【技术实现步骤摘要】
本专利技术涉及芯片设计,特别是涉及一种soc系统及soc功能安全控制方法。
技术介绍
1、目前,随着汽车工业中电气化进程的不断推进,安装在道路车辆上的传统机械部件,逐渐被基于半导体元件的传感器、控制器和执行器所取代。组成上述半导体元件的系统级芯片(soc,system on chip),在车辆中被广泛用于域控制架构、区域控制架构中,也被广泛用于车身、底盘、动力、座舱、自动驾驶等车辆域的控制中。
2、对于道路车辆的电子/电气系统(e/e系统),引入了功能安全这一概念,并在汽车行业引入了iso 26262标准,用于评估安全相关e/e系统由于功能异常表现以及系统相互作用而引起的可能的危害。在iso 26262标准的第2版(2018版)中,增加了第11部分,作为对于iso 26262应用于半导体产品的指导。
3、iso 26262定义了对功能安全要求的分级,即“汽车安全完整性等级”(asil),分为a、b、c、d四个等级,其中asil d代表最高严格等级,asil a代表最低严格等级。iso 26262定义了安全机制,即为了保持预期功能或者达到/保持某种安全状态,由e/e系统的功能、要素或者其他技术来实施的技术解决方案,以探测并减轻/容许故障,或者控制/避免失效。安全机制应尽可能有效地防止单点故障(spf,single-point failure)或残余故障(rf,residual fault)的风险,以及潜伏故障(lf,latent fault)的风险。为了衡量整个系统中所应用的安全机制的有效性,iso 262
4、表1:不同asil等级下对于spfm、lfm、pmhf的要求
5、
6、与此同时,在iso 26262标准中,还提出了对于避免相关失效的要求。相关失效可能以级联、共因或其他方式,导致单个模块中的单点失效被扩散到系统的其他组件上,并阻止安全架构、安全机制发挥预期的效果。因此,需要进行相关失效分析,并基于分析结果优化设计以避免上述情况的发生。
7、由于车规soc的单芯片规模不断扩大,硅片面积、门数大大增加,同一工艺下的总失效率预期的计算结果也因而增加,给定asil等级下pmhf目标更难以达成。与此同时,随着ip数量和种类的增加,不同ip上安全机制的设计变得更加多样化。需要使用不同安全机制进行组合,以满足soc层级对于失效的覆盖指标,保证spfm和lfm依然能够达到给定asil等级的要求。安全机制之间、预期功能和安全机制之间的关系更加复杂,出现共因失效和级联失效的风险也有所增加。产品对于安全状态的要求更高,从故障安全,向故障可运行发展。芯片在出现故障时,而要对故障进行分类,并尽可能地在保证基本功能的前提下进行故障响应。
8、在soc产品的开发和集成方面,ip复用成为了设计公司所采取的常规方式。企业能够通过上述模式,利用模块化的设计快速进行集成并迭代产品。然而在车规产品领域,获得iso 26262认证的车规级ip显得价格昂贵,并且和消费级/工业级的同类产品相比,需要增加额外的设计考量。对于车规产品,在soc层级进行集成并实现功能安全设计时,通用安全架构的缺乏使得这个过程较为困难,可能潜在需要对外购的ip进行车规化定制,或在集成时增加合适的安全机制,才能使产品最终达到给定asil等级的要求。
9、在安全架构方面,对于符合asil d要求的高安全等级控制系统,传统方案常见使用冗余控制通道和表决器进行决策的方案,在多个冗余副本输出不同结果时,通过投票表决的方式决定控制逻辑输出。对于二通道架构,当两个通道的结果不同时,系统报警并进入安全状态;对于三通道架构,当一个通道的结果与另外两个通道不同时,选择另外两个通道的结果执行。在soc设计中,这样的架构会带来2倍甚至3倍以上的额外面积,增加了产品的功耗,并需要额外的时钟协调机制,增加了产品的复杂度,对产品的成本优化带来了负面影响。
10、因此,有必要提供一种soc系统及soc功能安全控制方法,以有效解决上述问题。
技术实现思路
1、本专利技术提供一种soc系统及soc功能安全控制方法。
2、本专利技术实施例提供一种soc系统,包括:soc芯片及外部器件,所述soc芯片与所述外部器件连接,所述外部器件用于为所述soc芯片供电及提供外部参考频率;其中:
3、所述soc芯片包括soc功能模块,所述soc功能模块包括多个soc功能单元,各所述soc功能单元用于配合实现车辆控制功能,各所述soc功能单元分别配置有本地安全机制单元,所述本地安全机制单元用于采集对应所述soc功能单元的故障信息;
