JP2010160712A - 半導体データ処理デバイス及びデータ処理システム - Google Patents

半導体データ処理デバイス及びデータ処理システム Download PDF

Info

Publication number
JP2010160712A
JP2010160712A JP2009003155A JP2009003155A JP2010160712A JP 2010160712 A JP2010160712 A JP 2010160712A JP 2009003155 A JP2009003155 A JP 2009003155A JP 2009003155 A JP2009003155 A JP 2009003155A JP 2010160712 A JP2010160712 A JP 2010160712A
Authority
JP
Japan
Prior art keywords
data processing
processing block
information
output
circuit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009003155A
Other languages
English (en)
Inventor
Nobuyasu Kanekawa
信康 金川
Hiromichi Yamada
弘道 山田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Renesas Technology Corp
Original Assignee
Renesas Technology Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Renesas Technology Corp filed Critical Renesas Technology Corp
Priority to JP2009003155A priority Critical patent/JP2010160712A/ja
Publication of JP2010160712A publication Critical patent/JP2010160712A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Hardware Redundancy (AREA)

Abstract

【課題】冗長構成の各データ処理ブロックが実行するプログラムを相違させること要さずに処置結果をデータ処理ブロック毎に異なる鍵(誤り訂正符号の生成論理)で符号化できるようにする。
【解決手段】データ処理ブロック(100a,100b)による処置結果を符号化するのにハードウェア回路を用いる。例えば、夫々のデータ処理ブロック毎に、固有の鍵(誤り訂正符号の生成論理104a,104b)を用いる符号化用のハードウェア回路(103あ、103b)を採用する。これによって、複数のデータ処理ブロックのプログラム動作を同じにすることを保証しつつ、夫々のデータ処理ブロックによる処理結果を外部で検証可能にする。したがって、データ処理ブロックのプログラム動作の結果に不一致を生じさせずに、データ処理ブロック固有の鍵を用いて外部検証用のデータを符号化することが可能となる。
【選択図】図1

Description

本発明はデータ処理ブロックに冗長性を持たせて高信頼性を実現する半導体データ処理デバイス及びこれを搭載したデータ処理システムに係り、例えば自動車や鉄道等の電子制御装置、産業機器などの電子制御装置に適用して有効な技術に関する。
社会の根幹を担うインフラシステムや、交通システムが電子制御化され、コンピュータが導入されるにつれて、コンピュータシステムの信頼性が求められるようになってきている。コンピュータシステムの信頼性を高める方法として冗長化という手段が広く採られてきている。
また近年になって、半導体の集積度が高くなり、システムレベルの回路がチップ内に実装できるようになり、例えば特許文献1に示されるように冗長化されたシステムを1つのチップ内で実現できるようになってきている。こうしたチップ内に冗長化されたシステムを構成する方法は、組み込みシステムにおいては小型軽量化につながり、また、高性能システムにおいては信号遅延時間を短縮、ひいては性能向上につながる極めて優れた方式である。
しかしチップ全体に波及する故障の対策に関する考慮が必要である。冗長化したシステムの出力同士を比較照合することで正常性を保証する方式では、故障を検出するための比較照合機能も同一チップ内に実装していては、何らかの対策なしでは比較照合機能に故障の影響が及んだ場合の動作を保証することはできない。
そのためにはチップ内で冗長化したシステムの出力を比較照合する比較照合機能を前記チップ内で冗長化したシステムとは異なる別のチップ又はボード上の別回路で実装する必要がある。
その際、冗長化した処理装置の出力をたとえ故障時、誤動作が発生した場合でも区別、保障するために、特許文献2では処理装置固有の鍵で符号化する技術が開示されている。
特開平6−161798号公報 特開2000−10940号公報
上記した従来技術は、信号が、夫々の処理装置が出力したものであることを区別、保証しながら共通の出力インタフェースを通じて出力することができるため、出力インタフェースの物量を削減し、システムを小型化、低価格化できる点で優れた方法である。しかし、冗長化した処理装置をクロックレベルで比較して故障を検出することに対するさらなる考慮が望ましい。つまり、冗長化した処理装置が夫々のソフトウェアに従って処理装置固有の鍵で符号化する処理が行なわれた段階で、夫々の処理装置は異なる演算、異なる動作をすることになり、実行するプログラムが相違されることになり、単にデータ処理結果を比較したのでは、処理が正常であっても比較結果に不一致が生じてしまい、比較による故障検出ができなくなる。一部のデータ処理のプログラムが相違する場合、相違する部分の比較結果を無視する制御が新たに必要になり、無視を開始するタイミングや無視を解除するタイミング制御などが複雑になることが予想される。
本発明の目的は、冗長構成の各データ処理ブロックが実行するプログラムを相違させること要さずに処置結果をデータ処理ブロック毎に異なる鍵(誤り訂正符号の生成論理)で符号化できる半導体データ処理デバイスを提供することにある。
本発明の別の目的は、冗長構成の各データ処理ブロック相互間の処理結果の内部比較と外部での比較のための各データ処理ブロック固有の符号化とを容易に実現することができる半導体データ処理デバイスを提供することにある。
本発明の更に別の目的は、容易にデータ処理の信頼性を向上させることができるデータ処理システムを提供することにある。
本発明の前記並びにその他の目的と新規な特徴は本明細書の記述及び添付図面から明らかになるであろう。
本願において開示される発明のうち代表的なものの概要を簡単に説明すれば下記の通りである。
すなわち、データ処理ブロックによる処置結果を符号化するのにハードウェア回路を用いる。例えば、夫々のデータ処理ブロック毎に、固有の鍵(誤り訂正符号の生成論理)を用いる符号化用のハードウェア回路を採用する。あるいは、一部のデータ処理ブロックに対応して固有の鍵(誤り訂正符号の生成論理)を用いる符号化用のハードウェア回路を採用し、一部のデータ処理ブロックから符号化用のハードウェア回路へのデータ出力に対応させて他のデータ処理ブロックにはダミーデータ出力動作などをさせる。これによって、複数のデータ処理ブロックのプログラム動作を同じにすることを保証しつつ、夫々のデータ処理ブロックによる処理結果を外部で検証可能にする。したがって、データ処理ブロックのプログラム動作の結果に不一致を生じさせずに、データ処理ブロック固有の鍵を用いて外部検証用のデータを符号化することが可能となる。また、鍵を用いて符号化するハードウェアが故障した場合には、鍵に対応してそれを復号した結果に相互間の不一致を生ずるから、その故障も検出することができる。
本願において開示される発明のうち代表的なものによって得られる効果を簡単に説明すれば下記のとおりである。
すなわち、冗長構成の各データ処理ブロックが実行するプログラムを相違させること要さずに処置結果をデータ処理ブロック毎に異なる鍵(誤り訂正符号の生成論理)で符号化できる。このとき更に、鍵を用いて符号化するハードウェアが故障した場合には、鍵に対応してそれを復号した結果に相互間の不一致を生ずるから、その故障の影響も受けない。
また、冗長構成の各データ処理ブロック相互間の処理結果の内部比較と外部での比較のための各データ処理ブロック固有の符号化とを容易に実現することができる。
本発明の半導体データ処理デバイスを適用したデータ処理システムにおいては、容易にデータ処理の信頼性を向上させることができる。
1.実施の形態の概要
先ず、本願において開示される発明の代表的な実施の形態について概要を説明する。代表的な実施の形態についての概要説明で括弧を付して参照する図面中の参照符号はそれが付された構成要素の概念に含まれるものを例示するに過ぎない。
〔1〕本発明に係る半導体データ処理デバイスは、相互に同一のデータ処理機能を有する複数のデータ処理ブロックと、夫々の前記データ処理ブロックから出力される情報を同期的に比較する比較器と、前記比較器の比較結果を外部に出力する出力回路と、前記夫々のデータ処理ブロックから定期的に出力される第1情報に基づいてデータ処理ブロック毎に異なる生成論理による誤り検出符号を付加して第2情報を出力する符号化回路と、夫々の前記データ処理ブロックの第2情報を外部に出力する第1外部インタフェース回路と、を有する。
これによれば、データ処理ブロックによる処置結果を符号化するのにデータ処理ブロックとは別のハードウェア回路を用いるから、複数のデータ処理ブロックのプログラム動作を同じにすることを保証しつつ、夫々のデータ処理ブロックによる処理結果を外部で検証することができる。したがって、データ処理ブロックのプログラム動作の結果に不一致を生じさせずに、データ処理ブロック固有の鍵を用いて外部検証用のデータを符号化することが可能になる。また、鍵を用いて符号化するハードウェアが故障した場合には、鍵に対応してそれを復号した結果に相互間の不一致を生ずるから、その故障の影響も受けない。
〔2〕項1の半導体データ処理デバイスにおいて、前記符号化回路は、夫々のデータ処理ブロック毎に、誤り検出符号を生成するための生成条件を保持する符号化鍵と、前記符号化鍵を用いて前記情報の誤り検出符号を生成して付加する論理回路とを有する。
〔3〕項2の半導体データ処理デバイスにおいて、前記夫々のデータ処理ブロックは同一のクロック信号によって同期動作される。
〔4〕項2の半導体データ処理デバイスにおいて、夫々の前記データ処理ブロックは相互に位相差のあるクロック信号を入力して同期動作される。前記比較器は、夫々の前記データ処理ブロックの出力に対して前記位相さを相殺する遅延回路を通した信号を比較対象とする。動作電流に伴うノイズピークを抑えることができ、耐ノイズ生を向上させることができる。
〔5〕項1の半導体データ処理デバイスにおいて、前記データ処理ブロックは、プログラムを実行するマイクロプロセッサである。
〔6〕項1の半導体データ処理デバイスにおいて、前記第1外部インタフェース回路はシリアル出力回路である。信頼性向上のための外部端子が本来の制御対象に対する制御信号に割当て可能なインタフェース端子を圧迫しない。
〔7〕項1の半導体データ処理デバイスにおいて、相互に同一のデータ処理機能を有する複数のデータ処理ブロックの内の一つは本来の制御用途のための主データ処理ブロックであり、残りは冗長データ処理ブロックである。主データ処理ブロックが本来の制御用途のための外部インタフェースに用いる第2外部インタフェースは出力動作用の回路に対する故障検出機能を有し、故障検出信号を外部に出力する。本来の制御用途のための外部インタフェースに用いる第2外部インタフェース回路の故障にも対処することができる。
〔8〕本発明の別の観点による半導体データ処理デバイス(図11、図12、図13)は、相互に同一のデータ処理機能を有する第1データ処理ブロック(100a)及び第2データ処理ブロック(100b)と、前記第1データ処理ブロック及び前記第2データ処理ブロックから出力される情報を同期的に比較する比較器(101)と、前記比較器の比較結果を外部に出力する出力回路と、前記第2データ処理ブロックから出力される第1情報(図13のS12bのメッセージm’(102b))に第1生成論理(104b)による誤り検出符号を付加して第2情報(図13のシグナチャー105b)を出力する符号化回路(103b)と、前記第1データ処理ブロックが、第3情報(図13のS1aにおけるメッセージm)を生成し、生成した第3情報に第2生成論理(鍵A)による誤り検出符号を付加して出力した第4情報(図13のS11aにおけるシグナチャーSa(105a))及び前記符号化回路が出力する前記第2情報(105b)とを外部に出力する第1外部インタフェース回路(106)と、を有する。前記第2データ処理ブロックは、前記第1データ処理ブロックが第3情報を生成して(図13のS1a)第2生成論理による誤り検出符号を付加して(図13のS4a)第4情報を出力する動作(S11a)に並行して、第3情報を生成し(図13のS1b)、生成した第3情報に第2生成論理による誤り検出符号を付加して(図13のS4b)第4情報(シグナチャーSba)をダミー出力するための第1ダミー動作(図13のS11b)を行う。前記第1データ処理ブロックは、前記第2データ処理ブロックが第1情報を生成して出力する動作(図13のS12b)に並行して、第1情報(図13のS12aにおけるメッセージm)を生成してダミー出力するための第2ダミー動作(図13のS12a)を行う。
