JP2001513236A - 検定済のチャネルおよび非検定済のチャネルを有する冗長に構成された電子装置 - Google Patents
検定済のチャネルおよび非検定済のチャネルを有する冗長に構成された電子装置Info
- Publication number
- JP2001513236A JP2001513236A JP53724598A JP53724598A JP2001513236A JP 2001513236 A JP2001513236 A JP 2001513236A JP 53724598 A JP53724598 A JP 53724598A JP 53724598 A JP53724598 A JP 53724598A JP 2001513236 A JP2001513236 A JP 2001513236A
- Authority
- JP
- Japan
- Prior art keywords
- channel
- electronic device
- channels
- sign
- untested
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/23—Pc programming
- G05B2219/23469—Execute alternatively a failsafe, proven program and a non failsafe program
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24191—Redundant processors are different in structure
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1641—Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Programmable Controllers (AREA)
- Tests Of Electronic Circuits (AREA)
- Amplifiers (AREA)
- Design And Manufacture Of Integrated Circuits (AREA)
- Semiconductor Integrated Circuits (AREA)
- Debugging And Monitoring (AREA)
Abstract
(57)【要約】
少なくとも2チャネルの同種の冗長に構成された電子装置(EG)、特に2チャネルの同種の冗長に構成されたプログラマブル論理装置において、電子装置(EG)が少なくとも1つの検定済のチャネル(A)および少なくとも1つの非検定済のチャネル(B)を有し、その際に検定済のチャネル(A)が系統的誤りが十分に存在しないチャネルであり、またその際に非検定済のチャネル(B)のなかに系統的誤りが十分に存在しないことが明示的に証明されていない構成要素が使用可能である。
Description
【発明の詳細な説明】
検定済のチャネルおよび非検定済のチャネルを有する冗長に構成された電子装置
本発明は少なくとも2チャネルに構成された電子装置、特に2チャネルに構成
されたプログラマブル論理装置に関し、その際にこのプログラマブル論理装置は
たとえばプログラム記憶式制御装置の中央ユニットであり得る。
安全性が重要な課題に対しては、高度に「安全作動する」電子装置が必要とさ
れる。その際に「安全作動する」という表現は国際文書ドラフトIEC1508
の表現“functional safety”に準拠して選ばれた。
安全作動する電子装置は、誤りおよび故障を回避し、認識し、かつ抑制するた
めの特別な措置が講じられていることにより優れている。
誤りおよび故障の回避、認識および抑制のための通常の方法は、それぞれのチ
ャネルのなかで等しい作動が並列に実行されるように電子装置をマルチチャネル
に冗長に構成することである。結果または出力値の比較により、チャネルの1つ
のなかに誤りが出現しているか否かが認識される。
安全作動する動作の保証のために特に重要な特定の群の誤りは、チャネルのサ
ブアセンブリ、モジュールまたは構成要素のいわゆる系統的な誤りである。この
ような誤りは、たとえば論理的構造、すなわち個々の構成要素およびサブアセン
ブリの相互接続またはそれぞれ応用された製造プロセスにより条件付けられるそ
れらの物理的特性に基づくものであり得る。予定されている応用に対して系統的
な誤りの十分な不存在は広範な検定措置により証明される。
半導体テクノロジーの今日の急速な発展に際しては、製造プロセスは既に短時
間の後に変更される。その結果、当該の構成要素およびサブアセンブリに対して
その系統的な誤りの不存在が何度も新たに証明されなければならない。なぜなら
ば、安全作動するものとして格付けされたシステムのなかでのこのような構成要
素およびサブアセンブリの作動は広範な検定措置の後にのみ許されるからである
。
半導体分野での急速な技術革新サイクルは、この検定がたとえば各々の新しい
マイクロプロセッサ世代または各々の新しいメモリモジュール世代により新たに
実行されなければならないという結果をもたらしており、その際に証明プロセス
に対して予定しなければならない時間は、検査および/または作動の信頼性の証
明のために予定しなければならない時間に基づいて、新しい種類のモジュールが
、初めて安全性が重要な応用に対して、著しく遅れて使用され得ることに通ずる
。
従って本発明の課題は、同種の冗長なチャネルを有する安全性が重要なシステ
ムのなかで、系統的な誤りの十分な不存在がまだ証明されていないサブアセンブ
リ、モジュールまたは構成要素を作動させることが可能である電子装置を提供す
ることである。
この課題は、少なくとも2チャネルの同種の冗長に構成された電子装置、特に
2チャネルの同種の冗長に構成されたプログラマブル論理装置において、電子装
置が少なくとも1つの検定済のチャネルおよび少なくとも1つの非検定済のチャ
ネルを有し、その際に検定済のチャネルが系統的誤りが十分に存在しないチャネ
ルであることを特徴とする電子装置により解決される。
この関連で、系統的誤りが十分に存在しないチャネルとは、そのチャネルの機
能不発揮の確率が特定の時間にわたって、それぞれの応用により影響される特定
のしきい値、たとえば国際文書ドラフトIEC1508によるしきい値であり得
るしきい値を超過しないようなチャネルとして理解される。
各々のチャネルに対して照会可能な標識が設けられており、その際に検定済の
チャネルに対する標識の照会の際に第1の標識が、または非検定済のチャネルに
対して第2の標識が確認可能であり、その際に電子装置がその作動を、個々のチ
ャネルの標識の照会の際に少なくとも1回は第1の標識が存在するときにのみ開
始する。それによって、電子装置に対して、少なくとも2チャネルに構成されて
いる電子装置のチャネルの少なくとも1つが系統的誤りが十分に存在しないチャ
ネル、すなわち検定済のチャネル、であることが保証されているときにのみ電子
装置がその作動を開始することを保証する自己検査が実現されている。
個々のチャネルの標識の照会が順次に行われるならば、チャネルのどちらが系
統的誤りが十分に存在しないチャネル、すなわち検定済のチャネル、であり、ま
たチャネルのどちらが系統的誤りが十分に存在しなくはないチャネル、すなわち
非検定済のチャネル、であるかが一義的に確認可能である。
非検定済のチャネルの標識が電子装置の作動の際に、設定可能な認識された誤
りが存在しない時間の後に、チャネルを非検定済として特徴付ける第2の標識か
ら、チャネルを検定済として特徴付ける第1の標識へ切換可能であれば、それま
でに検定されていないチャネルの十分な作動継続時間および作動特性の評価の後
にこのチャネル自体が参照チャネルとして使用可能であり、従って、もちろん未
だ検定されていない次の次の世代の電子装置、モジュール、構成要素またはサブ
アセンブリが、予めその誤りが存在しないことを証明する必要なしに、使用され
得る。
その他の利点および本発明の詳細は図面による実施例の以下の説明から、また
従属する請求の範囲と結び付けて明らかになる。
図1はプログラム記憶式制御装置の2チャネルの同種の冗長に構成された中央
ユニットのブロック回路図である。
図1によれば電子装置EGは、プログラム記憶式制御装置の2チャネルの同種
の冗長に構成された中央ユニットである。ここで同種の冗長とは、個々のチャネ
ルが対称に少なくとも機能的に等しいモジュール、構成要素およびサブアセンブ
リにより構成されているという事実を指している。
図1による実施例では、チャネルAはマイクロプロセッサP、プログラムメモ
リIおよびデータメモリRを有する。マイクロプロセッサPの作動は監視ユニッ
トW、いわゆるウォッチドッグ、により監視される。チャネルBはチャネルAに
対して同種の冗長なチャネルとして構成されており、このことは特にそれぞれ等
しい参照符号を付されている等しい構成要素P、I、Rにより明らかにされてい
る。
チャネルAは、それぞれの構成要素、モジュールおよびサブアセンブリが既に
検定されており、従って系統的誤りの不存在が十分に証明されている構成要素P
、I、R、Wから構成されていなければならない。それによってチャネルAは全
体として系統的誤りが十分に存在しないチャネルAであるとみなされる。
チャネルBのなかには、たとえば新しい製造プロセスまたは変更された製造プ
ロセスに基づいてなんらかの仕方で変更され、また系統的誤りの不存在が未だ十
分に証明されていないバージョンの1つまたはそれ以上の構成要素P、I、R、
Wが使用される。
当該のモジュール、構成要素およびサブアセンブリのなかで、場合によっては
存在している系統的誤りが効力を生ずると、これらはチャネルAとチャネルBと
の間の結合Kを介して実行可能であるチャネルAとの結果比較により認識され、
またこうして抑制され得る。
それによって、冗長な電子装置EGのチャネルA、Bのなかの安全特性の悪化
なしに、未だ検定されていないので、その誤りの不存在が未だ十分に証明されて
いないモジュール、構成要素またはサブアセンブリを使用することが可能である
。
結果比較により、たとえばそれぞれの電子的なモジュール、構成要素またはサ
ブアセンブリの物理的特性により、または変更された製造または組立プロセスに
より惹起されている系統的誤りが認識される。
本発明による電子装置EGは、このような装置の提供者に対して、たとえば半
導体産業の技術革新サイクルに直接的に反応し、また安全作動するシステムのな
かに常に現在の開発状況に相当するモジュール、構成要素またはサブアセンブリ
を、たといそれらの系統的誤りの十分な不存在がそれまでに検定により未だ明示
的に証明されていないとしても、提供することを許す。
この関連で、本発明による方法または本発明による電子装置EGにより、この
検定を暗示的に達成し得ることは特に有利であるとみなされる。
この目的で、電子装置EGの各々のチャネルA、Bに対して、それぞれのチャ
ネルA、Bが系統的誤りが十分に存在しないとみなされ得るか否かについての情
報を与える標識が管理される。特定の、特に利用者により自由に選択可能な時間
の間に、電子装置EGの作動中にそれまでに検定されていないチャネルA、Bの
なかで系統的誤りが認識されなかったときには、この標識は“非検定済”から“
検定済”へ切換可能であり、従って、それまでに明示的に検定されてはいないが
、その系統的誤りの不存在が具体的な作動中に十分に証明されているチャネルも
明示的に検定されているチャネルのように使用され得る。
このことは特に電子装置EGのなかに、このいまや“オンライン検定されるチ
ャネル”と一緒に別の冗長なチャネルA、Bのなかに次の次の世代の半導体要素
のモジュール、サブアセンブリまたは構成要素をも使用し、またその後に上記の
過程に相応してこれらの構成要素に対しても可能な限りそれらの系統的誤りの十
分な不存在を証明することを可能にする。
それによって本発明による電子装置EGの使用または本発明による方法の応用
は、いつでも、さもなければ時間のかかる検定プロセスの後に初めて安全性が重
要なシステムのなかでの応用を許される最新のモジュール、サブアセンブリまた
は構成要素の使用を可能にする。
Claims (1)
- 【特許請求の範囲】 1.少なくとも2チャネルの同種の冗長に構成された電子装置(EG)、特に2 チャネルの同種の冗長に構成されたプログラマブル論理装置において、電子装置 (EG)が少なくとも1つの検定済のチャネル(A)および少なくとも1つの非 検定済のチャネル(B)を有し、その際に検定済のチャネル(A)が系統的誤り が十分に存在しないチャネルであることを特徴とする電子装置。 2.各々のチャネル(A、B)に対して照会可能な標識が設けられており、その 際に検定済のチャネル(A)に対する標識の照会の際に第1の標識(T)が、な いしは非検定済のチャネル(B)に対して第2の標識(F)が確認可能であり、 その際に電子装置(EG)がその作動を、個々のチャネル(A、B)の標識の照 会の際に少なくとも1回は第1の標識(T)が存在するときにのみ開始すること を特徴とする請求の範囲1に記載の電子装置。 3.個々のチャネル(A、B)の標識の照会が順次に行われることを特徴とする 請求の範囲2に記載の電子装置。 4.非検定済のチャネル(B)の標識が、設定可能な認識された誤りが存在しな い時間の後に、第2の標識(F)から第1の標識(T)へ切換可能であることを 特徴とする請求の範囲2または3に記載の電子装置。 5.少なくとも2チャネルの同種の冗長に構成された電子装置(EG)、特に2 チャネルの同種の冗長に構成されたプログラマブル論理装置を作動させる方法に おいて、電子装置(EG)が少なくとも1つの検定済のチャネル(A)および少 なくとも1つの非検定済のチャネル(B)を有し、その際に検定済のチャネル( A)が系統的誤りが十分に存在しないチャネルであることを特徴とする電子装置 の作動方法。 6.各々のチャネル(A、B)に対して照会可能な標識が設けられており、その 際に検定済のチャネル(A)に対する標識の照会の際に第1の標識(T)が、な いしは非検定済のチャネル(B)に対して第2の標識(F)が確認可能であり、 その際に電子装置(EG)がその作動を、個々のチャネル(A、B)の標識の照 会の際に少なくとも1回第1の標識(T)が出現するときにのみ開始することを 特徴とする請求の範囲5に記載の方法。 7.個々のチャネル(A、B)の標識の照会が順次に行われることを特徴とする 請求の範囲6に記載の方法。 8.非検定済のチャネル(B)の標識が、設定可能な認識された誤りが存在しな い時間の後に、第2の標識(F)から第1の標識(T)へ切換可能であることを 特徴とする請求の範囲6または7に記載の方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP97103151.3 | 1997-02-26 | ||
| EP97103151 | 1997-02-26 | ||
| PCT/EP1998/000827 WO1998038577A1 (de) | 1997-02-26 | 1998-02-13 | Redundant aufgebautes elektronisches gerät mit zertifizierten und nicht zertifizierten kanälen |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2001513236A true JP2001513236A (ja) | 2001-08-28 |
Family
ID=26145271
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP53724598A Pending JP2001513236A (ja) | 1997-02-26 | 1998-02-13 | 検定済のチャネルおよび非検定済のチャネルを有する冗長に構成された電子装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US7284152B1 (ja) |
| EP (1) | EP0961973B1 (ja) |
| JP (1) | JP2001513236A (ja) |
| AT (1) | ATE202859T1 (ja) |
| WO (1) | WO1998038577A1 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DK1233516T3 (da) * | 2001-02-15 | 2007-05-29 | Siemens Schweiz Ag | Logikkredslöb, især til jernbanetekniske anlæg |
| US8117512B2 (en) * | 2008-02-06 | 2012-02-14 | Westinghouse Electric Company Llc | Failure detection and mitigation in logic circuits |
| CN101546187B (zh) * | 2008-03-25 | 2010-12-08 | 上海宝信软件股份有限公司 | 冗余plc系统 |
| US11438574B2 (en) | 2020-10-26 | 2022-09-06 | Semiconductor Components Industries, Llc | Stitched integrated circuit dies |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4245342A (en) * | 1979-01-10 | 1981-01-13 | Intech Laboratories, Inc. | One-for-n modem control apparatus |
| DE3718582A1 (de) * | 1986-06-05 | 1987-12-10 | Zf Herion Systemtechnik Gmbh | Elektronische sicherheitseinrichtung |
| US5136704A (en) * | 1989-06-28 | 1992-08-04 | Motorola, Inc. | Redundant microprocessor control system using locks and keys |
| US5499336A (en) * | 1991-08-16 | 1996-03-12 | Robert Bosch Gmbh | Monitoring a computer network |
| JP2622219B2 (ja) * | 1991-12-26 | 1997-06-18 | 富士通株式会社 | 並列計算機の性能評価方法及びその装置 |
| JPH06149604A (ja) * | 1992-11-11 | 1994-05-31 | Nissan Motor Co Ltd | 多重化システム |
| JPH07262148A (ja) * | 1994-03-22 | 1995-10-13 | Nec Corp | コンピュータシステム |
| US5560033A (en) * | 1994-08-29 | 1996-09-24 | Lucent Technologies Inc. | System for providing automatic power control for highly available n+k processors |
| US5838899A (en) * | 1994-09-20 | 1998-11-17 | Stratus Computer | Digital data processing methods and apparatus for fault isolation |
| DE19504404C1 (de) * | 1995-02-10 | 1996-06-20 | Pilz Gmbh & Co | Systemarchitektur |
| DE19509558A1 (de) * | 1995-03-16 | 1996-09-19 | Abb Patent Gmbh | Verfahren zur fehlertoleranten Kommunikation unter hohen Echtzeitbedingungen |
| US5790791A (en) * | 1995-05-12 | 1998-08-04 | The Boeing Company | Apparatus for synchronizing flight management computers where only the computer chosen to be the master received pilot inputs and transfers the inputs to the spare |
| DE19643092C2 (de) * | 1996-10-18 | 1998-07-30 | Elan Schaltelemente Gmbh | Feld-Datenbussystem |
| KR100265955B1 (ko) * | 1996-12-02 | 2000-09-15 | 김영환 | 주프로세서에대해다수개의부프로세서가존재하는시스템의부프로세서로딩방법 |
| US6425093B1 (en) * | 1998-01-05 | 2002-07-23 | Sophisticated Circuits, Inc. | Methods and apparatuses for controlling the execution of software on a digital processing system |
| US6105087A (en) * | 1998-06-10 | 2000-08-15 | Hewlett-Packard Company | Event recognition by a state machine whose state is dependent upon historical information |
| DE10049441B4 (de) * | 2000-10-06 | 2008-07-10 | Conti Temic Microelectronic Gmbh | Verfahren zum Betrieb eines von einem Prozessor gesteuerten Systems |
-
1998
- 1998-02-13 US US09/380,146 patent/US7284152B1/en not_active Expired - Fee Related
- 1998-02-13 AT AT98910662T patent/ATE202859T1/de not_active IP Right Cessation
- 1998-02-13 JP JP53724598A patent/JP2001513236A/ja active Pending
- 1998-02-13 WO PCT/EP1998/000827 patent/WO1998038577A1/de active IP Right Grant
- 1998-02-13 EP EP98910662A patent/EP0961973B1/de not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| EP0961973A1 (de) | 1999-12-08 |
| ATE202859T1 (de) | 2001-07-15 |
| EP0961973B1 (de) | 2001-07-04 |
| US7284152B1 (en) | 2007-10-16 |
| WO1998038577A1 (de) | 1998-09-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6055653A (en) | Method and apparatus for testing gang memory modules | |
| US7890810B1 (en) | Method and apparatus for deterministic fault injection of storage shelves in a storage subsystem | |
| US20150293829A1 (en) | Method and apparatus for monitoring general purpose input output, gpio, signals | |
| CN108693825A (zh) | Plc输入输出模块的检测方法及装置 | |
| US7539903B2 (en) | Method for monitoring the execution of a program by comparing a request with a response and introducing a falsification in a response | |
| US9891934B2 (en) | Configuration controller for and a method of controlling a configuration of a circuitry | |
| US7739545B2 (en) | System and method to support use of bus spare wires in connection modules | |
| JPH11111000A (ja) | 半導体メモリの故障自己診断装置 | |
| JP2001513236A (ja) | 検定済のチャネルおよび非検定済のチャネルを有する冗長に構成された電子装置 | |
| JPH06180657A (ja) | コンピュータシステムボードの試験方法及び装置 | |
| CN114880972A (zh) | 支持错误注入验证测试的验证方法、计算机可读介质 | |
| JP4843451B2 (ja) | データ生成方法、結線チェックシステム、およびデータ生成プログラム | |
| US11038449B2 (en) | Vehicle generator control device | |
| JP2007058450A (ja) | 半導体集積回路 | |
| US7669090B2 (en) | Apparatus and method for verifying custom IC | |
| US8145953B2 (en) | Programmable unit | |
| JP2606630B2 (ja) | 情報処理システム | |
| JP4817646B2 (ja) | カスタムic検証装置および検証方法 | |
| JPS6151578A (ja) | 電子回路装置障害診断方式 | |
| JPH0232620A (ja) | プログラマブル・ロジック・アレイ | |
| JPH02222051A (ja) | プロセッサ・システムの電源投入シーケンス | |
| JPH0259935A (ja) | 論理装置の故障診断辞書作成方式 | |
| JP2023093306A (ja) | 大型タッチディスプレイ集積回路およびその動作方法 | |
| CN118132358A (zh) | 注错方法、系统、上位机、控制器、设备和存储介质 | |
| JP4666370B2 (ja) | 接点入力装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050524 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050824 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20051101 |