DE69737573T2 - Redundantes Datenverarbeitungssystem - Google Patents

Redundantes Datenverarbeitungssystem Download PDF

Info

Publication number
DE69737573T2
DE69737573T2 DE1997637573 DE69737573T DE69737573T2 DE 69737573 T2 DE69737573 T2 DE 69737573T2 DE 1997637573 DE1997637573 DE 1997637573 DE 69737573 T DE69737573 T DE 69737573T DE 69737573 T2 DE69737573 T2 DE 69737573T2
Authority
DE
Germany
Prior art keywords
circuit
output
signal
switch
output signal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE1997637573
Other languages
English (en)
Other versions
DE69737573D1 (de
Inventor
Nobuyasu Kanekawa
Shinichiro Yamaguchi
Naoto Miyazaki
Naohiro Kasuya
Kazuhiko Kajigaya
Yoshihiro Miyazaki
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from JP28639096A external-priority patent/JP3438490B2/ja
Priority claimed from JP01365397A external-priority patent/JP3572844B2/ja
Priority claimed from JP1622897A external-priority patent/JPH10214534A/ja
Priority claimed from JP9066064A external-priority patent/JPH10261762A/ja
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Application granted granted Critical
Publication of DE69737573D1 publication Critical patent/DE69737573D1/de
Publication of DE69737573T2 publication Critical patent/DE69737573T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/004Error avoidance
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/181Eliminating the failing redundant component
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/183Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
    • G06F11/184Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/187Voting techniques
    • G06F11/188Voting techniques where exact match is not required

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Hardware Redundancy (AREA)