一部のデータ処理ブロックに対応して固有の鍵(誤り訂正符号の生成論理)を用いる符号化用のハードウェア回路を採用し、一部のデータ処理ブロックから符号化用のハードウェア回路へのデータ出力に対応させて他のデータ処理ブロックにはダミーデータ出力動作などをさせることによって、双方のデータ処理ブロックの動作プログラムを同一にしながら、符号化用のハードウェア回路を半減することができる。
〔9〕本発明の別の観点による半導体データ処理デバイス(図14、図15、図16)は、相互に同一のデータ処理機能を有する第1データ処理ブロック(100a)及び第2データ処理ブロック(100b)と、前記第1データ処理ブロック及び前記第2データ処理ブロックから出力される情報を同期的に比較する比較器(101)と、前記比較器の比較結果を外部に出力する出力回路と、前記第2データ処理ブロックから出力される第1情報(図16のS2bにおけるメッセージm’(102b))に第1生成論理(104b)による誤り検出符号を付加して第2情報(図16の105b(シグナチャーSb))を前記第1データ処理ブロック及び第2データ処理ブロックに供給する符号化回路(103b)と、前記第1データ処理ブロックが第3情報(図16のS4aにおけるメッセージm)を生成すると共に前記第3情報に第2生成論理(図16のS4aにおける鍵A)による誤り検出符号を付加して生成した第4情報(図16のS4aにおけるシグナチャーSa)及び前記第1データ処理ブロックに供給された前記第2情報(しぐなちゃーSb)とを外部に出力する第1外部インタフェース回路(106)と、を有する。前記第2データ処理ブロックは、前記第1データ処理ブロックが第3情報を生成し第2生成論理による誤り検出符号を付加して第4情報を生成して出力する動作(図16のS4a,S10a)に並行して、第3情報を生成し生成した第3情報に第2生成論理(鍵A)による誤り検出符号を付加して(図16のS4b)第4情報をダミー出力するための第1ダミー動作(図16のS10b)を行う。前記第1データ処理ブロックは、前記第2データ処理ブロックが第1情報を生成して出力するための動作(図16のS2b)に並行して、第1情報を生成してダミー出力する第2ダミー動作(図16のS2a)を行う。
これによれば、外部へ出力されるシグナチャー出力(図16の107)が本来の機器制御を行う第1データ処理ブロックの出力に限定される。これは、本来の機器制御を行う第1データ処理ブロックのプログラムだけでシグナチャー出力の出力動作を規定することができることを意味する。したがって、本来の機器制御を行う第1データ処理ブロックとは別の第2データ巣折ブロックのプログラムによる出力動作が外部に直接影響を与えることはなく、マイクロコンピュータの設計概念が、本来の機器制御を行う第1データ処理ブロックだけを含むものと大きく変わることはなく、マイクロコンピュータの設計手法という点において優れている。
〔10〕本発明の別の観点による半導体データ処理デバイス(図17、図18)は、相互に同一のデータ処理機能を有する第1データ処理ブロック(100a)及び第2データ処理ブロック(100b)と、前記第1データ処理ブロック及び前記第2データ処理ブロックから出力される情報を同期的に比較する比較器(101)と、前記比較器の比較結果を外部に出力する出力回路(106)と、前記第2データ処理ブロックから出力される第1情報(102b)に第1生成論理(104b)による誤り検出符号を付加して第2情報(105b)を前記第1データ処理ブロック及び第2データ処理ブロックに供給する第1符号化回路(103b)と、前記第1データ処理ブロックから出力される第3情報(102a)に第2生成論理(104a)による誤り検出符号を付加して第4情報(105a)を前記第2データ処理ブロック及び第1データ処理ブロックに供給する第2符号化回路(103a)と、前記第1データ処理ブロックが、前記第2データ処理ブロックから供給された第2情報と前記第1データ処理ブロックから供給された第4情報とを外部に出力する第1外部インタフェース回路(106)と、を有する。前記第1データ処理ブロックは、前記第2データ処理ブロックが第1情報を生成して出力する動作(図18のS2b)に並行して、第1情報を生成してダミー出力するための第1ダミー動作(図18のS2a)を行う。前記第2データ処理ブロックは、前記第1データ処理ブロックが第3情報を生成して出力する動作(図18のS2’a)に並行して、第3情報を生成してダミー出力するための第2ダミー動作を行う(図18のS2’b)。前記第2データ処理ブロックは、前記第1データ処理ブロックが第1情報及び第3情報を出力する動作(図18のS10a)に並行して、第1情報及び第3情報をダミー出力するための第3ダミー動作(図18のS10b)を行う。
〔11〕項8乃至10の何れかの半導体データ処理デバイスにおいて、前記符号化回路は、夫々のデータ処理ブロック毎に、誤り検出符号を生成するための生成条件を保持する符号化鍵と、前記符号化鍵を用いて前記情報の誤り検出符号を生成して付加する論理回路とを有する。
〔12〕項11の半導体データ処理デバイスにおいて、前記第1データ処理ブロック及び前記第2データ処理ブロックは同一のクロック信号によって同期動作される。
〔13〕項12の半導体データ処理デバイスにおいて、前記第1データ処理ブロック及び前記第2データ処理ブロックは相互に位相差のあるクロック信号を入力して同期動作され、前記比較器は、夫々の前記データ処理ブロックの出力に対して前記位相さを相殺する遅延回路を通した信号を比較対象とする。
〔14〕項8乃至10の何れかの半導体データ処理デバイスにおいて、前記第1データ処理ブロック及び前記第2データ処理ブロックはプログラムを実行するマイクロプロセッサである。
〔15〕項8乃至10の何れかの半導体データ処理デバイスにおいて、前記第1外部インタフェース回路はシリアル出力回路である。
〔16〕項8乃至10の何れかの半導体データ処理デバイスにおいて、前記第1データ処理ブロックは本来の制御用途のための主データ処理ブロックであり、前記第2データ処理ブロックは冗長データ処理ブロックである。主データ処理ブロックが本来の制御用途のための外部インタフェースに用いる第2外部インタフェースは出力動作用の回路に対する故障検出機能を有し、故障検出信号を外部に出力する。
〔17〕本発明に係るデータ処理システムは、項1に記載の半導体データ処理デバイスと、前記半導体データ処理デバイスが制御対象とする制御対象回路と、前記制御対象回路の動作または動作停止を制御する制御信号を生成するロジック回路と、を有する。前記ロジック回路は、第1インタフェース回路から出力される第2情報と比較回路から出力される比較結果信号を入力し、前記第2情報の非正当性又は比較結果信号による比較不一致状態を判別したとき、前記制御対象回路を動作停止させる。これにより、データ処理システムにおけるデータ処理の信頼性を容易に向上させることができる。
〔18〕本発明に係る別のデータ処理システムは、項8乃至10のいずれかの半導体データ処理デバイスと、前記半導体データ処理デバイスが制御対象とする制御対象回路と、前記制御対象回路の動作または動作停止を制御する制御信号を生成するロジック回路と、を有する。前記ロジック回路は、第1インタフェース回路から出力される第2情報、第4情報及び比較回路から出力される比較結果信号を入力し、前記第2情報若しくは第4情報の非正当性又は比較結果信号による比較不一致状態を判別したとき、前記制御対象回路を動作停止させる。これにより、データ処理システムにおけるデータ処理の信頼性を容易に向上させることができる。
2.実施の形態の詳細
実施の形態について更に詳述する。
図1は本発明に係る半導体データ処理デバイスの一例であるマイクロコンピュータの基本的な構成を示すブロック図である。
マイクロコンピュータ10は単結晶シリコンのような1個の半導体基板に例えば相補型MOS集積回路製造技術等によって構成され、特に制限されないが、第1プロセッサ(PRCSRA)100aと第2プロセッサ(PRCSRB)100bを有する。第1プロセッサ100aは制御対象機器に対する本来の制御用途に用いるプロセッサである。109は本来の制御用途のための外部制御信号を総称する。外部制御信号109のインタフェース回路は図示を省略してある。第2プロセッサ100bは、マイクロコンピュータの信頼性維持のために搭載された、第1プロセッサ100aに対する冗長プロセッサである。
第1プロセッサ100aと第2プロセッサ100bは相互に同じハードウェアを有し同じプログラムを同期的に実行する。第1プロセッサ100aと第2プロセッサ100bの具体的な回路構成についてはここでは図示を省略するが、例えば、プログラムを格納するプログラムメモリ、前記プログラムメモリから命令をフェッチして実行するCPU(中央処理装置)、CPUのワークメモリ、及びその他の周辺回路を備え、それらは内部アドレスバス、内部データバス及び内部コントロールバスに接続される。
第1プロセッサ100a及び第2プロセッサ100bの夫々の命令実行によって生成されるデータ、アドレス信号、コントロール情報は、夫々のプロセッサ100a,100bの内部アドレスバス、内部データバス及び内部コントロールバスに現れる。比較器(COMP)101は、第1プロセッサ100aと第2プロセッサ100bのデータ処理によって内部で生成されるデータバス信号、アドレスバス信号、及びコントロールバス信号を、相互に対応するもの同士で比較する。比較動作はプロセッサ100a,100の動作サイクル単位で毎サイクル行ってもよいし、適当な複数サイクル単位で行ってもよい。比較結果は比較結果信号32として外部に出力される。比較結果信号32をマイクロコンピュータの外部に出力するインタフェース回路としての出力回路は図示を省略してある。
また、第1プロセッサ100aはその動作プログラムにしたがって、複数の命令実行サイクル毎にメッセージを生成して出力する処理を実行する。第1プロセッサ100aが生成するメッセージ102aは排他的論理和などの論理回路103aにより第1鍵(ENCDKA)104aを用いて符号化される。同様に、第2プロセッサ100bはその動作プログラムにしたがって、上記と同じ複数の命令実行サイクル毎にメッセージを生成して出力する処理を実行する。第2プロセッサ100bが生成するメッセージ102bは排他的論理和などの論理回路103bにより第2鍵(ENCDKB)104bを用いて符号化される。第1プロセッサ100aによる符号化処理は、例えばメッセージ102aに誤り検出コードを付加して符号化する処理であり、例えば第1鍵104aは誤り検出コードの生成多項式などとされる。第2プロセッサ100bによる符号化処理は、上記と同じくメッセージ102bに誤り検出コードを付加して符号化する処理であり、例えば第1鍵104bは誤り検出コードの生成多項式などとされる。符号化データの復号、すなわち誤り検出処理には、その生成多項式に対応する復号論理を用いる。このとき、第1鍵104aと第2鍵104bは異なるから、夫々の符号化データの復号に用いる復号論理は相違されることになり、この点において、それぞれ符号化された符号化データ105a,105bが何れのプロセッサから出力されたメッセージに対応するかは、それに用いる復号論理の相違として区別可能である。したがって符号化データ105a,105bをシグナチャーとも称する。シグナチャー105a,105bは出力インタフェース(I/F)106に接続する出力端子1060からシグナチャー出力107として出力される。誤り訂正符号を付加することによりインタフェース回路106の故障による不所望なデータ変化によって双方のプロセッサのシグナチャーから差異が消失するというような事態にも対処できるようになる。
出力端子1060の端子数を削減するにはシグナチャー出力をシリアル出力とすることが好ましい。シグナチャー出力107はプロセッサ100aによる本来の制御対象に出力すべき信号ではなく、システムの信頼性維持のための冗長的な信号だからである。シリアル出力を採用する場合には、そのときのシグナチャー出力107が何れのプロセッサの出力によるものであるかを認識できるように交互出力の順番が予め決められており、外部ではこの規則に則っとればシグナチャー出力107が何れのプロセッサの出力に起因するものであるかを認識することができる。
以上説明したように、第1プロセッサ100aのメッセージ出力102aと第2プロセッサ100bのメッセージ出力102bはそれぞれ異なる固有の第1鍵104a、第2鍵104b符号化演算されるため、共通の外部端子1060を介して出力されても、外部では何れのプロセッサ100aまたは100bの出力メッセージに基づくシグネチャーであるかを識別でき、シグネチャーの正当性を保証することができる。
さらに、メッセージ出力102aを第1鍵104aで符号化する演算操作にはプロセッサ100a外部のハードウェアである論理回路103aを用い、メッセージ出力102bを第2鍵104bで符号化する演算操作にはプロセッサ100b外部のハードウェアである論理回路103bを用いるから、符号化のために第1プロセッサ100aと第2プロセッサ100bに異なる動作をさせることを要しない。即ち、第1プロセッサ100aと第2プロセッサ100bの動作プログラムを完全同一にすることができる。したがって、比較器101で第1プロセッサ100aと第2プロセッサ100bの出力を常時比較することができる。
シグナチャー出力107シリアル出力とすることにより、マイクロコンピュータの外部端子であるピン数、配線を少なくして、マイクロコンピュータの小型化と低価格化に資することができる。
図2にはプロセッサ100a,100bを同じクロック信号CLKで同期動作させることを明示した例が示される。この場合、比較器101は第1プロセッサ100aの出力と第2プロセッサ100bの出力を対応するもの同士でそのまま比較すればよい。比較タイミングを特に制御することを要しない。
図3にはプロセッサ100aと100bとに供給するクロック信号の位相をずらすことを明示した例が示される。この場合、第1プロセッサ100aにはクロック信号CLKが供給され、第2プロセッサ100bにはクロック信号CLKを遅延回路(DLY)21で遅延させたクロック信号が供給される。この場合には、比較器101による比較タイミングを制御することが必要になり、例えば、第1プロセッサ100aからの出力を遅延回路(DLY)22で遅延させて比較器101に供給する。遅延回路21と遅延回路22の遅延時間は等しい。第1プロセッサプロ100aと第2プロセッサ100bの動作タイミングがずれることにより、電流ピークが抑制され、電気的ノイズによる誤動作防止に役立つ。
特に、両プロセッサを半クロック奇数倍の時間差を持って動作させれば、電気的ノイズにより冗長化した両プロセッサで同じ誤りが発生するのを防止し、誤り検出率を高め、動作の安全性を高めることが可能となる。例えば、図4に示すように遅延回路21にインバータを用いてクロック信号CLKを1/2サイクル遅延させ、遅延回路22は信号反転を行わずに1/2サイクル分だけ信号を伝播遅延させる。
尚、図1において第1プロセッサ100aと第2プロセッサ100bの同期クロック信号を明示しないのは、図2及び図3のほかに、夫々が固有のクロック信号に同期動作する場合など、その他の同期動作の実現手法を採用することも可能であることを想定するためである。要は、比較器101の比較動作において対応する情報同士を比較すればよく、プロセッサ100a,100bの出力をFIFOバッファに一時的に蓄積し、双方にFIFOIバッファのリードを同期的に行って比較動作を行ってもよい。
図5には本来の制御用途のための外部制御信号109のインタフェース回路に故障検出機能を付加したマイクロコンピュータの例が示される。
図5では通常の外部制御信号109のための出力インタフェース108とシグナチャー出力107のための出力インタフェース106を別に設け、出力インタフェース108には全部または所定の一部の信号に対する故障検出機能が備えられる。
一般に制御用のマイクロプロセッサでは通常の外部制御信号109として、単純なデジタル出力の他に、タイマ出力などがある。特にモータやソレノイドを制御する用途ではタイマ出力としてPWM(パルス幅変調)の信号を出力することが多い。これらのタイマ出力は高速で変化する信号であるため、これらに上記鍵と同様の鍵を用いて誤り訂正符合を付加して出力するのは不向きである。そこで、タイマ出力などに代表される通常の外部制御信号109のための出力インタフェース108と、プロセッサの正常動作を保障するシグナチャー出力107のための出力インタフェース106とを別に設ける。
出力インタフェース108は故障検出機能(FLTDTC)を有し、この故障検出機能は、外部インタフェース機能に対する故障検出機能であり、故障を検出することによって故障検出信号37を出力する。この故障検出機能のそれ自体の具体例については詳細を後述する。
図6には図5のマイクロコンピュータを用いたデータ処理システムの一例が示される。50はマイクロコンピュータ10の本来の制御対象(CTRGT)である。駆動回路(IFDRV)40は外部制御信号109を受けて制御対象50の制御端子を駆動したりする回路である。駆動回路40にはパワースイッチ41を介して動作電源PWRが供給され、駆動回路40の出力はトランスファスイッチ42を介して制御対象50に供給される。前記パワースイッチ41とトランスファスイッチ42は、例えば制御信号33のハイレベルによってオン状態、ローレベルによってオフ状態にされる。
前記制御信号33を生成するために例えば照合回路(CHCK)30とアンドゲート35を備える。照合回路30はシグナチャー出力107の正当性の判定を行い、不当であることを判別したときローレベルをアンドゲート35に出力する。出力インタフェース108は故障を検出することによって故障検出信号37をローレベルに変化させてアンドゲート35に出力する。比較器1012は比較不一致を判別したとき比較結果信号32をローレベルに変化させてアンドゲート35に出力する。これにより、照合回路30による照合不一致、インタフェース回路108における故障検出、比較器101による比較不一致のいずれかが発生したときドライバ40の出力を切断し、ドライバ40の電源を遮断することで制御対象50に対する誤った制御の発生を抑制することができ、制御システムの安全性を堅固に保障することができる。
ここでは制御を停止する場合を説明したが、信号33によってマイクロコンピュータ10を別のマイクロコンピュータに切換えたりすることも可能である。また、信号33の生成には照合回路30による照合不一致、インタフェース回路108における故障検出、比較器101による比較不一致の全てを参照することを要しない。少なくとも、照合回路30による照合不一致と比較器101による比較不一致を参照すればよい。比較器101に故障を生じてプロセッサ100a、100bの故障が比較結果信号32に反映されなくなってもシグナチャー出力107の正当性によってプロセッサ100a、100bの故障を外部で把握することができる。
特に図示はしないが、図6のデータそりシステムは、自動車のエンジン制御などのパワーとレイン系、自動車のブレーキ制御などのシャーシ系、その他自動車のボディー系などの各種自動車制御装置に適用することによって、そのシステムの信頼性向上に資することができる。自動車に限らず、鉄道、エレベータ等の設備機器、産業用機器などにも広く適用することができる。
図7には照合回路30の具体例が示される。シグナチャー出力107は分離回路(DIV)300により第1プロセッサ100aと第2プロセッサ100b夫々のシグナチャーに分離される。第1プロセッサ100aのシグナチャーは論理回路301aにより第1鍵302aを用いて復号演算されて元のメッセージに復号される。第2プロセッサ100bのシグナチャーは論理回路301bにより第2鍵302bを用いて復号演算されて元のメッセージに復号される。第1鍵302aは第1鍵104aに対応する復号用の多項式であり、第2鍵302bは第2鍵104bに対応する復号用の多項式である。
以上のようにして復号された双方プロセッサ100a、100bのメッセージは比較器(COMP)303に入力されて比較され、その比較結果が照合結果31として出力される。分離回路300はシグナチャー107をその入力順に論理回路301a側と論理回路301b側に振り分ければよい。要するに、シグナチャー出力107がシリアル伝送される場合には、分離回路300では伝送される順番により両プロセッサのシグナチャーを分離すればよい。
図8、図9、図10にはインタフェース回路108の具体例が示される。制御対象50に供給される外部制御信号109のためのインタフェース回路108は信号に誤り訂正符号を付加しないから、前述の通り、その安全性を保障するためにインタフェース回路108は故障検出機能を備える。
図8においてインタフェース回路108は外部制御信号109の信号ビット毎に2重化されたレジスタ(REG)1080a,1080bとインタフェースバッファ(IFBUF)1081a,1081bを有し、インタフェースバッファ1081aの出力とインタフェースバッファ1081bの出力を比較器1082で比較して、比較結果信号37を出力する。レジスタ1080a,1080bは第1プロセッサ100aにより出力データが書き込まれる。11は外部制御信号109を出力する出力端子である。
図8の構成によれば、外部制御信号109のためのインタフェース回路108の故障を検出することができ、外部制御出力109が正常であることを保障することができる。
図9ではインタフェースバッファ1081aの出力を一旦出力端子11を介して出力し、出力端子11’を介して再び入力して比較器1082でインタフェースバッファ1081bの出力と比較するように構成される。この構成によれば、出力端子11と外部の接続手段(例えば、配線基板上のパッド)との接続不良も検出することができる。
図10においては2重化したレジスタのうち、レジスタ1080aは第1プロセッサ100aにより書き込み制御され、レジスタ1080bは第2プロセッサ100bにより書き込み制御される。個の構成によれば、インタフェースバッファ1081aの誤動作を比較器1082で検出できるだけでなく、第1プロセッサ100aの誤動作を、比較器101に加えて、比較器1082でも検出することができる。これによれば、第1プロセッサ100aの誤動作を比較器101と比較器1082によって二重に検出できるから、図6のような構成に適用されるとき、制御対象50に対する制御の安全性を更に堅固に保障することが可能になる。
以上の説明では第1プロセッサ100aと第2プロセッサ100bの夫々のメッセージ出力102a,102bに個別の鍵を用いてハードウェアで符号化する構成とした。以下においては、一方のプロセッサのメッセージ出力だけをハードウェアで符号化するようにして、ハードウェアの回路規模を縮小した構成について説明する。
図11には一方の第2プロセッサ100bのメッセージ出力102b側だけに符号化のハードウェアを設けた構成が例示される。メッセージ出力102bは第2鍵104bを用いて論理回路103bで上記同様に符号化される。図12には図11の構成によって上記同様のシグナチャー出力107を生成するために用いるプロセッサのバッファレジスタ構成が例示される。第1プロセッサ100aは命令実行によって書き込み可能にされるバッファレジスタ110a,111aを有し、一方のバッファレジスタ110aの出力はインタフェース回路106に接続され、他方のバッファレジスタ111aの出力はフローティングにされる。第2プロセッサ100bは命令実行によって書き込み可能にされるバッファレジスタ110b,111bを有し、一方のバッファレジスタ110bの出力はフローティングにされ、他方のバッファレジスタ111bの出力は論理回路103bに接続される。
図13には図11及び図12の構成において第1プロセッサ100aと第2プロセッサ100bのメッセージ出力に鍵を用いて符号化する処理手順が例示される。
最初のステップS1a、S1bでは両プロセッサ100a,10bではメッセージを作成する。ここで第1プロセッサ100aが作成したメッセージをm、第2プロセッサ100bが作成したメッセージをm’と呼ぶことにする。両プロセッサ100a,100bが正常に動作しているときにはm=m’で、比較器101により両者の動作が一致していることが確認される。
次のステップS4a、S4bでは両プロセッサ100a,100bはメッセージに第1鍵を用いて符号化処理を行ってシグナチャーを作成する。この符号化処理は、両プロセッサ100a,100bが共に同じ第1鍵を用いてソフトウェアで実行する。このとき第1鍵も当然ソフトウェアで提供される。即ちプログラムに記述される。両プロセッサ100a,100bが作成したシグナチャーを夫々Sa、Sbaとする。このステップまで両プロセッサが正常に動作しているときにはSa=Sbaでで、比較器101により両者の動作が一致していることが確認される。
次のステップS11a、S11bでは両プロセッサ100a,100bはシグナチャーをレジスタ110a、110bに書き込む。但し、プロセッサB(100b)が書き込んだレジスタ110bは出力に関与しないダミーのレジスタで、第1プロセッサ100aが書き込んだシグナチャー105aのみが出力インタフェース106に出力される。第2プロセッサ100bがダミーのレジスタ110bにシグナチャーを書き込むのは両プロセッサ100a,100bのプログラム実行動作を一致させるためである。このステップまで両プロセッサが正常に動作しているときには比較器101により両者の動作が一致していることが確認される。
次のステップS12a、S12bでは両プロセッサ100a,100bはメッセージm,m’をレジスタ111a、111bに書き込む。但し、第1プロセッサ100aが書き込んだレジスタ111aは出力に関与しないダミーのレジスタで、第2プロセッサ100bが書き込んだメッセージ102bのみがハードウェアにて第2鍵104bを用いて符号化され、出力インタフェース106に出力される。第1プロセッサ100aがダミーのレジスタ111aに書き込むのは両プロセッサのプログラム実行動作を一致させるためである。このステップまで両プロセッサ100a,100bが正常に動作しているときには比較器101により両者の動作が一致していることが確認される。
尚、図11の構成に対してインタフェース回路206から出力されるシグナチャー出力を図6と同様の照合回路30で一致/不一致を検査する場合、両プロセッサ100a,100bはそのプログラムに従って毎回同じメッセージを生成するようにされなければならない。
図14には第2プロセッサ100bのメッセージ102bに第2鍵104bを付加して両プロセッサ100a,100bに出力するハードウェアを採用したマイクロコンピュータが例示される。第2プロセッサ100bのメッセージ102bを符号化する第2鍵104bと論理回路103bをハードウェアで備える。この例においても図11と同じく第1プロセッサ100aのメッセージに鍵を用いて符合化するハードウェアを必要としない。
図15には図14の構成によって上記同様のシグナチャー出力107を生成するために用いるプロセッサのバッファレジスタ構成が例示される。レジスタ111a、111bはメッセージを書き込むためのレジスタで、第2プロセッサ100bが備えるレジスタ111bに書き込まれたメッセージは第2鍵104bを用いて論理回路103bで符号化され、シグナチャー105bとして両プロセッサ100a,100bのバッファレジスタ112a、112bに供給される。第1プロセッサ100aが備えるバッファレジスタ111aは出力動作を伴わないダミーのレジスタで、両プロセッサのプログラム実行動作を一致させるためのものである。要するに、第2プロセッサ100bがバッファレジスタ111bにメッセージを書き込むプログラム動作を行うとき、第1プロセッサ100aも同じくバッファレジスタ111aにメッセージを書き込むプログラム動作を行う。
バッファレジスタ110a、110bはシグナチャーを書き込むためのレジスタで、第1プロセッサ100aが備えるバッファレジスタ110aに書き込まれたシグナチャー105aがインタフェース回路106を介してシグナチャー出力107として出力される。第2プロセッサ100bが備えるレジスタ110bは出力動作を伴わないダミーのレジスタで、両プロセッサのプログラム動作を一致させるためのものである。
図16には図15の構成により第1プロセッサ100aと第2プロセッサ100bがシグナチャーを生成して出力するための処理手順が例示される。
最初のステップS1a、S1bでは図13同様に両プロセッサ100a,100bではメッセージを作成する。ここで第1プロセッサ100aが作成したメッセージをm、第2プロセッサ100bが作成したメッセージをm’と呼ぶことにする。両プロセッサ100a,100bが正常に動作しているときにはm=m’で、比較器101により両者の動作が一致していることが確認される。
次のステップS2a、S2bでは両プロセッサ100a,100bは夫々バッファレジスタ111a、111bにメッセージを書き込む。このとき、第2プロセッサ100bが備えるレジスタ111bに書き込まれたメッセージは第2鍵104bを用いて論理回路103bで符号化され、シグナチャー105bとして両プロセッサ100a,100bのバッファレジスタ112a、112bに出力される。
続いて、ステップS3a、S3bでは両プロセッサ100a,100bは夫々バッファレジスタ111a、111bを読み出す。ここで第1プロセッサ100aが読み出した内容をシグナチャーSb、第2プロセッサ100bが読み出した内容をシグナチャーSb’とする。このステップまで両プロセッサ100a,100bが正常に動作しているときにはSb=Sb’で、比較器101により両者の動作が一致していることが確認される。
次のステップS4a、S4bでは両プロセッサ100a,100bは夫々ソフトウェアによってメッセージに鍵を用いて符合化するデータ処理を行なってシグナチャーを作成する。上記同様に、このときの鍵や符号化論理は夫々の動作プログラムによって規定され、その処理内容は同じとされる。これによって両プロセッサ100a,100bが作成したシグナチャーを夫々Sa、Sbaとする。このステップまで両プロセッサ100a,100bが正常に動作しているときにはSa=Sbaでで、比較器101により両者の動作が一致していることが確認される。
最後のステップS10aでは、第1プロセッサ100aはバッファレジスタ110aにシグナチャーSb,Saを書き込み、第2プロセッサ100bはバッファレジスタ110bにシグナチャーSb’,Sbaを書き込む処理を行ない、バッファレジスタ110aに書き込まれた内容がインタフェース106を介してシグナチャー出力107として出力される。バッファレジスタ110bに書き込まれた内容は出力されない。
図14及び図15の構成では、外部へ出力されるシグナチャー出力107が本来の機器制御を行う第1プロセッサ100aのバッファレジスタ110aの出力に限定される。これは、本来の機器制御を行う第1プロセッサ100aのプログラムだけでシグナチャー出力107の出力動作を規定することができることを意味する。図1や図11などのように、信頼性保障のためのプロセッサ100bのバッファレジスタの出力も直接に外部へ出力する構成では、本来の機器制御を行う第1プロセッサ100aとは別の第2プロセッサ100aのプログラムによる出力動作が外部に直接影響を与えることになり、マイクロコンピュータの設計概念が本来の機器制御を行う第1プロセッサだけを含むものと大きく変わってしまう。マイクロコンピュータの設計手法という点において図14及び図15の構成が優れている。
図17には図15の変形例として第1プロセッサ100aのメッセージ103aにも第2鍵104aを用いて符号化するハードウェアを備えるようにしたマイクロコンピュータの要部の構成が例示される。図15に対して第1プロセッサ100側に第1鍵(ENCDKA)104aと論理回路103を追加し、第1プロセッサ100aにバッファレジスタ111a’,112aを追加し、第2プロセッサ100bにバッファレジスタ111b’,112bを追加した。レジスタ111a’、111b’はメッセージを書き込むためのレジスタで、第1プロセッサ100aが備えるレジスタ111a’に書き込まれたメッセージは第1鍵104aを用いて論理回路103aで符号化され、シグナチャー105bとして両プロセッサ100a,100bのバッファレジスタ112a’、112b’に供給される。第2プロセッサ100bが備えるバッファレジスタ111b’は出力動作を伴わないダミーのレジスタで、両プロセッサのプログラム実行動作を一致させるためのものである。要するに、第1プロセッサ100aがバッファレジスタ111a’にメッセージを書き込むプログラム動作を行うとき、第2プロセッサ100bも同じくバッファレジスタ111b’にメッセージを書き込むプログラム動作を行う。その他の構成は図15と同じであるからその詳細な説明は省略する。
図18には図17の構成により第1プロセッサ100aと第2プロセッサ100bがシグナチャーを生成して出力する処理を用いた動作手順が示される。図18では図16のステップS4a、S4bに代えて、ステップS2’a、S2’b、S3’a、S3’bを実行する。
ステップS2’a、S2’bでは両プロセッサ100a,100bは夫々バッファレジスタ111a、111bにメッセージを書き込む。このとき、第1プロセッサ100aが備えるレジスタ111aに書き込まれたメッセージは論理回路103aで第1鍵104aを用いて符号化され、シグナチャー105aとして両プロセッサ100a,100bのレジスタ112a、112bに出力される。
続いて、ステップS3’a、S3’bでは両プロセッサ100a,100bは夫々バッファレジスタ111a、111bを読み出す。ここで第1プロセッサ100aが読み出した内容をシグナチャーSa、第2プロセッサ100bが読み出した内容をシグナチャーSa’とする。このステップまで両プロセッサ100a,100bが正常に動作しているときにはSb=Sa’で、比較器101により両者の動作が一致していることが確認される。
図19には本発明におけるシグナチャー出力と通常処理との関係に着目したフローチャートが例示される。第1プロセッサ100aと第2プロセッサ100bでは通常処理(本来の制御対象に対する制御処理)200の間に一定時間未満の間隔を置いてシグナチャー出力処理201、201’を実行する。照合機能30では一定時間未満の間隔でシグナチャー出力処理201、201’により出力されたシグナチャーが一致していることにより、シグナチャー出力に関して第1プロセッサ100aと第2プロセッサ100bが正常であることを確認することができる。
以上本発明者によってなされた発明を実施形態に基づいて具体的に説明したが、本発明はそれに限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは言うまでもない。
例えば、図6以降において同期クロックの図示が省略されているマイクロコンピュータにおける同期クロックは図1乃至図3の説明と同様である。データ処理ブロックの数は2個に限定されない。例えばマルチプロセッサシステムにおいて、個々のプロセッサに冗長用のプロセッサを配置する。データ処理ブロックは汎用プロセッサであってもよいし、特定の機器制御用途に特化された専用プロセッサであってもよい。データ処理ブロックはプロセッサおよびこのプロセッサによるデータ処理の一部を負担するアクセラレータであってもよい。また、データ処理ブロックにはCPUのほかのコプロセッサ又は信号処理プロセッサを含む構成であってもよい。
図1は本発明に係る半導体データ処理デバイスの一例であるマイクロコンピュータの基本的な構成を示すブロック図である。 図2は双方のプロセッサを同じクロック信号で同期動作させることを明示した例を示すブロック図である。 図3は双方のプロセッサに供給するクロック信号の位相をずらすことを明示した例を示すブロック図である。 図4は図3において両プロセッサを半クロックの時間差を持って動作させる時の構成を例示するブロック図である。 図5は本来の制御用途のための外部制御信号のインタフェース回路に故障検出機能を付加したマイクロコンピュータを例示するブロック図である。 図6は図5のマイクロコンピュータを用いたデータ処理システムの一例を示すブロック図である。 図7は照合回路の具体例を示すブロック図である。 図8は図5の故障検出機能を備えたインタフェース回路の具体例を示すブロック図である。 図9は図5の故障検出機能を備えたインタフェース回路の別の具体例を示すブロック図である。 図10は図5の故障検出機能を備えたインタフェース回路の更に別の具体例を示すブロック図である。 図11は一方の第2プロセッサのメッセージ出力側だけに符号化のハードウェアを設けた構成を例示するブロック図である。 図12は図11の構成によってシグナチャー出力107を生成するために用いるプロセッサのバッファレジスタ構成を例示するブロック図である。 図13は図11及び図12の構成において双方のプロセッサのメッセージ出力に鍵を用いて符号化する処理手順を例示するフローチャートである。 図14は第2プロセッサのメッセージに第2鍵を付加して第1及び第2プロセッサに出力するハードウェアを採用したマイクロコンピュータを例示するブロック図である。 図15は図14の構成によってシグナチャー出力を生成するために用いるプロセッサのバッファレジスタ構成を例示するブロック図である。 図16は図15の構成により第1プロセッサと第2プロセッサがシグナチャーを生成して出力するための処理手順を例示するフローチャートである。 図17は図15の変形例として第1プロセッサのメッセージにも第2鍵を用いて符号化するハードウェアを備えるようにしたマイクロコンピュータの要部の構成を例示するブロック図である。 図18は図17の構成により第1プロセッサと第2プロセッサがシグナチャーを生成して出力する処理を用いた動作手順を示すフローチャートである。 図19はシグナチャー出力と通常処理との関係に着目したフローチャートである。
10 マイクロコンピュータ
100a 第1プロセッサ(PRCSRA)
100b 第2プロセッサ(PRCSRB)
109 本来の制御用途のための外部制御信号
101 比較器(COMP)
32 比較結果信号
102a,102b メッセージ
103a 論理回路
104a 第1鍵(ENCDKA)
103b 論理回路
104b 第2鍵(ENCDKB)
105a,105b 符号化データ(シグナチャー)
106 出力インタフェース(I/F)
1060 出力端子
107 シグナチャー出力
CLK クロック信号
21、22 遅延回路(DLY)
108 出力インタフェース
37 故障検出信号
50 マイクロコンピュータ10の本来の制御対象(CTRGT)
40 駆動回路(IFDRV)
41 パワースイッチ
42 トランスファスイッチ
33 制御信号
30 照合回路(CHCK)
35 アンドゲート
1080a,1080b レジスタ(REG)
1081a,1081b インタフェースバッファ(IFBUF)
1082 比較器
110a,111a バッファレジスタ
110b,111b バッファレジスタ
112a、112b バッファレジスタ

Claims (18)

  1. 相互に同一のデータ処理機能を有する複数のデータ処理ブロックと、
    夫々の前記データ処理ブロックから出力される情報を同期的に比較する比較器と、
    前記比較器の比較結果を外部に出力する出力回路と、
    前記夫々のデータ処理ブロックから定期的に出力される第1情報に基づいてデータ処理ブロック毎に異なる生成論理による誤り検出符号を付加して第2情報を出力する符号化回路と、
    夫々の前記データ処理ブロックの第2情報を外部に出力する第1外部インタフェース回路と、を有する半導体データ処理デバイス。
  2. 前記符号化回路は、夫々のデータ処理ブロック毎に、誤り検出符号を生成するための生成条件を保持する符号化鍵と、前記符号化鍵を用いて前記情報の誤り検出符号を生成して付加する論理回路とを有する、請求項1記載の半導体データ処理デバイス。
  3. 前記夫々のデータ処理ブロックは同一のクロック信号によって同期動作される、請求項2記載の半導体データ処理デバイス。
  4. 夫々の前記データ処理ブロックは相互に位相差のあるクロック信号を入力して同期動作され、
    前記比較器は、夫々の前記データ処理ブロックの出力に対して前記位相さを相殺する遅延回路を通した信号を比較対象とする、請求項2記載の半導体データ処理デバイス。
  5. 前記データ処理ブロックは、プログラムを実行するマイクロプロセッサである、請求項1記載の半導体データ処理デバイス。
  6. 前記第1外部インタフェース回路はシリアル出力回路である、請求項1記載の半導体データ処理デバイス。
  7. 相互に同一のデータ処理機能を有する複数のデータ処理ブロックの内の一つは本来の制御用途のための主データ処理ブロックであり、残りは冗長データ処理ブロックであり、
    主データ処理ブロックが本来の制御用途のための外部インタフェースに用いる第2外部インタフェースは出力動作用の回路に対する故障検出機能を有し、故障検出信号を外部に出力する、請求項1記載の半導体データ処理デバイス。
  8. 相互に同一のデータ処理機能を有する第1データ処理ブロック及び第2データ処理ブロックと、
    前記第1データ処理ブロック及び前記第2データ処理ブロックから出力される情報を同期的に比較する比較器と、
    前記比較器の比較結果を外部に出力する出力回路と、
    前記第2データ処理ブロックから出力される第1情報に第1生成論理による誤り検出符号を付加して第2情報を出力する符号化回路と、
    前記第1データ処理ブロックが、第3情報を生成し、生成した第3情報に第2生成論理による誤り検出符号を付加して出力した第4情報と、前記符号化回路が出力する第2情報とを外部に出力する第1外部インタフェース回路と、を有し、
    前記第2データ処理ブロックは、前記第1データ処理ブロックが第3情報を生成して第2生成論理による誤り検出符号を付加して第4情報を出力する動作に並行して、第3情報を生成し、生成した第3情報に第2生成論理による誤り検出符号を付加して第4情報をダミー出力するための第1ダミー動作を行い、
    前記第1データ処理ブロックは、前記第2データ処理ブロックが第1情報を生成して出力する動作に並行して、第1情報を生成してダミー出力するための第2ダミー動作を行う、半導体データ処理デバイス。
  9. 相互に同一のデータ処理機能を有する第1データ処理ブロック及び第2データ処理ブロックと、
    前記第1データ処理ブロック及び前記第2データ処理ブロックから出力される情報を同期的に比較する比較器と、
    前記比較器の比較結果を外部に出力する出力回路と、
    前記第2データ処理ブロックから出力される第1情報に第1生成論理による誤り検出符号を付加して第2情報を前記第1データ処理ブロック及び第2データ処理ブロックに供給する符号化回路と、
    前記第1データ処理ブロックが第3情報を生成すると共に前記第3情報に第2生成論理による誤り検出符号を付加して生成した第4情報と、前記第1データ処理ブロックに供給された第2情報とを外部に出力する第1外部インタフェース回路と、を有し、
    前記第2データ処理ブロックは、前記第1データ処理ブロックが第3情報を生成して第2生成論理による誤り検出符号を付加して第4情報を生成して出力する動作に並行して、第3情報を生成し、生成した第3情報に第2生成論理による誤り検出符号を付加して第4情報をダミー出力するための第1ダミー動作を行い、
    前記第1データ処理ブロックは、前記第2データ処理ブロックが第1情報を生成して出力する動作に並行して、第1情報を生成してダミー出力するための第2ダミー動作を行う、半導体データ処理デバイス。
  10. 相互に同一のデータ処理機能を有する第1データ処理ブロック及び第2データ処理ブロックと、
    前記第1データ処理ブロック及び前記第2データ処理ブロックから出力される情報を同期的に比較する比較器と、
    前記比較器の比較結果を外部に出力する出力回路と、
    前記第2データ処理ブロックから出力される第1情報に第1生成論理による誤り検出符号を付加して第2情報を前記第1データ処理ブロック及び第2データ処理ブロックに供給する第1符号化回路と、
    前記第1データ処理ブロックから出力される第3情報に第2生成論理による誤り検出符号を付加して第4情報を前記第2データ処理ブロック及び第1データ処理ブロックに供給する第2符号化回路と、
    前記第1データ処理ブロックが、前記第2データ処理ブロックから供給された第2情報と前記第1データ処理ブロックから供給された第4情報とを外部に出力する第1外部インタフェース回路と、を有し、
    前記第1データ処理ブロックは、前記第2データ処理ブロックが第1情報を生成して出力する動作に並行して、第1情報を生成してダミー出力するための第1ダミー動作を行い、
    前記第2データ処理ブロックは、前記第1データ処理ブロックが第3情報を生成して出力する動作に並行して、第3情報を生成してダミー出力するための第2ダミー動作を行い、
    前記第2データ処理ブロックは、前記第1データ処理ブロックが第1情報及び第3情報を出力する動作に並行して、第1情報及び第3情報をダミー出力するための第3ダミー動作を行う、半導体データ処理デバイス。
  11. 前記符号化回路は、夫々のデータ処理ブロック毎に、誤り検出符号を生成するための生成条件を保持する符号化鍵と、前記符号化鍵を用いて前記情報の誤り検出符号を生成して付加する論理回路とを有する、請求項8乃至10のいずれか1項に記載の半導体データ処理デバイス。
  12. 前記第1データ処理ブロック及び前記第2データ処理ブロックは同一のクロック信号によって同期動作される、請求項11記載の半導体データ処理デバイス。
  13. 前記第1データ処理ブロック及び前記第2データ処理ブロックは相互に位相差のあるクロック信号を入力して同期動作され、
    前記比較器は、夫々の前記データ処理ブロックの出力に対して前記位相さを相殺する遅延回路を通した信号を比較対象とする、請求項12記載の半導体データ処理デバイス。
  14. 前記第1データ処理ブロック及び前記第2データ処理ブロックはプログラムを実行するマイクロプロセッサである、請求項8乃至10の何れか1項に記載の半導体データ処理デバイス。
  15. 前記第1外部インタフェース回路はシリアル出力回路である、請求項8乃至10の何れか1項に記載の半導体データ処理デバイス。
  16. 前記第1データ処理ブロックは本来の制御用途のための主データ処理ブロックであり、前記第2データ処理ブロックは冗長データ処理ブロックであり、
    主データ処理ブロックが本来の制御用途のための外部インタフェースに用いる第2外部インタフェースは出力動作用の回路に対する故障検出機能を有し、故障検出信号を外部に出力する、請求項8乃至10の何れか1項に記載の半導体データ処理デバイス。
  17. 請求項1に記載の半導体データ処理デバイスと、
    前記半導体データ処理デバイスが制御対象とする制御対象回路と、
    前記制御対象回路の動作または動作停止を制御する制御信号を生成するロジック回路と、を有するデータ処理システムにおいて、
    前記ロジック回路は、第1インタフェース回路から出力される第2情報と比較回路から出力される比較結果信号を入力し、前記第2情報の非正当性又は比較結果信号による比較不一致状態を判別したとき、前記制御対象回路を動作停止させる、データ処理システム。
  18. 請求項8乃至10のいずれか1項に記載の半導体データ処理デバイスと、
    前記半導体データ処理デバイスが制御対象とする制御対象回路と、
    前記制御対象回路の動作または動作停止を制御する制御信号を生成するロジック回路と、を有するデータ処理システムにおいて、
    前記ロジック回路は、第1インタフェース回路から出力される第2情報、第4情報及び比較回路から出力される比較結果信号を入力し、前記第2情報若しくは第4情報の非正当性又は比較結果信号による比較不一致状態を判別したとき、前記制御対象回路を動作停止させる、データ処理システム。
JP2009003155A 2009-01-09 2009-01-09 半導体データ処理デバイス及びデータ処理システム Pending JP2010160712A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009003155A JP2010160712A (ja) 2009-01-09 2009-01-09 半導体データ処理デバイス及びデータ処理システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009003155A JP2010160712A (ja) 2009-01-09 2009-01-09 半導体データ処理デバイス及びデータ処理システム

Publications (1)

Publication Number Publication Date
JP2010160712A true JP2010160712A (ja) 2010-07-22

Family

ID=42577819

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009003155A Pending JP2010160712A (ja) 2009-01-09 2009-01-09 半導体データ処理デバイス及びデータ処理システム

Country Status (1)

Country Link
JP (1) JP2010160712A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012046609A1 (ja) * 2010-10-04 2012-04-12 三菱重工業株式会社 制御装置および原子力発電プラント制御システム
JP2014081853A (ja) * 2012-10-18 2014-05-08 Renesas Electronics Corp 半導体装置
JP2017004304A (ja) * 2015-06-11 2017-01-05 大日本印刷株式会社 演算装置、icカード、演算方法、及び演算処理プログラム

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06161798A (ja) * 1992-11-24 1994-06-10 Hitachi Ltd 情報処理装置
JPH1011309A (ja) * 1996-06-19 1998-01-16 Hitachi Ltd プロセッサ出力比較方法およびコンピュータシステム
JPH10261762A (ja) * 1997-03-19 1998-09-29 Hitachi Ltd メモリを内蔵した多重化マイクロコントローラ
JP2000010940A (ja) * 1998-06-19 2000-01-14 Hitachi Ltd 多重系処理装置及び多重系処理装置に接続されたコントローラ及び多重系処理システム
JP2004234144A (ja) * 2003-01-29 2004-08-19 Hitachi Ltd プロセッサの動作比較装置および動作比較方法
JP2009140213A (ja) * 2007-12-06 2009-06-25 Hitachi Ltd チップ内冗長化による高信頼システム及びその制御方法
JP2010113388A (ja) * 2008-11-04 2010-05-20 Renesas Technology Corp 処理結果を照合する比較器を有するマルチコアマイコン

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06161798A (ja) * 1992-11-24 1994-06-10 Hitachi Ltd 情報処理装置
JPH1011309A (ja) * 1996-06-19 1998-01-16 Hitachi Ltd プロセッサ出力比較方法およびコンピュータシステム
JPH10261762A (ja) * 1997-03-19 1998-09-29 Hitachi Ltd メモリを内蔵した多重化マイクロコントローラ
JP2000010940A (ja) * 1998-06-19 2000-01-14 Hitachi Ltd 多重系処理装置及び多重系処理装置に接続されたコントローラ及び多重系処理システム
JP2004234144A (ja) * 2003-01-29 2004-08-19 Hitachi Ltd プロセッサの動作比較装置および動作比較方法
JP2009140213A (ja) * 2007-12-06 2009-06-25 Hitachi Ltd チップ内冗長化による高信頼システム及びその制御方法
JP2010113388A (ja) * 2008-11-04 2010-05-20 Renesas Technology Corp 処理結果を照合する比較器を有するマルチコアマイコン

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012046609A1 (ja) * 2010-10-04 2012-04-12 三菱重工業株式会社 制御装置および原子力発電プラント制御システム
JP2012079184A (ja) * 2010-10-04 2012-04-19 Mitsubishi Heavy Ind Ltd 制御装置および原子力発電プラント制御システム
US9684302B2 (en) 2010-10-04 2017-06-20 Mitsubishi Heavy Industries, Ltd. Control device and nuclear power plant control system
JP2014081853A (ja) * 2012-10-18 2014-05-08 Renesas Electronics Corp 半導体装置
JP2017004304A (ja) * 2015-06-11 2017-01-05 大日本印刷株式会社 演算装置、icカード、演算方法、及び演算処理プログラム

Similar Documents

Publication Publication Date Title
US9329927B2 (en) Semiconductor device
WO2014041596A1 (ja) 安全コントローラ
JP6266239B2 (ja) マイクロコンピュータ
JP3229070B2 (ja) 多数決回路及び制御ユニット及び多数決用半導体集積回路
WO2008119756A1 (en) Delayed lock-step cpu compare
US8046137B2 (en) Microcontroller, control system and design method of microcontroller
Sim et al. A dual lockstep processor system-on-a-chip for fast error recovery in safety-critical applications
KR20070038543A (ko) 듀얼 컴퓨터 시스템의 데이터 및/또는 명령에 대한 액세스지연 방법 및, 상응하는 지연 유닛
JP2010160712A (ja) 半導体データ処理デバイス及びデータ処理システム
RU2360280C2 (ru) Способ и устройство для обработки операндов в процессоре
US20090024908A1 (en) Method for error registration and corresponding register
JP2008518302A (ja) 外部で発生される少なくとも1つの信号によりマルチプロセッサシステムの動作モードを切替える方法及び装置
CN115098273A (zh) 双核锁步方法、装置和电子设备
WO1998010348A1 (en) Microcontroller fail-safe system
US8539306B2 (en) Data processing circuit and data processing method
WO2023022035A1 (ja) プロセッサ
JP6588068B2 (ja) マイクロコンピュータ
JP5541484B2 (ja) データ照合装置
JP6032813B2 (ja) バス照合回路および集積回路装置
JP2008146188A (ja) 集積回路
JP2022184410A (ja) 演算装置
JP2003044309A (ja) バス照合回路
JP2006011576A (ja) 高信頼性制御装置
JP2002247012A (ja) バス照合回路
JP2023035739A (ja) 半導体装置

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20100527

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20111222

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131004

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131010

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20140220