JP2003177935A - 冗長システム - Google Patents

冗長システム

Info

Publication number
JP2003177935A
JP2003177935A JP2002244514A JP2002244514A JP2003177935A JP 2003177935 A JP2003177935 A JP 2003177935A JP 2002244514 A JP2002244514 A JP 2002244514A JP 2002244514 A JP2002244514 A JP 2002244514A JP 2003177935 A JP2003177935 A JP 2003177935A
Authority
JP
Japan
Prior art keywords
output
circuit
fail
modules
outputs
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002244514A
Other languages
English (en)
Other versions
JP3733938B2 (ja
Inventor
Nobuyasu Kanekawa
信康 金川
Shinichiro Yamaguchi
伸一朗 山口
Naoto Miyazaki
直人 宮崎
Naohiro Kasuya
直大 糟谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2002244514A priority Critical patent/JP3733938B2/ja
Publication of JP2003177935A publication Critical patent/JP2003177935A/ja
Application granted granted Critical
Publication of JP3733938B2 publication Critical patent/JP3733938B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Landscapes

  • Hardware Redundancy (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

(57)【要約】 【課題】処理過程の正常性も保証するフェールセーフシ
ステムを提供する。 【解決手段】同一の命令を同期して実行する複数のモジ
ュールからなる冗長システムにおいて、複数のモジュー
ル内の内部信号同士を比較し、その複数のモジュール内
の内部信号同士が一致したときには真の値を、一致して
いないときには偽の値を出力する比較器の出力信号と、
その複数のモジュールからの出力とを論理積回路に入力
し、論理積回路の出力をシステムの出力とする。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は高信頼システムにか
かり、特に高信頼システム構成に不可欠な多数決回路,
出力選択回路などの最終出力回路の高信頼化,高安全
化,フェールセーフ化に関するものである。
【0002】
【従来の技術】システムの信頼性を向上させるためにシ
ステムの構成要素(モジュール)を冗長化する方法が従
来より広く用いられてきた。この方法では冗長化したモ
ジュールの出力の中から正常な出力を選び出す最終出力
回路が不可欠である。この最終出力回路としては多数決
回路や選択回路などが用いられている。
【0003】また、最終出力回路として論理和回路を用
い、危険側出力を真を表わす値(通常の2値論理では
H)で表現し、安全側出力を偽を表わす値(通常の2値
論理ではL)で表現すれば、冗長化したモジュール全て
が危険側出力を出したときのみシステムは危険側出力を
出す。従って冗長化したモジュール全てが誤って危険側
出力を出さない限りシステムは誤って危険側出力を出す
ことがなくフェールセーフ性をもたせることができる。
特に危険側出力を交番信号,安全側出力をそれ以外の信
号で表現することによりフェールセーフ性を著しく高め
ることができる。システムが正しい出力を選び出すこと
ができるかどうかは最終出力回路の動作にかかってお
り、この最終出力回路の信頼度がシステム全体の信頼度
を左右する。従ってシステムの信頼性を向上させるため
には、この最終出力回路の信頼度を確保することが重要
である。
【0004】信頼性,安全性の拠り所である最終出力回
路の信頼度を確保するために最終出力回路にテストパタ
ーンを入力して正常動作を確認したり、最終出力回路を
フェールセーフな回路構成とする方法が従来から考えら
れている。
【0005】フェールセーフな論理積回路の構成として
は、入力としての交番信号がクロック端子に印加される
複数のD−フリップフロップ列により構成した論理積回
路は危険側故障が極めて小さいので広く用いられてい
る。
【0006】
【発明が解決しようとする課題】上記した従来技術の
内、最終出力回路にテストパターンを入力する方法は、
冗長化したモジュールが非同期に動作するシステムでは
容易に実施でき、最終出力回路の正常動作を確認するこ
とができる。しかし、冗長化したモジュールが同期して
動作するシステムでのこの方法の実現方法についてはさ
らに考慮が必要である。
【0007】冗長化したモジュールが同期して動作する
システムでは同期を維持するために、冗長化したモジュ
ールが同期して同一の動作をしなければならない。従っ
て冗長化したモジュールは常に同一の出力を最終出力回
路に出力することになる。冗長化したモジュールの出力
間に不一致が発生しても、多数決などの手法などにより
正常な出力を得るのが、最終出力回路の本来の機能であ
るため、冗長化したモジュールは常に同一の出力しか出
せないのでは最終出力回路の本来の機能についての十分
な検査ができない。
