CN103294022A - 用于控制工业工艺的的多芯片模块和方法 - Google Patents
用于控制工业工艺的的多芯片模块和方法 Download PDFInfo
- Publication number
- CN103294022A CN103294022A CN2013100663081A CN201310066308A CN103294022A CN 103294022 A CN103294022 A CN 103294022A CN 2013100663081 A CN2013100663081 A CN 2013100663081A CN 201310066308 A CN201310066308 A CN 201310066308A CN 103294022 A CN103294022 A CN 103294022A
- Authority
- CN
- China
- Prior art keywords
- processor
- signal
- fault
- control
- industrial technology
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0721—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment within a central processing unit [CPU]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0796—Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24191—Redundant processors are different in structure
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24195—Compare data in channels at timed intervals, for equality
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24211—Override normal program, execute urgency program so machine operates safe
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Control Of Electric Motors In General (AREA)
Abstract
本申请案涉及用于控制工业工艺的多芯片模块和方法。一种多芯片模块包含第一裸片,所述第一裸片具有用以产生信号以控制工业工艺的控制处理器和输入/输出接口。所述多芯片模块还包含第二裸片,所述第二裸片具有监督处理器和输入/输出接口。所述控制处理器和所述监督处理器中的一者的处理器故障由所述控制处理器和所述监督处理器中的另一者检测,且检测所述故障的所述处理器经配置以经由其输入/输出接口断言信号以致使所述工业工艺响应于所述故障转变到安全状态。另外,所述第一和第二裸片使用不同工艺技术产生。
Description
技术领域
本发明涉及用于控制工业工艺的多芯片模块和方法。
背景技术
工业工艺由与安全和风险减轻有关的国际标准控制。举例来说,IEC 61508致力于例如用于控制工业工艺的微控制器或其它计算机等电学、电子和可编程电子装置的功能安全。IEC 61508基于特定装置的概率分析定义安全完整性等级(SIL)。为实现给定的SIL,装置必须满足最大“危险故障”概率和最小“安全故障分数”的目标。“危险故障”的概念是以应用特定为基础来定义,但基于针对其在工业系统或应用的开发期间的完整性而证实的要求约束。“安全故障分数”决定系统的自动防故障程度且将安全故障的可能性与危险故障的可能性进行比较。最终,电子装置依据特定SIL的认证要求电子装置提供特定故障恢复水平以及使工业工艺能够在故障后转变到安全状态。
当前电子装置经由处理器的输入/输出(I/O)接口控制工业工艺的各方面(例如,马达、比如DC/DC转换系统或能量转换系统(例如,太阳能或风力)等功率转换装置)。举例来说,微控制器的处理器经由其I/O接口从马达接收位置、速度和/或扭矩的指示。处理器接着使用所述信息来产生(例如)脉宽调制(PWM)信号以控制将功率提供到马达的开关,并将此信号经由I/O接口发射到所述开关。因此,马达以特定应用所需的方式操作。
然而,处理器(且特定来说其I/O接口)可在操作期间经历故障。举例来说,处理器可暴露于超出容限的电压或电流,辐射可引起晶体管中不可接受的泄漏电流从而致使逻辑元件翻转,或I/O接口本身可由于其与相对于处理器经历的电压或偏压的较大外部电压或偏压的交互而发生故障。如果处理器或I/O接口发生故障,那么没有办法确保正控制的工业工艺(马达,在以上实例中)可转变到安全状态。换句话说,不能保证自动防故障操作,这对于某些SIL认证是不可接受的。
某些控制器利用多个冗余处理器来控制工业工艺,每一处理器具有其自身的I/O接口。此增加在至少一个处理器发生故障(例如,归因于超出容限的电压或电流)的事件中另一处理器保持起作用的可能性。因此,具有其自身的I/O接口的功能处理器可致使工业工艺转变到安全状态。然而,具有多个处理器的控制器要求板(例如,插口和互连)上的额外组件,这成本较高且增加板设计的复杂性。此外,例如外部辐射等故障原因可类似地且同时影响所有处理器,这将防止将工业工艺转变到安全状态。
发明内容
本发明提供一种多芯片模块(图1,100),其包括:
第一裸片(104),其包括:
控制处理器(104),其产生信号以控制工业工艺(108);以及
输入/输出接口;
第二裸片(102),其包括:
监督处理器(102);以及
输入/输出接口;且
其中所述控制处理器和所述监督处理器的一者的处理器故障由所述控制处理器和所述监督处理器的另一者检测,且检测所述故障的所述处理器经配置以经由其输入/输出接口断言信号以致使工业工艺响应于所述故障转变到安全状态;且
其中所述第一和第二裸片使用不同工艺技术(102、104)产生。
本发明还提供一种用于控制工业工艺的方法(图3,300),其包括:
产生信号以控制所述工业工艺(302);
通过多芯片模块的第一裸片上的处理器检测所述多芯片模块的第二裸片上的处理器的故障(304);以及
通过检测所述故障的所述处理器断言信号以致使所述工业工艺响应于检测所述故障而转变到安全状态(306);
其中所述第一和第二裸片使用不同工艺技术产生。
附图说明
为详细描述本发明的示范性实施例,现将参看附图,附图中:
图1展示根据各个实施例用以控制工业工艺的多芯片模块;
图2展示根据各个实施例用以控制工业工艺的另一多芯片模块;以及
图3展示根据各个实施例的方法流程图。
具体实施方式
符号和命名
贯穿以下描述和所附权利要求书中使用特定术语来指代特定系统组件。如所属领域的技术人员将了解,各公司可用不同名称来指代一组件。本文献不希望区分名称不同但功能相同的组件。在以下论述和所附权利要求书中,术语“包含”和“包括”以开放式方式使用,且因此应解释为表示“包含但不限于…”。并且,术语“耦合”希望表示间接或直接电连接。因此,如果第一装置耦合到第二装置,那么所述连接可经由直接电连接,或经由通过其它装置和连接的间接电连接。
如本文中所使用,术语“工业工艺”指代用以辅助项目的制造、生产或合成的程序的任何部分。
如本文中所使用,术语“控制器”指代用于控制一个或一个以上工业工艺的电子装置。
如本文中所使用,术语“多芯片模块”或“MCM“指代其中多个集成电路、半导体裸片或其它离散组件封装到统一的衬底上的电子封装。
如本文中所使用,术语“工艺技术“指代用于产生半导体(通常识别为几纳米(nm))的制作或制造方法。作为一实例,180nm、130nm、90nm、65nm、45nm、32nm和22nm表示大约过去十年间开发的各种工艺技术。
如本文中所使用,术语“断言“指代将信号设定为其有效状态。如果信号为有效-低,那么断言信号意味着将其设定为低。如果信号为有效-高,那么断言信号意味着将其设定为高。
详细描述
以下论述针对本发明的各个实施例。尽管这些实施例中的一者或一者以上可能是优选的,但所揭示的实施例不应被解释(或以其它方式使用)为限制本发明的范围(包含权利要求书)。另外,所属领域的技术人员将理解,以下描述具有广泛应用,且对任何实施例的论述仅意图为例示所述实施例,而不希望暗示本发明(包含权利要求书)的范围限于所述实施例。
根据各个实施例,多芯片模块(MCM)包含使用不同工艺技术制造的至少两个裸片。每一裸片包括具有I/O接口的至少一个处理器,其两者均独立于另一裸片上的处理器和I/O接口且与其分离。处理器可经由也包含在MCM内的高速互连彼此通信。所述处理器能够检测其它处理器的故障以及MCM外部的故障。举例来说,在MCM用于控制例如马达的操作等工业工艺的情况下,处理器可检测与马达有关的故障,例如过电流情形、提示总体系统故障的外部触发器、操作者误差、设备危险警告等。
每一处理器经由其独立的I/O接口可产生控制开关(例如,经由中间逻辑电路)以致使马达转变到安全状态的信号。如本文所使用,术语“安全状态”指代被认为对于避免对财产、人身等的损害是理想的应用特定状态。举例来说,有可能针对在工业工艺中操作的马达的安全状态是何时切断马达从而避免马达的不受控操作。作为另一实例,在工业工艺中操作的阀可在需要启用流(例如,释放来自容器的压力)的情况下在安全状态中开启,或可在需要限制流(例如,维持容器中的体积)的情况下在安全状态中关闭。在一些情况下,工业系统的安全状态可部分由IEC 61800规范(与可调速电功率驱动系统有关)、ISO 13849规范(与控制系统的机器和安全相关零件的安全有关)、IEC 61508规范或其它类似规范定义。
如上文阐释,每一处理器能够监视工业工艺以及控制其操作,至少在能够产生致使工业工艺转变到安全状态的信号的范围内。此外,每一处理器驻留在使用与其它处理器不同的工艺技术制造的裸片上。使用一种工艺技术制造的处理器不是那么易受引起使用不同工艺技术制造的另一处理器的故障的因素(例如,外部辐射或电应力)的影响。因此,可导致所有处理器在其它多处理器控制器中发生故障的外部因素在所揭示的实施例中不太可能导致此故障,因为其不一定具有将促成共同原因故障的类似特性(例如,工艺技术)。此外,根据各个实施例,MCM不要求板上的额外组件,因为其是单一封装装置。这些和将在下文中进一步详细阐释的其它特征实现针对工业工艺的具成本效益的控制器,其能够依据可接受SIL额定值(例如,SIL 2、SIL 3或更高)认证,因为其能够经历广范围的故障且仍致使工业工艺转变到安全状态。
现转向图1,根据各个实施例展示MCM 100。MCM 100包括监督处理器102和控制处理器104,其借助高速互连105耦合。控制处理器104和监督处理器102可包括除图1所示以外的额外组件。举例来说,可包含额外连接端口,例如通用异步接收器/发射器(UART)、通用串行总线(USB)和以太网以及各种计时器、随机存取存储器(RAM)、非易失性存储器(例如,只读存储器(ROM)、快闪存储器)等。MCM 100具备来自控制器的另一组件(未图示)的时钟信号、复位信号和电源。所属领域的技术人员了解,额外外部信号可供应到MCM 100以实现功能性,且额外组件(例如,模/数(A/D)转换器)可用于处理此类信号;这些为简洁起见而省略。另外,虽然MCM 100是控制器的一部分,但例如逻辑110、开关106和电源112等某些组件可驻留在控制器上,尽管此并非所要求的。出于这个原因,为简洁起见未展示控制器的边界。
在图1中,监督处理器102使用180nm工艺技术制造在裸片上,且控制处理器104使用65nm工艺技术制造在另一裸片上。如上文所阐释,使用不同工艺技术制造处理器致使每一处理器不太易受可引起其它处理器上的故障的例如外部宇宙辐射暴露等事件的影响。另外,针对一个处理器使用不同工艺技术提供对所述处理器的电应力的较好恢复能力,其中所述电应力可引起其它处理器上的故障。
控制处理器104控制工业工艺(例如,马达108)的操作。所属领域的技术人员了解,通常,处理器本身不能供应马达108操作所需的高电流和电压。因此,如图1所示,控制处理器104控制将来自电源112的功率供应到马达108的开关106。电源112经配置以至少提供马达108的操作所必需的电流和电压,且开关106能够处置此类功率电平。在一些实施例中,开关106可包括绝缘栅极双极晶体管(IGBT)、金属氧化物半导体场效应晶体管(MOSFET)或其它适宜的开关装置。
控制处理器104例如经由脉宽调制(PWM)控制信号(展示为“PWM_ctrl”)控制开关106的操作。在一些实施例中,在控制处理器104上执行的软件产生PWM控制信号以基于经由控制处理器104的I/O接口从马达108接收的位置反馈控制马达108的速度/扭矩。在一些情况下,来自马达108的位置反馈可为数字信号,或可为模拟信号,所述模拟信号由A/D转换器(未图示)数字化且接着传递到控制处理器104。在正常操作期间,监督处理器102无需控制工业工艺。然而,在一些实施例中,每一处理器102、104提供对工业工艺的冗余控制。
如上文阐释,在一些情况下,处理器102、104中的一者或其相关联I/O接口可经历故障。这些故障可由硅和/或晶体缺陷引起,所述硅和/或晶体缺陷由于外部辐射、电荷载流子的迁移或累积、泄漏电流或夹断电压(pinch-off voltage)的降级、静电放电,或由热散逸(thermal runaway)引起的电气过应力、反向偏压、封锁等而加重。SIL认证的某些等级(例如,SIL 3)要求在此故障的情况下,工业工艺转变到安全状态。即,可安全容忍至少一个硬件错误。如上文阐释,某些处理器故障可取决于处理器的工艺技术,且因此,使用利用相同工艺技术制造的冗余处理器可致使在所有处理器上发生共同故障,这对于企图满足特定SIL标准的装置来说是不可接受的。然而,因为监督处理器102和控制处理器104是使用不同工艺技术制造的,所以极不可能两个处理器可同时发生故障。另外,如下文将进一步详细阐释,每一处理器102、104能够监视马达108以及控制其操作,至少在能够产生致使马达108转变到安全状态的信号这一点上。
在一些实施例中,处理器102、104经由高速互连105彼此监视以发现故障。在其它实施例中,发生故障的处理器可向其它处理器断言FAULT(错误)信号以指示其故障。另外,处理器102、104可经由FAULT信号的断言接收外部故障(例如,与马达108、开关106或电源112相关联的故障)的指示。每一处理器102、104近似同时接收经断言的FAULT信号。
响应于经断言的FAULT信号,每一胜任的处理器102、104(即,未发生故障的处理器)可向逻辑块110断言安全扭矩关(STO)或安全停止(SS)信号。某些STO信号可在接收到经断言的FAULT信号后即刻断言(即,在FAULT信号传播经过任何中间逻辑电路所花费的时间内),而其它STO信号可基于例如IEC 61800或类似标准中定义的额外安全考虑而以延迟因子“智能地”断言。在一些情况下,在处理器102、104上执行的软件考虑安全考虑因素以确定何时断言“智能”STO信号。出于图1的目的,STO_1和STO_3立即断言且STO_2智能地断言。此外,控制处理器104产生的PWM控制信号可充当智能信号,因为PWM控制信号控制开关106且最终控制马达108。
逻辑110向开关106断言Shutoff(关断)信号,其致使开关106断开,或以其它方式停止从电源112向马达108提供功率。如上文所阐释,每一处理器102、104可立即或“智能地”断言STO信号。
某些工业工艺例如归因于需要耗散电荷储存元件等而不能立即安全地关闭。在这些情况下,来自每一处理器102、104的立即断言的STO信号不应控制来自逻辑110的信号向开关106的断言,且逻辑110可包括多输入与(AND)门,使得最新断言的STO信号控制马达108的关闭。智能STO信号可由软件驱动,所述软件考虑各种安全考虑因素和值(例如,监督处理器102从开关106接收的Current(电流)信号,或控制处理器104从马达108接收的Position(位置)信号)以确定故障发生之后的适当延迟。在监督处理器102发生故障的情况下,智能STO信号实际上为由控制处理器104驱动的PWM控制信号,因为逻辑110将不从发生故障的监督处理器102接收经断言的STO_2或STO_3信号。
然而,在其它工业工艺中,可能有利的是尽可能早地关闭。在这些情况下,来自每一处理器102、104的立即断言的STO信号应控制来自逻辑110的信号向开关106的断言,且逻辑110可包括多输入或(OR)门,使得第一个断言的STO信号控制马达108的关闭。此处,哪一处理器102、104发生故障并不重要,因为逻辑110将接收立即断言的STO_1信号或STO_3信号(且传递到开关106),从而致使开关106断开。所属领域的技术人员了解,依据工业系统的命名,STO信号或者可为安全停止(“SS”)信号或其它信号。
根据各个实施例,处理器102、104每一者包括以不同工艺技术制造的独立I/O接口和缓冲器,这减小两个处理器102、104(及其相关联I/O接口)将归因于通常会影响具有相同工艺技术的所有装置的事件而同时发生故障的可能性。这使每一处理器102、104能够监视和控制工业工艺,而不管其它处理器是否已发生故障。因此,尽管存在处理器故障,MCM 100经配置以致使马达108或其它工业工艺转变到安全状态,从而使控制器能够依据较高SIL等级认证。另外,因为MCM 100不需要控制器的板上的额外组件,所以MCM 100是用于实现较高SIL等级的具成本效益的解决方案。
现转向图2,展示根据各个实施例的MCM 200的替代实施例。开关206、逻辑210、电源212和马达208类似于上文参看图1展示和描述的每一元件的对等部分而起作用。MCM 200包含监督处理器202和控制处理器203,其两者均包含相关联I/O接口(未图示)且使用65nm工艺技术制造。类似于上文,控制处理器203和监督处理器202可包括除图2所示以外的额外组件。举例来说,可包含额外连接端口,例如通用异步接收器/发射器(UART)、通用串行总线(USB)和以太网以及各种计时器、随机存取存储器(RAM)、非易失性存储器(例如,只读存储器(ROM)、快闪存储器)等。MCM 200还包括模拟核心监督处理器204,其也包含相关联模拟I/O接口(未图示)且使用180nm工艺技术制造。模拟核心监督处理器204执行例如A/D和D/A转换、时钟管理、模拟比较和电压调节等各种模拟功能。处理器202、203、204借助高速互连205耦合。
类似于上文,在一些实施例中,处理器202、203、204经由高速互连205彼此监视以发现故障。在其它实施例中,发生故障的处理器可向其它处理器断言FAULT信号以指示其故障。另外,处理器202、203、204可经由FAULT信号的断言接收外部故障(例如,与马达208、开关206或电源212相关联的故障)的指示。每一处理器202、203、204近似同时接收经断言的FAULT信号。
响应于经断言的FAULT信号,具有相同工艺技术的每一处理器或处理器的组合可向逻辑块210断言STO信号。某些STO信号可在接收到经断言的FAULT信号后即刻断言(即,在FAULT信号传播经过任何中间逻辑电路所花费的时间内),而其它STO信号可基于额外安全考虑而以延迟因子“智能地”断言。在一些情况下,在处理器202、203、204上执行的软件考虑安全考虑因素以确定何时断言“智能”STO信号。出于图2的目的,STO_1和STO_3立即断言且STO_2智能地断言。此外,控制处理器203产生的PWM控制信号可充当智能信号,因为PWM控制信号控制开关206且最终控制马达208。
逻辑210向开关206断言Shutoff信号,其致使开关206断开,或以其它方式停止从电源212向马达208提供功率。如上文所阐释,具有相同工艺技术的每一处理器或处理器的组合可立即或“智能地”断言STO信号,或可断言用以智能地控制马达208的信号,与PWM控制信号的情况一样。
与图1形成对比,图1中每一处理器102、104断言即刻STO信号或智能信号以控制马达108,在图2中可能65nm监督处理器202经配置以断言即刻STO信号而65nm控制处理器203经配置以断言信号以控制马达208。如上文所阐释,处理器故障通常基于其工艺技术由于影响处理器的事件而引起。因此,因为65nm技术处理器(即,202、203)和180nm技术处理器(即,204)两者可断言即刻STO信号或智能信号(例如,在处理器上执行的软件所确定)以控制马达208,所以提供与图1中类似的保护。
如上所述,且根据各个实施例,处理器202、203、204每一者包括以不同工艺技术制造的独立I/O接口和缓冲器,这减小处理器202、203、204(及其相关联I/O接口)将归因于通常会影响具有相同工艺技术的所有装置的事件而同时发生故障的可能性。这使监督处理器和控制处理器202、203能够监视和控制工业工艺,而不管模拟核心监督处理器204是否已发生故障。同样,模拟核心监督处理器204可监视和控制工业工艺,而不管监督处理器和控制处理器202、203是否已发生故障。因此,尽管存在处理器故障,MCM 200经配置以致使马达208或其它工业工艺转变到安全状态,从而使控制器能够依据较高SIL等级认证。另外,因为MCM 200不需要控制器的板上的额外组件,所以MCM 200是用于实现较高SIL等级的具成本效益的解决方案。
图3展示根据各个实施例的方法300。方法300在框302中以产生信号以控制工业工艺而开始。此信号可为(例如)图1和2所示的PWM控制信号,其由控制处理器104、203产生以操作开关106、206,开关106、206控制来自电源112、212的功率向马达108、208的流动。方法300在框304中以检测另一处理器的故障而继续。如上文所阐释,第一裸片(正以第一工艺技术制造)上的处理器检测第二裸片(正以与第一工艺技术不同的工艺技术制造)上的处理器的故障。在图1中,此可为监督处理器102检测控制处理器104的故障,或反之亦然。在图2中,此可为模拟核心监督处理器204检测控制处理器203和监督处理器202的任一者(或两者)的故障,或控制处理器和监督处理器202、203的一者(或两者)检测模拟核心监督处理器204的故障。方法300在框306中以断言信号以致使工业工艺响应于检测故障转变到安全状态而继续,且方法结束。
以上论述意图说明本发明的原理和各个实施例。所属领域的技术人员一旦充分了解以上揭示内容后将了解许多变型和修改。举例来说,尽管主要描述为采用65nm和180nm工艺技术,但MCM的处理器可使用任何两种不同工艺技术制造。另外,MCM可采用除所展示和描述的处理器以外的多个额外处理器。希望将所附权利要求书解释为涵盖所有此类变型和修改。
Claims (10)
1.一种多芯片模块(图1,100),其包括:
第一裸片(104),其包括:
控制处理器(104),其产生信号以控制工业工艺(108);以及
输入/输出接口;
第二裸片(102),其包括:
监督处理器(102);以及
输入/输出接口;且
其中所述控制处理器和所述监督处理器中的一者的处理器故障由所述控制处理器和所述监督处理器中的另一者检测,且检测所述故障的所述处理器经配置以经由其输入/输出接口断言信号以致使工业工艺响应于所述故障转变到安全状态;且
其中所述第一和第二裸片使用不同工艺技术(102、104)产生。
2.根据权利要求1所述的多芯片模块,其中所述用以致使所述工业工艺转变到安全状态的信号响应于故障的所述检测而立即断言。
3.根据权利要求1所述的多芯片模块,其中所述用以致使所述工业工艺转变到安全状态的信号在相对于故障的所述检测的一延迟之后断言。
4.根据权利要求3所述的多芯片模块,其中所述监督处理器检测所述控制处理器的故障,且在所述监督处理器上执行的软件确定所述延迟的适当值。
5.根据权利要求1所述的多芯片模块,其中所述用以控制所述工业工艺的信号是脉宽调制信号。
6.根据权利要求5所述的多芯片模块,其中所述控制处理器检测所述监督处理器的故障且更改所述脉宽调制信号以致使所述工业工艺转变到安全状态。
7.一种用于控制工业工艺的方法(图3,300),其包括:
产生信号以控制所述工业工艺(302);
通过多芯片模块的第一裸片上的处理器检测所述多芯片模块的第二裸片上的处理器的故障(304);以及
通过检测到所述故障的所述处理器断言信号以致使所述工业工艺响应于检测所述故障而转变到安全状态(306);
其中所述第一和第二裸片使用不同工艺技术产生。
8.根据权利要求7所述的方法,其进一步包括响应于故障的所述检测而立即断言所述用以致使所述工业工艺转变到安全状态的信号。
9.根据权利要求7所述的方法,其进一步包括在相对于故障的所述检测的一延迟之后断言所述用以致使所述工业工艺转变到安全状态的信号。
10.根据权利要求7所述的方法,其中所述用以控制所述工业工艺的信号是脉宽调制信号。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/409,755 US8538558B1 (en) | 2012-03-01 | 2012-03-01 | Systems and methods for control with a multi-chip module with multiple dies |
| US13/409,755 | 2012-03-01 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103294022A true CN103294022A (zh) | 2013-09-11 |
| CN103294022B CN103294022B (zh) | 2017-10-20 |
Family
ID=49043283
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310066308.1A Active CN103294022B (zh) | 2012-03-01 | 2013-03-01 | 用于控制工业工艺的多芯片模块和方法 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US8538558B1 (zh) |
| CN (1) | CN103294022B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105974827A (zh) * | 2015-03-11 | 2016-09-28 | 洛克威尔自动控制技术股份有限公司 | 具有采用看门狗定时电路的集成电路元件的工业控制系统 |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8732106B1 (en) * | 2010-09-30 | 2014-05-20 | Applied Engineering Solutions, Inc. | Computer instructions to build, analyze and manage a real world model in software of a safety instrumented system architecture for safety instrumented systems in a facility |
| US8954369B1 (en) | 2010-09-30 | 2015-02-10 | Applied Engineering Solutions, Inc. | Method to build, analyze and manage a safety instrumented model in software of a safety instrumented system architecture for safety instrumented systems in a facility |
