JP2003517668A - クリティカル・システムのためのフェイル・セーフ・プロセスの実行、監視、および出力の制御のためのシステムおよび方法 - Google Patents
クリティカル・システムのためのフェイル・セーフ・プロセスの実行、監視、および出力の制御のためのシステムおよび方法Info
- Publication number
- JP2003517668A JP2003517668A JP2001545909A JP2001545909A JP2003517668A JP 2003517668 A JP2003517668 A JP 2003517668A JP 2001545909 A JP2001545909 A JP 2001545909A JP 2001545909 A JP2001545909 A JP 2001545909A JP 2003517668 A JP2003517668 A JP 2003517668A
- Authority
- JP
- Japan
- Prior art keywords
- state variable
- control system
- monitoring
- monitor
- critical
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B64—AIRCRAFT; AVIATION; COSMONAUTICS
- B64C—AEROPLANES; HELICOPTERS
- B64C13/00—Control systems or transmitting systems for actuating flying-control surfaces, lift-increasing flaps, air brakes, or spoilers
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24015—Monitoring
Landscapes
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Aviation & Aerospace Engineering (AREA)
- Safety Devices In Control Systems (AREA)
- Hardware Redundancy (AREA)
- Debugging And Monitoring (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
(57)【要約】
単一プロセッサ上に複数の独立区分をもつオープンバスアーキテクチャで動作するクリティカルシステムのフェイルセーフプロセスの実行、監視及び出力制御の方法及び装置。制御法則及びモード論理内で、クリティカルシステムの制御システム状態変数及び状態は、プロセスの完了及び状態に関して監視され、必要に応じ停止される。例では飛行クリティカルシステムを停止する2経路が提供され、或る区分されたモジュールの故障が他のモジュールの動作に影響しない。1つの経路は命令/応答の状態のCPM及びIOC判定を含む。故障を検出すると、DSP監視又はCPM性能監視により離散的信号がHブリッジディスエーブルへ送られ、現時出力を停止する。第2の経路は遮断バルブに対してであり、入出力コントローラの別個の離散的信号を介してCPM制御される。個別の経路を備えるので、或る区分のクリティカルシステムは別の区分の単一故障では無効にされない。
Description
【0001】
発明の背景
本発明は一般に多重通信路を介した冗長な情報伝達に関する。より詳細には、
本発明は、多重通信経路および区分された(パーティショニングされた)処理シ
ステムを用いるクリティカル・システムのためのフェイル・セーフ・プロセスの
実行、監視および出力シャットダウンのためのシステムおよび方法に関する。
本発明は、多重通信経路および区分された(パーティショニングされた)処理シ
ステムを用いるクリティカル・システムのためのフェイル・セーフ・プロセスの
実行、監視および出力シャットダウンのためのシステムおよび方法に関する。
【0002】
プロセッサは、簡単な単一プロセッサ制御のシステムから、多重プロセッサか
らの高保全性の出力が要求される複雑なフライト・クリティカル・システムまで
、非常に多くの用途に用いらる。プロセッサおよび関連するモジュールの機能は
、1つのシステム内でスタンド・アロンであるか、またはバス上の他の処理シス
テムに結び付けられるか又はネットワークを介してアクセス可能である。制御さ
れるシステムの故障が複雑なシステムにおいて検出された時に、信頼できる機構
が使用可能であることが、一般的には望ましい。
らの高保全性の出力が要求される複雑なフライト・クリティカル・システムまで
、非常に多くの用途に用いらる。プロセッサおよび関連するモジュールの機能は
、1つのシステム内でスタンド・アロンであるか、またはバス上の他の処理シス
テムに結び付けられるか又はネットワークを介してアクセス可能である。制御さ
れるシステムの故障が複雑なシステムにおいて検出された時に、信頼できる機構
が使用可能であることが、一般的には望ましい。
【0003】
例えばフライト・クリティカル・システムでは、現行の方法は、連合されたコ
ンピュータ(単一プロセッサによに制御されることを意味する)のアレイまたは
冗長なセットを用いている。フライト制御アルゴリズム等のフライト・クリティ
カル機能を達成するために、単一のI/Oスレッドが冗長セットとして使用され
てよい。連合されたシステムは、一般に、投票スキームを用いて監視され、コン
ポーネントの各出力は投票されるか、または記録される。論理出力は一般に平均
化される。したがって、故障モジュールまたは誤動作モジュールは、飛行機の安
全を確保するために、出力が制御面に加えられる前にシステムから除去される。
この実行の1つの病状は、モジュールがシステムから投票で除外されるためには
、故障することを可能にしなければならないということである。モジュールがシ
ステムから除外されるために故障を待機していることは、一般にシステムおよび
/またはそのオペレーションの混乱を引き起こす。このような混乱は、フライト
・クリティカル・システムにおいて致命的な結果をもたらすことになる。
ンピュータ(単一プロセッサによに制御されることを意味する)のアレイまたは
冗長なセットを用いている。フライト制御アルゴリズム等のフライト・クリティ
カル機能を達成するために、単一のI/Oスレッドが冗長セットとして使用され
てよい。連合されたシステムは、一般に、投票スキームを用いて監視され、コン
ポーネントの各出力は投票されるか、または記録される。論理出力は一般に平均
化される。したがって、故障モジュールまたは誤動作モジュールは、飛行機の安
全を確保するために、出力が制御面に加えられる前にシステムから除去される。
この実行の1つの病状は、モジュールがシステムから投票で除外されるためには
、故障することを可能にしなければならないということである。モジュールがシ
ステムから除外されるために故障を待機していることは、一般にシステムおよび
/またはそのオペレーションの混乱を引き起こす。このような混乱は、フライト
・クリティカル・システムにおいて致命的な結果をもたらすことになる。
【0004】
フライ・バイ・ワイヤ・システムにフライト・クリティカル機能を適用する際
には、飛行機のフライト制御面に影響を及ぼし続けるために、処理エレメントの
故障が含まれなければならない。例えば、プロセッサまたはプロセッサ内の他の
クリティカル機能が適切に作動を止めた場合、サーボ・ドライブは安全に遮断(
シャットオフ)される必要がある。フライ・バイ・ワイヤ・システムの故障を識
別する一般的な1つの方法は、クリティカル・プロセスのソフトウェア・チケッ
ト検査を通じて、およびプロセッサ健康状態のハードウェア・ウォッチ・ドッグ
・タイマ監視を介して、故障を解決する。次に、ウォッチ・ドッグ・タイマの出
力を用いて、サーボ・ドライブ出力等のクリティカル・システムがシャットダウ
ンされ、液圧バルブがシャットオフされる。
には、飛行機のフライト制御面に影響を及ぼし続けるために、処理エレメントの
故障が含まれなければならない。例えば、プロセッサまたはプロセッサ内の他の
クリティカル機能が適切に作動を止めた場合、サーボ・ドライブは安全に遮断(
シャットオフ)される必要がある。フライ・バイ・ワイヤ・システムの故障を識
別する一般的な1つの方法は、クリティカル・プロセスのソフトウェア・チケッ
ト検査を通じて、およびプロセッサ健康状態のハードウェア・ウォッチ・ドッグ
・タイマ監視を介して、故障を解決する。次に、ウォッチ・ドッグ・タイマの出
力を用いて、サーボ・ドライブ出力等のクリティカル・システムがシャットダウ
ンされ、液圧バルブがシャットオフされる。
【0005】
典型的には、監視プログラムが一次システムおよび/またはその機能の出力を
検査し、固有の設計基準に基づいて、システム/機能が正しく作動/実行してい
るかどうかを判定する。一般に、偶発的な障害の検出は、システム(例えば、ア
クチュエータ)/機能(例えば、ソフトウェア・シーケンス)の種々の部分を動
かし、その結果と既知の良好な結果とを比較するカスタム設計のビルトイン・セ
ルフテスト・プログラムを用いて増加されている。これらのテストは連続的では
