安全关键的机动车系统的微控制器系统和方法及其应用技术方案

本发明专利技术描述一种用于安全关键的机动车系统的微控制器系统，包括多个设置在公共的芯片(1)上的子系统(A、B)，至少一个子系统多通道地构成，该微控制器系统的特征在于，微控制器系统设计为用于执行多个运行模式，其中所述子系统(A、B)在第一运行模式下相互独立地运行并且借助于芯片内部的接口(A27、B27)相互通信，在第二运行模式下子系统(A、B)中的至少之一借助于设定的数据传输器件(A25、B26、A26、B26)调用另外的子系统(A、B)中的至少之一的非局部资源(A13‑1、B13‑1、...、A18)运行，和/或子系统(A、B)中的至少之一处于运行而子系统(A、B)中的至少另一是非激活的。本发明专利技术还描述一种用于运行微控制器系统的方法以及其应用。

Microcontroller system and method for safety critical motor vehicle system and application thereof

The invention relates to a micro controller system for motor vehicle safety critical systems, including multiple settings in the public chip (1) subsystem on (A, B), at least one subsystem of multi channel structure is characterized in that the micro controller system, micro controller system design for the implementation of a number of mode of operation, wherein the subsystem (A, B) in the first operating mode, operating independently of each other and with the help of the chip interface (A27, B27) communicate with each other in the second operating mode system (A, B) at least one of the transmission device with the aid of the data set (A25, B26, A26, B26) to call another subsystem (A, B) at least one of the non local resources in the (A13 1, B13 1,..., A18), and / or sub system (A, B) at least one of the at operation subsystem (A, B) in at least the other is inactive The. The invention also describes a method for operating a microcontroller system and the use thereof.

