專利名稱:邏輯電路中的故障檢測和減輕的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及一種用于設(shè)計(jì)高完整性邏輯電路的方法。本發(fā)明具體地針對安全相關(guān)控制系統(tǒng),這些安全相關(guān)控制系統(tǒng)包括核電站反應(yīng)堆保護(hù)系統(tǒng),在這里完整性和可靠性是最重要的。本發(fā)明特別針對在諸如PAL、CPLD、FPGA、ASIC、或門陣列(Gate Array)之類的邏輯裝置中、或在多個(gè)邏輯裝置的組合中實(shí)施這些方法。該邏輯裝置通常被安裝在印刷電路板上。
背景技術(shù):
其它人已經(jīng)試圖改進(jìn)計(jì)算機(jī)化系統(tǒng)中的任務(wù)關(guān)鍵邏輯部件的可靠性。例如,美國專利7,290, 169描述了一種核心級處理器鎖步系統(tǒng),其中,兩個(gè)微處理器并行地操作,并且它們各自提供被比較的外部輸出信號。微處理器意味著按鎖步(Iockst印)操作,也就是說,按緊密協(xié)調(diào)方式操作,使得它們的輸出將按可靠的方式匹配。在實(shí)際應(yīng)用中,該方法對于安全關(guān)鍵系統(tǒng)具有許多問題。難以將微處理器完全保持在鎖步中。在系統(tǒng)中可能有未發(fā)現(xiàn)的故障,直到系統(tǒng)被實(shí)際使用。美國專利7,237,144提供類似的操作想法和困難,但提供離芯片鎖步校驗(yàn)以抗擊“軟差錯(cuò)”。它具有剛才描述的相同困難。美國專利6,233,702描述了一種復(fù)雜的多處理器系統(tǒng),該多處理器系統(tǒng)通過采用硬件(例如,故障功能、采用冗余性)和使用軟件技術(shù)(速錯(cuò),例如采用借助于高數(shù)據(jù)完整性硬件的軟件恢復(fù))來提供容錯(cuò)數(shù)據(jù)處理。差錯(cuò)校驗(yàn)明確地避免了利用在并行處理器之間比較關(guān)鍵數(shù)據(jù)點(diǎn)的冗余度,并且代之以僅比較按較慢速率如在I/o點(diǎn)處或在主存儲器中操作的點(diǎn)。該設(shè)計(jì)過度復(fù)雜,并且具有與將簡短討論的未告知的差錯(cuò)有關(guān)的問題。它是基于軟件的系統(tǒng),具有也將簡短討論的問題。美國專利7,134,104描述了一種通過創(chuàng)建邏輯功能的至少三個(gè)并行拷貝、并然后使用投票方案以確定任一具體拷貝是否有錯(cuò)來改進(jìn)FPGA中的容錯(cuò)的方法。盡管該方法大體上改進(jìn)了容錯(cuò),但它對于安全關(guān)鍵環(huán)境不是一種滿意的方案,在這里不能確定多數(shù)票始終是無故障結(jié)果。美國專利5,144,230描述了一種通過叫做循環(huán)挪用(cycle stealing)的方法的自測試電路。當(dāng)不要求輸出信號執(zhí)行其正常功能時(shí),通過選擇性地施加測試輸入信號來測試來自‘測試下的電路’的輸出信號。盡管這是一種校驗(yàn)處理器的可能方法,但測試沒有提供防止影響相關(guān)系統(tǒng)的故障的任何保護(hù)。當(dāng)使用并行冗余性時(shí),表決器方案用于確定無故障結(jié)果。這些方法對于其中期望高度可靠的系統(tǒng)的安全關(guān)鍵環(huán)境是不可接受的。美國申請2007/0022348描述了并行鎖步核心,這些并行鎖步核心與US7,290,169已經(jīng)描述的相似,不同之處在于,來自核心的中間值也與輸出一道進(jìn)行比較。然而,該系統(tǒng)具有將兩個(gè)核心保持在鎖步中的所有問題。例如,當(dāng)有差錯(cuò)時(shí),高速緩沖存儲器必須被加載到系統(tǒng)存儲器中,以保證保持發(fā)生鎖步。當(dāng)有系統(tǒng)或編程變化時(shí),高速緩沖存儲器必須被保持并且在正在進(jìn)行的基礎(chǔ)上被檢驗(yàn)。系統(tǒng)也是基于軟件的。現(xiàn)有技術(shù)中有提供一種高度可靠的系統(tǒng)的需要,該高度可靠的系統(tǒng)不是基于軟件的系統(tǒng)。例如,在安全關(guān)鍵系統(tǒng)中,如在核電站保護(hù)系統(tǒng)中,由于潛在差錯(cuò)的性質(zhì),不期望依賴于可執(zhí)行軟件。軟件具有難以解決的固有操作問題。即使相對簡單的系統(tǒng)也要求顯著量的程序代碼。具體地說,在并行冗余系統(tǒng)由于故障條件可能同時(shí)失效的場合,軟件微處理器系統(tǒng)經(jīng)受共模故障。不管可能包括在軟件微處理器系統(tǒng)內(nèi)的冗余度,故障仍然可能偶然地影響不能正確地拾取無故障結(jié)果的足夠冗余功能,并且系統(tǒng)將經(jīng)歷共模故障。共模故障可以由單個(gè)故障或幾個(gè)故障導(dǎo)致。已知的是,在軟件的冗余拷貝在同一故障下失效時(shí),基于微處理器的系統(tǒng)易受共模故障。具體地說,共模故障使軟件微處理器系統(tǒng)在電站保護(hù)系統(tǒng)中是不期望有的。·為了本發(fā)明的目的,如下定義適用。故障是執(zhí)行要求的功能的能力的終止。也參見任務(wù)故障。故障可能直到下次測試未被告知和未被檢測到,這叫做未告知的故障。它們可能在發(fā)生的瞬時(shí)由任何數(shù)量的方法告知和檢測到,這叫做告知的故障。任務(wù)是項(xiàng)或系統(tǒng)的單一目標(biāo)、作業(yè)、或目的。任務(wù)故障是在規(guī)定極限內(nèi)無能力完成規(guī)定任務(wù)。關(guān)鍵功能是在邏輯電路中為了使它執(zhí)行其任務(wù)需要的功能。在安全相關(guān)控制系統(tǒng)中,高完整性系統(tǒng)將具有兩個(gè)關(guān)鍵特征I)它在被調(diào)用時(shí)將執(zhí)行其任務(wù)。當(dāng)出現(xiàn)預(yù)定組的輸入條件時(shí),任務(wù)將典型地是致動現(xiàn)場裝置。為了具有在被調(diào)用時(shí)執(zhí)行其任務(wù)的高度保證,未告知的故障在系統(tǒng)中一定不存在。未告知的故障可使系統(tǒng)在被調(diào)用其任務(wù)的時(shí)刻出故障。這意味著必須檢測和告知所有故障。2)必須避免由于邏輯電路故障造成的控制系統(tǒng)的意外致動。這些致動使現(xiàn)場裝置執(zhí)行它們的安全功能,這些安全功能常常是高成本的。為了做到這點(diǎn),所有故障在它們到達(dá)現(xiàn)場裝置之前必須被隔離抑制。用于提高在關(guān)鍵用途中使用的邏輯電路的可靠性和適用性的普通方法是使用三?;蚋嗄H哂喽?TMR)。這通常用在核、空間及軍事用途中。具有TMR邏輯電路,借助于多數(shù)投票方案允許容錯(cuò)。如果多數(shù)冗余邏輯電路沒有故障,則系統(tǒng)將執(zhí)行其功能。不幸地是,如果與少數(shù)相比多數(shù)出錯(cuò),則系統(tǒng)將把差錯(cuò)用在其功能中。如果允許故障在TMR系統(tǒng)中累積,則它可能有災(zāi)難性結(jié)果。具體地說,如果它被應(yīng)用于安全關(guān)鍵用途,則系統(tǒng)可能在其功能中失效以在問題成為關(guān)鍵之前使系統(tǒng)關(guān)機(jī)或采取適當(dāng)校正動作以消除問題??赏ㄟ^比較冗余邏輯電路之間的輸出檢測TMR邏輯電路中的故障。然而它不能檢測未告知的故障,即在邏輯電路中不導(dǎo)致輸出變化的故障。系統(tǒng)中的未告知的故障直到運(yùn)用具體邏輯功能才被發(fā)現(xiàn)。也就是說,直到具體邏輯路徑被利用。未告知的故障在核安全系統(tǒng)中特別成問題,這些核安全系統(tǒng)通常處于“等待”位置,其中沒有輸入或輸出改變狀態(tài)。安全系統(tǒng)可能保持在這種狀態(tài)下一段時(shí)間,允許未告知的故障積累。未告知的故障可能擱置未檢測達(dá)數(shù)周、數(shù)月、或甚至數(shù)年。將TMR添加到系統(tǒng)上固有地增加了復(fù)雜性,該復(fù)雜性降低了整體可靠性。通過添加的輔助邏輯和編程而增加維護(hù)。添加輔助冗余模塊(4個(gè)或更多個(gè))將通過降低它們積累的概率并影響投票邏輯來改進(jìn)防止未告知的故障,但以成比例降低可靠性和增加復(fù)雜性為代價(jià)。
發(fā)明內(nèi)容
本發(fā)明針對創(chuàng)建高完整性邏輯電路并監(jiān)視它們以檢驗(yàn)它們的正確操作的方法。具體地說,該方法針對建立并行邏輯電路核心,其中,通過由冗余校驗(yàn)器比較在關(guān)鍵位置處等效的并行路徑來檢測故障。任何誤匹配將導(dǎo)致預(yù)定故障自動防護(hù)操作模式。另外,開發(fā)了定期運(yùn)用各個(gè)并行路徑以保證在不干擾被監(jiān)視或控制的任何過程的同時(shí)邏輯電路路徑按將暴露未告知的故障的方式被運(yùn)用的方法。
圖I表示利用冗余校驗(yàn)器的兩個(gè)并行核心的實(shí)施的圖示說明。圖2和3表示利用冗余校驗(yàn)器的兩個(gè)并行核心的實(shí)施的另一個(gè)圖示說明。圖4表示本發(fā)明的內(nèi)置自測試的重要細(xì)節(jié)。
具體實(shí)施例方式本發(fā)明的主要目的是提供一種高度可靠的邏輯電路,該高度可靠的邏輯電路保證在被調(diào)用時(shí)可執(zhí)行預(yù)期的任務(wù)。本發(fā)明的另一個(gè)目的是提供一種用于設(shè)計(jì)故障自動防護(hù)邏輯電路的方法,這些故障自動防護(hù)邏輯電路在諸如PAL、CPLD, ASIC、門陣列、或FPGA之類的單個(gè)邏輯裝置內(nèi)被實(shí)施??蛇x擇地和同樣地,邏輯電路在單個(gè)印刷電路板(PCB)上的多個(gè)邏輯裝置的組合中被實(shí)施??蛇x擇地和同樣地,它們在多個(gè)具有一個(gè)或多個(gè)諸如PAL、CPLD, FPGA, ASIC、或門陣列之類的邏輯裝置的印刷電路板的組合中被實(shí)施。本發(fā)明可以通過具有能夠執(zhí)行任務(wù)的多個(gè)并行系統(tǒng),在應(yīng)用級下結(jié)合有冗余性和/或容錯(cuò)。一種方法是具有能夠執(zhí)行任務(wù)的兩個(gè)或更多個(gè)并行系統(tǒng)。如果這些系統(tǒng)中的一個(gè)失效,并且進(jìn)入故障自動防護(hù)狀態(tài),則其它系統(tǒng)保持能夠執(zhí)行任務(wù)。改進(jìn)完整性的另一種方法是具有三個(gè)或更多個(gè)并行邏輯電路核心,其中,兩個(gè)用于提供故障自動防護(hù)操作,并且第三邏輯核心在測試模式下離線。核心然后被定期地循環(huán),使得至少兩個(gè)核心始終在線,并且一個(gè)始終正在被測試??蛇x擇地,建立測試計(jì)劃,使得所有核心都正常在線,并且定期地,一個(gè)核心被迫離線用于進(jìn)行測試。并行邏輯核心被準(zhǔn)確地復(fù)制,或者它們被類似地復(fù)制以執(zhí)行相同任務(wù)。在后一種情況下,核心是互異地復(fù)制的核心或并行互異的核心。本發(fā)明適用于工業(yè)過程監(jiān)視和控制。本發(fā)明特別針對安全關(guān)鍵控制系統(tǒng),包括核電站反應(yīng)堆保護(hù)系統(tǒng),在這里可靠性和完整性是最重要的。任一邏輯電路易受諸如下面之類的差錯(cuò)I.由宇宙射線或高能質(zhì)子引起的單粒子效應(yīng)(SEE)、引起邏輯中的瞬時(shí)脈沖的單粒子翻轉(zhuǎn)(SEU)、存儲器單元和寄存器中的位翻轉(zhuǎn)、及單粒子鎖定(SEL)。2.靜電放電(ESD)和電過載(E0S)。3.由裝置故障、裝置設(shè)計(jì)故障、或過熱引起的閃爍單元衰變/故障。4.制造故障和/或老化相關(guān)故障,如氧化故障,金屬層故障,電子遷移,焊線腐蝕,來自水分、或在過程中使用的化學(xué)物的污染影響等。在安全關(guān)鍵系統(tǒng)中,如在核電站中,以上項(xiàng)越來越受關(guān)注和重視。對于所有以上故障常見的是,它們通常按時(shí)間和位置隨機(jī)地發(fā)生,并且典型地僅影響一個(gè)或少量晶體管。這些差錯(cuò)可能引起重大問題。本發(fā)明描述了一種用于設(shè)計(jì)邏輯電路的方法,其中,按其中不會不利地影響其它 相關(guān)系統(tǒng)的方式,自動地檢測和減輕故障。本發(fā)明保證最少增加復(fù)雜性,并且以最少的維護(hù)增加整體可靠性。本發(fā)明可以與容錯(cuò)方案相結(jié)合。本發(fā)明的一個(gè)實(shí)施例是如下三種技術(shù)的結(jié)合I.使用并行冗余核心以保證所有故障立即由冗余校驗(yàn)器檢測和隔離。2.使用內(nèi)置自測試引擎以運(yùn)用核心內(nèi)的關(guān)鍵功能從而防止未告知的故障。如果故障在實(shí)際使用之前未被檢測到,則故障是未告知的故障。3.與外部通信的并行冗余核心接口固有地由如下保護(hù)a)通過冗余性或循環(huán)冗余校驗(yàn)(CRC)保護(hù)串行或并行接口。b)對于輸入的‘翻轉(zhuǎn)測試(toggle test) ’。翻轉(zhuǎn)測試是一種保證輸入電路和它們的連接起作用的方法。該測試典型地包括將輸入與源裝置斷開并且將測試輸入信號施加到邏輯電路上。如果輸入反映測試輸入,則可確定輸入電路是在起作用。c)輸出的獨(dú)立讀回。這是一種通過包括到輸入的反饋檢驗(yàn)輸出的狀態(tài)的獨(dú)立方法。例子會是通過檢驗(yàn)繼電器在通過使用繼電器上的備用觸點(diǎn)來驅(qū)動輸入而被請求時(shí)事實(shí)上被致動。