用于检测电子系统中的故障的方法与流程

本发明总体上涉及用于检测在包括冗余电路的电子系统中遇到的常见原因故障的技术领域。

背景技术：

在安全关键环境(例如汽车应用)中使用电子系统需要这种电子系统的可靠操作，从而依赖于电子系统的操作来避免人员的风险。

考虑具有安全等级要求的电子电路作为示例，例如，asil要求(asil代表automotivesafetyintegritylevel：汽车安全完整性等级)，由iso26262-道路车辆功能安全标准定义的风险分类方案。术语“功能安全”在iso26262中定义为“没有由于电气或电子系统的故障行为导致的危险而产生的不合理风险”。这种电子电路需要在例如单点故障(即导致整个电路停止工作或向其他子单元提供故障信息使得子系统或整个系统出问题的故障)的情况下采取措施以最小化或防止安全目标违规的风险。

用于最小化安全目标违规风险的一种措施是实现冗余功能单元(例如冗余信号处理块)。就开发努力而言这种措施是有利的，因为在系统中简单地多次实现单个开发的功能单元(例如电路块和布局)。

通过将相同的输入信号施加到冗余功能单元并比较单元的输出信号，如果输出信号不等式超过预定限制，则可以推断出故障。

图1给出了现有技术中已知的冗余信号处理链的例子。图1中的电路包括具有功能块fu1的处理链和具有对应的三链功能块fu2的冗余处理链，该示例中的功能块fu1包含三个信号处理单元(例如放大器、比较器、adc)。差分信号处理在图1中被应用。因此，需要共模基准信号(共模电压vcm，即差分电压信号的中心电压电平)。该电压vcm例如定义给定信号处理单元的操作点(工作点)。取决于电路拓扑结构，信号处理链中每种类型的信号处理单元(spu)可能需要独立的vcm(例如，spu1.1用的vcm1、spu1.2用的vcm2、spu1.3用的vcm3)，但有几个spu或者每个spu类型的vcm显然也可以是相同的(例如vcm1＝vcm2＝vcm3或vcm1＝vcm2<>vcm3)。对于冗余信号处理链也是如此，其中应用了相同的vcm1、vcm2和vcm3。然后，系统故障指示单元(fisy)可以通过比较输出信号1和输出信号2来识别该方案中存在的所有spu中的相关单点故障。

此类冗余系统的剩余风险和检测方式是常见原因故障。常见原因故障以类似方式影响冗余功能单元(例如，由制造工艺不足、或像电磁兼容性(emc)干扰、静电放电(esd)干扰或超过规定的温度限制的条件那样的关键性环境条件引起)。对输出信号的影响也可类似，且在该情况下通过比较输出信号来检测故障是不可能的。

专利申请us2016/365213涉及可能导致两个冗余电路同时失灵或故障的故障(称为相关故障)。它提供了一种促进检测干扰参数在预定范围之外的解决方案。这种干扰参数例如可引起冗余电路中的相关故障，例如冗余电路被布置在同一基板上。通过对干扰参数敏感的感测元件检测干扰参数。该感测元件和相关电路也可能涉及更高的成本。

因此，需要一种用于在电子系统中检测故障，特别是常见原因故障的方法，其中避免了需要用于测量干扰的设备。

技术实现要素：

本发明的实施例的目的是提供在电子处理系统中降低故障、特别是常见原因故障的风险。

上述目的通过根据本发明的解决方案来完成。

在第一方面，本发明涉及一种用于检测电子信号处理系统中的故障的方法，该电子信号处理系统具有信号处理路径和所述信号处理路径的至少一个冗余版本，该信号处理路径包括用于执行给定功能的可配置功能单元，该信号处理路径的至少一个冗余版本包括用于执行所述给定功能的对应可配置功能单元，该方法包括：

