专利名称:引擎控制模块的双核体系结构的制作方法
技术领域:
本公开涉及控制系统,尤其涉及在CTX具安全关键(safety-critical)控制
系统中验证控制信号的完整性。
背景技术:
本部分的陈述仅仅是提供与本发明公开内容相关的背景信息,不构成现有 技术。
在各种系统中,实施控制模块以处理繊和提供控制信号。在汽车,卡车, 飞行器和其它交通工具中,控制模i央越来越多地j顿数字处理器控制安全关键
功能,如刹车禾吲擎控制。主处理器(primary processor)基于从各种传繊 和监,作特性的其它设备接收的信号产生控制信号,上述操作特性例如但不 限于引,度,温度,压力和齿轮比。主处理器使用算术逻辑单元(ALU)处 理信号信息。如果有缺陷的ALU导致控制信号被损坏,那么主处理器可能会命 令系统采取错误的动作。
损坏的控制信号还会由与主处理器和/或控制模块的其它部件相关的其它 故障和/或错误导致,所述其它故障和/或错误包括但不限于随机存取存储器 (RAM)的硬件故障,RAM翻存储损坏,只读存储器(ROM)故障,编译 器错误和/^f呈序计数器错误。主处理器的常规故障检测和纠错技术常常在控制 模块上〗顿次处理器(secondary processor)。次处理器通常使用主处理器中的 腦来执行故障检测。
发明内容
一种用于顿工具的控制模块的控制系统,包含主处理器中的第一集成电 路(IC)杨1> (core), i織1成电路(IC)核心4顿中央处理单元(CPU) 产生第一控制信号。所駐处理器中的第二 IC核心j顿第二 CPU产生第二控 制信号,并基于所述第一控制信号和所述第二控制信号产生补救控制信号。
M这里的描述,更多领域的适用性将是显而易见的。应该理解这里的描 述和具体实例的目的只是为了说明,并非限制本发明公开的范围。
这里的附图描述的目的只是为了说明,并非以任何方式限制本发明公开的 范围。
图1是依照现有技术的示例性控制模块的功能框图; 图2是依照本发明的示例性控制模块的功能框亂以及 图3是阐明本发明的控制系统的流程图。
具体实施例方式
下面对优选实施例的描述实际上只是示例性的,并不是以任何方式有意限 制本发明以及它的应用或使用。为了清楚起见,附图中将使用相同的附图标记 标识相似的元件。如这里^ira的,术语模块指专用集成电路(ASIC),电子电路, 执行一个或多个软件或固件程序的处理器(共享,专用,或组)和存储器,组 誠辑电路或提供所述功能的其它适当部件。
现在参考图1,示出了依照现有技术的示例性交通工具10。
工具10 可以包含汽车,卡车,飞行器或其它CT工具,但并不局限于此。控制模±央12 控制CT工具10的一个或多个功能,包括但不限于诸如刹车,转向,危险控制, 禾口/或弓l擎操作的安全关键功能。控制模块12包含与次处理器16通信的主处理 器14,随机存取存储器(RAM) 18,纠错编码(ECC)模块20,只读存储器 (ROM) 22,输入和/或输出(I/O)模块24,以及其它部件26。
RAM 18存储与3S1X具10控制相关的读、写和/或易失性控制M。RAM 18可以包括SDRAM,双数据率(DDR) RAM,或其它类型的低延迟存储器, 但并不局限于此。ROM22包括如闪存之类的非易失性存储器,并用于存储诸如 非易失控制代码之类的密钥数据。
ECC模±央20验证从RAM 18禾口/或ROM 22接收的数据的完整性。ECC模 块20监控RAM 18和ROM22中各种形式的M损坏。当M从RAM 18禾口/ 或ROM22传输到主处理器14时,ECC模块20可以自动纠正检测到的故障。
I/O模块24可以连接到交通工具10中的各种传感模i央,并可以将模拟数据 转换为数字信号以传输到处理器14。 I/O模块24可以包含例如模数(A/D)转 换器,脉宽调制(PWM)转换器,双端口存储器,控制器局域网(CAN)总线, 本地互连网(LIN)总线,和/或〗柳串行外围接口 (SPI),频率编码,可扩展 一致性接口 (SCI),禾口/或单边半字节(single edge nibble)传输(SENT)介质 的设备。也可以使用各种其它设备和/或方法来输入传mi数据。
布置在控制模±央12上的主处理器14执行与交iTC具10的操作相关的M 禾口/或控制处理。主处理器14包含集成电路(IC)核心28和比较模块30。 IC核 心也称为核心逻辑芯片集,可以包含用于处理存储器功能,指令高速缓冲存储 器,总线接口逻辑,和数据路径功能的控制器。IC核心28包括主娜路径(数 据路径)32,冗余 路径34,和算术逻辑单元(ALU) 36。
数据路径32对从控制模块12中的各种其它部件(例如RAM 18和RAM22) 接收的数据执行计算操作,并基于所述数据产生主控伟W言号38 (例如安全关键 控制信号)。冗余数据路径34与数据路径32并行处理数据,并产生冗余控制信 号40。冗余数据路径34以与数据路径32相似的方式执行计算操作。
数据路径32和冗余路径34共享公共的ALU 36。 ALU 36对由数据路径32 和数据路径34接收的 执行算术操作。更具体地,ALU36对所述M执行 计算,以确定控制交MX具10的各种功能的主控制信号38和冗余控制信号40。
比较模块30接收主控制信号38和冗余控制信号40。比较模±央30比较主 控制信号38和冗余控制信号40,以确定主控制信号38和冗余控制信号40是否 相等。如果主控制信号38和冗余控制信号40不相等,比较模块30基于战比 较产生补救(即校正)控制信号42。补救控制信号可以包含命令顿工具10 关闭引擎或限制引,度,但并不局限于此。
次处理器16 fflil使用处理器检查模块44对主处理器14执行安全检查。更 具体地,次处理器16确定ALU 36是否正常操作。处理器检查模块44 M31给 主处理器14传辦巾子(seed)或预定信息,周期性地评估ALU 36的计算完整 性。主处理器14处理种子 ,并产生传输给处理器检查模块44盼'密钥(key)" 数据。基于该密钥数据和存储在处理器检查模块44中的预定响应之间的比较, 处理器检查模块44确定ALU36是否正常运行。当密钥数据和预定响应(即期 望结果)相等时,处理器检查模块44确定ALU36操作正常。换句话说,处理 器检查模块44执行ALU36的诊断评估,从而确保正常操作。此外,处理 查模块44可以确认其它部件26的正常操作,所述其它部件可以包括但不限于 各种寄存器,程序计数器和高速缓冲存储器。
控制模块12的多个部分可以由一个或多个IC或芯片实现。例如,IC核 心28和比较模块30可以由单个芯片实现。可选地,控制模±央12还可以被实现 为片上系统(SOC)。 依照本发明的控制系统包含具有第一 IC核心和第二 IC核心的处理器。每 个IC核'lM柳不同的ALU以产生独立的安全关键控制信号,从而消除了与多 个数据路径中共享的ALU相关的故障。此外,该控制系统在第一 IC核心和第 二 IC核心之间提供最佳的安全功能分配(portioning),并且消除了由次处理器 执行的安全检查的必要性,和消除了用于检测和M^、 RAM损坏的双存储的必 要性。
现在参考图2,其示出了实施傲照本发明的控制系统的示例性控制模块50。 控制模块50包含处理器52,处理器52包含第一 IC核心54和第二 IC核心56。
第一IC核心54包含数据路径58和ALU 60。例如,ALU 60是计算算术 和逻辑操作的中央处理单元(CPU) 61中的部件。 路径58对从控制模块 50中的各种其它部件(如RAM18和RAM22)接收的 执行计算操作,并 基于所述翻产生第一控制信号62(如安全关键控制信号)。CPU 61 (如ALU 60) 对由 路径58单独接收的 执行算术操作。
