微型计算机.pdf

资源描述

《微型计算机.pdf》由会员分享，可在线阅读，更多相关《微型计算机.pdf（31页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 104281217 A (43)申请公布日 2015.01.14 CN 104281217 A (21)申请号 201410330526.6 (22)申请日 2014.07.11 2013-145230 2013.07.11 JP G06F 1/16(2006.01) (71)申请人瑞萨电子株式会社地址日本神奈川 (72)发明人平出拓也坪井幸利奥田亮辅 (74)专利代理机构中国国际贸易促进委员会专利商标事务所 11038 代理人崔成哲 (54) 发明名称微型计算机 (57) 摘要本发明涉及微型计算机。本发明公开了一种对于中断控制系统的异常进行检。

2、测的技术，尤其涉及一种无需将所有电路进行二元化、无需花费时间制作内建自测试的测试模式，且不会大幅增加功耗的情况下便可检测出中断控制系统的异常的技术。在从中断控制器到中央处理器的中断信号系统中使用定时器等定期产生测试中断请求，并通过中断处理例程对中断控制器内的中断请求标记的状态进行确认，如果检测到同一中断请求标记连续2次或2次以上处于设置状态时，便可认定该中断信号系统存在故障的可能性很高，所以可判断其存在异常。 (30)优先权数据 (51)Int.Cl. 权利要求书 3 页说明书 16 页附图 11 页 (19)中华人民共和国国家知识产权局 (12)发明专利申。

3、请权利要求书3页说明书16页附图11页 (10)申请公布号 CN 104281217 A CN 104281217 A 1/3 页 2 1. 一种微型计算机，其特征在于，具有：中央处理器；以及中断控制器，其中，所述中央处理器定期对以规定的间隔产生的规定的测试中断请求进行响应，并参照所述中断控制器所保持有的中断请求标记，参照多次所述测试中断请求后判断同一中断请求标记连续多次处于设置状态时，视为存在异常。 2. 如权利要求 1 所述的微型计算机，其特征在于，所述中断控制器具有第一中断控制器和第二中断控制器，其中，所述第一中断控制器被供给所述测试中断请求，。

4、所述第二中断控制器具有通过对所述测试中断请求进行响应的所述中央处理器的处理而设为参照对象的中断请求标记。 3. 如权利要求 2 所述的微型计算机，其特征在于，对产生所述测试中断请求的测试中断请求产生电路进行二元化，所述第一中断控制器还具有判断电路，所述判断电路对从二元化的中断请求产生电路并联输入的测试中断请求的各个分别进行与其他的中断请求之间的接收控制，并判断分别进行的接收控制的结果是否一致。 4. 如权利要求 2 所述的微型计算机，其特征在于，还具有选择器，所述选择器选择输入到第 2 中断控制器的中断请求并将其输入到第 1 中断控制器；所述中央处理器参照所述中断控制。

5、器的中断请求标记，在视为存在异常时，通过所述选择器选择与通过参照多次所述测试中断请求而判断为同一中断请求标记连续多次处于设置状态的该中断请求标记对应的中断请求，并将其输入到第 1 中断控制器。 5. 如权利要求 1 所述的微型计算机，其特征在于，所述中断控制器具有：主设备中断控制器，所述主设备中断控制器能够输入多个中断请求，并根据针对所输入的中断请求的接收控制结果，向中央处理器输出中断信号；以及从设备中断控制器，所述从设备中断控制器能够输入多个中断请求，并根据针对所输入的中断请求的接收控制的结果，向所述主设备中断控制器输出中断请求信号。 6. 如权利要求。

6、 5 所述的微型计算机，其特征在于，所述中央处理器定期对以规定的间隔产生的规定的测试中断请求进行响应，并参照所述从设备中断控制器所保持的从设备侧中断请求标记和所述主设备中断控制器所保持的主设备侧中断请求标记，通过参照多次所述测试中断请求后判断同一从设备侧中断请求标记连续多次处于设置状态、并且与其对应的主设备侧中断请求标记连续多次处于设置状态时，视为存在异常，其中，与从所述从设备中断控制器向所述主设备中断控制器供给的中断请求信号对应地设置有所述主设备侧中断请求标记。 7. 如权利要求 6 所述的微型计算机，其特征在于，所述中央处理器通过参照多次所述测试中断请求，在。

