符合功能安全的自测试的制作方法

1.本公开的各方面总体上涉及使用传统自测试系统来满足功能安全标准。


背景技术：

2.自主驾驶(ad)利用可靠的驾驶安全性系统，该可靠的驾驶安全性系统处理自主交通工具(av)的环境的检测到的数据，以实现该自主交通工具(av)的驾驶策略。可能期望或要求av满足一种或多种安全标准(诸如，一种或多种功能安全标准)的要求。除了其他要求之外，功能安全标准可要求av的一个或多个组件执行自测试。功能安全标准可能需要严格遵守某些测试参数，诸如例如，在特定的持续时间内完成测试。论证测试电路展现出某些等级的独立性和/或抗篡改性可能进一步是必要的。
3.功能安全产品的一个挑战是，重新使用传统调试基础设施来完成对于满足期望的安全标准(诸如例如，目标安全完整性等级)而言必要的硬件自测试要求。随着安全标准演进，可能发布新的要求，并且可能无法装配传统组件来满足新安全标准的某些新要求。
4.满足现代功能安全标准的要求的工作一般涉及要么将传统组件(例如，硬件、固件、和/或软件)进行重新设计成用于独立地满足功能安全标准，要么根据这些标准应用鉴定方法来产生功能安全交付品，诸如安全分析、文档证据、验证和确认报告。这些策略中的每种策略都可能是成本高昂的，并且由此是不合期望的或不切实际的。而且，此类硬件自测试通常通过多个传统组件来实现，这有时会排除用以满足当前功能安全标准的追溯性调整。
附图说明
5.在附图中，贯穿不同的视图，相同的附图标记一般指代相同部分。这些附图不一定是按比例的，而是一般着重于说明本发明的原理。在以下描述中，参照以下附图描述本发明的各实施例，在附图中：图1描绘了根据本公开的各个方面的示例性自主交通工具；图2描绘了根据本公开的各个方面的交通工具的安全性系统的各种示例性电子组件；图3描绘了包括编排器ip和安全监视器的组件图；图4描绘了相对于自测试编排、由编排器ip执行的各个步骤；图5参照编排器ip和安全监视器描绘了详细的自测试流程；图6描绘了根据本公开的一方面的自测试验证设备；图7描绘了根据本公开的一方面的编排器ip；以及图8描绘了自测试验证的方法。
具体实施方式
6.下列具体实施方式引用附图，这些附图通过说明的方式示出示例性细节以及本公开可在其中实施的各方面。
7.在本技术中使用词“示例性”来意指“充当示例、实例或说明”。在本技术中被描述为“示例性”的任何实施例或设计不一定被解释为相对于其他实施例或设计是优选的或有优势的。
8.贯穿附图，应注意，除非另有说明，否则相同的附图标记用于描绘相同或相似的要素、特征和结构。
9.短语“至少一个”和“一个或多个”可被理解为包括大于或等于一的数量(例如，一个、二个、三个、四个、[...]等)。关于一组要素的短语“至少一个”在本文中可用于意指来自由要素组成的组的至少一个要素。例如，关于一组要素的短语
“……
中的至少一个”在本文中可用于意指以下各项中的选择：所列要素中的一个、多个的所列要素中的一个要素、多个个体所列要素、或多个的数个个体所列要素。
[0010]
说明书和权利要求书中的词语“复数”和“多个(multiple)”明确地指代大于一的量。因此，任何明确地援引上述词语来指代某个数量的对象的短语(例如，多个“多(plural)[要素],”、“多个(multiple)[要素]”)明确地指代多于一个的所述要素。例如，短语“多个(a plurality)”可被理解为包括大于或等于二的数量(例如，二个、三个、四个、五个、[...]等)。
[0011]
说明书和权利要求书中的短语“(
……
的)组”、“(
……
的)集”、“(
……
的)集合”、“(
……
的)系列”、“(
……
的)序列”、“(
……
的)分组”等(如果存在)指代等于或大于一的量，即一个或多个。术语“适当的子集”、“减小的子集”、和“较小的子集”指代集合的不等于该集合的子集，说明性地，指代集合的包含比该集合少的元素的子集。
[0012]
如本文中所使用的术语“数据”可被理解为包括采用任何合适的模拟或数字形式的信息，例如，作为文件、文件的部分、文件集合、信号或流、信号或流的部分、信号或流的集合等等来提供的信息。进一步地，术语“数据”还可用于意指对信息的例如以指针的形式的引用。然而，术语“数据”不限于上述示例，并且可采取各种形式并表示如本领域中理解的任何信息。
[0013]
例如，如本文中所使用的术语“处理器”或“控制器”可被理解为允许处置数据的任何种类的技术实体。可根据由处理器或控制器执行的一个或多个特定功能来处置数据。进一步地，如本文中所使用的处理器或控制器可被理解为任何种类的电路，例如任何种类的模拟或数字电路。处理器或控制器因此可以是或可包括模拟电路、数字电路、混合信号电路、逻辑电路、处理器、微处理器、中央处理单元(cpu)、图形处理单元(gpu)、数字信号处理器(dsp)、现场可编程门阵列(fpga)、集成电路、专用集成电路(asic)等，或其任何组合。下文将进一步详细描述的相应功能的任何其他种类的实现方式也可被理解为处理器、控制器或逻辑电路。应理解，本文中详述的处理器、控制器或逻辑电路中的任何两个(或更多个)可被实现为具有等效功能或类似功能的单个实体，并且相反地，本文中详述的任何单个处理器、控制器或逻辑电路可被实现为具有等效功能或类似功能的两个(或更多个)分开的实体。
[0014]
如本文中所使用，“存储器”被理解为数据或信息可以被存储在其中以供检取的计算机可读介质(例如，非暂态计算机可读介质)。对本文中所包括的“存储器”的引用可因此被理解为是指易失性或非易失性存储器，包括随机存取存储器(ram)、只读存储器(rom)、闪存、固态存储、磁带、硬盘驱动器、光驱、3d xpoint
tm
等等、或其任何组合。在本文中，寄存器、
移位寄存器、处理器寄存器、数据缓冲器等等也可由术语存储器包含。术语“软件”是指任何类型的可执行指令，包括固件。
[0015]
除非明确地指定，否则术语“发射”涵盖直接(点对点)和间接(经由一个或多个中间点)的发射两者。类似地，术语“接收”涵盖直接和间接的接收两者。此外，术语“发射”、“接收”、“传递”或其他类似术语涵盖物理传输(例如，对无线电信号的传输)和逻辑传输(例如，通过逻辑软件级连接对数字数据的传输)两者。例如，处理器或控制器可通过软件级连接以无线电信号的形式与另一处理器或传感器对数据进行发射或接收，其中，物理发射和接收由诸如rf收发机和天线之类的无线电层组件处置，并且通过软件级连接的逻辑发射和接收由处理器或控制器执行。术语“传递”涵盖传送和接收中的一者或两者，即，在传入方向和传出方向中的一个或这两个方向上的单向或双向传输。术语“计算”涵盖经由数学表达式/公式/关系进行的
‘
直接’计算和经由查找表或散列表以及其他数组索引或搜索操作进行的
‘
间接’计算两者。
[0016]
可以将“交通工具”理解为包括任何类型的被驱动对象。作为示例，交通工具可以是具有内燃机、反作用式引擎、电驱动对象、混合驱动对象或其组合的被驱动对象。交通工具可以是或者可以包括汽车、公共汽车、小型公共汽车、货车、卡车、房车、车辆拖车、摩托车、自行车、三轮车、火车机车、火车车厢、移动机器人、个人运输机、船只、船、潜水器、潜艇、无人机、飞机、火箭等。
[0017]
术语“自主交通工具”可描述能够在不具有驾驶员输入的情况下实现至少一个导航改变的交通工具。导航改变可描述或包括交通工具的转向、制动、或加速/减速中的一种或多种改变。即使在交通工具不是完全自动(例如，在有驾驶员输入或无驾驶员输入的情况下完全操作)的情况下，也可以将交通工具描述为自主的。自主交通工具可以包括可以在某些时间段内在驾驶员控制下操作并且在其他时间段内无需驾驶员控制而操作的那些交通工具。自主交通工具还可包括仅控制交通工具导航的一些方面的交通工具，交通工具导航的一些方面诸如转向(例如，在交通工具车道约束之间维持交通工具路线)或在某些情形下(但并非在所有情形下)进行一些转向操作，但可能将交通工具导航的其他方面留给驾驶员(例如，在某些情形下进行制动或刹车)。自主交通工具还可以包括在某些情形下共同控制交通工具导航的一个或多个方面的交通工具(例如，动手操作(诸如响应驾驶员的输入))和在某些情形下控制交通工具导航的一个或多个方面的交通工具(例如，放手操作(诸如独立于驾驶员的输入))。自主交通工具还可以包括在某些特定情形下(诸如，在某些环境条件下(例如，空间区域、道路条件))控制交通工具导航的一个或多个方面的交通工具。在一些方面，自主交通工具可以处理交通工具的制动、速率控制、速度控制和/或转向的一些或所有方面。自主交通工具可以包括可以在没有驾驶员的情况下操作的那些交通工具。交通工具的自主性等级可以由交通工具的汽车工程师协会(sae)等级(例如，由sae例如在sae j3016 2018中定义：道路机动交通工具的驾驶自动化系统相关术语的分类和定义)或由其他相关专业组织进行描述或确定。sae等级可以具有范围从最小等级(例如，0级(说明性地，基本上没有驾驶自动化))到最大等级(例如，5级(说明性地，完全驾驶自动化))的值。
[0018]
安全完整性等级可指由安全功能提供的风险等级或风险降低等级。可将安全完整性等级确定为风险分析的部分，其中，计算与给定的危险相关联的风险并将其与实现风险降低策略时该危险的风险进行比较。可根据一种或多种标准来选择安全完整性等级。
[0019]
图1示出根据本公开的各个方面的示例性交通工具，即交通工具100。在一些方面，交通工具100可以包括一个或多个处理器102、一个或多个图像采集设备104、一个或多个位置传感器106、一个或多个速度传感器108、一个或多个雷达传感器110、和/或一个或多个lidar传感器112。
[0020]
在一些方面，交通工具100可包括(如下文参考图2所描述的)安全性系统200。应领会，交通工具100和安全性系统200本质上是示例性的，并且因此可出于解释的目的而被简化。要素的位置和关系距离(如上文所讨论的，这些图并未按比例绘制)是作为示例而提供，并不限于此。取决于特定实现方式的要求，安全性系统200可以包括各种组件。
[0021]
图2示出根据本公开的各个方面的交通工具的各种示例性电子组件，即安全性系统200。在一些方面，安全性系统200可包括一个或多个处理器102、一个或多个图像采集设备104(例如，一个或多个相机)、一个或多个位置传感器106(例如，用于全球导航卫星系统(gnss)、用于全球定位系统(gps)等)、一个或多个速度传感器108、一个或多个雷达传感器110、和/或一个或多个lidar传感器112。根据至少一个方面，安全性系统200可进一步包括一个或多个存储器202、一个或多个地图数据库204、一个或多个用户接口206(例如，显示器、触摸屏、话筒、扬声器、一个或多个按钮和/或开关等)、和/或一个或多个无线收发器208、210、212。在一些方面，无线收发器208、210、212可根据相同的、不同的无线电通信协议或标准或其任何组合来配置。
[0022]
在一些方面，一个或多个处理器102可以包括应用处理器214、图像处理器216、通信处理器218和/或任何其他合适的处理设备。取决于特定应用的要求，(多个)图像采集设备104可包括任何数量的图像采集设备和组件。图像采集设备104可包括一个或多个图像捕捉设备(例如，相机、ccd(电荷耦合器件)、或任何其他类型的图像传感器)。
[0023]
在至少一个方面，安全性系统200还可包括将一个或多个处理器102通信地连接至一个或多个图像采集设备104的数据接口。例如，第一数据接口可包括任何有线和/或无线的一个或多个第一链路220，该一个或多个第一链路220被配置成用于将由一个或多个图像采集设备104获取的图像数据传送至一个或多个处理器102(例如，传送到图像处理器216)。
[0024]
在一些方面，无线收发器208、210、212可经由例如第二数据接口耦合至一个或多个处理器102(例如，耦合至通信处理器218)。第二数据接口可包括任何有线和/或无线的一个或多个第二链路222，该一个或多个第二链路222被配置成用于将由无线收发器208、210、212获取的无线电传送的数据传送至一个或多个处理器102(例如，传送至通信处理器218)。
[0025]
在一些方面，存储器202以及一个或多个用户接口206可例如经由第三数据接口耦合至一个或多个处理器102中的每个处理器。第三数据接口可以包括任何有线和/或无线的一个或多个第三链路224。此外，位置传感器106可例如经由第三数据接口耦合至一个或多个处理器102中的每个处理器。
[0026]
一个或多个处理器102中的每个处理器214、216、218可包括各种类型的基于硬件的处理设备。作为示例，每个处理器214、216、218可包括微处理器、预处理器(诸如图像预处理器)、图形处理器、中央处理单元(cpu)、支持电路、数字信号处理器、集成电路、存储器，或适合用于运行应用以及用于图像处理和分析的任何其他类型的设备。在一些方面，每个处理器214、216、218可包括任何类型的单核或多核处理器、移动设备微控制器、中央处理单元等。这些处理器类型可各自包括具有本地存储器和指令集的多个处理单元。此类处理器可
包括用于从多个图像传感器接收图像数据的视频输入，并且还可包括视频输出能力。
[0027]
本文中所公开的处理器214、216、218中的任一者可被配置成用于根据可被存储在一个或多个存储器202中的存储器中的程序指令来执行某些功能。换言之，一个或多个存储器202中的存储器可存储在由处理器(例如，由一个或多个处理器102)执行时控制系统(例如，安全性系统)的操作的软件。例如，一个或多个存储器202中的存储器可存储一个或多个数据库和图像处理软件、以及经训练的系统(诸如，神经网络、或深度神经网络)。一个或多个存储器202可包括任何数量的随机存取存储器、只读存储器、闪存、盘驱动器、光存储、磁带存储、可移动存储、以及其他类型的存储。
[0028]
在一些方面，安全性系统200可进一步包括诸如用于测量交通工具100的速度的速度传感器108(例如，速度计)之类的组件。安全性系统还可包括用于沿一个或多个轴线测量交通工具100的加速度的一个或多个(单轴或多轴)加速度计(未示出)。安全性系统200可进一步包括附加传感器或不同的传感器类型，诸如超声波传感器、热传感器、一个或多个雷达传感器110、一个或多个lidar传感器112(其可集成在交通工具100的前照灯中)等等。雷达传感器110和/或lidar传感器112可以被配置成用于提供经预处理的传感器数据，诸如雷达目标列表或lidar目标列表。第三数据接口可以将速度传感器108、一个或多个雷达传感器110、以及一个或多个lidar传感器112耦合至一个或多个处理器102中的至少一个处理器。
[0029]
一个或多个存储器202可将数据存储在例如数据库中或以任何不同格式存储数据，这些数据例如指示已知地标的位置。一个或多个处理器102可以处理交通工具100的环境的传感信息(诸如图像、雷达信号、来自对两个或更多个图像的lidar或立体处理的深度信息)以及位置信息(诸如gps坐标、交通工具的自我运动等)，以确定交通工具100相对于已知地标的当前位置，并细化对交通工具的位置的确定。此种技术的某些方面可以被包括在定位技术(诸如建图和路线选择模型)中。
[0030]
地图数据库204可包括存储用于交通工具100(例如，用于安全性系统200)的(数字)地图数据的任何合适类型的数据库。地图数据库204可包括与各种项目(包括道路、水景、地理特征、商业、感兴趣的地点、餐馆、加油站等)在参考坐标系中的位置相关的数据。地图数据库204不仅可存储此类项目的位置，而且可存储与这些项目相关的描述符，包括例如与存储的特征中的任何特征相关联的名称。在此类方面中，一个或多个处理器102中的处理器可通过到通信网络的有线或无线数据连接(例如，通过蜂窝网络和/或因特网等)从地图数据库204下载信息。在一些情况下，地图数据库204可存储稀疏数据模型，包括某些道路特征(例如，车道标记)或交通工具100的目标轨迹的多项式表示。地图数据库204还可包括各种识别出的地标的所存储的表示，这些所存储的表示可被提供以确定或更新交通工具100相对于目标轨迹的已知位置。地标表示可包括诸如地标类型、地标位置、以及其他潜在标识符之类的数据字段。
[0031]
如上文所描述，交通工具100可包括安全性系统200，还参考图2来描述该安全性系统200。
[0032]
交通工具100可包括例如与交通工具100的引擎控制单元(ecu)集成或分离的一个或多个处理器102。
[0033]
一般而言，安全性系统200可生成数据来控制或辅助控制ecu和/或交通工具100的其他组件，以直接地或间接地控制对交通工具100的驾驶。
[0034]
虽然下列各方面将与安全性驾驶模型相关联地描述，但在替代实现方式中可提供任何其他驾驶模型。
[0035]
交通工具100的一个或多个处理器102可实现下列各方面和方法。
[0036]
可能期望一个或多个交通工具组件论证与一个或多个功能安全要求的符合性。广义的说，功能安全可指被设计成用于提供某一等级的自动保护以响应于其输入而正确地操作的组件的能力。功能安全系统可实行多个指定的安全功能中的每一个，并且执行每个指定的安全功能达所要求的性能等级。一般地，这可包括：对相关危险和安全功能的审查；对安全功能所要求的风险降低的评定，这可包括获得安全完整性等级；确保安全功能根据其设计和意图来执行；验证系统满足分派的安全完整性等级；和/或进行功能安全审计。
[0037]
可根据与一种或多种标准的符合性来对功能安全进行标准化和认证。例如，国际电工委员会(iec)已经颁布了iec 61508(“电气/电子/可编程电子安全相关系统的功能安全(e/e/pe或e/e/pes)”)，即iec 61508：2010年2.0版本，其定义了跨各种技术学科的某些功能安全标准。而且，在汽车行业中，国际标准化组织(iso)已经颁布了安全标准，这些安全标准已经被编入iso 26262-1:2018(“道路交通工具
–
功能安全”)。根据本公开的一方面，获得期望等级的功能安全性可与满足iec 61508:2010年2.0版本和/或iec61508iso 26262-1:2018的一个或多个要求对应。虽然有这些标准，但可实现本文中所公开的原理、设备和/或方法以从任何源获得功能安全等级。获得的功能安全等级可基于与任何标准(不论是已公布的还是未公布的)的符合性。所述标准可源自iec 61508：2010年2.0版本、iso 26262-1：2018或其他标准；然而，本公开中的任何内容都不应当被理解为将本文中所公开的原理、设备和/或方法限制为符合iec 61508：2010年2.0版本和/或iso 26262-1：2018。
[0038]
许多交通工具组件被设计成满足所颁布的标准的功能安全要求。然而，随着新标准被发布，在日期上早于所述标准的颁布的交通工具组件(例如，传统组件)可能无法满足新标准的要求。此外，因为功能安全标准并非明确地限于公布的那些标准，而是可包括实现功能安全的任何期望的标准，因此要实现的给定的功能安全标准可以不对应于给定的交通工具组件的能力。换言之，现有的交通工具组件在不具有进一步辅助的情况下可能无法满足给定的功能安全标准的要求。
[0039]
随着新的功能安全标准被开发/发布/颁布，并且随着现有或传统组件被确定为无法满足新的功能安全标准的要求，一般应当采取附加步骤来满足该功能安全标准。用于满足功能安全标准的一种策略是开发新的组件。此类对新的组件的开发可能是成本高昂且耗时的，由此显著地增加了交通工具成本和上市时间。常规地，可根据标准应用鉴定方法来产生功能安全交付品，诸如安全分析、文档证据、验证和确认报告；然而，这些过程是繁琐的并且通常导致大量的附加花费。
[0040]
鉴于这些缺点，可能期望开发一种用于重新使用传统组件来满足一个或多个功能安全要求的过程。虽然本文中所描述的原理和方法一般可应用于许多不同的功能安全方面和组件类型，但是由于功能安全对应于芯片上的测试系统，因此将特别注意功能安全。尽管如此，本文中所公开的原理和方法可以广泛地应用于各种情况，并且不应被理解为限于芯片上系统。
[0041]
一般将芯片上系统(soc)理解为对计算机或电子系统的多个组件进行集成的集成电路。soc可至少包括一个或多个处理器(即，一个或多个中央处理单元)、一个或多个存储
器设备、一个或多个输入/输出端口、和/或一个或多个次级存储设备。交通工具可包括一个或多个soc。一个或多个功能安全标准可要求soc的一个或多个自测试。此类一个或多个自测试可能必须满足一个或多个要求(例如，定时、准确性等)，以满足功能安全标准。
[0042]
现在将注意力转向使用传统组件来执行符合功能安全标准的自测试(例如，在soc上)。根据本公开的一方面，符合功能安全标准的安全监视器可准许利用传统组件来执行符合功能安全的自测试。安全监视器可被配置有一个或多个其他组件的一个或多个自测试的预期结果。一个或多个设备可执行必要安全测试，并且该一个或多个设备可将这些安全测试的结果发送至安全监视器。一种或多种端对端通信协议可对与安全监视器的此种通信进行加密。因为安全监视器知晓预期的自测试结果，因此安全监视器可将接收到的测试结果与预期的自测试结果进行比较，并且至少基于该比较来确定一个或多个自测试的通过结果或失败结果。
[0043]
用于监视和评估测试结果的此类安全监视器的实现方式相比于修改现有(例如传统)设备是成本更低的。此外，相比于根据标准应用鉴定方法来产生诸如安全分析、文档证据、验证和确认报告之类的功能安全交付品，安全监视器可能是成本更低的。而且，重新使用传统组件来执行自测试可避免对所述组件进行重新设计的需要，并且由此减少上市时间。
[0044]
根据本公开的一方面，传统组件可通过利用以下各项来满足功能安全要求：(1)内部早期引导ip(被称为编排器ip)，其可被配置成用于编排在不具有安全完整性等级要求的情况下开发的硬件自测试；以及(2)独立安全监视器ip，其可被配置成具有与编排器ip的双向通信能力。安全监视器可被配置成用于执行自测试中的下列角色中的任一项或其任何组合：(a)通过使用gpio pin来触发自测试流程；(b)设置看门狗定时器、以通过消息到达e2e接口期间的超时来监视整个自测试流程；(c)存储要执行的测试列表的预期结果；(d)将预期结果与通过e2e接口接收到的结果进行比较；和/或(e)存储接收到的结果和/或接收到的结果与预期结果的比较。安全监视器可独立于自测试的执行中所涉及的任何软件、固件、或硬件。
[0045]
根据本公开的一个方面，编排器ip和安全监视器可经由至少一个输入/输出接口连接，以准许双向通信。编排器ip和安全监视器可借助一种或多种端对端协议来进行通信。所述一种或多种端对端协议可例如包括根据一种或多种功能安全标准或用以满足一种或多种功能安全标准而开发的协议。
[0046]
许多功能安全协议(包括但不限于iec 61508:2010年2.0版本和/或iec 61508iso 26262-1:2018)要求自测试，以针对隐藏的和/或潜在的故障进行测试。对于给定的功能安全标准，此类自测试可以是强制性的。根据本公开的一个方面，可根据安全完整性等级来开发和验证此类自测试。下列描述就多个子流程来讨论整个自测试流程；然而，得到的(多个)测试能以使得它们满足相关的安全完整性等级和/或相关的功能安全标准的方式来设计和/或实行。
[0047]
首先注意到编排器ip。在本公开中，可将ip广泛地理解为半导体核或集成电路，而不对其格式、设计、或制造商进行限制。根据本公开的一个方面，编排器ip可以是负责以下操作的早期引导ip：加载来自外部存储器的经签名的网络分流器(tap)脚本；允许与经签名的tap脚本对应的测试；和/或将测试结果发送至安全监视器。编排器ip可将自测试作为黑
盒来进行操作，并且可以使用一种或多种端对端消息结构和/或通信协议将测试结果发送至安全监视器。编排器ip可进行被选择用于满足一种或多种功能安全标准的一系列硬件自测试。这可准许传统tap基础设施运行调试命令，并在功能安全上下文内保持可用于编排器ip固件。
[0048]
编排器ip可将测试结果报告给安全监视器。安全监视器可被配置为独立的符合功能安全的软件/固件/或硬件ip，其实现自测试模式和/或监视整个自测试执行。安全监视器可至少通过设置看门狗定时器并将接收自编排器ip的结果与一个或多个预期结果进行比较来执行对整个自测试执行的所述监视。
[0049]
根据本公开的另一方面，编排器ip和/或安全监视器可利用一种或多种黑信道通信协议(例如，包括但不限于可符合iec 61508:2010年2.0版本和/或iec 61508iso 26262-1:2018的协议)来保护自测试结果的完整性和/或由编排器ip发送至安全监视器的任何通信。
[0050]
图3示出包括如本文所公开的编排器ip 302和安全监视器314的组件图。编排器ip可与调试基础设施306一起位于芯片上系统304内。编排器ip可被配置成用于在一个或多个ip(描绘为308、310和312)上执行一个或多个符合功能安全的自测试。编排器ip可双向地连接至外部安全监视器。编排器ip可通过经由使用tap脚本来采用传统调试基础设施，来编排一个或多个与安全相关的ip自测试。也就是说，一个或多个与安全性相关的tap脚本可被开发并被安全地存储，以使得它们指示编排器ip根据一种或多种功能安全标准来执行一个或多个自测试。编排器ip、安全监视器、tap脚本、和/或得到的所执行的自测试可根据如一种或多种功能安全标准所定义的期望安全完整性等级来开发和/或验证。
[0051]
图4描绘了相对于自测试编排、可由编排器ip执行的各个步骤。如在先前的附图中，编排器ip 402可双向地连接至安全监视器418，所述双向连接由420、422来描绘。
[0052]
安全监视器可触发编排器ip初启(bring-up)404，该初启包括以下各项中的任一项：对soc的一个或多个部件进行上电；编写低级测试代码以运用存储器和外围接口；确保引导加载器能够与一个或多个引导设备通信；验证引导过程的正确操作；编写允许初始引导映像被写入到空白引导设备的驱动程序；和/或确保用于应用级代码的一个或多个调试机制正确地操作。
[0053]
编排器ip可读取一个或多个测试脚本416，该一个或多个测试脚本416可被配置为来自非易失性存储器的一个或多个可执行文件。编排器ip可被配置成用于针对真实性和完整性对一个或多个经签名的可执行脚本进行检查，即步骤408。假定该一个或多个经签名的可执行脚本被认为充分真实且满足完整性测试，则编排器ip可被配置成用于编排(例如，触发或指令一个或多个其他组件来执行)一个或多个自测试，即步骤410。编排器ip可被配置成用于接收所述一个或多个自测试的结果，即步骤412。编排器ip可被配置成用于诸如通过通信路径422将一个或多个自测试的结果发送至安全监视器，即步骤414。tap脚本416可作为黑盒可执行脚本来执行。要注意，并且为了维持一个或多个自测试的完整性，编排器ip可能并未被配置有tap脚本的任何知识。由此，编排器ip无法操纵收集到的结果来获得假肯定结果。
[0054]
图5参照编排器ip 502和安全监视器504描绘了详细的自测试流程。安全监视器504可通过设置输入/输出引脚(例如，通用输入/输出引脚(gpio))来启用自测试模式506
(functional safety_en_self_test(功能安全_启用_自_测试))。安全监视器504可触发平台重置508并设置看门狗定时器510，以监视整个流程执行。如果结果并未在预定义的时间(例如，与看门狗定时器的持续时间对应的时间)内被提供，则安全监视器可将整个流程视为失败。
[0055]
响应于重置触发508，编排器ip可执行平台重置512。在平台重置512之后，编排器ip固件502可判定系统是否处于自测试模式，即步骤514。如果自测试模式未被启用，则编排器ip可进行常规引导，即步骤516。如果自测试模式被启用，则编排器ip可从外部存储器(例如，闪存或其他非易失性存储器520)加载tap脚本，即步骤518。tap脚本可以是经签名的tap脚本，其可消除与恶意脚本相关的一个或多个安全问题和/或保护脚本免受数据损坏。在加载tap脚本之后，编排器ip可验证/检查tap签名，即步骤522。如果签名并未通过验证测试，则编排器ip可将该未通过结果传送至安全监视器504，并且安全监视器可声明自测试失败，即步骤526。假定签名通过验证测试，则编排器ip可执行脚本。也就是说，编排器ip可取得调试基础设施所有权，即步骤528，并且可执行tap脚本。tap脚本的执行可涉及编排一个或多个自测试并累积该一个或多个自测试的结果。如本文中所描绘，编排器ip可被配置成用于编排第一自测试，即步骤530，并且用于接收该第一自测试的一个或多个结果，即步骤532。编排器ip可编排附加自测试，即步骤534，直到完成期望数量的自测试(本文中描绘为n个自测试)并且编排器ip已经接收到这n个自测试的结果，即步骤536。编排器ip可通过e2e接口将自测试结果发送至安全监视器，即步骤538。
[0056]
根据本公开的一个方面，可将e2e消息至少分成头部区域和有效载荷。头部可包括命令id、发送方id、接收方id、消息循环冗余校验、和/或一个或多个标志。有效载荷可包括启用测试的掩码和/或各个测试结果。对于到达e2e接口处的每一个消息，安全监视器可通过验证消息crc以及预定义的字段来检查消息是否被损坏，即步骤542。如果经由消息完整性检查该消息被认为是可靠的，即步骤544，则可检查启用测试的掩码，以确保所有期望的测试均已被执行。安全监视器可将每个接收到的测试结果与期望的测试结果(被称为“黄金结果”)进行比较，即步骤548。虽然测试结果能以任何配置被发送，但是根据本公开的一个方面，这些测试结果可包括可变尺寸的位序列。如果所有测试均已运行并且所有的测试结果均与黄金结果匹配，则安全监视器可返回通过结果；否则，安全监视器可返回失败结果。
[0057]
从方法论的观点，本文中所公开的原理和方法可使用下列考量来实现：
[0058]
(1)可将安全要求分配给编排器ip固件。
[0059]
(2)可标识编排器ip中负责自测试的编排的固件部分。
[0060]
(3)可执行传统编排器ip固件与编排器固件之间的无干扰(ffi)分析，以证明传统固件不会干扰根据本公开执行的自测试。这可通过本文中所公开的架构来保证，因为与自测试相关的固件可在传统编排器固件之前开始运行。
[0061]
(4)由于根据定义、安全监视器是相较于自测试中所涉及的软件/固件/硬件组件的剩余部分而独立的软件/固件/硬件ip，因此编排器ip固件与安全监视器之间的ffi分析可能不是必需的。
[0062]
(5)可在编排器ip固件上执行软件故障模式影响分析(fmea)。在此上下文中，可收集高于相关风险优先数(rpn)阈值的所有故障模式(rpn阈值取决于系统目标汽车安全完整性等级(asil)/安全完整性等级(sil))。
[0063]
(6)安全监视器可具有安全要求和/或预期测试结果的知识，安全要求和/或预期测试结果的知识中的任一者可直接被存储在安全监视器上，以使得安全监视器可以接收来自编排器ip的自测试结果，将接收自编排器ip的结果与预期结果进行比较，并且基于接收到的结果与预期结果的比较来作出自测试的通过/失败决策。
[0064]
(7)可根据由安全监视器执行的任何缓解措施来更新软件fmea分析。
[0065]
图6示出根据本公开的一方面的自测试验证设备602。该自测试验证设备602可包括一个或多个第一处理器604，该一个或多个第一处理器604被配置成用于：生成用于一个或多个第二处理器执行一个或多个设备自测试的指令；针对该一个或多个设备自测试的接收到的结果，判定该结果是否满足预定接收时间标准，该预定接收时间标准描述在结果应当已经被接收到之前的可接受时间；确定接收到的结果与目标结果之间的差；以及如果预定义的接收时间标准被满足并且如果接收到的结果与目标结果之间的差在预定范围内，则生成表示通过的自测试的信号。
[0066]
图7描绘了根据本公开的一方面的编排器ip 702。编排器ip可包括一个或多个第一处理器704，该一个或多个第一处理器704被配置成用于在预定义的接收时间标准未被满足的情况下生成表示失败的自测试的信号。
[0067]
图8描绘了一种自测试验证的方法，包括：生成用于一个或多个第二处理器执行一个或多个设备自测试的指令，即步骤802；针对该一个或多个设备自测试的接收到的结果，判定该结果是否满足预定义的接收时间标准，该预定义的接收时间标准描述在结果应当已经被接收之前的可接受时间，即步骤804；确定接收到的结果与目标结果之间的差，即步骤806；以及如果预定义的接收时间标准被满足并且如果接收到的结果与目标结果之间的差在预定范围内，则生成表示通过的自测试的信号，即步骤808。
[0068]
自测试验证设备的一个或多个处理器可被配置成用于将接收到的测试结果(即，接收自编排器ip的测试结果)与目标测试结果(黄金结果或参考通过结果)进行比较。自测试验证设备的一个或多个处理器可进一步被配置成用于确定接收到的结果与目标测试结果之间的差。一个或多个处理器可被配置成用于判定该差是否在预定范围内，并且如果该差在预定范围内，则用于将自测试视为通过的自测试，并且如果该差在预定范围之外，则用于将自测试视为失败的自测试。
[0069]
预定范围可以是任何范围而没有限制。预定范围可按照与目标结果的偏差的百分比、与目标结果的偏差的位数或以其他方式来表达。替代地，并且尽管是词语“范围”，但可以将预定范围表达为标识与目标结果的绝对一致性的单个点。换句话说，预定范围可被配置成使得与目标结果相同的自测试结果将被认为已通过、并且与目标结果不同的任何自测试结果将被视为已失败。
[0070]
在自测试被视为已失败的情形下，安全监视器的一个或多个处理器可被配置用于生成表示失败的自测试的信号。安全监视器可将所生成的信号发送至任何设备，或者可将表示失败的自测试的数据存储在存储器中。
[0071]
安全监视器可进一步被配置成用于在其接收到失败的数据验证的通知的情况下、生成自测试失败消息。如上文所描述，编排器ip可被配置成用于从非易失性存储器读取用于根据至少一种功能安全标准来执行自测试的一条或多条自测试指令。编排器ip可被配置成用于确定自测试指令的真实性/准确性。编排器ip可使用任何常规的标准来执行对真实
性/准确性的此种确定，对此没有限制。根据本发明的一个方面，编排器ip可使用一个或多个crc来执行对真实性/准确性的此种确定。以此种方式，oip可具有对预期crc结果的访问权。在从非易失性存储器读取自测试指令之后，编排器ip可被配置成用于对所检取的自测试指令执行crc测试。假定所确定的crc与预期crc匹配，则如由oip读取的所存储的自测试指令可被认为是被验证的。注意，这仅仅是其中可发生验证过程的一种方式，并且可采用其他验证过程而没有限制。
[0072]
根据本公开的另一方面，安全监视器可包括预定义的接收时间标准，该预定义的接收时间标准可被理解为完成与接收到的结果对应的测试的最大准许持续时间。也就是说，对于任何给定的自测试，可要求在预定时间内完成该自测试。安全监视器可具有对该预定时间的访问权，并且安全监视器可被配置成用于确保任何自测试均在对应于预定时间的持续时间内被执行。这可能是相关的，至少是因为一种或多种功能安全标准可要求一个或多个自测试在特定的持续时间内被执行。通过确保安全监视器具有对与一种或多种功能安全标准对应的所要求的持续时间的访问权，安全监视器可确保对应的自测试在拨出的时间内完成。在一些配置中，编排器ip可将测试结果以及自测试所要求的时间的指示递送至安全监视器。然而，可能期望或者甚至要求安全监视器执行对测试持续时间的独立验证。这可以通过安全监视器具有定时器来实现，该定时器被配置成用于计算指令编排器ip开始自测试与接收自测试结果之间的持续时间。如果自测试的持续时间(无论是直接测量的还是基于对自测试的命令与对自测试结果的接收之间的差)长于最大准许持续时间，则安全监视器可认为自测试结果是失败。在此种情形下，甚至当自测试的结果与预期测试结果匹配时，自测试结果也可被认为是失败。
[0073]
编排器ip可经由输入/输出接口连接至安全监视器。在一些配置中，输入/输出接口可被理解为编排器ip和/或安全监视器的组件。本文中已将输入/输出接口描述为gpio接口；然而，输入/输出接口可以是能够在编排器ip与安全监视器之间建立双向通信的任何类型的输入/输出接口。输入/输出接口可以是通用的、专用的、专有的、或以其他方式的。此外，编排器ip可使用任何接口将一个或多个消息发送至安全监视器(例如，测试结果、验证确定等)，对此没有限制。根据本公开的一个方面，编排器ip可经由内部集成电路(i2c)连接将一个或多个消息发送至安全监视器，但可使用各种常规连接，并且这不应当被理解为限制。编排器ip和安全监视器可被配置成用于通过输入/输出接口进行端对端加密通信。
[0074]
根据本公开的一方面，安全监视器可包括一个或多个存储介质，可在该一个或多个存储介质上存储目标结果、预定义的接收时间标准、和/或预定范围中的任何一者或多者。一个或多个存储介质可与安全监视器一起被容纳在芯片(例如，芯片上系统)上，或能以使得安全监视器可访问该一个或多个存储介质上所存储的数据的方式与安全监视器分开地被容纳。
[0075]
编排器ip可被配置成用于对存储数据执行一个或多个认证功能。例如，编排器ip可被配置成用于从外部非易失性存储器读取自测试脚本并确定所存储的自测试脚本的真实性。如上文所述，编排器ip可使用任何常规方法来执行此种验证，对此没有限制。如果编排器ip确定所存储的自测试脚本的真实性不满足预定的真实性要求(例如，基于预定的要求，所存储的自测试脚本并非足够真实的)，编排器ip可被配置成用于生成表示认证失败的消息。预定的真实性要求可被配置为任何要求，对此没有限制。根据本公开的一个方面，预
定的真实性要求可以是crc与对应于自测试脚本的预期crc的同一性。根据本公开的一方面，并且在自测试脚本的认证失败的情况下，编排器ip可被配置成用于向安全监视器发送表示失败的认证的一个或多个消息。
[0076]
编排器ip可被配置有存储器，编排器ip可将读出的自测试指令和/或自测试结果存储在该存储器上。该存储器可被配置为包括编排器ip的芯片上系统的部分，或者按所期望的任何其他配置。
[0077]
根据本公开的另一方面，编排器ip和安全监视器可被配置为自测试验证系统。所述自测试验证系统可包括：一个或多个第一处理器，该一个或多个第一处理器被配置成用于：生成用于一个或多个第二处理器执行一个或多个设备自测试的指令；针对该一个或多个设备自测试的接收到的结果，判定该结果是否满足预定义的接收时间标准，该预定义的接收时间标准描述在结果应当已经被接收之前的可接受时间；确定接收到的结果与目标结果之间的差；以及如果预定义的接收时间标准被满足并且如果接收到的结果与目标结果之间的差在预定范围内，则生成表示通过的自测试的信号；以及一个或多个第二处理器，该一个或多个第二处理器被配置成用于：从一个或多个第一处理器接收执行一个或多个设备自测试的指令；作为已经接收到执行一个或多个设备自测试的指令的结果，确定所存储的自测试指令的真实性；以及如果所确定的真实性满足预定的真实性要求，则根据验证的自测试指令发起一个或多个自测试；以及生成并向一个或多个第一处理器发送包括一个或多个自测试的结果的消息。
[0078]
编排器ip和安全监视器可各自包括一个或多个处理器，该一个或多个处理器被配置成用于执行本文中所描述的步骤。该一个或多个处理器中的每个处理器可基于一条或多条计算机可读指令来执行所述步骤，该一条或多条计算机可读指令可被存储在一个或多个非瞬态计算机可读介质上。
[0079]
在下列实例中，将对本公开的各个方面进行说明：
[0080]
在示例1中，一种自测试验证设备包括：一个或多个第一处理器，该一个或多个第一处理器被配置成用于：生成用于一个或多个第二处理器执行一个或多个设备自测试的指令；针对该一个或多个设备自测试的接收到的结果，判定该结果是否满足预定接收时间标准，该预定接收时间标准描述在结果应当已经被接收之前的可接受时间；确定接收到的结果与目标结果之间的差；以及如果预定义的接收时间标准被满足并且如果接收到的结果与目标结果之间的差在预定范围内，则生成表示通过的自测试的信号。
[0081]
在示例2中，如示例1所述的自测试验证设备，其中，一个或多个第一处理器进一步被配置成用于：如果预定义的接收时间标准未被满足，则生成表示失败的自测试的信号。
[0082]
在示例3中，如示例1或2所述的自测试验证设备，其中，一个或多个第一处理器进一步被配置成用于：如果接收到的结果与所述目标结果之间的差在预定范围之外，则生成表示失败的自测试的信号。
[0083]
在示例4中，如示例1至3中任一项所述的自测试验证设备，其中，一个或多个第一处理器进一步被配置成用于：如果来自一个或多个第二处理器的接收到的数据验证消息表示失败的数据验证，则生成表示失败的自测试的信号。
[0084]
在示例5中，如示例1至4中任一项所述的自测试验证设备，其中，预定义的接收时间标准是完成与接收到的结果对应的测试的最大准许持续时间。
[0085]
在示例6中，如示例1至5中任一项所述的自测试验证设备，其中，预定范围要求接收到的结果与目标结果的同一性。
[0086]
在示例7中，如示例1至6中任一项所述的自测试验证设备，其中，预定范围定义接收到的结果与目标结果之间的容许的偏差的程度。
[0087]
在示例8中，如示例1至7中任一项所述的自测试验证设备，其中，一个或多个第一处理器进一步被配置成用于验证接收到的消息数据。
[0088]
在示例9中，如示例8所述的自测试验证设备，其中，一个或多个第一处理器进一步被配置成用于通过执行循环冗余校验来验证接收到的消息数据。
[0089]
在示例10中，如示例1至9中任一项所述的自测试验证设备，进一步包括输入/输出接口；其中，一个或多个第一处理器经由该输入/输出接口连接至一个或多个第二处理器。
[0090]
在示例11中，如示例10所述的自测试验证设备，其中，一个或多个第一处理器被配置成用于经由输入/输出接口将指令发送至一个或多个第二处理器。
[0091]
在示例12中，如示例10或11所述的自测试验证设备，其中，一个或多个第一处理器被配置成用于经由输入/输出接口接收来自一个或多个第二处理器的结果。
[0092]
在示例13中，如示例10至12中任一项所述的自测试验证设备，其中，接收来自一个或多个第二处理器的结果包括：使用端对端加密方法经由输入/输出接口来进行接收。
[0093]
在示例14中，如示例1至13中任一项所述的自测试验证设备，进一步包括存储器，在该存储器上存储目标结果、预定义的接收时间标准、以及预定范围中的任何一者或多者。
[0094]
在示例15中，如示例1至14中任一项所述的自测试验证设备，其中，预定义的接收时间标准是功能安全标准所准许的最大测试持续时间。
[0095]
在示例16中，一种自测试设备，包括一个或多个第二处理器，该一个或多个第二处理器被配置成用于：确定所存储的自测试指令的真实性；以及如果所确定的真实性满足预定的真实性要求，则根据验证的自测试指令来发起一个或多个自测试；以及生成包括该一个或多个自测试的结果的消息。
[0096]
在示例17中，如示例16所述的自测试设备，其中，一个或多个第二处理器进一步被配置成用于：如果所确定的真实性不满足预定的真实性要求，则生成表示认证失败的消息。
[0097]
在示例18中，如示例16或17所述的自测试设备，其中，一个或多个第二处理器进一步被配置成用于向一个或多个第一处理器发送包括一个或多个自测试的结果的消息或表示认证失败的消息。
[0098]
在示例19中，如示例16至18中任一项所述的自测试设备，进一步包括输入/输出接口；其中，一个或多个第二处理器经由该输入/输出接口连接至一个或多个第一处理器。
[0099]
在示例20中，如示例19所述的自测试设备，其中，一个或多个第一处理器被配置成用于经由输入/输出接口将包括一个或多个自测试的结果的消息发送至一个或多个第二处理器。
[0100]
在示例21中，如示例19或20所述的自测试设备，其中，一个或多个第二处理器被配置成用于经由输入/输出接口接收用于该一个或多个第二处理器执行一个或多个设备自测试的指令，并且其中，一个或多个第二处理器进一步被配置成用于：只有该一个或多个第二处理器已经接收到用于该一个或多个第二处理器的指令，才发起一个或多个自测试。
[0101]
在示例22中，如示例20至21中任一项所述的自测试设备，其中，发送包括一个或多
个自测试的结果的消息包括：使用端对端加密方法经由输入/输出接口来发送该消息。
[0102]
在示例23中，如示例16至22中任一项所述的自测试设备，其中，一个或多个第二处理器被配置成用于：将表示所存储的自测试指令的真实性的消息发送至一个或多个第一处理器。
[0103]
在示例24中，如示例16至23中任一项所述的自测试设备，其中，一个或多个第二处理器被配置成用于：使用端对端加密方法经由输入/输出接口将包括一个或多个自测试的结果的消息发送至一个或多个第一处理器。
[0104]
在示例25中，如示例16至24中任一项所述的自测试设备，进一步包括存储器，该存储器被配置成用于存储自测试指令，其中，一个或多个第二处理器被配置成用于从该存储器读取自测试指令。
[0105]
在示例26中，一种自测试验证系统包括：一个或多个第一处理器，该一个或多个第一处理器被配置成用于：生成用于一个或多个第二处理器执行一个或多个设备自测试的指令；针对该一个或多个设备自测试的接收到的结果，判定该结果是否满足预定义的接收时间标准，该预定义的接收时间标准描述在结果应当已经被接收之前的可接受时间；确定接收到的结果与目标结果之间的差；以及如果预定义的接收时间标准被满足并且如果接收到的结果与目标结果之间的差在预定范围内，则生成表示通过的自测试的信号；以及一个或多个第二处理器，该一个或多个第二处理器被配置成用于：从一个或多个第一处理器接收用于执行一个或多个设备自测试的所述指令；作为已经接收到用于执行一个或多个设备自测试的指令的结果，确定所存储的自测试指令的真实性；以及如果所确定的真实性满足预定的真实性要求，则根据验证的自测试指令来发起一个或多个自测试；以及生成并向一个或多个第一处理器发送包括一个或多个自测试的结果的消息。
[0106]
在示例27中，如示例26所述的自测试验证系统，其中，一个或多个第一处理器进一步被配置成用于：如果预定义的接收时间标准未被满足，则生成表示失败的自测试的信号。
[0107]
在示例28中，如示例26或27所述的自测试验证系统，其中，一个或多个第一处理器进一步被配置成用于：如果接收到的结果与所述目标结果之间的差在预定范围之外，则生成并发送表示失败的自测试的信号。
[0108]
在示例29中，如示例26至28中任一项所述的自测试验证系统，其中，预定范围要求接收到的结果与目标结果的同一性。
[0109]
在示例30中，如示例26至29中任一项所述的自测试验证系统，其中，预定范围准许接收到的结果与目标结果之间的预定偏差。
[0110]
在示例31中，如示例26至30中任一项所述的自测试验证系统，其中，接收时间标准是完成与接收到的结果对应的测试的最大准许持续时间。
[0111]
在示例32中，如示例26至31中任一项所述的自测试验证系统，其中，一个或多个第一处理器进一步被配置成用于：如果来自一个或多个第二处理器的接收到的数据验证消息表示失败的数据验证，则生成表示失败的自测试的信号。
[0112]
在示例33中，如示例26至32中任一项所述的自测试验证系统，其中，一个或多个第一处理器进一步被配置成用于验证接收到的消息数据。
[0113]
在示例34中，如示例33所述的自测试验证系统，其中，一个或多个第一处理器进一步被配置成用于通过执行循环冗余校验来验证接收到的消息数据。
[0114]
在示例35中，如示例26至34中任一项所述的自测试验证系统，进一步包括输入/输出接口；其中，一个或多个第一处理器经由该输入/输出接口连接至一个或多个第二处理器。
[0115]
在示例36中，如示例35所述的自测试验证系统，其中，一个或多个第一处理器被配置成用于经由输入/输出接口将指令发送至一个或多个第二处理器。
[0116]
在示例37中，如示例35或36所述的自测试验证系统，其中，一个或多个第一处理器被配置成用于经由输入/输出接口接收来自一个或多个第二处理器的结果。
[0117]
在示例38中，如示例35至37中任一项所述的自测试验证系统，其中，接收来自一个或多个第二处理器的结果包括：使用端对端加密方法经由输入/输出接口来进行接收。
[0118]
在示例39中，如示例26至38中任一项所述的自测试验证系统，进一步包括存储器，在该存储器上存储目标结果、预定义的接收时间标准、以及预定范围中的任何一者或多者。
[0119]
在示例40中，如示例26至39中任一项所述的自测试验证系统，其中，预定义的接收时间标准是功能安全标准所准许的最大测试持续时间。
[0120]
在示例41中，一种自测试验证的方法包括：生成用于一个或多个第二处理器执行一个或多个设备自测试的指令；针对该一个或多个设备自测试的接收到的结果，判定该结果是否满足预定义的接收时间标准，该预定义的接收时间标准描述在结果应当已经被接收之前的可接受时间；确定接收到的结果与目标结果之间的差；以及如果预定义的接收时间标准被满足并且如果接收到的结果与目标结果之间的差在预定范围内，则生成表示通过的自测试的信号。
[0121]
在示例42中，如示例41所述的自测试验证的方法，其中，一个或多个第一处理器进一步被配置成用于：如果预定义的接收时间标准未被满足，则生成表示失败的自测试的信号。
[0122]
在示例43中，如示例41或42所述的自测试验证的方法，进一步包括：如果接收到的结果与目标结果之间的距离在预定范围之外，则生成表示失败的自测试的信号。
[0123]
在示例44中，如示例41至43中任一项所述的自测试验证的方法，其中，预定范围要求接收到的结果与目标结果的同一性。
[0124]
在示例45中，如示例41至44中任一项所述的自测试验证的方法，其中，预定范围准许接收到的结果与目标结果之间的预定偏差。
[0125]
在示例46中，如示例41至45中任一项所述的自测试验证的方法，其中，预定义的接收时间标准是完成与接收到的结果对应的测试的最大准许持续时间。
[0126]
在示例47中，如示例41至46中任一项所述的自测试验证的方法，进一步包括：如果来自一个或多个第二处理器的接收到的数据验证消息表示失败的数据验证，则生成表示失败的自测试的信号。
[0127]
在示例48中，如示例41至47中任一项所述的自测试验证的方法，进一步包括：验证接收到的消息数据。
[0128]
在示例49中，如示例48所述的自测试验证的方法，进一步包括：通过执行循环冗余校验来验证接收到的消息数据。
[0129]
在示例50中，如示例41至49中任一项所述的自测试验证的方法，进一步包括：经由输入/输出接口将指令从一个或多个第一处理器发送至一个或多个第二处理器。
[0130]
在示例51中，如示例41至50中任一项所述的自测试验证的方法，进一步包括：一个或多个第一处理器经由输入/输出接口接收来自一个或多个第二处理器的结果。
[0131]
在示例52中，如示例41至51中任一项所述的自测试验证的方法，其中，接收来自一个或多个第二处理器的结果包括：使用端对端加密方法经由输入/输出接口来接收该结果。
[0132]
在示例53中，如示例41至52中任一项所述的自测试验证的方法，其中，目标结果、预定义的接收时间标准、以及预定范围中的任何一者或多者被存储在存储器上。
[0133]
在示例54中，如示例41至53中任一项所述的自测试验证的方法，其中，预定义的接收时间标准是功能安全标准所准许的最大测试持续时间。
[0134]
在示例55中，一种或多种非瞬态计算机可读介质，包括指令，这些指令在由一个或多个处理器执行时，使得该一个或多个处理器执行如方法示例41至54中任一项的步骤。
[0135]
在示例56中，如示例1至15中任一项所述的自测试验证设备，其中，该自测试验证设备的自测试能力符合一种或多种功能安全标准。
[0136]
在示例57中，如示例26至40中任一项所述的自测试验证系统，其中，该自测试验证系统的自测试能力符合一种或多种功能安全标准。
[0137]
尽管以上描述和相关描述、附图可将电子设备组件描绘为单独的元件，但技术人员将会领会将分立的元件组合或集成为单个元件的各种可能性。此类可能性可包括：组合两个或更多个电路以用于形成单个电路，将两个或更多个电路安装到共同的芯片或基座上以形成集成元件，在共同的处理器核上执行分立的软件组件，等等。相反，技术人员将意识到可将单个元件分成两个或更多个分立的元件，诸如，将单个电路分解为两个或更多个单独的电路，将芯片或基座分成最初设置在其上的分立的元件，将软件组件分成两个或更多个部分并在单独的处理器核上执行每个部分，等等。
[0138]
应当领会，本文中详述的方法的实现方式在本质上是说明性的，并且因此被理解为能够在相应的设备中实现。同样，应当领会，本文中详述的设备的实现方式被理解为能够被实现为相应的方法。因此，应当理解，与本文详述的方法对应的设备可以包括被配置成执行相关方法的每个方面的一个或多个组件。
[0139]
以上描述中定义的所有首字母缩写词附加地包含在本文包括的所有权利要求中。