なく、カバーするのは偶発的故障の100%未満になりやすいために、曝露時間
が存在し、この曝露時間において、故障が発生でき、これは、そのリソースに依
存するすべての機能に対しての誤った出力において自身を明らかにする。ウォッ
チドッグ・タイマは通常、結果的にその機能を全く実行しないようにさせる故障
を検出するために存在する。しかし、そのようなタイマは、実行を完全に行う機
能からは誤った結果を検出しない。監視機能は、一般にはエラー状態を検出する
ために期待されている。
検査し、固有の設計基準に基づいて、システム/機能が正しく作動/実行してい
るかどうかを判定する。一般に、偶発的な障害の検出は、システム(例えば、ア
クチュエータ)/機能(例えば、ソフトウェア・シーケンス)の種々の部分を動
かし、その結果と既知の良好な結果とを比較するカスタム設計のビルトイン・セ
ルフテスト・プログラムを用いて増加されている。これらのテストは連続的では
なく、カバーするのは偶発的故障の100%未満になりやすいために、曝露時間
が存在し、この曝露時間において、故障が発生でき、これは、そのリソースに依
存するすべての機能に対しての誤った出力において自身を明らかにする。ウォッ
チドッグ・タイマは通常、結果的にその機能を全く実行しないようにさせる故障
を検出するために存在する。しかし、そのようなタイマは、実行を完全に行う機
能からは誤った結果を検出しない。監視機能は、一般にはエラー状態を検出する
ために期待されている。
【0006】
必要とされているのは、故障に対してシステムを監視し、かつ、故障を捉えて
、関連する出力を、システム内に制御入力として伝達する前に、シャットダウン
するか又は無視することを確実なものとする、ロバストで安全な手段である。
、関連する出力を、システム内に制御入力として伝達する前に、シャットダウン
するか又は無視することを確実なものとする、ロバストで安全な手段である。
【0007】
発明の概要
本発明の以下の概要は本発明に固有の画期的な特徴のいくつかの理解を高める
ために提供されるものであり、完全な説明を意図したものではない。本発明の種
々の態様の完全な理解は、明細書全体、特許請求の範囲、図面および要約を全体
として考慮することによって達成される。
ために提供されるものであり、完全な説明を意図したものではない。本発明の種
々の態様の完全な理解は、明細書全体、特許請求の範囲、図面および要約を全体
として考慮することによって達成される。
【0008】
統合されたモジュールの技術を用いて、別個のプロセッサおよび/または関連
するオペレーションは単一の計算プラットフォームに統合されて、処理の監視を
改善し、かつ、通常は別のコンポーネントに実施されるか又は独立して制御され
る処理を介して実行されるシャットダウンの制御を可能にする。
するオペレーションは単一の計算プラットフォームに統合されて、処理の監視を
改善し、かつ、通常は別のコンポーネントに実施されるか又は独立して制御され
る処理を介して実行されるシャットダウンの制御を可能にする。
【0009】
本発明の一態様によれば、パーティショニング・システムを介して、共有され
る計算プラットフォームとしての埋め込み(仮想)プロセッサの中央セットを可
能にする、区分(パーティション)されたプラットフォームを提供するバックプ
レーンを有する単一のコンピュータ(複数のコンピュータではない)は、1つの
コンピュータではなく複数のプロセッサが作動しているかのように、ソフトウェ
アの機能を実行することが可能である。仮想プロセッサは、区分機構を介して互
いに保護/隔離されるので、この統合されたプラットフォームの或るソフトウェ
ア・エレメントの故障は伝搬されることはなく、別のプロセッサおよび/または
計算に影響を及ぼすことはない。
る計算プラットフォームとしての埋め込み(仮想)プロセッサの中央セットを可
能にする、区分(パーティション)されたプラットフォームを提供するバックプ
レーンを有する単一のコンピュータ(複数のコンピュータではない)は、1つの
コンピュータではなく複数のプロセッサが作動しているかのように、ソフトウェ
アの機能を実行することが可能である。仮想プロセッサは、区分機構を介して互
いに保護/隔離されるので、この統合されたプラットフォームの或るソフトウェ
ア・エレメントの故障は伝搬されることはなく、別のプロセッサおよび/または
計算に影響を及ぼすことはない。
【0010】
本発明の別の態様によれば、単一プロセッサの複数の独立した区分(パーティ
ション)でバスを介して複数の信号経路を通じてデータ信号を伝達するシステム
に用いる故障検出装置が提供される。共有メモリは基準の制御システム状態変数
パラメータの状態を記憶する。状態モニタは、リアルタイムの制御システム状態
変数パラメータの状態を監視し、このリアルタイム制御システム状態変数パラメ
ータは、バス上で通信を行う複数のクリティカル・システムを特徴付けるもので
あり、この制御システム状態変数はバスに存在している。状態比較器(状態コン
パレータ)は、リアルタイムの制御システム状態変数パラメータに関して基準の
制御システム状態変数を比較する。システム・コントローラは、基準の制御シス
テム状態変数パラメータに対するリアルタイムの制御システム状態変数パラメー
タに基づいてクリティカル・システムを制御する。
ション)でバスを介して複数の信号経路を通じてデータ信号を伝達するシステム
に用いる故障検出装置が提供される。共有メモリは基準の制御システム状態変数
パラメータの状態を記憶する。状態モニタは、リアルタイムの制御システム状態
変数パラメータの状態を監視し、このリアルタイム制御システム状態変数パラメ
ータは、バス上で通信を行う複数のクリティカル・システムを特徴付けるもので
あり、この制御システム状態変数はバスに存在している。状態比較器(状態コン
パレータ)は、リアルタイムの制御システム状態変数パラメータに関して基準の
制御システム状態変数を比較する。システム・コントローラは、基準の制御シス
テム状態変数パラメータに対するリアルタイムの制御システム状態変数パラメー
タに基づいてクリティカル・システムを制御する。
【0011】
本発明の別の態様によれば、1つより多くのフライト・コントロール・ソフト
ウェアに関連するプロセスが単一区分されたプロセッサで同時に作動するところ
での、1つより多くのフライト・クリティカル・プロセスを操作、監視、および
制御するように区分化(パーティショニング)された単一プロセッサ・システム
が記載されている。区分機構は、単一プロセッサを、他のプロセスから干渉され
ることなく単一プロセスに専用とされる仮想プロセッサへと区分する。また、共
有メモリは、前記の1つより多くのフライト・コントロール・ソフトウェアに関
連するプロセスのためのプログラムおよびデータを格納する。
ウェアに関連するプロセスが単一区分されたプロセッサで同時に作動するところ
での、1つより多くのフライト・クリティカル・プロセスを操作、監視、および
制御するように区分化(パーティショニング)された単一プロセッサ・システム
が記載されている。区分機構は、単一プロセッサを、他のプロセスから干渉され
ることなく単一プロセスに専用とされる仮想プロセッサへと区分する。また、共
有メモリは、前記の1つより多くのフライト・コントロール・ソフトウェアに関
連するプロセスのためのプログラムおよびデータを格納する。
【0012】
本発明の別の態様によれば、単一プロセッサ・システムを用いて複数の機能を
実行、監視、および制御する方法が記載されており、そこにおいて、同時に作動
しかつ他のプロセスに干渉することのない複数のオペレーティング・プロセスに
区分化可能な単一プロセッサが提供される。メモリは複数のオペレーティング・
プロセスに共有されてよい。前記プロセスのオペレーションの成功および失敗を
検出する監視アーキテクチャが提供される。失敗したプロセスが成功したプロセ
スに干渉されることなく制御されるか又は終了させられることを確実なものとす
る制御アーキテクチャが提供される。
実行、監視、および制御する方法が記載されており、そこにおいて、同時に作動
しかつ他のプロセスに干渉することのない複数のオペレーティング・プロセスに
区分化可能な単一プロセッサが提供される。メモリは複数のオペレーティング・
プロセスに共有されてよい。前記プロセスのオペレーションの成功および失敗を
検出する監視アーキテクチャが提供される。失敗したプロセスが成功したプロセ
スに干渉されることなく制御されるか又は終了させられることを確実なものとす
る制御アーキテクチャが提供される。
【0013】
本発明の画期的な特徴は、以下の本発明の詳細な説明を検証すれば当業者には
明らかになり、また、本発明を実施することにより理解される。しかし、本発明
の詳細な説明および示された特定の実施形態は、本発明の特定の実施形態を示し
ているが、単に説明の目的で示されたものであり、これは本発明の精神および範
囲内で種々の変更および変形が可能であることが本発明の詳細な説明およびそれ
に従った特許請求の範囲から当業者には明らかになるためである。
明らかになり、また、本発明を実施することにより理解される。しかし、本発明
の詳細な説明および示された特定の実施形態は、本発明の特定の実施形態を示し
ているが、単に説明の目的で示されたものであり、これは本発明の精神および範
囲内で種々の変更および変形が可能であることが本発明の詳細な説明およびそれ
に従った特許請求の範囲から当業者には明らかになるためである。
【0014】
各々の図面を通して同様の参照番号は同一または機能的に同様のコンポーネン
トを意味し、本明細書に組み入れられその一部を形成する添付図面はさらに本発
明を説明し、かつ本発明の詳細な説明と共に本発明の原理を説明するのに役立つ
。
トを意味し、本明細書に組み入れられその一部を形成する添付図面はさらに本発
明を説明し、かつ本発明の詳細な説明と共に本発明の原理を説明するのに役立つ
。
【0015】
発明の実施の形態
本発明の態様は高クリティカリティのプロセスを監視するシステムおよび方法
を提供する。ソフトウェアまたはハードウェアの一部が故障していても、本発明
に記載した監視は、故障を検出し、続いてシステムから命令を出さずにそのシス
テムをシャットダウンするように作動する。本発明は、故障(1または複数)が
生じた個所の近傍から故障を隔離することを可能にする。すなわち、故障は、本
発明の教示を利用したシステムを通過しにくく又はこのシステムから外へ出にく
く、かつ他のコンポーネントおよび/またはオペレーションに伝わりにくいこと
を意味する。
を提供する。ソフトウェアまたはハードウェアの一部が故障していても、本発明
に記載した監視は、故障を検出し、続いてシステムから命令を出さずにそのシス
テムをシャットダウンするように作動する。本発明は、故障(1または複数)が
生じた個所の近傍から故障を隔離することを可能にする。すなわち、故障は、本
発明の教示を利用したシステムを通過しにくく又はこのシステムから外へ出にく
く、かつ他のコンポーネントおよび/またはオペレーションに伝わりにくいこと
を意味する。
【0016】
以下の開示はエビオニクス・システムに言及したものであるが、本発明はクリ
ティカル処理システム(例えば、医療システム)の分野においてより広い適用性
を有すことができることは理解されるべきである。実施形態において論じた特定
の値およびコンフィギュレーションは変更可能であり、本発明の実施形態を説明
するためにのみ言及したものであり、本発明の範囲を限定することを意図したも
のではない。航空工学システムに対しての何れの参照も、本明細書で示した教示
の範囲および添付の特許請求の範囲内での具体化を限定するものとして使用され
るべきでない。
ティカル処理システム(例えば、医療システム)の分野においてより広い適用性
を有すことができることは理解されるべきである。実施形態において論じた特定
の値およびコンフィギュレーションは変更可能であり、本発明の実施形態を説明
するためにのみ言及したものであり、本発明の範囲を限定することを意図したも
のではない。航空工学システムに対しての何れの参照も、本明細書で示した教示
の範囲および添付の特許請求の範囲内での具体化を限定するものとして使用され
るべきでない。
【0017】
図1を参照すると、本発明の教示によると、監視プログラミングは、スタンド
・アロン・システムまたは遠隔制御ソリューションの形態をとるのではなく、単
一の計算プラットフォーム101のアクティブ・システム・コンポーネントへプ
ログラムされてよい。仮想計算コンポーネント102は、独立した機能を実行し
、パーティショニング機構104の一部としてバス103(例えば、特許第5,
386,424号に定められたSAFEbus(R)のようなバス)を介して互
いに通信を行う。
・アロン・システムまたは遠隔制御ソリューションの形態をとるのではなく、単
一の計算プラットフォーム101のアクティブ・システム・コンポーネントへプ
ログラムされてよい。仮想計算コンポーネント102は、独立した機能を実行し
、パーティショニング機構104の一部としてバス103(例えば、特許第5,
386,424号に定められたSAFEbus(R)のようなバス)を介して互
いに通信を行う。
【0018】
本発明は、単一プロセスの実行の完了または出力の有効性の実行を単に監視す
ることを越えて、故障検出能力へと広がっている。モジュール完了監視のための
従来のチケット・チェッキング機構のインプリメンテーションを実施することが
できるが、それは不用である。本発明は、個々の状態変数の更新を、制御法則お
よび/またはモード論理内で監視する能力を有している。制御法則およびモード
論理は一般に、特定のフライト・システムに基づいて当業者に知られている方法
で決定される。本発明の監視は、全体的な処理完了を監視するのではなく、個々
の変数の再計算および更新に基づくものである。これは、オートコード・ソフト
ウェアの監視を容易にし、テストおよび監視の管理だけのためにソフトウェア・
ブロックを小さなモジュールに分割することを不要にし、冗長な管理の努力を単
純化する。
ることを越えて、故障検出能力へと広がっている。モジュール完了監視のための
従来のチケット・チェッキング機構のインプリメンテーションを実施することが
できるが、それは不用である。本発明は、個々の状態変数の更新を、制御法則お
よび/またはモード論理内で監視する能力を有している。制御法則およびモード
論理は一般に、特定のフライト・システムに基づいて当業者に知られている方法
で決定される。本発明の監視は、全体的な処理完了を監視するのではなく、個々
の変数の再計算および更新に基づくものである。これは、オートコード・ソフト
ウェアの監視を容易にし、テストおよび監視の管理だけのためにソフトウェア・
ブロックを小さなモジュールに分割することを不要にし、冗長な管理の努力を単
純化する。
【0019】
図2を参照すると、例示的実施形態は、サーボ機構(図示せず)の監視と、監
視の結果に応じてIOC20を介してシャットダウンとを提供する。バス・イン
タフェース・ユニット(BIU)24とインタモジュール・メモリ(IMM)1
4および22とを備えたSAFEbus(R)バックプレーン50は、サーボ・
ループ出力電子回路60およびSVOposフィードバック15に向けられる離
散的な(個別の)シャットダウン信号が追加されるものであり、プロセス完了、
CPM健康状態、IOC健康状態、DSP健康状態、およびサーボ・ループ閉な
どを監視するのに有用な機構を提供する。この結果は、CMP10パーティショ
ン故障からの保護のみならず、入力/出力コントローラ(IOC)20およびサ
ーボ駆動エレクトロニクス(図示せず)等の残りのループ・エレメントの故障か
らの保護を提供するソリューションである。
視の結果に応じてIOC20を介してシャットダウンとを提供する。バス・イン
タフェース・ユニット(BIU)24とインタモジュール・メモリ(IMM)1
4および22とを備えたSAFEbus(R)バックプレーン50は、サーボ・
ループ出力電子回路60およびSVOposフィードバック15に向けられる離
散的な(個別の)シャットダウン信号が追加されるものであり、プロセス完了、
CPM健康状態、IOC健康状態、DSP健康状態、およびサーボ・ループ閉な
どを監視するのに有用な機構を提供する。この結果は、CMP10パーティショ
ン故障からの保護のみならず、入力/出力コントローラ(IOC)20およびサ
ーボ駆動エレクトロニクス(図示せず)等の残りのループ・エレメントの故障か
らの保護を提供するソリューションである。
【0020】
図2に示したサーボ・シャットダウン機構はフライト(飛行)・クリティカル
・システムである。この図に示した実施形態は、サーボ・シャットダウン用の二
つの経路を提供している。経路の1つは、CPM10およびその命令(コマンド
)/応答の健康状態(ヘルス)の判定を含んでいる。持続的な故障が検出される
と、DSP30の監視またはCPM10の性能監視は、結果として、離散的な信
号をHブリッジ・ディスエーブル・モジュール40へ送ってその現在の出力をシ
ャットダウンする。第2の経路は、サーボ・シャットオフ・バルブ60への、I
OC20上の個別ディスクリートを介してCPM制御されるものである。これら
2つの個別の経路を実施することによって、サーボのシャットダウンが単一の故
障によって無効にされない。
・システムである。この図に示した実施形態は、サーボ・シャットダウン用の二
つの経路を提供している。経路の1つは、CPM10およびその命令(コマンド
)/応答の健康状態(ヘルス)の判定を含んでいる。持続的な故障が検出される
と、DSP30の監視またはCPM10の性能監視は、結果として、離散的な信
号をHブリッジ・ディスエーブル・モジュール40へ送ってその現在の出力をシ
ャットダウンする。第2の経路は、サーボ・シャットオフ・バルブ60への、I
OC20上の個別ディスクリートを介してCPM制御されるものである。これら
2つの個別の経路を実施することによって、サーボのシャットダウンが単一の故
障によって無効にされない。
【0021】
CPM10は、CPM10モジュールにおけるアルゴリズムとして示される単
純な制御法則を実行しており、すべての状態変数A、BおよびC(3つの変数を
示しているが、変数の数はいくつでもよい)がIMM14に配される。この状態
変数A、BおよびCは、ピッチ・スティック、信号の選択および監視、およびピ
ッチ・インテグラル等の状態変数を表している。SAFEBUS(R)アーキテ
クチャは、一般に、状態変数A、BおよびCを、SAFEBUS(R)を介して
他のVMSチャネルへ伝送するために、IMM14内に置くことを要求する。こ
れらの変数は既にSAFEBUS(R)に配されているので、次に、IOC20
のSAFEBUS(R)テーブル・メモリは、「新鮮度の監視」のためにキー変
数(例えば、ピッチ・スティック、信号の選択および監視、およびピッチ積分等
)を選択するように指定される。新鮮度の監視とは、入力データが古い(例えば
、タイム・タグが付いたデータによって判定されるように更新されていない)こ
とに言及する。このコマンドまたはキー変数が更新されないと、IOC20は、
Hブリッジ・カットオフ40を通じて離散的信号を発行することによって、サー
ボ・コマンドをディスエーブルにする。逆に、IOC20、DSP30またはサ
ーボ・ループ・クロージャにおいて故障が発生した場合、CPM10は、SVO
位置15フィードバックにおいてコマンド位置エラーまたはデータ鮮度欠如のい
ずれかを検出する。この場合、CPM10は、Hブリッジ・カットオフ40を介
してサーボ・コマンドに対しての直接的離散的ディスエーブルを発行する。
純な制御法則を実行しており、すべての状態変数A、BおよびC(3つの変数を
示しているが、変数の数はいくつでもよい)がIMM14に配される。この状態
変数A、BおよびCは、ピッチ・スティック、信号の選択および監視、およびピ
ッチ・インテグラル等の状態変数を表している。SAFEBUS(R)アーキテ
クチャは、一般に、状態変数A、BおよびCを、SAFEBUS(R)を介して
他のVMSチャネルへ伝送するために、IMM14内に置くことを要求する。こ
れらの変数は既にSAFEBUS(R)に配されているので、次に、IOC20
のSAFEBUS(R)テーブル・メモリは、「新鮮度の監視」のためにキー変
数(例えば、ピッチ・スティック、信号の選択および監視、およびピッチ積分等
)を選択するように指定される。新鮮度の監視とは、入力データが古い(例えば
、タイム・タグが付いたデータによって判定されるように更新されていない)こ
とに言及する。このコマンドまたはキー変数が更新されないと、IOC20は、
Hブリッジ・カットオフ40を通じて離散的信号を発行することによって、サー
ボ・コマンドをディスエーブルにする。逆に、IOC20、DSP30またはサ
ーボ・ループ・クロージャにおいて故障が発生した場合、CPM10は、SVO
位置15フィードバックにおいてコマンド位置エラーまたはデータ鮮度欠如のい
ずれかを検出する。この場合、CPM10は、Hブリッジ・カットオフ40を介
してサーボ・コマンドに対しての直接的離散的ディスエーブルを発行する。
【0022】
バス50のバックプレーン上で転送されるすべてのデータは、データを伝送す
るモジュール、すなわちCPM10またはIOC20によって、そのローカルI
MM(例えば、14または22)へ送られる。各モジュールのバス・インタフェ
ース・ユニット(BIU)は、ローカルIMMからデータをバス50のバックプ
レーンへ転送する。その受信側では、BIUは再度バスからのデータを受信し、
それをそのローカルIMMに配する。SAFEBUS(R)標準の重要な特徴の
1つは、最後の送信以来IMMにおいて更新されていないデータが次の計画され
た送信の間に再度バス50に配されないことを要求する。IMMのすべてのデー
タは、データ・アイテムのライターによってタイム・スタンプが付けられる。こ
のデータを使用するプロセスは、単に、入力データが古いものかどうか、すなわ
ち更新されていないかどうかを判定するためにタイム・スタンプをチェックする
ことを必要とする。SAFEBUS(R)システムによって提供されたこの古さ
の検出は、CPM10の健康状態を監視するためにIOC20が使用する新鮮度
監視を提供する。
るモジュール、すなわちCPM10またはIOC20によって、そのローカルI
MM(例えば、14または22)へ送られる。各モジュールのバス・インタフェ
ース・ユニット(BIU)は、ローカルIMMからデータをバス50のバックプ
レーンへ転送する。その受信側では、BIUは再度バスからのデータを受信し、
それをそのローカルIMMに配する。SAFEBUS(R)標準の重要な特徴の
1つは、最後の送信以来IMMにおいて更新されていないデータが次の計画され
た送信の間に再度バス50に配されないことを要求する。IMMのすべてのデー
タは、データ・アイテムのライターによってタイム・スタンプが付けられる。こ
のデータを使用するプロセスは、単に、入力データが古いものかどうか、すなわ
ち更新されていないかどうかを判定するためにタイム・スタンプをチェックする
ことを必要とする。SAFEBUS(R)システムによって提供されたこの古さ
の検出は、CPM10の健康状態を監視するためにIOC20が使用する新鮮度
監視を提供する。
【0023】
コア・オペレーティング・システム・ソフトウェア(図1の単一計算プラット
フォーム層101内で区切られた状態で記載されている)が、すべてのCPMプ
ロセスの完了を監視してよい。故障に対する反応は、このオペレーティング・シ
ステムによって決定され、結果的には、故障が継続している場合には、処理が再
試行されるかまたは終了され得る。次に、コア・オペレーティング・システム・
ソフトウェアの実行はクリティカルなものである。コア・ソフトウェアが適切な
間隔で確実に実行することを保証するように、CPM10に組み込まれたハード
ウェア・ハートビート・モニタが用いられてよい。このハートビート・モニタが
故障した場合、CPM10は休止し再初期設定を試行する。この動作の正味の結
果は、単一プロセスが失敗した場合の状態(例えば、古いデータがIOC20に
よって検出され、サーボ・ループがシャットダウンされた場合)と同じものにな
るであろう。
フォーム層101内で区切られた状態で記載されている)が、すべてのCPMプ
ロセスの完了を監視してよい。故障に対する反応は、このオペレーティング・シ
ステムによって決定され、結果的には、故障が継続している場合には、処理が再
試行されるかまたは終了され得る。次に、コア・オペレーティング・システム・
ソフトウェアの実行はクリティカルなものである。コア・ソフトウェアが適切な
間隔で確実に実行することを保証するように、CPM10に組み込まれたハード
ウェア・ハートビート・モニタが用いられてよい。このハートビート・モニタが
故障した場合、CPM10は休止し再初期設定を試行する。この動作の正味の結
果は、単一プロセスが失敗した場合の状態(例えば、古いデータがIOC20に
よって検出され、サーボ・ループがシャットダウンされた場合)と同じものにな
るであろう。
【0024】
図3を参照すると、IOC20で起こるであろう監視プロセスのフローチャー
トが記載されている。このコントローラは、バックプレーンに沿って通過した情
報を通じて、IMMからデータを読み取り401、データが新鮮かどうかを決定
する402。データが新鮮でない(更新されていない)場合、Hブリッジ・カッ
トオフを介してシャットダウンが起動(活性化)される403。IMMは更新を
調べ続け、カットオフが起動されたかどうかを判定する404。IMMによって
受信されたデータが更新されると402、オペレーティング機構の可変の合理性
が判定される405。IMMが制御法則を用いてこのデータをチェックした後に
非合理的であると判定すると、Hブリッジ・カットオフが開始され403、IM
Mは再び更新を受信する401。そうでなく、合理的であると判定されると、サ
ーボ・ループに対してサーボ命令が書き込まれ406、フィードバックがIMM
へ供給される407。フィードバックはバスを介しており、IOコントローラに
達してHブリッジを通じてコマンドを実際に駆動する。これがチェックの監視セ
ットをクリアすると、CPMはそのデータをセットし、再度これらのHブリッジ
がアクティブにされる。
トが記載されている。このコントローラは、バックプレーンに沿って通過した情
報を通じて、IMMからデータを読み取り401、データが新鮮かどうかを決定
する402。データが新鮮でない(更新されていない)場合、Hブリッジ・カッ
トオフを介してシャットダウンが起動(活性化)される403。IMMは更新を
調べ続け、カットオフが起動されたかどうかを判定する404。IMMによって
受信されたデータが更新されると402、オペレーティング機構の可変の合理性
が判定される405。IMMが制御法則を用いてこのデータをチェックした後に
非合理的であると判定すると、Hブリッジ・カットオフが開始され403、IM
Mは再び更新を受信する401。そうでなく、合理的であると判定されると、サ
ーボ・ループに対してサーボ命令が書き込まれ406、フィードバックがIMM
へ供給される407。フィードバックはバスを介しており、IOコントローラに
達してHブリッジを通じてコマンドを実際に駆動する。これがチェックの監視セ
ットをクリアすると、CPMはそのデータをセットし、再度これらのHブリッジ
がアクティブにされる。
【0025】
図4に示したプロセスを参照すると、コア処理モジュール内で、サーボ位置デ
ータが受信され501、そのデータが更新されているか否かが判定される502
。アクチュエータが移動しているデータは、コア・プロセッサへのSAFEBU
S(R)上のIOCに戻る。これはバス・メモリからこれらの位置を読み取って
、それが新鮮なデータであったか否かをチェックし、新鮮なものでない場合は、
それはまた、Hブリッジ・カットオフ・バルブを介して安全なシャットダウンを
活動化させることができるであろう同じプロセスを行う503。そうでない場合
は、この計算が正確に行われたかを監視するのと反対に、このデータは、サーボ
・ループが正確に作動している(閉じられている)ことを確かなものとするため
に、監視される505。正確に作動していない場合、Hブリッジ・カットオフが
再び開始される503。正確に作動していると判定された場合、次のコマンドが
図3の推定の比較に入る。
ータが受信され501、そのデータが更新されているか否かが判定される502
。アクチュエータが移動しているデータは、コア・プロセッサへのSAFEBU
S(R)上のIOCに戻る。これはバス・メモリからこれらの位置を読み取って
、それが新鮮なデータであったか否かをチェックし、新鮮なものでない場合は、
それはまた、Hブリッジ・カットオフ・バルブを介して安全なシャットダウンを
活動化させることができるであろう同じプロセスを行う503。そうでない場合
は、この計算が正確に行われたかを監視するのと反対に、このデータは、サーボ
・ループが正確に作動している(閉じられている)ことを確かなものとするため
に、監視される505。正確に作動していない場合、Hブリッジ・カットオフが
再び開始される503。正確に作動していると判定された場合、次のコマンドが
図3の推定の比較に入る。
【0026】
上記の実施形態は、パーティション/プロセス故障の初期の争点だけでなく、
当然、実施形態のみとしてサーボ・コマンドを生成するのに用いられる処理エレ
メントのすべてを含んだ、全体的な監視アプローチに拡がるものである。SAF
EBUS(R)バックプレーン、コア・オペレーティング・システム・ソフトウ
ェア、および状態変数転送は既に実施されているので、監視スキームに対するオ
ーバーヘッドは事実上存在しない。この機構はまた、オートコード・ソフトウェ
アに対する非常にロバストでありかつ衝撃が最小の監視を提供する。
当然、実施形態のみとしてサーボ・コマンドを生成するのに用いられる処理エレ
メントのすべてを含んだ、全体的な監視アプローチに拡がるものである。SAF
EBUS(R)バックプレーン、コア・オペレーティング・システム・ソフトウ
ェア、および状態変数転送は既に実施されているので、監視スキームに対するオ
ーバーヘッドは事実上存在しない。この機構はまた、オートコード・ソフトウェ
アに対する非常にロバストでありかつ衝撃が最小の監視を提供する。
【0027】
本明細書に記載した実施形態および例は本発明およびその実用例を最もよく説
明し、かつそれによって当業者が本発明を製造しかつ利用できるようにするため
に示したものである。しかし、当業者であれば、上記の説明および実施形態が例
証および実施形態のみを目的として示されたものであることを理解するであろう
。上記の説明は本発明を完全にすることを意図したのものでなく、または本発明
を開示した形態そのものに制限することを意図したものではない。本明細書の特
許請求の範囲から逸脱することなく上記の教示に鑑みて、多くの変形および変更
が可能である。
明し、かつそれによって当業者が本発明を製造しかつ利用できるようにするため
に示したものである。しかし、当業者であれば、上記の説明および実施形態が例
証および実施形態のみを目的として示されたものであることを理解するであろう
。上記の説明は本発明を完全にすることを意図したのものでなく、または本発明
を開示した形態そのものに制限することを意図したものではない。本明細書の特
許請求の範囲から逸脱することなく上記の教示に鑑みて、多くの変形および変更
が可能である。
【0028】
本明細書に記載した実施形態および例は本発明およびその実用例を最もよく説
明し、かつそれによって当業者が本発明を製造しかつ利用できるようにするため
に示したものである。しかし、当業者であれば、上記の説明および実施形態が例
証および実施形態のみを目的として示されたものであることを理解するであろう
。本発明の他の変更および変形が可能であることは当業者には明白であろうし、
そのような変更および変形を範囲に含むことが添付の特許請求の範囲の意図であ
る。上記の説明は本発明を網羅したものでなく、または本発明の範囲を限定する
ことを意図したものではない。本明細書の特許請求の範囲から逸脱することなく
上記の教示に鑑みて、多くの変形および変更が可能である。本発明の使用は、原
理、即ち、個々の状態変数の監視能力の呈示に従う限り、異なる特性を有するコ
ンポーネントを含むことが可能であることが考慮される。本発明の範囲は特許請
求の範囲によって定められることを意図している。
明し、かつそれによって当業者が本発明を製造しかつ利用できるようにするため
に示したものである。しかし、当業者であれば、上記の説明および実施形態が例
証および実施形態のみを目的として示されたものであることを理解するであろう
。本発明の他の変更および変形が可能であることは当業者には明白であろうし、
そのような変更および変形を範囲に含むことが添付の特許請求の範囲の意図であ
る。上記の説明は本発明を網羅したものでなく、または本発明の範囲を限定する
ことを意図したものではない。本明細書の特許請求の範囲から逸脱することなく
上記の教示に鑑みて、多くの変形および変更が可能である。本発明の使用は、原
理、即ち、個々の状態変数の監視能力の呈示に従う限り、異なる特性を有するコ
ンポーネントを含むことが可能であることが考慮される。本発明の範囲は特許請
求の範囲によって定められることを意図している。
【図1】
図1は、本発明に従った、複数の処理機能を仮想的に表す単一コンピュータを
用いた、統合されたモジュラ方式エビオニクス・パーティション保護を示すブロ
ック図である。
用いた、統合されたモジュラ方式エビオニクス・パーティション保護を示すブロ
ック図である。
【図2】
図2は、本発明の一実施形態のサーボ故障シャットダウン機構を示す。
【図3】
図3は、入力/出力モジュール(IOM)のサーボ監視プロセスを示す。
【図4】
図4は、コア処理モジュール(CPM)用のサーボ監視プロセスを示す。
─────────────────────────────────────────────────────
フロントページの続き
(81)指定国 EP(AT,BE,CH,CY,
DE,DK,ES,FI,FR,GB,GR,IE,I
T,LU,MC,NL,PT,SE,TR),OA(BF
,BJ,CF,CG,CI,CM,GA,GN,GW,
ML,MR,NE,SN,TD,TG),AP(GH,G
M,KE,LS,MW,MZ,SD,SL,SZ,TZ
,UG,ZW),EA(AM,AZ,BY,KG,KZ,
MD,RU,TJ,TM),AE,AG,AL,AM,
AT,AU,AZ,BA,BB,BG,BR,BY,B
Z,CA,CH,CN,CR,CU,CZ,DE,DK
,DM,DZ,EE,ES,FI,GB,GD,GE,
GH,GM,HR,HU,ID,IL,IN,IS,J
P,KE,KG,KP,KR,KZ,LC,LK,LR
,LS,LT,LU,LV,MA,MD,MG,MK,
MN,MW,MX,MZ,NO,NZ,PL,PT,R
O,RU,SD,SE,SG,SI,SK,SL,TJ
,TM,TR,TT,TZ,UA,UG,US,UZ,
VN,YU,ZA,ZW
(72)発明者 グーセン,エムレイ・レイン
アメリカ合衆国ニューメキシコ州87123,
アルバカーキ,ランチ・トレイル・サウス
イースト 1604
Fターム(参考) 5H209 AA09 CC09 DD01 EE11 EE18
GG01 HH14
5H223 AA09 EE04 EE17 EE30
Claims (19)
- 【請求項1】 システムの計算モジュールとI/Oモジュールを接続するバ
スを介して少なくとも1つの信号経路を通じてデータ信号を送るシステムで用い
る故障検出の装置であって、 リアルタイムの制御システム状態変数パラメータの有効性を監視する状態モニ
タであって、前記制御システム状態変数パラメータは、前記バスで通信を行う複
数のクリティカル・システムを特徴付けするものであり、前記制御システム状態
変数は前記バスに在るものである、状態モニタと、 予測されるシステム状態変数の状態に関して、基準の制御システム状態変数を
比較する状態コンパレータと、 予測される個々の状態変数の状態に基づいて出力コマンドの有効性を確認する
変数生成コントローラおよび変数消費コントローラと、 状態変数パラメータを記憶するメモリと を備える装置。 - 【請求項2】 請求項1に記載の装置であって、前記システムのコントロー
ラが、故障したクリティカル・システムを、同じモジュールで実行されている他
のクリティカル・システムのオペレーションに影響を及ぼさずに、基準の制御シ
ステム状態変数パラメータに対しての前記リアルタイムの制御システム状態変数
パラメータの前記比較に基づいて、終了することを更に備える、装置。 - 【請求項3】 請求項1に記載の装置であって、前記状態モニタは、個々の
計算パーティション内またはプロセス内の故障を監視するように動作する、装置
。 - 【請求項4】 請求項1に記載の装置であって、前記状態モニタは、監視の
ためのキー制御システム状態変数パラメータを選択するように動作する、装置。 - 【請求項5】 請求項1に記載の装置であって、前記システムのコントロー
ラは、基準の制御システム状態変数パラメータに対しての前記リアルタイムの制
御システム状態変数パラメータの前記比較の結果として、前記基準の制御システ
ム状態変数パラメータに関して予測されなかった値が得られた場合に、前記クリ
ティカル・システムのプロセスの任意のものを終了させるように動作する、装置
。 - 【請求項6】 請求項1に記載の装置であって、前記モニタが完全なクリテ
ィカル閉ループ監視を提供し、前記コントローラが制御ループ内で終了を提供す
る、装置。 - 【請求項7】 請求項1に記載の装置であって、内部の計算の状態変数が、
機能の計算の中間ステップを独立して監視するために、独立したパーティション
、プロセス、またはモジュールに対して利用可能とされる、装置。 - 【請求項8】 1つより多くのフライト・クリティカル・プロセスを操作、
監視、および制御するように区分された単一プロセッサ・システムのための故障
検出のシステムであって、 1つより多くのフライト・コントロール・ソフトウェア関連プロセスを同時に
動作させる単一区分にされたプロセッサと、 前記プロセッサ内で動作するリアルタイムの制御システム状態変数パラメータ
の有効性を監視する状態モニタであって、前記制御システム状態変数パラメータ
は、少なくとも1つのバスを介して通信を行う複数のクリティカル・システムを
特徴付けするものであり、前記制御システム状態変数パラメータが前記少なくと
も1つのバス上に在るものである、状態モニタと、 予測されるシステム状態変数の状態に関して、基準の制御システム状態変数を
比較する状態コンパレータと、 予測される個々の状態変数の状態に基づいて出力コマンドの有効性を確認する
変数生成コントローラおよび変数消費コントローラと、 状態変数パラメータを記憶するメモリと を備えるシステム。 - 【請求項9】 請求項8に記載のシステムであって、前記システムのコント
ローラが、故障したクリティカル・システムを、同じモジュールで実行されてい
る他のクリティカル・システムのオペレーションに影響を及ぼさずに、基準の制
御システム状態変数パラメータに対しての前記リアルタイムの制御システム状態
変数パラメータの前記比較に基づいて、終了することを更に備える、システム。 - 【請求項10】 請求項8に記載の装置であって、前記状態モニタは、個々
の計算パーティション内またはプロセス内の故障を監視するように動作する、シ
ステム。 - 【請求項11】 請求項8に記載のシステムであって、前記状態モニタは、
監視のためのキー制御システム状態変数パラメータを選択するように動作する、
システム。 - 【請求項12】 請求項8に記載の装置であって、前記システムのコントロ
ーラは、基準の制御システム状態変数パラメータに対しての前記リアルタイムの
制御システム状態変数パラメータの前記比較の結果として、前記基準の制御シス
テム状態変数パラメータに関して予測されなかった値が得られた場合に、前記ク
リティカル・システムのプロセスの任意のものを終了させるように動作する、シ
ステム。 - 【請求項13】 請求項8に記載の装置であって、前記モニタが完全なクリ
ティカル閉ループ監視を提供し、前記コントローラが制御ループ内で終了を提供
する、システム。 - 【請求項14】 請求項8に記載の装置であって、内部の計算の状態変数が
、機能の計算の中間ステップを独立して監視するために、独立したパーティショ
ン、プロセス、またはモジュールに対して利用可能とされる、システム。 - 【請求項15】 システムの計算モジュールおよびI/Oモジュールを接続
するバスを介して少なくとも1つの信号経路を通じてデータ信号を送信する単一
プロセッサ・システム内で複数の機能を実行、監視、および制御するシステム内
での故障検出の方法であって、 リアルタイムの制御システム状態変数パラメータの状態を監視するステップで
あって、前記制御システム状態変数パラメータが、前記バスで通信を行う複数の
クリティカル・システムを特徴付け、前記制御システム状態変数パラメータが前
記バス上に在るものである、監視するステップと、 予測されるシステム状態変数の状態に関して、基準の制御システム状態変数を
比較するステップと、 予測された個々の状態変数の状態に基づいて、出力コマンドの有効性を確認す
るステップと を備える方法。 - 【請求項16】 請求項15に記載の方法であって、前記出力コマンドの有
効性がメモリに格納される、方法。 - 【請求項17】 請求項15に記載の方法であって、前記予測されるシステ
ム状態変数の状態がメモリから取り出される、方法。 - 【請求項18】 請求項15に記載の方法であって、監視するステップが、
前記プロセスを実行しているコンポーネント内へプログラムされる、方法。 - 【請求項19】 請求項15に記載の方法であって、監視するステップが、
前記区分されたプロセッサのアーキテクチャの一部としてバスを介して実行され
る、方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US09/467,111 | 1999-12-17 | ||
| US09/467,111 US6523139B1 (en) | 1999-12-17 | 1999-12-17 | System and method for fail safe process execution monitoring and output control for critical systems |
| PCT/US2000/033865 WO2001044881A1 (en) | 1999-12-17 | 2000-12-14 | Systems and methods for fail safe process execution, monitoring and output control for critical systems |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003517668A true JP2003517668A (ja) | 2003-05-27 |
Family
ID=23854405
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001545909A Withdrawn JP2003517668A (ja) | 1999-12-17 | 2000-12-14 | クリティカル・システムのためのフェイル・セーフ・プロセスの実行、監視、および出力の制御のためのシステムおよび方法 |
Country Status (12)
| Country | Link |
|---|---|
| US (1) | US6523139B1 (ja) |
| EP (1) | EP1238317B1 (ja) |
| JP (1) | JP2003517668A (ja) |
| KR (1) | KR20020063237A (ja) |
| AT (1) | ATE346330T1 (ja) |
| AU (1) | AU767024B2 (ja) |
| CA (1) | CA2395071A1 (ja) |
| DE (1) | DE60032015T2 (ja) |
| IL (1) | IL150262A0 (ja) |
| NO (1) | NO20022854L (ja) |
| NZ (1) | NZ520195A (ja) |
| WO (1) | WO2001044881A1 (ja) |
Families Citing this family (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6854075B2 (en) * | 2000-04-19 | 2005-02-08 | Hewlett-Packard Development Company, L.P. | Simultaneous and redundantly threaded processor store instruction comparator |
| US6823473B2 (en) * | 2000-04-19 | 2004-11-23 | Hewlett-Packard Development Company, L.P. | Simultaneous and redundantly threaded processor uncached load address comparator and data value replication circuit |
| US6799285B2 (en) * | 2001-03-19 | 2004-09-28 | Sun Microsystems, Inc. | Self-checking multi-threaded processor |
| JP2003015900A (ja) * | 2001-06-28 | 2003-01-17 | Hitachi Ltd | 追走型多重化システム、及び追走により信頼性を高めるデータ処理方法 |
| US7051331B2 (en) * | 2002-01-02 | 2006-05-23 | International Business Machines Corporation | Methods and apparatus for monitoring a lower priority process by a higher priority process |
| US20040064756A1 (en) * | 2002-09-26 | 2004-04-01 | Sudarshan Kadambi | Method and apparatus for improving reliability in computer processors by re-executing instructions |
| US7793233B1 (en) | 2003-03-12 | 2010-09-07 | Microsoft Corporation | System and method for customizing note flags |
| DE10328059A1 (de) * | 2003-06-23 | 2005-01-13 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Überwachung eines verteilten Systems |
| US7209809B2 (en) * | 2003-10-15 | 2007-04-24 | The Boeing Company | Method and apparatus for obtaining high integrity and availability in multi-channel systems |
| US7424641B2 (en) * | 2005-04-06 | 2008-09-09 | Delphi Technologies, Inc. | Control system and method for validating operation of the control system |
| US20070005203A1 (en) * | 2005-06-30 | 2007-01-04 | Padma Sundaram | Vehicle diagnostic system and method for monitoring vehicle controllers |
| US7991850B2 (en) * | 2005-07-28 | 2011-08-02 | Advanced Micro Devices, Inc. | Resilient system partition for personal internet communicator |
| US20070050687A1 (en) * | 2005-08-16 | 2007-03-01 | Disser Robert J | Watchdog monitoring circuit and method for controlling energization of the load using the watchdog monitoring circuit |
| US20070245313A1 (en) * | 2006-04-14 | 2007-10-18 | Microsoft Corporation | Failure tagging |
| CN100451881C (zh) * | 2006-12-08 | 2009-01-14 | 清华大学 | 双电机冗余控制系统 |
| US7673178B2 (en) * | 2007-01-31 | 2010-03-02 | Microsoft Corporation | Break and optional hold on failure |
| US7788540B2 (en) * | 2007-01-31 | 2010-08-31 | Microsoft Corporation | Tracking down elusive intermittent failures |
| FR2917201B1 (fr) * | 2007-06-05 | 2009-09-25 | Airbus France Sa | Procede et dispositif de gestion,de traitement et de controle de parametres utilises a bord d'aeronefs |
| US20090024880A1 (en) * | 2007-07-18 | 2009-01-22 | Udo Klein | System and method for triggering control over abnormal program termination |
| JP5776937B2 (ja) * | 2011-09-20 | 2015-09-09 | 株式会社ダイフク | 設備制御システム |
| JP5660394B2 (ja) * | 2011-09-20 | 2015-01-28 | 株式会社ダイフク | 設備制御システム |
| KR101440504B1 (ko) * | 2012-12-24 | 2014-09-17 | 한국항공우주산업 주식회사 | 간편 고장진단기능이 구비된 비행제어컴퓨터시스템 및 그 제어방법 |
| TWI507834B (zh) * | 2013-12-20 | 2015-11-11 | Chroma Ate Inc | 自動測試設備資源配置方法與自動測試通道配置裝置 |
| KR20150112561A (ko) | 2014-03-28 | 2015-10-07 | 한국전자통신연구원 | 항공 시스템에서의 헬스 모니터링 장치 및 방법 |
| DE102016106531A1 (de) * | 2016-04-08 | 2017-10-12 | Eaton Electrical Ip Gmbh & Co. Kg | Busteilnehmer und Verfahren zum Betreiben eines Busteilnehmers |
| FR3075997B1 (fr) * | 2017-12-26 | 2020-01-10 | Thales | Calculateur electronique de mise en oeuvre d'au moins une fonction critique, dispositif electronique, procede et programme d'ordinateur associes |
| DE102018120344A1 (de) * | 2018-08-21 | 2020-02-27 | Pilz Gmbh & Co. Kg | Automatisierungssystem zur Überwachung eines sicherheitskritischen Prozesses |
| US20210026320A1 (en) | 2019-07-26 | 2021-01-28 | Fort Robotics, Inc. | Systems and methods for safety-enabled control |
| KR200492136Y1 (ko) | 2020-02-10 | 2020-08-13 | 주식회사 희망기업 | 차량 도장부스의 방지시설 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5068778A (en) | 1988-11-28 | 1991-11-26 | Reliance Electric Industrial Company | Industrial control system device |
| US5274554A (en) * | 1991-02-01 | 1993-12-28 | The Boeing Company | Multiple-voting fault detection system for flight critical actuation control systems |
| US5307409A (en) | 1992-12-22 | 1994-04-26 | Honeywell Inc | Apparatus and method for fault detection on redundant signal lines via encryption |
| US5386424A (en) | 1993-03-31 | 1995-01-31 | Honeywell, Inc. | Apparatus and method for transmitting information between dual redundant components utilizing four signal paths |
| US5343474A (en) | 1993-03-31 | 1994-08-30 | Honeywell Inc. | Slotted arbitration without time jitter in a table driven protocol |
| US5550736A (en) * | 1993-04-27 | 1996-08-27 | Honeywell Inc. | Fail-operational fault tolerant flight critical computer architecture and monitoring method |
| US5498912A (en) | 1993-10-04 | 1996-03-12 | Rockwell International Corporation | Majority voted two fault tolerant power switch |
| DE19504404C1 (de) | 1995-02-10 | 1996-06-20 | Pilz Gmbh & Co | Systemarchitektur |
| US5881971A (en) * | 1995-05-15 | 1999-03-16 | The Boeing Company | Monitoring systems for detecting failures in fly-by-wire aircraft flight control systems |
| US6085127A (en) * | 1997-03-18 | 2000-07-04 | Aurora Flight Sciences Corporation | Fault tolerant automatic control system utilizing analytic redundancy |
| US5796935A (en) | 1995-07-20 | 1998-08-18 | Raytheon Company | Voting node for a distributed control system |
| US5753927A (en) | 1995-09-29 | 1998-05-19 | Boeing North American, Inc. | Majority voted optical power switch |
| US6167547A (en) | 1996-06-20 | 2000-12-26 | Ce Nuclear Power Llc | Automatic self-test system utilizing multi-sensor, multi-channel redundant monitoring and control circuits |
| US6243838B1 (en) * | 1997-05-13 | 2001-06-05 | Micron Electronics, Inc. | Method for automatically reporting a system failure in a server |
-
1999
- 1999-12-17 US US09/467,111 patent/US6523139B1/en not_active Expired - Lifetime
-
2000
- 2000-12-14 AT AT00984354T patent/ATE346330T1/de not_active IP Right Cessation
- 2000-12-14 KR KR1020027007789A patent/KR20020063237A/ko not_active Application Discontinuation
- 2000-12-14 EP EP00984354A patent/EP1238317B1/en not_active Expired - Lifetime
- 2000-12-14 WO PCT/US2000/033865 patent/WO2001044881A1/en active IP Right Grant
- 2000-12-14 JP JP2001545909A patent/JP2003517668A/ja not_active Withdrawn
- 2000-12-14 IL IL15026200A patent/IL150262A0/xx unknown
- 2000-12-14 AU AU20986/01A patent/AU767024B2/en not_active Ceased
- 2000-12-14 DE DE60032015T patent/DE60032015T2/de not_active Expired - Lifetime
- 2000-12-14 CA CA002395071A patent/CA2395071A1/en not_active Abandoned
- 2000-12-14 NZ NZ520195A patent/NZ520195A/xx unknown
-
2002
- 2002-06-14 NO NO20022854A patent/NO20022854L/no not_active Application Discontinuation
Also Published As
| Publication number | Publication date |
|---|---|
| DE60032015T2 (de) | 2007-06-06 |
| US6523139B1 (en) | 2003-02-18 |
| AU2098601A (en) | 2001-06-25 |
| NO20022854D0 (no) | 2002-06-14 |
| WO2001044881A1 (en) | 2001-06-21 |
| IL150262A0 (en) | 2002-12-01 |
| CA2395071A1 (en) | 2001-06-21 |
| EP1238317B1 (en) | 2006-11-22 |
| EP1238317A1 (en) | 2002-09-11 |
| DE60032015D1 (de) | 2007-01-04 |
| NZ520195A (en) | 2003-06-30 |
| NO20022854L (no) | 2002-08-14 |
| KR20020063237A (ko) | 2002-08-01 |
| ATE346330T1 (de) | 2006-12-15 |
| AU767024B2 (en) | 2003-10-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2003517668A (ja) | クリティカル・システムのためのフェイル・セーフ・プロセスの実行、監視、および出力の制御のためのシステムおよび方法 | |
| CN103262045B (zh) | 具有容错架构的微处理器系统 | |
| US4890284A (en) | Backup control system (BUCS) | |
| EP3101546B1 (en) | Providing failover control on a control system | |
| US7796018B2 (en) | Method and apparatus for designing a health monitor system for a vehicle | |
| EP0263055B1 (en) | Autoequalization in redundant channels | |
| KR20030067712A (ko) | 네트웍 매체 링크상태 기능을 이용한 컴퓨터 클러스터링시스템의 가용도 개선방법 | |
| JP2001056701A (ja) | 制御ユニットの相互監視のための方法並びに装置 | |
| US10663930B2 (en) | Control of aircraft systems with at least two remote data concentrators for control of an aircraft system component | |
| CN106054852A (zh) | 集成式故障沉默和故障运转系统中的可量容错的构造 | |
| CN105045164A (zh) | 可降级的三冗余同步表决计算机控制系统及方法 | |
| CN105005232A (zh) | 可降级的三冗余同步表决计算机控制系统及方法 | |
| JP2009064094A (ja) | プロセス監視制御システム | |
| JPH0814797B2 (ja) | 二重化処理装置におけるチェック方法 | |
| JP4102814B2 (ja) | 入出力制御装置,情報制御装置及び情報制御方法 | |
| JPH0683657A (ja) | サービスプロセッサの切り換え方式 | |
| JPH0736721A (ja) | 多重化コンピュータシステムの制御方式 | |
| Swern et al. | The effects of latent faults on highly reliable computer systems | |
| JPS62103756A (ja) | 複合計算機システム | |
| JPS5890202A (ja) | プロセス制御装置 | |
| Roberts et al. | A fault-tolerant multiprocessor for real-time control applications | |
| JPS63276137A (ja) | 遠隔保守診断方式 | |
| Sinha | Dynamic task-level reconfiguration in automotive software architectures | |
| Smith | A dual processor checkout system | |
| JPH0916425A (ja) | 情報処理システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20080304 |