用于控制工业工艺的多芯片模块和方法与流程

本发明涉及用于控制工业工艺的多芯片模块和方法。

背景技术：
工业工艺由与安全和风险减轻有关的国际标准控制。举例来说，IEC61508致力于例如用于控制工业工艺的微控制器或其它计算机等电学、电子和可编程电子装置的功能安全。IEC61508基于特定装置的概率分析定义安全完整性等级(SIL)。为实现给定的SIL，装置必须满足最大“危险故障”概率和最小“安全故障分数”的目标。“危险故障”的概念是以应用特定为基础来定义，但基于针对其在工业系统或应用的开发期间的完整性而证实的要求约束。“安全故障分数”决定系统的自动防故障程度且将安全故障的可能性与危险故障的可能性进行比较。最终，电子装置依据特定SIL的认证要求电子装置提供特定故障恢复水平以及使工业工艺能够在故障后转变到安全状态。当前电子装置经由处理器的输入/输出(I/O)接口控制工业工艺的各方面(例如，马达、比如DC/DC转换系统或能量转换系统(例如，太阳能或风力)等功率转换装置)。举例来说，微控制器的处理器经由其I/O接口从马达接收位置、速度和/或扭矩的指示。处理器接着使用所述信息来产生(例如)脉宽调制(PWM)信号以控制将功率提供到马达的开关，并将此信号经由I/O接口发射到所述开关。因此，马达以特定应用所需的方式操作。然而，处理器(且特定来说其I/O接口)可在操作期间经历故障。举例来说，处理器可暴露于超出容限的电压或电流，辐射可引起晶体管中不可接受的泄漏电流从而致使逻辑元件翻转，或I/O接口本身可由于其与相对于处理器经历的电压或偏压的较大外部电压或偏压的交互而发生故障。如果处理器或I/O接口发生故障，那么没有办法确保正控制的工业工艺(马达，在以上实例中)可转变到安全状态。换句话说，不能保证自动防故障操作，这对于某些SIL认证是不可接受的。某些控制器利用多个冗余处理器来控制工业工艺，每一处理器具有其自身的I/O接口。此增加在至少一个处理器发生故障(例如，归因于超出容限的电压或电流)的事件中另一处理器保持起作用的可能性。因此，具有其自身的I/O接口的功能处理器可致使工业工艺转变到安全状态。然而，具有多个处理器的控制器要求板(例如，插口和互连)上的额外组件，这成本较高且增加板设计的复杂性。此外，例如外部辐射等故障原因可类似地且同时影响所有处理器，这将防止将工业工艺转变到安全状态。

技术实现要素：
本发明提供一种多芯片模块(图1，100)，其包括：第一裸片(104)，其包括：控制处理器(104)，其产生信号以控制工业工艺(108)；以及输入/输出接口；第二裸片(102)，其包括：监督处理器(102)；以及输入/输出接口；且其中所述控制处理器和所述监督处理器的一者的处理器故障由所述控制处理器和所述监督处理器的另一者检测，且检测所述故障的所述处理器经配置以经由其输入/输出接口断言信号以致使工业工艺响应于所述故障转变到安全状态；且其中所述第一和第二裸片使用不同工艺技术(102、104)产生。本发明还提供一种用于控制工业工艺的方法(图3，300)，其包括：产生信号以控制所述工业工艺(302)；通过多芯片模块的第一裸片上的处理器检测所述多芯片模块的第二裸片上的处理器的故障(304)；以及通过检测所述故障的所述处理器断言信号以致使所述工业工艺响应于检测所述故障而转变到安全状态(306)；其中所述第一和第二裸片使用不同工艺技术产生。附图说明为详细描述本发明的示范性实施例，现将参看附图，附图中：图1展示根据各个实施例用以控制工业工艺的多芯片模块；图2展示根据各个实施例用以控制工业工艺的另一多芯片模块；以及图3展示根据各个实施例的方法流程图。具体实施方式符号和命名贯穿以下描述和所附权利要求书中使用特定术语来指代特定系统组件。如所属领域的技术人员将了解，各公司可用不同名称来指代一组件。本文献不希望区分名称不同但功能相同的组件。在以下论述和所附权利要求书中，术语“包含”和“包括”以开放式方式使用，且因此应解释为表示“包含但不限于…”。并且，术语“耦合”希望表示间接或直接电连接。因此，如果第一装置耦合到第二装置，那么所述连接可经由直接电连接，或经由通过其它装置和连接的间接电连接。如本文中所使用，术语“工业工艺”指代用以辅助项目的制造、生产或合成的程序的任何部分。如本文中所使用，术语“控制器”指代用于控制一个或一个以上工业工艺的电子装置。如本文中所使用，术语“多芯片模块”或“MCM“指代其中多个集成电路、半导体裸片或其它离散组件封装到统一的衬底上的电子封装。如本文中所使用，术语“工艺技术“指代用于产生半导体(通常识别为几纳米(nm))的制作或制造方法。作为一实例，180nm、130nm、90nm、65nm、45nm、32nm和22nm表示大约过去十年间开发的各种工艺技术。如本文中所使用，术语“断言“指代将信号设定为其有效状态。如果信号为有效-低，那么断言信号意味着将其设定为低。如果信号为有效-高，那么断言信号意味着将其设定为高。详细描述以下论述针对本发明的各个实施例。尽管这些实施例中的一者或一者以上可能是优选的，但所揭示的实施例不应被解释(或以其它方式使用)为限制本发明的范围(包含权利要求书)。另外，所属领域的技术人员将理解，以下描述具有广泛应用，且对任何实施例的论述仅意图为例示所述实施例，而不希望暗示本发明(包含权利要求书)的范围限于所述实施例。根据各个实施例，多芯片模块(MCM)包含使用不同工艺技术制造的至少两个裸片。每一裸片包括具有I/O接口的至少一个处理器，其两者均独立于另一裸片上的处理器和I/O接口且与其分离。处理器可经由也包含在MCM内的高速互连彼此通信。所述处理器能够检测其它处理器的故障以及MCM外部的故障。举例来说，在MCM用于控制例如马达的操作等工业工艺的情况下，处理器可检测与马达有关的故障，例如过电流情形、提示总体系统故障的外部触发器、操作者误差、设备危险警告等。每一处理器经由其独立的I/O接口可产生控制开关(例如，经由中间逻辑电路)以致使马达转变到安全状态的信号。如本文所使用，术语“安全状态”指代被认为对于避免对财产、人身等的损害是理想的应用特定状态。举例来说，有可能针对在工业工艺中操作的马达的安全状态是何时切断马达从而避免马达的不受控操作。作为另一实例，在工业工艺中操作的阀可在需要启用流(例如，释放来自容器的压力)的情况下在安全状态中开启，或可在需要限制流(例如，维持容器中的体积)的情况下在安全状态中关闭。在一些情况下，工业系统的安全状态可部分由IEC61800规范(与可调速电功率驱动系统有关)、ISO13849规范(与控制系统的机器和安全相关零件的安全有关)、IEC61508规范或其它类似规范定义。如上文阐释，每一处理器能够监视工业工艺以及控制其操作，至少在能够产生致使工业工艺转变到安全状态的信号的范围内。此外，每一处理器驻留在使用与其它处理器不同的工艺技术制造的裸片上。使用一种工艺技术制造的处理器不是那么易受引起使用不同工艺技术制造的另一处理器的故障的因素(例如，外部辐射或电应力)的影响。因此，可导致所有处理器在其它多处理器控制器中发生故障的外部因素在所揭示的实施例中不太可能导致此故障，因为其不一定具有将促成共同原因故障的类似特性(例如，工艺技术)。此外，根据各个实施例，MCM不要求板上的额外组件，因为其是单一封装装置。这些和将在下文中进一步详细阐释的其它特征实现针对工业工艺的具成本效益的控制器，其能够依据可接受SIL额定值(例如，SIL2、SIL3或更高)认证，因为其能够经历广范围的故障且仍致使工业工艺转变到安全状态。现转向图1，根据各个实施例展示MCM100。MCM100包括监督处理器102和控制处理器104，其借助高速互连105耦合。控制处理器104和监督处理器102可包括除图1所示以外的额外组件。举例来说，可包含额外连接端口，例如通用异步接收器/发射器(UART)、通用串行总线(USB)和以太网以及各种计时器、随机存取存储器(RAM)、非易失性存储器(例如，只读存储器(ROM)、快闪存储器)等。