CN101349905B - 引擎控制模块的双核体系结构 - Google Patents

引擎控制模块的双核体系结构 Download PDF

Info

Publication number
CN101349905B
CN101349905B CN200810214760.7A CN200810214760A CN101349905B CN 101349905 B CN101349905 B CN 101349905B CN 200810214760 A CN200810214760 A CN 200810214760A CN 101349905 B CN101349905 B CN 101349905B
Authority
CN
China
Prior art keywords
core
control signal
module
signal
control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN200810214760.7A
Other languages
English (en)
Other versions
CN101349905A (zh
Inventor
M·H·科斯丁
P·A·鲍尔勒
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GM Global Technology Operations LLC
Original Assignee
GM Global Technology Operations LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by GM Global Technology Operations LLC filed Critical GM Global Technology Operations LLC
Publication of CN101349905A publication Critical patent/CN101349905A/zh
Application granted granted Critical
Publication of CN101349905B publication Critical patent/CN101349905B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1637Error detection by comparing the output of redundant processing systems using additional compare functionality in one or some but not all of the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1654Error detection by comparing the output of redundant processing systems where the output of only one of the redundant processing components can drive the attached hardware, e.g. memory or I/O
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/2205Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested
    • G06F11/2236Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested to test CPU or processors
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60GVEHICLE SUSPENSION ARRANGEMENTS
    • B60G2600/00Indexing codes relating to particular elements, systems or processes used on suspension systems or suspension control systems
    • B60G2600/08Failure or malfunction detecting means
    • B60G2600/086Redundant systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60GVEHICLE SUSPENSION ARRANGEMENTS
    • B60G2600/00Indexing codes relating to particular elements, systems or processes used on suspension systems or suspension control systems
    • B60G2600/18Automatic control means
    • B60G2600/187Digital Controller Details and Signal Treatment
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24187Redundant processors run identical programs
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24195Compare data in channels at timed intervals, for equality
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24198Restart, reinitialize, boot system after fault detection, hanging up, stalling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1683Temporal synchronisation or re-synchronisation of redundant processing components at instruction level
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1687Temporal synchronisation or re-synchronisation of redundant processing components at event level, e.g. by interrupt or result of polling

Abstract

本发明涉及引擎控制模块的双核体系结构。一种用于交通工具的控制模块的控制系统,包含:主处理器中使用中央处理单元(CPU)产生第一控制信号的第一集成电路(IC)核心。所述主处理器的第二IC核心使用第二CPU产生第二控制信号,并基于所述第一控制信号和所述第二控制信号产生补救控制信号。