4、所述soc芯片还包括安全岛模块,所述安全岛模块包括安全总线、监控和决策逻辑单元及多个故障管理模块,所述故障管理模块数量与所述soc功能单元数量相同且一一对应连接,所述故障管理模块还通过所述安全总线与所述监控和决策逻辑单元连接,所述故障管理模块用于接收对应本地安全机制单元的故障信息,并通过所述安全总线传输给所述监控和决策逻辑单元,所述监控和决策逻辑单元用于和所述外部器件配合处理故障事件。
5、优选地,多个所述soc功能单元分别包括:
6、处理单元,用于处理、执行各种指令、算法;
7、存储单元,用于存储程序和数据,提供快速的读写访问;
8、接口单元,用于提供高速、低速的i/o接口,以与外界进行通讯;
9、总线单元,用于传输数据信号、控制信号、中断和异常处理信号;
10、时钟单元,用于提供各ip所需的频率;
11、电源单元,用于管理各ip的电源供应和功耗;
12、数模转换单元,用于数字、模拟信号之间的转换。
13、优选地,所述安全总线配置为独立数据通道,仅用于传输所述故障信息。
14、优选地,所述soc芯片还包括检测单元,所述检测单元用于检测所述soc功能模块和所述安全岛模块是否发生共因失效和级联失效。
15、优选地,所述soc芯片包括第一物理隔离区域和第二物理隔离区域,所述第一物理隔离区域和所述第二物理隔离区域符合预设隔离约束规则,所述soc功能模块位于所述第一物理隔离区域,所述安全岛模块位于所述第二物理隔离区域。
16、优选地,所述安全总线还对所述故障信息进行分类;所述分类包括:
17、第一分类,为在子系统层级的可恢复故障,当所述监控和决策逻辑单元接收到属于所述第一分类的所述故障信息时,输出故障提示信息;
18、第二分类,为在子系统层级的不可恢复故障,当所述监控和本文档来自技高网...
【技术保护点】
1.一种SoC系统,其特征在于,包括:SoC芯片及外部器件,所述SoC芯片与所述外部器件连接,所述外部器件用于为所述SoC芯片供电及提供外部参考频率;其中:
2.根据权利要求1所述的SoC系统,其特征在于,多个所述SoC功能单元分别包括:
3.根据权利要求1所述的SoC系统,其特征在于,所述安全总线配置为独立数据通道,仅用于传输所述故障信息。
4.根据权利要求1所述的SoC系统,其特征在于,所述SoC芯片还包括检测单元,所述检测单元用于检测所述SoC功能模块和所述安全岛模块是否发生共因失效和级联失效。
5.根据权利要求1所述的SoC系统,其特征在于,所述SoC芯片包括第一物理隔离区域和第二物理隔离区域,所述第一物理隔离区域和所述第二物理隔离区域符合预设隔离约束规则,所述SoC功能模块位于所述第一物理隔离区域,所述安全岛模块位于所述第二物理隔离区域。
6.根据权利要求1所述的SoC系统,其特征在于,所述安全总线还对所述故障信息进行分类;所述分类包括:
7.根据权利要求1所述的SoC系统,其特征在于,所述外部器件
8.一种SoC功能安全控制方法,其特征在于,应用于如权利要求1至7任一项所述的SoC系统,所述方法包括:
9.一种SoC功能安全控制方法,其特征在于,应用于如权利要求1至7任一项所述的SoC系统,所述方法包括:
10.根据权利要求9所述的SoC功能安全控制方法,其特征在于,还包括若所述监控和决策逻辑单元在规定时间内接收到所述安全响应信息,则判断为对应所述SoC功能单元未发生故障并继续收集所述故障管理模块通过所述安全总线发送的信息。
...【技术特征摘要】
1.一种soc系统,其特征在于,包括:soc芯片及外部器件,所述soc芯片与所述外部器件连接,所述外部器件用于为所述soc芯片供电及提供外部参考频率;其中:
2.根据权利要求1所述的soc系统,其特征在于,多个所述soc功能单元分别包括:
3.根据权利要求1所述的soc系统,其特征在于,所述安全总线配置为独立数据通道,仅用于传输所述故障信息。
4.根据权利要求1所述的soc系统,其特征在于,所述soc芯片还包括检测单元,所述检测单元用于检测所述soc功能模块和所述安全岛模块是否发生共因失效和级联失效。
5.根据权利要求1所述的soc系统,其特征在于,所述soc芯片包括第一物理隔离区域和第二物理隔离区域,所述第一物理隔离区域和所述第二物理隔离区域符合预设隔离约束规则,所述soc功能...
【专利技术属性】
技术研发人员:傅翀,张雅芬,吴征,
申请(专利权)人:传智驿芯科技南京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。