JP2013089005A - フェイルセーフマイコン - Google Patents

フェイルセーフマイコン Download PDF

Info

Publication number
JP2013089005A
JP2013089005A JP2011228634A JP2011228634A JP2013089005A JP 2013089005 A JP2013089005 A JP 2013089005A JP 2011228634 A JP2011228634 A JP 2011228634A JP 2011228634 A JP2011228634 A JP 2011228634A JP 2013089005 A JP2013089005 A JP 2013089005A
Authority
JP
Japan
Prior art keywords
data
collation
processing
unit
output
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011228634A
Other languages
English (en)
Other versions
JP6046888B2 (ja
Inventor
Shozo Okamoto
正三 岡本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Signal Co Ltd
Original Assignee
Nippon Signal Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Signal Co Ltd filed Critical Nippon Signal Co Ltd
Priority to JP2011228634A priority Critical patent/JP6046888B2/ja
Publication of JP2013089005A publication Critical patent/JP2013089005A/ja
Application granted granted Critical
Publication of JP6046888B2 publication Critical patent/JP6046888B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Hardware Redundancy (AREA)

Abstract

【課題】同一の処理を同期して行う2系統の処理装置を含むフェイルセーフマイコンにおいて、ノイズなどの外乱によって動作が誤って停止されてしまうことを抑制して、制御対象機器の稼動率を高める。
【解決手段】自系の照合データを他系に出力し(S101)、他系の照合データを入力し(S102)、自系の照合データと他系の照合データとを照合する(S103)。次いで、自系の照合結果を他系に出力し(S104)、他系の照合結果を入力し(S105)、これら照合結果の組み合わせの正常・異常を判定する(S106)。正常であれば、自系の照合結果をそのまま出力するが(S107)、異常である場合には、エラーカウンタの値をインクリメントし(S109)、エラーカウンタの値と閾値とを比較する(S110)。そして、エラーカウンタの値が閾値を超えるまでは、S101〜S106の照合動作を再度実行させ、閾値を超えると異常処理を実行する(S111)。
【選択図】図3

Description

本発明は、同一の処理を同期して行う2系統の処理装置を含むフェイルセーフマイコンに関する。
従来、同一の処理を同期して行う2系統の処理装置を含むマイコンにおいて、各処理装置の処理データを照合する照合回路が、例えば特許文献1に開示されている。
この照合回路は、自系の処理データと他系の処理データとの一致・不一致を各処理装置において判定させると共に、処理装置毎の一致・不一致の判定結果を比較し、各処理装置での一致・不一致の判定結果が合致する場合、即ち、各処理装置が共に正常に動作している場合には交番信号を出力し、各処理装置での一致・不一致の判定結果が合致しない場合、即ち、回路のいずれかの部分で故障が発生した場合には、前記交番信号の出力を停止する。
そして、前記交番信号が出力される状態では、リレーがオンされて制御対象機器に電源が投入され、交番信号の出力が停止されると、前記リレーがオフされて前記制御対象機器への電源が遮断されるように構成される。
特開平11−143841号公報
ところで、2系統の処理装置それぞれで自系の処理データと他系の処理データとを照合させるために、2系統の処理装置間で処理データの送受信が行われるが、この送受信される処理データにノイズが重畳するなどの外乱が発生すると、処理データの一致・不一致の判断に誤りが生じる結果、各処理装置での一致・不一致の判定結果が合致しなくなり、実際には各処理装置が正常に動作しているのに、交番信号の出力が停止され、制御対象機器の稼動率が低くなってしまうという問題があった。
本発明は上記問題点に着目してなされたものであり、ノイズなどの外乱によって動作が誤って停止されてしまうことを抑制でき、制御対象機器の稼動率を高められるフェイルセーフマイコンを提供することを目的とする。
このため、請求項1に係る発明は、同一の処理を同期して行う2系統の処理装置を含み、前記2系統の処理装置それぞれが、他系の処理装置の処理データを読み込んで、自系の処理データと他系の処理データとを照合するデータ照合手段と、他系の前記データ照合手段の照合結果を読み込んで、自系の前記データ照合手段での照合結果と他系の前記データ照合手段での照合結果との組み合わせの異常・正常を判定する照合結果判定手段とを含んで構成され、前記照合結果判定手段が、自系の照合結果と他系の照合結果との組み合わせが正常である場合には、自系の前記データ照合手段の照合結果を外部に出力し、異常である場合には自系の前記データ照合手段でのデータ照合を再度行わせる構成とした。
かかる構成では、2系統の処理装置それぞれが、他系のデータを読み込んでデータ照合を行うと共に、他系での照合結果を読み込んでそれぞれでの照合結果の組み合わせが正常であるか異常であるかを判定し、異常判定時には、該異常判定がノイズなどの外乱によるものである可能性があるので、データ照合を再度行わせる。
請求項1の構成において、請求項2のように、前記2系統の処理装置それぞれが、自系でのデータ照合の連続再実行回数が閾値を超えた場合に、異常時処理を実行する構成とするとよい。
この場合、前記閾値に相当する回数だけデータ照合を繰り返しても、照合結果の組み合わせの異常が解消されない場合には、外乱の影響ではなく動作異常が発生しているものと推定し、処理装置が動作異常に対応する異常時処理を実行する。
また、請求項1又は2の構成において、請求項3のように、前記2系統の処理装置それぞれが、自系の処理データと該自系の処理データの反転データとを交互に連続的に他系のデータ照合手段に対して出力し、前記データ照合手段が、自系の処理データと他系の処理データとの一致・不一致を判定し、次に自系の処理データと他系の処理データの反転データとの一致・不一致を判定し、処理データの一致・不一致で異なる論理値を出力することで、正常動作時に1ビットの交番信号を出力するよう構成するとよい。
この場合、自系の処理データと、他系の処理データとを比較させると共に、自系の処理データ(ポジティブデータ)と、他系の処理データの反転データ(ネガティブデータ)とを比較させることで、正常動作時に一致・不一致の判定が繰り返されて、データ照合手段から交番信号が出力される。
上記請求項3の構成においては、請求項4のように、前記照合結果判定手段が、各処理装置が他系のデータ照合手段に対して自系の処理データを出力するタイミングである場合には、双方のデータ照合手段における照合結果が共に処理データの一致を示す場合に正常と判断し、少なくとも一方の照合結果が処理データの不一致を示す場合に異常と判断し、各処理装置が他系のデータ照合手段に対して自系の処理データの反転データを出力するタイミングである場合には、双方のデータ照合手段における照合結果が共に処理データの不一致を示す場合に正常と判断し、少なくとも一方の照合結果が処理データの一致を示す場合に異常と判断する構成とするとよい。
この場合、各処理装置が他系のデータ照合手段に対して自系の処理データを出力するタイミングである場合、それぞれの系での処理データが合致していれば、各データ照合手段は、共に処理データの一致を判断することになるから、少なくとも一方の照合結果が処理データの不一致を示す場合に異常と判断できる。また、各処理装置が他系のデータ照合手段に対して自系の処理データの反転データを出力するタイミングである場合、前記反転処理は、処理データを強制的に不一致とさせる処理であって、各データ照合手段は、共に処理データの不一致を判断することになるから、少なくとも一方の照合結果が処理データの一致を示す場合に異常と判断できる。
上記請求項3又は4の構成において、請求項5のように、前記データ照合手段の出力をそれぞれ入力し、各データ照合手段の出力の一致状態では前記両出力に対応する交番信号を出力し、各データ照合手段の出力に不一致が発生した後は、前記交番信号の出力を停止状態に保持させる信号照合手段を含む構成とするとよい。
かかる構成では、双方の系のデータ照合手段の出力が一致していれば、信号照合手段から交番信号が出力され、不一致になると、信号照合手段からの交番信号の出力が停止状態に保持されることで、動作異常時に安全側に制御される。
かかるフェイルセーフマイコンによれば、処理装置間で送受信される処理データにノイズが重畳するなどして、一時的に処理データが不一致状態になっても、処理データの照合を再度行わせることで、ノイズ等によって一時的に不一致になっているのか、動作異常によって継続的に不一致になっているのかを判別でき、ノイズ等の外乱の影響によって、その後の動作が停止されてしまうことを回避し、制御対象機器の稼動率が低下することを未然に防止することが可能になる。
本発明に係るフェイルセーフマイコンの一実施形態を示すブロック図 同上実施形態のフェイルセーフマイコンにおけるデータ照合部の動作を示すタイムチャート 同上実施形態のフェイルセーフマイコンにおけるデータ照合部及び照合結果判定部17での処理を示すフローチャート 同上実施形態のフェイルセーフマイコンにおける再照合処理の実行例を示すタイムチャート
以下、本発明の実施の形態を図面に基づいて説明する。図1は、本願発明に係るフェイルセーフマイコンを示す回路図であり、このフェイルセーフマイコンは、例えば鉄道信号用情報処理システムなどに用いられる。
図1に示すフェイルセーフマイコン1は、第1MCU(第1マイクロコントローラ)2,第2MCU(第2マイクロコントローラ)3及び信号照合部(信号照合手段)4を含んで構成される。前記第1MCU2及び第2MCU3が2系統の処理装置を構成し、処理装置としての第1MCU2及び第2MCU3は、同一の処理を同期して行う。
前記第1MCU2及び第2MCU3は、外部から入力されるアナログ信号をデジタルデータに変換するA/D変換器11、CPU12、図外のタイマやインターフェイスなどを含んで構成され、各MCU2,3のA/D変換器11には同じアナログ信号が入力され、この同じ入力信号に基づいて同一の演算処理を同期して行う。
更に、前記CPU12は、論理演算部13,同期部14,論理照合部15としての処理機能をソフトウエアとして予め備えており、更に、前記論理照合部15は、データ照合部(データ照合手段)16及び照合結果判定部(照合結果判定手段)17を含んで構成される。
前記論理演算部13には、自系のA/D変換器11の出力が入力され、該自系のA/D変換出力を他系の論理演算部13に対して出力し、また、他系の論理演算部13から出力される他系のA/D変換出力を入力する。そして、前記論理演算部13は、自系のA/D変換出力と他系のA/D変換出力とを対比することで、A/D変換器11の変換ばらつきを補償する処理を行う。
具体的には、第1MCU2側のA/D変換器11の出力と第2MCU3側のA/D変換器11の出力とにずれがある場合、両データのうちより安全側であるデータに両データを揃える処理を行う。例えば、A/D変換後のデジタルデータとしてより小さい方が、制御結果としてより安全側となる場合には、自系のA/D変換出力と他系のA/D変換出力との小さい方を選択し、入力デジタルデータとして出力する。
前記論理演算部13の出力(A/D変換出力)は、バス18を介して図外の制御出力演算部に出力され、ここで、前記A/D変換出力に基づき外部に出力する処理データ(制御出力)などが演算される。
また、同期部14は、自系の演算処理における同期信号(クロック信号)を他系の同期部14に出力し、また、他系の同期部14から出力される他系の演算処理における同期信号(クロック信号)を入力し、自系の同期信号(クロック信号)と他系の同期信号(クロック信号)とを対比することで、第1MCU2側の演算処理と第2MCU3側の演算処理とを同期させる処理を行う。
具体的には、例えば第2MCU3側の演算タイミングが第1MCU2側に比べて遅れている場合には、第1MCU2側の演算タイミングを遅らせて第2MCU3側の演算タイミングと同期させるようにする。
上記のように、前記第1MCU2及び第2MCU3は、同じアナログ信号をA/D変換してそれぞれ読み込み、該A/D変換出力に対して同じ処理を同期して施して、処理データを算出する。
一方、前記論理照合部15を構成するデータ照合部16は、前記同期部14からの同期信号に基づいてタイミングを判断して、自系で演算された処理データ(照合データ)を他系のデータ照合部15に出力し、また、他系のデータ照合部15から出力される他系で演算された処理データ(照合データ)を入力する。そして、自系の処理データと他系の処理データとを対比して、処理データの一致・不一致を示す信号を、自系の照合結果判定部17に出力する。尚、後で詳細に説明するが、前記データ照合部16の出力は、前記MCU2,3の正常動作時には、1ビットの交番信号として出力されるようになっている。
前記照合結果判定部17は、自系のデータ照合部16での照合結果(一致・不一致を示す1ビットの交番信号)を、他系の照合結果判定部17に出力し、また、他系の照合結果判定部17から他系のデータ照合部16での照合結果(一致・不一致を示す1ビットの交番信号)を入力し、自系のデータ照合部16での照合結果と他系のデータ照合部16での照合結果との組み合わせの正常・異常を判定する。
そして、前記照合結果判定部17は、双方の系での照合結果の組み合わせが正常であると判定した場合には、自系のデータ照合部16の照合結果を、そのまま最終的な照合結果として外部に出力させる一方、双方の系での照合結果の組み合わせが異常であると判定した場合には、自系のデータ照合部16に対してデータ照合の再実行(照合データの再読み込み及び再比較の実行)を指示する。前記照合結果判定部17を介して外部に出力される、各系のデータ照合部16での照合結果は、それぞれ信号照合部4に入力される。
信号照合部4は、第1MCU2側での処理データの照合結果を示す交番信号と、第2MCU3側での処理データの照合結果を示す交番信号とが一致する場合、即ち、第1MCU2と第2MCU3とが共に正常に動作している場合には、前記両交番信号に対応する交番信号を出力し、第1MCU2側と第2MCU3側とのいずれかの部分に故障が発生し、各系からの交番信号に不一致が発生すると、その後は前記交番信号の出力を停止状態に保持する回路である。
前記信号照合部4は、例えば、特開平05−120047号公報に開示されるように、遅延回路・排他的論理和回路・フリップフロップ回路などから構成される公知の回路である。
図2は、前記データ照合部16の動作を示すタイムチャートである。各系において、処理データは、第1割込信号毎に演算され、第1割込信号に同期して演算された処理データ(ポジティブデータ)は、他系のデータ照合部16に向けて出力され、各データ照合部16では、自系の処理データ(ポジティブデータ)と他系の処理データ(ポジティブデータ)との一致・不一致を判断して、一致時に「1」で不一致時に「0」の1ビット信号を、比較結果出力として発生させる。
また、前記データ照合部16は、前記第1割込信号の発生間隔の中間位置付近で出力される第2割込信号に同期して、自系で演算された処理データをビット反転させたデータ(ネガティブデータ)を、他系のデータ照合部16に向けて出力させる。
そして、各データ照合部16では、自系の処理データ(ポジティブデータ)と他系の処理データの反転データ(ネガティブデータ)との一致・不一致を判断して、一致時に「1」で不一致時に「0」の1ビット信号を、比較結果出力として発生させる。尚、各データ照合部16が、一致時に「0」で不一致時に「1」の1ビット信号を出力する構成とすることができる。
上記のように、他系に向けて出力させる処理データ(照合データ)として、演算結果そのままのポジティブデータと、演算結果をビット反転させたネガティブデータとを交互に連続して出力することで、第1MCU2側で演算された処理データと第2MCU3側で演算された処理データとが一致する場合であっても、データ照合部16の出力として、処理データの一致を示す論理値と、処理データの不一致を示す論理値とを交互に繰り返す交番信号が出力されるようにしてある。
即ち、第1MCU2側及び第2MCU3側での処理データの演算や反転処理の動作、更には、第1MCU2側と第2MCU3側との間での処理データの伝送経路が正常であれば、双方のデータ照合部16から、前記第1,第2割込信号毎に変化する同じ交番信号が出力されるようにしてある。
従って、正常動作時には、各データ照合部16からの出力を、前記信号照合部4に出力することで、前記信号照合部4から、両データ照合部16からの交番信号に対応する交番信号が出力される。
前記信号照合部4からの交番信号は、例えばリレー駆動のために用いられ、交番信号の出力状態では、リレーがオンされて制御対象機器(例えば信号機)に電源が投入され、交番信号の出力が停止されると、前記リレーがオフされて前記制御対象機器への電源が遮断される。従って、各データ照合部16での処理データの一致・不一致の判断が異なるようになった動作異常時に、前記制御対象機器への電源を遮断することで、安全側に制御されることになる。
前述のように、各データ照合部16からの交番信号が異なるようになると、信号照合部4は、その後の交番信号の出力を停止状態に保持するが、自系の処理データを他系に送るための信号ラインにノイズが重畳して本来の値とは異なる値が送信されたような場合にも、各データ照合部16からの交番信号が一時的に異なるようになることで、信号照合部4からの交番信号の出力が停止状態に保持され、前記制御対象機器の稼動率が低下してしまう。
そこで、本実施形態では、前記照合結果判定部17を設けて、前記ノイズなどの外乱に影響されて、信号照合部4からの交番信号の出力が停止状態に保持されることを抑制できるようにしてある。
前記照合結果判定部17には、自系のデータ照合部16の出力信号、及び、他系のデータ照合部16の出力信号が入力されると共に、データ照合部16において、ポジティブデータ同士が比較されるタイミング(第1割込信号に同期した照合時期)であるか、自系のポジティブデータと他系のネガティブデータとが比較されるタイミング(第2割込信号に同期した照合時期)であるかの情報が入力される。
そして、前記照合結果判定部17は、第1MCU2側のデータ照合部16での照合結果と、第2MCU3側のデータ照合部16での照合結果との組み合わせの正常・異常を判断し、異常判断した場合に、自系のデータ照合部16に対して、処理データを再度読み込んで照合させる再照合指示(照合リトライ指示)を出力する。
前記照合結果の組み合わせの正常・異常の判断は、以下のようにして行われる。ポジティブデータ同士が比較されるタイミングであれば、正常動作時には、双方のデータ照合部16は、共にデータの一致を示す論理値を出力し、自系のポジティブデータと他系のネガティブデータとが比較されるタイミングであれば、正常動作時には、双方のデータ照合部16は、共にデータの不一致を示す論理値を出力する。
従って、前記照合結果判定部17は、ポジティブデータ同士が比較されるタイミングでは、第1MCU2側のデータ照合部16での一致判定と、第2MCU3側のデータ照合部16での一致判定との組み合わせを正常状態として判断し、自系のポジティブデータと他系のネガティブデータとが比較されるタイミングでは、第1MCU2側のデータ照合部16での不一致判定と、第2MCU3側のデータ照合部16での不一致判定との組み合わせを正常状態として判断する。
一方、ポジティブデータ同士が比較されるタイミングにおいて、少なくとも一方のデータ照合部16が処理データの不一致を示す論理値を出力する場合、前記照合結果判定部17は、照合結果の組み合わせは異常であると判断する。
より具体的には、ポジティブデータ同士が比較されるタイミングにおいて、第1MCU2側のデータ照合部16が処理データの一致を示す論理値を出力し、第2MCU3側のデータ照合部16が処理データの不一致を示す論理値を出力する場合、又は、第1MCU2側のデータ照合部16が処理データの不一致を示す論理値を出力し、第2MCU3側のデータ照合部16が処理データの一致を示す論理値を出力する場合、又は、第1MCU2側のデータ照合部16が処理データの不一致を示す論理値を出力し、第2MCU3側のデータ照合部16も処理データの不一致を示す論理値を出力する場合、前記照合結果判定部17は、照合結果の組み合わせは異常であると判断する。
同様に、自系のポジティブデータと他系のネガティブデータとが比較されるタイミングでは、少なくとも一方のデータ照合部16が処理データの一致を示す論理値を出力する場合、前記照合結果判定部17は、照合結果の組み合わせが異常であると判断する。
より具体的には、自系のポジティブデータと他系のネガティブデータとが比較されるタイミングにおいて、第1MCU2側のデータ照合部16が処理データの一致を示す論理値を出力し、第2MCU3側のデータ照合部16が処理データの不一致を示す論理値を出力する場合、又は、第1MCU2側のデータ照合部16が処理データの不一致を示す論理値を出力し、第2MCU3側のデータ照合部16が処理データの一致を示す論理値を出力する場合、又は、第1MCU2側のデータ照合部16が処理データの一致を示す論理値を出力し、第2MCU3側のデータ照合部16も処理データの一致を示す論理値を出力する場合、前記照合結果判定部17は、照合結果の組み合わせは異常であると判断する。
但し、前記照合結果の組み合わせの異常は、前記ノイズなどの外乱に影響された結果である可能性があるため、照合結果の組合せについて異常判断した前記照合結果判定部17は、自系のデータ照合部16に対して再照合指示を出力する。前記再照合指示を受けたデータ照合部16では、自系及び他系の照合データを再度読み込んで、自系の照合データと他系の照合データとを比較する処理を繰り返す。
そして、再照合の結果、照合結果の組み合わせが正常に戻れば、先の異常判断は外乱に影響された結果であったものと推定し、また、再照合しても照合結果の組み合わせが異常状態を保持する場合には、外乱による一時的な異常状態ではなく動作異常による継続的な異常であると判断し、前記リレー駆動(交番信号の出力)を停止させる異常処理を実行させる。
図3のフローチャートは、系毎に並行して行われる前記データ照合部16及び照合結果判定部17の処理の流れを示すものであり、前記第1割込信号及び第2割込信号に同期して割り込み実行される。
まず、ステップS101では、他系のデータ照合部16に照合データを出力する処理を行い、次のステップS102では、他系のデータ照合部16から出力される照合データを入力する処理を行う。
前述のように、各データ照合部16は、ポジティブデータ同士を比較させるタイミングであれば、自系のポジティブデータを他系のデータ照合部16に照合データとして出力し、他系のポジティブデータを照合データとして入力する。一方、自系のポジティブデータと他系のネガティブデータとを比較させるタイミングであれば、自系のネガティブデータを他系のデータ照合部16に照合データとして出力し、他系のネガティブデータを照合データとして入力する。
ステップS103では、各データ照合部16で、自系の処理データと他系の処理データとの一致・不一致を判断する照合動作を行い、次のステップS104で、処理データの一致状態と不一致状態とで異なる論理値を、照合結果として他系の照合結果判定部17に出力する。
ステップS105では、他系のデータ照合部16での処理データの照合結果を入力し、ステップS106では、各データ照合部16での照合結果の組み合わせが正常であるか否かを判断する。ここで、ポジティブデータ同士を比較させるタイミングであれば、双方の照合結果が共に処理データの一致を示していれば、照合結果の組み合わせが正常であると判断し、少なくとも一方の照合結果が処理データの不一致を示していれば、照合結果の組み合わせが異常であると判断する。
また、自系のポジティブデータと他系のネガティブデータとを比較させるタイミングであれば、双方の照合結果が共に処理データの不一致を示していれば、照合結果の組み合わせが正常であると判断し、少なくとも一方の照合結果が処理データの一致を示していれば、照合結果の組み合わせが異常であると判断する。
ステップS106で、照合結果の組み合わせが正常であると判断されると、ステップS107へ進み、自系のデータ照合部16の出力を最終照合結果として、前記信号照合部4に出力する。次のステップS108では、再照合の回数を計数するエラーカウンタの値を零にクリアし、データ照合処理を終了させる。
一方、ステップS106で、照合結果の組み合わせが異常であると判断されると、ステップS109へ進み、前記エラーカウンタの値を1だけ増大させ、次のステップS110では、前記増大設定後のエラーカウンタの値が閾値を超えているか否かを判断する。尚、前記閾値は、例えば3程度とする。
そして、エラーカウンタの値が閾値以下であれば、ステップS101へ戻り、処理データの照合、即ち、ステップS101〜ステップS105における照合データの出力・入力、処理データの照合、照合結果の出力・入力を再度実行させ、ステップS106では、再照合させた結果、照合結果の組み合わせが正常になったか否かを判断する。
例えば、ノイズなどの外乱の影響で、他系から読み込んだ処理データが実際値とは異なる値になり、照合結果の組み合わせが異常になった場合、再度の読込みによって他系の処理データを正常に読み込むことができれば、照合結果の組み合わせが正常に戻ることになる。そして、再照合によって照合結果の組み合わせが正常に戻れば、ステップS106からステップS107へ進んで、再照合結果を最終照合結果として出力させる。
一方、再照合を行わせても、引き続き照合結果の組み合わせが異常のままである場合には、ステップS109へ進んで、前記エラーカウンタの値を更に1だけ増大させ、ステップS110へ進む。そして、ステップS110で前記エラーカウンタの値が未だ閾値以下であると判断されると、ステップS101へ戻ってデータ照合を再度実行させる。
即ち、照合結果の組み合わせが異常である場合には、データ照合の再実行を前記閾値の回数だけ行わせ、再実行回数が閾値を超える前に、照合結果の組み合わせが正常に戻れば、ノイズなどの外乱による一時的な異常であったものと判断して、正常に戻った結果を最終照合結果として出力させる。
従って、ノイズなどの外乱に影響されて一時的に異常になっても、交番出力の発生状態に直ぐに復帰させることができ、前記一時的な異常によって、交番信号の出力が停止されて、リレーがオフされてしまうことを抑制できる。
一方、前記エラーカウンタ(再実行回数)が閾値を超えていると、ステップS110で判断された場合には、照合結果の組み合わせが異常である状態が、ノイズなどの外乱による一時的なものではなく、自系及び/又は他系のMCUの動作異常によるものであると判断し、ステップS111へ進んで、自系のMCUの制御動作を停止させる異常処理を実行する。
前記異常処理としては、外部入力に基づく処理データの演算を停止し、処理データを予め設定された安全側の値に固定したり、第1MCU2側のデータ照合部16での照合結果と第2MCU3側のデータ照合部16での照合結果とが異なる場合には、その状態をそのまま最終照合結果として出力することで、信号照合部4からの交番信号の出力を停止させたりする処理などがある。
そして、信号照合部4の出力でリレーを駆動する場合には、前記異常時処理によってリレーがオフされ、制御対象機器に対する電源投入が遮断されるから、安全側に制御されることになる。
図4は、ノイズなどの影響によって各系での照合結果の組合せが異常となった場合における再照合動作を示し、第1MCU2が、第2MCU3側からネガティブデータを読み込むタイミングであるのに、ノイズなどの外乱で第2MCU3側のポジティブデータをそのまま照合データとして読み込んだ場合の例である。
時刻t1で、第1MCU2側のデータ照合部16で、第1MCU2側の処理データポジティブデータA1と、第2MCU3側のポジティブデータA2とが比較されることで、一致の判断がなされる一方、第2MCU3側のデータ照合部16で、第1MCU2側のネガティブデータA1と、第2MCU3側のポジティブデータA2とが比較されることで、不一致の判断がなされる。
従って、時刻t1では、照合結果の組合せが一致と不一致とであるため、異常判断がんされて、再照合指示が、第1MCU2側の照合結果判定部17から、同じ第1MCU2側のデータ照合部16に出力される。
前記ノイズ影響は時刻t2の時点で消滅するが、時刻t1と時刻t2との間での再照合処理では、時刻t1での照合結果と同じになり、照合結果の組合せは異常のまま保持されることになる。
しかし、時刻t2を過ぎた時刻t3の時点で再照合が行われると、ノイズ影響が既に消滅し、第2MCU3側の照合データは本来のネガティブデータA2に戻っているので、双方の系での照合結果が共に不一致になり、かつ、時刻t3の時点は、未だ自系のポジティブデータと他系のネガティブデータとを比較する期間内であるから、共に不一致の判断を下したことは、各MCU2,3が正常動作していることを示す。
従って、時刻t3の時点で照合結果の組合せが正常であると判断され、第1MCU2側の照合結果判定部17の出力は、それまでの一致を示す論理値から、不一致を示す論理値に切り換り、第2MCU3側での照合結果と同じ値に復帰し、信号照合部4からの交番信号の出力が継続されることになる。
ここで、再照合によって照合結果の組合せが正常に戻ったとしても、図4に示す例での時刻t1から時刻t3までの間のように、ノイズ影響で一方の系での照合結果が一致で、他方の系での照合結果が不一致である状態が発生する。
しかし、閾値の回数だけ再照合を繰り返したとしても、係る再照合に要する時間は、処理データの出力時間(図4における時間tD)に比して充分に短いため、再照合を繰り返している間に処理データが切り換ってしまうことはなく、処理データ毎に照合を終えることができる。
また、再照合に要する時間は、リレーがオンからオフ状態に切り換る機械的動作時間に対しても充分に短いため、第1MCU2側のデータ照合部16からの交番信号と第2MCU3側のデータ照合部16からの交番信号とが異なる期間で、信号照合部4がリレーをオフさせるべく動作したとしても、再照合に要する時間で実際にリレーがオフ状態に移行することはなく、電源の瞬断は回避される。
また、信号照合部4が、特開平05−120047号公報に開示されるように、遅延回路・排他的論理和回路・フリップフロップ回路などで構成される場合においては、各系のデータ照合回路16の一方からの交番信号と、他方のデータ照合回路16の交番信号を遅延回路で遅延させた信号とを、排他的論理和回路に入力させて、交番信号の切り換り毎のクロック信号を発生させる。
しかし、係る構成の信号照合部4を用いる場合であっても、前記再照合に要する時間は、前記遅延回路による遅延時間よりも短いため、前記クロック信号の発生処理においては無視できる程度の時間であり、再照合を行っている期間で、各系の照合結果が異なっていたとしても、信号照合部4からの交番信号の出力が停止状態に保持されるようになることはない。
また、照合結果判定部17が、前回の処理データに対する照合結果を、今回の処理データ出力中に最終照合結果として出力するよう構成すれば、再照合に要する時間が、処理データの出力時間tD以下であれば、最終照合結果として外乱に影響されない信号を出力させることができ、再照合の時間及び回数をより多く確保することが可能となる。
以上のように、本実施形態のフェイルセーフマイコンによると、ノイズなどの外乱に影響されて動作が停止してしまうことが抑制され、制御対象機器の稼動率を高めることができる。
尚、前記照合結果判定部17からの再照合指示による再照合は、連続的に繰り返すようにしても良いし、前回の再照合タイミングから所定時間が経過するのを待って、次回の再照合を実行させてもよく、更に、前記所定時間を、再照合の回数などに応じて可変としてもよい。
また、双方の系に共通のA/D変換器11を備え、共通の入力デジタルデータに基づいて同一の処理を同期して行う2系統の処理装置(マイクロプロセッサユニットMPU)を含んでフェイルセーフマイコンを構成することができる。
また、信号照合部4の出力で、リレーを駆動する構成に限定されるものではなく、例えば、負荷の駆動回路を前記信号照合部4の出力で制御する構成であってもよい。
1 フェイルセーフマイコン
2 第1MCU(第1マイクロコントローラ、処理装置)
3 第2MCU(第2マイクロコントローラ、処理装置)
4 信号照合部(信号照合手段)
11 A/D変換器
12 CPU
13 論理演算部
14 同期部
15 論理照合部
16 データ照合部(データ照合手段)
17 照合結果判定部(照合結果判定手段)

Claims (5)

  1. 同一の処理を同期して行う2系統の処理装置を含み、
    前記2系統の処理装置それぞれが、他系の処理装置の処理データを読み込んで、自系の処理データと他系の処理データとを照合するデータ照合手段と、他系の前記データ照合手段の照合結果を読み込んで、自系の前記データ照合手段での照合結果と他系の前記データ照合手段での照合結果との組み合わせの異常・正常を判定する照合結果判定手段とを含んで構成され、
    前記照合結果判定手段が、自系の照合結果と他系の照合結果との組み合わせが正常である場合には、自系の前記データ照合手段の照合結果を外部に出力し、異常である場合には自系の前記データ照合手段でのデータ照合を再度行わせるフェイルセーフマイコン。
  2. 前記2系統の処理装置それぞれが、自系でのデータ照合の連続再実行回数が閾値を超えた場合に、異常時処理を実行する請求項1記載のフェイルセーフマイコン。
  3. 前記2系統の処理装置それぞれが、自系の処理データと該自系の処理データの反転データとを交互に連続的に他系のデータ照合手段に対して出力し、
    前記データ照合手段が、自系の処理データと他系の処理データとの一致・不一致を判定し、次に自系の処理データと他系の処理データの反転データとの一致・不一致を判定し、処理データの一致・不一致で異なる論理値を出力することで、正常動作時に1ビットの交番信号を出力する請求項1又は2記載のフェイルセーフマイコン。
  4. 前記照合結果判定手段が、
    各処理装置が他系のデータ照合手段に対して自系の処理データを出力するタイミングである場合には、双方のデータ照合手段における照合結果が共に処理データの一致を示す場合に正常と判断し、少なくとも一方の照合結果が処理データの不一致を示す場合に異常と判断し、
    各処理装置が他系のデータ照合手段に対して自系の処理データの反転データを出力するタイミングである場合には、双方のデータ照合手段における照合結果が共に処理データの不一致を示す場合に正常と判断し、少なくとも一方の照合結果が処理データの一致を示す場合に異常と判断する請求項3記載のフェイルセーフマイコン。
  5. 前記データ照合手段の出力をそれぞれ入力し、各データ照合手段の出力の一致状態では前記両出力に対応する交番信号を出力し、各データ照合手段の出力に不一致が発生した後は、前記交番信号の出力を停止状態に保持させる信号照合手段を含む請求項3又は4記載のフェイルセーフマイコン。
JP2011228634A 2011-10-18 2011-10-18 フェイルセーフマイコン Active JP6046888B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011228634A JP6046888B2 (ja) 2011-10-18 2011-10-18 フェイルセーフマイコン

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011228634A JP6046888B2 (ja) 2011-10-18 2011-10-18 フェイルセーフマイコン

Publications (2)

Publication Number Publication Date
JP2013089005A true JP2013089005A (ja) 2013-05-13
JP6046888B2 JP6046888B2 (ja) 2016-12-21

Family

ID=48532859

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011228634A Active JP6046888B2 (ja) 2011-10-18 2011-10-18 フェイルセーフマイコン

Country Status (1)

Country Link
JP (1) JP6046888B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6939085B2 (ja) * 2017-05-23 2021-09-22 オムロン株式会社 通信装置、および通信システム

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05120047A (ja) * 1991-05-13 1993-05-18 Railway Technical Res Inst 完全クロツク同期形2重系回路
JPH1148975A (ja) * 1997-07-31 1999-02-23 Mitsubishi Electric Corp 2重系電子連動装置
JPH11143841A (ja) * 1997-11-12 1999-05-28 Nippon Signal Co Ltd:The 照合回路
JPH11143729A (ja) * 1997-11-07 1999-05-28 Nec Corp フォールトトレラントコンピュータ
JPH11296394A (ja) * 1998-04-15 1999-10-29 Nec Corp 二重化情報処理装置
JP2001249701A (ja) * 2000-03-08 2001-09-14 Nippon Signal Co Ltd:The 2重化情報処理装置
JP2006209565A (ja) * 2005-01-31 2006-08-10 Yokogawa Electric Corp 情報処理装置および情報処理方法
JP2011028685A (ja) * 2009-07-29 2011-02-10 Nippon Signal Co Ltd:The 二重化データ処理回路

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05120047A (ja) * 1991-05-13 1993-05-18 Railway Technical Res Inst 完全クロツク同期形2重系回路
JPH1148975A (ja) * 1997-07-31 1999-02-23 Mitsubishi Electric Corp 2重系電子連動装置
JPH11143729A (ja) * 1997-11-07 1999-05-28 Nec Corp フォールトトレラントコンピュータ
JPH11143841A (ja) * 1997-11-12 1999-05-28 Nippon Signal Co Ltd:The 照合回路
JPH11296394A (ja) * 1998-04-15 1999-10-29 Nec Corp 二重化情報処理装置
JP2001249701A (ja) * 2000-03-08 2001-09-14 Nippon Signal Co Ltd:The 2重化情報処理装置
JP2006209565A (ja) * 2005-01-31 2006-08-10 Yokogawa Electric Corp 情報処理装置および情報処理方法
JP2011028685A (ja) * 2009-07-29 2011-02-10 Nippon Signal Co Ltd:The 二重化データ処理回路

Also Published As

Publication number Publication date
JP6046888B2 (ja) 2016-12-21

Similar Documents

Publication Publication Date Title
CN107003915B (zh) 驱动控制装置
JP4711197B2 (ja) デュアルcpuの安全システムにおける安全タイマクロスチェック診断
JP5739290B2 (ja) 電子制御装置
US8892943B2 (en) Electronic device and method for verifying correct program execution
CN104360916B (zh) 基于数据同步的主备同步方法
US20110246820A1 (en) Microcomputer mutual monitoring system and a microcomputer mutual monitoring method
US9221492B2 (en) Method for operating an electrical power steering mechanism
WO2006080227A1 (ja) 情報処理装置および情報処理方法
US20090031161A1 (en) Method, operating system and computing hardware for running a computer program
US6526527B1 (en) Single-processor system
JP6046888B2 (ja) フェイルセーフマイコン
EP2801874B1 (en) Multi-channel control switchover logic
JP5537140B2 (ja) 安全制御装置、及びその安全制御プログラム
CN1893339B (zh) 连续中值故障控制系统和方法
CA2973963A1 (en) Computerised system
US20200301389A1 (en) Output control apparatus
JP3529994B2 (ja) 照合回路
KR102023164B1 (ko) 알티오에스 마이컴의 오에스 태스크의 모니터링 방법
JP5618687B2 (ja) 2重化演算装置
US20140122942A1 (en) Error signal handling unit, device and method for outputting an error condition signal
JP2001306348A (ja) 冗長系情報処理システム
WO2022224897A1 (ja) デジタル出力装置およびデジタル出力の生成方法
Dumitrescu et al. Validating fault-tolerant behaviors of synchronous system specifications by discrete controller synthesis
JP2001014015A (ja) 工作機械の安全制御方法およびその装置
JPH09286332A (ja) 鉄道用二重系電子装置

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20140527

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20141002

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150717

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150901

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151030

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160329

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160530

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161101

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161118

R150 Certificate of patent or registration of utility model

Ref document number: 6046888

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150