检查微控制器的程序执行的方法、外部设备、系统

技术领域

本公开涉及一种检查与外围设备相关的微控制器的程序执行的方法，其中，外围设备经由通信总线与微控制器进行数据通信。此外，本公开涉及一种检查与外围设备相关的微控制器的程序执行的外部设备，以及包括微控制器、外围设备和这样的外部设备的系统。另外，本公开涉及一种包括执行前述方法的指令的非暂时性计算机可读介质。

背景技术

具有由微控制器控制的外围设备的系统在现有技术中是公知的。这样的外围设备通常经由通信总线与微控制器进行数据通信。微控制器执行用于外围设备的操作的程序，并且经由通信总线传输数据，特别是寻址到外围设备的微控制器的配置信息。

如果在微控制器的程序执行期间识别出问题，则停止程序执行并且中断微控制器与外围设备之间的数据通信。在这种情况下，外围设备会保持最后传输的配置信息。这经常会引发问题，因为从微控制器传送到外围设备的最后配置信息可能已经是不正确和/或损坏的。

因此，需要提供为外围设备提供正确且无损坏的配置信息的可能性，尤其是在进入系统的安全模式之后。

发明内容

本公开提供了根据独立权利要求的方法、外部设备、系统和非暂时性计算机可读介质。在从属权利要求、说明书和附图中给出了实施方式。

在一个方面中，本公开旨在一种检查与外围设备相关的微控制器的程序执行的方法，其中，外围设备经由通信总线与微控制器进行数据通信。根据本公开的方法包括以下步骤：

a)由外部设备监测微控制器；

b)由外部设备基于步骤a)的监测来识别微控制器的故障状态；

c)由外部设备断开外围设备与微控制器之间的数据通信；

d)在外部设备与外围设备之间建立补充数据通信；以及

e)由外部设备经由补充数据通信将配置信息发送到外围设备。

根据本公开的方法旨在通过包括微控制器和外围设备的系统和/或在包括微控制器和外围设备的系统中执行。在这样的系统中，外围设备经由通信总线与微控制器进行数据通信。整个系统的程序执行包括并且经常甚至基于该数据通信，由此，在大多数情况下，外围设备的配置信息由微控制器根据微控制器的程序执行情况来提供，并且经由通信总线通过数据通信被传送到外围设备。因此，微控制器的程序执行的故障可以导致整个系统的故障。

为了防止这种级联效应，在根据本公开的方法的第一步骤a)中，外部设备监测微控制器。尤其是，将作为外部设备的一部分的设备逻辑单元用于该功能。该监测可以例如使用外部设备与微控制器之间的特定监测数据通信来执行。经由监测数据通信，微控制器的操作的性能数据可以由外部设备接收，并且随后与相应规范进行比较。附加地或另选地，外部设备可以观察微控制器与外围设备之间的通信总线上的数据通信，以检测与正常操作的偏差(aberration)。

在根据本公开的方法的第二步骤b)中，执行在步骤a)中获得的监测信息与表示正常、无故障操作的相应规范之间的上述比较，以识别微控制器的故障状态。如上所述，该识别也由外部设备执行，尤其是由设备逻辑单元执行。换言之，在完成步骤b)之后，存在微控制器的故障的信息。

在根据本公开的方法的接下来的步骤c)中，作为对在步骤b)中识别的微控制器的故障的反应，由外部设备断开外围设备与微控制器之间的数据通信。尤其是，外部设备可以包括总线接口(特别是由设备逻辑单元控制的总线接口)，以执行该任务。在断开之后，微控制器与外围设备之间的数据通信不再可行。因此，微控制器由于其故障而提供的不正确和/或损坏的配置信息不再被传送到外围设备。

此外，在根据本公开的方法的接下来的步骤d)中，建立外部设备与外围设备之间的补充数据通信。类似于步骤c)，也可以通过外部设备的总线接口来提供建立补充数据通信。作为结果，在步骤d)之后，外部设备与外围设备之间的数据通信是可能的。

在根据本公开的方法的最后步骤e)中，使用前述补充数据通信，以通过外部设备向外围设备发送正确且未损坏的配置信息。该配置信息可以在外部设备的备份存储器中保持可用。配置信息是正确且未损坏的。换言之，在根据本公开的方法的该最后步骤e)中，可以确保能够向外围设备提供正确且无损坏的配置信息。由于微控制器的故障而从微控制器已经发送到外围设备的任何不正确和/或损坏的配置信息都会被正确且无损坏的配置信息替换。利用外部设备提供的正确且无损坏的配置信息来擦除和/或重写不正确和/或损坏的配置信息。

总之，根据本公开的方法可以防止外围设备中存在不正确和/或损坏的配置信息。微控制器由于其故障而发送的任何不正确和/或损坏的配置信息可以被外部设备发送的正确且无损坏的配置信息替换。因此，可以补偿外部设备响应微控制器故障时的可能延迟。在微控制器的故障解决之后，由于在外围设备中存在正确且无损坏的配置信息，所以相应系统可以立即恢复其程序执行。尤其是适当配置的监视器设备，特别是如本文所述的监视器设备，可以被用作关于根据本公开的方法的执行的外部设备。

根据实施方式，该方法包括在步骤e)之后，外部设备继续监测微控制器，以检测微控制器的故障状态的结束。换言之，外部设备不仅检测微控制器的故障的出现，而且还检测其消失。因此，微控制器的程序执行的中断时间以及因此相应系统的中断时间可以减少(特别是最小化)。

根据进一步改进的实施方式，该方法包括：在检测到微控制器的故障状态的结束之后，外部设备重建外围设备与微控制器之间的数据通信。在外部设备通过检测相应故障的结束而识别到微控制器的故障消失之后，外部设备自身重建微控制器与外围设备之间的数据通信，从而允许整个系统的程序执行再次开始。因此，不需要外部设备来提供这种启动能力。

根据实施方式，根据本公开的方法包括：在步骤c)之后，外部设备向微控制器发送复位和/或重启信号。在步骤c)之后，微控制器与外围设备之间经由通信总线的数据通信被中断并且不再可行。换言之，可以对微控制器进行寻址，而不对外围设备产生任何影响。因此，可以安全地执行微控制器的重启。通过由外部设备例如经由前述监测数据通信向微控制器发送复位和/或重启信号，微控制器的该重启处理可以由外部设备自身来启动。因此，不需要外部设备来提供该重启启动功能。

特别地，根据本公开的方法的特征在于，步骤c)和步骤d)基本上同时执行，特别是其中在步骤d)中建立的数据通信通过通信总线切换来至少部分地使用通信总线。首先，同时执行步骤c)和步骤d)提供了在执行根据本公开的方法期间节省时间的优点。此外，可以使用通信总线切换，由此在步骤d)中建立的数据通信至少部分地使用已经存在于相应系统中的通信总线。外围设备连接到通信总线，该通信总线允许在正常操作期间的微控制器与外围设备之间的数据通信。通信总线切换简单地改变了通信总线另一端上的接收方，并且利用外部设备来替换作为接收方的微控制器。换言之，补充数据通信至少部分地使用现有通信总线，尤其是通信总线的直接连接到外围设备的部分。因此，可以避免外部设备与外围设备之间的额外的通信连接。

此外，根据实施方式，根据本公开的方法包括外部设备将关于微控制器的故障和/或关于执行步骤b)至步骤e)中的一个或更多个步骤的信息传递给上级控制系统。换言之，上级控制系统获知微控制器处于故障状态和/或微控制器的程序执行以及相应系统的程序执行已经停止。此外，微控制器的故障状态的结束和/或程序执行的重启也可以被广播到上级控制系统。这允许上级控制系统启动进一步的措施，例如下游设备的停机和/或动作改变，这取决于包括错误的微控制器的相应系统。因此，可以提升由上级控制系统控制的高级设备的操作安全性和可靠性。

在另一方面中，本公开涉及一种检查与外围设备相关的微控制器的程序执行的外部设备，特别是监视器设备，该外部设备包括：

-设备逻辑单元；

-备份存储器，该备份存储器存储外围设备的配置信息；

-微控制器接口，该微控制器接口在外部设备与微控制器之间建立数据通信；以及

-总线接口，该总线接口断开微控制器与外围设备之间的数据通信，并且建立外部设备与外围设备之间的补充数据通信；

其中，设备逻辑单元被配置为执行本文所描述的方法。

根据本公开的外部设备至少包括设备逻辑单元、备份存储器、微控制器接口和总线接口。设备逻辑单元可以包括例如微处理器，并且能够运行由计算机可读介质提供的指令。在备份存储器中，可以存储外围设备的正确且无损坏的配置信息，以供设备逻辑单元调用。微控制器接口允许外部设备与外部微控制器之间的(特别是双向的)数据通信，总线接口允许断开微控制器与外围设备之间的数据通信，并且另外允许在外部设备与外围设备之间建立(特别是双向的)补充数据通信。总之，外部设备(尤其是其设备逻辑单元)被配置为执行本文所描述的方法。因此，根据本公开的外部设备包括以上关于根据本公开的方法描述的相同优点。特别地，根据本公开的外部设备可以被设计为监视器设备。

根据实施方式，根据本公开的外部设备包括设备块，该设备块至少包括设备逻辑单元，由此总线接口与设备块分开布置。换言之，用于断开微控制器与外围设备之间的数据通信以及建立外部设备与外围设备之间的补充数据通信的总线接口可以位于相对于设备块的不同位置，其中设备块至少包含设备逻辑单元，特别是也包含其他元件，如备份存储器。根据本公开的外部设备的该实施方式提供了以下优点：可以将设备块布置在距通信总线任意距离处。因此，可以更容易地避免和/或满足关于用于布置设备块的可用空间的约束。

根据另选实施方式，根据本公开的外部设备包括设备块，该设备块至少包括设备逻辑单元，由此设备块还包括总线接口。换言之，用于断开微控制器与外围设备之间的数据通信以及建立外部设备与外围设备之间的补充数据通信的总线接口被集成到设备块中，其中设备块还至少包括设备逻辑单元，特别是还包括其他元件，例如备份存储器。在该实施方式中，整个外部设备可以被构造得特别紧凑并且对于可用空间的需求低。

根据另一实施方式，根据本公开的外部设备包括的备份存储器是非易失性存储器。在这样的非易失性存储器中，例如即使发生电力故障，也安全地保存内容，尤其是正确且无损坏的配置信息。通过提供非易失性存储器作为备份存储器，可以提升根据本公开的外部设备的可靠性。

根据实施方式，根据本公开的外部设备包括设备块，该设备块至少包括设备逻辑单元，由此备份存储器与设备块分开布置。换言之，其中存储有外围设备的正确且无损坏的配置信息的备份存储器可以位于与设备块不同的位置，其中设备块至少包括设备逻辑单元。该实施方式提供的优点在于，备份存储器可以被布置在与设备块不同的位置。因此，可以更容易地提供备份存储器的改变和/或保护备份存储器的特殊安全措施。

根据另选实施方式，根据本公开的外部设备包括设备块，该设备块至少包括设备逻辑单元，由此该设备块还包括备份存储器。换言之，其中存储有外围设备的正确且无损坏的配置信息的备份存储器被集成到设备块中，其中，设备块还至少包括设备逻辑单元。在该实施方式中，整个外部设备可以被构造得特别紧凑并且对于可用空间的需求低。

根据另一实施方式，根据本公开的外部设备包括连接元件，该连接元件提供外部设备与上级控制系统之间的报警数据通信，以用于将关于微控制器的故障和/或关于执行步骤b)至步骤e)中的一个或更多个步骤的信息传递到上级控制系统。换言之，根据本公开的外部设备可以使用连接元件来建立到上级控制系统的报警数据通信，以通知上级控制系统微控制器处于故障状态和/或微控制器的程序执行以及因此相应系统的程序执行已经停止。此外，微控制器的故障状态的结束和/或微控制器的程序执行的重启和/或整个相应系统的程序执行的重启也可以被广播到上级控制系统。这允许上级控制系统启动进一步的措施，例如下游设备的停机和/或动作改变，这取决于包括错误的微控制器的相应系统。因此，可以提升由上级控制系统控制的高级设备的操作安全性和可靠性。

在另一方面中，本公开针对一种系统，该系统包括微控制器、经由通信总线与微控制器进行数据通信的外围设备、以及至少连接到微控制器和通信总线的外部设备，其中外部设备如上所述地配置。本文所描述的外部设备被配置为执行本文所描述的方法。因此，该系统包括以上分别关于根据本公开的方法和关于根据本公开的外部设备所描述的相同优点。

在另一方面中，本公开针对一种非暂时性计算机可读介质，该非暂时性计算机可读介质包括用于执行本文的方法的指令。计算机可读介质可以被配置为：诸如光盘(CD)或数字多功能盘(DVD)的光学介质；诸如硬盘驱动器(HDD)的磁介质；固态驱动器(SSD)；诸如闪存的只读存储器(ROM)等。此外，计算机可读介质可以被配置为经由诸如因特网连接之类的数据连接可访问的数据存储部。计算机可读介质例如可以是在线数据储存库或云存储。由于根据本公开的计算机可读介质包括用于执行根据本公开的方法的指令，所以非暂时性计算机可读介质包括以上关于相应方法所描述的相同优点。

附图说明

本文结合以下附图描述本公开的示例性实施方式和功能，所述附图示意性地示出：

图1是根据本公开的处于正常模式的系统，以及

图2是根据本公开的处于安全模式的系统。

具体实施方式

图1和图2分别描绘了根据本公开的系统100。在图1中系统100被示为处于正常模式102，在图2中系统100被示为处于安全模式104。在下文中，将图1和图2一起描述，其中，如果需要，单独地介绍各个图。

系统100包括经由通信总线50彼此进行数据通信52的微控制器40和外围设备30。在系统100处于其正常模式102的情况下，在微控制器40的程序执行期间并且因此在系统100的程序执行期间，在微控制器40与外围设备之间交换数据(尤其是命令和配置信息60)，参见图1。在根据本公开的系统100的所描绘的实施方式中，作为系统100的一部分的外部设备10经由微控制器接口18提供的监测数据通信58来监测微控制器40的功能。根据本公开的系统100的所描绘的实施方式的外部设备10被设计为监视器设备90。

外部设备10还包括设备块(bulk)12，外部设备10的元件中的至少一些元件被布置和组合在设备块12中。特别地，设备块12可以布置在单个壳体内。在图1和图2所描绘的外部设备10的实施方式中，设备块12包括设备逻辑单元14、备份存储器16、作为设备逻辑单元14的一部分的微控制器接口18、包括总线开关22的总线接口20、以及用于连接到上级控制系统80的连接元件24(参见图2)。特别地，备份存储器16可以是非易失性存储器，并且包含外围设备30的正确且无损坏的配置信息60。设备逻辑单元14可以包含计算机可读介质70，该计算机可读介质70包括用于执行如下面关于图2描述的根据本公开的方法的指令。

另选地，并且在图1和图2中未示出，总线接口20和/或备份存储器16两者可以与设备块12分开布置。

图2示出了根据本公开的处于其安全模式104的系统100。作为执行根据本公开的方法的结果，该安全模式104由外部设备10建立，特别是由监视器设备90建立。

在根据本公开的方法的第一步骤a)中，外部设备10(特别是设备逻辑单元14)监测微控制器40。这可以例如经由监测数据通信58和/或通过监测经由通信总线50在微控制器40与外围设备30之间交换的数据来提供。

如果在该监测期间，在根据本公开的方法的下一个步骤b)中，由外部设备10识别出微控制器40的故障状态，则随后的步骤c)包括由外部设备10执行的将微控制器40与外围设备30之间的数据通信52断开。为此，外部设备10包括作为总线接口20的一部分的总线切换22。

总线切换22提供的优点在于，在根据步骤c)断开微控制器40与外围设备30之间的数据通信52的同时，可以如在根据本公开的方法的步骤d)中所公开的那样，在外部设备10与外围设备30之间建立补充数据通信54。特别地，通信总线50的已经连接到外围设备30的部分也可以用于补充数据通信54。

在根据本公开的方法的最后步骤e)中，经由补充数据通信54将存储在外部设备10的备份存储器16中的正确且无损坏的配置信息60发送并传送到外围设备30。因此，可以擦除已经存在于外围设备30中的不正确和/或损坏的配置信息60(该不正确和/或损坏的配置信息60可以在步骤c)中断开数据通信52之前从已经发生故障的微控制器40发送到外围设备30)，并且用该正确且无损坏的配置信息60替换不正确和/或损坏的配置信息60。因此，在微控制器40的故障状态结束之后，可以容易地启动系统100的重启并且将系统100切换回正常模式102。

为了以特别快速和省时的方式提供系统100的这种重启，可以使外部设备10能够继续监测微控制器40并且在检测到微控制器40的故障状态的结束之后重建微控制器40与外围设备30之间的数据通信52。此外，外部设备10自身可以向微控制器40发送复位和/或重启信号，特别是在根据本公开的方法的步骤c)中断开微控制器40与外围设备30之间的数据通信52之后。

此外，并且如图1和图2所示，外部设备10可以包括连接元件24，以建立到上级控制系统80的报警数据通信56。可以将关于系统100的状态的信息(尤其是系统100是处于其正常模式102还是处于其安全模式104)提供给上级控制系统80。换言之，外部设备10可以通知上级控制系统80微控制器10处于故障状态和/或微控制器40的程序执行以及因此相应系统100的程序执行已经停止。此外，微控制器10的故障状态的结束和/或程序执行的重启也可以被广播到上级控制系统80。因此，能够提升由上级控制系统80控制的高级设备的操作安全性和可靠性。

10 外部设备

12 设备块

14 设备逻辑单元

16 备份存储器

18 微控制器接口

20 总线接口

22 总线切换

24 连接元件

30 外围设备

40 微控制器

50 通信总线

52 数据通信

54 补充数据通信

56 报警数据通信

58 监测数据通信

60 配置信息

70 计算机可读介质

80 控制系统

90 监视器设备

100 系统

102 正常模式

104 安全模式