JP3652232B2 - マイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステム - Google Patents
マイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステム Download PDFInfo
- Publication number
- JP3652232B2 JP3652232B2 JP2000296738A JP2000296738A JP3652232B2 JP 3652232 B2 JP3652232 B2 JP 3652232B2 JP 2000296738 A JP2000296738 A JP 2000296738A JP 2000296738 A JP2000296738 A JP 2000296738A JP 3652232 B2 JP3652232 B2 JP 3652232B2
- Authority
- JP
- Japan
- Prior art keywords
- microcomputer
- error
- output
- input
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
- Microcomputers (AREA)
- Advance Control (AREA)
- Hardware Redundancy (AREA)
Description
【0001】
【発明の属する分野】
本発明は、マイクロコンピュータの冗長構成に関し、マイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステムに関するものである。
【0002】
【従来の技術】
従来より、フォルトトレラント機能を要する制御用マイコン等の分野で、必要とされる演算を行いデータ出力するマイクロコンピュータを冗長に構成し、多数決でデータ出力を選択して冗長構成されたシステムのデータ出力とすることにより信頼性の向上が図られている。また、データ出力を比較して不一致が生じた場合にシステム出力をせず再処理することも提案されている。
【0003】
以下に、従来のマイクロコンピュータシステムについて図面を用いて説明する。 図8は、従来のマイクロコンピュータシステムにおける構成を示すブロック図である。
図8に示すように、複数のマイクロコンピュータ(略してマイコンと記載する場合もある)を用いるエラー検出システムにおける従来例においては、制御用マイコン8−8にて基準信号を発生し、演算用マイコン1〜3(8−1〜8−3)に入力し、その基準信号を使用して演算用マイコンが演算を開始する。各演算結果は比較器1〜3(8−4〜8−6)で比較され、不一致となった場合エラーとなりセレクタ8−7を制御する。比較した後、再び同一のデータを演算用マイコン1〜3(8−1〜8−3)に出力をさせ、この2回目の出力を制御用マイコンが受け付け、最終出力として出力する。
【0004】
演算用マイコンが1〜3(8−1〜8−3)と三つなので、多数決を採る際には、三つの比較器1〜3(8−4〜8−6)の中で一致したデータが直ちに多数派であると判る。
【0005】
【発明が解決しようとする課題】
しかしながら、従来のマイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステムにおいては次のような問題があった。即ち、監視側の制御用マイクロコンピュータ8−8が暴走又は故障した時は致命的である。また、エラー時に再処理する場合には、必要としている速度の倍以上の演算速度を各演算用マイクロコンピュータ1〜3(8−1〜8−3)に要求されるため、結果として、処理速度を求められるシステムに適用できない。更に、セレクタを切り替えた後、2回目の出力中の暴走が致命的である。また、1個以上のマイクロコンピュータで故障が発生している状況において、故障マイクロコンピュータのシステムからの離脱が考慮されておらず、信頼性を確保し続ける事が難しい。また、システムのトポロジーを考慮しないので、各データ出力の容易な比較判定のためには、演算用マイクロコンピュ−タの個数が三つに限定される。然もなくば、比較し多数決を採るためには監視用マイクロコンピュータ等の別途の制御系を要し、更にエラー発生マイクロコンピュータを特定するためにはアドレッシング等の付加情報を要する。また、略正しいデータ出力を期待できる状況で、全ての組合せを比較するのは無駄が大きい。
【0006】
本発明は、以上の従来技術における問題に鑑みてなされたものであり、個数自由で故障判定ができ、エラーに柔軟に対応できるマイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステムを提供することを目的とする。
【0007】
【課題を解決するための手段】
前記課題を解決するために提供する本願第一の発明に係るマイクロコンピュータのエラー検出方法は、同じ出力期待値を有する三以上のマイクロコンピュータが相互に接続されてなり、前記マイクロコンピュータの各々に同様の演算を行うマイクロコンピュータシステムにおけるマイクロコンピュータのエラー検出方法であって、前記マイクロコンピュータの各々をリング状に接続し、一のマイクロコンピュータから一定方向に演算結果であるデータを出力し、係るデータが前記一のマイクロコンピュータに隣接する一方のマイクロコンピュータに入力され、各マイクロコンピュータで比較された出力データと入力データとが不一致の場合にはエラー出力を出力すると共に、前記方向と逆方向にエラー信号を出力し、係るエラー信号が前記一のマイクロコンピュータに隣接する他方のマイクロコンピュータにエラー入力として入力されると共に、前記エラー入力が入力され、かつ前記エラー出力が発生したマイクロコンピュータにエラーが発生したとみなすことを特徴とする。
前記課題を解決するために提供する本願第二の発明に係るマイクロコンピュータのエラー検出方法は、同じ出力期待値を有する二のマイクロコンピュータが相互に接続されてなり、前記マイクロコンピュータの各々に同様の演算を行うマイクロコンピュータシステムにおけるマイクロコンピュータのエラー検出方法であって、一のマイクロコンピュータから演算結果であるデータを出力し、係るデータが前記一のマイクロコンピュータに接続された他方のマイクロコンピュータに入力され、当該他方のマイクロコンピュータで比較された出力データと入力データとが不一致の場合にはエラー出力を出力すると共に、前記一のマイクロコンピュータにエラー信号を出力し、係るエラー信号が前記一のマイクロコンピュータに接続された前記他方のマイクロコンピュータにエラー入力として入力されると共に、前記エラー入力が入力され、かつ前記エラー出力が発生したマイクロコンピュータにエラーが発生したとみなし、エラー発生時の割り込みによってソフトウェアによりエラー検知することを特徴とする。
【0008】
複数マイクロコンピュータをリング状に接続し同時にエラー入出力が発生したマイクロコンピュータをエラーとみなすことにより、何れのマイクロコンピュータがエラーを起こしたか容易に判定できる。
【0009】
前記課題を解決するために提供する本願第三の発明に係るマイクロコンピュータのエラー検出方法は、本願第一の発明に係るマイクロコンピュータのエラー検出方法において、エラーが発生したマイクロコンピュータへのデータ入力及びエラー入力を通過処理として前記エラーが発生したマイクロコンピュータを介して隣接するマイクロコンピュータにエラー出力して前記エラー検出を行うことを特徴とする。
【0010】
通過処理することにより、エラー発生マイクロコンピュータをシステムから取り除いてエラー検出を行うことができるので、万全のシステム出力が期待できる。
【0011】
前記課題を解決するために提供する本願第四の発明に係るマイクロコンピュータのエラー検出回路は、同じ出力期待値を有する三以上のマイクロコンピュータが相互にリング状に接続されてなり、前記マイクロコンピュータの各々に同様の演算を行い、一のマイクロコンピュータから一定方向に演算結果であるデータを出力し、係るデータが前記一のマイクロコンピュータに隣接する一方のマイクロコンピュータに入力され、各マイクロコンピュータで比較された出力データと入力データとが不一致の場合にはエラー出力を出力すると共に、前記方向と逆方向にエラー信号を出力し、係るエラー信号が前記一のマイクロコンピュータに隣接する他方のマイクロコンピュータにエラー入力として入力されると共に、前記エラー入力が入力され、かつ前記エラー出力が発生したマイクロコンピュータにエラーが発生したとみなす処理を行うために各マイクロコンピュータに備えられるマイクロコンピュータのエラー検出回路であって、前記マイクロコンピュータの出力データを保持し外部クロックで動作する第1のフリップフロップと、この出力データと他のマイクロコンピュータからの入力データとを受け、前記エラー検出回路にてエラーが発生したとみなされたときに入力データを選択して前記マイクロコンピュータの外部へ出力する第1のセレクタと、その出力バッファと、出力データと入力データとを比較する比較器と、その比較結果が不一致のときに外部クロックに同期して一時的にエラーフラグを保持する第2のフリップフロップと、ソフトウェアによるクリアまでエラーフラグを保持する第3のフリップフロップと、エラーを保持する前記第2及び前記第3のフリップフロップの何れかのフラグによってエラー出力を第2のセレクタおよび前記マイクロコンピュータの外部へ出力するOR回路と、前記エラー出力が発生し、かつ外部からの前記エラー入力が入力されたときに前記第3のフリップフロップをセットするAND回路と、エラー発生時にエラー入力とエラー出力とのうちエラー入力を選択し、前記エラー信号として外部に出力する前記第2のセレクタとによりなることを特徴とする。
