具有至少两个核的微控制器。本发明专利技术涉及一种具有至少一个第一核(11)和第二核(12)的微控制器(100),其中第一核(11)具有内部的监视单元(30),和具有第一安全单元(21),其中第一安全单元(21)具有接口(40),其中接口(40)能与外部的监视单元(31)连接,其中第二核(12)具有第二接口(22),其中第二安全单元(22)能与第一核(11)的监视单元(30)连接,其中内部的监视单元(30)被设置为检验,第二核(12)是否满足预定的安全标准。
【技术实现步骤摘要】
本专利技术涉及一种具有至少两个核的微控制器以及一种用于控制设备的故障保护的安全系统。
技术介绍
通常存在用于技术设施的安全控制装置,所述技术设施例如是工具机、印刷机、机动车中的气囊等,它们由电气的、电子的和/或可编程电子的系统来控制。这样的系统大多由至少一个集成电路构建。这种集成电路的主要组成部分通常是微控制器,该微控制器具有存储器(例如RAM、ROM)、计时器、至少一个微处理器(CPU)、输入端子、输出端子和将所述存储器、计时器、CPU(一个或多个)和输入/输出端子彼此连接的总线系统。微控制器用于中央地控制该电气的、电子的和/或可编程电子的系统。如果微控制器的功能由于故障——例如过热或过载——受到损害,或者如果微控制器由于故障甚至完全失灵,则整个要控制的技术设施的功能不再得到保证。因此非常重要的是,避免控制该技术设施的微控制器失灵,或将由微控制器控制的技术设置转移到故障安全的运行中。微控制器可以装备有多核处理器,所述多核处理器具有多于一个的处理器核(所谓的多核处理器)。在此,要实施的功能、应用或进程可以适宜地分布到微控制器的各个核上,以便例如最优地充分利用各个核的空闲的计算性能或容量。主要的、安全相关的功能在此可以分布到微控制器的所有核上。微控制器的每个核因此必须被保护免于失灵和免遭故障。在DE 10 2009 015 683 A1中描述了一种用于保护多核处理器的安全系统。外部监视装置(所谓的看门狗(Watchdog))在此与多核处理器的各个核连接并且监视这些核。在此,必须在监视装置与多核处理器的每个单个的核之间设置接口。各个接口必须基于硬件地实现到监视装置中和多核处理器中,这是相对耗费的。值得期待的是,提供一种具有多个核的微控制器,其中微控制器的各个核通过简单的、但是安全的方式被保护免于失灵和故障。
技术实现思路
根据本专利技术提出具有独立权利要求的特征的具有至少两个核的微控制器以及用于控制设备的故障保护的安全系统。有利的构型是从属权利要求以及后面的描述的主题。在本专利技术的微控制器中,第二核、尤其是微控制器的每个单个的核具有安全单元。第一核的监视单元与第二核的安全单元或尤其是与微控制器的每个其他的核的安全单元连接。第一核或第一核的监视单元因此监视至少第二核以及尤其是微控制器的所有其他的核。通过监视单元对安全单元的监视可以原则上根据询问-应答监视来进行,如例如在公开文件“Standardisiertes E-GAS überwachungskonzept für Benzin und Diesel Motorsteuerungen. Arbeitskreis EGAS/16.05.2013/版本5.5”中作为层3监视所描述的那样。应当指出,尽管在下面的描述中大多讨论两个核。但是,本专利技术及其实施不应当限于两个核,而是可以扩展到任意多个核。尤其是,以下关于第二核的阐述以类似方式适用于核中的多个并且尤其是适用于微控制器的所有其他的核。本专利技术的优点在检验第二核是否满足预定的安全标准的过程中,监视单元尤其是检验第二核是否用预定的应答回答确定的询问。如果第二核不以预定方式应答,则该第二核不能再根据预定的安全标准实施安全相关的功能。监视单元因此检验,第二核是否还适用于微控制器的安全运行。如果第二核有故障或者第二核失灵,则这被监视单元识别出来并且监视单元可以采取对应的措施。监视单元或第一核因此保护第二核免于失灵。通过第一安全单元或通过第一接口,第一核可与外部的监视单元(所谓的监视计算机或看门狗)连接。外部的监视单元在此应被理解为,该外部的监视单元不具有微控制器的部件。第一核在此尤其是可以借助于外部的监视单元被监视。第一核与此对应地是被保护免于失灵的、受到监视的核,其又保护和监视微控制器的其余核免于失灵。第一安全单元和外部的监视装置之间的接口例如可以是SPI接口(串行外围接口)。为了检验第二核是否满足预定的安全标准,可以在第一和/或第二核上实现特殊的算法。所述算法能够实现监视单元和第二核的安全单元之间的对应的通信。对于第一和第二核之间的通信尤其是可以使用通信接口,所述通信接口已经存在于微控制器中,例如RAM。因此不必在微控制器中实现附加的硬件构件。