ES2864210T3 - Procedimiento de monitorización de un dispositivo equipado con un microprocesador - Google Patents

Procedimiento de monitorización de un dispositivo equipado con un microprocesador Download PDF

Info

Publication number
ES2864210T3
ES2864210T3 ES11354063T ES11354063T ES2864210T3 ES 2864210 T3 ES2864210 T3 ES 2864210T3 ES 11354063 T ES11354063 T ES 11354063T ES 11354063 T ES11354063 T ES 11354063T ES 2864210 T3 ES2864210 T3 ES 2864210T3
Authority
ES
Spain
Prior art keywords
microprocessor
monitoring
monitoring device
input data
calculation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES11354063T
Other languages
English (en)
Inventor
Franck Gruffaz
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Schneider Electric Industries SAS
Original Assignee
Schneider Electric Industries SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Schneider Electric Industries SAS filed Critical Schneider Electric Industries SAS
Application granted granted Critical
Publication of ES2864210T3 publication Critical patent/ES2864210T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02HEMERGENCY PROTECTIVE CIRCUIT ARRANGEMENTS
    • H02H3/00Emergency protective circuit arrangements for automatic disconnection directly responsive to an undesired change from normal electric working condition with or without subsequent reconnection ; integrated protection
    • H02H3/02Details
    • H02H3/05Details with means for increasing reliability, e.g. redundancy arrangements
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/26Functional testing
    • G06F11/27Built-in tests
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02HEMERGENCY PROTECTIVE CIRCUIT ARRANGEMENTS
    • H02H1/00Details of emergency protective circuit arrangements
    • H02H1/0007Details of emergency protective circuit arrangements concerning the detecting means
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02HEMERGENCY PROTECTIVE CIRCUIT ARRANGEMENTS
    • H02H3/00Emergency protective circuit arrangements for automatic disconnection directly responsive to an undesired change from normal electric working condition with or without subsequent reconnection ; integrated protection
    • H02H3/02Details
    • H02H3/04Details with warning or supervision in addition to disconnection, e.g. for indicating that protective apparatus has functioned
    • H02H3/044Checking correct functioning of protective arrangements, e.g. by simulating a fault
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02HEMERGENCY PROTECTIVE CIRCUIT ARRANGEMENTS
    • H02H3/00Emergency protective circuit arrangements for automatic disconnection directly responsive to an undesired change from normal electric working condition with or without subsequent reconnection ; integrated protection
    • H02H3/08Emergency protective circuit arrangements for automatic disconnection directly responsive to an undesired change from normal electric working condition with or without subsequent reconnection ; integrated protection responsive to excess current
    • H02H3/093Emergency protective circuit arrangements for automatic disconnection directly responsive to an undesired change from normal electric working condition with or without subsequent reconnection ; integrated protection responsive to excess current with timing means
    • H02H3/0935Emergency protective circuit arrangements for automatic disconnection directly responsive to an undesired change from normal electric working condition with or without subsequent reconnection ; integrated protection responsive to excess current with timing means the timing being determined by numerical means
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02HEMERGENCY PROTECTIVE CIRCUIT ARRANGEMENTS
    • H02H7/00Emergency protective circuit arrangements specially adapted for specific types of electric machines or apparatus or for sectionalised protection of cable or line systems, and effecting automatic switching in the event of an undesired change from normal working conditions
    • H02H7/26Sectionalised protection of cable or line systems, e.g. for disconnecting a section on which a short-circuit, earth fault, or arc discharge has occured
    • H02H7/261Sectionalised protection of cable or line systems, e.g. for disconnecting a section on which a short-circuit, earth fault, or arc discharge has occured involving signal transmission between at least two stations
    • H02H7/263Sectionalised protection of cable or line systems, e.g. for disconnecting a section on which a short-circuit, earth fault, or arc discharge has occured involving signal transmission between at least two stations involving transmissions of measured values

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)
  • Microcomputers (AREA)
  • Alarm Systems (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)

Abstract

Procedimiento de monitorización de un dispositivo equipado con un microprocesador (1), que comprende las siguientes etapas: (E3) - realización de al menos un cálculo dentro del microprocesador (1) a partir de datos de entrada recibidos en la entrada (3) del microprocesador (1); (E4) - realización de al menos una operación lógica por medio de puertas lógicas dentro de un dispositivo de monitorización (10) externo a partir de los mismos datos de entrada; (E7) - comparación de los resultados del al menos un cálculo realizado dentro del microprocesador (1) y de la al menos una operación lógica realizada dentro del dispositivo de monitorización (10) para deducir a partir de ellos un diagnóstico del microprocesador(1) y - emisión a la salida (15) del dispositivo de monitorización (10) de una señal que representa el diagnóstico del microprocesador (1) conforme a esta comparación.

Description

DESCRIPCIÓN
Procedimiento de monitorización de un dispositivo equipado con un microprocesador
Campo técnico
La presente invención se refiere a un dispositivo de monitorización para microprocesador, destinado a funcionar dentro de un sistema equipado con un microprocesador, del cual la seguridad es un parámetro importante. También se refiere a un sistema que comprende al menos un microprocesador y está equipado con tal dispositivo de monitorización , este sistema puede ser un interruptor para una instalación eléctrica. Por último, se refiere a un procedimiento de monitorización de un microprocesador, que permite diagnosticar el funcionamiento de este microprocesador.
Estado de la técnica
Es habitual equipar un dispositivo que comprende un microprocesador con un dispositivo de monitorización de tiempo, también llamado perro guardián. La función de tal dispositivo de monitorización es detectar una posible anomalía en la secuenciación del microprocesador, para desencadenar una intervención de seguridad, como un reinicio del microprocesador o un ajuste en una configuración de seguridad del dispositivo. Por tanto, el perro guardián tiene la función de responder a determinadas averías del microprocesador que podrían conducir a una situación peligrosa, de inseguridad.
Pero este dispositivo resulta insuficiente cuando se requiere un mayor nivel de seguridad funcional, en particular cuando es necesario verificar la integridad funcional del microprocesador asumiendo funciones de seguridad. Una primera solución consiste en utilizar un segundo microprocesador dedicado a controlar el microprocesador principal, este último generalmente no puede autoevaluarse con suficiente cobertura de prueba. Sin embargo, una solución de este tipo es cara tanto en términos de coste de fabricación del producto como de coste de desarrollo y resulta engorrosa, ya que requiere una gran ubicación en un circuito impreso para agregar el microprocesador adicional. Además, tal solución, debido a su complejidad conduce a la falta de fiabilidad del producto.
El documento FR2602618 ilustra una solución del estado de la técnica en la que un perro guardián controla el progreso periódico del tratamiento de la información controlado por un microprocesador instalado en un interruptor de una instalación eléctrica. Tal microprocesador realiza un cierto número de operaciones de procesamiento digital en las señales eléctricas de una instalación eléctrica y genera una orden de disparo del interruptor cuando se alcanzan ciertos umbrales predefinidos. El microprocesador cumple así una función esencial para la seguridad del sistema y su avería conduce a una situación muy peligrosa para la instalación eléctrica controlada.
Para superar tal fracaso, el perro guardián controla cualquier perturbación, que detecta por retrasos en un ciclo periódico, en una operación periódica a realizar por el microprocesador. El perro guardián puede así detectar fallos del microprocesador: en tal situación, le envía una orden de reinicio y si esta intervención no resuelve el problema, no va acompañado de un reinicio normal del ciclo periódico gestionado por el microprocesador, a continuación, el perro guardián transmite una orden de disparo del interruptor, para asegurar la instalación eléctrica, ya que su interruptor está averiado. Sin embargo, tal solución no permite detectar todos los fallos del microprocesador, determinadas funciones pueden no funcionar correctamente sin repercusiones en el ciclo periódico examinado. Por tanto, este enfoque puede mejorarse.
Los documentos US 5436837 y US 2002/144176 desvelan otros dispositivos de monitorización para dispositivos con microprocesador.
Descripción de la invención
De este modo, el objeto de la invención es proporcionar una solución para controlar el funcionamiento de un microprocesador que no tenga todos o algunos de los inconvenientes del estado de la técnica.
De manera más precisa, el objeto de la invención es proporcionar una solución para controlar el funcionamiento de un microprocesador fiable, económica y que ahorre espacio.
Un procedimiento de monitorización de un dispositivo equipado con un microprocesador según la invención se define en la reivindicación 1.
Preferentemente, el procedimiento de monitorización comprende además las siguientes etapas:
- determinación a nivel de microprocesador de los datos de entrada en forma de valores variables correspondientes a un cierto número de valores predefinidos;
- transmisión de estos valores al dispositivo de monitorización a través de un medio de comunicación.
Ventajosamente, la etapa de determinación de los datos de entrada comprende una generación aleatoria de valores variables y/o una extracción y/o una combinación de valores variables a partir de bits de datos provenientes del exterior y recibidos por el microprocesador.
Ventajosamente, la etapa de determinación de los datos de entrada comprende determinar el valor de varios números de los cuales al menos un bit es variable y toma un valor igual a uno de los valores variables.
Ventajosamente, la etapa de realización de al menos un cálculo dentro del microprocesador comprende cálculos tales como divisiones, multiplicaciones, raíces cuadradas, potencias al cuadrado, entre los números.
Preferentemente, el procedimiento de monitorización comprende una etapa de determinación de al menos un bit que representa los resultados del al menos un cálculo implementado por el microprocesador y una etapa de transmisión de este al menos un bit al dispositivo de monitorización .
Ventajosamente, la etapa de realización de al menos un cálculo dentro del microprocesador se implementa mediante software de un bloque de diagnóstico del microprocesador.
Ventajosamente, la realización de al menos una operación lógica dentro del dispositivo de monitorización comprende operaciones sobre los valores variables.
Preferentemente, el procedimiento de monitorización comprende la realización de comparación de los valores variables a partir de al menos una puerta O exclusiva dentro del dispositivo de monitorización con el fin de obtener resultados en un solo bit en función de la igualdad o la diferencia de los valores variables comparados.
Ventajosamente, la etapa de comparación comprende la generación de un booleano del cual un primer valor representa un estado normal del dispositivo equipado con un microprocesador y un segundo valor un estado defectuoso.
Preferentemente, el procedimiento de monitorización comprende una etapa de accionamiento del dispositivo para ponerlo en una configuración de seguridad durante un estado defectuoso de su microprocesador.
Un dispositivo de monitorización para un dispositivo equipado con un microprocesador según la invención se define en la reivindicación 12.
Preferentemente, su bloque lógico cableado y su bloque comparador comprenden puertas lógicas de tipo O, NO-O, Y, NO-Y, O en exclusiva y/o NO-O en exclusiva.
Un sistema según la invención que comprende un microprocesador comprende un dispositivo de monitorización externo como se ha definido anteriormente conectado por al menos un medio de comunicación con el microprocesador y el microprocesador comprende un bloque de diagnóstico que implementa la realización de al menos un cálculo del procedimiento de monitorización como se ha definido anteriormente.
Preferentemente, el sistema es un interruptor eléctrico, un sistema de control de instalaciones eléctricas o una automatización de seguridad.
Breve descripción de los dibujos
Estos objetos, características y ventajas de la presente invención se explicarán con detalle en la siguiente descripción de una realización particular, realizada sin limitación en relación a las figuras adjuntas, entre las cuales:
la figura 1 representa esquemáticamente un sistema equipado con un dispositivo de monitorización de su microprocesador según la invención.
La figura 2 representa un diagrama de flujo que ilustra el funcionamiento del procedimiento de monitorización de un microprocesador según una realización de la invención.
La figura 3 representa con más detalle determinadas partes de un sistema equipado con un dispositivo de monitorización de su microprocesador según una realización de la invención.
La figura 4 representa una variante del sistema según la realización de la invención.
Descripción detallada de realizaciones preferidas
El concepto de la invención consiste en utilizar un dispositivo de monitorización de un microprocesador que comprende un bloque lógico cableado, discreto o integrado, que permite ejecutar de forma muy sencilla unas pocas operaciones lógicas y cuyo resultado se compara con el resultado obtenido mediante la realización de los correspondientes cálculos realizados en paralelo por el microprocesador a controlar. Esta comparación permite deducir un diagnóstico del funcionamiento del microprocesador y/o poner el sistema en la posición de recuperación segura.
La figura 1 ilustra esquemáticamente una implementación de la solución de control según el concepto de la invención. Un sistema comprende, por un lado, un microprocesador 1 a controlar y, por otro lado, un dispositivo de monitorización 10 separado del microprocesador 1.
Por tanto, el sistema comprende un microprocesador 1 que participa en la implementación de una determinada aplicación que requiere un alto nivel de seguridad funcional, mediante al menos un software 2, a partir de los datos recibidos en la entrada 3, por ejemplo, a partir de medidas de sensores y/o cualquier otro dispositivo 6 y transmitidas al microprocesador 1 por cualquier medio de comunicación, y que permite en la salida 4 generar datos de salida y/u órdenes de un determinado dispositivo 7, como disparo o no en el caso de un interruptor automático, por ejemplo, o una alarma en el contexto de un equipo de control o una orden en el caso de los sistemas de seguridad automatizados. Por último, el microprocesador 1 implementa los cálculos relacionados por un bloque de diagnóstico 8, sobre la base de una tarea de software dedicada al procedimiento de monitorización del microprocesador 1 o integrada en la aplicación 2, y que se comunica con el dispositivo de monitorización 10.
Según la invención, el sistema comprende, por tanto, un dispositivo de monitorización 10 que comprende una primera entrada 13 prevista para un enlace con el microprocesador 1, para recibir los primeros datos del microprocesador 1, y una segunda entrada 14 provista para un enlace con el microprocesador 1, para recibir los segundos datos del microprocesador 1, por medio de comunicación 16. Cabe destacar que, las dos entradas 13, 14 se han mostrado como separadas por razones de ilustración de la invención, pero pueden corresponder físicamente a la misma entrada. El dispositivo de monitorización 10 comprende además un conjunto de componentes elementales que forman un bloque lógico cableado 11 y un bloque comparador 12, así como una salida 15 para emitir una señal que representa el resultado del diagnóstico del microprocesador 1 y que permite la recuperación segura del sistema.