Description

引擎控制模块的双核体系结构
技术领域
本公开涉及控制系统,尤其涉及在交通工具安全关键(safety-critical)控制系统中验证控制信号的完整性。
背景技术
本部分的陈述仅仅是提供与本发明公开内容相关的背景信息,不构成现有技术。
在各种系统中,实施控制模块以处理数据和提供控制信号。在汽车,卡车,飞行器和其它交通工具中,控制模块越来越多地使用数字处理器控制安全关键功能,如:刹车和引擎控制。主处理器(primary processor)基于从各种传感器和监控操作特性的其它设备接收的信号产生控制信号,上述操作特性例如但不限于引擎速度,温度,压力和齿轮比。主处理器使用算术逻辑单元(ALU)处理信号信息。如果有缺陷的ALU导致控制信号被损坏,那么主处理器可能会命令系统采取错误的动作。
损坏的控制信号还会由与主处理器和/或控制模块的其它部件相关的其它故障和/或错误导致,所述其它故障和/或错误包括但不限于随机存取存储器(RAM)的硬件故障,RAM数据存储损坏,只读存储器(ROM)故障,编译器错误和/或程序计数器错误。主处理器的常规故障检测和纠错技术常常在控制模块上使用次处理器(secondary processor)。次处理器通常使用主处理器中的ALU来执行故障检测。
发明内容
一种用于交通工具的控制模块的控制系统,包含主处理器中的第一集成电路(IC)核心(core),该第一集成电路(IC)核心使用中央处理单元(CPU)产生第一控制信号。所述主处理器中的第二IC核心使用第二CPU产生第二控制信号,并基于所述第一控制信号和所述第二控制信号产生补救控制信号。
通过这里的描述,更多领域的适用性将是显而易见的。应该理解这里的描述和具体实例的目的只是为了说明,并非限制本发明公开的范围。
附图说明
这里的附图描述的目的只是为了说明,并非以任何方式限制本发明公开的范围。
图1是依照现有技术的示例性控制模块的功能框图;
图2是依照本发明的示例性控制模块的功能框图;以及
图3是阐明本发明的控制系统的流程图。
具体实施方式
下面对优选实施例的描述实际上只是示例性的,并不是以任何方式有意限制本发明以及它的应用或使用。为了清楚起见,附图中将使用相同的附图标记标识相似的元件。如这里使用的,术语模块指专用集成电路(ASIC),电子电路,执行一个或多个软件或固件程序的处理器(共享,专用,或组)和存储器,组合逻辑电路或提供所述功能的其它适当部件。
现在参考图1,示出了依照现有技术的示例性交通工具10。交通工具10可以包含汽车,卡车,飞行器或其它交通工具,但并不局限于此。控制模块12控制交通工具10的一个或多个功能,包括但不限于诸如刹车,转向,危险控制,和/或引擎操作的安全关键功能。控制模块12包含与次处理器16通信的主处理器14,随机存取存储器(RAM)18,纠错编码(ECC)模块20,只读存储器(ROM)22,输入和/或输出(I/O)模块24,以及其它部件26。
RAM18存储与交通工具10控制相关的读、写和/或易失性控制数据。RAM18可以包括SDRAM,双数据率(DDR)RAM,或其它类型的低延迟存储器,但并不局限于此。ROM22包括如闪存之类的非易失性存储器,并用于存储诸如非易失控制代码之类的密钥数据。
ECC模块20验证从RAM18和/或ROM22接收的数据的完整性。ECC模块20监控RAM18和ROM22中各种形式的数据损坏。当数据从RAM18和/或ROM22传输到主处理器14时,ECC模块20可以自动纠正检测到的故障。
I/O模块24可以连接到交通工具10中的各种传感模块,并可以将模拟数据转换为数字信号以传输到处理器14。I/O模块24可以包含例如模数(A/D)转换器,脉宽调制(PWM)转换器,双端口存储器,控制器局域网(CAN)总线,本地互连网(LIN)总线,和/或使用串行外围接口(SPI),频率编码,可扩展一致性接口(SCI),和/或单边半字节(single edge nibble)传输(SENT)介质的设备。也可以使用各种其它设备和/或方法来输入传感器数据。
布置在控制模块12上的主处理器14执行与交通工具10的操作相关的数据和/或控制处理。主处理器14包含集成电路(IC)核心28和比较模块30。IC核心也称为核心逻辑芯片集,可以包含用于处理存储器功能,指令高速缓冲存储器,总线接口逻辑,和数据路径功能的控制器。IC核心28包括主数据路径(数据路径)32,冗余数据路径34,和算术逻辑单元(ALU)36。
数据路径32对从控制模块12中的各种其它部件(例如RAM18和RAM22)接收的数据执行计算操作,并基于所述数据产生主控制信号38(例如安全关键控制信号)。冗余数据路径34与数据路径32并行处理数据,并产生冗余控制信号40。冗余数据路径34以与数据路径32相似的方式执行计算操作。
数据路径32和冗余路径34共享公共的ALU36。ALU36对由数据路径32和数据路径34接收的数据执行算术操作。更具体地,ALU36对所述数据执行计算,以确定控制交通工具10的各种功能的主控制信号38和冗余控制信号40。
比较模块30接收主控制信号38和冗余控制信号40。比较模块30比较主控制信号38和冗余控制信号40,以确定主控制信号38和冗余控制信号40是否相等。如果主控制信号38和冗余控制信号40不相等,比较模块30基于上述比较产生补救(即校正)控制信号42。补救控制信号可以包含命令交通工具10关闭引擎或限制引擎速度,但并不局限于此。
