CN101174135B - 输入输出控制装置及方法、信息控制装置及方法 - Google Patents
输入输出控制装置及方法、信息控制装置及方法 Download PDFInfo
- Publication number
- CN101174135B CN101174135B CN2007101967958A CN200710196795A CN101174135B CN 101174135 B CN101174135 B CN 101174135B CN 2007101967958 A CN2007101967958 A CN 2007101967958A CN 200710196795 A CN200710196795 A CN 200710196795A CN 101174135 B CN101174135 B CN 101174135B
- Authority
- CN
- China
- Prior art keywords
- computing
- reliability
- processors
- output
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Abstract
本发明提供一种输入输出控制装置、信息控制装置、输入输出控制方法以及信息控制方法,对于多个处理器,针对共同的数据处理对象,输入以可互换的方式运算的处理结果,在从任何一个处理器接收到开始信号后,对于向处理器输出运算指示信号的运算指示信号,输出为一个处理器和另一个处理器的动作定时不同。之后,将一个处理器与另一个处理器的运算效果进行比较。由于采用这种结构,对于多个处理器,可兼顾小型高性能化和安全性,并实现高可靠性。
Description
本申请是申请号为“200610091732.1”,申请日为2006年6月9日,发明名称为“控制装置的任务管理装置和方法”的发明的分案申请。
技术领域
本发明涉及控制装置的任务管理装置、输入输出控制装置、信息控制装置、控制装置的任务管理方法、输入输出控制方法以及信息控制方法。
背景技术
以电子和信息领域的技术进步、在单一装置内追求功能的复杂化和复合化为原动力,可编程电子装置的应用范围变宽,同时,所要求的可靠性也提高。
为实现一般所知的高可靠化,包括可编程电子装置的多重化和多个处理器的多重化。
作为可编程电子装置的多重化,常用系统·备用系统的结构是已知的。通过在常用系统检测出故障时切换到备用系统,可以提高可用性。
另一方面,特开2004-234144号公报中公开了作为使用多个处理器的可编程电子装置提高安全性的技术。
另外,在原子能设备和化学设备等潜在危险性高的处理设备中,为了在万一的情况下减少对操作员和周边环境的影响,采取了利用隔壁等防护设备的被动对策和利用紧急停止装置等安全装置的主动对策。其中,安全装置等的控制单元由现有的继电器等电磁·机械单元来实现。但是,近年来,伴随着以可编程逻辑控制器(PLC)为代表的可编程控制设备的技术发展,将它们用作安全控制系统的控制单元的需求增加。
IEC61508-1~7,“Functional Safety of electrical/electronic/programmable electronic safety-related systems”part1-part7(简称为IEC 61508)是对应上述动向而发布的国际标准,它规定了在安全控制系统的一部分中使用电气/电子/可编程电子装置的情况下的必要条件。在IEC61508中,作为安全控制系统的能力尺度,定义了SafetyIntegrity Level(SIL:安全完整性等级),并规定了与从1到4的等级相对应水平的要求事项。它表示SIL越高,可以降低处理设备所具有的潜在危险性的程度越大。即,意味着在检测出处理设备的异常时,可以多可靠地实施规定的安全控制。
要求安全控制装置在通常运转状态下为非活性,而在处理设备发生异常时立即活化。为此,经常执行自诊断、连续检查自身的健全性是非常重要的。在要求高SIL的安全控制系统中,为使由于未检测出的故障导致系统不动作的概率极小化,必须实施宽范围、高精度的自诊断。
在IEC61508中,对构成安全控制装置的要素部件的每个种类,介绍了各自应用的自诊断技术,并以诊断率的形式来表示各种技术的有效性。诊断率表示各构成要素的所有故障中、采用该诊断技术时可检测出的故障的比例。例如,利用美国专利6779128号公报中记载的RAM诊断技术“abraham”,可主张最高99%的诊断率。
另外,作为各构成要素之一的处理器的故障检测方法,使用多个处理器来监视相互的输出结果的一致性的方法是有效的。
作为对多个处理器进行相互诊断的方法,各处理器同时执行同样的控制处理并确认其输出一致的方法是有效的。
作为其代表性例子,如特开平6-290066号公报中所记载的那样,例举了下述方法:利用在使2个处理器同步执行的同时,通过使输入值也为相同信息而使输出一致的方法来确认处理器的健全性。
可编程电子装置所要求的可靠性的要素包括可用性和安全性,但在设备的控制中,可用性很重要,在设备的保护中,安全性很重要。由于这2个要素的实现方法是相悖(二律背反)的,因此,很难同时满足可用性和安全性。可将负责可用性的装置部分和负责安全性的装置部分分开,但是,这不仅使装置大型化,而且运转、维护作业的重复、复杂化还导致人的要素的可靠性降低。
可编程电子装置所要求的可靠性的要素内包括可用性和安全性。在设备的控制中,可用性很重要,在设备的保护中,安全性很重要。这2个要素的实现方法相悖的部分很多。
为此,目前将负责可用性的装置部分和负责安全性的装置部分分开,这是常识。因此,不仅使装置大型化,而且运转、维护作业的重复、复杂化还导致人的要素的可靠性降低。
在要求高安全性的控制系统中,如特开平6-290066号公报(专利文献1)所记载,采用下述方法:通过对照多个处理器的输出来确认处理器的健全性,仅在一致的情况下,才输出到后级存储器和IO。
使用该方法,在使各处理器的动作定时一致的同时,对控制输入信息也进行核对,以向各处理器传递同一值,从而使输出一致。
但是,随着控制对象变复杂,处理器也变为高性能,在由多个处理器构成的控制系统中,即便将1个时钟输入到多个处理器,也不能保证分别输出的时钟在频率、相位上是一样的。