| US8732105B1 (en) * | 2010-09-30 | 2014-05-20 | Applied Engineering Solutions, Inc. | Method to build, analyze and manage a real world model in software of a safety instrumented system architecture for safety instrumented systems in a facility |
| US8611437B2 (en) | 2012-01-26 | 2013-12-17 | Nvidia Corporation | Ground referenced single-ended signaling |
| US9338036B2 (en) | 2012-01-30 | 2016-05-10 | Nvidia Corporation | Data-driven charge-pump transmitter for differential signaling |
| US9171607B2 (en) * | 2013-03-15 | 2015-10-27 | Nvidia Corporation | Ground-referenced single-ended system-on-package |
| US9147447B2 (en) | 2013-03-15 | 2015-09-29 | Nvidia Corporation | Ground-referenced single-ended memory interconnect |
| US9153539B2 (en) | 2013-03-15 | 2015-10-06 | Nvidia Corporation | Ground-referenced single-ended signaling connected graphics processing unit multi-chip module |
| US9153314B2 (en) | 2013-03-15 | 2015-10-06 | Nvidia Corporation | Ground-referenced single-ended memory interconnect |
| US9170980B2 (en) | 2013-03-15 | 2015-10-27 | Nvidia Corporation | Ground-referenced single-ended signaling connected graphics processing unit multi-chip module |
| US9076551B2 (en) | 2013-03-15 | 2015-07-07 | Nvidia Corporation | Multi-phase ground-referenced single-ended signaling |
| DE102015101023A1 (de) | 2015-01-23 | 2016-07-28 | Pilz Gmbh & Co. Kg | Elektronisches Sicherheitsschaltgerät |
| DE102015003194A1 (de) * | 2015-03-12 | 2016-09-15 | Infineon Technologies Ag | Verfahren und Vorrichtung zum Handhaben von sicherheitskritischen Fehlern |
| US9780680B2 (en) * | 2015-10-02 | 2017-10-03 | Texas Instruments Incorporated | Frequency controlled power converter characterization apparatus and methods |
| US11029660B2 (en) * | 2017-05-15 | 2021-06-08 | Rockwell Automation Asia Pacific Business Center, Pte. Ltd. | Safety input system for monitoring a sensor in an industrial automation system |
| CN107577328A (zh) * | 2017-09-21 | 2018-01-12 | 珠海泰芯半导体有限公司 | 一种适用于svg控制芯片的电源管理装置及电源管理方法 |
| US11841776B2 (en) * | 2019-06-12 | 2023-12-12 | Intel Corporation | Single chip multi-die architecture having safety-compliant cross-monitoring capability |
| DE102019125867B4 (de) * | 2019-09-25 | 2022-05-05 | Keba Industrial Automation Germany Gmbh | Programmierbarer elektronischer Leistungssteller |
| JP7149922B2 (ja) * | 2019-11-20 | 2022-10-07 | 三菱電機株式会社 | パワーモジュール |
| DE102021117603A1 (de) * | 2020-07-20 | 2022-01-20 | Zhejiang Holip Electronic Technology Co., Ltd | Safe-torque-off(sto)-schaltung und diese beinhaltender frequenzumrichter |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5898829A (en) * | 1994-03-22 | 1999-04-27 | Nec Corporation | Fault-tolerant computer system capable of preventing acquisition of an input/output information path by a processor in which a failure occurs |
| US20020093951A1 (en) * | 1999-08-20 | 2002-07-18 | Roland Rupp | Apparatus for controlling safety-critical processes |
| CN1881782A (zh) * | 2005-05-20 | 2006-12-20 | 洛克威尔自动控制技术股份有限公司 | 禁止大功率器件操作的独立安全处理器 |
| CN101118902A (zh) * | 2006-08-01 | 2008-02-06 | 智原科技股份有限公司 | 系统在封装中的集成电路及其封装方法 |
| WO2008062511A1 (fr) * | 2006-11-21 | 2008-05-29 | Fujitsu Limited | Système multiprocesseur |
| CN101243401A (zh) * | 2005-08-11 | 2008-08-13 | 大陆-特韦斯贸易合伙股份公司及两合公司 | 用于控制或调节至少部分安全关键处理的微处理器系统 |
| CN101329621A (zh) * | 2007-06-22 | 2008-12-24 | 株式会社东芝 | 控制装置 |
| CN101573794A (zh) * | 2005-06-14 | 2009-11-04 | 确比威华有限公司 | 有源封装 |
| US20110054637A1 (en) * | 2009-08-27 | 2011-03-03 | Romuald Girardey | Field device for determining or monitoring a physical or chemical variable |
| US20110208327A1 (en) * | 2008-09-12 | 2011-08-25 | Rolf Dickhoff | Safety controller having a removable data storage medium |
-
2012
- 2012-03-01 US US13/409,755 patent/US8538558B1/en active Active
-
2013
- 2013-03-01 CN CN201310066308.1A patent/CN103294022B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5898829A (en) * | 1994-03-22 | 1999-04-27 | Nec Corporation | Fault-tolerant computer system capable of preventing acquisition of an input/output information path by a processor in which a failure occurs |
| US20020093951A1 (en) * | 1999-08-20 | 2002-07-18 | Roland Rupp | Apparatus for controlling safety-critical processes |
| CN1881782A (zh) * | 2005-05-20 | 2006-12-20 | 洛克威尔自动控制技术股份有限公司 | 禁止大功率器件操作的独立安全处理器 |
| CN101573794A (zh) * | 2005-06-14 | 2009-11-04 | 确比威华有限公司 | 有源封装 |
| CN101243401A (zh) * | 2005-08-11 | 2008-08-13 | 大陆-特韦斯贸易合伙股份公司及两合公司 | 用于控制或调节至少部分安全关键处理的微处理器系统 |
| CN101118902A (zh) * | 2006-08-01 | 2008-02-06 | 智原科技股份有限公司 | 系统在封装中的集成电路及其封装方法 |
| WO2008062511A1 (fr) * | 2006-11-21 | 2008-05-29 | Fujitsu Limited | Système multiprocesseur |
| CN101329621A (zh) * | 2007-06-22 | 2008-12-24 | 株式会社东芝 | 控制装置 |
| US20110208327A1 (en) * | 2008-09-12 | 2011-08-25 | Rolf Dickhoff | Safety controller having a removable data storage medium |
| US20110054637A1 (en) * | 2009-08-27 | 2011-03-03 | Romuald Girardey | Field device for determining or monitoring a physical or chemical variable |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105974827A (zh) * | 2015-03-11 | 2016-09-28 | 洛克威尔自动控制技术股份有限公司 | 具有采用看门狗定时电路的集成电路元件的工业控制系统 |
| CN105974827B (zh) * | 2015-03-11 | 2018-09-28 | 罗克韦尔自动化技术公司 | 具有采用看门狗定时电路的集成电路元件的工业控制系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US8538558B1 (en) | 2013-09-17 |
| US20130231767A1 (en) | 2013-09-05 |
| CN103294022B (zh) | 2017-10-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103294022A (zh) | 用于控制工业工艺的的多芯片模块和方法 | |
| EP3739349B1 (en) | Fault tolerant fail-safe link comprising parallel branches | |
| CN103855919B (zh) | 级联晶体管电路、包括该级联晶体管电路的电路装置、以及功率变换设备 | |
| US9967999B2 (en) | Device for controlling heat dissipation fan and electronic equipment | |
| US9638744B2 (en) | Integrated circuit device, safety circuit, safety-critical system and method of manufacturing an integrated circuit device | |
| CN109891256B (zh) | 半桥逆变器模块的单线总线多组故障通信 | |
| US6316956B1 (en) | Multiple redundant reliability enhancement method for integrated circuits and transistors | |
| CN102684166A (zh) | 具有保护功能的晶体管电路 | |
| TWI681627B (zh) | 功率模組 | |
| EP2545626A1 (en) | Surge protection | |
| CN107482590B (zh) | 一种igbt模块的驱动与故障保护电路 | |
| CN108011504B (zh) | 驱动方法与驱动装置 | |
| CN107529683A (zh) | 一种半桥式mmc子模块及其上开关管短路保护方法 | |
| JP7088280B2 (ja) | エネルギー貯蔵装置の保護システム | |
| BR102013026825A2 (pt) | Dispositivo de controle de uma função de segurança de uma máquina elétrica | |
| EP3648277B1 (en) | Electronic circuit for redundant supply of an electric load | |
| CN102150339B (zh) | 冗余电源 | |
| CN106655796A (zh) | 电子装置、控制串联连接的多个开关模块的系统及方法 | |
| EP2405568B1 (en) | Electronic power apparatus for controlling the movement of alternating current (AC) electric motors stopping such motors in a safe way | |
| CN103777554A (zh) | 一种热插拔保护线路系统 | |
| TW202335401A (zh) | 持續性dc功率和控制開關 | |
| EP4160899A1 (en) | Fault detection device and method therefor | |
| CN208970509U (zh) | 一种基于三基岛结构的电机驱动功率模块电路 | |
| CN104617800A (zh) | 具有直流故障限流能力的冗余型mmc换流器改进结构 | |
| CN207612046U (zh) | 一种基于服务器系统过负载保护电路 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |