[go: up one dir, main page]

DE102017201621A1 - Integrierte Schaltung für ein Steuergerät eines Kraftfahrzeugs, Verfahren zur Herstellung einer integrierten Schaltung - Google Patents

Integrierte Schaltung für ein Steuergerät eines Kraftfahrzeugs, Verfahren zur Herstellung einer integrierten Schaltung Download PDF

Info

Publication number
DE102017201621A1
DE102017201621A1 DE102017201621.3A DE102017201621A DE102017201621A1 DE 102017201621 A1 DE102017201621 A1 DE 102017201621A1 DE 102017201621 A DE102017201621 A DE 102017201621A DE 102017201621 A1 DE102017201621 A1 DE 102017201621A1
Authority
DE
Germany
Prior art keywords
microprocessor
microcontroller
integrated circuit
instructions
data line
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102017201621.3A
Other languages
English (en)
Inventor
Mikkel Liisberg
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102017201621.3A priority Critical patent/DE102017201621A1/de
Publication of DE102017201621A1 publication Critical patent/DE102017201621A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Semiconductor Integrated Circuits (AREA)

Abstract

Integrierte Schaltung (116), die mindestens einen Mikroprozessor (1240, 1241, ..., 124M) und einen zusätzlichen, vom mindestens einen Mikroprozessor (1240, 1241, ..., 124M) verschiedenen Mikrocontroller (128) aufweist, wobei der mindestens eine Mikroprozessor (1240, 1241, ..., 124M) ausgebildet ist, Instruktionen einer sicherheitsrelevanten Funktion auszuführen, wobei der Mikrocontroller (128) einen Speicher für Instruktionen zur Überwachung des mindestens einen Mikroprozessors (1240, 1241, ..., 124M) aufweist, wobei der Mikrocontroller (128) ausgebildet ist, die Instruktionen zur Überwachung des mindestens einen Mikroprozessors (1240, 1241, ..., 124M) auszuführen, um die Funktion des mindestens einen Mikroprozessors (1240, 1241, ..., 124M) zu überwachen, wobei mindestens eine in der integrierten Schaltung angeordnete Datenleitung (126) vorgesehen ist, wobei der Mikrocontroller (128) ausgebildet ist, zur Überwachung des mindestens einen Mikroprozessors (1240, 1241, ..., 124M) mit dem mindestens einen Mikroprozessor (1240, 1241, ..., 124M) über die mindestens eine Datenleitung (126) zu kommunizieren.

