JP4616862B2 - Diagnostic equipment - Google Patents

Diagnostic equipment Download PDF

Info

Publication number
JP4616862B2
JP4616862B2 JP2007147692A JP2007147692A JP4616862B2 JP 4616862 B2 JP4616862 B2 JP 4616862B2 JP 2007147692 A JP2007147692 A JP 2007147692A JP 2007147692 A JP2007147692 A JP 2007147692A JP 4616862 B2 JP4616862 B2 JP 4616862B2
Authority
JP
Japan
Prior art keywords
output
information
unit
failure
comparison
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2007147692A
Other languages
Japanese (ja)
Other versions
JP2008299767A (en
Inventor
辰幸 大谷
阪東  明
小倉  真
輝昭 酒田
英二 小林
明弘 小野塚
正光 小林
覚 船木
康幸 古田
雅一 石川
雅裕 白石
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Hitachi Information and Control Solutions Ltd
Original Assignee
Hitachi Ltd
Hitachi Information and Control Solutions Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd, Hitachi Information and Control Solutions Ltd filed Critical Hitachi Ltd
Priority to JP2007147692A priority Critical patent/JP4616862B2/en
Publication of JP2008299767A publication Critical patent/JP2008299767A/en
Application granted granted Critical
Publication of JP4616862B2 publication Critical patent/JP4616862B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Hardware Redundancy (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)

Description

本発明は、ソフトウェアおよびハードウェアにおける多入力一出力の処理部の故障検出、監視および故障発生時の処理を含む診断装置に関する。   The present invention relates to a diagnostic apparatus including failure detection and monitoring of a processing unit having multiple inputs and outputs in software and hardware, and processing when a failure occurs.

情報制御システム業界におけるエレクトロニクスシステムの複雑化・高速化の進行と、トランジスタ微細化技術の飛躍的な進歩は、半導体集積回路(特に大規模集積回路)の業界採用を加速させている。その結果、近年においては大規模集積回路が情報制御システム中枢の一部を担うまでになっており、それに応じて、人命に関わる分野(電力・製造・交通・医療)では、特にその安全性・信頼性を保障するための技術要求が高まっている。   Advances in the complexity and speed of electronic systems in the information control system industry and dramatic advances in transistor miniaturization technology have accelerated the adoption of semiconductor integrated circuits (especially large-scale integrated circuits) in the industry. As a result, in recent years, large-scale integrated circuits have become part of the central part of information control systems, and accordingly, in fields related to human life (electric power, manufacturing, transportation, medical care), safety / There is an increasing demand for technology to ensure reliability.

過去より、ハードウェア個体の多重化とそれらを制御するソフトウェアの組合せで、ハードウェア個体の故障検出率を上げ、安全性・信頼性を確保してきた。
特許文献1の図2,3,4,16では、公知例とともに論理回路単体での故障検出手段および検出手段の健全性テスト手法が紹介されている。
特許文献2では、故障検出回路自身に発生する故障の検出精度を向上させる処理装置および試験方法が紹介されている。 Since the past, the combination of hardware individualization and software that controls them has increased the failure detection rate of individual hardware, ensuring safety and reliability.
2, 3, 4 and 16 of Patent Document 1 introduce a failure detection means and a soundness test method for the detection means in a single logic circuit together with known examples.
Patent Document 2 introduces a processing apparatus and a test method for improving the detection accuracy of a failure occurring in the failure detection circuit itself.

特許第3135543号公報Japanese Patent No. 3135543 特開2000−259444号公報JP 2000-259444 A

前項で説明した特許文献1では、健全性テストは、診断対象の論理回路のような多入力一出力の処理部がハイ出力をしている場合のみ有効であるが、ロー出力している場合についての故障検出手段が言及されていない。
また、特許文献2では、擬似信号出力回路を配設しているが、診断対象であるCPUが搭載されたコンピュータ装置の電源立上げ時毎に比較回路および故障検出回路の診断を行っており、診断の実施タイミングが限定されている。
そこで、本発明は、処理部の出力に依存せずに故障検出を行い、その故障検出を行う比較部の故障検出も実施タイミングの限定をせずに行うことを可能にすることで、全体の故障検出率を向上させることを目的とする。 In Patent Document 1 described in the previous section, the soundness test is effective only when a multi-input one-output processing unit such as a logic circuit to be diagnosed outputs a high output, but a case where a low output is output. No fault detection means are mentioned.
Further, in Patent Document 2, a pseudo signal output circuit is provided, but the comparison circuit and the failure detection circuit are diagnosed each time the power supply of the computer device equipped with the CPU to be diagnosed is mounted. The timing of the diagnosis is limited.
Therefore, the present invention makes it possible to detect a failure without depending on the output of the processing unit, and to perform the failure detection of the comparison unit that performs the failure detection without limiting the execution timing. The purpose is to improve the failure detection rate.

前記した課題を解決するために、本発明の診断装置は、通常動作モードとテスト動作モードとのどちらか一方の動作モードで動作する診断装置であって、前記通常動作モードで動作時に、二重化された2つの処理部のうち、一方の処理部から出力されて注入される第1の出力情報と他の処理部から出力されて注入される第2の出力情報とを比較することで、前記処理部の故障を検出する比較部と、前記第1の出力情報を反転させる反転部と、前記通常動作モードで動作時に、前記第2の出力情報を前記比較部に注入し、前記テスト動作モードで動作時に、前記反転部により前記第1の出力情報が反転された擬似的な故障情報を、前記第2の出力情報の代わりに前記比較部に注入する出力切替部と、前記出力切替部を制御するための前記動作モードに係る接続切替情報を前記出力切替部に出力し、前記テスト動作モードで動作時に、前記出力した接続切替情報と、前記比較部における故障の検出結果の情報とを用いて前記比較部の故障判定を行う故障判定部とを備える。 In order to solve the above-described problems, the diagnostic device of the present invention is a diagnostic device that operates in one of the normal operation mode and the test operation mode, and is duplexed when operating in the normal operation mode. By comparing the first output information that is output from one of the two processing units and injected, and the second output information that is output from the other processing unit and injected, the processing is performed. A comparator that detects a failure of the unit, an inversion unit that inverts the first output information, and the second output information is injected into the comparator when operating in the normal operation mode, and in the test operation mode. Controlling the output switching unit and the output switching unit that injects pseudo failure information in which the first output information is inverted by the inversion unit into the comparison unit instead of the second output information during operation The operation mode for Connection switching information relating to a failure is output to the output switching unit, and when operating in the test operation mode, the comparison unit failure is detected using the output connection switching information and information on a failure detection result in the comparison unit. A failure determination unit that performs the determination .

本発明によれば、処理部に故障が発生した際、前記処理部の出力情報がハイでもローでも、故障を検出できることで、処理部の故障検出率を高めることができる。
また、処理部の故障を検出する比較部に対しての故障検出を、擬似故障注入手段のひとつである切替接続部を有することで、その切り替えをすることで、いつでも比較部の故障検出を行うことができる。
以上により、2つの処理部と比較部と擬似故障注入手段を有する診断装置自体の故障検出率を高めることができる。 According to the present invention, when a failure occurs in the processing unit, the failure detection rate of the processing unit can be increased by detecting the failure regardless of whether the output information of the processing unit is high or low.
In addition, failure detection for the comparison unit that detects a failure of the processing unit is performed by having a switching connection unit that is one of the pseudo-fault injection means, so that the failure of the comparison unit is detected at any time by switching. be able to.
As described above, the failure detection rate of the diagnostic apparatus itself having the two processing units, the comparison unit, and the simulated fault injection means can be increased.

まず、図1を用いて本発明で提案する診断部の基本構成を示す。
診断の対象である処理部101と、その処理部101に対して二重化を行った複製処理部102と、両方の演算結果を比較する比較部104と、処理部101からの入力情報を反転させた反転情報を出力する反転部105と、複製処理部102からの入力情報または反転部105の入力情報のどちらか一方を、切り替えを行うことで出力できる切替接続部103からなる故障検出部100である。 First, the basic configuration of the diagnosis unit proposed in the present invention will be described with reference to FIG.
The processing unit 101 to be diagnosed, the duplication processing unit 102 that has duplicated the processing unit 101, the comparison unit 104 that compares the results of both operations, and the input information from the processing unit 101 are inverted. The failure detection unit 100 includes the reversing unit 105 that outputs the reversal information and the switching connection unit 103 that can output either the input information from the replication processing unit 102 or the input information of the reversing unit 105 by switching. .

ここで反転情報とは、入力情報に対して正反対の情報である。例えばディジタル信号の場合、入力情報が“0”であれば、反転情報は“1”になり、アナログ信号であれば、入力情報が“1”であれば、反転情報は“−1”になる。   Here, the inverted information is information opposite to the input information. For example, in the case of a digital signal, if the input information is “0”, the inversion information is “1”. If the input information is “1” in the case of an analog signal, the inversion information is “−1”. .

前述の故障検出部100と、切替接続部103の入力情報の切り替えを行い、かつ故障検出部100からの情報より故障の判定をする故障判定部108と、常に故障判定部108を監視し、故障の有無により出力情報を変更する安全動作切替部109を備えたものが、本発明で提案する診断部150である。   The failure determination unit 108 that switches the input information of the failure detection unit 100 and the switching connection unit 103 and that determines the failure based on the information from the failure detection unit 100 and the failure determination unit 108 are always monitored, The diagnosis unit 150 proposed in the present invention includes the safe operation switching unit 109 that changes the output information depending on whether or not there is.

図1の実施形態を説明する。
診断されるシステム(処理システム140)は、診断の対象である処理部101と、外部入力情報S121A,S121Bを入力する外部処理部106A,106Bと、その処理結果である出力情報S122を、外部処理部107に出力するシステムである。
この処理システム140に診断部150を導入したものが、図1に示す制御システム160である。 The embodiment of FIG. 1 will be described.
The system to be diagnosed (processing system 140) includes a processing unit 101 to be diagnosed, external processing units 106A and 106B that receive external input information S121A and S121B, and output information S122 that is the processing result of external processing. This is a system for outputting to the unit 107.
A control system 160 shown in FIG. 1 is obtained by introducing a diagnosis unit 150 into the processing system 140.

ここで、切替接続部103の出力情報の切り替えは自動であることが最も好ましいが、制御システムの形態によっては手動でも構わない。
また、図1の実施例では、故障検出部100と処理システム140は1つずつであるが、故障判定部108や安全動作切替部109が情報の処理を十分にできる能力があれば、複数あっても良い。 Here, the switching of the output information of the switching connection unit 103 is most preferably automatic, but may be manual depending on the form of the control system.
Further, in the embodiment of FIG. 1, there is one failure detection unit 100 and one processing system 140. However, if the failure determination unit 108 and the safe operation switching unit 109 are capable of sufficiently processing information, there are a plurality of failure detection units 100 and processing systems 140. May be.

以下、図2のフローチャートも用いて説明をする。
まず、通常動作モード時の制御システムの処理を説明する。通常動作モード時、切替接続部103は複製処理部102からの情報を出力するように接続されているものとする(F200でYes)。 Hereinafter, the description will be made with reference to the flowchart of FIG.
First, the processing of the control system in the normal operation mode will be described. In the normal operation mode, the switching connection unit 103 is connected to output information from the replication processing unit 102 (Yes in F200).

診断の対象である処理部101と、複製処理部102の両方に、外部処理部106A,106Bの外部入力情報S121A,S121Bを入力する。処理部101の出力情報S122と、切替接続部103を通った複製処理部102の出力情報S126(S126=S123)を比較部104に入力する。比較部104の入力情報S122とS126(S123)を比較し、“一致”または“不一致”の情報を比較結果情報S127に与え、出力する。   External input information S121A and S121B of the external processing units 106A and 106B are input to both the processing unit 101 and the replication processing unit 102 that are the objects of diagnosis. The output information S122 of the processing unit 101 and the output information S126 (S126 = S123) of the replication processing unit 102 that has passed through the switching connection unit 103 are input to the comparison unit 104. The input information S122 and S126 (S123) of the comparison unit 104 are compared, and information “match” or “mismatch” is given to the comparison result information S127 and output.

故障判定部108は比較結果情報S127を受け取り、“不一致”(F201でNo)ならば、処理部101または複製処理部102のどちらか一方の故障であると判定する(F202)。“一致”(F201でYes)ならば、処理部101も複製処理部102も共に正常であると判定し、次に診断するタイミングを待つ。   The failure determination unit 108 receives the comparison result information S127, and if it is “mismatch” (No in F201), it determines that either the processing unit 101 or the duplication processing unit 102 is in failure (F202). If “match” (Yes in F201), it is determined that both the processing unit 101 and the replication processing unit 102 are normal, and the next diagnosis timing is awaited.

この例では比較による故障の有無の判定を2つの入力情報の“一致”または“不一致”としたが、比較対象は強度,量,大きさなど処理部の出力形態によって比較する手段も変わる。   In this example, whether or not there is a failure by comparison is determined as “match” or “mismatch” between the two pieces of input information, but the comparison means changes depending on the output form of the processing unit such as strength, quantity, and size.

安全動作切替部109は、故障判定部108を常時監視しており(S128)、故障発生時には処理システム140を安全状態に緊急移行を制御する機能を備えている(F203)。   The safe operation switching unit 109 constantly monitors the failure determination unit 108 (S128), and has a function of controlling the emergency transition to a safe state when the failure occurs (F203).

ここで、安全とは、システムが正常ではない情報を受け取ることにより、システム全体が故障する危険や破壊される危険な状態に陥ることを恐れ、必ず正常に動作する最低限の機能でシステムを運用する状態のことであり、この状態にする情報を安全方向の情報とする。   Here, “safety” means that the system may receive a non-normal information, which may cause the entire system to fail or be in danger of being destroyed. The information to be set in this state is the safety direction information.

また、処理部001または複製処理部002の出力部分に、処理結果の出力情報と安全方向の出力情報を選択する手段を設け、故障判定部108により正常と判定された情報(処理結果の出力情報)または、故障と判定された情報を遮断し、安全方向の情報(安全方向の出力情報)しか後段に伝播しない安全動作切替部109を設けることで、制御システム160を中断させることのない、オンライン中(実制御中)の診断を実現する。   Further, means for selecting the output information of the processing result and the output information in the safety direction are provided in the output part of the processing unit 001 or the duplication processing unit 002, and the information determined as normal by the failure determination unit 108 (output information of the processing result) ) Or on-line without interrupting the control system 160 by providing a safe operation switching unit 109 that blocks information determined to be faulty and propagates only safety direction information (safety direction output information) to the subsequent stage. Realizes medium (during actual control) diagnosis.

このようにすることで、二重化された処理部と、その結果を比較する比較部を用いて、故障の検出を行うことで、システムの信頼性を向上することができる。
また、処理部の故障を検出するまでの時間の即時性を実現することができる。 By doing in this way, the reliability of a system can be improved by detecting a failure using the duplicated processing unit and the comparison unit that compares the results.
In addition, the immediacy of the time until the detection of the processing unit failure can be realized.

通常動作モード時に、故障判定部108が切替接続部103に切り替えを行うよう接続切替情報S125を出力することで、健全性テスト動作モードが開始する(F200でNo,F204)。   In the normal operation mode, the failure determination unit 108 outputs the connection switching information S125 so as to switch to the switching connection unit 103, thereby starting the soundness test operation mode (No in F200, F204).

接続切替情報S125を受けた切替接続部103は、故障判定部108からの接続切替情報S125により、出力対象の切り替えを行い、反転部105からの情報S124を出力するようになる(F205)。
これにより、反転部105にて処理部101の出力情報S122を反転させた反転情報S124は、切替接続部103に入力し、S126が出力される(出力情報S126=S124)。比較部104にて、処理部101の出力情報S122と、S122の反転情報であるS126(S124)を比較することにより、不一致を強制的に発生させる(擬似故障注入)(F206)。 Upon receiving the connection switching information S125, the switching connection unit 103 switches the output target based on the connection switching information S125 from the failure determination unit 108, and outputs the information S124 from the inversion unit 105 (F205).
As a result, the inversion information S124 obtained by inverting the output information S122 of the processing unit 101 by the inversion unit 105 is input to the switching connection unit 103 and S126 is output (output information S126 = S124). The comparator 104 forcibly generates a mismatch (pseudo fault injection) (F206) by comparing the output information S122 of the processing unit 101 with S126 (S124) which is the inversion information of S122.

このようにすることで、S122とS126(S124)が比較部104にて一致すると、比較部104に故障があることがわかる。これにより、比較部の健全性を確認することができるため、診断部の信頼性を向上することができる。   By doing in this way, when S122 and S126 (S124) are matched in the comparison part 104, it turns out that the comparison part 104 has a failure. Thereby, since the soundness of a comparison part can be confirmed, the reliability of a diagnostic part can be improved.

ここで、擬似故障注入とは、切替接続部103で入力情報の切り替えを行い、処理部101の出力情報S122を反転部105で反転させた反転情報S124を比較部104に入力することをいい、擬似故障注入により比較部104が不一致または一致の情報を出力するまでの手段を擬似故障注入手段という。   Here, the simulated fault injection means that input information is switched by the switching connection unit 103, and inverted information S124 obtained by inverting the output information S122 of the processing unit 101 by the inverting unit 105 is input to the comparing unit 104. Means until the comparison unit 104 outputs mismatch or coincidence information due to pseudo fault injection is referred to as pseudo fault injection means.

切替接続部103の切替タイミング前後の通常動作モード時(健全性テスト動作モードから通常動作モードへの切り替え後と、通常動作モードから健全性テスト動作モードへの切り替え前)の比較部104が出力する比較結果情報S127を、故障判定部108は監視する。   The comparison unit 104 outputs in the normal operation mode before and after the switching timing of the switching connection unit 103 (after switching from the soundness test operation mode to the normal operation mode and before switching from the normal operation mode to the soundness test operation mode). The failure determination unit 108 monitors the comparison result information S127.

ここで比較結果情報S127が“不一致”の場合、切替接続部103の入力情報がS123の時は“故障”を示すが、入力情報がS124の時は“正常”を示す。切替接続部103の入力情報の切り替えは故障判定部108が行うため、故障判定部108はS127の情報とその時の切替接続部の接続先により故障または正常を判定することができる。   Here, when the comparison result information S127 is “mismatch”, “failure” is indicated when the input information of the switching connection unit 103 is S123, but “normal” is indicated when the input information is S124. Since the failure determination unit 108 switches the input information of the switching connection unit 103, the failure determination unit 108 can determine failure or normality based on the information of S127 and the connection destination of the switching connection unit at that time.

健全性テスト動作モードであるとき、比較部104にて、処理部101の出力情報S122と反転部105の出力情報S126(S124)を比較して、比較結果情報S127が“一致”を示す場合(S122=S124)(F207でYes)、故障判定部108は比較部104に故障があると判断する(F208)。   When in the soundness test operation mode, the comparison unit 104 compares the output information S122 of the processing unit 101 with the output information S126 (S124) of the inversion unit 105, and the comparison result information S127 indicates “match” ( (S122 = S124) (Yes in F207), the failure determination unit 108 determines that the comparison unit 104 has a failure (F208).

ここで、比較結果情報S127が“不一致”を示す場合(S122≠S124)(F207でNo)、比較部104は正常であると判断される(F209)。切替接続部103の切り替えを行い(F210)、擬似故障注入が終了し、比較部104にはS122とS126(S123)が入力される(F211)。   Here, when the comparison result information S127 indicates “mismatch” (S122 ≠ S124) (No in F207), the comparison unit 104 is determined to be normal (F209). The switching connection unit 103 is switched (F210), the pseudo fault injection is completed, and S122 and S126 (S123) are input to the comparison unit 104 (F211).

ここで、比較部104の比較結果情報S127が“一致”を示す場合(S122=S123)(F212でYes)、健全性テスト動作モードを正常に終了する(F213)。
しかし、比較結果情報S127が“不一致”を示す場合(S122≠S123)(F207でNo)、健全性テスト動作モードに切り替える直前の通常動作モード時は、比較部104の比較結果情報S127は“一致”であるため、切替接続部103の切り替えが遅いなど、何らかの問題があると判断され、比較部10が故障と判断された時と同じ処理が行われる。 When the comparison result information S127 of the comparison unit 104 indicates “match” (S122 = S123) (Yes in F212), the soundness test operation mode is normally terminated (F213).
However, when the comparison result information S127 indicates “mismatch” (S122 ≠ S123) (No in F207), the comparison result information S127 of the comparison unit 104 is “match” in the normal operation mode immediately before switching to the soundness test operation mode. because it is ", etc. slow switching of the switch connection portion 103, it is determined that there is some problem, the same process is performed as when the comparison unit 104 is determined as a failure.

このようにすることで、診断部は、比較部だけでなく切替接続部や反転部も診断することできる。   By doing in this way, the diagnostic part can diagnose not only a comparison part but a switching connection part and an inversion part.

本発明が提案する診断部は、診断対象である処理部101とその接続相手となる外部処理部106A,106Bおよび107を結ぶ経路(メイン経路:外部処理部106A,106B〜S121A,S121B〜処理部101〜S122〜外部処理部107)上に、切替接続部103,比較部104,反転部105を配置しないシステム構造であるため、これら切替接続部103,比較部104,反転部105のいずれかひとつに故障が発生しても、メイン経路上にある製品の機能を侵す危険要因とはならず、かつ製品性能(処理速度)を落とす要因にもならない。   The diagnosis unit proposed by the present invention is a route (main route: external processing units 106A, 106B to S121A, S121B to processing unit) that connects the processing unit 101 to be diagnosed and the external processing units 106A, 106B, and 107 that are connection partners. 101 to S122 to the external processing unit 107), the switching connection unit 103, the comparison unit 104, and the reversing unit 105 are not arranged. Therefore, any one of the switching connection unit 103, the comparison unit 104, and the reversing unit 105 is provided. Even if a failure occurs, it does not become a risk factor that impairs the function of the product on the main path, nor does it cause a decrease in product performance (processing speed).

このようにすることで、本発明が提案する診断部は、診断の対象である処理部とその入力元、出力先を含む処理システムの動作に影響を与えないシステム構成にすることができる。   By doing so, the diagnosis unit proposed by the present invention can be configured to have a system configuration that does not affect the operation of the processing system including the processing unit to be diagnosed and its input source and output destination.

以下実施例を用いて、制御システム稼働中でも本発明が提案する診断部にて処理システムの診断(故障検出)を実施することができることを示す。   Hereinafter, it will be shown that the diagnosis (problem detection) of the processing system can be performed by the diagnosis unit proposed by the present invention even when the control system is in operation.

以下、本発明の実施構成例を図3,および図4,5,6のタイミングチャートを用いて詳細に説明する。   In the following, an exemplary embodiment of the present invention will be described in detail with reference to the timing charts of FIGS.

図3は、処理部に「3入力多数決回路」を用いた回路構成を示したもので、外部入力信号S321A,S321B,S321Cを論理演算した結果値“1”の多数決を行う3入力多数決回路301である。そして、外部入力信号のうち、2本以上の信号の論理演算の結果値が“1”であれば、多数決により“1”を出力する機能を備えている。3入力多数決回路301は、S321AとS321Bが“1”であれば、論理積301Aは“1”を出力する。同様にS321AとS321C,S321BとS321Cの組合せも論理演算を行う(T400)。論理和はひとつでも“1”が入力されれば“1”を出力するため、論理和301Dは出力信号S322に“1”を出力する(T401)。3入力多数決回路401の複製である複製3入力多数決回路402も同様の動作を行う。   FIG. 3 shows a circuit configuration using a “three-input majority circuit” in the processing unit. A three-input majority circuit 301 that performs a majority decision on a result value “1” obtained by logically operating the external input signals S321A, S321B, and S321C. It is. If the result value of the logical operation of two or more signals among the external input signals is “1”, a function of outputting “1” by majority decision is provided. In the 3-input majority circuit 301, if S321A and S321B are “1”, the logical product 301A outputs “1”. Similarly, the combination of S321A and S321C, and the combination of S321B and S321C performs a logical operation (T400). Since even if one logical sum is “1”, “1” is output, so the logical sum 301D outputs “1” to the output signal S322 (T401). A duplicate 3-input majority circuit 402, which is a duplicate of the 3-input majority circuit 401, performs the same operation.

また、前述の図1に示した構成と同じように、切替接続部103に該当する切替接続回路303、比較部104に該当する比較演算回路304、反転部105に該当する反転回路305、故障判定部108と安全動作切替部109に該当する機能を備えたCPU308で構成されている。   As in the configuration shown in FIG. 1, the switching connection circuit 303 corresponding to the switching connection unit 103, the comparison operation circuit 304 corresponding to the comparison unit 104, the inverting circuit 305 corresponding to the inverting unit 105, and the failure determination The CPU 308 includes functions corresponding to the unit 108 and the safe operation switching unit 109.

また、説明にあたっての前提として、通常動作モード時は、CPU308からの接続切替指示信号S325が“0”である。健全性テスト動作モード時は、S325を“1”にし、切替接続回路303の入力信号を切り替え、比較演算回路304(排他的論理和)に擬似故障注入を行う。   Also, as a premise for explanation, in the normal operation mode, the connection switching instruction signal S325 from the CPU 308 is “0”. In the soundness test operation mode, S325 is set to “1”, the input signal of the switching connection circuit 303 is switched, and a pseudo fault is injected into the comparison operation circuit 304 (exclusive OR).

ここで、CPU308は、比較結果信号S327の示す故障信号が、実際の故障によるものか、または擬似故障によるものかを、自身が接続切替指示をすることによって判別できる構成とする。   Here, the CPU 308 is configured to be able to determine whether the failure signal indicated by the comparison result signal S327 is due to an actual failure or a simulated failure by instructing connection switching.

なお、ここでは比較演算回路304を排他的論理和を用いて紹介しているが、二重化された3入力多数決回路(論理演算回路)301,302の出力信号が、一致または不一致であることを検出できるものであれば、その実施形態については、本発明が制約を受けることはない。   Although the comparison operation circuit 304 is introduced here using exclusive OR, it is detected that the output signals of the duplicated three-input majority circuits (logic operation circuits) 301 and 302 match or do not match. Where possible, the present invention is not limited in its embodiments.

ここで、T400のタイミング時の論理和による論理演算の結果が、T401で表示されており、時間のずれΔt1が生じている。このΔt1は、3入力多数決回路301にて演算を行ったことによる消費時間を表している。   Here, the result of the logical operation by the logical sum at the timing of T400 is displayed at T401, and a time shift Δt1 occurs. This Δt1 represents the consumption time due to the calculation performed by the 3-input majority circuit 301.

本回路構成では、外部処理部である負荷307に出力する直前に、最終出力制御回路311を設けている。これは本実施例では論理積の機能を持ち、通常は3入力多数決回路301のS322′(S322)とCPU308の最終出力遮断信号S329を入力し、論理演算の結果である最終出力信号S330を出力している。この実施例では、3入力多数決回路301に故障がない場合、S329は“1”である。   In this circuit configuration, a final output control circuit 311 is provided immediately before output to the load 307 which is an external processing unit. This has a logical product function in this embodiment, and normally, S322 ′ (S322) of the 3-input majority circuit 301 and the final output cut-off signal S329 of the CPU 308 are inputted, and a final output signal S330 as a result of the logical operation is outputted. is doing. In this embodiment, when there is no failure in the 3-input majority circuit 301, S329 is "1".

CPU308は、3入力多数決回路301を比較演算回路304の比較結果信号S327を介して常時監視しており、比較演算回路304が3入力多数決回路301の故障を検出した場合、最終出力遮断信号S329を“0”に切り替えて最終出力制御回路311によって最終出力信号S330を遮断または安全方向の信号を出力し、その先の外部処理部である負荷307に対して故障の影響を伝播させない安全動作切替制御機能と、接続切替指示信号S325を制御する機能を備える。   The CPU 308 constantly monitors the 3-input majority circuit 301 via the comparison result signal S327 of the comparison operation circuit 304. When the comparison operation circuit 304 detects a failure of the 3-input majority circuit 301, the CPU 308 outputs a final output cutoff signal S329. Switching to “0”, the final output control circuit 311 cuts off the final output signal S330 or outputs a signal in the safety direction, and safe operation switching control that does not propagate the influence of the failure to the load 307, which is the external processing unit beyond that. And a function of controlling the connection switching instruction signal S325.

ここで、安全方向の信号として、故障発生時に最終出力制御回路311が最終出力信号S330をハイ側(“1”)にするか、ロー側(“0”)にするかは、診断対象のシステムによって変わるのは言うまでもない。今回の実施例1では、故障発生時の設定が『出力をロー側にする』という論理構造のため、最終出力制御回路311を論理積としている。しかし、故障発生時の最終出力信号をハイ側にする場合は、最終出力制御回路311を論理和にし、最終出力遮断信号S329に“1”を入力することで、最終出力制御回路311から最終出力信号をハイにすることができる。このようにシステムに応じて変更することができる。   Here, as the safety direction signal, whether the final output control circuit 311 sets the final output signal S330 to the high side (“1”) or the low side (“0”) when a failure occurs depends on the system to be diagnosed. Needless to say, it varies depending on the situation. In the first embodiment, the final output control circuit 311 is a logical product because of the logical structure in which the setting at the time of the failure is “make the output low”. However, when the final output signal at the time of failure occurrence is set to the high side, the final output control circuit 311 is logically summed and “1” is input to the final output cutoff signal S329, so that the final output control circuit 311 outputs the final output. The signal can be high. Thus, it can be changed according to the system.

また、故障発生時に安全方向の信号として、最終出力制御回路311が最終出力信号S330を最終出力遮断信号S329により、任意でハイまたはローに切り替える機構を有することができることは言うまでもない。   Further, it goes without saying that the final output control circuit 311 can have a mechanism for arbitrarily switching the final output signal S330 to high or low by the final output cutoff signal S329 as a safety direction signal when a failure occurs.

まず、通常動作モードにおいて、3入力多数決回路301,および複製3入力多数決回路302が正常に動作している場合を説明する。
この場合、接続切替指示信号S325は“0”であり、比較演算回路304にはS322とS326(S323)が入力される。3入力多数決回路301と複製3入力多数決回路302からは同じ値が常時出力されるため、比較演算回路304から出力される比較結果信号S327は、S322とS326(S323)が一致することを示す“0”となる(T402)。 First, the case where the 3-input majority circuit 301 and the duplicate 3-input majority circuit 302 are operating normally in the normal operation mode will be described.
In this case, the connection switching instruction signal S325 is “0”, and S322 and S326 (S323) are input to the comparison operation circuit 304. Since the same value is always output from the 3-input majority circuit 301 and the duplicate 3-input majority circuit 302, the comparison result signal S327 output from the comparison operation circuit 304 indicates that S322 and S326 (S323) match. 0 "(T402).

ここでΔt2は、比較演算回路304にて演算を行ったことによる消費時間を表している。以下、他の論理演算回路やCPUでも、演算や処理を行うことによる消費時間は発生する。そのため、消費時間による出力タイミングのずれは図示するが、Δをつけた名称は図示しない。   Here, Δt <b> 2 represents the consumption time due to the calculation performed by the comparison calculation circuit 304. In the following, time consumed by performing calculations and processes also occurs in other logic operation circuits and CPUs. Therefore, the output timing shift due to the consumption time is shown, but the name with Δ is not shown.

次に、通常動作モードにおいて、3入力多数決回路301または複製3入力多数決回路302で故障が発生した場合を説明する。(以下説明の都合上、3入力多数決回路301で故障が発生した場合のみを説明する。)   Next, a case where a failure occurs in the 3-input majority circuit 301 or the duplicate 3-input majority circuit 302 in the normal operation mode will be described. (For convenience of explanation, only the case where a failure occurs in the 3-input majority circuit 301 will be described.)

3入力多数決回路301にて故障発生後(T403)、S322とS326(S323)が一致しないタイミングが現れる(T404)。このタイミングで比較演算回路304は、S322とS326(S323)が不一致であることを検出し、比較結果信号S327を“1”にして出力する(T405)。CPU308は擬似故障注入の指示をしていない(接続切替指示信号S325が“1”ではない)ので、S327の入力後、最終出力遮断信号S329を“0”にして出力し(T406)、S322′(S322)が負荷307に伝わる前に、最終出力信号S330を遮断する(T407)。この遮断により、本システムの外部への故障による出力の伝播を防止する。   After a failure occurs in the three-input majority circuit 301 (T403), a timing at which S322 and S326 (S323) do not match appears (T404). At this timing, the comparison operation circuit 304 detects that S322 and S326 (S323) do not match, and sets the comparison result signal S327 to “1” and outputs it (T405). Since the CPU 308 has not instructed pseudo fault injection (the connection switching instruction signal S325 is not “1”), after the input of S327, the final output cutoff signal S329 is set to “0” and output (T406), and S322 ′ Before (S322) is transmitted to the load 307, the final output signal S330 is cut off (T407). This interruption prevents the output from being propagated due to a failure outside the system.

なお、ディレイ回路310は、比較演算回路304が不一致を示す比較結果信号S327を出力してから、CPU308の最終出力遮断信号S329が最終出力制御回路311に入力されるまでの応答時間Δtを確保するために実装する。これは前述したΔt1,Δt2と同じく、論理演算回路やCPUで処理されるごとに発生する微少な消費時間を総計したずれによるものである。このΔtは3入力多数決回路301から3入力多数決回路出力信号S322が出力されるタイミングと、最終出力制御回路311から最終出力信号S330が出力されるタイミングのずれた時間を表している。   Note that the delay circuit 310 ensures a response time Δt from when the comparison operation circuit 304 outputs the comparison result signal S327 indicating a mismatch until the final output cutoff signal S329 of the CPU 308 is input to the final output control circuit 311. To implement for. This is due to the total deviation of the minute consumption time generated each time processing is performed by the logic operation circuit or the CPU, similar to the above-described Δt1 and Δt2. This Δt represents a time difference between the timing at which the 3-input majority circuit output signal S322 is output from the 3-input majority circuit 301 and the timing at which the final output signal S330 is output from the final output control circuit 311.

次に比較演算回路304の健全性確認手段について説明する。
健全性テスト動作モードを開始するため、CPU308は擬似故障注入指示を行い、接続切替指示信号S325を“1”にする(T501、健全性テスト開始タイミング)。同指示を受けて、切替接続回路303は反転出力信号S324を切替接続出力信号S326に接続する(T502)。比較演算回路304には、S322とS326(S322の反転値である反転出力信号S324)が入力されるため、比較演算回路304から出力された比較結果信号S327は、不一致を示す“1”となる(T503)。 Next, soundness confirmation means of the comparison operation circuit 304 will be described.
In order to start the soundness test operation mode, the CPU 308 issues a pseudo fault injection instruction and sets the connection switching instruction signal S325 to “1” (T501, soundness test start timing). Upon receiving the instruction, the switching connection circuit 303 connects the inverted output signal S324 to the switching connection output signal S326 (T502). Since the comparison operation circuit 304 receives S322 and S326 (an inverted output signal S324 that is an inverted value of S322), the comparison result signal S327 output from the comparison operation circuit 304 becomes “1” indicating a mismatch. (T503).

ここで、通常動作モードにおいて、3入力多数決回路301,および複製3入力多数決回路302が正常であれば、比較演算回路304から出力される比較結果信号S327は、S322とS326(S323)が一致することを示す“0”である。
そのため、健全性テスト動作モードにおける、擬似故障注入によって、比較演算回路304の比較結果信号S327が一致を示す“0”になることで、比較演算回路304が故障していることを示し、比較結果信号S327が不一致を示す“1”になることで、比較演算回路304は正常に動作していることを示すため、比較演算回路の故障の有無を判断することができる。 Here, in the normal operation mode, if the three-input majority circuit 301 and the duplicate three-input majority circuit 302 are normal, the comparison result signal S327 output from the comparison operation circuit 304 matches S322 and S326 (S323). It is “0” indicating this.
Therefore, in the soundness test operation mode, the comparison result signal S327 of the comparison operation circuit 304 becomes “0” indicating coincidence by the pseudo fault injection, which indicates that the comparison operation circuit 304 has failed, and the comparison result Since the signal S327 becomes “1” indicating a mismatch, it indicates that the comparison operation circuit 304 is operating normally, and therefore it is possible to determine whether or not the comparison operation circuit has failed.

このとき、CPU308は、自身が擬似故障注入の指示をしているので、比較結果信号S327が不一致を示す“1”であっても、最終出力制御回路311を遮断する処理は行わない(最終出力遮断信号S329を“0”にしない)。   At this time, since the CPU 308 has instructed the pseudo fault injection, even if the comparison result signal S327 is “1” indicating a mismatch, the CPU 308 does not perform the process of cutting off the final output control circuit 311 (final output). The cut-off signal S329 is not set to “0”).

以上より、比較演算回路304が正常であることを受け、CPU308は接続切替指示信号S325を“0”にし(T504)、同指示を受けて、切替接続回路303は複製3入力多数決回路出力信号S323を切替接続出力信号S326に接続する(T505)。比較演算回路304には、S322とS326(S323)が入力されるため、比較演算回路304から出力された比較結果信号S327は、一致を示す“0”となることで(T506)、CPU308は、比較演算手段(切替接続回路303,比較演算回路304および反転回路305)の健全性を確認し、健全性テスト動作モードを終了する。   As described above, when the comparison operation circuit 304 is normal, the CPU 308 sets the connection switching instruction signal S325 to “0” (T504). Upon receiving the instruction, the switching connection circuit 303 receives the duplicate 3-input majority circuit output signal S323. Is connected to the switching connection output signal S326 (T505). Since S322 and S326 (S323) are input to the comparison operation circuit 304, the comparison result signal S327 output from the comparison operation circuit 304 becomes “0” indicating coincidence (T506). The soundness of the comparison operation means (the switching connection circuit 303, the comparison operation circuit 304, and the inverting circuit 305) is confirmed, and the soundness test operation mode is terminated.

ここで、CPU308が擬似故障注入の指示を行うが(T601、健全性テスト開始タイミング)、比較結果信号S327が一致状態を示す“0”となっていた場合(T602)、比較演算手段の故障とみなし、最終出力遮断信号S329を“0”にして出力し(T603)、最終出力信号S330を遮断する処理を行う(T604)。この遮断により、本システムの外部への故障による出力の伝播を防止する。   Here, the CPU 308 instructs to inject a pseudo fault (T601, soundness test start timing), but if the comparison result signal S327 is “0” indicating the coincidence state (T602) Therefore, the final output cutoff signal S329 is set to “0” and output (T603), and the final output signal S330 is cut off (T604). This interruption prevents the output from being propagated due to a failure outside the system.

以上より、CPU308が通常動作モードから健全性テスト動作モードへの接続切替指示を行った結果、S324,S325およびS326のいずれかひとつでも値が変わらなければ、比較結果信号S327は一致(“0”)から不一致(“1”)に変化しない。つまり、比較演算回路304から出力される比較結果信号S327より判断される健全性確認は、比較演算回路304だけでなく、切替接続回路303および反転回路305の故障の有無、いわゆる比較演算手段の故障の有無も同時に診断している構成となる。   From the above, as a result of the CPU 308 instructing the connection switching from the normal operation mode to the soundness test operation mode, if the value does not change in any one of S324, S325, and S326, the comparison result signal S327 matches (“0”). ) To disagreement (“1”). In other words, the soundness confirmation determined from the comparison result signal S327 output from the comparison operation circuit 304 is not only the comparison operation circuit 304 but also whether there is a failure in the switching connection circuit 303 and the inverting circuit 305, so-called failure in the comparison operation means. It becomes the structure which also diagnoses the presence or absence of.

また、外部入力信号S321A,S321B,S321Cと最終出力信号S330および診断対象である3入力多数決回路301とを結ぶ経路(メイン経路)上に、故障の検出を行うための複製3入力多数決回路302,切替接続回路303,比較演算回路304および反転回路305は配置されていない。つまり、これらは、「3入力多数決回路」という製品の機能を侵す危険要因とはならず、かつ製品性能(処理速度)を落とす要因にもならない。   In addition, a duplicate 3-input majority circuit 302 for detecting a failure on a path (main path) connecting the external input signals S321A, S321B, S321C, the final output signal S330, and the 3-input majority circuit 301 to be diagnosed, The switching connection circuit 303, the comparison operation circuit 304, and the inverting circuit 305 are not arranged. That is, these do not become a risk factor that violates the function of the product called “3-input majority circuit”, nor does it cause a decrease in product performance (processing speed).

図7に図3の別構成例を示す。当該構成例は、比較演算回路704から出力される比較結果信号S727を反転する反転回路712を設け、S727の反転信号S731を最終出力制御回路711に入力する経路を設ける。ここで反転回路712は最終出力制御回路711にその機能を内蔵させても構わない。   FIG. 7 shows another configuration example of FIG. In this configuration example, an inverting circuit 712 for inverting the comparison result signal S727 output from the comparison operation circuit 704 is provided, and a path for inputting the inverted signal S731 of S727 to the final output control circuit 711 is provided. Here, the inverting circuit 712 may incorporate the function in the final output control circuit 711.

通常動作モードにおいて、比較演算回路704が、3入力多数決回路701または複製3入力多数決回路702の故障による入力信号の不一致を検出すると、出力される比較結果信号S727は不一致(“1”)になる。S727は反転回路712にて反転され、反転信号S731(“0”)が最終出力制御回路711に入力され、論理和の演算が行われる。これにより、最終出力制御回路711は、即時に最終出力信号S730を遮断し、外部負荷707への故障中の信号が外部に漏れることを防止する。   In the normal operation mode, when the comparison operation circuit 704 detects the mismatch of the input signals due to the failure of the 3-input majority circuit 701 or the duplicate 3-input majority circuit 702, the output comparison result signal S727 becomes a mismatch (“1”). . S727 is inverted by the inverting circuit 712, and the inverted signal S731 (“0”) is input to the final output control circuit 711 to perform a logical sum operation. As a result, the final output control circuit 711 immediately shuts off the final output signal S730, and prevents a faulty signal to the external load 707 from leaking to the outside.

これは図3で示した構成よりも、通常動作モードにおいて、比較演算回路704がCPU708を介さずに最終出力制御回路711に入力することで、故障を検出した後、少なくともCPUを介さない時間分だけ早く最終出力信号S730を遮断することができることを特徴とする。
実施例2の場合、最終出力信号S730の遮断にCPU708が介さないため、ディレイ回路710によるディレイ値を図3のディレイ回路310と比較して小さくすることができる。 Compared to the configuration shown in FIG. 3, in the normal operation mode, the comparison operation circuit 704 inputs to the final output control circuit 711 without passing through the CPU 708, so that at least the time not passing through the CPU is detected after the failure is detected. The final output signal S730 can be cut off as soon as possible.
In the case of the second embodiment, since the CPU 708 does not pass the cutoff of the final output signal S730, the delay value by the delay circuit 710 can be made smaller than that of the delay circuit 310 of FIG.

健全性テスト動作モード時(擬似故障注入時)には、比較演算回路704は、CPU708からの指示により、最終出力制御回路711が反応できないほどの微小パルス信号となるS731′(S727′)を出力する。これにより、擬似故障による最終出力制御回路711が最終出力信号S730を遮断する動作を防ぐことができる。
これは、最終出力制御回路711に応答処理部711aを設置することで、実現できる。 In the soundness test operation mode (when a simulated fault is injected), the comparison operation circuit 704 outputs S731 ′ (S727 ′), which is a minute pulse signal that the final output control circuit 711 cannot respond to in response to an instruction from the CPU 708. To do. As a result, it is possible to prevent the final output control circuit 711 due to a pseudo failure from shutting off the final output signal S730.
This can be realized by installing a response processing unit 711a in the final output control circuit 711.

前述の応答処理部は、応答速度が遅く、入力信号のパルス幅が小さい場合、無視される。パルス幅が小さくても、パルスが数多く出力された場合、応答処理部は応答速度が遅いために、微パルスの集合を幅広いパルスが入力されたと認識する。
ここで実施例2の場合、微パルス信号となるS731′(S727′)は数十ns〜数μsである。これはCPU708や処理部がその信号を受け、動作できる範囲の値である。応答処理部は数ms〜数十msの反応性能であり、前述の入力信号のパルス幅では反応しないため、擬似故障による出力遮断動作が負荷707に伝播することを防ぐことができる。 The response processing unit described above is ignored when the response speed is slow and the pulse width of the input signal is small. Even the pulse width is small, if the pulse is a number output recognizes the response processing unit for slow response speed, and wide pulse a set of infinitesimal pulse is input.
If here Example 2, S731 to be infinitesimal pulse signal '(S727') is several tens ns~ number .mu.s. This is a value within a range in which the CPU 708 and the processing unit can receive the signal and operate. The response processing unit has a response performance of several ms to several tens of ms, and does not react with the pulse width of the input signal described above. Therefore, it is possible to prevent the output cutoff operation due to a pseudo failure from propagating to the load 707.

応答処理部711aには、リレースイッチを用いるのが最も好ましい。リレースイッチには、市販のものを用いることができる。   It is most preferable to use a relay switch for the response processing unit 711a. A commercially available relay switch can be used.

実施例1,2のようにすることで、制御システム稼働中でも、診断(故障検出)を実施することができる。   By carrying out like Examples 1 and 2, diagnosis (failure detection) can be carried out even during operation of the control system.

なお、実施例1,2にて、診断の対象を論理演算回路としているが、演算の機能を有するか否かは、本発明が制約を受けることはない。   In the first and second embodiments, the diagnosis target is a logical operation circuit. However, the present invention is not limited by whether or not it has an operation function.

以上の診断装置は、ソフトウェアとハードウェアの両方で適用可能である。   The above diagnostic apparatus can be applied by both software and hardware.

ここで最終出力制御回路に比較結果信号を反転入力せずとも、最終出力制御回路は、比較結果信号が不一致であることを検出して、即時に最終出力信号を遮断するように構成することができることは言うまでもない。   Here, even if the comparison result signal is not inverted and input to the final output control circuit, the final output control circuit can be configured to detect that the comparison result signals do not match and immediately shut off the final output signal. Needless to say, you can.

本発明は、簡素な要素技術構造を有していながら各処理で論理演算を用いた場合の故障検出力に優れているため、主に人命に関わる制御システム(電力・ガス・製造・交通・医療・情報通信・生産管理・金融)の分野に対しては、コストと実装スペースを増大させることなく、安全性と信頼性の向上に大きく寄与することができる。   Since the present invention has a simple elemental technical structure and excellent fault detectability when logical operations are used in each process, the control system mainly related to human life (power, gas, manufacturing, traffic, medical care)・ In the fields of information communication, production management, and finance, it can make a significant contribution to improving safety and reliability without increasing costs and mounting space.

本発明で提案する診断部を含んだ制御システムの基本構成図。The basic block diagram of the control system containing the diagnostic part proposed by this invention. 本発明の基本構成で診断を行ったときのフローチャート図。The flowchart figure when it diagnoses with the basic composition of this invention. 実施例1の構成図。1 is a configuration diagram of Embodiment 1. FIG. 実施例1にて通常動作モード中に3入力多数決回路301が故障した時のタイムチャート図。FIG. 3 is a time chart when the 3-input majority circuit 301 fails during the normal operation mode in the first embodiment. 実施例1にて健全性テスト動作モード中のタイムチャート図。FIG. 3 is a time chart during the soundness test operation mode in the first embodiment. 実施例1にて健全性テスト動作モード中に比較演算回路304が故障した時のタイムチャート図。FIG. 6 is a time chart when the comparison operation circuit 304 fails during the soundness test operation mode in the first embodiment. 実施例2の構成図。FIG.

符号の説明Explanation of symbols

100 故障検出部
101 処理部
102 複製処理部
103 切替接続部(出力切替部)
104 比較部
105 反転部
106A,106B,107 外部処理部
108 故障判定部
109 安全動作切替部
140 処理システム
150 診断部(診断装置)
160 制御システム
301,701 3入力多数決回路
304,704 比較演算回路
307,707 負荷
308,708 CPU
310 ディレイ回路
311,711 最終出力制御回路(最終出力制御部)
711a 応答処理部
712 反転回路 100 failure detection unit 101 processing unit 102 replication processing unit 103 switching connection unit (output switching unit)
104 Comparison Unit 105 Inversion Unit 106A, 106B, 107 External Processing Unit 108 Failure Determination Unit 109 Safe Operation Switching Unit 140 Processing System 150 Diagnosis Unit (Diagnostic Device)
160 Control system 301,701 Three-input majority circuit 304,704 Comparison operation circuit 307,707 Load 308,708 CPU
310 delay circuit 311, 711 final output control circuit (final output control unit)
711a Response processing unit 712 Inversion circuit

Claims (7)

通常動作モードとテスト動作モードとのどちらか一方の動作モードで動作する診断装置であって、
前記通常動作モードで動作時に、二重化された2つの処理部のうち、一方の処理部から出力されて注入される第1の出力情報と他方の処理部から出力されて注入される第2の出力情報とを比較することで、前記処理部の故障を検出する比較部と、
前記第1の出力情報を反転させる反転部と、
前記通常動作モードで動作時に、前記第2の出力情報を前記比較部に注入し、前記テスト動作モードで動作時に、前記反転部により前記第1の出力情報が反転された擬似的な故障情報を、前記第2の出力情報の代わりに前記比較部に注入する出力切替部と、
前記出力切替部を制御するための前記動作モードに係る接続切替情報を前記出力切替部に出力し、前記テスト動作モードで動作時に、前記出力した接続切替情報と、前記比較部における故障の検出結果の情報とを用いて前記比較部の故障判定を行う故障判定部と、
を備えることを特徴とする診断装置。 A diagnostic device that operates in one of a normal operation mode and a test operation mode,
Wherein during operation in the normal operation mode, one of the two processing units that are duplexed, a second output that is injected is output from the first output information and the other processing unit that is injected is output from one of the processing unit A comparison unit for detecting a failure of the processing unit by comparing information ;
An inverting unit for inverting the first output information;
When operating in the normal operation mode, the second output information is injected into the comparison unit, and when operating in the test operation mode, pseudo failure information in which the first output information is inverted by the inversion unit is provided. , An output switching unit that injects into the comparison unit instead of the second output information ;
Connection switching information related to the operation mode for controlling the output switching unit is output to the output switching unit, and when the operation is performed in the test operation mode, the output connection switching information and a failure detection result in the comparison unit A failure determination unit that performs failure determination of the comparison unit using the information of
A diagnostic apparatus comprising: 前記第1の出力情報は、前記一方の処理部から出力されてから、前記比較部の故障と、前記反転部の故障と、前記出力切替部の故障とのうちいずれの故障による影響を受けずに、当該装置から外部に出力されること
を特徴とする請求項に記載の診断装置。 The first output information is not affected by any of the failure of the comparison unit, the inversion unit, and the failure of the output switching unit after being output from the one processing unit. a diagnostic device according to claim 1, wherein the output from the device to the outside. 前記故障判定部は、
前記擬似的な故障情報を前記比較部に注入させる前記接続切替情報を出力した場合の、前記比較部における故障の検出結果の情報が「不一致」であるとき、または、前記第2の出力情報を前記比較部に注入させる前記接続切替情報を出力した場合の、前記比較部における故障の検出結果の情報が「一致」であるときに、「正常」と判定すること
前記擬似的な故障情報を前記比較部に注入させる前記接続切替情報を出力した場合の、前記比較部における故障の検出結果の情報が「一致」であるとき、または、前記第2の出力情報を前記比較部に注入させる前記接続切替情報を出力した場合の、前記比較部における故障の検出結果の情報が「不一致」であるときに、「故障」と判定すること
を特徴とする請求項に記載の診断装置。 The failure determination unit
When the connection switching information for injecting the pseudo failure information into the comparison unit is output, when the information of the failure detection result in the comparison unit is “mismatch”, or the second output information is When the connection switching information to be injected into the comparison unit is output, when the information of the failure detection result in the comparison unit is “match”, it is determined as “normal”
When the connection switching information for injecting the pseudo failure information into the comparison unit is output, when the information of the failure detection result in the comparison unit is “match”, or the second output information is When the connection switching information to be injected into the comparison unit is output and the information of the failure detection result in the comparison unit is "mismatch", it is determined as "failure" The diagnostic device according to claim 2 . 前記故障判定部の故障判定を受け、
判定結果が正常である場合は、通常出力情報を出力し、
判定結果が故障である場合は、安全出力情報を出力する
安全動作切替部をさらに、備えることを特徴とする請求項または請求項に記載の診断装置。 Upon receiving a failure determination of the failure determination unit,
When the judgment result is normal, normal output information is output,
Determination If the result is a failure, further the safety operation switching unit for outputting the safety output information, diagnostic apparatus according to claim 1 or claim 3, characterized in comprising. 前記診断装置と、前記診断装置に入力情報を供給する入力側外部処理部と、前記診断装置の出力情報を受ける出力側外部処理部を含んだ制御システムが稼働中に、
前記安全動作切替部が、通常出力情報を出力している時は、前記一方の処理部の出力情報を前記出力側外部処理部に出力し、
前記安全動作切替部が、前記安全出力情報を出力している時は、前記制御システムが安全に動作する安全方向の情報を前記出力側外部処理部に出力する
ことを特徴とする請求項に記載の診断装置。 While the control system including the diagnostic device, the input-side external processing unit that supplies input information to the diagnostic device, and the output-side external processing unit that receives the output information of the diagnostic device is in operation,
When the safe operation switching unit is outputting normal output information, output the output information of the one processing unit to the output side external processing unit,
The safe operation switching unit, at output of the safety output information, to claim 4, characterized in that for outputting a safe direction information which the control system operates safely to the output-side external processing unit The diagnostic device described. 前記一方の処理部の出力情報を時間的に多数に分割し、
その多数に分割された出力情報の内、複数が入力されないと、前記最終出力制御部が動作しないよう制御する応答処理部を、前記最終出力制御部内に設けることを特徴とする請求項に記載の診断装置。 The output information of the one processing unit is divided into a large number in time,
6. The final output control unit according to claim 5 , wherein a response processing unit is provided in the final output control unit for controlling the final output control unit not to operate when a plurality of pieces of output information divided into a plurality are not input. Diagnostic equipment. 前記比較部の故障出力情報を、前記安全動作切替部を介さずに、前記最終出力制御部に入力することで、前記最終出力制御部が、安全方向の情報を出力することを特徴とした請求項または請求項に記載の診断装置。 The failure output information of the comparison unit is input to the final output control unit without going through the safe operation switching unit, so that the final output control unit outputs information on the safety direction. The diagnostic device according to claim 5 or 6 .
JP2007147692A 2007-06-04 2007-06-04 Diagnostic equipment Active JP4616862B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007147692A JP4616862B2 (en) 2007-06-04 2007-06-04 Diagnostic equipment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007147692A JP4616862B2 (en) 2007-06-04 2007-06-04 Diagnostic equipment

Publications (2)

Publication Number Publication Date
JP2008299767A JP2008299767A (en) 2008-12-11
JP4616862B2 true JP4616862B2 (en) 2011-01-19

Family

ID=40173207

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007147692A Active JP4616862B2 (en) 2007-06-04 2007-06-04 Diagnostic equipment

Country Status (1)

Country Link
JP (1) JP4616862B2 (en)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010262432A (en) * 2009-05-01 2010-11-18 Mitsubishi Electric Corp Safety controller
JP5126393B2 (en) * 2011-06-29 2013-01-23 日本精工株式会社 In-vehicle electronic control unit
JP5788022B2 (en) * 2011-12-19 2015-09-30 株式会社キトー Fail-safe electronic control unit
JP5682861B2 (en) * 2012-02-01 2015-03-11 株式会社デンソー Electronic control device and electric power steering device using the same
JP5788100B2 (en) 2012-08-21 2015-09-30 三菱電機株式会社 Control device for scanning electromagnet and particle beam therapy system
JP6282482B2 (en) * 2014-02-18 2018-02-21 株式会社日立製作所 Programmable circuit device and configuration information restoration method

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS518842A (en) * 1974-07-09 1976-01-24 Hitachi Ltd Ronrisochino shindanhoshiki
JPH02138636A (en) * 1988-11-18 1990-05-28 Fujitsu Ltd Diagnosing system for multiplex system in its operation mode
JP2000259444A (en) * 1999-03-10 2000-09-22 Nec Ibaraki Ltd Data processor and its testing method

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS518842A (en) * 1974-07-09 1976-01-24 Hitachi Ltd Ronrisochino shindanhoshiki
JPH02138636A (en) * 1988-11-18 1990-05-28 Fujitsu Ltd Diagnosing system for multiplex system in its operation mode
JP2000259444A (en) * 1999-03-10 2000-09-22 Nec Ibaraki Ltd Data processor and its testing method

Also Published As

Publication number Publication date
JP2008299767A (en) 2008-12-11

Similar Documents

Publication Publication Date Title
JP4616862B2 (en) Diagnostic equipment
JP4330547B2 (en) Information processing system control method, information processing system, information processing system control program, and redundant configuration control device
JP2008085596A (en) Clock distributing circuit, and test method
JP5554292B2 (en) Redundant controller
JPWO2016002416A1 (en) Power converter
WO2006011583A1 (en) Programmable controller
JP2010527846A5 (en)
KR101902577B1 (en) Method for checking functions of control system with components
JP5208454B2 (en) Variable voltage variable frequency power supply device and standby system abnormality detection method thereof
JP2011022957A (en) System and method for monitoring voltage
JP4328969B2 (en) Diagnosis method of control device
JP2005208770A (en) Digital controlling apparatus
JP5875475B2 (en) Security equipment
JP2001067122A (en) Method for diagnosing ladder program and equipment diagnostic device
JP2009024961A (en) Gas shut-off device
JP6416065B2 (en) Diagnostic circuit and semiconductor system
JP6356325B1 (en) Relay control device
JP3162240B2 (en) System switching synchronizer
JP2017220842A (en) Duplex switching system
JPH08166815A (en) Plant monitor and control system
JP2011103071A (en) Multiplexing control device
JP2009252188A (en) Operation confirmation method for fault tolerant server and inspection support program
JPH08292894A (en) Digital controller
JPH03164901A (en) Dual system switching device
JP2006279328A (en) Crossbar switch

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090626

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100708

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100713

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100910

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101005

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101022

R150 Certificate of patent or registration of utility model

Ref document number: 4616862

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131029

Year of fee payment: 3