CN102841828B - 逻辑电路中的故障检测和减轻 - Google Patents
逻辑电路中的故障检测和减轻 Download PDFInfo
- Publication number
- CN102841828B CN102841828B CN201110166907.1A CN201110166907A CN102841828B CN 102841828 B CN102841828 B CN 102841828B CN 201110166907 A CN201110166907 A CN 201110166907A CN 102841828 B CN102841828 B CN 102841828B
- Authority
- CN
- China
- Prior art keywords
- core
- parallel
- logical circuit
- redundancy
- input
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Hardware Redundancy (AREA)
Abstract
本发明涉及逻辑电路中的故障检测和减轻。本发明针对监视逻辑电路的故障的方法。具体地说,该方法针对建立并行逻辑电路核心,其中,通过由冗余校验器比较在关键位置处等效的并行路径来检测故障。任何误匹配将导致预定故障自动防护操作模式。另外,应用重要的技术,以定期运用各个并行路径来保证,从而按不干扰被监视或控制的任何过程的方式检验并行核心。该特征在某些工业如核电工业中是重要的,在这里,安全关键操作对于可能不经常被利用的逻辑电路块要求很高的可靠性状态。
Description
相关申请的交叉参考
本申请是在2008年2月6日提交的美国专利申请No.12/026,703的部分继续。整个现有的申请由此通过参考包括在这里。
技术领域
本发明一般涉及一种用于设计高完整性逻辑电路的方法。本发明具体地针对安全相关控制***,这些安全相关控制***包括核电站反应堆保护***,在这里完整性和可靠性是最重要的。本发明特别针对在诸如PAL、CPLD、FPGA、ASIC、或门阵列(GateArray)之类的逻辑装置中、或在多个逻辑装置的组合中实施这些方法。该逻辑装置通常被安装在印刷电路板上。
背景技术
其它人已经试图改进计算机化***中的任务关键逻辑部件的可靠性。例如,美国专利7,290,169描述了一种核心级处理器锁步***,其中,两个微处理器并行地操作,并且它们各自提供被比较的外部输出信号。微处理器意味着按锁步(lockstep)操作,也就是说,按紧密协调方式操作,使得它们的输出将按可靠的方式匹配。在实际应用中,该方法对于安全关键***具有许多问题。难以将微处理器完全保持在锁步中。在***中可能有未发现的故障,直到***被实际使用。
美国专利7,237,144提供类似的操作想法和困难,但提供离芯片锁步校验以抗击“软差错”。它具有刚才描述的相同困难。
美国专利6,233,702描述了一种复杂的多处理器***,该多处理器***通过采用硬件(例如,故障功能、采用冗余性)和使用软件技术(速错,例如采用借助于高数据完整性硬件的软件恢复)来提供容错数据处理。差错校验明确地避免了利用在并行处理器之间比较关键数据点的冗余度,并且代之以仅比较按较慢速率如在I/O点处或在主存储器中操作的点。该设计过度复杂,并且具有与将简短讨论的未告知的差错有关的问题。它是基于软件的***,具有也将简短讨论的问题。
美国专利7,134,104描述了一种通过创建逻辑功能的至少三个并行拷贝、并然后使用投票方案以确定任一具体拷贝是否有错来改进FPGA中的容错的方法。尽管该方法大体上改进了容错,但它对于安全关键环境不是一种满意的方案,在这里不能确定多数票始终是无故障结果。
美国专利5,144,230描述了一种通过叫做循环挪用(cyclestealing)的方法的自测试电路。当不要求输出信号执行其正常功能时,通过选择性地施加测试输入信号来测试来自‘测试下的电路’的输出信号。尽管这是一种校验处理器的可能方法,但测试没有提供防止影响相关***的故障的任何保护。当使用并行冗余性时,表决器方案用于确定无故障结果。这些方法对于其中期望高度可靠的***的安全关键环境是不可接受的。
美国申请2007/0022348描述了并行锁步核心,这些并行锁步核心与US7,290,169已经描述的相似,不同之处在于,来自核心的中间值也与输出一道进行比较。然而,该***具有将两个核心保持在锁步中的所有问题。例如,当有差错时,高速缓冲存储器必须被加载到***存储器中,以保证保持发生锁步。当有***或编程变化时,高速缓冲存储器必须被保持并且在正在进行的基础上被检验。***也是基于软件的。
现有技术中有提供一种高度可靠的***的需要,该高度可靠的***不是基于软件的***。例如,在安全关键***中,如在核电站保护***中,由于潜在差错的性质,不期望依赖于可执行软件。软件具有难以解决的固有操作问题。即使相对简单的***也要求显著量的程序代码。具体地说,在并行冗余***由于故障条件可能同时失效的场合,软件微处理器***经受共模故障。
不管可能包括在软件微处理器***内的冗余度,故障仍然可能偶然地影响不能正确地拾取无故障结果的足够冗余功能,并且***将经历共模故障。共模故障可以由单个故障或几个故障导致。已知的是,在软件的冗余拷贝在同一故障下失效时,基于微处理器的***易受共模故障。具体地说,共模故障使软件微处理器***在电站保护***中是不期望有的。
为了本发明的目的,如下定义适用。故障是执行要求的功能的能力的终止。也参见任务故障。故障可能直到下次测试未被告知和未被检测到,这叫做未告知的故障。它们可能在发生的瞬时由任何数量的方法告知和检测到,这叫做告知的故障。任务是项或***的单一目标、作业、或目的。任务故障是在规定极限内无能力完成规定任务。关键功能是在逻辑电路中为了使它执行其任务需要的功能。
在安全相关控制***中,高完整性***将具有两个关键特征:
1)它在被调用时将执行其任务。当出现预定组的输入条件时,任务将典型地是致动现场装置。为了具有在被调用时执行其任务的高度保证,未告知的故障在***中一定不存在。未告知的故障可使***在被调用其任务的时刻出故障。这意味着必须检测和告知所有故障。
2)必须避免由于逻辑电路故障造成的控制***的意外致动。这些致动使现场装置执行它们的安全功能,这些安全功能常常是高成本的。为了做到这点,所有故障在它们到达现场装置之前必须被隔离抑制。
用于提高在关键用途中使用的逻辑电路的可靠性和适用性的普通方法是使用三模或更多模冗余度(TMR)。这通常用在核、空间及军事用途中。具有TMR逻辑电路,借助于多数投票方案允许容错。如果多数冗余逻辑电路没有故障,则***将执行其功能。不幸地是,如果与少数相比多数出错,则***将把差错用在其功能中。
如果允许故障在TMR***中累积,则它可能有灾难性结果。具体地说,如果它被应用于安全关键用途,则***可能在其功能中失效以在问题成为关键之前使***关机或采取适当校正动作以消除问题。
可通过比较冗余逻辑电路之间的输出检测TMR逻辑电路中的故障。然而它不能检测未告知的故障,即在逻辑电路中不导致输出变化的故障。***中的未告知的故障直到运用具体逻辑功能才被发现。也就是说,直到具体逻辑路径被利用。
未告知的故障在核安全***中特别成问题,这些核安全***通常处于“等待”位置,其中没有输入或输出改变状态。安全***可能保持在这种状态下一段时间,允许未告知的故障积累。未告知的故障可能搁置未检测达数周、数月、或甚至数年。
将TMR添加到***上固有地增加了复杂性,该复杂性降低了整体可靠性。通过添加的辅助逻辑和编程而增加维护。添加辅助冗余模块(4个或更多个)将通过降低它们积累的概率并影响投票逻辑来改进防止未告知的故障,但以成比例降低可靠性和增加复杂性为代价。
发明内容
本发明针对创建高完整性逻辑电路并监视它们以检验它们的正确操作的方法。具体地说,该方法针对建立并行逻辑电路核心,其中,通过由冗余校验器比较在关键位置处等效的并行路径来检测故障。任何误匹配将导致预定故障自动防护操作模式。另外,开发了定期运用各个并行路径以保证在不干扰被监视或控制的任何过程的同时逻辑电路路径按将暴露未告知的故障的方式被运用的方法。
附图说明
图1表示利用冗余校验器的两个并行核心的实施的图示说明。
图2和3表示利用冗余校验器的两个并行核心的实施的另一个图示说明。
图4表示本发明的内置自测试的重要细节。
具体实施方式
本发明的主要目的是提供一种高度可靠的逻辑电路,该高度可靠的逻辑电路保证在被调用时可执行预期的任务。
本发明的另一个目的是提供一种用于设计故障自动防护逻辑电路的方法,这些故障自动防护逻辑电路在诸如PAL、CPLD、ASIC、门阵列、或FPGA之类的单个逻辑装置内被实施。可选择地和同样地,逻辑电路在单个印刷电路板(PCB)上的多个逻辑装置的组合中被实施。可选择地和同样地,它们在多个具有一个或多个诸如PAL、CPLD、FPGA、ASIC、或门阵列之类的逻辑装置的印刷电路板的组合中被实施。
本发明可以通过具有能够执行任务的多个并行***,在应用级下结合有冗余性和/或容错。一种方法是具有能够执行任务的两个或更多个并行***。如果这些***中的一个失效,并且进入故障自动防护状态,则其它***保持能够执行任务。改进完整性的另一种方法是具有三个或更多个并行逻辑电路核心,其中,两个用于提供故障自动防护操作,并且第三逻辑核心在测试模式下离线。核心然后被定期地循环,使得至少两个核心始终在线,并且一个始终正在被测试。可选择地,建立测试计划,使得所有核心都正常在线,并且定期地,一个核心被迫离线用于进行测试。
并行逻辑核心被准确地复制,或者它们被类似地复制以执行相同任务。在后一种情况下,核心是互异地复制的核心或并行互异的核心。
本发明适用于工业过程监视和控制。本发明特别针对安全关键控制***,包括核电站反应堆保护***,在这里可靠性和完整性是最重要的。
任一逻辑电路易受诸如下面之类的差错:
1.由宇宙射线或高能质子引起的单粒子效应(SEE)、引起逻辑中的瞬时脉冲的单粒子翻转(SEU)、存储器单元和寄存器中的位翻转、及单粒子锁定(SEL)。
2.静电放电(ESD)和电过载(EOS)。
3.由装置故障、装置设计故障、或过热引起的闪烁单元衰变/故障。
4.制造故障和/或老化相关故障,如氧化故障,金属层故障,电子迁移,焊线腐蚀,来自水分、或在过程中使用的化学物的污染影响等。
在安全关键***中,如在核电站中,以上项越来越受关注和重视。
对于所有以上故障常见的是,它们通常按时间和位置随机地发生,并且典型地仅影响一个或少量晶体管。这些差错可能引起重大问题。
本发明描述了一种用于设计逻辑电路的方法,其中,按其中不会不利地影响其它相关***的方式,自动地检测和减轻故障。
本发明保证最少增加复杂性,并且以最少的维护增加整体可靠性。
本发明可以与容错方案相结合。
本发明的一个实施例是如下三种技术的结合:
1.使用并行冗余核心以保证所有故障立即由冗余校验器检测和隔离。
2.使用内置自测试引擎以运用核心内的关键功能从而防止未告知的故障。如果故障在实际使用之前未被检测到,则故障是未告知的故障。
3.与外部通信的并行冗余核心接口固有地由如下保护:
a)通过冗余性或循环冗余校验(CRC)保护串行或并行接口。
b)对于输入的‘翻转测试(toggletest)’。翻转测试是一种保证输入电路和它们的连接起作用的方法。该测试典型地包括将输入与源装置断开并且将测试输入信号施加到逻辑电路上。如果输入反映测试输入,则可确定输入电路是在起作用。
c)输出的独立读回。这是一种通过包括到输入的反馈检验输出的状态的独立方法。例子会是通过检验继电器在通过使用继电器上的备用触点来驱动输入而被请求时事实上被致动。为了按这种方式进行检验,各种其它模拟和数字输出可以串联或并联地连线到输入上。
在本发明的优选实施例中,内置自测试(BIST)结构被放置在可编程逻辑装置上,并且其功能按不影响逻辑电路输出的方式被执行。BIST的重要特征是暴露并行核心中的任何未告知的故障。BIST具有如下重要功能:
1.BIST引擎通过施加伪随机输入激励来测试并行核心。
2.BIST引擎通过施加计划或编程的输入激励序列来测试并行核心。
3.它测试所有状态转移和输出组合。
4.它检验并行核心执行其任务的能力。
5.它完成以上的任何单一项或组合。
另外,在一个实施例中,BIST通过如下测试并行核心:
1.监视来自核心的关键内部状态。
2.监视来自核心的关键输出。
3.通过在选中的位置处比较,相对于彼此测试两个冗余核心。
4.将来自每个并行核心的内部状态‘累计’成校验和。
5.将来自每个并行核心的输出响应‘累计’成校验和。
6.它完成以上的任何单一项或组合。
在重要的实施例中,BIST检验并行核心所借助的测试方法是:
1.将并行核心之一置于测试模式,使得它不影响任何输入或输出的状态,
2.对于被测试的核心禁用冗余校验器,
3.将一组预定输入施加到如以前描述的那样被测试的核心中的至少一个输入或内部状态上。
4.通过相对于校验和、或相对于预定的图案监视内部状态变化和核心输出,检验核心对输入的响应。
5.将核心和禁用的冗余校验器恢复到正常操作。
BIST检验并行核心所借助的另一个实施例测试方法是:
1.将逻辑电路置于测试模式,其中,任何输出的状态不受影响。
2.将一组相同的预定输入施加到所有并行核心上,如以前描述的那样,
3.由冗余校验器检验所有并行核心的响应。
在优选的实施例中,存在多个屏障,以保证在冗余差错发生之后逻辑电路不能继续操作。在电站保护环境中,故障自动防护信号被发送到所有受影响的并行核心,以停止所有操作。所有适当起作用的核心将服从这个信号并且停止操作。引起该条件的误匹配的并行核心中的一个因为引起差错的相同原因可能不能够服从该信号。为了解决这点:
1.按其中并行核心必须匹配以便成功的方式,构造与其它***的通信。这样,失效的逻辑电路不能将错误数据传送到未受影响的/相关的***。这由如下进行:
a)通信数据的AND(与)或OR(或)门,以故意创建无效CRC校验和。
b)AND门ON(通)通信数据输出启用。这防止数据被传输。
本发明的优选实施例是利用FPGA实施基本控制功能。在其它的实施例中,使用FPGA的替代物,这些替代物包括ASIC(专用集成电路)、CPLD(复杂可编程逻辑器件)、门阵列、及PAL(可编程阵列逻辑)。这些装置一般被叫做可编程逻辑装置、复杂逻辑装置、或逻辑装置。所有这些装置都可以通过适当编程被利用,以在不使用可执行软件的情况下操作。由这些装置管理的***可被描述成基于硬件的***。
逻辑装置利用逻辑被编程,该逻辑是基于给定用途的要求可定制的,并且包含任何类型的数字构建块,该数字构建块典型地包括:AND门、OR门、XOR(异)门、触发器(D、JK、SR)、计数器、计时器、乘法器、及有限状态机(FSM)。当被适当地编程时,逻辑装置将按高度可预测的、大体确定性的方式表现。
在重要的实施例中,逻辑电路按寄存器传输级被描述,该寄存器传输级包括诸如Verilog或VHDL之类的硬件描述语言、和示意捕获。由冗余核心复制整个逻辑电路、或逻辑电路的关键功能。到核心的输入按保证输入无错地被传输到内部核心寄存器的方式被设计。
逻辑电路将接收外部输入。到逻辑电路的输入可以包括如下任何一种:用冗余性保护的串行接口、离散输入、或数字化模拟值。关键输入由冗余测试、XOR翻转测试、CRC和/或外部环回测试保证。任何输入测试按不影响输入数据的方式被实施。典型的输入电路包括:总线通信电路(串行或并行)、数字信道(串行或并行)、通信电路(串行或并行)、数字电路(串行或并行)、及数字化模拟电路。
来自并行核心的输出按保证输出起作用的方式被设计。该保证来自冗余测试、XOR翻转测试、CRC和/或外部环回测试。外部环回测试是通过将输出信号路由回输入的输出信号的独立检验。输出信号然后与实际测得的值相比较。典型的输出电路包括:总线通信电路(串行或并行)、数字信道(串行或并行)、通信电路(串行或并行)、数字电路(串行或并行)、及数字化模拟电路。
来自逻辑电路的I/O典型地包括如下重要特征:
1.用冗余性保护的串行或并行接口。
2.来自冗余核心的串行或并行接口由CRC中的冗余校验器进行AND或OR运算,以保证当由于通信中的CRC故障而发生故障时,到其它***的所有通信都将停止。
3.来自离散输入的输入。
4.离散输出,它们可驱动继电器、固态继电器、现场部件、或其它***输入。
5.关键输出由这样的手段测试,如
a)由冗余性保证的手段,
b)XOR翻转测试,
c)CRC,及
d)外部环回测试。
输出测试按不引起不期望的现场致动的方式被实施。
在优选的实施例中,BIST由如下方式被实施:
1.被设计成运用关键功能,如有限状态机中遍历所有状态,或者仅一组特定状态。
2.为了满意操作,确定和测试逻辑电路的关键功能。这可以包括电路的所有功能。
3.按在逻辑电路中可没有固定型故障的方式,注入测试输入信号。
4.按不影响输出的这样一种方式被设计。这可以由如下方式进行:
a)在测试期间冻结输出,或者
b)在其中输出未被更新的时段中执行测试。
5.通过如下方式检验逻辑电路的操作:
a)使BIST引擎通过监视内部状态和核心输出来检验功能性,该内部状态即为在核心中也叫做关键状态的关键值或寄存值。数据压缩形式可以用于基于BIST输入刺激来简化核心输出或内部状态条件。
b)使多个BIST引擎在冗余核心之间运行同步例行程序。在这种情况下,BIST引擎不需要检验输出。这将由冗余校验器进行,该冗余校验器可在关键点处比较两个核心,或者为了匹配比较两个核心的输出。
6.在完成BIST时,将逻辑电路恢复到其适当状态。也就是说,将被测试的任何并行核心恢复到正常操作。
在优选的实施例中,冗余校验器逻辑电路用于确定逻辑电路是否有故障,并且将逻辑电路置于故障自动防护状态。冗余校验器监视逻辑电路结构中的关键冗余校验点,也就是说,将来自具体电路的信号-该具体电路来自冗余逻辑核心中的每一个,连线到冗余校验器逻辑电路上。冗余校验器然后通过将来自用于准确匹配的冗余核心的每一个的两个信号相比较,寻找两个核心之间的差异。如果值不匹配,则检测到冗余故障(即差错)。另外,通过比较关键信号(即,关键数据)来实施冗余校验器,这些关键信号优选地包括关键内部状态和输出两者。
在优选的实施例中,并且因为***是基于硬件的,所以在并行冗余核心之间不应该有误匹配。它们在精确相同的时刻接收相同的输入,并且核心将按完全同步方式操作。
通过监视来自每个冗余核心的内部状态和输出,冗余校验器将立即检测关键功能的状态变化,如由核心因为故障而产生的意外致动信号。在冗余校验器不减轻该故障和强迫逻辑电路进入故障自动防护状态的情况下,故障会传播到相关***,并且引起不期望的设备瞬变。
在优选的实施例中,由冗余校验器监视的逻辑电路的关键功能包括:逻辑判定、极限校验、状态机、检测逻辑、及控制逻辑。
在本发明的另一个重要实施例中,并行核心未被准确地复制。也就是说,并行核心完成相同的任务或功能,但在设计上相异。核心被说成是并行相异核心。相异性可通过程序如何被物理地放置在FPGA内而建立,例如通过改变如何使用互连资源,或者因为在给予相同工作任务的程序设计员之间的微小编程差别。如果在实施中使用不同的逻辑装置,例如不同的FPGA零售商或使用执行逻辑部分的微处理器,则相异性可能会非常大。
相异性是保证编程差错将不影响操作的整体安全性的非常重要的操作安全特征。两个、三个、或更多个核心可以由两个或更多个程序设计员独立地编程。为了增强相异性,不同的程序设计员被指派给采取不同的方法,甚至关于相当直接的编程任务。保证相异性或不同实施的方法包括相异的状态编码、“独热码(onehot)”对“葛莱码”、利用或不利用分级优化、利用或不利用平面化、及在复杂逻辑装置上如何布置程序。
在利用并行相异核心的情况下,冗余校验器比较来自核心内的选中点的值、来自输出点的值、或两者。
在本发明的一个实施例中,相异性可扩展成包括使用具有可执行软件的微处理器,该微处理器与没有使用可执行软件的基于FPGA的***并行。例如,可在逻辑装置中实施一个并行核心,并且在基于软件的处理器装置中实施另一个并行核心。然后使用冗余校验器来查看来自两个核心的输出,以监视误匹配。
在基于软件的并行核心的情况下,内置自测试会包括如下特征:通过使用监控器、运行时间断定及自测试的组合来保证正确操作和未告知的故障的检测。在优选的实施例中,基于软件的BIST会被设计成,通过使用已经描述的技术,如运用关键功能、注入测试输入信号、在测试期间冻结输出、在其中不更新输出的时段中执行测试、检验处理器的操作、及通过监视关键码值或寄存器来检验功能性,来测试处理器。在完成BIST时,将处理器被恢复到其适当状态。
图1表示利用冗余校验器的两个并行核心的实施的图示说明。第一CORE(核心)A101和第二COREB102是逻辑电路的并行和冗余代表。已经描述的REDUNDANCYCHECKER(冗余校验器)电路103用于检验核心的完整性操作。BIST104、105表示成核心结构中的每一个的一部分,但可选择地和同样地,可分别表示。整个逻辑电路结构在单个FPGA106或其它逻辑装置内。可选择地,逻辑电路可被放置在多个逻辑装置上。由COREA和COREB接收相同的输入,并且由REDUNDANCYCHECKER监视它们的输出以便准确匹配。从FPGA输出来自两个核心的输出、以及来自REDUNDANCYCHECKER的故障自动防护信号。使用输出故障自动防护门,但在图1中未表示。在图2中描述了该特征。
图2表示利用冗余校验器的另一个实施例的两个并行核心的实施。两个并行冗余核心215、225用于实施逻辑电路。示出了冗余核心的另外细节,这些另外细节包括:输入寄存器210、220、输出寄存器211、221及内置自测试(BIST)特征214、224。冗余校验器205用于可靠性和差错校验并激活故障自动防护模式203。冗余核心的一部分是关键功能212、222,其中存在关键状态213、223变量或信息。该信息用于通过冗余校验器205进行差错校验,如表示的那样。
输入201流到并行输入寄存器210、220中。输入由根据***设计的逻辑电路使用,并且更新输出寄存器211、221。核心输出然后从输出寄存器流过输出故障自动防护门204,在这里它然后被组合,并且成为用于***的输出202。这是GateON通信数据输出启用。当存在检测到故障的冗余校验器时,这防止数据传输。当检测到差错时,由冗余校验器205激活输出故障自动防护203,以警告***。故障自动防护可以是继电器触点闭合、报警、或某种通信。整个逻辑电路200被驻留在单个逻辑装置上,如在PAL、CPLD、FPGA、ASIC、或门阵列上。可选择地,逻辑电路可被放置在多个逻辑装置上。
图2是与图1相似的冗余校验器的另一个实施例。在图2中,冗余校验器为了比较另外利用每个冗余核心内的关键状态(即,值)。该辅助信息用于快速揭露未告知的故障。
在这种情况下的BIST正在监视自测试中的冗余核心。
类似地,图3示出冗余校验器的另一个实施例。两个并行冗余核心315、325用于实施逻辑电路,该逻辑电路利用:输入寄存器310、320、输出寄存器311、321及内置自测试(BIST)特征314、324。冗余校验器305用于可靠性和差错校验并激活故障自动防护模式303。冗余核心的一部分是关键功能312、322,其中存在关键状态313、323变量或信息。该信息用于通过冗余校验器305进行差错校验,如表示的那样。
类似地,如以前那样,输入301流到并行输入寄存器310、320中。输入由根据***设计的逻辑电路使用,并且更新输出寄存器311、321。核心输出然后从输出寄存器流过输出故障自动防护门304,在这里它然后被组合,并且成为用于***的输出302。当检测到差错时,输出故障自动防护303由冗余校验器305激活,以警告***。整个逻辑电路300驻留在单个逻辑装置上。可选择地,逻辑电路可被放置在多个逻辑装置上。
在这种情况下的BIST在自测试中另外使用关键状态和输出寄存器。
图4表示典型的内置自测试(BIST)314的重要细节。在这种情况下,图4是来自图3的另外细节。来自冗余核心315和关键状态313的输出寄存器值被输入到输出检验例行程序401,该输出检验例行程序401转到BIST有限状态机(FSM)402。BIST由FSM控制。当由操作器、计时器、或事件激活时,BIST将产生输入激励,或者作为随机序列或者作为编程序列403到输入寄存器310。BIST监视冗余核心、冗余核心输出、及关键状态,以检验正确操作。该检验包括:相对于存储基准进行比较、相对于另一个冗余核心进行比较、或产生监视输出的校验和及相对于基准校验和检验这个校验和。
本发明的优选实施例是,在逻辑电路的正常操作期间实施BIST。也就是说,在逻辑电路正在执行其任务的同时,激活BIST。这在不影响其它***或输出的情况下由包括如下方面的方法进行:
1.在测试期间冻结输出。
2.在其中未更新输出的时段期间执行测试。
3.将并行核心之一置于专门测试模式;将它隔离,使得它不影响任何输入或输出的状态;及禁用与被测试的核心有关的冗余校验器。
用于逻辑电路的典型任务是,根据设计在输入与输出之间提供处理功能。设计可以是预备状态、或诸如电站保护***中的安全相关功能中的一种。如果设计是过程控制,则它可能涉及更多。
逻辑电路任务也可以包括与控制电路接口。这些控制电路包括外部逻辑、判定、检测、及控制电路。这些电路在过程控制和安全相关设备判定中是常见的。它们可以是二进制(通/断)类型的电路,或者它们可以相关控制电路,这些相关控制电路包括传感器、开关、过程控制器、及执行器。它们可以是基于继电器的***和对于其它计算机化***的接口的一部分。
在本发明的另一个实施例中,冗余校验器没有被布置在其中布置并行核心的逻辑装置上。冗余校验器被独立地布置在另一个逻辑装置上。它然后由通信路径连接到核心的输出上,以便提供冗余校验。冗余校验器然后如图1-3中描述的那样,通过提供故障自动防护信号等进行操作。
在优选的实施例中,本发明基于硬件平台而不是基于软件的微处理器***。与基于软件的微处理器***体系构造显著不同的是,通过在逻辑装置中实施逻辑电路,由此消除可执行软件、和与基于软件的微处理器***相关的问题,如软件共模故障。它提供一种适用于安全关键控制***的高度可靠的***,这些安全关键控制***包括在核电站中的反应堆保护***。
尽管已经描述了本发明的各个实施例,但对于本领域的技术人员来说,对于各种操作方法可以修改和调整本发明。因此,本发明不限于这里表示的描述和附图,并且包括由权利要求书的范围包含的所有这样的实施例、变更、及修改。
Claims (3)
1.一种高完整性逻辑电路(200),包括:
a.多个并行核心(215,225),其中,所述并行核心用于实施所述逻辑电路的关键功能,
b.其中,所述并行核心(215,225)是冗余的或相异的,
c.冗余校验器(205),其中,所述冗余校验器用于:
i.检验在第一并行核心(215)的输入(201)和输出(202)之间的第一并行核心(215)内的多个值(213)是否与在第二并行核心(225)的输入(201)和输出(202)之间的第二并行核心(225)内的多个值(223)相匹配,并且
ii.根据预定标准,将所述逻辑电路(200)激活到故障自动防护状态(203),
d.其中,所述逻辑电路(200)与多个输入(201)和多个输出(202)连接,
e.其中,所述逻辑电路执行与所述输入(201)和所述输出(202)相关的任务,其中所述任务是安全关键功能,
f.其中,在所述逻辑电路(200)与所述输入(201)和所述输出(202)之间的通信由从包括如下的组中选择的至少一项保护:
i.冗余性,
ii.循环冗余校验,
iii.对于所述输入的翻转测试,及
iv.对于所述输出的读回,
g.内置自测试(BIST214,BIST224),其中,所述内置自测试用于暴露任一所述并行核心中的未告知的故障,
h.其中,在所述逻辑电路(200)执行所述任务的同时,定期或连续地执行所述内置自测试(BIST214,BIST224),
i.其中,所述逻辑电路(200)的所述关键功能(212,222)大体上在至少一个逻辑装置(215,225)内被实施,及
j.其中,所述至少一个逻辑装置(215,225)被实施成免于使用可执行软件。
2.根据权利要求1所述的高完整性逻辑电路(200),其中,所述冗余校验器(205)被布置在来自所述并行核心(215,225)的分离的逻辑装置上,其中所述冗余校验器通过到所述并行核心的输出的通信路径而连接到所述并行核心,或者所述冗余校验器被布置在其中所述并行核心中的至少一个驻留的同一逻辑装置上。
3.根据权利要求1所述的高完整性逻辑电路(200),其中第一并行核心(215)内和第二并行核心(225)内的多个值(213,223)是所述逻辑电路的关键功能(212,222)的状态变化。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110166907.1A CN102841828B (zh) | 2011-06-21 | 2011-06-21 | 逻辑电路中的故障检测和减轻 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110166907.1A CN102841828B (zh) | 2011-06-21 | 2011-06-21 | 逻辑电路中的故障检测和减轻 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102841828A CN102841828A (zh) | 2012-12-26 |
| CN102841828B true CN102841828B (zh) | 2016-01-20 |
Family
ID=47369223
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110166907.1A Expired - Fee Related CN102841828B (zh) | 2011-06-21 | 2011-06-21 | 逻辑电路中的故障检测和减轻 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102841828B (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105393224B (zh) * | 2013-07-18 | 2018-10-19 | 恩智浦美国有限公司 | 故障检测装置及方法 |
| DE102014116484B4 (de) * | 2014-11-12 | 2019-02-14 | Infineon Technologies Ag | Signalverarbeitungssystem und Sensorsystem zum Bestimmen von Informationen über eine Bewegung eines Objekts |
| CN106528312B (zh) * | 2016-09-29 | 2019-07-12 | 北京广利核***工程有限公司 | 基于fpga的故障修复方法和装置 |
| US10802932B2 (en) * | 2017-12-04 | 2020-10-13 | Nxp Usa, Inc. | Data processing system having lockstep operation |
| EP3543870B1 (en) * | 2018-03-22 | 2022-04-13 | Tata Consultancy Services Limited | Exactly-once transaction semantics for fault tolerant fpga based transaction systems |
| US10628277B2 (en) * | 2018-03-29 | 2020-04-21 | Arm Ltd. | Device, system and process for redundant processor error detection |
| CN108710327B (zh) * | 2018-05-28 | 2020-09-11 | 湖北三江航天万峰科技发展有限公司 | 一种小型通用化多总线控制设备 |
| CN109782124B (zh) * | 2018-12-24 | 2021-07-23 | 国网江苏省电力有限公司苏州供电分公司 | 一种基于梯度下降算法的主配用一体化故障定位方法及*** |
| CN109839918B (zh) * | 2019-03-06 | 2020-10-27 | 中国核动力研究设计院 | 一种基于fpga的自诊断方法 |
| CN110134001A (zh) * | 2019-05-29 | 2019-08-16 | 山东省科学院激光研究所 | 一种具有冗余安全的异构双核电机伺服控制器及其冗余安全控制方法 |
| CN112925682B (zh) * | 2019-12-06 | 2024-02-02 | 澜起科技股份有限公司 | 具有内建自测试逻辑的测试装置及方法 |
| CN112526979B (zh) * | 2020-12-16 | 2023-06-09 | 中国兵器装备集团自动化研究所 | 一种多重冗余架构的串行通信接口诊断***及方法 |
| CN115389911B (zh) * | 2022-08-25 | 2023-04-14 | 北京物芯科技有限责任公司 | 芯片调度器故障判断方法、装置、电子设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1134559A (zh) * | 1994-12-28 | 1996-10-30 | 株式会社日立制作所 | 具有失效保护功能的控制器及其自动列车控制器和*** |
| US7870299B1 (en) * | 2008-02-06 | 2011-01-11 | Westinghouse Electric Co Llc | Advanced logic system |
-
2011
- 2011-06-21 CN CN201110166907.1A patent/CN102841828B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1134559A (zh) * | 1994-12-28 | 1996-10-30 | 株式会社日立制作所 | 具有失效保护功能的控制器及其自动列车控制器和*** |
| US7870299B1 (en) * | 2008-02-06 | 2011-01-11 | Westinghouse Electric Co Llc | Advanced logic system |
Non-Patent Citations (1)
| Title |
|---|
| SELF-CHECKING AND FAIL-SAFE LSIS BY INTRA-CHIP REDUNDANCY;Nobuyasu Kanekawa等;《PROCEEDINGS OF THE INTERNATIONAL SYMPOSIUM ON FAULT-TOLERANT COMPUTING》;19960625;第26卷;第426页,第428页第1栏第28-30行,第2栏第29-39行,第429页第2栏第22-27行,第430页第1栏、图1,3,5,7,9,10 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102841828A (zh) | 2012-12-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102841828B (zh) | 逻辑电路中的故障检测和减轻 | |
| US8117512B2 (en) | Failure detection and mitigation in logic circuits | |
| US5923830A (en) | Non-interrupting power control for fault tolerant computer systems | |
| CN102822807B (zh) | 控制计算机***及其控制方法和使用 | |
| US7877627B1 (en) | Multiple redundant computer system combining fault diagnostics and majority voting with dissimilar redundancy technology | |
| CN103984630B (zh) | 一种基于at697处理器的单粒子翻转故障处理方法 | |
| Dubrova | Fault tolerant design: An introduction | |
| EP2533154B1 (en) | Failure detection and mitigation in logic circuits | |
| US10078565B1 (en) | Error recovery for redundant processing circuits | |
| US20110246820A1 (en) | Microcomputer mutual monitoring system and a microcomputer mutual monitoring method | |
| CN107484430A (zh) | 一种用于核电厂的安全***及其操作方法 | |
| EP3373144B1 (en) | Method and computer system for fault tolerant data integrity verification of safety-related data | |
| CN108803557A (zh) | 具有信号链锁步的用于高完整性的功能安全应用的装置 | |
| Györök et al. | Duplicated control unit based embedded fault-masking systems | |
| CN117296066A (zh) | 用于监控运行中的量子计算机的设备和方法 | |
| Kumar et al. | Performance and cost benefit analysis of a hardware-software system considering hardware based software interaction failures and different types of recovery | |
| CA2689416C (en) | Control apparatus and control method | |
| Yi et al. | Method of improved hardware redundancy for automotive system | |
| Baig et al. | A low-overhead multiple-SEU mitigation approach for SRAM-based FPGAs with increased reliability | |
| Grunske | Transformational patterns for the improvement of safety properties in architectural specification | |
| KR101825568B1 (ko) | 논리 회로에서의 고장 검출 및 완화 | |
| Villalta et al. | Dependability in FPGAs, a review | |
| Venu et al. | A fail-functional automotive CPU subsystem architecture for mitigating single point of failures | |
| Eki et al. | Fail-operational EPS by distributed architecture | |
| EP3296874B1 (en) | Apparatus and associated method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160120 |