JP2008299767A - 診断装置および診断方法 - Google Patents
診断装置および診断方法 Download PDFInfo
- Publication number
- JP2008299767A JP2008299767A JP2007147692A JP2007147692A JP2008299767A JP 2008299767 A JP2008299767 A JP 2008299767A JP 2007147692 A JP2007147692 A JP 2007147692A JP 2007147692 A JP2007147692 A JP 2007147692A JP 2008299767 A JP2008299767 A JP 2008299767A
- Authority
- JP
- Japan
- Prior art keywords
- unit
- information
- failure
- output
- comparison
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000002405 diagnostic procedure Methods 0.000 title claims 2
- 238000012545 processing Methods 0.000 claims abstract description 95
- 238000001514 detection method Methods 0.000 claims abstract description 32
- 238000002347 injection Methods 0.000 claims description 22
- 239000007924 injection Substances 0.000 claims description 22
- 238000003745 diagnosis Methods 0.000 claims description 17
- 230000004044 response Effects 0.000 claims description 13
- 238000000034 method Methods 0.000 claims description 4
- 238000012360 testing method Methods 0.000 description 17
- 230000010076 replication Effects 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 238000010998 test method Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Landscapes
- Hardware Redundancy (AREA)
- Test And Diagnosis Of Digital Computers (AREA)
Abstract
【課題】処理部の出力に依存せずに故障検出を行い、その故障検出を行う比較部の故障検出も実施タイミングの限定をせずに行うことを可能にすることで、全体の故障検出率を向上させることを目的とする。
【解決手段】二重化された2つの処理部から出力される2つの出力情報を比較することで、前記処理部の故障を検出する比較部と、前記比較部にて前記処理部が故障したと検出されるような擬似的な故障情報を前記比較部に注入する故障情報注入部と、前記擬似的な故障情報を注入された比較部の検出結果を用いて前記比較部の故障判定を行う故障判定部とを備える診断装置である。
【選択図】図1
【解決手段】二重化された2つの処理部から出力される2つの出力情報を比較することで、前記処理部の故障を検出する比較部と、前記比較部にて前記処理部が故障したと検出されるような擬似的な故障情報を前記比較部に注入する故障情報注入部と、前記擬似的な故障情報を注入された比較部の検出結果を用いて前記比較部の故障判定を行う故障判定部とを備える診断装置である。
【選択図】図1
Description
本発明は、ソフトウェアおよびハードウェアにおける多入力一出力の処理部の故障検出、監視および故障発生時の処理を含む診断装置に関する。
情報制御システム業界におけるエレクトロニクスシステムの複雑化・高速化の進行と、トランジスタ微細化技術の飛躍的な進歩は、半導体集積回路(特に大規模集積回路)の業界採用を加速させている。その結果、近年においては大規模集積回路が情報制御システム中枢の一部を担うまでになっており、それに応じて、人命に関わる分野(電力・製造・交通・医療)では、特にその安全性・信頼性を保障するための技術要求が高まっている。
過去より、ハードウェア個体の多重化とそれらを制御するソフトウェアの組合せで、ハードウェア個体の故障検出率を上げ、安全性・信頼性を確保してきた。
特許文献1の図2,3,4,16では、公知例とともに論理回路単体での故障検出手段および検出手段の健全性テスト手法が紹介されている。
特許文献2では、故障検出回路自身に発生する故障の検出精度を向上させる処理装置および試験方法が紹介されている。
特許文献1の図2,3,4,16では、公知例とともに論理回路単体での故障検出手段および検出手段の健全性テスト手法が紹介されている。
特許文献2では、故障検出回路自身に発生する故障の検出精度を向上させる処理装置および試験方法が紹介されている。
前項で説明した特許文献1では、健全性テストは、診断対象の論理回路のような多入力一出力の処理部がハイ出力をしている場合のみ有効であるが、ロー出力している場合についての故障検出手段が言及されていない。
また、特許文献2では、擬似信号出力回路を配設しているが、診断対象であるCPUが搭載されたコンピュータ装置の電源立上げ時毎に比較回路および故障検出回路の診断を行っており、診断の実施タイミングが限定されている。
そこで、本発明は、処理部の出力に依存せずに故障検出を行い、その故障検出を行う比較部の故障検出も実施タイミングの限定をせずに行うことを可能にすることで、全体の故障検出率を向上させることを目的とする。
