JPH02501244A - 故障許容出力回路 - Google Patents
故障許容出力回路Info
- Publication number
- JPH02501244A JPH02501244A JP63507726A JP50772688A JPH02501244A JP H02501244 A JPH02501244 A JP H02501244A JP 63507726 A JP63507726 A JP 63507726A JP 50772688 A JP50772688 A JP 50772688A JP H02501244 A JPH02501244 A JP H02501244A
- Authority
- JP
- Japan
- Prior art keywords
- output
- circuit
- module
- fault
- analog
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012360 testing method Methods 0.000 claims description 27
- 238000001514 detection method Methods 0.000 claims description 12
- 230000000737 periodic effect Effects 0.000 claims description 4
- 230000003213 activating effect Effects 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 7
- 238000007493 shaping process Methods 0.000 description 3
- 238000000034 method Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000007792 addition Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000003750 conditioning effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 230000005669 field effect Effects 0.000 description 1
- 239000012530 fluid Substances 0.000 description 1
- 230000007274 generation of a signal involved in cell-cell signaling Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 229910044991 metal oxide Inorganic materials 0.000 description 1
- 150000004706 metal oxides Chemical class 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 235000021419 vinegar Nutrition 0.000 description 1
- 239000000052 vinegar Substances 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/18—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
- G06F11/187—Voting techniques
- G06F11/188—Voting techniques where exact match is not required
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0796—Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/18—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
- G06F11/0754—Error or fault detection not based on redundancy by exceeding limits
- G06F11/0757—Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1608—Error detection by comparing the output signals of redundant hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/22—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
- G06F11/2205—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested
- G06F11/2215—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested to test error correction or detection circuits
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- General Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Hardware Redundancy (AREA)
- Safety Devices In Control Systems (AREA)
Abstract
(57)【要約】本公報は電子出願前の出願データであるため要約のデータは記録されません。
Description
【発明の詳細な説明】
発明の名称
本発明は一般には故障許容回路、特に、故障許容コンピュータや産業用制御装置
に関連した出力回路に関する。電算機を複数台用いてコンピュータ制御処理の完
全性を維持するという考えは、数年前から公知である。各電算機は命令を別個に
実行する。得られた結果は相互に比較されて「正しい」結果が決定される。一般
には3台の電算機を用いて得られた結果が票決回路で比較され、2種類以上の結
果が同一であれば、それが正しい結果とみなされる構成になっている。3台の電
算機の内のいずれか1台が誤った結果を出した場合は、稼働中に同時に2台の電
算機が故障してしまうという可能性を避けるために通常はその1伊台が直ちに取
り替えられる。この票機が実行する計算及び論理演算などを含めて、演算のほと
んど総べてに適用することができる。
別ではあるが関連した問題として、出力回路に前記のような冗長性を持たせるた
めの設計が挙げられる。産業用制御装置に用いられる電算機の出力は基本的に2
種類に分けられる。
一方の出力は「オン」及び「オフ」の2種類の信号で構成されるもので、デジタ
ル又はバイナリと一般に呼ばれているものである。他方の出力はアナログ信号で
あり、例えば、弁の位置の制御に用いられる。弁は流体の流量、圧力水準、その
他の物理的パラメータを制御する。デジタル出力信号は直流電流モータのオンオ
フ制御、ソレノイドにより開閉する弁の制御を初めとするその能様々な機能の制
御の処理に用いられる。
出力信号を供給する一つの方法として、複数台の電算機から得られる複数個の出
力を1個の票決回路に接続し、票決回路の出力を電源供給装置とモータなどの負
荷との間に設けられた直流スイッチの制御端子に接続する方法がある。ところが
、この方法には票決回路及びスイッチがいずれも故障する可能性のある単一の構
成要素であるという点に問題がある。
即ち、画構成要素のうちいずれか一方が故障すると、電算機を複数台備えていて
も、誤った信号を発生する可能性がある。
同じことはアナログの場合にも当てはまる。例えば、3台の電算機の各デジタル
出力を単一の票決回路に接続し、その出力を単一のデジタルアナログ変換器に供
給する場合、票決回路か変換器のいずれか一方が故障すると、誤った出力信号が
生成される可能性がある。
以上のことから、電算機を複数台設けて冗長性を持たせることにより電算機自体
に故障許容性を持たせるのと同じように、故障許容性のある出力回路を構成する
必要性があることは明らかである。本発明は正にこのために開発されたもので本
発明の本質は、複数台の電算機に関連した出力回路を重複して設けることにより
、出力回路を冗長性のある構成にすることにある。この構成により、出力回路の
少なくとも1構成要素の故障が許容され、しかも所期の出力信号の供給が可能と
なる。
本発明の概略を一般的な言葉で述べれば、その最も一般的な形態は、各々が複数
台の電算機に接続されていて、各電算機の出力信号を受信して個別に票決出力信
号を出力する2個の票決回路と、故障している構成要素が出力回路内にないかど
うかを判定する故障検出手段と、少なくとも1個のスイッチとを備えている。ス
イッチは票決出力信号と故障検出手段により発生される信号との論理的な組み合
わせに従って切り替えられる。この構成により、出力回路は構成要素の故障に対
する許容能が増大する。
本発明の一実施例は特にデジタル制御信号の出力に関するものである。一実施例
の出力回路には、各々が複数台の電算機に接続されていて、各電算機の出力信号
を受信して個別に票決出力信号を出力する2個の票決回路と、制御対象である回
路内で直列に接続されている電気的に制御可能な2個のスイッチとが設けられて
いる。両票決回路の出力は両スイッチを別々に制御できるように対応するスイッ
チに接続されている。この構成により、両票決回路のいずれか一方の故障又は両
スイッチのいずれか一方の故障は、生じ得る可能性のある2種類の結果のいずれ
か一方になる。即ち、スイッチはオンる。ところで、前者の場合はもう一方の直
列スイッチにより負荷を適切に制御することができる。これに対し、後者の場合
は最悪でも制御対象である回路がオフになるので危険が防止される。出力回路に
オンオフ動作をしないスイッチがないかどうかを検出する手段を設けることが理
想的である。
最も有用な実施例では、いま述べた回路をモジュールとして2個備えている。各
モジュールが有する2個の褒状回路の出力信号は、同モジュール内で直列に接続
されている2個のスイッチを別々に制御できるように、対応するスイッチに個別
に接続されている。一方のモジュール内の直列スイッチは、他方のモジュール内
の直列スイッチと並列になるように接続されている。2個のモジュールにより同
一回路を制御するための冗長手段が構成されており、所期のオンオフ命令が高度
の故障許容性能を持って実施される。
各モジュールの故障検出手段は、周期的なテストパルスを発生する手段と、この
テストルスと票決回路の出力信号とを論理的に組み合わせることにより、オフ状
態に指定されているスイッチをテストパルスにより周期的にオンに切り替え、オ
ン状態のスイッチをテストパルスにより周期的にオフに切り替える手段とを備え
ている。
本発明をアナログ出力回路に適用した場合は、アナログ出。
力回路は複数台の電算機からアナログ出力信号を生成する手段と、アナログ出力
信号が有効であるかどうかを判断してモジュール有効信号を発生する手段と、モ
ジュールをハイインピーダンス状態にすることにより、モジュールからのアナロ
グ出力の発生を実施したり、中止したりする手段とを備えている。この実施例の
非常に有用な形態では、2個の全く同一のモジュールが用いられている。各モジ
ュールはモジュール有効信号と他方のモジュールのスイッチ手段の状態とを組み
合わせてスイッチ手段制御信号を発生する論理手段を備えている。制御可能なス
イッチ手段がオン状態にされて何時でも作動しているのは両モジュールの内の一
方だけであり、この作動中のモジュールに故障が検出されない限り、論理手段に
より他方のモジュールは作動しない。
より詳しく述べれば、アナログ出力信号生成手段は、各々が複数台の電算機に接
続されていて、各電算機の出力信号を受信し、命令されたアナログ出力レベルを
示す票決出力信号を個別に出力する2個の票決回路と、各々が対応する票決回路
に接続されていて、票決回路からの信号を入力し、アナログ出力信号を個別に出
力する2個のデジタルアナログ変換器とを備えている。アナログ出力信号が有効
であるかどうかを判断してモジュール有効信号を発生する手段は、デジタルアナ
ログ変換器に接続されていて、入力としてデジタルアナログ変換器の出力を受信
して、両アナログ出力信号がマツチするかどうかを示すバイナリ出力信号を生成
するアナログ比較器を備えている。
アナログ出力回路モジュールを2個有する本発明の先に述べた形態では、各モジ
ュール内の論理手段は、一方の入力が同一モジュールの比較器から得られ、他方
の入力が他方のモジュールの論理機能ゲートの出力の逆から得られる論理機能ゲ
ートを有している。従って、両モジュール内の論理機能ゲートは交差して接続さ
れていて、両モジュールの間に配置されたフリップフロップ回路が形成されてい
る。
以上の説明から本発明は故障許容出力回路の分野で重要な進歩を成し遂げている
ことは明らかである。特に、本発明により、回路の特定の構成要素の完全性に依
存することなく、命令されたデジタル又はアナログ出力信号を確実に発生するこ
とが可能となる。本発明の出力回路は簡便なモジュールとして構成されているの
で、所望の出力状態に影響を与えることなく容易に交換することができる。本発
明の上記以外の観点及び利点は、以下の詳細な説明及び図面を参照することによ
り明らかである。
図面の簡単な説明
第1図は本発明に基づく直流出力回路を簡略化して示すブロック図、第2図は第
1図の回路に類似した2個のモジュールよりなる直流出力回路を簡略化して示す
ブロック図、第3図は第1図の回路のより詳細なブロック図、第3a及び3b図
は第3図の回路に用いられているテストパルス波形を簡略化して示すグラフ、第
4図は第1図及び第3図の回路に類似した直流出力回路の一部をより詳細に示す
概略図、第5図は本発明に基づくアナログ出力回路の簡単な概略図である。
好ましい実施例の説明
本発明は、説明のための図面に示したように、産業用制御装置その他の出力回路
に故障許容性を与えることに関する。
電算機レベルでは冗長性や故障許容性を有する装置が存在するが、出力制御信号
は構成要素の故障を許容することのできる出力回路から出力されることが理想的
である。制御信号は、デジタル又はオンオフ信号とアナログ信号との2種類に大
別できる。
本発明では、誤っている可能性の高い出力制御信号が複数個の出力制御信号を「
票決」することにより排除されるだけでなく、単一の構成要素の故障によって出
力に誤りが生じる可能性が票決回路及び出力スイッチを二重にすることにより除
去されている。出力がデジタル、アナログのいずれの場合視されるので、−構成
要素が故障した場合は、第2の構成要素が故障する前に故障した構成要素を取り
替えることができる。
第1図には、参照符号10で示す電源及び直流モータ12を有する直流電流(d
c)回路を制御するための本発明の最も簡単な形態が示されている。制御装置は
一部しか図示されていないが、モータ12のオンオフ状態を制御する出力信号を
発生する3台の同一の電算機14a s 14b 、 14cを備えている。こ
れらの出力制御信号はそれぞれが対応する出力ライン16a116b 、 16
cを通って2個の全く同一の票決回路18a 、 18bに供給される。個々の
票決回路は、入力されたこれらの信号の「票決」に従って正しい出力信号を決定
する。票決出力信号は、電源lOとモータ12とを接続する直列に接続された2
個のスイッチ20a 、 20bの制御に用いられる。
モータや、他の類似した負荷の制御用デジタル出力は正常状態と「危険防止」状
態とに分類できる。オン信号が発生されているにも拘らずモータがオンしないと
いう故障の場合は、この状態が早期に検出されて故障が修理されるならば、通常
は許容可能な故障状態とみなされる。ところが、オフ信号が出力されているにも
拘らずモータが回転し続けるという故障は、通常は許容することができない。モ
ータ12の制御に単一の票決回路及び単一のスイッチが用いられている場合、オ
ン状態でスイッチが故障する確率とオフ状態でスイッチが故障する確率とは理論
上同一であるので、許容できない故障が発生する確率は非常に高い。
一方、第1図の構成では、許容できない故障状態が生じる確率は表1に示すよう
に非常に低い。表1には故障状態の可能な組み合わせが総べて示されている。こ
の票ではスイッチ20a及び20bはそれぞれA及びBで示されている。
表1′
Aオン Aオン Bオフ Bオフ Aオン Aオン Aオン Aオン文字の記載
されている横の列は故障状態を示す。例えば、「Aオン」はスイッチAが「オフ
」状態で故障していること、即ち、「オン」できないことを表わす。右側の縦4
列は両方のスイッチが共に故障していることを表わしている。状態rOJは、制
御されているモータなどの負荷が2個のスイッチの内のいずれか一方のスイッチ
によりオフされるか、出力回路が一般に安全な「オフ」状態で故障することを示
している。スイッチ20a 、 20bは直列に接続されているので、いずれか
一方がオン状態で故障しても、他方のスイッチをオフにできるので、回路全体に
とって致命的な故障にはならない。
また、スイッチの一方又は両方がオフ状態で故障した場合は、一般にオフ状態は
制御されているモータにとって安全な故障状態なので、いずれも致命的な故障で
はない。唯一許容することができないのは、スイッチが両方ともオン状態で故障
した場合である。この故障状態が生じる確率は非常に低い。例えば、所定の期間
内で一つのスイッチがオン状態で故障する確率が1%であり、同スイッチがオフ
状態で故障する確率が同じであるとする。このときスイッチを1個だけ用いてモ
ータを制御した場合、前期期間内に許容することのできない故障の生じる確率は
1%である。ところが、第1図のように2個のスイッチを直列に繋いだ場合、同
一期間内に許容することのできない故障の生じる確率は1.OIX、01、即ち
、。
01%に過ぎない。許容することのできない故障の確率は、以下に説明するよう
に、第1図に示した出力装置をモジュールとして多数使用することにより更に減
少させることができる。
第2図は第1図の直流出力装置をモジュールとして2個用いたものである。符号
22及び24で示すモジュールは、外部の配線により電源lO及び負荷12に接
続されている。その際に、一方のモジュール内の直列に接続されている一対のス
イッチ20a及び20bは対応するモジュール内°の対と並列になるように接続
される。従って、電気はスイッチの一方の対又は両方の対を介して負荷に印加さ
れるので、負荷の制御に影響を与えること無く一方のモジュールの除去及び交換
をすることができる。この構成にモジュール内の故障を検出する回路を設ければ
、一方のモジュールが故障した場合に故障したモジュールを直ちに交換すること
ができるので、両方のモジュールが故障してしまうという事態を防止することが
可能となる。
この構成は「危険防止」に役立つだけでなく、「故障を許容して作動」可能でも
ある。即ち、−構成要素が故障しても意図した切り替え操作はなんらの影響も受
けない。例えば、負荷をオンに切り替える際に、仮にいずれか一つのスイッチが
オフ状態で故障していたとしても、他方のスイッチモジュールにより負荷はオン
に切り替わる。同様に、負荷をオフに切り替える際に、いずれか一つのスイッチ
がオン状態で故障している場合は、各モジュールの直列に接続されているスイッ
チにより負荷は確実にオフ状態に切り替わる。所期の動作をしない唯一の事態は
、同一モジュール内め一対のスイッチが両方ともオン状態で故障していて、負荷
をオフにしようとする場合である。既に述べたように、スイッチの故障はモジュ
ール内の適切な回路により検出され、故障したスイッチを有するモジュールは同
モジュール内の別のスイッチが故障する前に交換されるので、同一モジュール内
の一対のスイッチが両方ともオン状態でほぼ同時に故障する確率は非常に低い。
故障の確率の低さの尺度は、故障間の平均時間の長さくMTBF)である。ここ
に述べた構成では、故障間の平均時間は何百年と計算される。
第3図は第1図のモジュールをより詳細にした概略図である。両票決回路の出力
は図示のようにそれぞれが対応する信号調節回路30a及び30bを通過して対
応する排他的OR(XOR)ゲート32a及び32bに入力される。XORの出
力は、アイソレータ34a及び34bを通過してから、MOSFET(金属酸化
物半導体電界効果トランジスタ)として示されているスイッチ20a及び20b
を制御する。符号12°で示されている負荷は両スイッチ20a及び20bの間
に接続されている。この出力回路はテストパルスを整形回路38に供給する発振
器36を有している。整形回路はX及びYで示されているテストパルスを対応す
るXORゲート32a及び32bの一方の入力に供給する。XORゲートの他方
の入力に関しては、A及びBとして後に説明する。また、XORゲートの出力は
A′及びB″として説明する。
XORゲートの出力A′及びB−は、符号40で示す故障検出回路にも接続され
ている。故障検出回路はスイッチ20a及び20bの状態も監視する。直流電源
回路は、電源10から第1スイツチ20a及びダイオード42を通過して負荷1
2°に延び、更に別のダイオード44及び第2スイツチ20bを通過して最後に
電源10に戻る。第1スイツチ20aとダイオード42との接続部には別のアイ
ソレータ48aを介して、また、第2スイツチ20bとダイオード44との接続
部には別のアイソレータ46bを介して故障検出回路40が接続されている。
アイソレータは制御を受ける回路、この例では直流モータ回路、を本発明の出力
回路に関連する制御論理から隔離するためのものである。隔離は発光ダイオード
及びフォトトランジスタの組み合わせで簡便に形成することができる。
テストパルス整形回路38により生成されるテストパルスX及びYは、はぼ第3
a図及び第3b図に示すような形状をしている。各信号(X及びY)は、はとん
ど常に高いレベル又は論理レベル「1」に維持されているが、はぼ1秒ごとに瞬
間的に低いレベル又は論理レベル「0」に変わる。このようにしてパルスが形成
されているが、各パルスの継続期間はほぼ300マイクロセカンド以下である。
更に、パルスXとパルスYは、第3a図及び第3b図に示すように、同時には生
じないで、時間的にずれて生じる。
テストパルスX及びYと信号ASBSA−及びB′との関係は次の表2に示す通
りである。
オ ン 0 0 0 オフへの切り替えテストオ ン 0 1 1 正常なオン
への切り替え動作オ フ 1 0 1 オフへの切り替えテストオ フ 1 1
1 正常なオフへの切り替え動作出力コマンドがONであるとき、信号Aおよ
びBは“0”であり、これらはテストパルスが発生していないときに“12信号
をA′にて発生するためにXORゲートにおいて補充される。各テストパルス(
XまたはY−〇)の期間において、A′およびB′信号は一時的に論理“0”に
低下し、対応するスイッチ20aまたは20bが極短時間、解放する。制御され
るほとんどの付加はモータ高慣性装置であるので、電源でのこの短時間中断は重
要ではない。スイッチがOFF状態に命令されている間は、同じテストパルスが
スイッチを一時的にON状態に切り換えるときに有効であるが、XおよびY信号
はやがてオフセットされるので、両スイッチは共に閉成されることがない。テス
トパルスは通常の監視タイマ回路(図示せず)を制御する故障検出回路40に入
力される。監視タイマの周知の原理はこれが警報状態の発生を防ぐためにある票
決期間内にリセットされねばならないことである。この状態において、タイマは
XおよびYテストパルスがスイッチ20a、20bから入力されるときにこれら
テストパルスの検出によってリセットされる。いずれかのスイッチがテストパル
スの1つによって指示されたように開成または閉成しなければ、タイマはリセッ
トされなく、エラー状態はシステムを操作しているオペレータに伝達される。
第4図は第1図及び第2図に示されたものと同様な出力回路の詳細図である。同
じ参照番号が同じ部分に対して使用されている。第4図の回路は種々回路部材に
対して標準の部品番号を示している。第3図の故障検出回路40がこの発明の好
適実施例にどのように機能しているかがこの回路から更に明らかになる。第1ス
イツチ20aはツェナーダイオード50に接続され、それからアイソレータ46
aを介して電源に接続される。同様に、N2スイッチ20bは他のツェナーダイ
オード52を介して、その後アイソレータ46aを介して電源ラインに接続され
る。アイソレータ46aの出力は監視タイマ回路54に接続され、アイソレータ
46bの出力は他の監視タイマ回路56に接続される。
両スイッチ20a、20bがOFF状態になり、テストパルスがスイッチ20a
をONにするためにスイッチ20aに入力されることが行なわれると、回路がス
イッチ20 a sツェナーダイオード、およびアイソレータ46aによって形
成される。それゆえ、パルスがアイソレータ46aの出力に現われ、タイマ54
をリセットする。同様に、他のスイッチェナーダイオード52、およびスイッチ
20b介して回路が形成され、それによりアイソレータからパルスを出力し、タ
イマ56をリセットする。
両スイッチ20a、20bがONになると、2つのツェナーダイオード50を介
する2つの電路が共に形成されるが、スイッチの1つのパルス的なOFFにより
いずれかの電路が一時的に遮断すると、アイソレータ46a、46b一方からパ
ルスが出力し、タイマ54.56の一方がリセットされる。
タイマは警報信号を発生する前の3秒以内にリセットパルスを要求するように構
成され、テストパルスが1秒毎に出力される。スイッチの1つに供給される3つ
の連続テストパルスが対応するタイマ54.56に供給されなければ、故障が存
在すると判断される。
この発明に従ったアナログ出力回路において、第5図に示されるように、2つの
回路モジュール60a、60bが採用されているが、これらの1つだけが何時で
も所望のアナログ出力信号を発生する。他のモジュールは能動モジュールと同じ
票決及びD−A変換を行なうが、その出力は能動モジュールが正確な出力信号を
出力し続ける限り割り込み禁止される。
次の説明では、同じ参照番号が両モジュールに対して用いられ、いずれのモジュ
ールを示すかを添え字aおよびbによって示されている。各モジュールは2つの
アナログ票決回路62.64および2つの独立したデジタルアナログ変換器66
および68を有する。票決回路62.64は基本的にはデジタル票決回路であり
、3つのデジタル入力の主要事項である出力を発生する。票決出力は変換器66
.68においてアナログ形態に変換され、アナログそれからアナログ比較器70
に入力される。この比較器は2つのアナログ入力が所定余裕度内で等しいか否か
を示す2進出力を発生する。比較器70の2進出力はANDゲート72の一方入
力として供給され、ANDゲートの出力はスイッチ74の位置を制御するために
使用される。ANDゲートの他の入力は変転入力である。
スイッチ74は一方変換器66の出力と出力端子76との間に接続される。出力
端子76aおよび76bは一対のモジュール60からの単一信号を得るために共
通に接続される。回路はANDゲート72を交差接続することによって完成する
。
故に、ANDゲート72aの出力は外部においてANDゲート72bの反転入力
に接続され、ANDゲート72bの出力はANDゲート72aの反転入力に接続
される。
この動作において、同じモジュールの2つの変換器66.58がほぼ同じ出力を
発生しておれば、モジュールは適正に動作していると判断される。この時、比較
器70は論理“1“出力を発生し、この出力はANDゲート72に入力として供
給される。瞬間的に、スイッチ74aが閉成し、スイッチ74bが開成すると仮
定すると、ANDゲート72aは論理“1”を出力し、スイッチ74aの閉成を
維持し、ANDゲート72bが論理“1”を出力する。交差接続ANDゲート出
力はこの状態に安定に出力を保持するANDゲートの反対反転入力に供給される
。一方のモジュールが故障を検出し、他方のモジュールがOFFとなるが、故障
でないときだけ、出力状態が反転される。Aモジュールが開成スイッチ74aを
介して出力を発生している例において、故障がAモジュールにおいて検出される
と、比較器70aから“0”が出力され、これがANDゲート72aから“0′
を発生する。この出力が論理“1”としてANDゲート72bに供給され、これ
がBモジュールANDゲートから“1″を出力し、スイッチ74bを閉成する。
ANDゲート72及びそれらの交差接続は単一のフリップフロップを形成し、こ
の構成は2つの回路モジュール間に分布される。フリップフロップの状態は2つ
のモジュールのどちらが現時点で能動状態であるかを決定し、各モジュールの監
視状態はフリップフロップが1状態から他の状態にいつ切り換えられたかを決定
する。
2つのANDゲート72によって形成される分配フリップフロップの重要な特性
は論理“0′出力を有するモジュール、即ち非能動モジュールが能動モジュール
に影響を与えないで取り外せることである。非能動モジュールはその交差接続を
介して能動モジュールに論理“0″入力を与える。論理“02が零電圧レベルに
よって表わされていれば、非能動モジュールの取り外しは能動モジュールに影響
を与えない。それ故に、装置の中断操作が制御されることなく、非能動モジュー
ルは取り外すことができ、故障が検出されると直ちに取り替えられる。
アナログ出力タイプの単一モジュールはもっと限定された応用を有するが、第1
図のデジタル出力回路のフエーイルセーフ(二重安全)動作に類似する動作のフ
ェールセーフタイプを提供する。比較器70によって故障を検出すると、スイッ
チ74は第5図の二重モジュール方式に関して述べられたように開成される。1
つだけのモジュールが存在していれば、これはモジュールから零を出力し、この
出力は一般的にはアナログ制御システムにフェールセーフ状態を与える出力レベ
ルである。
この発明は故障許容制御システムの分野において重要な進展を示していることが
上述したことから評価される。特に、この発明は少なくとも1つの要素での故障
に耐え、故障間の非常に長い平均時間を有する出力回路構成を提供する。この発
