JPH0315946A - フオールトトレラント方法及びシステム - Google Patents

フオールトトレラント方法及びシステム

Info

Publication number
JPH0315946A
JPH0315946A JP1273799A JP27379989A JPH0315946A JP H0315946 A JPH0315946 A JP H0315946A JP 1273799 A JP1273799 A JP 1273799A JP 27379989 A JP27379989 A JP 27379989A JP H0315946 A JPH0315946 A JP H0315946A
Authority
JP
Japan
Prior art keywords
subsystem
output
reliability
subsystems
result
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP1273799A
Other languages
English (en)
Other versions
JPH07120294B2 (ja
Inventor
Nobuyasu Kanekawa
信康 金川
Toshihiko Kato
加藤 肇彦
Koichi Ihara
廣一 井原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP1273799A priority Critical patent/JPH07120294B2/ja
Publication of JPH0315946A publication Critical patent/JPH0315946A/ja
Publication of JPH07120294B2 publication Critical patent/JPH07120294B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Landscapes

  • Hardware Redundancy (AREA)

Abstract

(57)【要約】本公報は電子出願前の出願データであるた
め要約のデータは記録されません。

Description

【発明の詳細な説明】 〔産業上の利用分野〕 本発明は、フォールトトレラント方法及びシステムにか
かり,特にシステムの高信頼化に好適なサブシステム相
互の診断を行なう方法及びシステムに関する。
〔従来の技術〕
近年コンピュータの発達に従い、コンピュータが重要な
役割を果たすようになってきた。それに伴って、コンピ
ュータの信頼性が強く求められるようになった。コンピ
ュータの信頼性を損なう誤動作の要因として、ハードウ
エアの永久故障やソフトウエアのバグ、そして電気的雑
音や放射線の入射による一時的なデータエラーなどが挙
けられる。
システムの信頼性を高めるために,システムを構或する
サブシステムを冗長化,多重化する方広が用いられてい
る。多重化したサブシステムの出力の取扱い方法に関し
て.James N, Gray他著t渡辺栄一編訳,
フォールトトレラント・システム,マグロヒルブツク、
(1986).第11頁〜第12頁によると多数決を行
う方法やサブシステムの診断結果に基づいて出力を切り
換える方法などがある。
以下、第18図に従い公知例について説明する。
冗長化されたサブシステム1−1〜1−Nの出力3−1
〜3−Nは出力選択回路5′に入力される。出力選択回
路5′では出力3−1〜3−Hの多数決を取ったり、サ
ブシステム1−1〜1−Hについての診断結果に基づき
出力3−1〜3−Hの中から選択を行って最終出力6を
生成する。
〔発明が解決しようとする課題〕
上記従来技術のうち多数決による方法は、データの一致
/不一致により出力が選択されるために過渡フォールト
には強い反面、用意されたサブシステムのうち過半数の
サブシステムが正常でなければ、システムとしては正常
な動作が保証されないために、多重フォールトには弱い
という問題点があった。一方、診断結果に基づいて出力
を切り換える方法(待機冗長方式)では,1つ以上のサ
ブシステムが生存しさえすればシステムとしての生存が
保証されるために多重フォールトに対しては強い。しか
し,診断結果が誤りであった場合には出力の正常性が保
証されず、しかも診断の結果異常が検出され出力を切り
換えるときには出力が一時中断するために過渡フォール
トには弱いといった問題点があった。このために、従来
から出力信号の信頼度,連続性が第1に要求されている
用途には多数決による方法が用いられていた。
本発明は、上記従来技術すなわち,過渡フォールトに強
い多数決方式,多重フォールトに強い待機冗長方式のそ
れぞれの長所を合わせ持ったサブシステムの出力の選択
方法を提供することを目的とする。
〔課題を解決するための手段〕
本発明では上記目的を達成するために,自己診断結果や
サブシステム間のデータ比較などの結果により、各サブ
システムの出力の信頼度を動作中に推定して、推定した
信頼度がサブシステムの中で最も高いサブシステムの出
力を選択する。ここで、出力の信頼度とは、出力信号が
正しい確率のことであり、システム内で発生している事
象の関数として表される。
自己診断結果やサブシステム間のデータ比較などの結果
に着目し、信頼度の最も高いサブシステムを選択するた
めには、以下のようなアルゴリズム等を用いる。
■:自己診断の結果,正常と診断され、かつ処理結果が
他のサブシステムのものと一致しているサブシステムを
正常とみなしその出力を最終出力とする。
■の条件を満たすサブシ不テムがない場合には、■:処
理結果が他のサブシステムのものと一致しているサブシ
ステムを正常とみなしその出力を最終出力とする。
■の条件を満たすサブシステムがない場合には、■:自
己診断の結果、正常と診断されたサブシステムを正常と
なみしその出力を最終出力とする。
■の条件を満たすサブシステムがない場合には、■:出
力を停止するか,または正常な出力が得られないことを
警告する信号を出力する。
〔作用〕
自己診断の欠報率(サブシステムが異常であるのに正常
であると誤判定されてしまう確率)をPdε,誤ったデ
ータが一致してしまう確率をPaε,誤りの発生する確
率をPεとする。
誤ったデータが一致してしまう確率は、その誤り方がラ
ンダムであると仮定すれば、ランダムな2つのデータが
一致する確率と考えられ、P a i = 2−’  
          ・−(1)ただし n:データの
bit長 と表される。コンピュータシステムでデータをソフトウ
エアにより照合する場合には、通常データのbit長n
は大きな値をとることが多いため、PaE:#O   
          ・・・(2)であり、 Paε<Pdε           ・・(3)と考
えられる。
以上のことを考慮すると前記の手段のそれぞれの場合の
出力の信頼度Rdは、 Rd=(1−P: ・Pat)        −(5
)ただし、k:正常とされたサブシステムの数となる。
前記の手段を用いることにより(4), (5), (
6)と信頼度の高い出力が順次選択される。すなわち、
冗長化されたサブシステムの中で最も信頼度の高い出力
が選択されることになる。
〔実施例〕
以下、図面に従って本発明の実施例を説明する.第1図
は本発明の基本的な実施例である。冗長化されたサブシ
ステム1−1〜1−N(N:サブシステムの個数,自然
数)にはそれぞれにコンピュータシステム本来の目的で
あるデータ処理をするデータ処理機能200−1〜20
0−Nを有する。出力の信頼度を推定し、一番信頼度の
高い出力を判定する機能(以下、判定機能と略す)20
4による判定結果Sl〜SNに基づき,出力選択回路5
では、それぞれのサブシステムからの出力3−1〜3−
Nの中から一番信頼度の高い出力を選択し,最終出力と
する。本実施例によれば、出力の信頼度を推定し、推定
した信頼度に基づき出力を選択しているために、常の信
頼度の最も高いサブシステムからの出力を最終出力6と
することができる。また、1つでも正常に動作している
サブシステムが存在すれば、その正常なサブシステムの
出力をシステムの最終出力とすることができる為に多重
フォールト(故障)に強いシステムを構築することがで
きる。
ここで、判定結果は、データ処理機能200−1〜20
0−Nからの出力より総合的に判断されて決められる。
この判定結果によりどのサブシステムの出力を選択する
かが決定される。判定結果siはサブシステム1−iが
正常であるか異常であるかという情報を示す。つまり、
iは判定の客体となるサブシステムの番号を表す。
第2図は他の実施例で,判定機能204を多重化してサ
ブシステム1−1〜1−Nの中に組み込み,判定機能2
04−1〜204−Nとした実施例である。本実施例の
場合、判定機能204−1〜204−Nによる判定結果
31〜SNは、各々のサブシステムごとに出力される。
これを相互診断結果4−1〜4−Nとする.各々の相互
診断結果は各々のサブシステムでの判定結果81〜SN
から構成される.本実施例によれば、第1図における判
定機能204を判定機能204−1〜204−Nと多重
化したために判定機能の故障や誤動作による誤った判定
により、誤った出力を選択してしまうことを防止できる
。さらに、第12図のように選択機能205−1〜20
5−Nを各々のサブシステムに持たせることも可能であ
る。
ここで、相互診断結果とは、冗長化された複数のサブシ
ステム相互間で行われる診断の結果をいい、自己診断結
果とサブシステム相互のデータの一致不一致により決定
される。相互診断結果は診断の容体となるサブシステム
それぞれの正常異常を表す。本発明では主として相互診
断の手段を提供するものである。
この相互診断はサブシステムそれぞれにより決定される
。つまり診断の主体となるサブシステムによって異なる
結果となることもある。
相互診断結果4−i(i:1からNの自然数)は、サブ
システム1−iで決定された相互診断結果を示す。つま
り、iは診断の主体となるサブシステムの番号を表す。
以下に出力の信頼度を推定し、一番信頼度の高い出力を
判定するための実施例を示す。
第3図は本発明の判定機能を示す実施例である。
第l図に示すアルゴリズムでRdが一番高いサブシステ
ムを選択することができる。
式(4), (5), (6)のように、出力の信頼度
Rdはサブシステムについての自己診断結果や、データ
の一致/不一致といった事象の組み合わせ、即ちサブシ
ステムの症状によって表される。
第1図では症状をRdの高い順に、 Syndromel , Syndrome2 , ゛
゜゛゜゜SyndromeL(L : Syndrom
eの総数) すなわち R d (Syndrome 1 )> R d (S
yndrome 2 )> −> R d (Synd
rome L )         ・・・(7)ただ
し、R d (Syndrome i ) : Syn
drome iがw4測されているときの 出力の信頼度 となるように記述している。なお、Syndrome 
1は最良の症状即ち全く異常が検出されないということ
を表し,一方Syndrome Lは最悪の症状即ち全
てのチェック項目で異常が検出されたということを表す
。例えば、チェック項目が自己診断結果とデータの比較
の2つだけである場合には、Syndrome1は自己
診断で異常が検出されずかつデータが一致していること
を表し、Syndrome Lは、自己診断で異常が検
出されかつデータが不一致を起こしていることを表す。
第3図に示すアルゴリズムに従うと、以下のように最良
の症状から順次症状のグレードを下げて行くことにより
,個々のサブシステムのうち一番Rdの高いサブシステ
ムの信号を選択することができる。
if any subsystem has Synd
romelthen select the subs
ystem(s) which hasSyndrom
el , else if any subsystem has
 Syndrome2then select the
 subsystem(s) which hasSy
ndrome2 , else  if  any  subsystem 
has SyndromeL−1then  sele
ct the subsystem(s)tyhich
 hasSyndromeL−1, else  output  fail  safe 
 signal.第4図は、本発明他の判定機能を示す
実施例で、Paε<Pdε          ・・(
8)が或り立つ場合に、最も信頼度の高いサブシステム
の出力を選択するためのアルゴリズムである。
なお、図中で「正常」は当該サブシステムが自己診断の
結果正常と判断されたという事象を表しており、「一致
」は処理結果が当該サブシステムの処理結果と一致する
サブシステムが他に存在することを表している。
〈自己診断の方法〉 なお、自己診断の方法としてはコンピュータ・システム
の場合を例にとれば、 ■ RAMに付加したE C C (Error Co
rrectingCode :誤り訂正符号)エンコー
ダ/デコーダによりbit誤りを訂正,検出したという
情報■ マイクロプロセッサが持つ誤り検出機能による
検出結果(バス・エラー,アドレス・エラーなど) ■ ハードウエアの機能診断プログラムの実行結果 ■ 分散配置データ(重要なデータは同一サブシステム
内でも多重化しておきそれらを照合し、不一致が検出さ
れた場合には多数決により訂正を行う)の照合結果 ■ マイクロプロセッサの演算ユニットなどに付加され
た誤り検出機能による誤り検出結果などを用いる方法が
従来から提案されており、これらを用いればよい。
く自己診断結果の段階〉 第5図は自己診断結果にいくつかの段階(本実施例の場
合2段階)がある場合の判定機能を示す実施例である。
たとえば、上記■のECCによりbit誤りを訂正,検
出したという情報を自己診断の結果として用いた場合、
その結果としては1bit誤り訂正, 2bit誤り検
出の2段階の情報が得られる。
通常用いられているS E C − D E D (S
ingleError Correction Dou
ble Error Detection)コードによ
るFCCでは、3 bit以上の誤りが発生した場合に
は1 bitまたは2 bit誤りとして検出される。
また極めて小さい可能性ではあるが、3bit.以上の
誤りが検出されないこともある。したがって、訂正可能
な1 bit誤りが検出された場合や誤りが検出されな
かった場合でも3 bit以上の誤りが発生している可
能性がある。ここで1 bit誤りが発生していないと
いう事象を「正常IJ,2 bit以上の誤りが発生し
ていないという事象を「正常2」と表すことにし、正常
1,正常2それぞれの場合の欠報率をPdεx,Pdε
2とすると、Pa ε<Pd εt<Pd E2   
  −(9)という関係になる。
本実施例により、出力の信頼度が Rd=(1−Pε ・Pa ε)、       −(
12)であるサブシステムの出力を順次選択することが
できる。
処理結果が他のサブシステムの処理結果と一致したとい
う事象にも処理結果が一致したサブシステムの数によっ
てサブシステムの出力の信頼度に幾つかの段階がある。
この場合も本実施例のように「一致」という事象を幾つ
かの段階に分けて判断することができる。
また、自己診断結果の欠報率が極めて低く、P a ε
>P d E 1          ・・l15)が
或り立つ場合には、第6図に示すアルゴリズムで出力の
選択を行えばよい。
く出力の信頼度レベルの設定〉 第7図は第3図の実施例に,出力の信頼度が要求された
値よりも高いかどうかの判断を加えたものである。
Syndrome↓からSyndrome L − 1
まで、順次症状のグレードを下げ、かつ出力の信頼度が
要求値よりも高いサブシステムがある場合には,当該サ
ブシステムの出力を選択し、条件を満たすサブシステム
が存在しない場合には誤りであることを示す信号を出力
する。
本実施例によれば、要求値未満の信頼度の出力を防止で
き、システムの動作の安全性を保証することができる。
なお、信頼度の要求値は第8図のようにして、図中のレ
ベルの値により設定することができる。
要求された水準を満たす出力が得られない場合には、出
力を停止するか警告を示す信号を出力するようにすれば
、システムの生存確率だけでなく安全性も維持すること
ができる。
ここでレベルは信頼度の要求水準を表し、その値により
、 1:Rd≧(1−Pi  ・Pa g)、      
・(17)0:Rd≧(1−Pε ・Pd ε)、  
    ・・・(18)とすることができる。
制御装置のフエイル・セイフ性は、制御対象の動作の安
全性を維持するために必要であり、交通制御などのシス
テムの誤動作が人命に危険を与えたり、社会に大きな混
乱を与えるような応用分野では特に重要な機能である。
また本実施例によれば適当なレベルを選択することによ
り、同一のシステム構或で種々の目的に対応できるフォ
ールトトレラント・コンピュータを構或することができ
る。たとえば,商用のオンライン・システムに使用され
るコンピュータではAvailabilityの向上を
第一に考えなければならない。このような場合には先に
述べたレベルをOに設定すれば,出力の信頼度の最低水
準は下がるが,最高のAvailabilityを得る
ことができる。また、航空機のフライト・コントロール
などに用いられるコンピュータでは、出力の信頼度を第
一に考えなければならない。このような場合には先に述
べたレベルを2に設定することにより最高の出力の信頼
度を得ることができる。このように本実施例によれば、
従来困難であったAvailabilityと出力の信
頼度との両立やトレードオフが極めて容易になる。
またコンピュータの用途によって動作中に要求信頼度の
レベルを変化させることが必要である。
例えば航空機のフライト・コントロールなどでは飛行の
各段階により適切なレベルを設定することにより搭乗者
の安全を保証することができる。航空機の離陸時を考え
てみる。速度がv1を超えるまでは先に述べたレベルを
2に設定しておくことにより、僅かでもコンピュータに
不具合が生じた場合には直ちに離陸を中止することがで
きる。速度がV1を超えてからは先に述べたレベルを1
またはOに設定することにより加速を継続して一旦離陸
したのち着陸することができる。
くハードウエア構成〉 第9図は、本発明を実施するためのハードウエアの一例
である。
本発明を実施するためには前記のような複雑な条件判断
が必要であるためコンピュータ・システムでは、これら
の条件判断(相互診断)はソフトウエアにより実施する
のがよく、しかも条件判断を多重化するためにこれらの
条件判断を冗長化したサブシステム1−1〜1−Nで実
施するのがよい。相互診断に必要な処理結果や、自己診
断結果などの情報は、サブシステム間を結ぶ通信路2を
経由して交換される。システムの最終出力を1つに絞る
必要がある場合には,最後に出力選択回路5でソフトウ
エアにより行われた条件判断による相互診断結果(それ
ぞれのサブシステムが正常か異常かという情報)4−1
〜4−Nにより、出力3−1〜3−Hの中からハードウ
エア的に選択をして最終出力6とすればよい。
第10図に個々のサブシステムの構戒の例を示す。サブ
システム1はバス上O L + M P U (Mic
roProcessing IJnit) 1 0 2
 , F C C符号器複合器I Q 3,  RAM
 (Random Access Memory)  
1 04+DMAC  (Direct Memory
 Access Controller)1 0 5,
 ROM (Read Only Memory) 1
 0 6 ,入力インターフェース107,出力インタ
ーフェース↓08からなるコンピュータに相互診断結果
出力インターフェース109,サブシステム間通信イン
ターフェース110を付加することによって構或できる
出力選択回路5は既に出願されている特願昭63−11
8603号により提供されているM V (Modif
ied1/oter)によればよく、この構或図を第1
1図に示す。
第1表に4重系までのシステムに対応できるMVを構或
するため多数決回路に前置するスイッチ・マトリックス
50の論理表の例を示す。この表でS1〜S4はサブシ
ステム1−1〜1−4についての判定結果(サブシステ
ム1−1〜1−4が正常か以上かという情報)Sl〜S
4を表しており、3−1〜3−4はサブシステム1−1
〜1一4からの出力を表す。また、F.S.はフエイル
・セーフ信号(全てOまたはl),*はDon’t C
areを表わす。
サブシステム1−1〜1−3の全てが正常と判定されて
いる場合には3人力の多数決回路51にはサブシステム
1−1〜1−3の出力3−1〜3−3が入力されて通常
の多数決と同じ動作をする。
サブシステム1−1〜1−3のうち1つのサブシステム
がフォールト状態となった場合には、フォールト状態と
なったサブシステムの出力の代わりにサブシステム1−
4の出力がスイッチ・マトリックス50を経て出力50
−4として多数決回路51に入力される。以上のように
してこの場合にはMVにより待機系付き多数決(HMR
:Hybrid Majority Redundan
cy)が実現される。このスイッチマトリックスによる
もし■つのサブシステムだけが正常で他が異常である場
合には、多数決回路51の全入力端子には正常なサブシ
ステムの出力が入力されて,多数決回路51はサブシス
テムの出力と同一な信号を出力する.このMVを3重系
に使用する場合にはサブシステム1−4についての判定
結果S4をフォールト即ちOにすればよい。この場合ス
イッチ・マトリックスの論理表は第2表のようになる。
サブシステム1−1〜1−3の全てが正常と判定されて
いる場合には多数決回路51にはサブシステムl−1〜
l−3の出力3−1〜3−3が入力されて通常の多数決
と同じ動作をする。もしtつのサブシステムだけが正常
で他が異常である場合には、4重系の場合と同様にして
多数決回路5工には正常なサブシステムの出力が入力さ
れて、多数決回路は当該サブシステムの出力と同一な信
号を出力することになる, さらにMVを2重系に使用する場合にはサブシステムl
−3.1−4についての判定結果S3,S4をフォール
ト即ちOにすればよい。この場合のはスイッチ・マトリ
ックスの論理表は表3のようになる。サブシステムL−
1.1−2の両方が正常と判定されている場合には多数
決回路51の出力では3−1.3−2,F.S.の多数
決の結果が得られる。この場合.3−1=3−2の場合
には3−1(=3−2)なる出力が得られる。また3−
1≠3−2の場合には3−1.3−2は上かOのどちら
かであり、F.S.は全て1か全て0のいずれかである
ので、多数決回路5工の出力には全て1か全てOの信号
即ちF.S.が得られる。サブシステム1−1.1−2
の一方が正常と判定されている場合には多数決回路51
の全入力端子には正常と判定されているサブシステムの
出力が入力されて、多数決回路5lは正常と判定されて
いるサブシステムの出力を出力する。
第12図に本発明の処理の流れを示す。それぞれのサブ
システムでのデータ処理200−1〜200−Hの結果
は通信路2を経てサブシステム1−1−1−N間で交換
され,データ比較201〜1〜201〜Nに使用される
。またそれぞれのサブシステムでの自己診断202−1
〜202−Nの結果203−1〜203−Nもサブシス
テム間で交換される。各サブシステム1−1〜1−Nの
判定機能204−1〜204〜Nではデータ比第  1
  表 第  2  表 第  3  表 較201−120〜1−Nの結果および交換された自己
診断結果203−1〜203−Nをもとに本発明で提供
する方法により選択すべきサブシステムの出力を決定し
、選択機能205−1〜205−Nで当該出力を選択し
てサブシステムの出力3−1〜3−Nとする。
出力選択回路5では、各サブシステム1−1〜1−Nよ
りの相互診断結果4−1から4−Nにもとづき、サブシ
ステムの出力3−1〜3−Hの中から最終出力6を選択
する。
データ処理200−1 〜200−N,データ比較20
1−1〜2 0 1−N,判定機能204−1〜204
−N,選択機能205−1〜2 0 5 − Nはハー
ドウエアでもソフトウエアでも実現することが可能であ
る。システム全体のハードウエア量を削減し小形軽量化
を図るためにはこれらの機能はソフトウエアで実現した
方がよい。
なお、図中、データ比較201−2〜201一N,判定
機能204−2〜204−N,!!択機能205−2〜
205−Nは省略している。
サブシステム1−1−1−Hの設計製作に際して、設計
製造上の誤りが有った場合には,データ処理200〜1
〜200−Nの結果が同一の誤りを犯すことがある。こ
の場合本方式では誤った処理結果データ同志が一致して
しまうため、誤ったデータをそのまま出力してしまう。
このような弊害を防ぐためには設計製造を多重化(デザ
イン・ダイバーシティ)すればよい。
デザイン・ダイバーシティの方法としては、■ サブシ
ステム1−1〜1−Nのハードウエアをそれぞれ別々に
設計製作する。
■ データ処理200−1〜200−N,データ比較2
01−1〜201−N,判定機能204−1〜204−
Nまたは選択機能205−1〜205−Nをソフトウエ
アにより実現する場合、その全てまたは一部をサブシス
テムごとに別々に設計製作する。
などがあげられる。
特に■の方法はN −Version Program
mingと呼ばれ、バージョン間の独立性を高めるため
にバージョンごとに別々の言語を用いてプログラミング
するということが広く行われている。
第13図ならびに第14図に示す実施例は、ロボットマ
ニピュレータの画像入力の方法をその応用対象とする。
ロボットマニピュレー夕では、操作対象物体の形状,位
置,姿勢等を画像入力装置より採取した画像により認識
し、操作装置の接近開始点と接近角度を決定する。その
場合、本発明のフォールトトレラント方法を以下のよう
に適用する。
第13図に示すように、複数の画像入力装置を異なる位
置に設置し、異なる角度から操作対象物体を撮影して画
像を採取する。採取した画像を画像入力装置の位置の良
否,画面情報の鮮明度,画像入力装置の正常/異常等に
より評価し、それらの組合せの中で一番信頼性が高く、
一番操作の容易な組合せを選択する。
第14図(a),(b),(c),(d)は、同一操作
対象物体に対して、異なる4方向から採取した画像を表
わしている。物体は基準座標に対し6自由度を持ち、そ
の重心位ipの座標X,Y,Zならびに方向角α,β,
γの合計6コのパラメータによって、その物体の位置な
らびに姿勢が決まる。
これに対し、画像入力装置も6自由度を有し、異なる位
置と角度から物体の画像を得ることができる。第14図
の各画像は垂直軸まわりの方向角(ヨー角)βが異なっ
ているが、他のパラメータは同一である。これら4面の
画像のすべてが鮮明に得られる場合には、4面すべてを
利用して物体の位置と姿勢の正確な認識結果を得ること
ができる。しかし、何らかの理由で画像の品質が低下し
た場合、4面の画像から得られたパラメータが不一致を
起こす場合がある。このような場合には信頼性の高い画
像から得られた情報を採用し、他を棄却する。第14図
の例では、重心付近の空間周波数の低さにより、(d)
→(a)→(b)→(C)の順に信頼性が高い。従って
4面の画像が正常に得られて、それらから得られるパラ
メータが大きな誤差なしに一致する場合は、これら4面
の画像をすべて利用してパラメータの信頼性を最大にす
ることができる。しかし、4面の画像から得られるパラ
メータが不一致を起こした場合は、(c)→(b)→(
a)→(d)の順に、その画像から得られたパラメータ
を棄却することによって、パラメータの信頼性低下を極
力防止する。
もし、画像入力装置に故障があって、特定の画像が不鮮
明になったり得られなかったりする場合には,残りの画
像に対して信頼性の優先度を与え以下同様にして,得ら
れる限り最高の信頼性を維持する。
画像入力装置と操作対象物体の位置関係は時々刻々変化
して行くために、どの画像入力装置の画像が一番信頼性
が高いかは、画像を常に解析処理して決める必要がある
。このために、例えば第13図の画像解析処理装置を,
コンピュータを利用して構或することにより,頻繁に画
像の信頼性を評価し,画像入力装置を診断する。
〈判定結果の作成〉 判定結果81〜SNは ■ 特願昭63−118603号により提供されている
判定回路により相互診断結果4−1〜4−Nから作戒す
る方法や、 ■ サブシステム1−1〜1−Nの相互診断結果4−t
〜4−Nのうち当該サブシステムについてのものをそれ
ぞれ取り出して判定結果Sl〜SNとする方法、 などにより作戊する。
また■の方法で、マイクロプロセッサの暴走などにより
誤った判定結果81〜SNが出力されることのないよう
に、第15図のようにそれぞれのサブシステムの判定結
果81〜SNの出力インタフェース109−1〜109
−Nに鍵コードを設け、判定結果81〜SNを正常とす
るためには特定の鍵コードデータを書き込まなければな
らないようにすればよい. また特願昭63−118603号に示すように、MV5
0や判定回路を多重化してその出力を多数決回路でまと
めることによりMV50や判定回路の回路が複雑である
ことによる信頼度の低下を防ぐことができ、さらに信頼
度の高いシステムを提供することができる。
第↓6図に判断部分のC言語によるコーデイングの例を
示す。agreeは出力データの一致不一致,chec
kは自己診断の結果の正常/異常を、goodは相互診
断結果4−1 〜4−Nを表す。agree ,che
ck, goodのデータの各bitは第17図のよう
にそれぞれのサブシステムの正常/異常を表し,正常な
らばH,異常ならばLレベルを示す。例えば,サブシス
テム1−1のデータが他のサブシステムのデータと一致
せず、他のサブシステム1−2〜l−Hのデータ同志は
一致している場合には、変数agreeのLSB側から
1ビット目のみがL(0)レベルとなり、他のビットは
H(1)レベルとなる。
また、サブシステム1−1のみが自己診断の結果、異常
と判断された場合には、変数checkのLSB側から
1ビット目のみがL (0) レベノレとなり、他のビ
ットはH(1)レベルとなる。
以上の様に各変数の構造を定めれば,相互診断結果4−
1〜4−N即ち変数goodを得るために必要な判断は
bitごとの論理演算により第16図の実施例のように
容易に実施できる。本実施例によれば、変数agree
, check, goodの適切な型宣言を行なうこ
とにより、同一のアルゴリズムによって任意の多重度の
システムに対応することができる。
〔発明の効果〕
本発明によれば、サブシステムが多数残存している場合
には出力の選択基準を厳しくして信頼度の高い出力を得
ることができ、残存しているサブシステムが減少してき
た場合には選択基準を緩めてシステム全体の生存を確保
することができる。
また、出力の信頼度が要求水準を満たさない場合には警
告を発するなどをしてシステムの動作のフエイルセイフ
性を確保することができる。
さらに任意の冗長度に容易に対応できるために,フォー
ルトトレラント・コンピュータ・システムの設計の自由
度を向上させることができる。
【図面の簡単な説明】
第1図,第2図は本発明の実施例を示す図,第3図,第
4図,第5図,第6図,第7図,第8図は判定機能の実
施例を示す図、第9図,第10図,第12図,第l5図
は本発明を実施するためのハードウエアの例を示す図、
第11図はMVの構或図、第13図,第14図は本発明
を応用した実施例を示す図、第16図はC言語によるコ
ーディングの例を示す図、第17図はデータ構成の実施
例を示す図、第18図は従来技術の構成図である。 1−1〜1−N・・・サブシステム,2・・・通信路、
3−1〜3−N・・・出力、4−1〜4−N・相互診断
結果、5,5′・・・出力選択回路、10−40〜1−
N・・・インターフェース、工5・・・多数決回路、工
8・・・スイッチ・マトリックス.31〜SN・・・判
定結果、410−1〜410−N・・・スイッチ・マ第
1図 第2図 ?UIJ −iN 第 3 図 第 5 図 第 4 図 第 6 図 第 7 図 第 9 図 第 8 図 第 10 図 1:サブ7ステム 第11 図 第 13 図 第 14 図 (a) (b) P (C) (d) 第16 図 #define none 0 extern unsigned +nt good; diagnosis(che+J,agree)uns
igned +nt che+J, agree ; { if(agree & cheCk) good=agree &checl( ;else if(agree) good=agree ; ease if(check) good=checl( ; else good=none ; 第 15 図 50 10−1.10−N :判定結果の出力インターフェース 第 17 図 MSB LSB MSB LSB

Claims (11)

    【特許請求の範囲】
  1. 1.複数の冗長化されたサブシステムの出力信号は出力
    選択回路に入力され、出力選択回路はサブシステムから
    入力された信号を選択して出力するフォールトトレラン
    ト方法において、 自己診断の結果、異常が検出されず、且つデータ比較の
    結果、データが一致している信頼度が最も高いサブシス
    テムからの出力を最先に選択し、 信頼度が最も高い上記サブシステムが存在しない場合に
    は、自己診断ならびにデータ比較の結果、信頼度が2番
    目に高いサブシステムからの出力を選択し、 2番目に信頼度が高い上記サブシステムが存在しない場
    合には、自己診断ならびにデータ比較の結果、信頼度が
    順次低い信頼度を有するサブシステムからの出力を選択
    することを特徴とするフォールトトレラント方法。
  2. 2.冗長化されたサブシステムにそれぞれ異なる手段ま
    たは異なる位置で採取した信号を入力することを特徴と
    する請求項第1項記載のフォールトトレラント方法。
  3. 3.冗長化されたサブシステムにおけるデータ処理をそ
    れぞれ異なる方法(N−versionProgram
    ming)により実現することを特徴とする請求項第1
    項記載のフォールトトレラント方法。
  4. 4.複数の冗長化されたサブシステムの出力信号は出力
    選択回路に入力され、出力選択回路はサブシステムから
    入力された信号を選択して出力するフォールトトレラン
    ト方法において、 自己診断の結果、正常であると判断され、且つ他のサブ
    システムとのデータ比較の結果、データが一致している
    信頼度が最も高いサブシステムからの出力を最先に選択
    し、 信頼度が最も高い上記サブシステムが存在しない場合に
    は、データ比較の結果、データが一致しているサブシス
    テムを2番目に信頼度が高いサブシステムとしてそのサ
    ブシステムの出力を選択し、 2番目に信頼度が高い上記サブシステムが存在しない場
    合には、自己診断の結果、正常であると判定されたサブ
    システムを3番目に信頼度が高いサブシステムとしてそ
    のサブシステムの出力を選択することを特徴とするフォ
    ールトトレラント方法。
  5. 5.複数の冗長化されたサブシステムの出力信号は出力
    選択回路に入力され、出力選択回路はサブシステムから
    入力された信号を選択して出力するフォールトトレラン
    ト方法において、 自己診断の結果、bit誤りが発生していないと判定さ
    れ、且つ他のサブシステムとのデータ比較の結果、デー
    タが一致しているサブシステムを1番目に信頼度が高い
    サブシステムとしてそのサブシステムの出力を選択し、 信頼度が最も高い上記サブシステムが存在しない場合に
    は、自己診断の結果、2bit以上の誤りが発生してい
    ないと判定され、且つ他のサブシステムとのデータ比較
    の結果、データが一致しているサブシステムを2番目に
    信頼度が高いサブシステムとしてそのサブシステムの出
    力を選択し、 2番目に信頼度が高い上記サブシステムが存在しない場
    合には、他のサブシステムとデータ比較の結果、データ
    が一致しているサブシステムを3番目に信頼度が高いサ
    ブシステムとしてそのサブシステムの出力を選択し、 3番目に信頼度が高い上記サブシステムが存在しない場
    合には、自己診断の結果bit誤りが発生していないと
    判定されたサブシステムを4番目に信頼度が高いサブシ
    ステムとしてそのサブシステムの出力を選択し、 4番目に信頼度が高い上記サブシステムが存在しない場
    合には、自己診断の結果2bit以上の誤りが発生して
    いないと判定されたサブシステムを5番目に信頼度が高
    いサブシステムとしてそのサブシステムの出力を選択す
    ることを特徴とするフォールトトレラント方法。
  6. 6.複数の冗長化されたサブシステムの出力信号は出力
    選択回路に入力され、出力選択回路はサブシステムから
    入力された信号を選択して出力するフォールトトレラン
    ト方法において、 自己診断の結果、正常であると判断され、且つ他のサブ
    システムとのデータ比較の結果、データが一致している
    信頼度が最も高いサブシステムからの出力を最先に選択
    し、 信頼度が最も高い上記サブシステムが存在しない場合に
    は、自己診断の結果、正常であると判定されたサブシス
    テムを2番目に信頼度が高いサブシステムとしてそのサ
    ブシステムの出力を選択し、 2番目に信頼度が高い上記サブシステムが存在しない場
    合には、データ比較の結果、データが一致しているサブ
    システムを3番目に高いサブシステムとしてそのサブシ
    ステムの出力を選択することを特徴とするフォールトト
    レラント方法。
  7. 7.複数の冗長化されたサブシステムの出力信号は出力
    選択回路に入力され、出力選択回路はサブシステムから
    入力された信号を選択して出力するフォールトトレラン
    ト方法において、 自己診断の結果、異常が検出されず、且つデータ比較の
    結果、データが一致している信頼度が最も高いサブシス
    テムからの出力を最先に出力し、 上記信頼度が最も高いサブシステムが存在しない場合に
    は、自己診断ならびにデータ比較の結果、信頼度が2番
    目に高く且つ信頼度が要求水準より高いサブシステムか
    らの出力を選択し、2番目に信頼度が高い上記サブシス
    テムが存在しない場合には、自己診断ならびにデータ比
    較の結果、信頼度が順次低く、且つ信頼度が要求水準よ
    り高い信頼度を有するサブシステムからの出力を選択す
    ることを特徴とするフォールトトレラント方法。
  8. 8.複数の冗長化されたサブシステムの出力信号は出力
    選択回路に入力され、出力選択回路はサブシステムから
    入力された信号を選択して出力するフォールトトレラン
    トシステムにおいて、冗長化されたサブシステムの出力
    の信頼度を推定する第1の手段と、 第1の手段により推定された信頼度が、冗長化されたサ
    ブシステムの中で最も高いサブシステムを判定し、該サ
    ブシステムの出力を選択する第2の手段を備えているこ
    とを特徴とするフォールトトレラントシステム。
  9. 9.出力の信頼度の要求水準を予め設定し、出力の信頼
    度の要求水準を満たすサブシステムが存在しない場合に
    は、出力を停止または、警告を表す信号を出力すること
    を特徴とする請求項第8項記載のフォールトトレラント
    システム。
  10. 10.冗長化されたサブシステムにそれぞれ異なる手段
    または異なる位置で採取した信号を入力することを特徴
    とする請求項第8項記載のフォールトトレラントシステ
    ム。
  11. 11.冗長化されたサブシステムにおけるデータ処理を
    それぞれ異なる方法(N−versionProgra
    mming)により実現することを特徴とする請求項第
    8項記載のフォールトトレラントシステム。
JP1273799A 1988-10-24 1989-10-23 フオールトトレラント方法及びシステム Expired - Lifetime JPH07120294B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP1273799A JPH07120294B2 (ja) 1988-10-24 1989-10-23 フオールトトレラント方法及びシステム

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
JP63-266055 1988-10-24
JP26605588 1988-10-24
JP1-60993 1989-03-15
JP6099389 1989-03-15
JP1273799A JPH07120294B2 (ja) 1988-10-24 1989-10-23 フオールトトレラント方法及びシステム

Publications (2)

Publication Number Publication Date
JPH0315946A true JPH0315946A (ja) 1991-01-24
JPH07120294B2 JPH07120294B2 (ja) 1995-12-20

Family

ID=27297355

Family Applications (1)

Application Number Title Priority Date Filing Date
JP1273799A Expired - Lifetime JPH07120294B2 (ja) 1988-10-24 1989-10-23 フオールトトレラント方法及びシステム

Country Status (1)

Country Link
JP (1) JPH07120294B2 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100408291B1 (ko) * 2001-08-08 2003-12-01 삼성전자주식회사 고장 및 잡음 허용 시스템과 그 방법
EP2192489A1 (en) 2008-11-28 2010-06-02 Hitachi Automotive Systems Ltd. Multi-core processing system for vehicle control or an internal combustion engine controller
WO2011099233A1 (ja) * 2010-02-10 2011-08-18 日本電気株式会社 多重化システム
RU2767018C2 (ru) * 2020-08-11 2022-03-16 Федеральное государственное казённое военное образовательное учреждение высшего образования "Военная академия воздушно-космической обороны имени Маршала Советского Союза Г.К. Жукова" Министерства обороны Российской Федерации Способ функционирования комплексов средств автоматизации систем обработки информации и управления и устройство, его реализующее
JP2022157519A (ja) * 2021-03-31 2022-10-14 株式会社Ihiエアロスペース 情報処理方法、情報処理システム、情報処理装置及び情報処理プログラム

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100408291B1 (ko) * 2001-08-08 2003-12-01 삼성전자주식회사 고장 및 잡음 허용 시스템과 그 방법
EP2192489A1 (en) 2008-11-28 2010-06-02 Hitachi Automotive Systems Ltd. Multi-core processing system for vehicle control or an internal combustion engine controller
US8417990B2 (en) 2008-11-28 2013-04-09 Hitachi Automotive Systems, Ltd. Multi-core processing system for vehicle control or an internal combustion engine controller
WO2011099233A1 (ja) * 2010-02-10 2011-08-18 日本電気株式会社 多重化システム
RU2767018C2 (ru) * 2020-08-11 2022-03-16 Федеральное государственное казённое военное образовательное учреждение высшего образования "Военная академия воздушно-космической обороны имени Маршала Советского Союза Г.К. Жукова" Министерства обороны Российской Федерации Способ функционирования комплексов средств автоматизации систем обработки информации и управления и устройство, его реализующее
JP2022157519A (ja) * 2021-03-31 2022-10-14 株式会社Ihiエアロスペース 情報処理方法、情報処理システム、情報処理装置及び情報処理プログラム

Also Published As

Publication number Publication date
JPH07120294B2 (ja) 1995-12-20

Similar Documents

Publication Publication Date Title
EP0366017B1 (en) Fault tolerant system and method of majority voting
US5086429A (en) Fault-tolerant digital computing system with reduced memory redundancy
US20030208704A1 (en) High integrity recovery from multi-bit data failures
EP0238841B1 (de) Fehlergesicherte, hochverfügbare Multiprozessor-Zentralsteuereinheit eines Vermittlungssystemes und Verfahren zum Speicherkonfigurationsbetrieb dieser Zentralsteuereinheit
EP0811916B1 (en) Mesh interconnected array in a fault-tolerant computer system
EP0263055B1 (en) Autoequalization in redundant channels
CN102822807B (zh) 控制计算机系统及其控制方法和使用
JPH0778750B2 (ja) 高信頼性コンピュータ方式
US20050278567A1 (en) Redundant processing architecture for single fault tolerance
US6334194B1 (en) Fault tolerant computer employing double-redundant structure
JPH0315946A (ja) フオールトトレラント方法及びシステム
WO1997020735A9 (en) Reconfigurable helicopter flight control system
CN111366391A (zh) 故障诊断方法及系统
KR101295770B1 (ko) 안전 무결성 확보를 위한 열차제어 시스템
JPH08314744A (ja) フォールトトレラントシステム
CN114416436B (zh) 基于SoC芯片面向单粒子翻转效应的可靠性方法
JPH01288928A (ja) 耐故障コンピュータ・システムおよびその内部回路並びに誤り検出訂正方式
WO1998009218A1 (de) Fehlererkennung in einem speichersystem
CN117859117A (zh) 用于安全关键应用中的至少一个接收设备的控制系统
CN121785836A (zh) 一种面向航空电子设备的抗单粒子翻转的处理方法
KR102771526B1 (ko) 모터 제어방법
US9772897B1 (en) Methods and systems for improving safety of processor system
CN112306763B (zh) 一种对冗余数据源的选择方法及装置
JP2000105675A (ja) ディスクアレイ装置
Al-Hashimi et al. Dependability under malicious agreement in n-modular redundancy-on-demand systems

Legal Events

Date Code Title Description
FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20071220

Year of fee payment: 12

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081220

Year of fee payment: 13

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081220

Year of fee payment: 13

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091220

Year of fee payment: 14

EXPY Cancellation because of completion of term