本發明專利技術涉及一種控制計算機系統。該控制計算機系統包括:至少兩個被配置為相互冗余的模塊(1001、1002、1003、1004);至少一個比較單元(1011、1012),用于監視至少兩個冗余模塊(1001、1002、1003、1004)的同步狀態以及用于檢測同步錯誤;至少一個外圍單元(1030、1031、…、1038)。該控制計算系統還包括至少一個開關矩陣(1013),被設置為允許或阻止訪問所述至少兩個冗余模塊訪問(1001、1002、1003、1004)或者所述至少兩個冗余模塊訪問外圍單元(1030、1031、…、1038)。錯誤處理單元(1080)被設置為接收至少一個比較單元(1011、1012)的信號以及驅動至少一個開關矩陣(1013),以便可性地完全地或選擇性地阻止訪問所述至少兩個冗余模塊或者所述至少兩個冗余模塊訪問所述外圍單元。
【技術實現步驟摘要】
【國外來華專利技術】
本專利技術涉及冗余處理器控制器和控制方法。更具體地說,本專利技術涉及冗余雙處理器控制器和多核冗余控制計算機系統。
技術介紹
已知的做法是使兩個處理器以鎖步(Iockst印)模式執行相同的指令并通過比較輸出數據來判定是否發生錯誤。在這種情況下,兩個處理器可通過時鐘同步的方式運行或以一定的時間偏移(在比較期間相應地被補償)運行。在這種情況下,可能發生例如由制造期間引入的故障造成的永久錯誤和例如由臨時電磁干擾造成的臨時錯誤。如果發生鎖步錯誤,程序執行會被中斷,在最簡單的情況下,計算機系統會被停用,因此,這種情況下,來自 兩個處理器的輸出數據相互不同。但是,對于雙冗余處理器而言,提供計算機系統在發生錯誤時得以繼續執行所需程序的容錯尤其具有挑戰性。已有人嘗試在只有兩個冗余處理器的安全平臺中幫助實現容錯能力。US 5915082 B2公開了其中為內部總線提供被比較的奇偶校驗位的系統體系結構。在一端檢測到奇偶校驗錯誤之后,會斷開相關處理器,從而其不再對系統有任何影響。毎次在沒有奇偶校驗錯誤的情況下發生鎖步錯誤之后,系統便會關閉。這種基于奇偶性檢查的過程沒有充分涵蓋其中即使在出現鎖步錯誤之后,也非常需要冗余系統的可用性的情況。如果兩個內部冗余単元同時顯示不同的多位錯誤時,奇偶性檢查可以導致例如不正確的決定。進ー步已知的容錯系統體系結構包括至少三個具有共享或共用內存的處理器核。在這種情況下,總是通過監視總線信號來檢查處理器的鎖步模式。鎖步模式在下文中也被稱為處理器同步執行程序或程序部分。如果活動處理器失敗,則活動處理器通過輸入/輸出通道驅動的存儲區和組件的所有權移交給另ー處理器。在鎖步錯誤之后的鎖步錯誤狀態(同步錯誤)中,數據訪問和控制進程從活動處理器中移除并由另一處理器維護。包括處理器的三重冗余(TMR :三模塊冗余)和ー個共用存儲器的容錯系統的經典最低配置對于許多安全體系結構而言仍然非常昂貴,所述安全體系結構的安全概念基于使用以鎖步或同步方式運行的兩個冗余處理器。但是,容錯能力對于帶有雙冗余的處理器而言尤其具有挑戰性。US 7366948 B2和US 2006/0107106描述了用于幫助實現由多個在鎖步模式中運行的處理器對組成的系統中的可用性的方法。兩個冗余處理器在每個對中進行組合,并且它們的輸出不斷進行比較。如果在ー個處理器對中發生錯誤,則另一處理器對將作為引導處理器對承擔驅動系統的任務。同吋,出現錯誤的處理器對將嘗試恢復同步并使其可用作備用處理器對。這樣確保系統的高度可用性。然而,此方法對于許多嵌入式系統而言成本太高,因為當不存在錯誤時,不使用一個處理器對,因此此方法提供的成本/性能比太差。被分為兩對并且輸出信號被比較的四個處理器必須始終被用于單個任務。如果在ー處理器對中檢測到鎖步錯誤(LOL :鎖步丟失)或另ー處理器內部錯誤,操作系統便會將故障處理器對更改為靜止(quiescent)狀態并激活另ー處理器對。EP 1380953 BI定義了具有鎖步同步功能的容錯計算機系統,所述系統包含多個帶有處理器和存儲器的計算模塊,并描述了一種用于再同步所述系統的方法。由于每個計算模塊同步處理相同的指令串,因此該計算機系統并非很有效率。EP 1456720 BI公開了用于包括兩個或更多個控制計算機系統的機動車輛中安全關鍵應用的計算機組,每個控制計算機系統包括兩個控制計算機,所述控制計算機以時鐘同步方式運行,并且具有在芯片上集成的部分或完全冗余的外圍組件以及部分或完全冗余的存儲元件。以時鐘同步方式運行的控制計算機系統的控制計算機與仲裁単元相連,所述仲裁単元監視這些計算機是否出現錯誤并且可以將指定給控制計算機系統的通信控制器連接到車輛數據總線,或者可以分離所述控制器。如果其中ー個控制計算機出現故障,則對應的控制計算機系統部分地或完全地停用。 DE 10 2009 000 045 Al公開了ー種用于操作包含計算機系統的控制設備的裝置,所述計算機系統包括兩對執行単元,每對執行単元包含兩個執行単元,并且具體而言,所述控制設備在機動車輛中使用。每對中的執行單元執行相同的程序,并且每個執行単元的輸出信號由相應的比較單元相互比較,并且如有不一致,則輸出錯誤信號。如果針對第一對執行単元出現錯誤信號,則關閉該對,并且計算機系統繼續使用第二對執行單元運行,并且預先警告信號被輸出到驅動器。所述文檔的缺點是必須提供高度冗余,因為當沒有錯誤時,至少一個處理器對不活動或者執行與驅動外圍單元的活動處理器對相同的程序。因此,每個単獨的處理器必須提供全部所需的計算能力,其結果是已知的計算機系統不能以非常高效的方式運行。從成本角度來講,這種情況是不合需要的,尤其是對于大批量生產的系統。US 7366948 B2中描述的方法對于嵌入式系統而言是成本非常高的解決方案。另ー個事實是,除了處理器核之外,其他組件不能總是以冗余方式實現。在設計用于不同安全相關系統(例如,汽車行業中的剎車應用)的安全體系結構時,財務原因通常起著重要作用。程序存儲器,例如閃存,不是冗余的,但是由所有現有處理器使用。傳統方法在確保基于冗余處理器的安全體系結構中的可用性的方法中不會考慮非冗余組件的這種邊界條件。有關確保安全體系結構中的處理器可用性的另ー問題是只能在成功完成安全檢查之后才能再次啟動之前失敗的處理器。在此背景之下,需要僅有兩個冗余處理器并且允許實現系統的高度可用性的安全體系結構。另外還需要具有三個或更多處理器(例如兩個處理器,每個帶有兩個核)并允許實現系統的高度可用性的安全體系結構。
技術實現思路
根據ー個方面,本專利技術的目標是提供同時容錯和高效的控制計算機系統。根據ー個實施例,基于冗余處理器核對的安全體系結構g在被配置以保留現有安全級別,同時實現系統的高級別可用性。此外,處理器g在在正常(或無錯誤)模式下提供高級別性能。檢測到錯誤之后,g在在考慮非冗余組件的安全連接的情況下維持系統的可用性。在此背景下,提供了如權利要求I中所述的控制計算機系統。同時還提供了雙處理器控制設備。還提供了如權利要求22或33中所述的用于控制控制計算機系統的方法。還提供了如權利要求32中所述的控制計算機系統的使用。一個實施例提供了ー種控制計算機系統。所述控制計算 機系統包括至少兩個被設計為相互冗余的模塊;至少ー個用于監視所述至少兩個冗余模塊的同步狀態以及用于檢測同步錯誤的比較單元;至少ー個外圍單元;至少ー個被設置為允許或阻止對所述至少兩個冗余模塊的訪問或由所述至少兩個冗余模塊對外圍單元的訪問的開關矩陣。所述控制計算機系統還包括被設置為從所述至少ー個比較單元接收信號以及驅動所述至少ー個開關矩陣,以便完全地或選擇性地阻止對所述至少兩個冗余模塊的訪問或由所述至少兩個冗余模塊對所述外圍單元的訪問的錯誤處理單元。當發生錯誤時,所述錯誤處理單元驅動的開關矩陣便會阻止對故障模塊的訪問或者故障模塊對外圍單元的訪問。根據ー個實施例,所述錯誤處理單元啟動和監視用于檢查冗余模塊中是否有錯誤的一個或多個測試,并且如果檢測到錯誤,便會控制所述開關矩陣,具體而言,使得不再為安全相關應用考慮故障模塊。根據ー個實施例,所述至少兩個冗余模塊是至少兩個用于同步執行控制程序的處理器單元或其他単元,例如冗余設計的存儲器模塊。根據ー個實施例,所述本文檔來自技高網...
【技術保護點】
【技術特征摘要】
【國外來華專利技術】...
【專利技術屬性】
技術研發人員:L·D·卡布萊帕,T·埃倫貝格,D·鮑邁斯特,
申請(專利權)人:大陸特韋斯貿易合伙股份公司及兩合公司,
類型:
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。