多處理器系統(tǒng)的制作方法
【專利說明】多處理器系統(tǒng)
[0001]相關(guān)申請的交叉引用
[0002]于2014年2月18日提交的日本專利申請第2014-028319號的公開內(nèi)容(包括說明書、附圖和摘要)通過引用整體合并于此。
【背景技術(shù)】
[0003]本發(fā)明涉及一種具有多個(gè)處理器單元的多處理器系統(tǒng),并且涉及例如一種在應(yīng)用于需要其功能安全并且要考慮操作連續(xù)性的用于車輛的ECU(電子控制單元)、用于ECU的微處理器等時(shí)有效的技術(shù)。
[0004]連同近幾年汽車的電氣化一起,對于功能安全和操作連續(xù)性的要求也得到了增強(qiáng)。也就是說,存在對于諸如在控制器中產(chǎn)生異常之前執(zhí)行通信從而事先防止意外或者即使在出現(xiàn)異常時(shí)仍然能夠繼續(xù)操作從而使得汽車能夠移動(dòng)至修理廠之類的功能安全(故障保護(hù))的增強(qiáng)的要求。作為對應(yīng)于故障保護(hù)的技術(shù),提供了常規(guī)DLS(雙重鎖步)和TMR (三元多數(shù)決定規(guī)則)。在DLS中,例如,執(zhí)行相同的數(shù)據(jù)處理的兩個(gè)處理器單元被緊密耦合和操作,操作結(jié)果被逐一比較,數(shù)據(jù)處理在比較結(jié)果相同的情況下繼續(xù)進(jìn)行,在比較結(jié)果彼此不一致時(shí)進(jìn)行對異常的確定,并且因此執(zhí)行到備選設(shè)備的轉(zhuǎn)換(changeover)等。作為其中描述DLS的文獻(xiàn)的示例,存在日本專利特開第2013-242746號。
[0005]TMR是一種如下技術(shù):其緊密耦合三個(gè)處理器單元,對來自相應(yīng)處理器單元的逐一輸出之間進(jìn)行逐一比較,并且將多數(shù)決定規(guī)則應(yīng)用于非一致性,從而即使在一個(gè)處理器處于異常狀態(tài)時(shí)仍然使得非一致性可減輕。作為其中描述TMR的文獻(xiàn)的示例,存在日本專利特開第1996-278898號。
【發(fā)明內(nèi)容】
[0006]本發(fā)明人已經(jīng)檢查了微型計(jì)算機(jī)用于汽車用途等的功能安全。根據(jù)檢查,在其中通過緊密耦合多個(gè)處理器單元來實(shí)現(xiàn)TMR或DLS的常規(guī)情況下,故障保護(hù)模式是固定的。因此,很難實(shí)現(xiàn)可編程故障保護(hù)功能,諸如根據(jù)處理僅在所需要的處理器單元之間實(shí)現(xiàn)故障保護(hù)功能,或者僅對于所需要的數(shù)據(jù)處理執(zhí)行故障保護(hù)。另外,當(dāng)一個(gè)處理器單元出故障時(shí),也不可能通過使用另一處理器單元來重構(gòu)執(zhí)行TMR或DLS的一組處理器單元。如果試圖事先實(shí)現(xiàn)用于TMR或DLS的所有專用硬件,則電路規(guī)模增加并且變得太冗余從而使得成本增加。
[0007]而且,如下限制使得很難使處理器單元以最高速度來操作:其中當(dāng)在實(shí)現(xiàn)多個(gè)處理器單元中試圖滿足高性能實(shí)現(xiàn)和功能安全實(shí)現(xiàn)二者時(shí),處理器單元必須彼此被給予關(guān)系并且必須被緊密耦合。在通過連接處理器單元而實(shí)現(xiàn)的常規(guī)功能安全技術(shù)中,對于處理器單元的速度限制變得很大。
[0008]根據(jù)對本說明書和附圖的描述,本發(fā)明的其它問題和新的特征將變得清楚。
[0009]下面簡要地說明對本申請中所公開的實(shí)施例中的典型實(shí)施例的概述。
[0010]也就是說,當(dāng)使得多個(gè)處理器單元執(zhí)行相同的數(shù)據(jù)處理并且實(shí)現(xiàn)處理器單元的功能安全時(shí),采用總線接口單元,該總線接口單元執(zhí)行如下控制:在從處理器單元發(fā)出的訪問請求的非一致性已經(jīng)被確定時(shí),執(zhí)行安全措施處理;以及在這些訪問請求彼此一致時(shí),開始響應(yīng)于訪問請求的訪問處理。
[0011]下面簡要說明通過本申請中所公開的實(shí)施例中的典型實(shí)施例所獲得的效果。
[0012]也就是說,可以在沒有緊密耦合處理器單元的情況下實(shí)現(xiàn)多處理器系統(tǒng)的功能安全。
【附圖說明】
[0013]圖1是示出多處理器系統(tǒng)的第一示例的框圖;
[0014]圖2是在指定兩個(gè)處理器單元的同時(shí)執(zhí)行對應(yīng)于DLS的操作時(shí)的操作流程圖;
[0015]圖3是緊隨圖2的操作流程圖;
[0016]圖4是緊隨圖3的操作流程圖;
[0017]圖5是在指定三個(gè)處理器單元的同時(shí)執(zhí)行對應(yīng)于TMR的操作時(shí)的操作流程圖;
[0018]圖6是緊隨圖5的操作流程圖;
[0019]圖7是緊隨圖6的操作流程圖;
[0020]圖8是示出多處理器系統(tǒng)的第二示例的框圖;
[0021]圖9是示出多處理器系統(tǒng)MPS_2的故障保護(hù)控制操作的操作流程圖;
[0022]圖10是緊隨圖9的操作流程圖;
[0023]圖11是緊隨圖10的操作流程圖;
[0024]圖12是緊隨圖11的操作流程圖;
[0025]圖13是緊隨圖12的操作流程圖;
[0026]圖14是集合了圖1和圖8中所說明的多處理器系統(tǒng)的示意性說明圖;
[0027]圖15是示出將故障保護(hù)功能擴(kuò)展至總線從模塊側(cè)的應(yīng)用示例的示意性說明圖;
[0028]圖16是在原理上示出實(shí)施例中所說明的多處理器系統(tǒng)的故障保護(hù)功能的說明圖;以及
[0029]圖17是在原理上示出常規(guī)故障保護(hù)功能的說明圖。
【具體實(shí)施方式】
[0030]1.實(shí)施例的概述
[0031]首先,將說明對本申請中所公開的實(shí)施例的概述。在與實(shí)施例有關(guān)的概述說明中附圖中用括號被提及的附圖標(biāo)志僅例示該附圖標(biāo)志所附接至的組成部件的概念中所包括的實(shí)施例。
[0032][I]〈使用總線接口單元的處理器單元的故障保護(hù)功能>
[0033]多處理器系統(tǒng)(MPS_1,MPS_2和MPS_3)包括多個(gè)處理器單元(1,2和3)、可由處理器單元訪問的總線從模塊以及被布置在處理器單元與總線從模塊之間的總線接口單元(5,5A和5B)??偩€接□單元具有總線訪問仲裁電路(15A)和故障保護(hù)電路塊(70和70A),總線訪問仲裁電路(15A)仲裁來自處理器單元的總線訪問請求的競爭,故障保護(hù)電路塊(70和70A)用于實(shí)現(xiàn)處理器單元的功能安全。故障保護(hù)電路塊在規(guī)定的處理器單元并行地執(zhí)行相同的數(shù)據(jù)處理之后,基于對從多個(gè)處理器單元發(fā)出的訪問請求的非一致性的確定來執(zhí)行安全措施處理,并且基于從多個(gè)處理器單元發(fā)出的訪問請求的一致性來執(zhí)行對響應(yīng)于訪問請求而開始訪問處理的控制。
[0034]因此,可以在沒有緊密耦合處理器單元的情況下實(shí)現(xiàn)多處理器系統(tǒng)的功能安全。從系統(tǒng)的功能安全的觀點(diǎn)來看,在處理器單元側(cè)不需要基于硬件的措施,并且任意地設(shè)置存在/不存在通過故障保護(hù)功能檢查每個(gè)相關(guān)的處理器單元和待檢查的處理器單元的組合也變得可能。另外,處理器單元的操作速度不受故障保護(hù)功能的限制。如以上所描述的,增加了對故障保護(hù)功能的選擇的自由度并且可以降低在多處理器系統(tǒng)上實(shí)現(xiàn)故障保護(hù)功能的成本。
[0035][2]〈與DLS對應(yīng)的操作中的故障保護(hù)控制>
[0036]在第I項(xiàng)中,在其中當(dāng)?shù)谝辉L問請求從處理器單元中的一個(gè)處理器單元被發(fā)出時(shí)、與第一訪問請求一致的第二訪問請求可以通過由規(guī)定的兩個(gè)處理器單元并行執(zhí)行相同的數(shù)據(jù)處理而被確定的情況下,故障保護(hù)電路塊響應(yīng)于第一訪問請求和第二訪問請求執(zhí)行共同訪問(common access) (B_7和C-38)。在其中當(dāng)?shù)谝辉L問請求從處理器單元中的一個(gè)處理器單元被發(fā)出時(shí)、與第一訪問請求一致的第二訪問請求不能夠通過由規(guī)定的兩個(gè)處理器單元并行執(zhí)行相同的數(shù)據(jù)處理而被確定的情況下,故障保護(hù)電路塊暫停第一訪問請求的執(zhí)行(D-9和B-38),并且在其中第二訪問請求直到預(yù)定的時(shí)間消逝才能夠被確定的情況下,釋放對第一訪問請求的暫停并且響應(yīng)于第一訪問請求和第二訪問請求執(zhí)行共同訪問(B-7和C-38),并且在其中第二訪問請求直到預(yù)定的時(shí)間消逝也不能被確定的情況下,執(zhí)行與第一訪問請求相關(guān)的安全措施處理(D-10和B-39)。參考圖2至圖4以及圖9至圖10。
[0037]根據(jù)以上內(nèi)容,可以實(shí)現(xiàn)與DLS對應(yīng)的操作中的故障保護(hù)控制。
[0038][3] <訪問請求的取消>
[0039]在第2項(xiàng)中,與第一訪問請求相關(guān)的安全措施處理是取消第一訪問請求。
[0040]根據(jù)以上內(nèi)容,能夠在假定如下情況的同時(shí)執(zhí)行動(dòng)作:其中在僅使得異??偩€訪問無效時(shí)能夠暫停對異常的擴(kuò)展。
[0041][4]〈給處理器單元的操作停止指令>
[0042]在第2項(xiàng)中,與第一訪問請求相關(guān)的安全措施處理是給作為第一訪問請求的發(fā)出源的處理器單元的操作停止指令。
[0043]據(jù)此,能夠在假定如下情況的同時(shí)執(zhí)行動(dòng)作:其中必須阻止異??偩€訪問請求的發(fā)出源的操作貢獻(xiàn)。
[0044][5] <給處理器單元的重置處理指令>
[0045]在第2項(xiàng)中,與第一訪問請求相關(guān)的安全措施處理是給作為第一訪問請求的發(fā)出源的處理器單元的重置處理指令。
[0046]據(jù)此,能夠在假定如下情況的同時(shí)執(zhí)行動(dòng)作:其中必須重置異??偩€訪問請求的發(fā)出源并且必須繼續(xù)操作。
[0047][6]〈給多處理器系統(tǒng)的外部的錯(cuò)誤通知>
[0048]在第3項(xiàng)至第5項(xiàng)中的任一項(xiàng)中,與第一訪問請求相關(guān)的安全措施處理還包括給多處理器系統(tǒng)的外部的錯(cuò)誤通知。
[0049]據(jù)此,能夠在假定如下情況的同時(shí)執(zhí)行動(dòng)作:其中處理器單元的異常擴(kuò)展至多處理器系統(tǒng)的外部。
[0050][7] <與TMR對應(yīng)的操作中的故障保護(hù)控制的第一形式>
[0051]在第I項(xiàng)中,在其中當(dāng)?shù)谝辉L問請求從處理器單元中的一個(gè)處理器單元被發(fā)出時(shí)、與第一訪問請求一致的第二訪問請求和第三訪問請求能夠通過由規(guī)定的三個(gè)處理器單元并行執(zhí)行相同的數(shù)據(jù)處理而被確定的情況下,故障保護(hù)電路塊響應(yīng)于第一訪問請求、第二訪問請求和第三訪問請求執(zhí)行共同訪問(B-17)。在其中當(dāng)?shù)谝辉L問請求從處理器單元中的一個(gè)處理器單元被發(fā)出時(shí)、與第一訪問請求一致的第二訪問請求和第三訪問請求不能夠通過由規(guī)定的三個(gè)處理器單元并行執(zhí)行相同的數(shù)據(jù)處理而被確定的情況下,故障保護(hù)電路塊暫停第一訪問請求的執(zhí)行(B-16),并且在其中第二訪問請求和第三訪問請求二者直到預(yù)定的時(shí)間消逝才能夠被確定的情況下,故障保護(hù)電路塊釋放對第一訪問請求的暫停并且響應(yīng)于與一致性相關(guān)的訪問請求執(zhí)行共同訪問(B-17)。在其中第二訪問請求和第三訪問請求二者之一直到預(yù)定的時(shí)間消逝才能夠被確定的情況下,故障保護(hù)電路塊釋放對第一訪問請求的暫停并且響應(yīng)于與一致性相關(guān)的訪問請求執(zhí)行共同訪問(B-17),并且執(zhí)行與第二訪問請求或第三訪問請求中不能夠被確定的另一訪問請求相關(guān)的安全措施處理(D-19和E-20)。在其中第二訪問請求和第三訪問請求二者直到預(yù)定的時(shí)間消逝也不能被確定的情況下,故障保護(hù)電路塊執(zhí)行與第一訪問請求、第二訪問請求和第三訪問請求相關(guān)的安全措施處理(C-18)。參考圖5至圖7。
[0052]據(jù)此,可以實(shí)現(xiàn)與TMR對應(yīng)的操作中的故障保護(hù)控制。
[0053][8] <訪問請求的取消>
[0054]在第7項(xiàng)中,與訪問請求相關(guān)的安全措施處理是取消對應(yīng)的訪問請求。
[0055]根據(jù)以上內(nèi)容,能夠在假定如下情況的同時(shí)執(zhí)行動(dòng)作:其中在僅使得異常總線訪問無效時(shí)能夠暫停對異常的擴(kuò)展。
[0056][9] <給處理器單元的操作停止指令>
[0057]在第7項(xiàng)中,與訪問請求相關(guān)的安全措施處理是給作為對應(yīng)的訪問請求的發(fā)出源的處理器單元的操作停止指令。
[0058]根據(jù)以上內(nèi)容,能夠在假定如下情況的同時(shí)執(zhí)行動(dòng)作:其中必須阻止異??偩€訪問請求的發(fā)出源的操作貢獻(xiàn)。
[0059][10] <給處理器單元的重置處理指令>
[0060]在第7項(xiàng)中,與訪問請求相關(guān)的安全措施處理是給作為對應(yīng)的訪問請求的發(fā)出源的處理器單元的重置處理指令。
[0061]根據(jù)以上內(nèi)容,能夠在假定如下情況的同時(shí)執(zhí)行動(dòng)作:其中必須重置異??偩€訪問請求的發(fā)出源并且必須繼續(xù)操作。
[0062][11]〈給多處理器系統(tǒng)的外部的錯(cuò)誤通知>
[0063]在第8項(xiàng)至第10項(xiàng)中的任一項(xiàng)中,與訪問請求相關(guān)的安全措施處理還包括給多處理器系統(tǒng)的外部的錯(cuò)誤通知。
[0064]根據(jù)以上內(nèi)容,能夠在假定如下情況的同時(shí)執(zhí)行動(dòng)作:其中處理器單元的異常擴(kuò)展至多處理器系統(tǒng)的外部。
[0065][12]〈與TMR對應(yīng)的操作中的故障保護(hù)控制的第二形式>
[0066]在第I項(xiàng)中,在其中當(dāng)?shù)谝辉L問請求從處理器單元中的一個(gè)處理器單元被發(fā)出時(shí)、與第一訪問請求一致的第二訪問請求和第三訪問請求能夠通過由規(guī)定的三個(gè)處理器單元并行執(zhí)行相同的數(shù)據(jù)處理而被確定的情況下,故障保護(hù)電路塊響應(yīng)于第一訪問請求、第二訪問請求和第三訪問請求執(zhí)行共同訪問(C-38) ο在其中當(dāng)?shù)谝辉L問請求從處理器單元中的一個(gè)處理器單元被發(fā)出時(shí)、與第一訪問請求一致的第二訪問請求和第三訪問請求不能夠通過由規(guī)定的三個(gè)處理器單元并行執(zhí)行相同的數(shù)據(jù)處理而被確定的情況下,故障保護(hù)電路塊暫停第一訪問請求的執(zhí)行(B-38),并且在其中第二訪問請求和第三訪問請求直到第一時(shí)間消逝才能夠被確定(B-37)的情況下,故障保護(hù)電路塊釋放對第一訪問請求的暫停并且響應(yīng)于與一致性相關(guān)的訪問請求執(zhí)行共同訪問(C-38) ο在其