また、特許文献2では、擬似信号出力回路を配設しているが、診断対象であるCPUが搭載されたコンピュータ装置の電源立上げ時毎に比較回路および故障検出回路の診断を行っており、診断の実施タイミングが限定されている。
そこで、本発明は、処理部の出力に依存せずに故障検出を行い、その故障検出を行う比較部の故障検出も実施タイミングの限定をせずに行うことを可能にすることで、全体の故障検出率を向上させることを目的とする。
前記した課題を解決するために、本発明の診断装置は、二重化された2つの処理部から出力される2つの出力情報を比較することで、処理部の故障を検出する比較部と、比較部にて処理部が故障したと検出されるような擬似的な故障情報を比較部に注入する故障情報注入部と、擬似的な故障情報を注入された比較部の検出結果を用いて比較部の故障判定を行う故障判定部と備える。
本発明によれば、処理部に故障が発生した際、前記処理部の出力情報がハイでもローでも、故障を検出できることで、処理部の故障検出率を高めることができる。
また、処理部の故障を検出する比較部に対しての故障検出を、擬似故障注入手段のひとつである切替接続部を有することで、その切り替えをすることで、いつでも比較部の故障検出を行うことができる。
以上により、2つの処理部と比較部と擬似故障注入手段を有する診断装置自体の故障検出率を高めることができる。
また、処理部の故障を検出する比較部に対しての故障検出を、擬似故障注入手段のひとつである切替接続部を有することで、その切り替えをすることで、いつでも比較部の故障検出を行うことができる。
以上により、2つの処理部と比較部と擬似故障注入手段を有する診断装置自体の故障検出率を高めることができる。
まず、図1を用いて本発明で提案する診断部の基本構成を示す。
診断の対象である処理部101と、その処理部101に対して二重化を行った複製処理部102と、両方の演算結果を比較する比較部104と、処理部101からの入力情報を反転させた反転情報を出力する反転部105と、複製処理部102からの入力情報または反転部105の入力情報のどちらか一方を、切り替えを行うことで出力できる切替接続部103からなる故障検出部100である。
診断の対象である処理部101と、その処理部101に対して二重化を行った複製処理部102と、両方の演算結果を比較する比較部104と、処理部101からの入力情報を反転させた反転情報を出力する反転部105と、複製処理部102からの入力情報または反転部105の入力情報のどちらか一方を、切り替えを行うことで出力できる切替接続部103からなる故障検出部100である。
ここで反転情報とは、入力情報に対して正反対の情報である。例えばディジタル信号の場合、入力情報が“0”であれば、反転情報は“1”になり、アナログ信号であれば、入力情報が“1”であれば、反転情報は“−1”になる。
前述の故障検出部100と、切替接続部103の入力情報の切り替えを行い、かつ故障検出部100からの情報より故障の判定をする故障判定部108と、常に故障判定部108を監視し、故障の有無により出力情報を変更する安全動作切替部109を備えたものが、本発明で提案する診断部150である。
図1の実施形態を説明する。
診断されるシステム(処理システム140)は、診断の対象である処理部101と、外部入力情報S121A,S121Bを入力する外部処理部106A,106Bと、その処理結果である出力情報S122を、外部処理部107に出力するシステムである。
この処理システム140に診断部150を導入したものが、図1に示す制御システム160である。
診断されるシステム(処理システム140)は、診断の対象である処理部101と、外部入力情報S121A,S121Bを入力する外部処理部106A,106Bと、その処理結果である出力情報S122を、外部処理部107に出力するシステムである。
この処理システム140に診断部150を導入したものが、図1に示す制御システム160である。
ここで、切替接続部103の出力情報の切り替えは自動であることが最も好ましいが、制御システムの形態によっては手動でも構わない。
また、図1の実施例では、故障検出部100と処理システム140は1つずつであるが、故障判定部108や安全動作切替部109が情報の処理を十分にできる能力があれば、複数あっても良い。
また、図1の実施例では、故障検出部100と処理システム140は1つずつであるが、故障判定部108や安全動作切替部109が情報の処理を十分にできる能力があれば、複数あっても良い。
以下、図2のフローチャートも用いて説明をする。
まず、通常動作モード時の制御システムの処理を説明する。通常動作モード時、切替接続部103は複製処理部102からの情報を出力するように接続されているものとする(F200でYes)。
まず、通常動作モード時の制御システムの処理を説明する。通常動作モード時、切替接続部103は複製処理部102からの情報を出力するように接続されているものとする(F200でYes)。
診断の対象である処理部101と、複製処理部102の両方に、外部処理部106A,106Bの外部入力情報S121A,S121Bを入力する。処理部101の出力情報S122と、切替接続部103を通った複製処理部102の出力情報S126(S126=S123)を比較部104に入力する。比較部104の入力情報S122とS126(S123)を比較し、“一致”または“不一致”の情報を比較結果情報S127に与え、出力する。
故障判定部108は比較結果情報S127を受け取り、“不一致”(F201でNo)ならば、処理部101または複製処理部102のどちらか一方の故障であると判定する(F202)。“一致”(F201でYes)ならば、処理部101も複製処理部102も共に正常であると判定し、次に診断するタイミングを待つ。
この例では比較による故障の有無の判定を2つの入力情報の“一致”または“不一致”としたが、比較対象は強度,量,大きさなど処理部の出力形態によって比較する手段も変わる。
安全動作切替部109は、故障判定部108を常時監視しており(S128)、故障発生時には処理システム140を安全状態に緊急移行を制御する機能を備えている(F203)。
ここで、安全とは、システムが正常ではない情報を受け取ることにより、システム全体が故障する危険や破壊される危険な状態に陥ることを恐れ、必ず正常に動作する最低限の機能でシステムを運用する状態のことであり、この状態にする情報を安全方向の情報とする。
また、処理部001または複製処理部002の出力部分に、処理結果の出力情報と安全方向の出力情報を選択する手段を設け、故障判定部108により正常と判定された情報(処理結果の出力情報)または、故障と判定された情報を遮断し、安全方向の情報(安全方向の出力情報)しか後段に伝播しない安全動作切替部109を設けることで、制御システム160を中断させることのない、オンライン中(実制御中)の診断を実現する。
このようにすることで、二重化された処理部と、その結果を比較する比較部を用いて、故障の検出を行うことで、システムの信頼性を向上することができる。
また、処理部の故障を検出するまでの時間の即時性を実現することができる。
また、処理部の故障を検出するまでの時間の即時性を実現することができる。
通常動作モード時に、故障判定部108が切替接続部103に切り替えを行うよう接続切替情報S125を出力することで、健全性テスト動作モードが開始する(F200でNo,F204)。
接続切替情報S125を受けた切替接続部103は、故障判定部108からの接続切替情報S125により、出力対象の切り替えを行い、反転部105からの情報S124を出力するようになる(F205)。
これにより、反転部105にて処理部101の出力情報S122を反転させた反転情報S124は、切替接続部103に入力し、S126が出力される(出力情報S126=S124)。比較部104にて、処理部101の出力情報S122と、S122の反転情報であるS126(S124)を比較することにより、不一致を強制的に発生させる(擬似故障注入)(F206)。
これにより、反転部105にて処理部101の出力情報S122を反転させた反転情報S124は、切替接続部103に入力し、S126が出力される(出力情報S126=S124)。比較部104にて、処理部101の出力情報S122と、S122の反転情報であるS126(S124)を比較することにより、不一致を強制的に発生させる(擬似故障注入)(F206)。
このようにすることで、S122とS126(S124)が比較部104にて一致すると、比較部104に故障があることがわかる。これにより、比較部の健全性を確認することができるため、診断部の信頼性を向上することができる。
ここで、擬似故障注入とは、切替接続部103で入力情報の切り替えを行い、処理部101の出力情報S122を反転部105で反転させた反転情報S124を比較部104に入力することをいい、擬似故障注入により比較部104が不一致または一致の情報を出力するまでの手段を擬似故障注入手段という。
切替接続部103の切替タイミング前後の通常動作モード時(健全性テスト動作モードから通常動作モードへの切り替え後と、通常動作モードから健全性テスト動作モードへの切り替え前)の比較部104が出力する比較結果情報S127を、故障判定部108は監視する。
ここで比較結果情報S127が“不一致”の場合、切替接続部103の入力情報がS123の時は“故障”を示すが、入力情報がS124の時は“正常”を示す。切替接続部103の入力情報の切り替えは故障判定部108が行うため、故障判定部108はS127の情報とその時の切替接続部の接続先により故障または正常を判定することができる。
健全性テスト動作モードであるとき、比較部104にて、処理部101の出力情報S122と反転部105の出力情報S126(S124)を比較して、比較結果情報S127が“一致”を示す場合(S122=S124)(F207でYes)、故障判定部108は比較部104に故障があると判断する(F208)。
ここで、比較結果情報S127が“不一致”を示す場合(S122≠S124)(F207でNo)、比較部104は正常であると判断される(F209)。切替接続部103の切り替えを行い(F210)、擬似故障注入が終了し、比較部104にはS122とS126(S123)が入力される(F211)。
ここで、比較部104の比較結果情報S127が“一致”を示す場合(S122=S123)(F212でYes)、健全性テスト動作モードを正常に終了する(F213)。
しかし、比較結果情報S127が“不一致”を示す場合(S122≠S123)(F207でNo)、健全性テスト動作モードに切り替える直前の通常動作モード時は、比較部104の比較結果情報S127は“一致”であるため、切替接続部103の切り替えが遅いなど、何らかの問題があると判断され、比較部104が故障と判断された時と同じ処理が行われる。
しかし、比較結果情報S127が“不一致”を示す場合(S122≠S123)(F207でNo)、健全性テスト動作モードに切り替える直前の通常動作モード時は、比較部104の比較結果情報S127は“一致”であるため、切替接続部103の切り替えが遅いなど、何らかの問題があると判断され、比較部104が故障と判断された時と同じ処理が行われる。
このようにすることで、診断部は、比較部だけでなく切替接続部や反転部も診断することできる。
本発明が提案する診断部は、診断対象である処理部101とその接続相手となる外部処理部106A,106Bおよび107を結ぶ経路(メイン経路:外部処理部106A,106B〜S121A,S121B〜処理部101〜S122〜外部処理部107)上に、切替接続部103,比較部104,反転部105を配置しないシステム構造であるため、これら切替接続部103,比較部104,反転部105のいずれかひとつに故障が発生しても、メイン経路上にある製品の機能を侵す危険要因とはならず、かつ製品性能(処理速度)を落とす要因にもならない。
このようにすることで、本発明が提案する診断部は、診断の対象である処理部とその入力元、出力先を含む処理システムの動作に影響を与えないシステム構成にすることができる。
以下実施例を用いて、制御システム稼働中でも本発明が提案する診断部にて処理システムの診断(故障検出)を実施することができることを示す。
以下、本発明の実施構成例を図3,および図4,5,6のタイミングチャートを用いて詳細に説明する。
