JP3427538B2 - 二重化された制御システム - Google Patents

二重化された制御システム

Info

Publication number
JP3427538B2
JP3427538B2 JP01107095A JP1107095A JP3427538B2 JP 3427538 B2 JP3427538 B2 JP 3427538B2 JP 01107095 A JP01107095 A JP 01107095A JP 1107095 A JP1107095 A JP 1107095A JP 3427538 B2 JP3427538 B2 JP 3427538B2
Authority
JP
Japan
Prior art keywords
control unit
switching
state
signal
controlled device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP01107095A
Other languages
English (en)
Other versions
JPH08202572A (ja
Inventor
秀彦 西窪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Electric Works Co Ltd
Original Assignee
Matsushita Electric Works Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Works Ltd filed Critical Matsushita Electric Works Ltd
Priority to JP01107095A priority Critical patent/JP3427538B2/ja
Publication of JPH08202572A publication Critical patent/JPH08202572A/ja
Application granted granted Critical
Publication of JP3427538B2 publication Critical patent/JP3427538B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Hardware Redundancy (AREA)
  • Safety Devices In Control Systems (AREA)

Description

【発明の詳細な説明】
【0001】
【産業上の利用分野】本発明は二重化された制御システ
ムに関するものであり、マイクロコンピュータを制御部
に用いて特に高信頼性が要求されるシステムにおいて、
システムの心臓部に相当する制御部のみに二重化構成が
用いられた場合における制御部の切替に関するものであ
る。
【0002】
【従来の技術】高信頼性が要求されるシステムでは、障
害対策の一つとして二重化構成が用いられる。完全な二
重化を実現する場合には、同一のシステムを二台用いれ
ば良いが、これはハードウェア量が多くなり、コスト高
となる問題が生じる。また、システムによっては、人間
によるマニュアル入力操作にてシステムの動作制御を行
うものもある。このようなシステムに完全な二重化構成
を用いた場合には、当然、操作部も二重化されるので、
入力操作を二回行う必要があり、操作性の悪いシステム
になってしまう。つまり、システムによっては何らかの
理由により完全な二重化を実現できないシステムもあ
る。このようなシステムでは、どこまで二重化するかが
ポイントになる。
【0003】従来、図23に示されるように、ループ状
伝送処理システムを構成するマスタ局Mおよび複数のリ
モート局R1,R2を二重化構成することにより、何れ
かの局がダウンした場合でもマスタ局Mにより他方の局
に切り替えることにより、その機能を代行させることが
提案されている(特開昭57−65940号)。リモー
ト局R1とR2は、それぞれ開閉手段SW1,SW2を
介して伝送ラインに接続されている。開閉手段SW1,
SW2はマスタ局Mによりいずれか一方が信号伝送状
態、他方が信号遮断状態となるように制御される。各リ
モート局R1,R2はマスタ局Mによる異常監視に応じ
て自己診断結果を返送する。この方法で二重化構成を実
現する場合、制御部の他に、制御部を監視又は切り替え
るためのマスタ部が必要になる。つまり、二重化構成用
のマイクロコンピュータの他に余分なマイクロコンピュ
ータが一つ必要となり、部品点数が増えて、その分、コ
スト高になってしまう。
【0004】また、図24に示されるように、CPUを
電子交換システムのような高信頼性が要求される二重化
構成システムに適用する場合、共通バスを簡単なハード
ウェアで構成されたバス制御回路(BCTL)で結合
し、両共通バスを通して他の被制御部にアクセス制御す
ることを可能にすることにより、CPU間の交絡用回路
を簡単化することが提案されている(特開昭56−80
722号)。この方法で二重化構成を実現する場合、特
別なハードウェアを設けることなく、数チップの低価格
なICを使用して、高信頼性の二重化構成を実現するこ
とができる。しかしながら、仮にCPU10だけが暴走
した場合、暴走したCPU10が正常なCPU20側の
メモリ12を共通バスを介してアクセスし、正常なメモ
リ12を破壊する恐れがある。
【0005】
【発明が解決しようとする課題】本発明は上述のような
点に鑑みてなされたものであり、その目的とするところ
は、システムの心臓部にあたるマイクロコンピュータ及
びROM・RAMで構成される制御部のみを二重化する
ことにより、二重化の部分を最小限に抑え、安価で信頼
性の高い二重化構成を実現することにある。
【0006】
【課題を解決するための手段】本発明によれば、上記の
課題を解決するために、図1に示すように、第1及び第
2の制御部1,2と、第1の制御部1の入出力信号S1
と第2の制御部2の入出力信号S2を切り替えるための
切替制御回路3と、切替制御回路3で選択された第3の
入出力信号S3により制御可能な被制御装置4とで構成
されるシステムにおいて、外部入力信号Sxの状態変化
