JP7455772B2 - 誤り検出機能付き論理回路および高安全制御システム - Google Patents

誤り検出機能付き論理回路および高安全制御システム Download PDF

Info

Publication number
JP7455772B2
JP7455772B2 JP2021029522A JP2021029522A JP7455772B2 JP 7455772 B2 JP7455772 B2 JP 7455772B2 JP 2021029522 A JP2021029522 A JP 2021029522A JP 2021029522 A JP2021029522 A JP 2021029522A JP 7455772 B2 JP7455772 B2 JP 7455772B2
Authority
JP
Japan
Prior art keywords
redundant code
unit
code
output
redundant
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021029522A
Other languages
English (en)
Other versions
JP2022130881A (ja
Inventor
信康 金川
尚弘 池田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2021029522A priority Critical patent/JP7455772B2/ja
Publication of JP2022130881A publication Critical patent/JP2022130881A/ja
Application granted granted Critical
Publication of JP7455772B2 publication Critical patent/JP7455772B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Hardware Redundancy (AREA)
  • Safety Devices In Control Systems (AREA)

Description

本発明は誤り検出機能付き論理回路及び高安全制御システムに関する。
従来、誤り検出機能付き論理回路が知られている。例えば、特許文献1には、「多重化された機能ブロックの出力を比較し、誤りを検出する誤り検出機能付き論理回路において、前記機能ブロックの出力を比較し、誤りを検出する比較機能部を複数個備え、前記比較機能部の入力に交互に擬似的誤りを注入することを特徴とする」との記載がある。
従来の誤り検出機能付き論理回路は、二線論理に代表される冗長論理や剰余(ある数値を別の数値(法と呼ばれることもある)で除算した余り)符号(本明細書では、「複数ビットからなる符号(code)」という意味で用いる。正負を表す符号(sign)という意味ではない。)を用いたセルフチェッキング論理により構成されることが多い。
また、入力信号に冗長符号として剰余符号、実行されたオペレータの履歴を表す符号、そして時刻またはループ実行回数を表す符号を付加するVital coded microprocessorという方法も提案されている。
特開平09-288150号公報
上記のVital coded microprocessorを用いれば、演算結果に付加された冗長符号部を検査することで、入力信号に付加された剰余符号により情報処理過程における加算、乗算での誤りを検出でき、さらに実行されたオペレータの履歴を表す符号によりオペレータの誤りを検出でき、時刻またはループ実行回数を表す符号により条件分岐やループ制御における誤りを検出できる。
なおこの場合、入力信号に冗長符号を付加する回路、および演算結果を検査する回路は危険側故障を避けるためにフェールセーフ性が本来備わっている回路とすることが必要である。この回路はIntrinsic Fail Safeなどと呼ばれる。
現在までに様々な「フェールセーフ性が本来備わっている回路」が提案されている。例えば、リレーを用いたものや、トランスの巻き線を利用したもの、配線間隔や配線経路、配線層数などの特殊な設計制約や特殊な製造プロセスにより作られた半導体素子などが挙げられる。
これらの回路は最新の半導体による論理回路と比べて寸法が大きなものであったり、動作速度が遅いものであることが多く、製造方法や用途の特殊性から生産中止になりやすい可能性もある。そこで以上挙げた従来技術では、入力信号に冗長符号を付加する回路、および演算結果を検査する回路を最新の半導体による論理回路で実現可能にして小型化、高速化、さらには低コスト化、製造プロセスの汎用化を図るための更なる考慮が望ましい。
そこで本発明では、特殊な半導体素子に依存することなく、汎用的な回路要素を組み合わせたシステムとして「フェールセーフ性が本来備わっている回路」を実現することを目的とする。汎用的な回路要素を組み合わせたシステムとして「フェールセーフ性が本来備わっている回路」を構成すれば、各回路要素(入力信号に冗長符号を付加する回路、および演算結果を検査する回路など)を最新の半導体による論理回路で実現することができ、小型化、高速化、さらには低コスト化、製造プロセスの汎用化を図ることができる。
上記目的を達成するために代表的な本発明の誤り検出機能付き論理回路および高安全制御システムの一つは、入力信号に第1の冗長符号を付加する第1の冗長符号化部と、前記第1の冗長符号が付加された前記入力信号と少なくとも前記第1の冗長符号が付加されていない前記入力信号とを切り替える切り替え部と、前記切り替え部からの出力を処理する処理部と、前記処理部による処理結果に対し、前記第1の冗長符号に対応する検査を行う第1の冗長符号検査部とを備え、前記切り替え部による入力信号切り替えに対応して前記第1の冗長符号検査部による検査結果が正常と異常との間で切り替わるときに、誤りのない正常な状態として動作することを特徴とする。