為了按這種方式進(jìn)行檢驗(yàn),各種其它模擬和數(shù)字輸出可以串聯(lián)或并聯(lián)地連線到輸入上。在本發(fā)明的優(yōu)選實(shí)施例中,內(nèi)置自測試(BIST)結(jié)構(gòu)被放置在可編程邏輯裝置上,并且其功能按不影響邏輯電路輸出的方式被執(zhí)行。BIST的重要特征是暴露并行核心中的任何未告知的故障。BIST具有如下重要功能I. BIST引擎通過施加偽隨機(jī)輸入激勵(lì)來測試并行核心。2. BIST引擎通過施加計(jì)劃或編程的輸入激勵(lì)序列來測試并行核心。3.它測試所有狀態(tài)轉(zhuǎn)移和輸出組合。4.它檢驗(yàn)并行核心執(zhí)行其任務(wù)的能力。5.它完成以上的任何單一項(xiàng)或組合。另外,在一個(gè)實(shí)施例中,BIST通過如下測試并行核心I.監(jiān)視來自核心的關(guān)鍵內(nèi)部狀態(tài)。2.監(jiān)視來自核心的關(guān)鍵輸出。3.通過在選中的位置處比較,相對于彼此測試兩個(gè)冗余核心。4.將來自每個(gè)并行核心的內(nèi)部狀態(tài)‘累計(jì)’成校驗(yàn)和。5.將來自每個(gè)并行核心的輸出響應(yīng)‘累計(jì)’成校驗(yàn)和。
6.它完成以上的任何單一項(xiàng)或組合。在重要的實(shí)施例中,BIST檢驗(yàn)并行核心所借助的測試方法是I.將并行核心之一置于測試模式,使得它不影響任何輸入或輸出的狀態(tài),2.對于被測試的核心禁用冗余校驗(yàn)器,3.將一組預(yù)定輸入施加到如以前描述的那樣被測試的核心中的至少一個(gè)輸入或內(nèi)部狀態(tài)上。4.通過相對于校驗(yàn)和、或相對于預(yù)定的圖案監(jiān)視內(nèi)部狀態(tài)變化和核心輸出,檢驗(yàn)核心對輸入的響應(yīng)。
·
5.將核心和禁用的冗余校驗(yàn)器恢復(fù)到正常操作。
·
BIST檢驗(yàn)并行核心所借助的另一個(gè)實(shí)施例測試方法是I.將邏輯電路置于測試模式,其中,任何輸出的狀態(tài)不受影響。2.將一組相同的預(yù)定輸入施加到所有并行核心上,如以前描述的那樣,3.由冗余校驗(yàn)器檢驗(yàn)所有并行核心的響應(yīng)。在優(yōu)選的實(shí)施例中,存在多個(gè)屏障,以保證在冗余差錯(cuò)發(fā)生之后邏輯電路不能繼續(xù)操作。在電站保護(hù)環(huán)境中,故障自動防護(hù)信號被發(fā)送到所有受影響的并行核心,以停止所有操作。所有適當(dāng)起作用的核心將服從這個(gè)信號并且停止操作。引起該條件的誤匹配的并行核心中的一個(gè)因?yàn)橐鸩铄e(cuò)的相同原因可能不能夠服從該信號。為了解決這點(diǎn)I.按其中并行核心必須匹配以便成功的方式,構(gòu)造與其它系統(tǒng)的通信。這樣,失效的邏輯電路不能將錯(cuò)誤數(shù)據(jù)傳送到未受影響的/相關(guān)的系統(tǒng)。這由如下進(jìn)行a)通信數(shù)據(jù)的AND (與)或OR (或)門,以故意創(chuàng)建無效CRC校驗(yàn)和。b)AND門ON(通)通信數(shù)據(jù)輸出啟用。這防止數(shù)據(jù)被傳輸。本發(fā)明的優(yōu)選實(shí)施例是利用FPGA實(shí)施基本控制功能。在其它的實(shí)施例中,使用FPGA的替代物,這些替代物包括ASIC(專用集成電路)、CPLD (復(fù)雜可編程邏輯器件)、門陣列、及PAL(可編程陣列邏輯)。這些裝置一般被叫做可編程邏輯裝置、復(fù)雜邏輯裝置、或邏輯裝置。所有這些裝置都可以通過適當(dāng)編程被利用,以在不使用可執(zhí)行軟件的情況下操作。由這些裝置管理的系統(tǒng)可被描述成基于硬件的系統(tǒng)。邏輯裝置利用邏輯被編程,該邏輯是基于給定用途的要求可定制的,并且包含任何類型的數(shù)字構(gòu)建塊,該數(shù)字構(gòu)建塊典型地包括=AND門、OR門、XOR(異)門、觸發(fā)器(D、JK、SR)、計(jì)數(shù)器、計(jì)時(shí)器、乘法器、及有限狀態(tài)機(jī)(FSM)。當(dāng)被適當(dāng)?shù)鼐幊虝r(shí),邏輯裝置將按高度可預(yù)測的、大體確定性的方式表現(xiàn)。在重要的實(shí)施例中,邏輯電路按寄存器傳輸級被描述,該寄存器傳輸級包括諸如Verilog或VHDL之類的硬件描述語言、和示意捕獲。由冗余核心復(fù)制整個(gè)邏輯電路、或邏輯電路的關(guān)鍵功能。到核心的輸入按保證輸入無錯(cuò)地被傳輸?shù)絻?nèi)部核心寄存器的方式被設(shè)計(jì)。邏輯電路將接收外部輸入。到邏輯電路的輸入可以包括如下任何一種用冗余性保護(hù)的串行接口、離散輸入、或數(shù)字化模擬值。關(guān)鍵輸入由冗余測試、XOR翻轉(zhuǎn)測試、CRC和/或外部環(huán)回測試保證。任何輸入測試按不影響輸入數(shù)據(jù)的方式被實(shí)施。典型的輸入電路包括總線通信電路(串行或并行)、數(shù)字信道(串行或并行)、通信電路(串行或并行)、數(shù)字電路(串行或并行)、及數(shù)字化模擬電路。
來自并行核心的輸出按保證輸出起作用的方式被設(shè)計(jì)。該保證來自冗余測試、XOR翻轉(zhuǎn)測試、CRC和/或外部環(huán)回測試。外部環(huán)回測試是通過將輸出信號路由回輸入的輸出信號的獨(dú)立檢驗(yàn)。輸出信號然后與實(shí)際測得的值相比較。典型的輸出電路包括總線通信電路(串行或并行)、數(shù)字信道(串行或并行)、通信電路(串行或并行)、數(shù)字電路(串行或并行)、及數(shù)字化模擬電路。來自邏輯電路的I/O典型地包括如下重要特征
