具有信号链锁步的用于高完整性的功能安全应用的装置制造方法及图纸

本申请公开了具有信号链锁步的用于高完整性的功能安全应用的装置。一种用于提供安全临界值(126)的集成电路(IC)芯片(例如，图1 100和图2 200)包括第一处理路径和第二处理路径，第一处理路径(102)包括第一处理元件(204)，并且第一处理路径(102)经耦合以在第一输入引脚(114)上接收第一输入信号(122)并且提供第一输出信号(118)，该第一输出信号(118)在输出引脚(112)上提供安全临界值。第二处理路径(104)包括第二处理元件(224)，并且第二处理路径(104)经耦合以接收第二输入信号(122或124)并且提供第二输出信号(120)。第一处理路径和第二处理路径相互独立。IC芯片上的智能比较器(105)接收第一输出信号和第二输出信号，并且响应于第一输出信号和第二输出信号之间的差达到可配置阈值(图4，408)而启动补救措施。

【技术实现步骤摘要】
具有信号链锁步的用于高完整性的功能安全应用的装置
公开的实施例一般涉及提供功能安全应用的领域。更具体地，而不是通过任何限制方式，本公开针对具有信号链锁步的用于高完整性的功能安全应用的装置和方法。
技术介绍
用在功能安全应用中的集成电路(IC)芯片需要对随机故障具有高覆盖率，IC芯片通常实现许多不同的功能，其可以包括安全临界功能，即临界控制功能，连同其他非临界功能，例如数据记录、人机接口等。IC芯片需要提供用于临界控制功能的最高安全完整性、对非临界功能的较低安全完整性，以及技术以确保在较高安全完整性等级功能上不受较低安全完整性等级功能的干扰。即当系统仍然能够可靠地执行安全临界功能时，例如，当在非临界功能的执行期间瞬态故障发生时，在非临界功能中的误差期间系统不应自动进入安全状态。
技术实现思路
公开的实施例在使用单芯片的故障检测中提供改进，该单芯片在整个信号链中提供冗余，而不是仅在特定组件中提供冗余。通过在使用的硬件设计、工具集或算法中提供改进的覆盖率以对抗漏洞(bug)，不同信号链之间的多样性可以对系统误差提供附加风险降低。公开的实施例可以提供经预先认证以满足高安全完整性等级的芯片。一方面，公开了用于提供安全临界值的集成电路(IC)芯片的一个实施例。IC芯片包括第一处理路径，其包含第一处理元件，第一处理路径经耦合以在第一输入引脚上接收第一输入信号并且在输出引脚上提供第一输出信号，第一输出信号提供安全临界值；第二处理路径，其包含第二处理元件，第二处理路径经耦合以接收第二输入信号并且提供第二输出信号，第一处理路径和第二处理路径相互独立；以及智能比较器，其接收第一输出信号和第二输出信号，并且响应于第一输出信号和第二输出信号之间的差达到可第一阈值而启动补救措施，第一阈值是可配置的。附图说明本公开的实施例在附图的图片中以示例的方式说明，而不是以限制的方式说明，在附图中，类似的参考指示相似的元件。应当注意，本公开中对“一个(an或one)”实施例的不同参考不一定是相同的实施例，并且这种参考可以意为至少一个。此外，当结合实施例描述特定特征、结构或特点时，无论是否明确地描述，其主张结合其他实施例实现这种特征、结构或特点是在本领域技术人员的知识范围内。如本文所使用的，术语“耦合(couple或者couples)”意在间接或直接电连接，除非有资格作为可包括无线连接的“可通信耦合”。因此，如果第一设备耦合到第二设备，则该连接可以是通过直接电连接，或者通过经由其他设备和连接的间接电连接。附图被纳入并且形成该说明的一部分，以说明本公开的一个或更多个示例性实施例。本公开的各种优点和特征将结合所附权利要求并且参照所附的附图图片从下面的详细说明书来理解：图1描绘了根据本公开的一个实施例的集成电路芯片的示例；图2描绘了根据本公开的一个实施例的集成电路芯片的更详细的示例；图3描绘了根据本公开的一个实施例的集成电路芯片的示例；图4A描绘了根据本公开的一个实施例由智能比较器进行比较的示例；图4B描绘了根据本公开的一个实施例由智能比较器进行比较的示例；图5描绘了根据现有技术用于提供安全临界值的系统的示例。图6描绘了根据现有技术用于提供安全临界值的系统的示例；以及具体实施方式现在将参照附图详细描述本专利技术的具体实施例。在下面对本专利技术的实施例的详细描述中，阐述了许多具体的细节，以便提供更全面地理解本专利技术。然而，对本领域中的一个普通技术人员显而易见的是，在没有这些具体细节的情况下可以实行本专利技术。在其他情况下，尚未详细描述众所周知的特征，以避免不必要地复杂的描述。安全完整性等级(SIL)和汽车安全完整性等级(ASIL)是安全相关系统在规定的一段时间内在所有指定的条件中圆满地执行所要求的安全功能的能力的认证。当实施新的安全相关系统时，例如，在新的交通工具设计中，检查员必须根据系统的SIL和/或ASIL顺应性提供认证的等级。四个ASIL等级被定义为ASILA、ASILB、ASILC、ASILD，其中ASILD指示对系统的最高完整性要求并且ASILA指示最低完整性要求。类似地，SIL等级1-4被定义，其中SIL4是最可靠的，SIL1是最不可靠的。通常，为了实现更高等级的认证，冗余等级必须在系统的元件中，以便提供误差校验的附加等级。图5描绘了根据现有技术用于提供安全临界控制值的系统500的高等级示意图；在一个示例实施例中，系统500控制安全临界电机。系统500可以通过使用一个或更多个致动器控制电机的操作，并且通过传感器从电机接收反馈，使得可以不断更新电机的操作。系统500利用具有并行运行的一对锁步同构CPU502、504的IC芯片。CPU502被认为是将对电机提供控制的初级处理器，而CPU504被用于双重校验CPU502的操作，并且操作为CPU502从属。感测元件506、508可以用于将冗余反馈提供至CPU502，其中CPU502为平等交叉校验感测元件506、508并且将输入提供至CPU504。来自CPU502的输出值被提供至控制器510、512，使得控制器510、512可以提供最终控制信号。控制器510提供由受控系统利用的控制信号，而控制器512再次起作用以提供控制器510的准确性的验证。值得注意地，诸如系统500的锁步系统包括公共总线接口和需要被分别验证安全临界功能的其他公共组件。可以利用比较器(未具体显示)比较CPU502、504的输出，并且如果输出值互相不一致，则提供误差信号。类似地，可以利用第二比较器以比较控制器510、512的输出信号，并且当输出信号互相不一致时提供误差信号。可以利用这些误差信号中的任何一个将受控系统置于安全模式中。可以认识到，将由CPU502从传感器接收类似的值并且传递给CPU504，并由CPU502将相同的值传递给控制器510、512二者。因为如此，由比较器执行的交叉校验是值的简单比较。在这些传统系统中，只有处理元件通过基于硬件的比较逻辑被验证。如图6所示用于提供安全临界值的另一个系统600。系统600包括IC芯片602、604；IC芯片602、604中的每个包含从传感器输入到控制输出的整个处理路径。IC芯片602在输入引脚603上接收来自传感器620的输入，并且在输出引脚607上提供输出信号。类似地，IC芯片604在输入引脚605上接收来自传感器622的输入，并且在输出引脚609上提供输出信号。在现场可编程门阵列(FPGA)624处接收来自IC芯片602、604的输出值，该FPGA624被编程为比较器以比较输出值。FPGA624的输入626接收IC芯片602的输出值，以及输入628接收IC芯片604的输出值。由于模拟传感器和传感器处理的行为，最终输出可能会有差异。因此，在输出处的比较器需要足够智能，以理解在可接受的误差和不可接受的误差之间的差异和区别。如果输入626与输入628相一致(即可接受的误差)，则在输出630处提供新值并且作为控制信号634被发送；如果输入626与输入628不一致(即不可接受的误差)，则设置误差标记632，并且使系统进入安全模式。IC芯片602、604中的每个内都是模数转换器(ADC)606，其包括采样和保持硬件608、ADC610和结果寄存器612。IC芯片602、604中的每个还包括CPU6本文档来自技高网...

【技术保护点】
1.一种用于提供安全临界值的集成电路芯片即IC芯片，所述IC芯片包含：第一处理路径，其包含第一处理元件，所述第一处理路径经耦合以在第一输入引脚上接收第一输入信号并且在输出上提供第一输出信号，所述第一输出信号提供所述安全临界值；第二处理路径，其包含第二处理元件，所述第二处理路径经耦合以接收第二输入信号并且提供第二输出信号，所述第一处理路径和所述第二处理路径相互独立；以及智能比较器，其接收所述第一输出信号和所述第二输出信号，并且响应于所述第一输出信号和所述第二输出信号之间的差达到第一阈值而启动补救措施，所述第一阈值是可配置的。

【技术特征摘要】
2017.05.02 US 15/584,5501.一种用于提供安全临界值的集成电路芯片即IC芯片，所述IC芯片包含：第一处理路径，其包含第一处理元件，所述第一处理路径经耦合以在第一输入引脚上接收第一输入信号并且在输出上提供第一输出信号，所述第一输出信号提供所述安全临界值；第二处理路径，其包含第二处理元件，所述第二处理路径经耦合以接收第二输入信号并且提供第二输出信号，所述第一处理路径和所述第二处理路径相互独立；以及智能比较器，其接收所述第一输出信号和所述第二输出信号，并且响应于所述第一输出信号和所述第二输出信号之间的差达到第一阈值而启动补救措施，所述第一阈值是可配置的。2.根据权利要求1所述的用于提供安全临界值的IC芯片，其中所述第一处理元件和所述第二处理元件由于不同的硬件、不同的代码生成工具和不同的算法中的至少一个而彼此不同。3.根据权利要求2所述的用于提供安全临界值的IC芯片，进一步包含第一交叉校验模块，其经耦合以比较所述第一处理路径中的第一数字信号和所述第二处理路径中的第二数字信号，并且执行在所述第一处理元件和所述第二处理元件之间的同步，以说明在所述第一处理路径和所述第二处理路径的重复执行期间的累积误差。4.根据权利要求3所述的用于提供安全临界值的IC芯片，其中所述第一数字信号和所述第二数字信号从第一传感器接收。5.根据权利要求1所述的用于提供安全临界值...

【专利技术属性】
技术研发人员：J·E·斯塔福德，P·维斯瓦纳坦皮莱，A·A·宛吉瑞，
申请(专利权)人：德克萨斯仪器股份有限公司，
类型：发明
国别省市：美国,US