FI72396B - Foerfarande foer aostadkommande av ett elektroniskt system somtolererar fel samt motsvarande system - Google Patents

Foerfarande foer aostadkommande av ett elektroniskt system somtolererar fel samt motsvarande system Download PDF

Info

Publication number
FI72396B
FI72396B FI852680A FI852680A FI72396B FI 72396 B FI72396 B FI 72396B FI 852680 A FI852680 A FI 852680A FI 852680 A FI852680 A FI 852680A FI 72396 B FI72396 B FI 72396B
Authority
FI
Finland
Prior art keywords
output
outputs
module
gate
modules
Prior art date
Application number
FI852680A
Other languages
English (en)
Swedish (sv)
Other versions
FI852680A0 (fi
FI72396C (fi
Inventor
Tapio Antti Pulli
Original Assignee
Valtion Teknillinen
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Valtion Teknillinen filed Critical Valtion Teknillinen
Priority to FI852680A priority Critical patent/FI72396C/fi
Publication of FI852680A0 publication Critical patent/FI852680A0/fi
Application granted granted Critical
Publication of FI72396B publication Critical patent/FI72396B/fi
Publication of FI72396C publication Critical patent/FI72396C/fi

Links

Landscapes

  • Hardware Redundancy (AREA)

Description

72396 MENETELMÄ VIKASIETOISEN ELEKTRONISEN JÄRJESTELMÄN TOTEUTTAMISEKSI JA VASTAAVANLAINEN JÄRJESTELMÄ
Keksinnön kohteena on menetelmä vikasietoisen elektronisen 5 järjestelmän toteuttamiseksi, joka järjestelmä käsittää kolme tai useampia samanlaisia moduuleita ja äänestimen, jolla testataan järjestelmän 1ähtösignaalit ja valitaan moduulien enemmistön mukaiset 1ähtösignaalit. Keksinnön kohteena on myös vastaavanlainen järjestelmä. Tällainen jär-10 jestelmä toimii ulospäin oikein huolimatta järjestelmän jonkin komponentin vioittumisesta.
Vikasietoisuus saavutetaan varmennuksen eli redudanssin avulla. Järjestelmään lisätään ylimääräisiä komponentteja 15 tai osia, jotka jonkin järjestelmän komponentin tai osan vioittuessa suorittavat kyseiset tehtävät. Elektronisissa järjestelmissä erilaisia varmennusmenete1miä on runsaasti. Menetelmät voidaan jakaa käyttövarmennukseen ja vaihtovar-mennukseen.
20 Käyttövarmennuksessa vian vaikutus peitetään tai estetään välittömästi sen tapahtumisen jälkeen. Sen eräs toteutustapa on NMR (N^ Klodular Redundancy): N:n moduulin redundanssi, jossa N kpl moduuleja suorittaa rinnakkain samaa tehtä-25 vää ja järjestelmän binääriset 1ähtösignaal it määräytyvät moduulien enemmistön määrittelemällä tavalla. Tällainen järjestelmä sallii osan moduuleista vioittua. Järjestelmä toimii ulospäin silti oikein eli se on vikasietoinen. Moduulien lisäksi järjestelmässä tarvitaan äänestin, joka 30 määrittää enemmistön mukaiset 1ähtösignaalit. Moduuleja on yleensä pariton määrä, ja tavallisin järjestelmä on TMR (Triple Modular Redundancy): kolmen moduulin redundanssi, joka tunnetaan ennestään mm. patenttijulkaisusta US 4,375,683. Tällainen järjestelmä ja muut tunnetut TMR-jär-35 jestelmät koostuvat kolmesta moduulista, joiden lähtösig 2 72396 naalit viedään erilliseen aanestinmoduu]iin, josta saadaan moduulien enemmistön mukaisen järjestelmän 1ähtösignaalit. Järjestelmä sietää kaikki viat yhdessä moduulissa.
5 Jos järjestelmästä halutaan lisäksi indikaatio vikatapauksista, moduulien lähtöjä täytyy verrata vielä järjestelmä-lähtöihin. Mainitun US-patenttijuikaisun mukaisessa järjestelmässä tämä on toteutettu siten, että jokaiseen moduuliin tuodaan sekä 1ähtösignaalit että kahden muun moduulin sig-10 naalit ja näiden ohjelmal1isel1 a vertailulla huomataan jonkin moduulin tai myös järjestelmalähtöjen virheellisyys. Tällaisen ratkaisun heikkoutena ovat äänestimen sijainti erillisessä moduulissa, esim. mikropiirissä, jolloin, esim., jos moduuleissa on 16 äänestettävää signaalia, tar-15 vitaan vähintään 66 1iitosnastainen äänestinpiiri (3 x 16 tulosignaalia moduuleista, 16 järjestelmän 1ähtösignaalia ja käyttöjännite- ja maaliittimet) . Lisäksi vikaindikaation vaatima takaisinkytkentä edellyttää mainitun patenttijulkaisun mukaisessa järjestelmässä 48 1isäliitosnastaa moduu-20 leihin, joissa täytyy lisäksi olla 1 isä 1ogiikkaa ja lisäohjelmia vertailun ja vikaindikaation toteuttamiseksi.
Äänestimen sijainnista erillisessä moduulissa on seurauksena mm. piiri1 evyti1antarpeen lisääntyminen. Vikaindikaation 25 toteutus vaatii myös lisää piirilevytilaa. Äänestettävien signaalien määrän lisääminen merkitsee äänestimen liitos-nastojen lisääntymistä neljällä aina yhtä lisäsignaalia kohden. Äänestin olisi siis toteutettava usein usealla mikropiirillä, koska esim. 66-nastaiset ja mahdollisesti isom-30 mat mikropiirit eivät ole tällä hetkellä standardituotteita. Tällöin myös äänestimen luotettavuus kärsii.
Äänestin on järjestelmässä 1uotettavuusteknisesti sarjassa eräiden vioittumistapojen suhteen, jolloin äänestin määrää 35 usein lyhyillä tarkastelujaksoilla järjestelmän luotetta- li 3 72396 vuusomainaisuudet, koska ideaalinen TMR on erittäin luotettava tarkastelujaksoilla, jotka ovat pieniä verrattuna moduulien keskimääräiseen vikaväliin.
5 Keksinnön mukaisella menetelmällä vikasietoisen elektronisen järjestelmän toteuttamiseksi ja vastaavalla järjestelmällä saadaan parannusta em. seikkoihin. Keksinnön mukaiselle menetelmälle on pääasiassa tunnusomaista se, että moduulien toisiaan vastaavat lähdöt yhdistetään järjestelmä-10 lähdöiksi, joiden tilat määräytyvät moduulien lähtöjen enemmistön tilojen mukaan siten, että moduuleihin liittyvät äänestinlogiikat vertaavat järjestelmälähtöjen tiloja moduulien sisäisten lähtöjen tiloihin ja vertailun perusteella asetetaan ne äänestinlogiikkojen lähtöjen signaalit, 15 joiden avulla ja yhdessä mahdollisen edeltävän moduulin äänestinlogiikasta saadun ja tämän moduulin tilaa osoittavan signaalin, tai vastaavan ennaltamäärätyn signaalin, kanssa äänestin 1ogiikat määrittävät vikatapauksessa viallisen moduulin ja estävät moduulin vian vaikutuksen järjes-20 telmälähtöihin.
Keksinnön mukaisella menetelmälle on myös tunnusomaista, että moduulien äänestin!ogiikkojen ensimmäisten lähtöjen signaaleja loogisesti kussakin äänestinlogiikassa käsitte-25 lemällä saadaan aikaan kunkin moduulin toisessa lähdössä signaali, jotka signaalit voidaan yhdistää yhteiseen lähtöön, josta saatava signaali ilmaisee järjeste1mälahtöjen tilojen virheettömyyden tai virheellisyyden.
30 Keksinnön mukaiselle järjestelmäl1 e tunnusomaiset piirteet on esitetty patenttivaatimuksissa 7-11.
35 4 72396
Keksinnön tärkeimpinä etuina voidaan pitää sitä, että keksinnön avulla voidaan toteuttaa TMR- tai yleisesti NMR-jär-jestelmä ja että erillistä äänestinmoduulia ei välttämättä tarvita ja järjestelmästä saadaan vikaindikaatio useimmissa 5 järjestelmälähtöjen vikatilanteissa. Indikaatio saadaan myös jonkin moduulin virheellisestä toiminnasta, vaikka järjestelmälähdöt olisivatkin virheettömiä. Tämä kaikki voidaan toteuttaa suhteellisen vähäisellä moduuleihin liitettävillä erillisillä tai niihin suoraan integroitavilla 10 1isälogiikoil1 a eli äänestinlogiikoi11 a. Riippumatta äänes tettävien signaalien määrästä 1 isä!iitosnastoja tarvitaan integroiduissa moduuleissa ainoastaan seitsemän, mikäli kyseessä on kolmen moduulin redundanssin tapaus. Mikäli järjestelmä toteutetaan viiden, seitsemän jne. moduulin redun-15 danssina, tarvittavien 1isäliitosnastojen määrä lisääntyy aina yhdellä jokaista lisämoduulia kohden. Nämä ovat huomattavia etuja piirilevytilankäytön kannalta verrattuna tunnettuihin ratkaisuihin, joissa tarvitaan jopa toistasataa lisäliitosnastaa ja erillisiä mikropiirejä. Lisäksi mo-20 duuleihin integroituna äänestinlogiikka saadaan hyvin luotettavaksi, koska tunnetusti integrointi lisää perustoimintoa kohden laskettua luotettavuutta. Integroitu äänestin-logiikka on myös 1uotettavuusteknisesti sarjassa eräiden vikamekanismien suhteen, mutta tällaisten kriittisten viko-25 jen vikataajuus on vertailukelpoinen erillisen äänestimen kriittisten vikojen vikataajuuden kanssa.
Näin siis voidaan toteuttaa vikasietoinen elektroninen järjestelmä, joka on 1uotettavuusominaisuuksi 11aan ainakin 30 yhtä hyvä kuin tunnetut järjestelmät, mutta käytännön toteutukseltaan yksinkertaisempi ja suurina sarjoina myös taloudellisesti edullisempi järjestelmä. Äänestimen integrointi on erittäin helppo toteuttaa mm. asiakaspiireissä, joita tulevaisuudessa käytetään yhä enemmän myös luotetta-35 vuutta vaativissa sovellutuksissa. Asiakaspiirien kohdalla
II
5 72396 äänestimen integroinnin lisäkustannukset saattavat jäädä hyvinkin pieniksi verrattuna muihin kustannuksiin. On myös huomattava, että koko järjestelmä voidaan integroida kokonaankin yhdelle piipalalle yhtenäiseksi vikasietoiseksi 5 mikropiiriksi.
Vianetsintä ja korjaus ovat useimmiten helposti järjestettävissä integroidun äänestimen tapauksessa. Järjestelmä saadaan ilmoittamaan suoraan viallinen moduuli, joka voi-10 daan vaihtaa ehjään jopa toiminnan aikana, tai käyttää vaihdon aikana ohitusmoduulia. Moduulin vaihto voidaan suorittaa siis erittäin nopeasti, millä on huomattava merkitys pyrittäessä korkeaan käytettävyyteen.
15 Seuraavassa keksintöä, sen toimintaa ja muita etuja selite tään yksityiskohtaisesti viittaamalla oheisissa piirustuksissa esitettyyn erääseen edulliseen keksinnön toteutusesi-merkkiin, joissa piirustuksissa:
Kuvio 1 esittää keksinnön mukaista kolmesta moduulista 20 koostuvaa äänestinlogiikal1 a toteutettua vikasie- toista elektronista järjestelmää;
Kuvio 2A, 2B ja 2C esittävät lohkokaavioina kuvion 1 moduuleihin liitettyjä äänestin!ogiikkoja;
Kuvio 3 esittää yksityiskohtaisesti yhtä moduuliin liitet-25 tyä äänestinlogiikkaa;
Kuvio 4 esittää yhdeksi mikropiiriksi integroitua keksin-nönmukaista elektronista järjestelmää;
Kuvio 5 esittää 1ähtöpuskuria, jota voidaan käyttää myös tulopuskurina tai monen käyttäjän väylään liittyvä-30 nä 1ähtöpuskurina.
Keksinnön mukainen järjestelmä, joka on kuviossa 1 rajattu katkoviivoin ja merkitty viitenumerolla 1, koostuu kolmesta moduulista 2, 3, 4. Järjestelmä voi koostua myös useammasta 35 moduulista, joita on edullisimmin pariton määrä eli n kap- , 72396 paletta (n= 5, 7, 9,...), jolloin toiminta on periaatteessa samanlainen kuin kolmen moduulin tapauksessa. Moduulit 2, 3 ja 4 sisältävät varsinaiset moduuli1ogiikat 29, 30 ja 31, äänestinlogiikat 15, 16 ja 17 ja 1ähtöpuskurit 18, 19 ja 5 20. Moduulien toisiaan vastaavat lähdöt 5, 6, 7 on langoi- tettu yhteen järjeste 1mälähdöksi 8. Mainitut lähdöt ovat tässä tapauksessa binääri1ähtöjä, jolloin lähtö on joko positiivisessa jännitteessä (positiivisen logiikkasopimuksen mukaan ykköstilassa eli ykkösenä) tai nollajännitteessä 10 (positiivisen logiikkasopimuksen mukaan nollatilassa eli nollassa). Lisäksi, mikäli 1ähtöpuskurit 18, 19, 20 ovat koi miti1apuskureita, on mahdollinen ns. suuri-impedanssiti-la. Lähtöpuskurit 18, 19, 20 voivat olla myös avoin-kollek-torityyppiä, jolloin jokainen yksittäinen järjestelmälähtö 15 on tunnetusti kytkettävä y 1 ösvetovastukse11 a käyttöjännitteeseen. Lähtösignaalien lukumäärää moduulien lähdöissä 5, 6 ja 7 ja järjeste 1mälähdössä 8 ei ole rajoitettu millään tavalla.
20 Kunkin äänestinlogiikan 15, 16 ja 17 lohkokaaviot on esi tetty kuviossa 2A, 2B ja 2C. Äänestinlogiikat ovat rakenteeltaan samanlaisia. Ainoastaan niiden osien välisissä kytkennöissä on eroja, mitä seikkaa selvitetään myöhemmin. Äänestinlogiikat 15, 16, 17 koostuvat enemmistö!1maisimista 25 60a, 60b, 60c, tilarekisteristä 61a, 61b, 61c ja vertaili- jasta 35a, 35b ja 35c. Kuviossa 3 on esitetty yksityiskohtaisesti moduuliin 2 liittyvä äänestinlogiikka 15. Tämän eri osia on merkitty ilman aakkosia olevilla viitenumeroi 1-1 a.
30
Moduulien 2, 3 ja 4 sisältämät varsinaiset moduu1i1ogiikat 29, 30 ja 31 voivat olla mitä tahansa binäärilähtöisiä tai vastaavilla 1ogiikka1ähdöi11ä varustettuja elektronisia laitteita, kuten mikroprosessoreita, ana]agia/digitaali-35 muuntimia, muisteja, jne. Moduulilogiikoissa 29, 30 ja 31 7 72396 käsiteltävä tieto tuodaan binäärisinä tai analogisina signaaleina tai vastaavina esimerkiksi tulojen 9', 10' ja 11' kautta näihin laitteisiin. Kukin moduuli 2, 3 tai 4 voi olla kokonaisuudessaan integroitu piiri, johon vastaava 5 äänestinlogiikka 15, 16 tai 17 on myös integroitu. Edelleen moduulit 2, 3 ja 4 voidaan integroida yhdeksi vikasietoiseksi mikropiiriksi.
Keksinnön mukaisen järjestelmän eri osien väliset kytkennät 10 ovat olennaisilta osiltaan seuraavat (kuviot 1, 2 ja 3).
Lähtopuskurin 18, 19, 20 lähdöt 5, 6, 7 on yhdistetty, kuten edellä on jo todettu, järjestelmälähdöksi 8 ja tämä äänestinl ogiikan 15, 16, 17 vertailijan 35; 35a, 35b, 35c ensimmäisiin tuloihin. Kunkin moduulilogiikan 29, 30, 31 si- 15 säinen lähtö 9, 10, 11 on yhdistetty vastaavaan lähtöpusku-riin 18, 19, 20 ja äänestinlogiikan vertailijan toisiin tuloihin. Kunkin äänestinlogiikan, esim. 15, vertailijan 35a lähtö 12a on yhdistetty kaikkien äänestinlogiikkojen enemmistö!] maisimien 60a, 60b, 60c tuloihin 12a', 12b, 12c.
20 Enemmistönimaisimet, esim. 60, (kuvio 3) on yhdistetty vuorostaan vastaavaan tilarekisteriin 61 ja eri moduulien 2, 3, 4 äänestinlogiikkojen 15, 16, 17 tilarekisterit 61a, 61b, 61c on yhdistetty toisiinsa lähdöistä 28a, 28b ja tuloista 27b, 27c.
25 Järjestelmässä 1 kunkin äänestinlogiikan vertailija 35; 35a, 35b, 35c vertaa järjeste1mälähtöjen 8 tiloja moduulin 2, 3,4 sisäisten lähtöjen 9, 10, 11 tiloihin ja vertailun perusteella antaa signaalin kaikkien äänestin!ogiikkojen 30 enemmistöi 1 maisimi 11 e 60; 60a, 60b, 60c, joka antaa edelleen tiedon moduulin 2, 3, 4 lähtöjen 9, 10, 11 tiloista tilarekisterille 61; 61a, 61b, 61c, joiden avulla ja yhdessä mahdollisesti muista tilarekistereistä saatujen ja vastaavien moduulien tilaa osoittavien signaalien kanssa mää-35 ritetään vikatapauksessa viallinen moduuli ja estetään vian 8 72396 vaikutus jarjestelmälähtöihin 8 antamalla tSmSn moduulin tilarekisterin lähdön 53a, 53b, 53c kautta estosignaali 1ähtöpuskuri11 e 18, 19, 20.
5 Kunkin äänestinlogiikan 15, 16 ja 17 vertailija 35a, 35b, 35c, enemmistöi1 maisin 60a, 60b, 60c ja tilarekisteri 61a, 61b, 61c voidaan toteuttaa esimerkiksi oheisissa piirustuksissa esitetyllä tavalla. Kukin vertailija on 35 (kuvio 3) on muodostettu tarvittavasta määrästä ehdoton-tai-portteja 10 351, 352, 353,..., joiden ensimmäiseen tuloon on yhdistetty moduulin, esim. 2, ulkoiset lähdöt 5; 501, 502, 503,... ja toiseen tuloon moduulin sisäiset lähdöt 9; 91, 92, 93,...
Kunkin äänestinlogiikan 15, 16, 17 enemmistöi1 maisin 60; 60a, 60b, 60c on muodostettu tai-portista 38, 40 ja invert-15 teristä 39. Ensimmäisen tai-porttin 38 tuloihin on äänes- tinlogiikan tulojen 12a, 13a, 14a (kuvio 3) kautta yhdis tetty eri äänestinlogiikkojen 15, 16, 17 vertai 1ijoiden 35 (kuvio 3) lähdöt 12a, 13b, 14c. Toisen tai-portin 40 tuloihin on yhdistetty suoraan niiden vertai 1ijoiden 35b, 35c 20 lähdöt 13b, 14c (kuvio 1), jotka sijaitsevat toisissa ää- nestinlogiikoissa 16, 17 ja invertterin 39 kautta sen vertailujen 35 (35a) lähtö 12a', joka kuluu samaan äänestinlo-giikkaan 15 kuin mainittu enemmistöi1mais in 60 (60a) ja joiden tai-porttien 38, 40 lähdöt 384, 404 toimivat enem- 25 mistöilmaisimen 60 lähtöinä ja ovat yhdistetyt tilarekiste rin 61 tuloihin 54, 55.
Tilarekisteri 61 käsittää tulot 27, 34, 54, 55 ja kello C2 ja lähdöt 21, 28, 53 sekä tai-portit 41, 48, ja-portit 42, 30 44, 45, 49, invertterin 43 ja kaksi kiikkua tai vastaavaa välirekisteriä, edullisesti ensimmäisen D-tyyppisen 46 ja toisen JK-tyyppisen 47 kiikun. Tilarekisterissä 61 tulo 27 on yhdistetty tai-portin 41 ensimmäiseen tuloon 411 ja invertterin 43 tuloon 431; tulo 34 on yhdistetty kummankin 35 kiikun 46, 47 nol1austuloon CLR; tulo 54 on yhdistetty tai-portin 48 toiseen tuloon 482 ja ja-portin 49 toiseen tuloon 492; tulo 55 on yhdistetty tai-portin 41 toiseen tuloon 412 11 9 72396 je-portin 44 ensimmäiseen tuloon 441 ja ja-portin 49 ensimmäiseen tuloon 491. Ensimmäisen kiikun 46 ensimmäinen lähtö 461 on yhdistetty tilarekisterin lähtöön 53 ja toisen kiikun 47 kellotuloon 471. Ensimmäisen kiikun 46 toinen inver-5 toitu lähtö 462 on yhdistetty tai-portin 48 ensimmäiseen tuloon 481. Toisen kiikun 47 lähtö 474 on yhdistetty ja-portin 42 kolmanteen tuloon 423 ja ja-portin 45 kolmanteen tuloon 453. Kiikun 47 J-tulo 472 on yhdistetty ykköstilaan ja K-tulo 473 nollatilaan. Tai-portin 41 lähtö 413 on yh-10 distetty ja-portin 42 ensimmäiseen tuloon 421. Tai-portin 48 lähtö 483 on yhdistetty ja-portin 42 toiseen tuloon 422 ja ja-portin 44 toiseen tuloon 442. 3a-portin 44 lähtö 443 on yhdistetty ensimmäisen kiikun 46 datatuloon D. Invertte-rin 43 lähtö 432 on yhdistetty ja-portin 45 ensimmäiseen 15 tuloon 451 ja kello C2 ja-portin 45 toiseen tuloon 452. Ja- portin 45 lähtö 454 on yhdistetty ensimmäisen kiikun 46 kellotuloon CK. Ja-portin 42 lähtö 424 on yhdistetty tilarekisterin lähtöön 28 ja ja-portin 49 lähtö 493 on yhdistetty tilarekisterin lähtöön 21.
20
Keksinnön mukaisen vikasietoisen elektronisen järjestelmän rakennetta ja toimintaa selostetaan seuraavassa yksityiskohtaisesti kuvioiden 1, 2 ja 3 avulla. Kuviossa 1 moduulin 2 tulo 27a (kuviossa 1 ja 2 moduulien 3 ja 4 vastaavat 25 tulot ovat 27b ja 27c) on kytketty nollajännitteeseen eli maatasoon ja lähtö 28a (kuviossa 1 ja 2 moduulien 3 ja 4 vastaavat lähdöt ovat 28b ja 28c) on kytketty moduulin 3 tuloon 27b ja moduulin 3 lähtö 28b on kytketty moduulin 4 tuloon 27c. Moduulin 4 lähtö 28c on kytketty vastuksen 23 30 kautta maatasoon. Järjestelmää käynnistettäessä tuodaan jokaisen moduulin tuloon 34a (kuviossa 1 ja 2 moduulien 3 ja 4 tulot on merkitty 34b ja 34c) asetuspulssi, joka nollaa tilarekisterin 61 lähdön 53 eli D-tyypin kiikun 46 Q-lähdön 461 (kuvio 3). Tällöin kiikun 46 Q-lähtö eli sen komple-35 mentti 462 nousee ykköseksi, ja JK-tyyppisen kiikun 47 10 72396 Q-lähto 474 nousee myös ykköseksi. D-kiikun 46 Q-lähtö 461 eli tilarekisterin lähtö 53a (53b, 53c) on kytketty kaikkiin moduulin 2 (3, 4) 1ähtöpuskureihin 18, (19, 20) joista k kappaleesta (k= 1, 2, 3,...) kuviossa 3 on esitetty vain 5 kolme kappaletta numeroituina 181, 182 ja 183. Talloin signaalin lähdössä 53 ollessa nollatilassa puskurien 181, 182, 183 lähdöt 501 , 502, 503 ovat joko suuri-impedanssiti 1 assa (koimitila-puskurit) tai ykköstilassa ( avoinkol1ektori-pus-kurit). Signaalin lähdössä 53 ollessa ykköstilassa seuraa-10 vat moduulin 2 ulkoiset lähdöt (kuviossa 3 lähdöt 501, 502, 503) invertoituina moduulin sisäisiä 1ähtösignaaleja (kuviossa 3 merkitty 91 , 92, 93) siten, että lähtöjen 501, 502, 503 mahdolliset muutokset tapahtuvat kellon C1 pulssin nousevalla reunalla. Tuloon 34 tuodun asetuspulssin j S1 — 15 keen (kuvio 1) moduulien 2, 3, 4 ulkoiset lähdöt 5, 6, 7 eli myös järjestelmälähdöt 8 ovat joko suuri-impedanssiti-lassa tai ykköstilassa.
Kun elektronista järjestelmää 1 käynnistettäessä varsinai-20 set moduuli1ogiikat 29, 30, 31 (kuvio 1) asetetaan samaan tilaan, niin tällöin sisäisten eli varsinaisten moduulilo-giikkojen lähtöjen 9, 10 ja 11 1ähtösignaalien vertailu ulkoisten lähtöjen 5, 6 ja 7 eli järjestelmä]ähtöjen 8 lähtö-signaalien kanssa vertailijassa 35 antaa kaikissa moduu-25 leissa saman tuloksen. Vertailija 35 on muodostettu avoinko! 1ektorityyppisistä ehdoton-tai-porteista 351, 352, 353 , ...(kuvio 3). Ehdoton-tai-porttien 351 , 352 , 353 lähdöt on kytketty yhteen vertailijan 35 lähtöön 12a. Moduulien 3 ja 4 vastaavaa vertailijan 35b, 35c lähtöä on merkitty ku-30 viossa 1 viitenumeroilla 13b ja 14c. Nämä lähdöt täytyy tunnetusti ulkoisella y 1 ösvetovastuksel1 a kytkeä käyttöjännitteeseen +V. Vertailijoiden 35a, 35b, 35c lähdöt 12a, 13b ja 14c on yhdistetty jokaiseen moduuliin 2, 3, 4 kuten kuviossa 1 on esitetty ja moduulien sisällä, äänestinlogii-35 koissa 15, 16 ja 17, lähdöt 12a, 13b ja 14c on kytketty enemmistöä]maisimen 60 tuloihin tai-portei 11 e 38 ja 40.
