技術領域

本發明涉及一種根據權利要求1或2前序部分的用于評估對安全性至關重要的傳感器變量的計算機系統。

背景技術

IEC?61508是用于完成電氣、電子和可編程的電子系統的國際標準，該標準實現安全功能。該標準由國際電子技術委員會(IEC)發布。IEC?61508針對安全完整性等級3規定了確定的硬件技術最小值，例如針對FIT(計次失效率，failure?in?time)和SFF(安全失效分數，safe?failurefraction)，這些硬件技術最小值通常僅能通過附加的軟件技術措施來實現。尤其是用于對發生CPU計算錯誤進行防護的驗證是安全完整性的總驗證的重要部分。

迄今，為了對發生計算錯誤進行防護而應用兩個不同的微控制芯片或在一個芯片上的至少兩個并行運行的計算路徑(Rechenpfade)。有時也使用反向運行的計算路徑，例如在德國公開文獻DE?4219457A1中所述。雙芯片解決方案在批量生產中造價昂貴，而通過迄今在單芯片上的解決方案，功能安全性只會受到限制或者要借助于附加的硬件來驗證功能安全性，這是因為在內部錯誤的情況下，CPU在并行運行的或反向運行的計算路徑中均以同樣的方式錯誤地計算。因此，CUP錯誤可能會保持未被發現。缺少對如下問題的簡單驗證，即：CPU沒有在兩種計算路徑中同樣錯誤地進行計算，并且不存在兩個相同的但卻錯誤的結果來用于對所述結果的比較，或者在反向計算路徑的情況下，CPU由于錯誤例如略過兩個計算路徑并且直接對兩個輸入變量進行比較。

發明內容

本發明的目的在于，完成一種用于評估對安全性至關重要的傳感器變量的計算機系統，該計算機系統以可驗證的方式實現CPU的超高安全完整性，而可以不用指派單獨的、高成本的CPU檢測。

依據本發明，該任務分別通過權利要求1和權利要求2所表明的特征得以解決。

依據本發明設置，至少兩個傳感器從屬于計算機系統，這兩個傳感器在待獲取的系統狀態下輸出在質上或者至少在量上不同的傳感器變量。假設：兩個傳感器的輸出變量之間存在已知的函數關聯。

在計算機的輸入端上輸入第一傳感器的傳感器變量，該計算機由該傳感器變量計算出輸出變量，該輸出變量可供用于實踐中有用的目的，例如用作針對調節環節的控制變量。在下一步中，由該輸出變量計算出比較變量，該比較變量與第二傳感器的預期的傳感器變量相對應。該比較變量由計算機給到外部比較器上，該比較器將比較變量與第二傳感器的對計算機來說完全未知的、實際的傳感器變量作比較看是否一致。在此，為正的比較結果表明CPU的安全完整性是好的并且表明輸出變量和比較變量的計算運行正確。同時，維持由現有技術公知的關于所參與的傳感器功能正確的驗證，該驗證原則上由比較器提供。

以本發明為基礎的思路因此在于，使用在質上或者還有僅在量上不同的傳感器，這些傳感器提供不同的測量變量或至少不同的值并且因此在處理期間，不依賴于所應用的算法(并行(parallel)/求反(invertieren)/求逆(invers)/求補/倒退推算(zurückrechnen))，在任何時候始終負責不同的數據水平(Datenniveaus)。

CPU不能以其他方式(例如通過對第一傳感器變量進行復制)來提供比較變量，除了通過正確運行的計算結果。對于驗證CPU安全完整性，現在意義重大的是比較變量與第二傳感器變量的比較。被比較的(必要時在對可能的偏差例如傳感器不精確度進行補償的公差帶內)是比較變量和附加獨立數據源的、對計算機來說迄今未知的值。該值通過第二傳感器給出。

因為第二傳感器變量只是未經加工地、即未經CPU利用地并且絕對未經處理地存在，所以在該位置上所進行的比較提供僅依賴于計算機系統(芯片(Chip))CPU完整性的結果。在這里假設兩個傳感器的無錯性或者其自身CPU的無錯性，該無錯性可以僅通過獨立的措施得到確保和驗證。

附圖說明

本發明的具有優點的構造形式和改進方案由從屬權利要求和下列結合附圖對實施例的說明得知。其中：

圖1和2示出依據本發明的計算機系統的各一個實施例，

圖3和4示出計算機系統的各一個實施例，根據現有技術，

圖5示出針對計算機系統的應用實例。

具體實施方式

圖3示出根據現有技術的計算機系統。在這里示出的是，在德國公開文獻DE?4219457A1的圖3中所說明的計算機系統的超簡化示意圖。在此僅示出用于闡述產生本發明而帶來的問題所必需的部件。