CN101107597A - 信息处理装置及信息处理方法 - Google Patents
信息处理装置及信息处理方法 Download PDFInfo
- Publication number
- CN101107597A CN101107597A CNA2006800032025A CN200680003202A CN101107597A CN 101107597 A CN101107597 A CN 101107597A CN A2006800032025 A CNA2006800032025 A CN A2006800032025A CN 200680003202 A CN200680003202 A CN 200680003202A CN 101107597 A CN101107597 A CN 101107597A
- Authority
- CN
- China
- Prior art keywords
- unusual
- conditioning package
- signal conditioning
- cpu
- resetted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/165—Error detection by comparing the output of redundant processing systems with continued operation after detection of the error
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
- G06F11/0754—Error or fault detection not based on redundancy by exceeding limits
- G06F11/0757—Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1654—Error detection by comparing the output of redundant processing systems where the output of only one of the redundant processing components can drive the attached hardware, e.g. memory or I/O
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1633—Error detection by comparing the output of redundant processing systems using mutual exchange of the output between the redundant processing components
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1637—Error detection by comparing the output of redundant processing systems using additional compare functionality in one or some but not all of the redundant processing components
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Hardware Redundancy (AREA)
- Debugging And Monitoring (AREA)
- Safety Devices In Control Systems (AREA)
Abstract
异常检测部检测第1装置的异常。第2装置复位部在由异常检测部检测出异常的情况下,使第2装置复位。第1装置复位部在由异常检测部检测出异常的情况下,使第1装置复位。此外,对照部对由第1装置生成的数据和由第2装置生成的数据进行对照,如果这些数据不一致,则判断为发生异常。复位部在由对照部判断为异常的情况下,使第2装置复位。
Description
技术领域
本发明涉及一种具有相互独立地执行处理的多个装置的信息处理装置以及信息处理方法,特别涉及一种具有高可靠性的信息处理装置及信息处理方法。
背景技术
已知一种对配置在工厂设备中的现场设备进行管理、控制的工厂设备控制系统。此外,在这种工厂设备中,引入了用于实现工厂设备的安全的安全系统。安全系统是在发现现场设备中产生异常的情况下,发出警报同时执行必要的措施的系统,作为工厂设备控制系统的一部分而设置,或与工厂设备控制系统独立地设置。
作为关联技术,可以参照特开平08-006673号公报。
发明内容
在安全系统中,由于所希望获得的功能而要求极高的可靠性。例如,必须尽可能地避免即使产生异常系统也认为是安全的、或发出错误的信息等情况。此外,在显示出产生异常的可能性的情况下,必须选择安全方面的处理。
本发明的目的在于,提供一种具有高可靠性的信息处理装置及信息处理方法。
本发明提供一种信息处理装置,其具有:第1装置和第2装置,其相互独立地执行同一处理;异常检测部,其检测所述第1装置的异常;以及第2装置复位部,其在由所述异常检测部检测出异常的情况下,使所述第2装置复位。
根据该信息处理装置,由于在检测出第1装置的异常的情况下,使第2装置复位,因此可以不依赖于第2装置自身的诊断,而使第2装置复位。“第1装置的异常”并不限定于由第1装置引起的异常,还包括由第2装置引起的异常。此外,“第1装置的异常”包括在第1装置内检测出的异常、和在第1装置外检测出的第1装置的动作异常。