MCM100具备来自控制器的另一组件(未图示)的时钟信号、复位信号和电源。所属领域的技术人员了解，额外外部信号可供应到MCM100以实现功能性，且额外组件(例如，模/数(A/D)转换器)可用于处理此类信号；这些为简洁起见而省略。另外，虽然MCM100是控制器的一部分，但例如逻辑110、开关106和电源112等某些组件可驻留在控制器上，尽管此并非所要求的。出于这个原因，为简洁起见未展示控制器的边界。在图1中，监督处理器102使用180nm工艺技术制造在裸片上，且控制处理器104使用65nm工艺技术制造在另一裸片上。如上文所阐释，使用不同工艺技术制造处理器致使每一处理器不太易受可引起其它处理器上的故障的例如外部宇宙辐射暴露等事件的影响。另外，针对一个处理器使用不同工艺技术提供对所述处理器的电应力的较好恢复能力，其中所述电应力可引起其它处理器上的故障。控制处理器104控制工业工艺(例如，马达108)的操作。所属领域的技术人员了解，通常，处理器本身不能供应马达108操作所需的高电流和电压。因此，如图1所示，控制处理器104控制将来自电源112的功率供应到马达108的开关106。电源112经配置以至少提供马达108的操作所必需的电流和电压，且开关106能够处置此类功率电平。在一些实施例中，开关106可包括绝缘栅极双极晶体管(IGBT)、金属氧化物半导体场效应晶体管(MOSFET)或其它适宜的开关装置。控制处理器104例如经由脉宽调制(PWM)控制信号(展示为“PWM_ctrl”)控制开关106的操作。在一些实施例中，在控制处理器104上执行的软件产生PWM控制信号以基于经由控制处理器104的I/O接口从马达108接收的位置反馈控制马达108的速度/扭矩。在一些情况下，来自马达108的位置反馈可为数字信号，或可为模拟信号，所述模拟信号由A/D转换器(未图示)数字化且接着传递到控制处理器104。在正常操作期间，监督处理器102无需控制工业工艺。然而，在一些实施例中，每一处理器102、104提供对工业工艺的冗余控制。如上文阐释，在一些情况下，处理器102、104中的一者或其相关联I/O接口可经历故障。这些故障可由硅和/或晶体缺陷引起，所述硅和/或晶体缺陷由于外部辐射、电荷载流子的迁移或累积、泄漏电流或夹断电压(pinch-offvoltage)的降级、静电放电，或由热散逸(thermalrunaway)引起的电气过应力、反向偏压、封锁等而加重。SIL认证的某些等级(例如，SIL3)要求在此故障的情况下，工业工艺转变到安全状态。即，可安全容忍至少一个硬件错误。如上文阐释，某些处理器故障可取决于处理器的工艺技术，且因此，使用利用相同工艺技术制造的冗余处理器可致使在所有处理器上发生共同故障，这对于企图满足特定SIL标准的装置来说是不可接受的。然而，因为监督处理器102和控制处理器104是使用不同工艺技术制造的，所以极不可能两个处理器可同时发生故障。另外，如下文将进一步详细阐释，每一处理器102、104能够监视马达108以及控制其操作，至少在能够产生致使马达108转变到安全状态的信号这一点上。在一些实施例中，处理器102、104经由高速互连105彼此监视以发现故障。在其它实施例中，发生故障的处理器可向其它处理器断言FAULT(错误)信号以指示其故障。另外，处理器102、104可经由FAULT信号的断言接收外部故障(例如，与马达108、开关106或电源112相关联的故障)的指示。每一处理器102、104近似同时接收经断言的FAULT信号。响应于经断言的FAULT信号，每一胜任的处理器102、104(即，未发生故障的处理器)可向逻辑块110断言安全扭矩关(STO)或安全停止(SS)信号。某些STO信号可在接收到经断言的FAULT信号后即刻断言(即，在FAULT信号传播经过任何中间逻辑电路所花费的时间内)，而其它STO信号可基于例如IEC61800或类似标准中定义的额外安全考虑而以延迟因子“智能地”断言。在一些情况下，在处理器102、104上执行的软件考虑安全考虑因素以确定何时断言“智能”STO信号。出于图1的目的，STO_1和STO_3立即断言且STO_2智能地断言。此外，控制处理器104产生的PWM控制信号可充当智能信号，因为PWM控制信号控制开关106且最终控制马达108。逻辑110向开关106断言Shutoff(关断)信号，其致使开关106断开，或以其它方式停止从电源112向马达108提供功率。如上文所阐释，每一处理器102、104可立即或“智能地”断言STO信号。某些工业工艺例如归因于需要耗散电荷储存元件等而不能立即安全地关闭。在这些情况下，来自每一处理器102、104的立即断言的STO信号不应控制来自逻辑110的信号向开关106的断言，且逻辑110可包括多输入与(AND)门，使得最新断言的STO信号控制马达108的关闭。智能STO信号可由软件驱动，所述软件考虑各种安全考虑因素和值(例如，监督处理器102从开关106接收的Current(电流)信号，或控制处理器104从马达108接收的Position(位置)信号)以确定故障发生之后的适当延迟。在监督处理器102发生故障的情况下，智能STO信号实际上为由控制处理器104驱动的PWM控制信号，因为逻辑110将不从发生故障的监督处理器102接收经断言的STO_2或STO_3信号。然而，在其它工业工艺中，可能有利的是尽可能早地关闭。在这些情况下，来自每一处理器102、104的立即断言的STO信号应控制来自逻辑110的信号向开关106的断言，且逻辑110可包括多输入或(OR)门，使得第一个断言的STO信号控制马达108的关闭。此处，哪一处理器102、104发生故障并不重要，因为逻辑110将接收立即断言的STO_1信号或STO_3信号(且传递到开关106)，从而致使开关106断开。所属领域的技术人员了解，依据工业系统的命名，STO信号或者可为安全停止(“SS”)信号或其它信号。根据各个实施例，处理器102、104每一者包括以不同工艺技术制造的独立I/O接口和缓冲器，这减小两个处理器102、104(及其相关联I/O接口)将归因于通常会影响具有相同工艺技术的所有装置的事件而同时发生故障的可能性。这使每一处理器102、104能够监视和控制工业工艺，而不管其它处理器是否已发生故障。因此，尽管存在处理器故障，MCM100经配置以致使马达108或其它工业工艺转变到安全状态，从而使控制器能够依据较高SIL等级认证。另外，因为MCM100不需要控制器的板上的额外组件，所以MCM100是用于实现较高SIL等级的具成本效益的解决方案。现转向图2，展示根据各个实施例的MCM200的替代实施例。开关206、逻辑210、电源212和马达208类似于上文参看图1展示和描述的每一元件的对等部分而起作用。MCM200包含监督处理器202和控制处理器203，其两者均包含相关联I/O接口(未图示)且使用65nm工艺技术制造。类似于上文，控制处理器203和监督处理器202可包括除图2所示以外的额外组件。举例来说，可包含额外连接端口，例如通用异步接收器/发射器(UART)、通用串行总线(USB)和以太网以及各种计时器、随机存取存储器(RAM)、非易失性存储器(例如，只读存储器(ROM)、快闪存储器)等。MCM200还包括模拟核心监督处理器204，其也包含相关联模拟I/O接口(未图示)且使用180nm工艺技术制造。模拟核心监督处理器204执行例如A/D和D/A转换、时钟管理、模拟比较和电压调节等各种模拟功能。处理器202、203、204借助高速互连205耦合。类似于上文，在一些实施例中，处理器202、203、204经由高速互连205彼此监视以发现故障。在其它实施例中，发生故障的处理器可向其它处理器断言FAULT信号以指示其故障。另外，处理器202、203、204可经由FAULT信号的断言接收外部故障(例如，与马达208、开关206或电源212相关联的故障)的指示。每一处理器202、203、204近似同时接收经断言的FAULT信号。响应于经断言的FAULT信号，具有相同工艺技术的每一处理器或处理器的组合可向逻辑块210断言STO信号。某些STO信号可在接收到经断言的FAULT信号后即刻断言(即，在FAULT信号传播经过任何中间逻辑电路所花费的时间内)，而其它STO信号可基于额外安全考虑而以延迟因子“智能地”断言。在一些情况下，在处理器202、203、204上执行的软件考虑安全考虑因素以确定何时断言“智能”STO信号。出于图2的目的，STO_1和STO_3立即断言且STO_2智能地断言。此外，控制处理器203产生的PWM控制信号可充当智能信号，因为PWM控制信号控制开关206且最终控制马达208。逻辑210向开关206断言Shutoff信号，其致使开关206断开，或以其它方式停止从电源212向马达208提供功率。如上文所阐释，具有相同工艺技术的每一处理器或处理器的组合可立即或“智能地”断言STO信号，或可断言用以智能地控制马达208的信号，与PWM控制信号的情况一样。与图1形成对比，图1中每一处理器102、104断言即刻STO信号或智能信号以控制马达108，在图2中可能65nm监督处理器202经配置以断言即刻STO信号而65nm控制处理器203经配置以断言信号以控制马达208。如上文所阐释，处理器故障通常基于其工艺技术由于影响处理器的事件而引起。因此，因为65nm技术处理器(即，202、203)和180nm技术处理器(即，204)两者可断言即刻STO信号或智能信号(例如，在处理器上执行的软件所确定)以控制马达208，所以提供与图1中类似的保护。如上所述，且根据各个实施例，处理器202、203、204每一者包括以不同工艺技术制造的独立I/O接口和缓冲器，这减小处理器202、203、204(及其相关联I/O接口)将归因于通常会影响具有相同工艺技术的所有装置的事件而同时发生故障的可能性。这使监督处理器和控制处理器202、203能够监视和控制工业工艺，而不管模拟核心监督处理器204是否已发生故障。同样，模拟核心监督处理器204可监视和控制工业工艺，而不管监督处理器和控制处理器202、203是否已发生故障。因此，尽管存在处理器故障，MCM200经配置以致使马达208或其它工业工艺转变到安全状态，从而使控制器能够依据较高SIL等级认证。另外，因为MCM200不需要控制器的板上的额外组件，所以MCM200是用于实现较高SIL等级的具成本效益的解决方案。图3展示根据各个实施例的方法300。方法300在框302中以产生信号以控制工业工艺而开始。此信号可为(例如)图1和2所示的PWM控制信号，其由控制处理器104、203产生以操作开关106、206，开关106、206控制来自电源112、212的功率向马达108、208的流动。方法300在框304中以检测另一处理器的故障而继续。如上文所阐释，第一裸片(正以第一工艺技术制造)上的处理器检测第二裸片(正以与第一工艺技术不同的工艺技术制造)上的处理器的故障。在图1中，此可为监督处理器102检测控制处理器104的故障，或反之亦然。在图2中，此可为模拟核心监督处理器204检测控制处理器203和监督处理器202的任一者(或两者)的故障，或控制处理器和监督处理器202、203的一者(或两者)检测模拟核心监督处理器204的故障。方法300在框306中以断言信号以致使工业工艺响应于检测故障转变到安全状态而继续，且方法结束。以上论述意图说明本发明的原理和各个实施例。所属领域的技术人员一旦充分了解以上揭示内容后将了解许多变型和修改。举例来说，尽管主要描述为采用65nm和180nm工艺技术，但MCM的处理器可使用任何两种不同工艺技术制造。另外，MCM可采用除所展示和描述的处理器以外的多个额外处理器。希望将所附权利要求书解释为涵盖所有此类变型和修改。