[发明专利]验证安全关键的交通工具控制系统的完整性的系统和方法

说明书

相关申请的交叉引用

本申请要求提交于2012年3月14日的美国临时申请No. 61/610,696的权益。以上申请的公开内容全文以引用方式并入本文中。

技术领域

本发明涉及用于验证安全关键的交通工具控制系统（safety-critical vehicle control system）的完整性的系统和方法。

背景技术

在此提供的背景技术描述用于总体上介绍本发明的背景。目前署名的发明人的工作就其在该背景部分中描述的程度以及在其描述在提交时不会以其它方式被认为现有技术的方面，既不明确地也不隐含地认为是破坏本发明的现有技术。

控制模块在多种系统中实现以处理数据和生成控制信号。控制模块越来越多地在轿车、卡车、飞行器和其它交通工具中使用数字处理器来控制诸如制动和发动机扭矩输出的安全关键功能。主处理器基于从各种传感器和监测诸如发动机速度、温度、压力和齿轮齿数比的操作特性的其它装置接收的信号而生成控制信号。主处理器使用算法逻辑单元(ALU)处理信号信息。如果控制信号由于ALU缺陷而被破坏，则主处理器会命令系统采取不正确的动作。

被破环的控制信号可由与主处理器和/或控制模块的其它部件相关联的其它故障和/或错误引起。故障和/或错误可包括随机存取存储器(RAM)硬件故障、RAM数据存储崩溃、只读存储器(ROM)故障、编译器错误和/或程序计数器错误。常规系统常常使用包括在控制模块中的次处理器来检测主处理器中的故障。次处理器使用ALU来执行其故障检测，该检测独立于由主处理器使用的ALU。

发明内容

根据本发明原理的控制系统包括操作控制模块、故障检测模块、补救措施模块和重置模块。操作控制模块控制交通工具系统的操作。当操作控制模块未通过完整性测试时，故障检测模块检测操作控制模块中的故障。补救措施模块在检测到故障时采取补救措施。当检测到故障并且未采取补救措施时，重置模块重置操作控制模块。

本发明提供下列技术方案。

技术方案1：一种控制系统，包括：

操作控制模块，其控制交通工具系统的操作；

故障检测模块，其在所述操作控制模块未通过完整性测试时检测操作控制模块中的故障；

补救措施模块，其在检测到所述故障时采取补救措施；以及

重置模块，其在检测到所述故障并且未采取所述补救措施时重置所述操作控制模块。

技术方案2：根据技术方案1所述的控制系统，还包括看门狗定时器模块，当所述操作控制模块在预定间隔时不维修所述看门狗定时器模块时，所述看门狗定时器模块重置所述操作控制模块。

技术方案3：根据技术方案2所述的控制系统，其中所述操作控制模块、所述故障检测模块、所述补救措施模块、所述重置模块和看门狗定时器模块被集成到第一芯片中。

技术方案4：根据技术方案3所述的控制系统，其中所述看门狗定时器模块包括第一看门狗定时器模块和第二看门狗定时器模块，所述第一看门狗定时器模块被集成到所述第一芯片中，并且所述第二看门狗定时器模块被集成到与所述第一芯片分开的第二芯片中。

技术方案5：根据技术方案2所述的控制系统，其中所述重置模块通过指示所述操作控制模块停止维修所述看门狗定时器模块而重置所述操作控制模块。

技术方案6：根据技术方案2所述的控制系统，其中所述重置模块通过执行内部重置而重置所述操作控制模块。

技术方案7：根据技术方案1所述的控制系统，其中所述补救措施包括禁用所述交通工具系统。

技术方案8：根据技术方案1所述的控制系统，其中所述补救措施包括致动维修指示器。

技术方案9：根据技术方案1所述的控制系统，其中所述完整性测试包括程序序列观察测试、校验和测试、栈溢出测试、算术逻辑单元测试和配置寄存器测试。

技术方案10：根据技术方案1所述的控制系统，其中所述操作控制模块通过执行第一例程而控制所述交通工具系统，并且所述故障检测模块通过并行于所述第一例程执行第二例程而执行所述完整性测试。

技术方案11：根据技术方案10所述的控制系统，其中所述重置模块通过并行于所述第一例程执行第三例程而确定是否重置所述操作控制模块。

技术方案12：一种方法，包括：

使用操作控制模块控制交通工具系统的操作；

当所述操作控制模块未通过完整性测试时检测所述操作控制模块中的故障；

当检测到所述故障时采取补救措施；以及