第二IC核心56包含冗余数据路径64, ALU 66(即包含ALU 66的CPU 67), 和比较模块68。冗余数据路径64与第一 IC核心54的数据路径58并^t也处理 数据。在当前的实施方式中,冗余数据路径64使用CPU67对该i^执行算术 操作,并产生第二控制信号70。换句话说,第一IC核心54 (即数据路径58) 和第二IC核心56 (即冗余f^路径64)的每一个分别使用CPU 61和CPU 67 3te地处理M。因此,由第一IC54中有缺陷的CPU61部分地产生的被损坏 的第一控制信号将不会影响第二控制信号70。
在当前的实施方式中,第一 IC核心54和第二 IC核心56独立地处理 。 第二 IC杨。、56基于接收到第一 IC核心54已经产生第一控制信号62的通知信 号而处理娜并产生第二控制信号70。在各种实施例中,第二IC核心56可以 等待校准周期(calibrated period of time)以接收第一控制信号62。如果第二IC 核心56确定在所述周期内没有接收到第一控制信号62,则第二 IC核心56可以 启动补救纟亍动72。
第二 IC核心56中的比较模块68接收第一控制信号62和第二控伟帽号 70。比较模块68比織一控制信号62和第二控制信号70,并确定第一控制信 号62和第二控制信号70是否相等。如果第一控制信号62和第二控制信号70 不相等,贝吡较模块68基于所述比,生补救控制信号72。补救控制言号72可以包含但不限于命令数据路径58和冗余 路径64重新同步到预定状态, 和/或执行第一 IC核心54和第二 IC核心56的运行复位(running reset)。
控制模块50传输第一控制信号62和补救控制信号72至啦制模块50和/ 或CTX具10中的各种部件。
在当前的实施方式中,第一和第二 IC核心54和56共享公共的RAM 18 和ROM 22。 ECC模决20监控控制模i央50中的RAM 18和ROM 22,以发现 娜错误(即由于硬件故障弓跑的M损坏)。第一核心54和第二核心56中的 至少一个对ECC模块20的正确操作进行测试。在各种实施例中,第一核心54 ,二核心56可以fflil在交通工具10的每个运转循环(key cycle)中至少一次 地确保不存在ECC模块20盼'睡眠故障(sleeping faults)"(即不单独引起安全 关键错误的故障),来验证ECC模块20的功能。ECC模块20的睡目民故Ptt现 为ECC模±央20未能检观倒出故障的RAM或ROM单元。在随后的RAM或 ROM故障时可能会发生危险。此外,如果第一IC核心54或第二IC核心56共 享公共时钟,该时钟(未显示)的操作可以由第一IC核心54,第二IC核心56
和/或外部电路之一周期性地验证。
现在参照图3,将详细描述一种用于操作该控制系统的示例性方法300。方 法300由步骤302开始。步骤304中,第一 IC核心54和第二 IC核心56接收 来自控制模块50的於部件的数据。步骤306中,第一 IC核心54产生第一控 制信号62。步骤308中,第二IC核心56确定第二 IC核心56是否接收到从第
一 IC核心54传输的通知信号。如果第二 IC核心56没有接收到该通知信号, 则第二 IC核心56返回步骤308。如果第二 IC杨1> 56接收到该通知信号,则第
二 IC核心56前进到步骤310。
步骤310中,第二IC核心56产生第二控制信号70。步骤312中,第二IC 核心56确定第一控制信号62和第二控制信号70是否相等。如果第二 IC核心 56确定第一控制信号62和第二控制信号70不相等,方法300前进到步骤314。 如果第二 IC杨1> 56确定第一控制信号62和第二控制信号相等,方法300前进 到步骤316。步骤314中,第二IC核心56产生补救控制信号72。步骤316中, 方法300结束。