図3は、処理部に「3入力多数決回路」を用いた回路構成を示したもので、外部入力信号S321A,S321B,S321Cを論理演算した結果値“1”の多数決を行う3入力多数決回路301である。そして、外部入力信号のうち、2本以上の信号の論理演算の結果値が“1”であれば、多数決により“1”を出力する機能を備えている。3入力多数決回路301は、S321AとS321Bが“1”であれば、論理積301Aは“1”を出力する。同様にS321AとS321C,S321BとS321Cの組合せも論理演算を行う(T400)。論理和はひとつでも“1”が入力されれば“1”を出力するため、論理和301Dは出力信号S322に“1”を出力する(T401)。3入力多数決回路401の複製である複製3入力多数決回路402も同様の動作を行う。
また、前述の図1に示した構成と同じように、切替接続部103に該当する切替接続回路303、比較部104に該当する比較演算回路304、反転部105に該当する反転回路305、故障判定部108と安全動作切替部109に該当する機能を備えたCPU308で構成されている。
また、説明にあたっての前提として、通常動作モード時は、CPU308からの接続切替指示信号S325が“0”である。健全性テスト動作モード時は、S325を“1”にし、切替接続回路303の入力信号を切り替え、比較演算回路304(排他的論理和)に擬似故障注入を行う。
ここで、CPU308は、比較結果信号S327の示す故障信号が、実際の故障によるものか、または擬似故障によるものかを、自身が接続切替指示をすることによって判別できる構成とする。
なお、ここでは比較演算回路304を排他的論理和を用いて紹介しているが、二重化された3入力多数決回路(論理演算回路)301,302の出力信号が、一致または不一致であることを検出できるものであれば、その実施形態については、本発明が制約を受けることはない。
ここで、T400のタイミング時の論理和による論理演算の結果が、T401で表示されており、時間のずれΔt1が生じている。このΔt1は、3入力多数決回路301にて演算を行ったことによる消費時間を表している。
本回路構成では、外部処理部である負荷307に出力する直前に、最終出力制御回路311を設けている。これは本実施例では論理積の機能を持ち、通常は3入力多数決回路301のS322′(S322)とCPU308の最終出力遮断信号S329を入力し、論理演算の結果である最終出力信号S330を出力している。この実施例では、3入力多数決回路301に故障がない場合、S329は“1”である。
CPU308は、3入力多数決回路301を比較演算回路304の比較結果信号S327を介して常時監視しており、比較演算回路304が3入力多数決回路301の故障を検出した場合、最終出力遮断信号S329を“0”に切り替えて最終出力制御回路311によって最終出力信号S330を遮断または安全方向の信号を出力し、その先の外部処理部である負荷307に対して故障の影響を伝播させない安全動作切替制御機能と、接続切替指示信号S325を制御する機能を備える。
ここで、安全方向の信号として、故障発生時に最終出力制御回路311が最終出力信号S330をハイ側(“1”)にするか、ロー側(“0”)にするかは、診断対象のシステムによって変わるのは言うまでもない。今回の実施例1では、故障発生時の設定が『出力をロー側にする』という論理構造のため、最終出力制御回路311を論理積としている。しかし、故障発生時の最終出力信号をハイ側にする場合は、最終出力制御回路311を論理和にし、最終出力遮断信号S329に“1”を入力することで、最終出力制御回路311から最終出力信号をハイにすることができる。このようにシステムに応じて変更することができる。
また、故障発生時に安全方向の信号として、最終出力制御回路311が最終出力信号S330を最終出力遮断信号S329により、任意でハイまたはローに切り替える機構を有することができることは言うまでもない。
まず、通常動作モードにおいて、3入力多数決回路301,および複製3入力多数決回路302が正常に動作している場合を説明する。
この場合、接続切替指示信号S325は“0”であり、比較演算回路304にはS322とS326(S323)が入力される。3入力多数決回路301と複製3入力多数決回路302からは同じ値が常時出力されるため、比較演算回路304から出力される比較結果信号S327は、S322とS326(S323)が一致することを示す“0”となる(T402)。
この場合、接続切替指示信号S325は“0”であり、比較演算回路304にはS322とS326(S323)が入力される。3入力多数決回路301と複製3入力多数決回路302からは同じ値が常時出力されるため、比較演算回路304から出力される比較結果信号S327は、S322とS326(S323)が一致することを示す“0”となる(T402)。
ここでΔt2は、比較演算回路304にて演算を行ったことによる消費時間を表している。以下、他の論理演算回路やCPUでも、演算や処理を行うことによる消費時間は発生する。そのため、消費時間による出力タイミングのずれは図示するが、Δをつけた名称は図示しない。
次に、通常動作モードにおいて、3入力多数決回路301または複製3入力多数決回路302で故障が発生した場合を説明する。(以下説明の都合上、3入力多数決回路301で故障が発生した場合のみを説明する。)
3入力多数決回路301にて故障発生後(T403)、S322とS326(S323)が一致しないタイミングが現れる(T404)。このタイミングで比較演算回路304は、S322とS326(S323)が不一致であることを検出し、比較結果信号S327を“1”にして出力する(T405)。CPU308は擬似故障注入の指示をしていない(接続切替指示信号S325が“1”ではない)ので、S327の入力後、最終出力遮断信号S329を“0”にして出力し(T406)、S322′(S322)が負荷307に伝わる前に、最終出力信号S330を遮断する(T407)。この遮断により、本システムの外部への故障による出力の伝播を防止する。
なお、ディレイ回路310は、比較演算回路304が不一致を示す比較結果信号S327を出力してから、CPU308の最終出力遮断信号S329が最終出力制御回路311に入力されるまでの応答時間Δtを確保するために実装する。これは前述したΔt1,Δt2と同じく、論理演算回路やCPUで処理されるごとに発生する微少な消費時間を総計したずれによるものである。このΔtは3入力多数決回路301から3入力多数決回路出力信号S322が出力されるタイミングと、最終出力制御回路311から最終出力信号S330が出力されるタイミングのずれた時間を表している。
