[发明专利]逻辑电路中的故障检测和减轻

说明书

相关申请的交叉参考

本申请是在2008年2月6日提交的美国专利申请No.12/026,703的部分继续。整个现有的申请由此通过参考包括在这里。

技术领域

本发明一般涉及一种用于设计高完整性逻辑电路的方法。本发明具体地针对安全相关控制系统，这些安全相关控制系统包括核电站反应堆保护系统，在这里完整性和可靠性是最重要的。本发明特别针对在诸如PAL、CPLD、FPGA、ASIC、或门阵列(Gate Array)之类的逻辑装置中、或在多个逻辑装置的组合中实施这些方法。该逻辑装置通常被安装在印刷电路板上。

背景技术

其它人已经试图改进计算机化系统中的任务关键逻辑部件的可靠性。例如，美国专利7,290,169描述了一种核心级处理器锁步系统，其中，两个微处理器并行地操作，并且它们各自提供被比较的外部输出信号。微处理器意味着按锁步(lockstep)操作，也就是说，按紧密协调方式操作，使得它们的输出将按可靠的方式匹配。在实际应用中，该方法对于安全关键系统具有许多问题。难以将微处理器完全保持在锁步中。在系统中可能有未发现的故障，直到系统被实际使用。

美国专利7,237,144提供类似的操作想法和困难，但提供离芯片锁步校验以抗击“软差错”。它具有刚才描述的相同困难。

美国专利6,233,702描述了一种复杂的多处理器系统，该多处理器系统通过采用硬件(例如，故障功能、采用冗余性)和使用软件技术(速错，例如采用借助于高数据完整性硬件的软件恢复)来提供容错数据处理。差错校验明确地避免了利用在并行处理器之间比较关键数据点的冗余度，并且代之以仅比较按较慢速率如在I/O点处或在主存储器中操作的点。该设计过度复杂，并且具有与将简短讨论的未告知的差错有关的问题。它是基于软件的系统，具有也将简短讨论的问题。

美国专利7,134,104描述了一种通过创建逻辑功能的至少三个并行拷贝、并然后使用投票方案以确定任一具体拷贝是否有错来改进FPGA中的容错的方法。尽管该方法大体上改进了容错，但它对于安全关键环境不是一种满意的方案，在这里不能确定多数票始终是无故障结果。

美国专利5,144,230描述了一种通过叫做循环挪用(cycle stealing)的方法的自测试电路。当不要求输出信号执行其正常功能时，通过选择性地施加测试输入信号来测试来自‘测试下的电路’的输出信号。尽管这是一种校验处理器的可能方法，但测试没有提供防止影响相关系统的故障的任何保护。当使用并行冗余性时，表决器方案用于确定无故障结果。这些方法对于其中期望高度可靠的系统的安全关键环境是不可接受的。

美国申请2007/0022348描述了并行锁步核心，这些并行锁步核心与US 7,290,169已经描述的相似，不同之处在于，来自核心的中间值也与输出一道进行比较。然而，该系统具有将两个核心保持在锁步中的所有问题。例如，当有差错时，高速缓冲存储器必须被加载到系统存储器中，以保证保持发生锁步。当有系统或编程变化时，高速缓冲存储器必须被保持并且在正在进行的基础上被检验。系统也是基于软件的。

现有技术中有提供一种高度可靠的系统的需要，该高度可靠的系统不是基于软件的系统。例如，在安全关键系统中，如在核电站保护系统中，由于潜在差错的性质，不期望依赖于可执行软件。软件具有难以解决的固有操作问题。即使相对简单的系统也要求显著量的程序代码。具体地说，在并行冗余系统由于故障条件可能同时失效的场合，软件微处理器系统经受共模故障。

不管可能包括在软件微处理器系统内的冗余度，故障仍然可能偶然地影响不能正确地拾取无故障结果的足够冗余功能，并且系统将经历共模故障。共模故障可以由单个故障或几个故障导致。已知的是，在软件的冗余拷贝在同一故障下失效时，基于微处理器的系统易受共模故障。具体地说，共模故障使软件微处理器系统在电站保护系统中是不期望有的。

为了本发明的目的，如下定义适用。故障是执行要求的功能的能力的终止。也参见任务故障。故障可能直到下次测试未被告知和未被检测到，这叫做未告知的故障。它们可能在发生的瞬时由任何数量的方法告知和检测到，这叫做告知的故障。任务是项或系统的单一目标、作业、或目的。任务故障是在规定极限内无能力完成规定任务。关键功能是在逻辑电路中为了使它执行其任务需要的功能。

在安全相关控制系统中，高完整性系统将具有两个关键特征：