本発明によれば、汎用的な回路要素を組み合わせてフェールセーフ性を本来的に備える回路を実現できる。上記した以外の課題、構成及び効果は以下の実施の形態の説明により明らかにされる。
本発明の基本的実施例 本発明による誤り検出符号の原理(その1) 本発明による誤り検出符号の原理(その2) 本発明による誤り検出符号の原理(その3) 本発明による動作波形(その1) 本発明による動作波形(その2) 本発明による動作波形(その3) 本発明による動作波形(その4) 本発明による動作波形(その5) 冗長符号検査部300の実施例 合理性チェック部310の実施例 出力回路部400の実施例(その1) 出力回路部400の実施例(その2) 出力回路部400の実施例(その3) 第2の冗長符号化部100-2を特定の冗長符号に限らず、第1の冗長符号化部100-1の系列の冗長符号以外の符号化部とした実施例 本発明による誤り検出符号の原理 本発明による動作波形(その1) 本発明による動作波形(その2) 本発明による動作波形(その3) 本発明による動作波形(その4) テストパターンを注入する実施例(その1) テストパターンを注入する実施例(その2) 本発明を用いた高安全制御システムの実施例
以下図に従い、本発明の実施例について説明を加える。
図1は本発明の基本的な実施例である。
入力信号は第1の冗長符号化部100-1および第2の冗長符号化部100-2に入力され、それらの冗長符号化部の出力は切り替え部110により時系列的に交互に切り替えられる。冗長符号化部で付加する冗長符号は従来技術に基づくものでよい。例えば、最も簡単なものでは偶数、奇数パリティ、それぞれ法(入力数値を除算する数値)が異なる剰余符号や、生成多項式が異なる冗長符号とすることが考えられる。またVital coded microprocessorでは、剰余符号、実行されたオペレータの履歴を表す符号、そして時刻またはループ実行回数を表す符号の一部または全部を異なる系列とすることが考えられる。例えば、時刻を表す符号として異なる系列の疑似乱数を用いることが考えられる。なお、冗長符号の誤り検出能力は一般に、2^-n(n:冗長ビットの数)とあらわされるため、1ビットだけのパリティよりはより多くのビットを付加した冗長符号の方が検出能力が高まることは勿論のことである。
情報処理部200では冗長符号化された入力信号を装置の目的を達成するために予め定められたアルゴリズムに基づき処理を実行しその結果を第1の冗長符号検査部300-1と第2の冗長符号検査部300-2、出力回路部400に出力する。合理性チェック部310は、第1の冗長符号検査部300-1と第2の冗長符号検査部300-2が切り替え部110での切り替えに同期して互い違いに、かつ時系列的に正常、異常出力を繰り返したときに誤りのない正常な状態として動作する。
詳細については後述するが、合理性チェック部310は、第1の冗長符号検査部300-1と第2の冗長符号検査部300-2の出力を用い、これらが正常と異常を互い違いに出力しているときに交番信号を生成して出力する回路である。そして、合理性チェック部310が出力する交番信号は、そのまま出力許可信号として出力回路部400に入力される。出力回路部400は合理性チェック部310から出力許可信号としての交番信号が出力されているときに制御出力を出力し、合理性チェック部310から交番信号が出力されていなければ制御出力を停止する。
図2~図4に図1の実施例を情報処理部200における情報処理を入力から出力への写像として説明する。図2~4示すように第1および第2の冗長符号化部100-1、100-2では入力信号に系列1、2の異なる冗長符号を付加して切り替え部110によって時系列に交互に切り替えられる。このとき、情報処理部200が正常な場合には、系列1の冗長符号を付加された入力信号x1は情報処理部200における情報処理により系列1の冗長符号の符号語(冗長符号として辻褄のあっている符号、正しい符号)y1に変換され、系列2の冗長符号を付加された入力信号x2も同様に情報処理部200における情報処理により系列2の冗長符号の符号語y2に変換される。
ここで、情報処理部200で異常が発生した場合には情報処理結果として符号語出力が得られなくなる(仮に出力が得られても符号語出力ではなくなる)ので、処理結果を第1の冗長符号検査部300-1と第2の冗長符号検査部300-2で検査することにより情報処理部200の異常を検出することができる。また、第1の冗長符号化部100-1および第2の冗長符号化部100-2、切り替え部110で異常が発生した時も同様に情報処理結果として符号語出力が得られなくなるので、処理結果を第1の冗長符号検査部300-1と第2の冗長符号検査部300-2で検査することにより第1の冗長符号化部100-1および第2の冗長符号化部100-2、切り替え部110の異常を検出することができる。
続いて、図3に第1の冗長符号検査部300-1の動作、図4に第2の冗長符号検査部300-2の動作を示す。図3に示すように第1の冗長符号検査部300-1は第1の冗長符号化部100-1により符号化された入力x1に基づく情報処理結果y1は符号語と見なし、第2の冗長符号化部100-2により符号化された入力x2に基づく情報処理結果y2は非符号語と見なすために、切り替え部110によりx1、x2を時系列的に交互に切り替えられることにより、正常、異常の出力を交互に繰り返すことになる。その結果、正常と判定する機能だけでなく異常と判定する機能も常時確認できるだけでなく出力のH,L固定故障も検出することができる。