I.用冗余性保護(hù)的串行或并行接口。 2.來自冗余核心的串行或并行接口由CRC中的冗余校驗(yàn)器進(jìn)行AND或OR運(yùn)算,以保證當(dāng)由于通信中的CRC故障而發(fā)生故障時(shí),到其它系統(tǒng)的所有通信都將停止。3.來自離散輸入的輸入。4.離散輸出,它們可驅(qū)動繼電器、固態(tài)繼電器、現(xiàn)場部件、或其它系統(tǒng)輸入。5.關(guān)鍵輸出由這樣的手段測試,如a)由冗余性保證的手段,b) XOR翻轉(zhuǎn)測試,c)CRC,及d)外部環(huán)回測試。輸出測試按不引起不期望的現(xiàn)場致動的方式被實(shí)施。在優(yōu)選的實(shí)施例中,BIST由如下方式被實(shí)施I.被設(shè)計(jì)成運(yùn)用關(guān)鍵功能,如有限狀態(tài)機(jī)中遍歷所有狀態(tài),或者僅一組特定狀態(tài)。2.為了滿意操作,確定和測試邏輯電路的關(guān)鍵功能。這可以包括電路的所有功能。3.按在邏輯電路中可沒有固定型故障的方式,注入測試輸入信號。4.按不影響輸出的這樣一種方式被設(shè)計(jì)。這可以由如下方式進(jìn)行a)在測試期間凍結(jié)輸出,或者b)在其中輸出未被更新的時(shí)段中執(zhí)行測試。5.通過如下方式檢驗(yàn)邏輯電路的操作a)使BIST引擎通過監(jiān)視內(nèi)部狀態(tài)和核心輸出來檢驗(yàn)功能性,該內(nèi)部狀態(tài)即為在核心中也叫做關(guān)鍵狀態(tài)的關(guān)鍵值或寄存值。數(shù)據(jù)壓縮形式可以用于基于BIST輸入刺激來簡化核心輸出或內(nèi)部狀態(tài)條件。b)使多個(gè)BIST引擎在冗余核心之間運(yùn)行同步例行程序。在這種情況下,BIST引擎不需要檢驗(yàn)輸出。這將由冗余校驗(yàn)器進(jìn)行,該冗余校驗(yàn)器可在關(guān)鍵點(diǎn)處比較兩個(gè)核心,或者為了匹配比較兩個(gè)核心的輸出。6.在完成BIST時(shí),將邏輯電路恢復(fù)到其適當(dāng)狀態(tài)。也就是說,將被測試的任何并行核心恢復(fù)到正常操作。在優(yōu)選的實(shí)施例中,冗余校驗(yàn)器邏輯電路用于確定邏輯電路是否有故障,并且將邏輯電路置于故障自動防護(hù)狀態(tài)。冗余校驗(yàn)器監(jiān)視邏輯電路結(jié)構(gòu)中的關(guān)鍵冗余校驗(yàn)點(diǎn),也就是說,將來自具體電路的信號-該具體電路來自冗余邏輯核心中的每一個(gè),連線到冗余校驗(yàn)器邏輯電路上。冗余校驗(yàn)器然后通過將來自用于準(zhǔn)確匹配的冗余核心的每一個(gè)的兩個(gè)信號相比較,尋找兩個(gè)核心之間的差異。如果值不匹配,則檢測到冗余故障(即差錯(cuò))。另夕卜,通過比較關(guān)鍵信號(即,關(guān)鍵數(shù)據(jù))來實(shí)施冗余校驗(yàn)器,這些關(guān)鍵信號優(yōu)選地包括關(guān)鍵內(nèi)部狀態(tài)和輸出兩者。在優(yōu)選的實(shí)施例中,并且因?yàn)橄到y(tǒng)是基于硬件的,所以在并行冗余核心之間不應(yīng)該有誤匹配。它們在精確相同的時(shí)刻接收相同的輸入,并且核心將按完全同步方式操作。通過監(jiān)視來自每個(gè)冗余核心的內(nèi)部狀態(tài)和輸出,冗余校驗(yàn)器將立即檢測關(guān)鍵功能的狀態(tài)變化,如由核心因?yàn)楣收隙a(chǎn)生的意外致動信號。在冗余校驗(yàn)器不減輕該故障和強(qiáng)迫邏輯電路進(jìn)入故障自動防護(hù)狀態(tài)的情況下,故障會傳播到相關(guān)系統(tǒng),并且引起不期望的設(shè)備瞬變。在優(yōu)選的實(shí)施例中,由冗余校驗(yàn)器監(jiān)視的邏輯電路的關(guān)鍵功能包括邏輯判定、極限校驗(yàn)、狀態(tài)機(jī)、檢測邏輯、及控制邏輯。在本發(fā)明的另一個(gè)重要實(shí)施例中,并行核心未被準(zhǔn)確地復(fù)制。也就是說,并行核心完成相同的任務(wù)或功能,但在設(shè)計(jì)上相異。核心被說成是并行相異核心。相異性可通過程序如何被物理地放置在FPGA內(nèi)而建立,例如通過改變?nèi)绾问褂没ミB資源,或者因?yàn)樵诮o予 相同工作任務(wù)的程序設(shè)計(jì)員之間的微小編程差別。如果在實(shí)施中使用不同的邏輯裝置,例如不同的FPGA零售商或使用執(zhí)行邏輯部分的微處理器,則相異性可能會非常大。相異性是保證編程差錯(cuò)將不影響操作的整體安全性的非常重要的操作安全特征。兩個(gè)、三個(gè)、或更多個(gè)核心可以由兩個(gè)或更多個(gè)程序設(shè)計(jì)員獨(dú)立地編程。為了增強(qiáng)相異性,不同的程序設(shè)計(jì)員被指派給采取不同的方法,甚至關(guān)于相當(dāng)直接的編程任務(wù)。保證相異性或不同實(shí)施的方法包括相異的狀態(tài)編碼、“獨(dú)熱碼(one hot)”對“葛萊碼”、利用或不利用分級優(yōu)化、利用或不利用平面化、及在復(fù)雜邏輯裝置上如何布置程序。在利用并行相異核心的情況下,冗余校驗(yàn)器比較來自核心內(nèi)的選中點(diǎn)的值、來自輸出點(diǎn)的值、或兩者。在本發(fā)明的一個(gè)實(shí)施例中,相異性可擴(kuò)展成包括使用具有可執(zhí)行軟件的微處理器,該微處理器與沒有使用可執(zhí)行軟件的基于FPGA的系統(tǒng)并行。例如,可在邏輯裝置中實(shí)施一個(gè)并行核心,并且在基于軟件的處理器裝置中實(shí)施另一個(gè)并行核心。然后使用冗余校驗(yàn)器來查看來自兩個(gè)核心的輸出,以監(jiān)視誤匹配。在基于軟件的并行核心的情況下,內(nèi)置自測試會包括如下特征通過使用監(jiān)控器、運(yùn)行時(shí)間斷定及自測試的組合來保證正確操作和未告知的故障的檢測。在優(yōu)選的實(shí)施例中,基于軟件的BIST會被設(shè)計(jì)成,通過使用已經(jīng)描述的技術(shù),如運(yùn)用關(guān)鍵功能、注入測試輸入信號、在測試期間凍結(jié)輸出、在其中不更新輸出的時(shí)段中執(zhí)行測試、檢驗(yàn)處理器的操作、及通過監(jiān)視關(guān)鍵碼值或寄存器來檢驗(yàn)功能性,來測試處理器。在完成BIST時(shí),將處理器被恢復(fù)到其適當(dāng)狀態(tài)。圖I表示利用冗余校驗(yàn)器的兩個(gè)并行核心的實(shí)施的圖示說明。第一 CORE(核心)A 101和第二 CORE B 102是邏輯電路的并行和冗余代表。已經(jīng)描述的REDUNDANCYCHECKER(冗余校驗(yàn)器)電路103用于檢驗(yàn)核心的完整性操作。BIST 104、105表示成核心結(jié)構(gòu)中的每一個(gè)的一部分,但可選擇地和同樣地,可分別表示。整個(gè)邏輯電路結(jié)構(gòu)在單個(gè)FPGA 106或其它邏輯裝置內(nèi)??蛇x擇地,邏輯電路可被放置在多個(gè)邏輯裝置上。由CORE A和CORE B接收相同的輸入,并且由REDUNDANCY CHECKER監(jiān)視它們的輸出以便準(zhǔn)確匹配。從FPGA輸出來自兩個(gè)核心的輸出、以及來自REDUNDANCYCHECKER的故障自動防護(hù)信號。使用輸出故障自動防護(hù)門,但在圖I中未表示。在圖2中描述了該特征。
圖2表示利用冗余校驗(yàn)器的另一個(gè)實(shí)施例的兩個(gè)并行核心的實(shí)施。兩個(gè)并行冗余核心215、225用于實(shí)施邏輯電路。示出了冗余核心的另外細(xì)節(jié),這些另外細(xì)節(jié)包括輸入寄存器210、220、輸出寄存器211、221及內(nèi)置自測試(BIST)特征214、224。冗余校驗(yàn)器205用于可靠性和差錯(cuò)校驗(yàn)并激活故障自動防護(hù)模式203。冗余核心的一部分是關(guān)鍵功能212、222,其中存在關(guān)鍵狀態(tài)213、223變量或信息。該信息用于通過冗余校驗(yàn)器205進(jìn)行差錯(cuò)校驗(yàn),如表示的那樣。輸入201流到并行輸入寄存器210、220中。輸入由根據(jù)系統(tǒng)設(shè)計(jì)的邏輯電路使用,并且更新輸出寄存器211、221。核心輸出然后從輸出寄存器流過輸出故障自動防護(hù)門204,在這里它然后被組合,并且成為用于系統(tǒng)的輸出202。這是Gate ON通信數(shù)據(jù)輸出啟用。當(dāng)存在檢測到故障的冗余校驗(yàn)器時(shí),這防止數(shù)據(jù)傳輸。當(dāng)檢測到差錯(cuò)時(shí),由冗余校驗(yàn)器205激活輸出故障自動防護(hù)203,以警告系統(tǒng)。故障自動防護(hù)可以是繼電器觸點(diǎn)閉合、報(bào)警、或某種通信。整個(gè)邏輯電路200被駐留在單個(gè)邏輯裝置上,如在PAL、CPLD, FPGA, ASIC、或門陣列上??蛇x擇地,邏輯電路可被放置在多個(gè)邏輯裝置上。圖2是與圖I相似的冗余校驗(yàn)器的另一個(gè)實(shí)施例。在圖2中,冗余校驗(yàn)器為了比 較另外利用每個(gè)冗余核心內(nèi)的關(guān)鍵狀態(tài)(即,值)。該輔助信息用于快速揭露未告知的故障。在這種情況下的BIST正在監(jiān)視自測試中的冗余核心。類似地,圖3示出冗余校驗(yàn)器的另一個(gè)實(shí)施例。兩個(gè)并行冗余核心315、325用于實(shí)施邏輯電路,該邏輯電路利用輸入寄存器310、320、輸出寄存器311、321及內(nèi)置自測試(BIST)特征314、324。冗余校驗(yàn)器305用于可靠性和差錯(cuò)校驗(yàn)并激活故障自動防護(hù)模式303。冗余核心的一部分是關(guān)鍵功能312、322,其中存在關(guān)鍵狀態(tài)313、323變量或信息。該信息用于通過冗余校驗(yàn)器305進(jìn)行差錯(cuò)校驗(yàn),如表示的那樣。類似地,如以前那樣,輸入301流到并行輸入寄存器310、320中。輸入由根據(jù)系統(tǒng)設(shè)計(jì)的邏輯電路使用,并且更新輸出寄存器311、321。核心輸出然后從輸出寄存器流過輸出故障自動防護(hù)門304,在這里它然后被組合,并且成為用于系統(tǒng)的輸出302。當(dāng)檢測到差錯(cuò)時(shí),輸出故障自動防護(hù)303由冗余校驗(yàn)器305激活,以警告系統(tǒng)。整個(gè)邏輯電路300駐留在單個(gè)邏輯裝置上??蛇x擇地,邏輯電路可被放置在多個(gè)邏輯裝置上。在這種情況下的BIST在自測試中另外使用關(guān)鍵狀態(tài)和輸出寄存器。圖4表示典型的內(nèi)置自測試(BIST)314的重要細(xì)節(jié)。在這種情況下,圖4是來自圖3的另外細(xì)節(jié)。來自冗余核心315和關(guān)鍵狀態(tài)313的輸出寄存器值被輸入到輸出檢驗(yàn)例行程序401,該輸出檢驗(yàn)例行程序401轉(zhuǎn)到BIST有限狀態(tài)機(jī)(FSM) 402。BIST由FSM控制。當(dāng)由操作器、計(jì)時(shí)器、或事件激活時(shí),BIST將產(chǎn)生輸入激勵(lì),或者作為隨機(jī)序列或者作為編程序列403到輸入寄存器310。BIST監(jiān)視冗余核心、冗余核心輸出、及關(guān)鍵狀態(tài),以檢驗(yàn)正確操作。該檢驗(yàn)包括相對于存儲基準(zhǔn)進(jìn)行比較、相對于另一個(gè)冗余核心進(jìn)行比較、或產(chǎn)生監(jiān)視輸出的校驗(yàn)和及相對于基準(zhǔn)校驗(yàn)和檢驗(yàn)這個(gè)校驗(yàn)和。本發(fā)明的優(yōu)選實(shí)施例是,在邏輯電路的正常操作期間實(shí)施BIST。也就是說,在邏輯電路正在執(zhí)行其任務(wù)的同時(shí),激活BIST。這在不影響其它系統(tǒng)或輸出的情況下由包括如下方面的方法進(jìn)行I.在測試期間凍結(jié)輸出。
2.在其中未更新輸出的時(shí)段期間執(zhí)行測試。3.將并行核心之一置于專門測試模式;將它隔離,使得它不影響任何輸入或輸出的狀態(tài);及禁用與被測試的核心有關(guān)的冗余校驗(yàn)器。用于邏輯電路的典型任務(wù)是,根據(jù)設(shè)計(jì)在輸入與輸出之間提供處理功能。設(shè)計(jì)可以是預(yù)備狀態(tài)、或諸如電站保護(hù)系統(tǒng)中的安全相關(guān)功能中的一種。如果設(shè)計(jì)是過程控制,則它可能涉及更多。邏輯電路任務(wù)也可以包括與控制電路接口。這些控制電路包括外部邏輯、判定、檢測、及控制電路。這些電路在過程控制和安全相關(guān)設(shè)備判定中是常見的。它們可以是二進(jìn)制(通/斷)類型的電路,或者它們可以相關(guān)控制電路,這些相關(guān)控制電路包括傳感器、開關(guān)、過程控制器、及執(zhí)行器。它們可以是基于繼電器的系統(tǒng)和對于其它計(jì)算機(jī)化系統(tǒng)的接口的一部分。在本發(fā)明的另一個(gè)實(shí)施例中,冗余校驗(yàn)器沒有被布置在其中布置并行核心的邏輯裝置上。冗余校驗(yàn)器被獨(dú)立地布置在另一個(gè)邏輯裝置上。它然后由通信路徑連接到核心的 輸出上,以便提供冗余校驗(yàn)。冗余校驗(yàn)器然后如圖1-3中描述的那樣,通過提供故障自動防護(hù)信號等進(jìn)行操作。在優(yōu)選的實(shí)施例中,本發(fā)明基于硬件平臺而不是基于軟件的微處理器系統(tǒng)。與基于軟件的微處理器系統(tǒng)體系構(gòu)造顯著不同的是,通過在邏輯裝置中實(shí)施邏輯電路,由此消除可執(zhí)行軟件、和與基于軟件的微處理器系統(tǒng)相關(guān)的問題,如軟件共模故障。它提供一種適用于安全關(guān)鍵控制系統(tǒng)的高度可靠的系統(tǒng),這些安全關(guān)鍵控制系統(tǒng)包括在核電站中的反應(yīng)堆保護(hù)系統(tǒng)。盡管已經(jīng)描述了本發(fā)明的各個(gè)實(shí)施例,但對于本領(lǐng)域的技術(shù)人員來說,對于各種操作方法可以修改和調(diào)整本發(fā)明。因此,本發(fā)明不限于這里表示的描述和附圖,并且包括由權(quán)利要求書的范圍包含的所有這樣的實(shí)施例、變更、及修改。
權(quán)利要求
1. 一種高完整性邏輯電路,包括 a.多個(gè)并行核心,其中,所述并行核心用于實(shí)施所述邏輯電路的關(guān)鍵功能, b.其中,所述并行核心是冗余的或相異的, c.冗余校驗(yàn)器,其中,所述冗余校驗(yàn)器用于 i.檢驗(yàn)來自第一并行核心的多個(gè)值是否與來自第二并行核心的多個(gè)值相匹配,并且 .根據(jù)預(yù)定標(biāo)準(zhǔn),將所述邏輯電路激活到故障自動防護(hù)狀態(tài), d.其中,所述邏輯電路與多個(gè)輸入和多個(gè)輸出連接, e.其中,所述邏輯電路執(zhí)行與所述輸入和所述輸出相關(guān)的任務(wù), f.其中,在所述邏輯電路與所述輸入和所述輸出之間的通信由從包括如下的組中選擇的至少一項(xiàng)保護(hù) i.冗余性, .循環(huán)冗余校驗(yàn), iii.對于所述輸入的翻轉(zhuǎn)測試,及 iv.對于所述輸出的讀回, g.內(nèi)置自測試,其中,所述內(nèi)置自測試用于暴露任一所述并行核心中的未告知的故障, h.其中,在所述邏輯電路執(zhí)行所述任務(wù)的同時(shí),定期或連續(xù)地執(zhí)行所述內(nèi)置自測試, i.其中,所述邏輯電路的所述關(guān)鍵功能大體上在至少一個(gè)邏輯裝置內(nèi)被實(shí)施,及 j.其中,所述至少一個(gè)邏輯裝置被實(shí)施成免于使用可執(zhí)行軟件。
2.根據(jù)權(quán)利要求I所述的高完整性邏輯電路,其中,所述冗余校驗(yàn)器被布置在來自所述并行核心的分離的邏輯裝置上,或者所述冗余校驗(yàn)器被布置在其中所述并行核心中的至少一個(gè)駐留的同一邏輯裝置上。
3.一種高完整性邏輯電路,包括 a.多個(gè)并行核心,其中,所述并行核心用于實(shí)施所述邏輯電路的關(guān)鍵功能,其中,所述并行核心是冗余的或相異的, b.冗余校驗(yàn)器,其中,所述冗余校驗(yàn)器用于所述并行核心中的差錯(cuò)檢測,包括 i.用于在所述并行核心之間的差異,和 .用于所述邏輯電路的關(guān)鍵功能的狀態(tài)變化, C.其中,對于任何所述差錯(cuò)檢測,所述冗余校驗(yàn)器將所述邏輯電路激活到故障自動防護(hù)狀態(tài), d.至少一種內(nèi)置自測試結(jié)構(gòu),其中,所述內(nèi)置自測試結(jié)構(gòu)暴露所述邏輯電路的關(guān)鍵功能中的故障, e.其中,所述邏輯電路的所述關(guān)鍵功能大體上在至少一個(gè)邏輯裝置內(nèi)被實(shí)施,及 f.其中,所述邏輯裝置被實(shí)施成免于使用可執(zhí)行軟件。
4.根據(jù)權(quán)利要求3所述的高完整性邏輯電路,其中,對于來自包括如下的組中的選擇,實(shí)施所述邏輯電路的所述關(guān)鍵功能 a.單個(gè)邏輯裝置, b.單個(gè)印刷電路板上的多個(gè)邏輯裝置,及 c.多個(gè)印刷電路板,在每個(gè)所述印刷電路板上具有至少一個(gè)邏輯裝置。
5.根據(jù)權(quán)利要求3所述的高完整性邏輯電路,其中,所述并行核心與輸入電路和輸出電路連接。
6.根據(jù)權(quán)利要求5所述的高完整性邏輯電路,其中 a.所述輸入電路包括從包括如下的組中選擇的至少一項(xiàng) i.串行總線通信電路, .并行總線通信電路, iii.串行數(shù)字信道,及 iv.并行數(shù)字信道, b.所述關(guān)鍵功能包括從包括如下的組中選擇的至少一項(xiàng) i.邏輯判定, .極限校驗(yàn),及 iii.狀態(tài)機(jī), c.所述輸出電路包括從包括如下的組中選擇的至少一項(xiàng) i.串行總線通信電路, .并行總線通信電路, iii.串行數(shù)字信道,及 iv.并行數(shù)字信道。
7.根據(jù)權(quán)利要求5所述的高完整性邏輯電路,其中 a.任一所述輸入電路包括從包括如下的組中選擇的至少一項(xiàng) i.串行通信電路, .并行通信電路, iii.串行數(shù)字電路, iv.并行數(shù)字電路,及 V.數(shù)字化模擬電路, b.其中,任一所述輸出電路包括從包括如下的組中選擇的至少一項(xiàng) i.串行通信電路, .并行通信電路, iii.串行數(shù)字電路, iv.并行數(shù)字電路,及 V.數(shù)字化模擬電路, c.其中,任一所述關(guān)鍵功能包括從包括如下的組中選擇的至少一個(gè)功能 1.判定邏輯, ii.檢測邏輯,及 iii.控制邏輯。
8.根據(jù)權(quán)利要求3所述的高完整性邏輯電路,其中,所述冗余校驗(yàn)器接收與所述并行核心中的每一個(gè)相關(guān)的關(guān)鍵數(shù)據(jù),其中,所述關(guān)鍵數(shù)據(jù)包括 a.來自所述并行核心的關(guān)鍵內(nèi)部狀態(tài),和 b.來自所述并行核心的關(guān)鍵輸出信號。
9.根據(jù)權(quán)利要求3所述的高完整性邏輯電路,其中,任一所述內(nèi)置自測試結(jié)構(gòu)為了暴露未告知的故障的目的,運(yùn)用關(guān)聯(lián)的并行核心。
10.根據(jù)權(quán)利要求3所述的高完整性邏輯電路,其中,所述內(nèi)置自測試結(jié)構(gòu)被設(shè)計(jì)成執(zhí)行如下 a.將單個(gè)選中的并行核心置于測試模式,其中,所述測試模式不影響所述邏輯電路的任務(wù),或引起輸出電路的不期望致動, b.其中,所述冗余校驗(yàn)器對于所述選中的并行核心被禁用, c.將一組預(yù)定輸入施加到所述選中的并行核心中的至少一個(gè)輸入或內(nèi)部狀態(tài)上, d.通過內(nèi)部狀態(tài)變化和選中的并行核心輸出檢驗(yàn)所述選中的并行核心對預(yù)定輸入組的響應(yīng),及 e.恢復(fù)所述選中的并行核心,并且將冗余校驗(yàn)器恢復(fù)到正常操作。
11.根據(jù)權(quán)利要求3所述的高完整性邏輯電路,其中,所述內(nèi)置自測試結(jié)構(gòu)被設(shè)計(jì)成執(zhí)行如下 a.將所述邏輯電路置于測試模式,其中,所述測試模式保證沒有輸出電路的不期望致動, b.將一組相同的預(yù)定輸入施加到所有所述并行核心上,及 c.通過使用所述冗余校驗(yàn)器,檢驗(yàn)所有所述并行核心對相同的預(yù)定輸入組的響應(yīng)。
12.根據(jù)權(quán)利要求3所述的高完整性邏輯電路,其中 a.使用至少三個(gè)并行核心,實(shí)施所述邏輯電路, b.在操作模式中將至少兩個(gè)并行核心與多個(gè)輸入和多個(gè)輸出連接, c.其中,所述邏輯電路根據(jù)預(yù)定標(biāo)準(zhǔn)基于所述輸入來操作所述輸出,及 d.將單個(gè)選中的并行核心定期地離開操作模式,并且置于測試模式,其中,所述測試模式包括 i.將所述選中的并行核心隔離使其免于影響任何所述輸入或所述輸出的狀態(tài), .將一組預(yù)定輸入施加到所述選中的并行核心中的至少一個(gè)輸入或內(nèi)部狀態(tài)上, iii.通過內(nèi)部狀態(tài)變化和選中的并行核心輸出,檢驗(yàn)所述選中的 并行核心對預(yù)定輸入組的正確響應(yīng),及 iv.將所述選中的并行核心恢復(fù)到正常操作。
13.根據(jù)權(quán)利要求3所述的高完整性邏輯電路,其中,在所述邏輯電路內(nèi)實(shí)施所有所述并行核心和所有所述冗余校驗(yàn)器。
14.根據(jù)權(quán)利要求3所述的高完整性邏輯電路,其中,所述至少一個(gè)邏輯裝置包括PAL、CPLD、FPGA、AS IC、或門陣列。
15.根據(jù)權(quán)利要求3所述的高完整性邏輯電路,其中,所述冗余校驗(yàn)器被布置在來自所述并行核心的分離的邏輯裝置上,或者所述冗余校驗(yàn)器被布置在其中所述并行核心中的至少一個(gè)駐留的同一邏輯裝置上。
16.一種高完整性邏輯電路,包括 a.多個(gè)并行核心,其中,所述并行核心用于實(shí)施所述邏輯電路的關(guān)鍵功能, b.其中,在邏輯裝置中實(shí)施所述并行核心中的至少一個(gè),其中,所述邏輯裝置免于使用可執(zhí)行軟件, c.其中,在處理器中使用可執(zhí)行軟件實(shí)施所述并行核心中的至少一個(gè), d.冗余校驗(yàn)器,其中,所述冗余校驗(yàn)器用于i.檢驗(yàn)來自第一并行核心的多個(gè)值是否與來自第二并行核心的多個(gè)值相匹配,并且 .根據(jù)預(yù)定標(biāo)準(zhǔn),將所述邏輯電路激活到故障自動防護(hù)狀態(tài), e.其中,所述邏輯電路與多個(gè)輸入和多個(gè)輸出連接, f.其中,所述邏輯電路執(zhí)行與所述輸入和所述輸出相關(guān)的任務(wù), g.其中,在所述邏輯電路與所述輸入和所述輸出之間的通信由從包括如下的組中選擇的至少一項(xiàng)保護(hù) i.冗余性, .循環(huán)冗余校驗(yàn), iii.對于所述輸入的翻轉(zhuǎn)測試,及 iv.對于所述輸出的讀回, h.內(nèi)置自測試,其中,所述內(nèi)置自測試用于暴露任一所述并行核心中的未告知的故障,及 i.其中,在所述邏輯電路執(zhí)行所述任務(wù)的同時(shí),定期或連續(xù)地執(zhí)行所述內(nèi)置自測試。
17.一種邏輯電路中的故障檢測和減輕故障影響的方法,包括 a.提供多個(gè)并行核心,其中,所述并行核心用于實(shí)施所述邏輯電路的關(guān)鍵功能,其中,所述并行核心是冗余的或相異的, b.提供冗余校驗(yàn)器,其中,所述冗余校驗(yàn)器提供在所述并行核心中的差錯(cuò)檢測,包括 i.用于在所述并行核心之間的差異,和 .用于所述邏輯電路的關(guān)鍵功能的狀態(tài)變化, C.其中,對于任何所述差錯(cuò)檢測,所述冗余校驗(yàn)器用于將所述邏輯電路激活到故障自動防護(hù)狀態(tài), d.提供至少一種內(nèi)置自測試結(jié)構(gòu),其中,所述內(nèi)置自測試結(jié)構(gòu)用于暴露所述邏輯電路的關(guān)鍵功能中的故障, e.提供至少一個(gè)邏輯裝置,其中,所述邏輯電路的所述關(guān)鍵功能大體上在所述至少一個(gè)邏輯裝置內(nèi)被實(shí)施,及 f.其中,任一所述邏輯裝置被實(shí)施成免于使用可執(zhí)行軟件, 借此,由所述差錯(cuò)檢測和所述內(nèi)置自測試,監(jiān)視所述邏輯電路的所述故障檢測,并且 借此,由所述故障自動防護(hù)狀態(tài)減輕所述故障影響。
18.根據(jù)權(quán)利要求17所述的方法,其中,對于來自包括如下的組中的選擇,實(shí)施所述邏輯電路的所述關(guān)鍵功能 a.單個(gè)邏輯裝置, b.單個(gè)印刷電路板上的多個(gè)邏輯裝置,及 c.多個(gè)印刷電路板,在每個(gè)所述印刷電路板上具有至少一個(gè)邏輯裝置。
19.根據(jù)權(quán)利要求17所述的方法,其中,所述并行核心與輸入電路和輸出電路連接。
20.根據(jù)權(quán)利要求19所述的方法,其中 a.所述輸入電路包括從包括如下的組中選擇的至少一項(xiàng) i.串行總線通信電路, .并行總線通信電路, iii.串行數(shù)字信道,及iv.并行數(shù)字信道, b.所述關(guān)鍵功能包括從包括如下的組中選擇的至少一項(xiàng) i.邏輯判定, .極限校驗(yàn),及 iii.狀態(tài)機(jī), c.所述輸出電路包括從包括如下的組中選擇的至少一項(xiàng) i.串行總線通信電路, .并行總線通信電路, iii.串行數(shù)字信道,及 iv.并行數(shù)字信道。
21.根據(jù)權(quán)利要求19所述的方法,其中 a.任一所述輸入電路包括從包括如下的組中選擇的至少一項(xiàng) i.串行通信電路, .并行通信電路, iii.串行數(shù)字輸入電路, iv.并行數(shù)字輸入電路,及 V.數(shù)字化模擬輸入電路, b.其中,任一所述輸出電路包括從包括如下的組中選擇的至少一項(xiàng) i.串行通信電路, .并行通信電路, iii.串行數(shù)字輸入電路, iv.并行數(shù)字輸入電路,及 V.數(shù)字化模擬輸入電路, c.其中,任一所述關(guān)鍵功能包括從包括如下的組中選擇的至少一個(gè)功能 .1.判定邏輯, ii.檢測邏輯,及 iii.控制邏輯。
22.根據(jù)權(quán)利要求17所述的方法,其中,所述冗余校驗(yàn)器接收與所述并行核心中的每一個(gè)相關(guān)的關(guān)鍵數(shù)據(jù),其中,所述關(guān)鍵數(shù)據(jù)包括 a.來自所述并行核心的關(guān)鍵內(nèi)部狀態(tài),和 b.來自所述并行核心的關(guān)鍵輸出信號。
23.根據(jù)權(quán)利要求17所述的方法,其中,任一所述內(nèi)置自測試結(jié)構(gòu)為了暴露未告知的故障的目的運(yùn)用關(guān)聯(lián)的并行核心。
24.根據(jù)權(quán)利要求17所述的方法,其中,所述內(nèi)置自測試結(jié)構(gòu)被設(shè)計(jì)成執(zhí)行如下項(xiàng) a.將單個(gè)選中的并行核心置于測試模式,其中,所述測試模式不影響所述邏輯電路的任務(wù),或引起輸出電路的不期望致動, b.其中,所述冗余校驗(yàn)器對于所述選中的并行核心被禁用, c.將一組預(yù)定輸入施加到所述選中的并行核心中的至少一個(gè)輸入或內(nèi)部狀態(tài)上, d.通過內(nèi)部狀態(tài)變化和選中的并行核心輸出,檢驗(yàn)所述選中的并行核心對預(yù)定輸入組的響應(yīng),及 e.恢復(fù)所述選中的并行核心,并且將冗余校驗(yàn)器恢復(fù)到正常操作。
25.根據(jù)權(quán)利要求17所述的方法,其中,所述內(nèi)置自測試結(jié)構(gòu)被設(shè)計(jì)成執(zhí)行如下項(xiàng) a.將所述邏輯電路置于測試模式,其中,所述測試模式保證沒有輸出電路的不期望致動, b.將一組相同的預(yù)定輸入施加到所有所述并行核心上,及 c.通過使用所述冗余校驗(yàn)器,檢驗(yàn)所有所述并行核心對相同的預(yù)定輸入組的響應(yīng)。
26.根據(jù)權(quán)利要求17所述的方法,其中,使用至少三個(gè)并行核心,實(shí)施所述邏輯電路,其中 a.在操作模式中將至少兩個(gè)并行核心與多個(gè)輸入和多個(gè)輸出連接, b.其中,所述邏輯電路根據(jù)預(yù)定標(biāo)準(zhǔn)基于所述輸入來操作所述輸出,及 c.將單個(gè)選中的并行核心定期地離開操作模式,并且置于測試模式,其中,所述測試模式包括 1.將所述選中的并行核心隔離使其免于影響任何所述輸入或所述輸出的狀態(tài), ii.將一組預(yù)定輸入施加到所述選中的并行核心中的至少一個(gè)輸入或內(nèi)部狀態(tài)上, iii.通過內(nèi)部狀態(tài)變化和選中的并行核心輸出,檢驗(yàn)所述選中的并行核心對預(yù)定輸入組的正確響應(yīng),及 iv.將所述選中的并行核心恢復(fù)到正常操作。
27.根據(jù)權(quán)利要求17所述的方法,其中,在所述邏輯電路內(nèi)實(shí)施所有所述并行核心和所有所述冗余校驗(yàn)器。
28.根據(jù)權(quán)利要求17所述的方法,其中,所述至少一個(gè)邏輯裝置包括PAL、CPLD、FPGA、ASIC、或門陣列。
29.根據(jù)權(quán)利要求17所述的方法,其中,所述冗余校驗(yàn)器被布置在來自所述并行核心的分離的邏輯裝置上,或者所述冗余校驗(yàn)器被布置在其中所述并行核心中的至少一個(gè)駐留的同一邏輯裝置上。
30.一種邏輯電路中的故障檢測和減輕故障影響的方法,包括 a.提供多個(gè)并行核心,其中,所述并行核心用于實(shí)施所述邏輯電路的關(guān)鍵功能, b.其中,在邏輯裝置中實(shí)施所述并行核心中的至少一個(gè),其中,所述邏輯裝置免于使用可執(zhí)行軟件, c.其中,在處理器中使用可執(zhí)行軟件實(shí)施所述并行核心中的至少一個(gè), d.提供冗余校驗(yàn)器,其中,所述冗余校驗(yàn)器用于 i.檢驗(yàn)來自第一并行核心的多個(gè)值是否與來自第二并行核心的多個(gè)值相匹配,并且 .根據(jù)預(yù)定標(biāo)準(zhǔn),將所述邏輯電路激活到故障自動防護(hù)狀態(tài), e.提供多個(gè)輸入和多個(gè)輸出,其中,所述邏輯電路與所述多個(gè)輸入和所述多個(gè)輸出連接, f.其中,所述邏輯電路執(zhí)行與所述輸入和所述輸出相關(guān)的任務(wù), g.其中,在所述邏輯電路與所述輸入和所述輸出之間的通信由從包括如下的組中選擇的至少一項(xiàng)保護(hù) i.冗余性,ii.循環(huán)冗余校驗(yàn), iii.對于所述輸入的翻轉(zhuǎn)測試,及 iv.對于所述輸出的讀回, h.提供內(nèi)置自測試,其中,所述內(nèi)置自測試用于暴露任一所述并行核心中的未告知的故障,及 i.其中,在所述邏輯電路執(zhí)行所述任務(wù)的同時(shí),定期或連續(xù)地執(zhí)行所述內(nèi)置自測試。
借此,由所述冗余校驗(yàn)器和所述內(nèi)置自測試,監(jiān)視所述邏輯電路的所述故障檢測,并且 借此,由所述故障自動防護(hù)狀態(tài)減輕所述故障影響。
31.一種邏輯電路中的故障檢測和減輕故障影響的方法,包括 a.提供多個(gè)并行核心,其中,所述并行核心用于實(shí)施所述邏輯電路的關(guān)鍵功能, b.其中,所述并行核心是冗余的或相異的, c.提供冗余校驗(yàn)器,其中,所述冗余校驗(yàn)器用于 i.檢驗(yàn)來自第一并行核心的多個(gè)值是否與來自第二并行核心的多個(gè)值相匹配,并且 .根據(jù)預(yù)定標(biāo)準(zhǔn),將所述邏輯電路激活到故障自動防護(hù)狀態(tài), d.提供多個(gè)輸入和多個(gè)輸出,其中,所述邏輯電路與所述多個(gè)輸入和所述多個(gè)輸出連接, e.其中,所述邏輯電路執(zhí)行與所述輸入和所述輸出相關(guān)的任務(wù), f.其中,在所述邏輯電路與所述輸入和所述輸出之間的通信由從包括如下的組中選擇的至少一項(xiàng)保護(hù) i.冗余性, .循環(huán)冗余校驗(yàn), iii.對于所述輸入的翻轉(zhuǎn)測試,及 iv.對于所述輸出的讀回, g.提供內(nèi)置自測試,其中,所述內(nèi)置自測試用于暴露任一所述并行核心中的未告知的故障, h.其中,在所述邏輯電路執(zhí)行所述任務(wù)的同時(shí),定期或連續(xù)地執(zhí)行所述內(nèi)置自測試, i.其中,大體上在至少一個(gè)邏輯裝置中實(shí)施所述邏輯電路的所述關(guān)鍵功能,及 j.其中,所述至少一個(gè)邏輯裝置被實(shí)施成免于使用可執(zhí)行軟件, 借此,由所述差錯(cuò)檢測和所述內(nèi)置自測試,監(jiān)視所述邏輯電路的所述故障檢測,并且 借此,由所述故障自動防護(hù)狀態(tài)減輕所述故障影響。
全文摘要
本發(fā)明涉及邏輯電路中的故障檢測和減輕。本發(fā)明針對監(jiān)視邏輯電路的故障的方法。具體地說,該方法針對建立并行邏輯電路核心,其中,通過由冗余校驗(yàn)器比較在關(guān)鍵位置處等效的并行路徑來檢測故障。任何誤匹配將導(dǎo)致預(yù)定故障自動防護(hù)操作模式。另外,應(yīng)用重要的技術(shù),以定期運(yùn)用各個(gè)并行路徑來保證,從而按不干擾被監(jiān)視或控制的任何過程的方式檢驗(yàn)并行核心。該特征在某些工業(yè)如核電工業(yè)中是重要的,在這里,安全關(guān)鍵操作對于可能不經(jīng)常被利用的邏輯電路塊要求很高的可靠性狀態(tài)。
文檔編號G06F11/16GK102841828SQ20111016690
公開日2012年12月26日 申請日期2011年6月21日 優(yōu)先權(quán)日2011年6月21日
發(fā)明者S·D·索倫森, S·索加爾德 申請人:西屋電氣有限責(zé)任公司