7、判断为同一从设备侧中断请求标记连续多次处于设置状态、并且与其对应的主设备侧中断请求标记连续多次处于设置状态时，视为在从设备中断控制器的内部、或经由主设备中断控制器至中央处理器的输入为止权利要求书 CN 104281217 A 2 2/3 页 3 的路径中存在异常，通过参照多次所述测试中断请求，通过判断为在同一从设备侧中断请求标记连续多次处于设置状态并且与其对应的主设备侧中断请求标记没有连续多次处于设置状态时，视为从从设备中断控制器至主设备中断控制器的输入的路径中存在异常。 8. 如权利要求 5 所述的微型计算机，其特征在于，将所述规定的测试中断请求输入到所述主。

8、设备中断控制器。 9. 如权利要求 5 所述的微型计算机，其特征在于，所述从设备中断控制器具有第 1 从设备中断控制器和第 2 从设备中断控制器，其中所述第 1 从设备中断控制器被供给所述测试中断请求，所述第 2 从设备中断控制器具有通过对所述测试中断请求进行响应的所述中央处理器的处理而设为参照对象的中断请求标记。 10. 如权利要求 9 所述的微型计算机，其特征在于，对产生所述测试中断请求的测试中断请求产生电路进行二元化，所述第 1 从设备中断控制器还具有判断电路，所述判断电路对从二元化的中断请求产生电路并联输入的测试中断请求的各个分别进行与其他的中断请求之间的接收控。

9、制，并判断分别进行的接收控制的结果是否一致；所述主设备中断控制器将通过所述第 1 从设备中断控制器分别进行的接收控制的结果的逻辑与信号作为一个中断请求进行处理。 11. 如权利要求 9 所述的微型计算机，其特征在于，还具有选择器，所述选择器选择输入到第 2 从设备中断控制器的中断请求并输入到第 1 从设备中断控制器，所述中央处理器通过参照所述第 2 从设备中断控制器的中断请求标记后视为存在异常时，通过所述选择器选择与通过参照多次所述测试中断请求而判断为同一中断请求标记连续多次处于设置状态的该中断请求标记对应的中断请求，并将其输入到第 1 从设备中断控制器。 12. 。

10、如权利要求 5 所述的微型计算机，其特征在于，所述主设备中断控制器及所述中央处理器还具有锁步结构，该锁步结构通过分别被二元化而相互并行动作，能够根据相互的动作结果的不同来检测异常。 13. 如权利要求 1 所述的微型计算机，其特征在于，所述中断控制器具有：第1中断控制器，所述第1中断控制器被供给所述测试中断请求及第1中断请求；以及第 2 中断控制器，所述第 2 中断控制器被供给第 2 中断请求，对产生所述测试中断请求的测试中断请求产生电路进行二元化，所述第 1 中断控制器还具有判断电路，所述判断电路对从二元化的测试中断请求产生电路并联输入的测试中断请求的各个。

11、分别进行与所述第 1 中断请求之间接收控制，并判断分别进行的接收控制的结果是否一致；所述中央处理器定期对以规定的间隔产生的规定的测试中断请求进行响应，并参照所述第 1 中断控制器及第 2 中断控制器所保持的中断请求标记，通过参照多次所述测试中断请求后判断同一中断请求标记连续多次处于设置状态时，视为存在异常。权利要求书 CN 104281217 A 3 3/3 页 4 14. 如权利要求 1 所述的微型计算机，其特征在于，还具有定时器，所述规定的测试中断请求是以规定的间隔从所述定时器产生的定时器中断请求。 15. 如权利要求 14 所述的微型计算机，其特征在于。

12、，被设为参照对象的中断请求标记为与考虑了功能安全的安全相关的中断请求对应的中断请求标记。 16. 如权利要求 15 所述的微型计算机，其特征在于，所述规定的间隔是比通过所述安全相关的中断请求进行的故障 - 安全处理中考虑的 FTTI 即容错时间间隔短的时间。 17. 如权利要求 15 所述的微型计算机，其特征在于，所述规定的测试中断请求是根据用户模式中的中央处理器的控制而从所述定时器定期产生的。 18. 如权利要求 1 所述的微型计算机，其特征在于，被所述中央处理器视为存在的异常是指假设在从所述中断控制器至所述中央处理器的路径中存在的异常。权利要求书 CN 104。

