在应用中实施安全措施的制作方法

本公开整体上涉及半导体存储器和方法，并且更具体地，涉及与安全控制器有关的设备和方法。

背景技术：

在常规的机动车辆(例如汽车、小汽车、卡车、公共汽车等)中，驾驶员对于操作车辆的控制系统至关重要。例如，常规机动车辆的驾驶员做出关于车辆安全操作的决定。这样的决定可以包含与车辆的速度、车辆的转向、障碍物和/或危险识别以及障碍物和/或危险避免有关的决定。然而，在一些情况下，驾驶员做出这些决定和操作车辆控制系统的能力可能受到限制。例如，驾驶员受伤、疲劳、注意力和/或其他因素，例如可见度(例如，由于天气或地形变化)，可能会限制驾驶员安全操作常规机动车辆和/或其控制系统的能力。

为了减轻由于常规机动车辆的驾驶员操作所引起的缺陷，各制造商已经对自主车辆进行了实验。尽管自主车辆可以减少因驾驶员操作常规汽车的能力减弱而引起的问题，但自主车辆自身也有缺点。

例如，自主车辆可以依靠各种传感器和/或相机来确定操作车辆的速度、车辆的转向、障碍物和/或危险识别以及障碍物和/或危险避免。例如，来自这些传感器和/或装置的数据当在存储器上存储或在存储器总线上传送时可能会损坏。数据可能会因噪声、串扰和/或其他误差源引起的误差而损坏。主机可以接收命令以安全地操作自主车辆并基于数据向自主车辆提供更新。如果命令所基于的数据损坏，则自主车辆可能停止运行，或者在更坏的情形下，无法提供成分的障碍物和/或危险识别以及障碍物和/或危险避免，这可能导致自主车辆中乘客受伤或死亡。

附图说明

图1是根据本公开的多个实施例的以主机和存储器装置的形式的系统的框图。

图2是根据本公开的多个实施例的与自主驾驶应用中的三重冗余相关联的流程图。

图3是根据本公开的多个实施例的双边沿装置的存储器输出的图。

图4是根据本公开的多个实施例的包含输出数据的反向电路的流程图。

具体实施方式

本公开包含与安全控制器有关的设备和方法。一种示例性设备包括被配置为存储数据和传送数据的存储器资源。该设备可以进一步包含耦合到存储器资源的安全控制器，该安全控制器被配置为从存储器资源接收数据、从应用控制器接收锁存的数据，以及响应于对来自存储器资源的数据和来自应用控制器的锁存的数据的比较，确定是否允许来自应用控制器的命令和/或多个命令输出。

在一些方法中，自主车辆可以包含用于向控制器提供数据的存储器装置。该数据可以包含车辆传感器数据，例如障碍物和/或危险信息。存储器可以存储关键代码，包含固件、软件和/或从数据得出的临时计算。

为了降低自主车辆执行错误代码的可能性，多个实体(例如，存储器装置和/或控制器)可以执行并识别正确的输出，这可以称为冗余。实施例可以被实现为在应用(例如，车辆中的自动驾驶应用)中提供安全措施。例如，三重冗余可以包含两个传送相同代码的实体。第三实体可以接收代码并识别一或多个代码是否损坏。

在一些实施例中，冗余可以使系统能够避免现场的故障和/或事故。例如，冗余可以确保存储器装置和控制器之间的数据传输的正确性。冗余还可以确保由控制器对适当代码执行的正确性。

例如，由于自主车辆中控制系统的操作可以全部或部分地由控制电路处理，因此自主车辆可能易受数据损坏的影响。数据可能会因噪声、串扰和/或其他误差来源而损坏。冗余防止在命令基于损坏的数据时发送该命令，例如“激活制动器”。

本文中的附图遵循编号惯例，其中最前面的数字或多个数字与附图编号相对应，而其余数字标识图中的元件或部件。可以通过使用类似的数字来标识不同附图之间的类似元件或部件。例如，在图1中114可以标引元件“14”，在图2中类似的元件可以标引为214。应当理解，可以添加、交换和/或消除本文各种实施例中所示的元件，以便提供本公开的多个附加实施例。另外，应当理解，附图中提供的元件的比例和相对标度旨在例示说明本发明的某些实施例，而不应被认为是限制性的。

