本发明专利技术涉及一种控制计算机系统。该控制计算机系统包括:至少两个被配置为相互冗余的模块(1001、1002、1003、1004);至少一个比较单元(1011、1012),用于监视至少两个冗余模块(1001、1002、1003、1004)的同步状态以及用于检测同步错误;至少一个外围单元(1030、1031、…、1038)。该控制计算系统还包括至少一个开关矩阵(1013),被设置为允许或阻止访问所述至少两个冗余模块访问(1001、1002、1003、1004)或者所述至少两个冗余模块访问外围单元(1030、1031、…、1038)。错误处理单元(1080)被设置为接收至少一个比较单元(1011、1012)的信号以及驱动至少一个开关矩阵(1013),以便可性地完全地或选择性地阻止访问所述至少两个冗余模块或者所述至少两个冗余模块访问所述外围单元。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及冗余处理器控制器和控制方法。更具体地说,本专利技术涉及冗余双处理器控制器和多核冗余控制计算机系统。
技术介绍
已知的做法是使两个处理器以锁步(Iockst印)模式执行相同的指令并通过比较输出数据来判定是否发生错误。在这种情况下,两个处理器可通过时钟同步的方式运行或以一定的时间偏移(在比较期间相应地被补偿)运行。在这种情况下,可能发生例如由制造期间引入的故障造成的永久错误和例如由临时电磁干扰造成的临时错误。如果发生锁步错误,程序执行会被中断,在最简单的情况下,计算机系统会被停用,因此,这种情况下,来自 两个处理器的输出数据相互不同。但是,对于双冗余处理器而言,提供计算机系统在发生错误时得以继续执行所需程序的容错尤其具有挑战性。已有人尝试在只有两个冗余处理器的安全平台中帮助实现容错能力。US 5915082 B2公开了其中为内部总线提供被比较的奇偶校验位的系统体系结构。在一端检测到奇偶校验错误之后,会断开相关处理器,从而其不再对系统有任何影响。毎次在没有奇偶校验错误的情况下发生锁步错误之后,系统便会关闭。这种基于奇偶性检查的过程没有充分涵盖其中即使在出现锁步错误之后,也非常需要冗余系统的可用性的情况。如果两个内部冗余単元同时显示不同的多位错误时,奇偶性检查可以导致例如不正确的決定。进ー步已知的容错系统体系结构包括至少三个具有共享或共用内存的处理器核。在这种情况下,总是通过监视总线信号来检查处理器的锁步模式。锁步模式在下文中也被称为处理器同步执行程序或程序部分。如果活动处理器失败,则活动处理器通过输入/输出通道驱动的存储区和组件的所有权移交给另ー处理器。在锁步错误之后的锁步错误状态(同步错误)中,数据访问和控制进程从活动处理器中移除并由另一处理器维护。包括处理器的三重冗余(TMR :三模块冗余)和ー个共用存储器的容错系统的经典最低配置对于许多安全体系结构而言仍然非常昂贵,所述安全体系结构的安全概念基于使用以锁步或同步方式运行的两个冗余处理器。但是,容错能力对于带有双冗余的处理器而言尤其具有挑战性。US 7366948 B2和US 2006/0107106描述了用于帮助实现由多个在锁步模式中运行的处理器对组成的系统中的可用性的方法。两个冗余处理器在每个对中进行组合,并且它们的输出不断进行比较。如果在ー个处理器对中发生错误,则另一处理器对将作为引导处理器对承担驱动系统的任务。同吋,出现错误的处理器对将尝试恢复同步并使其可用作备用处理器对。这样确保系统的高度可用性。然而,此方法对于许多嵌入式系统而言成本太高,因为当不存在错误时,不使用一个处理器对,因此此方法提供的成本/性能比太差。被分为两对并且输出信号被比较的四个处理器必须始終被用于单个任务。如果在ー处理器对中检测到锁步错误(LOL :锁步丢失)或另ー处理器内部错误,操作系统便会将故障处理器对更改为静止(quiescent)状态并激活另ー处理器对。EP 1380953 BI定义了具有锁步同步功能的容错计算机系统,所述系统包含多个带有处理器和存储器的计算模块,并描述了一种用于再同步所述系统的方法。由于每个计算模块同步处理相同的指令串,因此该计算机系统并非很有效率。EP 1456720 BI公开了用于包括两个或更多个控制计算机系统的机动车辆中安全关键应用的计算机组,每个控制计算机系统包括两个控制计算机,所述控制计算机以时钟同步方式运行,并且具有在芯片上集成的部分或完全冗余的外围组件以及部分或完全冗余的存储元件。以时钟同步方式运行的控制计算机系统的控制计算机与仲裁単元相连,所述仲裁単元监视这些计算机是否出现错误并且可以将指定给控制计算机系统的通信控制器连接到车辆数据总线,或者可以分离所述控制器。如果其中ー个控制计算机出现故障,则对应的控制计算机系统部分地或完全地停用。 DE 10 2009 000 045 Al公开了ー种用于操作包含计算机系统的控制设备的装置,所述计算机系统包括两对执行単元,每对执行単元包含两个执行単元,并且具体而言,所述控制设备在机动车辆中使用。每对中的执行单元执行相同的程序,并且每个执行単元的输出信号由相应的比较单元相互比较,并且如有不一致,则输出错误信号。如果针对第一对执行単元出现错误信号,则关闭该对,并且计算机系统继续使用第二对执行单元运行,并且预先警告信号被输出到驱动器。所述文档的缺点是必须提供高度冗余,因为当没有错误时,至少一个处理器对不活动或者执行与驱动外围单元的活动处理器对相同的程序。因此,每个単独的处理器必须提供全部所需的计算能力,其结果是已知的计算机系统不能以非常高效的方式运行。从成本角度来讲,这种情况是不合需要的,尤其是对于大批量生产的系统。US 7366948 B2中描述的方法对于嵌入式系统而言是成本非常高的解决方案。另ー个事实是,除了处理器核之外,其他组件不能总是以冗余方式实现。在设计用于不同安全相关系统(例如,汽车行业中的刹车应用)的安全体系结构时,财务原因通常起着重要作用。程序存储器,例如闪存,不是冗余的,但是由所有现有处理器使用。传统方法在确保基于冗余处理器的安全体系结构中的可用性的方法中不会考虑非冗余组件的这种边界条件。有关确保安全体系结构中的处理器可用性的另ー问题是只能在成功完成安全检查之后才能再次启动之前失败的处理器。在此背景之下,需要仅有两个冗余处理器并且允许实现系统的高度可用性的安全体系结构。另外还需要具有三个或更多处理器(例如两个处理器,每个带有两个核)并允许实现系统的高度可用性的安全体系结构。
技术实现思路
根据ー个方面,本专利技术的目标是提供同时容错和高效的控制计算机系统。根据ー个实施例,基于冗余处理器核对的安全体系结构g在被配置以保留现有安全级别,同时实现系统的高级别可用性。此外,处理器g在在正常(或无错误)模式下提供高级别性能。检测到错误之后,g在在考虑非冗余组件的安全连接的情况下维持系统的可用性。在此背景下,提供了如权利要求I中所述的控制计算机系统。同时还提供了双处理器控制设备。还提供了如权利要求22或33中所述的用于控制控制计算机系统的方法。还提供了如权利要求32中所述的控制计算机系统的使用。一个实施例提供了ー种控制计算机系统。所述控制计算 机系统包括至少两个被设计为相互冗余的模块;至少ー个用于监视所述至少两个冗余模块的同步状态以及用于检测同步错误的比较单元;至少ー个外围单元;至少ー个被设置为允许或阻止对所述至少两个冗余模块的访问或由所述至少两个冗余模块对外围单元的访问的开关矩阵。所述控制计算机系统还包括被设置为从所述至少ー个比较单元接收信号以及驱动所述至少ー个开关矩阵,以便完全地或选择性地阻止对所述至少两个冗余模块的访问或由所述至少两个冗余模块对所述外围单元的访问的错误处理单元。当发生错误时,所述错误处理单元驱动的开关矩阵便会阻止对故障模块的访问或者故障模块对外围单元的访问。根据ー个实施例,所述错误处理单元启动和监视用于检查冗余模块中是否有错误的一个或多个测试,并且如果检测到错误,便会控制所述开关矩阵,具体而言,使得不再为安全相关应用考虑故障模块。根据ー个实施例,所述至少两个冗余模块是至少两个用于同步执行控制程序的处理器单元或其他単元,例如冗余设计的存储器模块。根据ー个实施例,所述本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:L·D·卡布莱帕,T·埃伦贝格,D·鲍迈斯特,
申请(专利权)人:大陆特韦斯贸易合伙股份公司及两合公司,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。