[发明专利]用于安全关键软件应用的多核处理器故障检测

说明书

提供有在多核处理器环境中安全关键软件应用的执行期间的多核处理器故障检测。在多核处理器环境中安全关键软件应用的执行期间多核处理器故障检测的方法牵涉使至少一个处理器核的至少一部分的完整资源专用于执行诊断软件应用同时使余下资源专用于执行安全关键软件应用，由此实现诊断软件应用和安全关键软件应用的并行执行。还提供有用于在多核处理器环境中安全关键软件应用的执行期间多核处理器故障检测的控制器。该控制器包括多核处理器环境。控制器可以是控制系统的一部分。方法可作为计算机程序提供。

技术领域

本文提出的实施例涉及多核处理器故障检测，并且特别涉及用于安全关键软件应用的多核处理器故障检测。

背景技术

工业控制系统例如在制造和过程工业（例如化工厂、采油厂、炼油厂、制浆造纸厂、炼钢厂和自动化工厂）中应用。工业控制系统也广泛地在电力工业内使用。这样的工业控制系统可包括增加了安全特征的某些设备或可与这些设备组合。这样的设备的示例是安全控制器。需要除标准工业控制系统所提供的以外的额外安全特征的过程示例是离岸生产平台处的过程、核电站处的某些过程段和化工厂处的危险区域。安全特征可连同安全停机、消防和/或警报系统一起使用以及用于火灾燃气检测。

涉及具有增加安全特征的工业控制系统的复杂计算机系统的使用在对工业控制器中软件的无错执行的需求增加提出挑战。

标准IEC 61508概述对于由硬件和软件组成的系统的要求，其分组成下列设备失效类别：

随机硬件失效可以是永久或暂时的。永久失效存在直到被修复。暂时失效可以通过措施来解决以控制失效（通过采用检测和校正机制）。

系统性失效可以在硬件和软件中存在。一般而言，系统性失效仅在系统（家庭）或证明（现场）测试期间发现时可以被消除。关于如何避免系统性失效的措施在上文的参考标准中规定。典型地，系统性失效的避免通过良好的设计规程和用于检测设计缺陷的措施来应对，同时系统性失效的控制可以多样化地实现，等。

共因失效是一个或多个事件的结果，在多通道系统中导致两个或以上独立通道并发失效、从而导致系统失效。共因失效典型地在冗余硬件（不止一次实施的安全功能）中同时由环境问题（例如温度、EMC等）引起。一般而言，在硬件、设计或技术方面引入差异的多样性可减少这种错误。

当前的多核处理器未满足根据IEC 61508-2的附录E的HFT=1。启用内部核为核冗余可是可能的，但在相同硅上执行安全关键应用的两个副本时关于多样性的问题仍然存在。这在一定程度上可以通过使用不同设计原理或完全不同的技术来实施相同安全关键功能性而解决。

在对安全应用使用多核处理器时，从而需要有处理器并且特别是处理器核的在线诊断测试。诊断软件通常作为后台任务运行并且从而与安全应用竞争处理能力。由此可失去使用多核处理器的益处。

因此在工业控制系统中对于安全关键软件应用仍需要有改进的安全考虑。

发明内容

本文的实施例的目标是在工业控制系统中对安全关键软件应用提供改进的安全考虑。

为了减少上文提到的问题的影响，本发明的发明者认识到应设计诊断软件使得它的执行不干扰安全应用的执行。特定目标因此是在工业控制系统中对安全关键软件应用提供改进安全考虑而不干扰安全应用的执行。

根据第一方面，呈现有用于在多核处理器环境中在安全关键软件应用的执行期间多核处理器故障检测的方法。该方法包括将多核处理器环境的处理器核分成至少两个逻辑单元。方法包括使至少两个逻辑单元中的一个的所有处理资源专用于执行诊断软件应用DSA，该DSA设置成用于至少两个逻辑单元中所述一个的处理器核的故障检测。方法包括使余下逻辑单元中至少一个的处理器资源专用于执行安全关键软件应用SSA。方法包括由至少两个逻辑单元中的所述一个执行DSA同时由余下逻辑单元中所述至少一个并行执行SSA。