技術領域

本發明涉及一種根據獨立權利要求的前序部分所述的一種方法以及一種裝置。本發明特別是涉及一種用于無損壞地測試電子存儲媒介中與安全相關的存儲寄存器的一種方法以及一種裝置，這種電子存儲媒介例如能夠應用在車輛中。?

在當前的上下文中，無損壞地檢查與安全相關的寄存器的意思是測試電子存儲寄存器，其功能性不會因為測試受損，并且它的數據內容在測試完成后又符合原始值。與安全相關的寄存器在下面也被稱為安全寄存器，它們是電子存儲媒介中的存儲寄存器，其中存儲了用于系統的安全性和正確功能性的相關數據。?

背景技術

為了滿足根據車輛安全完整性等級的車輛安全要求，這些車輛安全要求例如在功能安全標準ISO?26262中定義用于道路運輸工具，在車輛微控制器的與安全相關的部件的硬件應用中必須采取各種視應用情況而定的安全措施。這種功能安全標準定義了微控制器的安全部件中和裝入其中的安全機制中的容許誤差的具體的最大時間間隔。?

外部事件的影響，例如機械作用或者放射性阿爾法射線，可能在存儲寄存器中導致反轉的狀態，由此可能造成錯誤地控制與安全相關的底層模塊以及引擎整個車輛控制器嚴重的錯誤功能。其中，可能涉及與配置-和?通用寄存器相關的系統組件或者特別是關鍵的內部寄存器，例如狀態機和計數器。因此，通過在不修正時也至少標識出錯誤狀態，并且為此發出用于觸發安全功能或者安全機制的警報或者指示，由此觸發相應的行動或者安全功能、例如系統重置（Reset），使這種安全寄存器必須被特別保護。這些安全機制、安全功能或安全措施能夠在所謂的安全管理單元中進行配置。?

為了確保功能安全標準，還必須確定安全機制在最大時間間隔內的不可用性，其中，該最大時間間隔通常相當于車輛在例如幾個小時內的平均行駛周期。?

可以通過模擬可能發生的外部作用、例如阿爾法粒子的放射性輻射來實現對安全措施的測試。這可以通過在一個行駛周期期間對安全寄存器位進行至少一次反轉來模擬，緊接著可以檢查，是否如愿地觸發了相應的警報或者安全機制。對與這種測試要求而言，在選擇何時能夠在系統上進行這種安全測試的時間點方面存在困難，因為測試過程可能會導致對被測試系統的正常功能的不利影響。?

在選擇安全措施的測試時間點方面的下列代替方案可能導致下列不同的問題：?

A．當在當前的行駛周期結束之后進行測試時，該測試過程不干擾被測試系統的正常運行。然而卻不能確保在下一個行駛周期啟動時，被測試系統的安全功能仍然一直無錯誤。因此，這種代替方案有決定性的缺陷。?

B．在行駛周期中的一個時間點進行測試時，測試過程不會損壞被測試系統的正常功能。然而出現以下問題，當重要的、在行駛周期期間持續需要的寄存器位（Registerbits）為了測試目的能夠被修改時，應該何時保持正常運行？因為通常不能?由此出發，即存在一種空轉周期，在該空轉周期中無需被測試的寄存器位。此外還必須確保在測試完成后再次在被測試的寄存器位中生成存儲的值或數據。?

C．只能在基本的配置設置（例如為了正確地進行測試本身需要進行的時鐘控制）在測試期間不受損時，才能接受在啟動要測試的系統期間進行的一次測試。因此，這不能滿足，任意地修改安全寄存器用于測試，并且在測試完成后再次生成復位值。此外，為了存儲寄存器而對安全措施進行的測試不會需要太多的時鐘周期，這是因為限定了可接受的用于啟動要測試的系統的時間間隔。對這種依賴關系的考慮可能導致在用于啟動系統的軟件方面非常復雜，并且伴隨著高度的錯誤風險。?

成本也是個問題，它是由針對安全寄存器所需的存儲空間和供給能量引起的。另一個挑戰在于，要能夠利用最小的消耗靈活地提高或者降低系統的安全功能，以便避免安全功能的保護性過高或者過低。?

另一個要求在于方法問題，即，寄存器安全措施不能對產品到客戶所需的生產-和供應時間產生不利影響。因此，不允許通過用于應用并校驗安全邏輯的附加消耗顯著地增加硬件構造和校驗規劃方面的負擔。?

在現有技術中，迄今公知以下用于確保寄存器安全的基本解決途徑：?

通過復制完整的CPU并同時使其工作，由此為CPU核、例如AURIX產品系列設置系統層上的冗余。特殊的同步控制邏輯器能夠將主CPU和冗余的檢測CPU的輸出端與檢測輸入端和主輸出端的可配置的延遲持續地進行比較，其中，能夠通過單獨的測試輸入端測試該比較邏輯器。?