JP7343281B2 - 回路機器 - Google Patents

回路機器 Download PDF

Info

Publication number
JP7343281B2
JP7343281B2 JP2019026358A JP2019026358A JP7343281B2 JP 7343281 B2 JP7343281 B2 JP 7343281B2 JP 2019026358 A JP2019026358 A JP 2019026358A JP 2019026358 A JP2019026358 A JP 2019026358A JP 7343281 B2 JP7343281 B2 JP 7343281B2
Authority
JP
Japan
Prior art keywords
state
data handling
control circuitry
devices
operating state
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019026358A
Other languages
English (en)
Other versions
JP2019149158A (ja
Inventor
ジョゼ ヒルゲンベルク ポンテス ジュリアン
Original Assignee
アーム・リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アーム・リミテッド filed Critical アーム・リミテッド
Publication of JP2019149158A publication Critical patent/JP2019149158A/ja
Application granted granted Critical
Publication of JP7343281B2 publication Critical patent/JP7343281B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating
    • G06F9/44505Configuring for program initiating, e.g. using registry, configuration files
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/04Generating or distributing clock signals or signals derived directly therefrom
    • G06F1/10Distribution of clock signals, e.g. skew
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/28Supervision thereof, e.g. detecting power-supply failure by out of limits supervision
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/32Means for saving power
    • G06F1/3203Power management, i.e. event-based initiation of a power-saving mode
    • G06F1/3234Power saving characterised by the action undertaken
    • G06F1/3237Power saving characterised by the action undertaken by disabling clock generation or distribution
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/32Means for saving power
    • G06F1/3203Power management, i.e. event-based initiation of a power-saving mode
    • G06F1/3234Power saving characterised by the action undertaken
    • G06F1/324Power saving characterised by the action undertaken by lowering clock frequency
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/32Means for saving power
    • G06F1/3203Power management, i.e. event-based initiation of a power-saving mode
    • G06F1/3234Power saving characterised by the action undertaken
    • G06F1/3287Power saving characterised by the action undertaken by switching off individual functional units in the computer system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/32Means for saving power
    • G06F1/3203Power management, i.e. event-based initiation of a power-saving mode
    • G06F1/3234Power saving characterised by the action undertaken
    • G06F1/3296Power saving characterised by the action undertaken by lowering the supply or operating voltage
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Software Systems (AREA)
  • Automation & Control Theory (AREA)
  • Hardware Redundancy (AREA)
  • Power Sources (AREA)