上述信息处理装置也可以具有第1装置复位部,其在由所述异常检测部检测出异常的情况下,使所述第1装置复位。
在该情况下,使第1装置和第2装置这两者被复位。
在上述信息处理装置中,所述异常检测部也可以与所述第1装置分离地安装。
在该情况下,即使在第1装置发生异常的情况下,也可以可靠地检测出第1装置的异常。
在上述信息处理装置中,所述异常检测部也可以安装在所述第1装置内。
在该情况下,可以在第1装置内检测由第2装置引起的异常。
在上述信息处理装置中,所述异常检测部可以是监视计时器。
在该情况下,可以检测出第1装置的动作异常。
本发明还提供一种信息处理装置,其具有相互独立地执行相同处理的第1装置和第2装置,所述第1装置具有:对照部,其对由所述第1装置生成的数据和由所述第2装置生成的数据进行对照,在这些数据不一致的情况下,判断为异常;以及复位部,其在由所述对照部判断为异常的情况下,使所述第2装置复位。
根据该信息处理装置,由于对由第1装置和第2装置生成的数据进行对照,如果数据不一致则使第2装置复位,因此在第2装置产生异常的情况下,会使数据不一致,由此使第2装置复位。
本发明还提供一种信息处理装置,其具有相互独立地执行同一处理的第1装置和第2装置,所述第2装置具有第2装置复位部,其在检测出所述第2装置的异常的情况下,使所述第2装置复位,所述第1装置具有:异常识别部,其识别所述第2装置的异常;以及通知部,其通知由所述异常识别部识别出的所述第2装置的异常。
根据该信息处理装置,由于在检测出第2装置的异常的情况下,使第2装置复位,因此可以防止由第2装置的异常引起故障。此外,可以通知由异常识别部识别出的第2装置的异常。通知部也可以设置在第2装置中。
在上述信息处理装置中,所述第2装置也可以具有第1装置复位部,其在检测出所述第1位置的异常的情况下,使所述第1装置复位。
在该情况下,由于在检测出第1装置的异常的情况下,将第1装置复位,因此可以防止由第1装置的异常引起的误操作。
在上述信息处理装置中,所述第1装置和所述第2装置,可以分别是半导体装置。
在上述信息处理装置中,所述第1装置和所述第2装置,可以分别是CPU。
本发明还提供一种信息处理方法,该方法使用相互独立地执行同一处理的第1装置和第2装置,该方法具有:检测所述第1装置的异常的步骤;以及在检测出所述第1装置的异常的情况下,使所述第2装置复位的步骤。
根据该信息处理方法,由于在检测出第1装置的异常的情况下,使第2装置复位,因此可以不依赖于第2装置自身的诊断,而使第2装置复位。“第1装置的异常”并不限定于由第1装置引起的异常,还包括由第2装置引起的异常。此外,“第1装置的异常”包括在第1装置内检测出的异常、和在第1装置外检测出的第1装置的动作异常。
上述信息处理方法还可以具有在检测出所述第1装置的异常的情况下,使所述第1装置复位的步骤。
在该情况下,使第1装置和第2装置这两者被复位。
发明的效果
根据上述信息处理装置和上述信息处理方法,由于在检测出一个装置的异常的情况下,使另一个装置复位,因此可以不依赖于该另一个装置自身的诊断,而使该另一个装置复位。
附图说明
图1(a)、 (b)以及(c)是功能性地表示本发明所涉及的信息处理装置的框图。
图2是表示使用了实施例1中的信息处理装置的安全系统的结构的框图。
图3是表示实施例1的信息处理装置的结构的一部分的框图。
图4是表示实施例1的信息处理装置的复位流程的框图。
图5是表示实施例2的信息处理装置的结构的一部分的框图。
图6是表示实施例3的信息处理装置的结构的一部分的框图。
图7是表示实施例4的信息处理装置的复位流程的框图。
图8是表示实施例5的信息处理装置的结构的一部分的框图。
具体实施方式
图1(a)、图1(b)以及图1(c)是功能性地表示本发明所涉及的信息处理装置的框图。
在图1(a)示出的实施方式中,第1装置和第2装置相互独立地执行相同的处理。异常检测部101用于检测第1装置的异常。第2装置复位部102在由异常检测部101检测出异常的情况下,使第2装置复位。
此外,第1装置复位部103在由异常检测部101检测出异常的情况下,使第1装置复位。
在图1(b)示出的实施方式中,第1装置和第2装置相互独立地执行相同的处理。对照部111对第1装置生成的数据和第2装置生成的数据进行对照,如果这些数据不一致则判断为异常。复位部112在利用对照部111判断为异常的情况下,使第2装置复位。
在图1(c)示出的实施方式中,第1装置和第2装置相互独立地执行相同的处理。第2装置复位部121在检测出第2装置的异常的情况下,使第2装置复位。异常识别部122,其在第1装置中对第2置的异常进行识别。通知部123,其用于通知由异常识别部122识别出的第2装置的异常。
第1装置复位部124,其在第2装置中检测出第1装置的异常的情况下,使第1装置复位。
以下,参照图2~图8对本发明所涉及的信息处理装置的实施例1~5进行说明。
实施例1
图2是表示使用了实施例1中的信息处理装置的安全系统的结构的框图。该安全系统作为工厂设备控制系统的一部分而构成。
如图2所示,工厂设备控制系统具有:控制装置2,其集中地管理、控制配置在工厂设备各个部分中的电磁阀和传感器等现场设备1、1、…;以及输入输出装置3、3、…,其安装在控制装置2和现场设备1之间。输入输出装置3、3、…经由网络4与控制装置2连接。此外,现场设备1、1、…经由接线板5与输入输出装置3连接。
如图2所示,在输入输出装置3中安装输入输出单元3a、3b、…,它们用于执行现场设备1和控制装置2之间的接口处理。如后所述,这些输入输出单元3a、3b、…,为了提高可靠性,相互独立地执行相同的处理。
图3是表示输入输出单元3a的结构的一部分的框图。在图3中,示出该单元的一个例子,其对从现场设备1侧输入的输入值进行加工,向上级系统(控制装置2侧的系统)输出数据。
如图3所示,该单元具有第1系统10和第2系统20。第1系统10和第2系统20中分别设有主控CPU 11和从属CPU 21,它们分别按照各自的动作时钟进行动作。主控CPU 11和从属CPU 21相互独立地执行相同的处理。此外,在第1系统10和第2系统20中,分别安装外围电路12和外围电路22。
如图3所示,来自现场设备1的输入值,被输入至主控CPU 11。由主控CPU 11基于输入值执行运算处理,生成具有可由上级系统使用的数据格式的数据。主控CPU 11负责与上级系统之间的通信,由主控CPU 11生成的数据向上级系统输出。
主控CPU 11和从属CPU 21,通过进行非同步通信(UART)执行相互通信。主控CPU 11和从属CPU 21,通过非同步通信在每个规定的处理阶段交换指令和响应,由此实现彼此动作同步。
此外,通过非同步通信,将来自现场设备1的输入值传送至从属CPU 21,由从属CPU 21执行与主控CPU 11相同的运算处理。
此外,在主控CPU 11和从属CPU 21之间,交换通过各自的处理而生成的数据,由这些CPU分别对这些数据进行对照。并且,在检测到数据不一致的情况下,判断为某一个处理中产生异常,执行后述的处理。此外,对于数据的对照,在实施例5中也会进行详述。
如图3所示,在第1系统10中设置监视主控CPU 11的监视计时器(WDT)14,在第2系统20中设置监视从属CPU 21的监视计时器(WDT)24。
图4是表示图3中示出的单元中的复位流程的框图。
如图3和图4所示,监视计时器14对来自主控CPU 11的计时器清零信号的接收间隔进行计时,在一定时间内没有接收到计时器清零信号的情况下,即检测出主控CPU 11的动作异常的情况下,使主控CPU 11和外围电路12复位。此外,在该单元中,在由监视计时器14检测到主控CPU 11的动作异常的情况下,将从监视计时器14输出的复位信号R1,传送至第2系统20的监视计时器24。由此,通过监视计时器24的控制,使从属CPU 21和外围电路22复位。
监视计时器24对来自从属CPU 21的计时器清零信号的接收间隔进行计时,在一定时间内没有接收到计时器清零信号的情况下,即检测出从属CPU 21的动作异常的情况下,使从属CPU 21和外围电路22复位。此外,在由监视计时器24检测到从属CPU 21的动作异常的情况下,将从监视计时器24输出的复位信号R2,传送至第1系统10的监视计时器14。由此,通过监视计时器14的控制,使主控CPU 11和外围电路12复位。
这样,在由监视计时器14或监视计时器24检测到任意一个CPU的异常的情况下,不仅使其自身的系统(第1系统或第2系统)复位,还使其它系统复位,从而使系统整体复位。
此外,在由主控CPU 11检测到异常的情况下,从主控CPU 11向监视计时器24输出KILL信号K1。在该情况下,通过监视计时器24的控制,使从属CPU 21和外围电路22复位。即,使第2系统20成为被复位的状态。此外,利用从监视计时器24输出的复位信号R2,使第1系统10自身也成为被复位的状态。在这里,由主控CPU 11检测出的异常包括:CPU之间的非同步通信的异常;以及由于上述两个CPU生成的数据不一致而检测出的处理的异常。在这里检测出的异常,并不仅限于由第1系统10引起的异常,还包括由第2系统20引起异常的情况。
在由从属CPU 21检测到异常的情况下,由从属CPU 21向监视计时器14输出KILL信号K2。在该情况下,通过监视计时器14的控制,使主控CPU 11和外围电路12复位。即,使第1系统10成为被复位的状态。此外,利用从监视计时器14输出的复位信号R1,使第2系统20自身也成为被复位的状态。在这里,由从属CPU 21检测出的异常包括:CPU之间的非同步通信的异常;以及由于上述两个CPU生成的数据不一致而检测出的处理的异常。在这里检测出的异常,并不仅限于由第2系统20引起的异常,还包括由第1系统10引起异常的情况。
这样,在由任意一个CPU检测到任何异常的情况下,使对方侧的系统(第1系统或第2系统)复位。根据该流程进行的复位,可以在没有由监视计时器14或监视计时器24检测到异常的情况下,有效地起作用。
复位解除后,在没有检测到异常的情况下,使第1系统10和第2系统20同时恢复正常。
如上所述,在实施例1中,由于在第1系统10和第2系统20的任意一个中检测到异常的情况下,使系统整体复位,不会向上级系统输出错误的信息,因此作为系统整体可以执行可靠的失效保护。此外,由于是在系统整体被复位后的状态下解除复位,因此可以实现复位解除后的正常的初始化。
一般来说,产生异常的CPU自身无法保证正确地检测出自身的异常。但是,在实施例1中,CPU相互检测对方侧的CPU的异常,使对方侧的CPU复位。因此,可以可靠地检测出异常的发生,而不依赖于产生异常的CPU自身的诊断。因此,可以提高故障时的处理的可靠性。
此外,通过采用使2个系统相互检测对方的异常的结构,可以低成本地大幅提高异常检测的精度,而无需增加用于异常检测的特殊结构。此外,由于CPU间的通信使用非同步通信(UART),因此即使在需要将CPU之间分隔的情况下,也可以低成本地构成所需装置。
实施例2
图5是表示使用了实施例2中的信息处理装置的输入输出单元的结构的一部分的框图。与实施例1相同地,在实施例2中示出该单元的一个例子,其对从现场设备1侧输入的输入值进行加工,而向上级系统(控制装置2侧系统)输出数据。
在实施例2中,示出省略了在实施例1中说明的KILL信号K1和复位信号R2的例子。
这种结构适用于如下情况:在由作为主控侧系统的第1系统10,检测出作为从属侧系统的第2系统20的异常时,认为只要向上级系统通知第2系统20的异常即可,无需使系统整体复位。
