JP5730173B2 - 自己診断機能付き装置 - Google Patents

自己診断機能付き装置 Download PDF

Info

Publication number
JP5730173B2
JP5730173B2 JP2011246222A JP2011246222A JP5730173B2 JP 5730173 B2 JP5730173 B2 JP 5730173B2 JP 2011246222 A JP2011246222 A JP 2011246222A JP 2011246222 A JP2011246222 A JP 2011246222A JP 5730173 B2 JP5730173 B2 JP 5730173B2
Authority
JP
Japan
Prior art keywords
error
circuit
output
self
comparison
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011246222A
Other languages
English (en)
Other versions
JP2013106056A (ja
Inventor
良 藤田
良 藤田
遼一 稲田
遼一 稲田
西村 卓真
卓真 西村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2011246222A priority Critical patent/JP5730173B2/ja
Publication of JP2013106056A publication Critical patent/JP2013106056A/ja
Application granted granted Critical
Publication of JP5730173B2 publication Critical patent/JP5730173B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Logic Circuits (AREA)
  • Tests Of Electronic Circuits (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)

Description

本発明は、電子的に論理演算などを行う装置に係り、特に高い安全性、信頼性を得るために自己診断機能を備えた装置に関する。
電子的に論理演算などを行う装置(以下、単に装置という)が、広く一般に採用されている。これらの装置は、適用される分野などの事情により特に高い安全性や、信頼性が要求される場合がある。このため、個別の事情に応じて安全性、信頼性を確保するための各種対策を施した装置が提供されている。
ここで、これらの装置に故障をもたらす原因を検討してみると、電磁界ノイズ、放射線ノイズのように間欠的なデータに異常が現れる故障と、経年変化などによる物理的な変化によってもたらされる永久的な故障がある。このため、装置の故障が重大な結果をもたらす可能性のあるシステムにおいては、どちらの故障も確実にとらえ、もし故障が発生しても安全に処置することが重要である。
一般に安全性を重視するシステムでは、故障が発生しても正しく故障を検出できないで動作を継続してしまう確率を残留故障確率と呼び、安全性の尺度として使用している。故障率がλの装置の残留故障確率は、故障が危険側と安全側に同等に倒れるとしてλ/2となる。
装置の故障が重大な結果をもたらす可能性がある高い安全性、信頼性を必要とする装置では、出来るだけ装置としての残留故障確率を下げる工夫がなされている。例えば、特許文献1に開示されている集積回路モジュールでは、2個の同じLSIチップをマスタとチェッカーとして配備し、マスタの動作をチェッカーで1クロック単位に照合する。これにより故障の発生を迅速に検出し、故障に対して安全な処置を直ぐ行うことができる。
LSIチップを二重化し照合する特許文献1の方式では、LSIチップの故障率をλとしたとき、誤って正しいと判断するのは、同時に2個のLSIチップが故障する場合で確率がλ となる。λは一般に非常に小さい値であるから装置の残留故障確率を大幅に低減させることが期待できる。
しかし実際には、2個のLSIの出力を照合する比較回路部分の故障率λが装置全体の故障率の大半を占めることになるため、追加された比較回路の対策が必要となる。その方法の一つとして、特許文献1には照合する比較回路の定期的な自己診断を行う方法が記されている。具体的には、比較回路にエラーを注入し、そのエラーを正しく検出することを定期的、自動的に実施する。
また、特許文献2には、比較回路も二重化し自己診断する方法が記されている。このように定期的な比較回路の診断を行うことで、装置としての故障率を大幅に低減できる。
図2は前記特許文献1、特許文献2で示されるような高信頼なシステムの構成を一般的な形で書き直した図である。ここでは本来、装置が行うべき機能をメイン論理部LMとしている。またメイン論理部LMと同じメイン論理入力を受け、同じ動作をする検査論理部LTがある。メイン論理部LMの出力と検査論理部LTの出力を自己診断比較回路SCで比較する。自己診断比較回路SCは、双方の出力が一致するときメイン論理部LMの出力をそのままメイン論理出力として出力し、検査論理部LTの出力する値と異なれば、エラーであることを”比較エラー検出信号”に出力する。
なお、自己診断比較回路SCは、2つのデータ(メイン論理部LMの出力と検査論理部LTの出力)を比較する比較回路の他に、比較回路自体の診断のために用いるエラーを自動生成するエラー発生器と、それを2つの入力(メイン論理部LMの出力と検査論理部LTの出力)に注入する注入器と、検出されたエラーを確認する確認装置から構成されている。このように、メイン論理部LMに検査論理部LTを加えて二重化し、それを定期的に診断された比較回路で比較する構成をとることにより非常に安全性の高いシステムを構築することができる。
特許第2835619号公報 特開平9−288150号公報
図2に示した従来の二重化照合による構成においては、もしメイン論理部LM、検査論理部LTに経年変化による永久故障が発生すると直ぐには発見されない場合がある。例えば、乗算を行うメイン論理部LMであれば入出力が常に変化しているので、メイン論理部LMまたは検査論理部LTに何らかの故障が発生すれば即座に出力不一致となる。この結果、比較回路が不一致を検知し直ちに故障と検出することができる。
しかし、例えばメイン論理部LMがタイムアウトの出力を生成する処理を行うものと考えると、タイムアウトはシステムが正しく動作している限り値が変化しないから、メイン論理部LMまたは検査論理部LTに故障が発生してもタイムアウトが発生していない側に故障すると、実際にタイムアウトが発生するまで比較回路で不一致を検出しない。
即ち、もしメイン論理部LMに故障が発生しており、その後タイムアウトが発生してもタイムアウト信号が出力されず、比較回路の不一致を検出する。検査論理部に異常があれば、タイムアウトが検出され比較器の不一致も検出し出力する。
このように、最終的には正しく比較器の不一致が検出されるので安全上の問題は無いが、故障のある状態で長期間稼働を続けると二重故障の危険が増し、システムが想定外の振舞いをする危険が高まる。
以上のことから本発明においては、検査論理、メイン論理に異常がある場合、比較回路が不一致を発生する前に検出し装置の交換ができるようにすることを目的としている。
上記課題を解決するために、同じ入力が与えられ、同じ論理演算を実施する第1と第2の論理部、第1と第2の論理部のいずれかにエラー信号を与えるエラー注入回路、第1と第2の論理部の出力を入力し選択した信号を与える選択回路と第1と第2の論理部の出力を比較し、比較不一致信号を与える比較回路とを備えた比較補正回路から構成され、比較補正回路は、第1と第2の論理部のいずれかにエラー信号を与えた時、第1と第2の論理部の出力が不一致にならない場合、または、第1と第2の論理部にエラー信号を与えないときに、第1と第2の論理部の出力が不一致になる場合に異常があると判断する。
また、エラー注入回路に与えるエラー信号を決定するエラー注入制御回路を備え、エラー注入制御回路は、エラー注入回路にエラー信号を与えたときに、比較補正回路に対してエラー信号の付与状況に応じてエラー検出期待値を出力する。
また、比較補正回路内の選択回路は、第1の論理部の出力を選択し、エラー注入制御回路が第1の論理部にエラー信号を与えるときには第2の論理部の出力を選択する。
また、エラー注入制御回路は、所定周期で第1と第2の論理部に対するエラー信号のエラー注入処理を実行する。
また、エラー注入回路に対して与えるエラー信号は、第1と第2の論理部を構成する素子の出力信号を変化させるデータを1つ以上含む。
また、エラー注入回路に対して与えるエラー信号は、プログラムによって予め決められたデータを繰り返し与える。
また、比較補正回路内の比較回路の後段に表示回路を接続する。
上記課題を解決するために、同じ入力が与えられ、同じ論理演算としてタイムアウト処理を実施する第1と第2の論理部、第1と第2の論理部のいずれかにエラー信号を与えるエラー注入回路、第1と第2の論理部の出力を入力し選択した信号を与える選択回路と第1と第2の論理部の出力を比較し、比較不一致信号を与える比較回路とを備えた比較補正回路から構成され、比較補正回路は、第1と第2の論理部のいずれかにエラー信号を与えた時、第1と第2の論理部の出力が不一致にならない場合、または、第1と第2の論理部にエラー信号を与えないときに、第1と第2の論理部の出力が不一致になる場合に異常があると判断する。
本発明によれば、回路をメイン論理と検査論理に二重化し、そこに故障が発生したとき、その出力の不一致で故障を検出する前に、メイン論理と検査論理と比較回路を自己診断で異常を検出する装置を提供できる。
本発明の自己診断機能付き装置の概略構成を示す図。 従来の二重化照合装置の構成を示す図。 メイン論理部LMの一例を示す図。 電源の立ち上げから異常を検知するまでのフローを記したタイムチャート。 自己診断機能付き装置の具体的な回路構成例を示す図。 自己診断機能付き装置を適用した制御装置の構成例を示す図。
以下、本発明の実施例を、図面を用いて説明する。
図1は、本発明に係る自己診断機能付き装置の構成例を示している。本発明において、自己診断機能が付与される装置は、安全性、信頼性が必要な独立した装置あるいはシステムであってもよく,または大規模な装置、システムの一部を構成するマイコン等の機能素子であってもよい。さらには、マイコンの一部であり、マイコンで制御される制御回路の一部で実施され、安全性を高めるべき機能を実現する回路であってもよい。このように本発明において自己診断機能が付与される装置は、電子的な演算を行う装置の全体又は一部のいずれであっても良く、適宜の単位で適用することができる。
図1の構成の場合に、自己診断機能が付与される装置Aは、メイン論理部LMである。これに対し、自己診断機能を果たすために付与される部分Bは、検査論理部LTと、比較補正回路CKと、エラー注入回路ERと、エラー注入制御回路ECから構成される。そして、図1の構成全体が、自己診断機能付き装置(A+B)ということになる。
なお、自己診断機能を果たすために付与される部分Bの各要素は、以下の機能を果たす。まず、検査論理部LTは、メイン論理部LMと同じ機能を有する。比較補正回路CKは、通常はメイン論理部LMの出力を出力し、メイン論理部LMの出力と検査論理部LTの出力を比較した結果を比較不一致信号として出力する。エラー注入回路ERは、例えばメイン論理入力の一部のビットを反転してメイン論理部LMと検査論理部LTにエラー注入したデータを供給する。エラー注入制御回路ECは、エラー注入するビットのビット位置と、そのエラー注入の結果を比較補正回路CKに与える。
なお、メイン論理部LMと検査論理部LTはソフトウェア、ハードウェアのいずれで構築されていてもよいが、比較補正回路CK、エラー注入回路ER、エラー注入制御回路ECはハードウェアで構成するのがよい。
図1の自己診断機能付き装置(A+B)においてエラー注入回路ERは、通常はメイン論理入力S1をそのままメイン論理部LMと検査論理部LTに与えており、エラー信号S2の注入を行わない。そして比較補正回路CKは、通常はメイン論理部LMの出力OMをメイン論理出力信号O1として出力する。また比較補正回路CKでは、メイン論理部LMの出力OMと、検査論理部LTの出力OTを比較し、この結果は比較不一致信号O2として出力される。もしメイン論理部LMまたは検査論理部LTに故障が発生し出力OMとOTが不一致となった場合、比較不一致O2が出力され、システムに対して安全な処置を行わせることができる。
上記構成において本発明では、エラー注入制御回路ECからエラー信号S2を注入し、これにより装置の診断を行う。この場合、エラー注入制御回路ECが出力するエラー注入データS2をエラー注入回路ERに与える。この状態では、メイン論理部LMまたは検査論理部LTのどちらかに、エラーS2を含む入力がエラー注入回路ERによって与えられる。この結果として、メイン論理部LMの出力OMと、検査論理部LTの出力OTは不一致となることが期待される。
また他方においてエラー注入制御回路ECは、エラー検出期待値S3を出力し、比較補正回路CKに与える。ここで、エラー検出期待値S3は、「一致」或いは「不一致」のいずれかを与えるものであり、エラー注入制御回路ECからエラー信号S2を注入した時は当然のことながら「不一致」を期待値として与えている。
エラー注入制御回路ECからエラー信号S2を注入した時は、その結果が比較補正回路CKの入力(メイン論理部LMの出力OMと、検査論理部LTの出力OT)となっているので、このとき比較補正回路CKは比較不一致信号O2を与えるはずである。かつ比較補正回路CKでは、エラー注入制御回路ECからのエラー検出期待値S3(「不一致」)により、この不一致が模擬的に意図して作成された状態であることを認識している。
しかして、エラー検出期待値S3が「不一致」である時、比較補正回路CKの入力(メイン論理部LMの出力OMと、検査論理部LTの出力OT)が同じであれば、比較補正回路CKの比較不一致信号を”不一致”として出力する。即ち、エラー注入してメイン論理部LMと検査論理部LTの出力が不一致になると期待されるにもかかわらず、両者の出力が一致しておかしい、期待値と比較して不一致であるということである。
逆に、比較補正回路CKの入力が「不一致」であれば比較補正回路CKは、比較不一致信号を”不一致でない”とする。即ち、正常に注入したエラーを、期待値どおりに検出したということである。
しかし、実際にはエラー注入を行っても、データによってはメイン論理部LMと検査論理部LTの出力が不一致とならないことがある。例えば、セレクタの選択されていない入力にエラー注入してもメイン論理部LMと検査論理部LTの出力は一致する。このときエラー注入制御回路ECは、エラー検出期待値S3をエラー無し、即ち比較不一致でないとして比較補正回路CKに入力する。この時も、比較補正回路CKの比較不一致信号出力は、メイン論理部LMと検査論理部LTの出力が一致していれば”不一致でない”として出力する。
次に本発明の一実施例をより具体的に説明する。図3は、メイン論理部LMの一例として5個のタイムアウト信号TOA,TOB,TOC,TOD,TOEを、論理和回路ORで論理和し、さらにシステム作動中に得られるシステム作動中信号OPとの論理積を論理積回路ANDでとり、最終的にタイムアウト信号TOとして外部に出力する回路例を示している。
この回路は、システム動作中(システム作動中信号OPが「1」)に5個のタイムアウト信号TOA,TOB,TOC,TOD,TOEの何れか1個以上がアサート(タイムアウトを検出して論理値「1」になる)すれば、タイムアウト信号TOを「1(タイムアウト発生)」として出力する論理回路である。なお、検査論理部LTも図3と同じ回路構成とされている。
この様なメイン論理部LMは、通常図3の各配線に示した値(システム作動中信号OPが「1」、5個のタイムアウト信号TOA,TOB,TOC,TOD,TOEとタイムアウト信号TOが「0」)を取っており、実際に5個のタイムアウトのどれかがタイムアウトするまでこれらの信号値は変化しない。
この状態で、もし論理和回路ORの入力が「0」に固着してしまう、あるいは論理積ANDの入力であるシステム動作中の入力(システム作動中信号OP)が「0」に固着してしまうと仮定する。このとき、対応するタイムアウト信号TOA,TOB,TOC,TOD,TOEのタイムアウトを認識することができなくなり、タイムアウト信号TOを「1」として出力できないことになる。
この固着を発生した回路で、実際にタイムアウトが発生したとする。この場合に、比較補正回路CKがメイン論理部LM(固着のため正しく動作せず、タイムアウトなし)と検査論理部LT(固着が無いため正しく動作し、タイムアウトあり)の比較不一致を検出し、タイムアウトTOの出力が不一致になったことの処置を行えるため問題はない。しかし、メイン論理部LMと検査論理部LTに故障があっても、5個のタイムアウトが発生するまで対処できないことになる。
図5は、図1に概略構成を示した自己診断機能付き装置の具体的な回路構成例を示している。ここでは、メイン論理部LMと検査論理部LTは、図3のタイムアウト処理を実行するものとする。このため、図1に示したメイン論理入力S1として、システム作動中信号OPと5個のタイムアウト信号TOA,TOB,TOC,TOD,TOEがエラー注入回路ERを経由してメイン論理部LMと検査論理部LTに印加されている。
また、エラー注入制御回路ECからエラー注入回路ERに対して、エラー信号S2を注入している。エラー注入回路ERは、2組の信号(メイン論理入力S1とエラー信号S2)を用いて、メイン論理部LMと検査論理部LTに印加する信号を変更する。なお、エラー注入信号S2について、これを複数のメイン論理入力S1のどれに、如何なるタイミングで印加するのかをエラー注入制御回路ECが制御している。
図4は、電源の立ち上げから異常を検知するまでのフローを模式的に記したタイムチャートである。ここでは、システム立ち上げが時刻t1に完了したとする。以後システム動作中(システム作動中信号OPが「1」)の状態になり、エラー信号S2の注入による診断が定期的に行なわれる。定期的な診断は周期Tごとに実施され、図4には定期的な診断のうち、時刻tt1から時刻tt2の間で実施された診断を記載している。
この定期的診断では、例えばメイン論理部LMと検査論理部LTに印加する信号を順次エラー信号S2として、点検実施状態を形成する。例えばシステム作動中信号OPについて、通常状態が「1」であるなら故意に「0」入力し、5個のタイムアウト信号TOA,TOB,TOC,TOD,TOEについて、通常状態が「0」であるなら故意に順次「1」入力して、2組の論理部の出力の相違を監視する。この信号の組み合わせなどは、図3の論理部LMの回路構成に従って適宜のものとされる。
ここでは、時刻t2において検査論理部LTの論理和回路ORの入力の1信号(例えばタイムアウト信号TOE)が「0」に固着したと仮定する。本発明では、図5に示す回路構成を採用することにより、システム作動中に適宜エラー信号を注入し、診断を実行している。
図4の図示の例では、時刻tt1から時刻tt2までの期間Tに診断を実行し、順次エラー信号を注入したものとする。この場合、論理和回路ORの入力の1信号(例えばタイムアウト信号TOE)が「0」に固着した検査論理部LT側のタイムアウト信号TOが「0」となり、これに対し健全な論理部LM側のタイムアウト信号TOが「1」となることで、比較補正回路CKにより、不一致が検出される。この検出が時刻t2後の時刻t3においてなされた。このように、本発明によればエラー注入により定期的な診断を行っているので、診断間隔時間T内の時刻t3に比較不一致の信号が検出され、検査論理の故障を検出することができる。
この場合に、このまま放置しておいても、実際にタイムアウトが発生する時刻t4になれば比較不一致を検出するので、その時に比較不一致の処理を行ってもよい。本発明で改善しようとしているのは、この異常が発生しているが論理的に発現しない期間(t2−t4)を短くすることである。従来の二重化照合を行う装置では、時刻t2から時刻t4までは異常が発生しながら動作をしている期間である。本発明においては、エラー注入による定期診断を行うことで、その期間を時刻t2から時刻t3までに短縮することができる。
次にメイン論理部LMの具体的な診断方法を説明する。まず初めに、図3に示したメイン論理部でエラー注入の具体例を示す。診断の基本は各内部信号が「0」:固着,「1」:固着していないことを確認できればよい。通常は図3の信号状態(システム作動中信号OPの通常状態が「1」、5個のタイムアウト信号TOA,TOB,TOC,TOD,TOEの通常状態が「0」)であるから、タイムアウト信号TOAからタイムアウト信号TOEまで、一つ一つ論理値「1」を注入し、それがタイムアウトに反映され、論理積回路ANDの出力が論理値「1」になることを確認できれば良い。これにより、システム動作中の信号が「0」に固着していないことも確認できる。このように、図3の回路の場合、エラー注入するデータとしてタイムアウト信号TOA〜TOEの5個の信号にそれぞれ論理値「1」を与えるパターンがあればよい。
次にメイン論理を図3に示したタイムアウトを出力する論理とした例に基づき、図1に示した自己診断機能付き装置に展開した構成を図5に示す。メイン論理部LMと検査論理部LTの中身は同じで図3に示した回路になる。その前段のエラー注入回路ERは、メイン論理部LMの入力であるシステム動作中信号OPとm5個のタイムアウト信号TOA〜TOEをメイン論理部LMと検査論理部LTに分配し、それぞれにエラー注入データを重畳する回路からなる。
エラー注入回路ERの丸の中にプラスが入っている記号EORは、排他的論理和を示しており、エラー注入データS2の論理値「1」に対応する信号を反転することを示している。例えばタイムアウト信号TOAが、通常信号である「0」としてエラー注入回路ERに入力されているときに、エラー注入データS2として論理値「1」が与えられたとする。このときには、タイムアウト信号TOA「0」を、「1」に反転してメイン論理部LM,検査論理部LTに印加することを意味している。この結果、メイン論理部LM,検査論理部LTには、タイムアウト発生が入力されたことになる。従って、メイン論理部LMと検査論理部LTの対応する入力の一方のみを「1」とすることで、不一致状態を作り出すことができる。
比較補正回路CKでは、メイン論理部LMの出力OMと検査論理部LTの出力OTを比較器(排他的論理和ゲート)EOR1で比較する。排他的論理和EOR1では、2つの入力が相違するときのみ出力「1」を与える。排他的論理和EOR1の出力は更に排他的論理和EOR2において、エラー検出期待値180と比較され、照合不一致信号O2を出力する。このようにすることで、メイン論理部LMと検査論理部LTの出力の比較結果と、エラー検出期待値180との比較不一致を求めることができる。
また、比較補正回路CKからのメイン論理出力O1は、メイン論理部LMの出力をそのまま出力して良いが、図5に示したようにエラー注入データS2がメイン論理部LM側になされた場合、エラー注入を行っていない検査論理部LT側の出力OTをO1として出力する。これによってシステムの稼働中に検査論理部LTばかりでなくメイン論理部LMにもエラー注入を施すことが可能となり診断の精度を向上させることができる。選択回路SEは、この切替選択を行うものであり、通常はメイン論理部LM側の出力OMを選択し、エラー注入データS2がメイン論理部LM側になされたときには検査論理部LT側の出力OTをメイン論理出力O1として出力する。
以上詳細に説明したように本発明では、自己診断のためのエラー注入を比較回路CKだけに対して行うのではなく、メイン論理部LM、検査論理部LTの入力から行い、メイン論理部LM、検査論理部LT、比較回路CKに対する自己診断を行う。
また、自己診断のためのエラー注入するデータを、一定の時間間隔毎に注入して診断することで目標とする故障率を達成する。
また、自己診断のためのエラー注入するデータを、プログラムに従って動作するマイコンが指示することで、プログラムに従ってメイン論理部LM、検査論理部LT、比較回路CKの必要な部分の診断を行える。
また、装置の稼働中にメイン論理にエラーを注入しても正しく検出されるならば停止することなく自己診断できる。
なお、以上の説明においては、エラー注入データS2とエラー検出期待値180をエラー注入制御回路ECから出力する構成を記したが、一般に複雑なメイン論理に対してエラー注入データS2とエラー検出期待値180を求めることは難しい。
例えば、メイン論理として入力信号がCとDの乗算器を考える。このとき入力信号の論理積(C×D)と、入力Dの適当な1ビットを反転して入力Cとから求めたときの積は、必ずしも不一致とならない。即ち入力Cが0であれば、入力Dが如何なる値であっても、結果は「0」となる。このような複雑なメイン論理の場合には、その入力を確定させることによって、エラー注入データS2とエラー検出期待値180を求めることができる。即ち、上のメイン論理として乗算器を考えた場合、Cの入力を「0」などに固定してからエラー注入を行う。この場合エラー検出期待値は一致となる。
図5に示したような比較的簡単な回路に対するエラー注入制御回路ECは、自動的にエラー注入データS2とエラー検出期待値180を生成し、常時エラー注入を行いながら通常動作を行うことが可能である。しかし、複雑な構成のメイン論理部LMを診断するためには有意なエラー注入データS2の選択、診断テストの前処理(上記乗算器のC入力を0にするなど)を行う必要がある。そのうえで、本発明では、このエラー注入制御回路ECはプログラムによって動作するプロセッサからエラー注入データS2、エラー検出期待値180をレジスタ設定できるようにするのがよい。
一般には、あるメイン論理が決まればそれを診断するテストデータは一意に決まるのでそれに基づいてパターンを決めればよい。図5の例では、前述のようにメイン論理部LMと検査論理部LTのそれぞれのタイムアウト信号TOAからタイムアウト信号TOEのそれぞれに論理値「1」を重畳し、それによる比較結果が、エラー検出期待値180と一致すれば良い。
次に、図6に自己診断機能付き装置を適用した制御装置190の構成例を示す。制御装置190は、例えばネットワーク機能付きのマイコン200と、そのプログラム210、診断機能の付いた制御回路220、端子台230、表示のためのLED240から構成する。制御回路220は、出力部に図5に示したエラー注入回路ER、メイン論理部LM、検査回路110、エラー注入制御回路EC、比較補正回路CKを含み、エラー注入制御回路ECはマイコン200からレジスタを書き換えることができるようになっている。
ここで、例えばLED240はタイムアウトを示す重要な信号であるとして、その信号は端子台230で制御回路220に戻され、マイコン200から読み出せるようにする。このような構成にすることにより、制御回路220のタイムアウト検出機能はメイン論理部LM検査論理部LTと比較補正回路をプログラムによって定期的に診断しているのでこれらに故障が検出された場合、速やかに制御装置を交換することができる。
また、タイムアウトを検出するか、タイムアウトの不一致を検出した場合は、安全側の状態、例えばここではLEDを点灯にする。またこのとき、LED240が点灯したことを端子台230から戻ってくる信号で確認する。異常状態であることを、ネットワークを介して別のプロセッサに伝送するように動作させる。
なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。
また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、または、ICカード、SDカード、DVD等の記録媒体に置くことができる。
また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。
LM:メイン論理部
LT:検査論理部
ER:エラー注入回路
EC:エラー注入制御回路
CK:比較補正回路
S2:エラー注入データ
180:エラー検出期待値
190:制御装置
220:制御回路

Claims (7)

  1. 同じ論理回路で構成された第1と第2の論理部と、該第1と第2の論理部に与える入力信号にエラー信号を注入するエラー注入回路と、該エラー注入回路に与えるエラー信号を決定するエラー注入制御回路と、前記第1と第2の論理部の出力を用いてメイン論理出力を与えるとともに、前記第1と第2の論理部の出力の不一致をもって比較不一致出力を与える比較補正回路とを含む自己診断機能付き装置であって、
    前記エラー注入制御回路は、前記エラー信号を決定するとともに、当該エラー信号を与えた時に前記第1と第2の論理部が与える出力をエラー検出期待値として得、
    前記比較補正回路は、前記第1と第2の論理部が与える出力と前記エラー検出期待値の比較結果に応じて前記比較不一致出力を与え異常を検知することを特徴とする自己診断機能付き装置。
  2. 請求項1に記載の自己診断機能付き装置において、
    前記比較補正回路の比較不一致出力は、前記第1と第2の論理部のいずれかにエラー信号を与えた時、前記第1と第2の論理部の出力の差が前記エラー検出期待値と一致しない場合、または、前記第1と第2の論理部にエラー信号を与えないときに、前記第1と第2の論理部の出力が不一致になる場合に得られて、異常があると判断することを特徴とする自己診断機能付き装置。
  3. 請求項1または請求項2に記載の自己診断機能付き装置において、
    前記比較補正回路が与えるメイン論理出力は第1の論理部の出力とされ、前記エラー注入制御回路が第1の論理部にエラー信号を与えるときには第2の論理部の出力とされることを特徴とする自己診断機能付き装置。
  4. 請求項1から請求項3のいずれか1項に記載の自己診断機能付き装置において、
    前記エラー注入制御回路は、所定周期で前記第1と第2の論理部に対するエラー信号のエラー注入処理を実行することを特徴とする自己診断機能付き装置。
  5. 請求項1から請求項4のいずれか1項に記載の自己診断機能付き装置において、
    前記エラー注入回路に対して与えるエラー信号は、前記第1と第2の論理部を構成する素子の出力信号を変化させるデータを1つ以上含むことを特徴とする自己診断機能付き装置。
  6. 請求項1から請求項5のいずれか1項に記載の自己診断機能付き装置において、
    前記エラー注入回路に対して与えるエラー信号は、プログラムによって予め決められたデータを繰り返し与えることを特徴とする自己診断機能付き装置。
  7. 請求項1から請求項6のいずれか1項に記載の自己診断機能付き装置において、
    前記比較補正回路が与える比較不一致出力を表示する表示回路を備えることを特徴とする自己診断機能付き装置。
JP2011246222A 2011-11-10 2011-11-10 自己診断機能付き装置 Active JP5730173B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011246222A JP5730173B2 (ja) 2011-11-10 2011-11-10 自己診断機能付き装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011246222A JP5730173B2 (ja) 2011-11-10 2011-11-10 自己診断機能付き装置

Publications (2)

Publication Number Publication Date
JP2013106056A JP2013106056A (ja) 2013-05-30
JP5730173B2 true JP5730173B2 (ja) 2015-06-03

Family

ID=48625335

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011246222A Active JP5730173B2 (ja) 2011-11-10 2011-11-10 自己診断機能付き装置

Country Status (1)

Country Link
JP (1) JP5730173B2 (ja)

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5072554A (ja) * 1973-10-29 1975-06-16
JPS55124849A (en) * 1979-03-20 1980-09-26 Fujitsu Ltd Error detection control system
JPS58109944A (ja) * 1981-12-23 1983-06-30 Kyosan Electric Mfg Co Ltd 不一致検出回路の故障検知方法
JPS63309063A (ja) * 1987-06-10 1988-12-16 Canon Inc 画像処理装置
US4903270A (en) * 1988-06-14 1990-02-20 Intel Corporation Apparatus for self checking of functional redundancy check (FRC) logic
JPH0314033A (ja) * 1989-06-12 1991-01-22 Fujitsu Ltd マイクロプロセッサ比較チェック機能の検査方式
JPH09181590A (ja) * 1995-12-21 1997-07-11 Hitachi Ltd 論理回路およびこれを用いたデータ処理装置
JPH09288150A (ja) * 1996-04-24 1997-11-04 Hitachi Ltd 誤り検出方法,論理回路およびフォールトトレラントシステム
US7669095B2 (en) * 2006-02-01 2010-02-23 International Business Machines Corporation Methods and apparatus for error injection

Also Published As

Publication number Publication date
JP2013106056A (ja) 2013-05-30

Similar Documents

Publication Publication Date Title
JP2608904B2 (ja) 多重冗長誤検出システムおよびその使用方法
US5276690A (en) Apparatus utilizing dual compare logic for self checking of functional redundancy check (FRC) logic
US5136704A (en) Redundant microprocessor control system using locks and keys
US8868989B2 (en) System for testing error detection circuits
CN107710166B (zh) 利用符号快速错误检测的硅后验证和调试
US10281525B2 (en) Semiconductor device and diagnostic test method for both single-point and latent faults using first and second scan tests
US7568138B2 (en) Method to prevent firmware defects from disturbing logic clocks to improve system reliability
JP5608409B2 (ja) 自己診断システム及び検査回路判定方法
US4866713A (en) Operational function checking method and device for microprocessors
CN112368586A (zh) 具有故障注入的失效安全时钟监视器
US20030126531A1 (en) Deterministic hardware reset for FRC machine
US20140201583A1 (en) System and Method For Non-Intrusive Random Failure Emulation Within an Integrated Circuit
JP4359632B2 (ja) プロセッサ動作検査システム及び動作検査回路
US11550684B2 (en) Testing of lockstep architecture in system-on-chips
Backhausen et al. Robustness in automotive electronics: An industrial overview of major concerns
Usas A totally self-checking checker design for the detection of errors in periodic signals
JP5730173B2 (ja) 自己診断機能付き装置
Newgard et al. Using multiple processors in a single reconfigurable fabric for high-assurance applications
Tummeltshammer et al. On the role of the power supply as an entry for common cause faults—An experimental analysis
JP6217086B2 (ja) 情報処理装置、エラー検出機能診断方法およびコンピュータプログラム
JP4357373B2 (ja) 高信頼性制御装置
US7913140B2 (en) Method and device to detect failure of static control signals
JP2004021922A (ja) メモリ擬似故障注入装置
Kogan et al. Advanced functional safety mechanisms for embedded memories and IPs in automotive SoCs
Tummeltshammer et al. Power supply induced common cause faults-experimental assessment of potential countermeasures

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140718

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150120

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150203

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150312

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150331

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150407

R150 Certificate of patent or registration of utility model

Ref document number: 5730173

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150