本发明专利技术涉及一种装置和方法,能够对安全措施的安全性进行管理,并且能够无损坏地测试与安全相关的寄存器,这些寄存器需要用于对系统进行配置,其中,能够在要检查的系统的每个运行阶段期间执行根据本发明专利技术的测试方法。
【技术实现步骤摘要】
本专利技术涉及一种根据独立权利要求的前序部分所述的一种方法以及一种装置。本专利技术特别是涉及一种用于无损坏地测试电子存储媒介中与安全相关的存储寄存器的一种方法以及一种装置,这种电子存储媒介例如能够应用在车辆中。在当前的上下文中,无损坏地检查与安全相关的寄存器的意思是测试电子存储寄存器,其功能性不会因为测试受损,并且它的数据内容在测试完成后又符合原始值。与安全相关的寄存器在下面也被称为安全寄存器,它们是电子存储媒介中的存储寄存器,其中存储了用于系统的安全性和正确功能性的相关数据。
技术介绍
为了满足根据车辆安全完整性等级的车辆安全要求,这些车辆安全要求例如在功能安全标准ISO 26262中定义用于道路运输工具,在车辆微控制器的与安全相关的部件的硬件应用中必须采取各种视应用情况而定的安全措施。这种功能安全标准定义了微控制器的安全部件中和装入其中的安全机制中的容许误差的具体的最大时间间隔。外部事件的影响,例如机械作用或者放射性阿尔法射线,可能在存储寄存器中导致反转的状态,由此可能造成错误地控制与安全相关的底层模块以及引擎整个车辆控制器严重的错误功能。其中,可能涉及与配置-和通用寄存器相关的系统组件或者特别是关键的内部寄存器,例如状态机和计数器。因此,通过在不修正时也至少标识出错误状态,并且为此发出用于触发安全功能或者安全机制的警报或者指示,由此触发相应的行动或者安全功能、例如系统重置(Reset),使这种安全寄存器必须被特别保护。这些安全机制、安全功能或安全措施能够在所谓的安全管理单元中进行配置。为了确保功能安全标准,还必须确定安全机制在最大时间间隔内的不可用性,其中,该最大时间间隔通常相当于车辆在例如几个小时内的平均行驶周期。可以通过模拟可能发生的外部作用、例如阿尔法粒子的放射性辐射来实现对安全措施的测试。这可以通过在一个行驶周期期间对安全寄存器位进行至少一次反转来模拟,紧接着可以检查,是否如愿地触发了相应的警报或者安全机制。对与这种测试要求而言,在选择何时能够在系统上进行这种安全测试的时间点方面存在困难,因为测试过程可能会导致对被测试系统的正常功能的不利影响。在选择安全措施的测试时间点方面的下列代替方案可能导致下列不同的问题A.当在当前的行驶周期结束之后进行测试时,该测试过程不干扰被测试系统的正常运行。然而却不能确保在下一个行驶周期启动时,被测试系统的安全功能仍然一直无错误。因此,这种代替方案有决定性的缺陷。B.在行驶周期中的一个时间点进行测试时,测试过程不会损坏被测试系统的正常功能。然而出现以下问题,当重要的、在行驶周期期间持续需要的寄存器位(Registerbits)为了测试目的能够被修改时,应该何时保持正常运行?因为通常不能由此出发,即存在一种空转周期,在该空转周期中无需被测试的寄存器位。此外还必须确保在测试完成后再次在被测试的寄存器位中生成存储的值或数据。C.只能在基本的配置设置(例如为了正确地进行测试本身需要进行的时钟控制)在测试期间不受损时,才能接受在启动要测试的系统期间进行的一次测试。因此,这不能满足,任意地修改安全寄存器用于测试,并且在测试完成后再次生成复位值。此外,为了存储寄存器而对安全措施进行的测试不会需要太多的时钟周期,这是因为限定了可接受的用于启动要测试的系统的时间间隔。对这种依赖关系的考虑可能导致在用于启动系统的软件方面非常复杂,并且伴随着高度的错误风险。成本也是个问题,它是由针对安全寄存器所需的存储空间和供给能量引起的。另一个挑战在于,要能够利用最小的消耗灵活地提高或者降低系统的安全功能,以便避免安全功能的保护性过高或者过低。另一个要求在于方法问题,即,寄存器安全措施不能对产品到客户所需的生产-和供应时间产生不利影响。因此,不允许通过用于应用并校验安全逻辑的附加消耗显著地增加硬件构造和校验规划方面的负担。·在现有技术中,迄今公知以下用于确保寄存器安全的基本解决途径通过复制完整的CPU并同时使其工作,由此为CPU核、例如AURIX产品系列设置系统层上的冗余。特殊的同步控制逻辑器能够将主CPU和冗余的检测CPU的输出端与检测输入端和主输出端的可配置的延迟持续地进行比较,其中,能够通过单独的测试输入端测试该比较逻辑器。在确保寄存器安全的应用中,这种解决途径可能相当于复制用于计算被保护的寄存器状态的整个时序-和组合逻辑器。这可能会导致较高的运行成本,并且不具有灵活性,无法在构造改变的情况下选择单个的寄存器位域用于保护寄存器安全性。此外,可能仅测试比较逻辑器,却不测试冗余的寄存器。另一种公知的方法是以特殊的冗余代码(Error Correction Codes ;错误修正码)为基础的,并且用于保护RAM块以及错误确定和_修正,其中,通过ECC编码器在写入数据期间向数据字添加额外的检查位,并且在由ECC解码器读取期间被检查,ECC解码器依赖于ECC配置不仅能够确定一定数量的位错误,也还能够在一定的范围内修正这些错误。这种解决途径可能也被用于确保寄存器的安全。然而,因为ECC保护需要被调节的、具有预定字长的存储器结构,所以必须大幅度修改设计结构,以便一方面加入ECC逻辑器自身,并且另一方面这样布置寄存器逻辑,即达到所需的规则性。这样进行重新构造可能造成更高的设计消耗,并且缺乏所希望的灵活性。具有双重或三重模块化冗余的所谓的库单元是另一种公知的代替方案,然而它能够影响设计直至合成。因为在复制的情况下,这些寄存器单元可能必须设计带有额外的输入端和输出端,用于进行测试并且用于触发安全功能或者说警报。三重的模块化冗余使得不需要警报时,能够保留原始的寄存器单元的端口,因为可能通过多数表决(Mehrheitsvotum)产生寄存器输出端。然而,三重冗余可能导致更多的区域成本(Bereichskosten),并且库单元的更换可能会严重影响设计流程,并且可能需要或者手动干涉或者复杂的脚本。还有另一种可能的解决途径是将检查位加入寄存器。然而,产生的异或门长链可能增加设计中的工作量和组合的运行时间延迟。此外,能够相互取消偶数的同时出现的错误,从而不会标记安全或警报功能。最后,有些解决途径可能为了将硬件安全措施应用到每个模块中而导致特别异类的解决方案,它们很难以被验证、测试和证实。可替代地,可以通过安全软件保护寄存器,为此,安全寄存器的所有写入数据都额外地存储到另一个存储器中,并且时不时地被读取和比较。只要重复周期相对安全要求而言不过短,并且该软件不过分增加CPU的负担,那么这种解决途径是可以接受的。然而,无法通过安全软件确保所有寄存器的安全,因为软件无法到达内部寄存器,并且一些从外部可见的寄存器额外地被硬件更新,使得安全软件可能无法决定是因为有规律的硬件更新还是因为特殊的错误而发生改变。
技术实现思路
因此,本专利技术的一个目的在于,测试系统配置好的安全机制或安全功能,而在此期间不会影响要测试的系统的正常运行,并且此外尽可能少地偏离所涉及系统至今的生产流程。 根据本专利技术,该目的通过独立权利要求所述的对象得以解决。根据本专利技术,该目的特别是通过以下方式得以解决,即,任何时候、即使在要测试的系统正常运行期间,也能够测试安全功能或者说安全措施,或者能够检查与安全相关的、用于配置电子控制系统的寄存器。为此,在每个包含本文档来自技高网...
【技术保护点】
一种用于测试电子控制系统的与安全相关的存储寄存器(以下简称:安全寄存器)的方法,该电子控制系统包括多个模块,并且设计用于在预先给定的条件下触发安全功能,其特征在于,借助测试控制器检测在所述控制系统的每个运行阶段中在其中一个安全寄存器中的错误出现情况,在每个包括这种安全寄存器的模块中设置了所述测试控制器。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:霍尔格·布施,
申请(专利权)人:英飞凌科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。