Description

本開示は回路機器に関する。
制御可能な電力属性及びクロック属性を有する処理回路機器の電力ドメインとクロック・ドメインの間の通信は、いわゆるP/Qチャネル等の専用の制御信号を使用して行われることがある。P/Qチャネルは、電力動作モードの変更(例えば、電源スイッチ・オフ(PSO:power switch off)、動的電圧制御、クロック周波数スケーリング、又は単純にブロック・レベルのクロック・ゲーティング)が安全に実行されるのを保証する役割を担う。
いわゆる機能的安全性(FuSa:Functional Safety)アーキテクチャの場合、(データ処理装置の冗長なインスタンス間の不具合のような)障害が少なくとも検出されるか、訂正されるのが可能なことを保証するために、幾つかのレベルの冗長性が要求されることが多い。
冗長なクロック制御及び電力制御の場合、例えばデータ処理装置の冗長なインスタンスのP/Qチャネルがこれらの制御動作に一致しない場合に、問題が引き起こされる可能性がある。
例示する構成では、
同一のデータ・ハンドリング機能を行うように構成された2つ以上の冗長なデータ・ハンドリング・デバイスのセットの中のデータ・ハンドリング・デバイスの動作状態を制御する制御回路機器
を備え、
制御回路機器が、個々の状態変更信号の送出に応答して、個々の被制御データ・ハンドリング・デバイスの動作状態を、このデータ・ハンドリング・デバイスの現在の動作状態から目標動作状態への状態遷移として制御するように構成され、
制御回路機器が、データ・ハンドリング・デバイスの全てではなく幾つかを表す第1の閾値数に関する状態変更信号の送出に応答性のある検出器であって、第2の閾値数のデータ・ハンドリング・デバイスに達するように更に1つ又は複数のデバイスに関して状態変更信号が送出されるかどうかを検出する、検出器を備える、
回路機器が示される。
他に例示する構成では、
個々の状態変更信号の送出に応答して、同一のデータ・ハンドリング機能を行うように構成された2つ以上の冗長なデータ・ハンドリング・デバイスのセットの中のデータ・ハンドリング・デバイスの動作状態を、このデータ・ハンドリング・デバイスの現在の動作状態から目標動作状態への状態遷移として制御することと、
データ・ハンドリング・デバイスの全てではなく幾つかを表す第1の閾値数に関する状態変更信号の送出に応答して、第2の閾値数のデータ・ハンドリング・デバイスに達するように更に1つ又は複数のデバイスに関する状態変更信号が送出されるかどうかを検出することと
を含む方法が示される。
本技術の更なる個々の態様及び特徴は、添付の特許請求の範囲によって定義される。
添付の図面に示されるように、本技法の実施例を参照しながら、単なる例示として本技法が更に説明される。
データ処理装置を概略的に示す図である。 複数の電力ドメイン及びクロック・ドメインを有する回路機器を概略的に示す図である。 コントローラと被制御デバイスとの間の通信を概略的に示す図である。 概略状態図である。 冗長な装置におけるコントローラと被制御デバイスとの間の通信を概略的に示す図である。 概略状態図である。 コントローラの動作を概略的に示す図である。 それぞれがクロック・コントローラ/電力コントローラの制御下にある、複製された被制御デバイスの3つ以上のインスタンスを有するデータ処理装置を概略的に示す図である。 コントローラと被制御デバイスとの更なる組合せを概略的に示す図である。 コントローラと被制御デバイスとの更なる組合せを概略的に示す図である。 コントローラを概略的に示す図である。 個々の状態の表現を概略的に示す図である。 個々の状態の表現を概略的に示す図である。 選択的に冗長な回路機器の動作を概略的に示す図である。 選択的に冗長な回路機器の動作を概略的に示す図である。 選択的に冗長な回路機器の動作を概略的に示す図である。 方法を示す概略流れ図である。
添付の図を参照しながら実施例を論じる前に実施例に関する以下の説明が行われる。
実施形態は、
同一のデータ・ハンドリング機能を行うように構成された2つ以上の冗長なデータ・ハンドリング・デバイスのセットの中のデータ・ハンドリング・デバイスの動作状態を制御する制御回路機器
を備え、
制御回路機器が、個々の状態変更信号の送出に応答して、個々の被制御データ・ハンドリング・デバイスの動作状態を、このデータ・ハンドリング・デバイスの現在の動作状態から目標動作状態への状態遷移として制御するように構成され、
制御回路機器が、データ・ハンドリング・デバイスの全てではなく幾つかを表す第1の閾値数に関する状態変更信号の送出に応答性のある検出器であって、第2の閾値数のデータ・ハンドリング・デバイスに達するように更に1つ又は複数のデバイスに関して状態変更信号が送出されるかどうかを検出する、検出器を備える、
回路機器を示す。
例示する構成では、冗長システムで状態遷移を処理できるようにするために、状態変更信号の第1の数が一致するとき(ここで例えば第1の数は1でよい)、制御回路機器は、目標動作状態に移る前に、状態変更信号の2番目に大きな数が一致するかどうかを検出し始めることができる。例えば制御回路機器は仮状態を介して目標動作状態に遷移できるので、制御回路機器は、第2の閾値数のデータ・ハンドリング・デバイスに関してステータス信号が送出されるのを検出器が検出するのに応答して、個々のデータ・ハンドリング・デバイスの動作状態を目標動作状態に変更するように構成される。
本技法は、いわゆる機能的安全性(FuSa)の応用分野での使用に特に適しているが、冗長な回路機器が用意されるインスタンスに一般に適用可能であることに留意されたい。本技法は、例えば被制御回路機器の電力機能及び/又はクロック機能を制御する(例えば)いわゆるP/Qチャネル・コントローラと共に使用するのに特に適しているが、前と同じように、これらは、例えば状態機械(state machine)を使用する(これに限らないが)冗長なデータ・ハンドリング・デバイスの制御に一般に適用可能である。
以下の例示の概要に関連して実施形態が考慮され得る。
・ AからBに向かう弧がある場合、任意の状態AとBの間の中間状態ABを追加する
・ 閾値1に達する場合、中間に達することができる
・ 閾値1を定義するガード条件にもはや達しない場合、中間状態ABとAの間の弧が可能である
・ 閾値2のガード条件に達する状態でABからBへの弧が追加される
このシーケンスはFuSaシステムに適用されてよく、PチャネルとQチャネルの1つ又は両方に関連してもしなくてもよいことに留意されたい。
(冗長な回路機器を同期する問題に対応する)エラー状態が検出される前の仮状態で閾値(最大)時間が許容される可能性があり、その結果、例示する構成では、制御回路機器は、閾値時間の中で、第2の閾値数のデータ・ハンドリング・デバイスに達するように更に1つ又は複数のデバイスに関して状態変更信号が送出されるかどうかを検出すること、及び閾値時間の中で、第2の閾値数のデータ・ハンドリング・デバイスに関してステータス信号が送出されるのを検出器が検出するのに応答して、個々のデータ・ハンドリング・デバイスの動作状態を目標動作状態に変更することを行うように構成されてよい。制御回路機器は、閾値時間の中で、第2の閾値より少ない数のデータ・ハンドリング・デバイスに関してステータス信号が送出されるのを検出器が検出するのに応答して、障害状態を示すように構成されてよい。
状態変更信号は、
個々の被制御データ・ハンドリング・デバイスに制御回路機器によって送出される信号と、
個々の被制御データ・ハンドリング・デバイスによって制御回路機器に送出される信号と
の1つ又は両方を含むことができる。
幾つかの例示において、状態変更信号は、
制御回路機器による被制御データ・ハンドリング・デバイスへの、動作状態を変更するリクエスト、
被制御データ・ハンドリング・デバイスによる、リクエストされた動作状態の変更の受諾、
被制御データ・ハンドリング・デバイスによる、リクエストされた動作状態の変更の拒否、及び
被制御データ・ハンドリング・デバイスが現在、アクティブかどうか
からなる群から選択される1つ又は複数を示すことができる。
幾つかの例示において、2つ以上の冗長なデータ・ハンドリング・デバイスのセットは、各インスタンスが個々の制御回路機器を有する、冗長モードの動作で実質的に同一の処理動作を行うデータ処理装置の2つ以上のインスタンスを含む。例えば各制御回路機器は、データ処理装置のインスタンスの全てに関して送出された状態変更信号を受信するように構成されてよい。例えばデータ処理装置のインスタンスは、データ処理装置の2つのインスタンスを含むことができ、第1の閾値数は1でよく、第2の閾値数は2でよい。
冗長システムにおいて、例えば非FuSa動作で冗長性が要求されない場合がある。このような状況において、仮状態で回路機器が停止するのを回避するために、信号ルーティング回路機器は、データ処理装置の別のインスタンスが現在、非アクティブな状態にある場合に、データ処理装置の1つのインスタンスによって生成された出力信号を、データ処理装置のこのインスタンスの制御回路機器への入力信号として送るように構成されてよい。
幾つかの例示において、制御回路機器の階層があってよく、階層の上の方にある制御回路機器が、階層の下の方にある制御回路機器の少なくとも幾つかの動作を制御する。
例示する構成では、動作状態は、被制御データ・ハンドリング・デバイスの、電力制御状態、及びクロック制御状態の1つ又は両方を表す。しかし被制御デバイスの動作の他の態様が使用されることもある。
例示する構成では、制御回路機器は、状態機械として動作するように構成され、状態機械の現在の状態は、被制御データ・ハンドリング・デバイスの動作状態に対応する。例えば、制御回路機器は、第1の閾値数のデータ・ハンドリング・デバイスに関する状態変更信号の送出に応答して仮状態に入るように構成されてよい。
仮状態であることのありうる帰結として、例えば制御回路機器は、例えば閾値時間の中で、第2の閾値数のデータ・ハンドリング・デバイスに関してステータス信号が送出されるのを検出器が検出するのに応答して、個々のデータ・ハンドリング・デバイスの動作状態を目標動作状態に変更するために、仮状態から遷移するように構成されてよい。この条件が満たされるまでシステムは仮状態のままである可能性があるが、別のありうる帰結は、送出された状態変更信号の数が第1の閾値数を下回るのに応答して被制御デバイスの現在の動作状態に対応する状態に仮状態から遷移するというものである。
異常状態又は状態遷移の検出を支援するために、制御回路機器は、所定の値に設定された1つのビットを有するデータ・ベクトルとして各動作状態の表現を格納すること、及び所定の値に設定された2つのビットを有するデータ・ベクトルとして各仮状態の表現を格納することを行うように構成されてよく、所与の仮状態に関する2つのビットが、所与の仮状態に入るために制御回路機器が遷移する元となる現在の動作状態に関する1つのビット、及び所与の仮状態から制御回路機器が遷移する先となる目標動作状態に関する1つのビットに対応する。これは、(例えば、中間状態又は仮状態の偶数パリティ、目標状態の奇数パリティといった)異常状態に入ったかどうかを検出するためのパリティ・チェックの使用を可能にすることもできる。
幾つかの例示において、閾値時間は、制御回路機器の構成可能パラメータに対応してよい。他の例示において、制御回路機器は、構成可能な最大閾値時間の影響を閾値時間が受けやすい動作の少なくとも最初の期間から閾値時間を導出するように構成されてよい。
他の実施形態は、
個々の状態変更信号の送出に応答して、同一のデータ・ハンドリング機能を行うように構成された2つ以上の冗長なデータ・ハンドリング・デバイスのセットの中のデータ・ハンドリング・デバイスの動作状態を、このデータ・ハンドリング・デバイスの現在の動作状態から目標動作状態への状態遷移として制御することと、
全てではなく幾つかを表す第1の閾値数のデータ・ハンドリング・デバイスに関する状態変更信号の送出に応答して、第2の閾値数のデータ・ハンドリング・デバイスに達するように更に1つ又は複数のデバイスに関して状態変更信号が送出されるかどうかを検出することと
を含む方法を示す。
次に図面を参照すると、図1は、メモリ120及び周辺デバイス130等の他のデバイスに、いわゆる相互接続回路機器110を介して接続された1つ又は複数の処理要素100を備えるデータ処理装置を概略的に示す。本技法は相互接続回路機器と共に使用されてよいが、これは必要条件ではなく、本技法がこれよりも広く適用可能であることに留意されたい。
いわゆるパワー・ゲーティング及びクロック・ゲーティングは図1の装置で使用され、このことにより電力及びクロック・コントローラ140、150、160は、様々なデバイス100~130のどの部分に電力供給が行われ、いつも動作中であるか、及びどのクロック信号の下でこれらが動作しているかを制御するために使用される。これを実現するために、デバイス100~130は、複数の電力ドメイン及び複数のクロック・ドメインとみなされてよく、その結果、特定の電力ドメイン内の回路機器の一部は個々の電力及びクロック・コントローラによってまとめて扱われ、同様に1つのクロック・ドメイン内の回路機器の一部は個々の電力及びクロック・コントローラによってまとめて扱われる。電力ドメインはクロック・ドメインと一致する必要はなく、電力供給の変化は特定の電力ドメインへの電力供給のオン及びオフだけでなく、この電力ドメインへの供給電圧が低く又は高くなるように供給電圧を変化させることも伴ってよいことに留意されたい。同様にクロック・ドメインに対するオプションは、このクロック・ドメインに対してクロックのスイッチを単純にオン又はオフすること(しばしばクロック信号をゲーティングすると呼ばれる処理)であるが、他のオプションは、このクロック・ドメインが動作するクロック周波数を変えることを含む。
図2は、更に詳細にこれらの技法を概略的に示し、様々な電力ドメイン(電力ドメイン0~電力ドメイン2)及び様々なクロック・ドメイン(A~C)を有する回路機器200を示す。電力制御は、電力制御動作を示す性質をもつ信号216等の制御信号を生成する電力コントローラ210、212、214による。これらの信号は、例えば分配回路機器220によって複数の目的に分配されてよく、結合回路機器222によって組み合わされてよいことに留意されたい。
同様にクロック・コントローラ230、232は、様々なクロック・ドメインの動作を制御するクロック制御信号234を生成する。異なるクロック・ドメイン間の通信に対して、非同期通信インターフェース240が使用されてよい。電力制御と同様に、結合器及び/又は分配回路機器が使用されてよい。
電力制御又はクロック制御の影響を受けやすい特定のデバイスに関して、例えば電力供給及び/又はクロック信号を停止することによってデバイスがシャット・ダウンされることになる場合、デバイスは、シャット・ダウンされたデバイスに適した状態にする必要がある。これは、このシャット・ダウンされたデバイスにデータ又は他の信号が送られるのを阻止するために障壁を設けることを伴ってよく、電力及びクロック信号の再開によってデバイスが動作に復帰するときに、デバイスが他の電力投入中のデバイスに同期できるように、デバイスを適切な状態にすることを伴ってもよい。
電力及びクロック制御されたデバイスが常に有効状態にあることを保証しようとするための1つのオプションは、クロック又は電力コントローラ300(図3)が、いわゆるPチャネル及びQチャネルによって被制御デバイス310と通信することである。Qチャネル・データは簡単な切換動作のために使用され、Pチャネルは更に詳細な制御のために使用される。Qチャネルは、図3を参照しながら論じられる。Qチャネル信号320は、個々の被制御データ・ハンドリング・デバイスに制御回路機器によって送出される信号と、個々の被制御データ・ハンドリング・デバイスによって制御回路機器に送出される信号との1つ又は両方を含むことができ、この例示では以下を含む。
・QREQn。これは、制御回路機器による被制御データ・ハンドリング・デバイスへの、動作状態を変更するリクエストの例示として、例えば、ランニング状態若しくは動作状態に入ること、又はランニング状態若しくは動作状態のままであること(すなわち、電力供給をオフするためにQREQnの他の状態まで)を被制御デバイスにリクエストするためといった、電力遷移を実行するためにコントローラから被制御デバイスに送られる信号である。
・QACCEPTn。これは、被制御データ・ハンドリング・デバイスによる、リクエストされた動作状態の変更の受諾の例示として、コントローラによって電力遷移リクエストを受諾するための被制御デバイスからコントローラへの信号である。
・QDENY。これは、被制御データ・ハンドリング・デバイスによる、リクエストされた動作状態の変更の拒否の例示として、コントローラによって電力遷移リクエストを拒否するための被制御デバイスからコントローラへの信号である。
・QACTIVE。被制御デバイスによって生成されるこの信号は、被制御データ・ハンドリング・デバイスが現在、アクティブかどうかの例示として、被制御デバイスがアクティブ状態又はランニング状態にあることを示す。
動作状態は例えば、被制御データ・ハンドリング・デバイスの、電力制御状態、及びクロック制御状態の1つ又は両方を表すことができる。
これらの信号が使用される方式は、図4に示されるように、いわゆる状態機械のようなクロック制御又は電力制御の動作を表す状態図を参照しながら説明される。この例示において、制御回路機器は、状態機械として動作するように構成され、状態機械の現在の状態は、被制御データ・ハンドリング・デバイスの動作状態に対応する。
図4において、各円は状態機械と被制御デバイスの有効状態を表す。状態間の遷移は、アサートされるか特定の値を有する、上述されたQチャネル信号の特定の1つの影響を受けやすい。
停止状態である状態400から開始して、クロック又は電力コントローラ300は、遷移402によって退場状態420に移動するようにQREQn信号を高く設定することができる。これは、クロック又は電力コントローラがデバイスにランニングを開始するようにリクエストすることを表すが、状態機械は、被制御デバイスがQACCEPTn信号を高く設定すること422によってのみ、ランニング状態430に移ることができる。
ランニング状態430に入ると、クロック又は電力コントローラ300は、リクエスト状態440に入るためにQREQnを低く設定すること432によって、デバイスがランニング状態を離れることをリクエストすることができる。リクエスト状態から制御デバイスは、リクエストを受諾すること、又はリクエストを拒否することができる。リクエストの受諾に関して、信号QACCEPTnは低く設定され442、システムは停止状態400に戻る。リクエストの拒否に関して、QDENY信号は拒否状態450に入るように高く設定される444。ここから、クロック又は電力コントローラは、リクエストの拒否を確認し、継続状態460に入るようにQREQn信号を高く設定する452。被制御デバイスは次に、ランニング状態に戻るようにQDENYを低く設定する462。
ここまで論じられた構成は、電力制御及び/又はクロック制御の対応インスタンスによって制御される回路機器の1つのインスタンスに関係する。
幾つかの応用例において、回路機器は、例えば自動車又は航空電子工学の応用分野での使用のための処理デバイス又はデータ処理回路機器等の、いわゆる「機能的安全性の応用分野」(FuSa)で複製される。ここで、回路機器の少なくとも一部は2回以上複製され、その結果(重複の場合の例示において)回路機器の両方のセットが一致する必要があるか、若しくはエラーが示され、又は(3以上のインスタンスの場合)少なくとも大多数の回路機器がこれらの処理された帰結に一致する必要がある。
図4の図は、制御にQチャネルを使用するシステムに応用でき、異なる状態図(及び実際は異なる状態機械)は、Pチャネルが使用されるインスタンスで応用できることに留意されたい。
1つの例示において、図1の処理要素が何度も複製されるだけでなく、相互接続回路機器、並びに実際は電力及びクロック・コントローラも複製される。図5は、被制御デバイス500が、(例えば同時に又は数クロック・サイクルの一時的なオフセットで)同じ動作を行う同一の回路機器502として複製され、同様にデバイス500を制御するクロック又は電力コントローラ510が、デバイス502を制御するクロック又は電力コントローラ512によって複製される重複システムを示す概略図である。
幾つかの例示において、回路機器の複数のインスタンスが同じ動作を行うロック・ステップ・システムと呼ばれることもあるこのタイプの冗長システムにおいて、対応するクロック及び/又は電力制御動作が複製されたデバイス500、502を制御するために用意されることも重要である。
図5の構成において、各デバイス500、502は個々のコントローラ510、512からQチャネル信号520、522によって制御されるが、Qチャネル・データのうちの少なくとも幾つかは、「他の」クロック・コントローラ/電力コントローラ及び「他の」デバイスに(例えば迂回経路560、562、564、566によって)設定される。
したがって、図5は、
同一のデータ・ハンドリング機能を行うように構成された2つ以上の冗長なデータ・ハンドリング・デバイス500、502のセットの中のデータ・ハンドリング・デバイスの動作状態を制御する制御回路機器510、512を備え、制御回路機器が、個々の状態変更信号の送出に応答して、個々の被制御データ・ハンドリング・デバイスの動作状態を、このデータ・ハンドリング・デバイスの現在の動作状態から目標動作状態への状態遷移として制御するように構成され、制御回路機器が、データ・ハンドリング・デバイスの全てではなく幾つかを表す第1の閾値数に関する状態変更信号の送出に応答性のある(図7及び図11を参照しながら下記で論じられることになる)検出器であって、第2の閾値数のデータ・ハンドリング・デバイスに達するように更に1つ又は複数のデバイスに関して状態変更信号が送出されるかどうかを検出する検出器を備える、回路機器の例を示す。例えば、制御回路機器は、第2の閾値数のデータ・ハンドリング・デバイスに関してステータス信号が送出されるのを検出器が検出するのに応答して、個々のデータ・ハンドリング・デバイスの動作状態を目標動作状態に変更するように構成されてよい。
図6の例示において、第1の閾値数は1でよく、第2の閾値数は2でよい。しかし特に、(例えば3つ以上のインスタンスの冗長データ処理装置を有する)更に大きな冗長性を有するシステムにおいて、閾値は、第2の閾値数が第1の閾値数より大きく、第2の閾値数が冗長性のレベル(データ処理装置の冗長なインスタンスの数)以下でよいというようなものでよい。
図6は、図5の構成に対応させるための図4の状態図の修正を表す。図6において、制御回路機器は、第1の閾値数(この例では1)のデータ・ハンドリング・デバイスに関する状態変更信号の送出に応答して仮状態に入るように構成され、例えば閾値時間の中で、第2の閾値数(2等)のデータ・ハンドリング・デバイスに関してステータス信号が送出されるのを検出器が検出するのに応答して、個々のデータ・ハンドリング・デバイスの動作状態を目標動作状態に変更するために仮状態から遷移するように構成されてよい。
前と同じように(図4の状態400に類似の)停止状態600から開始して、システム又は状態機械は、(図4の状態420に類似の)退場状態610には直接的に進まない。代わりに仮状態605に入り、その結果、リクエスト線QREQnのうちの少なくとも1つが高く設定されること602によって停止状態600から仮状態605への遷移が始められる。QREQ線の他の線が高く設定されると607、状態は仮状態605から退場状態に進む。
任意選択で、仮状態605から停止状態600に戻ることが行われ、この中で、現在、QREQn線のうちの1つも高くないことをシステムが検出する場合604、状態が仮状態605から停止状態600に戻る。
図4と図6を比較すると、図4の各状態遷移に対応する中間ステージと類似の仮状態620、630、640、650、660、670が用意される。(この例示において)2つの関連信号のうちの1つが状態変更状態に設定されることによって仮状態に達し、信号の両方が設定されることによって仮状態から次の状態への退場が実現される。任意選択で、上述のように、設定されている1つの信号が設定されなくなる場合、以前の状態に戻されてよい。これは、制御回路機器が、送出された状態変更信号の数が第1の閾値数を下回るのに応答して被制御デバイスの現在の動作状態に対応する状態に仮状態から遷移するように構成される例を示す。
図7は、個々の仮状態605、620を介して、各ケースにおける、停止状態から退場状態、及び退場状態610からランニング状態615への、ただ2つの遷移を示す図6の一部の概略図である。
各クロック・コントローラ/電力コントローラは、(回路機器550、552として図5に示される)関連付けられたタイミング回路機器700を有する。タイマーは、図7において「監視(watchdog(ウオッチドッグ))タイマー」と呼ばれ、仮状態605、620からのタイムリな進行をチェックしている。
仮状態605、620(及び図6における他の対応する仮状態)への入場は、ウオッチドッグタイマー700を制御する開始信号710を設定することによってタイミング動作の開始を始める。仮状態からの退場、つまり終了状態600、610、615への入場は、ウオッチドッグタイマー700の動作を停止するリセット信号720を生成する。
(図11を参照しながら下記で論じられることになる)プロセッサ1130は、データ・ハンドリング・デバイスの全てではなく幾つかを表す第1の閾値数に関する状態変更信号の送出に応答性のある検出器であって、第2の閾値数のデータ・ハンドリング・デバイスに達するように更に1つ又は複数のデバイスに関して状態変更信号が送出されるかどうかを検出する検出器として振る舞うことができる。
開始信号710の設定とリセット信号720の設定との間でウオッチドッグタイマー700は、カウンタ702を使用してカウント動作(例えば上向きのカウント)を行う。現在のカウントは閾値704と比較され、(上向きのカウントの場合の例示において)現在のカウントが閾値を超過する場合、障害信号730が生成される。カウンタが閾値に達する前にリセット信号720が設定される場合、カウンタ値はリセットされ、障害信号は生成されない。
言い換えると、ウオッチドッグタイマー700は、仮状態605若しくは620(又は実際は図6に示される仮状態の任意の他の状態)における閾値時間より多くの時間をシステムが費やすかどうかを検出する。
(任意選択で、動作の2つのセットの間で所定数のサイクルの短い遅延を伴うが)2つのデバイス500、502が、同期して同じ動作を実行しているはずであることを考慮すると、仮状態605、620に長く費やしすぎることは、デバイス500、502(又は実際はコントローラ510、512)が互いに異なって行動しているような同期問題又は処理問題が発生している可能性があることを示す性質がある。これは障害信号730によって示されてよく、是正措置、リブート、停止動作、又は同様のもの等の適正なアクションが、データ処理装置によってとられてよい。
閾値704は、装置の構成可能パラメータとして設定されてよい。
他の例示において、ウオッチドッグタイマー700は、仮状態のうちの任意の1つに費やされる最大期間を動作の最初の期間に検出すること、及び任意選択で1サイクル等のマージンに加えて、この検出された期間の(カウンタ・ドメインにおける)表現として閾値を設定することを行うように構成されてよい。最大許容可能閾値期間はこの場合に構成可能であってよく、その結果、最大許容可能閾値より長い期間が動作の最初の期間中に検出される場合、実際の検出された時間ではなく最大許容可能閾値に依存して閾値時間が設定される。
制御回路機器が、閾値時間の中で、第2の閾値数のデータ・ハンドリング・デバイスに達するように更に1つ又は複数のデバイスに関して状態変更信号が送出されるかどうかを検出すること、及び閾値時間の中で、第2の閾値数のデータ・ハンドリング・デバイスに関してステータス信号が送出されるのを検出器が検出するのに応答して、個々のデータ・ハンドリング・デバイスの動作状態を目標動作状態に変更することを行うように構成される例を、ウオッチドッグタイマー700の使用が示す。例えば制御回路機器は、閾値時間の中で、第2の閾値より少ない数のデータ・ハンドリング・デバイスに関してステータス信号が送出されるのを検出器が検出するのに応答して、障害状態を示すように構成されてよい。