次处理器16通过使用处理器检查模块44对主处理器14执行安全检查。更具体地,次处理器16确定ALU36是否正常操作。处理器检查模块44通过给主处理器14传输种子(seed)或预定信息,周期性地评估ALU36的计算完整性。主处理器14处理种子数据,并产生传输给处理器检查模块44的“密钥(key)”数据。基于该密钥数据和存储在处理器检查模块44中的预定响应之间的比较,处理器检查模块44确定ALU36是否正常运行。当密钥数据和预定响应(即期望结果)相等时,处理器检查模块44确定ALU36操作正常。换句话说,处理器检查模块44执行ALU36的诊断评估,从而确保正常操作。此外,处理器检查模块44可以确认其它部件26的正常操作,所述其它部件可以包括但不限于各种寄存器,程序计数器和高速缓冲存储器。
控制模块12的多个部分可以由一个或多个IC或芯片实现。例如,IC核心28和比较模块30可以由单个芯片实现。可选地,控制模块12还可以被实现为片上系统(SOC)。
依照本发明的控制系统包含具有第一IC核心和第二IC核心的处理器。每个IC核心使用不同的ALU以产生独立的安全关键控制信号,从而消除了与多个数据路径中共享的ALU相关的故障。此外,该控制系统在第一IC核心和第二IC核心之间提供最佳的安全功能分配(portioning),并且消除了由次处理器执行的安全检查的必要性,和消除了用于检测和减少RAM损坏的双存储的必要性。
现在参考图2,其示出了实施依照本发明的控制系统的示例性控制模块50。控制模块50包含处理器52,处理器52包含第一IC核心54和第二IC核心56。
第一IC核心54包含数据路径58和ALU60。例如,ALU60是计算算术和逻辑操作的中央处理单元(CPU)61中的部件。数据路径58对从控制模块50中的各种其它部件(如RAM18和RAM22)接收的数据执行计算操作,并基于所述数据产生第一控制信号62(如安全关键控制信号)。CPU61(如ALU60)对由数据路径58单独接收的数据执行算术操作。
第二IC核心56包含冗余数据路径64,ALU66(即包含ALU66的CPU67),和比较模块68。冗余数据路径64与第一IC核心54的数据路径58并行地处理数据。在当前的实施方式中,冗余数据路径64使用CPU67对该数据执行算术操作,并产生第二控制信号70。换句话说,第一IC核心54(即数据路径58)和第二IC核心56(即冗余数据路径64)的每一个分别使用CPU61和CPU67独立地处理数据。因此,由第一IC54中有缺陷的CPU61部分地产生的被损坏的第一控制信号将不会影响第二控制信号70。
在当前的实施方式中,第一IC核心54和第二IC核心56独立地处理数据。第二IC核心56基于接收到第一IC核心54已经产生第一控制信号62的通知信号而处理数据并产生第二控制信号70。在各种实施例中,第二IC核心56可以等待校准周期(calibrated period of time)以接收第一控制信号62。如果第二IC核心56确定在所述周期内没有接收到第一控制信号62,则第二IC核心56可以启动补救行动72。
第二IC核心56中的比较模块68接收第一控制信号62和第二控制信号70。比较模块68比较第一控制信号62和第二控制信号70,并确定第一控制信号62和第二控制信号70是否相等。如果第一控制信号62和第二控制信号70不相等,则比较模块68基于所述比较产生补救控制信号72。补救控制信号72可以包含但不限于命令数据路径58和冗余数据路径64重新同步到预定状态,和/或执行第一IC核心54和第二IC核心56的运行复位(running reset)。
控制模块50传输第一控制信号62和补救控制信号72到控制模块50和/或交通工具10中的各种部件。
在当前的实施方式中,第一和第二IC核心54和56共享公共的RAM18和ROM22。ECC模块20监控控制模块50中的RAM18和ROM22,以发现数据错误(即由于硬件故障引起的数据损坏)。第一核心54和第二核心56中的至少一个对ECC模块20的正确操作进行测试。在各种实施例中,第一核心54或第二核心56可以通过在交通工具10的每个运转循环(key cycle)中至少一次地确保不存在ECC模块20的“睡眠故障(sleeping faults)”(即不单独引起安全关键错误的故障),来验证ECC模块20的功能。ECC模块20的睡眠故障表现为ECC模块20未能检测到出故障的RAM或ROM单元。在随后的RAM或ROM故障时可能会发生危险。此外,如果第一IC核心54或第二IC核心56共享公共时钟,该时钟(未显示)的操作可以由第一IC核心54,第二IC核心56和/或外部电路之一周期性地验证。
现在参照图3,将详细描述一种用于操作该控制系统的示例性方法300。方法300由步骤302开始。步骤304中,第一IC核心54和第二IC核心56接收来自控制模块50的各个部件的数据。步骤306中,第一IC核心54产生第一控制信号62。步骤308中,第二IC核心56确定第二IC核心56是否接收到从第一IC核心54传输的通知信号。如果第二IC核心56没有接收到该通知信号,则第二IC核心56返回步骤308。如果第二IC核心56接收到该通知信号,则第二IC核心56前进到步骤310。
步骤310中,第二IC核心56产生第二控制信号70。步骤312中,第二IC核心56确定第一控制信号62和第二控制信号70是否相等。如果第二IC核心56确定第一控制信号62和第二控制信号70不相等,方法300前进到步骤314。如果第二IC核心56确定第一控制信号62和第二控制信号相等,方法300前进到步骤316。步骤314中,第二IC核心56产生补救控制信号72。步骤316中,方法300结束。
现在,本领域技术人员根据前面的描述可以理解,本发明的宽泛教导可以各种形式实现。所以,虽然结合本发明的特定实例对本发明进行了描述,但本发明的真正范围并不局限于此,因为根据对本发明附图,说明书和所附权利要求书的研究,其它修改对于本领域技术人员将是显而易见的。

