专利名称:用于评估对安全性至关重要的传感器变量的计算机系统的制作方法
技术领域:
本发明涉及一种根据权利要求1或2前序部分的用于评估对安全性至关重要的传 感器变量的计算机系统。
背景技术:
IEC 61508是用于完成电气、电子和可编程的电子系统的国际标准,该标准实现安 全功能。该标准由国际电子技术委员会(IEC)发布。IEC 61508针对安全完整性等级3规 定了确定的硬件技术最小值,例如针对FIT (计次失效率,failure in time)和SFF(安全 失效分数,safe failurefraction),这些硬件技术最小值通常仅能通过附加的软件技术措 施来实现。尤其是用于对发生CPU计算错误进行防护的验证是安全完整性的总验证的重要 部分。迄今,为了对发生计算错误进行防护而应用两个不同的微控制芯片或在一个芯片 上的至少两个并行运行的计算路径(Rechenpfade)。有时也使用反向运行的计算路径,例 如在德国公开文献DE 4219457A1中所述。双芯片解决方案在批量生产中造价昂贵,而通过 迄今在单芯片上的解决方案,功能安全性只会受到限制或者要借助于附加的硬件来验证功 能安全性,这是因为在内部错误的情况下,CPU在并行运行的或反向运行的计算路径中均以 同样的方式错误地计算。因此,CUP错误可能会保持未被发现。缺少对如下问题的简单验 证,即CPU没有在两种计算路径中同样错误地进行计算,并且不存在两个相同的但却错误 的结果来用于对所述结果的比较,或者在反向计算路径的情况下,CPU由于错误例如略过两 个计算路径并且直接对两个输入变量进行比较。
发明内容
本发明的目的在于,完成一种用于评估对安全性至关重要的传感器变量的计算机 系统,该计算机系统以可验证的方式实现CPU的超高安全完整性,而可以不用指派单独的、 高成本的CPU检测。依据本发明,该任务分别通过权利要求1和权利要求2所表明的特征得以解决。依据本发明设置,至少两个传感器从属于计算机系统,这两个传感器在待获取的 系统状态下输出在质上或者至少在量上不同的传感器变量。假设两个传感器的输出变量 之间存在已知的函数关联。在计算机的输入端上输入第一传感器的传感器变量,该计算机由该传感器变量计 算出输出变量,该输出变量可供用于实践中有用的目的,例如用作针对调节环节的控制变 量。在下一步中,由该输出变量计算出比较变量,该比较变量与第二传感器的预期的传感器 变量相对应。该比较变量由计算机给到外部比较器上,该比较器将比较变量与第二传感器 的对计算机来说完全未知的、实际的传感器变量作比较看是否一致。在此,为正的比较结果 表明CPU的安全完整性是好的并且表明输出变量和比较变量的计算运行正确。同时,维持 由现有技术公知的关于所参与的传感器功能正确的验证,该验证原则上由比较器提供。
以本发明为基础的思路因此在于,使用在质上或者还有仅在量上不同的传感器, 这些传感器提供不同的测量变量或至少不同的值并且因此在处理期间,不依赖于所应用的 算法(并行(parallel)/求反(invertieren)/ 求逆(invers)/ 求补(komplementSr ) / 倒退推算(zuriickrechnen)),在任何时候始终负责不同的数据水平(Datenniveaus)。CPU不能以其他方式(例如通过对第一传感器变量进行复制)来提供比较变量,除 了通过正确运行的计算结果。对于验证CPU安全完整性,现在意义重大的是比较变量与第 二传感器变量的比较。被比较的(必要时在对可能的偏差例如传感器不精确度进行补偿的 公差带内)是比较变量和附加独立数据源的、对计算机来说迄今未知的值。该值通过第二 传感器给出。因为第二传感器变量只是未经加工地、即未经CPU利用地并且绝对未经处理地存 在,所以在该位置上所进行的比较提供仅依赖于计算机系统(芯片(Chip))CPU完整性的结 果。在这里假设两个传感器的无错性或者其自身CPU的无错性,该无错性可以仅通过独立 的措施得到确保和验证。
本发明的具有优点的构造形式和改进方案由从属权利要求和下列结合附图对实 施例的说明得知。其中图1和2示出依据本发明的计算机系统的各一个实施例,图3和4示出计算机系统的各一个实施例,根据现有技术,图5示出针对计算机系统的应用实例。
具体实施例方式图3示出根据现有技术的计算机系统。在这里示出的是,在德国公开文献DE 4219457A1的图3中所说明的计算机系统的超简化示意图。在此仅示出用于阐述产生本发 明而带来的问题所必需的部件。图3中可见的是单芯片计算模块(Ein-Chip-Rechenbaustein),即微机或微控制 器,该微机或微控制器下面仅简略地标记为计算机MC。计算机MC接收到由两个传感器(Si、 S2)导入的传感器变量(e、eK)。在这里将传感器变量(e、eE)假设为数字值,但是其中,传 感器(S1、S2)原则上可以提供模拟信号,该模拟信号在计算机MC内部被数字化。计算机MC借助函数fl由第一传感器S 1的传感器变量e计算出输出变量a,该输 出变量a被输出到计算机MC的输出端上,并且例如可以被应用于对未示出的调节环节进行 控制。在下一步中,计算机MC借助函数f2由输出变量a计算出比较变量e'。因为DE 42 19 457 Al将函数f2描述为关于第一输入变量e的、相对于第一函数Π的反函数FL所 以在计算机MC功能正确的情况下便得出比较变量e',该比较变量e'与第一传感器Sl的 原始输入变量e—致。这可以在计算机内部通过变量e和e'的比较(e = e' ?)来检验。此外,提出 对第一和第二传感器变量的一致性(e = eK ?)进行检验。因此假设,被认为是冗余的传 感器(S1、S2)输出在量上类似的传感器变量(e、eK)。
因为不正确运行的计算机MC原则上也会提供错误的比较,所以此外设置有关于 计算机MC在外部的比较器V。该比较器V将第二传感器S2的传感器变量eK与计算出的比 较变量e'作比较。由于上述假设的同一性& = 且6 = ^ ),该比较也必须确认,在正 确运行的传感器(Si、S2)和无错地工作的计算机MC的情况下,所比较的变量(e'、eE)的 同一性。问题在于,在此计算机系统的确定的错误可能是隐藏的。如图4示意性表示的那 样,当第一传感器变量e在未执行计算的情况下作为假想地计算出的比较变量e'抵达计 算机MC的输出端时,出现问题。这例如可能通过如下方式发生,即,第一传感器变量e被读 入计算机MC的寄存器,并且从该寄存器在滞后的时间点上作为假想地计算出的比较变量 e'而被读出并且给到计算机MC的输出端上,而在实际上没有借助函数fl和f2进行计算。因为两个传感器变量e和eK在输入端侧就已经设置成相同的,因此,由比较器V 执行的对e'和^的比较现在提供的同样是一致的。因此比较器V不能揭示所述的计算错 误。另一种错误场景通过如下方式产生,S卩,计算机MC不仅在函数Π的计算中而且在 函数f2的计算中各出现一个错误,并且这些错误相互抵消。在这里,无论是计算机内部的 还是计算机外部的比较都无法识别存在的错误。为此,拿出现的系统符号错误来举例,该符号错误在两次有错误的计算步骤之后 又被抵消。在此,通过第一计算步骤计算出的输出变量a却仍旧是有错误的,这会以对安全 性至关重要的方式产生影响。该错误可能性通过依据本发明的计算机系统予以排除,如下面借助图1所要阐述 的那样。为了说明与前述现有技术的共同点和区别,部分地保留图3和4中的附图标记。首先重要的是,传感器(Si、S2)虽然输出冗余的传感器变量(ei、e2),也就是说独 立的信号,这些信号关于待获取的系统状态具有类似的信息内容,但这些信号的信号值决 不相同。传感器Sl和S2的传感器变量(ei、e2)处于公知的函数关联中,该函数关联通过函 数g给予。函数g可以几乎是任意的,但不能是恒等函数,这是因为这又会导致已描述的问 题的发生。此外,第二传感器变量e2仅针对外部比较而设置并且因此不被给到计算机MC上。第三个要求是,用于计算比较变量ν的函数f2不是通过相对于第一函数fl的反 函数而产生,而是考虑到第一与第二传感器变量(ei、e2)之间的函数关联。在此,函数f2具 有优点地作为相对于函数Π的反函数Π与函数g的复合函数(Verkettung)而产生
v=f2 (a) = (g ο Π ) (a)在正确进行计算时,在输出端上的值ν与第二传感器变量e2—致,这通过比较器V 来进行检验(ν = e2 ?)。在这里,之前所述的错误场景被排除,这是因为第二传感器变量e2在计算的任何 位置上都不作为输入值而存在并且因此可以仅作为正确运行的计算的结果而产生。两个传感器(S1、S2)的传感器变量(ei、e2)之间的函数关联g可以在最简单的情 况下通过加常数K得出e2 = e^K
所以例如可以设置,在第二传感器S2的角度传感器中具有相对于第一传感器Sl 的恒定的角偏移。可供选择地也可以设置,第二传感器变量e2是第一传感器变量ei的k倍e2 = Ice1显然,在传感器变量(ei、e2)之间也可以存在复杂得多的关联。尤其也可以设置两 个传感器,这两个传感器根据不同的物理测量原理来测定传感器变量,从而在一开始便在 两个传感器变量(ei、e2)之间产生或多或少更复杂的关联。在图5中示出的是用于获取旋转角的传感机构,在该传感机构中可以具有优点地 应用所提出的计算系统。其旋转角应被确定的驱动轮1在这里以不同的半径驱动两个测量 轮(2、3)。与每个测量轮(2、3)相连的是磁铁(4、5),这些磁铁(4、5)可以与各自的测量轮 (2,3) 一起相对于位置固定地布置的霍尔传感器(6、7)扭转。因此,由两个霍尔传感器(6、 7)获取的旋转角以常数因子而不同,该因子由两个测量轮(2、3)相对于驱动轮1的不同的 传动比而产生。图2示意性地示出图1中所示计算机系统的一种具有优点的改进方案。在依据图 1的计算机系统中,将处理链的末端上的实际比较器V的安全完整性假设为已给出,或者为 此单独地引进符合标准的验证。假定,第一与第二传感器变量(ei、e2)之间的函数关联可以通过两个函数h和g的 复合函数而示出,从而适用的是e2 = (hog) (θι)在计算机MC内部执行已借助图1说明的计算,该计算在这里产生第一比较变量。
V1 = f2(a) = (g ο fl)(a)但因为第一与第二传感器变量(ei、e2)之间的函数关联在这里不再通过g而是通 过复合函数hog而给出,所以抵达比较器V的第一比较变量V1就不适用于与第二传感器变 量%进行比较。比较器V因此借助函数h由第一比较变量V1通过关系式v2 = h (V1)计算出第二比较变量V2,该第二比较变量V2由于关联
V2 = Ii(V1)
=h ο (g ο fi) (a)
=(h ο g) ο Π (a)
=(h ο g) (βι)
β β2在计算机MC和比较器V功能运行正确的情况下必定与第二传感器变量e2 —致。因此,由为正的比较结果可以推断出无论计算机MC还是比较器都执行了正确的计算。由此,这些实施变型方案能够同时不仅实现对计算机MC的功能检验而且实现对比较 器V的计算路径的功能检验。附图标记
MC计算机(微控制器)
S1、S2传感器
V比较器
a输出变量
θ Λ θ^ > θ > 2传感器变量
e'比较变量
fl、f2、g、h函数
Π反函数(相对于函数Π)
ν比较变量
Vl第一比较变量
V2第二比较变量
K加常数
k常数因子
1驱动轮
2、3测量轮
4、5磁铁
6、7霍尔传感器
权利要求
用于评估对安全性至关重要的传感器变量的计算机系统,所述计算机系统具有至少一个输出第一传感器变量(e、e1)的第一传感器(S1)并且具有输出第二传感器变量(eR、e2)的第二传感器(S2),所述计算机系统具有计算机(MC)并且具有独立于所述计算机(MC)的比较器(V),其中,所述计算机(MC)借助第一函数(f1)由所述第一传感器变量(e、e1)计算出输出变量(a),其中,所述计算机借助第二函数(f2)由所述输出变量(a)计算出比较变量(e′、v、v1),并且其中,在所述比较器(V)的输入端上输入所述比较变量(e′、v、v1)和所述第二传感器变量(eR、e2),其特征在于,所述第二传感器变量(e2)不是所述计算机(MC)的输入变量,所述第二传感器变量(e2)和所述第一传感器变量(e1)处于通过第三函数(g)给出的关联(e2=g(e1))中,其中所述第三函数(g)不是恒等函数,所述第二函数(f2)通过所述第三函数(g)与取反的所述第一函数的复合函数给出并且所述比较器(V)将所述比较变量(v)与所述第二传感器变量(e2)作比较。FPA00001168116000011.tif,FPA00001168116000012.tif
2.用于评估对安全性至关重要的传感器变量的计算机系统,所述计算机系统具有至少 一个输出第一传感器变量(e、ei)的第一传感器(Si)并且具有输出第二传感器变量(eK、e2) 的第二传感器(S2),所述计算机系统具有计算机(MC)并且具有独立于所述计算机(MC)的 比较器(V),其中,所述计算机(MC)借助第一函数(fl)由所述第一传感器变量(e、ei)计算出输出 变量(a),其中,所述计算机借助第二函数(f2)由所述输出变量(a)计算出比较变量(e'、V、V1),并且其中,在所述比较器(V)的输入端上输入所述比较变量(e'、V、Vl)和所述第二传 感器变量(eK、e2), 其特征在于,所述第二传感器变量(e2)不是所述计算机(MC)的输入变量,所述第二传感器变量(e2)与所述第一传感器变量(ei)之间的关联能够通过两个相互 复合的函数(hog)来表现,其中,所述相互复合的函数(h、g)中的函数并且还有所述传感器 变量(ei、e2)之间通过复合函数表现的所述关联(hog)都不通过恒等函数给出,所述计算机(MC)用所述复合的函数中的一个函数(g)以计算出第一比较变量(V1), 并且所述比较器(V)借助所述相互复合的函数中的另一函数(h)由所述第一比较变量 (V1)计算出第二比较变量(v2),并且将所述第二比较变量(V2)用于与所述第二传感器变量 (e2)作比较。
3.根据权利要1所述的计算机系统,其特征在于,所述第二传感器变量(e2)通过加常 数(K)区别于所述第一传感器变量(ei)。
4.根据权利要求1所述的计算机系统,其特征在于,所述第二传感器变量(e2)通过常数因子(k)区别于所述第一传感器变量(ei)。
5.根据权利要求1所述的计算机系统,其特征在于,所述第一传感器(Si)和所述第二 传感器(S2)获取不同的物理变量。
全文摘要
本发明描述了一种用于对安全性至关重要的传感器变量的计算机系统,该计算机系统具有至少一个输出第一传感器变量的第一传感器并且具有输出第二传感器变量的第二传感器,该计算机系统具有计算机并且具有独立于计算机的比较器,其中,计算机借助第一函数由第一传感器变量计算出输出变量,其中,计算机借助第二函数由输出变量计算出比较变量,并且其中,在比较器的输入端上输入比较变量和第二传感器变量。在此,第二传感器变量不是计算机的输入变量并且通过其量上的值区别于第一输入变量。通过计算机的计算并且在必要时通过比较器的计算由所算出的输出变量来确定针对第二传感器变量的预期的比较变量,并且通过比较器来检验两个变量是否一致。由此可以发现计算机的确定的内部错误。
文档编号G05B9/03GK101910959SQ200980101524
公开日2010年12月8日 申请日期2009年1月8日 优先权日2008年1月8日
发明者扬·埃德尔 申请人:利奥波德·科世达责任有限股份公司