本发明专利技术涉及互连数据总线中的安全节点。在安全关键计算机系统,容错性是一个重要的设计要求。用于这些基于处理器系统的片上互连的数据总线暴露于来自互连本身或任何连接的外围设备引起的危险。为了提供足够的容错性,安全节点被插入到片上总线层级结构或网络的上游主机段和下游从机段之间。安全节点提供可编程的超时监测器用于事务检测超时情况。如果已经发生超时,安全节点传送虚拟响应返回给主机,承担主机的角色,并且等待从机响应。此外,安全节点通过发送虚拟响应给那些后续请求,拒绝上游段任何主机的后续请求,从而使这些主机避免死锁或停转。
【技术实现步骤摘要】
【专利说明】互连数据总线中的安全节点优先权数据本专利申请受益于或要求提交于2014年6月10日的美国临时申请号62/010,014,题为“互连数据总线中的安全节点”(代理人案号26256。0245-P)的优先权,在此通过引用将其全部内容引入。
本公开一般涉及互连数据总线,并且更具体地,涉及用于这些互连数据总线的安全节点。
技术介绍
在过去几十年中,越来越多的系统越来越依赖于电子设备提供安全关键功能,如控制。这些电子装置被用在各种安全关键系统,例如能源系统、航空航天系统和汽车系统。多年来电子装置被用在飞机上以控制飞机,并确保各个组件可操作。此外,电子装置被用在许多现代公路车辆用于共同的功能,例如定速控制、防抱制动系统、安全气囊,甚至在今天的道路上更多的电子产品被用于混合动力汽车和电动汽车。
技术实现思路
在安全关键计算机系统,容错性是一个重要的设计要求。在这些基于处理器的系统的用于片上互连的数据总线暴露于由互连本身或任何一个连接的外围设备引起的故障造成的危险。为提供足够的容错能力,安全节点插入片上总线层次结构或网络的上游主段和下游从段之间。安全节点提供(可编程)超时监测,用于为事务检测超时条件。如果已经发生超时,安全节点传送或触发预先设置的虚拟响应返回给主段,这将释放上游主段,以避免死锁和执行后续事务。安全节点,然后承担下游段的主机的角色,并等待从机响应。此外,安全节点拒绝接受上游段的任何主段的任何后续请求通过传送或触发这些立即的虚拟响应对这些后续请求,从而使能这些主段以避免死锁或停止。预先设置的响应可以包括以下的一种或两种(a)总线协议带内响应信令,和/或(b)总线协议外边带响应,如中断。在协议内响应可包括合法从响应,它允许主机在主协议内合法完成当前事务,并且可以是任何一种:错误响应,表示该事务不成功;局部完成响应,表示该事务部分完成而且可能已经被分为完整的部分和不完整的部分;或正常完成响应。如果发出正常完成的带内响应,带内响应可以伴随边带响应(错误中断),使得主机被通知超时。【附图说明】图1是根据本公开的一些实施例的简化的示意图,示出示例性的具有安全节点的基于处理器的系统;图2是根据本公开的一些实施例的简化的示意图,示出示例性的具有两个安全节点的基于处理器的系统;图3是根据本公开的一些实施例的简化的示意图,示出示例性的具有安全节点的互连总线层次结构或网络;图4是根据本公开的一些实施例的简化示意图,示出另一示例性的具有多个安全节点的互连总线层次结构或网络;图5是根据本公开的一些实施例的简化流程图,示出流程用于通过安全节点监测和存活互连数据总线上的超时;图6根据本公开的一些实施例示出了示例性的安全节点的控制寄存器;图7根据本公开的一些实施例示出了示例性的安全节点的状态寄存器;和图8根据本公开的一些实施例示出了示例性的安全节点的超时计数器寄存器。【具体实施方式】了解容错计算机系统中的组件和程序,虽然在大部分时间它们是可靠和可操作的,但不可避免地在一个或另一点失灵。失灵可能是由硬件问题或软件错误造成的。容错是使计算机系统继续在系统中的一个或多个故障的情况下正常运行的属性。如果没有容错能力,故障可能会导致彻底崩溃,这可能导致安全关键系统带来灾难性的后果。通常情况下,计算机系统设计者和架构师尝试设计计算机系统,在一个或多个故障的情况下,可以在降低的容量继续操作和/或可以完全降低,使得可以采取恢复操作。许多这些安全关键计算机系统结合处理器和外围设备提供安全关键功能,如功率和引擎控制。为各行业提供规则和指导如何设计安全设备和系统,国际标准化机构已经制定了标准,例如,IEC 61508,题为“电气/电子/可编程电子安全相关系统的功能安全”和ISO 26262,题为“道路车辆-功能安全”。这些标准定义了在电子产品提供了安全关键作用的各种应用的安全关键系统的风险和电子要求规范行为。由于这些电子产品对人类和环境安全是非常重要并且电子产品必然会有故障,容错是这些标准提出的一个特别重要的设计要求。出于这个原因,这些国际标准提供规范和指导,指示安全关键系统应该如何工作,当系统有一个或多个故障的情况下或该系统应如何继续正常运行当系统有一个或多个故障时。虽然系统设计师和架构师努力满足容错设计要求,为设计师和架构师提供不过于昂贵实现的解决方案是重要的。互连数据总线故障在安全关键系统,在基于处理器的系统内,用于片上互连的工业标准和专有数据总线暴露由互连本身或任何连接的外围设备产生的故障所引起的危险。安全关键系统想解决的危险包括:互连中的开路和短路、硬件外围从机的故障、死锁、总线段的交通匮乏或饱和或者较高的通信层编程或协议错误。这些危险会导致超时错误,即,缺乏预期的响应,或延迟预期响应。这些行业标准和专用总线包括遵循用于片上系统(SoC)的功能模块的连接和管理的开放式标准、片上互连的高级微控制器总线架构(AMBA)规范的总线。通常情况下,这样的总线,如广泛使用的高级外围设备总线(APB)、AMBA高性能总线(AHB、高级可扩展接口(AXI),并没有在过于昂贵的合法IP上明确的超时机制起重要作用并且改进超时。没有适当的超时监测,系统可以容易地停转和崩溃,没有任何方法从超时恢复。当提供容错总线设计以容忍超时故障,它也是重要的让互连数据总线继续遵从其它特性如原子性、一致性、隔离性和持久性(ACID)以保证即使存在超时故障,事务正在可靠地被处理。硬件安全节点:处理超时和延迟响应为了解决安全关键互连数据总线超时的问题,有些总线已经开发了用于飞机和飞机引擎飞行关键功能,其中提供了紧密预定的架构。在这样的时间触发总线结构,响应按照预先分配的时钟周期被预期和调度,以确保可靠性。然后可以检测到超时,如果响应未根据在特定预分配的时钟周期的时间表返回。这个系统有些缺点:总线的吞吐量由时间表严格决定并且时间触发总线的静态调度是相当不灵活的。为了提供瞬态响应的灵活性,许多行业标准和专有总线允许任意响应潜伏期(事件触发)。然而,任意的响应潜伏期使得了解是否和何时响应被预期范围变成挑战。为解决具有任意响应潜伏期的互连数据总线的超时问题,硬件安全节点插入到片上总线层次结构或网络的两个分区/段间:上游(主)段和下游(从)段。上游段可以连接到至少一个或一个以上主机,而下游段可连接到至少一个或多个从机。安全节点可以仲裁从上游段接收的事务,并为下游段发生的故障提供耐受性。从广义上讲,总线层次结构或总线网络包括相互连接总线段供主机和/或从机可以付接或连接。取决于实施例或应用,总线层次结构或总线网络可以具有不同的拓扑结构。总线层次结构/网络的上游段可以包括来自安全节点的一个或多个总线段上游,总线层次结构/网络的下游段可以包括来自安全节点的一个或多个总线段的下游。总线层次结构或网络的互连的总线段使一个或多个主机与一个或多个从机进行通信(从总线层次结构或网络拓扑的一个点到总线层次结构或网络拓扑的另一点)。安全节点可以插入在总线层次结构或总线网络任何合适的点的两个区段之间。总线层次结构或总线网络可以包括在总线层次结构或总线网络的不同点上的一个以上的安全节点。安全节点,在运行期间,转发来自上游段中选定的主机的事务到下游段中的一个从机。处理超时,安全节点提供了(可编程)超时本文档来自技高网...
【技术保护点】
一种用于监测和存活互连数据总线超时的安全节点,所述安全节点包括:与连接到一个或多个主机的总线网络的上游部相连接的上游部分;和与连接到一个或多个从机的总线网络的下游部相连接的下游部分;其中所述安全节点配置以:转发来自所述上游部的第一主机的第一事务到所述下游部的第一从机;监测所述互连数据总线以确定所述第一从机是否在超时周期内没有响应;和如果所述第一从机在所述超时周期内没有响应,发送预先设置的响应到所述第一主机以允许所述第一主机完成所述第一事务。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:J·A·海登,R·F·格拉夫顿,M·普齐,G·张,J·F·伽罗托斯,
申请(专利权)人:美国亚德诺半导体公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。