Claims (14)

1.一种用于交通工具的控制模块的控制系统,包含;
主处理器中的第一集成电路(IC)核心,所述第一集成电路核心使用第一中央处理单元(CPU)产生第一控制信号;和
所述主处理器中的第二IC核心,所述第二IC核心接收所述第一控制信号,使用第二CPU产生第二控制信号并比较所述第一控制信号和所述第二控制信号,如果所述第一控制信号和所述第二控制信号不同,则产生补救控制信号,
其中所述第一IC核心和所述第二IC核心独立处理数据。
2.如权利要求1所述的系统,其中当所述第二控制信号不等于所述第一控制信号时,所述第二IC核心产生所述补救控制信号。
3.如权利要求1所述的系统,其中当所述第二IC核心接收到来自所述第一IC核心的所述第一IC核心已产生第一控制信号的通知信号时,所述第二IC核心产生所述第二控制信号。
4.如权利要求3所述的系统,其中当所述第二IC核心在校准周期中未能接收到所述通知信号时,所述第二IC核心命令补救行动。
5.如权利要求1所述的系统,其中所述补救控制信号包含以下用信号通知动作中的至少一个:用信号通知所述第一IC核心的数据路径和所述第二IC核心的冗余数据路径重新同步到预定状态以及用信号通知所述第一IC核心和所述第二IC核心的运行复位。
6.如权利要求1所述的系统,其中所述第一IC核心和所述第二IC核心之一验证所述控制模块中的纠错编码(ECC)模块的操作。。
7.如权利要求1所述的系统,进一步包含:
存储器;和
纠错编码(ECC)模块,其中所述第一IC核心和所述第二IC核心共享所述存储器并且所述ECC模块验证所述存储器。
8.如权利要求7所述的系统,其中所述第一IC核心和所述第二IC核心之一验证所述(ECC)模块的操作。
9.一种操作交通工具的控制模块的方法,包含;
使用第一IC核心的第一CPU产生第一控制信号;
在第二IC核心接收所述第一控制信号;
使用第二IC核心的第二CPU产生第二控制信号;
比较所述第一控制信号和第二控制信号;以及
如果所述第一控制信号和所述第二控制信号不同,则产生补救控制信号,
其中所述第一IC核心和所述第二IC核心独立处理数据。
10.如权利要求9所述的方法,进一步包含:当所述第二控制信号不等于所述第一控制信号时,产生所述补救控制信号。
11.如权利要求9所述的方法,进一步包含:当所述第二IC核心接收到来自所述第一IC核心的所述第一IC核心已产生第一控制信号的通知信号时,产生所述第二控制信号。
12.如权利要求11所述的方法,进一步包含:当所述第二IC核心在校准周期中未能接收到所述通知信号时,命令补救行动。
13.如权利要求9所述的方法,其中所述补救控制信号包含以下用信号通知动作中的至少一个:用信号通知所述第一IC核心的数据路径和所述第二IC核心的冗余数据路径重新同步到预定状态以及用信号通知所述第一IC核心和所述第二IC核心的运行复位。
14.如权利要求9所述的方法,其中所述第一IC核心和所述第二IC核心之一验证所述控制模块中的纠错编码(ECC)模块的操作。
CN200810214760.7A 2007-07-20 2008-07-18 引擎控制模块的双核体系结构 Active CN101349905B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/880449 2007-07-20
US11/880,449 US9207661B2 (en) 2007-07-20 2007-07-20 Dual core architecture of a control module of an engine

Publications (2)

Publication Number Publication Date
CN101349905A CN101349905A (zh) 2009-01-21
CN101349905B true CN101349905B (zh) 2014-01-29

Family

ID=40265770

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200810214760.7A Active CN101349905B (zh) 2007-07-20 2008-07-18 引擎控制模块的双核体系结构

Country Status (4)

Country Link
US (1) US9207661B2 (zh)
CN (1) CN101349905B (zh)
BR (1) BRPI0802423A2 (zh)
DE (1) DE102008033675B8 (zh)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9207661B2 (en) * 2007-07-20 2015-12-08 GM Global Technology Operations LLC Dual core architecture of a control module of an engine
DE102010053803B3 (de) * 2010-12-08 2012-02-23 Brose Fahrzeugteile Gmbh & Co. Kommanditgesellschaft, Hallstadt Verfahren zum Betrieb eines Bordnetzes eines Kraftfahrzeugs sowie danach arbeitendes Bussystem
US9058419B2 (en) 2012-03-14 2015-06-16 GM Global Technology Operations LLC System and method for verifying the integrity of a safety-critical vehicle control system
EP2860598B1 (de) * 2013-10-14 2018-03-21 Siemens Aktiengesellschaft Verfahren zum Betreiben eines redundanten Automatisierungssystems, wobei der Slave Diagnosefunktionen durchführt
DE102014207422A1 (de) * 2014-04-17 2015-10-22 Robert Bosch Gmbh Busschnittstelleneinheit und Betriebsverfahren hierfür
FR3052575B1 (fr) * 2016-06-08 2019-10-04 Continental Automotive France Circuit de detection de defaillances systematiques et aleatoires
US10620260B2 (en) * 2017-05-02 2020-04-14 Texas Instruments Incorporated Apparatus having signal chain lock step for high integrity functional safety applications
DE102017210151A1 (de) * 2017-06-19 2018-12-20 Zf Friedrichshafen Ag Vorrichtung und Verfahren zur Ansteuerung eines Fahrzeugmoduls in Abhängigkeit eines Zustandssignals
US10706002B2 (en) 2018-03-13 2020-07-07 Micron Technology, Inc. Resources sharing among vehicle applications connected via a bus
KR102131230B1 (ko) * 2018-11-26 2020-07-08 현대오트론 주식회사 파워트레인 제어기의 램 에러 감지 로직의 자가진단 방법 및 장치
JP7425615B2 (ja) * 2020-02-05 2024-01-31 マツダ株式会社 車両用制御システム
CN113573950B (zh) * 2020-02-28 2024-03-26 Lg电子株式会社 模块化控制装置以及使用该模块化控制装置的车辆
US11208206B1 (en) * 2021-05-17 2021-12-28 Beta Air, Llc Aircraft for fixed pitch lift

