用于控制技术系统的设备和方法
背景技术:
1.存在控制技术系统(例如车辆)的子功能的控制设备。这些控制设备分别控制特定的子功能和/或相关联的应用。
技术实现要素:
2.优选实施方式涉及一种用于控制诸如车辆的技术系统的设备。
3.在进一步的优选实施方式中规定,所述设备具有:具有至少一个计算核心的计算装置(“计算机”),分配给所述计算装置的存储装置,所述存储装置用于至少临时存储以下元素中的至少一个:a)数据,b)计算机程序,特别是用于执行根据实施方式的方法。在进一步的优选实施方式中,所述计算机程序还可以表征在所述计算装置上执行的至少一个应用,例如用于控制所述技术系统。
4.在进一步的优选实施方式中,所述设备或所述计算装置具有多个计算核心。
5.在进一步的优选实施方式中,所述存储装置具有易失性存储器(例如工作(ram))和/或非易失性存储器(例如闪存eeprom)。
6.在进一步的优选实施方式中,所述计算装置具有以下元件中的至少一个:微处理器(μr)、微控制器(μc)、专用集成电路(asic)、片上系统(soc)、可编程逻辑模块(例如fpga,现场可编程门阵列)、硬件电路或其任意组合。
7.进一步的优选实施方式涉及一种包括指令的计算机可读存储介质,所述指令在由计算机执行时促使所述计算机执行根据实施方式的方法。
8.进一步的优选实施方式涉及一种包括指令的计算机程序,当该程序由计算机执行时,所述指令促使所述计算机执行根据实施方式的方法。
9.进一步的优选实施方式涉及一种数据载体信号,其表征和/或传输根据实施方式的计算机程序。例如可以经由所述设备的可选数据接口接收所述数据载体信号。
10.进一步的优选实施方式涉及至少一个硬件组件的复位(“reset”),特别是针对至少一个应用。
11.在进一步的优选实施方式中,所述设备的模块和/或可能存在的、特别是外部的电路的复位被实施为,使得可以运行多个独立的应用并且这些应用优选地不相互影响。
12.在进一步的优选实施方式中,所述设备被构造为对每个计算核心单独地复位。特别地,因此一个计算核心的复位不会影响所述计算装置中可能存在的另外的计算核心。
13.在进一步的优选实施方式中,可以设置多个区域或集群,所述区域或集群的特征例如在于至少一个计算核心和可选地与所述至少一个计算核心相关联的存储器。在进一步的优选实施方式中,将所述存储器分配给所述至少一个计算核心可以是逻辑的和/或物理的。在进一步的优选实施方式中,至少一个集群可以独立于另外的集群的运行而被复位,特别是不会损害所述另外的集群的运行。由此在进一步的优选实施方式中,例如可以对至少一个集群复位,而可能存在的另外的集群可以独立于所述一个集群的复位而继续运行,以例如执行一个或多个应用。
14.在进一步的优选实施方式中,至少一个集群也可以具有至少一个电路组件或电路部分,例如锁相环(pll,phased locked loop)。在进一步的优选实施方式中,当至少一个集群复位时,所述至少一个电路组件也可以一起复位。
15.在进一步的优选实施方式中,可能存在的可以例如分配给各个应用的外围模块可以在监督器模式下和/或至少一个应用中复位。
16.在进一步的优选实施方式中,可选地存在的外部组件,例如外部逻辑,可以经由至少一个单独的数据线路,例如单独的gpio(general purpose input output,通用输入输出)来复位,其中根据进一步的优选实施方式,所述复位例如由监督器模式或由应用执行。在进一步的优选实施方式中,为此可以将gpio(信号)例如作为复位信号传导至外部组件(例如外部器件或电路)的复位输入端。
17.在进一步的优选实施方式中,可以为可能存在的外部组件或电路提供多个复位连接端(“管脚”),从而例如可以单独复位属于每个应用的外部电路。
18.在进一步的优选实施方式中,所述复位可以通过以下提到的来源中的至少一个来执行,所述来源特别是彼此独立的:a)信号,特别是硬件信号,其例如由监督器和/或监视逻辑触发,b)通过一个比特,所述比特在被写入时执行复位功能,c)通过让软件(特别是应用)设置比特以对应于复位状态。
19.在进一步的优选实施方式中,仍然可以在上述变体c)中以有针对性的方式保持特定功能。作为根据进一步优选实施方式的示例,提到了计时器模块(“计时器”),其例如输出经过脉宽调制(pwm)的信号并且不应当被中断,特别是也不应当通过所述复位被中断。在此情况下,根据进一步的优选实施方式可以将计时器的其他实例或参数特别是在同一模块中经由寄存器设置(写入或设置比特)带入例如对应于复位值(“重新初始化”)的状态,所述模块根据进一步的优选实施方式也可以通过硬件复位。
20.在进一步的优选实施方式中,根据进一步的优选实施方式,利用上述示例性讲述的电路功能既可以由监督器又可以由至少一个应用本身复位所述应用的运行所必需的组件或电路部分,特别是独立于其他应用的状态和/或运行(所述其他应用可以处于复位、启动、减速或正常功能)。
21.进一步的优选实施方式涉及一种用于复位用于控制技术系统、特别是机动车辆的设备的方法,所述设备例如是控制设备,其中所述复位在所述设备或所述技术系统的持续运行期间(例如在多个不同的可能运行状态之一中)执行。
22.在进一步的优选实施方式中,多个应用,特别是彼此独立的或至少部分相关的应用,同时或至少时间重叠地在所述设备上运行。
23.在进一步的优选实施方式中,可选地设置的另外的组件或电路,特别是外部组件或电路,可以分配给至少一个应用,所述至少一个应用至少临时由所述设备或其计算装置或所述计算装置的至少一个计算核心执行。
24.在进一步的优选实施方式中,将所述组件分配给所述至少一个应用也可以动态地执行,即在所述设备或所述应用的运行时期间执行。
25.在进一步的优选实施方式中,可选地设置的另外的组件或电路可以复位,特别是分开地由监督器和/或至少一个应用复位,特别是不影响所述设备的至少一个、优选多个、特别是所有另外的应用的运行时行为。
26.在进一步的优选实施方式中,所述运行时行为的特征在于保持相同的执行时间,特别是关于带宽和/或关于等待时间边界条件,其中在进一步的优选实施方式中不需要时钟精确相同的行为。
27.在进一步的优选实施方式中,当所述设备的至少一个其他应用对分配给其的模块和/或电路部分复位时,所述设备的另外的应用继续运行。
28.进一步的优选实施方式涉及所述存储装置的存储区域的行为,特别是涉及所述存储装置的非易失性存储区域(“nvm(non-volatile memory,非易失性存储器)存储区域”)的行为,其中特别是非易失性存储区域的特别是一个或多个非易失性存储区域可以分别分配给一个应用或多个应用。
29.在进一步的优选实施方式中规定,至少一个nvm存储区域可以分配给至少一个应用。
30.在进一步的优选实施方式中,所述nvm存储区域被布置为,使得其例如可以a)经由mpu(memory protection unit,存储器保护单元)和/或b)经由监督器、特别是通过分配分区id分配给所述至少一个应用。
31.在进一步的优选实施方式中,所述设备或所述计算装置具有三个计算核心(“核心”),其中例如在每个核心上执行应用,并且其中例如向每个应用分配可预给定的存储区域,例如4兆字节(mb)。
32.在进一步的优选实施方式中,在所述存储装置中设置多个存储模块,特别是为所述nvm存储区域,其中优选地至少两个、优选地多于两个、更优选地所有存储模块被实施为使得它们要么完整地构建,要么由较小的子模块构建或组成。
33.在进一步的优选实施方式中,所述子模块具有与要分配的存储模块至少部分相同的特性,例如关于共同的字线操控器和/或共同的位线读出电路和/或共同的编程电压输送器。
34.在进一步的优选实施方式中,所述设备或所述计算装置被构造为独立于其他存储区域或模块或子模块的状态来执行分配的存储区域或模块或子模块的重新编程,其中特别是为此所需的资源在每个存储区域中例如多重存在。因此在进一步的优选实施方式中,可以对第一(存储)区域进行重新编程,而从其他(存储)区域来看应用继续运行,就好像一个应用或分配给它的存储区域没有被重新编程一样。
35.在进一步的优选实施方式中,一个应用或分配给它的存储区域的重新编程可以从监督器和/或分区管理器和/或应用进行。
36.在进一步的优选实施方式中,特别是通过提供上述资源,该方法还可以在(特别是相对于所述计算装置或设备的)外部存储器中执行,所述外部存储器特别是nvm存储器,其例如具有多个块并且例如可以具有用于这些块的单独的字线操控器和/或用于这些块的单独的位线读出电路。在进一步的优选实施方式中,所述nvm存储器可以构造为lpddr(low power double data rate,低功率双倍数据速率)存储器类型。
37.进一步的优选实施方式涉及一种用于对设备或所述设备的或用于所述设备的存储装置进行编程(和/或重新编程)的方法,其中所述设备例如被构造为控制诸如机动车辆的技术系统,其特征在于至少一个以下方面:a)所述方法例如在机动车辆中,在持续运行期间(例如在机动车辆的各种运行状
态之一中)执行,b)在所述设备或控制器上或借助所述设备或控制器,多个独立的或相关的应用同时运行或至少部分时间重叠地运行,c)在所述计算装置内部和/或外部的不同存储区域可以分配给应用,特别是灵活和/或动态地,d)在所述计算装置内部和/或外部的不同存储区域可以特别是单独地或彼此独立地由监督器和/或至少一个(特别是分配的)应用重新编程,特别是不影响所述设备或计算装置的至少一个其他应用或多个或所有其他应用的运行时行为(所述运行时行为的特征在于例如保持相同的执行时间(特别是关于可预给定的带宽和/或可预给定的等待时间边界条件),其中根据进一步的优选实施方式,特别是不需要时钟精确相同的行为,e)当对一个或多个应用重新编程时,所述设备或计算装置的至少一个其他应用,优选所有其他应用继续工作。
38.进一步的优选实施方式涉及错误收集和控制单元fccu,即涉及用于收集和管理错误的装置,特别是涉及fccu的资源的划分。
39.在进一步的优选实施方式中规定,所述fccu被构造为保证所述设备或计算装置的应用的独立(继续)运行,由此实现例如功能上确定性分离的反应(特别是与功能安全相关,“safety”),例如对硬件错误的反应。换言之,由此在进一步的优选实施方式中使得例如不受硬件错误涉及的应用可以继续执行。
40.在进一步的优选实施方式中,所述fccu被构造为收集在诸如核心、ram(工作存储器)、nvm(非易失性存储器)和/或外围模块的各个模块中的硬件错误(“hw错误”),并且例如执行例如可以借助于安全设置(与功能安全相关方面的设置或配置)设置或预给定的错误反应,例如激活一个或多个错误引脚(错误连接端)、触发中断(中断请求)、触发复位或激活nmi(不可屏蔽的中断请求)。
41.在进一步的优选实施方式中,将错误输入信号分配给一个或多个应用,其中特别是还可能生成错误反应(参见例如上述示例性描述的实施方式)或输出到分区和/或应用和/或分配的错误引脚。
42.在进一步的优选实施方式中,所述设备或所述计算装置具有三个计算核心(“核心”),其中例如在每个核心上至少暂时执行一个应用,并且其中向每个应用例如至少暂时分配可预给定的存储区域,例如4兆字节(mb)。
43.例如,一旦在三个计算核心中的其上例如运行第一应用(“应用1”)的第一计算核心(“核心1”)中识别出错误,则例如可以将核心1中的锁步错误报告给fccu。在进一步的优选实施方式中,fccu被配置为使得所述错误可以优选地仅作用于分配给应用1的动作——例如核心1的gic((通用)中断控制器)中的中断资源、核心1的复位、核心1的nmi或一个或多个错误引脚。在进一步的优选实施方式中,可以在安全系统设置中——例如通过监督器或应用1——设定,该错误例如触发核心1的复位,或者当出现该错误时应当触发核心1的复位。在进一步的优选实施方式中,其他应用(例如“应用2”和“应用3”)不受核心1中的锁步错误的影响,并且优选地继续以相同的时间行为运行。
44.根据进一步的优选实施方式,例如在三个计算核心中的分配给第三应用(“应用3”)的第三计算核心(“核心3”)中可能识别出错误,例如在分配给应用3的nvm存储区域中不
可纠正的“双比特”错误。fccu优选地被配置为使得所述错误,特别是仅转发到分配给应用3的动作。更优选地,可以触发对应用3的中断请求(中断),例如由fccu触发,以例如调用用于双比特错误的错误处理例程。在进一步的优选实施方式中,所述错误处理例程可以例如包含附加测试,以例如确定由所述错误引起的安全影响的严重性并且可选地让应用3相应地继续运行或例如复位(reset)应用3,或还通知其他应用(例如经由监督器)——例如借助于中断——所述其他应用可能会受到影响(也受错误影响),并且例如应当对分配给应用1和2的nvm存储器进行对应的检查。
45.进一步的优选实施方式涉及一种用于对技术系统(例如对机动车辆)的设备(例如控制器)中的应用进行错误处理的方法,其特征在于至少一个以下方面:a)所述方法例如在机动车辆中,在持续运行期间(例如在机动车辆的各种运行状态之一中)执行,b)在所述设备或控制器上或借助于所述设备或控制器,多个独立的或相关的应用同时运行或至少部分时间重叠地运行,c)例如可能在所述计算装置(的外部nvm或ram)内部和/或外部出现的不同错误或错误事件(例如ram、核心、nvm......)可以分别分配给至少一个应用,d)至少一个、优选多个、特别是所有应用可以至少在其资源内评估错误或所述错误和/或启动对应的错误反应和/或通知至少一个其他应用例如可能的安全错误,特别是在分配给所述应用的资源内,e)至少一个、优选多个、特别是所有应用可以由至少一个其他应用通知错误或所述错误,f)其他应用,特别是不受错误或所述错误影响的应用,可以继续运行,特别是继续按照以下方式运行,即保持运行时行为,特别是等待时间边界条件,其中特别是不需要时钟精确相同的行为。
46.进一步的优选实施方式涉及将表征应用的运行状态的信息,特别是表征关于功能安全(“安全”)的运行状态(“安全状态”)的信息转发到至少一个另外的单元,例如外部单元,特别是布置在所述计算装置或设备外部的单元。
47.在进一步的优选实施方式中规定,特别是为了保证关于对硬件错误的功能确定性分离的安全反应,未涉及的(一个或多个)应用以及必要时可选地连接到所述应用的(一个或多个)外部单元(例如,驱动器的操控,例如用于承载安全负载以及例如承担将所述计算装置的连接端(“计算机引脚”)转换为例如物理总线协议的信号的phy,或组件的操控,如内燃机中的点火/喷射)能独立继续运行,分配给所述应用的(相对于所述计算装置的)外部电路发信号通知例如安全状态“错误”(在进一步的优选实施方式中也可以是“复位”,而且附加于复位地),以特别是不影响分配给未涉及的应用的电路部分。
48.在进一步的优选实施方式中,示例性地设置三个计算核心(3个核心),具有3个应用,其中在每个核心上运行三个应用之一。此外,例如设置三个错误引脚(连接端,例如用于发信号通知错误状态)。在进一步的优选实施方式中,示例性地设置了用于vcu(vehicle control unit,车辆控制单元)(例如核心1上的应用1)的外部接口和用于燃烧应用(例如核心3上的应用3)的喷射的外部接口。
49.在进一步的优选实施方式中,燃烧应用例如想要关闭喷射,以降低发动机的扭矩。
为此例如激活错误引脚3(其例如在启动期间(即所述设备启动时)已分配给应用3),该错误引脚优选连接到(外部)喷射电路(ic),使得该喷射电路特别是与预给定喷射定时的脉冲无关地关闭并且例如不操控喷射阀。在其他优选实施例中,vcu功能同时继续在核心1上的应用1上继续运行——该vcu例如还经由can驱动器传输带有安全负载的信号。在进一步的优选实施方式中,不激活错误引脚1(例如,在启动期间分配给应用1),从而来自所述计算装置或所述设备的can信号经由当前未停用(用错误引脚1停用)的can驱动器转发。由此,核心1上的vcu应用不受应用3的错误影响(继续),并且特别是继续传输所述can信号。
50.进一步的优选实施方式涉及一种用于向所述计算装置或所述设备外部的单元或器件发信号通知、特别是转发至少一个应用的安全状态的方法,其特征在于至少一个以下方面:a)安全状态的发信号通知可以优选地用作关闭信号,例如针对外部器件(“外围模块”),b)可以将所述发信号通知分配给例如在所述计算装置上并行运行的各个应用,其中特别是可以将分配给一个应用的外围模块与其他应用的状态或所述其他应用的外围模块的状态无关地复位,c)可以在复位之后进行分配,优选不可更改地,d)这些实施方式的方面也可以用于外部安全器件,例如外部密码器件(密码加速器、硬件安全模块)、接口,e)既与功能安全方面(“fusi”,“安全(safety)”)相关又与安全方面相关的用途,例如防止操纵(“保安(security)”)。
51.进一步的优选实施方式涉及一种用于控制诸如车辆的技术系统的方法,其中将至少一个外围模块分配给至少一个应用。所述应用可以优选地分别在所述计算装置上的分开的分区中运行。
52.在进一步的优选实施方式中,所述至少一个外围模块例如是以下元件中的至少一个:计时器(计时器模块)、通信接口、gpio端口(通用输入和/或输出连接端)。
53.由此可以优选地实现:多个应用在所述计算装置上运行时不会相互影响。
54.根据进一步的优选实施方式可以避免的不期望的相互影响的示例是:1. 模拟/数字转换器(adc)的运行:如果多个应用访问adc的资源(例如通道/输入端和/或控制寄存器),则一个应用例如可能覆盖另一个应用的设置,例如通道分配、采样时间(采样率)、转换时间、......2. can(控制器局域网):如果在多个应用中使用同一can总线上的can标识符,则可以在can模块中例如进行队列条目,其中一个分区(即,例如一个应用)的软件可以覆盖另一个应用的设置。
55.在进一步的优选实施方式中规定,至少一个外围模块可以优选完全地分配给一个分区或应用。
56.在进一步的优选实施方式中,在所述设备或计算装置中设置例如模块,例如spi(串行外围接口)、lin(本地互连网络)、can、adc,所述模块例如可以优选地完全分配给一个应用,特别是因为这些模块的资源要么完全被所述分区或应用使用,要么这些模块多次存在,特别是频繁存在,以至于对应的各个模块可以完全分配给一个分区或应用。
57.在进一步的优选实施方式中,提出了以下机制,以特别是根据确定性功能的目标来分离这些模块:-将至少一个、优选多个或所有模块分配给一个分区或应用(特别是在所述模块中),其中特别是该模块仅从总线(例如用于将该模块连接到所述计算装置或设备的(一个或多个)组件的数据总线)接受带有可预给定标识符(例如“分区id”)的写入命令和/或读取命令,所述可预给定标识符例如是事先在系统设置时由分区管理器分配给该模块的。
58.因此在进一步的优选实施方式中,模块、优选完整的模块特别是固定地(即静态地)分配给分区,特别是分配给一个分区或应用。
59.在进一步的优选实施方式中可以规定,可以将(外围)模块分配给多个应用,例如可通过至少一个硬件功能(例如地址区域限制)预给定或控制。
60.在进一步的优选实施方式中,例如在设备或计算装置中存在模块,例如gtm(计时器模块)、以太网、hsm(硬件安全模块)(windows),所述模块的组件或集群或模块部分可以通过地址区域的内部分配被分配给分区或应用。
61.为了根据进一步的优选实施方式分离这些模块,特别是为了确定性功能的目标,提出以下机制:-通过地址区域将模块分配给分区或应用,和/或-将资源布置在一个模块中,使得分配给一个分区(或应用)的资源在一个地址区域内彼此靠近(例如相邻地),和/或-一个或多个地址区域的分配可以例如从外部通过总线桥和/或通过存储器保护装置(mpu)进行,所述存储器保护装置例如确保了不属于分配的分区或应用的内部(一个或多个)主机/从机无法读取和/或写入到该地址区域。
62.因此在进一步的优选实施方式中,(外围)模块向应用或分区的分配可以通过所述地址区域的限制、优选模块内部的限制进行。
63.在进一步的优选实施方式中,例如还存在可以通过软件(sw)机制彼此分离的模块,其中这些模块例如由多个分区或应用使用。根据进一步优选实施方式的一个示例例如是不使用已实现队列的以太网,根据进一步优选实施方式的另一示例是用于处理器间通信的总线,或can模块,其中sw分配、特别是各个id的sw分配是有意义的,因为例如在系统中不存在足够多的can模块。
64.因此,在进一步的优选实施方式中提出:a)通过配置工具配置这些模块,特别是在启动期间,使得考虑使用这些资源的所有分区或应用的边界条件,b)例如can/以太网:以满足所述要求的方式实现来自请求的带宽和/或等待时间——将消息id分配到具有对应待给定的优先级的模块队列,c)在持续运行期间,通过分区管理器(在分区或应用上运行在权限模式下的sw)来调节对这些资源的写入/读取——这里优选存在调用分区管理器的多个可能性,例如通过调用(call)或通过陷阱/模拟(其被故意写入到一个被锁定的资源,从而调用更高的权限级别来解决访问冲突),d)根据进一步优选实施方式的另一种可能性是通过在持续运行期间设置dma通道来调节写入和/或读取——然后这些dma通道例如优选地仅通过特定触发器被激活,并且所
述读取和/或写入然后包括例如只有模块中的特殊资源,例如然后写入/读取来自固定分配给各个分区的地址区域的数据。
65.因此在进一步的优选实施方式中提出:将所述设备或计算装置的资源(例如,外围模块)分配给多个分区或应用,其中使用sw功能和hw功能。
66.进一步的优选实施方式涉及一种用于控制诸如车辆的技术系统的方法,其中服务质量(qos,quality of service)或至少一个表征服务质量的变量用于至少暂时地将分区或应用彼此分开,即分离。
67.根据进一步的优选实施方式,在多个应用可以同时运行的设备或系统中,特别是为了实现所述应用的相同运行时或为了实现可预给定的资源分布(特别是独立于其他应用),有利地也考虑一个或多个总线,所述总线特别是可用于组件之间的数据传输。
68.由于在进一步的优选实施方式中应用的运行时受到多种因素的影响,在进一步的优选实施方式中这些因素也可以单独地或相互结合地得到解决:核心本身(管理程序(hypervisor)机制)、对存储器的访问(qos)、访问计算机中的模块,如spi、安全、......。
69.根据进一步的优选实施方式提出,可以将用于分离对存储器的访问的机制用于分离对所述(外围)模块的访问,所述机制例如可以在所述设备或计算装置的总线系统或总线架构中设置。
70.在进一步的优选实施方式中,至少一个应用,优选多个或所有应用,为至少一个外围组件或至少一个外围模块设置服务质量(“qos”),所述服务质量例如可通过等待时间和/或带宽来表征。例如:a)应用1为涉及外围组件的访问设置15个时钟的等待时间和20%的总线带宽,b)应用2为对同一外设组件的访问设置40个时钟的等待时间和70%的总线带宽。
71.换言之,在进一步的优选实施方式中,qos或qos机制(例如借助于硬件实现)的使用可以用于控制各个应用的带宽和/或等待时间,特别是用于将外围设备访问(应用对外围模块而不是对存储器的访问)分开,其中特别是还可以用于将应用确定性地分开和减少在一个设备或计算装置中(例如在一个控制设备中)实现多个应用情况下的耗费。
72.在进一步的优选实施方式中提出,使用至少一个计数器来模拟服务质量(qos),根据进一步的优选实施方式,这特别是在不能借助于硬件实现qos时特别有用。
73.在进一步的优选实施方式中提出,模拟一个或多个qos机制,例如借助于以下元素中的至少一个:a)实现针对等待时间和/或带宽的计数器,b)由软件在高优先级(例如,高于应用)评估这些计数器。根据进一步优选实施方式的一种可能实现例如规定:对每个总线实现x*2个寄存器(例如32比特宽)作为计数器(counter),其中x表征待支持的分区的数量,并且优选地在一个或多个寄存器中对相应分配的应用在每个时钟的访问计数。更优选地,每z毫秒(ms)将计数器值与预期计数器值进行比较,并且如果所述计数器值大于所述预期计数器值,则通知应用和例如分区管理器,以特别是启动替代措施。
74.在进一步的优选实施方式中,可以取决于所述设备或控制器的类型或取决于所述设备或控制器的目标系统的类型使用时间同步的网格或角度同步的网格(例如关于内燃机曲轴的一转),特别是用于上面借助于(一个或多个)计数器的示例性描述的qos模拟。
75.在进一步的优选实施方式中,每在具有(特别是可预给定的)分区id的总线上施加一个动作就将计数器增加一个可预给定的值,例如一,由此例如可以确定表征带宽的度量。
76.在进一步的优选实施方式中,从(特别是可预给定的)分区对总线的请求(request)开始对时钟进行计数,直到该分区获得所述总线(准许总线访问)为止。例如,如果经过计数的时钟数量小于可预给定的等待时间,则很好,如果经过计数的时钟的值大于可预给定的等待时间,则这在进一步的优选实施方式中可以得到存储,并且例如在所设置的时间间隔结束时可以读出在所考虑的时间间隔中的所述等待时间是否曾经大于预设时间,以及可选地,如果是则读出大多少。
77.在其他优选实施例中,替代或附加地,借助于硬件和/或触发中断来实现例如预设的自动比较。
78.在进一步的优选实施方式中,可以在所述设备或计算装置的至少一条总线上设置一个或多个计数器。
79.在进一步的优选实施方式中,所述计数器可以与对应的软件(和/或硬件)一起使用,例如用于评估保持的分配的带宽和/或(保持的)等待时间。
80.进一步的优选实施方式涉及一种用于控制诸如车辆的技术系统的方法和设备,其中设置存储器保护装置(mpu),其中所述存储器保护装置特别是用于限制关于所述设备或计算装置的至少一个总线系统的访问权限。
81.根据进一步的优选实施方式,在一个设备或计算装置上运行多个应用的优点是数据交换的短等待时间和该交换的高带宽,由此可以以比传统系统中预给定的更短的时间网格来计算例如调节器,因为来自其他应用的数据相对较快地可用。
82.在进一步的优选实施方式中,为了实现这一点并且特别是为了确保多个应用不会不允许地相互影响,提出将在所述计算装置内或所述计算装置外(例如在总线系统的区域中)的mpu用于限制访问权限。
83.在进一步的优选实施方式中,可以示例性地使用以下流程:设置例如核心外部的mpu,例如在总线接口中,其中设置两个应用,其中每个应用都在一个核心上运行。
84.在进一步的优选实施方式中,mpu可以被配置为,例如在系统启动期间,使得在每个分配给另一个核心的本地存储器中分配用于写入的区域,并且在自己的存储器中释放用于读取的区域。由此例如每个应用都可以读取另一个核心的数据并且通过写入向所述另一个核心本地提供数据,特别是不能覆盖其他(存储)区域。
85.因此在进一步的优选实施方式中提出:一种用于借助于mpu使用存储区域分配以确保在所述计算装置或所述设备上运行的多个应用之间的确定性数据交换的方法。
86.因此在其他优选实施例中提出:一种用于使用至少一个mpu确保不同应用的确定性存储器访问和/或数据交换的方法。在此背景下,“确定性”特别优选地与应用定时(即(一个或多个)应用的时间行为)有关,并且特别是与用于访问相应资源的周期的具体数量无关。
87.进一步的优选实施方式涉及一种用于控制诸如车辆的技术系统的方法和设备,其中使用至少一个硬件加速器单元以加速所述系统的启动(startup)。
88.在现代(特别是汽车)系统中,将设备的现有软件替换为其他软件(“tuning,调谐”),以例如在应用中有更多功率可用(例如更多功率,ps)。识别并在必要时防止这种情况的一种方法提出,在引导(启动)系统时事先检查软件代码以确定所述软件代码是否是实际应当执行的代码或所述代码是否已被操纵,例如在调谐措施的范围内。
89.根据进一步优选实施方式的用于检查sw代码的方法规定,确定或计算关于可预给定的存储区域或(特别是整个)存储器的至少一个校验和(checksum)。在此的一个问题可能是确定或计算所述校验和需要相对较长的时间,从而引导过程被延长了。在进一步的优选实施方式中,例如应当在30ms-100ms内完成引导过程。但是,由于校验和计算可能会增加大量的毫秒数。
90.因此,在进一步的优选实施方式中提出设置至少一个硬件加速器单元并将其用于计算(一个或多个)校验和(“hw校验和加速器”)。在进一步的优选实施方式中,还可以设置多个硬件加速器单元,这些硬件加速器单元必要时分别处理待检查的存储器的一部分或为对应部分形成校验和。更优选地,在启动(一个或多个)应用之前借助于所述至少一个硬件加速器单元来计算校验和。
91.在进一步的优选实施方式中,硬件加速器单元也可以分配给不同的分区或应用。
92.进一步的优选实施方式涉及一种用于控制诸如车辆的技术系统的方法和设备,其中在至少一个硬件模块或外围组件中实现机制,优选地在所述模块的接口(interface)中实现,借助于所述机制可以由多个分区或应用下达任务,这些任务特别是分别不能被其他分区覆盖或影响。在进一步的优选实施方式中,该机制也可以被称为“(一个或多个)传输窗口”。
93.在进一步的优选实施方式中,所述硬件模块(或所述模块的控制器,例如所述模块的微控制器)或所述外围组件被构造为根据预给定规则处理所述任务,例如以轮询(round robin)方法,由此有利地对于(外部)应用而言代表了确定性时间行为。
94.进一步的优选实施方式规定了在至少一个硬件模块中实现传输窗口,具有至少一个以下方面:a)所述传输窗口的地址区域可以可选地分配给不同的应用/分区,b)在所述模块中例如借助于sw按照预给定的方法(例如轮询方法)对任务进行处理。
95.进一步的优选实施方式涉及一种用于执行根据前述权利要求中的至少一项所述的方法的设备,其中所述设备特别是被构造为控制技术系统,特别是机动车辆。
96.在进一步的优选实施方式中规定,所述设备具有:具有至少一个计算核心、优选多个计算核心的计算装置(“计算机”),分配给所述计算装置的存储装置,所述存储装置用于至少临时存储以下元素中的至少一个:a)数据,b)计算机程序,特别是用于执行根据实施方式的方法。
97.在进一步的优选实施方式中,所述存储装置具有易失性存储器(例如工作存储器(ram))和/或非易失性(nvm)存储器(例如闪存eeprom)或它们的组合或与未明确提及的其他存储器类型的组合。
98.在进一步的优选实施方式中,所述设备具有至少一个模拟/数字(a/d)转换器,和/或至少一个另外的或其他外围组件,例如计时器模块(计时器)和/或数据接口,所述转换器被构造为将接收到的模拟信号(时间连续和/或数值连续的信号)转换为时间离散和/或数值离散的信号。
99.进一步的优选实施方式涉及一种包括指令的计算机可读存储介质,所述指令在由计算机执行时促使所述计算机执行根据实施方式的方法。
100.进一步的优选实施方式涉及一种包括指令的计算机程序,当该程序由计算机执行时所述指令促使所述计算机执行根据实施方式的方法。
101.进一步的优选实施方式涉及一种数据载体信号,其表征和/或传输根据实施方式的计算机程序。例如可以经由所述设备的一个或可选的数据接口接收所述数据载体信号。
102.进一步的优选实施方式涉及根据实施方式的方法和/或根据实施方式的设备和/或根据实施方式的计算机可读存储介质和/或根据实施方式的计算机程序和/或根据实施方式的数据载体信号用于以下元素中的至少一个的用途:a)实现所述设备的至少一些应用、优选所有应用的确定性运行时行为,b)避免对第一应用的新认证,特别是在改变至少一个另外的应用时。
附图说明
103.本发明进一步的特征、应用可能性和优点由以下对在附图的各图中示出的本发明实施例的描述得出。在此,所有描述或示出的特征单独或以任何组合形成本发明的主题,而不管它们如何在权利要求或其引用中的概括如何,也不管它们在说明书中的措辞或附图中的显示如何。
104.在附图中:图1示意性地示出了根据优选实施方式的技术系统的简化框图,图2示意性地示出了根据进一步优选实施方式的设备的简化框图,图3a示意性地示出了参考根据进一步优选实施方式的方法方面的简化流程图,以及图3b、图3c、图3d、图3e、图3f、图3g、图3h、图3i分别示意性地示出了参考根据进一步优选实施方式的方法方面的简化流程图。
具体实施方式
105.优选实施方式涉及用于控制技术系统1的方法和/或设备200,所述技术系统例如是车辆1,特别是机动车辆,参见图1。
106.在进一步的优选实施方式中,参见图2,规定设备200具有:具有至少一个(在当前情况下为三个)计算核心202a、202b、202c的计算装置(“计算机”)202,分配给计算装置202的存储装置204,所述存储装置用于至少临时存储以下元素中的至少一个:a)数据dat,b)计算机程序prg,特别是用于执行根据实施方式的方法。在进一步的优选实施方式中,计算机程序prg还可以表征至少临时在计算装置202上执行的至少一个应用app1、app2、app3,例如用于控制技术系统1或其组件(例如制动系统、内燃机)。
107.在进一步的优选实施方式中,设备200或计算装置202具有多个计算核心202a、202b、202c。在进一步的优选实施方式中,多于图1中示例性示出的三个计算核心202a、202b、202c也是可能的。
108.在进一步的优选实施方式中,存储装置204具有易失性存储器204a(例如工作(ram))和/或非易失性存储器204b(例如闪存eeprom)。
109.在进一步的优选实施方式中,计算装置202具有以下元件中的至少一个或被构造为这些元件中的至少一个:微处理器(μr)、微控制器(μc)、专用集成电路(asic)、片上系统
(soc)、可编程逻辑模块(例如fpga,现场可编程门阵列)、硬件电路或其任意组合。
110.进一步的优选实施方式涉及一种包括指令prg的计算机可读存储介质sm,所述指令在由计算机202执行时促使所述计算机执行根据实施方式的方法。
111.进一步的优选实施方式涉及一种包括指令的计算机程序prg,当该程序由计算机202执行时,所述指令促使所述计算机执行根据实施方式的方法。
112.进一步的优选实施方式涉及一种数据载体信号dcs,其表征和/或传输根据实施方式的计算机程序prg。例如可以经由设备200的可选数据接口206接收数据载体信号dcs。
113.参见图3a,进一步的优选实施方式涉及至少一个硬件组件的复位100、102(“reset”),特别是针对至少一个应用app1。
114.在进一步的优选实施方式中,设备200的模块和/或可能存在的、特别是外部的电路208(例如,模拟/数字转换器,adc)的复位100、102被实施为,使得可以运行多个独立的应用app1、app2、app3并且这些应用优选地不相互影响。
115.在进一步的优选实施方式中,设备200被构造为对每个计算核心202a、202b、202c单独地复位。特别地,因此一个计算核心202a的复位不会影响计算装置202中可能存在的另外的计算核心202b、202c。
116.在进一步的优选实施方式中,可以设置多个区域或集群,所述区域或集群的特征例如在于至少一个计算核心202a和可选地与所述至少一个计算核心相关联的存储器204a。在进一步的优选实施方式中,将所述存储器分配给所述至少一个计算核心可以是逻辑的和/或物理的。在进一步的优选实施方式中,至少一个集群可以独立于另外的集群的运行而被复位,特别是不会损害所述另外的集群的运行。由此在进一步的优选实施方式中,例如可以对至少一个集群复位,而可能存在的另外的集群可以独立于所述一个集群的复位而继续运行,以例如执行一个或多个应用。
117.在进一步的优选实施方式中,至少一个集群也可以具有至少一个电路组件或电路部分,例如锁相环(pll,phased locked loop)。在进一步的优选实施方式中,当至少一个集群复位时,所述至少一个电路组件也可以一起复位。
118.在进一步的优选实施方式中,可能存在的可以例如分配给各个应用app1、app2、app3的外围模块可以在监督器模式下和/或至少一个应用中复位。
119.在进一步的优选实施方式中,可选地存在的外部组件,例如外部逻辑,可以经由至少一个单独的数据线路,例如单独的gpio(general purpose input output,通用输入输出)来复位,其中根据进一步的优选实施方式,所述复位例如由监督器模式或由应用app1、app2、app3执行。在进一步的优选实施方式中,为此可以将gpio(信号)例如作为复位信号传导至外部组件(例如外部器件或电路)的复位输入端。
120.在进一步的优选实施方式中,可以为可能存在的外部组件或电路提供多个复位连接端(“管脚”),从而例如可以单独复位属于每个应用的外部电路。
121.在进一步的优选实施方式中,所述复位可以通过以下提到的来源中的至少一个来执行,所述来源特别是彼此独立的:a)信号,特别是硬件信号,其例如由监督器和/或监视逻辑触发,b)通过一个比特,所述比特在被写入时执行复位功能,c)通过让软件(特别是应用)设置比特以对应于复位状态。
122.在进一步的优选实施方式中,仍然可以在上述变体c)中以有针对性的方式保持特
定功能。作为根据进一步优选实施方式的示例,提到了计时器模块(“计时器”),其例如输出经过脉宽调制(pwm)的信号并且在此不应当被中断,特别是也不应当通过所述复位被中断。在此情况下,根据进一步的优选实施方式可以将计时器的其他实例或参数特别是在同一模块中经由寄存器设置(写入或设置比特)带入例如对应于复位值(“重新初始化”)的状态,所述模块根据进一步的优选实施方式也可以通过硬件复位。
123.在进一步的优选实施方式中,根据进一步的优选实施方式,利用上述示例性讲述的电路功能既可以由监督器又可以由至少一个应用app1本身复位所述应用的运行所必需的组件或电路部分,特别是独立于其他应用app2、app3的状态和/或运行(所述其他应用可以处于复位、启动、减速或正常功能)。
124.进一步的优选实施方式涉及一种用于复位用于控制技术系统1、特别是机动车辆的设备200的方法,设备200例如是控制设备,其中所述复位在设备200或技术系统1的持续运行期间(例如在多个不同的可能运行状态之一中)执行。
125.在进一步的优选实施方式中,多个应用app1、app2、app3,特别是彼此独立的或至少部分相关的应用app1、app2、app3,同时或至少时间重叠地在设备200上运行。
126.在进一步的优选实施方式中,可选地设置的另外的组件208或电路,特别是外部组件或电路,可以分配给至少一个应用app1,所述至少一个应用app1至少临时由设备200或其计算装置202或计算装置202的至少一个计算核心202a执行。
127.在进一步的优选实施方式中,将所述组件分配给所述至少一个应用也可以动态地执行,即在所述设备或所述应用的运行时期间执行。
128.在进一步的优选实施方式中,可选地设置的另外的组件或电路可以复位,特别是分开地由监督器和/或至少一个应用复位,特别是不影响所述设备的至少一个、优选多个、特别是所有另外的应用的运行时行为。
129.在进一步的优选实施方式中,所述运行时行为的特征在于保持相同的执行时间,特别是关于带宽和/或关于等待时间边界条件,其中在进一步的优选实施方式中不需要时钟精确相同的行为。
130.在进一步的优选实施方式中,当设备200的至少一个其他应用app2对分配给其的模块208和/或电路部分复位时,设备200的另外的应用app3继续运行。
131.参见图3b,进一步的优选实施方式涉及所述存储装置的存储区域的行为,特别是涉及所述存储装置的非易失性存储区域(“nvm(non-volatile memory,非易失性存储器)存储区域”)的行为,其中特别是非易失性存储区域sb1的特别是一个或多个非易失性存储区域分别分配110给或可以分配给一个应用app1或多个应用。
132.在进一步的优选实施方式中规定,至少一个nvm存储区域sb1可以分配给至少一个、特别是恰好一个应用app1。
133.在进一步的优选实施方式中,所述nvm存储区域被布置为,使得其可以例如a)经由mpu(memory protection unit,存储器保护单元)和/或b)经由监督器、特别是通过分配分区id分配给所述至少一个应用。
134.在进一步的优选实施方式中,设备200或计算装置202具有三个计算核心(“核心”)202a、202b、202c,其中例如在每个核心上执行应用,并且其中例如向每个应用分配可预给定的存储区域,例如4兆字节(mb)。例如,将第一存储区域sb1分配给第一应用app1并且将第
二存储区域sb2分配给第二应用app1,参见根据图3b的步骤110、112。
135.在进一步的优选实施方式中,在存储装置204中设置多个存储模块,特别是为nvm存储区域204b,其中优选地至少两个、优选地多于两个、更优选地所有存储模块被实施为使得它们要么完整地构建,要么由较小的子模块构建或组成。
136.在进一步的优选实施方式中,这些子模块具有与要分配的存储模块至少部分相同的特性,例如关于共同的字线操控器和/或共同的位线读出电路和/或共同的编程电压输送器。
137.在进一步的优选实施方式中,设备200或计算装置202被构造为独立于其他存储区域或模块或子模块的状态来执行分配的存储区域或模块或子模块的重新编程,其中特别是为此所需的资源在每个存储区域中例如多重存在。因此在进一步的优选实施方式中,可以对第一(存储)区域进行重新编程,而从其他(存储)区域来看应用继续运行,就好像一个应用或分配给它的存储区域没有被重新编程一样。
138.在进一步的优选实施方式中,一个应用或分配给它的存储区域的重新编程可以从监督器和/或分区管理器和/或应用进行。
139.在进一步的优选实施方式中,特别是通过提供上述资源,该方法还可以在(特别是相对于所述计算装置或设备的)外部存储器中执行,所述外部存储器特别是nvm存储器,其例如具有多个块并且例如可以具有用于这些块的单独的字线操控器和/或用于这些块的单独的位线读出电路。在进一步的优选实施方式中,所述nvm存储器可以构造为lpddr(low power double data rate,低功率双倍数据速率)存储器类型。
140.进一步的优选实施方式涉及一种用于对设备或所述设备的或用于所述设备的存储装置进行编程(和/或重新编程)的方法,其中所述设备例如被构造为控制诸如机动车辆的技术系统,其特征在于至少一个以下方面:a)所述方法例如在机动车辆中,在持续运行期间(例如在机动车辆的各种运行状态之一中)执行,b)在所述设备或控制器上或借助于所述设备或控制器,多个独立的或相关的应用同时运行或至少部分时间重叠地运行,c)在所述计算装置内部和/或外部的不同存储区域可以分配给应用,特别是灵活和/或动态地,d)在所述计算装置内部和/或外部的不同存储区域可以特别是单独地或彼此独立地由监督器和/或至少一个(特别是分配的)应用重新编程,特别是不影响所述设备或计算装置的至少一个其他应用或多个或所有其他应用的运行时行为(所述运行时行为的特征在于例如保持相同的执行时间(特别是关于可预给定的带宽和/或可预给定的等待时间边界条件),其中根据进一步的优选实施方式,特别是不需要时钟精确相同的行为,e)当对一个或多个应用重新编程时,所述设备或计算装置的至少一个其他应用,优选所有其他应用继续工作。
141.参见图3c,进一步的优选实施方式涉及错误收集和控制单元fccu 201(图2),即涉及用于收集和管理错误的装置,特别是涉及fccu的资源的划分。图3c的步骤115象征着fccu 201的使用。
142.在进一步的优选实施方式中规定,fccu被构造为保证所述设备或计算装置的应用
的独立(继续)运行,由此实现例如功能上确定性分离的反应(特别是与功能安全相关,“safety”),例如对硬件错误的反应。换言之,由此在进一步的优选实施方式中使得例如不受硬件错误涉及的应用可以继续执行。
143.在进一步的优选实施方式中,fccu被构造为收集116(图3c)在诸如核心、ram(工作存储器)、nvm(非易失性存储器)和/或外围模块的各个模块中的硬件错误(“hw错误”),并且例如执行117例如可以借助于安全设置(与功能安全相关方面的设置或配置)设置或预给定的错误反应,例如激活一个或多个错误引脚(错误连接端)、触发中断(中断请求)、触发复位或激活nmi(不可屏蔽的中断请求)。
144.在进一步的优选实施方式中,将错误输入信号分配给一个或多个应用,其中特别是还可能生成错误反应(参见例如上述示例性描述的实施方式)或输出到分区和/或应用和/或分配的错误引脚。
145.例如,一旦在三个计算核心中的其上例如运行第一应用app1(“应用1”)的第一计算核心(“核心1”)202a(图2)中识别出错误,则例如可以将核心1 202a中的锁步错误报告给fccu 201。在进一步的优选实施方式中,fccu 201被配置为使得所述错误可以优选地仅作用于分配给应用1的动作——例如核心1 202a的gic((通用)中断控制器)中的中断资源、核心1的复位、核心1的nmi或一个或多个错误引脚。在进一步的优选实施方式中,可以在安全系统设置中——例如通过监督器或应用1——设定,该错误例如触发核心1的复位,或者当出现该错误时应当触发核心1的复位。在进一步的优选实施方式中,其他应用(例如“应用2”和“应用3”)不受核心1中的锁步错误的影响,并且优选地继续以相同的时间行为运行。
146.根据进一步的优选实施方式,例如在三个计算核心中的分配给第三应用app3(“应用3”)的第三计算核心202c(“核心3”)中可能识别出错误,例如在分配给应用3的nvm存储区域中不可纠正的“双比特”错误。fccu 201优选地被配置为使得所述错误,特别是仅转发到分配给应用3的动作。更优选地,可以触发对应用3的中断请求(中断),例如由fccu触发,以例如调用用于双比特错误的错误处理例程。在进一步的优选实施方式中,所述错误处理例程可以例如包含附加测试,以例如确定由所述错误引起的安全影响的严重性并且可选地让应用3相应地继续运行或例如复位(reset)应用3,或还通知其他应用(例如经由监督器)——例如借助于中断——所述其他应用可能会受到影响(也受错误影响),并且例如应当对分配给应用1和2的nvm存储器进行对应的检查。
147.进一步的优选实施方式涉及一种用于对技术系统(例如对机动车辆)的设备(例如控制器)中的应用进行错误处理的方法,其特征在于至少一个以下方面:a)所述方法例如在机动车辆中,在持续运行期间(例如在机动车辆的各种运行状态之一中)执行,b)在所述设备或控制器上或借助于所述设备或控制器,多个独立的或相关的应用同时运行或至少部分时间重叠地运行,c)例如可能在所述计算装置(的外部nvm或ram)内部和/或外部出现的不同错误或错误事件(例如ram、核心、nvm......)可以分别分配给至少一个应用,d)至少一个、优选多个、特别是所有应用可以至少在其资源内评估错误或所述错误和/或启动对应的错误反应和/或通知至少一个其他应用例如可能的安全错误,特别是在分配给所述应用的资源内,
e)至少一个、优选多个、特别是所有应用可以由至少一个其他应用通知错误或所述错误,f)其他应用,特别是不受错误或所述错误影响的应用,可以继续运行,特别是继续按照以下方式运行,即保持运行时行为,特别是等待时间边界条件,其中特别是不需要时钟精确相同的行为。
148.参见图3d,进一步的优选实施方式涉及将表征应用(applikation)app1、app2、app3的运行状态的信息i1-fusi,特别是表征关于功能安全(“safety,安全”)的运行状态(“安全状态”)的信息转发120到至少一个另外的单元,例如外部单元300(图2),特别是布置在计算装置202或设备200外部的单元300。
149.在进一步的优选实施方式中规定,特别是为了保证关于对硬件错误的功能确定性分离的安全反应,未涉及的(一个或多个)应用以及必要时可选地连接到所述应用的(一个或多个)外部单元(例如,驱动器的操控,例如用于承载安全负载以及例如承担将所述计算装置的连接端(“计算机引脚”)转换为例如物理总线协议的信号的phy,或组件的操控,如内燃机中的点火/喷射)能独立继续运行,分配给所述应用的(相对于所述计算装置的)外部电路发信号通知例如安全状态“错误”(在进一步的优选实施方式中也可以是“复位”,而且附加于复位地),以特别是不影响分配给未涉及的应用的电路部分。
150.在进一步的优选实施方式中,示例性地设置三个计算核心(3个核心),具有3个应用,其中在每个核心上运行三个应用之一。此外,例如设置三个错误引脚(连接端,例如用于发信号通知错误状态)。在进一步的优选实施方式中,示例性地设置了用于vcu(vehicle control unit,车辆控制单元)(例如核心1上的应用1)的外部接口和用于燃烧应用(例如核心3上的应用3)的喷射的外部接口。
151.在进一步的优选实施方式中,燃烧应用例如想要关闭喷射,以降低发动机的扭矩。为此例如激活错误引脚3(其例如在启动期间(即所述设备启动时)已分配给应用3),该错误引脚优选连接到(外部)喷射电路(ic),使得该喷射电路特别是与预给定喷射定时的脉冲无关地关闭并且例如不操控喷射阀。在其他优选实施例中,vcu功能同时继续在核心1上的应用1上继续运行——该vcu例如还经由can驱动器传输带有安全负载的信号。在进一步的优选实施方式中,不激活错误引脚1(例如,在启动期间分配给应用1),从而来自所述计算装置或所述设备的can信号经由当前未停用(用错误引脚1停用)的can驱动器转发。由此,核心1上的vcu应用不受应用3的错误影响(继续),并且特别是继续传输所述can信号。
152.进一步的优选实施方式涉及一种用于向所述计算装置或所述设备外部的单元或器件发信号通知、特别是转发至少一个应用的安全状态的方法,其特征在于至少一个以下方面:a)安全状态的发信号通知可以优选地用作关闭信号,例如针对外部器件(“外围模块”),b)可以将所述发信号通知分配给例如在所述计算装置上并行运行的各个应用,其中特别是可以将分配给一个应用的外围模块与其他应用的状态或所述其他应用的外围模块的状态无关地复位,c)可以在复位之后进行分配,优选不可更改地,d)这些实施方式的方面也可以用于外部安全器件,例如外部密码器件(密码加速
器、硬件安全模块)、接口,e)既与功能安全方面(“fusi”,“安全(safety)”)相关又与安全方面相关的用途,例如防止操纵(“保安(security)”)。
153.参见图3e,进一步的优选实施方式涉及一种用于控制诸如车辆1的技术系统1的方法,其中将至少一个外围模块206分配给至少一个、特别是恰好一个应用app1,参见图3e的步骤125。所述应用可以优选地分别在计算装置202上的分开的分区中运行。
154.在进一步的优选实施方式中,至少一个外围模块206例如是以下元件中的至少一个:计时器(计时器模块)、通信接口206、gpio端口(通用输入和/或输出连接端)。
155.由此可以优选地实现:多个应用app1、app2、app3在计算装置202上运行时不会相互影响。
156.根据进一步的优选实施方式可以避免的不期望的相互影响的示例是:1. 模拟/数字转换器(adc)的运行:如果多个应用访问adc的资源(例如通道/输入端和/或控制寄存器),则一个应用可能例如覆盖另一个应用的设置,例如通道分配、采样时间(采样率)、转换时间、......2. can(控制器局域网):如果在多个应用中使用同一can总线上的can标识符,则可以在can模块中例如进行队列条目,其中一个分区(即,例如一个应用)的软件可以覆盖另一个应用的设置。
157.在进一步的优选实施方式中规定,至少一个外围模块可以优选完全地分配给一个分区或应用。
158.在进一步的优选实施方式中,在所述设备或计算装置中设置例如模块,例如spi(串行外围接口)、lin(本地互连网络)、can、adc,所述模块例如可以优选地完全分配给一个应用,特别是因为这些模块的资源要么完全被所述分区或应用使用,要么这些模块多次存在,特别是频繁存在,以至于对应的各个模块可以完全分配给一个分区或应用。
159.在进一步的优选实施方式中,提出了以下机制,以特别是根据确定性功能的目标来分离这些模块:-将至少一个、优选多个或所有模块分配给一个分区或应用(特别是在所述模块中),其中特别是该模块仅从总线(例如用于将该模块连接到所述计算装置或设备的(一个或多个)组件的数据总线)接受带有可预给定标识符(例如“分区id”)的写入命令和/或读取命令,所述可预给定标识符例如是事先在系统设置时由分区管理器分配给该模块的。
160.因此在进一步的优选实施方式中,模块、优选完整的模块特别是固定地(即静态地)分配给分区,特别是分配给一个分区或应用。
161.在进一步的优选实施方式中可以规定,可以将(外围)模块分配给多个应用,例如可通过至少一个硬件功能(例如地址区域限制)预给定或控制。
162.在进一步的优选实施方式中,例如在设备或计算装置中存在模块,例如gtm(计时器模块)、以太网、hsm(硬件安全模块)(windows),所述模块的组件或集群或模块部分可以通过地址区域的内部分配被分配给分区或应用。
163.为了根据进一步的优选实施方式分离这些模块,特别是为了确定性功能的目标,提出以下机制:-通过地址区域将模块分配给分区或应用,和/或-将资源布置在一个模块中,使得分配给一个分区(或应用)的资源在一个地址区域内彼此靠近(例如相邻地),和/或-一个或多个地址区域的分配可以例如从外部通过总线桥和/或通过存储器保护装置(mpu)进行,所述存储器保护装置例如确保了不属于分配的分区或应用的内部(一个或多个)主机/从机无法读取和/或写入到该地址区域。
164.因此在进一步的优选实施方式中,(外围)模块向应用或分区的分配可以通过所述地址区域的限制、优选模块内部的限制进行。
165.在进一步的优选实施方式中,例如还存在可以通过软件(sw)机制彼此分离的模块,其中这些模块例如由多个分区或应用使用。根据进一步优选实施方式的一个示例例如是不使用已实现队列的以太网,根据进一步优选实施方式的另一示例是用于处理器间通信的总线,或can模块,其中sw分配、特别是各个id的sw分配是有意义的,因为例如在系统中不存在足够多的can模块。
166.因此,在进一步的优选实施方式中提出:a)通过配置工具配置这些模块,特别是在启动期间,使得考虑使用这些资源的所有分区或应用的边界条件,b)例如can/以太网:以满足所述要求的方式实现来自请求的带宽和/或等待时间——将消息id分配到具有对应待给定的优先级的模块队列,c)在持续运行期间,通过分区管理器(在分区或应用上运行在权限模式下的sw)来调节对这些资源的写入/读取——这里优选存在调用分区管理器的多个可能性,例如通过调用(call)或通过陷阱/模拟(其被故意写入到一个被锁定的资源,从而调用更高的权限级别来解决访问冲突),d)根据进一步优选实施方式的另一种可能性是通过在持续运行期间设置dma通道来调节写入和/或读取——然后这些dma通道例如优选地仅通过特定触发器被激活,并且所述读取和/或写入然后包括例如只有模块中的特殊资源,例如然后写入/读取来自固定分配给各个分区的地址区域的数据。
167.因此在进一步的优选实施方式中提出:将所述设备或计算装置的资源(例如,外围模块)分配给多个分区或应用,其中使用sw功能和hw功能。
168.参见图3f,进一步的优选实施方式涉及一种用于控制诸如车辆的技术系统的方法,其中服务质量(qos,quality of service)或至少一个表征服务质量的变量用于至少暂时地将分区或应用彼此分开,即分离,参见步骤130。
169.根据进一步的优选实施方式,在多个应用可以同时运行的设备或系统中,特别是为了实现所述应用的相同运行时或为了实现可预给定的资源分布(特别是独立于其他应用),有利地也考虑一个或多个总线,所述总线特别是可用于组件之间的数据传输。
170.由于在进一步的优选实施方式中应用的运行时受到多种因素的影响,在进一步的优选实施方式中这些因素也可以单独地或相互结合地得到解决:核心本身(管理程序(hypervisor)机制)、对存储器的访问(qos)、访问计算机中的模块,如spi、安全、......。
171.根据进一步的优选实施方式提出,可以将用于分离对存储器的访问的机制用于分离对所述(外围)模块的访问,所述机制例如可以在所述设备或计算装置的总线系统或总线架构中设置。
172.在进一步的优选实施方式中,至少一个应用,优选多个或所有应用,为至少一个外围组件或至少一个外围模块设置服务质量(“qos”),所述服务质量例如可通过等待时间和/或带宽来表征,参见根据图3f的可选步骤132。例如:a)应用1为涉及外围组件的访问设置15个时钟的等待时间和20%的总线带宽,b)应用2为对同一外设组件的访问设置40个时钟的等待时间和70%的总线带宽。
173.换言之,在进一步的优选实施方式中,qos或qos机制(例如借助于硬件实现)的使用可以用于控制各个应用app1的带宽和/或等待时间,特别是用于将外围设备访问(应用对外围模块而不是对存储器的访问)分开,其中特别是还可以用于将应用确定性地分开和减少在一个设备或计算装置中(例如在一个控制设备中)实现多个应用情况下的耗费。
174.在进一步的优选实施方式中提出,使用至少一个计数器来模拟服务质量(qos),根据进一步的优选实施方式,这特别是在不能借助于硬件实现qos时特别有用。
175.在进一步的优选实施方式中提出,模拟一个或多个qos机制,例如借助于以下元素中的至少一个:a)实现针对等待时间和/或带宽的计数器,b)由软件在高优先级(例如,高于应用)评估这些计数器。根据进一步优选实施方式的一种可能实现例如规定:对每个总线实现x*2个寄存器(例如32比特宽)作为计数器(counter),其中x表征待支持的分区的数量,并且优选地在一个或多个寄存器中对相应分配的应用在每个时钟的访问计数。更优选地,每z毫秒(ms)将计数器值与预期计数器值进行比较,并且如果所述计数器值大于所述预期计数器值,则通知应用和例如分区管理器,以特别是启动替代措施。
176.在进一步的优选实施方式中,可以取决于设备200或控制器的类型或取决于所述设备或控制器的目标系统1的类型使用时间同步的网格或角度同步的网格(例如关于内燃机曲轴的一转),特别是用于上面借助于(一个或多个)计数器的示例性描述的qos模拟。
177.在进一步的优选实施方式中,每在具有(特别是可预给定的)分区id的总线上施加一个动作就将计数器增加一个可预给定的值,例如一,由此例如可以确定表征带宽的度量。
178.在进一步的优选实施方式中,从(特别是可预给定的)分区对总线的请求(request)开始对时钟进行计数,直到该分区获得所述总线(准许总线访问)为止。例如,如果经过计数的时钟数量小于可预给定的等待时间,则很好,如果经过计数的时钟的值大于可预给定的等待时间,则这在进一步的优选实施方式中可以得到存储,并且例如在所设置的时间间隔结束时可以读出在所考虑的时间间隔中的所述等待时间是否曾经大于预设时间,以及可选地,如果是则读出大多少。
179.在其他优选实施例中,替代或附加地,借助于硬件和/或触发中断来实现例如预设的自动比较。
180.在进一步的优选实施方式中,可以在所述设备或计算装置的至少一条总线上设置一个或多个计数器。
181.在进一步的优选实施方式中,所述计数器可以与对应的软件(和/或硬件)一起使用,例如用于评估保持的分配的带宽和/或(保持的)等待时间。
182.参见图3g,进一步的优选实施方式涉及一种用于控制诸如车辆的技术系统的方法和设备,其中设置存储器保护装置(mpu),其中所述存储器保护装置特别是用于限制关于设备200或计算装置202的至少一个总线系统的访问权限,参见步骤135。
183.根据进一步的优选实施方式,在一个设备或计算装置上运行多个应用的优点是数
据交换的短等待时间和该交换的高带宽,由此可以以比传统系统中预给定的更短的时间网格来计算例如调节器,因为来自其他应用的数据相对较快地可用。
184.在进一步的优选实施方式中,为了实现这一点并且特别是为了确保多个应用不会不允许地相互影响,提出将在所述计算装置内或所述计算装置外(例如在总线系统的区域中)的mpu用于限制访问权限。
185.在进一步的优选实施方式中,可以示例性地使用以下流程:设置例如核心外部的mpu,例如在总线接口中,其中设置两个应用,其中每个应用都在一个核心上运行。
186.在进一步的优选实施方式中,mpu可以被配置为,例如在系统启动期间,使得在每个分配给另一个核心的本地存储器中分配用于写入的区域,并且在自己的存储器中释放用于读取的区域。由此例如每个应用都可以读取另一个核心的数据并且通过写入向所述另一个核心本地提供数据,特别是不能覆盖其他(存储)区域。
187.因此在进一步的优选实施方式中提出:一种用于借助于mpu使用存储区域分配以确保在所述计算装置或所述设备上运行的多个应用之间的确定性数据交换的方法。
188.因此在其他优选实施例中提出:一种用于使用至少一个mpu确保不同应用的确定性存储器访问和/或数据交换的方法。在此背景下,“确定性”特别优选地与应用定时(即(一个或多个)应用的时间行为)有关,并且特别是与用于访问相应资源的周期的具体数量无关。
189.参见图3h,进一步的优选实施方式涉及一种用于控制诸如车辆的技术系统的方法和设备,其中使用至少一个硬件加速器单元hsm(图2)以加速所述系统或所述设备200的启动(startup)。
190.在现代(特别是汽车)系统中,将设备的现有软件替换为其他软件(“tuning,调谐”),以例如在应用中有更多功率可用(例如更多功率,ps)。识别并在必要时防止这种情况的一种方法提出,在引导(启动)系统时事先检查软件代码以确定所述软件代码是否是实际应当执行的代码或所述代码是否已被操纵,例如在调谐措施的范围内。
191.根据进一步优选实施方式的用于检查sw代码的方法规定,确定或计算关于可预给定的存储区域或(特别是整个)存储器的至少一个校验和(checksum)。在此的一个问题可能是确定或计算所述校验和需要相对较长的时间,从而引导过程被延长了。在进一步的优选实施方式中,例如应当在30ms-100ms内完成引导过程。但是,由于校验和计算可能会增加大量的毫秒数。
192.因此,在进一步的优选实施方式中提出设置至少一个硬件加速器单元hsm并将其用于计算(一个或多个)校验和(“hw校验和加速器”)。在进一步的优选实施方式中,还可以设置多个硬件加速器单元,这些硬件加速器单元必要时分别处理待检查的存储器的一部分或为对应部分形成校验和。更优选地,在启动(一个或多个)应用app1、app2、app3之前借助于所述至少一个硬件加速器单元来计算校验和。
193.在进一步的优选实施方式中,硬件加速器单元也可以分配给不同的分区或应用。
194.参见图3i,进一步的优选实施方式涉及一种用于控制诸如车辆1的技术系统1的方法和设备200,其中在至少一个硬件模块208或外围组件中实现机制,优选地在模块208的接口(interface)中实现,参见根据图3i的步骤150,借助于所述机制可以由多个分区或应用app1、app2、app3下达任务,这些任务特别是分别不能被其他分区覆盖或影响。在进一步的
优选实施方式中,该机制也可以被称为“(一个或多个)传输窗口”。
195.在进一步的优选实施方式中,所述硬件模块(或所述模块的控制器,例如所述模块的微控制器)或所述外围组件被构造为根据预给定规则处理所述任务,例如以轮询(round robin)方法,由此有利地对于(外部)应用而言代表了确定性时间行为。
196.进一步的优选实施方式规定了在至少一个硬件模块中实现传输窗口,具有至少一个以下方面:a)所述传输窗口的地址区域可以可选地分配给不同的应用/分区,b)在所述模块中例如借助于sw按照预给定的方法(例如轮询方法)对任务进行处理。
197.进一步的优选实施方式涉及根据实施方式的方法和/或根据实施方式的设备和/或根据实施方式的计算机可读存储介质和/或根据实施方式的计算机程序和/或根据实施方式的数据载体信号用于以下元素中的至少一个的用途:a)实现所述设备的至少一些应用、优选所有应用的确定性运行时行为,b)避免对第一应用的新认证,特别是在改变至少一个另外的应用时。
背景技术:
1.存在控制技术系统(例如车辆)的子功能的控制设备。这些控制设备分别控制特定的子功能和/或相关联的应用。
技术实现要素:
2.优选实施方式涉及一种用于控制诸如车辆的技术系统的设备。
3.在进一步的优选实施方式中规定,所述设备具有:具有至少一个计算核心的计算装置(“计算机”),分配给所述计算装置的存储装置,所述存储装置用于至少临时存储以下元素中的至少一个:a)数据,b)计算机程序,特别是用于执行根据实施方式的方法。在进一步的优选实施方式中,所述计算机程序还可以表征在所述计算装置上执行的至少一个应用,例如用于控制所述技术系统。
4.在进一步的优选实施方式中,所述设备或所述计算装置具有多个计算核心。
5.在进一步的优选实施方式中,所述存储装置具有易失性存储器(例如工作(ram))和/或非易失性存储器(例如闪存eeprom)。
6.在进一步的优选实施方式中,所述计算装置具有以下元件中的至少一个:微处理器(μr)、微控制器(μc)、专用集成电路(asic)、片上系统(soc)、可编程逻辑模块(例如fpga,现场可编程门阵列)、硬件电路或其任意组合。
7.进一步的优选实施方式涉及一种包括指令的计算机可读存储介质,所述指令在由计算机执行时促使所述计算机执行根据实施方式的方法。
8.进一步的优选实施方式涉及一种包括指令的计算机程序,当该程序由计算机执行时,所述指令促使所述计算机执行根据实施方式的方法。
9.进一步的优选实施方式涉及一种数据载体信号,其表征和/或传输根据实施方式的计算机程序。例如可以经由所述设备的可选数据接口接收所述数据载体信号。
10.进一步的优选实施方式涉及至少一个硬件组件的复位(“reset”),特别是针对至少一个应用。
11.在进一步的优选实施方式中,所述设备的模块和/或可能存在的、特别是外部的电路的复位被实施为,使得可以运行多个独立的应用并且这些应用优选地不相互影响。
12.在进一步的优选实施方式中,所述设备被构造为对每个计算核心单独地复位。特别地,因此一个计算核心的复位不会影响所述计算装置中可能存在的另外的计算核心。
13.在进一步的优选实施方式中,可以设置多个区域或集群,所述区域或集群的特征例如在于至少一个计算核心和可选地与所述至少一个计算核心相关联的存储器。在进一步的优选实施方式中,将所述存储器分配给所述至少一个计算核心可以是逻辑的和/或物理的。在进一步的优选实施方式中,至少一个集群可以独立于另外的集群的运行而被复位,特别是不会损害所述另外的集群的运行。由此在进一步的优选实施方式中,例如可以对至少一个集群复位,而可能存在的另外的集群可以独立于所述一个集群的复位而继续运行,以例如执行一个或多个应用。
14.在进一步的优选实施方式中,至少一个集群也可以具有至少一个电路组件或电路部分,例如锁相环(pll,phased locked loop)。在进一步的优选实施方式中,当至少一个集群复位时,所述至少一个电路组件也可以一起复位。
15.在进一步的优选实施方式中,可能存在的可以例如分配给各个应用的外围模块可以在监督器模式下和/或至少一个应用中复位。
16.在进一步的优选实施方式中,可选地存在的外部组件,例如外部逻辑,可以经由至少一个单独的数据线路,例如单独的gpio(general purpose input output,通用输入输出)来复位,其中根据进一步的优选实施方式,所述复位例如由监督器模式或由应用执行。在进一步的优选实施方式中,为此可以将gpio(信号)例如作为复位信号传导至外部组件(例如外部器件或电路)的复位输入端。
17.在进一步的优选实施方式中,可以为可能存在的外部组件或电路提供多个复位连接端(“管脚”),从而例如可以单独复位属于每个应用的外部电路。
18.在进一步的优选实施方式中,所述复位可以通过以下提到的来源中的至少一个来执行,所述来源特别是彼此独立的:a)信号,特别是硬件信号,其例如由监督器和/或监视逻辑触发,b)通过一个比特,所述比特在被写入时执行复位功能,c)通过让软件(特别是应用)设置比特以对应于复位状态。
19.在进一步的优选实施方式中,仍然可以在上述变体c)中以有针对性的方式保持特定功能。作为根据进一步优选实施方式的示例,提到了计时器模块(“计时器”),其例如输出经过脉宽调制(pwm)的信号并且不应当被中断,特别是也不应当通过所述复位被中断。在此情况下,根据进一步的优选实施方式可以将计时器的其他实例或参数特别是在同一模块中经由寄存器设置(写入或设置比特)带入例如对应于复位值(“重新初始化”)的状态,所述模块根据进一步的优选实施方式也可以通过硬件复位。
20.在进一步的优选实施方式中,根据进一步的优选实施方式,利用上述示例性讲述的电路功能既可以由监督器又可以由至少一个应用本身复位所述应用的运行所必需的组件或电路部分,特别是独立于其他应用的状态和/或运行(所述其他应用可以处于复位、启动、减速或正常功能)。
21.进一步的优选实施方式涉及一种用于复位用于控制技术系统、特别是机动车辆的设备的方法,所述设备例如是控制设备,其中所述复位在所述设备或所述技术系统的持续运行期间(例如在多个不同的可能运行状态之一中)执行。
22.在进一步的优选实施方式中,多个应用,特别是彼此独立的或至少部分相关的应用,同时或至少时间重叠地在所述设备上运行。
23.在进一步的优选实施方式中,可选地设置的另外的组件或电路,特别是外部组件或电路,可以分配给至少一个应用,所述至少一个应用至少临时由所述设备或其计算装置或所述计算装置的至少一个计算核心执行。
24.在进一步的优选实施方式中,将所述组件分配给所述至少一个应用也可以动态地执行,即在所述设备或所述应用的运行时期间执行。
25.在进一步的优选实施方式中,可选地设置的另外的组件或电路可以复位,特别是分开地由监督器和/或至少一个应用复位,特别是不影响所述设备的至少一个、优选多个、特别是所有另外的应用的运行时行为。
26.在进一步的优选实施方式中,所述运行时行为的特征在于保持相同的执行时间,特别是关于带宽和/或关于等待时间边界条件,其中在进一步的优选实施方式中不需要时钟精确相同的行为。
27.在进一步的优选实施方式中,当所述设备的至少一个其他应用对分配给其的模块和/或电路部分复位时,所述设备的另外的应用继续运行。
28.进一步的优选实施方式涉及所述存储装置的存储区域的行为,特别是涉及所述存储装置的非易失性存储区域(“nvm(non-volatile memory,非易失性存储器)存储区域”)的行为,其中特别是非易失性存储区域的特别是一个或多个非易失性存储区域可以分别分配给一个应用或多个应用。
29.在进一步的优选实施方式中规定,至少一个nvm存储区域可以分配给至少一个应用。
30.在进一步的优选实施方式中,所述nvm存储区域被布置为,使得其例如可以a)经由mpu(memory protection unit,存储器保护单元)和/或b)经由监督器、特别是通过分配分区id分配给所述至少一个应用。
31.在进一步的优选实施方式中,所述设备或所述计算装置具有三个计算核心(“核心”),其中例如在每个核心上执行应用,并且其中例如向每个应用分配可预给定的存储区域,例如4兆字节(mb)。
32.在进一步的优选实施方式中,在所述存储装置中设置多个存储模块,特别是为所述nvm存储区域,其中优选地至少两个、优选地多于两个、更优选地所有存储模块被实施为使得它们要么完整地构建,要么由较小的子模块构建或组成。
33.在进一步的优选实施方式中,所述子模块具有与要分配的存储模块至少部分相同的特性,例如关于共同的字线操控器和/或共同的位线读出电路和/或共同的编程电压输送器。
34.在进一步的优选实施方式中,所述设备或所述计算装置被构造为独立于其他存储区域或模块或子模块的状态来执行分配的存储区域或模块或子模块的重新编程,其中特别是为此所需的资源在每个存储区域中例如多重存在。因此在进一步的优选实施方式中,可以对第一(存储)区域进行重新编程,而从其他(存储)区域来看应用继续运行,就好像一个应用或分配给它的存储区域没有被重新编程一样。
35.在进一步的优选实施方式中,一个应用或分配给它的存储区域的重新编程可以从监督器和/或分区管理器和/或应用进行。
36.在进一步的优选实施方式中,特别是通过提供上述资源,该方法还可以在(特别是相对于所述计算装置或设备的)外部存储器中执行,所述外部存储器特别是nvm存储器,其例如具有多个块并且例如可以具有用于这些块的单独的字线操控器和/或用于这些块的单独的位线读出电路。在进一步的优选实施方式中,所述nvm存储器可以构造为lpddr(low power double data rate,低功率双倍数据速率)存储器类型。
37.进一步的优选实施方式涉及一种用于对设备或所述设备的或用于所述设备的存储装置进行编程(和/或重新编程)的方法,其中所述设备例如被构造为控制诸如机动车辆的技术系统,其特征在于至少一个以下方面:a)所述方法例如在机动车辆中,在持续运行期间(例如在机动车辆的各种运行状
态之一中)执行,b)在所述设备或控制器上或借助所述设备或控制器,多个独立的或相关的应用同时运行或至少部分时间重叠地运行,c)在所述计算装置内部和/或外部的不同存储区域可以分配给应用,特别是灵活和/或动态地,d)在所述计算装置内部和/或外部的不同存储区域可以特别是单独地或彼此独立地由监督器和/或至少一个(特别是分配的)应用重新编程,特别是不影响所述设备或计算装置的至少一个其他应用或多个或所有其他应用的运行时行为(所述运行时行为的特征在于例如保持相同的执行时间(特别是关于可预给定的带宽和/或可预给定的等待时间边界条件),其中根据进一步的优选实施方式,特别是不需要时钟精确相同的行为,e)当对一个或多个应用重新编程时,所述设备或计算装置的至少一个其他应用,优选所有其他应用继续工作。
38.进一步的优选实施方式涉及错误收集和控制单元fccu,即涉及用于收集和管理错误的装置,特别是涉及fccu的资源的划分。
39.在进一步的优选实施方式中规定,所述fccu被构造为保证所述设备或计算装置的应用的独立(继续)运行,由此实现例如功能上确定性分离的反应(特别是与功能安全相关,“safety”),例如对硬件错误的反应。换言之,由此在进一步的优选实施方式中使得例如不受硬件错误涉及的应用可以继续执行。
40.在进一步的优选实施方式中,所述fccu被构造为收集在诸如核心、ram(工作存储器)、nvm(非易失性存储器)和/或外围模块的各个模块中的硬件错误(“hw错误”),并且例如执行例如可以借助于安全设置(与功能安全相关方面的设置或配置)设置或预给定的错误反应,例如激活一个或多个错误引脚(错误连接端)、触发中断(中断请求)、触发复位或激活nmi(不可屏蔽的中断请求)。
41.在进一步的优选实施方式中,将错误输入信号分配给一个或多个应用,其中特别是还可能生成错误反应(参见例如上述示例性描述的实施方式)或输出到分区和/或应用和/或分配的错误引脚。
42.在进一步的优选实施方式中,所述设备或所述计算装置具有三个计算核心(“核心”),其中例如在每个核心上至少暂时执行一个应用,并且其中向每个应用例如至少暂时分配可预给定的存储区域,例如4兆字节(mb)。
43.例如,一旦在三个计算核心中的其上例如运行第一应用(“应用1”)的第一计算核心(“核心1”)中识别出错误,则例如可以将核心1中的锁步错误报告给fccu。在进一步的优选实施方式中,fccu被配置为使得所述错误可以优选地仅作用于分配给应用1的动作——例如核心1的gic((通用)中断控制器)中的中断资源、核心1的复位、核心1的nmi或一个或多个错误引脚。在进一步的优选实施方式中,可以在安全系统设置中——例如通过监督器或应用1——设定,该错误例如触发核心1的复位,或者当出现该错误时应当触发核心1的复位。在进一步的优选实施方式中,其他应用(例如“应用2”和“应用3”)不受核心1中的锁步错误的影响,并且优选地继续以相同的时间行为运行。
44.根据进一步的优选实施方式,例如在三个计算核心中的分配给第三应用(“应用3”)的第三计算核心(“核心3”)中可能识别出错误,例如在分配给应用3的nvm存储区域中不
可纠正的“双比特”错误。fccu优选地被配置为使得所述错误,特别是仅转发到分配给应用3的动作。更优选地,可以触发对应用3的中断请求(中断),例如由fccu触发,以例如调用用于双比特错误的错误处理例程。在进一步的优选实施方式中,所述错误处理例程可以例如包含附加测试,以例如确定由所述错误引起的安全影响的严重性并且可选地让应用3相应地继续运行或例如复位(reset)应用3,或还通知其他应用(例如经由监督器)——例如借助于中断——所述其他应用可能会受到影响(也受错误影响),并且例如应当对分配给应用1和2的nvm存储器进行对应的检查。
45.进一步的优选实施方式涉及一种用于对技术系统(例如对机动车辆)的设备(例如控制器)中的应用进行错误处理的方法,其特征在于至少一个以下方面:a)所述方法例如在机动车辆中,在持续运行期间(例如在机动车辆的各种运行状态之一中)执行,b)在所述设备或控制器上或借助于所述设备或控制器,多个独立的或相关的应用同时运行或至少部分时间重叠地运行,c)例如可能在所述计算装置(的外部nvm或ram)内部和/或外部出现的不同错误或错误事件(例如ram、核心、nvm......)可以分别分配给至少一个应用,d)至少一个、优选多个、特别是所有应用可以至少在其资源内评估错误或所述错误和/或启动对应的错误反应和/或通知至少一个其他应用例如可能的安全错误,特别是在分配给所述应用的资源内,e)至少一个、优选多个、特别是所有应用可以由至少一个其他应用通知错误或所述错误,f)其他应用,特别是不受错误或所述错误影响的应用,可以继续运行,特别是继续按照以下方式运行,即保持运行时行为,特别是等待时间边界条件,其中特别是不需要时钟精确相同的行为。
46.进一步的优选实施方式涉及将表征应用的运行状态的信息,特别是表征关于功能安全(“安全”)的运行状态(“安全状态”)的信息转发到至少一个另外的单元,例如外部单元,特别是布置在所述计算装置或设备外部的单元。
47.在进一步的优选实施方式中规定,特别是为了保证关于对硬件错误的功能确定性分离的安全反应,未涉及的(一个或多个)应用以及必要时可选地连接到所述应用的(一个或多个)外部单元(例如,驱动器的操控,例如用于承载安全负载以及例如承担将所述计算装置的连接端(“计算机引脚”)转换为例如物理总线协议的信号的phy,或组件的操控,如内燃机中的点火/喷射)能独立继续运行,分配给所述应用的(相对于所述计算装置的)外部电路发信号通知例如安全状态“错误”(在进一步的优选实施方式中也可以是“复位”,而且附加于复位地),以特别是不影响分配给未涉及的应用的电路部分。
48.在进一步的优选实施方式中,示例性地设置三个计算核心(3个核心),具有3个应用,其中在每个核心上运行三个应用之一。此外,例如设置三个错误引脚(连接端,例如用于发信号通知错误状态)。在进一步的优选实施方式中,示例性地设置了用于vcu(vehicle control unit,车辆控制单元)(例如核心1上的应用1)的外部接口和用于燃烧应用(例如核心3上的应用3)的喷射的外部接口。
49.在进一步的优选实施方式中,燃烧应用例如想要关闭喷射,以降低发动机的扭矩。
为此例如激活错误引脚3(其例如在启动期间(即所述设备启动时)已分配给应用3),该错误引脚优选连接到(外部)喷射电路(ic),使得该喷射电路特别是与预给定喷射定时的脉冲无关地关闭并且例如不操控喷射阀。在其他优选实施例中,vcu功能同时继续在核心1上的应用1上继续运行——该vcu例如还经由can驱动器传输带有安全负载的信号。在进一步的优选实施方式中,不激活错误引脚1(例如,在启动期间分配给应用1),从而来自所述计算装置或所述设备的can信号经由当前未停用(用错误引脚1停用)的can驱动器转发。由此,核心1上的vcu应用不受应用3的错误影响(继续),并且特别是继续传输所述can信号。
50.进一步的优选实施方式涉及一种用于向所述计算装置或所述设备外部的单元或器件发信号通知、特别是转发至少一个应用的安全状态的方法,其特征在于至少一个以下方面:a)安全状态的发信号通知可以优选地用作关闭信号,例如针对外部器件(“外围模块”),b)可以将所述发信号通知分配给例如在所述计算装置上并行运行的各个应用,其中特别是可以将分配给一个应用的外围模块与其他应用的状态或所述其他应用的外围模块的状态无关地复位,c)可以在复位之后进行分配,优选不可更改地,d)这些实施方式的方面也可以用于外部安全器件,例如外部密码器件(密码加速器、硬件安全模块)、接口,e)既与功能安全方面(“fusi”,“安全(safety)”)相关又与安全方面相关的用途,例如防止操纵(“保安(security)”)。
51.进一步的优选实施方式涉及一种用于控制诸如车辆的技术系统的方法,其中将至少一个外围模块分配给至少一个应用。所述应用可以优选地分别在所述计算装置上的分开的分区中运行。
52.在进一步的优选实施方式中,所述至少一个外围模块例如是以下元件中的至少一个:计时器(计时器模块)、通信接口、gpio端口(通用输入和/或输出连接端)。
53.由此可以优选地实现:多个应用在所述计算装置上运行时不会相互影响。
54.根据进一步的优选实施方式可以避免的不期望的相互影响的示例是:1. 模拟/数字转换器(adc)的运行:如果多个应用访问adc的资源(例如通道/输入端和/或控制寄存器),则一个应用例如可能覆盖另一个应用的设置,例如通道分配、采样时间(采样率)、转换时间、......2. can(控制器局域网):如果在多个应用中使用同一can总线上的can标识符,则可以在can模块中例如进行队列条目,其中一个分区(即,例如一个应用)的软件可以覆盖另一个应用的设置。
55.在进一步的优选实施方式中规定,至少一个外围模块可以优选完全地分配给一个分区或应用。
56.在进一步的优选实施方式中,在所述设备或计算装置中设置例如模块,例如spi(串行外围接口)、lin(本地互连网络)、can、adc,所述模块例如可以优选地完全分配给一个应用,特别是因为这些模块的资源要么完全被所述分区或应用使用,要么这些模块多次存在,特别是频繁存在,以至于对应的各个模块可以完全分配给一个分区或应用。
57.在进一步的优选实施方式中,提出了以下机制,以特别是根据确定性功能的目标来分离这些模块:-将至少一个、优选多个或所有模块分配给一个分区或应用(特别是在所述模块中),其中特别是该模块仅从总线(例如用于将该模块连接到所述计算装置或设备的(一个或多个)组件的数据总线)接受带有可预给定标识符(例如“分区id”)的写入命令和/或读取命令,所述可预给定标识符例如是事先在系统设置时由分区管理器分配给该模块的。
58.因此在进一步的优选实施方式中,模块、优选完整的模块特别是固定地(即静态地)分配给分区,特别是分配给一个分区或应用。
59.在进一步的优选实施方式中可以规定,可以将(外围)模块分配给多个应用,例如可通过至少一个硬件功能(例如地址区域限制)预给定或控制。
60.在进一步的优选实施方式中,例如在设备或计算装置中存在模块,例如gtm(计时器模块)、以太网、hsm(硬件安全模块)(windows),所述模块的组件或集群或模块部分可以通过地址区域的内部分配被分配给分区或应用。
61.为了根据进一步的优选实施方式分离这些模块,特别是为了确定性功能的目标,提出以下机制:-通过地址区域将模块分配给分区或应用,和/或-将资源布置在一个模块中,使得分配给一个分区(或应用)的资源在一个地址区域内彼此靠近(例如相邻地),和/或-一个或多个地址区域的分配可以例如从外部通过总线桥和/或通过存储器保护装置(mpu)进行,所述存储器保护装置例如确保了不属于分配的分区或应用的内部(一个或多个)主机/从机无法读取和/或写入到该地址区域。
62.因此在进一步的优选实施方式中,(外围)模块向应用或分区的分配可以通过所述地址区域的限制、优选模块内部的限制进行。
63.在进一步的优选实施方式中,例如还存在可以通过软件(sw)机制彼此分离的模块,其中这些模块例如由多个分区或应用使用。根据进一步优选实施方式的一个示例例如是不使用已实现队列的以太网,根据进一步优选实施方式的另一示例是用于处理器间通信的总线,或can模块,其中sw分配、特别是各个id的sw分配是有意义的,因为例如在系统中不存在足够多的can模块。
64.因此,在进一步的优选实施方式中提出:a)通过配置工具配置这些模块,特别是在启动期间,使得考虑使用这些资源的所有分区或应用的边界条件,b)例如can/以太网:以满足所述要求的方式实现来自请求的带宽和/或等待时间——将消息id分配到具有对应待给定的优先级的模块队列,c)在持续运行期间,通过分区管理器(在分区或应用上运行在权限模式下的sw)来调节对这些资源的写入/读取——这里优选存在调用分区管理器的多个可能性,例如通过调用(call)或通过陷阱/模拟(其被故意写入到一个被锁定的资源,从而调用更高的权限级别来解决访问冲突),d)根据进一步优选实施方式的另一种可能性是通过在持续运行期间设置dma通道来调节写入和/或读取——然后这些dma通道例如优选地仅通过特定触发器被激活,并且所
述读取和/或写入然后包括例如只有模块中的特殊资源,例如然后写入/读取来自固定分配给各个分区的地址区域的数据。
65.因此在进一步的优选实施方式中提出:将所述设备或计算装置的资源(例如,外围模块)分配给多个分区或应用,其中使用sw功能和hw功能。
66.进一步的优选实施方式涉及一种用于控制诸如车辆的技术系统的方法,其中服务质量(qos,quality of service)或至少一个表征服务质量的变量用于至少暂时地将分区或应用彼此分开,即分离。
67.根据进一步的优选实施方式,在多个应用可以同时运行的设备或系统中,特别是为了实现所述应用的相同运行时或为了实现可预给定的资源分布(特别是独立于其他应用),有利地也考虑一个或多个总线,所述总线特别是可用于组件之间的数据传输。
68.由于在进一步的优选实施方式中应用的运行时受到多种因素的影响,在进一步的优选实施方式中这些因素也可以单独地或相互结合地得到解决:核心本身(管理程序(hypervisor)机制)、对存储器的访问(qos)、访问计算机中的模块,如spi、安全、......。
69.根据进一步的优选实施方式提出,可以将用于分离对存储器的访问的机制用于分离对所述(外围)模块的访问,所述机制例如可以在所述设备或计算装置的总线系统或总线架构中设置。
70.在进一步的优选实施方式中,至少一个应用,优选多个或所有应用,为至少一个外围组件或至少一个外围模块设置服务质量(“qos”),所述服务质量例如可通过等待时间和/或带宽来表征。例如:a)应用1为涉及外围组件的访问设置15个时钟的等待时间和20%的总线带宽,b)应用2为对同一外设组件的访问设置40个时钟的等待时间和70%的总线带宽。
71.换言之,在进一步的优选实施方式中,qos或qos机制(例如借助于硬件实现)的使用可以用于控制各个应用的带宽和/或等待时间,特别是用于将外围设备访问(应用对外围模块而不是对存储器的访问)分开,其中特别是还可以用于将应用确定性地分开和减少在一个设备或计算装置中(例如在一个控制设备中)实现多个应用情况下的耗费。
72.在进一步的优选实施方式中提出,使用至少一个计数器来模拟服务质量(qos),根据进一步的优选实施方式,这特别是在不能借助于硬件实现qos时特别有用。
73.在进一步的优选实施方式中提出,模拟一个或多个qos机制,例如借助于以下元素中的至少一个:a)实现针对等待时间和/或带宽的计数器,b)由软件在高优先级(例如,高于应用)评估这些计数器。根据进一步优选实施方式的一种可能实现例如规定:对每个总线实现x*2个寄存器(例如32比特宽)作为计数器(counter),其中x表征待支持的分区的数量,并且优选地在一个或多个寄存器中对相应分配的应用在每个时钟的访问计数。更优选地,每z毫秒(ms)将计数器值与预期计数器值进行比较,并且如果所述计数器值大于所述预期计数器值,则通知应用和例如分区管理器,以特别是启动替代措施。
74.在进一步的优选实施方式中,可以取决于所述设备或控制器的类型或取决于所述设备或控制器的目标系统的类型使用时间同步的网格或角度同步的网格(例如关于内燃机曲轴的一转),特别是用于上面借助于(一个或多个)计数器的示例性描述的qos模拟。
75.在进一步的优选实施方式中,每在具有(特别是可预给定的)分区id的总线上施加一个动作就将计数器增加一个可预给定的值,例如一,由此例如可以确定表征带宽的度量。
76.在进一步的优选实施方式中,从(特别是可预给定的)分区对总线的请求(request)开始对时钟进行计数,直到该分区获得所述总线(准许总线访问)为止。例如,如果经过计数的时钟数量小于可预给定的等待时间,则很好,如果经过计数的时钟的值大于可预给定的等待时间,则这在进一步的优选实施方式中可以得到存储,并且例如在所设置的时间间隔结束时可以读出在所考虑的时间间隔中的所述等待时间是否曾经大于预设时间,以及可选地,如果是则读出大多少。
77.在其他优选实施例中,替代或附加地,借助于硬件和/或触发中断来实现例如预设的自动比较。
78.在进一步的优选实施方式中,可以在所述设备或计算装置的至少一条总线上设置一个或多个计数器。
79.在进一步的优选实施方式中,所述计数器可以与对应的软件(和/或硬件)一起使用,例如用于评估保持的分配的带宽和/或(保持的)等待时间。
80.进一步的优选实施方式涉及一种用于控制诸如车辆的技术系统的方法和设备,其中设置存储器保护装置(mpu),其中所述存储器保护装置特别是用于限制关于所述设备或计算装置的至少一个总线系统的访问权限。
81.根据进一步的优选实施方式,在一个设备或计算装置上运行多个应用的优点是数据交换的短等待时间和该交换的高带宽,由此可以以比传统系统中预给定的更短的时间网格来计算例如调节器,因为来自其他应用的数据相对较快地可用。
82.在进一步的优选实施方式中,为了实现这一点并且特别是为了确保多个应用不会不允许地相互影响,提出将在所述计算装置内或所述计算装置外(例如在总线系统的区域中)的mpu用于限制访问权限。
83.在进一步的优选实施方式中,可以示例性地使用以下流程:设置例如核心外部的mpu,例如在总线接口中,其中设置两个应用,其中每个应用都在一个核心上运行。
84.在进一步的优选实施方式中,mpu可以被配置为,例如在系统启动期间,使得在每个分配给另一个核心的本地存储器中分配用于写入的区域,并且在自己的存储器中释放用于读取的区域。由此例如每个应用都可以读取另一个核心的数据并且通过写入向所述另一个核心本地提供数据,特别是不能覆盖其他(存储)区域。
85.因此在进一步的优选实施方式中提出:一种用于借助于mpu使用存储区域分配以确保在所述计算装置或所述设备上运行的多个应用之间的确定性数据交换的方法。
86.因此在其他优选实施例中提出:一种用于使用至少一个mpu确保不同应用的确定性存储器访问和/或数据交换的方法。在此背景下,“确定性”特别优选地与应用定时(即(一个或多个)应用的时间行为)有关,并且特别是与用于访问相应资源的周期的具体数量无关。
87.进一步的优选实施方式涉及一种用于控制诸如车辆的技术系统的方法和设备,其中使用至少一个硬件加速器单元以加速所述系统的启动(startup)。
88.在现代(特别是汽车)系统中,将设备的现有软件替换为其他软件(“tuning,调谐”),以例如在应用中有更多功率可用(例如更多功率,ps)。识别并在必要时防止这种情况的一种方法提出,在引导(启动)系统时事先检查软件代码以确定所述软件代码是否是实际应当执行的代码或所述代码是否已被操纵,例如在调谐措施的范围内。
89.根据进一步优选实施方式的用于检查sw代码的方法规定,确定或计算关于可预给定的存储区域或(特别是整个)存储器的至少一个校验和(checksum)。在此的一个问题可能是确定或计算所述校验和需要相对较长的时间,从而引导过程被延长了。在进一步的优选实施方式中,例如应当在30ms-100ms内完成引导过程。但是,由于校验和计算可能会增加大量的毫秒数。
90.因此,在进一步的优选实施方式中提出设置至少一个硬件加速器单元并将其用于计算(一个或多个)校验和(“hw校验和加速器”)。在进一步的优选实施方式中,还可以设置多个硬件加速器单元,这些硬件加速器单元必要时分别处理待检查的存储器的一部分或为对应部分形成校验和。更优选地,在启动(一个或多个)应用之前借助于所述至少一个硬件加速器单元来计算校验和。
91.在进一步的优选实施方式中,硬件加速器单元也可以分配给不同的分区或应用。
92.进一步的优选实施方式涉及一种用于控制诸如车辆的技术系统的方法和设备,其中在至少一个硬件模块或外围组件中实现机制,优选地在所述模块的接口(interface)中实现,借助于所述机制可以由多个分区或应用下达任务,这些任务特别是分别不能被其他分区覆盖或影响。在进一步的优选实施方式中,该机制也可以被称为“(一个或多个)传输窗口”。
93.在进一步的优选实施方式中,所述硬件模块(或所述模块的控制器,例如所述模块的微控制器)或所述外围组件被构造为根据预给定规则处理所述任务,例如以轮询(round robin)方法,由此有利地对于(外部)应用而言代表了确定性时间行为。
94.进一步的优选实施方式规定了在至少一个硬件模块中实现传输窗口,具有至少一个以下方面:a)所述传输窗口的地址区域可以可选地分配给不同的应用/分区,b)在所述模块中例如借助于sw按照预给定的方法(例如轮询方法)对任务进行处理。
95.进一步的优选实施方式涉及一种用于执行根据前述权利要求中的至少一项所述的方法的设备,其中所述设备特别是被构造为控制技术系统,特别是机动车辆。
96.在进一步的优选实施方式中规定,所述设备具有:具有至少一个计算核心、优选多个计算核心的计算装置(“计算机”),分配给所述计算装置的存储装置,所述存储装置用于至少临时存储以下元素中的至少一个:a)数据,b)计算机程序,特别是用于执行根据实施方式的方法。
97.在进一步的优选实施方式中,所述存储装置具有易失性存储器(例如工作存储器(ram))和/或非易失性(nvm)存储器(例如闪存eeprom)或它们的组合或与未明确提及的其他存储器类型的组合。
98.在进一步的优选实施方式中,所述设备具有至少一个模拟/数字(a/d)转换器,和/或至少一个另外的或其他外围组件,例如计时器模块(计时器)和/或数据接口,所述转换器被构造为将接收到的模拟信号(时间连续和/或数值连续的信号)转换为时间离散和/或数值离散的信号。
99.进一步的优选实施方式涉及一种包括指令的计算机可读存储介质,所述指令在由计算机执行时促使所述计算机执行根据实施方式的方法。
100.进一步的优选实施方式涉及一种包括指令的计算机程序,当该程序由计算机执行时所述指令促使所述计算机执行根据实施方式的方法。
101.进一步的优选实施方式涉及一种数据载体信号,其表征和/或传输根据实施方式的计算机程序。例如可以经由所述设备的一个或可选的数据接口接收所述数据载体信号。
102.进一步的优选实施方式涉及根据实施方式的方法和/或根据实施方式的设备和/或根据实施方式的计算机可读存储介质和/或根据实施方式的计算机程序和/或根据实施方式的数据载体信号用于以下元素中的至少一个的用途:a)实现所述设备的至少一些应用、优选所有应用的确定性运行时行为,b)避免对第一应用的新认证,特别是在改变至少一个另外的应用时。
附图说明
103.本发明进一步的特征、应用可能性和优点由以下对在附图的各图中示出的本发明实施例的描述得出。在此,所有描述或示出的特征单独或以任何组合形成本发明的主题,而不管它们如何在权利要求或其引用中的概括如何,也不管它们在说明书中的措辞或附图中的显示如何。
104.在附图中:图1示意性地示出了根据优选实施方式的技术系统的简化框图,图2示意性地示出了根据进一步优选实施方式的设备的简化框图,图3a示意性地示出了参考根据进一步优选实施方式的方法方面的简化流程图,以及图3b、图3c、图3d、图3e、图3f、图3g、图3h、图3i分别示意性地示出了参考根据进一步优选实施方式的方法方面的简化流程图。
具体实施方式
105.优选实施方式涉及用于控制技术系统1的方法和/或设备200,所述技术系统例如是车辆1,特别是机动车辆,参见图1。
106.在进一步的优选实施方式中,参见图2,规定设备200具有:具有至少一个(在当前情况下为三个)计算核心202a、202b、202c的计算装置(“计算机”)202,分配给计算装置202的存储装置204,所述存储装置用于至少临时存储以下元素中的至少一个:a)数据dat,b)计算机程序prg,特别是用于执行根据实施方式的方法。在进一步的优选实施方式中,计算机程序prg还可以表征至少临时在计算装置202上执行的至少一个应用app1、app2、app3,例如用于控制技术系统1或其组件(例如制动系统、内燃机)。
107.在进一步的优选实施方式中,设备200或计算装置202具有多个计算核心202a、202b、202c。在进一步的优选实施方式中,多于图1中示例性示出的三个计算核心202a、202b、202c也是可能的。
108.在进一步的优选实施方式中,存储装置204具有易失性存储器204a(例如工作(ram))和/或非易失性存储器204b(例如闪存eeprom)。
109.在进一步的优选实施方式中,计算装置202具有以下元件中的至少一个或被构造为这些元件中的至少一个:微处理器(μr)、微控制器(μc)、专用集成电路(asic)、片上系统
(soc)、可编程逻辑模块(例如fpga,现场可编程门阵列)、硬件电路或其任意组合。
110.进一步的优选实施方式涉及一种包括指令prg的计算机可读存储介质sm,所述指令在由计算机202执行时促使所述计算机执行根据实施方式的方法。
111.进一步的优选实施方式涉及一种包括指令的计算机程序prg,当该程序由计算机202执行时,所述指令促使所述计算机执行根据实施方式的方法。
112.进一步的优选实施方式涉及一种数据载体信号dcs,其表征和/或传输根据实施方式的计算机程序prg。例如可以经由设备200的可选数据接口206接收数据载体信号dcs。
113.参见图3a,进一步的优选实施方式涉及至少一个硬件组件的复位100、102(“reset”),特别是针对至少一个应用app1。
114.在进一步的优选实施方式中,设备200的模块和/或可能存在的、特别是外部的电路208(例如,模拟/数字转换器,adc)的复位100、102被实施为,使得可以运行多个独立的应用app1、app2、app3并且这些应用优选地不相互影响。
115.在进一步的优选实施方式中,设备200被构造为对每个计算核心202a、202b、202c单独地复位。特别地,因此一个计算核心202a的复位不会影响计算装置202中可能存在的另外的计算核心202b、202c。
116.在进一步的优选实施方式中,可以设置多个区域或集群,所述区域或集群的特征例如在于至少一个计算核心202a和可选地与所述至少一个计算核心相关联的存储器204a。在进一步的优选实施方式中,将所述存储器分配给所述至少一个计算核心可以是逻辑的和/或物理的。在进一步的优选实施方式中,至少一个集群可以独立于另外的集群的运行而被复位,特别是不会损害所述另外的集群的运行。由此在进一步的优选实施方式中,例如可以对至少一个集群复位,而可能存在的另外的集群可以独立于所述一个集群的复位而继续运行,以例如执行一个或多个应用。
117.在进一步的优选实施方式中,至少一个集群也可以具有至少一个电路组件或电路部分,例如锁相环(pll,phased locked loop)。在进一步的优选实施方式中,当至少一个集群复位时,所述至少一个电路组件也可以一起复位。
118.在进一步的优选实施方式中,可能存在的可以例如分配给各个应用app1、app2、app3的外围模块可以在监督器模式下和/或至少一个应用中复位。
119.在进一步的优选实施方式中,可选地存在的外部组件,例如外部逻辑,可以经由至少一个单独的数据线路,例如单独的gpio(general purpose input output,通用输入输出)来复位,其中根据进一步的优选实施方式,所述复位例如由监督器模式或由应用app1、app2、app3执行。在进一步的优选实施方式中,为此可以将gpio(信号)例如作为复位信号传导至外部组件(例如外部器件或电路)的复位输入端。
120.在进一步的优选实施方式中,可以为可能存在的外部组件或电路提供多个复位连接端(“管脚”),从而例如可以单独复位属于每个应用的外部电路。
121.在进一步的优选实施方式中,所述复位可以通过以下提到的来源中的至少一个来执行,所述来源特别是彼此独立的:a)信号,特别是硬件信号,其例如由监督器和/或监视逻辑触发,b)通过一个比特,所述比特在被写入时执行复位功能,c)通过让软件(特别是应用)设置比特以对应于复位状态。
122.在进一步的优选实施方式中,仍然可以在上述变体c)中以有针对性的方式保持特
定功能。作为根据进一步优选实施方式的示例,提到了计时器模块(“计时器”),其例如输出经过脉宽调制(pwm)的信号并且在此不应当被中断,特别是也不应当通过所述复位被中断。在此情况下,根据进一步的优选实施方式可以将计时器的其他实例或参数特别是在同一模块中经由寄存器设置(写入或设置比特)带入例如对应于复位值(“重新初始化”)的状态,所述模块根据进一步的优选实施方式也可以通过硬件复位。
123.在进一步的优选实施方式中,根据进一步的优选实施方式,利用上述示例性讲述的电路功能既可以由监督器又可以由至少一个应用app1本身复位所述应用的运行所必需的组件或电路部分,特别是独立于其他应用app2、app3的状态和/或运行(所述其他应用可以处于复位、启动、减速或正常功能)。
124.进一步的优选实施方式涉及一种用于复位用于控制技术系统1、特别是机动车辆的设备200的方法,设备200例如是控制设备,其中所述复位在设备200或技术系统1的持续运行期间(例如在多个不同的可能运行状态之一中)执行。
125.在进一步的优选实施方式中,多个应用app1、app2、app3,特别是彼此独立的或至少部分相关的应用app1、app2、app3,同时或至少时间重叠地在设备200上运行。
126.在进一步的优选实施方式中,可选地设置的另外的组件208或电路,特别是外部组件或电路,可以分配给至少一个应用app1,所述至少一个应用app1至少临时由设备200或其计算装置202或计算装置202的至少一个计算核心202a执行。
127.在进一步的优选实施方式中,将所述组件分配给所述至少一个应用也可以动态地执行,即在所述设备或所述应用的运行时期间执行。
128.在进一步的优选实施方式中,可选地设置的另外的组件或电路可以复位,特别是分开地由监督器和/或至少一个应用复位,特别是不影响所述设备的至少一个、优选多个、特别是所有另外的应用的运行时行为。
129.在进一步的优选实施方式中,所述运行时行为的特征在于保持相同的执行时间,特别是关于带宽和/或关于等待时间边界条件,其中在进一步的优选实施方式中不需要时钟精确相同的行为。
130.在进一步的优选实施方式中,当设备200的至少一个其他应用app2对分配给其的模块208和/或电路部分复位时,设备200的另外的应用app3继续运行。
131.参见图3b,进一步的优选实施方式涉及所述存储装置的存储区域的行为,特别是涉及所述存储装置的非易失性存储区域(“nvm(non-volatile memory,非易失性存储器)存储区域”)的行为,其中特别是非易失性存储区域sb1的特别是一个或多个非易失性存储区域分别分配110给或可以分配给一个应用app1或多个应用。
132.在进一步的优选实施方式中规定,至少一个nvm存储区域sb1可以分配给至少一个、特别是恰好一个应用app1。
133.在进一步的优选实施方式中,所述nvm存储区域被布置为,使得其可以例如a)经由mpu(memory protection unit,存储器保护单元)和/或b)经由监督器、特别是通过分配分区id分配给所述至少一个应用。
134.在进一步的优选实施方式中,设备200或计算装置202具有三个计算核心(“核心”)202a、202b、202c,其中例如在每个核心上执行应用,并且其中例如向每个应用分配可预给定的存储区域,例如4兆字节(mb)。例如,将第一存储区域sb1分配给第一应用app1并且将第
二存储区域sb2分配给第二应用app1,参见根据图3b的步骤110、112。
135.在进一步的优选实施方式中,在存储装置204中设置多个存储模块,特别是为nvm存储区域204b,其中优选地至少两个、优选地多于两个、更优选地所有存储模块被实施为使得它们要么完整地构建,要么由较小的子模块构建或组成。
136.在进一步的优选实施方式中,这些子模块具有与要分配的存储模块至少部分相同的特性,例如关于共同的字线操控器和/或共同的位线读出电路和/或共同的编程电压输送器。
137.在进一步的优选实施方式中,设备200或计算装置202被构造为独立于其他存储区域或模块或子模块的状态来执行分配的存储区域或模块或子模块的重新编程,其中特别是为此所需的资源在每个存储区域中例如多重存在。因此在进一步的优选实施方式中,可以对第一(存储)区域进行重新编程,而从其他(存储)区域来看应用继续运行,就好像一个应用或分配给它的存储区域没有被重新编程一样。
138.在进一步的优选实施方式中,一个应用或分配给它的存储区域的重新编程可以从监督器和/或分区管理器和/或应用进行。
139.在进一步的优选实施方式中,特别是通过提供上述资源,该方法还可以在(特别是相对于所述计算装置或设备的)外部存储器中执行,所述外部存储器特别是nvm存储器,其例如具有多个块并且例如可以具有用于这些块的单独的字线操控器和/或用于这些块的单独的位线读出电路。在进一步的优选实施方式中,所述nvm存储器可以构造为lpddr(low power double data rate,低功率双倍数据速率)存储器类型。
140.进一步的优选实施方式涉及一种用于对设备或所述设备的或用于所述设备的存储装置进行编程(和/或重新编程)的方法,其中所述设备例如被构造为控制诸如机动车辆的技术系统,其特征在于至少一个以下方面:a)所述方法例如在机动车辆中,在持续运行期间(例如在机动车辆的各种运行状态之一中)执行,b)在所述设备或控制器上或借助于所述设备或控制器,多个独立的或相关的应用同时运行或至少部分时间重叠地运行,c)在所述计算装置内部和/或外部的不同存储区域可以分配给应用,特别是灵活和/或动态地,d)在所述计算装置内部和/或外部的不同存储区域可以特别是单独地或彼此独立地由监督器和/或至少一个(特别是分配的)应用重新编程,特别是不影响所述设备或计算装置的至少一个其他应用或多个或所有其他应用的运行时行为(所述运行时行为的特征在于例如保持相同的执行时间(特别是关于可预给定的带宽和/或可预给定的等待时间边界条件),其中根据进一步的优选实施方式,特别是不需要时钟精确相同的行为,e)当对一个或多个应用重新编程时,所述设备或计算装置的至少一个其他应用,优选所有其他应用继续工作。
141.参见图3c,进一步的优选实施方式涉及错误收集和控制单元fccu 201(图2),即涉及用于收集和管理错误的装置,特别是涉及fccu的资源的划分。图3c的步骤115象征着fccu 201的使用。
142.在进一步的优选实施方式中规定,fccu被构造为保证所述设备或计算装置的应用
的独立(继续)运行,由此实现例如功能上确定性分离的反应(特别是与功能安全相关,“safety”),例如对硬件错误的反应。换言之,由此在进一步的优选实施方式中使得例如不受硬件错误涉及的应用可以继续执行。
143.在进一步的优选实施方式中,fccu被构造为收集116(图3c)在诸如核心、ram(工作存储器)、nvm(非易失性存储器)和/或外围模块的各个模块中的硬件错误(“hw错误”),并且例如执行117例如可以借助于安全设置(与功能安全相关方面的设置或配置)设置或预给定的错误反应,例如激活一个或多个错误引脚(错误连接端)、触发中断(中断请求)、触发复位或激活nmi(不可屏蔽的中断请求)。
144.在进一步的优选实施方式中,将错误输入信号分配给一个或多个应用,其中特别是还可能生成错误反应(参见例如上述示例性描述的实施方式)或输出到分区和/或应用和/或分配的错误引脚。
145.例如,一旦在三个计算核心中的其上例如运行第一应用app1(“应用1”)的第一计算核心(“核心1”)202a(图2)中识别出错误,则例如可以将核心1 202a中的锁步错误报告给fccu 201。在进一步的优选实施方式中,fccu 201被配置为使得所述错误可以优选地仅作用于分配给应用1的动作——例如核心1 202a的gic((通用)中断控制器)中的中断资源、核心1的复位、核心1的nmi或一个或多个错误引脚。在进一步的优选实施方式中,可以在安全系统设置中——例如通过监督器或应用1——设定,该错误例如触发核心1的复位,或者当出现该错误时应当触发核心1的复位。在进一步的优选实施方式中,其他应用(例如“应用2”和“应用3”)不受核心1中的锁步错误的影响,并且优选地继续以相同的时间行为运行。
146.根据进一步的优选实施方式,例如在三个计算核心中的分配给第三应用app3(“应用3”)的第三计算核心202c(“核心3”)中可能识别出错误,例如在分配给应用3的nvm存储区域中不可纠正的“双比特”错误。fccu 201优选地被配置为使得所述错误,特别是仅转发到分配给应用3的动作。更优选地,可以触发对应用3的中断请求(中断),例如由fccu触发,以例如调用用于双比特错误的错误处理例程。在进一步的优选实施方式中,所述错误处理例程可以例如包含附加测试,以例如确定由所述错误引起的安全影响的严重性并且可选地让应用3相应地继续运行或例如复位(reset)应用3,或还通知其他应用(例如经由监督器)——例如借助于中断——所述其他应用可能会受到影响(也受错误影响),并且例如应当对分配给应用1和2的nvm存储器进行对应的检查。
147.进一步的优选实施方式涉及一种用于对技术系统(例如对机动车辆)的设备(例如控制器)中的应用进行错误处理的方法,其特征在于至少一个以下方面:a)所述方法例如在机动车辆中,在持续运行期间(例如在机动车辆的各种运行状态之一中)执行,b)在所述设备或控制器上或借助于所述设备或控制器,多个独立的或相关的应用同时运行或至少部分时间重叠地运行,c)例如可能在所述计算装置(的外部nvm或ram)内部和/或外部出现的不同错误或错误事件(例如ram、核心、nvm......)可以分别分配给至少一个应用,d)至少一个、优选多个、特别是所有应用可以至少在其资源内评估错误或所述错误和/或启动对应的错误反应和/或通知至少一个其他应用例如可能的安全错误,特别是在分配给所述应用的资源内,
e)至少一个、优选多个、特别是所有应用可以由至少一个其他应用通知错误或所述错误,f)其他应用,特别是不受错误或所述错误影响的应用,可以继续运行,特别是继续按照以下方式运行,即保持运行时行为,特别是等待时间边界条件,其中特别是不需要时钟精确相同的行为。
148.参见图3d,进一步的优选实施方式涉及将表征应用(applikation)app1、app2、app3的运行状态的信息i1-fusi,特别是表征关于功能安全(“safety,安全”)的运行状态(“安全状态”)的信息转发120到至少一个另外的单元,例如外部单元300(图2),特别是布置在计算装置202或设备200外部的单元300。
149.在进一步的优选实施方式中规定,特别是为了保证关于对硬件错误的功能确定性分离的安全反应,未涉及的(一个或多个)应用以及必要时可选地连接到所述应用的(一个或多个)外部单元(例如,驱动器的操控,例如用于承载安全负载以及例如承担将所述计算装置的连接端(“计算机引脚”)转换为例如物理总线协议的信号的phy,或组件的操控,如内燃机中的点火/喷射)能独立继续运行,分配给所述应用的(相对于所述计算装置的)外部电路发信号通知例如安全状态“错误”(在进一步的优选实施方式中也可以是“复位”,而且附加于复位地),以特别是不影响分配给未涉及的应用的电路部分。
150.在进一步的优选实施方式中,示例性地设置三个计算核心(3个核心),具有3个应用,其中在每个核心上运行三个应用之一。此外,例如设置三个错误引脚(连接端,例如用于发信号通知错误状态)。在进一步的优选实施方式中,示例性地设置了用于vcu(vehicle control unit,车辆控制单元)(例如核心1上的应用1)的外部接口和用于燃烧应用(例如核心3上的应用3)的喷射的外部接口。
151.在进一步的优选实施方式中,燃烧应用例如想要关闭喷射,以降低发动机的扭矩。为此例如激活错误引脚3(其例如在启动期间(即所述设备启动时)已分配给应用3),该错误引脚优选连接到(外部)喷射电路(ic),使得该喷射电路特别是与预给定喷射定时的脉冲无关地关闭并且例如不操控喷射阀。在其他优选实施例中,vcu功能同时继续在核心1上的应用1上继续运行——该vcu例如还经由can驱动器传输带有安全负载的信号。在进一步的优选实施方式中,不激活错误引脚1(例如,在启动期间分配给应用1),从而来自所述计算装置或所述设备的can信号经由当前未停用(用错误引脚1停用)的can驱动器转发。由此,核心1上的vcu应用不受应用3的错误影响(继续),并且特别是继续传输所述can信号。
152.进一步的优选实施方式涉及一种用于向所述计算装置或所述设备外部的单元或器件发信号通知、特别是转发至少一个应用的安全状态的方法,其特征在于至少一个以下方面:a)安全状态的发信号通知可以优选地用作关闭信号,例如针对外部器件(“外围模块”),b)可以将所述发信号通知分配给例如在所述计算装置上并行运行的各个应用,其中特别是可以将分配给一个应用的外围模块与其他应用的状态或所述其他应用的外围模块的状态无关地复位,c)可以在复位之后进行分配,优选不可更改地,d)这些实施方式的方面也可以用于外部安全器件,例如外部密码器件(密码加速
器、硬件安全模块)、接口,e)既与功能安全方面(“fusi”,“安全(safety)”)相关又与安全方面相关的用途,例如防止操纵(“保安(security)”)。
153.参见图3e,进一步的优选实施方式涉及一种用于控制诸如车辆1的技术系统1的方法,其中将至少一个外围模块206分配给至少一个、特别是恰好一个应用app1,参见图3e的步骤125。所述应用可以优选地分别在计算装置202上的分开的分区中运行。
154.在进一步的优选实施方式中,至少一个外围模块206例如是以下元件中的至少一个:计时器(计时器模块)、通信接口206、gpio端口(通用输入和/或输出连接端)。
155.由此可以优选地实现:多个应用app1、app2、app3在计算装置202上运行时不会相互影响。
156.根据进一步的优选实施方式可以避免的不期望的相互影响的示例是:1. 模拟/数字转换器(adc)的运行:如果多个应用访问adc的资源(例如通道/输入端和/或控制寄存器),则一个应用可能例如覆盖另一个应用的设置,例如通道分配、采样时间(采样率)、转换时间、......2. can(控制器局域网):如果在多个应用中使用同一can总线上的can标识符,则可以在can模块中例如进行队列条目,其中一个分区(即,例如一个应用)的软件可以覆盖另一个应用的设置。
157.在进一步的优选实施方式中规定,至少一个外围模块可以优选完全地分配给一个分区或应用。
158.在进一步的优选实施方式中,在所述设备或计算装置中设置例如模块,例如spi(串行外围接口)、lin(本地互连网络)、can、adc,所述模块例如可以优选地完全分配给一个应用,特别是因为这些模块的资源要么完全被所述分区或应用使用,要么这些模块多次存在,特别是频繁存在,以至于对应的各个模块可以完全分配给一个分区或应用。
159.在进一步的优选实施方式中,提出了以下机制,以特别是根据确定性功能的目标来分离这些模块:-将至少一个、优选多个或所有模块分配给一个分区或应用(特别是在所述模块中),其中特别是该模块仅从总线(例如用于将该模块连接到所述计算装置或设备的(一个或多个)组件的数据总线)接受带有可预给定标识符(例如“分区id”)的写入命令和/或读取命令,所述可预给定标识符例如是事先在系统设置时由分区管理器分配给该模块的。
160.因此在进一步的优选实施方式中,模块、优选完整的模块特别是固定地(即静态地)分配给分区,特别是分配给一个分区或应用。
161.在进一步的优选实施方式中可以规定,可以将(外围)模块分配给多个应用,例如可通过至少一个硬件功能(例如地址区域限制)预给定或控制。
162.在进一步的优选实施方式中,例如在设备或计算装置中存在模块,例如gtm(计时器模块)、以太网、hsm(硬件安全模块)(windows),所述模块的组件或集群或模块部分可以通过地址区域的内部分配被分配给分区或应用。
163.为了根据进一步的优选实施方式分离这些模块,特别是为了确定性功能的目标,提出以下机制:-通过地址区域将模块分配给分区或应用,和/或-将资源布置在一个模块中,使得分配给一个分区(或应用)的资源在一个地址区域内彼此靠近(例如相邻地),和/或-一个或多个地址区域的分配可以例如从外部通过总线桥和/或通过存储器保护装置(mpu)进行,所述存储器保护装置例如确保了不属于分配的分区或应用的内部(一个或多个)主机/从机无法读取和/或写入到该地址区域。
164.因此在进一步的优选实施方式中,(外围)模块向应用或分区的分配可以通过所述地址区域的限制、优选模块内部的限制进行。
165.在进一步的优选实施方式中,例如还存在可以通过软件(sw)机制彼此分离的模块,其中这些模块例如由多个分区或应用使用。根据进一步优选实施方式的一个示例例如是不使用已实现队列的以太网,根据进一步优选实施方式的另一示例是用于处理器间通信的总线,或can模块,其中sw分配、特别是各个id的sw分配是有意义的,因为例如在系统中不存在足够多的can模块。
166.因此,在进一步的优选实施方式中提出:a)通过配置工具配置这些模块,特别是在启动期间,使得考虑使用这些资源的所有分区或应用的边界条件,b)例如can/以太网:以满足所述要求的方式实现来自请求的带宽和/或等待时间——将消息id分配到具有对应待给定的优先级的模块队列,c)在持续运行期间,通过分区管理器(在分区或应用上运行在权限模式下的sw)来调节对这些资源的写入/读取——这里优选存在调用分区管理器的多个可能性,例如通过调用(call)或通过陷阱/模拟(其被故意写入到一个被锁定的资源,从而调用更高的权限级别来解决访问冲突),d)根据进一步优选实施方式的另一种可能性是通过在持续运行期间设置dma通道来调节写入和/或读取——然后这些dma通道例如优选地仅通过特定触发器被激活,并且所述读取和/或写入然后包括例如只有模块中的特殊资源,例如然后写入/读取来自固定分配给各个分区的地址区域的数据。
167.因此在进一步的优选实施方式中提出:将所述设备或计算装置的资源(例如,外围模块)分配给多个分区或应用,其中使用sw功能和hw功能。
168.参见图3f,进一步的优选实施方式涉及一种用于控制诸如车辆的技术系统的方法,其中服务质量(qos,quality of service)或至少一个表征服务质量的变量用于至少暂时地将分区或应用彼此分开,即分离,参见步骤130。
169.根据进一步的优选实施方式,在多个应用可以同时运行的设备或系统中,特别是为了实现所述应用的相同运行时或为了实现可预给定的资源分布(特别是独立于其他应用),有利地也考虑一个或多个总线,所述总线特别是可用于组件之间的数据传输。
170.由于在进一步的优选实施方式中应用的运行时受到多种因素的影响,在进一步的优选实施方式中这些因素也可以单独地或相互结合地得到解决:核心本身(管理程序(hypervisor)机制)、对存储器的访问(qos)、访问计算机中的模块,如spi、安全、......。
171.根据进一步的优选实施方式提出,可以将用于分离对存储器的访问的机制用于分离对所述(外围)模块的访问,所述机制例如可以在所述设备或计算装置的总线系统或总线架构中设置。
172.在进一步的优选实施方式中,至少一个应用,优选多个或所有应用,为至少一个外围组件或至少一个外围模块设置服务质量(“qos”),所述服务质量例如可通过等待时间和/或带宽来表征,参见根据图3f的可选步骤132。例如:a)应用1为涉及外围组件的访问设置15个时钟的等待时间和20%的总线带宽,b)应用2为对同一外设组件的访问设置40个时钟的等待时间和70%的总线带宽。
173.换言之,在进一步的优选实施方式中,qos或qos机制(例如借助于硬件实现)的使用可以用于控制各个应用app1的带宽和/或等待时间,特别是用于将外围设备访问(应用对外围模块而不是对存储器的访问)分开,其中特别是还可以用于将应用确定性地分开和减少在一个设备或计算装置中(例如在一个控制设备中)实现多个应用情况下的耗费。
174.在进一步的优选实施方式中提出,使用至少一个计数器来模拟服务质量(qos),根据进一步的优选实施方式,这特别是在不能借助于硬件实现qos时特别有用。
175.在进一步的优选实施方式中提出,模拟一个或多个qos机制,例如借助于以下元素中的至少一个:a)实现针对等待时间和/或带宽的计数器,b)由软件在高优先级(例如,高于应用)评估这些计数器。根据进一步优选实施方式的一种可能实现例如规定:对每个总线实现x*2个寄存器(例如32比特宽)作为计数器(counter),其中x表征待支持的分区的数量,并且优选地在一个或多个寄存器中对相应分配的应用在每个时钟的访问计数。更优选地,每z毫秒(ms)将计数器值与预期计数器值进行比较,并且如果所述计数器值大于所述预期计数器值,则通知应用和例如分区管理器,以特别是启动替代措施。
176.在进一步的优选实施方式中,可以取决于设备200或控制器的类型或取决于所述设备或控制器的目标系统1的类型使用时间同步的网格或角度同步的网格(例如关于内燃机曲轴的一转),特别是用于上面借助于(一个或多个)计数器的示例性描述的qos模拟。
177.在进一步的优选实施方式中,每在具有(特别是可预给定的)分区id的总线上施加一个动作就将计数器增加一个可预给定的值,例如一,由此例如可以确定表征带宽的度量。
178.在进一步的优选实施方式中,从(特别是可预给定的)分区对总线的请求(request)开始对时钟进行计数,直到该分区获得所述总线(准许总线访问)为止。例如,如果经过计数的时钟数量小于可预给定的等待时间,则很好,如果经过计数的时钟的值大于可预给定的等待时间,则这在进一步的优选实施方式中可以得到存储,并且例如在所设置的时间间隔结束时可以读出在所考虑的时间间隔中的所述等待时间是否曾经大于预设时间,以及可选地,如果是则读出大多少。
179.在其他优选实施例中,替代或附加地,借助于硬件和/或触发中断来实现例如预设的自动比较。
180.在进一步的优选实施方式中,可以在所述设备或计算装置的至少一条总线上设置一个或多个计数器。
181.在进一步的优选实施方式中,所述计数器可以与对应的软件(和/或硬件)一起使用,例如用于评估保持的分配的带宽和/或(保持的)等待时间。
182.参见图3g,进一步的优选实施方式涉及一种用于控制诸如车辆的技术系统的方法和设备,其中设置存储器保护装置(mpu),其中所述存储器保护装置特别是用于限制关于设备200或计算装置202的至少一个总线系统的访问权限,参见步骤135。
183.根据进一步的优选实施方式,在一个设备或计算装置上运行多个应用的优点是数
据交换的短等待时间和该交换的高带宽,由此可以以比传统系统中预给定的更短的时间网格来计算例如调节器,因为来自其他应用的数据相对较快地可用。
184.在进一步的优选实施方式中,为了实现这一点并且特别是为了确保多个应用不会不允许地相互影响,提出将在所述计算装置内或所述计算装置外(例如在总线系统的区域中)的mpu用于限制访问权限。
185.在进一步的优选实施方式中,可以示例性地使用以下流程:设置例如核心外部的mpu,例如在总线接口中,其中设置两个应用,其中每个应用都在一个核心上运行。
186.在进一步的优选实施方式中,mpu可以被配置为,例如在系统启动期间,使得在每个分配给另一个核心的本地存储器中分配用于写入的区域,并且在自己的存储器中释放用于读取的区域。由此例如每个应用都可以读取另一个核心的数据并且通过写入向所述另一个核心本地提供数据,特别是不能覆盖其他(存储)区域。
187.因此在进一步的优选实施方式中提出:一种用于借助于mpu使用存储区域分配以确保在所述计算装置或所述设备上运行的多个应用之间的确定性数据交换的方法。
188.因此在其他优选实施例中提出:一种用于使用至少一个mpu确保不同应用的确定性存储器访问和/或数据交换的方法。在此背景下,“确定性”特别优选地与应用定时(即(一个或多个)应用的时间行为)有关,并且特别是与用于访问相应资源的周期的具体数量无关。
189.参见图3h,进一步的优选实施方式涉及一种用于控制诸如车辆的技术系统的方法和设备,其中使用至少一个硬件加速器单元hsm(图2)以加速所述系统或所述设备200的启动(startup)。
190.在现代(特别是汽车)系统中,将设备的现有软件替换为其他软件(“tuning,调谐”),以例如在应用中有更多功率可用(例如更多功率,ps)。识别并在必要时防止这种情况的一种方法提出,在引导(启动)系统时事先检查软件代码以确定所述软件代码是否是实际应当执行的代码或所述代码是否已被操纵,例如在调谐措施的范围内。
191.根据进一步优选实施方式的用于检查sw代码的方法规定,确定或计算关于可预给定的存储区域或(特别是整个)存储器的至少一个校验和(checksum)。在此的一个问题可能是确定或计算所述校验和需要相对较长的时间,从而引导过程被延长了。在进一步的优选实施方式中,例如应当在30ms-100ms内完成引导过程。但是,由于校验和计算可能会增加大量的毫秒数。
192.因此,在进一步的优选实施方式中提出设置至少一个硬件加速器单元hsm并将其用于计算(一个或多个)校验和(“hw校验和加速器”)。在进一步的优选实施方式中,还可以设置多个硬件加速器单元,这些硬件加速器单元必要时分别处理待检查的存储器的一部分或为对应部分形成校验和。更优选地,在启动(一个或多个)应用app1、app2、app3之前借助于所述至少一个硬件加速器单元来计算校验和。
193.在进一步的优选实施方式中,硬件加速器单元也可以分配给不同的分区或应用。
194.参见图3i,进一步的优选实施方式涉及一种用于控制诸如车辆1的技术系统1的方法和设备200,其中在至少一个硬件模块208或外围组件中实现机制,优选地在模块208的接口(interface)中实现,参见根据图3i的步骤150,借助于所述机制可以由多个分区或应用app1、app2、app3下达任务,这些任务特别是分别不能被其他分区覆盖或影响。在进一步的
优选实施方式中,该机制也可以被称为“(一个或多个)传输窗口”。
195.在进一步的优选实施方式中,所述硬件模块(或所述模块的控制器,例如所述模块的微控制器)或所述外围组件被构造为根据预给定规则处理所述任务,例如以轮询(round robin)方法,由此有利地对于(外部)应用而言代表了确定性时间行为。
196.进一步的优选实施方式规定了在至少一个硬件模块中实现传输窗口,具有至少一个以下方面:a)所述传输窗口的地址区域可以可选地分配给不同的应用/分区,b)在所述模块中例如借助于sw按照预给定的方法(例如轮询方法)对任务进行处理。
197.进一步的优选实施方式涉及根据实施方式的方法和/或根据实施方式的设备和/或根据实施方式的计算机可读存储介质和/或根据实施方式的计算机程序和/或根据实施方式的数据载体信号用于以下元素中的至少一个的用途:a)实现所述设备的至少一些应用、优选所有应用的确定性运行时行为,b)避免对第一应用的新认证,特别是在改变至少一个另外的应用时。
再多了解一些
本文用于创业者技术爱好者查询,仅供学习研究,如用于商业用途,请联系技术所有人。
