REDUNDANT PROCESSOR ARCHITECTURE - ZAHNRADFABRIK FRIEDRICHSHAFEN

Title:

REDUNDANT PROCESSOR ARCHITECTURE

Document Type and Number:

WIPO Patent Application WO/2018/134023

Kind Code:

Abstract:

The invention relates to an assembly (101) with a first processor (103) and a second processor (103); wherein the first processor (103) has a first core (107), a second core (109), and a control entity (113); the second processor (105) has a first core (115); and the first core (107) and the second core (109) of the first processor (103) and the first core (115) of the second processor (105) are designed to carry out a first procedure. The control entity (113) of the first processor (103) is designed to carry out the following steps: comparing the result of carrying out the first procedure on the first core (107) of the first processor (103) with the result of carrying out the first procedure on the second core (109) of the first processor (103); and comparing the result of carrying out the first procedure on the first core (107) of the first processor (103) and the result of carrying out the first procedure on the second core (109) of the first processor (103) with the result of carrying out the first procedure on the first core (115) of the second processor (105) if the results of carrying out the first procedure on the first core (107) and the second core (109) of the first processor (103) deviate from each other.

Inventors:

SARI BÜLENT (DE)

Application Number:

PCT/EP2017/083986

Publication Date:

July 26, 2018

Filing Date:

December 21, 2017

Export Citation:

Click for automatic bibliography generation Help

Assignee:

ZAHNRADFABRIK FRIEDRICHSHAFEN (DE)

International Classes:

G06F11/18; G06F11/16

Domestic Patent References:

WO2014207893A1

2014-12-31

Foreign References:

DE19631309A1	1998-02-05
US20030131197A1	2003-07-10
US20090055674A1	2009-02-26
US7941698B1	2011-05-10

Other References:

THOMPSON H A ET AL: "TRANSPUTER-BASED FAULT TOLERANT STRATEGIES FOR A GAS TURBINE ENGINE CONTROLLER", PROCEEDINGS OF THE AMERICAN CONTROL CONFERENCE. SAN DIEGO, MAY 23 - 25, 1990; [PROCEEDINGS OF THE AMERICAN CONTROL CONFERENCE], NEW YORK, IEEE, US, vol. 3, 23 May 1990 (1990-05-23), pages 2918 - 2923, XP000170151
GRAY J ET AL: "High-availability computer systems", COMPUTER, IEEE COMPUTER SOCIETY, USA, vol. 24, no. 9, 1 September 1991 (1991-09-01), pages 39 - 48, XP011416412, ISSN: 0018-9162, DOI: 10.1109/2.84898

Download PDF:

View/Download PDF PDF Help

Claims:

Patentansprüche

1 . Anordnung (101 ) mit einem ersten Prozessor (103) und einem zweiten Prozessor (103); wobei

der erste Prozessor (103) einen ersten Kern (107), einen zweiten Kern (109) und eine Kontrollinstanz (1 13) aufweist; wobei

der zweite Prozessor (105) einen ersten Kern (1 15) aufweist; und wobei

der erste Kern (107) und der zweite Kern (109) des ersten Prozessors (103) sowie der erste Kern (1 15) des zweiten Prozessors (105) ausgebildet sind, eine erste Prozedur auszuführen; dadurch gekennzeichnet, dass

die Kontrollinstanz (1 13) des ersten Prozessors (103) ausgebildet ist, die folgenden Schritte auszuführen:

- Vergleichen eines Ergebnisses der Ausführung der ersten Prozedur auf dem ersten Kern (107) des ersten Prozessors (103) mit einem Ergebnis der Ausführung der ersten Prozedur auf dem zweiten Kern (109) des ersten Prozessors (103); und

- Vergleichen des Ergebnisses der Ausführung der ersten Prozedur auf dem ersten Kern (107) des ersten Prozessors (103) und des Ergebnisses der Ausführung der ersten Prozedur auf dem zweiten Kern (109) des ersten Prozessors (103) jeweils mit einem Ergebnis der Ausführung der ersten Prozedur auf dem ersten Kern (1 15) des zweiten Prozessors (105), wenn die Ergebnisse der Ausführung der ersten Prozedur auf dem ersten Kern (107) und dem zweiten Kern (109) des ersten Prozessors (103) voneinander abweichen.

2. Anordnung nach dem vorhergehenden Anspruch; dadurch gekennzeichnet, dass der erste Kern (107) des ersten Prozessors (103) deaktiviert wird, wenn die Ergebnisse der Ausführung der ersten Prozedur auf dem ersten Kern (107) und dem zweiten Kern (109) des ersten Prozessors (103) voneinander abweichen und das Ergebnis der Ausführung der ersten Prozedur auf dem zweiten Kern (109) des ersten Prozessors (103) und das Ergebnis der Ausführung der ersten Prozedur auf dem ersten Kern (1 15) des zweiten Prozessors (105) übereinstimmen; und wobei

der zweite Kern (109) des ersten Prozessors (103) deaktiviert wird, wenn die Ergebnisse der Ausführung der ersten Prozedur auf dem ersten Kern (107) und dem zweiten Kern (109) des ersten Prozessors (103) voneinander abweichen und das Ergebnis der Ausführung der ersten Prozedur auf dem ersten Kern (107) des ersten Pro- zessors (103) und das Ergebnis der Ausführung der ersten Prozedur auf dem ersten Kern (1 15) des zweiten Prozessors (105) übereinstimmen.

3. Anordnung nach einem der vorhergehenden Ansprüche; gekennzeichnet durch einen ersten Sensor und einen zweiten Sensor; wobei

mindestens ein Signal des ersten Sensors zu dem ersten Kern (107) des ersten Prozessors (103) und zu dem ersten Kern (1 15) des zweiten Prozessors (105) geleitet wird; und wobei

mindestens ein Signal des zweiten Sensors zu dem zweiten Kern (109) des ersten Prozessors (103) und zu dem ersten Kern (1 15) des zweiten Prozessors (105) geleitet wird.

4. Anordnung nach dem vorhergehenden Anspruch; dadurch gekennzeichnet, dass der erste Sensor und der zweite Sensor ausgebildet sind, dieselbe physikalische Größe messen.

5. Anordnung nach einem der vorhergehenden Ansprüche; dadurch gekennzeichnet, dass

der erste Prozessor (103) einen dritten Kern (1 1 1 ) aufweist; wobei

der zweite Prozessor (105) einen zweiten Kern (1 17), einen dritten Kern (1 19) und eine Kontrollinstanz (121 ) aufweist; wobei

der zweite Kern (1 17) und der dritte Kern (1 19) des zweiten Prozessors (105) sowie der dritte Kern (1 1 1 ) des ersten Prozessors (103) ausgebildet sind, eine zweite Prozedur auszuführen; wobei

die Kontrollinstanz (121 ) des ersten Prozessors (105) ausgebildet ist, die folgenden Schritte auszuführen:

- Vergleichen eines Ergebnisses der Ausführung der zweiten Prozedur auf dem zweiten Kern (1 17) des zweiten Prozessors (105) mit einem Ergebnis der Ausführung der zweiten Prozedur auf dem dritten Kern (1 19) des zweiten Prozessors (105); und

- Vergleichen des Ergebnisses der Ausführung der zweiten Prozedur auf dem zweiten Kern (1 17) des zweiten Prozessors (105) und des Ergebnisses der Ausführung der zweiten Prozedur auf dem dritten Kern (1 19) des zweiten Prozessors (105) jeweils mit einem Ergebnis der Ausführung der zweiten Prozedur auf dem dritten Kern (1 1 1 ) des ersten Prozessors (103), wenn die Ergebnisse der Ausführung der zweiten Prozedur auf dem zweiten Kern (1 17) und dem dritten Kern (1 19) des zweiten Prozessors (105) voneinander abweichen.

6. Anordnung nach dem vorhergehenden Anspruch; dadurch gekennzeichnet, dass der zweite Kern (1 17) des zweiten Prozessors (105) deaktiviert wird, wenn die Ergebnisse der Ausführung der zweiten Prozedur auf dem zweiten Kern (1 17) und dem dritten Kern (1 19) des zweiten Prozessors (105) voneinander abweichen und das Ergebnis der Ausführung der zweiten Prozedur auf dem dritten Kern (1 19) des zweiten Prozessors (105) und das Ergebnis der Ausführung der zweiten Prozedur auf dem dritten Kern (1 1 1 ) des ersten Prozessors (103) übereinstimmen; und wobei der dritten Kern (1 19) des zweiten Prozessors (105) deaktiviert wird, wenn die Ergebnisse der Ausführung der zweiten Prozedur auf dem zweiten Kern (1 17) und dem dritten Kern (1 19) des zweiten Prozessors (105) voneinander abweichen und das Ergebnis der Ausführung der zweiten Prozedur auf dem zweiten Kern (1 17) des zweiten Prozessors (105) und das Ergebnis der Ausführung der zweiten Prozedur auf dem dritten Kern (1 1 1 ) des ersten Prozessors (103) übereinstimmen.

7. Anordnung nach einem der vorhergehenden zwei Ansprüche; gekennzeichnet durch

einen dritten Sensor und einen vierten Sensor; wobei

mindestens ein Signal des dritten Sensors zu dem zweiten Kern (1 17) des zweiten Prozessors (105) und zu dem dritten Kern (1 1 1 ) des ersten Prozessors (103) geleitet wird; und wobei

mindestens ein Signal des vierten Sensors zu dem dritten Kern (1 19) des zweiten Prozessors (105) und zu dem dritten Kern (1 1 1 ) des ersten Prozessors (103) geleitet wird.

8. Anordnung nach dem vorhergehenden Anspruch; dadurch gekennzeichnet, dass der dritte Sensor und der vierte Sensor dieselbe physikalische Größe messen.

9. Fahrzeug mit einer Anordnung nach einem der vorhergehenden Ansprüche.

10. Verfahren unter Verwendung einer Anordnung nach einem der vorhergehenden Ansprüche mit den folgenden Schritten:

- Ausführen einer ersten Prozedur auf dem ersten Kern (107) und dem zweiten Kern (109) des ersten Prozessors (103);

- Vergleichen des Ergebnisses der Ausführung der ersten Prozedur auf dem ersten Kern (107) des ersten Prozessors (103) und des Ergebnis der Ausführung der ersten Prozedur auf dem zweiten Kern (109) des ersten Prozessors (103) jeweils mit einem Ergebnis einer Ausführung der ersten Prozedur auf dem ersten Kern (1 15) des zweiten Prozessors (105), wenn die Ergebnisse der Ausführung der ersten Prozedur auf dem ersten Kern (107) und dem zweiten Kern (109) des ersten Prozessors (103) voneinander abweichen.

Description:

Redundante Prozessorarchitektur

Die Erfindung betrifft eine Anordnung nach dem Oberbegriff von Anspruch 1 und ein Verfahren nach Anspruch 10.

Aus dem Stand der Technik bekannte Multiprozessorarchitekturen sind nur eingeschränkt geeignet, zukünftige Anforderungen zu erfüllen, die durch autonom fahrende Fahrzeuge gestellt werden. Insbesondere ist es schwierig, die Anforderungen der Norm ISO 26262-1 zu erfüllen, wenn ASIL-D Spezifikationen implementiert werden soll.

Eine gängige Lösung zur Implementierung eines betriebssicheren Systems besteht darin, die Komponenten des Systems zu überwachen und im Falle eines Fehlers zu deaktivieren. Allerdings ist es nicht möglich, Komponenten zu deaktivieren, die sicherheitskritische Funktionen ausführen. Systeme mit sicherheitskritischen Funktionen müssen fehlertolerant sein und sicherstellen, dass im Falle eines Fehlers die sicherheitskritischen Funktionen weiterhin ausgeführt werden können. Aus dem Stand der Technik bekannte fehlertolerante Systeme sind beschrieben in C. Temple und A. Vilela:"Fehlertolerante Systeme im Fahrzeugbau- von Fail Safe zu Fail Operation", Elektroniknet, Juli 2014.

Der Erfindung liegt die Aufgabe zugrunde, ein fehlertolerantes System unter Umgehung der den aus dem Stand der Technik bekannten Lösungen innewohnenden Nachteile bereitzustellen. Insbesondere soll die Verfügbarkeit des Systems erhöht werden.

Diese Aufgabe wird gelöst durch eine Anordnung nach Anspruch 1 und ein Verfahren nach Anspruch 10. Bevorzugte Weiterbildungen sind in den Unteransprüchen enthalten.

Die Anordnung umfasst einen ersten Prozessor und einen zweiten Prozessor. Ein Prozessor ist eine elektronische Schaltung, die ausgebildet ist, ein oder mehrere Befehle - eine Prozedur - einzulesen und auszuführen. Ein Prozessor kann Teile aufweisen, die für sich in der Lage sind, eine oder mehrere Befehle auszuführen. Diese Teile werden Kerne genannt.

Der erste Prozessor weist einen ersten Kern, einen zweiten Kern und eine

Kontrollinstanz aus. Der zweite Prozessor weist einen ersten Kern auf.

Der erste Kern und der zweite Kern des ersten Prozessors sowie der erste Kern des zweiten Prozessors sind ausgebildet, jeweils eine erste Prozedur auszuführen. Dies bedeutet, dass die erste Prozedur dreifach ausgeführt werden kann - auf dem ersten Kern und dem zweiten Kern des ersten Prozessors sowie auf dem ersten Kern des zweiten Prozessors.

Eine Kontrollinstanz kann als separater Kern ausgebildet oder in einem der genannten Kerne implementiert sein. Sie ist definiert als ein Mittel zum Ausführen von Schritten zum Vergleich von Ergebnissen.

Erfindungsgemäß ist die Kontrollinstanz des ersten Prozessors ausgebildet, die folgenden Schritte auszuführen:

- Vergleichen eines Ergebnisses der Ausführung der ersten Prozedur auf dem ersten Kern des ersten Prozessors mit einem Ergebnis der Ausführung der ersten Prozedur auf dem zweiten Kern des ersten Prozessors; und

- Vergleichen des Ergebnisses der Ausführung der ersten Prozedur auf dem ersten Kern des ersten Prozessors und des Ergebnisses der Ausführung der ersten Prozedur auf dem zweiten Kern des ersten Prozessors jeweils mit einem Ergebnis der Ausführung der ersten Prozedur auf dem ersten Kern des zweiten Prozessors, wenn die Ergebnisse der Ausführung der ersten Prozedur auf dem ersten Kern und dem zweiten Kern des ersten Prozessors voneinander abweichen.

Die Abweichung der Ergebnisse der Ausführung der ersten Prozedur auf dem ersten Kern und dem zweiten Kern des ersten Prozessors wird durch Vergleichen des Er- gebnisses der Ausführung der ersten Prozedur auf dem ersten Kern des ersten Prozessors mit dem Ergebnis der Ausführung der ersten Prozedur auf dem zweiten Kern des ersten Prozessors festgestellt. Der Schritt des Vergleichens des Ergebnisses der Ausführung der ersten Prozedur auf dem ersten Kern des ersten Prozessors und des Ergebnisses der Ausführung der ersten Prozedur auf dem zweiten Kern des ersten Prozessors jeweils mit dem Ergebnis der Ausführung der ersten Prozedur auf dem ersten Kern des zweiten Prozessors impliziert, dass die erste Prozedur auf dem ersten Kern des zweiten Prozessors ausgeführt wird.

Unter dem Ergebnis der Ausführung einer Prozedur ist allgemein ein beliebiger Wert zu verstehen, der mit der Ausführung der Prozedur korreliert. So kann es sich etwa um den Ausgabewert einer Funktion handeln, wenn die Prozedur als Funktion ausgestaltet ist.

Durch die Erfindung wird dreifache Redundanz der Ausführung der ersten Prozedur geschaffen. Fällt einer der drei genannten Kerne, die die erste Prozedur ausführen aus oder ist fehlerhaft, so stehen zwei weitere Kerne weiterhin zur redundanten Ausführung zur Verfügung. Eine Abschaltung des gesamten Systems ist nicht erforderlich.

In einer bevorzugten Weiterbildung wird der erste Kern des ersten Prozessors deaktiviert, wenn die Ergebnisse der Ausführung der ersten Prozedur auf dem ersten Kern und dem zweiten Kern des ersten Prozessors voneinander abweichen und das Ergebnis der Ausführung der ersten Prozedur auf dem zweiten Kern des ersten Prozessors und das Ergebnis der Ausführung der ersten Prozedur auf dem ersten Kern des zweiten Prozessors übereinstimmen. Der zweite Kern des ersten Prozessors wird weitebildungsgemäß deaktiviert, wenn die Ergebnisse der Ausführung der ersten Prozedur auf dem ersten Kern und der zweiten Kern des ersten Prozessors voneinander abweichen und das Ergebnis der Ausführung der ersten Prozedur auf dem ersten Kern des ersten Prozessors und das Ergebnis der Ausführung der ersten Prozedur auf dem ersten Kern des zweiten Prozessors übereinstimmen. Die Abweichung der Ergebnisse der Ausführung der ersten Prozedur auf dem ersten Kern und dem zweiten Kern des ersten Prozessors zeigt an, dass in dem ersten Kern oder dem zweiten Kern des ersten Prozessors ein Fehler vorliegt. In diesem Fall lässt sich durch einen Abgleich mit dem Ergebnis der Ausführung der ersten Prozedur auf dem ersten Kern des zweiten Prozessors der fehlerhafte Kern des ersten Prozessors identifizieren und entsprechend deaktivieren.

Ein zweiter Sensor ist in einer bevorzugten Weiterbildung Teil der Anordnung. Mindestens ein Signal des ersten Sensors wird sowohl zu dem ersten Kern des ersten Prozessors als auch zu dem ersten Kern des zweiten Prozessors geleitet. Entsprechend wird mindestens ein Signal des zweiten Sensors zu dem zweiten Kern des ersten Prozessors und zu dem ersten Kern des zweiten Prozessors geleitet. Die Signale dienen bevorzugt als Eingangsdaten der auf dem jeweiligen Prozessor ausgeführten ersten Prozedur. Wenn der erste Kern des ersten Prozessors oder der zweite Kern des ersten Prozessors aufgrund eines Fehlers deaktiviert wird, steht das entsprechende Sensorsignal weiterbildungsgemäß dem ersten Kern des zweiten Prozessors zur Verfügung. Dies ermöglicht es, dem ersten Kern des zweiten Prozessors, die Aufgaben des deaktivierten Prozessorkern zu übernehmen.

In einer darüber hinaus bevorzugten Weiterbildung sind der erste Sensor und der zweite Sensor redundant ausgeführt. Dies bedeutet, dass der erste Sensor und der zweite Sensor ausgebildet sind, dieselbe physikalische Größe zu messen.

Die Anordnung ist vorzugsweise symmetrisch weitergebildet. Dies bedeutet, dass der erste Prozessor und der zweite Prozessor gleichartig aufgebaut sind. Insbesondere weisen der erste Prozessor und der zweite Prozessor jeweils einen ersten Kern, einen zweiten Kern, einen dritten Kern und eine Kontrollinstanz auf. Der zweite Kern und der dritte Kern des zweiten Prozessors sowie der dritte Kern des ersten Prozessors sind ausgebildet, eine zweite Prozedur auszuführen. Die Kontrollinstanz des ersten Prozessors ist analog zu der Kontrollinstanz des zweiten Prozessors ausgebildet, die folgenden Schritte auszuführen:

- Vergleichen eines Ergebnisses der Ausführung der zweiten Prozedur auf dem zweiten Kern des zweiten Prozessors mit einem Ergebnis der Ausführung der zweiten Prozedur auf dem dritten Kern des zweiten Prozessors; und - Vergleichen des Ergebnisses der Ausführung der zweiten Prozedur auf dem zweiten Kern des zweiten Prozessors und des Ergebnisses der Ausführung der zweiten Prozedur auf dem dritten Kern des zweiten Prozessors jeweils mit einem Ergebnis der Ausführung der zweiten Prozedur auf dem dritten Kern des ersten Prozessors, wenn die Ergebnisse der Ausführung der zweiten Prozedur auf dem zweiten Kern und dem dritten Kern des zweiten Prozessors voneinander abweichen.

In einer bevorzugten Weiterbildung wird analog zu der Deaktivierung des ersten Kerns und des zweiten Kerns des ersten Prozessors der zweite Kern des zweiten Prozessors deaktiviert, wenn die Ergebnisse der Ausführung der zweiten Prozedur auf dem zweiten Kern und dem dritten Kern des zweiten Prozessors voneinander abweichen und das Ergebnis der Ausführung der zweiten Prozedur auf dem dritten Kern des zweiten Prozessors und das Ergebnis der Ausführung der zweiten Prozedur auf dem dritten Kern des ersten Prozessors übereinstimmen. Wenn die Ergebnisse der Ausführung der zweiten Prozedur auf dem zweiten Kern und dem dritten Kern des zweiten Prozessors voneinander abweichen und das Ergebnis der Ausführung der zweiten Prozedur auf dem zweiten Kern des zweiten Prozessors und das Ergebnis der Ausführung der zweiten Prozedur auf dem dritten Kern des ersten Prozessors übereinstimmen.

Der zweite Prozessor erhält in einer bevorzugten Weiterbildung Eingabesignale von einem dritten Sensor und einem vierten Sensor. Mindestens ein Signal des dritten Sensors wird zu dem zweiten Kern des zweiten Prozessors und zu dem dritten Kern des ersten Prozessors geleitet. Entsprechend wird mindestens ein Signal des vierten Sensors zu dem dritten Kern des zweiten Prozessors und zu dem dritten Kern des ersten Prozessors geleitet.

Wie der erste Sensor und der zweite Sensor sind auch der dritte Sensor und der vierte Sensor in einer bevorzugten Weiterbildung redundant ausgeführt. Der dritte Sensor und der vierte Sensor messen also weiterbildungsgemäß dieselbe physikalische Größe. Die Anordnung ist bevorzugt als Bestandteil eines Fahrzeugs, etwa eines Kraftfahrzeugs weitergebildet. Insbesondere kann der erste Prozessor als Teil eines Getriebesteuergeräts und der zweite Prozessor zur Steuerung einer Leistungselektronik weitergebildet sein. Ein Fahrzeug mit der erfindungsgemäßen Anordnung ermöglicht eine betriebssichere Implementierung von Funktionen für Fahrassistenzsysteme oder zum autonomen Fahren.

Ein erfindungsgemäßes Verfahren sieht vor, unter Verwendung der erfindungsgemäßen Anordnung oder einer bevorzugten Weiterbildung die folgenden Schritte auszuführen:

- Ausführen der ersten Prozedur auf dem ersten Kern und dem zweiten Kern des ersten Prozessors;

- Vergleichen des Ergebnisses der Ausführung der ersten Prozedur auf dem ersten Kern des ersten Prozessors und des Ergebnisses der Ausführung der ersten Prozedur auf dem zweiten Kern des ersten Prozessors jeweils mit einem Ergebnis einer Ausführung der ersten Prozedur auf dem ersten Kern des zweiten Prozessors, wenn die Ergebnisse der Ausführung der ersten Prozedur auf dem ersten Kern und dem zweiten Kern des ersten Prozessors voneinander abweichen.

Dieses Verfahren ist bevorzugt mit Verfahrensschritten weitergebildet, die, wie oben beschrieben, von bevorzugten Weiterbildungen der erfindungsgemäßen Anordnung ausführbar sind.

Ein bevorzugtes Ausführungsbeispiel der Erfindung ist in Fig. 1 dargestellt. Übereinstimmende Bezugsziffern kennzeichnen dabei gleiche oder funktionsgleiche Merkmale. Im Einzelnen zeigt: Fig. 1 eine Prozessorarchitektur.

Ein Mehrprozessorsystem 101 gemäß Fig. 1 weist einen ersten Prozessor 103 und einen zweiten Prozessor 105 auf. Beide Prozessoren 103, 105 besitzen mehrere Kerne. So weist der erste Prozessor 103 einen ersten Kern 107, einen zweiten Kern 109, einen dritten Kern 1 1 1 und eine Kontrollinstanz 1 13 auf. Entsprechend weist der zweite Prozessor 105 einen ersten Kern 1 15, einen zweiten Kern 1 17, einen dritten Kern 1 19 und eine Kontrollinstanz 121 auf.

Ein erstes Sensorsignal 123 liegt am ersten Kern 107 des ersten Prozessors 103 und am ersten Kern 1 15 des zweiten Prozessors 105 an. Ein zweites Sensorsignal 125 liegt am zweiten Kern 109 des ersten Prozessors 103 und am ersten Kern 1 15 des zweiten Prozessors 105 an. Das erste Sensorsignal 123 und das zweite Sensorsignal 125 basieren auf einer redundanten Messung einer einzigen physikalischen Größe mittels zweier verschiedener Sensoren.

Ein drittes Sensorsignal 127 liegt analog dazu am zweiten Kern 1 17 des zweiten Prozessors und am dritten Kern 1 1 1 des ersten Prozessors 103 an. Ein redundant dazu ausgeführtes viertes Sensorsignal 129 liegt am dritten Kern 1 19 des zweiten Prozessors 105 und am dritten Kern 1 1 1 des ersten Prozessors 103 an. Zwei redundante Sensoren, die dieselbe physikalische Größe messen, stellen das dritte Sensorsignal 127 und das vierte Sensorsignal 129 bereit.

Der erste Kern 107 und der zweite Kern 109 des ersten Prozessors sowie der erste Kern 1 15 des zweiten Prozessors 105 dienen dazu, eine erste Prozedur mit dreifacher Redundanz auszuführen. Die Kontrollinstanz 1 13 des ersten Prozessors überwacht die Ausführung der ersten Prozedur durch den ersten Kern 107 und den zweiten Kern 109 des ersten Prozessors 103 und vergleicht deren Ergebnisse.

Stimmen diese nicht überein, zieht die Kontrollinstanz 1 13 des ersten Prozessors 103 den ersten Kern 1 15 des zweiten Prozessors 105 hinzu, um festzustellen, ob der erste Kern 107 oder der zweite Kern 109 des ersten Prozessors 103 fehlerhaft arbeitet. Der fehlerhafte Kern 107, 109 wird deaktiviert. Hiernach steht noch eine zweifache Redundanz zur Ausführung der ersten Prozedur zur Verfügung. Die Ausführung der zweiten Prozedur durch den zweiten Kern 1 17 und den dritten Kern 1 19 des zweiten Prozessors 105 sowie durch den dritten Kern 1 1 1 des ersten Prozessors 103 gestaltet sich analog zu der oben beschriebenen Ausführung der ersten Prozedur.

Zur Überwachung des ersten Prozessors 103 ist ein erster Watchdog 131 vorgesehen. Entsprechend wird der zweite Prozessor 105 durch einen zweiten Watchdog 133 überwacht. Durch die Watchdogs 131 , 133 ist es möglich, den Totalausfall eines einzelnen Prozessors 103, 105 abzufangen.

Bezuaszeichen

101 Mehrprozessorsystem

103 erster Prozessor

105 zweiter Prozessor

107 erster Kern des ersten Prozessors

109 zweiter Kern des ersten Prozessors

1 1 1 dritter Kern des ersten Prozessors

1 13 Kontrollinstanz des ersten Prozessors

1 15 erster Kern des zweiten Prozessors

1 17 zweiter Kern des zweiten Prozessors

1 19 dritter Kern des zweiten Prozessors

121 Kontrollinstanz des zweiten Prozessors

123 erstes Signal

125 zweites Signal

127 drittes Signal

129 viertes Signal

131 erster Watchdog

133 zweiter Watchdog

Previous Patent: A SYSTEM, METHOD AND ARTICLE OF MANUFACTURE FOR SYNCHRONIZATION-FREE TRANSMITTAL OF NEURON VALUES IN...

Next Patent: METHOD OF MANUFACTURING AN INSULATION LAYER ON SILICON CARBIDE