车辆安全电子控制系统技术方案

公开了一种车辆安全电子控制系统(8)，其优选地设置为集成电子控制系统单元的形式。该系统包括：第一微控制器(11)，其包括具有锁步核心(14)的锁步架构；第二微控制器(12)，其具有至少两个处理核心(16，17)。第一微控制器(11)的锁步核心(14)配置为监测和控制第二微控制器(12)的所述至少两个核心(16，17)的输出。

Electronic control system of vehicle safety

A vehicle safety electronic control system (8) is disclosed, which is preferably set in the form of an integrated electronic control system unit. The system includes: the first microcontroller (11) includes a lock step architecture with a lock step core (14), and a second microcontroller (12), which has at least two processing cores (16, 17). The lock step core (14) of the first micro controller (11) is configured to monitor and control the output of at least two cores (16, 17) of the second microcontrollers (12).

【技术实现步骤摘要】
【国外来华专利技术】车辆安全电子控制系统
本专利技术涉及电子控制系统，更具体地，涉及车辆安全电子控制系统。
技术介绍
如今，电子安全系统非常广泛地用于机动车辆中。这种安全系统可以包括，例如：盲点监测系统；主动巡航控制系统；预安全制动系统；防碰撞系统；车道偏离防止系统；和后碰撞缓解系统。现代车辆安全系统的复杂性质非常重视提供和管理安全系统所需的电子控制系统的性能和可靠性。这种控制系统通常包括集成硬件和软件以存储(host)和运行所谓的高级驾驶辅助系统(ADAS)算法。这种系统需要满足非常严格的安全要求，例如，ISO26262用于道路车辆的功能安全(FunctionalSafetyforRoadVehicles)标准，其限定所谓的汽车安全完整性等级(AutomotiveSafetyIntegrityLevel，ASIL)风险分类方案。ASIL-D表示该标准下的最高完整性要求，并且适用于与安全相关的处理任务。该功能安全标准的要求是，控制系统必须能够识别出其算法、逻辑和存储单元中的与安全相关的错误，该要求仅仅在使用锁步(lockstep)处理器架构时对于ASIL-D电子控制单元是可能的。然而，这种类型的锁步架构仅仅具有相对较低的处理能力，这不足以处理现代应用，例如具有一套合适的传感器(例如，雷达、光学雷达和/或摄像机)的ADAS。因此，需要能够提供改善的处理能力并且同时满足所需的安全完整性要求的车辆安全电子控制系统。当前的高性能微处理器过于复杂而不能通过用于永久和瞬态错误检测的周期诊断测试以实现所需的安全完整性要求。
技术实现思路
根据本专利技术，提供车辆安全电子控制系统，其包括：第一微控制器，其包括具有锁步核心的锁步架构；第二微控制器，其具有至少两个处理核心；其中，所述第一微控制器的所述锁步核心配置为监测和控制所述第二微控制器的所述至少两个核心的输出。第一微控制器可以具有至少一个非锁步核心。优选地，所述第一微控制器的所述锁步核心配置为从所述第二微控制器接收表示第二微控制器核心的直接输出的数据。有益地，所述第一微控制器的所述锁步核心配置为从所述第二微控制器接收表示第二微处理器核心的输出的比较的数据，以及配置为由此得到所述第二微控制器的操作状态。方便地，所述第一微控制器配置为由所述比较数据确定所述第二微控制器核心中任一者是否中断或发生故障。优选地，所述第一微控制器的所述锁步核心配置为响应于确定所述第二微控制器核心中任一者是否中断或发生故障而执行以下操作中的至少一个：向车辆安全系统发送错误信息；重设所述第二微控制器的中断或发生故障的核心；以及使所述中断或发生故障的核心进入预定安全状态。有益地，所述第二微控制器的所述两个核心两者能够操作以同步地执行相同的软件操作从而获得各自的结果，以及所述两个核心中每一者能够操作以比较其结果与另一个核心的结果从而得到所述比较数据。方便地，所述第二微控制器的所述两个核心中每一者能够操作以在所述软件的执行期间在每一帧之后比较其所述结果和另一个核心的所述结果。优选地，所述第二微控制器的所述核心能够操作以执行与车辆安全相关的软件。有益地，所述第一微控制器和所述第二微控制器配置为同步地操作。方便地，所述第一微控制器配置为以预定周期时间周期地监测所述第二微控制器。优选地，所述周期时间短于每一个所述第二微控制器核心过渡到各自的安全状态所需的时间。有益地，所述第一微控制器配置为用作用于所述第二微控制器的监视计时器。方便地，所述第一微控制器的所述锁步核心能够操作以执行软件监视应用。优选地，所述软件监视应用包括心跳检测单元、程序流检测单元和任务状态指示单元。有益地，控制系统设置为集成电子控制单元的形式。本专利技术的电子控制系统可以设置为机动车辆中的以下电子安全系统的一部分，例如，可以包括盲点监测系统；主动巡航控制系统；预安全制动系统；防碰撞系统；车道偏离防止系统；和/或后碰撞缓解系统的高级驾驶辅助系统(ADAS)。附图说明现在将参照附图通过示例描述本专利技术的实施例，使得可以更容易地理解本专利技术以及可以领会本专利技术的另外特征。图1是示出典型机动车辆安全系统的概况示意图，其可以包括根据本专利技术的电子控制系统；图2是示出根据本专利技术的电子控制系统的主要硬件元件的概况示意图；图3是与图2所示的示意图类似的示意图，但是其示出ASIL完整性要求的微处理器核心的优选配置；图4是示出本专利技术优选实施例的软件监测方面的流程图形式的示意图；以及图5是示出作为机动车辆安全系统的一部分安装的根据本专利技术的电子控制系统的示意图。具体实施方式现在更详细地参照图1，其示出在机动车辆2(在图1中仅仅表示出其一个侧板以标示车辆的方向)中安装的示例性电子安全系统1的示意图。安全系统1包括安装在机动车辆2的合适位置处的若干不同类型的传感器。具体地，示出的系统1包括：安装在车辆的各个前角处的一对分开并且向外指向的中距离雷达(“MRR”)传感器3、安装在车辆的各个后角处的类似的一对分开并且向外指向的多用途雷达传感器4、安装在车辆2的前方的中心处的向前指向的长距离雷达(“LRR”)传感器5、和形成立体视觉系统(“SVS”)7的一部分的一对一般向前指向的光学传感器6，该光学传感器6可以例如安装在车辆的挡风玻璃的上边缘的区域中。各个传感器3-6操作地连接到中央电子控制系统，该中央电子控制系统通常设置为安装在车辆内的方便位置处的集成电子控制单元8的形式。在示出的具体布置中，前MRR传感器3和后MRR传感器4通过常见的控制器局域网络(ControllerAreaNetwork，“CAN”)总线9连接到中央控制单元8，以及LRR传感器5和SVS7的传感器通过更快的FlexRay串行总线10(其本身也是已知的类型)连接到中央控制单元8。在控制单元8的控制下，各个传感器3-6可以共同地用于提供各种不同类型的驾驶辅助系统，例如，盲点监测、自适应巡航控制、防碰撞辅助、车道偏离保护和后碰撞缓解。因此，控制单元8将配置为运行用于每一个这种驾驶员系统的合适的软件算法。图2示意性地示出根据本专利技术的控制系统的主要硬件元件，将领会上述元件可以设置为图1中示出的集成控制单元8的形式。控制系统包括第一(主)微控制器11和第二(从)微控制器12。正如将变得清楚，主微控制器11配置为运行安全软件以符合系统的最严格(ASIL-D)安全完整性要求，该要求需要处理错误的识别以及由此需要锁步架构，同时，从微处理器12具有更快的处理能力并且没有锁步架构，并且配置为处理一些与安全相关的处理任务以缓解主微控制器11的负荷。由于主微控制器11配置为满足系统的严格的安全完整性要求，因此，其可以被认为表示所谓的“安全微控制器”。类似地，由于从微控制器12配置为与主微控制器相比具有更高的处理能力，因此，其可以被认为表示所谓的“性能微控制器”。更详细地，在示出的具体实施例中，主微控制器11具有包括三个处理核心13、14、15(在图2中分别表示为“核心0”、“核心1/1′”和“核心2”)的锁步架构。因此将领会，核心14(在图2中表示为核心1/1′)表示主微控制器11的所谓的锁步核心(或冗余核心)。从微控制器12不需要锁步架构，并且在示出的实施例中包括两个处理核心16、17(在图2中分别表示为“核心4”和“核心5”)。然而应当指出，在其他实施例本文档来自技高网...

【技术保护点】
一种车辆安全电子控制系统，其包括：第一微控制器，其包括具有锁步核心的锁步架构；第二微控制器，其具有至少两个处理核心；其中，所述第一微控制器的所述锁步核心配置为监测和控制所述第二微控制器的所述至少两个核心的输出。

【技术特征摘要】
【国外来华专利技术】2015.04.20 EP 15164320.21.一种车辆安全电子控制系统，其包括：第一微控制器，其包括具有锁步核心的锁步架构；第二微控制器，其具有至少两个处理核心；其中，所述第一微控制器的所述锁步核心配置为监测和控制所述第二微控制器的所述至少两个核心的输出。2.根据权利要求1所述的控制系统，其中，所述第一微控制器的所述锁步核心配置为从所述第二微控制器接收表示所述第二微控制器的核心的直接输出的数据。3.根据权利要求1或2所述的控制系统，其中，所述第一微控制器的所述锁步核心配置为从所述第二微控制器接收表示所述第二微处理器的核心的输出的比较的数据，以及配置为由此得到所述第二微控制器的操作状态。4.根据权利要求3所述的控制系统，其中，所述第一微控制器配置为由所述比较的数据确定所述第二微控制器的核心中任一者是否中断或发生故障。5.根据权利要求3或4所述的控制系统，其中，所述第一微控制器的所述锁步核心配置为响应于确定所述第二微控制器的核心中任一者是否中断或发生故障而执行以下操作中的至少一个：向车辆安全系统发送错误信息；重设所述第二微控制器的中断或发生故障的核心；以及使所述中断或发生故障的核心进入预定安全状态。6.根据权利要求3至5中任一项所述的控制系统，其中，所述第二微控制器的所述两个核心两者能够操作以同步地...

【专利技术属性】
技术研发人员：诺伯特·科尔梅尔，
申请(专利权)人：奥托立夫开发公司，
类型：发明
国别省市：瑞典,SE