在实施例2中,在第2系统20中产生异常,并由监视计时器24检测出异常的情况下,仅使第2系统20复位,而不使第1系统10复位。因此,可以继续使用第1系统10进行处理,还可以向上级系统通知。在该情况下,在主控CPU 10中通过CPU间的非同步通信进行数据的对照,其结果两个CPU间的数据发生不一致,可以由主控CPU 10识别出从属CPU 20的异常。此外,也可以通过数据对照之外的方法,识别从属CPU 20的异常。可以使用非同步通信而识别从属CPU 20的异常,也可以经由非同步通信之外的途径,获得表示从属CPU 20发生异常的信息。
在实施例2中,在第1系统10中发生异常的情况下,监视计时器14的异常检测、或第2系统20的异常检测有效地起作用,在该情况下,包括第1系统10在内,使系统整体进行复位,不会向上级系统输出错误的信息。因此,与实施例1相同地,系统整体可以执行可靠的失效保护。
实施例3
图6是表示使用了实施例3中的信息处理装置的输入输出单元的结构的一部分的框图。在实施例3中例示该单元的一个例子,其对来自上级系统(控制装置2侧系统)的信息进行加工,而向现场设备1侧输出数据。
如图6所示,该单元具有第1系统10A和第2系统20A。第1系统10A和第2系统20A中,分别设有主控CPU 11A和从属CPU21A,它们分别按照各自的动作时钟进行动作。主控CPU 11A和从属CPU 21A相互独立地执行相同的处理。此外,在第1系统10A和第2系统20A中,分别安装外围电路12A和外围电路22A。
如图6所示,主控CPU 11A负责与上级系统之间的通信,将来自控制装置2侧的信息输入至主控CPU 11A。主控CPU 11A基于来自控制装置2侧的信息执行运算处理,生成具有现场设备1可以使用的数据格式的数据。
主控CPU 11A和从属CPU 21A,通过相互进行非同步通信(UART)执行通信。主控CPU 11A和从属CPU 21A,通过非同步通信在每个规定的处理阶段交换指令和响应,由此实现彼此动作的同步。
此外,通过非同步通信,将来自控制装置2侧的信息传送至从属CPU 21A,由从属CPU 21A执行与主控CPU 11A相同的运算处理。
此外,在主控CPU 11A和从属CPU 21A之间,交换通过各自的处理而生成的数据,由各自的CPU对这些数据进行对照。这样,在检测到数据不一致的情况下,判断为某一个处理中产生异常,然后执行后述的处理。
如图6所示,在第1系统10A中设置监视主控CPU 11A的监视计时器(WDT)14A,在第2系统20A中设置监视从属CPU 21A的监视计时器(WDT)24A。
如图6所示,在监视计时器14A检测到主控CPU 11A的动作异常的情况下,使主控CPU 11A和外围电路12A复位。此外,在由监视计时器14A检测到主控CPU 11A的动作异常的情况下,将从监视计时器14A输出的复位信号R1,传送至第2系统20A的监视计时器24A。由此,通过监视计时器24A的控制,使从属CPU 21A和外围电路22A复位。
在监视计时器24A检测到从属CPU 21A的动作异常的情况下,使从属CPU 21A和外围电路22A复位。此外,在由监视计时器24A检测到从属CPU 21A的动作异常的情况下,将从监视计时器24A输出的复位信号R2,传送至第1系统10A的监视计时器14A。由此,通过监视计时器14A的控制,使主控CPU 11A和外围电路12A复位。
这样,在由监视计时器14A或监视计时器24A检测到某个CPU的异常的情况下,使系统整体复位。
此外,在由主控CPU 11A检测出异常的情况下,从主控CPU 11A向监视计时器24A输出KILL信号K1。在该情况下,通过监视计时器24A的控制,使第2系统20A成为被复位的状态。此外,利用从监视计时器24A输出的复位信号R2,使第1系统10自身也成为被复位的状态。
在由从属CPU 21A检测到异常的情况下,由从属CPU 21A向监视计时器14A输出KILL信号K2。在该情况下,通过监视计时器14A的控制,使第1系统10A成为被复位的状态。此外,利用从监视计时器14A输出的复位信号R1,使第2系统20A自身也成为被复位的状态。
如上所述,在实施例3中,由于与实施例1同样地,在第1系统10A和第2系统20A的某一个中检测到异常的情况下,使系统整体复位,从而不会向现场设备1侧输出错误的数据,因此作为系统整体可以执行可靠的失效保护。此外,由于是在系统整体被复位后的状态下解除复位,因此可以实现复位解除后的正常的初始化。
在实施例3中,也可以省略KILL信号K1和复位信号R2。
这种结构适用于如下情况:在由作为主控侧系统的第1系统10A,检测出作为从属侧系统的第2系统20A的异常时,认为无需使系统整体复位,只要向上级系统通知第2系统20A的异常,同时断开向现场设备1侧的数据输出即可。
在该情况下,在第2系统20A中产生异常,并由监视计时器24A检测出异常的情况下,仅使第2系统20A复位,而不使第1系统10A复位。由此,可以继续使用第1系统10A的处理,还可以向上级系统通知。在该情况下,使通过主控CPU 10A的处理向现场设备1侧的数据输出断开,阻止数据的输出。
在这种结构中,在第1系统10A中产生异常的情况下,监视计时器14A的异常检测、或第2系统20A的异常检测也可以有效地起作用,在该情况下,包括第1系统10A在内,使系统整体进行复位,不会向现场设备1侧输出错误的数据。因此,作为系统整体可以执行可靠的失效保护。
实施例4
图7是表示实施例4的信息处理装置的复位流程的框图。
实施例4的信息处理装置,由分别具有CPU的第1系统30、第2系统40、第3系统50构成。
如图7所示,第1系统30具有主控CPU 31和监视计时器34。此外,第2系统40具有从属CPU 41和监视计时器44,第3系统50具有从属CPU 51和监视计时器54。