【0012】
比較器によりデータを比較し、フリップフロップにより時間を調整し、論理回路により所望の制御を、必要ならセレクタをマイクロコンピュータで制御して、行える。
【0013】
前記課題を解決するために提供する本願第五の発明に係るマイクロコンピュータのエラー検出回路は、本願第四の発明に係るマイクロコンピュータのエラー検出回路において、エラー発生時に出力を固定にする出力制御手段と、出力モード時以外比較結果を無効とする出力マスク回路とを備えたことを特徴とする。
【0014】
出力制御手段と出力マスク回路により、所望の制御を行うことができる。
【0015】
前記課題を解決するために提供する本願第六の発明に係るマイクロコンピュータシステムは、同じ出力期待値を有する三以上のマイクロコンピュータが相互にリング状に接続されてなり、一のマイクロコンピュータから一定方向に演算結果であるデータを出力し、係るデータが前記一のマイクロコンピュータに隣接する一方のマイクロコンピュータに入力され、各マイクロコンピュータで比較された出力データと入力データとが不一致の場合にはエラー出力を出力すると共に、前記方向と逆方向にエラー信号を出力し、係るエラー信号が前記一のマイクロコンピュータに隣接する他方のマイクロコンピュータにエラー入力 として入力されると共に、前記エラー入力が入力され、かつ前記エラー出力が発生したマイクロコンピュータにエラーが発生したとみなして、各マイクロコンピュータからデータ出力とエラー発生時の前記エラー信号および前記エラー出力を受けてデータ出力を選択しシステム出力とするセレクタと、これらの処理のための同期信号を供給するクロック回路とを備えたことを特徴とする。
【0016】
エラー検出回路とデータ出力を選択しシステム出力とするセレクタとにより、エラーを検出して、正しいデータ出力をシステム出力とできる。
【0017】
前記課題を解決するために提供する本願第七の発明に係るマイクロコンピュータシステムは、本願第六の発明に係るマイクロコンピュータシステムにおいて、前記セレクタの出力側にフリップフロップを備えたことを特徴とする。
【0018】
フリップフロップを前記セレクタの出力側に備えたことにより、瞬間的な異常データ出力を防ぐことができる。
【0019】
【発明の実施の形態】
(実施形態1)
以下に、本発明に係るマイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステムの一実施の形態における構成について図面を参照して説明する。
図1は、本発明に係るマイクロコンピュータシステムの一実施の形態における構成を示すブロック図であり、信頼性を高めるために同一のdata_out出力を行うマイクロコンピュータを4個有する例である。
図1に示すように本実施のマイクロコンピュータシステムは、エラー検出機能をもつエラー検出回路を内蔵するマイクロコンピュータ1〜4(1−1〜1−4)と、このマイクロコンピュータ1〜4(1−1〜1−4)のエラー判定結果を用いて正常なデータをセレクトするセレクタ15と、瞬間的に発生してしまう異常データを出力しないようにタイミングをずらして出力するフリップフロップF/F1(以下、フリップフロップをF/Fと略する)1−6と、全てを同期して動かすCLK発生回路1−7とによりなる。
本構成例では、マイクロコンピュータ1(1−1)の監視をマイクロコンピュータ2(1−2)が、マイクロコンピュータ2(1−2)の監視をマイクロコンピュータ3(1−3)が、マイクロコンピュータ3(1−3)の監視をマイクロコンピュータ4(1−4)が、マイクロコンピュータ4(1−4)の監視をマイクロコンピュータ1(1−1)が行う構成となっている。また、エラーとなったマイクロコンピュータはdata_inをdata_outにerr_inをerr_throughに選択して出力する機能が働き、残り3個の正常なマイクロコンピュータでエラー検出を継続する。また、暴走したマイクロコンピュータはerr_outにエラーを出し続ける事になる。
エラーの場合のソフト処理(ソフトウエアによる処理、ソフトウエアを以下、簡単のためソフトと記載する)は必ず必要というものではないが、エラーを起こしたマイクロコンピュータでは、error割り込みが発生する為、ソフト的なエラー処理を行う事が可能であり、エラー内容が致命的なエラーでなければ、他のマイクロコンピュータと同期を取る事が可能な場合において、復帰が可能である。また、ソフトによりエラーを起こしたマイクロコンピュータの動作停止処理も可能である。
err_in・data_inを選択して出力する機能が働かないような故障においては、故障となったマイクロコンピュータを監視しているマイクロコンピュータのerr_outとerr_throughの出力がエラーを示し続ける為、故障したマイクロコンピュータを特定する事が可能である。
また、本実施形態においては、システム上にF/F1(1−6)を配置する事によって、セレクタから瞬間的にもれてしまうエラーデータを出力する事の無い様に工夫を行っている。
【0020】
次に、各マイクロコンピュータ1〜4(1−1〜1−4)内のエラー検出回路の構成について説明をする。図2は、本発明に係るエラー検出回路の一実施の形態における構成を示すブロック図である。
図2に示すように本実施のエラー検出回路は、図1に示すCLK発生回路1−7により供給される外部クロックで動作するF/F2(2−1)と、エラー時にdata_inからの信号を選択するセレクタ2(2−2)と、出力バッファ2−3と、エラー時に出力固定にする出力制御2−11と、data_outとdata_inの一致・不一致を検査する比較器2−4と、出力モード時以外比較結果を無効とする出力マスク2−5と、外部クロックに同期して一時的にエラーフラグを保持するF/F3(2−6)と、ソフトウェアによるクリアまでエラーを保持するF/F4(2−9)と、F/F3(2−6)、F/F4(2−9)の何れかのフラグによってエラーを出力するOR2−7と、err_outとerr_inの結果の一致を取るAND2−8と、エラー発生時にerr_inを選択するセレクタ3(2−10)とによりなる。なお、ORはOR回路のことであり、ANDはAND回路のことである。
【0021】
次に、本発明に係るマイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステムの一実施の形態における動作について図1、2、6、7を参照して以下に説明する。図6は、本発明に係わるマイクロコンピュータシステム上のタイミングチャート、図7は、本発明に係わるマイクロコンピュータ内部のエラー検出回路のタイミングチャートである。
マイクロコンピュータ1〜4(1−1〜1−4)は、同一のdata_out出力を期待値とするマイクロコンピュータである事が前提である。まず、暴走によるエラーの場合について説明する。
先に、マイクロコンピュータ内部のエラー検出機能を説明すると、図7に示すようにマイクロコンピュータの出力(data_out)を図2に示すF/F2(2−1)で外部クロックに同期させ、マイクロコンピュータが正常な状態においては、セレクタ2(2−2)を通過し、data_outに出力する。このdata_outと外部からの入力data_inを比較器2−4で比較し不一致であればエラーとなる。出力モードの時以外は比較結果を無効とする。その先の出力マスク2−5でdata_outの端子が出力のON/OFFが可能な端子の場合は、出力モード時以外のエラー判定を無効とする。尚、data_outがマイクロコンピュータにより制御される出力専用端子の場合は、出力マスク2−5は不要である。
上記の動作の結果、data_outとdata_inが不一致の時に、F/F3(2−6)がクロックに同期してエラーを保持する。F/F3(2−6)がエラーを保持した時、OR2−7を通過してerr_outとerr_throughにエラーである事を出力する。また、err_inからは監視側のマイクロコンピュータからのエラー通知が入力される。
err_outとerr_inの両方がエラーを示している時、自身のエラーであるとAND2−8が判定しF/F4(2−9)にフラグを立てる。F/F4(2−9)のフラグが立った時、data_outとerr_throughの出力はdata_in・err_inからの通過出力となり、出力制御2−11は出力バッファを出力モードに固定する。この出力制御2−11はdata_outが出力専用端子の時は不要である。
ソフトによりF/F4(2−9)をクリアするまでの間、err_outはエラー状態で固定され(図7右)、システム上、err_outがエラー状態を出力し続ける結果となる。
次に、システム上の動作について説明する。
マイクロコンピュータ1(1−1)がエラーとなってdata_outから異常な値を出力した時、マイクロコンピュータ1(1−1)のerr_outとerr_through及び、マイクロコンピュータ2(1−2)のerr_outとerr_throughからエラーが出力され、マイクロコンピュータ1(1−1)とマイクロコンピュータ4(1−4)のerr_inにエラーが入力される。マイクロコンピュータ1(1−1)の中で、err_inとerr_outの両方がエラーである事がトリガとなって、自身がエラーであると判定する。マイクロコンピュータ1(1−1)がマイクロコンピュータ1(1−1)自身のエラーであると判定した瞬間、図6に示すようにマイクロコンピュータ1(1−1)のdata_outはdata_inからの通過出力となり、マイクロコンピュータ1(1−1)のerr_throughは、err_inからの通過出力となる。通過出力となった瞬間、マイクロコンピュータ2(1−2)では、マイクロコンピュータ4(1−4)のdata_outをマイクロコンピュータ1(1−1)経由で入力する事になり、正常な値が入力されるため、マイクロコンピュータ2(1−2)のerr_out、err_throughが正常な値に戻る(図6)。また、マイクロンピュータ4(1−4)に入力されているerr_inがマイクロコンピュータ1(1−1)経由でマイクロコンピュータ2(1−2)のエラー判定結果が入力される為、正常な比較結果を受け取る事になる。したがって、マイクトコンピュータ4(1−4)をマイクロコンピュータ2(1−2)が監視する状態に移行する。そして最後に、エラーとなったマイクロコンピュータ1(1−1)のerr_out信号がエラーとして残る為(図6マイコン1乃至図7右)、セレクタ1−5に入力され、セレクタ1−5は正常なマイクロコンピュータの出力を選択する。
また、セレクタの出力が切り替わる瞬間においては、エラーデータが発生する可能性があるが、本実施形態のように、セレクタの先に同じクロックで動作するF/F1(1−6)を搭載する事により、エラーデータが最終的に全く発生しないように工夫する事も可能である(図6FF出力)。
【0022】
故障によるエラーの場合について説明する。
マイクロコンピュータ1(1−1)が故障して、data_outから異常な値を出力した時、マイクロコンピュータ2(1−2)のerr_outとerr_throughから、エラーが出力され、マイクロコンピュータ1(1−1)のerr_inにエラーが入力される。
しかしながら、マイクロコンピュータ1(1−1)の故障であり、マイクロコンピュータ1(1−1)の通過出力機能が働かない為、マイクロコンピュータ2(1−2)による、マイクロコンピュータ4(1−4)の監視はできなくなる。結果として、マイクロコンピュータ2(1−2)のerr_out、err_throughの両方がエラーを維持するため、マイクロコンピュータ1(1−1)の故障であると限定でき、その二つのエラー信号を元に、セレクタ1−5が正常な状態のマイクロコンピュータのdata_outを選択し出力する。
この時、マイクロコンピュータ1(1−1)と監視・被監視の関係にないマイクロコンピュータ3(1−3)の存在により3つのマイクロコンピュータによる多数決の論理が保たれる為、信頼性を保持しており、その出力を選択すると、より信頼性が上がる。
【0023】
このように、複数のマイクロコンピュータをリング状に監視・被監視の関係を持たせ、且つマイクロコンピュータに、エラーが発生した時にデータとエラー判定を通過出力させる機能を持たせる事により、エラーによってシステムから抜けるマイクロコンピュータが存在した場合においても、正常なマイクロコンピュータによる監視・被監視の関係を保持する効果がある。また、図1の中のF/F1(1−6)を持たせる工夫を行う事により、システム上、完全にエラーデータによる誤動作を防ぐ事が可能で、且つ、一時停止させる必要が全く無い為、エラー発生時にシステムを一時停止する事が許されないシステムにおいて、その効果を発揮する。1例としては、今後普及が見込まれている電気自動車のモータ制御など、瞬間的な停止も許されない、システムに適用が可能である。
【0024】
(実施形態2)
図3は、本発明に係るマイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステムの他の実施の形態における構成を示すブロック図である。
本構成例は、マイクロコンピュータを3個有する例であり、マイクロコンピュータ1(3−1)の監視をマイクロコンピュータ2(3−2)が、マイクロコンピュータ2(3−2)の監視をマイクロコンピュータ3(3−3)が、マイクロコンピュータ3(3−3)の監視をマイクロコンピュータ1(3−1)が行う構成となっている。その他の構成については、実施形態1と同様である。
【0025】
本実施形態における動作について説明する。
実施形態1と同様に、エラーとなったマイクロコンピュータはdata_inをdata_outにerr_inをerr_throughに選択し出力する機能が働き、本実施形態では、残り2個の正常なマイクロコンピュータでエラー検出を継続する。但し、多数決ではなくなってしまうため、何れかが異常出力を出した場合は、両方のマイクロコンピュータが自身のエラーであると判定を行う。
実施形態1と同様にエラーの場合のソフト処理は必ず必要というものではないが、残り2個となっている状態でのエラー発生時はerror割り込みによる診断ソフトを起動する必要が生じる。
通過出力機能が働かないような故障においては、故障となったマイクロコンピュータを監視しているマイクロコンピュータが、err_outとerr_throughがエラーを示し続ける為、故障したマイクロコンピュータを特定する事が可能である。この場合は、2者の一致は取れているが、片方が監視側で片方が被監視側となる。
【0026】
(実施形態3)
図4は、本発明に係るマイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステムの他の実施の形態における構成を示すブロック図である。
本構成例は、マイクロコンピュータを2個有する例であり、マイクロコンピュータ1(4−1)の監視をマイクロコンピュータ2(4−2)が、マイクロコンピュータ2(4−2)の監視を、マイクロコンピュータ1(4−1)が行う。他の構成は、実施形態1及び2と同様である。
エラーとなったマイクロコンピュータが有った場合、二つによるエラー検知である為、マイクロコンピュータは二つとも、エラー状態になり、信号を通過出力する。その結果data_outは、一旦不定となってしまう。両方のマイクロコンピュータがエラーと判定されてしまうため、ソフトによる、エラー検知を行う必要があり、エラー発生時の割り込みによって、その処理を起動する。
図5は、エラー割り込み処理フロー図であり、エラー割り込み発生時(S51)、エラー内容の解析(S52)を行い、次いで何れのマイクロコンピュータのエラーであるかのソフトによる判断、即ちエラー判定(S53)を行い、エラーのなかったマイクロコンピュータはエラーを保持しているF/Fのクリア等を行い通常処理に復帰する(S54)。
エラーの発生したマイクロコンピュータは、復帰の可否判定(S55)を行い、可能であれば、復帰処理(S56)と正常なマイクロコンピュータとの同期処理(S57)を行い通常処理に復帰(S58)する。
復帰が不可能な致命的なエラーであれば、停止処理を行い完全停止(S59)する。エラーが起きて停止したマイクロコンピュータは通過出力する機能が働き、残り1個のマイクロコンピュータは自分の結果同士を比較する事となり、エラー検知ができなくなる。また、暴走したマイクロコンピュータはerr_outにエラーを出し続ける事になる。
通過出力機能が働かないような故障においては、故障となったマイクロコンピュータを監視しているマイクロコンピュータのerr_outとerr_throughが、エラーを示し続ける為故障したマイクロコンピュータを特定する事が可能である。
【0027】
【発明の効果】
以上説明したように、本発明に係るマイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステムによれば、2個以上の冗長的エラー検出システムであれば、どのような数においても本回路でシステムが成り立つ。そして、監視側と被監視側のマイクロコンピュータの区別がなく、安全の為に冗長的に設けられたマイクロコンピュータがすべて、監視側であり、また被監視側であるという分散的な構成であり、致命的エラーが少ない。また、エラーが発生した時に、データ出力とエラー判定結果を通過出力して、両隣のマイクロコンピュータをあたかも隣同士のマイクロコンピュータであるかのように、エラー判定を継続させる事が可能である。また、データとエラーが通過出力とならないような、故障においても、故障判定が可能である。また、複数のマイクロコンピュータの内、正常なマイクロコンピュータが残り2個なった時、間に故障によるエラーの発生したマイクロコンピュータがある場合を除き、多数決方式のエラー判定から、互い監視方式への移行が動的に可能であり移行の際にシステムリセットが不要である。
【0028】
【図面の簡単な説明】
【図1】本発明に係るマイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステムの実施形態1における構成を示すブロック図である。
【図2】本発明に係るエラー検出回路の一実施の形態における構成を示すブロック図である。
【図3】本発明に係るマイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステムの実施形態2における構成を示すブロック図である。
【図4】本発明に係るマイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステムの実施形態4における構成を示すブロック図である。
【図5】本発明に係るマイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステムのエラー割り込み処理フロー図である。
【図6】本発明に係わるマイクロコンピュータシステム上のタイミングチャートである。
【図7】本発明に係わるマイクロコンピュータ内部のエラー検出回路のタイミングチャートである。
【図8】従来例の回路図である。
【符号の説明】
1−1 エラー検出回路を内蔵するマイクロコンピュータ1
1−2 エラー検出回路を内蔵するマイクロコンピュータ2
1−3 エラー検出回路を内蔵するマイクロコンピュータ3
1−4 エラー検出回路を内蔵するマイクロコンピュータ4
1−5 エラーの発生していない、正常なマイクロコンピュータのdata_outを選択するセレクタ
1−6 エラー発生時に、セレクタ1−5から瞬間的に発生する誤データを出さない為のF/F1
1−7 システムのエラー検出回路全てを同期させる為のクロック発生回路
2−1 data_outをクロックに同期して出力するF/F2
2−2 エラー発生時、data_inからの信号をdata_outに通過出力するセレクタ2
2−3 出力のON/OFFを行う出力バッファ
2−4 data_outとdata_inの信号の一致・不一致を判定する比較器
2−5 data_out端子が出力モードの時以外、比較器の結果を無効とする出力マスク
2 - 6 data_outとdata_inの不一致が発生した場合、エラーを保持するF/F3
2−7 F/F3とF/F4の何れかがエラーであった時にerr_outにエラーを出力するOR回路
2−8 err_outとerr_inが両方エラーである事を判定するAND回路
2−9 自身がエラーであった時に、エラー保持をするF/F4
3−1 エラー検出回路を内蔵する、マイクロコンピュータ1
3−2 エラー検出回路を内蔵する、マイクロコンピュータ2
3−3 エラー検出回路を内蔵する、マイクロコンピュータ3
3−4 エラーの発生していない、正常なマイクロコンピュータのdata_outを選択するセレクタ1
3−5 エラー発生時に、セレクタ1(3−4)から瞬間的に発生する誤データを出さない為のF/F1
3−6 システムのエラー検出回路全てを同期させる為のクロック発生回路
4−1 エラー検出回路を内蔵する、マイクロコンピュータ1
4−2 エラー検出回路を内蔵する、マイクロコンピュータ2
4−3 エラーの発生していない、正常なマイクロコンピュータのdata_outを選択するセレクタ1
4−4 エラー発生時に、セレクタ1(4−3)から瞬間的に発生する誤データを出さない為のF/F1
4−5 システムのエラー検出回路全てを同期させる為のクロック発生回路
2−10 エラー発生時、err_inからの信号をerr_throughに通過出力するセレクタ3
2−11 エラー発生時、出力バッファを出力モードに固定する出力制御
8−1 演算用マイコン1
8−2 演算用マイコン2
8−3 演算用マイコン3
8−4 比較器1
8−5 比較器2
8−6 比較器3
8−7 セレクタ
8−8 制御用マイコン
【発明の属する分野】
本発明は、マイクロコンピュータの冗長構成に関し、マイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステムに関するものである。
【0002】
【従来の技術】
従来より、フォルトトレラント機能を要する制御用マイコン等の分野で、必要とされる演算を行いデータ出力するマイクロコンピュータを冗長に構成し、多数決でデータ出力を選択して冗長構成されたシステムのデータ出力とすることにより信頼性の向上が図られている。また、データ出力を比較して不一致が生じた場合にシステム出力をせず再処理することも提案されている。
【0003】
以下に、従来のマイクロコンピュータシステムについて図面を用いて説明する。 図8は、従来のマイクロコンピュータシステムにおける構成を示すブロック図である。
図8に示すように、複数のマイクロコンピュータ(略してマイコンと記載する場合もある)を用いるエラー検出システムにおける従来例においては、制御用マイコン8−8にて基準信号を発生し、演算用マイコン1〜3(8−1〜8−3)に入力し、その基準信号を使用して演算用マイコンが演算を開始する。各演算結果は比較器1〜3(8−4〜8−6)で比較され、不一致となった場合エラーとなりセレクタ8−7を制御する。比較した後、再び同一のデータを演算用マイコン1〜3(8−1〜8−3)に出力をさせ、この2回目の出力を制御用マイコンが受け付け、最終出力として出力する。
【0004】
演算用マイコンが1〜3(8−1〜8−3)と三つなので、多数決を採る際には、三つの比較器1〜3(8−4〜8−6)の中で一致したデータが直ちに多数派であると判る。
【0005】
【発明が解決しようとする課題】
しかしながら、従来のマイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステムにおいては次のような問題があった。即ち、監視側の制御用マイクロコンピュータ8−8が暴走又は故障した時は致命的である。また、エラー時に再処理する場合には、必要としている速度の倍以上の演算速度を各演算用マイクロコンピュータ1〜3(8−1〜8−3)に要求されるため、結果として、処理速度を求められるシステムに適用できない。更に、セレクタを切り替えた後、2回目の出力中の暴走が致命的である。また、1個以上のマイクロコンピュータで故障が発生している状況において、故障マイクロコンピュータのシステムからの離脱が考慮されておらず、信頼性を確保し続ける事が難しい。また、システムのトポロジーを考慮しないので、各データ出力の容易な比較判定のためには、演算用マイクロコンピュ−タの個数が三つに限定される。然もなくば、比較し多数決を採るためには監視用マイクロコンピュータ等の別途の制御系を要し、更にエラー発生マイクロコンピュータを特定するためにはアドレッシング等の付加情報を要する。また、略正しいデータ出力を期待できる状況で、全ての組合せを比較するのは無駄が大きい。
【0006】
本発明は、以上の従来技術における問題に鑑みてなされたものであり、個数自由で故障判定ができ、エラーに柔軟に対応できるマイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステムを提供することを目的とする。
【0007】
【課題を解決するための手段】
前記課題を解決するために提供する本願第一の発明に係るマイクロコンピュータのエラー検出方法は、同じ出力期待値を有する三以上のマイクロコンピュータが相互に接続されてなり、前記マイクロコンピュータの各々に同様の演算を行うマイクロコンピュータシステムにおけるマイクロコンピュータのエラー検出方法であって、前記マイクロコンピュータの各々をリング状に接続し、一のマイクロコンピュータから一定方向に演算結果であるデータを出力し、係るデータが前記一のマイクロコンピュータに隣接する一方のマイクロコンピュータに入力され、各マイクロコンピュータで比較された出力データと入力データとが不一致の場合にはエラー出力を出力すると共に、前記方向と逆方向にエラー信号を出力し、係るエラー信号が前記一のマイクロコンピュータに隣接する他方のマイクロコンピュータにエラー入力として入力されると共に、前記エラー入力が入力され、かつ前記エラー出力が発生したマイクロコンピュータにエラーが発生したとみなすことを特徴とする。
前記課題を解決するために提供する本願第二の発明に係るマイクロコンピュータのエラー検出方法は、同じ出力期待値を有する二のマイクロコンピュータが相互に接続されてなり、前記マイクロコンピュータの各々に同様の演算を行うマイクロコンピュータシステムにおけるマイクロコンピュータのエラー検出方法であって、一のマイクロコンピュータから演算結果であるデータを出力し、係るデータが前記一のマイクロコンピュータに接続された他方のマイクロコンピュータに入力され、当該他方のマイクロコンピュータで比較された出力データと入力データとが不一致の場合にはエラー出力を出力すると共に、前記一のマイクロコンピュータにエラー信号を出力し、係るエラー信号が前記一のマイクロコンピュータに接続された前記他方のマイクロコンピュータにエラー入力として入力されると共に、前記エラー入力が入力され、かつ前記エラー出力が発生したマイクロコンピュータにエラーが発生したとみなし、エラー発生時の割り込みによってソフトウェアによりエラー検知することを特徴とする。
【0008】
複数マイクロコンピュータをリング状に接続し同時にエラー入出力が発生したマイクロコンピュータをエラーとみなすことにより、何れのマイクロコンピュータがエラーを起こしたか容易に判定できる。
【0009】
前記課題を解決するために提供する本願第三の発明に係るマイクロコンピュータのエラー検出方法は、本願第一の発明に係るマイクロコンピュータのエラー検出方法において、エラーが発生したマイクロコンピュータへのデータ入力及びエラー入力を通過処理として前記エラーが発生したマイクロコンピュータを介して隣接するマイクロコンピュータにエラー出力して前記エラー検出を行うことを特徴とする。
【0010】
通過処理することにより、エラー発生マイクロコンピュータをシステムから取り除いてエラー検出を行うことができるので、万全のシステム出力が期待できる。
【0011】
前記課題を解決するために提供する本願第四の発明に係るマイクロコンピュータのエラー検出回路は、同じ出力期待値を有する三以上のマイクロコンピュータが相互にリング状に接続されてなり、前記マイクロコンピュータの各々に同様の演算を行い、一のマイクロコンピュータから一定方向に演算結果であるデータを出力し、係るデータが前記一のマイクロコンピュータに隣接する一方のマイクロコンピュータに入力され、各マイクロコンピュータで比較された出力データと入力データとが不一致の場合にはエラー出力を出力すると共に、前記方向と逆方向にエラー信号を出力し、係るエラー信号が前記一のマイクロコンピュータに隣接する他方のマイクロコンピュータにエラー入力として入力されると共に、前記エラー入力が入力され、かつ前記エラー出力が発生したマイクロコンピュータにエラーが発生したとみなす処理を行うために各マイクロコンピュータに備えられるマイクロコンピュータのエラー検出回路であって、前記マイクロコンピュータの出力データを保持し外部クロックで動作する第1のフリップフロップと、この出力データと他のマイクロコンピュータからの入力データとを受け、前記エラー検出回路にてエラーが発生したとみなされたときに入力データを選択して前記マイクロコンピュータの外部へ出力する第1のセレクタと、その出力バッファと、出力データと入力データとを比較する比較器と、その比較結果が不一致のときに外部クロックに同期して一時的にエラーフラグを保持する第2のフリップフロップと、ソフトウェアによるクリアまでエラーフラグを保持する第3のフリップフロップと、エラーを保持する前記第2及び前記第3のフリップフロップの何れかのフラグによってエラー出力を第2のセレクタおよび前記マイクロコンピュータの外部へ出力するOR回路と、前記エラー出力が発生し、かつ外部からの前記エラー入力が入力されたときに前記第3のフリップフロップをセットするAND回路と、エラー発生時にエラー入力とエラー出力とのうちエラー入力を選択し、前記エラー信号として外部に出力する前記第2のセレクタとによりなることを特徴とする。
【0012】
比較器によりデータを比較し、フリップフロップにより時間を調整し、論理回路により所望の制御を、必要ならセレクタをマイクロコンピュータで制御して、行える。
【0013】
前記課題を解決するために提供する本願第五の発明に係るマイクロコンピュータのエラー検出回路は、本願第四の発明に係るマイクロコンピュータのエラー検出回路において、エラー発生時に出力を固定にする出力制御手段と、出力モード時以外比較結果を無効とする出力マスク回路とを備えたことを特徴とする。
【0014】
出力制御手段と出力マスク回路により、所望の制御を行うことができる。
【0015】
前記課題を解決するために提供する本願第六の発明に係るマイクロコンピュータシステムは、同じ出力期待値を有する三以上のマイクロコンピュータが相互にリング状に接続されてなり、一のマイクロコンピュータから一定方向に演算結果であるデータを出力し、係るデータが前記一のマイクロコンピュータに隣接する一方のマイクロコンピュータに入力され、各マイクロコンピュータで比較された出力データと入力データとが不一致の場合にはエラー出力を出力すると共に、前記方向と逆方向にエラー信号を出力し、係るエラー信号が前記一のマイクロコンピュータに隣接する他方のマイクロコンピュータにエラー入力 として入力されると共に、前記エラー入力が入力され、かつ前記エラー出力が発生したマイクロコンピュータにエラーが発生したとみなして、各マイクロコンピュータからデータ出力とエラー発生時の前記エラー信号および前記エラー出力を受けてデータ出力を選択しシステム出力とするセレクタと、これらの処理のための同期信号を供給するクロック回路とを備えたことを特徴とする。
【0016】
エラー検出回路とデータ出力を選択しシステム出力とするセレクタとにより、エラーを検出して、正しいデータ出力をシステム出力とできる。
【0017】
前記課題を解決するために提供する本願第七の発明に係るマイクロコンピュータシステムは、本願第六の発明に係るマイクロコンピュータシステムにおいて、前記セレクタの出力側にフリップフロップを備えたことを特徴とする。
【0018】
フリップフロップを前記セレクタの出力側に備えたことにより、瞬間的な異常データ出力を防ぐことができる。
【0019】
【発明の実施の形態】
(実施形態1)
以下に、本発明に係るマイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステムの一実施の形態における構成について図面を参照して説明する。
図1は、本発明に係るマイクロコンピュータシステムの一実施の形態における構成を示すブロック図であり、信頼性を高めるために同一のdata_out出力を行うマイクロコンピュータを4個有する例である。
図1に示すように本実施のマイクロコンピュータシステムは、エラー検出機能をもつエラー検出回路を内蔵するマイクロコンピュータ1〜4(1−1〜1−4)と、このマイクロコンピュータ1〜4(1−1〜1−4)のエラー判定結果を用いて正常なデータをセレクトするセレクタ15と、瞬間的に発生してしまう異常データを出力しないようにタイミングをずらして出力するフリップフロップF/F1(以下、フリップフロップをF/Fと略する)1−6と、全てを同期して動かすCLK発生回路1−7とによりなる。
本構成例では、マイクロコンピュータ1(1−1)の監視をマイクロコンピュータ2(1−2)が、マイクロコンピュータ2(1−2)の監視をマイクロコンピュータ3(1−3)が、マイクロコンピュータ3(1−3)の監視をマイクロコンピュータ4(1−4)が、マイクロコンピュータ4(1−4)の監視をマイクロコンピュータ1(1−1)が行う構成となっている。また、エラーとなったマイクロコンピュータはdata_inをdata_outにerr_inをerr_throughに選択して出力する機能が働き、残り3個の正常なマイクロコンピュータでエラー検出を継続する。また、暴走したマイクロコンピュータはerr_outにエラーを出し続ける事になる。
エラーの場合のソフト処理(ソフトウエアによる処理、ソフトウエアを以下、簡単のためソフトと記載する)は必ず必要というものではないが、エラーを起こしたマイクロコンピュータでは、error割り込みが発生する為、ソフト的なエラー処理を行う事が可能であり、エラー内容が致命的なエラーでなければ、他のマイクロコンピュータと同期を取る事が可能な場合において、復帰が可能である。また、ソフトによりエラーを起こしたマイクロコンピュータの動作停止処理も可能である。
err_in・data_inを選択して出力する機能が働かないような故障においては、故障となったマイクロコンピュータを監視しているマイクロコンピュータのerr_outとerr_throughの出力がエラーを示し続ける為、故障したマイクロコンピュータを特定する事が可能である。
また、本実施形態においては、システム上にF/F1(1−6)を配置する事によって、セレクタから瞬間的にもれてしまうエラーデータを出力する事の無い様に工夫を行っている。
【0020】
次に、各マイクロコンピュータ1〜4(1−1〜1−4)内のエラー検出回路の構成について説明をする。図2は、本発明に係るエラー検出回路の一実施の形態における構成を示すブロック図である。
図2に示すように本実施のエラー検出回路は、図1に示すCLK発生回路1−7により供給される外部クロックで動作するF/F2(2−1)と、エラー時にdata_inからの信号を選択するセレクタ2(2−2)と、出力バッファ2−3と、エラー時に出力固定にする出力制御2−11と、data_outとdata_inの一致・不一致を検査する比較器2−4と、出力モード時以外比較結果を無効とする出力マスク2−5と、外部クロックに同期して一時的にエラーフラグを保持するF/F3(2−6)と、ソフトウェアによるクリアまでエラーを保持するF/F4(2−9)と、F/F3(2−6)、F/F4(2−9)の何れかのフラグによってエラーを出力するOR2−7と、err_outとerr_inの結果の一致を取るAND2−8と、エラー発生時にerr_inを選択するセレクタ3(2−10)とによりなる。なお、ORはOR回路のことであり、ANDはAND回路のことである。
【0021】
次に、本発明に係るマイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステムの一実施の形態における動作について図1、2、6、7を参照して以下に説明する。図6は、本発明に係わるマイクロコンピュータシステム上のタイミングチャート、図7は、本発明に係わるマイクロコンピュータ内部のエラー検出回路のタイミングチャートである。
マイクロコンピュータ1〜4(1−1〜1−4)は、同一のdata_out出力を期待値とするマイクロコンピュータである事が前提である。まず、暴走によるエラーの場合について説明する。
先に、マイクロコンピュータ内部のエラー検出機能を説明すると、図7に示すようにマイクロコンピュータの出力(data_out)を図2に示すF/F2(2−1)で外部クロックに同期させ、マイクロコンピュータが正常な状態においては、セレクタ2(2−2)を通過し、data_outに出力する。このdata_outと外部からの入力data_inを比較器2−4で比較し不一致であればエラーとなる。出力モードの時以外は比較結果を無効とする。その先の出力マスク2−5でdata_outの端子が出力のON/OFFが可能な端子の場合は、出力モード時以外のエラー判定を無効とする。尚、data_outがマイクロコンピュータにより制御される出力専用端子の場合は、出力マスク2−5は不要である。
上記の動作の結果、data_outとdata_inが不一致の時に、F/F3(2−6)がクロックに同期してエラーを保持する。F/F3(2−6)がエラーを保持した時、OR2−7を通過してerr_outとerr_throughにエラーである事を出力する。また、err_inからは監視側のマイクロコンピュータからのエラー通知が入力される。
err_outとerr_inの両方がエラーを示している時、自身のエラーであるとAND2−8が判定しF/F4(2−9)にフラグを立てる。F/F4(2−9)のフラグが立った時、data_outとerr_throughの出力はdata_in・err_inからの通過出力となり、出力制御2−11は出力バッファを出力モードに固定する。この出力制御2−11はdata_outが出力専用端子の時は不要である。
ソフトによりF/F4(2−9)をクリアするまでの間、err_outはエラー状態で固定され(図7右)、システム上、err_outがエラー状態を出力し続ける結果となる。
次に、システム上の動作について説明する。
マイクロコンピュータ1(1−1)がエラーとなってdata_outから異常な値を出力した時、マイクロコンピュータ1(1−1)のerr_outとerr_through及び、マイクロコンピュータ2(1−2)のerr_outとerr_throughからエラーが出力され、マイクロコンピュータ1(1−1)とマイクロコンピュータ4(1−4)のerr_inにエラーが入力される。マイクロコンピュータ1(1−1)の中で、err_inとerr_outの両方がエラーである事がトリガとなって、自身がエラーであると判定する。マイクロコンピュータ1(1−1)がマイクロコンピュータ1(1−1)自身のエラーであると判定した瞬間、図6に示すようにマイクロコンピュータ1(1−1)のdata_outはdata_inからの通過出力となり、マイクロコンピュータ1(1−1)のerr_throughは、err_inからの通過出力となる。通過出力となった瞬間、マイクロコンピュータ2(1−2)では、マイクロコンピュータ4(1−4)のdata_outをマイクロコンピュータ1(1−1)経由で入力する事になり、正常な値が入力されるため、マイクロコンピュータ2(1−2)のerr_out、err_throughが正常な値に戻る(図6)。また、マイクロンピュータ4(1−4)に入力されているerr_inがマイクロコンピュータ1(1−1)経由でマイクロコンピュータ2(1−2)のエラー判定結果が入力される為、正常な比較結果を受け取る事になる。したがって、マイクトコンピュータ4(1−4)をマイクロコンピュータ2(1−2)が監視する状態に移行する。そして最後に、エラーとなったマイクロコンピュータ1(1−1)のerr_out信号がエラーとして残る為(図6マイコン1乃至図7右)、セレクタ1−5に入力され、セレクタ1−5は正常なマイクロコンピュータの出力を選択する。
また、セレクタの出力が切り替わる瞬間においては、エラーデータが発生する可能性があるが、本実施形態のように、セレクタの先に同じクロックで動作するF/F1(1−6)を搭載する事により、エラーデータが最終的に全く発生しないように工夫する事も可能である(図6FF出力)。
【0022】
故障によるエラーの場合について説明する。
マイクロコンピュータ1(1−1)が故障して、data_outから異常な値を出力した時、マイクロコンピュータ2(1−2)のerr_outとerr_throughから、エラーが出力され、マイクロコンピュータ1(1−1)のerr_inにエラーが入力される。
しかしながら、マイクロコンピュータ1(1−1)の故障であり、マイクロコンピュータ1(1−1)の通過出力機能が働かない為、マイクロコンピュータ2(1−2)による、マイクロコンピュータ4(1−4)の監視はできなくなる。結果として、マイクロコンピュータ2(1−2)のerr_out、err_throughの両方がエラーを維持するため、マイクロコンピュータ1(1−1)の故障であると限定でき、その二つのエラー信号を元に、セレクタ1−5が正常な状態のマイクロコンピュータのdata_outを選択し出力する。
この時、マイクロコンピュータ1(1−1)と監視・被監視の関係にないマイクロコンピュータ3(1−3)の存在により3つのマイクロコンピュータによる多数決の論理が保たれる為、信頼性を保持しており、その出力を選択すると、より信頼性が上がる。
【0023】
このように、複数のマイクロコンピュータをリング状に監視・被監視の関係を持たせ、且つマイクロコンピュータに、エラーが発生した時にデータとエラー判定を通過出力させる機能を持たせる事により、エラーによってシステムから抜けるマイクロコンピュータが存在した場合においても、正常なマイクロコンピュータによる監視・被監視の関係を保持する効果がある。また、図1の中のF/F1(1−6)を持たせる工夫を行う事により、システム上、完全にエラーデータによる誤動作を防ぐ事が可能で、且つ、一時停止させる必要が全く無い為、エラー発生時にシステムを一時停止する事が許されないシステムにおいて、その効果を発揮する。1例としては、今後普及が見込まれている電気自動車のモータ制御など、瞬間的な停止も許されない、システムに適用が可能である。
【0024】
(実施形態2)
図3は、本発明に係るマイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステムの他の実施の形態における構成を示すブロック図である。
本構成例は、マイクロコンピュータを3個有する例であり、マイクロコンピュータ1(3−1)の監視をマイクロコンピュータ2(3−2)が、マイクロコンピュータ2(3−2)の監視をマイクロコンピュータ3(3−3)が、マイクロコンピュータ3(3−3)の監視をマイクロコンピュータ1(3−1)が行う構成となっている。その他の構成については、実施形態1と同様である。
【0025】
本実施形態における動作について説明する。
実施形態1と同様に、エラーとなったマイクロコンピュータはdata_inをdata_outにerr_inをerr_throughに選択し出力する機能が働き、本実施形態では、残り2個の正常なマイクロコンピュータでエラー検出を継続する。但し、多数決ではなくなってしまうため、何れかが異常出力を出した場合は、両方のマイクロコンピュータが自身のエラーであると判定を行う。
実施形態1と同様にエラーの場合のソフト処理は必ず必要というものではないが、残り2個となっている状態でのエラー発生時はerror割り込みによる診断ソフトを起動する必要が生じる。
通過出力機能が働かないような故障においては、故障となったマイクロコンピュータを監視しているマイクロコンピュータが、err_outとerr_throughがエラーを示し続ける為、故障したマイクロコンピュータを特定する事が可能である。この場合は、2者の一致は取れているが、片方が監視側で片方が被監視側となる。
【0026】
(実施形態3)
図4は、本発明に係るマイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステムの他の実施の形態における構成を示すブロック図である。
本構成例は、マイクロコンピュータを2個有する例であり、マイクロコンピュータ1(4−1)の監視をマイクロコンピュータ2(4−2)が、マイクロコンピュータ2(4−2)の監視を、マイクロコンピュータ1(4−1)が行う。他の構成は、実施形態1及び2と同様である。
エラーとなったマイクロコンピュータが有った場合、二つによるエラー検知である為、マイクロコンピュータは二つとも、エラー状態になり、信号を通過出力する。その結果data_outは、一旦不定となってしまう。両方のマイクロコンピュータがエラーと判定されてしまうため、ソフトによる、エラー検知を行う必要があり、エラー発生時の割り込みによって、その処理を起動する。
図5は、エラー割り込み処理フロー図であり、エラー割り込み発生時(S51)、エラー内容の解析(S52)を行い、次いで何れのマイクロコンピュータのエラーであるかのソフトによる判断、即ちエラー判定(S53)を行い、エラーのなかったマイクロコンピュータはエラーを保持しているF/Fのクリア等を行い通常処理に復帰する(S54)。
エラーの発生したマイクロコンピュータは、復帰の可否判定(S55)を行い、可能であれば、復帰処理(S56)と正常なマイクロコンピュータとの同期処理(S57)を行い通常処理に復帰(S58)する。
復帰が不可能な致命的なエラーであれば、停止処理を行い完全停止(S59)する。エラーが起きて停止したマイクロコンピュータは通過出力する機能が働き、残り1個のマイクロコンピュータは自分の結果同士を比較する事となり、エラー検知ができなくなる。また、暴走したマイクロコンピュータはerr_outにエラーを出し続ける事になる。
通過出力機能が働かないような故障においては、故障となったマイクロコンピュータを監視しているマイクロコンピュータのerr_outとerr_throughが、エラーを示し続ける為故障したマイクロコンピュータを特定する事が可能である。
【0027】
【発明の効果】
以上説明したように、本発明に係るマイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステムによれば、2個以上の冗長的エラー検出システムであれば、どのような数においても本回路でシステムが成り立つ。そして、監視側と被監視側のマイクロコンピュータの区別がなく、安全の為に冗長的に設けられたマイクロコンピュータがすべて、監視側であり、また被監視側であるという分散的な構成であり、致命的エラーが少ない。また、エラーが発生した時に、データ出力とエラー判定結果を通過出力して、両隣のマイクロコンピュータをあたかも隣同士のマイクロコンピュータであるかのように、エラー判定を継続させる事が可能である。また、データとエラーが通過出力とならないような、故障においても、故障判定が可能である。また、複数のマイクロコンピュータの内、正常なマイクロコンピュータが残り2個なった時、間に故障によるエラーの発生したマイクロコンピュータがある場合を除き、多数決方式のエラー判定から、互い監視方式への移行が動的に可能であり移行の際にシステムリセットが不要である。
【0028】
【図面の簡単な説明】
【図1】本発明に係るマイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステムの実施形態1における構成を示すブロック図である。
【図2】本発明に係るエラー検出回路の一実施の形態における構成を示すブロック図である。
【図3】本発明に係るマイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステムの実施形態2における構成を示すブロック図である。
【図4】本発明に係るマイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステムの実施形態4における構成を示すブロック図である。
【図5】本発明に係るマイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステムのエラー割り込み処理フロー図である。
【図6】本発明に係わるマイクロコンピュータシステム上のタイミングチャートである。
【図7】本発明に係わるマイクロコンピュータ内部のエラー検出回路のタイミングチャートである。
【図8】従来例の回路図である。
【符号の説明】
1−1 エラー検出回路を内蔵するマイクロコンピュータ1
1−2 エラー検出回路を内蔵するマイクロコンピュータ2
1−3 エラー検出回路を内蔵するマイクロコンピュータ3
1−4 エラー検出回路を内蔵するマイクロコンピュータ4
1−5 エラーの発生していない、正常なマイクロコンピュータのdata_outを選択するセレクタ
1−6 エラー発生時に、セレクタ1−5から瞬間的に発生する誤データを出さない為のF/F1
1−7 システムのエラー検出回路全てを同期させる為のクロック発生回路
2−1 data_outをクロックに同期して出力するF/F2
2−2 エラー発生時、data_inからの信号をdata_outに通過出力するセレクタ2
2−3 出力のON/OFFを行う出力バッファ
2−4 data_outとdata_inの信号の一致・不一致を判定する比較器
2−5 data_out端子が出力モードの時以外、比較器の結果を無効とする出力マスク
2 - 6 data_outとdata_inの不一致が発生した場合、エラーを保持するF/F3
2−7 F/F3とF/F4の何れかがエラーであった時にerr_outにエラーを出力するOR回路
2−8 err_outとerr_inが両方エラーである事を判定するAND回路
2−9 自身がエラーであった時に、エラー保持をするF/F4
3−1 エラー検出回路を内蔵する、マイクロコンピュータ1
3−2 エラー検出回路を内蔵する、マイクロコンピュータ2
3−3 エラー検出回路を内蔵する、マイクロコンピュータ3
3−4 エラーの発生していない、正常なマイクロコンピュータのdata_outを選択するセレクタ1
3−5 エラー発生時に、セレクタ1(3−4)から瞬間的に発生する誤データを出さない為のF/F1
3−6 システムのエラー検出回路全てを同期させる為のクロック発生回路
4−1 エラー検出回路を内蔵する、マイクロコンピュータ1
4−2 エラー検出回路を内蔵する、マイクロコンピュータ2
4−3 エラーの発生していない、正常なマイクロコンピュータのdata_outを選択するセレクタ1
4−4 エラー発生時に、セレクタ1(4−3)から瞬間的に発生する誤データを出さない為のF/F1
4−5 システムのエラー検出回路全てを同期させる為のクロック発生回路
2−10 エラー発生時、err_inからの信号をerr_throughに通過出力するセレクタ3
2−11 エラー発生時、出力バッファを出力モードに固定する出力制御
8−1 演算用マイコン1
8−2 演算用マイコン2
8−3 演算用マイコン3
8−4 比較器1
8−5 比較器2
8−6 比較器3
8−7 セレクタ
8−8 制御用マイコン
Claims (7)
- 同じ出力期待値を有する三以上のマイクロコンピュータが相互に接続されてなり、前記マイクロコンピュータの各々に同様の演算を行うマイクロコンピュータシステムにおけるマイクロコンピュータのエラー検出方法であって、前記マイクロコンピュータの各々をリング状に接続し、一のマイクロコンピュータから一定方向に演算結果であるデータを出力し、係るデータが前記一のマイクロコンピュータに隣接する一方のマイクロコンピュータに入力され、各マイクロコンピュータで比較された出力データと入力データとが不一致の場合にはエラー出力を出力すると共に、前記方向と逆方向にエラー信号を出力し、係るエラー信号が前記一のマイクロコンピュータに隣接する他方のマイクロコンピュータにエラー入力として入力されると共に、前記エラー入力が入力され、かつ前記エラー出力が発生したマイクロコンピュータにエラーが発生したとみなすことを特徴とするマイクロコンピュータのエラー検出方法。
- 同じ出力期待値を有する二のマイクロコンピュータが相互に接続されてなり、前記マイクロコンピュータの各々に同様の演算を行うマイクロコンピュータシステムにおけるマイクロコンピュータのエラー検出方法であって、一のマイクロコンピュータから演算結果であるデータを出力し、係るデータが前記一のマイクロコンピュータに接続された他方のマイクロコンピュータに入力され、当該他方のマイクロコンピュータで比較された出力データと入力データとが不一致の場合にはエラー出力を出力すると共に、前記一のマイクロコンピュータにエラー信号を出力し、係るエラー信号が前記一のマイクロコンピュータに接続された前記他方のマイクロコンピュータにエラー入力として入力されると共に、前記エラー入力が入力され、かつ前記エラー出力が発生したマイクロコンピュータにエラーが発生したとみなし、エラー発生時の割り込みによってソフトウェアによりエラー検知することを特徴とするマイクロコンピュータのエラー検出方法。
- エラーが発生したマイクロコンピュータへのデータ入力及びエラー入力を通過処理として前記エラーが発生したマイクロコンピュータを介して隣接するマイクロコンピュータにエラー出力して前記エラー検出を行うことを特徴とする請求項1に記載のマイクロコンピュータのエラー検出方法。
- 同じ出力期待値を有する三以上のマイクロコンピュータが相互にリング状に接続されてなり、前記マイクロコンピュータの各々に同様の演算を行い、一のマイクロコンピュータから一定方向に演算結果であるデータを出力し、係るデータが前記一のマイクロコンピュータに隣接する一方のマイクロコンピュータに入力され、各マイクロコンピュータで比較された出力データと入力データとが不一致の場合にはエラー出力を出力すると共に、前記方向と逆方向にエラー信号を出力し、係るエラー信号が前記一のマイクロコンピュータに隣接する他方のマイクロコンピュータにエラー入力として入力されると共に、前記エラー入力が入力され、かつ前記エラー出力が発生したマイクロコンピュータにエラーが発生したとみなす処理を行うために各マイクロコンピュータに備えられるマイクロコンピュータのエラー検出回路であって、前記マイクロコンピュータの出力データを保持し外部クロックで動作する第1のフリップフロップと、この出力データと他のマイクロコンピュータからの入力データとを受け、前記エラー検出回路にてエラーが発生したとみなされたときに入力データを選択して前記マイクロコンピュータの外部へ出力する第1のセレクタと、その出力バッファと、出力データと入力データとを比較する比較器と、その比較結果が不一致のときに外部クロックに同期して一時的にエラーフラグを保持する第2のフリップフロップと、ソフトウェアによるクリアまでエラーフラグを保持する第3のフリップフロップと、エラーを保持する前記第2及び前記第3のフリップフロップの何れかのフラグによってエラー出力を第2のセレクタおよび前記マイクロコンピュータの外部へ出力するOR回路と、前記エラー出力が発生し、かつ外部からの前記エラー入力が入力されたときに前記第3のフリップフロップをセットするAND回路と、エラー発生時にエラー入力とエラー出力とのうちエラー入力を選択し、前記エラー信号として外部に出力する前記第2のセレクタとによりなることを特徴とするマイクロコンピュータのエラー検出回路。
- エラー発生時に出力を固定にする出力制御手段と、出力モード時以外比較結果を無効とする出力マスク回路とを備えたことを特徴とする請求項4に記載のマイクロコンピュータのエラー検出回路。
- 同じ出力期待値を有する三以上のマイクロコンピュータが相互にリング状に接続されてなり、一のマイクロコンピュータから一定方向に演算結果であるデータを出力し、係るデータが前記一のマイクロコンピュータに隣接する一方のマイクロコンピュータに入力され、各マイクロコンピュータで比較された出力データと入力データとが不一致の場合にはエラー出力を出力すると共に、前記方向と逆方向にエラー信号を出力し、係るエラー信号が前記一のマイクロコンピュータに隣接する他方のマイクロコンピュータにエラー入力として入力されると共に、前記エラー入力が入力され、かつ前記エラー出力が発生したマイクロコンピュータにエラーが発生したとみなして、各マイクロコンピュータからデータ出力とエラー発生時の前記エラー信号および前記エラー出力を受けてデータ出力を選択しシステム出力とするセレクタと、これらの処理のための同期信号を供給するクロック回路とを備えたことを特徴とするマイクロコンピュータシステム。
- 前記セレクタの出力側にフリップフロップを備えたことを特徴とする請求項6に記載のマイクロコンピュータシステム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000296738A JP3652232B2 (ja) | 2000-09-28 | 2000-09-28 | マイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000296738A JP3652232B2 (ja) | 2000-09-28 | 2000-09-28 | マイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2002108638A JP2002108638A (ja) | 2002-04-12 |
| JP3652232B2 true JP3652232B2 (ja) | 2005-05-25 |
Family
ID=18778964
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000296738A Expired - Fee Related JP3652232B2 (ja) | 2000-09-28 | 2000-09-28 | マイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3652232B2 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB0411054D0 (en) | 2004-05-18 | 2004-06-23 | Ricardo Uk Ltd | Fault tolerant data processing |
| JP2007328679A (ja) * | 2006-06-09 | 2007-12-20 | Omron Corp | 多重化cpu暴走監視装置 |
| JP6016257B2 (ja) * | 2011-12-27 | 2016-10-26 | ボッシュ株式会社 | 車両用エンジン制御装置 |
| CN114460913A (zh) | 2020-11-09 | 2022-05-10 | 中兴通讯股份有限公司 | 一种车辆上的ecu管理方法、ecu以及可读存储介质 |
-
2000
- 2000-09-28 JP JP2000296738A patent/JP3652232B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2002108638A (ja) | 2002-04-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1380953B1 (en) | Fault-tolerant computer system, re-synchronization method thereof and re-synchronization program thereof | |
| JP2573508B2 (ja) | ディジタルロジック同期モニター方法および装置 | |
| EP1703401A2 (en) | Information processing apparatus and control method therefor | |
| JP2004046611A (ja) | フォルトトレラントコンピュータ装置、その再同期化方法及び再同期化プログラム | |
| JPH08255115A (ja) | 障害検出およびフォルトトレラントディジタルデータ処理方法および装置 | |
| JP3652232B2 (ja) | マイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステム | |
| JPH0375834A (ja) | パリティの置換装置及び方法 | |
| CA2435001C (en) | Fault-tolerant computer system, re-synchronization method thereof and re-synchronization program thereof | |
| JP2004234144A (ja) | プロセッサの動作比較装置および動作比較方法 | |
| JPH05313930A (ja) | 高信頼度化情報処理装置 | |
| JPS5931738B2 (ja) | 計算機システムの並列三重系構成方法 | |
| JPH07146802A (ja) | 鉄道保安装置 | |
| JPH08185329A (ja) | データ処理装置 | |
| JP2001175545A (ja) | サーバシステムおよび障害診断方法ならびに記録媒体 | |
| JP4613019B2 (ja) | コンピュータシステム | |
| JP2005165807A (ja) | プロセッサ多重化システムにおける動作比較方式 | |
| JP3298989B2 (ja) | 障害検出・自動組込み装置 | |
| JPH07114521A (ja) | マルチマイクロコンピュータシステム | |
| JP2003345676A (ja) | 二重化メモリシステム | |
| JP2518652B2 (ja) | 多重系バス同期システムの割込み診断装置 | |
| JPH06259270A (ja) | プロセッサ異常判定回路 | |
| JPS60173647A (ja) | 情報処理装置のエラ−発生箇所検出方式 | |
| JPH09179836A (ja) | 多重化計算機およびその障害検出処理方法 | |
| JPH05134945A (ja) | バスインターフエース機構 | |
| JPH05289896A (ja) | フォールトトレラントコンピュータ |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20040220 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040310 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20040510 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20041110 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050107 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20050127 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20050222 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080304 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090304 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100304 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100304 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110304 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110304 Year of fee payment: 6 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110304 Year of fee payment: 6 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110304 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120304 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130304 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130304 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140304 Year of fee payment: 9 |
|
| LAPS | Cancellation because of no payment of annual fees |