本發(fā)明專利技術(shù)涉及一種裝置和方法,能夠?qū)Π踩胧┑陌踩赃M(jìn)行管理,并且能夠無損壞地測(cè)試與安全相關(guān)的寄存器,這些寄存器需要用于對(duì)系統(tǒng)進(jìn)行配置,其中,能夠在要檢查的系統(tǒng)的每個(gè)運(yùn)行階段期間執(zhí)行根據(jù)本發(fā)明專利技術(shù)的測(cè)試方法。
【技術(shù)實(shí)現(xiàn)步驟摘要】
本專利技術(shù)涉及一種根據(jù)獨(dú)立權(quán)利要求的前序部分所述的一種方法以及一種裝置。本專利技術(shù)特別是涉及一種用于無損壞地測(cè)試電子存儲(chǔ)媒介中與安全相關(guān)的存儲(chǔ)寄存器的一種方法以及一種裝置,這種電子存儲(chǔ)媒介例如能夠應(yīng)用在車輛中。在當(dāng)前的上下文中,無損壞地檢查與安全相關(guān)的寄存器的意思是測(cè)試電子存儲(chǔ)寄存器,其功能性不會(huì)因?yàn)闇y(cè)試受損,并且它的數(shù)據(jù)內(nèi)容在測(cè)試完成后又符合原始值。與安全相關(guān)的寄存器在下面也被稱為安全寄存器,它們是電子存儲(chǔ)媒介中的存儲(chǔ)寄存器,其中存儲(chǔ)了用于系統(tǒng)的安全性和正確功能性的相關(guān)數(shù)據(jù)。
技術(shù)介紹
為了滿足根據(jù)車輛安全完整性等級(jí)的車輛安全要求,這些車輛安全要求例如在功能安全標(biāo)準(zhǔn)ISO 26262中定義用于道路運(yùn)輸工具,在車輛微控制器的與安全相關(guān)的部件的硬件應(yīng)用中必須采取各種視應(yīng)用情況而定的安全措施。這種功能安全標(biāo)準(zhǔn)定義了微控制器的安全部件中和裝入其中的安全機(jī)制中的容許誤差的具體的最大時(shí)間間隔。外部事件的影響,例如機(jī)械作用或者放射性阿爾法射線,可能在存儲(chǔ)寄存器中導(dǎo)致反轉(zhuǎn)的狀態(tài),由此可能造成錯(cuò)誤地控制與安全相關(guān)的底層模塊以及引擎整個(gè)車輛控制器嚴(yán)重的錯(cuò)誤功能。其中,可能涉及與配置-和通用寄存器相關(guān)的系統(tǒng)組件或者特別是關(guān)鍵的內(nèi)部寄存器,例如狀態(tài)機(jī)和計(jì)數(shù)器。因此,通過在不修正時(shí)也至少標(biāo)識(shí)出錯(cuò)誤狀態(tài),并且為此發(fā)出用于觸發(fā)安全功能或者安全機(jī)制的警報(bào)或者指示,由此觸發(fā)相應(yīng)的行動(dòng)或者安全功能、例如系統(tǒng)重置(Reset),使這種安全寄存器必須被特別保護(hù)。這些安全機(jī)制、安全功能或安全措施能夠在所謂的安全管理單元中進(jìn)行配置。為了確保功能安全標(biāo)準(zhǔn),還必須確定安全機(jī)制在最大時(shí)間間隔內(nèi)的不可用性,其中,該最大時(shí)間間隔通常相當(dāng)于車輛在例如幾個(gè)小時(shí)內(nèi)的平均行駛周期。可以通過模擬可能發(fā)生的外部作用、例如阿爾法粒子的放射性輻射來實(shí)現(xiàn)對(duì)安全措施的測(cè)試。這可以通過在一個(gè)行駛周期期間對(duì)安全寄存器位進(jìn)行至少一次反轉(zhuǎn)來模擬,緊接著可以檢查,是否如愿地觸發(fā)了相應(yīng)的警報(bào)或者安全機(jī)制。對(duì)與這種測(cè)試要求而言,在選擇何時(shí)能夠在系統(tǒng)上進(jìn)行這種安全測(cè)試的時(shí)間點(diǎn)方面存在困難,因?yàn)闇y(cè)試過程可能會(huì)導(dǎo)致對(duì)被測(cè)試系統(tǒng)的正常功能的不利影響。在選擇安全措施的測(cè)試時(shí)間點(diǎn)方面的下列代替方案可能導(dǎo)致下列不同的問題A.當(dāng)在當(dāng)前的行駛周期結(jié)束之后進(jìn)行測(cè)試時(shí),該測(cè)試過程不干擾被測(cè)試系統(tǒng)的正常運(yùn)行。然而卻不能確保在下一個(gè)行駛周期啟動(dòng)時(shí),被測(cè)試系統(tǒng)的安全功能仍然一直無錯(cuò)誤。因此,這種代替方案有決定性的缺陷。B.在行駛周期中的一個(gè)時(shí)間點(diǎn)進(jìn)行測(cè)試時(shí),測(cè)試過程不會(huì)損壞被測(cè)試系統(tǒng)的正常功能。然而出現(xiàn)以下問題,當(dāng)重要的、在行駛周期期間持續(xù)需要的寄存器位(Registerbits)為了測(cè)試目的能夠被修改時(shí),應(yīng)該何時(shí)保持正常運(yùn)行?因?yàn)橥ǔ2荒苡纱顺霭l(fā),即存在一種空轉(zhuǎn)周期,在該空轉(zhuǎn)周期中無需被測(cè)試的寄存器位。此外還必須確保在測(cè)試完成后再次在被測(cè)試的寄存器位中生成存儲(chǔ)的值或數(shù)據(jù)。C.只能在基本的配置設(shè)置(例如為了正確地進(jìn)行測(cè)試本身需要進(jìn)行的時(shí)鐘控制)在測(cè)試期間不受損時(shí),才能接受在啟動(dòng)要測(cè)試的系統(tǒng)期間進(jìn)行的一次測(cè)試。因此,這不能滿足,任意地修改安全寄存器用于測(cè)試,并且在測(cè)試完成后再次生成復(fù)位值。此外,為了存儲(chǔ)寄存器而對(duì)安全措施進(jìn)行的測(cè)試不會(huì)需要太多的時(shí)鐘周期,這是因?yàn)橄薅丝山邮艿挠糜趩?dòng)要測(cè)試的系統(tǒng)的時(shí)間間隔。對(duì)這種依賴關(guān)系的考慮可能導(dǎo)致在用于啟動(dòng)系統(tǒng)的軟件方面非常復(fù)雜,并且伴隨著高度的錯(cuò)誤風(fēng)險(xiǎn)。成本也是個(gè)問題,它是由針對(duì)安全寄存器所需的存儲(chǔ)空間和供給能量引起的。另一個(gè)挑戰(zhàn)在于,要能夠利用最小的消耗靈活地提高或者降低系統(tǒng)的安全功能,以便避免安全功能的保護(hù)性過高或者過低。另一個(gè)要求在于方法問題,即,寄存器安全措施不能對(duì)產(chǎn)品到客戶所需的生產(chǎn)-和供應(yīng)時(shí)間產(chǎn)生不利影響。因此,不允許通過用于應(yīng)用并校驗(yàn)安全邏輯的附加消耗顯著地增加硬件構(gòu)造和校驗(yàn)規(guī)劃方面的負(fù)擔(dān)。·在現(xiàn)有技術(shù)中,迄今公知以下用于確保寄存器安全的基本解決途徑通過復(fù)制完整的CPU并同時(shí)使其工作,由此為CPU核、例如AURIX產(chǎn)品系列設(shè)置系統(tǒng)層上的冗余。特殊的同步控制邏輯器能夠?qū)⒅鰿PU和冗余的檢測(cè)CPU的輸出端與檢測(cè)輸入端和主輸出端的可配置的延遲持續(xù)地進(jìn)行比較,其中,能夠通過單獨(dú)的測(cè)試輸入端測(cè)試該比較邏輯器。在確保寄存器安全的應(yīng)用中,這種解決途徑可能相當(dāng)于復(fù)制用于計(jì)算被保護(hù)的寄存器狀態(tài)的整個(gè)時(shí)序-和組合邏輯器。這可能會(huì)導(dǎo)致較高的運(yùn)行成本,并且不具有靈活性,無法在構(gòu)造改變的情況下選擇單個(gè)的寄存器位域用于保護(hù)寄存器安全性。此外,可能僅測(cè)試比較邏輯器,卻不測(cè)試冗余的寄存器。另一種公知的方法是以特殊的冗余代碼(Error Correction Codes ;錯(cuò)誤修正碼)為基礎(chǔ)的,并且用于保護(hù)RAM塊以及錯(cuò)誤確定和_修正,其中,通過ECC編碼器在寫入數(shù)據(jù)期間向數(shù)據(jù)字添加額外的檢查位,并且在由ECC解碼器讀取期間被檢查,ECC解碼器依賴于ECC配置不僅能夠確定一定數(shù)量的位錯(cuò)誤,也還能夠在一定的范圍內(nèi)修正這些錯(cuò)誤。這種解決途徑可能也被用于確保寄存器的安全。然而,因?yàn)镋CC保護(hù)需要被調(diào)節(jié)的、具有預(yù)定字長的存儲(chǔ)器結(jié)構(gòu),所以必須大幅度修改設(shè)計(jì)結(jié)構(gòu),以便一方面加入ECC邏輯器自身,并且另一方面這樣布置寄存器邏輯,即達(dá)到所需的規(guī)則性。這樣進(jìn)行重新構(gòu)造可能造成更高的設(shè)計(jì)消耗,并且缺乏所希望的靈活性。具有雙重或三重模塊化冗余的所謂的庫單元是另一種公知的代替方案,然而它能夠影響設(shè)計(jì)直至合成。因?yàn)樵趶?fù)制的情況下,這些寄存器單元可能必須設(shè)計(jì)帶有額外的輸入端和輸出端,用于進(jìn)行測(cè)試并且用于觸發(fā)安全功能或者說警報(bào)。三重的模塊化冗余使得不需要警報(bào)時(shí),能夠保留原始的寄存器單元的端口,因?yàn)榭赡芡ㄟ^多數(shù)表決(Mehrheitsvotum)產(chǎn)生寄存器輸出端。然而,三重冗余可能導(dǎo)致更多的區(qū)域成本(Bereichskosten),并且?guī)靻卧母鼡Q可能會(huì)嚴(yán)重影響設(shè)計(jì)流程,并且可能需要或者手動(dòng)干涉或者復(fù)雜的腳本。還有另一種可能的解決途徑是將檢查位加入寄存器。然而,產(chǎn)生的異或門長鏈可能增加設(shè)計(jì)中的工作量和組合的運(yùn)行時(shí)間延遲。此外,能夠相互取消偶數(shù)的同時(shí)出現(xiàn)的錯(cuò)誤,從而不會(huì)標(biāo)記安全或警報(bào)功能。最后,有些解決途徑可能為了將硬件安全措施應(yīng)用到每個(gè)模塊中而導(dǎo)致特別異類的解決方案,它們很難以被驗(yàn)證、測(cè)試和證實(shí)。可替代地,可以通過安全軟件保護(hù)寄存器,為此,安全寄存器的所有寫入數(shù)據(jù)都額外地存儲(chǔ)到另一個(gè)存儲(chǔ)器中,并且時(shí)不時(shí)地被讀取和比較。只要重復(fù)周期相對(duì)安全要求而言不過短,并且該軟件不過分增加CPU的負(fù)擔(dān),那么這種解決途徑是可以接受的。然而,無法通過安全軟件確保所有寄存器的安全,因?yàn)檐浖o法到達(dá)內(nèi)部寄存器,并且一些從外部可見的寄存器額外地被硬件更新,使得安全軟件可能無法決定是因?yàn)橛幸?guī)律的硬件更新還是因?yàn)樘厥獾腻e(cuò)誤而發(fā)生改變。
技術(shù)實(shí)現(xiàn)思路
因此,本專利技術(shù)的一個(gè)目的在于,測(cè)試系統(tǒng)配置好的安全機(jī)制或安全功能,而在此期間不會(huì)影響要測(cè)試的系統(tǒng)的正常運(yùn)行,并且此外盡可能少地偏離所涉及系統(tǒng)至今的生產(chǎn)流程。 根據(jù)本專利技術(shù),該目的通過獨(dú)立權(quán)利要求所述的對(duì)象得以解決。根據(jù)本專利技術(shù),該目的特別是通過以下方式得以解決,即,任何時(shí)候、即使在要測(cè)試的系統(tǒng)正常運(yùn)行期間,也能夠測(cè)試安全功能或者說安全措施,或者能夠檢查與安全相關(guān)的、用于配置電子控制系統(tǒng)的寄存器。為此,在每個(gè)包含本文檔來自技高網(wǎng)...
【技術(shù)保護(hù)點(diǎn)】
一種用于測(cè)試電子控制系統(tǒng)的與安全相關(guān)的存儲(chǔ)寄存器(以下簡(jiǎn)稱:安全寄存器)的方法,該電子控制系統(tǒng)包括多個(gè)模塊,并且設(shè)計(jì)用于在預(yù)先給定的條件下觸發(fā)安全功能,其特征在于,借助測(cè)試控制器檢測(cè)在所述控制系統(tǒng)的每個(gè)運(yùn)行階段中在其中一個(gè)安全寄存器中的錯(cuò)誤出現(xiàn)情況,在每個(gè)包括這種安全寄存器的模塊中設(shè)置了所述測(cè)試控制器。
【技術(shù)特征摘要】
...
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:霍爾格·布施,
申請(qǐng)(專利權(quán))人:英飛凌科技股份有限公司,
類型:發(fā)明
國別省市:
還沒有人留言評(píng)論。發(fā)表了對(duì)其他瀏覽者有用的留言會(huì)獲得科技券。