[发明专利]由安全关键系统中的可编程电路测试存储器的装置和方法

说明书

技术领域

本发明涉及安全关键装置、随机访问存储器测试，以及用于在安全关键系统中进行随机访问存储器测试的电路。

背景技术

在安全关键系统中，所有系统组件的正确且无故障的操作都是必要的。这样的安全关键系统的示例包括航空器飞行控制系统、心脏起搏器和升降机安全系统。升降机安全系统对升降机的安全方面进行控制，诸如各种故障情形中的升降机操作。一定有必要的是，能够应用升降机制动，接收并传输呼救信号，检查过载、检查火警响起以及在对于乘客而言门的开启是安全的任何时候确保门的开启。升降机安全系统可以独立于诸如娱乐、商业、娱乐咨询或升降机驱动功能之类的其它非关键系统，例如从楼层对升降机厢进行呼叫的服务。升降机中的安全系统和呼叫服务系统可以在物理上分离的硬件平台上运行。升降机安全系统通常采集与如下相关的大量传感器信息：升降机负载、移动、来自用户的信号、来自诸如厅门安全触点（contact）的安全触点的信号、以及各种其它系统组件的状态。这意味着升降机安全系统必须针对在中央处理器、传感器、安全触点、控制中继和控制电路之间进行接收和传输的信号具有有限的响应时间，上述控制中继和控制电路可以进一步被连接至升降机驱动电机和门控制器电路。

安全关键系统普遍要进行测试和功能验证。安全关键系统的正确操作必须逐个组件地进行验证。这样的组件的示例是中央处理器、存储器、消息总线以及连接至该消息总线的各种外设。存在对升降机中的安全关键系统进行管理的某些安全性标准。其示例包括安全相关应用中的可编程电子系统（PESSRAL）。国际标准组织（ISO）标准22201:2009可应用于在住宅家住、办公室、医院、宾馆、工业厂房等中使用的客梯、货/客梯。ISO22201:2009覆盖了可编程电子系统被用来执行电梯的电气安全功能时（PESSRAL）所需要解决的那些方面。

安全关键升降机系统中的一个重要方面是存储器的正确工作。存储器单元可能被卡在某些数值，它们可能不会变换至另一数值，或者地址解码器随后选择存储器单元的行或列而基于可能完全错误驱动或仅针对某个地址范围进行驱动的地址线进行访问。存储器单元还可能泄露至相邻存储器单元。存储器故障会对安全关键系统中曾经良好工作的应用导致微妙的错误行为或者它们会导致整个系统冻结。

在计算机开机或重启时经常在标准个人计算机随机访问存储器（RAM）中进行测试。然而，这对于安全关键的升降机系统而言可能并不够。首先，安全关键的升降机系统在延长的时间段内保持启动而并不频繁重启或者开关。其次，在安全关键系统操作的同时，也必须在任何情况下对存储器进行测试。因此，这带来了在安全关键系统软件执行的同时对安全关键系统的存储器进行测试的需求。不可能为了执行完整的存储器测试而由系统处理器延后系统软件的执行。用于由系统处理器按部分对存储器进行测试的碎片方法也涉及许多问题。在存储器由处理器测试时，必须确保存储器测试并不会意外导致对正在被测试的存储器区域的写入。这需要编程人员相当小心以避免使用对RAM进行写入的机器代码指令。还需要要检查高级编程语言编译器所生成的机器代码。当处理器被用于存储器测试时，必须禁用软件和硬件中断，这导致了干扰。中断可能不会足够快地得到处理，这向安全关键系统引入了延时。处理器所进行的存储器测试转变了正常的处理或线程调度，这会导致安全关键系统不确定的表现。例如，系统可能对于关键信号过于缓慢地反应，过于缓慢地监视关键传感器，或者过于缓慢或过晚地执行关键计算。安全关键系统中与处理器进行通信的外设必须始终具有某个可用操作速度。通常，通过处理器所运行的RAM测试的方式侵扰处理器的工作是非常冒险的。

针对RAM测试的处理器使用还涉及另外的问题。自始至终，当涉及存储器测试程序代码的安全关键系统有所变化时，整个安全关键系统都必须进行测试并且必须利用全面的测试对其功能进行验证。对于编程人员而言，进行改变的负担变得非常之高。如果软件开发工具改变，例如当引入新的编译器版本时，安全关键系统还必须进行重新测试。

因此，能够执行作为独立实体的存储器测试将会是有利的，该作为独立实体的存储器的正确工作可以被单独地验证。

发明内容