通过根据本专利技术第二核或所有其他核受到第一核保护,相对于所有核都借助于外部的监视单元来保护的微控制器得出显著优点。为此,与外部的监视单元连接的核必须始终等待其他核的数据或响应,以便其可以合并所有的数据或响应并且一起传送给外部的监视单元。这可能由于运行系统的边界条件(软件任务的抖动)而导致故障等待时间的明显延长。也即故障等待时间可能被保持恒定,但是这可能会导致微控制器的可用性受限。因为通过本专利技术尤其是微控制器的每一个核都被监视并且被保护免于失灵,所以要实施的功能、应用和进程可以任意地分布到各个核上。所有的安全相关的功能不一定在确定的、例如作为核中的唯一一个被保护免于失灵的核上运行。各种应用和功能因此可以适宜地由于各个核的空闲的计算性能或容量来分布。优选地,监视单元被设置为当第二核不满足预定的安全标准时对第二核去激活或对功率末级去激活。当第二核不满足预定的安全标准时,监视单元为此可以尤其是具有经由其输出特殊信号的输出端。此外,可以发起措施来将微控制器转移到安全的运行状态中。例如可以将第二核的对于微控制器的无故障运行重要的功能和进程分布到微控制器的其他核上,或者微控制器可被在特殊的紧急运行模式中运行或被关断。有利地,第一核的安全单元经由接口与外部的监视单元连接。该外部的监视单元因此通过与第一核监视第二核相同的方式监视第一核。外部的监视单元尤其是构造为看门狗单元。在此,尤其是可以使用常规的监视单元或看门狗单元,其通过常规方式被设置用于监视部件。根本无须对所述常规的监视单元或看门狗单元进行改变。既无须添加硬件构件,也无须改变其编程。不必执行常规的监视单元或看门狗单元的新的芯片开发,并且可以保持常规的监视单元或看门狗单元的已有设计。常规的监视单元或看门狗单元尤其是具有唯一的接口,经由该接口所述常规的监视单元或看门狗单元与相应的要监视的部件连接。通过本专利技术微控制器仅仅具有第一安全单元的接口形式的外部接口,本专利技术微控制器适用于利用常规的监视单元或看门狗单元的使用。优选地,外部的监视单元被设置为当第一核不满足预定的安全标准时对微控制器去激活。对于第一核有故障或失灵的情况,对第二核或其余核的监视不能再由第一核的监视单元执行。在本专利技术的一个有利的构型中,第二核也具有监视单元,用于监视第一核。由此可以减少所有核的故障等待时间,因为各个核之间的检验的参数与外部的监视单元相比更容易改变。核之一的故障或失灵因此可以被更快速地识别。第一核的安全单元为此可与第二核的监视单元以及与外部的监视单元要么经由已经提到的接口要么经由另一接口连接。可替换地,第一核也可以具有两个安全单元,这两个安全单元中的一个可与外部的监视单元连接并且这两个安全单元中的另一个与第二核的监视单元连接。优选地,第一核的监视单元在检验第二核是否满足预定的安全本文档来自技高网...
【技术保护点】
具有至少一个第一核(11)和第二核(12)的微控制器(100),其中‑第一核(11) °具有内部的监视单元(30),和 °具有第一安全单元(21),其中第一安全单元(21)具有接口(40),其中接口(40)能与外部的监视单元(31)连接,‑第二核(12)具有第二接口(22),其中第二安全单元(22)能与第一核(11)的监视单元(30)连接,‑其中内部的监视单元(30)被设置为检验,第二核(12)是否满足预定的安全标准。
【技术特征摘要】
2013.07.09 DE 102013213402.91.具有至少一个第一核(11)和第二核(12)的微控制器(100),其中
-第一核(11)
°具有内部的监视单元(30),和
°具有第一安全单元(21),其中第一安全单元(21)具有接口(40),其中接口(40)能与外部的监视单元(31)连接,
-第二核(12)具有第二接口(22),其中第二安全单元(22)能与第一核(11)的监视单元(30)连接,
-其中内部的监视单元(30)被设置为检验,第二核(12)是否满足预定的安全标准。
2.根据权利要求1所述的微控制器(100),其中内部的监视单元(30)被设置为当第二核(12)不满足预定的安全标准时对第二核(12)或微控制器(100)去激活。
3.根据前述权利要求之一所述的微控制器(100),其中第二核(12)具有第二监视单元(32),其中第一安全单元(21)与第二监视单元(32)连接。
4.根据权利要求3所述的微控制器(100),其中第一安全单元(21)与第二监视单元(32)连接,并且第二监视单元(32...
【专利技术属性】
技术研发人员:S德雷施曼,M拉雅帕克泽,S塔蒂约斯扬,T基夫尼克,
申请(专利权)人:罗伯特·博世有限公司,
类型:发明
国别省市:德国;DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。