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4546437A (en) * 1982-09-18 1985-10-08 Itt Industries, Inc. Method and circuit for the control of a brake slip control apparatus
US5458404A (en) * 1991-11-12 1995-10-17 Itt Automotive Europe Gmbh Redundant wheel sensor signal processing in both controller and monitoring circuits
US5862502A (en) * 1993-12-02 1999-01-19 Itt Automotive Europe Gmbh Circuit arrangement for safety-critical control systems
US6201997B1 (en) * 1995-08-10 2001-03-13 Itt Manufacturing Enterprises, Inc. Microprocessor system for safety-critical control systems
US6823251B1 (en) * 1997-04-18 2004-11-23 Continental Teves Ag & Co., Ohg Microprocessor system for safety-critical control systems
CN1864111A (zh) * 2003-10-08 2006-11-15 大陆-特韦斯贸易合伙股份公司及两合公司 用于安全关键调节的集成微处理器系统

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5815730A (ja) 1981-07-21 1983-01-29 Nippon Denso Co Ltd 車両用速度制御装置
JP2692497B2 (ja) 1992-06-29 1997-12-17 株式会社デンソー 車両用乗員保護システムの故障検出装置
JP3135772B2 (ja) 1993-12-27 2001-02-19 アスコ株式会社 車両用安全装置
JP3752022B2 (ja) * 1995-08-25 2006-03-08 株式会社デンソー 故障診断機能付き電子制御装置
US6243629B1 (en) * 1996-04-19 2001-06-05 Honda Giken Kogyo Kabushiki Kaisha Electronic control unit for automotive vehicles
JPH11294252A (ja) 1998-04-13 1999-10-26 Denso Corp 電子制御装置
US6625688B1 (en) * 1999-05-10 2003-09-23 Delphi Technologies, Inc. Method and circuit for analysis of the operation of a microcontroller using signature analysis of memory
US6330499B1 (en) 1999-07-21 2001-12-11 International Business Machines Corporation System and method for vehicle diagnostics and health monitoring
US20020045952A1 (en) * 2000-10-12 2002-04-18 Blemel Kenneth G. High performance hybrid micro-computer
US6775609B2 (en) 2001-09-27 2004-08-10 Denso Corporation Electronic control unit for vehicle having operation monitoring function and fail-safe function
JP3967599B2 (ja) 2002-01-28 2007-08-29 株式会社デンソー 車両用電子制御装置
US7055060B2 (en) 2002-12-19 2006-05-30 Intel Corporation On-die mechanism for high-reliability processor
JP4223909B2 (ja) 2003-09-24 2009-02-12 三菱電機株式会社 車載電子制御装置
JP4080980B2 (ja) 2003-09-26 2008-04-23 三菱電機株式会社 電子制御装置
EP1672505A3 (en) * 2004-12-20 2012-07-04 BWI Company Limited S.A. Fail-silent node architecture
JP3897046B2 (ja) * 2005-01-28 2007-03-22 横河電機株式会社 情報処理装置および情報処理方法
DE102005037246A1 (de) 2005-08-08 2007-02-15 Robert Bosch Gmbh Verfahren und Vorrichtung zur Steuerung eines Rechnersystems mit wenigstens zwei Ausführungseinheiten und einer Vergleichseinheit
US7631245B2 (en) 2005-09-26 2009-12-08 Sandisk Il Ltd. NAND flash memory controller exporting a NAND interface
DE102005055067A1 (de) * 2005-11-18 2007-05-24 Robert Bosch Gmbh Vorrichtung und Verfahren zum Beheben von Fehlern bei einem wenigstens zwei Ausführungseinheiten mit Registern aufweisenden System
US7747897B2 (en) * 2005-11-18 2010-06-29 Intel Corporation Method and apparatus for lockstep processing on a fixed-latency interconnect
JP4795025B2 (ja) * 2006-01-13 2011-10-19 キヤノン株式会社 ダイナミックリコンフィギャラブルデバイス、制御方法、及びプログラム
US7671482B2 (en) 2007-02-02 2010-03-02 Gm Global Technology Operations, Inc. Hydrogen powered vehicle refueling strategy
JP4433006B2 (ja) * 2007-07-04 2010-03-17 株式会社デンソー マルチコアの異常監視装置
US9207661B2 (en) * 2007-07-20 2015-12-08 GM Global Technology Operations LLC Dual core architecture of a control module of an engine
JP4776610B2 (ja) 2007-11-26 2011-09-21 三菱電機株式会社 監視制御回路を有する車載電子制御装置
JP4525762B2 (ja) 2008-02-04 2010-08-18 株式会社デンソー 車両用電子制御装置
JP4454672B2 (ja) 2008-06-13 2010-04-21 三菱電機株式会社 監視制御回路を有する車載電子制御装置
JP4959818B2 (ja) 2010-02-04 2012-06-27 三菱電機株式会社 電子制御装置
US9058419B2 (en) 2012-03-14 2015-06-16 GM Global Technology Operations LLC System and method for verifying the integrity of a safety-critical vehicle control system
JP2014035730A (ja) 2012-08-10 2014-02-24 Hitachi Automotive Systems Ltd 車両用制御装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4546437A (en) * 1982-09-18 1985-10-08 Itt Industries, Inc. Method and circuit for the control of a brake slip control apparatus
US5458404A (en) * 1991-11-12 1995-10-17 Itt Automotive Europe Gmbh Redundant wheel sensor signal processing in both controller and monitoring circuits
US5862502A (en) * 1993-12-02 1999-01-19 Itt Automotive Europe Gmbh Circuit arrangement for safety-critical control systems
US6201997B1 (en) * 1995-08-10 2001-03-13 Itt Manufacturing Enterprises, Inc. Microprocessor system for safety-critical control systems
US6823251B1 (en) * 1997-04-18 2004-11-23 Continental Teves Ag & Co., Ohg Microprocessor system for safety-critical control systems
CN1864111A (zh) * 2003-10-08 2006-11-15 大陆-特韦斯贸易合伙股份公司及两合公司 用于安全关键调节的集成微处理器系统

