CN115190994A - 用于片上系统的电气和逻辑隔离 - Google Patents

用于片上系统的电气和逻辑隔离 Download PDF

Info

Publication number
CN115190994A
CN115190994A CN202180017405.4A CN202180017405A CN115190994A CN 115190994 A CN115190994 A CN 115190994A CN 202180017405 A CN202180017405 A CN 202180017405A CN 115190994 A CN115190994 A CN 115190994A
Authority
CN
China
Prior art keywords
voltage
logic
voltage domain
fault
operable
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202180017405.4A
Other languages
English (en)
Inventor
J·L·弗洛雷斯
R·文卡塔苏布拉马尼安
S·P·维萨利
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Texas Instruments Inc
Original Assignee
Texas Instruments Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Texas Instruments Inc filed Critical Texas Instruments Inc
Publication of CN115190994A publication Critical patent/CN115190994A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
    • G01R31/28Testing of electronic circuits, e.g. by signal tracer
    • G01R31/2851Testing of integrated circuits [IC]
    • G01R31/2855Environmental, reliability or burn-in testing
    • G01R31/2856Internal circuit aspects, e.g. built-in test features; Test chips; Measuring material aspects, e.g. electro migration [EM]
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
    • G01R31/28Testing of electronic circuits, e.g. by signal tracer
    • G01R31/2801Testing of printed circuits, backplanes, motherboards, hybrid circuits or carriers for multichip packages [MCP]
    • G01R31/2803Testing of printed circuits, backplanes, motherboards, hybrid circuits or carriers for multichip packages [MCP] by means of functional tests, e.g. logic-circuit-simulation or algorithms therefor
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
    • G01R31/40Testing power supplies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/30Means for acting in the event of power-supply failure or interruption, e.g. power-supply fluctuations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/32Means for saving power
    • G06F1/3203Power management, i.e. event-based initiation of a power-saving mode
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/32Means for saving power
    • G06F1/3203Power management, i.e. event-based initiation of a power-saving mode
    • G06F1/3206Monitoring of events, devices or parameters that trigger a change in power modality
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/32Means for saving power
    • G06F1/3203Power management, i.e. event-based initiation of a power-saving mode
    • G06F1/3234Power saving characterised by the action undertaken
    • G06F1/3287Power saving characterised by the action undertaken by switching off individual functional units in the computer system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/2015Redundant power supplies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3013Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3058Monitoring arrangements for monitoring environmental properties or parameters of the computing system or of the computing system component, e.g. monitoring of power, currents, temperature, humidity, position, vibrations
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Mathematical Physics (AREA)
  • Environmental & Geological Engineering (AREA)
  • Power Sources (AREA)
  • Debugging And Monitoring (AREA)

Abstract

在所描述的示例中,一种SoC(200)包括与通信总线(203)互连的至少两个电压域(201、202)。第一电压域(201)中的检测逻辑(122、236、230)确定电压错误何时发生在第二电压域(202)中并且当检测到电压错误或时序错误时经由通信总线隔离通信(205)。

