DE102020111707A1 - Einzelchip-mehrfach-die-architektur mit sicherheitskonformer kreuzüberwachungsfähigkeit - Google Patents

Einzelchip-mehrfach-die-architektur mit sicherheitskonformer kreuzüberwachungsfähigkeit Download PDF

Info

Publication number
DE102020111707A1
DE102020111707A1 DE102020111707.8A DE102020111707A DE102020111707A1 DE 102020111707 A1 DE102020111707 A1 DE 102020111707A1 DE 102020111707 A DE102020111707 A DE 102020111707A DE 102020111707 A1 DE102020111707 A1 DE 102020111707A1
Authority
DE
Germany
Prior art keywords
output
die
chip
application instance
error
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102020111707.8A
Other languages
English (en)
Inventor
Nabajit Deka
Riccardo Mariani
Asad Azam
Roger May
Prashanth Gadila
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of DE102020111707A1 publication Critical patent/DE102020111707A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/10Program control for peripheral devices
    • G06F13/12Program control for peripheral devices using hardware independent of the central processor, e.g. channel or peripheral processor
    • G06F13/122Program control for peripheral devices using hardware independent of the central processor, e.g. channel or peripheral processor where hardware performs an I/O function other than control of data transfer
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3055Monitoring arrangements for monitoring the status of the computing system or of the computing system component, e.g. monitoring if the computing system is on, off, available, not available
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1654Error detection by comparing the output of redundant processing systems where the output of only one of the redundant processing components can drive the attached hardware, e.g. memory or I/O

Abstract

Verfahren, Systeme und Einrichtungen können Technologien vorsehen, die Folgendes beinhalten: einen Chip (10, 32) mit einem ersten Die (12, 38) einschließlich einer ersten Verarbeitungslogik zum Ausführen einer ersten Anwendungsinstanz (16) und Erzeugen einer ersten Ausgabe (17) der ersten Anwendungsinstanz (16) und einer zweiten Verarbeitungslogik (18, 42) zum Ausführen einer zweiten Anwendungsinstanz (20) und Erzeugen einer zweiten Ausgabe (19) der zweiten Anwendungsinstanz (20). Der Chip (10, 32) kann auch einen zweiten Die (24, 50) beinhalten, der mit dem ersten Die (12, 38) gekoppelt ist, wobei der zweite Die (24, 50) einen Sicherheitsmonitor (26, 52) zum Detektieren einer Bedingung, die mit einem Fehler in der ersten Ausgabe (17), einem Fehler in der zweiten Ausgabe (19) und/oder einer Diskrepanz zwischen der ersten Ausgabe (17) und der zweiten Ausgabe (19) assoziiert ist, beinhaltet. Der Sicherheitsmonitor (26, 52) kann auch einen Übergang des Chips (10, 32) in einen sicheren Zustand als Reaktion auf die Bedingung initiieren.

