. Accordingly, at least one signal of the fourth sensor is routed to the third core of the second processor and to the third core of the first processor.
Wie der erste Sensor und der zweite Sensor sind auch der dritte Sensor und der vierte Sensor in einer bevorzugten Weiterbildung redundant ausgeführt. Der dritte Sensor und der vierte Sensor messen also weiterbildungsgemäß dieselbe physikalische Größe. Die Anordnung ist bevorzugt als Bestandteil eines Fahrzeugs, etwa eines Kraftfahrzeugs weitergebildet. Insbesondere kann der erste Prozessor als Teil eines Getriebesteuergeräts und der zweite Prozessor zur Steuerung einer Leistungselektronik weitergebildet sein. Ein Fahrzeug mit der erfindungsgemäßen Anordnung ermöglicht eine betriebssichere Implementierung von Funktionen für Fahrassistenzsysteme oder zum autonomen Fahren. Like the first sensor and the second sensor, the third sensor and the fourth sensor are designed to be redundant in a preferred embodiment. The third sensor and the fourth sensor thus measure the same physical size according to further development. The arrangement is preferably developed as part of a vehicle, for example a motor vehicle. In particular, the first processor may be developed as part of a transmission control unit and the second processor for controlling power electronics. A vehicle with the arrangement according to the invention enables a reliable implementation of functions for driver assistance systems or for autonomous driving.
Ein erfindungsgemäßes Verfahren sieht vor, unter Verwendung der erfindungsgemäßen Anordnung oder einer bevorzugten Weiterbildung die folgenden Schritte auszuführen: A method according to the invention provides for the following steps to be carried out using the arrangement according to the invention or a preferred development:
- Ausführen der ersten Prozedur auf dem ersten Kern und dem zweiten Kern des ersten Prozessors; - executing the first procedure on the first core and the second core of the first processor;
- Vergleichen eines Ergebnisses der Ausführung der ersten Prozedur auf dem ersten Kern des ersten Prozessors mit einem Ergebnis der Ausführung der ersten Prozedur auf dem zweiten Kern des ersten Prozessors; Comparing a result of the execution of the first procedure on the first core of the first processor with a result of the execution of the first procedure on the second core of the first processor;
- Vergleichen des Ergebnisses der Ausführung der ersten Prozedur auf dem ersten Kern des ersten Prozessors und des Ergebnisses der Ausführung der ersten Prozedur auf dem zweiten Kern des ersten Prozessors jeweils mit einem Ergebnis einer Ausführung der ersten Prozedur auf dem ersten Kern des zweiten Prozessors, wenn die Ergebnisse der Ausführung der ersten Prozedur auf dem ersten Kern und dem zweiten Kern des ersten Prozessors voneinander abweichen. Comparing the result of execution of the first procedure on the first core of the first processor and the result of execution of the first procedure on the second core of the first processor, each with a result of execution of the first procedure on the first core of the second processor, if the Results of the execution of the first procedure on the first core and the second core of the first processor differ from one another.
Dieses Verfahren ist bevorzugt mit Verfahrensschritten weitergebildet, die, wie oben beschrieben, von bevorzugten Weiterbildungen der erfindungsgemäßen Anordnung ausführbar sind. This method is preferably developed further with method steps which, as described above, can be carried out by preferred developments of the arrangement according to the invention.
Ein bevorzugtes Ausführungsbeispiel der Erfindung ist in Fig. 1 dargestellt. Übereinstimmende Bezugsziffern kennzeichnen dabei gleiche oder funktionsgleiche Merkmale. Im Einzelnen zeigt: Fig. 1 eine Prozessorarchitektur. A preferred embodiment of the invention is shown in FIG. Matching reference numbers identify identical or functionally identical characteristics. In detail shows: Fig. 1 is a processor architecture.
Ein Mehrprozessorsystem 101 gemäß Fig. 1 weist einen ersten Prozessor 103 und einen zweiten Prozessor 105 auf. Beide Prozessoren 103, 105 besitzen mehrere Kerne. So weist der erste Prozessor 103 einen ersten Kern 107, einen zweiten Kern 109, einen dritten Kern 1 1 1 und eine Kontrollinstanz 1 13 auf. Entsprechend weist der zweite Prozessor 105 einen ersten Kern 1 15, einen zweiten Kern 1 17, einen dritten Kern 1 19 und eine Kontrollinstanz 121 auf. A multiprocessor system 101 according to FIG. 1 has a first processor 103 and a second processor 105. Both processors 103, 105 have multiple cores. Thus, the first processor 103 has a first core 107, a second core 109, a third core 1 1 1 and a control entity 1 13. Correspondingly, the second processor 105 has a first core 1 15, a second core 1 17, a third core 1 19 and a control entity 121.
