控制計算機(jī)系統(tǒng)、用于控制控制計算機(jī)系統(tǒng)的方法及控制計算機(jī)系統(tǒng)的使用

(19)中華人民共和國國家知識產(chǎn)權(quán)局IIIIIIIIIIIIIIIIII

(12)發(fā)明專利申請

加(10)申請公布號CN102822807A

(43)申請公布日2012.12.12

(21)申請?zhí)?01180015562.8D?鮑邁斯特

(22)申請日2011.03.18(74)專利代理機(jī)構(gòu)北京市中咨律師事務(wù)所

11247

(30)優(yōu)先權(quán)數(shù)據(jù)

代理人張亞非楊曉光

102010003161.52010.03.23DE

102010041890.02010.10.01DE(51)Int.CI.

G06F〃/76(2006.01)

(85)PCT申請進(jìn)入國家階段日

2012.09.24G06F〃/20(2006.01)

(86)PCT申請的申請數(shù)據(jù)

PCT/EP2011/0541442011.03.18

(87)PCT申請的公布數(shù)據(jù)

W02011/117156DE2011.09.29

(71)申請人大陸特韋斯貿(mào)易合伙股份公司及

兩合公司

地址德國法蘭克福

(72)發(fā)明人L?D?卡布萊帕T?埃倫貝格權(quán)利要求書4頁說明書17頁附圖24頁

(54)發(fā)明名稱

控制計算機(jī)系統(tǒng)、用于控制控制計算機(jī)系統(tǒng)

的方法及控制計算機(jī)系統(tǒng)的使用

(57)摘要

本發(fā)明涉及一種控制計算機(jī)系統(tǒng).該控制

計算機(jī)系統(tǒng)包括：至少兩個被配置為相互冗余

的模塊(1001、1002、1003、1004)：至少一個比較

單元(1011、1012),用于監(jiān)視至少兩個冗余模塊

(1001,1002,1003>1004)的同步狀態(tài)以及用于檢

測同步錯誤:至少一個外圍單元(1030、1031、…、

1038)。該控制計算系統(tǒng)還包括至少一個開關(guān)矩

陣(1013),被設(shè)置為允許或阻止訪問所述至少

兩個冗余模塊訪問(1001、1002、1003、1004)或

者所述至少兩個冗余模塊訪問外圍單元(1030、

1031、…、1038)。錯誤處理單元(1080)被設(shè)置為

v接收至少一個比較單元(1011、1012)的信號以及

5驅(qū)動至少一個開關(guān)矩陣(1013),以便可性地完全

容地或選擇性地阻止訪問所述至少兩個冗余模塊或

§者所述至少兩個冗余模塊訪問所述外圍單元。

CN102822807A權(quán)利要求書1/4頁

1.一種控制計算機(jī)系統(tǒng)，包括：

-至少兩個被設(shè)計為相互冗余的模塊（1、2、1001、1002、1003、1004、1021、1071）；

-至少一個比較單元（20、21、91、92、1011、1012）,用于監(jiān)視至少兩個冗余模塊（1、2、

1001、1002、1003、1004、1021、1071）的同步狀態(tài)以及用于檢測同步錯誤；

-至少一個外圍單元（9元96、1022、1030、1031、一、1038）；

-至少一個開關(guān)矩陣（21、1013、1063）,被設(shè)置為允許或阻止訪問所述至少兩個冗余模

塊或者所述至少兩個冗余模塊訪問外圍單元（95、96、1022、1030、1031、~、1038）；以及

-優(yōu)選公共的錯誤處理單元（44、1080）,被設(shè)置為從至少一個比較單元（20、21、91、92、

接收信號以及驅(qū)動至少一個開關(guān)矩陣（1013、1063）,以便完全地或選擇性地阻

止訪問所述至少兩個冗余模塊或者所述至少兩個冗余模塊訪問所述外圍單元。

2.如權(quán)利要求1中所述的控制計算機(jī)系統(tǒng)，其中：

-所述至少兩個冗余模塊為用于同步執(zhí)行控制程序的至少兩個處理器單元（1、2、

1001、1002、1003、1004）；

-所述比較單元（20、21、91、92、1011、1012）用于監(jiān)視處理器單元（1、2、1001、1002、

1003、10（）4）的同步狀態(tài)以及用于檢測所述處理器單元的同步錯誤；

-所述控制計算機(jī)系統(tǒng)包括至少一個存儲器（5、1020、1021）；

-所述至少一個開關(guān)矩陣（21、1013、1063）被設(shè)置為允許或阻止所述處理器單元訪問

存儲器和一個或多個外圍單元；以及

-所述錯誤處理單元（44、1080）被設(shè)置為完全地或選擇性地阻止所述兩個處理器單元

之一或者兩個處理器單元（1、2、1001、1002、1003、1004）訪問存儲器（5、1020、1021）和/或

外圍單元（95、96、1022、1030、1031、…、1038）。

3.如權(quán)利要求2中所述的控制計算機(jī)系統(tǒng),包括至少四個處理器單元。

4.如權(quán)利要求2或3中所述的控制計算機(jī)系統(tǒng)，其中所述處理器單元可以是單處理器、

處理器對中的處理器或雙核或多核處理器的核。

5.如權(quán)利要求4中所述的控制計算機(jī)系統(tǒng)，其具有至少兩個比較單元（1011、1012）,其

中所述錯誤處理單元（1080）被設(shè)置為從至少兩個比較單元（1011、1012）接收信號以及驅(qū)

動至少一個開關(guān)矩陣（1013、1063）,以便完全地或選擇性地阻止處理器或核或處理器對訪

問存儲器（1020、1021）和/或外圍單元（1022、1030、1031、…、1038）。

6.如權(quán)利要求2至5中的一個權(quán)利要求中所述的控制計算機(jī)系統(tǒng),其中當(dāng)錯誤發(fā)生時,

所述錯誤處理單元被設(shè)置為驅(qū)動所述開關(guān)矩陣以阻止至少一個故障處理器對或一個故障

處理器單元訪問外圍單元（1020、1030、1031、…、1038）,特別是致動器。

7.如權(quán)利要求2至6中所述的控制計算機(jī)系統(tǒng),其中外圍單元（1030J031、…、1038）

每次通過至少一個由錯誤處理單元（1080）控制的外圍橋（1022）來訪問。

8.如權(quán)利要求5至7中的一個權(quán)利要求中所述的控制計算機(jī)系統(tǒng)，其中至少兩個比較

單元（1011、1012）直接連接到處理器單元（1、2、1001、1002、1003、1004）,例如處理器對中

的處理器。

9.如權(quán)利要求1至8中的一個權(quán)利要求中所述的控制計算機(jī)系統(tǒng)，其中所述控制計

算機(jī)系統(tǒng)包括至少兩個單獨的開關(guān)矩陣（1013、1063）,其中第一開關(guān)矩陣（1013）與第一外

圍橋（1022）以及至少一個第一存儲器（1021）相連，而第二開關(guān)矩陣（1063）與第二外圍橋

2

CN102822807A權(quán)利要求書2/4頁

（1072）以及至少一個第二存儲器（1071）相連。

10.如權(quán)利要求9中所述的控制計算機(jī)系統(tǒng)，其中所述處理器對中的第--處理器

（1001.1003）與第一開關(guān)矩陣（1013）相連，且所述處理器對中的第二處理器（1002、1004）

與第二開關(guān)矩陣（1063）相連。

11.如權(quán)利要求9或10中所述的控制計算機(jī)系統(tǒng),其中比較單元（1091）比較在第一

開關(guān)矩陣（1013）和第一存儲器（1021）之間傳輸?shù)臄?shù)據(jù)與在第二開關(guān)矩陣（1063）和第二存

儲器（1071）之間傳輸?shù)臄?shù)據(jù)，以及比較單元（1090）比較在第一開關(guān)矩陣（1013）和第一外

圍橋（1022）之間傳輸?shù)臄?shù)據(jù)與在第二開關(guān)矩陣（1063）和第二外圍橋（1072）之間傳輸?shù)臄?shù)

據(jù)。

12.如權(quán)利要求10或II中所述的控制計算機(jī)系統(tǒng)，其中多路復(fù)用器（1171、1172、

1173U174）分別位于處理器對中的處理器（1001、1002、1003、1004）和開關(guān)矩陣分013、

1063）之間，其中所述多路復(fù)用器被連接為使得只要恢復(fù)單元（1080）相應(yīng)地控制多路復(fù)用

器（1171、1172、1173、1174）,處理器對中的第一處理器（10（）1、1003）便可訪問第二開關(guān)矩

陣（1063）并且處理器對中的第二處理器（1002、1104）便可訪問第一開關(guān)矩陣（1013）。

13.如上述權(quán)利要求中的一個權(quán)利要求所述的控制計算機(jī)系統(tǒng),其中至少一個開關(guān)矩

陣（1。3、1063）包括監(jiān)視單元（1014、1064）,所述監(jiān)視單元被設(shè)置為阻止訪問存儲器或外

圍單元，或者將所述訪問記錄在優(yōu)選地為非易失性的外部或內(nèi)部存儲器。

14.如權(quán)利要求2至13中的一個權(quán)利要求中所述的控制計算機(jī)系統(tǒng),其中錯誤處理

單元（1080）在沒有介于其間的開關(guān)矩陣（1013、1063）的情況下，直接從至少兩個比較單元

（1011J012）接收信號。

15.如權(quán)利要求1至14中的一個權(quán)利要求中所述的控制計算機(jī)系統(tǒng)，其中所述控制計

算機(jī)系統(tǒng)包括第一和第二易失性存儲器和一個非易失性存儲器，其中，具體而言，第一處理

器對訪問所述第一易失性存儲器,第二處理器對訪問所述第二易失性存儲器，且這兩個處

理器對訪問所述一個非易失性存儲器。

16.如權(quán)利要求1至15中的一個權(quán)利要求中所述的控制計算機(jī)系統(tǒng)，其中所述處理器

對中的第一處理器（100K1003）與至少一個開關(guān)矩陣（1013）直接相連,也就是說，能對存

儲器（1020、1021）和/或外圍單元（1022、1030、1031、…、1038）具有進(jìn)行讀寫訪問，而處理

器對中的第二處理器（1002,1004）僅能對數(shù)據(jù)進(jìn)行讀訪問，其中，具體而言，與處理器對中

的兩個處理器直接相連的比較單元（1011、1012）將數(shù)據(jù)發(fā)送到相連的處理器對中的第二處

理器（1002、1004）。

17.如權(quán)利要求1至16中的一個權(quán)利要求中所述的控制計算機(jī)系統(tǒng)，其中所述錯誤處

理單元（1080）是恢復(fù)控制單元（44）,其被設(shè)置為在發(fā)生同步錯誤之后，監(jiān)視兩個或更多個

處理器單元（1、2、1001、1002、1003、1004）或兩個冗余模塊對至少一個測試程序的執(zhí)行以及

評估測試結(jié)果，同時還被設(shè)置為配置至少一個第一多路復(fù)用器（70、91）或開關(guān)矩陣（1013、

1063）的。

18.如權(quán)利要求17中所述的控制計算機(jī)系統(tǒng)，其中恢復(fù)控制單元（44）被設(shè)置為將所述

同步錯誤指定到錯誤類型以及根據(jù)所述錯誤類型選擇測試程序。

19.如權(quán)利要求17或18中所述的控制計算機(jī)系統(tǒng)，其中恢復(fù)控制單元（44）被設(shè)置為

根據(jù)所述測試結(jié)果配置第一多路復(fù)用器（70、91）。

3

CN102822807A權(quán)利要求書3/4頁

20.如權(quán)利要求2至19中的?一個權(quán)利要求中所述的控制計算機(jī)系統(tǒng)，其中，第一外圍

單元（72）是可以由兩個處理器單元（1、2）中的一個可選地驅(qū)動的公共單元,并且所述控制

計算機(jī)系統(tǒng)包括至少兩個進(jìn)一步的外圍單元（61、63）,其中兩個外圍單元（61、63）中的一

個僅被指定給第一處理器（1）,兩個外圍單元（61、63）中的另一個僅被指定給第二處理器

（2）,作為只能被分別指定的處理器（1、2）訪問的專用外圍單元。

21.如權(quán)利要求20中所述的控制計算機(jī)系統(tǒng)，其中所述兩個進(jìn)一步的外圍單元（61、

63）為冗余單元。

22.--種用于控制控制計算機(jī)系統(tǒng)的方法，該控制計算機(jī)系統(tǒng)包括至少兩個處理器

對（1001和1002、1003和1004）、至少兩個用于檢測錯誤的比較單元（1011、1012）、至少一

個允許或阻止處理器或處理器對訪問存儲器和/或至少一個外圍單元的開關(guān)矩陣（1013、

1063）、以及至少一個可以控制至少開關(guān)矩陣（1013、1063）的錯誤處理單元（1080）,其中所

述處理器對可以執(zhí)行不同的程序，以便以無錯誤模式提供功能，并且如果發(fā)生錯誤，則無錯

誤處理器對承擔(dān)故障處理器對的至少某些功能。

23.如權(quán)利要求22中所述的方法，其中對于所述控制計算機(jī)系統(tǒng)驅(qū)動的裝置的安全關(guān)

鍵的功能獨立于錯誤的發(fā)生執(zhí)行。

24.如權(quán)利要求22或23中所述的方法，其中當(dāng)錯誤發(fā)生時，非安全關(guān)鍵功能至少部分

地不再提供。

25.如權(quán)利要求22至24中的一個權(quán)利要求中所述的方法，其中當(dāng)錯誤發(fā)生時，阻止故

障處理器或處理器對訪問所述外圍單元。

26.如權(quán)利要求22至25中的一個權(quán)利要求中所述的方法,其中在錯誤發(fā)生之后，所述

故障處理器對執(zhí)行診斷程序。

27.如權(quán)利要求26中所述的方法，其中對已發(fā)生的錯誤進(jìn)行分類，其中至少在臨時錯

誤和永久錯誤之間做出區(qū)分。

28.如權(quán)利要求27中所述的方法，其中所述故障處理器對在發(fā)生永久錯誤之后永久

停用。

29.如權(quán)利要求27或28中所述的方法，其中當(dāng)所述故障處理器對運(yùn)行完診斷程序，而

沒有檢測到永久錯誤時，所述兩個處理器對可以再次執(zhí)行不同的程序。

30.如權(quán)利要求22至29中的一個權(quán)利要求中所述的方法,其中所述錯誤處理單元在非

易失性存儲器中記錄錯誤的發(fā)生。

31.如權(quán)利要求30中所述的方法，其中如果已發(fā)生的錯誤數(shù)和/或錯誤頻率超過預(yù)定

閾值，則處理器對永久停用。

32.在機(jī)動車輛中使用如上述權(quán)利要求之一中所述的控制計算機(jī)系統(tǒng),特別是為了控

制或調(diào)節(jié)剎車系統(tǒng)。

33.一種用于控制控制計算機(jī)系統(tǒng)的方法,包括：

-提供具有以下部件的控制系統(tǒng)：

-至少兩個處理器對，每個對具有至少兩個處理器（1001和1002、1003和1004）,

-至少一個用于檢測錯誤和用于監(jiān)視每個處理器對中的處理器（1001和1002、1003和

1004）的同步的比較單元（1011、1012）,

-至少一個允許或阻止所述處理器對中的處理器訪問存儲器和/或一個或多個外圍單

4

CN102822807A權(quán)利要求書4/4頁

元的開關(guān)矩陣（1013、1063）,以及

-至少一個用于驅(qū)動開關(guān)矩陣（10133063）的錯誤處理單元（1080）；

-在一處理器對上同步執(zhí)行至少一個第一安全相關(guān)軟件程序以及在另一處理器對上同

步執(zhí)行至少一個第二安全相關(guān)軟件程序，以便驅(qū)動一個或多個外圍單元和/或存儲器：

-通過比較單元（1011、1012）監(jiān)視每個處理器對中的處理器（1001和1002、1003和

1004）的同步以及當(dāng)處理器對中的兩個處理器（1001和1002、10（）3和1004）失同步時，通過

比較單元（1011、1012）輸出同步錯誤信號；以及

-如果已輸出所述同步錯誤信號：

-中斷所述處理器對所述第一安全相關(guān)軟件程序和所述第二安全相關(guān)軟件程序的執(zhí)

行，

-執(zhí)行測試以檢查所述兩個處理器對之一是否發(fā)生故障，以及

-如果所述兩個處理器對之一發(fā)生故障，則在無錯誤處理器對上執(zhí)行所述第一安全相

關(guān)軟件程序和所述第二安全相關(guān)軟件程序，并且通過錯誤處理單元（1080）驅(qū)動開關(guān)矩陣

（1013、1063）,以便如果在該處理器對中只有一個處理器發(fā)生故障時，阻止故障處理器對或

處理器訪問存儲器和/或一個或多個外圍單元。

34.如權(quán)利要求33中所述的方法，其中所述測試包括兩個處理器對同時執(zhí)行至少一

個測試程序，其中當(dāng)滿足以下至少一個條件時，將所述處理器對中的一處理器視為發(fā)生故

障：

-所述處理器未在第一時間段T1內(nèi)執(zhí)行測試程序，

-所述處理器未成功執(zhí)行測試程序，

-經(jīng)過第一時間段T1之后,所述處理器未更改為靜止?fàn)顟B(tài)第二時間段T2o

35.如權(quán)利要求33或34中所述的方法，其中評估所述同步錯誤并將其指定到錯誤類

型，其中根據(jù)所述錯誤類型選擇至少一個測試程序以便檢杳處理器。

5

CN102822807A說明書1/17頁

控制計算機(jī)系統(tǒng)、用于控制控制計算機(jī)系統(tǒng)的方法及控制

計算機(jī)系統(tǒng)的使用

技術(shù)領(lǐng)域

[0001]本發(fā)明涉及冗余處理器控制器和控制方法。更具體地說，本發(fā)明涉及冗余雙處理

器控制器和多核冗余控制計算機(jī)系統(tǒng)。

背景技術(shù)

[0002]已知的做法是使兩個處理器以鎖步（lockstep）模式執(zhí)行相同的指令并通過比較

輸出數(shù)據(jù)來判定是否發(fā)生錯誤。在這種情況下，兩個處理器可通過時鐘同步的方式運(yùn)行或

以一定的時間偏移（在比較期間相應(yīng)地被補(bǔ)償）運(yùn)行。在這種情況下，可能發(fā)生例如由制造

期間引入的故障造成的永久錯誤和例如由臨時電磁干擾造成的臨時錯誤。如果發(fā)生鎖步錯

誤，程序執(zhí)行會被中斷，在最簡單的情況下，計算機(jī)系統(tǒng)會被停用，因此，這種情況下,來自

兩個處理器的輸出數(shù)據(jù)相互不同。

[0003]但是，對于雙冗余處理器而言,提供計算機(jī)系統(tǒng)在發(fā)生錯誤時得以繼續(xù)執(zhí)行所需

程序的容錯尤其具有挑戰(zhàn)性。已有人嘗試在只有兩個冗余處理器的安全平臺中幫助實現(xiàn)

容錯能力。US5915082B2公開了其中為內(nèi)部總線提供被比較的奇偶校驗位的系統(tǒng)體系結(jié)

構(gòu)。在一端檢測到奇偶校驗錯誤之后，會斷開相關(guān)處理器，從而其不再對系統(tǒng)有任何影響。

每次在沒有奇偶校驗錯誤的情況下發(fā)生鎖步錯誤之后，系統(tǒng)便會關(guān)閉。這種基于奇偶性檢

查的過程沒有充分涵蓋其中即使在出現(xiàn)鎖步錯誤之后,也非常需要冗余系統(tǒng)的可用性的情

況。如果兩個內(nèi)部冗余單元同時顯示不同的多位錯誤時，奇偶性檢查可以導(dǎo)致例如不正確

的決定。

[0004]進(jìn)一步已知的容錯系統(tǒng)體系結(jié)構(gòu)包括至少三個具有共享或共用內(nèi)存的處理器核。

在這種情況下，總是通過監(jiān)視總線信號來檢查處理器的鎖步模式。鎖步模式在下文中也被

稱為處理器同步執(zhí)行程序或程序部分。

[0005]如果活動處理器失敗，則活動處理器通過輸入/輸出通道驅(qū)動的存儲區(qū)和組件的

所有權(quán)移交給另一處理器。在鎖步錯誤之后的鎖步錯誤狀態(tài)（同步錯誤）中，數(shù)據(jù)訪問和控

制進(jìn)程從活動處理器中移除并由另一處理器維護(hù)。

[0006]包括處理器的三重冗余（TMR:三模塊冗余）和一個共用存儲器的容錯系統(tǒng)的經(jīng)典

最低配置對于許多安全體系結(jié)構(gòu)而言仍然非常昂貴，所述安全體系結(jié)構(gòu)的安全概念基于使

用以鎖步或同步方式運(yùn)行的兩個冗余處理器。但是，容錯能力對于帶有雙冗余的處理器而

言尤其具有挑戰(zhàn)性。

[0007]US7366948B2和US2006/0107106描述了用于幫助實現(xiàn)由多個在鎖步模式中運(yùn)

行的處理器對組成的系統(tǒng)中的可用性的方法。兩個冗余處理器在每個對中進(jìn)行組合，并且

它們的輸出不斷進(jìn)行比較。如果在一個處理器對中發(fā)生錯誤,則另一處理器對將作為引導(dǎo)

處理器對承擔(dān)驅(qū)動系統(tǒng)的任務(wù)。同時，出現(xiàn)錯誤的處理器對將嘗試恢復(fù)同步并使其可用作

備用處理器對。這樣確保系統(tǒng)的高度可用性。然而，此方法對于許多嵌入式系統(tǒng)而言成本太

高，因為當(dāng)不存在錯誤時,不使用一個處理器對，因此此方法提供的成本/性能比太差。被

6

CN102822807A說明書2/17頁

分為兩對并且輸出信號被比較的四個處理器必須始終被用于單個任務(wù)。如果在一處理器對

中檢測到鎖步錯誤（LOL：鎖步丟失）或另一-處理器內(nèi)部錯誤，操作系統(tǒng)便會將故障處理器對

更改為靜止（quiescent）狀態(tài)并激活另一處理器對。

[0008]EP1380953B1定義了具有鎖步同步功能的容錯計算機(jī)系統(tǒng)，所述系統(tǒng)包含多個

帶有處理器和存儲器的計算模塊，并描述了一種用于再同步所述系統(tǒng)的方法。由于每個計

算模塊同步處理相同的指令串，因此該計算機(jī)系統(tǒng)并非很有效率。

[0009]EP1456720B1公開了用于包括兩個或更多個控制計算機(jī)系統(tǒng)的機(jī)動車輛中安全

關(guān)鍵應(yīng)用的計算機(jī)組，每個控制計算機(jī)系統(tǒng)包括兩個控制計算機(jī)，所述控制計算機(jī)以時鐘

同步方式運(yùn)行，并且具有在芯片上集成的部分或完全冗余的外圍組件以及部分或完全冗余

的存儲元件。以時鐘同步方式運(yùn)行的控制計算機(jī)系統(tǒng)的控制計算機(jī)與仲裁單元相連，所述

仲裁單元監(jiān)視這些計算機(jī)是否出現(xiàn)錯誤并且可以將指定給控制計算機(jī)系統(tǒng)的通信控制器

連接到車輛數(shù)據(jù)總線，或者可以分離所述控制器。如果其中一個控制計算機(jī)出現(xiàn)故障，則對

應(yīng)的控制計算機(jī)系統(tǒng)部分地或完全地停用。

[0010]DE102009000045A1公開了一種用于操作包含計算機(jī)系統(tǒng)的控制設(shè)備的裝

置,所述計算機(jī)系統(tǒng)包括兩對執(zhí)行單元，每對執(zhí)行單元包含兩個執(zhí)行單元，并且具體而言,

所述控制設(shè)備在機(jī)動車輛中使用。每對中的執(zhí)行單元執(zhí)行相同的程序，并且每個執(zhí)行單元

的輸出信號由相應(yīng)的比較單元相互比較，并且如有不一致，則輸出錯誤信號。如果針對第一

對執(zhí)行單元出現(xiàn)錯誤信號，則關(guān)閉該對，并且計算機(jī)系統(tǒng)繼續(xù)使用第二對執(zhí)行單元運(yùn)行，并

且預(yù)先警告信號被輸出到驅(qū)動器。

[0011]所述文檔的缺點是必須提供高度冗余，因為當(dāng)沒有錯誤時，至少一個處理器對不

活動或者執(zhí)行與驅(qū)動外圍單元的活動處理器對相同的程序。因此，每個單獨的處理器必須

提供全部所需的計算能力，其結(jié)果是已知的計算機(jī)系統(tǒng)不能以非常高效的方式運(yùn)行。從成

本角度來講，這種情況是不合需要的，尤其是對于大批量生產(chǎn)的系統(tǒng)。

[0012]US7366948B2中描述的方法對于嵌入式系統(tǒng)而言是成本非常高的解決方案。另

一個事實是，除了處理器核之外，其他組件不能總是以冗余方式實現(xiàn)。在設(shè)計用于不同安全

相關(guān)系統(tǒng)（例如，汽車行業(yè)中的剎車應(yīng)用）的安全體系結(jié)構(gòu)時，財務(wù)原因通常起著重要作用。

程序存儲器，例如閃存，不是冗余的，但是由所有現(xiàn)有處理器使用。傳統(tǒng)方法在確?；谌?/p>

余處理器的安全體系結(jié)構(gòu)中的可用性的方法中不會考慮非冗余組件的這種邊界條件。有關(guān)

確保安全體系結(jié)構(gòu)中的處理器可用性的另一問題是只能在成功完成安全檢查之后才能再

次啟動之前失敗的處理器。

[0013]在此背景之下，需要僅有兩個冗余處理器并且允許實現(xiàn)系統(tǒng)的高度可用性的安全

體系結(jié)構(gòu)。另外還需要具有三個或更多處理器（例如兩個處理器，每個帶有兩個核）并允許

實現(xiàn)系統(tǒng)的高度可用性的安全體系結(jié)構(gòu)。

發(fā)明內(nèi)容

[0014]根據(jù)一個方面，本發(fā)明的目標(biāo)是提供同時容錯和高效的控制計算機(jī)系統(tǒng)。

[0015]根據(jù)一個實施例,基于冗余處理器核對的安全體系結(jié)構(gòu)旨在被配置以保留現(xiàn)有安

全級別，同時實現(xiàn)系統(tǒng)的高級別可用性。此外，處理器旨在在正常（或無錯誤）模式下提供高

級別性能。檢測到錯誤之后，旨在在考慮非冗余組件的安全連接的情況下維持系統(tǒng)的可用

7

CN102822807A說明書3/17頁

性。

[0016]在此背景下，提供了如權(quán)利要求1中所述的控制計算機(jī)系統(tǒng)。同時還提供了雙處

理器控制設(shè)備。還提供了如權(quán)利要求22或33中所述的用于控制控制計算機(jī)系統(tǒng)的方法。

還提供了如權(quán)利要求32中所述的控制計算機(jī)系統(tǒng)的使用。

[0017]一個實施例提供了一種控制計算機(jī)系統(tǒng)。所述控制計算機(jī)系統(tǒng)包括至少兩個被設(shè)

計為相互冗余的模塊；至少一個用于監(jiān)視所述至少兩個冗余模塊的同步狀態(tài)以及用于檢測

同步錯誤的比較單元；至少一個外圍單元；至少一個被設(shè)置為允許或阻止對所述至少兩個

冗余模塊的訪問或由所述至少兩個冗余模塊對外圍單元的訪問的開關(guān)矩陣。所述控制計算

機(jī)系統(tǒng)還包括被設(shè)置為從所述至少一個比較單元接收信號以及驅(qū)動所述至少一個開關(guān)矩

陣，以便完全地或選擇性地阻止對所述至少兩個冗余模塊的訪問或由所述至少兩個冗余模

塊對所述外圍單元的訪問的錯誤處理單元。

[0018]當(dāng)發(fā)生錯誤時，所述錯誤處理單元驅(qū)動的開關(guān)矩陣便會阻止對故障模塊的訪問或

者故障模塊對外圍單元的訪問。根據(jù)一個實施例，所述錯誤處理單元啟動和監(jiān)視用于檢查

冗余模塊中是否有錯誤的一個或多個測試，并且如果檢測到錯誤，便會控制所述開關(guān)矩陣,

具體而言,使得不再為安全相關(guān)應(yīng)用考慮故障模塊。

[0019]根據(jù)一個實施例,所述至少兩個冗余模塊是至少兩個用于同步執(zhí)行控制程序的處

理器單元或其他單元，例如冗余設(shè)計的存儲器模塊。

[0020]根據(jù)一個實施例，所述控制計算機(jī)系統(tǒng)包括至少四個處理器單元，其中所述處理

器單元可以是單處理器、處理器對中的處理器或雙核或多核處理器中的核。

[0021]根據(jù)一個實施例,基于冗余處理器核對的安全體系結(jié)構(gòu)被修改以使得故障處理器

對、具有至少兩個處理器核的處理器的單獨的故障處理器核和/或故障組件不能驅(qū)動現(xiàn)有

的致動器，因為在檢測到錯誤之后，一獨立模塊阻止故障處理器對對安全相關(guān)的外圍單元

的任何訪問。無錯誤處理器對或處理器核或故障組件將離開正常模式，以便確保應(yīng)急模式。

在應(yīng)急模式中，每個無錯誤處理器對/處理器核在必要時承擔(dān)故障處理器對/處理器核的

某些任務(wù)，并且還執(zhí)行其原始任務(wù)的產(chǎn)集。對于每個處理器對/處理器核，在后者上運(yùn)行的

軟件程序被分為兩組。一組軟件程序旨在能夠在既正常模式中也在應(yīng)急模式中運(yùn)行，而另

一組軟件程序在應(yīng)急模式中關(guān)閉。因此,無錯誤處理器對/處理器核能夠在應(yīng)急模式中承

擔(dān)附加任務(wù)。每個軟件組件針對應(yīng)急模式被劃分為適當(dāng)?shù)幕蚍沁m當(dāng)?shù)囊约?或者非必要的

或必要的。如果處理器對/處理器核發(fā)生故障，則對于應(yīng)急模式而言必要的任務(wù)由無錯誤

處理器對/處理器核來承擔(dān)。

[0022]在本發(fā)明的一個優(yōu)選實施例中，目標(biāo)是恢復(fù)安全體系結(jié)構(gòu)的正常模式，正是基于

此原因才對故障處理器對/處理器核執(zhí)行若干檢查測試。在執(zhí)行這些測試時，該處理器對/

處理器核將存儲各種結(jié)果，所述結(jié)果旨在對應(yīng)于已執(zhí)行算法的先前已知結(jié)果。在這種情況

下，一獨立硬件模塊檢查結(jié)果的正確性。在成功測試恢復(fù)條件之后，所有處理器對/處理器

核返回到正常模式。

[0023]由于根據(jù)本發(fā)明的控制計算機(jī)系統(tǒng)可以阻止故障處理器對/處理器核訪問外圍

單元,因此,阻止了由故障處理器對/處理器核驅(qū)動致動器所導(dǎo)致的損害。

[0024]當(dāng)沒有錯誤時，根據(jù)本發(fā)明的控制計算機(jī)系統(tǒng)的單獨處理器對或處理器核可以執(zhí)

行不同的程序，從而提供了高計算能力。如果發(fā)生錯誤，則由無錯誤處理器對或無錯誤處理

8

CN102822807A說明書4/17頁

器核承擔(dān)故障處理器對/處理器核的關(guān)鍵功能,而某些非關(guān)鍵功能不再可用。此應(yīng)急模式

允許根據(jù)本發(fā)明的控制計算機(jī)系統(tǒng)的高度容錯。

[0025]本發(fā)明還涉及在機(jī)動車輛中使用根據(jù)本發(fā)明的控制計算機(jī)系統(tǒng)，具體地以便控制

或調(diào)節(jié)剎車系統(tǒng)。

[0026]根據(jù)一個或多個實施例,例如采取冗余雙處理器控制設(shè)備形式的控制計算機(jī)系統(tǒng)

包括用于同步執(zhí)行控制程序的第一處理器（或處理器的第一核）和第二處理器（或處理器的

第二核）、至少一個選擇性地將至少一個要被驅(qū)動的第一外圍單元連接到兩個處理器之

的第一多路復(fù)用器，以及至少一個用尸監(jiān)視所述兩個處理器的同步狀態(tài)和用「檢測同步錯

誤的第一比較單元（比較器）。所述控制計算機(jī)系統(tǒng)（控制設(shè)備）還包括恢復(fù)控制單元（在某

些實施例中也稱為SAM模塊），所述恢復(fù)控制單元被設(shè)置為在同步錯誤發(fā)生之后監(jiān)視所述兩

個處理器對至少一個測試程序的執(zhí)行并評估測試結(jié)果，同時還被設(shè)置為配置至少第一多路

復(fù)用器。

[0027]所述比較單元監(jiān)視所述處理器的同步操作，也就是說鎖步。這可以通過“逐行”比

較控制程序的執(zhí)行來實現(xiàn)，在這種情況下,相同的結(jié)果必須在相同的時間出現(xiàn)。如果情況并

非如此,則出現(xiàn)鎖步錯誤,也就是說，處理器不再同步運(yùn)行。

[0028]控制程序的同步執(zhí)行是冗余系統(tǒng)的一個重要特征，因為它可用于檢查當(dāng)前活動的

處理器是否在沒有錯誤的情況下運(yùn)行，在這種情況下,假設(shè)兩個處理器中的相同錯誤的同

時發(fā)生在統(tǒng)計學(xué)上而言是非常不可能的。但是，如果發(fā)生同步錯誤，則最初不清楚所述錯誤

發(fā)生在活動處理器（核）上還是被動處理器（核）上。在這種情況下，主動處理器（核）旨在被理

解為意味著實際驅(qū)動外圍單元的處理器。被動處理器（核）是指僅附隨地（concomitantly）

同步運(yùn)行的處理器，也就是說,接收與主動處理器相同的數(shù)據(jù)并執(zhí)行相同的程序步驟。

[0029]如果發(fā)生同步錯誤，則不再確?？刂票徽_地執(zhí)行，也就是說，存在風(fēng)險，尤其是

在例如汽車行'也或在其他行業(yè)中所使用的安全相關(guān)系統(tǒng)中。諸如圖7和8中所示的控制系

統(tǒng)之類的控制系統(tǒng)通常必須完全關(guān)閉。

[0030]這里所提出的解決方案提供了恢復(fù)控制單元（獨立硬件模塊），該單元使得兩個處

理器（核）在發(fā)生同步錯誤時接受測試，從而判定其中哪個處理器出現(xiàn)故障。執(zhí)行測試并評

估測試結(jié)果之后，恢復(fù)控制單元決定后續(xù)過程。

[0031]如果兩個處理器均通過測試,則認(rèn)定這兩個處理器均無錯誤。在這種情況下，繼續(xù)

控制程序的同步執(zhí)行。

[0032]該解決方案具有決定性優(yōu)勢，即繼續(xù)驅(qū)動外圍單元，面同時保持高安全級別，因為

兩個處理器已經(jīng)過用于表明無錯誤的測試。該解決方案與其他解決方案相比具有決定性優(yōu)

勢，在所述其他解決方案中，原則上，當(dāng)發(fā)生同步錯誤（鎖步錯誤）之后執(zhí)行完全關(guān)閉，并且

系統(tǒng)只能從外部再次重置。在這種情況下，必須知道僅僅重置系統(tǒng)對于安全相關(guān)應(yīng)用而言

通常不是一項令人滿意的解決方案，因為未執(zhí)行任何錯誤評估，也就是說，仍未確定導(dǎo)致同

步錯誤的原因。因此,這里所描述的解決方案提供了一利處理同步借誤的方式，并且允許在

發(fā)生鎖步錯誤之后恢復(fù)兩個冗余系統(tǒng)的同步。

[0033]相反，如果認(rèn)定處理器（核）發(fā)生故障,則所述恢復(fù)控制單元（SAM模塊）會重新配置

控制設(shè)備（控制計算機(jī)系統(tǒng)），確切地講,其重新配置方式使得從那以后忽略故障處理器的

輸出，并確保外圍單元于是只能由無錯誤處理器而非故障處理器驅(qū)動。這通常是通過重新

9

CN102822807A說明書5/17頁

配置第一多路復(fù)用器來實現(xiàn)的，其結(jié)果是數(shù)據(jù)流僅在外圍單元和無錯誤處理器之間才是可

能的。此外，重新配置導(dǎo)致比較單元不再執(zhí)行任何監(jiān)視。

[0034]該解決方案具有決定性優(yōu)勢，即可以繼續(xù)驅(qū)動外圍單元，即使現(xiàn)在這是在處理器

端沒有冗余的情況下實現(xiàn)的。與在發(fā)生同步錯誤（鎖步錯誤）時完全關(guān)閉控制的已知解決方

案相比,這是一種巨大的優(yōu)勢。所提出的解決方案增強(qiáng)了系統(tǒng)可用性,這對于關(guān)鍵應(yīng)用程序

而言尤其重要，從而可以繼續(xù)維持對系統(tǒng)的控制。但是，控制設(shè)備可以發(fā)出錯誤信號以便指

示目前存在的“單處理器操作”,從而可以執(zhí)行維護(hù)。

[0035]這里所提出的并且具有用于控制同步錯誤的裝置的冗余控制裝置可以在任何所

需的安全相關(guān)系統(tǒng)中使用。汽車行業(yè)中的剎車應(yīng)用是一個例子。在這種情況下，僅基于兩

個冗余處理器的控制裝置被配置為使其保持現(xiàn)有安全級別并允許系統(tǒng)的高度可用性。

[0036]原則上，要驅(qū)動的外圍單元可被理解為意味著由相應(yīng)處理器訪問的任何單元。例

子有存儲器、致動器、輸入/輸出單元和傳感器。

[0037]根據(jù)一個或多個實施例,所述恢復(fù)控制單元被設(shè)置為將同步錯誤指定到錯誤類型

和根據(jù)所述錯誤類型選擇測試程序。對已發(fā)生的錯誤進(jìn)行分析以便找出可能發(fā)生錯誤的地

方或哪個組件造成錯誤。然后據(jù)此選擇適當(dāng)?shù)臏y試程序，在這種情況卜.，例如在所述恢復(fù)控

制單元中提前存儲測試程序和預(yù)期測試結(jié)果。如果在不同的存儲器地址中呈現(xiàn)了錯誤（也

就是說，兩個處理器輸出之間的差異），則可以選擇例如可用于檢測存儲器錯誤的測試程

序。此方法改善了錯誤定位。

[0038]根據(jù)一個或多個實施例，所述恢復(fù)控制單元（SAM模塊）被設(shè)置為根據(jù)測試結(jié)果配

置第一多路復(fù)用器。所述多路復(fù)用器（以及一般地，控制設(shè)備）因此根據(jù)測試結(jié)果進(jìn)行配置。

所述多路復(fù)用器的功能可能由總線矩陣承擔(dān)。

[0039]根據(jù)一個或多個實施例,所述控制設(shè)備還具有至少一個用于可選地將至少一個要

被驅(qū)動的第二外圍單元連接到兩個處理器之一-的第二多路復(fù)用器，其中所述第二多路復(fù)用

器可由所述恢復(fù)控制單元進(jìn)行配置。因此，所述控制裝置使得能夠在考慮安全方面的同時

可選地驅(qū)動多個外圍單元。

[0040]根據(jù)一個或多個實施例,所述控制設(shè)備還具有至少一個用于監(jiān)視所述兩個處理器

的同步狀態(tài)和用于檢測同步錯誤的第二比較單元（比較器）。這樣允許進(jìn)行相互監(jiān)視，從而

增加系統(tǒng)可靠度。

[0041]根據(jù)一個或多個實施例，所述控制設(shè)備具有將所述第一-處理器連接到所述第一多

路復(fù)用器的第一總線矩陣，以及將所述第二處理器連接到所述第二多路復(fù)用器的第二總線

矩陣。

[0042]根據(jù)一個或多個實施例,所述第一外圍單元為可以可選地地由所述兩個處理器之

一驅(qū)動的公共單元。根據(jù)一個實施例,所述控制裝置還具有至少兩個進(jìn)一步的外圍單元，其

中所述兩個外圍單元中的一個僅被指定給所述第一處理器，所述兩個外圍單元中的另一個

僅被指定給所述第二處理器，作為只能被分別指定的處理器訪問的專用外圍單元。在這種

情況下，公共外圍單元或組件被理解為意味著以冗余方式驅(qū)動的單元，也就是說，由所述兩

個處理器之一可選地實現(xiàn)驅(qū)動，在這種情況下，另一處理器用于進(jìn)行比較。與之相對，專用

單元在每種情況下僅由所述兩個處理器之一驅(qū)動。相應(yīng)的其他處理器不能訪問此單元，甚

至不能通過多路復(fù)用器訪問。這里提供的解決方案允許恢復(fù)兩個冗余處理器之間的同步,

10

CN102822807A說明書6/17頁

即使考慮到因成本原因通常在各種嵌入式系統(tǒng)中實現(xiàn)的非冗余組件時也是如此。

[0043]根據(jù)一個或多個實施例，所述兩個進(jìn)一步的外圍單元為冗余單元，也就是說，它們

在物理上相同并用于執(zhí)行相同功能。

[0044]根據(jù)一個或多個實施例,所述第一和/或第二比較單元被配置為在發(fā)生同步錯誤

時產(chǎn)生同步錯誤信號。所述同步錯誤信號例如可以是中斷。

[0045]一個實施例提供一種例如采取冗余雙處理器控制設(shè)備形式的控制計算機(jī)系統(tǒng)。所

述控制計算機(jī)系統(tǒng)包括：用于同步執(zhí)行控制程序的第一-處理器和第二處理器；至少一個用

于可選地將公共第一外圍單元連接到所述兩個處理器之■-的第-多路復(fù)用器；至少兩個進(jìn)

一步的外圍單元，其中所述兩個外圍單元中的一個僅被指定給所述第一處理器，所述兩個

外圍單元中的另一個僅被指定給所述第二處理器，作為只能被分別指定的處理器訪問的專

用外圍單元；至少一個用于監(jiān)視所述兩個處理器的同步狀態(tài)和用于在所述兩個處理器失同

步(desynchronize)時，檢測同步錯誤的第一比較單元；被設(shè)置為監(jiān)視在同步錯誤發(fā)生之

后由所述兩個處理器對至少一個測試程序的執(zhí)行和評估測試結(jié)果，以及被設(shè)置為根據(jù)所述

測試結(jié)果配置所述第一多路復(fù)用器的恢復(fù)控制單元。

[0046]根據(jù)一個實施例，所述控制計算機(jī)系統(tǒng)還包括：將所述第一處理器連接到所述第

一多路復(fù)用器的第一總線矩陣；將所述第二處理器連接到所述第一多路復(fù)用器的第二總線

矩陣。

[0047]一個實施例提供一種例如采取冗余雙處理器控制設(shè)備形式的控制計算機(jī)系統(tǒng)，包

括：用于同步執(zhí)行控制程序的第一處理器和第二處理器；至少一個第一和一個第二外圍單

元；至少一個用于可選地將所述第一外圍單元連接到所述兩個處理器之一的第一多路復(fù)用

器；至少一個用于可選的將所述第二外圍單元連接到所述兩個處理器之一的第二多路復(fù)用

器；至少一個第一和一個第二比較單元，用于分別監(jiān)視所述兩個處理器的同步狀態(tài)和用于

檢測同步錯誤；被設(shè)置為監(jiān)視在同步錯誤發(fā)生之后由所述兩個處理器對至少一個測試程序

的執(zhí)行和評估測試結(jié)果，以及被設(shè)置為根據(jù)所述測試結(jié)果配置所述第一和第二多路復(fù)用器

的恢復(fù)控制單元。

[0048]根據(jù)一個實施例，例如采取冗余雙處理器控制設(shè)備形式的控制計算機(jī)系統(tǒng)還包

括：將所述第一處理器連接到所述第一多路復(fù)用器的第一總線矩陣：將所述第二處理器連

接到所述第二多路復(fù)用器的第二總線矩陣。

[0049]一個或多個實施例提供了一種控制方法。所述控制方法包括由第一處理器和第二

處理器同步執(zhí)行控制程序，所述第一-處理器和第二處理器通過多路復(fù)用器連接到至少一個

要被驅(qū)動的外圍單元，在特定時刻，所述兩個處理器中的僅一個驅(qū)動所述外圍單元。所述控

制程序的同步執(zhí)行由比較單元進(jìn)行監(jiān)視。當(dāng)兩個處理器失同步時，便會輸出同步錯誤信號。

在輸出同步錯誤信號之后，首先中斷兩個處理器對捽制程序的執(zhí)行。然后執(zhí)行測試以檢查

所述兩個處理器之一是否發(fā)生故障。如果兩個處理器均無錯誤，則繼續(xù)由所述兩個處理器

同步執(zhí)行控制程序。相反，如果所述兩個處理器之一-被確定發(fā)生故障,則配置多路更用器和

比較單元，以使得不進(jìn)一步與故障處理器進(jìn)行通信，比較單元不進(jìn)一步執(zhí)行監(jiān)視，以及無錯

誤處理器驅(qū)動外圍單元。所述控制程序的執(zhí)行由無錯誤處理器繼續(xù)。如果兩個處理器都發(fā)

生故障，則關(guān)閉控制器。

[0050]根據(jù)一個或多個實施例,所述測試包括由所述兩個處理器同時執(zhí)行至少一個測試

11

CN102822807A說明書7/17頁

程序，當(dāng)滿足以下至少一個條件時，認(rèn)定所考慮的處理器發(fā)生故障：

[0051]-所述處理器在第一時間段T1內(nèi)未執(zhí)行測試程序，

[0052]-所述處理器未成功執(zhí)行測試程序，

[0053]-經(jīng)過第一時間段T1之后,所述處理器未在第二時間段T2內(nèi)更改為靜止?fàn)顟B(tài)。

[0054]這旨在確保不僅考慮正確的或不正確的執(zhí)行，而且也考慮處理器是否在預(yù)定時間

內(nèi)執(zhí)行了測試。檢查靜止?fàn)顟B(tài)用于判定處理器是否在不執(zhí)行任何指令時仍然輸出數(shù)據(jù)。這

同樣指示故障處理器。

[0055]根據(jù)一個或多個實施例，評估同步錯誤并將其指定到錯誤類型，其中至少一個測

試程序根據(jù)所述錯誤類型進(jìn)行選擇，以便檢查處理器。這樣便可能選擇一個、或者可能多個

錯誤特定的測試程序。

附圖說明

[0056]在下面的描述、附圖和權(quán)利要求中描述了進(jìn)一步的實施例、修改和優(yōu)勢?，F(xiàn)在使用

附圖中示出的特定示例性實施例描述本發(fā)明。但是，所述實施例不應(yīng)被理解為限制性的。通

過下面的描述，本領(lǐng)域的技術(shù)人員將理解旨在附隨地包括在保護(hù)范圍內(nèi)的進(jìn)一步的修改。

[0057]圖1示出根據(jù)一個實施例的正常模式中的采取控制裝置形式的控制計算機(jī)系統(tǒng),

圖2示出當(dāng)一個處理器失敗時的控制計算機(jī)系統(tǒng)（控制裝置）。

[0058]圖3示出根據(jù)一個實施例采取控制裝置形式的控制計算機(jī)系統(tǒng)。

[0059]圖4示出根據(jù)一個實施例采取控制裝置形式的控制計算機(jī)系統(tǒng)。

[0060]圖5示出根據(jù)一個實施例采取控制裝置形式的控制計算機(jī)系統(tǒng)。

[0061]圖6示出根據(jù)一個實施例的控制程序的序列。

[0062]圖7示出具有兩個處理器的體系結(jié)構(gòu)。

[0063]圖8示出體系結(jié)構(gòu)，其中將外圍模塊分為兩組A和B?

[0064]圖9示出控制計算機(jī)系統(tǒng)。

[0065]圖10示出根據(jù)一個實施例的控制計算機(jī)系統(tǒng)。

[0066]圖11示出根據(jù)一個實施例的錯誤處理方法的流程圖。

[0067]圖12示出進(jìn)一步的控制計算機(jī)系統(tǒng)。

[0068]圖13示出根據(jù)一個實施例的控制計算機(jī)系統(tǒng)。

[0069]圖14示出根據(jù)木發(fā)明采取圖13的體系結(jié)構(gòu)的控制計算機(jī)系統(tǒng),其中處理器核2B

在恢復(fù)之后關(guān)閉。

[0070]圖15示出根據(jù)本發(fā)明采取圖13的體系結(jié)構(gòu)的控制計算機(jī)系統(tǒng),其中處理器核1A

和2B在恢復(fù)之后關(guān)閉。

[0071]圖16示出根據(jù)本發(fā)明采取圖13的體系結(jié)構(gòu)的控制計算機(jī)系統(tǒng),其中處理器核IB

和2B在恢復(fù)之后關(guān)閉。

[0072]圖17示出根據(jù)一個實施例的控制計算機(jī)系統(tǒng)。

[0073]圖18示出根據(jù)一個實施例的錯誤處理方法的流程圖。

[0074]圖19示出根據(jù)一個實施例的錯誤處理方法的流程圖。

[0075]圖20示出圖17的體系結(jié)構(gòu),其中處理器核2B在恢復(fù)之后關(guān)閉。

[0076]圖21示出圖17的體系結(jié)構(gòu),其中處理器核1B和2B在恢復(fù)之后關(guān)閉。

12

CN102822807A說明書8/17頁

[0077]圖22示出圖17的體系結(jié)構(gòu),其中處理器核1A、2A和1B在恢復(fù)之后關(guān)閉。

[0078]圖23示出圖17的體系結(jié)構(gòu),其中處理器核1A和2B在恢復(fù)之后關(guān)閉。

[0079]圖24示出圖17的體系結(jié)構(gòu)，其中數(shù)據(jù)存儲器21在恢復(fù)之后關(guān)閉。

具體實施方式

[0080]圖1示意性地示出具有第一處理器1和第二處理器2以及第一多路復(fù)用器91和

第二多路復(fù)用器92的控制計算機(jī)系統(tǒng)或控制裝置。多路復(fù)用器91、92中的每個形成帶有

--個相應(yīng)的比較設(shè)備的單元,所述相應(yīng)的比較設(shè)備在附圖中被指定為比較器。多路復(fù)用器

91、92中的每個與相應(yīng)的外圍單元95、96相連并使處理器1、2能夠可選地訪問外圍單元

95、96?；謴?fù)控制單元44同時與兩個處理器1,2以及多路復(fù)用器95、96相連。

[0081]處理器1、2也可以是處理器核。

[0082]圖1中示出的粗箭頭示出實際由多路復(fù)用器91、92從處理器1、2傳輸?shù)酵鈬鷨卧?/p>

95、96的數(shù)據(jù)流。處理器1與外圍單元95通信并控制后者，且處理器2與外圍單元96通

信并控制后者。在這種情況下，處理器1、多路復(fù)用器/比較器91和外圍單元95形成分支

A,而處理器2、多路復(fù)用器/比較器92和外圍單元96形成分支Bo但是,存在交叉的通信

路徑，確切地講,一方面，在處理器2和多路復(fù)用器/比較器91之間，另一方面，在處理器1

和多路復(fù)用器/比較器92之間存在交叉通信路徑。

[0083]比較楷91.92中的每個比較處理器是否相互同步運(yùn)行，也就是說，比較它們是否

在相同時間輸出相同的結(jié)果。如果情況并非如此，則存在同步錯誤。在這種情況下，測試處

理器并根據(jù)測試結(jié)果重新配置控制設(shè)備。這在圖2中示意性地示出。

[0084]在圖2中,假設(shè)由恢復(fù)控制單元44監(jiān)視和評估的測試揭示出處理器1發(fā)生故障。

在這種情況下，兩個多路復(fù)用器91.92被重新配置，確切地講,被配置以使得兩個多路復(fù)用

器91、92忽略處理器1的輸出。與此同時，多路復(fù)用器91現(xiàn)在允許處理器2和外圍單元95

之間的通信。處理器2現(xiàn)在驅(qū)動分支A和分支B兩者中的外圍單元。處理器2不必為此目

的進(jìn)行不同的編程，因為處理器2已經(jīng)為了比較目的在正常狀態(tài)中針對外圍單元95（分支

A）執(zhí)行了控制程序。差別僅在于現(xiàn)在它還對外圍單元95具有寫權(quán)限。比較器的比較功能

也被禁用，因為所述比較器現(xiàn)在不再接收來自處理器1的輸入。這樣做是必要的，從而比較

器91.92不輸出任何進(jìn)一步的錯誤信號。

[0085]因此,可以再次繼續(xù)執(zhí)行控制程序（其包括用于外圍單元95和外圍單元96的控制

程序）。這增加了系統(tǒng)可用性。

[0086]如果測試揭示出兩個處理器1、2均無錯誤,則再次假設(shè)圖1中的狀態(tài)。如果兩個

處理器均發(fā)生故障,則系統(tǒng)關(guān)閉。

[0087]圖1和2中示出的程序是有利的，具體而言，在未被設(shè)計為冗余的外圍單元中是有

利的。

[0088]圖1和2中示出的體系結(jié)構(gòu)包括將外圍模塊劃分為兩個組A和每個組包括至

少一個處理器1、2、一個總線轉(zhuǎn)接開關(guān)（總線矩陣、總線交叉開關(guān)）（此處未示出）和要驅(qū)動的

外圍模塊95、96。存儲器模塊可以在一個組或在兩個組中實現(xiàn)。A端實際上（也就是說物理

上）始終由處理器1（處理器A）驅(qū)動。B端實際上始終由處理器2（處理器B）驅(qū)動。來自

外圍模塊95的數(shù)據(jù)可以通過多路復(fù)用器91.92橫向傳遞到B端。處理器1可以通過類似

13

CN102822807A說明書9/17頁

的方式從外圍模塊96讀取數(shù)據(jù)。

[0089]圖3示出其中外圍單元22（在那里被稱為外圍模塊）由兩個處理器1和2冗余地

驅(qū)動的實施例，在預(yù)定時間，兩個處理器中僅有一個實際驅(qū)動單元22。這是通過多路復(fù)用

器21實現(xiàn)的。進(jìn)一步的外圍單元5（可以是公共內(nèi)部外圍單元，例如存儲器5）通過多路復(fù)

用器20與兩個處理器1、2相連。處理器1、2本身各通過總線矩陣3、4與多路復(fù)用器20、

21相連。也是在該實施例中，多路復(fù)用器20、21（與相應(yīng)的比較單元（比較器）一起位于一

個單元中）可以在發(fā)生錯誤時以適當(dāng)方式進(jìn)行配置，以便保持控制器可用。

[0090]根據(jù)一個或多個實施例,控制器的共用區(qū)域和控制器的專用冗余區(qū)域之間具有明

確的分界。專用組件或單元被指定給每個處理器1、2并且僅由所述處理器驅(qū)動。專用組件

（圖4中的兩個外圍單元61、62）優(yōu)選地為冗余的，以便能夠盡可能模擬冗余專用區(qū)域的完

美對稱性。由于財務(wù)原因，某些組件（例如，程序存儲器）可以僅實現(xiàn)一次，確切地講,在共用

區(qū)域內(nèi)實現(xiàn)一次。在鎖步模式中，兩個處理器1、2同步運(yùn)行。共用組件或外圍單元的實際

驅(qū)動可以由兩個冗余處理器中的任何一個承擔(dān)并且在特定時刻僅由一個處理器實際執(zhí)行，

而由于鎖步模式的緣故，另一-處理器及時接收所有數(shù)據(jù)。

[0091]在檢測到鎖步錯誤之后，每個處理器1、2旨在在時間間隔T期間，在指定的專用區(qū)

域中盡可能保持活動，并且不旨在執(zhí)行在體系結(jié)構(gòu)外部有影響的任何安全相關(guān)功能。也就

是說，具體而言，中斷具有外部效果的外部外圍單元或組件的驅(qū)動。

[0092]為了對非冗余組件（例如，程序存儲器）進(jìn)行必要的訪問，在時間間隔T1內(nèi)實現(xiàn)用

于兩個冗余處理器1、2的多路復(fù)用工作模式。每個鎖步錯誤觸發(fā)程序序列中的中斷。在中

斷例程中，處理器1、2將相互獨立地執(zhí)行相同的測試程序并存儲測試結(jié)果以便以后通過自

主硬件監(jiān)視模塊進(jìn)行檢查，所述自主硬件監(jiān)視模塊在附圖中是指恢復(fù)控制單元44。

[0093]有些測試程序可以從錯誤上下文中得出。例如，對所發(fā)生的錯誤進(jìn)行分類并將其

指定到錯誤類型,且該指定用于選擇相應(yīng)的一個或多個測試程序。

[0094]每個處理器旨在溫和地退出中斷的執(zhí)行而不會回彈（rebound）。背景是測試程序

由中斷啟動并且，在測試程序結(jié)束之后,處理器1、2通常希望再次繼續(xù)由于所述中斷而中

斷的控制程序。這旨在被阻止，而處理器1、2旨在更改為靜止?fàn)顟B(tài)。這種情況是否發(fā)生也

是測試的一部分。

[0095]每個處理器旨在接著存儲其狀態(tài)特征，例如，存儲在可由自主硬件監(jiān)視模塊（恢復(fù)

控制單元44）讀取的寄存器內(nèi)。時間段使用所述自主硬件監(jiān)視模塊的計時器來測量。

[0096]在此不確定的時間之后（在停用模式以外），冗余處理器旨在在時間段T2中具有閑

置模式（靜止?fàn)顟B(tài)）。如果處理器在時間段T2內(nèi)訪問組件,例如存儲器模塊或外圍模塊，則

它會被恢復(fù)控制單元44自動排除于恢復(fù)過程之外。在時間窗口丁2之后,恢復(fù)控制單元44

將兩個處理器1、2的測試結(jié)果與硬件中預(yù)編程的值進(jìn)行比較。如果處理器的測試結(jié)果不對

應(yīng)于預(yù)定值,則相應(yīng)的處理器不再被考慮用于運(yùn)行的同步化嘗試。相應(yīng)地,處理器1、2的存

儲的狀態(tài)特征也必須適合于恢復(fù)。如果結(jié)果評估是肯定的，則恢復(fù)控制單元44將通過中斷

來引起返回到鎖步模式。如果僅有一個處理器成功地執(zhí)行了所有測試，則該處理器將驅(qū)動

指定給它的外圍模塊和所有共用組件。

[0097]該應(yīng)急模式增強(qiáng)了系統(tǒng)可用性,但以降低的安全級別運(yùn)行。

[0098]圖4示出構(gòu)建在圖3的實施例上的進(jìn)一步的實施例?？刂蒲b置的體系結(jié)構(gòu)被劃分

14

CN102822807A說明書10/17頁

為兩個專用區(qū)域30和31（這兩個區(qū)域被稱為區(qū)域A利B）和一個公共區(qū)域40。所述專用區(qū)

域包含在物理上冗余的模塊或外圍單元和組件。采取硬件模塊形式的恢復(fù)控制單元44用

于在發(fā)生鎖步錯誤之后可靠地恢復(fù)同步。如果發(fā)生鎖步錯誤,恢復(fù)控制單元44便會阻止所

有對安全相關(guān)外圍模塊或單元的訪問。這些單元具體而言為公共外圍單元72,以及例如，冗

余存在的外圍單元61和63。這些單元通過相應(yīng)的外圍橋（peripheralbridge）60、71和

62連接在一起。

[0099]鎖步錯誤觸發(fā)程序序列中的中斷。在中斷例程的后續(xù)執(zhí)行中，每個處理器1、2只

能訪問位于指定給它的專用區(qū)域中的模塊,并且不能執(zhí)行任何安全相關(guān)部分功能。此外，可

以在多路復(fù)用工作模式中實現(xiàn)對非安全相關(guān)組件41、42的訪問。此類組件41、42例如為公

共程序域42和公共RAM域。組件42具有模塊50（該模塊包括多路復(fù)用器、控制器和比較

器），以及實際的程序存儲器51。組件41具有模塊53（該模塊包括多路復(fù)用器、控制器和

比較器），以及在此實現(xiàn)為RAM的存儲器52。

[0100]在專用外圍區(qū)域中，在每種情況下，為了測試適當(dāng)處理器的目的保留一個小的地

址空間。中斷例程用于檢查體系結(jié)構(gòu)的完整性，以及最重要的是，檢查處理器的完整性。在

中斷執(zhí)行結(jié)束時,處理器旨在將計算結(jié)果存儲在為測試目的保留的地址區(qū)域內(nèi)。正確的結(jié)

果提前存儲在恢復(fù)控制單元44中。所述中斷例程由測試程序構(gòu)成，每個測試程序旨在在特

定的時間間隔內(nèi)提供正確結(jié)果。在預(yù)定時間段過后,恢復(fù)控制單元44檢杳處理器存儲的結(jié)

果的正確性。鎖步模式的恢復(fù)假設(shè)恢復(fù)控制單元44要檢行的所有結(jié)果均正確。否則，只rr

具有正確結(jié)果的處理器將繼續(xù)針對運(yùn)行的應(yīng)用保持是活動的。

[0101]由于中斷例程不在鎖步模式中運(yùn)行,因此模塊50被配置以使得處理器1、2均可以

多路復(fù)用工作模式訪問程序存儲器51。

[0102]圖5示出作為圖1和2的擴(kuò)展的實施例。在這種情況下，恢復(fù)控制單元44以類似

于圖4中的方式運(yùn)行。如果處理器1、2不提供任何正確的結(jié)果來恢復(fù)鎖步模式，則恢復(fù)控

制單元44將配置對應(yīng)的外圍控制器91或92（其在此形成多路復(fù)用器和比較器），以使得外

圍控制器91或92下面的外圍模