JP2002108638A - マイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステム - Google Patents
マイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステムInfo
- Publication number
- JP2002108638A JP2002108638A JP2000296738A JP2000296738A JP2002108638A JP 2002108638 A JP2002108638 A JP 2002108638A JP 2000296738 A JP2000296738 A JP 2000296738A JP 2000296738 A JP2000296738 A JP 2000296738A JP 2002108638 A JP2002108638 A JP 2002108638A
- Authority
- JP
- Japan
- Prior art keywords
- microcomputer
- error
- output
- data
- input
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Advance Control (AREA)
- Hardware Redundancy (AREA)
- Debugging And Monitoring (AREA)
- Microcomputers (AREA)
Abstract
(57)【要約】
【課題】個数自由で故障判定ができ、エラーに柔軟に対
応できるマイクロコンピュータのエラー検出方法及びエ
ラー検出回路及びマイクロコンピュータシステムを提供
する。 【解決手段】リング状に相互接続され、同じ出力期待値
を有する二以上のマイクロコンピュータの各々に同様の
演算を行うエラー検出方法において、一のマイクロコン
ピュータから一定方向に演算結果であるデータを出力
し、係るデータが前記一のマイクロコンピュータに隣接
する一方のマイクロコンピュータに入力され、各マイク
ロコンピュータで比較された出力データと入力データと
が不一致の場合には前記方向と逆方向にエラー信号を出
力し、係るエラー信号が前記一のマイクロコンピュータ
に隣接する他方のマイクロコンピュータに入力されると
共に、エラー入出力が発生したマイクロコンピュータを
エラーとみなすことを特徴とする。
応できるマイクロコンピュータのエラー検出方法及びエ
ラー検出回路及びマイクロコンピュータシステムを提供
する。 【解決手段】リング状に相互接続され、同じ出力期待値
を有する二以上のマイクロコンピュータの各々に同様の
演算を行うエラー検出方法において、一のマイクロコン
ピュータから一定方向に演算結果であるデータを出力
し、係るデータが前記一のマイクロコンピュータに隣接
する一方のマイクロコンピュータに入力され、各マイク
ロコンピュータで比較された出力データと入力データと
が不一致の場合には前記方向と逆方向にエラー信号を出
力し、係るエラー信号が前記一のマイクロコンピュータ
に隣接する他方のマイクロコンピュータに入力されると
共に、エラー入出力が発生したマイクロコンピュータを
エラーとみなすことを特徴とする。
Description
【0001】
【発明の属する分野】本発明は、マイクロコンピュータ
の冗長構成に関し、マイクロコンピュータのエラー検出
方法及びエラー検出回路及びマイクロコンピュータシス
テムに関するものである。
の冗長構成に関し、マイクロコンピュータのエラー検出
方法及びエラー検出回路及びマイクロコンピュータシス
テムに関するものである。
【0002】
【従来の技術】従来より、フォルトトレラント機能を要
する制御用マイコン等の分野で、必要とされる演算を行
いデータ出力するマイクロコンピュータを冗長に構成
し、多数決でデータ出力を選択して冗長構成されたシス
テムのデータ出力とすることにより信頼性の向上が図ら
れている。また、データ出力を比較して不一致が生じた
場合にシステム出力をせず再処理することも提案されて
いる。
する制御用マイコン等の分野で、必要とされる演算を行
いデータ出力するマイクロコンピュータを冗長に構成
し、多数決でデータ出力を選択して冗長構成されたシス
テムのデータ出力とすることにより信頼性の向上が図ら
れている。また、データ出力を比較して不一致が生じた
場合にシステム出力をせず再処理することも提案されて
いる。
【0003】以下に、従来のマイクロコンピュータシス
テムについて図面を用いて説明する。 図8は、従来の
マイクロコンピュータシステムにおける構成を示すブロ
ック図である。図8に示すように、複数のマイクロコン
ピュータを用いるエラー検出システムにおける従来例に
おいては、制御用マイコン88にて基準信号を発生し、
演算用マイコン81〜83に入力し、その基準信号を使
用して演算用マイコンが演算を開始する。各演算結果は
比較器84〜86で比較され、不一致となった場合エラ
ーとなりセレクタ87を制御する。比較した後、再び同
一のデータを演算用マイコン81〜83に出力をさせ、
この2回目の出力を制御用マイコンが受け付け、最終出
力として出力する。
テムについて図面を用いて説明する。 図8は、従来の
マイクロコンピュータシステムにおける構成を示すブロ
ック図である。図8に示すように、複数のマイクロコン
ピュータを用いるエラー検出システムにおける従来例に
おいては、制御用マイコン88にて基準信号を発生し、
演算用マイコン81〜83に入力し、その基準信号を使
用して演算用マイコンが演算を開始する。各演算結果は
比較器84〜86で比較され、不一致となった場合エラ
ーとなりセレクタ87を制御する。比較した後、再び同
一のデータを演算用マイコン81〜83に出力をさせ、
この2回目の出力を制御用マイコンが受け付け、最終出
力として出力する。
【0004】演算用マイコン81〜83が三つなので、
多数決を採る際には、三つの比較器84〜86の中で一
致したデータが直ちに多数派であると判る。
多数決を採る際には、三つの比較器84〜86の中で一
致したデータが直ちに多数派であると判る。
【0005】
【発明が解決しようとする課題】しかしながら、従来の
マイクロコンピュータのエラー検出方法及びエラー検出
回路及びマイクロコンピュータシステムにおいては次の
ような問題があった。即ち、監視側のマイクロコンピュ
ータ88が暴走又は故障した時は致命的である。また、
エラー時に再処理する場合には、必要としている速度の
倍以上の演算速度を各演算用マイクロコンピュータ81
〜83に要求されるため、結果として、処理速度を求め
られるシステムに適用できない。更に、セレクタを切り
替えた後、2回目の出力中の暴走が致命的である。ま
た、1個以上のマイクロコンピュータで故障が発生して
いる状況において、故障マイクロコンピュータのシステ
ムからの離脱が考慮されておらず、信頼性を確保し続け
る事が難しい。また、システムのトポロジーを考慮しな
いので、各データ出力の容易な比較判定のためには、演
算用マイクロコンピュ−タの個数が三つに限定される。
然もなくば、比較し多数決を採るためには監視用マイク
ロコンピュータ等の別途の制御系を要し、更にエラー発
生マイクロコンピュータを特定するためにはアドレッシ
ング等の付加情報を要する。また、略正しいデータ出力
を期待できる状況で、全ての組合せを比較するのは無駄
が大きい。
マイクロコンピュータのエラー検出方法及びエラー検出
回路及びマイクロコンピュータシステムにおいては次の
ような問題があった。即ち、監視側のマイクロコンピュ
ータ88が暴走又は故障した時は致命的である。また、
エラー時に再処理する場合には、必要としている速度の
倍以上の演算速度を各演算用マイクロコンピュータ81
〜83に要求されるため、結果として、処理速度を求め
られるシステムに適用できない。更に、セレクタを切り
替えた後、2回目の出力中の暴走が致命的である。ま
た、1個以上のマイクロコンピュータで故障が発生して
いる状況において、故障マイクロコンピュータのシステ
ムからの離脱が考慮されておらず、信頼性を確保し続け
る事が難しい。また、システムのトポロジーを考慮しな
いので、各データ出力の容易な比較判定のためには、演
算用マイクロコンピュ−タの個数が三つに限定される。
然もなくば、比較し多数決を採るためには監視用マイク
ロコンピュータ等の別途の制御系を要し、更にエラー発
生マイクロコンピュータを特定するためにはアドレッシ
ング等の付加情報を要する。また、略正しいデータ出力
を期待できる状況で、全ての組合せを比較するのは無駄
が大きい。
【0006】本発明は、以上の従来技術における問題に
鑑みてなされたものであり、個数自由で故障判定がで
き、エラーに柔軟に対応できるマイクロコンピュータの
エラー検出方法及びエラー検出回路及びマイクロコンピ
ュータシステムを提供することを目的とする。
鑑みてなされたものであり、個数自由で故障判定がで
き、エラーに柔軟に対応できるマイクロコンピュータの
エラー検出方法及びエラー検出回路及びマイクロコンピ
ュータシステムを提供することを目的とする。
【0007】
【課題を解決するための手段】前記課題を解決するため
に提供する本願第一の発明に係るマイクロコンピュータ
のエラー検出方法は、同じ出力期待値を有する二以上の
マイクロコンピュータが相互に接続されてなり、前記マ
イクロコンピュータの各々に同様の演算を行うマイクロ
コンピュータシステムにおけるマイクロコンピュータの
エラー検出方法であって、前記マイクロコンピュータの
各々をリング状に接続し、一のマイクロコンピュータか
ら一定方向に演算結果であるデータを出力し、係るデー
タが前記一のマイクロコンピュータに隣接する一方のマ
イクロコンピュータに入力され、各マイクロコンピュー
タで比較された出力データと入力データとが不一致の場
合には前記方向と逆方向にエラー信号を出力し、係るエ
ラー信号が前記一のマイクロコンピュータに隣接する他
方のマイクロコンピュータに入力されると共に、エラー
入出力が発生したマイクロコンピュータをエラーとみな
すことを特徴とする。
に提供する本願第一の発明に係るマイクロコンピュータ
のエラー検出方法は、同じ出力期待値を有する二以上の
マイクロコンピュータが相互に接続されてなり、前記マ
イクロコンピュータの各々に同様の演算を行うマイクロ
コンピュータシステムにおけるマイクロコンピュータの
エラー検出方法であって、前記マイクロコンピュータの
各々をリング状に接続し、一のマイクロコンピュータか
ら一定方向に演算結果であるデータを出力し、係るデー
タが前記一のマイクロコンピュータに隣接する一方のマ
イクロコンピュータに入力され、各マイクロコンピュー
タで比較された出力データと入力データとが不一致の場
合には前記方向と逆方向にエラー信号を出力し、係るエ
ラー信号が前記一のマイクロコンピュータに隣接する他
方のマイクロコンピュータに入力されると共に、エラー
入出力が発生したマイクロコンピュータをエラーとみな
すことを特徴とする。
【0008】複数マイクロコンピュータをリング状に接
続し同時にエラー入出力が発生したマイクロコンピュー
タをエラーとみなすことにより、何れのマイクロコンピ
ュータがエラーを起こしたか容易に判定できる。
続し同時にエラー入出力が発生したマイクロコンピュー
タをエラーとみなすことにより、何れのマイクロコンピ
ュータがエラーを起こしたか容易に判定できる。
【0009】前記課題を解決するために提供する本願第
二の発明に係るマイクロコンピュータのエラー検出方法
は、本願第一の発明に係るマイクロコンピュータのエラ
ー検出方法において、エラーが発生したマイクロコンピ
ュータへのデータ入力及びエラー入力を通過処理として
前記エラーが発生したマイクロコンピュータを介して隣
接するマイクロコンピュータにエラー出力して前記エラ
ー検出を行うことを特徴とする。
二の発明に係るマイクロコンピュータのエラー検出方法
は、本願第一の発明に係るマイクロコンピュータのエラ
ー検出方法において、エラーが発生したマイクロコンピ
ュータへのデータ入力及びエラー入力を通過処理として
前記エラーが発生したマイクロコンピュータを介して隣
接するマイクロコンピュータにエラー出力して前記エラ
ー検出を行うことを特徴とする。
【0010】通過処理することにより、エラー発生マイ
クロコンピュータをシステムから取り除いてエラー検出
を行うことができるので、万全のシステム出力が期待で
きる。
クロコンピュータをシステムから取り除いてエラー検出
を行うことができるので、万全のシステム出力が期待で
きる。
【0011】前記課題を解決するために提供する本願第
三の発明に係るマイクロコンピュータのエラー検出回路
は、同じ出力期待値を有する二以上のマイクロコンピュ
ータが相互にリング状に接続されてなり、前記マイクロ
コンピュータの各々に同様の演算を行い、一のマイクロ
コンピュータから一定方向に演算結果であるデータを出
力し、係るデータが前記一のマイクロコンピュータに隣
接する一方のマイクロコンピュータに入力され、各マイ
クロコンピュータで比較された出力データと入力データ
とが不一致の場合には前記方向と逆方向にエラー信号を
出力し、係るエラー信号が前記一のマイクロコンピュー
タに隣接する他方のマイクロコンピュータに入力される
と共に、エラー入出力が発生したマイクロコンピュータ
をエラーとみなす処理を行うために各マイクロコンピュ
ータに備えられるマイクロコンピュータのエラー検出回
路であって、前記マイクロコンピュータの出力データを
保持し外部クロックで動作するフリップフロップと、こ
の出力データと他のマイクロコンピュータからの入力デ
ータとを受けエラー時に入力データを選択するセレクタ
と、その出力バッファと、出力データと入力データとを
比較する比較器と、その比較結果を受け外部クロックに
同期して一時的にエラーフラグを保持するフリップフロ
ップと、ソフトウェアによるクリアまでエラーフラグを
保持するフリップフロップと、エラーを保持するフリッ
プフロップの何れかのフラグによってエラーを出力する
ORと、エラー出力発生とエラー入力発生との一致を取
るANDと、エラー発生時にエラー入力を選択するセレ
クタとによりなることを特徴とする。
三の発明に係るマイクロコンピュータのエラー検出回路
は、同じ出力期待値を有する二以上のマイクロコンピュ
ータが相互にリング状に接続されてなり、前記マイクロ
コンピュータの各々に同様の演算を行い、一のマイクロ
コンピュータから一定方向に演算結果であるデータを出
力し、係るデータが前記一のマイクロコンピュータに隣
接する一方のマイクロコンピュータに入力され、各マイ
クロコンピュータで比較された出力データと入力データ
とが不一致の場合には前記方向と逆方向にエラー信号を
出力し、係るエラー信号が前記一のマイクロコンピュー
タに隣接する他方のマイクロコンピュータに入力される
と共に、エラー入出力が発生したマイクロコンピュータ
をエラーとみなす処理を行うために各マイクロコンピュ
ータに備えられるマイクロコンピュータのエラー検出回
路であって、前記マイクロコンピュータの出力データを
保持し外部クロックで動作するフリップフロップと、こ
の出力データと他のマイクロコンピュータからの入力デ
ータとを受けエラー時に入力データを選択するセレクタ
と、その出力バッファと、出力データと入力データとを
比較する比較器と、その比較結果を受け外部クロックに
同期して一時的にエラーフラグを保持するフリップフロ
ップと、ソフトウェアによるクリアまでエラーフラグを
保持するフリップフロップと、エラーを保持するフリッ
プフロップの何れかのフラグによってエラーを出力する
ORと、エラー出力発生とエラー入力発生との一致を取
るANDと、エラー発生時にエラー入力を選択するセレ
クタとによりなることを特徴とする。
【0012】比較器によりデータを比較し、フリップフ
ロップにより時間を調整し、論理回路により所望の制御
を、必要ならセレクタをマイクロコンピュータで制御し
て、行える。
ロップにより時間を調整し、論理回路により所望の制御
を、必要ならセレクタをマイクロコンピュータで制御し
て、行える。
【0013】前記課題を解決するために提供する本願第
四の発明に係るマイクロコンピュータのエラー検出回路
は、本願第三の発明に係るマイクロコンピュータのエラ
ー検出回路において、エラー発生時に出力を固定にする
出力制御手段と、出力モード時以外比較結果を無効とす
る出力マスク回路とを備えたことを特徴とする。
四の発明に係るマイクロコンピュータのエラー検出回路
は、本願第三の発明に係るマイクロコンピュータのエラ
ー検出回路において、エラー発生時に出力を固定にする
出力制御手段と、出力モード時以外比較結果を無効とす
る出力マスク回路とを備えたことを特徴とする。
【0014】出力制御手段と出力マスク回路により、所
望の制御を行うことができる。
望の制御を行うことができる。
【0015】前記課題を解決するために提供する本願第
五の発明に係るマイクロコンピュータシステムは、同じ
出力期待値を有する二以上のマイクロコンピュータが相
互にリング状に接続されてなり、一のマイクロコンピュ
ータから一定方向に演算結果であるデータを出力し、係
るデータが前記一のマイクロコンピュータに隣接する一
方のマイクロコンピュータに入力され、各マイクロコン
ピュータで比較された出力データと入力データとが不一
致の場合には前記方向と逆方向にエラー信号を出力し、
係るエラー信号が前記一のマイクロコンピュータに隣接
する他方のマイクロコンピュータに入力されると共に、
エラー入出力が発生したマイクロコンピュータをエラー
とみなして、各マイクロコンピュータからデータ出力と
エラー発生時のエラー出力を受けてデータ出力を選択し
システム出力とするセレクタと、これらの処理のための
同期信号を供給するクロック回路とを備えたことを特徴
とする。
五の発明に係るマイクロコンピュータシステムは、同じ
出力期待値を有する二以上のマイクロコンピュータが相
互にリング状に接続されてなり、一のマイクロコンピュ
ータから一定方向に演算結果であるデータを出力し、係
るデータが前記一のマイクロコンピュータに隣接する一
方のマイクロコンピュータに入力され、各マイクロコン
ピュータで比較された出力データと入力データとが不一
致の場合には前記方向と逆方向にエラー信号を出力し、
係るエラー信号が前記一のマイクロコンピュータに隣接
する他方のマイクロコンピュータに入力されると共に、
エラー入出力が発生したマイクロコンピュータをエラー
とみなして、各マイクロコンピュータからデータ出力と
エラー発生時のエラー出力を受けてデータ出力を選択し
システム出力とするセレクタと、これらの処理のための
同期信号を供給するクロック回路とを備えたことを特徴
とする。
【0016】エラー検出回路とデータ出力を選択しシス
テム出力とするセレクタとにより、エラーを検出して、
正しいデータ出力をシステム出力とできる。
テム出力とするセレクタとにより、エラーを検出して、
正しいデータ出力をシステム出力とできる。
【0017】前記課題を解決するために提供する本願第
六の発明に係るマイクロコンピュータシステムは、本願
第五の発明に係るマイクロコンピュータシステムにおい
て、前記セレクタの出力側にフリップフロップを備えた
ことを特徴とする。
六の発明に係るマイクロコンピュータシステムは、本願
第五の発明に係るマイクロコンピュータシステムにおい
て、前記セレクタの出力側にフリップフロップを備えた
ことを特徴とする。
【0018】フリップフロップを前記セレクタの出力側
に備えたことにより、瞬間的な異常データ出力を防ぐこ
とができる。
に備えたことにより、瞬間的な異常データ出力を防ぐこ
とができる。
【0019】
【発明の実施の形態】(実施形態1)以下に、本発明に
係るマイクロコンピュータのエラー検出方法及びエラー
検出回路及びマイクロコンピュータシステムの一実施の
形態における構成について図面を参照して説明する。図
1は、本発明に係るマイクロコンピュータシステムの一
実施の形態における構成を示すブロック図であり、信頼
性を高めるために同一のdata_out出力を行うマ
イクロコンピュータを4個有する例である。図1に示す
ように本実施のマイクロコンピュータシステムは、エラ
ー検出機能をもつエラー検出回路を内蔵するマイクロコ
ンピュータ11〜14と、このマイクロコンピュータ1
1〜14のエラー判定結果を用いて正常なデータをセレ
クトするセレクタ15と、瞬間的に発生してしまう異常
データを出力しないようにタイミングをずらして出力す
るフリップフロップ(以下、F/F)16と、全てを同
期して動かすCLK発生回路17とによりなる。本構成
例では、マイクロコンピュータ11の監視をマイクロコ
ンピュータ12が、マイクロコンピュータ12の監視を
マイクロコンピュータ13が、マイクロコンピュータ1
3の監視をマイクロコンピュータ14が、マイクロコン
ピュータ14の監視をマイクロコンピュータ11が行う
構成となっている。また、エラーとなったマイクロコン
ピュータはdata_inをdata_outにerr
_inをerr_throughに選択して出力する機
能が働き、残り3個の正常なマイクロコンピュータでエ
ラー検出を継続する。また、暴走したマイクロコンピュ
ータはerr_outにエラーを出し続ける事になる。
エラーの場合のソフト処理は必ず必要というものではな
いが、エラーを起こしたマイクロコンピュータでは、e
rror割り込みが発生する為、ソフト的なエラー処理
を行う事が可能であり、エラー内容が致命的なエラーで
なければ、他のマイクロコンピュータと同期を取る事が
可能な場合において、復帰が可能である。また、ソフト
によりエラーを起こしたマイクロコンピュータの動作停
止処理も可能である。err_in・data_inを
選択して出力する機能が働かないような故障において
は、故障となったマイクロコンピュータを監視している
マイクロコンピュータのerr_outとerr_th
roughの出力がエラーを示し続ける為、故障したマ
イクロコンピュータを特定する事が可能である。また、
本実施形態においては、システム上にF/F16を配置
する事によって、セレクタから瞬間的にもれてしまうエ
ラーデータを出力する事の無い様に工夫を行っている。
係るマイクロコンピュータのエラー検出方法及びエラー
検出回路及びマイクロコンピュータシステムの一実施の
形態における構成について図面を参照して説明する。図
1は、本発明に係るマイクロコンピュータシステムの一
実施の形態における構成を示すブロック図であり、信頼
性を高めるために同一のdata_out出力を行うマ
イクロコンピュータを4個有する例である。図1に示す
ように本実施のマイクロコンピュータシステムは、エラ
ー検出機能をもつエラー検出回路を内蔵するマイクロコ
ンピュータ11〜14と、このマイクロコンピュータ1
1〜14のエラー判定結果を用いて正常なデータをセレ
クトするセレクタ15と、瞬間的に発生してしまう異常
データを出力しないようにタイミングをずらして出力す
るフリップフロップ(以下、F/F)16と、全てを同
期して動かすCLK発生回路17とによりなる。本構成
例では、マイクロコンピュータ11の監視をマイクロコ
ンピュータ12が、マイクロコンピュータ12の監視を
マイクロコンピュータ13が、マイクロコンピュータ1
3の監視をマイクロコンピュータ14が、マイクロコン
ピュータ14の監視をマイクロコンピュータ11が行う
構成となっている。また、エラーとなったマイクロコン
ピュータはdata_inをdata_outにerr
_inをerr_throughに選択して出力する機
能が働き、残り3個の正常なマイクロコンピュータでエ
ラー検出を継続する。また、暴走したマイクロコンピュ
ータはerr_outにエラーを出し続ける事になる。
エラーの場合のソフト処理は必ず必要というものではな
いが、エラーを起こしたマイクロコンピュータでは、e
rror割り込みが発生する為、ソフト的なエラー処理
を行う事が可能であり、エラー内容が致命的なエラーで
なければ、他のマイクロコンピュータと同期を取る事が
可能な場合において、復帰が可能である。また、ソフト
によりエラーを起こしたマイクロコンピュータの動作停
止処理も可能である。err_in・data_inを
選択して出力する機能が働かないような故障において
は、故障となったマイクロコンピュータを監視している
マイクロコンピュータのerr_outとerr_th
roughの出力がエラーを示し続ける為、故障したマ
イクロコンピュータを特定する事が可能である。また、
本実施形態においては、システム上にF/F16を配置
する事によって、セレクタから瞬間的にもれてしまうエ
ラーデータを出力する事の無い様に工夫を行っている。
【0020】次に、各マイクロコンピュータ11〜14
内のエラー検出回路の構成について説明をする。図2
は、本発明に係るエラー検出回路の一実施の形態におけ
る構成を示すブロック図である。図2に示すように本実
施のエラー検出回路は、図1に示すCLK発生回路17
により供給される外部クロックで動作するF/F21
と、エラー時にdata_inからの信号を選択するセ
レクタ22と、出力バッファ23と、エラー時に出力固
定にする出力制御211と、data_outとdat
a_inの一致・不一致を検査する比較器24と、出力
モード時以外比較結果を無効とする出力マスク25と、
外部クロックに同期して一時的にエラーフラグを保持す
るF/F26と、ソフトウェアによるクリアまでエラー
を保持するF/F29と、F/F26、F/F29の何
れかのフラグによってエラーを出力するOR27と、e
rr_outとerr_inの結果の一致を取るAND
28と、エラー発生時にerr_inを選択するセレク
タ210とによりなる。
内のエラー検出回路の構成について説明をする。図2
は、本発明に係るエラー検出回路の一実施の形態におけ
る構成を示すブロック図である。図2に示すように本実
施のエラー検出回路は、図1に示すCLK発生回路17
により供給される外部クロックで動作するF/F21
と、エラー時にdata_inからの信号を選択するセ
レクタ22と、出力バッファ23と、エラー時に出力固
定にする出力制御211と、data_outとdat
a_inの一致・不一致を検査する比較器24と、出力
モード時以外比較結果を無効とする出力マスク25と、
外部クロックに同期して一時的にエラーフラグを保持す
るF/F26と、ソフトウェアによるクリアまでエラー
を保持するF/F29と、F/F26、F/F29の何
れかのフラグによってエラーを出力するOR27と、e
rr_outとerr_inの結果の一致を取るAND
28と、エラー発生時にerr_inを選択するセレク
タ210とによりなる。
【0021】次に、本発明に係るマイクロコンピュータ
のエラー検出方法及びエラー検出回路及びマイクロコン
ピュータシステムの一実施の形態における動作について
図1、2、6、7を参照して以下に説明する。図6は、
本発明に係わるマイクロコンピュータシステム上のタイ
ミングチャート、図7は、本発明に係わるマイクロコン
ピュータ内部のエラー検出回路のタイミングチャートで
ある。マイクロコンピュータ11〜14は、同一のda
ta_out出力を期待値とするマイクロコンピュータ
である事が前提である。まず、暴走によるエラーの場合
について説明する。先に、マイクロコンピュータ内部の
エラー検出機能を説明すると、図7に示すようにマイク
ロコンピュータの出力(data_out)を図2に示
すF/F21で外部クロックに同期させ、マイクロコン
ピュータが正常な状態においては、セレクタ22を通過
し、data_outに出力する。このdata_ou
tと外部からの入力data_inを比較器24で比較
し不一致であればエラーとなる。出力モードの時以外は
比較結果を無効とする。その先の出力マスク25でda
ta_outの端子が出力のON/OFFが可能な端子
の場合は、出力モード時以外のエラー判定を無効とす
る。尚、data_outがマイクロコンピュータによ
り制御される出力専用端子の場合は、出力マスク25は
不要である。上記の動作の結果、data_outとd
ata_inが不一致の時に、F/F26がクロックに
同期してエラーを保持する。F/F26がエラーを保持
した時、OR27を通過してerr_outとerr_
throughにエラーである事を出力する。また、e
rr_inからは監視側のマイクロコンピュータからの
エラー通知が入力される。err_outとerr_i
nの両方がエラーを示している時、自身のエラーである
とAND28が判定しF/F29にフラグを立てる。F
/F29のフラグが立った時、data_outとer
r_throughの出力はdata_in・err_
inからの通過出力となり、出力制御211は出力バッ
ファを出力モードに固定する。この出力制御211はd
ata_outが出力専用端子の時は不要である。ソフ
トによりF/F29をクリアするまでの間、err_o
utはエラー状態で固定され(図7右)、システム上、
err_outがエラー状態を出力し続ける結果とな
る。次に、システム上の動作について説明する。マイク
ロコンピュータ11がエラーとなってdata_out
から異常な値を出力した時、マイクロコンピュータ11
のerr_outとerr_through及び、マイ
クロコンピュータ12のerr_outとerr_th
roughからエラーが出力され、マイクロコンピュー
タ11とマイクロコンピュータ14のerr_inにエ
ラーが入力される。マイクロコンピュータ11の中で、
err_inとerr_outの両方がエラーである事
がトリガとなって、自身がエラーであると判定する。マ
イクロコンピュータ11がマイクロコンピュータ11自
身のエラーであると判定した瞬間、図6に示すようにマ
イクロコンピュータ11のdata_outはdata
_inからの通過出力となり、マイクロコンピュータ1
1のerr_throughは、err_inからの通
過出力となる。通過出力となった瞬間、マイクロコンピ
ュータ12では、マイクロコンピュータ14のdata
_outをマイクロコンピュータ11経由で入力する事
になり、正常な値が入力されるため、マイクロコンピュ
ータ12のerr_out、err_throughが
正常な値に戻る(図6)。また、マイクロンピュータ1
4に入力されているerr_inがマイクロコンピュー
タ11経由でマイクロコンピュータ12のエラー判定結
果が入力される為、正常な比較結果を受け取る事にな
る。したがって、マイクトコンピュータ14をマイクロ
コンピュータ12が監視する状態に移行する。そして最
後に、エラーとなったマイクロコンピュータ11のer
r_out信号がエラーとして残る為(図6マイコン1
乃至図7右)、セレクタ15に入力され、セレクタ15
は正常なマイクロコンピュータの出力を選択する。ま
た、セレクタの出力が切り替わる瞬間においては、エラ
ーデータが発生する可能性があるが、本実施形態のよう
に、セレクタの先に同じクロックで動作するF/F16
を搭載する事により、エラーデータが最終的に全く発生
しないように工夫する事も可能である(図6FF出
力)。
のエラー検出方法及びエラー検出回路及びマイクロコン
ピュータシステムの一実施の形態における動作について
図1、2、6、7を参照して以下に説明する。図6は、
本発明に係わるマイクロコンピュータシステム上のタイ
ミングチャート、図7は、本発明に係わるマイクロコン
ピュータ内部のエラー検出回路のタイミングチャートで
ある。マイクロコンピュータ11〜14は、同一のda
ta_out出力を期待値とするマイクロコンピュータ
である事が前提である。まず、暴走によるエラーの場合
について説明する。先に、マイクロコンピュータ内部の
エラー検出機能を説明すると、図7に示すようにマイク
ロコンピュータの出力(data_out)を図2に示
すF/F21で外部クロックに同期させ、マイクロコン
ピュータが正常な状態においては、セレクタ22を通過
し、data_outに出力する。このdata_ou
tと外部からの入力data_inを比較器24で比較
し不一致であればエラーとなる。出力モードの時以外は
比較結果を無効とする。その先の出力マスク25でda
ta_outの端子が出力のON/OFFが可能な端子
の場合は、出力モード時以外のエラー判定を無効とす
る。尚、data_outがマイクロコンピュータによ
り制御される出力専用端子の場合は、出力マスク25は
不要である。上記の動作の結果、data_outとd
ata_inが不一致の時に、F/F26がクロックに
同期してエラーを保持する。F/F26がエラーを保持
した時、OR27を通過してerr_outとerr_
throughにエラーである事を出力する。また、e
rr_inからは監視側のマイクロコンピュータからの
エラー通知が入力される。err_outとerr_i
nの両方がエラーを示している時、自身のエラーである
とAND28が判定しF/F29にフラグを立てる。F
/F29のフラグが立った時、data_outとer
r_throughの出力はdata_in・err_
inからの通過出力となり、出力制御211は出力バッ
ファを出力モードに固定する。この出力制御211はd
ata_outが出力専用端子の時は不要である。ソフ
トによりF/F29をクリアするまでの間、err_o
utはエラー状態で固定され(図7右)、システム上、
err_outがエラー状態を出力し続ける結果とな
る。次に、システム上の動作について説明する。マイク
ロコンピュータ11がエラーとなってdata_out
から異常な値を出力した時、マイクロコンピュータ11
のerr_outとerr_through及び、マイ
クロコンピュータ12のerr_outとerr_th
roughからエラーが出力され、マイクロコンピュー
タ11とマイクロコンピュータ14のerr_inにエ
ラーが入力される。マイクロコンピュータ11の中で、
err_inとerr_outの両方がエラーである事
がトリガとなって、自身がエラーであると判定する。マ
イクロコンピュータ11がマイクロコンピュータ11自
身のエラーであると判定した瞬間、図6に示すようにマ
イクロコンピュータ11のdata_outはdata
_inからの通過出力となり、マイクロコンピュータ1
1のerr_throughは、err_inからの通
過出力となる。通過出力となった瞬間、マイクロコンピ
ュータ12では、マイクロコンピュータ14のdata
_outをマイクロコンピュータ11経由で入力する事
になり、正常な値が入力されるため、マイクロコンピュ
ータ12のerr_out、err_throughが
正常な値に戻る(図6)。また、マイクロンピュータ1
4に入力されているerr_inがマイクロコンピュー
タ11経由でマイクロコンピュータ12のエラー判定結
果が入力される為、正常な比較結果を受け取る事にな
る。したがって、マイクトコンピュータ14をマイクロ
コンピュータ12が監視する状態に移行する。そして最
後に、エラーとなったマイクロコンピュータ11のer
r_out信号がエラーとして残る為(図6マイコン1
乃至図7右)、セレクタ15に入力され、セレクタ15
は正常なマイクロコンピュータの出力を選択する。ま
た、セレクタの出力が切り替わる瞬間においては、エラ
ーデータが発生する可能性があるが、本実施形態のよう
に、セレクタの先に同じクロックで動作するF/F16
を搭載する事により、エラーデータが最終的に全く発生
しないように工夫する事も可能である(図6FF出
力)。
【0022】故障によるエラーの場合について説明す
る。マイクロコンピュータ11が故障して、data_
outから異常な値を出力した時、マイクロコンピュー
タ12のerr_outとerr_throughか
ら、エラーが出力され、マイクロコンピュータ11のe
rr_inにエラーが入力される。しかしながら、マイ
クロコンピュータ11の故障であり、マイクロコンピュ
ータ11の通過出力機能が働かない為、マイクロコンピ
ュータ12による、マイクロコンピュータ14の監視は
できなくなる。結果として、マイクロコンピュータ12
のerr_out、err_throughの両方がエ
ラーを維持するため、マイクロコンピュータ11の故障
であると限定でき、その二つのエラー信号を元に、セレ
クタ15が正常な状態のマイクロコンピュータのdat
a_outを選択し出力する。この時、マイクロコンピ
ュータ11と監視・被監視の関係にないマイクロコンピ
ュータ13の存在により3つのマイクロコンピュータに
よる多数決の論理が保たれる為、信頼性を保持してお
り、その出力を選択すると、より信頼性が上がる。
る。マイクロコンピュータ11が故障して、data_
outから異常な値を出力した時、マイクロコンピュー
タ12のerr_outとerr_throughか
ら、エラーが出力され、マイクロコンピュータ11のe
rr_inにエラーが入力される。しかしながら、マイ
クロコンピュータ11の故障であり、マイクロコンピュ
ータ11の通過出力機能が働かない為、マイクロコンピ
ュータ12による、マイクロコンピュータ14の監視は
できなくなる。結果として、マイクロコンピュータ12
のerr_out、err_throughの両方がエ
ラーを維持するため、マイクロコンピュータ11の故障
であると限定でき、その二つのエラー信号を元に、セレ
クタ15が正常な状態のマイクロコンピュータのdat
a_outを選択し出力する。この時、マイクロコンピ
ュータ11と監視・被監視の関係にないマイクロコンピ
ュータ13の存在により3つのマイクロコンピュータに
よる多数決の論理が保たれる為、信頼性を保持してお
り、その出力を選択すると、より信頼性が上がる。
【0023】このように、複数のマイクロコンピュータ
をリング状に監視・被監視の関係を持たせ、且つマイク
ロコンピュータに、エラーが発生した時にデータとエラ
ー判定を通過出力させる機能を持たせる事により、エラ
ーによってシステムから抜けるマイクロコンピュータが
存在した場合においても、正常なマイクロコンピュータ
による監視・被監視の関係を保持する効果がある。ま
た、図1の中のF/F16を持たせる工夫を行う事によ
り、システム上、完全にエラーデータによる誤動作を防
ぐ事が可能で、且つ、一時停止させる必要が全く無い
為、エラー発生時にシステムを一時停止する事が許され
ないシステムにおいて、その効果を発揮する。1例とし
ては、今後普及が見込まれている電気自動車のモータ制
御など、瞬間的な停止も許されない、システムに適用が
可能である。
をリング状に監視・被監視の関係を持たせ、且つマイク
ロコンピュータに、エラーが発生した時にデータとエラ
ー判定を通過出力させる機能を持たせる事により、エラ
ーによってシステムから抜けるマイクロコンピュータが
存在した場合においても、正常なマイクロコンピュータ
による監視・被監視の関係を保持する効果がある。ま
た、図1の中のF/F16を持たせる工夫を行う事によ
り、システム上、完全にエラーデータによる誤動作を防
ぐ事が可能で、且つ、一時停止させる必要が全く無い
為、エラー発生時にシステムを一時停止する事が許され
ないシステムにおいて、その効果を発揮する。1例とし
ては、今後普及が見込まれている電気自動車のモータ制
御など、瞬間的な停止も許されない、システムに適用が
可能である。
【0024】(実施形態2)図3は、本発明に係るマイ
クロコンピュータのエラー検出方法及びエラー検出回路
及びマイクロコンピュータシステムの他の実施の形態に
おける構成を示すブロック図である。本構成例は、マイ
クロコンピュータを3個有する例であり、マイクロコン
ピュータ33の監視をマイクロコンピュータ32が、マ
イクロコンピュータ32の監視をマイクロコンピュータ
33が、マイクロコンピュータ33の監視をマイクロコ
ンピュータ31が行う構成となっている。その他の構成
については、実施形態1と同様である。
クロコンピュータのエラー検出方法及びエラー検出回路
及びマイクロコンピュータシステムの他の実施の形態に
おける構成を示すブロック図である。本構成例は、マイ
クロコンピュータを3個有する例であり、マイクロコン
ピュータ33の監視をマイクロコンピュータ32が、マ
イクロコンピュータ32の監視をマイクロコンピュータ
33が、マイクロコンピュータ33の監視をマイクロコ
ンピュータ31が行う構成となっている。その他の構成
については、実施形態1と同様である。
【0025】本実施形態における動作について説明す
る。実施形態1と同様に、エラーとなったマイクロコン
ピュータはdata_inをdata_outにerr
_inをerr_throughに選択し出力する機能
が働き、本実施形態では、残り2個の正常なマイクロコ
ンピュータでエラー検出を継続する。但し、多数決では
なくなってしまうため、何れかが異常出力を出した場合
は、両方のマイクロコンピュータが自身のエラーである
と判定を行う。実施形態1と同様にエラーの場合のソフ
ト処理は必ず必要というものではないが、残り2個とな
っている状態でのエラー発生時はerror割り込みに
よる診断ソフトを起動する必要が生じる。通過出力機能
が働かないような故障においては、故障となったマイク
ロコンピュータを監視しているマイクロコンピュータ
が、err_outとerr_throughがエラー
を示し続ける為、故障したマイクロコンピュータを特定
する事が可能である。この場合は、2者の一致は取れて
いるが、片方が監視側で片方が被監視側となる。
る。実施形態1と同様に、エラーとなったマイクロコン
ピュータはdata_inをdata_outにerr
_inをerr_throughに選択し出力する機能
が働き、本実施形態では、残り2個の正常なマイクロコ
ンピュータでエラー検出を継続する。但し、多数決では
なくなってしまうため、何れかが異常出力を出した場合
は、両方のマイクロコンピュータが自身のエラーである
と判定を行う。実施形態1と同様にエラーの場合のソフ
ト処理は必ず必要というものではないが、残り2個とな
っている状態でのエラー発生時はerror割り込みに
よる診断ソフトを起動する必要が生じる。通過出力機能
が働かないような故障においては、故障となったマイク
ロコンピュータを監視しているマイクロコンピュータ
が、err_outとerr_throughがエラー
を示し続ける為、故障したマイクロコンピュータを特定
する事が可能である。この場合は、2者の一致は取れて
いるが、片方が監視側で片方が被監視側となる。
【0026】(実施形態3)図4は、本発明に係るマイ
クロコンピュータのエラー検出方法及びエラー検出回路
及びマイクロコンピュータシステムの他の実施の形態に
おける構成を示すブロック図である。本構成例は、マイ
クロコンピュータを2個有する例であり、マイクロコン
ピュータ41の監視をマイクロコンピュータ42が、マ
イクロコンピュータ42の監視を、マイクロコンピュー
タ41が行う。他の構成は、実施形態1及び2と同様で
ある。エラーとなったマイクロコンピュータが有った場
合、二つによるエラー検知である為、マイクロコンピュ
ータは二つとも、エラー状態になり、信号を通過出力す
る。その結果data_outは、一旦不定となってし
まう。両方のマイクロコンピュータがエラーと判定され
てしまうため、ソフトによる、エラー検知を行う必要が
あり、エラー発生時の割り込みによって、その処理を起
動する。図5は、エラー割り込み処理フロー図であり、
エラー割り込み発生時51、エラー内容の解析52、何
れのマイクロコンピュータのエラーであるかのソフトに
よる判断(53)、エラーのなかったマイクロコンピュ
ータはエラーを保持しているF/Fのクリア等の復帰処
理55を行う。エラーの発生したマイクロコンピュータ
は、復帰の可否の判断54を行い、可能であれば、復帰
処理55と正常なマイクロコンピュータとの同期処理5
6を行い復帰する(58)。復帰が不可能な致命的なエ
ラーであれば、停止処理を行い停止する(59)。エラ
ーが起きて停止したマイクロコンピュータは通過出力す
る機能が働き、残り1個のマイクロコンピュータは自分
の結果同士を比較する事となり、エラー検知ができなく
なる。また、暴走したマイクロコンピュータはerr_
outにエラーを出し続ける事になる。通過出力機能が
働かないような故障においては、故障となったマイクロ
コンピュータを監視しているマイクロコンピュータのe
rr_outとerr_throughが、エラーを示
し続ける為故障したマイクロコンピュータを特定する事
が可能である。
クロコンピュータのエラー検出方法及びエラー検出回路
及びマイクロコンピュータシステムの他の実施の形態に
おける構成を示すブロック図である。本構成例は、マイ
クロコンピュータを2個有する例であり、マイクロコン
ピュータ41の監視をマイクロコンピュータ42が、マ
イクロコンピュータ42の監視を、マイクロコンピュー
タ41が行う。他の構成は、実施形態1及び2と同様で
ある。エラーとなったマイクロコンピュータが有った場
合、二つによるエラー検知である為、マイクロコンピュ
ータは二つとも、エラー状態になり、信号を通過出力す
る。その結果data_outは、一旦不定となってし
まう。両方のマイクロコンピュータがエラーと判定され
てしまうため、ソフトによる、エラー検知を行う必要が
あり、エラー発生時の割り込みによって、その処理を起
動する。図5は、エラー割り込み処理フロー図であり、
エラー割り込み発生時51、エラー内容の解析52、何
れのマイクロコンピュータのエラーであるかのソフトに
よる判断(53)、エラーのなかったマイクロコンピュ
ータはエラーを保持しているF/Fのクリア等の復帰処
理55を行う。エラーの発生したマイクロコンピュータ
は、復帰の可否の判断54を行い、可能であれば、復帰
処理55と正常なマイクロコンピュータとの同期処理5
6を行い復帰する(58)。復帰が不可能な致命的なエ
ラーであれば、停止処理を行い停止する(59)。エラ
ーが起きて停止したマイクロコンピュータは通過出力す
る機能が働き、残り1個のマイクロコンピュータは自分
の結果同士を比較する事となり、エラー検知ができなく
なる。また、暴走したマイクロコンピュータはerr_
outにエラーを出し続ける事になる。通過出力機能が
働かないような故障においては、故障となったマイクロ
コンピュータを監視しているマイクロコンピュータのe
rr_outとerr_throughが、エラーを示
し続ける為故障したマイクロコンピュータを特定する事
が可能である。
【0027】
【発明の効果】以上説明したように、本発明に係るマイ
クロコンピュータのエラー検出方法及びエラー検出回路
及びマイクロコンピュータシステムによれば、2個以上
の冗長的エラー検出システムであれば、どのような数に
おいても本回路でシステムが成り立つ。そして、監視側
と被監視側のマイクロコンピュータの区別がなく、安全
の為に冗長的に設けられたマイクロコンピュータがすべ
て、監視側であり、また被監視側であるという分散的な
構成であり、致命的エラーが少ない。また、エラーが発
生した時に、データ出力とエラー判定結果を通過出力し
て、両隣のマイクロコンピュータをあたかも隣同士のマ
イクロコンピュータであるかのように、エラー判定を継
続させる事が可能である。また、データとエラーが通過
出力とならないような、故障においても、故障判定が可
能である。また、複数のマイクロコンピュータの内、正
常なマイクロコンピュータが残り2個なった時、間に故
障によるエラーの発生したマイクロコンピュータがある
場合を除き、多数決方式のエラー判定から、互い監視方
式への移行が動的に可能であり移行の際にシステムリセ
ットが不要である。
クロコンピュータのエラー検出方法及びエラー検出回路
及びマイクロコンピュータシステムによれば、2個以上
の冗長的エラー検出システムであれば、どのような数に
おいても本回路でシステムが成り立つ。そして、監視側
と被監視側のマイクロコンピュータの区別がなく、安全
の為に冗長的に設けられたマイクロコンピュータがすべ
て、監視側であり、また被監視側であるという分散的な
構成であり、致命的エラーが少ない。また、エラーが発
生した時に、データ出力とエラー判定結果を通過出力し
て、両隣のマイクロコンピュータをあたかも隣同士のマ
イクロコンピュータであるかのように、エラー判定を継
続させる事が可能である。また、データとエラーが通過
出力とならないような、故障においても、故障判定が可
能である。また、複数のマイクロコンピュータの内、正
常なマイクロコンピュータが残り2個なった時、間に故
障によるエラーの発生したマイクロコンピュータがある
場合を除き、多数決方式のエラー判定から、互い監視方
式への移行が動的に可能であり移行の際にシステムリセ
ットが不要である。
【0028】
【図1】本発明に係るマイクロコンピュータのエラー検
出方法及びエラー検出回路及びマイクロコンピュータシ
ステムの実施形態1における構成を示すブロック図であ
る。
出方法及びエラー検出回路及びマイクロコンピュータシ
ステムの実施形態1における構成を示すブロック図であ
る。
【図2】本発明に係るエラー検出回路の一実施の形態に
おける構成を示すブロック図である。
おける構成を示すブロック図である。
【図3】本発明に係るマイクロコンピュータのエラー検
出方法及びエラー検出回路及びマイクロコンピュータシ
ステムの実施形態2における構成を示すブロック図であ
る。
出方法及びエラー検出回路及びマイクロコンピュータシ
ステムの実施形態2における構成を示すブロック図であ
る。
【図4】本発明に係るマイクロコンピュータのエラー検
出方法及びエラー検出回路及びマイクロコンピュータシ
ステムの実施形態4における構成を示すブロック図であ
る。
出方法及びエラー検出回路及びマイクロコンピュータシ
ステムの実施形態4における構成を示すブロック図であ
る。
【図5】本発明に係るマイクロコンピュータのエラー検
出方法及びエラー検出回路及びマイクロコンピュータシ
ステムのエラー割り込み処理フロー図である。
出方法及びエラー検出回路及びマイクロコンピュータシ
ステムのエラー割り込み処理フロー図である。
【図6】本発明に係わるマイクロコンピュータシステム
上のタイミングチャートである。
上のタイミングチャートである。
【図7】本発明に係わるマイクロコンピュータ内部のエ
ラー検出回路のタイミングチャートである。
ラー検出回路のタイミングチャートである。
【図8】従来例の回路図である。
11.エラー検出回路を内蔵するマイクロコンピュータ 12.エラー検出回路を内蔵するマイクロコンピュータ 13.エラー検出回路を内蔵するマイクロコンピュータ 14.エラー検出回路を内蔵するマイクロコンピュータ 15.エラーの発生していない、正常なマイクロコンピ
ュータのdata_outを選択するセレクタ 16.エラー発生時に、セレクタ15から瞬間的に発生
する誤データを出さない為のF/F 17.システムのエラー検出回路全てを同期させる為の
クロック発生回路 21.data_outをクロックに同期して出力する
F/F 22.エラー発生時、data_inからの信号をda
ta_outに通過出力するセレクタ 23.出力のON/OFFを行う出力バッファ 24.data_outとdata_inの信号の一致
・不一致を判定する比較器 25.data_out端子が出力モードの時以外、比
較器の結果を無効とする出力マスク 26.data_outとdata_inの不一致が発
生した場合、エラーを保持するF/F 27.F/F3とF/F4の何れかがエラーであった時
にerr_outにエラーを出力するOR 28.err_outとerr_inが両方エラーであ
る事を判定するAND 29.自身がエラーであった時に、エラー保持をするF
/F 31.エラー検出回路を内蔵する、マイクロコンピュー
タ 32.エラー検出回路を内蔵する、マイクロコンピュー
タ 33.エラー検出回路を内蔵する、マイクロコンピュー
タ 34.エラーの発生していない、正常なマイクロコンピ
ュータのdata_outを選択するセレクタ 35.エラー発生時に、セレクタ34から瞬間的に発生
する誤データを出さない為のF/F 36.システムのエラー検出回路全てを同期させる為の
クロック発生回路 41.エラー検出回路を内蔵する、マイクロコンピュー
タ 42.エラー検出回路を内蔵する、マイクロコンピュー
タ 43.エラーの発生していない、正常なマイクロコンピ
ュータのdata_outを選択するセレクタ 44.エラー発生時に、セレクタ43から瞬間的に発生
する誤データを出さない為のF/F 45.システムのエラー検出回路全てを同期させる為の
クロック発生回路 210.エラー発生時、err_inからの信号をer
r_throughに通過出力するセレクタ 211.エラー発生時、出力バッファを出力モードに固
定する出力制御
ュータのdata_outを選択するセレクタ 16.エラー発生時に、セレクタ15から瞬間的に発生
する誤データを出さない為のF/F 17.システムのエラー検出回路全てを同期させる為の
クロック発生回路 21.data_outをクロックに同期して出力する
F/F 22.エラー発生時、data_inからの信号をda
ta_outに通過出力するセレクタ 23.出力のON/OFFを行う出力バッファ 24.data_outとdata_inの信号の一致
・不一致を判定する比較器 25.data_out端子が出力モードの時以外、比
較器の結果を無効とする出力マスク 26.data_outとdata_inの不一致が発
生した場合、エラーを保持するF/F 27.F/F3とF/F4の何れかがエラーであった時
にerr_outにエラーを出力するOR 28.err_outとerr_inが両方エラーであ
る事を判定するAND 29.自身がエラーであった時に、エラー保持をするF
/F 31.エラー検出回路を内蔵する、マイクロコンピュー
タ 32.エラー検出回路を内蔵する、マイクロコンピュー
タ 33.エラー検出回路を内蔵する、マイクロコンピュー
タ 34.エラーの発生していない、正常なマイクロコンピ
ュータのdata_outを選択するセレクタ 35.エラー発生時に、セレクタ34から瞬間的に発生
する誤データを出さない為のF/F 36.システムのエラー検出回路全てを同期させる為の
クロック発生回路 41.エラー検出回路を内蔵する、マイクロコンピュー
タ 42.エラー検出回路を内蔵する、マイクロコンピュー
タ 43.エラーの発生していない、正常なマイクロコンピ
ュータのdata_outを選択するセレクタ 44.エラー発生時に、セレクタ43から瞬間的に発生
する誤データを出さない為のF/F 45.システムのエラー検出回路全てを同期させる為の
クロック発生回路 210.エラー発生時、err_inからの信号をer
r_throughに通過出力するセレクタ 211.エラー発生時、出力バッファを出力モードに固
定する出力制御
Claims (6)
- 【請求項1】同じ出力期待値を有する二以上のマイクロ
コンピュータが相互に接続されてなり、前記マイクロコ
ンピュータの各々に同様の演算を行うマイクロコンピュ
ータシステムにおけるマイクロコンピュータのエラー検
出方法であって、前記マイクロコンピュータの各々をリ
ング状に接続し、一のマイクロコンピュータから一定方
向に演算結果であるデータを出力し、係るデータが前記
一のマイクロコンピュータに隣接する一方のマイクロコ
ンピュータに入力され、各マイクロコンピュータで比較
された出力データと入力データとが不一致の場合には前
記方向と逆方向にエラー信号を出力し、係るエラー信号
が前記一のマイクロコンピュータに隣接する他方のマイ
クロコンピュータに入力されると共に、エラー入出力が
発生したマイクロコンピュータをエラーとみなすことを
特徴とするマイクロコンピュータのエラー検出方法。 - 【請求項2】エラーが発生したマイクロコンピュータへ
のデータ入力及びエラー入力を通過処理として前記エラ
ーが発生したマイクロコンピュータを介して隣接するマ
イクロコンピュータにエラー出力して前記エラー検出を
行うことを特徴とする請求項1に記載のマイクロコンピ
ュータのエラー検出方法。 - 【請求項3】同じ出力期待値を有する二以上のマイクロ
コンピュータが相互にリング状に接続されてなり、前記
マイクロコンピュータの各々に同様の演算を行い、一の
マイクロコンピュータから一定方向に演算結果であるデ
ータを出力し、係るデータが前記一のマイクロコンピュ
ータに隣接する一方のマイクロコンピュータに入力さ
れ、各マイクロコンピュータで比較された出力データと
入力データとが不一致の場合には前記方向と逆方向にエ
ラー信号を出力し、係るエラー信号が前記一のマイクロ
コンピュータに隣接する他方のマイクロコンピュータに
入力されると共に、エラー入出力が発生したマイクロコ
ンピュータをエラーとみなす処理を行うために各マイク
ロコンピュータに備えられるマイクロコンピュータのエ
ラー検出回路であって、前記マイクロコンピュータの出
力データを保持し外部クロックで動作するフリップフロ
ップと、この出力データと他のマイクロコンピュータか
らの入力データとを受けエラー時に入力データを選択す
るセレクタと、その出力バッファと、出力データと入力
データとを比較する比較器と、その比較結果を受け外部
クロックに同期して一時的にエラーフラグを保持するフ
リップフロップと、ソフトウェアによるクリアまでエラ
ーフラグを保持するフリップフロップと、エラーを保持
するフリップフロップの何れかのフラグによってエラー
を出力するORと、エラー出力発生とエラー入力発生と
の一致を取るANDと、エラー発生時にエラー入力を選
択するセレクタとによりなることを特徴とするマイクロ
コンピュータのエラー検出回路。 - 【請求項4】エラー発生時に出力を固定にする出力制御
手段と、出力モード時以外比較結果を無効とする出力マ
スク回路とを備えたことを特徴とする請求項3に記載の
マイクロコンピュータのエラー検出回路。 - 【請求項5】同じ出力期待値を有する二以上のマイクロ
コンピュータが相互にリング状に接続されてなり、一の
マイクロコンピュータから一定方向に演算結果であるデ
ータを出力し、係るデータが前記一のマイクロコンピュ
ータに隣接する一方のマイクロコンピュータに入力さ
れ、各マイクロコンピュータで比較された出力データと
入力データとが不一致の場合には前記方向と逆方向にエ
ラー信号を出力し、係るエラー信号が前記一のマイクロ
コンピュータに隣接する他方のマイクロコンピュータに
入力されると共に、エラー入出力が発生したマイクロコ
ンピュータをエラーとみなして、各マイクロコンピュー
タからデータ出力とエラー発生時のエラー出力を受けて
データ出力を選択しシステム出力とするセレクタと、こ
れらの処理のための同期信号を供給するクロック回路と
を備えたことを特徴とするマイクロコンピュータシステ
ム。 - 【請求項6】前記セレクタの出力側にフリップフロップ
を備えたことを特徴とする請求項5に記載のマイクロコ
ンピュータシステム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000296738A JP3652232B2 (ja) | 2000-09-28 | 2000-09-28 | マイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000296738A JP3652232B2 (ja) | 2000-09-28 | 2000-09-28 | マイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2002108638A true JP2002108638A (ja) | 2002-04-12 |
| JP3652232B2 JP3652232B2 (ja) | 2005-05-25 |
Family
ID=18778964
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000296738A Expired - Fee Related JP3652232B2 (ja) | 2000-09-28 | 2000-09-28 | マイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3652232B2 (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007328679A (ja) * | 2006-06-09 | 2007-12-20 | Omron Corp | 多重化cpu暴走監視装置 |
| US7877648B2 (en) | 2004-05-18 | 2011-01-25 | Ricardo Uk Limited | Fault tolerant data processing |
| JP2013133767A (ja) * | 2011-12-27 | 2013-07-08 | Bosch Corp | 車両用エンジン制御装置 |
| JP7508703B2 (ja) | 2020-11-09 | 2024-07-01 | 中興通訊股▲ふん▼有限公司 | 車両におけるecuの管理方法、ecuおよび可読記憶媒体 |
-
2000
- 2000-09-28 JP JP2000296738A patent/JP3652232B2/ja not_active Expired - Fee Related
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7877648B2 (en) | 2004-05-18 | 2011-01-25 | Ricardo Uk Limited | Fault tolerant data processing |
| JP2007328679A (ja) * | 2006-06-09 | 2007-12-20 | Omron Corp | 多重化cpu暴走監視装置 |
| JP2013133767A (ja) * | 2011-12-27 | 2013-07-08 | Bosch Corp | 車両用エンジン制御装置 |
| JP7508703B2 (ja) | 2020-11-09 | 2024-07-01 | 中興通訊股▲ふん▼有限公司 | 車両におけるecuの管理方法、ecuおよび可読記憶媒体 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3652232B2 (ja) | 2005-05-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1703401B1 (en) | Information processing apparatus and control method therefor | |
| JP2573508B2 (ja) | ディジタルロジック同期モニター方法および装置 | |
| JP2608904B2 (ja) | 多重冗長誤検出システムおよびその使用方法 | |
| JPH11143729A (ja) | フォールトトレラントコンピュータ | |
| JP2003015900A (ja) | 追走型多重化システム、及び追走により信頼性を高めるデータ処理方法 | |
| CN117785614A (zh) | 双余度计算机的故障监控及切换方法 | |
| JPH0375834A (ja) | パリティの置換装置及び方法 | |
| US8831912B2 (en) | Checking of functions of a control system having components | |
| JP2002108638A (ja) | マイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステム | |
| KR100279204B1 (ko) | 자동제어시스템에서현장제어장치의콘트롤러이중화제어방법및그장치 | |
| JP3063334B2 (ja) | 高信頼度化情報処理装置 | |
| JP3423732B2 (ja) | 情報処理装置及び情報処理装置における障害処理方法 | |
| JPS5931738B2 (ja) | 計算機システムの並列三重系構成方法 | |
| KR100390402B1 (ko) | 삼중 중복형 모듈러 장치 | |
| JP2001175545A (ja) | サーバシステムおよび障害診断方法ならびに記録媒体 | |
| JPH0630069B2 (ja) | 多重化システム | |
| JPS60214048A (ja) | 信号技術的に保証のあるデータ処理装置 | |
| JPS62182846A (ja) | 電子計算機の自己診断方法 | |
| JPS60195649A (ja) | マイクロプログラム制御型デ−タ処理装置におけるエラ−報告方式 | |
| JPS58114145A (ja) | 主マイクロプロセツサ障害監視方式 | |
| JPH0934743A (ja) | 冗長系切替方式 | |
| JPH04257931A (ja) | 計算機システム | |
| JPH06124213A (ja) | コンピュータのフォールト・トレラント方式 | |
| JPH04211841A (ja) | 二重化処理装置 | |
| JPS635439A (ja) | 多重化システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20040220 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040310 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20040510 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20041110 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050107 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20050127 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20050222 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080304 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090304 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100304 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100304 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110304 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110304 Year of fee payment: 6 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110304 Year of fee payment: 6 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110304 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120304 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130304 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130304 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140304 Year of fee payment: 9 |
|
| LAPS | Cancellation because of no payment of annual fees |