以下の詳細な説明は、添付図面を参照する。これらの添付図面は、図解することによって、具体的な詳細および本発明が実施され得る実施形態を示している。
用語「例示的に」は本願において、「例、実例または図解として用いること」を意味するために使用されている。本願において、「例示的に」として記載されているあらゆる実施形態または設計は必ずしも、他の実施形態または設計よりも有利なまたは都合のよいものと解釈されるものではない。
側面または表面「上に」析出される材料に関して使用される用語「上に」は、本願では、析出された材料が、暗示されている側面または表面「上に直接的に」、例えば直接的に接触して形成されていてよいことを意図するために使用されている場合がある。側面または表面「上に」析出される材料に関して使用される用語「上に」は、本願では、析出された材料が、暗示されている側面または表面「上に間接的に」、暗示されている側面または表面と析出された材料との間に配置されている1つまたは複数の付加的な層を伴って形成されていてよいこと意図するために使用されている場合がある。
基準/要求事項に関連する安全を守るための標準実装が、例えばロックステップモードで動作するように構成されていてよいハードウェア冗長性をベースにした安全機構(SM)であってよい。例として、図1では、安全機構100を視覚化する図が示されている。この安全機構100は、中央処理ユニット(CPU)102に対するロックステップモードを備えたハードウェア冗長性セットアップを用いている。この安全機構は、ロックステップモードで動作してよい2つのCPU102、102a(これらは、マスタCPU102およびチェッカーCPU102aとも称される)を含んでいてよく、換言すれば、これら2つのCPU102、102aは同じ機能を、同時に実行しても、時間的な遅延(例えば、I−Delayとラベル付けされた入力遅延および/またはO−Delayとラベル付けされた出力遅延)を伴って実行してもよく、2つのCPU102、102aの出力が、ロックステップ比較ユニット(LSCU)104によって比較されてよい。比較の結果、例えば、マスタCPU102からのアウトプットとチェッカーCPU102aからのアウトプットとの間の不一致から認められ得るロックステップエラーが、安全管理ユニット106に供給されることがある。安全管理ユニット106は、例えば警報を出し、システムリセット等を実行することによって、ロックステップエラーに適切に反応するように構成されていてよい。マスタCPU102とチェッカーCPU102aとが、異なる領域に配置されていてよい(例えば、「領域A」がマスタCPU102を有し、「領域B」がチェッカーCPU102aを有していてよい)。ハードウェア冗長安全機構100がさらに、付加的な安全機構によって提供されてよく、これは例えばCPU102、102aによって処理されるべきデータにエラー訂正能力を与えることによって、例えばエラー訂正コードECCを付加することによってかつ/または少なくともマスタCPU102にメモリ組込み自己テスト(MBISTとラベル付けされる)を設けることによって行われる。さらにチェッカーCPU102aにメモリ組込み自己テスト(「他のMBIST」とラベル付けされる)を設けることによっても行われる。
ハードウェア冗長性に基づく安全機構100は、種々の利点を有し得る。例えば、これによって主要な機能性、すなわち主要なシステム、例えばマスタCPU102の機能性を、冗長的なCPU(チェッカーCPU102a)によってチェックすることが可能になり、このようにして、主要な回路内の故障を検出することができる。いくつかのタイプのランダムな故障が、このハードウェア冗長性に基づく安全機構100によってカバーされていてよい。
しかし、安全機構100の、完全な冗長的なハードウェアセットアップは、ダイサイズに大きな影響を与えてしまうことがある。換言すれば、この安全機構100は、チップ上にかなり大きい領域を必要とし得る。さらにこの安全機構100は、多大な電流を消費し、これは電力消費に大きい影響を与えてしまうことがある。さらにこの安全機構100は、多大な開発労力を必要とすることがある。これは例えば、多大な設計労力および検証労力である。さらにこの安全機構は、チップのバックエンドの実装に大きい影響を与えてしまうことがある。なぜならこの安全機構は、2つの冗長的な部品、例えばマスタCPU102およびチェッカーCPU102aの、別個の独立した配置を必要とし得るからである。
基準/要求事項に関連する安全を守るための択一的な標準実装が監視原理に基づく安全機構であってよく、これはソフトウェアベースの監視SMを使用してよい。ここでは、例示的にソフトウェアベースの安全機構200を示している図2に示されているように、1つまたは複数のモニターが、監視されるブロックの特性が所定の範囲内にあるかをチェックし、この特性が範囲を超えている場合には、措置を要求する、または警報信号を送信してよい。ソフトウェアベースのこの安全機構200では、モニターの例には、例えば電源および/またはモーターコントロールユニット(MCU)電源を監視するように構成されている1つまたは複数の電源(電圧)モニター220、温度モニター222、パフォーマンスモニター、例えばプログラムFLASH等のアドレスを監視するように構成されている1つまたは複数のアドレスモニター224、例えばプログラムFLASH内のデータ上で実行されるエラー検出/訂正を監視するように構成されているエラー訂正モニター226、例えばクロックネットワークを監視するように構成されているクロックモニター228等が含まれる。これらのモニターは、半導体会社によって、ISO26262規格に従って、機能安全要求事項を扱う自身の機器において、幅広く使用されていてよい。
ソフトウェア監視に基づくこの安全機構200は、種々の利点を有していてよく、例えば、この安全機構が必要とするチップ面積は小さくてよく、したがってダイサイズに与える影響が小さくてよい。さらに、この安全機構200の電力消費割合は小さくてよく、必要とする設計/検証労力はハードウェア冗長安全機構100よりも小さくてよい。
しかし、ソフトウェア監視安全機構200が、実際に機能性をチェックするものとみなされるのではなく、むしろ所定の範囲を超えている値/特性だけをチェックするものとみなされてよい。さらに、故障が故障源で検出されなくてもよく、その代わりに、この故障の影響だけが検出されてよい。これによって、この故障への対応が遅くなることがある。
種々の実施形態では、ハードウェア冗長性を伴う安全機構の特性を、ソフトウェアベースの監視SMの利点と結び付ける安全機構が提供されてよい。
種々の実施形態では、ハードウェア冗長性に基づくSMの利点と監視SMの利点との結合を可能にし得るハイブリッドアプローチに基づき得る機能安全のためのSMが提供されている。
種々の実施形態では、いわゆる「アライブモニター」が提供されており、これは監視されている機能のハイレベルモデルに基づいていてよく、かつこれは回路が正しく機能しているか否かを監視するように構成されていてよく、かつ検出された不一致/故障に対して警報信号を作成するように構成されていてよい。
種々の実施形態では、上述した問題に対して、監視モジュールの形成を可能にする解決策が提供されてよい。この解決策は、2つの先行技術の解決策、すなわちハードウェア冗長性に基づく安全機構と、監視に基づく安全機構と、のそれぞれの特性および利点を有していてよい。
種々の実施形態で進歩したモニターの実装が提供され、これは、システムレベルで容易に利用可能である。これは、モーターコントロールユニット(MCU)の機能モードの間、モニターを使用可能にすることによって行われてよく、このようにして、MCU FITレートを低減させて、アプリケーションに対して規定された、自動車用安全度水準(ASIL)に達することができる。
図3A、図3Bおよび図3Cはそれぞれ、警報処理回路300のブロック図を、種々の実施形態に即して示している。
図3Aに示されているように、警報処理回路300、300aは、種々の実施形態において、受信警報332rを加工して、加工された警報応答信号336を供給するように構成されている警報加工回路330と、警報加工回路330が動作しているか否かを特定するように構成されている第1の監視回路338と、複数の異なるタイプの、警報加工回路330の故障のうちの少なくとも1つを特定するように構成されている第2の監視回路334と、を含んでいてよい。
警報加工回路330は種々の実施形態において、警報加工回路330が受信警報332rを加工して、加工された警報応答信号336を供給する場合、動作していると特定されてよい。この加工された警報応答信号336は、受信警報332r(例えば受信警報332rのタイプ)に対して予測された、加工された警報応答信号336であることが要求されてよい。
警報加工回路330は、種々の実施形態において、受信警報332rが加工されていない場合、誤った(例えば受信警報332r(例えば受信警報332rのタイプ)に対して予測されたものではない)加工された警報応答信号336が供給された場合、かつ/または受信警報332rが受信されなかったのにも係わらず、加工された警報応答信号336が供給された場合、動作していないと特定されてよい。
警報加工回路330と第1の監視回路338と第2の監視回路344との組み合わせは、図3Bおよび図3Cに示されているような種々の実施形態において、安全管理ユニット(SMU)とも称されてよく、(例えばマイクロコントローラ内の)電子システムのコア電圧ドメイン内に(さらにはコアクロックドメイン内にも)安全管理ユニットが配置されているケースにおいて、これは、コア安全管理ユニット、コアSMUまたはSMU_Core(334、334b)と称されてよい。
コア電圧ドメイン内のSMU_Core(334、334b)は、種々の実施形態において、電子システム(例えばマイクロコントローラ)内のすべてのエラーを訂正するように、かつ適切な応答を作成するように構成されていてよく、これによってシステムを安全な状態にする、またはこの電子システムが統合されていてよい外部のシステムに機能不全を知らせることができる。したがってこの極めて重要な機能は、その内部のあらゆるエラーを検出するためにいくつかの機構を必要としてよい。このために、種々の実施形態では、「アライブモニター」および「詳細アライブモニター」と称される機構がそれぞれ提供されている。
図3Bおよび図3Cに示されているように、警報加工回路330は、種々の実施形態において、少なくとも1つのロギングレジスタ330_1を含んでいてよく、ロギングレジスタ330_1は、受信警報332rを記録するように構成されていてよい。
種々の実施形態では、警報加工回路330は、さらにレジスタインタフェース330_2を含んでいてよく、このレジスタインタフェース330_2には、例えばロギングレジスタ330_1によって受信警報332rが供給されてよい。このレジスタインタフェース330_2は、種々の実施形態において、警報応答構成と少なくとも1つの状態記録とを格納するように構成されていてよい。
種々の実施形態では、警報加工回路330はさらに、警報応答ルックアップテーブル(LUT)330_3を含んでいてよい。この警報応答ルックアップテーブル(LUT)330_3は、ロギングレジスタ330_1から受信警報332rを受信し、かつレジスタインタフェース330_2から警報応答構成および/または少なくとも1つの状態記録を受信するように構成されていてよい。警報応答ルックアップテーブル330_3から警報応答が選択されてよく、これは例えば選択ロジック330_4を使用して、受信警報332rおよび警報応答構成および/または少なくとも1つの状態記録に関連して行われてよい。
種々の実施形態では、警報加工回路330はさらに、フィルターユニット330_5を含んでいてよい。このフィルターユニット330_5は例えば、受信警報332rが受信されているケースにおいてのみ、ANDロジックを使用して、選択された警報応答を加工するように、例えば加工された警報336を供給するように構成されていてよい。これによって、受信警報332rが存在していない状態で、警報加工回路330の一部によって、加工された警報336が、(誤って)作成されてしまうことが阻止され得る。
種々の実施形態では、受信警報332rは、警報のグループの少なくとも1つの警報であってよく、このグループは、例えば、電圧センサ/外部および/または内部の電圧調整器を監視するように構成されているモニターからの、電力に関連する警報と、例えば、クロックを監視するように構成されているモニター/センサから、かつ/またはシステム位相同期回路(PLL)においておよび/またはペリフェラルPLLにおいて生じ得るロックの欠如について報告するように構成されているモニターからの、クロックに関連する警報と、例えば、上に警報処理回路300が配置されていてよいダイの温度を測定するように構成されている温度センサからの、温度に関連する警報と、例えば、図1等に示されているような、CPUの状態を監視するように構成されていてよいロックステップコンパレータからの警報と、例えば、警報処理回路300の一部であってよい、または警報処理回路300と結合されていてよいメモリデバイス(例えばSRAMおよび/またはプログラムFLASHメモリデバイス)上で実行されるECCベースのエラー訂正に関連する、エラー訂正に関連する警報(このエラー訂正に関連する警報は、例えば、シングルビットエラー訂正、ダブルビットエラー訂正および/または訂正不可能なエラーに関連していてよい)と、例えば、プロセッサインターコネクト安全機構によって出された警報および/または共有リソースインターコネクト(SRI)および/またはシステムペリフェラルバス(SPB)からの標準的なエラー報告機構によって出された警報である、インターコネクトに関連する警報と、例えば、レジスタモニターによって出された、レジスタに関連する警報と、例えば、アドレスバッファオーバーフローおよび/またはアドレシング欠陥を示している(例えば、SRAMモニターおよび/またはプログラムFLASHモニターによって出された)警報である、アドレスに関連する警報と、例えばインプット/アウトプット監視モジュールによって供給された、インプット/アウトプットに関連する警報と、例外状況に関連する警報と、を含んでいる。この例外状況に関連する警報は、例えば、割り込みルーターおよび割り込みコントロールユニットハードウェアモニターによって、および/またはCPU例外モニターによって供給されてよい。このCPU例外モニターは、CPU例外状況のケース、例えば割り込みまたはトラップ等のケースにおいて警報を出すように構成されていてよい。
種々の実施形態では、加工された警報応答信号336は、警報応答信号のグループのうちの少なくとも1つの警報応答信号を含んでいてよく、このグループは、障害シグナリングプロトコル(FSP)のアクティブ化と、割り込み要求コントローラ(IRコントローラ)への割り込み要求の作成と、システムコントロールユニットへのマスク不可能な割り込み要求の作成と、システムリセットおよび/またはアプリケーションリセットへと導く、システムコントロールユニットへのリセット要求の作成と、ポート緊急停止信号のアクティブ化と、中央処理ユニットリセット要求の作成と、無反応と、を含んでいる。
障害シグナリングプロトコルは、種々の実施形態において、内部障害を外部環境へ報告するように構成されていてよい。FSPは、以下のモードを使用するように構成されていてよい。これらのモードは、ErrorPinとも称され得る双安定シングルピンアウトプット(FSP[0]を使用するプッシュプルアクティブロー構成)と、FSP[0]およびFSP[1]の2つの反転された値を使用するように構成されているタイムドデュアルレールコーディングと、FSP[0]を使用するように構成されているシングルビットタイムドプロトコルと、である。
種々の実施形態では、マイクロコントローラによって動かされるFSP値が、内部状況フラッグを介して観察されてよい。
種々の実施形態では、モニターがさらに、障害が報告された場合に、FSPのタイミングと状態特性をチェックするために設けられていてよい。
図3A、図3Bおよび図3Cに示されているように、警報処理回路300、300aは種々の実施形態において、さらに、第1の監視回路338を含んでいてよい。この第1の監視回路338は、種々の実施形態において、警報加工回路330が動作しているか否かを特定するように構成されている。
図3Bおよび図3Cに示されているように、種々の実施形態において、第1の監視回路338は、警報存在特定回路339を含んでいてよい。この警報存在特定回路339は、警報332rが受信されているか否かおよび/または加工された警報応答信号336が供給されたか否かを特定するように構成されている。
第1の監視回路338は、種々の実施形態において、さらに、応答供給特定回路340を含んでいてよい。この応答供給特定回路340は、警報332rが受信されていることが特定されているケースにおいて、加工された警報応答信号336が供給されたか否かを特定するように構成されており、かつ加工された警報応答信号336が供給されたことが特定されているケースにおいて、警報332rが受信されているか否かを特定するように構成されている。応答供給特定回路340は例えば比較ユニットを含んでいてよい、または比較ユニットから構成されていてよい。この比較ユニットは、受信警報332rと加工された警報応答信号336と比較するように構成されていてよい。応答供給特定回路340は、種々の実施形態において、加工された警報応答信号336と受信警報332rとが一致しているケースにおいて、アライブ信号341を供給してよい。換言すれば、これは、警報332rが受信されている場合に加工された警報応答信号336が供給されたケースおよびその逆のケースである。したがって第1の監視回路338は「アライブモニター」または「SMUアライブモニター」とも称され得る。なぜなら、第1の監視回路338は、SMUの警報加工回路330が「機能して」おり、適切に動いていることを示してよく、かつ正しく動作していないことを示してよいからである。これは警報に類似していてよく、加工された警報応答信号336と受信警報332rとが一致しないケースにおける警報とも称されてよい。換言すれば、これは、警報332rが受信されていない状態で、加工された警報応答信号336が供給されたケースおよび/または警報332rが受信され、かつ加工された警報応答信号336が供給されていないケースである。
種々の実施形態では、正しい動作(アライブ信号341)と正しくない動作(警報)の表示として、それぞれ、アライブモニター(第1の監視回路)338がパルス信号(アライブ信号341)を作成してよい。ここでは、このパルスの存在が、SMU_Core(334、334b)(特に、SMUの警報加工回路330および第1の監視回路338自体)が適切に動いていること、すなわち、これが「機能している」ことを暗示してよい(またこれに対応して、パルス信号の欠如は何かが正しくないことを意味していてよく、これは警報とみなされてよい)。SUMアライブモニター338は、すべての警報(例えば受信警報332r)と、警報応答(例えば加工された警報応答信号336)と、の概要を、SMU334、334bが適切に機能しているか否かをチェックするために使用してよい。SMUアライブモニター338は、SMU_Core(334、334b)が正しく機能していないケースにおいて、アライブ警報を送信してよい。
種々の実施形態では、正しい動作対正しくない動作(アライブ信号/警報)の表示として、アライブモニター(第1の監視回路)338は、パルス信号を使用した上述したものとは異なるプロトコルを使用してよい。例えば、SMU_Coreが機能しているケースにおいて周波数信号が送信されてよく、警報のケースにおいて周波数信号をゼロに結び付けてよく、またはすべてに問題がないケースにおいて周波数信号をゼロに結び付けてよく、警報のケースにおいて周波数信号を送信してよい。
SMUアライブモニター338は、SMUの機能不全を検出する簡潔な手段であってよい。
警報処理回路300、300aは、種々の実施形態において、さらに、第2の監視回路344を含んでいてよい。第2の監視回路344は、種々の実施形態において、複数の異なるタイプの、警報加工回路330の故障のうちの少なくとも1つを特定するように構成されていてよい。
図3Bおよび図3Cに示されているように、種々の実施形態では、第2の監視回路344は、第2の警報加工回路344_1を含んでいてよく、この第2の警報加工回路344_1は、受信警報332rを加工して、第2の加工された警報応答信号346を供給するように構成されている。
種々の実施形態では、第2の監視回路344は、さらに、応答比較回路344_2を含んでいてよく、この応答比較回路344_2は、第2の加工された警報応答信号346が加工された警報応答信号336と一致するか否かを特定するように構成されている。
種々の実施形態では、第2の監視回路344のこの比較回路344_2は、比較結果348を供給するように構成されていてよい。
第2の警報加工回路344は、種々の実施形態では、「詳細アライブモニター」344とも称され得る。なぜなら一方では、比較結果が、警報加工回路330が「機能して」おり、適切に動いているか否かを評価するのに適していてよく、他方では、比較結果が、エラーのタイプおよび/または他の詳細に関する、より詳細な情報を得るのに適していてよいからである。この詳細は例えば、問題の源(機能不全/警報等)、そのタイミングパラメータ、予測される応答等である。
詳細アライブモニター344は、種々の実施形態において、これが適切に動いていることを示すように構成されていてよい。第1の監視回路338での文脈で上述したのと類似して、詳細アライブモニターは、例えば、パルス信号を作成してよく、ここでは、パルスの存在が、SMU_Core(334、334b)が適切に動いていること、すなわちSMU_Core(334、334b)が「機能している」ことを暗示してよい。しかし、例えば上述したような異なるプロトコルが、アライブ信号および/または各警報に対して使用されてよい。詳細アライブモニター344は、冗長性の原理に基づいて動作してよい。これは次のことを意味している。すなわち、詳細アライブモニター344が、警報情報を(レジスタインタフェース330_2内の)状態記録から得て、(レジスタインタフェース330_2内の)構成記録を使用してアウトプットの計算を実行してよいことを意味している。このようにして作成された応答(第2の加工された警報応答信号346)が、実際のSMU_Core(334、334b)の反応(加工された警報応答信号336)と一致する場合、SMU_Core(334、334b)は機能しており、アライブ信号348が作成され、パルス状態を保持するように構成されてよい。これら2つの間に不一致が生じると、アライブ信号348が、もはやパルス状態には構成されなくてよい(これは例えば、ゼロに結び付けされてよい)。代わりに、上述したように、異なるプロトコルが、詳細アライブモニター344からのアライブ信号および/または各警報に対して使用されてよい。詳細アライブモニター344は、アライブモニター338に比べてより正確かつ/またはより詳細な情報を供給するように構成されていてよい。ここでは、同じ警報(複数の同じ警報)が、第1の監視回路338と第2の監視回路344とによって加工されてよい。
図3Cに示されているように、種々の実施形態では、警報処理回路300cは、さらに、警報事前加工回路350を含んでいてよく、この警報事前加工回路350は、受信警報332rを供給するように構成されている。警報事前加工回路350は、種々の実施形態において、受信警報332rを供給するために、入力警報332iを加工するように構成されていてよい。
事前加工回路350は、障害信号モニター(FSM)の状態、例えばアイドル/走行/開始/障害に関連して、例えば少なくとも1つのロギングレジスタ330_1に受信警報332rを供給してよく、または受信警報332rを供給しなくてよい。
図3Cの警報処理回路300cは、例えば図3Bの警報処理回路から、事前加工回路350によって異なっていてよい。
図4A、図4Bおよび図4Cはそれぞれ、警報処理回路400のブロック図400を種々の実施形態に即して示している。
図4A、図4Bおよび図4Cに示されているように、種々の実施形態では、警報処理回路400(例えば各警報処理回路400a、400bおよび/または400c)は、第1の警報加工回路330を含んでいてよく、この第1の警報加工回路330は、第1の受信警報332rを加工して、第1の加工された警報応答信号336を供給するように構成されており、さらに警報処理回路400は第2の警報加工回路331を含んでいてよく、この第2の警報加工回路331は第2の受信警報332r2を加工して、第2の加工された警報応答信号336_2を供給するように構成されており、さらに警報処理回路400は第1の警報加工回路330と第2の警報加工回路331との間にインタフェース452を含んでいてよく、このインタフェース452は、第1の警報加工回路330から、第1の警報加工回路330が動作しているか否かを示すアライブ表示信号341を、第2の警報加工回路331に入力するように構成されている。
種々の実施形態では、アライブ表示信号341の欠如は、第2の受信警報332r2の表示であってよい。換言すれば、アライブ表示信号341の欠如は、第2の警報加工回路331によって、第2の受信警報332r2として加工されてよい。
種々の実施形態では、インタフェース452は、上述した第1の監視回路338または第2の監視回路344と類似していてよい、または同じであってよい。
例えば図3Bおよび図3Cに示されているように、種々の実施形態では、インタフェース452(図3A、図3Bおよび図3Cでの文脈では第1の監視回路338と称されている)は、警報存在特定回路339を含んでいてよく、この警報存在特定回路339は、警報332rが受信されているか否かを特定するように構成されており、かつ加工された警報応答信号336が供給されたか否かを特定するように構成されている。インタフェース452はさらに応答供給特定回路340を含んでおり、この応答供給特定回路340は、警報332rが受信されていることが特定されているケースにおいて、加工された警報応答信号336が供給されたか否かを特定するように構成されており、かつ加工された警報応答信号336が供給されていることが特定されているケースにおいて、警報332rが受信されているか否かを特定するように構成されている。
換言すれば、このインタフェースは、警報332rが受信されているときは必ず、加工された警報応答信号336が作成されることを保証するように構成されていてよく、かつ警報332rが受信されている場合にのみ、加工された警報応答信号336が作成されることをさらに保証するように構成されていてよい。
種々の実施形態では、第1の警報加工回路330が動作しているか否かの表示は、上述したようにパルス信号であってよい。受信警報332rと加工された警報応答信号336との間に不一致が存在する場合には、信号はもはやパルス化されず、このことが、第2の警報加工回路331において検出されてよい。種々の実施形態では、上述したように、第1の警報加工回路330が動作しているか否かを表示するために、かつ/または各警報に対して他のプロトコルが使用されてよい。
種々の実施形態では、警報処理回路400は、警報存在特定回路339を応答供給特定回路340と組み合わせて使用して、アライブ表示信号341を作成するように構成されていてよい。
種々の実施形態では、警報存在特定回路339と応答供給特定回路340とが上述したように構成され、使用されてよい。
種々の実施形態では、第1の警報加工回路330およびインタフェース452は、コアSMU334、334bの一部であってよい。
種々の実施形態では、第2の警報加工回路331は、スタンバイ電圧ドメインに(さらにスタンバイクロックドメインにも)位置しているSMUの一部であってよく、したがってスタンバイSMUまたはSMU_STDBY(444)とも称される。
警報処理回路400bおよび400cに対する図4Bおよび図4Cに示されているように、警報処理回路400では、受信警報332rは、種々の実施形態において、入力警報332iから作成されてよく、この入力警報332iは外部の警報源466(これは例えば、外部のセンサ等からの警報を供給してよい)および/または内部の警報源474(これは例えば、図3Bおよび図3C等での文脈で上述したように、警報処理回路400自体の、例えば、レジスタインタフェース330_2のソフトウェアの機能不全に関連する警報を供給してよい)によって供給されてよい。
種々の実施形態では、受信警報332rの作成は、警報結合器462を使用した入力警報332iの結合を含んでいてよい。これは、種々の実施形態ではさらに、例えば図3Bおよび図3Cでの文脈で上述したように、警報事前加工ユニット350を用いた入力警報332iの事前加工を含んでいてよい。警報事前加工ユニット350は、警報処理部と称されてもよい。
同様に、種々の実施形態では、警報処理回路400において、第2の受信警報332r2が、第2の入力警報332i2から作成されてよく、この第2の入力警報332i2は、外部の警報源468(これは例えば、外部のセンサ等から警報を供給してよい)および/または内部の警報源(これは例えば、警報処理回路400自体のソフトウェア(図示されていない)の機能不全に関連する警報を供給してよい、かつ/またはテスト警報等として内部の警報を供給するテストコントローラ464からの警報を供給してよい)によって供給されてよい。
種々の実施形態では、第2の受信警報332r2の作成は、第2の警報結合器463を使用した入力警報332i2の結合を含んでいてよい。これは、種々の実施形態ではさらに、図3Bおよび図3Cでの文脈で上述したように、例えば警報事前加工ユニット350に類似した、第2の警報事前加工ユニット351を用いた第2の入力警報332i2の事前加工を含んでいてよい。
種々の実施形態では、第1の加工された警報応答信号336を供給することは、例えばFSP処理部460、470を用いた障害シグナリングプロトコルのアクティブ化を含んでいてよい。これは、障害をシグナリングするために、かつ/または第1の加工された警報応答信号336を外部の機器472、例えば中央処理ユニット、センサコントロールユニット、冗長性コントロールユニットおよび/または割り込み要求コントローラに供給するために、種々のモード(例えば、図3Bおよび図3Cに関連して上述されたように、双安定シングルピンアウトプット、タイムドデュアルレールコーディングおよび/またはシングルビットタイムドプロトコル等)を使用するように構成されていてよい。
種々の実施形態では、第2の加工された警報応答信号336_2を供給することは、例えば第2のFSP処理部461、471を用いた障害シグナリングプロトコルのアクティブ化を含んでいてよい。これは、障害をシグナリングするために、かつ/または第2の加工された警報応答信号336_2を、第1の加工された警報応答信号336も供給され得る外部の機器472に供給するために、かつ/または第2の加工された警報応答信号336_2を、第1の加工された警報応答信号336も供給され得るFSP処理部460、470に供給するために、種々のモード(例えば、図3Bおよび図3Cに関連して上述されたように、双安定シングルピンアウトプット、タイムドデュアルレールコーディングおよび/またはシングルビットタイムドプロトコル等)を使用するように構成されていてよい。
種々の実施形態では、警報処理回路400はさらに、リカバリータイマーユニット476を含んでいてよい。このリカバリータイマーユニット476は、重要なソフトウェアエラー処理部の実行を監視するための内部監視機器として使用されてよい。
例えば図4Cに示されているように、種々の実施形態では、警報処理回路400cはさらに、さらなるインタフェース450を第1の警報加工回路330と第2の警報加工回路331との間に含んでいてよく、このさらなるインタフェース450は、第2の警報加工回路331から、第2の警報加工回路331が動作しているか否かを示すアライブ表示信号446を、第1の警報加工回路330に入力するように構成されている。
種々の実施形態では、さらなるアライブ表示信号446の欠如は、第1の受信警報332rの表示であってよい。換言すれば、さらなるアライブ表示信号446の欠如は、第1の警報加工回路330によって、第1の受信警報332rとして処理されてよい。
種々の実施形態では、SMU_Core(334、334b)からの(例えばインタフェース/第1の監視回路338からの)アライブ信号341は、SMU_STDBY(444)によってデコーディングおよび処理されてよく、かつSMU_STDBYからの(例えばさらなるインタフェース450からの)アライブ信号446はSMU_Core(334、334b)によって処理されてよく、これは堅牢な故障検出システムを形成する。
種々の実施形態では、警報処理回路400はさらに、第1の電源(図4Bおよび図4Cでは、単に「コア電圧ドメイン」として表されている)を含んでいてよく、この第1の電源は第1の警報加工回路330に電力を供給するように構成されており、警報処理回路400はさらに、第2の電源(図4Bおよび図4Cでは、単に「スタンバイ電圧ドメイン」として表されている)を含んでいてよく、これは第2の警報加工回路331に電力を供給するように構成されている。
種々の実施形態では、第2の電源は、第1の電源から独立していてよい。これは、異なるクロックドメインおよび電力ドメインにおいてSMU_Core(334、334b)における問題を検出する、異なった手段を供給してよい。
警報処理回路400は、2つの独立した電力ドメインおよびクロックドメインにおける複数のSMU(例えばSMU_CoreとSMU_STDBY)の可能な冗長的な実装に基づいて、Common Cause Failures(CCF)に対する安全対策の実装を可能にする。
種々の実施形態では、CCFが監視されていてよく、故障(例えばクロックシステム故障および/または電源故障)は、FSPインタフェースを介して報告されてよい。
種々の実施形態では、付加的な別個にされたFSP(図示されていない)が、2つの冗長的なSMU334/334b、444に対するSMUシグナリングの独立性をもたらすために使用されてよい。
種々の実施形態では、第1の受信警報332rおよび/または第2の受信警報332r2は、警報のグループのうちの少なくとも1つの警報であってよく、このグループは、電力に関連する警報と、クロックに関連する警報と、温度に関連する警報と、ロックステップコンパレータからの警報と、エラー訂正に関連する警報と、インターコネクトに関連する警報と、レジスタに関連する警報と、アドレスに関連する警報と、インプット/アウトプットに関連する警報と、例外状況に関連する警報と、を含んでいる。
種々の実施形態では、第1の受信警報332rが電力に関連する警報、クロックに関連する警報および温度に関連する警報のうちの1つであるケースにおいて、第2の受信警報332r2は、第1の受信警報332rと同じであってよい。
種々の実施形態では、第1の加工された警報応答信号336は、警報応答信号のグループのうちの少なくとも1つの警報応答信号を含んでいてよく、このグループは、障害シグナリングプロトコルのアクティブ化と、割り込み要求コントローラへの割り込み要求の作成と、システムコントロールユニットへのマスク不可能な割り込み要求の作成と、システムリセットおよび/またはアプリケーションリセットへと導く、システムコントロールユニットへのリセット要求の作成と、ポート緊急停止信号のアクティブ化と、中央処理ユニットリセット要求の作成と、無反応と、を含んでいる。
種々の実施形態では、第2の加工された警報応答信号336_2は、警報応答信号のグループのうちの少なくとも1つの警報応答信号を含んでいてよく、このグループは、障害シグナリングプロトコルのアクティブ化と無反応とを含んでいる。
種々の実施形態では、詳細アライブモニター信号348は上述したように、アライブ表示信号341の代わりに、またはアライブ表示信号341に対して付加的に使用されてよい(図5Aおよび図5Bにおいてそれぞれ点線で示されている)。換言すれば、第1の警報加工回路330と第2の警報加工回路331との間のインタフェース452は、種々の実施形態において、第1の警報加工回路330から、第1の警報加工回路330が動作しているか否かを示す詳細アライブ表示信号348を、第2の警報加工回路331に入力するように構成されていてよい。
図5Aおよび5Bは、種々の実施形態に即して、警報処理回路500および501それぞれのブロック図を示している。
図5Aおよび図5Bに示されているように、種々の実施形態において、警報処理回路500、501は、例えば図3Aから図3Cでの文脈で説明された警報処理回路300と、例えば図4Aから図4Cでの文脈で説明された警報処理回路400と、の結合を表しているとみなされてよい。
警報処理回路500は、例えば、警報処理回路300(図3Aから図3Cでの文脈で説明されているように第1の監視回路338と第2の監視回路344とを含んでいる)と、図4Aから図4Cでの文脈で説明されているさらなる警報加工回路444と、を含んでいると理解されてよい。
同様の結果を有する異なるアプローチとして、警報処理回路500は、例えば、警報処理回路400(例えば図4Aから図4Cでの文脈で説明されているように第1の警報加工回路330、インタフェース/第1の監視回路452/338および第2の警報加工回路331を含んでいる)を含んでいると理解されてよく、ここで第1の警報加工回路334、334bおよびインタフェース/第1の監視回路452/338は、図3Aから図3Cでの文脈で説明されたように、第2の警報監視回路344とともに、SMU、例えばコアSMU334の一部であってよい。
特に、警報処理回路500は、コアSMU334を含んでいてよく、このコアSMU334は、第1の警報加工回路330と、第1の監視回路338と、第2の監視回路334と、を含んでいてよく、さらに警報処理回路500は、第2の警報加工回路331を含んでいるスタンバイSMU444を含んでいてよい。
種々の実施形態では、第1の警報加工回路330は、第1の受信警報332rを加工して、第1の加工された警報応答信号336を供給するように構成されていてよい。
種々の実施形態では、第1の監視回路338は、第1の警報加工回路330と第2の警報加工回路331との間のインタフェース452として構成されていてよく、さらに、第1の警報加工回路330から、第1の警報加工回路330が動作しているか否かを示すアライブ表示信号を、第2の警報加工回路331に入力するように構成されていてよい。
種々の実施形態では、第2の監視回路344は、複数の異なるタイプの、警報加工回路330の故障のうちの少なくとも1つを特定するように構成されていてよい。
種々の実施形態では、第2の警報加工回路331は、第2の受信警報332r2を加工して、第2の加工された警報応答信号336_2を供給するように構成されていてよい。
例えば図5Aおよび図5Bに示されているように、種々の実施形態では、アライブ表示信号341は、第1の監視回路338によって供給されるように構成されていてよい。しかし、種々の実施形態(図示されていない)では、アライブ表示信号は、第2の監視回路344によって供給されてよく、例えば詳細アライブ表示信号348は(例えば図3Bおよび図3Cに示されているように)、アライブ表示信号341の代わりにまたはアライブ表示信号341に対して付加的に使用されてよい。
種々の実施形態では、警報処理回路はさらに、第3の監視回路450を含んでいてよい。この第3の監視回路450は、さらなる警報加工回路331が動作しているか否かを特定するように構成されており、これは、警報加工回路330と第2の警報加工回路331との間のインタフェースを形成してよい。第3の監視回路450は、さらなる警報加工回路331から、さらなる警報加工回路331が動作しているか否かを示すさらなるアライブ表示信号446を、警報加工回路330に入力するように構成されていてよい。
さらなる警報加工回路331は種々の実施形態において、さらなる警報加工回路331がさらなる受信警報332r2を加工して、加工された警報応答信号336_2を供給する場合、動作していると特定されてよい。この加工された警報応答信号336_2は、受信警報332r2(例えば受信警報332r2のタイプ)に対して予測された、加工された警報応答信号336_2であることが要求されてよい。
さらなる警報加工回路331は、種々の実施形態において、さらなる受信警報332r2が加工されてない場合、誤った(例えばさらなる受信警報332r2(例えばさらなる受信警報332r2のタイプ)に対して予測されたものではない)さらなる加工された警報応答信号336_2が供給された場合、および/またはさらなる受信警報332r2が受信されなかったのにも係わらず、さらなる加工された警報応答信号336_2が供給された場合、動作していないと特定されてよい。
図5Bを参照すると、種々の実施形態において、第3の監視回路450がさらなる警報存在特定回路を含んでいてよく、このさらなる警報存在特定回路は、さらなる警報が受信されているか否かを特定するように構成されており、かつ第2の加工された警報応答信号336_2が供給されたか否かを特定するように構成されていてよい。第3の監視回路450はさらなる応答供給特定回路を含んでいてよく、このさらなる応答供給特定回路は、第2の警報332r2が受信されていることが特定されているケースにおいて、第2の加工された警報応答信号336_2が供給されたか否かを特定するように構成されており、さらに第2の加工された警報応答信号336_2が供給されたことが特定されているケースにおいて、第2の警報332r2が受信されているか否かを特定するように構成されている。
種々の実施形態では、アライブ表示信号341の欠如は、第2の受信警報332r2の表示であってよい。
種々の実施形態では、さらなるアライブ表示信号446の欠如は、受信警報332rの表示であってよい。
種々の実施形態では、警報処理回路はさらに、電力をコアSMU334に供給するように構成されている電源(図示されていない)と、電力をスタンバイSMU444に供給するように構成されているさらなる電源と、を含んでいてよい。
種々の実施形態では、さらなる電源は、電源から独立していてよい。
種々の実施形態では、受信警報332rが電力に関連する警報、クロックに関連する警報および温度に関連する警報のうちの1つであるケースにおいて、さらなる受信警報332r2は、受信警報332rと同じであってよい。
種々の実施形態では、第2の加工された警報応答信号336_2は、警報応答信号のグループのうちの少なくとも1つの警報応答信号を含んでいてよく、このグループは、障害シグナリングプロトコルのアクティブ化と無反応とを含んでいる。
図6は、種々の実施形態に即した、警報処理方法のプロセスフロー600を示している。
種々の実施形態では、この方法は、(610において)警報加工回路を使用して、受信警報を加工することによって、加工された警報応答信号を供給することと、(620において)第1の監視回路を使用して、この警報加工回路が動作しているか否かを特定することと、(630において)第2の監視回路を使用して、複数の異なるタイプの、警報加工回路の故障のうちの少なくとも1つを特定することと、を含んでいてよい。
図7は、種々の実施形態に即した、警報処理方法のプロセスフロー700を示している。
種々の実施形態では、この方法は、(710において)第1の警報加工回路を使用して、第1の受信警報を加工することによって、第1の加工された警報応答信号を供給することと、(720において)第2の警報加工回路を使用して、第2の受信警報を加工することによって、第2の加工された警報応答信号を供給することと、(730において)第1の警報加工回路が動作しているか否かを示すアライブ表示信号を第1の警報加工回路から、第2の警報加工回路へ伝送することと、を含んでいてよい。
種々の実施形態で警報処理回路が設けられている。この警報処理回路は第1の警報加工回路を含んでいてよく、この第1の警報加工回路は、第1の受信警報を加工して、第1の加工された警報応答信号を供給するように構成されており、さらにこの警報処理回路は第2の警報加工回路を含んでいてよく、この第2の警報加工回路は第2の受信警報を加工して、第2の加工された警報応答信号を供給するように構成されており、さらにこの警報処理回路は第1の警報加工回路と第2の警報加工回路との間にインタフェースを含んでいてよく、このインタフェースは第1の警報加工回路から、第1の警報加工回路が動作しているか否かを示すアライブ表示信号を、第2の警報加工回路に入力するように構成されている。
種々の実施形態では、アライブ表示信号の欠如は、第2の受信警報の表示であってよい。
種々の実施形態では、この警報処理回路はさらに、警報存在特定回路を含んでいてよく、この警報存在特定回路は、警報が受信されているか否かを特定するように構成されており、かつ加工された警報応答信号が供給されたか否かを特定するように構成されている。この警報処理回路はさらに、応答供給特定回路を含んでいてよく、この応答供給特定回路は、警報が受信されていることが特定されているケースにおいて、加工された警報応答信号が供給されたか否かを特定するように構成されており、かつ加工された警報応答信号が供給されていることが特定されているケースにおいて、警報が受信されているか否かを特定するように構成されている。
種々の実施形態では、この警報処理回路は、警報存在特定回路を応答供給特定回路と組み合わせて使用して、アライブ表示信号を作成するように構成されていてよい。
種々の実施形態では、この警報処理回路はさらに、さらなるインタフェースを第1の警報加工回路と第2の警報加工回路との間に含んでいてよく、このさらなるインタフェースは、第2の警報加工回路から、第2の警報加工回路が動作しているか否かを示すさらなるアライブ表示信号を、第1の警報加工回路に入力するように構成されている。
種々の実施形態では、インタフェースとさらなるインタフェースとが、統合されたユニットを形成してよい。
種々の実施形態では、さらなるアライブ表示信号の欠如は、第1の受信警報の表示であってよい。
種々の実施形態では、この警報処理回路はさらに、第1の電源を含んでいてよく、この第1の電源は第1の警報加工回路に電力を供給するように構成されており、この警報処理回路はさらに、第2の電源を含んでいてよく、この第2の電源は第2の警報加工回路に電力を供給するように構成されている。
種々の実施形態では、第2の電源は、第1の電源から独立していてよい。
種々の実施形態では、この警報処理回路はさらに、第1のクロックソースを含んでいてよく、この第1のクロックソースはクロック信号を第1の警報加工回路に供給するように構成されており、この警報処理回路はさらに、第2のクロックソースを含んでいてよく、この第2のクロックソースはさらなるクロック信号を第2の警報加工回路に供給するように構成されている。
種々の実施形態では、第2のクロックソースは、第1のクロックソースから独立していてよい。
種々の実施形態では、第1の受信警報および/または第2の受信警報は、警報のグループのうちの少なくとも1つの警報であってよい。このグループは、電力に関連する警報と、クロックに関連する警報と、温度に関連する警報と、ロックステップコンパレータからの警報と、エラー訂正に関連する警報と、インターコネクトに関連する警報と、レジスタに関連する警報と、アドレスに関連する警報と、インプット/アウトプットに関連する警報と、例外状況に関連する警報と、を含んでいる。
種々の実施形態では、第1の受信警報が電力に関連する警報、クロックに関連する警報および温度に関連する警報のうちの1つであるケースにおいて、第2の受信警報は、第1の受信警報と同じであってよい。
種々の実施形態では、第1の加工された警報応答信号は、警報応答信号のグループのうちの少なくとも1つの警報応答信号を含んでいてよく、このグループは、障害シグナリングプロトコルのアクティブ化と、中央処理ユニットへの割り込み要求の作成と、システムコントロールユニットへのマスク不可能な割り込み要求の作成と、システムリセットおよび/またはアプリケーションリセットへと導く、システムコントロールユニットへのリセット要求の作成と、ポート緊急停止信号のアクティブ化と、中央処理ユニットリセット要求の作成と、無反応と、を含んでいる。
種々の実施形態では、第2の加工された警報応答信号は、警報応答信号のグループのうちの少なくとも1つの警報応答信号を含んでいてよく、このグループは障害シグナリングプロトコルのアクティブ化と無反応とを含んでいる。
種々の実施形態で、アライブ信号および詳細アライブ信号を作成する方法が提供される。この方法は、第1の警報加工回路を使用して、第1の受信警報を加工することによって、第1の加工された警報応答信号を供給することと、第2の警報加工回路を使用して、第2の受信警報を加工することによって、第2の加工された警報応答信号を供給することと、第1の警報加工回路が動作しているか否かを示すアライブ表示信号を第1の警報加工回路から、第2の警報加工回路へ伝送することと、を含んでいてよい。
種々の実施形態では、アライブ表示信号の欠如は、第2の受信警報の表示であってよい。
種々の実施形態では、この方法はさらに、アライブ表示信号を作成することを含んでいてよく、アライブ表示信号を作成することは、警報が受信されているか否かを特定することと、警報が受信されていることが特定されているケースにおいて、加工された警報応答信号が供給されたか否かを特定することと、を含んでいる。
種々の実施形態では、この方法はさらに、第2の警報加工回路が動作しているか否かを示すさらなるアライブ表示信号を、第2の警報加工回路から、第1の警報加工回路へ伝送することを含んでいてよい。
種々の実施形態では、さらなるアライブ表示信号の欠如は、第1の受信警報の表示であってよい。
種々の実施形態では、第1の受信警報および/または第2の受信警報は、警報のグループのうちの少なくとも1つの警報であってよく、このグループは、電力に関連する警報と、クロックに関連する警報と、温度に関連する警報と、ロックステップコンパレータからの警報と、エラー訂正に関連する警報と、インターコネクトに関連する警報と、レジスタに関連する警報と、アドレスに関連する警報と、インプット/アウトプットに関連する警報と、例外状況に関連する警報と、を含んでいる。
種々の実施形態では、第1の受信警報が電力に関連する警報、クロックに関連する警報および温度に関連する警報のうちの1つであるケースにおいて、第2の受信警報は、第1の受信警報と同じであってよい。
種々の実施形態では、第1の加工された警報応答信号は、警報応答信号のグループのうちの少なくとも1つの警報応答信号を含んでいてよく、このグループは、障害シグナリングプロトコルのアクティブ化と、中央処理ユニットへの割り込み要求の作成と、システムコントロールユニットへのマスク不可能な割り込み要求の作成と、システムリセットおよび/またはアプリケーションリセットへと導く、システムコントロールユニットへのリセット要求の作成と、ポート緊急停止信号のアクティブ化と、中央処理ユニットリセット要求の作成と、無反応と、を含んでいる。
種々の実施形態では、第2の加工された警報応答信号は、警報応答信号のグループのうちの少なくとも1つの警報応答信号を含んでいてよく、このグループは、障害シグナリングプロトコルのアクティブ化と無反応とを含んでいる。
種々の実施形態では、この方法はさらに、複数の異なるタイプの、第1の警報加工回路の故障のうちの少なくとも1つを供給することを含んでいてよい。
種々の実施形態では、この方法はさらに、警報事前加工回路を使用して、入力警報を事前加工することによって、第1の受信警報を供給することを含んでいてよい。
種々の実施形態で警報処理回路が提供されている。この警報処理回路は、警報加工回路を含んでいてよく、この警報加工回路は、受信警報を加工して、加工された警報応答信号を供給するように構成されており、この警報処理回路はさらに第1の監視回路を含んでいてよく、この第1の監視回路は、受信警報を加工することによって、および加工された警報応答信号を供給することによって、警報加工回路が動作しているか否かを特定するように構成されており、この警報処理回路はさらに第2の監視回路を含んでいてよく、この第2の監視回路は、複数の異なるタイプの、警報加工回路の故障のうちの少なくとも1つを特定するように構成されている。
種々の実施形態では、第1の監視回路は、警報存在特定回路を含んでいてよく、この警報存在特定回路は、警報が受信されているか否かを特定するように構成されており、かつ加工された警報応答信号が供給されたか否かを特定するように構成されている。第1の監視回路は、さらに応答供給特定回路を含んでおり、この応答供給特定回路は、警報が受信されていることが特定されているケースにおいて、加工された警報応答信号が供給されたか否かを特定するように構成されており、かつ加工された警報応答信号が供給されていることが特定されているケースにおいて、警報が受信されているか否かを特定するように構成されている。
種々の実施形態では、第2の監視回路は、第2の警報加工回路を含んでいてよく、この第2の警報加工回路は、受信警報を加工して、第2の加工された警報応答信号を供給するように構成されている。第2の監視回路はさらに、応答比較回路を含んでいてよく、この応答比較回路は、第2の加工された警報応答信号が、加工された警報応答信号と一致するか否かを特定するように構成されている。
種々の実施形態では、受信警報は、警報のグループのうちの少なくとも1つの警報であってよく、このグループは、電力に関連する警報と、クロックに関連する警報と、温度に関連する警報と、ロックステップコンパレータからの警報と、エラー訂正に関連する警報と、インターコネクトに関連する警報と、レジスタに関連する警報と、アドレスに関連する警報と、インプット/アウトプットに関連する警報と、例外状況に関連する警報と、を含んでいる。
種々の実施形態では、加工された警報応答信号は、警報応答信号のグループのうちの少なくとも1つの警報応答信号を含んでいてよく、このグループは、障害シグナリングプロトコルのアクティブ化と、中央処理ユニットへの割り込み要求の作成と、システムコントロールユニットへのマスク不可能な割り込み要求の作成と、システムリセットおよび/またはアプリケーションリセットへと導く、システムコントロールユニットへのリセット要求の作成と、ポート緊急停止信号のアクティブ化と、中央処理ユニットリセット要求の作成と、無反応と、を含んでいる。
種々の実施形態では、警報処理回路はさらに、受信警報を供給するように構成されている警報事前加工回路を含んでいてよい。
種々の実施形態では、警報処理回路はさらに、さらなる警報加工回路を含んでいてよく、このさらなる警報加工回路は、さらなる受信警報を加工して、さらなる加工された警報応答信号を供給するように構成されている。
種々の実施形態では、警報処理回路はさらに、インタフェースを警報加工回路とさらなる警報加工回路との間に含んでいてよく、このインタフェースは、警報加工回路から、警報加工回路が動作しているか否かを示すアライブ表示信号を、さらなる警報加工回路に入力するように構成されている。
種々の実施形態では、アライブ表示信号は、第1の監視回路によって供給されるように構成されていてよい。
種々の実施形態では、警報処理回路はさらに、第3の監視回路を含んでいてよく、この第3の監視回路は、さらなる受信警報を加工することによって、およびさらなる加工された警報応答信号を供給することによって、さらなる警報加工回路が動作しているか否かを特定するように構成されている。
種々の実施形態では、警報処理回路はさらに、さらなるインタフェースを警報加工回路とさらなる警報加工回路との間に含んでいてよく、このさらなるインタフェースは、さらなる警報加工回路から、さらなる警報加工回路が動作しているか否かを示すさらなるアライブ表示信号を、警報加工回路に入力するように構成されている。
種々の実施形態では、さらなるアライブ表示信号は、第3の監視回路によって供給されるように構成されていてよい。
種々の実施形態では、第3の監視回路はさらに、さらなる警報存在特定回路を含んでいてよく、このさらなる警報存在特定回路は、さらなる警報が受信されているか否かを特定するように構成されており、かつさらなる加工された警報応答信号が供給されたか否かを特定するように構成されている。第3の監視回路はさらに、さらなる応答供給特定回路を含んでいてよく、このさらなる応答供給特定回路は、さらなる警報が受信されていることが特定されているケースにおいて、さらなる加工された警報応答信号が供給されたか否かを特定するように構成されており、かつさらなる加工された警報応答信号が供給されていることが特定されているケースにおいて、さらなる警報が受信されているか否かを特定するように構成されている。
種々の実施形態では、アライブ表示信号の欠如は、さらなる受信警報の表示であってよい。
種々の実施形態では、さらなるアライブ表示信号の欠如は、受信警報の表示であってよい。
種々の実施形態では、警報処理回路はさらに、電源を含んでいてよく、この電源は警報加工回路に電力を供給するように構成されており、警報処理回路はさらに、さらなる電源を含んでいてよく、このさらなる電源は、さらなる警報加工回路に電力を供給するように構成されている。
種々の実施形態では、さらなる電源は、電源から独立していてよい。
種々の実施形態では、警報処理回路はさらに、第1のクロックソースを含んでいてよく、この第1のクロックソースはクロック信号を第1の警報加工回路に供給するように構成されており、警報処理回路はさらに、第2のクロックソースを含んでいてよく、この第2のクロックソースはさらなるクロック信号を第2の警報加工回路に供給するように構成されている。
種々の実施形態では、第2のクロックソースは、第1のクロックソースから独立していてよい。
種々の実施形態では、受信警報が電力に関連する警報、クロックに関連する警報および温度に関連する警報のうちの1つであるケースにおいて、さらなる受信警報は、受信警報と同じである。
種々の実施形態では、さらなる加工された警報応答信号は、警報応答信号のグループのうちの少なくとも1つの警報応答信号を含んでいてよく、このグループは障害シグナリングプロトコルのアクティブ化と無反応とを含んでいる。
種々の実施形態で警報処理方法が提供される。この方法は、警報加工回路を使用して、受信警報を加工することによって、加工された警報応答信号を供給することと、第1の監視回路を使用して、受信警報を加工することによって、および加工された警報応答信号を供給することによって、この警報加工回路が動作しているか否かを特定することと、第2の監視回路を使用して、複数の異なるタイプの、警報加工回路の故障のうちの少なくとも1つを特定することと、を含んでいてよい。
種々の実施形態では、警報加工回路が動作しているか否かを特定することは、警報が受信されているか否かを、警報存在特定回路を使用して特定することと、警報が受信されていることが特定されているケースにおいて、応答供給特定回路を使用して、加工された警報応答信号が供給されたか否かを特定することと、を含んでいる。
種々の実施形態では、複数の異なるタイプの、警報加工回路の故障のうちの少なくとも1つを特定することは、第2の警報加工回路を使用して、受信警報を加工することによって、第2の加工された警報応答信号を供給することと、応答比較回路を使用して、第2の加工された警報応答信号が、加工された警報応答信号と一致するか否かを特定することと、を含んでいてよい。
種々の実施形態では、受信警報は、警報のグループのうちの少なくとも1つの警報であってよく、このグループは、電力に関連する警報と、クロックに関連する警報と、温度に関連する警報と、ロックステップコンパレータからの警報と、エラー訂正に関連する警報と、インターコネクトに関連する警報と、レジスタに関連する警報と、アドレスに関連する警報と、インプット/アウトプットに関連する警報と、例外状況に関連する警報と、を含んでいる。
種々の実施形態では、加工された警報応答信号は、警報応答信号のグループのうちの少なくとも1つの警報応答信号を含んでいてよく、このグループは、障害シグナリングプロトコルのアクティブ化と、中央処理ユニットへの割り込み要求の作成と、システムコントロールユニットへのマスク不可能な割り込み要求の作成と、システムリセットおよび/またはアプリケーションリセットへと導く、システムコントロールユニットへのリセット要求の作成と、ポート緊急停止信号のアクティブ化と、中央処理ユニットリセット要求の作成と、無反応と、を含んでいる。
種々の実施形態では、この方法はさらに、警報事前加工回路を使用して、入力警報を事前加工することによって、受信警報を供給することを含んでいてよい。
種々の実施形態では、この方法はさらに、さらなる警報加工回路を使用して、さらなる受信警報を加工することによって、さらなる加工された警報応答信号を供給することを含んでいてよい。
種々の実施形態では、この方法はさらに、警報加工回路から、この警報加工回路が動作しているか否かを示すアライブ表示信号をさらなる警報加工回路へ伝送することを含んでいてよい。
種々の実施形態では、この方法はさらに、第1の監視回路を使用して、アライブ表示信号を供給することを含んでいてよい。
種々の実施形態では、この方法はさらに、第3の監視回路を使用して、さらなる受信警報を加工することによって、およびさらなる加工された警報応答信号を供給することによって、さらなる警報加工回路が動作しているか否かを特定することと、さらなるアライブ表示信号を供給することと、を含んでいてよい。
種々の実施形態では、この方法はさらに、さらなる警報加工回路が動作しているか否かを示すさらなるアライブ表示信号を、さらなる警報加工回路から警報加工回路へ伝送することを含んでいてよい。
種々の実施形態では、さらなる警報加工回路が動作しているか否かを特定することは、さらなる警報存在特定回路を使用して、さらなる警報が受信されているか否かを特定することと、さらなる応答供給特定回路を使用して、さらなる警報が受信されていることが特定されているケースにおいて、さらなる加工された警報応答信号が供給されたか否かを特定することと、を含んでいてよい。
種々の実施形態では、アライブ表示信号の欠如は、さらなる受信警報の表示であってよい。
種々の実施形態では、さらなるアライブ表示信号の欠如は、受信警報の表示であってよい。
種々の実施形態では、受信警報が電力に関連する警報、クロックに関連する警報および温度に関連する警報のうちの1つであるケースにおいて、さらなる受信警報は、受信警報と同じであってよい。
種々の実施形態では、さらなる加工された警報応答信号は、警報応答信号のグループのうちの少なくとも1つの警報応答信号を含んでいてよく、このグループは、障害シグナリングプロトコルのアクティブ化と無反応とを含んでいる。
本発明を特に、特定の実施形態に関して図示し、説明したが、当業者には、形態および細部における種々の変更が、添付の特許請求の範囲によって規定された本発明の概念および範囲から逸脱することなく行われ得ることが明らかである。このようにして本発明の範囲は添付の特許請求の範囲によって示されており、したがって特許請求の範囲の均等物の意味および範囲内に入るすべての変更が包含されると解釈される。
開示内容の種々の態様が装置に対して提供されており、さらに、開示内容の種々の態様が方法に対して提供されている。装置の基本的な特性は方法に対しても有効であり、かつ方法の基本的な特性は装置に対しても有効である、ということを理解されたい。したがって簡略化のために、このような特性を重複して記載することが省かれていてよい。