次に比較演算回路304の健全性確認手段について説明する。
健全性テスト動作モードを開始するため、CPU308は擬似故障注入指示を行い、接続切替指示信号S325を“1”にする(T501、健全性テスト開始タイミング)。同指示を受けて、切替接続回路303は反転出力信号S324を切替接続出力信号S326に接続する(T502)。比較演算回路304には、S322とS326(S322の反転値である反転出力信号S324)が入力されるため、比較演算回路304から出力された比較結果信号S327は、不一致を示す“1”となる(T503)。
健全性テスト動作モードを開始するため、CPU308は擬似故障注入指示を行い、接続切替指示信号S325を“1”にする(T501、健全性テスト開始タイミング)。同指示を受けて、切替接続回路303は反転出力信号S324を切替接続出力信号S326に接続する(T502)。比較演算回路304には、S322とS326(S322の反転値である反転出力信号S324)が入力されるため、比較演算回路304から出力された比較結果信号S327は、不一致を示す“1”となる(T503)。
ここで、通常動作モードにおいて、3入力多数決回路301,および複製3入力多数決回路302が正常であれば、比較演算回路304から出力される比較結果信号S327は、S322とS326(S323)が一致することを示す“0”である。
そのため、健全性テスト動作モードにおける、擬似故障注入によって、比較演算回路304の比較結果信号S327が一致を示す“0”になることで、比較演算回路304が故障していることを示し、比較結果信号S327が不一致を示す“1”になることで、比較演算回路304は正常に動作していることを示すため、比較演算回路の故障の有無を判断することができる。
そのため、健全性テスト動作モードにおける、擬似故障注入によって、比較演算回路304の比較結果信号S327が一致を示す“0”になることで、比較演算回路304が故障していることを示し、比較結果信号S327が不一致を示す“1”になることで、比較演算回路304は正常に動作していることを示すため、比較演算回路の故障の有無を判断することができる。
このとき、CPU308は、自身が擬似故障注入の指示をしているので、比較結果信号S327が不一致を示す“1”であっても、最終出力制御回路311を遮断する処理は行わない(最終出力遮断信号S329を“0”にしない)。
以上より、比較演算回路304が正常であることを受け、CPU308は接続切替指示信号S325を“0”にし(T504)、同指示を受けて、切替接続回路303は複製3入力多数決回路出力信号S323を切替接続出力信号S326に接続する(T505)。比較演算回路304には、S322とS326(S323)が入力されるため、比較演算回路304から出力された比較結果信号S327は、一致を示す“0”となることで(T506)、CPU308は、比較演算手段(切替接続回路303,比較演算回路304および反転回路305)の健全性を確認し、健全性テスト動作モードを終了する。
ここで、CPU308が擬似故障注入の指示を行うが(T601、健全性テスト開始タイミング)、比較結果信号S327が一致状態を示す“0”となっていた場合(T602)、比較演算手段の故障とみなし、最終出力遮断信号S329を“0”にして出力し(T603)、最終出力信号S330を遮断する処理を行う(T604)。この遮断により、本システムの外部への故障による出力の伝播を防止する。
以上より、CPU308が通常動作モードから健全性テスト動作モードへの接続切替指示を行った結果、S324,S325およびS326のいずれかひとつでも値が変わらなければ、比較結果信号S327は一致(“0”)から不一致(“1”)に変化しない。つまり、比較演算回路304から出力される比較結果信号S327より判断される健全性確認は、比較演算回路304だけでなく、切替接続回路303および反転回路305の故障の有無、いわゆる比較演算手段の故障の有無も同時に診断している構成となる。
また、外部入力信号S321A,S321B,S321Cと最終出力信号S330および診断対象である3入力多数決回路301とを結ぶ経路(メイン経路)上に、故障の検出を行うための複製3入力多数決回路302,切替接続回路303,比較演算回路304および反転回路305は配置されていない。つまり、これらは、「3入力多数決回路」という製品の機能を侵す危険要因とはならず、かつ製品性能(処理速度)を落とす要因にもならない。
図7に図3の別構成例を示す。当該構成例は、比較演算回路704から出力される比較結果信号S727を反転する反転回路712を設け、S727の反転信号S731を最終出力制御回路711に入力する経路を設ける。ここで反転回路712は最終出力制御回路711にその機能を内蔵させても構わない。
通常動作モードにおいて、比較演算回路704が、3入力多数決回路701または複製3入力多数決回路702の故障による入力信号の不一致を検出すると、出力される比較結果信号S727は不一致(“1”)になる。S727は反転回路712にて反転され、反転信号S731(“0”)が最終出力制御回路711に入力され、論理和の演算が行われる。これにより、最終出力制御回路711は、即時に最終出力信号S730を遮断し、外部負荷707への故障中の信号が外部に漏れることを防止する。
これは図3で示した構成よりも、通常動作モードにおいて、比較演算回路704がCPU708を介さずに最終出力制御回路711に入力することで、故障を検出した後、少なくともCPUを介さない時間分だけ早く最終出力信号S730を遮断することができることを特徴とする。
実施例2の場合、最終出力信号S730の遮断にCPU708が介さないため、ディレイ回路710によるディレイ値を図3のディレイ回路310と比較して小さくすることができる。
実施例2の場合、最終出力信号S730の遮断にCPU708が介さないため、ディレイ回路710によるディレイ値を図3のディレイ回路310と比較して小さくすることができる。
健全性テスト動作モード時(擬似故障注入時)には、比較演算回路704は、CPU708からの指示により、最終出力制御回路711が反応できないほどの微小パルス信号となるS731′(S727′)を出力する。これにより、擬似故障による最終出力制御回路711が最終出力信号S730を遮断する動作を防ぐことができる。
これは、最終出力制御回路711に応答処理部711aを設置することで、実現できる。
これは、最終出力制御回路711に応答処理部711aを設置することで、実現できる。
前述の応答処理部は、応答速度が遅く、入力信号のパルス幅が小さい場合、無視される。パルス幅が小さくても、パルスが数多く出力された場合、応答処理部は応答速度が遅いために、微少パルスの集合を幅広いパルスが入力されたと認識する。
ここで実施例2の場合、微少パルス信号となるS731′(S727′)は数十ns〜数μsである。これはCPU708や処理部がその信号を受け、動作できる範囲の値である。応答処理部は数ms〜数十msの反応性能であり、前述の入力信号のパルス幅では反応しないため、擬似故障による出力遮断動作が負荷707に伝播することを防ぐことができる。
ここで実施例2の場合、微少パルス信号となるS731′(S727′)は数十ns〜数μsである。これはCPU708や処理部がその信号を受け、動作できる範囲の値である。応答処理部は数ms〜数十msの反応性能であり、前述の入力信号のパルス幅では反応しないため、擬似故障による出力遮断動作が負荷707に伝播することを防ぐことができる。
応答処理部711aには、リレースイッチを用いるのが最も好ましい。リレースイッチには、市販のものを用いることができる。
実施例1,2のようにすることで、制御システム稼働中でも、診断(故障検出)を実施することができる。
なお、実施例1,2にて、診断の対象を論理演算回路としているが、演算の機能を有するか否かは、本発明が制約を受けることはない。
以上の診断装置は、ソフトウェアとハードウェアの両方で適用可能である。
ここで最終出力制御回路に比較結果信号を反転入力せずとも、最終出力制御回路は、比較結果信号が不一致であることを検出して、即時に最終出力信号を遮断するように構成することができることは言うまでもない。
本発明は、簡素な要素技術構造を有していながら各処理で論理演算を用いた場合の故障検出力に優れているため、主に人命に関わる制御システム(電力・ガス・製造・交通・医療・情報通信・生産管理・金融)の分野に対しては、コストと実装スペースを増大させることなく、安全性と信頼性の向上に大きく寄与することができる。
100 故障検出部
101 処理部
102 複製処理部
103 切替接続部(出力切替部)
104 比較部
105 反転部
106A,106B,107 外部処理部
108 故障判定部
109 安全動作切替部
140 処理システム
150 診断部(診断装置)
160 制御システム
301,701 3入力多数決回路
304,704 比較演算回路
307,707 負荷
308,708 CPU
310 ディレイ回路
311,711 最終出力制御回路(最終出力制御部)
711a 応答処理部
712 反転回路
101 処理部
102 複製処理部
103 切替接続部(出力切替部)
104 比較部
105 反転部
106A,106B,107 外部処理部
108 故障判定部
109 安全動作切替部
140 処理システム
150 診断部(診断装置)
160 制御システム
301,701 3入力多数決回路
304,704 比較演算回路
307,707 負荷
308,708 CPU
310 ディレイ回路
311,711 最終出力制御回路(最終出力制御部)
711a 応答処理部
712 反転回路
Claims (10)
- 二重化された2つの処理部から出力される2つの出力情報を比較することで、前記処理部の故障を検出する比較部と、
前記比較部にて前記処理部が故障したと検出されるような擬似的な故障情報を前記比較部に注入する故障情報注入部と、
前記擬似的な故障情報を注入された比較部の検出結果を用いて前記比較部の故障判定を行う故障判定部と、
を備えることを特徴とする診断装置。 - 前記故障情報注入部は、
前記出力される2つの出力情報のうちの一方の出力情報を反転させる反転部と、
前記反転部により反転された擬似的な故障情報、および前記2つの出力情報のうちの他方の出力情報の、前記比較部への出力・非出力を切り替える出力切替部と、
を備えて、前記擬似的な故障情報を前記故障判定部へ注入すること
を特徴とする請求項1に記載の診断装置。 - 前記故障判定部は、
前記出力切替部における切替状態の情報と前記比較部における故障の検出結果の情報とを用いて前記比較部の故障判定を行うこと、
を特徴とする請求項1または請求項2に記載の診断装置。 - 前記2つの処理部のどちらか一方の出力情報が、
前記比較部または故障情報注入部の故障による影響を受けずに、診断装置から外部に出力すること
を特徴とする請求項1または請求項2または請求項3に記載の診断装置。 - 前記故障判定部は、
前記処理部、前記比較部および故障情報注入部が正常である場合に、前記擬似的な故障情報を注入する擬似故障注入をしていない時の前記比較部の出力情報、または、前記擬似的な故障情報を注入する擬似故障注入をしている時の前記比較部の出力情報を受けると、正常と判定すること、
前記処理部または前記比較部または故障情報注入部のいずれかが故障である場合に、前記擬似的な故障情報を注入する擬似故障注入をしていない時の前記比較部の出力情報、または、前記擬似的な故障情報を注入する擬似故障注入をしている時の前記比較部の出力情報を受けると、故障と判定すること
を特徴とする請求項4に記載の診断装置。 - 前記故障判定部の故障判定を受け、
判定結果が正常である場合は、通常出力情報を出力し、
判定結果が故障である場合は、安全出力情報を出力する
安全動作切替部をさらに、備えることを特徴とする請求項3または請求項5に記載の診断装置。 - 前記診断装置と、前記診断装置に入力情報を供給する入力側外部処理部と、前記診断装置の出力情報を受ける出力側外部処理部を含んだ制御システムが稼働中に、
前記安全動作切替部が、通常出力情報を出力している時は、前記処理部の出力情報を前記出力側外部処理部に出力し、
前記安全動作切替部が、前記安全出力情報を出力している時は、前記制御システムが安全に動作する安全方向の情報を前記出力側外部処理部に出力する
ことを特徴とする請求項6に記載の診断装置。 - 前記処理部の出力情報を時間的に多数に分割し、
その多数に分割された出力情報の内、複数が入力されないと、前記最終出力制御部が動作しないよう制御する応答処理部を、前記最終出力制御部内に設けることを特徴とする請求項7に記載の診断装置。 - 前記比較部の故障出力情報を、前記安全動作切替部を介さずに、前記最終出力制御部に入力することで、前記最終出力制御部が、安全方向の情報を出力することを特徴とした請求項7または請求項8に記載の診断装置。
- 二重化された2つの処理部から出力される2つの出力情報を比較することで、前記処理部の故障を検出する比較部と、
擬似的な故障情報を前記比較部に注入する故障情報注入部と、
前記比較部の故障判定を行う故障判定部と、
を備える診断装置における診断方法であって、
前記故障情報注入部が、前記比較部にて前記処理部が故障したと検出されるような擬似的な故障情報を前記比較部に注入し、
前記故障判定部が、前記擬似的な故障情報を注入された前記比較部の検出結果を用いて前記比較部の故障判定を行うこと
を特徴とする診断方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007147692A JP4616862B2 (ja) | 2007-06-04 | 2007-06-04 | 診断装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007147692A JP4616862B2 (ja) | 2007-06-04 | 2007-06-04 | 診断装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008299767A true JP2008299767A (ja) | 2008-12-11 |
| JP4616862B2 JP4616862B2 (ja) | 2011-01-19 |
Family
ID=40173207
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007147692A Expired - Fee Related JP4616862B2 (ja) | 2007-06-04 | 2007-06-04 | 診断装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4616862B2 (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010262432A (ja) * | 2009-05-01 | 2010-11-18 | Mitsubishi Electric Corp | 安全制御装置 |
| WO2013001716A1 (ja) * | 2011-06-29 | 2013-01-03 | 日本精工株式会社 | 車載電子制御装置 |
| WO2013093999A1 (ja) * | 2011-12-19 | 2013-06-27 | 株式会社キトー | フェイルセーフな電子制御装置 |
| JP2013159120A (ja) * | 2012-02-01 | 2013-08-19 | Denso Corp | 電子制御装置、および、これを用いた電動パワーステアリング装置 |
| WO2014030207A1 (ja) | 2012-08-21 | 2014-02-27 | 三菱電機株式会社 | 走査電磁石用制御装置および粒子線治療装置 |
| JP2015154417A (ja) * | 2014-02-18 | 2015-08-24 | 株式会社日立製作所 | プログラマブル回路装置、コンフィギュレーション情報修復方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS518842A (en) * | 1974-07-09 | 1976-01-24 | Hitachi Ltd | Ronrisochino shindanhoshiki |
| JPH02138636A (ja) * | 1988-11-18 | 1990-05-28 | Fujitsu Ltd | 多重化システムの運用中における診断方式 |
| JP2000259444A (ja) * | 1999-03-10 | 2000-09-22 | Nec Ibaraki Ltd | データ処理装置及びその試験方法 |
-
2007
- 2007-06-04 JP JP2007147692A patent/JP4616862B2/ja not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS518842A (en) * | 1974-07-09 | 1976-01-24 | Hitachi Ltd | Ronrisochino shindanhoshiki |
| JPH02138636A (ja) * | 1988-11-18 | 1990-05-28 | Fujitsu Ltd | 多重化システムの運用中における診断方式 |
| JP2000259444A (ja) * | 1999-03-10 | 2000-09-22 | Nec Ibaraki Ltd | データ処理装置及びその試験方法 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010262432A (ja) * | 2009-05-01 | 2010-11-18 | Mitsubishi Electric Corp | 安全制御装置 |
| US9087077B2 (en) | 2011-06-29 | 2015-07-21 | Nsk Ltd. | In-vehicle electronic control device |
| JP2013012069A (ja) * | 2011-06-29 | 2013-01-17 | Nsk Ltd | 車載電子制御装置 |
| CN102959520A (zh) * | 2011-06-29 | 2013-03-06 | 日本精工株式会社 | 车载电子控制装置 |
| CN102959520B (zh) * | 2011-06-29 | 2015-03-25 | 日本精工株式会社 | 车载电子控制装置 |
| WO2013001716A1 (ja) * | 2011-06-29 | 2013-01-03 | 日本精工株式会社 | 車載電子制御装置 |
| US9348684B2 (en) | 2011-06-29 | 2016-05-24 | Nsk Ltd. | In-vehicle electronic control device |
| US9348683B2 (en) | 2011-06-29 | 2016-05-24 | Nsk Ltd. | In-vehicle electronic control device |
| WO2013093999A1 (ja) * | 2011-12-19 | 2013-06-27 | 株式会社キトー | フェイルセーフな電子制御装置 |
| JPWO2013093999A1 (ja) * | 2011-12-19 | 2015-04-27 | 株式会社キトー | フェイルセーフな電子制御装置 |
| JP2013159120A (ja) * | 2012-02-01 | 2013-08-19 | Denso Corp | 電子制御装置、および、これを用いた電動パワーステアリング装置 |
| WO2014030207A1 (ja) | 2012-08-21 | 2014-02-27 | 三菱電機株式会社 | 走査電磁石用制御装置および粒子線治療装置 |
| US9694207B2 (en) | 2012-08-21 | 2017-07-04 | Mitsubishi Electric Corporation | Control device for scanning electromagnet and particle beam therapy apapratus |
| JP2015154417A (ja) * | 2014-02-18 | 2015-08-24 | 株式会社日立製作所 | プログラマブル回路装置、コンフィギュレーション情報修復方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4616862B2 (ja) | 2011-01-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4616862B2 (ja) | 診断装置 | |
| JP4890180B2 (ja) | クロック分配回路とテスト方法 | |
| JP7529896B2 (ja) | I/oユニット | |
| WO2006011583A1 (ja) | プログラマブルコントローラ | |
| JPS5924353A (ja) | 計算機による動作試験方法と装置 | |
| JP5208454B2 (ja) | 可変電圧可変周波数電源装置及びその待機系異常検出方法 | |
| JP2004213454A (ja) | 負荷の故障診断方法および装置 | |
| US20120078575A1 (en) | Checking of functions of a control system having components | |
| JP4328969B2 (ja) | 制御装置の診断方法 | |
| JP2006323551A (ja) | プラント制御システム | |
| JP2005208770A (ja) | ディジタル制御装置 | |
| Chen et al. | Model checking-based decision support system for fault management: A comprehensive framework and application in electric power systems | |
| JP5319499B2 (ja) | 多重化制御装置 | |
| WO2019011037A1 (zh) | 列车控制器输入电路的故障检测方法及装置 | |
| JP2014010567A (ja) | 保安装置 | |
| JPH03139736A (ja) | 情報処理システムにおける系切替方式 | |
| JP2015197729A (ja) | マイクロプロセッサの異常診断方法 | |
| JP2009252188A (ja) | フォールトトレラントサーバの動作確認方法及び検査支援プログラム | |
| JP2017058795A (ja) | 診断回路及び半導体システム | |
| JPH06348521A (ja) | 分散形制御装置 | |
| JP2017220842A (ja) | 二重化切替システム | |
| JPH08166815A (ja) | プラント監視制御システム | |
| JP2007137320A (ja) | 開通方向確認装置、転てつ機用回路および転てつ機 | |
| KR100277457B1 (ko) | 철도의 연동시스템 제어장치 및 방법 | |
| JP6027570B2 (ja) | 冗長化システム、故障検出装置、冗長化方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090626 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100708 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100713 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100910 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101005 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101022 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4616862 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131029 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |