JP2901258B2 - デュアル・コンピュータ相互点検システム - Google Patents

デュアル・コンピュータ相互点検システム

Info

Publication number
JP2901258B2
JP2901258B2 JP63324723A JP32472388A JP2901258B2 JP 2901258 B2 JP2901258 B2 JP 2901258B2 JP 63324723 A JP63324723 A JP 63324723A JP 32472388 A JP32472388 A JP 32472388A JP 2901258 B2 JP2901258 B2 JP 2901258B2
Authority
JP
Japan
Prior art keywords
computer
control
data
dual
counter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP63324723A
Other languages
English (en)
Other versions
JPH02138642A (ja
Inventor
デービッド・チャールズ・ハースト
マルコーム・ブレアリー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZF International UK Ltd
Original Assignee
Lucas Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lucas Industries Ltd filed Critical Lucas Industries Ltd
Publication of JPH02138642A publication Critical patent/JPH02138642A/ja
Application granted granted Critical
Publication of JP2901258B2 publication Critical patent/JP2901258B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1654Error detection by comparing the output of redundant processing systems where the output of only one of the redundant processing components can drive the attached hardware, e.g. memory or I/O
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T8/00Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force
    • B60T8/32Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration
    • B60T8/88Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means
    • B60T8/885Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means using electrical circuitry
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/076Error or fault detection not based on redundancy by exceeding limits by exceeding a count or rate limit, e.g. word- or bit count limit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0763Error or fault detection not based on redundancy by bit configuration check, e.g. of formats or tags
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1633Error detection by comparing the output of redundant processing systems using mutual exchange of the output between the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/165Error detection by comparing the output of redundant processing systems with continued operation after detection of the error
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T2270/00Further aspects of brake control systems not otherwise provided for
    • B60T2270/40Failsafe aspects of brake control systems
    • B60T2270/413Plausibility monitoring, cross check, redundancy

Description

【発明の詳細な説明】 〔産業上の利用分野〕 本発明は、高い保全性を必要とする制御システムで使
用されるデユアル・コンピユータ相互点検システムに関
する。
一例を挙げると本発明は車輌のブレーキ時のすべり防
止制御システムに適用できる。この場合コンピユータは
車輪の速度変換器から受け取られたデータを処理し、車
輪の減速が急すぎる場合にはその車輪に対するブレーキ
を解除する制御を行なうために用いられる。
〔従来の技術〕
この種のシステムでは、すべり状態が存在していない
時にコンピユータの故障でブレーキが解除されるという
状態が決しておこらないようにしなければならないこと
は重要であるのは明らかである。これを解決するために
従来から提案されている装置では、2台の同一のコンピ
ユータに同じ入力信号を受け取らせ、正常に動作してい
る間は両方のコンピユータから同じ制御信号を出力させ
る。2つのコンピユータは互いに接続されており相手の
コンピユータの出力制御信号をモニターする。冗長な処
理により出力信号同士を比較し、不一致が見つかつた場
合にはすべり防止動作を禁止させてブレーキシステムを
すべり防止動作のない通常のシステムとして動作させ
る。
〔発明が解決しようとする課題〕
しかしながらこの従来技術にはいくつかの欠点があ
る。
第1には、比較的高価で高性能のコンピユータを2台
使用しなければならないことである。第2は、通常の場
合、装置は複数の独立なチヤンネルを有する場合にコン
ピユータ間の相互接続線の数が大きくなつてしまう。こ
れは一層高価なコンピユータを使用しなければならない
ことを意味する。第3は、一般的に言つてコンピユータ
から制御出力が出るのは実際にすべり状況が発生した時
だけであるので実際に充分な相互点検はごくまれにしか
行なわれないということである。第4は、同一のプログ
ラムをもつ同一のコンピユータを使用しているため、特
別な状況のもとでしか実行されないルーチンにプログラ
ムの欠陥がある場合、この欠陥を発見できず、また、同
じウエーハーから作つた同じデバイスを共通の電源で給
電する場合に電源の変動で同じようなコンピユータの故
障が起り、そのため大きな事故にならない限り、このよ
うな故障は発見されないままになつてしまうことであ
る。
本発明の目的は、これらの不都合を克服したデユアル
・コンピユータ相互点検システムを提供することであ
る。
〔課題を解決するための手段及び作用〕
本発明のデユアル・コンピユータ相互点検システム
は、制御コンピユータとこの制御コンピユータに制御デ
ータを与える制御データ供給手段とを有する。上記制御
コンピユータはこの制御データを処理して制御出力信号
を出力する。さらに本システムには制御コンピユータの
動作を点検するモニターコンピユータが設けられ、上記
制御コンピユータとモニターコンピユータはサイクル毎
に点検データの交換を行なう。そして各コンピユータは
相手のコンピユータから受信した点検データに所定の演
算を施こし、該受信した点検データが先行のサイクルで
相手のコンピユータに送信した点検データと所定の関係
を有するかどうかについて点検する。更にこの2台のコ
ンピユータにより制御される停止手段が設けられる。こ
の停止手段は、上記点検処理の少なくとも1つにおいて
不一致がみられた場合に制御システムを停止させる。
このような構成をとることによりモニターコンピユー
タを制御コンピユータより安価で、性能の低い機種で構
成できる。例えば、モニターコンピユータは低いクロツ
ク周波数で動作しうる。
上記2つのコンピユータの一方が点検データの交換の
タイミングを制御するマスターコンピユータとして動作
することが好ましい。好ましくは制御コンピユータがマ
スターコンピユータである。これにより、制御コンピユ
ータの制御動作サイクル内の正確な時点に一致させるた
め点検データの交換のタイミングを取ることができる。
予想される正確な時点で点検データが受信されなければ
故障と解釈され、上記停止手段が作動することになる。
点検データは、2台のコンピユータの間で直列あるい
は並列に送信される1バイトで構成できる。この場合各
コンピユータで実行される所定の演算には、各サイクル
のバイトの値に素数を加算する処理が含まれうる。この
加算は当該コンピユータの動作サイクルをとおしての一
連の個々の段階で実行するのが好ましい。更に「演算」
処理には制御データバイトの個々のビツトの順序を逆に
する処理が含まれうる。2台のコンピユータの使用する
アルゴリズムの各々の演算全体の結果は同じにもかかわ
らず、2つのアルゴリズムは異なることが好ましい。
停止手段は、点検データの不一致が最初に見つかつた
時点で動作することができる。しかし、制御システムを
ノイズの多い環境で使用するような場合、例えば自動車
のブレーキ制御システムの場合、それぞれのコンピユー
タに所定の期間内で生じた不一致の数を計数したカウン
ト値を保持し、カウント値がプリセツトレベルに達した
時にのみ停止手段を作動させるようにするのがよい。例
えばそれぞれのコンピユータに(ソフトウエアで動作す
る)2つのカウンタをもたせうる。一方のカウンタは正
しい点検サイクルの数を計数し、他方のカウンタは不一
致が生ずる点検サイクルの数をカウントする。そして上
記の一方のカウンタのカウント値が所定値に達する都度
上記他方のカウンタを減分する。(ただしすでにカウン
ト値がゼロになつている時は、行なわない。) 〔実施例〕 以下図面を参照してこの発明の実施例を説明する。
第1図において図示のシステムはメインの制御マイク
ロコンピユータ10を有する。このマイクロコンピユータ
10は4つの車輪速度センサーS1〜S4からの制御入力デー
タを受信し、その入力データに従つて4つのソレノイド
SOL1からSOL4を制御するとともにポンプリレー11を制御
する。すなわちメインコンピユータは車輪の速度センサ
ーからデータを集め、制御判断を行いその結果をソレノ
イド駆動信号を通じてブレーキに伝達する。更に、メイ
ンコンピユータからは、ポンプモーター駆動信号、停止
リレー14駆動信号及びランプ駆動信号が出力される。ポ
ンプモーター駆動信号はリレー11を駆動するもので、こ
れによりブレーキをかけるためのエネルギー源を確保し
ている。停止リレー14駆動信号は、バッテリーのB+を
ソレノイドとポンプモーターリレーコイルとに接続する
ように常時は停止リレー14を付勢している。ランプ駆動
信号は、故障が検出された時に故障警告ランプ13を点灯
する。このランプ駆動信号は、ORゲートG1においてモニ
ターコンピユータからの同様の信号と組み合わされてか
ら駆動回路に供給されるようになつており、従つて、い
ずれの信号によつてもランプ13を点灯することができ
る。
一般的に言つて、このシステムはブレーキの動作中に
いずれかの車輪が急に減速した場合によく知られた態様
で動作する。すなわち車輪に態様するソレノイドが付勢
されてバルブを作動させ該バルブは当該車輪のブレーキ
をブレーキの主シリンダーから外し、ブレーキの流体が
流体だめに放出され、しかる後再びブレーキがかかるよ
うにリレー11によつて制御されるポンプによりブレーキ
の流体が戻される。
モニターマイクロコンピユータ12が上記制御コンピユ
ータの動作をモニターするため設けられる。モニターコ
ンピユータは制御コンピユータよりも低速で走るそれ自
身のクロツクを有する。好ましくはモニターコンピユー
タ12は、制御コンピユータより安価で性能が低く、RAM
やROMの容量も小さい装置で構成される。従つて制御コ
ンピユータ10とは全く別の機種が使用できる。なお、モ
ニターコンピュータは制御コンピュータより低い性能の
機種であるとはモニターコンピュータのクロックが制御
コンピュータのそれより低速でありあるいはモニターコ
ンピュータのRAMやROMの容量が制御コンピュータのそれ
より小さいことを言う。
このモニターコンピユータ12は3つの線のみすなわち
S0、S1及びSMのラインだけで制御コンピユータに接続さ
れうる。ラインS0は、モニターコンピユータ12の直列出
力を制御コンピユータの直列入力に接続する。ラインS1
は制御コンピユータの直列出力をモニターコンピユータ
の直列入力に接続し、ラインSMは制御コンピユータの同
期出力をモニターコンピユータの対応する入力に接続す
る。モニターコンピユータの直列出力は、モニターコン
ピユータを直列I/Oをもたない非常に低価格の装置で構
成した場合にその直列ポートからとり出すことができ
る。(コストは高くなるが専用のI/Oをもつ2つのコン
ピユータを相互接続することは非常に容易であり、また
非常に高い転送速度が要求される場合に、直列データの
代わりに並列データを使用することができることは明ら
かである。)更にS1とSMのラインはゲートG3に接続さ
れ、直列データが診断出力装置4に入力される。
全ての正常な動作状態では2台のコンピユータの間の
データの流れは予想通りであり、2台のコンピユータの
内部で点検データの処理が行なわれ、メインコンピユー
タから独立のクロツクで動作するモニターコンピユータ
への同期化も規則的に行なわれる。更に2台のコンピユ
ータは、リレーFSの付勢状態を保ち、これによりソレノ
イドとポンプリレPMへの給電の接続を保つために、AND
ゲートG2を介して停止リレー駆動回路に駆動信号を与え
る。更に各コンピユータからはORゲートG1を介してラン
プ駆動回路に信号が供給される。ただし、この信号はい
ずれかのコンピユータにより故障が検出されない限り、
禁止されている。
メインコンピユータとモニターコンピユータは別々の
クロツク水晶発振器を有し、メインコンピユータの方が
制御の精度に関連するマスターのタイミング素子として
使用される。このマスタータイミングサイクルは、代表
的には8ミリ秒あるいは16ミリ秒に設定され、制御の判
定は前回のサイクルで集められたデータに基づいてサイ
クル毎に行なわれ、制御アルゴリズムの完了するやいな
やソレノイドバルブへの出力信号が生成される。システ
ムによつては診断の目的のためにサイクル毎にデータバ
イトを出力するためメインコンピユータの直列出力がま
た用いられうる。この場合、サイクルは、マスターマイ
クロコンピユータによりつくられたマスタータイミング
波形信号により2等分される。これを第2図に示す。図
においてマスターコンピユータのSM波形がローレベルの
時診断出力としてUART接続を選択し、ローからハイへの
切り変わりでモニターコンピユータのタイミングの再同
期化を行なう。SMがハイの時直列出力は、2つのコンピ
ユータの間の相互点検の相互通信処理に向けられる。こ
れは、診断通信とは異なるデータ伝送速度(ボー速度)
で行なわれる。第2図に示す代表的なタイミング波形は
8ミリ秒サイクルに基づいており、このサイクルはSMの
0から1への切り変わりである同期エツジで開始する。
このエツジでモニターコンピユータのタイミングが再度
開始し、窓が短かい時間開かれ、該短かい時間にバイト
がメインコンピユータから送信されることが期待され
る。このバイトは前のサイクル内のセツト期間において
モニターコンピユータから送信した刺激(stimulus)バ
イトに対する応答である。このバイトCHECKRが正しく受
信されるとモニターの内部で生ずる内部点検がもたらさ
れ、CHECKRがモニターコンピユータの演算した応答バイ
トと比較される。一致する場合には、同期を行うSM波形
の立ち上がり時点から一定の時間後にメインコンピユー
タへの送信のため、すでに演算してある次の刺激バイト
がつくられる。メインコンピユータは次の7ミリ秒(代
表値)の間にこの刺激データを処理し応答バイトCHECKR
を用意し、次の同期エツジの直後に送信する。
第2図を再び参照して、上側の波形2aはSMラインの信
号を示しており、図示のように4m秒毎にハイとローを繰
り返す。この波形の立ちあがりエツジは、モニターコン
ピユータへの直列データの送信を起動し、一方ローのSM
ゲートレベルは、診断出力装置への直列データの送信を
起動する。波形2bは制御コンピュータ10のラインS1への
データ送信期間を示し、波形2cはモニターコンピユータ
12のラインS0への送信期間を示している。
上述したように、制御コンピユータ10は、このデータ
送信形式でマスターコンピユータとして作用し、各新し
いサイクルは制御コンピユータ10からモニターコンピユ
ータへの点検データの送信で開始する。モニターコンピ
ユータが、制御コンピユータから受信した点検データの
結果を試験する時間中である一定の時間後に、モニター
コンピユータは、制御コンピユータに対し次の点検デー
タのバイトを送信する。点検の手順は次の通りである。
(a)メインコンピユータは前回のサイクルでモニター
コンピユータから受信した刺激バイトに応じて各8m秒サ
イクルの特定の時点で点検応答バイトを送信する。
(b)この応答バイトがモニターコンピユータで受信さ
れるとモニターコンピユータはそのデータの値の点検を
行ない、正しければ新しい刺激バイトを出力し、メイン
コンピユータに直列に送信する。メインコンピユータ側
ではこの刺激バイトを受信するために時間の窓が再び開
かれる。
(c)応答バイトを生成するためにメインコンピユータ
は、モニターコンピユータにより生成された刺激データ
に対しデータ処理を行なう。
(d)モニターコンピユータは又、応答バイトを計算
し、次にメインコンピユータから送られてくると予想さ
れるデータ値を知り受信時に一致の点検ができるように
する。
(e)モニターコンピユータはプログラムに従い前回の
点検応答バイトから次の刺激バイトを計算する。(これ
により予定通りの進行が得られる。) (f)メインコンピユータの方でもプログラムに従い前
回の刺激データを単に処理することにより次にモニター
から送られてくるであろう次の刺激バイトを計算する。
メインコンピユータの受信した刺激バイトについての最
初の点検は、内部で計算した予想される刺激バイトと一
致するはずである。従つて一致しない場合にはメインコ
ンピユータの必要とされる処理が行われなくなり、次の
サイクルの戻りバイトは省略される。
このコンピユータ相互点検の組合せにおいては、シス
テムの停止を防ぐためにはモニターとメインコンピユー
タの両方が、特定の出力信号を発生しなければならな
い。すなわち、いずれかのコンピユータにおいて(内部
演算により)予想した値と異なる入力点検バイトを受信
した場合には、動作を維持するための局部サポート信号
が除去される。代表的にはこのサポート信号の組合せ
は、停止リレー14の付勢を維持するものであり従つてい
ずれかのコンピユータよりサポート信号が除去されれば
このリレー14が解除され、制御装置の全ての制御出力が
禁止される。システムによつてはこのリレーはソリツド
スラートスイツチで実現され、処理が、制御を完全には
取り除くことのできないような車輌の重要な機能である
場合には、解除信号を用いて適当な不履行(default)
設定値の選択を行なうことができる。しかしながらブレ
ーキのすべり防止システムの現状の慣行ではソレノイド
に送る出力信号を禁止し、ブレーキを通常のブレーキ状
態に戻し、故障を検知したいずれかのコンピユータから
故障警告ランプ13を点灯するための信号を送出する。
応答バイトを生成する前に各点検の刺激バイトに対し
て選択される処理は複雑なものにすることができ、当然
のことであるがシステム設計者によつて様々に変更する
ことができる。処理は常に同じにならなくてもよく刺激
バイトの値によつて両方のコンピユータにあらかじめプ
ログラムされている複数のプロセスの中から1つのプロ
セスを選択するようにしてもよい。一例として第3図に
2台のコンピユータが相互に相手のコンピユータの動作
を点検するため点検データを用いる一つの方法を示す。
システムの動作の最初のサイクルの開始時にモニターコ
ンピユータは、点検データバイトとして00000000をもつ
ており、このバイトを適切な時点でメインの制御コンピ
ユータに送信する。この点検データは最上位ビツトを先
頭にして1ビツトずつ送信され、最上位ビツトは制御コ
ンピユータには最下位のビツトとして受信される。従つ
て点検データバイトに対して制御コンピユータが最初に
実行する処理は、ビツトの順序を逆にすることである。
(この段階ではこの処理は、ビツトが全て0であるので
意味がないが、あとのサイクルでは意味をもつ。)次に
制御コンピユータに保持されるバイトに素数例えば19を
加え、00010011の値を生成する。次にこのバイトのビツ
トの順序を再度逆にし、適切な時点にモニターコンピユ
ータに送信する。モニターコンピユータでは受信したデ
ータ(ビツトを逆の順に記憶した受信データ)の値を前
回のサイクルで送信したバイトの元の値に19を加えた値
と比較する。この比較で値が同じことが確認された場合
には受信したバイトに4を加えて次に送信すべき値(す
なわち00010111)を生成し、制御コンピユータに送信す
る。これにより再び制御コンピユータでは逆の順序でバ
イトが受信される。制御コンピユータでは、バイトを受
信するとそのビツトの順序を逆に再び書き替え、その結
果のバイトを前回逆の順序で受信したバイトの値に23を
加えた値と比較する。この比較が正しければ再度19を加
え、ビツトの順序を逆にし、その結果のバイトを送信す
る処理を以下同様にして繰り返す。上記ビツトの逆転処
理は、制御コンピユータの動作点検に有効であるがデー
タ転送の試験において重要な部分をなすものではない。
上記の例で選んだ数値19には別に意味はないことを強
調しておく。意味があるのは1つの点検刺激バイトから
次の点検刺激バイトへの変化にある。これは23の値に設
定される。他の素数でも充分であるが、23の素数を使用
することにより256回のデータ交換にわたつて8ビツト
バイトの全ての可能なビツト組み合せを刺激と応答の両
方のバイトについて使用することができる。すなわち2
秒の期間にわたり試験処理を多数の回数繰り返して各コ
ンピユータの処理回路における主要な要素の全ての並列
な部分について充分な能力の点検を行なうことができ
る。
上記の例では第3図からわかるようにメインコンピユ
ータの処理は典形的に次のステツプから構成される。
(1)サイクル内の正確な時点で刺激データバイトを受
信する。
(2)このバイトの全てビツトの順序を逆にし逆の順序
で送信する。
(3)この値を記憶してある予想値と比較し23を加えて
次の予想値を計算し記憶する。
(4)正しい刺激バイトが受信された時は素数19をシス
テム設計者の選択したいずれかの多数のステツプの方法
により加算する。
(5)その結果得た全てのビツトの順序を逆にする。
(6)その結果を同期エツジの直後でモニターに送信す
る。
このルーチンにおける主な処理、すなわち刺激バイト
に19を加算する処理は、単一ステツプで容易に行なうこ
とができるが、メインの制御処理、時間、及びメインコ
ンピユータの能力の限界を実際に考慮しながらできるだ
け長く複雑で多数のステツプ処理で実行するのが非常に
有効である。代表的には、この19の加算処理は充分な数
のステツプに分割される。そのためコンピユータのメイ
ンの制御処理に分散配置されこれによりコンピユータの
命令や資源例えばインデツクスレジスターのアドレス指
定、スタツク操作、条件付き分岐命令等を試験すること
ができる。メインコンピユータの制御プログラムが既知
のサイクルで動作する場合、19の加算を行なうための複
数のステツプが通常の制御ルーチンに分散配置される。
そのため、どのルーチンでもスキツプされた時には上記
加算処理の重要なステツプが抜けることになり、正しく
ない結果が生じる。この正しくない結果は、モニターコ
ンピユータにより停止を与えられる故障を指示する。
第4図にアンチロツク(anti−lock)制御プログラム
の代表例を示す。ここでは制御コンピユータ10の受信し
た点検データに対する処理は、受信後にただちに実行さ
れるのではなくメインコンピユータ10のサイクル全体に
渡り分散して行なわれる。すなわち最初のビツトの順序
の逆転、受信した前回のデータバイトとの比較及び2回
目のビツトの逆転処理は、制御コンピユータにより実行
される種々の制御処理の間に挿入される別々のステージ
において断片的に行なわれる。特に上述したように、19
を加算する処理は断片化され、サイクルの複数の異なる
ポイントで種々の値を加算したり減算したりする処理を
含む複雑な操作を通じて行なわれる。更にその他のあり
うる操作として異なるレジスター間でのバイトの移動処
理、スタツフ操作、及びいくつかの条件付き分岐を含み
うる。これらのルーチンは、メインの制御プログラムの
異なるサブルーチンとして組み込まれており、従つて何
らかの理由でサブルーチンが一つでも実行されなければ
19の加算を行なうための重要なステツプが抜けることに
なり加算にエラーを生じる。
第1図に示すように、ゲートG1とG2は2台のコンピユ
ータ10と12からの出力を受ける。これらのゲートは、ラ
ンプ13とソレノイドの接続を切るリレー14をそれぞれ制
御する。予想した点検データのバイトが受信されなかつ
たり、比較の結果が一致しなかつた場合にはいずれかの
コンピユータによりGO信号が取り除かれ、これによりラ
ンプが点灯し、ソレノイドへの電源供給が遮断される。
GO信号は1回のエラーの発生で取り除くことができる。
この代わりに、それぞれのコンピユータのソフトウエア
に2つのカウンタを用意し一方のカウンタを不一致の結
果が得られる毎に増分し、当該一方のカウンタがゼロに
なつていないことを条件として他方のカウンタを正しい
比較結果が得られる毎に増分し、そして上記他方のカウ
ンタの値が既にゼロになつていない場合には、正しい比
較の回数がプリセツト値に達した後に第1のカウンタの
カウント値を減分する。第1のカウンタにより保持され
るカウント数がスレツシユホールドレベルに達した場合
はGO信号を取り除く。このプリセツトレベルとスレツシ
ユホールドレベルは、設計者により選定され、制御すべ
き処理対象及び電気的な環境にあわせて環境にあつたノ
イズの許容レベルを与える。
上述したシステムでは、2台のコンピユータが点検デ
ータを繰り返し相互に渡たして点検を行ない、1回でも
エラーのあつたときにはそれが演算によるものであろう
と送信によるものであろうと制御を停止するようにして
いる。しかし、システムによつては非常にノイズの多い
環境、例えば電源に相当の過渡的な成分が乗るような環
境で使用しなければならない場合があり、そのような場
合にある種の条件下で点検データの送信が影響を受け、
エラーを生じ、システムが停止されることになる。その
ようなことが生じなければ申し分のないシステムであ
る。したがつて、このような状況の下ではコンピユータ
の組合せの動作計画に故障の許容の規定されたレベルを
組み込むことが望ましい。これを実現するには、単一の
エラーは記録されるが1回だけではシステムが停止しな
いように点検処理を変形し、送信エラーで刺激データの
進行の糸が消失したような場合に、動作のシーケンスが
適当な時点から回復するようにすればよい。これは上述
した処理にソフトウエアの変更を加えることで基本的に
実現できる。すなわち、メインコンピユータに、前回受
信した刺激バイトが正しくない場合であつても常に23を
加えさせ、モニターコンピユータには前回のサイクルの
刺激バイト出力に19を加えさせて常に予想値を算出させ
る。更に、予想結果と受信結果が一致しないときには、
受信結果プラス4または予想結果プラス4により次の刺
激バイトを出力し、いずれのコンピユータもすぐには停
止をかけないようにする。正しくないとみえるデータを
受信するいずれかのコンピユータは、擬似故障ロケーシ
ヨンカウンタにゼロでないカウント数を内部的に記録す
ることにより故障の待機状態に入る。この故障が繰り返
される場合には、擬似故障のカウント数は、n1のカウン
ト数がいずれかのコンピユータに記録されるまで増分さ
れる。このn1のカウント数まで達した点で、非過渡的な
点検故障が検出されたものとみなして局部停止がなされ
る。過渡的な故障、例えば送信干渉による故障が発生し
た場合、擬似故障カウンタはゼロから増分されるが、繰
り返し故障が検出されるわけでないので典形的な1また
は2程度のカウント値になつたところでデータ交換のシ
ーケンスは回復する。この擬似故障カウンタの中間的な
非ゼロ状態の下では、第2カウンタが使用可能にされ、
故障が記録されなかつたデータ交換のサイクル数をカウ
ントし、このカウンタがレベルn2に達すると、このカウ
ント数はゼロにリセツトされ、擬似故障カウンタ数は低
減される。正しいデータ交換が継続すればやがて擬似故
障カウンタの値がゼロに戻り、その後は新たにデータ交
換の故障が検出されるようになるまでカウンタに対する
計数処理は停止される。n1とn2の値を適当に選択するこ
とにより、処理や電気的な環境に合つた許容レベルを設
定することを調整しうる。
以上のように、本システムの場合、2台のコンピユー
タは同一にする必要がないので同じような故障モードに
なることはなく、したがつて、特に低価格のアンチ・ロ
ツク装置に適している。にもかかわらず、相互に相手の
動作を連続的に検査することができ、その処理機能、又
は動作のサイクルに含まれる重大な故障を確実に検出す
ることができる。構成として2台の高価なコンピユータ
の代りに1台のメインコンピユータと1台の低価格のモ
ニターコンピユータを使用するのでコストを大幅に下げ
ることができ、しかも、相互点検機能は連続的に動作
し、すべり入力信号の発生には依存しないので、充分な
動作点検が行なえる。
【図面の簡単な説明】
第1図は本発明に従うデユアル・コンピユータ相互点検
システムの一実施例を組み込んだアンチロツク・ブレー
キシステムのブロツク図、 第2図は点検データ交換のタイミングの一例を示すタイ
ムチヤート、 第3図は2台のコンピユータに関する点検データのアル
ゴリズムの一例を示す図、 第4図は一方のコンピユータのメインの制御サイクルの
一例を示す図である。 10…メインコンピユータ、12…モニターコンピユータ、
S1〜S4…車輪速度センサー 14…停止リレー、SYNC…同期エツジ
フロントページの続き (56)参考文献 特開 昭59−58560(JP,A) 特開 昭61−290566(JP,A) 特開 昭59−13447(JP,A) 特開 昭55−166752(JP,A) (58)調査した分野(Int.Cl.6,DB名) G06F 11/22 - 11/26 G06F 11/16 - 11/20 310

Claims (13)

    (57)【特許請求の範囲】
  1. 【請求項1】制御コンピュータ(10)と、 該制御コンピュータ(10)に制御データを供給する制御
    データ供給手段(S1〜S4)とを有し、 前記制御コンピュータ(10)は、前記制御データを処理
    して、制御出力信号を生成し、 更に、前記制御コンピュータの動作を点検するモニター
    コンピュータ(12)を設けるデュアル・コンピユータ相
    互点検システムにおいて、 前記制御コンピュータ(10)と前記モニターコンピュー
    タ(12)とはサイクル毎に点検データを交換し、前記点
    検データは前記制御データから独立しており、各コンピ
    ュータ(10,12)は、相手のコンピュータから受信した
    点検データに所定の演算を施すことにより当該点検デー
    タを所定の要領で変更し、各コンピュータは、相手のコ
    ンピュータから受信した前記の変更した点検データが前
    記各コンピュータが先行のサイクルに相手のコンピュー
    タに送信した点検データと所定の関係を有することを点
    検し、 更に、両方のコンピュータ(10,12)により制御され、
    前記点検動作の少なくとも1つにおいて不一致が見つか
    った場合に制御システムを停止する停止手段(14)を有
    する ことを特徴とするデュアル・コンピユータ相互点検シス
    テム。
  2. 【請求項2】前記モニターコンピュータ(12)は前記制
    御コンピュータ(10)より低い性能の機種である請求項
    1記載のデュアル・コンピユータ相互点検システム。
  3. 【請求項3】前記の2つのコンピュータ(10,12)のう
    ちいずれか一方のコンピュータが、マスターコンピュー
    タとして動作して点検データの交換のタイミングを制御
    し、それにより他方のコンピュータの動作を同期化し、
    点検データの各要素の送信がマスターコンピュータとし
    て動作するコンピュータの動作サイクル内の所定の正確
    な時点と一致する請求項1又は2記載のデュアル・コン
    ピユータ相互点検システム。
  4. 【請求項4】前記両方のコンピュータは、相手のコンピ
    ュータからの個々の送信データをマスター動作サイクル
    内の所定の正確な時点で受信し、送信データが受信され
    なかったときは動作故障と解釈して前記停止手段を作動
    させる請求項1又は2に記載のデュアル・コンピユータ
    相互点検システム。
  5. 【請求項5】前記制御コンピュータ(10)は、点検デー
    タの交換のタイミングを該制御コンピュータの制御動作
    サイクル内の正確な時点に一致するマスターコンピュー
    タとして動作し、予想される正確な時点で点検データが
    受信されなかった場合に故障と判断して前記停止手段を
    作動させる請求項1または2記載のデュアル・コンピユ
    ータ相互点検システム。
  6. 【請求項6】マスターコンピュータとして動作する前記
    制御コンピュータ(10)は制御動作のサイクル毎に同期
    化手段(SYNC)により他方のコンピュータ(12)にマス
    タータイミングサイクルを伝達し、全てのデータ交換が
    該同期化手段(SYNC)の実際の遷移に関連するタイミン
    グで行われる請求項5のデュアル・コンピユータ相互点
    検システム。
  7. 【請求項7】点検データは前記の2つのコンピュータ
    (10,12)の間で直列または並列に送信される1バイト
    から成り、各コンピュータで実行される所定の演算処理
    は、各サイクルの前記のバイトの値に素数を加算する処
    理を含む請求項1から6のいずれか一項に記載のデュア
    ル・コンピユータ相互点検システム。
  8. 【請求項8】前記所定の演算処理は単一のルーチンで実
    行されるのではなく制御処理シーケンスの全体にわたっ
    て分散配置された断片的な複数のサブルーチンで実行さ
    れる請求項7記載のデュアル・コンピユータ相互点検シ
    ステム。
  9. 【請求項9】前記所定の演算処理は複数の段階に断片化
    されるだけでなく、各々のコンピュータで利用できる多
    数の特性と資源を活用して更に複雑に行われ、これによ
    りコンピュータ自身の動作がより完全に点検される請求
    項8記載のデュアル・コンピュータ相互点検システム。
  10. 【請求項10】前記停止手段は点検バイトの不一致が発
    見された最初のときに作動する請求項1から9のいずれ
    か一項に記載のデュアル・コンピユータ相互点検システ
    ム。
  11. 【請求項11】故障に許容レベルをつけるために、各コ
    ンピュータは或る期間内に生じた不一致のカウント数を
    保持し、該カウント数が所定のレベルに達した場合にの
    み前記停止手段が作動する請求項1から9のいずれか一
    項に記載のデュアル・コンピユータ相互点検システム。
  12. 【請求項12】各コンピュータはソフトウエアに2つの
    カウンタを有し、一方のカウンタは正しい点検サイクル
    の数をカウントし、他方のカウンタは不一致が生じた点
    検サイクルの数をカウントし、且つ所定のカウント数が
    前記一方のカウンタによりなされる毎に前記他方のカウ
    ンタが、既にゼロになっていないことを条件として減分
    される請求項11記載のデュアル・コンピユータ相互点検
    システム。
  13. 【請求項13】故障に許容レベルをつけるために、前記
    制御コンピュータ(10)が新たに受信した刺激バイトの
    各々を先行の同様のバイトと比較し、 予めプログラムされている差が検出されない場合は直ち
    に停止の作動をするのではなく、比較の故障となる都度
    ゼロから増分される第1カウンタが第1のプリセット値
    に達するまで停止の作動を遅らせ、 前記第1のカウンタがゼロからプリセットされた第1の
    値までの中間の非ゼロの値をとっている間、正しい比較
    結果となる都度第2カウンタが増分され、該第2カウン
    タは第2のプリセットレベルに達したとき、該第2カウ
    ンタがリセットされ、前記第1カウンタが低減され、 該第1カウンタが再びゼロに低減されるか、第1のプリ
    セット値に達し停止を生ずるかいずれかになるまで上記
    処理を繰り返し、 且つ前記モニターコンピュータ(12)は、受信した応答
    バイトの各々を内部で演算した応答データと比較し、前
    記制御コンピュータ(10)の第1と第2のカウンタと同
    様の仕方で動作する第1と第2のカウンタを備える 請求項1から9のいずれか一項に記載のデュアル・コン
    ピユータ相互点検システム。
JP63324723A 1987-12-22 1988-12-22 デュアル・コンピュータ相互点検システム Expired - Fee Related JP2901258B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
GB8729901 1987-12-22
GB878729901A GB8729901D0 (en) 1987-12-22 1987-12-22 Dual computer cross-checking system

Publications (2)

Publication Number Publication Date
JPH02138642A JPH02138642A (ja) 1990-05-28
JP2901258B2 true JP2901258B2 (ja) 1999-06-07

Family

ID=10628886

Family Applications (1)

Application Number Title Priority Date Filing Date
JP63324723A Expired - Fee Related JP2901258B2 (ja) 1987-12-22 1988-12-22 デュアル・コンピュータ相互点検システム

Country Status (5)

Country Link
US (1) US5016249A (ja)
EP (1) EP0322141B1 (ja)
JP (1) JP2901258B2 (ja)
DE (1) DE3854044T2 (ja)
GB (1) GB8729901D0 (ja)

Families Citing this family (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2241123B (en) * 1990-02-16 1993-09-29 Teves Gmbh Alfred Circuit arrangement for an anti-lock-controlled vehicle brake system
JP2698685B2 (ja) * 1990-03-27 1998-01-19 株式会社東芝 計算機システム遠隔操作装置
DE4022671A1 (de) * 1990-07-17 1992-01-23 Wabco Westinghouse Fahrzeug Elektronisches bremssystem fuer stassenfahrzeuge
GB9101227D0 (en) * 1991-01-19 1991-02-27 Lucas Ind Plc Method of and apparatus for arbitrating between a plurality of controllers,and control system
US6247144B1 (en) * 1991-01-31 2001-06-12 Compaq Computer Corporation Method and apparatus for comparing real time operation of object code compatible processors
US5274554A (en) * 1991-02-01 1993-12-28 The Boeing Company Multiple-voting fault detection system for flight critical actuation control systems
DE4114999C2 (de) * 1991-05-08 2001-04-26 Bosch Gmbh Robert System zur Steuerung eines Kraftfahrzeuges
US5458404A (en) * 1991-11-12 1995-10-17 Itt Automotive Europe Gmbh Redundant wheel sensor signal processing in both controller and monitoring circuits
GB9206344D0 (en) * 1992-03-24 1992-05-06 Lucas Ind Plc Improved braking in electronic braking systems
US5416908A (en) * 1992-04-28 1995-05-16 Allen-Bradley Company, Inc. Interface between industrial controller components using common memory
JPH064353A (ja) * 1992-06-17 1994-01-14 Sumitomo Electric Ind Ltd 複数のマイクロコンピュータの相互監視回路
JP3535531B2 (ja) * 1992-09-30 2004-06-07 本田技研工業株式会社 走行状態制御装置
US5434997A (en) * 1992-10-02 1995-07-18 Compaq Computer Corp. Method and apparatus for testing and debugging a tightly coupled mirrored processing system
US5471631A (en) * 1992-10-19 1995-11-28 International Business Machines Corporation Using time stamps to correlate data processing event times in connected data processing units
EP0596410B1 (en) * 1992-11-04 1999-07-28 Digital Equipment Corporation Detection of command synchronisation error
JP3343143B2 (ja) * 1992-12-02 2002-11-11 日本電気株式会社 故障診断方法
FR2704329B1 (fr) * 1993-04-21 1995-07-13 Csee Transport Système de sécurité à microprocesseur, applicable notamment au domaine des transports ferroviaires.
US5504859A (en) * 1993-11-09 1996-04-02 International Business Machines Corporation Data processor with enhanced error recovery
US5648759A (en) * 1994-02-02 1997-07-15 National Semiconductor Corporation Failsafe voltage regulator with warning signal driver
US5490072A (en) * 1994-07-18 1996-02-06 Kelsey-Hayes Company Method and system for detecting the proper functioning of an ABS control unit utilizing dual programmed microprocessors
DE19735956C1 (de) * 1997-08-19 1998-09-10 Siemens Ag Verfahren zum Überwachen eines Ermittlungsverfahrens
DE19743463A1 (de) 1997-10-01 1999-04-08 Itt Mfg Enterprises Inc Verfahren zur Fehlerkennung von Mikroprozessoren in Steuergeräten eines Kfz.
DE19749068B4 (de) * 1997-11-06 2005-03-10 Bosch Gmbh Robert Verfahren und Vorrichtung zur Überwachung eines Rechnersystems bestehend aus wenigstens zwei Prozessoren
DE19902031A1 (de) * 1999-01-20 2000-07-27 Bosch Gmbh Robert Steuergerät zur Steuerung sicherheitskritischer Anwendungen
FR2790857B1 (fr) 1999-03-12 2001-09-07 Siemens Automotive Sa Systeme de securite pour vehicule automobile
US6772367B1 (en) * 1999-10-13 2004-08-03 Board Of Regents, The University Of Texas System Software fault tolerance of concurrent programs using controlled re-execution
DE10006206A1 (de) * 2000-02-11 2001-08-30 Daimler Chrysler Ag Elektronisches Steuersystem
JP3636031B2 (ja) * 2000-04-28 2005-04-06 株式会社デンソー 電子制御装置内のマイクロコンピュータ監視方法
US7017073B2 (en) * 2001-02-28 2006-03-21 International Business Machines Corporation Method and apparatus for fault-tolerance via dual thread crosschecking
US6760653B2 (en) 2001-05-15 2004-07-06 Trw Inc. Electric power assisted steering system having a single integrated circuit with two processors
ITSV20020018A1 (it) * 2002-05-03 2003-11-03 Alstom Transp Spa Dispositivo di elaborazione o comando operante in sicurezza intrinseca
US20050240806A1 (en) * 2004-03-30 2005-10-27 Hewlett-Packard Development Company, L.P. Diagnostic memory dump method in a redundant processor
US7426656B2 (en) * 2004-03-30 2008-09-16 Hewlett-Packard Development Company, L.P. Method and system executing user programs on non-deterministic processors
US20060020852A1 (en) * 2004-03-30 2006-01-26 Bernick David L Method and system of servicing asynchronous interrupts in multiple processors executing a user program
DE102005037222A1 (de) * 2004-10-25 2007-02-15 Robert Bosch Gmbh Verfahren und Vorrichtung zur Auswertung eines Signals eines Rechnersystems mit wenigstens zwei Ausführungseinheiten
EP1672505A3 (en) * 2004-12-20 2012-07-04 BWI Company Limited S.A. Fail-silent node architecture
US8095549B2 (en) * 2005-10-05 2012-01-10 Intel Corporation Searching for strings in messages
DE102007029116A1 (de) 2007-06-25 2009-01-02 Continental Automotive Gmbh Verfahren zum Betreiben eines Mikrocontrollers und einer Ausführungseinheit sowie ein Mikrocontroller und eine Ausführungseinheit
JP4408921B2 (ja) 2007-08-22 2010-02-03 株式会社デンソー 電子機器
US8352795B2 (en) * 2009-02-11 2013-01-08 Honeywell International Inc. High integrity processor monitor
JP5662181B2 (ja) * 2011-02-01 2015-01-28 株式会社ケーヒン 移動体の電子制御装置
JP2014106145A (ja) * 2012-11-28 2014-06-09 Denso Corp 電池監視装置
US11151002B2 (en) * 2019-04-05 2021-10-19 International Business Machines Corporation Computing with unreliable processor cores
JP2020192883A (ja) * 2019-05-28 2020-12-03 日立オートモティブシステムズ株式会社 制動機構の電子制御システム

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3618015A (en) * 1970-06-30 1971-11-02 Gte Automatic Electric Lab Inc Apparatus for discriminating between errors and faults
US3810119A (en) * 1971-05-04 1974-05-07 Us Navy Processor synchronization scheme
FR2182259A5 (ja) * 1972-04-24 1973-12-07 Cii
DE3003291C2 (de) * 1980-01-30 1983-02-24 Siemens AG, 1000 Berlin und 8000 München Zweikanalige Datenverarbeitungsanordnung für Eisenbahnsicherungszwecke
GB2105492B (en) * 1981-09-05 1985-03-06 Lucas Ind Plc A duplicated computer control system
EP0096510B1 (en) * 1982-06-03 1988-07-27 LUCAS INDUSTRIES public limited company Control system primarily responsive to signals from digital computers
JPS5913447A (ja) * 1982-07-14 1984-01-24 Hitachi Ltd 分散処理システムの処理方法
JPS5958560A (ja) * 1982-09-28 1984-04-04 Japanese National Railways<Jnr> デ−タ処理装置の診断方式
US4566101A (en) * 1983-02-28 1986-01-21 United Technologies Corporation Oscillatory failure monitor
DE3518105A1 (de) * 1985-05-21 1986-11-27 Alfred Teves Gmbh, 6000 Frankfurt Verfahren und schaltungsanordnung zur unterdrueckung von kurzzeitigen stoerungen
JPS61290566A (ja) * 1985-06-19 1986-12-20 Hitachi Ltd マルチネツトワ−クシステム故障診断方法
DE3621106C2 (de) * 1986-06-24 1995-03-23 Vdo Schindling Verfahren zur ON-LINE-Verarbeitung gleicher Eingabegrößen mittels zweier Prozessoren
US4792955A (en) * 1986-08-21 1988-12-20 Intel Corporation Apparatus for on-line checking and reconfiguration of integrated circuit chips
US4843608A (en) * 1987-04-16 1989-06-27 Tandem Computers Incorporated Cross-coupled checking circuit

Also Published As

Publication number Publication date
DE3854044T2 (de) 1995-10-26
JPH02138642A (ja) 1990-05-28
GB8729901D0 (en) 1988-02-03
EP0322141B1 (en) 1995-06-21
DE3854044D1 (de) 1995-07-27
US5016249A (en) 1991-05-14
EP0322141A2 (en) 1989-06-28
EP0322141A3 (en) 1991-03-13

Similar Documents

Publication Publication Date Title
JP2901258B2 (ja) デュアル・コンピュータ相互点検システム
JP4870255B2 (ja) 制御ユニットの相互監視のための方法並びに装置
US4493210A (en) Anti-block control system test
US4554461A (en) Information transmitting apparatus
US5713643A (en) Control circuit for automotive vehicle motion control systems
JPS60144851A (ja) チヤネル制御装置
JP3249138B2 (ja) 計算ユニットの機能性を検査する方法
US20050225165A1 (en) Brake by-wire control system
JP2000145533A (ja) 車両用電子制御装置
JPS59194204A (ja) プログラム可能な自動制御装置の安全動作を保証する方法およびこれを行なう自動制御装置
JP3463426B2 (ja) ソレノイド駆動回路の診断装置
JPH0991034A (ja) 電子制御ユニット
EP0687605B1 (en) Two state to three state emulator process and apparatus
JPH02250124A (ja) 車載用電子制御装置の誤動作防止方法
JP2885800B2 (ja) 二重系処理装置
JPH06245280A (ja) 情報伝送装置
JPS6184936A (ja) 遠方監視制御システム
JPS6398242A (ja) 直列データ交換装置
JPH11312014A (ja) 制御装置の故障判定方法及びその装置
JP2647128B2 (ja) デジタル保護リレー装置およびその自動点検方法
JPH0619810A (ja) 二重化装置
JPH0444762B2 (ja)
JP3259446B2 (ja) ディジタルリレーの動作試験回路
JP2770494B2 (ja) 二重化制御ユニット
JPS6166497A (ja) デツドロツク認識方法

Legal Events

Date Code Title Description
R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees