互连数据总线中的安全节点的制作方法
【专利说明】互连数据总线中的安全节点
[0001]优先权数据
[0002]本专利申请受益于或要求提交于2014年6月10日的美国临时申请号62/010,014,题为“互连数据总线中的安全节点”(代理人案号26256。0245-P)的优先权,在此通过引用将其全部内容引入。
技术领域
[0003]本公开一般涉及互连数据总线,并且更具体地,涉及用于这些互连数据总线的安全节点。
【背景技术】
[0004]在过去几十年中,越来越多的系统越来越依赖于电子设备提供安全关键功能,如控制。这些电子装置被用在各种安全关键系统,例如能源系统、航空航天系统和汽车系统。多年来电子装置被用在飞机上以控制飞机,并确保各个组件可操作。此外,电子装置被用在许多现代公路车辆用于共同的功能,例如定速控制、防抱制动系统、安全气囊,甚至在今天的道路上更多的电子产品被用于混合动力汽车和电动汽车。
【发明内容】
[0005]在安全关键计算机系统,容错性是一个重要的设计要求。在这些基于处理器的系统的用于片上互连的数据总线暴露于由互连本身或任何一个连接的外围设备引起的故障造成的危险。为提供足够的容错能力,安全节点插入片上总线层次结构或网络的上游主段和下游从段之间。
[0006]安全节点提供(可编程)超时监测,用于为事务检测超时条件。如果已经发生超时,安全节点传送或触发预先设置的虚拟响应返回给主段,这将释放上游主段,以避免死锁和执行后续事务。安全节点,然后承担下游段的主机的角色,并等待从机响应。此外,安全节点拒绝接受上游段的任何主段的任何后续请求通过传送或触发这些立即的虚拟响应对这些后续请求,从而使能这些主段以避免死锁或停止。
[0007]预先设置的响应可以包括以下的一种或两种(a)总线协议带内响应信令,和/或(b)总线协议外边带响应,如中断。在协议内响应可包括合法从响应,它允许主机在主协议内合法完成当前事务,并且可以是任何一种:错误响应,表示该事务不成功;局部完成响应,表示该事务部分完成而且可能已经被分为完整的部分和不完整的部分;或正常完成响应。如果发出正常完成的带内响应,带内响应可以伴随边带响应(错误中断),使得主机被通知超时。
【附图说明】
[0008]图1是根据本公开的一些实施例的简化的示意图,示出示例性的具有安全节点的基于处理器的系统;
[0009]图2是根据本公开的一些实施例的简化的示意图,示出示例性的具有两个安全节点的基于处理器的系统;
[0010]图3是根据本公开的一些实施例的简化的示意图,示出示例性的具有安全节点的互连总线层次结构或网络;
[0011]图4是根据本公开的一些实施例的简化示意图,示出另一示例性的具有多个安全节点的互连总线层次结构或网络;
[0012]图5是根据本公开的一些实施例的简化流程图,示出流程用于通过安全节点监测和存活互连数据总线上的超时;
[0013]图6根据本公开的一些实施例示出了示例性的安全节点的控制寄存器;
[0014]图7根据本公开的一些实施例示出了示例性的安全节点的状态寄存器;和
[0015]图8根据本公开的一些实施例示出了示例性的安全节点的超时计数器寄存器。
【具体实施方式】
[0016]了解容错
[0017]计算机系统中的组件和程序,虽然在大部分时间它们是可靠和可操作的,但不可避免地在一个或另一点失灵。失灵可能是由硬件问题或软件错误造成的。容错是使计算机系统继续在系统中的一个或多个故障的情况下正常运行的属性。如果没有容错能力,故障可能会导致彻底崩溃,这可能导致安全关键系统带来灾难性的后果。通常情况下,计算机系统设计者和架构师尝试设计计算机系统,在一个或多个故障的情况下,可以在降低的容量继续操作和/或可以完全降低,使得可以采取恢复操作。
[0018]许多这些安全关键计算机系统结合处理器和外围设备提供安全关键功能,如功率和引擎控制。为各行业提供规则和指导如何设计安全设备和系统,国际标准化机构已经制定了标准,例如,IEC 61508,题为“电气/电子/可编程电子安全相关系统的功能安全”和ISO 26262,题为“道路车辆-功能安全”。这些标准定义了在电子产品提供了安全关键作用的各种应用的安全关键系统的风险和电子要求规范行为。由于这些电子产品对人类和环境安全是非常重要并且电子产品必然会有故障,容错是这些标准提出的一个特别重要的设计要求。出于这个原因,这些国际标准提供规范和指导,指示安全关键系统应该如何工作,当系统有一个或多个故障的情况下或该系统应如何继续正常运行当系统有一个或多个故障时。
[0019]虽然系统设计师和架构师努力满足容错设计要求,为设计师和架构师提供不过于昂贵实现的解决方案是重要的。
[0020]互连数据总线故障
[0021]在安全关键系统,在基于处理器的系统内,用于片上互连的工业标准和专有数据总线暴露由互连本身或任何连接的外围设备产生的故障所引起的危险。安全关键系统想解决的危险包括:互连中的开路和短路、硬件外围从机的故障、死锁、总线段的交通匮乏或饱和或者较高的通信层编程或协议错误。这些危险会导致超时错误,即,缺乏预期的响应,或延迟预期响应。
[0022]这些行业标准和专用总线包括遵循用于片上系统(SoC)的功能模块的连接和管理的开放式标准、片上互连的高级微控制器总线架构(AMBA)规范的总线。通常情况下,这样的总线,如广泛使用的高级外围设备总线(APB)、AMBA高性能总线(AHB、高级可扩展接口(AXI),并没有在过于昂贵的合法IP上明确的超时机制起重要作用并且改进超时。没有适当的超时监测,系统可以容易地停转和崩溃,没有任何方法从超时恢复。
[0023]当提供容错总线设计以容忍超时故障,它也是重要的让互连数据总线继续遵从其它特性如原子性、一致性、隔离性和持久性(ACID)以保证即使存在超时故障,事务正在可靠地被处理。
[0024]硬件安全节点:处理超时和延迟响应
[0025]为了解决安全关键互连数据总线超时的问题,有些总线已经开发了用于飞机和飞机引擎飞行关键功能,其中提供了紧密预定的架构。在这样的时间触发总线结构,响应按照预先分配的时钟周期被预期和调度,以确保可靠性。然后可以检测到超时,如果响应未根据在特定预分配的时钟周期的时间表返回。这个系统有些缺点:总线的吞吐量由时间表严格决定并且时间触发总线的静态调度是相当不灵活的。
[0026]为了提供瞬态响应的灵活性,许多行业标准和专有总线允许任意响应潜伏期(事件触发)。然而,任意的响应潜伏期使得了解是否和何时响应被预期范围变成挑战。为解决具有任意响应潜伏期的互连数据总线的超时问题,硬件安全节点插入到片上总线层次结构或网络的两个分区/段间:上游(主)段和下游(从)段。上游段可以连接到至少一个或一个以上主机,而下游段可连接到至少一个或多个从机。安全节点可以仲裁从上游段接收的事务,并为下游段发生的故障提供耐受性。
[0027]从广义上讲,总线层次结构或总线网络包括相互连接总线段供主机和/或从机可以付接或连接。取决于实施例或应用,总线层次结构或总线网络可以具有不同的拓扑结构。总线层次结构/网络的上游段可以包括来自安全节点的一个或多个总线段上游,总线层次结构/网络的下游段可以包括来自安全节点的一个或多个总线段的下游。总线层次结构或网络的互连的总线段使一个或多个主机与一个或多个从机进行通信(从总线层次结构或网络拓扑的一个点到总线层次结构或网络拓扑的另一点)。安全节点可以插入在总线层次结构或总线网络任何合适的点的两个区段之间。总线层次结构或总线网络可以包括在总线层次结构或总线网络的不同点上的一个以上的安全节点。
[0028]安全节点,在运行期间,转发来自上游段中选定的主机的事务到下游段中的一个从机。处理超时,安全节点提供了(可编程)超时监控,其检测下游段事务是否使用过多的时间来作出响应。在不违反任何子段的协议下,安全节点然后分离连接到转发的事务,并通过返回一个预先设置的虚设/错误响应(或此处被宽称为“预先设置的响应”),允许主机完成其事务。安全节点然后承担主机的角色,并保持在下游段中的事务,直到这样的时间由下游从设备响应,或总线段被重置。虽然下游总线段仍然忙,安全节点拒绝由任何在上游段的任何主机随后的接入请求,与预先设置的响应一起,以这样的方式,以使这些主机避免死锁或失速,并进行其他的处理,如错误处理。措辞不同,通过传送或触发立即哑/错误响应(例如,预先设置的错误响应)到这些后续请求,安全节点拒绝上游段的主机任何后续请求从而使这些主机避免死锁或停机。
[0029]通过具有可以同时监控和延续超时情况安全节点,安全节点可以温和地处理在安全关键系统中互连数据总线的超时,并提供了一个容错号(即,来自安全节点,互连数据总线下游的可容忍故障/节点故障的数目)。换句话说,安全节点容忍互连数据总线上的故障的最大数量。此外,安全节点一旦检测到超时将承担主机的角色,代表主机等待事务完成,并拒绝下游发出的进一步的事务,而能够保持一个可靠的事务系统。
[0030]该安全节点方案具有能够等待事务的晚的或延迟响应的优点,而不是简单地中止事务或重置系统。此外,安全节点被设计成够模块化足以支持超时功能,使用标准总线而不会影响系统的其它部分,如主机,或要求主机是复杂的总线中断的处理器。
[0031]预先设置的响应
[0032]实际上,安全节点提供(可编程)用于检测事务超时情况的超时的超时监测。如果已经发生超时,安全节点发送或触发预先设置的(虚拟)响应返回给主机,这将释放上游段主机以避免死锁和进行后续事务。取决于处理器或协议,用于释放主机预先设置响应可以改变。一般说来,到主机的响应