集成電路上安全模塊的集成的製作方法

2023-06-04 06:21:46

專利名稱：集成電路上安全模塊的集成的製作方法
技術領域：
本發明涉及集成電路設計內部的安全保護，特別涉及集成電路上安全模塊的集成。
對有些處理應用來說，最重要的是在安全的環境中運行，使得操作不被刺探和篡改。在現有技術中，使用了各種方法來提供安全的處理環境。
例如，可以用一個機械機箱來安置處理設備。這個機械機箱可包含幹預開關(tamper switches)和其它部件，用來檢測和保護不受幹預和篡改。不幸的是，這種機械機箱會給產品增加很多成本。
另外，為了限制對特定集成電路的接觸，可以用環氧樹脂或其它化學物質覆蓋，以防止接觸。不幸的是，這常常很容易就遭到破壞，所以只提供極少的保護。
另一種提供安全處理環境的方法是在單一集成電路上實現該系統。例如可用集成電路的一部分來執行安全操作。不過可能還有使這種方案失效的企圖。
例如，攻擊者可能會試圖通過在適當位置應用放射線或阿爾法粒子來暴露關於密鑰的信息或關於安全系統的信息。過度的放射線或阿爾法粒子會導致單事件擾亂(SEU,single event upset)。單事件擾亂會影響安全操作的數據完整性。如果在與密鑰或以密鑰加密的數據相關的操作中發生單事件擾亂，這會削弱集成電路內保護的有效性，可為破壞該安全系統提供通途。
進行其它類型的攻擊是可能的。儘管添加了各種用來保護集成電路的電路，這些電路通常都是針對某一問題而專門添加的。還沒有綜合的努力來保護集成電路。
按照本發明的最佳實施例，一種集成電路包括要求保護的安全邏輯。安全保障邏輯保護該安全邏輯。該安全保障邏輯包括多個監視不安全條件的發生的保護模塊。每個保護模塊監視一個不同類型的不安全條件。每個保護模塊在檢測到相關的不安全條件時發出一個報警信號。由多個保護模塊發出的報警信號被存儲起來。
在該最佳實施例中，一旦有報警信號發出，該報警信號被一個第一寄存器接收。用一個第二寄存器來屏蔽報警信號。由該第二寄存器進行的屏蔽用來防止所選擇的報警信號被傳播。這就允許在測試安全保障邏輯期間封閉某些報警。一個第三寄存器存儲已經發出但尚未被第二寄存器屏蔽的報警信號。當檢測到報警信號時可以將集成電路復位。
該多個保護監控器例如包括下述中的一個或多個一個檢測受監視時鐘何時超過預定頻率的高頻監控器，一個檢測受監視時鐘何時小於預定頻率的低頻監控器，一個監視集成電路內的單事件擾亂的單事件檢測器監控器，一個監視集成電路被復位的次數的復位監控器，和一個監視無效電平的電壓檢測器。
此外，安全保障邏輯一般還包括一個用於在集成電路上電時將集成電路復位到一個已知狀態的通電復位電路。
上述的將保護模塊集成到安全保障邏輯中，要求攻擊集成電路的安全性能的人必須同時使一個以上的安全部件失去作用。這增加了要成功地克服安全性能所要求的攻擊的複雜程度。本文所述的集成解決方案可用來保護實現必須訪問兩個獨立的地址空間的固件的集成電路。安全保障邏輯的可編程特點，允許獨立地改變寄存器值，使得在集成電路的操作中沒有不安全的重疊時段(insecure periodof overlap)。


圖1是表示其中用按照本發明實施例的安全保障邏輯來保護受保護邏輯的集成電路的簡化框圖；圖2是表示按照本發明實施例的在集成電路內將電保護裝置連接在一起的安全保障邏輯的簡化框圖；圖3是表示按照本發明實施例的在集成電路內將電保護裝置連接在一起的另外的安全保障邏輯的簡化框圖；圖4是表示按照本發明實施例的圖1所示狀態寄存器的結構的簡化框圖；圖5是按照本發明實施例的通電復位邏輯的簡化框圖；圖6是通電復位邏輯單元的一種方式的簡化框圖。
圖1是一個包括處理器123、受保護邏輯112和其它邏輯140的集成電路的簡化框圖。在集成電路11內安全保障邏輯12將電保護裝置連接在一起。將所有安全保障邏輯12部件集成到單一的模塊化受保護部件中，使處理器123能控制和觀察用於測試的保護模塊，而不影響集成電路11的安全性。通過將多個保護模塊連接在一起，因為保護模塊現在是協同工作的，所以改善了系統的安全性。此外，可以控制保護模塊的復位狀態，使得為了IDDq測試(***什麼是IDDq測試？***)而斷電時不破壞集成電路的安全性。
圖2是安全保障邏輯12的簡化框圖。受監測的時鐘信號(MON_CLK)被放置在一個監測時鐘信號線上。安全保障邏輯12內的部件監測並保護該受監測的時鐘。屏蔽寄存器29被用來屏蔽特定的安全保障功能，使得能通過處理器123為某些操作關閉個別的安全功能部件(即報警信號)。這也使得能測試每個功能部件。由於在集成電路11中有完全相同的安全功能部件，所以能在啟動時測試安全邏輯，而不會產生問題，也不會產生能為攻擊者利用的突破口。
安全保障邏輯12包括一個高頻監控器21、一個低頻監控器22，一個單事件擾亂(SEU)檢測監控器24、一個復位監控器25和一個過/欠壓檢測器26。
用原始(raw)寄存器28、屏蔽寄存器29和狀態寄存器30匯集來自監測模塊的報警。處理器123能用總線45對原始寄存器28、屏蔽寄存器29和狀態寄存器30進行信息的讀寫。
原始報警源被異步地俘獲在原始寄存器28中。這些報警在報警線54上輸出。這些報警先由屏蔽寄存器29中的值屏蔽後再傳遞到狀態寄存器30。被屏蔽的報警是在線路55上被傳遞到狀態寄存器30的。之所以要求異步俘獲是因為在報警的時刻不能保證有效的時鐘源。異步俘獲被雙同步到處理器123的時鐘域，然後被狀態寄存器30取樣。一旦狀態寄存器中的某位被置位，相應的異步俘獲就被清除。狀態寄存器30中的一個報警置位(alarm set)導致在線路57上設置一個復位信號。
圖4表示在狀態寄存器30內用於報警位的雙同步的一例邏輯。一個第一延遲(D)觸發器91與一個第二D觸發器92串行地相連。D觸發器19的D輸入端通過線路94與VDD相連。D觸發器91的時鐘輸入端在線路95上接收來自屏蔽寄存器29的一個屏蔽報警位。D觸發器92的時鐘輸入端97接收系統時鐘(CLK)信號。D觸發器92的Q輸出端在線路98上設置一個狀態位。系統時鐘(CLK)信號被用來為安全保障邏輯12的所有同步部件和寄存器定時。線路40上的一個來自(圖2中所示的)同步部件32的復位信號被用來復位D觸發器92。邏輯NOR門93被用來為D觸發器91生成復位信號。
如圖2中所示，通電復位單元27、在線路42上和復位(PINRST_L)線路43上設置的軟體復位，都被用來復位該監控系統。各復位信號由如圖所示那樣連接的同步部件31、同步部件32和同步部件33同步。邏輯0R門34和邏輯0R門35綜合各復位信號，在線路58上生成復位(信號)(RSROUT_L)。保存復位部件36按預定的時鐘周期數保存復位(信號)，並在復位刪除線路59上生成復位刪除(RSTDEL_L)信號。
(圖3中所示的)軟體復位同步器64生成在線路42上設置的軟體復位。(圖3中所示的)控制寄存器63為軟體復位同步器64存儲兩個控制位，它們在線路79和線路80上被傳遞給軟體復位同步器64。
低頻監控器22用由內部環形振蕩器(ROSC)23生成的基準時鐘來與監視時鐘信號線41上的被監視時鐘信號(MON_CLK)作比較。必須使用環形振蕩器23，因為低頻監控器23需要能檢測何時被監視時鐘信號已經停止。低頻監控器22在線路47上設置低頻報警。
由於受監視時鐘被取樣，低頻監控器22可能會以任何違反尼奎斯特速率(Nyquist rate)的輸入時鐘頻率產生一個虛假錯誤。受監視時鐘必須小於環形振蕩器所生成的基準時鐘的頻率的8倍。在(圖3中所示的)寄存器62中存儲的一個8位低頻值被用來配置低頻監控器22。
高頻監控器21被用來保證監視時鐘信號線41上的受監視時鐘信號(MON_CLK)小於設備的最大頻率。由於高頻監控器21用設備的關鍵路徑來確定時鐘頻率是否太快，結果是一個包括監測電壓、過程和溫度的操作點檢測。
高頻限度不是固定的，而是由設備的能力決定的。在一個於零度和額定電壓下為最佳處理設備的系統中，允許該設備的頻率高於高溫和更低電壓下操作發生時的頻率。由於操作點是可編程的，能用高頻監控器21來為當前操作環境調整有相鎖定循環(PLL-phasedlocked loop)的頻率。高頻監控器21在線路46上設置一個高頻報警。
存儲在(圖3中所示的)寄存器61中的一個8位高打擊值(highstrike value)和一個8位高頻值被用來配置高頻監控器21。
復位監控器25計算所發出的復位(復位輸出線58上的復位輸出信號(RSROUT_L)。達到復位限值時，復位監控器25在線路51上發出一個報警。復位監控器25能用(圖3中所示的)控制寄存器63中的一個清除打擊位(clear strike bit)清除。在完成集成電路的引導處理並等待一個隨機的時段後，用軟體來清除復位監控器25。
來自復位監控器25的報警被用來發出一個設備復位(如果在屏蔽寄存器29中未被屏蔽的話)。復位之後，就忽略在線路43上發出的其它的人工復位(PINRST_L)，直到這個報警已經在狀態寄存器30中被清除。(圖3中所示的)控制寄存器63為復位監控器51存儲一個清除位，它在線路78上被傳遞到復位監控器51。
過和欠壓檢測器26被用來保護電平免得對於該處理技術來說是無效的。該處理的最小工作核心電壓和最大工作核心電壓被用作該電壓檢測的邊界值。
為檢測器的啟動範圍規定的電壓範圍是基於集成電路在其中實現的處理技術。在欠壓啟動範圍以下，將總是檢測到一個欠壓錯誤。在通電復位(POR)啟動範圍以上，通電復位單元27將總是不活動的(不是聲明的)。在過壓檢測(OVD)啟動範圍以上，過壓檢測器將生成一個報警。在過壓檢測器啟動範圍以下，過壓檢測器將不生成報警。
在許多處理技術中，欠壓啟動範圍和POR啟動範圍重疊。在這種情況下，就不執行欠壓檢測器(即在設計中避免它)。如果不執行欠壓檢測器，則應當在VDD-10％要求而不是最小VDD的基礎上設置POR啟動範圍，以保證欠壓擾亂將導致PRO復位。
在最佳實施例中，過和欠壓檢測器26的欠壓檢測部分監測核心VDD電壓饋送，以保證電壓水平總不落在給定處理所需的最小核心電壓之下。當VDD處於核心VDD+/-10％這個設備的有效工作範圍內時，決不會檢測到錯誤。
在最佳實施例中，過和欠壓檢測器26的欠壓檢測部分有一個可用於IDDq測試的斷電(PD)輸入81。當斷電時，不管核心VDD的值如何，設備的輸出狀態不指示錯誤。欠壓設計也抑制電源線上的噪聲。過和欠壓檢測器26的欠壓檢測部分能與數字邏輯一起被傳送，不會因數字轉換噪聲而產生錯誤。
過和欠壓檢測器26的過壓檢測部分監視核心VDD供應，以保證電平總不高於給定處理的最大可允許核心電壓。此外，當VDD處於核心VDD+/-10％這個設備的有效工作範圍內時，決不會檢測到錯誤。
過和欠壓檢測器26的過壓檢測部分也有一個可用於IDDq測試的斷電輸入82。當斷電時，不管核心VDD的值如何，輸出狀態不指示錯誤。過和欠壓檢測器26的過壓檢測部分的構造方式，能抑制電源線上的噪聲。
單事件擾亂(SEU)檢測監控器24跟蹤邏輯操作並檢測256個時鐘周期內的單一或多個位的錯誤。在最佳實施例中，檢測邏輯是在集成電路11中實現的完全數字的邏輯。當檢測到一個單事件擾亂時，單事件擾亂檢測監控器24在報警線49或報警線50上設置報警。控制寄存器63為單事件擾亂檢測監控器24存儲兩個錯誤位(r_err和p_err)，它們在線路76和線路77上被傳遞給單事件擾亂檢測監控器24。
圖1表示散布在整個集成電路11中的各單事件擾亂檢測器的使用。有些單事件擾亂檢測器位於受到保護的受保護邏輯112(例如加密邏輯)的附近。另外的單事件擾亂檢測器儘可能遠離受保護邏輯，用作比較。所用的單事件擾亂檢測器的數目由集成電路11的總共的門數決定。一個好的近似計算法是，在按集成電路11內部邏輯塊的設計中每15k-20k基於單元的邏輯的門大約一個計數器(在這個計算中包括RAM和ROM)。
各單事件擾亂檢測器在圖1中由單事件擾亂檢測器114、單事件擾亂檢測器115、單事件擾亂檢測器116、單事件擾亂檢測器117、單事件擾亂檢測器118、單事件擾亂檢測器119、單事件擾亂檢測器120和單事件擾亂檢測器121表示。圖1不是按比例繪製的。單事件擾亂檢測器散布在整個集成電路11中，以便能檢測即使在安全集成電路11的似乎不關鍵的區域中發生的事件。
安全保障邏輯12內的單事件擾亂檢測監控器24(圖2中所示)通過數據路徑124從單事件擾亂檢測器114收集單事件擾亂檢測信息。安全保障邏輯12內的單事件擾亂檢測監控器24通過數據路徑125從單事件擾亂檢測器115收集單事件擾亂檢測信息。安全保障邏輯12內的單事件擾亂檢測監控器24通過數據路徑126從單事件擾亂檢測器116收集單事件擾亂檢測信息。安全保障邏輯12內的單事件擾亂檢測監控器24通過數據路徑127從單事件擾亂檢測器117收集單事件擾亂檢測信息。安全保障邏輯12內的單事件擾亂檢測監控器24通過數據路徑128從單事件擾亂檢測器118收集單事件擾亂檢測信息。安全保障邏輯12內的單事件擾亂檢測監控器24通過數據路徑129從單事件擾亂檢測器119收集單事件擾亂檢測信息。安全保障邏輯12內的單事件擾亂檢測監控器24通過數據路徑130從單事件擾亂檢測器120收集單事件擾亂檢測信息。安全保障邏輯12內的單事件擾亂檢測監控器24通過數據路徑131從單事件擾亂檢測器121收集單事件擾亂檢測信息。安全保障邏輯12內的單事件擾亂檢測監控器24通過數據路徑132從單事件擾亂檢測器122收集單事件擾亂檢測信息。
單事件擾亂檢測器114至122的每一個用數字邏輯檢測單事件擾亂。例如監測單事件擾亂檢測器內每個由一個觸發器構成的位寄存器因單事件擾亂而引起的狀態轉換。這些觸發器被以預定的方式使用，然後受到監測，以檢測在操作期間發生的錯誤。狀態轉換中的錯誤例如可指示一個由放射線、阿爾法粒子或其它操作錯誤引起的單事件擾亂。
通電復位單元27在施加電源時為設備提供一個已知狀態。初始化到一個已知狀態對安全集成電路來說是關鍵的。通電復位單元27用電源的施加來生成一個直到該電源穩定時才釋放的復位輸出。
通電復位單元27的集成對集成電路11的安全是必不可少的。目前的測試策略要求將集成電路的所有元件的電能降到一個低電能狀態才能進行IDDq測試。由於設備上的任何元件的初始狀態只有當通電復位單元27活動時才是可信的(trusted)，有一個與用於切斷通電復位單元27的電源的斷電線路44相連的外部引線。該外部引線不能受到安全保障邏輯12的信任，以致它繞過通電復位單元27並在上電後導致一個未知狀態。
環形振蕩器(ROSC)23為低頻監控器22提供基準時鐘。此外，環形振蕩器23還在輸出線48上提供一個振蕩時鐘(OSC CLK)。該振蕩時鐘被用於主動歸零(active zeroization)。環形振蕩器23是通過掃描測試方式得到全面測試的，方法是斷開環形振蕩器鏈路(chain)並插入使該鏈路可觀測和可控制的觸發器。
環形振蕩器23的頻率值可以在布線(layout)後調整，方法是用(OSC_CFG)輸入引線調整用哪個抽頭點作為環形振蕩器23的端點。這些配置輸入對設備的最終布線來說必須固定。控制寄存器63(圖3中所示)為環形振蕩器23存儲一個關閉位，它在線路75上被傳遞給環形振蕩器23。
引線復位線(PINRST_L)43是來自集成電路的輸入焊點的外部復位。由於引線復位(PINRST_L)是在集成電路外部被控制的，它不能被信任。該引線復位被集成電路假設是異步的。該外部復位必須被聲明為時至少一個時鐘周期才能保證同步邏輯32捕獲到該復位。同步邏輯32為元穩定性(meta-stability)提供雙同步。當被聲明時，引線復位(外部復位)將不被作為為時兩個時鐘的復位擴散到核心。
安全保障邏輯12可被用來在安全設備中實現主動歸零。安全保障邏輯12通過連接高頻和低頻監控器而總是提供一個有保障的有效時鐘。每當有高頻或低頻錯誤被檢測到、啟用或俘獲時，開關時鐘(SWTICLK)信號在47上就是活動的。該SWTICLK信號可被用來與系統時鐘(在時鐘樹(clock tree)之前)一起多路轉換輸出線路48上的OSC_CLK信號。由於設備復位是根據俘獲的擾亂發出的，所以不要求這個轉換是沒有假信號的。由於當前的時鐘確實會被停止，所以在最佳實施例中直接與一個多路轉換器進行這個聯繫。一旦對輸出線路48上的振蕩時鐘信號發生了轉換，處理器123(或其它硬體邏輯)就能根據狀態寄存器30內的狀態寄存器位或報警輸出對主動歸零作出決定。
圖5是解釋通電復位邏輯的操作的簡化框圖。線路153上的通電復位信號，由通電復位單元154(相當於圖1中所示的通電復位單元27)、延遲(D)觸發器156(相當於圖1中所示的同步部件33)或低頻監控器157(相當於圖1中所示的低頻監控器22)生成。各復位信號由邏輯OR門155採集。斷電信號在線路151上設置。D觸發器156由在線路152上設置的系統時鐘(CLK)定時。低頻監控器157監控系統時鐘(CLK)的頻率。
當電能被施加到集成電路11時，通電復位單元154被斷電，集成電路11保持在一個不變的狀態(沒有復位被發出)。
如果攻擊者試圖通過在線路151上聲明斷電信號而繞過通電復位單元154，D觸發器156確保只要使用系統時鐘(CLK)就會引起集成電路的復位。復位導致集成電路11被初始化到一個已知狀態。低頻監控器157防止系統時鐘(CLK)被停止。就是說，如果由與線路151相連的斷電引線生成的斷電信號在集成電路進入測試方式(此時低頻監控器157被禁止)之前被聲明，則如果系統時鐘(CLK)被停止，集成電路11就將進入一個復位狀態。其結果是，不能有效地繞過通電復位邏輯27。
圖6是模擬通電復位單元154的實現的簡化框圖。通電復位單元154是以適合特定處理技術的定製單元(custom cell)的形式實現的。通電復位單元154構造方式，能抑制電源線上的噪聲。
通電復位單元154的復位(POR_L)輸出158必須在電壓穩定後最少在20微秒的時間保持在低電平。電力幹線的穩定值，必須是大於所實現的處理技術的最低工作電壓的電平。
斷電(PD)輸入151至通電復位單元154不得改變復位輸出158的狀態。如果在電力被施加的同時斷電輸入151維持在高電平，復位輸出158永遠不釋放復位。如果在電力已經被施加並且復位脈衝已經完成後(電力被施加後超過20微秒)斷電輸入151被聲明為高電平，則復位輸出必須保持在高電平並且不能發出復位。
圖6表示的通電復位單元154是以一個RC網絡的形式模擬的，由電阻164和通過線路166接地的電容器165組成。VDD位於輸入線161上。緩衝器162將VDD傳送到由斷電線151控制的開關163。當斷電輸入151是不活動的(低電平的)，允許電容器165充電。當斷電輸入151是聲明的(高電平的)，不允許電容器165充電。電容器165被用來通過施密特觸發器167驅動復位輸出158。所以，一旦電容器165達到閥值(一個等於20微秒的時間常量)，復位輸出158就被釋放。儘管在圖6中通電復位單元154是以一個RC網絡的形式模擬的，通電復位單元的實際實現取決於所採用的技術。
以上討論僅披露和描述了本發明的示例性的方法和實施例。熟悉本領域的人們將明白，在不偏離其精神和本質特點的情況下本發明可以用其它具體形式來實現。所以，本發明的說明旨在解釋而不是限制由以下權利要求提出的本發明範圍。
權利要求
1．一種集成電路，包含要求保護的安全邏輯；和保護該安全邏輯的安全保障邏輯，該安全保障邏輯包括多個監視不安全條件的發生的保護模塊，其中每個保護模塊監視一個不同類型的不安全條件，每個保護模塊在檢測到不安全條件時發出一個報警信號；和用於接收和存儲由該多個保護模塊發出的報警信號的存儲裝置。
2．如權利要求1所述的集成電路，其中存儲裝置包含一個用於接收報警信號第一寄存器；一個用於屏蔽報警信號的第二寄存器，該第二寄存器被用來防止所選擇的報警信號被傳播；和一個用於存儲尚未被第二寄存器屏蔽的報警信號的第三寄存器。
3．如權利要求1所述的集成電路，其中該多個保護監控器包括一個檢測受監視時鐘何時超過預定頻率的高頻監控器。
4．如權利要求1所述的集成電路，其中該多個保護監控器包括一個檢測受監視時鐘何時小於預定頻率的低頻監控器。
5．如權利要求1所述的集成電路，其中該多個保護監控器包括一個監視集成電路內的單事件擾亂的單事件檢測監控器。
6．如權利要求1所述的集成電路，其中該多個保護監控器包括一個監視集成電路被復位的次數的復位監控器。
7．如權利要求1所述的集成電路，其中該多個保護監控器包括一個監視無效電平的電壓檢測器。
8．如權利要求1所述的集成電路，其中該安全保障邏輯此外還包括一個用於在集成電路上電時將集成電路復位到一個已知狀態的通電復位電路。
9．一種用於保護集成電路內的安全邏輯的方法，該方法包含以下步驟(a)由多個保護模塊監視不安全條件的發生，其中每個保護模塊監視一個不同類型的不安全條件的方式，包括下列子步驟(a．1)該多個保護模塊中的保護模塊在檢測到相關的不安全條件時發出一個報警信號；和(b)接收和存儲由該多個保護模塊發出的報警信號。
10．如權利要求9所述的方法，其中步驟(b)包括下列子步驟(b1．)將報警信號接收到一個第一寄存器中；(b．2)按照一個第二寄存器中的值屏蔽報警信號；和(b．3)將在步驟(b．2)中未被屏蔽的報警信號存儲在一個第三寄存器中。
11．如權利要求10所述的方法，另外還包含以下步驟(c)在有報警信號被存儲到第三寄存器中時復位集成電路。
12．如權利要求9所述的方法，其中步驟(a)包括檢測受監視時鐘何時超過預定頻率。
13．如權利要求9所述的方法，其中步驟(a)包括檢測受監視時鐘何時小於預定頻率。
14．如權利要求9所述的方法，其中步驟(a)包括監視集成電路內何時單事件擾亂。
15．如權利要求9所述的方法，其中步驟(a)包括監視集成電路被復位的次數。
16．如權利要求9所述的方法，其中步驟(a)包括一個監視無效電平。
17．如權利要求9所述的方法，其中步驟(a)此外還包括以下步驟(c)在集成電路上電時將集成電路復位到一個已知狀態。
18．集成電路內部的安全保障邏輯，該安全保障邏輯保護安全邏輯，該安全保障邏輯包含多個監視不安全條件的發生的保護模塊，其中每個保護模塊監視一個不同類型的不安全條件，每個保護模塊在檢測到相關的不安全條件時發出一個報警信號，和用於接收和存儲由該多個保護模塊發出的報警信號的存儲裝置。
19．如權利要求18所述的安全保障邏輯，其中存儲裝置包含一個用於接收報警信號第一寄存器；一個用於屏蔽報警信號的第二寄存器，該第二寄存器被用來防止所選擇的報警信號被傳播；和一個用於存儲尚未被第二寄存器屏蔽的報警信號的第三寄存器。
20．如權利要求18所述的安全保障邏輯，其中該多個保護監控器包括下列中至少之一一個檢測受監視時鐘何時超過預定頻率的高頻監控器；一個檢測受監視時鐘何時小於預定頻率的低頻監控器；一個監視集成電路內的單事件擾亂的單事件檢測監控器；一個監視集成電路被復位的次數的復位監控器；和一個監視無效電平的電壓檢測器。
全文摘要
一種集成電路包括要求保護的安全邏輯。安全保障邏輯保護該安全邏輯。該安全保障邏輯包括多個監視不安全條件的發生的保護模塊。每個保護模塊監視一個不同類型的不安全條件。每個保護模塊在檢測到不安全條件時發出一個報警信號。該多個保護模塊發出的報警信號被存儲起來。
文檔編號H01L21/822GK1304503SQ99806915
公開日2001年7月18日 申請日期1999年11月20日 優先權日1999年2月1日
發明者M·L·布爾 申請人:皇家菲利浦電子有限公司