Description

用于片上系统的电气和逻辑隔离
技术领域
本申请涉及在电源故障的情况下为具有高性能接口的片上系统的安全提供逻辑和电气隔离保护。
背景技术
在被配置为片上系统(SoC)的许多现代集成电路(IC)中,不同功能单元的电路可以在不同的电源域内实施。实施不同的电源域有若干原因。例如,某些功能单元可能具有与其他功能单元不同的操作电压要求;在这种情况下,相对于其他电路具有不同操作电压要求的电路可以在独立的电源域中实施。
在不同电源域中实施不同电路的另一个原因可能是出于节能要求。虽然两个不同功能单元的电路可以在相同的电源电压下操作,但它们都在其上实施的IC的布置可能要求一个功能单元能够在电源仍然施加到另一个功能单元时断电。
尽管IC可以在不同电源域中实施各种功能单元,但这些功能单元中的许多单元可以与其他电源域中的功能单元介接。当两个不同功率域的功能单元都在接收功率时,它们之间可能会发生通信。当电源域之一断电时,可以禁止两个功能单元之间的通信。
发明内容
在所描述的示例中,一种SoC包括与通信总线互连的至少两个电压域。第一电压域中的检测逻辑确定在第二电压域中何时发生电压错误,并且当检测到电压故障或时序错误时隔离经由通信总线进行的通信。
附图说明
图1和图2是包括多个电压域的示例SoC的框图,这些电压域具有在各个域之间的安全隔离逻辑。
图3是包括集成电路的示例系统的框图,该集成电路具有在电压域之间的隔离逻辑。
图4是具有多个电压域的示例SoC器件的操作的流程图。
具体实施方式
在附图中,相同的元件由相同的附图标记表示以保持一致。
在针对安全应用的集成电路中,实施了多个电压域以在某个域中发生故障的情况下提供功能单元之间的隔离。一个或多个电压域被识别为高优先级域,并采取步骤隔离高优先级域,使得当同一集成电路中的另一个电压域发生故障时,高优先级域内的功能器件可以继续操作。在具有在集成电路的高优先级域和故障区域之间进行通信的多个高性能接口的集成电路中满足这一要求是非常具有挑战性的。
通过对电源的故障或时序错误的硬件和软件响应的组合,一些示例为具有在集成电路的高优先级电压域和另一个电压域之间进行通信的一个或多个高性能接口的集成电路提供逻辑和电气隔离。
一些示例提供了响应于电压源故障而操作的硬件和软件二者的部件,以实现电压域之间的鲁棒逻辑和电气隔离,其中电压域之间的接口不是容错的(fault tolerant)。
示例汽车SoC在2019年12月德克萨斯仪器股份有限公司的SPRSP50的“DRA829VJacintoTMAutomotive Processors Silicon Revision 1.0”中进行了更详细的描述,其通过引用并入本文。基于
Figure BDA0003819409870000025
64位架构的JacintoTM7DRA829V汽车处理器提供了先进的系统集成以使汽车应用(诸如网关、车辆计算和车身域控制器等)能够降低系统成本。集成诊断和功能安全特征针对ASIL-B/C认证/要求。集成微控制器(MCU)岛消除了对外部系统MCU的需要。该器件的特征在于千兆以太网交换机和PCIe集线器,其支持需要大量数据带宽的网络用例。多达4个
Figure BDA0003819409870000021
子系统管理低级别的时序关键处理任务,使
Figure BDA0003819409870000022
Figure BDA0003819409870000023
不受应用程序的阻碍。
Figure BDA0003819409870000024
的双核集群配置可促进多操作系统应用,而对软件管理程序的需求最少。
图1是包括多个电压域101、102的示例SOC 100的框图,在这些域之间具有安全隔离逻辑105。SOC 100是一个简化示例,其图示了在电压域之间使用安全隔离逻辑,该安全隔离逻辑可应用于具有多个电压域的更复杂的SOC,诸如Jacinto系列汽车处理器。电压域102是与电压域101隔离的电压,使得电压域102的电压源的故障不会危及电压域101上的故障检测逻辑的操作。在一些示例中,电压域101仍可从电压域102的电压源接收电压以用于电源失效和/或故障检测,但仍保持电压隔离。
通信总线103耦合在主域102中的通信接口104和安全域101中的通信接口125之间。安全隔离逻辑105包括如106所示的一组传输门,其布置成使得通信总线103的每个信号线可以响应于由存储器映射寄存器(MMR)127提供的控制信号而被隔离。在该示例中,仅图示了三个信号线以在MCU岛域101和主域102之间的每个方向上提供通信。然而,通信总线103可以包括在电压域101和电压域102之间提供信息的数十或数百个独立信号线。
在主电压域102和MCU岛电压域101中,可能存在耦合在各种逻辑和处理模块之间的通信总线103的若干不同部分。在该示例中,电压域101中的逻辑模块107是耦合到通信总线103的不同部分的交叉开关模块(crossbar module),以允许通过通信总线103的各个部分动态路由信息。电压域102中的逻辑模块108是处理在通信总线103上从主域102的其他部分(诸如逻辑单元109)接收的数据的处理单元。通信总线103的每个信号线配备有传输门(诸如106所示),以允许在主域102中发生故障的情况下MCU岛电压域101中的处理逻辑与主域102中的处理逻辑完全隔离。在第一操作模式中,通信总线103是完全透明的并且以正常方式提供数据通信。在第二操作模式中,通信总线103被置于防止经由通信总线103传送错误数据的隔离模式。以此方式,位于MCU岛电压域101中的处理逻辑可以继续操作,以便帮助恢复SOC 100的操作或者甚至在故障状况被纠正后重启主域102。
MCU岛电压域101包括安全MCU 110、器件管理和安全控制器(DMSC)111以及电源和睡眠控制器(PSC)112。PSC 112负责管理系统电源开/关、时钟开/关和复位的转换。PSC的时钟门控特征可用于节能。PSC的许多操作对于在主域102中的处理器中执行的软件是透明的,诸如通电和硬复位操作。PSC提供了一个接口来控制若干重要的电源、时钟和复位操作。
在该示例中,器件管理和安全控制(DMSC)111试图通过扮演集中式SoC功率、安全和器件管理控制器的角色而通过作为一系列SoC器件的一致部件来解决复杂SoC的操作期间可能发生的问题。DMSC 111针对通用特征支持异构SoC上的操作系统之间的复杂交互,并且针对复杂SoC特征在SoC的所有操作系统中提供SoC特征授权的一致性。DMSC 111提供系统状态的集中知识。实际上,这是一个微控制器并且运行安全和安保认证的软件,该软件为在SoC 100上的各种其他处理器上运行的其余操作系统/软件提供服务。
DMSC 111控制SoC 100的电源管理并负责使器件脱离复位并强制执行时钟和复位规则。DMSC电源管理功能对于将SoC 100带入低功耗模式(例如“深度睡眠”模式)至关重要,并且可以感测唤醒事件以使SoC 100重新联机到活动状态。
DMSC安全管理软件管理SoC 100中央安全资源。该安全子系统向其他软件实体提供应用程序编程接口(API),以便以受控和安全的方式利用这些特征。该安全管理软件被细分为多个模块,诸如:防火墙管理;ISC管理;开机认证;SA2UL上下文管理(用于加密和认证);加密API(用于访问常见的SA2UL功能,诸如PKA、RNG);安全密钥管理;安全调试等。
DMSC软件资源管理(RM)(子)系统管理SoC共享资源。RM管理在SoC 100处理实体之间的共享资源的访问和配置。RM提供了一组接口,SoC处理实体可以通过这些接口分配和自由访问共享资源,诸如:核心数据库;IRQ管理;环形加速器管理;UDMA-P管理;PSI-L管理;非安全代理管理;与DMSC的通信等。
DMSC 111是相对于SoC上的其他处理实体(ARM/DSP)的“黑匣子”。使用预定义的请求-响应协议与DMSC 111进行通信,该协议提供对DMSC 111提供的各种服务的访问。实际的消息传递硬件块因SoC而异,但典型示例包括“消息管理器上的代理”和“环形加速器上的安全代理”。在操作之前由DMSC软件对这些通信机制进行标准化和保护。
主域102包括至少一个处理器和相关联的存储器、外围设备和接口电路以执行软件程序指令,以便提供SoC 100的预期功能,诸如汽车或工业应用。
MCU岛电压域101还包括分别经由电压端子131、132连接到相应的电压源VDD_MCU和VDD_MAIN的VDD_MCU电源监控电路121和VDD_MAIN电源监控电路122。VDD_MCU是提供给MCU岛电压域101的操作电压,并且由位于MCU岛电压域101内的各种处理逻辑110、111等使用。VDD_MAIN是提供给主电压域102的操作电压,并且由位于主电压域102内的各种处理逻辑、存储器等使用。VDD_MCU和VDD_MAIN由独立的电源提供,这些电源可以源自诸如由汽车或制造系统提供的系统电源。
VDD_MCU电源监控电路121监控低电压或高电压条件下的VDD_MCU。VCC_MCU电源是可能包括备份能力(例如电池备份)的鲁棒电源,以便在不利条件下维持MCU安全岛电压域的操作。VDD_MAIN电源监控电路122监控低电压或高电压条件下的VDD_MAIN。在VDD_MAIN中检测到的电压异常会生成事件,这些事件被发送到去干扰器(de-glitcher)电路123以过滤掉短暂的瞬态电压异常,然后被发送到错误信令模块(ESM)124。
通信接口125包括监视在通信总线103上发生的事务的超时逻辑。如果给定事务花费太长时间并且超时,则向ESM 124激活超时错误信号。在该示例中,通信总线103是在安全岛域101和主域102之间的异步接口。异步通信总线103接口自然支持总线的解锁以实现所需的逻辑和电气隔离。复位信号126响应于安全MCU 110并且可以在主域102被复位时被激活以清除通信接口125。
ESM 124将整个SoC 100中的与安全相关的事件和/或错误聚合到一个位置。它可以向安全MCU 110和DMSC 111发送低优先级中断信号和高优先级中断信号,以处理安全事件和/或操纵I/O错误引脚以向外部硬件发出已发生错误的信号。ESM 124接收来自VDD_MCU电源监控电路121和VDD_MAIN电源监控电路122的电压错误信号以及来自接口125中的超时逻辑的超时错误信号,并向DMSC 111和核心安全MCU 110发送警报。
在核心安全MCU 110中运行的安全软件允许在检测到故障的情况下进行可编程响应。提供软件代码和操作以确保对检测到的故障的响应的鲁棒性。例如,由电压监视器报告的电压电平中的故障将触发中断,该中断进而将导致MCU中的安全内核执行服务例程,该服务例程将开始并检查各种电压监视器以识别(一个或多个)电压域经历(一个或多个)故障。这时,相同的软件可以检查超时电路的进一步状态,然后激活以响应于任何MCU主控请求并忽略/阻止来自MAIN域的可能损坏的到达数据,开始在自动确认模式下的操作,在这种情况下,这是一种假设的故障。
在各种示例中,在MCU内核中运行的软件代码可以是由SOC的制造商开发的供应商提供的安全软件代码,也可以是由SOC的经销商或用户实施的用户提供的安全软件代码。供应商提供的安全软件代码对客户是透明的。
安全软件包括由安全MCU 110和DMSC 111执行的程序指令。在一些示例中,安全软件被存储在相应的处理器110、111可访问的只读存储器中。在一些示例中,可能存在可以在SOC 100的操作期间安装或更新的安全软件的一部分。
MMR 127在检测到电压故障或超时错误的情况下响应于安全MCU 110以激活隔离控制线128来使安全隔离逻辑105通过中断通信总线103将MCU岛101与主域102隔离。当被激活时,隔离控制线128使所有传输门106断开,以防止由主域102的故障逻辑生成的错误或不稳定信号经由通信总线103发送到MCU岛101。以此方式,安全MCU 110和DMSC 111可以继续正确操作并尝试恢复主域102中的处理。
一旦错误条件已被纠正,安全MCU 110就使MMR 127停用隔离控制信号128,从而允许通信总线103恢复MCU域101和主域102之间的正常通信。
在该示例中,电压域101内的故障检测逻辑包括电源监控电路121、122、ESM模块124、安全MCU 110、DMSC 111和MMR 127,它们通过对电源的故障或时序错误的硬件和软件响应的组合以自主方式起作用。以此方式,SoC 100的操作通常可以在故障状况被解决后迅速恢复。在其他示例中,电压域101内的故障检测逻辑可以包括用于解决电源的故障或时序错误的附加或不同类型的硬件和软件能力。
图2是包括多个电压域201、202的示例SOC 200的框图,在这些域之间具有安全隔离逻辑205。SOC 200是图示了在电压域之间使用安全隔离逻辑的简化示例,该安全隔离逻辑可应用于具有多个电压域的更复杂的SOC,例如Jacinto系列的汽车处理器。
SoC 200类似于SoC 100(图1)并且包括安全MCU 110、DMSC 111、PSC 112、ESM 124等,如针对图1更详细描述的。在该示例中,通信总线203是高性能全同步接口,该接口自然不支持总线锁定释放。安全隔离逻辑205包括一组传输门206,这些传输门206被布置成使得通信总线203的每个信号线可以响应于MMR 227提供的控制信号而被隔离。在该示例中,仅图示了三个信号线以提供在MCU岛域201和主域202之间的每个方向上的通信。然而,通信总线203可以包括在电压域201和电压域202之间提供信息的数十或数百条单独的信号线。
MCU岛201中的通信接口225为MCU岛201和主域202之间的通信事务提供完全同步的接口。在该示例中,同步通信接口225上的事务根据定义的时间段进行操作,因此不需要内置超时检测逻辑,如在异步通信接口125(见图1)中所提供的。然而,在主域202中出现某种错误的情况下,事务可能不会收到确认,并且总线或总线的一部分可能会被锁定。因此,提供了单独的超时逻辑236,其包括耦合到通信总线203内的各种控制线的时序电路,该时序电路被配置为检测何时没有接收到对事务的预期确认。当检测到丢失确认时,超时逻辑236向ESM 124发送超时错误事件通知。
在该示例SoC 200中,硬件实施的超控(override)有限状态机(FSM)230耦合到ESM124以在检测到错误事件时接收它们。超控FSM 230被配置为立即对由电源监控电路122检测到的主域202中的电压异常或由超时逻辑236检测到的通信总线203中的超时事件做出反应。当检测到错误事件时,超控FSM 230激活耦合到超控逻辑(ovr-log)231、232、233、234的控制信号以向交叉开关模块107、通信接口225、超时逻辑236和隔离逻辑205发送相应的复位或停用信号,以便立即将MCU岛201与故障主域202隔离开。
MMR 227在检测到电压故障或超时错误的情况下响应于安全MCU 110以激活隔离控制线228,使得安全隔离逻辑205通过中断通信总线203将MCU岛201与主域202隔离开。当被激活时,隔离控制线228使所有传输门206断开以防止由主域202的故障逻辑生成的错误或不稳定信号经由通信总线203发送到MCU岛201。以此方式,安全MCU 110和DMSC 111可以继续正确操作并尝试恢复主域102中的处理。
以此方式,超控FSM 230提供了基于冗余硬件的故障检测和响应机制。在一些这样的示例中,由安全MCU 110和DMSC 111执行的软件被配置为响应于某些错误事件,而超控FSM 230被配置为立即响应于某些错误事件。在某些情况下,可以在设计SoC 200时定义响应的类型。在其他情况下,响应的类型可以是灵活的,并且可以基于SoC 200正在执行的应用程序来选择。
例如,当设计SoC 300时,可以定义由去干扰器123引入的时间延迟量。类似地,可以定义超时逻辑236激活的时间长度。可以包括用于不同电源电压的附加电源监控电路。超时逻辑236可以设置有两个或更多个超时周期检测器。在这种情况下,ESM模块124可以被配置为将针对短超时事件的事件通知路由到安全核心110以用于软件响应,而将更长的超时事件路由到超控FSM 230。在另一示例中,如果超时逻辑236提供了这种能力,则应用程序可以指定通过以编程方式配置超时逻辑236的超时长度。
一旦软件管理的错误条件已被纠正,则安全MCU110使MMR 227停用隔离控制信号228,从而允许通信总线203恢复MCU域201与主域202之间的正常通信。类似地,一旦FSM管理的错误条件已被纠正,则超控FSM 230停用隔离控制信号234,从而允许通信总线203恢复MCU域201与主域202之间的正常通信。
在该示例中,在电压域201内的故障检测逻辑包括电源监控电路121、122、ESM模块124、安全MCU 110、DMSC 111、MMR 127、超控FSM 230、超控逻辑231、232、233和超时逻辑236,它们通过对电源的故障或时序错误的硬件和软件响应的组合以自主方式起作用。以此方式,SoC 100的操作通常可以在故障状况被解决后迅速恢复。在其他示例中,电压域101内的故障检测逻辑可以包括用于解决电源的故障或时序错误的附加或不同类型的硬件和软件能力。
系统示例
图3是包括集成电路SoC 300的示例系统340的框图,该集成电路SoC 300具有在电压域301、302之间的隔离逻辑305。电源341经由电压端子331向电压域301提供VDD_MCU电压。电源342经由电压端子332向电压域302提供VDD_MAIN电压。外部模块343、344代表包括在系统340中的一个或多个外围模块并且为该系统提供各种处理和/或接口功能,诸如汽车应用、工业应用等。
SoC 300是类似于图1的SoC 100或图2的SoC 2的示例。电压域301(VD1)包括处理单元1 351,该处理单元包括安全MCU、DMSC、ESM、PSC、超控FSM等,如图2中更详细描述的。电压域301从电源PS1 341接收操作电压。
电压域VD2 302包括从电源PS2 342接收操作电压的一个或多个处理单元308、309。处理单元308、309经由(一个或多个)通信总线303与处理单元351通信,如针对通信总线103(图1)或通信总线203(图2)更详细描述的。隔离逻辑305由处理单元351控制以便当在VDD_MAIN上检测到电压异常或在通信总线303上检测到时序错误时提供电压域301与电压域302之间的隔离,如关于图1和图2更详细描述的。
在该示例中,由处理单元351中的安全MCU和DMSC执行的软件被配置为响应于某些错误事件,而电压域301中的超控FSM被配置为立即响应于某些错误事件。在某些情况下,可以在设计SoC 300时定义响应的类型。在其他情况下,响应的类型可以是灵活的,并且可以基于SoC 300正在执行的应用程序来选择。
例如(参考图2),当设计SoC 300时,可以定义由去干扰器123引入的时间延迟量。类似地,可以定义超时逻辑236激活的时间长度。可以包括用于不同电源电压的附加电源监控电路。超时逻辑236可以设置有两个或更多个超时周期检测器。在这种情况下,ESM模块124可以被配置为将针对短超时事件的事件通知路由到安全核心110以用于软件响应,而将更长的超时事件路由到超控FSM 230。在另一示例中,应用程序可以指定通过以编程方式配置超时逻辑236的超时长度。
一旦软件管理的错误条件已被纠正,则安全MCU使电压域301中的MMR停用隔离控制信号328,从而允许通信总线303恢复MCU域301与主域302之间的正常通信。类似地,一旦FSM管理的错误条件已被纠正,则超控FSM停用隔离控制信号328,从而允许通信总线303恢复MCU域301与主域302之间的正常通信。
图4是具有多个电压域的示例SoC器件的操作的流程图。在所描述的示例中,SoC具有两个电压域,诸如图1和图2中针对SoC 100、200所图示的那样。在这种情况下,存在主电压域和安全岛电压域。在其他示例中,可能存在由单个安全岛电压域监控和控制的多于两个电压域。在该示例中,安全岛电压域包括微控制器(诸如图1中的安全MCU 110),其被配置为执行安全软件以响应于检测到的故障情况。
在400处,在一些示例中,当设计SoC时,定义了响应的类型。在其他情况下,响应的类型可以是灵活的,并且可以基于SoC正在执行的应用程序来选择。例如,当设计SoC时,可以定义电压监控电路上的去干扰器引入的时间延迟量。类似地,可以定义通信总线上的超时逻辑激活的时间长度。可以包括用于不同电源电压的附加电源监控电路。通信总线上的超时逻辑可以设置有两个或更多个超时周期检测器。在这种情况下,错误信令模块可以被配置为将短超时事件的事件通知路由到安全核心,以用于软件响应,而将较长超时事件路由到超控FSM以立即进行硬件响应。在另一示例中,如果超时逻辑提供了这种能力,则应用程序可以通过以编程方式配置通信总线超时逻辑来指定超时长度。
在402处,每个电压域由单独的电压源(VDD)供电。耦接到安全岛电压域的VDD_MCU电源是可能包括备份能力(例如电池备份)的鲁棒电源,以便在不利条件下维持MCU安全岛电压域的操作。VDD_MAIN是提供给主电压域的操作电压,并且由位于主电压域内的各种处理逻辑、存储器等使用。
在404处,在位于分离电压域中的逻辑模块之间的通信由通信总线(诸如通信总线103(见图1))来容纳。提供诸如逻辑105(见图1)之类的安全隔离逻辑以允许响应于检测到错误而将通信总线电气隔离。
在406处,安全岛电压域中的故障检测逻辑监控影响主电压域的操作的各种条件,该故障检测逻辑可以包括基于硬件的故障检测逻辑和基于软件的故障检测逻辑(例如,运行一组安全软件的安全MCU)。在该示例中,电压源监控电路监控VDD_MAIN的低电压状况或高电压状况。在VDD_MAIN中检测到的电压异常会生成事件,这些事件被发送到去干扰器电路以过滤掉短暂的瞬态电压异常,然后发送到错误信令模块。
安全岛电压域中的通信总线接口包括监控通信总线上发生的事务的超时逻辑。如果给定的事务花费了太长时间并且超时,则激活超时错误信号并将其发送到错误信令模块。
其他类型的错误检测逻辑可以被包含在安全岛电压域中,以检测各种类型的异常行为,诸如温度、压力等。
在408处,安全MCU从检测逻辑接收错误信号。在安全MCU中运行的安全软件允许在检测到故障的情况下做出可编程响应。提供软件代码和操作以确保对检测到的故障的响应的鲁棒性。例如,电压监视器报告的电压电平中的故障将触发中断,该中断将进而导致安全MCU执行服务例程,该例程将开始并检查各种电压监视器以识别(一个或多个)电压域经历(一个或多个)故障。这时,相同的软件可以检查超时电路的进一步状态,然后激活以响应于任何MCU主控请求并忽略/阻止来自MAIN域的可能损坏的到达数据,开始在自动确认模式下的操作,在这种情况下,这是一种假设的故障。
在各种示例中,在安全MCU中运行的软件代码可以是由SOC的制造商开发的供应商提供的安全软件代码,或者是由SOC的经销商或用户实施的用户提供的安全软件代码。供应商提供的安全软件代码对客户是透明的。
安全软件包括由安全MCU执行的程序指令。在一些示例中,安全软件被存储在安全MCU可访问的只读存储器中。在一些示例中,可能存在可在SOC的操作期间安装或更新的安全软件的一部分。
在410处,某些检测到的故障可能需要经由专用硬件来处理以提供快速和故障安全响应。在这种情况下,诸如超控FSM 230(见图2)之类的硬件逻辑可操作来超控由安全MCU提供的控制信号输出,以便立即将主电压域与安全岛电压域隔离。
在412处,响应于检测到故障状况,将故障域与安全岛电压域隔离。在一些示例中,这包括将通信总线置于防止经由通信总线传送错误数据的隔离模式。以此方式,位于安全岛电压域中的处理逻辑可以继续运行,以便帮助恢复SOC的操作。
在414处,一旦确定(一个或多个)故障状况已被纠正,安全MCU可以尝试重启或重新启动主电压域中的处理逻辑。
以此方式,在解决故障状况后,SoC的操作通常可以快速恢复。在其他示例中,安全电压域内的故障检测逻辑可以包括用于解决电源的故障或时序错误的附加或不同类型的硬件和软件能力。
其他实施例
在所描述的示例中,为了清楚起见图示了两个电压域。在其他示例中,响应于电压或时序错误的检测,可能存在可与安全岛电压域隔离的若干附加的电压域。
在所描述的示例中,图示了单个主域电压源。在另一示例中,可能存在若干不同的电压域电源,它们都由位于公共安全岛电压域上的电压监控器监控。
在所描述的示例中,故障检测逻辑监控主域电压电平和通信总线时序。在其他示例中,附加的或不同的条件可以由安全软件和/或超控安全FSM监控以提供针对其他类型的故障状况的保护。例如,温度、压力、振动等对于在各种操作环境中进行监控可能很重要。
在整个说明书中使用了术语“耦合”。该术语可以涵盖实现与本说明书一致的功能关系的连接、通信或信号路径。例如,如果器件A生成信号以控制器件B执行动作,则在第一示例中,器件A耦合到器件B,或者在第二示例中,如果介入部件C基本上不更改器件A和器件B之间的功能关系,则器件A通过介入部件C耦合到器件B,使得器件B经由器件A生成的控制信号由器件A控制。
在权利要求的范围内,对所描述的实施例进行修改是可能的,并且其他实施例也是可能的。

Claims (20)

1.一种集成电路,其包括:
第一电压域,其包括耦合到第一通信接口的第一逻辑模块;
第二电压域,其包括耦合到第二通信接口的第二逻辑模块,其中所述第二电压域与所述第一电压域被电压隔离;
隔离电路,其耦合在所述第一通信接口和所述第二通信接口之间,所述隔离电路可操作以允许在第一操作模式下在所述第一通信接口和所述第二通信接口之间进行通信,并且可操作以在第二操作模式下将所述第一通信接口与所述第二通信接口隔离;以及
故障检测逻辑,其位于所述第一电压域内,所述故障检测逻辑耦合到所述隔离电路并且可操作以控制所述隔离电路的操作模式。
2.根据权利要求1所述的集成电路,其中所述故障检测逻辑包括耦合到所述第二电压域中的电压端子的电压检测电路,所述故障检测逻辑可操作以检测所述电压端子上的电压电平超出容限,其中当所述第二电压域中的所述电压端子上的电压超出容限时,所述故障检测逻辑可操作以将所述隔离电路置于所述第二操作模式。
3.根据权利要求1所述的集成电路,其中所述故障检测逻辑包括耦合到所述第一通信接口的时序逻辑,所述时序逻辑可操作以检测通信超时故障,其中所述故障检测逻辑可操作以响应于通信超时故障而将所述隔离电路置于所述第二操作模式。
4.根据权利要求1所述的集成电路,其中所述故障检测逻辑包括安全微控制器,所述安全微控制器被配置为执行安全软件以控制所述隔离电路的操作模式。
5.根据权利要求4所述的集成电路,其中所述故障检测逻辑包括超控有限状态机即超控FSM,所述超控FSM被配置为检测所述第二电压域中的故障状况并且可操作以超控所述安全微控制器来控制所述隔离电路的操作模式。
6.根据权利要求5所述的集成电路,其中所述故障检测逻辑包括耦合到所述第一通信接口的时序逻辑,所述时序逻辑可操作以检测通信超时故障,其中所述超控FSM可操作以响应于通信超时故障而将所述隔离电路置于所述第二操作模式。
7.根据权利要求6所述的集成电路,其中所述故障检测逻辑包括耦合到所述第二电压域中的电压端子的电压检测电路,所述故障检测逻辑可操作以检测所述电压端子上的电压电平超出容限,其中当所述第二电压端子上的电压超出容限时,所述故障检测逻辑可操作以将所述隔离电路置于所述第二操作模式。
8.一种操作系统的方法,所述方法包括:
用第一电压源向片上系统集成电路即SoC的第一电压域供电;
用第二电压源向所述SoC的第二电压域供电;
经由通信总线在所述第一电压域中的第一逻辑模块和所述第二电压域中的第二逻辑模块之间进行通信;
通过位于所述第一电压域中的检测逻辑检测所述第二电压域中的故障;以及
响应于检测到所述第二电压域中的故障,禁止所述第一电压域和所述第二电压域之间的通信。
9.根据权利要求8所述的方法,其中检测故障包括检测所述第二电压域中的电压源电平超出容限。
10.根据权利要求8所述的方法,其中检测故障包括检测所述第一逻辑模块和所述第二逻辑模块之间的通信超时故障。
11.根据权利要求8所述的方法,其中检测故障包括在位于所述第一电压域中的安全处理器上执行软件。
12.根据权利要求11所述的方法,还包括用由超控有限状态机产生的控制信号超控由所述安全处理器提供的控制信号,以便将所述第一电压域与所述第二电压域电气隔离。
13.根据权利要求11所述的方法,还包括响应于检测到所述第二电压域中的故障,在所述安全处理器的控制下重启所述SoC的所述第二电压域中的处理逻辑。
14.一种系统,其包括:
片上系统集成电路即SoC;
第一电源,其耦合到所述SoC的第一电压域;
第二电源,其耦合到所述SoC的第二电压域;以及
其中所述SoC包括:
在所述第一电压域中的第一逻辑模块,所述第一逻辑模块耦合到第一通信接口;
在所述第二电压域中的第二逻辑模块,所述第二逻辑模块耦合到第二通信接口,其中所述第二电压域与所述第一电压域被电压隔离;
隔离电路,其耦合在所述第一通信接口和所述第二通信接口之间,所述隔离电路可操作以允许在第一操作模式下在第一通信接口和第二通信接口之间进行通信,并且可操作以在第二操作模式下将所述第一通信接口与所述第二通信接口隔离;以及
位于所述第一电压域内的故障检测逻辑,所述故障检测逻辑耦合到所述隔离电路并且可操作以控制所述隔离电路的操作模式。
15.根据权利要求14所述的系统,其中所述故障检测逻辑包括耦合到所述第二电压域中的电压端子的电压检测电路,所述故障检测逻辑可操作以检测所述电压端子上的电压电平超出容限,其中当所述第二电压域中的所述电压端子上的所述电压超出容限时,所述故障检测逻辑可操作以将所述隔离电路置于所述第二操作模式。
16.根据权利要求14所述的系统,其中所述故障检测逻辑包括耦合到所述第一通信接口的时序逻辑,所述时序逻辑可操作以检测通信超时故障,其中所述故障检测逻辑可操作以响应于通信超时故障而将所述隔离电路置于所述第二操作模式。
17.根据权利要求14所述的系统,其中所述故障检测逻辑包括安全微处理器,所述安全微处理器被配置为执行安全软件以控制所述隔离电路的操作模式。
18.根据权利要求17所述的系统,其中所述故障检测逻辑包括超控有限状态机即超控FSM,所述超控FSM被配置为检测所述第二电压域中的故障状况并且可操作以超控所述安全微处理器来控制所述隔离电路的操作模式。
19.根据权利要求18所述的系统,其中所述故障检测逻辑包括耦合到所述第一通信接口的时序逻辑,所述时序逻辑可操作以检测通信超时故障,其中所述超控FSM可操作以响应于通信超时故障而将所述隔离电路置于所述第二操作模式。
20.根据权利要求19所述的系统,其中所述故障检测逻辑包括耦合到所述第二电压域中的电压端子的电压检测电路,所述故障检测逻辑可操作以检测所述电压端子上的电压电平超出容限,其中当所述第二电压端子上的电压超出容限时,所述故障检测逻辑可操作以将所述隔离电路置于所述第二操作模式。
CN202180017405.4A 2020-01-02 2021-01-04 用于片上系统的电气和逻辑隔离 Pending CN115190994A (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US202062956391P 2020-01-02 2020-01-02
US62/956,391 2020-01-02
US17/127,109 2020-12-18
US17/127,109 US11774487B2 (en) 2020-01-02 2020-12-18 Electrical and logic isolation for systems on a chip
PCT/US2021/012070 WO2021138666A1 (en) 2020-01-02 2021-01-04 Electrical and logic isolation for systems on a chip

Publications (1)

Publication Number Publication Date
CN115190994A true CN115190994A (zh) 2022-10-14

Family

ID=76654337

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202180017405.4A Pending CN115190994A (zh) 2020-01-02 2021-01-04 用于片上系统的电气和逻辑隔离

Country Status (4)

Country Link
US (2) US11774487B2 (zh)
CN (1) CN115190994A (zh)
DE (1) DE112021000448T5 (zh)
WO (1) WO2021138666A1 (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11880314B1 (en) * 2018-07-27 2024-01-23 Dialog Semiconductor B.V. Microcontroller for driving an external device
DE112022001192T5 (de) * 2021-07-30 2023-12-21 Nvidia Corporation Isolierung eines Bereichs eines Systems auf einem Chip für sicherheitskritische Operationen
US11803668B2 (en) 2021-07-30 2023-10-31 Nvidia Corporation Isolating a region of a system on a chip for safety critical operations
US11899563B2 (en) * 2021-12-29 2024-02-13 Texas Instruments Incorporated System on a chip with an integrated configurable safety master microcontroller unit

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5946175A (en) * 1998-02-17 1999-08-31 Winbond Electronics Corp. Secondary ESD/EOS protection circuit
US7282905B2 (en) 2004-12-10 2007-10-16 Texas Instruments Incorporated System and method for IDDQ measurement in system on a chip (SOC) design
JP4986459B2 (ja) * 2006-01-24 2012-07-25 ルネサスエレクトロニクス株式会社 半導体集積回路装置
US8339139B2 (en) 2010-01-29 2012-12-25 Infineon Technologies Ag System and method for testing a circuit
US8570788B2 (en) 2011-04-27 2013-10-29 Apple Inc. Method and apparatus for power domain isolation during power down
US8634174B2 (en) * 2011-05-25 2014-01-21 International Business Machines Corporation Gate dielectric breakdown protection during ESD events
US8767360B2 (en) * 2012-05-29 2014-07-01 Globalfoundries Singapore Pte. Ltd. ESD protection device for circuits with multiple power domains
US20160283438A1 (en) 2013-12-23 2016-09-29 Hu Tiger Chen System-on-a-chip (soc) including hybrid processor cores

Also Published As

Publication number Publication date
DE112021000448T5 (de) 2022-10-13
US20210208189A1 (en) 2021-07-08
US11774487B2 (en) 2023-10-03
US20240027515A1 (en) 2024-01-25
WO2021138666A1 (en) 2021-07-08

Similar Documents

Publication Publication Date Title
US11774487B2 (en) Electrical and logic isolation for systems on a chip
US6262493B1 (en) Providing standby power to field replaceable units for electronic systems
US7756048B2 (en) Method and apparatus for customizable surveillance of network interfaces
US20040034816A1 (en) Computer failure recovery and notification system
US7962786B2 (en) Security features in interconnect centric architectures
EP1703401B1 (en) Information processing apparatus and control method therefor
WO2020239060A1 (zh) 错误恢复的方法和装置
US9342393B2 (en) Early fabric error forwarding
US6718472B1 (en) System for suspending power to a field replaceable unit upon receiving fault signal and automatically reapplying power thereto after the replacement unit is secured in position
US6154845A (en) Power failure safe computer architecture
JP2017535125A (ja) セーフティサブシステムを有するプログラマブルic
CN108958987B (zh) 一种低轨小卫星容错系统及方法
TW201937366A (zh) 具開機之可信驗證與容錯移轉之計算機系統及方法
CN115617550A (zh) 处理设备、控制单元、电子设备、方法和计算机程序
JP6563047B2 (ja) 警報処理回路および警報処理方法
KR20090056124A (ko) 듀얼 프로세서 제어 장치의 고장 안전 구조
US6973594B2 (en) Method and apparatus for disabling a computer system bus upon detection of a power fault
US20220398144A1 (en) Custom baseboard management controller (bmc) firmware stack watchdog system and method
EP4042306B1 (en) Secure installation of baseboard management controller firmware via a physical interface
CN114637384A (zh) 用于多插槽平台的应用感知平滑过电流保护
JP2003256240A (ja) 情報処理装置及びその障害回復方法
US20060149873A1 (en) Bus isolation apparatus and method
US11604709B2 (en) Hardware control path redundancy for functional safety of peripherals
CN114153637A (zh) 伺服系统
TW202207042A (zh) 伺服系統

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination