PT1233516E - Circuito lógico, nomeadamente para sistemas técnicos ferroviários - Google Patents

Circuito lógico, nomeadamente para sistemas técnicos ferroviários Download PDF

Info

Publication number
PT1233516E
PT1233516E PT02002870T PT02002870T PT1233516E PT 1233516 E PT1233516 E PT 1233516E PT 02002870 T PT02002870 T PT 02002870T PT 02002870 T PT02002870 T PT 02002870T PT 1233516 E PT1233516 E PT 1233516E
Authority
PT
Portugal
Prior art keywords
component
data
logic circuit
components
logic
Prior art date
Application number
PT02002870T
Other languages
English (en)
Inventor
Peter Ellenberger
Original Assignee
Siemens Schweiz Ag
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Schweiz Ag filed Critical Siemens Schweiz Ag
Publication of PT1233516E publication Critical patent/PT1233516E/pt

Links

Classifications

    • HELECTRICITY
    • H03ELECTRONIC CIRCUITRY
    • H03KPULSE TECHNIQUE
    • H03K19/00Logic circuits, i.e. having at least two inputs acting on one output; Inverting circuits
    • H03K19/007Fail-safe circuits

Landscapes

  • Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mathematical Physics (AREA)
  • Logic Circuits (AREA)
  • Train Traffic Observation, Control, And Security (AREA)
  • Electric Propulsion And Braking For Vehicles (AREA)
  • Safety Devices In Control Systems (AREA)
  • Design And Manufacture Of Integrated Circuits (AREA)

Description

1
DESCRIÇÃO
"CIRCUITO LÓGICO, NOMEADAMENTE PARA SISTEMAS TÉCNICOS FERROVIÁRIOS" A presente invenção refere-se a um circuito lógico de acordo com o preâmbulo da reivindicação 1.
As normas europeias EN 50126 e EN 50129 definem níveis de segurança (Safety Integrity Levei, SIL) . Para sistemas técnicos ferroviários como, por exemplo, postos de sinalização, no geral ou para componentes ou circuitos individuais é obrigatório o nível mais elevado SIL-4. Para dar cumprimento a requisitos desta natureza, os circuitos com segurança relevante a par de outras medidas são redundantes, isto é, são concebidos duplamente como 2 de 2 sistemas. A DE 198 05 819 Al, por exemplo, divulga um circuito desta natureza. Contudo, também estes circuitos apresentam a desvantagem de um erro sistemático na arquitectura do circuito em si ou também de uma falha de um componente electrónico do circuito não poderem ser detectados sem procedimentos específicos. Os componentes desta natureza preferencialmente são concebidos na família lógica FPGA (Field Programmable Gate Array). Os erros sistemáticos desta natureza nos componentes FPGA acima mencionados têm como consequência um erro duplo que não é detectado: A comparação de sinais originários dos dois componentes instalados de forma redundante ou de partes do circuito, não evidencia este erro. por
Este problema pode ser solucionado pelo facto de - numa concepção dupla ou redundante de um circuito - se utilizarem componentes funcionalmente idênticos, 2 exemplo, circuitos integrados (Integrated Circuit, IC) de diferentes fabricantes. É igualmente possível utilizar tipos diferentes de componentes desta natureza. Uma outra solução consiste em introduzir a mesma função a realizar em diferentes programações num componente electrónico. Deste modo o programa que está na base pode ser concebido de formas diferentes e/ou a programação do componente pode ser realizada de formas diferentes.
Estas soluções apresentam desvantagens: i) Com a actual evolução na electrónica implica uma intervenção administrativa considerável, possuir vários tipos de componentes desta natureza e, eventualmente, vários sistemas de programação. ii) Em caso de recusa de um componente eventualmente já não se poderá recorrer a um segundo fabricante. iii) Em caso de utilização de componentes electrónicos de diferentes fabricantes corre-se o risco de o chip contido no interior ser originário do mesmo fabricante de chips (Substituição de chip ou máscara). iv) Uma programação diferenciada implica uma intervenção multifacetada, nomeadamente também no que respeita à apresentação de uma prova de segurança.
Por conseguinte, a presente invenção tem por objectivo a apresentação de um circuito lógico, no qual em dois dispositivos de lógica iguais e identicamente programados corre o mesmo programa em ambos os exemplares independentemente do dispositivo de lógica e do sistema de programas utilizados, sendo que a probabilidade restante de 3 um erro duplo com base num erro sistemático num determinado ponto do chip é convergido contra zero.
Esta tarefa é solucionada através das medidas mencionadas na reivindicação 1. As demais formas de realização vantajosas da invenção encontram-se noutras reivindicações.
Pelo facto de em cada componente idêntico estarem contidos os dados pelo menos dupla e identicamente programados e de os componentes idênticos estarem conectados de formas diferentes ao respectivo circuito parcial; um erro sistemático localizado num ponto do componente é seguramente detectado.
Deste modo, apresentam-se as seguintes vantagens: i) Através da separação de dois campos que contêm dados identicamente programados e da programação de pelo menos um campo intermédio, situado entre estes, com uma lógica de enchimento, ambos os campos de dados estão funcional e electricamente separados de forma segura (reivindicação 2). ii) Pelo facto de o campo que apenas contém a lógica de enchimento apenas apresentar conexões de entrada, estas podem ser conjuntamente colocados em massa de forma plana e, deste modo, reduzir a radiação indutiva e o acoplamento (reivindicação 3). iii) Pelo facto de cada componente idêntico estar conectado a um componente adicional, preferencialmente concebido como dispositivo de armazenamento, que apresenta vários campos identicamente programados, e ser endereçável de 4 diferentes formas a partir dos componentes idênticos, também erros sistemáticos num componente de armazenamento podem ser seguramente detectados (reivindicações 4, 7).
De seguida a invenção é mais detalhadamente explicada com base nas figuras. Em que a:
Figura 1 apresenta uma forma de realização com um circuito lógico redundante com dois componentes dupla e identicamente programados incluindo a apresentação da conexão;
Figura 2A apresenta uma forma de realização de um primeiro circuito parcial com quatro programações idênticas, sendo que apenas é utilizada uma programação, conjuntamente com as respectivas áreas de conexão activas para o componente;
Figura 2B apresenta uma forma de realização de um segundo circuito parcial com quatro programações idênticas, sendo que apenas é utilizada uma programação, conjuntamente com as respectivas áreas de conexão activas para o componente;
Figura 2C apresenta o princípio do layout de um componente com uma lógica de enchimento;
Figura 3 apresenta um layout de armazenamento de um componente de armazenamento com vários campos identicamente programados. A Fig.l apresenta um circuito lógico redundante 10, que está dividido em circuitos parciais (não representados enquanto tais na Fig.l) com um componente associado 1 e 1', respectivamente. Preferencialmente os componentes 1 e 1' estão concebidos como componentes FPGA. Estes componentes 5 1, 1' estão conectados a uma área envolvente, por exemplo, uma placa de circuito impresso através dos pins 31. AI e A2 (área, A) designam áreas abstractas em ambos os componentes 1, 1', que contêm dados predeterminados e funções programadas. A função lógica a realizar é desenvolvida com uma linguagem de nivel superior elevado, maioritariamente VHDL (Very High Speed Hardware Description Language de acordo com a IEEE 1087-1987/1993). Para este efeito estão disponíveis dispositivos de lógica combinatórios como, por exemplo, elementos com as funções AND, NAND, OR, Flip/Flops, contadores e descodificadores, entre outros. Além dos dispositivos de lógica combinatórios acima mencionados também existem dispositivos de lógica de armazenamento, que num dispositivo podem conter, por exemplo, um endereço, um valor máximo ou um texto em ASCII (American Standard Code for Information Interchange). Além disso estão disponíveis determinadas funções frequentemente passíveis de serem utilizadas repetidamente como elementos de biblioteca na linguagem VHDL ou como combinação de circuito de dispositivos de lógica. Estes elementos de biblioteca no contexto VHDL também são designados de subrotinas e são introduzidos na implementação sob a forma de chamados macros (inserts). Depois da selecção de um determinado componente FPGA ocorre uma síntese, da qual resulta uma assim chamada lista de rede. Com uma ferramenta "Place and Router" ocorre uma apresentação local dos dispositivos de lógica acima mencionados nos campos e nas conexões funcionais - isto é, nos pins. Para a realização da invenção acima mencionada numa programação funcional dupla e idêntica deve ter-se em atenção que a localização das funções e dos pins de entrada e de saída associados deve 6 estar estritamente separada. Esta separação na Fig.l é apresentada através de uma linha tracejada 5. As áreas de conexão 311 e 312 utilizadas conduzem ao respectivo circuito parcial. Durante a implementação podem considerar-se requisitos adicionais como, por exemplo, o cumprimento de um tempo de propagação de sinal máximo preestabelecido, de modo a que nos campos funcionais necessários para este efeito são colocados relativamente perto, nomeadamente na esquina do componente. A qualidade da separação local desejada dos campos funcionais pode ser verificada através de um layout-editor geralmente existente. 0 circuito está construído de modo a que pelo menos duas cópias idênticas dos circuitos lógicos são programadas em cada componente lei'. Numa cópia, a parte AI é utilizada conjuntamente com a área de conexão 311, e, na outra cópia, a parte A2 é utilizada conjuntamente com a área de conexão 312. As conexões dos dois componentes 1, 1' que partem das áreas de conexão 311 e 312 servem para a troca de dados e à supervisão mútua dos dois circuitos lógicos, sendo que estas conexões preferencialmente estão concebidas como canais de dados em série, que transmitem as informações de forma antivalente, de modo a que no local de destino são verificadas quanto à exactidão em função da relevância da segurança. As conexões acima mencionadas referem-se à troca de dados e à supervisão mútua de ambos os componentes, mas não às conexões de dados para o exterior. A forma de realização da invenção apresentada na Fig.l é escolhida particularmente quando a capacidade dos componentes 1, 1' utilizados e o número das conexões necessárias são escassos. 7
As Figs.2A e 2B apresentam uma outra forma de realização da presente invenção que na presença de capacidade de lógica e de conexão suficientes possibilitam uma separação ainda melhor dos sistemas activos. A Fig.2A apresenta um primeiro circuito parcial 11 e a Fig.2B um segundo circuito parcial. Os dois circuitos parciais 11 e 12 apresentam um componente idêntico 1, 1', respectivamente, e formam as partes duplamente redundantes de um circuito lógico. A incorporação dos circuitos parciais 11 e 12 no circuito lógico pode ser realizada de formas diferentes, locais, mecânicas ou eléctricas e no âmbito da presente invenção não é mais detalhadamente descrita. A lógica total em cada componente 1 e 1'encontra-se programada quatro vezes em quatro campos funcionais idênticos - também chamados cópias - Al, A2, A3 e A4. Nestes dois componentes idênticos 1, 1' para o circuito parcial 11 é utilizada a cópia A2 com as áreas de conexão 331 e 332 e para o circuito parcial 12 é utilizada a cópia A4 com as áreas de conexão 341 e 342; as áreas de conexão nas Figs.2A e 2B estão representadas sumariamente por uma linha grossa. Através da conexão acima mencionada dos componentes lei' pode conseguir-se que os próprios erros sistemáticos, que atingem uma linha ou um espaço em branco completo do componente programável, não possam produzir efeitos em ambos os componentes 1 e 1' do mesmo modo. Os circuitos parciais 11 e 12 conforme a ocupação das áreas de conexão 331, 332, por um lado, e, das áreas de conexão 341, 342, por outro lado, estão concebidos de formas diferentes.
Numa outra forma de realização da presente invenção as funções de lógica desnecessárias, nomeadamente as combinatórias e as armazenadoras são preenchidas com uma função aqui chamada "lógica de enchimento".
Preferencialmente ambos os tipos de dispositivos de lógica acima mencionados devem ser dispostos alternadamente e apenas especificar entradas 31 (pin de entrada), respectivamente. As conexões no lado da placa de circuito integrado associadas aos pins de entrada acima mencionados electricamente devem ser colocados em massa, para no interior dos componentes como também do lado da placa de circuito integrado desconectarem interferências como o acoplamento ou radiação/desacoplamento. Uma realização plana das conexões dos pins de entrada é particularmente útil. Esta lógica de enchimento preferencialmente deve ser realizada de forma múltipla, a Fig.2C apresenta uma disposição possível, em que os campos correspondentes à lógica de enchimento estão representadas pela referência NI . A presente invenção não se limita a componentes da família FPGA. Numa outra forma de realização a invenção é apresentada com base num layout de armazenamento de um componente electricamente programável, que preferencialmente deve ser concebido como Flash-EPROM. A Fig.3 apresenta um dispositivo de armazenamento 2 organizado por palavras e endereçável por bytes. A organização deste dispositivo de armazenamento 2 é de η x 1 palavra, sendo que uma palavra está definida como 16 bits e que a parte inferior e superior de uma palavra são igualmente individualmente endereçáveis, por exemplo, através de encaminhamento de endereços AO (não apresentado na Fig.3). Na Fig.3 as posições bit da direita para a esquerda estão representadas por 0..7 e 8.. 15 de forma decimal. 0 0.. 15, isto é, 32.. 47 na Fig.3 representam endereços de meias palavras; os endereços mencionados 9 apenas possuem carácter exemplificativo, nomeadamente os campos identicamente programados não necessitam de começar pelo endereço de componente 0. Para evitar erros duplos deve prever-se que os dados, no caso de um layout de armazenamento, sejam múltiplos. Na Fig.3 os campos que contêm dados idênticos estão representados por Dl. Além disso para uma maior redução da probabilidade de um erro duplo, os dados idênticos associados em diferentes endereços são colocados pelo menos uma vez no byte menos significativo e pelo menos uma vez no byte mais significativo. Para detectar igualmente erros em linhas de endereços ou de dados, é útil não colocar os diferentes exactamente nos endereços que correspondem a uma potência dupla. Além disso adicionalmente seria possível proporcionar uma maior segurança a determinados campos do dispositivo de armazenamento com uma soma de teste ou um conteúdo de armazenamento predefinido e inalterável.
Num dispositivo com um componente FPGA pode prever-se que no primeiro circuito parcial o componente FPGA 1 acede sistematicamente à metade menos significativa do dispositivo de armazenamento de palavras 2, enquanto que o componente FPGA no segundo circuito parcial 12 acede sistematicamente à metade mais significativa do dispositivo de armazenamento de palavras. A Fig.3 não apresenta os componentes FPGA 1 que estão acoplados entre si. Através de um acoplamento desta natureza pode verificar-se a uniformidade, nomeadamente a integridade dos dados originários dos diferentes campos do dispositivo de armazenamento 2 e transmitidos através de diferentes linhas ao componente FPGA em questão 1. 10
Por dados no âmbito da presente invenção também se entende código para um sistema de processamento. Uma vantagem significativa da presente invenção surge quando o código está, por assim dizer, independente de posição, isto é, quando é realizável independentemente da respectiva situação no espaço de endereços.
Lista das referências utilizadas \—1 \—1 r Componente, preferencialmente FPGA 2 Componente, preferencialmente Flash-PROM ou EPROM 5 Linha de separação abstracta 10 Circuito lógico 11 Primeiro circuito parcial de um circuito lógico concebido de forma redundante 12 Segundo circuito parcial de um circuito lógico concebido de forma redundante 31 Conexão de componente, Pin 311, 312 Áreas de conexão dos componentes 1, 1' 331, 332 Áreas de conexão para o campo funcional Al no componente 1 341, 342 Áreas de conexão para o campo funcional A2 no componente 1'
Al, A2, A3, A4 Campo funcional no componente 1 NI Campo da lógica de enchimento nos componentes 1, 1'
Dl Campo de dados nos componentes 1, 1'
Lisboa, 13 de Fevereiro de 2007

Claims (7)

1 REIVINDICAÇÕES 1. Circuito lógico que está dividido em pelo menos dois circuitos parciais redundantes (11, 12) que apresentam pelo menos um componente idêntico programável com dados (1, 1'), caracterizado por os dados (Dl) em cada componente idêntico (1, 1') serem pelo menos dupla e identicamente programados (Al, A2) e por os componentes idênticos (1, 1') estarem conectados aos respectivos circuitos parciais (11, 12) de formas diferentes (311, 312, 331, 332, 341, 342).
2. Circuito lógico de acordo com a reivindicação 1, caracterizado por apresentar componentes idênticos (1, 1'), nos quais os dados (Dl) pelo menos dupla e identicamente programados são separados por pelo menos um campo (Nl), que contém uma lógica de enchimento.
3. Circuito lógico de acordo com a reivindicação 2, caracterizado por apresentar um campo (Nl) que contém uma lógica de enchimento que apresenta conexões de componentes (31) apenas utilizáveis como entrada.
4. Circuito lógico de acordo com qualquer uma das reivindicações de 1 a 3, caracterizado por cada componente idêntico (1, 1') estar conectado a um componente adicional (2) programável com dados, sendo que o componente acima mencionado (2) apresenta vários campos programados com dados idênticos (Dl) e que cada componente adicional (2) pode ser endereçado de forma diferente por cada componente idêntico (1, 1').
5. Circuito lógico de acordo com a reivindicação 4, caracterizado por apresentar um componente adicional (2) no 2 qual os campos programáveis com dados idênticos (Dl) se situam em endereços que são diferentes de uma potência dupla.
6. Circuito lógico de acordo com a reivindicação 5, caracterizado por apresentar um componente adicional (2) que além dos campos programados com dados idênticos (Dl) apresenta campos adicionais, que contêm dados fixos ou uma soma de teste.
7. Circuito lógico de acordo com qualquer uma das reivindicações de 4 a 6, caracterizado por apresentar componentes identicamente programados (1, 1') que estão acoplados e por através deste acoplamento se poder verificar a integridade dos dados originários do componente adicional (2). Lisboa, 13 de Fevereiro de 2007
PT02002870T 2001-02-15 2002-02-08 Circuito lógico, nomeadamente para sistemas técnicos ferroviários PT1233516E (pt)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP01103494 2001-02-15

Publications (1)

Publication Number Publication Date
PT1233516E true PT1233516E (pt) 2007-02-28

Family

ID=37728489

Family Applications (1)

Application Number Title Priority Date Filing Date
PT02002870T PT1233516E (pt) 2001-02-15 2002-02-08 Circuito lógico, nomeadamente para sistemas técnicos ferroviários

Country Status (7)

Country Link
EP (1) EP1233516B1 (pt)
AT (1) ATE352903T1 (pt)
CY (1) CY1106410T1 (pt)
DE (1) DE50209316D1 (pt)
DK (1) DK1233516T3 (pt)
ES (1) ES2276862T3 (pt)
PT (1) PT1233516E (pt)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE202859T1 (de) * 1997-02-26 2001-07-15 Siemens Ag Redundant aufgebautes elektronisches geraet mit zertifizierten und nicht zertifizierten kanaelen und verfahren dafür
DE19805819B4 (de) * 1997-05-06 2006-11-23 Ee-Signals Gmbh & Co. Kg Verfahren zur Überwachung von integrierten Schaltkreisen

Also Published As

Publication number Publication date
ATE352903T1 (de) 2007-02-15
CY1106410T1 (el) 2011-10-12
DE50209316D1 (de) 2007-03-15
EP1233516A2 (de) 2002-08-21
EP1233516B1 (de) 2007-01-24
DK1233516T3 (da) 2007-05-29
EP1233516A3 (de) 2004-03-31
ES2276862T3 (es) 2007-07-01

Similar Documents

Publication Publication Date Title
US11829267B2 (en) Data encoding using spare channels in a memory system
US5509019A (en) Semiconductor integrated circuit device having test control circuit in input/output area
US10495689B2 (en) Blade centric automatic test equipment system
US4303993A (en) Memory present apparatus
US7224595B2 (en) 276-Pin buffered memory module with enhanced fault tolerance
KR100464744B1 (ko) 리던던시 시스템을 구비하는 반도체 메모리 장치
US5576554A (en) Wafer-scale integrated circuit interconnect structure architecture
US8650440B2 (en) Processor based system having ECC based check and access validation information means
US6519753B1 (en) Programmable device with an embedded portion for receiving a standard circuit design
KR19990076682A (ko) 감소된 피치 레이저 용장 퓨즈 뱅크 구조
US20070058470A1 (en) Serial presence detect functionality on memory component
US20080065938A1 (en) System, method and storage medium for testing a memory module
US20090327800A1 (en) Apparatus, system and method for providing error protection for data-masking bits
US20060026349A1 (en) System, method and storage medium for providing a serialized memory interface with a bus repeater
KR20010081011A (ko) 메모리 리던던시 기법
US5257166A (en) Configurable electronic circuit board adapter therefor, and designing method of electronic circuit using the same board
CN116049088B (zh) 一种晶上系统配置管理的总线协议电路拓扑及方法、装置
JP2020048022A (ja) 半導体集積回路及び再構成半導体システム
PT1233516E (pt) Circuito lógico, nomeadamente para sistemas técnicos ferroviários
KR19980703541A (ko) 메모리 관리 장치
CN111880961A (zh) 用于透明寄存器数据错误检测和纠正的系统和方法
EP0405765A2 (en) Configurable electronic circuit board, adapter therefor , and designing method of electronic circuit using the same board
US20220129537A1 (en) Configuration authentication prior to enabling activation of a fpga having volatile configuration-memory
US6188242B1 (en) Virtual programmable device and method of programming
JP2007505380A (ja) 障害条件に対するオートノミック・バスの再構成