Ein erstes Sensorsignal 123 liegt am ersten Kern 107 des ersten Prozessors 103 und am ersten Kern 1 15 des zweiten Prozessors 105 an. Ein zweites Sensorsignal 125 liegt am zweiten Kern 109 des ersten Prozessors 103 und am ersten Kern 1 15 des zweiten Prozessors 105 an. Das erste Sensorsignal 123 und das zweite Sensorsignal 125 basieren auf einer redundanten Messung einer einzigen physikalischen Größe mittels zweier verschiedener Sensoren. A first sensor signal 123 is applied to the first core 107 of the first processor 103 and to the first core 1 15 of the second processor 105. A second sensor signal 125 is applied to the second core 109 of the first processor 103 and to the first core 1 15 of the second processor 105. The first sensor signal 123 and the second sensor signal 125 are based on a redundant measurement of a single physical quantity by means of two different sensors.
Ein drittes Sensorsignal 127 liegt analog dazu am zweiten Kern 1 17 des zweiten Prozessors und am dritten Kern 1 1 1 des ersten Prozessors 103 an. Ein redundant dazu ausgeführtes viertes Sensorsignal 129 liegt am dritten Kern 1 19 des zweiten Prozessors 105 und am dritten Kern 1 1 1 des ersten Prozessors 103 an. Zwei redundante Sensoren, die dieselbe physikalische Größe messen, stellen das dritte Sensorsignal 127 und das vierte Sensorsignal 129 bereit. A third sensor signal 127 is applied analogously thereto to the second core 1 17 of the second processor and to the third core 1 1 1 of the first processor 103. A fourth sensor signal 129 executed redundantly thereto is applied to the third core 1 19 of the second processor 105 and to the third core 1 1 1 of the first processor 103. Two redundant sensors measuring the same physical quantity provide the third sensor signal 127 and the fourth sensor signal 129.
Der erste Kern 107 und der zweite Kern 109 des ersten Prozessors sowie der erste Kern 1 15 des zweiten Prozessors 105 dienen dazu, eine erste Prozedur mit dreifacher Redundanz auszuführen. Die Kontrollinstanz 1 13 des ersten Prozessors überwacht die Ausführung der ersten Prozedur durch den ersten Kern 107 und den zweiten Kern 109 des ersten Prozessors 103 und vergleicht deren Ergebnisse. The first core 107 and the second core 109 of the first processor and the first core 15 of the second processor 105 serve to execute a first procedure with triple redundancy. The first processor controller 13 monitors the execution of the first procedure by the first core 107 and the second core 109 of the first processor 103 and compares their results.
Stimmen diese nicht überein, zieht die Kontrollinstanz 1 13 des ersten Prozessors 103 den ersten Kern 1 15 des zweiten Prozessors 105 hinzu, um festzustellen, ob der erste Kern 107 oder der zweite Kern 109 des ersten Prozessors 103 fehlerhaft arbeitet. Der fehlerhafte Kern 107, 109 wird deaktiviert. Hiernach steht noch eine zweifache Redundanz zur Ausführung der ersten Prozedur zur Verfügung. Die Ausführung der zweiten Prozedur durch den zweiten Kern 1 17 und den dritten Kern 1 19 des zweiten Prozessors 105 sowie durch den dritten Kern 1 1 1 des ersten Prozessors 103 gestaltet sich analog zu der oben beschriebenen Ausführung der ersten Prozedur. If these do not match, the control entity 1 13 of the first processor 103 adds the first core 1 15 of the second processor 105 to determine whether the first core 107 or the second core 109 of the first processor 103 malfunctions. The faulty core 107, 109 is deactivated. After that there is still a double redundancy to execute the first procedure. The execution of the second procedure by the second core 1 17 and the third core 1 19 of the second processor 105 and by the third core 1 1 1 of the first processor 103 is analogous to the embodiment of the first procedure described above.
Zur Überwachung des ersten Prozessors 103 ist ein erster Watchdog 131 vorgesehen. Entsprechend wird der zweite Prozessor 105 durch einen zweiten Watchdog 133 überwacht. Durch die Watchdogs 131 , 133 ist es möglich, den Totalausfall eines einzelnen Prozessors 103, 105 abzufangen. For monitoring the first processor 103, a first watchdog 131 is provided. Accordingly, the second processor 105 is monitored by a second watchdog 133. By the watchdogs 131, 133 it is possible to intercept the total failure of a single processor 103, 105.
Bezuaszeichen Bezuaszeichen
101 Mehrprozessorsystem 101 multiprocessor system
103 erster Prozessor  103 first processor
105 zweiter Prozessor  105 second processor
107 erster Kern des ersten Prozessors  107 first core of the first processor
109 zweiter Kern des ersten Prozessors 109 second core of the first processor
1 1 1 dritter Kern des ersten Prozessors 1 1 1 third core of the first processor
1 13 Kontrollinstanz des ersten Prozessors 1 13 Control instance of the first processor
1 15 erster Kern des zweiten Prozessors1 15 first core of the second processor
1 17 zweiter Kern des zweiten Prozessors1 17 second core of the second processor
1 19 dritter Kern des zweiten Prozessors1 19 third core of the second processor
121 Kontrollinstanz des zweiten Prozessors121 Control instance of the second processor
123 erstes Signal 123 first signal
125 zweites Signal  125 second signal
127 drittes Signal  127 third signal
129 viertes Signal  129 fourth signal
131 erster Watchdog  131 first watchdog
133 zweiter Watchdog  133 second watchdog

Claims

Patentansprüche claims
1 . Anordnung (101 ) mit einem ersten Prozessor (103) und einem zweiten Prozessor (103); wobei 1 . Arrangement (101) with a first processor (103) and a second processor (103); in which
der erste Prozessor (103) einen ersten Kern (107), einen zweiten Kern (109) und eine Kontrollinstanz (1 13) aufweist; wobei the first processor (103) has a first core (107), a second core (109) and a control entity (1 13); in which
der zweite Prozessor (105) einen ersten Kern (1 15) aufweist; und wobei the second processor (105) has a first core (1 15); and where
der erste Kern (107) und der zweite Kern (109) des ersten Prozessors (103) sowie der erste Kern (1 15) des zweiten Prozessors (105) ausgebildet sind, eine erste Prozedur auszuführen; dadurch gekennzeichnet, dass the first core (107) and the second core (109) of the first processor (103) and the first core (1 15) of the second processor (105) are configured to execute a first procedure; characterized in that
die Kontrollinstanz (1 13) des ersten Prozessors (103) ausgebildet ist, die folgenden Schritte auszuführen: the control entity (1 13) of the first processor (103) is designed to carry out the following steps:
- Vergleichen eines Ergebnisses der Ausführung der ersten Prozedur auf dem ersten Kern (107) des ersten Prozessors (103) mit einem Ergebnis der Ausführung der ersten Prozedur auf dem zweiten Kern (109) des ersten Prozessors (103); und  - comparing a result of the execution of the first procedure on the first core (107) of the first processor (103) with a result of the execution of the first procedure on the second core (109) of the first processor (103); and
- Vergleichen des Ergebnisses der Ausführung der ersten Prozedur auf dem ersten Kern (107) des ersten Prozessors (103) und des Ergebnisses der Ausführung der ersten Prozedur auf dem zweiten Kern (109) des ersten Prozessors (103) jeweils mit einem Ergebnis der Ausführung der ersten Prozedur auf dem ersten Kern (1 15) des zweiten Prozessors (105), wenn die Ergebnisse der Ausführung der ersten Prozedur auf dem ersten Kern (107) und dem zweiten Kern (109) des ersten Prozessors (103) voneinander abweichen.  Comparing the result of the execution of the first procedure on the first core (107) of the first processor (103) and the result of the execution of the first procedure on the second core (109) of the first processor (103) each with a result of the execution of first procedure on the first core (15) of the second processor (105) when the results of the execution of the first procedure on the first core (107) and the second core (109) of the first processor (103) differ from one another.
2. Anordnung nach dem vorhergehenden Anspruch; dadurch gekennzeichnet, dass der erste Kern (107) des ersten Prozessors (103) deaktiviert wird, wenn die Ergebnisse der Ausführung der ersten Prozedur auf dem ersten Kern (107) und dem zweiten Kern (109) des ersten Prozessors (103) voneinander abweichen und das Ergebnis der Ausführung der ersten Prozedur auf dem zweiten Kern (109) des ersten Prozessors (103) und das Ergebnis der Ausführung der ersten Prozedur auf dem ersten Kern (1 15) des zweiten Prozessors (105) übereinstimmen; und wobei 2. Arrangement according to the preceding claim; characterized in that the first core (107) of the first processor (103) is deactivated when the results of the execution of the first procedure on the first core (107) and the second core (109) of the first processor (103) differ the result of the execution of the first procedure on the second core (109) of the first processor (103) and the result of the execution of the first procedure on the first core (1 15) of the second processor (105) match; and where
der zweite Kern (109) des ersten Prozessors (103) deaktiviert wird, wenn die Ergebnisse der Ausführung der ersten Prozedur auf dem ersten Kern (107) und dem zweiten Kern (109) des ersten Prozessors (103) voneinander abweichen und das Ergebnis der Ausführung der ersten Prozedur auf dem ersten Kern (107) des ersten Pro- zessors (103) und das Ergebnis der Ausführung der ersten Prozedur auf dem ersten Kern (1 15) des zweiten Prozessors (105) übereinstimmen. the second core (109) of the first processor (103) is deactivated when the results of the execution of the first procedure on the first core (107) and the second core (109) of the first processor (103) differ and the result of the execution the first procedure on the first core (107) of the first zessors (103) and the result of the execution of the first procedure on the first core (1 15) of the second processor (105) match.
3. Anordnung nach einem der vorhergehenden Ansprüche; gekennzeichnet durch einen ersten Sensor und einen zweiten Sensor; wobei 3. Arrangement according to one of the preceding claims; characterized by a first sensor and a second sensor; in which
mindestens ein Signal des ersten Sensors zu dem ersten Kern (107) des ersten Prozessors (103) und zu dem ersten Kern (1 15) des zweiten Prozessors (105) geleitet wird; und wobei at least one signal of the first sensor is directed to the first core (107) of the first processor (103) and to the first core (1 15) of the second processor (105); and where
mindestens ein Signal des zweiten Sensors zu dem zweiten Kern (109) des ersten Prozessors (103) und zu dem ersten Kern (1 15) des zweiten Prozessors (105) geleitet wird. at least one signal from the second sensor is directed to the second core (109) of the first processor (103) and to the first core (15) of the second processor (105).
4. Anordnung nach dem vorhergehenden Anspruch; dadurch gekennzeichnet, dass der erste Sensor und der zweite Sensor ausgebildet sind, dieselbe physikalische Größe messen. 4. Arrangement according to the preceding claim; characterized in that the first sensor and the second sensor are configured to measure the same physical quantity.
5. Anordnung nach einem der vorhergehenden Ansprüche; dadurch gekennzeichnet, dass 5. Arrangement according to one of the preceding claims; characterized in that
der erste Prozessor (103) einen dritten Kern (1 1 1 ) aufweist; wobei the first processor (103) has a third core (1 1 1); in which
der zweite Prozessor (105) einen zweiten Kern (1 17), einen dritten Kern (1 19) und eine Kontrollinstanz (121 ) aufweist; wobei the second processor (105) has a second core (1 17), a third core (1 19) and a control entity (121); in which
der zweite Kern (1 17) und der dritte Kern (1 19) des zweiten Prozessors (105) sowie der dritte Kern (1 1 1 ) des ersten Prozessors (103) ausgebildet sind, eine zweite Prozedur auszuführen; wobei the second core (1 17) and the third core (1 19) of the second processor (105) and the third core (1 1 1) of the first processor (103) are adapted to perform a second procedure; in which
die Kontrollinstanz (121 ) des ersten Prozessors (105) ausgebildet ist, die folgenden Schritte auszuführen: the control entity (121) of the first processor (105) is designed to carry out the following steps:
- Vergleichen eines Ergebnisses der Ausführung der zweiten Prozedur auf dem zweiten Kern (1 17) des zweiten Prozessors (105) mit einem Ergebnis der Ausführung der zweiten Prozedur auf dem dritten Kern (1 19) des zweiten Prozessors (105); und - comparing a result of the execution of the second procedure on the second core (1 17) of the second processor (105) with a result of the execution of the second procedure on the third core (1 19) of the second processor (105); and
- Vergleichen des Ergebnisses der Ausführung der zweiten Prozedur auf dem zweiten Kern (1 17) des zweiten Prozessors (105) und des Ergebnisses der Ausführung der zweiten Prozedur auf dem dritten Kern (1 19) des zweiten Prozessors (105) jeweils mit einem Ergebnis der Ausführung der zweiten Prozedur auf dem dritten Kern (1 1 1 ) des ersten Prozessors (103), wenn die Ergebnisse der Ausführung der zweiten Prozedur auf dem zweiten Kern (1 17) und dem dritten Kern (1 19) des zweiten Prozessors (105) voneinander abweichen. Comparing the result of executing the second procedure on the second core (1 17) of the second processor (105) and the result of executing the second procedure on the third core (1 19) of the second processor (105) each with a result of Execution of the second procedure on the third core (1 1 1) of the first processor (103), when the results of the execution of the second procedure on the second core (1 17) and the third core (1 19) of the second processor (105) differ from each other.
6. Anordnung nach dem vorhergehenden Anspruch; dadurch gekennzeichnet, dass der zweite Kern (1 17) des zweiten Prozessors (105) deaktiviert wird, wenn die Ergebnisse der Ausführung der zweiten Prozedur auf dem zweiten Kern (1 17) und dem dritten Kern (1 19) des zweiten Prozessors (105) voneinander abweichen und das Ergebnis der Ausführung der zweiten Prozedur auf dem dritten Kern (1 19) des zweiten Prozessors (105) und das Ergebnis der Ausführung der zweiten Prozedur auf dem dritten Kern (1 1 1 ) des ersten Prozessors (103) übereinstimmen; und wobei der dritten Kern (1 19) des zweiten Prozessors (105) deaktiviert wird, wenn die Ergebnisse der Ausführung der zweiten Prozedur auf dem zweiten Kern (1 17) und dem dritten Kern (1 19) des zweiten Prozessors (105) voneinander abweichen und das Ergebnis der Ausführung der zweiten Prozedur auf dem zweiten Kern (1 17) des zweiten Prozessors (105) und das Ergebnis der Ausführung der zweiten Prozedur auf dem dritten Kern (1 1 1 ) des ersten Prozessors (103) übereinstimmen. 6. Arrangement according to the preceding claim; characterized in that the second core (1 17) of the second processor (105) is deactivated when the results of the execution of the second procedure on the second core (1 17) and the third core (1 19) of the second processor (105) and the result of executing the second procedure on the third core (1 19) of the second processor (105) and the result of executing the second procedure on the third core (1 1 1) of the first processor (103) are different; and wherein the third core (1 19) of the second processor (105) is deactivated when the results of the execution of the second procedure on the second core (1 17) and the third core (1 19) of the second processor (105) differ and the result of executing the second procedure on the second core (1 17) of the second processor (105) and the result of executing the second procedure on the third core (1 1 1) of the first processor (103).
7. Anordnung nach einem der vorhergehenden zwei Ansprüche; gekennzeichnet durch 7. Arrangement according to one of the preceding two claims; marked by
einen dritten Sensor und einen vierten Sensor; wobei a third sensor and a fourth sensor; in which
mindestens ein Signal des dritten Sensors zu dem zweiten Kern (1 17) des zweiten Prozessors (105) und zu dem dritten Kern (1 1 1 ) des ersten Prozessors (103) geleitet wird; und wobei at least one signal of the third sensor is directed to the second core (1 17) of the second processor (105) and to the third core (1 1 1) of the first processor (103); and where
mindestens ein Signal des vierten Sensors zu dem dritten Kern (1 19) des zweiten Prozessors (105) und zu dem dritten Kern (1 1 1 ) des ersten Prozessors (103) geleitet wird. at least one signal of the fourth sensor is directed to the third core (1 19) of the second processor (105) and to the third core (1 1 1) of the first processor (103).
8. Anordnung nach dem vorhergehenden Anspruch; dadurch gekennzeichnet, dass der dritte Sensor und der vierte Sensor dieselbe physikalische Größe messen. 8. Arrangement according to the preceding claim; characterized in that the third sensor and the fourth sensor measure the same physical quantity.
9. Fahrzeug mit einer Anordnung nach einem der vorhergehenden Ansprüche. 9. vehicle with an arrangement according to one of the preceding claims.
10. Verfahren unter Verwendung einer Anordnung nach einem der vorhergehenden Ansprüche mit den folgenden Schritten: 10. Method using an arrangement according to one of the preceding claims, comprising the following steps:
- Ausführen einer ersten Prozedur auf dem ersten Kern (107) und dem zweiten Kern (109) des ersten Prozessors (103);  - executing a first procedure on the first core (107) and the second core (109) of the first processor (103);
- Vergleichen eines Ergebnisses der Ausführung der ersten Prozedur auf dem ersten Kern (107) des ersten Prozessors (103) mit einem Ergebnis der Ausführung der ersten Prozedur auf dem zweiten Kern (109) des ersten Prozessors (103); und  - comparing a result of the execution of the first procedure on the first core (107) of the first processor (103) with a result of the execution of the first procedure on the second core (109) of the first processor (103); and
- Vergleichen des Ergebnisses der Ausführung der ersten Prozedur auf dem ersten Kern (107) des ersten Prozessors (103) und des Ergebnis der Ausführung der ersten Prozedur auf dem zweiten Kern (109) des ersten Prozessors (103) jeweils mit einem Ergebnis einer Ausführung der ersten Prozedur auf dem ersten Kern (1 15) des zweiten Prozessors (105), wenn die Ergebnisse der Ausführung der ersten Prozedur auf dem ersten Kern (107) und dem zweiten Kern (109) des ersten Prozessors (103) voneinander abweichen.  Comparing the result of executing the first procedure on the first core (107) of the first processor (103) and the result of executing the first procedure on the second core (109) of the first processor (103) each with a result of executing the first procedure on the first core (15) of the second processor (105) when the results of the execution of the first procedure on the first core (107) and the second core (109) of the first processor (103) differ from one another.
EP17825518.8A 2017-01-23 2017-12-21 Redundant processor architecture Withdrawn EP3571593A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102017201032.0A DE102017201032A1 (en) 2017-01-23 2017-01-23 Redundant processor architecture
PCT/EP2017/083986 WO2018134023A1 (en) 2017-01-23 2017-12-21 Redundant processor architecture

Publications (1)

Publication Number Publication Date
EP3571593A1 true EP3571593A1 (en) 2019-11-27

Family

ID=60935841

Family Applications (1)

Application Number Title Priority Date Filing Date
EP17825518.8A Withdrawn EP3571593A1 (en) 2017-01-23 2017-12-21 Redundant processor architecture

Country Status (6)

Country Link
US (1) US11281547B2 (en)
EP (1) EP3571593A1 (en)
JP (1) JP2020506472A (en)
CN (1) CN110192185B (en)
DE (1) DE102017201032A1 (en)
WO (1) WO2018134023A1 (en)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017201032A1 (en) 2017-01-23 2018-05-03 Zf Friedrichshafen Ag Redundant processor architecture
US11106205B2 (en) * 2018-09-18 2021-08-31 Raytheon Technologies Corporation Vehicle control with functional redundancy
WO2021116921A1 (en) 2019-12-09 2021-06-17 Thales Canada Inc. Method and system for high integrity can bus traffic supervision in safety critical application
US11814083B2 (en) 2020-03-31 2023-11-14 Uatc, Llc Asynchronous processing for autonomous vehicle computing systems
CN114043997B (en) * 2022-01-13 2022-04-12 禾美(浙江)汽车股份有限公司 Automatic driving intelligent decision-making method based on high-sensitivity sensor

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19631309A1 (en) 1996-08-02 1998-02-05 Teves Gmbh Alfred Microprocessor arrangement for a vehicle control system
US6687791B2 (en) 2002-01-07 2004-02-03 Sun Microsystems, Inc. Shared cache for data integrity operations
CN100483359C (en) 2004-10-25 2009-04-29 罗伯特·博世有限公司 Method and device for changing mode and comparing signal in a computer system having at least two processing units
US7953536B2 (en) * 2005-07-29 2011-05-31 GM Global Technology Operations LLC Inertial sensor software architecture security method
US7272681B2 (en) * 2005-08-05 2007-09-18 Raytheon Company System having parallel data processors which generate redundant effector date to detect errors
US7941698B1 (en) * 2008-04-30 2011-05-10 Hewlett-Packard Development Company, L.P. Selective availability in processor systems
JP4709268B2 (en) * 2008-11-28 2011-06-22 日立オートモティブシステムズ株式会社 Multi-core system for vehicle control or control device for internal combustion engine
US7877627B1 (en) * 2008-12-18 2011-01-25 Supercon, L.L.C. Multiple redundant computer system combining fault diagnostics and majority voting with dissimilar redundancy technology
DE102011086530A1 (en) * 2010-11-19 2012-05-24 Continental Teves Ag & Co. Ohg Microprocessor system with fault-tolerant architecture
WO2014207893A1 (en) 2013-06-28 2014-12-31 株式会社日立製作所 Computation circuit and computer
DE102017201032A1 (en) 2017-01-23 2018-05-03 Zf Friedrichshafen Ag Redundant processor architecture

Also Published As

Publication number Publication date
US20190361764A1 (en) 2019-11-28
CN110192185B (en) 2023-06-23
US11281547B2 (en) 2022-03-22
JP2020506472A (en) 2020-02-27
DE102017201032A1 (en) 2018-05-03
WO2018134023A1 (en) 2018-07-26
CN110192185A (en) 2019-08-30

Similar Documents

Publication Publication Date Title
EP3571593A1 (en) Redundant processor architecture
EP1092177B1 (en) Controller or engine controller, engine and method for adjusting a control or drive system or an engine
EP3642716A1 (en) Device and method for controlling a vehicle module depending on a status signal
EP2550598A1 (en) Redundant two-processor controller and control method
EP2553578A1 (en) Computer system and method for comparing output signals
DE102015110958A1 (en) Outage management in a vehicle
DE102016107015A1 (en) Architecture for scalable interference tolerance in systems with integrated immobilization in case of failure and malfunction in case of failure
DE102013113296A1 (en) Redundant computing architecture
EP1615087A2 (en) Control and regulation unit
EP2902905B1 (en) Method for checking the processing of software
DE102011007467A1 (en) Polynuclear integrated microprocessor circuitry for, e.g. vehicle domain computer, has tester to perform time-integral checking of specific components of auxiliary processor structure to and gradually expand checking of other components
DE102013021231A1 (en) Method for operating an assistance system of a vehicle and vehicle control unit
EP3557356A1 (en) Method and automation system for the safe automatic operation of a machine or of a vehicle
EP2182331A1 (en) Shifting of a component having effect on the safety function from the safety relevant zone
DE102019219870A1 (en) Integrity monitoring of a computing unit
DE112019007286T5 (en) IN-VEHICLE CONTROL DEVICE AND IN-VEHICLE CONTROL SYSTEM
DE102017110154B4 (en) Method for ISO 26262 compliant monitoring of the supply voltage VCC of an integrated sensor circuit of a pedestrian impact absorption device
DE102017110155B4 (en) Procedure for ISO 26262 compliant monitoring of the supply voltage VCC of an integrated sensor circuit of a safety system
DE10220811B4 (en) Method and device for monitoring the functioning of a system
DE112017000868B4 (en) Electronic control device
DE102022207018A1 (en) Error management method, computer program product and vehicle
DE102017110152B4 (en) Method for the ISO 26262 compliant monitoring of the supply voltage VCC of an integrated sensor circuit within a sensor system with a microcomputer
DE102015111430B4 (en) Handling of simultaneous error messages with redundant servo drives
DE102019000715A1 (en) Method for operating a system comprising at least one electrical device and / or at least one sensor, and device
DE102022206080A1 (en) Method for operating a computing arrangement

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20190711

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20210701