同様に図4に示すように第2の冗長符号検査部300-2は第1の冗長符号化部100-1により符号化された入力x1に基づく情報処理結果y1は非符号語と見なし、第2の冗長符号化部100-2により符号化された入力x2に基づく情報処理結果y2は符号語と見なすために、切り替え部110によりx1、x2を時系列的に交互に切り替えられることにより、正常、異常の出力を交互に繰り返すことになる。その結果、正常と判定する機能だけでなく異常と判定する機能も常時確認できるだけでなく出力のH,L固定故障も検出することができる。
本実施例の正常時の動作波形を図5に示す。切り替え部110からは符号系列1による入力と符号系列2による入力(図中ハッチングで示す)が交互に出力される。その結果、情報処理部200からも符号系列1による出力と符号系列2による出力(図中ハッチングで示す)が交互に出力される。情報処理部200のからの信号が入力される第1の冗長符号検査部300-1、第2の冗長符号検査部300-2は図4に示すように時系列的に交互に、互い違いに正常、異常を示す信号を出力する。合理性チェック部310では、第1の冗長符号検査部300-1、第2の冗長符号検査部300-2から時系列的に交互に、互い違いに正常、異常を示す信号が出力されたときにのみ正常として合理性チェック部310も交番信号を出力する。
ここで、図6に示すように情報処理部200において異常(X)が発生した場合には、第1の冗長符号検査部300-1、第2の冗長符号検査部300-2のいずれかで異常が検出されて、合理性チェック部310は交番信号の出力を停止する。
続いて、第1の冗長符号化部100-1または切り替え部110で異常が発生した場合には、図7に示すように異常(X)は切り替え部110の出力から情報処理部200の出力に伝搬し、第1の冗長符号検査部300-1、第2の冗長符号検査部300-2のいずれかで異常が検出されて、合理性チェック部310は交番信号の出力を停止する。これは第2の冗長符号化部100-2で異常が発生した場合も同様に検出可能であることは言うまでもない。
次に切り替え部110の固着故障(X)で第2の冗長符号検査部300-2の出力から第1の冗長符号検査部300-1の出力に切り替えられなくなった場合も、図8に示すように切り替え部110は本来第1の冗長符号検査部300-1の出力であるべき時に第2の冗長符号検査部300-2の出力となり、情報処理部200の出力も本来第1の冗長符号検査部300-1の出力に基づく出力であるべき時に第2の冗長符号検査部300-2の出力に基づく出力となり、第1の冗長符号検査部300-1、第2の冗長符号検査部300-2で異常が検出されて、合理性チェック部310は交番信号の出力を停止する。
また、図9に示すように、第2の冗長符号検査部300-2で異常(X)が発生した場合には、合理性チェック部310は交番信号の出力を停止する。なお、第1の冗長符号検査部300-1で異常が発生した場合も、合理性チェック部310は交番信号の出力を停止して異常を検出できる。
以上述べたように本発明によれば、システムを構成する第1の冗長符号化部100-1、第2の冗長符号化部100-2、切り替え部110、情報処理部200、第1の冗長符号検査部300-1、第の冗長符号検査部300-2のいずれかで異常が発生しても、合理性チェック部310は交番信号の出力を停止し、異常を検出することができる。
図10は、Viral Coded Processorに本発明を適用するための冗長符号検査部300の実施例である。多くの制御用途に用いる情報処理部200はあらかじめ定められた動作をあらかじめ定められた順番で実行する。これらにViral Coded Processorを適用した場合には、情報処理部200から出力される冗長符号はあらかじめ生成することができるので、あらかじめ生成した冗長符号をROM301に書き込んで置き、実行時に情報処理部200から出力される冗長符号と比較器302で比較することで冗長符号の検査が可能である。
本発明を適用した場合でも同様に、入力に異なる系列の冗長符号を時系列的に交互に切り替えながら付加して情報処理を実行させた結果の冗長符号もあらかじめ生成が可能なので、あらかじめ生成した冗長符号をROM301に書き込んで置き、実行時に情報処理部200から出力される冗長符号と比較器302で比較することで冗長符号の検査が可能となる。また、入力に系列1の冗長符号を付加した情報処理結果の冗長符号をROM300-1に書き込み、入力に系列2の冗長符号を付加した情報処理結果の冗長符号をROM300-2に書き込み、それぞれを実行時に情報処理部200から出力される冗長符号と比較器302-1、2で比較することで冗長符号の検査が可能となる。
図11は合理性チェック部310の実施例である。
制御フレーム(入出力の切り替わり)を示すストローブ信号(Strobe)がD-FF1、D-FF2のクロック端子に入力されている。D-FF1のQ出力はAND2を介してD-FF2のD入力に接続され、D-FF2のQ出力はAND1を介してD-FF1のD入力に接続されている。AND1にはD-FF2のQ出力、第1の冗長符号検査部300-1の出力であるIN1、第2の冗長符号検査部300-2の出力であるIN2の反転信号が入力されている。AND2にはD-FF1のQ出力、第1の冗長符号検査部300-1の出力であるIN1の反転信号、第2の冗長符号検査部300-2の出力であるIN2が入力されている。
