WO2016188736A1 - Method and device for error detection in a processor which executes a safety-relevant program - Google Patents

Method and device for error detection in a processor which executes a safety-relevant program Download PDF

Info

Publication number
WO2016188736A1
WO2016188736A1 PCT/EP2016/060452 EP2016060452W WO2016188736A1 WO 2016188736 A1 WO2016188736 A1 WO 2016188736A1 EP 2016060452 W EP2016060452 W EP 2016060452W WO 2016188736 A1 WO2016188736 A1 WO 2016188736A1
Authority
WO
WIPO (PCT)
Prior art keywords
processor
output values
program
safety
test program
Prior art date
Application number
PCT/EP2016/060452
Other languages
German (de)
French (fr)
Inventor
Uwe Eckelmann-Wendt
Daniel Becker
Stefan Gerken
Markus Seemann
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Priority to EP16723320.4A priority Critical patent/EP3274835A1/en
Publication of WO2016188736A1 publication Critical patent/WO2016188736A1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/2205Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested
    • G06F11/2236Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested to test CPU or processors

Definitions

  • the invention relates to a method for error detection in a processor that executes a security-related program and a related device.
  • error detection in the arithmetic unit of the processor in particular a CPU - Central Processing Unit - is in many areas of technology with safety-relevant orientation, such as railway signaling, vehicle construction, traffic control and monitoring, industrial plant and medical technology, required or at least desirable.
  • the correct execution of the security-related program that is, the software that runs on the processor, sets the correct execution of the machine code of the processor vo ⁇ out.
  • An error in a machine code instruction generates data processing errors or program execution errors. This can cause significant distortions of the program result.
  • redundant design is common.
  • processor functions can be simulated. According to a known method, the object code, that is, the binary representation of the processor instructions, is analyzed byte by byte until these bytes can be uniquely mapped to a processor instruction. Then the ser ⁇ processor command is applied to associated, emulated processor components.
  • the method is based on the emulation of the processor main memory, and application of the emulated Prozes ⁇ sorbetatione to associated, also emulated Listeorkom- components.
  • An emulation is the ability of a program to simulate the operation of a processor with software means. These software tools, which are also called emulators, load the object code, that is, the program of the processor in a working ⁇ store, in order to subsequently, starting with a defined position, byte by byte to interpret this object code. The command structures obtained from this interpretation are then applied to the likewise emulated processor components, in particular registers, memory cells, input / output modules and subcomponents. In this way, processor functions can be simulated, whereby faulty processor instructions can be identified.
  • a disadvantage of this known method is, in addition to the considerable expense above all, that results from the byte-by-byte interpretation of the executed object code low performance.
  • the invention has for its object to provide a method and apparatus of the generic type, which allow a highly secure and early detection of a processor-related error.
  • the object is achieved in that the processor carries out a test program in computing pauses of the safety-relevant program whose output values are compared by means of an external device with expected values, wherein mismatch triggers an error response.
  • the object is achieved according to claim 7 also by a device in which it is provided that the processor is connected to an external device having a memory and a comparator, the comparator for comparison of output values of one in computing pauses the .srele- vanten Program in the processor running test program is formed with stored in the memory expectation values and means for triggering an error response in case of disagreement of the output values with the expected values.
  • the test program runs in the pauses or waiting loops of the safety-related program on the processor and generates output values, which are tested by the external Ge ⁇ advised to expectation. If the output values do not match the expected values, the external device triggers a shutdown or blockage of the faulty processor.
  • the external device can be constructed relatively simple, namely essentially with fuse-reliable memory modules and
  • test program can according to the requirements of the
  • the evaluation by the external device, ie, the avoidance of a self-test by means of the processor is dage ⁇ gen indispensable because a faulty processor can also lead to a false negative test result.
  • the test program determines decimal places of an irrational number as output values by means of a trickle algorithm. Through the trickle algorithm can the irrational number, for example ⁇ , decimal places are calculated for decimal places without having stored the already calculated values.
  • the test program calculates Minim ⁇ least one decimal in ei ⁇ ner computing break the security program and continues to calculate the after ⁇ following decimals with each new computation break.
  • test program with the expiration of the safety-related program is so closely interlaced or intertwined that the test program can be scheduled, can also be determined by the external device, whether the safety-related program was virtually displaced in its course.
  • Ausga ⁇ ben deliberately false decimal error response can be initiated directly and from the safety-related program.
  • the number of output values of the test program by means of the external device is compared with the number of output values to be expected in the pause of the safety-relevant program, wherein mismatch triggers an error response.
  • the output values must agree not only with their value, for example the digit of the decimal place, but also with regard to the number of output values calculated in a certain time with expected values, which results in a further increase in safety.
  • test program is determined according to a sequence of output values corresponding to a test reset and generate a next series of output values. After a useful large number of output values within a sequence, in particular digits of an irrational number according to claim 2, the program strigpro- resets and starts the next sequence of output ⁇ values corresponding to the test plan.
  • Each new sequence may, for example, refer to the calculation of a certain number of decimal places of another irrational number. In this way, the repetition of output values in the same sequence and thus the possibility that processor errors remain undetected, quasi excluded.
  • the test program is according to claim 6 so he ⁇ represents that the largest possible number of different machine-code instructions of the processor is activated.
  • the test program is so complicated that a large amount of different machine code commands to calculate the
  • Output values must contribute.
  • the output values are not randomly computable for a long time from stored, repeated or arbitrarily generated values, so that randomly correct output is nearly impossible.

Abstract

The invention relates to a method for error detection in a processor which executes a safety-relevant program, and to a corresponding device. The aim of the invention is to achieve the greatest possible safety in error detection. In order to achieve said aim, the invention provides that the processor executes a test program during computing pauses of the safety-relevant program, wherein the output values thereof are compared by an external device with expected values, an error reaction being triggered if the values do not match.

Description

Beschreibung description
Verfahren und Vorrichtung zur Fehlerfeststellung bei einem Prozessor, der ein sicherheitsrelevantes Programm ausführt A method and apparatus for error detection in a processor executing a security-related program
Die Erfindung betrifft ein Verfahren zur Fehlerfeststellung bei einem Prozessor, der ein sicherheitsrelevantes Programm ausführt sowie eine diesbezügliche Vorrichtung. Eine derartige Fehlerfeststellung im Rechenwerk des Prozessors, insbesondere einer CPU - Central Processing Unit - ist auf vielen Gebieten der Technik mit sicherheitsrelevanter Ausrichtung, beispielsweise Eisenbahnsignaltechnik, Fahrzeugbau, Verkehrssteuerung und -Überwachung, Industrieanlagenbau und Medizintechnik, erforderlich oder zumindest wünschenswert . The invention relates to a method for error detection in a processor that executes a security-related program and a related device. Such error detection in the arithmetic unit of the processor, in particular a CPU - Central Processing Unit - is in many areas of technology with safety-relevant orientation, such as railway signaling, vehicle construction, traffic control and monitoring, industrial plant and medical technology, required or at least desirable.
Die korrekte Ausführung des sicherheitsrelevanten Programmes, das heißt, der Software, die auf dem Prozessor läuft, setzt die korrekte Ausführung des Maschinencodes des Prozessors vo¬ raus. Ein Fehler bei einem Maschinencodebefehl erzeugt Datenverarbeitungsfehler oder Programmablauffehler . Dies kann erhebliche Verfälschungen des Programmergebnisses bewirken. Um Prozessorfehler aufzudecken, ist redundante Ausführung üblich. Außerdem können Prozessorfunktionen simuliert werden. Nach einem bekannten Verfahren wird der Objektcode, das heißt, die binäre Repräsentation der Prozessorbefehle, Byte für Byte analysiert, bis diese Bytes eindeutig auf einen Pro- zessorbefehl abgebildet werden können. Anschließend wird die¬ ser Prozessorbefehl auf zugeordnete, emulierte Prozessorkomponenten angewendet. Das Verfahren basiert auf Emulation des Prozessorhauptspeichers und Anwendung der emulierten Prozes¬ sorbefehle auf zugeordnete, ebenfalls emulierte Prozessorkom- ponenten. Unter einer Emulation ist die Fähigkeit eines Programms zu verstehen, die Arbeitsweise eines Prozessors mit Softwaremitteln zu simulieren. Diese Softwaremittel, die auch als Emulatoren bezeichnet werden, laden hierzu den Objekt- code, d. h., das Programm, des Prozessors in einen Arbeits¬ speicher, um anschließend, beginnend mit einer definierten Position, byteweise diesen Objektcode zu interpretieren. Die aus dieser Interpretation gewonnenen Befehlsstrukturen werden dann auf die ebenfalls emulierten Prozessorkomponenten, insbesondere Register, Speicherzellen, Ein-/Ausgabe-Baugruppen und Subkomponenten, angewendet. Auf diese Weise lassen sich Prozessorfunktionen simulieren, wodurch fehlerhafte Prozessorbefehle identifiziert werden können. Nachteilig bei diesem bekannten Verfahren ist neben dem erheblichen Aufwand vor allem, dass durch die byteweise Interpretation des auszuführenden Objektcodes eine geringe Performance resultiert. The correct execution of the security-related program, that is, the software that runs on the processor, sets the correct execution of the machine code of the processor vo ¬ out. An error in a machine code instruction generates data processing errors or program execution errors. This can cause significant distortions of the program result. In order to detect processor errors, redundant design is common. In addition, processor functions can be simulated. According to a known method, the object code, that is, the binary representation of the processor instructions, is analyzed byte by byte until these bytes can be uniquely mapped to a processor instruction. Then the ser ¬ processor command is applied to associated, emulated processor components. The method is based on the emulation of the processor main memory, and application of the emulated Prozes ¬ sorbefehle to associated, also emulated Prozessorkom- components. An emulation is the ability of a program to simulate the operation of a processor with software means. These software tools, which are also called emulators, load the object code, that is, the program of the processor in a working ¬ store, in order to subsequently, starting with a defined position, byte by byte to interpret this object code. The command structures obtained from this interpretation are then applied to the likewise emulated processor components, in particular registers, memory cells, input / output modules and subcomponents. In this way, processor functions can be simulated, whereby faulty processor instructions can be identified. A disadvantage of this known method is, in addition to the considerable expense above all, that results from the byte-by-byte interpretation of the executed object code low performance.
Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren und eine Vorrichtung gattungsgemäßer Art anzugeben, welche eine hochgradig sichere und möglichst frühzeitige Aufdeckung eines prozessorbedingten Fehlers ermöglichen. The invention has for its object to provide a method and apparatus of the generic type, which allow a highly secure and early detection of a processor-related error.
Verfahrensgemäß wird die Aufgabe dadurch gelöst, dass der Prozessor in Rechenpausen des sicherheitsrelevanten Programms ein Prüfprogramm ausführt, dessen Ausgabewerte mittels eines externen Gerätes mit Erwartungswerten verglichen werden, wobei Nichtübereinstimmung eine Fehlerreaktion auslöst. Die Aufgabe wird gemäß Anspruch 7 auch durch eine Vorrichtung gelöst, bei der vorgesehen ist, dass der Prozessor mit einem externen Gerät, das einen Speicher und einen Vergleicher aufweist, beschaltet ist, wobei der Vergleicher zum Vergleich von Ausgabewerten eines in Rechenpausen des sicherheitsrele- vanten Programms in dem Prozessor ablaufenden Prüfprogramms mit in dem Speicher gespeicherten Erwartungswerten ausgebildet ist und Mittel zur Auslösung einer Fehlerreaktion bei Nichtübereinstimmung der Ausgabewerte mit den Erwartungswerte aufweist . According to the method, the object is achieved in that the processor carries out a test program in computing pauses of the safety-relevant program whose output values are compared by means of an external device with expected values, wherein mismatch triggers an error response. The object is achieved according to claim 7 also by a device in which it is provided that the processor is connected to an external device having a memory and a comparator, the comparator for comparison of output values of one in computing pauses the sicherheitsrele- vanten Program in the processor running test program is formed with stored in the memory expectation values and means for triggering an error response in case of disagreement of the output values with the expected values.
Auf diese Weise kann die korrekte Arbeitsweise des Prozessors regelmäßig überprüft werden, so dass eine frühestmögliche Identifizierung eines fehlerhaften Prozessors möglich ist. Das Prüfprogramm läuft dazu in den Rechenpausen oder auch Warteschleifen des sicherheitsrelevanten Programmes auf dem Prozessor und erzeugt Ausgabewerte, die von dem externen Ge¬ rät auf Erwartungswerte geprüft werden. Stimmen die Ausgabe- werte nicht mit den Erwartungswerten überein, veranlasst das externe Gerät eine Abschaltung oder Blockade des fehlerhaften Prozessors . In this way, the correct operation of the processor can be checked regularly, so that the earliest possible identification of a faulty processor is possible. The test program runs in the pauses or waiting loops of the safety-related program on the processor and generates output values, which are tested by the external Ge ¬ advised to expectation. If the output values do not match the expected values, the external device triggers a shutdown or blockage of the faulty processor.
Vorteilhaft ist vor allem, dass das externe Gerät relativ einfach aufgebaut sein kann, nämlich im Wesentlichen mit sicherungstechnisch verlässlichen Speicherbausteinen und It is particularly advantageous that the external device can be constructed relatively simple, namely essentially with fuse-reliable memory modules and
Vergleicherbausteinen. Bei sicherungstechnischen Systemen mit redundanten, parallel arbeitenden Prozessoren besteht ein erheblicher Vorteil darin, dass die Prozessoren nicht zueinan- der synchronisiert laufen müssen. Dadurch kann Rechenzeit, die als Wartezeit für Synchronisationszyklen erforderlich wäre, für die Ausführung des Prüfprogramms genutzt werden. Das Prüfprogramm kann entsprechend den Anforderungen an das Vergleicherbausteinen. In fuse-based systems with redundant, parallel-acting processors, there is a significant advantage in that the processors do not have to run synchronized with each other. As a result, computing time, which would be required as a waiting time for synchronization cycles, can be used for the execution of the test program. The test program can according to the requirements of the
Sicherheitslevel des sicherheitsrelevanten Programms als An- laufprüfung, aber auch als dauerhaft begleitende Prüfung ab¬ laufen. Die Auswertung durch das externe Gerät, d. h., das Vermeiden einer Eigenprüfung mittels des Prozessors ist dage¬ gen unabdingbar, da ein fehlerhafter Prozessor auch zu einem falsch-negativen Prüfergebnis führen kann. Durch das externe Gerät zum Vergleich der Ausgabewerte des Prüfprogramms mitRunning test security level of the safety program as a purchase, but also run as a permanently accompanying exam ¬. The evaluation by the external device, ie, the avoidance of a self-test by means of the processor is dage ¬ gen indispensable because a faulty processor can also lead to a false negative test result. By the external device to compare the output values of the test program with
Erwartungswerten ergibt sich eine sehr hohe Sicherheit dahingehend, dass die Prozessor-Maschinencodebefehle tatsächlich korrekt ausgeführt worden sind. Falls das sicherheitsrelevante Programm auf Emulationsebene ausgeführt wird kann das ebenfalls emulierte Prüfprogramm auch feststellen, ob der Interpreter zur Erstellung der Emulationssoftware korrekt arbeitet. Bei einer besonders vorteilhaften Ausführungsform gemäß Anspruch 2 ist vorgesehen, dass das Prüfprogramm mittels eines Tröpfelalgorithmus Nachkommastellen einer irrationalen Zahl als Ausgabewerte ermittelt. Durch den Tröpfelalgorithmus kann die irrationale Zahl, beispielsweise Π, Nachkommastelle für Nachkommastelle errechnet werden ohne die bereits berechneten Werte gespeichert zu haben. Das Prüfprogramm errechnet in ei¬ ner Rechenpause des sicherheitsrelevanten Programms mindes¬ tens eine Nachkommastelle und setzt die Berechnung der nach¬ folgenden Nachkommastellen mit jeder neuen Rechenpause fort. Auf diese Weise kann eine extrem lange Folge von Ausgabewer¬ ten in Form von Nachkommastellen einer irrationalen Zahl erzeugt werden, wobei Wiederholungen des gleichen Musters der Ausgabewerte nicht auftreten und die stetige Aussagefähigkeit der Prüfausgaben laufzeitunabhängig bestehen bleibt. Andererseits werden auch bei sehr kurzen Rechenpausen des sicherheitsrelevanten Programms, welche für das Prüfprogramm zur Verfügung stehen, bereits aussagefähige Ausgabewerte errech¬ net . Expectations result in a very high assurance that the processor machine code instructions have indeed been executed correctly. If the security-relevant program is executed at the emulation level, the likewise emulated test program can also determine whether the interpreter is working correctly to generate the emulation software. In a particularly advantageous embodiment according to claim 2, it is provided that the test program determines decimal places of an irrational number as output values by means of a trickle algorithm. Through the trickle algorithm can the irrational number, for example Π, decimal places are calculated for decimal places without having stored the already calculated values. The test program calculates Minim ¬ least one decimal in ei ¬ ner computing break the security program and continues to calculate the after ¬ following decimals with each new computation break. In this way, an extremely long sequence of Ausgabewer ¬ th in the form of fractions of an irrational number can be generated, with repetitions of the same pattern of the output values do not occur and remains constant term independent of the validity of the Prüfausgaben. On the other hand, already meaningful output values calcu ¬ net are also at very short computation breaks the safety program, which stand for the test program available.
Wenn das Prüfprogramm mit dem Ablauf des sicherheitsrelevanten Programms derart eng verkämmt bzw. verflochten ist, dass das Prüfprogramm planbar ablaufen kann, kann durch das externe Gerät auch ermittelt werden, ob das sicherheitsrelevante Programm in seinem Ablauf quasi verdrängt wurde. Durch Ausga¬ ben bewusst falscher Nachkommastellen kann eine Fehlerreaktion auch von dem sicherheitsrelevanten Programm direkt eingeleitet werden. If the test program with the expiration of the safety-related program is so closely interlaced or intertwined that the test program can be scheduled, can also be determined by the external device, whether the safety-related program was virtually displaced in its course. By Ausga ¬ ben deliberately false decimal error response can be initiated directly and from the safety-related program.
Gemäß Anspruch 3 ist vorgesehen, dass die Anzahl der Ausgabewerte des Prüfprogramms mittels des externen Gerätes mit der Anzahl der in der Rechenpause des sicherheitsrelevanten Pro- grammes zu erwartenden Anzahl von Ausgabewerten verglichen wird, wobei Nichtübereinstimmung eine Fehlerreaktion auslöst. Die Ausgabewerte müssen nicht nur bezüglich ihres Wertes, beispielsweise der Ziffer der Nachkommastelle, sondern auch bezüglich der in einer bestimmten Zeit errechneten Anzahl von Ausgabewerten mit Erwartungswerten übereinstimmen, wodurch sich ein weiterer Sicherheitszuwachs ergibt. According to claim 3, it is provided that the number of output values of the test program by means of the external device is compared with the number of output values to be expected in the pause of the safety-relevant program, wherein mismatch triggers an error response. The output values must agree not only with their value, for example the digit of the decimal place, but also with regard to the number of output values calculated in a certain time with expected values, which results in a further increase in safety.
Gemäß Anspruch 4 ist vorgesehen, dass sich das Prüfprogramm nach einer Folge von Ausgabewerten entsprechend eines Prüf- planes zurücksetzt und eine nächste Folge von Ausgabewerten erzeugt. Nach einer sinnvoll großen Anzahl von Ausgabewerten innerhalb einer Folge, insbesondere Nachkommastellen einer irrationalen Zahl gemäß Anspruch 2 setzt sich das Prüfpro- gramm zurück und beginnt mit der nächsten Folge von Ausgabe¬ werten entsprechend dem Prüfplan. According to claim 4, it is provided that the test program is determined according to a sequence of output values corresponding to a test reset and generate a next series of output values. After a useful large number of output values within a sequence, in particular digits of an irrational number according to claim 2, the program Prüfpro- resets and starts the next sequence of output ¬ values corresponding to the test plan.
Die Folgen der Ausgabewerte sind gemäß Anspruch 5 nicht iden¬ tisch. Jede neue Folge kann sich beispielsweise auf die Be- rechnung einer bestimmten Anzahl von Nachkommastellen einer anderen irrationalen Zahl beziehen. Auf diese Weise ist die Wiederholung von Ausgabewerten in gleicher Aneinanderreihung und damit die Möglichkeit, dass Prozessorfehler unerkannt bleiben, quasi ausgeschlossen. The consequences of the output values are not identical ¬ table according to claim fifth Each new sequence may, for example, refer to the calculation of a certain number of decimal places of another irrational number. In this way, the repetition of output values in the same sequence and thus the possibility that processor errors remain undetected, quasi excluded.
Vorzugsweise ist das Prüfprogramm gemäß Anspruch 6 derart er¬ stellt, dass eine größtmögliche Anzahl unterschiedlicher Ma- schinencodebefehle des Prozessors aktiviert wird. Dazu wird das Prüfprogramm derart verkompliziert, dass eine große Menge unterschiedlicher Maschinencodebefehle zur Errechnung derPreferably, the test program is according to claim 6 so he ¬ represents that the largest possible number of different machine-code instructions of the processor is activated. For this purpose, the test program is so complicated that a large amount of different machine code commands to calculate the
Ausgabewerte beitragen muss. Der Vorteil, dass nur eine simp¬ le Datenübertragung von Bytes zu dem externen Gerät erforderlich ist, bleibt dabei erhalten. Dennoch sind die Ausgabewerte nicht durch Zufall für längere Zeit aus gespeicherten, wiederholten oder willkürlich erzeugten Werten errechenbar, so dass eine zufällig korrekte Ausgabe nahezu unmöglich ist. Output values must contribute. The advantage that only a simp ¬ le data transfer of bytes to the external device is required, it remains. However, the output values are not randomly computable for a long time from stored, repeated or arbitrarily generated values, so that randomly correct output is nearly impossible.

Claims

Verfahren zur Fehlerfeststellung bei einem Prozessor, der ein sicherheitsrelevantes Programm ausführt, d a d u r c h g e k e n n z e i c h n e t, dass der Prozessor in Rechenpausen des sicherheitsrelevanten Programms ein Prüfprogramm ausführt, dessen Ausgabewerte mittels eines externen Gerätes mit Erwartungswerten verglichen werden, wobei Nichtübereinstimmung eine Fehlerreaktion auslöst. Method for error detection in a processor that executes a safety-related program, d a d u r c h e c e s in that the processor executes a test program in computing pauses of the safety-related program whose output values are compared by means of an external device with expected values, mismatch triggers an error response.
Verfahren nach Anspruch 1, Method according to claim 1,
d a d u r c h g e k e n n z e i c h n e t, dass das Prüfprogramm mittels eines Tröpfelalgorithmus Nach¬ kommastellen einer irrationalen Zahl als Ausgabewerte ermittelt . characterized in that the test program by means of a trickle algorithm after ¬ decimal places of an irrational number determined as output values.
Verfahren nach einem der vorangehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t, dass die Anzahl der Ausgabewerte des Prüfprogramms mittels des externen Gerätes mit der Anzahl der in der Rechenpause des sicherheitsrelevanten Programms zu erwartenden Anzahl von Ausgabewerten verglichen wird, wobei Nichtübereinstimmung eine Fehlerreaktion auslöst. Method according to one of the preceding claims, characterized in that the number of output values of the test program by means of the external device is compared with the number of output values to be expected in the pause of the safety-relevant program, wherein mismatch triggers an error response.
Verfahren nach einem der vorangehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t, dass sich das Prüfprogramm nach einer Folge von Ausgabewerten entsprechend eines Prüfplanes zurücksetzt und eine nächste Folge von Ausgabewerten erzeugt. Method according to one of the preceding claims, characterized in that the test program is reset according to a sequence of output values according to a test plan and generates a next series of output values.
Verfahren nach Anspruch 4, Method according to claim 4,
d a d u r c h g e k e n n z e i c h n e t, dass die Folgen oder Ausgabewerte nicht identisch sind. It is not possible that the consequences or output values are identical.
Verfahren nach einem der vorangehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t, dass das Prüfprogramm eine größtmögliche Anzahl unterschied¬ licher Maschinencodebefehle des Prozessors aktiviert. Method according to one of the preceding claims, characterized in that the test program a maximum number different activated ¬ Licher machine code instructions of the processor.
Vorrichtung zur Durchführung des Verfahrens nach einem der vorangehenden Ansprüche, Device for carrying out the method according to one of the preceding claims,
d a d u r c h g e k e n n z e i c h n e t, dass der Prozessor mit einem externen Gerät, das einen Speicher und einen Vergleicher aufweist, beschaltet ist, wo¬ bei der Vergleicher zum Vergleich von Ausgabewerten eines in Rechenpausen des sicherheitsrelevanten Programms in dem Prozessor ablaufenden Prüfprogramms mit in dem Speicher gespeicherten Erwartungswerten ausgebildet ist und Mittel zur Auslösung einer Fehlerreaktion bei Nichtübereinstimmung der Ausgabewerte mit den Erwartungswerte aufweist . characterized in that the processor is connected to an external device having a memory and a comparator, where ¬ is formed in the comparator for comparing output values of a run in computing pauses of the safety-relevant program in the processor running test program stored in the memory expectation and Means for triggering an error response if the output values do not match the expected values.
PCT/EP2016/060452 2015-05-22 2016-05-10 Method and device for error detection in a processor which executes a safety-relevant program WO2016188736A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
EP16723320.4A EP3274835A1 (en) 2015-05-22 2016-05-10 Method and device for error detection in a processor which executes a safety-relevant program

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102015209530.4A DE102015209530A1 (en) 2015-05-22 2015-05-22 A method and apparatus for error detection in a processor executing a security-related program
DE102015209530.4 2015-05-22

Publications (1)

Publication Number Publication Date
WO2016188736A1 true WO2016188736A1 (en) 2016-12-01

Family

ID=56014976

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2016/060452 WO2016188736A1 (en) 2015-05-22 2016-05-10 Method and device for error detection in a processor which executes a safety-relevant program

Country Status (3)

Country Link
EP (1) EP3274835A1 (en)
DE (1) DE102015209530A1 (en)
WO (1) WO2016188736A1 (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120226942A1 (en) * 2011-03-01 2012-09-06 Texas Instruments, Incorporated Interruptible non-destructive run-time built-in self-test for field testing

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120226942A1 (en) * 2011-03-01 2012-09-06 Texas Instruments, Incorporated Interruptible non-destructive run-time built-in self-test for field testing

Also Published As

Publication number Publication date
DE102015209530A1 (en) 2016-11-24
EP3274835A1 (en) 2018-01-31

Similar Documents

Publication Publication Date Title
DE60309928T2 (en) PROCESS FOR INCREASING THE SAFETY INTEGRITY LEVEL OF A CONTROL SYSTEM
EP2897011B1 (en) Method and simulation assembly for the simulation of an automated industrial plant
WO2020038626A1 (en) Automation system for monitoring a safety-critical process
EP2852896A2 (en) Arrangement having a microprocessor system
EP3349082B1 (en) System for deactivatable simulation of installations or machines within programmable controllers
EP3058425A1 (en) Device and method for changing operating settings of a technical installation
WO2016188736A1 (en) Method and device for error detection in a processor which executes a safety-relevant program
WO2005045665A1 (en) Method and device for operand processing in a processor unit
EP2083339A1 (en) Method and device for performing tests through functionally cascaded test and experimentation devices
WO2010049339A1 (en) Device and method for generating redundant but different machine codes from a source code for verification for a safety-critical system
DE112013006981T5 (en) Control system test equipment
DE102009047724A1 (en) Program sequence monitoring method for operating field device utilized for e.g. measuring physical parameter at defined areas in process plant, involves comparing test value with another test value to monitor program sequence
EP3314412B1 (en) Method for debugging software components in a distributed, time-controlled real time system
EP2653850B1 (en) Method and IT system for testing entire vehicles
WO2020038627A1 (en) Automation system for monitoring a safety-critical process
EP2869143B1 (en) Emulation system for simulating a technical system
EP4092535B1 (en) Control device testing method
DE102022117470A1 (en) Method for characterizing test results
DE102021132235B4 (en) Method for simulating an ECU on a computer based on the AUTOSAR standard and computer therefor
DE102007028721A1 (en) Method for verifying function sequences of controller, involves forming development controller by controller in parallel manner, where controller has inlet and outlet, and development controller has finite state machine
DE102016123332A1 (en) Virtual commissioning and simulation of a building automation system
DE10233879B4 (en) Method for controlling and monitoring a safety-critical system, in particular a traffic signal system, and device for carrying out the method
DE102022208087A1 (en) Method for checking processing of user data
WO2014146686A1 (en) Tool and method for simulating a technical installation
DE102010001621A1 (en) Method for monitoring functional efficiency of processing unit in microcontroller in automobile application, involves executing result comparison for processing units by monitoring unit for detection of operability

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 16723320

Country of ref document: EP

Kind code of ref document: A1

REEP Request for entry into the european phase

Ref document number: 2016723320

Country of ref document: EP

NENP Non-entry into the national phase

Ref country code: DE