IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > Infineon Technologies AG

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ インフィネオン テクノロジーズ アクチエンゲゼルシャフトの特許一覧

<>
  • 特許-アラーム信号を処理する方法および装置 図1
  • 特許-アラーム信号を処理する方法および装置 図2A
  • 特許-アラーム信号を処理する方法および装置 図2B
  • 特許-アラーム信号を処理する方法および装置 図3
  • 特許-アラーム信号を処理する方法および装置 図4
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-05-17
(45)【発行日】2024-05-27
(54)【発明の名称】アラーム信号を処理する方法および装置
(51)【国際特許分類】
   G06F 11/07 20060101AFI20240520BHJP
【FI】
G06F11/07 181
G06F11/07 140R
【請求項の数】 18
【外国語出願】
(21)【出願番号】P 2018235710
(22)【出願日】2018-12-17
(65)【公開番号】P2019109893
(43)【公開日】2019-07-04
【審査請求日】2021-10-26
【審判番号】
【審判請求日】2023-05-16
(31)【優先権主張番号】10 2017 011 685.7
(32)【優先日】2017-12-18
(33)【優先権主張国・地域又は機関】DE
(73)【特許権者】
【識別番号】599158797
【氏名又は名称】インフィニオン テクノロジーズ アクチエンゲゼルシャフト
【氏名又は名称原語表記】Infineon Technologies AG
【住所又は居所原語表記】Am Campeon 1-15, 85579 Neubiberg, Germany
(74)【代理人】
【識別番号】100114890
【弁理士】
【氏名又は名称】アインゼル・フェリックス=ラインハルト
(74)【代理人】
【識別番号】100098501
【弁理士】
【氏名又は名称】森田 拓
(74)【代理人】
【識別番号】100116403
【弁理士】
【氏名又は名称】前川 純一
(74)【代理人】
【識別番号】100134315
【弁理士】
【氏名又は名称】永島 秀郎
(74)【代理人】
【識別番号】100162880
【弁理士】
【氏名又は名称】上島 類
(72)【発明者】
【氏名】ウラディーミル リトフチェンコ
【合議体】
【審判長】吉田 美彦
【審判官】須田 勝巳
【審判官】山崎 慎一
(56)【参考文献】
【文献】特開2004-127989(JP,A)
【文献】特開平03-179826(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 11/07
G06F 11/28-11/36
(57)【特許請求の範囲】
【請求項1】
アラーム信号を処理する方法であって、前記方法は、
n個のアラーム信号(101a,101b,...,101n)から決定されるk個の処理済みアラーム信号(201a,201b,...,201k)を予め定義されたアラームパターンと比較するステップであって、kは、n以下であるステップと、
前記処理済みアラーム信号が前記予め定義されたアラームパターンと合致しているならば、前記予め定義されたアラームパターンと合致しているアラーム信号に中間リアクション信号(302a,302b,...,302l)を割り当て、前記割り当てた中間リアクション信号(302a,302b,...,302l)を送出するステップと、
前記中間リアクション信号の有意性をチェックするステップと、
特定のアラームシーケンスが所定のテスト時間後にもまだ生じているときにはじめて、少なくとも1つのリアクション信号(102a,102b,...,102m)を生成するステップと、
読み込まれたアラームが所定のテスト時間後にはもはや生じていない場合、前記リアクション信号を生成しないステップと、
を含む方法。
【請求項2】
前記アラーム信号(101a,101b,...,101n)を、1つまたは複数のアラームタイプに割り当て、前記処理済みアラーム信号の決定は、前記アラームタイプに基づく、
請求項1記載の方法。
【請求項3】
前記予め定義されたアラームパターンは、処理済みアラーム信号の時間順序を含む、
請求項1または2記載の方法。
【請求項4】
前記処理済みアラーム信号を、1つの時間窓内で前記アラームパターンと比較する、
請求項1から3までのいずれか1項記載の方法。
【請求項5】
前記アラームパターンは、メモリ(212)に記憶されている、
請求項1から4までのいずれか1項記載の方法。
【請求項6】
前記メモリ内に多数のアラームパターンが記憶されており、前記記憶されている多数のアラームパターンから前記アラームパターンを選択する、
請求項5記載の方法。
【請求項7】
前記予め定義されたアラームパターンは、アラームの順序付きリストを含み、前記処理済みアラーム信号と前記予め定義されたアラームパターンのアラームの前記順序付きリストとが順序正しく一致したときに、前記少なくとも1つのリアクション信号が送出される、
請求項1から6までのいずれか1項記載の方法。
【請求項8】
前記少なくとも1つのリアクション信号は、以下のグループすなわち、割り込み、ノンマスカブル割り込み(NMI)、CPUリセット、アプリケーションリセット、非常停止、または、パワーオンリセット(POR)のうちの1つである、
請求項1から7までのいずれか1項記載の方法。
【請求項9】
アラーム信号を処理する装置であって、前記装置は、
n個のアラーム信号(101a,101b,...,101n)から、k個の処理済みアラーム信号(201a,201b,...,201k)を決定し、ここで、kは、n以下であり、前記処理済みアラーム信号を予め定義されたアラームパターンと比較するように構成された分析ユニット(210)と、
前記処理済みアラーム信号が前記予め定義されたアラームパターンと合致しているならば、前記予め定義されたアラームパターンと合致しているアラーム信号に中間リアクション信号(302a,302b,...,302l)を割り当て、前記割り当てた中間リアクション信号(302a,302b,...,302l)を生成するように構成されたリアクションユニット(203)と、
前記中間リアクション信号の有意性をチェックするように構成されたアラーム復旧ユニット(303b)と、
を含み、
前記アラーム復旧ユニットは、
特定のアラームシーケンスが所定のテスト時間後にもまだ生じているときにはじめて、少なくとも1つのリアクション信号(102a,102b,...,102m)を生成し、
読み込まれたアラームが所定のテスト時間後にはもはや生じていない場合、前記リアクション信号を生成しない、
ように構成される、
装置。
【請求項10】
前記分析ユニット(210)は、前記処理済みアラーム信号を予め定義された1つの時間窓内で比較するようにさらに構成されている、
請求項9記載の装置。
【請求項11】
前記分析ユニット(210)は、前記n個のアラーム信号から前記処理済みアラーム信号(201a,201b,...,201k)を決定する識別ユニット(201)と、前記処理済みアラーム信号を前記予め定義されたアラームパターンと比較するように構成された比較ユニット(202)と、を含む、
請求項9または10記載の装置。
【請求項12】
前記予め定義されたアラームパターンを記憶するメモリ(212)をさらに含む、
請求項9から11までのいずれか1項記載の装置。
【請求項13】
前記識別ユニット(201)は、前記n個のアラーム信号をフィルタリングし、フィルタリングされた前記アラーム信号を前記処理済みアラーム信号(201a,201b,...,201k)として前記比較ユニット(202)へ供給するようにさらに構成されている、
請求項11記載の装置。
【請求項14】
前記識別ユニット(201)は、前記n個のアラーム信号をフィルタリングするために有限状態マシンを含む、
請求項11記載の装置。
【請求項15】
前記少なくとも1つのリアクション信号は、以下のグループすなわち、割り込み、ノンマスカブル割り込み(NMI)、CPUリセット、アプリケーションリセット、または、パワーオンリセット(POR)のうちの1つである、
請求項9から14までのいずれか1項記載の装置。
【請求項16】
前記装置は、少なくとも1つの外部インタフェースをさらに有しており、前記少なくとも1つのリアクション信号は、前記少なくとも1つの外部インタフェースに転送される、
請求項9から15までのいずれか1項記載の装置。
【請求項17】
実行時に方法を実施するように構成された命令を含むマイクロプロセッサであって、前記方法は、
n個のアラーム信号(101a,101b,...,101n)から決定されるk個の処理済みアラーム信号(201a,201b,...,201k)を予め定義されたアラームパターンと比較するステップであって、kは、n以下であるステップと、
前記処理済みアラーム信号が前記予め定義されたアラームパターンと合致しているならば、前記予め定義されたアラームパターンと合致しているアラーム信号に中間リアクション信号(302a,302b,...,302l)を割り当て、前記割り当てた中間リアクション信号(302a,302b,...,302l)を送出するステップと、
前記中間リアクション信号の有意性をチェックするステップと、
特定のアラームシーケンスが所定のテスト時間後にもまだ生じているときにはじめて、少なくとも1つのリアクション信号(102a,102b,...,102m)を生成するステップと、
読み込まれたアラームが所定のテスト時間後にはもはや生じていない場合、前記リアクション信号を生成しないステップと、
を含むマイクロプロセッサ。
【請求項18】
前記マイクロプロセッサは、モジュール内に存在する、
請求項17に記載のマイクロプロセッサ。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、アラーム信号例えば自動車での適用においてエラー発生時に生じるようなアラーム信号を処理する方法および装置に関する。その際、特にアラーム信号がマイクロコントローラによって処理される場合に、効率的かつ機能上より確実な信号処理のための要求に注意を払わなければならない。
【背景技術】
【0002】
最近の自動車では、電気回路とソフトウェアとによって機能が実現されることがますます多くなってきている。例えば完全に電気的な操舵または完全に電気的な制動といった場合など、機械的な構造に頼ることのできない適用事例ではまさに、対応するシステムをより確実に機能させることが重要な特質である。対応するハードウェアまたはソフトウェアの構成要素の機能にエラーが識別されたならばただちに、より安全な動作を保証する目的で、もしくはそれぞれ規定された最小時間内に再び元の状態に復旧させる目的で、即座に反応しなければならない。
【0003】
ISO26262標準によれば、自動車の適用分野における機能安全が定義されている。機能安全の規準を満たすマイクロコントローラは、それらのマイクロコントローラにより制御されるシステムの誤動作を、またはマイクロコントローラの誤動作も識別し、それに対し適切に反応する目的で、それ相応のセーフティメカニズム(SM)を装備している。
【0004】
マイクロコントローラもしくはマイクロプロセッサに含まれるセーフティメカニズムは、識別されたエラーをマイクロコントローラ内部の中央エラー処理モジュールに伝達し、次いでこのモジュールは、示されたエラーを取り除くように、もしくはマイクロコントローラにより制御されるシステムが再びもっと安全な状態になるように、適切な反応をトリガする。
【0005】
このためマイクロコントローラ内部においてアラーム信号が評価され、この信号によってマイクロコントローラの特定の反応が引き起こされる。これらの反応は例えば、割り込みのトリガ、アプリケーションのリセットを含むことができ、またはマイクロコントローラのリセットもしくはマイクロコントローラの一部分例えばそのCPUのリセットも含むことができる。
【発明の概要】
【発明が解決しようとする課題】
【0006】
特に困難であるのは、複数のアラーム信号が次々と発生することであり、それらのアラーム信号は単独のアラームとしては状況次第ではクリティカルではなくても、それらがまとまって発生した場合には、重大なエラーを表すことになる。本発明の課題は、複数のアラームの発生を評価して、それに相応しい反応をトリガするかまたは阻止するようにした方法および装置を提供することにある。
【課題を解決するための手段】
【0007】
本発明の第1の実施形態は、アラーム信号を処理する方法に関するものであり、この方法は以下のステップを含む。すなわち、
複数のアラーム信号から決定可能な多数の選択アラーム信号を予め定義されたアラームパターンと比較するステップと、
選択アラーム信号が予め定義されたアラームパターンと合致しているならば、少なくとも1つのリアクション信号を送出するステップと、
を含む。
【0008】
本発明の第2の実施形態は、アラーム信号を処理する装置に関するものであり、この装置は、
多数のアラーム信号から、多数の選択アラーム信号を決定し、選択アラーム信号を予め定義されたアラームパターンと比較するように構成された分析ユニットと、
選択アラーム信号が予め定義されたアラームパターンと合致しているならば、少なくとも1つのリアクション信号を生成するように構成されたリアクションユニットと、
を含む。
【0009】
第3の実施形態は、本明細書で説明する方法を実施するように構成されたマイクロプロセッサに関する。
【0010】
第4の実施形態は、本明細書で説明する方法を実施するように構成されたマイクロプロセッサを含むデバイスに関する。
【図面の簡単な説明】
【0011】
図1】公知のアラーム信号処理システムを示す図である。
図2A】アラーム信号を識別および処理する第1の実施形態を示す図である。
図2B】アラーム信号を識別および処理する別の実施形態を示す図である。
図3】フィードバック経路を備えた1つの実施形態を示す図である。
図4】1つのフローチャートを示す図である。
【発明を実施するための形態】
【0012】
以下の詳細な説明では、本発明の開示の一部分を描いた添付の図面を参照するが、それらの図面には例示目的で特別な実施例が描かれており、それらの実施例によって本発明が具体例として実践に移される。自明のとおり、本発明の権利範囲を逸脱することなく、他の実施例を適用することができ、構造的な変更または他の変更を加えることができる。よって、以下の詳細な説明を限定的なものとして捉えてはならない。そうではなく本発明の権利範囲は、添付の特許請求の範囲によってのみ規定される。
【0013】
図1には、アラームソース101とアラームシンク103とを備えた公知のシステム100が示されている。アラームソース101もアラームシンク103も、マイクロプロセッサもしくはマイクロコントローラの一部分とすることができる。アラームソース101はアラーム信号101a,101b,...,101nを生成し、これらのアラーム信号によって、システム100の1つのエラー状態または複数のエラー状態が表される。したがってアラーム信号は、エラー識別のための信号(Failure Indication Signals)である。これらの信号は例えば、マイクロプロセッサのCPUにおいて実行されるソフトウェアによって適時にリセットされなかったウォッチドッグタイマによって、生成される可能性がある。
【0014】
図示されていない公知のシステムによれば、アラーム信号101a,101b,...,101nは、単独のアラームソースからではなく、複数のアラームソースから生成される。
【0015】
アラーム信号101a,101b,...,101nは、セーフティマネージメントユニット102(SMU)に供給される。セーフティマネージメントユニット102は、受信したアラーム信号を分析および処理して、リアクション信号102a,102b,...,102mを生成する。ただしリアクション信号の個数を、受信したアラーム信号の個数以下とすることができ、すなわちm≦nが成り立つ。アラームリアクション信号102a,102b,...,102mは例えば、リセット信号、割り込み信号、またはマイクロコントローラ外部においてアラームもしくはエラーを表すことができるように、マイクロコントローラの外部ピンに加えられる信号である。
【0016】
リアクション信号102a,102b,...,102mは、アラームシンク103に供給される。アラームシンク103を例えば、マイクロプロセッサの中央計算ユニット(CPU)、または同様にマイクロプロセッサ内部に配置されている割り込みルータ(IR)とすることができる。
【0017】
図2Aには、セーフティマネージメントユニット200の1つの実施形態が示されており、これは分析ユニット210とリアクションユニット203とから成る。分析ユニット210は、識別ユニット201と比較ユニット202とを含む。
【0018】
識別ユニット201は、到来したアラーム信号101a,101b,...,101nを識別し、多数のアラーム信号を読み込むように設計されている。つまりこの場合、2つまたはそれよりも多くのアラーム信号が、セーフティマネージメントユニット(SMU)に読み込まれる。アラーム信号を例えば、SMU200の外部に配置されたセーフティメカニズム(SM)から到来したものとすることができ、したがってそれらのセーフティメカニズム(SM)はアラームソースとして機能し、電子回路内において個々のSMに割り当てられた誤処理が識別されると、それぞれ1つのアラームをトリガする。それらのセーフティメカニズムを、マイクロコントローラの一部分とすることができる。
【0019】
図示されていない実施形態によれば、セーフティメカニズムをマイクロコントローラの外部に配置することもでき、例えば安全性にとって有意なパラメータを監視するセンサを含むことができる。
【0020】
セーフティメカニズム(SM)から発せられたアラーム信号は、それらのセーフティメカニズムに割り当てられたアラームタイプを有する。アラームタイプは、そのアラームタイプの予期されるリアクションによって決定される。したがってアラームタイプを、例えば「修正可能」または「修正不可能」とすることができる。修正可能なアラーム信号は、エラーの原因を取り除いてアラームの消去に至るリアクションをトリガすることができる。これに対し「修正不可能」というタイプのアラーム信号は、エラーの原因を取り除くことのできないリアクションをトリガすることができる。
【0021】
さらに別の例によれば、アラーム信号は、エラーの重大さを表すアラームタイプを有することができる。したがって例えばアラームタイプ「致命的」は、特に深刻なエラーが発生したことを表すことができる。アラームタイプに対するリアクションの割り当てはダイナミックであり、例えば必要とされるセーフティレベルに対する要求によって設定することができる。
【0022】
1つのSMのアラームは、常に同じアラームタイプを有することができる。さらに別の実施例によれば、1つのSMが、種々のアラームタイプを有する複数のアラームを生成することもできる。
【0023】
アラーム信号を例えば、SMUの外部に配置可能なシステムコントロールブロックによって生成することができ、このシステムコントロールブロックは、例えばウォッチドッグタイマ(WDT)のタイムアウト、パワーオンリセット(POR)またはアプリケーションリセットを表すアラーム信号を生成する。アラーム信号は例えば、それらのアラーム信号に割り当てられたアラームの発生を、立ち上がり縁または立ち下がり縁によって表すディジタル信号である。SMUの考えられる1つの実施形態によれば、1000個までのアラーム信号が読み込まれる。
【0024】
識別ユニット201は、識別されたアラーム信号を評価するように構成されている。この評価の一部分は例えば、アラーム信号の優先順位付け、または識別された特定のアラーム信号の選択的な抑圧、である。このようにするならば例えば、特定のアラームタイプまたは特定のアラームソースのアラーム信号を抑圧することができる。抑圧されたアラーム信号は、それ以上は処理されず、アラームのリアクションもしくはリアクション信号の送出には至らない。
【0025】
識別ユニット201はさらに、特定のアラーム信号もしくはアラームタイプを、あとで行われる比較から排除するように構成されている。この理由からフィルタリングを行うようにすることができ、このフィルタリングによって特定のアラームが選択されてから、アラームパターンとの比較が行われる。さらに別の実施例によれば、予め定義された特定の一連のアラームもしくはアラームシーケンスだけが選択されるように、すなわちそれだけが識別ユニットを通過するように、フィルタリングを行うことができる。
【0026】
識別ユニット201は、処理済みアラーム信号201a,201b,...,201kを生成する。ただし、処理済みアラーム信号の個数kは、識別されたアラーム信号の個数n以下である。
【0027】
処理済みアラーム信号は、メモリ212を含む比較ユニット202へ供給される。1つの実施形態によれば、予め定義された時間窓の間、処理済みアラーム信号201a,201b,...,201kが、メモリ212に記憶された予め定義されたアラーム信号のパターンと比較される、もしくは予め定義されたアラームパターンと比較される。処理済みアラーム信号が、予め定義されたアラームパターンのうちの1つまたは複数に合致しているならば、組み合わせアラーム信号202a,202b,...,202vが生成される。
【0028】
組み合わせアラーム信号202a,202b,...,202vを、選択アラーム信号から成るグループからも形成することができる。例えば、選択アラーム信号がアラームA,D,Eを含み、アラームパターンがシーケンス”D-E”から成る場合、組み合わせアラーム信号202aは正確にこのシーケンスを表現することができる。ここで述べておくと、このグループは、時間順序によって決められていない複数のアラーム信号を含むことができるし、それらの時間順序によって定義された複数のアラーム信号を含むこともできる。組み合わせアラーム信号202a,202b,...,202vの個数を、選択アラーム信号の個数よりも少なくすることができる。
【0029】
さらに別の実施形態によれば、時間窓を任意にコンフィギュレーションすることができ、すなわち監視されるアラームとアラームパターンとの比較のために有意な時間を調整可能である。この目的で時間窓のサイズを、レジスタまたは他のメモリに格納することができ、もしくはプログラミングすることができる。予め定義された時間窓を、例えば10msとすることができる。ただし、時間窓が他の任意の持続時間を有していてもよい。一般に時間窓は、所望の安全レベル(機能安全レベルfunctional safety level)または他のシステム要求によって設定される。1つの実施形態によれば、時間窓を、比較を制約することにはならないサイズに選定することもできる。さらに別の実施形態によれば、時間窓に対する制約を完全に無効にすることもできる。
【0030】
アラーム信号のパターンを、生じる可能性のある複数のアラーム信号から成るグループを選択することによって、決定することができる。この場合、予め定義された時間窓中の時間順序を、重要ではないとすることができる。さらに別の実施形態によれば、アラーム信号の特定の時間順序によってアラームパターンを定義することができる。
【0031】
例えば3つのアラーム信号A,B,Cが有意であるならば、A,B,Cから成るグループだけを含む第1のパターンM1={A,B,C}を記憶させておくことができる。この場合、アラームシーケンス”A-C-B”であるならば、パターンM1に合致することになる。同様にアラームシーケンス”B-C-A”であるならば、パターンM1に合致することになる。
【0032】
さらに別の実施形態によれば、アラームパターンは、複数のアラーム信号から成るグループによってだけでなく、それらの順番によっても定義される。例えば、M2={B-C-A}によって定義された第2のパターンが記憶されている場合、アラームシーケンス”A-B-C”ではなく、アラームシーケンス”B-C-A”そのものだけがパターンに合致することになる。
【0033】
さらに別の実施形態によれば、コンフィギュレーション可能な期間内に相前後して例えばアラームA,B,Cが読み込まれ、ここでアラームAを第1のタイプのアラーム(例えば修正可能なWDTアラーム)とすることができ、BもCも第2のタイプのアラームとすることができる。この場合であると、アラームパターンもしくは生じる可能性のある複数のアラーム信号から成る予め定義されたセットによって、アラームA,B,Cの発生を任意の順番で定義することができる。つまりこのことは、アラーム信号シーケンス”A-B-C”もアラーム信号シーケンス”B-A-C”も、またはこれら3つのアラームのさらに別のいかなる組み合わせであっても、予め定義されたパターンに合致する、ということを意味する。
【0034】
さらに別の実施形態によれば、メモリ212は複数のアラームパターンを含んでおり、これらのアラームパターンには、複数の特定のアラームタイプのグループまたは複数のアラームタイプのシーケンス、または特定のアラーム信号またはアラームタイプのグループとシーケンスとの組み合わせが含まれている。
【0035】
予め定義された時間窓内において、予め定義されて記憶されたアラームパターンのうちの1つに合致する複数のアラーム信号が識別されたならば、それに応じて組み合わせられたアラーム信号202a,202b,...,202vが送出される。これに対し、予め定義された時間窓内で、複数のパターンのうちの1つに合致する複数のアラーム信号またはアラームタイプが識別されなかったならば、割り当てられた組み合わせアラーム信号は送出されない。
【0036】
組み合わせアラーム信号202a,202b,...,202vは、アラームリアクションユニット203に供給される。このユニットは例えばリアクションマトリックスによって実現され、このマトリックスは、複数の組み合わせアラーム信号に1つまたは複数のリアクション信号102a,102b,...,102mを割り当て、それらの信号を送出する。これらのアラームリアクション信号102a,102b,...,102mを例えば、やはりマイクロコントローラの一部であるCPUと結び付けられた1つまたは複数のCPUリセット信号とすることができる。
【0037】
さらに別の例によれば、リアクション信号を、やはりマイクロコントローラの一部である割り込みルータと結び付けられた割り込み信号とすることもできる。さらに別の例によれば、リアクション信号を、任意のトリガ信号とすることができ、またはマイクロコントローラの外部ピンに向けて供給される信号とすることもできる。
【0038】
図2Bには、セーフティマネージメントユニットのさらに別の実施形態が示されている。この場合、識別ユニット201を、状態マシン(FSM)と処理ユニット(プロセッシングロジックProcessing Logic)とによって形成することができる。FSMは例えば、状態IDLE,START,RUN,FAULTを有することができる。
【0039】
メモリ212をレジスタ213によって形成することができる。これらのレジスタは例えば、32ビット幅を有することができる。1つの実施形態によれば、アラームタイプごとに1つのレジスタが割り当てられている。例えばアラームタイプ「修正可能」に、これらのレジスタのうち1つのレジスタにおいて特定のビットを割り当てることができる。この場合には、このタイプのアラーム例えばウォッチドッグタイマ(WDT)からのアラームが識別されて、識別ユニット201により例えば信号201aとして送出されると、割り当てられたレジスタにおいて対応するビットが1にセットされる。
【0040】
アラームリアクションユニット203は、1つの実施形態によれば「ルックアップテーブル」(LUT)により実現される。このLUTには、アラームパターンと、それらのアラームパターンに割り当てられたリアクション信号とがエントリされている。したがって例えば、「致命的」アラームに割り込みリセット信号を割り当てておくことができ、次いでこの信号はリアクション信号102aとして送出される。
【0041】
図3には、セーフティマネージメントユニット(SMU)に関するさらに別の実施形態が示されている。この実施例によれば、SMUは、リアクションマトリックス303aとアラーム復旧ユニット303bとを含むアラームリアクションユニット303を有している。さらにSMUには、アラームグルーピングユニット304を有する比較ユニット302が含まれている。
【0042】
アラームグルーピングユニット304は、メモリ312内のエントリに応じて、マークされたもしくはマスクされたアラーム信号を読み出し、次いで読み出されたアラーム信号をグループにまとめるように構成されている。アラームグルーピングユニット内部において、複数のアラーム信号から形成されたグループをアラームパターンと比較することができる。例えば、アラームの順序もしくはアラームのシーケンスによっても決められている可能性のある1つのグループが、格納されているアラームパターンと合致しているならば、アラームグルーピングユニット304によって相応に個数が低減されたアラーム信号が、リアクションマトリックス303aに送出される。
【0043】
リアクションマトリックス303aにおいて、アラームパターンと合致しているアラーム信号に、中間リアクション信号302a,302b,...,302lが割り当てられる。これらの信号によって、実施すべき可能なシステムリアクションを制御することができる。そのようなリアクションには例えば、アプリケーションリセットまたはノンマスカブル割り込み(NMI)のトリガが属する。
【0044】
アラーム復旧ユニット303bは、リアクションマトリックス303aから発せられた中間リアクション信号302a,302b,...,302lを、それらの有意性についてチェックするように構成されている。この有意性を、識別ユニット201によりアラーム信号が識別されてから特定の時間が経過していること、したがって対応するアラームまたはアラーム信号のグループもしくはアラームシーケンスがもはや有意ではないこと、によって定義しておくことができる。この有意性にとって重要な期間を、例えば30msよりも前のアラーム信号によってもリアクション信号102a,102b,...,102mの送出をもはや生じさせないように、予め定義しておくことができる。フィードバック経路305を介して、識別ユニット201内部の処理ロジックがこの対応する情報を伝達する。
【0045】
1つの実施形態によれば、特定のアラームシーケンスが所定のチェック時間後にもまだ生じているときにはじめて、リアクション信号が生成される。予め定義されたアラームパターンとの比較が行われた後、例えば、読み込まれたアラームが所定のチェック時間後にはもはや生じていない、ということが示されたならば、リアクション信号の生成が中止される。
【0046】
さらに別の実施形態によれば、アラームをトリガするモジュールすなわちセーフティメカニズム(例えばシステムコントロールブロック)がアラームを撤回した場合、リアクション信号は生成されない。このケースでは、あるアラームもしくはあるアラームグループの最初の発生と、対応するアラームもしくは対応するアラームグループの削除とによって、チェック時間が決定されている。
【0047】
図4には、特に自動車システムにおけるエラーに対するリアクションとして、リアクション信号を生成するための既述の方法の基本的なステップが示されている。特定の状況において発生すると、特にクリティカルな状態を引き起こすことになるそれらのエラーによって、アラーム信号が生成される。
【0048】
ステップ401によって、アラーム信号の読み込みが始められる。これらのアラーム信号はシステムの誤動作を表しており、例えば自動車におけるセンサから、またはマイクロコントローラ内部の構成要素からも、生成される可能性がある。これには、例えばロックステップメカニズムによって識別されるソフトウェアエラーも属する。
【0049】
ステップ402において、読み込まれた選択アラーム信号と予め定義されたアラームパターンとの比較が行われる。この場合、読み込まれたアラーム信号の個数と、比較に用いられるアラーム信号の個数と、を異ならせることができる。つまり、読み込まれたアラーム信号すべてが、必ずしも比較に用いられるわけではない。もっと正確にいえば、読み込まれたアラーム信号のうち、比較のためには有意ではないアラーム信号が選択されている可能性がある。
【0050】
次いで、読み込まれた選択アラーム信号と1つまたは複数のアラームパターンとが一致したときに、ステップ403において1つまたは複数のリアクション信号が送出される。この場合、1つのリアクション信号をそのまま1つのアラームパターンに割り当てることができ、または1つのリアクション信号を複数のアラームパターンに割り当てることもできる。同様に1つのアラームパターンによって、複数の様々なリアクション信号を生じさせることもできる。
【0051】
アラームパターンを特に、発生したアラーム信号の特定の順序に合わせたものとすることができる。つまり、複数のアラームが特定の順番で発生したときにはじめて、個々のアラームは、もしくは複数のアラームから成るグループの発生も、場合によっては安全上クリティカルなものとなる。この順番を、有意のアラームパターンとして予め定義することができる。
【0052】
本明細書で提案した例を、特に以下の解決手段のうちの少なくとも1つに基づくものとすることができる。特に、望ましい成果を達成する目的であれば、以下の特徴の組み合わせを適用してもよい。なお、方法の特徴を、装置、機器またはシステムの(1つまたは複数の)任意の特徴と組み合わせてもよいし、またはその逆も可能である。
【0053】
この場合、アラーム信号を処理する方法が提案され、この方法は以下のステップを含む。すなわち、複数のアラーム信号から決定可能な多数の選択アラーム信号を予め定義されたアラームパターンと比較するステップと、選択アラーム信号が予め定義されたアラームパターンと合致しているならば、少なくとも1つのリアクション信号を送出するステップとを含む。
【0054】
1つの実施形態によれば、アラーム信号は、1つまたは複数のアラームタイプに割り当てられ、多数の選択アラーム信号の決定はアラームタイプに基づく。
【0055】
1つの実施形態によれば、予め定義されたアラームパターンは、選択アラーム信号の時間順序を含む。
【0056】
1つの実施形態によれば、選択アラーム信号は1つの時間窓内でアラームパターンと比較される。
【0057】
1つの実施形態によれば、アラームパターンはメモリに記憶される。
【0058】
1つの実施形態によれば、メモリ内に多数のアラームパターンが記憶されており、記憶された多数のアラームパターンから1つのアラームパターンが選択される。
【0059】
1つの実施形態によれば、リアクション信号の送出は組み合わせアラーム信号に基づき、それらの組み合わせアラーム信号は、予め定義されたアラームパターンに合致する選択アラーム信号のグループから形成される。
【0060】
1つの実施形態によれば、この方法は、
少なくとも1つのリアクション信号を、チェック時間だけ時間遅延されたリアクション信号と比較するステップ、および
少なくとも1つのリアクション信号と時間遅延されたリアクション信号とが一致しなければ、アラーム復旧を通報するステップ、
も含む。
【0061】
1つの実施形態によれば、少なくとも1つのリアクション信号は、以下のグループすなわち、割り込み、ノンマスカブル割り込み(NMI)、CPUリセット、アプリケーションリセット、非常停止(emergency stop)、またはパワーオンリセット(POR)、のうちの1つである。
【0062】
アラーム信号を処理する装置も提案される。この装置は分析ユニットを含み、このユニットは、多数のアラーム信号から多数の選択アラーム信号を決定し、選択アラーム信号を予め定義されたアラームパターンと比較するように構成されている。さらに分析ユニットはリアクションユニットを含み、このユニットは、選択アラーム信号が予め定義されたアラームパターンと合致しているならば、少なくとも1つのリアクション信号を生成するように構成されている。
【0063】
1つの実施形態によれば、分析ユニットはさらに、選択アラーム信号を予め定義された時間窓内で比較するように構成されている。
【0064】
1つの実施形態によれば、分析ユニットは、多数のアラーム信号から選択アラーム信号を決定する識別ユニットと、選択アラーム信号を予め定義されたアラームパターンと比較するように構成された比較ユニットとを含む。
【0065】
1つの実施形態によれば、この装置は、予め定義されたアラームパターンを記憶するためのメモリ(212)を含む。
【0066】
1つの実施形態によれば、識別ユニットは、多数のアラーム信号をフィルタリングし、フィルタリングされたアラーム信号を選択アラーム信号として比較ユニットへ供給するように構成されている。
【0067】
1つの実施形態によれば、識別ユニットは、多数のアラーム信号をフィルタリングするために状態マシンを含む。この状態マシン(FSM)を例えば、プログラミング可能に実装することができ、処理ロジックによって制御することができる。
【0068】
1つの実施形態によれば、少なくとも1つのリアクション信号は、以下のグループすなわち、割り込み、ノンマスカブル割り込み(NMI)、CPUリセット、アプリケーションリセット、またはパワーオンリセット(POR)、のうちの1つである。
【0069】
1つの実施形態によれば、この装置は、少なくとも1つの外部インタフェースを有しており、少なくとも1つのリアクション信号は、この少なくとも1つの外部インタフェースに加わる。
【0070】
1つの実施形態によれば、この装置はアラーム復旧ユニットを含み、このユニットは、少なくとも1つのリアクション信号を、チェック時間だけ時間遅延されたリアクション信号と比較するように構成されており、この場合、アラーム復旧ユニットは、少なくとも1つのリアクション信号と時間遅延されたリアクション信号とが一致しなければ、アラーム復旧を通報する手段を含む。
【0071】
1つの実施形態によれば、請求項1から9までのいずれか1項記載の方法を実施するように構成されたマイクロプロセッサが提案される。
【0072】
1つの実施形態によれば、既述の方法を実施するように構成されたマイクロプロセッサを備えたデバイスが提案される。
【0073】
これまで本発明の種々の例示的な実施形態を開示してきたけれども、当業者には自明のとおり、本発明の着想および範囲から逸脱することなく、本発明の利点のいくつかを達成するであろう種々の変更および修正を実施することができる。さらに通常の当業者であれば理解できるように、同じ機能を満たす別の構成要素を適宜、代替として用いることができる。さらにここで述べておきたいのは、明示的には記載しなかった場合であっても、ある特定の図面を参照しながら説明した特徴を、他の図面の特徴と組み合わせることができる、ということである。さらに本開示の方法を、適切なプロセッサ命令を使用しながら純然たるソフトウェア実装で達成してもよいし、または同じ結果を得るためにハードウェアロジックとソフトウェアロジックとの組み合わせを用いるハイブリッド型の実装で達成してもよい。本発明のコンセプトにおけるこの種の変更は、添付の請求項によってカバーされるものである。
図1
図2A
図2B
図3
図4
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.