A602/D602 の高信頼性化の実現方法

 　A602/D602の構造は図１、図２のようになっています。A602/D602はプロセッサ（PowerPC IBM750）とメモリ（512MB ECC DDR RAM）は3重化され多数決方式で動作します。A602/D602は外部からの電源供給は2重化され、プロセッサとメモリ用のDC電源はそれぞれ独立に生成され供給されています。電源異常が発生しても全体に影響が及ばないように分割されています。 

 　3系統あるプロセッサとメモリの統合と多数決動作はFPGAが担っています。 多数決回路はプロセッサ側とメモリ側にそれぞれ存在し、それぞれが多数決判定をし、正しい方の結果を採用します。
　FPGAでの多数決判定回路の特徴は、3系統のプロセッサとメモリの出力信号をクロックレベルで比較判定します。これをクロックステップモードといいます。2対1で不一致を検出した場合、判定が一致していている2系統の結果を使い動作を継続します。誤りと判定したプロセッサやメモリは再同期処理が 完了するまで切り離されます。残っている2系統のプロセッサとメモリで更に誤りを検出した場合には、A602/D602は停止します。FPGAは従来ソフトウエアが担っていた3重化に必要な機能もハードウエア レベルで実現しています。

 　不一致が発生した場合、再同期処理を行い復帰を試みます。 再同期処理はソフトウエアが担い、3系統のプロセッサが同じソフトウエアコード を実行し、同じ状態にします。不一致が発生しなければ、3系統のプロセッサで 動作を継続します。

 　ブートプログラムが格納されるFlash メモリもECC 化と2 重化されています。

 　A602/D603への電源供給は２系統に分かれています。外部電源の異常を検知すると、A系統からB系統に切り替えます。

 　内部の電源はA系統とB系統の電源選択回路を経由してDC/DC電源に接続します。DC/DC電源はプロセッサとメモリのペア用に3系統あり、分散することで1系統のDC/DC電源に異常が発生しても、多数決方式が機能し制御は継続されます。DC/DC電源はFPGAや他の回路用に4系統目があります。

 　図３のように２台のA602/D602でクラスタシステムを組むことで、一方のシステムが故障しても、もう一方が動作を継続することが可能です。

 　２台のA602/D602を、IOや周辺機器を含めて図３のようなクラスタ構成をとります。
A602/D602には、２台のA602/D602間で制御を交代するための通信機能(DEX, BMCX Link )とセンサーの入出力と制御機器を切り替えるスイッチロジックを備えています。

通常動作しているシステム(Channel 1)が異常を検知すると、制御情報をバックアップ系(Channel 2)に移し、スイッチロジックで外部出力を切り替え、制御を切り替えます。

 BMCX Link 　　　２台のA602/D602のBMC(Base Management Controller) 間を接続する
　　　　　　　　　　　high-speed synchronous serial link。

 DEX 　　　　　　　２台のA602/D602間でデータ通信を行うための４対の460kBaud双方向UART

 　fail-operational , fault-tolerant behaviorという語句がでてきます。

 　ボードの一部に障害が発生しても、ボード単独で正しい動作を継続できること

 　システムの一部に障害が発生しても、システムとして正しい動作を継続できること

 　fail-operationはプロセッサとメインメモリの3重化による多数決動作によって実現します。

 　fault-toleranceは2台のA602/D602によるクラスタシステムを組むことで、一方のシステムが　故障した場合、もう一方が動作を継続することで実現します。

 　MEN製品は航空分野、鉄道分野やプロセス制御分野で使われています。
これらの分野では、それぞれの分野の規格があり、認証取得が求められます。
MENは航空・鉄道分野やプロセス制御の分野で必要な認証取得を取得し、規格に適合した製品を提供 しています。
航空産業分野や鉄道産業分野では、ISO 9001にそれぞれの分野の要求を取込んだEN/AS 9100(航空分野)やIRIS（鉄道分野）といった認証取得が求められます。
プロセス産業分野では、IEC 61508という規格があります。

航空宇宙産業での品質マネジメント認証で、品質マネジメントシステムの国際規格ISO 9001を基本に、航空宇宙産業の要求事項を盛り込んだ規格です。航空分野では、更に
DO-254（航空機向けの電子回路（FPGAやASIC）に向けた設計ガイドライン）や
DO-160（航空機向けの電子回路の環境試験に向けたガイドライン）があります。

 　品質・安全とインターオペラビリティの推進を目的として制定され、その後、IEC国際規格(IEC 62287)となっています。
RAMS規格は、IEC 62278(EN 50126)、 IEC 62279(EN 50128)、 IEC 62425(EN 50129)の３つで構成されています。
IEC 62278(EN 50126)はRAMS規格本体で、
信頼性、アベイラビリティ、保全性、安全性の仕様と実証について規定しています。
IEC 62279(EN 50128)は、
通信、信号、処理システムとソフトウエアの要求事項について規定しています。
IEC 62425(EN 50129)は、
通信、信号、処理システムの評価について規定しています。

 　IRISはISO 9001 ISO/TS16949（自動車産業） EN/AS9100（航空宇宙産業）をベースに、鉄道関係産業の要求事項を盛り込んだ規格で、RAMS規格（鉄道RAMS欧州規格）から発展しました。
UNIFE(欧州鉄道産業連盟 1991年設立)が国際鉄道産業標準規格（International Railway Industry Standard）として2006年に制定し、IEC 62278(EN 50126)、 IEC 62279(EN 50128)、 IEC 62425(EN 50129)を参照することを求めています。

 　IEC 61508は、IECが制定したプロセス産業における電気(E electric)・電子(E electronic)・プログラマブル電子(PE programable electronic)の機能安全に関する国際規格で、E/E/PEの機能または故障・障害によって人命に大きな影響を与えるもの（例えば、輸送機器、化学プラント、医療機器など）などを対象としています。

 　IEC61508では、機器の故障を、ランダムハードウエア故障と系統的故障に分けています。ランダムハードウエア故障とは部品レベルの故障で、系統的故障とはシステムの仕様や運用に起因する故障です。
システム全体の安全性の尺度として、安全性インテグリティレベル(SIL Safety Integrity Level) を定めています。安全性インテグリティレベル(SIL Safety Integrity Level)には、SIL1からSIL4まで４段階あり、１時間あたりの危険故障率として、次のようになっています。