Description

  • Ausführungsformen betreffen allgemein Funktionssicherheitsanwendungen. Insbesondere betreffen Ausführungsformen eine Einzelchip-Mehrfach-Die-Architektur mit sicherheitskonformer Kreuzüberwachungsfähigkeit.
  • Eine Einhaltung von Funktionssicherheitsanforderungen (z. B. Kategorie 3/Cat3, Leistungsfähigkeitsniveau d/Pld des ISO-13849-Standards) ist bei Maschinen- und Industrieplattformen (z. B. elektrischen, hydraulischen, pneumatischen und/oder mechanischen Systemen) aufgrund des potentiellen Risikos, das die Plattformen für Endbenutzer darstellen können, ein kritischer Bereich. Um die Funktionssicherheit zu adressieren, können Plattformen zwei separate (z. B. redundante) Verarbeitungskanäle beinhalten, wobei jeder Verarbeitungskanal sich auf einer unabhängigen Vorrichtung (z. B. System-auf-Chip/SoC) befindet. Eine Systemintegration einer solchen Architektur mit einer Kreuzüberwachungslösung kann jedoch aus mehreren Gründen herausfordernd sein. Zum Beispiel kann eine kundenspezifische Anpassung der Hardware und Software der Kreuzüberwachungslösung aufgrund der Entwicklungs- und Zertifizierungskomplexität sowie einer relativ großen Komponentenzahl (z. B. Materialstückliste/BOM) teuer sein. Falls der Anbieter der Verarbeitungskanalvorrichtungen verschieden von dem Systemintegrator (z. B. dem Anbieter einer dritten Vorrichtung zum Durchführen einer Kreuzüberwachung) ist, kann zudem ein Mangel an Informationen über die Verarbeitungskanalfähigkeiten zu einer suboptimalen Anpassung der Kreuzüberwachungsvorrichtung führen.
  • Die verschiedenen Vorteile der Ausführungsformen werden einem Fachmann durch Lesen der folgenden Beschreibung und der beigefügten Ansprüche und durch Bezugnahme auf die folgenden Zeichnungen ersichtlich, in denen Folgendes gilt:
    • 1 ist ein Blockdiagramm eines Beispiels für einen Chip gemäß einer Ausführungsform;
    • 2 ist ein Blockdiagramm eines Beispiels für eine Plattform gemäß einer Ausführungsform;
    • 3 ist ein Flussdiagramm eines Beispiels für ein Verfahren zum Betreiben eines Chips gemäß einer Ausführungsform; und
    • 4 ist eine Veranschaulichung eines Beispiels für eine Halbleitergehäuseeinrichtung gemäß einer Ausführungsform.
  • 1 zeigt einen Chip 10 (z. B. ein SoC-Halbleitergehäuse einschließlich einer Logik, die mit einem oder mehreren Substraten gekoppelt ist), der den sicheren Betrieb einer Industrieplattform (z. B. Maschinen einschließlich elektrischer, hydraulischer, pneumatischer und/oder mechanischer Subsysteme) unterstützen kann. Bei dem veranschaulichten Beispiel beinhaltet der Chip 10 einen ersten Die 12 mit einer ersten Verarbeitungslogik 14 (z. B. einem Prozessorkern, einer Ausführungseinheit, einer Grafikverarbeitungseinheit/GPU usw., mit einem oder mehreren Caches) zum Ausführen einer ersten Anwendungsinstanz 16 (z. B. einer Instanz einer Sicherheitsanwendung) und eine zweite (z. B. redundante) Verarbeitungslogik 18 zum Ausführen einer zweiten Anwendungsinstanz 20. Allgemein kann eine Sicherheitsanwendung mit Sensoren (z. B. nicht gezeigte Temperatur-, Druck-, Geschwindigkeitssensoren, chemische und/oder optische Sensoren) kommunizieren und Aktoren (z. B. nicht gezeigte Solenoide, Relais, Ventile, Motoren usw.) in der Plattform ansteuern.
  • Bei einer Ausführungsform gibt eine Sicherheitsanwendung einen Satz von Variablen (z. B. „Sicherheitsvariablen“) aus, die den Zustand der Plattform effektiv erfassen. Dementsprechend können die Sicherheitsvariablen während einer Ausführung der Sicherheitsanwendung wiederholt geändert werden. Entsprechend erzeugt der veranschaulichte erste Die 12 eine erste Ausgabe 17 (z. B. eine Signatur) der ersten Anwendungsinstanz 16 und eine zweite Ausgabe 19 (z. B. eine Signatur) der zweiten Anwendungsinstanz 20. Wie ausführlicher besprochen wird, ist ein Sicherheitsmonitor 26 durch jeweiliges Ausführen der zwei unabhängigen Instanzen 16, 20 der Sicherheitsanwendung der Verarbeitungslogik 14, 18 dazu in der Lage, zwei Sätze von Sicherheitsvariablen zu vergleichen und eine verbesserte Diagnoseabdeckung für die Plattform bereitzustellen.
  • Der veranschaulichte Chip 10 beinhaltet auch einen zweiten Die 24, der kommunikativ mit dem ersten Die 12 gekoppelt ist. Bei einer Ausführungsform beinhaltet der zweite Die 24 einen Sicherheitsmonitor 26 (z. B. eine „Sicherheitsinsel“), um eine Bedingung zu detektieren, die mit einem Fehler/Ausfall (z. B. einem Hardware- und/oder Softwarefehler) in einer ersten Ausgabe der ersten Anwendungsinstanz 16, einem Fehler in einer zweiten Ausgabe der zweiten Anwendungsinstanz 20 und/oder einer Diskrepanz zwischen der ersten Ausgabe und der zweiten Ausgabe assoziiert ist. Hardware-Die-Fehler, die die Bedingung auslösen können, beinhalten zum Beispiel nichtkorrigierbare (z. B. „katastrophale“) und korrigierbare Fehler, die über Pins, Kreuzvergleichsdaten und so weiter berichtet werden. Software-Die-Fehler, die die Bedingung auslösen können, beinhalten zum Beispiel Softwaretestergebnisse, Takt-, Spannungs- und Temperaturparameter, Sicherheitszustandsbefehle von der Host-Software und so weiter.
  • Bei einer Ausführungsform initiiert der Sicherheitsmonitor 26 als Reaktion auf die Bedingung einen Übergang des Chips 10 und/oder der Plattform in einen sicheren Zustand. Zum Beispiel kann der Sicherheitsmonitor 26 ein Sicherheitszustandssignal 28 an einem oder mehreren Fehlerpins erzeugen, um den Übergang zu initiieren. Der Sicherheitsmonitor 26 kann auch das Sicherheitszustandssignal 28 als Reaktion auf Fehler erzeugen, die an dem zweiten Die 24 detektiert werden, wie etwa zum Beispiel Hardwarefehler, die über Fehlerpins gemeldet werden, Softwaretestergebnisse, Takt- und Temperaturparameter und so weiter. Der veranschaulichte Chip 10 reduziert daher eine Anzahl an Herausforderungen, die mit der Systemintegration assoziiert sind. Zum Beispiel wird eine Entwicklungs- und Zertifizierungskomplexität reduziert, weil der Sicherheitsmonitor 26 mit der Verarbeitungslogik 14, 18 auf demselben Halbleitergehäuse integriert ist. Außerdem werden Kosten aufgrund einer Verringerung der Komponentenzahl (z. B. BOM) reduziert. Weil der Anbieter/Hersteller des ersten Die 12 der gleiche wie der Anbieter/Hersteller des zweiten Die 24 ist, benötigt zudem der Systemintegrator (z. B. Plattformentwickler) keine ausführlichen Informationen mehr über die Fähigkeiten des ersten Die 12, um eine optimalere Anpassung des Sicherheitsmonitors 26 zu erreichen.
  • 2 zeigt eine Plattform 30 mit verbesserten Diagnoseabdeckungs- und Sicherheitsüberwachungsfähigkeiten. Die Plattform 30 kann allgemein ein Industrie- und/oder Automobilsystem mit Funktionssicherheitsvoraussetzungen (z. B. ISO-13849) sein. Bei dem veranschaulichten Beispiel ist ein Chip 32 mit einem Satz 34 von Sensoren (z. B. Temperatur-, Druck-, Geschwindigkeits-, chemischen und/oder optischen Sensoren) und Aktoren (z. B. Solenoiden, Relais, Ventilen, Motoren usw.) und mit mehreren Eingabe/Ausgabe(EA)-Modulen verbunden. Bei dem veranschaulichten Beispiel beinhaltet der Chip 32 einen ersten Die 38 („Die 1“, z. B. einen Host-Prozessor, eine Zentralverarbeitungseinheit/CPU) mit einer ersten Verarbeitungslogik 40 (z. B. einem ersten Verarbeitungskanal) zum Ausführen einer ersten Anwendungsinstanz (z. B. einer Instanz einer Sicherheitsanwendung, nicht gezeigt) basierend auf Kommunikationen mit dem Satz 34 von Sensoren und Aktoren. Bei einer Ausführungsform beinhaltet der Chip 32 auch eine zweite Verarbeitungslogik 42 (z. B. einen zweiten Verarbeitungskanal) zum Ausführen einer (nicht gezeigten) zweiten Anwendungsinstanz basierend auf Kommunikationen mit dem Satz 34 von Sensoren und Aktoren.
  • Eine erste Schnittstellenkomponente 44a einer EA-Schnittstelle 44 (44a, 44b) kann mit der ersten Verarbeitungslogik 40 und einem EA-Modul in dem Satz 34 von Sensoren und Aktoren gekoppelt sein, wobei die erste Schnittstellenkomponente 44a gemäß einem Ende-zu-Ende-Schutzprotokoll (z. B. einem softwarebasierten „Schwarzer-Kanal“-Protokoll) kommuniziert. Gleichermaßen ist eine zweite Schnittstellenkomponente 44b der EA-Schnittstelle 44 mit der zweiten Verarbeitungslogik 42 und einem anderen EA-Modul in dem Satz 34 von Sensoren und Aktoren gekoppelt, wobei die zweite Schnittstellenkomponente 44b gemäß einem Ende-zu-Ende-Schutzprotokoll kommuniziert. Dementsprechend verbessert die veranschaulichte EA-Schnittstelle 44 eine Beständigkeit gegenüber Single Points of Failure (einzelnen Ausfallspunkten) und/oder Common Cause Failures (CCFs - Ausfälle aufgrund gemeinsamer Ursache).
  • Wie bereits angemerkt, erzeugt die erste Verarbeitungslogik 40 eine erste Ausgabe der ersten Anwendungsinstanz und erzeugt die zweite Verarbeitungslogik 42 eine zweite Ausgabe der zweiten Anwendungsinstanz. Bei einer Ausführungsform ist ein zweiter Die 50 („Die 2“) mit dem ersten Die 38 gekoppelt, wobei der zweite Die 50 einen Sicherheitsmonitor 52 beinhaltet, um eine Bedingung zu detektieren, die mit einem Fehler (z. B. einen Hardware- und/oder Softwarefehler) in der ersten Ausgabe der ersten Anwendungsinstanz, einem Fehler in der zweiten Ausgabe der zweiten Anwendungsinstanz, einer Diskrepanz zwischen der ersten Ausgabe und der zweiten Ausgabe usw. oder einer beliebigen Kombination davon assoziiert ist. Die Bedingung kann auch mit einem Fehler assoziiert sein, der durch einen Hardwarefehleraggregator 33 auf dem ersten Die 38 und/oder einem Hardwarefehleraggregator 35 auf dem zweiten Die 50 detektiert wird. Bei einer Ausführungsform initiiert der Sicherheitsmonitor 52 als Reaktion auf die Bedingung einen Übergang des Chips 32 und/oder der Plattform 30 in einen sicheren Zustand. Bei einem Beispiel beinhaltet der erste Die 38 ferner einen ersten Takt 61, der durch eine unabhängige Taktquelle 63 angetrieben wird. Außerdem kann der zweite Die 50 auch einen zweiten Takt 60, der durch eine unabhängige Taktquelle 65 angetrieben wird, und einen Sicherheitsmonitortakt 69 beinhalten. Bei einer Ausführungsform sind der erste Takt 61, der zweite Takt 60 und der Sicherheitsmonitortakt 69 unabhängig voneinander, was eine Beständigkeit gegenüber Single Points of Failure und/oder CCFs weiter erhöht.
  • Bei dem veranschaulichten Beispiel beinhaltet der erste Die 38 ferner eine erste Leistungsquelle 62 (z. B. Host-Leistung), die mit einer ersten externen Quelle 66 (z. B. Spannungsregler und/oder integrierter Leistungsverwaltungsschaltkreis/PMIC) gekoppelt ist, und beinhaltet der zweite Die 50 eine zweite Leistungsquelle 64 (z. B. EA-Leistung), die mit einer zweiten externen Quelle 67 gekoppelt ist, wobei die erste und zweite Leistungsquelle 62, 64 unabhängig voneinander sind. Wieder kann die Unabhängigkeit der Leistungsquellen 62, 64 eine Beständigkeit gegenüber Single Points of Failure und/oder CCFs erhöhen. Bei dem veranschaulichten Beispiel überwacht eine Verarbeitungslogik, wie etwa zum Beispiel die zweite Verarbeitungslogik 42, ein Heartbeat-Signal 72 von dem Sicherheitsmonitor 52 als eine zusätzliche Schicht eines Sicherheitsschutzes.
  • Der veranschaulichte Chip 32 reduziert daher eine Anzahl an Herausforderungen, die mit der Systemintegration assoziiert sind. Zum Beispiel wird eine Entwicklungs- und Zertifizierungskomplexität reduziert, weil der Sicherheitsmonitor 52 mit der Verarbeitungslogik 40, 42 auf demselben Halbleitergehäuse integriert ist. Außerdem werden Kosten aufgrund einer Verringerung der Komponentenzahl (z. B. BOM) reduziert. Weil der Anbieter/Hersteller des ersten Die 38 der gleiche wie der Anbieter/Hersteller des zweiten Die 50 ist, benötigt zudem der Entwickler der Plattform 30 (z. B. Systemintegrator) keine ausführlichen Informationen mehr über die Fähigkeiten des Host-Die 38, um eine optimalere Anpassung des Sicherheitsmonitors 52 zu erreichen.
  • Obwohl die Plattform 30 als ein Industrie- und/oder Automobil(z. B. Auto-, Lastkraftwagen-, Motorrad-)-System beschrieben ist, kann die Sicherheitsplattform 30 für andere Zwecke verwendet werden. Zum Beispiel kann die Plattform 30 Teil einer elektronischen Vorrichtung/eines elektronischen Systems mit einer Rechenfunktionalität (z. B. eines persönlichen digitalen Assistenten/PDA, eines Notebook-Computers, Tablet-Computers, umwandelbaren Tablets, Servers), einer Kommunikationsfunktionalität (z. B. eines Smartphones), einer Bildgebungsfunktionalität (z. B. einer Kamera, eines Camcorders) einer Medienabspielfunktionalität (z. B. eines Smart-Fernsehers/TV), einer Wearable-Funktionalität (z. B. einerArmbanduhr, Brille, Kopfbedeckung, Fußbekleidung, von Schmuck), einer Roboterfunktionalität (z. B. eines autonomen Roboters und/oder einer Drohne), einer medizinischen Funktionalität, einer Luft- und Raumfahrtfunktionalität usw. oder einer beliebigen Kombination davon sein.
  • 3 zeigt ein Verfahren 80 zum Betreiben eines Chips. Das Verfahren 80 kann allgemein in einem Chip, wie etwa zum Beispiel dem Chip 10 (1) und/oder dem Chip 32 (2), implementiert werden, wie bereits besprochen. Insbesondere kann das Verfahren 80 als ein oder mehrere Module in einem Satz von Logikbefehlen implementiert werden, die in einem nichtflüchtigen maschinen- oder computerlesbaren Speicherungsmedium gespeichert sind, wie etwa einem Direktzugriffsspeicher (RAM), einem Nurlesespeicher (ROM), einem programmierbaren ROM (PROM), Firmware, einem Flash-Speicher usw., in konfigurierbarer Logik, wie etwa zum Beispiel programmierbaren Logik-Arrays (PLAs), vor Ort programmierbaren Gatterarrays (FPGAs), komplexen programmierbaren Logikvorrichtungen (CPLDs), in Hardwarelogik mit fester Funktionalität unter Verwendung von Schaltkreistechnologie, wie etwa zum Beispiel von Technologie mit einem anwendungsspezifischen integrierten Schaltkreis (ASIC), einem komplementären Metall-Oxid-Halbleiter (CMOS) oder einer Transistor-Transistor-Logik (TTL), oder eine beliebige Kombination davon.
  • Zum Beispiel kann ein Computerprogrammcode zum Ausführen von in dem Verfahren 80 gezeigten Operationen in beliebiger Kombination von einer oder mehreren Programmiersprachen geschrieben werden, einschließlich einer objektorientierten Programmiersprache, wie etwa zum Beispiel JAVA, SMALLTALK, C++ oder dergleichen, und herkömmlicher prozeduraler Programmiersprachen, wie etwa zum Beispiel der Programmiersprache „C“, oder ähnlicher Programmiersprachen. Zusätzlich dazu könnten Logikanweisungen Assembler-Anweisungen, Befehlssatzarchitektur(ISA)-Anweisungen, Maschinenanweisungen, maschinenabhängige Anweisungen, Mikrocode, Zustandseinstellungsdaten, Konfigurationsdaten für eine integrierte Schaltungsanordnung, Zustandsinformationen, die eine elektronische Schaltungsanordnung personalisieren, und/oder andere strukturelle Komponenten beinhalten, die nativ für die Hardware sind (z. B. Host-Prozessor, Zentralverarbeitungseinheit/CPU, Mikrocontroller usw.).
  • Der veranschaulichte Verarbeitungsblock 82 erzeugt durch einen ersten Die auf dem Chip eine erste Ausgabe einer ersten Anwendungsinstanz und eine zweite Ausgabe einer zweiten Anwendungsinstanz, wobei die erste Anwendungsinstanz auf der ersten Verarbeitungslogik des ersten Die ausgeführt wird und die zweite Anwendungsinstanz auf der zweiten Verarbeitungslogik des ersten Die ausgeführt wird. Block 83 detektiert, durch einen Sicherheitsmonitor auf einem zweiten Die des Chips, eine Bedingung, die mit einem Fehler in der ersten Ausgabe, einem Fehler in der zweiten Ausgabe und/oder einer Diskrepanz zwischen der ersten Ausgabe und der zweiten Ausgabe assoziiert ist. Die Fehler in der ersten Ausgabe und/oder der zweiten Ausgabe können Hardwarefehler, Softwarefehler usw. oder eine beliebige Kombination davon beinhalten.
  • Außerdem sieht Block 84 das Initiieren, durch den Sicherheitsmonitor, eines Übergangs des Chips in einen sicheren Zustand als Reaktion auf die Bedingung vor. Das Verfahren 80 reduziert daher eine Anzahl an Herausforderungen, die mit der Systemintegration assoziiert sind. Zum Beispiel wird eine Entwicklungs- und Zertifizierungskomplexität reduziert, weil der Sicherheitsmonitor mit der Verarbeitungslogik auf demselben Halbleitergehäuse integriert ist. Außerdem werden Kosten aufgrund einer Verringerung der Komponentenzahl (z. B. BOM) reduziert. Weil der Anbieter/Hersteller des ersten Die der gleiche wie der Anbieter/Hersteller des zweiten Die ist, benötigt zudem der Systemintegrator (z. B. Plattformentwickler) keine ausführlichen Informationen mehr über die Fähigkeiten des ersten Die, um eine optimalere Anpassung des Sicherheitsmonitors (z. B. vollständiges Nutzen von Verarbeitungskanalfähigkeiten) zu erreichen.
  • Das Verfahren 80 beinhaltet auch Betreiben des ersten Die mit einer ersten Taktquelle und Betreiben des Sicherheitsmonitors mit einer zweiten Taktquelle, wobei die erste Taktquelle und die zweite Taktquelle unabhängig voneinander sind. Außerdem kann der erste Die mit einer ersten Leistungsquelle mit Leistung versorgt werden und kann der zweite Die mit einer zweiten Leistungsquelle mit Leistung versorgt werden, wobei die erste Leistungsquelle und die zweite Leistungsquelle unabhängig voneinander sind. Bei einer Ausführungsform sieht das Verfahren 80 ferner Kommunizieren über eine erste EA-Schnittstelle, die mit der ersten Verarbeitungslogik gekoppelt ist, und Kommunizieren über eine zweite EA-Schnittstelle, die mit der zweiten Verarbeitungslogik gekoppelt ist, vor. Zudem können Kommunikationen über die erste EA-Schnittstelle und die zweite EA-Schnittstelle in Übereinstimmung mit einem Ende-zu-Ende-Schutzprotokoll erfolgen. Bei einem Beispiel beinhaltet das Verfahren 80 Überwachen, durch den Sicherheitsmonitor, eines Heartbeat-Signals von entweder der ersten Verarbeitungslogik oder der zweiten Verarbeitungslogik. Ein solcher Ansatz stellt effektiv sicher, dass der Sicherheitsmonitor betriebsbereit ist.
  • 4 zeigt eine Halbleitereinrichtung 180 (z. B. einen Chip, ein SoC). Die veranschaulichte Einrichtung 180 beinhaltet ein oder mehrere Substrate 182 (z.B. Silicium, Saphir, Galliumarsenid) und eine Logik 184 (z. B. ein Transistorarray und andere Integrierter-Schaltkreis-/IC-Komponenten), die mit dem (den) Substrat(en) 182 gekoppelt ist. Bei einer Ausführungsform beinhaltet die Einrichtung 180 den Chip 10 (1) und/oder den Chip 32 (2) und die Logik 184 implementiert einen oder mehrere Aspekte des Verfahrens 80 (3), wie bereits besprochen wurde. Dementsprechend kann die Logik 184 durch einen ersten Die auf dem Chip eine erste Ausgabe einer ersten Anwendungsinstanz und eine zweite Ausgabe einer zweiten Anwendungsinstanz erzeugen, wobei die erste Anwendungsinstanz auf der ersten Verarbeitungslogik des ersten Die ausgeführt wird und die zweite Anwendungsinstanz auf der zweiten Verarbeitungslogik des ersten Die ausgeführt wird. Bei einer Ausführungsform detektiert die Logik 184 auch eine Bedingung, die mit einem Fehler in einer ersten Ausgabe einer ersten Anwendungsinstanz, einem Fehler in einer zweiten Ausgabe einer zweiten Anwendungsinstanz und/oder einer Diskrepanz zwischen der ersten Ausgabe und der zweiten Ausgabe assoziiert ist. Die Fehler in der ersten Ausgabe und/oder der zweiten Ausgabe können Hardwarefehler, Softwarefehler usw. oder eine beliebige Kombination davon beinhalten. Außerdem kann die Logik 184 durch einen Sicherheitsmonitor auf einem zweiten Die auf dem Chip einen Übergang des Chips in einen sicheren Zustand als Reaktion auf die Bedingung initiieren.
  • Die Einrichtung 180 ist daher ein Einzelchip, der eine Anzahl an Herausforderungen reduziert, die mit der Systemintegration assoziiert sind. Zum Beispiel wird eine Entwicklungs- und Zertifizierungskomplexität reduziert, weil der Sicherheitsmonitor mit den Verarbeitungslogiken auf demselben Halbleitergehäuse integriert ist. Außerdem werden Kosten aufgrund einer Verringerung der Komponentenzahl (z. B. BOM) reduziert. Weil der Anbieter/Hersteller des ersten Die der gleiche wie der Anbieter/Hersteller des zweiten Die ist, benötigt zudem der Systemintegrator (z. B. Plattformentwickler) keine ausführlichen Informationen mehr über die Fähigkeiten des ersten Die, um eine optimalere Anpassung des Sicherheitsmonitors (z. B. vollständiges Nutzen von Verarbeitungskanalfähigkeiten) zu erreichen.
  • Die Logik 184 kann zumindest teilweise in konfigurierbarer Logik oder Hardwarelogik mit fester Funktionalität implementiert werden. Bei einem Beispiel beinhaltet die Logik 184 Transistorkanalgebiete, die innerhalb des (der) Substrats (Substrate) 182 positioniert (z. B. eingebettet) sind. Somit ist die Grenzfläche zwischen der Logik 184 und dem (den) Substrat(en) 182 möglicherweise kein abrupter Übergang. Die Logik 184 kann auch als eine Epitaxieschicht enthaltend angesehen werden, die auf einem anfänglichen Wafer des Substrats (der Substrate) 182 aufgewachsen wird.
  • Zusätzliche Anmerkungen und Beispiele:
  • Beispiel 1 beinhaltet einen Chip, der Folgendes umfasst: einen ersten Die einschließlich einer ersten Leistungsquelle, eines ersten Kerns zum Ausführen einer ersten Anwendungsinstanz und Erzeugen einer ersten Ausgabe der ersten Anwendungsinstanz und eines zweiten Kerns zum Ausführen einer zweiten Anwendungsinstanz und Erzeugen einer zweiten Ausgabe der zweiten Anwendungsinstanz, wobei der Fehler in der ersten Ausgabe und/oder der Fehler in der zweiten Ausgabe einen Hardwarefehler und/oder einen Softwarefehler einschließen soll; und einen zweiten Die, der mit dem ersten Die gekoppelt ist, wobei der zweite Die eine zweite Leistungsquelle, einen Sicherheitsmonitor zum Detektieren einer Bedingung, die mit einem Fehler in der ersten Ausgabe, einem Fehler in der zweiten Ausgabe und/oder einer Diskrepanz zwischen der ersten Ausgabe und der zweiten Ausgabe und zum Initiieren eines Übergangs des Chips in einen sicheren Zustand als Reaktion auf die Bedingung, eine erste Taktquelle, die mit dem ersten Die gekoppelt ist, und eine zweite Taktquelle, die mit dem Sicherheitsmonitor gekoppelt ist, beinhaltet, wobei die erste Taktquelle und die zweite Taktquelle unabhängig voneinander sind und wobei die erste Leistungsquelle und die zweite Leistungsquelle unabhängig voneinander sind.
  • Beispiel 2 beinhaltet die Plattform aus Beispiel 1, wobei der zweite Die ferner eine erste Eingabe/Ausgabe(EA)-Schnittstelle, die mit dem ersten Kern gekoppelt ist, und eine zweite EA-Schnittstelle, die mit dem zweiten Kern gekoppelt ist, umfasst.
  • Beispiel 3 beinhaltet die Plattform aus Beispiel 2, wobei die erste EA-Schnittstelle und die zweite EA-Schnittstelle in Übereinstimmung mit einem Ende-zu-Ende-Schutzprotokoll kommunizieren.
  • Beispiel 4 beinhaltet die Plattform aus einem der Beispiele 1 bis 3, wobei die erste Verarbeitungslogik zum Überwachen eines Heartbeat-Signals von dem Sicherheitsmonitor ausgelegt ist.
  • Beispiel 5 beinhaltet eine Plattform, die Folgendes umfasst: einen Satz von Sensoren und Aktoren; und einen Chip, der mit dem Satz von Sensoren und Aktoren gekoppelt ist, wobei der Chip Folgendes beinhaltet: einen ersten Die einschließlich einer ersten Verarbeitungslogik zum Ausführen einer ersten Anwendungsinstanz basierend auf Kommunikationen mit dem Satz von Sensoren und Aktoren und Erzeugen einer ersten Ausgabe der ersten Anwendungsinstanz und einer zweiten Verarbeitungslogik zum Ausführen einer zweiten Anwendungsinstanz basierend auf Kommunikationen mit dem Satz von Sensoren und Aktoren und Erzeugen einer zweiten Ausgabe der zweiten Anwendungsinstanz; und einen zweiten Die, der mit dem ersten Die gekoppelt ist, wobei der zweite Die einen Sicherheitsmonitor zum Detektieren einer Bedingung, die mit einem Fehler in der ersten Ausgabe, einem Fehler in der zweiten Ausgabe und/oder einer Diskrepanz zwischen der ersten Ausgabe und der zweiten Ausgabe assoziiert ist, und zum Initiieren eines Übergangs des Chips in einen sicheren Zustand als Reaktion auf die Bedingung beinhaltet.
  • Beispiel 6 beinhaltet die Plattform aus Beispiel 5, wobei der zweite Die ferner eine erste Taktquelle, die mit dem ersten Die gekoppelt ist, und eine zweite Taktquelle, die mit dem Sicherheitsmonitor gekoppelt ist, umfasst, und wobei die erste Taktquelle und die zweite Taktquelle unabhängig voneinander sind.
  • Beispiel 7 beinhaltet die Plattform aus Beispiel 5, wobei der erste Die ferner eine erste Leistungsquelle beinhaltet und der zweite Die eine zweite Leistungsquelle beinhaltet und die erste Leistungsquelle und die zweite Leistungsquelle unabhängig voneinander sind.
  • Beispiel 8 beinhaltet die Plattform aus Beispiel 5, wobei der zweite Die ferner eine erste Eingabe/Ausgabe(EA)-Schnittstelle, die mit der ersten Verarbeitungslogik, dem ersten Satz von Sensoren und Aktoren gekoppelt ist, und eine zweite EA-Schnittstelle, die mit der zweiten Verarbeitungslogik, dem zweiten Satz von Sensoren und Aktoren gekoppelt ist, beinhaltet.
  • Beispiel 9 beinhaltet die Plattform aus Beispiel 8, wobei die erste EA-Schnittstelle und die zweite EA-Schnittstelle in Übereinstimmung mit einem Ende-zu-Ende-Schutzprotokoll kommunizieren.
  • Beispiel 10 beinhaltet die Plattform aus einem der Beispiele 5 bis 9, wobei die erste Verarbeitungslogik zum Überwachen eines Heartbeat-Signals von dem Sicherheitsmonitor ausgelegt ist.
  • Beispiel 11 beinhaltet die Plattform aus einem der Beispiele 5 bis 9, wobei der Fehler in der ersten Ausgabe und/oder der Fehler in der zweiten Ausgabe einen Hardwarefehler und/oder einen Softwarefehler beinhaltet.
  • Beispiel 12 beinhaltet einen Chip, der Folgendes umfasst: einen ersten Die einschließlich einer ersten Verarbeitungslogik zum Ausführen einer ersten Anwendungsinstanz und Erzeugen einer ersten Ausgabe der ersten Anwendungsinstanz und einer zweiten Verarbeitungslogik zum Ausführen einer zweiten Anwendungsinstanz und Erzeugen einer zweiten Ausgabe der zweiten Anwendungsinstanz; und einen zweiten Die, der mit dem ersten Die gekoppelt ist, wobei der zweite Die einen Sicherheitsmonitor zum Detektieren einer Bedingung, die mit einem Fehler in der ersten Ausgabe, einem Fehler in der zweiten Ausgabe und/oder einer Diskrepanz zwischen der ersten Ausgabe und der zweiten Ausgabe assoziiert ist, und zum Initiieren eines Übergangs des Chips in einen sicheren Zustand als Reaktion auf die Bedingung beinhaltet.
  • Beispiel 13 beinhaltet den Chip aus Beispiel 12, wobei der zweite Die ferner eine erste Taktquelle, die mit dem ersten Die gekoppelt ist, und eine zweite Taktquelle beinhaltet, die mit dem Sicherheitsmonitor gekoppelt ist, und wobei die erste Taktquelle und die zweite Taktquelle unabhängig voneinander sind.
  • Beispiel 14 beinhaltet den Chip aus Beispiel 12, wobei der erste Die ferner eine erste Leistungsquelle beinhaltet, der zweite Die eine zweite Leistungsquelle beinhaltet und die erste Leistungsquelle und die zweite Leistungsquelle unabhängig voneinander sind.
  • Beispiel 15 beinhaltet den Chip aus Beispiel 12, wobei der zweite Die ferner eine erste Eingabe/Ausgabe(EA)-Schnittstelle, die mit der ersten Verarbeitungslogik gekoppelt ist, und eine zweite EA-Schnittstelle, die mit der zweiten Verarbeitungslogik gekoppelt ist, umfasst.
  • Beispiel 16 beinhaltet den Chip aus Beispiel 15, wobei die erste EA-Schnittstelle und die zweite EA-Schnittstelle in Übereinstimmung mit einem Ende-zu-Ende-Schutzprotokoll kommunizieren.
  • Beispiel 17 beinhaltet den Chip aus einem der Beispiele 12 bis 16, wobei die erste Verarbeitungslogik zum Überwachen eines Heartbeat-Signals von dem Sicherheitsmonitor ausgelegt ist.
  • Beispiel 18 beinhaltet den Chip aus einem der Beispiele 12 bis 16, wobei der Fehler in der ersten Ausgabe und/oder der Fehler in der zweiten Ausgabe einen Hardwarefehler und/oder einen Softwarefehler beinhaltet.
  • Beispiel 19 beinhaltet ein Verfahren zum Betreiben eines Chips, das Folgendes umfasst: Erzeugen, durch einen ersten Die auf dem Chip, einer ersten Ausgabe einer ersten Anwendungsinstanz und einer zweiten Ausgabe einer zweiten Anwendungsinstanz, wobei die erste Anwendungsinstanz auf einer ersten Verarbeitungslogik des ersten Die ausgeführt wird und die zweite Anwendungsinstanz auf einer zweiten Verarbeitungslogik des ersten Die ausgeführt wird, Detektieren, durch einen Sicherheitsmonitor auf einem zweiten Die auf dem Chip, einer Bedingung, die mit einem Fehler in der ersten Ausgabe, einem Fehler in der zweiten Ausgabe und/oder einer Diskrepanz zwischen der ersten Ausgabe und der zweiten Ausgabe assoziiert ist, und Initiieren, durch den Sicherheitsmonitor, eines Übergangs des Chips in einen sicheren Zustand als Reaktion auf die Bedingung.
  • Beispiel 20 beinhaltet das Verfahren aus Beispiel 19, das ferner Betreiben des ersten Die mit einer ersten Taktquelle und Betreiben des Sicherheitsmonitors mit einer zweiten Taktquelle beinhaltet, wobei die erste Taktquelle und die zweite Taktquelle unabhängig voneinander sind.
  • Beispiel 21 beinhaltet das Verfahren aus Beispiel 19, das ferner Versorgen des ersten Die mit Leistung mit einer ersten Leistungsquelle und Versorgen des zweiten Die mit Leistung mit einer zweiten Leistungsquelle beinhaltet, wobei die erste Leistungsquelle und die zweite Leistungsquelle unabhängig voneinander sind.
  • Beispiel 22 beinhaltet das Verfahren aus Beispiel 19, das ferner Kommunizieren über eine erste Eingabe/Ausgabe(EA)-Schnittstelle, die mit der ersten Verarbeitungslogik gekoppelt ist, und Kommunizieren über eine zweite EA-Schnittstelle, die mit der zweiten Verarbeitungslogik gekoppelt ist, beinhaltet.
  • Beispiel 23 beinhaltet das Verfahren aus Beispiel 22, wobei Kommunikationen über die erste EA-Schnittstelle und die zweite EA-Schnittstelle in Übereinstimmung mit einem Ende-zu-Ende-Schutzprotokoll erfolgen.
  • Beispiel 24 beinhaltet das Verfahren aus einem der Beispiele 19 bis 23, das ferner Überwachen, durch den Sicherheitsmonitor, eines Heartbeat-Signals von der ersten Verarbeitungslogik beinhaltet.
  • Beispiel 25 beinhaltet das Verfahren aus einem der Beispiele 19 bis 23, wobei der Fehler in der ersten Ausgabe und/oder der Fehler in der zweiten Ausgabe einen Hardwarefehler und/oder einen Softwarefehler beinhaltet.
  • Hier beschriebene Technologien können daher eine „Plug-In“-Einzelchiplösung mit integrierter Kreuzüberwachung von Hardware, Firmware (FW) und Software bereitstellen, die den Aufwand für Systemintegratoren erfüllt, um Sicherheitsstandards zu erfüllen und BOM-Kosten der Plattform zu reduzieren.
  • Ausführungsformen sind zur Verwendung mit allen Typen von Halbleiter-Integrierte-Schaltkreis („IC“)-Chips anwendbar. Beispiele für diese IC-Chips beinhalten unter anderem Prozessoren, Steuerungen, Chipsatzkomponenten, programmierbare Logikarrays (PLAs), Speicherchips, Netzwerkchips, Systeme-auf-Chip (SoC), SSD/NAND-Steuerung-ASICs und dergleichen. Zusätzlich dazu sind in manchen der Zeichnungen Signalleiterleitungen mit Linien repräsentiert. Manche können unterschiedlich sein, um mehr Signalpfadbestandteile anzuzeigen, eine Nummernbezeichnung aufweisen, um eine Anzahl von Signalpfadbestandteilen anzugeben, und/oder Pfeile an einem oder mehreren Enden aufweisen, um die primäre Informationsflussrichtung anzugeben. Dies sollte jedoch nicht auf eine beschränkende Weise ausgelegt werden. Vielmehr kann ein derartiges hinzugefügtes Detail in Verbindung mit einem oder mehreren Ausführungsbeispielen verwendet werden, um ein einfacheres Verständnis eines Schaltkreises zu ermöglichen. Jegliche repräsentierten Signalleitungen, ob sie zusätzliche Information aufweisen oder nicht, können tatsächlich ein oder mehrere Signale umfassen, die sich in mehreren Richtungen bewegen können, und können mit einer beliebigen geeigneten Art von Signalschema implementiert werden, z. B. digitalen oder analogen Leitungen, die mit differenziellen Paaren, Optikfaserleitungen und/oder Single-Ended-Leitungen, implementiert werden.
  • Es sind möglicherweise beispielhafte Größen/Modelle/Werte/Bereiche gegeben worden, obwohl Ausführungsformen nicht auf dieselben beschränkt sind. Wenn sich Herstellungstechniken (z. B. Fotolithografie) im Laufe der Zeit weiterentwickeln, wird erwartet, dass Einrichtungen kleinerer Größe hergestellt werden könnten. Zusätzlich dazu sind wohlbekannte Leistungs-/Masseverbindungen zu IC-Chips und anderen Komponenten möglicherweise in den Figuren zur Vereinfachung der Veranschaulichung und Besprechung gezeigt oder nicht, um gewisse Aspekte der Ausführungsformen nicht unklar zu machen. Ferner können Anordnungen in Blockdiagrammform gezeigt sein, um zu vermeiden, dass Ausführungsformen unklar gemacht werden, und auch angesichts der Tatsache, dass Einzelheiten mit Bezug auf eine Implementierung derartiger Blockdiagrammanordnungen in hohem Maße von der Plattform abhängen, innerhalb der die Ausführungsform implementiert werden soll, d. h., derartige Einzelheiten sollten wohl im Zuständigkeitsbereich eines Fachmanns liegen. Wenn spezielle Einzelheiten (z. B. Schaltkreise) dargelegt sind, um Ausführungsbeispiele zu beschreiben, sollte es einem Fachmann ersichtlich sein, dass Ausführungsformen ohne diese speziellen Einzelheiten oder mit einer Variation davon praktiziert werden können. Die Beschreibung ist somit als veranschaulichend anstatt beschränkend aufzufassen.
  • Der Ausdruck „gekoppelt“ kann hier verwendet werden, um sich auf einem beliebigen Typ von Beziehung, direkt oder indirekt, zwischen den fraglichen Komponenten zu beziehen, und kann für elektrische, mechanische, fluide, optische, elektromagnetische, elektromechanische oder andere Verbindungen anwendbar sein. Zusätzlich dazu werden die Ausdrücke „erster“, „zweiter“ usw. hier möglicherweise nur zur Erleichterung der Erörterung verwendet und tragen keine besondere zeitliche oder chronologische Bedeutung, sofern nicht anders angegeben.
  • Wie in dieser Anmeldung und den Ansprüchen verwendet, kann eine Liste von Gegenständen, die durch den Ausdruck „eines oder mehrere von“ verbunden sind, eine beliebige Kombination der aufgelisteten Begriffe bedeuten. Zum Beispiel können die Phrase „eines oder mehrere von A, B und C“ und die Phrase„eines oder mehrere von A, B oder C“ beide A; B; C; A und B; A und C; B und C oder A, B und C bedeuten.
  • Fachleute auf dem Gebiet werden aus der vorstehenden Beschreibung erkennen, dass die umfassenden Techniken der Ausführungsformen in einer Vielzahl von Formen implementiert werden können. Obwohl die Ausführungsformen in Verbindung mit speziellen Beispielen dafür beschrieben worden sind, sollte daher der wahre Schutzumfang der Ausführungsformen nicht auf diese beschränkt sein, da andere Modifikationen für den Fachmann bei Studie der Zeichnungen, der Beschreibung und der folgenden Ansprüche offensichtlich werden.

Claims (10)

  1. Chip (10, 32), der Folgendes umfasst: einen ersten Die (12, 38) einschließlich einer ersten Leistungsquelle (62), eines ersten Kerns (14, 40) zum Ausführen einer ersten Anwendungsinstanz (16) und Erzeugen einer ersten Ausgabe (17) der ersten Anwendungsinstanz (16) und eines zweiten Kerns (18, 42) zum Ausführen einer zweiten Anwendungsinstanz (20) und Erzeugen einer zweiten Ausgabe (19) der zweiten Anwendungsinstanz (20), wobei ein Fehler in der ersten Ausgabe (17) und/oder ein Fehler in der zweiten Ausgabe (19) einen Hardwarefehler und/oder einen Softwarefehler einschließen soll; und einen zweiten Die (24, 50), der mit dem ersten Die (12, 38) gekoppelt ist, wobei der zweite Die (24, 50) eine zweite Leistungsquelle (64), einen Sicherheitsmonitor (26, 52) zum Detektieren einer Bedingung, die mit einem Fehler in der ersten Ausgabe (17), einem Fehler in der zweiten Ausgabe (19) und/oder einer Diskrepanz zwischen der ersten Ausgabe (17) und der zweiten Ausgabe (19) und zum Initiieren eines Übergangs des Chips (10, 32) in einen sicheren Zustand als Reaktion auf die Bedingung, eine erste Taktquelle (63), die mit dem ersten Die (12, 38) gekoppelt ist, und eine zweite Taktquelle (65), die mit dem Sicherheitsmonitor (26, 52) gekoppelt ist, beinhaltet, wobei die erste Taktquelle (63) und die zweite Taktquelle (65) unabhängig voneinander sind und wobei die erste Leistungsquelle (62) und die zweite Leistungsquelle (64) unabhängig voneinander sind.
  2. Chip (10, 32) nach Anspruch 1, wobei der zweite Die (24, 50) ferner Folgendes beinhaltet: eine erste Eingabe/Ausgabe(EA)-Schnittstelle (44a), die mit dem ersten Kern (14, 40) gekoppelt ist, und eine zweite EA-Schnittstelle (44b), die mit dem zweiten Kern (18, 42) gekoppelt ist; wobei optional die erste EA-Schnittstelle (44a) und die zweite EA-Schnittstelle (44b) in Übereinstimmung mit einem Ende-zu-Ende-Schutzprotokoll kommunizieren.
  3. Chip (10, 32) nach einem der Ansprüche 1 oder 2, wobei die erste Verarbeitungslogik (40) zum Überwachen eines Heartbeat-Signals von dem Sicherheitsmonitor (26, 52) ausgelegt ist.
  4. Chip (10, 32), der Folgendes umfasst: einen ersten Die (12, 38) einschließlich einer ersten Verarbeitungslogik (14, 40) zum Ausführen einer ersten Anwendungsinstanz (16) und Erzeugen einer ersten Ausgabe (17) der ersten Anwendungsinstanz (16) und einer zweiten Verarbeitungslogik (18, 42) zum Ausführen einer zweiten Anwendungsinstanz (20) und Erzeugen einer zweiten Ausgabe (19) der zweiten Anwendungsinstanz (20); und einen zweiten Die (24, 50), der mit dem ersten Die (12, 38) gekoppelt ist, wobei der zweite Die (24, 50) einen Sicherheitsmonitor (26, 52) zum Detektieren einer Bedingung, die mit einem Fehler in der ersten Ausgabe (17), einem Fehler in der zweiten Ausgabe (19) und/oder einer Diskrepanz zwischen der ersten Ausgabe (17) und der zweiten Ausgabe (19) assoziiert ist, und zum Initiieren eines Übergangs des Chips (10, 32) in einen sicheren Zustand als Reaktion auf die Bedingung beinhaltet.
  5. Chip (10, 32) nach Anspruch 4, wobei der zweite Die (24, 50) ferner Folgendes beinhaltet: eine erste Taktquelle (61), die mit dem ersten Die (12, 38) gekoppelt ist, und eine zweite Taktquelle (65), die mit dem Sicherheitsmonitor (26, 52) gekoppelt ist, und wobei die erste Taktquelle (61) und die zweite Taktquelle (65) unabhängig voneinander sind; und/oder eine erste Eingabe/Ausgabe(EA)-Schnittstelle (44a), die mit der ersten Verarbeitungslogik (14, 40) gekoppelt ist, und eine zweite EA-Schnittstelle (44b), die mit der zweiten Verarbeitungslogik (18, 42) gekoppelt ist; wobei optional die erste EA-Schnittstelle (44a) und die zweite EA-Schnittstelle (44b) in Übereinstimmung mit einem Ende-zu-Ende-Schutzprotokoll kommunizieren.
  6. Chip (10, 32) nach einem der Ansprüche 4 oder 5, wobei der erste Die (12, 38) ferner eine erste Leistungsquelle (62) beinhaltet und der zweite Die (24, 50) eine zweite Leistungsquelle (64) beinhaltet und die erste Leistungsquelle (62) und die zweite Leistungsquelle (64) unabhängig voneinander sind.
  7. Chip (10, 32) nach einem der Ansprüche 4 bis 6, wobei die erste Verarbeitungslogik (14, 40) zum Überwachen eines Heartbeat-Signals von dem Sicherheitsmonitor (26, 52) ausgelegt ist.
  8. Chip (10, 32) nach einem der Ansprüche 4 bis 7, wobei der Fehler in der ersten Ausgabe (17) und/oder der Fehler in der zweiten Ausgabe (19) einen Hardwarefehler und/oder einen Softwarefehler beinhaltet.
  9. Plattform (30), die Folgendes umfasst: einen Satz (34) von Sensoren und Aktoren; und einen Chip (10, 32) nach einem der Ansprüche 4 bis 8, der mit dem Satz (34) von Sensoren und Aktoren gekoppelt ist, wobei die erste Verarbeitungslogik (14, 40) zum Ausführen einer ersten Anwendungsinstanz (16) basierend auf Kommunikationen mit dem Satz (34) von Sensoren und Aktoren ausgelegt ist und die zweite Verarbeitungslogik (18, 42) zum Ausführen einer zweiten Anwendungsinstanz (20) basierend auf Kommunikationen mit dem Satz (34) von Sensoren und Aktoren ausgelegt ist.
  10. Computerlesbares Speicherungsmedium, das einen Satz von Logikanweisungen implementiert, die bei Ausführung auf einem oder mehreren Prozessoren ein Verfahren zum Betreiben eines Chips (10, 32) implementieren, wobei das Verfahren Folgendes umfasst: Erzeugen, durch einen ersten Die (12, 38) auf dem Chip (10, 32), einer ersten Ausgabe (17) einer ersten Anwendungsinstanz (16) und einer zweiten Ausgabe (19) einer zweiten Anwendungsinstanz (20), wobei die erste Anwendungsinstanz (16) auf einer ersten Verarbeitungslogik (14, 40) des ersten Die (12, 38) ausgeführt wird und die zweite Anwendungsinstanz (20) auf einer zweiten Verarbeitungslogik (18, 42) des ersten Die (12, 38) ausgeführt wird; Detektieren, durch einen Sicherheitsmonitor (26, 52) auf einem zweiten Die (24, 50) auf dem Chip (10, 32), einer Bedingung, die mit einem Fehler in der ersten Ausgabe (17), einem Fehler in der zweiten Ausgabe (19) und/oder einer Diskrepanz zwischen der ersten Ausgabe (17) und der zweiten Ausgabe (19) assoziiert ist; und Initiieren, durch den Sicherheitsmonitor, eines Übergangs des Chips (10, 32) in einen sicheren Zustand als Reaktion auf die Bedingung.
DE102020111707.8A 2019-06-12 2020-04-29 Einzelchip-mehrfach-die-architektur mit sicherheitskonformer kreuzüberwachungsfähigkeit Pending DE102020111707A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/439,407 2019-06-12
US16/439,407 US11841776B2 (en) 2019-06-12 2019-06-12 Single chip multi-die architecture having safety-compliant cross-monitoring capability

Publications (1)

Publication Number Publication Date
DE102020111707A1 true DE102020111707A1 (de) 2020-12-17

Family

ID=67983190

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020111707.8A Pending DE102020111707A1 (de) 2019-06-12 2020-04-29 Einzelchip-mehrfach-die-architektur mit sicherheitskonformer kreuzüberwachungsfähigkeit

Country Status (2)

Country Link
US (1) US11841776B2 (de)
DE (1) DE102020111707A1 (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11403158B2 (en) * 2020-07-23 2022-08-02 Fisher Controls International Llc Discrete logic safety systems for smart process control devices
US11842226B2 (en) * 2022-04-04 2023-12-12 Ambiq Micro, Inc. System for generating power profile in low power processor

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4228496A (en) * 1976-09-07 1980-10-14 Tandem Computers Incorporated Multiprocessor system
US4726024A (en) * 1986-03-31 1988-02-16 Mieczyslaw Mirowski Fail safe architecture for a computer system
US7055060B2 (en) * 2002-12-19 2006-05-30 Intel Corporation On-die mechanism for high-reliability processor
US7647476B2 (en) * 2006-03-14 2010-01-12 Intel Corporation Common analog interface for multiple processor cores
US8650629B2 (en) * 2009-12-16 2014-02-11 Intel Corporation Interface logic for a multi-core system-on-a-chip (SoC)
US9460038B2 (en) * 2010-12-22 2016-10-04 Via Technologies, Inc. Multi-core microprocessor internal bypass bus
US8538558B1 (en) * 2012-03-01 2013-09-17 Texas Instruments Incorporated Systems and methods for control with a multi-chip module with multiple dies
US10432754B2 (en) * 2015-09-16 2019-10-01 Profire Energy, Inc Safety networking protocol and method
US10528414B2 (en) * 2017-09-13 2020-01-07 Toshiba Memory Corporation Centralized error handling in application specific integrated circuits

Also Published As

Publication number Publication date
US20190294125A1 (en) 2019-09-26
US11841776B2 (en) 2023-12-12

Similar Documents

Publication Publication Date Title
DE102015108689B4 (de) Sicherheitsknoten in Zwischenverbindungsdatenbussen
DE112006001643B4 (de) Verfahren und Vorrichtung zum Aushandeln von Punkt-zu-Punkt-Verbindungen
DE60309928T2 (de) Verfahren zur erhöhung der sicherheitsintegritätsstufe eines kontrollsystems
DE102010012904B4 (de) Systeme zum Durchführen eines Tests
DE102005009795A1 (de) Mikroprozessorsystem für eine Maschinensteuerung in sicherheitszertifizierbaren Anwendungen
DE102014001197A1 (de) Kompatibler Netzwerkknoten, insbesondere für CAN-Bussysteme
DE102020111707A1 (de) Einzelchip-mehrfach-die-architektur mit sicherheitskonformer kreuzüberwachungsfähigkeit
DE102020102236A1 (de) Tunnelung von Funktionssicherheits-Übermittlungen über eine erweiterte serielle Peripherieschnittstelle
DE112011106075T5 (de) Redundantes Serversystem mit einer optimierten Ausfallssicherungseinrichtung
CN104933370A (zh) 安全意识主机的系统和方法
DE102013209058A1 (de) Steuern einer fehlertoleranten Gruppe von Wandlern
DE102016103867A1 (de) MBIST-Vorrichtung zum Verwenden mit ECC-geschützten Speichern
DE112011106079T5 (de) Frühe Weiterleitung von Gewebefehlern
DE112016005988T5 (de) Aufgliedernder blockspeicher-steuerstapel
DE102014114877A1 (de) Eine Vorrichtung und ein Verfahren zum Bereitstellen eines Ausgangsparameters und eines Sensorbauelements
DE102018218103A1 (de) Elektrische servolenkvorrichtung mit erhöhter anzahl von sensorsignalen, um die sicherheit zu erhöhen
DE112013003212T5 (de) Drosselung des maximalen Stroms
DE102020120333A1 (de) Leistungsfehlerüberwachen und -melden innerhalb eines systems-auf-einem-chip für funktionale sicherheit
DE102020110851A1 (de) Verteilte fehler- und anomaliekommunikationsarchitektur für analog- und misch-signalsysteme
DE102014002302B4 (de) System und Verfahren zum Bestimmen der operativen Robustheit eines Systems auf einem Chip
DE112019007018B4 (de) Sicherheitskommunikationsvorrichtung, sicherheitskommunikationssystem, sicherheitskommunikationsverfahren und sicherheitskommunikationsprogramm
DE212018000159U1 (de) Systeme für einen Fehlerprotokollierungsmechanismus an Steuerungsbereichsnetzwerkbussen
DE102017103147A1 (de) Alarmabwicklungs-Schaltungsanordnung und Verfahren zur Abwicklung eines Alarms
DE112020005809T5 (de) Zeitgeberschaltung mit autonomem schwebenden pins und zugehörigen systemen, verfahren und vorrichtungen
DE102017110980A1 (de) Kommunikationsvorrichtung mit Direktsteuerung und assoziierte Verfahren