システムの起動時にはリセット信号RESによりD-FF1はリセットされQ出力の初期値はH、D-FF2はプリセットされてQ出力の初期値はLにセットされる。リセット解除後の最初の入力は、第1の冗長符号化部100-1の出力が切り替え部110により選択されて情報処理部200に入力される。その結果、情報処理部200からは符号系列1に相当する処理結果が出力され、第1の冗長符号検査部300-1は正常を表すLレベルの信号、第2の冗長符号検査部300-3は異常を表すHレベルの信号を出力する。このとき、合理性チェック部310内のAND2では、D-FF1のQ出力がH、第1の冗長符号検査部300-1の出力であるIN1の反転信号がH、第2の冗長符号検査部300-2の出力であるIN2がHであるためHをD-FF2のD入力に出力して、制御フレームの変わり目でストローブ信号(Strobe)は立ち上がり、D-FF2のQ出力がLからHに変化する。
続いて二番目の入力は第2の冗長符号化部100-2の出力が切り替え部110により選択されて情報処理部200に入力される。その結果、情報処理部200からは符号系列2に相当する処理結果が出力され、第1の冗長符号検査部300-1は異常を表すHレベルの信号、第2の冗長符号検査部300-3は異常を表すLレベルの信号を出力する。このとき、合理性チェック部310内のAND1ではD-FF2のQ出力がH、第1の冗長符号検査部300-1の出力であるIN1の反転信号がH、第2の冗長符号検査部300-2の出力であるIN2がHであるためHをD-FF1のD入力に出力して、制御フレームの変わり目でストローブ信号(Strobe)は立ち上がり、D-FF1のQ出力がLからHに変化する。システム全体が正常な場合には以上述べた動作を繰り返すため、合理性チェック部310の出力OUTはH,Lと交互に変化する交番信号を出力する。もし何らかの異常が発生した場合には、冗長符号検査部300-3内のD-FF1、D-FF2は共にL,Lの状態となり、H,Lと交互に変化する交番信号の出力は停止する。
図12~図14は出力回路部400の実施例である。
図12の実施例では合理性チェック部310または冗長符号検査部300からの出力許可信号を情報処理部200からの出力信号によりSWで切り替えて制御出力とする。図12の実施例によれば合理性チェック部310または冗長符号検査部300が何らかの誤りにより出力許可信号を出力してしまう蓋然性を下げるための何らかの方法で構成している場合に特に有効である。例えば、合理性チェック部310または冗長符号検査部300をユネイトな回路などの特殊な回路で構成したり、特殊な符号(シグナチャー)(本発明ではH,Lを周期的に繰り替える交番信号)を出力許可信号とする、などが考えられる。
また、情報処理部200からの出力信号を何らかの誤りにより出力してしまう蓋然性を下げるための何らかの方法で構成している場合には、図13に示すように、情報処理部200からの出力信号を合理性チェック部310または冗長符号検査部300からの出力許可信号によりSWで切り替えることも可能である。
図14は、合理性チェック部310または冗長符号検査部300からの出力許可信号を情報処理部200からの出力信号によりSWで切り替えて、さらに増幅器401、高域通過濾波部LPF402、整流部403からなるフェールセーフアンプ404により制御出力とする実施例である。フェールセーフアンプ404では、増幅器401で生成したエネルギーを整流部403で直流電圧に変換するユネイトな回路であるうえ、高域通過濾波部LPF402で直流成分がカットされるためにH,L固着故障による誤動作も起こりにくい構成となっている。高域通過濾波部LPF402はトランスフォーマ(変成器)、キャパシタなどの素子で構成されることが考えられる。本実施例は、図12と同様に合理性チェック部310または冗長符号検査部300が何らかの誤りにより出力許可信号を出力してしまう蓋然性を下げるための何らかの方法で構成している場合に特に有効で、特に本発明のようにH,Lを周期的に繰り替える交番信号を出力許可信号としているときに特に有効である。
図15は、図1の実施例のうち、第2の冗長符号化部100-2を特定の冗長符号に限らず、第1の冗長符号化部100-1の系列の冗長符号以外の符号化部100-2とし、情報処理部200の出力を第1冗長符号検査部でチェックする実施例である。
図16に図15に示した情報処理部200における情報処理を入力から出力への写像として説明する。情報処理部200が正常な場合には、系列1の冗長符号を付加された入力信号x1は情報処理部200における情報処理により系列1の冗長符号の符号語(冗長符号として辻褄のあっている符号、正しい符号)y1に変換される。情報処理部200で異常が発生した場合には情報処理結果として符号語出力が得られなくなるので、処理結果を第1の冗長符号検査部300-1で検査することにより情報処理部200の異常を検出することができる。
また、第1の冗長符号化部100-1、切り替え部110で異常が発生した時も同様に情報処理結果として符号語出力が得られなくなるので、処理結果を第1の冗長符号検査部300-1で検査することにより第1の冗長符号化部100-1、切り替え部110の異常を検出することができる。第1の冗長符号検査部300-1は第1の冗長符号化部100-1により符号化された入力x1に基づく情報処理結果y1は符号語と見なし、第1の冗長符号化部100-1の系列の冗長符号以外の符号化部100-2により符号化された入力x2に基づく情報処理結果y2は非符号語と見なすために、切り替え部110によりx1、x2を時系列的に交互に切り替えられることにより、正常、異常の出力を交互に繰り返すことになる。その結果、正常と判定する機能だけでなく異常と判定する機能も常時確認でき、出力のH,L固定故障も検出することができる。
本実施例の正常時の動作波形を図17に示す。切り替え部110からは符号系列1による入力と第1の冗長符号化部100-1の系列の冗長符号以外の符号化部100-2による入力(図中ハッチングで示す)が交互に出力される。その結果、情報処理部200のからも符号系列1による出力と第1の冗長符号化部100-1の系列の冗長符号以外の符号化部100-2による出力(図中ハッチングで示す)が交互に出力される。情報処理部200のからの信号が入力される第1の冗長符号検査部300-1は図17に示すように時系列的に交互に正常、異常を示す信号を出力する。
ここで、図18に示すように情報処理部200において異常(X)が発生した場合には、第1の冗長符号検査部300-1で異常が検出されて、出力信号に歯抜けが発生する。
続いて、第1の冗長符号化部100-1または切り替え部110で異常が発生した場合には、図19に示すように異常(X)は切り替え部110の出力から情報処理部200の出力に伝搬し、第1の冗長符号検査部300-1で異常が検出されて、出力信号に歯抜けが発生する。
次に切り替え部110の固着故障(X)で第1の冗長符号化部100-1の系列の冗長符号以外の符号化部100-2の出力から冗長符号化部100-1の出力に切り替えられなくなった場合も、図20に示すように切り替え部110は本来第1の冗長符号検査部300-1の出力であるべき時に第1の冗長符号化部100-1の系列の冗長符号以外の符号化部100-2の出力となり、情報処理部200の出力も本来第1の冗長符号検査部300-1の出力に基づく出力であるべき時に第1の冗長符号化部100-1の系列の冗長符号以外の符号化部100-2の出力に基づく出力となり、第1の冗長符号検査部300-1で異常が検出されて、出力信号に歯抜けが発生する。
図21は、第1の冗長符号化部100-1で符号化した入力信号にテストパターン生成部120で生成したテストパターンを周期的に排他的論理和130で注入する実施例で、テストパターンを注入後の冗長符号は図15の実施例における「第1の冗長符号化部100-1の系列の冗長符号以外の符号化部100-2」での符号化に相当し、故障や異常の検出の仕組みは図15の実施例と同一である。
本実施例によれば、「第1の冗長符号化部100-1の系列の冗長符号以外の符号化部100-2」での符号化を、第1の冗長符号化部100-1情報処理部200、第1の冗長符号検査部300-1での故障、異常検出に適したテストパターンとすることができる。なお、これらの回路がFPGAで構成されている場合のテストパターンの生成及び検査方法は任意の既存技術を用いればよい。
図22は、二重化した第1の冗長符号化部100-1、100-1’の出力にテストパターン生成部120-1、120-2で生成したテストパターンを排他的論理和130-1、130-2で注入して比較器140で比較し、さらに情報処理部200での処理結果にテストパターン生成部120-3で生成したテストパターンを排他的論理和130―3で注入して第1の冗長符号検査部300-1に入力し、比較器140の出力と冗長符号検査部300-1の出力を合理性チェック部310でチェックして出力許可信号とする実施例である。
本実施によれば、第1の冗長符号化部を二重化して100-1、100-1’とすることにより第1の冗長符号化部の故障や異常を検出可能とし、さらにこれらの出力にテストパターン生成部120-1、120-2で生成したテストパターンを排他的論理和130-1、130-2で注入することで、比較器140の異常や故障を検出可能にし、情報処理部200での処理結果にテストパターン生成部120-3で生成したテストパターンを排他的論理和130―3で注入することにより第1の冗長符号検査部300-1の異常や故障を検出できるようにしている。なお、第1の冗長符号検査部300-1が図10の実施例に示すように比較器301より構成されている場合、これらの回路がFPGAで構成されている場合のテストパターンの生成及び検査方法は任意の既存技術を用いればよい。
図23は本発明を用いた高安全制御システムの実施例である。出力回路部400からの制御出力はリレー50を駆動する。なおこのとき、出力回路部400は図14に示すように最終段にフェールセーフアンプ404を用いる実施例がH,L固着故障による誤動作も起こりにくい構成となるので望ましい。
リレー50が駆動されている(扛上している)間は車輪を制動するブレーキは動作せず、リレー50が駆動されずに落下した場合には車輪を制動するブレーキが動作する。または、リレー50が駆動されている(扛上している)間は加速動作を許可し、リレー50が駆動されずに落下した場合には加速動作を許可しない。
以上述べた実施例によれば、第1の冗長符号化部100-1、第2の冗長符号化部100-2、切り替え部110、情報処理部200、第1の冗長符号検査部300-1、第2の冗長符号検査部300-2が正常動作しており、合理性チェック部310から出力許可信号として交番信号が出力されているときには、出力回路部400内のフェールセーフアンプ404はリレー50を扛上させるため、車輪を制動するブレーキは動作しないか加速動作が許可される。この間、情報処理部200は車両を制御するための演算などを行う。情報処理部200に異常が発生した場合には合理性チェック部310からの出力許可信号としての交番信号が停止して、車輪を制動するブレーキが作動するか加速動作が停止されて車両は停止して安全を確保できる。
これまで説明してきたように、実施例では以下の手段を採用している。
(1) 入力信号を複数系統に分岐させ、少なくとも1の系列に冗長符号を付加し、分岐した入力信号の時系列的に交互に切り替えて処理対象とする。
(2) 入力信号の処理結果を少なくとも1系列の冗長符号の検査部で検査する。
(3) 上記検査部の出力が(1)の切り替えに同期して正常→異常→正常...と時系列的に交互に変化することをもって正常と判断する。
(4)さらに望ましくは、入力信号の処理結果を少なくとも2系列の冗長符号の検査部で検査する。
手段(3)において、「正常」出力が得られることにより手段(1)のための冗長符号化部、手段(2)のための検査部、それらの間の情報処理部の動作の正常性を確認することができる。さらに、手段(3)において、「異常」出力が得られることにより手段(1)のための冗長符号化部の切り替え部、手段(2)のための検査部の異常検出能力が正常であることを確認することができる。従って、信号の入力から処理のための機能の正常性を確認できるだけでなく、正常と判断するための検査機能の正常性も同時に確認することができる。
なお、手段(3)において、「異常」出力が得られているときには、情報処理結果が正常であるという保証がないので情報処理結果を採用することができないため、情報処理結果が正常であるという保証を得るためには、手段(1)において同一の入力信号について時系列的に2系列の、即ち2度にわたって冗長符号を付加して、2度にわたって情報処理を実行する必要がある。そこで手段(4)のように少なくとも2系列の冗長符号の検査部で検査することにより、一方の系列の冗長符号の検査部で「異常」出力が得られときにも、他方の系列の冗長符号の検査部で「正常」出力が得られるので、先に述べたような2度にわたって冗長符号を付加して、2度にわたって情報処理を実行する必要がなくなり、処理性能を向上させることができる。
以上述べたような手段により、汎用半導体による回路であっても信号入力から処理のための機能の正常性を確認できるだけでなく、正常と判断するための検査機能の正常性も同時に確認することができる。
上述してきたように、開示した誤り検出機能付き論理回路は、入力信号に第1の冗長符号を付加する第1の冗長符号化部と、前記第1の冗長符号が付加された前記入力信号と少なくとも前記第1の冗長符号が付加されていない前記入力信号とを切り替える切り替え部と、前記切り替え部からの出力を処理する処理部と、前記処理部による処理結果に対し、前記第1の冗長符号に対応する検査を行う第1の冗長符号検査部とを備え、前記切り替え部による入力信号切り替えに対応して前記第1の冗長符号検査部による検査結果が正常と異常との間で切り替わるときに、誤りのない正常な状態として動作する。
かかる構成及び動作により、特殊な半導体素子に依存することなく、汎用的な回路要素を組み合わせたシステムとして「フェールセーフ性が本来備わっている回路」を実現することができる。このため、各回路要素(入力信号に冗長符号を付加する回路、および演算結果を検査する回路など)を最新の半導体による論理回路で実現することができ、小型化、高速化、さらには低コスト化、製造プロセスの汎用化が実現する。
また、前記第1の冗長符号部と並列に設けられ、前記第1の冗長符号とは異なる第2の冗長符号を前記入力信号に付加する第2の冗長符号化部と、前記第1の冗長符号検査部と並列に設けられ、前記処理部による処理結果に対し、前記第2の冗長符号に対応する検査を行う第2の冗長符号検査部をさらに備える構成としてもよい。
この場合には、前記切り替え部は、前記第1の冗長符号が付加された前記入力信号と前記第2の冗長符号が付加された前記入力信号とを切り替えることになり、前記切り替え部による入力信号切り替えに対応して、前記第1の冗長符号検査部による検査結果が正常と異常との間で切り替わり、かつ前記第2の冗長符号検査部による検査結果が異常と正常との間で切り替わるときに、誤りのない正常な状態として動作することになる。
この構成では、常にいずれかの検査部が対応する符号での検査を行うことができるので、検査のために入力信号を重複させる必要がなく、処理の高速化が実現できる。
また、誤り検出機能付き論理回路は、出力回路部をさらに有し、該出力回路部は前記第1の冗長符号検査部が正常を表す信号と異常を表す信号とを交互に出力したときに限り制御出力を出力する回路として利用できる。この場合には、何らかの誤りを検知した場合に高い信頼性で制御出力を停止させることができる。
また、誤り検出機能付き論理回路は、合理性検査部と出力回路部とをさらに有し、前記合理性検査部は、前記第1の冗長符号検査部による検査結果が正常であり前記第2の冗長符号検査部による検査結果が異常である状態と、前記第1の冗長符号検査部による検査結果が異常であり前記第2の冗長符号検査部による検査結果が正常である状態とが交互に切り替わるときに、出力許可信号を出力し、前記出力回路部は、前記合理性検査部が前記出力許可信号を出力しているときに限り制御出力を出力する構成としてもよい。この構成では、何らかの誤りを検知した場合に高い信頼性で制御許可信号を停止させることができる。
また、第1の冗長符号や第2の冗長符号としては、剰余符号、時刻情報、冗長符号検査部用のテストパターンなどを用いた任意の冗長符号を使用することができる。
また、冗長符号検査部からの信号を整流した電源によりリレーを動作させることで、高安全制御システムとして利用することができる。
例えば、前記リレーが落下したときにはブレーキを動作させる、前記リレーが落下したときには加速を停止させる、といった利用が可能である。
なお、開示の実施例はあくまで一例であり、本発明は実施例に限定されることなく、構成や動作を適宜変更して実施することが可能である。
100-1……第1の冗長符号化部、100-2……第2の冗長符号化部、110……切り替え部、200……情報処理部、300-1……第1の冗長符号検査部、300-2……第2の冗長符号検査部、310……合理性チェック部、400……出力回路部、50……リレー

Claims (10)

  1. 入力信号に第1の冗長符号を付加する第1の冗長符号化部と、
    前記第1の冗長符号が付加された前記入力信号と少なくとも前記第1の冗長符号が付加されていない前記入力信号とを切り替える切り替え部と、
    前記切り替え部からの出力を処理する処理部と、
    前記処理部による処理結果に対し、前記第1の冗長符号に対応する検査を行う第1の冗長符号検査部と
    を備え、
    前記切り替え部による入力信号切り替えに対応して前記第1の冗長符号検査部による検査結果が正常と異常との間で切り替わるときに、誤りのない正常な状態として動作することを特徴とする誤り検出機能付き論理回路。
  2. 請求項1記載の誤り検出機能付き論理回路であって、
    前記第1の冗長符号化部と並列に設けられ、前記第1の冗長符号とは異なる第2の冗長符号を前記入力信号に付加する第2の冗長符号化部をさらに備え、
    前記切り替え部は、前記第1の冗長符号が付加された前記入力信号と前記第2の冗長符号が付加された前記入力信号とを切り替え、
    前記第1の冗長符号検査部と並列に設けられ、前記処理部による処理結果に対し、前記第2の冗長符号に対応する検査を行う第2の冗長符号検査部をさらに備え、
    前記切り替え部による入力信号切り替えに対応して、前記第1の冗長符号検査部による検査結果が正常と異常との間で切り替わり、かつ前記第2の冗長符号検査部による検査結果が異常と正常との間で切り替わるときに、誤りのない正常な状態として動作することを特徴とする誤り検出機能付き論理回路。
  3. 請求項1記載の誤り検出機能付き論理回路であって、
    出力回路部をさらに有し、
    該出力回路部は前記第1の冗長符号検査部が正常を表す信号と異常を表す信号とを交互に出力したときに限り制御出力を出力することを特徴とする誤り検出機能付き論理回路。
  4. 請求項2記載の誤り検出機能付き論理回路であって、
    合理性検査部と出力回路部とをさらに有し、
    前記合理性検査部は、前記第1の冗長符号検査部による検査結果が正常であり前記第2の冗長符号検査部による検査結果が異常である状態と、前記第1の冗長符号検査部による検査結果が異常であり前記第2の冗長符号検査部による検査結果が正常である状態とが交互に切り替わるときに、出力許可信号を出力し、
    前記出力回路部は、前記合理性検査部が前記出力許可信号を出力しているときに限り制御出力を出力することを特徴とする誤り検出機能付き論理回路。
  5. 請求項2記載の誤り検出機能付き論理回路であって、
    前記第1の冗長符号と前記第2の冗長符号のうち少なくとも一方は剰余符号を含むことを特徴とする誤り検出機能付き論理回路。
  6. 請求項2記載の誤り検出機能付き論理回路であって、
    前記第1の冗長符号と前記第2の冗長符号のうち少なくとも一方は時刻情報を含むことを特徴とする誤り検出機能付き論理回路。
  7. 請求項2記載の誤り検出機能付き論理回路であって、
    前記第1の冗長符号と前記第2の冗長符号のうち少なくとも一方は冗長符号検査部用のテストパターンを含むことを特徴とする誤り検出機能付き論理回路。
  8. 入力信号に第1の冗長符号を付加する第1の冗長符号化部と、
    前記第1の冗長符号が付加された前記入力信号と少なくとも前記第1の冗長符号が付加されていない前記入力信号とを切り替える切り替え部と、
    前記切り替え部からの出力を処理する処理部と、
    前記処理部による処理結果に対し、前記第1の冗長符号に対応する検査を行う第1の冗長符号検査部と、
    を備え、
    前記第1の冗長符号検査部からの信号を整流した電源によりリレーを動作させることを特徴とする高安全制御システム。
  9. 請求項8記載の高安全制御システムであって、前記リレーが落下したときにはブレーキを動作させることを特徴とする高安全制御システム。
  10. 請求項8記載の高安全制御システムであって、前記リレーが落下したときには加速を停止させることを特徴とする高安全制御システム。
JP2021029522A 2021-02-26 2021-02-26 誤り検出機能付き論理回路および高安全制御システム Active JP7455772B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021029522A JP7455772B2 (ja) 2021-02-26 2021-02-26 誤り検出機能付き論理回路および高安全制御システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021029522A JP7455772B2 (ja) 2021-02-26 2021-02-26 誤り検出機能付き論理回路および高安全制御システム

Publications (2)

Publication Number Publication Date
JP2022130881A JP2022130881A (ja) 2022-09-07
JP7455772B2 true JP7455772B2 (ja) 2024-03-26

Family

ID=83153228

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021029522A Active JP7455772B2 (ja) 2021-02-26 2021-02-26 誤り検出機能付き論理回路および高安全制御システム

Country Status (1)

Country Link
JP (1) JP7455772B2 (ja)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014041829A1 (ja) 2012-09-11 2014-03-20 三菱電機株式会社 安全演算装置、安全入力装置、安全出力装置および安全コントローラ

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014041829A1 (ja) 2012-09-11 2014-03-20 三菱電機株式会社 安全演算装置、安全入力装置、安全出力装置および安全コントローラ

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
南谷崇,フォールトトレランス技術の最近の動向〔I〕-セルフチェッキングプロセッサ,電子情報通信学会誌,日本,社団法人電子情報通信学会,1990年09月25日,第73巻 第9号,991~999ページ

Also Published As

Publication number Publication date
JP2022130881A (ja) 2022-09-07

Similar Documents

Publication Publication Date Title
EP2446279A1 (en) Rotary speed detection device with error monitoring
WO2016203513A1 (ja) エレベータ安全システム
CN1098803A (zh) 以微机为基础的尤其是铁路运输方面适用的安全系统
US8793533B2 (en) Method and device for performing failsafe hardware-independent floating-point arithmetic
JP7455772B2 (ja) 誤り検出機能付き論理回路および高安全制御システム
CN110837233B (zh) 一种提高功能安全性的安全控制系统
JP2009545790A (ja) 制御装置および機能制御方法
JP4475593B2 (ja) エレベータ制御装置
Ghadhab et al. A controller safety concept based on software-implemented fault tolerance for fail-operational automotive applications
JP2013077921A (ja) クロック診断回路
DURMUŞ et al. A new bitwise voting strategy for safety-critical systems with binary decisions
JP5618687B2 (ja) 2重化演算装置
JP6356325B1 (ja) リレー制御装置
JP5612995B2 (ja) 入力バイパス型のフェイルセーフ装置及びフェイルセーフ用プログラム
KR100981659B1 (ko) 산업용 컨트롤러
JP3751746B2 (ja) フェールセーフ出力装置
Dobias et al. Dependability evaluation of real railway interlocking device
JP5925925B2 (ja) 診断付き出力装置
JP2005343602A (ja) エレベータ制御装置
Eriş et al. N-version programming for railway interlocking systems: Synchronization and voting strategy
JP5470200B2 (ja) 故障検出器及び故障検出方法,ブレーキ演算器及びそれを用いた鉄道車両制御システム
JP2013054427A (ja) 診断付き出力装置
WO2022224897A1 (ja) デジタル出力装置およびデジタル出力の生成方法
KR100835383B1 (ko) 시간여분을 이용한 철도신호용 이중계구조 결함허용 제어기
JP6457149B2 (ja) 電子制御装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230705

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20240131

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240213

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240313

R150 Certificate of patent or registration of utility model

Ref document number: 7455772

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150