技術(shù)領(lǐng)域

本發(fā)明涉及一種按照權(quán)利要求1前序部分所述的用于安全關(guān)鍵的機(jī)動(dòng)車(chē)系統(tǒng)的微控制器系統(tǒng)、按照權(quán)利要求6的前序部分所述的用于運(yùn)行用于安全關(guān)鍵的機(jī)動(dòng)車(chē)系統(tǒng)的方法以及其應(yīng)用。

背景技術(shù)

高度可用或防事故的車(chē)輛系統(tǒng)——如其需要用于自動(dòng)化駕駛的應(yīng)用——對(duì)各個(gè)機(jī)動(dòng)車(chē)系統(tǒng)的電子構(gòu)件的可用性和相互作用自由性以及在此特別是對(duì)相應(yīng)微控制器提出提高的要求，微控制器執(zhí)行通過(guò)該微控制器運(yùn)行的車(chē)輛系統(tǒng)的基礎(chǔ)軟件。對(duì)于這些車(chē)輛系統(tǒng)相應(yīng)地力求盡可能小的事故可能性。對(duì)于高度可用或防事故的車(chē)輛系統(tǒng)的例子是機(jī)動(dòng)車(chē)的制動(dòng)系統(tǒng)。這樣的制動(dòng)系統(tǒng)的故障意味著對(duì)于交通參與者的危險(xiǎn)，因此必須不斷監(jiān)控該系統(tǒng)的功能能力，以便在出現(xiàn)故障時(shí)例如激活備份。故障公差冗余方案以特別的程度對(duì)于僅僅具有電子備份的機(jī)動(dòng)車(chē)系統(tǒng)是重要的。

為了提高故障安全性，由文獻(xiàn)DE 32 34 637 C2已知的是，以相同軟件運(yùn)行兩個(gè)處理器，這也稱(chēng)為對(duì)稱(chēng)冗余。在文獻(xiàn)DE 4137124A1中描述一種具有非對(duì)稱(chēng)冗余的微處理器系統(tǒng)，其中兩個(gè)處理器以不同軟件運(yùn)行。

在文獻(xiàn)DE 195 29 434 A1中描述了另一核芯冗余的系統(tǒng)，其中兩個(gè)同步運(yùn)行的處理器核芯設(shè)定在一個(gè)或多個(gè)芯片上，該些處理器核芯獲得相同輸入信息并且處理相同程序。兩個(gè)處理器核芯在此通過(guò)單獨(dú)的總線系統(tǒng)連接到只讀存儲(chǔ)器和寫(xiě)-讀存儲(chǔ)器上以及輸入和輸出單元上。總線系統(tǒng)相互間通過(guò)驅(qū)動(dòng)級(jí)或旁路連接，它們對(duì)于兩個(gè)處理器核芯能實(shí)現(xiàn)可用數(shù)據(jù)包括檢測(cè)數(shù)據(jù)和命令的共同的讀取和處理。兩個(gè)處理器核芯中僅僅之一(直接)與完整的只讀和寫(xiě)-讀存儲(chǔ)器連接，而第二處理器核芯的存儲(chǔ)能力限于結(jié)合檢測(cè)數(shù)據(jù)生成器檢測(cè)數(shù)據(jù)(奇偶監(jiān)控)的存儲(chǔ)空間。對(duì)所有數(shù)據(jù)的訪問(wèn)在于通過(guò)旁路。由此兩個(gè)處理器核芯能夠分別處理完全的程序。

在文獻(xiàn)EP1673667B1中描述了用于安全關(guān)鍵的應(yīng)用的微控制器系統(tǒng)，其中用于驅(qū)控具有能力的負(fù)載的數(shù)字電路構(gòu)件和模擬電路構(gòu)件安裝在共同的芯片或芯片載體上并且通過(guò)隔離的區(qū)域相互保護(hù)。

對(duì)于安全關(guān)鍵的機(jī)動(dòng)車(chē)系統(tǒng)已知的微控制器(MCU)由編程模型方面看來(lái)是單核系統(tǒng)，自然地然而經(jīng)常存在于多個(gè)處理器核芯，以便使得軟件執(zhí)行并行化。資源，如例如存儲(chǔ)資源和/或外圍資源自然不多次執(zhí)行并且由處理器核芯共同使用。相比之下，多芯片微控制器多次提供完整的資源。芯片在該說(shuō)明書(shū)的意義上理解為集成在單獨(dú)的半導(dǎo)體基底上的電路。

由多核芯微控制器分享的資源的基本缺點(diǎn)是其易錯(cuò)性，如例如隨機(jī)硬件錯(cuò)誤，因?yàn)榭偸且采婕胺窒碓撡Y源的核芯。多次存在的子系統(tǒng)(核芯)的獨(dú)立性因此也對(duì)于在該子系統(tǒng)中的錯(cuò)誤產(chǎn)生。多核芯微控制器的故障概率因此極大地由在分享的資源中的錯(cuò)誤確定并且例如在總故障率的40％的數(shù)量級(jí)上。

然而基于該多重設(shè)計(jì)，多芯片系統(tǒng)相比于多核芯系統(tǒng)精確度更高，這特別是對(duì)于當(dāng)今具有例如大于4MB只讀存儲(chǔ)器和大于256KB主存儲(chǔ)器的大的程序和數(shù)據(jù)存儲(chǔ)器中的情況。高度可用的系統(tǒng)的多個(gè)芯片的應(yīng)用因此表示成本的顯著提高，特別是更大數(shù)量的集成電路以及基于的電路載體的提高的復(fù)雜性有助于這一點(diǎn)。

由于生產(chǎn)集成電路的高部件數(shù)量，存在對(duì)全部構(gòu)件的極大的成本壓力。其特別是針對(duì)安全設(shè)計(jì)的功能然而不應(yīng)通過(guò)降低成本的措施限制。

發(fā)明內(nèi)容

因此，本發(fā)明的任務(wù)在于，提供一種機(jī)構(gòu)，該機(jī)構(gòu)能實(shí)現(xiàn)對(duì)于安全關(guān)鍵的機(jī)動(dòng)車(chē)系統(tǒng)的微控制器系統(tǒng)的至少一如既往高的可用性并且在此可盡可能成本低廉地實(shí)現(xiàn)。

該任務(wù)通過(guò)按照權(quán)利要求1的微控制器系統(tǒng)和按照權(quán)利要求6的方法實(shí)現(xiàn)。

本發(fā)明描述一種用于安全關(guān)鍵的機(jī)動(dòng)車(chē)系統(tǒng)的微控制器系統(tǒng)，包括多個(gè)設(shè)置在公共的芯片上的子系統(tǒng)，其中至少一個(gè)子系統(tǒng)多通道地構(gòu)成，其中微控制器系統(tǒng)的特征還在于，該微控制器系統(tǒng)設(shè)計(jì)為用于執(zhí)行多個(gè)運(yùn)行模式，其中子系統(tǒng)在第一運(yùn)行模式下相互獨(dú)立地運(yùn)行并且借助于芯片內(nèi)部的接口相互通信，在第二運(yùn)行模式下，子系統(tǒng)中的至少之一借助于設(shè)定的數(shù)據(jù)傳輸器件調(diào)用另外的子系統(tǒng)中的至少之一的非局部資源運(yùn)行，和/或子系統(tǒng)中的至少之一處于運(yùn)行而子系統(tǒng)中的至少另一是非激活的。