【技术实现步骤摘要】
【国外来华专利技术】安全关键的机动车系统的微控制器系统和方法及其应用
本专利技术涉及一种按照权利要求1前序部分所述的用于安全关键的机动车系统的微控制器系统、按照权利要求6的前序部分所述的用于运行用于安全关键的机动车系统的方法以及其应用。
技术介绍
高度可用或防事故的车辆系统——如其需要用于自动化驾驶的应用——对各个机动车系统的电子构件的可用性和相互作用自由性以及在此特别是对相应微控制器提出提高的要求，微控制器执行通过该微控制器运行的车辆系统的基础软件。对于这些车辆系统相应地力求尽可能小的事故可能性。对于高度可用或防事故的车辆系统的例子是机动车的制动系统。这样的制动系统的故障意味着对于交通参与者的危险，因此必须不断监控该系统的功能能力，以便在出现故障时例如激活备份。故障公差冗余方案以特别的程度对于仅仅具有电子备份的机动车系统是重要的。为了提高故障安全性，由文献DE3234637C2已知的是，以相同软件运行两个处理器，这也称为对称冗余。在文献DE4137124A1中描述一种具有非对称冗余的微处理器系统，其中两个处理器以不同软件运行。在文献DE19529434A1中描述了另一核芯冗余的系统，其中两个同步运行的处理器核芯设定在一个或多个芯片上，该些处理器核芯获得相同输入信息并且处理相同程序。两个处理器核芯在此通过单独的总线系统连接到只读存储器和写-读存储器上以及输入和输出单元上。总线系统相互间通过驱动级或旁路连接，它们对于两个处理器核芯能实现可用数据包括检测数据和命令的共同的读取和处理。两个处理器核芯中仅仅之一(直接)与完整的只读和写-读存储器连接，而第二处理器核芯的存储能力限于结合检测数据生成器检测数据(奇偶监控)的存储空间。对所有数据的访问在于通过旁路。由此两个处理器核芯能够分别处理完全的程序。在文献EP1673667B1中描述了用于安全关键的应用的微控制器系统，其中用于驱控具有能力的负载的数字电路构件和模拟电路构件安装在共同的芯片或芯片载体上并且通过隔离的区域相互保护。对于安全关键的机动车系统已知的微控制器(MCU)由编程模型方面看来是单核系统，自然地然而经常存在于多个处理器核芯，以便使得软件执行并行化。资源，如例如存储资源和/或外围资源自然不多次执行并且由处理器核芯共同使用。相比之下，多芯片微控制器多次提供完整的资源。芯片在该说明书的意义上理解为集成在单独的半导体基底上的电路。由多核芯微控制器分享的资源的基本缺点是其易错性，如例如随机硬件错误，因为总是也涉及分享该资源的核芯。多次存在的子系统(核芯)的独立性因此也对于在该子系统中的错误产生。多核芯微控制器的故障概率因此极大地由在分享的资源中的错误确定并且例如在总故障率的40％的数量级上。然而基于该多重设计，多芯片系统相比于多核芯系统精确度更高，这特别是对于当今具有例如大于4MB只读存储器和大于256KB主存储器的大的程序和数据存储器中的情况。高度可用的系统的多个芯片的应用因此表示成本的显著提高，特别是更大数量的集成电路以及基于的电路载体的提高的复杂性有助于这一点。由于生产集成电路的高部件数量，存在对全部构件的极大的成本压力。其特别是针对安全设计的功能然而不应通过降低成本的措施限制。
技术实现思路
因此，本专利技术的任务在于，提供一种机构，该机构能实现对于安全关键的机动车系统的微控制器系统的至少一如既往高的可用性并且在此可尽可能成本低廉地实现。该任务通过按照权利要求1的微控制器系统和按照权利要求6的方法实现。本专利技术描述一种用于安全关键的机动车系统的微控制器系统，包括多个设置在公共的芯片上的子系统，其中至少一个子系统多通道地构成，其中微控制器系统的特征还在于，该微控制器系统设计为用于执行多个运行模式，其中子系统在第一运行模式下相互独立地运行并且借助于芯片内部的接口相互通信，在第二运行模式下，子系统中的至少之一借助于设定的数据传输器件调用另外的子系统中的至少之一的非局部资源运行，和/或子系统中的至少之一处于运行而子系统中的至少另一是非激活的。有利地，通过按照本专利技术的微控制器系统以及按照本专利技术的方法实现降低对于安全关键的机动车系统的微控制器系统的可能设计方案的数量以及实现其在整个芯片上的结合，利用该芯片此外可实现至少保持不变的可用性。在对于现代半导体技术节点——具有当前实现的小于40纳米的最小结构大小——的集成电路的掩膜制造的上升成本的背景下，这意味着一次性研发成本的降低并且提高该集成电路或微控制器系统的总件数，因为可以实现在不同系统中的应用。基于该优点，制造成本的显著降低是可能的。在本专利技术的意义上的子系统优选是微控制器，微控制器没有必要必须安装在单独的芯片上，或者换言之子系统是计算机系统，该计算机系统设计用于运行现代车辆系统。除了数字电路部分，子系统优选也可以包括模拟电路部分。多通道系统自身已知地具有至少两个分开的通道，由此提高错误识别并且改善基础系统的可用性。在此，例如冗余的以及必要时可能多种硬件和/或软件设计，例如具有不同编程算法的多个处理器，其中比较相应的结果。由此可以在故障情况下避免安全关键的情况。非激活在本专利技术的意义上优选可理解为运行状态，在该运行状态下子系统不进行独立的程序执行。这特别是休止状态或去激活状态，其中不发生I/O通信。有利地可以因此满足关于微控制器系统的较小的能量消耗的要求。根据一个优选实施形式，子系统具有单独的并且分别配置给子系统的电压源和/或系统时钟供应装置。由此有利地提高子系统的独立性和微控制器系统的故障安全性。调用的非局部资源优选是至少另一子系统的存储资源和/或外围资源，其中这些存储资源和/或外围资源结合到至少一个要调用非局部资源的子系统的地址区域中。其优点在于，要调用非局部资源的子系统因此可以以相似方式访问非局部资源，如访问局部资源并因此扩展的应用范围，例如可以基于短时或持久地匹配于满负荷要求。根据微控制器系统的一个优选实施形式，子系统借助于电气屏障相互隔离。因此可以有利地避免在公共的芯片上的电气串扰。子系统优选具有不同的系统时钟域，其中在与非局部资源通信的情况下借助于同步单元实现一个子系统与另一个子系统的同步。本专利技术还描述一种用于运行用于安全关键的机动车系统的微控制器系统的方法，其中微控制器系统包括多个设置在公共的芯片上的子系统并且至少一个子系统多通道地运行，其中，所述子系统在第一运行模式下相互独立地运行并且借助于芯片内部的接口相互通信，在第二运行模式下，子系统中的至少之一调用另外的子系统中的至少之一的非局部资源运行，和/或子系统中的至少之一处于运行状态而子系统中的至少另一是非激活的。对于按照本专利技术的方法产生基本上相同的优点，如其已经对于按照本专利技术的微控制器系统阐明的那样。根据一个优选实施形式，子系统借助于单独的并且分别配置给这些子系统的电压源和/或系统时钟供应装置运行。为了调用另外的子系统中之一的非局部资源，将这些非局部资源结合到至少一个要调用非局部资源的子系统的地址区域中。优选地，在软件分区中考虑对另外的子系统的至少之一，特别是要调用非局部资源的子系统的非局部资源的不同访问时间。此外，本专利技术还涉及按照本专利技术的微控制器系统和/或按照本专利技术的方法在安全关键的机动车系统特别是机动车制动系统中的应用。附图说明另外的优选实施形式根据图1由实施例的本文档来自技高网...