Also Published As

Publication number Publication date
CN101349905A (zh) 2009-01-21
US9207661B2 (en) 2015-12-08
DE102008033675B8 (de) 2023-05-04
DE102008033675B4 (de) 2023-02-23
US20090024775A1 (en) 2009-01-22
BRPI0802423A2 (pt) 2009-08-25
DE102008033675A1 (de) 2009-02-26

Similar Documents

Publication Publication Date Title
CN101349905B (zh) 引擎控制模块的双核体系结构
US10761925B2 (en) Multi-channel network-on-a-chip
JP6266239B2 (ja) マイクロコンピュータ
US8499193B2 (en) Integrated dissimilar high integrity processing
EP3663920B1 (en) Buffer checker
US7496788B1 (en) Watchdog monitoring for unit status reporting
JP6647289B2 (ja) セーフティサブシステムを有するプログラマブルic
Iturbe et al. Addressing functional safety challenges in autonomous vehicles with the arm TCL S architecture
JPH052654A (ja) マイクロコンピユータの故障検知方法および回路
KR19990036222A (ko) 임계 안전도 조절 시스템용 마이크로프로세서 시스템
US20100169886A1 (en) Distributed memory synchronized processing architecture
EP2381266B1 (en) Self-diagnosis system and test circuit determination method
CN115509831A (zh) 寄存器故障检测器
JP2009129301A (ja) 自己診断回路及び自己診断方法
JP4941954B2 (ja) データエラー検出装置およびデータエラー検出方法
JP2006259935A (ja) 演算異常判断機能付き演算装置
Sundaram et al. Controller integrity in automotive failsafe system architectures
EP3115900A1 (en) A computer system and a method for executing safety-critical applications using voting
Davis et al. Achieving low-overhead fault tolerance for parallel accelerators with dynamic partial reconfiguration
CN115543716A (zh) 验证图形处理单元的处理逻辑
Venu et al. A fail-functional automotive CPU subsystem architecture for mitigating single point of failures
JP6588068B2 (ja) マイクロコンピュータ
JP2009282849A (ja) マイクロコンピュータ
US20160110241A1 (en) Apparatus, system and method for protecting data
WO2007026508A1 (ja) 半導体装置、テストモード制御回路

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant