微型計(jì)算的制造方法
【專利摘要】本發(fā)明涉及微型計(jì)算機(jī)。本發(fā)明公開了一種對(duì)于中斷控制系統(tǒng)的異常進(jìn)行檢測(cè)的技術(shù),尤其涉及一種無(wú)需將所有電路進(jìn)行二元化、無(wú)需花費(fèi)時(shí)間制作內(nèi)建自測(cè)試的測(cè)試模式,且不會(huì)大幅增加功耗的情況下便可檢測(cè)出中斷控制系統(tǒng)的異常的技術(shù)。在從中斷控制器到中央處理器的中斷信號(hào)系統(tǒng)中使用定時(shí)器等定期產(chǎn)生測(cè)試中斷請(qǐng)求,并通過(guò)中斷處理例程對(duì)中斷控制器內(nèi)的中斷請(qǐng)求標(biāo)記的狀態(tài)進(jìn)行確認(rèn),如果檢測(cè)到同一中斷請(qǐng)求標(biāo)記連續(xù)2次或2次以上處于設(shè)置狀態(tài)時(shí),便可認(rèn)定該中斷信號(hào)系統(tǒng)存在故障的可能性很高,所以可判斷其存在異常。
【專利說(shuō)明】微型計(jì)算機(jī)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種故障檢測(cè)技術(shù),尤其涉及一種根據(jù)中斷請(qǐng)求向中央處理器發(fā)送中斷指示的中斷信號(hào)系統(tǒng)故障的檢測(cè)技術(shù),如為適用于搭載了故障-安全功能的車載控制用的微型計(jì)算機(jī)中安全相關(guān)的中斷信號(hào)系統(tǒng)的故障檢測(cè)的有效的技術(shù)。
【背景技術(shù)】
[0002]對(duì)于搭載了故障-安全功能的車載控制用的微型計(jì)算機(jī),在用于和人命息息相關(guān)的電子控制裝置方面,硬件和軟件都必須遵守的準(zhǔn)則例如有功能安全基準(zhǔn)的IS026262及IEC61508等。鎖步結(jié)構(gòu)作為實(shí)現(xiàn)故障-安全功能的手段而被廣泛使用。例如,將中央處理器的內(nèi)核設(shè)為雙核,且分別在不同的內(nèi)核上并列執(zhí)行同一軟件,便可通過(guò)判斷動(dòng)作結(jié)果是否一致來(lái)盡快檢測(cè)出系統(tǒng)是否存在故障。但是上述鎖步結(jié)構(gòu)大幅增大了硬件規(guī)模。專利文獻(xiàn)I中記載了車載微型計(jì)算機(jī)中的鎖步動(dòng)作。
[0003]在車載微型計(jì)算機(jī)中,與功能安全相關(guān)的中斷請(qǐng)求數(shù)量非常多。對(duì)于上述中斷請(qǐng)求,對(duì)優(yōu)先級(jí)和中斷屏蔽進(jìn)行相應(yīng)的處理,使中央處理器檢測(cè)出可進(jìn)行中斷控制的中斷控制器及中斷信號(hào)系統(tǒng)的故障,這對(duì)在提高車載微型計(jì)算機(jī)的故障-安全功能方面是很必要的。如在專利文獻(xiàn)2至4中記載了對(duì)于中斷控制功能相關(guān)的故障和誤動(dòng)作進(jìn)行檢測(cè)的技術(shù)。
[0004]專利文獻(xiàn)2中公開了如下技術(shù),即:使用看門狗定時(shí)器的監(jiān)視功能,便可在生成與中斷控制器的中斷請(qǐng)求輸入引腳連接的實(shí)時(shí)處理請(qǐng)求時(shí)檢測(cè)相關(guān)的故障和誤動(dòng)作的技術(shù)。
[0005]專利文獻(xiàn)3中公開了如下技術(shù),S卩:接收中斷請(qǐng)求信號(hào)的中斷控制器在向CPU輸出中斷信號(hào)后,在CPU返送回響應(yīng)信號(hào)之前,可消除中斷請(qǐng)求信號(hào)無(wú)效時(shí)的問(wèn)題。也就是說(shuō),中斷控制器通過(guò)監(jiān)視該狀態(tài)并向CPU發(fā)出通知,使CPU在任何時(shí)候都能夠消除無(wú)法讀取向量地址的狀態(tài)。
[0006]專利文獻(xiàn)4中公開了如下技術(shù),即:使用測(cè)試儀對(duì)中斷控制器進(jìn)行測(cè)試時(shí),由于與CPU的運(yùn)行相關(guān),所以制作測(cè)試模式并非易事,而且由于測(cè)試需要時(shí)間,所以可將中斷控制器的內(nèi)部數(shù)據(jù)和向量直接輸出到LSI的外部,也可以通過(guò)內(nèi)部總線將必要的數(shù)據(jù)提供給中斷控制器的技術(shù)。
[0007]專利文獻(xiàn)I日本特開2010 — 262432號(hào)公報(bào)
[0008]專利文獻(xiàn)2日本特開1997 — 198280號(hào)公報(bào)
[0009]專利文獻(xiàn)3日本特開2000 - 347880號(hào)公報(bào)
[0010]專利文獻(xiàn)4日本特開3 — 109644號(hào)公報(bào)
【發(fā)明內(nèi)容】
[0011]為了提高微型計(jì)算機(jī)的故障-安全功能,尤其為了提高涉及多種中斷的功能安全的中斷處理的可靠性,本案發(fā)明人就如何才能更容易檢測(cè)出中斷控制器及中斷信號(hào)系統(tǒng)的故障進(jìn)行了探討。中斷控制器也可采用鎖步結(jié)構(gòu),例如,在車載控制用的微型計(jì)算機(jī)中,如果功能安全相關(guān)的中斷數(shù)量非常多時(shí),采用二元化將會(huì)導(dǎo)致電路規(guī)模過(guò)大、芯片大型化及成本增加等。并且,如果采用如下的器件結(jié)構(gòu),即啟動(dòng)時(shí)可進(jìn)行邏輯和內(nèi)存的內(nèi)建自測(cè)試(BIST =Built-1n Self-Test)作為硬件測(cè)試的器件結(jié)構(gòu),雖然中斷信號(hào)系統(tǒng)的故障可通過(guò)內(nèi)建自測(cè)試執(zhí)行,但是為了提高執(zhí)行測(cè)試時(shí)的覆蓋范圍而制作的測(cè)試模式并非易事,而且,還需采取新的對(duì)策來(lái)防止由于測(cè)試規(guī)模變大而導(dǎo)致功耗變大的問(wèn)題。在專利文獻(xiàn)4所公開的技術(shù)中,因追加硬件而導(dǎo)致電路規(guī)模增大這方面也不容忽視。尤其是如車載控制用的微型計(jì)算機(jī)中與功能安全相關(guān)的中斷數(shù)量非常多而導(dǎo)致中斷控制功能的規(guī)模大時(shí)尤其不能忽視。而且,根據(jù)專利文獻(xiàn)2、3所公開的技術(shù),也不可能很容易地檢測(cè)出中斷控制器自身的故障及誤動(dòng)作。
[0012]本發(fā)明的所述內(nèi)容及所述內(nèi)容以外的目的和新特征將在本說(shuō)明書的描述及【專利附圖】
【附圖說(shuō)明】中寫明。
[0013]本發(fā)明中公開的最具代表性的實(shí)施方式概要簡(jiǎn)單介紹如下。
[0014]S卩,對(duì)于從中斷控制器到中央處理器的中斷信號(hào)系統(tǒng),使用定時(shí)器等定期產(chǎn)生測(cè)試中斷請(qǐng)求,并在所述中斷處理例程內(nèi)對(duì)中斷控制器內(nèi)的中斷請(qǐng)求標(biāo)記的狀態(tài)進(jìn)行確認(rèn),通過(guò)功能安全相關(guān)檢測(cè)到同一中斷請(qǐng)求標(biāo)記連續(xù)2次或2次以上處于設(shè)置狀態(tài)時(shí),就可認(rèn)為該中斷信號(hào)系統(tǒng)發(fā)生故障的可能性很高,并將之判斷為測(cè)試故障,即存在異常。
[0015]根據(jù)本發(fā)明中公開的最具代表性的實(shí)施方式得出的效果簡(jiǎn)單介紹如下。
[0016]S卩,無(wú)需全面實(shí)施電路的二元化,也無(wú)需花費(fèi)時(shí)間制作內(nèi)建自測(cè)試的測(cè)試模式,便可在無(wú)需大幅增加功耗的情況下檢測(cè)出中斷控制系統(tǒng)的異常。
【專利附圖】
【附圖說(shuō)明】
[0017]圖1所示的是第I實(shí)施方式中微型計(jì)算機(jī)的中斷控制系統(tǒng)中故障檢測(cè)的詳細(xì)示例的框圖。
[0018]圖2所示的是微型計(jì)算機(jī)的結(jié)構(gòu)例的框圖。
[0019]圖3所示的是對(duì)測(cè)試中斷請(qǐng)求信號(hào)OSTM進(jìn)行響應(yīng)的中央處理器的操作流程例的流程圖。
[0020]圖4所示的是對(duì)測(cè)試中斷請(qǐng)求信號(hào)進(jìn)行響應(yīng)的測(cè)試中斷處理的動(dòng)作時(shí)序例的時(shí)序流程圖。
[0021]圖5所示的是第2實(shí)施方式中作為微型計(jì)算機(jī)的中斷控制系統(tǒng)的主要結(jié)構(gòu)例的框圖。
[0022]圖6所示的是著眼于二元化的測(cè)試中斷請(qǐng)求信號(hào)OSTMa,OSTMb時(shí)的從設(shè)備中斷控制器及主設(shè)備中斷控制器的具體例的框圖。
[0023]圖7所示的是第3實(shí)施方式中微型計(jì)算機(jī)的中斷控制系統(tǒng)的主要結(jié)構(gòu)例的框圖。
[0024]圖8所示的是第4實(shí)施方式中微型計(jì)算機(jī)的中斷控制系統(tǒng)的主要結(jié)構(gòu)例的框圖。
[0025]圖9所示的是第5實(shí)施方式中微型計(jì)算機(jī)的中斷控制系統(tǒng)的主要結(jié)構(gòu)例的框圖。
[0026]圖10所示的是第6實(shí)施方式中微型計(jì)算機(jī)的中斷控制系統(tǒng)的主要結(jié)構(gòu)例及I個(gè)從設(shè)備中斷控制器的示例的框圖。
[0027]圖11所示的是第6實(shí)施方式中微型計(jì)算機(jī)的中斷控制系統(tǒng)的主要結(jié)構(gòu)例及2個(gè)從設(shè)備中斷控制器的示例的框圖。
[0028]符號(hào)說(shuō)明
[0029]I微型計(jì)算機(jī)
[0030]2處理單元(PEO)
[0031]3處理單元(PEl)
[0032]4、4A、4B主設(shè)備中斷控制器(INTCl)
[0033]5中央處理器(CPU)
[0034]6比較部(COMP)
[0035]7錯(cuò)誤控制電路(ERRCNT)
[0036]15定時(shí)器電路(TMR)
[0037]18從設(shè)備中斷控制器(INTC2)
[0038]2U21A第I從設(shè)備中斷控制器(INTC2_0)
[0039]22第2從設(shè)備中斷控制器(INTC2_1)
[0040]IFLG中斷請(qǐng)求標(biāo)記
[0041]IntSl、IntS2、IntReq中斷信號(hào)
[0042]31、32、33、33B中斷請(qǐng)求標(biāo)記電路
[0043]41、42、43、43B標(biāo)記控制邏輯電路(FLGC)
[0044]51、52、53、51A、53A優(yōu)先級(jí)及屏蔽控制邏輯電路(PMLGC)
[0045]CSCD級(jí)聯(lián)碼
[0046]INT [127:32]中斷請(qǐng)求信號(hào)
[0047]OSTM測(cè)試中斷請(qǐng)求
[0048]NSRS非安全相關(guān)的中斷請(qǐng)求信號(hào)
[0049]SRS安全相關(guān)的中斷請(qǐng)求信號(hào)
[0050]INT [255:128]中斷請(qǐng)求信號(hào)
[0051]INT_PE[31:0]中斷請(qǐng)求信號(hào)
[0052]OSTMa、OSTMb二元化的測(cè)試中斷請(qǐng)求
[0053]15a、15b定時(shí)器通道
[0054]60異或門
[0055]61優(yōu)先級(jí)及屏蔽控制邏輯電路(PMLGC)
[0056]62邏輯與門
[0057]70、71優(yōu)先級(jí)及屏蔽控制邏輯電路(PMLGC)
[0058]80選擇器
[0059]SEL選擇信號(hào)
【具體實(shí)施方式】
[0060]1.實(shí)施方式概要
[0061]下面首先,對(duì)本發(fā)明中公開的實(shí)施方式概要進(jìn)行說(shuō)明。在實(shí)施方式的概要說(shuō)明中,括號(hào)內(nèi)的參照?qǐng)D中的參照符號(hào)僅為示出了構(gòu)成要素的概念而已。
[0062]〔I〕<判斷定期參照的中斷請(qǐng)求標(biāo)記是否連續(xù)多次處于設(shè)置狀態(tài)>
[0063]微型計(jì)算機(jī)(I)具有中央處理器(5)和中斷控制器(4,18,21,22,21A)。其中,所述中央處理器定期對(duì)以規(guī)定的間隔產(chǎn)生的規(guī)定的測(cè)試中斷請(qǐng)求(OSTM)進(jìn)行響應(yīng),并參照所述中斷控制器所保持有的中斷請(qǐng)求標(biāo)記(IFLG),通過(guò)參照多次所述測(cè)試中斷請(qǐng)求并判斷同一中斷請(qǐng)求標(biāo)記連續(xù)多次處于設(shè)置狀態(tài)時(shí),判斷為存在異常。
[0064]由此,在參照每一次定期產(chǎn)生的測(cè)試中斷請(qǐng)求時(shí)的中斷控制器內(nèi)的中斷請(qǐng)求標(biāo)記后,如果檢測(cè)到同一中斷請(qǐng)求標(biāo)記連續(xù)兩次以上處于設(shè)置狀態(tài),而該設(shè)置狀態(tài)的中斷請(qǐng)求標(biāo)記產(chǎn)生的中斷依然沒(méi)得到處理時(shí),這種狀態(tài)持續(xù)的時(shí)間越長(zhǎng),說(shuō)明中斷信號(hào)系統(tǒng)發(fā)生故障的可能性越高。通過(guò)將此狀態(tài)認(rèn)定為異常狀態(tài),便可提高微型計(jì)算機(jī)所控制的系統(tǒng)的功能安全性。尤其是由于中斷控制器全面實(shí)現(xiàn)了二元化而可不完全依賴鎖步結(jié)構(gòu),所以無(wú)需大幅增加電路規(guī)模。而且,由于無(wú)需花費(fèi)時(shí)間制作用于內(nèi)建自測(cè)試的測(cè)試模式,所以也不會(huì)出現(xiàn)因內(nèi)建自測(cè)試而導(dǎo)致功耗大幅增加的現(xiàn)象。由此,便可在無(wú)需增加電路規(guī)模、無(wú)需花費(fèi)時(shí)間制作測(cè)試模式、以及不會(huì)出現(xiàn)因進(jìn)行測(cè)試而導(dǎo)致功耗大幅增加的情況下檢測(cè)出控制系統(tǒng)的異常。
[0065]〔2〕<將測(cè)試中斷請(qǐng)求及作為中斷請(qǐng)求標(biāo)記的參照對(duì)象的中斷請(qǐng)求輸入不同的中斷控制器>
[0066]在〔I〕中,所述中斷控制器具有被供給所述測(cè)試中斷請(qǐng)求的第I中斷控制器(21)、以及第2中斷控制器(22),所述第2中斷控制器(22)包括通過(guò)對(duì)所述測(cè)試中斷請(qǐng)求進(jìn)行響應(yīng)的所述中央處理器處理后作為參照對(duì)象的中斷請(qǐng)求標(biāo)記(請(qǐng)參照?qǐng)D1)。
[0067]由此,中斷請(qǐng)求大致可分為對(duì)功能安全方面要求很高的功能安全相關(guān)的中斷請(qǐng)求、以及在功能安全方面要求不高的非功能安全相關(guān)的中斷請(qǐng)求。此時(shí),通過(guò)在測(cè)試中斷請(qǐng)求的輸入側(cè)和作為中斷請(qǐng)求標(biāo)記的參照對(duì)象的中斷請(qǐng)求的輸入側(cè)設(shè)置不同的中斷控制器,便可將通過(guò)測(cè)試中斷請(qǐng)求進(jìn)行中斷處理時(shí)中斷處理標(biāo)記的參照范圍限定為與功能安全相關(guān)的中斷請(qǐng)求側(cè)的第2中斷控制器。而且,在判斷為存在異常時(shí),還可將對(duì)該異常進(jìn)行處理的范圍限定在包括第2中斷控制器的信號(hào)系統(tǒng)上。
[0068]〔3〕<將測(cè)試中斷請(qǐng)求產(chǎn)生電路進(jìn)行二元化>
[0069]在〔2〕中,將產(chǎn)生所述測(cè)試中斷請(qǐng)求的測(cè)試中斷請(qǐng)求產(chǎn)生電路(15a,15b)進(jìn)行二元化(請(qǐng)參照?qǐng)D5)。所述第I中斷控制器(21A)還具有判斷電路,所述判斷電路對(duì)于從二元化后的測(cè)試中斷請(qǐng)求產(chǎn)生電路并聯(lián)輸入的測(cè)試中斷請(qǐng)求及其他中斷請(qǐng)求分別進(jìn)行接收控制,并判斷所進(jìn)行的各接收控制結(jié)果是否匹配。
[0070]由此,便可檢測(cè)從二元化后的測(cè)試中斷請(qǐng)求產(chǎn)生電路輸出的信號(hào)是否匹配,所以可保證通過(guò)測(cè)試中斷請(qǐng)求進(jìn)行處理的結(jié)果的合理性。因此,便可避免出現(xiàn)因測(cè)試中斷處理系統(tǒng)的故障而導(dǎo)致中央處理器根據(jù)測(cè)試中斷請(qǐng)求進(jìn)行處理的現(xiàn)象,從系統(tǒng)功能安全方面來(lái)考慮,可進(jìn)一步提聞系統(tǒng)的安全性。
[0071]〔4〕<將輸入第2中斷控制器的中斷請(qǐng)求選擇性地輸入到第I中斷控制器>
[0072]在〔2〕中,還具有選擇器(80)(請(qǐng)參照?qǐng)D7),所述選擇器(80)選擇輸入第2中斷控制器的中斷請(qǐng)求并將之輸入到第I中斷控制器。所述中央處理器參照所述中斷控制器的中斷請(qǐng)求標(biāo)記后判斷為存在異常時(shí),即通過(guò)參照多次所述測(cè)試中斷請(qǐng)求后判斷為同一中斷請(qǐng)求標(biāo)記連續(xù)多次處于設(shè)置狀態(tài)時(shí),通過(guò)所述選擇器選擇與所述連續(xù)多次處于設(shè)置狀態(tài)的同一中斷請(qǐng)求標(biāo)記對(duì)應(yīng)的中斷請(qǐng)求并將之輸入到第I中斷控制器。
[0073]由此,即使在判斷為存在異常時(shí),將與已判斷為連續(xù)多次處于設(shè)置狀態(tài)的中斷請(qǐng)求標(biāo)記對(duì)應(yīng)的中斷請(qǐng)求輸入第I中斷控制器,由此便可繼續(xù)通過(guò)該中斷請(qǐng)求繼續(xù)進(jìn)行原來(lái)的處理。簡(jiǎn)言之便是,可將之作為在系統(tǒng)出現(xiàn)問(wèn)題時(shí)的應(yīng)急措施繼續(xù)進(jìn)行處理。
[0074]〔5〕<中斷控制器的級(jí)聯(lián)連接>
[0075]在〔I〕中,所述中斷控制器具有級(jí)聯(lián)連接的主設(shè)備中斷控制器(4)、以及從設(shè)備中斷控制器(18)。主設(shè)備中斷控制器可輸入多個(gè)中斷請(qǐng)求,并可根據(jù)所輸入的中斷請(qǐng)求的接收控制結(jié)果向中央處理器輸出中斷信號(hào)。從設(shè)備中斷控制器可輸入多個(gè)中斷請(qǐng)求,并可根據(jù)所輸入的中斷請(qǐng)求的接收控制結(jié)果向所述主設(shè)備中斷控制器輸出中斷請(qǐng)求信號(hào)。
[0076]由此,對(duì)于I個(gè)中斷控制器無(wú)法完全處理的多個(gè)中斷請(qǐng)求信號(hào),可通過(guò)中斷控制器的級(jí)聯(lián)連接來(lái)應(yīng)對(duì)。
[0077]〔6〕<關(guān)于級(jí)聯(lián)連接的中斷請(qǐng)求,從設(shè)備中斷控制器和主設(shè)備中斷控制器分別保持有中斷請(qǐng)求標(biāo)記并將之作為參照對(duì)象>
[0078]在〔5〕中,所述中央處理器定期對(duì)以規(guī)定間隔產(chǎn)生的規(guī)定的測(cè)試中斷請(qǐng)求進(jìn)行響應(yīng),并參照?qǐng)D8所示的如下中斷請(qǐng)求標(biāo)記,S卩:所述從設(shè)備中斷控制器(22)所保持有的從設(shè)備側(cè)中斷請(qǐng)求標(biāo)記(對(duì)應(yīng)SRS的IFLG);以及與從所述從設(shè)備中斷控制器向所述主設(shè)備中斷控制器(4)供給的中斷請(qǐng)求信號(hào)對(duì)應(yīng)并置位的、所述主設(shè)備中斷控制器所保持有的主設(shè)備側(cè)中斷請(qǐng)求標(biāo)記(對(duì)應(yīng)IntS2的IFLG)。中央處理器通過(guò)參照多次所述測(cè)試中斷請(qǐng)求,在判斷為同一從設(shè)備側(cè)的中斷請(qǐng)求標(biāo)記連續(xù)多次處于設(shè)置狀態(tài)、以及與其對(duì)應(yīng)的主設(shè)備側(cè)中斷請(qǐng)求標(biāo)記是否連續(xù)多次處于設(shè)置狀態(tài)來(lái)判斷其是否存在異常。
[0079]由此,通過(guò)參照級(jí)聯(lián)連接的從設(shè)備側(cè)和主設(shè)備側(cè)的中斷請(qǐng)求標(biāo)記的狀態(tài),便可判斷故障位置是在主設(shè)備中斷控制器的中斷請(qǐng)求標(biāo)記的之前還是之后。
[0080]〔7〕<從從設(shè)備中斷控制器到主設(shè)備中斷控制器路徑中的故障>
[0081]在〔6〕中,所述中央處理器通過(guò)參照多次所述的測(cè)試中斷請(qǐng)求來(lái)判斷同一從設(shè)備側(cè)中斷請(qǐng)求標(biāo)記連續(xù)多次處于設(shè)置狀態(tài),且與之相對(duì)應(yīng)的主設(shè)備側(cè)中斷請(qǐng)求標(biāo)記連續(xù)多次處于設(shè)置狀態(tài),以此來(lái)判斷經(jīng)由從設(shè)備中斷控制器及主設(shè)備中斷控制器至中央處理器的輸入路徑中存在異常。另外,通過(guò)參照多次所述測(cè)試中斷請(qǐng)求判斷為同一從設(shè)備側(cè)中斷請(qǐng)求標(biāo)記連續(xù)多次處于設(shè)置狀態(tài)、且與之對(duì)應(yīng)的主設(shè)備側(cè)中斷請(qǐng)求標(biāo)記不為連續(xù)多次處于設(shè)置狀態(tài)時(shí),便可認(rèn)為從從設(shè)備中斷控制器至主設(shè)備中斷控制器的輸入路徑中存在異常。
[0082]由此,便可具體判斷故障位置是在主設(shè)備中斷控制器的中斷請(qǐng)求標(biāo)記之前或之后。
[0083]〔8〕<向主設(shè)備中斷控制器輸入規(guī)定的測(cè)試中斷請(qǐng)求>
[0084]在〔5〕中,向所述主設(shè)備中斷控制器輸入所述規(guī)定的測(cè)試中斷請(qǐng)求(請(qǐng)參照?qǐng)D10、圖 11)。
[0085]由此,由于接收測(cè)試中斷請(qǐng)求信號(hào)的中斷控制器僅為I段,與向級(jí)聯(lián)連接的從設(shè)備側(cè)輸入測(cè)試中斷請(qǐng)求信號(hào)時(shí)相比,可減少因測(cè)試中斷請(qǐng)求信號(hào)進(jìn)行處理時(shí)產(chǎn)生異常的可能性。
[0086]〔9〕<將測(cè)試中斷請(qǐng)求及與作為中斷請(qǐng)求標(biāo)記的參照對(duì)象的中斷請(qǐng)求輸入不同的從設(shè)備中斷控制器>
[0087]在〔5〕中,所述從設(shè)備中斷控制器具有被供給所述測(cè)試中斷請(qǐng)求的第I從設(shè)備中斷控制器(21)、以及第2從設(shè)備中斷控制器(22)(請(qǐng)參照?qǐng)D1),所述第2從設(shè)備中斷控制器具有通過(guò)對(duì)所述測(cè)試中斷請(qǐng)求進(jìn)行響應(yīng)的中央處理器進(jìn)行處理而成為參照對(duì)象的中斷請(qǐng)求標(biāo)記O
[0088]由此,即使在級(jí)聯(lián)連接結(jié)構(gòu)時(shí),也可大體分為對(duì)于功能安全要求較高的功能安全相關(guān)的中斷請(qǐng)求、以及對(duì)于功能安全要求不高的非功能安全相關(guān)的中斷請(qǐng)求。此時(shí),通過(guò)在測(cè)試中斷請(qǐng)求的輸入側(cè)和在作為中斷請(qǐng)求標(biāo)記的參照對(duì)象的輸入設(shè)置不同的從設(shè)備中斷控制器,便可將通過(guò)測(cè)試中斷請(qǐng)求進(jìn)行中斷處理時(shí)中斷請(qǐng)求標(biāo)記的參照范圍限定為功能安全相關(guān)的中斷請(qǐng)求側(cè)的第2從設(shè)備中斷控制器。由此,判斷為存在異常時(shí),便可將對(duì)于該異常的處理范圍限定在具有第2從設(shè)備中斷控制器的信號(hào)系統(tǒng)中。
[0089]〔10〕<將測(cè)試中斷請(qǐng)求的產(chǎn)生電路進(jìn)行二元化>
[0090]在〔9〕中,將產(chǎn)生所述測(cè)試中斷請(qǐng)求的測(cè)試中斷請(qǐng)求產(chǎn)生電路(15a,15b)進(jìn)行二元化(請(qǐng)參照?qǐng)D5)。所述第I從設(shè)備中斷控制器還具有判斷電路,所述判斷電路對(duì)于從二元化的中斷請(qǐng)求產(chǎn)生電路并聯(lián)輸入的測(cè)試中斷請(qǐng)求及其他的中斷請(qǐng)求分別進(jìn)行接收控制,并判斷分別執(zhí)行的接收控制結(jié)果是否匹配。所述主設(shè)備中斷控制器將通過(guò)所述第I從設(shè)備中斷控制器對(duì)于分別執(zhí)行的接收控制結(jié)果的邏輯與信號(hào)作為一個(gè)中斷請(qǐng)求信號(hào)進(jìn)行處理。
[0091]由此,由于可檢測(cè)從二元化后的測(cè)試中斷請(qǐng)求產(chǎn)生電路發(fā)出的信號(hào)是否匹配,所以可保證通過(guò)測(cè)試中斷請(qǐng)求進(jìn)行處理的結(jié)果的合理性。因此,便可避免出現(xiàn)因測(cè)試中斷處理系統(tǒng)的故障而無(wú)法通過(guò)中央處理器根據(jù)測(cè)試中斷請(qǐng)求進(jìn)行處理的現(xiàn)象,從系統(tǒng)的功能安全方面來(lái)考慮,可進(jìn)一步提高系統(tǒng)的安全性。
[0092]〔 11〕<將輸入第2從設(shè)備中斷控制器的中斷請(qǐng)求選擇性地輸入到第I從設(shè)備中斷控制器>
[0093]在〔9〕中,還具有選擇器(80)(請(qǐng)參照?qǐng)D7),所述選擇器(80)選擇輸入第2從設(shè)備中斷控制器的中斷請(qǐng)求并將之輸入到第I從設(shè)備中斷控制器。所述中央處理器參照所述第2從設(shè)備中斷控制器的中斷請(qǐng)求標(biāo)記后判斷為存在異常時(shí),通過(guò)參照多次所述測(cè)試中斷請(qǐng)求后判斷為同一中斷請(qǐng)求標(biāo)記連續(xù)多次處于設(shè)置狀態(tài)時(shí),通過(guò)所述選擇器選擇與所述連續(xù)多次處于設(shè)置狀態(tài)的同一中斷請(qǐng)求并將之輸入到第I從設(shè)備中斷控制器。
[0094]由此,即使在判斷為存在異常時(shí),將與所述連續(xù)多次處于設(shè)置狀態(tài)的中斷請(qǐng)求標(biāo)記對(duì)應(yīng)的中斷請(qǐng)求輸入第I從設(shè)備中斷控制器,便可繼續(xù)通過(guò)該中斷請(qǐng)求進(jìn)行原來(lái)的處理。簡(jiǎn)言之便是,可將之作為在系統(tǒng)出現(xiàn)問(wèn)題時(shí)的應(yīng)急措施繼續(xù)進(jìn)行處理。
[0095]〔12〕<通過(guò)主設(shè)備中斷控制器及中央處理器的二元化實(shí)現(xiàn)的鎖步結(jié)構(gòu)>
[0096]在〔5〕中,具有鎖步結(jié)構(gòu),所述鎖步結(jié)構(gòu)通過(guò)所述主設(shè)備中斷控制器(4)及所述中央處理器(5)的二元化(2,3)實(shí)現(xiàn)相互并聯(lián)的動(dòng)作,并根據(jù)相互動(dòng)作結(jié)果的不同檢測(cè)到異堂巾O
[0097]由此,在器件面積允許時(shí),對(duì)一部分采用鎖步結(jié)構(gòu)便可進(jìn)一步提高器件的功能安全性。
[0098]〔13〕<將測(cè)試中斷請(qǐng)求產(chǎn)生電路進(jìn)行二元化,便可將測(cè)試中斷請(qǐng)求以及作為中斷請(qǐng)求標(biāo)記的參照對(duì)象的中斷請(qǐng)求輸入到同一中斷控制器內(nèi)>
[0099]在〔I〕中,所述中斷控制器具有被供給所述測(cè)試中斷請(qǐng)求及第I中斷請(qǐng)求的第I中斷控制器(21A)、以及被供給第2中斷請(qǐng)求的第2中斷控制器(22)。而且,產(chǎn)生所述測(cè)試中斷請(qǐng)求的測(cè)試中斷請(qǐng)求產(chǎn)生電路(15a,15b)為二元化電路。所述第I中斷控制器還具有判斷電路(60),所述判斷電路(60)對(duì)于從二元化的測(cè)試中斷請(qǐng)求產(chǎn)生電路并聯(lián)輸入的測(cè)試中斷請(qǐng)求及所述第I中斷請(qǐng)求分別進(jìn)行接收控制,并判斷各接收控制結(jié)果是否匹配。所述中央處理器定期對(duì)以規(guī)定間隔產(chǎn)生的測(cè)試中斷請(qǐng)求進(jìn)行響應(yīng),并參照所述第I中斷控制器及第2中斷控制器所保持有的中斷請(qǐng)求標(biāo)記,通過(guò)參照多次所述測(cè)試中斷請(qǐng)求判斷為同一中斷請(qǐng)求標(biāo)記連續(xù)多次處于設(shè)置狀態(tài)時(shí),判斷為存在異常(請(qǐng)參照?qǐng)D9)。
[0100]由此,不僅可確實(shí)檢測(cè)出從產(chǎn)生測(cè)試中斷請(qǐng)求起至其接收控制中出現(xiàn)的異常,還可更容易地保證中央處理器可接收正常產(chǎn)生的測(cè)試中斷請(qǐng)求。換言之即是,由于能夠檢測(cè)出第I中斷控制器產(chǎn)生的中斷請(qǐng)求的接收處理和信號(hào)路徑中的異常,所以對(duì)于功能安全相關(guān)的中斷請(qǐng)求信號(hào)并非僅限于供給第2中斷控制器,還可供給第I中斷控制器,由此便可進(jìn)一步提高其功能安全性。此時(shí),對(duì)測(cè)試中斷請(qǐng)求進(jìn)行響應(yīng)并參照第I中斷控制器側(cè)的中斷請(qǐng)求標(biāo)記進(jìn)行判斷,可有助于進(jìn)一步提高功能安全性。
[0101]〔14〕<定時(shí)器中斷請(qǐng)求>
[0102]在〔I〕中,還具有定時(shí)器,所述規(guī)定的測(cè)試中斷請(qǐng)求是所述定時(shí)器(15)以規(guī)定的間隔產(chǎn)生的定時(shí)器中斷請(qǐng)求。
[0103]由此,便可根據(jù)中央處理器的控制來(lái)任意決定定期產(chǎn)生測(cè)試中斷請(qǐng)求的產(chǎn)生間隔。
[0104]〔15〕<與安全相關(guān)的中斷請(qǐng)求對(duì)應(yīng)的中斷請(qǐng)求標(biāo)記>
[0105]在〔14〕中,作為參照對(duì)象的中斷請(qǐng)求標(biāo)記是與考慮了功能安全的安全相關(guān)的中斷請(qǐng)求對(duì)應(yīng)的中斷請(qǐng)求標(biāo)記。
[0106]由此,便可適用于搭載了故障-安全功能且大量使用了安全相關(guān)的中斷請(qǐng)求的車載控制用的微型計(jì)算機(jī)。
[0107]〔16〕<規(guī)定的間隔>
[0108]在〔15〕中,所述規(guī)定的間隔的時(shí)間比通過(guò)所述安全相關(guān)的中斷請(qǐng)求產(chǎn)生的故障-安全處理的 FTTI (Fault Tolerant Time Interval)的時(shí)間短。
[0109]正常狀態(tài)下,通過(guò)安全相關(guān)的中斷請(qǐng)求進(jìn)行的處理將比FTTI更短的時(shí)間內(nèi)結(jié)束,且其中斷請(qǐng)求標(biāo)記將從設(shè)置狀態(tài)被清除。相反地,如果存在異常,通過(guò)安全相關(guān)的中斷請(qǐng)求進(jìn)行的處理即使超過(guò)了 FTTI時(shí)間也不會(huì)結(jié)束,從而導(dǎo)致其中斷請(qǐng)求標(biāo)記一直處于設(shè)置狀態(tài)。因此,如果將測(cè)試中斷請(qǐng)求的產(chǎn)生間隔設(shè)定為比FTTI時(shí)間短,在第I次測(cè)試中斷請(qǐng)求的處理和第2次測(cè)試中斷請(qǐng)求的處理過(guò)程中,如果同一中斷請(qǐng)求標(biāo)記連續(xù)2次處于設(shè)置狀態(tài),便可判斷其存在異常。
[0110]〔17〕<用戶模式下的測(cè)試中斷請(qǐng)求>
[0111]在〔15〕中,在用戶模式下通過(guò)中央處理器進(jìn)行控制,便可從所述定時(shí)器定期產(chǎn)生所述規(guī)定的測(cè)試中斷請(qǐng)求。
[0112]由此,便無(wú)需從用戶模式轉(zhuǎn)移到特別的測(cè)試模式,而且可將測(cè)試中斷處理作為用戶模式下的一個(gè)中斷處理來(lái)執(zhí)行,而且還能檢測(cè)出系統(tǒng)或是設(shè)備中因時(shí)間變化而出現(xiàn)的劣化。
[0113]〔18〕<既定處理所設(shè)想的故障>
[0114]在〔I〕中,由所述中央處理器認(rèn)定所存在的異常是指從所述中斷控制器到所述中央處理器的路徑中存在的異常。
[0115]由此,根據(jù)所設(shè)想的異常,便可預(yù)先決定存在異常時(shí)的異常處理及恢復(fù)處理措施。
[0116]2.實(shí)施方式的詳細(xì)內(nèi)容
[0117]下面進(jìn)一步詳細(xì)說(shuō)明實(shí)施方式的內(nèi)容。
[0118]《微型計(jì)算機(jī)》
[0119]圖2示出了微型計(jì)算機(jī)的結(jié)構(gòu)例。圖中所示的微型計(jì)算機(jī)(MCU) I并無(wú)特別限定,如可為在單晶硅晶等一個(gè)半導(dǎo)體襯底上通過(guò)CMOS集成電路制造技術(shù)形成的半導(dǎo)體集成電路。
[0120]微型計(jì)算機(jī)I具有將彼此相同的二元化后的處理單元(PEO) 2和處理單元(PEl) 3。處理單元(2,3)分別具有主設(shè)備中斷控制器(INTCl) 4和中央處理器(CPU) 5。處理單元(2,3)的中央處理器5與相同的時(shí)鐘信號(hào)同步并執(zhí)行相同的命令。處理單元(2,3)的主設(shè)備中斷控制器4輸入相同的中斷請(qǐng)求信號(hào)后進(jìn)行接收處理,并向?qū)?yīng)的中央處理器5輸出中斷信號(hào)。根據(jù)處理單元(2,3)的并聯(lián)動(dòng)作分別生成的信號(hào)和其他內(nèi)部信息,例如通過(guò)比較部(C0MP)6以中央處理器5的動(dòng)作周期單位進(jìn)行比較。比較結(jié)果不匹配時(shí)將通過(guò)錯(cuò)誤信號(hào)ERR向錯(cuò)誤控制電路(ERRCNT) 7進(jìn)行通知。通知的具體內(nèi)容及對(duì)于結(jié)果不匹配時(shí)的通知的具體處理內(nèi)容并無(wú)特別限定,而是可根據(jù)微型計(jì)算機(jī)I執(zhí)行的軟件、或者適用于微型計(jì)算機(jī)I的系統(tǒng)內(nèi)容等來(lái)做適當(dāng)?shù)臎Q定。如上所述將處理單元(2,3)進(jìn)行二元化,是為了實(shí)現(xiàn)故障-安全功能的鎖步結(jié)構(gòu)的一例,可及早檢測(cè)出微型計(jì)算機(jī)I乃至其應(yīng)用系統(tǒng)的故障。但是,上述的鎖步結(jié)構(gòu)當(dāng)然也會(huì)成倍增加硬件規(guī)模。
[0121]處理單元(2,3)的外圍電路如具有SRAM等的RAMlO及可電改寫的非易失性存儲(chǔ)器即閃存(FLASH)Il等存儲(chǔ)設(shè)備,且經(jīng)由內(nèi)部總線與多個(gè)電路模塊連接。所述電路模塊如具有:可將數(shù)字信號(hào)轉(zhuǎn)換為模擬信號(hào)的DA轉(zhuǎn)換電路及將模擬信號(hào)轉(zhuǎn)換為數(shù)字信號(hào)的AD轉(zhuǎn)換電路等的模擬電路(ANLG) 13、鎖相環(huán)電路(PLL) 14、定時(shí)器電路(TMR) 15、串行通信電路(SRLCOM) 16、輸入輸出端口(I/O) 17、以及從設(shè)備中斷控制器(INTC2)18等。另外,上述外圍電路所輸出的數(shù)據(jù)和信號(hào)供給二元化后的處理單元(2,3),但也可由定位為主要設(shè)備的處理設(shè)備2來(lái)將數(shù)據(jù)及信號(hào)供給上述外圍電路。
[0122]本實(shí)施方式中,所述從設(shè)備中斷控制器18與主設(shè)備中斷控制器4的中斷信號(hào)路徑級(jí)聯(lián)連接。中斷控制器的級(jí)聯(lián)連接是指當(dāng)主設(shè)備中斷控制器4的中斷請(qǐng)求輸入引腳數(shù)量比應(yīng)該處理的中斷請(qǐng)求數(shù)少時(shí),為了擴(kuò)大中斷控制功能而采用的。雖無(wú)特別限定,但本實(shí)施方式中的從設(shè)備中斷控制器18是由第I從設(shè)備中斷控制器(INTC2_0)21和第2從設(shè)備中斷控制器(INTC2_1)22構(gòu)成的。
[0123]下面參照?qǐng)D1對(duì)中斷控制器(4,21,22)的級(jí)聯(lián)連接的基本結(jié)構(gòu)進(jìn)行說(shuō)明。
[0124]第I從設(shè)備中斷控制器21可從96個(gè)中斷請(qǐng)求輸入引腳輸入中斷請(qǐng)求信號(hào)INT[127:32],并根據(jù)對(duì)于所輸入的中斷請(qǐng)求信號(hào)的接收控制結(jié)果,從中斷請(qǐng)求輸出引腳輸出中斷信號(hào)IntSl。
[0125]第2從設(shè)備中斷控制器22可從128個(gè)中斷請(qǐng)求輸入引腳輸入中斷請(qǐng)求信號(hào)INT[255:128],并根據(jù)所輸入的中斷請(qǐng)求信號(hào)的接收控制結(jié)果,從中斷請(qǐng)求輸出引腳輸出中斷信號(hào)IntS2。
[0126]主設(shè)備中斷控制器4例如可從34個(gè)中斷請(qǐng)求輸入引腳輸入32個(gè)中斷請(qǐng)求信號(hào)INT_PE[31:0]以及所述中斷信號(hào)IntSl,IntS2,并根據(jù)所輸入的信號(hào)的接收控制結(jié)果,從中斷請(qǐng)求輸出引腳向中央處理器5輸出I個(gè)中斷信號(hào)IntReq。
[0127]中斷控制器(4,21,22)如果分別被輸入中斷請(qǐng)求信號(hào),就會(huì)將與所輸入的中斷請(qǐng)求信號(hào)對(duì)應(yīng)的中斷請(qǐng)求標(biāo)記IFLG進(jìn)行置位,對(duì)于通過(guò)置位后的中斷請(qǐng)求標(biāo)記IFLG進(jìn)行的中斷請(qǐng)求,對(duì)中斷屏蔽及中斷優(yōu)先級(jí)進(jìn)行判斷。此時(shí)對(duì)中斷屏蔽及中斷優(yōu)先級(jí)的判斷僅為上述接收處理的一例而已。即中斷控制器(4,21,22)對(duì)于未解除中斷屏蔽的中斷請(qǐng)求,將會(huì)忽視其所對(duì)應(yīng)的中斷請(qǐng)求標(biāo)記IFLG,并將處于設(shè)置狀態(tài)的中斷請(qǐng)求標(biāo)記IFLG中優(yōu)先級(jí)最高的中斷請(qǐng)求作為最優(yōu)先的中斷請(qǐng)求進(jìn)行接收,并輸出中斷信號(hào)IntSl,IntS2, IntReq。此時(shí),主設(shè)備中斷控制器4將中斷信號(hào)IntSl,IntS2作為與中斷請(qǐng)求信號(hào)進(jìn)行同等處理。在圖2中,31,32,33為以中斷控制器為單位,將多個(gè)中斷請(qǐng)求標(biāo)記統(tǒng)稱為中斷請(qǐng)求標(biāo)記電路。實(shí)際上中斷請(qǐng)求標(biāo)記電路(31,32,33)中,以中斷請(qǐng)求信號(hào)為單位設(shè)置了中斷請(qǐng)求標(biāo)記IFLG。但是,中斷請(qǐng)求標(biāo)記電路31不包括與中斷信號(hào)IntSl, IntS2對(duì)應(yīng)的中斷請(qǐng)求標(biāo)記。對(duì)于中斷控制器(21,22,4)中的上述中斷請(qǐng)求,分別由優(yōu)先級(jí)及屏蔽控制邏輯電路(PMLGC) 51,52,53來(lái)執(zhí)行對(duì)上述優(yōu)先級(jí)及屏蔽判斷的控制。
[0128]中央處理器5通過(guò)輸入主設(shè)備中斷控制器4輸出的中斷信號(hào)IntReq來(lái)結(jié)束執(zhí)行過(guò)程中的命令并進(jìn)行保存,并將中斷確認(rèn)信號(hào)IntAck輸出到中斷控制器(4,21,22)。
[0129]當(dāng)從中央處理器5將中斷確認(rèn)信號(hào)IntAck返送回來(lái),且被判斷為最優(yōu)先級(jí)的中斷請(qǐng)求不為從設(shè)備側(cè)的中斷信號(hào)IntSl,IntS2時(shí),主設(shè)備中斷控制器4向中央處理器5輸出與被判斷為最優(yōu)先級(jí)的中斷請(qǐng)求對(duì)應(yīng)的向量,同時(shí)將與被判斷為最優(yōu)先級(jí)的中斷請(qǐng)求對(duì)應(yīng)的中斷請(qǐng)求標(biāo)記IFLG的設(shè)置狀態(tài)器清除為重置狀態(tài)。另一方面,如果被判斷為上述最優(yōu)先級(jí)的中斷請(qǐng)求為從設(shè)備側(cè)的中斷信號(hào)IntSl,IntS2時(shí),如將通過(guò)如部總線12將顯示該請(qǐng)求源是哪一個(gè)從設(shè)備中斷控制器的級(jí)聯(lián)碼CSCD向從設(shè)備中斷控制器(21,22)通知,而主設(shè)備中斷控制器4自身不會(huì)輸出向量及清除中斷請(qǐng)求標(biāo)記,而是通過(guò)標(biāo)記控制邏輯電路(FLGC) 43來(lái)進(jìn)行。
[0130]從設(shè)備中斷控制器(21,22)通過(guò)中斷確認(rèn)信號(hào)IntAck激活,且由級(jí)聯(lián)碼CS⑶自我指定,便可經(jīng)由內(nèi)部總線12將與被判斷為最優(yōu)先級(jí)的中斷請(qǐng)求對(duì)應(yīng)的向量提供給中央處理器5,同時(shí),將與判斷為最優(yōu)先級(jí)的中斷請(qǐng)求對(duì)應(yīng)的中斷請(qǐng)求標(biāo)記IFLG的設(shè)置狀態(tài)清除為重置狀態(tài)。例如分別通過(guò)各從設(shè)備中斷控制器斷控制器(21,22)所保持有的標(biāo)記控制邏輯電路(FLGC) 41,42來(lái)執(zhí)行該控制。
[0131]FCLR是標(biāo)記控制邏輯電路(41,42,43)向?qū)?yīng)的中斷請(qǐng)求標(biāo)記電路(31,32,33)輸出的標(biāo)記清除信號(hào)。標(biāo)記清除信號(hào)FCLR是在中斷請(qǐng)求標(biāo)記電路(31,32,33)中指定要清除的中斷請(qǐng)求標(biāo)記的多個(gè)位的信號(hào)。
[0132]中央處理器5獲取由中斷控制器(4,21,22)中的任意一個(gè)提供的向量后,執(zhí)行根據(jù)該向量指定的中斷處理例程,便可執(zhí)行對(duì)該中斷請(qǐng)求進(jìn)行響應(yīng)的中斷處理。
[0133]《中斷控制系統(tǒng)的故障檢測(cè)》
[0134]雖無(wú)特別限定,但上述微型計(jì)算機(jī)I假設(shè)為搭載了與汽車傳動(dòng)系統(tǒng)或車體的功能安全相關(guān)的ECU。此時(shí),功能安全相關(guān)的中斷請(qǐng)求的種類太多而無(wú)法被二元化后的中斷控制器4全部容納。即使以還沒(méi)進(jìn)行二元化的從設(shè)備中斷控制器來(lái)接收功能安全相關(guān)的中斷請(qǐng)求時(shí),為了提高涉及多種數(shù)量的功能安全相關(guān)的中斷處理的可靠性,微型計(jì)算機(jī)I中也考慮到了如何才可很容易地檢測(cè)出中斷控制器及其中斷信號(hào)系統(tǒng)的故障的結(jié)構(gòu)。下面將就微型計(jì)算機(jī)I中關(guān)于中斷控制系統(tǒng)的故障檢測(cè)技術(shù)進(jìn)行詳細(xì)說(shuō)明。
[0135]《故障檢測(cè)的第I實(shí)施方式》
[0136]圖1詳細(xì)示出了微型計(jì)算機(jī)的中斷控制系統(tǒng)的結(jié)構(gòu)。
[0137]在第I從設(shè)備中斷控制器21中,將96個(gè)中斷請(qǐng)求信號(hào)INT[127:32]提供給中斷請(qǐng)求標(biāo)記電路31,還設(shè)置了分別與中斷請(qǐng)求信號(hào)INT[127:32]對(duì)應(yīng)的中斷請(qǐng)求標(biāo)記IFLG。不同的中斷請(qǐng)求標(biāo)記IFLG被輸出至優(yōu)先級(jí)及屏蔽控制邏輯電路51,且根據(jù)中央處理器5預(yù)先設(shè)定的屏蔽及優(yōu)先級(jí),接收與處于設(shè)置狀態(tài)的標(biāo)記輸出中的一個(gè)對(duì)應(yīng)的一個(gè)中斷請(qǐng)求,并輸出中斷請(qǐng)求信號(hào)IntSl。
[0138]尤其是中斷請(qǐng)求信號(hào)INT[127:32]中的I個(gè)被視為從定時(shí)器15定期以規(guī)定的間隔產(chǎn)生的測(cè)試中斷請(qǐng)求0STM。其余的95個(gè)中斷請(qǐng)求信號(hào)例如只需為對(duì)上述功能安全相關(guān)的中斷處理以外的處理進(jìn)行適當(dāng)處理的非安全相關(guān)的中斷請(qǐng)求信號(hào)NSRS。
[0139]在第2從設(shè)備中斷控制器22中,將128個(gè)中斷請(qǐng)求信號(hào)INT [255:128]提供給中斷請(qǐng)求標(biāo)記電路32,并設(shè)置有分別與中斷請(qǐng)求信號(hào)INT[255:128]對(duì)應(yīng)的中斷請(qǐng)求標(biāo)記IFLG。而且,將中斷請(qǐng)求標(biāo)記IFLG分別輸出到優(yōu)先級(jí)及屏蔽控制邏輯電路52,并根據(jù)由中央處理器5預(yù)先設(shè)定的屏蔽設(shè)定及優(yōu)先級(jí),接收與設(shè)置狀態(tài)的標(biāo)記輸出中的一個(gè)對(duì)應(yīng)的中斷請(qǐng)求并輸出中斷請(qǐng)求信號(hào)IntS2。
[0140]尤其是中斷請(qǐng)求信號(hào)INT[255:128]中的一部分是請(qǐng)求進(jìn)行上述功能安全相關(guān)的中斷處理的安全相關(guān)的中斷請(qǐng)求信號(hào)SRS,而其余部分與上述一樣為被認(rèn)為是與所述相同的非安全中斷請(qǐng)求信號(hào)NSRS。
[0141]主設(shè)備中斷控制器4中,32個(gè)中斷請(qǐng)求信號(hào)INT_PE[31:0]及所述中斷信號(hào)IntSl, IntS2被提供給中斷請(qǐng)求標(biāo)記電路33,還設(shè)置有分別與中斷請(qǐng)求信號(hào)INT_PE[31:0]及所述中斷信號(hào)IntSl,IntS2對(duì)應(yīng)的中斷請(qǐng)求標(biāo)記IFLG。各中斷請(qǐng)求標(biāo)記IFLG分別被輸出到優(yōu)先級(jí)及屏蔽控制邏輯電路53,且根據(jù)中央處理器5預(yù)先設(shè)定的屏蔽及優(yōu)先級(jí),接收與處于設(shè)置狀態(tài)的標(biāo)記輸出中的一個(gè)對(duì)應(yīng)的中斷請(qǐng)求,并輸出中斷請(qǐng)求信號(hào)IntReq。中斷請(qǐng)求信號(hào)INT_PE[31:0]既可以是安全相關(guān)的中斷請(qǐng)求信號(hào)SRS,也可為非安全相關(guān)的中斷請(qǐng)求信號(hào)NSRS,也可以是兩種信號(hào)的適當(dāng)混合。由于主設(shè)備中斷控制器4由于進(jìn)行了二元化,從而可高度保證其可靠性。
[0142]下面對(duì)于通過(guò)安全相關(guān)的中斷請(qǐng)求信號(hào)SRS對(duì)中斷信號(hào)系統(tǒng)進(jìn)行故障檢測(cè)的情況進(jìn)行詳細(xì)說(shuō)明。中央處理器5將定時(shí)器15進(jìn)行初始設(shè)定后,定期以規(guī)定的間隔產(chǎn)生測(cè)試中斷請(qǐng)求0STM。中央處理器5對(duì)測(cè)試中斷請(qǐng)求OSTM進(jìn)行響應(yīng),并參照與第2從設(shè)備中斷控制器22所保持有的安全相關(guān)的中斷請(qǐng)求信號(hào)SRS對(duì)應(yīng)的中斷請(qǐng)求標(biāo)記,如果通過(guò)參照多次所述測(cè)試中斷請(qǐng)求后判斷同一中斷請(qǐng)求連續(xù)多次處于設(shè)置狀態(tài)時(shí),便可認(rèn)定通過(guò)安全相關(guān)的中斷請(qǐng)求信號(hào)SRS進(jìn)行的中斷信號(hào)系統(tǒng)中存在某種異常。即,對(duì)于每個(gè)定期產(chǎn)生的測(cè)試中斷請(qǐng)求0STM,參照與第2從設(shè)備中斷控制器22內(nèi)的安全相關(guān)的中斷請(qǐng)求信號(hào)SRS對(duì)應(yīng)的中斷請(qǐng)求標(biāo)記IFLG后,當(dāng)檢測(cè)到同一中斷請(qǐng)求標(biāo)記IFLG連續(xù)2次或2次以上處于設(shè)置狀態(tài)時(shí),則可認(rèn)為該設(shè)置狀態(tài)的中斷請(qǐng)求標(biāo)記IFLG產(chǎn)生的中斷仍然存在且還未得到處理,這種狀態(tài)持續(xù)的時(shí)間越長(zhǎng),則表明該中斷系統(tǒng)發(fā)生故障的可能性越高。通過(guò)判斷該狀態(tài)存在異常,便可提高微型計(jì)算機(jī)I所控制的系統(tǒng)的功能安全性。尤其是在將從設(shè)備中斷控制器22全面進(jìn)行二元化時(shí)無(wú)需完全依賴鎖步結(jié)構(gòu),因此不會(huì)大幅增加電路規(guī)模。而且,由于無(wú)需花費(fèi)時(shí)間制作用于內(nèi)建自測(cè)試的測(cè)試模式,所以也不會(huì)出現(xiàn)因內(nèi)建自測(cè)試而導(dǎo)致功耗大幅增加的現(xiàn)象。如上所述,便可在無(wú)需大幅增加電路規(guī)模、無(wú)需測(cè)試模式的制作時(shí)間、而且不會(huì)出現(xiàn)因進(jìn)行測(cè)試而導(dǎo)致功耗大幅增加的情況下檢測(cè)出中斷控制系統(tǒng)的異常。此時(shí)所設(shè)想的中斷控制系統(tǒng)的異常是指,從第2從設(shè)備中斷控制器22的中斷請(qǐng)求信號(hào)輸入經(jīng)由主設(shè)備中斷控制器4到中央處理器5的中斷信號(hào)IntReq輸入為止的路徑中存在所設(shè)想的異常。由此,針對(duì)所設(shè)想的異常處理,只需在中央處理器5中預(yù)先準(zhǔn)備例外處理及恢復(fù)處理作為存在異常時(shí)的新的響應(yīng)處理便可。當(dāng)然,內(nèi)容也如前所述,并沒(méi)有任何特殊限制。
[0143]由于所述測(cè)試中斷請(qǐng)求OSTM采用的是定時(shí)器15的定時(shí)中斷請(qǐng)求,所以可以在中央處理器5的控制下任意決定定期產(chǎn)生的測(cè)試中斷請(qǐng)求OSTM產(chǎn)生的間隔。而且,根據(jù)處于用戶模式下的中央處理器5的軟件(如用戶程序)使定時(shí)器15定期產(chǎn)生測(cè)試中斷請(qǐng)求。因此,無(wú)需從用戶模式轉(zhuǎn)為特別的測(cè)試模式,而且,由于測(cè)試中斷的處理將被作為用戶模式下的一個(gè)中斷處理來(lái)執(zhí)行,所以能夠檢測(cè)出系統(tǒng)上或是機(jī)器上經(jīng)多年變化而導(dǎo)致的中斷控制系統(tǒng)的劣化。
[0144]定期產(chǎn)生的測(cè)試中斷請(qǐng)求OSTM的間隔例如比考慮了安全相關(guān)的中斷請(qǐng)求進(jìn)行的故障-安全處理的FTTI (Fault Tolerant Time Interval)的時(shí)間更短。正常狀態(tài)下通過(guò)安全相關(guān)的中斷請(qǐng)求進(jìn)行的處理將在比FTTI更短的時(shí)間內(nèi)完成并將所述中斷請(qǐng)求標(biāo)記從設(shè)置狀態(tài)進(jìn)行清除。相反地,如果存在異常,則通過(guò)安全相關(guān)的中斷請(qǐng)求進(jìn)行的處理即使在超過(guò)FTTI時(shí)間后也沒(méi)完成,該中斷請(qǐng)求標(biāo)記仍處于設(shè)置狀態(tài)。因此,通過(guò)將測(cè)試中斷請(qǐng)求的產(chǎn)生間隔設(shè)定為比FTTI的時(shí)間短,便可通過(guò)第I次測(cè)試中斷請(qǐng)求的處理和第2次測(cè)試中斷請(qǐng)求的處理判斷同一中斷請(qǐng)求標(biāo)記連續(xù)2次處于設(shè)置狀態(tài)而將其判斷為存在異常。
[0145]圖3示出了對(duì)測(cè)試中斷OSTM進(jìn)行響應(yīng)的中央處理器5的操作流程之一例。中央處理器5通過(guò)由測(cè)試中斷請(qǐng)求OSTM激活中斷信號(hào)IntReq而進(jìn)入OSTM中斷例程并開始測(cè)試(SI)。
[0146]首先,中央處理器5從中斷請(qǐng)求標(biāo)記電路32讀取與安全相關(guān)的中斷請(qǐng)求信號(hào)SRS對(duì)應(yīng)的所有中斷請(qǐng)求標(biāo)記(安全相關(guān)的中斷請(qǐng)求標(biāo)記)(S2)。中央處理器5將判斷所讀取的安全相關(guān)的中斷請(qǐng)求標(biāo)記是否處于設(shè)置狀態(tài)(如為邏輯值I) (S3)。中央處理器的每個(gè)中斷請(qǐng)求標(biāo)記都具有中斷狀態(tài),且每次判斷中斷請(qǐng)求標(biāo)記的設(shè)置狀態(tài)時(shí)將對(duì)應(yīng)的中斷狀態(tài)加上值1(S4)。由此,判斷中斷狀態(tài)的值是否為2(S5)。根據(jù)判斷結(jié)果,為2時(shí)將測(cè)試失敗標(biāo)記進(jìn)行置位(S6)、不為2時(shí)不對(duì)測(cè)試失敗標(biāo)記進(jìn)行任何操作而認(rèn)為測(cè)試通過(guò)(S8)。在步驟S3中如果安全相關(guān)中斷請(qǐng)求標(biāo)記不處于設(shè)置狀態(tài)(如為邏輯值O)就將所對(duì)應(yīng)的中斷狀態(tài)清除為值O (S7)、并將之作為測(cè)試通過(guò)(S8)。另外,如果因FTTI和定時(shí)器15對(duì)測(cè)試中斷請(qǐng)求信號(hào)OSTM的產(chǎn)生間隔的設(shè)定等原因,也可將作為測(cè)試失敗的中斷狀態(tài)的值設(shè)為3或3以上,在此無(wú)需贊目。
[0147]如果測(cè)試失敗標(biāo)記被置位,則由中央處理器5來(lái)進(jìn)行對(duì)測(cè)試失敗進(jìn)行響應(yīng)的規(guī)定的錯(cuò)誤處理。如測(cè)試失敗時(shí),就必須判斷中斷請(qǐng)求標(biāo)記置位的中斷請(qǐng)求是由于中斷優(yōu)先級(jí)低才沒(méi)開始執(zhí)行中斷處理,還是因發(fā)生故障才不執(zhí)行中斷處理。例如,通過(guò)中央處理器5對(duì)所有的中斷請(qǐng)求標(biāo)記進(jìn)行確認(rèn)后,如果優(yōu)先級(jí)高的其他中斷請(qǐng)求不被置位時(shí),便可判斷為發(fā)生故障了。如果優(yōu)先級(jí)高的中斷請(qǐng)求已被置位時(shí),在執(zhí)行完該優(yōu)先級(jí)高的中斷后,只需對(duì)與造成測(cè)試失敗原因的中斷請(qǐng)求對(duì)應(yīng)的中斷處理進(jìn)行確認(rèn)便可。如果判斷為故障時(shí),例如高位的軟件只需執(zhí)行將系統(tǒng)轉(zhuǎn)移到安全狀態(tài)的處理即可。
[0148]圖4示出了對(duì)測(cè)試中斷請(qǐng)求OSTM進(jìn)行響應(yīng)的測(cè)試中斷處理的動(dòng)作時(shí)序之一例。通過(guò)進(jìn)入對(duì)測(cè)試中斷請(qǐng)求OSTM進(jìn)行響應(yīng)的OSTM中斷處理例程,便開始進(jìn)行測(cè)試,且由中央處理器5讀取安全相關(guān)中斷請(qǐng)求標(biāo)記。
[0149]如動(dòng)作ACTl的示例所示,在所讀取的安全相關(guān)中斷請(qǐng)求標(biāo)記被清除的狀態(tài)下(邏輯值為O、低電平)時(shí),判斷為測(cè)試通過(guò)(tl)。在OSTM中斷處理例程結(jié)束(t2)后,存在SRS安全相關(guān)中斷請(qǐng)求時(shí)安全相關(guān)的中斷請(qǐng)求標(biāo)記將處于設(shè)置狀態(tài)(邏輯值為1、高電平)(t3),通過(guò)中央處理器5接收該中斷請(qǐng)求,該安全相關(guān)的中斷請(qǐng)求標(biāo)記再次被中央處理器5清除(t4) ο
[0150]如動(dòng)作ACT2的示例所示,如果在OSTM中斷處理例程開始(til)后存在SRS安全相關(guān)的中斷請(qǐng)求,則安全相關(guān)的中斷請(qǐng)求標(biāo)記被處于設(shè)置狀態(tài)(邏輯值為1、高電平)(tl2)。此時(shí),雖然所讀取的該安全相關(guān)的中斷請(qǐng)求標(biāo)記處于設(shè)置狀態(tài)(tl3),但在OSTM中斷處理例程結(jié)束(tl4)后,通過(guò)中央處理器5接收與上述設(shè)置狀態(tài)的安全相關(guān)的中斷請(qǐng)求標(biāo)記對(duì)應(yīng)的中斷請(qǐng)求,該安全相關(guān)的中斷請(qǐng)求標(biāo)記將被清除(tl5)。在上述時(shí)序中也有可能發(fā)生安全相關(guān)的中斷請(qǐng)求,但由于對(duì)于對(duì)應(yīng)的安全相關(guān)的中斷請(qǐng)求標(biāo)記進(jìn)行檢測(cè)的設(shè)置狀態(tài)僅為I次,所以通過(guò)OSTM中斷處理例程進(jìn)行的測(cè)試結(jié)果就為測(cè)試通過(guò)。
[0151]動(dòng)作ACT3的示例所示,在動(dòng)作ACT2的下一個(gè)OSTM中斷處理例程中如果安全相關(guān)的中斷請(qǐng)求標(biāo)記不處于設(shè)置狀態(tài)則判斷為測(cè)試通過(guò)(tl6_a)、安全相關(guān)的中斷請(qǐng)求標(biāo)記如果如tl6_b的示例所示的一樣連續(xù)2次處于設(shè)置狀態(tài)時(shí),上一次的中斷請(qǐng)求依然沒(méi)被中央處理器5接收,該安全相關(guān)的中斷請(qǐng)求標(biāo)記也沒(méi)被清除而仍繼續(xù)殘留,即意味著安全相關(guān)的中斷信號(hào)系統(tǒng)中存在故障的可能性非常高。因此,此時(shí)則為測(cè)試失敗。
[0152]根據(jù)第I實(shí)施方式所獲得效果如下。
[0153](I)按每個(gè)定期產(chǎn)生的測(cè)試中斷請(qǐng)求OSTM來(lái)參照從設(shè)備中斷控制器22內(nèi)的安全相關(guān)的中斷請(qǐng)求標(biāo)記,如果檢測(cè)到同一安全相關(guān)的中斷請(qǐng)求標(biāo)記連續(xù)2次或2次以上處于設(shè)置狀態(tài)時(shí),由于通過(guò)該設(shè)置狀態(tài)的安全相關(guān)的中斷請(qǐng)求標(biāo)記進(jìn)行的中斷依然沒(méi)被中央處理器5處理而仍殘留,由此便可判斷該中斷信號(hào)系統(tǒng)發(fā)生故障的可能性非常高。通過(guò)將此狀態(tài)判斷為存在異常,可提高微型計(jì)算機(jī)I所控制的系統(tǒng)的功能安全性。
[0154](2)由于將從設(shè)備中斷控制器22進(jìn)行二元化后并不完全依靠鎖步結(jié)構(gòu),所以無(wú)需大幅增加電路規(guī)模。
[0155](3)而且,由于無(wú)需花費(fèi)時(shí)間來(lái)制作用于內(nèi)建自測(cè)試的測(cè)試模式,所以也不會(huì)出現(xiàn)因內(nèi)建自測(cè)試而導(dǎo)致的功耗大幅增加的情況。
[0156](4)通過(guò)將與測(cè)試中斷請(qǐng)求及作為中斷請(qǐng)求標(biāo)記參照對(duì)象的中斷請(qǐng)求輸入不同的從設(shè)備中斷控制器(21,22),即使在級(jí)聯(lián)連接結(jié)構(gòu)時(shí),也可將在通過(guò)測(cè)試中斷請(qǐng)求進(jìn)行的中斷處理中,中斷請(qǐng)求標(biāo)記的參照范圍限定在功能安全相關(guān)的中斷請(qǐng)求側(cè)的第2從設(shè)備中斷控制器22上。而且,存在異常時(shí),可將針對(duì)該異常進(jìn)行處理的范圍限定在包括第2從設(shè)備中斷控制器22的中斷信號(hào)系統(tǒng)中。
[0157](5)針對(duì)主設(shè)備中斷控制器4采用將從設(shè)備中斷控制器21,22進(jìn)行級(jí)聯(lián)連接的結(jié)構(gòu),便可應(yīng)對(duì)I個(gè)中斷控制器無(wú)法完全處理的多個(gè)功能安全相關(guān)的中斷請(qǐng)求信號(hào)。
[0158](6)通過(guò)將主設(shè)備中斷控制器4及中央處理器5進(jìn)行二元化并采用鎖步結(jié)構(gòu),便可在器件面積容許的范圍內(nèi)部分采用鎖步結(jié)構(gòu),所以可更進(jìn)一步提高功能安全性。
[0159](7)在測(cè)試中斷請(qǐng)求OSTM中使用按規(guī)定間隔從定時(shí)器15產(chǎn)生的定時(shí)器中斷請(qǐng)求,便可根據(jù)中央處理器5的控制任意決定定期產(chǎn)生測(cè)試中斷請(qǐng)求OSTM的產(chǎn)生間隔。
[0160](8)微型計(jì)算機(jī)I可適用于搭載有多方面使用了安全相關(guān)的中斷請(qǐng)求的故障-安全功能的車載微型計(jì)算機(jī)。
[0161](9)測(cè)試中斷請(qǐng)求OSTM的產(chǎn)生間隔比FTTI的時(shí)間短。因此,通過(guò)第I次測(cè)試中斷請(qǐng)求處理和第2次測(cè)試中斷請(qǐng)求處理,如果判斷同一中斷請(qǐng)求標(biāo)記連續(xù)2次處于設(shè)置狀態(tài),便可判斷存在異常。
[0162](10)根據(jù)用戶模式下中央處理器5的控制從所述定時(shí)器15定期產(chǎn)生測(cè)試中斷請(qǐng)求0STM。因此無(wú)需從用戶模式轉(zhuǎn)移到特殊的測(cè)試模式,便可將通過(guò)測(cè)試中斷進(jìn)行的處理作為用戶模式中的一個(gè)中斷處理來(lái)執(zhí)行。因此,便可容易檢測(cè)出系統(tǒng)中或在設(shè)備經(jīng)過(guò)長(zhǎng)時(shí)間變化后的劣化。
[0163]《故障檢測(cè)的第2實(shí)施方式》
[0164]如第I實(shí)施方式所述,通過(guò)中央處理器5的軟件對(duì)安全相關(guān)的中斷請(qǐng)求的處理系統(tǒng)的故障進(jìn)行檢測(cè)時(shí),其前提是將測(cè)試中斷請(qǐng)求OSTM定期產(chǎn)生定時(shí)器中斷。因此,在定時(shí)器電路15中,如果產(chǎn)生測(cè)試中斷請(qǐng)求OSTM的定時(shí)器通道出現(xiàn)故障,或者從測(cè)試中斷請(qǐng)求OSTM的路徑經(jīng)由從設(shè)備中斷控制器21至主設(shè)備中斷控制器4為止的中斷信號(hào)系統(tǒng)發(fā)生故障時(shí),便無(wú)法執(zhí)行上述軟件測(cè)試。在故障檢測(cè)的第2實(shí)施方式中,測(cè)試中斷請(qǐng)求OSTM的產(chǎn)生源、以及其請(qǐng)求信號(hào)的處理系統(tǒng)都已進(jìn)行二元化。
[0165]圖5示出了第2實(shí)施方式中作為微型計(jì)算機(jī)I的中斷控制系統(tǒng)的主要結(jié)構(gòu)之一例。圖5中,0STMa,0STMb為二元化后的測(cè)試中斷請(qǐng)求,分別從二元化后的單個(gè)定時(shí)器通道(15a, 15b)輸出。定時(shí)器電路15具有多個(gè)可分別對(duì)定時(shí)器進(jìn)行設(shè)定的定時(shí)器通道,且利用這些通道形成定時(shí)器通道(15a, 15b)。在定時(shí)器通道(15a, 15b)中可對(duì)定時(shí)器進(jìn)行設(shè)定以使定時(shí)器在同一時(shí)間內(nèi)重復(fù)動(dòng)作,只要雙方定時(shí)器通道(15a,15b)正常動(dòng)作,則二元化后的測(cè)試中斷請(qǐng)求(OSTMa,OSTMb)呈現(xiàn)出同樣的信號(hào)波形。測(cè)試中斷請(qǐng)求(OSTMa,OSTMb)被供給至從設(shè)備中斷控制器21A,由此,便可將從設(shè)備中斷控制器21A的輸出供給至主設(shè)備中斷控制器4A。
[0166]圖6所示的是著眼于二元化的測(cè)試中斷請(qǐng)求信號(hào)OSTMa,OSTMb時(shí)的從設(shè)備中斷控制器21A及主設(shè)備中斷控制器4A的具體例之一。從設(shè)備中斷控制器21A分別具有:對(duì)于通過(guò)測(cè)試中斷請(qǐng)求OSTMa進(jìn)行的測(cè)試中斷請(qǐng)求及其他的中斷請(qǐng)求進(jìn)行優(yōu)先級(jí)及屏蔽判斷控制的優(yōu)先級(jí)及屏蔽控制邏輯電路(PMLGC) 70、以及對(duì)于通過(guò)測(cè)試中斷請(qǐng)求OSTMb進(jìn)行的測(cè)試中斷請(qǐng)求及其他中斷請(qǐng)求進(jìn)行的優(yōu)先級(jí)及屏蔽判斷的控制的優(yōu)先級(jí)及屏蔽控制邏輯電路(PMLGC) 71。優(yōu)先級(jí)及屏蔽控制邏輯電路(PMLGC) 70將中斷信號(hào)IntSla作為優(yōu)先級(jí)及屏蔽判斷控制的結(jié)果輸出,優(yōu)先級(jí)及屏蔽控制邏輯電路(PMLGC) 71將中斷信號(hào)IntSlb作為優(yōu)先級(jí)及屏蔽判斷控制的結(jié)果輸出。
[0167]異或門60判斷中斷信號(hào)IntSla與IntSlb是否匹配后生成錯(cuò)誤信號(hào)ERRtmr。錯(cuò)誤控制電路7通過(guò)該錯(cuò)誤信號(hào)對(duì)定時(shí)器中斷信號(hào)IntSla與IntSlb是否匹配及對(duì)定時(shí)器通道15a,15b的異常進(jìn)行判斷。主設(shè)備中斷控制器4A將中斷信號(hào)IntSla及IntSlb輸入邏輯與門62,如果雙方都是被激活的狀態(tài)時(shí),將被激活的中斷信號(hào)IntSl供給優(yōu)先級(jí)及屏蔽控制邏輯電路(PMLGC)61。因此,優(yōu)先級(jí)及屏蔽控制邏輯電路(PMLGC)61將中斷信號(hào)IntSla與IntSlb的邏輯與信號(hào)作為一個(gè)中斷請(qǐng)求進(jìn)行處理。
[0168]根據(jù)第2實(shí)施方式,通過(guò)錯(cuò)誤控制電路7來(lái)檢測(cè)測(cè)試中斷請(qǐng)求OSTMa與OSTMb是否匹配,其不匹配狀態(tài)可在OSTM中斷處理例程之前檢測(cè)到,所以可確保通過(guò)測(cè)試中斷請(qǐng)求進(jìn)行的中斷處理結(jié)果的合理性。因此,可避免因OSTM測(cè)試中斷處理系統(tǒng)的故障而導(dǎo)致中央處理器5無(wú)法根據(jù)測(cè)試中斷請(qǐng)求進(jìn)行軟件測(cè)試的狀態(tài),從提高系統(tǒng)的功能安全方面來(lái)看,可進(jìn)一步提聞安全性。
[0169]另外,由于第2實(shí)施方式中其他的結(jié)構(gòu)與作用及效果與第I實(shí)施方式相同,所以在此不再進(jìn)行重復(fù)說(shuō)明。
[0170]《故障檢測(cè)的第3實(shí)施方式》
[0171]安全相關(guān)的中斷控制系統(tǒng)中的故障檢測(cè)是在考慮功能安全的基礎(chǔ)上,在系統(tǒng)正常運(yùn)行的狀態(tài)下通過(guò)中央處理器5進(jìn)行的軟件測(cè)試來(lái)確認(rèn)安全相關(guān)的中斷請(qǐng)求信號(hào)系統(tǒng)中是否發(fā)生故障。第3實(shí)施方式中,如果故障檢測(cè)結(jié)果為測(cè)試失敗時(shí),不是進(jìn)行將系統(tǒng)轉(zhuǎn)移到安全狀態(tài)的處理,而是繼續(xù)原來(lái)的處理。從有效性(可用性)的觀點(diǎn)來(lái)看,這是由于即使發(fā)生故障時(shí),系統(tǒng)有時(shí)也仍努力恢復(fù)正常動(dòng)作的緣故。
[0172]圖7示出了第3實(shí)施方式中微型計(jì)算機(jī)I的中斷控制系統(tǒng)的主要結(jié)構(gòu)例。第3實(shí)施方式中設(shè)置有選擇器80,所述選擇器80從安全相關(guān)的中斷請(qǐng)求信號(hào)SRS中選擇一個(gè)作為中斷請(qǐng)求信號(hào)供給第I從設(shè)備中斷控制器21。通過(guò)選擇器80例如通過(guò)中央處理器5所輸出的選擇信號(hào)SEL來(lái)進(jìn)行選擇。中央處理器5在參照與第2從設(shè)備中斷控制器22的安全相關(guān)的中斷請(qǐng)求信號(hào)SRS相關(guān)的中斷請(qǐng)求標(biāo)記并判斷為存在異常時(shí),通過(guò)參照多次所述測(cè)試中斷請(qǐng)求判斷為同一中斷請(qǐng)求標(biāo)記連續(xù)多次處于設(shè)置狀態(tài)時(shí),使用選擇信號(hào)SEL并通過(guò)選擇器80來(lái)選擇與連續(xù)多次處于設(shè)置狀態(tài)的中斷請(qǐng)求標(biāo)記對(duì)應(yīng)的中斷請(qǐng)求,并將之供給第I從設(shè)備中斷控制器21。因此,假設(shè)在中斷信號(hào)系統(tǒng)中發(fā)生與安全相關(guān)的中斷請(qǐng)求時(shí)可通過(guò)第I從設(shè)備中斷控制器21進(jìn)行處理。通過(guò)上述處理,便可繼續(xù)該中斷請(qǐng)求進(jìn)行原來(lái)的處理。簡(jiǎn)單地說(shuō)就是,在系統(tǒng)出現(xiàn)問(wèn)題時(shí)可作為應(yīng)急措施繼續(xù)進(jìn)行處理。換言之便是,可提高系統(tǒng)的有效性(可用性)?;蛘哒f(shuō),可提高失敗的可操作性。此時(shí),對(duì)于第2從設(shè)備中斷控制器中檢測(cè)到的中央處理器無(wú)法處理完的中斷請(qǐng)求標(biāo)記優(yōu)選不將其清除而是原樣保留。即使可作為應(yīng)急措施,但從系統(tǒng)的安全性來(lái)說(shuō),能時(shí)常檢測(cè)出該異常也是非常有益的。
[0173]第3實(shí)施方式中的其他結(jié)構(gòu)及作用效果與第I實(shí)施方式相同,所以在此不再進(jìn)行重復(fù)說(shuō)明。另外,雖然圖中未示出,但是第2實(shí)施方式同樣可適用于第3實(shí)施方式中。
[0174]《故障檢測(cè)的第4實(shí)施方式》
[0175]圖8示出了第4實(shí)施方式中微型計(jì)算機(jī)I的中斷控制系統(tǒng)的主要結(jié)構(gòu)例。第I至第3實(shí)施方式中,主設(shè)備中斷控制器4對(duì)于從設(shè)備中斷控制器(21,22)輸出的中斷信號(hào)IntSl, IntS2,并不具有中斷請(qǐng)求標(biāo)記IFLG。而第4實(shí)施方式的主設(shè)備中斷控制器4B中,對(duì)于中斷信號(hào)IntSl, IntS2,采用了設(shè)置有中斷請(qǐng)求標(biāo)記IFLG的中斷請(qǐng)求標(biāo)記電路33B。對(duì)應(yīng)中斷信號(hào)IntSl,IntS2而在中斷請(qǐng)求標(biāo)記電路33B上設(shè)置的中斷請(qǐng)求標(biāo)記IFLG通過(guò)激活中斷信號(hào)IntSl,IntS2而被置位。在與中斷信號(hào)IntSl,IntS2對(duì)應(yīng)的中斷被優(yōu)先級(jí)及屏蔽控制邏輯電路(PMLGC) 53接收且中斷信號(hào)IntReq被激活時(shí),如果對(duì)此響應(yīng)并從中央處理器5返送回中斷確認(rèn)信號(hào)IntAck時(shí),在標(biāo)記控制電路43B將CS⑶向從設(shè)備中斷控制器(21,22)輸出的同時(shí),還將此時(shí)與所接收的中斷信號(hào)IntSl及IntS2對(duì)應(yīng)的中斷請(qǐng)求標(biāo)記IFLG進(jìn)行清除。即,對(duì)于與中斷信號(hào)IntSl, IntS2對(duì)應(yīng)的中斷請(qǐng)求標(biāo)記IFLG也與其他中斷請(qǐng)求標(biāo)記進(jìn)行同樣的操作。
[0176]如上所述,如果主設(shè)備中斷控制器4B中也具有來(lái)自與從設(shè)備中斷控制器21,22的中斷請(qǐng)求信號(hào)IntSl,IntS2對(duì)應(yīng)的中斷請(qǐng)求標(biāo)記,且根據(jù)上述測(cè)試中斷請(qǐng)求的OSTM中斷處理例程測(cè)試失敗時(shí),有助于特定在哪個(gè)路徑中存在故障。測(cè)試失敗時(shí)也可讀取并使用與主設(shè)備中斷控制器4B的中斷信號(hào)IntSl或IntS2對(duì)應(yīng)的中斷請(qǐng)求標(biāo)記IFLG。例如,通過(guò)多次OSTM中斷處理例程判斷判斷從設(shè)備中斷控制器22內(nèi)的同一中斷請(qǐng)求標(biāo)記連續(xù)2次處于設(shè)置狀態(tài)時(shí),而追加在主設(shè)備中斷控制器4B上的所述中斷請(qǐng)求標(biāo)記不處于設(shè)置狀態(tài)時(shí),可考慮從從設(shè)備中斷控制器至主設(shè)備中斷控制器的輸入為止的路徑上存在故障。另外,如果從設(shè)備中斷控制器22和主設(shè)備中斷控制器4B雙方的該中斷請(qǐng)求標(biāo)記都處于設(shè)置狀態(tài)時(shí),便可判斷從設(shè)備中斷控制器22的內(nèi)部或者從主設(shè)備中斷控制器4B至中央處理器5的中斷輸入為止的路徑上存在異常。
[0177]由此,對(duì)于級(jí)聯(lián)連接的中斷請(qǐng)求,如果分別參照從設(shè)備側(cè)和主設(shè)備側(cè)各自的中斷請(qǐng)求標(biāo)記的狀態(tài),便可判斷故障位置是位于主設(shè)備中斷控制器的中斷請(qǐng)求標(biāo)記之前或之后。測(cè)試失敗時(shí),可有助于特定故障路徑。
[0178]另外,第4實(shí)施方式中的其他結(jié)構(gòu)與第I實(shí)施方式相同,所以在此不再進(jìn)行重復(fù)說(shuō)明。另外,雖然圖中未示出,但是第2或第3實(shí)施方式同樣可適用于第4實(shí)施方式中。
[0179]《故障檢測(cè)的第5實(shí)施方式》
[0180]圖9示出了第5實(shí)施方式中微型計(jì)算機(jī)I的中斷控制系統(tǒng)的主要結(jié)構(gòu)例之一。第5實(shí)施方式中沿用了與第2實(shí)施方式相關(guān)的結(jié)構(gòu),但在第5實(shí)施方式中,第I從設(shè)備中斷控制器21A并非限定于非安全相關(guān)的中斷請(qǐng)求信號(hào)NSRS,而且還供給并可利用安全相關(guān)的中斷請(qǐng)求信號(hào)SRS,這是與第2實(shí)施方式的不同點(diǎn)。因此,OSTM中斷處理例程中,中央處理器5也對(duì)與第I從設(shè)備中斷控制器21A中安全相關(guān)的中斷請(qǐng)求信號(hào)SRS對(duì)應(yīng)的中斷請(qǐng)求標(biāo)記進(jìn)行判斷,判斷其是否連續(xù)多次處于設(shè)置狀態(tài)。另外,雖然圖中的第I從設(shè)備中斷控制器21A并未有非安全相關(guān)的中斷請(qǐng)求信號(hào)NSRS輸入,但當(dāng)然也可為輸入非安全相關(guān)的中斷請(qǐng)求信號(hào)NSRS和安全相關(guān)的中斷請(qǐng)求信號(hào)SRS混在的方式,理由在此不再贅述。
[0181]如第2實(shí)施方式所述,將測(cè)試中斷請(qǐng)求OSTM的生成系統(tǒng)進(jìn)行二元化,并確認(rèn)從第I從設(shè)備中斷控制器21A至中央處理器5為止的路徑上不存在故障后,便可通過(guò)OSTM中斷處理例程進(jìn)行軟件測(cè)試。因此,無(wú)需將安全相關(guān)的中斷請(qǐng)求集約到第2從設(shè)備中斷控制器22中,也可輸入第I從設(shè)備中斷控制器。
[0182]由此,便可確實(shí)檢測(cè)出從測(cè)試中斷請(qǐng)求的產(chǎn)生至對(duì)其接收控制為止所產(chǎn)生的異常,因此,可更加容易保證在測(cè)試中斷請(qǐng)求正常產(chǎn)生并被中央處理器5所接收。換言之即是,由于可對(duì)第I從設(shè)備中斷控制器21A進(jìn)行的中斷請(qǐng)求的接收處理及向主設(shè)備中斷控制器4的信號(hào)路徑進(jìn)行異常檢測(cè),所以功能安全相關(guān)的中斷請(qǐng)求信號(hào)并不僅限于輸入第2從設(shè)備中斷控制器22,也可供給第I從設(shè)備中斷控制器21A因而有助于進(jìn)一步提高功能安全性。由此,對(duì)于因安全相關(guān)的中斷請(qǐng)求信號(hào)SRS的數(shù)量變多而無(wú)法收容在第2從設(shè)備中斷控制器22中時(shí),可更容易應(yīng)對(duì)。
[0183]另外,第5實(shí)施方式中的其他結(jié)構(gòu)與第2實(shí)施方式相同,所以在此不再進(jìn)行重復(fù)說(shuō)明。
[0184]《故障檢測(cè)的第6實(shí)施方式》
[0185]圖10及圖11示出了第6實(shí)施方式中微型計(jì)算機(jī)I的中斷控制系統(tǒng)的主要結(jié)構(gòu)例。上文的實(shí)施方式中,都是將測(cè)試中斷請(qǐng)求OSTM供給從設(shè)備中斷控制器(18,21,21A)。但并不僅限于此,也可如圖10及圖11所示供給主設(shè)備中斷控制器4。通過(guò)將測(cè)試中斷請(qǐng)求OSTM供給二元化后采用鎖步結(jié)構(gòu)的主設(shè)備中斷控制器4,便可容易檢測(cè)到測(cè)試中斷請(qǐng)求OSTM的處理路徑上發(fā)生的異常,所以可與第2實(shí)施方式一樣,可避免因OSTM測(cè)試中斷處理系統(tǒng)的故障而導(dǎo)致中央處理器5無(wú)法根據(jù)測(cè)試中斷請(qǐng)求進(jìn)行軟件測(cè)試的狀態(tài),從系統(tǒng)的功能安全方面來(lái)看,可進(jìn)一步提高系統(tǒng)的安全性。
[0186]另外,如圖11所示,也可通過(guò)I個(gè)從設(shè)備中斷控制器22來(lái)執(zhí)行從設(shè)備中斷控制器18。而且,雖然圖中未示出,但是與主設(shè)備中斷控制器級(jí)聯(lián)連接的從設(shè)備中斷控制器的數(shù)量可為3個(gè)或3個(gè)以上,而且,對(duì)于主設(shè)備中斷控制器來(lái)說(shuō),多個(gè)從設(shè)備中斷控制器的連接方式并不僅限于并聯(lián)方式,也可為分層的級(jí)聯(lián)連接。當(dāng)然,級(jí)聯(lián)連接的分層連接層數(shù)也可為3層及3層以上,在此無(wú)需贅言。
[0187]以上根據(jù)實(shí)施方式具體地說(shuō)明了本案發(fā)明人所作的發(fā)明,但是本發(fā)明并不受到所述實(shí)施方式的限定,在不超出其要旨的范圍內(nèi)能夠進(jìn)行種種變更,在此無(wú)需贅言。
[0188]例如,中央處理器及主設(shè)備中斷控制器并不限定為進(jìn)行二元化后采用的鎖步結(jié)構(gòu),也可僅將中央處理器進(jìn)行二元化后采用鎖步結(jié)構(gòu)。中央處理器也可解釋為處理器核心。即,處理器核心如具有,所述加速器如有中央處理器、高速緩沖存儲(chǔ)器、TLB以及浮點(diǎn)運(yùn)算單元等。
[0189]將中斷控制器進(jìn)行級(jí)聯(lián)連接后的中斷請(qǐng)求標(biāo)記的清除方法及向量的輸出方式并不受上述實(shí)施方式的限定,而是可進(jìn)行適當(dāng)變更??赏ㄟ^(guò)專用信號(hào)按每個(gè)從設(shè)備中斷控制器并來(lái)傳達(dá)代碼CSCD,標(biāo)記清除信號(hào)FCLR也可利用該專用信號(hào)。
[0190]另外,如果半導(dǎo)體芯片的面積還較寬裕,并不妨礙在部分從設(shè)備中斷控制器采用二元化的鎖步結(jié)構(gòu)。此時(shí),被認(rèn)為存在問(wèn)題的安全相關(guān)的中斷信號(hào)為供給至沒(méi)采用二元化的鎖步結(jié)構(gòu)的中斷控制器的中斷請(qǐng)求信號(hào)。
[0191]本發(fā)明不僅可適用于單處理器內(nèi)核的微型計(jì)算機(jī),也可適用于多處理器內(nèi)核的微型計(jì)算機(jī)。另外,微型計(jì)算機(jī)為數(shù)據(jù)處理器、微處理器、SoC(System On Chip)型半導(dǎo)體器件等的數(shù)據(jù)處理器件的總稱??蔀閱涡酒骷?、也可為將多個(gè)芯片整合到模塊中的模塊器件。
[0192]另外,微型計(jì)算機(jī)并不僅限定于車載用途。對(duì)測(cè)試中斷請(qǐng)求進(jìn)行響應(yīng)的中斷處理例程中所參照的中斷請(qǐng)求標(biāo)記也不限于功能安全相關(guān)的中斷請(qǐng)求標(biāo)記。上述實(shí)施方式中也可以非功能安全相關(guān)的中斷請(qǐng)求標(biāo)記作為參照對(duì)象進(jìn)行故障檢測(cè)。
【權(quán)利要求】
1.一種微型計(jì)算機(jī),其特征在于,具有: 中央處理器;以及 中斷控制器, 其中,所述中央處理器定期對(duì)以規(guī)定的間隔產(chǎn)生的規(guī)定的測(cè)試中斷請(qǐng)求進(jìn)行響應(yīng),并參照所述中斷控制器所保持有的中斷請(qǐng)求標(biāo)記,參照多次所述測(cè)試中斷請(qǐng)求后判斷同一中斷請(qǐng)求標(biāo)記連續(xù)多次處于設(shè)置狀態(tài)時(shí),視為存在異常。
2.如權(quán)利要求1所述的微型計(jì)算機(jī),其特征在于, 所述中斷控制器具有第一中斷控制器和第二中斷控制器,其中, 所述第一中斷控制器被供給所述測(cè)試中斷請(qǐng)求, 所述第二中斷控制器具有通過(guò)對(duì)所述測(cè)試中斷請(qǐng)求進(jìn)行響應(yīng)的所述中央處理器的處理而設(shè)為參照對(duì)象的中斷請(qǐng)求標(biāo)記。
3.如權(quán)利要求2所述的微型計(jì)算機(jī),其特征在于, 對(duì)產(chǎn)生所述測(cè)試中斷請(qǐng)求的測(cè)試中斷請(qǐng)求產(chǎn)生電路進(jìn)行二元化, 所述第一中斷控制器還具有判斷電路,所述判斷電路對(duì)從二元化的中斷請(qǐng)求產(chǎn)生電路并聯(lián)輸入的測(cè)試中斷請(qǐng)求的各個(gè)分別進(jìn)行與其他的中斷請(qǐng)求之間的接收控制,并判斷分別進(jìn)行的接收控制的結(jié)果是否一致。
4.如權(quán)利要求2所述的微型計(jì)算機(jī),其特征在于, 還具有選擇器,所述選擇器選擇輸入到第2中斷控制器的中斷請(qǐng)求并將其輸入到第I中斷控制器; 所述中央處理器參照所述中斷控制器的中斷請(qǐng)求標(biāo)記,在視為存在異常時(shí),通過(guò)所述選擇器選擇與通過(guò)參照多次所述測(cè)試中斷請(qǐng)求而判斷為同一中斷請(qǐng)求標(biāo)記連續(xù)多次處于設(shè)置狀態(tài)的該中斷請(qǐng)求標(biāo)記對(duì)應(yīng)的中斷請(qǐng)求,并將其輸入到第I中斷控制器。
5.如權(quán)利要求1所述的微型計(jì)算機(jī),其特征在于, 所述中斷控制器具有: 主設(shè)備中斷控制器,所述主設(shè)備中斷控制器能夠輸入多個(gè)中斷請(qǐng)求,并根據(jù)針對(duì)所輸入的中斷請(qǐng)求的接收控制結(jié)果,向中央處理器輸出中斷信號(hào);以及 從設(shè)備中斷控制器,所述從設(shè)備中斷控制器能夠輸入多個(gè)中斷請(qǐng)求,并根據(jù)針對(duì)所輸入的中斷請(qǐng)求的接收控制的結(jié)果,向所述主設(shè)備中斷控制器輸出中斷請(qǐng)求信號(hào)。
6.如權(quán)利要求5所述的微型計(jì)算機(jī),其特征在于, 所述中央處理器定期對(duì)以規(guī)定的間隔產(chǎn)生的規(guī)定的測(cè)試中斷請(qǐng)求進(jìn)行響應(yīng),并參照所述從設(shè)備中斷控制器所保持的從設(shè)備側(cè)中斷請(qǐng)求標(biāo)記和所述主設(shè)備中斷控制器所保持的主設(shè)備側(cè)中斷請(qǐng)求標(biāo)記,通過(guò)參照多次所述測(cè)試中斷請(qǐng)求后判斷同一從設(shè)備側(cè)中斷請(qǐng)求標(biāo)記連續(xù)多次處于設(shè)置狀態(tài)、并且與其對(duì)應(yīng)的主設(shè)備側(cè)中斷請(qǐng)求標(biāo)記連續(xù)多次處于設(shè)置狀態(tài)時(shí),視為存在異常,其中,與從所述從設(shè)備中斷控制器向所述主設(shè)備中斷控制器供給的中斷請(qǐng)求信號(hào)對(duì)應(yīng)地設(shè)置有所述主設(shè)備側(cè)中斷請(qǐng)求標(biāo)記。
7.如權(quán)利要求6所述的微型計(jì)算機(jī),其特征在于, 所述中央處理器通過(guò)參照多次所述測(cè)試中斷請(qǐng)求,在判斷為同一從設(shè)備側(cè)中斷請(qǐng)求標(biāo)記連續(xù)多次處于設(shè)置狀態(tài)、并且與其對(duì)應(yīng)的主設(shè)備側(cè)中斷請(qǐng)求標(biāo)記連續(xù)多次處于設(shè)置狀態(tài)時(shí),視為在從設(shè)備中斷控制器的內(nèi)部、或經(jīng)由主設(shè)備中斷控制器至中央處理器的輸入為止的路徑中存在異常, 通過(guò)參照多次所述測(cè)試中斷請(qǐng)求,通過(guò)判斷為在同一從設(shè)備側(cè)中斷請(qǐng)求標(biāo)記連續(xù)多次處于設(shè)置狀態(tài)并且與其對(duì)應(yīng)的主設(shè)備側(cè)中斷請(qǐng)求標(biāo)記沒(méi)有連續(xù)多次處于設(shè)置狀態(tài)時(shí),視為從從設(shè)備中斷控制器至主設(shè)備中斷控制器的輸入的路徑中存在異常。
8.如權(quán)利要求5所述的微型計(jì)算機(jī),其特征在于, 將所述規(guī)定的測(cè)試中斷請(qǐng)求輸入到所述主設(shè)備中斷控制器。
9.如權(quán)利要求5所述的微型計(jì)算機(jī),其特征在于, 所述從設(shè)備中斷控制器具有第I從設(shè)備中斷控制器和第2從設(shè)備中斷控制器,其中所述第I從設(shè)備中斷控制器被供給所述測(cè)試中斷請(qǐng)求,所述第2從設(shè)備中斷控制器具有通過(guò)對(duì)所述測(cè)試中斷請(qǐng)求進(jìn)行響應(yīng)的所述中央處理器的處理而設(shè)為參照對(duì)象的中斷請(qǐng)求標(biāo)記。
10.如權(quán)利要求9所述的微型計(jì)算機(jī),其特征在于, 對(duì)產(chǎn)生所述測(cè)試中斷請(qǐng)求的測(cè)試中斷請(qǐng)求產(chǎn)生電路進(jìn)行二元化, 所述第I從設(shè)備中斷控制器還具有判斷電路,所述判斷電路對(duì)從二元化的中斷請(qǐng)求產(chǎn)生電路并聯(lián)輸入的測(cè)試中斷請(qǐng)求的各個(gè)分別進(jìn)行與其他的中斷請(qǐng)求之間的接收控制,并判斷分別進(jìn)行的接收控制的結(jié)果是否一致; 所述主設(shè)備中斷控制器將通過(guò)所述第I從設(shè)備中斷控制器分別進(jìn)行的接收控制的結(jié)果的邏輯與信號(hào)作為一個(gè)中斷請(qǐng)求進(jìn)行處理。
11.如權(quán)利要求9所述的微型計(jì)算機(jī),其特征在于, 還具有選擇器,所述選擇器選擇輸入到第2從設(shè)備中斷控制器的中斷請(qǐng)求并輸入到第I從設(shè)備中斷控制器, 所述中央處理器通過(guò)參照所述第2從設(shè)備中斷控制器的中斷請(qǐng)求標(biāo)記后視為存在異常時(shí),通過(guò)所述選擇器選擇與通過(guò)參照多次所述測(cè)試中斷請(qǐng)求而判斷為同一中斷請(qǐng)求標(biāo)記連續(xù)多次處于設(shè)置狀態(tài)的該中斷請(qǐng)求標(biāo)記對(duì)應(yīng)的中斷請(qǐng)求,并將其輸入到第I從設(shè)備中斷控制器。
12.如權(quán)利要求5所述的微型計(jì)算機(jī),其特征在于, 所述主設(shè)備中斷控制器及所述中央處理器還具有鎖步結(jié)構(gòu),該鎖步結(jié)構(gòu)通過(guò)分別被二元化而相互并行動(dòng)作,能夠根據(jù)相互的動(dòng)作結(jié)果的不同來(lái)檢測(cè)異常。
13.如權(quán)利要求1所述的微型計(jì)算機(jī),其特征在于, 所述中斷控制器具有: 第I中斷控制器,所述第I中斷控制器被供給所述測(cè)試中斷請(qǐng)求及第I中斷請(qǐng)求;以及 第2中斷控制器,所述第2中斷控制器被供給第2中斷請(qǐng)求, 對(duì)產(chǎn)生所述測(cè)試中斷請(qǐng)求的測(cè)試中斷請(qǐng)求產(chǎn)生電路進(jìn)行二元化, 所述第I中斷控制器還具有判斷電路,所述判斷電路對(duì)從二元化的測(cè)試中斷請(qǐng)求產(chǎn)生電路并聯(lián)輸入的測(cè)試中斷請(qǐng)求的各個(gè)分別進(jìn)行與所述第I中斷請(qǐng)求之間接收控制,并判斷分別進(jìn)行的接收控制的結(jié)果是否一致; 所述中央處理器定期對(duì)以規(guī)定的間隔產(chǎn)生的規(guī)定的測(cè)試中斷請(qǐng)求進(jìn)行響應(yīng),并參照所述第I中斷控制器及第2中斷控制器所保持的中斷請(qǐng)求標(biāo)記,通過(guò)參照多次所述測(cè)試中斷請(qǐng)求后判斷同一中斷請(qǐng)求標(biāo)記連續(xù)多次處于設(shè)置狀態(tài)時(shí),視為存在異常。
14.如權(quán)利要求1所述的微型計(jì)算機(jī),其特征在于, 還具有定時(shí)器, 所述規(guī)定的測(cè)試中斷請(qǐng)求是以規(guī)定的間隔從所述定時(shí)器產(chǎn)生的定時(shí)器中斷請(qǐng)求。
15.如權(quán)利要求14所述的微型計(jì)算機(jī),其特征在于, 被設(shè)為參照對(duì)象的中斷請(qǐng)求標(biāo)記為與考慮了功能安全的安全相關(guān)的中斷請(qǐng)求對(duì)應(yīng)的中斷請(qǐng)求標(biāo)記。
16.如權(quán)利要求15所述的微型計(jì)算機(jī),其特征在于, 所述規(guī)定的間隔是比通過(guò)所述安全相關(guān)的中斷請(qǐng)求進(jìn)行的故障-安全處理中考慮的FTTI即容錯(cuò)時(shí)間間隔短的時(shí)間。
17.如權(quán)利要求15所述的微型計(jì)算機(jī),其特征在于, 所述規(guī)定的測(cè)試中斷請(qǐng)求是根據(jù)用戶模式中的中央處理器的控制而從所述定時(shí)器定期產(chǎn)生的。
18.如權(quán)利要求1所述的微型計(jì)算機(jī),其特征在于, 被所述中央處理器視為存在的異常是指假設(shè)在從所述中斷控制器至所述中央處理器的路徑中存在的異常。
【文檔編號(hào)】G06F1/16GK104281217SQ201410330526
【公開日】2015年1月14日 申請(qǐng)日期:2014年7月11日 優(yōu)先權(quán)日:2013年7月11日
【發(fā)明者】平出拓也, 坪井幸利, 奧田亮輔 申請(qǐng)人:瑞薩電子株式會(huì)社