13、281217 A 4 1/16 页 5 微型计算机技术领域 0001 本发明涉及一种故障检测技术，尤其涉及一种根据中断请求向中央处理器发送中断指示的中断信号系统故障的检测技术，如为适用于搭载了故障 - 安全功能的车载控制用的微型计算机中安全相关的中断信号系统的故障检测的有效的技术。背景技术 0002 对于搭载了故障 - 安全功能的车载控制用的微型计算机，在用于和人命息息相关的电子控制装置方面，硬件和软件都必须遵守的准则例如有功能安全基准的 ISO26262 及 IEC61508 等。锁步结构作为实现故障 - 安全功能的手段而被广泛使用。例如，将中央处理器的内核设为双核，。

14、且分别在不同的内核上并列执行同一软件，便可通过判断动作结果是否一致来尽快检测出系统是否存在故障。但是上述锁步结构大幅增大了硬件规模。专利文献 1 中记载了车载微型计算机中的锁步动作。 0003 在车载微型计算机中，与功能安全相关的中断请求数量非常多。对于上述中断请求，对优先级和中断屏蔽进行相应的处理，使中央处理器检测出可进行中断控制的中断控制器及中断信号系统的故障，这对在提高车载微型计算机的故障 - 安全功能方面是很必要的。如在专利文献2至4中记载了对于中断控制功能相关的故障和误动作进行检测的技术。 0004 专利文献 2 中公开了如下技术，即：使用看门狗定时器的监。

15、视功能，便可在生成与中断控制器的中断请求输入引脚连接的实时处理请求时检测相关的故障和误动作的技术。 0005 专利文献3中公开了如下技术，即：接收中断请求信号的中断控制器在向CPU输出中断信号后，在 CPU 返送回响应信号之前，可消除中断请求信号无效时的问题。也就是说，中断控制器通过监视该状态并向 CPU 发出通知，使 CPU 在任何时候都能够消除无法读取向量地址的状态。 0006 专利文献 4 中公开了如下技术，即：使用测试仪对中断控制器进行测试时，由于与 CPU 的运行相关，所以制作测试模式并非易事，而且由于测试需要时间，所以可将中断控制器的内部数据和。

16、向量直接输出到 LSI 的外部，也可以通过内部总线将必要的数据提供给中断控制器的技术。 0007 专利文献 1 日本特开 2010 262432 号公报 0008 专利文献 2 日本特开 1997 198280 号公报 0009 专利文献 3 日本特开 2000 347880 号公报 0010 专利文献 4 日本特开 3 109644 号公报发明内容 0011 为了提高微型计算机的故障 - 安全功能，尤其为了提高涉及多种中断的功能安全的中断处理的可靠性，本案发明人就如何才能更容易检测出中断控制器及中断信号系统的故障进行了探讨。中断控制器也可采用锁步结构，例如，在车载控制用的微。

17、型计算机中，如果功能安全相关的中断数量非常多时，采用二元化将会导致电路规模过大、芯片大型化及说明书 CN 104281217 A 5 2/16 页 6 成本增加等。并且，如果采用如下的器件结构，即启动时可进行逻辑和内存的内建自测试 (BIST ： Built-In Self-Test) 作为硬件测试的器件结构，虽然中断信号系统的故障可通过内建自测试执行，但是为了提高执行测试时的覆盖范围而制作的测试模式并非易事，而且，还需采取新的对策来防止由于测试规模变大而导致功耗变大的问题。在专利文献 4 所公开的技术中，因追加硬件而导致电路规模增大这方面也不容忽视。尤其是如车。

18、载控制用的微型计算机中与功能安全相关的中断数量非常多而导致中断控制功能的规模大时尤其不能忽视。而且，根据专利文献 2、 3 所公开的技术，也不可能很容易地检测出中断控制器自身的故障及误动作。 0012 本发明的所述内容及所述内容以外的目的和新特征将在本说明书的描述及附图说明中写明。 0013 本发明中公开的最具代表性的实施方式概要简单介绍如下。 0014 即，对于从中断控制器到中央处理器的中断信号系统，使用定时器等定期产生测试中断请求，并在所述中断处理例程内对中断控制器内的中断请求标记的状态进行确认，通过功能安全相关检测到同一中断请求标记连续 2 次或 2 次以上处于设置。

