阅读说明：本技术 用于及时检测即将发生的电源故障以保护本地设计状态的方法 (Method for timely detection of impending power failure to protect local design state ) 是由 M·K·巴滕伯格 V·P·勒罗伊 P·K·奥里甘蒂 于 2018-04-16 设计创作，主要内容包括：在本公开的某些方面,一种芯片包括隔离器件,其中隔离器件被配置为：当隔离器件被禁用时,允许信号经由在第一电源域与第二电源域之间穿过的信号线从第一电源域中的第一电路传递到第二电源域中的第二电路,以及当隔离器件被启用时,将第二电源域中的信号线的一部分钳位到逻辑状态。该芯片还包括故障检测器,故障检测器被配置为：检测第一电源域或第二电源域中的至少一个电源域的即将发生的电源故障,并且响应于对即将发生的电源故障的检测而启用隔离器件。(In certain aspects of the present disclosure, a chip includes an isolation device, wherein the isolation device is configured to: when the isolation device is disabled, allowing a signal to pass from a first circuit in the first power domain to a second circuit in the second power domain via a signal line passing between the first power domain and the second power domain, and when the isolation device is enabled, clamping a portion of the signal line in the second power domain to a logic state. The chip further includes a fault detector configured to: an impending power failure of at least one of the first power domain or the second power domain is detected and the isolation device is enabled in response to the detection of the impending power failure.)

用于及时检测即将发生的电源故障以保护本地设计状态的 方法

相关申请的交叉引用

本申请要求于2017年4月27日向美国专利商标局提交的非临时申请No.15/499,450的优先权和权益，其全部内容通过引用被合并于此。

技术领域

本公开的各方面总体上涉及检测电源故障，并且更具体地涉及检测芯片上的即将发生的电源故障。

背景技术

芯片可以包括多个电源域，其中每个电源域可以由单独的电源轨供电。电源域允许不同电源域中的电路用不同的电源电压供电。电源域可以被独立地电源崩溃，使得当一个电源域被电源崩溃时，另一个电源域可以被供电。

发明内容

以下给出了一个或多个实施例的简化概述，以便提供对这样的实施例的基本理解。该概述不是所有预期实施例的详尽概述，并且既不旨在标识所有实施例的关键或重要元素，也不旨在界定任何或所有实施例的范围。其唯一目的是以简化的形式呈现一个或多个实施例的一些概念，作为稍后呈现的更详细描述的序言。

第一方面涉及一种芯片。该芯片包括隔离器件，其中隔离器件被配置为：当隔离器件被禁用时，允许信号经由在第一电源域与第二电源域之间穿过的信号线从第一电源域中的第一电路传递到第二电源域中的第二电路，以及当隔离器件被启用时，将第二电源域中的信号线的一部分钳位到逻辑状态。该芯片还包括故障检测器，故障检测器被配置为：检测第一电源域或第二电源域中的至少一个电源域的即将发生的电源故障，并且响应于对即将发生的电源故障的检测而启用隔离器件。

第二方面涉及一种用于芯片上的电源故障减轻的方法。该芯片包括第一电源域中的第一电路、第二电源域中的第二电路以及在第一电路与第二电路之间提供通信并且在第一电源域与第二电源域之间穿过的信号线。该方法包括：检测第一电源域或第二电源域中的至少一个电源域的即将发生的电源故障；以及响应于对即将发生的电源故障的检测而将第二电源域中的信号线的一部分钳位到逻辑状态。

第三方面涉及一种用于芯片上的电源故障减轻的装置。该芯片包括第一电源域中的第一电路、第二电源域中的第二电路以及在第一电路与第二电路之间提供通信并且在第一电源域与第二电源域之间穿过的信号线。该装置包括用于检测第一电源域或第二电源域中的至少一个电源域的即将发生的电源故障的装置、以及用于响应于对即将发生的电源故障的检测而将第二电源域中的信号线的一部分钳位到逻辑状态的装置。

为了实现前述和相关目的，一个或多个实施例包括下文中充分描述并且在权利要求中特别指出的特征。以下描述和附图详细阐述了一个或多个实施例的某些说明性方面。然而，这些方面指示可以采用各种实施例的原理的各种方式中的几种，并且所描述的实施例旨在包括所有这些方面及其等同物。

附图说明

图1A示出了根据本公开的某些方面的芯片和备用电源的示例，其中芯片包括多个电源域，并且备用电源被配置为在主电源断电的情况下提供备用电源。

图1B示出了根据本公开的某些方面的其中利用存储电容器来实现备用电源的示例。

图2示出了根据本公开的某些方面的隔离器件、电路和非易失性存储器的示例，其中隔离器件被用于将一个电源域中的电路与另一电源域隔离。

图3示出了用于检测电源域的即将发生的电源故障的故障检测器的示例。

图4示出了根据本公开的某些方面的包括电压比较器的故障检测器的示例性实现。

图5示出了根据本公开的某些方面的用于按比例缩小电源电压以生成用于电压比较器的阈值电压的电压缩放器的示例。

图6示出了根据本公开的某些方面的故障检测器的另一示例性实现。

图7示出了根据本公开的某些方面的用于响应于对即将发生的电源崩溃的检测而触发紧急操作的紧急触发器件的示例。

图8示出了根据本公开的某些方面的被配置为响应于对即将发生的电源崩溃的检测而将安全信息存储在非易失性存储器中的电路的示例。

图9示出了根据本公开的某些方面的故障检测器的另一示例性实现，其中故障检测器监测存储电容器上游的电压。

图10示出了根据本公开的某些方面的还包括用于生成阈值电压的电压缩放器的图9中的示例性故障检测器。

图11示出了根据本公开的某些方面的隔离器件的示例性实现。

图12示出了根据本公开的某些方面的保持器钳位器件的示例性实现。

图13A示出了根据本公开的某些方面的固定为1的钳位器件的示例性实现，其中当钳位器件被禁用时，钳位器件中的开关允许信号穿过钳位器件。

图13B示出了根据本公开的某些方面的固定为1的钳位器件，其中当钳位器件被启用时，钳位器件中的开关将信号线的一部分钳位到逻辑“1”。

图14A示出了根据本公开的某些方面的固定为0的钳位器件的示例性实现，其中当钳位器件被禁用时，钳位器件中的开关允许信号穿过钳位器件。

图14B示出了根据本公开的某些方面的固定为0的钳位器件，其中当钳位器件被启用时，钳位器件中的开关将信号线的一部分钳位到逻辑“0”。

图15是示出根据本公开的某些方面的用于电源故障减轻的方法的流程图。

具体实施方式

以下结合附图阐述的详细描述旨在作为各种配置的描述，而非旨在表示本文中描述的概念可以被实践的唯一配置。详细描述包括特定细节，以提供对各种概念的透彻理解。然而，对于本领域技术人员将很清楚的是，这些概念可以在没有这些具体细节的情况下被实践。在某些情况下，公知的结构和组件被以框图形式示出，以避免使这些概念模糊。

芯片可以包括利用各自的电源电压供电的多个电源域。在这方面，图1A示出了包括多个电源域的芯片130的示例。在图1A所示的示例中，芯片130包括三个电源域(被标记为“电源域A”、“电源域B”和“电源域C”)。然而，应当理解，芯片130可以包括不同数目的电源域。电源域A包括用于向电源域A中的电路(未示出)供电的电源轨134，电源域B包括用于向电源域B中的电路(未示出)供电的电源轨136，并且电源域C包括用于向电源域C中的电路(未示出)供电的电源轨138。尽管为了简单起见，电源域在图1A中被示出为具有相同的形状和大小，但是应当理解，例如，取决于芯片130上的电路的布局，电源域可以具有不同的形状和大小。

电源轨134、136和138被耦合到电源管理集成电路(PMIC)120，PMIC 120可以在芯片外部或在芯片上。PMIC 120包括第一电压调节器122、第二电压调节器124、第三电压调节器126和PMIC控制器128。第一电压调节器122被配置为将来自主电源110的电压转换成用于电源域A的电源电压VddA，第二电压调节器124被配置为将来自主电源110的电压转换为用于电源域B的电源电压VddB，并且第三电压调节器126被配置为将来自主电源110的电压转换为用于电源域C的电源电压VddC。电压调节器122、124和126中的每个可以利用开关调节器、线性调节器(例如，低压差调节器)或两者的组合来被实现。主电源110可以包括电池(例如，当芯片130在移动设备中时)、和/或电源适配器，电源适配器将来自AC电源插座的AC电压转换成输入到电压调节器122、124和126的DC电压。

PMIC控制器128可以被配置为通过改变相应电压调节器122、124和126的一个或多个参数来独立地设置电源电压VddA、VddB和VddC的电压电平。对于电压调节器由开关调节器来实现的示例，PMIC控制器128可以通过调节开关调节器的占空比来调节相应电源电压。

在图1A所示的示例中，备用电源140被耦合到电源域B的电源轨136。备用电源140被配置为：当PMIC 120停止向电源域B供电(例如，由于主电源110的意外去除)时，向电源域B供电。以这种方式，在PMIC 120处断电之后，电源域B的电源电压VddB被保持。备用电源140可以在芯片外部(如图1A中的示例所示)或在芯片上。

备用电源140可以使用可充电电池、存储电容器或另一类型的能量存储设备来被实现。对于可充电电池的示例，当PMIC 120打开以将能量存储在可充电电池中时，PMIC 120可以对可充电电池充电。当PMIC 120处断电时(例如，由于主电源110的意外去除)，可充电电池为电源域B供电。

图1B示出了其中备用电源140利用被耦合到电源域B的电源轨136的存储电容器(被标记为“Cs”)来实现的示例。当PMIC 120打开时，存储电容器Cs存储来自PMIC 120的电荷。当PMIC 120停止向电源域B供电时(例如，由于主电源110的意外去除)，存储在存储电容器Cs中的电荷在短时间期间内继续为电源域B供电。以这种方式，在PMIC 120处断电之后，电源域B的电源电压VddB在短时间期间内被保持。存储电容器Cs可以在芯片外部(如图1B中的示例所示)或在芯片上。

芯片130还包括被配置为管理芯片130的功率的电源管理器132。例如，当电源域中的电路进入空闲状态以节省功率时，电源管理器132可以使电源域崩溃。电源管理器132可以通过向PMIC控制器128发送指令以关闭相应电压调节器来做到这一点。替代地，电源管理器132可以通过断开被耦合在相应电压调节器与相应电源轨之间的功率开关(未示出)来做到这一点。在另一示例中，电源管理器132可以基于电源域中的电路(例如，处理器)的性能需求(例如，处理需求)动态地缩放电源域的电源电压。在该示例中，电源管理器132可以基于电路的性能需求来确定用于电源域的电源电压，并且向PMIC控制器128发送指令以将电源域的电源电压设置为所确定的电源电压。

图2示出了其中电源域B包括电路215、隔离器件220和非易失性存储器230的示例。电源轨136(图1A中所示)可以向电源域B中的电路215、隔离器件220和非易失性存储器230供电。为了便于说明，在图2中未示出电源轨136和备用电源140。

在操作中，电路215通过隔离器件220与位于电源域A中的另一电路210通信。例如，电路210和215可以经由信号线彼此交换数据和/或命令，这些信号线在电源域A和B之间穿过。如果电源域A和B具有不同的电压电平，则芯片130可以包括用于将信号从电源域之一的电压电平转换为另一电源域的电压电平的电压电平移位器(未示出)。电源域A中的电路210可以从电源轨134(图1A中所示)接收电力。

隔离器件220被配置为基于在隔离器件220的使能输入(被标记为“EN”)处从电源管理器132接收的使能信号来选择性地将电源域B中的电路215与电源域A隔离。当使能信号未被断言(例如，使能信号为逻辑“0”或低)时，隔离器件220被禁用并且允许信号经由信号线在电源域A与电源域B之间通过。当使能信号被断言(例如，使能信号为逻辑“1”或高)时，隔离器件220被启用并且将电路215与电源域A隔离。隔离器件220可以通过将电源域B中的信号线的部分224钳位到固定逻辑状态来将电路215与电源域A隔离。以这种方式，电源域B中的信号线的部分224的逻辑状态可以是固定的，而与电源域A中的信号线的部分222的逻辑状态无关。

电源管理器132(图1A中所示)可以处理隔离器件220的控制。例如，当电源管理器132即将使电源域A崩溃时，电源管理器132可以经由使能输入EN启用隔离器件220以将电路215与电源域A隔离。这样做是为了防止当电源域A断电时电源域A破坏电路215。

当电源管理器132即将使电源域B崩溃时，电源管理器132也可以触发电路215以执行某些操作。例如，电源管理器132可以指示电路215在电源域B断电之前将电路215的当前逻辑状态存储在非易失性存储器230中，以便稍后在电路215的电源恢复时电路215的当前逻辑状态可以被恢复。在另一示例中，电源管理器132可以指示电路215在电源域B断电之前将关键信息(例如，安全信息)存储在非易失性存储器230中。虽然图2示出了非易失性存储器230位于电源域B中，但是应当理解，非易失性存储器230也可以位于另一电源域中，或者可以在芯片130外部。

如上所述，当电源域A即将崩溃时，电源管理器启用隔离器件220以将电源域B中的电路215与电源域A隔离。这有助于确保在电源域A崩溃时电源域B被正确隔离。但是，这种方法仅在电源管理器知道关键电源事件何时发生的情况下才有效，而情况并非总是如此。例如，如果用户意外地去除了主电源110(例如，电池)，则电源管理器132可能无法在电源域A断电之前安全地隔离电源域B中的电路215。

此外，当电源管理器132没有预知断电(例如，由于主电源110的意外去除)时，电源管理器132可能无法在电源域B断电之前正确触发电路215，以将电路的逻辑状态和/或关键信息保存在非易失性存储器230中。

根据本公开的各方面，提供了电源故障检测机制，其可以被用于保护电源域免受相邻电源域的断电和/或其自身的断电的影响，如下面进一步讨论的。

图3示出了根据本公开的实施例的其中电源域B还包括故障检测器310的示例。故障检测器310被配置为检测电源域A的即将发生的电源故障，并且响应于对即将发生的电源故障的检测而保护电源域B，如下面进一步讨论的。

在某些方面，故障检测器310监测电源域A的电源电压VddA。在这些方面，故障检测器310将监测的电源电压VddA与电压阈值进行比较。电压阈值可以等于或接近电源域A中的电路210正常运行所需要的最小电源电压。当监测的电源电压VddA下降(降低)到电压阈值以下时，故障检测器310启用隔离器件220以将电源域B中的电路215与电源域A隔离。通过将电路215与电源域A隔离，故障检测器310防止了电源域A的断电破坏电路215。如上所述，隔离器件220可以通过将电源域B中的信号线的部分224钳位到固定逻辑状态来将电路215与电源域A隔离。故障检测器310可以从电源轨136(图1A中所示)接收电力。

在图3中所示的示例中，电源域B还包括将电源管理器132和故障检测器310耦合到隔离器件220的使能输入EN的“或”门315。假定当使能输入EN为高(即，逻辑“1”)时隔离器件220被启用，“或”门315允许电源管理器132或故障检测器310启用隔离器件220。这是因为，如果来自电源管理器132或故障检测器310的使能信号为高，或者来自电源管理器132和故障检测器310两者的使能信号为高，则“或”门315(其被耦合到使能输入EN)的输出为高。因此，在电源管理器132意识到电源域A即将断电的情况下，电源管理器132仍然能够启用隔离器件220。在电源管理器132不知道即将发生的断电(例如，由于意外断电)的情况下，故障检测器310可以启用隔离器件220。

图4示出了故障检测器310的示例性实现。在该示例中，故障检测器310包括具有第一输入412、第二输入414和输出416的电压比较器410。第一输入412可以被耦合到电源域A的电源轨134(图1A中所示)，以监测电源域A的电源电压VddA。第二输入414接收阈值电压，该阈值电压可以等于或接近电源域A中的电路210正常工作所需要的最小电源电压，如上所述。电压比较器410的输出416被耦合到隔离器件220的使能输入EN(例如，经由“或”门315或直接地)。

电压比较器410将电源电压VddA与阈值电压进行比较，并且基于该比较来向隔离器件220的使能输入EN输出1或0。更具体地，如果电源电压VddA高于阈值电压，则电压比较器410输出0。在这种情况下，故障检测器310不启用隔离器件220。应当理解，在这种情况下，电源管理器132仍然可以启用隔离器件220。如果电源电压VddA低于阈值电压，则电压比较器410输出1。在这种情况下，故障检测器310启用隔离器件220以将电源域B中的电路215与电源域A隔离。

图5示出了其中故障检测器310包括用于生成阈值电压的电压缩放器510的示例。在该示例中，电源域A的电源电压VddA的标称(预期)电压电平低于电源域B的电源电压VddB的标称(预期)电压电平。在操作中，电压缩放器510按比例缩小电源域B的电源电压VddB的电压电平以生成阈值电压。

在图5中所示的示例中，电压缩放器510利用分压器实现，该分压器包括被串联耦合在电源电压VddB与地之间的第一电阻器R1和第二电阻器R2。如图5中所示，阈值电压取自第一电阻器R1与第二电阻器R2之间的节点512。在该示例中，阈值电压由下式给出：

其中等式中的R1和R2分别为第一电阻R1和第二电阻R2的电阻，并且Vth为阈值电压。从等式可以看出，通过相应地设置第一电阻器R1和第二电阻器R2的电阻以在节点512处生成期望的阈值电压，阈值电压可以被设置为期望的电压电平。

应当理解，故障检测器310不限于以上示例，并且可以监测指示电源域A即将发生的电源崩溃的另一电源电压。例如，电压比较器410的第一输入412可以被耦合到电源域C的电源轨138以监测电源域C的电源电压VddC。在该示例中，由于PMIC 120处的断电(例如，由主电源110的意外去除引起的)，电源域C的电源电压VddC可以比电源域A的电源电压更快和/或更早地衰减。因此，电源域C的电源电压VddC中的下降可以指示电源域A的即将发生的电源崩溃，并且因此可以被用于检测电源域A的即将发生的电源崩溃。

在该示例中，电压比较器410将电源电压VddC与阈值电压进行比较，并且基于该比较来向隔离器件220的使能输入EN输出1或0。更具体地，如果电源电压VddC高于阈值电压，则电压比较器410输出0。在这种情况下，故障检测器310不启用隔离器件220。如果电源电压VddC低于阈值电压，则电压比较器410输出1。在这种情况下，故障检测器310启用隔离器件220以将电源域B中的电路215与电源域A隔离。在该示例中，阈值电压可以由电压缩放器510(图5中所示)生成，其中阈值电压是电源电压VddB的按比例缩小版本。在图4和5中，标签“VddA或VddC”指示电压比较器410的第一输入412可以被耦合到VddA或VddC。

图6示出了其中电压比较器410具有接收第二阈值电压的第三输入614的示例。注意，以上参考图4讨论的阈值电压在图6中已被重新标记为“第一阈值电压”。第二阈值电压可以略高于第一阈值电压。如下面进一步讨论的，第二阈值电压被用于防止电压比较器410的输出416处的毛刺。

在该示例中，电压比较器410将电源电压(例如，VddA或VddC)与第一阈值电压进行比较，并且基于该比较来向隔离器件220的使能输入EN输出1或0。更具体地，如果电源电压高于第一阈值电压，则电压比较器410输出0。当电源电压下降到第一阈值电压以下时，电压比较器410输出1，在这种情况下，电压比较器410启用隔离器件220。

一旦电源电压下降到第一阈值电压以下，电压比较器410就将电源电压与第二阈值电压进行比较。如果电源电压低于第二阈值电压，则电压比较器410输出1(使隔离器件220保持启用)。如果电源电压升高到第二阈值电压以上，则电压比较器410输出0，在这种情况下，隔离器件220被禁用。如上所述，在隔离器件220被禁用之后，电压比较器410返回以将电源电压与第一阈值电压进行比较。当第一输入412处的电压由于电压中的小波动(例如，由噪声引起)而多次跨过第一阈值电压时，这防止了电压比较器410的输出416处的毛刺(例如，防止了输出416在0到1之间翻转)。在这方面，第二阈值电压可以被设置为足以防止不希望的毛刺的电压电平。

如上所述，在PMIC 120处断电的情况下(例如，由于主电源110的意外去除)，被耦合到电源域B的电源轨136的备用电源140在短时间期间内继续对电源域B供电。结果，在电源域A由于PMIC 120处的断电而崩溃之后，备用电源140允许电源域B中的电路215继续工作。因此，在PMIC 120处断电的情况下，通过将电路215与电源域A隔离，故障检测器310允许电源域B中的电路215在电源域A已经崩溃之后运行，而不会由于电源域A的电源崩溃而被损坏。

在某些方面，当故障检测器310检测到电源域A的即将发生的电源崩溃时，电路215可以执行紧急操作。紧急操作可以是可以由电路215在备用电源在PMIC 120处的断电之后(例如，由于主电源110的意外去除)能够对电源域B供电的短时间期间内执行的操作。

在这方面，图7示出了其中芯片还包括紧急触发器件710的示例。紧急触发器件710被配置为当故障检测器310检测到电源域A的即将发生故障时，触发电路215以执行紧急操作。例如，紧急触发器件710可以被耦合到故障检测器310的与隔离器件220相同的输出。对于其中故障检测器310输出逻辑“1”以启用隔离器件220的示例，紧急触发器件710可以在故障检测器310的输出为高(即，逻辑“1”)时触发(或启动)紧急操作。触发器件710可以从电源轨136(图1A中所示)接收电力。

紧急操作可以包括将电路215的当前逻辑状态存储在非易失性存储器230中。当到电源域B的功率稍后被恢复以恢复电路215中的当前逻辑状态时，这允许将当前逻辑状态加载回到电路215中。在另一示例中，紧急操作可以包括将关键信息(例如，安全信息)存储在非易失性存储器230中。这样，当电源域B崩溃时，关键信息不会丢失。尽管图7示出了位于电源域B中的非易失性存储器230，但是应当理解，非易失性存储器可以位于另一电源域中或者在芯片130外部。

图8示出了其中电路215保持可以作为上述紧急操作的一部分而被保存在非易失性存储器230中的安全信息的示例。在该示例中，电源域A中的电路210包括安全处理器810，并且电源域B中的电路215包括计数器815。安全处理器810被配置为执行安全操作以防止攻击者(例如，黑客和/或恶意程序)篡改存储在存储器中的数据。存储器(未示出)可以是在芯片130外部的非易失性存储器。如本文中使用的，术语“数据”还可以包括代码(例如，固件代码)。

在操作中，当安全处理器810更新数据时，安全处理器810通过向电路215发送命令以增加计数器815中的计数值来增加该计数值。然后，安全处理器810使用计数值来生成密钥，并且使用该密钥将密钥哈希算法应用于数据的至少一部分以生成(计算)密码签名(也被称为数字签名)。然后，安全处理器810将数据和密码签名存储在存储器(例如，片外非易失性存储器)中。在该示例中，计数器815中的计数值可以指示存储在存储器中的数据的当前版本。

当安全处理器810从存储器读回数据时，安全处理器810也从存储器读回密码签名。然后，安全处理器810使用计数器815中的当前计数值来生成密钥，并且使用该密钥将密钥哈希算法应用于所读取的数据的至少一部分以重新生成(重新计算)密码签名。然后，安全处理器810将读取的密码签名与重新生成的密码签名进行比较。如果签名相匹配，则安全处理器810确定所读取的数据有效(例如，尚未被攻击者修改)。如果签名不匹配，则安全处理器810确定所读取的数据无效，并且防止数据被使用(例如，被执行)。

上述安全过程防止回滚攻击，在该回滚攻击中，攻击者在存储器中存储数据和密码签名的较旧版本。这是因为，用于为数据的较旧版本生成加密签名的密钥是基于较旧的计数值生成的。结果，当安全处理器使用当前计数值生成密钥，并且基于当前计数值使用密钥重新生成(重新计算)加密签名时，所读取的加密签名和重新生成的加密签名将不匹配。

为了使上述安全过程起作用，重要的是，在意外断电(例如，由于主电源110的意外去除)的情况下，计数器815中的当前计数值被存储在非易失性存储器230中。这允许在电源恢复时，当前计数值被恢复到计数器815。在这方面，由紧急触发器件710触发的紧急操作可以包括电路215将计数器815中的当前计数值存储在非易失性存储器230中。

在一个示例中，非易失性存储器230可以包括一次性可编程存储器。一次性可编程存储器可以包括熔丝，其中每个熔丝能够存储一位。在该示例中，熔丝可以具有默认位值(例如，0)，其可以通过熔断熔丝而被改变为另一位值(例如，1)。由于一次性可编程存储器具有有限数目的熔丝，因此电路215可以响应于来自紧急器件710的触发而仅将计数值存储在一次性可编程存储器中，以避免耗尽一次性可编程存储器中的可用空间。在由电源管理器132管理的正常断电期间，电路215可以将计数值存储在另一存储器(例如，非一次性可编程存储器)中。

如上所述，在隔离器件220被启用之后，故障检测器310可以禁用隔离器件220(例如，当被监测的电源电压升高到第二阈值电压以上时)。例如，当PMIC 120处的断电是暂时的，并且PMIC 120处的功率被恢复时(例如，当主电源110被恢复时)，可能发生这一情况。在一个示例中，当PMIC 120处的功率被恢复时，故障检测器310可以在禁用隔离器件220之前等待，直到电路215完成紧急过程。例如，在隔离器件220被启用并且紧急过程被启动之后，故障检测器310可能要求在禁用隔离器件220之前所监测的电源电压升高到第二阈值电压以上和紧急过程两者被完成。对于其中紧急过程包括在非易失性存储器230中写入安全信息和/或状态信息(例如，通过熔断非易失性存储器230中的熔丝)的示例，故障检测器310可以认为在写操作结束时紧急过程完成。在该示例中，电路215可以在写入操作结束时通知故障检测器310。

如上所述，故障检测器310通过监测电源电压VddA或电源电压VddC来检测电源域A的即将发生的电源崩溃。在一些方面，电源域A的即将发生的电源崩溃也可以预示电源域B的即将发生的电源崩溃(例如，由于主电源110的意外去除)。在这些方面，由于后备电源140，电源域B的崩溃可以从电源域A的崩溃延迟，后备电源140可以在PMIC 120处的断电之后对电源域B供电。这提供了在故障检测器310检测到即将发生的电源故障时，用于隔离器件220将电路215与电源域A隔离和/或用于电路215执行紧急操作的时间。因此，故障检测器310的输出还可以指示电源域B的即将发生的崩溃，其中由于备用电源140，电源域B的崩溃从电源域A的崩溃延迟，如上所述。

在以上讨论中，对电源域A的即将发生的崩溃的检测可以提供足够的时间以供隔离器件220将电源域B中的电路215与电源域A隔离，以防止电源域A的崩溃损坏电路215。对电源域B的即将发生的崩溃的检测可以提供足够的时间以供电路215在电源域B的崩溃之前完成紧急操作。

图9示出了故障检测器310的示例性实现，其中故障检测器310被配置为检测电源域B的即将发生的崩溃(例如，由于PMIC 120处的断电)。图9还示出了从PMIC 120向电源域B分配电力的配电网络(PDN)910。PDN 910包括从PMIC 120到芯片130的互连、在芯片130上在互连与电源轨136之间的金属化层、以及电源轨136。互连可以包括寄生电感和电阻。图9还示出了存储电容器Cs，其在PMIC 120处的断电之后的短时间期间内对电源域B供电，如上所述。图9还示出了被配置为允许在从PMIC 120到电源轨136的方向上的电流流动的同时，阻止在相反方向上的电流流动的单向器件915，如下所述。

在该示例中，故障检测器310包括电压比较器410。电压比较器410的第一输入412在位于存储电容器Cs上游的节点912处被耦合到PDN 910。在节点912位于比存储电容器Cs更靠近PDN 910上的PMIC 120的意义上，节点912在存储电容器Cs的上游。电压比较器410的第二输入412接收阈值电压。电压比较器410的输出416被耦合到隔离器件220和/或紧急触发器件710。

在该示例中，假定在PMIC 120处断电的情况下，节点912处的电压衰减快于和/或早于电源域B的电源轨136处的电源电压VddB。这是因为，节点912位于存储电容器Cs的上游，而电源域B的电源轨136位于存储电容器Cs的下游，如图9中所示。因此，节点912处的电压下降可以指示电源域B的即将发生的崩溃，并且因此可以被用于检测电源域B的即将发生的崩溃。

当PMIC 120处发生断电时，单向器件915阻止从存储电容器Cs到节点912的电流流动。这防止了来自存储电容器Cs的电流泄漏到电压比较器410的输入412中，这将防止电压比较器410检测到断电。单向器件915可以利用二极管、开关或另一种类型的单向器件而被实现。对于二极管的示例，二极管被耦合在节点912与存储电容器Cs之间，并且被定向为允许电流在从PMIC 120到电源轨136的方向上的流动，并且阻止在相反方向上的电流流动。对于开关的示例，单向器件915可以包括开关和控制器，其中该开关被耦合在节点912与存储电容器Cs之间。在该示例中，控制器在PMIC 120通电时接通(闭合)开关，并且在PMIC 120处存在断电时关断(断开)开关。控制器可以通过以下方式来检测断电：监测PMIC 120处的电压，并且当监测的电压下降到某个电压电平以下时检测断电。

在操作中，电压比较器410将节点912处的电压与阈值电压进行比较，并且基于该比较输出1或0。更具体地，如果电压高于阈值电压，则电压比较器410输出0。在这种情况下，故障检测器310不启用隔离器件220和/或紧急触发器件710。如果电压低于阈值电压，则电压比较器410输出1。在这种情况下，故障检测器310启用隔离器件220和/或紧急触发器件710。

图10示出了其中故障检测器310包括用于生成图9中所示的阈值电压的电压缩放器1016的示例。在该示例中，电压缩放器1016在电源轨136上的节点1014处被耦合到电源电压VddB，该节点1014位于存储电容器Cs的下游。电压缩放器1016按比例缩小电源电压VddB以生成被输入到电压比较器的第二输入414的阈值电压。电压缩放器1016可以使用图5中所示的示例性电压缩放器510而被实现，其中阈值电压由等式(1)给出。

应当理解，图9和10中所示的电压比较器410可以利用图6中所示的电压比较器410而被实现，其中电压比较器410还接收第二阈值电压。如上所述，在该实现中，一旦电压下降到第一阈值电压以下，电压比较器410就将第一输入412处的电压与第二阈值电压进行比较，以防止输出416处出现毛刺。

图11示出了根据本公开的某些方面的隔离器件220的示例性实现。在该示例中，隔离器件220包括多个钳位器件1110-1至1110-6，其中每个钳位器件对应于在电源域A与电源域B之间穿过的相应信号线。每个钳位器件被配置为当使能信号未被断言(例如，使能信号为逻辑“0”或低)时，传递在相应信号线上的信号。每个钳位器件被配置为当使能信号被断言(例如，使能信号为逻辑“1”或高)时，将电源域B中的相应信号线的部分224钳位到固定逻辑状态。每个钳位器件可以是如下面进一步讨论的三种类型的钳位器件之一。

第一类型的钳位器件是保持器钳位器件。当使能信号未被断言(例如，使能信号为逻辑“0”或低)时，保持器钳位器件在相应的信号线上传递信号。当使能信号被断言时，保持器钳位器件锁存在相应信号线上的逻辑状态，并且将电源域B中的相应信号线的部分224固定为锁存的逻辑状态。例如，保持器钳位器件可以在使能信号从0转变为1时(即，在使能信号的上升沿)锁存逻辑状态。

图12示出了根据本公开的某些方面的保持器钳位器件1210的示例性实现。在该示例中，保持器钳位器件1210包括多路复用器1225和锁存器1230。多路复用器1225具有被耦合到保持器钳位器件1210的输入1212的第一输入1214、被耦合到锁存器1230的第二输入1216、以及被耦合到保持器钳位器件1210的输出1220的输出1218。锁存器1230被耦合在保持器钳位器件1210的输入1212与多路复用器1225的第二输入1216之间。保持器钳位器件1210的输入1212被耦合到电源域A中的相应信号线的部分222，并且保持器钳位器件1210的输出1220被耦合到电源域B中的相应信号线的部分224。

多路复用器1225被配置为在使能信号的控制下将多路复用器1225的第一输入1214或第二输入1216选择性地耦合到保持器钳位器件1210的输出1220。更具体地，多路复用器1225被配置为当使能信号未被断言(例如，使能信号为逻辑“0”或低)时，将第一输入1214耦合到保持器钳位器件1210的输出1220，并且当使能信号被断言(例如，使能信号为逻辑“1”或高)时，将第二输入1214耦合到保持器钳位器件1210的输出1220。锁存器1230被配置为当使能信号被断言时，在保持器钳位器件的输入1212处锁存逻辑状态，并且将锁存的逻辑状态输出到多路复用器1225的第二输入1216。例如，锁存器可以在使能信号从0转变为1时(即，在使能信号的上升沿)锁存逻辑状态。

在操作中，当使能信号未被断言(例如，使能信号为逻辑“0”或低)时，多路复用器1225将电源域A中的相应信号线的部分222耦合到电源域B中的相应信号线的部分224。这允许信号经由相应信号线从电源域A传递到电源域B。当使能信号被断言时，锁存器1230锁存在相应信号线上的逻辑状态，并且多路复用器1225输出在电源域B中的相应信号线的部分224上的锁存逻辑状态。因此，保持器钳位器件1210将电源域B中的相应信号线的部分224固定到锁存的逻辑状态。

第二类型的钳位器件是固定为1的钳位器件。当使能信号未被断言(例如，使能信号为逻辑“0”或低)时，固定为1的钳位器件传递在相应信号线上的信号。当使能信号被断言(例如，使能信号为逻辑“1”或高)时，固定为1的钳位器件将电源域B中的相应信号线的部分224固定为逻辑“1”(高逻辑状态)。

图13A示出了根据本公开的某些方面的固定为1的钳位器件1310的示例性实现。在该示例中，固定为1的钳位器件1310包括第一开关器件1316、第二开关器件1318和驱动器1320。第一开关器件1316位于钳位器件1310的输入1312与输出1314之间，并且第二开关器件1318位于钳位器件1310的输出1314与电源电压VddB之间。驱动器1320被配置为接收使能信号并且基于所接收的使能信号来控制开关1316和1318的接通/断开状态，如下面进一步讨论的。钳位器件1310的输入1312被耦合到电源域A中的相应信号线的部分222，并且钳位器件1310的输出1314被耦合到电源域B中的相应信号线的部分224。

在操作中，当使能信号未被断言(例如，使能信号为逻辑“0”或低)时，驱动器1320接通(闭合)第一开关器件1316，并且关断(断开)第二开关器件1318。这允许相应信号线上的信号通过第一开关器件1316从电源域A传递到电源域B。图13A示出了其中第一开关器件1316闭合并且第二开关器件1318断开的示例。

当使能信号被断言(例如，使能信号为逻辑“1”或高)时，驱动器1320关断(断开)第一开关器件1316，并且接通(闭合)第二开关器件1318。这将电源域B中的相应信号线的部分224固定到逻辑“1”。图13B示出了其中第一开关器件1316断开并且第二开关器件1318闭合的示例。

应当理解，开关器件可以由使能信号直接驱动，在这种情况下，驱动器1320可以被省略。

第三类型的钳位器件是固定为0的钳位器件。当使能信号未被断言(例如，使能信号为逻辑“0”或低)时，固定为0的钳位器件传递相应信号线上的信号。当使能信号被断言(例如，使能信号为逻辑“1”或高)时，固定为1的钳位器件将电源域B中的相应信号线的部分224固定为逻辑“0”(低逻辑状态)。

图14A示出了根据本公开的某些方面的固定为0的钳位器件1410的示例性实现。在该示例中，固定为0的钳位器件1410包括第一开关器件1416、第二开关器件1418和驱动器1420。第一开关器件1416位于钳位器件1410的输入1412与输出1414之间，并且第二开关器件1418位于钳位器件1410的输出1414与地之间。驱动器1420被配置为接收使能信号并且基于所接收的使能信号来控制开关1416和1418的接通/断开状态，如下面进一步讨论的。钳位器件1410的输入1412被耦合到电源域A中的相应信号线的部分222，并且钳位器件1410的输出1414被耦合到电源域B中的相应信号线的部分224。

在操作中，当使能信号未被断言(例如，使能信号为逻辑“0”或低)时，驱动器1420接通(闭合)第一开关器件1416并且关断(断开)第二开关器件1418。这允许相应信号线上的信号通过第一开关器件1416从电源域A传递到电源域B。图14A示出了其中第一开关器件1416闭合并且第二开关器件1418断开的示例。

当使能信号被断言(例如，使能信号为逻辑“1”或高)时，驱动器1420关断(断开)第一开关器件1416并且接通(闭合)第二开关器件1318。这将电源域B中的相应信号线的部分224固定到逻辑“0”。图14B示出了其中第一开关器件1416断开并且第二开关器件1418闭合的示例。

应当理解，开关器件可以由使能信号直接驱动，在这种情况下，驱动器1420可以被省略。

隔离器件220中的钳位器件1110-1至1110-6可以全部是相同类型。替代地，钳位器件1110-1至1110-6可以是不同类型的混合。例如，钳位器件1110-1至1110-6中的一个可以是保持器钳位器件，而钳位器件1110-1至1110-6中的另一个可以是固定为1的钳位器件或固定为0的钳位器件。

图15示出了流程图，该流程图示出了根据本公开的某些方面的用于芯片上的电源故障减轻的方法1500。芯片包括第一电源域(例如，电源域A)中的第一电路(例如，电路210)、第二电源域(例如，电源域B)中的第二电路(例如，电路215)、以及在第一电路与第二电路之间提供通信并且在第一电源域与第二电源域之间穿过的信号线。

在步骤1510处，第一电源域或第二电源域中的至少一个电源域的即将发生的电源故障被检测。例如，即将发生的电源故障可以通过以下方式而被检测：将第一电源域(例如，电源域A)或第三电源域(例如，电源域C)的电源电压与阈值电压进行比较，并且如果电源电压低于阈值电压，则检测即将发生的电源故障。

在步骤1520处，响应于对即将发生的电源故障的检测，第二电源域中的信号线的一部分被钳位到逻辑状态。例如，第二电源域中的信号线的一部分可以被钳位到1或0。在另一示例中，信号线的逻辑状态可以被锁存，并且第二电源域中的信号线的一部分可以被钳位到锁存的逻辑状态。

在以上示例中，故障检测器310可以通过使用电压比较器将监测的电压与电压阈值进行比较，来检测即将发生的电源崩溃。然而，应当理解，本公开不限于这些示例。比如，故障检测器310可以通过检测电压下降的症状来检测即将发生的电源崩溃。例如，电源域A的电源电压VddA中的下降可能导致来自电源域A中的电路210的信号的错误率增大。在该示例中，故障检测器310可以监测来自电源域A中的电路210的信号的错误率，并且当错误率上升到错误阈值以上时，检测电源域A的即将发生的电源崩溃。因此，故障检测器310可以通过检测电压下降的症状来间接地检测电压下降。

在以上示例中，故障检测器310输出1以启用隔离器件220和/或紧急触发器件710，并且输出0以禁用隔离器件220和/或紧急触发器件710。应当理解，逻辑可以颠倒，其中故障检测器310输出0以启用隔离器件220和/或紧急触发器件710，并且输出1以禁用隔离器件220和/或紧急触发器件710。在这种情况下，当使能信号从1转变为0时，保持器钳位器件可以锁存相应的信号线上的逻辑状态。

应当理解，使能信号可以是多位信号。例如，当使能信号被断言时，使能信号还可以指定隔离器件220中的哪些钳位器件将被启用(接合)。

应当理解，本公开不限于以上用于描述本公开的术语。例如，电源域也可以被称为电源岛、电压域等。

在本公开内容中，词语“示例性”用于表示“用作示例、实例或说明”。本文中描述为“示例性”的任何实现或方面都不必被解释为相对于本公开的其他方面是优选或有利的。同样，术语“方面”并不要求本公开的所有方面都包括所讨论的特征、优点或操作模式。本文中使用术语“被耦合”是指两个组件之间的直接或间接耦合。术语“电路”被广泛地使用，并且意在覆盖电气设备和导体的硬件实现，这些电气设备和导体在被连接和配置时，使得能够执行本公开中描述的功能。术语“电路”还旨在涵盖软件实现，其中处理器通过执行包括用于执行功能的代码的软件，来执行本文中描述的功能。软件可以被存储在诸如RAM、ROM、EEPROM、光盘和/或磁盘等计算机可读存储介质上。

应当理解，本公开不限于本文中公开的方法中的步骤的特定顺序或层次。应当理解，基于设计偏好，方法中步骤的特定顺序或层次可以被重新布置。随附的方法权利要求以示例顺序呈现了各个步骤的要素，并且并不表示限于所呈现的特定顺序或层次，除非在其中具体叙述。

上面讨论的故障检测器可以利用被设计为执行本文中描述的功能的通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其他可编程逻辑器件、离散的硬件组件(例如，逻辑门)或其任何组合而被实现。处理器可以通过执行包括用于执行功能的代码的软件，来执行本文中描述的功能。软件可以比存储在诸如RAM、ROM、EEPROM、光盘和/或磁盘等计算机可读存储介质上。

提供本公开的先前描述以使得本领域的任何技术人员能够制造或使用本公开。对本公开的各种修改对于本领域技术人员将是很清楚的，并且在不脱离本公开的精神或范围的情况下，本文中定义的一般原理可以应用于其他变型。因此，本公开内容不旨在限于本文中描述的示例，而是与符合本文中公开的原理和新颖性特征的最宽范围相一致。