知財求人 - 知財ポータルサイト「IP Force」
▶ インフィネオン テクノロジーズ アクチエンゲゼルシャフトの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6525906
(24)【登録日】2019年5月17日
(45)【発行日】2019年6月5日
(54)【発明の名称】セーフティクリティカルなエラーを処理するための方法と装置
(51)【国際特許分類】
G06F 11/20 20060101AFI20190527BHJP
B60W 50/023 20120101ALI20190527BHJP
【FI】
G06F11/20 638
B60W50/023
【請求項の数】15
【外国語出願】
【全頁数】16
(21)【出願番号】特願2016-48158(P2016-48158)
(22)【出願日】2016年3月11日
(65)【公開番号】特開2016-170786(P2016-170786A)
(43)【公開日】2016年9月23日
【審査請求日】2016年3月11日
【審判番号】不服2018-6929(P2018-6929/J1)
【審判請求日】2018年5月22日
(31)【優先権主張番号】10 2015 003 194.5
(32)【優先日】2015年3月12日
(33)【優先権主張国】DE
(73)【特許権者】
【識別番号】599158797
【氏名又は名称】インフィニオン テクノロジーズ アクチエンゲゼルシャフト
【氏名又は名称原語表記】Infineon Technologies AG
(74)【代理人】
【識別番号】100114890
【弁理士】
【氏名又は名称】アインゼル・フェリックス=ラインハルト
(74)【代理人】
【識別番号】100116403
【弁理士】
【氏名又は名称】前川 純一
(74)【代理人】
【識別番号】100135633
【弁理士】
【氏名又は名称】二宮 浩康
(74)【代理人】
【識別番号】100162880
【弁理士】
【氏名又は名称】上島 類
(72)【発明者】
【氏名】アクセル フライヴァルト
(72)【発明者】
【氏名】ビジョイ マシューズ
(72)【発明者】
【氏名】アントニオ ヴィレラ
【合議体】
【審判長】
辻本 泰隆
【審判官】
▲はま▼中 信行
【審判官】
須田 勝巳
(56)【参考文献】
【文献】
特開2011−46337(JP,A)
【文献】
特開平7−43257(JP,A)
【文献】
特開2012−78947(JP,A)
【文献】
特開平7−253897(JP,A)
【文献】
特開2008−149807(JP,A)
【文献】
国際公開第2010/103768(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 11/20
B60W 50/023
(57)【特許請求の範囲】
【請求項1】
車両の装置(150)を動作させるためのデバイス(100)において、
第1の制御信号(104)によって制御されるように構成されている第1のコントローラ(101)と、
第2の制御信号(105)によって制御されるように構成されている第2のコントローラ(102)と、
前記第1のコントローラ及び前記第2のコントローラに接続されて動作する制御ユニット(103)と、
を含んでおり、
前記第1のコントローラ及び前記第2のコントローラは、いずれも前記装置(150)を動作させるように構成されており、
前記第1のコントローラは、第1のパワードメイン(210)において動作するように構成されており、
前記第2のコントローラは、第2のパワードメイン(220)において動作するように構成されており、
前記制御ユニット(103)は、前記第1のパワードメイン(210)において実施されている第1のサブ回路(203a)と、前記第2のパワードメイン(220)において実施されている第2のサブ回路(203b)と、を含んでおり、
前記第1のサブ回路(203a)は、前記第1の制御信号(104)によって前記第1のコントローラ(101)に接続され、
前記第2のサブ回路(203b)は、前記第2の制御信号(105)によって前記第2のコントローラ(102)に接続され、
前記第1のコントローラ(101)は、警告信号又は状態信号(304)を前記第2のサブ回路(203b)に送信し、
前記第2のコントローラ(102)は、警告信号又は状態信号(305)を前記第1のサブ回路(203a)に送信し、
前記第1のパワードメイン(210)の供給電圧は、前記第2のパワードメイン(220)の供給電圧と異なる、
デバイス(100)。
第1の制御信号(104)によって制御されるように構成されている第1のコントローラ(101)と、
第2の制御信号(105)によって制御されるように構成されている第2のコントローラ(102)と、
前記第1のコントローラ及び前記第2のコントローラに接続されて動作する制御ユニット(103)と、
を含んでおり、
前記第1のコントローラ及び前記第2のコントローラは、いずれも前記装置(150)を動作させるように構成されており、
前記第1のコントローラは、第1のパワードメイン(210)において動作するように構成されており、
前記第2のコントローラは、第2のパワードメイン(220)において動作するように構成されており、
前記制御ユニット(103)は、前記第1のパワードメイン(210)において実施されている第1のサブ回路(203a)と、前記第2のパワードメイン(220)において実施されている第2のサブ回路(203b)と、を含んでおり、
前記第1のサブ回路(203a)は、前記第1の制御信号(104)によって前記第1のコントローラ(101)に接続され、
前記第2のサブ回路(203b)は、前記第2の制御信号(105)によって前記第2のコントローラ(102)に接続され、
前記第1のコントローラ(101)は、警告信号又は状態信号(304)を前記第2のサブ回路(203b)に送信し、
前記第2のコントローラ(102)は、警告信号又は状態信号(305)を前記第1のサブ回路(203a)に送信し、
前記第1のパワードメイン(210)の供給電圧は、前記第2のパワードメイン(220)の供給電圧と異なる、
デバイス(100)。
【請求項2】
前記第1のコントローラは、第1のオペレーションモードにおいて前記装置を動作させるように構成されており、
前記第2のコントローラは、第2のオペレーションモードにおいて前記装置を動作させるように構成されている、
請求項1に記載のデバイス。
前記第2のコントローラは、第2のオペレーションモードにおいて前記装置を動作させるように構成されている、
請求項1に記載のデバイス。
【請求項3】
前記第1のオペレーションモードは、第1のHW/SW構造においてセーフティ機能を実施し、
前記第2のオペレーションモードは、第2のHW/SW構造において前記セーフティ機能を実施する、
請求項2に記載のデバイス。
前記第2のオペレーションモードは、第2のHW/SW構造において前記セーフティ機能を実施する、
請求項2に記載のデバイス。
【請求項4】
前記第1のコントローラをクロック制御するための第1のクロックソースと、前記第2のコントローラをクロック制御するための第2のクロックソースと、を更に含んでいる、
請求項1乃至3のいずれか1項に記載のデバイス。
請求項1乃至3のいずれか1項に記載のデバイス。
【請求項5】
前記第1のコントローラ(101)は、第1のクロック周波数で動作するように構成されており、
前記第2のコントローラ(102)は、第2のクロック周波数で動作するように構成されている、
請求項1乃至4のいずれか1項に記載のデバイス。
前記第2のコントローラ(102)は、第2のクロック周波数で動作するように構成されている、
請求項1乃至4のいずれか1項に記載のデバイス。
【請求項6】
前記第1のコントローラは、周辺装置の第1のセットを用いて動作するように構成されており、
前記第2のコントローラは、周辺装置の第2のセットを用いて動作するように構成されている、
請求項1乃至5のいずれか1項に記載のデバイス。
前記第2のコントローラは、周辺装置の第2のセットを用いて動作するように構成されている、
請求項1乃至5のいずれか1項に記載のデバイス。
【請求項7】
前記周辺装置の第2のセットにおける周辺装置の数は、前記周辺装置の第1のセットにおける周辺装置の数よりも少ない、
請求項6に記載のデバイス。
請求項6に記載のデバイス。
【請求項8】
前記制御ユニット(103)は、前記第1の制御信号(104)を記憶するように構成されている、
請求項1乃至7のいずれか1項に記載のデバイス。
請求項1乃至7のいずれか1項に記載のデバイス。
【請求項9】
請求項1乃至8のいずれか1項に記載のデバイス(100)によって車両の装置(150)を動作させるための方法において、
第1のオペレーションモードにおいて前記装置(150)を動作させる前記第1のコントローラ(101)によって前記第1の制御信号(104)を生成するステップと、
前記制御ユニット(103)によって前記第1の制御信号(104)を評価して、評価結果を提供するステップと、
前記評価結果に応じて、前記第2のコントローラ(102)によって前記装置(150)の動作を引き継ぐステップと、
を備えていることを特徴とする、
方法。
第1のオペレーションモードにおいて前記装置(150)を動作させる前記第1のコントローラ(101)によって前記第1の制御信号(104)を生成するステップと、
前記制御ユニット(103)によって前記第1の制御信号(104)を評価して、評価結果を提供するステップと、
前記評価結果に応じて、前記第2のコントローラ(102)によって前記装置(150)の動作を引き継ぐステップと、
を備えていることを特徴とする、
方法。
【請求項10】
前記装置は、セーフティ機能を実施するように構成されている、
請求項9に記載の方法。
請求項9に記載の方法。
【請求項11】
前記第2のコントローラは、前記第1のコントローラとは異なるアーキテクチャで実施されている、
請求項9又は10に記載の方法。
請求項9又は10に記載の方法。
【請求項12】
前記第1のコントローラ及び前記第2のコントローラは、別個のパワードメイン(220,230)において動作するように構成されている、
請求項9乃至11のいずれか1項に記載の方法。
請求項9乃至11のいずれか1項に記載の方法。
【請求項13】
請求項1乃至8のいずれか1項に記載のデバイス(100)を備えるシステムにおいて、
前記第1のコントローラは、第1のダイ(450)に構成されており、且つ、前記第2のコントローラは、第2のダイ(460)に構成されていることを特徴とする、
システム。
前記第1のコントローラは、第1のダイ(450)に構成されており、且つ、前記第2のコントローラは、第2のダイ(460)に構成されていることを特徴とする、
システム。
【請求項14】
前記第1のダイ及び前記第2のダイは、1つの共通のパッケージに構成されている、
請求項13に記載のシステム。
請求項13に記載のシステム。
【請求項15】
請求項1乃至8のいずれか1項に記載のデバイス(100)を備えるシステムにおいて、
前記第1のコントローラ及び前記第2のコントローラは1つのダイに構成されていることを特徴とする、
システム。
前記第1のコントローラ及び前記第2のコントローラは1つのダイに構成されていることを特徴とする、
システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施の形態は、自動車の用途、特に安全性に関連する用途、例えば、伝動装置の制御、警告表示の制御、電動パワーステアリング又は電動ブレーキの制御のための自動車の用途に関する。
【背景技術】
【0002】
自動車の用途における電子的な機能は、問題が検出された際に単純にオフにされることが多い。電子制御ユニット(ECU)においては、セーフティクリティカルな障害が発生すると、マイクロコントローラが、パッシブセーフな状態に移行される。これはフェールセーフ状態として知られている。セーフティクリティカルな障害の一部は永続的でないが、しかしながら、カーエレクトロニクスネットワーク全体のシャットダウン及びシステムの再始動のための新たなイグニッションサイクルを要求する。
