CN112368586B - 具有故障注入的失效安全时钟监视器 - Google Patents
具有故障注入的失效安全时钟监视器 Download PDFInfo
- Publication number
- CN112368586B CN112368586B CN201980045024.XA CN201980045024A CN112368586B CN 112368586 B CN112368586 B CN 112368586B CN 201980045024 A CN201980045024 A CN 201980045024A CN 112368586 B CN112368586 B CN 112368586B
- Authority
- CN
- China
- Prior art keywords
- clock
- signal
- circuit
- monitor
- clock signal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000002347 injection Methods 0.000 title claims abstract description 27
- 239000007924 injection Substances 0.000 title claims abstract description 27
- 238000012360 testing method Methods 0.000 claims abstract description 69
- 238000012937 correction Methods 0.000 claims abstract description 24
- 230000009471 action Effects 0.000 claims description 39
- 238000000034 method Methods 0.000 claims description 34
- 230000002093 peripheral effect Effects 0.000 claims description 25
- 238000011156 evaluation Methods 0.000 claims description 6
- 238000012544 monitoring process Methods 0.000 claims description 5
- 239000013078 crystal Substances 0.000 description 10
- 239000003990 capacitor Substances 0.000 description 6
- 230000006870 function Effects 0.000 description 4
- 239000010453 quartz Substances 0.000 description 4
- VYPSYNLAJGMNEJ-UHFFFAOYSA-N silicon dioxide Inorganic materials O=[Si]=O VYPSYNLAJGMNEJ-UHFFFAOYSA-N 0.000 description 4
- 230000010355 oscillation Effects 0.000 description 3
- 230000003071 parasitic effect Effects 0.000 description 3
- 230000000737 periodic effect Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 230000006378 damage Effects 0.000 description 2
- 230000007423 decrease Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 208000027418 Wounds and injury Diseases 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 229910052802 copper Inorganic materials 0.000 description 1
- 239000010949 copper Substances 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 230000001771 impaired effect Effects 0.000 description 1
- 208000014674 injury Diseases 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000005406 washing Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F1/00—Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
- G06F1/04—Generating or distributing clock signals or signals derived directly therefrom
- G06F1/14—Time supervision arrangements, e.g. real time clock
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01R—MEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
- G01R31/00—Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
- G01R31/28—Testing of electronic circuits, e.g. by signal tracer
- G01R31/317—Testing of digital circuits
- G01R31/31727—Clock circuits aspects, e.g. test clock circuit details, timing aspects for signal generation, circuits for testing clocks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F1/00—Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
- G06F1/04—Generating or distributing clock signals or signals derived directly therefrom
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F1/00—Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
- G06F1/04—Generating or distributing clock signals or signals derived directly therefrom
- G06F1/08—Clock generators with changeable or programmable clock frequency
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F1/00—Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
- G06F1/04—Generating or distributing clock signals or signals derived directly therefrom
- G06F1/10—Distribution of clock signals, e.g. skew
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1604—Error detection or correction of the data by redundancy in hardware where the fault affects the clock signals of a processing unit and the redundancy is at or within the level of clock signal generation hardware
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
- Test And Diagnosis Of Digital Computers (AREA)
- Color Television Systems (AREA)
- Steering Control In Accordance With Driving Conditions (AREA)
Abstract
本发明公开了一种用于测试时钟监视器的系统,所述系统包括故障注入电路、控制电路和评估来自时钟源的时钟源信号的时钟监视器电路。所述故障注入电路将修改或替换来自所述时钟源的所述时钟源信号以产生修改的时钟信号,并且将所述修改的时钟信号发送到所述时钟监视器电路。所述时钟监视器电路将接收输入时钟信号,确定所述输入时钟信号是否指示有故障的时钟源,并且如果所述输入时钟信号指示有故障的时钟源则发出时钟纠正措施。所述控制电路将监视所述时钟纠正措施,并且基于是否发出所述时钟纠正措施来确定所述时钟监视器电路是否正在正确地操作。
Description
优先权
本申请要求2018年7月5日提交的美国临时申请62/694,112的优先权,该申请的内容据此全文以引用方式并入本文。
技术领域
本公开涉及用于时钟监视的方法和系统,并且更具体地涉及具有故障注入的失效安全时钟监视器(FSCM)。
背景技术
FSCM可包括在各种系统中以用于监视振荡器或时钟是否已失效。振荡器可包括芯片、管芯、处理器或其他电子设备内部或外部的振荡器。内部振荡器可以为基于R-C的,并且因此具有高公差和低温稳定性。外部振荡器可以为基于电路的、基于石英的或基于晶体的,并且来自振荡器的信号可被路由到电子设备的外部引脚。外部振荡器可为更可靠、更稳定和更精确的时钟频率源,但可经受组装误差和印刷电路板损坏。
振荡器可经历各种故障。例如,振荡器可能无法启动,可能无法锁相,或者可能经历停电。从振荡器到其预期目标的连接可能会失效,并且因此振荡器可能仅仅看起来失效。负载电容可导致故障。每个石英晶体可被设计用于特定负载电容。可在石英晶体的引脚与接地之间使用电容器。在振荡期间,电荷从电容器流过石英并流入另一个并再次返回。附接的电容器可能需要匹配晶体的内部电容以实现稳定且精确的振荡。给定由振荡器的设计者识别的特定负载电容,晶体可以指定频率振荡。如果负载太低,则晶体可能不会开始振荡,因为在电容器和晶体之间没有足够的电荷振荡。如果负载太高,则振荡的电压摆幅可由于电容器中不能流过晶体的附加电荷而减小。引脚可形成寄生电容,如果使用插座,则寄生电容可增大。印刷电路板的铜线或引线可增加寄生电容。可能需要从负载电容器的值中减去这些电容以匹配所需的负载。如果寄生电容增大或减小,则晶体的性能可能受损。
发明内容
本公开的实施方案包括一种装置。所述装置可包括故障注入电路、控制电路和时钟监视器电路,所述时钟监视器电路被配置为评估来自时钟源的时钟源信号。所述故障注入电路可被配置为修改或替换来自所述时钟源的所述时钟源信号以产生修改的时钟信号,并且将所述修改的时钟信号发送到所述时钟监视器电路。所述时钟监视器电路可被配置为接收输入时钟信号,确定所述输入时钟信号是否指示有故障的时钟源,并且基于确定所述输入时钟信号指示有故障的时钟源来发出时钟纠正措施。所述控制电路可被配置为监视所述时钟纠正措施,并且基于是否发出所述时钟纠正措施来确定所述时钟监视器电路是否正在正确地操作。结合上述实施方案中的任一个,所述控制电路可被进一步配置为基于所述时钟监视器电路发出所述时钟纠正措施来确定所述时钟监视器正在正确地操作。
结合上述实施方案中的任一个,一个或多个外围设备电路可被配置为在所述故障注入电路将所述修改的时钟信号发送到所述时钟监视器电路时使用所述时钟源信号。
结合上述实施方案中的任一个,所述故障注入电路可被进一步配置为基于用于所述系统的时钟监视器测试模式选择性地修改或替换来自所述时钟源的所述时钟源信号以产生修改的时钟信号,其中所述时钟监视器电路将在所述时钟监视器测试模式期间进行测试。
结合上述实施方案中的任一个,所述控制电路可被进一步配置为监视所述时钟纠正措施,并且基于所述时钟监视器测试模式来确定所述时钟监视器电路是否正在正确地操作。
结合上述实施方案中的任一个,所述时钟监视器电路可被配置为在所述时钟监视器测试模式期间对所述修改的时钟信号作为其输入时钟信号进行评估。
结合上述实施方案中的任一个,所述故障注入电路可被进一步配置为在直通模式下选择性地将所述时钟源信号而不是所述修改的时钟信号转发至所述时钟监视器电路。
结合上述实施方案中的任一个,在所述直通模式期间,所述控制电路可被进一步配置为从由所述时钟监视器电路发出的时钟纠正措施来确定所述时钟源为有故障的。
结合上述实施方案中的任一个,所述时钟监视器电路可被配置为在所述直通模式期间对所述时钟源信号作为其输入时钟信号进行评估。
结合上述实施方案中的任一个,所述控制电路可被配置为基于在所述时钟监视器电路对所述修改的控制信号进行评估之后发出所述时钟纠正措施来抑制将在所述系统的其他元件上采取的时钟纠正措施。
本公开的实施方案可包括系统、电子设备或微控制器,所述系统、所述电子设备或所述微控制器包括上述实施方案的装置中的任一个装置。
本公开的实施方案可包括由上述实施方案的所述装置、所述系统、所述电子设备或所述微控制器中的任一者执行的方法。
附图说明
图1示出了根据本公开的实施方案的包括具有故障注入的FSCM的系统。
图2A至图2D示出了根据本公开的实施方案的包括具有故障注入的FSCM的系统的示例操作。
图3示出了根据本公开的实施方案的用FSCM执行故障注入的方法。
具体实施方式
图1示出了根据本公开的实施方案的包括具有故障注入的FSCM的系统100。可在任何合适的系统中实现具有故障注入的FSCM。例如,系统100可包括微控制器、汽车、移动设备、计算机、智能电话、消费电子器件或其他电子设备。FSCM可被配置为监视振荡器的时钟信号以确定振荡器是否正在正常工作。在一个实施方案中,故障注入可将人为故障、模拟故障或仿真故障插入时钟信号中。在另一个实施方案中,FSCM可被配置为检测故障并基于检测到的故障发出通知或其他纠正措施。在又一个实施方案中,该系统的其他部件可被配置为当故障注入已发出故障而不是由振荡器的实际失效引起的故障时在FSCM确定故障时抑制纠正措施。在另一个实施方案中,在FSCM感知故障时,取决于同一振荡器的其他元件可继续与来自同一振荡器的未改变的时钟信号一起正常操作。
例如,系统100可包括振荡器102。振荡器102可以为相对于例如微控制器104的外部振荡器。在其他示例中,振荡器102可以为相对于微控制器104的内部振荡器。振荡器102可被配置为生成时钟信号116。时钟信号116可被微控制器的各种元件用于定时、执行执行周期或其他合适的目的。振荡器102可以任何合适的方式实现,诸如通过晶体、驱动电路以及数字或模拟电路的其他组合,其中生成了周期性时钟信号。
系统100可包括FSCM 110。FSCM 110可由电路、数字逻辑、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、用于处理器执行的指令、固件或其他硬件的任何合适的组合来实现。FSCM 110可实现为微控制器诸如微控制器104的内部外围设备(IP)。FSCM 110可服务于微控制器104或另一个系统。
在一个实施方案中,FSCM 110可被配置为评估接收的时钟信号是否有故障。如果该时钟信号有故障,则源可被识别为有故障。不正确的时钟信号的结果可能是灾难性的,因为系统100可能正在控制关键的操作或过程。例如,由于时钟信号有故障而导致PWM控制器108控制汽车部件的旋转速度的失效是危险的。在确定时钟信号有故障时,FSCM 110可生成中断、设置寄存器或采取其他纠正措施或通知。系统100继而可使用此类通知来采取进一步纠正措施。例如,如果FSCM 110检测到时钟信号有故障,则系统100的处理器或中断处理程序电路可被配置为向使用该时钟信号以缓慢降低使用率的马达驱动器发出命令。取决于该马达的其他元件可采取进一步的纠正措施。又如,可向系统100的用户发出警示灯。可通知在微控制器104上执行的软件并采取特定于应用程序的纠正措施。在又一个示例中,备份、次级或其他振荡器可被重新路由到否则将使用振荡器102的输出的外围设备。
系统100可包括FSCM 110的任何合适数量和种类的实例。例如,系统100的每个振荡器可包括FSCM 110的实例。又如,如果系统100包括多个振荡器,则可包括被配置为检查多个时钟信号的FSCM 110的实例。FSCM 110可被配置为检查内部振荡器或外部振荡器。
FSCM 110可使用任何合适的标准来确定给定时钟信号是否有故障。可由寄存器、命令或硬编码到FSCM 110中来限定该标准。例如,时钟信号可具有过低或过高的频率。FSCM110可包括计数器或其他频率检测以识别接收的时钟信号的频率。因此,时钟信号可能仍然在振荡,但处于偏斜或改变的速率。在此类情况下,FSCM 110可确定时钟信号有故障。振荡器102可被不正确地配置,使得其以过高或过低的频率发出时钟信号。FSCM110可被配置为识别时钟信号的平坦线,无论是高还是低。此类情况可指示振荡器102已停止一起工作,或者与振荡器102的通信已被完全中断。在又一个示例中,时钟信号可具有不正确的占空比,其中占空比过长或过短。在正常操作期间,其中不进行FSCM 110的测试,FSCM 110可接收时钟信号116并评估其完整性。
微控制器104可包括利用时钟信号116的各种其他IP。微控制器104可包括任何合适数量和种类的此类元件。例如,微控制器104可包括定时器电路106、脉冲宽度(PWM)调制控制器108或串行外围设备接口(SPI)模块112。这些其他元件可取决于时钟信号116的正确操作。可向这些外围设备发出由振荡器102发出或以其他方式在微控制器104处接收的时钟信号116。如果中断时钟信号116,则这些其他外围设备可能不正确地工作。因此,时钟信号116在其他外围设备的操作期间不能被中断以用于测试。
在一个实施方案中,系统100可被配置为测试FSCM 110。在另一个实施方案中,系统100可被配置为在微控制器104的正常操作期间测试FSCM 110。在此类正常操作中,外围设备诸如外围设备106、108、112可继续执行其任务测试FSCM 110。此类性能可包括使用未改变的时钟信号116。FSCM 110的正确操作可确保振荡器102正在正确地工作。如果FSCM110失效或正在不正确地工作,则系统100可无意地使用有故障的时钟信号。如果由于FSCM110自身失效而无法检测到时钟失效,则可能出现这些危险状况。因此,不仅系统100包括对FSCM 110形式的时钟信号的检查,而且系统100还可被配置为包括用于测试FSCM 110的测试机制。FSCM 110的正确操作可确保振荡器102正在正确地操作,并且如果振荡器102正在不正确地操作,则可采取纠正措施以防止对系统100或系统100的用户造成伤害。当FSCM110检测到振荡器102失效时,时钟失效可采取纠正措施可导致系统不正确地操作。该系统或系统的用户需要意识到时钟已失效,使得例如马达可被关闭或减慢。
因此,在一个实施方案中,系统100可执行FSCM 110的可行性的测试、调试或其他评估。在另一个实施方案中,此类评估可在系统100的元件以其他方式操作的同时使用FSCM110将评估的振荡器102的相同时钟信号116进行。当该系统在操作时,振荡器102的时钟信号116可继续由系统100的除FSCM 110之外的部件使用。
用于测试时钟监视器的其他解决方案可包括停止或改变待测试的振荡器。因此,此类测试可能不会在系统以其他方式运行时执行。如果在系统以其他方式运行时执行此类测试,则该系统的其他部分可能在不使用时钟的情况下失效。因此,此类测试可在特定测试或调试模式下的其他解决方案中执行,诸如在内置系统测试(BIST)、启动或保留系统的操作以用于测试时钟或时钟监视器的另一时间。由同一振荡器运行的将被中断的其他外围设备将通过停止振荡器而被破坏。因此,当此类其他外围设备将正确地运行时,不能执行测试。相比之下,本公开的实施方案可有利于在系统100的其他部件(诸如处理器或外围设备106、108、112)正在操作并使用来自振荡器102的时钟信号116的同时测试FSCM 110。
在一个实施方案中,系统100可包括故障注入电路(FI)114。FI 114可被配置为测试FSCM 110的操作。FI 114可放置在待测试的时钟信号源与FSCM 110之间。系统100可包括FI 114的任何合适数量和种类的实例。例如,如果系统100中将使用FSCM 110的多个实例,则FI 114的实例可放置在FSCM 110的每个此类实例与待测试的时钟信号源之间。
FI 114可被配置为接收来自振荡器102的时钟信号116。在一个实施方案中,FI114可被配置为选择性地且有条件地向FSCM 110发出时钟信号116或修改的时钟信号118。FI 114可被配置为在直通模式和FSCM测试模式下操作。在直通模式下,FI 114可被配置为将时钟信号116路由到FSCM110。在此类直通模式中,FSCM 110可被配置为对时钟信号116作为振荡器102的操作的表示进行评估,并且代表其他外围设备监视该信号。在FSCM测试模式中,FI 114可被配置为改变或停止时钟信号116,并且相反地将修改的时钟信号118路由到FSCM 110。修改的时钟信号118可以将使FSCM 110相信其接收的时钟信号有故障的任何形式实现。在FSCM测试模式中,FSCM 110可能不知道FSCM 110正在被测试。如果FSCM 110正在正确地工作,则根据规定的标准检测修改的时钟信号118的有故障性质的FSCM 110将正确地诊断明显有故障的信号。然而,如果FSCM 110正在不正确地工作,则FSCM 110可能无法将修改的时钟信号118识别为有故障。
FSCM 110可被配置为在确定其时钟信号有故障时生成通知或纠正措施。在一个实施方案中,在FSCM测试模式期间,系统100可拦截、修改或抑制由FSCM 110生成的此类通知或纠正措施。纠正措施可能以其他方式不必要地关闭或修改系统100的部件诸如外围设备106、108、112的操作。在另一个实施方案中,在FSCM测试模式期间,系统100可确定FSCM 110是否生成修改的时钟信号118的有故障性质的正确识别。如果FSCM 110确实生成了正确识别,则可验证FSCM 110的操作。如果FSCM110确实未生成正确识别,则系统100可被配置为确定FSCM 110自身为有故障的、不起作用的或不正确配置的。可针对FSCM 110的有故障操作采取纠正措施。例如,可向系统软件生成中断。
FSCM 110在FSCM测试模式期间的性能评估可由系统100的任何合适的实体执行。例如,FSCM 110在FSCM测试模式期间的性能评估可由FI 114、调试电路、中断处理程序电路或软件、微控制器104的处理器来执行。此类实体的实例可实现图2的控制电路202。
FSCM测试模式及其性能参数可以任何合适的方式设置。例如,可使用由软件能够编程的寄存器来启用或禁用FSCM测试模式或直通模式、其发生频率、要使用的修改的时钟信号118的类型、或要测试振荡器102和FSCM 110的哪些实例。这些可通过例如系统100、在系统100上运行的软件、根据用户请求、或通过测试或调试电路或子系统来设置。
FI 114可以任何合适的方式诸如通过数字逻辑、模拟电路、用于由处理器执行的指令或电路的任何其他合适的组合来实现。FI 114可包括修改的时钟信号118的源,或者可被配置为从另一个源接收或路由修改的时钟信号118。例如,FI 114可包括用于振荡器的输入,该振荡器包括与FSCM110处的预期频率相比过高或过低的频率。FI 114可将一赫兹时钟信号注入时钟信号总线中。FI可能注入时钟信号,该时钟信号包括过高的频率,表示超频源。又如,FI 114可包括高参考电压输入或低参考电压输入,表示平坦线时钟。该线可为高状态、低状态或中间状态(均不表示零或一),这取决于FSCM 110将预期的默认状态。FI 114可包括周期信号,该周期信号具有过长或过短的占空比。这些输入可各自表示故障并且在FSCM测试模式期间作为修改的时钟信号118进行路由。在又一个示例中,FI 114实际上可修改而不是简单地替换时钟信号116。在此类情况下,FI 114可周期性地切换值,随机但间歇地抑制时钟信号116,或向该时钟信号添加噪声以产生修改的时钟信号118。在直通模式期间,FI 114可被配置为将时钟信号116路由到FSCM 110。
在最简单的具体实施中,FI 114可以用或门来实现。分别表示启用或禁用FSCM测试模式的高或低位可被路由到或门的一个输入。时钟信号116可被路由到或门的另一个输入。如果启用FSCM测试模式,则FI 114可发出恒定的“一”输出。如果启用直通模式,则F1114可发出时钟信号116。
在一个实施方案中,在FSCM测试模式期间,系统100的其他处理器和外围设备诸如外围设备106、108、112可继续使用时钟信号116来操作,如同使用了直通模式一样。FSCM测试模式可在系统100的初始化、BIST或启动之后执行。FSCM测试模式可在系统100的操作期间的任何合适的时间执行。FSCM测试模式可周期性地执行,诸如每秒或每隔一秒、每分钟或每隔一分钟、每小时或每隔一小时、或每天或每隔一天执行一次;在微控制器104的操作的一定数量的时钟周期时周期性地执行;或根据用户的需求、下压按钮、或由执行实时系统诊断的系统100的另一个部件发出的功能或信号执行。例如,在消费电子设备或器具上,可在接合马达时启用FSCM测试模式。这可发生在例如当按下洗衣机上的“开始”按钮时。只有在通过FSCM 110的验证时,洗涤器才可旋转。当执行其他周期性实时诊断(诸如固件或存储器验证)时,可启动FSCM测试模式。
如上所述,在FSCM测试模式期间识别出故障时,可抑制一些纠正措施。这起因于在系统100的实时操作期间使用FSCM测试模式,其中其他外围设备诸如外围设备106、108、112仍在使用时钟信号116。因此,在改变当检测到时钟失效时执行的系统100的其他测量时可执行FSCM测试模式。例如,在直通模式期间,FSCM 110可在检测到时钟失效时生成软重启。因此,在FSCM测试模式期间,系统100可被配置为抑制由FSCM 110生成的重启信号。又如,尽管生成了重启信号,但是重启信号的接收器可以检查相关联的寄存器以识别是否启用了FSCM测试模式,并且因此忽略软重启。
在一个实施方案中,系统100可通过测试FSCM 110为B类遵从性提供增强的机会。FSCM 110可如同振荡器102已停止或正发生故障一样进行实时测试,但不必实际停止或修改振荡器102。在测试FSCM 110时可继续操作其他外围设备和处理器。不需要中断这些其他外围设备和处理器的操作。
图2示出了根据本公开的实施方案的包括具有故障注入的FSCM的系统的示例操作。图2A可示出FSCM 110的测试,其中FSCM 110正在正确地工作。图2B可示出FSCM 110的测试,其中FSCM 110正在不正确地工作。图2C可示出FSCM 110的操作,其中振荡器102正在正确地工作。图2D可示出FSCM 110的操作,其中振荡器102正在不正确地工作。
在图2A中,系统100可能已启用测试FSCM模式。FSCM 110可正确地工作。因此,可禁用直通模式。振荡器102可生成时钟信号。该时钟信号可以为正确的时钟信号。FI 114可以用注入的故障修改或替换从振荡器102接收的时钟信号。可向FSCM 110发出修改的时钟信号。FSCM 110正确地工作可识别其接收的时钟信号(修改的时钟信号)的有故障性质。因此,FSCM 110可在识别出有故障信号的情况下向系统100的其他部件生成中断或其他纠正措施。该中断可被发送到控制电路202或被该控制电路拦截。控制电路202可以由系统100的任何合适的部件用模拟电路、数字电路、用于由处理器执行的指令或其组合来实现。例如,控制电路202可实现中断处理程序、调试引擎或故障模块。控制电路202可基于中断来确定FSCM 110正在正确地工作。可抑制将响应于时钟失效或错误而采取的其他纠正措施。
在图2B中,在FSCM可能不正确地工作时系统100可能已启用测试FSCM模式。可禁用直通模式。振荡器102可生成时钟信号。该时钟信号可以为正确的时钟信号。FI 114可以用注入的故障修改或替换从振荡器102接收的时钟信号。可向FSCM 110发出修改的时钟信号。FSCM 110不正确地工作可能无法识别其接收的时钟信号(修改的时钟信号)的有故障性质。因此,FSCM 110可能无法在识别出有故障信号的情况下向系统100的其他部件生成中断或其他纠正措施。控制电路202可基于预期中断的缺乏来确定FSCM 110正在不正确地工作。可针对FSCM 110采取纠正措施。
在图2C中,系统100可具有禁用测试FSCM模式。因此,可启用直通模式。振荡器102可生成时钟信号。该时钟信号可以为正确的时钟信号。FI 114可将从振荡器102接收的时钟信号传递到FSCM 110。FSCM110可识别其接收的时钟信号的正确性质。FSCM 110不需要在识别出有故障信号的情况下向系统100的其他部件生成中断或其他纠正措施。控制电路202可能不需要采取纠正措施。
在图2D中,系统100可具有禁用测试FSCM模式。因此,可启用直通模式。振荡器102可生成时钟信号。该时钟信号可以为不正确或有故障的时钟信号,或者根本不发送信号。FI114可将从振荡器102接收的时钟信号传递到FSCM 110。FSCM 110可识别其接收的时钟信号的不正确性质。FSCM 110可在识别出有故障信号的情况下向系统100的其他部件生成中断或其他纠正措施。该中断可被发送到控制电路202或被该控制电路拦截。控制电路202可针对有故障时钟采取纠正措施,或以其他方式允许将在图2A中采取的纠正措施。
图3示出了根据本公开的实施方案的用FSCM执行故障注入的方法300。方法300可以在诸如305的任何给定点初始化。方法300可包括比图3所示的更多或更少的元素。方法300可由系统100的元件执行。方法300可部分地由用于由处理器诸如在固件或软件中执行的指令来实现。方法300的各种元素可以彼此省略、重复或并行执行。可实现方法300的元素次序的变型形式。
在305处,可初始化系统。该系统中使用时钟信号的外围设备和处理器可正在操作。这些可继续与方法300的其他步骤的执行并行操作。
在310处,可对外围设备将使用的时钟信号进行采样。该时钟信号可以为例如有故障或死区或正确的。
在315处,如果将测试时钟信号,则可进一步确定是否要进入测试FSCM模式,其中FSCM自身将进行测试。在另选的直通模式中,FSCM自身不进行测试,而是简单地操作以测试时钟信号。如果启用了测试FSCM,则方法300可以前进至320。否则,方法300可前进至345。
在320处,接收的时钟信号可被修改、取消或替换为有故障的时钟信号。这可以为例如平坦电压值。在325处,可向FSCM发出修改的时钟信号。FSCM可分析修改的时钟信号以确定其是否在例如频率的指定参数内操作。在330处,可确定作为FSCM分析的结果,FSCM是否确实生成将修改的时钟信号识别为有故障的中断或其他纠正措施。如果FSCM确实将修改的时钟信号识别为有故障,则方法300可前进至335。否则,方法300可前进至340。
在335处,可验证FSCM操作。可抑制用于故障时钟的纠正措施。方法300可前进至365。
在340处,FSCM操作可被识别为有故障。可针对有故障的FSCM发出纠正措施。此类纠正措施可包括向用户发出警示或进一步进行诊断。虽然有故障的FSCM不一定暗示有故障的时钟信号,但可能不会检测到有故障的时钟信号。如果未检测到的有故障的时钟信号将足够危险,则可采取预先纠正措施。例如,在检测到有故障的FSCM时,可省去由有故障的FSCM评估的振荡器,并且可替代地使用由其他FSCM实例保护的备用振荡器。又如,可切换另一个FSCM以评估所公开的给定振荡器和有故障的FSCM实例。方法300可前进至365。
在345处,可向FSCM发出将采样的时钟信号。FSCM可评估时钟信号是具有预期形式还是能够接受的形式。在350处,可确定FSCM是发出中断还是发出指示时钟信号有故障的其他通知或措施。如果生成此类中断,则方法300可前进至355。否则,方法300可前进至360。
在350处,可基于FSCM的评估确定时钟有故障。可针对有故障的时钟发出纠正措施。在一个实施方案中,针对有故障的时钟的纠正措施可不同于针对有故障的FSCM的纠正措施。在另一个实施方案中,针对有故障的时钟的纠正措施和针对有故障的FSCM的纠正措施可重叠或相同。方法300可前进至365。
在355处,可基于FSCM的评估确定时钟正在正确地工作。无需采取纠正措施。方法300可前进至365。
在365处,方法300可任选地在例如310处重复或者可在370处终止。
尽管上文已描述了示例实施方案,但在不脱离这些实施方案的实质和范围的情况下,可由本公开进行其他变型和实施方案。
Claims (22)
1.一种用于测试时钟监视器的系统,包括:
故障注入电路;
控制电路;以及
时钟监视器电路,所述时钟监视器电路被配置为评估来自时钟源的时钟源信号;
其中:
所述故障注入电路被放置在所述时钟源与所述时钟监视器电路之间并被配置为:
修改或替换来自所述时钟源的所述时钟源信号以产生修改的时钟信号;以及
将所述修改的时钟信号发送到所述时钟监视器电路;
所述时钟监视器电路被配置为:
接收输入时钟信号;
确定所述输入时钟信号是否指示有故障的时钟源;以及
基于确定所述输入时钟信号指示有故障的时钟源来发出时钟纠正措施;以及
所述控制电路被配置为:
监视所述时钟纠正措施;以及
基于是否发出所述时钟纠正措施来确定所述时钟监视器电路是否正在正确地操作。
2.根据权利要求1所述的系统,其中所述控制电路被进一步配置为基于所述时钟监视器电路发出所述时钟纠正措施来确定所述时钟监视器正在正确地操作。
3.根据权利要求1至2中任一项所述的系统:
还包括外围设备电路;
其中所述外围设备电路被配置为在所述故障注入电路将所述修改的时钟信号发送到所述时钟监视器电路时使用所述时钟源信号。
4.根据权利要求1所述的系统,其中所述故障注入电路被进一步配置为基于用于所述系统的时钟监视器测试模式选择性地修改或替换来自所述时钟源的所述时钟源信号以产生修改的时钟信号,其中所述时钟监视器电路将在所述时钟监视器测试模式期间进行测试。
5.根据权利要求4所述的系统,其中所述控制电路被进一步配置为监视所述时钟纠正措施,并且基于所述时钟监视器测试模式来确定所述时钟监视器电路是否正在正确地操作。
6.根据权利要求4至5中任一项所述的系统,其中所述时钟监视器电路被配置为在所述时钟监视器测试模式期间对所述修改的时钟信号作为其输入时钟信号进行评估。
7.根据权利要求1所述的系统,其中所述故障注入电路被进一步配置为在直通模式下选择性地将所述时钟源信号而不是所述修改的时钟信号转发至所述时钟监视器电路。
8.根据权利要求7所述的系统,其中在所述直通模式期间,所述控制电路被进一步配置为从由所述时钟监视器电路发出的时钟纠正措施来确定所述时钟源为有故障的。
9.根据权利要求7至8中任一项所述的系统,其中所述时钟监视器电路被配置为在所述直通模式期间对所述时钟源信号作为其输入时钟信号进行评估。
10.根据权利要求1所述的系统,其中所述控制电路被配置为基于所述时钟监视器电路在对所述修改的控制信号进行评估之后发出所述时钟纠正措施来抑制将在所述系统的其他元件上采取的时钟纠正措施。
11.一种用于测试时钟监视器的方法,包括:
操作故障注入电路,所述故障注入电路被放置在时钟源与时钟监视器电路之间;
操作控制电路;以及
接收来自所述时钟源的时钟源信号;
修改或替换来自所述时钟源的所述时钟源信号以产生修改的时钟信号;
将所述修改的时钟信号发送到所述时钟监视器电路;
在所述时钟监视器电路处:
接收输入时钟信号;
确定所述输入时钟信号是否指示有故障的时钟源;以及
基于确定所述输入时钟信号指示有故障的时钟源来发出时钟纠正措施;以及
监视所述时钟纠正措施;以及
基于是否发出所述时钟纠正措施来确定所述时钟监视器电路是否正在正确地操作。
12.根据权利要求11所述的方法,还包括基于所述时钟监视器电路发出所述时钟纠正措施来确定所述时钟监视器正在正确地操作。
13.根据权利要求11至12中任一项所述的方法,还包括在所述修改的时钟信号被路由到所述时钟监视器电路时用所述时钟源信号操作外围设备电路。
14.根据权利要求11所述的方法,还包括基于用于所述方法的时钟监视器测试模式选择性地修改或替换来自所述时钟源的所述时钟源信号以产生修改的时钟信号,其中所述时钟监视器电路将在所述时钟监视器测试模式期间进行测试。
15.根据权利要求14所述的方法,还包括监视所述时钟纠正措施,并且基于所述时钟监视器测试模式来确定所述时钟监视器电路是否正在正确地操作。
16.根据权利要求14至15中任一项所述的方法,还包括在所述时钟监视器测试模式期间对所述修改的时钟信号作为用于所述时钟监视器电路的输入时钟信号进行评估。
17.根据权利要求11所述的方法,还包括在直通模式下选择性地将所述时钟源信号而不是所述修改的时钟信号转发至所述时钟监视器电路。
18.根据权利要求17所述的方法,还包括在所述直通模式期间从由所述时钟监视器电路发出的时钟纠正措施来确定所述时钟源为有故障的。
19.根据权利要求17至18中任一项所述的方法,还包括在所述直通模式期间对所述时钟源信号作为用于所述时钟监视器电路的输入时钟信号进行评估。
20.根据权利要求11所述的方法,还包括基于在所述时钟监视器电路对所述修改的控制信号进行评估之后发出所述时钟纠正措施来抑制将在系统的其他元件上采取的时钟纠正措施。
21.一种电子设备,包括:
根据权利要求1至10所述的系统中的任一个系统;以及
所述时钟源,所述时钟源被配置为生成所述时钟源信号。
22.根据权利要求21所述的电子设备,其中所述电子设备为微控制器。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201862694112P | 2018-07-05 | 2018-07-05 | |
| US62/694,112 | 2018-07-05 | ||
| US16/143,841 | 2018-09-27 | ||
| US16/143,841 US10649487B2 (en) | 2018-07-05 | 2018-09-27 | Fail-safe clock monitor with fault injection |
| PCT/US2019/039371 WO2020009879A1 (en) | 2018-07-05 | 2019-06-27 | Fail-safe clock monitor with fault injection |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112368586A CN112368586A (zh) | 2021-02-12 |
| CN112368586B true CN112368586B (zh) | 2024-06-07 |
Family
ID=67297360
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980045024.XA Active CN112368586B (zh) | 2018-07-05 | 2019-06-27 | 具有故障注入的失效安全时钟监视器 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10649487B2 (zh) |
| CN (1) | CN112368586B (zh) |
| DE (1) | DE112019003419T5 (zh) |
| TW (1) | TWI801526B (zh) |
| WO (1) | WO2020009879A1 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11244046B2 (en) * | 2019-09-16 | 2022-02-08 | Nuvoton Technology Corporation | Data-sampling integrity check using gated clock |
| US11321457B2 (en) | 2019-09-16 | 2022-05-03 | Nuvoton Technology Corporation | Data-sampling integrity check by sampling using flip-flops with relative delay |
| US11609833B2 (en) * | 2020-09-18 | 2023-03-21 | Nxp Usa, Inc. | Fault injection in a clock monitor unit |
| US11971447B2 (en) | 2020-09-18 | 2024-04-30 | Nxp Usa, Inc. | Automatic fault injection in a clock monitor unit |
| CN112526443A (zh) * | 2020-12-02 | 2021-03-19 | 云南电网有限责任公司电力科学研究院 | 一种电能表误差自检测功能的测试装置 |
| FR3130103A1 (fr) * | 2021-12-07 | 2023-06-09 | Spectracom Sas | Module d’horloge de très grande précision asservi par un signal de référence et comprenant un système de vérification d’intégrité de phase |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2286473A1 (en) * | 1998-10-27 | 2000-04-27 | Logicvision, Inc. | Fault insertion method, boundary scan cells, and integrated circuit for use therewith |
| ITRM20030198A0 (it) * | 2003-04-28 | 2003-04-28 | Micron Technology Inc | Monitor ad unita' di controllo basata su rom in un dispositivo di memoria. |
| WO2005071426A1 (en) * | 2004-01-19 | 2005-08-04 | Koninklijke Philips Electronics N.V. | Testing of circuits with multiple clock domains |
| US7308625B1 (en) * | 2003-06-03 | 2007-12-11 | Nxp B.V. | Delay-fault testing method, related system and circuit |
| FR2926141A1 (fr) * | 2008-01-03 | 2009-07-10 | Commissariat Energie Atomique | Procede pour l'amelioration de la precision de detection et de localisation de defauts par reflectometrie dans un reseau electrique cable |
| CN102412830A (zh) * | 2010-08-23 | 2012-04-11 | 瑞昱半导体股份有限公司 | 时钟信号合成的方法与装置 |
| CN102782603A (zh) * | 2010-03-26 | 2012-11-14 | 密克罗奇普技术公司 | 故障安全振荡器监测与报警 |
| CN105067933A (zh) * | 2015-08-31 | 2015-11-18 | 中国人民解放军63908部队 | 用于电子装备测试性验证与评估的通用系统及测试方法 |
| CN106059701A (zh) * | 2016-08-17 | 2016-10-26 | 北京航空航天大学 | 一种通过捕获协议控制帧测试时间触发以太网的时钟同步修正值的装置 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7536605B2 (en) * | 2005-05-25 | 2009-05-19 | Alcatel-Lucent Usa Inc. | Injection of software faults into an operational system |
| WO2010112969A1 (en) * | 2009-03-31 | 2010-10-07 | Freescale Semiconductor, Inc. | Clock glitch detection |
| US9336074B2 (en) * | 2013-07-26 | 2016-05-10 | Honeywell International Inc. | Apparatus and method for detecting a fault with a clock source |
| CN104617928B (zh) * | 2015-01-13 | 2017-10-10 | 复旦大学 | 基于fpga硬件结构的时钟网络遍历测试方法 |
| US9858134B2 (en) * | 2015-04-08 | 2018-01-02 | Microsemi Semiconductor Ulc | Low latency digital clock fault detector |
| US9897651B2 (en) * | 2016-03-03 | 2018-02-20 | Qualcomm Incorporated | Ultra-fast autonomous clock monitoring circuit for safe and secure automotive applications |
-
2018
- 2018-09-27 US US16/143,841 patent/US10649487B2/en active Active
-
2019
- 2019-03-18 TW TW108109156A patent/TWI801526B/zh active
- 2019-06-27 DE DE112019003419.7T patent/DE112019003419T5/de active Pending
- 2019-06-27 WO PCT/US2019/039371 patent/WO2020009879A1/en active Application Filing
- 2019-06-27 CN CN201980045024.XA patent/CN112368586B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2286473A1 (en) * | 1998-10-27 | 2000-04-27 | Logicvision, Inc. | Fault insertion method, boundary scan cells, and integrated circuit for use therewith |
| ITRM20030198A0 (it) * | 2003-04-28 | 2003-04-28 | Micron Technology Inc | Monitor ad unita' di controllo basata su rom in un dispositivo di memoria. |
| US7308625B1 (en) * | 2003-06-03 | 2007-12-11 | Nxp B.V. | Delay-fault testing method, related system and circuit |
| WO2005071426A1 (en) * | 2004-01-19 | 2005-08-04 | Koninklijke Philips Electronics N.V. | Testing of circuits with multiple clock domains |
| FR2926141A1 (fr) * | 2008-01-03 | 2009-07-10 | Commissariat Energie Atomique | Procede pour l'amelioration de la precision de detection et de localisation de defauts par reflectometrie dans un reseau electrique cable |
| CN102782603A (zh) * | 2010-03-26 | 2012-11-14 | 密克罗奇普技术公司 | 故障安全振荡器监测与报警 |
| CN102412830A (zh) * | 2010-08-23 | 2012-04-11 | 瑞昱半导体股份有限公司 | 时钟信号合成的方法与装置 |
| CN105067933A (zh) * | 2015-08-31 | 2015-11-18 | 中国人民解放军63908部队 | 用于电子装备测试性验证与评估的通用系统及测试方法 |
| CN106059701A (zh) * | 2016-08-17 | 2016-10-26 | 北京航空航天大学 | 一种通过捕获协议控制帧测试时间触发以太网的时钟同步修正值的装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US10649487B2 (en) | 2020-05-12 |
| TWI801526B (zh) | 2023-05-11 |
| CN112368586A (zh) | 2021-02-12 |
| TW202007084A (zh) | 2020-02-01 |
| WO2020009879A1 (en) | 2020-01-09 |
| US20200012313A1 (en) | 2020-01-09 |
| DE112019003419T5 (de) | 2021-03-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112368586B (zh) | 具有故障注入的失效安全时钟监视器 | |
| US8868989B2 (en) | System for testing error detection circuits | |
| US8909971B2 (en) | Clock supervision unit | |
| CN110999086B (zh) | 容错时钟监视器系统 | |
| KR100296984B1 (ko) | 전자제어장치용감시시스템 | |
| JP2013061863A (ja) | 電子制御装置 | |
| EP3971594A1 (en) | Automatic fault injection in a clock monitor unit | |
| JP2012022364A (ja) | 半導体装置 | |
| US9697065B1 (en) | Systems and methods for managing reset | |
| US8825446B2 (en) | Independently based diagnostic monitoring | |
| EP3971595A1 (en) | Fault injection in a clock monitor unit | |
| JP2003248598A (ja) | マイクロコントローラ及びマイクロコントローラの故障検出方法 | |
| EP2580864B1 (en) | Integrated circuit device, electronic device and method for detecting timing violations within a clock | |
| US10067182B2 (en) | Semiconductor device having circuitry for detecting abnormalities in a power supply wiring network | |
| US9672111B2 (en) | Load control backup signal generating circuit | |
| JP2019506746A (ja) | 耐短絡出力ピン回路要素 | |
| CN109753404B (zh) | 控制系统状态监测电路、方法及控制系统中央处理器 | |
| US11656276B2 (en) | Monitoring circuit and method for function monitoring | |
| JP2016203764A (ja) | 車両の電子制御装置 | |
| JP2015232766A (ja) | 定周期信号監視回路及び負荷制御用バックアップ信号発生回路 | |
| JP5730173B2 (ja) | 自己診断機能付き装置 | |
| KR101519351B1 (ko) | 태스크 수행 진단 장치 | |
| JP2010003199A (ja) | 半導体集積回路装置 | |
| JP2012088963A (ja) | マイクロコンピュータ及びその制御方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant |