JP3733938B2 - Redundant system - Google Patents

Redundant system Download PDF

Info

Publication number
JP3733938B2
JP3733938B2 JP2002244514A JP2002244514A JP3733938B2 JP 3733938 B2 JP3733938 B2 JP 3733938B2 JP 2002244514 A JP2002244514 A JP 2002244514A JP 2002244514 A JP2002244514 A JP 2002244514A JP 3733938 B2 JP3733938 B2 JP 3733938B2
Authority
JP
Japan
Prior art keywords
output
circuit
fail
modules
safe
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2002244514A
Other languages
Japanese (ja)
Other versions
JP2003177935A (en
Inventor
信康 金川
伸一朗 山口
直人 宮崎
直大 糟谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2002244514A priority Critical patent/JP3733938B2/en
Publication of JP2003177935A publication Critical patent/JP2003177935A/en
Application granted granted Critical
Publication of JP3733938B2 publication Critical patent/JP3733938B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Hardware Redundancy (AREA)
  • Safety Devices In Control Systems (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は高信頼システムにかかり、特に高信頼システム構成に不可欠な多数決回路,出力選択回路などの最終出力回路の高信頼化,高安全化,フェールセーフ化に関するものである。
【0002】
【従来の技術】
システムの信頼性を向上させるためにシステムの構成要素(モジュール)を冗長化する方法が従来より広く用いられてきた。この方法では冗長化したモジュールの出力の中から正常な出力を選び出す最終出力回路が不可欠である。この最終出力回路としては多数決回路や選択回路などが用いられている。
【0003】
また、最終出力回路として論理和回路を用い、危険側出力を真を表わす値(通常の2値論理ではH)で表現し、安全側出力を偽を表わす値(通常の2値論理ではL)で表現すれば、冗長化したモジュール全てが危険側出力を出したときのみシステムは危険側出力を出す。従って冗長化したモジュール全てが誤って危険側出力を出さない限りシステムは誤って危険側出力を出すことがなくフェールセーフ性をもたせることができる。特に危険側出力を交番信号,安全側出力をそれ以外の信号で表現することによりフェールセーフ性を著しく高めることができる。
システムが正しい出力を選び出すことができるかどうかは最終出力回路の動作にかかっており、この最終出力回路の信頼度がシステム全体の信頼度を左右する。従ってシステムの信頼性を向上させるためには、この最終出力回路の信頼度を確保することが重要である。
【0004】
信頼性,安全性の拠り所である最終出力回路の信頼度を確保するために最終出力回路にテストパターンを入力して正常動作を確認したり、最終出力回路をフェールセーフな回路構成とする方法が従来から考えられている。
【0005】
フェールセーフな論理積回路の構成としては、入力としての交番信号がクロック端子に印加される複数のD−フリップフロップ列により構成した論理積回路は危険側故障が極めて小さいので広く用いられている。
【0006】
【発明が解決しようとする課題】
上記した従来技術の内、最終出力回路にテストパターンを入力する方法は、冗長化したモジュールが非同期に動作するシステムでは容易に実施でき、最終出力回路の正常動作を確認することができる。しかし、冗長化したモジュールが同期して動作するシステムでのこの方法の実現方法についてはさらに考慮が必要である。
【0007】
冗長化したモジュールが同期して動作するシステムでは同期を維持するために、冗長化したモジュールが同期して同一の動作をしなければならない。従って冗長化したモジュールは常に同一の出力を最終出力回路に出力することになる。冗長化したモジュールの出力間に不一致が発生しても、多数決などの手法などにより正常な出力を得るのが、最終出力回路の本来の機能であるため、冗長化したモジュールは常に同一の出力しか出せないのでは最終出力回路の本来の機能についての十分な検査ができない。
【0008】
仮に、出力に関する命令実行部分だけモジュールごとに異なる動作をさせ、他の命令実行部分は同一の動作をさせようとしても、それに至る分岐命令の部分で実行する命令ステップ数が異なってしまうため結果としてモジュール間の同期を乱すことになる。また、冗長化したモジュール内のバスの信号も比較する方式では、出力に関する命令実行部分が異なるので不一致となり正常に動作しない。
【0009】
以上のような問題点を踏まえて、冗長化したモジュールが同期して動作するシステムにおいて、最終出力回路を検査する手段を提供することを本発明の第1の目的とする。
【0010】
また冗長化したモジュールの出力を受け取る最終出力回路として論理和回路を用いた従来技術では論理和回路の故障さえ生じなければ、冗長化したモジュール全てが危険側出力を出さない限りシステムは危険側出力を出さないためシステムにフェールセーフ性を持たせられる大変優れた方法である。しかし本従来技術はさらに高い信頼性,安全性を追及するためには処理結果である出力に留まらず処理過程の正常性の保証についてもさらに考慮を加える必要がある。
【0011】
そこで処理過程の正常性も保証するフェールセーフシステムを提供することを本発明の第2の目的とする。
【0012】
さらに従来技術の内、入力としての交番信号がクロック端子に印加される複数のD−フリップフロップ列により構成した論理積回路は危険側故障が発生する確率が極めて小さいためフェールセーフANDと呼ばれている。しかしこの回路にもフェールアウト故障モード(危険側出力が出力される故障モード)は存在する。フェールセーフANDを構成するD−フリップフロップ列の内、最終段のD−フリップフロップのCLK端子入力がQ出力端子に現れる故障モードが唯一のフェールアウト故障モードである。そこで、フェールアウト故障モードをなくしてフェールセーフ性をより高める方式を提供することを第3の目的とする。
【0013】
【課題を解決するための手段】
上記第1の目的を達成するため本発明では、以下の手段を講じる。
【0014】
(1−1)書き込んだデータが全てのモジュールから出力されるレジスタと、対応するモジュールのみから出力され、他のモジュールでは無視されるレジスタをモジュールの出力インタフェース回路に持たせる。
【0015】
また上記第2の目的を達成するために、以下の手段を講じる。
【0016】
(2−1)冗長化したモジュールの内部信号同士を比較器で比較チェックする。
【0017】
(2−2)比較器は、冗長化したモジュールの内部信号同士が一致した場合には真を表わす信号を出力し、一致しない場合には偽を表わす信号を出力する。
【0018】
(2−3)冗長化したモジュールの出力信号は、危険側出力を真を表わす信号で、安全側出力を偽を真を表わす信号で表現する。
【0019】
(2−4)比較器の出力と冗長化したモジュールからの出力の論理積を出力とする。
また上記第3の目的を達成するために以下の手段を講じる。
【0020】
(3−1)論理積回路を入力としての交番信号がクロック端子に印加される複数のD−フリップフロップ列により構成し、最終段のD−フリップフロップのクロック端子に印加される信号の周波数を論理積回路の後段に接続される回路の最高動作周波数よりも高くする。
【0021】
さらに上記第2,第3の目的を相乗的に達成するために以下の手段を講じる。
(4−1)冗長化したモジュールの内部信号同士を比較器で比較チェックする。
【0022】
(4−2)比較器は、冗長化したモジュールの内部信号同士が一致した場合には真を表わす信号として交番出力を出力し、一致しない場合には偽を表わす信号として交番しない信号を出力する。
【0023】
(4−3)冗長化したモジュールの出力信号は、危険側出力を真を表わす信号すなわち交番する信号で、安全側出力を偽を真を表わす信号すなわち交番しない信号で表現する。
【0024】
(4−4)論理積回路を入力としての交番信号がクロック端子に印加される複数のD−フリップフロップ列により構成し、比較器の出力を最終段のD−フリップフロップのクロック端子に印加し、比較器の出力の周波数を論理積回路の後段に接続される回路の最高動作周波数よりも高くする。
【0025】
以上述べた手段(1−1)によれば、通常動作時には書き込んだデータが全てのモジュールから出力されるレジスタにデータを書き込めば全ての冗長化したモジュールから同一の出力が出される。万一モジュールの中のいずれかが障害により正常な出力を出せない場合には最終出力回路が正常な出力を選び出して正常動作を継続することができる。また、最終出力回路のテストのためには、対応するモジュールのみから出力され、他のモジュールでは無視されるレジスタにデータを書き込めば、冗長化したモジュールの内特定のモジュールのみ他とは異なる出力を出すことができるので、動作確認のためのテストパターンを最終出力回路に入力することができる。
【0026】
また、手段(2−1)〜(2−4)によれば、冗長化したモジュールの全ての出力に危険側出力が現れても、出力を得るまでの途中経過を表わす冗長化したモジュールの内部信号同士も一致しなければ、システムは危険側出力を出さない。従って、出力を得るまでの計算過程で冗長化したモジュールで相次いで誤りが発生し、危険側出力を出した場合でも、計算過程での誤りによる不一致により比較器の出力は偽となるため、危険側出力は出ないことになる。従って、最終出力結果だけでなく処理過程の正常性も保証することができる。
【0027】
さらに、手段(3−1)によれば、D−フリップフロップ列により構成された論理積回路で従来のフェールアウト故障モードに相当する故障が発生しても、本発明によれば故障により出力される信号の周波数が、論理積回路の次段以降に接続される回路の最高動作周波数より高いので、次段以降の回路が動作しないので危険側出力が出されない。従ってフェールセーフAND回路のフェールアウト故障モードをなくすことができる。
【0028】
手段(4−1)〜(4−4)によれば、手段(2−1)〜(2−4)と手段(3−1)の相乗効果が得られ、最終出力結果だけでなく処理過程の正常性も保証することができる上、フェールセーフAND回路のフェールアウト故障モードをなくすことができる。
【0029】
【発明の実施の形態】
実施例の説明に先だって、実施例の構成を以下に示す。
【0030】
1.第1の目的(最終出力回路を検査する手段を提供すること)を達成するための実施例
2.第2の目的(処理過程の正常性も保証するフェールセーフシステムを提供すること)を達成するための実施例
3.第3の目的(フェールセーフANDのフェールアウト故障モードをなくすこと)を達成するための実施例
4.第2,第3の目的を相乗効果により達成するための実施例
以下図に従い本発明の各部の実施例について詳細な説明を加える。
【0031】
<1.第1の目的を達成するための実施例>
図1は本発明の出力インタフェースを備えた冗長システムの構成である。冗長化したモジュール11〜1n(n:モジュールの数)にはそれぞれ出力インタフェース21〜2nを備え、出力31〜3nを出す。なお、本発明は図に示すように冗長化したモジュール11〜1nが同一のクロック2に従って同期して動作する冗長システムを対象にしている。出力31〜3nは最終出力回路4に入力される。万一冗長化したモジュール11〜1nのいずれかが障害により正常な出力を出せない場合には最終出力回路4が正常な出力を選び出して正常動作を継続することができる。正常な出力を選び出す最終出力回路4としては後述するように多数決回路41,AND回路42、あるいは中間値選択回路43などがある。
【0032】
図2はモジュール1i(i:モジュールの番号)の出力インタフェース2iの実施例をアドレスイメージで示したものである。出力インタフェース2iにはレジスタOUTall ,OUT1〜OUTnを備えている。出力インタフェース2iでは、全てのモジュール11〜1nから出力が出されるレジスタOUTall またはモジュール1iのみから出力が出されるレジスタOUTi にデータが書き込まれたときに、書き込まれたデータに対応する出力3iが出される。例えば図3に示すように1番目のモジュール11の出力インタフェース21ではレジスタOUTallまたはOUT1にデータが書き込まれた時のみ書き込まれたデータに対応する出力31が出される。
【0033】
上記図1〜図3に示す実施例によれば、冗長化したモジュール11〜1nに同一の命令を同期させて実行させながら、モジュールごとに異なる出力31〜3nを得ることができ、動作確認のためのテストパターンを最終出力回路4に与えることができる。例えば、モジュール11〜1nがレジスタOUTi にデータを書き込んだ場合にはモジュール1iのみから書き込んだデータに相当する出力3iが出される。さらにモジュール11〜1nがレジスタOUT1〜OUTnにそれぞれ異なるデータを書き込んだ場合にはモジュール11〜1nからそれぞれ異なる出力31〜3nが出される。なお正常動作時にはモジュール11〜1nがレジスタOUTall にデータを書き込み、モジュール11〜1nから書き込んだデータに相当する出力31〜3nが出される。
【0034】
図4,図5はモジュール1iの出力インタフェース2iの実施例をブロック図で示したものである。アドレスデコーダはアドレスバス1i1の信号をデコードし、レジスタOUTallまたはレジスタOUTiに相当するアドレスのときだけ論理和2i2に信号を出力し論理和2i2の出力をHにする。またさらにR/W#信号との論理積2i3をとり、レジスタOUTallまたはレジスタOUTiに相当するアドレスで、write アクセスの時のみラッチ信号2i4をHにする。ラッチ2i5ではラッチ信号2i4に従ってデータバス1i2の信号をラッチする。図4の実施例ではラッチ2i5でラッチしたデータをそのまま出力3iとしている。また図5では更にデジタル/アナログ変換器2i6でアナログ化して出力3iとしている。出力インタフェース2iが図4の実施例に示すようにデジタル信号を出力するタイプの時には、最終出力回路4として後述する多数決回路41,AND回路42を使用すればよい。また出力インタフェース2iが図5の実施例に示すようにアナログ信号を出力するタイプの時には、最終出力回路4として後述する中間値選択回路43を使用すればよい。
【0035】
図6は最終出力回路4として多数決回路41を用いた実施例である。3入力の多数決回路41の内部構成を図7に、その正常動作時の真理値表を図8にそれぞれ示す。また例として多数決回路41を構成する論理和411の出力が0固定故障(stuck-at-0故障)を起こした場合の真理値表を図9に示す。図9に示すように論理和411の出力の0固定故障の場合に正常動作と異なる入出力関係になるのはcase8の入力パターンの時のみである。従ってこの故障を検出するためには冗長化したモジュール11〜13がcase8の入力パターンに相当する出力31〜33を出せばよい。図1〜図5の実施例に示した本発明によれば、モジュール11〜13が個別に任意の出力31〜33を出せるので、case8に限らず全てのパターンの出力31〜33を出すことができる。従って本実施例によれば、例に挙げたような論理和411の出力の0固定故障に限らず、多数決回路41のあらゆるモードの故障を検出することができる。
【0036】
なお、本発明によらない場合には冗長化したモジュール11〜13が全て正常な場合、即ち図8に示す真理値表のcase1,2の入力しか通常は得られないので、多数決回路41の故障を検出することができず、故障が潜在することになる。このように故障が潜在すると、冗長化したモジュール11〜13のいずれかが故障した場合にその故障を救済できなくなる。例えば論理和411の出力の0固定故障が発生しても、冗長化したモジュール11〜13が全て正常な場合には正常な時と変わらない出力を得ることができるが、モジュール13の出力33だけが何らかの原因でHとなるべきところをLとなった場合に、多数決回路41の出力3もHとなるべきところをLとなり、正常動作ができなくなる。
【0037】
図10は最終出力回路4としてAND回路42を用いた実施例である。本実施例のように冗長化したモジュール11,12の出力31,32をAND回路42に入力しその出力3を得れば、モジュール11,12の出力31,32が共にHの時のみ出力3がHとなる。つまり、モジュール11,12の出力31,32のいずれかがLならば出力3がLとなる。従って、L出力を安全側の出力とすればフェールセーフなシステムを実現することができる。
【0038】
AND回路42の正常動作時の真理値表を図11に、出力32がそのまま出力3として出てしまう故障時の真理値表を図12に示す。これはAND回路42内部の配線の短絡によって引き起こされる故障モードである。この故障の場合も、case3,4の入力パターンの時のみ故障を検出することができる。従ってこの故障を検出するためには冗長化したモジュール11,12がcase3,4の入力パターンに相当する出力31,32を出せばよい。図1〜図5の実施例に示した本発明によれば、モジュール11,12が個別に任意の出力31,32を出せるので、case3,4に限らず全てのパターンの出力31,32を出すことができる。従って本実施例によれば、例に挙げたような出力32がそのまま出力3として出てしまう故障に限らず、AND回路42のあらゆるモードの故障を検出することができる。
【0039】
さらに図13に示すようにAND回路42にフリップフロップから構成される回路を用いればフェールセーフにすることができる。この回路は図14に示すように出力31,32両方に交番信号が現れたときのみ出力3に交番信号を出す。つまり、交番信号を真、それ以外の信号を偽とすれば論理積(AND)と同じ動作をすることがわかる。しかもこの回路自体の故障により誤って交番信号を出力する可能性が極めて低いのでフェールセーフANDと呼ばれている。
【0040】
図15は最終出力回路4として中間値選択回路43を用いた実施例である。中間値選択回路43は入力されたアナログ値の内の中間の値を選択して出力する回路である。モジュール11〜1nが全て正常な場合には理論上は出力31〜3nは同じ値が出力されるため、中間値選択回路43の「入力されたアナログ値の内の中間の値を選択して出力する」機能を確認することができない。実際には出力31〜3nにはデジタル値は同一であってもデジタル/アナログ変換器の変換誤差だけのバラツキが生じ、中間値選択回路43はこのバラツキのある値の中から中間の値を選択して出力する。従って、一見するとこのバラツキを利用して中間値選択回路43の「入力されたアナログ値の内の中間の値を選択して出力する」機能を確認することができるように見える。しかし、このバラツキは出力3をフィードバックして確認するためのアナログ/デジタル変換器の量子化誤差のために弁別が困難である。従って本発明により出力31〜3nの内任意の出力を異なる値とすることにより中間値選択回路43の機能を確認することができる。
【0041】
図16は本発明が提供する冗長システムの出力3を遮断する遮断スイッチ5を設けた実施例である。本実施例では本発明が提供する方法により最終出力回路4の異常を検出した場合には遮断スイッチ6を開放することにより出力を停止して、誤った出力を抑止することができる。
【0042】
<2.第2の目的を達成するための実施例>
また図10の実施例によれば、モジュール11,12を同期させて同一の動作をさせることができるので、図17に示すようにモジュール11,12のデータバス111,121,アドレスバス112,122,コントロールバス113,123同士を比較器5で比較チェックすることにより、故障や障害による誤動作を早期に検出し、対応することができる。またこの場合、比較器5として発明者らが既に出願している特願平6−27664号のようなセルフチェッキング比較器を用いれば比較器自体の故障による検出漏れがなくなるので、誤り検出率が向上する。更に、発明者らが既に出願している特願平6−313492 号のようにモジュール11,12を同期させ、かつ動作タイミングを半クロックずらして動作させればモジュール11,12で同一の誤りが発生する確率が小さくなるので、誤り検出率がさらに向上する。なお、図15に示すモジュール11〜1n内部のバス信号の比較チェックは図10に限らず図1〜図9に示す各実施例に同様にして適用できる。
【0043】
さらに図17の実施例を発展させて、モジュール11,12の出力31,32に加えて比較器5の出力33をAND回路42に入力した実施例を図18に示す。本実施例によればモジュール11,12のデータバス111,121,アドレスバス112,122,コントロールバス113,123が一致し、かつモジュール11,12の出力31,32が現れた時のみAND回路42は出力3を出す。つまり、モジュール11,12の出力31,32だけでなく、出力に致るまでの処理の途中結果が一致した時のみ出力3を出すことになる。本実施例により出力の比較照合が多段になるためにより安全性,フェールセーフ性が増すとともに、処理途中での不一致が検出できるため誤りの早期検出が可能となる。
【0044】
またAND回路42を図19に示すようにフリップフロップから構成される回路を用いればAND回路自体をフェールセーフにすることができる。
【0045】
<3.第3の目的を達成するための実施例>
図20はフェールセーフAND回路のフェールアウト故障モードをなくす実施例である。本実施例ではフェールセーフAND回路を構成するフリップフロップの内最終段のFF1のクロック入力に、フェールセーフAND回路の後段の回路7の最高動作周波数fcよりも高い周波数f3の信号を印加している。
【0046】
この回路は図21に示すように、正常時にはf1,f2,f3の全てに交番信号が入力されたときのみ出力3に交番信号を出力する回路で、この動作は普通のフェールセーフAND回路と同一である。
【0047】
フェールセーフANDの唯一のフェールアウト故障モードは、フリップフロップのクロック入力がそのままQ出力に現れてしまう故障モードである。このようなモードの故障が最終段のフリップフロップで発生した場合には、最終段のフリップフロップに交番信号が入力されれば図22に示すように他の入力には関係なく交番信号が出力3より出力されてしまう。この時、出力3の周波数はf3となり、フェールセーフAND回路の後段の回路7の最高動作周波数fcよりも高くなる。従って図23に示すように、回路7は最高動作周波数fcよりも高い周波数では動作できないため回路7の出力端子30には出力が現れない。従って、最終段のフリップフロップでクロック入力がそのままQ出力に現れてしまう故障が発生しても、誤って危険側出力が出力されることがないのでフェールセーフ性を持たせることができる。
【0048】
図24はフェールセーフAND回路を構成するフリップフロップのCLK入力がQ出力より出てしまう故障がそれぞれのフリップフロップで発生した場合に観測される出力3と出力3を停止させるための対策をまとめたものである。図24よりわかるように出力3をモニタすることにより故障を検出することができる。さらに本発明が提供する図10に示す実施例によれば、効果的にテストパターンを注入できるので故障の潜在を防止することができる。一方故障時に出力3を停止させるための対策はFF1,FF2,FF3と後段になるに従って減ってくる。特に最終段のFF3では本実施例の他にはf3入力を停止するほかは故障時に出力3を停止させるための手段がない。つまり本実施例がなければ、万一FF3の他に何らかの原因でf3が連続して出力されてしまう故障が発生した場合には、出力3は連続して出力されてしまう。従って、FF3とf3を生成する回路の故障、つまり2重故障によりシステムは危険側出力を出しフェールアウトとなる。これに対してFF1,FF2はそれぞれ4重故障,3重故障が発生して初めてフェールアウトとなる。フェールアウトが人命に関わるような用途に用いられるシステムでは、安全のために多重故障が発生してもフェールアウトとならないように考慮する必要がある。そこで本実施例によれば、従来2重故障によりフェールアウトとなってしまっていたところを、出力を停止してフェールアウトとなることを防止することができる。
【0049】
図25はさらにフェールセーフAND回路の全てのフリップフロップのクロック入力がQ出力より出てしまうモードの故障の影響を防止する実施例である。本実施例ではフリップフロップのクロック端子に入力されるフェールセーフAND回路の入力周波数f1,f2,f3の全てをフェールセーフAND回路の後段の回路7の最高動作周波数fcよりも高くしている。本実施例によれば、フェールセーフAND回路を構成するフリップフロップのうちどのフリップフロップでクロック入力がQ出力より出てしまうモードの故障が発生した場合でも、出力3の出力は後段の回路7の最高動作周波数fcよりも周波数が高いため回路7は動作せずに出力30に信号が現れない。従って本実施例によればフェールセーフAND回路の全てのフリップフロップのクロック入力がQ出力より出てしまうモードの故障の影響を防止することができることがわかる。
【0050】
ただし、入力周波数f1,f2,f3の全てが回路7の最高動作周波数fcよりもはるかに高い場合には、フェールセーフAND回路で故障が発生していない正常時の出力も最高動作周波数fcよりも高い周波数となってしまう。そこで、例えばf1,f2をfc<f1<2fc,fc<f2<2fcとなるように選定すれば、図21に示すようにf1/2,f2/2オーダーの出力が得られるため、図26に示すように正常時の出力3は回路7の最高動作周波数fcより低く、異常時の出力3は回路7の最高動作周波数fcより高くなる。従って、本実施例によればフェールセーフAND回路の全てのフリップフロップのクロック入力がQ出力より出てしまうモードの故障の影響を防止することができる。
【0051】
以上述べたように、図25の実施例によればフェールセーフAND回路の後段の回路7が急峻な高域での減衰特性を有していればフェールセーフAND回路の全てのフリップフロップのクロック入力がQ出力より出てしまうモードの故障の影響を防止することができる。一方図20の実施例では最終段のフリップフロップのクロック入力がQ出力より出てしまうモードの故障の影響を防止するのに留まるが、フェールセーフAND回路の後段の回路7には急峻な高域での減衰特性は要求されず、通常の回路の周波数特性で実現できるので特にフィルターを付加することは不要である。
【0052】
図20〜図26に示す実施例を実現する際には回路7の最高動作周波数fcより高い周波数の信号が必要となる。この信号の生成方法としては、以下の通り考えられる。
【0053】
(1) 冗長化した各モジュールの生存通知信号
(2) クロック信号
(3) 特開平7−234801 号によるセルフチェッキング比較器
これらの方式の内、(3)による実施例について以下説明する。
【0054】
なお、図20〜図26の実施例では簡単のために3入力のフェールセーフAND回路について説明したが、一般にN3入力のフェールセーフAND回路についても同様に実現が可能であることはいうまでもない。
【0055】
<4.第2,第3の目的を相乗効果により達成するための実施例>
図27に本発明の第2の目的である処理過程の正常性も保証するフェールセーフシステムを提供することと、本発明の第3の目的であるフェールセーフANDのフェールアウト故障モードをなくすことを相乗効果により達成するための実施例を示す。本実施例の構成は基本的には図18の構成に示す構成と同じである。図27の実施例では、通常の比較器の代わりにセルフチェッキング比較器5′を、通常のAND回路の代わりに図28に示すようにフリップフロップから構成され、セルフチェッキング比較器5′からの出力33を入力するフリップフロップ(FF3)を最終段としたフェールセーフAND回路を用い、さらにフェールセーフAND回路の出力は出力駆動回路71を経て出力30となっている。
【0056】
この構成は出力31,32,33の全てに交番信号が現れたときのみ出力3に交番信号を出すためフェールセーフな構成となっている。
【0057】
なお、この構成を実現するためには、セルフチェッキング比較器5′もモジュール11,12のデータバス111,121,アドレスバス112,122,コントロールバス113,123が一致しているときには出力33として交番信号を出力するものでなければならない。先に述べたように発明者らが既に出願している特願平6−27664号のようなセルフチェッキング比較器は、比較対象の信号が一致し、かつ比較器自身が正常なときにのみ出力33として交番信号を出力するのでこの条件に合致している。
【0058】
ここで、フェールセーフAND回路の入出力の正常時の周波数関係を考えて見る。セルフチェッキング比較器5′の出力33はバスサイクルごとに反転するのでバスサイクルと同じ周波数(通常数MHz〜数百MHz程度)となる。一方、モジュール11,12の出力31,32はソフトウェアによる出力インタフェース21〜2nへのアクセスによって反転させるのでセルフチェッキング比較器5の出力33と比べるとはるかに低い周波数(通常数百Hz〜数kHz程度)となる。また、フェールセーフANDの出力はセルフチェッキング比較器5の出力33,モジュール11,12の出力31,32の全ての信号の立上りが一巡して反転するので、モジュール11,14の出力31,32の1/2の周波数となる。なお、図29のようにフェールセーフAND回路の出力が接続されている出力駆動回路7の最高動作周波数fcは電力用素子で構成した場合は通常100Hz程度から数kHz程度である。
【0059】
続いて、先に述べたモードの故障が発生した場合を考えて見る。この場合フェールセーフANDの出力3にはセルフチェッキング比較器5の出力33がそのまま現れる。従ってフェールセーフANDの出力3は図29に示すように出力駆動回路71の帯域を大きく逸脱する。従ってフェールアウトモードの故障が発生しても出力30に信号が現れないためにフェールセーフとなる。
【0060】
【発明の効果】
以上述べたように本発明によれば、最終出力回路のテストを容易にして早期の故障発見が可能となる。さらにモジュールからの出力の照合に、モジュール内部の信号線の比較チェックも加えることにより誤り検出の早期化,誤り検出率向上が可能となる。またさらにフェールセーフ回路のフェールアウトを防ぎ、システムのフェールセーフ性,安全性を著しく向上させることができる。
【図面の簡単な説明】
【図1】本発明の基本的な実施例。
【図2】出力インタフェース2iの構成(レジスタイメージ)。
【図3】出力インタフェース21の構成(レジスタイメージ)。
【図4】出力インタフェース2iの構成。
【図5】出力インタフェース2iの構成(アナログ出力)。
【図6】多数決回路を使用した実施例。
【図7】多数決回路の構成。
【図8】多数決回路の入出力真理値表(正常時)。
【図9】多数決回路の入出力真理値表(故障時)。
【図10】AND回路を使用した実施例。
【図11】AND回路の入出力真理値表(正常時)。
【図12】AND回路の入出力真理値表(故障時)。
【図13】フェールセーフAND回路を使用した実施例。
【図14】フェールセーフAND回路の動作(正常時)。
【図15】中間値選択回路を使用した実施例。
【図16】遮断スイッチ6を設けた実施例。
【図17】バスを比較する実施例。
【図18】比較器の出力をAND回路に入力した実施例。
【図19】フェールセーフAND回路を使用した実施例。
【図20】フェールセーフAND回路のフェールアウト故障を考慮した実施例。
【図21】フェールセーフAND回路の動作(正常時)。
【図22】フェールセーフAND回路の動作(故障時)。
【図23】フェールセーフAND回路入出力信号の周波数関係。
【図24】故障個所とその対策。
【図25】フェールセーフAND回路のフェールアウト故障を考慮した実施例。
【図26】フェールセーフAND回路入出力信号の周波数関係。
【図27】バスを比較し、かつフェールセーフAND回路のフェールアウト故障を考慮した実施例。
【図28】フェールセーフAND回路への信号接続。
【図29】フェールセーフAND回路入出力信号の周波数関係。
【符号の説明】
3…出力、4…最終出力回路、5…比較器、6…遮断スイッチ、11〜1n…モジュール、21〜2n…出力インタフェース、31〜3n…(モジュール11〜1nの)出力、41…多数決回路、42…AND回路、43…中間値選択回路。[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a high-reliability system, and particularly to high reliability, high safety, and fail-safety of final output circuits such as a majority circuit and an output selection circuit that are indispensable for a high-reliability system configuration.
[0002]
[Prior art]
In order to improve system reliability, a method of making system components (modules) redundant has been widely used. In this method, a final output circuit that selects a normal output from the outputs of the redundant modules is indispensable. As this final output circuit, a majority circuit, a selection circuit, or the like is used.
[0003]
Further, a logical sum circuit is used as the final output circuit, the dangerous side output is represented by a value representing true (H in normal binary logic), and the safe side output is represented by false (L in normal binary logic). In other words, the system outputs a dangerous output only when all redundant modules output a dangerous output. Therefore, as long as all redundant modules do not mistakenly output a dangerous output, the system does not erroneously output a dangerous output and can provide fail-safety. In particular, the fail-safety can be remarkably enhanced by expressing the dangerous output as an alternating signal and the safe output as other signals.
Whether the system can select a correct output depends on the operation of the final output circuit, and the reliability of the final output circuit determines the reliability of the entire system. Therefore, in order to improve the reliability of the system, it is important to ensure the reliability of this final output circuit.
[0004]
In order to ensure the reliability of the final output circuit, which is the basis of reliability and safety, there is a method of inputting a test pattern to the final output circuit to check normal operation or making the final output circuit a fail-safe circuit configuration. Conventionally considered.
[0005]
As a configuration of a fail-safe AND circuit, an AND circuit constituted by a plurality of D-flip-flop trains to which an alternating signal as an input is applied to a clock terminal is widely used because a dangerous failure is extremely small.
[0006]
[Problems to be solved by the invention]
Of the conventional techniques described above, the method of inputting a test pattern to the final output circuit can be easily implemented in a system in which redundant modules operate asynchronously, and the normal operation of the final output circuit can be confirmed. However, it is necessary to further consider how to implement this method in a system in which redundant modules operate synchronously.
[0007]
In a system in which redundant modules operate synchronously, the redundant modules must perform the same operation synchronously in order to maintain synchronization. Therefore, the redundant module always outputs the same output to the final output circuit. Even if a mismatch occurs between the outputs of the redundant modules, it is the original function of the final output circuit that obtains a normal output by means such as majority voting, so the redundant modules always have the same output. If it cannot be output, sufficient inspection of the original function of the final output circuit cannot be performed.
[0008]
Even if the instruction execution part related to the output is operated differently for each module and the other instruction execution part tries to perform the same operation, the number of instruction steps executed in the part of the branch instruction leading to it will differ. It will disturb the synchronization between modules. Also, in the method of comparing the bus signals in the redundant modules, the instruction execution portions relating to the output are different, so they do not match and do not operate normally.
[0009]
In view of the above problems, it is a first object of the present invention to provide means for inspecting a final output circuit in a system in which redundant modules operate in synchronization.
[0010]
In addition, in the conventional technology that uses an OR circuit as the final output circuit that receives the output of the redundant module, if the OR circuit does not fail, the system outputs the dangerous output unless all the redundant modules output a dangerous output. This is a very good way to make the system fail safe. However, in order to pursue higher reliability and safety in this conventional technology, it is necessary to consider further the guarantee of the normality of the processing process as well as the output as the processing result.
[0011]
Accordingly, it is a second object of the present invention to provide a fail-safe system that guarantees the normality of the process.
[0012]
Further, among the prior arts, an AND circuit composed of a plurality of D-flip-flop trains to which an alternating signal as an input is applied to a clock terminal is called a fail-safe AND because the probability of a dangerous failure occurring is extremely small. Yes. However, this circuit also has a fail-out failure mode (a failure mode in which a dangerous output is output). The failure mode in which the CLK terminal input of the D-flip flop at the final stage appears in the Q output terminal among the D-flip flop rows constituting the fail safe AND is the only fail-out failure mode. Accordingly, a third object is to provide a method for further improving the fail-safe property by eliminating the fail-out failure mode.
[0013]
[Means for Solving the Problems]
In order to achieve the first object, the present invention takes the following measures.
[0014]
(1-1) The output interface circuit of a module has a register in which written data is output from all modules and a register that is output only from the corresponding module and ignored in other modules.
[0015]
In order to achieve the second object, the following measures are taken.
[0016]
(2-1) The internal signals of the redundant modules are compared and checked by a comparator.
[0017]
(2-2) The comparator outputs a signal representing true if the internal signals of the redundant modules match each other, and outputs a signal representing false if they do not match.
[0018]
(2-3) The output signal of the redundant module expresses the danger side output as a signal representing true and the safety side output as a signal representing true as false.
[0019]
(2-4) The logical product of the output of the comparator and the output from the redundant module is used as the output.
In order to achieve the third object, the following measures are taken.
[0020]
(3-1) A plurality of D-flip flop rows to which an alternating signal having an AND circuit as an input is applied to the clock terminal are configured, and the frequency of the signal applied to the clock terminal of the final D-flip flop is determined. It is set higher than the maximum operating frequency of the circuit connected to the subsequent stage of the AND circuit.
[0021]
Further, the following measures are taken in order to achieve the second and third objects synergistically.
(4-1) The internal signals of the redundant modules are compared and checked by a comparator.
[0022]
(4-2) The comparator outputs an alternating output as a signal representing true when the internal signals of the redundant modules match, and outputs a non-alternating signal as a signal representing false when they do not match. .
[0023]
(4-3) The output signal of the redundant module expresses the dangerous side output as a signal representing true, that is, an alternating signal, and the safe side output as a signal representing false as true, that is, a signal not alternating.
[0024]
(4-4) The AND circuit is constituted by a plurality of D-flip flop rows to which an alternating signal as an input is applied to the clock terminal, and the output of the comparator is applied to the clock terminal of the final D-flip flop. The frequency of the output of the comparator is made higher than the maximum operating frequency of the circuit connected to the subsequent stage of the AND circuit.
[0025]
According to the means (1-1) described above, the same output is output from all redundant modules if the data written in the normal operation is written in a register output from all modules. Should any of the modules fail to produce a normal output due to a failure, the final output circuit can select a normal output and continue normal operation. In addition, for testing the final output circuit, if data is written to a register that is output only from the corresponding module and ignored by other modules, only a specific module among the redundant modules will have a different output. Therefore, a test pattern for confirming the operation can be input to the final output circuit.
[0026]
Further, according to the means (2-1) to (2-4), even if the dangerous output appears in all the outputs of the redundant module, the inside of the redundant module representing the intermediate process until the output is obtained. If the signals do not match, the system will not produce a dangerous output. Therefore, even if errors occur one after another in the modules that are redundant in the calculation process until the output is obtained and a dangerous output is output, the comparator output becomes false due to a mismatch due to an error in the calculation process. There will be no side output. Therefore, not only the final output result but also the normality of the processing process can be guaranteed.
[0027]
Further, according to the means (3-1), even if a failure corresponding to the conventional fail-out failure mode occurs in the AND circuit constituted by the D-flip-flop train, according to the present invention, the failure is output due to the failure. Since the frequency of the signal to be transmitted is higher than the maximum operating frequency of the circuit connected in the subsequent stage of the AND circuit, the circuit in the subsequent stage does not operate, so that no dangerous output is output. Therefore, the fail-out failure mode of the fail-safe AND circuit can be eliminated.
[0028]
According to the means (4-1) to (4-4), the synergistic effect of the means (2-1) to (2-4) and the means (3-1) can be obtained, and not only the final output result but also the processing process The fail-out failure mode of the fail-safe AND circuit can be eliminated.
[0029]
DETAILED DESCRIPTION OF THE INVENTION
Prior to the description of the embodiment, the configuration of the embodiment is shown below.
[0030]
1. Embodiment for achieving the first object (providing means for inspecting the final output circuit)
2. An embodiment for achieving the second object (providing a fail-safe system that also guarantees the normality of the process)
3. An embodiment for achieving the third object (eliminating fail-safe AND fail-out failure mode)
4). Examples for achieving the second and third objects by a synergistic effect
In the following, detailed description will be given of embodiments of each part of the present invention according to the drawings.
[0031]
<1. Example for Achieving First Objective>
FIG. 1 shows the configuration of a redundant system having an output interface according to the present invention. The redundant modules 11 to 1n (n: the number of modules) are provided with output interfaces 21 to 2n, respectively, and outputs 31 to 3n. The present invention is directed to a redundant system in which redundant modules 11 to 1n operate in synchronization with the same clock 2 as shown in the figure. The outputs 31 to 3n are input to the final output circuit 4. If any of the redundant modules 11 to 1n cannot output a normal output due to a failure, the final output circuit 4 can select a normal output and continue normal operation. The final output circuit 4 for selecting a normal output includes a majority decision circuit 41, an AND circuit 42, an intermediate value selection circuit 43, and the like as will be described later.
[0032]
FIG. 2 shows an embodiment of the output interface 2i of the module 1i (i: module number) in an address image. The output interface 2i includes registers OUTall and OUT1 to OUTn. In the output interface 2i, when data is written in the register OUTall that outputs from all the modules 11 to 1n or the register OUTi that outputs only from the module 1i, an output 3i corresponding to the written data is output. . For example, as shown in FIG. 3, the output interface 21 of the first module 11 outputs an output 31 corresponding to the written data only when the data is written to the register OUTall or OUT1.
[0033]
According to the embodiment shown in FIG. 1 to FIG. 3, different outputs 31 to 3n can be obtained for each module while executing the same instruction in synchronization with the redundant modules 11 to 1n. Therefore, the final output circuit 4 can be given a test pattern. For example, when the modules 11 to 1n write data to the register OUTi, the output 3i corresponding to the written data is output only from the module 1i. Further, when the modules 11 to 1n write different data to the registers OUT1 to OUTn, different outputs 31 to 3n are output from the modules 11 to 1n, respectively. During normal operation, the modules 11 to 1n write data to the register OUTall, and outputs 31 to 3n corresponding to the written data are output from the modules 11 to 1n.
[0034]
4 and 5 are block diagrams showing an embodiment of the output interface 2i of the module 1i. The address decoder decodes the signal on the address bus 1i1, outputs a signal to the logical sum 2i2 only at the address corresponding to the register OUTall or the register OUTi, and sets the output of the logical sum 2i2 to H. Further, the logical product 2i3 with the R / W # signal is obtained, and the latch signal 2i4 is set to H only at the write access at the address corresponding to the register OUTall or the register OUTi. The latch 2i5 latches the signal on the data bus 1i2 according to the latch signal 2i4. In the embodiment of FIG. 4, the data latched by the latch 2i5 is directly used as the output 3i. Further, in FIG. 5, the digital / analog converter 2i6 converts the signal into an analog output 3i. When the output interface 2 i is of a type that outputs a digital signal as shown in the embodiment of FIG. 4, a majority circuit 41 and an AND circuit 42 described later may be used as the final output circuit 4. Further, when the output interface 2 i is of a type that outputs an analog signal as shown in the embodiment of FIG. 5, an intermediate value selection circuit 43 described later may be used as the final output circuit 4.
[0035]
FIG. 6 shows an embodiment in which a majority circuit 41 is used as the final output circuit 4. FIG. 7 shows the internal configuration of the 3-input majority circuit 41, and FIG. 8 shows the truth table during normal operation. As an example, FIG. 9 shows a truth table in the case where the output of the logical sum 411 constituting the majority circuit 41 causes a zero fixed fault (stuck-at-0 fault). As shown in FIG. 9, the input / output relationship different from the normal operation in the case of the zero fixed fault of the output of the logical sum 411 is only in the case 8 input pattern. Therefore, in order to detect this failure, the redundant modules 11 to 13 should output 31 to 33 corresponding to the input pattern of case 8. According to the present invention shown in the embodiment of FIGS. 1 to 5, since the modules 11 to 13 can individually output arbitrary outputs 31 to 33, not only the case 8, but also outputs 31 to 33 of all patterns can be output. it can. Therefore, according to the present embodiment, it is possible to detect a failure in any mode of the majority circuit 41, not limited to the zero-fixed failure of the output of the logical sum 411.
[0036]
If not according to the present invention, the redundant modules 11 to 13 are all normal, that is, only the cases 1 and 2 of the truth table shown in FIG. Cannot be detected, and a failure may occur. If such a failure is latent, when any of the redundant modules 11 to 13 fails, the failure cannot be relieved. For example, even when a zero-fixed fault of the output of the logical sum 411 occurs, if all of the redundant modules 11 to 13 are normal, an output that is not different from the normal time can be obtained, but only the output 33 of the module 13 When the place where H should be H for some reason becomes L, the output 3 of the majority circuit 41 becomes L where H should be H, and normal operation cannot be performed.
[0037]
FIG. 10 shows an embodiment in which an AND circuit 42 is used as the final output circuit 4. If the outputs 31 and 32 of the modules 11 and 12 made redundant as in this embodiment are input to the AND circuit 42 and the output 3 is obtained, the output 3 is output only when both the outputs 31 and 32 of the modules 11 and 12 are H. Becomes H. That is, if any of the outputs 31 and 32 of the modules 11 and 12 is L, the output 3 is L. Therefore, a fail-safe system can be realized if the L output is a safe output.
[0038]
FIG. 11 shows a truth table at the time of normal operation of the AND circuit 42, and FIG. 12 shows a truth table at the time of failure in which the output 32 is output as the output 3 as it is. This is a failure mode caused by a short circuit in the wiring inside the AND circuit 42. Even in the case of this failure, the failure can be detected only in the case 3 and 4 input patterns. Therefore, in order to detect this failure, the redundant modules 11 and 12 may output the outputs 31 and 32 corresponding to the input patterns of cases 3 and 4. According to the present invention shown in the embodiment of FIGS. 1 to 5, since the modules 11 and 12 can individually output arbitrary outputs 31 and 32, the outputs 31 and 32 of all patterns are output not only in cases 3 and 4. be able to. Therefore, according to the present embodiment, it is possible to detect a failure in any mode of the AND circuit 42 as well as the failure in which the output 32 is output as the output 3 as it is.
[0039]
Furthermore, as shown in FIG. 13, if a circuit composed of flip-flops is used for the AND circuit 42, it can be made fail-safe. This circuit outputs an alternating signal at output 3 only when an alternating signal appears at both outputs 31 and 32 as shown in FIG. That is, it can be seen that if the alternating signal is true and the other signals are false, the same operation as the logical product (AND) is performed. Moreover, the possibility of erroneously outputting an alternating signal due to the failure of the circuit itself is extremely low, so it is called fail-safe AND.
[0040]
FIG. 15 shows an embodiment in which an intermediate value selection circuit 43 is used as the final output circuit 4. The intermediate value selection circuit 43 is a circuit that selects and outputs an intermediate value among the input analog values. If the modules 11 to 1n are all normal, the output 31 to 3n theoretically outputs the same value, so the intermediate value selection circuit 43 "selects an intermediate value among the input analog values and outputs it. Unable to confirm “Yes” function. Actually, even if the digital values are the same in the outputs 31 to 3n, a variation of only the conversion error of the digital / analog converter occurs, and the intermediate value selection circuit 43 selects an intermediate value from these variations. And output. Therefore, at first glance, it appears that the function of “selecting and outputting an intermediate value of input analog values” of the intermediate value selection circuit 43 can be confirmed using this variation. However, this variation is difficult to discriminate because of the quantization error of the analog / digital converter for checking the output 3 by feeding back. Therefore, according to the present invention, the function of the intermediate value selection circuit 43 can be confirmed by setting any one of the outputs 31 to 3n to a different value.
[0041]
FIG. 16 shows an embodiment provided with a shutoff switch 5 for shutting off the output 3 of the redundant system provided by the present invention. In this embodiment, when an abnormality of the final output circuit 4 is detected by the method provided by the present invention, the output can be stopped by opening the cutoff switch 6 and erroneous output can be suppressed.
[0042]
<2. Example for Achieving Second Objective>
Further, according to the embodiment of FIG. 10, the modules 11 and 12 can be synchronized to perform the same operation, so that the data buses 111 and 121 and the address buses 112 and 122 of the modules 11 and 12 are shown in FIG. By comparing and checking the control buses 113 and 123 with the comparator 5, it is possible to detect and respond to malfunctions due to failures or failures at an early stage. Also, in this case, if a self-checking comparator such as Japanese Patent Application No. 6-27664 already filed by the inventors is used as the comparator 5, the detection error due to the failure of the comparator itself is eliminated. Will improve. Further, if the modules 11 and 12 are synchronized and operated with a half clock shift as in Japanese Patent Application No. 6-313492 already filed by the inventors, the same error occurs in the modules 11 and 12. Since the probability of occurrence is reduced, the error detection rate is further improved. The comparison check of the bus signals in the modules 11 to 1n shown in FIG. 15 is not limited to FIG. 10, but can be applied to the embodiments shown in FIGS.
[0043]
FIG. 18 shows an embodiment in which the embodiment of FIG. 17 is further developed and the output 33 of the comparator 5 is input to the AND circuit 42 in addition to the outputs 31 and 32 of the modules 11 and 12. According to this embodiment, only when the data buses 111 and 121, the address buses 112 and 122, and the control buses 113 and 123 of the modules 11 and 12 match and the outputs 31 and 32 of the modules 11 and 12 appear, the AND circuit 42. Gives output 3. In other words, not only the outputs 31 and 32 of the modules 11 and 12 but also the output 3 is output only when the intermediate results of the processing until the output matches. According to the present embodiment, output comparison and collation becomes multi-stage, so that safety and fail-safety are increased, and inconsistency during processing can be detected, so that early detection of errors is possible.
[0044]
Further, if the AND circuit 42 is a circuit composed of flip-flops as shown in FIG. 19, the AND circuit itself can be made fail-safe.
[0045]
<3. Example for Achieving Third Objective>
FIG. 20 shows an embodiment in which the fail-out failure mode of the fail-safe AND circuit is eliminated. In this embodiment, a signal having a frequency f3 higher than the maximum operating frequency fc of the circuit 7 subsequent to the failsafe AND circuit is applied to the clock input of the FF1 in the final stage of the flip-flops constituting the failsafe AND circuit. .
[0046]
As shown in FIG. 21, this circuit is a circuit that outputs an alternating signal to output 3 only when an alternating signal is input to all of f1, f2, and f3, and this operation is the same as that of a normal fail-safe AND circuit. It is.
[0047]
The only fail-out failure mode of the fail-safe AND is a failure mode in which the clock input of the flip-flop appears as it is at the Q output. When such a mode failure occurs in the flip-flop at the final stage, if an alternating signal is input to the flip-flop at the final stage, the alternating signal is output 3 regardless of other inputs as shown in FIG. Will be output more. At this time, the frequency of the output 3 is f3, which is higher than the maximum operating frequency fc of the circuit 7 subsequent to the fail-safe AND circuit. Therefore, as shown in FIG. 23, since the circuit 7 cannot operate at a frequency higher than the maximum operating frequency fc, no output appears at the output terminal 30 of the circuit 7. Therefore, even if a failure occurs in which the clock input appears as it is at the Q output in the flip-flop at the final stage, the dangerous output is not erroneously output, so that fail-safety can be provided.
[0048]
FIG. 24 summarizes the countermeasures for stopping the output 3 and the output 3 observed when a failure in which the CLK input of the flip-flop constituting the fail-safe AND circuit is output from the Q output occurs in each flip-flop. Is. As can be seen from FIG. 24, the failure can be detected by monitoring the output 3. Furthermore, according to the embodiment shown in FIG. 10 provided by the present invention, the test pattern can be injected effectively, so that the potential for failure can be prevented. On the other hand, the measures for stopping the output 3 at the time of failure decrease as the FF1, FF2, FF3 and the subsequent stages. In particular, in the FF 3 at the final stage, there is no means for stopping the output 3 in the event of a failure other than the present embodiment except for stopping the f3 input. In other words, without this embodiment, if a failure occurs in which f3 is continuously output for some reason other than FF3, the output 3 is continuously output. Therefore, the failure of the circuit that generates FF3 and f3, that is, the double failure causes the system to output a dangerous output and fail out. In contrast, FF1 and FF2 fail out only when a quadruple failure and a triple failure occur, respectively. In a system used for an application in which fail-out is related to human life, it is necessary to consider not failing out even if multiple failures occur for safety. Therefore, according to the present embodiment, it is possible to prevent the output from being stopped by failing out from the conventional fail-out due to the double failure.
[0049]
FIG. 25 further shows an embodiment in which the influence of a mode failure in which the clock inputs of all flip-flops of the fail-safe AND circuit are output from the Q output is prevented. In this embodiment, all of the input frequencies f1, f2, and f3 of the fail-safe AND circuit input to the clock terminal of the flip-flop are set higher than the maximum operating frequency fc of the circuit 7 subsequent to the fail-safe AND circuit. According to the present embodiment, the output of the output 3 of the flip-flop constituting the fail-safe AND circuit is the output of the circuit 7 in the subsequent stage even if any of the flip-flops constituting the fail-safe AND circuit has a mode failure in which the clock input is output from the Q output. Since the frequency is higher than the maximum operating frequency fc, the circuit 7 does not operate and no signal appears at the output 30. Therefore, according to the present embodiment, it is possible to prevent the influence of the mode failure in which the clock inputs of all the flip-flops of the fail-safe AND circuit are output from the Q output.
[0050]
However, when all of the input frequencies f1, f2, and f3 are much higher than the maximum operating frequency fc of the circuit 7, the normal output in which no failure has occurred in the fail-safe AND circuit is also higher than the maximum operating frequency fc. It becomes a high frequency. Therefore, for example, if f1 and f2 are selected so that fc <f1 <2fc and fc <f2 <2fc, outputs of f1 / 2 and f2 / 2 orders can be obtained as shown in FIG. As shown, the normal output 3 is lower than the maximum operating frequency fc of the circuit 7, and the abnormal output 3 is higher than the maximum operating frequency fc of the circuit 7. Therefore, according to the present embodiment, it is possible to prevent the influence of the failure in the mode in which the clock inputs of all the flip-flops of the fail-safe AND circuit are output from the Q output.
[0051]
As described above, according to the embodiment of FIG. 25, the clock inputs of all the flip-flops of the fail-safe AND circuit if the circuit 7 subsequent to the fail-safe AND circuit has a steep high-frequency attenuation characteristic. Can be prevented from being affected by the failure of the mode in which the signal is output from the Q output. On the other hand, in the embodiment of FIG. 20, the influence of the mode failure in which the clock input of the flip-flop at the final stage is output from the Q output is prevented. The attenuation characteristic is not required, and can be realized with the frequency characteristic of a normal circuit, so that it is not necessary to add a filter.
[0052]
20 to 26, a signal having a frequency higher than the maximum operating frequency fc of the circuit 7 is required. As a method of generating this signal, it can be considered as follows.
[0053]
(1) Life notification signal for each redundant module
(2) Clock signal
(3) Self-checking comparator according to JP-A-7-234801
Of these methods, the embodiment according to (3) will be described below.
[0054]
In the embodiments of FIGS. 20 to 26, the 3-input fail-safe AND circuit has been described for the sake of simplicity. However, it is needless to say that an N3-input fail-safe AND circuit can generally be realized in the same manner. .
[0055]
<4. Examples for achieving the second and third objects by a synergistic effect>
FIG. 27 provides a fail-safe system that guarantees the normality of the processing process that is the second object of the present invention, and eliminates the fail-out failure mode of the fail-safe AND that is the third object of the present invention. Examples are shown for achieving by synergistic effect. The configuration of this embodiment is basically the same as the configuration shown in FIG. In the embodiment shown in FIG. 27, a self-checking comparator 5 'is formed instead of a normal comparator, and a flip-flop as shown in FIG. 28 is used instead of a normal AND circuit. The fail-safe AND circuit having the flip-flop (FF3) for inputting the output 33 as the final stage is used, and the output of the fail-safe AND circuit is output 30 through the output drive circuit 71.
[0056]
This configuration is a fail-safe configuration because the alternating signal is output to the output 3 only when the alternating signal appears in all the outputs 31, 32, and 33.
[0057]
In order to realize this configuration, the self-checking comparator 5 ′ also has an output 33 when the data buses 111 and 121, the address buses 112 and 122, and the control buses 113 and 123 of the modules 11 and 12 match. It must output an alternating signal. As described above, the self-checking comparator such as Japanese Patent Application No. 6-27664 already filed by the inventors is used only when the signals to be compared match and the comparator itself is normal. Since an alternating signal is output as the output 33, this condition is met.
[0058]
Here, let us consider the frequency relationship when the input / output of the fail-safe AND circuit is normal. Since the output 33 of the self-checking comparator 5 'is inverted every bus cycle, it has the same frequency (usually several MHz to several hundred MHz) as the bus cycle. On the other hand, since the outputs 31 and 32 of the modules 11 and 12 are inverted by accessing the output interfaces 21 to 2n by software, the frequency is much lower than that of the output 33 of the self-checking comparator 5 (usually several hundred Hz to several kHz). Degree). Further, since the output of the fail safe AND is inverted in a cycle of the rise of all the signals of the output 33 of the self-checking comparator 5 and the outputs 31 and 32 of the modules 11 and 12, the outputs 31 and 32 of the modules 11 and 14 are reversed. The frequency is ½ of that. Note that, as shown in FIG. 29, the maximum operating frequency fc of the output drive circuit 7 to which the output of the fail-safe AND circuit is connected is usually about 100 Hz to several kHz when configured with power elements.
[0059]
Next, consider the case where the above-described mode failure occurs. In this case, the output 33 of the self-checking comparator 5 appears as it is at the output 3 of the fail safe AND. Therefore, the output 3 of the fail safe AND greatly deviates from the band of the output drive circuit 71 as shown in FIG. Therefore, even if a failure occurs in the fail-out mode, a signal does not appear on the output 30, so that it becomes fail-safe.
[0060]
【The invention's effect】
As described above, according to the present invention, the test of the final output circuit can be facilitated and the failure can be found at an early stage. Furthermore, by comparing the output of the module with a comparison check of signal lines inside the module, it is possible to speed up error detection and improve the error detection rate. Furthermore, fail-out of the fail-safe circuit can be prevented, and the fail-safety and safety of the system can be remarkably improved.
[Brief description of the drawings]
FIG. 1 shows a basic embodiment of the present invention.
FIG. 2 shows a configuration (register image) of an output interface 2i.
FIG. 3 is a configuration (register image) of the output interface 21;
FIG. 4 shows a configuration of an output interface 2i.
FIG. 5 shows the configuration of the output interface 2i (analog output).
FIG. 6 shows an embodiment using a majority circuit.
FIG. 7 shows a configuration of a majority circuit.
FIG. 8 is an input / output truth table of the majority circuit (when normal).
FIG. 9 is an input / output truth table of the majority circuit (at the time of failure).
FIG. 10 shows an embodiment using an AND circuit.
FIG. 11 is an input / output truth table of an AND circuit (when normal).
FIG. 12 is an input / output truth table of an AND circuit (at the time of failure).
FIG. 13 shows an embodiment using a fail-safe AND circuit.
FIG. 14 shows the operation of the fail-safe AND circuit (when normal).
FIG. 15 shows an embodiment using an intermediate value selection circuit.
FIG. 16 shows an embodiment in which a cutoff switch 6 is provided.
FIG. 17 shows an embodiment for comparing buses.
FIG. 18 shows an embodiment in which the output of the comparator is input to an AND circuit.
FIG. 19 shows an embodiment using a fail-safe AND circuit.
FIG. 20 shows an embodiment in which a fail-out failure of a fail-safe AND circuit is considered.
FIG. 21 shows the operation of the fail-safe AND circuit (when normal).
FIG. 22 shows the operation of the fail-safe AND circuit (at the time of failure).
FIG. 23 shows the frequency relationship of fail-safe AND circuit input / output signals.
FIG. 24: Fault location and countermeasures.
FIG. 25 shows an embodiment in which a fail-out failure of a fail-safe AND circuit is considered.
FIG. 26 shows the frequency relationship of fail-safe AND circuit input / output signals.
FIG. 27 shows an embodiment in which buses are compared and a fail-safe AND circuit fail-out failure is considered.
FIG. 28 shows signal connection to a fail-safe AND circuit.
FIG. 29 shows the frequency relationship of fail-safe AND circuit input / output signals.
[Explanation of symbols]
DESCRIPTION OF SYMBOLS 3 ... Output, 4 ... Final output circuit, 5 ... Comparator, 6 ... Shut-off switch, 11-1n ... Module, 21-2n ... Output interface, 31-3n ... Output (of modules 11-1n), 41 ... Majority circuit 42 ... AND circuit, 43 ... Intermediate value selection circuit.

Claims (2)

同一の命令を同期して実行する複数のモジュールからなる冗長システムにおいて、
前記複数のモジュール内の内部信号同士を比較し、前記複数のモジュール内の内部信号同士が一致したときには真の値を、一致していないときには偽の値を出力する比較器の出力信号と、前記複数のモジュールからの出力とを論理積回路に入力し、
前記比較器が交番信号を真の値として出力し、
前記論理積回路を構成する最終段のD−フリップフロップのクロック入力端子に前記比較器からの出力を接続し、
前記論理積回路は全ての入力に交番信号が入力されたときのみ交番信号を出力し
かつ、前記論理積回路の後段に接続される回路の最高動作周波数よりも前記比較器からの交番信号の周波数が高いことを特徴とする冗長システム。In a redundant system consisting of multiple modules that execute the same instruction synchronously,
The internal signals in the plurality of modules are compared with each other, a true value when the internal signals in the plurality of modules match, an output signal of a comparator that outputs a false value when they do not match, and Input the output from multiple modules to the AND circuit,
The comparator outputs an alternating signal as a true value,
Connecting the output from the comparator to the clock input terminal of the D-flip-flop at the final stage constituting the AND circuit;
The AND circuit outputs an alternating signal only when an alternating signal is input to all inputs ,
The redundant system is characterized in that the frequency of the alternating signal from the comparator is higher than the maximum operating frequency of the circuit connected to the subsequent stage of the AND circuit . 請求項1記載の冗長システムにおいて、
前記論理積回路が複数のD−フリップフロップ列から構成され、
該D−フリップフロップのQ出力端子またはQの反転出力端子が次段のD−フリップフロップのD入力端子に接続され、
最終段のD−フリップフロップのQ出力端子またはQの反転出力端子を前記論理積回路とし、
前記最終段のD−フリップフロップのQ出力端子またはQの反転出力端子が初段のD−フリップフロップのD入力端子に接続され、
前記論理積回路への入力がそれぞれ該D−フリップフロップのクロック入力端子に接続
されていることを特徴とする冗長システム。The redundant system according to claim 1,
The AND circuit is composed of a plurality of D-flip flop rows,
The Q output terminal or the inverted output terminal of Q of the D-flip flop is connected to the D input terminal of the next stage D-flip flop,
The Q output terminal or the inverted output terminal of Q of the final stage D-flip flop is the AND circuit,
The Q output terminal or the inverted output terminal of Q of the last stage D-flip flop is connected to the D input terminal of the first stage D-flip flop,
A redundant system, wherein inputs to the AND circuit are respectively connected to clock input terminals of the D-flip flops.
JP2002244514A 2002-08-26 2002-08-26 Redundant system Expired - Lifetime JP3733938B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002244514A JP3733938B2 (en) 2002-08-26 2002-08-26 Redundant system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002244514A JP3733938B2 (en) 2002-08-26 2002-08-26 Redundant system

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP28639096A Division JP3438490B2 (en) 1996-10-29 1996-10-29 Redundant system

Publications (2)

Publication Number Publication Date
JP2003177935A JP2003177935A (en) 2003-06-27
JP3733938B2 true JP3733938B2 (en) 2006-01-11

Family

ID=19196508

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002244514A Expired - Lifetime JP3733938B2 (en) 2002-08-26 2002-08-26 Redundant system

Country Status (1)

Country Link
JP (1) JP3733938B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4640251B2 (en) * 2006-04-28 2011-03-02 横河電機株式会社 Input control device
JP2008066536A (en) 2006-09-07 2008-03-21 Toshiba Corp Semiconductor integrated circuit
JP5618345B2 (en) * 2009-07-29 2014-11-05 日本信号株式会社 Duplex data processing circuit
WO2019049980A1 (en) * 2017-09-11 2019-03-14 日本電気株式会社 Reconfiguration circuit

Also Published As

Publication number Publication date
JP2003177935A (en) 2003-06-27

Similar Documents

Publication Publication Date Title
JP3002201B2 (en) Cross-connection type inspection circuit and integrated circuit therefor
CN102135757B (en) Safety input device
JPS59114652A (en) Watchdog timer circuit
US5577199A (en) Majority circuit, a controller and a majority LSI
US20150339201A1 (en) Microcontroller and electronic control device using the same
JPH02110388A (en) Integrated circuit module
JP3733938B2 (en) Redundant system
CA2689416C (en) Control apparatus and control method
JP3438490B2 (en) Redundant system
JP2001166009A (en) Semiconductor integrated circuit with diagnostic function
EP1291740B1 (en) Redundant information processing system
US3559168A (en) Self-checking error checker for kappa-out-of-nu coded data
JP2003316599A (en) Integrated circuit
US8516336B2 (en) Latch arrangement for an electronic digital system, method, data processing program, and computer program product for implementing a latch arrangement
JP4357373B2 (en) High reliability control device
JPS6037934B2 (en) Storage device diagnostic method
Greblicki et al. Design of totally self-checking code-disjoint synchronous sequential circuits
JP4711303B2 (en) Contact input device
JP5730173B2 (en) Device with self-diagnosis function
JPH09127203A (en) Logical integrated circuit and failure test method therefor
JP5104690B2 (en) Fault detection circuit
JP2010073285A (en) Information processing apparatus
KR20240092600A (en) Circuits, systems, and methods for ecc fault detection
CN118199656A (en) Circuit, system and method for ECC fault detection
JP2000304823A (en) Integrated circuit and its fault detecting system

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040113

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20040928

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20041129

A911 Transfer of reconsideration by examiner before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20050118

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050927

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20051010

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091028

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091028

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101028

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111028

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121028

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121028

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131028

Year of fee payment: 8

EXPY Cancellation because of completion of term