BRPI1105502A2 - mÉtodo e dispositivo para o monitoramento de um dispositivo equipado com um microprocessador - Google Patents

mÉtodo e dispositivo para o monitoramento de um dispositivo equipado com um microprocessador Download PDF

Info

Publication number
BRPI1105502A2
BRPI1105502A2 BRPI1105502-2A BRPI1105502A BRPI1105502A2 BR PI1105502 A2 BRPI1105502 A2 BR PI1105502A2 BR PI1105502 A BRPI1105502 A BR PI1105502A BR PI1105502 A2 BRPI1105502 A2 BR PI1105502A2
Authority
BR
Brazil
Prior art keywords
microprocessor
monitoring
monitoring device
calculation
monitoring method
Prior art date
Application number
BRPI1105502-2A
Other languages
English (en)
Inventor
Franck Gruffaz
Original Assignee
Schneider Electric Ind Sas
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Schneider Electric Ind Sas filed Critical Schneider Electric Ind Sas
Publication of BRPI1105502A2 publication Critical patent/BRPI1105502A2/pt
Publication of BRPI1105502B1 publication Critical patent/BRPI1105502B1/pt

Links

Classifications

    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02HEMERGENCY PROTECTIVE CIRCUIT ARRANGEMENTS
    • H02H3/00Emergency protective circuit arrangements for automatic disconnection directly responsive to an undesired change from normal electric working condition with or without subsequent reconnection ; integrated protection
    • H02H3/02Details
    • H02H3/05Details with means for increasing reliability, e.g. redundancy arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/26Functional testing
    • G06F11/27Built-in tests
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02HEMERGENCY PROTECTIVE CIRCUIT ARRANGEMENTS
    • H02H1/00Details of emergency protective circuit arrangements
    • H02H1/0007Details of emergency protective circuit arrangements concerning the detecting means
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02HEMERGENCY PROTECTIVE CIRCUIT ARRANGEMENTS
    • H02H3/00Emergency protective circuit arrangements for automatic disconnection directly responsive to an undesired change from normal electric working condition with or without subsequent reconnection ; integrated protection
    • H02H3/02Details
    • H02H3/04Details with warning or supervision in addition to disconnection, e.g. for indicating that protective apparatus has functioned
    • H02H3/044Checking correct functioning of protective arrangements, e.g. by simulating a fault
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02HEMERGENCY PROTECTIVE CIRCUIT ARRANGEMENTS
    • H02H3/00Emergency protective circuit arrangements for automatic disconnection directly responsive to an undesired change from normal electric working condition with or without subsequent reconnection ; integrated protection
    • H02H3/08Emergency protective circuit arrangements for automatic disconnection directly responsive to an undesired change from normal electric working condition with or without subsequent reconnection ; integrated protection responsive to excess current
    • H02H3/093Emergency protective circuit arrangements for automatic disconnection directly responsive to an undesired change from normal electric working condition with or without subsequent reconnection ; integrated protection responsive to excess current with timing means
    • H02H3/0935Emergency protective circuit arrangements for automatic disconnection directly responsive to an undesired change from normal electric working condition with or without subsequent reconnection ; integrated protection responsive to excess current with timing means the timing being determined by numerical means
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02HEMERGENCY PROTECTIVE CIRCUIT ARRANGEMENTS
    • H02H7/00Emergency protective circuit arrangements specially adapted for specific types of electric machines or apparatus or for sectionalised protection of cable or line systems, and effecting automatic switching in the event of an undesired change from normal working conditions
    • H02H7/26Sectionalised protection of cable or line systems, e.g. for disconnecting a section on which a short-circuit, earth fault, or arc discharge has occured
    • H02H7/261Sectionalised protection of cable or line systems, e.g. for disconnecting a section on which a short-circuit, earth fault, or arc discharge has occured involving signal transmission between at least two stations
    • H02H7/263Sectionalised protection of cable or line systems, e.g. for disconnecting a section on which a short-circuit, earth fault, or arc discharge has occured involving signal transmission between at least two stations involving transmissions of measured values

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)
  • Microcomputers (AREA)
  • Alarm Systems (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)

Abstract

Patente de Invenção: MÉTODO E DISPOSITIVO PARA O MONITORAMENTO DE UM DISPOSITIVO EQUIPADO COM UM MICROPROCESSADOR. A presente invenção se refere a um método de monitoramento de um dispositivo equipado com um microprocessador (1), caracterizado pelo fato de que ele inclui as sequintes etapas: (E3) - o desempenho de pelo menos um cálculo no microprocessador (1) dos dados de entrada; (E4) - o desempenho de pelo menos uma operação lógica pelas portas lógicas em um dispositivo de monitoramento externo (10) a partir dos mesmos dados de entrada; - (E7) a comparação entre os resultados de pelo menos um cálculo realizado no microprocessador (1) e de pelo menos uma operação lógica realizada no dispositivo de monitoramento (10) para deduzir disso um diagnóstico do microprocessador (1) e/ou um comando para comutar para uma configuração segura.

Description

Relatório Descritivo da Patente de Invenção para "MÉTODO E DISPOSITIVO PARA O MONITORAMENTO DE UM DISPOSITIVO EQUI- PADO COM UM MICROPROCESSADOR".
Antecedentes da Invenção A presente invenção refere-se a um dispositivo de monitoramen-
to para um microprocessador desenvolvido para o funcionamento dentro de um sistema equipado com um microprocessador, a segurança do qual é um parâmetro importante. Ela também se refere a um sistema que compreende pelo menos um microprocessador e equipado com tal dispositivo de monito- ramento, este sistema sendo capaz de ser um disjuntor para uma instalação elétrica. Por fim, ela se refere a um método para o monitoramento de um microprocessador que permite um diagnóstico da operação desse micropro- cessador ser estabelecido. Estado da Técnica
É uma prática comum equipar um dispositivo que compreende
um microprocessador com um dispositivo de monitoramento com base no tempo, também chamado de vigilante. A função de ta! dispositivo de monito- ramento é detectar uma possível anomalia no sequenciamento do micropro- cessador para acionar uma intervenção de segurança, como a reinicializa- ção do microprocessador ou a comutação do dispositivo para uma configu- ração de segurança. A função do vigilante é, portanto, responder a determi- nadas disfunções do microprocessador que poderiam levar a uma situação perigosa e não segura.
Mas esse dispositivo se prova ser insuficiente quando um nível de segurança funcional mais elevado é necessário, em particular quando é necessário verificar a integridade funcional do microprocessador que realiza as funções de segurança. Uma primeira solução consiste em usar um se- gundo microprocessador dedicado ao monitoramento do microprocessador principal, este sendo, em geral, incapaz de realizar um autoteste com uma cobertura de teste suficiente. Entretanto, tal solução é custosa na medida em que tanto o custo de fabricação do produto quando o custo de desenvolvi- mento é preocupante, e se prova ser pouco prática à medida que ela exige uma localização de grande espaço em um circuito impresso para adicionar o microprocessador adicional. Devido a essa complexidade, tal solução ainda torna o produto menos confiável.
O documento FR2602618 ilustra uma solução do estado da téc- nica na qual um vigilante monitora o desempenho periódico do processa- mento de dados controlado por um microprocessador que equipa um disjun- tor de uma instalação elétrica. Tal microprocessador realiza um determinado número de operações de processamento digitai nos sinais elétricos de uma instalação elétrica e gera uma ordem rápida do disjuntor quando os limites predefinidos são alcançados. Assim, o microprocessador realiza uma função essencial para a segurança do sistema e a falha de funcionamento do mi- croprocessador leva a uma situação muito arriscada para a instalação elétri- ca monitorada. Para aliviar tal falha de funcionamento, o vigilante monitora quaisquer distúrbios que possam ocorrer, que ele detecta mediante os atra- sos de um ciclo periódico, em uma operação periódica que o microproces- sador precisa realizar. O vigilante pode detectar assim as falhas de funcio- namento do microprocessador: em tal situação, ele transmite uma ordem de reinicialização ao microprocessador, e se essa intervenção não solucionar o problema e não for acompanhada pela reinicialização normal do ciclo perió- dico gerenciado pelo microprocessador, o vigilante, em seguida, transmite uma ordem rápida ao disjuntor para posicionar a instalação elétrica em uma configuração de segurança, à medida que o disjuntor é defeituoso. Entretan- to, tal solução não permite que todas as falhas de funcionamento do micro- processador sejam detectadas, determinadas funções do microprocessador são capazes de não funcionar de modo correto sem qualquer repercussão no ciclo periódico examinado. Portanto, essa abordagem pode ser aprimora- da.
SUMÁRIO DA INVENÇÃO
Portanto, o objetivo da invenção é propor uma solução para a operação de monitoramento de um microprocessador que não apresenta todas, ou uma parte das desvantagens do estado da técnica.
De forma mais precisa, o objetivo da invenção é propor uma so- lução para a operação de monitoramento de um microprocessador que seja confiável, barata e que não seja extensa.
Um método de monitoramento de um dispositivo equipado com um microprocessador de acordo com a invenção inclui as seguintes etapas:
- o desempenho de pelo menos um cálculo no microprocessador a partir dos dados inseridos;
- o desempenho de pelo menos uma operação lógica pelas por- tas lógicas em um dispositivo de monitoramento externo a partir dos mes- mos dados inseridos;
- a comparação entre os resultados de pelo menos um cálculo realizado no microprocessador e de pelo menos uma operação lógica reali- zada no dispositivo de monitoramento para deduzir disso um diagnóstico do microprocessador e/ou um comando para comutar para uma configuração segura.
O método de monitoramento compreende ainda, de preferência,
as seguintes etapas:
- a determinação dos dados inseridos no nível do microproces- sador sob a forma de valores variáveis que correspondem a um determinado número de valores predefinidos;
- a transmissão desses valores ao dispositivo de monitoramento
pelos meios de comunicação.
De modo vantajoso, a etapa de determinação dos dados inseri- dos compreende a geração aleatória dos valores variáveis e/ou a extração e/ou a combinação dos valores variáveis a partir dos bits de dados que vem de fora e são recebidos pelo microprocessador.
De modo vantajoso, a etapa de determinação dos dados inseri- dos compreende a determinação do valor de vários números, pelo menos um bit dos quais é variável e assume um valor igual àquele dos valores vari- áveis.
De modo vantajoso, a etapa de realização de pelo menos um cálculo no microprocessador compreende as avaliações, como divisões, multiplicações, raiz quadrada, ou elevar ao quadrado, entre os números. De preferência, o método de monitoramento compreende uma etapa de determinação de pelo menos um bit que representa os resultados de pelo menos um cálculo realizado pelo microprocessador, e uma etapa de transmissão desse pelo menos um bit ao dispositivo de monitoramento. De modo vantajoso, a etapa de realização de pelo menos um
cálculo no microprocessador é realizada pelo software da unidade de diag- nóstico do microprocessador.
De modo vantajoso, o desempenho de pelo menos uma opera- ção lógica no dispositivo de monitoramento compreende as operações em
valores variáveis.
De preferência, o dispositivo de monitoramento compreende a comparação dos valores variáveis a partir de pelo menos uma porta XOR no dispositivo de monitoramento para obter os resultados em um único bit que dependem da igualdade ou da diferença dos valores variáveis comparados. De modo vantajoso, a etapa de comparação compreende a ge-
ração de uma álgebra booliana do primeiro valor que representa um estado normal do dispositivo equipado com um microprocessador e do segundo va- lor que representa um estado de falha de funcionamento.
De preferência, o método de monitoramento compreende uma etapa de atuação do dispositivo para posicionar este em uma configuração de segurança quando o seu microprocessador está em um estado de falha
de funcionamento.
O dispositivo de monitoramento para um dispositivo equipado com o microprocessador de acordo com a invenção compreende pelo menos uma entrada para receber os dados a partir de um microprocessador, uma unidade lógica fisicamente conectada para realizar as operações lógicas nos dados que vem a partir do microprocessador, uma unidade comparadora para comparar o resultado de um cálculo realizado por um microprocessador com um resultado obtido pela unidade lógica fisicamente conectada, e uma saída para transmitir o sinal que representa o resultado do diagnóstico de operação do microprocessador.
De preferência, sua unidade lógica fisicamente conectada e sua unidade comparadora compreendem as portas lógicas do tipo OR1 NOR, AND, NAND, XOR e/ou XNOR.
Um sistema de acordo com a invenção que compreende um mi- croprocessador compreende um dispositivo de monitoramento externo, con- forme definido acima, conectado por pelo menos um meio de comunicação ao microprocessador, e o microprocessador compreende uma unidade de diagnóstico que realiza pelo menos um cálculo do método de monitoramen- to, conforme definido acima.
De preferência, o sistema é um disjuntor elétrico, um sistema de monitoramento de instalação elétrica ou um controlador de segurança. Breve Descrição dos Desenhos
Esses objetivos, características e vantagens da presente inven- ção serão propostos em detalhes a seguir na descrição de um modo particu- lar de execução daterminado para propósitos de exemplos não restritivos em relação aos desenhos anexos, nos quais:
a figura 1 representa de modo esquemático um sistema equipa- do com um dispositivo de monitoramento do seu microprocessador de acor- do com a invenção;
a figura 2 representa um fluxograma que ilustra a operação do método de monitoramento de um microprocessador de acordo com um mo- do de execução da invenção;
a figura 3 representa de um modo mais detalhado determinadas partes de um sistema equipado com um dispositivo de monitoramento do seu microprocessador de acordo com um modo de execução da invenção; a figura 4 representa uma modalidade alternativa do sistema de
acordo com um modo de execução da invenção. Descrição Detalhada das Modalidades Preferenciais
O conceito da invenção consiste em usar um dispositivo de mo- nitoramento de um microprocessador que compreende uma unidade lógica fisicamente conectada separada ou integrada, que permite que determina- das operação lógicas sejam executadas de modo bastante simples, o resul- tado das quais é comparado aos resultados obtidos pelo desempenho de avaliações conectadas em paralelo pelo microprocessador a ser monitorado. Esta comparação permite que um diagnóstico de operação do microproces- sador seja deduzido disso, e/ou que o sistema seja comutado para uma po- sição de segurança de backup.
A figura 1 ilustra de modo esquemático uma implementação da
solução de monitoramento de acordo com o conceito da invenção. Por um lado, o sistema compreende um microprocessador 1 a ser monitorado e, por outro lado, um dispositivo de monitoramento 10 separado do microprocessa- dor 1.
Portanto, o sistema compreende um microprocessador 1, que
participa na implementação de uma determinada aplicação que exige um alto nível de segurança funcional por meio do software 2, a partir dos dados recebidos na entrada 3, por exemplo, que vem das medições do sensor e/ou qualquer outro dispositivo 6 e transmitidos ao microprocessador 1 por qual- quer meio de comunicação, e que permite que os dados e/ou comandos emitidos de um determinado dispositivo 7 sejam gerados na saída 4, como de forma rápida ou não, no caso de um disjuntor, por exemplo, ou um alarme no contexto do equipamento de monitoramento, ou um comando, no caso de sistemas de segurança automatizados. Porfim1 o microprocessador 1 realiza os cálculos conectados por uma unidade de diagnóstico 8, com base em uma tarefa de software dedicada ao método de manutenção do micropro- cessador 1 ou integrada na aplicação 2, e que se comunica com o dispositi- vo de monitoramento 10.
De acordo com a invenção, o sistema compreende, portanto, um dispositivo de monitoramento 10 que compreende uma primeira entrada 13 fornecida para a conexão com o microprocessador 1, para receber os primei- ros dados a partir do microprocessador 1, e uma segunda entrada14 forne- cida para a conexão com o microprocessador 1, para receber os dados se- guintes a partir do microprocessador 1 através do meio de comunicação 16. Detaca-se que as duas entradas 13, 14 foram representadas como sendo separadas para propósitos ilustrativos da invenção, mas podem correspon- der de modo físico a uma e à mesma entrada. O dispositivo de monitora- mento 10 compreende adicionalmente um conjunto de componentes básicos que formam uma unidade lógica fisicamente conectada 11 e uma unidade comparadora 12, e também uma saída 15 para transmitir um sinal que re- presenta o resultado do diagnóstico do microprocessador 1 e que permite que o sistema seja comutado para uma posição de segurança de backup.
A operação desse sistema será agora explicada. Em paralelo a esta função principal que permite que ele execute uma determinada aplica- ção por meio de um primeiro software 2, o microprocessador 1 realiza uma tarefa de software na sua unidade de diagnóstico 8 em conjunto com um dispositivo de monitoramento independente externo. Para isso, o micropro- cessador transmite os dados de entrada ao dispositivo de monitoramento 10, e realiza um cálculo a partir desses dados de entrada, que geram um primei- ro resultado também transmitido ao dispositivo de monitoramento 10 através da segunda entrada 14. Em paralelo, o dispositivo de monitoramento 10 usa os dados de entrada recebidos na sua primeira entrada 13 para executar as operações por meio da sua unidade lógica fisicamente conectada 11, o se- gundo resultado das quais obtido dessa maneira precisa ser igual àquele obtido pela unidade de diagnóstico 8 do microprocessador 1 quando este microprocessador 1 está operando de modo correto. Por um lado, a unidade comparadora 12 do dispositivo de monitoramento recebe o primeiro resulta- do da unidade lógica fisicamente conectada e, por outro lado, o segundo resultado do microprocessador 1 realiza a comparação entre esses dois re- sultados e fornece na saída 15 um sinal que representa o diagnóstico do microprocessador 1 com base nesta comparação. No caso de falha de fun- cionamento do microprocessador 1, este sinal de saída representa, por e- xemplo, um comando para comutar a uma posição de segurança de backup que garante que o sistema, cuja segurança está envolvida, seja posicionado em uma configuração de segurança. Este sinal de saída também representa, por exemplo, um sinal de alarme que permite a segurança do sistema, cuja segurança está envolvida, seja transferido para outro dispositivo de segu- rança externo, de modo que este outro dispositivo de segurança possa reali- zar todas, ou parte das funções de segurança envolvidas. A figura 2 ilustra de modo mais preciso uma implementação do método de monitoramento de um microprocessador de acordo com um mo- do de execução da invenção;
De acordo com este modo de execução, o método tem como base quatro números A, B1 C e D definidos em uma primeira etapa El. Es- ses números variam em cada repetição do método por meio de quatro bits de valor variável observado bO, b1, b2, b3. Esses valores variáveis podem ser variáveis geradas de forma aleatória pelo microprocessador e/ou extraí- dos ou calculados a partir dos dados de entrada do microprocessador, for- necidos por um sensor de medição, por exemplo, mediante a escolha, por exemplo, dos últimos quatro bits desses dados.
Em uma segunda etapa E2, o método transmite esses quatro va- lores variáveis ao dispositivo de monitoramento 10 por meio do meio de co- municação 16.
Em uma terceira etapa E3, o microprocessador realiza um pri-
meiro cálculo que corresponde à divisão flutuante de B por A, e um segundo cálculo que corresponde à multiplicação de C por D e, em seguida, calcula C2. De modo vantajoso, o cálculo realizado no microprocessador 1, no esco- po do método de monitoramento de acordo com a invenção, é bastante complexo para exigir um recurso à máxima de recursos do microprocessador 1 e, em particular, às partes mais críticas do microprocessador 1. Assim, este cálculo integra de modo vantajoso as multiplicações e/ou divisões. Co- mo uma variante, qualquer outro cálculo pode ser contemplado.
Em paralelo, em uma quarta etapa E4, a unidade lógica física- mente conectada 11 do dispositivo de monitoramento 10 realiza duas com- parações, por um lado, entre bO e b1 e, por outro lado, entre b2 e b3, por meio de duas funções lógicas de XOR 21, 22, visíveis na figura 3, para defi- nir dois valores resultl, result2, de acordo com as regras a seguir:
- Se b1 = bO então, resultl = 0, ou resultl = 1, - Se b3 = b2 então, result2 = 0, ou result2 = 1.
Na quinta etapa E5, o método determina o valor dos dados re- sultljjC, result2_pC, que representam os resultados dos cálculos realiza- dos peio microprocessador 1, em dois bits apenas, pela definição a seguir:
- Se B/A = 2 então, result1_pC = 0, ou resultl jjC = 1,
- Se (C χ D = C2) então, result2_pC = 0, ou result2_jjC = 1.
Em uma sexta etapa E6, os dois resultados result1_pC, re- sult2 ^C são transmitidos ao dispositivo de monitoramento 10, que realiza uma sétima etapa de comparação E7 que, primeiramente, compreende duas novas comparações desses valores com os dois valores resultl, result2 ob- tidos pelo dispositivo de monitoramento 10, por meio de duas funções XOR adicionais 23, 24, os dois resultados das quais precisam ser iguais a 0 se resultl = result1_jiC e se resu!t2 = result2_pC, o que significa que o micro- processador está operando normalmente e levou aos resultados certos re- sultl jjC, result2jjC ao realizar os cálculos e, portanto, aos resultados cer- tos ao realizar os cálculos da etapa E3. Em seguida, uma nova função XOR permite que um único resultado seja determinado, em um bit de saída, o que representa o diagnóstico final do microprocessador. Esse resultado as- sume o valor zero no caso onde as duas condições a seguir são verificadas: resultl = resultl jjC e result2 = result2_jjC. Em outros casos, esses resulta- dos assumem o valor 1.
Em seguida, o sinal de saída que representa o diagnóstico do
microprocessador 1 pode ser diretamente usado, em uma etapa E8, para comandar os atuadores do sistema, para posicionar este em uma posição de segurança de backup, por exemplo, no caso de falhas de funcionamento do
microprocessador.
O método de monitoramento pode naturalmente apresentar inú- meras variantes sem se afastar do conceito da invenção. Em particular, os cálculos e as operações realizadas podem se diferir dos exemplos descritos. Adicionalmente, as diferentes etapas descritas podem ser executadas com diferentes cronologias. Determinadas etapas serão, de preferência, realiza- das em paralelo, de modo substancialmente simultâneo no microprocessa- dor e no dispositivo de monitoramento.
Resumindo, o método de monitoramento compreende as seguin- tes etapas essenciais: Ε3 - o desempenho de pelo menos um cálculo no microproces- sador a partir dos dados inseridos;
E4 - o desempenho de pelo menos uma operação lógica pelos componentes fisicamente conectados e de hardware em um dispositivo de monitoramento a partir de pelo menos uma parte dos mesmos dados de en- trada;
E7 - a comparação dos resultados de pelo menos um cálculo feito no microprocessador e de pelo menos uma operação lógica realizada no dispositivo de monitoramento para deduzir disso um diagnóstico do mi- croprocessador e/ou um comando para comutar para uma configuração se- gura de backup.
A figura 3 novamente representa o sistema de acordo com a in- venção que inclui, em particular em detalhes, a estrutura da unidade lógica fisicamente conectada 11 e da unidade comparadora 12 do dispositivo de monitoramento 10, para a implementação do método de monitoramento des- crito acima. Nesta implementação, os diferentes valores variáveis bO a b3 são obtidos para quatro bits de dados transmitidos à entrada do micropro- cessador 1 e que vem do dispositivo 6. A unidade lógica fisicamente conec- tada 11 do dispositivo de monitoramento 10 recebe esses dados e imple- menta o método de monitoramento descrito anteriormente de duas portas lógicas XOR 21, 22, enquanto a unidade comparadora 12 compreende três portas lógicas XOR 23 a 25. Em paralelo, o microprocessador usa essas variáveis na sua unidade de diagnóstico 8 para realizar as etapas definidas anteriormente.
O método de monitoramento de acordo com a invenção pode
naturalmente ser implementado com qualquer outro cálculo incluindo, por exemplo, as divisões, multiplicações, raiz quadrada, ou elevar ao quadrado, etc. A seleção e a definição dos números A, B, C e D formam os quatro valo- res variáveis do tipo da álgebra booliana bO, b1, b2 e b3 na entrada desse cálculo do método de monitoramento permite que o resultado esperado do cálculo do microprocessador seja determinado simplesmente sem ter que realizar o mesmo cálculo complexo dentro do dispositivo de monitoramento, mas apenas por algumas portas lógicas. Este princípio pode ser implemen- tado a partir de um número diferente de valores variáveis e/ou números de entrada e que integra um número diferente de variáveis, em particular do tipo da álgebra booliana. O usuário irá escolher uma compensação entre a com- plexidade do cálculo e o nível de segurança funcional que ele deseja alcan- çar. Este princípio da invenção pode naturalmente ser usado com outras u- nidades lógicas que consistem em um número reduzido de portas lógicas entre as seguintes OR1 NOR1 AND, NAND1 XOR e/ou XNOR, etc. Este prin- cípio da invenção naturalmente também pode ser usado com portas que u- sam uma lógica seqüencial. Este uso de um dispositivo de monitoramento externo que realiza as operações simples de uma estrutura de tipo de hard- ware permite que um alto nível de monitoramento de um sistema seja alcan- çado de uma maneira simples, confiável, barata e não extensa.
A solução de monitoramento de acordo com a invenção pode naturalmente ser combinada com todas as outras soluções de monitoramen- to existentes de um sistema, por exemplo, combinada com um dispositivo vigilante. Assim, a figura 4 representa um exemplo de integração da solução da invenção em um sistema complexo que exige um alto nível de segurança. Este sistema compreende um microprocessador 1 e agrupa vários elemen- tos de segurança que monitoram a operação satisfatória do microprocessa- dor. Primeiramente, ele compreende um dispositivo de monitoramento 10 para implementar um método de monitoramento de acordo com a invenção, conforme descrito anteriormente. Ele ainda integra um dispositivo de monito- ramento interno 30 e um dispositivo de monitoramento 31 externo, que veri- fica a operação correta com base no tempo de um microprocessador do tipo descrito no documento FR2602618, conectado a uma fonte de alimentação elétrica 32 que integra a supervisão 33 da tensão da fonte. Em seguida, o sistema compreende uma ou mais função(s) lógica(s) 35 para comandar uma ação de segurança assim que o dispositivo de segurança emite um a- larme. Este comando de segurança atua em um atuador 37 que pode, por exemplo, posicionar um disjuntor, um alarme ou um atuador em uma posição de segurança de backup. O dispositivo de monitoramento de um microprocessador de a- cordo com a invenção pode ser integrado em qualquer sistema que exige um alto nível de segurança funcional. É notável e particularmente adequada a formação de um disjuntor compatível com a instalação de segurança que integra, por exemplo, as exigências de segurança funcional do tipo SIL1 con- forme o padrão IEC 61508.
O conceito da invenção é naturalmente adequado para um sis- tema que compreende vários microprocessadores que poderiam compreen- der um dispositivo de monitoramento para cada microprocessador, ou como uma variante de um único dispositivo de monitoramento que poderia monito- rar vários microprocessadores. De acordo com outra modalidade alternativa, vários dispositivos de monitoramento, de acordo com a invenção, podem ser associados a um único microprocessador para aumentar o nível de seguran- ça funcional. Adicionalmente, o dispositivo de monitoramento da invenção foi descrito em relação a um microprocessador, mas pode ser associado a qualquer componente inteligente que integra uma Unidade de Lógica e Arit- mética (ALU).

Claims (15)

1. Método de monitoramento de um dispositivo equipado com um microprocessador (1), caracterizado pelo fato de que ele inclui as seguin- tes etapas: (E3) - o desempenho de pelo menos um cálculo no microproces- sador (1) dos dados de entrada; (E4) - o desempenho de pelo menos uma operação lógica pelas portas lógicas em um dispositivo de monitoramento externo (10) a partir dos mesmos dados de entrada; - (E7) a comparação entre os resultados de pelo menos um cál- culo realizado no microprocessador (1) e de pelo menos uma operação lógi- ca realizada no dispositivo de monitoramento (10) para deduzir disso um diagnóstico do microprocessador (1) e/ou um comando para comutar para uma configuração segura.
2. Método de monitoramento, de acordo com a reivindicação an- terior, caracterizado pelo fato de que ele compreende adicionalmente as se- guintes etapas: (E1) - determinar no nívei do microprocessador (1) os dados de entrada sob a forma de valores variáveis (bO, b1, b2, b3) que correspondem 20 a um determinado número de valores predefinidos; (E2) - a transmissão desses valores ao dispositivo de monitora- mento (10) por meio de comunicação (16).
3. Método de monitoramento, de acordo com a reivindicação an- terior, caracterizado pelo fato de que a etapa de determinação dos dados de entrada (E1) compreende a geração aleatória dos valores variáveis (bO, b1, b2, b3) e/ou a extração e/ou uma combinação dos valores variáveis (bO, b1, b2, b3) a partir dos bits dos dados que vem de fora e são recebidos pelo mi- croprocessador (1).
4. Método de monitoramento, de acordo com a reivindicação 2 ou 3, caracterizado pelo fato de que a etapa de determinação dos dados de entrada (E1) compreende a determinação do valor de vários números (A, B, C, D), pelo menos um bit dos quais é variável e assume um valor igual àque- Ie dos valores variáveis (bO, b1, b2, b3).
5. Método de monitoramento, de acordo com a reivindicação an- terior, caracterizado pelo fato de que a etapa de realização de pelo menos um cálculo (E3) no microprocessador (1) compreende as avaliações como divisões, multiplicações, raiz quadrada, elevar ao quadrado, entre os núme- ros (A, B, C, D).
6. Método de monitoramento, de acordo com a reivindicação an- terior, caracterizado pelo fato de que eíe compreende uma etapa (E5) de determinação de pelo menos um bit (resultt jjC, result2_pC) que representa os resultados de pelo menos um cálculo (E3) realizado peio microprocessa- dor (1), e uma etapa (E6) de transmissão deste pelo menos um bit (re- sult1_pC, result2_pC) ao dispositivo de monitoramento (10).
7. Método de monitoramento, de acordo com uma das reivindi- cações anteriores , caracterizado pelo fato de que a etapa de realização de peio menos um cálculo (E3) no microprocessador (1) é realizada pelo soft- ware de uma unidade de diagnóstico (8) do microprocessador (1).
8. Método de monitoramento, de acordo com a reivindicação 2, caracterizado pelo fato de que o desempenho de pelo menos uma operação lógica (E4) no dispositivo de monitoramento compreende as operações nos valores variáveis (bO, b1, b2, b3).
9. Método de monitoramento, de acordo com a reivindicação an- terior, caracterizado pelo fato de que ele compreende fazer uma comparação dos valores variáveis (bO, b1, b2, b3) a partir de pelo menos uma parte XOR (21, 22) no dispositivo de monitoramento (10) de modo a obter os resultados em um único bit que depende da igualdade ou da diferença dos valores vari- áveis comparados.
10. Método de monitoramento, de acordo com uma das reivindi- cações anteriores, caracterizado pelo fato de que a etapa de comparação (E7) compreende a geração de uma álgebra booliana de um primeiro valor da qual que representa um estado normal do dispositivo equipado com um microprocessador e um segundo valor da qual representa um estado de fa- lha de funcionamento.
11. Método de monitoramento, de acordo com uma das reivindi- cações anteriores, caracterizado pelo fato de que ele compreende uma eta- pa (E8) de atuação do dispositivo para posicioná-lo em uma configuração de segurança quando o seu microprocessador está em um estado de falha de funcionamento.
12. Dispositivo de monitoramento (10) para um dispositivo equi- pado com um microprocessador (10), caracterizado pelo fato de que ele compreende pelo menos uma entrada (13) para receber os dados a partir de um microprocessador, uma unidade lógica fisicamente conectada (11) para realizar as operações lógicas nos dados que vem a partir do microprocessa- dor, uma unidade comparadora (12) para comparar o resultado de um cálcu- lo realizado por um microprocessador com um resultado obtido pela unidade lógica fisicamente conectada (11), e uma saída (15) para transmitir o sinal que representa o resultado do diagnóstico de operação do microprocessa- dor.
13. Dispositivo de monitoramento, de acordo com a reivindica- ção anterior, caracterizado pelo fato de que a sua unidade lógica fisicamente conectada (11) e a sua unidade comparadora (12) compreendem as portas lógicas do tipo OR, NOR, AND, NAND1 XOR e/ou XNOR.
14. Sistema, que compreende um microprocessador (1), caracte- rizado pelo fato de que ele compreende um dispositivo de monitoramento externo (10), como definido na reivindicação 12 ou 13, detectado por pelo menos um meio de comunicação (16) com o microprocessador (1), e pelo fato de que o microprocessador compreende uma unidade de diagnóstico (8) que realiza pelo menos um cálculo (E3) do método de monitoramento, como definido nas reivindicações 1 a 11 .
15. Sistema, de acordo com a reivindicação anterior, caracteri- zado pelo fato de que ele é um disjuntor elétrico, um sistema de monitora- mento de instalação elétrica ou um controlador de segurança.
BRPI1105502-2A 2010-12-14 2011-12-13 método de monitoramento de um sistema elétrico, dispositivo de monitoramento para um sistema elétrico e sistema elétrico BRPI1105502B1 (pt)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1004867A FR2968855B1 (fr) 2010-12-14 2010-12-14 Procede et dispositif de surveillance d'un dispositif equipe d'un microprocesseur
FR1004867 2010-12-14

Publications (2)

Publication Number Publication Date
BRPI1105502A2 true BRPI1105502A2 (pt) 2013-04-09
BRPI1105502B1 BRPI1105502B1 (pt) 2020-10-20

Family

ID=44147635

Family Applications (1)

Application Number Title Priority Date Filing Date
BRPI1105502-2A BRPI1105502B1 (pt) 2010-12-14 2011-12-13 método de monitoramento de um sistema elétrico, dispositivo de monitoramento para um sistema elétrico e sistema elétrico

Country Status (7)

Country Link
US (1) US9343894B2 (pt)
EP (1) EP2466712B1 (pt)
CN (1) CN102541713B (pt)
BR (1) BRPI1105502B1 (pt)
ES (1) ES2864210T3 (pt)
FR (1) FR2968855B1 (pt)
RU (1) RU2597472C2 (pt)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6419215B2 (ja) * 2014-05-08 2018-11-07 マイクロ モーション インコーポレイテッド フェイルセーフ計算を実施するための方法
FR3036203B1 (fr) * 2015-05-13 2017-05-19 Inside Secure Procede de securisation d’une comparaison de donnees lors de l’execution d’un programme
DE102015121732B4 (de) * 2015-12-14 2022-07-14 Knorr-Bremse Systeme für Nutzfahrzeuge GmbH Schaltungsanordnung für einen schaltbaren Leitungsabschluss eines seriellen Busses
DE102016207020A1 (de) * 2016-04-26 2017-10-26 Robert Bosch Gmbh Sicherungssystem für mindestens einen Verbraucher eines Fahrzeugs
FR3056032B1 (fr) * 2016-09-15 2020-06-19 Schneider Electric Industries Sas Dispositif et procede de surveillance de l'activite d'unites de traitement dans un declencheur electirque
DE102017208484A1 (de) * 2017-05-19 2018-11-22 Robert Bosch Gmbh Verfahren und Vorrichtung zur Erkennung von Hardwarefehlern in Mikroprozessoren
EP3832453A1 (de) * 2019-12-05 2021-06-09 Wieland Electric GmbH Verfahren zur durchführung einer gleitkommaarithmetik

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SU475897A1 (ru) * 1971-06-14 1978-10-05 Предприятие П/Я М-5769 Процессор цифровой вычислительной системы
FR2602618B1 (fr) 1986-08-08 1995-03-31 Merlin Gerin Declencheur statique numerique autosurveille
US5572572A (en) * 1988-05-05 1996-11-05 Transaction Technology, Inc. Computer and telephone apparatus with user friendly interface and enhanced integrity features
DE4114999C2 (de) * 1991-05-08 2001-04-26 Bosch Gmbh Robert System zur Steuerung eines Kraftfahrzeuges
JPH05207637A (ja) * 1992-01-23 1993-08-13 Fuji Electric Co Ltd ディジタルリレー
US5379302A (en) * 1993-04-02 1995-01-03 National Semiconductor Corporation ECL test access port with low power control
US5793657A (en) * 1995-04-11 1998-08-11 Nec Corporation Random number generating apparatus and random number generating method in a multiprocessor system
US5999629A (en) * 1995-10-31 1999-12-07 Lucent Technologies Inc. Data encryption security module
FR2789779B1 (fr) * 1999-02-11 2001-04-20 Bull Cp8 Procede de traitement securise d'un element logique sensible dans un registre memoire, et module de securite mettant en oeuvre ce procede
DE19927030A1 (de) * 1999-06-04 2000-12-07 Siemens Ag Leistungsschalter mit einem elektronischen, mikroprozessorgesteuerten Auslöser und einer Bypass-Schaltung
US6708284B2 (en) * 2001-03-30 2004-03-16 Intel Corporation Method and apparatus for improving reliability in microprocessors
UA49639A (uk) * 2002-01-14 2002-09-16 Національний Аерокосмічний Університет Ім. М.Є. Жуковського "Харківський Авіаційний Інститут" Діагностичний процесор
DE10210920B4 (de) * 2002-03-13 2005-02-03 Moeller Gmbh Leistungsschalter mit elektronischem Auslöser
JP4223909B2 (ja) * 2003-09-24 2009-02-12 三菱電機株式会社 車載電子制御装置
US7132934B2 (en) * 2004-03-26 2006-11-07 Allison Iii Robert D Ignition safety device and method therefor
US7596743B2 (en) * 2005-09-28 2009-09-29 Ati Technologies Inc. Method and apparatus for error management
DE102006001872B4 (de) * 2006-01-13 2013-08-22 Infineon Technologies Ag Vorrichtung und Verfahren zum Überprüfen einer Fehlererkennungsfunktionalität einer Datenverarbeitungseinrichtung auf Angriffe
CN101339528A (zh) * 2007-07-02 2009-01-07 佛山市顺德区顺达电脑厂有限公司 计算机电源周期性开关测试的状态监控装置
US8239340B2 (en) * 2008-04-11 2012-08-07 Trevor Hanson Message conduit systems with algorithmic data stream control and methods for processing thereof

Also Published As

Publication number Publication date
CN102541713B (zh) 2017-03-01
RU2011150797A (ru) 2013-06-20
ES2864210T3 (es) 2021-10-13
FR2968855A1 (fr) 2012-06-15
BRPI1105502B1 (pt) 2020-10-20
FR2968855B1 (fr) 2012-12-07
EP2466712B1 (fr) 2021-03-10
EP2466712A1 (fr) 2012-06-20
CN102541713A (zh) 2012-07-04
RU2597472C2 (ru) 2016-09-10
US9343894B2 (en) 2016-05-17
US20120150492A1 (en) 2012-06-14

Similar Documents

Publication Publication Date Title
BRPI1105502A2 (pt) mÉtodo e dispositivo para o monitoramento de um dispositivo equipado com um microprocessador
KR102352068B1 (ko) 복수의 프로세서를 포함하는 기능 안전이 있는 애플리케이션을 위한 전자 시스템에서 프로그램을 실행하는 방법, 대응되는 시스템 및 컴퓨터 프로그램 제품
EP2573636B1 (en) Multi-channel control switchover logic
US10761916B2 (en) Method for executing programs in an electronic system for applications with functional safety comprising a plurality of processors, corresponding system and computer program product
CN104714450B (zh) 一种机械双余度电气三余度大气数据传感器余度管理算法
CN103544092A (zh) 一种基于arinc653标准机载电子设备健康监控体系
KR20020063237A (ko) 중요시스템의 고장안전처리실행, 모니터링 및 출력제어를위한 시스템 및 방법
TWI529624B (zh) Method and system of fault tolerance for multiple servers
CN107484430A (zh) 一种用于核电厂的安全系统及其操作方法
BRPI1103753A2 (pt) sistema de tratamento de sinais redundantes, processo de tratamento de sinais redundantes, sistema de comandos de vâo elÉtricos para aeronave e aeronave
US8803654B2 (en) Safety apparatus and fault detection method
BR102019017247A2 (pt) Circuito de detecção de falhas, e, método para controlar um circuito de detecção de falhas
US9984843B2 (en) Method for detecting a latent failure mode in an electronic selector having an interface switch and at least two underlying switches
JP6440743B2 (ja) 電子機械の1つまたは複数のコンポーネントを管理するための方法および装置ならびにコンピュータ・プログラム
CN116683050A (zh) 一种电池投退方法、系统、电子装置和存储介质
TWI479085B (zh) 風扇轉速控制系統及用以控制風扇轉速之方法
KR101436623B1 (ko) 차량 컨트롤러의 제어 차단 모듈 이상 검출 및 안전 제어 장치와 그 방법
BR112016015729B1 (pt) Método para monitorar um reversor de empuxo de um motor de aeronave
Shu Recoverability of discrete-event systems with faults
US9772897B1 (en) Methods and systems for improving safety of processor system
RU2665192C2 (ru) Способ мониторинга системы блокировки для реверса тяги газотурбинного двигателя
US9690643B2 (en) Engine-control computer and method for detecting failures of such a computer
Zhao et al. Radar System Testability Design and Demonstration Based on Fault Modes and Software Control
Du et al. Research on Safety Programmable Controller Based on Dual-CPU Architecture
KR102194307B1 (ko) 선박 엔진의 회전수 측정장치

Legal Events

Date Code Title Description
B03A Publication of a patent application or of a certificate of addition of invention [chapter 3.1 patent gazette]
B06F Objections, documents and/or translations needed after an examination request according [chapter 6.6 patent gazette]
B06U Preliminary requirement: requests with searches performed by other patent offices: procedure suspended [chapter 6.21 patent gazette]
B09A Decision: intention to grant [chapter 9.1 patent gazette]
B16A Patent or certificate of addition of invention granted [chapter 16.1 patent gazette]

Free format text: PRAZO DE VALIDADE: 20 (VINTE) ANOS CONTADOS A PARTIR DE 13/12/2011, OBSERVADAS AS CONDICOES LEGAIS.