CN102269970A - 安全控制系统 - Google Patents
安全控制系统 Download PDFInfo
- Publication number
- CN102269970A CN102269970A CN2011101604429A CN201110160442A CN102269970A CN 102269970 A CN102269970 A CN 102269970A CN 2011101604429 A CN2011101604429 A CN 2011101604429A CN 201110160442 A CN201110160442 A CN 201110160442A CN 102269970 A CN102269970 A CN 102269970A
- Authority
- CN
- China
- Prior art keywords
- processor unit
- module
- error
- secure data
- detecting code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H02—GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
- H02M—APPARATUS FOR CONVERSION BETWEEN AC AND AC, BETWEEN AC AND DC, OR BETWEEN DC AND DC, AND FOR USE WITH MAINS OR SIMILAR POWER SUPPLY SYSTEMS; CONVERSION OF DC OR AC INPUT POWER INTO SURGE OUTPUT POWER; CONTROL OR REGULATION THEREOF
- H02M3/00—Conversion of dc power input into dc power output
- H02M3/02—Conversion of dc power input into dc power output without intermediate conversion into ac
- H02M3/04—Conversion of dc power input into dc power output without intermediate conversion into ac by static converters
- H02M3/10—Conversion of dc power input into dc power output without intermediate conversion into ac by static converters using discharge tubes with control electrode or semiconductor devices with control electrode
- H02M3/145—Conversion of dc power input into dc power output without intermediate conversion into ac by static converters using discharge tubes with control electrode or semiconductor devices with control electrode using devices of a triode or transistor type requiring continuous application of a control signal
- H02M3/155—Conversion of dc power input into dc power output without intermediate conversion into ac by static converters using discharge tubes with control electrode or semiconductor devices with control electrode using devices of a triode or transistor type requiring continuous application of a control signal using semiconductor devices only
- H02M3/156—Conversion of dc power input into dc power output without intermediate conversion into ac by static converters using discharge tubes with control electrode or semiconductor devices with control electrode using devices of a triode or transistor type requiring continuous application of a control signal using semiconductor devices only with automatic control of output voltage or current, e.g. switching regulators
- H02M3/157—Conversion of dc power input into dc power output without intermediate conversion into ac by static converters using discharge tubes with control electrode or semiconductor devices with control electrode using devices of a triode or transistor type requiring continuous application of a control signal using semiconductor devices only with automatic control of output voltage or current, e.g. switching regulators with digital control
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0796—Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1633—Error detection by comparing the output of redundant processing systems using mutual exchange of the output between the redundant processing components
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1654—Error detection by comparing the output of redundant processing systems where the output of only one of the redundant processing components can drive the attached hardware, e.g. memory or I/O
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1675—Temporal synchronisation or re-synchronisation of redundant processing components
- G06F11/1687—Temporal synchronisation or re-synchronisation of redundant processing components at event level, e.g. by interrupt or result of polling
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24191—Redundant processors are different in structure
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Automation & Control Theory (AREA)
- Safety Devices In Control Systems (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Emergency Protection Circuit Devices (AREA)
- Hardware Redundancy (AREA)
Abstract
本发明提供一种安全控制系统,其目的在于削减处理器单元数量,实现低成本化和省空间化,并且可靠地维持双重化结构的安全功能间的同步。本发明由执行控制功能和安全功能这两者的第一处理器单元,和仅执行安全功能的第二处理器单元构成,第一处理器单元具备:安全数据转送模块,其在通信数据包括安全数据的情况下,产生内部中断信号和发往第二处理器单元的外部中断信号,并且向第二处理器单元转送安全数据;和通过内部中断信号执行安全处理的安全数据执行模块,第二处理器单元通过外部中断信号启动,基于从第一处理器单元转送的安全数据执行安全处理。
Description
技术领域
本发明涉及安全控制系统,其具有电力转换器等被控制装置的安全监视功能,基于经由网络而提供的控制信号对被控制装置进行控制,特别涉及在具有控制功能和安全监视功能的处理器与仅具有安全监视功能的处理器之间进行高精度的同步处理,实现高安全性的安全控制系统。
背景技术
目前,对电力转换器等被控制装置,提出了功能安全的要求,制定有以IEC61508为代表的功能安全标准等。在该功能安全标准中,在诊断、监视功能之外,还定义有基于来自外部传感器等的信号而使装置转换为安全的状态的功能。在转换到安全状态的功能中,能够列举安全停止、安全减速等。另外,作为从外部控制器向电力转换器给予控制信号、安全信号的方法,现在主流的是按照功能将信号线连接到电力转换器的线路配线的方法。在该方法中,安装虽然容易,但是与系统的规模相应地,配线变得复杂,在设计方面、成本方面不利。因此,提案使用“安全总线”的系统,该系统用于将通过线路配线给予的安全信号与控制信号混合后利用工业用网络传送(例如参照专利文献1)。
另外,在专利文献2中,记载有用于将外部的安全控制器和以安全标准设计的输入设备、输出设备在网络上进行中继的装置。该装置的输入和输出分别由不同的设备构成,分别通过以冗长化的端子(发送接收部)进行连接,从而实现安全功能。
在由电力转换器实现安全总线时,通信装置为了满足功能安全标准,例如如图8所示那样,为了将安全总线(网络3)中流动的通信数据之中的控制数据和安全数据分离,设置有独立的2个通信装置10a、10b,或者如图9所示那样,设置有用于由1个通信装置10接收混合了安全数据和非安全数据(控制数据)的通信数据,从该通信数据中将安全数据和非安全数据分离的专用处理器单元。
但是,基于硬件的成本削减的要求,将图9举例所示的3个处理器单元精简为两个,在一个处理器单元安装控制功能和安全功能,在另一个处理器单元仅安装安全功能,这样既能够满足安全功能的双重化的条件,又能够削减单元个数而实现小型化和低成本化。
但是,在形成为这样的单元结构时,由于安全功能和非安全功能混合存在,导致产生问题。例如,双重化的安全功能,为了同时进行相同的安全处理,需要实现同步,但是存在一个处理器单元的安全处理受到非安全处理的行为的影响,从而同步失败变得容易发生的问题。
现有技术文献
专利文献
专利文献1:日本特开2006-178730号公报
专利文献2:日本特开2006-325390号公报
发明内容
发明要解决的课题
本发明鉴于上述情况而完成,其目的在于提供一种安全控制系统,能够削减处理器单元个数,实现低成本化和省空间化,并且能够可靠地维持双重化结构的安全功能间的同步。
用于解决课题的手段
为了达成上述目的,本发明的其包括:通过网络与外部控制器进行通信数据的发送接收的通信装置;第一处理器单元,其经由该通信装置接收从上述外部控制器传送来的通信数据,执行基于该通信数据向电力转换器输出控制信号的控制功能和基于该通信数据向电力转换器输出停止指令等安全功能;和仅执行安全功能的第二处理器单元,安全控制系统的特征在于:第一处理器单元包括:控制指令生成模块,其在通信数据包含非安全数据的情况下,基于该非安全数据生成控制指令,并将该控制指令向电力转换器输出;安全数据转送模块,其在通信数据包含安全数据的情况下,产生作为针对第二处理器单元的中断信号的外部中断信号和作为处理器内部的中断信号的内部中断信号,并且向第二处理器单元转送安全数据;安全数据执行模块,其根据内部中断信号,执行基于安全数据的安全处理;和结合模块,其接收由第二处理器单元执行的安全处理的结果,基于该接收数据和安全数据执行模块的执行结果,生成要向外部控制器发送的通信数据,其中,第二处理器单元具备安全数据执行模块,该安全数据执行模块根据外部中断信号启动,基于从第一处理器单元转送的安全数据执行安全处理,将该安全处理的结果向第一处理器单元发送。
这里,处理器单元是指进行用于实现某种功能的运算处理的独立的结构单位,与其形态(基板或装置等)无关。
在本发明中,在第一处理器单元执行控制功能和安全功能,在第二处理器单元仅执行安全功能,通过来自处理负载重的第一处理器单元的外部中断信号取得两处理器单元间的安全处理的定时(时刻)。第二处理器单元与第一处理器单元相比处理负载较轻,因此即使与第一处理器单元的定时一致,也不会使安全处理停滞。由此,能够可靠地实现两处理器单元的安全功能的同步。
另外,本发明的安全控制系统的第一处理器单元包括:以一定时间间隔产生内部中断信号的第一计时器模块;和第一存储器诊断模块,其根据该内部中断信号执行存储器诊断处理,并且针对安全处理用的存储器区域生成错误检测码,在生成了该错误检测码之后,对于第二处理器单元,产生外部中断信号并且发送该错误检测码,第二处理器单元包括:在经过了设定时间后产生内部中断信号并在此后重新启动的第二计时器模块;第二存储器诊断模块,其根据该内部中断信号执行存储器诊断处理,并且针对安全处理用的存储器区域生成错误检测码,在生成了该错误检测码之后,对于第一处理器单元,产生外部中断信号并且发送该错误检测码;和第二安全管理模块,其根据由第一处理器单元的第一存储器诊断模块产生的外部中断信号启动,基于该启动的时刻调整第二计时器模块的设定时间,并对从第一存储器诊断模块发送的错误检测码和由第二存储器诊断模块生成的错误检测码进行比较,在两个码不一致的情况下执行错误处理,第一处理器单元还具有第一安全管理模块,该第一安全管理模块根据由第二处理器单元的第二存储器诊断模块产生的外部中断信号启动,对从第二存储器诊断模块发送的错误检测码和由第一存储器诊断模块生成的错误检测码进行比较,在两个码不一致的情况下执行错误处理。
作为安全功能之一的存储器诊断功能,需要在相同定时生成错误检测码并相互转送,但是对于产生错误检测码生成的定时的计时器模块,通过以第一处理器单元发出的错误检测码的发送定时调整第二计时器的设定时间,使第二计时器模块与第一计时器模块同步。由此,能够防止两处理器单元的存储器诊断处理的定时偏差的不断累积。
另外,本发明的安全控制系统的第一存储器诊断模块将上述第一存储器诊断模块将按照发送次数递增的发送编号与错误检测码一起发送,第二存储器诊断模块,使从第一存储器诊断模块传送来的最新的发送编号递增,并将递增后的值作为发送编号,将该发送编号与错误检测码一起发送,第一安全管理模块和第二安全管理模块,还分别对发送编号进行比较,在发送编号和错误检测码中的任一方不一致的情况下,执行错误处理。
在本发明中,万一在两处理器单元间存储器诊断处理的定时产生偏差的情况下,检测出产生偏差即处于同步失败的状态而执行错误处理。
发明的效果
根据本发明,在削减处理器单元数量,实现低成本化和省空间化的同时,能够可靠地维持双重化结构带来的安全功能间的同步。另外,在万一由于故障等引起安全功能间发生同步失败的情况下,检测出这种情况进行错误(error)处理(纠错处理),因此能够构筑可靠性高的安全控制系统。
附图说明
图1是本发明的实施方式的安全控制系统1和周边装置的结构图。
图2是图1的处理器单元11、12的功能框图。
图3是本发明的实施方式的安全控制系统1的动作概要的说明图。
图4是表示分离模块22的处理步骤的流程图。
图5是图2的存储器34、存储器64的区域分割的说明图。
图6是表示图2的存储器诊断模块28、安全管理模块29的处理步骤的流程图。
图7是表示图2的存储器诊断模块58、安全管理模块59的处理步骤的流程图。
图8是现有的安全控制系统的一个结构例。
图9是现有的安全控制系统的其他结构例。
附图标记说明:
1 安全控制系统
2 外部控制器
3 网络
4 电动机
10、10a、10b 通信装置
11、12 处理器单元
21、51 CPU(处理器)
22 分离模块
23 结合模块
24 控制指令生成模块
26 安全数据转送模块
27、57 安全数据执行模块
28、58 存储器诊断模块
29、59 安全管理模块
30、80 计时器模块
31、81 设定值
34、64 存储器
35、40、70 发送接收电路
36、37、66 I/F电路
38、39、69 锁存电路
40 发送接收电路
60 电力转换器
64 存储器
90、91、92 现有的存储器单元
99 现有的安全控制系统
具体实施方式
以下,参照附图对本发明的实施方式进行说明。图1是本发明的实施方式的安全控制系统1和周边装置的结构图。与如图9所示的现有的安全控制系统1的主要区别在于,由统合处理器单元90和处理器单元91的功能而兼具控制功能和安全功能两者的处理器单元11,和仅具有安全功能的处理器单元12组成的结构。各处理器单元11、12、通信装置10、电力转换器60以线缆连接。另外,在处理器单元11与处理器单元12之间,作为数据同步方法,采用外部中断信号线进行连接。
在该结构中,将非安全信号从处理器单元11向电力转换器60输出,将安全信号从处理器单元11和处理器单元12双方向电力转换器60输出。例如,在紧急停止的安全信号从处理器单元11和处理器单元12中的至少任一方输出的情况下,电力转换器60进行紧急停止。于是,通过处理器单元11和处理器单元12,控制系统单重化、安全系统双重化的结构得以实现。
图2是处理器单元11、12的功能框图。处理器单元11具备:执行运算处理的CPU21;存储数据的存储器34;与通信装置10进行数据的发送接收的发送接收电路35;与电力转换器60之间分别进行安全信号、控制信号的传递的I/F(接口)电路36、37;将中断请求的输出保持一定时间的锁存(latch)电路38、39;和与处理器单元12之间进行数据的发送接收的发送接收电路40。
另外,作为CPU21的功能,具备:对从通信装置10接收的数据进行分离的分离模块22;在接收到安全数据的情况下,产生外部中断和内部中断,将安全数据转送到处理器单元12的安全数据转送模块26;基于安全数据执行安全处理的安全数据执行模块27;基于来自外部控制器2的控制数据,生成应输出到电力转换器60的控制信号的控制指令生成模块24;根据安全处理、控制处理的结果生成应发送到外部控制器2的通信数据的结合模块23;基于在寄存器(register)等的设定值保持模块(以下称为“设定值”)31中保持的设定值,计测时间并以一定周期输出中断请求(内部中断)的计时器模块30;由来自计时器模块30的中断请求启动,进行存储器区域的诊断的存储器诊断模块28;和基于存储器诊断模块28的诊断结果等监视有无异常,并在检测出异常时进行预先设定的故障保险(fail safe,有限可靠性)处理的安全管理模块29。
处理器单元12包括:执行运算处理的CPU51;存储数据的存储器64;与电力转换器60之间分别进行安全信号的传递的I/F电路66;将中断请求的输出保持一定时间的锁存电路69;和与处理器单元11之间进行数据的发送接收的发送接收电路70。此外,在发送接收电路40与发送接收电路70之间通过串行通信进行物理上连接。在图2中,电路40、70之间的虚线表示逻辑连接。
另外,作为CPU51的功能,具备:基于从处理器单元11送来的安全数据执行安全处理的安全数据执行模块27;基于设定值81计测时间并输出中断请求(内部中断)的计时器模块80;根据来自计时器模块80的中断请求而启动、进行存储器区域的诊断的存储器诊断模块58;和基于存储器诊断模块58的诊断结果等监视有无异常,并在检测出异常时执行预先设定的故障保险处理的安全管理模块59。
对具有上述结构的安全控制系统1的动作概要进行说明。
在图3中,当安全控制系统1接收通信数据时,首先,CPU21的分离模块22将从通信装置10接收到的通信数据分离成安全数据和控制数据(S1)。接着,在通信数据为控制数据的情况下,通过控制指令生成模块24进行控制数据处理,向电力转换器60输出控制信号(S2),处理结束。另一方面,在步骤S1中通信数据为安全数据的情况下,CPU21的安全数据转送模块26将安全数据转送到CPU51,安全数据执行模块27基于该安全数据执行安全处理(S3)。同时,也以根据安全数据所设定的周期进行存储器诊断处理等。在从CPU21接收安全数据时,CPU51基于该安全数据执行安全处理(S4)。处理器21和处理器51的安全数据的处理结果,通过数据同步模块被汇总到处理器21,通过结合模块23的处理,安全数据被转换为通信数据,经由通信装置10向外部控制器2发送通信数据(S5)。
下面,详细叙述安全控制系统1的动作。
(接收数据分离处理)
图4表示分离模块22的处理步骤。经由通信装置10送来的通信数据,由发送接收电路35接收,并由CPU21的分离模块22接收(S101)。接着,分离模块22对通信数据是安全数据还是控制数据进行判定(S102)。对于该判定,通信数据中定义了用于判别是安全数据还是控制数据的数据(数据种类),根据该数据种类进行判定。判定的结果为安全数据时,设定安全处理用的内部中断(S103)。判定的结果为控制数据时,设定控制处理用的内部中断(S104)。
此外,通信数据包括安全数据和控制数据双方时,对安全数据和控制数据进行分离,并且设定安全处理用的内部中断和控制处理用的内部中断这两方。内部中断是用于启动CPU的特定程序的中断。通过使用该内部中断,即使在同时接收到控制数据和安全数据的情况、进行其他的处理的情况下,也能够根据预先决定的程序的优先度按顺序进行处理,能够高效地处理安全通信处理和紧急性高的其他处理。另外,通过在与控制数据处理不同的中断主要原因下进行处理,能够确保安全数据处理的独立性。
(控制指令生成处理)
控制指令生成模块24以由分离模块22产生的内部中断为触发(trigger)而启动,将速度指令等控制数据作为控制信号向电力转换器60输出。另外,将从电力转换器60取得的当前速度等控制应答信号向后述的结合模块23传送。
(安全数据转送处理)
安全数据转送模块26以由分离模块22产生的内部中断为触发而启动,将外部中断请求输出到处理器单元12的CPU51。该请求通过向预先分配的特定的地址进行写入动作而输出。具体而言,在写入信号输入至锁存电路38时,锁存电路38以使中断有效(active)的方式将脉冲信号输出一定时间。该脉冲信号作为外部中断信号输入至CPU51,CPU51的安全数据执行模块57启动。
安全数据转送模块26同时通过发送接收电路40将安全数据向处理器单元12发送。从处理器单元11发送来的安全数据由处理器单元12的发送接收电路70接收,传输给CPU51的安全数据执行模块57。
安全数据转送模块26进而设定内部中断,启动安全数据执行模块27。
(安全数据执行处理)
处理器单元11的安全数据执行模块27,因由安全数据转送模块26设定的内部中断而启动时,基于安全数据生成安全处理所必需的安全信号,经由I/F电路36向电力转换器60输出。将该处理结果传送给结合模块23。
另一方面,处理器单元12的安全数据执行模块57,因从锁存电路38输出的外部中断信号而启动时,接收从安全数据转送模块26送来的安全数据,基于该安全数据生成安全处理所必需的安全信号,经由I/F电路66向电力转换器60输出。将该处理结果传送至处理器单元11的结合模块23。
以上,通过分离模块22、安全数据转送模块26的外部和内部的中断信号的产生和安全数据的转送,进而两处理器单元11、12的安全数据执行模块27、57的处理动作,在处理器单元11、12之间实现安全数据的同步处理。
(数据的结合处理)
结合模块23的处理如下:根据由安全数据执行模块27和处理器单元12的安全数据执行模块57取得的安全数据的处理结果生成通信数据,经由通信装置10向外部控制器2发送。结合模块23还基于从控制指令生成模块24传递的控制应答信号生成通信数据,并将其向外部控制器2发送。
(存储器诊断的同步处理)
在安全处理之中,实现以定周期执行的存储器诊断处理的同步是重要的。下面,对于该步骤进行说明。此外,在定周期处理中,除CPU内的存储器诊断之外,还存在电力转换器60的输出电压检测(check)、电动机4的速度监视等安全监控(monitoring)处理,但是这些在存储器诊断的前后执行即可,因此下面对在处理器单元11、12之间实现存储器诊断的同步的方法进行说明。
CPU21和CPU51连接或内置其中的存储器的结构如图5所示。处理器单元11的存储器34被预先划分为非安全相关(控制相关)存储器区域、安全相关存储器区域和其他区域。该划分能够使用连接程序(linker)等工具进行。通过这样划分,即使在因控制数据处理中的程序错误(miss)而引发存储器重新写入的情况下,也不会对安全数据处理的存储器施加直接影响。另外,万一发生越过存储器空间重新写入等异常的情况下,由于在处理器单元12中执行同样的安全数据处理并进行相互监视,因此能够检测出异常,能够确保安全性。
在处理器单元12中,则划分为安全相关存储器区域和其他区域。处理器单元11和处理器单元12对于安全处理如上所述同步地执行,因此安全相关存储器区域被控制为总是为同一数据。于是,通过彼此的CPU使该安全相关存储器区域的存储器诊断(例如读写检查)、从存储器区域生成的错误码同步,并以一定的周期检查是否存在不一致。
另外,对于电力转换器60、电动机4,也以固定周期间隔监视是否存在温度、电压、规格外的任何异常,使得在异常发生时进行预先定义的安全动作。安全动作例如为电力转换器60内的电力线的启动脉冲(gate)切断、电动机4等的负载以一定值进行减速的安全减速停止、安全速度限制等。
作为错误检测码的处理,例如为以5ms的一定周期对安全相关存储器区域的错误检测码(例如CRC)进行计算,将其计算结果相互发送的处理。
该存储器诊断处理的流程的概要为,利用计时器模块30、80产生的内部中断,启动两处理器单元11、12的存储器诊断模块28、58,在上述的一定的固定周期处理之后,计算错误检测码,并相互发送。于是,通过安全管理模块29、59,对两处理器单元11、12的错误检测码进行核对来判定是否一致。
以下,用图6、图7对各处理器单元11、12各自的存储器诊断处理的步骤进行详述。
(处理器单元11的存储器诊断处理)
处理器单元11的存储器诊断模块28,因计时器模块30的设定值31的随时间经过发出的内部中断而启动。于是,在重新(再次)启动计时器模块30(S201)、安全监控处理(电力转换器60的输出电压检查等)之后(S202),执行存储器诊断处理(S203)。然后,对于安全相关区域,生成错误检测码(S204),并将其保存在存储器34的预先决定的规定区域中。其后,输出外部中断,并且向处理器单元12发送所生成的错误检测码(S205)。
处理器单元11的安全管理模块29,在因来自处理器单元12的存储器诊断模块58的外部中断而启动时,提取从存储器诊断模块58送来的错误检测码,并且提取存储器34中保存的自身的错误检测码(S301),进行记录(log)并判定两者是否一致(S302、S303)。如果其结果不一致(在S303为“否”),则执行预先设定的故障保险处理(S304)。
(存储器单元12的存储器诊断处理)
存储器单元12的存储器诊断模块58,因计时器模块80的设定值81的随时间经过发出的内部中断而启动。在执行安全监控处理之后(S401),执行存储器诊断处理(S402)。然后,对于安全相关区域,生成错误检测码,并将其保存在存储器64的规定区域中(S403)。其后,输出外部中断,并且向处理器单元11发送所生成的错误检测码(S404)。
处理器单元12的安全管理模块59,在因来自处理器单元11的存储器诊断模块28的外部中断而启动时,调整设定值81(S501),对计时器模块80进行重新启动(S502)。调整设定值81的方法为,对存储器诊断模块58的外部中断信号输出时刻(timing)与来自存储器诊断模块28的外部中断的时刻的时间差进行计测,如果来自存储器诊断模块28的外部中断的时刻延迟了一定值以上,则使设定值81加上预先确定的值。由此,下一次的存储器诊断模块58的启动时刻延迟。另一方面,如果来自存储器诊断模块28的外部中断的时刻提前了一定值以上,则从设定值81减去预先确定的值。由此,下一次的存储器诊断模块58的启动时刻提前。
接着,提取从存储器诊断模块28送来的错误码,并提取存储器64中保存的自身的错误检测码(S503),进行记录并判定两者是否一致(S504、S505)。如果其结果不一致(在S505为“否”),执行预先设定的故障保险处理(S506)。
此外,在上述图6、图7的处理中,将错误检测码相互发送,但是此时也可以将错误检测码与按照发送次数递增的发送编号一起发送。而且,分别以还包含发送编号的方式对错误检测码进行比较,在发送编号和错误检测码中的任一方不一致的情况下执行错误处理。由此,能够迅速检测出由故障等引起的同步失败的状态。
以上,根据本实施方式,能够维持双重化结构的安全功能间的同步并且削减处理器单元的个数。特别是,使仅安装安全功能的处理器单元12的计时器模块80通过上述处理,跟踪处理器单元11的计时器模块30的时刻,因此能够使两处理器单元11、12高精度地同步。另外,在倘若因故障等而在安全功能间引发同步失败的情况下,检测出该情况并执行错误处理,所以能够构筑可靠性高的安全控制系统。
Claims (3)
1.一种安全控制系统,其包括:通过网络与外部控制器进行通信数据的发送接收的通信装置;第一处理器单元,其经由该通信装置接收从所述外部控制器传送来的通信数据,执行基于该通信数据向电力转换器输出控制信号的控制功能和基于该通信数据向所述电力转换器输出停止指令等安全功能;和仅执行所述安全功能的第二处理器单元,所述安全控制系统的特征在于:
所述第一处理器单元包括:
控制指令生成模块,其在通信数据包含非安全数据的情况下,基于该非安全数据生成控制指令,并将该控制指令向所述电力转换器输出;
安全数据转送模块,其在通信数据包含安全数据的情况下,产生作为针对所述第二处理器单元的中断信号的外部中断信号和作为处理器内部的中断信号的内部中断信号,并且向所述第二处理器单元转送安全数据;
安全数据执行模块,其根据所述内部中断信号,执行基于所述安全数据的安全处理;和
结合模块,其接收由所述第二处理器单元执行的安全处理的结果,基于该接收数据和所述安全数据执行模块的执行结果,生成要向所述外部控制器发送的通信数据,其中,
所述第二处理器单元具备安全数据执行模块,该安全数据执行模块根据所述外部中断信号启动,基于从所述第一处理器单元转送的安全数据执行安全处理,将该安全处理的结果向所述第一处理器单元发送。
2.如权利要求1所述的安全控制系统,其特征在于:
所述第一处理器单元包括:以一定时间间隔产生内部中断信号的第一计时器模块;和第一存储器诊断模块,其根据该内部中断信号执行存储器诊断处理,并且针对安全处理用的存储器区域生成错误检测码,在生成了该错误检测码之后,对于所述第二处理器单元,产生外部中断信号并且发送该错误检测码,
所述第二处理器单元包括:在经过了设定时间后产生内部中断信号并在此后重新启动的第二计时器模块;第二存储器诊断模块,其根据该内部中断信号执行存储器诊断处理,并且针对安全处理用的存储器区域生成错误检测码,在生成了该错误检测码之后,对于所述第一处理器单元,产生外部中断信号并且发送该错误检测码;和第二安全管理模块,其根据由所述第一处理器单元的所述第一存储器诊断模块产生的外部中断信号启动,基于该启动的时刻调整所述第二计时器模块的设定时间,并对从所述第一存储器诊断模块发送的错误检测码和由所述第二存储器诊断模块生成的错误检测码进行比较,在两个码不一致的情况下执行错误处理,
所述第一处理器单元还具有第一安全管理模块,该第一安全管理模块根据由所述第二处理器单元的所述第二存储器诊断模块产生的外部中断信号启动,对从所述第二存储器诊断模块发送的错误检测码和由所述第一存储器诊断模块生成的错误检测码进行比较,在两个码不一致的情况下执行错误处理。
3.如权利要求1或2所述的安全控制系统,其特征在于:
所述第一存储器诊断模块将按照发送次数递增的发送编号与错误检测码一起发送,
所述第二存储器诊断模块,使从所述第一存储器诊断模块传送来的最新的发送编号递增,并将递增后的值作为发送编号,将该发送编号与错误检测码一起发送,
所述第一安全管理模块和所述第二安全管理模块,还分别对发送编号进行比较,在发送编号和错误检测码中的任一方不一致的情况下,执行错误处理。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010-130533 | 2010-06-07 | ||
| JP2010130533A JP5494255B2 (ja) | 2010-06-07 | 2010-06-07 | 安全制御システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102269970A true CN102269970A (zh) | 2011-12-07 |
| CN102269970B CN102269970B (zh) | 2013-09-25 |
Family
ID=45052301
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011101604429A Expired - Fee Related CN102269970B (zh) | 2010-06-07 | 2011-06-07 | 安全控制系统 |
Country Status (3)
| Country | Link |
|---|---|
| EP (1) | EP2413484B1 (zh) |
| JP (1) | JP5494255B2 (zh) |
| CN (1) | CN102269970B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103354495A (zh) * | 2013-07-30 | 2013-10-16 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
| CN103391189A (zh) * | 2013-07-30 | 2013-11-13 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
| CN103391371A (zh) * | 2013-07-30 | 2013-11-13 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
| CN103391191A (zh) * | 2013-07-30 | 2013-11-13 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
| CN103676640A (zh) * | 2012-09-03 | 2014-03-26 | 上海航天测控通信研究所 | 应用于交会对接的数据通信装置 |
| CN105981285A (zh) * | 2014-07-04 | 2016-09-28 | 富士电机株式会社 | 电力变换装置 |
| CN108604084A (zh) * | 2016-02-10 | 2018-09-28 | 菲尼克斯电气公司 | 用于监控安全系统的安全链中的数据处理和传输的方法和设备 |
| CN109412468A (zh) * | 2018-09-10 | 2019-03-01 | 上海辛格林纳新时达电机有限公司 | 基于安全转矩关断的系统和控制方法 |
| CN110361979A (zh) * | 2019-07-19 | 2019-10-22 | 北京交大思诺科技股份有限公司 | 一种铁路信号领域的安全计算机平台 |
| CN112740123A (zh) * | 2018-08-21 | 2021-04-30 | 皮尔茨公司 | 用于监视安全关键过程的自动化系统 |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5830952B2 (ja) * | 2011-06-16 | 2015-12-09 | 富士電機株式会社 | インバータ装置 |
| JP5949003B2 (ja) * | 2012-03-15 | 2016-07-06 | 富士電機株式会社 | ゲートウェイ、システム及び方法 |
| JP5769885B2 (ja) * | 2012-07-17 | 2015-08-26 | 三菱電機株式会社 | 制御装置および制御方法 |
| JP6007677B2 (ja) * | 2012-08-30 | 2016-10-12 | 富士電機株式会社 | 安全制御システム、及び安全制御システムのプロセッサ |
| WO2014041596A1 (ja) | 2012-09-11 | 2014-03-20 | 三菱電機株式会社 | 安全コントローラ |
| JP5762642B2 (ja) * | 2012-09-11 | 2015-08-12 | 三菱電機株式会社 | 安全演算装置、安全入力装置、安全出力装置および安全コントローラ |
| JP2014225110A (ja) * | 2013-05-16 | 2014-12-04 | 三菱電機株式会社 | 安全コントローラ |
| JP5862614B2 (ja) * | 2013-07-11 | 2016-02-16 | 横河電機株式会社 | フィールド機器及びデータ処理方法 |
| JP5902778B1 (ja) * | 2014-09-03 | 2016-04-13 | ファナック株式会社 | 周辺機器を安全に制御する機能を有する工作機械 |
| EP3112964B1 (en) * | 2015-07-01 | 2019-03-27 | Abb Ag | A method and system for safety-relevant input to a control system |
| DE102016207020A1 (de) * | 2016-04-26 | 2017-10-26 | Robert Bosch Gmbh | Sicherungssystem für mindestens einen Verbraucher eines Fahrzeugs |
| JP7115351B2 (ja) * | 2019-02-13 | 2022-08-09 | オムロン株式会社 | 制御装置 |
| JP7459915B1 (ja) | 2022-10-27 | 2024-04-02 | Smc株式会社 | 安全モジュールおよびモジュール連結体 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1601496A (zh) * | 2003-09-26 | 2005-03-30 | 三菱电机株式会社 | 电子控制装置 |
| JP2006178730A (ja) * | 2004-12-22 | 2006-07-06 | Yaskawa Electric Corp | 安全信号i/f装置およびその二重化信号入力処理方法 |
| US20060259837A1 (en) * | 2005-04-19 | 2006-11-16 | Omron Corporation | Safety device |
| CN101027873A (zh) * | 2004-08-24 | 2007-08-29 | 泛达公司 | 网络管理的系统和方法 |
| CN101135909A (zh) * | 2006-06-30 | 2008-03-05 | 株式会社日立制作所 | 诊断装置及方法、总线系统及其控制方法、线路诊断程序 |
| CN101271317A (zh) * | 2007-02-19 | 2008-09-24 | 威迪欧汽车电子股份公司 | 用于控制负载的电路装置以及相应的方法 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003047172A (ja) * | 2001-08-02 | 2003-02-14 | Toshiba Corp | データ記録装置 |
| DE10144050A1 (de) * | 2001-09-07 | 2003-03-27 | Bosch Gmbh Robert | Verfahren zur Softwareverifikation für Steuereinheiten und Verifikationssystem |
| DE10261453B4 (de) * | 2002-12-31 | 2010-04-15 | Danfoss Drives A/S | Motorsteuerung |
| US7213168B2 (en) * | 2003-09-16 | 2007-05-01 | Rockwell Automation Technologies, Inc. | Safety controller providing for execution of standard and safety control programs |
| US7426656B2 (en) * | 2004-03-30 | 2008-09-16 | Hewlett-Packard Development Company, L.P. | Method and system executing user programs on non-deterministic processors |
| US7069109B2 (en) * | 2004-11-09 | 2006-06-27 | E.G.O. North America, Inc. | Systems and methods of using multiple microcontrollers for fail-safe control and enhanced feature operation of an appliance |
| JP3978617B2 (ja) * | 2005-04-19 | 2007-09-19 | オムロン株式会社 | 安全ユニットの入力装置 |
| US7933966B2 (en) * | 2005-04-26 | 2011-04-26 | Hewlett-Packard Development Company, L.P. | Method and system of copying a memory area between processor elements for lock-step execution |
| JP5446447B2 (ja) * | 2009-05-19 | 2014-03-19 | トヨタ自動車株式会社 | 安全制御装置および安全制御方法 |
-
2010
- 2010-06-07 JP JP2010130533A patent/JP5494255B2/ja not_active Expired - Fee Related
-
2011
- 2011-05-31 EP EP11168248.0A patent/EP2413484B1/en not_active Not-in-force
- 2011-06-07 CN CN2011101604429A patent/CN102269970B/zh not_active Expired - Fee Related
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1601496A (zh) * | 2003-09-26 | 2005-03-30 | 三菱电机株式会社 | 电子控制装置 |
| CN101027873A (zh) * | 2004-08-24 | 2007-08-29 | 泛达公司 | 网络管理的系统和方法 |
| JP2006178730A (ja) * | 2004-12-22 | 2006-07-06 | Yaskawa Electric Corp | 安全信号i/f装置およびその二重化信号入力処理方法 |
| US20060259837A1 (en) * | 2005-04-19 | 2006-11-16 | Omron Corporation | Safety device |
| CN101135909A (zh) * | 2006-06-30 | 2008-03-05 | 株式会社日立制作所 | 诊断装置及方法、总线系统及其控制方法、线路诊断程序 |
| CN101271317A (zh) * | 2007-02-19 | 2008-09-24 | 威迪欧汽车电子股份公司 | 用于控制负载的电路装置以及相应的方法 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103676640A (zh) * | 2012-09-03 | 2014-03-26 | 上海航天测控通信研究所 | 应用于交会对接的数据通信装置 |
| CN103676640B (zh) * | 2012-09-03 | 2016-12-28 | 上海航天测控通信研究所 | 应用于交会对接的数据通信装置 |
| CN103391191A (zh) * | 2013-07-30 | 2013-11-13 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
| CN103354495A (zh) * | 2013-07-30 | 2013-10-16 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
| CN103391371A (zh) * | 2013-07-30 | 2013-11-13 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
| CN103391189A (zh) * | 2013-07-30 | 2013-11-13 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
| CN105981285A (zh) * | 2014-07-04 | 2016-09-28 | 富士电机株式会社 | 电力变换装置 |
| CN105981285B (zh) * | 2014-07-04 | 2018-04-27 | 富士电机株式会社 | 电力变换装置 |
| CN108604084A (zh) * | 2016-02-10 | 2018-09-28 | 菲尼克斯电气公司 | 用于监控安全系统的安全链中的数据处理和传输的方法和设备 |
| CN108604084B (zh) * | 2016-02-10 | 2021-02-12 | 菲尼克斯电气公司 | 用于监控安全系统的安全链中的数据处理和传输的方法和设备 |
| CN112740123A (zh) * | 2018-08-21 | 2021-04-30 | 皮尔茨公司 | 用于监视安全关键过程的自动化系统 |
| CN112740123B (zh) * | 2018-08-21 | 2024-03-19 | 皮尔茨公司 | 用于监视安全关键过程的自动化系统 |
| CN109412468A (zh) * | 2018-09-10 | 2019-03-01 | 上海辛格林纳新时达电机有限公司 | 基于安全转矩关断的系统和控制方法 |
| CN110361979A (zh) * | 2019-07-19 | 2019-10-22 | 北京交大思诺科技股份有限公司 | 一种铁路信号领域的安全计算机平台 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5494255B2 (ja) | 2014-05-14 |
| EP2413484A3 (en) | 2017-03-29 |
| EP2413484B1 (en) | 2018-04-18 |
| EP2413484A2 (en) | 2012-02-01 |
| JP2011257889A (ja) | 2011-12-22 |
| CN102269970B (zh) | 2013-09-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102269970B (zh) | 安全控制系统 | |
| CN102713773B (zh) | 用于自动化设备的安全模块 | |
| JP2020030815A (ja) | 飛行制御システム | |
| CN106444425B (zh) | 面向航空发动机分布式控制的ttp/c总线控制器设计方法 | |
| CN103377083B (zh) | 用于运行冗余的自动化系统的方法 | |
| US10452033B2 (en) | Process control system | |
| US5572620A (en) | Fault-tolerant voter system for output data from a plurality of non-synchronized redundant processors | |
| EP2924578B1 (en) | Monitor processor authentication key for critical data | |
| RU2679706C2 (ru) | Двухканальная архитектура | |
| US11599090B2 (en) | System and method of network synchronized time in safety applications | |
| CN103678031A (zh) | 二乘二取二冗余系统及方法 | |
| US20130253706A1 (en) | Safety signal processing system | |
| CN101916068A (zh) | 基于2取2结构的计算机控制系统及其实现方法 | |
| US20160218946A1 (en) | Method for monitoring a first node in a communications network and monitoring system | |
| CN109634097A (zh) | 一种三冗余接口电路及同步方法 | |
| Idirin et al. | Implementation details and safety analysis of a microcontroller-based SIL-4 software voter | |
| CN104750087B (zh) | 一种诊断外部时钟源的系统及方法 | |
| JP2006209624A (ja) | 二重化情報処理システム | |
| CN104216329A (zh) | 安全控制系统 | |
| CN114816863A (zh) | 毛刺抑制装置和方法 | |
| RU2474868C1 (ru) | Модульная вычислительная система | |
| CN107526658B (zh) | 在包括多个电子计算机的航空电子系统中保证公共信号接收的方法 | |
| RU2444053C1 (ru) | Вычислительная система | |
| JP2017016319A (ja) | 多重化データ処理装置 | |
| JP5560915B2 (ja) | 安全制御システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130925 Termination date: 20180607 |