に応じて第1又は第2の制御部1,2から出力される切
替要求信号C1,C2に同期して第3の入出力信号S3
を切り替えるように構成したものであり、また、図6
示すように、現在、第3の入出力信号S3が選択してい
る制御部の入出力信号S1,S2の選択状態を知らせる
信号Syを第1及び第2の制御部1,2に入力すると共
に、第1及び第2の制御部1,2から出力される切替延
長要求信号d1,d2を切替制御回路3に入力して、外
部入力信号Sxの状態変化時における、状態変化前の被
制御装置4のアクセス権がある制御部1,2の被制御装
置4に対するアクセス状態に応じて第3の入出力信号S
3を切り替える時間を変化させる制御を行うことを特徴
とするものである。また、図10に示すように、外部入
力信号Sxの状態変化時における第1又は第2の制御部
1,2の動作状態に合わせて切替要求信号C1,C2を
出力するタイミングを変更する制御を行うために、互い
の制御部1,2が被制御装置4をアクセスしているか否
かを確認又は相手側の制御部2,1に知らせることがで
きる監視部6を設けたことを特徴とするものである。さ
らに、図14に示すように、外部入力信号Sxの状態変
化時における状態変化前の被制御装置4へのアクセス権
を有する制御部の動作状態が異常であると判断した場合
に第3の入出力信号S3を強制的に切り替えるために、
制御部1,2が外部入力信号Sxの状態変化を認識した
か否かを確認又は相手側の制御部2,1に知らせる手段
を前記監視部6に追加することが好ましい。また、図1
7に示すように、互いの制御部1,2がアクセス可能な
メモリ13を監視部に備えることが好ましい。さらに、
図19に示すように、第1の制御部1のみがアクセス可
能な第1のメモリ11と、第2の制御部2のみがアクセ
ス可能な第2のメモリ12とを備え、外部入力信号Sx
の状態変化後に被制御装置4のアクセス権が発生した制
御部が、状態変化前と同じ状態から被制御装置4を制御
するために最低限必要なデータを、被制御装置4のアク
セス権が有る制御部のメモリから、アクセス権の無い制
御部のメモリへ転送する手段を設けても良い。
【0007】
【作用】図1の構成によれば、制御部を監視又は切り替
えるための余分なマイクロコンピュータを使用しなくて
も、制御部用のマイクロコンピュータだけで二重化構成
を実現することができる。また、図6、図10、図1
4、図17の各構成によれば、制御部の切替え要求が発
生したときの制御部の被制御装置のアクセス状態又は動
作状態に応じて、制御部を効率良く切り替えることがで
きる。また、図19の構成によれば、ソフトウェア的な
バグにより、二重化された制御部が同時に暴走すること
がない。また、暴走した制御部が正常に動作している制
御部のメモリを破壊することがない。
【0008】
【実施例】本発明の第1実施例の構成を図1に示す。
こでは、本発明の基本的な構成について説明する。本実
施例のシステムは、制御部1及び制御部2と、制御部1
及び制御部2の入出力信号S1及びS2を切り替えるた
めの切替制御回路3と、切替制御回路3で選択された入
出力信号S3にて制御可能な被制御装置4とで構成され
ている。制御部1及び制御部2は切替制御回路3を介し
て被制御装置4をアクセスすることが可能である。ただ
し、被制御装置4をアクセスできる制御部は、どちらか
一方である。つまり、本構成では、或る条件に応じて被
制御装置4をアクセスする制御部1,2を切り替えて使
用するものである。或る条件とは、図中に示されている
外部入力信号Sxの状態により決まる。この外部入力信
号Sxとは、2値状態(Highレベル又はLowレベ
ル)が判別可能な信号である。本実施例の構成では、こ
の外部入力信号SxがHighレベルの場合には第1の
制御部1、Lowレベルの場合には第2の制御部2が被
制御装置4をアクセスする権利を有するものとする。ま
た、外部入力信号Sxは制御部1,2にマイクロコンピ
ュータを使用した場合、マイクロコンピュータの入力ポ
ートPiと切替制御回路3にそれぞれ入力される。マイ
クロコンピュータは、入力ポートPiにより被制御装置
4のアクセス権がどちらの制御部にあるかを判断するこ
とができる。また、マイクロコンピュータの出力ポート
Poと切替制御回路3は接続されていて、この出力ポー
トPoを通じてマイクロコンピュータから切替要求信号
C1,C2が切替制御回路3に出力される。この切替要
求信号C1及びC2は、被制御装置4のアクセス権があ
るマイクロコンピュータの場合にはLowレベル、そう
でないマイクロコンピュータの場合にはHighレベル
が出力される。切替制御回路3は、この切替要求信号C
1及びC2及び外部入力信号Sxの状態に応じて入出力
信号S3を切り替える。
【0009】次に、切替制御回路3の構成及び動作につ
いて説明する。図2に本実施例における切替制御回路3
の構成を、図3に本実施例における動作タイムチャート
を示す。本実施例における切替制御回路3は、図2に示
すように、外部入力信号Sxの反転出力と制御部1から
出力される切替要求信号C1とを入力とするゲートG1
と、外部入力信号Sxと制御部2から出力される切替要
求信号C2を入力とするゲートG2と、ゲートG1の出
力とゲートG2の出力を入力とするフリップフロップF
1、及びフリップフロップF1のQ出力とQ’出力によ
り制御される二つのスイッチ手段SW1,SW2で構成
されている。また、フリップフロップF1は表1に示し
た真理値表で示されるように動作する。
【0010】
【表1】
【0011】図3は外部入力信号Sxにより制御部1か
ら制御部2へ切替要求が発生した場合のタイムチャート
図である。図3の時間T10以前では、外部入力信号S
xの状態がHighレベルなので、被制御装置4のアク
セス権は制御部1にある。このため、制御部1,2のマ
イクロコンピュータの出力ポートPoを通じて切替制御
回路3に出力される切替要求信号C1はLowレベル、
切替要求信号C2はHighレベルとなっている。時間
T10で外部入力信号Sxの状態がHighレベルから
Lowレベルに変化し、制御部1から制御部2へ切替要
求が発生する。この外部入力信号Sxの状態変化は、制
御部1,2のマイクロコンピュータの入力ポートPiに
より常時、制御部1,2が監視しているので、制御部
1,2は時間T10で外部入力信号Sxの状態変化を認
識することができる。制御部1は外部入力信号Sxの変
化により被制御装置4のアクセス権を制御部2へ明け渡
すため、切替要求信号C1をLowレベルからHigh
レベルに切り替える。つまり、切替要求信号C1をOF
F状態にする(時間T11)。制御部2は外部入力信号
Sxの変化により被制御装置4のアクセス権が発生した
ため、切替要求信号C2はHighレベルからLowレ
ベルに変化する。つまり、切替要求信号C2をON状態
にする(時間T12)。
【0012】外部入力信号Sx及び切替要求信号C1,
C2が時間T10〜T12で上記のように変化した場
合、切替制御回路3は次のように動作する。 (a)時間T10以前では、外部入力信号SxがHig
hレベル、切替要求信号C1がLowレベル、切替要求
信号C2がHighレベルなので、ゲートG1の出力
(フリップフロップF1のセット入力S)はLowレベ
ル、ゲートG2の出力(フリップフロップF1のリセッ
ト入力R)はHighレベルとなり、フリップフロップ
F1のQ出力はHighレベル、フリップフロップF1
のQ’出力はLowレベルとなり、入出力信号S1と入
出力信号S3を接続するスイッチSW1がON、入出力
信号S2と入出力信号S3を接続するスイッチSW2が
OFFとなり、入出力信号S3には入出力信号S1が接
続される。
【0013】(b)時間T11では、外部入力信号Sx
がLowレベル、切替要求信号C1がHighレベル、
切替要求信号C2がHighレベルなので、ゲートG1
の出力(フリップフロップF1のセット入力S)はHi
ghレベル、ゲートG2の出力(フリップフロップF1
のリセット入力R)はHighレベルとなり、フリップ
フロップF1のQ出力及びQ’出力は変化しないので、
入出力信号S3には入出力信号S1が接続されたままで
ある。
【0014】(c)時間T12では、外部入力信号Sx
がLowレベル、切替要求信号C1がHighレベル、
切替要求信号C2がLowレベルなので、ゲートG1の
出力(フリップフロップF1のセット入力S)はHig
hレベル、ゲートG2の出力(フリップフロップF1の
リセット入力R)はLowレベルとなり、フリップフロ
ップF1のQ出力はLowレベル、フリップフロップF
1のQ’出力はHighレベルとなり、入出力信号S1
と入出力信号S3を接続するスイッチSW1がOFF、
入出力信号S2と入出力信号S3を接続するスイッチS
W2がONとなり、入出力信号S3には入出力信号S2
が接続される。
【0015】つまり、被制御装置4のアクセス権がある
制御部からの切替要求信号に同期して切替制御回路3は
入出力信号S3を切り替えることができる。このような
構成を採ることにより、制御部1,2を監視又は切り替
えるための余分なマイクロコンピュータを使用しなくて
も、制御部用のマイクロコンピュータだけで二重化構成
を実現することができる。
【0016】本発明の第2実施例の構成を図4に示す。
ここでは、本発明の付加的な構成について説明する。
実施例のシステムは、マイクロコンピュータから出力さ
れる切替要求信号C1及びC2を所定時間t0(制御部
1,2が被制御装置4をアクセスする最大時間)分遅ら
せて、遅延切替要求信号C1d及びC2dを出力するデ
ィレイ回路5が新たに追加されている。本構成における
概要は、第1実施例とほぼ同じであるが、マイクロコン
ピュータから出力される切替要求信号C1,C2をディ
レイ回路5により所定時間t0遅らせてから、入出力信
号S3を切り替える。切替制御回路3の構成は、図2に
示す通りであり、第1実施例と同じである。
【0017】また、動作タイムチャートも図3におい
て、切替要求信号C1がC1dに、切替要求信号C2が
C2dになるだけで、切替制御回路3での動作は第1実
施例と同じになる。ただし、制御部から見ると、切替要
求信号をONしてから所定時間t0遅れて入出力信号S
3が切り替わることにより、例えば、図5のように外部
入力信号Sxの状態変化時において、状態変化前の被制
御装置4のアクセス権がある制御部1が被制御装置4を
アクセスしている場合でも、外部入力信号Sxの状態変
化から制御部1が被制御装置4をアクセスする最大時間
t0以上遅れて入出力信号S3が切り替わるので、被制
御装置4のアクセス中に制御部1,2が切り替わること
がない。つまり、制御部1,2が切り替わった直後で
も、被制御装置4が中途半端な状態でなく、必ず被制御
装置4は初期状態で制御部が切り替わることになる。ま
た、切替直後の制御部が被制御装置4をイニシャルする
必要もなくなる。
【0018】本発明の第3実施例の構成を図6に示す。
本実施例では、第1実施例の構成に加えて、マイクロコ
ンピュータの出力ポートPdから切替延長要求信号d1
及びd2が出力され、切替制御回路3に新たに追加接続
されている。また、現在、切替制御回路3において、入
出力信号S3が選択している入出力信号S1又はS2の
選択状態を知らせる状態信号Syが切替制御回路3とマ
イクロコンピュータの入力ポートPyに新たに追加接続
されている。すなわち、本実施例における概要は第1実
施例に切替延長要求信号d1,d2及び状態信号Syを
追加することにより、外部入力信号Sxの状態変化時に
おける、状態変化前の被制御装置4のアクセス権がある
制御部の被制御装置4のアクセス状態に応じて入出力信
号S3を切り替えるものである。
【0019】ここで、切替延長要求信号d1及びd2
は、通常Highレベル(切替延長要求信号OFF)が
出力されているが、外部入力信号Sxの変化時におい
て、状態変化前の被制御装置4のアクセス権がある制御
部が被制御装置4をアクセスしている場合には、被制御
装置4のアクセス権を被制御装置4のアクセスが終了す
るまで、切替制御回路3に対して被制御装置4のアクセ
ス権の延長要求をする場合のみ、Lowレベル(切替延
長要求信号ON)が出力される。また、状態信号Syは
現在、入出力信号S3とS1が接続されている場合には
Highレベル、入出力信号S3とS2が接続されてい
る場合にはLowレベルが出力される。
【0020】本実施例における切替制御回路3の構成を
図7に示す。この構成では、第1実施例(図2)の構成
に切替延長要求信号d1及びd2が切替制御回路3の入
力として追加されており、その反転入力がそれぞれゲー
トG3及びゲートG4の入力となる。また、状態信号S
yが切替制御回路3の出力として追加され、フリップフ
ロップF3のQ出力が状態信号Syとなる。
【0021】図8は外部入力信号Sxにより制御部1か
ら制御部2へ切替要求が発生したときに、制御部1が被
制御装置4をアクセスしている場合のタイムチャート図
である。時間T30以前では外部入力信号Sxの状態が
Highレベルなので、被制御装置4のアクセス権は制
御部1にある。このため、制御部1のマイクロコンピュ
ータの出力ポートPoを通じて切替制御回路3に出力さ
れる切替要求信号C1はLowレベル、C2はHigh
レベルとなっている。また、切替延長要求信号d1及び
d2は通常レベルのHighレベル(切替延長要求信号
OFF)となっている。
【0022】時間T30で外部入力信号Sxの状態がH
ighレベルからLowレベルに変化し、制御部1から
制御部2へ切替要求が発生する。この外部入力信号Sx
の状態変化は、制御部のマイクロコンピュータの入力ポ
ートPiにより常時、制御部が監視しているので、制御
部は時間T30で外部入力信号Sxの状態変化を認識す
ることができる。このとき、制御部1は被制御装置4の
アクセス中なので、切替制御回路3に対して被制御装置
4のアクセス権の延長要求(ON)を発生するため、切
替延長要求信号d1をHighレベルからLowレベル
にする。つまり、切替延長要求信号d1をONにする
(時間T31)。制御部2は外部入力信号Sxにより被
制御装置4のアクセス権が発生したため、切替要求信号
C2をHighレベルからLowレベルにする。つま
り、切替要求信号C2をON状態にする(時間T3
2)。その後、制御部2は被制御装置4のアクセス権が
制御部2の側に移行したかどうかをマイクロコンピュー
タの入力ポートPyにて確認する。時間T33では状態
信号SyがHighレベルなので、被制御装置4のアク
セス権は制御部1のままである。したがって、制御部2
は被制御装置4のアクセスを保留する(時間T33)。
制御部1は被制御装置4のアクセスを終了した時点で、
切替延長要求信号d1をLowレベルからHighレベ
ルにする。つまり、切替延長要求信号d1をOFF状態
にする(時間T34)。制御部2は状態信号SyがLo
wレベルになったことで、被制御装置4のアクセス権が
制御部2の側に移行したことを認識する(時間T3
4)。時間T30〜T34での上記のような信号の変化
に対する切替制御回路3の動作は、次の通りである。
【0023】(a)時間T30以前では、外部入力信号
SxがHighレベル、切替要求信号C1がLowレベ
ル、C2がHighレベル、切替延長要求信号d1がH
ighレベル、d2がHighレベルなので、ゲートG
3の出力(フリップフロップF3のセット入力S)はL
owレベル、ゲートG4の出力(フリップフロップF3
のリセット入力R)はHighレベルとなり、フリップ
フロップF3のQ出力はHighレベル、フリップフロ
ップF3のQ’出力はLowレベルとなり、入出力信号
S1と入出力信号S3を接続するスイッチSW1がO
N、入出力信号S2と入出力信号S3を接続するスイッ
チSW2がOFFとなり、入出力信号S3には入出力信
号S1が接続されている。また、状態信号Syとして
は、Highレベルが出力される。
【0024】(b)時間T31では、外部入力信号Sx
がLowレベル、切替要求信号C1がLowレベル、C
2がHighレベル、切替延長要求信号d1がLowレ
ベル、d2がHighレベルなので、ゲートG3の出力
(フリップフロップF3のセット入力S)はHighレ
ベル、ゲートG4の出力(フリップフロップF3のリセ
ット入力R)はHighレベルとなり、フリップフロッ
プF3のQ出力はHighレベル、フリップフロップF
3のQ’出力はLowレベルのままとなり、入出力信号
S3には入出力信号S1が接続されたままになる。ま
た、状態信号Syとしては、Highレベルが出力され
たままになる。
【0025】(c)時間T32及びT33では、外部入
力信号SxがLowレベル、切替要求信号C1がLow
レベル、C2がLowレベル、切替延長要求信号d1が
Lowレベル、d2がHighレベルなので、ゲートG
3の出力(フリップフロップF3のセット入力S)はH
ighレベル、ゲートG4の出力(フリップフロップF
3のリセット入力R)はHighレベルとなり、フリッ
プフロップF3のQ出力はHighレベル、フリップフ
ロップF3のQ’出力はLowレベルのままとなり、入
出力信号S3には入出力信号S1が接続されたままにな
る。また、状態信号SyもHighレベルが出力された
ままになる。
【0026】(d)時間T34では、外部入力信号Sx
がLowレベル、切替要求信号C1がHighレベル、
C2がLowレベル、切替延長要求信号d1がHigh
レベル、d2がHighレベルなので、ゲートG3の出
力(フリップフロップF3のセット入力S)はHigh
レベル、ゲートG4の出力(フリップフロップF3のリ
セット入力R)はLowレベルとなり、フリップフロッ
プF3のQ出力はLowレベル、フリップフロップF3
のQ’出力はHighレベルとなり、入出力信号S1と
入出力信号S3を接続するスイッチSW1がOFF、入
出力信号S2と入出力信号S3を接続するスイッチSW
2がONとなり、入出力信号S3には入出力信号S2が
接続されている。また、状態信号SyはHighレベル
からLowレベルに変化する。
【0027】つまり、外部入力信号Sxの状態変化時に
おいて、状態変化前の被制御装置4のアクセス権がある
制御部が被制御装置4をアクセスしている場合、被制御
装置4のアクセス中の制御部は切替制御回路3に対して
切替延長要求信号をONすることにより、制御部は被制
御装置4に対する制御を終了するまで被制御装置4をア
クセスすることができる。その後、制御部は切替延長要
求信号をOFFすることにより切替制御回路3に対して
被制御装置4のアクセスを終了したことを知らせ、切替
制御回路3はこのタイミングで入出力信号S3を切り替
えることができる。また、外部入力信号Sxの状態変化
により被制御装置4のアクセス権が発生した制御部は、
切替制御回路3より出力される状態信号Syにて、切替
要求信号をONしてから被制御装置4のアクセス権が移
行するまでの状態を知ることができる。
【0028】図9は外部入力信号Sxにより制御部1か
ら制御部2へ切替要求が発生したときに、制御部1が被
制御装置4をアクセスしていない場合のタイムチャート
図である。図9の時間T36以前では、外部入力信号S
xの状態がHighレベルなので、被制御装置4のアク
セス権は制御部1にある。このため、制御部のマイクロ
コンピュータの出力ポートPoを通じて切替制御回路3
に出力される切替要求信号C1はLowレベル、C2は
Highレベルとなっている。また、切替延長要求信号
d1及びd2は通常レベルのHighレベル(切替延長
要求信号OFF)となっている。時間T36で外部入力
信号Sxの状態がHighレベルからLowレベルに変
化し、制御部1から制御部2へ切替要求が発生する。こ
の外部入力信号Sxの状態変化は、制御部のマイクロコ
ンピュータの入力ポートPiにより、常時、制御部が監
視しているので、制御部は時間T36で外部入力信号S
xの状態変化を認識することができる。
【0029】このとき、制御部1は被制御装置4のアク
セスを行っていないので、切替延長要求信号d1はHi
ghレベル(切替延長要求信号OFF)のままである
(時間T36)。制御部2は外部入力信号Sxにより被
制御装置4のアクセス権が発生したため、切替要求信号
C2をHighレベルからLowレベル(切替要求信号
をON)にした時点(時間T37)での切替制御回路3
の動作は、外部入力信号SxがLowレベル、切替要求
信号C1がHighレベル、C2がLowレベル、切替
延長要求信号d1がHighレベル、d2がHighレ
ベルなので、ゲートG3の出力(フリップフロップF3
のセット入力S)はHighレベル、ゲートG4の出力
(フリップフロップF3のリセット入力R)はLowレ
ベルとなり、フリップフロップF3のQ出力はLowレ
ベル、フリップフロップF3のQ’出力はHighレベ
ルとなり、入出力信号S1と入出力信号S3を接続する
スイッチSW1がOFF、入出力信号S2と入出力信号
S3を接続するスイッチSW2がONとなり、入出力信
号S3には入出力信号S2が接続される。また、状態信
号SyはHighレベルからLowレベルに変化する。
つまり、外部入力信号Sxの状態変化時において、状態
変化前の被制御装置4のアクセス権がある制御部が被制
御装置4をアクセスしていない場合、被制御装置4のア
クセス権が発生した制御部が切替要求信号をONした時
点で入出力信号S3を切り替えることができる。このよ
うな構成により、外部入力信号Sxの状態変化時におけ
る状態変化前の被制御装置4のアクセス権がある制御部
の被制御装置4のアクセス状態に応じて、入出力信号S
3を効率良く切り替えることができる。
【0030】本発明の第4実施例の構成を図10に示
す。本実施例は、第1実施例の構成に、お互いの制御部
1,2が被制御装置4のアクセス状態を確認又は相手側
の制御部に知らせることができる監視部6が新たに追加
されている。また、切替制御回路3の構成は、図2に示
した第1実施例と同じである。本構成における概要は、
第3実施例の切替延長要求信号d1,d2及び状態信号
Syを監視部6に置き換えることにより、状態変化前の
被制御装置4のアクセス権がある制御部の被制御装置4
のアクセス状態に応じて、制御部から切替制御回路3に
出力する切替要求信号のタイミングを変えるものであ
る。
【0031】本実施例では、図10に示すように、制御
部1の側のマイクロコンピュータの出力ポートPsと相
手側マイクロコンピュータの入力ポートPnとを接続
し、同様に、制御部2のマイクロコンピュータの出力ポ
ートPsと相手側マイクロコンピュータの入力ポートP
nとを接続することにより監視部6を構成している。こ
のマイクロコンピュータの出力ポートPsからの情報が
被制御装置4のアクセス状態に相当し、制御部が被制御
装置4をアクセスしていない場合にはHighレベル、
制御部が被制御装置4をアクセスしている場合にはLo
wレベルとなる。図11は制御部1及び2による被制御
装置4のアクセス状態を示している。図中、Ps=Lは
制御部のポートPsがLowレベル、Ps=Hは制御部
のポートPsがHighレベルであることを示す。
【0032】図12は外部入力信号Sxにより制御部1
から制御部2へ切替要求が発生したときに、制御部1が
被制御装置4をアクセスしていない場合のタイムチャー
ト図である。図12の時間T42以前では外部入力信号
Sxの状態がHighレベルなので、被制御装置4のア
クセス権は制御部1にある。時間T40からT41で
は、制御部1が被制御装置4の制御を行うため、被制御
装置4をアクセスした場合の監視部6の制御の様子を示
す。時間T40で制御部1が被制御装置4をアクセスし
ている状態に設定するため、制御部1のポートPsをL
owレベル(Ps1=L)にする。時間T41で制御部
1が被制御装置4をアクセスしていない状態に設定する
ため、制御部1のポートPsをHighレベル(Ps1
=H)にする。時間T42で外部入力信号Sxの状態が
HighレベルからLowレベルに変化し、制御部1か
ら制御部2へ切替要求が発生する。この外部入力信号S
xの状態変化は、制御部のマイクロコンピュータの入力
ポートPiにより常時、制御部が監視しているので、制
御部は時間T42で外部入力信号Sxの状態変化を認識
することができる。制御部2は、時間T44で入力ポー
トPnがHighレベル(Pn2=H)なので、制御部
1が被制御装置4をアクセスしていないことを確認する
ことができる。このタイミングで、制御部2は切替要求
信号C2をHighレベルからLowレベル(切替要求
信号をON)にする(時間T44)。以下、切替制御回
路3での動作は、第1実施例と同じになるので、省略す
る。
【0033】図13は外部入力信号Sxにより制御部1
から制御部2へ切替要求が発生したときに、制御部1が
被制御装置4をアクセスしている場合のタイムチャート
図である。図13の時間T51以前では、外部入力信号
Sxの状態がHighレベルなので、被制御装置4のア
クセス権は制御部1にある。時間T50からT54で
は、制御部1が被制御装置4の制御を行うため、被制御
装置4をアクセスした場合の監視部6の制御の様子を示
す。
【0034】時間T51で外部入力信号Sxの状態がH
ighレベルからLowレベルに変化し、制御部1から
制御部2へ切替要求が発生する。この外部入力信号Sx
の状態変化は、制御部のマイクロコンピュータの入力ポ
ートPiにより常時、制御部が監視しているので、制御
部は時間T51で外部入力信号Sxの状態変化を認識す
ることができる。時間T50〜T54の制御部2の入力
ポートPnがLowレベル(Pn2=L)なので、制御
部2は入力ポートPnがHighレベル(Pn2=H)
になるまで切替要求信号C2をHighレベル(切替要
求信号をOFF)のままで待つ。時間T54で制御部1
は被制御装置4に対する制御を終了し、被制御装置4を
アクセスしていない状態に設定するため、実施例では制
御部1のポートPsをHighレベル(Ps1=H)に
する。時間T55で制御部2は、入力ポートPnがHi
ghレベル(Pn2=H)なので、制御部1が被制御装
置4をアクセスを終了したことが確認できる。このタイ
ミングで、制御部2は切替要求信号C2をHighレベ
ルからLowレベル(切替要求信号をON)にする(時
間T55)。切替制御回路3での動作は、上記実施例と
同じになるので、省略する。つまり、外部入力信号Sx
の状態変化時において、被制御装置4のアクセス権が発
生した制御部は、監視部6により状態変化前の被制御装
置4のアクセス権がある制御部のアクセス状態を確認す
ることができるので、切替要求信号をONするタイミン
グを次のように変えることができる。 被制御装置4をアクセスしていない場合には、即座に
切替要求信号をON、 被制御装置4をアクセスしている場合には、被制御装
置4をアクセスが終了するまで、切替要求信号ONを保
留する。
【0035】このような構成により、外部入力信号Sx
の状態変化時における、状態変化前の被制御装置4のア
クセス権がある制御部の被制御装置4のアクセス状態に
おいて、入出力信号S3を効率良く切り替えることがで
きる。
【0036】本発明の第5実施例の構成を図14に示
す。本実施例は、請求項4の構成に、お互いの制御部が
図15に記した切替待機状態を確認又は相手側の制御に
知らせることができる監視部6が新たに追加されてい
る。切替制御回路3の構成は、第1実施例(図2)と同
じである。本構成における概要は第4実施例と同様に、
状態変化前の被制御装置4のアクセス権がある制御部の
被制御装置4のアクセス状態に応じて、制御部から切替
制御回路3に出力する切替要求信号の状態変化時におけ
る、状態変化前の被制御装置4のアクセス権がある制御
部の動作状態が異常であると判断した場合に、入出力信
号S3を強制的に切り替えることができる。
【0037】本実施例では、図14に示すように、請求
項4の監視部6の構成に加えて、制御部1側のマイクロ
コンピュータの出力ポートPdと相手側制御部2のマイ
クロコンピュータの入力ポートPcとを接続し、同様
に、制御部2のマイクロコンピュータの出力ポートPd
と相手側制御部1のマイクロコンピュータの入力ポート
Pcとが新たに追加接続されている。このマイクロコン
ピュータの出力ポートPdからの情報が切替待機状態を
表すものであり、通常はHighレベル(初期状態)に
設定されており、制御部が入力ポートPiにて外部入力
信号Sxの状態変化を認識した場合にはLowレベルと
なる。状態変化の認識後、所定時間t0(制御部が被制
御装置4をアクセスする最大時間)以上経過した時点で
初期状態(Highレベル)に復帰させる。また、図1
5のPd=Hは制御部1又は2のポートPdがHigh
レベル、Pd=Lは制御部1又は2のポートPdがLo
wレベルの状態に相当することになる。入力ポートPn
及び出力ポートPsについては、第4実施例と全く同じ
動作をするので、省略する。
【0038】図12は外部入力信号Sxにより制御部1
から制御部2へ切替要求が発生したときに、制御部1が
被制御装置4をアクセスしていない場合(外部入力信号
Sxの状態変化時における状態変化前の被制御装置4の
アクセス権がある制御部の動作状態が正常であると判断
した場合)のタイムチャート図である。図12の時間T
42以前では、外部入力信号Sxの状態がHighレベ
ルなので、被制御装置4のアクセス権は制御部1にあ
る。時間T40からT41は制御部1が被制御装置4の
制御を行うため、被制御装置4をアクセスした場合の監
視部6の制御の様子を示す。時間T40で被制御装置4
をアクセスしている状態に設定するため、制御部1のポ
ートPsをLowレベル(Ps1=L)にする。時間T
41で被制御装置4をアクセスしていない状態に設定す
るため、制御部1のポートPsをHighレベル(Ps
1=H)にする。時間T42で外部入力信号Sxの状態
がHighレベルからLowレベルに変化し、制御部1
から制御部2へ切替要求が発生する。この外部入力信号
Sxの状態変化は、制御部のマイクロコンピュータの入
力ポートPiにより常時、制御部が監視しているので、
制御部が正常に動作している場合には、時間T42で外
部入力信号Sxの状態変化を認識することができる。制
御部1及び制御部2は時間T42で切替待機状態を外部
入力信号Sxの状態変化を認識した状態に設定するた
め、制御部のポートPdをLowレベル(Pd=L)に
する。制御部2は時間T43で入力ポートPcがLow
レベル(Pc=L)なので、制御部1が外部入力信号S
xの状態変化を認識していることになり、制御部1が正
常に動作していると判断する。次に、制御部2は、時間
T44で入力ポートPnがHighレベル(Pn1=
H)なので、制御部1が被制御装置4をアクセスしてい
ないことを確認することができる。このタイミングで、
制御部2は切替要求信号C2をHighレベルからLo
wレベル(切替要求信号をON)にする(時間T4
4)。以下、切替制御回路3での動作は、第1実施例と
同じになるので、省略する。時間T45は、外部入力信
号Sxの状態が変化した時間T42からt0時間(制御
部が被制御装置4をアクセスする最大時間)以上経過し
た時点である。制御部1及び制御部2は、時間T45で
切替待機状態を初期状態に設定するため、実施例では、
制御部のポートPdをHighレベル(Pd=H)にす
る。
【0039】図13は外部入力信号Sxにより制御部1
から制御部2へ切替要求が発生したときに、制御部1が
被制御装置4をアクセスしている場合(外部入力信号S
xの状態変化時における状態変化前の被制御装置4のア
クセス権がある制御部の動作状態が正常であると判断し
た場合)のタイムチャート図である。図13の時間T5
1以前では、外部入力信号Sxの状態がHighレベル
なので、被制御装置4のアクセス権は制御部1にある。
時間T50からT54は制御部1が被制御装置4の制御
を行うため、被制御装置4をアクセスした場合の監視部
6の制御の様子を示す。時間T51で外部入力信号Sx
の状態がHighレベルからLowレベルに変化し、制
御部1から制御部2へ切替要求が発生する。この外部入
力信号Sxの状態変化は、制御部のマイクロコンピュー
タの入力ポートPiにより常時、制御部が監視している
ので、制御部が正常に動作している場合には時間T51
で外部入力信号Sxの状態変化を認識することができ
る。制御部1及び制御部2は時間T52で切替待機状態
を外部入力信号Sxの状態変化を認識した状態に設定す
るため、制御部のポートPdをLowレベル(Pd=
L)にする。制御部2は時間T52で入力ポートPcが
Lowレベル(Pc=L)なので、制御部1が外部入力
信号Sxの状態変化を認識していることになり、制御部
1が正常に動作していると判断する。時間T50〜T5
4では、制御部2の入力ポートPnがLowレベル(P
n2=L)なので、制御部2は入力ポートPnがHig
hレベルで(Pn2=H)になるまで切替要求信号C2
をHighレベル(切替要求信号をOFF)のままで待
つ。時間T54で制御部1は被制御装置4に対する制御
を終了し、被制御装置4をアクセスしていない状態に設
定するため、制御部1のポートPsをHighレベル
(Ps1=H)にする。時間T55で制御部2は、入力
ポートPnがHighレベル(Pn2=H)なので、制
御部1が被制御装置4のアクセスを終了したことを確認
できる。このタイミングで制御部2は切替要求信号C2
をHighレベルからLowレベル(切替要求信号をO
N)にする(時間T55)。以下、切替制御回路3での
動作は第1実施例と同じになるので、省略する。時間T
56は、外部入力信号Sxの状態が変化した時間T51
からt0時間(制御部が被制御装置4をアクセスする最
大時間)以上経過した時点である。制御部1及び制御部
2は、時間T56で切替待機状態を初期状態に設定する
ため、制御部のポートPdをHighレベルにする。
【0040】図16は外部入力信号Sxにより制御部1
から制御部2へ切替要求が発生したときに、制御部1が
被制御装置4をアクセスしていない場合(外部入力信号
Sxの状態変化時における状態変化前の被制御装置4の
アクセス権がある制御部の動作状態が異常であると判断
した場合)のタイムチャート図である。図16の時間T
60からT63までは外部入力信号Sxの状態がHig
hレベルなので、被制御装置4のアクセス権は制御部1
にある。時間T63で外部入力信号Sxの状態がHig
hレベルからLowレベルに変化し、制御部1から制御
部2へ切替要求が発生する。この外部入力信号Sxの状
態変化は、制御部のマイクロコンピュータの入力ポート
Piにより常時、制御部が監視しているので、制御部が
正常に動作している場合には、時間T63で外部入力信
号Sxの状態変化を認識することができる。制御部2は
時間T63で、正常に動作しているので、切替待機状態
を外部入力信号Sxの状態変化を認識した状態に設定す
ることができ、制御部2のポートPdをLowレベル
(Pd2=L)にする。制御部1は時間T63で動作異
常なので、切替待機状態を外部入力信号Sxの状態変化
を認識した状態に設定することができず、切替待機状態
は初期状態のままであり、制御部1のポートPdはHi
ghレベル(Pd1=H)のままである。制御部2は時
間T64で入力ポートPcがHighレベル(Pc2=
H)なので、制御部1が外部入力信号Sxの状態変化を
認識していないと判断し、この時点(時間T64)から
最大t0時間(制御部が被制御装置4をアクセスする最
大時間)の間、入力ポートPcがLowレベル(Pc1
=L)になるまで待つ。時間T65は、時間T64から
所定時間t0(制御部が被制御装置4をアクセスする最
大時間)以上経過した時点である。制御部2は、時間T
65で入力ポートPcがHighレベル(Pc2=H)
なので、制御部1が動作異常であると判断し、強制的に
入出力信号S3を切り替えるため、切替要求信号C2を
HighレベルからLowレベル(切替要求信号をO
N)にする(時間T65)。また、制御部2は時間T6
5で切替待機状態を初期状態に設定するため、制御部2
のポートPdをHighレベル(Pd2=H)にする。
以下、切替制御回路3での動作は第1実施例と同じにな
るので、省略する。つまり、外部入力信号Sxの状態変
化時において、被制御装置4のアクセス権が発生した制
御部が、状態変化前の被制御装置4のアクセス権がある
制御部が正常動作であるか又は動作異常であるかの判断
を行うことができるので、制御部が正常動作と判断した
場合には、被制御装置4のアクセス状態に応じて切替要
求信号をONするタイミングを変えることができ、制御
部が動作異常と判断した場合には強制的に入出力信号S
3を切り替えることができる。
【0041】本発明の第6実施例の構成を図17に示
す。本実施例は、第1実施例の構成に加えて、お互いの
制御部が図15に示した切替待機状態及び図11に記し
たアクセス状態を確認又は相手側の制御部に知らせるこ
とができるメモリとしてRAM13が新たに追加されて
いる。切替制御回路3の構成は、第1実施例(図2)と
同じである。本構成における概要は、第5実施例でマイ
クロコンピュータのポートPs、Pn、Pd、Pcによ
り行っていた監視部6の制御を、お互いの制御部がアク
セス可能なメモリ(RAM13)に置き換えものであ
る。図18に実施例におけるRAM13の構成を記す。
図18において、切替待機状態の記憶エリアA0(制御