A continuación se explicará el funcionamiento de este sistema. Además de su función principal que le permite ejecutar una determinada aplicación, utilizando un primer software 2, el microprocesador 1 implementa una tarea de software en su bloque de diagnóstico 8, en cooperación con un dispositivo de monitorización externo, independiente. Para esto, el microprocesador transmite datos de entrada al dispositivo de monitorización 10, realiza un cálculo a partir de estos datos de entrada que genera un primer resultado, transmitido de la misma manera al dispositivo de monitorización 10 por su segunda entrada 14. En paralelo, el dispositivo de monitorización 10 usa los datos de entrada recibidos en su primera entrada 13 para realizar operaciones a través de su bloque lógico cableado 11, cuyo segundo resultado así obtenido debe ser el mismo que el obtenido por el bloque de diagnóstico 8 del microprocesador 1, durante el correcto funcionamiento de este microprocesador 1. El bloque comparador 12 del dispositivo de monitorización recibe, por un lado, el primer resultado del bloque lógico cableado 11 y, por otro lado, el segundo resultado procedente del microprocesador 1, realiza la comparación de estos dos resultados y proporciona en la salida 15 una señal que representa el diagnóstico del microprocesador 1, basado en esta comparación. En caso de fallo del microprocesador 1, esta señal de salida representa, por ejemplo, una orden para colocar en la posición de retroceso seguro garantizando la seguridad del sistema cuya seguridad está en cuestión. Esta señal de salida también representa, por ejemplo, una señal de alarma que permite transferir la seguridad del sistema cuya seguridad está en cuestión a otro dispositivo de seguridad externo, para que este otro dispositivo de seguridad pueda realizar todas o parte de las funciones de seguridad en cuestión.
La figura 2 ilustra con más precisión una implementación del procedimiento de monitorización de un microprocesador según una realización de la invención.
Según esta realización, el procedimiento se basa en cuatro números A, B, C y D, definido en una primera etapa E1. Estos números varían con cada repetición del procedimiento, por medio de cuatro bits de valores variables denominados b0, b1, b2, b3. Estos valores variables pueden ser generados aleatoriamente por el microprocesador y/o extraídos o calculados a partir de los datos de entrada del microprocesador, desde un sensor de medición, por ejemplo, eligiendo, por ejemplo, los últimos cuatro bits de estos datos.
En una segunda etapa E2, el procedimiento transmite estos cuatro valores variables al dispositivo de monitorización 10 mediante los medios de comunicación 16.
En una tercera etapa E3, el microprocesador implementa un primer cálculo, que corresponde a la división flotante de B por A, y un segundo cálculo que corresponde a la multiplicación de C por D, luego al cálculo de C2 Ventajosamente, el cálculo realizado en el microprocesador 1 en el marco del procedimiento de monitorización según la invención es lo suficientemente complejo como para requerir el recurso al máximo de recursos del microprocesador 1 y en particular a las partes más críticas del microprocesador 1. Por tanto, este cálculo integra ventajosamente multiplicaciones y/o divisiones. En una variante, puede considerarse cualquier otro cálculo.
En paralelo, en una cuarta etapa E4, el bloque lógico cableado 11 del dispositivo de monitorización 10 implementa dos comparaciones, entre b0 y b1 por un lado y entre b2 y b3 por otro lado, mediante dos funciones lógicas O en exclusivo (XO) 21, 22, visibles en la figura 3, para definir dos valores resultado1, resultado2, según las siguientes reglas:
- Si b1 = b0, entonces resultado1 = 0, de lo contrario resultado1 = 1,
- Si b3 = b2, entonces resultado2 = 0, de lo contrario resultado2 = 1.
En una quinta etapa E5, el procedimiento determina el valor de los datos resultado1_|jC, resultado2_|jC que representa los resultados de los cálculos implementados por el microprocesador 1, solo en dos bits, por la siguiente definición:
- Si B/A = 2, entonces resultado1_jC = 0, de lo contrario resultado1_jC = 1,
- Si (C x D = C2), entonces resultado2_|jC = 0, de lo contrario resultado2_|jC = 1.
En una sexta etapa E6, los dos resultados resultado1_jC, resultado2_jC se transmiten al dispositivo de monitorización 10, que implementa una séptima etapa de comparación E7, que comprende las dos primeras nuevas comparaciones de estos valores con los dos valores resultadol, resultado2 obtenidos por el dispositivo de monitorización 10, a través de dos funciones O en exclusiva (XO) 23, 24 adicionales, cuyos dos resultados deben ser iguales a 0 si resultadol = resultado1_jC y si resultado2 = resultado2_jC, lo que significa que el microprocesador está funcionando normalmente y ha dado buenos resultados resultado1_jC, resultado2_jC durante los cálculos implementados, y por lo tanto con buenos resultados durante los cálculos de la etapa E3. A continuación, una nueva función O en exclusiva 25 permite determinar un resultado único, en un bit de salida, que representa el diagnóstico final del microprocesador. Este resultado toma el valor cero en el caso de que se verifiquen las dos condiciones siguientes: resultadol = resultado1_jC y resultado2 = resultado2_jC. En otros casos, este resultado toma el valor de 1.
A continuación, la señal de salida que representa el diagnóstico del microprocesador 1 se puede evaluar directamente, en una etapa E8, para controlar los accionadores del sistema, para colocarlo en la posición de respaldo seguro, por ejemplo, en caso de fallo del microprocesador.
Naturalmente, el procedimiento de monitorización anterior puede tener muchas variantes sin apartarse del concepto de la invención. Principalmente, los cálculos y operaciones implementados pueden diferir de los ejemplos descritos. Por lo demás, las diferentes etapas descritas se pueden realizar según distintas cronologías. Preferentemente, algunas etapas se realizarán en paralelo, de forma sustancialmente simultánea dentro del microprocesador y dentro del dispositivo de monitorización .
En resumen, este procedimiento de monitorización comprende las siguientes etapas esenciales:
E3 - realización de al menos un cálculo dentro del microprocesador a partir de datos de entrada;
(E4) -realización de al menos una operación lógica mediante componentes cableados y de hardware dentro de un dispositivo de monitorización a partir de al menos parte de los mismos datos de entrada;
(E7) - comparación de los resultados del al menos un cálculo realizado dentro del microprocesador y de la al menos una operación lógica realizada dentro del dispositivo de monitorización para deducir a partir de ellos un diagnóstico del microprocesador y/o una orden de implementación segura.
La figura 3 representa de nuevo el sistema según la invención, incluyendo con particular detalle la estructura del bloque lógico cableado 11 y del bloque comparador 12 del dispositivo de monitorización 10, para la implementación del procedimiento de monitorización descrito anteriormente. En esta implementación, los diversos valores variables b0 a b3 se obtienen a partir de cuatro bits de datos transmitidos a la entrada del microprocesador 1 y procedentes de un dispositivo 6. El bloque lógico cableado 11 del dispositivo de monitorización 10 recibe estos datos e implementa el procedimiento de monitorización descrito anteriormente desde dos puertas lógicas O en exclusivas 21, 22 mientras que el bloque comparador 12 comprende tres puertas lógicas O en exclusiva 23 a 25.
En paralelo, el microprocesador utiliza estas variables en su bloque de diagnóstico 8 para realizar las etapas explicadas anteriormente.
Naturalmente, el procedimiento de monitorización según la invención se puede implementar con cualquier otro cálculo, incluyendo, por ejemplo, divisiones, multiplicaciones, potencias al cuadrado, raíces cuadradas, etc. La selección y definición de los números A, B, C y D de cuatro valores variables de tipo booleano b0, b1, b2 y b3 a la entrada de este cálculo del procedimiento de monitorización permite determinar simplemente el resultado esperado por el cálculo del microprocesador, sin la necesidad de realizar el mismo cálculo complejo dentro del dispositivo de monitorización , sino a través de algunas puertas lógicas. Este principio se puede implementar a partir de un número diferente de valores variables y/o números de entrada e integrando un número diferente de variables, especialmente de tipo booleano. Un usuario elegirá un compromiso entre la complejidad del cálculo y el nivel de seguridad funcional que desea alcanzar. Naturalmente, este principio de la invención se puede utilizar con otros bloques lógicos, que aparecen a partir de un número limitado de puertas lógicas entre los siguientes O, NO-O, Y, NO-Y, O en exclusiva y/o NO-O en exclusiva, con mayor frecuencia llamados por su nombre en inglés OR, NOR, AND, NAND, XOR, XNOR, etc. Naturalmente, este principio de la invención también se puede utilizar con puertas que utilizan lógica secuencial. Este uso de un dispositivo de monitorización externo que realiza operaciones simples, desde una estructura de tipo de hardware, permite conseguir un alto nivel de control de un sistema de forma sencilla, fiable, económica y ahorra espacio.
Naturalmente, la solución de control según la invención se puede combinar con todas las demás soluciones existentes para controlar un sistema, por ejemplo, combinado con un dispositivo de vigilancia. De este modo, la figura 4 representa un ejemplo de integración de la solución de la invención en un sistema complejo, requiriendo un alto nivel de seguridad. Este sistema comprende un microprocesador 1 y agrupa varios elementos de seguridad que controlan el correcto funcionamiento del microprocesador. En primer lugar, comprende un dispositivo de monitorización 10 para implementar un procedimiento de monitorización según la invención, como se ha descrito anteriormente. También incorpora un dispositivo de monitorización interno 30, un dispositivo de monitorización externo 31, que comprueba el correcto funcionamiento temporal del microprocesador, del tipo descrito en el documento FR2602618, conectado a alimentación eléctrica 32 que integra un control 33 de la tensión de alimentación. A continuación, el sistema comprende una o más funciones lógicas 35 para permitir el control de una acción de seguridad tan pronto como un dispositivo de seguridad emita una alarma. Esta orden de seguridad actúa sobre un accionador 37, que puede, por ejemplo, poner un interruptor en la posición de respaldo seguro, una alarma o un accionador.
El dispositivo de monitorización de un microprocesador según la invención puede integrarse en cualquier sistema que requiera un alto nivel de seguridad funcional. Es particularmente adecuado para formar un interruptor compatible con una instalación de seguridad, integrando, por ejemplo, restricciones de seguridad funcional de tipo SIL según la norma IEC 61508.
Naturalmente, el concepto de la invención es adecuado para un sistema que comprende varios microprocesadores, que podría comprender un dispositivo de monitorización para cada microprocesador o, alternativamente, un solo dispositivo de monitorización que podría controlar varios microprocesadores. Según otra variante de realización, varios dispositivos de monitorización según la invención pueden asociarse con el mismo microprocesador, para aumentar el nivel de seguridad funcional. Por otra parte, el dispositivo de monitorización de la invención se ha descrito en relación con un microprocesador, pero puede asociarse con cualquier componente inteligente que integre una Unidad Aritmética y Lógica (ALU).

Claims (15)

REIVINDICACIONES
1. Procedimiento de monitorización de un dispositivo equipado con un microprocesador (1), que comprende las siguientes etapas:
(E3) - realización de al menos un cálculo dentro del microprocesador (1) a partir de datos de entrada recibidos en la entrada (3) del microprocesador (1);
(E4) - realización de al menos una operación lógica por medio de puertas lógicas dentro de un dispositivo de monitorización (10) externo a partir de los mismos datos de entrada;
(E7) - comparación de los resultados del al menos un cálculo realizado dentro del microprocesador (1) y de la al menos una operación lógica realizada dentro del dispositivo de monitorización (10) para deducir a partir de ellos un diagnóstico del microprocesador(1) y
- emisión a la salida (15) del dispositivo de monitorización (10) de una señal que representa el diagnóstico del microprocesador (1) conforme a esta comparación.
2. Procedimiento de monitorización según la reivindicación anterior, caracterizado porque comprende además las siguientes etapas:
(E1) - determinación a nivel del microprocesador (1) de los datos de entrada en forma de valores variables (b0, b1, b2, b3) correspondientes a una serie de valores predefinidos;
(E2) - transmisión de estos valores al dispositivo de monitorización (10) a través de un medio de comunicación (16).
3. Procedimiento de monitorización según la reivindicación anterior, caracterizado porque la etapa de determinación de los datos de entrada (E1) comprende una generación aleatoria de los valores variables (b0, b1, b2, b3) y/o una extracción y/o una combinación de valores variables (b0, b1, b2, b3) a partir de bits de datos provenientes del exterior y recibidos en la entrada (3) del microprocesador (1).
4. Procedimiento de monitorización según la reivindicación 2 o 3, caracterizado porque la etapa de determinación de los datos de entrada (E1) comprende la determinación del valor de diversos números (A, B, C, D) al menos un bit del cual es variable y toma un valor igual a uno de los valores variables (b0, b1, b2, b3).
5. Procedimiento de monitorización según la reivindicación anterior, caracterizado porque la etapa de realización de al menos un cálculo (E3) dentro del microprocesador (1) comprende cálculos tales como divisiones, multiplicaciones, raíces cuadradas, potencias al cuadrado, entre los números (A, B, C, D).
6. Procedimiento de monitorización según la reivindicación anterior, caracterizado porque comprende una etapa (E5) de determinar al menos un bit (resultado1_|jC, resultado2_|jC) que representa los resultados de al menos un cálculo (E3) implementado por el microprocesador (1) y una etapa (E6) de transmitir este al menos un bit (resultado1_jC, resultado2_jC) al dispositivo de monitorización (10).
7. Procedimiento de monitorización según una de las reivindicaciones anteriores, caracterizado porque la etapa de realización de al menos un cálculo (E3) dentro del microprocesador (1) se implementa mediante software de una unidad de diagnóstico (8) del microprocesador (1).
8. Procedimiento de monitorización según la reivindicación 2, caracterizado porque la realización de al menos una operación lógica (E4) dentro del dispositivo de monitorización comprende operaciones sobre los valores variables (b0, b1, b2, b3).
9. Procedimiento de monitorización según la reivindicación anterior, caracterizado porque comprende realizar la comparación de los valores variables (b0, b1, b2, b3) a partir de al menos una puerta O exclusiva (21, 22) dentro del dispositivo de monitorización (10) con el fin de obtener resultados en un solo bit en función de la igualdad o la diferencia de los valores variables comparadas.
10. Procedimiento de monitorización según una de las reivindicaciones anteriores, caracterizado porque la etapa de comparación (E7) comprende la generación de un booleano del cual un primer valor representa un estado normal del dispositivo equipado con un microprocesador y un segundo valor un estado defectuoso.
11. Procedimiento de monitorización según una de las reivindicaciones anteriores, caracterizado porque comprende una etapa (E8) de accionar el dispositivo para ponerlo en una configuración de seguridad durante un estado defectuoso de su microprocesador.
12. Dispositivo de monitorización (10) para un dispositivo equipado con un microprocesador (1), que comprende al menos una entrada (13) prevista para la conexión con un microprocesador (1) para recibir datos de entrada de un microprocesador, un bloque lógico cableado (11) para realizar operaciones lógicas en datos de entrada del microprocesador, un bloque comparador (12) para comparar un resultado del cálculo realizado por un microprocesador a partir de los datos de entrada con un resultado obtenido por el bloque lógico cableado (11) a partir de los mismos datos de entrada para derivar un diagnóstico del microprocesador (1), y una salida (15) para emitir una señal que representa el resultado del diagnóstico del funcionamiento del microprocesador.
13. Dispositivo de monitorización según la reivindicación anterior, caracterizado porque su bloque lógico cableado (11) y su bloque comparador (12) comprenden puertas lógicas de tipo O, NO-O, Y, NO-Y, O en exclusiva y/o NO-O en exclusiva.
14. Sistema que comprende un microprocesador (1), caracterizado porque comprende un dispositivo de monitorización (10) externo según la reivindicación 12 o 13, conectado por al menos un medio de comunicación (16) con el microprocesador (1) y porque el microprocesador comprende un bloque de diagnóstico (8) que implementa la realización de al menos un cálculo (E3) del procedimiento de monitorización según una de las reivindicaciones 1 a 11.
15. Sistema según la reivindicación anterior, caracterizado porque es un interruptor eléctrico, un sistema de monitorización de instalaciones eléctricas o una automatización de seguridad.
ES11354063T 2010-12-14 2011-11-08 Procedimiento de monitorización de un dispositivo equipado con un microprocesador Active ES2864210T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR1004867A FR2968855B1 (fr) 2010-12-14 2010-12-14 Procede et dispositif de surveillance d'un dispositif equipe d'un microprocesseur

Publications (1)

Publication Number Publication Date
ES2864210T3 true ES2864210T3 (es) 2021-10-13

Family

ID=44147635

Family Applications (1)

Application Number Title Priority Date Filing Date
ES11354063T Active ES2864210T3 (es) 2010-12-14 2011-11-08 Procedimiento de monitorización de un dispositivo equipado con un microprocesador

Country Status (7)

Country Link
US (1) US9343894B2 (es)
EP (1) EP2466712B1 (es)
CN (1) CN102541713B (es)
BR (1) BRPI1105502B1 (es)
ES (1) ES2864210T3 (es)
FR (1) FR2968855B1 (es)
RU (1) RU2597472C2 (es)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
MX387549B (es) * 2014-05-08 2025-03-18 Micro Motion Inc Metodo de realizacion de calculos a prueba de fallas.
FR3036203B1 (fr) 2015-05-13 2017-05-19 Inside Secure Procede de securisation d’une comparaison de donnees lors de l’execution d’un programme
DE102015121732B4 (de) * 2015-12-14 2022-07-14 Knorr-Bremse Systeme für Nutzfahrzeuge GmbH Schaltungsanordnung für einen schaltbaren Leitungsabschluss eines seriellen Busses
DE102016207020A1 (de) * 2016-04-26 2017-10-26 Robert Bosch Gmbh Sicherungssystem für mindestens einen Verbraucher eines Fahrzeugs
FR3056032B1 (fr) * 2016-09-15 2020-06-19 Schneider Electric Industries Sas Dispositif et procede de surveillance de l'activite d'unites de traitement dans un declencheur electirque
DE102017208484A1 (de) * 2017-05-19 2018-11-22 Robert Bosch Gmbh Verfahren und Vorrichtung zur Erkennung von Hardwarefehlern in Mikroprozessoren
EP3832453A1 (de) * 2019-12-05 2021-06-09 Wieland Electric GmbH Verfahren zur durchführung einer gleitkommaarithmetik
DE102022111513A1 (de) * 2022-05-09 2023-11-09 Vega Grieshaber Kg Füllstandsensor zum Aktivieren und Deaktivieren eines sicheren Betriebszustands

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SU475897A1 (ru) * 1971-06-14 1978-10-05 Предприятие П/Я М-5769 Процессор цифровой вычислительной системы
FR2602618B1 (fr) 1986-08-08 1995-03-31 Merlin Gerin Declencheur statique numerique autosurveille
US5572572A (en) * 1988-05-05 1996-11-05 Transaction Technology, Inc. Computer and telephone apparatus with user friendly interface and enhanced integrity features
DE4114999C2 (de) * 1991-05-08 2001-04-26 Bosch Gmbh Robert System zur Steuerung eines Kraftfahrzeuges
JPH05207637A (ja) * 1992-01-23 1993-08-13 Fuji Electric Co Ltd ディジタルリレー
US5379302A (en) * 1993-04-02 1995-01-03 National Semiconductor Corporation ECL test access port with low power control
US5793657A (en) * 1995-04-11 1998-08-11 Nec Corporation Random number generating apparatus and random number generating method in a multiprocessor system
US5999629A (en) * 1995-10-31 1999-12-07 Lucent Technologies Inc. Data encryption security module
FR2789779B1 (fr) * 1999-02-11 2001-04-20 Bull Cp8 Procede de traitement securise d'un element logique sensible dans un registre memoire, et module de securite mettant en oeuvre ce procede
DE19927030A1 (de) * 1999-06-04 2000-12-07 Siemens Ag Leistungsschalter mit einem elektronischen, mikroprozessorgesteuerten Auslöser und einer Bypass-Schaltung
US6708284B2 (en) * 2001-03-30 2004-03-16 Intel Corporation Method and apparatus for improving reliability in microprocessors
UA49639A (uk) * 2002-01-14 2002-09-16 Національний Аерокосмічний Університет Ім. М.Є. Жуковського "Харківський Авіаційний Інститут" Діагностичний процесор
DE10210920B4 (de) * 2002-03-13 2005-02-03 Moeller Gmbh Leistungsschalter mit elektronischem Auslöser
JP4223909B2 (ja) * 2003-09-24 2009-02-12 三菱電機株式会社 車載電子制御装置
US7132934B2 (en) * 2004-03-26 2006-11-07 Allison Iii Robert D Ignition safety device and method therefor
US7596743B2 (en) * 2005-09-28 2009-09-29 Ati Technologies Inc. Method and apparatus for error management
DE102006001872B4 (de) * 2006-01-13 2013-08-22 Infineon Technologies Ag Vorrichtung und Verfahren zum Überprüfen einer Fehlererkennungsfunktionalität einer Datenverarbeitungseinrichtung auf Angriffe
CN101339528A (zh) * 2007-07-02 2009-01-07 佛山市顺德区顺达电脑厂有限公司 计算机电源周期性开关测试的状态监控装置
US8239340B2 (en) * 2008-04-11 2012-08-07 Trevor Hanson Message conduit systems with algorithmic data stream control and methods for processing thereof

Also Published As

Publication number Publication date
RU2011150797A (ru) 2013-06-20
BRPI1105502A2 (pt) 2013-04-09
RU2597472C2 (ru) 2016-09-10
US20120150492A1 (en) 2012-06-14
EP2466712A1 (fr) 2012-06-20
US9343894B2 (en) 2016-05-17
FR2968855B1 (fr) 2012-12-07
BRPI1105502B1 (pt) 2020-10-20
CN102541713B (zh) 2017-03-01
FR2968855A1 (fr) 2012-06-15
CN102541713A (zh) 2012-07-04
EP2466712B1 (fr) 2021-03-10

Similar Documents

Publication Publication Date Title
ES2864210T3 (es) Procedimiento de monitorización de un dispositivo equipado con un microprocesador
US10607006B2 (en) Security supervision
TWI614634B (zh) 偵測錯誤注入的方法與裝置
CN108803557B (zh) 具有信号链锁步的用于高完整性的功能安全应用的装置
TWI713947B (zh) 判定裝置以及判定裝置的控制方法
US20150192637A1 (en) Use of a (Digital) PUF for Implementing Physical Degradation/Tamper Recognition for a Digital IC
US10528484B2 (en) Device and method for protecting a security module from manipulation attempts in a field device
KR102386719B1 (ko) 안전 서브-시스템을 가지는 프로그램가능 ic
CN102375410B (zh) 冗余信号的处理系统、相关方法和包括这类系统的航空器
WO2018090596A1 (zh) 一种检测安全芯片工作状态的方法及检测电路
CN106154824A (zh) 一种星载时钟冗余系统及方法
CN106643808A (zh) 一种星敏感器在轨数据多级故障诊断方法
US9495239B1 (en) User-configurable error handling
US20160109862A1 (en) Multiplex control device
US11256580B2 (en) Circuit for detecting systematic and random faults
ES2740833T3 (es) Sistema de seguridad para un aerogenerador
US20150340111A1 (en) Device for detecting unauthorized manipulations of the system state of an open-loop and closed-loop control unit and a nuclear plant having the device
JP2017211792A (ja) インターロック回路
US9506981B2 (en) Integrated circuit with distributed clock tampering detectors
EP3321764A1 (en) Clock frequency detection method and apparatus
US9772897B1 (en) Methods and systems for improving safety of processor system
JP6263649B2 (ja) プログラマブルデバイス及びそれを用いた制御装置、及びその障害対策方法
JP6238849B2 (ja) プラント計装システム
WO2017219787A1 (zh) 具有攻击防护结构的系统
RU2580791C2 (ru) Устройство для мажоритарного выбора сигналов (3 варианта)