【技术保护点】
一种用于安全关键的机动车系统的微控制器系统，包括多个设置在公共的芯片(1)上的子系统(A、B)，其中至少一个子系统多通道地构成，其特征在于，所述微控制器系统设计为用于执行多个运行模式，其中所述子系统(A、B)在第一运行模式下相互独立地运行并且借助于芯片内部的接口(A27、B27)相互通信，在第二运行模式下，子系统(A、B)中的至少之一借助于设定的数据传输器件(A25、B26、A26、B26)调用另外的子系统(A、B)中的至少之一的非局部资源(A13‑1、B13‑1、...、A18)运行，和/或子系统(A、B)中的至少之一处于运行状态，而子系统(A、B)中的至少另一是非激活的。

【技术特征摘要】
【国外来华专利技术】2014.08.29 DE 102014217321.31.一种用于安全关键的机动车系统的微控制器系统，包括多个设置在公共的芯片(1)上的子系统(A、B)，其中至少一个子系统多通道地构成，其特征在于，所述微控制器系统设计为用于执行多个运行模式，其中所述子系统(A、B)在第一运行模式下相互独立地运行并且借助于芯片内部的接口(A27、B27)相互通信，在第二运行模式下，子系统(A、B)中的至少之一借助于设定的数据传输器件(A25、B26、A26、B26)调用另外的子系统(A、B)中的至少之一的非局部资源(A13-1、B13-1、...、A18)运行，和/或子系统(A、B)中的至少之一处于运行状态，而子系统(A、B)中的至少另一是非激活的。2.根据权利要求1所述的微控制器系统，其特征在于，子系统(A、B)具有单独的并且分别配置给子系统的电压源(A11、B11)和/或系统时钟供应装置(A12、B12)。3.根据上述权利要求之一所述的微控制器系统，其特征在于，调用的非局部资源(A13-1、B13-1、...、A18)是至少另一子系统(A、B)的存储资源和/或外围资源，其中，这些存储资源和/或外围资源结合到至少一个要调用非局部资源的子系统(A、B)的地址区域中。4.根据上述权利要求之一所述的微控制器系统，其特征在于，子系统借助于电气屏障(A10、B10)相互隔离。5.根据上述权利要求之一所述的微控制器系统，其特征在于，子系统(A、B)具有不同的系统时钟域，其中，在与非局...

【专利技术属性】
技术研发人员：D·鲍迈斯特，A·特雷斯科夫，
申请(专利权)人：大陆特韦斯贸易合伙股份公司及两合公司，
类型：发明
国别省市：德国,DE