19、状态时，就可认为该中断信号系统发生故障的可能性很高，并将之判断为测试故障，即存在异常。 0015 根据本发明中公开的最具代表性的实施方式得出的效果简单介绍如下。 0016 即，无需全面实施电路的二元化，也无需花费时间制作内建自测试的测试模式，便可在无需大幅增加功耗的情况下检测出中断控制系统的异常。附图说明 0017 图1所示的是第1实施方式中微型计算机的中断控制系统中故障检测的详细示例的框图。 0018 图 2 所示的是微型计算机的结构例的框图。 0019 图 3 所示的是对测试中断请求信号 OSTM 进行响应的中央处理器的操作流程例的流程图。 0020 图 4 所示的是。

20、对测试中断请求信号进行响应的测试中断处理的动作时序例的时序流程图。 0021 图5所示的是第2实施方式中作为微型计算机的中断控制系统的主要结构例的框图。 0022 图6所示的是着眼于二元化的测试中断请求信号OSTMa， OSTMb时的从设备中断控制器及主设备中断控制器的具体例的框图。 0023 图 7 所示的是第 3 实施方式中微型计算机的中断控制系统的主要结构例的框图。 0024 图 8 所示的是第 4 实施方式中微型计算机的中断控制系统的主要结构例的框图。 0025 图 9 所示的是第 5 实施方式中微型计算机的中断控制系统的主要结构例的框图。 0026 图 10 所示的是第 6 实。

21、施方式中微型计算机的中断控制系统的主要结构例及 1 个从设备中断控制器的示例的框图。 0027 图 11 所示的是第 6 实施方式中微型计算机的中断控制系统的主要结构例及 2 个从设备中断控制器的示例的框图。 0028 符号说明说明书 CN 104281217 A 6 3/16 页 7 0029 1 微型计算机 0030 2 处理单元 (PE0) 0031 3 处理单元 (PE1) 0032 4、 4A、 4B 主设备中断控制器 (INTC1) 0033 5 中央处理器 (CPU) 0034 6 比较部 (COMP) 0035 7 错误控制电路 (ERRCNT) 0036 15 定时。

22、器电路 (TMR) 0037 18 从设备中断控制器 (INTC2) 0038 21、 21A 第 1 从设备中断控制器 (INTC2_0) 0039 22 第 2 从设备中断控制器 (INTC2_1) 0040 IFLG 中断请求标记 0041 IntS1、 IntS2、 IntReq 中断信号 0042 31、 32、 33、 33B 中断请求标记电路 0043 41、 42、 43、 43B 标记控制逻辑电路 (FLGC) 0044 51、 52、 53、 51A、 53A 优先级及屏蔽控制逻辑电路 (PMLGC) 0045 CSCD 级联码 0046 INT127:32 中断请求信号。

23、0047 OSTM 测试中断请求 0048 NSRS 非安全相关的中断请求信号 0049 SRS 安全相关的中断请求信号 0050 INT255:128 中断请求信号 0051 INT_PE31:0 中断请求信号 0052 OSTMa、 OSTMb 二元化的测试中断请求 0053 15a、 15b 定时器通道 0054 60 异或门 0055 61 优先级及屏蔽控制逻辑电路 (PMLGC) 0056 62 逻辑与门 0057 70、 71 优先级及屏蔽控制逻辑电路 (PMLGC) 0058 80 选择器 0059 SEL 选择信号具体实施方式 0060 1. 实施方式概要 0061 下面首先。

24、，对本发明中公开的实施方式概要进行说明。在实施方式的概要说明中，括号内的参照图中的参照符号仅为示出了构成要素的概念而已。 0062 1 判断定期参照的中断请求标记是否连续多次处于设置状态 0063 微型计算机 (1) 具有中央处理器 (5) 和中断控制器 (4,18,21,22,21A)。其中，所述中央处理器定期对以规定的间隔产生的规定的测试中断请求 (OSTM) 进行响应，并参照说明书 CN 104281217 A 7 4/16 页 8 所述中断控制器所保持有的中断请求标记 (IFLG)，通过参照多次所述测试中断请求并判断同一中断请求标记连续多次处于设置状态时，判断为。

25、存在异常。 0064 由此，在参照每一次定期产生的测试中断请求时的中断控制器内的中断请求标记后，如果检测到同一中断请求标记连续两次以上处于设置状态，而该设置状态的中断请求标记产生的中断依然没得到处理时，这种状态持续的时间越长，说明中断信号系统发生故障的可能性越高。通过将此状态认定为异常状态，便可提高微型计算机所控制的系统的功能安全性。尤其是由于中断控制器全面实现了二元化而可不完全依赖锁步结构，所以无需大幅增加电路规模。而且，由于无需花费时间制作用于内建自测试的测试模式，所以也不会出现因内建自测试而导致功耗大幅增加的现象。由此，便可在无需增加电路规模、无需花。

26、费时间制作测试模式、以及不会出现因进行测试而导致功耗大幅增加的情况下检测出控制系统的异常。 0065 2 将测试中断请求及作为中断请求标记的参照对象的中断请求输入不同的中断控制器 0066 在 1 中，所述中断控制器具有被供给所述测试中断请求的第 1 中断控制器 (21)、以及第2中断控制器(22)，所述第2中断控制器(22)包括通过对所述测试中断请求进行响应的所述中央处理器处理后作为参照对象的中断请求标记 ( 请参照图 1)。 0067 由此，中断请求大致可分为对功能安全方面要求很高的功能安全相关的中断请求、以及在功能安全方面要求不高的非功能安全相关的中断请求。此时，。

27、通过在测试中断请求的输入侧和作为中断请求标记的参照对象的中断请求的输入侧设置不同的中断控制器，便可将通过测试中断请求进行中断处理时中断处理标记的参照范围限定为与功能安全相关的中断请求侧的第 2 中断控制器。而且，在判断为存在异常时，还可将对该异常进行处理的范围限定在包括第 2 中断控制器的信号系统上。 0068 3 将测试中断请求产生电路进行二元化 0069 在 2 中，将产生所述测试中断请求的测试中断请求产生电路 (15a,15b) 进行二元化 ( 请参照图 5)。所述第 1 中断控制器 (21A) 还具有判断电路，所述判断电路对于从二元化后的测试中断请求产生电路并联输。

28、入的测试中断请求及其他中断请求分别进行接收控制，并判断所进行的各接收控制结果是否匹配。 0070 由此，便可检测从二元化后的测试中断请求产生电路输出的信号是否匹配，所以可保证通过测试中断请求进行处理的结果的合理性。因此，便可避免出现因测试中断处理系统的故障而导致中央处理器根据测试中断请求进行处理的现象，从系统功能安全方面来考虑，可进一步提高系统的安全性。 0071 4 将输入第 2 中断控制器的中断请求选择性地输入到第 1 中断控制器 0072 在 2 中，还具有选择器 (80)( 请参照图 7)，所述选择器 (80) 选择输入第 2 中断控制器的中断请求并将之输入到。

29、第 1 中断控制器。所述中央处理器参照所述中断控制器的中断请求标记后判断为存在异常时，即通过参照多次所述测试中断请求后判断为同一中断请求标记连续多次处于设置状态时，通过所述选择器选择与所述连续多次处于设置状态的同一中断请求标记对应的中断请求并将之输入到第 1 中断控制器。 0073 由此，即使在判断为存在异常时，将与已判断为连续多次处于设置状态的中断请求标记对应的中断请求输入第 1 中断控制器，由此便可继续通过该中断请求继续进行原来说明书 CN 104281217 A 8 5/16 页 9 的处理。简言之便是，可将之作为在系统出现问题时的应急措施继续进行处理。 007。

30、4 5 中断控制器的级联连接 0075 在 1 中，所述中断控制器具有级联连接的主设备中断控制器 (4)、以及从设备中断控制器 (18)。主设备中断控制器可输入多个中断请求，并可根据所输入的中断请求的接收控制结果向中央处理器输出中断信号。从设备中断控制器可输入多个中断请求，并可根据所输入的中断请求的接收控制结果向所述主设备中断控制器输出中断请求信号。 0076 由此，对于 1 个中断控制器无法完全处理的多个中断请求信号，可通过中断控制器的级联连接来应对。 0077 6 关于级联连接的中断请求，从设备中断控制器和主设备中断控制器分别保持有中断请求标记并将之作为参照对象 0。

31、078 在 5 中，所述中央处理器定期对以规定间隔产生的规定的测试中断请求进行响应，并参照图8所示的如下中断请求标记，即：所述从设备中断控制器(22)所保持有的从设备侧中断请求标记 ( 对应 SRS 的 IFLG) ；以及与从所述从设备中断控制器向所述主设备中断控制器 (4) 供给的中断请求信号对应并置位的、所述主设备中断控制器所保持有的主设备侧中断请求标记(对应IntS2的IFLG)。中央处理器通过参照多次所述测试中断请求，在判断为同一从设备侧的中断请求标记连续多次处于设置状态、以及与其对应的主设备侧中断请求标记是否连续多次处于设置状态来判断其是否存在异常。。

32、0079 由此，通过参照级联连接的从设备侧和主设备侧的中断请求标记的状态，便可判断故障位置是在主设备中断控制器的中断请求标记的之前还是之后。 0080 7 从从设备中断控制器到主设备中断控制器路径中的故障 0081 在 6 中，所述中央处理器通过参照多次所述的测试中断请求来判断同一从设备侧中断请求标记连续多次处于设置状态，且与之相对应的主设备侧中断请求标记连续多次处于设置状态，以此来判断经由从设备中断控制器及主设备中断控制器至中央处理器的输入路径中存在异常。另外，通过参照多次所述测试中断请求判断为同一从设备侧中断请求标记连续多次处于设置状态、且与之对应的主设备侧中断请求。

33、标记不为连续多次处于设置状态时，便可认为从从设备中断控制器至主设备中断控制器的输入路径中存在异常。 0082 由此，便可具体判断故障位置是在主设备中断控制器的中断请求标记之前或之后。 0083 8 向主设备中断控制器输入规定的测试中断请求 0084 在 5 中，向所述主设备中断控制器输入所述规定的测试中断请求 ( 请参照图 10、图 11)。 0085 由此，由于接收测试中断请求信号的中断控制器仅为 1 段，与向级联连接的从设备侧输入测试中断请求信号时相比，可减少因测试中断请求信号进行处理时产生异常的可能性。 0086 9 将测试中断请求及与作为中断请求标记的参照对象的中。

34、断请求输入不同的从设备中断控制器 0087 在 5 中，所述从设备中断控制器具有被供给所述测试中断请求的第 1 从设备中断控制器 (21)、以及第 2 从设备中断控制器 (22)( 请参照图 1)，所述第 2 从设备中断控制器具有通过对所述测试中断请求进行响应的中央处理器进行处理而成为参照对象的中断说明书 CN 104281217 A 9 6/16 页 10 请求标记。 0088 由此，即使在级联连接结构时，也可大体分为对于功能安全要求较高的功能安全相关的中断请求、以及对于功能安全要求不高的非功能安全相关的中断请求。此时，通过在测试中断请求的输入侧和在作为中断请。

35、求标记的参照对象的输入设置不同的从设备中断控制器，便可将通过测试中断请求进行中断处理时中断请求标记的参照范围限定为功能安全相关的中断请求侧的第 2 从设备中断控制器。由此，判断为存在异常时，便可将对于该异常的处理范围限定在具有第 2 从设备中断控制器的信号系统中。 0089 10 将测试中断请求的产生电路进行二元化 0090 在 9 中，将产生所述测试中断请求的测试中断请求产生电路 (15a,15b) 进行二元化 ( 请参照图 5)。所述第 1 从设备中断控制器还具有判断电路，所述判断电路对于从二元化的中断请求产生电路并联输入的测试中断请求及其他的中断请求分别进行接收控制，。

36、并判断分别执行的接收控制结果是否匹配。所述主设备中断控制器将通过所述第 1 从设备中断控制器对于分别执行的接收控制结果的逻辑与信号作为一个中断请求信号进行处理。 0091 由此，由于可检测从二元化后的测试中断请求产生电路发出的信号是否匹配，所以可保证通过测试中断请求进行处理的结果的合理性。因此，便可避免出现因测试中断处理系统的故障而无法通过中央处理器根据测试中断请求进行处理的现象，从系统的功能安全方面来考虑，可进一步提高系统的安全性。 0092 11 将输入第2从设备中断控制器的中断请求选择性地输入到第1从设备中断控制器 0093 在 9 中，还具有选择器 (80)( 。

37、请参照图 7)，所述选择器 (80) 选择输入第 2 从设备中断控制器的中断请求并将之输入到第 1 从设备中断控制器。所述中央处理器参照所述第 2 从设备中断控制器的中断请求标记后判断为存在异常时，通过参照多次所述测试中断请求后判断为同一中断请求标记连续多次处于设置状态时，通过所述选择器选择与所述连续多次处于设置状态的同一中断请求并将之输入到第 1 从设备中断控制器。 0094 由此，即使在判断为存在异常时，将与所述连续多次处于设置状态的中断请求标记对应的中断请求输入第 1 从设备中断控制器，便可继续通过该中断请求进行原来的处理。简言之便是，可将之作为在系统出现问题时。

38、的应急措施继续进行处理。 0095 12 通过主设备中断控制器及中央处理器的二元化实现的锁步结构 0096 在 5 中，具有锁步结构，所述锁步结构通过所述主设备中断控制器 (4) 及所述中央处理器 (5) 的二元化 (2,3) 实现相互并联的动作，并根据相互动作结果的不同检测到异常。 0097 由此，在器件面积允许时，对一部分采用锁步结构便可进一步提高器件的功能安全性。 0098 13 将测试中断请求产生电路进行二元化，便可将测试中断请求以及作为中断请求标记的参照对象的中断请求输入到同一中断控制器内 0099 在 1 中，所述中断控制器具有被供给所述测试中断请求及第 1 。

39、中断请求的第 1 中断控制器 (21A)、以及被供给第 2 中断请求的第 2 中断控制器 (22)。而且，产生所述测试中断请求的测试中断请求产生电路 (15a,15b) 为二元化电路。所述第 1 中断控制器还具有判断电路 (60)，所述判断电路 (60) 对于从二元化的测试中断请求产生电路并联输入的测说明书 CN 104281217 A 10 7/16 页 11 试中断请求及所述第 1 中断请求分别进行接收控制，并判断各接收控制结果是否匹配。所述中央处理器定期对以规定间隔产生的测试中断请求进行响应，并参照所述第 1 中断控制器及第 2 中断控制器所保持有的中断请求标记，。

40、通过参照多次所述测试中断请求判断为同一中断请求标记连续多次处于设置状态时，判断为存在异常 ( 请参照图 9)。 0100 由此，不仅可确实检测出从产生测试中断请求起至其接收控制中出现的异常，还可更容易地保证中央处理器可接收正常产生的测试中断请求。换言之即是，由于能够检测出第 1 中断控制器产生的中断请求的接收处理和信号路径中的异常，所以对于功能安全相关的中断请求信号并非仅限于供给第2中断控制器，还可供给第1中断控制器，由此便可进一步提高其功能安全性。此时，对测试中断请求进行响应并参照第 1 中断控制器侧的中断请求标记进行判断，可有助于进一步提高功能安全性。 01。

41、01 14 定时器中断请求 0102 在 1 中，还具有定时器，所述规定的测试中断请求是所述定时器 (15) 以规定的间隔产生的定时器中断请求。 0103 由此，便可根据中央处理器的控制来任意决定定期产生测试中断请求的产生间隔。 0104 15 与安全相关的中断请求对应的中断请求标记 0105 在 14 中，作为参照对象的中断请求标记是与考虑了功能安全的安全相关的中断请求对应的中断请求标记。 0106 由此，便可适用于搭载了故障 - 安全功能且大量使用了安全相关的中断请求的车载控制用的微型计算机。 0107 16 规定的间隔 0108 在 15中，所述规定的间隔的时间比通过。

42、所述安全相关的中断请求产生的故障 - 安全处理的 FTTI(Fault Tolerant Time Interval) 的时间短。 0109 正常状态下，通过安全相关的中断请求进行的处理将比 FTTI 更短的时间内结束，且其中断请求标记将从设置状态被清除。相反地，如果存在异常，通过安全相关的中断请求进行的处理即使超过了 FTTI 时间也不会结束，从而导致其中断请求标记一直处于设置状态。因此，如果将测试中断请求的产生间隔设定为比 FTTI 时间短，在第 1 次测试中断请求的处理和第 2 次测试中断请求的处理过程中，如果同一中断请求标记连续 2 次处于设置状态，便可判。

43、断其存在异常。 0110 17 用户模式下的测试中断请求 0111 在 15 中，在用户模式下通过中央处理器进行控制，便可从所述定时器定期产生所述规定的测试中断请求。 0112 由此，便无需从用户模式转移到特别的测试模式，而且可将测试中断处理作为用户模式下的一个中断处理来执行，而且还能检测出系统或是设备中因时间变化而出现的劣化。 0113 18 既定处理所设想的故障 0114 在 1 中，由所述中央处理器认定所存在的异常是指从所述中断控制器到所述中央处理器的路径中存在的异常。 0115 由此，根据所设想的异常，便可预先决定存在异常时的异常处理及恢复处理措施。说明书。

44、 CN 104281217 A 11 8/16 页 12 0116 2. 实施方式的详细内容 0117 下面进一步详细说明实施方式的内容。 0118 微型计算机 0119 图 2 示出了微型计算机的结构例。图中所示的微型计算机 (MCU)1 并无特别限定，如可为在单晶硅晶等一个半导体衬底上通过 CMOS 集成电路制造技术形成的半导体集成电路。 0120 微型计算机1具有将彼此相同的二元化后的处理单元(PE0)2和处理单元(PE1)3。处理单元 (2,3) 分别具有主设备中断控制器 (INTC1)4 和中央处理器 (CPU)5。处理单元 (2,3) 的中央处理器 5 与相同的时钟信号同步并。

45、执行相同的命令。处理单元 (2， 3) 的主设备中断控制器 4 输入相同的中断请求信号后进行接收处理，并向对应的中央处理器 5 输出中断信号。根据处理单元 (2,3) 的并联动作分别生成的信号和其他内部信息，例如通过比较部 (COMP)6 以中央处理器 5 的动作周期单位进行比较。比较结果不匹配时将通过错误信号 ERR 向错误控制电路 (ERRCNT)7 进行通知。通知的具体内容及对于结果不匹配时的通知的具体处理内容并无特别限定，而是可根据微型计算机 1 执行的软件、或者适用于微型计算机 1 的系统内容等来做适当的决定。如上所述将处理单元 (2,3) 进行二元化，是为了实。

46、现故障-安全功能的锁步结构的一例，可及早检测出微型计算机1乃至其应用系统的故障。但是，上述的锁步结构当然也会成倍增加硬件规模。 0121 处理单元 (2,3) 的外围电路如具有 SRAM 等的 RAM10 及可电改写的非易失性存储器即闪存 (FLASH)11 等存储设备，且经由内部总线与多个电路模块连接。所述电路模块如具有：可将数字信号转换为模拟信号的 DA 转换电路及将模拟信号转换为数字信号的 AD 转换电路等的模拟电路 (ANLG)13、锁相环电路 (PLL)14、定时器电路 (TMR)15、串行通信电路 (SRLCOM)16、输入输出端口(I/O)17、以及。

47、从设备中断控制器(INTC2)18等。另外，上述外围电路所输出的数据和信号供给二元化后的处理单元 (2,3)，但也可由定位为主要设备的处理设备 2 来将数据及信号供给上述外围电路。 0122 本实施方式中，所述从设备中断控制器18与主设备中断控制器4的中断信号路径级联连接。中断控制器的级联连接是指当主设备中断控制器 4 的中断请求输入引脚数量比应该处理的中断请求数少时，为了扩大中断控制功能而采用的。虽无特别限定，但本实施方式中的从设备中断控制器 18 是由第 1 从设备中断控制器 (INTC2_0)21 和第 2 从设备中断控制器 (INTC2_1)22 构成的。 0123 下面参照图 1 对中断控制器 (4,21,22) 的级联连接的基本结构进行说明。 0124 第 1 从设备中断控制器 21 可从 96 个中断请求输入引脚输入中断请求信号 INT127:32，并根据对于所输入的中断请求信号的接收控制结果，从中断请求输出引脚输出中断信号 IntS1。 0125 第 2 从设备中断控制器 22 可从 128 个中断请求输入引脚输入中断请求信号 INT255:128，并根据所输入的中断请求信号的接收控制结果，从中断请求输出引脚输出中断信号 IntS2。 0126 主设。

展开阅读全文