幾つかの事例において、これは、例えば、状態のペアの2つの状態のうちの1つから他の状態への異常状態の変更が障害状態を引き起こさない場合に、状態のペアの間の仮状態をもたらす必要がないことがある(又は適正でないことがある)ことに留意されたい。
図8は、それぞれがクロック・コントローラ/電力コントローラ810の制御下にある複製された被制御デバイス800の3つ以上のインスタンスを有するデータ処理装置を概略的に示す。処理結果又は帰結についての不一致が被制御デバイス800によって扱われた場合に、大多数又は類似のタイプの判定が、判断回路機器820によって行われてよい。
幾つかの例示において、1つのコントローラが複数の被制御デバイス805を制御することができる。
他の例示において、複数のコントローラが1つのデバイスを制御することができる(又は、更に一般に、n個のコントローラがm個のデバイスを制御でき、ここでn及びmは整数であり、同じであっても異なっていてもよい)。図9は、2つのコントローラ900、910の出力が、デバイス930を制御する電力制御信号925を生成するために結合器920によって組み合わされる例を概略的に示す。図9の構成は、図5の構成等、FuSaシステムに関連した処理デバイス及びコントローラの1つのインスタンスに相当する1つのインスタンスを形成してよい。
同様にコントローラの階層が形成されてよく、これにより(図10のクロック・コントローラ1000等の)コントローラが、階層の下の方にある同じ機能のコントローラ1010を制御する(つまり、階層の中で、電力コントローラが電力コントローラを制御するか、クロック・コントローラがクロック・コントローラを制御する)。クロック・コントローラ1010は、電力コントローラ1020にも応答する性質があり、デバイス1040を制御するクロック制御信号1030、及びデバイス1040へのクロック信号1070の全体的なゲーティングを行うクロック・ゲート回路1060を制御するクロック・イネーブル信号1050を送ってもよい。この例示においてクロックのオン/オフ機能は、クロック信号1070のゲーティングによって行われ、信号1030は、例えばクロック信号1070をサブ周波数に様々に分割するように定義して、様々なクロック状態を利用する。したがってこれは、制御回路機器の階層を備え、階層の上の方にある制御回路機器が、階層の下の方にある制御回路機器の少なくとも幾つかの動作を制御する例示である。
図11は、上述されたタイプの電力又はクロック・コントローラの例を示す概略図を示す。信号インターフェース1100は、上述された迂回経路560~566を適正に用意する場合を含む、上述されたQ信号1110(入力)及び1120(出力)の受信及び送信を扱う。プロセッサ1130は、上述された(状態の変更及び/又は仮状態に出入りする変更を促す状態変更信号に関する状態を検出することを含む)状態機械、及びウオッチドッグタイマーの機能を実現する。状態レジスタ1140は、現在の状態の指標を格納する。
異常状態又は状態遷移の検出を更に簡単にするために、状態レジスタに格納された指標は、例えばプロセッサ1130による障害又はエラー検出を可能にするように構成されてよい。幾つかの例示において、これは、例えば、状態レジスタ1140に格納された偶数のビット・ベクトル値(つまり、偶数の値を有するビットのベクトル)だけが状態を表すのに使用され得る方式で、状態エンコーディングにパリティ方式を追加することによって行われてよい。シングル・イベント効果の場合には、エラーとして奇数値が生成され、検出され、シグナリングされる。
一方、(図4に示された状態に対応する)元の状態600、610~に、いわゆる1つのホット・エンコーディングが使用されてよい。1つのホット・エンコーディングされた値では、ただ1つのビットが、レジスタ1140に格納されたベクトル内のビットでよい。
中間状態又は仮状態について、2つのビットが設定されてよい。例えばこれらは、2つの隣接した状態(この仮状態に達する元となる状態、この仮状態から達する目的状態)の「1つのホット」ビットでよい。1つのホット・エンコーディングの例が図12aに示され、仮状態のエンコーディングの例が図12bに示される。例えば本説明の中で例示として使用される状態機械は元来、6つの状態を有するので、レジスタ1140の中で状態を表すのに6つのビットが使用されてよい。有効な表現の例は、図12aに示されるようなものである。
・ Q_STOPPED =000001
・ Q_EXIT =000010
・ Q_RUN =000100
・ Q_REQUEST =001000
・ Q_DENIED =010000
・ Q_CONTINUE=100000
中間状態は、例えば図12bに示されるような、隣接した元の状態を表すビットである2つのビットとしてエンコードされてよい。
・ Q_S_E605=000011
・ Q_E_R620=000110
・ Q_R_R630=001100
・ Q_R_S670=000101
・ Q_R_D660=011000
・ Q_D_C650=110000
・ Q_C_R640=100100
これらの許容可能なベクトルのうちの1つを反映しないレジスタ1140の内容のインスタンスは、コントローラによってエラーとして検出され、印を付けられてよい。
図11から図12bの構成は、制御回路機器が、所定の値に設定された1つのビットを有するデータ・ベクトルとして各動作状態の表現を格納すること、及び所定の値に設定された2つのビットを有するデータ・ベクトルとして各仮状態の表現を格納することを行うように構成され、所与の仮状態に対する2つのビットが、所与の仮状態に入るために制御回路機器が遷移する元となる現在の動作状態に関する1つのビット、及び所与の仮状態から制御回路機器が遷移する先となる目標動作状態に関する1つのビットに対応する例を示すことができる。
非FuSa動作のためのいわゆるループバック・メカニズムの例が、図13から図15を参照しながら次に説明される。
幾つかのシステムにおいて、全体のシステムを非FuSaモードで選択的に動かしておくのが望ましいことがある。例えば、冗長なハードウェアがFuSa動作を行っても、冗長なハードウェアの使用が消費電力を増加させ、このことは、非FuSa動作が行われている状況では不必要なコストとみなされる可能性がある。このような(非FuSaの)状況では、処理の1つのインスタンスだけが現在、動作中になるように、冗長なモジュールをスイッチ・オフにするのが望ましいことがある。
図5の回路機器に利用されるこのような状況は、状態機械が仮状態から次の完全な状態に進むために、主回路と冗長なコピーのQ/Pチャネル信号が一致しなければならない(又は回路機器の3つ以上の冗長なセットを使用する例示において、少なくとも閾値数が一致しなければならない)ので、潜在的に問題を引き起こす可能性がある。しかし回路機器の幾つか(又は1つ以外の全て)のインスタンスが非FuSa動作をディスエーブルされる場合、このような一致は決して実現されない。
この課題に対処するために、非FuSaモードで活性化されたいわゆるループバック回路が使用されてよい。図13は、ループバック回路機器1300、1310が用意されるのを除いて、図5の装置に類似の装置の例を示す。ループバック回路機器1300、1310は、コントローラ及び被制御デバイスの冗長なインスタンス1340の動作を(FuSaモードで)イネーブルするか、(非FuSaモードで)ディスエーブルする制御信号1320、1330の制御下で動作する。説明を理解しやすくするために、これらの信号は図13では別々に示されるが、これらは当然、階層式のクロック及び/又は電力コントローラ(図示せず)を介してQ/P信号として送られてよいことに留意されたい。
図13は、実質的に同一の処理動作をそれぞれが実行するためのデータ処理装置の2つのインスタンス1340、1342を示すことに留意されたい。各インスタンスは、1つ又は複数のコントローラ、及び1つ又は複数の被制御デバイスを有することができることに留意されたい。一般に、2つ以上の冗長なデータ・ハンドリング・デバイスのセットは、各インスタンスが個々の制御回路機器を有する、冗長モードの動作で実質的に同一の処理動作を行うデータ処理装置の2つ以上のインスタンスを含む。各インスタンス1340、1342~は、データ処理装置のインスタンスの全てに関して送出された状態変更信号を受信するように構成される制御回路機器を有する。
図14は、(コントローラ1360を含む)回路機器のインスタンス1340がディスエーブルされる状況における、ループバック回路機器1300の動作を概略的に示す。ディスエーブルされていなければディスエーブルされたコントローラ1360から予想されたはずの、依然としてアクティブなクロック・コントローラ1350への入力1400は、同じコントローラ1350の同等の出力1410の複製又はループバックされたバージョンとして示される。ループバック回路機器1310を使用する、依然としてアクティブなデバイス1370によって予想される信号を類似の構成が示す。
インスタンス1340がアクティブな場合には、例えば、FuSa動作又は冗長性が使用される他の任意のタイプの動作で、ループバック回路機器は、図5の手法で1つのコントローラの出力を他のコントローラに単純に転送する。
ループバック回路機器1300、1310は、ループバック回路機器を放射線が横切る場合のシングル・イベント効果による瞬間的な異常だけが生成されることを意味する、いわゆるシングル・イベント効果を回避するために組合せ式でよい。
このようにしてループバック回路機器を用意することによってシステムは、処理の1つ又は複数のインスタンスが、例えば非FuSa動作可能モードでディスエーブルされても、中間状態又は仮状態から目的状態に進むことができる。
ループバック回路機器1300、1310は、データ処理装置の別のインスタンスが現在、非アクティブな状態にある場合に、データ処理装置の1つのインスタンスによって生成された出力信号を、データ処理装置のこのインスタンスの制御回路機器への入力信号として送るように構成された信号ルーティング回路機器の例を示す。
図16は、
(ステップ1600において)個々の状態変更信号の送出に応答して、同一のデータ・ハンドリング機能を行うように構成された2つ以上の冗長なデータ・ハンドリング・デバイスのセットの中のデータ・ハンドリング・デバイスの動作状態を、このデータ・ハンドリング・デバイスの現在の動作状態から目標動作状態への状態遷移として制御すること、
(ステップ1610において)全てではなく幾つかを表す第1の閾値数のデータ・ハンドリング・デバイスに関する状態変更信号の送出に応答して、第2の閾値数のデータ・ハンドリング・デバイスに達するように更に1つ又は複数のデバイスに関して状態変更信号が送出されるかどうかを検出すること、そして任意選択で、
(ステップ1620において)閾値時間の中で、第2の閾値数のデータ・ハンドリング・デバイスに関してステータス信号が送出されるのを検出するのに応答して、個々のデータ・ハンドリング・デバイスの動作状態を目標動作状態に変更すること、
を含む方法を示す概略流れ図である。
本出願において、単語「を行うように構成される~(configured to ...)」は、定義された動作を行える構成を装置の要素が有することを意味するために使用される。これに関連して、「構成(configuration)」は、ハードウェア又はソフトウェアの相互接続の構成又は手法を意味する。例えば装置は、定義された動作を行う専用ハードウェアを有してよく、またプロセッサ又は(上述のような処理要素等の)他の処理デバイスは、機能を行うようにプログラムされてよい。「行うように構成される(configured to)」は、定義された動作を行うために装置要素が任意の方式で変更される必要があることを意味しない。
添付の図面を参照しながら本技法の例証的な実施例が本明細書で詳細に説明されたが、本技法はこれらの正確な実施例に限定されないということ、並びに様々な変更、追加、及び修正が、添付の特許請求の範囲によって定義されるような本技法の範囲及び精神から逸脱することなく当業者に行われてよいということを理解されたい。例えば従属請求項の特徴の様々な組合せが、本技法の範囲から逸脱することなく、独立請求項の特徴によって行われてよい。
本開示の様々な個々の態様が以下の番号が付けられた項によって定義される。
1.同一のデータ・ハンドリング機能を行うように構成された2つ以上の冗長なデータ・ハンドリング・デバイスのセットの中のデータ・ハンドリング・デバイスの動作状態を制御する制御回路機器
を備え、
制御回路機器が、個々の状態変更信号の送出に応答して、個々の被制御データ・ハンドリング・デバイスの動作状態を、このデータ・ハンドリング・デバイスの現在の動作状態から目標動作状態への状態遷移として制御するように構成され、
制御回路機器が、データ・ハンドリング・デバイスの全てではなく幾つかを表す第1の閾値数に関する状態変更信号の送出に応答性のある検出器であって、第2の閾値数のデータ・ハンドリング・デバイスに達するように更に1つ又は複数のデバイスに関して状態変更信号が送出されるかどうかを検出する、検出器を備える、
回路機器。
2.制御回路機器が、第2の閾値数のデータ・ハンドリング・デバイスに関してステータス信号が送出されるのを検出器が検出するのに応答して、個々のデータ・ハンドリング・デバイスの動作状態を目標動作状態に変更するように構成される、項1に記載の回路機器。
3.制御回路機器が、閾値時間の中で、第2の閾値数のデータ・ハンドリング・デバイスに達するように更に1つ又は複数のデバイスに関して状態変更信号が送出されるかどうかを検出すること、及び閾値時間の中で、第2の閾値数のデータ・ハンドリング・デバイスに関してステータス信号が送出されるのを検出器が検出するのに応答して、個々のデータ・ハンドリング・デバイスの動作状態を目標動作状態に変更することを行うように構成される、項1に記載の回路機器。
4.制御回路機器が、閾値時間の中で、第2の閾値より少ない数のデータ・ハンドリング・デバイスに関してステータス信号が送出されるのを検出器が検出するのに応答して、障害状態を示すように構成される、項3に記載の回路機器。
5.状態変更信号が、
個々の被制御データ・ハンドリング・デバイスに制御回路機器によって送出される信号と、
個々の被制御データ・ハンドリング・デバイスによって制御回路機器に送出される信号と
の1つ又は両方を含む、項1に記載の回路機器。
6.状態変更信号が、
制御回路機器による被制御データ・ハンドリング・デバイスへの、動作状態を変更するリクエスト、
被制御データ・ハンドリング・デバイスによる、リクエストされた動作状態の変更の受諾、
被制御データ・ハンドリング・デバイスによる、リクエストされた動作状態の変更の拒否、及び
被制御データ・ハンドリング・デバイスが現在、アクティブかどうか
からなる群から選択される1つ又は複数を示す、項5に記載の回路機器。
7.2つ以上の冗長なデータ・ハンドリング・デバイスのセットが、各インスタンスが個々の制御回路機器を有する、冗長モードの動作で実質的に同一の処理動作を行うデータ処理装置の2つ以上のインスタンスを含む、項1に記載の回路機器。
8.各制御回路機器が、データ処理装置のインスタンスの全てに関して送出された状態変更信号を受信するように構成される、項7に記載の回路機器。
9.データ処理装置の別のインスタンスが現在、非アクティブな状態にある場合に、データ処理装置の1つのインスタンスによって生成された出力信号を、データ処理装置のこのインスタンスの制御回路機器への入力信号として送るように構成された信号ルーティング回路機器を含む、項8に記載の回路機器。
10.制御回路機器の階層を含み、階層の上の方にある制御回路機器が、階層の下の方にある制御回路機器の少なくとも幾つかの動作を制御する、項1に記載の回路機器。
11.動作状態が、
被制御データ・ハンドリング・デバイスの
電力制御状態、及び
クロック制御状態
の1つ又は両方を表す、項1に記載の回路機器。
12.制御回路機器が、状態機械として動作するように構成され、状態機械の現在の状態が、被制御データ・ハンドリング・デバイスの動作状態に対応する、項1に記載の回路機器。
13.制御回路機器が、第1の閾値数のデータ・ハンドリング・デバイスに関する状態変更信号の送出に応答して仮状態に入るように構成される、項12に記載の回路機器。
14.制御回路機器が、第2の閾値数のデータ・ハンドリング・デバイスに関してステータス信号が送出されるのを検出器が検出するのに応答して、個々のデータ・ハンドリング・デバイスの動作状態を目標動作状態に変更するために、仮状態から遷移するように構成される、項13に記載の回路機器。
15.制御回路機器が、送出された状態変更信号の数が第1の閾値数を下回るのに応答して被制御デバイスの現在の動作状態に対応する状態に仮状態から遷移するように構成される、項13に記載の回路機器。
16.制御回路機器が、所定の値に設定された1つのビットを有するデータ・ベクトルとして各動作状態の表現を格納すること、及び所定の値に設定された2つのビットを有するデータ・ベクトルとして各仮状態の表現を格納することを行うように構成され、所与の仮状態に対する2つのビットが、所与の仮状態に入るために制御回路機器が遷移する元となる現在の動作状態に関する1つのビット、及び所与の仮状態から制御回路機器が遷移する先となる目標動作状態に関する1つのビットに対応する、項12に記載の回路機器。
17.データ処理装置のインスタンスが、データ処理装置の2つのインスタンスを含み、
第1の閾値数が1であり、
第2の閾値数が2である、
項7に記載の回路機器。
18.閾値時間が、制御回路機器の構成可能パラメータに対応する、項1に記載の回路機器。
19.制御回路機器が、最初の期間の動作から閾値時間を導出するように構成され、閾値時間が構成可能な最大閾値時間である、項1に記載の回路機器。
20.個々の状態変更信号の送出に応答して、同一のデータ・ハンドリング機能を行うように構成された2つ以上の冗長なデータ・ハンドリング・デバイスのセットの中のデータ・ハンドリング・デバイスの動作状態を、このデータ・ハンドリング・デバイスの現在の動作状態から目標動作状態への状態遷移として制御することと、
全てではなく幾つかを表す第1の閾値数のデータ・ハンドリング・デバイスに関する状態変更信号の送出に応答して、第2の閾値数のデータ・ハンドリング・デバイスに達するように更に1つ又は複数のデバイスに関して状態変更信号が送出されるかどうかを検出することと
を含む、方法。

Claims (14)

  1. 同一のデータ・ハンドリング機能を行うように構成された2つ以上の冗長なデータ・ハンドリング・デバイスのセットの中のデータ・ハンドリング・デバイスの動作状態を制御する制御回路機器を備え、
    前記制御回路機器が、個々の状態変更信号の送出に応答して、それぞれの制御されるデータ・ハンドリング・デバイスの動作状態を、当該データ・ハンドリング・デバイスの現在の動作状態から目標動作状態への状態遷移として制御するように構成され、
    前記制御回路機器が、前記データ・ハンドリング・デバイスの全てではなく幾つかを表す第1の閾値数に関する前記状態変更信号の送出に応答性のある検出器であって、第2の閾値数のデータ・ハンドリング・デバイスに達するように更に1つ又は複数の前記デバイスに関して前記状態変更信号が送出されるかどうかを検出する、検出器を備え、
    前記制御回路機器が、前記第2の閾値数のデータ・ハンドリング・デバイスに関して前記状態変更信号が送出されるのを前記検出器が検出するのに応答して、前記それぞれのデータ・ハンドリング・デバイスの前記動作状態を前記目標動作状態に変更するように構成される、
    回路機器。
  2. 前記制御回路機器が、閾値時間の中で、前記第2の閾値数のデータ・ハンドリング・デバイスに達するように前記更に1つ又は複数の前記デバイスに関して前記状態変更信号が送出されるかどうかを検出すること、及び前記閾値時間の中で、前記第2の閾値数のデータ・ハンドリング・デバイスに関して前記状態変更信号が送出されるのを前記検出器が検出するのに応答して、前記それぞれのデータ・ハンドリング・デバイスの前記動作状態を前記目標動作状態に変更することを行うように構成される、請求項1に記載の回路機器。
  3. 前記制御回路機器が、前記閾値時間の中で、前記第2の閾値より少ない数のデータ・ハンドリング・デバイスに関して前記状態変更信号が送出されるのを前記検出器が検出するのに応答して、障害状態を示すように構成される、請求項に記載の回路機器。
  4. 前記状態変更信号が、
    前記それぞれの制御されるデータ・ハンドリング・デバイスに前記制御回路機器によって送出される信号と、
    前記それぞれの制御されるデータ・ハンドリング・デバイスによって前記制御回路機器に送出される信号と
    の1つ又は両方を含み、前記状態変更信号が、
    前記制御回路機器による前記制御されるデータ・ハンドリング・デバイスへの、動作状態を変更するリクエスト、
    前記制御されるデータ・ハンドリング・デバイスによる、リクエストされた動作状態の変更の受諾、
    前記制御されるデータ・ハンドリング・デバイスによる、リクエストされた動作状態の変更の拒否、及び
    前記制御されるデータ・ハンドリング・デバイスが現在、アクティブかどうか
    からなる群から選択される1つ又は複数を示す、
    請求項1に記載の回路機器。
  5. 2つ以上の冗長なデータ・ハンドリング・デバイスの前記セットが、各インスタンスが個々の制御回路機器を有する、冗長モードの動作で実質的に同一の処理動作を行うデータ処理装置の2つ以上のインスタンスを含み、各制御回路機器が、データ処理装置の前記インスタンスの全てに関して送出された状態変更信号を受信するように構成される、請求項1に記載の回路機器。
  6. データ処理装置の別のインスタンスが現在、非アクティブな状態にある場合に、データ処理装置の1つのインスタンスによって生成された出力信号を、データ処理装置の前記インスタンスの制御回路機器への入力信号として送るように構成された信号ルーティング回路機器を備える、請求項に記載の回路機器。
  7. 制御回路機器の階層を含み、前記階層の上の方にある制御回路機器が、前記階層の下の方にある制御回路機器の少なくとも幾つかの動作を制御する、請求項1に記載の回路機器。
  8. 前記制御回路機器が、状態機械として動作するように構成され、前記状態機械の現在の状態が、前記制御されるデータ・ハンドリング・デバイスの動作状態に対応し、
    前記制御回路機器が、前記第1の閾値数の前記データ・ハンドリング・デバイスに関する前記状態変更信号の送出に応答して仮状態に入るように構成される、
    請求項1に記載の回路機器。
  9. 前記制御回路機器が、前記第2の閾値数のデータ・ハンドリング・デバイスに関して前記状態変更信号が送出されるのを前記検出器が検出するのに応答して、前記それぞれのデータ・ハンドリング・デバイスの前記動作状態を前記目標動作状態に変更するために、前記仮状態から遷移するように構成される、請求項に記載の回路機器。
  10. 前記制御回路機器が、送出された状態変更信号の数が前記第1の閾値数を下回るのに応答して前記制御されるデバイスの前記現在の動作状態に対応する状態に前記仮状態から遷移するように構成される、請求項に記載の回路機器。
  11. 前記制御回路機器が、所定の値に設定された1つのビットを有するデータ・ベクトルとして各動作状態の表現を格納すること、及び前記所定の値に設定された2つのビットを有するデータ・ベクトルとして各仮状態の表現を格納することを行うように構成され、所与の仮状態に対する前記2つのビットが、前記所与の仮状態に入るために前記制御回路機器が遷移する元となる前記現在の動作状態に関する前記1つのビット、及び前記所与の仮状態から前記制御回路機器が遷移する先となる前記目標動作状態に関する前記1つのビットに対応する、請求項8に記載の回路機器。
  12. データ処理装置の前記インスタンスが、データ処理装置の2つのインスタンスを含み、
    前記第1の閾値数が1であり、
    前記第2の閾値数が2である、
    請求項に記載の回路機器。
  13. 前記閾値時間が、前記制御回路機器の構成可能パラメータに対応するか、又は
    前記制御回路機器が、最初の期間の動作から前記閾値時間を導出するように構成され、閾値時間が構成可能な最大閾値時間である、
    請求項に記載の回路機器。
  14. 個々の状態変更信号の送出に応答して、同一のデータ・ハンドリング機能を行うように構成された2つ以上の冗長なデータ・ハンドリング・デバイスのセットの中のデータ・ハンドリング・デバイスの動作状態を、前記データ・ハンドリング・デバイスの現在の動作状態から目標動作状態への状態遷移として制御するステップと、
    前記データ・ハンドリング・デバイスの全てではなく幾つかを表す第1の閾値数に関する前記状態変更信号の送出に応答して、第2の閾値数のデータ・ハンドリング・デバイスに達するように更に1つ又は複数の前記デバイスに関して前記状態変更信号が送出されるかどうかを検出するステップと、
    前記第2の閾値数のデータ・ハンドリング・デバイスに関して前記状態変更信号が送出されるのを検出するのに応答して、前記それぞれのデータ・ハンドリング・デバイスの前記動作状態を前記目標動作状態に変更するステップと、
    を含む、方法。
JP2019026358A 2018-02-26 2019-02-18 回路機器 Active JP7343281B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP18158642.1 2018-02-26
EP18158642.1A EP3531286B1 (en) 2018-02-26 2018-02-26 Circuitry

Publications (2)

Publication Number Publication Date
JP2019149158A JP2019149158A (ja) 2019-09-05
JP7343281B2 true JP7343281B2 (ja) 2023-09-12

Family

ID=61521308

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019026358A Active JP7343281B2 (ja) 2018-02-26 2019-02-18 回路機器

Country Status (4)

Country Link
US (1) US11010175B2 (ja)
EP (1) EP3531286B1 (ja)
JP (1) JP7343281B2 (ja)
CN (1) CN110196550A (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10908214B2 (en) * 2019-03-01 2021-02-02 Arm Limited Built-in self-test in a data processing apparatus
US11403158B2 (en) * 2020-07-23 2022-08-02 Fisher Controls International Llc Discrete logic safety systems for smart process control devices

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001505338A (ja) 1997-04-02 2001-04-17 ゼネラル・ダイナミックス・インフォメーション・システムズ・インコーポレーテッド フォールト・トレラント・コンピュータ・システム
JP2002076873A (ja) 2000-06-16 2002-03-15 Hitachi Ltd 半導体集積回路装置
JP2005290190A (ja) 2004-03-31 2005-10-20 Tdk Corp エポキシ樹脂組成物、コイル体及びインダクタ
JP2008518306A (ja) 2004-10-25 2008-05-29 ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング 少なくとも2つの処理ユニットを有する計算機システムにおける切り替えおよび信号比較の方法および装置
JP2009245015A (ja) 2008-03-28 2009-10-22 Nec Corp 二重化システム
US20120054511A1 (en) 2010-08-31 2012-03-01 Sonics, Inc Intelligent power controller

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU518055B2 (en) * 1977-06-06 1981-09-10 Sits Soc It Telecom Siemens Interface unit between a data processor anda remote unit
US4556976A (en) * 1982-08-14 1985-12-03 International Computers Limited Checking sequential logic circuits
US4958273A (en) * 1987-08-26 1990-09-18 International Business Machines Corporation Multiprocessor system architecture with high availability
JPH07105037A (ja) * 1993-10-08 1995-04-21 Mitsubishi Electric Corp プロセッシングボード及び計算機及び障害復旧方法
DE69523124T2 (de) * 1994-12-15 2002-05-29 Hewlett Packard Co Fehlererkennungssystem für einen gespiegelten Speicher in einer duplizierten Steuerung eines Plattenspeicherungssystems
US6490277B1 (en) * 2001-06-04 2002-12-03 Adc Telecommunications, Inc. Digital cross-connect system employing patch access locking and redundant supply power
WO2006115474A1 (en) * 2005-04-21 2006-11-02 Arm Limited Error recovery within processing stages of an integrated circuit
US8180867B2 (en) * 2008-07-29 2012-05-15 Schneider Electric USA, Inc. Configuration management system for power monitoring and protection system devices
US7877627B1 (en) * 2008-12-18 2011-01-25 Supercon, L.L.C. Multiple redundant computer system combining fault diagnostics and majority voting with dissimilar redundancy technology
US8098503B2 (en) * 2010-02-09 2012-01-17 Power Integrations, Inc. Method and apparatus to control a power converter having a low loop bandwidth
US8904201B2 (en) * 2011-09-26 2014-12-02 Hitachi, Ltd. Storage system and its control method

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001505338A (ja) 1997-04-02 2001-04-17 ゼネラル・ダイナミックス・インフォメーション・システムズ・インコーポレーテッド フォールト・トレラント・コンピュータ・システム
JP2002076873A (ja) 2000-06-16 2002-03-15 Hitachi Ltd 半導体集積回路装置
JP2005290190A (ja) 2004-03-31 2005-10-20 Tdk Corp エポキシ樹脂組成物、コイル体及びインダクタ
JP2008518306A (ja) 2004-10-25 2008-05-29 ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング 少なくとも2つの処理ユニットを有する計算機システムにおける切り替えおよび信号比較の方法および装置
JP2009245015A (ja) 2008-03-28 2009-10-22 Nec Corp 二重化システム
US20120054511A1 (en) 2010-08-31 2012-03-01 Sonics, Inc Intelligent power controller

Also Published As

Publication number Publication date
JP2019149158A (ja) 2019-09-05
EP3531286B1 (en) 2020-08-05
US20190265983A1 (en) 2019-08-29
CN110196550A (zh) 2019-09-03
EP3531286A1 (en) 2019-08-28
US11010175B2 (en) 2021-05-18

Similar Documents

Publication Publication Date Title
CA1315407C (en) Fault-tolerant output circuits
US8117512B2 (en) Failure detection and mitigation in logic circuits
JP7343281B2 (ja) 回路機器
US9367375B2 (en) Direct connect algorithm
US20070220367A1 (en) Fault tolerant computing system
JPH03184131A (ja) コンピューティングモジュールにおける故障を記録する装置および方法
EP2787401B1 (en) Method and apparatus for controlling a physical unit in an automation system
EP2533154A2 (en) Failure detection and mitigation in logic circuits
US9665447B2 (en) Fault-tolerant failsafe computer system using COTS components
US10621024B2 (en) Signal pairing for module expansion of a failsafe computing system
US7058170B2 (en) Method for operating and apparatus for a back-plane supporting redundant circuit cards
US20060159023A1 (en) CRC error history mechanism
US10338995B2 (en) End to end FPGA diagnostics for a safety system
US9311212B2 (en) Task based voting for fault-tolerant fail safe computer systems
JPH03184109A (ja) データ処理装置における目標指定リセット法
US10621031B2 (en) Daisy-chain of safety systems
KR100333484B1 (ko) 이중화된 데이터 채널을 갖는 동시 쓰기 방식을 적용한결함 허용 제어 시스템
JP2018072967A (ja) 制御システム
JPS63273141A (ja) 誤り自己訂正プロセッサ−とその駆動方法
JP2861595B2 (ja) 冗長化cpuユニットの切り替え制御装置
JP3904987B2 (ja) データ伝送方法
JPH05134945A (ja) バスインターフエース機構
KR19990082957A (ko) 결함에 견딜 수 있는 제어 시스템
JPS61213932A (ja) 分散形2重系計算機システムおよびその制御方法
JPH02272938A (ja) Atmスイッチ通話路障害検出システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220210

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230118

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230202

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230501

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230808

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230831

R150 Certificate of patent or registration of utility model

Ref document number: 7343281

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150