JPH10133900A - 冗長システム - Google Patents

冗長システム

Info

Publication number
JPH10133900A
JPH10133900A JP8286390A JP28639096A JPH10133900A JP H10133900 A JPH10133900 A JP H10133900A JP 8286390 A JP8286390 A JP 8286390A JP 28639096 A JP28639096 A JP 28639096A JP H10133900 A JPH10133900 A JP H10133900A
Authority
JP
Japan
Prior art keywords
output
circuit
modules
flip
flop
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP8286390A
Other languages
English (en)
Other versions
JP3438490B2 (ja
Inventor
Nobuyasu Kanekawa
信康 金川
Shinichiro Yamaguchi
伸一朗 山口
Naoto Miyazaki
直人 宮崎
Naohiro Kasuya
直大 糟谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP28639096A priority Critical patent/JP3438490B2/ja
Priority to EP19970118646 priority patent/EP0840225B1/en
Priority to DE1997637573 priority patent/DE69737573T2/de
Priority to DE1997618129 priority patent/DE69718129T2/de
Priority to EP02014725A priority patent/EP1291740B1/en
Publication of JPH10133900A publication Critical patent/JPH10133900A/ja
Application granted granted Critical
Publication of JP3438490B2 publication Critical patent/JP3438490B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Landscapes

  • Hardware Redundancy (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)

Abstract

(57)【要約】 【課題】冗長化したモジュールが同期して動作するシス
テムにおいて最終回路を検査する。 【解決手段】書き込んだデータが全てのモジュールから
出力されるレジスタと、対応するモジュールのみから出
力され、他のモジュールでは無視されるレジスタをモジ
ュールの出力インタフェース回路に持たせる。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は高信頼システムにか
かり、特に高信頼システム構成に不可欠な多数決回路,
出力選択回路などの最終出力回路の高信頼化,高安全
化,フェールセーフ化に関するものである。
【0002】
【従来の技術】システムの信頼性を向上させるためにシ
ステムの構成要素(モジュール)を冗長化する方法が従
来より広く用いられてきた。この方法では冗長化したモ
ジュールの出力の中から正常な出力を選び出す最終出力
回路が不可欠である。この最終出力回路としては多数決
回路や選択回路などが用いられている。
【0003】また、最終出力回路として論理和回路を用
い、危険側出力を真を表わす値(通常の2値論理では
H)で表現し、安全側出力を偽を表わす値(通常の2値
論理ではL)で表現すれば、冗長化したモジュール全て
が危険側出力を出したときのみシステムは危険側出力を
出す。従って冗長化したモジュール全てが誤って危険側
出力を出さない限りシステムは誤って危険側出力を出す
ことがなくフェールセーフ性をもたせることができる。
特に危険側出力を交番信号,安全側出力をそれ以外の信
号で表現することによりフェールセーフ性を著しく高め
ることができる。システムが正しい出力を選び出すこと
ができるかどうかは最終出力回路の動作にかかってお
り、この最終出力回路の信頼度がシステム全体の信頼度
を左右する。従ってシステムの信頼性を向上させるため
には、この最終出力回路の信頼度を確保することが重要
である。
【0004】信頼性,安全性の拠り所である最終出力回
路の信頼度を確保するために最終出力回路にテストパタ
ーンを入力して正常動作を確認したり、最終出力回路を
フェールセーフな回路構成とする方法が従来から考えら
れている。
【0005】フェールセーフな論理積回路の構成として
は、入力としての交番信号がクロック端子に印加される
複数のD−フリップフロップ列により構成した論理積回
路は危険側故障が極めて小さいので広く用いられてい
る。
【0006】
【発明が解決しようとする課題】上記した従来技術の
内、最終出力回路にテストパターンを入力する方法は、
冗長化したモジュールが非同期に動作するシステムでは
容易に実施でき、最終出力回路の正常動作を確認するこ
とができる。しかし、冗長化したモジュールが同期して
動作するシステムでのこの方法の実現方法についてはさ
らに考慮が必要である。
【0007】冗長化したモジュールが同期して動作する
システムでは同期を維持するために、冗長化したモジュ
ールが同期して同一の動作をしなければならない。従っ
て冗長化したモジュールは常に同一の出力を最終出力回
路に出力することになる。冗長化したモジュールの出力
間に不一致が発生しても、多数決などの手法などにより
正常な出力を得るのが、最終出力回路の本来の機能であ
るため、冗長化したモジュールは常に同一の出力しか出
せないのでは最終出力回路の本来の機能についての十分
な検査ができない。
【0008】仮に、出力に関する命令実行部分だけモジ
ュールごとに異なる動作をさせ、他の命令実行部分は同
一の動作をさせようとしても、それに至る分岐命令の部
分で実行する命令ステップ数が異なってしまうため結果
としてモジュール間の同期を乱すことになる。また、冗
長化したモジュール内のバスの信号も比較する方式で
は、出力に関する命令実行部分が異なるので不一致とな
り正常に動作しない。
【0009】以上のような問題点を踏まえて、冗長化し
たモジュールが同期して動作するシステムにおいて、最
終出力回路を検査する手段を提供することを本発明の第
1の目的とする。
【0010】また冗長化したモジュールの出力を受け取
る最終出力回路として論理和回路を用いた従来技術では
論理和回路の故障さえ生じなければ、冗長化したモジュ
ール全てが危険側出力を出さない限りシステムは危険側
出力を出さないためシステムにフェールセーフ性を持た
せられる大変優れた方法である。しかし本従来技術はさ
らに高い信頼性,安全性を追及するためには処理結果で
ある出力に留まらず処理過程の正常性の保証についても
さらに考慮を加える必要がある。
【0011】そこで処理過程の正常性も保証するフェー
ルセーフシステムを提供することを本発明の第2の目的
とする。
【0012】さらに従来技術の内、入力としての交番信
号がクロック端子に印加される複数のD−フリップフロ
ップ列により構成した論理積回路は危険側故障が発生す
る確率が極めて小さいためフェールセーフANDと呼ば
れている。しかしこの回路にもフェールアウト故障モー
ド(危険側出力が出力される故障モード)は存在する。
フェールセーフANDを構成するD−フリップフロップ
列の内、最終段のD−フリップフロップのCLK端子入
力がQ出力端子に現れる故障モードが唯一のフェールア
ウト故障モードである。そこで、フェールアウト故障モ
ードをなくしてフェールセーフ性をより高める方式を提
供することを第3の目的とする。
【0013】
【課題を解決するための手段】上記第1の目的を達成す
るため本発明では、以下の手段を講じる。
【0014】(1-1)書き込んだデータが全てのモジュー
ルから出力されるレジスタと、対応するモジュールのみ
から出力され、他のモジュールでは無視されるレジスタ
をモジュールの出力インタフェース回路に持たせる。
【0015】また上記第2の目的を達成するために、以
下の手段を講じる。
【0016】(2-1)冗長化したモジュールの内部信号同
士を比較器で比較チェックする。
【0017】(2-2)比較器は、冗長化したモジュールの
内部信号同士が一致した場合には真を表わす信号を出力
し、一致しない場合には偽を表わす信号を出力する。
【0018】(2-3)冗長化したモジュールの出力信号
は、危険側出力を真を表わす信号で、安全側出力を偽を
真を表わす信号で表現する。
【0019】(2-4)比較器の出力と冗長化したモジュー
ルからの出力の論理積を出力とする。また上記第3の目
的を達成するために以下の手段を講じる。
【0020】(3-1)論理積回路を入力としての交番信号
がクロック端子に印加される複数のD−フリップフロッ
プ列により構成し、最終段のD−フリップフロップのク
ロック端子に印加される信号の周波数を論理積回路の後
段に接続される回路の最高動作周波数よりも高くする。
【0021】さらに上記第2,第3の目的を相乗的に達
成するために以下の手段を講じる。 (4-1)冗長化したモジュールの内部信号同士を比較器で
比較チェックする。
【0022】(4-2)比較器は、冗長化したモジュールの
内部信号同士が一致した場合には真を表わす信号として
交番出力を出力し、一致しない場合には偽を表わす信号
として交番しない信号を出力する。
【0023】(4-3)冗長化したモジュールの出力信号
は、危険側出力を真を表わす信号すなわち交番する信号
で、安全側出力を偽を真を表わす信号すなわち交番しな
い信号で表現する。
【0024】(4-4)論理積回路を入力としての交番信号
がクロック端子に印加される複数のD−フリップフロッ
プ列により構成し、比較器の出力を最終段のD−フリッ
プフロップのクロック端子に印加し、比較器の出力の周
波数を論理積回路の後段に接続される回路の最高動作周
波数よりも高くする。
【0025】以上述べた手段(1-1)によれば、通常動作
時には書き込んだデータが全てのモジュールから出力さ
れるレジスタにデータを書き込めば全ての冗長化したモ
ジュールから同一の出力が出される。万一モジュールの
中のいずれかが障害により正常な出力を出せない場合に
は最終出力回路が正常な出力を選び出して正常動作を継
続することができる。また、最終出力回路のテストのた
めには、対応するモジュールのみから出力され、他のモ
ジュールでは無視されるレジスタにデータを書き込め
ば、冗長化したモジュールの内特定のモジュールのみ他
とは異なる出力を出すことができるので、動作確認のた
めのテストパターンを最終出力回路に入力することがで
きる。
【0026】また、手段(2-1)〜(2-4)によれば、冗長
化したモジュールの全ての出力に危険側出力が現れて
も、出力を得るまでの途中経過を表わす冗長化したモジ
ュールの内部信号同士も一致しなければ、システムは危
険側出力を出さない。従って、出力を得るまでの計算過
程で冗長化したモジュールで相次いで誤りが発生し、危
険側出力を出した場合でも、計算過程での誤りによる不
一致により比較器の出力は偽となるため、危険側出力は
出ないことになる。従って、最終出力結果だけでなく処
理過程の正常性も保証することができる。
【0027】さらに、手段(3-1)によれば、D−フリッ
プフロップ列により構成された論理積回路で従来のフェ
ールアウト故障モードに相当する故障が発生しても、本
発明によれば故障により出力される信号の周波数が、論
理積回路の次段以降に接続される回路の最高動作周波数
より高いので、次段以降の回路が動作しないので危険側
出力が出されない。従ってフェールセーフAND回路の
フェールアウト故障モードをなくすことができる。
【0028】手段(4-1)〜(4-4)によれば、手段(2-1)
〜(2-4)と手段(3-1)の相乗効果が得られ、最終出力結
果だけでなく処理過程の正常性も保証することができる
上、フェールセーフAND回路のフェールアウト故障モ
ードをなくすことができる。
【0029】
【発明の実施の形態】実施例の説明に先だって、実施例
の構成を以下に示す。
【0030】1.第1の目的(最終出力回路を検査する
手段を提供すること)を達成するための実施例 2.第2の目的(処理過程の正常性も保証するフェール
セーフシステムを提供すること)を達成するための実施
例 3.第3の目的(フェールセーフANDのフェールアウ
ト故障モードをなくすこと)を達成するための実施例 4.第2,第3の目的を相乗効果により達成するための
実施例 以下図に従い本発明の各部の実施例について詳細な説明
を加える。
【0031】<1.第1の目的を達成するための実施例
>図1は本発明の出力インタフェースを備えた冗長シス
テムの構成である。冗長化したモジュール11〜1n
(n:モジュールの数)にはそれぞれ出力インタフェー
ス21〜2nを備え、出力31〜3nを出す。なお、本
発明は図に示すように冗長化したモジュール11〜1n
が同一のクロック2に従って同期して動作する冗長シス
テムを対象にしている。出力31〜3nは最終出力回路
4に入力される。万一冗長化したモジュール11〜1n
のいずれかが障害により正常な出力を出せない場合には
最終出力回路4が正常な出力を選び出して正常動作を継
続することができる。正常な出力を選び出す最終出力回
路4としては後述するように多数決回路41,AND回
路42、あるいは中間値選択回路43などがある。
【0032】図2はモジュール1i(i:モジュールの
番号)の出力インタフェース2iの実施例をアドレスイ
メージで示したものである。出力インタフェース2iに
はレジスタOUTall ,OUT1〜OUTnを備えてい
る。出力インタフェース2iでは、全てのモジュール1
1〜1nから出力が出されるレジスタOUTall または
モジュール1iのみから出力が出されるレジスタOUT
i にデータが書き込まれたときに、書き込まれたデータ
に対応する出力3iが出される。例えば図3に示すよう
に1番目のモジュール11の出力インタフェース21で
はレジスタOUTallまたはOUT1にデータが書き込まれ
た時のみ書き込まれたデータに対応する出力31が出さ
れる。
【0033】上記図1〜図3に示す実施例によれば、冗
長化したモジュール11〜1nに同一の命令を同期させ
て実行させながら、モジュールごとに異なる出力31〜
3nを得ることができ、動作確認のためのテストパター
ンを最終出力回路4に与えることができる。例えば、モ
ジュール11〜1nがレジスタOUTi にデータを書き
込んだ場合にはモジュール1iのみから書き込んだデー
タに相当する出力3iが出される。さらにモジュール1
1〜1nがレジスタOUT1〜OUTnにそれぞれ異な
るデータを書き込んだ場合にはモジュール11〜1nか
らそれぞれ異なる出力31〜3nが出される。なお正常
動作時にはモジュール11〜1nがレジスタOUTall
にデータを書き込み、モジュール11〜1nから書き込
んだデータに相当する出力31〜3nが出される。
【0034】図4,図5はモジュール1iの出力インタ
フェース2iの実施例をブロック図で示したものであ
る。アドレスデコーダはアドレスバス1i1の信号をデ
コードし、レジスタOUTallまたはレジスタOUTiに
相当するアドレスのときだけ論理和2i2に信号を出力
し論理和2i2の出力をHにする。またさらにR/W#
信号との論理積2i3をとり、レジスタOUTallまた
はレジスタOUTiに相当するアドレスで、write アク
セスの時のみラッチ信号2i4をHにする。ラッチ2i
5ではラッチ信号2i4に従ってデータバス1i2の信
号をラッチする。図4の実施例ではラッチ2i5でラッ
チしたデータをそのまま出力3iとしている。また図5
では更にデジタル/アナログ変換器2i6でアナログ化
して出力3iとしている。出力インタフェース2iが図
4の実施例に示すようにデジタル信号を出力するタイプ
の時には、最終出力回路4として後述する多数決回路4
1,AND回路42を使用すればよい。また出力インタ
フェース2iが図5の実施例に示すようにアナログ信号
を出力するタイプの時には、最終出力回路4として後述
する中間値選択回路43を使用すればよい。
【0035】図6は最終出力回路4として多数決回路4
1を用いた実施例である。3入力の多数決回路41の内
部構成を図7に、その正常動作時の真理値表を図8にそ
れぞれ示す。また例として多数決回路41を構成する論
理和411の出力が0固定故障(stuck-at-0故障)を起こ
した場合の真理値表を図9に示す。図9に示すように論
理和411の出力の0固定故障の場合に正常動作と異な
る入出力関係になるのはcase8 の入力パターンの時のみ
である。従ってこの故障を検出するためには冗長化した
モジュール11〜13がcase8 の入力パターンに相当す
る出力31〜33を出せばよい。図1〜図5の実施例に
示した本発明によれば、モジュール11〜13が個別に
任意の出力31〜33を出せるので、case8 に限らず全
てのパターンの出力31〜33を出すことができる。従
って本実施例によれば、例に挙げたような論理和411
の出力の0固定故障に限らず、多数決回路41のあらゆ
るモードの故障を検出することができる。
【0036】なお、本発明によらない場合には冗長化し
たモジュール11〜13が全て正常な場合、即ち図8に
示す真理値表のcase1,2の入力しか通常は得られないの
で、多数決回路41の故障を検出することができず、故
障が潜在することになる。このように故障が潜在する
と、冗長化したモジュール11〜13のいずれかが故障
した場合にその故障を救済できなくなる。例えば論理和
411の出力の0固定故障が発生しても、冗長化したモ
ジュール11〜13が全て正常な場合には正常な時と変
わらない出力を得ることができるが、モジュール13の
出力33だけが何らかの原因でHとなるべきところをL
となった場合に、多数決回路41の出力3もHとなるべ
きところをLとなり、正常動作ができなくなる。
【0037】図10は最終出力回路4としてAND回路
42を用いた実施例である。本実施例のように冗長化し
たモジュール11,12の出力31,32をAND回路
42に入力しその出力3を得れば、モジュール11,1
2の出力31,32が共にHの時のみ出力3がHとな
る。つまり、モジュール11,12の出力31,32の
いずれかがLならば出力3がLとなる。従って、L出力
を安全側の出力とすればフェールセーフなシステムを実
現することができる。
【0038】AND回路42の正常動作時の真理値表を
図11に、出力32がそのまま出力3として出てしまう
故障時の真理値表を図12に示す。これはAND回路4
2内部の配線の短絡によって引き起こされる故障モード
である。この故障の場合も、case3,4の入力パターンの
時のみ故障を検出することができる。従ってこの故障を
検出するためには冗長化したモジュール11,12がca
se3,4の入力パターンに相当する出力31,32を出せ
ばよい。図1〜図5の実施例に示した本発明によれば、
モジュール11,12が個別に任意の出力31,32を
出せるので、case3,4に限らず全てのパターンの出力3
1,32を出すことができる。従って本実施例によれ
ば、例に挙げたような出力32がそのまま出力3として
出てしまう故障に限らず、AND回路42のあらゆるモ
ードの故障を検出することができる。
【0039】さらに図13に示すようにAND回路42
にフリップフロップから構成される回路を用いればフェ
ールセーフにすることができる。この回路は図14に示
すように出力31,32両方に交番信号が現れたときの
み出力3に交番信号を出す。つまり、交番信号を真、そ
れ以外の信号を偽とすれば論理積(AND)と同じ動作
をすることがわかる。しかもこの回路自体の故障により
誤って交番信号を出力する可能性が極めて低いのでフェ
ールセーフANDと呼ばれている。
【0040】図15は最終出力回路4として中間値選択
回路43を用いた実施例である。中間値選択回路43は
入力されたアナログ値の内の中間の値を選択して出力す
る回路である。モジュール11〜1nが全て正常な場合
には理論上は出力31〜3nは同じ値が出力されるた
め、中間値選択回路43の「入力されたアナログ値の内
の中間の値を選択して出力する」機能を確認することが
できない。実際には出力31〜3nにはデジタル値は同
一であってもデジタル/アナログ変換器の変換誤差だけ
のバラツキが生じ、中間値選択回路43はこのバラツキ
のある値の中から中間の値を選択して出力する。従っ
て、一見するとこのバラツキを利用して中間値選択回路
43の「入力されたアナログ値の内の中間の値を選択し
て出力する」機能を確認することができるように見え
る。しかし、このバラツキは出力3をフィードバックし
て確認するためのアナログ/デジタル変換器の量子化誤
差のために弁別が困難である。従って本発明により出力
31〜3nの内任意の出力を異なる値とすることにより
中間値選択回路43の機能を確認することができる。
【0041】図16は本発明が提供する冗長システムの
出力3を遮断する遮断スイッチ5を設けた実施例であ
る。本実施例では本発明が提供する方法により最終出力
回路4の異常を検出した場合には遮断スイッチ6を開放
することにより出力を停止して、誤った出力を抑止する
ことができる。
【0042】<2.第2の目的を達成するための実施例
>また図10の実施例によれば、モジュール11,12
を同期させて同一の動作をさせることができるので、図
17に示すようにモジュール11,12のデータバス1
11,121,アドレスバス112,122,コントロ
ールバス113,123同士を比較器5で比較チェック
することにより、故障や障害による誤動作を早期に検出
し、対応することができる。またこの場合、比較器5と
して発明者らが既に出願している特願平6−27664号のよ
うなセルフチェッキング比較器を用いれば比較器自体の
故障による検出漏れがなくなるので、誤り検出率が向上