Description

  • HINTERGRUND DER ERFINDUNG
  • Die vorliegende Erfindung betrifft ein Informationsverarbeitungssystem hoher Zuverlässigkeit und Sicherheit und insbesondere eine Ausgabeschaltung, eine externe Schaltung und eine Mensch/Maschine-Schnittstellenschaltung des Informationsverarbeitungssystem.
  • STAND DER TECHNIK
  • Transporteinrichtungen, wie zum Beispiel Flugzeuge und Kraftfahrzeuge, müssen kompliziert gesteuert werden, um den (Kraft-)Wirkungsgrad und die Sicherheit und die Schnelligkeit zu verbessern. Für diese Transporteinrichtungen verwendete Steuerungen wechseln zu der Form von Elektronik. Um die Wirksamkeit und Sicherheit zu verbessern, wird von einem Informationsverarbeitungssystem sehr gewünscht, daß es die Zuverlässigkeit und Ausfallsicherheit sicherstellt (und beim Auftreten eines Fehlers kein Gefahren-Ausgabesignal liefert).
  • Um die Zuverlässigkeit eines Informationsverarbeitungssystems zu verbessern, wurde zunächst ein Verfahren des Integrierens redundanter konstituierender Elemente (Module) in das System weithin verwendet. Bei diesem Verfahren ist es wichtig, eine Endausgabeschaltung zur Auswahl eines normalen Ausgabesignals aus Ausgabesignalen redundanter Module zu verwenden. Eine Mehrheitsentscheidungsschaltung, eine Selektorschaltung und dergleichen wurden als die Endausgabeschaltung verwendet.
  • Im Fall der Verwendung einer logischen OR-Schaltung als Endausgabeschaltung gilt: wenn ein Gefahren-Ausgabesignal auf einen Wert gesetzt wird, der Wahr darstellt (im allgemeinen H in der binären Logik) und ein Sicherheits-Ausgabesignal auf einen Wert gesetzt wird, der Falsch darstellt (im allgemeinen L in der binären Logik), liefert ein System ein Gefahren-Ausgabesignal nur dann, wenn alle redundanten Module die Gefahren-Ausgabesignale liefern. Wenn also nicht gerade alle redundanten Module fälschlicherweise das Gefahren-Ausgabesignal liefern, liefert das System deshalb kein falsches Gefahren-Ausgabesignal und es kann Ausfallsicherheit gewährleistet werden. Wenn insbesondere das Gefahren-Ausgabesignal durch ein alternierendes Signal dargestellt wird und das Sicherheits-Ausgabesignal durch ein anderes Signal, kann die Ausfallsicherheit wesentlich verbessert werden.
  • Ob das System ein normales Ausgabesignal auswählen kann oder nicht, hängt von der Funktionsweise einer Endausgabeschaltung ab. Deshalb verändert die Zuverlässigkeit dieser Endausgabeschaltung die Zuverlässigkeit des gesamten Systems. Um die Zuverlässigkeit des Systems zu verbessern, ist es deshalb wichtig, die Zuverlässigkeit der Endausgabeschaltung sicherzustellen.
  • Um die Zuverlässigkeit der Endausgabeschaltung sicherzustellen, von der die Zuverlässigkeit und Sicherheit des Systems abhängt, wurde eine normale Funktionsweise der Endausgabeschaltung durch Eingeben eines Testmusters in die Schaltung geprüft oder die Endausgabeschaltung wurde ausfallsicher konfiguriert.
  • Eine ausfallsichere logische AND-Schaltung wird durch mehrere D-Flipflops konfiguriert, wobei in jeden Taktanschluß ein alternierendes Signal eingegeben wird. Diese logische AND-Schaltung weist eine wesentlich kleinere Anzahl von Gefahren-Ausfällen auf, so daß sie sehr viel verwendet wurde.
  • Von den oben beschriebenen herkömmlichen Techniken kann das Verfahren des Eingebens eines Testmusters in eine Endausgabeschaltung leicht durchgeführt werden, um die normale Funktionsweise der Schaltung zu prüfen, wenn das System synchron arbeitende redundante Module aufweist. Dieses Verfahren muß jedoch weitere Gesichtspunkte berücksichtigen, wenn das System synchron arbeitende redundante Module aufweist.
  • In einem System mit synchron arbeitenden redundanten Modulen müssen die redundanten Module synchron die gleiche Operation durchführen, um die Synchronisation aufrechtzuerhalten. Deshalb liefern die redundanten Module immer das gleiche Ausgabesignal an die Endausgabeschaltung. Die innere Funktion für die Endausgabeschaltung besteht darin, durch Mehrheitsentscheidung oder dergleichen ein normales Ausgabesignal auch dann auszuwählen, wenn Ausgabesignale der redundanten Module nicht zusammenfallen. Wenn die redundanten Module immer das gleiche Ausgabesignal liefern, kann dementsprechend die innere Funktion für die Endausgabeschaltung nicht ausreichend geprüft werden.
  • Auch wenn der Anweisungsausführungsteil nur für die Ausgabe in jedem Modul anders betrieben wird und der andere Anweisungsausführungsteil in allen Modulen auf die gleiche Weise betrieben wird, wird die Anzahl von Schritten einer für diesen Zweck verwendeten Verzweigungsanweisung unterschiedlich. Als Ergebnis wird die Synchronisation zwischen Modulen gestört. Wenn ein Verfahren des Vergleichens von Bussignalen redundanter Mo dule verwendet wird, ist der Anweisungsausführungsteil für die Ausgabe in jedem Modul verschieden, so daß Inkoinzidenz auftritt und ein normaler Betrieb unmöglich ist.
  • Zweitens ist es ein wesentlicher Faktor für eine hohe Zuverlässigkeit eines Systems, die Zuverlässigkeit einer Schnittstellenschaltung zum Eingeben von Informationen aus einem externen Gerät zu verbessern. Als solche Schnittstellenschaltung wird häufig ein Schalter oder ein Relais verwendet. Ein Kontaktwiderstand eines solchen Schalters oder Relais hängt von dem durch ihn fließenden Strom ab. Wenn der Strom klein ist, ist der Kontaktwiderstand groß. Wenn durch einen Abschlußwiderstand fließender Strom klein ist, nimmt deshalb der Kontaktwiderstand eines Eingabeschalters zu, was zu einem defekten Kontakt führen kann. In hohe Zuverlässigkeit erfordernden Anwendungsgebieten ist es notwendig, den durch einen Schalter fließenden Strom auf einen vorbestimmten Wert oder groß einzustellen, um keinen defekten Kontakt zu erhalten. Aus diesem Grund wird durch den Schalter fließender Strom zu einem Abschlußwiderstand geleitet.
  • Die oben beschriebenen herkömmlichen Techniken sind ausgezeichnet bei der Verhinderung, daß ein System eine Gefahren-Operation durchführt, die durch einen Ausfall des Typs Steckenbleiben auf 0 oder Steckenbleiben auf 1 verursacht werden kann, der der am häufigsten auftretende Ausfall einer Schnittstellenschaltung ist. Da jedoch ein Impulsgenerator oder dergleichen erforderlich ist, wird das System kompliziert und teuer. Außerdem steigt die Ausfallrate des Gesamtsystems und die Benutzbarkeit des Systems wird geringer.
  • Drittens ist es für eine hohe Zuverlässigkeit eines Systems außerdem ein wesentlicher Faktor, die Zuverlässigkeit einer Schnittstellenschaltung für das manuelle Eingeben von Informationen in das System zu verbessern. Als Einrichtung zum manuellen Eingeben von Informationen wird sehr oft ein nicht-rastender Schalter verwendet. Der nicht-rastende Schalter ist ein Schalter, der seinen offen/geschlossen-Status nur ändert, wenn er betätigt wird, d.h. ein Schalter ohne mechanischen Verriegelungsmechanismus und ein sogenannter Rastschalter.
  • Abhängig von einem Anwendungsgebiet eines Systems kann eine Fehlfunktion oder falsche Manipulation des Systems zu großen Schäden führen. In einem solchen Anwendungsgebiet ist es notwendig, eine ordnungsgemäße Gegenmaßnahme bereitzustellen, damit das System beim Auftreten einer falschen Manipulation eines nicht-rastenden Schalters oder einer Fehlfunktion einer Schnittstellenschaltung eines nicht-rastenden Schalters keine gefährliche Operation durchführt.
  • Um eine falsche Manipulation eines Eingabeschalters oder dergleichen zu verhindern, wurde ein Impulssignal verwendet, um den Sicherheitszustand anzuzeigen, wie in „Fault Tolerant Computing", Masao KOHDEN, Hrsg., MARUZEN Advanced Technology <Electronics, Information, Communications Edition> MARUZEN, (1989), S. 217, 8-13, beschrieben wird. Wenn ein Ausfall des Typs Hängenbleiben auf 0 oder Hängenbleiben auf 1 in der Schnittstellenschaltung auftritt, erhält man keine Impulsfolge und es wird somit geurteilt, daß sich das System in einem Gefahrenzustand befindet und es wird eine Sicherheits-Operation durchgeführt, um jede Gefahr zu vermeiden.
  • Die Stromaufnahme und Wärmeerzeugung eines Abschlußwiderstands einer herkömmlichen Eingabeschaltung müssen ebenfalls berücksichtigt werden. Eine Verringerung der Stromaufnahme und Wärmeerzeugung eines Abschlußwiderstands verringert außerdem eine physische Größe des Abschlußwiderstands und macht die Schaltung kompakt. Gemäß der herkömmlichen Technik läßt man jedoch einen Strom eines bestimmten Werts oder mehr durch einen Abschlußwiderstand fließen, um keinen defekten Kontakt zu erzeugen. Es besteht deshalb eine Grenze für die Verringerung der Stromaufnahme und Wärmeerzeugung des Abschlußwiderstands.
  • Von dem obigen abgesehen haben es Entwicklungen der Mikroelektroniktechnologie ermöglicht, integral eine hochintegrierte Logikschaltung, wie zum Beispiel einen Prozessor, und einen Speicher mit großer Kapazität, wie zum Beispiel einen ferroelektrischen Speicher, auf einem einzigen Siliziumchip auszubilden. Solche Halbleiterelemente werden als Mix-Mount-LSI bezeichnet und zum Beispiel in JP-A-7-295547 beschrieben. In dieser Schrift werden eine hohe Leistungsfähigkeit und Kompaktheit durch Integration logischer Mix-Mounting-Technologie realisiert. Da eine logische Mix-Mount-LSI durch Verwendung eines sehr feinen Entwurfmaßes hergestellt wird, können sich die Verdrahtungsmuster und Zellen in der LSI über die Zeit hinweg verschlechtern oder der Inhalt eines Flipflops kann durch externe Störungen, wie zum Beispiel externe Rauschsignale und α-Strahlung invertiert werden. Im Gegensatz zu einem SRAM weist ein auf einem Chip ausgebildete r DRAM während des Betriebs eine große Änderung des durch ihn fließenden Stroms auf und erzeugt einen großen Spitzenstrom. Dieser Spitzenstrom und das di/dt erzeugen Rauschsignale hoher Energiequellen. Dieser Spitzenstrom wird erzeugt, wenn eine Bitleitung verstärkt wird, so daß auch durch Kapazitätskopplung der Bitleitung und des Siliziumsubstrats Rauschsignale in dem Siliziumsubstrat erzeugt werden. Eine für DRAM wesentliche Auffrischoperation ist selbst eine Bitleitungsverstärkungsoperation, und deshalb werden wie bei einem Zugriffszyklus Rauschsignale erzeugt. Bei Verwendung von DRAM im Mix-Mount-Verfahren werden wie oben wahrscheinlich Rauschsignale erzeugt, obwohl eine große Speicherkapazität realisiert werden kann. Deshalb können Fehler in kalkulierten Daten auftreten und die Zuverlässigkeit der Daten wird herabgesetzt. Dies wird zu einem kritischen Problem, wenn eine logische Mix-Mount-LSI mit einem System verwendet wird, das hohe Zuverlässigkeit erfordert, wie zum Beispiel industrielle Geräte.
  • Ein allgemeiner Ansatz zur Lösung des obigen Problems besteht darin, durch Verwendung mehrerer logischer Mix-Mount-LSIs ein Mehrfachsystem zu konfigurieren.
  • Ein anderer verbesserter Ansatz besteht darin, Fehler kalkulierter Daten durch Vergleich von Ausgaben von zwei integrierten Prozessoren zu erkennen, wie in JP-A-2-244252 , JP-A-7-171581 , JP-A-7-234801 und JP-A-8-16421 offengelegt wird.
  • Bei dem Ansatz des Konfigurierens mehrerer logischer Mix-Mount-LSIs nehmen jedoch die Kosten eines Systems zu und das System wird unhandlich, wodurch die Vorteile der logischen Mix-Mount-LSI wesentlich herabgesetzt werden.
  • Bei dem Ansatz des Erkennens von Fehlern kalkulierter Daten durch Vergleich von Ausgaben zweier integrierter Prozessoren werden jedoch gleichzeitige Fehler, die durch gemeinsame Rauschsignale entstehen, die aus einer Stromquelle oder dergleichen eingeführt werden, und andere LSI-Herstellungsprobleme immer noch nicht berücksichtigt.
  • In "Fail-Safe Data Processing in Railway Signaling Systems", veröffentlicht in Siemens Forschungs- und Entwicklungsberichte, vol. 7, No. 6, 1978, Seiten 374 bis 377, XP000654287, beschreibt H.-J. Lohmann das Mikrocomputersystem SIMIS, das die Abschaltung verbundener Schaltkreise sicherstellt, wenn ein Fehler auftritt. Der vorliegende Anspruch 1 wurde im Hinblick auf diese Druckschrift in der zweiteiligen Form abgefaßt.
  • Ein weiteres Beispiel einer störungssicheren Steuerschaltung ist in US 4,745,542 offenbart.
  • KURZE DARSTELLUNG DER ERFINDUNG
  • Die Aufgabe der vorliegenden Erfindung ist, ein störungssicheres System zu schaffen, das die Normalität von Zwischenprozessen und das endgültige Ausgabeergebnis des Systems schneller und effizienter sicherstellt.
  • Die Aufgabe wird durch das System des beigefügten Anspruchs 1 gelöst. Die Unteransprüche betreffen bevorzugte Modifikationen.
  • Die vorliegende Erfindung liefert ein Informationsverarbeitungssystem hoher Zuverlässigkeit.
  • Ein erstes zum Verständnis der vorliegenden Erfindung nützliches Beispiel liefert eine Einrichtung zum Untersuchen einer Endausgabeschaltung eines Systems mit synchron arbeitenden redundanten Modulen.
  • Eine Datenausgabeschaltung enthält ein Register zum Ausgeben von Schreibdaten gemeinsam für alle Module und ein Register zum Ausgeben von Schreibdaten spezifisch nur für ein entsprechendes Modul, wobei andere Module vernachlässigt werden.
  • Wenn Daten zur Ausgabe von Schreibdaten gemeinsam für alle Module in das Register geschrieben werden, wird dann entsprechend beim normalen Betrieb von allen redundanten Modulen das gleiche Ausgabesignal geliefert. Wenn ein beliebiges der Module einen Ausfall aufweist und kein normales Ausgabesignal geliefert werden kann, wählt die Endausgabeschaltung das normale Ausgabesignal, um den normalen Betrieb fortzusetzen. Beim Prüfen der Endausgabeschaltung werden Daten in das Register geschrieben, um Schreibdaten spezifisch nur an ein entsprechendes Modul auszugeben und andere Module zu vernachlässigen. Es ist deshalb möglich, daß unter den redundanten Modulen nur das entsprechende Modul ein von anderen Modulen verschiedenes Ausgabesignal liefern kann, und es kann ein Testmuster der Funktionsprüfung in die Endausgabeschaltung eingegeben werden.
  • Bei einer herkömmlichen Technik, bei der eine logische OR-Schaltung als die Endausgabeschaltung verwendet wird, um Ausgabesignale von redundanten Modulen zu empfangen, liefert das System kein Gefahren-Ausgabesignal, wenn kein Ausfall der logischen OR-Schaltung auftritt und nicht alle redundanten Module ein Gefahren-Ausgabesignal liefern. Deshalb ist diese Technik ausgezeichnet für die Realisierung eines ausfallsicheren Systems. Bei dieser herkömmlichen Technik ist es jedoch notwendig, die Normalität von Zwischenprozessen weiter zu berücksichtigen und sich nicht nur auf den Endprozeß des Ablieferns eines Ausgabesignals zu beschränken.
  • Deshalb liefert eine Ausführungsform der vorliegenden Erfindung ein ausfallsicheres System, das Normalität von Zwischenprozessen sicherstellen kann.
  • Ein Komparator führt eine Vergleichsprüfung zwischen internen Signalen redundanter Module durch, und wenn Koinzidenz zwischen den internen Signalen der redundanten Module besteht, gibt er ein Signal aus, das Wahr darstellt, während er, wenn keine Koinzidenz besteht, ein Signal ausgibt, das Falsch darstellt. Ein Ausgangssignal jedes redundanten Moduls ist ein Signal eines Gefahren-Ausgabesignals, das Wahr darstellt, oder ein Signal eines Sicherheits-Ausgabesignals, das Falsch darstellt. Ein Endausgabesignal ist eine logische AND-Verknüpfung eines Ausgabesignals aus dem Komparator und der Ausgabesignale von den redundanten Modulen.
  • Auch wenn alle redundanten Module das Gefahren-Ausgabesignal liefern, liefert folglich das System das Gefahren-Ausgabesignal nur dann, wenn Koinzidenz zwischen internen Signalen der redundanten Module besteht, wobei die internen Signale Zwischenprozesse, bevor das Endausgabesignal erhalten wird, anzeigen. Auch wenn aufgrund von sukzessiven Fehlern in den redundanten Modulen während den Zwischenberechnungen vor der Gewinnung des Endausgabesignals ein Gefahren-Ausgabesignal geliefert wird, liefert deshalb das System nicht das Gefahren-Ausgabesignal, da das Ausgabesignal des Komparators durch Fehler während den Zwischenberechnungen falsifiziert wird. Es ist deshalb möglich, die Normalität von Zwischenprozessen sicherzustellen, ohne sich nur auf die Endausgabeergebnisse zu beschränken.
  • Eine aus mehreren D-Flipflops bestehende herkömmliche logische AND-Schaltung, wobei an jeden Taktanschluß ein alternierendes Signal angelegt wird, wird als ein ausfallsicheres AND bezeichnet, da es eine sehr kleine Wahrscheinlichkeit aufweist, einen Gefahren-Ausfall zu erzeugen. Diese AND-Schaltung ist jedoch auch einem Fail-Out-Ausfallmodus (Gefahrenmodus, der ein Gefahren-Ausgabesignal liefert) zugeordnet. Es gibt nur einen Ausfallmodus als diesen Fail-Out-Ausfallmodus, bei dem ein Taktanschlußeingabesignal des D-Flipflops der letzten Stufe von den das ausfallsichere AND bildenden D-Flipflops an einem Q-Ausgabeanschluß erscheint.
  • Ein zweites zum Verständnis der vorliegenden Erfindung nützliches Beispiel verbessert deshalb die Sicherheit durch Beseitigung eines Fail-Out-Ausfallmodus.
  • Eine logische AND-Schaltung besteht aus mehreren D-Flipflops, wobei an jeden Taktanschluß ein alternierendes Signal angelegt wird, und die Frequenz eines Signals, das an den Taktanschluß des D-Flipflops der letzten Stufe angelegt wird, höher als die höchste Betriebsfrequenz einer mit der Ausgangsseite der logischen AND-Schaltung verbundenen Schaltung eingestellt wird.
  • Auch wenn in der aus D-Flipflops bestehenden logischen AND-Schaltung ein Ausfall auftritt, der einem herkömmlichen Fail-Out-Ausfallmodus entspricht, wird das Gefahren-Ausgabesignal nicht geliefert, da die mit der Ausgangsseite der logischen AND-Schaltung verbundene Schaltung nicht in Bezug auf die Frequenz des beim Auftreten des Ausfalls ausgegebenen Signals arbeitet, da die Frequenz höher als die höchste Betriebsfrequenz der Schaltung ist. Es ist deshalb möglich, den Fail-Out-Ausfallmodus der ausfallsicheren AND-Schaltung zu beseitigen.
  • Gemäß einem bevorzugten Ausführungsbeispiel der Erfindung unter Verwendung synergistischer Effekte, ist das System wie im folgenden konfiguriert: Der Komparator führt eine Vergleichsprüfung zwischen internen Signalen redundanter Module durch.
  • Der Komparator gibt ein alternierendes Signal als ein Wahr darstellendes Signal aus, wenn Koinzidenz zwischen internen Signalen der redundanten Module besteht, und gibt ein nicht alternierendes Signal, das Falsch darstellt aus, wenn keine Koinzidenz besteht.
  • Ein Ausgangssignal jedes redundanten Moduls ist ein Signal eines Gefahren-Ausgabesignals, das durch Wahr dargestellt wird, d.h. ein alternierendes Signal, oder ein Signal eines Sicherheits-Ausgabesignals, das durch Falsch dargestellt wird, d.h. ein nicht alternierendes Signal.