明の種々実施例は説明のために詳細に記載されているが、種々の変形はこの発明
の精神及び範囲を逸脱しないでなし得る。従って、発明は添付の請求の範囲によ
って引用して限定されるべきでない。
国際調査報告
Claims (15)
- 1.デジタル制御装置の出力信号用の故障許容出力回路において、 各々が複数台の計算装置に接続されていて、各計算装置の出力信号を受信して個 別に票決出力信号を出力する2個の票決回路と、 制御対象である回路内で直列に接続されている電気的に制御可能な2個のスイッ チとを備え、 両票決回路はそれぞれが対応するスイッチに接続されていて、票決回路の出力に より両スイッチが別々に制御されることにより、両票決回路のいずれか一方、又 は両スイッチのいずれか一方が故障したときに、最悪の場合でも、制御対象であ る回路が危険防止(フェイルセーフ)状態になることを特徴とする故障許容出力 回路。
- 2.スイッチのオンオフ切り替え能力を検査する手段を有していることを特徴と する請求項1に記載の故障許容出力装置。
- 3.デジタル制御装置の出力信号用の故障許容出力回路において、 各々が複数台の計算装置に接続されていて、各計算装置の出力信号を受信して個 別に票決出力信号を出力する2個の票決回路と、制御対象である回路内で直列に 接続されている電気的に制御可能な2個のスイッチとを有する同一回路モジュー ルを2個備え、 各モジュール内の2個の票決回路は当該モジュール内で直列に接続されている2 個のスイッチの内で対応するスイッチに個別に接続されていて、両票決回路の出 力信号により両スイッチが別々に制御され、一方のモジュール内で直列に接続さ れている両スイッチは他方のモジュール内で直列に接続されている両スイッチと 並列に接続されていて、両モジュールにより同一回路を制御する冗長手段が構成 されて、意図されたオン命令又はオフ命令が故障許容可能に実行されることを特 徴とする故障許容出力回路。
- 4.両モジュールの個々の取り外し及び交換は、いずれも制御対象である回路の 正常なオンオフ動作に影響しないことを特徴とする請求項3に記載の故障許容出 力回路。
- 5.各モジュールはオン又はオフ信号に応答不能なモジュールスイッチを検出す る故障検出手段を有していることを特徴とする請求項3に記載の故障許容出力回 路。
- 6.故障検出手段は、周期的なテストパルスを生成する手段と、テストパルスを 票決回路の出力信号と論理的に組み合わせる手段とを備えており、 オフ状態に指定されている個々のスイッチをテストパルスにより周期的にオンに 切り替え、オン状態にある個々のスイッチをテストパルスにより周期的にオフに 切り替えることを特徴とする請求項4に記載の故障許容出力回路。
- 7.アナログ信号を発生する故障許容出力回路において、各々が複数台の計算装 置に接続されていて、各計算装置のデジタル出力信号を受信して、命令されたア ナログ出力レベルを示す票決出力信号を個別に出力する2個の票決回路と、各々 が対応する票決回路に接続されていて、票決回路からの信号を入力し、アナログ 出力信号を個別に出力する2個のデジタルアナログ変換器と、 両デジタルアナログ変換器に接続されていて、両デジタルアナログ変換器の出力 を入力として受信して、両アナログ出力信号がマッチしているかどうかを示すバ イナリ出力信号を生成するアナログ比較器と、 両デジタルアナログ変換器のいずれか一方からの出力と出力端子との間に接続さ れ、制御端子が比較器の出力に接続されている制御可能なスイッチとを備え、両 デジタルアナログ変換器のアナログ出力がマッチしていないことが検出されると 、出力回路全体からのアナログ出力の発生が中止されることを特徴とする故障許 容出力回路。
- 8.2個の回路モジュールからなり、アナログ信号を発生する故障許容出力回路 において、各回路モジュールは、各々が複数台の計算装置に接続されていて、各 計算装置のデジタル出力信号を受信して、命令されたアナログ出力レベルを示す 票決出力信号を個別に出力する2個の票決回路と、各々が対応する票決回路に接 続されていて、票決回路からの信号を入力し、アナログ出力信号を個別に出力す る2個のデジタルアナログ変換器と、 両デジタルアナログ変換器に接続されていて、両デジタルアナログ変換器の出力 を入力として受信して、両アナログ出力信号がマッチしているかどうかを示すバ イナリ出力信号を生成するアナログ比較器と、 両デジタルアナログ変換器のいずれか一方からの出力と両モジュールで共通の出 力端子との間に接続され、制御端子が比較器の出力に接続されている制御可能な スイッチと、比較器の出力と他方の回路モジュール内の制御可能なスイッチの論 理状態とを組み合わせてスイッチ制御信号を発生する論理手段とを備え、 制御可能なスイッチがオン状態にされて何時でも作動しているのは両モジュール の内の一方だけであり、論理手段はこの作動中のモジュールに故障が検出されな い限り他方のモジュールを作動させないことを特徴とする故障許容出力回路。
- 9.各モジュール内の論理手段は、同一モジュール内の比較器から得られた一入 力と、他方のモジュール内のANDゲートの出力の逆から得られた一入力とを有 するANDゲートを備えていることを特徴とする請求項8に記載の故障許容出力 回路。
- 10.2個の回路モジュールからなり、アナログ出力信号を発生する故障許容出 力回路において、各モジュールは複数台の計算装置からアナログ出力信号を生成 する手段と、アナログ出力信号が有効であるかどうかを判断してモジュール有効 信号を発生する手段と、 モジュールからのアナログ出力の発生を実施したり、中止したりするスイッチ手 段と、 モジュール有効信号と他方のモジュールのスイッチ手段の状態とを組み合わせて 、自らが有するスイッチ手段を制御するスイッチ手段制御信号を発生する論理手 段とを備え、制御可能なスイッチがオン状態にされて何時でも作動しているのは 両モジュールの内の一方だけであり、論理手段はこの作動中のモジュールに故障 が検出されない限り他方のモジュールを作動させないことを特徴とする故障許容 出力回路。
- 11.アナログ出力信号を生成する手段は、各々が複数台の計算装置に接続され ていて、各計算装置のデジタル出力信号を受信して、命令されたアナログ出力レ ベルを示す票決出力信号を個別に出力する2個の票決回路と、各々が対応する票 決回路に接続されていて、票決回路からの信号を入力し、アナログ出力信号を個 別に出力する2個のデジタルアナログ変換器とを有していることを特徴とする請 求項10に記載の故障許容出力回路。
- 12.アナログ出力信号が有効であるかどうかを判断してモジュール有効信号を 発生する手段は、両デジタルアナログ変換器に接続されていて、両デジタルアナ ログ変換器の出力を入力として受信して、両アナログ出力信号がマッチしている かどうかを示すバイナリ出力信号を生成するアナログ比較器を備えていることを 特徴とする請求項11に記載の故障許容出力回路。
- 13.論理手段は、一方の入力が同一モジュールの比較器から得られ、他方の入 力が他方のモジュールの論理機能ゲートの出力の逆から得られる論理機能ゲート を備えていることを特徴とする請求項12に記載の故障許容出力回路。
- 14.両モジュールの個々の取り外し及び交換は、いずれも制御対象である回路 の正常なアナログ出力動作に影響しないことを特徴とする請求項10に記載の故 障許容出力回路。
- 15.制御装置出力信号用の故障許容出力回路において、各々が複数台の計算装 置に接続されていて、各計算装置の出力信号を受信して個別に票決出力信号を出 力する2個の票決回路と、 出力回路内の構成要素が故障していないかどうかを判断する故障検出手段と、 票決出力信号と故障検出手段により発生された信号との論理的な組み合わせに従 って切り替えられて、出力回路構成要素の故障状態許容能力を増大させる少なく とも1個の制御可能なスイッチとを備えたことを特徴とする故障許容出力回路。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US07/091,086 US4868826A (en) | 1987-08-31 | 1987-08-31 | Fault-tolerant output circuits |
| US091,086 | 1987-08-31 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH02501244A true JPH02501244A (ja) | 1990-04-26 |
Family
ID=22225981
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP63507726A Pending JPH02501244A (ja) | 1987-08-31 | 1988-08-19 | 故障許容出力回路 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US4868826A (ja) |
| EP (1) | EP0329774A4 (ja) |
| JP (1) | JPH02501244A (ja) |
| KR (1) | KR890702123A (ja) |
| CA (1) | CA1315407C (ja) |
| DK (1) | DK209789D0 (ja) |
| WO (1) | WO1989002124A1 (ja) |
Families Citing this family (44)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU616213B2 (en) * | 1987-11-09 | 1991-10-24 | Tandem Computers Incorporated | Method and apparatus for synchronizing a plurality of processors |
| CA2003338A1 (en) * | 1987-11-09 | 1990-06-09 | Richard W. Cutts, Jr. | Synchronization of fault-tolerant computer system having multiple processors |
| US4965717A (en) * | 1988-12-09 | 1990-10-23 | Tandem Computers Incorporated | Multiple processor system having shared memory with private-write capability |
| AU625293B2 (en) * | 1988-12-09 | 1992-07-09 | Tandem Computers Incorporated | Synchronization of fault-tolerant computer system having multiple processors |
| US4995040A (en) * | 1989-02-03 | 1991-02-19 | Rockwell International Corporation | Apparatus for management, comparison, and correction of redundant digital data |
| US5295258A (en) * | 1989-12-22 | 1994-03-15 | Tandem Computers Incorporated | Fault-tolerant computer system with online recovery and reintegration of redundant components |
| US5203004A (en) * | 1990-01-08 | 1993-04-13 | Tandem Computers Incorporated | Multi-board system having electronic keying and preventing power to improperly connected plug-in board with improperly configured diode connections |
| US5210756A (en) * | 1990-09-26 | 1993-05-11 | Honeywell Inc. | Fault detection in relay drive circuits |
| US5339404A (en) * | 1991-05-28 | 1994-08-16 | International Business Machines Corporation | Asynchronous TMR processing system |
| US5349654A (en) * | 1992-02-20 | 1994-09-20 | The Boeing Company | Fault tolerant data exchange unit |
| US5428769A (en) * | 1992-03-31 | 1995-06-27 | The Dow Chemical Company | Process control interface system having triply redundant remote field units |
| US5583757A (en) * | 1992-08-04 | 1996-12-10 | The Dow Chemical Company | Method of input signal resolution for actively redundant process control computers |
| FR2700436B1 (fr) * | 1993-01-08 | 1995-03-31 | Merlin Gerin | Système de contrôle commande de sécurité. |
| US5498912A (en) * | 1993-10-04 | 1996-03-12 | Rockwell International Corporation | Majority voted two fault tolerant power switch |
| EP0697661B1 (de) * | 1994-08-04 | 1997-11-19 | Siemens Aktiengesellschaft | Einrichtung zur technischen Diagnose von Fehlern in einem ärztlichen, insbesondere zahnärztlichen Gerät |
| US5508910A (en) * | 1994-09-26 | 1996-04-16 | Forney International, Inc. | Redundant analog I/O board system |
| US5537583A (en) * | 1994-10-11 | 1996-07-16 | The Boeing Company | Method and apparatus for a fault tolerant clock with dynamic reconfiguration |
| GB2295032A (en) * | 1994-11-14 | 1996-05-15 | Ibm | Fault tolerant cooling in a data storage system |
| US5613064A (en) * | 1995-01-13 | 1997-03-18 | Curtin; Keith W. | Output network for a fault tolerant control system |
| US5796935A (en) * | 1995-07-20 | 1998-08-18 | Raytheon Company | Voting node for a distributed control system |
| US5753927A (en) * | 1995-09-29 | 1998-05-19 | Boeing North American, Inc. | Majority voted optical power switch |
| US5784386A (en) * | 1996-07-03 | 1998-07-21 | General Signal Corporation | Fault tolerant synchronous clock distribution |
| EP0840225B1 (en) * | 1996-10-29 | 2003-01-02 | Hitachi, Ltd. | Redundant information processing system |
| ATE218318T1 (de) | 1998-10-16 | 2002-06-15 | Koninkl Philips Electronics Nv | Massagevorrichtung mit saugkammer und zwei rollkörper |
| US6550018B1 (en) | 2000-02-18 | 2003-04-15 | The University Of Akron | Hybrid multiple redundant computer system |
| US6732300B1 (en) | 2000-02-18 | 2004-05-04 | Lev Freydel | Hybrid triple redundant computer system |
| US6833983B2 (en) * | 2002-02-11 | 2004-12-21 | Intel Corporation | Current limiting super capacitor charger |
| JP2003316599A (ja) * | 2002-02-22 | 2003-11-07 | Seiko Epson Corp | 集積回路 |
| US7089072B2 (en) * | 2004-05-26 | 2006-08-08 | Taiwan Semiconductor Manufacturing Company, Ltd. | Semiconductor manufacturing fault detection and management system and method |
| KR20070062565A (ko) * | 2004-10-25 | 2007-06-15 | 로베르트 보쉬 게엠베하 | 적어도 2개의 처리 유닛들을 갖는 컴퓨터 시스템에서 모드전환 및 신호 비교를 위한 방법 및 장치 |
| DE102004054373B4 (de) * | 2004-11-10 | 2007-09-20 | Siemens Ag | Schaltungsanordnung zur Generierung eines Ansteuersignals |
| US7352544B2 (en) * | 2005-07-07 | 2008-04-01 | Pratt + Whitney Canada Corp. | Method and apparatus for providing a remedial strategy for an electrical circuit |
| ITMI20080247A1 (it) * | 2008-02-18 | 2009-08-19 | Infotronic Spa | Circuito di trasmissione di un segnale di clock per la trasmissione di segnali digitali sincroni. |
| FR2928498B1 (fr) | 2008-03-07 | 2012-06-08 | Thales Sa | Dispositif modulaire pour la mise en marche securisee de l'alimentation d'un equipement electronique |
| US8102779B2 (en) | 2008-10-31 | 2012-01-24 | Howard University | System and method of detecting and locating intermittent electrical faults in electrical systems |
| US8711711B2 (en) | 2008-10-31 | 2014-04-29 | Howard University | System and method of detecting and locating intermittent and other faults |
| US8897635B2 (en) * | 2008-10-31 | 2014-11-25 | Howard University | System and method of detecting and locating intermittent and other faults |
| US8050002B2 (en) * | 2008-10-31 | 2011-11-01 | Howard University | Housing arrangement for fault determination apparatus and method for installing the same |
| US8805593B2 (en) * | 2009-11-18 | 2014-08-12 | Energy Control Technologies, Inc. | Fault tolerant analog outputs for turbo compressors |
| CN102890235B (zh) | 2011-07-18 | 2015-09-02 | 西门子公司 | 一种故障检测方法及装置 |
| EP2595018B1 (en) | 2011-11-17 | 2019-01-23 | Rockwell Automation Limited | Method and apparatus for analogue output current control |
| FR2999352A1 (fr) * | 2012-12-11 | 2014-06-13 | Sagem Defense Securite | Circuit electrique redonde de coupure de l'alimentation electronique d'un equipement |
| TWI682606B (zh) * | 2019-04-18 | 2020-01-11 | 緯創資通股份有限公司 | 具有遠端遙控自回覆斷電機制的電源產生裝置 |
| CN112631256B (zh) * | 2020-12-29 | 2022-03-18 | 浙江中控技术股份有限公司 | 一种功能安全的开关量输出模块和诊断处理方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4015246A (en) * | 1975-04-14 | 1977-03-29 | The Charles Stark Draper Laboratory, Inc. | Synchronous fault tolerant multi-processor system |
| GB2063021B (en) * | 1979-09-12 | 1984-02-08 | Atomic Energy Authority Uk | Monitoring apparatus |
| JPS573101A (en) * | 1980-06-09 | 1982-01-08 | Hitachi Ltd | Multiple control device |
| US4652417A (en) * | 1985-02-07 | 1987-03-24 | Westinghouse Electric Corp. | Fault-tolerant analog output network |
| US4687623A (en) * | 1985-10-31 | 1987-08-18 | Westinghouse Electric Corp. | Self-compensating voted logic power interface with tester |
-
1987
- 1987-08-31 US US07/091,086 patent/US4868826A/en not_active Expired - Fee Related
-
1988
- 1988-08-19 WO PCT/US1988/002869 patent/WO1989002124A1/en not_active Application Discontinuation
- 1988-08-19 JP JP63507726A patent/JPH02501244A/ja active Pending
- 1988-08-19 EP EP19880908522 patent/EP0329774A4/en not_active Ceased
- 1988-08-26 CA CA000575868A patent/CA1315407C/en not_active Expired - Fee Related
-
1989
- 1989-04-28 DK DK209789A patent/DK209789D0/da not_active Application Discontinuation
- 1989-05-01 KR KR1019890700773A patent/KR890702123A/ko not_active Application Discontinuation
Also Published As
| Publication number | Publication date |
|---|---|
| KR890702123A (ko) | 1989-12-22 |
| CA1315407C (en) | 1993-03-30 |
| DK209789A (da) | 1989-04-28 |
| WO1989002124A1 (en) | 1989-03-09 |
| DK209789D0 (da) | 1989-04-28 |
| US4868826A (en) | 1989-09-19 |
| EP0329774A1 (en) | 1989-08-30 |
| EP0329774A4 (en) | 1991-09-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JPH02501244A (ja) | 故障許容出力回路 | |
| US4926281A (en) | Fail-safe and fault-tolerant alternating current output circuit | |
| US7149925B2 (en) | Peripheral component with high error protection for stored programmable controls | |
| US5613064A (en) | Output network for a fault tolerant control system | |
| US8072889B2 (en) | Programmable controller | |
| EP3068052B1 (en) | Industrial control system with integrated circuit elements partitioned for functional safety and employing watchdog timing circuits | |
| EP3220539B1 (en) | Motor controller | |
| JPH03506089A (ja) | 二進信号を多数決選択する論理回路網に潜在する誤りを除去する方法 | |
| EP2085837A2 (en) | Method and apparatus for protecting against reverse current flow | |
| KR100412301B1 (ko) | 계층적 제어 시스템에서의 이중화 제어방법 및 그 장치 | |
| JP3662444B2 (ja) | プログラマブルコントローラおよび切替信号生成装置 | |
| KR100380658B1 (ko) | 삼중화 제어장치의 직렬통신을 이용한 출력장치와 그제어방법 | |
| AU2423588A (en) | Fault-tolerant output circuits | |
| JPH0998081A (ja) | フェール・セーフ多数決論理回路および該回路を用いたパラレル出力型電子連動装置 | |
| JP3802895B2 (ja) | フエール・セーフ多数決論理回路を備えたパラレル出力型電子連動装置 | |
| JP2023046686A (ja) | 動力遮断回路およびその健全性確認方法 | |
| EP0618679A1 (en) | High reliable integrated circuit structure for MOS power devices | |
| KR19990082957A (ko) | 결함에 견딜 수 있는 제어 시스템 | |
| JPS60214048A (ja) | 信号技術的に保証のあるデータ処理装置 | |
| JPS6351295B2 (ja) | ||
| SU1012468A2 (ru) | Резервированное устройство | |
| HU202328B (en) | Programmed security two-channel control apparatus | |
| SU1691819A1 (ru) | Устройство дл диагностировани радиоэлектронных объектов | |
| JPH027083B2 (ja) | ||
| RU2467372C1 (ru) | Устройство переключения каналов троированной системы управления |