这样,由于在今后的由多个处理器构成的控制装置中,处理器输出的同步化变得困难,因此,在对多个处理器的输出进行对照来诊断处理器的健全性的过程中,需要有与处理器的输出同步、非同步无关地对输出进行对照的方法。另外,为了在处理器的输出之间进行比较,必须在多个处理器中执行1个处理,从而每台处理器的处理性能与通常的处理相比降低了一半。
另一方面,在可编程电子设备中,除了安全性等可靠性之外,还要求高速地执行网络处理、或不要求在处理器的输出之间进行对照这样的可靠性的通常控制处理,以提高方便性。特别是,在希望高速地执行控制处理的情况下、或在希望执行处理大量数据的网络处理的情况下,有必要分割执行这些处理的可编程电子装置和执行要求可靠性的处理的可编程电子装置。
发明内容
本发明的目的在于提供可解决上述问题中任意一个的装置和方法。具体而言,本发明的目的在于,使用多个处理器,兼顾装置的小型高性能化和安全性,并实现高可靠性。
本发明的目的在于提供了一种高可靠的可编程电子装置,其中使用多个处理器,兼顾装置的小型高性能化和安全性。
为了达到上述目的,本发明提供一种输入输出控制装置,其特征在于,具有:在出现可靠性相对较高的运算的请求的情况下,向多个处理器中的至少一个,指示从可靠性相对较低的运算转而执行可靠性相对较高的运算,以使所述多个处理器执行同样的运算的单元;对所述多个处理器的运算结果进行比较的单元;以及基于所述比较结果,允许输出与所述处理器的运算有关的数据的单元。
本发明还提供一种信息控制装置,其特征在于,具有:多个处理器;为了在接收到表示所述多个处理器应执行可靠性相对较高的运算的请求后,由多个处理器执行相同运算,针对所述多个处理器中的至少一个,指示从可靠性相对较低的运算转而执行可靠性相对较高的运算的单元;对所述多个处理器的运算结果进行比较的单元;以及基于所述比较结果,许可输出与所述处理器的运算有关的数据的单元。
本发明还提供一种输入输出控制方法,在出现可靠性相对较高的运算的请求的情况下,针对多个处理器中的至少一个,指示从可靠性相对较低的运算转而执行可靠性相对较高的运算,以使所述多个处理器执行相同的运算,并对所述多个处理器的运算结果进行比较,基于所述比较结果,许可输出与所述处理器的运算有关的数据。
本发明还提供一种信息控制方法,接收表示多个处理器应执行可靠性相对较高的运算的请求,针对所述多个处理器中的至少1个,生成用于指示从可靠性相对较低的运算转而执行可靠性相对较高的运算的信号,使多个处理器执行相同的运算,比较所述多个处理器的运算结果,基于所述比较结果,许可输出与所述处理器的运算有关的数据。
本发明构成为:对于共同的数据处理对象,输入以相互可互换的方式运算的、至少2个系统的处理结果,从所述至少2个系统之一接收到开始信号后,向所述至少2个系统输出运算指示信号。
或者构成为,对于共同的数据处理对象,输入以相互可互换的方式运算的、至少2个系统的处理结果,对于不同的数据处理对象,输入由至少2个系统执行了不同运算处理后的处理结果,输出表示是由所述至少2个系统执行了不同运算处理、还是以可互换的方式执行了多重运算处理的切换信号,在所述信号表示由至少2个系统执行了不同运算处理的情况下,判断为允许所述至少2个系统的不同处理结果中的至少1个的输出。
或者构成为:对于共同的数据处理对象,输入以可互换的方式运算的、至少2个系统的处理结果,将用于识别所述至少2个系统中规定系统的数据处理对象的识别数据存储到第1识别数据区域;将用于识别所述至少2个系统中任意另一个系统的数据处理对象的识别数据存储到第2识别数据区域;将作为所述至少2个系统中规定系统的处理结果的第1处理数据存储到第1处理数据区域;并将作为所述至少2个系统中任意另一个系统的处理结果的第2处理数据存储到第2处理数据区域内,其中,在对照所述第1识别数据和所述第2识别数据的同时,还对照所述第1处理数据和所述第2处理数据。
或者是构成为:针对共同的数据处理对象,输入由至少2个系统以可互换的方式执行了多重运算处理后的处理结果,针对不同的数据处理对象,输入由至少2个系统执行了不同运算处理后的处理结果,并输出表示是由所述至少2个系统执行了不同运算处理、还是以可互换的方式执行了运算处理的切换信号。
更具体地说,构成为:在具有输入输出装置、多个处理器和存储器的可编程电子装置中,具有多个处理器的动作模式切换单元、多个处理器的输出对照单元、以及由表规定的区域的存储器写入保护单元,响应动作模式切换单元的输出,使输出对照单元动作·停止,在输出对照单元停止时,使存储器写入保护单元动作。
根据该结构,通过在输出对照单元停止时使多个处理器独立地动作,可以提高控制运算性能,同时还可以防止对安全产生影响的输出的误写入。并且可以防止在输出对照单元动作时由于处理器的错误运算而引起的危险侧信号输出,从而可以提高可靠性。
另外构成为:在动作模式切换单元内具有计时器,第1计时器按照对照动作开始指令启动,利用来自多个处理器的对照动作开始信号复位。第2计时器利用来自多个处理器的对照动作开始信号而复位启动,在2个计时器的输出超过设定范围时,进行异常输出。
利用该结构,可以检测出输出对照单元的停止,从而可以提高可靠性。
另外构成为:具有用于诊断总线的粘合断线的总线诊断单元,以多个处理器的独立动作全部结束为条件,开始总线诊断,以诊断的正常结束为比较对照处理的动作开始条件。由此,不仅可以防止处理器的运算误动作,而且可以防止由于总线故障引起的危险侧信号输出,从而可以提高可靠性。
该输出对照单元具有:来自多个处理器的独立动作结束检测单元;设置规定的时间差、向多个处理器发出对照动作程序的动作开始指令的单元;使对照程序的下一步骤的执行进行待机的指令输出单元;保持来自多个处理器的比较处理用信号的保持单元;以及被保持在保持单元内的比较处理用信号的比较对照处理单元,该输出对照单元以多个处理器的独立动作全部结束为条件,开始程序动作。给予先行动作处理器的待机指令在向保持单元的输出结束时解除。另外构成为,给予后发动作处理器的待机指令在比较对照处理结束时解除。
利用该结构,可以减少用于保持来自先行动作处理器的比较信号处理用信号的容量。另外,通过对运算、保持、比较处理的各动作执行流水线处理,可以实现高速化。
或者构成为:在出现了可靠性相对较高的运算的请求的情况下,针对所述多个处理器中的至少一个,指示从可靠性相对较低的运算转而执行可靠性相对较高的运算,使多个处理器执行相同的运算,并对所述多个处理器的运算结果进行比较,基于所述比较结果,许可输出与所述处理器的运算有关的数据。
如此,可以兼顾小型高性能化和安全性,同时可以实现高可靠性。
另外,在安全型性可靠性之外,可以高速地执行网络处理或不要求在处理器的输出之间进行对照这样的可靠性的通常控制处理,从而可以提高便利性。
附图说明
图1是整体结构图。
图2是动作切换单元的细节图。
图3是各部分动作说明图。
图4是本发明的计算机系统的结构。
图5是表示本发明的系统总线接口部的动作的状态转换图。
图6是表示本发明的错误检测部的动作的状态转换图。
图7是表示本发明的2个处理器的处理动作的时刻图。
具体实施方式
接下来,参照附图来说明本发明的实施例。
图1表示本发明的实施例的结构。
首先,说明整体结构和各部分动作的概要。
在该图中,可编程电子装置具有2台处理器。A系统处理器1和B系统处理器2分别经由缓冲器3、缓冲器4连接到外部访问单元5,外部访问单元5与输入输出装置以及存储器连接。
A系统处理器1和B系统处理器2借助动作模式切换单元6,交互地在对照模式和独立模式这2种模式下动作。
在对照模式时,在A系统处理器1和B系统处理器2上执行同一程序。在向外部访问单元5输出时,在由数据保持单元7和输出对照单元8确认了来自A系统处理器1和B系统处理器2的数据的一致性后输出。在从外部访问单元5输入时,利用数据同步单元9向A系统处理器1和B系统处理器2输入相同数据。输出数据与输入数据都经由对照缓冲器单元10输入输出至外部访问单元5。
数据保持单元7、输出对照单元8、同步单元9、对照缓冲器单元10都以对照模式指令601为H电平为条件动作并进行信号输出。
在独立模式时,在A系统处理器1和B系统处理器2上独立地执行不同的程序。A系统处理器1的输入输出经由缓冲器3输入输出至外部单元5。保护表12在独立模式时动作,在缓冲器3的地址数据处于预先定义的物理地址页的保护范围时,禁止写入。同样,B系统处理器2的输入输出经由缓冲器4输入输出至外部单元,但由保护表13禁止保护范围的写入。
输出开关单元14和15仅在NOT电路604的输出605为H电平时,将来自寄存器104和204的输入信号输出至输出缓冲器3和4。
以下,使用图1和图3来说明各部分的动作细节。
开始,根据来自A系统处理器1的操作系统101的指示,向动作模式切换单元6发出(H电平)对照模式开始指令102(t1)。接收到对照模式开始指令102的动作模式切换单元6以来自A系统处理器的对照模式准备完毕信号103成立(t2)、同样来自B系统处理器的准备完毕信号203同时成立(H电平)(t3)为条件,输出(H电平)对照模式指令601(t4)。由此,A系统处理器开始对照模式运算(t5)。在对照模式运算105上升时,准备完毕信号被复位(t6)。
这里,对照模式准备完毕信号103和203是以各A系统处理器1和B系统处理器的独立模式运算结束以及高速缓冲存储器的清除为条件而被输出的。由此,可以不产生由于对照模式开始前的程序动作的不同而引起的运算时间的偏差。
对照模式指令601直接输入到A系统处理器1,另一方面,向B系统处理器2输入由时限电路602延迟了设定时间(Td)的信号603(t7)。由此,B系统处理器开始对照模式运算(t8)。在对照模式运算205上升时,准备完毕信号被复位(t9)。
通过将延迟时间设定为动作模式切换单元6的2个总线周期,可在始终使A系统处理器的运算先行的同时,将由于对照所引起的运算延迟抑制为最小。
接下来,说明输出数据的对照动作。
A系统处理器1的寄存器104的输出被写入数据保持单元7的寄存器701中。在向寄存器701的写入结束时,解除写入等待信号702,从而可以向A系统处理器的寄存器104执行再写入。
另一方面,在利用输出对照单元8的比较电路801对B系统处理器2的寄存器204的写入控制信号W和寄存器701的写入控制信号W作出一致确认后,向对照缓冲器单元10的寄存器11输出写入控制信号W。同时,解除等待信号802,从而比较电路803可以输出。
在利用比较电路803对保持在寄存器701内的、来自A系统处理器1的地址信号701和来自B系统处理器2的地址信号204作出了一致确认后,向对照缓冲器单元10的寄存器11输出地址信号。同时,解除等待信号804,从而使比较电路804可以输出。
在利用比较电路805对保持在寄存器701内的、来自A系统处理器1的数据701和来自B系统处理器2的数据204作出了一致确认后,向对照缓冲器单元10的寄存器11输出数据信号。同时,解除来自输出对照单元8的等待信号806,从而可以执行B系统处理器2的寄存器204的再写入。
接下来,说明输入数据的分配动作。A系统处理器1的寄存器104的读入控制信号R经由对照缓冲器单元10的寄存器11的读入控制信号R,被传送到外部访问单元5,地址信号和数据信号经由寄存器11被读入寄存器104。
然后,寄存器11被传送到数据同步单元9的寄存器901。利用比较电路902对寄存器901的读入控制信号R和B系统处理器2的寄存器204的读入控制信号R进行对照,在一致的情况下,解除等待信号903。利用比较电路904对寄存器901的地址信号和寄存器204的地址信号进行对照。在两者一致的情况下,解除等待信号905,从而门电路906动作,寄存器901的数据信号被传送到寄存器204。传送数据后,等待信号907被解除,从而可重写对照缓冲器单元10。
在检测到A系统处理器的对照模式的运算结束(t10)、B系统处理器的对照模式的运算结束(t11)后,对照模式指令601变为L电平(t12),由于AND电路620,对照模式指令630也同时变为L电平。由此,开始独立动作模式(t14)。
在图2的实施例中,示出下述情况:在A系统处理器独立模式运算106结束(t14)、对照模式开始指令102再次上升的时刻(t15),B系统处理器独立运算模式206继续。在这种情况下,在检测出B系统处理器独立模式运算206结束(t16)后,开始对照电路的自诊断动作(t17)。自诊断动作结束后,A系统处理器对照模式准备完毕103和B系统处理器对照模式准备完毕203变为H电平(t18)。由此,通过在对照模式运算之前执行对照电路的自诊断动作,具有可提高对照电路的安全性的效果。
