用于安全关键软件应用的多核处理器故障检测制造技术

提供有在多核处理器环境中安全关键软件应用的执行期间的多核处理器故障检测。在多核处理器环境中安全关键软件应用的执行期间多核处理器故障检测的方法牵涉使至少一个处理器核的至少一部分的完整资源专用于执行诊断软件应用同时使余下资源专用于执行安全关键软件应用，由此实现诊断软件应用和安全关键软件应用的并行执行。还提供有用于在多核处理器环境中安全关键软件应用的执行期间多核处理器故障检测的控制器。该控制器包括多核处理器环境。控制器可以是控制系统的一部分。方法可作为计算机程序提供。

【技术实现步骤摘要】
【国外来华专利技术】
本文提出的实施例涉及多核处理器故障检测，并且特别涉及用于安全关键软件应用的多核处理器故障检测。
技术介绍
工业控制系统例如在制造和过程工业（例如化工厂、采油厂、炼油厂、制浆造纸厂、炼钢厂和自动化工厂）中应用。工业控制系统也广泛地在电力工业内使用。这样的工业控制系统可包括增加了安全特征的某些设备或可与这些设备组合。这样的设备的示例是安全控制器。需要除标准工业控制系统所提供的以外的额外安全特征的过程示例是离岸生产平台处的过程、核电站处的某些过程段和化工厂处的危险区域。安全特征可连同安全停机、消防和/或警报系统一起使用以及用于火灾燃气检测。涉及具有增加安全特征的工业控制系统的复杂计算机系统的使用在对工业控制器中软件的无错执行的需求增加提出挑战。标准IEC61508概述对于由硬件和软件组成的系统的要求，其分组成下列设备失效类别：随机硬件失效可以是永久或暂时的。永久失效存在直到被修复。暂时失效可以通过措施来解决以控制失效（通过采用检测和校正机制）。系统性失效可以在硬件和软件中存在。一般而言，系统性失效仅在系统（家庭）或证明（现场）测试期间发现时可以被消除。关于如何避免系统性失效的措施在上文的参考标准中规定。典型地，系统性失效的避免通过良好的设计规程和用于检测设计缺陷的措施来应对，同时系统性失效的控制可以多样化地实现，等。共因失效是一个或多个事件的结果，在多通道系统中导致两个或以上独立通道并发失效、从而导致系统失效。共因失效典型地在冗余硬件（不止一次实施的安全功能）中同时由环境问题（例如温度、EMC等）引起。一般而言，在硬件、设计或技术方面引入差异的多样性可减少这种错误。当前的多核处理器未满足根据IEC61508-2的附录E的HFT=1。启用内部核为核冗余可是可能的，但在相同硅上执行安全关键应用的两个副本时关于多样性的问题仍然存在。这在一定程度上可以通过使用不同设计原理或完全不同的技术来实施相同安全关键功能性而解决。在对安全应用使用多核处理器时，从而需要有处理器并且特别是处理器核的在线诊断测试。诊断软件通常作为后台任务运行并且从而与安全应用竞争处理能力。由此可失去使用多核处理器的益处。因此在工业控制系统中对于安全关键软件应用仍需要有改进的安全考虑。
技术实现思路
本文的实施例的目标是在工业控制系统中对安全关键软件应用提供改进的安全考虑。为了减少上文提到的问题的影响，本专利技术的专利技术者认识到应设计诊断软件使得它的执行不干扰安全应用的执行。特定目标因此是在工业控制系统中对安全关键软件应用提供改进安全考虑而不干扰安全应用的执行。根据第一方面，呈现有用于在多核处理器环境中在安全关键软件应用的执行期间多核处理器故障检测的方法。该方法包括将多核处理器环境的处理器核分成至少两个逻辑单元。方法包括使至少两个逻辑单元中的一个的所有处理资源专用于执行诊断软件应用DSA，该DSA设置成用于至少两个逻辑单元中所述一个的处理器核的故障检测。方法包括使余下逻辑单元中至少一个的处理器资源专用于执行安全关键软件应用SSA。方法包括由至少两个逻辑单元中的所述一个执行DSA同时由余下逻辑单元中所述至少一个并行执行SSA。有利地，方法在工业控制系统中对于安全关键软件应用提供改进的安全考虑。有利地，方法在SSA的执行期间实现改进的安全。通过这样执行诊断测试，多核处理器环境中的执行效率因为不需要有任务切换而提高。有利地，方法从而实现改进安全而不依赖于诊断作为后台任务被执行，并且从而不依赖任务切换。有利地，方法实现诊断功能性（如由DSA提供的）的优化执行。有利地，方法提供对于SSA执行具有较高正常运行时间的改进容错系统。有利地，方法可扩展到许多核。有利地，方法不依赖核的静态分配。有利地，分区以提高的诊断覆盖实现核的提高利用。诊断测试软件还可以测试通常用于非安全应用的核。公开的方法也可以用于提高计算资源的可用性，因为非无错性的核可以标记为不可用（有故障）并且应用（安全关键以及非安全关键）可以由余下的核执行。公开的方法可以与为了提高冗余而由多个核同时执行的安全应用组合。根据第二方面，呈现有用于在多核处理器环境中安全关键软件应用的执行期间多核处理器故障检测的控制器。该控制器包括多核处理器环境。该多核处理器环境设置成将多核处理器环境的处理器核分成至少两个逻辑单元。多核处理器环境设置成使至少两个逻辑单元中的一个的所有处理资源专用于执行诊断软件应用DSA，该DSA设置成用于至少两个逻辑单元中所述一个的处理器核的故障检测。多核处理器环境设置成使余下逻辑单元中的至少一个的处理器资源专用于执行安全关键软件应用SSA。多核处理器环境设置成由至少两个逻辑单元中的所述一个执行DSA同时由余下逻辑单元中的所述至少一个并行执行SSA。根据第三方面，呈现有控制系统，其包括根据第二方面的至少一个控制器。根据第四方面，呈现有用于在多核处理器环境中安全关键软件应用的执行期间多核处理器故障检测的计算机程序，该计算机程序包括计算机程序代码，其在控制器上运行时促使控制器执行根据第一方面的方法。根据第五方面，呈现有计算机程序产品，其包括根据第四方面的计算机程序和存储计算机程序的计算机可读装置。该计算机可读部件可以是非易失性计算机可读装置。要注意第一、第二、第三、第四和第五方面的任何特征在适当情况下可适用于任何其他方面。同样，第一方面的任何优势可同样分别适用于第二、第三、第四和/或第五方面，并且反之亦然。附上的实施例的其他目标、特征和优势从下列详细公开、从附属的从属权利要求以及从附图显而易见。一般，在权利要求中使用的所有术语要根据它们在
中的普通含义来解释，除非在本文另外明确定义。对“一个/该元件、设备、部件、装置、步骤等”的所有引用要公开地解释为指元件、设备、部件、装置、步骤等中的至少一个实例，除非另外明确规定。本文公开的任何方法的步骤不必按所公开的确切顺序执行，除非明确规定。附图说明现在通过示例的方式参考附图描述本专利技术，其中：图1是图示其中可应用本文呈现的实施例的控制系统的示意图；图2是示出控制器的功能模块的示意图；图3是示出多核处理器环境的功能模块的示意图；图4示出计算机程序产品（其包括计算机可读装置）的一个示例；图5和6是根据实施例的方法的流程图；图7示意地图示实时操作系统平台；图8示意地图示处理资源的分区；图9是根据实施例的故障检测的状态图；图10是根据实施例的故障检测的状态图；以及图11本文档来自技高网...

【技术保护点】
一种用于在多核处理器环境（4）中在安全关键软件应用的执行期间多核处理器故障检测的方法，所述方法包括：将所述多核处理器环境的处理器核（8a‑n）分区成（S104）至少两个逻辑单元；使所述至少两个逻辑单元中的一个逻辑单元的所有处理资源专用于（S106）执行诊断软件应用DSA，所述DSA设置成用于所述至少两个逻辑单元中所述一个逻辑单元的处理器核的故障检测；使余下逻辑单元中至少一个逻辑单元的处理器资源专用于（S108）执行安全关键软件应用SSA；以及由所述至少两个逻辑单元中的所述一个逻辑单元执行（S110）所述DSA同时并行地由余下逻辑单元中所述至少一个逻辑单元执行所述SSA。

【技术特征摘要】
【国外来华专利技术】2013.06.11 EP 13171337.21.一种用于在多核处理器环境（4）中在安全关键软件应用的执行期间多核处理器故障
检测的方法，所述方法包括：
将所述多核处理器环境的处理器核（8a-n）分区成（S104）至少两个逻辑单元；
使所述至少两个逻辑单元中的一个逻辑单元的所有处理资源专用于（S106）执行诊断
软件应用DSA，所述DSA设置成用于所述至少两个逻辑单元中所述一个逻辑单元的处理器核
的故障检测；
使余下逻辑单元中至少一个逻辑单元的处理器资源专用于（S108）执行安全关键软件
应用SSA；以及
由所述至少两个逻辑单元中的所述一个逻辑单元执行（S110）所述DSA同时并行地由余
下逻辑单元中所述至少一个逻辑单元执行所述SSA。
2.如权利要求1所述的方法，其中执行所述DSA进一步包括：
执行（S110a）所述DSA被执行的逻辑单元的故障检测；
如果通过所述故障检测则将所述逻辑单元标记为（S110b）健康，否则标记为有故障；以
及
防止（S110c）在标记为有故障的逻辑单元上执行所述SSA。
3.如权利要求2所述的方法，其进一步包括：
防止（S112a）在根本未执行故障检测的逻辑单元上执行所述SSA或在等待时间到期时
防止执行所述SSA；
调度（S112b）指示为健康的逻辑单元以用于执行所述SSA；以及
对于指示为健康的所述逻辑单元，执行（S112c）额外故障检测直到指示为健康的所述
逻辑单元调度成执行所述SSA。
4.如权利要求3所述的方法，其中所述故障检测与起动操作模式和运行操作模式关联，
其中在所述起动操作模式中，故障检测在分区步骤之前通过以下步骤来执行：
执行（S102）初始诊断；并且其中在所述运行操作模式中，故障检测在步骤S110a-S112c
中的任一个中执行。
5.如权利要求1-4中任一项所述的方法，其进一步包括：
共享（S114a）涉及第一逻辑单元执行所述DSA的第一数据与涉及第二逻辑单元执行所
述DSA的第二数据，其中所述第一数据和所述第二数据凭借公共数据区来共享；以及
基于所述共享的第一和第二数据调度（S114b）所述SSA的执行。
6.如权利要求1-5中任一项所述的方法，其中将处理器核分区进一步包括：
定义（S104a）诊断模型，其包括至少一个安全通道；并且其中至少在与所述至少一个安
全通道关联的所有逻辑分区上执行所述DSA。
7.如权利要求1-6中任一项所述的方法，其中执行所述DSA进一步包...

【专利技术属性】
技术研发人员：F雷辰巴奇，H维弗林格，J恩德雷森，T洛克斯塔德，
申请(专利权)人：ABB技术有限公司，
类型：发明
国别省市：瑞士;CH