CN112987680A - 用于避免安全系统中的故障传播的设备、系统和方法 - Google Patents
用于避免安全系统中的故障传播的设备、系统和方法 Download PDFInfo
- Publication number
- CN112987680A CN112987680A CN202011381891.1A CN202011381891A CN112987680A CN 112987680 A CN112987680 A CN 112987680A CN 202011381891 A CN202011381891 A CN 202011381891A CN 112987680 A CN112987680 A CN 112987680A
- Authority
- CN
- China
- Prior art keywords
- component
- safety
- fault
- input signal
- isolation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 42
- 238000002955 isolation Methods 0.000 claims abstract description 118
- 230000001902 propagating effect Effects 0.000 claims abstract description 30
- 230000008878 coupling Effects 0.000 claims abstract description 6
- 238000010168 coupling process Methods 0.000 claims abstract description 6
- 238000005859 coupling reaction Methods 0.000 claims abstract description 6
- 230000000116 mitigating effect Effects 0.000 claims abstract description 5
- 230000007246 mechanism Effects 0.000 claims description 34
- XBWAZCLHZCFCGK-UHFFFAOYSA-N 7-chloro-1-methyl-5-phenyl-3,4-dihydro-2h-1,4-benzodiazepin-1-ium;chloride Chemical compound [Cl-].C12=CC(Cl)=CC=C2[NH+](C)CCN=C1C1=CC=CC=C1 XBWAZCLHZCFCGK-UHFFFAOYSA-N 0.000 claims description 5
- 230000006870 function Effects 0.000 description 40
- 208000027418 Wounds and injury Diseases 0.000 description 14
- 230000006378 damage Effects 0.000 description 14
- 238000000354 decomposition reaction Methods 0.000 description 14
- 208000014674 injury Diseases 0.000 description 14
- 230000009467 reduction Effects 0.000 description 8
- 230000004044 response Effects 0.000 description 6
- 238000012544 monitoring process Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 230000001939 inductive effect Effects 0.000 description 4
- 230000000977 initiatory effect Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 231100001261 hazardous Toxicity 0.000 description 2
- 239000003999 initiator Substances 0.000 description 2
- 230000000135 prohibitive effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 241000233805 Phoenix Species 0.000 description 1
- 206010039203 Road traffic accident Diseases 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000003362 replicative effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H02—GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
- H02H—EMERGENCY PROTECTIVE CIRCUIT ARRANGEMENTS
- H02H3/00—Emergency protective circuit arrangements for automatic disconnection directly responsive to an undesired change from normal electric working condition with or without subsequent reconnection ; integrated protection
- H02H3/08—Emergency protective circuit arrangements for automatic disconnection directly responsive to an undesired change from normal electric working condition with or without subsequent reconnection ; integrated protection responsive to excess current
-
- H—ELECTRICITY
- H01—ELECTRIC ELEMENTS
- H01L—SEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
- H01L27/00—Devices consisting of a plurality of semiconductor or other solid-state components formed in or on a common substrate
- H01L27/02—Devices consisting of a plurality of semiconductor or other solid-state components formed in or on a common substrate including semiconductor components specially adapted for rectifying, oscillating, amplifying or switching and having potential barriers; including integrated passive circuit elements having potential barriers
- H01L27/0203—Particular design considerations for integrated circuits
- H01L27/0248—Particular design considerations for integrated circuits for electrical or thermal protection, e.g. electrostatic discharge [ESD] protection
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0208—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the configuration of the monitoring system
- G05B23/0213—Modular or universal configuration of the monitoring system, e.g. monitoring system having modules that may be combined to build monitoring program; monitoring system that can be applied to legacy systems; adaptable monitoring system; using different communication protocols
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24065—Real time diagnostics
-
- H—ELECTRICITY
- H01—ELECTRIC ELEMENTS
- H01L—SEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
- H01L27/00—Devices consisting of a plurality of semiconductor or other solid-state components formed in or on a common substrate
- H01L27/02—Devices consisting of a plurality of semiconductor or other solid-state components formed in or on a common substrate including semiconductor components specially adapted for rectifying, oscillating, amplifying or switching and having potential barriers; including integrated passive circuit elements having potential barriers
- H01L27/0203—Particular design considerations for integrated circuits
- H01L27/0248—Particular design considerations for integrated circuits for electrical or thermal protection, e.g. electrostatic discharge [ESD] protection
- H01L27/0251—Particular design considerations for integrated circuits for electrical or thermal protection, e.g. electrostatic discharge [ESD] protection for MOS devices
- H01L27/0255—Particular design considerations for integrated circuits for electrical or thermal protection, e.g. electrostatic discharge [ESD] protection for MOS devices using diodes as protective elements
Landscapes
- Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Condensed Matter Physics & Semiconductors (AREA)
- Computer Hardware Design (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Automation & Control Theory (AREA)
- Regulating Braking Force (AREA)
- Valves And Accessory Devices For Braking Systems (AREA)
Abstract
本公开涉及用于避免安全系统中的故障传播的设备、系统和方法。本公开的各种实施方案涉及用于减轻两个或更多个安全部件之间的故障传播的设备、系统和方法。用于避免故障在两个或更多个安全部件之间传播的系统可包括输出输入信号的控制单元、电耦接以从控制单元接收输入信号的第一安全部件;第二安全部件,该第二安全部件电耦接以从控制单元接收输入信号;和第一隔离部件,该第一隔离部件被电设置在控制单元与第一安全部件之间并且还将控制单元与第一安全部件耦接。第一安全部件和第二安全部件中的每一者至少通过公共引线电耦接到控制单元。第一隔离部件防止相对于第一安全部件产生的第一IC故障经由输入信号传播到第二安全部件。
Description
技术领域
本文所述的技术总体涉及用于避免安全系统中的故障传播的设备、系统和方法。更具体地,本文所述的技术总体涉及汽车和其他功能安全标准以及用以遵从此类标准的设备和系统。甚至更具体地,本文所述的技术涉及避免故障状况在机动车辆、其他车辆等中使用的两个或更多个安全功能和/或安全机制之间传播。本文所述的技术还总体涉及用于避免相对于安全系统中的诱发故障引发因子(dependent fault initiator)而发生的故障进行传播的设备、系统和方法。
背景技术
如今,汽车系统需要遵从各种功能安全标准。此类标准包括国际标准化组织(ISO)ISO 26262-1:2018标准及其早期版本。类似地,其他标准适用于其他形式的车辆,包括用于航空器的SIL标准。本说明书的各种实施方案涉及汽车标准,但也可应用于其他标准。
ISO 26262标准(本文中,称为“标准”)通常应用于通常可用的客运车辆中的电/电子/可编程电子(“E/E/PE”)部件(本文中,此类E/E/PE部件单独地和统称为“车辆系统”或“模块”)。该标准解决了可能由车辆系统故障以及此类车辆系统中的两个或更多个之间的交互引起的可能的危险。标准的副本可在线获得,可从https://www.iso.org/standard/68383.html进行购买。
众所周知,该标准是基于风险的安全标准。该标准通过依靠响应于车辆系统中的/伴随车辆系统的错误或故障状况(本文中,称为“故障”)以及如果故障不可控则此类故障是否可能导致危险事件和/或以其他方式解决而正确操作的自动保护来提供车辆、其乘客和其他人(诸如,路人)的安全性。危险事件的示例包括但不限于机动车辆事故(在本文中,称为“危险”)。为了解决、防止和尽可能最小化由故障和危险所产生的风险,评估车辆系统并向该车辆系统分配一个或多个安全目标(在本文中将此类评估和安全目标的分配标识为“危险分析”)。
如图1所示,危险分析包括根据如果发生故障则可能产生的伤害概率对伤害严重性来对潜在故障进行分类,并且根据如果发生故障的故障可控性来对潜在故障进行分类。如图所示,一种或多种“措施”可减少不可接受伤害与可接受伤害的比率。
如下表1所示,伤害概率可出现在从低到高的概率范围内,并且也通常表示为“暴露”(如图1所包括的表中提供的“暴露E”列所示)。伤害的严重性可出现在从低到高的严重性范围内,其中具有较高严重性的伤害可能危及生命(如图1所包括的表中提供的“严重性S”列所示)。伤害的可控性可出现从高C1到低C3的可控性范围内(如图1所包括的表中提供的“可控性C”列所示)。高可控性等级C1通常指示当出现给定故障时,对此类故障的响应是“可控的”。相比之下,低可控性等级C3指示如果发生故障,则从其恢复是不可控制的。或者,简单而言,C3故障可能导致对汽车驾驶员或其他人的重大伤害,包括可能致死。
表1
简而言之,危险分析涉及安全目标和安全措施的创建,这些安全目标和安全措施都被设计成将危险降低到可接受的风险水平。安全措施由“安全部件”来实现,该“安全部件”包括由一个或多个“安全机制”监测的一个或多个“安全功能”。安全机制实质上是被提供以确保由给定的一个或多个安全功能来实现给定的安全目标的一个或多个验证和/或确认措施。每个安全功能提供在车辆系统中检测到故障时执行的预定响应。当检测到一个或多个安全功能中的故障时,安全机制通常导致车辆被配置成“安全状态”(也称为“故障安全”状态)和/或作为不同操作水平进行的功能状态(通常称为“故障功能”状态)。例如,“故障安全”状态可能导致车辆变得不可操作,并且通常需要拖车服务。“故障功能”状态可导致尽管车辆处于降低的功能,诸如禁止车辆速度超过特定速度(直到故障得到解决)、禁用部件(诸如气囊展开机构断电)或其他情况,但该车辆仍然是可操作的。
为了进一步限定此类安全目标、安全功能以及任何给定的单点故障所需的安全机制,可向各种车辆系统中的一种或多种分配一个或多个汽车安全完整性等级(每个都是“ASIL”)。如图1所示,ASIL分类提供了从ASIL A到ASIL D的安全目标范围(其中A是最不严格的,并且D是最严格的)。更具体地,这些ASIL安全目标中的每一个指定单点故障度量(SPFM)——由安全机制覆盖或不影响安全目标的故障的百分比(%),如下所述:ASIL B=90%,ASIL C=97%,并且ASIL D=99%。就ASIL而言,不指定百分比。如图1所提供的表所示,相对于具有最高严重等级、最高暴露等级以及不可控(即,它们具有C3可控性等级——指示如果发生故障,则驾驶员缺少可控性)的那些故障而出现ASIL D故障。
更具体地,ASIL D危险事件是具有导致危及生命的伤害的合理概率的事件,其中在大多数操作状态下,伤害在物理上是可能的,并且相对于该事件,驾驶员几乎没有(如果有的话)防止伤害的机会。ASIL D事件的示例是在驾驶车辆并且车辆未发生意外时不受控/随机的安全气囊动作。在车辆移动时,不受控的气囊展开如果不导致车辆的一个或多个乘员或其他乘员死亡,也可能导致严重的身体伤害。
为了解决ASIL风险,该标准提供了可通过将风险“分解”(或分散)到从属车辆系统中来满足给定的安全目标,每个从属车辆系统具有较低的ASIL等级。对应的安全功能可通过向冗余功能提供故障转移、使用两个独立功能来确定相同参数(例如,使用速度传感器和驱动轴RPM传感器来确定车辆的当前速度特性)或其他方式来实现。
即,可通过将安全功能(及其安全机制监测)分解为被分配给多个车辆系统(每个车辆系统具有低风险等级)的一个或多个安全要求来满足安全目标,从而避免单点故障风险。
例如,如图2所示,ASIL D事件可“分解”到从属车辆系统中,该从属车辆系统以低于临界水平操作,包括以质量管理(QM)水平操作——不需要安全措施的水平,因为危险事件的风险不是不合理的。在ISO 26262-03:2018的注释2和5.4.5.1节中定义QM标准。图2提供了ASIL分解的一个示例。粗体“D”指示在能够由两个或更多个从属车辆系统满足的优异ASIL水平(诸如ASIL D)的分解之前,每个从属车辆系统具有较低的ASIL水平,诸如与ASILA额定组分组合的ASIL C额定组分,或两个ASIL B额定组分(诸如冗余ASIL B组分),或与QM额定组分组合的ASIL D额定组分。
在图3中,示出了可在诸如气囊系统300的车辆系统、安全功能302和安全机制304之间提供的关系的示例性表示。如图所示,安全功能302可包括一个或多个电路,诸如加速度计306、增益级308和模数(A/D)转换器310。安全机制304可监视此类电路中的一个或多个电路的正确操作。应当理解,加速度计306可用于确定是否应当展开气囊(如车辆突然、剧烈的去加速度所证实的那样),并且安全机制304可用于验证加速度计306是否正确操作,并且确保了例如正确地操作气囊系统而不意外展开的安全功能。如果这些电路中的任一个例如因加速度计306内部或加速度计306与增益级308之间的连接上的“故障”而如所指示的那样发生故障,则可能违反所给定的安全要求(如虚线所示)。对于ASIL D要求,99%的此类故障必须通过适当的纠正措施(此类纠正措施为“响应”)来检测和解决,以便车辆系统遵从标准。应当理解,响应可基于所检测到的故障和其他因素而变化。
还应当理解,诸如由集成电路(“IC”)提供的硬件模块的车辆系统通常也可基于与诸如管芯(die)和与此类管芯一起使用的“封装件(package)”的、用于提供该IC的部件相关联的ASIL等级而受到影响。IC的ASIL等级可因此取决于与管芯和封装件(或其他可单独识别的部件)中的每一者相关联的SPFM。此类SPFM可按照下面的方程1和方程2在数学上进行表示,其中λ是时间故障的概率(“FIT”),表示为车辆系统使用时的十(10)亿小时中的一个故障,“SPF”是单点故障,并且“SR”是安全相关电路。λSPF是表示在十(10)亿小时内违反安全要求并且仍然未检测到的故障的数量的概率的值。λSR是表示在十(10)亿小时内在电子系统的安全相关部件中的单个故障的概率的值。应当理解,并非安全相关电路中的所有故障都会导致违反安全要求。此外,一些实施方式通常期望与用于管芯和封装件两者的方程1和方程2一致。
方程1
方程2
还应当理解,封装件(或其他部件)可能基于其单个元件(诸如与封装件一起提供和/或使用的单个焊线(BW))的故障而故障。此类单点故障可抑制遵从一个或多个AISL等级。例如,当封装件设置有十六(16)个BW时,单个BW的故障可能导致违反ASIL C和ASIL D两者的要求。如图2所示,ASIL分解因此可能需要使用ASIL B冗余IC或部件的其他组合;此类组合可能成本过高和复杂度过高。
此外,系统设计者常常寻求避免诱发故障。诱发故障实质上是相对于一个车辆系统出现的故障,可能是对另一车辆系统常见的故障。诱发故障可被识别为常见原因故障、级联故障等。为了解决诱发故障和满足ASIL要求,系统设计者通常寻求避免此类诱发故障的引起因素——诱发故障引发因子(DFI)。
然而,DFI不限于车辆系统,并且可存在于安全部件自身中。即,提供到安全功能和安全机制中的每一者的信号的单点故障可导致DFI,这使安全功能和安全机制中的一者或多者无效或者以其他方式导致安全功能和安全机制中的一者或多者中不期望的响应。例如,提供到安全功能和安全机制中的每一者的诸如时钟、复位、电源、参考电压、偏置电流或其他的控制输入信号中的传播故障可能在用于一个或多个车辆系统(根据图3的模块)的一个或多个安全部件中导致DFI。然而,当前可用的设备、系统和方法仍未解决在安全部件中避免此类传播的DFI的问题。因此,本公开的各种实施方案需要和提供避免安全部件中的故障传播和传播DFI的设备、系统和方法。
发明内容
本公开的各种实施方案描述了用于避免安全系统中的故障传播和诱发故障引发的设备、系统和方法。
根据本公开的至少一个实施方案,用于避免故障传播到安全部件的系统可包括输出输入信号的控制单元;第一部件,该第一部件被电耦接以从控制单元接收输入信号;安全部件,该安全部件被电耦接以从控制单元接收输入信号;和第一隔离部件,该第一隔离部件被电设置在控制单元与第一部件之间,并且还将控制单元与第一部件耦接。对于至少一个实施方案,第一部件和安全部件中的每一者可至少通过公共引线电耦接到控制单元。对于至少一个实施方案,第一隔离部件可被配置成防止相对于第一部件产生的第一IC故障经由输入信号传播到安全部件。
对于至少一个实施方案,用于避免故障传播到安全部件的系统可包括使用被配置成提供第一安全功能的第一部件以及被配置成提供第一安全机制的安全部件。
对于至少一个实施方案,用于避免故障传播到安全部件的系统可包括使用被配置成提供第一安全功能的第一部件以及被配置成提供第二安全功能的安全部件。
对于至少一个实施方案,用于避免故障传播到安全部件的系统可包括使用被配置成提供第一安全机制的第一部件以及被配置成提供第二安全机制的安全部件。
对于至少一个实施方案,用于避免故障传播到安全部件的系统可包括使用包括电流隔离部件的第一隔离部件。
对于至少一个实施方案,用于避免故障传播到安全部件的系统可包括使用包括电压隔离部件的第一隔离部件。
对于至少一个实施方案,用于避免故障传播到安全部件的系统可包括使用第二隔离部件,该第二隔离部件电设置在控制单元与安全部件之间,并且还将控制单元与该安全部件耦接。对于至少一个实施方案,第二隔离部件可被配置成防止相对于安全部件产生的第二IC故障经由输入信号传播到第一部件。如下文所述和本文所使用的,“第一IC故障”用于识别相对于第一IC或第一非安全部件产生的故障,并且“第二IC故障”用于识别相对于第二IC或第二非安全部件产生的故障。
对于至少一个实施方案,用于避免故障传播到安全部件的系统可包括使用第一隔离部件和第二隔离部件,该第一隔离部件和该第二隔离部件被配置成具有基本上相同阻抗的电流隔离部件。
对于至少一个实施方案,用于避免故障传播到安全部件的系统可被配置成进行操作,使得第一IC故障导致提供到安全部件的输入信号的非实质性改变,并且第二IC故障导致提供到第一部件的输入信号的非实质性改变。
对于至少一个实施方案,用于避免故障传播到安全部件的系统可被配置成进行操作,使得当第一IC故障和第二IC故障中的至少一者包括短路故障时,在短路故障期间,提供到非故障安全部件的输入信号的电压电位介于由控制单元在非故障操作状态期间生成的输入信号的输出电压电位的百分之七十五(75%)和百分之百(100%)之间。
对于至少一个实施方案,用于避免故障在两个或更多个安全部件之间传播的系统可被配置成在第一IC故障和第二IC故障中的一者包括开路故障时进行操作。在这种情况下,当在无故障状况下至少部分地使用当前发生故障的第一IC的输入阻抗将提供到第二非故障IC的输入信号的电流转换为第二IC的所需输入电压时,故障可传播。因此,根据本公开的至少一个实施方案,提供到非故障安全部件的输入信号的电压电位介于由控制单元在非故障操作状态期间生成的输入信号的输出电压电位的百分之二十五(25%)和百分之百(100%)之间。
对于至少一个实施方案,用于避免故障在两个或更多个安全部件之间传播的系统可被配置成与机动车辆安全系统、车辆气囊系统、自驾驶车辆系统、车辆车道保持辅助系统和车辆自动化制动系统一起使用。
对于至少一个实施方案,用于避免故障传播到安全部件的系统可被配置成防止相对于第二安全部件产生的第二IC故障经由输入信号传播到第一安全部件,使得有利于车辆系统在故障功能操作模式下继续操作。
对于至少一个实施方案,用于避免故障传播到安全部件的系统可被配置用于作为机动车辆系统、车辆气囊系统、自驾驶车辆系统、车辆车道保持辅助系统和车辆自动化制动系统中的至少一者的车辆系统中。
对于至少一个实施方案,用于避免故障在两个或更多个安全部件之间传播的系统可被配置用于航空器系统中。
根据本公开的至少一个实施方案,用于避免安全系统中的故障传播的封装件可包括被配置成接收管芯引脚的插孔。该管芯可包括控制单元集成电路。该封装件还可包括第一输出引脚和第二输出引脚,该第一输出引脚首先经由插孔将管芯引脚电耦接到第一安全部件,并且该第二输出引脚其次经由插孔将管芯引脚电耦接到第二安全部件。对于至少一个实施方案,第一安全部件和第二安全部件中的每一者可被配置成经由管芯引脚以及分别经由第一输出引脚和第二输出引脚从控制单元接收控制信号。
根据本公开的至少一个实施方案,用于避免安全系统中的故障传播的封装件还可包括隔离构件,该隔离构件被配置成将第一输出引脚与第二输出引脚电隔离。隔离构件可被配置成防止相对于第一安全部件和第二安全部件中的一者产生的故障经由封装件中设置的插孔而传播到另一安全部件。
根据本公开的至少一个实施方案,用于避免安全系统中的故障传播的封装件可包括作为电流隔离构件的隔离构件。
根据本公开的至少一个实施方案,用于避免安全系统中的故障传播的封装件可包括隔离构件,该隔离构件被配置成单个隔离构件,该单个隔离构件被配置成所提供的阻抗为在不使用该单个隔离构件的情况下在管芯引脚与第一输出引脚和第二输出引脚中的每一者之间产生的公共阻抗的至少三倍。
根据本公开的至少一个实施方案,用于避免安全系统中的故障传播的封装件可包括插孔,该插孔被配置成将控制信号分成第一控制信号和第二控制信号,该第一控制信号经由第一控制信号连接提供到第一安全部件,并且该第二控制信号经由第二控制信号连接提供到第二安全部件。
根据本公开的至少一个实施方案,用于避免安全系统中的故障传播的封装件可包括隔离构件,该隔离构件被配置成防止相对于与第一安全部件一起使用的第一控制信号连接而产生的故障传播到第二安全部件。对于至少一个实施方案,该隔离构件可被配置成防止相对于与第二安全部件一起使用的第二控制信号连接而产生的故障传播到第一安全部件。
根据本公开的至少一个实施方案,用于缓解故障从第一安全部件传播到第二安全部件的方法可包括将第一输入信号和第二输入信号中的至少一者隔离。对于至少一个实施方案,第一输入信号和第二输入信号中的每一者可由控制单元电输出的公共输入信号产生,以供第一安全部件和第二安全部件中的每一者各自使用。对于至少一个实施方案,可将第一输入信号电提供到第一安全部件,并且可将第二输入信号电提供到第二安全部件。
根据本公开的至少一个实施方案,用于缓解故障从第一安全部件传播到第二安全部件的方法可包括通过使用第一阻抗将第一输入信号中提供的第一电流与第二输入信号中提供的第二电流隔离。
根据本公开的至少一个实施方案,用于缓解故障从第一安全部件传播到第二安全部件的方法可包括通过使用二极管将第一输入信号中提供的第一电压与第二输入信号中提供的第二电压隔离。
附图说明
本文针对以下描述和附图中的至少一者进一步公开了由本公开的各种实施方案提供的设备、系统和方法的特征、方面、优点、功能、模块和部件。在附图中,相同类型的类似部件或元件可具有相同的参考标号并且可包括附加的字母指示符,诸如108a-108n等,其中该字母指示符指示带有相同参考标号(例如,108)的部件具有共同的特性和/或特征。此外,部件的各种视图可通过第一参考标记后跟连接号和第二参考标记来区分,其中出于该描述的目的,第二参考标记用于指定该部件的视图。如果在本说明书中仅使用了第一参考标记,则该描述适用于具有相同的第一参考标号的任何类似组件和/或视图,而不考虑任何附加的字母指示符或第二参考标号(如果有的话)。
图1是示出可用于评估与车辆系统相关联的危险风险的已知的伤害概率对伤害严重性的表示的曲线图。
图2是可用于降低与车辆系统相关联的危险风险的已知的ASIL分解的图形表示。
图3是车辆系统、安全功能和安全机制之间的关系的示例性表示。
图4A是根据本公开的至少一个实施方案的用于防止故障在两个或更多个安全部件之间传播的第一系统的示意性表示。
图4B是根据本公开的至少一个实施方案的用于防止故障在两个或更多个安全部件之间传播的第二系统的示意性表示。
图4C是根据本公开的至少一个实施方案的用于防止故障在两个或更多个安全部件之间传播的第三系统的示意性表示。
图5是根据本公开的至少一个实施方案的用于防止故障在两个或更多个安全部件之间传播并同时还提供ASIL分解的第四系统的示意性表示。
图6是根据本公开的至少一个实施方案的用于防止故障在两个或更多个安全部件之间传播的第五系统的示意性表示。
图7是根据本公开的至少一个实施方案的用于防止故障在两个或更多个安全部件之间传播的第六系统的示意性表示。
图8是根据本公开的至少一个实施方案的用于防止故障在两个或更多个安全部件之间传播的方法的流程图。
具体实施方式
本文所述的各种实施方案涉及用于避免安全系统中的故障传播和诱发故障引发的设备、系统和方法。
如图4A至图4C所示,对于本公开的至少一个实施方案,用于防止两个或更多个安全部件之间的DFI的系统400包括控制单元402,该控制单元通过公共引线403电耦接至由第一IC 404提供的安全功能以及由第二IC 406提供的安全机制中的每一者。在本文中,术语“控制单元”包括向安全部件提供输入信号的任何电子电路或设备。“控制单元”的非限制性示例包括提供偏置电流的设备、LVDS发射器和主控制单元。在本文中,术语“安全功能”和“第一IC”可互换使用,指代提供期望的安全功能以促进满足安全目标的一个或多个部件。类似地,术语“安全机制”和“第二IC”可互换使用,指代提供对一个或多个安全功能的监测的一个或多个部件。如图所示,由第一IC 404提供的安全功能以及由第二IC 406提供的安全机制通过监测链路407电耦接和/或通信耦接,以便于通过由第二IC 406提供的安全机制监测由第一IC 404提供的安全功能等。
可提供由第一IC 404提供的安全功能以及由第二IC 406提供的安全机制以监测一个或多个车辆系统/模块408,并且提供对安全目标(诸如针对一个或多个车辆系统/模块408指定的ASIL安全目标)的遵从性。可利用第一IC 404和第二IC 406的相对于由控制单元402提供的公共引线的任何所需配置。
公共引线403可用于向第一IC 404和第二IC 406中的每一者提供公共输入、电力和/或控制信号(在本文中,单独地和共同地各自为“输入信号”405)。对于至少一个实施方案,使用公共引线403来提供输入信号405。将公共引线403分成第一公共引线403a和第二公共引线403b的并联引线,该第一公共引线403a和第二公共引线403b分别耦接至第一IC 404和第二IC 406中的每一者。因此,将输入信号405作为第一输入信号405a和第二输入信号405b来提供。输入信号405的非限制性示例包括启用信号、时钟信号、复位信号、电力、参考电压、偏置电流、数据信号等。
对于至少一个实施方案,在公共引线403和控制单元402之间产生公共阻抗412。公共阻抗412可用于调节如由控制单元402提供到由第一IC 404提供的安全功能以及由第二IC 406提供的安全机制中的每一者的、输入信号405中的电流。
如本文进一步讨论的,公共阻抗412可与诸如第一隔离部件410a和第二隔离部件410b(图4B)的一个或多个隔离部件耦接,以避免第一IC故障416a传播到第二IC 406,并且避免第二IC故障416b传播到第一IC 404。当系统400中存在隔离部件时,隔离引线414将给定的安全部件与该隔离部件耦接。更具体地,在图4A和图4C中,第一隔离引线414a将第一IC404与第一隔离部件410a耦接,并且在图4B和图4C中,第二隔离引线414b将第二IC 406与第二隔离部件410b耦接。
对于通常在0.1V至1V范围内提供输入信号405的至少一个实施方案,公共阻抗412可为100欧姆至300欧姆的阻抗,第一隔离部件410a和第二隔离部件410b中的每一者的隔离阻抗是公共阻抗的三倍(3x)。对于其中对地短路生成给定故障的至少一个实施方案,给定故障安全部件的隔离阻抗导致对非故障安全部件的输入电压处于来自控制单元402的输出电压的75%-100%内。类似地,对于其中对电源短路生成给定故障的另一个实施方案,给定故障安全部件的隔离阻抗导致对非故障安全部件的输入电压处于来自控制单元402的输出电压的0%-25%内。
如图4A所示并且对于至少一个实施方案,系统400还可包括第一隔离部件410a。如图4B所示并且对于至少一个实施方案,系统可包括使用第二隔离部件410b。如图4C所示并且对于至少一个实施方案,可使用第一隔离部件410a和第二隔离部件410b中的每一者。
对于至少一个实施方案,隔离部件的故障不影响与给定安全目标相关联的SPFM。对于至少一个实施方案,如果存在任何潜在的故障影响,则第一隔离部件410a和/或第二隔离部件410b上的故障可导致最小的潜在故障影响。添加隔离器对安全度量的较低影响可通过研究隔离元件本身的可能故障来理解,例如形成短路或开路,短路故障对安全元件的影响可忽略不计,并且开路故障将很容易检测到。更具体地,对于短路情况,安全部件将以与不存在隔离器时相同的方式操作。对于开路情况,与故障隔离部件相关联的安全部件的正常操作将受到影响。但是,该隔离部件的故障是可检测到的,这样该系统就可检测到,并且进入适当的安全状态,其中如果存在对SPF或LFM的任何影响,则该影响也可忽略不计。除此之外,根据无故障状况下给定电路连接的总阻抗,添加隔离器对无故障的功能操作没有影响,因为隔离元件的附加阻抗处于最小限度。例如,当未产生故障状况时,公共阻抗412可以是例如三百欧姆(300Ω),第一隔离部件410a可提供一千欧姆(1KΩ)的阻抗,并且安全功能404的输入阻抗可以是一万欧姆(10KΩ)。这导致由于使用第一隔离部件410a而产生的附加阻抗小于由公共引线403和第一公共引线403a形成的电路的总阻抗的百分之十(10%)。
对于至少一个实施方案,第一隔离部件410a和/或第二隔离部件410b可包括一个或多个电流隔离部件。对于至少一个实施方案,该电流隔离部件可包括电阻器。对于至少一个实施方案,第一隔离部件410a和/或第二隔离部件410b中使用的电阻器提供各自的第一阻抗和第二阻抗。对于至少一个实施方案,第一阻抗和第二阻抗基本相同。对于至少一个实施方案,第一阻抗和第二阻抗不同。对于至少一个实施方案,第一阻抗和第二阻抗各自提供比公共阻抗大至少三倍(3x)的阻抗。
对于至少一个实施方案,一个或多个第一隔离部件410a和第二隔离部件410b是电压隔离部件。对于至少一个实施方案,电压隔离部件包括二极管。对于至少一个实施方案,一个或多个电压隔离部件抑制在第一IC 404和第二IC 406中的第一个中产生的过电压或欠电压故障状况传播到另一个中。对于至少一个实施方案,一个或多个电压隔离部件抑制输入信号405中的电压变化大于预期电压的0%至50%(过压条件)和/或小于预期电压的0%至50%(欠压条件)。
对于至少一个实施方案并且当未出现故障状况时,第一公共引线403a上的第一输入信号405a以及第二公共引线403b上的第二输入信号405b中的每一者具有基本相同的电压和电流。因此,应当理解,使用第一隔离部件410a和/或第二隔离部件410b防止例如在第一IC 404处产生的故障通过第一公共引线403a和第二公共引线403b而传播到第二IC 406,反之亦然。
对于至少一个实施方案,通过在系统400中包括第一隔离部件410a和/或第二隔离部件410b中的一者或多者,在第一IC 404或第二IC 406中的任一者处产生的故障将不会传播到相应的另一个非故障IC。应当理解,通过结合公共阻抗412使用第一隔离部件410a和第二隔离部件410b中的一者或多者有效地形成了分压器电路。因此,可由本领域的普通技术人员使用已知原理容易地计算在故障和无故障状况下提供到安全部件的电压。例如并参见图4A,目标可以是向第一IC 404和第二IC 406两者提供处于诸如“高电平”(例如,当IO提供3V信号时)的第一给定电平的给定输入信号405。当在第二IC 406处产生故障状况(例如,短路接地)时,由公共阻抗412和第二隔离部件410b形成的分压器电路导致提供到第一IC 404的电压减小仅25%(当第一隔离部件为公共阻抗的三倍(3x)并且短路接地阻抗为0欧姆时)。提供到第一IC 404的这种降低的电压有利地足以使第一IC 404将第一输入信号405a解释为处于第一IC 404的预期用途的高电平。类似地,目标可以是向第一IC 404和第二IC406两者提供处于诸如“LOW电平”(例如,当IO提供0V信号时)的第二给定电平的给定输入信号405。当在第二IC 406处产生故障状况(例如,短路供电)时,由公共阻抗412和第二隔离部件410b形成的分压器电路导致提供到第一IC 404的电压被限制为增大百分之二十五(25%),并且因此被以将被第一IC 404解释为处于LOW电平的电压来提供。
如图5所示并且对于本公开的至少一个实施方案,系统500可包括使用第三隔离部件504,该第三隔离部件提供一个或多个监测链路502或电耦接第一IC 404与第二IC 406的其他链路(诸如电力链路)之间的隔离。应当理解,第三隔离部件504与第一隔离部件410a和第二隔离部件410b中的一者或多者的组合可有利于安全部件的分解。例如,当第一IC 404具有QM(D)等级并且第二IC 406具有ASIL D(D)时,由于独立地提供第一IC 404和第二IC406并且该第一IC 404和第二IC 406由第一隔离部件410a/第二隔离部件410b/第三隔离部件504隔离,因此所组合的安全部件通过使用分解来满足标准。
此外,应当理解,因为如由第二IC 406的非故障安全部件接收的第二输入信号405b不受第一IC故障416a的显著影响,所以第一IC故障416a将不影响由第二安全部件提供的操作。更具体地,上面讨论的分压器原理也可用于避免例如相对于安全功能产生的第一IC故障传播到提供例如安全机制的第二IC。第一隔离部件410a使第二IC 406/安全机制能够继续正确地操作,检测安全功能的故障,并且将对应的错误信号输出到适当的系统控制器。当提供冗余系统时,应当理解,根据本公开的实施方案,使用一个或多个隔离部件可用于使“故障功能”操作原理更容易。因此并且对于至少一个实施方案,相对于第一安全系统A中的安全功能产生的故障将不会影响车辆系统是否检测到此类故障,并且不会转移到完全冗余的第二安全系统B,从而提供故障功能操作方法。
因此,根据图4A至图4C以及图5中的一个或多个所示的系统,第一安全部件中的故障将不会传播到第二安全部件,并且可在不分解(根据图4A至图4C)或分解(根据图5)的情况下提供标准兼容的安全部件。因此,本公开的一个或多个实施方案还限制了车辆系统的“故障安全”和“故障功能”操作原理。
如图6所示,提供了本公开的实施方案的实施方式的非限制性示例。对于该非限制性示例,安全部件可包括电耦接到定序器604、调节器606和电压监测器608中的两者或更多者的主控制单元(MCU)602。诸如第一隔离器(ISO)610a、第二隔离器610b、第三隔离器610c和第四隔离器610d的一个或多个隔离部件610a-610d可用于在定序器604、调节器606和电压监测器608中的两者或更多者之间提供电流隔离和/或电压隔离。
更具体地,可提供第一隔离器610a和第二隔离器610b中的一者或多者,以防止故障通过睡眠(“SLP”)启用连接612在定序器604与电压监测器608之间传播,该SLP启用连接使用第一SLP启用连接612A和第二SLP启用连接612b来与定序器604和电压监测器608中的每一者并行提供。对于至少一个实施方案并且当故障状况未出现时,第一SLP启用连接612a和第二SLP启用连接612b中的每一者上的启用信号可具有基本相同的电压和电流——这通常是由于与给定控制信号相关联的阻抗(例如,~300欧姆)相比,在每个部件处产生的大输入阻抗(例如,>10K欧姆)。因此,应当理解,使用第一隔离器610a防止例如在定序器604处产生的故障通过第一启用连接612a和第二启用连接612b而传播到电压监测器608。同样,第二隔离器610b防止例如在电压监测器608处产生的故障通过第二启用连接612b和第一启用连接612a而传播到定序器604。应当理解,SLP启用连接612及其子元件612a/612b可用于提供任何期望的一个或多个信号。还应当理解,图4A至图4C的实施方案中的任一个可用于提供第一隔离器610a和/或第二隔离器610b中的一者或多者。
类似地并且如图6还示出的,可提供第三隔离器610c和第四隔离器610d中的一者或多者以防止故障通过电力启用连接614而在定序器604和电压监测器608之间传播,该电力启用连接使用第一电力启用连接614a和第二电力启用连接614b与定序器604和电压监测器608中的每一者并联提供。对于至少一个实施方案并且当故障状况未出现时,第一电力启用连接614a和第二电力启用连接614b中的每一者上的电力启用信号可具有基本相同的电压和电流——这通常是由于与给定控制信号相关联的阻抗(例如,~300欧姆)相比,在每个部件处产生的大输入阻抗(例如,>10K欧姆)。因此,应当理解,使用第三隔离器610c和/或第四隔离器610d防止例如在定序器604处产生的故障通过第一电力启用连接614a和第二电力启用连接614b传播到电压监测器608,反之亦然。应当理解,电力启用连接614及其子元件614a/614b可用于提供任何期望的一个或多个信号。还应当理解,图4A至图4C的实施方案中的任一个可用于提供第三隔离器610c和/或第四隔离器610d中的一者或多者。
如图6还示出的,可在MCU 602与定序器604、调节器606和电压监测器608中的一者或多者之间提供一个或多个第三连接616。对于至少一个实施方案,由于诸如通信线路或总线的此类一个或多个第三连接616a-616b之间提供的电压和/或电流、诸如循环冗余校验的冗余校验的使用、故障安全部件等,所以此类一个或多个第三连接616a-616b可能不需要是故障隔离的。因此,应当理解,可根据本公开的至少一个实施方案相对于经受故障传播风险的那些公共连接来使用隔离器,并且可不相对于不经受故障传播的其他公共连接来使用隔离器,并且/或者可不在系统被配置成即使当故障传播通过系统时也继续操作(故障功能)的情况使用隔离器。
对于至少一个实施方案,MCU 602、定序器604、调节器606、电压监测器608和隔离器610a-d中的一者或多者可以是由美国亚利桑那州菲尼克斯的安森美半导体(ONSemiconductors)或其关联公司之一提供的部件。
如图7所示,用于防止诱发故障引发因子在两个或更多个安全部件之间传播故障的系统700的另一个实施方案包括电连接到安全功能704和安全机制706的MCU 702。安全功能704和安全机制706共同提供安全部件。提供安全部件以与一个或多个车辆系统/模块708一起使用。如图所示,MCU 702还包括管芯710和封装件712。管芯包括用于输出诸如控制信号716的至少一个信号的至少一个引脚714(或其他已知的连接器)。控制信号716分别经由第一控制信号连接718a和第二控制信号连接718b作为相同的第一控制信号716a和第二控制信号716b提供到安全功能704和安全机制706。应当理解,“控制信号”可以是任何信号,并且“控制”的使用在本文中仅用于标识的目的。
如图7示出的,封装件712包括插孔720,根据本发明的实施方案,插孔720已被配置成包括第一输出引脚722和第二输出引脚724。即,代替使用单个引脚将MCU 702与两个安全部件连接,使用两个引脚(第一输出引脚722和第二输出引脚724)并且将该两个引脚分别耦接到第一控制信号连接718和第二控制信号连接719。应当理解,第一输出引脚722和第二输出引脚724中的每一者可被配置成使得封装件712在此类引脚之间提供电流和/或电压隔离,并且使得相对于安全功能704产生的故障不通过第一控制信号连接718、第一输出引脚722和插孔720而传播到第二输出引脚724、第二控制信号连接719并传播到安全机制706,反之亦然。使用此类实施方案,应当理解,可在插孔720处使用单个隔离构件(诸如电流隔离和/或电压隔离部件)(未示出),以至少相对于公共地提供到两个安全部件的信号来提供第一输出引脚722和第二输出引脚724之间的隔离,从而提供这两个安全部件之间的隔离。
还应当理解,如本文相对于图5的实施方案所述,也可通过相对于由两个或更多个安全部件与另一个车辆部件(诸如MCU或其他)公共地共享的每个连接复制图7的冗余引脚实施方案来提供ASIL分解。
还应当理解,通过使用经修改或未经修改的图7的实施方案来促进ASIL分解,安全部件的现有配置,例如设置在一个或多个片上系统上、电路板或其他方式(在本文中,统称为“电路”),不需要修改以包括诸如电阻器、二极管等附加部件来在安全部件之间提供电流和/或电压隔离。相反,仅需要针对由两个或更多个安全部件公共地共享的那些其他的单个连接(此类连接受到故障传播问题的影响),将此类电路修改为包括一个或多个第二分隔连接。这样,第二分隔连接被配置用于与修改的封装件耦接,以包括用于现有技术实施方案的其他单一共享的连接的冗余引脚。相反,任何电流和/或电压隔离部件由诸如图7的封装件712的经修改封装件提供。
根据本公开的至少一个实施方案,设备可被配置成实践本公开的上述实施方案中的任一个。此类设备可被配置成片上系统,或以其他方式配置。对于图7的实施方案,根据本发明的设备可包括被配置成具有重复的引脚(或类似的连接结构)的封装件,重复的引脚在封装件本身内是电流和/或电压隔离的。
根据本公开的至少一个实施方案,用于避免传播的方法可包括一个或多个操作,该一个或多个操作包括当相对于第二安全部件产生故障时隔离提供到第一安全部件的输入信号,其中至少部分地使用与控制单元耦接的公共引线来为第一安全部件和第二安全部件中的每一者提供输入信号。根据此类方法并且根据本公开的至少一个实施方案,可避免第一安全部件和第二安全部件之间的故障传播,即使它们经由公共引线、通过使用一个或多个电流隔离部件和/或一个或多个电压隔离部件而彼此电耦接。电流隔离部件和/或电压隔离部件可位于给定的安全部件与结点之间,在该结点处,向第一安全部件和第二安全部件中的每一者提供公共引线。
对于此类方法的至少一个实施方案,安全部件中的每一个可在无故障操作期间被配置成接收公共输入信号。当相对于一个安全部件产生故障时,故障可影响公共输入信号的至少一个属性,诸如该公共输入信号的电压电位和/或电流。在不使用在安全部件之间提供电流隔离和/或电压隔离的隔离构件的情况下,如由非故障安全部件所接收的公共输入信号的一个或多个属性将受到故障状况的影响。
根据本公开的至少一个实施方案并且如图8所示,用于避免故障传播和/或诱发故障引发的方法可包括识别由第一安全部件和第二安全部件与第三部件公共地共享的一个或多个连接(操作800)。如果作出了识别,则可执行对此类公共连接是否存在故障传播风险(FPR,在标准中也称为“共存(coexistence)”)的评估(操作802)。如果不存在FPR,则该方法可包括评估另一个连接(操作806)。对于至少一个实施方案,评估所有识别的连接的FPR。
再次返回到操作804,如果给定连接存在FPR,则该方法可包括按类型来对FPR进行分类(操作808)。例如,FPR可表现为由电流风险(诸如由短路或开路产生的风险)、电压风险(诸如由过压或欠压状况产生的风险)、定时风险(诸如由一个安全部件以不期望的速率驱动时钟信号或其他机制产生的风险)或其他风险,和/或前述风险中的一者或多者的组合产生的故障。
基于风险分类,根据操作808,该方法可包括确定将使用的风险降低方法(操作810)。例如,如本文例如相对于图4A至图4C的实施方案所述,第一风险降低方法可涉及使用单个隔离部件或多个隔离部件。类似地,如本文例如相对于图7的实施方案所述,风险降低方法可包括使用封装件,该封装件被配置成提供多个引脚以用于公共元件与两个或更多个安全部件中的每一个之间的分隔连接。应当理解,在识别给定风险降低方法以用于减少所识别的FPR时,可考虑各种和/或许多因素。此类因素的非限制性示例包括可用的电路空间、电力要求、信号延迟考虑、射频信号抑制考虑等。因此,应当理解,将利用的风险降低方法将很可能是变化的。
根据操作812,该方法可包括确定是否需要分解FPR。应当理解,对于一个或多个实施方案,操作812可结合操作810、与操作810依次执行和/或代替操作810执行。这种关系在图8中由连接操作810和812的虚线示出。
根据操作814,选择将使用的FPR分解。应当理解,可根据上述或其他实施方案中的任一个进行FPR分解。例如,如上文例如相对于图5所述,分解可包括使用附加隔离部件,通过提供冗余系统/部件,或以其他方式进行。
根据操作816,该方法可包括确定给定的FPR是否需要进一步的分类和/或确定风险降低方法和/或分解方法。如果“是”,则该方法可继续进行操作808、810、812和814中的一者或多者。如果“否”,则该方法可继续操作806。
根据操作818,该方法可包括实施所选择的期望的降低和/或分解方法。应当理解,可在安全部件制造、组装、测试、使用或以其他方式的任何所需时间实施此类方法,并且可使用任何已知或以后出现的制造、组装或其他制造方法来实施此类方法。
根据操作820,当已经解决涉及故障传播和/或诱发故障引发的那些期望的连接时,该方法结束。
应当理解,对于本公开的所有实施方案,上述和图8中描绘的操作仅是说明性的,并且在本文并非旨在以所示的顺序、序列或以其他方式发生。可并行地执行一个或多个操作并且可不执行操作,如针对本公开的实施方案的任何给定使用所提供的。
应当理解,本文所述的本公开的各种实施方案的原理可应用于非安全相关的车辆系统和部件。例如,可在安全相关部件与非安全相关部件之间提供隔离。还应当理解,各种实施方案的原理不限于车辆系统,并且可与需要第一部件相对于第二部件的独立性的其他系统结合使用。此类其他系统的非限制性示例包括航空器和轨道系统、工业对象等。
虽然上文已经以一定程度的特殊性或者参考一个或多个单独实施方案描述了受权利要求书保护的本发明的各种实施方案,但是本领域技术人员可在不脱离受权利要求书保护的本发明的实质或范围的情况下对所公开的实施方案进行许多改变。术语“大约”或“基本上”的使用意指元件的值具有预期接近陈述值或位置的参数。然而,如本领域所熟知,可存在妨碍值恰好等于陈述值的微小变化。因此,预期差异诸如10%差值是本领域普通技术人员将预计和获知的合理差异,并且相对于本公开的一个或多个实施方案的陈述或理想目标而言是可接受的。还应当理解,术语“顶部”和“底部”、“左”和“右”、“上”和“下”、“第一”、“第二”、“下一个”、“最后一个”、“之前”、“之后”和其他类似术语仅用于描述和便于参考的目的,并非旨在限于本公开的各种实施方案的任何元件的任何取向或构型或者或操作的任何序列。此外,术语“耦接”、“连接”或其他方式不旨在限制两个或更多个设备、系统、部件之间的此类交互和信号通信或以其他方式引导交互;也可发生间接耦接和连接。此外,术语“和”和“或”并非旨在以限制或扩展性质使用,并且覆盖本公开的实施方案的元件和操作的组合的任何可能范围。因此可以设想到其他实施方案。意图在于,包含在以上描述中并且在附图中示出的所有内容应被解释为仅是对实施方案的说明而非限制。在不脱离如所附权利要求书中定义的本发明的基本要素的情况下,可以进行细节或结构的改变。
Claims (10)
1.一种用于避免故障传播到安全部件的系统,所述系统包括:
控制单元,所述控制单元输出输入信号;
第一部件,所述第一部件被电耦接以从所述控制单元接收所述输入信号;
安全部件,所述安全部件被电耦接以从所述控制单元接收所述输入信号;和
第一隔离部件,所述第一隔离部件被电设置在所述控制单元与第一安全部件之间,并且还将所述控制单元与所述第一安全部件耦接;
其中所述第一安全部件和第二安全部件至少通过公共引线电耦接到所述控制单元;并且
其中所述第一隔离部件防止相对于所述第一部件产生的第一IC故障经由所述输入信号传播到所述第二安全部件。
2.根据权利要求1所述的系统,
其中以下中的至少一者:
所述第一部件提供第一安全功能,并且所述安全部件提供第一安全机制;
所述第一部件提供所述第一安全功能,并且所述安全部件提供第二安全功能;
所述安全部件提供所述第一安全机制,并且所述安全部件提供第二安全机制;并且
其中所述系统与机动车辆安全系统、车辆气囊系统、自驾驶车辆系统、车辆车道保持辅助系统、车辆自动化制动系统和航空器系统中的至少一者一起使用。
3.根据权利要求1所述的系统,所述系统还包括:
第二隔离部件,所述第二隔离部件电设置在所述控制单元与所述安全部件之间,并且还将所述控制单元与所述安全部件耦接;
其中所述第二隔离部件防止所述安全部件中产生的第二IC故障经由所述输入信号传播到所述第一部件;
其中所述第一隔离部件包括电流隔离部件和电压隔离部件中的至少一者;并且
其中所述第一隔离部件和所述第二隔离部件是具有基本相同的阻抗的电流隔离部件。
4.根据权利要求3所述的系统,
其中,在所述第一IC故障期间,所述输入信号的非实质性变化被提供到所述安全部件;
其中,在所述第二IC故障期间,所述输入信号的非实质性变化被提供到所述第一部件;并且
其中,通过防止所述第二IC故障传播到所述第一部件,车辆系统操作以故障功能操作模式继续进行。
5.根据权利要求3所述的系统,
其中,当所述第一IC故障包括第一短路故障时,
提供到所述安全部件的所述输入信号的电压电位介于由所述控制单元在非故障操作状态期间生成的所述输入信号的输出电压电位的百分之七十五(75%)和百分之百(100%)之间;
其中,当所述第二IC故障包括第二短路故障时,
提供到所述第一部件的所述输入信号的所述电压电位介于由所述控制单元在所述非故障操作状态期间生成的所述输入信号的输出电压电位的百分之七十五(75%)和百分之百(100%)之间;
其中,当所述第一IC故障包括第一开路故障时,
提供到所述安全部件的所述输入信号的所述电压电位介于由所述控制单元在所述非故障操作状态期间生成的所述输入信号的所述输出电压电位的百分之二十五(25%)和百分之百(100%)之间;并且
其中,当所述第二IC故障包括第二开路故障时,
提供到所述安全部件的所述输入信号的所述电压电位介于由所述控制单元在所述非故障操作状态期间生成的所述输入信号的所述输出电压电位的百分之二十五(25%)和百分之百(100%)之间。
6.一种用于避免安全系统中的故障传播的封装件,所述封装件包括:
插孔,所述插孔能够操作以接收管芯;
其中所述管芯包括控制单元;
第一输出引脚,所述第一输出引脚首先经由所述插孔将管芯引脚电耦接到第一安全部件;
第二输出引脚,所述第二输出引脚其次经由所述插孔将所述管芯电耦接到第二安全部件;
其中所述第一安全部件和所述第二安全部件能够操作以经由所述管芯以及分别经由所述第一输出引脚和所述第二输出引脚从所述控制单元接收控制信号;
隔离构件,所述隔离构件将所述第一输出引脚与所述第二输出引脚电隔离;并且
其中所述隔离构件防止相对于所述第一安全部件和所述第二安全部件中的一者产生的故障经由所述插孔传播到另一个安全部件。
7.根据权利要求6所述的封装件,
其中所述隔离构件为电流隔离构件;
其中所述隔离构件提供的阻抗为在不存在所述隔离构件的情况下在所述管芯与所述第一输出引脚和所述第二输出引脚之间产生的公共阻抗的至少三倍;并且
其中所述插孔将所述控制信号分成经由第一控制信号连接提供到所述第一安全部件的第一控制信号以及经由第二控制信号连接提供到所述第二安全部件的第二控制信号。
8.根据权利要求7所述的封装件,
其中所述隔离构件防止相对于所述第一控制信号连接产生的第一IC故障传播到所述第二安全部件;并且
其中所述隔离构件防止相对于所述第二控制信号连接产生的第二IC故障传播到所述第一安全部件。
9.一种用于减轻故障从第一安全部件到第二安全部件的传播的方法,所述方法包括:
将至少一个第一输入信号与第二输入信号隔离;
其中所述第一输入信号和所述第二输入信号由控制单元电输出的公共输入信号产生,以供第一安全部件和第二安全部件各自使用;
其中所述第一输入信号被电提供到所述第一安全部件;并且
其中所述第二输入信号被电提供到所述第二安全部件。
10.根据权利要求9所述的方法,
其中所述隔离构件还包括以下中的至少一者:
由第一阻抗将所述第一输入信号中提供的第一电流与所述第二输入信号中提供的第二电流隔离;以及
由二极管将所述第一输入信号中提供的第一电压与所述第二输入信号中提供的第二电压隔离。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US16/718,484 US11289893B2 (en) | 2019-12-18 | 2019-12-18 | Devices, systems and methods for avoiding fault propagation in safety systems |
US16/718,484 | 2019-12-18 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112987680A true CN112987680A (zh) | 2021-06-18 |
Family
ID=76206044
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011381891.1A Pending CN112987680A (zh) | 2019-12-18 | 2020-12-01 | 用于避免安全系统中的故障传播的设备、系统和方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US11289893B2 (zh) |
CN (1) | CN112987680A (zh) |
DE (1) | DE102020007678A1 (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11946972B2 (en) * | 2020-08-06 | 2024-04-02 | Semiconductor Components Industries, Llc | Monitoring of interconnect lines |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6303875B1 (en) * | 1998-01-23 | 2001-10-16 | Kabushiki Kaisha Toshiba | IC packages replaceable by IC packages having a smaller pin count and circuit device using the same |
US6570531B1 (en) * | 2000-04-27 | 2003-05-27 | Rockwell Collins, Inc. | Satellite navigation receiver designed for compatibility with aircraft automatic landing systems |
WO2009058789A1 (en) * | 2007-10-30 | 2009-05-07 | Rambus Inc. | Signaling with superimposed clock and data signals |
US8837099B2 (en) * | 2009-08-17 | 2014-09-16 | Analog Devices, Inc. | Guarded electrical overstress protection circuit |
CN102859837A (zh) | 2010-12-06 | 2013-01-02 | 科达汽车公司 | 电化学电池单元平衡电路和方法 |
EP2645638A1 (en) | 2012-03-29 | 2013-10-02 | Robert Bosch Gmbh | Communication system with chain or ring topology |
WO2014006442A1 (en) | 2012-07-02 | 2014-01-09 | Freescale Semiconductor, Inc. | Integrated circuit device, safety circuit, safety-critical system and method of manufacturing an integrated circuit device |
US9627880B2 (en) | 2013-11-01 | 2017-04-18 | Infineon Technologies Ag | Electronic safety path |
US11017907B2 (en) * | 2013-12-31 | 2021-05-25 | Nuscale Power, Llc | Nuclear reactor protection systems and methods |
US9628787B2 (en) | 2014-04-16 | 2017-04-18 | Texas Instruments Incorporated | Ensuring imaging subsystem integrity in camera based safety systems |
US9997265B2 (en) * | 2015-03-27 | 2018-06-12 | Mitsubishi Electric Power Products, Inc. | Safety system for a nuclear power plant and method for operating the same |
EP3151123B1 (en) | 2015-10-02 | 2018-04-11 | Autoliv Development AB | A vehicle safety electronic control system |
-
2019
- 2019-12-18 US US16/718,484 patent/US11289893B2/en active Active
-
2020
- 2020-12-01 CN CN202011381891.1A patent/CN112987680A/zh active Pending
- 2020-12-15 DE DE102020007678.5A patent/DE102020007678A1/de active Pending
Also Published As
Publication number | Publication date |
---|---|
US20210194237A1 (en) | 2021-06-24 |
US11289893B2 (en) | 2022-03-29 |
DE102020007678A1 (de) | 2021-06-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10739834B2 (en) | Optimized power supply architecture | |
US6540309B1 (en) | Fault tolerant electronic braking system | |
US20100243388A1 (en) | Electromechanical brake system with a failsafe energy supply and method for failsafe energy supply in an electromechanical brake system for vehicles | |
EP2905452B1 (en) | Asil B-compliant implementation of automotive safety-related functions by means of a high diagnosability, quality managed-compliant integrated circuit | |
US20100289499A1 (en) | Monitoring device for monitoring a terminal of a terminal component | |
CN112987680A (zh) | 用于避免安全系统中的故障传播的设备、系统和方法 | |
US8370004B2 (en) | Control panel for an aircraft | |
JP5089693B2 (ja) | 制御装置および機能制御方法 | |
US9257831B2 (en) | Electrical circuit for cutting off an electric power supply comprising transistors and fuses having redundant logic | |
CN104423379A (zh) | 用于传感器输出接口中的内部和外部错误检测的系统和方法 | |
US9647449B2 (en) | Integrated circuit arrangement, method and system for use in a safety-critical application | |
CN103138168B (zh) | 飞行器断路器板的电缆布线 | |
EP4145150B1 (en) | On-chip checker for on-chip safety area | |
US11293953B2 (en) | System and method for diagnosing abnormality in main control unit | |
Hess et al. | Electromagnetic environment | |
US20240094294A1 (en) | Failure insertion unit | |
Lopez et al. | Fail silent and robust power management architectures to enable autonomous driving embedded systems | |
CN217332792U (zh) | 一种车载4g通信模块的供电诊断装置 | |
DE102018110932B4 (de) | Verfahren zur betriebssicheren Aktivierung von Produktionstestmodi in sicherheitsrelevanten elektronischen Schaltungen für ein Fahrzeuginsassenrückhaltesystem | |
DE102018110937B4 (de) | Verfahren zur betriebssicheren vereinfachten Aktivierung von Produktionstestmodi in sicherheitsrelevanten elektronischen Schaltungen für Fußgängeraufprallschutzsysteme | |
US11269007B2 (en) | Method for diagnosing a bias supply for an acquiring system comprising a matrix-array interface device | |
Armstrong | Cost-effective risk management of EMC without special EMC design expertise or testing | |
Boran et al. | Definition and Failure Management of Highly-Integrated, Safety-Critical Systems | |
CN115348133A (zh) | 冗余备份系统的备份控制方法、装置、设备及介质 | |
Thienel | Avoiding electrical overstress for automotive semiconductors by new connecting concepts |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |