在片上系统中的不同安全完整性等级的区域之间传送数据技术方案

在各种示例中，系统包括在第一风险级别内操作的存储器和在指示比第一风险级别更高风险的第二风险级别内操作的电路。该电路读取和/或写入数据到该存储器内的第一存储器地址，并将检错码读取和/或写入到该存储器内的第二存储器地址。第二存储器地址。第二存储器地址。

【技术实现步骤摘要】
【国外来华专利技术】在片上系统中的不同安全完整性等级的区域之间传送数据
[0001]要求优先权
[0002]本申请要求于2021年7月30日提交的标题为“在片上系统中的不同安全完整性等级的区域之间传送数据”(TRANSMITTING DATA BETWEEN REGIONS OF VARYING SAFETY INTEGRITY LEVELS IN A SYSTEM ON A CHIP)的印度临时申请No.202111034491和于2021年9月16日提交的标题为“在片上系统中的不同安全完整性等级的区域之间传送数据”(TRANSMITTING DATA BETWEEN REGIONS OF VARYING SAFETY INTEGRITY LEVELS IN A SYSTEM ON A CHIP)的美国专利申请No.17/477,360的权益，其全部内容通过引用并入本文。


[0003]至少一个实施例涉及由电路的第一区域访问电路的第二区域中的存储器。例如，至少一个实施例涉及实现本文描述的各种新颖技术的片上系统。作为另一示例，至少一个实施例涉及包括这种片上系统的自主车辆。

技术介绍

[0004]汽车安全完整性等级(“ASIL”)是由国际标准化组织(“ISO”)26262功能安全标准定义的道路车辆功能安全的风险分类系统。该风险分类系统中具有标识为ASIL
‑
A、ASIL
‑
B、ASIL
‑
C、ASIL
‑
D四个风险分类级别，其中ASIL
‑/>D为最高风险分类级别。因此，指定为ASIL
‑
D的组件比指定为具有较低风险分类级别的组件(例如ASIL
‑
B)具有更高的安全要求，并且可能更昂贵。在许多汽车平台中，当在控制自主或半自主车辆的各种驾驶功能的汽车片上系统(“SoC”)中检测到特定故障时，至少一些安全服务由外部控制单元执行。一般来说，外部控制单元可在比汽车SoC(例如ASIL
‑
B)更高的风险级别(例如ASIL
‑
D)下操作。不幸的是，这样的外部控制单元会引入延时并且可能是昂贵的，因为它们需要汽车SoC中也存在的单独组件，例如DRAM、非易失性存储器等，并且每个单独组件都占用汽车平台内的空间(例如，在电路板上)。
附图说明
[0005]下面参考附图详细描述用于隔离片上系统的区域的本系统和方法，其中：
[0006]图1是根据本公开的一些实施例的示例汽车平台的图示；
[0007]图2是根据本公开的一些实施例的连接集成到汽车SoC中的安全岛与该汽车SoC的其他组件的示例接口的图示；
[0008]图3是根据本公开的一些实施例的示出用于在茧(cocoon)模式和非隔离模式之间转换安全岛的方法的流程图。
[0009]图4是根据本公开的一些实施例的从汽车SoC的其他组件向安全岛传送故障的示例故障接口的图示；
[0010]图5A是根据本公开的一些实施例的示出用于向安全岛传送故障的方法的流程图；
[0011]图5B是根据本公开的一些实施例的示出处理器可以用来处理从SoC故障聚合器接收的中断的方法的流程图；
[0012]图5C是根据本公开的一些实施例的示出SI 110可以用来处理经校正和未校正的错误信号的方法的流程图；
[0013]图5D是根据本公开的一些实施例的示出SI 110可以用来处理SoC故障聚合器信号的方法的流程图；
[0014]图6A示出了根据本公开的一些实施例的在低严重性未校正错误(例如最小值)已经被断言之后由安全岛的处理器接收和发送的信号的示例信号时序图；
[0015]图6B示出了根据本公开的一些实施例的在高严重性未校正错误(例如最大值)已经被断言之后由安全岛的处理器接收和发送的信号的示例信号时序图；
[0016]图6C示出了根据本公开的一些实施例的在未校正错误(例如最大值)已被断言但安全岛未接收到邮箱中断之后由安全岛的处理器接收和发送的信号的示例信号时序图；
[0017]图7是示出了根据本公开的一些实施例的将数据写入由汽车SoC的其他组件和安全岛共享的易失性存储器中定义的保留区(carve
‑
out)的方法的流程图；
[0018]图8示出了根据本公开的一些实施例的执行图7的方法的安全岛的检错块的示例；
[0019]图9是根据本公开的一些实施例的示出了用于从分离中读取数据的方法的流程图；
[0020]图10示出了根据本公开的一些实施例的执行图9的方法的安全岛的检错块的示例；
[0021]图11是根据本公开的一些实施例的示出了当检错块包括或被连接到出口和入口定时器时由检错块生成的错误通知的框图的图示；
[0022]图12是根据本公开的一些实施例的示例自主车辆的图示；
[0023]图13是根据本公开的一些实施例的图12的示例自主车辆的相机位置和视野的示例；
[0024]图14是根据本公开的一些实施例的图12的示例自主车辆的示例系统架构的框图；
[0025]图15是根据本公开的一些实施例的用于在基于云的一个或更多个服务器与图12的示例自主车辆之间通信的系统图；以及
[0026]图16是适合用于实现本公开的一些实施例的示例计算设备的框图。
具体实施方式
[0027]所公开的系统和方法涉及将在较高风险级别(例如，ASIL
‑
D)下运行的电路区域与在较低风险级别(例如，ASIL
‑
B)下运行的该电路的其他区域隔离开。例如，专用于功能安全的区域或“岛”可以与片上系统(“SoC”)上的其他组件(例如汽车SoC)(例如，通信地)隔离。图1是根据至少一个实施例的示例汽车平台100的图示。汽车平台100可以实现自主或半自主车辆，例如示例自主车辆1200(见图12)。汽车平台100包括汽车处理系统102，其可以实现大于由汽车工程师协会(“SAE”)定义的级别0(无驾驶自动化)的驾驶自主性级别。例如，汽车处理系统102可以实现由SAE定义的2级(部分驾驶自动化)到5级(完全驾驶自动化)。2级系统可称为高级驾驶员辅助系统(“ADAS”)。
[0028]汽车处理系统102包括至少一个汽车SoC 104。该汽车SoC 104执行至少一些功能，
但可以将一个或更多个安全功能卸载到可选的外部控制单元106(例如，包括外部ASIL
‑
D微控制器单元)。可选的外部控制单元106可以在比汽车SoC 104更高的风险分类级别(例如，ASIL
‑
D)下操作并符合其要求。在包括可选的外部控制单元106的实施例中，当故障发生在汽车SoC 104中时，该故障被传送到可选的外部控制单元106，其可以采取一个或更多个动作以使汽车平台100返回到安全状态。因此，至少一部分的安全功能可以由可选的外部控制单元106执行。然而，可选的外部控制单元106可能会引入延本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种系统，包括：按照第一风险分类级别操作的存储器；以及按照指示比所述第一风险分类级别更高风险分类的第二风险分类级别操作的电路，所述电路用于：确定要写入所述存储器内的第一存储器地址的数据的检错码；至少部分地基于所述第一存储器地址确定所述存储器内的第二存储器地址；以及使所述数据被存储在所述第一存储器地址中并且使所述检错码被存储在所述第二存储器地址中。2.如权利要求1所述的系统，其中在所述数据被存储在所述第一存储器地址中并且所述检错码被存储在所述第二存储器地址中之后：所述电路用于从所述第一存储器地址获得所述数据，从所述第二存储器地址获得所述检错码，基于所述第一存储器地址和从所述第一存储器地址获得的所述数据生成校验码，以及在所述检错码指示所述数据包含至少一个错误时生成通知。3.如权利要求2所述的系统，其中当所述检错码与所述校验码不匹配时，所述检错码指示所述数据包含所述至少一个错误。4.如权利要求2所述的系统，其中所述电路用于在第一存储器访问期间从所述第一存储器地址获得所述数据，以及在第二存储器访问期间从所述第二存储器地址获得所述检错码。5.如权利要求2所述的系统，还包括：第一接口，通过该第一接口从所述第一存储器地址获得所述数据；以及第二接口，通过该第二接口与所述第一接口获得所述数据并行地从所述第二存储器地址获得所述检错码，所述第一接口与所述第二接口不同。6.如权利要求4所述的系统，其中所述电路在所述第一存储器访问和所述第二存储器访问之间引入时间延迟。7.如权利要求1所述的系统，其中所述存储器包括第一子部分和第二子部分，所述第一子部分包括所述第一存储器地址，所述第二子部分包括所述第二存储器地址，以及所述电路用于在启动程序期间将新的检错码写入所述第二子部分中的每个存储器地址。8.如权利要求1所述的系统，其中所述电路用于在将所述数据写入第一存储器地址之前，基于所述第一存储器地址和所述数据来确定所述检错码。9.如权利要求1所述的系统，其中所述电路包括第一块和第二块，所述第一块用于向所述第二块传送包括所述数据和所述第一存储器地址的写入请求，所述第二块用于接收所述写入请求，确定所述检错码，确定所述第二存储器地址，以及使所述数据被存储在所述第一存储器地址中以及使所述检错码被存储在所述第二存储器地址中。10.如权利要求9所述的系统，其中所述第一块包括写入定时器，所述写入定时器在所述第一块向所述第二块传送所述写入请求时启动，以及所述第一块用于在所述写入定时器指示在所述第一块接收到来自所述存储器的响应之前已经过去了多于预定时间量时生成写入错误。11.如权利要求9所述的系统，其中在所述第一块发送所述写入请求之后：
所述第一块用于向所述第二块发送对存储在所述第一存储器地址中的所述数据的读取请求，以及所述第二块用于接收所述读取请求，从所述第一存储器地址获得所述数据，从所述第二存储器地址获得所述检错码，以及在所述第二块确定所述检错码指示所述数据包含所述至少一个错误时向所述第一块传送通知。12.如权利要求11所述的系统，其中所述第一块包括读取定时器，所述读取定时器在所述第一块发送所述读取请求时启动，以及所述第一块用于在所述读取定时器指示在所述第一块接收到所述数据之前已经过去了多于预定时间量时，生成读取错误。13.如权利要求1所述的系统，其中所述电路用于在第一存储器访问期间使所述数据被存储在所述第一存储器地址中，以及在第二存储器访问期间使所述检错码被存储在所述第二存储器地址中。14.如权利要求13所述的系统，其中所述电路在所述第一存储器访问和所述第二存储器访问之间引入第一时间延迟。15.如权利要求1所述的系统，其位于一块连续的半导体材料上。16.如权利要求15所述的系统，其实现与机动车辆相对应的片上系统(“SoC”)的一部分。17.如权利要求1所述的系统，其中所述第一风险分类级别和所述第二风险分类级别均是汽车安全完整性等级(“ASIL”)。18.如权利要求1所述的系统，其中所述检错码是循环冗余校验码或纠错码。19.一种系统，包括：存储器，用于在第一风险分类级别内操作，所述存储器包括隔离的存储器区域，其包括存储数据的第一存储器地址和存储检错码的第二存储器地址；以及电路，用于在指示比所述第一风险分类级别更高的风险级别的第二风险分类级别内操作，所述电路用于：从所述第一存储器地址获得所述数据；从所述第二存储器地址获得所述检错码；以及在所述检错码指示所述数据包含至少一个错误时生成通知。20.如权利要求19所述的系统，其中所述电路用于基于所述第一存储器地址和从所述第一存储器地址获得的所述数据生成校验码，当所述检错码与所述校验码不匹配时，所述检错码指示所述数据包含所述至少一个错误。21.如权利要求19所述的系统，其中所述电路包括第一块和第二块，所述第一块用于向所述第二块发送对存储在所述第一存储器地址中的所述数据的读取请求，以及所述第二块用于接收所述读取请求，获得所述数据，获得所述检错码，以及在所述检错码指示所述数据包含所述至少一个错误时生成所述通知。22.如权利要求21所述的系统，其中所述第一块包括读取定时器，所述读取定时器在所述第一块发送所述读取请求时启动，以及所述第一块用于在所述读取定时器指示在所述第一块接收到所述数据之前已经过去了多于预定时间量时生成错误。23.如权利要求21所述的系统，其中在所述第一块发送所述读取请求之前：所述第一块用于将所述数据和所述第一存储器地址传送到所述第二块，以及
所述第二块用于确定所述检错码，确定所述第二存储器地址，使所述数据被存储在所述第一存储器地址中，以及使所述检错码被存储在所述第二存储器地址中。24.如权利要求23所述的系统，其中所述第一块包括写入定时器，所述写入定时器在所述第一块向所述第二块传送所述数据和所述第一存储器地址时启动，以及所述第一块用于在所述写入定时器指示...

【专利技术属性】
技术研发人员：M，
申请(专利权)人：辉达公司，
类型：发明
国别省市：