Description

  • Stand der Technik
  • Die Erfindung betrifft eine integrierte Schaltung für ein Steuergerät eines Kraftfahrzeugs und ein Verfahren zur Herstellung dieser integrierten Schaltung.
  • Für eine zunehmende Zahl von Anwendungen, bspw. aus der Domäne des hochautomatisierten Fahrens, wird die Durchführung von Berechnungen sowohl mit hoher Sicherheitsintegrität, safety integrity, als auch eine Integration von kommerziellen Software-Anteilen von Drittanbietern z.B. aus der Linux-Welt gefordert. Auch sicherheitsrelevante Systeme, d.h. Rechner-Systeme für sicherheitsrelevante Anwendungen, bestehen in der Regel aus Standard-Komponenten wie Mikroprozessoren mit mehreren Recheneinheiten, d.h. Multi-Core CPUs, die durch mindestens einen Kommunikations-Bus, z.B. einem Controller Area Network oder auf Ethernet-Basis, innerhalb eines Fahrzeugs oder auch extern mit einem Leitsystem verbunden sind. Sicherheitsrelevante Systeme sind beispielsweise Systeme nach IEC 61508:2010 oder ISO 26262-1:2011 bis ISO 26262-10:2012 oder einer früheren oder späteren Version dieses Standards.
  • Um die hohe Sicherheitsintegrität mit Mikroprozessoren zu erreichen sind üblicherweise externe Maßnahmen wie Software Lockstep, Clock und Spannungs-Überwachung nötig. Software Lockstep bezeichnet eine Überprüfung der Rechen-Ergebnisse mindestens zweier Mikroprozessoren durch einen Mikrocontroller. Mindestens zwei Mikroprozessoren führen dazu dieselben Instruktionen zeitgleich aus. Eine Abweichung des Ergebnisses der Berechnung in den Mikroprozessoren voneinander wird dabei vom Mikrocontroller als Fehler erkannt, ohne dass der Mikrocontroller selbst dieselben Instruktionen ausführen muss.
  • Der Mikrocontroller weist dazu eine hohe Sicherheitsintegrität auf. Die Sicherheitsintegrität wird nach IEC 61508:2010 oder einer anderen Version dieses Standards in Sicherheitsanforderungsstufen SIL 1 bis SIL 4 festgelegt. SIL4 gibt die zuverlässigste Stufe an.
  • In sicherheitsrelevanten Systemen in denen Standardrecheneinheiten z.B. Multi-Core Mikroprozessoren zum Einsatz kommen, ist es nicht möglich, das komplette System abzusichern, da Standardrecheneinheiten selbst eine unzureichende Sicherheitsanforderungsstufe aufweisen. Derzeit ist daher der Mikrocontroller mit einer hohen Sicherheitsintegritätsstufe als eine externe Komponente nötig, um die Überwachung der Mikroprozessor-Hardware oder Mikroprozessor-Diagnosen zu starten, deren Ergebnis zu prüfen und das System im Fehlerfall in einen sicheren Zustand zu führen.
  • Wünschenswert ist daher eine demgegenüber verbesserte Ausführung.
  • Offenbarung der Erfindung
  • Dieses Ziel wird durch ein Vorrichtung und ein Verfahren gemäß den unabhängigen Ansprüchen erreicht.
  • Bezüglich der Vorrichtung ist in einer integrierten Schaltung für ein Steuergerät, insbesondere eines Kraftfahrzeugs, mindestens ein Mikroprozessor und ein zusätzlicher, vom mindestens einen Mikroprozessor verschiedener Mikrocontroller angeordnet, wobei der mindestens eine Mikroprozessor, ausgebildet ist, Instruktionen einer sicherheitsrelevanten Funktion, insbesondere des Kraftfahrzeugs, auszuführen, wobei der Mikrocontroller einen Speicher für Instruktionen zur Überwachung des mindestens einen Mikroprozessors aufweist, wobei der Mikrocontroller ausgebildet ist, die Instruktionen zur Überwachung des mindestens einen Mikroprozessors auszuführen, um die Funktion des mindestens einen Mikroprozessors zu überwachen, wobei mindestens eine in der integrierten Schaltung angeordnete Datenleitung vorgesehen ist, wobei der Mikrocontroller ausgebildet ist, zur Überwachung des mindestens einen Mikroprozessors mit dem mindestens einen Mikroprozessor über die mindestens eine Datenleitung zu kommunizieren.
  • Durch die Integration des Mikrocontrollers wird direkt auf die relevanten Komponenten innerhalb des mindestens einen Mikroprozessors zugegriffen. Jeder der Mikroprozessoren bildet dabei einen der Kerne eines Multi-Core-Mikroprozessors auf einen Chip. Externe Sicherheits-Maßnahmen außerhalb einer integrierten Schaltung des Chips sind nicht mehr nötig. Die Integration in der integrierten Schaltung, d.h. auf dem Chip verringert auch den Platzbedarf auf einer Leiterplatte.
  • Vorzugsweise sind der mindestens eine Mikroprozessor und der Mikrocontroller in voneinander verschiedenen Funktionsblöcken in einem gemeinsamen Halbleiterbaustein integriert.