  • Eine logische AND-Schaltung besteht aus mehreren D-Flipflops, wobei an jeden Taktanschluß ein alternierendes Signal angelegt wird, wobei ein Ausgabesignal des Komparators an den Taktanschluß des D-Flipflops der letzten Stufe angelegt wird und die Frequenz eines Ausgabesignals des Komparators höher eingestellt wird als die höchste Betriebsfrequenz einer mit der Ausgangsseite der logischen AND-Schaltung verbundenen Schaltung.
  • Folglich ist es möglich, die Normalität von Zwischenprozessen sicherzustellen, ohne sich nur auf das Endausgabeergebnis zu beschränken, und außerdem ist es möglich, den Fail-Out-Ausfallmodus einer ausfallsicheren AND-Schaltung zu beseitigen.
  • Ein drittes zum Verständnis der vorliegenden Erfindung nützliches Beispiel liefert ein Informationsverarbeitungssystem mit einer Schnittstellenschaltung zum Eingeben von Informationen aus einem externen Gerät, bei dem die Stromaufnahme und Wärmeerzeugung ei nes Abschlußwiderstands in einer Eingangsschaltung der Schnittstellenschaltung verringert werden kann.
  • Man erreicht dies durch Einfügen eines Schaltelements in Reihe mit einem Eingangsschalter und einem Abschlußwiderstand und Schließen des Schaltelements nur dann, wenn ein Eingabesignal abgetastet wird, und Öffnen des Elements während der anderen Periode.
  • Ein viertes zum Verständnis der vorliegenden Erfindung nützliches Beispiel liefert ein Informationsverarbeitungssystem mit einer Eingabeschnittstellenschaltung zum manuellen Eingeben von Informationen, bei dem eine einfache und sichere Schnittstelle mit einem nicht-rastenden Schalter bereitgestellt wird, um die Systemkosten zu verringern und die Benutzbarkeit des Systems zu verbessern.
  • Eine mit dem Schalter verbundene Schnittstelle erzeugt ein Ausgangssignal, nachdem sie den ersten Status eines losgelassenen Schalters, den zweiten Status eines gedrückten Schalters und den dritten Status eines losgelassenen Schalters auffindet.
  • Ein fünftes zum Verständnis der vorliegenden Erfindung nützliches Beispiel liefert eine LSI hoher Zuverlässigkeit, die durch logische Mix-Mount-Technologie gebildet wird, wobei sich die LSI für ein Informationsverarbeitungssystem eignet, das Zuverlässigkeit erfordert, wobei eine Funktion bereitgestellt wird, die sich zur Steuerung von Multilogik-Mix-Mount-Modulen in einem Chip eignet.
  • Eine Mikrosteuerung enthält zwei Speicher zum Speichern von Anweisungen und Daten, zwei Prozessoren zum Ausführen einer aus den Speichern gelesenen Anweisung und einen mit den Prozessoren verbundenen Buskomparator zum Vergleichen von Eingangs-/Ausgangssignalen zu und von den Prozessoren. Die Speicher, Prozessoren und der Buskomparator sind integral auf demselben Halbleitersubstrat ausgebildet.
  • Bei einer alternativen Form besitzt eine Mikrosteuerung Speicher zum Speichern von Anweisungen und Daten, mehrere Prozessoren zum Ausführen einer aus den Speichern gelesenen Anweisung und eine mit den Prozessoren verbundene Mehrheitsentscheidungsschaltung zum Auswählen eines der Ausgabesignale der Prozessoren durch Mehrheitsentscheidung. Die Speicher, Prozessoren und Mehrheitsentscheidungsschaltungen sind auf demselben Halbleitersubstrat integriert.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • 1 zeigt die Gesamtstruktur eines Informationsverarbeitungssystems gemäß der vorliegenden Erfindung.
  • 2 zeigt die Struktur einer verallgemeinerten Informationsverarbeitungseinheit.
  • 3 zeigt die Struktur (Registerabbild) einer Datenausgabeschaltung.
  • 4 zeigt die Struktur (Registerabbild) einer Datenausgabeschaltung.
  • 5 zeigt die Struktur einer Datenausgabeschaltung.
  • 6 zeigt die Struktur (Analog) einer Datenausgabeschaltung.
  • 7 zeigt die Struktur einer Endausgabeschaltung, die eine Mehrheitsentscheidungsschaltung verwendet.
  • 8 zeigt die Struktur einer Mehrheitsentscheidungsschaltung.
  • 9 zeigt eine Wahrheitstabelle (Normal) einer Mehrheitsentscheidungsschaltung.
  • 10 zeigt eine Wahrheitstabelle (Anormal) der Mehrheitsentscheidungsschaltung.
  • 11 zeigt die Struktur einer Endausgabeschaltung, die eine AND-Schaltung verwendet.
  • 12 zeigt eine Wahrheitstabelle (Normal) einer AND-Schaltung.
  • 13 zeigt eine Wahrheitstabelle (Anormal) der AND-Schaltung.
  • 14 zeigt die Struktur einer Endausgabeschaltung, die eine ausfallsichere AND-Schaltung verwendet.
  • 15 zeigt einen Betrieb (Normal) der ausfallsicheren AND-Schaltung.
  • 16 zeigt die Struktur einer Endausgabeschaltung, die eine Median-Selektorschaltung verwendet.
  • 17 zeigt die Struktur einer Endausgabeschaltung mit einem Unterbrecherschalter, der mit der Ausgangsseite der Schaltung verbunden ist.
  • 18 zeigt die Struktur einer Informationsverarbeitungseinheit, wobei zwischen den Modulen ein Komparator vorgesehen ist.
  • 19 zeigt die Struktur einer Informationsverarbeitungseinheit, wobei zwischen den Modulen ein Komparator vorgesehen ist.
  • 20 zeigt die Struktur einer AND-Schaltung.
  • 21 zeigt die Struktur einer ausfallsicheren AND-Schaltung.
  • 22 zeigt einen normalen Betrieb einer ausfallsicheren AND-Schaltung.
  • 23 zeigt einen anormalen Betrieb der ausfallsicheren AND-Schaltung.
  • 24 zeigt die Frequenzgangkurve einer Filterschaltung.
  • 25 zeigt eine Gegenmaßnahme für einen Ausfall einer ausfallsicheren AND-Schaltung.
  • 26 zeigt die Struktur einer ausfallsicheren AND-Schaltung.
  • 27 zeigt die Frequenzgangkurve einer Filterschaltung.
  • 28 zeigt die Struktur einer Informationsverarbeitungseinheit.
  • 29 zeigt die Struktur einer ausfallsicheren AND-Schaltung.
  • 30 zeigt die Frequenzgangkurve einer Ausgangstreiberschaltung.
  • 31 zeigt die Struktur einer Eingabeschnittstelleneinheit.
  • 32 zeigt die Struktur einer Eingabeschnittstelleneinheit.
  • 33 zeigt die Struktur einer Eingabeschnittstelleneinheit.
  • 34 zeigt die Struktur einer Eingabeschnittstelleneinheit.
  • 35 zeigt die Struktur einer Eingabeschnittstelleneinheit.
  • 36 ist ein Flußdiagramm der Funktionsweise einer Eingabeschnittstelleneinheit.
  • 37 ist ein Flußdiagramm der Funktionsweise einer Eingabeschnittstelleneinheit.
  • 38 ist ein Flußdiagramm der Funktionsweise einer Eingabeschnittstelleneinheit.
  • 39 ist ein Flußdiagramm der Funktionsweise einer Eingabeschnittstelleneinheit.
  • 40 ist ein Flußdiagramm der Funktionsweise einer Eingabeschnittstelleneinheit.
  • 41 zeigt die Funktionsweise einer Eingabeschnittstelleneinheit.
  • 42 zeigt die Funktionsweise einer Eingabeschnittstelleneinheit.
  • 43 zeigt die Beziehung zwischen Peripherieschaltungen und einer Eingabeschnittstelleneinheit.
  • 44 zeigt die Struktur einer Eingabeschnittstelle.
  • 45 zeigt die Struktur einer Eingabeschnittstelle.
  • 46 zeigt die Funktionsweise einer Benutzerschnittstelleneinheit.
  • 47 zeigt die Struktur einer Benutzerschnittstelleneinheit.
  • 48 zeigt den Statusübergang eines Schalters.
  • 49 zeigt den Ausfall eines Schalters.
  • 50 zeigt die Funktionsweise eines anderen Schalters.
  • 51 zeigt eine Gegenmaßnahme zur Unterdrückung des Prellens.
  • 52 zeigt den Statusübergang eines Schalters.
  • 53 zeigt die Funktionsweise eines Schalters mit einer Zeitgrenzenüberwachungsfunktion.
  • 54 zeigt den Statusübergang eines Schalters.
  • 55 zeigt die Funktionsweise eines Schalters mit einer Zeitgrenzenüberwachungsfunktion.
  • 56 zeigt den Statusübergang eines Schalters.
  • 57 zeigt die Struktur einer Benutzerschnittstelleneinheit.
  • 58 zeigt die Struktur einer Benutzerschnittstelleneinheit.
  • 59 zeigt die Struktur einer Benutzerschnittstelleneinheit.
  • 60 zeigt die Struktur einer Benutzerschnittstelleneinheit.
  • 61 zeigt die Funktionsweise eines Schalters.
  • 62 zeigt, wie ein Schalter benutzt wird.
  • 63 ist ein Flußdiagramm der Funktionsweise eines ausfallsicheren Systems.
  • 64 zeigt ein Layout eines Chips.
  • 65 ist eine Querschnittsansicht eines Chips.
  • 66 zeigt die interne Schaltung des Chips.
  • 67 zeigt die Struktur eines Buskomparators.
  • 68 zeigt das Layout eines Chips.
  • 69 zeigt die interne Schaltung des Chips.
  • AUSFÜHRLICHE BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSFORMEN
  • Es werden nun Ausführungsformen der Erfindung anhand der beigefügten Zeichnungen beschrieben.
  • 1 zeigt die Gesamtstruktur eines Informationsverarbeitungssystems gemäß der vorliegenden Erfindung. Dieses Informationsverarbeitungssystem besteht aus einer Eingabeschnittstelleneinheit (Eingabe-I/F) 170 zum Empfangen von Informationen von externen Geräten, einer Benutzerschnittstelleneinheit (Benutzer-I/F) 180, mit der ein Benutzer Informationen eingeben kann, und einer Informationsverarbeitungseinheit 110 zur Durchführung eines vorbestimmten Prozesses, wie zum Beispiel zum Verarbeiten von Steuerinformationen externer Geräte gemäß der Informationseingabe aus der Eingabeschnittstelleneinheit 170 durch externe Geräte.
  • Die Benutzerschnittstelleneinheit 180 besteht aus einer Fronteinheit 181 und einer Schalterinformationsverarbeitungseinheit 182. Die Fronteinheit 181 ist mit Schaltern ausgestattet, mit denen der Benutzer Informationen eingeben kann, und mit Lampen zum Anzeigen des Drückens jedes Schalters durch einen Benutzer. Die Schalterinformationseinheit 182 erkennt ein Drücken jedes Schalters und gibt notwendige Informationen aus.
  • Die Informationsverarbeitungseinheit 110 besteht aus Modulen 120 und 130, einer Synchronisierungsschaltung 160, einer Komparatorschaltung (CMP) 140 und einer Endausgabeschaltung 150. Die Informationsverarbeitungseinheit 110 transferiert Informationen, die von der Eingabeschnittstelleneinheit 170 durch ein externes Gerät eingegeben werden, zu den zwei Modulen 120 und 130 mit derselben Zeitsteuerung, wobei die beiden Module 120 und 130 vorbestimmte Prozesse durchführen. Die verarbeiteten Ergebnisse werden in die Komparatorschaltung (CPM) 110 und in die Endausgabeschaltung 150 eingegeben, um ein Endausgabesignal zu bestimmen.
  • Die beiden Module 120 und 130 bestehen aus CPUs 121 und 131, RAMs 122 und 132, Schnittstellenschaltungen (I/Fs) 124 und 134, Dateneingabeschaltungen (DIs) 125 und 135 und Datenausgabeschaltungen (DOs) 126 und 136. Die beiden Module 120 und 130 führen dieselbe Operation durch. Die Funktionsweise des Moduls wird anhand des Beispiels des einen Moduls 120 von den beiden Modulen beschrieben. Aus einem externen Gerät zuge führte Daten werden über die Dateneingabeschaltung 125 in das Modul 120 eingegeben. Die eingegebenen Daten werden von der CPU 121 gemäß den in dem ROM 125 gespeicherten Programmen verarbeitet. Die von der CPU 121 verarbeiteten Daten werden über die Datenausgabeschaltung (DO) 126 in die Endausgabeschaltung 150 eingegeben.
  • Bei diesem Beispiel werden zwar zwei Module verwendet, die Anzahl von Modulen kann jedoch auch vergrößert werden.
  • Die ausführliche Beschreibung der in 1 gezeigten Informationsverarbeitungseinheit 110 erfolgt später anhand von 18 und anderer, noch folgender Zeichnungen. Im folgenden wird das Inspizieren der Endausgabeschaltung 150 einer verallgemeinerten Informationsverarbeitungseinheit 110 beschrieben.
  • 2 zeigt die Grundstruktur einer verallgemeinerten Informationsverarbeitungseinheit 110. Diese Informationsverarbeitungseinheit 110 besteht aus einem Takt 2, mehreren Modulen 11 bis 1n und einer Endausgabeschaltung 4. Die Module 11 bis 1n sind jeweils mit Datenausgabeschaltungen 21 bis 2n ausgestattet.
  • Die Module 11 bis 1n verarbeiten Daten synchron mit dem Takt 2 und geben über die Datenausgabeschaltungen 21 bis 2n Daten an die Endausgabeschaltung 4 aus. Die Module 11 bis 1n in 2 weisen dieselbe Struktur wie die in 1 gezeigten Module 120 und 130 auf, und die Datenausgabeschaltungen 21 bis 2n der Module 11 bis 1n weisen dieselbe Struktur wie die Datenausgabeschaltungen 126 und 136 von 1 auf. Die Endausgabeschaltung 4 von 2 hat dieselbe Struktur wie die Endausgabeschaltung 150 von 1. Der Takt 2 dient zum synchronen Betreiben mehrerer Module 21 bis 2n und führt dieselbe Funktion wie die Synchronisierungsschaltung 160 von 1 durch.
  • Wenn ein beliebiges der redundanten Module 11 bis 1n wegen eines Ausfalls kein normales Ausgabesignal erzeugen kann, kann die Endausgabeschaltung 4 ein normales Ausgabesignal wählen, um den normalen Betrieb fortzusetzen. Beispiele für die Endausgabeschaltung 4 zum Auswählen eines normalen Ausgabesignals sind, wie später beschrieben werden wird, eine Mehrheitsentscheidungsschaltung 41, eine AND-Schaltung 42 und eine Median-Selektorschaltung 43.
  • 3 zeigt die Struktur einer Datenausgabeschaltung 2i eines Moduls 1i (wobei i eine Modulnummer ist) in Form eines Adressenabbilds. Die Datenausgabeschaltung 2i besitzt Register OUTall, OUT1, ..., OUTn. Wenn Daten in das Register OUTall geschrieben wer den, in das gemeinsam alle Module 11 bis 1n Daten schreiben, oder in das Register OUTi, in das nur das entsprechende Modul 1i Daten schreibt, liefert die Datenausgabeschaltung 2i ein Ausgabesignal 3i, das den geschriebenen Daten entspricht. Wenn zum Beispiel (siehe 4) Daten in das Register OUTall oder in das Register OUT1 des ersten Moduls 11 geschrieben werden, liefert die Datenausgabeschaltung 21 ein Ausgabesignal 31, das den geschriebenen Daten entspricht.
  • Mit der in 2 bis 4 gezeigten Struktur können die redundanten Module 11 bis 1n synchron dieselbe Anweisung ausführen und verschiedene Ausgabesignale 31 bis 3n liefern, so daß ein Testmuster für die Betriebsbestätigung der Endausgabeschaltung 4 zugeführt werden kann. Wenn zum Beispiel die Module 11 bis 1n Daten in die Register OUTi schreiben, liefert nur das Modul 1i ein Ausgabesignal 3i, das den geschriebenen Daten entspricht. Wenn die Module 11 bis 1n verschiedene Daten in die Register OUTi bis OUTn schreiben, liefern die Module 11 bis 1n verschiedene Ausgabesignale 31 bis 3n. Beim normalen Betrieb schreiben die Module 11 bis 1n Daten in die Register OUTall und die Module 11 bis 1n liefern Ausgabesignale 31 bis 3n, die den geschriebenen Daten entsprechen.
  • 5 und 6 zeigen die Struktur in Blockform der Datenausgabeschaltung 2i des Moduls 1i (siehe 6). Ein Adressendecodierer 2i-1 decodiert ein Signal auf einem Adreßbus 1i-1 und gibt ein Signal an ein logisches OR 2i-2 nur dann aus, wenn die Adresse dem Register OUTall oder OUTi entspricht, so daß das logische OR 2i-2 „H" ausgibt. Ein logisches AND 2i-3 wird zwischen einem Ausgang des logischen OR 2i-2 und einem R/W#-Signal erhalten und ein Zwischenspeichersignal 2i-4 wird nur dann auf „H" gesetzt, wenn ein Schreibzugriff durchgeführt wird und die Adresse dem Register OUTall oder OUTi entspricht. Ein Signal auf einem Datenbus 1i-2 wird als Reaktion auf ein Zwischenspeichersignal 2i-5 durch einen Zwischenspeicher 2i-5 zwischengespeichert. In der in 5 gezeigten Struktur werden die von dem Zwischenspeicher 2i-5 zwischengespeicherten Daten direkt als ein Ausgabesignal 3i geliefert. In der in 6 gezeigten Struktur werden die durch den Zwischenspeicher 2i-5 zwischengespeicherten Daten durch einen Digital/Analog-Umsetzer 2i-6 in ein Analogsignal umgesetzt und als das Ausgabesignal 3i geliefert. Wenn die Datenausgabeschaltung 2i von dem Typ ist, der ein digitales Signal ausgibt (siehe 5), wird eine Mehrheitsentscheidungsschaltung 41 oder eine AND-Schaltung 42, die später noch beschrieben werden, als die Endausgabeschaltung 4 verwendet. Wenn die Datenausgabeschaltung 2i von dem Typ ist, der ein Analogsignal ausgibt (siehe 6), wird eine später beschriebene Median-Selektorschaltung 43 als die Endausgabeschaltung 4 verwendet.
  • 7 zeigt eine Struktur einer Mehrheitsschaltung 41, die als die Endausgabeschaltung 4 verwendet wird. Die interne Struktur einer Mehrheitsentscheidungsschaltung 41 mit drei Eingängen ist in 8 gezeigt, und 9 zeigt die Wahrheitstabelle während eines normalen Betriebs dieser Schaltung. 10 zeigt ein Beispiel für die Wahrheitstabelle, wenn ein Ausgabesignal eines logischen OR 411, das die Mehrheitsentscheidungsschaltung 41 bildet, einen 0-fest-Ausfall (Hängenbleiben auf 0) aufweist. Wie in 10 gezeigt, ist im Fall des 0-fest-Ausfalls eines Ausgabesignals des logischen OR 411 eine Eingangs-Ausgangsbeziehung, die vom normalen Betrieb verschieden ist, nur das Eingangsmuster von Fall 8. Um diesen Ausfall aufzufinden, reicht es deshalb aus, wenn die redundanten Module 11 bis 13 die Ausgabesignale 31 bis 33 liefern, die dem Eingangsmuster von Fall 8 entsprechen. Mit der in 2 bis 6 gezeigten Struktur können die Module 11 bis 13, da sie unabhängig gewünschte Ausgabesignale 31 bis 33 liefern können, die Ausgabesignale 31 bis 33 aller Muster liefern, ohne nur auf Fall 8 beschränkt zu sein. Folglich können Ausfälle aller Betriebsarten der Mehrheitsentscheidungsschaltung 41 aufgefunden werden, ohne sich nur auf den 0-fest-Ausfall des Ausgabesignals des logischen OR 411, der oben als Beispiel angegeben wurde, zu beschränken.
  • Bei herkömmlichen Techniken, die die vorliegende Erfindung nicht verwenden, werden, wenn die redundanten Module 11 bis 13 alle normal sind, im allgemeinen die Eingabesignale nur der Fälle 1 und 2 der in 9 gezeigten Wahrheitstabelle zugeführt. Deshalb kann ein Ausfall der Mehrheitsentscheidungsschaltung 41 nicht aufgefunden werden und der Ausfall bleibt latent. Bei einem solchen latenten Ausfall kann ein Ausfall in einem beliebigen der redundanten Module 11 bis 13 nicht behoben werden. Zum Beispiel kann man, sogar wenn der 0-fest-Ausfall eines Ausgabesignals des logischen OR 411 auftritt, Ausgabesignale erhalten, die nicht vom normalen Betrieb verschieden sind, wenn alle redundanten Module 11 bis 13 normal sind. Wenn jedoch ein Ausgabesignal 33 des Moduls 13 anstelle eines normalen „H" aus bestimmten Gründen nur „L" annimmt, nimmt das Ausgabesignal 3 der Mehrheitsentscheidungsschaltung 41 ebenfalls anstelle von „H" „L" an und es kann kein normaler Betrieb durchgeführt werden.
  • 11 zeigt eine Struktur einer AND-Schaltung 42, die als die Endausgabeschaltung 4 verwendet wird. Bei dieser Struktur werden die Ausgabesignale 31 und 32 der redundanten Module 11 und 12 der AND-Schaltung 42 zugeführt, die ein Ausgabesignal 3 liefert. In diesem Fall nimmt das Ausgabesignal 3 „H" nur dann an, wenn beide Ausgabesignale 31 und 32 der Module 11 und 12 „H" annehmen. Das Ausgabesignal 3 nimmt nämlich „L" an, wenn eines der Ausgabesignale 31 und 32 der Module 11 und 12 „L" annimmt. Wenn als ein Sicherheits-Ausgabesignal ein L-Ausgabesignal verwendet wird, kann folglich ein ausfallsicheres System realisiert werden.