输出开关单元14和15由各个门电路141-144、151-154构成,在对照模式指令601的反转信号605为H电平时,可以执行寄存器104和204以及缓冲器3和缓冲器4之间的输入输出。
保护表12和13构成为:在对照模式指令601的反转信号605为H电平时动作,参照地址信号121和131,在处于规定的物理地址范围时输出访问保护信号122和132,利用带否定电路的门电路123和133来防止向保护范围的写入。
由此,在独立模式时的运算中,可使对照模式的运算结果不受影响地得到保护。
图2表示本发明的其他实施例。
利用由输入了来自A系统处理器1的操作系统101的对照模式开始指令102的上升检测器606检测出的置位脉冲信号607,计时器609启动。将来自A系统处理器的对照模式准备完毕信号103以及来自B系统处理器的203输入AND电路607,利用该输出信号608,计时器609复位。将计时器609的输出610输入比较器611,在输出610超过设定范围时,输出异常输出612。由此检测出对照动作的启动阻塞。
设置计时器615,该计时器615利用由输入了AND电路607的输出信号608的上升检测器613输出的脉冲信号复位并同时启动。
将计时器615的输出616输入比较器617,在输出616超过设定范围时,输出异常输出618。由此检测出对照运算周期的异常。
在以上的实施方式中,可以构成为:具有由于诊断总线的粘合断线的总线诊断单元,以多个处理器的独立动作全部结束为条件,开始总线诊断,诊断的正常结束是比较对照处理的动作开始条件。由此,不仅可以防止处理器的运算误动作,还可以防止由于总线故障引起的危险侧信号输出,从而可提高可靠性。
该输出对照单元具有:来自多个处理器的独立动作结束检测单元;设置规定的时间差、向多个处理器发出对照动作程序的动作开始指令的单元;使对照程序的下一步骤的执行进行待机的指令输出单元;保持来自多个处理器的比较处理用信号的保持单元;以及被保持在保持单元内的比较处理用信号的比较对照处理单元,该输出对照单元以多个处理器的独立动作全部结束为条件,开始程序动作。给予先行动作处理器的待机指令在向保持单元的输出结束时解除。另外构成为,给予后发动作处理器的待机指令在比较对照处理结束时解除。
利用该结构,可以减少用于保持来自先行动作处理器的比较信号处理用信号的容量。另外,通过对运算、保持、比较处理的各动作执行流水线处理,可以实现高速化。
接着说明其他实施方式,但在说明时进行概念性说明时,实现具有以下功能的CPU输出对照:在需要高可靠和高性能的控制装置中,在需要高可靠的情况下,多个处理器动作,对其输出进行对照,对处理器进行诊断,从而确认处理器的健全性的功能;以及处理器执行独立的处理、实现性能提高的功能。
更具体地说,特征在于以下几点。
(1)在一个控制装置内具有多个处理器,并且具有:判断每个处理器所要访问的IO是否期待高可靠控制结果的单元;比较多个处理器的输出并判定一致的单元;以及至少仅在多个处理器的输出结果一致的情况下,才许可处理器对期待高可靠控制结果的IO的访问,在单独的处理器执行访问的情况下,使其等待,直到其他处理器输出同一输出结果的单元。
(2)1个控制装置内具有的多个处理器具有:处理并执行针对每个处理器不同的功能的单元;以及用于从处理器中断其他处理器的处理的单元。
(3)执行向要求可靠性的IO输出的处理的处理器具有:使用中断其他处理器中的处理的单元,中断其他处理器的处理,执行向要求可靠性的IO输出的处理的单元。
(实施例1)
以下使用附图来说明本发明的实施例。作为本发明第1实施方式的控制系统的结构显示在图4中。这里,就处理器是2个的情况进行说明,但在实际的实施方式中,处理器的台数没有限制,本发明不受其制约。
这里说明的控制系统以连接到存储器电路为前提,从而没有特别明示。
A系统处理器1001执行控制任务,B系统处理器1003执行通信任务。另外,A系统处理器1001和B系统处理器1003不必按同一频率的同一相位来执行同步动作。
A系统处理器1001输出由地址信号、数据信号构成的A系统处理器总线1050。另外,A系统处理器1001在总线访问开始时,发出总线开始信号1051。A系统接口部1002持续发出A系统等待信号1052,直到A系统总线准备就绪信号1067或A系统中断控制准备就绪信号1068被发出。在A系统处理器1001执行写入访问的情况下,A系统处理器1001在A系统等待信号1052发出期间,向A系统处理器总线1050持续输出地址和数据。在A系统处理器执行读出的情况下,A系统处理器1001在A系统等待信号1052发出期间,向A系统处理器总线1050输出地址,并继续等待读出数据,A系统等待信号1052取消时,将A系统处理器总线1050上的数据值作为读出值取入。
B系统也同样,B系统处理器1003输出由地址信号、数据信号构成的B系统处理器总线1055。另外,B系统处理器1003在总线访问开始时,发出总线开始信号1057。B系统接口部1004在B系统总线准备就绪信号1065或B系统中断控制准备就绪信号1069被发出之前,持续发出B系统等待信号1056。在B系统处理器1003执行写入访问的情况下,B系统处理器1003在等待信号1057发出期间,向B系统处理器总线1055持续输出地址和数据。在B系统处理器1003执行读出的情况下,B系统处理器1003在等待信号1056发出期间,向B系统处理器总线1055输出地址,继续等待读出数据,在等待信号1056取消时,将B系统处理器总线1055上的数据值作为读出值取入。
A系统区域判断部1013具有根据A系统处理器总线1050的地址值,来判断当前访问的设备是否是高可靠IO 1018的功能,在A系统处理器1001访问高可靠IO 1018的情况下,发出A系统高可靠访问信号1060。
B系统区域判断部1014具有根据B系统处理器总线1055的地址值,来判断当前访问的设备是否是高可靠IO 1018的功能,在B系统处理器1003访问高可靠IO 1018的情况下,发出B系统高可靠访问信号1061。
比较部1015具有对A系统处理器总线1050和B系统处理器总线1055进行比较的功能,对A系统处理器总线1050和B系统处理器总线1055的地址和写还是读的访问类型、写入数据进行比较,在一致的情况下,发出比较结果一致信号1062。
系统总线接口部1016根据A系统处理器总线1050、B系统处理器总线1055、A系统高可靠访问信号1060、B系统高可靠访问信号1061、比较结果一致信号1062,经由系统总线1017,访问高可靠IO1018、普通IO 1020、网络IO 1022。
高可靠IO 1018连接到要求可靠性的输入输出装置1019。
普通IO 1020连接到普通的可靠性就可以的输入输出装置1021。
网络IO 1022是与网络1023的接口,是在需要接收处理等由处理器执行的处理的情况下,发出网络中断1066,期待来自处理器的处理的装置。
错误检测部1012具有以下功能:根据A系统高可靠访问信号1060、B系统高可靠访问信号1061、比较结果一致信号1062,来判断A系统处理器1001和B系统处理器1003是正常动作,还是发生故障。在判断为发生故障的情况下,发出故障报告信号1064。
中断控制部1005具有控制给予A系统处理器1001的A系统中断信号1053和给予B系统处理器1003的中断信号1054的功能,由用于发出A系统中断信号1053的A系统中断请求寄存器1006、以及表示中断要因的A系统中断要因寄存器1008构成。另外,还具有用于发出B系统中断信号1054的B系统中断请求寄存器1007、以及表示中断要因的B系统中断要因寄存器1009。
构成为可独立地向A系统处理器1001、B系统处理器1003提供中断的结构。另外,A系统中断请求寄存器1006、A系统中断要因寄存器1008、B系统中断请求寄存器1007、B系统中断要因寄存器1009构成为可以从A系统处理器1001和B系统处理器1003进行访问的结构。
另外,从外部输入故障报告信号1064以及网络中断1066。A系统中断信号1053传送从A系统中断请求寄存器1006发生的中断或由故障报告信号1064发生的中断。这里,由故障报告信号1064发生的中断优先于从A系统中断请求寄存器1006发生的中断。
B系统中断信号1054传递从B系统中断请求寄存器1007发生的中断或由网络中断1066、故障报告信号1064发生的中断。这里,由故障报告信号1064发生的中断优先于从B系统中断请求寄存器1007发生的中断,从B系统中断请求寄存器1007发生的中断优先于网络中断1066。即,若按优先顺序排列,则为由故障报告信号1064产生的中断、从B系统中断请求寄存器1007发生的中断、网络中断1066这样的顺序。
图5是说明系统总线接口部1016的动作状态的状态转换图。
系统总线接口部1016具有图5所示的4个状态。
状态1200表示空闲状态,表示A系统处理器1001、B系统处理器1003都没有访问系统总线1017的状态。
状态1201表示A系统处理器访问状态,表示A系统处理器1001访问普通IO 1018。
状态1202表示B系统处理器访问状态,表示B系统处理器1003访问网络IO 1022。
状态1203表示A系统和B系统处理器访问高可靠IO 1018的状态。
从状态1200转换到状态1201的转换条件1204在A系统处理器1001开始执行访问且A系统高可靠访问信号1060没有发出的条件下成立。
从状态1200转换到状态1202的转换条件1206在A系统处理器1001没有开始执行访问、B系统处理器1003开始执行访问、且B系统高可靠访问信号1061没有发出的条件下成立。
从状态1200转换到状态1203的转换条件1208在A系统处理器1001开始执行访问、A系统高可靠访问信号1060发出、且B系统处理器1003开始执行访问、B系统高可靠访问信号1061发出、且比较结果一致信号1062发出的条件下成立。该条件表示A系统处理器1001、B系统处理器1003一起访问高可靠IO 1018的同一地址。
转换条件1205由于从普通IO 1020经由系统总线1017发出的表示访问结束的报告而成立;转换条件1207由于从网络IO 1022经由系统总线1017发出的表示访问结束的报告而成立;转换条件1209由于从高可靠IO 1018经由系统总线1017发出的表示访问结束的报告而成立。
由于该状态转换,系统总线接口部1016依据A系统区域判断部1013、B系统区域判断部1014的判断结果,应A系统处理器1001、B系统处理器1003的请求,允许对连接到系统总线1017上的高可靠IO1018、普通IO 1020、网络IO 1022中任何一个的访问。特别是,对于高可靠IO 1018的访问,必须使表示A系统处理器1001、B系统处理器1003共同访问高可靠IO 1018的同一地址的转换条件1208成立。
另外,A系统总线准备就绪信号1067在转换条件1205和转换条件1209成立时发出,B系统总线准备就绪信号1065在转换条件1207和转换条件1209成立时发出。
图6是表示错误检测部1012的动作的状态转换图。
状态1300为空闲状态,表示A系统处理器、B系统处理器都不访问高可靠IO 1018的状态。
状态1301是A系统处理器1001访问高可靠IO 1018,在B系统处理器1003输出与自身处理器的输出相同的输出之前一直等待的状态。
状态1302是A系统处理器1001访问高可靠IO 1018,在B系统处理器1003输出与自身处理器的输出相同的输出之前待机,但经过一定时间后,判断为超时错误的状态。
状态1303是A系统处理器1001和B系统处理器1003虽然访问了高可靠IO 1018,但各个处理器的输出不一致、判断为错误的状态。
状态1305是B系统处理器1003访问高可靠IO 1018,在A系统处理器1001输出与自身处理器的输出相同的输出之前一直等待的状态。
状态1304是B系统处理器1003访问高可靠IO 1018,在A系统处理器1001输出与自身处理器的输出相同的输出之前一直等待,但经过一定时间后,判断为超时错误的状态。
转换条件1306在A系统高可靠访问信号1060发出、B系统高可靠访问信号1061没有发出的条件下成立。
转换条件1307在B系统高可靠访问信号1061发出、比较结果一致信号1062发出的条件下成立。
转换条件1309在B系统高可靠访问信号1061发出、比较结果一致信号1062没有发出的条件下成立。
转换条件1308在转换条件1307、1309不成立、经过一定时间的条件下成立。
转换条件1316在B系统高可靠访问信号1061发出、A系统高可靠访问信号1060没有发出的条件下成立。
转换条件1315在A系统高可靠访问信号1060发出、比较结果一致信号1062发出的条件下成立。
转换条件1312在A系统高可靠访问信号1060发出、B系统高可靠访问信号1061发出、比较结果一致信号1062没有发出的条件下成立。
转换条件1313在转换条件1315、1312不成立、经过一定时间的条件下成立。
转换条件1317在A系统高可靠访问信号1060发出、B系统高可靠访问信号1061发出、比较结果一致信号1062没有发出的条件下成立。
转换条件1310、1311、1314始终成立,这意味着在向状态1302、1303、1304转换后的下一个周期中,向状态1300转换。
错误检测部1012管理A系统处理器1001和B系统处理器1003对高可靠IO 1018的访问状态,对高可靠IO 1018执行访问的处理器在自身处理器的输出与其他系统的处理器的输出不一致的情况下,或其他处理器在一定时间内不对高可靠IO 1018进行访问的情况下,转换到状态1302、1303、1304,在该状态1302、1303、1304时发出故障报告信号1064。
高可靠IO 1018在故障报告信号1064被发出后,识别出发生了故障,并将输出切换到安全状态。这里,所谓安全状态包括继续保持当前输出的情况是安全状态的情况、或与切断了电源的情况相同的状态是安全的情况,随每个执行控制的对象而不同。另外,在发生故障后,错误检测部1012使用中断信号1053、1054向A系统处理器1001和B系统处理器1003报告故障中断。接收到故障中断的处理器迅速中断现状的处理,并执行故障处理。
图7是表示A系统处理器1001和B系统处理器1003正常时的处理动作的时刻图。
A系统处理器1001从控制任务0开始顺序处理任务,在最后的控制任务n的处理结束后,执行用于启动B系统处理器高可靠任务的启动任务。该启动任务通过访问中断控制部1005内部的B系统中断请求寄存器1997,使B系统处理器1003发生中断而结束。接下来,A系统处理器1001执行高可靠任务。该高可靠任务对连接到高可靠IO 1018上的、要求可靠性的输入输出装置1019执行控制。A系统处理器1001周期性地执行从控制任务0开始到高可靠任务为止的一连串的处理。
另一方面,B系统处理器1003按照从网络IO 1022发生的网络中断,依次处理通信任务,在由于A系统处理器1001执行的启动任务而接收到中断后,执行与A系统处理器相同的高可靠任务。因此,A系统处理器1001和B系统处理器1003执行同一处理,从而可以保障2个处理器的输出一致。B系统处理器1003在高可靠任务的处理结束后,再次按照从网络IO 1022发生的网络中断1066,依次处理通信任务。B系统处理器1003接收到中断并且处理完毕后,对中断控制部1005执行访问,清除中断要因。
另外,中断控制部1005在由于访问B系统中断请求寄存器1007而发生的中断进入B系统处理器1003期间,屏蔽优先级低的网络中断1066,因此,在B系统处理器1003执行高可靠任务期间,网络中断1066不进入,从而不中断处理。
如上所述,在执行用于保证可靠性的处理时,利用多个处理器来执行处理,比较多个输出结果,仅在一致的情况下执行输出,从而提高了可靠性,对于不重视可靠性的处理,多个处理器独立动作,从而可以提高处理性能。
Claims (15)
1.一种输入输出控制装置,其特征在于,具有:
在出现可靠性相对较高的运算的请求的情况下,向多个处理器中的至少一个,指示从可靠性相对较低的运算转而执行可靠性相对较高的运算,以使所述多个处理器执行同样的运算的单元;对所述多个处理器的运算结果进行比较的单元;基于所述比较结果,允许输出与所述处理器的运算有关的数据的单元;以及在可靠性相对较低的运算中,防止向规定的物理地址的保护范围的写入,以使可靠性相对较高的运算的运算结果不受影响地得到保护的单元。
2.如权利要求1所述的输入输出控制装置,其特征在于,具有:在所述可靠性相对较低的运算中,由所述多个处理器执行不同的运算处理,并输出所述不同的运算处理的结果的单元。
3.如权利要求2所述的输入输出控制装置,其特征在于,所述可靠性相对较高的运算的请求,是从所述多个处理器中的一个向所述多个处理器中的另一个的中断处理。
4.如权利要求2所述的输入输出控制装置,其特征在于,所述可靠性相对较高的运算是在相当于请求进行可靠性相对较高的运算的、对I/O的访问的情况下进行的。
5.如权利要求4所述的输入输出控制装置,其特征在于,是否是所述相当于请求进行可靠性相对较高的运算的、对I/O的访问,是基于所要访问的地址来判断的。
6.如权利要求5所述的输入输出控制装置,其特征在于,对应所述多个处理器中的每一个,具有请求寄存器和要因寄存器,基于所述请求寄存器和要因寄存器的写入内容,来判断是否是可靠性相对较高的运算的请求。
7.如权利要求6所述的输入输出控制装置,其特征在于,基于来自所述多个处理器中的一个的、表示总线启动的信号,向所述多个处理器中的一个输出对总线进行等待控制的信号,从而限制所述访问。
8.如权利要求1所述的输入输出控制装置,其特征在于,所述允许输出的单元在所述多个处理器的运算结果一致的情况下作出允许。
9.如权利要求8所述的输入输出控制装置,其特征在于,输出用于指示在所述一致后执行所述不同的运算处理的信号。
10.如权利要求1所述的输入输出控制装置,其特征在于,在出现所述可靠性相对较高的运算的请求的情况下,向所述至少1个处理器输出用于指示运算中断的信号。
11.如权利要求10所述的输入输出控制装置,其特征在于,具有:在执行所述可靠性相对较高的运算的情况下,限制向所述多个处理器的、针对所述可靠性相对较低的运算的中断的单元。
12.如权利要求11所述的输入输出控制装置,其特征在于,具有:在所述多个处理器中的至少1个在规定时间期间内没有输出运算结果的情况下,判断为异常的单元。
13.一种信息控制装置,其特征在于,具有:
多个处理器;为了在接收到表示所述多个处理器应执行可靠性相对较高的运算的请求后,由多个处理器执行相同运算,针对所述多个处理器中的至少一个,指示从可靠性相对较低的运算转而执行可靠性相对较高的运算的单元;对所述多个处理器的运算结果进行比较的单元;基于所述比较结果,许可输出与所述处理器的运算有关的数据的单元;以及在可靠性相对较低的运算中,防止向规定的物理地址的保护范围的写入,以使可靠性相对较高的运算的运算结果不受影响地得到保护的单元。
14.一种输入输出控制方法,在出现可靠性相对较高的运算的请求的情况下,针对多个处理器中的至少一个,指示从可靠性相对较低的运算转而执行可靠性相对较高的运算,以使所述多个处理器执行相同的运算,对所述多个处理器的运算结果进行比较,基于所述比较结果,许可输出与所述处理器的运算有关的数据,并且,在可靠性相对较低的运算中,防止向规定的物理地址的保护范围的写入,以使可靠性相对较高的运算的运算结果不受影响地得到保护。
15.一种信息控制方法,接收表示多个处理器应执行可靠性相对较高的运算的请求,针对所述多个处理器中的至少1个,生成用于指示从可靠性相对较低的运算转而执行可靠性相对较高的运算的信号,使多个处理器执行相同的运算,比较所述多个处理器的运算结果,基于所述比较结果,许可输出与所述处理器的运算有关的数据,并且,在可靠性相对较低的运算中,防止向规定的物理地址的保护范围的写入,以使可靠性相对较高的运算的运算结果不受影响地得到保护。
Applications Claiming Priority (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005-170275 | 2005-06-10 | ||
| JP2005170275A JP2006344087A (ja) | 2005-06-10 | 2005-06-10 | 制御装置のタスク管理装置、及び、制御装置のタスク管理方法 |
| JP2005170275 | 2005-06-10 | ||
| JP2005190874A JP4102814B2 (ja) | 2005-06-30 | 2005-06-30 | 入出力制御装置,情報制御装置及び情報制御方法 |
| JP2005-190874 | 2005-06-30 | ||
| JP2005190874 | 2005-06-30 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006100917321A Division CN1877471B (zh) | 2005-06-10 | 2006-06-09 | 控制装置的任务管理装置和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101174135A CN101174135A (zh) | 2008-05-07 |
| CN101174135B true CN101174135B (zh) | 2010-06-09 |
Family
ID=37509932
Family Applications (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101967958A Expired - Fee Related CN101174135B (zh) | 2005-06-10 | 2006-06-09 | 输入输出控制装置及方法、信息控制装置及方法 |
| CN2008101300436A Expired - Fee Related CN101329580B (zh) | 2005-06-10 | 2006-06-09 | 控制装置的任务管理装置和方法 |
| CN2006100917321A Expired - Fee Related CN1877471B (zh) | 2005-06-10 | 2006-06-09 | 控制装置的任务管理装置和方法 |
Family Applications After (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101300436A Expired - Fee Related CN101329580B (zh) | 2005-06-10 | 2006-06-09 | 控制装置的任务管理装置和方法 |
| CN2006100917321A Expired - Fee Related CN1877471B (zh) | 2005-06-10 | 2006-06-09 | 控制装置的任务管理装置和方法 |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP2006344087A (zh) |
| CN (3) | CN101174135B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5367236B2 (ja) * | 2007-06-14 | 2013-12-11 | 株式会社東芝 | 携帯可能電子装置およびicカード |
| JP5344936B2 (ja) | 2009-01-07 | 2013-11-20 | 株式会社日立製作所 | 制御装置 |
| JP6266239B2 (ja) * | 2013-07-11 | 2018-01-24 | ルネサスエレクトロニクス株式会社 | マイクロコンピュータ |
| CN108628694B (zh) * | 2017-03-20 | 2023-03-28 | 腾讯科技(深圳)有限公司 | 一种基于可编程硬件的数据处理方法以及装置 |
| DE102017007815A1 (de) * | 2017-08-18 | 2019-02-21 | WAGO Verwaltungsgesellschaft mit beschränkter Haftung | Prozesssteuerung |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3424968B2 (ja) * | 1993-12-24 | 2003-07-07 | 三菱電機株式会社 | 計算機システム及びプロセッサチップ及び障害復旧方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6779128B1 (en) * | 2000-02-18 | 2004-08-17 | Invensys Systems, Inc. | Fault-tolerant data transfer |
| ATE431944T1 (de) * | 2003-01-23 | 2009-06-15 | Supercomputing Systems Ag | Fehlertolerantes computergesteuertes system |
-
2005
- 2005-06-10 JP JP2005170275A patent/JP2006344087A/ja active Pending
-
2006
- 2006-06-09 CN CN2007101967958A patent/CN101174135B/zh not_active Expired - Fee Related
- 2006-06-09 CN CN2008101300436A patent/CN101329580B/zh not_active Expired - Fee Related
- 2006-06-09 CN CN2006100917321A patent/CN1877471B/zh not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3424968B2 (ja) * | 1993-12-24 | 2003-07-07 | 三菱電機株式会社 | 計算機システム及びプロセッサチップ及び障害復旧方法 |
Non-Patent Citations (1)
| Title |
|---|
| JP特开平9-325899A 1997.12.16 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101329580B (zh) | 2012-02-29 |
| CN101174135A (zh) | 2008-05-07 |
| CN1877471A (zh) | 2006-12-13 |
| CN1877471B (zh) | 2010-08-18 |
| JP2006344087A (ja) | 2006-12-21 |
| CN101329580A (zh) | 2008-12-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR20190079809A (ko) | 결함 주입 테스트 장치 및 그 방법 | |
| US6845467B1 (en) | System and method of operation of dual redundant controllers | |
| CN100530155C (zh) | 活锁解析方法、设备和系统 | |
| CN101174135B (zh) | 输入输出控制装置及方法、信息控制装置及方法 | |
| CN102906703A (zh) | 硬件交易存储器的自动暂停及回复 | |
| CA2549540C (en) | A task management control apparatus and method | |
| CN102640119B (zh) | 用于运行计算单元的方法 | |
| JPS6030983B2 (ja) | 周辺装置制御ユニツト | |
| US20070055480A1 (en) | System and method for self-diagnosis in a controller | |
| JP4102814B2 (ja) | 入出力制御装置,情報制御装置及び情報制御方法 | |
| US10962593B2 (en) | System on chip and operating method thereof | |
| JPS59154700A (ja) | デ−タ処理システム | |
| EP2738771A1 (en) | An apparatus and a method for memory testing by a programmable circuit in a safety critical system | |
| KR20200083017A (ko) | 멀티코어 프로세서 기반의 이중화된 plc 제어시스템 | |
| JP2006338425A (ja) | 制御装置 | |
| JPH01300366A (ja) | 共有データ競合制御方式 | |
| CA2619742C (en) | An input/output control apparatus for performing high reliability computations | |
| SU1315981A1 (ru) | Устройство дл контрол выполнени программ (его варианты) | |
| JPH04232559A (ja) | システムのプロセッサ間対話方法及び該方法を実施するためのシステム | |
| JP3328403B2 (ja) | 障害検出方式 | |
| SU1709319A1 (ru) | Устройство дл контрол выполнени программ | |
| CN116069442A (zh) | 信息处理装置、车辆以及信息处理方法 | |
| JP3903688B2 (ja) | バンク切替システム | |
| JPS63155330A (ja) | マイクロプログラム制御装置 | |
| JPH0452746A (ja) | 情報処理システムの入出力コマンド発行方式 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100609 Termination date: 20210609 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |