專利名稱:用于控制具有至少兩個執(zhí)行單元和一個比較單元的計算器系統(tǒng)的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及按照獨立權(quán)利要求的前序部分的用于在具有兩個核的 處理器系統(tǒng)中出現(xiàn)錯誤時保持系統(tǒng)功能的裝置和方法,以及對應(yīng)的處理 器系統(tǒng)。
背景技術(shù):
從現(xiàn)有技術(shù)公知為了識別錯誤采用例如微控制器(nC)的冗余,還 有一個^C如CPU (中央處理單元)的部件的冗余。在此冗余計算的數(shù)據(jù)和冗余產(chǎn)生的信號要由比較單元就一致性進(jìn)行比較。具有冗余CPU的微控制器也稱為雙核微控制器(雙核pC)。在雙核 pC中,兩個CPU可以節(jié)拍同步、即并行地(按照時鐘同步(Lockstep) 的模式)工作,也可以錯開幾個節(jié)拍地工作。兩個CPU都接收相同的輸 入數(shù)據(jù)并處理相同的程序或相同的指令。如果在冗余實施的核之一中出 現(xiàn)影響該核的至少一個輸出信號的錯誤,則會導(dǎo)致待比較的數(shù)據(jù)出現(xiàn)差 異,這種差異將由比較單元識別出。在此輸出信號除了 "數(shù)據(jù)輸出,,之 外還可以包括指令地址和控制信號。比較單元在識別出待比較的信號之 間存在差異時產(chǎn)生狀態(tài)或錯誤信號,利用該信號可以將該比較結(jié)果向外 發(fā)布。但是,如果不對冗余實施的單元采取額外的錯誤識別機(jī)制,就無 法找到出現(xiàn)錯誤的部件,也不能確定錯誤原因的類型。如果在與安全有關(guān)的控制和調(diào)節(jié)系統(tǒng)中使用上述冗余,則通常在識 別出冗余獲得的信號之間存在差異時將整個系統(tǒng)切換到"安全狀態(tài)", 即使這種差異的原因是只具有很短的作用時間的瞬時錯誤。在諸如ESP 系統(tǒng)的汽車系統(tǒng)中,"安全狀態(tài),,大都意味著切斷系統(tǒng)的連接。由于半導(dǎo)體結(jié)構(gòu)變得越來越小,預(yù)計瞬時處理器錯誤會越來越多,這些處理器錯誤例如由于宇宙射線引起。為了能夠克服瞬時錯誤而不切 端系統(tǒng)的連接,并且在運行期間能夠容忍或甚至"治愈"該錯誤,在現(xiàn) 有技術(shù)中已經(jīng)存在幾種解決方案利用大多很費事的方法通過特定于應(yīng)用的、通常由模型支持的似然性來檢測錯誤,必要時觸發(fā)計算器系統(tǒng)的 復(fù)位。計算器系統(tǒng)重新初始化,并在初始化時間和可選的"補償檢查(Wiedergutpruefung)"之后(在例如幾百ms之后)重新進(jìn)入運行就緒狀態(tài)(所謂的"前向恢復(fù)")。在非實時應(yīng)用中(例如金融市場上的交易)特定于應(yīng)用地在交易之前建立一種狀態(tài),將該狀態(tài)存儲起來,并且當(dāng)確認(rèn)該交易成功結(jié)束時才將該狀態(tài)作為無效的丟棄。如果在該交易期間出現(xiàn)錯誤,則返回到所存儲的起始時刻("后向恢復(fù)")。在實時系統(tǒng)中這樣的解決方案非常費事,而且大多要在對處理器系統(tǒng)復(fù)位或補償檢查的持續(xù)時間內(nèi)中斷該功能。隨著汽車中的電子調(diào)節(jié)系統(tǒng)的功能范圍增大,諸如具有轉(zhuǎn)向干預(yù)的ESP等系統(tǒng)的斷開不是在每個運行狀態(tài)下都意味著過渡到安全的系統(tǒng)狀態(tài)。發(fā)明內(nèi)容本發(fā)明要解決的技術(shù)問題是一種用于運行雙核處理器(或雙核處理 器系統(tǒng))的方法,其目標(biāo)是提高抵抗錯誤的魯棒性和增大在處理器系統(tǒng) 中出現(xiàn)瞬時和永久錯誤時系統(tǒng)功能的(部分)可用性。在優(yōu)選的實施例 中,這可以在對各個程序部分保持原始的執(zhí)行時間的情況下實現(xiàn)。在根據(jù)現(xiàn)有技術(shù)的、運行在時鐘同步模式下的雙核計算器中, 一個 CPU作為主機(jī)工作,第二CPU作為從機(jī)工作。從機(jī)CPU的結(jié)果只能用于 比較主機(jī)CPU的結(jié)果。只有主機(jī)CPU可以將結(jié)果寫到數(shù)據(jù)/地址總線上 或?qū)懭隒PU寄存器中。本發(fā)明的優(yōu)點在于可以將主機(jī)功能交替地分配到至少兩個執(zhí)行單 元上,并由此交替使用在時鐘同步模式下運行的雙核或多核計算器的核 結(jié)果。由此在考察特定的邊界條件下即使在識別到冗余算出的結(jié)果之間 存在差異之后也能保持處理器系統(tǒng)的有限運行。這尤其在實時應(yīng)用中是 非常有利的,在實時應(yīng)用中不是在每個運行狀態(tài)下都期望基于處理器錯 誤而斷開系統(tǒng)。在優(yōu)選的實施例中給出另一個優(yōu)點,即可以在處理器系統(tǒng)的執(zhí)行單 元中查找到錯誤,停用該出現(xiàn)錯誤的執(zhí)行單元,并且繼續(xù)運行具有未出 現(xiàn)錯誤的執(zhí)行單元的系統(tǒng),直到達(dá)到對斷開不重要的系統(tǒng)狀態(tài),或超過 事先確定的、在該模式下的最大運行持續(xù)時間。優(yōu)選地,描述了一種用于控制具有至少兩個執(zhí)行單元和一個比較單 元的計算器系統(tǒng)的方法,該計算器系統(tǒng)工作在時鐘同步的模式中,并且 將至少兩個執(zhí)行單元的結(jié)果相比較,其特征在于,在通過比較單元識別 出錯誤之時或之后在至少一個執(zhí)行單元上運行針對該執(zhí)行單元的錯誤 識別機(jī)制。優(yōu)選地,描述了一種方法,其特征在于,在通過比較單元識 別出錯誤之時或之后中斷在至少兩個執(zhí)行單元上的當(dāng)前的指令序列,并 在至少兩個執(zhí)行單元上運行錯誤識別機(jī)制。優(yōu)選的描述了一種方法,其 特征在于,在通過比較單元識別出錯誤之時或之后中斷在恰好一個執(zhí)行 單元上的當(dāng)前的指令序列,并在該執(zhí)行單元上運行錯誤識別機(jī)制,在運 行錯誤識別機(jī)制的持續(xù)時間期間斷開至少兩個執(zhí)行單元的比較單元,并 且在至少一個另外的執(zhí)行單元上繼續(xù)處理按照規(guī)定的程序序列。優(yōu)選的 描述了一種方法,其特征在于,如果錯誤識別機(jī)制沒有識別出錯誤,則 在運行完錯誤識別機(jī)制之后繼續(xù)執(zhí)行按照規(guī)定的程序流程。優(yōu)選的描述 了一種方法,其特征在于,在一個執(zhí)行單元上找到錯誤之時或之后斷開 該出現(xiàn)錯誤的執(zhí)行單元。優(yōu)選的描述了一種方法,其特征在于,停用所 述比較單元。優(yōu)選的描述了一種方法,其特征在于,在停用至少一個部 件時產(chǎn)生錯誤信號,該錯誤信號將提供給應(yīng)用。優(yōu)選的描述了 一種方法, 其特征在于,在出現(xiàn)錯誤之后僅用 一個執(zhí)行單元進(jìn)行的運行在時間上有 限,而且最遲在事先確定的時間結(jié)束之后就斷開所述計算器系統(tǒng)。優(yōu)選 的描述了一種方法,其特征在于,所述斷開在事先確定的時間結(jié)束之前 就已經(jīng)通過由應(yīng)用產(chǎn)生的信號斷開。優(yōu)選地,描述了一種用于控制具有 至少兩個執(zhí)行單元和一個比較單元的計算器系統(tǒng)的裝置,該計算器系統(tǒng) 工作在時鐘同步的模式中,并且將至少兩個執(zhí)行單元的結(jié)果相比較,其 特征在于,具有這樣構(gòu)成的裝置,在通過比較單元識別出錯誤之時或之 后在至少一個執(zhí)行單元上運行針對該執(zhí)行單元的錯誤識別機(jī)制。優(yōu)選的 描述了一種裝置,其特征在于,具有用于取消至少兩個執(zhí)行單元的時鐘 同步的耦合并向任意一個執(zhí)行單元分配主機(jī)功能的裝置。優(yōu)選的描述了 一種裝置,其特征在于,具有用于存儲用于執(zhí)行單元的錯誤識別機(jī)制的 裝置。優(yōu)選的描述了一種裝置,其特征在于,具有用于在需要時向至少 一個執(zhí)行單元輸入針對錯誤識別機(jī)制的指令和/或程序的裝置。優(yōu)選的 描述了一種裝置,其特征在于,具有用于停用比較單元的裝置。
其它優(yōu)點和優(yōu)選實施方式從權(quán)利要求的特征以及說明書中得出。圖1示出具有主機(jī)CPU和從機(jī)CPU的雙核處理器,圖2示出具有兩個系統(tǒng)接口的雙核處理器,圖3示出雙核處理器以及比較單元的附加輸入信號,圖4示出雙核處理器以及比較單元的附加錯誤信號,圖5借助流程圖示出用于在處理器系統(tǒng)中處理錯誤的第一方法,圖6借助流程圖示出用于在處理器系統(tǒng)中處理錯誤的第二方法。
具體實施方式
圖1示出處理器系統(tǒng)WIOO,其具有多個執(zhí)4亍單元W110a、 W110b如 雙核計算器以及優(yōu)選用HW實現(xiàn)的比較單元W120。該處理器系統(tǒng)運行在 時鐘同步模式。在該運行方式中,優(yōu)選在每個時鐘周期之后比較執(zhí)行單 元的結(jié)果。執(zhí)行單元在此可以實現(xiàn)為處理器/核/CPU,也可以實現(xiàn)為FPU (浮點單元)、DSP(數(shù)字信號處理器),協(xié)處理器或ALU(算術(shù)邏輯單元), 并分別具有任意數(shù)量的所屬的寄存器組。在此恰好有一個執(zhí)行單元通過 中斷或釋放單元W130與系統(tǒng)接口 W140連接,或者直接與處理器系統(tǒng)的 數(shù)據(jù)/地址總線連接。該執(zhí)行單元產(chǎn)生唯一的要在處理器系統(tǒng)中繼續(xù)處 理的結(jié)果。因此,與系統(tǒng)接口 W130或者處理器系統(tǒng)的數(shù)據(jù)/地址總線連 接的執(zhí)行單元稱為主機(jī)。至少一個另外的執(zhí)行單元的輸出信號只輸入比 較單元W120,并在該比較單元中用于對主機(jī)的輸出信號進(jìn)行似然性檢 查。比較單元W120通過信號W125控制中斷或釋放單元W130,該信號 Wl25是代表該比較的信息。這種恰好具有兩個執(zhí)行單元并且執(zhí)行單元作 為CPU實現(xiàn)的系統(tǒng)在現(xiàn)有技術(shù)中作為雙核微控制器公知。與公知的、在時鐘同步模式下運行的雙核微控制器不同,在本發(fā)明 的第一實施例中,在保持特定的邊界條件下即使冗余的執(zhí)行單元的輸出 信號之間存在差異也將一個值寫入寄存器或存儲器中或輸出到數(shù)據(jù)/地 址總線上。但在此主機(jī)功能不是固定地分配給一個執(zhí)行單元,而是可以 分配給不同的執(zhí)行單元。該分配根據(jù)靜態(tài)確定的機(jī)制進(jìn)行或者動態(tài)確 定。在圖2所示的第二實施例中,處理器系統(tǒng)W101包含相對于圖1的 處理器系統(tǒng)W100擴(kuò)展了的比較單元W121、兩個中斷或釋放單元W130a、W130b,執(zhí)行單元W110a、 W110b通過該中斷或釋放單元W130a、 W130b 與系統(tǒng)接口 W140a、 W140b或者與數(shù)據(jù)/地址總線連接,而且該中斷或釋 放單元W130a、 W130b由比較單元通過信號W126a、 W126b控制。在此在 整個處理器系統(tǒng)中總是只向一個執(zhí)行單元分配主機(jī)功能,即總是最多只 有一個執(zhí)行單元與系統(tǒng)接口或數(shù)據(jù)/地址總線連接。主機(jī)功能的分配或 主機(jī)功能的切換在此通過控制中斷或釋放單元W130a、 W130b進(jìn)行。這 些中斷或釋放單元由比較單元W121根據(jù)至少兩個執(zhí)行單元的輸出信號 的比較結(jié)果來控制。在圖3所示的實施例中,主機(jī)功能的切換通過比較單元W122進(jìn)行, 該比較單元根據(jù)至少一個輸入信號W160或者該輸入信號的標(biāo)志通過借 助信號W126a和W126b來控制中斷或釋放單元W130a、 W130b,在至少兩 個執(zhí)行單元W110a、 W110b之間切換主機(jī)功能或者斷開所述系統(tǒng)。輸入信號W160或者該輸入信號的標(biāo)志可以根據(jù)時間或指令計數(shù)器 (例如每10個時鐘周期或每10個指令)來產(chǎn)生,優(yōu)選通過專用硬件產(chǎn) 生,或者可以通過操作系統(tǒng)例如根據(jù)對運行時對象的調(diào)度來產(chǎn)生(例如i者可以根據(jù)程序代碼中的標(biāo)志,^者可以通過中斷或t"斷請求單元的 信號產(chǎn)生,或者可以根據(jù)對程序和/或數(shù)據(jù)存儲器中的特定存儲區(qū)的訪 問而產(chǎn)生。主機(jī)功能的分配或切換可以根據(jù)上述條件之一,根據(jù)比較單元W122 的比較結(jié)果,或者多個這些條件的組合來進(jìn)行。在執(zhí)行單元的輸出信號之間存在差異時,由比較單元產(chǎn)生內(nèi)部錯誤 信號。根據(jù)通過信號W160通知給比較單元的系統(tǒng)狀態(tài),可以不斷開該 系統(tǒng)而將主機(jī)功能從一個執(zhí)行單元切換到另 一個執(zhí)行單元上。對于輸出 信號的每一個其它差異重復(fù)該過程,即主機(jī)功能分別劃分給其它執(zhí)行單 元。在此要注意,主機(jī)通過各自的系統(tǒng)接口 W140與比較結(jié)果無關(guān)地傳 遞其結(jié)果。比較單元只檢測一個差異,但是不禁止各主機(jī)的寫入。在比 較單元W122中可以包含其它根據(jù)錯誤計數(shù)器在超過預(yù)定個數(shù)的錯誤之 后斷開所述系統(tǒng)的裝置,所述錯誤計數(shù)器對已識別出的差異計數(shù)。該系 統(tǒng)還可以如圖4所示通過比較單元W123產(chǎn)生外部錯誤信號W170。該錯 誤信號可以在外部單元、操作系統(tǒng)或應(yīng)用中進(jìn)行分析,并通過信號W160 通知比較單元W123應(yīng)當(dāng)斷開系統(tǒng)。這些實施方式的共同點是在出現(xiàn)錯誤時處理器系統(tǒng)不是立即斷開而是繼續(xù)運行。通過交換主機(jī)功能,在 一個執(zhí)行單元中出現(xiàn)永久錯誤時也可以使至少每個第二結(jié)果是正確的。根據(jù)不同的應(yīng)用功能,這足以使系統(tǒng)在一定的時間期間以足夠的功能品 質(zhì)繼續(xù)運行。很多在汽車中用于制備信號和調(diào)節(jié)機(jī)械系統(tǒng)的功能都具有魯棒的設(shè)計,即短暫的干擾(例如由于EMV射線或由于干擾參數(shù)影響調(diào)節(jié)回路) 在這樣的系統(tǒng)中不會具有對安全很關(guān)鍵的影響,并由此可以容忍。但是 保持時間較長的干擾不能被這樣的"魯棒"系統(tǒng)所容忍。在這樣的魯棒 功能中,處理器系統(tǒng)不必在出現(xiàn)錯誤之后、即在通過比較單元識別出差 異之后立即斷開。在作用持續(xù)時間較短的瞬時錯誤原因中,該錯誤在下 次調(diào)用時大多不再出現(xiàn)。通過交替使用執(zhí)行單元的輸出信號或在具有多 個執(zhí)行單元的處理器系統(tǒng)中交替分配主機(jī)功能,在一個執(zhí)行單元中的永 久錯誤也不會長時間影響應(yīng)用,而是斷斷續(xù)續(xù)地影響。由此在錯誤情況 下,直到一個錯誤被清楚地識別為永久錯誤,或者應(yīng)用系統(tǒng)達(dá)到適于斷 開的系統(tǒng)狀態(tài)時,才斷開處理器系統(tǒng)。在另 一個實施例中,在識別出至少兩個執(zhí)行單元的輸出信號之間存 在差異時中斷在所有執(zhí)行單元上對當(dāng)前指令序列(程序塊,任務(wù))的處 理。在所有執(zhí)行單元中不是中斷指令序列,而是處理錯誤識別例程如 BIST (Built-In-Self-Test,內(nèi)建自測試)或者基于軟件的自測試。通 過將錯誤識別例程的結(jié)果與存儲的參考值進(jìn)行比較,可以識別并找到錯 誤。在識別和找到錯誤時,斷開出現(xiàn)錯誤的執(zhí)行單元。沒有出現(xiàn)錯誤的 單元繼續(xù)運行,直到達(dá)到確定要斷開的系統(tǒng)狀態(tài)為止。出現(xiàn)錯誤的執(zhí)行 單元的斷開是這樣來進(jìn)行的,停用比較單元并且分配給該執(zhí)行單元的中 斷或釋放單元Wl30a或Wl 30b不允許該執(zhí)行單元連接到系統(tǒng)接口或地址 /數(shù)據(jù)總線,或這樣來進(jìn)行,不向該執(zhí)行單元輸入指令、數(shù)據(jù)和/或時鐘 信號。為了停用比較單元存在各種可能。 一方面可以向比較單元發(fā)送信 號,利用該信號啟動或停用比較邏輯或比較功能。為此在該比較單元中 添加附加的邏輯電路,該邏輯電路可以根據(jù)這樣的信號啟動或停用比較 功能。另一個可能在于,不向比較單元輸入要比較的數(shù)據(jù)。第三種可能 在于,在系統(tǒng)層面上忽略按照圖4的比較單元W123的錯誤信號W170, 中斷錯誤信號W170本身,或者在這種情況下不將比較結(jié)果用于產(chǎn)生控制信號,如圖2和圖3所示的信號W126a和W126b。所有這些可能的共 同點在于它們在系統(tǒng)中產(chǎn)生一個狀態(tài),在該狀態(tài)下執(zhí)行單元的輸出信 號何時不同是沒有什么意義的。如果通過某種措施在比較單元或其輸入 或輸出信號中達(dá)到該狀態(tài),則將該比較單元稱為消極或停用的。如果在運行錯誤識別機(jī)制時沒有在執(zhí)行單元中找到錯誤,則在時鐘 同步中啟動下個任務(wù)。如果又識別出輸出信號之間存在差異,則再次進(jìn) 行上述過程,但是必須限制重復(fù)的次數(shù)n。該限制可以根據(jù)應(yīng)用的錯誤 容許時間來進(jìn)行。如果在重復(fù)n次之后又識別出錯誤,則立即斷開該系 統(tǒng)。根據(jù)圖4的另一個優(yōu)選實施例基于具有雙核體系和優(yōu)選用HW實現(xiàn) 的比較單元的處理器系統(tǒng),該處理器系統(tǒng)除了時鐘同步運行模式之外還 可以在至少一個第二運行模式中運行,在該第二運行模式中兩個執(zhí)行單 元W110a、 W110b同時處理不同的程序、程序段或指令。如果該處理器 系統(tǒng)工作在時鐘同步運行模式下,并且比較單元確定結(jié)果之間存在差 異,則在例如W110b的、恰好沒有與系統(tǒng)接口或數(shù)據(jù)/地址總線連接的 執(zhí)行單元中中斷當(dāng)前程序段或運行時對象(下面稱為"任務(wù)")的執(zhí)行, 并啟動錯誤識別例程(例如BIST)。例如W110a的另一個執(zhí)行單元繼續(xù) 處理當(dāng)前任務(wù),但是其具有50%的統(tǒng)計學(xué)錯誤概率。如果在W110b上的 錯誤識別例程直到在W110a上運行的任務(wù)結(jié)束時才在W110b中識別出錯 誤(例如通過與存儲的參考值相比較),則W110b斷開,而W110a繼續(xù)工作在單模式(沒有比較,或具有被停用的比較單元)下,直到整個系 統(tǒng)達(dá)到對于斷開不重要的狀態(tài)為止。然后斷開微處理器系統(tǒng)。如果W110b直到W110a的任務(wù)結(jié)束時都沒有找到錯誤,則下個任務(wù)又在時鐘同步模 式下開始,但這次W110b與系統(tǒng)接口或數(shù)據(jù)/地址總線連接。如果不再 出現(xiàn)差異,則在前面的任務(wù)中出現(xiàn)的差異很有可能是瞬時錯誤的影響。 如果又出現(xiàn)差異,則這一次在執(zhí)行單元W110a中中斷當(dāng)前任務(wù)并啟動錯 誤識別例程(例如BIST)。該過程一直重復(fù)到下個(或者可配置個數(shù)的) "調(diào)度回合"(操作系統(tǒng)周期)開始時。如果然后還存在結(jié)果之間的差 異,盡管沒有找到錯誤,仍然可以推斷出是沒有通過錯誤識別機(jī)制找到 的永久錯誤,并完全斷開微處理器系統(tǒng)。在圖5中示出用于在執(zhí)行單元的輸出信號之間出現(xiàn)差異之后控制處 理器系統(tǒng)的第一方法。在步驟510,在至少兩個執(zhí)行單元中處理相同的指令或程序段。 在步驟520中,對該至少兩個執(zhí)行單元的輸出信號就一致性進(jìn)行比較。如果輸出信號相同或者在限定的容差帶中,則重新開始步驟510,這一次用新的程序段或指令和/或數(shù)據(jù)開始。如果在步驟520識別出輸出信號之間存在差異,則下一步執(zhí)行步驟530。在步驟530中,中斷當(dāng)前的程序處理,并在所有執(zhí)行單元上執(zhí)行錯誤識別例程。在此必須中斷該執(zhí)行單元與系統(tǒng)接口或數(shù)據(jù)/地址總線的連接。在步驟540中,錯誤識別例程的結(jié)果分別與參考值相比較,該參考 值與錯誤識別例程的程序代碼一起存儲。如果在該比較中出現(xiàn)差異,則 將具有導(dǎo)致差異的比較結(jié)果的執(zhí)行單元標(biāo)識為有錯,并在下一步執(zhí)行步 驟550。如果沒有出現(xiàn)差異,則重新開始步驟510,這一次用新的程序 段或指令和/或數(shù)據(jù)開始。在步驟550中,停用標(biāo)識為有錯的執(zhí)行單元以及比較單元。執(zhí)行單 元的斷開例如可以這樣進(jìn)行,不向該執(zhí)行單元輸入指令、數(shù)據(jù)和/或時 鐘信號,或者中斷該執(zhí)行單元與比較單元以及與系統(tǒng)接口或數(shù)據(jù)/地址 總線的連接。在步驟560,處理器系統(tǒng)繼續(xù)用剩下的、沒有錯誤的執(zhí)行單元工作。 在具有兩個執(zhí)行單元的處理器系統(tǒng)中,這意味著單核運行。該單核運行 在與安全有關(guān)的系統(tǒng)中是時間有限的。在步驟570中,在達(dá)到斷開條件之后斷開處理器系統(tǒng)或者切換到限 定的安全狀態(tài),該斷開條件例如是超過針對單核運行的時間限制。在圖6中示出用于在執(zhí)行單元的輸出信號之間出現(xiàn)差異之后控制處 理器系統(tǒng)的另一種方法。在步驟605中,主機(jī)功能從第一執(zhí)行單元轉(zhuǎn)換到第二執(zhí)行單元上。在步驟610中,在至少兩個執(zhí)行單元中處理相同的指令或程序段。在步驟620中,對該至少兩個執(zhí)行單元的輸出信號就一致性進(jìn)行比 較。如果輸出信號相同或者在限定的容差帶中,則重新開始步驟610, 這一次用新的程序段或指令和/或數(shù)據(jù)開始。如果在步驟620識別出輸 出信號之間存在差異,則下一步執(zhí)行步驟630。在步驟630中,在至少一個執(zhí)行單元,而且至少在與系統(tǒng)接口或數(shù) 據(jù)/地址總線連接的執(zhí)行單元上繼續(xù)執(zhí)行當(dāng)前的程序序列。在至少一個另外的執(zhí)行單元上執(zhí)行錯誤識別例程。在此必須停用比較單元。在步驟640中,錯誤識別例程的結(jié)果分別與參考值相比較,該參考 值與錯誤識別例程的程序代碼一起存儲。如果在該比較中出現(xiàn)差異,則 將具有導(dǎo)致差異的比較結(jié)果的執(zhí)行單元標(biāo)識為有錯,并在下一步執(zhí)行步 驟650。如果沒有出現(xiàn)差異,則重新開始步驟605,這一次用新的程序 段或指令和/或數(shù)據(jù)開始。在步驟650中,斷開標(biāo)識為有錯的執(zhí)行單元。這例如可以這樣進(jìn)行, 不向該執(zhí)行單元輸入指令、數(shù)據(jù)和/或時鐘信號,或者中斷該執(zhí)行單元 與比較單元以及與系統(tǒng)接口或數(shù)據(jù)/地址總線的連接。在步驟660,處理器系統(tǒng)繼續(xù)用剩下的、沒有錯誤的執(zhí)行單元工作。 在具有兩個執(zhí)行單元的處理器系統(tǒng)中,這意味著單核運行。該單核運行 在與安全有關(guān)的系統(tǒng)中是時間有限的。在步驟670中,在達(dá)到斷開條件之后斷開處理器系統(tǒng)或者切換到限 定的安全狀態(tài),該斷開條件例如是超過針對單核運行的時間限制。
權(quán)利要求
1.一種用于控制具有至少兩個執(zhí)行單元和一個比較單元的計算器系統(tǒng)的方法,該計算器系統(tǒng)工作在時鐘同步的模式中,并且將至少兩個執(zhí)行單元的結(jié)果相比較,其特征在于,在通過比較單元識別出錯誤之時或之后在至少一個執(zhí)行單元上運行針對該執(zhí)行單元的錯誤識別機(jī)制。
2. 根據(jù)權(quán)利要求1所述的方法,其特征在于,在通過比較單元識別 出錯誤之時或之后中斷在至少兩個執(zhí)行單元上的當(dāng)前的指令序列,并在 至少兩個執(zhí)行單元上運行錯誤識別機(jī)制。
3. 根據(jù)權(quán)利要求1所述的方法,其特征在于,在通過比較單元識別 出錯誤之時或之后中斷在恰好一個執(zhí)行單元上的當(dāng)前的指令序列,并在 該恰好一個執(zhí)行單元上運行錯誤識別機(jī)制,在運行錯誤識別機(jī)制的持續(xù) 時間期間斷開至少兩個執(zhí)行單元的比較單元,并且在至少 一個另外的執(zhí) 行單元上繼續(xù)處理按照規(guī)定的程序序列。
4. 根據(jù)權(quán)利要求2或3所述的方法,其特征在于,如果錯誤識別機(jī) 制沒有識別出錯誤,則在運行完錯誤識別機(jī)制之后繼續(xù)執(zhí)行按照規(guī)定的 程序流程。
5. 根據(jù)權(quán)利要求2或3所述的方法,其特征在于,在一個執(zhí)行單元 上找到錯誤之時或之后斷開該出現(xiàn)錯誤的執(zhí)行單元。
6. 根據(jù)權(quán)利要求5所述的方法,其特征在于,停用所述比較單元。
7. 根據(jù)權(quán)利要求5或6所述的方法,其特征在于,在停用至少一個 部件時產(chǎn)生錯誤信號,該錯誤信號將提供給應(yīng)用。
8. 根據(jù)權(quán)利要求1所述的方法,其特征在于,在出現(xiàn)錯誤之后僅用 一個執(zhí)行單元進(jìn)行的運行在時間上有限,而且最遲在事先確定的時間結(jié)束之后就斷開所述計算器系統(tǒng)。
9. 根據(jù)權(quán)利要求8所述的方法,其特征在于,所述斷開在事先確定 的時間結(jié)束之前就已經(jīng)通過由應(yīng)用產(chǎn)生的信號斷開。
10. —種用于控制具有至少兩個執(zhí)行單元和一個比較單元的計算器 系統(tǒng)的裝置,該計算器系統(tǒng)工作在時鐘同步的模式中,并且將至少兩個 執(zhí)行單元的結(jié)果相比較,其特征在于,具有用于在通過比較單元識別出 錯誤之時或之后在至少一個執(zhí)行單元上運行針對該執(zhí)行單元的錯誤識別機(jī)制的裝置。
11. 根據(jù)權(quán)利要求IO所述的裝置,其特征在于,具有用于取消至少兩個執(zhí)行單元的時鐘同步耦合并向任意一個執(zhí)行單元分配主機(jī)功能的裝置。
12. 根據(jù)權(quán)利要求IO所述的裝置,其特征在于,具有用于存儲針對 執(zhí)行單元的錯誤識別機(jī)制的裝置。
13. 根據(jù)權(quán)利要求IO所述的裝置,其特征在于,具有用于在需要時 向至少 一個執(zhí)行單元輸入針對錯誤識別機(jī)制的指令和/或程序的裝置。
14. 根據(jù)權(quán)利要求IO所述的裝置,其特征在于,具有用于停用比較 單元的裝置。
全文摘要
一種用于控制具有至少兩個執(zhí)行單元和一個比較單元的計算器系統(tǒng)的方法,該計算器系統(tǒng)工作在時鐘同步的模式中,并且將至少兩個執(zhí)行單元的結(jié)果相比較,其特征在于,在通過比較單元識別出錯誤之時或之后在至少一個執(zhí)行單元上運行針對該執(zhí)行單元的錯誤識別機(jī)制。
文檔編號G06F11/16GK101243407SQ200680029573
公開日2008年8月13日 申請日期2006年7月26日 優(yōu)先權(quán)日2005年8月8日
發(fā)明者B·米勒, R·格梅利克, R·韋伯爾 申請人:羅伯特·博世有限公司