  • Die Integration in verschiedenen Funktionsblöcken in einem gemeinsamen Halbleiterbaustein ermöglicht es, sowohl Mikroprozessor als auch Mikrocontroller als separate intellectual property cores, IP-Cores, auszuführen. Jeder IP-Core bildet damit einen vorgefertigten, wiederverwertbaren Funktionsblock für ein Chipdesign. Der Mikrocontroller stellt dabei einen separaten IP-Core dar, der als vorgefertigter Funktionsblock für ein Design, d.h. einen Bauplan, für den Chip vielfach einsetzbar ist. Es kann sich bei mindestens einem der IP-Cores um einen Soft-Core oder einen Hard-Core handeln. Der Soft-Core wird in einem frei programmierbaren Bereich eines als Field Programmable Gateway Arrays, FPGAs, aus Quellcode oder in Form einer Netzliste implementiert. Der Hard-Core ist als Schaltung unveränderbar in den Chip beispielsweise eines FPGAs integriert. Der Hard-Core benötigt weniger Chipfläche als der Soft-Core. Der IP-Core kann auch in einem Application Specific Integrated Circuit, ASIC, realisiert sein.
  • Vorzugsweise sind mindestens zwei der Mikroprozessoren ausgebildet, gleichzeitig dieselben Instruktionen einer Software-Lockstep Operation auszuführen, wobei der Mikrocontroller ausgebildet ist, ein erstes Ergebnis einer ersten Ausführung der Instruktionen auf einem ersten der Mikroprozessoren über die mindestens eine Datenleitung zu empfangen, ein zweites Ergebnis einer zweiten Ausführung der Instruktionen auf einem zweiten der Mikroprozessoren über die mindestens eine Datenleitung zu empfangen, und das erste Ergebnis mit dem zweiten Ergebnis zu vergleichen, und abhängig vom Ergebnis Information über einen Fehlerfall zu bestimmen.
  • Eine Datenkommunikation für den Software-Lockstep erfolgt somit intern über die Datenleitungen im Halbleiter des Chips. Dies ermöglicht eine höhere Datentransfer-Rate.
  • Vorzugsweise ist der Mikrocontroller ausgebildet, den mindestens einen Mikroprozessor über die mindestens eine Datenleitung zur Diagnose einer Hardware des mindestens einen Mikroprozessors anzusteuern.
  • Hardware Diagnosen, die nötig sind, um eine für das Erreichen einer hohen Sicherheitsintegrität erforderliche Zuverlässigkeit zu erreichen, können so auf dem Halbleiter, d.h. Chip intern, gestartet werden und müssen nicht über separate Pins oder Kommunikations-Busse außerhalb des Halbleiters gesteuert werden.
  • Vorzugsweise umfasst der Mikrocontroller eine Kommunikationsschnittstelle, insbesondere für einen Controller Area Network oder einen Flexray Datenbus.
  • Die Integration der Kommunikationsschnittstelle in den Mikrocontroller ermöglicht es, die Kommunikationsschnittstelle, d.h. eine typische Komponente, im selben IP-Core unterzubringen, in dem auch die Überwachung untergebracht ist.
  • Vorzugsweise sind der mindestens eine Mikroprozessor und der Mikrocontroller an eine gemeinsame Peripherie anschließbar.
  • Die Peripherie, d.h. auch Peripheriebausteine oder Peripheriefunktionen, bieten Funktionalität, die nicht vom Mikroprozessor oder Mikrocontroller selbst zur Verfügung gestellt wird. Beispielsweise ist die Peripherie als zusätzliche Hardware, insbesondere auf weiteren integrierten Schaltkreisen, oder auf demselben Halbleiter realisiert. Beispiele für gemeinsame Peripherie sind Spannungsversorgung, Stromversorgung, Schnittstellen-Bausteine, Zeitgeber oder Watchdog.
  • Bezüglich des Verfahrens zur Fertigung wird in einer integrierten Schaltung für ein Steuergerät, insbesondere eines Kraftfahrzeugs, mindestens ein Mikroprozessor und ein zusätzlicher, vom Mikroprozessor verschiedener Mikrocontroller angeordnet, der mindestens eine Mikroprozessor wird ausgebildet, Instruktionen einer sicherheitsrelevanten Funktion, insbesondere des Kraftfahrzeugs, auszuführen, wobei der Mikrocontroller einen Speicher für Instruktionen zur Überwachung des mindestens einen Mikroprozessors aufweist. Der Mikrocontroller wird ausgebildet, die Instruktionen zur Überwachung des mindestens einen Mikroprozessors auszuführen, um die Funktion des mindestens einen Mikroprozessors zu überwachen. In der integrierten Schaltung wird mindestens eine Datenleitung angeordnet, der Mikrocontroller wird ausgebildet, zur Überwachung des mindestens einen Mikroprozessors mit dem mindestens einen Mikroprozessor über die mindestens eine Datenleitung zu kommunizieren.
  • Vorzugsweise werden der mindestens eine Mikroprozessor und der Mikrocontroller in voneinander verschiedenen Funktionsblöcken in einem gemeinsamen Halbleiterbaustein integriert.
  • Vorzugsweise werden mindestens zwei der Mikroprozessoren ausgebildet, gleichzeitig dieselben Instruktionen einer Software-Lockstep Operation auszuführen, wobei der Mikrocontroller ausgebildet wird, ein erstes Ergebnis einer ersten Ausführung der Instruktionen auf einem erstender Mikroprozessor über die mindestens eine Datenleitung zu empfangen, ein zweites Ergebnis einer zweiten Ausführung der Instruktionen auf einem zweiten der Mikroprozessoren über die mindestens eine Datenleitung zu empfangen, und das erste Ergebnis mit dem zweiten Ergebnis zu vergleichen, und abhängig vom Ergebnis Information über einen Fehlerfall zu bestimmen.
  • Vorzugsweise wird der Mikrocontroller ausgebildet, den mindestens einen Mikroprozessor über die mindestens eine Datenleitung zur Diagnose einer Hardware des mindestens einen Mikroprozessors anzusteuern.
