处理器系统，发动机控制系统和控制方法

处理器系统，发动机控制系统和控制方法
【专利说明】处理器系统，发动机控制系统和控制方法
[0001]相关申请的交叉引用
[0002]本申请基于并要求2014年8月19日提交的日本专利申请N0.2014-166615的优先权，该申请的公开内容通过引用整个包含于此。
技术领域
[0003]本发明涉及处理器系统、发动机控制系统和控制方法，尤其涉及其中进行锁步操作等的处理器系统、发动机控制系统和控制方法。
【背景技术】
[0004]近年来，作为车载电子设备等的功能安全标准，国际标准组织的IS026262已受到关注。功能安全意味着通过实现功能设计，即使当在车载电子设备的组件，比如微计算机(例如，MCU:微控制单元)中发生故障(或失败，下面称为“故障”)时，也至少确保可接受的最低安全。例如，当发生故障时，必须在发生故障后的预定时期内，检测出所述故障。
[0005]作为功能设计的例子，存在利用多个处理器核心的锁步方法。作为相关技术，未经审查的日本专利申请公开N0.2010-198131(下面称为“专利文献1”)公开一种与利用锁步方法的处理器系统相关的技术。在锁步方法中，在多个处理器核心中进行相同处理(任务)，并通过相互比较这些处理器核心的执行结果，检测故障(错误)。
[0006]通常，在锁步方法中，由于多个处理器核同时工作，因此微计算机中的电流消耗增大。于是，在利用锁步方法的微计算机中，存在发热量(下面称为“发热量”)增大的问题。应注意未经审查的日本专利申请公开N0.2008-217051 (下面称为“专利文献2”)公开一种与其中减小发热量的锁步方法相关的技术。

【发明内容】

[0007]发明人发现以下问题。如上所述，即使发生故障，在车载系统等中使用的微计算机也需要在发生故障后的预定时期内，检测出所述故障。同时，在专利文献2中，按照处理器的温度，停止和重启两个处理器之一。然而在这种结构中，存在当仅仅一个处理器在工作时，不能检测出在该处理器中发生的故障的可能性。此外，在专利文献1中，存在当进行锁步操作时，处理器系统中的发热量增大的可能性。
[0008]根据本说明书中的以下说明以及附图，其它问题和新特征将更明显。
[0009]本发明的第一方面是一种处理器系统，包括:主处理器，所述主处理器相继处理多个任务；检验处理器，所述检验处理器相继处理所述多个任务中的至少一个任务；和控制电路，所述控制电路进行控制，以致当主处理器和检验处理器进行锁步操作时，检验处理器工作，而当主处理器和检验处理器不进行锁步操作时，检验处理器停止其工作，锁步操作是其中主处理器和检验处理器都处理相同任务的操作，其中控制电路进行控制，以致从利用锁步操作处理任务到在下一个锁步操作中处理另一个任务的时期等于或小于预定的最大测试期，所述最大测试期是处理器系统容许的测试期。
[0010]注意把按照实施例的上述设备表述成方法或系统的事件，使计算机实现上述设备或上述设备的一部分的程序，包括上述设备的图像拾取设备也被看作按照本发明的实施例。
[0011]按照上述方面，能够在降低发热量的同时，在预定时期内检测故障。
【附图说明】
[0012]根据结合附图进行的某些实施例的以下说明，上述及其它方面、优点和特征将更明显，附图中:
[0013]图1表示按照实施例的处理器系统的概况；
[0014]图2是说明按照实施例的最大验证测试期的时间图；
[0015]图3表示按照第一实施例的处理器系统的结构；
[0016]图4是表示按照第一实施例的控制电路进行的处理的流程图；
[0017]图5是按照第一实施例的时间图的例子；
[0018]图6是表示按照第一实施例的任务处理和芯片温度之间的关系的例子的示图；
[0019]图7表示按照第二实施例的处理器系统的结构；
[0020]图8是表示按照第二实施例的任务处理和芯片温度之间的关系的例子的示图；
[0021]图9表示按照第三实施例的处理器系统的结构；
[0022]图10是表示按照第三实施例的控制电路进行的处理的流程图；
[0023]图11是表示按照第三实施例的任务处理和芯片温度之间的关系的例子的示图；
[0024]图12表示按照第四实施例的处理器系统的结构；
[0025]图13表示按照第四实施例的比较单元的结构；
[0026]图14表示按照第五实施例的处理器系统的结构；
[0027]图15是表示按照第五实施例的控制电路进行的处理的流程图；
[0028]图16是表示按照第五实施例的任务处理和芯片温度之间的关系的例子的示图；
[0029]图17表示按照第六实施例的处理器系统的结构；
[0030]图18是表示按照第六实施例的控制电路进行的处理的流程图；
[0031]图19是表示按照第六实施例的任务处理和芯片温度之间的关系的例子的示图。
【具体实施方式】
[0032]下面参考附图，说明实施例。为了使说明清晰，以下的说明和附图可被酌情部分省略和简化。此外，作为进行各种处理的功能块，在附图中表示的各个元件可以利用诸如CPU(中央处理器)、内存和其它种类电路之类的硬件实现，或者可以用诸如载入内存中的程序之类的软件实现。于是，本领域的技术人员会明白这些功能块可仅仅用硬件实现，仅仅用软件实现，或者用硬件和软件的组合实现。即，它们不限于硬件或者软件。注意在附图中，向相同的组件赋予相同的附图标记，必要时省略重复的说明。
[0033]上述程序可被保存在各种非临时性计算机可读介质中，从而被提供给计算机。非临时性计算机可读介质包括各种有形存储介质。非临时性计算机可读介质的例子包括磁记录介质(比如软盘、磁带和硬盘驱动器)，磁光记录介质(比如磁光盘)，⑶_R0M(只读存储器)，CD-R，和CD-R/W，和半导体存储器(比如掩模ROM、PR0M(可编程ROM)，EPROM (可擦PROM)，闪速ROM，和RAM(随机存取存储器))。此外，可利用各种临时性计算机可读介质，把程序提供给计算机。临时性计算机可读介质的例子包括电信号、光信号和电磁波。临时性计算机可读介质可用于通过有线通信路径(比如电线和光纤)或者无线通信路径，把程序提供给计算机。
[0034](实施例的概况)
[0035]在说明实施例之前，先说明实施例的概况。图1表示按照实施例的处理器系统1的概况。如图1中所示，处理器系统1包括控制电路2、存储器4、比较器6和处理器单元10。处理器单元10包括主处理器12和检验处理器14。注意，检验处理器14的电路结构(硬件结构)可以和主处理器12的相同。此外，如后所述，主处理器12和检验处理器14在锁步方法中，起能够处理多个任务的第一处理器和第二处理器的作用。注意，主处理器12和检验处理器14可分别充当第一处理器和第二处理器，或者可分别充当第二处理器和第一处理器。
[0036]处理器系统1可以是例如控制诸如汽车之类车辆的电动机(比如发动机)的微计算机芯片。不过，处理器系统1并不局限于这样的微计算机芯片。即，处理器系统1控制诸如车辆的电动机之类的待控制系统。例如，处理器系统1可以是控制发动机的发动机控制系统。包括上述组件的处理器系统1在预定情况下，进行锁步操作。锁步操作意味着其中主处理器12和检验处理器14都处理相同任务的操作。注意，存储器4和比较器6不一定必须设置在处理器系统1中。即，存储器4和比较器6可被布置在处理器系统1之外。
[0037]存储器4保存处理器单元10应处理的多个任务(数据)，比如用于控制发动机的发动机控制任务。处理器单元10读取(取回)保存在存储器4中的任务，并处理读取的任务。主处理器12相继处理多个读取(取回)的任务。同时，当处理器系统在控制电路2的控制下进行锁步操作时，检验处理器14处理和主处理器12处理的任务相同的任务。当进行锁步操作时，比较器6比较主处理器12的处理结果(主处理结果)和检验处理器14的处理结果(检验处理结果)。随后，当主处理结果不同于检验处理结果时，比较器6发出出错通知。
[0038]检验处理器14处理的任务和主处理器12处理的任务相同。于是，在通常情况下，检验处理结果和主处理结果相同。不过，当主处理器12 (或检验处理器14)发生故障时，检验处理结果不同于主处理结果。于是，当比较器6比较主处理结果和检验处理结果，主处理结果不同于检验处理结果时，意味着检测到处理器单元10中的故障(错误)的发生。SP，锁步操作起用于检测主处理器12 (或检验处理器14)中的故障的测试处理的作用。
[0039]控制电路2(控制单元)判定是否应进行锁步操作。换句话说，控制电路2启用或禁止锁步方法。当进行锁步操作时(当启用锁步方法时)，控制电路2使检验处理器14工作。另一方面，当不进行锁步操作时(当禁止锁步方法时)，控制电路2停止检验处理器14。注意，控制电路2进行控制，以致从利用锁步操作处理任务到在下一个锁步操作中处理另一个任务的时期等于或小于最大验证测试期(最大测试期)。即，控制电路2在预定定时启用锁步方法，以致第一锁步处理和在第一锁步处理之后的第二锁步处理之间的间隔等于或小于最大验证测试期。
[0040]最大验证测试期是对于各个系统，确定容许值的验证测试期(测试期)。此外，验证测试意味着进行检验处理器系统1的功能是否被正常执行的功能检验测试。此外，验证测试期(PTP)意味着进行验证测试的间隔。此外，最大验证测试期(PTPmax)是系统可接受的验证测试期的最大值。注意在按照本实施例的处理器系统1中，验证测试对应于通过进行锁步操作检测故障的处理。下面给出详细说明。
[0041]图2是说明按照本实施例的最大验证测试期的时间图。作为功能安全的方法，存在其中当发生故障时，使系统进入停止状态的方法。在按照本实施例的处理器系统1中，当进行测试处理(锁步操作)时(箭头B)，检测在处理器单元10 (主处理器12)中发生的故障(箭头A)。随后，当比较器6发出出错通知时，受控制的系统变成停止状态(箭头C)。
[0042]从发生故障到系统变成停止状态的时期被称为“容错时间间隔”。此外，从发生故障到检测出故障的时期被称为“诊断测试间隔”。此外，从检测出故障到系统变成停止状态的时期被称为“故障反应时间”。上述PTPmax意味着通过从诊断测试间隔中减去测试处理所必需的时间而获得的时期。
[0043]注意，根据受控制的系统的规格、性能等，可以确定故障反应时间(例如，300ms (毫秒))。此外，容错时间间隔(例如，500ms)可由受控制的系统的制造商确定。根据这些值，能够预先获得诊断测试间隔(例如，200ms)。此外，可预先对于各个处理器系统1，确定测试处理所必需的时间(例如，5ms)。结果，PTPmax (例如，195ms)被预先确定。于是，PTPmax是受控制的系统可接受的预定测试期。
[0044]设想其中从进行测试处理到进行下一次测试处理的时期超过PTPmax的情况。在这种情况下，如果在完成前次测试处理之后立即发生故障(错误)，那么从发生故障到进行检测故障的下次测试处理的时期超过图2中所示的预定诊断测试间隔。与之相反，在本实施例中，控制电路2进行控制，以致从在锁步操作(测试处理)中处理任务到在下一个锁步操作中处理另一个任务的时间等于或小于PTPmax。于是，按照本实施例的处理器系统1能够在预定时期内检测故障。
[0045]此外，当对于每个任务进行锁步操作时，对于每个任务进行测试处理。于是，能够在预定时期内检测故障。不过，如果一直进行锁步操作，那么使两个处理器(主处理器12和检验处理器14)都始终工作。这引起处理器系统1中的发热量增大的可能性。与之相反，在本实施例中，不一定一直进行锁步操作。即，只要从利用锁步操作处理任务到在下一个锁步操作中处理另一个任务的时期等于或小于PTPmax的条件被满足，就停止锁步操作。SP，检验处理器14不一定一直工作。于是，能够满足系统要求的功能安全规范，并减少处理器系统1中的发热量。
[0046](第一实施例)
[0047]图3表不按照第一实施例的处理器系统100的结构。在第一实施例中，处理器系统100控制的系统是车辆等的发动机系统。不过，受控制的系统并不局限于这样的发动机系统(这也适用于其它实施例)。处理器系统1