[发明专利]对称多处理器布置、安全关键系统及其方法

说明书

技术领域

一般来说，本发明涉及多处理器布置，以及更具体来说，涉及对称多处理器布置的诊断。

背景技术

对于开发安全关键系统、例如机器人系统，重要的是充分及早地检测故障，并且将系统切换到所谓的安全状态，其中它不会危及人类或环境。这实际意味着，系统差错、例如软件/硬件设计差错必须通过该过程中的适当检验和验证技术来避免，以及随机差错必须通过例如适当诊断技术或硬件冗余度来检测。用于查找系统差错的适当检验和验证技术是安全关键系统的开发过程的组成部分。用于查找随机差错的诊断技术在运行时周期地运行。

诊断能够通过硬件(HW)以及通过软件(SW)来实现。HW诊断是费用极高的，但是它们能够提供较高诊断覆盖。HW诊断的一个示例是例如RAM的ECC校验模块。

通过SW的诊断通常是优选的，因为它们能够易于更新和定制。但是，它们会比HW诊断要慢，并且可能不一定始终达到HW的所有部件、例如特殊寄存器。它们能够与应用任务并行地运行，这降低总系统性能，并且可能影响安全功能性，即，诊断功能本身会出故障并且威胁系统安全性。

在单处理器上，诊断能够是固件的组成部分、即自身模块/任务。过程循环中的一些空闲处理器时间通常用来检查系统的安全完整性。执行完全是串行的。但是，在不久的将来，大多数系统不是运行于单处理器布置，而是运行于多处理器布置，这使诊断技术进一步复杂化。

发明内容

诊断如何能够在多核系统中进行工作的方式必须完全重新构思，因为硬件变得越来越复杂，软件配置变得越来越复杂，以及对多处理器单元(MPU)所需要的完全利用其潜能的动态将在很大程度上影响安全性。

当今，MPU的安全关键系统主要运行不对称多处理(AMP)，采取专用资源、例如专用于安全应用的一个核心。核心对其他任务将不是可用的，即使它处于空闲模式。系统的性能因而决不会是最佳的。如果使用更多核心，则问题变得更加严重。专用安全核心中的故障将导致失误进入安全状态，即使存在可用的其他核心可使系统保持为有效。此外，用于例如2选1(1oo2)解决方案的冗余控制的固定表决方案在MPU增加能力、即被提供有更多核心时不能易于改变成具有更多核心的解决方案、例如4选2(2oo4)解决方案。

在MPU上，与单处理器单元相比，状况是不同的，因为应当利用并行执行。管理器（hypervisor）软件层通常调节对共享资源以及对核心利用的访问。由于对共享资源和核心利用的健康检查的过小控制，对称多处理(SMP)在安全关键系统中尚未被接纳。但是，SMP对安全关键系统也是合乎需要的，使得管理器层能够用来优化硬件利用。MPU将变得越来越多核心，以及多线程将用来利用总系统资源。复杂度增加，并且多核芯片本身知道根据性能与功率消耗的最佳负荷分布。多核芯片通常包括核心、高速缓存、总线或开关矩阵，以便连接到诸如存储器、存储器保护单元、I/O、以太网卡等的其他组件。

此外，其中一个安全应用(又称作分区)专用于自身核心的静态配置不是灵活或者充分可缩放的。甚至对于安全关键实现，软件开发人员也应当能够从基础硬件抽身而集中于应用本身。管理器将分配对于资源的最大利用所优化的工作负荷。

图1示出四核系统1，其中每一个应用2-5可能随其自己的操作系统(OS)一起封装在虚拟容器中，从而具有对所有硬件多核资源6-9的访问权。管理器10将操控最佳资源共享。在这个图示中，第一应用2是具有诊断(包括OS)的安全应用，第二应用3是具有诊断(包括OS)的另一个安全应用，第三应用4是任意应用(包括OS)，以及第四应用5是另一个任意应用(包括OS)。另一个任意应用的示例例如是控制环应用或者人机接口(HMI)应用。在这个图示中，硬件具有第一核心6、第二核心7、第三核心8和第四核心9，其全部是多核处理器硬件1的相同核心。安全应用2例如在时间t=1运行于第一核心6，但是在时间t=2，它运行于第二核心7，以分别从安全应用2转到第一核心6和第二核心7的箭头示出。安全应用2当前运行的位置由管理器10基于优化负荷共享来决定。管理器10在这种情况下将使第三应用4在t=2运行于第一核心6，通过从第三应用4到第一核心6的箭头示出。资源的使用将是极为动态的，从而允许由管理器10所调节的最高系统性能。

对多核处理器硬件的典型安全解决方案在这里采用具有2选1(1oo2)的冗余度的四核处理器来例示。

运行于具有SMP的MPU(其中资源随时间动态分配)的安全关键应用的问题在于，安全关键应用的诊断任务在所有其他任务之间的空闲时隙中运行。这在多线程环境中不是有效的。