DE102015208989B4 - Ausfallsichere Verarbeitungsvorrichtung - Google Patents

Ausfallsichere Verarbeitungsvorrichtung Download PDF

Info

Publication number
DE102015208989B4
DE102015208989B4 DE102015208989.4A DE102015208989A DE102015208989B4 DE 102015208989 B4 DE102015208989 B4 DE 102015208989B4 DE 102015208989 A DE102015208989 A DE 102015208989A DE 102015208989 B4 DE102015208989 B4 DE 102015208989B4
Authority
DE
Germany
Prior art keywords
arithmetic unit
fail
power supply
processing device
arithmetic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102015208989.4A
Other languages
English (en)
Other versions
DE102015208989A1 (de
Inventor
Shohei Kato
Hideo Sakuyama
Naoki Shibata
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Publication of DE102015208989A1 publication Critical patent/DE102015208989A1/de
Application granted granted Critical
Publication of DE102015208989B4 publication Critical patent/DE102015208989B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1608Error detection by comparing the output signals of redundant hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/182Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits based on mutual exchange of the output between redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1633Error detection by comparing the output of redundant processing systems using mutual exchange of the output between the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/2015Redundant power supplies

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)
  • Hardware Redundancy (AREA)
  • Power Sources (AREA)
  • Retry When Errors Occur (AREA)

Abstract

Ausfallsichere Verarbeitungsvorrichtung, umfassend:eine Vielzahl von Recheneinheiten (12, 13), die eine Funktion aufweisen, um gleichzeitig die gleiche Berechnung auszuführen und gegenseitig Ausgabedaten zu überwachen;eine Ausgabesteuereinheit (16), die eine Funktion aufweist, um die Ausgabedaten zeitweilig für jede der Recheneinheiten (12, 13) zu speichern und die gespeicherten Ausgabedaten für jede der Recheneinheiten (12, 13) gemäß einer Anweisung von einer der Vielzahl von Recheneinheiten nach außen abzugeben; undeine Vielzahl von Stromversorgungen (14, 15), die für jede der Recheneinheiten (12, 13) bereitgestellt werden, wobeieine von der Vielzahl von Stromversorgungen (14, 15) nicht nur die zugeordnete Recheneinheit (12, 13), sondern auch die Ausgabesteuereinheit (16) mit Strom versorgt.

Description

  • ALLGEMEINER STAND DER TECHNIK
  • Gebiet der Erfindung
  • Die vorliegende Erfindung betrifft eine ausfallsichere Multisystem-Verarbeitungsvorrichtung, die auf einem Gebiet verwendet wird, das eine hohe Sicherheit erfordert, das eine Vielzahl von Recheneinheiten umfasst und eine ausfallsichere Konfiguration bereitstellt, um eine Übereinstimmung zwischen den Rechenergebnissen sicherzustellen.
  • Beschreibung der verwandten Technik
  • Ein System, das eine Berechnung auf einem Gebiet ausführt, das eine hohe Sicherheit benötigt, wie etwa Sicherheitssysteme im Eisenbahnsignalwesen und Kraftwerke, umfasst mehrere Recheneinheiten und führt eine Reihe von Steuerungen aus, so dass das System prüft, ob die Rechenergebnisse übereinstimmen oder nicht; falls sie übereinstimmen, fährt das System mit dem normalen Betrieb fort; und falls sie nicht übereinstimmen, geht das System in einen sicheren Zustand über.
  • Somit ist es notwendig, die Faktoren zu beheben, für die eine Vielzahl von Recheneinheiten gleichzeitig die gleiche fehlerhafte Ausgabe ergeben. Einer der Faktoren umfasst eine zeitweilige Spannungsschwankung einer Stromversorgung. Die japanische Patent-Auslegeschrift JP 2002 - 116 921 A (Patentschrift 1) und die japanische Patent-Auslegeschrift JP H06 - 29 8105 A (Patentschrift 2) umfassen eine Vielzahl von Recheneinheiten, die jeweils von einer anderen Stromversorgung getrennt mit Strom versorgt werden. Es besteht eine geringe Wahrscheinlichkeit, dass eine Vielzahl von Stromversorgungen gleichzeitig einen gleichartigen Ausfall erzeugen, so dass eine Reduzierung der Wahrscheinlichkeit möglich ist, dass eine Vielzahl von Recheneinheiten auf Grund eines Stromversorgungsausfalls gleichzeitig die gleiche fehlerhafte Ausgabe ergeben.
  • Falls jedoch verschiedene Stromversorgungen, die getrennt Strom liefern, gleichzeitig die gleiche Spannungsschwankung erzeugen, gibt die Vielzahl von Recheneinheiten gleichzeitig die gleichen fehlerhaften Daten aus, was somit zu einer Möglichkeit führt, dass die Ausgabesteuereinheit die fehlerhaften Daten nicht erkennen kann und die fehlerhaften Daten nach außen abgibt. Um eine zeitweilige Spannungsschwankung einer Vielzahl von Stromversorgungen zu erkennen, stellt die Patentschrift 1 eine Konfiguration bereit, bei der eine CPU auch an die andere Stromversorgung angeschlossen ist und die andere Stromversorgung überwacht, und die Patentschrift 2 stellt eine Konfiguration bereit, bei der die beiden CPUs ihre Stromversorgungsausgabe gegenseitig überwachen. Falls jedoch eine zeitweilige Spannungsschwankung in einer Stromversorgung vorkommt, kann die CPU fehlerhafte Daten ausgeben, ohne einen Rechenunterbrechungsbefehl, wie etwa ein Reset, von einer Stromüberwachungseinheit zu empfangen. Entsprechend ist es eine Aufgabe der vorliegenden Erfindung, eine ausfallsichere Verarbeitungsvorrichtung bereitzustellen, welche die Möglichkeit behebt, ein fehlerhaftes Rechenergebnis auszugeben, selbst wenn eine zeitweilige Spannungsschwankung in einer Stromversorgung vorkommt, die eine Vielzahl von Recheneinheiten mit Strom versorgt. Weiterer Stand der Technik ist in folgenden Dokumenten beschrieben: US 2012/ 0 233 506 A1 ; US 8 373 435 B2 und US 7 516 358 B1 .
  • KURZDARSTELLUNG DER ERFINDUNG
  • Zur Lösung des oben beschriebenen Problems wird eine ausfallsichere Verarbeitungsvorrichtung mit den Merkmalen von Anspruch 1 angegeben. Weitere vorteilhafte Ausgestaltungen sind in den Unteransprüchen definiert.
  • Um das obige Problem zu lösen, liefert eine von einer Vielzahl von Stromversorgungen, die eine Vielzahl von Recheneinheiten, die eine ausfallsichere Verarbeitungsvorrichtung bilden, getrennt mit Strom versorgen, nicht nur Strom an die zugeordnete Recheneinheit, sondern auch an die anderen Schaltungsabschnitte als die Recheneinheiten, welche die ausfallsichere Vorrichtung bilden, oder weist eine andere Stromversorgungskapazität auf.
  • Selbst wenn eine zeitweilige Spannungsschwankung bei einer Stromversorgung vorkommt, weist gemäß der vorliegenden Erfindung jede Recheneinheit einen Unterschied der Zeiteinstellung auf, die durch die Spannungsschwankung beeinträchtigt wird, und daher kann die vorliegende Erfindung jede der Recheneinheiten daran hindern, gleichzeitig das gleiche fehlerhafte Rechenergebnis auszugeben.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • Es zeigen:
    • 1 eine Konfigurationsansicht, die eine ausfallsichere Verarbeitungsvorrichtung gemäß einer ersten Ausführungsform abbildet;
    • 2 ein Ersatzschaltbild, das dadurch vereinfacht ist, dass die anderen Schaltungen als die Recheneinheiten gemäß der ersten Ausführungsform durch Widerstands- und Kondensatorbauteile ersetzt werden;
    • 3 ein Diagramm, das eine Spannungsschwankung, einen Takt und die zeitliche Entwicklung von Ausgabedaten in jeder Recheneinheit bei einer Eingangsspannungsschwankung gemäß der ersten Ausführungsform abbildet;
    • 4 eine Konfigurationsansicht, die eine ausfallsichere Verarbeitungsvorrichtung gemäß einer zweiten Ausführungsform abbildet; und
    • 5 eine Konfigurationsansicht, die eine ausfallsichere Verarbeitungsvorrichtung gemäß einer dritten Ausführungsform abbildet.
  • AUSFÜHRLICHE BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSFORMEN
  • Nachstehend werden erste bis dritte Ausführungsformen der Reihe nach als Ausführungsformen der vorliegenden Erfindung beschrieben.
  • Erste Ausführungsform
  • Die erste Ausführungsform der vorliegenden Erfindung wird mit Bezug auf 1 bis 3 beschrieben.
  • Die erste Ausführungsform als ausfallsichere Multisystem-Verarbeitungsvorrichtung weist grundsätzlich eine Doppelsystemkonfiguration auf, die zwei Recheneinheiten, die gleichzeitig die gleiche Berechnung ausführen, und zwei Stromversorgungen, welche die gleiche Kapazität . aufweisen, umfasst. 1 ist eine Konfigurationsansicht, die eine ausfallsichere Verarbeitungsvorrichtung 11 gemäß einer ersten Ausführungsform abbildet.
  • Die ausfallsichere Verarbeitungsvorrichtung 11 wird auf eine Recheneinheit angewendet, die ausfallsichere Eigenschaften der Ausgabedaten benötigt. Um ausfallsichere Eigenschaften sicherzustellen, umfasst die in 1 abgebildete Konfiguration zwei Recheneinheiten: eine Recheneinheit A (12) und eine Recheneinheit B (13). Die Daten, die von der ausfallsicheren Verarbeitungsvorrichtung 11 ausgegeben werden, basieren auf den Daten, die von der Recheneinheit A (12) und der Recheneinheit B (13) berechnet werden.
  • Die Daten, die von der Recheneinheit A (12) und der Recheneinheit B (13) ausgegeben werden, werden einmal in einem Puffer 17 in einer Ausgabesteuereinheit (16) aufbewahrt (zeitweilig gespeichert). Die Recheneinheit A (12) und die Recheneinheit B (13) überwachen gegenseitig ihre Ausgabedaten, um zu bestätigen, dass die gegenseitigen Ausgabedaten einander entsprechen. Falls die Ausgabedaten einander entsprechen, werden die Daten, die in dem Puffer 17 in der Ausgabesteuereinheit 16 gespeichert sind, durch eine Anweisung der Recheneinheit A (12) ausgegeben. Falls die gegenseitigen Ausgabedaten auf Grund eines Problems mindestens einer der beiden Ausgabedaten einander nicht entsprechen, werden die Daten nicht aus dem Puffer 17 ausgegeben. Es sei zu beachten, dass die Recheneinheit A (12) und die Recheneinheit B (13) eine Funktion aufweisen, ein Rücksetzsignal an die andere Partei (gekoppeltes System) zu senden, um die Berechnung zu unterbrechen und die andere Seite zurückzustellen, falls ein Problem vorkommt, so dass die gegenseitigen Ausgabedaten einander nicht entsprechen.
  • Es besteht eine sehr geringe Wahrscheinlichkeit, dass sowohl die Recheneinheit A (12) als auch die Recheneinheit B (13) gleichzeitig ausfallen, und somit ermöglicht ein derartiges Verfahren eine Konfiguration einer ausfallsicheren Verarbeitungsvorrichtung, die eine ausfallsichere Ausgabe ermöglicht.
  • Falls es jedoch Faktoren dafür gibt, dass der gleiche Ausfall gleichzeitig sowohl in der Recheneinheit A (12) als auch in der Recheneinheit B (13) vorkommt, besteht auch ein Risiko, dass ein fehlerhaftes Signal von beiden Recheneinheiten ausgegeben wird. Obwohl somit die Ausgabedaten gegenseitig überwacht werden, können die Recheneinheit A (12) und die Recheneinheit B (13) den Fehler nicht erkennen und können das fehlerhafte Signal nach außen abgeben.
  • Deshalb muss, wie zuvor beschrieben, das ausfallsichere Vorrichtung die Faktoren für das gleichzeitige Vorkommen des gleichen Ausfalls möglichst beheben, um die Wahrscheinlichkeit, dass das fehlerhafte Signal nach außen abgegeben wird, hinlänglich zu unterdrücken.
  • Beispiele für die Faktoren für das gleichzeitige Vorkommen des gleichen Ausfalls umfassen die Tatsache, dass eine Stromversorgung die Recheneinheit A (12) und die Recheneinheit B (13) mit Strom versorgt. Wenn die Recheneinheit A (12) und die Recheneinheit B (13) von einer gemeinsamen Stromversorgung betrieben werden, kann ein zeitweiliger Ausfall, der in der gemeinsamen Stromversorgung vorkommt, bewirken, dass die Recheneinheit A (12) und die Recheneinheit B (13) gleichzeitig die gleichen fehlerhaften Daten ausgeben.
  • Angesichts dessen wird die Recheneinheit A (12) von der Stromversorgung A (14) betrieben, und die Recheneinheit B (13) wird von der Stromversorgung B (15) betrieben. Es besteht eine sehr geringe Wahrscheinlichkeit, dass sowohl die Stromversorgung A (14) als auch die Stromversorgung B (15) gleichzeitig einen gleichartigen Ausfall erzeugen. Somit ermöglicht die Trennung der Stromversorgungen, welche die Recheneinheit A (12) und die Recheneinheit B (13) betreiben, eine Reduzierung der Wahrscheinlichkeit, dass beide Recheneinheiten gleichzeitig einen gleichartigen Ausfall erzeugen.
  • Falls jedoch eine Spannungsschwankung gleichzeitig sowohl in der Stromversorgung A (14) als auch in der Stromversorgung B (15) mit der gleichen Lastgrößenordnung für jede Stromversorgung vorkommt (einschließlich der Recheneinheit A (12) und der Recheneinheit B (13)), wird eine zeitweilige anormale Spannung auf dem gleichen Pegel gleichzeitig ausgegeben. Dies kann dazu führen, dass die gleiche anormale Bedingung gleichzeitig in der Recheneinheit A (12) und der Recheneinheit B (13) vorkommen kann. Selbst wenn die Ausgabedaten dabei gegenseitig überwacht werden, können die Recheneinheit A (12) und die Recheneinheit B (13) den Ausgabedatenfehler, nicht erkennen und können fehlerhafte Daten nach außen abgeben.
  • Angesichts dessen, wie in 1 abgebildet, teilt die erste Ausführungsform die Last, die an jede Stromversorgung angeschlossen ist, um zu verhindern, dass die Recheneinheit A (12) und die Recheneinheit B (13) gleichzeitig die gleichen fehlerhaften Daten ausgeben, selbst wenn es zu einem Ausfall der Stromversorgung kommt. Genauer gesagt wird die Größenordnung der Last bewusst differenziert, indem man eine von der Stromversorgung A (14) und der Stromversorgung B (15) auch andere Schaltungen (beispielsweise die Ausgabesteuereinheit 16 und die andere Schaltung 18) als die Recheneinheit A (12) und die Recheneinheit B (13) mit Strom versorgen lässt.
  • Zur praktischen Beschreibung bildet 2 ein Ersatzschaltbild ab, das dadurch vereinfacht wird, dass die anderen Schaltungen (die Ausgabesteuereinheit 16 und die andere Schaltung 18) als die Recheneinheit A (12) und die Recheneinheit B (13) in 1 durch Widerstands- und Kondensatorbauteile ersetzt werden.
  • 2 (A) ist eine Ersatzschaltung einer A-Systemschaltung, wobei eine A-Systemstromversorgung 20 der Stromversorgung A (14) in 1 entspricht. Ein Widerstandsbauteil RA 22 der anderen Last als der Recheneinheit A (12) umfasst Widerstandsbauteile des Substrats und Schaltungen der ausfallsicheren Verarbeitungsvorrichtung 11. Ein Kondensatorbauteil CA 23 der gesamten A-Systemschaltung umfasst ein Kondensatorbauteil, das in der A-Systemstromversorgung 20 selber enthalten ist, sowie die Kondensatorbauteile des Substrats und Schaltungen der ausfallsicheren Verarbeitungsvorrichtung 11, dem Spannung von der anderen A-Systemstromversorgung 20 als der Recheneinheit A (12) zugeführt wird. Eine Eingangsspannung, die an die Recheneinheit A (12) angelegt wird, entspricht einer Eingangsspannung ECPU_A 24 der A-Systemrecheneinheit.
  • 2(B) ist eine Ersatzschaltung einer B-Systemschaltung, wobei eine B-Systemstromversorgung 25 der Stromversorgung B (15) in 1 entspricht. Ein Widerstandsbauteil RB 28 der anderen Last als der Recheneinheit B (13) umfasst Widerstandsbauteile des Substrats und Schaltungen der ausfallsicheren Verarbeitungsvorrichtung 11. Ein Kondensatorbauteil CB 28 der gesamten B-Systemschaltung umfasst ein Kondensatorbauteil, das in der B-Systemstromversorgung 26 selber enthalten ist, sowie die Kondensatorbauteile des Substrats und Schaltungen der ausfallsicheren Verarbeitungsvorrichtung 11, der Spannung von der anderen B-Systemstromversorgung 25 als der Recheneinheit B (13) zugeführt wird. Eine Eingangsspannung, die an die Recheneinheit B (13) angelegt wird, entspricht einer Eingangsspannung ECPU_B 29 der B-Systemrecheneinheit.
  • Wie in 1 abgebildet, ist die Anzahl von Schaltungen, die an die Stromversorgung A (14) des A-Systems angeschlossen sind, geringer als die Anzahl von Schaltungen, die an die Stromversorgung B (15) angeschlossen sind, und die ICs zur Verwendung in der Ausgabesteuereinheit 16 und der anderen Schaltung 18 sind die Last, die mit der Schaltung parallel geschaltet ist. Somit ist RA größer als RB. 3 bildet eine Beziehung zwischen den Schwankungen der Eingangsspannung ECPU_A 24 der A-Systemrecheneinheit und der Eingangsspannung ECPU_B 29 der B-Systemrecheneinheit bei einer Schwankung in der A-Systemstromversorgungsspannung Ein_A 21 und der B-Systemstromversorgungsspannung Ein_B 26, dem Takt und den Ausgabedaten ab.
  • Die A-Systemstromversorgungsspannung Ein_A 21 und die B-Systemstromversorgungsspannung Ein_B 26 in 2 können variieren, wie durch eine Stromeingangsschwankung 30 einer Stromversorgung in 3 abgebildet. Somit erzeugt die Eingangsspannung ECPU_A 24 der A-Systemrecheneinheit in 2 eine Eingangsspannungsschwankung 31 in der A-Systemrecheneinheit in 3. Ebenso erzeugt die Eingangsspannung ECPU_B 29 der B-Systemrecheneinheit in 2 eine Eingangsspannungsschwankung 36 in der B-Systemrecheneinheit in 3.
  • Dabei wird die Schwankung der Eingangsspannung ECPU_A 24 der A-Systemrecheneinheit und der Eingangsspannung ECPU_B 29 der B-Systemrecheneinheit zu dem Zeitpunkt, an dem die Stromeingangsschwankung 30 der Stromversorgung vorkommt und die Spannung von V1 auf V2 abfällt, durch die folgende Gleichung ausgedrückt. E CPU_A = V 2 × { 1 exp ( t / R A C A ) } + V 1 × exp ( t / R A C A )
    Figure DE102015208989B4_0001
     E CPU_B = V 2 × { 1 exp ( t / R B C B ) } + V 1 × exp ( t / R B C B )
    Figure DE102015208989B4_0002
  • Im Allgemeinen sind die Recheneinheiten derart ausgelegt, dass sie nicht versagen, selbst wenn es zu einer Spannungsschwankung von ungefähr 10 % kommt. Somit geht man in 3 davon aus, dass eine betriebsfähige untere Grenzschwellenspannung 32 der A-Systemrecheneinheit und eine betriebsfähige untere Grenzschwellenspannung 37 der B-Systemrecheneinheit 10 % der Nennspannung betragen. Man geht ebenfalls davon aus, dass V2 als Mindestwert definiert wird, wenn jede Eingangsspannung der A-Systemrecheneinheit und der B-Systemrecheneinheit um die Spannungsschwankung abfällt, und der Mindestwert V2 unter der betriebsfähigen unteren Grenzschwellenspannung 32 der A-Systemrecheneinheit und der betriebsfähigen unteren Grenzschwellenspannung 37 der B-Systemrecheneinheit liegt.
  • Wenn man davon ausgeht, dass eine Zeit ΔtA als Zeitpunkt definiert ist, von dem an dem die Stromeingangsschwankung 30 abfällt, bis die Spannungsschwankung 31 in der A-Systemrecheneinheit unter die betriebsfähige untere Grenzschwellenspannung 32 der A-Systemrecheneinheit abfällt, und eine Zeit ΔtB als Zeitpunkt definiert ist, von dem an die Stromeingangsschwankung 30 abfällt, bis die Spannungsschwankung 36 in der B-Systemrecheneinheit unter die betriebsfähige untere Grenzschwellenspannung 37 der B-Systemrecheneinheit abfällt, kann die Zeit durch den folgenden Vergleichsausdruck ausgedrückt werden. 0,9  V 1 = V 2 × { 1 exp ( Δ t A / R A C A ) } + V 1 × exp ( Δ t A / R A C A )
    Figure DE102015208989B4_0003
     0,9  V 1 = V 2 × { 1 exp ( Δ t B / R B C B ) } + V 1 × exp ( Δ t B / R B C B )
    Figure DE102015208989B4_0004
  • Aus dem obigen Vergleichsausdruck kann man die Zeit ΔtA und die Zeit ΔtB wie folgt erzielen. Δ t A = R A C A ln { ( 0,9  V 1 V 2 ) / ( V 1 V 2 ) }
    Figure DE102015208989B4_0005
     Δ t B = R B C B ln { ( 0,9  V 1 V 2 ) / ( V 1 V 2 ) }
    Figure DE102015208989B4_0006
  • Wenn man ebenfalls davon ausgeht, dass f [Hz] als Frequenz der Betriebstakte 33 und 38 der jeweiligen Recheneinheiten des A-Systems und des B-Systems definiert ist, beträgt. die Länge eines Datenbits 1/f[s]. Um ein oder mehrere Differenzbits zwischen einem Startbit der fehlerhaften Ausgabedaten 35 der Ausgabedaten 34 in der A-Systemrecheneinheit und einem Startbit der fehlerhaften Ausgabedaten 40 der Ausgabedaten 39 in der B-Systemrecheneinheit zu erzeugen, muss der folgende Bestimmungsausdruck erfüllt sein. Δ t B Δ t A = R B C B ln { ( 0,9  V 1 V 2 ) / ( V 1 V 2 ) } + R A C A ln { ( 0,9  V 1 V 2 ) / ( V 1 V 2 ) } > 1 / f
    Figure DE102015208989B4_0007
  • Aus dem obigen Bestimmungsausdruck können die jeweiligen Widerstandsbauteile und Kondensatorbauteile der A-System- und B-System-Schaltung . (andere Last als die jeweiligen Recheneinheiten des A-Systems und des B-Systems) ausgelegt werden, um den folgenden Vergleichsausdruck zu erfüllen. R A C A R B C B > 1 / [ f × ln { ( 0,9  V 1 V 2 ) / ( V 1 V 2 ) } ]
    Figure DE102015208989B4_0008
  • Um den obigen Vergleichsausdruck zuverlässig zu erreichen, kann eine vergleichbare Last für die Recheneinheit A (12) und die Recheneinheit B (13) an eine der Stromversorgungen (die Stromversorgung A (14) oder die Stromversorgung B (15) in 1) angeschlossen werden.
  • Bei der ausfallsicheren Verarbeitungsvorrichtung 11, die in 1 abgebildet ist, führen die Recheneinheit A (12) und die Recheneinheit B (13) die gleiche Berechnung aus. Dann überprüft die Ausgabesteuereinheit 17, ob mindestens entweder die Ausgabedaten 34 aus der Recheneinheit A (12) oder die Ausgabedaten 39 aus der Recheneinheit B (13) einen Fehler enthalten oder nicht. Falls es dann, wie in 4 abgebildet, auch nur ein Differenzbit zwischen den Ausgabedaten 34 der A-Systemrecheneinheit und den Ausgabedaten 39 der B-Systemrecheneinheit gibt, wenn eine Schwankung der Eingangsspannung von der Stromversorgung vorkommt, kann ein Fehler der Ausgabedaten erkannt werden, da die Recheneinheit A (12) und die Recheneinheit B (13) ihre Ausgabe gegenseitig überwachen.
  • Dadurch kann eine ausfallsichere Verarbeitungsvorrichtung bereitgestellt werden, bei der die Ausgabesteuereinheit 16 eine fehlerhafte Ausgabe von Daten aus der Recheneinheit A (12) und der Recheneinheit B (13) verhindern kann.
  • Zweite Ausführungsform
  • Eine zweite Ausführungsform der vorliegenden Erfindung differenziert die Stromversorgungskapazität unter den Stromversorgungseinheiten, die jede Recheneinheit, welche die ausfallsichere Verarbeitungsvorrichtung bildet, mit Strom versorgen. 4 ist eine Ansicht, die eine Konfiguration als zweite Ausführungsform abbildet, bei der in einer ausfallsicheren Doppelsystem-Verarbeitungsvorrichtung (1) die Stromversorgungseinheiten jeweils eine unterschiedliche Stromversorgungskapazität aufweisen.
  • Beispielsweise weist die Stromversorgung B (45) eine größere Stromversorgungskapazität als die der Stromversorgung A (14) auf. Selbst wenn somit eine Spannungsschwankung gleichzeitig in der Stromversorgung A (14) und der Stromversorgung B (45) vorkommt, kann die Differenz der Stromversorgungskapazität verhindern, dass die Recheneinheit A (12) und die Recheneinheit B (13) gleichzeitig die gleichen fehlerhaften Daten ausgeben.
  • Dritte Ausführungsform
  • Eine dritte Ausführungsform der vorliegenden Erfindung wendet ein dreifaches System als ausfallsichere Multisystem-Verarbeitungsvorrichtung an. 5 ist eine Konfigurationsansicht, die eine ausfallsichere Dreifachsystem-Verarbeitungsvorrichtung abbildet, bei der eine Stromversorgung C (54) und eine Recheneinheit C (52) hinzufügt werden. Die Recheneinheit C (52) führt zur gleichen Zeit die gleiche Berechnung wie die Recheneinheit A (12) und die Recheneinheit B (13) aus. Zusätzlich weisen die Recheneinheit A (12), die Recheneinheit B (13) und die Recheneinheit C (52) eine Funktion auf, um ihre Ausgabe gegenseitig zu überwachen und das gekoppelte System zurückzustellen.
  • Bei der in 5 abgebildeten Konfiguration versorgt die Stromversorgung C (54) nicht nur die Recheneinheit C (52) sondern auch die Ausgabesteuereinheit 16 und die andere Schaltung 18 mit Strom. Diese Konfiguration differenziert die Last zwischen der Last, wenn die Stromversorgung A (14) und die Stromversorgung B (15) jeweils die Recheneinheit A (12) und die Recheneinheit B (13) mit Strom versorgen, und der Last, wenn die Stromversorgung C (54) Strom liefert. Es ist ersichtlich, dass anstelle der Stromversorgung C (54) die Stromversorgung A (14) oder die Stromversorgung B (15) konfiguriert sein kann, um die Ausgabesteuereinheit 16 und die andere Schaltung 18 mit Strom zu versorgen.
  • Deshalb kann diese Konfiguration, selbst wenn eine Spannungsschwankung gleichzeitig in allen drei Stromversorgungen vorkommt, verhindern, dass die Recheneinheit A (12), die Recheneinheit B (13) und die Recheneinheit C (52) gleichzeitig die gleichen fehlerhaften Daten ausgeben.
  • Die Merkmale, Bauteile und spezifischen Einzelheiten der Strukturen der zuvor beschriebenen Ausführungsformen können ausgetauscht oder kombiniert werden, um weitere Ausführungsformen zu bilden, die für die jeweilige Anwendung optimiert sind. Soweit diese Änderungen für den Fachmann ersichtlich sind, sind sie implizit durch die obige Beschreibung offenbart, ohne dass jede mögliche Kombination ausdrücklich vorgegeben wird.

Claims (6)

  1. Ausfallsichere Verarbeitungsvorrichtung, umfassend: eine Vielzahl von Recheneinheiten (12, 13), die eine Funktion aufweisen, um gleichzeitig die gleiche Berechnung auszuführen und gegenseitig Ausgabedaten zu überwachen; eine Ausgabesteuereinheit (16), die eine Funktion aufweist, um die Ausgabedaten zeitweilig für jede der Recheneinheiten (12, 13) zu speichern und die gespeicherten Ausgabedaten für jede der Recheneinheiten (12, 13) gemäß einer Anweisung von einer der Vielzahl von Recheneinheiten nach außen abzugeben; und eine Vielzahl von Stromversorgungen (14, 15), die für jede der Recheneinheiten (12, 13) bereitgestellt werden, wobei eine von der Vielzahl von Stromversorgungen (14, 15) nicht nur die zugeordnete Recheneinheit (12, 13), sondern auch die Ausgabesteuereinheit (16) mit Strom versorgt.
  2. Ausfallsichere Verarbeitungsvorrichtung nach Anspruch 1, wobei mindestens eine von der Vielzahl von Stromversorgungen (14, 15) eine andere Stromversorgungskapazität als die der anderen Stromversorgungen (14, 15) aufweist.
  3. Ausfallsichere Verarbeitungsvorrichtung nach Anspruch 1 oder 2, wobei falls die gegenseitig überwachten Ausgabedaten übereinstimmen, eine von der Vielzahl von Recheneinheiten (12, 13) die Anweisung an die Ausgabesteuereinheit (16) erteilt.
  4. Ausfallsichere Verarbeitungsvorrichtung nach einem der Ansprüche 1 bis 3, wobei jede von der Vielzahl von Recheneinheiten (12, 13) eine Funktion aufweist, ein Rücksetzsignal an die andere von der Vielzahl von Recheneinheiten (12, 13) zu senden.
  5. Ausfallsichere Verarbeitungsvorrichtung nach Anspruch 4, wobei falls die gegenseitig überwachten Ausgabedaten nicht übereinstimmen, jede von der Vielzahl von Recheneinheiten (12, 13) das Rücksetzsignal sendet.
  6. Ausfallsichere Verarbeitungsvorrichtung nach Anspruch 4 oder 5, wobei wenn das Rücksetzsignal empfangen wird, jede von der Vielzahl von Recheneinheiten (12, 13) ihre eigene Berechnung unterbricht.
DE102015208989.4A 2014-05-23 2015-05-15 Ausfallsichere Verarbeitungsvorrichtung Active DE102015208989B4 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2014-106919 2014-05-23
JP2014106919A JP6600128B2 (ja) 2014-05-23 2014-05-23 演算処理装置

Publications (2)

Publication Number Publication Date
DE102015208989A1 DE102015208989A1 (de) 2015-11-26
DE102015208989B4 true DE102015208989B4 (de) 2024-06-27

Family

ID=53333722

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102015208989.4A Active DE102015208989B4 (de) 2014-05-23 2015-05-15 Ausfallsichere Verarbeitungsvorrichtung

Country Status (4)

Country Link
JP (1) JP6600128B2 (de)
CN (1) CN105093979B (de)
DE (1) DE102015208989B4 (de)
GB (1) GB2526917B (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110890884B (zh) * 2018-09-10 2024-06-21 台湾积体电路制造股份有限公司 故障安全电路、集成电路器件及控制电路的节点的方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06298105A (ja) 1993-04-15 1994-10-25 Nippondenso Co Ltd 後輪操舵装置の制御システム
JP2002116921A (ja) 2000-10-06 2002-04-19 Matsushita Electric Ind Co Ltd 中央演算装置の補助装置
US7516358B2 (en) 2005-12-20 2009-04-07 Hewlett-Packard Development Company, L.P. Tuning core voltages of processors
US20120233506A1 (en) 2009-12-02 2012-09-13 Yoshio Kameda Redundant computing system and redundant computing method
US8373435B2 (en) 2008-09-30 2013-02-12 Freescale Semiconductor, Inc. Method and apparatus for handling an output mismatch

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04149743A (ja) * 1990-10-15 1992-05-22 Mitsubishi Electric Corp データ処理装置の駆動方式
JP2001183490A (ja) * 1999-12-22 2001-07-06 Hitachi Ltd 炉心流量制御システム
US8143851B2 (en) * 2008-02-15 2012-03-27 Apple Inc. Power source having a parallel cell topology
JP2011198205A (ja) * 2010-03-23 2011-10-06 Railway Technical Research Institute 二重系制御システム
CN101996110B (zh) * 2010-11-17 2012-12-19 中国航空工业集团公司第六三一研究所 基于模块化结构的三余度容错计算机平台

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06298105A (ja) 1993-04-15 1994-10-25 Nippondenso Co Ltd 後輪操舵装置の制御システム
JP2002116921A (ja) 2000-10-06 2002-04-19 Matsushita Electric Ind Co Ltd 中央演算装置の補助装置
US7516358B2 (en) 2005-12-20 2009-04-07 Hewlett-Packard Development Company, L.P. Tuning core voltages of processors
US8373435B2 (en) 2008-09-30 2013-02-12 Freescale Semiconductor, Inc. Method and apparatus for handling an output mismatch
US20120233506A1 (en) 2009-12-02 2012-09-13 Yoshio Kameda Redundant computing system and redundant computing method

Also Published As

Publication number Publication date
GB2526917B (en) 2016-09-07
CN105093979B (zh) 2017-11-28
JP6600128B2 (ja) 2019-10-30
DE102015208989A1 (de) 2015-11-26
CN105093979A (zh) 2015-11-25
JP2015222520A (ja) 2015-12-10
GB2526917A (en) 2015-12-09
GB201506268D0 (en) 2015-05-27

Similar Documents

Publication Publication Date Title
DE112010005400T5 (de) System für gegenseitige Überwachung von Mikrocomputern und ein Verfahren für gegenseitige Überwachung von Mikrocomputern
DE102008061034B3 (de) Anordnung umfassend wenigstens zwei Stromversorgungseinheiten und wenigstens eine Strom verbrauchende Komponente, Computersystem sowie Verfahren zur Steuerung einer Anordnung
DE102013015447A1 (de) Digital gesteuertes Stromversorgungsgerät mit einer Funktion zu Fehlererkennung
DE102016220197A1 (de) Verfahren zum Verarbeiten von Daten für ein automatisiertes Fahrzeug
WO2018134023A1 (de) Redundante prozessorarchitektur
DE102016106531A1 (de) Busteilnehmer und Verfahren zum Betreiben eines Busteilnehmers
DE102012023350B4 (de) Systeme, Schaltungen und ein Verfahren zum Erzeugen einer konfigurierbaren Rückmeldung
DE102015208989B4 (de) Ausfallsichere Verarbeitungsvorrichtung
DE2651314C2 (de) Sicherheits-Ausgabeschaltung für eine Binärsignale abgebende Datenverarbeitungsanlage
EP3338189A2 (de) Verfahren zum betrieb eines mehrkernprozessors
EP3201774B1 (de) Verteiltes echtzeitcomputersystem und zeitgesteuerte verteilereinheit
EP3557356A1 (de) Verfahren und automatisierungssystem zum sicheren automatischen betrieb einer maschine oder eines fahrzeugs
EP3526672A1 (de) Schaltung zur überwachung eines datenverarbeitungssystems
DE112015001903B4 (de) Verriegeln von Stromversorgungseinheiten
DE10302456A1 (de) Vorrichtung für sicherheitskritische Anwendungen und sichere Elektronik-Architektur
DE102004033263B4 (de) Steuer-und Regeleinheit
DE102015206059B4 (de) Elektrische Vorrichtung und Diagnoseverfahren
DE1966991A1 (de) Ausfallgesicherte datenverarbeitungsanlage
EP1692578B1 (de) Peripherieeinheit für ein redundantes steuersystem
DE69213609T2 (de) Kompakte und fehlertolerante Schnittstelle und deren Verwendung in einer Mehrheitsentscheidungsvorrichtung
DE102013214692A1 (de) Steuerung und Verfahren für eine Blindleistungskompensationsanlage
EP0271807A2 (de) Fehlertolerantes Rechensystem und Verfahren zum Erkennen, Lokalisieren und Eliminieren von fehlerhaften Einheiten in einem solchen System
DE102016217762A1 (de) Überwachung von sicherheitsrelevanten Funktionen durch eine nicht sichere Recheneinheit
DE102017110155B4 (de) Verfahren zur ISO 26262 konformen Überwachung der Versorgungsspannung VCC eines integrierten Sensorschaltkreises eines Sicherheitssystems
DE102013227177B4 (de) Vorrichtung zum Generieren eines Zeitsignals und System mit solcher Vorrichtung

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G06F0011160000

Ipc: G06F0001280000

R016 Response to examination communication
R018 Grant decision by examination section/examining division