Il 11 72396
Moduulin 2 oma sisäinen vertailusignaali viedään tulon 12a', (moduulissa 3 tulon 13b1 ja moduulissa 4 tulon 14c') kautta porttiin 40 käännettynä inverterillä 39. Näin tuloon 34 syötetyn asetuspulssin jälkeen saadaan jokaisessa moduu-5 lissa enemmistöilmaisimen tai-portille 40 ainakin yksi ykkönen, joten tai-portin 40 lähtö ja enemmistöilmaisimen toinen lähtö on myös ykkönen. Koska tilarekisterin 61 D-kiikun 46 lähdössä 462 on nyt myös ykkönen, jokaisessa moduulissa on myös tai-portin 48 lähdössä ykkönen. Näin ja-10 portin 44 molemmat tulot ovat ykkösiä, joten sen lähtö eli D-kiikun 46 datatulo D on myös ykkönen. JK-kiikun 47 Q-läh-dössä 474 on myös ykkönen jokaisessa moduulissa, mutta koska tulossa 27a on nolla vain moduulissa 2 (lähdöt 28a ja 28b ovat ykkösiä, sillä kaikki ja-portin 42 tulot ovat yk-15 kösiä), niin invertterin 43 lähtö on ykkönen vain moduulissa 2. Näin ja-portin 45 kaksi tuloa on ykkösiä moduulissa 2, joten kellon C2 pulssi pääsee D-kiikun 46 kellotuloon ja nousevalla reunalla asettaa kiikun lähdön 461 ja tilarekisterin lähdön 53a ykköstilaan. Tällöin moduulin 2 lähdöt 5; 20 501, 502 ja 503 aktivoituvat ja sisäisissä lähdöissä 9; 91, 92, 93 olevat signaalit, jotka kellon Cl pulssin nousevalla reunalla on talletettu lähtöpuskureihin 18; 181, 182, 183 pääsevät lähtöihin 5; 501, 502 ja 503.
25 Lähtöjen 5; 501, 502, 503 eli järjestelmälähtöjen 8 signaalit seuraavat nyt invertoituna moduulin 2 sisäisien lähtöjen 9; 91, 92, 93 signaaleja. Kun kaikki moduuli logiikat 29, 30 ja 31 (kuvio l) on asetettu samaan tilaan ja suorittavat myöhemmin samaa tehtävää samaan aikaan, niin lähtöjen 30 12 a, 13b ja 14 c vertailusignaa lit pysyvät nyt ykkösinä lu kuunottamatta sisäisten signaalien 9, 10 ja 11 muutoksen ja sitä seuraavan, kellon Cl ohjaaman, järjestelmälähtöjen 8 tilojen muutoksen välistä aikaa. Tuolloinhan sisäiset lähdöt ja järjestelmälähtö eroavat toisistaan, ja signaalit 35 lähdöissä 12a, 13b ja 14c nollautuvat. Mutta kun muutokset 12 72396 tapahtuvat myös järjesteJmälähdöissä, niin myös signaalit lähdöissä 12a, 13b ja 14c nousevat ykkösiksi. Kellojen C1 ja C2 pulssien vaihe-eron täytyy olla sellainen, että signaalit lähdöissä 12a, 13b ja 14c ja muu äänestinlogiikka 5 ehtivät asettua kellon C2 pulssin nousevaan reunaan mennessä. Kellon C2 pulssit muodostetaan parhaiten kussakin moduulissa 2, 3, 4 sopivalla viivellä kellon C1 pulsseista, jotka puolestaan on muodostettu esim. moduuli1ogiikkojen 29, 30, 31 oman kellon avulla.
10
Edellä esitetyn mukaisesti normaalitilanteessa moduulin 2 lähdöt 5 ovat aktiiviset ja määräävät järjestelmälähdöt 8. Moduulien 3 ja 4 lähdöt 6 ja 7 on maskattu eli peitetty (koimitilapuskureil1 a so. 1ähtöpuskurei11 a 19, 20 suuri-im- 13 pedanssitilaan tai avoinko!1ektoripuskurei11 a ykkösti1 aan), mutta moduul il ogiikat 30 ja 31 toimivat koko ajan normaalisti ja äänestinlogiikat 16ja 17 vertaavat sisäisiä lähtöjä 10 ja 11 järjestelmälähtöihin 8.
20 Kunkin moduulin 2, 3, 4 toisesta lähdöstä eli samalla kunkin äänestin 1ogiikan 15, 16, 17 toisesta lähdöstä 21a, 21b, 21c tai niiden yhteisestä lähdöstä 21 (kuvio 1)saata-va signaali ilmaisee järjestelmälähtöjen 8 tilojen virheettömyyden tai virheellisyyden.
25
Piirustusten esittämässä keksinnön toteutusesimerkissä ja-portti 49 (kuvio 3), jonka lähtö merkitään viitenumerolla 21a, on avoin-kol1ektori-tyyppinen, ja jokaisen moduulin 2, 3, 4 lähdöt 21a, 21b, 21c on langoitettu yhteen (kuvio 1).
30 Kun kaikki moduulit toimivat oikein, on signaali lähdössä 21 (kuvio 1) ykkösenä (muutostilanteita lukuunottamatta), koska signaalit porttien 38 ja 40 lähdöissä ovat ykkösiä ja ne ovat tuloina ja-portissa 49.
35
II
13 72396
Moduulilogiikkojen 29, 30 ja 31 vikatilanteissa voidaan erottaa kaksi tapausta: 1. Vika tapahtuu siinä moduulilogiikassa, joka määrää jär- 5 jestelmälähdöt.
2. Vika tapahtuu toisessa niistä moduulilogiikoista, joiden lähdöt on maskattu.
Jos ensimmäisessä tapauksessa moduulin 2 lähdöt ovat aktii-10 vieet ja vika tapahtuu moduulilogiikassa 29, niin seuraa- valla kellon Cl pulssin nousevalla reunalla myös järjestel-mälähdöt 8 tai osa niistä muuttuu virheellisiksi. Oikein toimivat moduulit 3 ja 4 huomaavat tämän ja niiden äänes-tinlogiikkojen 16 ja 17 vertailusignaalit lähdöissä 13b ja 13 14c nollautuvat, koska järjestelmälähtöjen 8 ja moduulien 3 ja 4 sisäisten lähtöjen 10, 11 välillä on ristiriita.
Tällöin moduulin 2 tai-portin 40 kaikki tulot nollautuvat, koska ykkösenä oleva signaali lähdössä 12a viedään portille 20 40 invertterin 39 kautta. Näin portin 40 lähtösignaali mo duulissa 2 nollautuu ja samalla nollautuvat ja-portin 44 ja tai-portin 41 1ähdösignaalit moduulissa 2 ja seurasvalla kellon C2 pulssin nousevalla reunalla nollautuu signaali lähdössä 53 moduulissa 2. Tämä aiheuttaa moduulin 2 lähtö-25 jen 5 maskautumisen eli peittymisen (suuri-impedanssiti1 aan tai ykköstilaan) ja samalla lähdön 53a tai tilarekisterin sisäisen lähdön 461 nollautuvan signaalin laskeva reuna nollaa JK-kiikun Q-lähdön 474, joka ja-portin 45 yhtenä tulona nollautuessaan estää kellon C2 pulssin pääsyn D-kiikun 30 46 kellotuloon. Moduulin 2 lähdöt pysyvät nyt maskattuna seuraavaan tuloon 34 syötettävään asetuspulssiin asti.
Kun signaali portin 41 lähdössä moduulissa 2 nollautuu (tulo 27a nollassa ja portin 40 lähtö nollassa), niin signaali 35 lähdössä 28a ja sitä kautta moduulin 3 äänestin logiikan 16 14 7 2 396 tulossa 27b nollautuu, jolloin invertterin 43 lähtösignaali moduulissa 3 nousee ykköseksi. Tällöin moduulissa 3 ja-por-tin 43 kaksi tuloa ovat ykköstilassa (signaali lähdössä 474 ja invertterin 43 lähdössä), joten kellon C2 pulssi pääsee 3 D-kiikun 46 kellotuloon, jonka kiikun datatulo D on ykkönen moduulissa 3 (ja-portin 44 tulot ovat ykköstilassa). Näin kellon C2 pulssin samalla nousevalla reunalla, jolla moduulin 2 signaali lähdössä 53 nollattiin ja lähdöt 5 mask at-tiin, moduulin 3 äänestinlogiikan lähdön 53 signaali nousee 10 ykköseksi. Tällöin virheettömän moduulin 3 sisäisten lähtöjen 10 signaalit, jotka on talletettu kellon Cl pulssin nousevalle reunalle D-kiikkuihin 62 (kuvio 5) lähtöpusku-reissa 19, pääsevät invertterin 63 lähtöön 632, eli määräävät järjestelmälähtöjen 8 signaalit. Nyt myös virheetön mo-15 duuli 4 huomaa signaalit lähdössä 8 virheettömiksi ja moduulin 3 ja 4 vertailusignaalit 13b ja 14c nousevat ykkösiksi. Näin jokaisessa moduulissa vähintään yksi tai-port-tien 38 ja 40 tuloista on ykköstilassa, joten niiden lähtö-signaalit ovat myös ykkösiä, eli signaali lähdössä 21 on 20 myös ykkönen indikoiden signaalien virheettömyyden järjes-telmälähdössä 8. Käyttämällä riittävän matalaa kellotaajuutta ja sopivaa pulssisuhdetta kellossa Cl, voidaan varmistaa, että edelläkuvattu korjaustoimenpide tapahtuu yhden kellojakson kuluessa, ja seuraava aste voi lukea tiedot 25 esim. kellon Cl pulssin laskevalla reunalla, johon mennessä mahdolliset korjaustoimenpiteet ovat tapahtuneet.
Jos moduulissa 2 on pysyvä vika ja jatkuva ristiriita jär-jestelmälähtöjen 8 signaalien kanssa, niin signaali lähdössä 12a pysyy jatkuvasti nollassa. Oos moduulissa 2 oli kui-30 tenkin vain transienttivika tai sellainen pysyvä vika, joka ei näy jatkuvasti sen sisäisissä lähdöissä 9, niin signaa-lilähdössä 12a saattaa nousta väliaikaisesti tai pysyvästi-kin ykköseksi. Moduuli 2 pysyy kuitenkin maskattuna, jollei uutta asetuspulssia syötetä tuloon 34, koska signaali tila-35 rekisterin 61 3K-kiikun lähdössä 474 moduulissa 2 on nollautunut ja se estää tilan muutokset D-kiikun 46 lähdössä 461 ja samalla tilarekisterin 61 lähdössä 53a.
15 72396
Edellä tarkasteltiin tilannetta, jossa moduulin 2 lähdöt olivat aluksi aktiiviset. Tämä onkin tilanne normaalisti, sillä moduulin 2 lähdöt pysyvät aktiivisina ensimmäiseen jarjestelmälähdöissä Θ tapahtuvaan virheeseen saakka.
5 Tämän jälkeen viallinen moduuli pyritään mahdollisimman nopeasti vaihtamaan ja järjestelmä asetetaan alkutilaan ase-tuspulssilla tulon 34 kautta niin, että moduulin 2 lähdöt 5 ovat aktiiviset eli lähdön 5 tilat määräävät järjestelmä-10 lähdön 8 tilat. Mikäli moduulissa 2 oli transienttivikä, joka myöhemmin poistuu, niin järjestelmä sietää uuden vian ja jos se tapahtuu moduulissa 3, niin edelläkuvatulla mekanismilla aktivoituvat moduulin 4 lähdöt. Tämän jälkeen uusi kierros onnistuu vasta tuloon 34 syötetyn asetuspuls-13 sin jäi keen.
Toisessa tapauksessa vika esiintyy toisessa niistä moduuli-logiikoista, joiden lähdöt on maskattu. Tällöin vika ei pääse etenemään järjestelmälähtöihin 8, vaan se näkyy ai-20 noastaan viallisen moduulin sisäisissä signaaleissa. Esim. jos oletetaan moduulin 4 moduulilogiikka 31 vialliseksi, ja moduulin 2 lähdöt aktiivisiksi, niin tällöin moduulin 4 vertailija 35c huomaa ristiriidan ja signaali lähdössä 14c nollautuu. Muut vertailusignaalit lähdöissä 12a ja 13b py-25 syvät ykkösinä. Näin kaikissa moduuleissa tai-porttien 38 ja 40 tuloihin tulee ainakin yksi signaali, joka on ykkös-tilassa, joten tai-porttien 1ähtösignaalit ovat ykkösiä jokaisessa moduulissa 2, 3, 4. Näin signaalin muutosta tilarekisterin 61 lähdössä 53 ei tapahdu missään moduulissa. 30 Myös ja-portin 49 tuloihin syötetyt signaaalit jokaisessa moduulisssa pysyvät ykkösinä. Näin myöskään signaali lähdössä 21 ei missään vaiheeessa nollaudu, mikä ei ole tarpeenkaan, koska signaalit järjestelmälähdössä 8 ovat koko ajan enemmistön mukaisia.
35 16 72396
Toisessa tapauksessa vika voi olla myös moduu1ilogiikkassa 30, jolloin järjestelmä 1 toimii edelläkuvatulla tavalla.
Järjestelmä toimii siis vikasietoisesti minkä tahansa mo-5 duulilogiikoista 29, 30 tai 31 vikaantuessa. Moduuleissa 2, 3, 4 voi esiintyä vikoja kuitenkin myös äänestinlogiikois-sa 15, 16 ja 17 tai lähtöpuskureissa 18, 19 ja 20. Äänes- tinlogiikkojen vioista suurin osa on sellaisia, jotka yksinään eivät vioita järjestelmälähtöjä 8, mutta osalta ei 10 saada myöskään vikaindikaatiota. Tilanne on sama myös tunnetuissa NMR-järjestelmi3sä. Äänesti n log iikan vioista ovat kriittisiä sellaiset, jotka aiheuttavat signaalin virheellisen nollautumisen lähdössä 21, koska tätä signaalia käytetään vian ilmaisemiseen ja esim. toiminnan pysäyttämi-15 seen. Piileviä vikoja voidaan paljastaa ajoittaisilla testauksilla.
Lähtöpuskurit 18, 19, 20 muodostavat kaikissa N:n moduulin redundanssin NMR-järjestelmissä kriittisimmän osan. Lähtö-20 jen vikaantuminen aiheuttaa aina järjestelmävian tunnetuissa NMR-järjestelmissä. Sen sijaan keksinnön mukaisessa järjestelmässä myös osa lähtöpuskurien vioista pystytään peittämään. Jos nimittäin kaikki tai osa lähtöpuskureiden 18, 19 tai 20 lähtöjen tiloista jossakin moduulissa 2, 3, 4 jää 25 pysyvästi ykköseksi tai suuri-impedanssi-tilaan, niin toisen moduulin vastaava puskuri pystyy ohjaamaan ko. lähtöä. Jos vikaantunut puskuri on moduulissa, jonka lähdöt eivät ole aktiivisina, niin tästä ei ole seurauksena mitään toimenpiteitä, tosin vikaa ei valitettavasti myöskään huomata 30 ilman erillistä testausta. Jos em. vika tapahtuu niissä lähtöpuskureissa, jotka ovat aktiivisina (oletetaan esim. moduulin 2 puskurit 18), niin tällöin vertai 1 ijoiden 35a, 35b ja 35c vertailusignaalit lähdöissä 12a, 13b ja 14c nollautuvat, koska signaalit tai tilat lähdössä 8 ovat risti-35 riidassa kaikkien sisäisten lähtöjen 9, 10 ja 11 tilojen kanssa.
il 17 72396 Tällöin kaikki signaalit tai-portin 38 tuloissa ovat nollia eli ja-portin 49 toinen tulo nollautuu ja nollaa myös signaalin lähdössä 21. Myös tai-portin 48 lähtösignaali nollautuu moduulissa 2, joten ja-portin 44 yksi tulosignaali 5 nollautuu, josta seuraa portin lähtösignaalin nollautuminen ja D-kiikun 46 datatuloon tulevan signaalin nollautuminen. Kellon C2 pulssin seuraavalla nousevalla reunalla signaali tilarekisterin 61 lähdössä 53 nollaantuu ja moduulin 2 lähdöt 5 peittyvät eli maskautuvet. Samanaikaisesti on myös 10 moduulin 2 tai-portin 48 lähtösignaali nollautuessaan nollannut myös ja-portin 42 lähtösignaalin eli signaalin lähdössä 28a, joka puolestaan nollaa signaalin tulossa 27b moduulissa 3, jossa ja-portin 44 molemmat tulosignaalit ovat nyt ykkösiä ja ja-portin 45 kaksi tulosignaalia on ykkösiä 15 ja kolmas signaali eli kellopulssi kellosta C2 pääsee D- kiikun 46 kellotuloon. Ja-portin 44 lähtösignaalin eli D-kiikun 46 datatulon signaalin ollessa ykkönen, nousee signaali D-kiikun· lähdössä 461 moduulissa 3 eli äänestinlo-giikan 16 lähdössä 53b ykköseksi, jolloin sisäiset signaa-20 lit 10 määräävät nyt järjestelmälähdön 8 tilat. Tässä ti lanteessa kaikki moduulit ovat yhtä mieltä lähtöjen 8 tilojen virheettömyydestä, koska vika oli moduulin 2 lähtöpus-kureissa 18 ja sen vaikutus peitettiin. Näin järjestelmä säilyy edelleen vikasietoisena. Jos moduuliin 3 tulee vika, 25 sen lähdöt maskataan ja aktiiviset lähdöt siirtyvät moduuliin 4 edellä esitetyllä tavalla.
Silloin kun lähdöt 8 vikaantuvat pysyvästi, signaalia lähdössä 21 täytyy käyttää siten, että se estää virheellisen 30 tiedon etenemisen järjestelmää 1 seuraaviin asteisiin. Enemmistöilmaisimen 60 tai-portti 38 varmistaa lähdön 21 signaalin pysymisen nollassa silloin, kun jokin lähtöpuskureista 18, 19, 20 on vikaantunut siten, että kaikki sisäisten lähtöjen 9, 10 ja 11 tilat ovat jatkuvasti ristiriidas-35 sa lähtöjen 8 tilojen kanssa. Tällainen on tilanne esim.
18 72 3 9 6 silloin, kun jokin 1ähtöpuskureista 181, 182, 183,... on vikaantunut pysyvästi nollatilaan. Tällöin kaikki moduulit peittyvät peräkkäin edellä kuvatulla tavalla pystymättä korjaamaan virhettä ja lopuksi tai-porttien 40 lähtösignaa-5 lit ovat ykkösiä kaikissa moduuleissa 2, 3, 4, mutta tai- portista 38 saadaan nol1asignaali ja-porttiin 49, joten signaali lähdössä 21 pysyy nollassa indikoiden lähtöjen 8 signaalien virheellisyyden.
10 TMR-järjeetelmien eräs ongelma on kaikkien moduulien tahdistaminen niin, että samat äänestettävät signaalit eri moduuleissa esiintyvät samanaikaisesti ja niin, että tiedetään, millä hetkellä äänestys pitää suorittaa. Tässä keksinnössä ei ole tehty parannuksia tahdistuksen suhteen, 15 vaan tahdistus on suoritettava tunnettuja, esim. patenttijulkaisussa US 4,375,683 esitettyjä menetelmiä käyttäen. Tähän liittyen on myös kellojen C1 ja C2 pui ssitaa j uus ja tahdistus toteutettava niin, että sisäisten signaalien 9, 10 ja 11 muutoksiin liittyvät ilmiöt äänestin!ogiikoissa 20 15, 16, 17 ovat tasaantuneet kellon C2 pulssien nousevien reunojen tullessa tilarekisterien 61 D-kiikkujen 46 kello-tuloihin eri moduuleissa.
Kuviossa 4 on esitetty keksinnön mukainen järjestelmä inte-25 groituna yhteen mikropiiriin. Tällöin kuvion 1 mukainen järjestelmä on integroitu yhdelle piipalalle ja piiriin tarvitaan vain 3 ylimääräistä 1iittosnastaa: lähtö 21, tulo 34 asetuepulssia varten ja jonkin moduuli1ogiikan 29, 30, 31 vikaindikaatiolähtö 24, joka on muodostettu vertailijoi-30 den 35a, 35b, 35c lähdöillä 12a, 13b ja 14c ja-portilla 50. Asetuspulssi tulossa 34 voi olla myös yhteinen moduuli-logiikkojen 29, 30 ja 31 asetuspulssien kanssa.
Vertailijan 35a, 35b, 35c vertailusignaaleja lähdöissä 12a, 35 13b ja 14c voidaan käyttää järjestelmään lisättävän vir- 19 72396 heental1entimen toteutuksessa. Virheental1ennin sisältää logiikka- ja muistipiirin, jonne rekisteröidään signaalien 12a, 13b, 14c ja 21 perusteella kaikki moduuli1ogiikoissa tapahtuvat viat ja halutulla tavalla, esim. hälytyksellä ja $ vaioindikaatiol1 a ilmoitetaan valvomo- tai huoltohenkilöstölle viallinen moduuli. Signaalia lähdössä 21 voidaan myös käyttää hälyyttämään siitä, että lähdöt 8 ovat virheelliset .
10 Eräs mahdollinen 1ähtöpuskuriratkaisu on esitetty kuviossa 5. Lähtöpuskuria on merkitty viitenumerolla 181; oletetaan, että se on moduulin 2 1 ähtöpuskurin 18 ensimmäinen yksik kö. Normaali lähtöpuskuri käsittää välirekisterin kuten D-tyyppisen kiikun 62 ja invertoivat portit 63. Moduulin 2 13 sisäisen lähdön 9 ensimmäinen signaalilähtö 91 on yhdistetty kiikun 62 D-tuloon, kellon C1 lähtö kellotuloon ja tilarekisterin 61a lähtö invertoivan portin 63 ohjaustuloon 633. Portin 63 tulo 631 on yhdistetty kiikun 62 Q-lähtöön ja lähtö 632 moduulin 2 ulkoisen lähdön 3 ensimmäiseen sig-20 naalilähtöön 501. Lähtöpuskurin ollessa aktiivinen sisäinen signaalilähtö 91 määrää ulkoisen signaali1ähdön 501 tilan. Kun äänestinlogiikan 15 tilarekisteriltä 61a saadaan este-signaali lähdön 53a kautta portin 63 tuloon 633, portti sulkeutuu joko suuri-impedanssitilaan tai ykköstilaan ja 25 estää sisäisen signaali1ähdön 91 vaikutuksen ulkoiseen sig-naalilähtöön 501. Näin tapahtuu kaikkien 1ähtöpuskurien 18 yksiköiden 181, 182, 183,... kohdalla.
Lähtöpuskurissa olevan välirekisterin kuten D-kiikun 62 30 merkitys on siinä, että kun kellon C1 pulssin nousevalla reunalla kaikkien moduulien sisäiset lähdöt 9, 10, 11 tal letetaan vastaavien 1 ähtöpuskurien D-kiikkuihin 62, niin tämä jälkeen ja ennen seuraavaa kellon C1 pulssin nousevaa reunaa moduulilogiikoissa 29, 30, 31 (erityisesti siinä, 35 jonka lähdöt ovat aktiiviset) tapahtuvat viat eivät pääse 20 72396 jarjestelmälähtöihin 8. Tällä varmistetaan se, että järjestelmää seuraava aste saa tiedon virheettömänä moduuli1ogii-koissa 29, 30, 31 mielivaltaisella hetkellä tapahtuvasta virheestä huolimatta.
5
Mikäli osa tai kaikki järjestelmälähdön 8 signaalilähdöistä kytketään monen käyttäjän väylään, niin kyseisten lähtöpus-kurien 181, 182, 183 rinnalle vastakkaiseen suuntaan kytketään invertoitavat portit, kuten portti 64 kuviossa 5. Por-10 tin 64 tulo 641 on yhdistetty ensimmäiseen signaali1ähtöön 501 ja lähtö 642 moduulin 2 sisäisen lähtön 9 ensimmäiseen signaalilähtöön 91 ja kiikun 62 D-tuloon. Portin 64 ohjaus-tulo 643 on yhdistetty 1ähtöpuskuriin 181 tuloon 37a.
15 Koimiti1aporttia 64 voidaan ohjata moduulilogiikalta 29 saatavalla ohjaussignaalilla, joka johdetaan 1ähtöpuskurin 18 tuloon 37a siten, että kun väylä on muiden käytössä, toimii portti 64 invertterinä. Näin vältytään vääriltä signaalien muutoksilta vertai 1ijoiden 35a, 35b, 35c lähdöissä 20 12a, 13bja 14c.
Porttilla 64 ja vastaavilla varustettua 1ähtöpuskuria voidaan käyttää myös moduulien tul opuskurina. Tällöin mahdolliset normaalit moduuli1ogiikkojen 29, 30, 31 ulkoiset tu-25 lot 9', 10', 11' voidaan korvata ko. tulopuskurilla.
Keksintöä ei rajoiteta millään tavalla edellä esitettyyn toteutusesimerkkiin, vaan esim. eri elektroniikkalaitteiden erilaiset tahdistusvaatimukset aiheuttavat sen, että jär-30 jestelmä voidaan toteuttaa jopa ilman kelloja C1 ja C2. Muutenkin äänestinlogiikat 15, 16, 17 voidaan toteuttaa eri tavoin, kuvioissa 2 ja 3 on esitetty vain eräs toimiva ratkaisu. Myöskään keksintöä ei rajoiteta kolmen moduulin redundanssia käyttäviin järjestelmiin, vaan keksinnön pe-35 rusajatuksen puitteissa voidaan toteuttaa useammankin moduulin redundanssijärjestelmiä. Myös hybridijärjestelmä voidaan toteuttaa, joissa yksi tai useampia moduuleja on järjestetty varalle.
Il

Claims (11)

21 72396
1. Menetelmä vikasietoisen elektronisen järjestelmän toteuttamiseksi, joka järjestelmä (1) käsittää kolme tai 5 useampia samanlaisia moduuleita (2, 3, 4) ja äänestimen, jolla testataan järjestelmän 1ähtösignaalit ja valitaan moduulien enemmistön mukaiset 1ähtösignaa1 it, tunnet-t u siitä, että moduulien (2, 3, 4) toisiaan vastaavat lähdBt (5, 6, 7) yhdistetään järjestelmälähdöiksi (B), joi-10 den tilat määräytyvät moduulien lähtöjen enemmistön tilojen mukaan siten, että moduuleihin liittyvät äänestinlogiikat (15, 16, 17) vertaavat järjestelmälähtöjen (8) tiloja mo duulien sisäisten lähtöjen (9, 10, 11) tiloihin ja vertailun perusteella asetetaan ne äänestin!ogiikkojen lähtöjen 15 (12a, 13b, 14c) signaalit, joiden avulla ja yhdessä mahdol lisen edeltävän moduulin (2, 3) äänestinlogiikasta (15, 16) saadun ja tämän moduulin tilaa osoittavan signaalin, tai vastaavan ennaltamäärätyn signaalin, kanssa äänestin!ogiikat (15, 16, 17) toteavat normaalisti järjestelmän virheet-20 tömyyden ja vikatapauksessa määrittävät viallisen moduulin ja estävät moduulin vian vaikutuksen järjestelmälähtöihin (8).
2. Patenttivaatimuksen 1 mukainen menetelmä, tunnet- 25. u siitä, että moduulien (2, 3, 4) äänestinlogiikkojen (15, 16, 17) ensimmäisten lähtöjen (12a, 13b, 14c) signaaleja loogisesti kussakin äänestinlogiikassa (15, 16, 17) käsittelemällä saadaan aikaan kunkin moduulin toisessa lähdössä (21a, 21b, 21c) signaali, jotka signaalit yhdistetään 30 yhteiseen lähtöön (21), josta saatava signaali ilmaisee järjestelmälähtöjen (8) tilojen virheettömyyden tai vir-heel1 isyyden.
3. Patenttivaatimuksen 1 tai 2 mukainen menetelmä, 35 t u n n e t t u siitä, että järjestelmälähdöt (8) tai osa 22 7 2 3 9 6 niistä ja vastaavasti moduulien (2, 3, 4) lähdöt (5, 6, 7) tai osa niistä järjestetään toimimaan myös moduulien tuloina tai monen käyttäjän väylään liittyvinä lähtöinä tai lähtöinä ja tuloina. 5
4. Patenttivaatimuksen 1, 2 tai 3 mukainen menetelmä, tunnettu siitä, että moduulien (2, 3, 4) lähtöihin (5, 6, 7) järjestettyihin Jähtöpuskureihin (18, 19, 20) talletetaan 1 ähtösignaalit moduulien sisäisistä lähdöistä 10 (9, 10, 11), jotka mainitut 1ähtösignaalit saadaan tarvit taessa järjestelmälähtöön (8) moduulin lähdöstä (53) saata-val1 a signaalil 1 a .
5. Patenttivaatimuksen 2, 3 tai 4 mukainen menetelmä, 15 tunnettu siitä, että äänestin!ogiikkojen (15, 16, 17. ensimmäisistä lähdöistä (12a, 13b, 14c) ja toisista lähdöistä (21a, 21b, 21c) tai toisten lähtöjen yhdistetystä lähdöstä (21) saatavat signaalit luetaan virheentallenti-meen, josta saadaan haluttaessa signaali, joka ilmaisee 20 jonkin moduulin (2, 3, 4) viallisuuden ja/tai signaalit, jotka ilmaisevat, mikä moduuleista (2, 3, 4) on viallinen.
6. Jonkin edeltävän patenttivaatimuksen mukainen menetelmä, tunnettu siitä, että järjestelmä (1) integroi- 25 daan yhdeksi moduuliksi (33) siten, että moduulissa on järjestelmä! ähdöt (8), lähtö (21) järjestelmälähtöjen tilojen virheellisyyttä tai virheettömyyttä ilmaisevan signaalin saamista varten ja/tai lähtö (24) jonkin moduulin viallisuutta ilmaisevan signaalin saamista varten (kuvio 4). 30
7. Vikasietoinen elektroninen järjestelmä, joka käsittää kolme tai useampia samanlaisia moduuleita (2, 3, 4) ja ää-nestimen, jolla testataan järjestelmän 1ähtösignaalit ja valitaan moduulien enemmistön mukaiset 1ähtösignaalit, 35 tunnettu siitä, että 23 7239 6 - kukin moduuli (2, 3, 4) sisältää varsinaiset moduulilo-giikat (29, 30, 31), äänestinlogiikat (15, 16, 17) ja lah-töpuskurit (18, 19, 20); - äänestinlogiikat (15, 16, 17) sisältävät vertailijan (35; 35a, 35b, 35c), enemmistöilmaisimen (60; 60a, 60b, 60c) ja tilarekisterin (61; 61a, 61b, 61c); - 1ähtöpuskurin (18, 19, 20) lähdöt (5, 6, 7) on yhdistetty järjestelmälähdöksi (8) ja tämä äänestinlogiikan (15, 16, 17) vertailijan (35; 35a, 35b, 35c) ensimmäisiin tuloihin; - kunkin moduulilogiikan (29, 30, 31) sisäinen lähtö (9, 10, 11) on yhdistetty vastaavaan 1ähtöpuskuriin (18, 19, 20. ja äänest inlogiikan (15, 16, 17) vertailijan (35; 35a, 35b, 35c) toisiin tuloihin; - kunkin äänestinlogiikan (esim. 15) vertailijan (35a) lähtö (12a) on yhdistetty kaikkien äänestin 1ogiikkojen enemmistöil maisimien (60a, 60b, 60c) tuloihin (12a', 12b, 12c); - enemmistöilmaisimet (esim. 60) on yhdistetty vastaavaan tilarekisteriin (esim. 61) ja eri moduulien (2, 3, 4) äänestin! ogiikkojen (15, 16, 17) tilarekisterit (61a, 61b, 61c) on yhdistetty toisiinsa; ja jossa järjestelmässä kunkin äänestinlogiikan vertailija (35a, 35b, 35c) vertaa järjestelmälähtöjen (8) tiloja moduulin (2, 3, 4) sisäisten lähtöjen (9, 10, 11) tiloihin ja vertailun perusteella antaa signaalin kaikkien äänestinlo-giikkojen enemmistöilmaisimil 1 e (60a, 60b, 60c), joka antaa edelleen tiedon moduulin (2, 3, 4) tilarekisterille (61a, 61b, 61c), joiden avulla ja yhdessä mahdollisesti muista tilarekistereistä (61a, 61b, 61c) saatujen ja vastaavien moduulien (2, 3, 4) tilaa osoittavien signaalien kanssa todetaan normaalisti järjestelmän virheettömyys ja määritetään vikatapauksessa viallinen moduuli ja estetään vian vaikutus järjestelmälähtöihin (8) antamalla tämän moduulin tilarekisterin lähdön (53a, 53b, 53c) kautta signaali läh-töpuskurille (18, 19, 20). 2« 72 396
8. Patenttivaatimuksen 7 mukainen järjestelmä, tun nettu siitä, että moduulien (2, 3, 4) 1ähtöpuskureissa (18, 19, 20) on välirekisterit (62), joihin moduulien si säisistä lähdäistä (9, 10, 11) saatavat signaalit tallete- 3 taan ja jotka talletetut signaalit annetaan tarvittaessa järjestelmälähtöön (8) äänestinlogiikan (15, 16, 17) läh döstä (53a, 53b, 53c) saatavalla ohjaussignaalilla.
9. Patenttivaatimuksen 7 ja 8 mukainen järjestelmä, t u n-10 n e t t u siitä, että kukin vertailija (35; esim. 35a) on muodostettu ehdoton-tai-porteista (351, 352, 353,...), joiden ensimmäiseen tuloon on yhdistetty moduulin (esim. 2) lähdöt (5; 501, 502, 503,...) ja toiseen tuloon moduulin (2) sisäiset lähdöt (9; 91, 92, 93,...) ja joiden ehdoton-15 tai-porttien lähdöt on yhdistetty (esim. 12a).
10. Patenttivaatimuksen 7, 8 tai 9 mukainen järjestelmä, tunnettu siitä, että kunkin äänestinlogiikan (15, 16, 17) enemmietöilmaisin (60; 60a, 60b, 60c) on muodostet- 20 tu tai-portista (38, 40) ja invertteristä (39), jonka ensimmäisen tai-porttin (38) tuloihin on yhdistetty eri ää-nestinlogiikkojen (15, 16, 17) vertailijoiden (35; 35a, 35b, 35c) lähdöt (12a, 13b, 14c) ja jonka toisen tai-portin (40) tuloihin (13a, 14a) on yhdistetty suoraan niiden ver-25 tailijoiden (35b, 35c) lähdöt (13b, 14c), jotka sijaitsevat toisissa äänestinlogiikoissa (16, 17) ja invertterin (39) kautta sen vertailijan (35a) lähtö (12a), joka kuuluu samaan äänestinlogiikkaan (15) kuin mainittu enemmistöilmai-sin (60a) ja joiden tai-porttien (38, 40) lähdöt (384, 404) 30 toimivat enemmietöilmaisimen (60) lähtöinä ja ovat yhdistetyt tilarekisteriin (61) tuloihin (54, 55).
11. Patenttivaatimuksen 7, 8, 9 tai 10 mukainen järjestelmä, tunnettu siitä, että tilarekisteri (61) käsit- 35 tää tulot (27 , 34, 54, 55 ja kello C2) ja lähdöt (21, 28, 53) sekä tai-portit (41, 48), ja-portit (42, 44, 45, 49), II 25 7 2 3 9 6 invertterin (43) ja kaksi kiikkua tai vastaavaa valirekis-teriä, edullisesti ensimmäisen D-tyyppisen (46) ja toisen JK-tyyppisen (47) kiikun, ja jossa tilarekisterissä (61) - tulo (27) on yhdistetty tai-portin (41) ensimmäiseen tu loon (411) ja invertterin (43) tuloon (431)» - tulo (34) on yhdistetty kummankin kiikun (46, 47 ) nol- laustuloon (CLR); - tulo (54) on yhdistetty tai-portin (48) toiseen tuloon (482) ja ja-portin (49) toiseen tuloon (492); - tulo (55) on yhdistetty tai-portin (41) toiseen tuloon (412), ja-portin (44) ensimmäiseen tuloon (441) ja ja-portin (49) ensimmäiseen tuloon (491); - ensimmäisen kiikun (46) ensimmäinen lähtö (461) on yhdistetty tilarekisterin lähtöön (53) ja toisen kiikun (47) kellotuloon (471); - ensimmäisen kiikun (46) toinen invertoitu lähtö (462) on yhdistetty tai-portin (48) ensimmäiseen tuloon (481); - toisen kiikun (47) lähtö (474) on yhdistetty ja-portin (42) kolmanteen tuloon (423) ja ja-portin (45) kolmanteen tuloon (453); - tai-portin (41) lähtö (413) on yhdistetty ja-portin (42) ensimmäiseen tuloon (421); - tai-portin (48) lähtö (483) on yhdistetty ja-portin (42) toiseen tuloon (422) ja ja-portin (44) toiseen tuloon (442); - ja-portin (44) lähtö (443) on yhdistetty ensimmäisen kiikun (46) tuloon (D) - invertterin (43) lähtö (432) on yhdistetty ja-portin (45) ensimmäiseen tuloon (451) ja kello (C2) ja-portin (45) toiseen tuloon (452); - ja-portin (45) lähtö (454) on yhdistetty ensimmäiseen kiikkun (46) kellotuloon; - ja-portin (42) lähtö (424) on yhdistetty tilarekisterin lähtöön (28); - ja-portin (49) lähtö (493) on yhdistetty tilarekisterin lähtöön (21). ί " ~' ' 26 72396
FI852680A 1985-07-05 1985-07-05 Foerfarande foer aostadkommande av ett elektroniskt system som tolererar fel samt motsvarande system. FI72396C (fi)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FI852680A FI72396C (fi) 1985-07-05 1985-07-05 Foerfarande foer aostadkommande av ett elektroniskt system som tolererar fel samt motsvarande system.

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI852680 1985-07-05
FI852680A FI72396C (fi) 1985-07-05 1985-07-05 Foerfarande foer aostadkommande av ett elektroniskt system som tolererar fel samt motsvarande system.

Publications (3)

Publication Number Publication Date
FI852680A0 FI852680A0 (fi) 1985-07-05
FI72396B true FI72396B (fi) 1987-01-30
FI72396C FI72396C (fi) 1987-05-11

Family

ID=8521094

Family Applications (1)

Application Number Title Priority Date Filing Date
FI852680A FI72396C (fi) 1985-07-05 1985-07-05 Foerfarande foer aostadkommande av ett elektroniskt system som tolererar fel samt motsvarande system.

Country Status (1)

Country Link
FI (1) FI72396C (fi)

Also Published As

Publication number Publication date
FI852680A0 (fi) 1985-07-05
FI72396C (fi) 1987-05-11

Similar Documents

Publication Publication Date Title
US4843608A (en) Cross-coupled checking circuit
CN100580637C (zh) 防止固件缺陷干扰逻辑时钟的方法和系统
JP2002539543A (ja) 過渡擾乱に対して保護された論理回路
JP2002503371A (ja) 多数決用ハードウエア設計と、多数決の試験および保守
EP1146423B1 (en) Voted processing system
Lubaszewski et al. A reliable fail-safe system
KR20070038543A (ko) 듀얼 컴퓨터 시스템의 데이터 및/또는 명령에 대한 액세스지연 방법 및, 상응하는 지연 유닛
Jutman et al. Reliable health monitoring and fault management infrastructure based on embedded instrumentation and IEEE 1687
US11550684B2 (en) Testing of lockstep architecture in system-on-chips
Usas A totally self-checking checker design for the detection of errors in periodic signals
FI72396B (fi) Foerfarande foer aostadkommande av ett elektroniskt system somtolererar fel samt motsvarande system
Matrosova et al. A fault-tolerant sequential circuit design for SAFs and PDFs soft errors
US11138054B2 (en) Clock fractional divider module, image and/or video processing module, and apparatus
US9665421B2 (en) Safe secure bit storage with validation
JP3438490B2 (ja) 冗長システム
US8516336B2 (en) Latch arrangement for an electronic digital system, method, data processing program, and computer program product for implementing a latch arrangement
WO1987007793A1 (en) Method for realizing a fault-tolerant electronic system and a corresponding system
RU2453079C2 (ru) Устройство для контроля и резервирования информационной системы
US11374576B1 (en) Self-diagnostic counter
Noraz et al. VLSI implementation for control of critical systems
JP2003177935A (ja) 冗長システム
Vaskova et al. Verifying Hardening Techniques for Distributed Electronic Systems in Critical Applications
JP2006338425A (ja) 制御装置
WO2022240396A1 (en) Method of generating and monitoring a digital signature
KR0183949B1 (ko) 장애허용시스템의 장애검출장치

Legal Events

Date Code Title Description
MM Patent lapsed

Owner name: VALTION TEKNILLINEN TUTKIMUSKESKUS