  • 12 zeigt eine Wahrheitstabelle der AND-Schaltung 42 im normalen Betrieb. Eine Wahrheitstabelle während eines Ausfalls, wenn das Ausgabesignal 32 direkt als das Ausgabesignal 3 geliefert wird, ist in 13 gezeigt. Dieser Ausfallmodus resultiert aus einem Kurzschluß innerer Verdrahtungsmuster der AND-Schaltung 42. Dieser Ausfall kann ebenfalls nur dann aufgefunden werden, wenn das Eingangsmuster Fall 3 oder 4 ist. Um diesen Ausfall aufzufinden reicht es deshalb aus, wenn die redundanten Module 11 und 12 die Ausgabesignale 31 und 32 liefern, die dem Eingangsmuster von Fall 3 oder 4 entsprechen. Mit der in 2 bis 6 gezeigten Struktur können die Module 11 und 12, da sie unabhängig gewünschte Ausgabesignale 31 und 32 liefern können, Ausgabesignale 31 und 32 aller Muster liefern, ohne nur auf Fall 3 oder 4 beschränkt zu sein. Folglich können Ausfälle aller Betriebsarten der AND-Schaltung 42 aufgefunden werden, ohne daß man nur auf den Ausfall beschränkt ist, daß das Ausgabesignal 32 direkt als das Ausgabesignal 3 geliefert wird, was oben als Beispiel angegeben wurde.
  • Ausfallsicherheit kann außerdem durch Verwendung einer aus Flipflops hergestellten Schaltung als die AND-Schaltung 42 realisiert werden, wie in 14 gezeigt. Wie in 15 gezeigt, liefert diese Schaltung ein alternierendes Signal als das Ausgabesignal 3 nur dann, wenn beide Ausgabesignale 31 und 32 alternierende Signale sind. Wenn nämlich das alternierende Signal wahr gemacht wird und die anderen Signale falsch gemacht werden, stellt diese Schaltung dieselbe Funktionsweise wie das logische AND bereit. Eine Möglichkeit des falschen Ausgebens eines alternierenden Signals aufgrund eines Ausfalls dieser Schaltung ist sehr gering, so daß diese Schaltung als ausfallsicheres AND bezeichnet wird.
  • 16 zeigt ein Beispiel für eine Median-Selektorschaltung 43 als die Endausgabeschaltung 4. Die Median-Selektorschaltung 43 wählt einen Median von Eingangsanalogwerten und gibt ihn aus. Wenn alle Module 11 bis in normal sind, werden theoretisch die Ausgabesignale 31 bis 3n mit demselben Wert geliefert. Deshalb ist es möglich, zu bestätigen, daß die Median-Selektorschaltung 43 die folgende Funktion aufweist: „Auswählen und Ausgeben eines Median von Eingangsanalogwerten". In der Praxis weisen die digitalen Werte der Ausgabesignale 31 bis 3n, auch wenn diese digitalen Werte dieselben sind, eine Variation auf, die durch Umsetzungsfehler von Digital/Analog-Umsetzern verursacht wird, und die Median-Selektorschaltung 43 wählt einen Median von Werten mit einer solchen Variation und gibt diesen aus. Es kann scheinbar bestätigt werden, daß die Median-Selektorschaltung 43 die folgende Funktion aufweist: „Auswählen und Ausgeben eines Median von Eingangsanalogwerten". Diese Variation kann jedoch aufgrund von Quantisierungsfehlern von Analog/Digital-Umsetzern, die das Ausgabesignal 3 rückkoppelten, nur schwer unterschieden werden. Bei der oben beschriebenen Struktur kann ein beliebiges der Ausgabesignale 31 bis 3n einen verschiedenen Wert annehmen, so daß die obige Funktion der Median-Selektorschaltung 43 realisiert werden kann.
  • 17 zeigt die Struktur der Endausgabeschaltung 4, die mit einem Unterbrecherschalter 6 zum Unterbrechen des Ausgabesignals 3 der Schaltung 4 ausgestattet ist. Mit dieser Struktur wird, wenn ein anormaler Zustand der Endausgabeschaltung aufgefunden wird, der Unterbrecherschalter 6 geöffnet, um das Ausgabesignal zu schließen und ein falsches Ausgabesignal zu unterdrücken.
  • Als nächstes wird die Struktur der Sicherstellung der Normalität von Zwischenprozessen, die von jedem Modul ausgeführt werden sollen, beschrieben.
  • Da die Module 11 und 12 synchron mit dem Takt 2 dieselbe Operation durchführen können, können wie in 11 gezeigt die Module 11 und 12 eine durch Ausfalle in einer früheren Stufe verursachte Fehlfunktion durch eine Vergleichsprüfung durch eine in 18 gezeigte Komparatorschaltung 5 auffinden. Die Komparatorschaltung 5 vergleicht Signale auf den Datenbussen 127 und 137 zum Transfer von Daten der Module 11 und 12, auf den Adreßbussen 126 und 138 zum Transfer von Adressensignalen und auf den Steuerbussen 129 und 139 zum Transfer von Steuersignalen. In diesem Fall kann die Fehlerauffindungsrate verbessert werden, wenn als die Komparatorschaltung 5 ein selbstprüfender Komparator verwendet wird, da das Verfehlen einer Auffindung einer Fehlfunktion, das durch einen Ausfall des Komparators selbst verursacht werden kann, vermieden werden kann. Der selbstprüfende Komparator wird in der bereits von den Erfindern registrierten JP-A-8-17158 beschrieben. Die Fehlerauffindungsrate kann weiter verbessert werden, wenn die Module 11 und 12 synchron mit einem dazwischengeschobenen Halbtakt betrieben werden, und zwar wegen einer kleineren Wahrscheinlichkeit der Erzeugung desselben Fehlers, wie in der bereits von den Erfindern registrierten JP-A-8-171581 beschrieben wird. Eine Vergleichsprüfung von Signalen auf den Bussen in den Modulen 11 bis in (siehe 17) ist ebenfalls auf jede in 2 bis 10 gezeigte Struktur anwendbar, ohne Einschränkung nur auf die in 11 gezeigte Struktur. Die in 17 gezeigte Komparatorschaltung 5 weist eine Struktur auf, die der in 1 gezeigten Komparatorschaltung 140 ähnlich ist.
  • 19 zeigt eine weitere Struktur, die durch Verbessern der in 18 gezeigten Struktur erhalten wird, bei der ein Ausgabesignal 33 der Komparatorschaltung 5 zusätzlich zu den Ausgabesignalen 31 und 32 der Module 11 und 12 in die AND-Schaltung 42 eingegeben wird. Diese Struktur ist der Struktur ähnlich, daß die Endausgabeschaltung 150 der in 1 gezeigten Informationsverarbeitungsschaltung 110 durch die AND-Schaltung 42 ersetzt wird. Bei dieser Struktur liefert die AND-Schaltung 42 ein Ausgabesignal 3 nur dann, wenn die Ausgabesignale 31 und 32 der Module 11 und 12 geliefert werden und Signale auf den Datenbussen 127 und 137, auf den Adreßbussen 128 und 138 und auf den Steuerbussen 129 und 139 miteinander koinzident sind. Anders ausgedrückt wird das Ausgabesignal 3 nicht nur dann geliefert, wenn die Ausgabesignale 31 und 32 der Module 11 und 12 geliefert werden, sondern auch wenn die Zwischenprozeßergebnisse bis zu dem Endausgabesignal miteinander koinzident werden. Auf diese Weise kann die Sicherheit und Ausfallsicherheit verbessert werden, da die Vergleichsprüfung der Ausgabesignale in mehreren Stufen ausgeführt wird und Fehler in einer frühen Stufe aufgefunden werden können, da eine Inkoinzidenz während Zwischenprozessen aufgefunden werden kann.
  • Wenn die aus Flipflops hergestellte Schaltung, wie zum Beispiel in 20 gezeigt, als die AND-Schaltung verwendet wird, ist es möglich, Ausfallsicherheit der AND-Schaltung selbst zu realisieren.
  • Als nächstes wird die Struktur beschrieben, die eine Verbesserung der Ausfallsicherheit ermöglicht.
  • 21 zeigt eine Struktur, die einen Fail-Out-Ausfallmodus einer ausfallsicheren AND-Schaltung beseitigen kann. Bei diesem Beispiel wird ein Signal mit einer Frequenz f3, die höher als die höchste Betriebsfrequenz fc einer Filterschaltung in der letzten Stufe der ausfallsicheren AND-Schaltung ist, in einen Taktanschluß eines Flipflops FF1 in der letzten Stufe der die ausfallsichere AND-Schaltung bildenden Flipflops eingegeben.
  • Wie in 22 gezeigt, liefert diese Schaltung im normalen Zustand ein alternierendes Signal als ein Ausgabesignal 3 nur dann, wenn alle alternierenden Signale f1, f2 und f3 angegeben werden. Diese Funktionsweise ist dieselbe wie eine allgemeine ausfallsichere AND-Schaltung.
  • Ein eindeutiger Fail-Out-Ausfallmodus der ausfallsicheren AND-Schaltung ist ein Modus, bei dem ein Takteingabesignal eines Flipflops selbst als ein Q-Ausgabesignal ausgegeben wird. Wenn in dem Flipflop der letzten Stufe ein solcher Ausfallmodus auftritt, wird wie in 23 gezeigt ein alternierendes Signal als das Ausgabesignal 3 geliefert, wenn ein alternierendes Signal in das Flipflop der letzten Stufe eingegeben wird, ungeachtet der Zustände der anderen Eingabesignale. In diesem Fall beträgt die Frequenz des Ausgabesignals 3 f3, also mehr als die höchste Betriebsfrequenz fc der Filterschaltung 7 in der letzten Stufe der ausfallsicheren AND-Schaltung. Da die Filterschaltung 7 nicht mit einer höheren Frequenz als die höchste Betriebsfrequenz fc arbeiten kann, wird deshalb, wie in 24 gezeigt, jedes beliebige Ausgabesignal von einem Ausgangsanschluß 30 der Filterschaltung 7 geliefert. Auch wenn ein Ausfall auftritt, bei dem ein Takteingabesignal des Flipflops der letzten Stufe selbst als das Q-Ausgabesignal geliefert wird, wird folglich nicht fälschlicherweise ein Gefahren-Ausgabesignal geliefert, so daß Ausfallsicherheit sichergestellt ist.
  • 25 zeigt die erhaltenen Ausgabesignale 3, wenn ein Ausfall auftritt und ein CLK-Eingabesignal selbst jedes die ausfallsichere AND-Schaltung bildenden Flipflops als das Q-Ausgabesignal ausgegeben wird, und zeigt entsprechende Gegenmaßnahmen zum Stoppen der Ausgabesignale 3. Wie aus 25 ersichtlich ist, kann durch Überwachen des Ausgabesignals 3 ein Ausfall aufgefunden werden. Bei der in 11 gezeigten Struktur kann effizient ein Testmuster eingegeben werden, so daß eine Latenz eines Ausfalls vermieden werden kann. Die Anzahl von Gegenmaßnahmen zum Stoppen des Ausgabesignals 3 während eines Ausfalls nimmt in dem Flipflop der späteren Stufe in der Reihenfolge von FF1, FF2 und FF3 weiter ab. Insbesondere besteht in dem FF3 der letzten Stufe in einer von dieser Struktur verschiedenen Struktur keine Gegenmaßnahme zum Stoppen des Ausgabesignals 3 während eines Ausfalls, mit der Ausnahme, daß das f3-Eingabesignal gestoppt wird. Wenn ein Ausfall auftritt, bei dem aus bestimmten Gründen ein von FF3 verschiedenes Flipflop dauernd f3 ausgibt, wird nämlich ohne diese Struktur dauernd das Ausgabesignal 3 geliefert. Aufgrund eines Ausfalls von FF3 und eines Ausfalls einer fs-Erzeugungsschaltung, d.h. wegen eines Doppelausfalls, liefert das System womöglich ein Gefahren-Ausgabesignal und tritt in den Fail-Out-Zustand ein. Im Fall von FF1 und FF2 tritt das Fail-Out dagegen nur dann auf, wenn ein Vierfachausfall oder ein Dreifachausfall auftritt. In einem System, bei dem sich ein Fail-Out auf das Leben von Menschen auswirken kann, ist es entscheidend, strikte Sicherheit sicherzustellen und auch bei Mehrfachausfall ein Fail-Out zu vermeiden. Mit dieser Struktur kann ein Ausgabesignal gestoppt und ein Fail-Out vermieden werden, auch wenn ein Doppelausfall besteht, der bisher zu einem Fail-Out geführt hat.
  • 26 zeigt ein Struktur, die die nachteiligen Effekte eines Ausfallmodus verhindern kann, bei der die Takteingabesignale aller Flipflops der ausfallsicheren AND-Schaltung aus Q-Ausgabesignalen geliefert werden. Bei dieser Struktur werden alle Eingangsfrequenzen f1, f2 und f3 des Taktanschlusses der die ausfallsichere AND-Schaltung bildenden Flipflops höher als die höchste Betriebsfrequenz fc der Filterschaltung 7 in der letzten Stufe der ausfallsicheren AND-Schaltung eingestellt. Auch wenn ein Ausfallmodus auftritt, bei dem eines der die ausfallsichere AND-Schaltung bildenden Flipflops sein Takteingabesignal als das Q-Ausgabesignal liefert, wird bei dieser Struktur keine Ausgabesignal 30 geliefert, da das Ausgabesignal 3 eine Frequenz aufweist, die höher als die höchste Betriebsfrequenz fc der Filterschaltung 7 der letzten Stufe ist, und die Filterschaltung 7 kann nicht arbeiten. Mit dieser Struktur ist es deshalb möglich, die nachteiligen Effekte eines Ausfallmodus zu beseitigen, bei dem die Takteingabesignale aller die ausfallsichere AND-Schaltung bildenden Flipflops als die Q-Ausgabesignale geliefert werden.
  • Wenn alle Eingangsfrequenzen f1, f2 und f3 wesentlich höher als die höchste Betriebsfrequenz der Filterschaltung 7 sind, weist ein Ausgabesignal der ausfallsicheren AND-Schaltung sogar unter einem normalen Betrieb ohne jeden Ausfall eine Frequenz auf, die höher als die höchste Betriebsfrequenz fc ist. In diesem Zusammenhang kann man, wenn f1 und f2 zum Beispiel zu fc < f1 < 2fc und fc < f2 < 2fc gesetzt werden, Ausgabesignale in der Größenordnung von f1/2 und f2/2 erhalten, wie in 22 dargestellt, und das Ausgabesignal 3 hat unter einem normalen Betrieb eine Frequenz, die niedriger als die höchste Betriebsfrequenz fc der Filterschaltung 7 ist, und das Ausgabesignal 3 unter einem anormalen Betrieb weist eine Frequenz auf, die höher als die höchste Betriebsfrequenz fc der Filterschaltung ist, wie in 27 gezeigt. Mit dieser Struktur können deshalb die nachteiligen Effekte eines Ausfallmodus, bei dem Takteingabesignale aller die ausfallsichere AND-Schaltung bildenden Flipflops als Q-Ausgabesignale geliefert werden, beseitigt werden.
  • Wenn die Filterschaltung 7 in der letzten Stufe der ausfallsicheren AND-Schaltung die Dämpfungsfrequenzgangkurve aufweist, die im Hochfrequenzband scharf ist, ist es wie oben beschrieben mit der in 26 gezeigten Struktur möglich, die nachteiligen Effekte eines Ausfallmodus zu beseitigen, bei dem die Takteingabesignale aller die ausfallsichere AND-Schaltung bildenden Flipflops als Q-Ausgabesignale geliefert werden. Obwohl es möglich ist, die nachteiligen Effekte eines Ausfallmodus zu beseitigen, bei dem die Takteingabesignale aller die ausfallsichere AND-Schaltung bildenden Flipflops als Q-Ausgabesignale geliefert werden, ist es im Gegensatz dazu mit der in 20 gezeigten Struktur nicht notwendig, daß die Filterschaltung 7 in der letzten Stufe der ausfallsicheren AND-Schaltung die Dämpfungsfrequenzgangkurve aufweist, die in der hohen Frequenz scharf ist, und außerdem ist es nicht notwendig, die Filterschaltung zu verwenden, da die ausfallsichere AND-Schaltung durch Verwendung der Frequenzgangkurven allgemeiner Schaltungen realisiert werden kann.
  • Bei der Realisierung der mit 21 bis 27 dargestellten Operationen wird eine Frequenz notwendig, die höher als die höchste Betriebsfrequenz fc der Filterschaltung 7 ist. Ein Signal einer solch hohen Frequenz kann auf die folgende Weise erzeugt werden.
    • (a) Verwendung eines Existenznachrichtsignals jedes redundanten Moduls.
    • (b) Verwendung eines Taktsignals.
    • (c) Verwendung eines aus JP-A-7-234801 bekannten Selbstprüfungskomparators.
  • Von diesen wird ein Verfahren (c) beschrieben.
  • Der Einfachheit halber wurde für die in 21 bis 27 gezeigten Strukturen eine ausfallsichere AND-Schaltung mit drei Eingängen beschrieben. Es ist offensichtlich, daß eine allgemeine ausfallsichere AND-Schaltung mit N Eingängen verwendet werden kann.
  • 28 zeigt eine andere Struktur, die ein ausfallsicheres System bereitstellen kann, das Normalität von Zwischenprozessen sicherstellt und den Fail-Out-Ausfallmodus einer ausfallsicheren AND-Schaltung durch Verwendung synergistischer Effekte beseitigt. Diese Struktur ist im Prinzip die gleiche wie die in 19 gezeigte Struktur. In der in 28 gezeigten Struktur wird anstelle einer allgemeinen Komparatorschaltung eine selbstprüfende Komparatorschaltung 5' verwendet, und anstelle einer allgemeinen AND-Schaltung wird eine ausfallsichere AND-Schaltung verwendet. Diese ausfallsichere AND-Schaltung besteht aus in 29 gezeigten Flipflops, in das Flipflop FF3 in der letzten Stufe wird ein Ausgabesignal 33 der selbstprüfenden Komparatorschaltung 5' eingegeben und ein Ausgabesignal der ausfallsicheren AND-Schaltung wird einer Ausgangstreiberschaltung 30 zugeführt, die ein Ausgabesignal 30 liefert.
  • Diese Struktur realisiert Ausfallsicherheit durch Abliefern eines alternierenden Signals als das Ausgabesignal 3 nur dann, wenn alle Ausgabesignale 31, 32 und 33 ein alternierendes Signal liefern.
  • Um diese Struktur zu realisieren, muß die selbstprüfende Komparatorschaltung 5' ebenfalls ein alternierendes Signal als Ausgabesignal 33 liefern, wenn die Signale auf den Datenbussen 127 und 137, auf Adreßbussen 128 und 138 und auf den Steuerbussen 129 und 139 der Module 11 und 12 koinzident sind. Wie bereits beschrieben erfüllt die in der von den Erfindern registrierten JP-8-17158 beschriebene selbstprüfende Komparatorschaltung die obigen Bedingungen, da sie als das Ausgabesignal 33 nur dann ein alternierendes Signal liefert, wenn zu vergleichende Signale miteinander koinzident sind und sich die Komparatorschaltung selbst in einem normalen Zustand befindet.
  • Man betrachte nun die Frequenzbeziehung von Eingabesignalen und einem Ausgabesignal der ausfallsicheren AND-Schaltung in einem normalen Zustand. Da das Ausgabesignal 33 der selbstprüfenden Komparatorschaltung 5' in jedem Buszyklus invertiert, weist es die gleiche Frequenz wie der Buszyklus auf (im allgemeinen etwa mehrere MHz bis zu mehreren hundert MHz). Die Ausgabesignale 31 und 32 der Module 11 und 12 invertieren bei einem Zugriff auf die Ausgabeschnittstellen 21 bis 2n durch Software, so daß sie wesentlich niedriger (etwa mehrere hundert Hz bis mehrere kHz) als das Ausgabesignal 33 der selbstprüfenden Komparatorschaltung 5 liegen. Das Ausgabesignal der ausfallsicheren AND-Schaltung invertiert, nachdem sowohl das Ausgabesignal 33 der selbstprüfenden Komparatorschaltung 5 als auch die Ausgabesignale 31 und 32 der Module 11 und 12 zyklisch angestiegen sind. Deshalb weist das Ausgabesignal der ausfallsicheren AND-Schaltung die Hälfte der Frequenz der Ausgabesignale 31 und 32 der Module 11 und 12 auf. Wie in 30 gezeigt, beträgt die höchste Betriebsfrequenz fc der mit dem Ausgabesignal der ausfallsicheren AND-Schaltung verbundenen Ausgangstreiberschaltung 71 im allgemeinen etwa 100 Hz bis mehrere kHz, wenn sie durch Verwendung allgemeiner Leistungselemente aufgebaut wird.
  • Man betrachte als nächstes das Auftreten eines Ausfalls des oben beschriebenen Modus. Wenn ein Ausfall auftritt, wird das Ausgabesignal 33 selbst der selbstprüfenden Komparatorschaltung 5 als das Ausgabesignal 3 der ausfallsicheren AND-Schaltung geliefert. Wie in 30 gezeigt, hat das Ausgabesignal 30 der ausfallsicheren AND-Schaltung deshalb einen großen Abstand von der Bandbreite der Ausgangstreiberschaltung 71. Auch wenn ein Ausfall des Fail-Out-Modus auftritt, kann Ausfallsicherheit sichergestellt werden, da kein Signal als das Ausgabesignal 30 erscheint.
  • Als nächstes wird die in 1 gezeigte Eingabeschnittstelleneinheit 170 beschrieben.
  • 31 zeigt die Grundstruktur der Eingabeschnittstelleneinheit 170. Die Funktion der Eingabeschnittstelleneinheit ist ein Auffinden eines Offen/Geschlossen eines Eingangsschalters (Kontakts) 3101, wie zum Beispiel eines Relais oder anderer Arten von Schaltern. Eine Stromversorgungsspannung wird über den Eingangsschalter 3101 und ein Schaltelement 3102 an eine Abtastschaltung 3104 angelegt. Da die Eingangsimpedanz der Abtastschaltung im allgemeinen groß ist, fließt der größte Teil des Stroms i, der durch den Ein gangsschalter 3101 und das Schaltelement 3102 fließt, durch einen Abschlußwiderstand 3103. Anders ausgedrückt bestimmt der Wert des Abschlußwiderstands 3103 den durch den Eingangsschalter 3101 und das Schaltelement 3102 fließenden Strom i. Die Abtastschaltung 3104 tastet als Reaktion auf ein Abtaststeuersignal 3105 eine angelegte Spannung ab, um ein Offen/Geschlossen des Eingangsschalters 3101 zu finden. Wenn der Eingangsschalter 3101 geschlossen ist (On-Zustand), wird die Stromversorgungsspannung an den Eingang der Abtastschaltung 3104 angelegt und ein H-Pegel wird als ein abgetasteter Wert 3106 ausgegeben. Wenn der Eingangsschalter 3101 geöffnet ist (Off-Zustand), wird die Stromversorgungsspannung nicht an den Eingang der Abtastschaltung 3104 angelegt und ein L-Pegel wird als der abgetastete Wert 3106 ausgegeben. Das Schaltelement 3102 öffnet und schließt sich als Reaktion auf das Abtaststeuersignal 3105. Es ist geschlossen (eingeschaltet), wenn das Abtaststeuersignal 3105 empfangen wird, und geöffnet (ausgeschaltet), wenn das Abtaststeuersignal 3105 nicht empfangen wird. Das heißt, das Schaltelement 3102 ist nur in dem Fall geschlossen (eingeschaltet), wenn die Abtastschaltung 4 eine Abtastoperation durchführt, um Strom fließen zu lassen, und während der anderen Periode geöffnet (ausgeschaltet), um keinen Strom fließen zu lassen. Mit dieser Struktur kann die Stromaufnahme des Abschlußwiderstands 3103 verringert werden.
  • Das Schaltelement 3102 kann an dem Punkt A, B, C oder D (siehe 31) mit den gleichen vorteilhaften Effekten wie oben verbunden sein. Das Schaltelement 3102 kann ein Relais, ein Halbleiterrelais oder ein Halbleiterelement wie zum Beispiel ein Transistor, sein.
  • 32 zeigt die Struktur der Abtastschaltung 3104. Wie gezeigt, besteht die Abtastschaltung 3104 aus einem aus einem D-Flipflop hergestellten Zwischenspeicher. Obwohl es in dieser Struktur nicht gezeigt ist, kann, um eine hohe Widerstandsfähigkeit gegenüber Rauschsignalen bereitzustellen, die Abtastschaltung elektrisch durch Verbinden von Fotokopplern mit der Eingangsseite des D-Flipflops isoliert werden.
  • 33 zeigt die Struktur bei Berücksichtigung einer Verzögerung des Schaltelements 3102. Aufgrund einer Verzögerung des Schaltelements 3102 dauert es etwas, bis sich das Schaltelement 3102 schließt, nachdem das Abtaststeuersignal 3105 eingeschaltet wird. Deshalb ist ein Verzögerungselement 3112 vorgesehen, um das Abtaststeuersignal 3105 um die Zeitverzögerung des Verzögerungselements 3112 zu verzögern, und das verzögerte Abtaststeuersignal 3105' wird der Abtastschaltung 3104 zugeführt.
  • 35 zeigt eine andere Struktur, bei der eine Informationsverarbeitungseinheit 3111 das Abtaststeuersignal 3105 und das verzögerte Abtaststeuersignal 3105' erzeugt. Gemäß der in 36 gezeigten Sequenz erzeugt die Informationsverarbeitungseinheit 3111 das Abtaststeuersignal 3105 und das verzögerte Abtaststeuersignal 3105'. Als erstes wird im Schritt 3601 das Abtaststeuersignal 3105 eingeschaltet, um das Schaltelement 3102 zu schließen. Im Schritt 3602 dauert ein Standby-Zustand für die Verzögerungszeit des Schaltelements 3102 an. Im Schritt 3603 wird das Abtaststeuersignal 3105' eingeschaltet, um die Stromversorgungsspannung abzutasten. Das Abtaststeuersignal 3105' kann sofort nach der Abtastoperation ausgeschaltet werden, nachdem es eingeschaltet wurde. Im Schritt 3604 wird das Abtaststeuersignal 3105 sofort nach der Abtastoperation ausgeschaltet, um das Schaltelement 3102 zu öffnen und den Strom i zu stoppen, um dadurch die Stromaufnahme des Abschlußwiderstands 3103 zu verringern. 37 zeigt eine Änderung des Stroms i während der obigen Schritte, während der Eingangsschalter 3101 geschlossen ist. 38 zeigt eine Änderung des Stroms, während der Eingangsschalter 3101 offen ist.
  • Mit dieser Struktur fließt der Strom i nur während einer sehr kurzen Zeit in einem Steuerrahmen, wie in 39 gezeigt, so daß die Stromaufnahme des Abschlußwiderstands 3103 wesentlich verringert werden kann. Wenn zum Beispiel angenommen wird, daß der Steuerrahmen 10 ms beträgt, die Flußzeit des Stroms i 0,1 ms beträgt und das Abtasten einmal pro Rahmen durchgeführt wird, dann beträgt das Tastverhältnis eines Fließens des Stroms i 1%. Die Stromaufnahme des Abschlußwiderstands 3103 wird deshalb um 1/100 verringert. Es ist deshalb möglich, einen Widerstand mit kleiner Leistungskapazität als Abschlußwiderstand 3103 zu verwenden, so daß das System kompakt wird. Da die Wärmeentwicklung in dem System gering wird, ist kein Raum für Ventilationslöcher oder dergleichen zur Wärmeableitung notwendig und das System kann kompakter gebaut werden.
  • 40 zeigt eine andere Struktur, bei der Ausfallsicherheit durch Verwenden eines alternierenden Signals realisiert wird, um einen Festhängausfall der Eingabeschnittstelleneinheit zu finden. In dieser Struktur wird eine Abtastoperation nicht nur während des On-Zustands des Schaltelements, sondern auch während des Off-Zustands durchgeführt. Wenn der abgetastete Wert 3106 H ist, während das Schaltelement 3102 geschlossen ist, und wenn der abgetastete Wert 3106 L ist, während es offen ist, dann wird erkannt, daß der Eingangsschalter 3101 geschlossen war. Wenn der abgetastete Wert 3106 L ist, während das Schaltelement 3102 geschlossen ist, und wenn der abgetastete Wert 3106 L ist, während es offen ist, dann wird erkannt, daß der Eingangsschalter 3101 offen war. Wenn der abgetastete Wert 3106 H ist, während das Schaltelement 3102 geschlossen ist, und wenn der abgetastete Wert 3106 H ist, während es offen ist, dann wird erkannt, daß ein Hängen auf-1-Ausfall der Eingabeschnittstellenschaltung aufgetreten ist. Im Schritt 4000 wird zunächst eine Abtastoperation durchgeführt, während das Schaltelement offen ist. Im Schritt 4001 wird das Abtaststeuersignal 3105 eingeschaltet, um das Schaltelement 3102 zu schließen. Im Schritt 4002 wird ein Standby-Zustand für die Verzögerungszeit des Schaltelements 3102 fortgesetzt. Im Schritt 4003 wird das Abtaststeuersignal 3105' eingeschaltet, um eine Abtastoperation durchzuführen. Das Abtaststeuersignal 3105' kann sofort nach der Abtastoperation ausgeschaltet werden, nachdem es eingeschaltet wurde. Im Schritt 4004 wird das Abtaststeuersignal 3105 sofort nach der Abtastoperation ausgeschaltet, um das Schaltelement 3102 zu öffnen und den Strom i zu stoppen, um dadurch die Stromaufnahme des Abschlußwiderstandes 3103 zu verringern. 41 zeigt eine Änderung des Stroms i während der obigen Schritte, während der Eingangsschalter 3101 geschlossen ist.
  • Bei dieser Struktur fließt der Strom i nur während einer sehr kurzen Zeit in einem Steuerrahmen (siehe 42), so daß die Stromaufnahme des Abschlußwiderstands 3103 wesentlich verringert werden kann.
  • Bei den obigen Strukturen wird ein Eingangsschalter verwendet. In einem praktischen Steuersystem (siehe 43) werden mehrere Eingangsschalter 3101 verwendet. Wenn die Schaltelemente 3102 in gleicher Zahl wie die Anzahl von Eingangsschaltern vorgesehen sind, werden in diesem Fall die Effekte, daß das Steuersystem durch die Verringerung der Stromaufnahme kompakter und kosteneffektiver wird, vermindert. In dieser Verbindung (siehe 44 und 45) ist ein einziges Schaltelement 3102 mit einer gemeinsamen Leitung der mehreren Eingangsschalter 3101 verbunden, um die Effekte, daß das Steuersystem kompakter und kosteneffektiver wird, beizubehalten.
  • Als nächstes wird die in 1 gezeigte Benutzerschnittstelleneinheit 180 beschrieben.
  • 47 zeigt die Struktur der Benutzerschnittstelleneinheit. Ein nicht-rastender Schalter 4701 ist vom Schließertyp, dessen Kontakte beim Drücken des Schalters geschlossen und beim Loslassen geöffnet werden. Wenn der nicht-rastende Schalter 4701 losgelassen wird, wird an die Eingangsleitung 4711 der Schalterinformationsverarbeitungseinheit 182 ein Low-Pegel angelegt, während, wenn der nicht-rastende Schalter 4701 gedrückt wird, ein High-Pegel angelegt wird. Deshalb kann die Schalterinformationsverarbeitungseinheit 182 den Status des nicht-rastenden Schalters 4701 aus dem Pegel der Eingangsleitung 4711 auffinden. Die Schalterinformationsverarbeitungseinheit 182 besitzt eine Schalterschnittstellenschaltung 4714, eine Schalterschnittstellenfunktion 4710 und eine Hauptsystemverarbeitungsfunktion 4713, die die Hauptaufgabe der Schalterinformationsverarbeitungs einheit 182 ist. Die Schalterinformationsverarbeitungseinheit 182 liefert ein Ausgabesignal an eine Ausgangsleitung 4715. Die Schalterschnittstellenschaltung 4714 wird praktisch durch Hardware realisiert, während die Schalterschnittstellenfunktion 4710 und die Hauptsystemverarbeitungsfunktion 4713 durch Software realisiert werden. Die Schalterschnittstellenfunktion 4710 prüft das Eingabesignal der Eingangsleitung 4711 und gibt ein Signal, das anzeigt, ob der nicht-rastende Schalter 4701 gedrückt ist oder nicht, an eine Ausgangsleitung 4717 aus. Die Hauptsystemverarbeitungsfunktion 4723 prüft ein Ausgabesignal auf der Ausgangsleitung 4712, das aus der Schalterschnittstellenfunktion 4710 zugeführt wird, und führt den Prozeß durch, der die Hauptaufgabe der Schalterinformationsverarbeitungseinheit 182 ist.
  • Wie in 47 gezeigt, ist die Ausgangsleitung 4712 der Schalterschnittstellenfunktion 4710 mit einer Anzeigeeinheit 4716 verbunden, um sie durch ein Ausgabesignal auf der Ausgangsleitung 4712 einzuschalten. Es ist deshalb möglich, einen Bediener darüber zu benachrichtigen, ob die Schalterschnittstellenfunktion 4710 erkannt hat, daß der nicht-rastende Schalter 4701 gedrückt wurde.
  • 46 zeigt die Grundstruktur der Schalterschnittstellenfunktion 4710.
  • „LOSLASSEN" und „DRÜCKEN" zeigen den Status des nicht-rastenden Schalters 4701 an. Wie gezeigt, erkennt die Schalterschnittstellenfunktion 4710, daß der nicht-rastende Schalter gedrückt wurde, nur dann, wenn sich das Eingabesignal auf der Eingangsleitung 4711 sequentiell in der folgenden Reihenfolge ändert:
    • (1) Ein losgelassener Status des nicht-rastenden Schalters,
    • (2) Ein gedrückter Status des nicht-rastenden Schalters und
    • (3) Ein losgelassener Status des nicht-rastenden Schalters,
    und liefert ein Ausgabesignal an die Ausgangsleitung 4712.
  • 48 zeigt den Statusübergang der Schalterschnittstellenfunktion 4710, die die obige Funktion realisiert. Unmittelbar nach der Initialisierung beim Einschalten einer Stromversorgung oder dergleichen nimmt die Schalterschnittstellenfunktion 4710 einen Startstatus S0 an. Abhängig von dem Signalpegel auf der Eingangsleitung 4711 nimmt die Funktion 4710 entweder einen Druck-Wartestatus 51 oder einen Loslaß-Wartestatus S4 an. Der Druck-Wartestatus S1 ist der Ursprung des Betriebs der Schalterschnittstellenfunktion 4710. Wenn sich der nicht-rastende Schalter 4701 unmittelbar nach der Initialisierung in einem gedrückten Status befindet, nimmt die Funktion 4710 den Loslaß-Wartestatus S4 an und nimmt dann nach dem Loslassen des nicht-rastenden Schalters 4701 den Druck-Wartezustand S1 an. Wenn der nicht-rastende Schalter 4701 gedrückt wird, während die Schalterschnittstellenfunktion 4710 den Druck-Wartezustand S1 annimmt, geht der Status zu dem Loslaß-Wartestatus S2 über. Wenn der nicht-rastende Schalter 4701 während des Loslaß-Wartestatus S2 losgelassen wird, nimmt die Funktion 4710 als nächstes den Druckerkannt-Status S3 an, um die Ausgangsleitung 4712 einzuschalten (Druck erkannt) und kehrt zum Druck-Wartestatus S1 zurück. Bei dem obigen Statusübergang der Schalterschnittstellenfunktion 4710 erkennt die Schalterschnittstellenfunktion 4710 nur dann, daß der nicht-rastende Schalter 4701 gedrückt wurde, wenn der Status des nicht-rastenden Schalters 4701 in der Reihenfolge Status (1), Status (2), Status (3) übergeht.
  • Wenn ein Hängen-auf-1-Ausfall der Schalterschnittstellenschaltung 4714 des nicht-rastenden Schalters 4701 auftritt, oder wenn Kontakte des nicht-rastenden Schalters 4701 geschmolzen und geschlossen würden, wird der in 49 gezeigte Status (2) fortgesetzt und der Statusübergang vom Status (1) zum Status (2) und zum Status (3) findet nicht statt. Es wird deshalb nicht erkannt, daß der nicht-rastende Schalter 4701 durch einen Ausfall gedrückt wurde.
  • 50 zeigt die Struktur, bei der eine Umschaltfunktion zu der Schalterschnittstellenfunktion 4710 hinzugefügt wird. Nämlich wird jedesmal, wenn die Statusübergänge in der Reihenfolge Status (1), Status (2) und Status (3) auftreten, die Ausgangsleitung 4712 ein- und ausgeschaltet. Deshalb kann eine Umschaltfunktion realisiert werden, die das Ein- und Ausschalten der Ausgangsleitung 4712 jedesmal realisiert, wenn der nicht-rastende Schalter 4701 gedrückt wird.
  • 51 zeigt eine Gegenmaßnahme zur Beseitigung von Prelleffekten, die zu der Schalterschnittstellenfunktion 4710 hinzugefügt wird. In den in 47 und 48 gezeigten Beispielen wird jedesmal, wenn der nicht-rastende Schalter 4701 wiederholt, die Ausgangsleitung ein- und auszuschalten, aufgrund des Prellens des nicht-rastenden Schalters 4701 erkannt, daß der Status in der Reihenfolge von Status (1) zu Status (2) und zu Status (3) übergegangen ist. Wenn in diesem Beispiel Status (1) zu Status (3) eine vorbestimmte Zeit T1 oder länger fortgesetzt wird, und wenn die Statusübergänge in der Reihenfolge Status (1), Status (2) und Status (3) stattfinden, dann erkennt die Schalterschnittstellenfunktion 4710, daß der nicht-rastende Schalter 4701 gedrückt wurde.
  • 52 zeigt den Statusübergang der Schalterschnittstellenfunktion 4710, die die obige Funktion realisiert. Unmittelbar nach der Initialisierung beim Einschalten einer Stromversorgung oder dergleichen nimmt die Schalterschnittstellenfunktion 4710 einen Startstatus S0 an und dann einen Dauerloslaß-Wartezustand S4. Nachdem der nicht-rastende Schalter 4701 eine vorbestimmte Zeit T1 oder langer dauernd losgelassen wurde, tritt ein Dauerdruck-Wartestatus S1 ein. Wenn der nicht-rastende Schalter 4701 für die vorbestimmte Zeit T1 oder länger dauernd gedrückt wird, während die Schalterschnittstellenfunktion 4710 den Dauerdruck-Wartezustand S1 annimmt, geht der Status zu dem Dauerloslaß-Wartezustand S2 über. Wenn der nicht-rastende Schalter 4701 für die vorbestimmte Zeit T1 oder länger dauernd losgelassen wird, während die Schalterschnittstellenfunktion 4710 den Dauerloslaß-Wartestatus S2 annimmt, geht der Status zu einem Druck-erkannt-Status S3 über, um die Ausgangsleitung 4712 einzuschalten (Druck erkannt) und kehrt zu dem Druck-Wartestatus S1 zurück. Bei dem obigen Statusübergang der Schalterschnittstellenfunktion 4710 erkennt die Schalterschnittstellenfunktion 4710 nur dann, daß der nicht-rastende Schalter 4701 gedrückt wurde, wenn der Status des nicht-rastenden Schalters 4701 in der Reihenfolge Status (1), Status (2) und Status (3) übergeht.
  • Mit der obigen Struktur kann man eine falsche Erkennung des Drückens des nicht-rastenden Schalters 1701 verhindern, die ansonsten durch Prellen verursacht werden könnte. Außerdem kann man eine falsche Erkennung des Drückens des nicht-rastenden Schalters 1701 verhindern, die ansonsten durch eine unbeabsichtigte momentane Berührung des nicht-rastenden Schalters 1701 verursacht werden könnte.
  • 53 bis 56 zeigen die Strukturen, bei denen eine Zeitgrenzenfunktion zu der Schalterschnittstellenfunktion 4710 hinzugefügt wird.
  • Bei der in 53 gezeigten Struktur wird nicht erkannt, daß der nicht-rastende Schalter 1701 gedrückt wurde, wenn der Statusübergang von Status (1), Status (2) und Status (3) nicht innerhalb einer vorbestimmten Zeit T2 abgeschlossen ist.
  • 54 zeigt den Statusübergang der Schalterschnittstellenfunktion 4710, die die obige Funktion realisiert. Dieser Statusübergang stimmt im Prinzip mit dem in 51 gezeigten überein. Wenn der nicht-rastende Schalter 4701 nicht dauernd für die vorbestimmte Zeit T1 oder länger innerhalb der vorbestimmten Zeit T2 während des Dauerloslaß-Wartestatus S2 losgelassen wird, dann wird eine Zeitgrenze überschritten und der Status kehrt zu dem Dauerloslaß-Wartestatus S4 zurück.
  • Bei der in 55 gezeigten Struktur wird nicht erkannt, daß der nicht-rastende Schalter 1701 gedrückt wurde, wenn der Statusübergang von Status (1) zu Status (2) und der Statusübergang von Status (2) zu Status (3) nicht in vorbestimmten Zeiten T2 und T3 abgeschlossen werden.
  • 56 zeigt den Statusübergang der Schalterschnittstellenfunktion 4710, die die obige Funktion realisiert. Dieser Statusübergang stimmt im wesentlichen mit dem in 51 gezeigten überein. Wenn der nicht-rastende Schalter 4701 nicht dauernd für die vorbestimmte Zeit T1 oder länger innerhalb der vorbestimmten Zeit T3 während des Dauerloslaß-Wartestatus S2 losgelassen wird, dann wird eine Zeitgrenze überschritten und der Status kehrt zu dem Dauerloslaß-Wartestatus S4 zurück. Wenn der nicht-rastende Schalter 4701 nicht dauernd für die vorbestimmte Zeit T1 oder länger innerhalb der vorbestimmten Zeit T2 während des Dauerdruck-Wartestatus S1 gedrückt wird, dann wird eine Zeitgrenze überschritten und der Status kehrt zu einem Dauerdruck-Wartestatus S1' zurück, und dann zu einem Dauerdruck-Wartestatus S1, um auf ein dauerndes Drücken während T1 oder langer zu warten. Das heißt, das Messen der Dauerdruckzeit in dem Dauerdruck-Wartestatus S1 wird durch die Zeitgrenze gelöscht. Wenn beim Überschreiten der Zeitgrenze ein Alarm ausgegeben wird, wird es möglich, über einen Ausfall in der Nähe des nicht-rastenden Schalters 4701 Meldung zu machen.
  • Bei den in 53 bis 56 gezeigten oben beschriebenen Strukturen ist es möglich, die Erkennung eines Drückens des nicht-rastenden Schalters 4701 zu verhindern, die ansonsten durch einen Hängen-auf-l-Ausfall verursacht würde, der nach einer Dauer von einer vorbestimmten Zeit behoben wird, und es ist außerdem möglich, den Ausfall aufzufinden. Ein Ausfall des dauernden Prellens, der durch Kontaktdefekte des nicht-rastenden Schalters 4701 verursacht wird, kann ebenfalls aufgefunden werden.
  • Die nahe Struktur des nicht-rastenden Schalters 4701, wie zum Beispiel in 47 gezeigt, wurde beschrieben. Die in 57 bis 60 gezeigten Strukturen können ebenfalls verwendet werden, während die den obigen ähnelnden Aufgaben gelöst werden.
  • Der in 57 gezeigte nicht-rastende Schalter 4701 ist vom Schließertyp, dessen Kontakte beim Drücken des Schalters geschlossen und beim Loslassen geöffnet werden. Eine Eingangsleitung 4711 der Schalterinformationsverarbeitungseinheit 182 wird über einen Widerstand R auf eine Stromquelle Vcc heraufgezogen und über den nicht-rastenden Schalter 4701 mit Masse verbunden. Wenn der nicht-rastende Schalter 4701 losgelassen wird, wird bei diesem Beispiel ein High-Pegel an die Eingangsleitung 4711 der Schalterinformationsverarbeitungseinheit 182 angelegt, während beim Drücken des nicht-rastenden Schalters 4701 ein Low-Pegel angelegt wird.
  • Der in 58 gezeigte nicht-rastende Schalter 4701 ist vom Öffnertyp, dessen Kontakte beim Loslassen des Schalters geschlossen und beim Drücken geöffnet werden, im Gegensatz zu dem in 47 gezeigten. Ähnlich wie bei der in 47 gezeigten Schaltungsstruktur wird ein Signal auf der Eingangsleitung 4711 der Schalterinformationsverarbeitungseinheit 182 über den nicht-rastenden Schalter 4701 an eine Stromquelle Vcc angekoppelt. Wenn der nicht-rastende Schalter 4701 losgelassen wird, wird in diesem Beispiel ein High-Pegel an die Eingangsleitung 4711 der Schalterinformationsverarbeitungseinheit 182 angelegt, während beim Drücken des nicht-rastenden Schalters 4701 ein Low-Pegel angelegt wird.
  • Der in 59 gezeigte nicht-rastende Schalter 4701 ist vom Öffnertyp, dessen Kontakte beim Loslassen des Schalters geschlossen und beim Drücken geöffnet werden, im Gegensatz zu dem in 47 gezeigten. Im Gegensatz zu der in 47 gezeigten Schaltungsstruktur wird ein Signal auf der Eingangsleitung 4711 der Schalterinformationsverarbeitungseinheit 182 über einen Widerstand R auf eine Stromquelle Vcc heraufgezogen und über den nicht-rastenden Schalter 4701 mit Masse verbunden. Wenn der nicht-rastende Schalter 4701 losgelassen wird, wird in diesem Beispiel ein Low-Pegel an die Eingangsleitung 4711 der Schalterinformationsverarbeitungseinheit 182 angelegt, während beim Drücken des nicht-rastenden Schalters 4701 ein High-Pegel angelegt wird.
  • Bei dem in 60 gezeigten nicht-rastenden Schalter 4701 ist einer der Öffnerkontakte, die beim Drücken des nicht-rastenden Schalters 4701 geöffnet und beim Loslassen geschlossen werden, mit einem S-Eingang des RS-Flipflop 4703 verbunden, und einer der Schließerkontakte, die beim Loslassen des nicht-rastenden Schalters 4701 geöffnet und beim Drücken geschlossen werden, mit einem R-Eingang des RS-Flipflops 4703 verbunden. Andere der Öffner- und Schließerkontakte sind zusammen mit einer Stromquelle Vcc verbunden. Wenn der nicht-rastende Schalter 4701 losgelassen wird, wird in diesem Beispiel das RS-Flipflop 4703 zurückgesetzt und ein Low-Pegel wird an die Eingangsleitung 4711 der Schalterinformationsverarbeitungseinheit 182 angelegt, während beim Drücken des nicht-rastenden Schalters 4701 das RS-Flipflop gesetzt und ein High-Pegel angelegt wird.
  • Von diesen Beispielen kann das in 59 gezeigte Beispiel auf die bereits beschriebenen Strukturen angewandt werden. Im Fall der in 57 und 58 gezeigten Beispiele sind jedoch wie in 61 gezeigt die Polaritäten umgekehrt. Im Fall des in 60 gezeigten Beispiels kann ein Prellen von dem RS-Flipflop 4703 absorbiert werden, so daß eine Gegenmaßnahme des Prellens nicht notwendig ist.
  • 62 zeigt ein Verfahren der Verwendung eines Schalters gemäß einer Ausführungsform der Erfindung. Damit die Schalterschnittstellenfunktion 4710 der vorliegenden Erfindung ein Schalterdrücken erkennen kann, wird der links in 62 gezeigte Loslaßzustand für eine vorbestimmte Zeit T1 oder länger fortgesetzt, und danach wird der nicht-rastende Schalter 4701 für die vorbestimmte Zeit T1 oder langer, wie in der Mitte von 62 gezeigt, gedrückt, und dann wird der nicht-rastende Schalter 4701 losgelassen, wie rechts in 62 gezeigt. Wenn eine Anzeigeeinheit 4716 vorgesehen ist (in diesem Fall ist diese Anzeigeeinheit im Inneren des nicht-rastenden Schalters 4701 angebracht), wird diese Anzeigeeinheit 4716 eingeschaltet, wenn die Schalterschnittstellenfunktion 4710 einen Schalterdruck erkennt, um dadurch einen Bediener über den Schalterdruck zu informieren. Wenn der Status nicht für die vorbestimmte Zeit T1 fortgesetzt wird oder der Status nicht innerhalb der Zeitgrenzen T2 und T3 übergeht, erkennt die Schalterschnittstellenfunktion 4710 keinen Schalterdruck, so daß die Anzeigeeinheit 4716 nicht eingeschaltet wird. In diesem Fall werden die in 62 dargestellten Operationen nochmals durchgeführt.
  • 63 zeigt eine Ausführungsform der Hauptsystemverarbeitungsfunktion 4713. Wenn erachtet wird, daß ein Gefahren-Signal zu der Ausgangsleitung 4715 der Hauptsystemverarbeitungsfunktion 4713 gesendet werden muß, wird ein Gefahren-Ausgabesignal geliefert (Schritt 6300), wenn erachtet wird (Schritt 6300), daß der nicht-rastende Schalter 4701 gedrückt wurde, oder wenn nicht, wird ein Sicherheits-Ausgabesignal geliefert (Schritt 6302). Das Gefahren-Ausgabesignal ist ein Ausgabesignal, das sicher ist, wenn es von einem normalen Prozeß ausgegeben wird, und gefährlich ist, wenn es von einem anormalen Prozeß ausgegeben wird. Das Sicherheits-Ausgabesignal ist ein Ausgabesignal, das auch dann sicher ist, wenn es fälschlicherweise ausgegeben wird. Zum Beispiel ist auf dem Gebiet der Zugsteuerung ein Bremsausgabesignal zum Anhalten eines Zugs das Sicherheits-Ausgabesignal und ein Beschleunigungsausgabesignal zum Beschleunigen eines Zugs ist das Gefahren-Ausgabesignal.
  • Die Hauptsystemverarbeitungsfunktion 4713 kann mit einer Bremsfunktion ausgestattet werden, die als die Sicherheitsseite definiert wird, zum Ansteuern einer Bremse zum Anhalten eines Zuges, und mit einer Beschleunigungsfunktion, die als die Gefahrenseite defi niert ist, zum Beschleunigen des Zugs. In diesem Fall wird der Hauptsystemverarbeitungsfunktion 4713 ein Ausgabesignal der Schalterschnittstellenfunktion 4710 des nicht-rastenden Schalters 4701 zugeführt, und wenn erachtet wird, daß der nicht-rastende Schalter 4701 gedrückt wurde und die Schalterschnittstellenfunktion 4710 des nicht-rastenden Schalters 4701 ein Ausgabesignal liefert, dann wird der als die Gefahrenseite definierte Beschleunigungsprozeß durchgeführt, während, wenn die Schalterschnittstellenfunktion 4710 des nicht-rastenden Schalters 4701 kein Ausgangssignal liefert, der als die Sicherheitsseite definierte Bremsprozeß durchgeführt wird.
  • Wie oben können die Schalterschnittstellenschaltung 4714 und die Schalterschnittstellenschaltung 4710 des nicht-rastenden Schalters 4701 der vorliegenden Erfindung leicht auf ein ausfallsicheres System angewandt werden.
  • Gemäß der vorliegenden Erfindung kann man ein ausfallsicheres System mit einer einfachen Schnittstelle für einen nicht-rastenden Schalter realisieren, wobei das Gefahren-Ausgangssignal auch beim Auftreten eines Ausfalls des nicht-rastenden Schalters oder der Schalterschnittstellenschaltung unter allen Umständen vermieden wird.
  • Als letztes wird die Herstellung der in 1 gezeigten Informationsverarbeitungseinheit 110 auf einer einzigen LSI beschrieben.
  • 64 ist ein Schaltbild eines inneren Layouts eines Chips der in 1 gezeigten Informationsverarbeitungseinheit 110. Die Bezugszahl 6401 stellt ein p-Siliziumsubstrat eines Chips dar, auf dem Schaltungselemente, wie zum Beispiel CPUs 6410a und 6410b und Speicher 6411a und 6411b integriert sind. Die Bezugszahlen 6402a, 6402b und 6402 stellen tiefe n-Muldenschichten dar, die auf dem p-Siliziumsubstrat 6401 ausgebildet sind, wobei die Schaltungselemente, wie zum Beispiel CPUs 6410a und 6410b und Speicher 6411a und 6411b in diesen tiefen n-Muldenschichten integriert sind. Die Bezugszahlen 6404a, 6404b und 6406, 6405a, 6405b und 6407 stellen Stromversorgungsleitungen zu den tiefen n-Muldenschichten und integrierten Schaltungen dar. Die Bezugszahl 6408 stellt eine Versorgungsleitung einer Vorspannung dar, die an das p-Siliziumsubstrat 6401 angelegt werden soll. Die CPUs 6410a und 6410b sind bekannte Mikroprozessorkerne, wie zum Beispiel allgemeine CPUs. Die DRAMs 6411a und 6411b sind Speicher mit großer Kapazität, die sogenannte DRAM-Makrozellen, ferroelektrische Speichermakrozellen oder andere wiederbeschreibbare Speicher sein können. Die ROMs 6412a und 6412b speichern Programme und Daten und sind nicht notwendig, wenn die DRAMs 6411a und 6411b aus ferroelektrischen Speichern hergestellt werden. Die Eingabe-/Ausgabeeinheiten (IOUs) 6413a und 6413b sind Schaltungen zur Daten-Eingabe/Ausgabe über Bussignalleitungungen 6415a und 6415b zu und von außerhalb des Chips. Wie für Fachleute erkennbar ist, kann man neben Bussignalen auch serielle Signalleitungen hinzufügen. Eine Buskomparatorschaltung CMP 6414 vergleicht Daten auf den Bussignalen 6437a und 6437b in dem Chip.
  • In die tiefen n-Muldenschichten 6420a und 6420b integrierte Schaltungselemente sind spiegelsymmetrisch in bezug auf die tiefen n-Muldenschicht 6403 angeordnet und verdrahtet, damit die Verdrahtungslänge zu der CMP 6403 gleich wird, um Zeitsteuerungsentwürfe zu vereinfachen. Die Bussignale 6437a und 6437b in dem Chip sind in der Nähe der tiefen n-Muldenschicht 6403 verdrahtet, so daß die Anzahl von Schnittpunkten zwischen Signalen zu der CMP 6403 und Verdrahtungsmustern in jeder tiefen n-Muldenschicht 6402 verringert und Verdrahtungsprozesse effizient gemacht werden können.
  • 65 ist eine Querschnittsansicht des in 64 gezeigten Chips entlang der Linie X-X'. Gemäß der vorliegenden Erfindung werden die tiefen n-Muldenschichten 6402a, 6402b und 6403 unabhängig auf dem p-Siliziumsubstrat 6401 ausgebildet, um elektrisch getrennte CPUs, Speicher und CMP zu bilden, die in die tiefen n-Muldenschichten 642a, 642b und 6403 integriert sind.
  • 66 ist ein Funktionsblockschaltbild einer auf einem Chip integrierten Multi-Mikrosteuerung.
  • Dieses Blockschaltbild ist grob folgendermaßen aufgeteilt: ein Modul der A-Reihe, ein Modul der B-Reihe und ein gemeinsames Modul. Die Bezugszahlen 6410a, 6410b, 6411a, 6411b, 6412a, 6412b, 6413a und 6413b stellen CPUs, Speicher, ROMS und Eingabe/Ausgabeeinheiten dar, wie zuvor beschrieben. Der Buskomparator CMP 6414 überwacht Daten auf den internen Bussen 6437a und 6437b, und wenn Inkoinzidenz aufgefunden wird, wird ein Fehlersignal 6603 eingeschaltet. Durch den CMP 6414 zu vergleichende Signale können zum Beispiel Steuersignale jeder Reihe sein, zusätzlich zu sogenannten Bussignalen. Die IDREGs 6431a und 6431b sind Register zur Identifikation der A- oder B-Reihe von CPUs durch Lesen der Inhalte der Register gemäß einem Programm. Für eine solche Identifikation können für die Reihe spezifische feste Daten in IDREG gespeichert werden, wenn die LSI hergestellt wird, oder es können für die Reihe spezifische Daten von externen Anschlüssen von IDREGs (siehe 66) zugeführt werden.
  • RÜCKSETZEN 6432 ist eine Rücksetzsignalgeneratorschaltung zum Verteilen eines von einem externen Rücksetzanschluß 6602 zugeführten Rücksetzsignals auf jede Reihe und andere Schaltungen, synchron mit einem internen Takt der Mikrosteuerung. PLL 6433 ist eine Taktsignalgeneratorschaltung zum Verteilen eines Taktsignals, das von einem externen Taktanschluß 6600 jeder Reihe und anderen Schaltungen zugeführt wird, wobei die PLL die Funktion hat, einen Taktversatz in dem Chip durch Verwenden von PLL-Techniken (Phasenregelkreis) zu verringern, und außerdem eine Differenzfunktion des Verringerns eines Auftretens des gleichzeitigen Fehlers, der durch Rauschsignale verursacht wird, durch Verschieben eines Takts jeder Reihe um einen halben Zyklus. INT 6434 ist eine Interruptsignalgeneratorschaltung zum Verteilen eines Interruptsignals, das von einem externen Interruptanschluß 6603 zugeführt wird, oder eines Fehlersignals FEHLER 6602, das von dem Buskomparator CMP 6414 erzeugt wird, auf die CPUs 6419a und 6410b jeder Reihe, synchron mit dem internen Takt der Mikrosteuerung.
  • AWTREG 6435 ist ein Liaison-Register des Typs, bei dem Daten nur durch die CPU 6410a der A-Reihe geschrieben werden können und Schreibdaten der CPU 6410b vernachlässigt werden, obwohl Daten von beiden CPUs 6410a und 6410b gelesen werden können. BWTREG 6436 ist ein Liaison-Register des Typs, bei dem Daten nur durch die CPU 6410b der B-Reihe geschrieben werden können, und Schreibdaten der CPU 6410a vernachlässigt werden, obwohl Daten von beiden CPUs 6410a und 6410b gelesen werden können. Die Verwendung von AWTREG 6435 und BWTREG 6436 ermöglicht, für jede Reihe spezifische Daten beiden Reihen zuzuführen. Die Bezugszahlen 6438a und 6438b stellen logische OR-Elemente zum Versorgen der CPUs 6410a und 6410b mit Haltsignalen der jeweiligen Reihe, die von externen Haltanschlüssen 6601a und 6601b zugeführt werden, dar.
  • 67 zeigt die interne Struktur des CMP 6414. Die Register 6442a und 6442b speichern vorübergehend Daten auf den internen Bussen 6437a und 6437b. Adressendecodierer (DECs) 6443a und 6443b dienen zum Zugriff auf in die Steuerregister 6444a und 6444b des CMP 6414 gesetzte Daten. Während Daten in die Steuerregister gesetzt werden, wird der Busvergleich gültig gemacht. Wenn jedoch ein beliebiges der Steuerregister gelöscht wird, wird der Busvergleich ungültig, und sogar wenn Inkoinzidenz aufgefunden wird, wird das Fehlersignal 6603 nicht eingeschaltet. Das Setzen/Rücksetzen der Steuerregister kann explizit durch Kennzeichnen einer Adresse des Registers durchgeführt werden und kann automatisch durchgeführt werden, wenn eine spezifische Adresse (z.B. eine Liaison-Registeradresse) auf den internen Bus ausgegeben wird. Die Steuerregister 6444a und 6444b werden gelöscht, wenn von RÜCKSETZEN 6432 ein Rücksetzsignal zugeführt wird oder wenn ein Komparator 6441 Inkoinzidenz auffindet. Die Bezugszahl 6445 stellt ein logisches AND-Element dar. Ein Selektor SEL 6447 wählt durch Kennzeichnung durch eine Signalleitung 6446 eine Seite des Registers 6448, wenn die PLL 6433 die Differenzfunktion durchführt, und wählt die andere Seite, wenn die PLL 6433 die Differenzfunktion nicht durchführt.
  • Als nächstes werden die Hauptoperationen der in 66 gezeigten Multi-Mikrosteuerung beschrieben.
  • (1) Einrichtoperation
  • Wenn ein Rücksetzsignal von einer externen Schaltung RÜCKSETZEN 6602 zugeführt wird, werden die CPU und alle anderen Schaltungen initialisiert. Da das Rücksetzsignal im allgemeinen ein asynchrones Signal ist, können die CPUs beider Reihen mit verschiedener Zeitsteuerung zurückgesetzt werden. Um dies zu vermeiden, wird das Rücksetzsignal durch RÜCKSETZEN 6432 mit dem internen Takt synchronisiert und im Inneren des Chips verteilt. Beim Empfang des Rücksetzsignals wird der Busvergleich durch CMP 6414 ungültig. Unter den Bedingungen von Kein-Busvergleich, löschen die CPUs beider Reihen die Speicher und setzen Anfangswerte undargestellter Register und dergleichen. Nachdem die Initialisierung normal abgeschlossen ist, wird der Busvergleich gültig gemacht, um in einen vervielfachten Zustand einzutreten.
  • (2) Normalbetrieb
  • Im allgemeinen speichert sowohl die A- als auch die B-Reihe die gleichen Programme in dem Chip und diese Programme werden genau mit der gleichen Zeitsteuerung ausgeführt. Datentransfers über die internen Busse 6437a und 6437b werden durch den Buskomparator 6414 in der Einheit des Buszyklus verglichen. Wenn keine Inkoinzidenz besteht, wird das Signal FEHLER 6603 nicht eingeschaltet. Um keine Inkoinzidenz einer Eingabe-/Ausgabeoperation in bezug auf undargestellte externe Schaltungen zu erzeugen, ist es notwendig, externe Schaltungen bereitzustellen, die genau die gleichen Daten mit genau der gleichen Zeitsteuerung eingeben oder ausgeben.
  • Da das Interruptsignal 6603 im allgemeinen ein asynchrones Signal ist, können die CPUs beider Reihen mit verschiedener Zeitsteuerung zurückgesetzt werden. Um dies zu vermei den, wird das Interruptsignal durch INT 6434 mit dem internen Takt synchronisiert und den CPUs zugeführt.
  • (3) Betrieb bei Busvergleichsfehler
  • Wenn Daten auf den internen Bussen 6437a und 6437b durch bestimmte Gründe, wie zum Beispiel Elementverschleiß und DRAM-Betriebsrauschsignale inkoinzident werden, schaltet der CMP 6414 das Signal FEHLER 6603 ein. Wenn das Signal FEHLER 6603 eingeschaltet wird, erzeugt INT 6434 ein Fehlerinterruptsignal, das den CPUs 6410a und 6410b zugeführt wird. Die CPUs starten dann einen vorbestimmten Fehlerprozeß. Nach Erzeugung des Signals FEHLER 6603 halten die IOUs 6415a und 6415b ihre Ausgabeoperationen an und benachrichtigen die externen Schaltungen über einen Fehler.
  • (4) Einzelreihenbetriebsmodus
  • Wenn Vervielfachung nicht notwendig ist oder Programme entwickelt werden sollen, ist ein Einzelreihenbetrieb erwünscht. Eine wahlweise Reihe kann in einen Haltezustand versetzt werden und eine Einzelreihenoperation kann realisiert werden, indem das entsprechende der HALTs 6601a und 6601b aus der externen Schaltung eingeschaltet wird.
  • (5) Verfahren zur Verbesserung der Widerstandsfähigkeit gegenüber Rauschsignalen
  • Die Korrelation von Rauschsignalen, die aus Stromquellenleitungen eintreten, kann durch Verwendung hochunabhängiger Stromquellen für die tiefe n-Muldenschicht jeder Reihe und die tiefe n-Muldenschicht des Buskomparators CMP 6414 reduziert werden. Auf diese Weise kann man gleichzeitige Fehler reduzieren, so daß durch den CMP 6414 nicht aufgefundene Fehler reduziert werden können und die Zuverlässigkeit der Steuerung verbessert werden kann.
  • Als nächstes wird in bezug auf die Zeichnungen ein weiteres Beispiel für die Multi-Mikrosteuerung beschrieben.
  • 68 ist ein Schaltbild eines inneren Layouts eines Chips einer weiteren Multi-Mikrosteuerung, die die vorliegende Erfindung realisiert. Jedes konstituierende Element und der Querschnitt X-X' des Chips stimmen mit dem zuvor beschriebenen ersten Beispiel überein. Bei diesem zweiten Beispiel ist eine Eingabe-/Ausgabeeinheit IOU 5413 auf der gemein samen tiefen n-Muldenschicht integriert, um eine Zunahme von Eingabe-/Ausgabeanschlüssen zu unterdrücken. Auf den tiefen n-Muldenschichten 6402a und 6402b integrierte Schaltungen sind punktsymmetrisch in bezug auf die Mitte der tiefen n-Muldenschicht 6403 angeordnet und verdrahtet, so daß die räumliche Korrelation verringert werden kann. Auf diese Weise können gleichzeitige Fehler reduziert werden, so daß von dem CMP 6414 nicht aufgefundene Fehler reduziert werden können und die Zuverlässigkeit der Steuerung weiter verbessert werden kann. Die Bussignalleitungen 6437a und 6437b in dem Chip sind in der Nähe der tiefen n-Muldenschicht 6403 verdrahtet, um die Führungspunkte der Bussignalleitungen zu dem CMP 6414 zu verschieben, so daß die Anzahl von Schnittpunkten zwischen Signalen zu dem CMP 6403 und Verbindungsleitungen in jeder tiefen n-Muldenschicht 6402a, 6402b reduziert und ein Verdrahtungsprozeß effizient gemacht werden kann.
  • 69 ist ein Funktionsblockschaltbild der auf einem einzigen Chip integrierten Multi-Mikrosteuerung.
  • Jedes konstituierende Element stimmt mit dem ersten Beispiel überein. Die Eingabe-/Ausgabeeinheit IOU 6413 für den Datentransfer zu und von einer externen Schaltung wählt eines der Ausgabesignale aus der Reihe A und B zum Datenschreiben durch CPUs, oder es wird eine logische Summe oder ein logisches Produkt der Ausgabesignale dem externen Bus 6415 zugeführt. Für durch CPUs gelesene Daten, werden Daten auf dem externen Bus 6415 gleichzeitig den internen Bussen 6437a und 6437b zugeführt. Der ADC 6434 ist ein Analog/Digital-Umsetzer. Ein Analog/Digital-Umsetzer weist im allgemeinen Quantisierungsfehler auf. Wenn Analog/Digital-Umsetzer separat integriert werden, kann der Buskomparator CMP 6414 fälschlicherweise einen Fehler auffinden. Deshalb ist der Analog/Digital-Umsetzer auf der gemeinsamen tiefen n-Muldenschicht integriert, so daß dem internen Bus 6437 die gleichen Daten zugeführt werden können.
  • Die Funktionsweise des zweiten Beispiels ist die gleiche wie beim ersten Beispiel.

