用于评估对安全性至关重要的传感器变量的计算机系统

摘要

本发明描述了一种用于对安全性至关重要的传感器变量的计算机系统，该计算机系统具有至少一个输出第一传感器变量的第一传感器并且具有输出第二传感器变量的第二传感器，该计算机系统具有计算机并且具有独立于计算机的比较器，其中，计算机借助第一函数由第一传感器变量计算出输出变量，其中，计算机借助第二函数由输出变量计算出比较变量，并且其中，在比较器的输入端上输入比较变量和第二传感器变量。在此，第二传感器变量不是计算机的输入变量并且通过其量上的值区别于第一输入变量。通过计算机的计算并且在必要时通过比较器的计算由所算出的输出变量来确定针对第二传感器变量的预期的比较变量，并且通过比较器来检验两个变量是否一致。由此可以发现计算机的确定的内部错误。

说明书

技术领域

本发明涉及一种根据权利要求1或2前序部分的用于评估对安全性至关重要的传感器变量的计算机系统。

背景技术

IEC 61508是用于完成电气、电子和可编程的电子系统的国际标准，该标准实现安全功能。该标准由国际电子技术委员会(IEC)发布。IEC 61508针对安全完整性等级3规定了确定的硬件技术最小值，例如针对FIT(计次失效率，failure in time)和SFF(安全失效分数，safe failurefraction)，这些硬件技术最小值通常仅能通过附加的软件技术措施来实现。尤其是用于对发生CPU计算错误进行防护的验证是安全完整性的总验证的重要部分。

迄今，为了对发生计算错误进行防护而应用两个不同的微控制芯片或在一个芯片上的至少两个并行运行的计算路径(Rechenpfade)。有时也使用反向运行的计算路径，例如在德国公开文献DE 4219457A1中所述。双芯片解决方案在批量生产中造价昂贵，而通过迄今在单芯片上的解决方案，功能安全性只会受到限制或者要借助于附加的硬件来验证功能安全性，这是因为在内部错误的情况下，CPU在并行运行的或反向运行的计算路径中均以同样的方式错误地计算。因此，CUP错误可能会保持未被发现。缺少对如下问题的简单验证，即：CPU没有在两种计算路径中同样错误地进行计算，并且不存在两个相同的但却错误的结果来用于对所述结果的比较，或者在反向计算路径的情况下，CPU由于错误例如略过两个计算路径并且直接对两个输入变量进行比较。

发明内容

本发明的目的在于，完成一种用于评估对安全性至关重要的传感器变量的计算机系统，该计算机系统以可验证的方式实现CPU的超高安全完整性，而可以不用指派单独的、高成本的CPU检测。

依据本发明，该任务分别通过权利要求1和权利要求2所表明的特征得以解决。

依据本发明设置，至少两个传感器从属于计算机系统，这两个传感器在待获取的系统状态下输出在质上或者至少在量上不同的传感器变量。假设：两个传感器的输出变量之间存在已知的函数关联。

在计算机的输入端上输入第一传感器的传感器变量，该计算机由该传感器变量计算出输出变量，该输出变量可供用于实践中有用的目的，例如用作针对调节环节的控制变量。在下一步中，由该输出变量计算出比较变量，该比较变量与第二传感器的预期的传感器变量相对应。该比较变量由计算机给到外部比较器上，该比较器将比较变量与第二传感器的对计算机来说完全未知的、实际的传感器变量作比较看是否一致。在此，为正的比较结果表明CPU的安全完整性是好的并且表明输出变量和比较变量的计算运行正确。同时，维持由现有技术公知的关于所参与的传感器功能正确的验证，该验证原则上由比较器提供。

以本发明为基础的思路因此在于，使用在质上或者还有仅在量上不同的传感器，这些传感器提供不同的测量变量或至少不同的值并且因此在处理期间，不依赖于所应用的算法(并行(parallel)/求反(invertieren)/求逆(invers)/求补/倒退推算(zurückrechnen))，在任何时候始终负责不同的数据水平(Datenniveaus)。

CPU不能以其他方式(例如通过对第一传感器变量进行复制)来提供比较变量，除了通过正确运行的计算结果。对于验证CPU安全完整性，现在意义重大的是比较变量与第二传感器变量的比较。被比较的(必要时在对可能的偏差例如传感器不精确度进行补偿的公差带内)是比较变量和附加独立数据源的、对计算机来说迄今未知的值。该值通过第二传感器给出。

因为第二传感器变量只是未经加工地、即未经CPU利用地并且绝对未经处理地存在，所以在该位置上所进行的比较提供仅依赖于计算机系统(芯片(Chip))CPU完整性的结果。在这里假设两个传感器的无错性或者其自身CPU的无错性，该无错性可以仅通过独立的措施得到确保和验证。

附图说明

本发明的具有优点的构造形式和改进方案由从属权利要求和下列结合附图对实施例的说明得知。其中：

图1和2示出依据本发明的计算机系统的各一个实施例，

图3和4示出计算机系统的各一个实施例，根据现有技术，

图5示出针对计算机系统的应用实例。

具体实施方式

图3示出根据现有技术的计算机系统。在这里示出的是，在德国公开文献DE 4219457A1的图3中所说明的计算机系统的超简化示意图。在此仅示出用于阐述产生本发明而带来的问题所必需的部件。

图3中可见的是单芯片计算模块(Ein-Chip-Rechenbaustein)，即微机或微控制器，该微机或微控制器下面仅简略地标记为计算机MC。计算机MC接收到由两个传感器(S1、S2)导入的传感器变量(e、e_R)。在这里将传感器变量(e、e_R)假设为数字值，但是其中，传感器(S1、S2)原则上可以提供模拟信号，该模拟信号在计算机MC内部被数字化。

计算机MC借助函数f1由第一传感器S 1的传感器变量e计算出输出变量a，该输出变量a被输出到计算机MC的输出端上，并且例如可以被应用于对未示出的调节环节进行控制。

在下一步中，计算机MC借助函数f2由输出变量a计算出比较变量e′。因为DE 42 19 457 A1将函数f2描述为关于第一输入变量e的、相对于第一函数f1的反函数所以在计算机MC功能正确的情况下便得出比较变量e′，该比较变量e′与第一传感器S1的原始输入变量e一致。

这可以在计算机内部通过变量e和e′的比较(e＝e′？)来检验。此外，提出对第一和第二传感器变量的一致性(e＝e_R？)进行检验。因此假设，被认为是冗余的传感器(S1、S2)输出在量上类似的传感器变量(e、e_R)。

因为不正确运行的计算机MC原则上也会提供错误的比较，所以此外设置有关于计算机MC在外部的比较器V。该比较器V将第二传感器S2的传感器变量e_R与计算出的比较变量e′作比较。由于上述假设的同一性(e＝e_R且e＝e′)，该比较也必须确认，在正确运行的传感器(S1、S2)和无错地工作的计算机MC的情况下，所比较的变量(e′、e_R)的同一性。

问题在于，在此计算机系统的确定的错误可能是隐藏的。如图4示意性表示的那样，当第一传感器变量e在未执行计算的情况下作为假想地计算出的比较变量e′抵达计算机MC的输出端时，出现问题。这例如可能通过如下方式发生，即，第一传感器变量e被读入计算机MC的寄存器，并且从该寄存器在滞后的时间点上作为假想地计算出的比较变量e′而被读出并且给到计算机MC的输出端上，而在实际上没有借助函数f1和f2进行计算。

因为两个传感器变量e和e_R在输入端侧就已经设置成相同的，因此，由比较器V执行的对e′和e_R的比较现在提供的同样是一致的。因此比较器V不能揭示所述的计算错误。

另一种错误场景通过如下方式产生，即，计算机MC不仅在函数f1的计算中而且在函数f2的计算中各出现一个错误，并且这些错误相互抵消。在这里，无论是计算机内部的还是计算机外部的比较都无法识别存在的错误。

为此，拿出现的系统符号错误来举例，该符号错误在两次有错误的计算步骤之后又被抵消。在此，通过第一计算步骤计算出的输出变量a却仍旧是有错误的，这会以对安全性至关重要的方式产生影响。

该错误可能性通过依据本发明的计算机系统予以排除，如下面借助图1所要阐述的那样。为了说明与前述现有技术的共同点和区别，部分地保留图3和4中的附图标记。

首先重要的是，传感器(S1、S2)虽然输出冗余的传感器变量(e₁、e₂)，也就是说独立的信号，这些信号关于待获取的系统状态具有类似的信息内容，但这些信号的信号值决不相同。传感器S1和S2的传感器变量(e₁、e₂)处于公知的函数关联中，该函数关联通过函数g给予。函数g可以几乎是任意的，但不能是恒等函数，这是因为这又会导致已描述的问题的发生。

此外，第二传感器变量e₂仅针对外部比较而设置并且因此不被给到计算机MC上。

第三个要求是，用于计算比较变量v的函数f2不是通过相对于第一函数f1的反函数而产生，而是考虑到第一与第二传感器变量(e₁、e₂)之间的函数关联。在此，函数f2具有优点地作为相对于函数f1的反函数与函数g的复合函数(Verkettung)而产生：

在正确进行计算时，在输出端上的值v与第二传感器变量e₂一致，这通过比较器V来进行检验(v＝e₂？)。

在这里，之前所述的错误场景被排除，这是因为第二传感器变量e₂在计算的任何位置上都不作为输入值而存在并且因此可以仅作为正确运行的计算的结果而产生。

两个传感器(S1、S2)的传感器变量(e₁、e₂)之间的函数关联g可以在最简单的情况下通过加常数K得出：

e₂＝e₁+K

所以例如可以设置，在第二传感器S2的角度传感器中具有相对于第一传感器S1的恒定的角偏移。

可供选择地也可以设置，第二传感器变量e₂是第一传感器变量e₁的k倍：

e₂＝ke₁

显然，在传感器变量(e₁、e₂)之间也可以存在复杂得多的关联。尤其也可以设置两个传感器，这两个传感器根据不同的物理测量原理来测定传感器变量，从而在一开始便在两个传感器变量(e₁、e₂)之间产生或多或少更复杂的关联。

在图5中示出的是用于获取旋转角的传感机构，在该传感机构中可以具有优点地应用所提出的计算系统。其旋转角应被确定的驱动轮1在这里以不同的半径驱动两个测量轮(2、3)。与每个测量轮(2、3)相连的是磁铁(4、5)，这些磁铁(4、5)可以与各自的测量轮(2、3)一起相对于位置固定地布置的霍尔传感器(6、7)扭转。因此，由两个霍尔传感器(6、7)获取的旋转角以常数因子而不同，该因子由两个测量轮(2、3)相对于驱动轮1的不同的传动比而产生。

图2示意性地示出图1中所示计算机系统的一种具有优点的改进方案。在依据图1的计算机系统中，将处理链的末端上的实际比较器V的安全完整性假设为已给出，或者为此单独地引进符合标准的验证。

假定，第一与第二传感器变量(e₁、e₂)之间的函数关联可以通过两个函数h和g的复合函数而示出，从而适用的是：

e₂＝(hog)(e₁)

在计算机MC内部执行已借助图1说明的计算，该计算在这里产生第一比较变量。

但因为第一与第二传感器变量(e₁、e₂)之间的函数关联在这里不再通过g而是通过复合函数hog而给出，所以抵达比较器V的第一比较变量v₁就不适用于与第二传感器变量e₂进行比较。

比较器V因此借助函数h由第一比较变量v₁通过关系式

v₂＝h(v₁)

计算出第二比较变量v₂，该第二比较变量v₂由于关联

在计算机MC和比较器V功能运行正确的情况下必定与第二传感器变量e₂一致。

因此，由为正的比较结果可以推断出无论计算机MC还是比较器都执行了正确的计算。由此，这些实施变型方案能够同时不仅实现对计算机MC的功能检验而且实现对比较器V的计算路径的功能检验。

附图标记

MC                  计算机(微控制器)

S1、S2              传感器

V                   比较器

a                   输出变量

e、e_R、e₁、e₂       传感器变量

e′                 比较变量

f1、f2、g、h        函数

                  反函数(相对于函数f1)

v                   比较变量

v₁                  第一比较变量

v₂                  第二比较变量

K                   加常数

k                   常数因子

1                 驱动轮

2、3              测量轮

4、5              磁铁

6、7              霍尔传感器