[发明专利]电子系统和在该电子系统中执行程序的方法

说明书

一种用于在提供有功能安全性的应用的电子系统中运行程序(P)的方法，电子系统包括单处理器或多处理器处理系统和另一独立控制模块，该方法包括：执行将程序(P)分解为多个并行子程序(P1、…、Pn)的操作；将各并行子程序(P1、…、Pn)的执行指配给系统的相应处理模块，周期性地执行关联到所述子程序(P1、…、Pn)的每个的自测操作(A_st1、A_sys、A_chk)。

技术领域

本公开涉及用于在要求功能安全性的应用的电子系统的上下文中运行程序的技术。所述的电子系统基于包括单个处理器(CPU)或者多个处理器的架构。所述的技术设想：

执行将经由所述架构所运行的程序分解为多个并行子程序的操作；

将各并行子程序的执行指配给系统的相应处理模块、特别是关联到所述处理器之一的物理处理器或虚拟机；以及

在所述架构的正常操作期间周期地按照程序的循环频率执行设计成满足功能安全性目标的自测操作。

各个实施例可适用于功能安全性。特别是，各个实施例在工业机器人和工业控制领域的电子系统中以及在电子系统的技术领域中得到应用，以供驾驶员辅助和部分或完全自动驾驶的汽车应用。

背景技术

诸如IEC 61508、ISO 13849和ISO 26262之类的功能安全性标准包含对检测集成电子系统中的潜在危险失效的要求。例如，在标准 ISO 26262中，要求之一定义为“HW随机失效的概率度量(PMHF)”，其对于给定失效模型F、作为第一近似定义为基本失效概率(λ)、在失效模型上的这个概率的分布(ΛF)、安全失效的分数的一的补数(1-s) 和非安全失效的诊断性覆盖的一的补数之间的乘积。

通过“安全失效”表示这种失效：使得运行于电子装置的程序的任务将不受影响或者将按照安全方式来被影响；即，任务终止于已知状态、即所谓的“安全状态”，其中对功能安全性不存在危险。

单处理器或者多处理器处理系统的处理器是在这类集成电子系统的最关键元件之中，并且其复杂度随着本领域取得的进步而增加。

关于处理器，上述标准(例如ISO 26262-5，附录D，表D.4)提供用于得到非安全失效的覆盖的诊断性值(由k标示，其尽可能高)的各种可能技术。

上述技术在现有技术中得到各种实现。

诸如例如专利No.US6233702或者专利No.US7472051中所述架构等的架构必然要求处理器的硬件的修改，以便保证功能安全性，使得实现处理器的完全或简化形式的冗余度。

诸如例如专利No.US5513319中所述架构等的架构设想由处理器以预设时间间隔周期性地查询独立元件(监视器)。然而，它能够保证的功能安全性仅限于：处理器的失效的一小部分能够采用这种方法被检测到—基本上是引起程序流中的充分差异的方法。

发明内容

本文所述的实施例的目的在于改进按照先前所述现有技术的方法的潜力，特别是使得有可能取得对复杂架构(诸如现代多处理器的复杂架构)高诊断性覆盖，同样限制单个处理器的覆盖目标并且限制或去除对硬件的修改的需要。

由于具有以下权利要求书中所述特性的方法，各个实施例取得上述目的。各个实施例还可涉及一种架构，因为它们同样涉及一种计算机程序产品，其能够加载到至少一个计算机(例如网络中的终端)的存储器中，并且包括设计成当程序运行于至少一个计算机上时执行该方法的步骤的软件代码部分。如本文所使用的上述计算机程序产品被理解为相当于计算机可读部件，其包含用于控制计算机系统以便协调按照本发明的方法的执行的指令。提到“至少一个计算机”被理解为强调本发明按照模块化和/或分布式形式来实现的可能性。权利要求书形成本文关于本发明所提供的技术教导的构成整体所必需的部分。

各个实施例可设想，该方法包括自测操作，其包括：