【0003】
別のアプローチでは、自動車の作動中に電子機能が再始動される。そのようなシステムは、リセットの実行に続いてセルフテストを行い、その後、動作の再始動を試みる。この手順は一般的に、最良のケースでも数百ミリ秒を要し、最悪のケースでは動作が再開しない。従って、最良のケースですら、動作が回復するまでの時間は多くの用途にとって、例えばパワーステアリングにとって極めて長いものとなる。
【0004】
安全性にとって重大な何らかの問題が発生すると即座にパッシブセーフな状態に移行する、自動車の用途において使用されるマイクロコントローラも複数実現されている。ソフトウェアの複雑性が高いことから、それらの問題の多くはソフトウェアのバグによって引き起こされる。それらのバグはウォッチドッグ又はその他の保護メカニズムによって検出される。その他の根本的な原因はハードウェアに関連するものであるが、しかしながら、それらの原因のうちの少数だけが、潜在的な故障(latent fault)と称される永続的な損傷によって惹起される。
【0005】
そのようなエラー処理の許容形態は近年変化してきている。つまり、ECU全体がセーフ状態、パッシブ状態、オフ状態に移行することはもはや許容されなくなっている。現在ではセーフティクリティカルなECUに関して、例えば車両を安全に駐車できるまで、又は、通常の動作を再開できるまで、何らかの動作を提供するバックアップシステムが要求されている。そのような動作は一般的に、リンプホーム、路肩への回避動作(limp aside)、又はバックアップ動作と称される。
【0006】
フェールオペレーショナルシステムによる解決手段又は可用性が高められたシステムは、故障が発生した場合であっても、セーフティクリティカルな機能に関する性能の許容可能なレベルを提供する。このオペレーションモードへの切り替えが行われる原因として、ハードウェアの潜在的な故障、そのようなハードウェアの潜在的な故障ではない突発的な故障、又は、ソフトウェアフォールトが考えられる。
【0007】
1つのアプローチとして、単一の信号コントローラを使用するが、しかしながら最も高い故障率(FIT:Failure-In-Time)を有している最もクリティカルな部分を二重にすることが挙げられる。別のアプローチとして、少なくとも1つの第2のCPUコア及び周辺装置の別個のセットを含んでいるマルチコアコントローラを使用することが挙げられる。第2のCPUコア及び周辺装置セットは、マルチコアコントローラの第1のCPUコアが問題を検出すると、動作を引き継ぐ。
【0008】
最もコストの掛かる解決手段は、2つ又は3つのECU、複数の給電部及び通信システムを使用して、電子制御システム全体を二重又は三重にすることである。そのようなアプローチは余りに不経済であり、また自動車の用途にとっては占有空間が大きすぎる。
【0009】
別の問題は、それらの解決手段の大部分が依然として、共通のエラーソースによって惹起されるエラーに取り組まなければならないことである。特に、複数のコントローラが同一のツール及びソフトウェアを使用する場合、それらは潜在的に、ソフトウェアバグによって惹起される同一のシステマチックな問題を有している。
【0010】
更に、そのようなシステムは、故障する可能性があるコンポーネントをより多く含んでおり、またそのような故障が更に信頼性を低下させるか、又は動作が限定された状況が許容できないほど数多く発生する虞を含んでいる。そのような車両に及ぼされる影響の1つとして、修理工場に出向くことを強いられる回数が過度に多くなることが考えられる。
【0011】
米国特許出願公開第2013/0067259号明細書には、メインコントローラ及びスタンバイコントローラを含んでいるマイクロコントローラユニットが開示されている。しかしながら、スタンバイコントローラが低消費電力のために最適化されているのに対し、メインコントローラは高性能のために最適化されている。
【発明の概要】
【課題を解決するための手段】
【0012】
第1の実施の形態は、第1の制御信号によって制御されるように構成されており、且つ、装置を動作させるように構成されている第1のコントローラと、第2の制御信号によって制御されるように構成されている、且つ、装置を動作させるように構成されている第2のコントローラと、第1のコントローラ及び第2のコントローラに接続されて動作する制御ユニットと、を含んでいる装置を動作させるためのデバイスに関する。
【0013】
第2の実施の形態は、車両の装置を動作させるための方法に関する。この方法は、第1のオペレーションモードにおいて車両の装置を動作させる第1のコントローラによって制御信号を生成するステップと、制御ユニットによって制御信号を評価して、評価結果を提供するステップと、評価結果に応じて、第2のコントローラによって装置の動作を引き継ぐステップと、を備えている。
【0014】
第3の実施の形態は、セーフティ機能を実施するように構成されている車両の装置を動作させ、且つ、第1のダイに構成されている第1のコントローラと、装置を動作させ、且つ、第2のダイに構成されている第2のコントローラと、第1のコントローラ及び第2のコントローラを制御するように構成されている制御ユニットと、を含んでいるシステムに関する。
【0015】
第4の実施の形態は、セーフティ機能を実施するように構成されている車両の装置を動作させる第1のコントローラと、装置を動作させる第2のコントローラと、第1のコントローラ及び第2のコントローラを制御する制御ユニットと、を含んでおり、第1のコントローラ及び第2のコントローラが1つのダイに構成されている、システムに関する。
【0016】
図面には複数の実施の形態が示されており、それら複数の実施の形態を、それらの図面を参照しながら説明する。図面は基本的な原理を説明するために用いられるものであって、基本的な原理を理解するにあたり必要とされる態様のみが示されている。図中、同一の参照番号は同一の特徴を表している。
【図面の簡単な説明】
【0017】
【図1】一実施例によるデバイスを示す概略図である。
【図2】2つのパワードメインを使用する、一実施例による例示的なデバイスの別の概略図である。
【図3】複数の別個の制御ユニットを使用する例示的なデバイスを示す。
【図4】異なるダイを含んでいる例示的なデバイスを示す。
【図5】一実施例による方法のフローチャートを示す。
【発明を実施するための形態】
【0018】
複数の実施の形態は、自動車の安全性に関連する用途においてエラーを処理するための装置及び方法に関する。これらを少なくとも2つのコントローラを使用することによって達成することができ、一方のコントローラはメインコントローラであり、他方のコントローラはバックアップコントローラとして動作する。
【0019】
メインコントローラにおいてエラーが生じるケースでは、バックアップコントローラは、その種々のアーキテクチャ又は種々のインプリメンテーションを使用して、安全性に関連する機能を引き継ぐことができる。多様性を使用することによって、バックアップコントローラは、メインコントローラと同じ問題に直面することはない。
【0020】
図1には、メインコントローラ101と、バックアップコントローラ102と、それらメインコントローラ101及びバックアップコントローラ102に接続されている制御ユニット103と、から成るデバイス100が示されている。デバイス100は、車両のセーフティクリティカルなシステムである装置150を制御することができる。セーフティクリティカルなシステムは、例えば、電動パワーステアリングシステム、伝動装置制御ユニット、電子ブレーキシステム又は車両内の自動車機能を実行するその他の構成要素であって良い。
【0021】
メインコントローラ101は、CPUコア、メモリ及び周辺装置の第1のセットを含むことができるマイクロプロセッサ又はマイクロコントローラであって良い。CPUコアは、8ビットCPUコア、16ビットCPUコア、32ビットCPUコア又は64ビットCPUコアとして実施されており、また周辺装置の第1のセットは、インタフェースモジュール、タイマ、アナログ・ディジタル変換器又はポートモジュールのようなハードウェアユニットを含むことができる。メインコントローラ101は、図示していない給電部から給電されており、また、第1のクロックソースから導出される所定のクロック周波数でソフトウェア命令を実行する。
【0022】
バックアップコントローラ102は、状態マシン、プログラミング可能な状態マシン、マイクロプロセッサ又はマイクロコントローラであって良い。バックアップコントローラ102は、別のCPUコア、別のメモリ及び別のハードウェアモジュール、例えば周辺装置の第2のセットを含むことができる。しかしながら、バックアップコントローラ102は、メインコントローラ101と比較して単純なアーキテクチャを有することができる。
【0023】
デバイス100は、2つの異なるオペレーションモードを実行することができるか、又は、2つの異なるオペレーションモードで動作することができる。通常オペレーションモードの間は、メインコントローラ101が、装置150を制御するための特定のアプリケーション又は機能を実行している。セーフティクリティカルなエラーイベントが発生すると、デバイス100は通常オペレーションモードから緊急オペレーションモードに切り替わる。緊急オペレーションモードでは、バックアップコントローラ102が装置150を制御するためのアプリケーション又は機能を実行する。
【0024】
デバイス100の挙動の1つの例として、電動パワーステアリングシステムのDCモータを制御するためのメインコントローラ101によるソフトウェアの実行中に、エラーが発生することが挙げられる。このケースでは、バックアップコントローラが緊急オペレーションモードにおいて、必要とされる機能を引き継ぎ、その機能を実現することができる。例えば、バックアップコントローラは単純に、問題が発生する前と同様にシステムを動かし続けることができる。
【0025】
バックアップコントローラがステアリングシステムを動作させている間に、メインコントローラはリブートされる。メインコントローラのリブートが完了した後に、メインコントローラはステアリングシステムの制御を引き継ぎ直し、その一方で、バックアップコントローラを非アクティブ状態にセットすることができる。
【0026】
従って、電動パワーステアリングシステムの動作は、メインコントローラ又はバックアップコントローラによって処理される。
【0027】
制御ユニット103はセーフティ管理ユニット(SMU)であって良い。制御ユニット103は、メインコントローラ101とバックアップコントローラ102との間で、一種のスーパーバイザーとして動作する。制御ユニット103は、制御信号104を介してメインコントローラに接続されており、且つ、制御信号105を介してバックアップコントローラに接続されている。制御信号(104,105)は一方向であっても良いし、双方向であっても良く、また複数の信号線から成るものであって良い。
【0028】
制御ユニット103は、第1の制御信号104を評価する。第1の制御信号104は、警告信号から成るものであって良い。結果に応じて、制御ユニットは、第2の制御信号105の信号線をセットしてバックアップコントローラ102を起動させることができ、バックアップコントローラ102は、緊急モードにおいてメインコントローラから機能を引き継ぐ。
【0029】
メインコントローラがセーフティクリティカルな機能におけるエラーを認識すると、即座に警告信号を生成することができる。メインコントローラをリブート又はリセットし、且つ、バックアップコントローラを起動させるために、この警告信号を制御ユニット103によって評価することができる。警告信号のタイプ又はこの警告信号に対応するその他の統計値を、制御ユニット103又はその他のメモリに記憶することができる。
【0030】
メインコントローラが機能を再開できる状態になると、制御ユニットは即座に、第1の制御信号104の対応する信号線をセットすることができる。メインコントローラが通常モードで作動し始めると、制御ユニットは、バックアップコントローラ102に対する適切な制御信号105を生成することができる。
【0031】
装置150をハードウェア(HW)として、つまり有線で固定された電子回路として実現することができるか、又は、特定のセーフティ機能を実現するCPUにおいて実行されるソフトウェア(SW)として実現することができる。セーフティ機能は、例えば、伝動装置の制御、警告表示の制御、電動パワーステアリング又は電動ブレーキの制御であって良い。
【0032】
制御ユニット103はセーフティクリティカルなエラー条件を識別することができ、このイベント及び関連する全ての状態情報を、例えば、特定のメモリに記憶することができ、また、バックアップコントローラ102の処理を開始することができる。
【0033】
デバイス100の2つのオペレーションモードは、同一のセーフティクリティカルな機能を、例えば電動ステアリングを、異なるハードウェア(HW)構造又はソフトウェア(SW)構造において実現するか、又は、HW/SW構造の異なる組み合わせにおいて実現することができる。
【0034】
この実施の形態の1つの例においては、バックアップコントローラ102のCPUコアが8ビットCPUコアとして実施されており、またメインコントローラ101のCPUコアは32ビットCPUコアとして実施されている。このケースでは、バックアップコントローラは少数の電子コンポーネントを使用する。
【0035】
バックアップコントローラ102のCPUコアを、メインコントローラ101のCPUコアのクロック周波数と同一であるか又は異なるクロック周波数で動作させることができる。バックアップコントローラがより低いクロック周波数で動作する場合、バックアップコントローラの消費電力はより少ないものとなる。
【0036】
第2のオペレーションモード、つまり緊急モードを、例えば、第1のオペレーションモード、つまり通常モードにおいてメインコントローラにおいて実行される比較的複雑なソフトウェアに比べて単純である、バックアップコントローラにおいて実行されるソフトウェアによって実現することができる。
【0037】
この実施の形態の一例として、メインコントローラ101は、例えば車両によって使用される電動パワーステアリングの用途の一部としての電気モータを含んでいる装置150を制御するために複雑なソフトウェアルーチンを実行する。ソフトウェアは快適なステアリング機能を提供することができ、また、初めからC言語で記述して、第1のCコンパイラによってコンパイルすることができる。このセーフティ機能に関して、バックアップとしての緊急用の第2のソフトウェアインプリメンテーションが設けられていても良い。1つの例においては、異なるソフトウェアインプリメンテーションを取得するために、第2のソフトウェアインプリメンテーションが第2のCコンパイラを使用している。
【0038】
別の例においては、第2のソフトウェアインプリメンテーションが異なる命令から構成されており、且つ、その複雑性は低くなっているが、しかしながらシステム全体を安全にリセットできるまでの、例えば車両が停止され、メインコントローラ101をリセットできるまでの、パワーステアリングの基本的な制御を保証する。メインコントローラ101がその動作中にエラーを示唆する場合、第2のソフトウェアインプリメンテーションが、バックアップコントローラ102のCPUにおいて実行される。
【0039】
この実施の形態の別の例においては、バックアップコントローラ102の周辺装置が、多様化されたデザインツールを使用して実施されている。それらのデザインツールはハードウェア記述言語、例えばVHDL又はVerilogのソースコードを、シリコンダイにおいて実施することができるゲートレベルのネットリストにコンパイルする。バックアップコントローラ102のゲートレベルのネットリストの実施は、メインコントローラ101のためのゲートレベルネットリストを実施するために使用されるデザインツールとは異なるデザインツールを使用して行われている。バックアップコントローラ102は、シミュレータ、デバッガ又は形式的検証ツールによって検証されている。バックアップコントローラ102のアーキテクチャに使用されるツールを、メインコントローラ101のアーキテクチャを検証するために使用されるツールとは異ならせることができる。
【0040】
異なる設計ツール、検証ツール及び異なるソフトウェアインプリメンテーションの使用により、メインコントローラ101のアーキテクチャ及び/又はインプリメンテーションとは異なる、バックアップコントローラ102のアーキテクチャ及び/又はインプリメンテーションを提供することができる。異なるアーキテクチャ及び/又は異なるインプリメンテーションによって、共通原因の故障が発生するリスクが低下する。メインコントローラ101において実行されるセーフティクリティカルな機能の動作中のエラーの根本原因が、バックアップコントローラ102において実行される機能も妨害する可能性は低下する。
【0041】
メインコントローラ及びバックアップコントローラはそのアーキテクチャに関して異なる。更に、異なるアーキテクチャを異なる合成ツールを使用して設計することができ、また異なる検証ツール及びデバッギングによって検証することができる。
【0042】
図2には、装置150と、その装置150を制御するためのデバイス200と、が示されている。デバイス200は、2つの別個のドメインとしてドメイン210及びドメイン220を含んでいる。それらのドメイン210及び220を、1つのシリコンダイ又は別個のシリコンダイに集積させることができる。ドメイン210及び220は、それら2つのドメインのうちの一方に属するコンポーネントがドメイン固有のパラメータ範囲で動作することを意味する、専用のパワードメイン又はクロックドメインによって特徴付けられている。
【0043】
この実施の形態の1つの例においては、ドメイン210は、3.3Vをこのドメイン210に属するコンポーネントに供給する給電部によって特徴付けられているパワードメインであり、他方、ドメイン220は5Vを自身のコンポーネントに供給する給電部によって特徴付けられているパワードメインである。コンポーネントは、複数のコンポーネント又は周辺装置から成るグループに特定の電圧を供給する、埋込型電圧レギュレータ(EVR)を含むことができる。
【0044】
この実施の形態の別の例においては、ドメイン210は、特定のクロックソース及び/又は特定のクロック周波数によって特徴付けられている。このケースでは、ドメイン210に属する全ての同期モジュールが、特定のドメインクロックソースから導出されるクロックで動作する。ドメイン220は、同一の又は異なる周波数で動作する別個のクロックソースを有することができる。
【0045】
1つの実施の形態においては、制御ユニットはセーフティ管理ユニット(SMU)であって良い。SMUを、その第1の部分が第1のパワードメインにおいて実施され、且つ第2の部分が第2のパワードメインにおいて実施されるように、実施することができる。第1のドメイン210は、メインコントローラ101と、SMU103の第1の部分であるデバイス203aと、を含んでいる。メインコントローラ101は、第1のCPUを含んでおり、且つ、デバイス203aに入力される制御信号104の一部としての警告信号を生成することができる。SMUの第1の部分であるデバイス203aは、制御信号104を読み出し、警告信号を評価し、メインコントローラ101に対する制御信号104の一部としてのリセット信号を供給する。その他の種類の制御信号、例えばリブート信号をメインコントローラに供給することも可能である。
【0046】
第2のドメイン220は、バックアップコントローラ102と、SMU103の第2の部分であるデバイス203bと、を含んでいる。第1のドメイン210に関して説明したように、第2のドメイン220を別個のパワードメイン又はクロックドメインによって特徴付けることができる。
【0047】
メインコントローラ101及び/又はバックアップコントローラ102は、制御信号104又は制御信号105の一部として、それぞれ警告信号又は状態信号を生成することができる。それらの警告信号又はデータ信号を、制御ユニット103によって、又はそのドメイン固有の回路203a及び203bによって評価することができる。この評価の結果に応じて、制御ユニット103は、各コントローラに対する制御信号104又は105の一部としてのリセット信号を生成することができる。
【0048】
制御ユニット103の一部としてのドメイン固有の回路203a及び203bは、インタフェース206を介して相互に通信する。このインタフェース206は、ドメイン210からドメイン220に警告信号、状態信号又は一般的な情報を伝送するために使用される。装置150のセーフティクリティカルな用途に関する1つの例として、電動パワーステアリングが考えられ、そこでは重要な機能を通常オペレーションモード中にデバイス101(メインコントローラ)において実行することができる。警告信号204によって制御ユニット103に通知することができるエラーが生じるケースでは、デバイス102(バックアップコントローラ)が緊急オペレーションモードにおいて装置150の制御を引き継ぐ。
【0049】
緊急オペレーションモードを実行するために、バックアップコントローラ102は、ステアリングシステムの目下のトルク又はステアリング角度のような必要情報を要求する。それらの情報を、インタフェース207を介して、メインコントローラ101からバックアップコントローラ102に通信する必要がある。
【0050】
メインコントローラとバックアップコントローラの相異によって、システマチックなエラー又は共通原因のエラー、特にソフトウェアエラーが回避される。メインコントローラ及びバックアップコントローラは、専用のクロックソースを有することができる。つまり、それら2つのコントローラは、同一のクロック周波数、類似のクロック周波数又は異なるクロック周波数で動作することができる。
【0051】
1つの実施の形態においては、バックアップコントローラは、メインコントローラへの給電が行われなくなったとしても、依然として動作を続けるべきである。従って、メインコントローラ及びバックアップコントローラは、専用の給電部及び/又はパワードメインを有するべきである。
【0052】
図3には、別の実施の形態として、デバイス200に類似するデバイス300が示されている。しかしながら図2とは異なり、メインコントローラ101が、複数の信号線を含むことができる警告信号又は状態信号304を生成し、生成された警告信号又は状態信号304がドメイン固有のサブ回路203bによって読み出される。つまり警告信号又は状態信号304はドメインの境界を越える。バックアップコントローラ102は、複数の信号線を含むことができる警告信号又は状態信号305を生成し、その信号305をドメイン固有のサブ回路203aに入力することができる。
【0053】
図示していない別の実施の形態においては、ドメイン固有の回路203bが、メインコントローラ101へと供給される制御信号を生成する。反対に、ドメイン210のドメイン固有の回路203aは、バックアップコントローラ102に供給される制御信号を生成する。
【0054】
図4には、第1のダイ450及び第2のダイ460を含んでいるデバイス400が示されている。それら2つのシリコンダイは、例えば、1つの共通の半導体パッケージに構成されている。メインコントローラ101、システム管理ユニット(SMU)のドメイン固有の部分203a、メインコントローラ101とSMU部分203aとの間のインタフェース404は、第1のシリコンダイ450に構成されている。
【0055】
バックアップコントローラ102と、SMUのドメイン固有の部分203bと、バックアップコントローラ102とSMUの部分203bとの間のインタフェース404は、第2のシリコンダイ460に構成されている。ドメインの境界を越えるインタフェース信号404,405及び406を、ダイ間の専用ワイヤによって実現することができるか、フリップチップ技術によって実現することができる。フリップチップは、チップパッド上に堆積されたはんだバンプを用いて、半導体デバイスを相互接続するための方法である。
【0056】
図5には、車両の装置を動作させるために上述の方法を実施するための3つのステップを備えているフローチャートが示されている。ステップ501においては、第1のオペレーションモードで動作しているメインコントローラによって、制御信号が生成される。1つの実施例においては、このオペレーションモードをセーフティクリティカルな機能によって特徴付けることができる。
【0057】
車両は、人間を移送するいずれかの移動機械であるか、又はワゴン、自転車、自動車両(バイク、車、トラック、バス、列車)のようなカーゴ、船艇(船、ボート)、宇宙船及び飛行機であって良い。
【0058】
制御信号は、例えば、セーフティクリティカルな自動車の用途の実行中に認識される欠陥によって生成される。制御信号は、複数の信号線を含むことができる警告信号であって良く、それらはステップ502において、例えばセーフティ管理ユニット(SMU)によって読み出されて評価される。
【0059】
続いて、ステップ503においては第1の機能の実行が例えばバックアップコントローラによって引き継がれる。バックアップコントローラは、メインコントローラとは異なるアーキテクチャを有することができるか、異なるソフトウェアインプリメンテーションを有することができるか、もしくは、メインコントローラのインプリメンテーションとは異なっている。
【0060】
本明細書において提案される例は、特に、以下の解決手段のうちの少なくとも1つを基礎とすることができる。特に、以下の特徴の組み合わせを使用して、所望の結果を達成することができる。本方法の特徴を、デバイス、装置又はシステムのいずれかの(1つ又は複数の)特徴と組み合わせることができるか、又は反対に、装置又はシステムのいずれかの(1つ又は複数の)特徴を本方法の特徴と組み合わせることができる。
【0061】
車両の装置を動作させるためのデバイスが提供される。デバイスは、第1の制御信号によって制御されるように構成されている第1のコントローラと、第2の制御信号によって制御されるように構成されている第2のコントローラと、を含んでいる。更に、デバイスは、第1のコントローラ及び第2のコントローラに接続されて動作する制御ユニットを含んでおり、この場合、第1のコントローラ及び第2のコントローラはいずれも装置を動作させるように構成されている。
【0062】
車両の安全性に関連する部分であって良い装置、例えば電動ブレーキを動作させる第1のコントローラに問題が生じるケースでは、第2のコントローラは装置の動作を引き継ぎ、その間に第1のコントローラはリブートされる。
【0063】
1つの実施の形態においては、第1のコントローラは、第1のオペレーションモードにおいて装置を動作させるように構成されており、また第2のコントローラは、第2のオペレーションモードにおいて装置を動作させるように構成されている。
【0064】
第1のオペレーションを、車両の通常オペレーションによって、つまり、自動車の一般的な運転によって特徴付けることができる。第2のオペレーションモードは、車両の基本的な安全性に関する更なる機能を保証するが、機能性又は快適性は低下している緊急モードであって良い。
【0065】
1つの実施の形態においては、第1のオペレーションモードが第1のHW/SW構造においてセーフティ機能を実施し、また第2のオペレーションモードが第2のHW/SW構造においてセーフティ機能を実施する。
【0066】
2つのコントローラによって使用されるハードウェア(HW)は異なっていても良い。それら2つのコントローラは異なるCPU、周辺装置及び/又はメモリの異なるセットを使用することができる。また、異なるハードウェアに加えて、又はただ1つの相異点として、2つのコントローラにおいて実行されるソフトウェア(SW)が異なっていても良い。
【0067】
1つの実施の形態においては、デバイスが更に、第1のコントローラをクロック制御するための第1のクロックソースと、第2のコントローラをクロック制御するための第2のクロックソースと、を含んでいる。
【0068】
異なるクロック信号によって、異なる電力消費量及び異なる性能を達成することができる。1つの例においては、第1のコントローラ又はメインコントローラが、第2のコントローラ又はバックアップコントローラよりも高いクロックレートでもって、全体としてより高い性能で動作する。
【0069】
1つの実施の形態においては、第1のコントローラが、第1のクロック周波数で動作するように構成されており、また第2のコントローラが、第2のクロック周波数で動作するように構成されている。
【0070】
1つの実施の形態においては、第1のコントローラが、第1のパワードメインにおいて動作するように構成されており、また第2のコントローラが、第2のパワードメインにおいて動作するように構成されている。
【0071】
1つの実施の形態においては、制御ユニットが、第1のパワードメインにおいて実施されている第1のサブ回路と、第2のパワードメインにおいて実施されている第2のサブ回路と、を含んでいる。
【0072】
1つの実施の形態においては、第1のコントローラが、周辺装置の第1のセットを用いて動作するように構成されており、また第2のコントローラが、周辺装置の第2のセットを用いて動作するように構成されている。
【0073】
1つの実施の形態においては、周辺装置の第2のセットにおける周辺装置の数は、周辺装置の第1のセットにおける周辺装置の数よりも少ない。
【0074】
1つの実施の形態においては、制御ユニットが、第1の制御信号を記憶するように構成されている。
【0075】
車両の装置を動作させるための方法が提供される。この方法は、第1のコントローラによって制御信号を生成し、第1のオペレーションモードにおいて装置を動作させるステップを含んでいる。この方法では続いて、制御ユニットによって制御信号が評価されて評価結果が提供され、評価結果に応じて、装置の動作は第2のコントローラによって引き継がれる。
【0076】
第1のモードにおいては、第1のコントローラが、即ちメインコントローラが、装置を更に動作させた場合に問題があることを示唆する警告信号を生成することができる。装置は車両のセーフティクリティカルな部分、例えば電動ブレーキ又は電動ステアリングシステムであって良い。生成された警告信号を、セーフティ制御ユニットによって評価し、装置は第2のコントローラによって、即ちバックアップコントローラによって動作及び制御された方が良いか否かを決定することができる。
【0077】
1つの実施の形態においては、本方法において使用される装置がセーフティ機能を実施するように構成されている。
【0078】
1つの実施の形態においては、第2のコントローラが、第1のコントローラとは異なるアーキテクチャで実施されている。
【0079】
1つの実施の形態においては、第1のコントローラ及び第2のコントローラが、別個のパワードメインにおいて動作するように構成されている。
【0080】
システムが提供される。このシステムは、車両の装置を動作させる第1のコントローラを含んでおり、装置はセーフティ機能を実施するように構成されている。システムは更に、装置を動作させるための第2のコントローラと、第1のコントローラ及び第2のコントローラを制御するように構成されている制御ユニットと、を含んでおり、第1のコントローラは第1のダイに構成されており、第2のコントローラは第2のダイに構成されている。
【0081】
第1のダイを特定のCMOS半導体技術で製造することができ、その一方で第2のダイを、第1のダイで使用されるCMOS技術とは異なる技術で製造することができる。2つのダイは、それら2つのダイをインタフェースにより接続するためのパッドを提供することができる。2つのダイのパッドを、ワイヤボンディング技術又はフリップチップ技術を使用して相互に接続することができる。
【0082】
1つの実施の形態においては、第1のダイ及び第2のダイが1つの共通のパッケージに構成されている。
【0083】
パッケージは、MQFP,TQFPであっても良いし、BGA(Ball Grid Arrays)のためのパッケージであっても良い。システムの異なる部分を、2つのコントローラのうちの一方と共に実施することができる。別の例では、制御ユニットを第3のダイに構成することができ、その場合、第3のダイを第1のダイ及び第2のダイと同一の技術で製造しても良いし、異なる技術で製造しても良い。
【0084】
別のシステムが提供される。このシステムは、車両の装置を動作させる第1のコントローラと、装置を動作させる第2のコントローラと、を含んでおり、装置はセーフティ機能を実施するように構成されている。システムは更に、第1のコントローラ及び第2のコントローラを制御するための制御ユニットを含んでおり、第1のコントローラ及び第2のコントローラは1つのダイに構成されている。
【0085】
1つ又は複数の例においては、本明細書において記載した自動車のセーフティ機能を、少なくとも部分的にハードウェアで、例えば特定のハードウェアコンポーネント又はプロセッサで実施することができる。より一般的には、種々の技術をハードウェア、プロセッサ、ソフトウェア、ファームウェア又はそれらの任意の組み合わせで実施することができる。
【0086】
ソフトウェアで実施される場合、セーフティ機能をコンピュータ読み出し可能媒体に記憶することができるか、又は、コンピュータ読み出し可能媒体における1つ又は複数の命令又はコードを伝送し、ハードウェアベースの処理ユニットによって実行することができる。コンピュータ読み出し可能媒体は、有形の媒体、例えばデータ記憶媒体に対応するコンピュータ読み出し可能な記憶媒体を含むことができるか、又は、例えば通信プロトコルに準拠してある場所から別の場所へのコンピュータプログラムの伝送を容易にする任意の媒体を含めた通信媒体を含むことができる。
【0087】
データ記憶媒体は、1つ又は複数のコンピュータによって、又は、1つ又は複数のプロセッサによって、本明細書において説明した種々の技術を実施するための命令、コード及び/又はデータ構造を検索するためにアクセスすることができる、利用可能なあらゆる媒体であって良い。コンピュータプログラム製品はコンピュータ読み出し可能媒体を含むことができる。
【0088】
本明細書において開示した技術を実施するように構成されているデバイスの機能的な態様を強調するために、本明細書において種々のコンポーネント、モジュール又はユニットを説明したが、それらを異なるハードウェアユニットで実現することは必ずしも要求されない。むしろ、上記において説明したように、種々のユニットを、適切なソフトウェア及び/又はファームウェアと共に、上記において説明したような1つ又は複数のプロセッサを含めて、単一のハードウェアにおいて組み合わせることができるか、又は、相互的に動作する複数のハードウェアユニットの集合体によって提供することができる。
【0089】
本発明の実施の形態の種々の例を説明したが、当業者であれば、本発明の精神及び範囲から逸脱することなく、本発明の利点の一部を達成するであろう種々の変更及び修正を行えることが分かる。当業者には自明であるように、同一の機能を実行するその他のコンポーネントを適切に置換することができる。ある特定の図面を参照しながら説明した種々の特徴を、その他の図面の特徴と組み合わせても良いことを言及しておく。これはそのような組み合わせが明示的に記載されていない場合であっても該当する。更に、本発明の方法を、適切なプロセッサ命令を使用して、あらゆる全てのソフトウェアインプリメンテーションにおいて達成することができるか、又は、同一の結果を達成するために、ハードウェアロジックとソフトウェアロジックの組み合わせを使用するハイブリッド型のインプリメンテーションにおいて達成することができる。本発明のコンセプトに関するそのような変更は、添付の特許請求の範囲によってカバーされることが意図されている。