CN115729204A - 用于片上安全区域的片上检查器 - Google Patents
用于片上安全区域的片上检查器 Download PDFInfo
- Publication number
- CN115729204A CN115729204A CN202211043344.1A CN202211043344A CN115729204A CN 115729204 A CN115729204 A CN 115729204A CN 202211043344 A CN202211043344 A CN 202211043344A CN 115729204 A CN115729204 A CN 115729204A
- Authority
- CN
- China
- Prior art keywords
- signal
- logic
- output
- circuit
- integrated circuit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000004044 response Effects 0.000 claims description 18
- 239000000758 substrate Substances 0.000 claims description 17
- 238000002955 isolation Methods 0.000 claims description 15
- 230000008878 coupling Effects 0.000 claims 1
- 238000010168 coupling process Methods 0.000 claims 1
- 238000005859 coupling reaction Methods 0.000 claims 1
- 230000005540 biological transmission Effects 0.000 description 11
- 238000010586 diagram Methods 0.000 description 9
- 238000012360 testing method Methods 0.000 description 9
- 238000001514 detection method Methods 0.000 description 5
- 230000001105 regulatory effect Effects 0.000 description 5
- 230000001902 propagating effect Effects 0.000 description 4
- 238000000034 method Methods 0.000 description 3
- 230000001360 synchronised effect Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 101100119135 Mus musculus Esrrb gene Proteins 0.000 description 1
- XUIMIQQOPSSXEZ-UHFFFAOYSA-N Silicon Chemical compound [Si] XUIMIQQOPSSXEZ-UHFFFAOYSA-N 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000005284 excitation Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 229910052710 silicon Inorganic materials 0.000 description 1
- 239000010703 silicon Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01R—MEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
- G01R31/00—Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
- G01R31/28—Testing of electronic circuits, e.g. by signal tracer
- G01R31/3167—Testing of combined analog and digital circuits
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01R—MEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
- G01R31/00—Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
- G01R31/005—Testing of electric installations on transport means
- G01R31/006—Testing of electric installations on transport means on road vehicles, e.g. automobiles or trucks
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01R—MEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
- G01R31/00—Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
- G01R31/28—Testing of electronic circuits, e.g. by signal tracer
- G01R31/2851—Testing of integrated circuits [IC]
- G01R31/2884—Testing of integrated circuits [IC] using dedicated test connectors, test elements or test circuits on the IC under test
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01R—MEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
- G01R31/00—Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
- G01R31/28—Testing of electronic circuits, e.g. by signal tracer
- G01R31/317—Testing of digital circuits
- G01R31/31703—Comparison aspects, e.g. signature analysis, comparators
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2117/00—Details relating to the type or aim of the circuit design
- G06F2117/02—Fault tolerance, e.g. for transient fault suppression
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2117/00—Details relating to the type or aim of the circuit design
- G06F2117/06—Spare resources, e.g. for permanent fault suppression
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2119/00—Details relating to the type or aim of the analysis or the optimisation
- G06F2119/02—Reliability analysis or reliability optimisation; Failure analysis, e.g. worst case scenario performance, failure mode and effects analysis [FMEA]
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Chemical & Material Sciences (AREA)
- Combustion & Propulsion (AREA)
- Semiconductor Integrated Circuits (AREA)
- Manufacturing & Machinery (AREA)
- Automation & Control Theory (AREA)
- Power Engineering (AREA)
Abstract
本公开的实施例涉及用于片上安全区域的片上检查器。本文公开了一种单个集成电路芯片,其包括操作诸如阀驱动器的车辆部件的主逻辑。与芯片内的主逻辑隔离的是用于验证主逻辑的正确操作的安全区域。安全区域之外的芯片内的检查器电路用于验证检查器电路的正确操作。检查器电路从安全电路接收信号,并使用组合逻辑电路从这些信号中验证检查电路是否正常工作。
Description
技术领域
本发明涉及测试电路装置领域,并且具体地涉及用于测试集成电路芯片内的专用“安全区域”内的电路的正确操作的测试电路。
背景技术
现代车辆越来越多地配备有各种安全系统,特别是鉴于这样的现代车辆越来越多地利用线控驱动控制来接收驾驶员输入的事实。例如,代替车辆的方向盘,制动踏板和油门踏板被机械地连接到用于控制车辆的液压或电缆系统,一个或多个这样的控制器可以被连接到感测设备,该感测设备将驾驶员的意图传达给控制器,该控制器进而实现驾驶员的意图,潜在地具有对安全性的修改。
例如,当驾驶员按压油门踏板以请求将旋转扭矩施加到车辆的驱动轮时,代替油门踏板操作机械地操作车辆发动机的部件(例如,节气门叶片)的线缆,油门踏板可与传感器装置协作以生成最终提供给变速器控制器和节气门叶片控制器的电输出。变速器控制器例如又例如通过致动控制变速器的档位的换档的阀驱动器来控制车辆的变速器。由于该变速器控制器实际上是在变速器的控制中而不是在驱动器中,所以希望执行故障检测以确定控制器是否正常运行。
因此,考虑到线控驱动车辆控制的安全性需求,开发了ISO26262标准以包括汽车安全完整性等级(ASIL)风险分类方案。ASIL水平范围从ASIL-A(最低)到ASIL-D(最高)。ASIL水平由三个因素确定,即故障的严重程度,故障发生的概率和控制故障影响的能力。
对于直接控制车辆运动的车辆部件,例如变速器和制动系统,应用ASIL-D,并且不仅要精心检测故障,而且还要检查和验证用于检查这些故障的电路和部件,以便正确操作。
ASIL-D下对于变速器控制器的最常见的要求之一是确保功率级的安全关断,例如可以包括故障安全预驱动器和阀驱动器。即使在通常经由功率级中的逻辑核心和模拟驱动器块之间的交互实现的公共关断路径由于故障而不工作的情况下,也要保证关断。为此,通常实现冗余的关断路径和冗余的断开电路。该冗余关断路径通常集成在通过深沟槽隔离而隔离的保护区域内。该受保护区域通常被称为“安全区域”。
在图1A中可以看到一种这样的布置。这里,车辆系统10包括与安全区域12内的安全电路13通信的主逻辑11,例如变速器控制器。安全电路13确定主逻辑11是否正确地操作,并且在检测到故障的情况下提供替代的关断路径。
如上所述,可能希望检查安全电路13本身的正确操作。在图1B的车辆系统10'中示出了一种这样的布置。这里,激励电路14生成要提供给安全电路13的已知输入,并且结果检查器16响应于由激励电路14提供给安全电路13的激励来检验安全电路13是否已经生成了预期结果。如果安全电路13没有生成预期结果,则可以假设安全电路13出现故障,并且主逻辑11可以采取动作来帮助确保车辆的安全。但是这种布置的问题在于激励电路14可能是复杂的并且消耗过量的面积,这两者在设计方面都是不希望的。
图1C示出了用于检查安全电路13的另一种配置。这里,安全电路被复制,因此存在两个安全区域12a、12b、每个安全区域具有其自己的安全电路13a、13b。安全电路13a、13b各自接收来自主逻辑11的相同输入。数字比较电路15将安全电路13a、13b的输出相互比较,并且将这些比较的输出提供给结果检查器16。如果安全电路13a、13b的输出相同、则可以假设安全电路13a、13b正常工作。如果安全电路13a、13b的输出不相同、则可以假设安全电路13a、13b中的一个或两个不正确地操作。这种布置的问题在于,安全区域和安全电路被复制,并且因此利用这种布置也消耗了不希望的面积量。
因此,需要进一步的开发。
发明内容
本文公开了一种集成电路芯片,包括:一个集成电路衬底;所述集成电路衬底内的主逻辑,所述主逻辑被配置为控制至少一个外部组件,所述主逻辑进一步被配置为生成能够从中确定所述主逻辑的正确操作的至少一个数字信号、能够从中确定所述主逻辑的正确操作的至少一个模拟信号、以及至少一个其它信号;以及在所述集成电路衬底内并与所述主逻辑隔离的安全区域。
所述安全区被配置为:从所述至少一个模拟信号生成至少一个模拟故障信号,所述模拟故障信号指示所述主逻辑的不正确操作是否已发生;从所述至少一个数字信号生成指示所述主逻辑的不正确操作是否已发生的至少一个数字故障信号;以及基于所述至少一个模拟故障信号,所述至少一个数字故障信号和所述至少一个其它信号生成输出信号和反馈信号,所述输出信号使所述至少一个外部组件响应于所述主逻辑的不正确操作而执行期望的功能,所述反馈信号指示所述主逻辑的不正确操作尚未发生。
安全区域检查器电路位于集成电路衬底内并位于安全区域外。所述安全区检查器电路包括:第一逻辑,其接收所述至少一个模拟故障信号和所述至少一个数字故障信号作为输入,所述第一逻辑生成第一逻辑输出,所述第一逻辑输出指示所述至少一个模拟故障信号或是所述至少一个数字故障信号指示所述主逻辑的不正确操作已经发生;第二逻辑,其接收所述第一逻辑输出和所述至少一个其它信号作为输入,所述第二逻辑生成第二逻辑输出;第一比较电路,其接收所述第二逻辑输出以及所述输出信号或所述反馈信号作为输入,所述第一比较电路响应于所述第一比较电路的输入之间的逻辑电平不匹配而断言第一检查信号;第二比较电路,接收所述第一逻辑输出以及所述输出信号或所述反馈信号作为输入,所述第二比较电路响应于到所述第二比较电路的输入之间的逻辑电平的不匹配而断言第二检查信号;以及或电路,接收所述第一和第二检查信号作为输入,并且响应于所述第一和第二检查信号中的任一个被断言而生成错误检查信号。
安全区域可以通过至少一个深沟槽隔离来隔离。
安全区域可以通过两个同心深沟槽隔离来隔离。
所述安全区域检查器电路还可以包括同步电路,所述至少一个模拟故障信号在耦合到所述第一逻辑之前被传递通过所述同步电路。
第一逻辑可以包括与门。
滤波器可以被配置为对错误检查信号进行滤波。
本文还公开了一种集成电路芯片,包括:一个集成电路衬底;所述集成电路衬底内的主逻辑,所述主逻辑被配置为控制至少一个外部组件,所述主逻辑进一步被配置为生成可从中确定所述主逻辑的正确操作的多个信号,并且生成至少一个其它信号;以及在所述集成电路衬底内并与所述主逻辑隔离的多个安全区域。
每个安全区可以被配置为:从所述多个信号中的一些信号生成指示所述主逻辑的不正确操作是否已发生的多个故障信号;以及基于所述多个故障信号和所述至少一个其它信号生成输出信号和反馈信号,所述输出信号使所述至少一个外部组件响应于所述主逻辑的不正确操作而执行期望的功能,所述反馈信号指示所述主逻辑的不正确操作尚未发生。
多个安全区域检查器电路,其位于所述集成电路衬底内且位于所述安全区域外部,每个安全区域检查器电路与所述多个安全区域中的一者相关联,所述多个安全区域中的一者包括:第一逻辑,其接收所述多个故障信号作为输入,所述第一逻辑生成第一逻辑输出,所述第一逻辑输出指示所述多个故障信号是否指示所述主逻辑的不正确操作已发生;第二逻辑,其接收所述第一逻辑输出和所述至少一个其它信号作为输入,所述第二逻辑生成第二逻辑输出;第一比较电路,其接收所述第二逻辑输出以及所述输出信号或所述反馈信号作为输入,所述第一比较电路响应于所述第一比较电路的输入之间的逻辑电平不匹配而断言第一检查信号;第二比较电路,其接收所述第一逻辑输出以及所述输出信号或所述反馈信号作为输入,所述第二比较电路响应于到所述第二比较电路的输入之间的逻辑电平的不匹配而断言第二检查信号;或电路,其接收所述第一和第二检查信号作为输入,并且响应于所述第一和第二检查信号中的任一者被断言而生成错误检查信号;
第一主或电路从多个安全区域检查器电路中的每个安全区域检查器电路接收错误检查信号作为输入,并且基于错误检查信号生成中间错误检查信号。第二主或电路接收中间错误检查信号和最终错误检查输出作为输入。触发器接收来自第二主或电路的输出作为输入,并生成最终错误检查输出作为输出。
可以有一个滤波器,错误检查信号在被耦合到第二主或电路之前被传递通过该滤波器。
每个安全区域可以通过至少一个深沟槽隔离来隔离。
每个安全区域可以通过两个同心深沟槽隔离来隔离。
每个安全区域检查器电路还可以包括同步电路,多个故障信号中的一些在耦合到第一逻辑之前被传递通过该同步电路。
第一逻辑可以包括与门。
滤波器可以被配置为对错误检查信号进行滤波。
附图说明
图1A是包括安全区域的第一车辆系统的框图,该安全区域为主逻辑电路内的车辆电路提供了替代的旁路。
图1B是第二车辆系统的框图,该第二车辆系统能够使用激励生成电路和结果检查器来检查安全电路本身。
图1C是第三车辆系统的框图,该能够通过复制安全区域和安全电路并比较那些安全电路的输出以查看它们是否相同来检查安全电路本身。
图2是本文所述的用于为主逻辑电路内的车辆电路提供替代路径外的安全区域的框图。
图3是用于检查图2的安全区域的正确操作的检查器电路的框图。
图4是利用多个检查器电路(例如图3的检查器电路)来提供对多个不同安全区域的额外错误检测的检查器系统的框图。
图5是图4的检查器系统的变体的框图。
图6是本文所述的用于为主逻辑电路内的车辆电路提供替代路径外的安全区域的框图。
图7是用于图6的安全区域的检查器电路的框图。
具体实施方式
以下公开使得本领域技术人员能够制造和使用本文公开的主题。在不脱离本公开的精神和范围的情况下,本文描述的一般原理可以应用于除以上详述的那些之外的实施例和应用。本公开不旨在限于所示的实施例,而是与符合本文公开或建议的原理和特征的最宽范围一致。
现在参考图2和图3描述车辆系统,其包括位于单个集成电路芯片20内的主逻辑11,安全区域12'和安全检查器16'。安全检查器16'从安全区域12'接收其输入,并且安全检查器16'用于基于这些输入确定安全区域12'正在正确地操作。标记为CHECK_ERR的安全检查器16'的输出指示安全区域12'是否正确地操作。诸如变速器部件的车辆部件18在单个集成电路芯片20的外部。
安全区域12'位于在所有侧面上由两个同心深沟槽隔离27a和27b围绕的硅衬底的区域内,安全电路13'位于由深沟槽隔离27b围绕的区域内,并且深沟槽隔离27a围绕深沟槽隔离27b。
安全电路13'位于安全区域12'内,从而保护在安全电路13'内传播的信号免于短路到接地以及短路到车辆的电池电压。因此,嵌套的深沟槽隔离27a和27b防止外部故障在安全区域12'内传播以影响安全电路13'。
安全检查器16'可以与包含任何安全电路13'的任何安全区域一起使用。因此,首先描述一般情况以示出本公开的范围,然后将给出具体示例。
安全电路13'包括例如级联级13a'和精细级13b'。级联级13a'接收来自安全区域12'外部的输入。精细级13b'接收来自级联级13a'的输入并且还可以接收来自安全区域12'外部的输入。精细级13b′可以将一个或多个反馈信号FBK输出到主逻辑11,以指示是否已检测到与主逻辑11的操作有关的错误。如果反馈信号FBK指示已经检测到错误,则主逻辑11可以采取行动,例如,通过重置或关断车辆部件18或车辆部件18内的子部件,如阀驱动器。
级联级13a'从安全区域12'外部接收一个或多个信号作为输入。输入信号可以包括一个或多个数字信号DIGITAL_IN,一个或多个模拟信号ANALOG_IN,一个或多个功率信号PWR_IN,以及一个或多个控制信号CTRL_IN。级联级13a'处理输入信号以生成中间信号。中间信号包括一个或多个数字信号DIGITAL_INT,模拟信号ANALOG_INT的一个或多个数字表示,一个或多个功率信号PWR_INT,以及一个或多个控制信号CTRL_INT。模拟信号ANALOG_IN可以具有高电压,例如大约40V,并且级联级13a'在其评估之前将模拟信号ANALOG_IN转换为诊断数字信号,例如使用比较器将模拟信号ANALOG_IN转换为诊断数字信号ANALOG_INT。模拟信号ANALOG_IN可以在被输入到安全区域12'之前被传递通过电阻分压器和/或共源共栅。
例如,当输入信号指示11主逻辑11内已发生错误时,级联级13a′可以(例如)断言中间信号中的某些中间信号(到激活高电平或激活低电平)。举例来说,如果对应的模拟输入信号ANALOG_IN指示在主逻辑11内已发生故障,那么安全电路13a′可以断言模拟输入信号ANALOG_INT的数字表示中的一者或多者,并且如果对应的数字输入信号DIGITAL_IN指示在主逻辑11内已发生故障,那么精细级13b′可以断言数字输入信号DIGITAL_INT中的一者或多者。
精细级13b'接收中间信号,并由此生成到主逻辑11的反馈信号FBK,以及由此生成到车辆部件18的输出OUT,该输出OUT可以例如响应于主逻辑11内的故障检测而直接复位或关断车辆部件18或其中的子部件。
如上所述,安全检查器16'验证安全电路13'的正确操作。安全检查器16'包括输入与门62,当检测到主逻辑11内的故障时,该输入与门62对由级联级13a'所断言(或未断言)的中间信号DIGITAL_INT和ANALOG_INT的那些中间信号执行逻辑与操作。注意,模拟中间信号ANALOG_INT的数字表示在被输入到与门62之前被传递通过同步器61(例如,每个是一对菊花链式触发器)。还要注意,尽管未示出,但是处于低电平的模拟中间信号ANALOG_INT或数字中间信号DIGITAL_INT的任何数字表示在被输入到与门62之前被传递通过反相器。
可选的组合逻辑电路63和64可以接收内部控制信号CTRL_INT,可以对与门62的输出和内部控制信号CTRL_INT执行组合逻辑,并且可以将该输出提供给比较电路67和68;当组合逻辑电路63和64中的一个或两个组合逻辑电路不存在时,与门62的输出被直接提供给相关的比较电路67或68。
在一些实例中,输入与门62可以接收模拟输入信号ANALOG_IN或数字输入信号DIGITAL_IN的数字表示中的一者或多者。此外,在一些情况下,逻辑电路63和64中的一个或两个逻辑电路可以附加地或备选地接收一个或多个控制信号CTRL作为输入。
比较电路67接收由同步电路65同步之后反馈信号FBK并且接收组合逻辑电路63的输出(或与门62的输出)作为输入;如果信号不具有相同的逻辑状态,则比较电路67断言检查信号CHECK_1。比较电路68接收同步电路66同步后的输出信号OUT以及组合逻辑电路63的输出(或与门62的输出)作为输入;如果信号不具有相同的逻辑状态,则比较电路68断言检查信号CHECK_2。
逻辑或门69对检查信号CHECK_1和检查信号CHECK_2执行逻辑或操作,并且将结果提供给滤波器70,从而生成错误检查信号CHECK_ERR。如果错误检查信号CHECK_ERR被断言,则这意味着已经检测到安全电路13'中的故障,并且主逻辑11可以相应地采取动作。
如图4所示,可以在单个集成电路芯片内采用多个这种安全检查器16a'和16b'用于额外的冗余,或者可以采用单个集成电路芯片内的不同的这种安全检查器16a'和16b'来检查单个集成电路芯片内的不同安全区域12'。总之,图4中示出了多检查器布置80,其中可以看出,安全检查器16a'和16b'的输出CHECK_ERR_1和CHECK_ERR_2被传递到或门51作为输入。或门51的输出被传递到或门53作为输入,或门53还接收输出错误标志ERR_FLAG作为输入。或门53的输出作为输入被传递到触发器54,触发器54生成输出错误标志ERR_FLAG作为输出。通过使用这种多检查器布置80,单个错误标记ERR_FLAG可以用于指示在一个或多个安全区域12'内是否发生了故障。
图5中示出了类似的布置,但是可以看出,或门51的输出在作为输入被传递到或门53之前被滤波器(FLT)52滤波。由于滤波器52的存在,滤波器70可以从安全检查器16a'和16b'移除。
由安全检查器16'提供的益处是明显的。例如,安全检查器16'提供对安全电路13'的完全检查,而不需要复制安全区域12',并且不需要激励生成电路,该激励生成电路生成到安全电路13'的已知输入,使得可以针对已知输出检查输出,从而降低芯片20内的复杂性并降低面积消耗。相反,如所解释的,安全检查器16'包含这样的电路:该电路被配置为,给定与安全电路13'相同的某些输入,如果安全电路13'正确地操作,则向安全电路13'生成相同的输出。
同样由于该设计,安全检查器16'可以在运行中连续运行,生成近似立即实时的故障检测。此外,安全检查器16'可以包括内置自测试(BIST)的逻辑,以在芯片20启动时验证安全电路13'的正确操作。此外,安全检查器16'本身可以被设计用于测试,使得其可以在后端制造过程期间使用扫描技术由自动测试设备(ATE)来测试,或者可以由自动测试图案生成(ATPG)技术来测试。此外,安全检查器16'允许ATE测试安全区域12',而不需要ATE向安全区域12'施加信号—一旦ATE已经验证安全检查器16'正在正确地操作,则安全检查器16'可用于测试安全区域12'。
现在参照图6和图7来描述安全区域12'和安全检查器16'的具体示例,这仅是出于示例性目的,并且本公开绝不旨在限于这些具体实施例。
安全电路位于安全区域12'内,从而保护在安全电路13'内传播的信号免受接地短路和车辆电池电压短路的影响。因此,嵌套的深沟槽隔离27a和27b防止外部故障在安全区域12'内传播以影响安全电路13'。
安全电路13'包括生成内部电源电压Vsupp(例如,3.3V)的内部隔离电压源40,生成用于安全区域12′内的内部监视器的带隙电压Bgap的独立带隙电压生成器39,以及生成经调节的电压Vreg(例如,5V)的电压调节器38。
内部集成逻辑电路33接收外部生成的数字故障信号FAULT_DIGITAL_1和FAULT_DIGITAL_2,由此可以确定在安全区域12'外部的单个集成电路芯片20内是否发生了某些故障。第一数字故障信号FAULT_DIGITAL_1可以是来自主逻辑的看门狗信号,其断言可以指示故障。第二数字故障信号FAULT_DIGITAL_2可以是来自主逻辑的过电流检测信号,其去断言可以指示故障。
第一内部独立监测电路31可以是欠压监测器,并且监测来自单个集成电路芯片20内的主逻辑的主调节电压Vmreg,并且如果主调节电压Vmreg低于其期望值,则解除断言第一模拟故障信号FAULT_ANALOG_1。第二内部独立监测电路32可以是过电压监测器,并且监测来自单个集成电路芯片20内的主逻辑的主调节电压Vmreg,并且如果主调节电压Vmreg超过其期望值,则断言第二模拟故障信号FAULT_ANALOG_2。内部集成逻辑电路33接收第一模拟故障信号FAULT_ANALOG_1和第二模拟故障信号FAULT_ANALOG_2。
内部集成逻辑电路33向施密特触发器34生成输出信号,施密特触发器34从其生成安全状态回波信号SAFE_STATE_ECHO,安全状态回波信号SAFE_STATE_ECHO可用于在安全电路13'已检测到主逻辑的故障时通知主逻辑。
内部集成逻辑电路33的输出也被施加到缓冲器35,当安全电路13'检测到主逻辑的故障时,缓冲器35生成复位信号RESET,用于复位适当的外部电路(在单个集成电路芯片20的外部)。施密特触发器37生成标记为RESET_ECHO的复位信号RESET的回波,其可被提供给主逻辑以通知主逻辑何时发生故障。
内部集成逻辑电路33的输出还被提供给集成逻辑电路36,集成逻辑电路36还接收外部控制信号CTRL1作为输入,并且从其生成用于单个集成电路芯片20外部的车辆部件的使能信号EN,例如变速器内的阀驱动器。因此,当检测到故障时,启用信号EN被解除断言,使得阀驱动器停止工作。
现在描述安全检查器16'。安全检查器16'包括同步电路41和42,同步电路41和42分别同步模拟故障信号FAULT_ANALOG_1和FAULT_ANALOG_2,并将这些信号的同步版本提供给与门43。与门43还接收数字故障信号FAULT_DIGITAL_1和FAULT_DIGITAL_2。由于数字故障信号FAULT_DIGITAL_2和模拟故障信号FAULT_ANALOG_1是激活低信号,所以它们通过反相器(在与门43的那些输入上显示为泡)输入到与门43。
复位回波信号RESET_ECHO和/或安全状态回波信号SAFE_STATE_ECHO由同步电路44同步,并提供给比较电路装置45。与门43的输出也被提供给比较电路装置45。如果与门43的输出的逻辑电平与同步电路44的输出的逻辑电平匹配,则断言第一检查信号CHECK_1。
逻辑电路46接收控制信号CTRL1和与门43的输出,在其上执行组合逻辑功能,并将其输出提供给比较电路装置48。使能信号EN通过同步电路47传递到比较电路装置48。比较电路装置48将使能信号EN的逻辑电平与逻辑电路46的输出的逻辑电平进行比较。如果逻辑电路46的输出的逻辑电平与使能信号EN的逻辑电平匹配,则断言第二检查信号CHECK_2。
或门49对第一检查信号CHECK_1的逻辑电平和第二检查信号CHECK_2的逻辑电平执行逻辑或操作,并且如果第一检查信号CHECK_1或第二检查信号CHECK_2被断言,则断言其输出。或门49的输出由滤波器50滤波以生成错误信号CHECK_ERR。如果错误信号CHECK_ERR被断言,则安全区域12'内的安全电路13'出现故障。
显然,在不脱离如所附权利要求所限定的本公开的范围的情况下,可以对本文所描述和示出的内容进行修改和变化。
虽然已相对于有限数目的实施例描述了本发明,但受益于本发明的所属领域的技术人员将了解,可设想不脱离本文所揭示的本发明的范围的其它实施例。因此,本公开的范围将仅由所附权利要求限制。
Claims (13)
1.一种集成电路芯片,包括:
集成电路衬底;
主逻辑,在所述集成电路衬底内,所述主逻辑被配置为控制至少一个外部组件,所述主逻辑进一步被配置为生成至少一个数字信号、至少一个模拟信号和至少一个其它信号,所述主逻辑的正确操作能够从所述至少一个数字信号中确定,所述主逻辑的正确操作能够从所述至少一个模拟信号中确定;
安全区域,在所述集成电路衬底内,并且与所述主逻辑隔离,所述安全区域被配置为:
从所述至少一个模拟信号生成至少一个模拟故障信号,所述至少一个模拟故障信号指示所述主逻辑的不正确操作是否已发生;
从所述至少一个数字信号生成指示所述主逻辑的不正确操作是否已发生的至少一个数字故障信号;
基于所述至少一个模拟故障信号、所述至少一个数字故障信号和所述至少一个其它信号生成输出信号和反馈信号,所述输出信号使所述至少一个外部组件响应于所述主逻辑的不正确操作而执行期望的功能,所述反馈信号指示所述主逻辑的不正确操作尚未发生;以及
安全区域检查器电路,在所述集成电路衬底内并且位于所述安全区域外部,所述安全区域检查器电路包括:
第一逻辑,接收所述至少一个模拟故障信号和所述至少一个数字故障信号作为输入,所述第一逻辑生成第一逻辑输出,所述第一逻辑输出指示所述至少一个模拟故障信号或是所述至少一个数字故障信号指示所述主逻辑的不正确操作已经发生;
第二逻辑,接收所述第一逻辑输出和所述至少一个其它信号作为输入,所述第二逻辑生成第二逻辑输出;
第一比较电路,接收所述第二逻辑输出以及所述输出信号或所述反馈信号作为输入,所述第一比较电路响应于所述第一比较电路的输入之间的逻辑电平不匹配而断言第一检查信号;
第二比较电路,接收所述第一逻辑输出以及所述输出信号或所述反馈信号作为输入,所述第二比较电路响应于到所述第二比较电路的输入之间的逻辑电平的不匹配而断言第二检查信号;以及
或电路,接收所述第一检查信号和所述第二检查信号作为输入,并且响应于所述第一检查信号和所述第二检查信号中的任一者被断言而生成错误检查信号。
2.根据权利要求1所述的集成电路芯片,其中所述安全区域由至少一个深沟槽隔离来隔离。
3.根据权利要求1所述的集成电路芯片,其中所述安全区域通过两个同心深沟槽隔离来隔离。
4.根据权利要求1所述的集成电路芯片,其中所述安全区域检查器电路还包括同步电路,所述至少一个模拟故障信号在耦合到所述第一逻辑之前被传递通过所述同步电路。
5.根据权利要求1所述的集成电路芯片,其中所述第一逻辑包括与门。
6.根据权利要求1所述的集成电路芯片,进一步包括被配置为对所述错误检查信号进行滤波的滤波器。
7.一种集成电路芯片,包括:
集成电路衬底;
主逻辑,在所述集成电路衬底内,所述主逻辑被配置为控制至少一个外部组件,所述主逻辑进一步被配置为生成多个信号和至少一个其它信号,所述主逻辑的正确操作能够从所述多个信号中确定;
多个安全区域,在所述集成电路衬底内,并且与所述主逻辑隔离,每个安全区域被配置为:
从所述多个信号中的一些信号生成指示所述主逻辑的不正确操作是否已发生的多个故障信号;
基于所述多个故障信号和所述至少一个其它信号生成输出信号和反馈信号,所述输出信号使所述至少一个外部组件响应于所述主逻辑的不正确操作而执行期望的功能,所述反馈信号指示所述主逻辑的不正确操作未发生;
多个安全区域检查器电路,在所述集成电路衬底内并且位于所述安全区域外部,每个安全区域检查器电路与所述多个安全区域中的一个安全区域相关联,并且包括:
第一逻辑,接收所述多个故障信号作为输入,所述第一逻辑生成第一逻辑输出,所述第一逻辑输出指示所述多个故障信号是否指示所述主逻辑的不正确操作已发生;
第二逻辑,接收所述第一逻辑输出和所述至少一个其它信号作为输入,所述第二逻辑生成第二逻辑输出;
第一比较电路,接收所述第二逻辑输出以及所述输出信号或所述反馈信号作为输入,所述第一比较电路响应于所述第一比较电路的输入之间的逻辑电平的不匹配而断言第一检查信号;
第二比较电路,接收所述第一逻辑输出以及所述输出信号或所述反馈信号作为输入,所述第二比较电路响应于到所述第二比较电路的输入之间的逻辑电平的不匹配而断言第二检查信号;以及
或电路,接收所述第一检查信号和所述第二检查信号作为输入,并且响应于所述第一检查信号和所述第二检查信号中的任一者被断言而生成错误检查信号;
第一主或电路,接收来自所述多个安全区域检查器电路中的每个安全区域检查器电路的所述错误检查信号作为输入,并且基于所述错误检查信号生成中间错误检查信号;
第二主或电路,接收所述中间错误检查信号和最终错误检查输出作为输入;以及
触发器,接收来自所述第二主或电路的输出作为输入,并且生成所述最终错误检查输出作为输出。
8.根据权利要求7所述的集成电路芯片,还包括:滤波器,所述中间错误检查信号在耦合到所述第二主或电路之前被传递通过所述滤波器。
9.根据权利要求7所述的集成电路芯片,其中每个安全区域由至少一个深沟槽隔离来隔离。
10.根据权利要求7所述的集成电路芯片,其中每个安全区域由两个同心深沟槽隔离来隔离。
11.根据权利要求7所述的集成电路芯片,其中每个安全区域检查器电路还包括同步电路,所述多个故障信号中的一些故障信号在耦合到所述第一逻辑之前被传递通过所述同步电路。
12.根据权利要求7所述的集成电路芯片,其中所述第一逻辑包括与门。
13.根据权利要求7所述的集成电路芯片,进一步包括:滤波器,被配置为对所述错误检查信号进行滤波。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/460,657 | 2021-08-30 | ||
| US17/460,657 US20230064438A1 (en) | 2021-08-30 | 2021-08-30 | On-chip checker for on-chip safety area |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115729204A true CN115729204A (zh) | 2023-03-03 |
Family
ID=82846460
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202222297244.3U Active CN218848590U (zh) | 2021-08-30 | 2022-08-29 | 集成电路芯片 |
| CN202211043344.1A Pending CN115729204A (zh) | 2021-08-30 | 2022-08-29 | 用于片上安全区域的片上检查器 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202222297244.3U Active CN218848590U (zh) | 2021-08-30 | 2022-08-29 | 集成电路芯片 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20230064438A1 (zh) |
| EP (1) | EP4145150B1 (zh) |
| CN (2) | CN218848590U (zh) |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8624764B2 (en) * | 2011-02-11 | 2014-01-07 | Analog Devices, Inc. | Test circuits and methods for redundant electronic systems |
| WO2014006442A1 (en) * | 2012-07-02 | 2014-01-09 | Freescale Semiconductor, Inc. | Integrated circuit device, safety circuit, safety-critical system and method of manufacturing an integrated circuit device |
| US9964597B2 (en) * | 2016-09-01 | 2018-05-08 | Texas Instruments Incorporated | Self test for safety logic |
| US10985765B2 (en) * | 2018-08-07 | 2021-04-20 | Samsung Electronics Co., Ltd. | Apparatus including safety logic |
| CN113498391B (zh) * | 2019-03-08 | 2023-05-16 | 马自达汽车株式会社 | 汽车用运算装置 |
-
2021
- 2021-08-30 US US17/460,657 patent/US20230064438A1/en active Pending
-
2022
- 2022-08-05 EP EP22189096.5A patent/EP4145150B1/en active Active
- 2022-08-29 CN CN202222297244.3U patent/CN218848590U/zh active Active
- 2022-08-29 CN CN202211043344.1A patent/CN115729204A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| CN218848590U (zh) | 2023-04-11 |
| US20230064438A1 (en) | 2023-03-02 |
| EP4145150A1 (en) | 2023-03-08 |
| EP4145150B1 (en) | 2024-03-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10576990B2 (en) | Method and device for handling safety critical errors | |
| US4176258A (en) | Method and circuit for checking integrated circuit chips | |
| US10761925B2 (en) | Multi-channel network-on-a-chip | |
| US7802138B2 (en) | Control method for information processing apparatus, information processing apparatus, control program for information processing system and redundant comprisal control apparatus | |
| US8868989B2 (en) | System for testing error detection circuits | |
| WO2018221136A1 (ja) | 異常判定装置、異常判定方法及び異常判定プログラム | |
| US9372774B2 (en) | Redundant computing architecture | |
| JPS61128339A (ja) | 自動飛行制御装置 | |
| US9207661B2 (en) | Dual core architecture of a control module of an engine | |
| CN110874096A (zh) | 具有集成故障监测系统的集成电路装置 | |
| BR102014018752B1 (pt) | Unidade eletrônica de controle de motor a combustão interna automotivo e veículo automotor | |
| US11774487B2 (en) | Electrical and logic isolation for systems on a chip | |
| US6367031B1 (en) | Critical control adaption of integrated modular architecture | |
| CN218848590U (zh) | 集成电路芯片 | |
| US20240004758A1 (en) | Electronic circuit with local configuration checkers with unique id codes | |
| Großmann et al. | Efficient application of multi-core processors as substitute of the E-Gas (Etc) monitoring concept | |
| CN112987680A (zh) | 用于避免安全系统中的故障传播的设备、系统和方法 | |
| JP7360277B2 (ja) | 航空機の制御システム | |
| KR101887904B1 (ko) | 제어기 단락 이상 감지 장치 및 방법 | |
| Baumeister | Using Decoupled Parallel Mode for Safety Applications | |
| US11821935B2 (en) | Differential aging monitor circuits and techniques for assessing aging effects in semiconductor circuits | |
| JP6457149B2 (ja) | 電子制御装置 | |
| US20240217527A1 (en) | Method for self-diagnosis of a vehicle system | |
| Ruggeri et al. | A High Functional Safety Performance Level Machine Controller for a Medium Size Agricultural Tractor | |
| Hofbaur et al. | On the Role of Model-based Diagnosis in Functional Safety |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |