WO2016087175A1 - Rechensystem für ein kraftfahrzeugsystem - Google Patents

Rechensystem für ein kraftfahrzeugsystem Download PDF

Info

Publication number
WO2016087175A1
WO2016087175A1 PCT/EP2015/076559 EP2015076559W WO2016087175A1 WO 2016087175 A1 WO2016087175 A1 WO 2016087175A1 EP 2015076559 W EP2015076559 W EP 2015076559W WO 2016087175 A1 WO2016087175 A1 WO 2016087175A1
Authority
WO
WIPO (PCT)
Prior art keywords
partitions
memory
computing system
software
data
Prior art date
Application number
PCT/EP2015/076559
Other languages
English (en)
French (fr)
Inventor
Daniel Baumeister
Adrian Traskov
Original Assignee
Continental Teves Ag & Co. Ohg
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Teves Ag & Co. Ohg filed Critical Continental Teves Ag & Co. Ohg
Publication of WO2016087175A1 publication Critical patent/WO2016087175A1/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1695Error detection or correction of the data by redundancy in hardware which are operating with time diversity
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1633Error detection by comparing the output of redundant processing systems using mutual exchange of the output between the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • G06F11/1645Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components and the comparison itself uses redundant hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1683Temporal synchronisation or re-synchronisation of redundant processing components at instruction level
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1479Generic software techniques for error detection or fault masking
    • G06F11/1487Generic software techniques for error detection or fault masking using N-version programming
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1679Temporal synchronisation or re-synchronisation of redundant processing components at clock signal level

Definitions

  • the present invention relates to a computing system for a motor vehicle system according to the preamble of claim 1.
  • Fault-tolerant and fail-safe vehicle systems as they are required for applications of the automated driving, place increased demands on the availability and interactions ⁇ kung freedom of electronic components of individual motor vehicle systems and here specifically controller to a respective micro, the underlying software of a operated by this Vehicle system performs. For these vehicle systems lowest possible default probability ⁇ friendliness is aimed accordingly.
  • An example of a highly available or failsafe vehicle system is a braking system of a
  • DE 32 34 637 C2 To increase the reliability of errors, it is known from DE 32 34 637 C2 to operate two processors with identical software, which is also referred to as symmetrical redundancy.
  • DE 41 37 124 A 1 a microprocessor system with asymmetric redundancy is described, wherein two processors are operated with different software.
  • Another kernredundantes system is described in DE 195 29 434 AI, in which two synchronously operated processor cores are provided on one or more chips that receive the same input information and the same program ab work.
  • the two processor cores are connected via separate bus systems to the read-only memory and to the read-write memory as well as to input and output units.
  • the bus systems are interconnected by driver stages or bypasses which allows the two processor cores to jointly read and execute the available data, including test data and instructions.
  • Only one of the two processor cores is connected (directly) to a full-value read-only memory and a read-write memory, while the memory capacity of the second processor core is limited to test data memory spaces (parity monitoring) in conjunction with a test data generator. Access to all data is through the bypasses. As a result, both processor cores are able to execute the complete program.
  • the arithmetic and bus systems are redundant in systems of this type, but the peripheral and storage systems are non-redundant and designed with a single access port controlled only by the local side.
  • WO 2008/146091 AI a data processing system with two central processing units and peripheral components for forming two data processing modules is described, wherein the two computing units, with the respectively associated peripheral components, or the data processing modules formed by them, in a mutually synchronized operating mode or in a unsynchronized operating mode can work.
  • the data processing system may have redundant software and, in the non-synchronized mode of operation, diverse software, e.g. differently programmed algorithms to obtain an equal result.
  • WO 2011/117155 describes a control computer system or a method for controlling the same, which includes redundant and synchronized microprocessors, wherein in the case of desynchronization of the processors a processing of an application software is stopped and an error check of the processors is performed.
  • the invention describes a computing system for a motor vehicle system, comprising a plurality of partitions, each having at least one central processing unit and memory and / or peripheral resources, and which is designed to implement a plurality of system configurations, wherein in at least one of the system configurations monitoring of at least two partitions at least one surveil ⁇ monitoring means for comparing data of the at least two partitions of control points of the executable software by these partitions is feasible.
  • a partition is in particular a (sub-) computing system with assigned
  • inventive solution does not include separation into functional resource and resource for backup and provides all existing computational resources for functional use. Additional security measures on checkpoints reduce first Although the provided functional computing resource, but not to the same extent as is the case with an in lock-step ba ⁇ -stabilizing system, so proportionately more resources for functional use can be provided.
  • the monitoring device is designed in accordance with a further development of the computing system according to the invention in the examination of the data of the at least two partitions to take into account a deviation of the temporal execution and / or the computational accuracy of executable by these partitions software. An examination is thus advantageously carried out e.g. even with different timings of the two central processing unit (CPU) unit.
  • Computational units or partitions and different algorithms realized may be provided according to another aspect of the invention that there is no check for coherency of hardware states (e.g., signals, buses, state machines).
  • hardware states e.g., signals, buses, state machines.
  • the computing system comprises memory for storing the data present at the control points of the at least two partitions provided, which could be used to take into account a deviation of the temporal execution and / or the computational accuracy of executable by these partitions software by the monitoring device.
  • memory for storing the data present at the checkpoints, at least 2n memories are preferably provided for realizing the comparison with data having ⁇ n clock cycles of temporal deviation.
  • the computing system is designed according to further development for addressing the memory for storing the data present at the checkpoints by means of a dedicated interface and / or a special opcode.
  • an addressing of the memory and / or peripheral resources is advantageously not via an access of the peripheral and / or memory bus, whereby no delays in the actual control tasks of the system arise.
  • the data collected at the checkpoints includes an index, a check value, a time stamp, a tolerance value for the check value, and a tolerance value for the time stamp. Alternatively it can be provided not to capture all of the above information.
  • the computing system is configured in such a way that at least two of the partitions can be operated in a software lockstep with diverse software according to at least one of the system configurations, monitoring of the partitions being possible by means of the monitoring device.
  • the computing system is further configured preferably in such a way that we ⁇ tendonss one of the system configurations of the at least two partitions are respectively operable in a hardware lockstep, wherein a monitoring of the partitions is executable by means of the monitoring device.
  • the computing system according to the invention thus has a considerably improved flexibility in the adaptation to applications.
  • the computing system according to the invention preferably supports at least two system configurations:
  • a multi-channel access port is preferably provided in an associated memory and / or peripheral bus matrix.
  • a control and / or data flow control of the memory and / or peripheral resources is preferably implemented in hardware. This can be a mixed operation of operated in Hard ⁇ ware-Lockstep and not in hardware lockstep - in particular software Lockstep, so with execution
  • the division of the memory and peripheral resources is preferably carried out statically and a priori at system start according to the functional partitioning of the functions on the partitions.
  • the monitoring device is preferably implemented independently of the actual computing functions of the partitions. As a result, an interaction freedom is achieved in an advantageous manner.
  • control points are preferably defined a priori and are implemented in the various software implementations.
  • the computer system according to the invention preferably finds application in a safety-critical motor vehicle system, in particular a motor vehicle brake system. Further preferred embodiments will become apparent from the following description of an embodiment with reference to figures. In a schematic representation and limited to explanation of the invention essential elements, show:
  • Fig. 1 shows an embodiment of the present invention re- chensystems in two different Systemkonfigura ⁇ functions, with a) Hardware lockstep and b) Soft ware ⁇ lockstep partitions operated with appriska- naligem access to the peripheral / storage system and
  • FIG. 2 shows an embodiment of a multi-core architecture with two-channel access path to the peripheral / storage system.
  • the invention describes a microcontroller security architecture which has at least two configurations, wherein in a first configuration a hardware lockstep system having two partitions A, B is implemented and in a second configuration monitoring of a software implementation of the first partition (computing system A ) by diversitary software execution of the second partition (computing system B) takes place (software lockstep).
  • FIGS. 1 a) and b) show a schematic representation of the two different system configurations of a microcontroller system according to the invention, wherein a dual-channel access option (dual channel) of the central processing units 1A and 1B to the memory cells is provided by means of a dual-channel access port in the peripheral bus matrix. (eg SRAM, Flash) and / or peripheral resources 2A and 2B can be realized.
  • a dual-channel access option dual channel
  • the central processing units 1A and 1B to the memory cells is provided by means of a dual-channel access port in the peripheral bus matrix.
  • the peripheral bus matrix eg SRAM, Flash
  • peripheral resources 2A and 2B can be realized.
  • Read_data via the bypass mechanism 3A and 3B can be non-selectively forwarded to the non-local page.
  • a forwarding of the control signals control and write data Write_data to the respective other partition does not take place according to this exemplary configuration.
  • this configuration organize (not shown) and the Pe ⁇ ripherie-bus matrix, the individual peripheral modules and SpeI ⁇ cherports by accessing rod parts (n) each partition A, B to the memory controller. Access to a peripheral and / or memory module 2A, 2B is controlled during operation of the computer system from the partition associated with that module in the access panel.
  • a partition can access not only the peripheral and / or memory modules 2A, 2B associated with that partition, but also the non-local modules, with bypass 3A and / or 3B of the read data being selectively and configurable ( config) is configured and each partition only evaluates the modules assigned to it.
  • An access to a relevant peripheral resource 2A, 2B can only take place from one of the central processing units 1A and 1B. Sharing of peripheral resources between the central processing units 1A and 1B is not supported. Characterized in that by the central processing units 1A and 1B, with In general, different peripheral resources, different software is executed, it must be ensured that the read data is provided only one of these two central processing units 1A and 1B, whereby the selective access is ensured.
  • the selection of the central processing unit 1A or 1B is preferably a priori and can be configured, for example, via configuration tables in the respective bypass module.
  • the same access control that exists in the write access peripheral bus matrix is implemented here in the read access bypass modules 3A, 3B.
  • the software of the two partitions A and B is preferably diversified, wherein software components of one partition take over monitoring functions for software components of the further partition.
  • Software components of one type do not necessarily have to be separate, which would mean that one partition would take over the monitoring of the other partition.
  • Partitions are separated, with functions to be monitored and monitored can be distributed to both partitions.
  • the two partitions A and B are decoupled and, in comparison to configuration a), are preferably not checked for temporal coherence, since different runtimes may result due to the diversified software.
  • additional security measures in particular software-implemented, are preferably provided. Since the execution time and execution accuracy of the various software components executed by the arithmetic units 1A and 1B may differ on both partitions, at least one monitoring device (not shown) for processing data to be compared of the partitions A and B is provided which minimizes deviations Time and value range can have.
  • the security measures include according to the invention Writing data to pre-defined software control points in designated memory of the monitoring device. At the software checkpoints lie, in particular at substantially error-free operation considering the due to the diversified implementation
  • the data acquired at the software checkpoints during execution include, for example, an index, a variable value - in particular in the sense of a checksum (for example CRC) - a time stamp, a tolerance value for the variable and a tolerance value for the time stamp.
  • the monitoring device (s) is / are preferably implemented only in hardware, but can also be realized in a software-based manner.
  • the monitoring device preferably provides the following functions:
  • the monitoring device is preferably designed in such a way that it can receive and compare data from the arithmetic units 1A and 1B or from the partitions A, B of the computer system.
  • the monitoring direction preferably has at least 2n buffer stages which make it possible to compare data which occurs offset in ⁇ n clock cycles.
  • a monitoring unit preferably only a single memory in which both arithmetic units 1A and 1B write the data at the control points. This memory is 2n entries deep, where n is a parameter for the time tolerance between the two subsystems. Often, the computing units 1A and 1B have different timings, so that the higher clocked computing system passes a larger number of control points than the lower one in the same time unit clocked. By means of an adapted buffer depth, the data at the checkpoints from the higher-clocked system are thus advantageously kept until the lower-clocked system has written the relevant and corresponding checkpoint into the memory.
  • the monitoring unit is preferably redundant and designed with mutual monitoring (see below). This is preferably used to detect errors in the monitoring units themselves (latent errors).
  • Each buffer stage stores at the software control points expediently at least one pair of values from the Par ⁇ titions.
  • a matching comparison result exists if the variable values and the time stamps in the two comparison channels lie within the tolerance ranges.
  • the monitoring device preferably provides a watchdog functionality which secures the comparison ⁇ operation as to the temporal execution.
  • a temporal divergence of the partitions A, B and an overflow of the or the comparison buffer can be intercepted.
  • the monitoring device is preferably configured redundantly, wherein a monitoring of the temporal coherence by the plurality of monitoring device instances, which perform a mutual monitoring, reali ⁇ sierbar.
  • the monitoring means preferably comprises a dedicated signal interface of the central rake ⁇ units 1A, 1B, which allows to write the values to be compared in pairs the buffer.
  • an addressing of the buffer is advantageously not via a register access of the peripheral bus, but preferably by means of a dedicated CPU interface
  • a negative comparison result or a triggering of the watchdog of the monitoring device preferably triggers the transition of the system into the safe state.
  • a system has been described with a redundant central processing units according to configuration a), which in the decoupled configuration b) can be converted into a system with two central processing units, which are designed to execute diversified software.
  • the described approach can be scaled to systems with at least two partitions A, B, which respectively comprise several central processing units (multi-core systems) or processor cores CoreO_A, Corel_A, Core2_A and CoreO_B, Corel_B, Core2_B, as shown in FIG is shown.
  • the embodiment of FIG. 2 shows a multi-core microcontroller architecture with dual-channel access for peripheral bridges, SRAM and flash controllers (A / B ports) 2A, 2B.
  • the configuration b) allows the implementation of a software-based
  • Security concept also a performance scaling of the various partitions or central processing units comprehensive microcontroller by the decoupled partitions are used without further safeguards for computational tasks, especially in the context of a reduced security context.
  • a configuration can also be implemented in which one or more partitions work in a hardware lockstep mode and the other partitions are decoupled.
  • the monitoring device can fulfill, for example, two functions in this constellation:
  • a monitoring device for operation in hardware lockstep, corresponding to the configuration according to Fig. 1 a), but with support of time variance ("window comparator") by the execution of different (diversified) software in the decoupled partitions, which may also be operated in Lockstep, there may also be a time difference between them
  • Monitoring device (not shown) preferably a buffer depth of several clock cycles, as has already been described for the embodiment of FIG.
  • a matching comparison result is if there are matching data from the input channels within the buffer depth.
  • the buffer depth is determined by the maximum possible deviation of the partitions A and B to be compared when using decoupled partitions. Small buffer depths can be achieved by paying attention to as much independence of the signal paths from and into the partitions as possible on a higher level of the partitions.
  • multi-port flash multi-port SRAM
  • FIG. 2 illustrates that dedicated memory access ports per partition
  • multi-port SRAM multi-port SRAM
  • FIG. 2 illustrates that the memory and peripheral modules 2A and 2B, which are SRAM and flash memories by way of example.
  • Means for realizing the bypass functionality 3A, 3B are arranged in the Date ⁇ nübertragungsweg between the peripheral bridges 4A, 4B, for communication with peripheral 5A, 5B, and the crossbar switches 6A, 6B.
  • a direct memory access is preferably implemented before ⁇ .
  • the flash bus matrices 7A, 7B the cores communicate with the flash memory.
  • An intermediate buffering of accesses from the peripheral system into the redundant system preferably takes place.
  • the forwarding of the peripheral read data to the time-leading partition is delayed, whereby the time offset between the non-coupled or software lockstep runs
  • partitions are not constant but variable depending on the software activity in the system.
  • the trailing partition reads the data from the intermediate buffer taking into account the existing time offset.

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Hardware Redundancy (AREA)

Abstract

Rechensystem für ein Kraftfahrzeugsystem, umfassend mehrere Partitionen (A, B), welche jeweils zumindest eine zentrale Recheneinheit und Speicher- und/oder Peripherieressourcen (2A, 2B) aufweisen, und das zur Realisierung mehrerer Systemkonfigurationen ausgestaltet ist, wobei in wenigstens einer der Systemkonfigurationen eine Überwachung von wenigstens zwei Partitionen (A, B) mittels zumindest einer Überwachungseinrichtung zum Vergleich von Daten der wenigstens zwei Partitionen (A, B) an Kontrollpunkten der durch diese Partitionen ausführbaren Software durchführbar ist.

Description

RECHENSYSTEM FÜR EIN KRAFTFAHRZEUGSYSTEM
Die vorliegende Erfindung betrifft ein Rechensystem für ein Kraftfahrzeugsystem gemäß Oberbegriff von Anspruch 1.
Hochverfügbare bzw. ausfallsichere Fahrzeugsysteme, wie sie für Anwendungen des automatisierten Fahrens benötigt werden, stellen erhöhte Anforderungen an die Verfügbarkeit und Wechselwir¬ kungsfreiheit elektronischer Komponenten einzelner Kraft- fahrzeugsysteme und hier speziell an einen jeweiligen Mikro- controller, der die zugrundeliegende Software eines durch diesen betriebenen Fahrzeugsystems ausführt. Für diese Fahrzeugsysteme wird entsprechend eine möglichst geringe Ausfallwahrschein¬ lichkeit angestrebt. Ein Beispiel für ein hochverfügbares bzw. ausfallsicheres Fahrzeugsystem ist ein Bremssystem eines
Kraftfahrzeugs. Ein Ausfall eines solchen würde eine Gefahr für Verkehrsteilnehmer bedeuten, weshalb die Funktionsfähigkeit dieses Systems ständig überwacht werden muss, um beim Auftreten eines Fehlers beispielsweise eine Rückfallebene zu aktivieren. Fehlertoleranten Redundanzkonzepte sind in besonderem Maße für Kraftfahrzeugsysteme bedeutsam, welche ausschließlich elekt¬ ronische Rückfallebenen aufweisen.
Zur Erhöhung der Fehlersicherheit ist es aus der DE 32 34 637 C2 bekannt, zwei Prozessoren mit identischer Software zu betreiben, was auch als symmetrische Redundanz bezeichnet wird. In der DE 41 37 124 A 1 ist ein Mikroprozessorsystem mit asymmetrischer Redundanz beschrieben, wobei zwei Prozessoren mit unterschiedlicher Software betrieben werden.
Ein weiteres kernredundantes System ist in der DE 195 29 434 AI beschrieben, bei dem zwei synchron betriebene Prozessorkerne auf einem oder auf mehreren Chips vorgesehen sind, die die gleichen Eingangsinformationen erhalten und das gleiche Programm ab- arbeiten. Die beiden Prozessorkerne sind dabei über separate Bus-Systeme an die Festwert- und an die Schreib-Lese-Speicher sowie an Eingabe- und Ausgabeeinheiten angeschlossen. Die Bus-Systeme sind untereinander durch Treiberstufen bzw. Bypässe verbunden, die den beiden Prozessorkernen ein gemeinsames Lesen und Abarbeiten der zur Verfügung stehenden Daten, einschließlich der Prüfdaten und Befehle, ermöglichen. Nur eine der beiden Prozessorkerne ist (direkt) mit einem vollwertigen Festwert- und einem Schreib-Lese-Speicher verbunden, während die Speicherkapazität des zweiten Prozessorkerns auf Speicherplätze für Prüfdaten (Paritätsüberwachung) , in Verbindung mit einem Prüfdatengenerator, beschränkt ist. Zugriff zu allen Daten besteht über die Bypässe. Dadurch sind beide Prozessorkerne in der Lage, jeweils das vollständige Programm abzuarbeiten.
Die Recheneinheiten und das Bus-System sind in Systemen dieser Art redundant ausgelegt, das Peripherie- und Speichersystem jedoch nicht-redundant und mit einem einzigen Zugangsport ausgestaltet, der lediglich von der lokalen Seite gesteuert wird.
In der WO 2008/146091 AI ist ein Datenverarbeitungssystem mit zwei zentralen Recheneinheiten und Peripheriekomponenten zur Bildung von zwei Datenverarbeitungsmodulen beschrieben, wobei die beiden Recheneinheiten, mit den jeweils zugeordneten Peripheriekomponenten, bzw. die von diesen gebildeten Datenverarbeitungsmodule, in einem zueinander synchronisierten Betriebsmodus oder in einem nicht synchronisierten Betriebsmodus arbeiten können. In dem synchronisierten Betriebsmodus kann das Datenverarbeitungssystem dabei redundante Software und in dem nicht-synchronisierten Betriebsmodus diversitäre Software, z.B. unterschiedlich programmierte Algorithmen zur Erzielung eines gleichen Ergebnisses, ausführen. Die WO 2011/117155 beschreibt ein Kontrollrechnersystem bzw. ein Verfahren zur Steuerung desselben, welches redundante und synchronisierte Mikroprozessoren umfasst, wobei im Falle einer Desynchronisation der Prozessoren eine Abarbeitung einer Applikationssoftware gestoppt und eine Fehlerprüfung der Prozessoren durchgeführt wird.
Dabei tragen in einem auf Lock-step basierenden System etwa 50% der Ressourcen nicht zur Funktionalität des Systems bei, da sie lediglich eine redundante Funktionsdarstellung zum Erreichen des geforderten Sicherheitsniveaus bereitstellen. Zukünftige Rechnersysteme haben steigende Anforderungen an Rechenleistung bei gleichzeitiger Beschränkung der maximal möglichen Ver- lustleistung . Unter diesen Randbedingungen kann eine funktionale Ausnutzung der vorhandenen Ressourcen zu nur 50% als nicht ausreichend effizient für zukünftige Entwicklungen angesehen werden . Daher ist es Aufgabe der Erfindung, ein Rechensystem bereitzustellen, welches eine verbesserte Flexibilität bei der An¬ passung an Applikationen und dabei eine zumindest gleichbleibende Verfügbarkeit ermöglicht. Weiterhin soll der Res¬ sourcenbedarf zur Realisierung der Sicherungsmaßnahmen redu- ziert werden.
Diese Aufgabe wird durch ein Rechensystem gemäß Anspruch 1 gelöst . Die Erfindung beschreibt ein Rechensystem für ein Kraftfahrzeugsystem, umfassend mehrere Partitionen, welche jeweils zumindest eine zentrale Recheneinheit und Speicher- und/oder Peripherieressourcen aufweisen, und das zur Realisierung mehrerer Systemkonfigurationen ausgestaltet ist, wobei in wenigstens einer der Systemkonfigurationen eine Überwachung von wenigstens zwei Partitionen mittels zumindest einer Überwa¬ chungseinrichtung zum Vergleich von Daten der wenigstens zwei Partitionen an Kontrollpunkten der durch diese Partitionen ausführbaren Software durchführbar ist. Unter einer Partition wird insbesondere ein ( Sub- ) Rechensystem mit zugeordneten
Ressourcen verstanden welches beispielsweise einer von mehreren Mikroprozessoren bzw. -Controllern eines Ein- oder Mehr-Kern bzw. -Chip Systems sein und neben digitalen auch analoge Schaltungsteile umfassen kann. Durch das erfindungsgemäße Rechensystem wird eine verbesserte Flexibilität bei der An¬ passung an anwendungsspezifische Applikationen geschaffen, wobei eine zumindest gleichbleibende Verfügbarkeit ermöglicht wird. Weiterhin stellt das erfindungsgemäße System eine al- ternative Realisierung eines sicherheitsrelevanten Rechnersystems dar, das im Vergleich beispielsweise zu einem auf Lock-step basierten System in vorteilhafter Weise ein
gleichbleibendes Sicherheitsniveau bietet . Die erfindungsgemäße Lösung beinhaltet keine Trennung in funktionale Ressource und Ressource zur Sicherung und stellt alle vorhandenen Rechenressourcen für eine funktionale Verwendung bereit. Zusätzliche Sicherungsmaßnahmen über Kontrollpunkte reduzieren zunächst zwar die bereitgestellte funktionale Rechenressource, jedoch nicht in gleichem Umfang, wie es bei einem auf Lock-step ba¬ sierenden System der Fall ist, weshalb anteilig mehr Ressourcen für die funktionale Verwendung bereitgestellt werden können.
Die Überwachungseinrichtung ist entsprechend einer Weiter- bildung des erfindungsgemäßen Rechensystems bei der Prüfung der Daten der wenigstens zwei Partitionen zur Berücksichtigung einer Abweichung der zeitlichen Ausführung und/oder der Rechengenauigkeit der durch diese Partitionen ausführbaren Software ausgestaltet. Eine Prüfung ist somit in vorteilhafter Weise z.B. auch bei unterschiedlichen Taktungen der beiden zentralen
Recheneinheiten bzw. Partitionen sowie unterschiedlichen Algorithmen realisierbar. Es kann entsprechend einer weiteren Ausprägung der Erfindung vorgesehen sein, dass keine Überprüfung auf eine Kohärenz von Hardware-Zuständen (z.B. Signale, Busse, Zustandsmaschinen) vorgesehen ist.
Gemäß einer vorteilhaften Ausführungsform der Erfindung umfasst das Rechensystem Speicher zur Speicherung der an den Kontrollpunkten vorliegenden Daten der wenigstens zwei Partitionen vorgesehen, welche zur Berücksichtigung einer Abweichung der zeitlichen Ausführung und/oder der Rechengenauigkeit der durch diese Partitionen ausführbaren Software durch die Überwachungseinrichtung herangezogen werden könne. Zur Speicherung der an den Kontrollpunkten vorliegenden Daten sind vorzugsweise zumindest 2n Speicher zur Realisierung des Vergleichs mit Daten, welche ±n Taktzyklen zeitliche Abweichung aufweisen, vorgesehen. n
5
Das Rechensystem ist weiterbildungsgemäß zur Adressierung der Speicher zur Speicherung der an den Kontrollpunkten vorliegenden Daten mittels einer dafür vorgesehenen Schnittstelle und/oder eines speziellen Opcodes ausgestaltet. Somit erfolgt eine Adressierung der Speicher- und/oder Peripherieressourcen vorteilhafterweise nicht über einen Zugriff des Peripherie- und/oder Speicherbusses, wodurch keine Verzögerungen bei den eigentlichen Regelaufgaben des Systems entstehen. Zweckmäßigerweise umfassen die an den Kontrollpunkten erfassten Daten einen Index, einen Prüfwert, einen Zeitstempel, einen Toleranzwert für den Prüfwert und einen Toleranzwert für den Zeitstempel. Alternativ kann vorgesehen sein nicht sämtliche der vorgenannten Informationen zu erfassen.
Das Rechensystem ist entsprechend einer Weiterbildung in der Weise ausgestaltet, dass entsprechend wenigstens einer der Systemkonfigurationen zumindest zwei der Partitionen in einem Software-Lockstep mit diversitärer Software betreibbar sind, wobei eine Überwachung der Partitionen mittels der Überwachungseinrichtung ausführbar ist. Das Rechensystem ist weiterhin bevorzugt in der Weise ausgestaltet, dass entsprechend we¬ nigstens einer der Systemkonfigurationen zumindest zwei der Partitionen in einem Hardware-Lockstep betreibbar sind, wobei eine Überwachung der Partitionen mittels der Überwachungseinrichtung ausführbar ist. Das erfindungsgemäße Rechensystem weist damit eine erheblich verbesserte Flexibilität bei der Anpassung an Applikationen auf. Das erfindungsgemäße Rechensystem unterstützt vorzugsweise zumindest zwei Systemkonfigurationen:
(1) Parallele Software-Ausführung im Wesentlichen ohne Sicherungsmaßnahmen und
(2) Software-Ausführung für sicherheitskritische Funk- tionen mittels wenigstens einer separaten Hard¬ ware-Sicherungsmaßnahme, vorzugsweise jedoch nicht durch Lockstep . Entsprechend wenigstens einer der Systemkonfigurationen ist vorzugsweise ein mehrkanaliger Zugriff, insbesondere Zweika¬ nal-Zugriff (dual-channel ) , der zentralen Recheneinheiten auf die Speicher- und/oder Peripherieressourcen vorgesehen.
Bevorzugt ist zur Realisierung eines mehrkanaligen Zugriffs der zentralen Recheneinheiten auf die Speicher- und/oder Peripherieressourcen ein mehrkanaliger Zugriffsport in eine zugeordnete Speicher- und/oder Peripherie-Busmatrix vorgesehen.
Eine Kontroll- und/oder Datenflusssteuerung der Speicherund/oder Peripherieressourcen ist vorzugsweise in Hardware realisiert. Dadurch kann einen Mischbetrieb von in Hard¬ ware-Lockstep betriebenen und nicht in Hardware-Lockstep - insbesondere Software-Lockstep, also mit Ausführung
diversitärer Software - betriebenen Partitionen gleichzeitig ermöglicht werden. Die Aufteilung der Speicher- und Peripherieressourcen erfolgt dabei vorzugsweise statisch und a priori beim Systemstart entsprechend der funktionalen Partitionierung der Funktionen auf die Partitionen.
Die Überwachungseinrichtung ist bevorzugt unabhängig zu den eigentlichen Rechenfunktionen der Partitionen implementiert. Dadurch wird in vorteilhafter Weise eine Wechselwirkungsfreiheit erzielt.
Die Kontrollpunkte sind vorzugsweise a priori definiert und werden in den verschiedenartigen Software-Implementierungen umgesetzt .
Bevorzugt findet das erfindungsgemäße Rechensystem in einem sicherheitskritischen Kraftfahrzeugsystem, insbesondere einem Kraftfahrzeugbremssystem, Anwendung . Weitere bevorzugte Ausführungsformen ergeben sich aus der nachfolgenden Beschreibung eines Ausführungsbeispiels an Hand von Figuren. In schematischer Darstellung und auf zur Erläuterung der Erfindung wesentliche Elemente begrenzt, zeigen:
Fig. 1 ein Ausführungsbeispiel des erfindungsgemäßen Re- chensystems in zwei verschiedenen Systemkonfigura¬ tionen mit in a) Hardware-Lockstep und b) Soft¬ ware-Lockstep betriebenen Partitionen mit zweika- naligem Zugriff auf das Peripherie-/Speichersystem und
Fig. 2 ein Ausführungsbeispiel einer Multi-Kern Architektur mit zweikanaligen Zugriffspfaden auf das Peripherie-/SpeicherSystem. Um eine kurze und einfache Beschreibung der Ausführungsbeispiele zu ermöglichen, werden gleiche Elemente mit den gleichen Bezugszeichen versehen.
Die Erfindung beschreibt eine Mikrocontroller-Sicherheits- architektur, welche zumindest zwei Konfigurationen aufweist, wobei in einer ersten Konfigurationen ein zwei Partitionen A, B aufweisendes Hardware-Lockstep-System implementiert ist und in einer zweiten Konfiguration eine Überwachung einer Softwareimplementierung der ersten Partition (Rechensystem A) durch diversitäre Software-Ausführung der zweiten Partition (Rechensystem B) erfolgt (Software-Lockstep) .
Die Figuren 1 a) und b) zeigen in schematischer Darstellung die zwei unterschiedlichen Systemkonfigurationen eines erfin- dungsgemäßen Mikrocontrollersystems , wobei mittels eines zweikanaligen Zugriffsports in der Peripherie-Busmatrix eine zweikanalige Zugriffsmöglichkeit (Dual-Channel) der zentrale Recheneinheiten 1A und 1B auf die Speicher- (z.B. SRAM, Flash) und/oder Peripherieressourcen 2A und 2B realisierbar ist.
Entsprechend der Konfiguration gemäß Fig. 1 a) liegt eine Hardware-Lockstep Konfiguration mit Ausführung identischer Software in den beiden Partitionen A und B und einkanaligem Zugriff der zentralen Recheneinheiten 1A, 1B auf die jeweils zugeordneten Peripherie- und Speicherressourcen 2A, 2B der jeweiligen lokalen Partition A oder B vor, wobei Kontrolldaten control und zu schreibende Daten Write_data lediglich von der lokalen Partition dem Peripherie- bzw. Speichermodul bereit¬ gestellt werden. In der physikalischen Implementierung können die Peripheriemodule allerdings auch auf die zwei Partitionen aufgeteilt sein, wobei die Ansteuerung eines Periphe- rie-/Speichermoduls dabei immer durch die zugeordnete zentrale Recheneinheit der lokalen Partition erfolgt und Lesedaten
Read_data über den Bypass-Mechanismus 3A bzw. 3B nicht-selektiv zur nicht-lokalen Seite weitergeleitet werden können. Eine Weiterleitung der Steuersignale control und zu schreibenden Daten Write_data an die jeweilige andere Partition erfolgt entsprechend dieser beispielsgemäßen Konfiguration nicht.
Gemäß der Konfiguration nach Fig. 1 b) liegt eine Software-Lockstep Konfiguration mit zweikanaligem Zugriff (du- al-channel) der zentralen Recheneinheiten 1A, 1B auf Peripherie- und Speicherressourcen 2A, 2B beider Partitionen (lokal/nicht-lokal) A, B vor. Entsprechend dieser Konfiguration ordnen Speichercontroller (nicht dargestellt) sowie die Pe¬ ripherie-Busmatrix die einzelnen Peripheriemodule und Spei¬ cherports mittels Zugriffstabeile (n) den einzelnen Partitionen A, B zu. Der Zugriff auf ein Peripherie- und/oder Speichermodul 2A, 2B wird im laufenden Betrieb des Rechnersystems von der Partition aus gesteuert, die diesem Modul in der Zugriffstabeile zugeordnet ist. Damit kann im Gegensatz zu Konfiguration a) eine Partition nicht nur auf die dieser Partition zugeordneten Peripherie- und/oder Speichermodule 2A, 2B zugreifen, sondern auch auf die nicht-lokalen Module, wobei Bypass 3A und/oder 3B der Lesedaten selektiv und konfigurierbar (config) ausgestaltet ist und jede Partition nur die ihm zugeordneten Module auswertet. Ein Zugriff auf eine betreffende Peripherieressource 2A, 2B kann lediglich von einer der zentralen Recheneinheiten 1A bzw. 1B aus erfolgen. Ein Teilen von Peripherieressourcen zwischen den zentralen Recheneinheiten 1A bzw. 1B wird nicht unterstützt. Dadurch, dass durch die zentralen Recheneinheiten 1A bzw. 1B, mit im Allgemeinen unterschiedlichen Peripherieressourcen, unterschiedliche Software ausgeführt wird, muss sichergestellt sein, dass die Lesedaten nur einem dieser beiden zentralen Recheneinheiten 1A bzw. 1B bereitgestellt wird, wodurch der selektive Zugriff sichergestellt wird. Die Auswahl der zentralen Recheneinheit 1A bzw. 1B erfolgt bevorzugt a priori und ist beispielsweise über Konfigurationstabellen im jeweiligen By- pass-Modul konfigurierbar. Die gleiche Zugriffskontrolle, die in der Peripherie-Bus-Matrix für Schreibzugriffe besteht, wird hier in den Bypass-Modulen 3A, 3B für Lesezugriffe umgesetzt.
Die Software der beiden Partitionen A und B ist bevorzugt diversitär ausgestaltet, wobei Software-Komponenten einer Partition Überwachungsfunktionen für Software-Komponenten der weiteren Partition übernehmen. Software-Komponenten eines Typs (Funktion oder Überwachung) müssen nicht notwendigerweise getrennt sein, was bedeuten würde, dass eine Partition die Überwachung der anderen Partition übernehmen würde. Bevorzugt sind lediglich Funktion und Überwachung der Funktion bezogen auf die gleiche Software-Komponente durch Aufteilung auf die
Partitionen getrennt, wobei zu überwachende und überwachende Funktionen auf beide Partitionen verteilt sein können.
In Konfiguration gemäß Fig. 1 b) sind die beiden Partitio- nierungen A und B entkoppelt und werden im Vergleich zu Konfiguration a) bevorzugt nicht auf zeitliche Kohärenz geprüft, da sich aufgrund der diversitären Software unterschiedliche Laufzeiten ergeben können. Um ein vergleichbares Sicherheitsniveau wie in Konfiguration a) zu erlangen, sind daher vorzugsweise zusätzliche, insbesondere softwareimplementierte, Sicherungsmaßnahmen vorgesehen. Da sich die Ausführungszeit und Ausführungsgenauigkeit der durch die Recheneinheiten 1A und 1B ausgeführten diversitären Software-Komponenten auf beiden Partitionen unterscheiden kann, ist zumindest eine Überwa- chungseinrichtung (nicht dargestellt) zur Verarbeitung von zu vergleichenden Daten der Partitionen A und B vorgesehen, welche Abweichungen hinsichtlich Zeit- und Wertebereich aufweisen können. Die Sicherungsmaßnahmen umfassen erfindungsgemäß das Schreiben von Daten an vorab definierten Software-Kontrollpunkten in dafür vorgesehene Speicher der Überwachungseinrichtung. An den Software-Kontrollpunkten liegen, insbesondere bei im Wesentlichen fehlerfreiem Betrieb unter Berücksichtigung der aufgrund der diversitären Implementierung vorliegenden
Toleranzen, im Wesentlichen gleiche Werte bzw . korrelierte Daten vor. Die an den Software-Kontrollpunkten während der Ausführung erfassten Daten umfassen dabei beispielsweise einen Index, einen Variablenwert - insbesondere im Sinne einer Prüfsumme (z.B. CRC) - einen Zeitstempel, einen Toleranzwert für die Variable und einen Toleranzwert für den Zeitstempel. Bevorzugt ist/sind die Überwachungseinrichtung (en) lediglich in Hardware ausgeführt, kann jedoch zweckmäßigerweise auch softwarebasiert realisiert sein .
Die Überwachungseinrichtung stellt vorzugsweise folgende Funktionen bereit:
- Die Überwachungseinrichtung ist vorzugsweise in der Weise ausgestaltet, dass dieser von den Recheneinheiten 1A und 1B bzw. von den Partitionen A, B des Rechensystems Daten erhalten und vergleichen kann.
- Die Überwachungsrichtung weist bevorzugt zumindest 2n Pufferstufen auf, die es erlauben, Daten zu vergleichen, die ±n Taktzyklen versetzt auftreten. Ein übereinstimmendes
Vergleichsergebnis liegt dann vor, wenn innerhalb der Puffertiefe von 2n übereinstimmende Werte aus den beiden Partitionen befinden. Über die Puffertiefe von 2n wird die zeitliche Toleranz der Vergleichsoperation realisiert. Eine Überwachungseinheit vorzugsweise lediglich einen einzigen Speicher in den beide Recheneinheiten 1A und 1B die Daten an den Kontrollpunkten schreiben. Dieser Speicher ist dabei 2n Einträge tief, wobei n ein Parameter für die zeitliche Toleranz zwischen den zwei Teilsystemen ist. Häufig weisen die Recheneinheiten 1A und 1B unterschiedliche Taktungen auf, sodass das höher getaktete Rechensystem in der gleichen Zeiteinheit eine größere Anzahl an Kontrollpunkten passiert, als das niedriger getaktete. Mittels einer angepassten Puffertiefe werden die Daten an den Kontrollpunkten aus dem höher getakteten System somit vorteilhafter Weise solange gehalten, bis das niedriger getaktete System den relevanten und korrespondierenden Kontrollpunkt in den Speicher geschrieben hat. Die Überwachungseinheit ist bevorzugt redundant und mit mit gegenseitiger Überwachung ausgelegt (s.u.). Dies dient vorzugsweise zur Erkennung von Fehlern in den Überwachungseinheiten selbst (latente Fehler) .
Jede Pufferstufe speichert an den Software-Kontrollpunkten zweckmäßigerweise wenigstens ein Wertepaar aus den Par¬ titionen. Ein übereinstimmendes Vergleichsergebnis liegt dann vor, wenn die Variablenwerte und die Zeitstempel in den zwei Vergleichskanälen innerhalb der Toleranzbereiche liegen .
Die Überwachungseinrichtung stellt vorzugsweise eine Watchdog-Funktionalität bereit, welche die Vergleichs¬ operation hinsichtlich der zeitlichen Ausführung absichert. Damit kann ein zeitliches Auseinanderlaufen der Partitionen A, B und ein Überlauf des oder der Vergleichspuffer abgefangen werden.
Die Überwachungseinrichtung ist bevorzugt redundant ausgelegt, wobei eine Überwachung der zeitlichen Kohärenz durch die mehreren Überwachungseinrichtungs-Instanzen, welche eine gegenseitige Überwachung vornehmen, reali¬ sierbar ist.
Die Überwachungseinrichtung umfasst vorzugsweise ein dediziertes Signal-Interface zu den zentralen Rechen¬ einheiten 1A, 1B, welches es erlaubt die zu vergleichenden Wertepaare in die Puffer zu schreiben. Somit erfolgt eine Adressierung der Puffer vorteilhafterweise nicht über einen Registerzugriff des Peripheriebusses, sondern bevorzugt mittels einer dafür vorgesehenen CPU-Schnittstelle
(Hardware und/oder Software) und/oder einen speziellen Opcode .
Ein negatives Vergleichsergebnis oder ein Auslösen des Watchdogs der Überwachungseinrichtung triggert vorzugsweise den Übergang des Systems in den sicheren Zustand. Bisher wurde ein System mit einer redundanten zentralen Recheneinheiten gemäß Konfiguration a) beschrieben, das in der entkoppelten Konfiguration b) in ein System mit zwei zentralen Recheneinheiten überführbar ist, das zur Ausführung diversitärer Software ausgestaltet sind. Der beschriebene Ansatz lässt sich auf Systeme mit wenigstens zwei Partitionen A, B skalieren, welche jeweils mehrere zentrale Recheneinheiten (Multi-Kern Systeme) bzw. Prozessorkerne CoreO_A, Corel_A, Core2_A und CoreO_B, Corel_B, Core2_B umfassen, wie es auch in Fig. 2 gezeigt ist. Das Ausführungsbeispiel der Fig. 2 zeigt eine Multi-Kern Mikrocontroller-Architektur mit zweikanaligem Zugriff für Peripherie-Brücken, SRAM- und Flash-Controller (A-/B-Ports) 2A, 2B. In einer solchen Multi-Kern Ausführung erlaubt die Kon- figuration b) neben der Umsetzung eines softwarebasierten
Sicherheitskonzepts auch eine Performance-Skalierung eines die verschiedenen Partitionen bzw. zentralen Recheneinheiten umfassenden MikroControllers, indem die entkoppelten Partitionen ohne weitere Sicherungsmaßnahmen für Rechenaufgaben, insbe- sondere im Rahmen eines reduzierten Sicherheitskontexts , verwendet werden. In Multi-Kern Systemen ist zudem eine Konfiguration realisierbar, in der ein oder mehrere Partitionen in einem Hardware-Lockstep Betrieb arbeiten und die weiteren Partitionen entkoppelt sind. Die Überwachungseinrichtung kann in dieser Konstellation beispielsweise zwei Funktionen erfüllen:
I. als Überwachungseinrichtung für Daten der Partitionen an Software-Kontrollpunkten der Ausführung entsprechend den obigen Erläuterung zu Fig. 1 b) und
I. als Überwachungseinrichtung für einen Betrieb in Hardware-Lockstep, entsprechend der Konfiguration gemäß Fig. 1 a) , jedoch mit Unterstützung zeitlicher Varianz („Fens- ter-Komparator") . Durch die Ausführung verschiedenartiger (diversitäre) Software in den entkoppelten Partitionen, welche jeweils auch in Lockstep betrieben sein können, kann es ebenfalls zu einer zeitlichen Abweichung zwischen diesen kommen. Daher weist die vergleichende Überwachungseinrichtung (nicht dargestellt) bevorzugt eine Puffertiefe von mehreren Taktzyklen auf, wie dies bereits für die Ausführungsform gemäß Fig. 1 beschrieben wurde. Ein übereinstimmendes Vergleichsergebnis liegt vor, wenn sich innerhalb der Puffertiefe übereinstimmende Daten aus den Eingangskanälen befinden. Die Puffertiefe bestimmt sich aus der maximal möglichen Abweichung der zu vergleichenden Partitionen A und B bei Verwendung von entkoppelten Partitionen. Kleine Puffertiefen können erreicht werden, indem auf einer den Partitionen übergeordneten Ebene auf eine möglichst große Unabhängigkeit der Signalpfade aus und in die Partitionen geachtet wird. Dies wird beispielsweise durch dedizierte Speicher-Zugriffsports je Partition erreicht („Multi-Port-Flash" , „Multi-Port SRAM") , die Zugriffskollisionen und damit verbundene Arbitrierungen ver- meiden. Dies ist in Fig. 2 mittels der breiten Pfeile an den Speicher- und Peripheriemodulen 2A und 2B, welche beispielsgemäß SRAM und Flash-Speicher sind, veranschaulicht. Mittel zur Realisierung der Bypass-Funktionalität 3A, 3B sind im Date¬ nübertragungsweg zwischen den Peripheriebrücken 4A, 4B, zur Kommunikation mit Peripherie 5A, 5B, und den Crossbar Switches 6A, 6B angeordnet. Über die Module DMA_A und DMA_B wird vor¬ zugsweise ein Speicherdirektzugriff umgesetzt. Mittels der Flash Bus-Matrizen 7A, 7B kommunizieren die Kerne mit dem Flash Speicher .
Bevorzugt erfolgt eine Zwischenpufferung von Zugriffen aus dem Peripherie-System in das redundante System. Neben der Vergleichsoperation der Lockstep Partitionen wird in einem Mul- ti-Kern System, welches gekoppelte und entkoppelte Partitionen aufweist, die Weiterleitung der Peripherie-Lesedaten in die zeitlich vorauseilende Partition verzögert, wobei der zeitliche Versatz zwischen den nichtgekoppelten bzw. in Software-Lockstep betriebenen Partitionen jedoch nicht konstant, sondern in Abhängigkeit der Software-Aktivität im System veränderlich ist. Die nachlaufende Partition liest die Daten aus dem Zwischenpuffer unter Berücksichtigung des bestehenden zeitlichen Versatzes.

Claims

Patentansprüche
Rechensystem für ein Kraftfahrzeugsystem, umfassend mehrere Partitionen (A,B), welche jeweils zumindest eine zentrale Recheneinheit und Speicher- und/oder Peripherieressourcen (2A, 2B) aufweisen, dadurch gekennzeichnet, dass das Re¬ chensystem zur Realisierung mehrerer Systemkonfigurationen ausgestaltet ist, wobei in wenigstens einer der System¬ konfigurationen eine Überwachung von wenigstens zwei Partitionen (A,B) mittels zumindest einer Überwachungs¬ einrichtung zum Vergleich von Daten der wenigstens zwei Partitionen (A,B) an Kontrollpunkten der durch diese Partitionen ausführbaren Software durchführbar ist.
2. Rechensystem gemäß Anspruch 1, dadurch gekennzeichnet, dass die Überwachungseinrichtung bei der Prüfung der Daten der wenigstens zwei Partitionen (A,B) zur Berücksichtigung einer Abweichung der zeitlichen Ausführung und/oder der Rechengenauigkeit der durch diese Partitionen (A,B) aus¬ führbaren Software ausgestaltet ist.
3. Rechensystem gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass Speicher zur Speicherung der an den Kontrollpunkten vorliegenden Daten der wenigstens zwei Partitionen (A,B) vorgesehen sind, welche zur Berücksichtigung einer Abweichung der zeitlichen Ausführung und/oder der Rechengenauigkeit der durch diese Partitionen (A,B) ausführbaren Software durch die Überwachungseinrichtung herangezogen werden können.
4. Rechensystem gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass zur Speicherung der an den Kontrollpunkten vorliegenden Daten zumindest 2n Speicher zur Realisierung des Vergleichs mit Daten, welche ±n Taktzyklen zeitliche Abweichung aufweisen, vorgesehen sind.
Rechensystem gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass dieses zur Adressierung de 10
Speicher zur Speicherung der an den Kontrollpunkten vorliegenden Daten mittels einer dafür vorgesehenen
Schnittstelle und/oder eines speziellen Opcodes ausge¬ staltet ist.
6. Rechensystem gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die an den Kontrollpunkten erfassten Daten einen Index, einen Prüfwert, einen Zeitstempel, einen Toleranzwert für den Prüfwert und einen Toleranzwert für den Zeitstempel umfassen.
7. Rechensystem gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Rechensystem in der Weise ausgestaltet ist, dass entsprechend wenigstens einer der Systemkonfigurationen zumindest zwei der Partitionen (A,B) in einem Software-Lockstep mit diversitärer Software betreibbar sind, wobei eine Überwachung der Partitionen mittels der Überwachungseinrichtung ausführbar ist.
8. Rechensystem gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Rechensystem in der Weise ausgestaltet ist, dass entsprechend wenigstens einer der Systemkonfigurationen zumindest zwei der Partitionen (A,B) in einem Hardware-Lockstep betreibbar sind, wobei eine Überwachung der Partitionen mittels der Überwachungseinrichtung ausführbar ist.
9. Rechensystem gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass entsprechend wenigstens einer der Systemkonfigurationen ein mehrkanaliger Zugriff, insbesondere Zweikanal-Zugriff (dual-channel ) , der zent¬ ralen Recheneinheiten auf die Speicher- und/oder Peripherieressourcen (2A, 2B) vorgesehen ist.
10. Rechensystem gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass zur Realisierung eines mehrkanaligen Zugriffs der zentralen Recheneinheiten (1A, 1B) auf die Speicher- und/oder Peripherieressourcen (2A, 2B) ein mehrkanaliger Zugriffsport in eine zugeordnete Speicher- und/oder Peripherie-Busmatrix vorgesehen ist.
PCT/EP2015/076559 2014-12-01 2015-11-13 Rechensystem für ein kraftfahrzeugsystem WO2016087175A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102014224528.1 2014-12-01
DE102014224528 2014-12-01