在实施例4中,从第1系统30的监视计时器34输出复位信号R1,利用复位信号R1使第2系统40和第3系统50复位。从第2系统40的监视计时器44输出复位信号R2,通过复位信号R2使第1系统30复位。从第3系统50的监视计时器54输出复位信号R3,通过复位信号R3使第1系统30复位。
此外,从第1系统30的主控CPU 31输出KILL信号K1,利用KILL信号K1使第2系统40和第3系统50复位。从第2系统40的从属CPU 41输出KILL信号K2,利用KILL信号K2使第1系统30复位。从第3系统50的从属CPU 51输出KILL信号K3,利用KILL信号K3使第1系统30复位。
在实施例4中,通过使第1系统30和第2系统40、以及第1系统30和第3系统50,分别相互监视对方的异常,从而可靠地检测异常的产生。这样,通过采用使主控CPU和各个从属CPU之间相互监视的结构,可以可靠地检测出所有系统的异常,而无需进行从属CPU间的通信。因此,可以避免伴随通讯的复杂化而导致的安装上的困难。
此外,也可以与信息处理装置所要求的特性对应,适当地省略通过复位信号或KILL信号进行复位的线路,或使用其他方法代替复位功能。
实施例5
图8是表示使用了实施例5的信息处理装置的输入输出单元的结构的一部分的框图。在本实施例中示出该单元的一个例子,其对从作为下游工序的现场设备1侧输入的输入值进行加工,向作为上游工序的控制装置2侧输出PV值(过程值)。
如图8所示,输入输出单元具有主控CPU 10B和从属CPU 20B,CPU 10B和CPU 20B分别相互独立地执行相同的处理。此外,CPU10B和CPU 20B分别对安装在其周围的外围电路进行诊断。
如图8所示,来自现场设备1的输入值,经由输入部71和输入缓冲存储器72,输入至主控CPU 10B。主控CPU 10B周围的外围电路74由诊断电路75进行诊断。此外,将从输入缓冲存储器72输出的信号输入至诊断电路75,对信号有无异常进行诊断。外围电路74的异常有无、以及从输入缓冲存储器72输出的信号的异常有无,作为来自诊断电路75的诊断信息,输入至主控CPU 10B。
同样地,来自现场设备1的同一输入值,经由输入部71和输入缓冲存储器73输入至从属CPU 20B。从属CPU 20B周围的外围电路76由诊断电路77进行诊断。此外,将从输入缓冲存储器73输出的信号输入至诊断电路77,对信号有无异常进行诊断。外围电路76的异常有无、和从输入缓冲存储器73输出的信号的异常有无,作为来自诊断电路77的诊断信息,输入至从属CPU 20B。
如图8所示,主控CPU 10B具有:PV值处理部11B,其对经由输入缓冲存储器72输入的输入值执行运算处理,变换为可以在控制装置2侧即上游工序中进行处理的格式的PV值(过程值);以及诊断部12B,其接收来自诊断电路75的诊断信息,执行异常的检测和判断,生成作为诊断结果的状态值。
此外,主控CPU 10B具有:通信模块13B,其用于与从属CPU20B之间进行通信;以及代码生成部14B,其用于在PV值和状态值中添加CRC(Cyclic Redundancy Check;循环冗余校验)码和更新计数值。
此外,从属CPU 20B具有:PV值处理部21,其对经由输入缓冲存储器73输入的输入值执行运算处理,将其变换为可以在控制装置2侧即上游工序中进行处理的格式的PV值(过程值);以及诊断部22B,其接收来自诊断电路77的诊断信息,执行异常的检测和判断,生成作为诊断结果的状态值。
此外,从属CPU 20B具有:通信模块23B,其用于与主控CPU10B之间进行通信;以及代码生成部24B,其用于在PV值和状态值中添加CRC(Cyclic Redundancy Check;循环冗余校验)码和更新计数值。
下面,对本单元的动作进行说明。
在主控CPU 10B中,利用等值化部15B,对由诊断部12B生成的状态值、和由从属CPU 20的诊断部24B生成并通过通信模块23B和通信模块13B进行通信而获得的状态值进行比较、等值化。等值化是使由主控CPU 10B进行处理的状态值、和由从属CPU 20B进行处理的状态值成为相同值的处理。由等值化部15B生成状态值的或(OR)信息。即,等值化部15B在任意一个状态值显示出异常的情况下,变更为取得了该异常的状态值,转移至代码生成部14B。如后所述,通过在从属CPU 20B中进行同样的处理,使主控CPU 10B和从属CPU 20B中处理的状态值统一化。
由PV值处理部11B生成的PV值,传递至代码生成部14B。但是,在基于等值化部15B的处理,检测出状态值的异常的情况下,利用阻断部16B,切断PV值向代码生成部14B的输入。
代码生成部14B基于输入的PV值和由等值化部15B生成的状态值生成CRC码。此外,每次输入新的PV值和状态值时更新计数编号,生成在CRC码上附加的代码。代码生成部14B通过将这样生成的代码附加在PV值和状态值中,生成由PV值、状态值、CRC码以及计数编号构成的帧。每当更新PV值和状态值时,使计数编号递增。
由从属CPU 20B的代码生成部24B,以同样的方式生成与由代码生成部14B生成的帧相同的帧,并经由由通信模块23B和通信模块13B进行的通信而获得。将由代码生成部14B生成的帧、和由代码生成部24B生成的帧,利用比较部17B进行对照。如果比较部17B检测出两个帧不一致,则判断为异常。如后所述,通过使从属CPU 20B也进行同样的处理,主控CPU 10B和从属CPU 20B相互将对方侧的处理结果与自身的处理结果进行对照,如果不一致则判断为异常。如果主控CPU 10B和从属CPU 20B这两者的处理都正常,则比较部17B的对照结果为两个帧一致。
将由代码生成部14B生成的帧,向作为上游工序的输出部78输出。但是,如果由比较部17B检测出两个帧不一致,判断为异常,则利用阻断部18B切断帧的输出。此外,如后所述,在由从属CPU 20B的比较部27B检测出帧不一致的情况下,利用KILL信号K阻止帧的输出。
另一方面,从属CPU 20B利用等值化部25B,对由诊断部22B生成的状态值、和由主控CPU 10的诊断部14B生成并经由由通信模块13B和通信模块23B进行的通信而获得的状态值进行比较、等值化。由等值化部25B生成状态值的或(OR)信息。即,等值化部25B在任意一个状态值显示出异常的情况下,变更为取得了该异常的状态值,传递至代码生成部24B。
由PV值处理部21生成的PV值,传递至代码生成部24B。但是,在基于等值化部25B的处理,检测出状态值的异常的情况下,利用阻断部26B切断向代码生成部24B的PV值输入。
代码生成部24B基于输入的PV值和由等值化部25B生成的状态值生成CRC码。此外,每次输入新的PV值和状态值时更新计数编号,生成在CRC码上附加后的代码。代码生成部24B通过将这样生成的代码附加在PV值和状态值中,生成由PV值、状态值、CRC码以及计数编号构成的帧。每当更新PV值和状态值时,使计数编号递增。
将由代码生成部24B生成的帧、和由主控CPU 10B的代码生成部14B同样地生成并通过通信模块13B和通信模块23B进行通信而获得的帧,利用比较部27B进行对照。如果比较部27B检测出两个帧不一致,则判断为异常。
在由比较部27B检测出帧不一致的情况下,从比较部27B输出KILL信号K,传递至主控CPU 10B。在该情况下,主控CPU 10B由KILL信号K强制复位,阻止向输出部78输出新帧。由此,可以防止向输出部78输出存在错误的数据。
此外,由于在阻止向输出部78输出的情况下,停止更新计数编号,因此在输出部78之后的后一级的上游工序中,仅通过参照计数编号,即可以识别出信息输出停止。
如上所述,在实施例5中,在由比较部27B检测出帧不一致的情况下,利用从比较部27B输出的KILL信号K,使主控CPU 10B强制复位。在实施例5中,在主控CPU 10B的处理中存在异常的情况下,由比较部27B检测出帧的不一致。由此,在主控CPU 10B异常时,可以通过KILL信号K使主控CPU 10B复位,不会向上级系统输出错误的信息。因此,作为系统整体可以执行可靠的失效保护。
本发明的适用范围并不限定于上述实施方式。此外,本发明不仅适用于安全系统,还广泛适用于处理各种信息的信息处理系统。
本申请基于2005年1月25日提出的日本专利申请(特愿2005-016675),在此援引其内容作为参照。
Claims (16)
1.一种信息处理装置,其特征在于,具有:
第1装置和第2装置,它们相互独立地执行同一处理;
异常检测部,其检测所述第1装置的异常;以及
第2装置复位部,其在由所述异常检测部检测出异常的情况下,使所述第2装置复位。
2.根据权利要求1所述的信息处理装置,其特征在于,
具有第1装置复位部,其在由所述异常检测部检测出异常的情况下,使所述第1装置复位。
3.根据权利要求1所述的信息处理装置,其特征在于,
所述异常检测部,与所述第1装置分离地安装。
4.根据权利要求1所述的信息处理装置,其特征在于,
所述异常检测部,安装在所述第1装置内。
5.根据权利要求1所述的信息处理装置,其特征在于,
所述异常检测部是监视计时器。
6.一种信息处理装置,其特征在于,
具有相互独立地执行同一处理的第1装置和第2装置,
所述第1装置具有:
对照部,其对由所述第1装置生成的数据和由所述第2装置生成的数据进行对照,在这些数据不一致的情况下,判断为异常;以及
复位部,其在由所述对照部判断为异常的情况下,使所述第2装置复位。
7.一种信息处理装置,其特征在于,
具有相互独立地执行同一处理的第1装置和第2装置,
所述第2装置具有第2装置复位部,其在检测出所述第2装置的异常的情况下,使所述第2装置复位,
所述第1装置具有:
异常识别部,其识别所述第2装置的异常;以及
通知部,其通知由所述异常识别部识别出的所述第2装置的异常。
8.根据权利要求7所述的信息处理装置,其特征在于,
所述第2装置具有第1装置复位部,其在检测出所述第1位置的异常的情况下,使所述第1装置复位。
9.根据权利要求1所述的信息处理装置,其特征在于,
所述第1装置和所述第2装置,分别是半导体装置。
10.根据权利要求6所述的信息处理装置,其特征在于,
所述第1装置和所述第2装置,分别是半导体装置。
11.根据权利要求7所述的信息处理装置,其特征在于,
所述第1装置和所述第2装置,分别是半导体装置。
12.根据权利要求1所述的信息处理装置,其特征在于,
所述第1装置和所述第2装置分别是CPU。
13.根据权利要求6所述的信息处理装置,其特征在于,
所述第1装置和所述第2装置分别是CPU。
14.根据权利要求7所述的信息处理装置,其特征在于,
所述第1装置和所述第2装置分别是CPU。
15.一种信息处理方法,该方法使用相互独立地执行相同处理的第1装置和第2装置,其特征在于,具有:
检测所述第1装置的异常的步骤;以及
在检测出所述第1装置的异常的情况下,使所述第2装置复位的步骤。
16.根据权利要求15所述的信息处理方法,其特征在于,
具有在检测出所述第1装置的异常的情况下,使所述第1装置复位的步骤。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP016675/2005 | 2005-01-25 | ||
| JP2005016675A JP3962956B6 (ja) | 2005-01-25 | 情報処理装置および情報処理方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101107597A true CN101107597A (zh) | 2008-01-16 |
Family
ID=36740261
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2006800032025A Pending CN101107597A (zh) | 2005-01-25 | 2006-01-19 | 信息处理装置及信息处理方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20080215913A1 (zh) |
| EP (1) | EP1843247A1 (zh) |
| CN (1) | CN101107597A (zh) |
| WO (1) | WO2006080227A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101414174B (zh) * | 2007-10-17 | 2011-09-14 | 三菱电机株式会社 | 仪器控制系统 |
| CN102331954A (zh) * | 2010-07-12 | 2012-01-25 | 瑞萨电子株式会社 | 半导体器件 |
| CN104914784A (zh) * | 2014-03-11 | 2015-09-16 | 发那科株式会社 | 数值控制装置 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009060953A1 (ja) * | 2007-11-07 | 2009-05-14 | Mitsubishi Electric Corporation | 安全制御装置 |
| JP5719040B1 (ja) | 2013-08-20 | 2015-05-13 | 株式会社小松製作所 | 建設機械用コントローラ |
| CN103407488B (zh) * | 2013-08-30 | 2017-02-08 | 徐州重型机械有限公司 | 一种轮式起重机及其转向液控系统 |
| JP6540227B2 (ja) * | 2015-05-21 | 2019-07-10 | 株式会社ジェイテクト | 車両用制御装置 |
| JP2017033236A (ja) | 2015-07-31 | 2017-02-09 | 日立オートモティブシステムズ株式会社 | 車両制御装置 |
| JP6736980B2 (ja) | 2016-05-27 | 2020-08-05 | オムロン株式会社 | システムおよび半導体装置 |
| JP7102923B2 (ja) * | 2018-05-15 | 2022-07-20 | 株式会社ジェイテクト | 車両用制御装置 |
| CN109017974B (zh) * | 2018-07-02 | 2020-12-25 | 南京航空航天大学 | 具有主动转向功能的辅助转向系统及其控制方法 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4634110A (en) * | 1983-07-28 | 1987-01-06 | Harris Corporation | Fault detection and redundancy management system |
| EP0306644B1 (en) * | 1987-07-06 | 1997-11-12 | Hitachi, Ltd. | Data processor having a break function |
| JP2593915B2 (ja) * | 1988-05-27 | 1997-03-26 | 住友電気工業株式会社 | ダブルマイコンシステム暴走防止回路 |
| JP3206275B2 (ja) * | 1994-02-25 | 2001-09-10 | 株式会社日立製作所 | 誤り検出機能付き論理回路及びそれを用いたフォールトトレラントシステム |
| EP0653708B1 (en) * | 1993-10-15 | 2000-08-16 | Hitachi, Ltd. | Logic circuit having error detection function, redundant resource management method, and fault tolerant system using it |
| JP3247043B2 (ja) * | 1996-01-12 | 2002-01-15 | 株式会社日立製作所 | 内部信号で障害検出を行う情報処理システムおよび論理lsi |
| US5915082A (en) * | 1996-06-07 | 1999-06-22 | Lockheed Martin Corporation | Error detection and fault isolation for lockstep processor systems |
| US6035416A (en) * | 1997-10-15 | 2000-03-07 | International Business Machines Corp. | Method and apparatus for interface dual modular redundancy |
| US6393590B1 (en) * | 1998-12-22 | 2002-05-21 | Nortel Networks Limited | Method and apparatus for ensuring proper functionality of a shared memory, multiprocessor system |
| JP3916495B2 (ja) * | 2001-10-09 | 2007-05-16 | アルプス電気株式会社 | フェイルセーフ機能を備えたコントローラ |
| US7516358B2 (en) * | 2005-12-20 | 2009-04-07 | Hewlett-Packard Development Company, L.P. | Tuning core voltages of processors |
-
2006
- 2006-01-19 WO PCT/JP2006/300710 patent/WO2006080227A1/ja active Application Filing
- 2006-01-19 US US11/883,006 patent/US20080215913A1/en not_active Abandoned
- 2006-01-19 EP EP06711956A patent/EP1843247A1/en not_active Withdrawn
- 2006-01-19 CN CNA2006800032025A patent/CN101107597A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101414174B (zh) * | 2007-10-17 | 2011-09-14 | 三菱电机株式会社 | 仪器控制系统 |
| CN102331954A (zh) * | 2010-07-12 | 2012-01-25 | 瑞萨电子株式会社 | 半导体器件 |
| CN102331954B (zh) * | 2010-07-12 | 2016-01-20 | 瑞萨电子株式会社 | 半导体器件 |
| CN104914784A (zh) * | 2014-03-11 | 2015-09-16 | 发那科株式会社 | 数值控制装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1843247A1 (en) | 2007-10-10 |
| JP2006209197A (ja) | 2006-08-10 |
| JP3962956B2 (ja) | 2007-08-22 |
| WO2006080227A1 (ja) | 2006-08-03 |
| US20080215913A1 (en) | 2008-09-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101107597A (zh) | 信息处理装置及信息处理方法 | |
| EP1857936B1 (en) | Information processing apparatus and information processing method | |
| NO331420B1 (no) | Fremgangsmåte og midler for å øke sikkerhetsintegritets¬nivået til et kontrollsystem | |
| JP2007502467A5 (zh) | ||
| CN111414268B (zh) | 故障处理方法、装置及服务器 | |
| CN104468176A (zh) | 用于控制器局域网络中的故障检测的方法和装置 | |
| CN101111824A (zh) | 信息处理设备和信息处理方法 | |
| CN106936616A (zh) | 备份通信方法和装置 | |
| JP2017151496A (ja) | 安全監視装置、ネットワークシステム、安全監視方法 | |
| CN101111823A (zh) | 信息处理设备和信息处理方法 | |
| JP2021534508A (ja) | 安全性が要求されるプロセスを監視する自動化システム | |
| KR101448013B1 (ko) | 항공기용 다중 컴퓨터의 고장 허용 장치 및 방법 | |
| US20130198575A1 (en) | System error response | |
| CN102681928A (zh) | 计算机系统的异常信息输出系统 | |
| KR100279204B1 (ko) | 자동제어시스템에서현장제어장치의콘트롤러이중화제어방법및그장치 | |
| CN106940667B (zh) | 检验具有多个计算单元的系统中的计算结果的方法和设备 | |
| JP2012150661A (ja) | プロセッサ動作検査システム、及びその検査方法 | |
| US11982984B2 (en) | Automation system for monitoring a safety-critical process | |
| CN105280966A (zh) | 多个电池单元感测板通信丧失的探测诊断 | |
| JP3962956B6 (ja) | 情報処理装置および情報処理方法 | |
| JP2018101241A (ja) | 処理装置 | |
| JP2003167755A (ja) | 信号処理系の故障診断方法および装置 | |
| JPH05210529A (ja) | マルチプロセッサシステム | |
| JP2003150408A (ja) | 車載制御装置用マイクロコンピュータの監視方法及び回路 | |
| JP4613019B2 (ja) | コンピュータシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |