JP2015184953A - Fail-safe control apparatus and fail-safe control method - Google Patents

Fail-safe control apparatus and fail-safe control method Download PDF

Info

Publication number
JP2015184953A
JP2015184953A JP2014061287A JP2014061287A JP2015184953A JP 2015184953 A JP2015184953 A JP 2015184953A JP 2014061287 A JP2014061287 A JP 2014061287A JP 2014061287 A JP2014061287 A JP 2014061287A JP 2015184953 A JP2015184953 A JP 2015184953A
Authority
JP
Japan
Prior art keywords
mode selection
fail
selection information
safe control
cpus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2014061287A
Other languages
Japanese (ja)
Inventor
竹原 剛
Tsuyoshi Takehara
剛 竹原
和貴 森田
Kazuki Morita
和貴 森田
研作 新妻
Kensaku Niitsuma
研作 新妻
翔平 加藤
Shohei Kato
翔平 加藤
雄三 中庭
Yuzo Nakaniwa
雄三 中庭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2014061287A priority Critical patent/JP2015184953A/en
Publication of JP2015184953A publication Critical patent/JP2015184953A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Hardware Redundancy (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide a fail-safe control apparatus capable of selecting plural processing modes with a single mode selection switch while ensuring fail-safe performance.SOLUTION: The fail-safe control apparatus includes: a mode selection switch capable of selecting a desired processing mode from plural processing modes; plural nonvolatile memories for storing plural pieces of mode selection information selected by the mode selection switch; plural CPUs that determines a processing mode according to the mode selection information; and a collation section that compares and monitors outputs from the plural CPUs. The single mode selection switch is shared by the plural CPUs and each of the plural CPUs includes the nonvolatile memory.

Description

本発明は、フェールセーフ制御装置及びフェールセーフ制御方法に関し、複数の処理モードを有する制御装置の処理モード選択をフェールセーフに実現するフェールセーフ制御装置及びフェールセーフ制御方法に適用して好適なるものである。   The present invention relates to a fail-safe control device and a fail-safe control method, and is preferably applied to a fail-safe control device and a fail-safe control method for realizing fail-safe processing mode selection of a control device having a plurality of processing modes. is there.

鉄道保安装置などの高い安全性の要求される分野において、多重化された処理を制御する制御装置は、フェールセーフ制御を実行している。すなわち、制御装置は、フェールセーフ制御において、多重化された処理の処理結果を照合し、処理結果が一致していれば正常動作を継続し、不一致であればシステムとして安全な状態に遷移する。   In a field requiring high safety such as a railway security device, a control device that controls multiplexed processing performs fail-safe control. That is, in the fail-safe control, the control device collates the processing results of the multiplexed processing, and continues normal operation if the processing results match, and transitions to a safe state as the system if they do not match.

一方、同一ハードウェアの制御装置を異なる複数の用途で使用する場合、制御装置の使用条件により、各々の適用先に対して制御プログラムを変更し、制御処理を実行する必要が生じる場合がある。このような用途において、それぞれの制御プログラム毎に個別のソフトウェアを作成した場合、複数のソフトウェアを管理する必要が生じ、ソフトウェアの管理コストが増大する。   On the other hand, when the control device of the same hardware is used for a plurality of different purposes, it may be necessary to change the control program for each application destination and execute control processing depending on the use conditions of the control device. In such an application, when individual software is created for each control program, it becomes necessary to manage a plurality of software, and the management cost of the software increases.

そこで、あらかじめ、一つのソフトウェアに制御プログラムの変更点を処理モードとして複数用意し、ソフトウェア管理を一元化することが行われている。具体的には、スイッチ等からの入力にしたがって、ソフトウェアに用意された処理モードから選択されたモード選択情報を取得して処理が切り替えられる。   Therefore, a plurality of control program changes are prepared as processing modes in one software in advance to unify software management. Specifically, in accordance with an input from a switch or the like, the mode selection information selected from the processing mode prepared in the software is acquired and the process is switched.

例えば特許文献1では、スイッチの状態に基づいてモード選択情報を不揮発性メモリに格納し、電源が投入されたときに不揮発性メモリからモードを読み込んで、モードに応じた制御を実施する技術が開示されている。しかし、特許文献1では、フェールセーフ性が考慮されていない。   For example, Patent Document 1 discloses a technique for storing mode selection information in a nonvolatile memory based on the state of a switch, reading a mode from the nonvolatile memory when power is turned on, and performing control according to the mode. Has been. However, in patent document 1, fail-safe property is not considered.

フェールセーフ制御装置においては、モード選択情報の誤認識により、誤った処理モードで制御が実行されてはならないため、スイッチ入力を多重化し、スイッチ入力状態を比較照合することにより、スイッチ入力状態の正当性を確認する方法が考えられる。例えば、特許文献2では、多重化した入力を比較照合する技術が開示されている。図4は、二重化されたCPUを有するフェールセーフ制御装置において、スイッチを二重化した構成の例である。   In fail-safe control devices, control must not be executed in the wrong processing mode due to misrecognition of mode selection information. Therefore, the switch input status can be validated by multiplexing switch inputs and comparing the switch input statuses. A method for confirming sex can be considered. For example, Patent Document 2 discloses a technique for comparing and collating multiplexed inputs. FIG. 4 is an example of a configuration in which switches are duplicated in a fail-safe control apparatus having duplicated CPUs.

特開平7−324735号公報JP-A-7-324735 特開平7−302207号公報JP-A-7-302207

図4に示すように、スイッチを多重化した場合には、部品点数が増加するため、制御装置の小型化が困難となる。また、部品点数の増加にともなって、制御装置全体の故障率が増加し、稼働率が劣化する恐れがあった。   As shown in FIG. 4, when the switches are multiplexed, the number of parts increases, and it is difficult to reduce the size of the control device. Further, with the increase in the number of parts, the failure rate of the entire control device may increase and the operating rate may deteriorate.

しかし、スイッチの故障などにより、誤った処理モードで動作することを防止するためには、モード選択情報を冗長化し、モード選択情報の健全性を確認することが必要となる。また、スイッチが多重化されていても、全てのスイッチが同様に誤ったモード選択に設定される可能性もあり、制御装置のモード選択状態を、制御装置の保守員などにより確認させる必要があった。   However, in order to prevent an operation in an incorrect processing mode due to a switch failure or the like, it is necessary to make the mode selection information redundant and to check the soundness of the mode selection information. Even if switches are multiplexed, all switches may be set to the wrong mode selection as well, and it is necessary to check the mode selection status of the control device by the maintenance personnel of the control device. It was.

本発明の目的は、フェールセーフ性を損なうことなく一のモード選択スイッチで複数の処理モードを選択可能なフェールセーフ制御装置及びフェールセーフ制御方法を提供することである。   An object of the present invention is to provide a fail-safe control device and a fail-safe control method capable of selecting a plurality of processing modes with one mode selection switch without impairing the fail-safe property.

かかる課題を解決するために本発明においては、複数の処理モードから所望の処理モードを選択可能なモード選択スイッチと、前記モード選択スイッチにより選択されたモード選択情報を保存する複数の不揮発性メモリと、前記モード選択情報にしたがって処理モードを決定する複数のCPUと、前記複数のCPUからの出力を比較監視する照合部とを備え、一の前記モード選択スイッチを前記複数のCPUで共有し、前記複数のCPUの各々に前記不揮発性メモリが備えられている、ことを特徴とする、フェールセーフ制御装置が提供される。   In order to solve such a problem, in the present invention, a mode selection switch capable of selecting a desired processing mode from a plurality of processing modes, and a plurality of nonvolatile memories storing mode selection information selected by the mode selection switch; A plurality of CPUs that determine a processing mode according to the mode selection information, and a collation unit that compares and monitors outputs from the plurality of CPUs, and the one CPU is shared by the plurality of CPUs, A fail-safe control device is provided, wherein each of a plurality of CPUs is provided with the nonvolatile memory.

かかる構成によれば、前記複数のCPUの各々が、前記モード選択スイッチにより選択されたモード選択情報を前記不揮発性メモリに保存し、前記複数のCPUの各々が、前記不揮発性メモリに保存された前記モード選択情報にしたがって処理モードを決定し、前記複数のCPUからの出力を比較監視する。これにより、フェールセーフ性を損なうことなく一のモード選択スイッチで複数の処理モードを選択して、装置の大型化防止や、稼働率の劣化防止を実現しつつ、ソフトウェア管理を容易にすることができる。   According to this configuration, each of the plurality of CPUs stores the mode selection information selected by the mode selection switch in the nonvolatile memory, and each of the plurality of CPUs is stored in the nonvolatile memory. A processing mode is determined according to the mode selection information, and outputs from the plurality of CPUs are compared and monitored. As a result, software management can be facilitated while selecting multiple processing modes with a single mode selection switch without impairing fail-safety, preventing the increase in size of devices and the deterioration of operating rates. it can.

本発明によれば、複数の処理モードを有する制御装置のモード選択において、フェールセーフ性を損なうことなく一のモード選択スイッチで複数の処理モードを選択して、装置の大型化防止や、稼働率の劣化防止を実現しつつ、ソフトウェア管理を容易にすることができる。   According to the present invention, in the mode selection of a control device having a plurality of processing modes, a plurality of processing modes can be selected with a single mode selection switch without impairing fail-safety, thereby preventing an increase in the size of the device and operating rate. Software management can be facilitated while preventing deterioration of the software.

本発明の第1の実施形態に係るフェールセーフ制御装置の構成を示すブロック図である。It is a block diagram which shows the structure of the fail safe control apparatus which concerns on the 1st Embodiment of this invention. 同実施形態にかかるモード選択処理の詳細を示すフローチャートである。It is a flowchart which shows the detail of the mode selection process concerning the embodiment. 本発明の第2の実施形態に係るフェールセーフ制御装置の構成を示すブロック図である。It is a block diagram which shows the structure of the fail safe control apparatus which concerns on the 2nd Embodiment of this invention. 従来のフェールセーフ制御装置の構成を示すブロック図である。It is a block diagram which shows the structure of the conventional fail safe control apparatus.

以下図面について、本発明の一実施の形態を詳述する。   Hereinafter, an embodiment of the present invention will be described in detail with reference to the drawings.

(1)第1の実施の形態
(1−1)フェールセーフ制御装置の構成
図1は、本実施の形態のフェールセーフ制御装置の構成を示すブロック図である。フェールセーフ制御装置は、二重系制御装置の演算処理を実行するプロセッサである、CPU1a及びCPU1bを備えている。図1に示すように、CPU1aには、バス3aを介して不揮発性メモリ2aが接続され、CPU1bには、バス3bを介して不揮発性メモリ2bが接続されている。 (1) First Embodiment (1-1) Configuration of Fail-Safe Control Device FIG. 1 is a block diagram showing a configuration of a fail-safe control device according to the present embodiment. The fail-safe control device includes a CPU 1a and a CPU 1b, which are processors that execute arithmetic processing of the dual system control device. As shown in FIG. 1, a nonvolatile memory 2a is connected to the CPU 1a via a bus 3a, and a nonvolatile memory 2b is connected to the CPU 1b via a bus 3b.

不揮発性メモリ2a及び不揮発性メモリ2bには、2つの処理モード(処理モード1及び処理モード2)を格納するエリアと、処理モードの選択情報(図中、モード選択情報と表記)を格納するエリアとが配置されている。   The nonvolatile memory 2a and the nonvolatile memory 2b store an area for storing two processing modes (processing mode 1 and processing mode 2) and an area for storing processing mode selection information (denoted as mode selection information in the figure). And are arranged.

CPU1a及びCPU1bの動作状態は、照合部4において、CPU1aからの照合用データ5aと、CPU1bからの照合用データ5bとを比較照合することにより監視されている。照合用データ5a及び照合用データ5bは、CPU1a及びCPU1bのバス状態や、CPU1a及びCPU1bの入出力データである。   The operation states of the CPU 1a and the CPU 1b are monitored by the collation unit 4 by comparing the collation data 5a from the CPU 1a with the collation data 5b from the CPU 1b. The verification data 5a and the verification data 5b are the bus states of the CPU 1a and CPU 1b and the input / output data of the CPU 1a and CPU 1b.

照合部4で照合された照合結果は、照合判定信号6によりCPU1a及びCPU1bに通知される。照合部4により異常が監視された場合には、CPU1aまたはCPU1bに異常があることがCPU1a及びCPU1bに通知され、CPU1a及びCPU1bは動作を停止する。また、照合部4の照合結果が正常である場合には、CPU1aは出力7aを、CPU1bは出力7bを出力可能な状態であるため、出力7a及び出力7bは、出力部8を介して制御対象10にフェールセーフな制御出力9として出力される。   The collation result collated by the collation unit 4 is notified to the CPU 1a and the CPU 1b by the collation determination signal 6. When an abnormality is monitored by the verification unit 4, the CPU 1a and CPU 1b are notified that there is an abnormality in the CPU 1a or CPU 1b, and the CPU 1a and CPU 1b stop operating. When the collation result of the collation unit 4 is normal, the CPU 1a can output the output 7a and the CPU 1b can output the output 7b. Therefore, the output 7a and the output 7b are controlled by the output unit 8. 10 is output as a fail-safe control output 9.

モード選択スイッチ13(図中スイッチと表記)の状態は、各CPUにモード選択スイッチ情報14として伝送される。モード選択スイッチ13は、スイッチ故障時の判別を容易にするため、複数ビットで構成され、冗長ビットを付加してコード化した値とする。   The state of the mode selection switch 13 (indicated as a switch in the figure) is transmitted as mode selection switch information 14 to each CPU. The mode selection switch 13 is composed of a plurality of bits and is coded by adding redundant bits in order to facilitate discrimination when a switch fails.

本実施の形態では、処理モードは2つであるため1ビットのスイッチ情報でも実現可能であるが、スイッチ情報を冗長化して2ビットとしている。例えば、処理モード1を選択する場合には、スイッチ情報を「10」と定義し、処理モード2を選択する場合には、スイッチ情報を「01」と定義する。   In this embodiment, since there are two processing modes, 1-bit switch information can be realized, but the switch information is made redundant to 2 bits. For example, when processing mode 1 is selected, switch information is defined as “10”, and when processing mode 2 is selected, switch information is defined as “01”.

CPU1aまたはCPU1bは、モード選択スイッチ情報14を元にモード選択情報を作成し、不揮発性メモリ2a、2bの該当する格納エリアに作成したモード選択情報を書き込む。この際、モード選択情報は不揮発性メモリの故障時に判別がつきやすいように、「0000h」などの特徴的な値は避けるべきである。例えば、処理モード1を選択する場合には、モード選択情報を「A0A0h」と定義し、処理モード2を選択する場合には、モード選択情報を「0B0Bh」と定義して、不揮発性メモリ2a及び不揮発性メモリ2bに書き込む。   The CPU 1a or CPU 1b creates mode selection information based on the mode selection switch information 14, and writes the created mode selection information in the corresponding storage areas of the nonvolatile memories 2a and 2b. At this time, the mode selection information should avoid a characteristic value such as “0000h” so that it can be easily discriminated when the nonvolatile memory fails. For example, when the processing mode 1 is selected, the mode selection information is defined as “A0A0h”, and when the processing mode 2 is selected, the mode selection information is defined as “0B0Bh” and the nonvolatile memory 2a and Write to the non-volatile memory 2b.

CPU1a及びCPU1bは、不揮発性メモリ2a及び不揮発性メモリ2bに保存された情報を元に、自身の処理モードを選択する。不揮発性メモリ2a及び不揮発性メモリ2bのモード選択情報を参照する際に、それぞれのモード選択情報は、照合部4により比較照合される。モード選択情報が一致している場合には、処理モードの選択が正常に実行される。一方、モード選択情報が不一致の場合には、CPU1a及びCPU1bに処理モード選択情報が不一致であることが通知され、CPU1a及びCPU1bは動作停止等の処理を実行する。   The CPU 1a and the CPU 1b select their processing mode based on information stored in the nonvolatile memory 2a and the nonvolatile memory 2b. When referring to the mode selection information of the nonvolatile memory 2a and the nonvolatile memory 2b, each mode selection information is compared and verified by the verification unit 4. If the mode selection information matches, the processing mode is selected normally. On the other hand, when the mode selection information does not match, the CPU 1a and CPU 1b are notified that the processing mode selection information does not match, and the CPU 1a and CPU 1b execute processing such as operation stop.

また、CPU1a及びCPU1bは、自身のモード選択状態を、モード選択状態信号11a、11bとして異常検知手段12に入力する。異常検知手段12は、入力されたモード選択状態信号11a及び11bの状態を表示させる。異常検知手段12によるモード選択状態信号11a及びモード選択状態信号11bの状態表示として、例えば、LED等によりモード選択状態信号11a及びモード選択状態信号11bの状態を表示させる。   Further, the CPU 1a and the CPU 1b input their own mode selection states to the abnormality detection means 12 as mode selection state signals 11a and 11b. The abnormality detection means 12 displays the state of the input mode selection state signals 11a and 11b. As the state display of the mode selection state signal 11a and the mode selection state signal 11b by the abnormality detection means 12, for example, the states of the mode selection state signal 11a and the mode selection state signal 11b are displayed by LEDs or the like.

保守員は、異常検知手段12の表示状態を目視確認して、モード選択状態が正常か異常かを判断することができる。保守員は、装置の初回起動時に、異常検知手段12により表示された状態を監視し、意図した処理モードが選択されていることを確認する。これにより、モード選択スイッチ13が故障状態にあって、モード選択スイッチ13の情報を元に、不揮発性メモリ2a、2bに誤ったモード選択情報が保存され、誤った処理モードが選択され、実行されることを防止することが可能となる。   The maintenance staff can visually check the display state of the abnormality detection means 12 and determine whether the mode selection state is normal or abnormal. The maintenance staff monitors the state displayed by the abnormality detection means 12 when the apparatus is activated for the first time, and confirms that the intended processing mode is selected. Thereby, the mode selection switch 13 is in a failure state, and based on the information of the mode selection switch 13, the wrong mode selection information is stored in the nonvolatile memories 2a and 2b, and the wrong processing mode is selected and executed. This can be prevented.

また、異常検知手段12の他の実施の形態として、モード選択状態信号11a及びモード選択状態信号11bを比較し、一致しているか否かを制御装置側で判定するようにしてもよい。例えば、制御装置側でモード選択状態信号が不一致であると判断された場合には、各CPUの動作をリセット信号により停止させるようにしてもよい。   As another embodiment of the abnormality detection means 12, the mode selection state signal 11a and the mode selection state signal 11b may be compared to determine whether or not they match. For example, when the control device side determines that the mode selection state signals do not match, the operation of each CPU may be stopped by a reset signal.

(1−2)モード選択処理の詳細
次に、図2を参照して、本実施形態において、各CPU1a及びCPU1bが実行するモード選択処理について説明する。なお、電源投入後の各処理は照合部4により常に監視され、CPU1a及びCPU1bの動作が一致していることが常に監視されている状態である。 (1-2) Details of Mode Selection Processing Next, the mode selection processing executed by each CPU 1a and CPU 1b in the present embodiment will be described with reference to FIG. Each process after the power is turned on is constantly monitored by the collation unit 4, and it is constantly monitored that the operations of the CPU 1a and the CPU 1b are the same.

図2に示すように、CPU1a及びCPU1bは、制御装置に電源が投入された後、不揮発性メモリ2a及び不揮発性メモリ2bの処理モード選択情報エリアの値をそれぞれ読み出す(S101)。   As shown in FIG. 2, the CPU 1a and the CPU 1b read the values of the processing mode selection information areas of the nonvolatile memory 2a and the nonvolatile memory 2b after the control device is powered on (S101).

そして、CPU1a及びCPU1bは、ステップS101で読み出した処理モード選択情報エリアの処理モード選択情報に有効な値が設定されているか否かを判定する(S102)。   Then, the CPU 1a and CPU 1b determine whether or not a valid value is set in the processing mode selection information in the processing mode selection information area read in step S101 (S102).

ステップS102において、処理モード選択情報が未設定状態を表す値であると判定された場合には、ステップS103以降の処理を実行する。処理モード選択情報が未設定状態を表す値とは、例えばモード選択情報が16ビットの場合には、「FFFFh」などを例示できる。   If it is determined in step S102 that the processing mode selection information is a value indicating an unset state, the processes in and after step S103 are executed. Examples of the value indicating that the processing mode selection information is not set include “FFFFh” when the mode selection information is 16 bits.

処理モード選択情報が未設定状態である場合、CPU1a及びCPU1bは、不揮発性メモリ2a及び不揮発性メモリ2bのモード選択情報エリアは未書き込みと判断し、スイッチ情報の取得を実行する(S103)。ステップS103においてスイッチ情報を取得した各CPU1a及びCPU1bは、取得したスイッチ情報を元にモード選択情報を作成する(S104)。   When the processing mode selection information is not set, the CPU 1a and the CPU 1b determine that the mode selection information areas of the nonvolatile memory 2a and the nonvolatile memory 2b are not written, and execute acquisition of switch information (S103). Each CPU 1a and CPU 1b that have acquired the switch information in step S103 creates mode selection information based on the acquired switch information (S104).

そして、CPU1a及びCPU1bは、不揮発性メモリ2a及び不揮発性メモリ2bにモード選択情報を書き込んだ後(S105)、不揮発性メモリを読み出し、設定した値が正しく書き込まれているかを確認する(S106)。   Then, the CPU 1a and CPU 1b write mode selection information to the nonvolatile memory 2a and nonvolatile memory 2b (S105), and then read the nonvolatile memory to check whether the set value is written correctly (S106).

ステップS106において、不揮発性メモリ2a及び不揮発性メモリ2bに設定した値が正しく書き込まれていると判定された場合には、CPU1a及びCPU1bは選択した処理モードに従い動作を実行する(S108)。一方、ステップS106において、不揮発性メモリ2a及び不揮発性メモリ2bへの書き込みが失敗した場合、すなわち、不揮発性メモリに書き込まれたモード選択情報に異常がある場合には、CPU1a及びCPU1bは動作を停止する(S107)。   If it is determined in step S106 that the values set in the nonvolatile memory 2a and the nonvolatile memory 2b are correctly written, the CPU 1a and the CPU 1b execute an operation according to the selected processing mode (S108). On the other hand, if writing to the nonvolatile memory 2a and the nonvolatile memory 2b fails in step S106, that is, if there is an abnormality in the mode selection information written to the nonvolatile memory, the CPU 1a and the CPU 1b stop operating. (S107).

また、ステップS102において、電源投入後のモード選択情報取得時に、モード選択情報に有効な値(例えばA0A0hや0B0Bh)が設定されていることが確認された場合には、CPU1a及びCPU1bは、直ちに選択した処理モードに従い動作を実行する(S108)。   In step S102, when it is confirmed that a valid value (for example, A0A0h or 0B0Bh) is set in the mode selection information when the mode selection information is acquired after the power is turned on, the CPU 1a and the CPU 1b select immediately. The operation is executed according to the processed mode (S108).

一方、ステップS102において、モード選択情報に無効な値が設定されていると判定された場合には、CPU1a及びCPU1bは、制御装置の動作を停止させる(S109)。   On the other hand, when it is determined in step S102 that an invalid value is set in the mode selection information, the CPU 1a and the CPU 1b stop the operation of the control device (S109).

このように、モード選択情報が未設定状態であるとき、すなわち、初回電源投入時にのみ、CPU1a及びCPU1bは、モード選択スイッチ13の状態情報を取得する。その後、電源が再投入された際には、CPU1a及びCPU1bは、不揮発性メモリ2a及び2bのモード選択情報を取得して、モード選択処理を実行する。したがって、一度モード選択スイッチ13の状態が不揮発性メモリ2a、2bに保存された後は、モード選択スイッチ13の故障状態を考慮する必要がなくなり、装置の稼働率の劣化を防止することが可能となる。   As described above, when the mode selection information is not set, that is, only when the power is turned on for the first time, the CPU 1a and the CPU 1b acquire the state information of the mode selection switch 13. Thereafter, when the power is turned on again, the CPU 1a and the CPU 1b acquire mode selection information of the nonvolatile memories 2a and 2b, and execute a mode selection process. Therefore, once the state of the mode selection switch 13 is stored in the nonvolatile memories 2a and 2b, it is not necessary to consider the failure state of the mode selection switch 13, and it is possible to prevent deterioration in the operating rate of the apparatus. Become.

(2)第2の実施の形態
(2−1)フェールセーフ制御装置の構成
次に、図3を参照して、本発明の第2の実施形態にかかるフェールセーフ制御装置の構成について説明する。以下では、第1の実施の形態と異なる構成について詳細に説明し、同様の構成については説明を省略する。 (2) Second Embodiment (2-1) Configuration of Fail-Safe Control Device Next, the configuration of the fail-safe control device according to the second embodiment of the present invention will be described with reference to FIG. Hereinafter, a configuration different from that of the first embodiment will be described in detail, and description of the same configuration will be omitted.

本実施の形態は、図3に示すように、第1の実施の形態の構成に加えて、不揮発性メモリ2a及び不揮発性メモリ2bに対して書き換えを行うメモリ書き換え手段15a及び15bが追加されている。   In this embodiment, as shown in FIG. 3, in addition to the configuration of the first embodiment, memory rewriting means 15a and 15b for rewriting the nonvolatile memory 2a and the nonvolatile memory 2b are added. Yes.

上記第1の実施の形態では、不揮発性メモリ2a及び不揮発性メモリ2bへのモード選択情報の保存は初回起動時の1回のみであるが、本実施の形態では、不揮発性メモリ2a及び不揮発性メモリ2bに保存されているモード選択情報を書き換えることができる。具体的に、メモリ書き換え手段15a及びメモリ書き換え手段15bにより、不揮発性メモリ2a及び不揮発性メモリ2bに保存されているモード選択情報を初期化して、新たなモード選択情報の保存を繰り返すことを可能としている。   In the first embodiment, the mode selection information is stored in the nonvolatile memory 2a and the nonvolatile memory 2b only once at the time of initial startup. However, in the present embodiment, the nonvolatile memory 2a and the nonvolatile memory are stored. The mode selection information stored in the memory 2b can be rewritten. Specifically, the memory rewriting unit 15a and the memory rewriting unit 15b can initialize the mode selection information stored in the non-volatile memory 2a and the non-volatile memory 2b, and repeatedly store new mode selection information. Yes.

本実施の形態では、制御装置のメンテナンス時に、メモリ書き換え手段15a及びメモリ書き換え手段15bにより不揮発性メモリ2a、2bの初期化が実施される。具体的に、保守員により制御装置の電源が再投入されると、モード選択スイッチ13の情報を元に不揮発性メモリ2a及び不揮発性メモリ2bにモード選択情報が設定される。   In the present embodiment, the initialization of the nonvolatile memories 2a and 2b is performed by the memory rewriting means 15a and the memory rewriting means 15b during maintenance of the control device. Specifically, when the control device is turned on again by maintenance personnel, the mode selection information is set in the nonvolatile memory 2a and the nonvolatile memory 2b based on the information of the mode selection switch 13.

そして、CPU1a及びCPU1bは、不揮発性メモリ2a及び不揮発性メモリ2bに保存された情報を元に、自身の処理モードを選択する。CPU1a及びCPU1bは、自身のモード選択状態を、モード選択状態信号11a、11bとして異常検知手段12に入力する。そして、保守員またはCPUが異常検知手段12の状態を監視し、意図したモード選択が実施されていることを確認する。以上により、本実施の形態においても、モード選択スイッチ13の健全性を第1の実施の形態と同様に確認することができる。   Then, the CPU 1a and the CPU 1b select their processing mode based on the information stored in the nonvolatile memory 2a and the nonvolatile memory 2b. The CPU 1a and CPU 1b input their own mode selection states to the abnormality detection means 12 as mode selection state signals 11a and 11b. Then, the maintenance staff or the CPU monitors the state of the abnormality detection means 12 and confirms that the intended mode selection has been performed. As described above, also in the present embodiment, the soundness of the mode selection switch 13 can be confirmed in the same manner as in the first embodiment.

また、第1の実施の形態及び第2の実施の形態では、2つの処理モードのうち1つの処理モードを選択する例を示したが、かかる例に限定されず、3つ以上の処理モードから1つの処理モードを選択する場合も、同様に、モード選択スイッチ13の健全性を確認することが可能である。また、切り換える処理モードの種類は、プログラム全体、またはプログラムの一部、またはプログラムで使用する定数や変数、のいずれの場合にも適用可能である。   In the first embodiment and the second embodiment, an example in which one processing mode is selected from the two processing modes has been described. However, the present invention is not limited to this example, and three or more processing modes can be selected. Similarly, when selecting one processing mode, the soundness of the mode selection switch 13 can be confirmed. Further, the type of processing mode to be switched can be applied to any of the whole program, a part of the program, or constants and variables used in the program.

1a、1b CPU
2a、2b 不揮発性メモリ
3a、3b バス
4 照合部
5a、5b 照合用データ
6 照合結果判定信号
7a、7b 出力データ
8 出力部
9 制御出力
10 制御対象
11a、11b モード選択状態信号
12 異常検知手段
13 モード選択スイッチ
14 モード選択スイッチ情報
15a、15b メモリ書き換え手段
1a, 1b CPU
2a, 2b Nonvolatile memory 3a, 3b Bus 4 Collation unit 5a, 5b Collation data 6 Collation result determination signal 7a, 7b Output data 8 Output unit 9 Control output 10 Control target 11a, 11b Mode selection state signal 12 Abnormality detection means 13 Mode selection switch 14 Mode selection switch information 15a, 15b Memory rewriting means

Claims (14)

複数の処理モードから所望の処理モードを選択可能なモード選択スイッチと、
前記モード選択スイッチにより選択されたモード選択情報を保存する複数の不揮発性メモリと、
前記モード選択情報にしたがって処理モードを決定する複数のCPUと、
前記複数のCPUからの出力を比較監視する照合部と
を備え、
一の前記モード選択スイッチを前記複数のCPUで共有し、前記複数のCPUの各々に前記不揮発性メモリが備えられている、
ことを特徴とする、フェールセーフ制御装置。 A mode selection switch capable of selecting a desired processing mode from a plurality of processing modes;
A plurality of nonvolatile memories storing mode selection information selected by the mode selection switch;
A plurality of CPUs for determining a processing mode according to the mode selection information;
A verification unit that compares and monitors outputs from the plurality of CPUs,
One mode selection switch is shared by the plurality of CPUs, and each of the plurality of CPUs includes the nonvolatile memory.
A fail-safe control device. 初期化時に前記モード選択情報が各前記不揮発性メモリに保存され、
前記複数のCPUの各々は、各CPUに備えられた前記不揮発性メモリに保存された前記モード選択情報にしたがって処理モードを選択する
ことを特徴とする、請求項1に記載のフェールセーフ制御装置。 The mode selection information is stored in each nonvolatile memory at initialization,
2. The fail-safe control device according to claim 1, wherein each of the plurality of CPUs selects a processing mode in accordance with the mode selection information stored in the nonvolatile memory included in each CPU. 前記照合部は、各前記不揮発性メモリに保存された前記モード選択情報を比較照合し、照合結果を前記複数のCPUに通知する
ことを特徴とする、請求項1または2のいずれかに記載のフェールセーフ制御装置。 The said collation part compares and collates the said mode selection information preserve | saved at each said non-volatile memory, and notifies a collation result to these several CPU, The one of Claim 1 or 2 characterized by the above-mentioned. Fail-safe control device. 前記モード選択スイッチによるモード選択が異常であることを検知する異常検知手段を備え、
記複数のCPUは、前記照合部により前記モード選択情報が不一致であることが通知された場合に、前記モード選択情報が不一致であり前記モード選択スイッチによるモード選択が異常であることを前記以上検知手段に通知する
ことを特徴とする、請求項1〜3のいずれかに記載のフェールセーフ制御装置。 An abnormality detection means for detecting that the mode selection by the mode selection switch is abnormal,
The plurality of CPUs detect that the mode selection information is inconsistent and mode selection by the mode selection switch is abnormal when the collation unit is notified that the mode selection information is inconsistent. The fail-safe control device according to claim 1, wherein the fail-safe control device is notified. 前記モード選択スイッチにより選択されたモード選択情報は、冗長符号化されていることを特徴とする、
請求項1〜4のいずれかに記載のフェールセーフ制御装置。 The mode selection information selected by the mode selection switch is redundantly encoded,
The fail-safe control apparatus in any one of Claims 1-4. 前記不揮発性メモリに保存されるモード選択情報は、冗長符号化されていることを特徴とする、請求項1〜5のいずれかに記載のフェールセーフ制御装置。   The fail-safe control device according to claim 1, wherein the mode selection information stored in the nonvolatile memory is redundantly encoded. 前記不揮発性メモリに保存された前記モード選択情報を書き換えるメモリ書き換え手段を備え、
前記メモリ書き換え手段は、装置の電源が再投入された場合に、前記不揮発性メモリに保存されたモード選択情報を前記モード選択スイッチにより選択されたモード選択情報に書き換える
ことを特徴とする、請求項1〜6のいずれかに記載のフェールセーフ制御装置。 Memory rewriting means for rewriting the mode selection information stored in the nonvolatile memory,
The memory rewriting means rewrites the mode selection information stored in the non-volatile memory with the mode selection information selected by the mode selection switch when the power of the apparatus is turned on again. The fail-safe control apparatus in any one of 1-6. 複数の処理モードから所望の処理モードを選択可能なモード選択スイッチと、一の前記モード選択スイッチを前記複数のCPUで共有し、前記複数のCPUの各々に前記不揮発性メモリが備えられたフェールセーフ制御装置におけるフェールセーフ制御方法であって、
前記複数のCPUの各々が、前記モード選択スイッチにより選択されたモード選択情報を前記不揮発性メモリに保存するステップと、
前記複数のCPUの各々が、前記不揮発性メモリに保存された前記モード選択情報にしたがって処理モードを決定するステップと、
前記複数のCPUからの出力を比較監視するステップと、
を含むことを特徴とする、フェールセーフ制御方法。 A fail-safe in which a plurality of CPUs share a mode selection switch capable of selecting a desired processing mode from a plurality of processing modes, and each of the plurality of CPUs includes the nonvolatile memory. A fail-safe control method in a control device, comprising:
Each of the plurality of CPUs storing mode selection information selected by the mode selection switch in the nonvolatile memory;
Each of the plurality of CPUs determines a processing mode according to the mode selection information stored in the nonvolatile memory;
Comparing and monitoring outputs from the plurality of CPUs;
A fail-safe control method comprising: 初期化時に前記モード選択情報が各前記不揮発性メモリに保存され、
前記複数のCPUの各々が、各CPUに備えられた前記不揮発性メモリに保存された前記モード選択情報にしたがって処理モードを選択するステップを含む
ことを特徴とする、請求項8に記載のフェールセーフ制御方法。 The mode selection information is stored in each nonvolatile memory at initialization,
The fail-safe according to claim 8, further comprising a step of each of the plurality of CPUs selecting a processing mode according to the mode selection information stored in the non-volatile memory provided in each CPU. Control method. 前記照合部が、各前記不揮発性メモリに保存された前記モード選択情報を比較照合し、照合結果を前記複数のCPUに通知するステップを含む
ことを特徴とする、請求項8または9のいずれかに記載のフェールセーフ制御方法。 10. The method according to claim 8, further comprising a step of comparing the mode selection information stored in each of the nonvolatile memories and notifying the plurality of CPUs of a verification result. The fail-safe control method described in 1. フェールセーフ制御装置は、前記モード選択スイッチによるモード選択が異常であることを検知する異常検知手段を備え、
記複数のCPUが、前記照合部により前記モード選択情報が不一致であることが通知された場合に、前記モード選択情報が不一致であり前記モード選択スイッチによるモード選択が異常であることを前記以上検知手段に通知するステップを含む
ことを特徴とする、請求項8〜10のいずれかに記載のフェールセーフ制御方法。 The fail safe control device includes an abnormality detection means for detecting that the mode selection by the mode selection switch is abnormal,
When the plurality of CPUs are notified that the mode selection information is inconsistent by the collating unit, the above-described detection that the mode selection information does not match and the mode selection by the mode selection switch is abnormal. The fail-safe control method according to claim 8, further comprising a step of notifying the means. 前記モード選択スイッチにより選択されたモード選択情報は、冗長符号化されていることを特徴とする、
請求項8〜11のいずれかに記載のフェールセーフ制御方法。 The mode selection information selected by the mode selection switch is redundantly encoded,
The fail-safe control method according to any one of claims 8 to 11. 前記不揮発性メモリに保存されるモード選択情報は、冗長符号化されていることを特徴とする、請求項8〜12のいずれかに記載のフェールセーフ制御方法。   The fail-safe control method according to claim 8, wherein the mode selection information stored in the nonvolatile memory is redundantly encoded. フェールセーフ制御装置は、前記不揮発性メモリに保存された前記モード選択情報を書き換えるメモリ書き換え手段を備え、
前記メモリ書き換え手段が、装置の電源が再投入された場合に、前記不揮発性メモリに保存されたモード選択情報を前記モード選択スイッチにより選択されたモード選択情報に書き換えるステップを含む
ことを特徴とする、請求項8〜13のいずれかに記載のフェールセーフ制御方法。

The fail safe control device includes a memory rewriting means for rewriting the mode selection information stored in the nonvolatile memory,
The memory rewriting means includes a step of rewriting the mode selection information stored in the nonvolatile memory with the mode selection information selected by the mode selection switch when the power of the apparatus is turned on again. The fail-safe control method according to any one of claims 8 to 13.

JP2014061287A 2014-03-25 2014-03-25 Fail-safe control apparatus and fail-safe control method Pending JP2015184953A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014061287A JP2015184953A (en) 2014-03-25 2014-03-25 Fail-safe control apparatus and fail-safe control method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014061287A JP2015184953A (en) 2014-03-25 2014-03-25 Fail-safe control apparatus and fail-safe control method

Publications (1)

Publication Number Publication Date
JP2015184953A true JP2015184953A (en) 2015-10-22

Family

ID=54351396

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014061287A Pending JP2015184953A (en) 2014-03-25 2014-03-25 Fail-safe control apparatus and fail-safe control method

Country Status (1)

Country Link
JP (1) JP2015184953A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020032940A (en) * 2018-08-31 2020-03-05 大同信号株式会社 Fail-safe control device for railway equipment

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05189259A (en) * 1992-01-17 1993-07-30 Fujitsu Ltd External register setting system
JPH07324735A (en) * 1994-05-31 1995-12-12 Matsushita Electric Ind Co Ltd Control mode setting device for combustion machine
JPH0933485A (en) * 1995-07-24 1997-02-07 Jeol Ltd Analyzer
JP2007264754A (en) * 2006-03-27 2007-10-11 Yokogawa Electric Corp Control module
JP2008518302A (en) * 2004-10-25 2008-05-29 ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング Method and apparatus for switching operation mode of multiprocessor system by at least one signal generated externally

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05189259A (en) * 1992-01-17 1993-07-30 Fujitsu Ltd External register setting system
JPH07324735A (en) * 1994-05-31 1995-12-12 Matsushita Electric Ind Co Ltd Control mode setting device for combustion machine
JPH0933485A (en) * 1995-07-24 1997-02-07 Jeol Ltd Analyzer
JP2008518302A (en) * 2004-10-25 2008-05-29 ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング Method and apparatus for switching operation mode of multiprocessor system by at least one signal generated externally
JP2007264754A (en) * 2006-03-27 2007-10-11 Yokogawa Electric Corp Control module

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020032940A (en) * 2018-08-31 2020-03-05 大同信号株式会社 Fail-safe control device for railway equipment
JP7141177B2 (en) 2018-08-31 2022-09-22 大同信号株式会社 Fail-safe controller for railway equipment

Similar Documents

Publication Publication Date Title
US9604585B2 (en) Failure management in a vehicle
JP5911922B2 (en) Safety-related control unit and control method for automated equipment
CN105843699A (en) Error monitoring of a memory device containing embedded error correction
CN103702878B (en) For the brak control unit of rolling stock
US10152395B2 (en) Fault tolerant systems and method of using the same
EP2124151A1 (en) Information processing system and method for starting/recovering the system
JP5041290B2 (en) PROGRAMMABLE CONTROLLER AND ITS ERROR RECOVERY METHOD
WO2017162049A1 (en) Method and device for monitoring memory data of drive module
US10942826B2 (en) Method and device for managing storage system
KR101295770B1 (en) Train contol system for obtain safty integrity
JP2015184953A (en) Fail-safe control apparatus and fail-safe control method
KR101448013B1 (en) Fault-tolerant apparatus and method in multi-computer for Unmanned Aerial Vehicle
JP2014238746A (en) Data integrity processing apparatus, raid controller, data integrity processing system, data integrity processing method, and program therefor
JP6502211B2 (en) Vehicle control device
JP4483876B2 (en) Storage device control method in duplex system
JP5447532B2 (en) Information processing device
US8352817B2 (en) Method for testing a memory device, as well as a control device having means for testing a memory
JP2015191616A (en) Process control device, process control method, and process control program
US11531315B2 (en) Distributed control system
USRE49043E1 (en) Apparatus and method for communications in a safety critical system
JP6787658B2 (en) Processing equipment, traffic signal equipment and information display equipment
JP5227653B2 (en) Multiplexed computer system and processing method thereof
JP4613019B2 (en) Computer system
JP6501703B2 (en) In-vehicle controller
JP6944799B2 (en) Information processing device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160212

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20161129

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20161206

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170131

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20170711