现在,本领域技术人员根据前面的描述可以理解,本发明的宽泛教导可以 各种形式实现。所以,虽然结合本发明的特定实例对本发明进行了描述,但本
发明的真正范围并不局限于此,因为根据对本发明附图,说明书和所附权利要 求书的研究,其它修改对于本领域技术人员将是显而易见的。
权利要求
1.一种用于交通工具的控制模块的控制系统,包含主处理器中的第一集成电路(IC)核心,所述第一集成电路核心使用中央处理单元(CPU)产生第一控制信号;和所述主处理器中的第二IC核心,所述第二IC核心使用第二CPU产生第二控制信号并基于所述第一控制信号和所述第二控制信号产生补救控制信号。
2. 如权利要求1所述的系统,其中当所述第二控制信号不等于所述第一控 制信号时,所述第二 ic核心产生所述补救控制信号。
3. 如权利要求1所述的系统,其中当所述第二IC核心接收到来自所述第一 IC核心的通知信号时,所述第二 IC杨1>产生所述第二控制信号。
4. 如权利要求3所述的系统,其中当所述第二 IC核心在校准周期中未能接 收到所舰知信号时,所述第二 IC核心命令补救行动。
5. 如权利要求1所述的系统,其中所述补救控制信号包含用信号通知所述第一 IC核心的 路径和所述第二 IC核心的冗余 路径重新同步到预定状态和用信号通知所述第一 IC核心和所述第二 IC核心的运行复位中的至少一 个。
6. 如权利要求1所述的系统,其中所述第一 IC核心和所述第二 IC核心独 立处理数据。
7. 如权禾腰求1所述的系统,进一步包含存储器;和纠错编码(ECC)模块,其中所述第一IC核心和所述第二IC核心共享 所述存储器并且所述ECC模块验证所述存储器。
8. 如权利要求7所述的系统,其中所述第一 IC核心和所述第二 IC核心之 一验证所述(ECC)模块的操作。
9. 一种操作^X具的控制模块的方法,包含 4顿第一IC核心的第一CPU产生第一控制信号;以及 4顿第二IC核心的第二CPU产生第二控制信号;以及 基于所述第一控制信号和第二控制信号产生补救控制信号
10. 如权利要求9所述的方法,进一步包含当所述第二控制信号不等于所 述第一控制信号时,产生所述补救控制信号。
11. 如权利要求9所述的方法,进一步包含当所述第二 IC核心接收到来 自所述第一 IC核心的通知信号时,产生所述第二控制信号。
12. 如权利要求11所述的方法,进一步包含当所述第二IC核心在校准周 期中未能接收到所M知信号时,命令补救fi^力。
13. 如权利要求9所述的方法,其中所述补救控制信号包含用信号通知所 述第一 IC核心的 路径和所述第二 IC核心的冗余数据路径重新同步到预定状态和用信号通知所述第一 ic核心和所述第二 IC核心的运行复位中的至少一个。
14. 如权利要求9所述的方法,其中所述第一 IC核心和所述第二 IC核心独 立处理数据。
15. 如权利要求1所述的方法,其中所述第一 IC核心和所述第二 IC核心之 一验证所,制模块中的纠错编码(ECC)模块的操作。
全文摘要
本发明涉及引擎控制模块的双核体系结构。一种用于交通工具的控制模块的控制系统,包含主处理器中使用中央处理单元(CPU)产生第一控制信号的第一集成电路(IC)核心。所述主处理器的第二IC核心使用第二CPU产生第二控制信号,并基于所述第一控制信号和所述第二控制信号产生补救控制信号。
文档编号G05B19/048GK101349905SQ200810214760
公开日2009年1月21日 申请日期2008年7月18日 优先权日2007年7月20日
发明者M·H·科斯丁, P·A·鲍尔勒 申请人:通用汽车环球科技运作公司