【0008】仮に、出力に関する命令実行部分だけモジ
ュールごとに異なる動作をさせ、他の命令実行部分は同
一の動作をさせようとしても、それに至る分岐命令の部
分で実行する命令ステップ数が異なってしまうため結果
としてモジュール間の同期を乱すことになる。また、冗
長化したモジュール内のバスの信号も比較する方式で
は、出力に関する命令実行部分が異なるので不一致とな
り正常に動作しない。
【0009】以上のような問題点を踏まえて、冗長化し
たモジュールが同期して動作するシステムにおいて、最
終出力回路を検査する手段を提供することを本発明の第
1の目的とする。
【0010】また冗長化したモジュールの出力を受け取
る最終出力回路として論理和回路を用いた従来技術では
論理和回路の故障さえ生じなければ、冗長化したモジュ
ール全てが危険側出力を出さない限りシステムは危険側
出力を出さないためシステムにフェールセーフ性を持た
せられる大変優れた方法である。しかし本従来技術はさ
らに高い信頼性,安全性を追及するためには処理結果で
ある出力に留まらず処理過程の正常性の保証についても
さらに考慮を加える必要がある。
【0011】そこで処理過程の正常性も保証するフェー
ルセーフシステムを提供することを本発明の第2の目的
とする。
【0012】さらに従来技術の内、入力としての交番信
号がクロック端子に印加される複数のD−フリップフロ
ップ列により構成した論理積回路は危険側故障が発生す
る確率が極めて小さいためフェールセーフANDと呼ば
れている。しかしこの回路にもフェールアウト故障モー
ド(危険側出力が出力される故障モード)は存在する。
フェールセーフANDを構成するD−フリップフロップ
列の内、最終段のD−フリップフロップのCLK端子入
力がQ出力端子に現れる故障モードが唯一のフェールア
ウト故障モードである。そこで、フェールアウト故障モ
ードをなくしてフェールセーフ性をより高める方式を提
供することを第3の目的とする。
【0013】
【課題を解決するための手段】上記第1の目的を達成す
るため本発明では、以下の手段を講じる。
【0014】(1−1)書き込んだデータが全てのモジ
ュールから出力されるレジスタと、対応するモジュール
のみから出力され、他のモジュールでは無視されるレジ
スタをモジュールの出力インタフェース回路に持たせ
る。
【0015】また上記第2の目的を達成するために、以
下の手段を講じる。
【0016】(2−1)冗長化したモジュールの内部信
号同士を比較器で比較チェックする。
【0017】(2−2)比較器は、冗長化したモジュー
ルの内部信号同士が一致した場合には真を表わす信号を
出力し、一致しない場合には偽を表わす信号を出力す
る。
【0018】(2−3)冗長化したモジュールの出力信
号は、危険側出力を真を表わす信号で、安全側出力を偽
を真を表わす信号で表現する。
【0019】(2−4)比較器の出力と冗長化したモジ
ュールからの出力の論理積を出力とする。また上記第3
の目的を達成するために以下の手段を講じる。
【0020】(3−1)論理積回路を入力としての交番
信号がクロック端子に印加される複数のD−フリップフ
ロップ列により構成し、最終段のD−フリップフロップ
のクロック端子に印加される信号の周波数を論理積回路
の後段に接続される回路の最高動作周波数よりも高くす
る。
【0021】さらに上記第2,第3の目的を相乗的に達
成するために以下の手段を講じる。 (4−1)冗長化したモジュールの内部信号同士を比較
器で比較チェックする。
【0022】(4−2)比較器は、冗長化したモジュー
ルの内部信号同士が一致した場合には真を表わす信号と
して交番出力を出力し、一致しない場合には偽を表わす
信号として交番しない信号を出力する。
【0023】(4−3)冗長化したモジュールの出力信
号は、危険側出力を真を表わす信号すなわち交番する信
号で、安全側出力を偽を真を表わす信号すなわち交番し
ない信号で表現する。
【0024】(4−4)論理積回路を入力としての交番
信号がクロック端子に印加される複数のD−フリップフ
ロップ列により構成し、比較器の出力を最終段のD−フ
リップフロップのクロック端子に印加し、比較器の出力
の周波数を論理積回路の後段に接続される回路の最高動
作周波数よりも高くする。
【0025】以上述べた手段(1−1)によれば、通常
動作時には書き込んだデータが全てのモジュールから出
力されるレジスタにデータを書き込めば全ての冗長化し
たモジュールから同一の出力が出される。万一モジュー
ルの中のいずれかが障害により正常な出力を出せない場
合には最終出力回路が正常な出力を選び出して正常動作
を継続することができる。また、最終出力回路のテスト
のためには、対応するモジュールのみから出力され、他
のモジュールでは無視されるレジスタにデータを書き込
めば、冗長化したモジュールの内特定のモジュールのみ
他とは異なる出力を出すことができるので、動作確認の
ためのテストパターンを最終出力回路に入力することが
できる。
【0026】また、手段(2−1)〜(2−4)によれ
ば、冗長化したモジュールの全ての出力に危険側出力が
現れても、出力を得るまでの途中経過を表わす冗長化し
たモジュールの内部信号同士も一致しなければ、システ
ムは危険側出力を出さない。従って、出力を得るまでの
計算過程で冗長化したモジュールで相次いで誤りが発生
し、危険側出力を出した場合でも、計算過程での誤りに
よる不一致により比較器の出力は偽となるため、危険側
出力は出ないことになる。従って、最終出力結果だけで
なく処理過程の正常性も保証することができる。
【0027】さらに、手段(3−1)によれば、D−フ
リップフロップ列により構成された論理積回路で従来の
フェールアウト故障モードに相当する故障が発生して
も、本発明によれば故障により出力される信号の周波数
が、論理積回路の次段以降に接続される回路の最高動作
周波数より高いので、次段以降の回路が動作しないので
危険側出力が出されない。従ってフェールセーフAND
回路のフェールアウト故障モードをなくすことができ
る。
【0028】手段(4−1)〜(4−4)によれば、手
段(2−1)〜(2−4)と手段(3−1)の相乗効果
が得られ、最終出力結果だけでなく処理過程の正常性も
保証することができる上、フェールセーフAND回路の
フェールアウト故障モードをなくすことができる。
【0029】
【発明の実施の形態】実施例の説明に先だって、実施例
の構成を以下に示す。
【0030】1.第1の目的(最終出力回路を検査する
手段を提供すること)を達成するための実施例 2.第2の目的(処理過程の正常性も保証するフェール
セーフシステムを提供すること)を達成するための実施
例 3.第3の目的(フェールセーフANDのフェールアウ
ト故障モードをなくすこと)を達成するための実施例 4.第2,第3の目的を相乗効果により達成するための
実施例 以下図に従い本発明の各部の実施例について詳細な説明
を加える。
【0031】<1.第1の目的を達成するための実施例
>図1は本発明の出力インタフェースを備えた冗長シス
テムの構成である。冗長化したモジュール11〜1n
(n:モジュールの数)にはそれぞれ出力インタフェー
ス21〜2nを備え、出力31〜3nを出す。なお、本
発明は図に示すように冗長化したモジュール11〜1n
が同一のクロック2に従って同期して動作する冗長シス
テムを対象にしている。出力31〜3nは最終出力回路
4に入力される。万一冗長化したモジュール11〜1n
のいずれかが障害により正常な出力を出せない場合には
最終出力回路4が正常な出力を選び出して正常動作を継
続することができる。正常な出力を選び出す最終出力回
路4としては後述するように多数決回路41,AND回
路42、あるいは中間値選択回路43などがある。
【0032】図2はモジュール1i(i:モジュールの
番号)の出力インタフェース2iの実施例をアドレスイ
メージで示したものである。出力インタフェース2iに
はレジスタOUTall ,OUT1〜OUTnを備えてい
る。出力インタフェース2iでは、全てのモジュール1
1〜1nから出力が出されるレジスタOUTall または
モジュール1iのみから出力が出されるレジスタOUT
i にデータが書き込まれたときに、書き込まれたデータ
に対応する出力3iが出される。例えば図3に示すよう
に1番目のモジュール11の出力インタフェース21で
はレジスタOUTallまたはOUT1にデータが書き込まれ
た時のみ書き込まれたデータに対応する出力31が出さ
れる。
【0033】上記図1〜図3に示す実施例によれば、冗
長化したモジュール11〜1nに同一の命令を同期させ
て実行させながら、モジュールごとに異なる出力31〜
3nを得ることができ、動作確認のためのテストパター
ンを最終出力回路4に与えることができる。例えば、モ
ジュール11〜1nがレジスタOUTi にデータを書き
込んだ場合にはモジュール1iのみから書き込んだデー
タに相当する出力3iが出される。さらにモジュール1
1〜1nがレジスタOUT1〜OUTnにそれぞれ異な
るデータを書き込んだ場合にはモジュール11〜1nか
らそれぞれ異なる出力31〜3nが出される。なお正常
動作時にはモジュール11〜1nがレジスタOUTall
にデータを書き込み、モジュール11〜1nから書き込
んだデータに相当する出力31〜3nが出される。
【0034】図4,図5はモジュール1iの出力インタ
フェース2iの実施例をブロック図で示したものであ
る。アドレスデコーダはアドレスバス1i1の信号をデ
コードし、レジスタOUTallまたはレジスタOUTiに
相当するアドレスのときだけ論理和2i2に信号を出力
し論理和2i2の出力をHにする。またさらにR/W#
信号との論理積2i3をとり、レジスタOUTallまた
はレジスタOUTiに相当するアドレスで、write アク
セスの時のみラッチ信号2i4をHにする。ラッチ2i
5ではラッチ信号2i4に従ってデータバス1i2の信
号をラッチする。図4の実施例ではラッチ2i5でラッ
チしたデータをそのまま出力3iとしている。また図5
では更にデジタル/アナログ変換器2i6でアナログ化
して出力3iとしている。出力インタフェース2iが図
4の実施例に示すようにデジタル信号を出力するタイプ
の時には、最終出力回路4として後述する多数決回路4
1,AND回路42を使用すればよい。また出力インタ
フェース2iが図5の実施例に示すようにアナログ信号
を出力するタイプの時には、最終出力回路4として後述
する中間値選択回路43を使用すればよい。
【0035】図6は最終出力回路4として多数決回路4
1を用いた実施例である。3入力の多数決回路41の内
部構成を図7に、その正常動作時の真理値表を図8にそ
れぞれ示す。また例として多数決回路41を構成する論
理和411の出力が0固定故障(stuck-at-0故障)を起
こした場合の真理値表を図9に示す。図9に示すように
論理和411の出力の0固定故障の場合に正常動作と異
なる入出力関係になるのはcase8の入力パターンの時の
みである。従ってこの故障を検出するためには冗長化し
たモジュール11〜13がcase8の入力パターンに相当
する出力31〜33を出せばよい。図1〜図5の実施例
に示した本発明によれば、モジュール11〜13が個別
に任意の出力31〜33を出せるので、case8に限らず
全てのパターンの出力31〜33を出すことができる。
従って本実施例によれば、例に挙げたような論理和41
1の出力の0固定故障に限らず、多数決回路41のあら
ゆるモードの故障を検出することができる。
【0036】なお、本発明によらない場合には冗長化し
たモジュール11〜13が全て正常な場合、即ち図8に
示す真理値表のcase1,2の入力しか通常は得られないの
で、多数決回路41の故障を検出することができず、故
障が潜在することになる。このように故障が潜在する
と、冗長化したモジュール11〜13のいずれかが故障
した場合にその故障を救済できなくなる。例えば論理和
411の出力の0固定故障が発生しても、冗長化したモ
ジュール11〜13が全て正常な場合には正常な時と変
わらない出力を得ることができるが、モジュール13の
出力33だけが何らかの原因でHとなるべきところをL
となった場合に、多数決回路41の出力3もHとなるべ
きところをLとなり、正常動作ができなくなる。
【0037】図10は最終出力回路4としてAND回路
42を用いた実施例である。本実施例のように冗長化し
たモジュール11,12の出力31,32をAND回路
42に入力しその出力3を得れば、モジュール11,1
2の出力31,32が共にHの時のみ出力3がHとな
る。つまり、モジュール11,12の出力31,32の
いずれかがLならば出力3がLとなる。従って、L出力
を安全側の出力とすればフェールセーフなシステムを実
現することができる。
【0038】AND回路42の正常動作時の真理値表を
図11に、出力32がそのまま出力3として出てしまう
故障時の真理値表を図12に示す。これはAND回路4
2内部の配線の短絡によって引き起こされる故障モード
である。この故障の場合も、case3,4の入力パターン
の時のみ故障を検出することができる。従ってこの故障
を検出するためには冗長化したモジュール11,12が
case3,4の入力パターンに相当する出力31,32を
出せばよい。図1〜図5の実施例に示した本発明によれ
ば、モジュール11,12が個別に任意の出力31,3
2を出せるので、case3,4に限らず全てのパターンの
出力31,32を出すことができる。従って本実施例に
よれば、例に挙げたような出力32がそのまま出力3と
して出てしまう故障に限らず、AND回路42のあらゆ
るモードの故障を検出することができる。
【0039】さらに図13に示すようにAND回路42
にフリップフロップから構成される回路を用いればフェ
ールセーフにすることができる。この回路は図14に示
すように出力31,32両方に交番信号が現れたときの
み出力3に交番信号を出す。つまり、交番信号を真、そ
れ以外の信号を偽とすれば論理積(AND)と同じ動作
をすることがわかる。しかもこの回路自体の故障により
誤って交番信号を出力する可能性が極めて低いのでフェ
ールセーフANDと呼ばれている。
【0040】図15は最終出力回路4として中間値選択
回路43を用いた実施例である。中間値選択回路43は
入力されたアナログ値の内の中間の値を選択して出力す
る回路である。モジュール11〜1nが全て正常な場合
には理論上は出力31〜3nは同じ値が出力されるた
め、中間値選択回路43の「入力されたアナログ値の内
の中間の値を選択して出力する」機能を確認することが
できない。実際には出力31〜3nにはデジタル値は同
一であってもデジタル/アナログ変換器の変換誤差だけ
のバラツキが生じ、中間値選択回路43はこのバラツキ
のある値の中から中間の値を選択して出力する。従っ
て、一見するとこのバラツキを利用して中間値選択回路
43の「入力されたアナログ値の内の中間の値を選択し
て出力する」機能を確認することができるように見え
る。しかし、このバラツキは出力3をフィードバックし
て確認するためのアナログ/デジタル変換器の量子化誤
差のために弁別が困難である。従って本発明により出力
31〜3nの内任意の出力を異なる値とすることにより
中間値選択回路43の機能を確認することができる。
【0041】図16は本発明が提供する冗長システムの
出力3を遮断する遮断スイッチ5を設けた実施例であ
る。本実施例では本発明が提供する方法により最終出力
回路4の異常を検出した場合には遮断スイッチ6を開放
することにより出力を停止して、誤った出力を抑止する
ことができる。
【0042】<2.第2の目的を達成するための実施例
>また図10の実施例によれば、モジュール11,12
を同期させて同一の動作をさせることができるので、図
17に示すようにモジュール11,12のデータバス1
11,121,アドレスバス112,122,コントロ
ールバス113,123同士を比較器5で比較チェック
することにより、故障や障害による誤動作を早期に検出
し、対応することができる。またこの場合、比較器5と
して発明者らが既に出願している特願平6−27664号のよ
うなセルフチェッキング比較器を用いれば比較器自体の
故障による検出漏れがなくなるので、誤り検出率が向上
する。更に、発明者らが既に出願している特願平6−313
492 号のようにモジュール11,12を同期させ、かつ
動作タイミングを半クロックずらして動作させればモジ
ュール11,12で同一の誤りが発生する確率が小さく
なるので、誤り検出率がさらに向上する。なお、図15
に示すモジュール11〜1n内部のバス信号の比較チェ
ックは図10に限らず図1〜図9に示す各実施例に同様
にして適用できる。
【0043】さらに図17の実施例を発展させて、モジ
ュール11,12の出力31,32に加えて比較器5の
出力33をAND回路42に入力した実施例を図18に
示す。本実施例によればモジュール11,12のデータ
バス111,121,アドレスバス112,122,コ
ントロールバス113,123が一致し、かつモジュー
ル11,12の出力31,32が現れた時のみAND回
路42は出力3を出す。つまり、モジュール11,12
の出力31,32だけでなく、出力に致るまでの処理の
途中結果が一致した時のみ出力3を出すことになる。本
実施例により出力の比較照合が多段になるためにより安
全性,フェールセーフ性が増すとともに、処理途中での
不一致が検出できるため誤りの早期検出が可能となる。
【0044】またAND回路42を図19に示すように
フリップフロップから構成される回路を用いればAND
回路自体をフェールセーフにすることができる。
【0045】<3.第3の目的を達成するための実施例
>図20はフェールセーフAND回路のフェールアウト
故障モードをなくす実施例である。本実施例ではフェー
ルセーフAND回路を構成するフリップフロップの内最
終段のFF1のクロック入力に、フェールセーフAND
回路の後段の回路7の最高動作周波数fcよりも高い周
波数f3の信号を印加している。
【0046】この回路は図21に示すように、正常時に
はf1,f2,f3の全てに交番信号が入力されたとき
のみ出力3に交番信号を出力する回路で、この動作は普
通のフェールセーフAND回路と同一である。
【0047】フェールセーフANDの唯一のフェールア
ウト故障モードは、フリップフロップのクロック入力が
そのままQ出力に現れてしまう故障モードである。この
ようなモードの故障が最終段のフリップフロップで発生
した場合には、最終段のフリップフロップに交番信号が
入力されれば図22に示すように他の入力には関係なく
交番信号が出力3より出力されてしまう。この時、出力
3の周波数はf3となり、フェールセーフAND回路の
後段の回路7の最高動作周波数fcよりも高くなる。従
って図23に示すように、回路7は最高動作周波数fc
よりも高い周波数では動作できないため回路7の出力端
子30には出力が現れない。従って、最終段のフリップ
フロップでクロック入力がそのままQ出力に現れてしま
う故障が発生しても、誤って危険側出力が出力されるこ
とがないのでフェールセーフ性を持たせることができ
る。
【0048】図24はフェールセーフAND回路を構成
するフリップフロップのCLK入力がQ出力より出てし
まう故障がそれぞれのフリップフロップで発生した場合
に観測される出力3と出力3を停止させるための対策を
まとめたものである。図24よりわかるように出力3を
モニタすることにより故障を検出することができる。さ
らに本発明が提供する図10に示す実施例によれば、効
果的にテストパターンを注入できるので故障の潜在を防
止することができる。一方故障時に出力3を停止させる
ための対策はFF1,FF2,FF3と後段になるに従
って減ってくる。特に最終段のFF3では本実施例の他
にはf3入力を停止するほかは故障時に出力3を停止さ
せるための手段がない。つまり本実施例がなければ、万
一FF3の他に何らかの原因でf3が連続して出力され
てしまう故障が発生した場合には、出力3は連続して出
力されてしまう。従って、FF3とf3を生成する回路
の故障、つまり2重故障によりシステムは危険側出力を
出しフェールアウトとなる。これに対してFF1,FF
2はそれぞれ4重故障,3重故障が発生して初めてフェ
ールアウトとなる。フェールアウトが人命に関わるよう
な用途に用いられるシステムでは、安全のために多重故
障が発生してもフェールアウトとならないように考慮す
る必要がある。そこで本実施例によれば、従来2重故障
によりフェールアウトとなってしまっていたところを、
出力を停止してフェールアウトとなることを防止するこ
とができる。
【0049】図25はさらにフェールセーフAND回路
の全てのフリップフロップのクロック入力がQ出力より
出てしまうモードの故障の影響を防止する実施例であ
る。本実施例ではフリップフロップのクロック端子に入
力されるフェールセーフAND回路の入力周波数f1,
f2,f3の全てをフェールセーフAND回路の後段の
回路7の最高動作周波数fcよりも高くしている。本実
施例によれば、フェールセーフAND回路を構成するフ
リップフロップのうちどのフリップフロップでクロック
入力がQ出力より出てしまうモードの故障が発生した場
合でも、出力3の出力は後段の回路7の最高動作周波数
fcよりも周波数が高いため回路7は動作せずに出力3
0に信号が現れない。従って本実施例によればフェール
セーフAND回路の全てのフリップフロップのクロック入
力がQ出力より出てしまうモードの故障の影響を防止す
ることができることがわかる。
【0050】ただし、入力周波数f1,f2,f3の全
てが回路7の最高動作周波数fcよりもはるかに高い場
合には、フェールセーフAND回路で故障が発生してい
ない正常時の出力も最高動作周波数fcよりも高い周波
数となってしまう。そこで、例えばf1,f2をfc<
f1<2fc,fc<f2<2fcとなるように選定す
れば、図21に示すようにf1/2,f2/2オーダー
の出力が得られるため、図26に示すように正常時の出
力3は回路7の最高動作周波数fcより低く、異常時の
出力3は回路7の最高動作周波数fcより高くなる。従
って、本実施例によればフェールセーフAND回路の全
てのフリップフロップのクロック入力がQ出力より出て
しまうモードの故障の影響を防止することができる。
【0051】以上述べたように、図25の実施例によれ
ばフェールセーフAND回路の後段の回路7が急峻な高
域での減衰特性を有していればフェールセーフAND回
路の全てのフリップフロップのクロック入力がQ出力よ
り出てしまうモードの故障の影響を防止することができ
る。一方図20の実施例では最終段のフリップフロップ
のクロック入力がQ出力より出てしまうモードの故障の
影響を防止するのに留まるが、フェールセーフAND回
路の後段の回路7には急峻な高域での減衰特性は要求さ
れず、通常の回路の周波数特性で実現できるので特にフ
ィルターを付加することは不要である。
【0052】図20〜図26に示す実施例を実現する際
には回路7の最高動作周波数fcより高い周波数の信号
が必要となる。この信号の生成方法としては、以下の通
り考えられる。
【0053】(1) 冗長化した各モジュールの生存通知信
号 (2) クロック信号 (3) 特開平7−234801 号によるセルフチェッキング比較
器 これらの方式の内、(3)による実施例について以下説明
する。
【0054】なお、図20〜図26の実施例では簡単の
ために3入力のフェールセーフAND回路について説明し
たが、一般にN3入力のフェールセーフAND回路につ
いても同様に実現が可能であることはいうまでもない。
【0055】<4.第2,第3の目的を相乗効果により
達成するための実施例>図27に本発明の第2の目的で
ある処理過程の正常性も保証するフェールセーフシステ
ムを提供することと、本発明の第3の目的であるフェー
ルセーフANDのフェールアウト故障モードをなくすこ
とを相乗効果により達成するための実施例を示す。本実
施例の構成は基本的には図18の構成に示す構成と同じ
である。図27の実施例では、通常の比較器の代わりに
セルフチェッキング比較器5′を、通常のAND回路の
代わりに図28に示すようにフリップフロップから構成
され、セルフチェッキング比較器5′からの出力33を
入力するフリップフロップ(FF3)を最終段としたフ
ェールセーフAND回路を用い、さらにフェールセーフ
AND回路の出力は出力駆動回路71を経て出力30と
なっている。
【0056】この構成は出力31,32,33の全てに
交番信号が現れたときのみ出力3に交番信号を出すため
フェールセーフな構成となっている。
【0057】なお、この構成を実現するためには、セル
フチェッキング比較器5′もモジュール11,12のデ
ータバス111,121,アドレスバス112,12
2,コントロールバス113,123が一致していると
きには出力33として交番信号を出力するものでなけれ
ばならない。先に述べたように発明者らが既に出願して
いる特願平6−27664号のようなセルフチェッキング比較
器は、比較対象の信号が一致し、かつ比較器自身が正常
なときにのみ出力33として交番信号を出力するのでこ
の条件に合致している。
【0058】ここで、フェールセーフAND回路の入出
力の正常時の周波数関係を考えて見る。セルフチェッキ
ング比較器5′の出力33はバスサイクルごとに反転す
るのでバスサイクルと同じ周波数(通常数MHz〜数百
MHz程度)となる。一方、モジュール11,12の出
力31,32はソフトウェアによる出力インタフェース
21〜2nへのアクセスによって反転させるのでセルフ
チェッキング比較器5の出力33と比べるとはるかに低
い周波数(通常数百Hz〜数kHz程度)となる。ま
た、フェールセーフANDの出力はセルフチェッキング
比較器5の出力33,モジュール11,12の出力3
1,32の全ての信号の立上りが一巡して反転するの
で、モジュール11,14の出力31,32の1/2の
周波数となる。なお、図29のようにフェールセーフA
ND回路の出力が接続されている出力駆動回路7の最高
動作周波数fcは電力用素子で構成した場合は通常10
0Hz程度から数kHz程度である。
【0059】続いて、先に述べたモードの故障が発生し
た場合を考えて見る。この場合フェールセーフANDの
出力3にはセルフチェッキング比較器5の出力33がそ
のまま現れる。従ってフェールセーフANDの出力3は
図29に示すように出力駆動回路71の帯域を大きく逸
脱する。従ってフェールアウトモードの故障が発生して
も出力30に信号が現れないためにフェールセーフとな
る。
【0060】
【発明の効果】以上述べたように本発明によれば、最終
出力回路のテストを容易にして早期の故障発見が可能と
なる。さらにモジュールからの出力の照合に、モジュー
ル内部の信号線の比較チェックも加えることにより誤り
検出の早期化,誤り検出率向上が可能となる。またさら
にフェールセーフ回路のフェールアウトを防ぎ、システ
ムのフェールセーフ性,安全性を著しく向上させること
ができる。
【図面の簡単な説明】
【図1】本発明の基本的な実施例。
【図2】出力インタフェース2iの構成(レジスタイメ
ージ)。
【図3】出力インタフェース21の構成(レジスタイメ
ージ)。
【図4】出力インタフェース2iの構成。
【図5】出力インタフェース2iの構成(アナログ出
力)。
【図6】多数決回路を使用した実施例。
【図7】多数決回路の構成。
【図8】多数決回路の入出力真理値表(正常時)。
【図9】多数決回路の入出力真理値表(故障時)。
【図10】AND回路を使用した実施例。
【図11】AND回路の入出力真理値表(正常時)。
【図12】AND回路の入出力真理値表(故障時)。
【図13】フェールセーフAND回路を使用した実施
例。
【図14】フェールセーフAND回路の動作(正常
時)。
【図15】中間値選択回路を使用した実施例。
【図16】遮断スイッチ6を設けた実施例。
【図17】バスを比較する実施例。
【図18】比較器の出力をAND回路に入力した実施
例。
【図19】フェールセーフAND回路を使用した実施
例。
【図20】フェールセーフAND回路のフェールアウト
故障を考慮した実施例。
【図21】フェールセーフAND回路の動作(正常
時)。
【図22】フェールセーフAND回路の動作(故障
時)。
【図23】フェールセーフAND回路入出力信号の周波
数関係。
【図24】故障個所とその対策。
【図25】フェールセーフAND回路のフェールアウト
故障を考慮した実施例。
【図26】フェールセーフAND回路入出力信号の周波
数関係。
【図27】バスを比較し、かつフェールセーフAND回
路のフェールアウト故障を考慮した実施例。
【図28】フェールセーフAND回路への信号接続。
【図29】フェールセーフAND回路入出力信号の周波
数関係。
【符号の説明】
3…出力、4…最終出力回路、5…比較器、6…遮断ス
イッチ、11〜1n…モジュール、21〜2n…出力イ
ンタフェース、31〜3n…(モジュール11〜1n
の)出力、41…多数決回路、42…AND回路、43
…中間値選択回路。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 宮崎 直人 茨城県日立市大みか町七丁目1番1号 株 式会社日立製作所日立研究所内 (72)発明者 糟谷 直大 茨城県ひたちなか市市毛1070番地 株式会 社日立製作所水戸工場内 Fターム(参考) 5B034 AA05 CC01 DD03 DD06 5B048 AA01 AA17 DD05 FF03

Claims (5)

    【特許請求の範囲】
  1. 【請求項1】同一の命令を同期して実行する複数のモジ
    ュールからなる冗長システムにおいて、 前記複数のモジュール内の内部信号同士を比較し、前記
    複数のモジュール内の内部信号同士が一致したときには
    真の値を、一致していないときには偽の値を出力する比
    較器の出力信号と、前記複数のモジュールからの出力と
    を論理積回路に入力し、 該論理積回路の出力をシステムの出力とすることを特徴
    とする冗長システム。
  2. 【請求項2】請求項1記載の冗長システムにおいて、 前記内部信号が前記複数のモジュール内のプロセッサか
    ら出力されるアドレスバス,データバス、またはコント
    ロールバスの信号であることを特徴とする冗長システ
    ム。
  3. 【請求項3】請求項1記載の冗長システムにおいて、 前記比較器が交番信号を真の値として出力し、 前記論理積回路が交番論理の論理積回路、即ち全ての入
    力に交番信号が入力されたときのみ交番信号が出力され
    る論理回路であることを特徴とする冗長システム。
  4. 【請求項4】請求項3記載の冗長システムにおいて、 前記論理積回路が複数のD−フリップフロップ列から構
    成され、 該D−フリップフロップのQ出力端子またはQの反転出
    力端子が次段のD−フリップフロップのD入力端子に接
    続され、 最終段のD−フリップフロップのQ出力端子またはQの
    反転出力端子を前記論理積回路とし、 前記最終段のD−フリップフロップのQ出力端子または
    Qの反転出力端子が初段のD−フリップフロップのD入
    力端子に接続され、 前記論理積回路への入力がそれぞれ該D−フリップフロ
    ップのクロック入力端子に接続されていることを特徴と
    する冗長システム。
  5. 【請求項5】請求項4記載の冗長システムにおいて、 前記論理積回路を構成する最終段のD−フリップフロッ
    プのクロック入力端子に前記比較器からの出力を接続
    し、 前記論理積回路の後段に接続される回路の最高動作周波
    数よりも前記比較器からの交番信号の周波数が高いこと
    を特徴とする冗長システム。
JP2002244514A 2002-08-26 2002-08-26 冗長システム Expired - Lifetime JP3733938B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002244514A JP3733938B2 (ja) 2002-08-26 2002-08-26 冗長システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002244514A JP3733938B2 (ja) 2002-08-26 2002-08-26 冗長システム

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP28639096A Division JP3438490B2 (ja) 1996-10-29 1996-10-29 冗長システム

Publications (2)

Publication Number Publication Date
JP2003177935A true JP2003177935A (ja) 2003-06-27
JP3733938B2 JP3733938B2 (ja) 2006-01-11

Family

ID=19196508

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002244514A Expired - Lifetime JP3733938B2 (ja) 2002-08-26 2002-08-26 冗長システム

Country Status (1)

Country Link
JP (1) JP3733938B2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007299174A (ja) * 2006-04-28 2007-11-15 Yokogawa Electric Corp 入力制御装置
US7598761B2 (en) 2006-09-07 2009-10-06 Kabushiki Kaisha Toshiba Semiconductor integrated circuit having a degradation notice signal generation circuit
JP2011028685A (ja) * 2009-07-29 2011-02-10 Nippon Signal Co Ltd:The 二重化データ処理回路
WO2019049980A1 (ja) * 2017-09-11 2019-03-14 日本電気株式会社 再構成回路

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007299174A (ja) * 2006-04-28 2007-11-15 Yokogawa Electric Corp 入力制御装置
JP4640251B2 (ja) * 2006-04-28 2011-03-02 横河電機株式会社 入力制御装置
US7598761B2 (en) 2006-09-07 2009-10-06 Kabushiki Kaisha Toshiba Semiconductor integrated circuit having a degradation notice signal generation circuit
JP2011028685A (ja) * 2009-07-29 2011-02-10 Nippon Signal Co Ltd:The 二重化データ処理回路
WO2019049980A1 (ja) * 2017-09-11 2019-03-14 日本電気株式会社 再構成回路

Also Published As

Publication number Publication date
JP3733938B2 (ja) 2006-01-11

Similar Documents

Publication Publication Date Title
US7890797B2 (en) Vehicle including a processor system having fault tolerance
US5086429A (en) Fault-tolerant digital computing system with reduced memory redundancy
JP3002201B2 (ja) クロス接続形検査回路及びそのための集積回路
US6173414B1 (en) Systems and methods for reduced error detection latency using encoded data
JP3229070B2 (ja) 多数決回路及び制御ユニット及び多数決用半導体集積回路
JPH02110388A (ja) 集積回路モジュール
US20130060526A1 (en) Computer System and Method for Comparing Output Signals
EP2381266B1 (en) Self-diagnosis system and test circuit determination method
Sim et al. A dual lockstep processor system-on-a-chip for fast error recovery in safety-critical applications
JP3438490B2 (ja) 冗長システム
JP2003177935A (ja) 冗長システム
JP3063334B2 (ja) 高信頼度化情報処理装置
EP0840225A2 (en) Redundant information processing system
US3559168A (en) Self-checking error checker for kappa-out-of-nu coded data
JP2003316599A (ja) 集積回路
US8516336B2 (en) Latch arrangement for an electronic digital system, method, data processing program, and computer program product for implementing a latch arrangement
Venu et al. A fail-functional automotive CPU subsystem architecture for mitigating single point of failures
US11461205B1 (en) Error management system for system-on-chip
JPH1011309A (ja) プロセッサ出力比較方法およびコンピュータシステム
JP3267035B2 (ja) シーケンサ診断装置
KR100538487B1 (ko) 철도신호 제어장치의 다수결 투표기
FI72396C (fi) Foerfarande foer aostadkommande av ett elektroniskt system som tolererar fel samt motsvarande system.
JP5730173B2 (ja) 自己診断機能付き装置
Greblicki et al. Design of totally self-checking code-disjoint synchronous sequential circuits
JP2010073285A (ja) 情報処理装置

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040113

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20040928

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20041129

A911 Transfer of reconsideration by examiner before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20050118

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050927

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20051010

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091028

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091028

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101028

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111028

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121028

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121028

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131028

Year of fee payment: 8

EXPY Cancellation because of completion of term