KR20160110203A - 안전 관련 중대한 에러를 처리하는 방법 및 장치 - Google Patents

안전 관련 중대한 에러를 처리하는 방법 및 장치 Download PDF

Info

Publication number
KR20160110203A
KR20160110203A KR1020160028608A KR20160028608A KR20160110203A KR 20160110203 A KR20160110203 A KR 20160110203A KR 1020160028608 A KR1020160028608 A KR 1020160028608A KR 20160028608 A KR20160028608 A KR 20160028608A KR 20160110203 A KR20160110203 A KR 20160110203A
Authority
KR
South Korea
Prior art keywords
controller
operate
implemented
control unit
control signal
Prior art date
Application number
KR1020160028608A
Other languages
English (en)
Inventor
악셀 프라이발트
비조이 매튜스
안토니오 빌레라
Original Assignee
인피니언 테크놀로지스 아게
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인피니언 테크놀로지스 아게 filed Critical 인피니언 테크놀로지스 아게
Publication of KR20160110203A publication Critical patent/KR20160110203A/ko

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/023Avoiding failures by using redundant parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/06Improving the dynamic response of the control system, e.g. improving the speed of regulation or avoiding hunting or overshoot
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0018Method for the design of a control system
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0292Fail-safe or redundant systems, e.g. limp-home or backup systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24188Redundant processors run different programs
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24191Redundant processors are different in structure

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Mechanical Engineering (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)
  • Debugging And Monitoring (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

본 발명은 장치를 가동하는 디바이스에 관한 것으로, 제 1 제어 신호에 의해 제어되도록 구성된 제 1 컨트롤러, 제 2 제어 신호에 의해 제어되도록 구성된 제 2 컨트롤러, 장치를 가동하도록 구성된 제 1 컨트롤러와 제 2 컨트롤러에 연결되어 동작하는 제어 유닛을 포함한다.

Description

안전 관련 중대한 에러를 처리하는 방법 및 장치{METHOD AND DEVICE FOR HANDLING SAFETY CRITICAL ERRORS}
본 발명의 실시예들은 자동차 애플리케이션, 특히 그 중에서도 전송 제어, 알람 디스플레이 제어, 전자식 동력조향(power steering) 또는 전자식 브레이크 제어 등을 위한 안전 애플리케이션에 관한 것이다.
자동차 애플리케이션의 전자식 기능은 문제가 발견되면 바로 정지하는 경우가 종종 있다. 전자 제어 유닛(ECU)에서 안전 관련 중대한 고장이 발생할 경우, 마이크로컨트롤러는 안전한 부동상태(safe passive state)가 된다. 이를 안전보장상태(fail-safe state)라고 한다. 일부 안전 관련 중대한 고장은 영구적이지는 않지만, 자동차의 전자 네트워크 전체를 정지시키며, 시스템 재가동을 위한 새로운 점화 사이클을 요구하게 된다.
대안으로는 자동차가 가동 중일 때 전자식 기능을 재가동하는 것이 있다. 이러한 시스템은 리셋 실행 후 자체 진단(self-test)에 이어 재가동을 시도한다. 이 절차는 최선의 경우 보통 수백 밀리세컨드가 걸리지만, 최악의 경우 가동이 재개되지 않는다. 따라서 최선의 경우라도 많은 애플리케이션, 가령 동력조향에 대해 가동이 재개되기까지의 시간으로는 너무 긴 시간일 수 있다.
안전 관련 문제가 발생할 경우, 자동차 애플리케이션에 사용되는 마이크로컨트롤러가 즉시 안전한 부동 상태로 전환되도록 구현한 것들이 있다. 소프트웨어가 고도로 복잡해짐에 따라 이러한 많은 문제들이 소프트웨어 버그로 인해 야기되고 있으며, 이는 감시장치(watchdog)나 다른 보호 메커니즘에 의해 탐지된다. 다른 근본적인 원인으로는 하드웨어와 관련된 것들인데, 그 중 소수만이 잠재 결함(latent fault)으로 불리는 영구적인 손상에 의해 유발된다.
그러한 에러의 처리에 대한 수용 양상이 최근 변화하였는데, 즉 ECU 전체가 안전, 부동, 오프(off) 상태로 되는 것은 더 이상 허용되지 않는다. 안전에 대한 핵심 ECU를 위해서는 백업 시스템이 요구되는데, 이는 가령 자동차가 안전하게 주차될 때까지, 또는 정상 가동이 재개될 때까지 어떤 종류의 운행을 제공할 것이다. 이러한 가동은 일반적으로 림프 홈(limp home), 림프 어사이드(limp aside), 또는 백업 가동(backup operation)이라고 불린다.
고장이 발생해도 가동이 유지되는(fail-operational) 시스템 솔루션 또는 개선된 가동 시스템은 고장이 발생할 경우에도 수용 가능한 수준의 안전 관련 중요 기능을 수행한다. 이러한 가동 모드로 전환하는 것은 하드웨어의 잠재적 결함, 또는 산발적인 비 잠재적 하드웨어 결함, 또는 소프트웨어 결함 때문이다.
한 방법은 단일 컨트롤러를 사용하되, 가장 빠른 FIT(Failure-In-Time) 속도를 가지는 핵심 부분을 복제하는 것이다. 다른 방법으로는 적어도 하나의 제 2 CPU 코어와 별개의 주변 장치 세트를 포함하는 멀티코어 컨트롤러를 사용하는 것이다. 멀티코어 컨트롤러의 제 1 CPU 코어가 문제를 발견하면, 제 2 CPU 코어 및 주변장치 세트가 가동을 인계받게 된다.
가장 비용이 많이 드는 솔루션은 2, 3개의 ECU 및 복수의 전원 공급 장치와 통신 시스템을 사용하여 전자식 제어 시스템 전체를 이중, 삼중으로 복제하는 것이다. 그러한 방법은 자동차 애플리케이션으로서는 너무 비용이 크며 너무 많은 공간을 낭비한다.
다른 문제는 이러한 솔루션 대부분이 아직 공통 소스에 의해 발생하는 에러를 겪고 있다는 점이다. 특히, 복수의 컨트롤러가 동일한 툴(tool)과 소프트웨어를 사용하고 있다면, 소프트웨어 버그로 인해 동일한 시스템적인 문제를 잠재적으로 갖고 있는 셈이다.
또한, 그러한 시스템은 고장날 수 있는 더 많은 컴포넌트를 포함하게 되어, 그러한 고장이 신뢰도를 더 낮추거나 가동이 제한되는 상황이 수용할 수 없을 정도로 많이 발생하게 될 가능성을 갖게 될 수 있다. 그 결과로 이 자동차들이 너무 자주 차량 정비소에 가야할 수 있다.
US 2013/0067259 A1은 메인 컨트롤러와 예비 컨트롤러를 포함하는 마이크로컨트롤러 유닛을 설명한다. 그러나 메인 컨트롤러는 고성능에 최적화되어 있는 반면, 예비 컨트롤러는 저전력 소모에 최적화되어 있다.
첫 번째 실시예는 장치를 가농하는 디바이스에 관한 것으로, 제 1 제어 신호에 의해 제어되도록 구성된 제 1 컨트롤러, 제 2 제어 신호에 의해 제어되도록 구성된 제 1 컨트롤러, 그리고 제 1 컨트롤러와 제 2 컨트롤러에 연결되어 동작하는 제어 유닛을 포함하며, 이때 제 1 컨트롤러와 제 2 컨트롤러는 모두 장치를 가동하도록 구성된다.
두 번째 실시예는 차량의 장치를 가동하는 방법과 관계가 있다. 이 방법은 제 1 가동 모드의 장치를 가동하는 제 1 컨트롤러에 의해 제어 신호를 발생시키는 단계, 제어 유닛에 의해 신호를 평가하여 평가 결과를 제공하는 단계 및 평가 결과에 따라 제 2 컨트롤러가 장치의 구동을 인계받는 단계를 포함한다.
세 번째 실시예는 안전 기능을 실행하도록 구성된 차량의 장치를 구동하는 제 1 컨트롤러, 장치를 구동하는 제 2 컨트롤러 및 두 컨트롤러를 제어하는 제어 유닛을 포함하는 시스템과 관계가 있는데, 제 1 컨트롤러는 제 1 다이(die)상에 구현되고 제 2 컨트롤러는 제 2 다이상에 구현된다.
네 번째 실시예는 안전 기능을 실행하도록 구성된 차량의 장치를 구동하는 제 1 컨트롤러, 장치를 구동하는 제 2 컨트롤러 및 두 컨트롤러를 제어하는 제어 유닛을 포함하는 시스템과 관계가 있으며, 제 1 컨트롤러 및 제 2 컨트롤러가 모두 한 다이에서 실행된다.
실시예들은 도면을 참조하여 제시되고 설명된다. 도면은 기본 원리의 설명을 돕기 위한 것으로서, 기본 원리의 이해에 필요한 부분만 설명되어 있다. 도면에서 같은 참조 부호는 유사한 특징을 나타낸다.
도 1은 일 실시예에 따른 디바이스를 나타내는 개략적인 다이어그램이다.
도 2는 두 파워 도메인을 사용하는 일 실시예에 따른 디바이스의 예를 나타내는 또 다른 개략적인 다이어그램이다.
도 3은 복수의 독립된 제어 유닛을 이용하는 예시 장치이다.
도 4는 상이한 다이(die)들을 포함하는 예시 장치이다.
도 5는 일 실시예에 따른 방법의 흐름도이다.
실시예들은 자동차의 안전 애플리케이션에서 에러를 처리하는 장치 및 방법에 관한 것이다. 이는 적어도 두 컨트롤러, 즉 하나의 메인 컨트롤러와 다른 하나의 백업 컨트롤러를 사용하여 달성할 수 있다.
메인 컨트롤러에서 에러가 발생하는 경우, 백업 컨트롤러는 상이한 아키텍쳐 또는 상이한 구현을 활용하여 안전 관련 기능을 인계받을 수 있다. 다양성을 활용함으로써, 백업 컨트롤러는 메인 컨트롤러의 경우와 동일한 문제를 마주치지 않게 된다.
도 1은 메인 컨트롤러(101), 백업 컨트롤러(102), 및 메인 컨트롤러(101)와 백업 컨트롤러(102)에 연결된 제어 유닛(103)으로 구성된 디바이스(100)를 도시한다. 디바이스(100)는 차량의 안전 관련 중요 시스템(safety critical system)에 해당하는 장치(150)를 제어할 수 있다. 안전 관련 중요 시스템은 가령 전자식 동력조향(power steering) 시스템, 전송 제어 유닛, 전자식 브레이크 시스템, 또는 자동차 기능을 수행하는 다른 구성요소가 될 수 있다.
메인 컨트롤러(101)는 CPU 코어, 메모리, 제 1 주변장치 세트를 포함하는 마이크로프로세서 또는 마이크로컨트롤러가 될 수 있다. CPU 코어는 8비트, 16비트, 32 또는 64비트의 CPU 코어로서 실행될 수 있고, 제 1 주변장치 세트는 인터페이스 모듈, 타이머, 아날로그-디지털 변환기 또는 포트 모듈과 같은 하드웨어 유닛을 포함할 수 있다. 메인 컨트롤러(101)는 도시되지 않은 전원공급장치(power supply)에 의해 전원이 공급되며, 제 1 클록 소스로부터 나오는 특정 클록 주파수에서 소프트웨어 명령어를 실행한다.
백업 컨트롤러(102)는 상태 머신(state machine), 프로그램 가능 상태 머신, 마이크로프로세서 또는 마이크로컨트롤러가 될 수 있다. 백업 컨트롤러(102)는 추가 CPU 코어, 추가 메모리, 제 2 주변장치 세트와 같은 추가 하드웨어 모듈을 포함할 수 있다. 그러나 백업 컨트롤러(102)는 메인 컨트롤러(101)보다는 단순한 아키텍쳐를 가질 수 있다.
디바이스(100)는 두 가지 다른 가동 모드에서 수행 또는 작동할 수 있다. 정상 가동 모드에서 메인 컨트롤러(101)는 장치(150)를 제어하는 애플리케이션이나 기능을 실행한다. 안전 관련 중대한 에러(safety critical error)가 발생하면, 디바이스(100)는 정상 가동 모드에서 비상 가동 모드로 전환한다. 비상 가동 모드에서는 백업 컨트롤러(102)가 장치(150)를 제어하는 애플리케이션이나 기능을 실행한다.
디바이스(100) 작동의 한 예로는 전자식 조향 시스템의 DC 모터를 제어하기 위하여 메인 컨트롤러(101)에 의해 소프트웨어가 실행하는 동안에 에러가 발생하는 경우가 있다. 이 경우 백업 컨트롤러는 비상 가동 모드에서 필요한 기능을 인계받아 실행할 수 있다. 예를 들어, 백업 컨트롤러는 문제 발생 전과 동일하게 시스템 가동을 유지할 수 있다.
백업 컨트롤러가 조향 시스템을 가동하고 있는 동안 메인 컨트롤러는 재부팅된다. 재부팅을 완료한 후 메인 컨트롤러는 조향 시스템을 다시 제어하며, 백업 컨트롤러는 비활성화 상태가 될 수 있다.
따라서 전자식 조향 시스템의 가동은 메인 컨트롤러나 백업 컨트롤러에 의해 제어되는 것이다.
제어 유닛(103)은 안전 관리 유닛(SMU)이 될 수 있다. 제어 유닛(103)은 메인 컨트롤러(101)와 백업 컨트롤러(102) 간 일종의 관리자(supervisor)로 작동한다. 제어 유닛(103)은 제어 신호(104)를 통해 메인 컨트롤러에, 제어 신호(105)를 통해 백업 컨트롤러에 연결된다. 제어 신호(104, 105)는 단방향 또는 양방향일 수 있으며, 복수의 신호라인(signal line)으로 구성될 수 있다.
제어 유닛(103)은 알람 신호로 구성된 제 1 제어 신호(104)를 평가한다. 그 결과 제어 유닛은 백업 컨트롤러(102)를 활성화하도록 제 2 제어 신호(105)의 신호 라인을 설정할 수 있으며, 이 백업 컨트롤러는 비상 모드에서 메인 컨트롤러로부터 기능을 인계받는다.
메인 컨트롤러는 안전 크리티컬 기능에서 에러를 인식하자마자 알람 신호를 발생시킨다. 이 알람 신호는 제어 유닛(103)에 의해 평가되어 메인 컨트롤러를 재부팅 또는 리셋시키고 백업 컨트롤러를 활성화한다. 알람 신호의 종류 또는 이 알람 신호에 대응하는 기타 통계치는 제어 유닛(103) 또는 다른 메모리에 저장될 수 있다.
메인 컨트롤러가 기능을 재개하자마자, 제어 유닛은 상응하는 제 1 제어 신호(104)의 신호 라인을 설정할 수 있다. 메인 컨트롤러가 정상 모드에서 작동하게 된 뒤, 제어 유닛은 백업 컨트롤러(102)로 적절한 제어 신호(105)를 발생시킬 수 있다.
장치(150)는 와이어 고정-배선(fix-wired) 전자회로와 같은 하드웨어(HW) 또는 특정 안전 기능을 실행하는 CPU에서 구동되는 소프트웨어(SW)로 구현될 수 있다. 안전 기능은 가령 전송 제어, 알람 디스플레이 제어, 전자식 동력조향 또는 전자식 브레이크 제어가 될 수 있다.
제어 유닛(103)은 안전 관련 중대한 에러 조건을 식별하고, 해당 이벤트 및 모든 관련 상태정보를 예를 들어 특정 메모리에 저장하며, 백업 컨트롤러(102)의 프로세싱을 개시할 수 있다.
디바이스(100)의 두 가동 모드는 전자식 조향와 같은 하나의 안전 관련 중요한 기능을 상이한 하드웨어(HW) 또는 소프트웨어(SW) 구성 또는 HW/SW 구성의 상이한 결합으로 구현된다.
본 실시예의 한 예로, 메인 컨트롤러(101)의 CPU 코어는 32비트 CPU 코어로 구현되는 반면, 백업 컨트롤러(102)의 CPU 코어는 8비트 CPU 코어로 구현된다. 이 경우 백업 컨트롤러는 더 적은 컴포넌트를 사용한다.
백업 컨트롤러(102)의 CPU 코어는 소정의 클록 주파수에서 동작할 수 있는데, 이 주파수는 메인 컨트롤러(101)의 CPU 코어의 클록 주파수와 같을 수도 다를 수도 있다. 백업 컨트롤러가 더 낮은 클록 주파수에서 동작하는 경우, 이는 전력을 적게 소모할 수 있다.
제 1 가동 모드, 즉 정상 모드가 메인 컨트롤러에서 작동하는 더 복잡한 소프트웨어로 구현되는 것에 비해, 제 2 가동 모드, 즉 비상 모드는 가령 백업 컨트롤러에서 동작하는 더 단순한 소프트웨어에 의해 구현될 수 있다.
본 실시예의 한 예로, 메인 컨트롤러(101)는 자동차 등에서 사용되는 전자식 동력조향 애플리케이션의 일부인 전자 모터를 포함하는 장치(150)를 제어하기 위한 복잡한 소프트웨어 루틴을 실행한다. 소프트웨어는 편리한 조향 기능을 제공할 수 있고, C언어로 처음 작성될 수 있으며, 제 1 C 컴파일러에 의해 컴파일될 수 있다. 이 안전 기능을 위해 백업 비상용 제 2 소프트웨어가 실행될 수 있다. 일례로, 제 2 소프트웨어 구현은 제 2 C 컴파일러를 사용하여 다양한 소프트웨어를 실행할 수 있다.
추가 예로서 제 2 소프트웨어 실행은 상이한 명령어들을 포함하며 덜 복잡하지만, 자동차가 정지하고 메인 컨트롤러(101)가 리셋되는 것처럼 전반적인 시스템이 안전하게 리셋될 때까지 동력 조향의 기본적인 제어는 보장한다. 메인 컨트롤러(101)가 가동 중 에러를 나타낼 경우, 제 2 소프트웨어 실행은 백업 컨트롤러(102)의 CPU에서 동작한다.
본 실시예의 추가 예로서, 백업 컨트롤러(102)의 주변 장치들은 다양화된 디자인 툴들을 사용하여 실행된다. 이 디자인 툴들은 하드웨어 기술 언어(Hardware Description Language), 가령 VHDL 또는 Verilog의 소스 코드를 실리콘 다이(die)에서 실행될 수 있는 게이트 레벨의 넷 리스트(gate level net list)로 컴파일한다. 백업 컨트롤러(102)의 게이트 레벨 넷 리스트는 메인 컨트롤러(101)의 게이트 레벨 넷 리스트를 구현하는 데 사용된 디자인 툴과는 다른 디자인 툴을 사용하여 구현되었다. 백업 컨트롤러(102)는 시뮬레이터, 디버거 또는 정식 검증 툴과 같은 특정 검증 툴에 의해 검증된다. 백업 컨트롤러(102)의 아키텍쳐에 사용되는 툴은 메인 컨트롤러(101)의 아키텍쳐를 검증하는 데 사용되는 툴과 다를 수 있다.
상이한 디자인 툴, 검증 툴 및 상이한 소프트웨어 구현을 사용하면 메인 컨트롤러(101)의 아키텍쳐 및/또는 구현과 다른 백업 컨트롤러(102)의 아키텍쳐 및/또는 구현을 제공할 수 있다. 다양한 아키텍쳐 및/또는 다양한 구현은 동일한 원으로 인한 고장(common cause failure)의 위험을 줄인다. 메인 컨트롤러(101)에서 실행되는 안전 관련 중요 기능의 가동 중 발생하는 에러의 근본 원인이 백업 컨트롤러(102)에서 실행되는 기능을 방해할 가능성이 줄어든다.
메인 및 백업 컨트롤러는 그 아키텍쳐에 있어 상이하다. 나아가 상이한 아키텍쳐는 상이한 합성 툴을 사용하여 디자인되었을 수 있으며, 상이한 검증 및 디버깅을 사용하여 검증되었을 수 있다.
도 2는 장치(150) 및 장치(150)를 제어하는 디바이스(200)를 보여준다. 디바이스(200)는 두 독립된 도메인인 도메인(210)과 도메인(220)을 포함한다. 이 도메인(210) 및 도메인(220)은 하나의 실리콘 다이 또는 개별적인 실리콘 다이들 상에 집적될 수 있다. 도메인(210) 및 도메인(220)은 전용 파워 또는 클록에 따라 구별되는 도메인인데, 이는 두 도메인 중 하나에 속하는 컴포넌트는 해당 도메인 특유의 파라미터 범위에서 동작함을 의미한다.
본 실시예의 한 예로, 도메인(210)은 이 도메인(210)에 속한 컴포넌트에 3. 3V를 제공하는 전원 공급장치를 특징으로 하는 파워 도메인이며, 반면 도메인(220)은 자신의 컴포넌트에 5V를 제공하는 전원 공급장치를 특징으로 하는 파워 도메인이다. 컴포넌트는 특정 전압을 컴포넌트 또는 주변장치 그룹에 제공하는 임베디드 전압 조정기(EVR)를 포함할 수 있다.
본 실시예의 추가 예로, 도메인(210)은 특정 클록 소스 및/또는 특정 클록 주파수에 의해 구별된다. 이 경우 도메인(210)에 속한 모든 동기화 모듈은 해당 도메인 특유의 클록 소스에서 나온 클록에서 동작한다. 도메인(220)은 도메인(210)과 같거나 다른 주파수에서 작동되는 별도의 클록 소스를 가질 수 있다.
한 실시예에서 제어 유닛은 안전 관리 유닛(SMU)일 수 있다. SMU는 제 1 부분은 제 1 파워 도메인에서 구현되고 제 2 부분은 제 2 파워 도메인에서 구현되도록 구현될 수 있다. 제 1 도메인(210)은 메인 컨트롤러(101) 및 SMU(103)의 제 1 부분에 해당하는 디바이스(203a)를 포함한다. 메인 컨트롤러(101)는 제 1 CPU를 포함하며, 디바이스(203a)에 입력되는 제어 신호(104)의 일부로서 알람 신호를 발생시킬 수 있다. SMU(103)의 제 1 부분인 디바이스(203a)는 제어 신호(104)를 판독하고, 알람 신호를 평가하며, 제어 신호(104)의 일부로서 리셋 신호를 메인 컨트롤러(101)에 제공한다. 또한 상이한 종류의 제어 신호, 가령 재부팅 신호도 메인 컨트롤러에 제공될 수 있다.
제 2 도메인(220)은 백업 컨트롤러(102) 및 SMU(103)의 제 2 부분에 해당하는 디바이스(203b)를 포함한다. 제 1 도메인(210)에 대해 설명한 것과 같이, 제 2 도메인(220)은 별도의 파워 도메인 또는 클록 도메인으로 구별될 수 있다.
메인 컨트롤러(101) 및/또는 백업 컨트롤러(102)는 제어 신호(104 또는 105)의 일부로 각각 알람 또는 상태 신호를 발생시킬 수 있다. 이 알람 혹은 데이터 신호는 제어 유닛(103) 또는 해당 도메인 특유의 회로(203a 또는 203b)에 의해 평가될 수 있다. 이 평가 결과, 제어 유닛(103)은 제어 신호(104 또는 105)의 일부로서 리셋 신호를 각각의 컨트롤러로 발생시킬 수 있다.
제어 유닛(103)의 일부인 도메인 특유의 회로(203a 또는 203b)는 인터페이스(206)를 통해 통신한다. 이 인터페이스(206)는 도메인(210)에서 도메인(220)으로 알람 신호, 상태 신호 또는 일반 정보를 전송하는 데 사용된다. 장치(150)의 안전 관련 중요 애플리케이션의 한 예로는 전자식 동력조향이 있는데, 이와 관련된 기능은 정상 가동 모드 동안 디바이스(101)(메인 컨트롤러)에서 실행될 수 있다. 알람 신호(204)에 의해 제어 유닛(103)으로 에러가 전송되는 경우, 디바이스(102)(백업 컨트롤러)는 비상 가동 모드에서 장치(150)의 제어를 이어받는다.
비상 가동 모드를 실행하기 위해 백업 컨트롤러(102)는 조향 시스템의 전류 토크 또는 조향 각도와 같이 필요한 정보를 요구한다. 이 정보는 인터페이스(207)를 통해 메인 컨트롤러(101)에서 백업 컨트롤러(102)로 전송된다.
메인 컨트롤러(101)와 백업 컨트롤러(102) 간 다양성은 시스템 에러 또는 공통 원인 에러, 특히 소프트웨어 에러를 방지한다. 메인 컨트롤러(101)와 백업 컨트롤러(102)는 전용 클록 소스를 가질 수 있어서, 가령 이들 컨트롤러들은 동일하거나 유사하거나 혹은 상이한 클록 주파수에서 동작한다.
한 실시예에서, 메인 컨트롤러에 전원 공급이 되지 않는 경우에도 백업 컨트롤러는 여전히 작동해야 한다. 따라서 메인 컨트롤러 및 백업 컨트롤러는 전용 전원 공급장치 및/또는 파워 도메인을 가지고 있어야 한다.
도 3은 또 다른 실시예로서 디바이스(200)와 유사한 디바이스(300)를 보여준다. 그러나 도 2와 달리 메인 컨트롤러(101)는 복수 신호 라인을 포함하는 알람 또는 상태 신호(304)를 발생시키고, 발생된 알람 또는 상태 신호(304)는 도메인 특유의 서브 회로(203b)에 의해 판독되는데, 즉 알람 또는 상태 신호(304)는 도메인 경계를 넘어가게 된다. 백업 컨트롤러(102)는 복수 신호 라인을 포함하는 알람 또는 상태 신호(305)를 발생시키고, 발생된 알람 또는 상태 신호(305)는 도메인 특유의 서브 회로(203a)로 입력된다.
도시되지 않은 또 다른 실시예에서 도메인 특유의 회로(203b)는 메인 컨트롤러(101)에 제공되는 제어 신호를 발생시킨다. 반대로 도메인(210)의 도메인에 특유한 회로(203a)는 백업 컨트롤러(102)에 들어가는 제어 신호를 발생시킨다.
도 4는 제 1 다이(450) 및 제 2 다이(460)를 포함하는 디바이스를 보여준다. 이 두 실리콘 다이들은 가령 하나의 공통 반도체 패키지에서 구현된다. 메인 컨트롤러(101), 시스템 관리 유닛(SMU)의 도메인에 특유한 부분(203a), 메인 컨트롤러(101)와 SMU 부분(203a) 사이의 인터페이스부(404)가 제 1 실리콘 다이(450)상에 구현된다.
백업 컨트롤러(102), 시스템 관리 유닛(SMU)의 도메인에 특유한 부분(203b), 백업 컨트롤러(102)와 SMU 부분(203a) 사이의 인터페이스부(404)는 제 2 실리콘 다이(460)상에 구현된다. 도메인 경계를 넘어 전달되는 인터페이스 신호들(404, 405, 406)은 다이 간 전용 와이어 또는 플립 칩(flip-chip) 기술에 의해 구현될 수 있다. 플립 칩은 반도체 칩 패드상에 놓인 솔더 범프(solder bump)로 반도체 디바이스를 상호 연결하는 방법이다.
도 5는 차량의 장치를 가동하는 개시된 방법을 실행하는 세 단계를 포함한 흐름도를 보여준다. 단계(501)에서는 제 1 가동 모드에서 가동하는 메인 컨트롤러에 의해 제어 신호가 발생되고 있다. 이 가동모드는 가령, 안전 관련 중요 기능에 의해 특성화될 수 있다.
차량은 사람들이나 화물을 운송하는 이동 기구(mobile machine), 가령 왜건(wagon), 자전거, 모터 차량(모터사이클, 승용차, 트럭, 버스, 기차), 선박(배, 보트), 우주선, 항공기가 될 수 있다.
제어 신호는 가령 안전 관련 중요 자동차 애플리케이션의 실행 도중 고장이 검출되는 것에 의해 야기되기도 한다. 제어 신호는 알람 신호가 될 수 있는데, 이는 가령 안전 관리 유닛(SMU)에 의해 단계(502)에서 판독되고 평가되는 복수 신호 라인을 포함할 수 있다.
그 후, 단계(503)에서 제 1 기능의 수행을 백업 컨트롤러가 인계받는다. 백업 컨트롤러는 메인 컨트롤러와 상이한 아키텍쳐나 상이한 소프트웨어 실행을 가질 수 있으며, 또는 다른 방식으로 메인 컨트롤러의 구현과 차별될 수 있다.
본 명세서에 제시된 예시들은 특히 다음 솔루션 중 적어도 하나에 기반할 수 있다. 특히 원하는 결과에 도달하기 위해 다음 특징들의 조합이 활용될 수 있다. 본 방법의 특징은 디바이스, 장치, 또는 시스템의 특징과 결합될 수 있고 또 그 반대도 가능하다.
차량의 장치를 가동하는 디바이스가 제시된다. 디바이스는 제 1 제어 신호에 의해 제어되도록 구성된 제 1 컨트롤러 및 제 2 제어 신호에 의해 제어되도록 구성된 제 2 컨트롤러를 포함한다. 나아가, 디바이스는 제 1 컨트롤러 및 제 2 컨트롤러에 연결되어 동작하는 제어 유닛을 포함하며, 이 경우 제 1 컨트롤러 및 제 2 컨트롤러는 모두 장치를 가동하도록 구성된다.
전자식 브레이크와 같이 차량의 안전 관련 부분에 해당하는 장치를 가동하는 제 1 컨트롤러에 문제가 발생한 경우, 제 1 컨트롤러는 재부팅되는 동안 제 2 컨트롤러는 장치의 가동을 인계받는다.
일 실시예에서, 제 1 컨트롤러는 제 1 가동모드에서 장치를 가동시키도록 구성되며, 제 2 컨트롤러는 제 2 가동모드에서 장치를 가동시키도록 구성된다.
제 1 가동은 차량의 정상 가동, 가령 전형적인 가동인 것을 특징으로 할 수 있다. 제 2 가동모드는 기능이 더 적거나 덜 편안할 수 있지만 차량의 기본적이고 안전한 추가 기능을 보장하는 비상모드일 수 있다.
일 실시예에서, 제 1 가동모드는 제 1 HW/SW 구성(structure)으로 안전 기능을 수행하며, 제 2 가동모드는 제 2 HW/SW 구성으로 안전 기능을 수행한다.
두 컨트롤러가 사용하는 하드웨어(HW)는 상이할 수 있다. 이들은 상이한 CPU, 상이한 주변장치 세트 및/또는 메모리를 사용할 수 있다. 또한 상이한 하드웨어에 대신하여 또는 상이한 하드웨어와 함께 두 컨트롤러에서 실행되는 소프트웨어(SW)도 다를 수 있다.
일 실시예에서, 디바이스는 제 1 컨트롤러에 클록을 공급(clock)하는 제 1 클록 발생기 및 제 2 컨트롤러에 클록을 공급(clock)하는 제 2 클록 발생기를 더 포함한다.
상이한 클록 신호로, 상이한 전력 소모 및 성능을 달성할 수 있다. 한 예로 제 1 또는 메인 컨트롤러는 제 2 또는 백업 컨트롤러에 비해 더 높은 클록 레이트로 실행되어 더 나은 전반적인 성능을 낸다.
일 실시예에서 제 1 컨트롤러는 제 1 클록 주파수에서 작동하도록 구성되고 제 2 컨트롤러는 제 2 클록 주파수에서 작동하도록 구성된다.
일 실시예에서 제 1 컨트롤러는 제 1 파워 도메인에서 작동하도록 구성되고 제 2 컨트롤러는 제 2 파워 도메인에서 작동하도록 구성된다.
일 실시예에서, 제어 유닛은 제 1 파워 도메인에서 실행되는 서브 회로 및 제 2 파워 도메인에서 실행되는 제 2 보조 회로를 포함한다.
일 실시예에서, 제 1 컨트롤러는 제 1 주변장치 세트와 작동하도록 구성되고 제 2 컨트롤러는 제 2 주변장치 세트와 작동하도록 구성된다.
일 실시예에서, 제 2 주변장치 세트의 주변 장치 개수는 제 1 주변장치 세트의 주변 장치 개수보다 적다.
일 실시예에서, 제어 유닛은 제 1 제어 신호를 저장하도록 구성된다.
차량의 장치를 가동하는 방법이 제시된다. 이 방법은 제 1 컨트롤러에 의해 제어 신호를 발생시키는 단계와 제 1 가동 모드에서 장치를 가동하는 단계를 포함한다. 이 방법은 계속하여 제어 유닛에 의해 제어 신호를 평가하여 평가 결과를 제공하는 단계와, 평가 결과에 따라 제 2 컨트롤러가 장치의 가동을 인계받는 단계를 진행한다.
제 1 모드에서 제 1 컨트롤러, 즉 메인 컨트롤러는 장치를 더 가동시킬 경우의 문제를 나타내는 알람 신호를 발생시킬 수 있다. 장치는 전자식 브레이크 또는 조향 시스템과 같이 차의 안전 관련 중요 부분일 수 있다. 발생된 알람 신호는 장치가 제 2 컨트롤러, 즉 백업 컨트롤러에 의해 더욱 잘 가동되고 제어될 수 있는지를 판정하는 안전 제어 유닛에 의해 평가될 수 있다.
일 실시예에서, 이 방법에 쓰이는 장치는 안전 기능을 실행하도록 구성된다.
일 실시예에서, 제 2 컨트롤러는 제 1 컨트롤러와는 상이한 아키텍쳐에서 실행되도록 구성된다.
일 실시예에서, 제 1 컨트롤러 및 제 2 컨트롤러는 독립된 파워 도메인에서 가동되도록 구성된다.
시스템이 제시된다. 시스템은 차량의 장치를 가동하는 제 1 컨트롤러를 포함하는데, 이 경우 장치는 안전 기능을 실행하도록 구성된다. 또한 시스템은 장치를 가동하는 제 2 컨트롤러를 포함하고, 제 1 컨트롤러 및 제 2 컨트롤러를 제어하도록 구성된 제어 유닛을 포함하는데, 이 경우 제 1 컨트롤러는 제 1 다이상에 구현되고 제 2 컨트롤러는 제 2 다이상에 구현된다.
제 1 다이는 특정 CMOS 반도체 기술로 제조되고, 제 2 다이는 제 1 다이에 사용된 CMOS 기술과는 다른 기술로 제조될 수 있다. 두 다이는 서로를 인터페이싱하는 패드를 제공할 수 있다. 두 다이의 패드는 와이어 결합(wire-bond) 기술 또는 플립 칩(flip-chip) 기술을 사용하여 서로 연결될 수 있다.
일 실시예에서, 제 1 다이 및 제 2 다이는 하나의 공통 패키지로 구현된다.
패키지는 QFP, TQFP, 또는 BGAs (Ball Grid Arrays) 패키지일 수 있다. 시스템의 상이한 부분은 각각 두 컨트롤러 중 하나를 이용하여 실행될 수 있다. 다른 예로 제어 유닛은 제 3 다이상에 구현될 수 있는데, 이 경우 제 3 다이는 제 1 다이 및 제 2 다이와 동일하거나 상이한 기술로 제조될 수 있다.
시스템이 추가로 제시된다. 이 시스템은 안전 기능을 실행하도록 구성되는 차량의 장치를 가동하는 제 1 컨트롤러와 장치를 가동하는 제 2 컨트롤러를 포함한다. 또한, 이 시스템은 제 1 컨트롤러 및 제 2 컨트롤러를 제어하는 제어 유닛을 포함하는데, 이 경우 제 1 컨트롤러는 제 1 다이상에 구현되고 제 2 컨트롤러는 제 2 다이상에 구현된다.
하나 이상의 실시예에서, 본 명세서에서 설명된 자동차 안전 기능은 특정 하드웨어 컴포넌트 또는 프로세서와 같이 적어도 하드웨어로 부분적으로 구현될 수 있다. 더 일반적으로는 본 기술은 하드웨어, 프로세서, 소프트웨어, 펌웨어, 또는 이들의 조합으로 구현될 수 있다.
안전 기능이 소프트웨어로 구현될 경우 컴퓨터 판독가능 매체상의 하나 이상의 명령어 또는 코드로 저장되거나 전송될 수 있으며, 하드웨어 기반의 프로세싱 유닛에 의해 실행될 수 있다. 컴퓨터 판독가능 매체는 데이터 저장 매체와 같은 유형(tangible) 매체인 컴퓨터 판독가능 저장 매체와 통신 프로토콜에 따라 한 장소에서 다른 장소로 컴퓨터 프로그램의 전송을 가능하게 하는 매체인 통신 매체를 포함한다.
데이터 저장 매체는 본 명세서에 설명된 기술의 구현을 위한 명령어, 코드 및/또는 데이터 구조를 불러오기 위해 하나 이상의 컴퓨터 또는 하나 이상의 프로세서로 접근할 수 있는 이용 가능 매체일 수 있다. 컴퓨터 프로그램 제품은 컴퓨터 판독가능 매체를 포함할 수 있다.
개시된 기술을 실행하도록 구성된 디바이스의 기능적 측면을 강조하기 위해 다양한 컴포넌트, 모듈, 또는 유닛이 본 개시에서 설명되지만, 반드시 서로 다른 하드웨어 유닛에 의해 구현되어야 하는 것은 아니다. 오히려 다양한 유닛들이 단일 하드웨어 유닛으로 결합될 수도 있고, 전술한 바와 같이 적절한 소프트웨어 및/또는 펌웨어와 함께 하나 이상의 프로세서를 포함하여 상호작용하는 하드웨어 유닛 모음으로 제공될 수도 있다.
발명의 다양한 실시예가 개시되었지만, 명백한 것은 통상의 기술자에게는 발명의 사상 및 범위를 떠나지 않고 발명의 이점을 갖게 하도록 다양한 변환 및 수정이 가능하다는 것이다. 통상의 기술자는 동일한 기능을 수행하는 상이한 컴포넌트로 적절하게 대체할 수 있다. 특정 도면 참조하여 설명된 특징은 명확하게 언급된 적이 없는 경우라도 다른 도면의 특징과 조합될 수 있다. 나아가, 본 발명의 방법들은 적절한 프로세서 명령어를 사용하여, 소프트웨어만으로 구현될 수도 있고 또는 동일한 결과를 내는 하드웨어 로직 및 소프트웨어 로직의 조합을 사용한 하이브리드 구현을 통해 달성될 수도 있다. 이러한 발명에 대한 수정도 아래 부가된 청구항에 의해 포함되도록 하였다.

Claims (17)

  1. 차량의 장치(150)를 가동하는 디바이스(100)로서,
    제 1 제어 신호(104)에 의해 제어되도록 구성된 제 1 컨트롤러(101)와,
    제 2 제어 신호(105)에 의해 제어되도록 구성된 제 2 컨트롤러(102)와,
    상기 제 1 컨트롤러 및 상기 제 2 컨트롤러에 연결되어 동작하는 제어 유닛(103)을 포함하되,
    상기 제 1 컨트롤러 및 상기 제 2 컨트롤러는 모두 상기 장치를 가동하도록 구성되는
    디바이스.
  2. 제 1 항에 있어서,
    상기 제 1 컨트롤러는 제 1 가동 모드에서 상기 장치를 가동하도록 구성되고 상기 제 2 컨트롤러는 제 2 가동 모드에서 상기 장치를 가동하도록 구성되는
    디바이스.
  3. 제 2 항에 있어서,
    상기 제 1 가동 모드는 제 1 HW/SW 구성(structure)으로 안전 기능(safety function)을 구현하고 상기 제 2 가동 모드는 제 2 HW/SW 구성으로 상기 안전 기능을 구현하는
    디바이스.
  4. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    상기 제 1 컨트롤러에 클록을 공급(clock)하는 제 1 클록 발생기 및 상기 제 2 컨트롤러에 클록을 공급하는 제 2 클록 발생기를 더 포함하는
    디바이스.
  5. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    상기 제 1 컨트롤러(101)는 제 1 클록 주파수에서 작동하도록 구성되고 상기 제 2 컨트롤러(102)는 제 2 클록 주파수에서 작동하도록 구성되는
    디바이스.
  6. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    상기 제 1 컨트롤러는 제 1 파워 도메인(210)에서 작동하도록 구성되고 상기 제 2 컨트롤러는 제 2 파워 도메인(220)에서 작동하도록 구성되는
    디바이스.
  7. 제 6 항에 있어서,
    상기 제어 유닛(103)은 상기 제 1 파워 도메인(210)에서 구현되는 서브 회로(203a) 및 상기 제 2 파워 도메인(220)에서 구현되는 제 2 서브 회로(203a)를 포함하는
    디바이스.
  8. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    상기 제 1 컨트롤러는 제 1 주변장치 세트와 작동하도록 구성되고 상기 제 2 컨트롤러는 제 2 주변장치 세트와 작동하도록 구성되는
    디바이스.
  9. 제 8 항에 있어서,
    상기 제 2 주변장치 세트의 주변장치 개수가 상기 제 1 주변장치 세트의 주변장치 개수보다 적은
    디바이스.
  10. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    상기 제어 유닛(103)은 상기 제 1 제어 신호(104)를 저장하도록 구성된
    디바이스.
  11. 차량의 장치를 가동하는 방법으로서,
    제 1 가동 모드에서 상기 장치(150)를 가동하는 제 1 컨트롤러(101)에 의해 제어 신호(104)를 발생시키는 단계와,
    제어 유닛(103)에 의해 상기 제어 신호를 평가하여 평가 결과를 제공하는 단계와,
    상기 평가 결과에 따라 제 2 컨트롤러(102)에 의해 상기 장치의 가동을 이어 받는 단계를 포함하는
    방법.
  12. 제 11 항에 있어서,
    상기 장치가 안전 기능을 실행하도록 구성된
    방법.
  13. 제 11 항 또는 제 12 항에 있어서,
    상기 제 2 컨트롤러는 상기 제 1 컨트롤러와는 다른 아키텍쳐(diverse architecture)로 구현되는
    방법.
  14. 제 11 항 또는 제 12 항에 있어서,
    상기 제 1 컨트롤러 및 상기 제 2 컨트롤러는 개별(serperate) 파워 도메인(220, 230)에서 각각 작동하도록 구성된
    방법.
  15. 차량의 장치를 가동하는 제 1 컨트롤러(101) - 상기 장치(150)는 안전 기능을 실행하도록 구성됨 - 와,
    상기 장치를 가동하는 제 2 컨트롤러(102)와,
    상기 제 1 컨트롤러 및 상기 제 2 컨트롤러를 제어하도록 구성된 제어 유닛(103)을 포함하되,
    상기 제 1 컨트롤러는 제 1 다이(450)상에 구현되고 상기 제 2 컨트롤러는 제 2 다이(460)상에 구현되는
    시스템.
  16. 제 15 항에 있어서,
    상기 제 1 다이 및 상기 제 2 다이는 공통 패키지내에 구현되는
    시스템.
  17. 차량의 장치(150)를 가동하는 제 1 컨트롤러(101) - 상기 장치(150)는 안전 기능을 실행하도록 구성됨 - 와,
    상기 장치를 가동하는 제 2 컨트롤러(102)와,
    상기 제 1 컨트롤러 및 상기 제 2 컨트롤러를 제어하는 제어 유닛(103)을 포함하되,
    상기 제 1 컨트롤러 및 상기 제 2 컨트롤러는 하나의 다이상에 구현되는
    시스템.
KR1020160028608A 2015-03-12 2016-03-10 안전 관련 중대한 에러를 처리하는 방법 및 장치 KR20160110203A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102015003194.5A DE102015003194A1 (de) 2015-03-12 2015-03-12 Verfahren und Vorrichtung zum Handhaben von sicherheitskritischen Fehlern
DE102015003194.5 2015-03-12

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020180022786A Division KR20180022759A (ko) 2015-03-12 2018-02-26 안전 관련 중대한 에러를 처리하는 방법 및 장치

Publications (1)

Publication Number Publication Date
KR20160110203A true KR20160110203A (ko) 2016-09-21

Family

ID=56800916

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020160028608A KR20160110203A (ko) 2015-03-12 2016-03-10 안전 관련 중대한 에러를 처리하는 방법 및 장치
KR1020180022786A KR20180022759A (ko) 2015-03-12 2018-02-26 안전 관련 중대한 에러를 처리하는 방법 및 장치

Family Applications After (1)

Application Number Title Priority Date Filing Date
KR1020180022786A KR20180022759A (ko) 2015-03-12 2018-02-26 안전 관련 중대한 에러를 처리하는 방법 및 장치

Country Status (4)

Country Link
US (2) US10017188B2 (ko)
JP (1) JP6525906B2 (ko)
KR (2) KR20160110203A (ko)
DE (1) DE102015003194A1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180128576A (ko) * 2017-05-24 2018-12-04 현대모비스 주식회사 다중 코어 제어 방법
KR20190094531A (ko) * 2018-02-05 2019-08-14 주식회사 만도 리던던트 구조 기반의 차량 제어 장치 및 방법
KR20190094523A (ko) * 2018-02-05 2019-08-14 주식회사 만도 리던던트 구조 기반의 차량 제어 장치 및 방법

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9805525B2 (en) 2014-07-07 2017-10-31 Infineon Technologies Ag Apparatus and a method for providing an error signal for a control unit
US11648917B2 (en) 2017-03-31 2023-05-16 Mitsubishi Jidosha Kogyo Kabushiki Kaisha Vehicle brake system
DE102017223331A1 (de) * 2017-12-20 2019-06-27 Audi Ag Steuerung einer Fahrwerkkomponente eines Fahrzeugs
US11643092B2 (en) 2017-12-27 2023-05-09 Bayerische Motoren Werke Aktiengesellschaft Vehicle lane change prediction
US10671067B2 (en) * 2018-01-15 2020-06-02 Qualcomm Incorporated Managing limited safe mode operations of a robotic vehicle
US11188075B2 (en) * 2018-08-02 2021-11-30 Qualcomm Incorporated Controlling a robotic vehicle following flight controller signal loss
DE102019201607A1 (de) * 2019-02-07 2020-08-13 Volkswagen Aktiengesellschaft Steuerungssystem für ein Kraftfahrzeug
DE102019202627B3 (de) * 2019-02-27 2020-04-16 Robert Bosch Gmbh Verfahren zum Betrieb einer Lenkungssteuervorrichtung zur Ansteuerung einer elektrischen Lenkung und Lenkungssteuervorrichtung
DE102019125867B4 (de) 2019-09-25 2022-05-05 Keba Industrial Automation Germany Gmbh Programmierbarer elektronischer Leistungssteller
US11749122B1 (en) * 2019-12-12 2023-09-05 Amazon Technologies, Inc. Multi-device redundant flight controller
DE102022209229A1 (de) 2022-09-06 2024-03-07 Robert Bosch Gesellschaft mit beschränkter Haftung Vorrichtung zur Interprozessorkommunikation, Steuergerät mit der Vorrichtung und Fahrzeug mit dem Steuergerät, Verfahren zum Betreiben der Vorrichtung

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0811942B2 (ja) 1984-07-11 1996-02-07 株式会社日立製作所 エンジン制御装置
JPH0544546A (ja) 1991-08-20 1993-02-23 Fujitsu Ten Ltd スロツトル制御装置
JP3308669B2 (ja) 1993-07-30 2002-07-29 マツダ株式会社 システム制御装置
JPH07253897A (ja) 1994-03-15 1995-10-03 Fujitsu Ltd I/o回路
DE19834868B4 (de) * 1998-08-01 2007-10-18 Robert Bosch Gmbh Lenkradsteller für die Steer-by-Wire-Anwendung in Kraftfahrzeugen
JP3493640B2 (ja) 2000-04-05 2004-02-03 本田技研工業株式会社 車両用電子制御装置
WO2006024957A2 (en) * 2004-07-01 2006-03-09 Harman Becker Automotive Systems Gmbh Computer architecture for a multimedia system used in a vehicle
DE102005037246A1 (de) 2005-08-08 2007-02-15 Robert Bosch Gmbh Verfahren und Vorrichtung zur Steuerung eines Rechnersystems mit wenigstens zwei Ausführungseinheiten und einer Vergleichseinheit
JP5363243B2 (ja) * 2009-08-28 2013-12-11 株式会社ミツバ パーキングロックアクチュエータ用制御回路
EP2550599B1 (de) * 2010-03-23 2020-05-06 Continental Teves AG & Co. OHG Kontrollrechnersystem, verfahren zur steuerung eines kontrollrechnersystems, sowie verwendung eines kontrollrechnersystems
DE102010013349B4 (de) 2010-03-30 2013-06-13 Eads Deutschland Gmbh Computersystem und Verfahren zum Vergleichen von Ausgangssignalen
JP2011227786A (ja) * 2010-04-22 2011-11-10 Panasonic Corp マイクロコンピュータ制御システム、並びにそれを用いた充電装置および太陽光電源システム
JP5525402B2 (ja) 2010-09-30 2014-06-18 株式会社日立製作所 2重系装置の制御装置
US9021284B2 (en) 2011-09-08 2015-04-28 Infineon Technologies Ag Standby operation with additional micro-controller
US8538558B1 (en) * 2012-03-01 2013-09-17 Texas Instruments Incorporated Systems and methods for control with a multi-chip module with multiple dies
US9076807B2 (en) * 2012-09-11 2015-07-07 Analog Devices, Inc. Overvoltage protection for multi-chip module and system-in-package

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180128576A (ko) * 2017-05-24 2018-12-04 현대모비스 주식회사 다중 코어 제어 방법
KR20190094531A (ko) * 2018-02-05 2019-08-14 주식회사 만도 리던던트 구조 기반의 차량 제어 장치 및 방법
KR20190094523A (ko) * 2018-02-05 2019-08-14 주식회사 만도 리던던트 구조 기반의 차량 제어 장치 및 방법
US11190957B2 (en) 2018-02-05 2021-11-30 Mando Corporation Apparatus and method for controlling vehicle based on redundant architecture
US11609567B2 (en) 2018-02-05 2023-03-21 Hl Mando Corporation Apparatus and method for controlling vehicle based on redundant architecture

Also Published As

Publication number Publication date
JP2016170786A (ja) 2016-09-23
US10017188B2 (en) 2018-07-10
US20160264150A1 (en) 2016-09-15
JP6525906B2 (ja) 2019-06-05
DE102015003194A1 (de) 2016-09-15
US20180111626A1 (en) 2018-04-26
KR20180022759A (ko) 2018-03-06
US10576990B2 (en) 2020-03-03

Similar Documents

Publication Publication Date Title
KR20180022759A (ko) 안전 관련 중대한 에러를 처리하는 방법 및 장치
JP4999262B2 (ja) 信頼性マイクロコントローラ、マイクロコントローラにおける欠陥検出方法、マイクロコントローラ用欠陥許容システム設計方法、およびコンピュータプログラム製品
JP5722150B2 (ja) マイクロコントローラ
US6415394B1 (en) Method and circuit for analysis of the operation of a microcontroller using signature analysis during operation
US20080046603A1 (en) Line Diagnostic Device, Bus System, Line Diagnostic Method, Bus System Control Method, and Line Diagnostic Program
CN104281217B (zh) 微型计算机
EP3198725B1 (en) Programmable ic with safety sub-system
US8509989B2 (en) Monitoring concept in a control device
US10078565B1 (en) Error recovery for redundant processing circuits
Kohn et al. Architectural concepts for fail-operational automotive systems
WO2008099239A1 (en) System, computer program product and method for testing a logic circuit
JPS5968004A (ja) 車載用コンピユ−タのフエイルセ−フ方法
KR20190035480A (ko) 마이크로 컨트롤러 및 마이크로 컨트롤러의 제어방법
JP2010244311A (ja) 車載用電子制御装置
KR102016004B1 (ko) 록스텝 시스템들의 주기적인 비-간섭적 진단
EP3629176B1 (en) Fault detection circuit with progress register and status register
KR20070068405A (ko) 가변 클록 속도를 갖는 데이터 처리 시스템
Brewerton et al. Demonstration of automotive steering column lock using multicore autosar® operating system
KR20050084077A (ko) 전자 회로 및 내장형 시스템
JP2014209312A (ja) 集積回路
US20120210085A1 (en) Method for executing security-relevant and non-security-relevant software components on a hardware platform
Beckschulze et al. Fault handling approaches on dual-core microcontrollers in safety-critical automotive applications
CN104063317A (zh) 一种指令诊断方法
Baumeister Using Decoupled Parallel Mode for Safety Applications
CN118093293B (zh) 一种车规芯片中存储失效检测与修复方法及装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
A107 Divisional application of patent
J201 Request for trial against refusal decision
J301 Trial decision

Free format text: TRIAL NUMBER: 2018101000841; TRIAL DECISION FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20180226

Effective date: 20190422