Publications (1)

Publication Number Publication Date
WO2016087175A1 true WO2016087175A1 (de) 2016-06-09

Family

ID=54601756

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2015/076559 WO2016087175A1 (de) 2014-12-01 2015-11-13 Rechensystem für ein kraftfahrzeugsystem

Country Status (1)

Country Link
WO (1) WO2016087175A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110447015A (zh) * 2017-03-21 2019-11-12 奥迪股份公司 用于冗余执行运行功能的车载控制装置及相应的机动车
CN114625424A (zh) * 2020-12-09 2022-06-14 博泰车联网科技(上海)股份有限公司 基于硬隔离的资源重分配方法、***和设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006045798A1 (de) * 2004-10-25 2006-05-04 Robert Bosch Gmbh Verfahren und vorrichtung zur datenverteilung aus wenigstens einer datenquelle in einem mehrprozessorsystem
DE102008004205A1 (de) * 2008-01-14 2009-07-16 Robert Bosch Gmbh Schaltungsanordnung und Verfahren zur Fehlerbehandlung in Echtzeitsystemen
US20090193229A1 (en) * 2007-12-14 2009-07-30 Thales High-integrity computation architecture with multiple supervised resources
EP2592555A2 (de) * 2011-11-10 2013-05-15 GE Aviation Systems LLC Verfahren zur Bereitstellung von Verarbeitung mit hoher Integrität

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006045798A1 (de) * 2004-10-25 2006-05-04 Robert Bosch Gmbh Verfahren und vorrichtung zur datenverteilung aus wenigstens einer datenquelle in einem mehrprozessorsystem
US20090193229A1 (en) * 2007-12-14 2009-07-30 Thales High-integrity computation architecture with multiple supervised resources
DE102008004205A1 (de) * 2008-01-14 2009-07-16 Robert Bosch Gmbh Schaltungsanordnung und Verfahren zur Fehlerbehandlung in Echtzeitsystemen
EP2592555A2 (de) * 2011-11-10 2013-05-15 GE Aviation Systems LLC Verfahren zur Bereitstellung von Verarbeitung mit hoher Integrität

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110447015A (zh) * 2017-03-21 2019-11-12 奥迪股份公司 用于冗余执行运行功能的车载控制装置及相应的机动车
US11994853B2 (en) 2017-03-21 2024-05-28 Audi Ag Control device for redundant execution of an operating function and motor vehicle
CN114625424A (zh) * 2020-12-09 2022-06-14 博泰车联网科技(上海)股份有限公司 基于硬隔离的资源重分配方法、***和设备
CN114625424B (zh) * 2020-12-09 2023-09-29 博泰车联网科技(上海)股份有限公司 基于硬隔离的资源重分配方法、***和设备

Similar Documents

Publication Publication Date Title
EP2550599B1 (de) Kontrollrechnersystem, verfahren zur steuerung eines kontrollrechnersystems, sowie verwendung eines kontrollrechnersystems
EP2641176B1 (de) Mikroprozessorsystem mit fehlertoleranter architektur
EP1820102A2 (de) Verfahren und vorrichtung zur taktumschaltung bei einem mehrprozessorsystem
WO2007057271A1 (de) Vorrichtung und verfahren zum beheben von fehlern bei einem wenigstens zwei ausführungseinheiten mit registern aufweisenden system
DE102015108689A1 (de) Sicherheitsknoten in Zwischenverbindungsdatenbussen
DE102015110958A1 (de) Ausfallverwaltung in einem Fahrzeug
EP2909721A1 (de) Schnittstelle zum datenaustausch zwischen redundant ausgeführten programmen zur kraftfahrzeugsteuerung
EP3475824B1 (de) Verfahren und vorrichtung zur redundanten datenverarbeitung
DE102010013349A1 (de) Computersystem und Verfahren zum Vergleichen von Ausgangssignalen
EP3186710B1 (de) Mikrocontrollersystem und verfahren für sicherheitskritische kraftfahrzeugsysteme sowie deren verwendung
EP1680737B1 (de) Verfahren und vorrichtung zur operandenverarbeitung in einer prozessoreinheit
WO2016087175A1 (de) Rechensystem für ein kraftfahrzeugsystem
DE102012017339A1 (de) Rechnersystem
DE102006012042A1 (de) Steuervorrichtung zur fehlersicheren Steuerung einer Maschine
WO2017186629A1 (de) Servereinrichtung betreibend eine software zur steuerung einer funktion eines schienengebundenen transportsicherungssystems
DE102017209856A1 (de) Recheneinheit und Betriebsverfahren hierfür
EP2228723B1 (de) Verfahren zur Fehlerbehandlung eines Rechnersystems
DE102011007467A1 (de) Mehrkernige integrierte Mikroprozessorschaltung mit Prüfeinrichtung, Prüfverfahren und Verwendung
DE102021209687A1 (de) Cloudrechner zur Ausführung zumindest einer teilweise automatisierten Fahrfunktion eines Kraftfahrzeugs und Verfahren zum Betreiben eines Cloudrechners
DE102015105234B4 (de) Dienstanforderungsunterbrechungsrouter mit gemeinsam verwendeter Schlichtungseinheit
DE102004038596A1 (de) Verfahren zur Fehlerregistrierung und entsprechendes Register
EP3469484B1 (de) Datenübertragung zwischen signaltechnisch sicheren recheneinheiten
EP1426862B1 (de) Synchronisation der Datenverarbeitung in redundanten Datenverarbeitungseinheiten eines Datenverarbeitungssystems
EP3172671B1 (de) Verfahren zur parallelen verarbeitung von daten in einem rechnersystem mit mehreren rechnereinheiten und rechnersystem mit mehreren rechnereinheiten
EP2662773B1 (de) Redundantes Mehrprozessorsystem und zugehöriges Verfahren

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 15797289

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 15797289

Country of ref document: EP

Kind code of ref document: A1