する。更に、発明者らが既に出願している特願平6−313
492 号のようにモジュール11,12を同期させ、かつ
動作タイミングを半クロックずらして動作させればモジ
ュール11,12で同一の誤りが発生する確率が小さく
なるので、誤り検出率がさらに向上する。なお、図15
に示すモジュール11〜1n内部のバス信号の比較チェ
ックは図10に限らず図1〜図9に示す各実施例に同様
にして適用できる。
【0043】さらに図17の実施例を発展させて、モジ
ュール11,12の出力31,32に加えて比較器5の
出力33をAND回路42に入力した実施例を図18に
示す。本実施例によればモジュール11,12のデータ
バス111,121,アドレスバス112,122,コ
ントロールバス113,123が一致し、かつモジュー
ル11,12の出力31,32が現れた時のみAND回
路42は出力3を出す。つまり、モジュール11,12
の出力31,32だけでなく、出力に致るまでの処理の
途中結果が一致した時のみ出力3を出すことになる。本
実施例により出力の比較照合が多段になるためにより安
全性,フェールセーフ性が増すとともに、処理途中での
不一致が検出できるため誤りの早期検出が可能となる。
【0044】またAND回路42を図19に示すように
フリップフロップから構成される回路を用いればAND
回路自体をフェールセーフにすることができる。
【0045】<3.第3の目的を達成するための実施例
>図20はフェールセーフAND回路のフェールアウト
故障モードをなくす実施例である。本実施例ではフェー
ルセーフAND回路を構成するフリップフロップの内最
終段のFF1のクロック入力に、フェールセーフAND
回路の後段の回路7の最高動作周波数fcよりも高い周
波数f3の信号を印加している。
【0046】この回路は図21に示すように、正常時に
はf1,f2,f3の全てに交番信号が入力されたとき
のみ出力3に交番信号を出力する回路で、この動作は普
通のフェールセーフAND回路と同一である。
【0047】フェールセーフANDの唯一のフェールア
ウト故障モードは、フリップフロップのクロック入力が
そのままQ出力に現れてしまう故障モードである。この
ようなモードの故障が最終段のフリップフロップで発生
した場合には、最終段のフリップフロップに交番信号が
入力されれば図22に示すように他の入力には関係なく
交番信号が出力3より出力されてしまう。この時、出力
3の周波数はf3となり、フェールセーフAND回路の
後段の回路7の最高動作周波数fcよりも高くなる。従
って図23に示すように、回路7は最高動作周波数fc
よりも高い周波数では動作できないため回路7の出力端
子30には出力が現れない。従って、最終段のフリップ
フロップでクロック入力がそのままQ出力に現れてしま
う故障が発生しても、誤って危険側出力が出力されるこ
とがないのでフェールセーフ性を持たせることができ
る。
【0048】図24はフェールセーフAND回路を構成
するフリップフロップのCLK入力がQ出力より出てし
まう故障がそれぞれのフリップフロップで発生した場合
に観測される出力3と出力3を停止させるための対策を
まとめたものである。図24よりわかるように出力3を
モニタすることにより故障を検出することができる。さ
らに本発明が提供する図10に示す実施例によれば、効
果的にテストパターンを注入できるので故障の潜在を防
止することができる。一方故障時に出力3を停止させる
ための対策はFF1,FF2,FF3と後段になるに従
って減ってくる。特に最終段のFF3では本実施例の他
にはf3入力を停止するほかは故障時に出力3を停止さ
せるための手段がない。つまり本実施例がなければ、万
一FF3の他に何らかの原因でf3が連続して出力され
てしまう故障が発生した場合には、出力3は連続して出
力されてしまう。従って、FF3とf3を生成する回路
の故障、つまり2重故障によりシステムは危険側出力を
出しフェールアウトとなる。これに対してFF1,FF
2はそれぞれ4重故障,3重故障が発生して初めてフェ
ールアウトとなる。フェールアウトが人命に関わるよう
な用途に用いられるシステムでは、安全のために多重故
障が発生してもフェールアウトとならないように考慮す
る必要がある。そこで本実施例によれば、従来2重故障
によりフェールアウトとなってしまっていたところを、
出力を停止してフェールアウトとなることを防止するこ
とができる。
【0049】図25はさらにフェールセーフAND回路
の全てのフリップフロップのクロック入力がQ出力より
出てしまうモードの故障の影響を防止する実施例であ
る。本実施例ではフリップフロップのクロック端子に入
力されるフェールセーフAND回路の入力周波数f1,
f2,f3の全てをフェールセーフAND回路の後段の
回路7の最高動作周波数fcよりも高くしている。本実
施例によれば、フェールセーフAND回路を構成するフ
リップフロップのうちどのフリップフロップでクロック
入力がQ出力より出てしまうモードの故障が発生した場
合でも、出力3の出力は後段の回路7の最高動作周波数
fcよりも周波数が高いため回路7は動作せずに出力3
0に信号が現れない。従って本実施例によればフェール
セーフAND回路の全てのフリップフロップのクロック入
力がQ出力より出てしまうモードの故障の影響を防止す
ることができることがわかる。
【0050】ただし、入力周波数f1,f2,f3の全
てが回路7の最高動作周波数fcよりもはるかに高い場
合には、フェールセーフAND回路で故障が発生してい
ない正常時の出力も最高動作周波数fcよりも高い周波
数となってしまう。そこで、例えばf1,f2をfc<
f1<2fc,fc<f2<2fcとなるように選定す
れば、図21に示すようにf1/2,f2/2オーダー
の出力が得られるため、図26に示すように正常時の出
力3は回路7の最高動作周波数fcより低く、異常時の
出力3は回路7の最高動作周波数fcより高くなる。従
って、本実施例によればフェールセーフAND回路の全
てのフリップフロップのクロック入力がQ出力より出て
しまうモードの故障の影響を防止することができる。
【0051】以上述べたように、図25の実施例によれ
ばフェールセーフAND回路の後段の回路7が急峻な高
域での減衰特性を有していればフェールセーフAND回
路の全てのフリップフロップのクロック入力がQ出力よ
り出てしまうモードの故障の影響を防止することができ
る。一方図20の実施例では最終段のフリップフロップ
のクロック入力がQ出力より出てしまうモードの故障の
影響を防止するのに留まるが、フェールセーフAND回
路の後段の回路7には急峻な高域での減衰特性は要求さ
れず、通常の回路の周波数特性で実現できるので特にフ
ィルターを付加することは不要である。
【0052】図20〜図26に示す実施例を実現する際
には回路7の最高動作周波数fcより高い周波数の信号
が必要となる。この信号の生成方法としては、以下の通
り考えられる。
【0053】(1) 冗長化した各モジュールの生存通知信
号 (2) クロック信号 (3) 特開平7−234801 号によるセルフチェッキング比較
器 これらの方式の内、(3)による実施例について以下説明
する。
【0054】なお、図20〜図26の実施例では簡単の
ために3入力のフェールセーフAND回路について説明し
たが、一般にN3入力のフェールセーフAND回路につ
いても同様に実現が可能であることはいうまでもない。
【0055】<4.第2,第3の目的を相乗効果により
達成するための実施例>図27に本発明の第2の目的で
ある処理過程の正常性も保証するフェールセーフシステ
ムを提供することと、本発明の第3の目的であるフェー
ルセーフANDのフェールアウト故障モードをなくすこ
とを相乗効果により達成するための実施例を示す。本実
施例の構成は基本的には図18の構成に示す構成と同じ
である。図27の実施例では、通常の比較器の代わりに
セルフチェッキング比較器5′を、通常のAND回路の
代わりに図28に示すようにフリップフロップから構成
され、セルフチェッキング比較器5′からの出力33を
入力するフリップフロップ(FF3)を最終段としたフ
ェールセーフAND回路を用い、さらにフェールセーフ
AND回路の出力は出力駆動回路71を経て出力30と
なっている。
【0056】この構成は出力31,32,33の全てに
交番信号が現れたときのみ出力3に交番信号を出すため
フェールセーフな構成となっている。
【0057】なお、この構成を実現するためには、セル
フチェッキング比較器5′もモジュール11,12のデ
ータバス111,121,アドレスバス112,12
2,コントロールバス113,123が一致していると
きには出力33として交番信号を出力するものでなけれ
ばならない。先に述べたように発明者らが既に出願して
いる特願平6−27664号のようなセルフチェッキング比較
器は、比較対象の信号が一致し、かつ比較器自身が正常
なときにのみ出力33として交番信号を出力するのでこ
の条件に合致している。
【0058】ここで、フェールセーフAND回路の入出
力の正常時の周波数関係を考えて見る。セルフチェッキ
ング比較器5′の出力33はバスサイクルごとに反転す
るのでバスサイクルと同じ周波数(通常数MHz〜数百MHz
程度)となる。一方、モジュール11,12の出力3
1,32はソフトウェアによる出力インタフェース21
〜2nへのアクセスによって反転させるのでセルフチェ
ッキング比較器5の出力33と比べるとはるかに低い周
波数(通常数百Hz〜数kHz 程度)となる。また、フェー
ルセーフANDの出力はセルフチェッキング比較器5の
出力33,モジュール11,12の出力31,32の全
ての信号の立上りが一巡して反転するので、モジュール
11,14の出力31,32の1/2の周波数となる。
なお、図29のようにフェールセーフAND回路の出力
が接続されている出力駆動回路7の最高動作周波数fc
は電力用素子で構成した場合は通常100Hz程度から数
kHz 程度である。
【0059】続いて、先に述べたモードの故障が発生し
た場合を考えて見る。この場合フェールセーフANDの
出力3にはセルフチェッキング比較器5の出力33がそ
のまま現れる。従ってフェールセーフANDの出力3は
図29に示すように出力駆動回路71の帯域を大きく逸
脱する。従ってフェールアウトモードの故障が発生して
も出力30に信号が現れないためにフェールセーフとな
る。
【0060】
【発明の効果】以上述べたように本発明によれば、最終
出力回路のテストを容易にして早期の故障発見が可能と
なる。さらにモジュールからの出力の照合に、モジュー
ル内部の信号線の比較チェックも加えることにより誤り
検出の早期化、誤り検出率向上が可能となる。またさら
にフェールセーフ回路のフェールアウトを防ぎ、システ
ムのフェールセーフ性,安全性を著しく向上させること
ができる。
【図面の簡単な説明】
【図1】本発明の基本的な実施例。
【図2】出力インタフェース2iの構成(レジスタイメ
ージ)。
【図3】出力インタフェース21の構成(レジスタイメ
ージ)。
【図4】出力インタフェース2iの構成。
【図5】出力インタフェース2iの構成(アナログ出
力)。
【図6】多数決回路を使用した実施例。
【図7】多数決回路の構成。
【図8】多数決回路の入出力真理値表(正常時)。
【図9】多数決回路の入出力真理値表(故障時)。
【図10】AND回路を使用した実施例。
【図11】AND回路の入出力真理値表(正常時)。
【図12】AND回路の入出力真理値表(故障時)。
【図13】フェールセーフAND回路を使用した実施
例。
【図14】フェールセーフAND回路の動作(正常
時)。
【図15】中間値選択回路を使用した実施例。
【図16】遮断スイッチ6を設けた実施例。
【図17】バスを比較する実施例。
【図18】比較器の出力をAND回路に入力した実施
例。
【図19】フェールセーフAND回路を使用した実施
例。
【図20】フェールセーフAND回路のフェールアウト
故障を考慮した実施例。
【図21】フェールセーフAND回路の動作(正常
時)。
【図22】フェールセーフAND回路の動作(故障
時)。
【図23】フェールセーフAND回路入出力信号の周波
数関係。
【図24】故障個所とその対策。
【図25】フェールセーフAND回路のフェールアウト
故障を考慮した実施例。
【図26】フェールセーフAND回路入出力信号の周波
数関係。
【図27】バスを比較し、かつフェールセーフAND回
路のフェールアウト故障を考慮した実施例。
【図28】フェールセーフAND回路への信号接続。
【図29】フェールセーフAND回路入出力信号の周波
数関係。
【符号の説明】
3…出力、4…最終出力回路、5…比較器、6…遮断ス
イッチ、11〜1n…モジュール、21〜2n…出力イ
ンタフェース、31〜3n…(モジュール11〜1n
の)出力、41…多数決回路、42…AND回路、43
…中間値選択回路。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 糟谷 直大 茨城県ひたちなか市市毛1070番地 株式会 社日立製作所水戸工場内

Claims (20)

    【特許請求の範囲】
  1. 【請求項1】同一の命令を同期して実行し、最終出力回
    路に出力を出す複数のモジュールが有する出力インタフ
    ェース回路において、 全てのモジュールから同一の出力を出す手段と特定のモ
    ジュールからのみ出力を出す手段とを備えていることを
    特徴とする出力インタフェース回路。
  2. 【請求項2】請求項2記載の出力インタフェース回路に
    おいて、 前記全てのモジュールから同一の出力を出す手段と前記
    特定のモジュールからのみ出力を出す手段がそれぞれ異
    なるアドレスのレジスタを有することを特徴とする出力
    インタフェース回路。
  3. 【請求項3】同一の命令を同期して実行する複数のモジ
    ュール及び、該モジュールからの出力を受けて出力を生
    成する最終出力回路からなる冗長システムにおいて、 全てのモジュールから同一の出力を出す手段と特定のモ
    ジュールからのみ出力を出す手段とを備えていることを
    特徴とする冗長システム。
  4. 【請求項4】同一の命令を同期して実行する複数のモジ
    ュール及び、該モジュールからの出力を受けて出力を生
    成する最終出力回路からなる冗長システムにおいて、 それぞれのモジュールの出力インタフェース回路が、全
    てのモジュールについて出力を出す手段と、特定のモジ
    ュールについてのみ出力を出す手段とを備えていること
    を特徴とする冗長システム。
  5. 【請求項5】請求項3記載の冗長システムにおいて、 前記全てのモジュールから同一の出力を出す手段と前記
    特定のモジュールからのみ出力を出す手段がそれぞれ異
    なるアドレスのレジスタを有することを特徴とする冗長
    システム。
  6. 【請求項6】請求項4記載の冗長システムにおいて、 前記全てのモジュールについて同一の出力を出す手段と
    前記特定のモジュールについてのみ出力を出す手段がそ
    れぞれ異なるアドレスのレジスタを有することを特徴と
    する冗長システム。
  7. 【請求項7】請求項3または請求項4記載の冗長システ
    ムにおいて、 前記最終出力回路が多数決回路であることを特徴とする
    冗長システム。
  8. 【請求項8】請求項3または請求項4記載の冗長システ
    ムにおいて、 前記最終出力回路が論理積回路であることを特徴とする
    冗長システム。
  9. 【請求項9】請求項3または請求項4記載の冗長システ
    ムにおいて、 前記最終出力回路が交番論理の論理積回路、即ち全ての
    入力に交番信号が入力されたときのみ交番信号が出力さ
    れる論理回路であることを特徴とする冗長システム。
  10. 【請求項10】請求項3または請求項4記載の冗長シス
    テムにおいて、 前記最終出力回路が中間値回路であることを特徴とする
    冗長システム。
  11. 【請求項11】請求項3または請求項4記載の冗長シス
    テムにおいて、 前記複数のモジュール内の内部信号同士を比較し、誤り
    を検出することを特徴とする冗長システム。
  12. 【請求項12】請求項11記載の冗長システムにおい
    て、 前記内部信号が前記複数のモジュール内のプロセッサか
    ら出力されるアドレスバス,データバス、またはコント
    ロールバスの信号であることを特徴とする冗長システ
    ム。
  13. 【請求項13】同一の命令を同期して実行する複数のモ
    ジュールからなる冗長システムにおいて、 前記複数のモジュール内の内部信号同士を比較し、前記
    複数のモジュール内の内部信号同士が一致したときには
    真の値を、一致していないときには偽の値を出力する比
    較器の出力信号と、 前記複数のモジュールからの出力とを論理積回路に入力
    し、 該論理積回路の出力をシステムの出力とすることを特徴
    とする冗長システム。
  14. 【請求項14】請求項13記載の冗長システムにおい
    て、 前記内部信号が前記複数のモジュール内のプロセッサか
    ら出力されるアドレスバス,データバス、またはコント
    ロールバスの信号であることを特徴とする冗長システ
    ム。
  15. 【請求項15】請求項13記載の冗長システムにおい
    て、 前記比較器が交番信号を真の値として出力し、 前記論理積回路が交番論理の論理積回路、即ち全ての入
    力に交番信号が入力されたときのみ交番信号が出力され
    る論理回路であることを特徴とする冗長システム。
  16. 【請求項16】請求項15記載の冗長システムにおい
    て、 前記論理積回路が複数のD−フリップフロップ列から構
    成され、 該D−フリップフロップのQ出力端子またはQの反転出
    力端子が次段のD−フリップフロップのD入力端子に接
    続され、 最終段のD−フリップフロップのQ出力端子またはQの
    反転出力端子を前記論理積回路とし、 前記最終段のD−フリップフロップのQ出力端子または
    Qの反転出力端子が初段のD−フリップフロップのD入
    力端子に接続され、 前記論理積回路への入力がそれぞれ該D−フリップフロ
    ップのクロック入力端子に接続されていることを特徴と
    する冗長システム。
  17. 【請求項17】請求項16記載の冗長システムにおい
    て、 前記論理積回路を構成する最終段のD−フリップフロッ
    プのクロック入力端子に前記比較器からの出力を接続
    し、 前記論理積回路の後段に接続される回路の最高動作周波
    数よりも前記比較器からの交番信号の周波数が高いこと
    を特徴とする冗長システム。
  18. 【請求項18】複数のモジュールからなる冗長システム
    において、 前記複数のモジュールからの出力とを論理積回路に入力
    し、 該論理積回路の出力をシステムの出力とし、 該論理積回路が複数のD−フリップフロップ列から構成
    され、 該D−フリップフロップのQ出力端子またはQの反転出
    力端子が次段のD−フリップフロップのD入力端子に接
    続され、 最終段のD−フリップフロップのQ出力端子またはQの
    反転出力端子を前記論理積回路とし、 前記最終段のD−フリップフロップのQ出力端子または
    Qの反転出力端子が初段のD−フリップフロップのD入
    力端子に接続され、 前記論理積回路への入力がそれぞれ該D−フリップフロ
    ップのクロック入力端子に接続され、 該論理積回路の出力をシステムの出力とし、 該論理積回路の後段に接続される回路の最高動作周波数
    よりも高い周波数の交番信号が該論理積回路の最終段の
    D−フリップフロップのクロック入力端子に入力される
    ことを特徴とする冗長システム。
  19. 【請求項19】複数のモジュールからなる冗長システム
    において、 前記複数のモジュールからの出力とを論理積回路に入力
    し、 該論理積回路の出力をシステムの出力とし、 該論理積回路が複数のD−フリップフロップ列から構成
    され、 該D−フリップフロップのQ出力端子またはQの反転出
    力端子が次段のD−フリップフロップのD入力端子に接
    続され、 最終段のD−フリップフロップのQ出力端子またはQの
    反転出力端子を前記論理積回路とし、 前記最終段のD−フリップフロップのQ出力端子または
    Qの反転出力端子が初段のD−フリップフロップのD入
    力端子に接続され、 前記論理積回路への入力がそれぞれ該D−フリップフロ
    ップのクロック入力端子に接続され、 該論理積回路の出力をシステムの出力とし、 該論理積回路の後段に接続される回路の最高動作周波数
    よりも高い周波数の交番信号が該論理積回路を構成する
    各D−フリップフロップのクロック入力端子に入力され
    ることを特徴とする冗長システム。
  20. 【請求項20】請求項19記載の冗長システムであっ
    て、 前記論理積回路を構成する各D−フリップフロップのク
    ロック入力端子に入力される交番信号のうち、最終段以
    外のD−フリップフロップのクロック入力端子に入力さ
    れる交番信号の周波数が、前記論理積回路の後段に接続
    される回路の最高動作周波数の2倍よりも低いことを特
    徴とする冗長システム。
JP28639096A 1996-10-29 1996-10-29 冗長システム Expired - Lifetime JP3438490B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP28639096A JP3438490B2 (ja) 1996-10-29 1996-10-29 冗長システム
EP19970118646 EP0840225B1 (en) 1996-10-29 1997-10-27 Redundant information processing system
DE1997637573 DE69737573T2 (de) 1996-10-29 1997-10-27 Redundantes Datenverarbeitungssystem
DE1997618129 DE69718129T2 (de) 1996-10-29 1997-10-27 Redundantes Datenverarbeitungssystem
EP02014725A EP1291740B1 (en) 1996-10-29 1997-10-27 Redundant information processing system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP28639096A JP3438490B2 (ja) 1996-10-29 1996-10-29 冗長システム

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2002244514A Division JP3733938B2 (ja) 2002-08-26 2002-08-26 冗長システム

Publications (2)

Publication Number Publication Date
JPH10133900A true JPH10133900A (ja) 1998-05-22
JP3438490B2 JP3438490B2 (ja) 2003-08-18

Family

ID=17703786

Family Applications (1)

Application Number Title Priority Date Filing Date
JP28639096A Expired - Lifetime JP3438490B2 (ja) 1996-10-29 1996-10-29 冗長システム

Country Status (1)

Country Link
JP (1) JP3438490B2 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008104500A (ja) * 2006-10-23 2008-05-08 Toshiba Corp 蓋スイッチの開閉検出装置
US7598761B2 (en) 2006-09-07 2009-10-06 Kabushiki Kaisha Toshiba Semiconductor integrated circuit having a degradation notice signal generation circuit
DE102009052188A1 (de) 2008-11-12 2010-05-20 Nec Electronics Corp., Kawasaki Fehlerbeseitigungssystem, Fehlerbeseitigungsverfahren, Fehlerbeseitigungssteuerverfahren und Fehlerbeseitigungssteuerprogramm
JP2011028685A (ja) * 2009-07-29 2011-02-10 Nippon Signal Co Ltd:The 二重化データ処理回路
WO2022224897A1 (ja) * 2021-04-20 2022-10-27 株式会社日立製作所 デジタル出力装置およびデジタル出力の生成方法

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070260939A1 (en) * 2006-04-21 2007-11-08 Honeywell International Inc. Error filtering in fault tolerant computing systems

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7598761B2 (en) 2006-09-07 2009-10-06 Kabushiki Kaisha Toshiba Semiconductor integrated circuit having a degradation notice signal generation circuit
JP2008104500A (ja) * 2006-10-23 2008-05-08 Toshiba Corp 蓋スイッチの開閉検出装置
DE102009052188A1 (de) 2008-11-12 2010-05-20 Nec Electronics Corp., Kawasaki Fehlerbeseitigungssystem, Fehlerbeseitigungsverfahren, Fehlerbeseitigungssteuerverfahren und Fehlerbeseitigungssteuerprogramm
JP2011028685A (ja) * 2009-07-29 2011-02-10 Nippon Signal Co Ltd:The 二重化データ処理回路
WO2022224897A1 (ja) * 2021-04-20 2022-10-27 株式会社日立製作所 デジタル出力装置およびデジタル出力の生成方法

Also Published As

Publication number Publication date
JP3438490B2 (ja) 2003-08-18

Similar Documents

Publication Publication Date Title
US5086429A (en) Fault-tolerant digital computing system with reduced memory redundancy
JP3002201B2 (ja) クロス接続形検査回路及びそのための集積回路
JPH02502315A (ja) ディジタルロジック同期モニター方法および装置
JPH02110388A (ja) 集積回路モジュール
JP2015018414A (ja) マイクロコンピュータ
JP3438490B2 (ja) 冗長システム
JP3733938B2 (ja) 冗長システム
EP0151694B1 (en) Logic circuit with built-in self-test function
EP0840225A2 (en) Redundant information processing system
JP6635602B2 (ja) 故障検出回路
US8516336B2 (en) Latch arrangement for an electronic digital system, method, data processing program, and computer program product for implementing a latch arrangement
JP6588068B2 (ja) マイクロコンピュータ
JPH09127203A (ja) 論理集積回路の故障テスト方法及び論理集積回路
JP3267035B2 (ja) シーケンサ診断装置
JP2002108638A (ja) マイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステム
JPH09204317A (ja) 誤り検出訂正回路の診断装置
JP2000304823A (ja) 集積回路および集積回路の故障検出方式
Carter Reliability techniques applicable to message processors
JP2010073285A (ja) 情報処理装置
KR20010011214A (ko) 삼중 중복형 모듈러 장치
JP2536603B2 (ja) Plaの故障検出方式
JPH0454643A (ja) パリティ生成およびチェック回路
JPS5816487B2 (ja) コンピユ−タシステムにおける多重選択検出装置
JPS6160141A (ja) スキヤンインデ−タ異常検出方式
JPH07182200A (ja) 一致回路の診断方式と診断システム

Legal Events

Date Code Title Description
FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080613

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080613

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090613

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100613

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100613

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110613

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110613

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120613

Year of fee payment: 9

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120613

Year of fee payment: 9

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130613

Year of fee payment: 10

EXPY Cancellation because of completion of term