为所述信号处理路径中的所述功能单元配置第一操作点以用于执行所述给定功能，

为所述信号处理路径的所述冗余版本中的对应功能单元配置第二操作点，所述第二操作点与所述第一操作点不同，但允许执行所述给定功能，

将相同的输入信号应用于所述功能单元和所述对应功能单元，

对由所述功能单元产生的第一输出信号与由所述对应功能单元产生的第二输出信号进行比较，

从所述比较中导出故障指示。

所提出的解决方案确实允许降低常见原因故障的风险，因为它通过比较两个冗余路径的输出信号产生故障的指示。该方法在两个支路之间施加了操作点的差异，接着可以利用该差异来确定可能的故障。

在优选实施例中，所述第一操作点和所述第二操作点中的至少一个是可编程的。这允许取决于实际条件对操作点使用不同的级别。有利地，所述第一操作点和所述第二操作点中的至少一个在运行时间是可适应的。这种变化可能发生在例如当观察到信号处理系统操作所处的外部条件的变化时。例如，可以通过系统的更高级别的控制单元来完成适应。

在本发明的实施例中，接下来在电子信号处理系统中进一步处理故障指示。

优选地，该比较包括在第一输出信号和第二输出信号之间产生差异并将该差异与参考值进行比较。同样地，参考值可以是可编程参数。参考值也可以由系统的较高级别的控制单元设置。参考值也可以是校准过程的结果。

在其他实施例中，信号处理路径包括在产生第一输出信号的功能单元之前的一个或多个其他功能单元，并且信号处理路径的至少一个冗余版本包括一个或多个对应其他功能单元。

有利地，该输入信号是差分信号。然后，功能单元优选地接收第一共模信号，并且对应功能单元接收与第一共模信号不同的第二共模信号。

在某些实施例中，对施加到功能单元的差分信号的正输入和负输入执行比较。这提供了额外的检查。然后，该比较可以包括对正输入和负输入求和并将该总和与第一共模信号的两倍进行比较。对冗余路径可以采用类似的方法步骤，从而在比较中采用第二共模信号。

在其他实施例中，除了“主”信号处理路径之外，电子信号处理系统还具有两个或更多个信号处理路径的冗余版本，并且比较的输出信号被成对地比较。然后可以基于对成对比较的多数决定导出故障指示。在这些实施例中，信号处理系统可以继续工作，因为只有故障信号路径被关闭。额外的故障信号可以被标记。

在另一个实施例中，受故障指示影响的信号处理路径及其冗余版本中的一个或多个被取消服务。错误信息可以被标记。

有利地，当执行所提出的方法中的比较步骤以决定故障指示时，可以设置可编程阈值。

在另一方面，本发明涉及一种电子信号处理系统，具有信号处理路径和所述信号处理路径的至少一个冗余版本，该信号处理路径包括用于执行给定功能的可配置功能单元，该信号处理路径的至少一个冗余版本包括用于执行给定功能的对应可配置功能单元，该电子信号处理系统被布置用于为信号处理路径中的功能单元配置第一操作点并且为信号处理路径的冗余版本中的对应功能单元配置第二操作点，第二操作点与第一操作点不同，但允许执行给定功能，并且该电子信号处理系统被进一步布置用于将由功能单元产生的第一输出信号与由对应功能单元产生的第二输出信号进行比较，并用于从比较中导出故障指示。

出于对本发明以及相对现有技术所实现的优势加以总结的目的，上文已描述了本发明的某些目的和优势。当然，应理解，不一定所有此类目的或优势都可根据本发明的任何特定实施例来实现。因此，例如，本领域的技术人员将认识到，本发明可按实现或优化如本文中所教导的一个优势或一组优势的方式来具体化或执行，而不一定要实现如本文可能教导或建议的其他目的或优势。

参考本文以下描述的(多个)实施例，本发明的上述和其他方面将是显而易见的和可阐明的。

附图说明

现在将作为示例参考附图进一步描述本发明，附图中相同的附图标记指代各附图中的相同要素。

图1示出了本领域已知的冗余信号处理方案。

图2示出了根据本发明实施例的框图。

图3示出了在不存在故障条件的情况下的功能单元的一些内部信号。

图4示出了根据本发明实施例的框图。还示出了用于检查共模信号的附加故障指示块。

图5示出了在存在故障条件的情况下的功能单元的一些内部信号。

图6示出了可能导致常见原因故障的潜在故障影响。

具体实施方式

将针对具体实施例且参考特定附图来描述本发明，但是本发明不限于此而仅由权利要求书来限定。

此外，说明书中和权利要求中的术语第一、第二等等用于在类似的元素之间进行区分，并且不一定用于在时间上、空间上、以排名或任何其他方式来描述序列。应当理解，如此使用的术语在适当的情况下是可互换的并且本文中所描述的本发明实施例与本文中所描述或展示的相比能够以其他顺序操作。

要注意，权利要求中使用的术语“包括”不应被解释为限定于其后列出的装置；它并不排除其他要素或步骤。因此，该术语被解释为指定所陈述的特征、整数、步骤或组件的存在，但不排除一个或多个其他特征、整数、步骤或组件、或其群组的存在或添加。因此，表述“一种包括装置a和b的设备”的范围不应当被限定于仅由组件a和b构成的设备。这意味着对于本发明，该设备的仅有的相关组件是a和b。

贯穿本说明书引述的“一个实施例”或“一实施例”意指结合该实施例描述的特定特征、结构或特性是包含在本发明的至少一个实施例中的。由此，短语“一个实施例中”或“一实施例中”在贯穿本说明书的各个地方的出现并非必要地全部引述同一实施例，但是可能引述同一实施例。此外，在一个或多个实施例中，如从本公开中对本领域普通技术人员将是显而易见的，特定的特征、结构或特性可以用任何合适的方式进行组合。

类似地，应当领会，在本发明的示例性实施例的描述中，出于精简本公开和辅助对各个发明性方面中的一个或多个的理解的目的，本发明的各个特征有时被一起编组在单个实施例、附图或其描述中。然而，这种公开的方法不应被解释为反映所要求保护的本发明需要比每项权利要求中所明确记载的更多特征的意图。相反，如所附权利要求反映的，各发明方面可以存在比单个前述公开的实施例的全部特征更少的特征。因此，具体描述之后所附的权利要求因此被明确纳入该具体描述中，其中每一项权利要求独自作为本发明单独的实施例。

此外，尽管本文所描述的一些实施例包括其他实施例中所包括的一些特征但不包括其他实施例中所包括的其他特征，但是不同实施例的特征的组合旨在落在本发明的范围内，并且形成如将由本领域技术人员所理解的不同实施例。例如，在所附的权利要求书中，所要求保护的实施例中的任何实施例均可以任何组合来使用。

应当注意的是，在描述本发明的某些特征或方面时，特定术语的使用不应当用来暗示该术语在本文中被重新定义以受限于包括与所述术语相关联的本发明的特征或方面的任何特定特性。

在本文所提供的描述中，阐述了众多具体细节。然而应理解，在没有这些具体细节的情况下也可实践本发明的实施例。在其他实例中，公知的方法、结构和技术未被详细示出以免模糊本描述的理解。

本发明公开了一种降低冗余系统配置中常见原因故障的剩余风险的方法，其关注需要工作点的电子电路拓扑，例如dc操作点。

图2提供了在本发明中考虑的设置的框图。描述了一种冗余信号处理系统，在第一信号路径中包括功能单元fu1.1，以及在冗余信号处理路径中包括对应功能单元fu1.2。在这样对应功能单元中，基本上可以找到与第一信号路径中相同的构造部件。功能单元fu1.1和fu1.2是可配置的。通常，它们具有基本相同的系统和电路拓扑、部件尺寸和参数化。通常，fu1.1和fu1.2的电路布局和布局取向可能存在细微差别。例如，这两个单元可能已被移位、翻转、镜像或已经经过了任何其他类型的几何操作。布局位置不可避免地存在差别。

功能单元fu1.1被配置为在操作点1处工作，并且对应功能单元fu1.2被配置为在操作点2处工作。两个操作点基本上不同，这意味着操作点2与操作点1的不同之处在于，例如，加或减5％、+/-10％或+/-15％或更多。两个操作点不同的量可取决于设想的应用所需的精确度。在一些实施例中，该差别取决于全量程范围。然而，它们具有不同的操作点的事实对块fu1.1和fu2.1的功能和内部信号处理没有相关影响。即使基本相同的电路fu1.1和fu1.2具有明显不同的内部操作点，在相同的输入信号被施加到功能单元的对应输入时，输出信号1和输出信号2的ac行为也基本相同。

在优选实施例中，操作点的设置在制造阶段是可编程的。操作点的设置也可以跟在执行校准之后。参考图2，在这样的校准步骤期间，例如提供输入信号并测量输出信号1和输出信号2。例如以如下方式提供两个工作点信号1和2：使输出信号1和输出信号2不同以实现最大允许或最小所需的电压差，从而对一个或多个常见原因故障敏感，例如，为了稳定到某个emc水平。两个工作点信号1和2可以例如通过dac(数模转换器)或由数字可控电压源或数字可控电流源提供。然后，可以在校准步骤期间将为操作点信号1和操作点信号2提供的数字控制信息存储在存储器设备中，从而在应用期间使用。

电子处理系统可以包括更高级别的控制单元，其负责设置操作点。更有利的是，可以在运行时间、即在电子信号处理系统运行时调节操作点。这允许操作点适应处理系统工作所处的实际条件。例如，可以以与上文针对校准描述的类似的方式完成适应。

在另一个实施例中，存储了针对操作点1和操作点2的不同设置以用于不同的操作条件(例如，温度、噪声水平或emc水平)。更高级别的控制单元可以被布置用于取决于操作条件选择给定设置。

然后在系统故障指示单元中比较两个输出信号。在图2的实施例中，该单元(fisy)通过减法装置和比较器块实现，该减法装置用于确定两个输出信号之间的差异，该比较器块将该差异与输入基准信号(在该示例中是恒定值0)进行比较。技术人员容易知晓可以设想其他实现。如果fu1.1和fu1.2输出信号明显不同，则错误条件占主导地位。比较器块输出通常由系统错误处理部处理的故障指示信号。如果该信号变为激活状态，则通常启动用于进入安全状态的过程。

图3示出了在不存在故障条件的情况下的具有不同dc操作点的功能单元内部的信号和故障指示单元的对应输出信号。它示出了图2的信号处理链fu1和fu2中的典型信号表示。在信号处理链fu1和fu2中设置了不同的dc操作点。由于所需信号不受一个或多个内部或外部故障起因(initiator)的影响，因此系统故障指示器输出信号未被激活。

图4示出了根据本发明实施例的电路，其具有降低了常见故障风险的冗余信号处理链。与图1的现有技术方案的主要区别在于引入了单独的操作点vcmx.1、vcmx.2和vcmx.3，其中x＝1或2。换句话说，多个冗余spu(spu1.1和spu2.1)例如在不同的vcm水平下操作。在故障指示单元中，“输出信号1”和“输出信号2”被进一步处理。在图4的实施例中，简单地将它们相减。没有主导故障时的减法结果理想地为零。有主导故障时的减法结果则不是零。在该示例中，减法结果与恒定极限值(例如给定的阈值)的比较用于生成故障指示信号。如果减法结果大于给定阈值，则可以标记错误。

在实施例中，阈值和/或不同的操作点保持可编程。可以在制造集成电路时完成编程。或者，可以在集成电路的校准期间在线路编程步骤结束时通过存储器元件(例如eeprom)来完成。在另一其他实施例中，可以由更高级别的系统设备经由通信或总线协议来设置阈值和/或不同操作点。

提供这种可编程性的优点在于它使单元可对于不同的使用条件可调节。在硬emc环境中，与作为共模故障的温度可能起作用的环境相比，存在其他使用条件。

此外，在图4的实施例中，引入附加故障指示单元(在图中称为fifu)，以通过监视差分信号来验证每个信号处理路径中的共模信号的完整性。故障指示单元将互补差分信号分量vp<x.y>和vn<x.y>相加。结果，所需信号被抑制且2vcm<x.y>是剩余信号。例如可以通过窗口比较器监视剩余信号2vcm<x.y>。

图5示出了在发生主导故障的情况下的具有不同dc操作点的功能单元内部的信号和故障指示单元的对应输出信号。图5示出了图4的信号处理链fu1和fu2中的典型信号表示。在信号处理链fu1和fu2中均设置了不同的dc操作点。所需信号受到一个或多个内部或外部故障起因(initiator)的影响。由于经移位的dc操作点和共模故障的存在，两个信号链中的信号可能以不同的方式被限幅。可能仅信号1被限幅、可能仅信号2被限幅或者两个信号都被限幅。由于冗余信号处理链中的信号限幅量不同，fisy可以识别故障且系统故障指示器输出信号为激活状态。

图6示出了不需要的信号操作的典型示例。通过dc操作点移位，由正弦信号对信号处理单元的单侧过驱动通常导致信号限幅。正弦信号(y0)的限幅导致dc信号分量的引入。被限幅的正弦信号的平均值(y1)使引入的dc分量可视化。这种信号操纵可能导致安全关键应用中的安全目标违规。冗余系统中的故障指示单元通常无法识别这种故障，因为所有功能单元中的信号处理可能受到类似的影响。故障指示单元中的比较级抑制dc分量，因此不可能识别该故障。

可以通过各种方式启动常见原因故障。例如，经操纵的所需信号或注入的不需要信号可能导致信号偏移。信号失真可能由不需要的环境影响(例如射频注入、温度变化引起的漂移、机械应力引起的漂移、供应值数量变化)引起。所需信号可以是失真、例如如图5所描述那样经限幅的正弦信号。该原因也可能是不需要信号，例如不需要的注入rf信号(emi)或不需要的叠加输入信号(lf信号、脉冲、泄漏引起的dc信号、或者在传感器系统的情况下是导致要感测的值的偏移的任何物理量)。然后，常见原因故障可能源自例如由无法被识别但可能对所需信号具有相关影响的限幅引起的dc偏移(例如，导致安全目标违规的相关输出信号偏差)。通过设计基于相同功能单元和故障指示单元的冗余系统通常无法检测到这种故障，因为冗余单元面的输出受到相同故障信号的影响。

在进一步的实施例中，电子信号处理系统包括至少三个通道，即第一信号处理路径和至少两个冗余路径，每个冗余路径设置有第一信号处理路径的冗余版本。在这样的系统中，每个信号路径具有其自己的操作点，该操作点不同于其他路径中的操作点。每个信号路径产生输出信号。然后比较输出信号以获得是否存在故障的指示。该比较优选地在逐对的基础上进行。有关是否存在故障的决定可由多数确定。假设例如存在三个通道，并且三个输出信号比较中的两个指示确实存在错误但第三比较结果未指示错误，则可以确定确实存在故障。可选地，可以标记该错误。

通过各种比较，可以识别发生故障的通道。然后可以决定不再使用该通道(即信号处理路径)。剩余通道可仍保持使用。

尽管已经在附图和前面的描述中详细地说明并描述了本发明，但是此类说明和描述被认为是说明性或示例性的，而非限制性的。前面的描述具体说明了本发明的某些实施例。然而，应当理解，不管以上在文本中显得如何详细，本发明都能以许多方式实现。本发明不限于所公开的实施例。

通过研究附图、公开和所附权利要求，本领域技术人员可在实践要求保护的发明时理解和实施所公开实施例的其他变型。在权利要求中，单词“包括”不排除其他要素或步骤，并且不定冠词“一(a或an)”不排除复数。单个处理器或其他单元可实现权利要求书中所述的若干项的功能。在相互不同的从属权利要求中陈述某些措施的纯粹事实并不表示不能有利地使用这些措施的组合。计算机程序可被存储/分布在合适的介质(诸如，与其他硬件一起或作为其他硬件的一部分提供的光学存储介质或固态介质)上，但也能以其他形式(诸如，经由因特网或者其他有线或无线电信系统)来分布。权利要求中的任何附图标记不应被解释为限制范围。