图1是根据本公开的多个实施例的以主机110和控制单元112的形式的系统100的框图。如本文所使用的，存储器装置114、控制器116、应用控制器117和/或安全控制器118也可以被单独地认为是一种“设备”。

如图1所示，设备100包含主机110和控制单元112。控制单元112可以包含存储器资源(例如，存储器装置114)和控制器116。控制器116可以包含应用控制器117和安全控制器118。

存储器装置114可以包含被配置为存储可由控制器116执行的指令的易失性和/或非易失性存储器。例如，存储器装置114可以包含闪存存储器(例如，nor)、只读存储器(rom)、可编程只读存储器(prom)、可擦除可编程只读存储器(eprom)、电可擦除可编程只读存储器(eeprom)、动态随机存取存储器(dram)、静态随机存取存储器(sram)和/或其他合适的存储介质。在一些实施例中，存储器装置114可以是双边沿装置。

设备100可以在自主驾驶应用中使用。例如，控制单元112可以位于车辆上。控制单元112的存储器装置114可以存储自主车辆数据。例如，用于自主驾驶应用的关键代码(例如，固件、特定参数和数据)。数据可以包含从车辆传感器采集的数据、从车辆相机采集的摄影数据和/或其组合。在一些实施例中，存储器装置114可以存储数据并传送数据。数据可以被传送到包含应用控制器117和安全控制器118的控制器116。

应用控制器117可以从存储器装置114接收数据。所接收的数据可以被应用控制器117用来生成命令。例如，数据可以包含关于车辆接近停车标志的信息。应用控制器117可以生成停止汽车的命令。随后，应用可以发送生成的命令和/或多个命令以由车辆执行。

在一些实施例中，数据可以被传送到安全控制器118。安全控制器118可以从存储器装置114和应用控制器117接收数据。安全控制器118可以响应于比较来自存储器装置114的数据和来自应用控制器117的数据，来防止命令和/或多个命令由车辆执行。

图2是根据本公开的多个实施例的与自主驾驶应用中的三重冗余相关联的流程图213。如图2所示，存储器装置214、应用控制器217和安全控制器218可以被配置为交换数据和/或通信。存储器装置214可以经由数据路径222和224向安全控制器218传送数据。存储器装置214可以经由数据路径220向应用控制器217传送数据。应用控制器217可以经由数据路径226向安全控制器218传送数据。应用控制器217可以经由通信路径230与安全控制器218通信。安全控制器218可以经由通信路径228与应用控制器217和多路复用器236(例如，mux)通信。

在一些实施例中，存储器装置214可以存储和传送数据。安全控制器218可以经由数据路径222和224耦合到存储器装置214。安全控制器218可以被配置为从存储器装置214接收数据。来自存储器装置214的数据可以经由数据路径222作为反向输出和经由数据路径224作为直接输出由安全控制器218接收，数据的反向输出可以由存储器装置214在时钟的下降沿上传送，而数据的直接输出可以由存储器装置214在时钟的上升沿上传送，如图3中所进一步讨论的。

存储器装置214可以向应用控制器217传送数据。应用控制器217可以经由数据路径220耦合到存储器装置214。应用控制器217可以被配置为从存储器装置214接收数据。来自存储器装置214的数据可以经由数据路径220作为直接输出由应用控制器217接收。数据的直接输出可以由存储器装置214在时钟的上升沿上传送，如图3中所进一步讨论的。

在一些实施例中，应用控制器217可以响应于从存储器装置214接收到数据来锁存数据。应用控制器217可以向安全控制器218传送锁存的数据。应用控制器217可以在时钟的上升沿上锁存数据。安全控制器218可以被配置为从应用控制器217接收锁存的数据。来自应用控制器217的锁存的数据可以经由数据路径226作为输出由安全控制器218接收。锁存的数据的输出可以由应用控制器217在时钟的下降沿上传送，如图3中所进一步讨论的。

安全控制器218可以响应于对来自存储器装置214的数据和来自应用控制器217的锁存的数据的比较，生成响应和/或确定是否允许来自应用控制器217的命令经由数据路径232输出。应用控制器217从存储器装置214接收的数据可以用于生成命令。命令可以与来自存储器装置214的数据相关联，并且可以响应于应用控制器217从存储器装置214接收到数据而从应用控制器217输出。例如，数据可以包含关于更高的速度极限的信息。应用控制器217可以生成命令和/或多个命令以加速车辆的速度从而达到更高的速度极限。然而，由应用控制器217接收并用于生成命令以使车辆加速的数据可能已损坏，这可能意味着即使速度极限并未改变和/或速度极限与损坏的数据向应用控制器217指示的不同，当执行命令时车辆仍在加速。

在一些实施例中，安全控制器218可以防止车辆经由数据路径234执行命令。安全控制器218可以通过生成响应和/或经由通信路径228向mux236和应用控制器217传送标志来防止命令被执行。安全控制器218可以响应于识别出来自存储器装置214的数据与来自应用控制器217的锁存的数据之间的差异来传送标志。在一些实施例中，安全控制器218可以将来自存储器装置214的反向输出和直接输出与来自应用控制器217的输出进行比较。如果数据输出中的一和/或多个不同，则安全控制器218可以传送标志。数据输出不同(例如，不同于存储器装置214的直接输出以及来自应用控制器217的锁存的数据与存储器装置214的反向输出匹配并且相反)可以指示数据输出中的至少一个在存储和/或传送时已损坏。

存储器装置214和/或应用控制器217可以响应于应用控制器217经由通信路径228从安全控制器218接收到标志，传送另一部分数据。标志可以指示来自存储器装置214和/或应用控制器217的数据输出损坏，并且该数据需要重新发送。

在一些实施例中，应用控制器217可以经由通信路径230向安全控制器218输出安全确认信号。安全确认信号可以响应于从安全控制器218接收到标志来发送。确认信号可以通知安全控制器218应用控制器217接收到标志和/或应用控制器217和/或存储器装置214正在重新发送数据。

响应于从应用控制器217接收到安全确认信号，安全控制器218可以移除标志。在不存在标志的情况下和/或如果未生成响应，则mux236将允许应用控制器217命令经由数据路径234由车辆执行。

安全控制器218可以响应于识别出来自存储器资源214的数据与来自应用控制器217的锁存的数据之间的匹配而允许来自应用控制器217的命令被执行。例如，如果来自存储器装置214的直接输出数据和来自应用控制器217的输出数据匹配并且与来自存储器装置214的反向输出数据相反，则可以执行命令。而且，一旦安全控制器218接收到反向输出数据，就可以将其置于直接输出数据状态，并与其他输出数据进行比较。如果来自存储器装置214的直接输出数据和来自应用控制器217的输出数据匹配并且与来自存储器装置214的反向输出数据相反，则可以执行命令。

图3是根据本公开的多个实施例的双边沿装置的存储器输出的图。双边沿装置是存储器装置(例如，图2中的存储器装置214)。如图3所示，可以在双边沿装置的上升沿352和356以及下降沿354和358上传送数据。例如，可以在上升沿352上传送342处的data0。data0可以是来自存储器的直接输出，因为它是在上升沿352上传送的。344处的data0'可以是反向输出，因为它是在下降沿354上传送的。反向输出意思是data0'与data0相同但是反向(例如，相反)。346处的data1可以作为直接输出在上升沿356上传送，而348处的data1'可以作为data1的反向输出在下降沿358上传送。

来自存储器装置(例如，图2中的存储器装置214)的直接输出可以由在上升沿352上传送的342处的data0表示。来自存储器装置的反向输出可以由在下降沿354上传送的344处的数据data0'表示。来自存储器装置的应用控制器(例如，图2中的应用控制器217)锁存数据可以由在上升沿356上锁存的346处的data1表示。来自应用控制器的反向输出可以由在下降沿358上传送的348处的数据data1'表示。

来自存储器装置(例如，图2中的存储器装置214)的在上升沿352上传送的直接输出、来自存储器装置的在下降沿354上传送的反向输出，以及来自应用控制器(例如，图2中应用控制器217)的在下降沿358上传送的输出可以由安全控制器(例如，图2中的安全控制器218)接收。安全控制器可以响应于识别出来自存储器装置的数据和来自应用控制器的锁存的数据之间的匹配而允许从应用控制器输出命令。

存储器装置(例如，图2中的存储器装置214)可以被编程为双边沿装置，使得直接数据在存储器装置的每隔一行上进行编程，而反向数据邻近对应的直接数据进行编程。例如，直接数据可以在偶数地址上进行编程，而反向数据可以在奇数地址上进行编程，使得直接数据在上升沿352上传送，而反向数据在下降沿354上传送。

图4是根据本公开的多个实施例的包含输出数据的反向电路的流程图。如图4所示的反向电路可用于反转来自存储器装置414的数据模式。数据可以是自主车辆数据。例如，数据可以包含从车辆相机采集的摄影数据和/或从车辆传感器采集的数据，但是数据并不限于摄影数据或车辆传感器数据。

存储器装置414可以存储和传送数据。存储器装置414可以耦合到反向电路462。存储器装置414可以向反向电路传送数据460。由存储器装置414传送的数据可以在时钟的上升沿上传送，并且可以是直接输出。

反向电路462可以从存储器装置414接收作为直接输出的数据。反向电路462可以复制直接输出并反转直接输出模式以形成反向输出。反向电路462可以将来自存储器装置414的直接输出464和反向输出465传送到多路复用器469(例如，mux)。

mux469可以组合信号。mux469可以将直接输出464和反向输出465组合成一个信号。mux469可以包含时钟466。时钟466可以用于启动第二信号的发送，以确保两个信号都在一个信号中发送。例如，直接输出464可以在上升沿(例如，图3中的上升沿352)上传送到应用控制器417和安全控制器418，直到时钟在下降沿(例如，图3中的下降沿354)上启动向应用控制器417和安全控制器418发送反向输出。

组合信号468可以由应用控制器417接收。应用控制器417可以锁存组合信号468的数据。数据可以在上升沿(例如，图3中的上升沿356)上锁存。锁存的数据可以被传送到安全控制器。锁存的数据可以作为在信号的下降沿(例如，图3中的下降沿358)上发送的输出来传送。

组合信号468也可以由安全控制器418接收。安全控制器418可以响应于对来自存储器装置414的数据和来自应用控制器417的锁存的数据的比较来确定是否允许来自应用控制器417的命令输出。例如，安全控制器418可以将来自存储器装置414的直接输出和反向输出与来自应用控制器417的反向输出进行比较。

尽管本文中已经例示说明和描述了特定的实施例，但是本领域的普通技术人员将理解，被计算为实现相同结果的设置可以代替所示的特定实施例。本公开旨在涵盖本公开的一或多个实施例的改型或变型。应当理解，以上描述是以说明性方式进行的，而不是限制性的。通过阅读以上描述，以上实施例的组合以及本文中未具体描述的其他实施例对于本领域技术人员而言将是显而易见的。本公开的一或多个实施例的范围包含其中使用以上结构和方法的其他应用。因此，本公开的一或多个实施例的范围应当参考所附权利要求书以及这些权利要求书所赋予的等效物的全部范围来确定。

在前面的具体实施方式中，出于简化本公开的目的，一些特征在单个实施例中被组合在一起。本公开的方法不应被解释为反映如下意图：即所公开本公开的实施例需要使用比每个权利要求中明确叙述的特征更多的特征。相反，如以下权利要求书所反映的，本发明主题在于少于单个公开的实施例的所有特征。因此，以下权利要求书由此被并入到具体实施方式中，其中每个权利要求本身作为单独的实施例。