[Back]


Doctor's Theses (authored and supervised):

T. Kottke:
"Untersuchung von fehlertoleranten Prozessorarchitekturen für sicherheitsrelevante Automobilanwendungen";
Supervisor, Reviewer: A. Steininger, H. Wunderlich; Institut für Technische Informatik, 2005.



English abstract:
In future automobiles, more and more complex microprocessor-based control systems will be
implemented for safety-critical applications, such as antilocking brake systems, electronic stability
program or x-by-wire systems. To meet the high safety requirements of future applications
- as demanded in the European standard EN61508, for instance - in spite of the increasing
rate of transient errors (errors, which are limited in their duration period and cause no physical
defect) that is predicted to result from reduced voltage levels and shrinking feature size, the
microprocessors have to be equipped with powerful mechanisms for error detection and error
handling. Traditional procedures, as for example a self-test by means of software, do not offer
the demanded error coverage with regard to transient and permanent errors. A complete duplication
of the computer with its memory would provide remedy, but is too expensive in this
price-sensitive market.
In this work an analysis of the state of the art with regard to fault tolerant processors is done
first. Most solutions which are used, e.g. by mainframes, in the aerospace and space technology,
or in the automation engineering do not appear to be applicable in the automobile area.
Therefore, the existing processor architectures are further developed for use in the car with regard
to the error detection coverage and costs and also new solutions are elaborated: a generic
dual core system, reconfigurable between the two modes "safety" and "performance", a single
processor with intrinsic error detection mechanisms, and a superscalar processor with intrinsic
error detection mechanisms which is also switchable between the two modes. The new solutions
are examined theoretically with regard to their error detection coverage and predisposition
against common cause faults. Afterwards, a fault injection is executed for validation.
Since the architectures developed here need a safe memory, this point is also considered. A
safe memory, based on a read-back of every memory cell after being written, is proposed, which
makes an on-line monitoring of the memory possible and eliminates the need for a start-up test.
In contrast to previous solutions the implementation of the critical parts of the test hardware is
self-checking. Additionally a new possibility to implement a fault detecting address decoder is
shown, by which permanent as well as transient faults can be detected, demanding only a low
additional chip area.
This work can be summarized as follows: existing architectures are analyzed extensively
concerning their error detection rate and are being further developed. A reconfigurable dual
core system - switchable between two modi - is presented and validated on the basis of an
FPGA implementation. Another topic is a reconfigurable superscalar processor with the two
operation modi "safety" and "performance". Finally, these different architectures are compared
with regard to their failure detection rate, chip area, development costs and performance.

German abstract:
Durch den zunehmenden Einsatz von Elektronik in zuk¨unftigen sicherheitsrelevanten Automobilanwendungen,
wie z.B. X-by-Wire oder Verbundsystemen zur Fahrdynamikregelung und
Fahrzeugf¨uhrung steigen die Anforderungen an die Sicherheit der eingesetzten Hardware. Dem
wird z.B. auch in der Europ¨aischen Norm EN61508 Rechnung getragen. Aufgrund der Fortschritte
in der Halbleitertechnologie werden die Strukturbreiten immer kleiner, wodurch wiederum
eine h¨ohere Rate von transienten Fehlern (Fehler, die keinen physikalischen Defekt
verursachen und nur eine zeitlich begrenzte Auswirkungsdauer haben) zu erwarten ist. Um
dennoch mit zuk¨unftigen Systemen die hohen Sicherheitsanforderungen erf¨ullen zu k¨onnen,
m¨ussen die Prozessoren mit Fehlererkennungsmechanismen ausgestattet werden, die eine sehr
hohe Anzahl an Fehlern entdecken k¨onnen. Bisherige Verfahren, wie z.B. ein Selbsttest mittels
Software, bieten nicht die geforderte Fehlerabdeckung bez¨uglich transienter und permanenter
Fehler. Eine komplette Duplizierung des Rechners mit seinem Speicher w¨urde Abhilfe leisten,
ist jedoch in diesem preissensitiven Markt zu teuer.
In dieser Arbeit erfolgt zun¨achst eine Analyse des Standes der Technik bez¨uglich fehlertoleranter
Rechner. Die meisten L¨osungen, die z.B. bei Großrechnern, in der Luft- und Raumfahrttechnik
oder in der Automatisierungstechnik zum Einsatz kommen, scheinen im Automobilbereich
nicht anwendbar zu sein. Daher werden die bestehenden Prozessorarchitekturen
speziell f¨ur den sp¨ateren Einsatzort des Rechners im Auto bez¨uglich Fehlerentdeckungsrate
und Kosten weiterentwickelt, bzw. neue L¨osungswege aufgezeigt. Es ergeben sich folgende
neue L¨osungsans¨atze: Ein zwischen den beiden Modi
"
Sicherheit" und
"
Performanz" rekonfigurierbares
generisches Zweirechnersystem, ein Rechner mit Eigenfehlererkennung und ein
superskalarer Rechner, der ebenfalls zwischen den beiden Modi umschaltbar ist. Die einzelnen
neu erarbeiteten L¨osungsm¨oglichkeiten werden theoretisch bez¨uglich ihrer Fehlerentdeckungsrate
und Anf¨alligkeit gegen Single Points of Failure und Common Cause Fehler untersucht
und anschließend wird mit einer beispielhaften Prozessorimplementierung eine Fehlerinjektion
zur Validierung durchgef¨uhrt. Schließlich werden diese unterschiedlichen Architekturkonzepte
bez¨uglich ihrer Fehlerentdeckungsrate, ihrem Fl¨achenaufwand, ihrem Entwicklungsaufwand
und ihrer Performanz verglichen.
Da alle hier entwickelten Architekturen einen sicheren Speicher ben¨otigen, wird dieser
ebenfalls betrachtet. Hierbei wird ein Read-Back Algorithmus vorgestellt, der eine online-
U¨ berwachung des Speichers ermo¨glicht und einen Verzicht auf den Start-Up Test erlaubt.
Die Schaltung f¨ur den Speichertest wird im Gegensatz zu bisherigen L¨osungsm¨oglichkeiten
selbsttestend ausgelegt. Bei der Untersuchung des Speichers wird eine neue M¨oglichkeit der
Adressdecoderabsicherung aufgezeigt, durch die bei einem geringeren Fl¨achenmehraufwand
gegen¨uber den bisher bekannten Verfahren sowohl transiente als auch permanente Fehler im
Adressdecoder erkannt werden k¨onnen.
Die Ergebnisse dieser Arbeit lassen sich kurz wie folgt zusammenfassen: Es werden verschiedene
neue Implementierungen f¨ur einen sicheren Prozessor - auch bei Verwendung von
Standardprozessoren - aufgezeigt und mit bestehenden L¨osungen verglichen.


Related Projects:
Project Head Andreas Steininger:
Bosch


Created from the Publication Database of the Vienna University of Technology.