用于片上安全区域的片上检查器制造技术

本公开的实施例涉及用于片上安全区域的片上检查器。本文公开了一种单个集成电路芯片，其包括操作诸如阀驱动器的车辆部件的主逻辑。与芯片内的主逻辑隔离的是用于验证主逻辑的正确操作的安全区域。安全区域之外的芯片内的检查器电路用于验证检查器电路的正确操作。检查器电路从安全电路接收信号，并使用组合逻辑电路从这些信号中验证检查电路是否正常工作。作。作。

【技术实现步骤摘要】
用于片上安全区域的片上检查器


[0001]本专利技术涉及测试电路装置领域，并且具体地涉及用于测试集成电路芯片内的专用“安全区域”内的电路的正确操作的测试电路。

技术介绍

[0002]现代车辆越来越多地配备有各种安全系统，特别是鉴于这样的现代车辆越来越多地利用线控驱动控制来接收驾驶员输入的事实。例如，代替车辆的方向盘，制动踏板和油门踏板被机械地连接到用于控制车辆的液压或电缆系统，一个或多个这样的控制器可以被连接到感测设备，该感测设备将驾驶员的意图传达给控制器，该控制器进而实现驾驶员的意图，潜在地具有对安全性的修改。
[0003]例如，当驾驶员按压油门踏板以请求将旋转扭矩施加到车辆的驱动轮时，代替油门踏板操作机械地操作车辆发动机的部件(例如，节气门叶片)的线缆，油门踏板可与传感器装置协作以生成最终提供给变速器控制器和节气门叶片控制器的电输出。变速器控制器例如又例如通过致动控制变速器的档位的换档的阀驱动器来控制车辆的变速器。由于该变速器控制器实际上是在变速器的控制中而不是在驱动器中，所以希望执行故障检测以确定控制器是否正常运行。
[0004]因此，考虑到线控驱动车辆控制的安全性需求，开发了ISO26262标准以包括汽车安全完整性等级(ASIL)风险分类方案。ASIL水平范围从ASIL－A(最低)到ASIL－D(最高)。ASIL水平由三个因素确定，即故障的严重程度，故障发生的概率和控制故障影响的能力。
[0005]对于直接控制车辆运动的车辆部件，例如变速器和制动系统，应用ASIL－D，并且不仅要精心检测故障，而且还要检查和验证用于检查这些故障的电路和部件，以便正确操作。
[0006]ASIL－D下对于变速器控制器的最常见的要求之一是确保功率级的安全关断，例如可以包括故障安全预驱动器和阀驱动器。即使在通常经由功率级中的逻辑核心和模拟驱动器块之间的交互实现的公共关断路径由于故障而不工作的情况下，也要保证关断。为此，通常实现冗余的关断路径和冗余的断开电路。该冗余关断路径通常集成在通过深沟槽隔离而隔离的保护区域内。该受保护区域通常被称为“安全区域”。
[0007]在图1A中可以看到一种这样的布置。这里，车辆系统10包括与安全区域12内的安全电路13通信的主逻辑11，例如变速器控制器。安全电路13确定主逻辑11是否正确地操作，并且在检测到故障的情况下提供替代的关断路径。
[0008]如上所述，可能希望检查安全电路13本身的正确操作。在图1B的车辆系统10'中示出了一种这样的布置。这里，激励电路14生成要提供给安全电路13的已知输入，并且结果检查器16响应于由激励电路14提供给安全电路13的激励来检验安全电路13是否已经生成了预期结果。如果安全电路13没有生成预期结果，则可以假设安全电路13出现故障，并且主逻辑11可以采取动作来帮助确保车辆的安全。但是这种布置的问题在于激励电路14可能是复杂的并且消耗过量的面积，这两者在设计方面都是不希望的。
[0009]图1C示出了用于检查安全电路13的另一种配置。这里，安全电路被复制，因此存在两个安全区域12a、12b、每个安全区域具有其自己的安全电路13a、13b。安全电路13a、13b各自接收来自主逻辑11的相同输入。数字比较电路15将安全电路13a、13b的输出相互比较，并且将这些比较的输出提供给结果检查器16。如果安全电路13a、13b的输出相同、则可以假设安全电路13a、13b正常工作。如果安全电路13a、13b的输出不相同、则可以假设安全电路13a、13b中的一个或两个不正确地操作。这种布置的问题在于，安全区域和安全电路被复制，并且因此利用这种布置也消耗了不希望的面积量。
[0010]因此，需要进一步的开发。

技术实现思路

[0011]本文公开了一种集成电路芯片，包括：一个集成电路衬底；所述集成电路衬底内的主逻辑，所述主逻辑被配置为控制至少一个外部组件，所述主逻辑进一步被配置为生成能够从中确定所述主逻辑的正确操作的至少一个数字信号、能够从中确定所述主逻辑的正确操作的至少一个模拟信号、以及至少一个其它信号；以及在所述集成电路衬底内并与所述主逻辑隔离的安全区域。
[0012]所述安全区被配置为：从所述至少一个模拟信号生成至少一个模拟故障信号，所述模拟故障信号指示所述主逻辑的不正确操作是否已发生；从所述至少一个数字信号生成指示所述主逻辑的不正确操作是否已发生的至少一个数字故障信号；以及基于所述至少一个模拟故障信号，所述至少一个数字故障信号和所述至少一个其它信号生成输出信号和反馈信号，所述输出信号使所述至少一个外部组件响应于所述主逻辑的不正确操作而执行期望的功能，所述反馈信号指示所述主逻辑的不正确操作尚未发生。
[0013]安全区域检查器电路位于集成电路衬底内并位于安全区域外。所述安全区检查器电路包括：第一逻辑，其接收所述至少一个模拟故障信号和所述至少一个数字故障信号作为输入，所述第一逻辑生成第一逻辑输出，所述第一逻辑输出指示所述至少一个模拟故障信号或是所述至少一个数字故障信号指示所述主逻辑的不正确操作已经发生；第二逻辑，其接收所述第一逻辑输出和所述至少一个其它信号作为输入，所述第二逻辑生成第二逻辑输出；第一比较电路，其接收所述第二逻辑输出以及所述输出信号或所述反馈信号作为输入，所述第一比较电路响应于所述第一比较电路的输入之间的逻辑电平不匹配而断言第一检查信号；第二比较电路，接收所述第一逻辑输出以及所述输出信号或所述反馈信号作为输入，所述第二比较电路响应于到所述第二比较电路的输入之间的逻辑电平的不匹配而断言第二检查信号；以及或电路，接收所述第一和第二检查信号作为输入，并且响应于所述第一和第二检查信号中的任一个被断言而生成错误检查信号。
[0014]安全区域可以通过至少一个深沟槽隔离来隔离。
[0015]安全区域可以通过两个同心深沟槽隔离来隔离。
[0016]所述安全区域检查器电路还可以包括同步电路，所述至少一个模拟故障信号在耦合到所述第一逻辑之前被传递通过所述同步电路。
[0017]第一逻辑可以包括与门。
[0018]滤波器可以被配置为对错误检查信号进行滤波。
[0019]本文还公开了一种集成电路芯片，包括：一个集成电路衬底；所述集成电路衬底内
的主逻辑，所述主逻辑被配置为控制至少一个外部组件，所述主逻辑进一步被配置为生成可从中确定所述主逻辑的正确操作的多个信号，并且生成至少一个其它信号；以及在所述集成电路衬底内并与所述主逻辑隔离的多个安全区域。
[0020]每个安全区可以被配置为：从所述多个信号中的一些信号生成指示所述主逻辑的不正确操作是否已发生的多个故障信号；以及基于所述多个故障信号和所述至少一个其它信号生成输出信号和反馈信号，所述输出信号使所述至少一个外部组件响应于所述主逻辑的不正确操作而执行期望的功能，所述反馈信号指示所述主逻辑的不正确操作尚未发生。
[0021]多个安全区域检查器电路，其位于所述集成电路衬底内且位于所述安全区域外部，每个安全区域检查器电路与本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种集成电路芯片，包括：集成电路衬底；主逻辑，在所述集成电路衬底内，所述主逻辑被配置为控制至少一个外部组件，所述主逻辑进一步被配置为生成至少一个数字信号、至少一个模拟信号和至少一个其它信号，所述主逻辑的正确操作能够从所述至少一个数字信号中确定，所述主逻辑的正确操作能够从所述至少一个模拟信号中确定；安全区域，在所述集成电路衬底内，并且与所述主逻辑隔离，所述安全区域被配置为：从所述至少一个模拟信号生成至少一个模拟故障信号，所述至少一个模拟故障信号指示所述主逻辑的不正确操作是否已发生；从所述至少一个数字信号生成指示所述主逻辑的不正确操作是否已发生的至少一个数字故障信号；基于所述至少一个模拟故障信号、所述至少一个数字故障信号和所述至少一个其它信号生成输出信号和反馈信号，所述输出信号使所述至少一个外部组件响应于所述主逻辑的不正确操作而执行期望的功能，所述反馈信号指示所述主逻辑的不正确操作尚未发生；以及安全区域检查器电路，在所述集成电路衬底内并且位于所述安全区域外部，所述安全区域检查器电路包括：第一逻辑，接收所述至少一个模拟故障信号和所述至少一个数字故障信号作为输入，所述第一逻辑生成第一逻辑输出，所述第一逻辑输出指示所述至少一个模拟故障信号或是所述至少一个数字故障信号指示所述主逻辑的不正确操作已经发生；第二逻辑，接收所述第一逻辑输出和所述至少一个其它信号作为输入，所述第二逻辑生成第二逻辑输出；第一比较电路，接收所述第二逻辑输出以及所述输出信号或所述反馈信号作为输入，所述第一比较电路响应于所述第一比较电路的输入之间的逻辑电平不匹配而断言第一检查信号；第二比较电路，接收所述第一逻辑输出以及所述输出信号或所述反馈信号作为输入，所述第二比较电路响应于到所述第二比较电路的输入之间的逻辑电平的不匹配而断言第二检查信号；以及或电路，接收所述第一检查信号和所述第二检查信号作为输入，并且响应于所述第一检查信号和所述第二检查信号中的任一者被断言而生成错误检查信号。2.根据权利要求1所述的集成电路芯片，其中所述安全区域由至少一个深沟槽隔离来隔离。3.根据权利要求1所述的集成电路芯片，其中所述安全区域通过两个同心深沟槽隔离来隔离。4.根据权利要求1所述的集成电路芯片，其中所述安全区域检查器电路还包括同步电路，所述至少一个模拟故障信号在耦合到所述第一逻辑之前被传递通过所述同步电路。5.根据权利要求1所述的集成电路芯片，其中所述第一逻辑包括与门。6.根据权利要求1所述的集成电路芯片，进一步包括被配置为对所述错误检查信号进行滤波的滤波器。
7.一种集成电路芯片，包括：集成电路衬底；主逻辑，在所述集成电路衬底内，所述主逻辑被配置为控制至少一个...

【专利技术属性】
技术研发人员：A，
申请(专利权)人：意法半导体股份有限公司，
类型：发明
国别省市：