用于安全关键软件应用的多核处理器故障检测的制作方法
【技术领域】
[0001]本文提出的实施例涉及多核处理器故障检测,并且特别涉及用于安全关键软件应 用的多核处理器故障检测。
【背景技术】
[0002 ]工业控制系统例如在制造和过程工业(例如化工厂、采油厂、炼油厂、制浆造纸厂、 炼钢厂和自动化工厂)中应用。工业控制系统也广泛地在电力工业内使用。这样的工业控制 系统可包括增加了安全特征的某些设备或可与这些设备组合。这样的设备的示例是安全控 制器。需要除标准工业控制系统所提供的以外的额外安全特征的过程示例是离岸生产平台 处的过程、核电站处的某些过程段和化工厂处的危险区域。安全特征可连同安全停机、消防 和/或警报系统一起使用以及用于火灾燃气检测。
[0003] 涉及具有增加安全特征的工业控制系统的复杂计算机系统的使用在对工业控制 器中软件的无错执行的需求增加提出挑战。
[0004] 标准IEC 61508概述对于由硬件和软件组成的系统的要求,其分组成下列设备失 效类别: 随机硬件失效可以是永久或暂时的。永久失效存在直到被修复。暂时失效可以通过措 施来解决以控制失效(通过采用检测和校正机制)。
[0005] 系统性失效可以在硬件和软件中存在。一般而言,系统性失效仅在系统(家庭)或 证明(现场)测试期间发现时可以被消除。关于如何避免系统性失效的措施在上文的参考标 准中规定。典型地,系统性失效的避免通过良好的设计规程和用于检测设计缺陷的措施来 应对,同时系统性失效的控制可以多样化地实现,等。
[0006] 共因失效是一个或多个事件的结果,在多通道系统中导致两个或以上独立通道并 发失效、从而导致系统失效。共因失效典型地在冗余硬件(不止一次实施的安全功能)中同 时由环境问题(例如温度、EMC等)引起。一般而言,在硬件、设计或技术方面引入差异的多样 性可减少这种错误。
[0007] 当前的多核处理器未满足根据IEC 61508-2的附录E的HFT=1。启用内部核为核冗 余可是可能的,但在相同硅上执行安全关键应用的两个副本时关于多样性的问题仍然存 在。这在一定程度上可以通过使用不同设计原理或完全不同的技术来实施相同安全关键功 能性而解决。
[0008] 在对安全应用使用多核处理器时,从而需要有处理器并且特别是处理器核的在线 诊断测试。诊断软件通常作为后台任务运行并且从而与安全应用竞争处理能力。由此可失 去使用多核处理器的益处。
[0009] 因此在工业控制系统中对于安全关键软件应用仍需要有改进的安全考虑。
【发明内容】
[0010] 本文的实施例的目标是在工业控制系统中对安全关键软件应用提供改进的安全 考虑。
[0011] 为了减少上文提到的问题的影响,本发明的发明者认识到应设计诊断软件使得它 的执行不干扰安全应用的执行。特定目标因此是在工业控制系统中对安全关键软件应用提 供改进安全考虑而不干扰安全应用的执行。
[0012] 根据第一方面,呈现有用于在多核处理器环境中在安全关键软件应用的执行期间 多核处理器故障检测的方法。该方法包括将多核处理器环境的处理器核分成至少两个逻辑 单元。方法包括使至少两个逻辑单元中的一个的所有处理资源专用于执行诊断软件应用 DSA,该DSA设置成用于至少两个逻辑单元中所述一个的处理器核的故障检测。方法包括使 余下逻辑单元中至少一个的处理器资源专用于执行安全关键软件应用SSA。方法包括由至 少两个逻辑单元中的所述一个执行DSA同时由余下逻辑单元中所述至少一个并行执行SSA。
[0013] 有利地,方法在工业控制系统中对于安全关键软件应用提供改进的安全考虑。有 利地,方法在SSA的执行期间实现改进的安全。通过这样执行诊断测试,多核处理器环境中 的执行效率因为不需要有任务切换而提高。有利地,方法从而实现改进安全而不依赖于诊 断作为后台任务被执行,并且从而不依赖任务切换。有利地,方法实现诊断功能性(如由DSA 提供的)的优化执行。有利地,方法提供对于SSA执行具有较高正常运行时间的改进容错系 统。有利地,方法可扩展到许多核。有利地,方法不依赖核的静态分配。有利地,分区以提高 的诊断覆盖实现核的提高利用。
[0014] 诊断测试软件还可以测试通常用于非安全应用的核。公开的方法也可以用于提高 计算资源的可用性,因为非无错性的核可以标记为不可用(有故障)并且应用(安全关键以 及非安全关键)可以由余下的核执行。公开的方法可以与为了提高冗余而由多个核同时执 行的安全应用组合。
[0015] 根据第二方面,呈现有用于在多核处理器环境中安全关键软件应用的执行期间多 核处理器故障检测的控制器。该控制器包括多核处理器环境。该多核处理器环境设置成将 多核处理器环境的处理器核分成至少两个逻辑单元。多核处理器环境设置成使至少两个逻 辑单元中的一个的所有处理资源专用于执行诊断软件应用DSA,该DSA设置成用于至少两个 逻辑单元中所述一个的处理器核的故障检测。多核处理器环境设置成使余下逻辑单元中的 至少一个的处理器资源专用于执行安全关键软件应用SSA。多核处理器环境设置成由至少 两个逻辑单元中的所述一个执行DSA同时由余下逻辑单元中的所述至少一个并行执行SSA。
[0016] 根据第三方面,呈现有控制系统,其包括根据第二方面的至少一个控制器。
[0017] 根据第四方面,呈现有用于在多核处理器环境中安全关键软件应用的执行期间多 核处理器故障检测的计算机程序,该计算机程序包括计算机程序代码,其在控制器上运行 时促使控制器执行根据第一方面的方法。
[0018] 根据第五方面,呈现有计算机程序产品,其包括根据第四方面的计算机程序和存 储计算机程序的计算机可读装置。该计算机可读部件可以是非易失性计算机可读装置。
[0019] 要注意第一、第二、第三、第四和第五方面的任何特征在适当情况下可适用于任何 其他方面。同样,第一方面的任何优势可同样分别适用于第二、第三、第四和/或第五方面, 并且反之亦然。附上的实施例的其他目标、特征和优势从下列详细公开、从附属的从属权利 要求以及从附图显而易见。
[0020] -般,在权利要求中使用的所有术语要根据它们在技术领域中的普通含义来解 释,除非在本文另外明确定义。对"一个/该元件、设备、部件、装置、步骤等"的所有引用要公 开地解释为指元件、设备、部件、装置、步骤等中的至少一个实例,除非另外明确规定。本文 公开的任何方法的步骤不必按所公开的确切顺序执行,除非明确规定。
【附图说明】
[0021 ]现在通过示例的方式参考附图描述本发明,其中: 图1是图示其中可应用本文呈现的实施例的控制系统的示意图; 图2是示出控制器的功能模块的示意图; 图3是示出多核处理器环境的功能模块的示意图; 图4示出计算机程序产品(其包括计算机可读装置)的一个示例; 图5和6是根据实施例的方法的流程图; 图7示意地图示实时操作系统平台; 图8示意地图示处理资源的分区; 图9是根据实施例的故障检测的状态图; 图10是根据实施例的故障检测的状态图;以及 图11示意地图示安全通道的调度。
【具体实施方式】
[0022] 本发明现在将在下文参考附图(其中示出本发明的某些实施例)更充分地描述。然 而,本发明可以许多不同形式体现并且不应解释为受到本文阐述的实施例的限制;相反,这 些实施例通过示例的方式提供使得本公开将是彻底和完整的,并将向本领域的技术人员充 分传达本发明的范围。类似的数字在整个说明中指类似的元件。
[0023] 图1是图示其中可应用本文呈现的实施例的控制系统1的示意图。该控制系统1将 在操作状态描述。控制系统1包括至少一个控制对象3a。如在图1中图示的,控制系统1可包 括多个这样的控制对象3a、3b…3n。经受安全控制的现实世界的控制对象的示例是传感器、 致动器、阀、马达、驱动系统和风扇。另外的示例是气/烟/火检测系统、钻探设备、管道和管 线、精馏塔、压缩机、输送系统、锅炉和涡轮机。
[0024] 至少一个控制对象3a_n经受由控制器2的安全控制。控制器2操作地连接到至少一 个控制对象3a-n以便实现至少一个控制对象3a-n的安全控制。控制器2由此设置成控制至 少一个控制对象3a-n的操作。控制器2与至少一个控制对象3a-n之间的通信本质上采用任 何适合的已知方式执行并且包括在控制器2与至少一个控制对象3a-n之间交换各种信号 和/或消息。
[0025] 如将在下文进一步公开的,控制器2特别包括多核处理器环境4。多核处理器环境4 可在至少一个控制对象3a-n的控制期间实现改进的安全。图3示意地图示多核处理器环