RU2597472C2 - Способ и устройство для мониторинга устройства, оснащенного микропроцессором - Google Patents

Способ и устройство для мониторинга устройства, оснащенного микропроцессором Download PDF

Info

Publication number
RU2597472C2
RU2597472C2 RU2011150797/08A RU2011150797A RU2597472C2 RU 2597472 C2 RU2597472 C2 RU 2597472C2 RU 2011150797/08 A RU2011150797/08 A RU 2011150797/08A RU 2011150797 A RU2011150797 A RU 2011150797A RU 2597472 C2 RU2597472 C2 RU 2597472C2
Authority
RU
Russia
Prior art keywords
microprocessor
monitoring
monitoring device
calculation
result
Prior art date
Application number
RU2011150797/08A
Other languages
English (en)
Other versions
RU2011150797A (ru
Inventor
Франк ГРЮФФАЗ
Original Assignee
Шнейдер Электрик Эндюстри Сас
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Шнейдер Электрик Эндюстри Сас filed Critical Шнейдер Электрик Эндюстри Сас
Publication of RU2011150797A publication Critical patent/RU2011150797A/ru
Application granted granted Critical
Publication of RU2597472C2 publication Critical patent/RU2597472C2/ru

Links

Images

Classifications

    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02HEMERGENCY PROTECTIVE CIRCUIT ARRANGEMENTS
    • H02H3/00Emergency protective circuit arrangements for automatic disconnection directly responsive to an undesired change from normal electric working condition with or without subsequent reconnection ; integrated protection
    • H02H3/02Details
    • H02H3/05Details with means for increasing reliability, e.g. redundancy arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/26Functional testing
    • G06F11/27Built-in tests
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02HEMERGENCY PROTECTIVE CIRCUIT ARRANGEMENTS
    • H02H1/00Details of emergency protective circuit arrangements
    • H02H1/0007Details of emergency protective circuit arrangements concerning the detecting means
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02HEMERGENCY PROTECTIVE CIRCUIT ARRANGEMENTS
    • H02H3/00Emergency protective circuit arrangements for automatic disconnection directly responsive to an undesired change from normal electric working condition with or without subsequent reconnection ; integrated protection
    • H02H3/02Details
    • H02H3/04Details with warning or supervision in addition to disconnection, e.g. for indicating that protective apparatus has functioned
    • H02H3/044Checking correct functioning of protective arrangements, e.g. by simulating a fault
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02HEMERGENCY PROTECTIVE CIRCUIT ARRANGEMENTS
    • H02H3/00Emergency protective circuit arrangements for automatic disconnection directly responsive to an undesired change from normal electric working condition with or without subsequent reconnection ; integrated protection
    • H02H3/08Emergency protective circuit arrangements for automatic disconnection directly responsive to an undesired change from normal electric working condition with or without subsequent reconnection ; integrated protection responsive to excess current
    • H02H3/093Emergency protective circuit arrangements for automatic disconnection directly responsive to an undesired change from normal electric working condition with or without subsequent reconnection ; integrated protection responsive to excess current with timing means
    • H02H3/0935Emergency protective circuit arrangements for automatic disconnection directly responsive to an undesired change from normal electric working condition with or without subsequent reconnection ; integrated protection responsive to excess current with timing means the timing being determined by numerical means
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02HEMERGENCY PROTECTIVE CIRCUIT ARRANGEMENTS
    • H02H7/00Emergency protective circuit arrangements specially adapted for specific types of electric machines or apparatus or for sectionalised protection of cable or line systems, and effecting automatic switching in the event of an undesired change from normal working conditions
    • H02H7/26Sectionalised protection of cable or line systems, e.g. for disconnecting a section on which a short-circuit, earth fault, or arc discharge has occured
    • H02H7/261Sectionalised protection of cable or line systems, e.g. for disconnecting a section on which a short-circuit, earth fault, or arc discharge has occured involving signal transmission between at least two stations
    • H02H7/263Sectionalised protection of cable or line systems, e.g. for disconnecting a section on which a short-circuit, earth fault, or arc discharge has occured involving signal transmission between at least two stations involving transmissions of measured values

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)
  • Microcomputers (AREA)
  • Alarm Systems (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)

Abstract

Изобретение относится к устройству мониторинга для микропроцессора, сконструированного для работы в системе, оснащенной микропроцессором, безопасность которого является важным параметром. Технический результат - повышение надежности микропроцессора. Устройство (10) мониторинга для устройства, оснащенного микропроцессором (10), содержит, по меньшей мере, один вход (13) для получения данных от микропроцессора, узел (11) аппаратной логики для выполнения логических операций на данных, поступающих от микропроцессора, узел (12) компаратора для сравнения результата вычисления, выполненного микропроцессором, с результатом, полученным посредством узла (11) аппаратной логики, и выход (15) для передачи сигнала, представляющего результат диагностики работы микропроцессора. 3 н. и 12 з.п. ф-лы, 4 ил.

Description

Предпосылки создания изобретения
Настоящее изобретение относится к устройству мониторинга для микропроцессора, сконструированного для работы в системе, оснащенной микропроцессором, безопасность которого является важным параметром. Оно также относится к системе, содержащей по меньшей мере один микропроцессор и оснащенной таким устройством мониторинга, причем эта система может быть прерывателем цепи (автоматическим выключателем) электроустановки. Наконец, оно относится к способу для мониторинга микропроцессора, дающему возможность установления диагностики работы этого микропроцессора.
Область техники, к которой относится изобретение
Это обычная практика оснащать устройство, содержащее микропроцессор устройством основывающегося на времени мониторинга, также называемое сторожевым таймером. Функцией такого устройства мониторинга является обнаружение возможной аномалии в последовательности работы микропроцессора с целью запуска вмешательства в целях обеспечения безопасности, такого как перезапуск микропроцессора или переключение устройства в безопасную конфигурацию. Функцией сторожевого таймера вследствие этого является реагирование на определенные несрабатывания (бездействия) микропроцессора, которые могли бы привести к угрожающей небезопасной ситуации.
Но это устройство оказывается недостаточным, когда необходим более высокий уровень функциональной безопасности, в частности, когда необходимо проверять функциональную целостность исполнения функций безопасности микропроцессора. Первое решение состоит в использовании второго микропроцессора, предназначенного для мониторинга главного микропроцессора, когда последний обычно не способен выполнять самопроверку с достаточным охватом тестирования. Однако такое решение является дорогостоящим, коль скоро касается и затрат на производство изделия и затрат на разработку, и оказывается громоздким, так как оно требует большого пространства для размещения на печатной плате для того, чтобы присоединять дополнительный микропроцессор. За счет его сложности такое решение в результате способствует производству менее надежного изделия.
Документ FR2602618 демонстрирует решение, относящееся к условию техники, в котором сторожевой таймер отслеживает периодическое выполнение процесса обработки данных, контролируемого микропроцессором, с оборудованием прерывателя цепи электроустановки. Такой микропроцессор совершает определенный набор операций цифровой обработки по электрическим сигналам электроустановки и формирует требование переключения прерывателя цепи, когда достигаются определенные заранее заданные пороговые величины. Микропроцессор, таким образом, выполняет важную функцию для безопасности системы, и сбой в работе микропроцессора приводит к очень рискованной ситуации для контролируемой электроустановки. Для смягчения такого сбоя в работе сторожевой таймер отслеживает любые нарушения, что могут возникнуть, которые он детектирует по задержкам периодического цикла в периодической работе, выполняемой микропроцессором. Сторожевой таймер, таким образом, может детектировать сбои в работе микропроцессора: в такой ситуации он передает требование переинициализации на микропроцессор, и если это вмешательство не решает проблему и не сопровождается нормальным рестартом периодического цикла, управляемого микропроцессором, тогда сторожевой таймер передает требование переключения/отключения прерывателя цепи для помещения электроустановки в безопасную конфигурацию, так как прерыватель цепи является неисправным. Однако такое решение не дает возможности обнаружения всех сбоев в работе микропроцессора, причем определенные функции микропроцессора могут быть выполнены некорректно без какого-нибудь отклика на проверяемом периодическом цикле. Итак, этот подход можно усовершенствовать.
Сущность изобретения
Задачей изобретения вследствие этого является предложить решение для функции мониторинга микропроцессора, для которого не будут характерны все или часть недостатков предшествующего уровня техники.
Точнее, задачей изобретения является предложить решение для функции мониторинга микропроцессора, которое будет надежным, недорогим и не объемистым.
Способ мониторинга устройства, оснащенного микропроцессором, согласно изобретению содержит следующие этапы, на которых:
- выполняют по меньшей мере одно вычисление на микропроцессоре с входными данными;
- выполняют по меньшей мере одну логическую операцию посредством логических вентилей во внешнем устройстве мониторинга с теми же самыми входными данными;
- сравнивают результаты упомянутого по меньшей мере одного вычисления, выполненного на микропроцессоре, и упомянутой по меньшей мере одной логической операции, выполненной на устройстве мониторинга, для получения на основании этого диагностики микропроцессора и/или команды для переключения в безопасную конфигурацию.
Способ мониторинга, более того, предпочтительно содержит следующие этапы, на которых:
- определяют входные данные на уровне микропроцессора в виде переменных величин, соответствующих некоторому количеству заранее заданных величин;
- передают эти величины на устройство мониторинга при помощи средств связи.
Преимущественно этап определения входных данных содержит случайное формирование переменных величин, и/или выборку, и/или комбинирование переменных величин из битов данных, поступающих извне и получаемых микропроцессором.
Преимущественно этап определения входных данных содержит определение значимости некоторых чисел, по меньшей мере один бит которых является переменной и принимает значение, равное одной из переменных величин.
Преимущественно этап выполнения по меньшей мере одного вычисления на микропроцессоре содержит математические действия между числами, такие как деление, умножение, извлечение квадратного корня или возведение в квадрат.
Предпочтительно способ мониторинга содержит этап, на котором определяют по меньшей мере один бит, представляющий результаты упомянутого по меньшей мере одного вычисления, выполняемого микропроцессором, и этап, на котором передают этот по меньшей мере один бит на устройство мониторинга.
Преимущественно этап, на котором выполняют по меньшей мере одно вычисление на микропроцессоре, выполняется при помощи программного обеспечения диагностического узла микропроцессора.
Преимущественно выполнение по меньшей мере одной логической операции на устройстве мониторинга содержит операции на переменных величинах.
Предпочтительно устройство мониторинга содержит сравнение переменных величин от по меньшей мере одного вентиля XOR (исключающее ИЛИ) в устройстве мониторинга с целью получения результатов на одиночном (бите) в зависимости от равенства или разницы сравниваемых переменных величин.
Преимущественно на этапе сравнения формируют булево выражение, первое значение которого представляет нормальное состояние устройства, оснащенного микропроцессором, и второе значение которого представляет состояние неисправности.
Предпочтительно способ мониторинга содержит этап, на котором активируют устройство для помещения его в безопасную конфигурацию, когда его микропроцессор находится в состоянии неисправности.
Устройство мониторинга для устройства, оснащенного микропроцессором, согласно изобретению содержит по меньшей мере один вход для получения данных от микропроцессора, узел аппаратной («прошитой») логики для выполнения логических операций с данными, поступающими от микропроцессора, узел компаратора для сравнения результата вычисления, выполняемого микропроцессором, с результатом, получаемым при помощи узла аппаратной логики, и выход для передачи сигнала, представляющего результат диагностики работы микропроцессора.
Предпочтительно его узел аппаратной логики и его узел компаратора содержат логические вентили типа OR, NOR, AND, NAND, XOR и/или XNOR.
Система согласно изобретению, содержащая микропроцессор, содержит внешнее устройство мониторинга, как определено выше, соединенное посредством по меньшей мере одного средства связи с микропроцессором, и микропроцессор содержит узел диагностики, который выполняет по меньшей мере одно вычисление по способу мониторинга, как определено выше.
Предпочтительно система является прерывателем электросети, системой мониторинга электроустановки или контроллером безопасности.
Краткое описание чертежей
Эти задачи, признаки и преимущества настоящего изобретения более подробно будут предложены в последующем описании конкретного варианта осуществления, данном в целях неограничивающего примера, со ссылками на приложенные чертежи, на которых:
фиг.1 схематично представляет систему, оснащенную устройством мониторинга собственного микропроцессора согласно изобретению.
Фиг.2 представляет логическую блок-схему, поясняющую действие способа мониторинга микропроцессора согласно варианту осуществления изобретения.
Фиг.3 более подробным образом представляет определенные части системы, оснащенной устройством мониторинга собственного микропроцессора согласно способу осуществления изобретения.
Фиг.4 представляет альтернативный вариант осуществления системы согласно способу осуществления изобретения.
Подробное описание предпочтительного варианта осуществления
Концепция изобретения заключается в использовании устройства мониторинга микропроцессора, содержащего обособленный или интегрированный узел аппаратной логики, который позволяет очень просто осуществлять определенные логические операции, результат которых сравнивается с результатами, полученными при параллельном выполнении связанных вычислений контролируемым микропроцессором. На основании этого сравнения можно сделать вывод об операционной диагностике микропроцессора и/или переключать систему в резервную позицию безопасности.
Фиг.1 схематично изображает реализацию решения мониторинга согласно концепции изобретения. Система содержит, с одной стороны, микропроцессор 1 для мониторинга и, с другой стороны, устройство 10 мониторинга, отдельное от микропроцессора 1.
Система, таким образом, содержит микропроцессор 1, который участвует в реализации определенного приложения, требующего высокого уровня функциональной безопасности, посредством программного обеспечения 2 на основе данных, полученных на входе 3, например, поступающих от датчика измерений и/или от любого другого устройства 6 и переданных на микропроцессор 1 при помощи любых средств связи, и который обеспечивает генерирование выходных данных и/или команд для определенного устройства 7 на выходе 4, таких как отключение или нет в случае, например, с прерывателем сети, или сигнал тревоги в контексте аппаратуры мониторинга, или команда в случае автоматических систем безопасности. Наконец, микропроцессор 1 выполняет связанные вычисления при помощи узла 8 диагностики на основе задачи программного обеспечения, специализированного для способа технического обслуживания микропроцессора 1 или интегрированного в приложении 2, и сообщение с устройством 10 мониторинга.
Согласно изобретению система, таким образом, содержит устройство 10 мониторинга, которое содержит первый вход 13, предусмотренный для соединения с микропроцессором 1 с целью получения первых данных от микропроцессора 1, и второй вход 14, предусмотренный для соединения с микропроцессором 1 с целью получения вторых данных от микропроцессора 1 через средства 16 связи. Следует отметить, что два входа 13, 14 изображены как находящиеся отдельно по причине иллюстративного пояснения изобретения, но физически могут соответствовать одному и тому же входу. Устройство 10 мониторинга, более того, содержит набор элементарных компонентов, образующих узел 11 аппаратной логики и узел 12 компаратора, а также выход 15 для передачи сигнала, представляющего результат диагностики микропроцессора 1 и дающего возможность системе переключаться на резервную позицию безопасности.
Ниже будет описана работа этой системы. Параллельно ее основной функции, дающей возможность ей исполнять определенное приложение посредством первого программного обеспечения 2, микропроцессор 1 выполняет задачу программного обеспечения в собственном узле 8 диагностики при взаимодействии с независимым внешним устройством мониторинга. Для этого микропроцессор передает исходные данные на устройство 10 мониторинга и выполняет вычисление с этими исходными данными, которое образует первый результат, также передаваемый на устройство 10 мониторинга через его второй вход 14. Параллельно устройство 10 мониторинга использует исходные данные, полученные на его первом входе 13, для выполнения операций посредством его узла 11 аппаратной логики, второй результат которого, полученный этим способом, должен быть таким же, как тот, что получен при помощи узла 8 диагностики микропроцессора 1, когда этот микропроцессор 1 работает корректно. Узел 12 компаратора устройства мониторинга получает, с одной стороны, первый результат от узла аппаратной логики и, с другой стороны, второй результат от микропроцессора 1, выполняет сравнение этих двух результатов и подает на выход 15 сигнал, представляющий диагностику микропроцессора 1 на основе этого сравнения. В случае неисправности микропроцессора 1 этот выходной сигнал представляет, например, команду для переключения на резервную позицию безопасности, гарантирующую, что система, безопасность которой задействуется, помещается в безопасную конфигурацию. Этот выходной сигнал также представляет, например, сигнал тревоги, активирующий безопасность системы, безопасность которой задействуется для передачи на другое внешнее устройство безопасности с тем, чтобы это другое устройство безопасности могло выполнять все или часть функций, связанных с безопасностью.
Фиг.2 более точно демонстрирует реализацию способа мониторинга микропроцессора согласно варианту осуществления изобретения.
По этому варианту осуществления способ основан на четырех числах А, В, С и D, определяемых на первом этапе E1. Эти числа изменяются при каждом повторении способа посредством четырех битов переменной величины, отмеченных b0, b1, b2, b3. Этими переменными величинами могут быть переменные, случайным образом создаваемые микропроцессором и/или выделенные из или вычисленные по входным данным микропроцессора, обеспеченным, например, датчиком измерения, выбравшим, например, последние четыре бита этих данных.
На втором этапе Е2 данного способа эти четыре переменные величины передаются на устройство 10 мониторинга при помощи средств 16 связи.
На третьем этапе Е3 микропроцессор выполняет первое вычисление, которое соответствует делению В на А с плавающей точкой, и второе вычисление, которое соответствует умножению С на D, и затем вычисляет С2. Преимущественно вычисление, выполняемое на микропроцессоре 1 в объеме способа мониторинга согласно изобретению, является достаточно сложным для требования доступа к максимуму ресурсов микропроцессора 1 и, в частности, к самым критичным частям микропроцессора 1. Итак, это вычисление преимущественно объединяет умножения и/или деления. Как вариант, любое другое вычисление может быть предусмотрено.
Параллельно на четвертом этапе E4 узел 11 аппаратной логики устройства 10 мониторинга выполняет два сравнения - с одной стороны, между b0 и b1 и, с другой стороны, между b2 и b3 посредством двух логических функций 21, 22 XOR, видимых на фиг.3, с целью определения двух значений «результат1», «результат2», согласно следующим правилам:
- Если b1=b0, тогда результат1=0, иначе результат1=1,
- Если b3=b2, тогда результат2=0, иначе результат2=1.
На пятом этапе Е5 этого способа определяют значение данных «результат1_µC», «результат2_µC», представляющих результаты вычислений, выполненных микропроцессором 1, только на двух битах по следующей формуле:
- Если В/А=2, тогда результат1_µC=0, иначе результат1_µC=1,
- Если (C×D=C2), тогда результат2_µC=0, иначе результат2_µC=1.
На шестом этапе Е6 два результата результат1_µC, результат2_µC передаются на устройство 10 мониторинга, которое выполняет седьмой этап сравнения Е7, который в первую очередь содержит два новых сравнения этих значений со значениями результат1, результат2, полученными устройством 10 мониторинга посредством двух дополнительных XOR функций 23, 24, два результата которых должны быть равны 0, если результат1=результат1_µC и если результат2=результат2_µC, что означает, что микропроцессор является нормально работающим и приводит к правильным результатам «результат1_µC, результат2_µC» при выполнении вычислений и, таким образом, к правильным результатам во время выполнения вычислений на этапе 3. Затем новая XOR функция 25 дает возможность определения единичного результата, на одиночном выходном бите, который представляет окончательную диагностику микропроцессора. Этот результат принимает нулевое значение в случае, где следующие два условия удостоверены: результат1=результат1_µC и результат2=результат2_µC. В иных случаях результат принимает значение 1.
Затем выходной сигнал, представляющий диагностику микропроцессора 1, может быть использован непосредственно на этапе Е8 для команды приводам системы поместить ее в резервную позицию безопасности, например, в случае неисправности микропроцессора.
Способ мониторинга может естественно представлять многочисленные варианты без отклонения от концепции изобретения. В частности, выполняемые вычисления и операции могут отличаться от описываемых примеров. Более того, разные описываемые этапы можно осуществлять с различной хронологией. Определенные этапы предпочтительно выполнять параллельно, по существу, одновременным образом на микропроцессоре и на устройстве мониторинга.
Суммируя изложенное выше, этот способ мониторинга содержит следующие необходимые этапы:
E3 - этап, на котором выполняют, по меньшей мере, одно вычисление на микропроцессоре с входными данными;
Е4 - этап, на котором выполняют по меньшей мере одну логическую операцию посредством «прошитых» и аппаратных компонентов в устройстве мониторинга с по меньшей мере частью тех же самых входных данных.
Е7 - этап, на котором сравнивают результаты упомянутого по меньшей мере одного вычисления, сделанного на микропроцессоре и упомянутой по меньшей мере одной логической операции, выполненной на устройстве мониторинга, чтобы получить на основании этого диагностику микропроцессора и/или команду на переключение системы в резервную позицию безопасности.
Фиг.3 снова представляет систему согласно изобретению, включающую в себя, в частности, подробную структуру узла 11 аппаратной логики и узла 12 компаратора устройства 10 мониторинга для реализации способа мониторинга, описываемого выше. В данной реализации различные переменные величины b0-b3 получены для четырех битов данных, передаваемых на вход микропроцессора 1 и поступающих от устройства 6. Узел 11 аппаратной логики устройства 10 мониторинга принимает эти данные и реализует способ мониторинга, описываемый выше, на основе двух логических вентилей 21, 22 XOR, тогда как узел 12 компаратора содержит три логических вентиля 23-25 XOR. Параллельно микропроцессор использует эти переменные в собственном узле 8 диагностики для выполнения этапов, изложенных выше.
Способ мониторинга согласно изобретению естественно можно осуществлять с любым другим вычислением, включая, например, деления, умножения, возведение в квадрат, извлечение квадратных корней и т.д. Подбор и определение чисел А, В, С и D из четырех переменных величин булева типа b0, b1, b2 и b3 на входе этого вычисления способа мониторинга дает возможность несложного определения результата, ожидаемого от вычисления на микропроцессоре, без необходимости выполнения того же самого сложного вычисления в устройстве мониторинга, а только посредством нескольких логических вентилей. Такой принцип может быть реализован с другим набором переменных величин и/или входных чисел и интегрированием другого набора переменных, в частности булева типа. Пользователь выберет компромисс между сложностью вычисления и уровнем функциональной безопасности в зависимости от того, что он желает достичь. Этот принцип изобретения естественно можно использовать с иными логическими узлами, изготовленными с сокращенным набором логических вентилей среди OR, NOR, AND, NAND, XOR и/или XNOR и т.д. Этот принцип изобретения естественно можно использовать также с вентилями, использующими последовательную логику. Это использование внешнего устройства мониторинга, выполняющего простые операции от структуры типа аппаратного обеспечения, дает возможность достижения высокого уровня мониторинга системой простым, надежным, недорогим и необъемистым способом.
Решение мониторинга согласно изобретению естественно может быть комбинированным со всеми существующими иными решениями мониторинга системы, например комбинированным с устройством «сторожевой таймер». Так, фиг.4 представляет пример интеграции решения изобретения в комплексной системе, требующей высокого уровня безопасности. Эта система содержит микропроцессор 1 и некоторые сгруппированные элементы безопасности, которые контролируют удовлетворительную работу микропроцессора. Она в первую очередь содержит устройство 10 мониторинга для реализации способа мониторинга согласно изобретению, как описано выше. Более того, она объединяет внутреннее устройство 30 мониторинга и внешнее устройство 31 мониторинга, которое проверяет корректность работы микропроцессора во времени, типа, описываемого в документе FR2602618, подключенные к источнику 32 электропитания, включающему наблюдение 33 за напряжением питания. Затем система содержит одну или более логических функций 35 для команды на действие по обеспечению безопасности, как только устройство подает сигнал тревоги. Эта команда безопасности действует на привод 37, который может, например, поместить прерыватель сети, сигнал тревоги или привод в резервную позицию безопасности.
Устройство мониторинга микропроцессора согласно изобретению может быть интегрировано в любой системе, требующей высокий уровень функциональной безопасности. Это, в частности, является особенно подходящим для создания прерывателя сети, совместимого с установкой безопасности, объединяя, например, требования функциональной безопасности типа SIL в соответствии со стандартом IEC 61508.
Концепция изобретения естественно является применимой для системы, содержащей несколько микропроцессоров, которая могла бы содержать устройство мониторинга для каждого микропроцессора или, как вариант, одиночное устройство мониторинга, которое могло бы контролировать несколько микропроцессоров. Согласно другому альтернативному варианту осуществления некоторые устройства мониторинга согласно изобретению можно соединять с одиночным микропроцессором для увеличения уровня функциональной безопасности. Более того, устройство мониторинга изобретения описано относительно микропроцессора, но может быть связано с любым компонентом с искусственным интеллектом, составляющим арифметико-логическое устройство (АЛУ).

Claims (15)

1. Способ мониторинга устройства, оснащенного микропроцессором (1), отличающийся тем, что содержит следующие этапы:
этап (Е3), на котором выполняют по меньшей мере одно вычисление на микропроцессоре (1) с входными данными;
этап (Е4), на котором выполняют по меньшей мере одну логическую операцию посредством логических вентилей на внешнем устройстве (10) мониторинга с теми же самыми входными данными;
этап (Е7), на котором сравнивают результаты упомянутого по меньшей мере одного вычисления, выполненного на микропроцессоре (1), и упомянутой по меньшей мере одной логической операции, выполненной на устройстве (10) мониторинга, для получения на основе этого сравнения диагностики микропроцессора (1) и/или команды для переключения в безопасную конфигурацию.
2. Способ мониторинга по п. 1, отличающийся тем, что дополнительно содержит следующие этапы:
этап (Е1), на котором определяют на уровне микропроцессора (1) входные данные в виде переменных величин (b0, b1, b2, b3), соответствующих некоторому количеству заранее заданных величин;
этап (Е2), на котором передают эти величины на устройство (10) мониторинга при помощи средств (16) связи.
3. Способ мониторинга по п. 2, отличающийся тем, что этап (Е1) определения входных данных содержит этап, на котором случайным образом формируют переменные величины (b0, b1, b2, b3) и/или осуществляют выборку и/или комбинирование переменных величин (b0, b1, b2, b3) из битов данных, поступающих извне и получаемых микропроцессором (1).
4. Способ мониторинга по п. 2 или 3, отличающийся тем, что этап (Е1) определения входных данных содержит этап, на котором определяют значение некоторых чисел (А, В, С, D), по меньшей мере один бит которых является переменным и принимает значение, равное одной из переменных величин (b0, b1, b2, b3).
5. Способ мониторинга по п. 4, отличающийся тем, что этап (Е3) выполнения по меньшей мере одного вычисления на микропроцессоре (1) содержит математические действия, такие как деление, умножение, извлечение квадратного корня, возведение в квадрат, между числами (А, В, С, D).
6. Способ мониторинга по п. 5, отличающийся тем, что содержит этап (Е5), на котором определяют по меньше мере один бит (результат1_µС, результат2_µС), представляющий результаты упомянутого по меньшей мере одного вычисления (Е3), выполняемого микропроцессором (1), и этап (Е6), на котором передают этот по меньшей мере один бит (результат1_µС, результат2_µС) на устройство (10) мониторинга.
7. Способ мониторинга по любому одному из пп. 1-3, отличающийся тем, что этап (Е3) выполнения по меньшей мере одного вычисления на микропроцессоре (1) выполняется посредством программного обеспечения узла (8) диагностики микропроцессора (1).
8. Способ мониторинга по п. 2, отличающийся тем, что выполнение по меньшей мере одной логической операции (Е4) на устройстве мониторинга содержит операции на упомянутых переменных величинах (b0, b1, b2, b3).
9. Способ мониторинга по п. 8, отличающийся тем, что содержит этап, на котором выполняют сравнение переменных величин (b0, b1, b2, b3) из по меньшей мере одного вентиля XOR (21, 22) в устройстве (10) мониторинга с тем, чтобы получить результаты на одиночном бите в зависимости от равенства или отличия сравниваемых переменных величин.
10. Способ мониторинга по любому одному из пп. 1-3, отличающийся тем, что этап (Е7) сравнения содержит этап, на котором формируют булево выражение, первое значение которого представляет нормальное состояние устройства, оснащенного микропроцессором, и второе значение которого представляет состояние неисправности.
11. Способ мониторинга по любому одному из пп. 1-3, отличающийся тем, что содержит этап (Е8), на котором устройство приводят в действие для помещения его в безопасную конфигурацию, когда микропроцессор находится в состоянии неисправности.
12. Устройство (10) мониторинга для устройства, оснащенного микропроцессором (10), отличающееся тем, что содержит по меньшей мере один вход (13) для получения данных от микропроцессора, узел (11) аппаратной логики для выполнения логических операций на данных, поступающих от микропроцессора, узел (12) компаратора для сравнения результата вычисления, выполненного микропроцессором, с результатом, полученным посредством узла (11) аппаратной логики, и выход (15) для передачи сигнала, представляющего результат диагностики работы микропроцессора.
13. Устройство мониторинга по п. 12, отличающееся тем, что его узел (11) аппаратной логики и его узел (12) компаратора содержат логические вентили типа OR, NOR, AND, NAND, XOR и/или XNOR.
14. Система мониторинга, содержащая микропроцессор (1), отличающаяся тем, что содержит внешнее устройство (10) мониторинга по п. 12 или 13, детектируемое по меньшей мере одним средством (16) связи с микропроцессором (1), и тем, что микропроцессор содержит узел (8) диагностики, который выполняет по меньшей мере одно вычисление (Е3) способом мониторинга по одному из пп. 1-11.
15. Система по п. 14, отличающаяся тем, что является прерывателем электросети, системой мониторинга электроустановки или контроллером безопасности.
RU2011150797/08A 2010-12-14 2011-12-13 Способ и устройство для мониторинга устройства, оснащенного микропроцессором RU2597472C2 (ru)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1004867A FR2968855B1 (fr) 2010-12-14 2010-12-14 Procede et dispositif de surveillance d'un dispositif equipe d'un microprocesseur
FR1004867 2010-12-14

Publications (2)

Publication Number Publication Date
RU2011150797A RU2011150797A (ru) 2013-06-20
RU2597472C2 true RU2597472C2 (ru) 2016-09-10

Family

ID=44147635

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2011150797/08A RU2597472C2 (ru) 2010-12-14 2011-12-13 Способ и устройство для мониторинга устройства, оснащенного микропроцессором

Country Status (7)

Country Link
US (1) US9343894B2 (ru)
EP (1) EP2466712B1 (ru)
CN (1) CN102541713B (ru)
BR (1) BRPI1105502B1 (ru)
ES (1) ES2864210T3 (ru)
FR (1) FR2968855B1 (ru)
RU (1) RU2597472C2 (ru)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2701382C1 (ru) * 2015-12-14 2019-09-26 Кнорр-Бремзе Зюстеме Фюр Нутцфарцойге Гмбх Схемный узел для отключаемой оконечной нагрузки линии последовательной шины

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6419215B2 (ja) * 2014-05-08 2018-11-07 マイクロ モーション インコーポレイテッド フェイルセーフ計算を実施するための方法
FR3036203B1 (fr) * 2015-05-13 2017-05-19 Inside Secure Procede de securisation d’une comparaison de donnees lors de l’execution d’un programme
DE102016207020A1 (de) * 2016-04-26 2017-10-26 Robert Bosch Gmbh Sicherungssystem für mindestens einen Verbraucher eines Fahrzeugs
FR3056032B1 (fr) * 2016-09-15 2020-06-19 Schneider Electric Industries Sas Dispositif et procede de surveillance de l'activite d'unites de traitement dans un declencheur electirque
DE102017208484A1 (de) * 2017-05-19 2018-11-22 Robert Bosch Gmbh Verfahren und Vorrichtung zur Erkennung von Hardwarefehlern in Mikroprozessoren
EP3832453A1 (de) * 2019-12-05 2021-06-09 Wieland Electric GmbH Verfahren zur durchführung einer gleitkommaarithmetik

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SU475897A1 (ru) * 1971-06-14 1978-10-05 Предприятие П/Я М-5769 Процессор цифровой вычислительной системы
US5793657A (en) * 1995-04-11 1998-08-11 Nec Corporation Random number generating apparatus and random number generating method in a multiprocessor system
UA49639A (ru) * 2002-01-14 2002-09-16 Національний Аерокосмічний Університет Ім. М.Є. Жуковського "Харківський Авіаційний Інститут" Процессор для диагностики
US20020144176A1 (en) * 2001-03-30 2002-10-03 Smith Ronald D. Method and apparatus for improving reliability in microprocessors
US7251551B2 (en) * 2003-09-24 2007-07-31 Mitsubishi Denki Kabushiki Kaisha On-vehicle electronic control device
US7596743B2 (en) * 2005-09-28 2009-09-29 Ati Technologies Inc. Method and apparatus for error management

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2602618B1 (fr) 1986-08-08 1995-03-31 Merlin Gerin Declencheur statique numerique autosurveille
US5572572A (en) * 1988-05-05 1996-11-05 Transaction Technology, Inc. Computer and telephone apparatus with user friendly interface and enhanced integrity features
DE4114999C2 (de) * 1991-05-08 2001-04-26 Bosch Gmbh Robert System zur Steuerung eines Kraftfahrzeuges
JPH05207637A (ja) * 1992-01-23 1993-08-13 Fuji Electric Co Ltd ディジタルリレー
US5379302A (en) * 1993-04-02 1995-01-03 National Semiconductor Corporation ECL test access port with low power control
US5999629A (en) * 1995-10-31 1999-12-07 Lucent Technologies Inc. Data encryption security module
FR2789779B1 (fr) * 1999-02-11 2001-04-20 Bull Cp8 Procede de traitement securise d'un element logique sensible dans un registre memoire, et module de securite mettant en oeuvre ce procede
DE19927030A1 (de) * 1999-06-04 2000-12-07 Siemens Ag Leistungsschalter mit einem elektronischen, mikroprozessorgesteuerten Auslöser und einer Bypass-Schaltung
DE10210920B4 (de) * 2002-03-13 2005-02-03 Moeller Gmbh Leistungsschalter mit elektronischem Auslöser
US7132934B2 (en) * 2004-03-26 2006-11-07 Allison Iii Robert D Ignition safety device and method therefor
DE102006001872B4 (de) * 2006-01-13 2013-08-22 Infineon Technologies Ag Vorrichtung und Verfahren zum Überprüfen einer Fehlererkennungsfunktionalität einer Datenverarbeitungseinrichtung auf Angriffe
CN101339528A (zh) * 2007-07-02 2009-01-07 佛山市顺德区顺达电脑厂有限公司 计算机电源周期性开关测试的状态监控装置
US8239340B2 (en) * 2008-04-11 2012-08-07 Trevor Hanson Message conduit systems with algorithmic data stream control and methods for processing thereof

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SU475897A1 (ru) * 1971-06-14 1978-10-05 Предприятие П/Я М-5769 Процессор цифровой вычислительной системы
US5793657A (en) * 1995-04-11 1998-08-11 Nec Corporation Random number generating apparatus and random number generating method in a multiprocessor system
US20020144176A1 (en) * 2001-03-30 2002-10-03 Smith Ronald D. Method and apparatus for improving reliability in microprocessors
UA49639A (ru) * 2002-01-14 2002-09-16 Національний Аерокосмічний Університет Ім. М.Є. Жуковського "Харківський Авіаційний Інститут" Процессор для диагностики
US7251551B2 (en) * 2003-09-24 2007-07-31 Mitsubishi Denki Kabushiki Kaisha On-vehicle electronic control device
US7596743B2 (en) * 2005-09-28 2009-09-29 Ati Technologies Inc. Method and apparatus for error management

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2701382C1 (ru) * 2015-12-14 2019-09-26 Кнорр-Бремзе Зюстеме Фюр Нутцфарцойге Гмбх Схемный узел для отключаемой оконечной нагрузки линии последовательной шины

Also Published As

Publication number Publication date
CN102541713B (zh) 2017-03-01
RU2011150797A (ru) 2013-06-20
ES2864210T3 (es) 2021-10-13
FR2968855A1 (fr) 2012-06-15
BRPI1105502B1 (pt) 2020-10-20
FR2968855B1 (fr) 2012-12-07
EP2466712B1 (fr) 2021-03-10
EP2466712A1 (fr) 2012-06-20
CN102541713A (zh) 2012-07-04
BRPI1105502A2 (pt) 2013-04-09
US9343894B2 (en) 2016-05-17
US20120150492A1 (en) 2012-06-14

Similar Documents

Publication Publication Date Title
RU2597472C2 (ru) Способ и устройство для мониторинга устройства, оснащенного микропроцессором
CN108304717B (zh) 用于安全监管的电路和方法
CN102375410B (zh) 冗余信号的处理系统、相关方法和包括这类系统的航空器
CN104134038B (zh) 一种基于虚拟平台的安全可信运行保护方法
KR102386719B1 (ko) 안전 서브-시스템을 가지는 프로그램가능 ic
WO2009155993A1 (en) A safety system for a machine
CN103140813B (zh) 用于检测不规则传感器信号噪声的系统、方法和设备
JP7202448B2 (ja) 安全性が要求されるプロセスを監視する自動化システム
CN101523038A (zh) 用于对内燃机的发动机控制系统的功能能力进行监控的方法和装置
Preschern et al. Building a safety architecture pattern system
Györök et al. Duplicated control unit based embedded fault-masking systems
CN110390147B (zh) 基于无关覆盖模型的多阶段任务系统可靠性分析方法
Ruchkin et al. Eliminating inter-domain vulnerabilities in cyber-physical systems: An analysis contracts approach
CN114385501A (zh) 一种安全关键软件验证方法、装置、设备及介质
CN109145607B (zh) 一种卫星安全关键软件系统性验证方法
Iber et al. The potential of self-adaptive software systems in industrial control systems
Colley et al. A formal, systematic approach to STPA using Event-B refinement and proof
CN104063317B (zh) 一种指令诊断方法
Matsubara et al. Model checking with program slicing based on variable dependence graphs
US11927629B2 (en) Global time counter based debug
EP2983102A1 (en) Integrated circuit with distributed clock tampering detectors
CN116909123B (zh) 一种航空双余度机电作动系统电机控制器的自监控方法
Du et al. Research on Safety Programmable Controller Based on Dual-CPU Architecture
CN106649039B (zh) 一种嵌入式Linux系统下C语言监控软件容错的方法
Lala et al. Reducing the probability of common-mode failure in the fault tolerant parallel processor