

(19) 日本国特許庁(JP)

## (12) 特許公報(B2)

(11) 特許番号

特許第3958365号  
(P3958365)

(45) 発行日 平成19年8月15日(2007.8.15)

(24) 登録日 平成19年5月18日(2007.5.18)

(51) Int.C1.

F 1

GO6F 11/18 (2006.01)

GO6F 11/18 310C

請求項の数 7 (全 7 頁)

|               |                       |
|---------------|-----------------------|
| (21) 出願番号     | 特願平9-508049           |
| (86) (22) 出願日 | 平成8年6月20日(1996.6.20)  |
| (65) 公表番号     | 特表平11-510925          |
| (43) 公表日      | 平成11年9月21日(1999.9.21) |
| (86) 國際出願番号   | PCT/EP1996/002688     |
| (87) 國際公開番号   | W01997/006487         |
| (87) 國際公開日    | 平成9年2月20日(1997.2.20)  |
| 審査請求日         | 平成15年6月18日(2003.6.18) |
| (31) 優先権主張番号  | 19529434.3            |
| (32) 優先日      | 平成7年8月10日(1995.8.10)  |
| (33) 優先権主張国   | ドイツ(DE)               |

|           |                                                                                                 |
|-----------|-------------------------------------------------------------------------------------------------|
| (73) 特許権者 | イーテーテー・アウトモティーフェ・オイローベ・ゲゼルシャフト・ミト・ベシェレンクテル・ハフツング<br>ドイツ連邦共和国、D-60488 フランクフルト・アム・マイン、ゲーリケストラーセ、7 |
| (74) 代理人  | 弁理士 江崎 光史                                                                                       |
| (74) 代理人  | 弁理士 三原 恒男                                                                                       |
| (74) 代理人  | 弁理士 奥村 義道                                                                                       |

最終頁に続く

(54) 【発明の名称】 安全上重要な制御装置のためのマイクロプロセッサ装置

## (57) 【特許請求の範囲】

## 【請求項 1】

同じ入力情報を受け同じプログラムを処理する、同期的に動作する2個の中央ユニットまたはCPUと、読み出し専用メモリ(ROM)および隨時書き込み読み出しメモリ(RAM)と、前記中央ユニットまたはCPUの出力データまたは出力信号をチェックし、不一致のときに切断信号を発生する比較器と、前記中央ユニット若しくはCPU又は前記比較器内に格納されているテストデータ発生器とを備えた、安全上重要な制御装置のためのマイクロプロセッサ装置において、

前記の一方の中央ユニットまたはCPU(1)は、第1バスシステム(3)を介して読み出し専用メモリ(5)および隨時書き込み読み出しメモリ(6)並びに入力ユニット(7, 8)および出力ユニット(9)に接続され、

前記の他方の中央ユニットまたはCPU(2)は、第2バスシステム(4)を介して少なくとも1つの隨時書き込み読み出しメモリ(11)及び前記第1バスシステム(3)の前記両メモリ(5, 6)より小容量であるパリティ又はテストデータ用のパリティ読み出し専用メモリ(10)並びに入力ユニット(12, 13)および出力ユニット(14)に接続され、この場合、前記第1バスシステム(3)のデータのためのパリティ又はテストデータが、第2バスシステム(4)のパリティ読み出し専用メモリ(10)に記憶されていて、

これらの中央ユニットまたはCPU(1, 2)はそれぞれ、各バスシステム(3, 4)を介して、各読み出し専用メモリ(5, 10)および各隨時書き込み読み出しメモリ(6, 11)並びに各入力ユニット(7, 8; 12, 13)および各出力ユニット(9, 14)に接続さ

れることを特徴とするマイクロプロセッサ装置。

**【請求項 2】**

比較器(18, 19)が、両バスシステム(3, 4)に達する、パリティ又はテストデータと命令を含む両中央ユニットまたはCPU(1, 2)の入力データおよび出力データの一致をチェックすることを特徴とする請求項1に記載のマイクロプロセッサ装置。

**【請求項 3】**

読み出し専用メモリ(5)および隨時書き込み読み出しメモリ(6)の記憶場所並びにパリティ読み出し専用メモリ(10)及び隨時書き込み読み出しメモリ(11)の記憶場所は、両バスシステム(3, 4)に接続されたこれらのメモリ(5, 6, 10, 11)内に割り当てられていることを特徴とする請求項1または2に記載のマイクロプロセッサ装置。 10

**【請求項 4】**

読み出し専用メモリ(5)と隨時書き込み読み出しメモリ(6)は、第1バスシステム(3)に接続され、パリティ読み出し専用メモリ(10)及び隨時書き込み読み出しメモリ(11)は、第2バスシステム(4)に接続されていることを特徴とする請求項3に記載のマイクロプロセッサ装置。

**【請求項 5】**

少なくとも2つの中央ユニットまたはCPU(1, 2)、読み出し専用メモリ(5)、隨時書き込み読み出しメモリ(6)、パリティ読み出し専用メモリ(10)及び隨時書き込み読み出しメモリ(11)、中央ユニットまたはCPUから入力されるデータの一組の読み取りを可能にするドライバステージ(15, 16, 17)及び比較器(18, 19)は、1個のシングルチップに設けられていること、及び、両バスシステム(3, 4)が、前記ドライバステージ(15, 16, 17)に接続されていることを特徴とする請求項1～4のいずれか1項に記載のマイクロプロセッサ装置。 20

**【請求項 6】**

両バスシステム(3, 4)は、それぞれデータ情報、テスト情報バス(DP)、アドレスバス(A)及び制御バス(C)を備えていることを特徴とする請求項1～5のいずれか1項に記載のマイクロプロセッサ装置。

**【請求項 7】**

両中央ユニットまたはCPU(1, 2)の信号、すなわち両バスシステム(3, 4)上の信号が、平行に接続された2個のハードウェア比較器(18, 19)に供給され、このハードウェア比較器は、1個のチップ内で空間的に分離して配置されていることを特徴とする請求項1～6のいずれか1項に記載のマイクロプロセッサ装置。 30

**【発明の詳細な説明】**

本発明は、同じ入力情報を受けて同じプログラムを処理する、同期的に動作する2個の中央ユニットまたはCPUと、読み出し専用メモリ(ROM)および隨時書き込み読み出しメモリ(RAM)と、テスト情報のための記憶場所と、テスト情報発生器と、中央ユニットまたはCPUの出力情報をチェックし、不一致のときに切断信号を発生する比較器とを備えた、安全上重要な(安全臨界の)制御装置のために設けられるマイクロプロセッサ装置に関する。

安全上重要な制御装置には、例えばブレーキ機能に介入する自動車制御装置が所属する。この自動車制御装置のうち、特にホイールロックコントロールシステムまたはアンチロックコントロールシステム(ABS)と、トラクションスリップコントロールシステム(ASR、TCS等)が多くの形で市場で入手可能であり、重要である。走行安定性コントロールシステム(DSC、ASMS)とサスペンションコントロールシステム等は同様に安全上重要である。なぜなら、これらのシステムがブレーキ介入に基づいているあるいはそれが機能しないとき車両の走行安定性を損なうことがあり得るからである。従って、このようなシステムの機能実施可能性を常に監視することが必ず必要である。それによって、エラーが発生したときに、コントロールを停止するあるいは安全性にとってあまり危険でない状態に切り換えることができる。

例えばアンチロック車両ブレーキ装置の制御および監視のための回路装置またはマイクロ

プロセッサシステムの一例が、ドイツ連邦共和国特許第3234637号公報によって知られている。この文献では、入力データが同じようにプログラミングされた2個のマイクロコンピュータに平行に供給され、そこで同期処理される。両マイクロコンピュータの出力信号と中間信号は冗長的比較器によって一致しているかどうかチェックされる。信号が互いに異なっていると、同様に冗長的に設計された回路を介して、コントロールの切断が行われる。この公知の回路の場合には、両マイクロコンピュータの一方がブレーク圧力制御信号を発生するために使用され、他方が検査信号を発生するために使用される。すなわち、この対称構造のマイクロプロセッサ装置の場合には、所属の読み出しメモリと随時書き込み読み出しメモリを含む全部揃った2個のマイクロコンピュータが必要である。

ドイツ連邦共和国特許出願公開第4137124号公報に記載された回路を構成する他の公知装置では、入力データが同様に2個のマイクロコンピュータに平行に供給され、このマイクロコンピュータの1個だけが面倒である完全な信号処理を行う。第2のマイクロコンピュータは特に監視のために役立つ。従って、入力信号は調整および時間的な変化率を求めた後で、簡略化された制御アルゴリズムと簡略化された制御フィロソフィによって更に処理することができる。簡略化されたデータ処理は、高価なマイクロコンピュータ内で処理される信号と比較することによって装置の規定通りの運転を推定することを可能にする信号を発生させるために充分である。小さな出力の検査マイクロコンピュータの使用により、全部揃った同じ出力の高価な2個のマイクロコンピュータを備えた装置と比較して、製作コストを低減することができる。

冒頭に述べた種類のマイクロプロセッサ装置はドイツ連邦共和国特許公開第4341082号公報によって既に知られている。このマイクロプロセッサ装置は特にアンチロックブレーキ装置の制御システムに適用される。シングルチップに収納可能なこの公知の装置は、2個の中央ユニットまたはCPUを含んでいる。この中央ユニットまたはCPUでは入力データが平行に処理される。両中央ユニットまたはCPUに接続された読み出し専用メモリと随時書き込み読み出しメモリは、テスト情報のための付加的な記憶場所を有し、それぞれテスト情報を発生するための発生器を含んでいる。両中央ユニットまたはCPUの一方の出力信号は制御信号を発生するために更に処理され、他方の“受動式の”中央ユニットまたはCPUは“能動式の”中央ユニットまたはCPUを監視するためにのみ役立つ。テスト情報を収容するためにメモリを比較的に少しだけ拡張し、この装置のメモリを2倍にすることをやめることにより、エラー識別に悪影響を与えないで製作コストの大幅な低減が達成される。

本発明の根底をなす課題は、安全上重要な用途に必要である、きわめて高い確率と信頼性で、装置の誤動作を認識し、信号化するようなマイクロプロセッサ装置を開発することである。同時に、このようなマイクロプロセッサ装置のための製作コストを低減すべきである。

この課題が請求項1に記載した装置によって解決されることが判った。この装置の特徴は、中央ユニットまたはCPUが別個のバスシステムを介して読み出し専用メモリおよび随時書き込み読み出しメモリと入力ユニットと出力ユニットに接続され、バスシステムがドライバステージによって互いに接続され、このドライバステージにより、両中央ユニットまたはCPUが、懸案のデータ、すなわちテストデータと命令を含む、両バスシステムに供されるデータを一緒に読み出しおよび処理することができる。両バスシステムに達する両中央ユニットまたはCPUの入力データおよび出力データは、テストデータおよび命令を含めて、本発明による装置の比較器によって一致するかどうかチェックされる。

従属請求項には本発明の有利な若干の実施形が記載されている。

本発明によるマイクロプロセッサ装置は完全に冗長的に動作する同一の2個のプロセッサコアまたは中央ユニットの使用に基づいている。このプロセッサコアまたは中央ユニットまたはCPUは別個のバスシステムから供給されるデータと一緒に冗長的に処理する。安全上の理由から第2の比較器が平行に接続配置されている簡単なハードウェア比較器によって、両中央ユニットまたはCPUの入力信号と出力信号が一致しているかどうかチェックされる。本発明による装置のメモリは1回だけ存在する。例えばパリティビットの形を

10

20

30

40

50

したテストデータのための付加的な記憶場所だけが設けられている。

本発明の好ましい実施形によれば、中央ユニットまたはCPUと読み出し専用メモリと随時書込み読み出しメモリと入力ステージと出力ステージからなる全部揃った1個のマイクロプロセッサが、両バスシステムの一方に接続され、第1のバスシステムは読み出し専用メモリと随時書込み読み出しメモリの代わりに、テストデータのための記憶場所にのみ直接接続されている。しかし、両バスシステムを接続するドライバステージにより、両中央ユニットまたはCPUは、有効データメモリとテストデータメモリと入力ステージから供給される必要なすべてのデータを読み出すことができる。これにより、本発明によるマイクロプロセッサ装置の構造が非常に簡単になり、このマイクロプロセッサ装置はすべての構成要素が1個のシングルチップに収納されるという利点がある。

本発明の他の特徴、効果および用途は、添付の図に基づく実施の形態の次の説明から明らかになる。図は本発明によるマイクロプロセッサ装置の重要な構成部品を概略的に示している。

本発明によるマイクロプロセッサ装置の原理的な構造と作用を説明するために添付の図が役立つ。この実施の形態では、マイクロプロセッサ装置はシングルチップマイクロコンピュータ装置である。このシングルチップマイクロコンピュータは、コンピュータコアまたはプロセッサコアあるいはCPUと呼ばれる、同期作動する2個の中央ユニットまたはCPU<sub>1,2</sub>と、別個のバスシステム3,4(バス1,ス2)を備えている。両中央ユニットまたはCPU<sub>1,2</sub>にとって共通のクロックは、接続部c1(共通クロック)から供給される。中央ユニットまたはCPU<sub>1</sub>は、読み出し専用メモリ5(ROM)と、随時書込み読み出しメモリ6(RAM)と、入力ステージ7,8(周辺装置1、ポート1)と、出力ステージ9とによって補足されて完全なマイクロコンピュータMC1が形成される。これに対して、第2のバスシステム4(バス2)には、中央ユニットまたはCPU<sub>2</sub>のほかに、テストデータメモリ10,11と入力ステージ12,13と出力ステージ14だけが接続されている。読み出し専用メモリ5内のデータのためのテストデータ記憶場所はメモリ10内に収納され、随時書込み読み出しメモリ6のためのテストデータはメモリ11内に収納されている。全体が“リーン”マイクロコンピュータMC2を形成している。

更に、両バスシステム3,4(バス1,バス2)はドライバステージ15,16,17を通じて接続されている。これは本発明によって重要である。これらのドライバステージは、入力されるデータを両中央ユニットまたはCPU<sub>1,2</sub>から一緒に読み取ることを可能にする。ステージ15～17はドライバ(またはイネーブル機能を有する“バッファ”)である。ドライバ15～17の伝送方向は矢印によって示してある。ドライバ15はバスシステム3(バス1)内にあるデータを中央ユニットまたはCPU<sub>2</sub>に伝送する働きをし、ドライバ16はテストデータメモリ10,11からテスト情報またはテストデータを中央ユニットまたはCPU<sub>1</sub>に伝送する働きをし、ドライバ17は第2のバスシステム(バス2)の入力ステージ12,13からデータを中央ユニットまたはCPU<sub>1</sub>に伝送する働きをする。

バスシステム3,4はそれぞれコントロールバス“C”とデータバス“D”とアドレスバス“A”を備えている。データバスはテストデータ“p”も含んでいる。従って、ハードウェア比較器18と、同じチップに場所的に分離して配置された同じような比較器19において一致(相關関係)を検査される中央ユニットまたはCPUの入力データと出力データは、“CDpA”で示してある。

公知の装置と異なり、本発明によるマイクロプロセッサ装置の場合には、アクティブプロセッサとパッシブプロセッサを区別することができない。両プロセッサコアまたは中央ユニットまたはCPU<sub>1,2</sub>は同じ権限がある。両プロセッサコアまたは中央ユニットまたはCPUは一緒に読み出されるデータを完全に冗長的に処理する。このデータには、テスト情報または冗長情報と制御命令が属する。プロセッサ1,2の入力信号と出力信号は相關関係が検査され、所属のバスシステム3,4と出力ユニット9,14を経て、象徴的に示した弁操作制御装置20に供給される。この弁操作制御装置は次のように機能する。

両中央ユニットまたはCPU<sub>1,2</sub>はバスシステム3,4を経て同一の出力信号を出力ユ

10

20

30

40

50

ニット 9 , 14 に供給する。両出力ユニットの一方に至る経路、ここでは出力ユニット 14 に至る経路に、インバータ 22 が挿入されている。弁操作制御装置 20 は直列バス 21 によって接続されている。この実施の形態では、2 個の出力シフトレジスタ 22 , 23 が設けられている。この場合、プロセッサの間の短絡を防止するために、第 2 のシフトレジスタ 22 にはデータが反転されて供給される。シフトレジスタ 22 , 23 に含まれるデータは、反転する入力部を有するアンドゲート（論理積ゲート）24 によって相関関係（一致）が比較される。ゲート 24 が監視するアンド条件が満たされないと、動かされる弁またはアクチュエータ 25 のための給電部にあるスイッチ 26 が開放し、それによってアクチュエータ操作が停止される。なぜなら、エラーが存在するからである。

シフトレジスタ 22 , 23 は出力ステージ 9 または 14 の構成部品であると見なされる。  
すなわち、比較器 18 , 19 と関係なく、出力信号の相関関係がもう一度、この場合外部で監視される。従って、エラーがある場合、中央ユニットまたは C P U 1 , 2 の機能とは関係なく、弁 25 の動作が中断される。

すなわち、本発明では、演算ユニット全部とシーケンス制御部を含む中央ユニットまたは C P U は、演算結果を保護し、プログラムを正しく実行するために、二重に形成されている。データバスはそれぞれ、例えばパリティビットのためのテストデータまたは冗長情報のための発生器だけ拡張されている。両中央ユニットまたは C P U の出力信号はチェックのためにハードウェア比較器（18 , 19）に導かれる。この比較器はテスト信号を含む信号の同一性をチェックし、プログラムの同期実行が冗長性中央ユニットまたは C P U によって互いに異なる結果を生じるときには、システムを切断する。

両中央ユニットまたは C P U の出力信号は同じような権限がある。すなわち、メモリユニット（R A M , R O M）または“周辺装置”的操作は両中央ユニットまたは C P U の一方によって行うことができる。

自動車制御装置の場合、出力信号が制御装置の重要な入力量である例えば車輪センサは、図において周辺装置 1 と周辺装置 2 と呼ばれる入力ユニット 7 , 12 を介して接続可能である。その際、図に示すように、センサ信号供給部を両バスシステム 3 , 4 に分配することができる。信号供給は勿論、冗長的に行うことができる。すなわち、すべてのセンサ信号を両バスシステム 3 , 4 に接続することによって行うことができる。

同じことが入力ステージ 8 , 13 (ポート 1 , ポート 2) を経て供給される情報についても言える。制御されるブレーキシステムの場合には、例えば制動灯スイッチと他のセンサがこの入力ステージを介して接続される。

本発明の重要な特徴は、データ処理操作の充分な冗長性および“保護”にもかかわらず、メモリのコストが比較的に少なくて済むことにある。すなわち、読み出し専用メモリと隨時書き込み読み出しメモリは前述のように、両マイクロコンピュータの一方（M C 1）のためにだけに設けられ、第 2 のマイクロコンピュータ（M C 2）にはテストデータのための記憶場所（10 , 11）だけが組み込まれている。両バスシステムを接続するドライバステージ 15 , 16 , 17 により、それにもかかわらず、データ処理操作時に、記憶された有効データとテストデータが両中央ユニットまたは C P U に供される。

図示した実施の形態と異なり、メモリ 5 , 6 , 10 , 11 の記憶場所は両バスシステム 3 , 4 またはマイクロコンピュータ M C 1 , M C 2 に完全に異なるように分配することができます。それによって、全体として必要な記憶場所が増大することはない。

記憶されたデータおよび記憶すべきデータの読み出しおよび書き込みの際のエラーの識別のために、テストデータまたはパリティデータが用いられる。読み出し専用メモリと隨時書き込み読み出しメモリの各々の記憶セルには、テストデータのための記憶場所だけを有する第 2 のマイクロプロセッサ M C 2 のメモリ 10 , 11 内で同じアドレスで、冗長信号が格納されている。読み出し専用メモリのためのテスト情報または冗長情報はプログラミング中に既に定められている。隨時書き込み読み出しメモリの場合、このテスト情報または冗長情報は書き込みの際に発生させられる。データや命令の読み出しと同様に、テスト情報または冗長情報は両バスシステム 3 , 4 を接続するドライバステージ 16 を経て伝達される。書き込みアクセスの際に、書き込むべきデータは冗長情報だけ拡張される。この冗長情報はデータと共に記

10

20

30

40

50

憶される。読み出しがアクセスの場合には、このデータと逆読みされる冗長情報は比較器 18, 19 によって正当性がチェックされる。安全上の理由から入力データを冗長的に検出および処理すべきときには、入力ステージ (7, 8, 12, 13) が二重に設計されている。このステージはそれぞれ一部を一方の中央ユニットまたは CPU および他方の中央ユニットまたは CPU のアドレス空間内に配置可能である。従って、対称マイクロプロセッサシステムの場合のように周辺要素が連結解除される。

出力信号、特に二重に設計された出力ステージを含む操作制御装置 20 のための制御信号は同様に、それぞれ一部を一方または他方の中央ユニットまたは CPU のアドレス空間内に配置可能である。従って、完全対称概念の場合のように、出力周辺要素が連結解除される。

バスシステムを経て情報を伝送する際のエラーを識別するために、このバスシステムはバスシステム 3, 4 (バス 1、バス 4) の形に冗長的に設計されている。両中央ユニットまたは CPU\_1, 2 から出力されバスシステムに供給される信号は比較器 18, 19 によって相互関係が監視される。

テストデータまたは冗長データを発生するためにパリティ発生器が使用されるとき、本発明によるシステムの場合には、2 個の発生器が必要である。この発生器は例えば中央ユニットまたは CPU\_1, 2 または比較器 18, 19 に収納することができる。随時書き込み読み出しメモリのために供される付加的な記憶場所 (メモリ 11) に書き込みアクセスする際に、冗長発生器によって中央ユニットまたは CPU\_2 内で発生する情報が記憶される。読み出し専用メモリまたは随時書き込み読み出しメモリ内のテストデータのための付加的な記憶場所に読み出しがアクセスする際に、冗長発生器によって発生した情報は、読み出された冗長情報と相互関係が比較される。

適当な冗長発生器は例えば公知のごとく、排他的オアゲート (排他的論理和ゲート) によって実現可能である。



---

フロントページの続き

(72)発明者 ギールス・ベルンハルト  
ドイツ連邦共和国、D - 6 0 3 2 0 フランクフルト・アム・マイン、カイザー・ジークムント・  
ストラーセ、6 0

審査官 久保 正典

(56)参考文献 特開平02-301836(JP,A)  
特開平01-154241(JP,A)  
特開平02-202636(JP,A)  
特開昭59-130768(JP,A)  
特開平07-160521(JP,A)

(58)調査した分野(Int.Cl., DB名)

G06F 11/16 - 20  
G06F 15/16 - 15/177