Claims (3)

  1. Informationsverarbeitungssystem (100) mit mehreren Modulen (120, 130) zum synchronen Ausführen desselben Befehls, mit einem Komparator (5; 140) zum Vergleichen interner Signale der mehreren Module (120, 130) und zum Liefern eines Richtigkeit darstellenden Ausgabesignals, falls Übereinstimmung zwischen den internen Signalen der mehreren Module besteht, und eines Unrichtigkeit darstellenden Ausgabesignals, falls keine Übereinstimmung besteht, und einer logischen UND-Schaltung (43) zum Empfangen eines Ausgabesignals von dem Komparator (5; 140), dadurch gekennzeichnet, daß die logische UND-Schaltung (43) mehrere D-Flip-Flops (FF1, FF2, FF3) aufweist und ferner dazu ausgelegt ist, Ausgabesignale von den mehreren Modulen (120, 130) zu empfangen, der Komparator (5; 140) dazu ausgelegt ist, ein alternierendes Signal als ein Richtigkeit darstellendes Ausgabesignal auszugeben, die logische UND-Schaltung (43) eine logische UND-Schaltung alternierender Logik darstellt, die ein alternierendes Signal nur dann liefert, wenn ein alternierendes Signal an alle Eingangsanschlüsse eingegeben wird, ein Ausgang des Komparators (5; 140) an den Takteingabeanschluß des D-Flip-Flops (FF3) letzter Stufe der logischen UND-Schaltung (43) angeschlossen ist, die Frequenz des alternierenden Signals von dem Komparator (5; 140) höher eingestellt ist als die höchste Betriebsfrequenz einer Schaltung (7), die an die Ausgabeseite der logischen UND-Schaltung (43) angeschlossen ist, und das Ausgabesignal der logischen UND-Schaltung (43) als Ausgabesignal des Systems (100) verwendet wird.
  2. System nach Anspruch 1, wobei die internen Signale Signale auf Adressbussen, auf Datenbussen, oder auf Steuer bussen darstellen, die jeweils von Prozessoren (121, 131) der mehreren Module (120, 130) ausgegeben werden.
  3. System nach Anspruch 1 oder 2, wobei: ein Q-Ausgangsanschluß oder ein invertierter Q-Ausgangsanschluß jedes D-Flip-Flops (FF1, FF2) an einen D-Eingangsanschluß des D-Flip-Flops (FF2, FF3) nächster Stufe angeschlossen ist, ein Q-Ausgangsanschluß oder ein invertierter Q-Ausgangsanschluß des D-Flip-Flops (FF3) letzter Stufe einen Ausgangsanschluß der logischen UND-Schaltung (43) darstellt, der invertierte Q-Ausgangsanschluß oder der Q-Ausgangsanschluß des D-Flip-Flops (FF3) letzter Stufe an einen D-Eingangsanschluß des D-Flip-Flops (FF1) erster Stufe angeschlossen ist, und ein Eingangssignal zu der logischen UND-Schaltung (43) an einen Takteingabeanschluß jedes D-Flip-Flops (FF1, FF2, FF3) angeschlossen ist.
DE1997637573 1996-10-29 1997-10-27 Redundantes Datenverarbeitungssystem Expired - Lifetime DE69737573T2 (de)

Applications Claiming Priority (8)

Application Number Priority Date Filing Date Title
JP28639096 1996-10-29
JP28639096A JP3438490B2 (ja) 1996-10-29 1996-10-29 冗長システム
JP1365397 1997-01-28
JP01365397A JP3572844B2 (ja) 1997-01-28 1997-01-28 入力インタフェース回路及び入力インタフェース回路を用いた制御システム
JP1622897 1997-01-30
JP1622897A JPH10214534A (ja) 1997-01-30 1997-01-30 スイッチインタフェース、これを使用したフェールセーフシステム
JP6606497 1997-03-19
JP9066064A JPH10261762A (ja) 1997-03-19 1997-03-19 メモリを内蔵した多重化マイクロコントローラ

Publications (2)

Publication Number Publication Date
DE69737573D1 DE69737573D1 (de) 2007-05-16
DE69737573T2 true DE69737573T2 (de) 2008-03-06

Family

ID=27456051

Family Applications (2)

Application Number Title Priority Date Filing Date
DE1997618129 Expired - Lifetime DE69718129T2 (de) 1996-10-29 1997-10-27 Redundantes Datenverarbeitungssystem
DE1997637573 Expired - Lifetime DE69737573T2 (de) 1996-10-29 1997-10-27 Redundantes Datenverarbeitungssystem

Family Applications Before (1)

Application Number Title Priority Date Filing Date
DE1997618129 Expired - Lifetime DE69718129T2 (de) 1996-10-29 1997-10-27 Redundantes Datenverarbeitungssystem

Country Status (2)

Country Link
EP (2) EP0840225B1 (de)
DE (2) DE69718129T2 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE202019100080U1 (de) * 2019-01-09 2020-04-15 WAGO Verwaltungsgesellschaft mit beschränkter Haftung Vorrichtung zur Begrenzung einer Verlustleistung beim Abtasten eines digitalen Signals

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4319547B2 (ja) * 2001-12-11 2009-08-26 コンティネンタル・テーベス・アクチエンゲゼルシヤフト・ウント・コンパニー・オッフェネ・ハンデルスゲゼルシヤフト マルチコア型冗長制御コンピュータシステム、自動車における安全上重要な用途のためのコンピュータネットワーク並びにその使用
DE60327180D1 (de) 2002-02-25 2009-05-28 Scott Lab Inc Mit einem pannensicheren modul integriertes sedierung- und analgesiesystem
DE102005037242A1 (de) * 2004-10-25 2007-02-15 Robert Bosch Gmbh Verfahren und Vorrichtung zur Umschaltung und zum Signalvergleich bei einem Rechnersystem mit wenigstens zwei Verarbeitungseinheiten
WO2006045788A1 (de) * 2004-10-25 2006-05-04 Robert Bosch Gmbh Verfahren und vorrichtung zur modusumschaltung und zum signalvergleich bei einem rechnersystem mit wenigstens zwei verarbeitungseinheiten
US7969229B2 (en) 2009-02-19 2011-06-28 Hitachi, Ltd. On-chip redundancy high-reliable system and method of controlling the same
FR2964210B1 (fr) * 2010-08-24 2012-09-21 Airbus Operations Sas Systeme de traitement de signaux redondants, procede associe, et aeronef comprenant un tel systeme
FR2978585B1 (fr) * 2011-07-26 2013-08-16 Airbus Operations Sas Procede et dispositif d'estimation automatique d'un vecteur parametre de vol d'un aeronef, ainsi que methode et ensemble de detection d'une panne affectant un tel vecteur
CN112782966A (zh) * 2020-12-30 2021-05-11 卡斯柯信号有限公司 一种用于轨道交通信号控制的零散设备驱动系统
EP4328676B1 (de) * 2021-04-20 2026-04-29 Hitachi, Ltd. Digitale ausgabevorrichtung und verfahren zur erzeugung einer digitalen ausgabe

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6182201A (ja) * 1984-09-29 1986-04-25 Nec Home Electronics Ltd フエイルセ−フ制御回路
US4868826A (en) * 1987-08-31 1989-09-19 Triplex Fault-tolerant output circuits
JPH0731537B2 (ja) * 1987-09-11 1995-04-10 株式会社日立製作所 多重化制御装置
US4965717A (en) * 1988-12-09 1990-10-23 Tandem Computers Incorporated Multiple processor system having shared memory with private-write capability
GR930100359A (en) * 1993-09-02 1995-05-31 Koloni Sofia & Sia E E Strongly fail safe interface based on concurrent checking.
JP3412349B2 (ja) * 1994-12-28 2003-06-03 株式会社日立製作所 制御装置

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE202019100080U1 (de) * 2019-01-09 2020-04-15 WAGO Verwaltungsgesellschaft mit beschränkter Haftung Vorrichtung zur Begrenzung einer Verlustleistung beim Abtasten eines digitalen Signals
US11152856B2 (en) 2019-01-09 2021-10-19 Wago Verwaltungsgesellschaft Mbh Device for limiting a power loss during the sampling of a digital signal
EP3680908B1 (de) * 2019-01-09 2025-08-20 WAGO Verwaltungsgesellschaft mbH Vorrichtung zur begrenzung einer verlustleistung beim abtasten eines digitalen signals

Also Published As

Publication number Publication date
EP1291740A3 (de) 2005-03-23
EP0840225A2 (de) 1998-05-06
DE69718129T2 (de) 2003-10-23
EP1291740B1 (de) 2007-04-04
DE69737573D1 (de) 2007-05-16
DE69718129D1 (de) 2003-02-06
EP1291740A2 (de) 2003-03-12
EP0840225B1 (de) 2003-01-02
EP0840225A3 (de) 1999-02-24

Similar Documents

Publication Publication Date Title
DE2311034C2 (de) Verfahren zum Prüfen eines integrierte logische Verknüpfungs- und Speicherglieder enthaltenden Halbleiterchips
DE3486312T2 (de) Speicher mit programmierbarer Wortlänge in einem Gatterfeld mit bidirektionaler Symmetrie.
DE69706245T2 (de) Lokalisierung eines fehlerhaften Moduls in einem fehlertoleranten Rechnersystem
DE69433468T2 (de) Logischer Schaltkreis mit Fehlernachweisfunktion
DE69528468T2 (de) Verfahren und vorrichtung für fehlertoleranten taktgeber mit dynamischer rekonfiguration
DE2728676A1 (de) Stufenempfindliches, als monolithisch hochintegrierte schaltung ausgefuehrtes system aus logischen schaltungen mit darin eingebetteter matrixanordnung
DE2202231A1 (de) Verarbeitungssystem mit verdreifachten systemeinheiten
DE69737573T2 (de) Redundantes Datenverarbeitungssystem
DE2612100A1 (de) Digitale datenverarbeitungsanordnung, insbesondere fuer die eisenbahnsicherungstechnik
DE69223990T2 (de) Auch gegen mehrfachfehler sicherer, fehlertoleranter taktgeber
DE69317507T2 (de) Fehlertolerantes Rechnersystem mit einem in jedem Prozessormodul vorgesehenen Fehlerdetektor
EP2097980B1 (de) Integrierte schaltung mit strahlungsschutz
DE69433542T2 (de) Prüfung, sequenziellogischer Schaltung auf grund einer kombinatorischen Logikschaltungsveränderung
EP0287992B1 (de) Hochverfügbares serielles Bussystem
DE3855550T2 (de) Redundanz für Schaltungskomplex
DE2651314C2 (de) Sicherheits-Ausgabeschaltung für eine Binärsignale abgebende Datenverarbeitungsanlage
DE19814096B4 (de) Verfahren zur Umschaltung redundant geschalteter, gleichartiger Baugruppen
DE69122001T2 (de) Integrierte Schaltung mit einer Standardzelle, einer Anwendungszelle und einer Prüfzelle
DE3486064T2 (de) Logische schaltung mit eingebauter selbsttestfunktion.
EP1430321B1 (de) Elektronischer baustein
DE4233271C2 (de) Integrierte Halbleiterschaltungsanordnung mit einer Fehlererfassungsfunktion
EP1998448B1 (de) Elektrischer Schaltkreis mit Doppel-Modul-Redundanz zur Handhabung von Single-Event-Effekten
EP1807760B1 (de) Datenverarbeitungssystem mit variabler taktrate
DE2023117B2 (de) Ausfallsicheres Steuersystem zur UEbertragung von digitalen Informationen
DE4401168C2 (de) Vorrichtung zur fehlertoleranten Ausführung von Programmen

Legal Events

Date Code Title Description
8364 No opposition during term of opposition