專利名稱：引擎控制模塊的雙核體系結(jié)構(gòu)的制作方法
技術(shù)領(lǐng)域：
本公開涉及控制系統(tǒng)，尤其涉及在CTX具安全關(guān)鍵(safety-critical)控制
系統(tǒng)中驗證控制信號的完整性。
背景技術(shù)：
本部分的陳述僅僅是提供與本發(fā)明公開內(nèi)容相關(guān)的背景信息，不構(gòu)成現(xiàn)有 技術(shù)。
在各種系統(tǒng)中，實施控制模塊以處理繊和提供控制信號。在汽車，卡車， 飛行器和其它交通工具中，控制模i央越來越多地j頓數(shù)字處理器控制安全關(guān)鍵
功能，如剎車禾吲擎控制。主處理器(primary processor)基于從各種傳繊 和監(jiān),作特性的其它設(shè)備接收的信號產(chǎn)生控制信號，上述操作特性例如但不 限于引,度，溫度，壓力和齒輪比。主處理器使用算術(shù)邏輯單元(ALU)處 理信號信息。如果有缺陷的ALU導(dǎo)致控制信號被損壞，那么主處理器可能會命 令系統(tǒng)采取錯誤的動作。
損壞的控制信號還會由與主處理器和/或控制模塊的其它部件相關(guān)的其它 故障和/或錯誤導(dǎo)致，所述其它故障和/或錯誤包括但不限于隨機存取存儲器 (RAM)的硬件故障，RAM翻存儲損壞，只讀存儲器(ROM)故障，編譯 器錯誤和/^f呈序計數(shù)器錯誤。主處理器的常規(guī)故障檢測和糾錯技術(shù)常常在控制 模塊上〗頓次處理器(secondary processor)。次處理器通常使用主處理器中的 腦來執(zhí)行故障檢測。

發(fā)明內(nèi)容
一種用于頓工具的控制模塊的控制系統(tǒng)，包含主處理器中的第一集成電 路(IC)楊1> (core), i織1成電路(IC)核心4頓中央處理單元(CPU) 產(chǎn)生第一控制信號。所駐處理器中的第二 IC核心j頓第二 CPU產(chǎn)生第二控 制信號，并基于所述第一控制信號和所述第二控制信號產(chǎn)生補救控制信號。
M這里的描述，更多領(lǐng)域的適用性將是顯而易見的。應(yīng)該理解這里的描 述和具體實例的目的只是為了說明，并非限制本發(fā)明公開的范圍。


這里的附圖描述的目的只是為了說明，并非以任何方式限制本發(fā)明公開的 范圍。
圖1是依照現(xiàn)有技術(shù)的示例性控制模塊的功能框圖； 圖2是依照本發(fā)明的示例性控制模塊的功能框亂以及 圖3是闡明本發(fā)明的控制系統(tǒng)的流程圖。
具體實施例方式
下面對優(yōu)選實施例的描述實際上只是示例性的，并不是以任何方式有意限 制本發(fā)明以及它的應(yīng)用或使用。為了清楚起見，附圖中將使用相同的附圖標(biāo)記 標(biāo)識相似的元件。如這里^ira的，術(shù)語模塊指專用集成電路(ASIC)，電子電路， 執(zhí)行一個或多個軟件或固件程序的處理器(共享，專用，或組)和存儲器，組 誠輯電路或提供所述功能的其它適當(dāng)部件。
現(xiàn)在參考圖1，示出了依照現(xiàn)有技術(shù)的示例性交通工具10。
工具10 可以包含汽車，卡車，飛行器或其它CT工具，但并不局限于此?？刂颇！姥?2 控制CT工具10的一個或多個功能，包括但不限于諸如剎車，轉(zhuǎn)向，危險控制， 禾口/或弓l擎操作的安全關(guān)鍵功能?？刂颇K12包含與次處理器16通信的主處理 器14，隨機存取存儲器(RAM) 18，糾錯編碼(ECC)模塊20，只讀存儲器 (ROM) 22，輸入和/或輸出(I/O)模塊24，以及其它部件26。
RAM 18存儲與3S1X具10控制相關(guān)的讀、寫和/或易失性控制M。RAM 18可以包括SDRAM，雙數(shù)據(jù)率(DDR) RAM，或其它類型的低延遲存儲器， 但并不局限于此。ROM22包括如閃存之類的非易失性存儲器，并用于存儲諸如 非易失控制代碼之類的密鑰數(shù)據(jù)。
ECC?！姥?0驗證從RAM 18禾口/或ROM 22接收的數(shù)據(jù)的完整性。ECC模 塊20監(jiān)控RAM 18和ROM22中各種形式的M損壞。當(dāng)M從RAM 18禾口/ 或ROM22傳輸?shù)街魈幚砥?4時，ECC模塊20可以自動糾正檢測到的故障。
I/O模塊24可以連接到交通工具10中的各種傳感模i央，并可以將模擬數(shù)據(jù) 轉(zhuǎn)換為數(shù)字信號以傳輸?shù)教幚砥?4。 I/O模塊24可以包含例如模數(shù)(A/D)轉(zhuǎn) 換器，脈寬調(diào)制(PWM)轉(zhuǎn)換器，雙端口存儲器，控制器局域網(wǎng)(CAN)總線， 本地互連網(wǎng)(LIN)總線，和/或〗柳串行外圍接口 (SPI)，頻率編碼，可擴展 一致性接口 (SCI)，禾口/或單邊半字節(jié)(single edge nibble)傳輸(SENT)介質(zhì) 的設(shè)備。也可以使用各種其它設(shè)備和/或方法來輸入傳mi數(shù)據(jù)。
布置在控制?！姥?2上的主處理器14執(zhí)行與交iTC具10的操作相關(guān)的M 禾口/或控制處理。主處理器14包含集成電路(IC)核心28和比較模塊30。 IC核 心也稱為核心邏輯芯片集，可以包含用于處理存儲器功能，指令高速緩沖存儲 器，總線接口邏輯，和數(shù)據(jù)路徑功能的控制器。IC核心28包括主娜路徑(數(shù) 據(jù)路徑)32，冗余 路徑34，和算術(shù)邏輯單元(ALU) 36。
數(shù)據(jù)路徑32對從控制模塊12中的各種其它部件(例如RAM 18和RAM22) 接收的數(shù)據(jù)執(zhí)行計算操作，并基于所述數(shù)據(jù)產(chǎn)生主控偉W言號38 (例如安全關(guān)鍵 控制信號)。冗余數(shù)據(jù)路徑34與數(shù)據(jù)路徑32并行處理數(shù)據(jù)，并產(chǎn)生冗余控制信 號40。冗余數(shù)據(jù)路徑34以與數(shù)據(jù)路徑32相似的方式執(zhí)行計算操作。
數(shù)據(jù)路徑32和冗余路徑34共享公共的ALU 36。 ALU 36對由數(shù)據(jù)路徑32 和數(shù)據(jù)路徑34接收的 執(zhí)行算術(shù)操作。更具體地，ALU36對所述M執(zhí)行 計算，以確定控制交MX具10的各種功能的主控制信號38和冗余控制信號40。
比較模塊30接收主控制信號38和冗余控制信號40。比較?！姥?0比較主 控制信號38和冗余控制信號40，以確定主控制信號38和冗余控制信號40是否 相等。如果主控制信號38和冗余控制信號40不相等，比較模塊30基于戰(zhàn)比 較產(chǎn)生補救(即校正)控制信號42。補救控制信號可以包含命令頓工具10 關(guān)閉引擎或限制引,度，但并不局限于此。
次處理器16 fflil使用處理器檢查模塊44對主處理器14執(zhí)行安全檢查。更 具體地，次處理器16確定ALU 36是否正常操作。處理器檢查模塊44 M31給 主處理器14傳辦巾子(seed)或預(yù)定信息，周期性地評估ALU 36的計算完整 性。主處理器14處理種子 ，并產(chǎn)生傳輸給處理器檢查模塊44盼'密鑰(key)" 數(shù)據(jù)?；谠撁荑€數(shù)據(jù)和存儲在處理器檢查模塊44中的預(yù)定響應(yīng)之間的比較， 處理器檢查模塊44確定ALU36是否正常運行。當(dāng)密鑰數(shù)據(jù)和預(yù)定響應(yīng)(即期 望結(jié)果)相等時，處理器檢查模塊44確定ALU36操作正常。換句話說，處理 器檢查模塊44執(zhí)行ALU36的診斷評估，從而確保正常操作。此外，處理 查模塊44可以確認(rèn)其它部件26的正常操作，所述其它部件可以包括但不限于 各種寄存器，程序計數(shù)器和高速緩沖存儲器。
控制模塊12的多個部分可以由一個或多個IC或芯片實現(xiàn)。例如，IC核 心28和比較模塊30可以由單個芯片實現(xiàn)。可選地，控制?！姥?2還可以被實現(xiàn) 為片上系統(tǒng)(SOC)。 依照本發(fā)明的控制系統(tǒng)包含具有第一 IC核心和第二 IC核心的處理器。每 個IC核'lM柳不同的ALU以產(chǎn)生獨立的安全關(guān)鍵控制信號，從而消除了與多 個數(shù)據(jù)路徑中共享的ALU相關(guān)的故障。此外，該控制系統(tǒng)在第一 IC核心和第 二 IC核心之間提供最佳的安全功能分配(portioning),并且消除了由次處理器 執(zhí)行的安全檢查的必要性，和消除了用于檢測和M^、 RAM損壞的雙存儲的必 要性。
現(xiàn)在參考圖2，其示出了實施傲照本發(fā)明的控制系統(tǒng)的示例性控制模塊50。 控制模塊50包含處理器52，處理器52包含第一 IC核心54和第二 IC核心56。
第一IC核心54包含數(shù)據(jù)路徑58和ALU 60。例如，ALU 60是計算算術(shù) 和邏輯操作的中央處理單元(CPU) 61中的部件。 路徑58對從控制模塊 50中的各種其它部件(如RAM18和RAM22)接收的 執(zhí)行計算操作，并 基于所述翻產(chǎn)生第一控制信號62(如安全關(guān)鍵控制信號)。CPU 61 (如ALU 60) 對由 路徑58單獨接收的 執(zhí)行算術(shù)操作。
第二IC核心56包含冗余數(shù)據(jù)路徑64， ALU 66(即包含ALU 66的CPU 67)， 和比較模塊68。冗余數(shù)據(jù)路徑64與第一 IC核心54的數(shù)據(jù)路徑58并^t也處理 數(shù)據(jù)。在當(dāng)前的實施方式中，冗余數(shù)據(jù)路徑64使用CPU67對該i^執(zhí)行算術(shù) 操作，并產(chǎn)生第二控制信號70。換句話說，第一IC核心54 (即數(shù)據(jù)路徑58) 和第二IC核心56 (即冗余f^路徑64)的每一個分別使用CPU 61和CPU 67 3te地處理M。因此，由第一IC54中有缺陷的CPU61部分地產(chǎn)生的被損壞 的第一控制信號將不會影響第二控制信號70。
在當(dāng)前的實施方式中，第一 IC核心54和第二 IC核心56獨立地處理 。 第二 IC楊。、56基于接收到第一 IC核心54已經(jīng)產(chǎn)生第一控制信號62的通知信 號而處理娜并產(chǎn)生第二控制信號70。在各種實施例中，第二IC核心56可以 等待校準(zhǔn)周期(calibrated period of time)以接收第一控制信號62。如果第二IC 核心56確定在所述周期內(nèi)沒有接收到第一控制信號62，則第二 IC核心56可以 啟動補救纟亍動72。
第二 IC核心56中的比較模塊68接收第一控制信號62和第二控偉帽號 70。比較模塊68比織一控制信號62和第二控制信號70，并確定第一控制信 號62和第二控制信號70是否相等。如果第一控制信號62和第二控制信號70 不相等，貝吡較模塊68基于所述比,生補救控制信號72。補救控制言號72可以包含但不限于命令數(shù)據(jù)路徑58和冗余 路徑64重新同步到預(yù)定狀態(tài)， 和/或執(zhí)行第一 IC核心54和第二 IC核心56的運行復(fù)位(running reset)。
控制模塊50傳輸?shù)谝豢刂菩盘?2和補救控制信號72至啦制模塊50和/ 或CTX具10中的各種部件。
在當(dāng)前的實施方式中，第一和第二 IC核心54和56共享公共的RAM 18 和ROM 22。 ECC模決20監(jiān)控控制模i央50中的RAM 18和ROM 22，以發(fā)現(xiàn) 娜錯誤(即由于硬件故障弓跑的M損壞)。第一核心54和第二核心56中的 至少一個對ECC模塊20的正確操作進(jìn)行測試。在各種實施例中，第一核心54 ，二核心56可以fflil在交通工具10的每個運轉(zhuǎn)循環(huán)(key cycle)中至少一次 地確保不存在ECC模塊20盼'睡眠故障(sleeping faults)"(即不單獨引起安全 關(guān)鍵錯誤的故障)，來驗證ECC模塊20的功能。ECC模塊20的睡目民故Ptt現(xiàn) 為ECC?！姥?0未能檢觀倒出故障的RAM或ROM單元。在隨后的RAM或 ROM故障時可能會發(fā)生危險。此外，如果第一IC核心54或第二IC核心56共 享公共時鐘，該時鐘(未顯示)的操作可以由第一IC核心54，第二IC核心56
和/或外部電路之一周期性地驗證。
現(xiàn)在參照圖3，將詳細(xì)描述一種用于操作該控制系統(tǒng)的示例性方法300。方 法300由步驟302開始。步驟304中，第一 IC核心54和第二 IC核心56接收 來自控制模塊50的於部件的數(shù)據(jù)。步驟306中，第一 IC核心54產(chǎn)生第一控 制信號62。步驟308中，第二IC核心56確定第二 IC核心56是否接收到從第
一 IC核心54傳輸?shù)耐ㄖ盘?。如果第?IC核心56沒有接收到該通知信號， 則第二 IC核心56返回步驟308。如果第二 IC楊1> 56接收到該通知信號，則第
二 IC核心56前進(jìn)到步驟310。
步驟310中，第二IC核心56產(chǎn)生第二控制信號70。步驟312中，第二IC 核心56確定第一控制信號62和第二控制信號70是否相等。如果第二 IC核心 56確定第一控制信號62和第二控制信號70不相等，方法300前進(jìn)到步驟314。 如果第二 IC楊1> 56確定第一控制信號62和第二控制信號相等，方法300前進(jìn) 到步驟316。步驟314中，第二IC核心56產(chǎn)生補救控制信號72。步驟316中， 方法300結(jié)束。
現(xiàn)在，本領(lǐng)域技術(shù)人員根據(jù)前面的描述可以理解，本發(fā)明的寬泛教導(dǎo)可以 各種形式實現(xiàn)。所以，雖然結(jié)合本發(fā)明的特定實例對本發(fā)明進(jìn)行了描述，但本
發(fā)明的真正范圍并不局限于此，因為根據(jù)對本發(fā)明附圖，說明書和所附權(quán)利要 求書的研究，其它修改對于本領(lǐng)域技術(shù)人員將是顯而易見的。
權(quán)利要求
1.一種用于交通工具的控制模塊的控制系統(tǒng)，包含主處理器中的第一集成電路(IC)核心，所述第一集成電路核心使用中央處理單元(CPU)產(chǎn)生第一控制信號；和所述主處理器中的第二IC核心，所述第二IC核心使用第二CPU產(chǎn)生第二控制信號并基于所述第一控制信號和所述第二控制信號產(chǎn)生補救控制信號。
2. 如權(quán)利要求1所述的系統(tǒng)，其中當(dāng)所述第二控制信號不等于所述第一控 制信號時，所述第二 ic核心產(chǎn)生所述補救控制信號。
3. 如權(quán)利要求1所述的系統(tǒng)，其中當(dāng)所述第二IC核心接收到來自所述第一 IC核心的通知信號時，所述第二 IC楊1>產(chǎn)生所述第二控制信號。
4. 如權(quán)利要求3所述的系統(tǒng)，其中當(dāng)所述第二 IC核心在校準(zhǔn)周期中未能接 收到所艦知信號時，所述第二 IC核心命令補救行動。
5. 如權(quán)利要求1所述的系統(tǒng)，其中所述補救控制信號包含用信號通知所述第一 IC核心的 路徑和所述第二 IC核心的冗余 路徑重新同步到預(yù)定狀態(tài)和用信號通知所述第一 IC核心和所述第二 IC核心的運行復(fù)位中的至少一 個。
6. 如權(quán)利要求1所述的系統(tǒng)，其中所述第一 IC核心和所述第二 IC核心獨 立處理數(shù)據(jù)。
7. 如權(quán)禾腰求1所述的系統(tǒng)，進(jìn)一步包含存儲器；和糾錯編碼(ECC)模塊，其中所述第一IC核心和所述第二IC核心共享 所述存儲器并且所述ECC模塊驗證所述存儲器。
8. 如權(quán)利要求7所述的系統(tǒng)，其中所述第一 IC核心和所述第二 IC核心之 一驗證所述(ECC)模塊的操作。
9. 一種操作^X具的控制模塊的方法，包含 4頓第一IC核心的第一CPU產(chǎn)生第一控制信號；以及 4頓第二IC核心的第二CPU產(chǎn)生第二控制信號；以及 基于所述第一控制信號和第二控制信號產(chǎn)生補救控制信號
10. 如權(quán)利要求9所述的方法，進(jìn)一步包含當(dāng)所述第二控制信號不等于所 述第一控制信號時，產(chǎn)生所述補救控制信號。
11. 如權(quán)利要求9所述的方法，進(jìn)一步包含當(dāng)所述第二 IC核心接收到來 自所述第一 IC核心的通知信號時，產(chǎn)生所述第二控制信號。
12. 如權(quán)利要求11所述的方法，進(jìn)一步包含當(dāng)所述第二IC核心在校準(zhǔn)周 期中未能接收到所M知信號時，命令補救fi^力。
13. 如權(quán)利要求9所述的方法，其中所述補救控制信號包含用信號通知所 述第一 IC核心的 路徑和所述第二 IC核心的冗余數(shù)據(jù)路徑重新同步到預(yù)定狀態(tài)和用信號通知所述第一 ic核心和所述第二 IC核心的運行復(fù)位中的至少一個。
14. 如權(quán)利要求9所述的方法，其中所述第一 IC核心和所述第二 IC核心獨 立處理數(shù)據(jù)。
15. 如權(quán)利要求1所述的方法，其中所述第一 IC核心和所述第二 IC核心之 一驗證所，制模塊中的糾錯編碼(ECC)模塊的操作。
全文摘要
本發(fā)明涉及引擎控制模塊的雙核體系結(jié)構(gòu)。一種用于交通工具的控制模塊的控制系統(tǒng)，包含主處理器中使用中央處理單元(CPU)產(chǎn)生第一控制信號的第一集成電路(IC)核心。所述主處理器的第二IC核心使用第二CPU產(chǎn)生第二控制信號，并基于所述第一控制信號和所述第二控制信號產(chǎn)生補救控制信號。
文檔編號G05B19/048GK101349905SQ200810214760
公開日2009年1月21日 申請日期2008年7月18日 優(yōu)先權(quán)日2007年7月20日
發(fā)明者M·H·科斯丁, P·A·鮑爾勒 申請人:通用汽車環(huán)球科技運作公司