  • Vorzugsweise wird im Mikrocontroller eine Kommunikationsschnittstelle, insbesondere für ein Controller Area Network oder einen Flexray Datenbus angeordnet.
  • Vorzugsweise wird der mindestens eine Mikroprozessor und der Mikrocontroller an eine gemeinsame Peripherie angeschlossen.
  • Weitere vorteilhafte Weiterbildungen ergeben sich aus den Unteransprüchen und den im Folgenden beschriebenen Ausführungsbeispielen.
  • Es zeigen
    • 1 schematisch einen Teil einer Architektur eines Steuergeräts,
    • 2 schematisch einen Teil einer ersten Ausführungsform einer integrierten Schaltung,
    • 3 schematisch einen Teil einer zweiten Ausführungsform der integrierten Schaltung,
    • 4 schematisch einen Aufbau eines Funktionsblock für die integrierten Schaltung.
  • 1 stellt schematisch einen Teil einer Architektur eines Steuergeräts 100 dar. Das Steuergerät 100 weist einen Anschluss 102 für eine Spannungsversorung auf. Der Anschluss 102 ist durch eine erste elektrische Leitung 104 mit einem Power Management Integrated Circuit 106 verbunden. Der Anschluss 102 ist durch einer zweiten elektrischen Leitung 108 mit einem Voltage Supply Integrated Circuit 110 verbunden. Der Anschluss 102 ist durch eine dritte elektrische Leitung 112 mit einem Watchdog Integrated Circuit 114 verbunden.
  • Der Anschluss 102, der Power Management Integrated Circuit 106 der Voltage Supply Integrated Circuit 110 der Watchdog Integrated Circuit 114 und die zugehörigen Leitungen bilden eine Peripherie. Die Peripherie ist mit einer integrierten Schaltung 116 verbunden. Die Peripherie, d.h. auch Peripheriebausteine oder Peripheriefunktionen, bieten Funktionalität, die nicht von der integrierten Schaltung 116 selbst zur Verfügung gestellt wird. Beispielsweise ist die Peripherie als zusätzliche Hardware, insbesondere auf weiteren integrierten Schaltkreisen, oder auf demselben Halbleiter realisiert. Beispiele für gemeinsame Peripherie sind Spannungsversorgung, Stromversorgung, Schnittstellen-Bausteine, Zeitgeber oder Watchdog. Die Peripherie muss nicht jede der genannten Schaltungen aufweisen. Die Peripherie kann zusätzliche Schaltungen aufweisen.
  • Die integrierte Schaltung 116 umfasst ein Safe Voltage Unit 118. Das Safe Voltage Unit 118 ist über ein Voltage Communication Interface 120 mit dem Power Management Integrated Circuit 106 verbunden. Das Safe Voltage Unit 118 ist durch mindestens eine Spannungsversorgungsleitung 1220, ... 122N mit dem Power Management Integrated Circuit 106 verbunden. N gibt die Anzahl der Spannungsversorgungsleitungen an, beispielsweise N=1, N=2, ..., N=16 oder mehr.
  • Die integrierte Schaltung 116 umfasst einen Mikrocontroller 128 und mindestens einen Mikroprozessor 1240, ... 124M. Die mindestens eine Spannungsversorgungsleitung 1220, ... 122N versorgt entsprechende Eingänge des Safe Voltage Unit 118 mit Spannung zum Betrieb des mindestens einen Mikroprozessors 1240, 1241 ... 124M. M gibt die Anzahl der Mikroprozessoren an, beispielsweise M=1, M=2, ..., M=16 oder mehr. Jeder der Mikroprozessoren ist ein Kern einer Mehrkernarchitektur eines Multi-Core-Mikroprozessors.
  • Der mindestens eine Mikroprozessor 1240, 1241, ..., 124M und der Mikrocontroller 128 sind somit an eine gemeinsame Peripherie anschließbar.
  • Jeder der Mikroprozessoren 1240, 1241, ..., 124M ist über Anschlüsse 1260, 1261, ..., 126M mit mindestens einer Datenleitung 126 verbunden. Die mindestens eine Datenleitung 126 kann als Datenbus, eine gemeinsame oder mehrere einzelne elektrische Leitungen realisiert sein. Die mindestens eine Datenleitung 126 ist in der integrierten Schaltung 116, vorzugsweise im selben Halbleiter wie der mindestens eine Mikroprozessor 1240, 1241, ..., 124M und der Mikrocontroller 128 realisiert.
  • Der Mikrocontroller 128 umfasst einen Lockstep Comparator 130. Der Mikrocontroller 128 umfasst eine Spannungsversorgung 132, die durch eine Versorgungsleitung 134 mit der Voltage Supply 110 verbunden ist. Der Microkontroller umfasst eine Watchdog-Kommunikationsschnittstelle 136, die über eine Kommunikationsleitung 138 mit dem Watchdog 114 verbunden ist. Der Lockstep Comparator 130 ist über eine Anschlussleitung 140 mit der Datenleitung 126 verbunden. Der Mikrokontroller 128 umfasst eine Mikroprozessor-Hardware-Testeinrichtung 142. Die Mikroprozessor-Hardware-Testeinrichtung 142 kann mit der Datenleitung 126 verbunden sein und/oder über andere Datenleitungen mit entsprechenden Bauteilen mindestens eines der mindestens einen Mikroprozessoren 1240, 1241, ..., 124M verbunden sein. Der Mikrocontroller 128 weist einen Signalausgang 144 für Information über einen Fehlerzustand, beispielsweise ein Safe State Trigger Signal, auf. Die integrierte Schaltung 116 umfasst eine Clock Monitoring Unit 146, die im Beispiel einen oder mehrere Taktgeber für die integrierte Schaltung 116 überwacht.
  • Die mindestens eine Datenleitung 126 ist vorzugsweise zur bidirektionalen Kommunikation ausgebildet. Die Datenleitung 126 überträgt beispielsweise elektrische Signale verschiedener Spannungspegel, insbesondere nach einem Kommunikationsprotokoll.
  • Der Mikrocontroller 128, die Clock Monitoring Unit 146 und die Voltage Supply Unit 118 sind derart ausgebildet, dass sie eine hohe Sicherheitsintegrität aufweisen. Die Sicherheitsintegritätstufe dieser Bauteile ist beispielsweise größer als SIL 1, insbesondere SIL 3 nach IEC 61508:2010 oder einer anderen Version dieses Standards. Der mindestens eine Mikroprozessor 1240, ... 124M ist beispielsweise derart ausgebildet, dass er eine Sicherheitsintegrität aufweist, die geringer ist als die Sicherheitsintegrität des Mikrocontrollers 128, der Clock Monitoring Unit 146 und/oder der Voltage Supply Unit 118.
  • In der integrierten Schaltung 116 für das Steuergerät 100 ist somit der mindestens eine Mikroprozessor 1240, 1241, ..., 124M und zusätzlich der, vom Mikroprozessor 1240, 1241, ..., 124M verschiedene Mikrocontroller 128 angeordnet. Dabei ist der mindestens eine Mikroprozessor 1240, 1241, ..., 124M ausgebildet, Instruktionen einer sicherheitsrelevanten Funktion, insbesondere eines Kraftfahrzeugs, auszuführen.
  • Der Mikrocontroller 128 umfasst einen Speicher für Instruktionen zur Überwachung des mindestens einen Mikroprozessors 1240, 1241, ..., 124M und ist ausgebildet, die Instruktionen zur Überwachung des mindestens einen Mikroprozessors 1240, 1241, 124M auszuführen. Dadurch wird die Funktion des mindestens einen Mikroprozessors 1240, 1241, 124M überwacht.
  • Vorzugsweise ist der Mikrocontroller 128 ausgebildet, den mindestens einen Mikroprozessor 1240, 1241, ..., 124M über die mindestens eine Datenleitung 126 zur Diagnose zumindest eines Teils einer Hardware des mindestens einen Mikroprozessors 1240, 1241, ..., 124M anzusteuern. Hardware Diagnosen, die nötig sind, um eine für das Erreichen einer hohen Sicherheitsintegrität erforderliche Zuverlässigkeit zu erreichen, können so auf dem Halbleiter, d.h. Chip intern, gestartet werden und müssen nicht über separate Pins oder Kommunikations-Busse außerhalb des Halbleiters gesteuert werden.
  • Der Mikrocontroller 128 ist ausgebildet, zur Überwachung des mindestens einen Mikroprozessors 1240, 1241, ..., 124M mit dem mindestens einen Mikroprozessor 1240, 1241, ..., 124M über die mindestens eine Datenleitung 126 zu kommunizieren. Durch die Integration des Mikrocontrollers 128 in die integrierte Schaltung 116 wird direkt auf die relevanten Komponenten innerhalb des mindestens einen Mikroprozessors 1240, 1241, ..., 124M zugegriffen. Externe Sicherheits-Maßnahmen außerhalb der integrierten Schaltung 116 des Chips sind nicht mehr nötig, und der Platzbedarf auf einer Leiterplatte ist geringer.
  • Vorzugsweise sind mindestens zwei der Mikroprozessoren 1240, 1241, ..., 124M ausgebildet, gleichzeitig dieselben Instruktionen einer Software-Lockstep Operation auszuführen. Der Mikrocontroller 128, d.h. der Lockstep Comparator 130 im Mikrocontroller 128, ist ausgebildet, ein erstes Ergebnis einer ersten Ausführung der Instruktionen auf einem ersten der Mikroprozessoren 1240, 1241, ..., 124M über die mindestens eine Datenleitung 126 und die Anschlussleitung 140 zu empfangen, ein zweites Ergebnis einer zweiten Ausführung der Instruktionen auf einem zweiten der Mikroprozessoren 1240, 1241, ..., 124M über die mindestens eine Datenleitung 126 zu empfangen, und das erste Ergebnis mit dem zweiten Ergebnis zu vergleichen, und abhängig vom Ergebnis die Information über den Fehlerfall zu bestimmen. Eine Datenkommunikation für den Software-Lockstep erfolgt somit intern über die Datenleitungen im Halbleiter des Chips. Dies ermöglicht eine höhere Datentransfer-Rate.
  • Der mindestens eine Mikroprozessor 1240, 1241, ..., 124M und der Mikrocontroller 128 sind im Beispiel in voneinander verschiedenen Funktionsblöcken in einem gemeinsamen Halbleiterbaustein integriert.
  • Der mindestens eine Mikroprozessor 1240, 1241, ..., 124M und der Mikrocontroller 128 sind im Beispiel als separate intellectual property cores, IP-Cores, ausgeführt. Jeder IP-Core bildet einen vorgefertigten, wiederverwertbaren Funktionsblock. Der Mikrocontroller 128 stellt dabei einen separaten IP-Core 148 dar, der als vorgefertigter Funktionsblock für ein Design, d.h. für einen Bauplan, sowohl für diesen Chip als auch für andere Chips einsetzbar ist.
  • Es kann sich bei mindestens einem der IP-Cores um einen Soft-Core oder einen Hard-Core handeln. Der Soft-Core wird in einem frei programmierbaren Bereich eines als Field Programmable Gateway Arrays, FPGAs, aus Quellcode oder in Form einer Netzliste implementiert. Der Hard-Core ist als Schaltung unveränderbar in den Chip beispielsweise eines FPGAs integriert. Der Hard-Core benötigt weniger Chipfläche als der Soft-Core. Der IP-Core kann auch in einem Application Specific Integrated Circuit, ASIC, realisiert sein.
  • 2 zeigt schematisch einen Teil einer ersten Ausführungsform der integrierten Schaltung 116, die auf einem Halbleiterbaustein als Hard-Core realisiert ist.
  • 3 zeigt schematisch einen Teil einer zweiten Ausführungsform der integrierten Schaltung 116, die auf einem Halbleiterbaustein realisiert ist, wobei der Mikrocontroller 128 in einem FPGA realisiert ist.
  • In 2 und 3 sind die Bauteile derselben oder ähnlicher Funktion mit denselben Bezugszeichen bezeichnet, wie in 1.
  • 4 zeigt schematisch einen Aufbau eines Funktionsblocks 400 für die integrierten Schaltung 116. Der Funktionsblock 400 umfasst den Mikrocontroller 128. Der Funktionsblock 400 umfasst mindestens eine Kommunikationsschnittstelle 402, 404, insbesondere eine erste Kommuniktationsschnittstelle 402 für ein Controller Area Network und/oder eine zweite Kommunikationsschnittstelle 404 für einen Flexray Datenbus, die im Mikrocontroller 128 integriert ist. Der Funktionsblock 400 umfasst eine Safe State Trigger Unit 406, die die Information über den Fehlerfall am Signalausgang 144 für Information über den Fehlerzustand, beispielsweise als Safe State Trigger Signal, ausgibt. Der Funktionsblock 400 umfasst die Watchdog-Kommunikationsschnittstelle 136, den Lockstep Comparator 130 und die Mikroprozessor-Hardware-Testeinrichtung 142. Zudem ist im Funktionsblock 400 eine optionale Mikrocontroller-Hardware-Testeinrichtung 408 und eine optionale Leistungsfaktorkorrekturschaltung 410 für den mindestens einen Mikroprozessor 1240, 1241, ..., 124M angeordnet, mit der der Mikrocontroller 128 sich selbst überwacht und eine Power Factor Correction, PFC, für den mindestens einen Mikroprozessor 1240, 1241, ..., 124M durchführt.
  • Die Kommunikation und Ansteuerung der Komponenten im Funktionsblock 400 erfolgt über Signale, die über Leitungen innerhalb des Funktionsblocks 400 ausgetauscht werden. Die dazu erforderlichen Instruktionen 412 sind im Funktionsblock 400 beispielsweise im Speicher hinterlegt oder im Halbleiter als integrierte Schaltung umgesetzt, und werden ausgeführt, sobald der Funktionsblock 400 von der Peripherie mit Spannung versorgt wird.
  • Zur Herstellung der integrierten Schaltung für das Steuergerät wird der mindestens eine Mikroprozessor 1240, 1241, ..., 124M und der zusätzliche, vom mindestens eine Mikroprozessor 1240, 1241, ..., 124M verschiedene Mikrocontroller 128 vorzugsweise auf einem gemeinsamen Halbleiterbauteil angeordnet.
  • Der mindestens eine Mikroprozessor 1240, 1241, ..., 124M wird ausgebildet, Instruktionen der sicherheitsrelevanten Funktion des Kraftfahrzeugs auszuführen. Im Mikrocontroller 128 wird ein Speicher für Instruktionen zur Überwachung des mindestens einen Mikroprozessors 1240, 1241, ..., 124M angeordnet. Der Mikrocontroller 128 wird ausgebildet, die Instruktionen zur Überwachung des mindestens einen Mikroprozessors 1240, 1241, ..., 124M auszuführen, um die Funktion des mindestens einen Mikroprozessors 1240, 1241, ..., 124M zu überwachen. In der integrierten Schaltung 116 wird die mindestens eine Datenleitung 126 angeordnet. Der Mikrocontroller 128 wird ausgebildet, zur Überwachung des mindestens einen Mikroprozessors 1240, 1241, ..., 124M mit dem mindestens einen Mikroprozessor 1240, 1241, ..., 124M über die mindestens eine Datenleitung 126 zu kommunizieren.
  • Vorzugsweise werden mindestens zwei der Mikroprozessor 1240, 1241, ..., 124M ausgebildet, gleichzeitig dieselben Instruktionen einer Software-Lockstep Operation auszuführen, wobei der Mikrocontroller 128 ausgebildet wird, ein erstes Ergebnis einer ersten Ausführung der Instruktionen auf einem ersten der Mikroprozessor 1240, 1241, ..., 124M über die Datenleitung zu empfangen, ein zweites Ergebnis einer zweiten Ausführung der Instruktionen auf einem zweiten der Mikroprozessoren (1240, 1241, ..., 124M) über die mindestens eine Datenleitung (126) zu empfangen, und das erste Ergebnis mit dem zweiten Ergebnis zu vergleichen, und abhängig vom Ergebnis Information über einen Fehlerfall zu bestimmen.
  • Vorzugsweise wird der Mikrocontroller ausgebildet, den mindestens einen Mikroprozessor 1240, 1241, ..., 124M über die mindestens eine Datenleitung 126 zur Diagnose der Hardware des mindestens einen Mikroprozessors 1240, 1241, ..., 124M anzusteuern.
  • Vorzugsweise wird im Mikrocontroller 128 die Kommunikationsschnittstelle, insbesondere für das Controller Area Network oder den Flexray Datenbus angeordnet.
  • Vorzugsweise werden der mindestens eine Mikroprozessor 1240, 1241, ..., 124M und der Mikrocontroller 128 an eine gemeinsame Peripherie angeschlossen.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • ISO 26262-1:2011 [0002]
    • ISO 26262-10:2012 [0002]

Claims (12)

  1. Integrierte Schaltung (116), dadurch gekennzeichnet, dass die integrierte Schaltung mindestens einen Mikroprozessor (1240, 1241, ..., 124M) und einen zusätzlichen, vom mindestens einen Mikroprozessor (1240, 1241, ..., 124M) verschiedenen Mikrocontroller (128) aufweist, wobei der mindestens eine Mikroprozessor (1240, 1241, ..., 124M) ausgebildet ist, Instruktionen einer sicherheitsrelevanten Funktion auszuführen, wobei der Mikrocontroller (128) einen Speicher für Instruktionen zur Überwachung des mindestens einen Mikroprozessors (1240, 1241, ..., 124M) aufweist, wobei der Mikrocontroller (128) ausgebildet ist, die Instruktionen zur Überwachung des mindestens einen Mikroprozessors (1240, 1241, ..., 124M) auszuführen, um die Funktion des mindestens einen Mikroprozessors (1240, 1241, ..., 124M) zu überwachen, wobei mindestens eine in der integrierten Schaltung angeordnete Datenleitung (126) vorgesehen ist, wobei der Mikrocontroller (128) ausgebildet ist, zur Überwachung des mindestens einen Mikroprozessors (1240, 1241, ..., 124M) mit dem mindestens einen Mikroprozessor (1240, 1241, ..., 124M) über die mindestens eine Datenleitung (126) zu kommunizieren.
  2. Integrierte Schaltung (116) nach Anspruch 1, dadurch gekennzeichnet, dass der mindestens eine Mikroprozessor (1240, 1241, ..., 124M) und der Mikrocontroller (128) in voneinander verschiedenen Funktionsblöcken in einem gemeinsamen Halbleiterbaustein integriert sind.
  3. Integrierte Schaltung (116) nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass mindestens zwei der Mikroprozessoren (1240, 1241, ..., 124M) ausgebildet sind, gleichzeitig dieselben Instruktionen einer Software-Lockstep Operation auszuführen, wobei der Mikrocontroller (128) ausgebildet ist, ein erstes Ergebnis einer ersten Ausführung der Instruktionen auf einem der Mikroprozessoren (1240, 1241, ..., 124M) über die mindestens eine Datenleitung (126) zu empfangen, ein zweites Ergebnis einer zweiten Ausführung der Instruktionen auf einem zweiten der Mikroprozessoren (1240, 1241, ..., 124M) über die mindestens eine Datenleitung (126) zu empfangen, und das erste Ergebnis mit dem zweiten Ergebnis zu vergleichen, und abhängig vom Ergebnis Information über einen Fehlerfall zu bestimmen.
  4. Integrierte Schaltung (116) nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass der Mikrocontroller (128) ausgebildet, den mindestens einen Mikroprozessor (1240, 1241, ..., 124M) über die mindestens eine Datenleitung (126) zur Diagnose einer Hardware des mindestens einen Mikroprozessors (1240, 1241, ..., 124M) anzusteuern.
  5. Integrierte Schaltung (116) nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass der Mikrocontroller (128) eine Kommunikationsschnittstelle (402, 404) umfasst.
  6. Integrierte Schaltung (116) nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass der mindestens eine Mikroprozessor (1240, 1241, ..., 124M) und der Mikrocontroller (128) an eine gemeinsame Peripherie anschließbar sind.
  7. Verfahren zur Fertigung einer integrierten Schaltung (116), dadurch gekennzeichnet, dass mindestens ein Mikroprozessor (1240, 1241, ..., 124M) und ein zusätzlicher, vom Mikroprozessor (1240, 1241, ..., 124M) verschiedener Mikrocontroller (128) angeordnet werden, wobei der mindestens eine Mikroprozessor (1240, 1241, ..., 124M) ausgebildet wird, Instruktionen einer sicherheitsrelevanten Funktion auszuführen, wobei der Mikrocontroller (128) einen Speicher für Instruktionen zur Überwachung des mindestens einen Mikroprozessors (1240, 1241, ..., 124M) aufweist, wobei der Mikrocontroller (128) ausgebildet wird, die Instruktionen zur Überwachung des mindestens einen Mikroprozessors (1240, 1241, ..., 124M) auszuführen, um die Funktion des mindestens einen Mikroprozessors (1240, 1241, ..., 124M) zu überwachen, wobei in der integrierten Schaltung mindestens eine Datenleitung (126) angeordnet wird, wobei der Mikrocontroller (128) ausgebildet wird, zur Überwachung des mindestens einen Mikroprozessors (1240, 1241, ..., 124M) mit dem mindestens einen Mikroprozessor (1240, 1241, ..., 124M) über die mindestens eine Datenleitung (126) zu kommunizieren.
  8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass der mindestens eine Mikroprozessor (1240, 1241, ..., 124M) und der Mikrocontroller (128) in voneinander verschiedenen Funktionsblöcken in einem gemeinsamen Halbleiterbaustein integriert werden.
  9. Verfahren nach einem der Ansprüche 7 oder 8, dadurch gekennzeichnet, dass mindestens zwei der Mikroprozessoren (1240, 1241, ..., 124M) ausgebildet werden, gleichzeitig dieselben Instruktionen einer Software-Lockstep Operation auszuführen, wobei der Mikrocontroller (128) ausgebildet wird, ein erstes Ergebnis einer ersten Ausführung der Instruktionen auf einem ersten der Mikroprozessoren (1240, 1241, ..., 124M) über die mindestens einen Datenleitung (126) zu empfangen, ein zweites Ergebnis einer zweiten Ausführung der Instruktionen auf einem zweiten der Mikroprozessoren (1240, 1241, ..., 124M) über die mindestens eine Datenleitung (126) zu empfangen, und das erste Ergebnis mit dem zweiten Ergebnis zu vergleichen, und abhängig vom Ergebnis Information über einen Fehlerfall zu bestimmen.
  10. Verfahren nach einem der Ansprüche 7 bis 9, dadurch gekennzeichnet, dass der Mikrocontroller (128) ausgebildet wird, den mindestens einen Mikroprozessor (1240, 1241, ..., 124M) über die mindestens eine Datenleitung (126) zur Diagnose einer Hardware des mindestens einen Mikroprozessors (1240, 1241, ..., 124M) anzusteuern.
  11. Verfahren nach einem der Ansprüche 7 bis 10, dadurch gekennzeichnet, dass im Mikrocontroller (128) eine Kommunikationsschnittstelle (402, 404) angeordnet wird.
  12. Verfahren nach einem der Ansprüche 7 bis 11 dadurch gekennzeichnet, dass der mindestens einen Mikroprozessor (1240, 1241, ..., 124M) und der Mikrocontroller (128) an eine gemeinsame Peripherie angeschlossen werden.
DE102017201621.3A 2017-02-01 2017-02-01 Integrierte Schaltung für ein Steuergerät eines Kraftfahrzeugs, Verfahren zur Herstellung einer integrierten Schaltung Pending DE102017201621A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102017201621.3A DE102017201621A1 (de) 2017-02-01 2017-02-01 Integrierte Schaltung für ein Steuergerät eines Kraftfahrzeugs, Verfahren zur Herstellung einer integrierten Schaltung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102017201621.3A DE102017201621A1 (de) 2017-02-01 2017-02-01 Integrierte Schaltung für ein Steuergerät eines Kraftfahrzeugs, Verfahren zur Herstellung einer integrierten Schaltung

Publications (1)

Publication Number Publication Date
DE102017201621A1 true DE102017201621A1 (de) 2018-08-02

Family

ID=62843402

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017201621.3A Pending DE102017201621A1 (de) 2017-02-01 2017-02-01 Integrierte Schaltung für ein Steuergerät eines Kraftfahrzeugs, Verfahren zur Herstellung einer integrierten Schaltung

Country Status (1)

Country Link
DE (1) DE102017201621A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102019204646A1 (de) * 2019-04-02 2020-10-08 Brose Fahrzeugteile SE & Co. Kommanditgesellschaft, Würzburg Integrierte Schaltungsanordnung und Steuergerät
DE102020211540A1 (de) 2020-09-15 2022-03-17 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zur Absicherung eines Mikrocontrollers

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
ISO 26262-1:2011
ISO 26262-10:2012

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102019204646A1 (de) * 2019-04-02 2020-10-08 Brose Fahrzeugteile SE & Co. Kommanditgesellschaft, Würzburg Integrierte Schaltungsanordnung und Steuergerät
DE102020211540A1 (de) 2020-09-15 2022-03-17 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zur Absicherung eines Mikrocontrollers

Similar Documents

Publication Publication Date Title
DE102010013349B4 (de) Computersystem und Verfahren zum Vergleichen von Ausgangssignalen
DE102010041492A1 (de) Verfahren und Anordnung zur Überwachung mindestens einer Batterie, Batterie mit einer solchen Anordnung sowie ein Kraftfahrzeug mit einer entsprechenden Batterie
WO2004074955A1 (de) Vorrichtung und verfahren zur modellbasierten on-board-diagnose
DE2225841C3 (de) Verfahren und Anordnung zur systematischen Fehlerprüfung eines monolithischen Halbleiterspeichers
DE102018113295A1 (de) Überwachungsvorrichtung zur Überwachung einer Mikrosteuereinheit mit mehreren Kernen und Verfahren zum Betreiben dieser Vorrichtung
DE102018122766A1 (de) Analog-to-digital-fehlererfassung, -isolierung und -minderung für ein niederspannungs-kommunikationsnetzwerk
DE102016106531A1 (de) Busteilnehmer und Verfahren zum Betreiben eines Busteilnehmers
DE102019212909A1 (de) Verfahren zum Detektieren eines Fehlers in einem Batteriesystem sowie Batteriesystem und Kraftfahrzeug
DE102019131865A1 (de) Verfahren und vorrichtung zur eigendiagnose der ram-fehlererkennungslogik eines antriebsstrangcontrollers
DE102007045509B4 (de) Fahrzeug-Steuereinheit mit einem Versorgungspannungsüberwachten Mikrocontroller sowie zugehöriges Verfahren
DE102017011685A1 (de) Verfahren und Vorrichtung zur Verarbeitung von Alarmsignalen
DE102017201621A1 (de) Integrierte Schaltung für ein Steuergerät eines Kraftfahrzeugs, Verfahren zur Herstellung einer integrierten Schaltung
EP3073333A1 (de) Sicherheitsarchitektur für fehlersichere Systeme
DE102008046397A1 (de) Verifizierung auf Basis von Transaktionen eines Systems auf einem Chip auf Systemebene durch Übersetzen von Transaktionen in Maschinencodierung
EP2786162B1 (de) Verfahren zum feststellen eines fehlers in verbindungleitungen zwischen einer zentraleinheit und einer mehrzahl von voreinander unabhängigen elektronischen baueinheiten
EP2729857B1 (de) Dokumentation von fehlern in einem fehlerspeicher eines kraftfahrzeugs
EP2237118B1 (de) Sicherheitssystem zur Sicherung einer fehlersicheren Steuerung elektrischer Anlagen und Sicherheitssteuerung damit
DE102013213402A1 (de) Mikrocontroller mit mindestens zwei Kernen
DE102019214128B4 (de) Verfahren zur selbstinkrementierenden Kommunikation mit einer eine Verkettungsverbindungsstruktur aufweisenden, integrierten Schaltkreiskennung und integrierte Schaltkreiskommunikationsvorrichtung zur Durchführung des Verfahrens
DE102018210733A1 (de) Verfahren zum Überwachen wenigstens einer Recheneinheit
DE102015003928A1 (de) Integrierte Schaltungsanordnung und Verfahren zur Prüfung der Sicherheitsintegrität und zur Gewährleistung der Verfügbarkeit von sicherheitsrelevanten Systemen
DE102007007537A1 (de) Leitsystem einer technischen Anlage
DE102023130908B3 (de) Elektronische vorrichtung
DE102023210682A1 (de) Verfahren zur Fehlererkennung bei einem Kommunikationssystem
EP4513282A1 (de) Verfahren zum betreiben eines technischen systems mittels eines automatisierungssystems, computerprogrammprodukt, computerlesbares speichermedium sowie automatisierungssystem

Legal Events

Date Code Title Description
R012 Request for examination validly filed