部1用)が第5実施例の制御部1のポートPdに、切替
待機状態の記憶エリアA1(制御部2用)が第5実施例
の制御部2のポートPdに、アクセス状態の記憶エリア
A2(制御部1用)が第5実施例の制御部1のポートP
sに、アクセス状態の記憶エリアA3(制御部2用)が
第5実施例の制御部2のポートPsに、それぞれ相当す
る。
【0042】また、本実施例では、第5実施例のPd1
=Hは切替待機状態の記憶エリアA0(制御部1用)が
1、Pd1=Lは切替待機状態の記憶エリアA0(制御
部1用)が0、Pd2=Hは切替待機状態の記憶エリア
A1(制御部2用)が1、Pd2=Lは切替待機状態の
記憶エリアA1(制御部2用)が0の状態に、それぞれ
相当する。また、第5実施例のPs1=Hはアクセス状
態の記憶エリアA2(制御部1用)が1、Ps1=Lは
アクセス状態の記憶エリアA2(制御部1用)が0、P
s2=Hはアクセス状態の記憶エリアA3(制御部2
用)が1、Ps2=Lはアクセス状態の記憶エリアA3
(制御部2用)が0の状態に、それぞれ相当することに
なる。
【0043】以下、このRAM13での制御及び動作方
法については、第5実施例において、制御部1,2のポ
ートPd,PsをRAM13の記憶エリア、つまり、切
替待機状態の記憶エリアA0(制御部1用)、切替待機
状態の記憶エリアA1(制御部2用)、アクセス状態の
記憶エリアA2(制御部1用)、アクセス状態の記憶エ
リアA3(制御部2用)に置き換え、また、Pd1=H
は切替待機状態の記憶エリアA0(制御部1用)が1、
Pd1=Lは切替待機状態の記憶エリアA0(制御部1
用)が0、Pd2=Hは切替待機状態の記憶エリアA1
(制御部2用)が1、Pd2=Lは切替待機状態の記憶
エリアA1(制御部2用)が0の状態に、さらにまた、
Ps1=Hはアクセス状態の記憶エリアA2(制御部1
用)が1、Ps1=Lはアクセス状態の記憶エリアA2
(制御部1用)が0、Ps2=Hはアクセス状態の記憶
エリアA3(制御部2用)が1、Ps2=Lはアクセス
状態の記憶エリアA3(制御部2用)が0の状態に、そ
れぞれに置き換えた内容になるので、省略する。
【0044】本発明の第7実施例の構成を図19に示
す。本実施例では、上述の第6実施例の構成に加えて、
制御部1及び制御部2にそれぞれメモリ(RAM11及
びRAM12)が追加されている。RAM11及びRA
M12は互いに独立しているメモリで、RAM11は制
御部1のみがアクセス可能で、制御部2からはアクセス
することができない。また、同様にRAM12は制御部
2のみがアクセス可能で、制御部1からはアクセスする
ことができない構成になっている。
【0045】図20は図19の被制御装置4に操作部4
1と、表示部42を有する場合の実施例である。このシ
ステムの概要は、操作部41からのキー入力データに基
づき、表示部42にその内容(表示データ)を表示する
といったものである。上述の第1〜第6の各実施例で説
明したように、被制御装置4をアクセスすることができ
る制御部はどちらか一方である。ここでは、制御部1に
被制御装置4のアクセス権があり、制御部2は被制御装
置4をアクセスできない場合について、以下、述べるこ
とにする。
【0046】まず、はじめに、制御部1での制御方法に
ついて述べる。制御ステップ#1は、制御部1と操作部
41の間の制御であり、操作部41からのキー入力デー
タをRAM11のKEY_DAT(キー入力データ)に
格納する。制御ステップ#2では、制御部1はRAM1
1のKEY_DATをもとに表示データをRAM11の
DIS_DAT(表示データ)に格納する。制御ステッ
プ#3は、制御部1と表示部42の間の制御であり、表
示部42にRAM11のDIS_DATを転送する。以
上の制御ステップ#1から制御ステップ#3までの制御
を繰り返すことにより、前記システム概要を満足させる
ことができる。
【0047】しかし、上述の第1〜第6の実施例の説明
からも分かるように、被制御装置4をアクセスできる制
御部は、外部入力信号Sxの状態により、被制御装置4
のアクセス権がある制御部だけである。ここでは、被制
御装置4をアクセスできる制御部は制御部1であり、制
御部2は被制御装置4をアクセスできない。このため、
外部入力信号Sxにより、制御部1から制御部2へ切替
要求が発生した場合、制御部2が前記制御ステップ#1
から制御ステップ#3までの制御を繰り返すことによ
り、状態変化前と同じ状態から被制御装置4を制御する
ためには、制御部2では、図21に示すように、RAM
11にあるKEY_DAT及びDIS_DATと同じデ
ータがRAM12にもなければならない。つまり、ここ
ではKEY_DAT及びDIS_DATが外部入力信号
Sxの状態変化前と同じ状態から被制御装置4を制御す
るために最低限必要なデータとなる。そこで、RAM1
1にあるKEY_DAT及びDIS_DATと同じデー
タをRAM12にも格納するための手段として、図20
のRAM13を経由してRAM12に格納する。
【0048】具体的な手段を図22をもとに説明する。
まず、キー入力データKEY_DATをRAM12に格
納する手段として、制御部1は前記制御ステップ#1に
おいて、操作部41からのキー入力データをRAM11
のKEY_DATに格納した後に、そのデータをRAM
13のKEY_DAT3に格納し、さらに、RAM13
のKEY_CNTを1(リクエスト)に設定する(#1
a)。また、表示データDIS_DATをRAM12に
格納する手段として、制御部1は前記制御ステップ#2
において、操作部41からの表示データをRAM11の
DIS_DATに格納した後に、そのデータをRAM1
3のDIS_DAT3に格納し、さらに、RAM13の
DIS_CNTを1(リクエスト)に設定する(#2
a)。一方、制御部2ではKEY_CNTに1(リクエ
スト)が設定されているので、KEY_DAT3をRA
M12に転送し、KEY_CNTを0(クリア)に設定
する。同様に、DIS_CNTに1(リクエスト)が設
定されているので、DIS_DAT3をRAM12に転
送し、DIS_CNTを0(クリア)に設定する。つま
り、被制御装置4のアクセス権がある制御部1では、前
記制御ステップ#1から制御ステップ#3までの制御時
に、制御ステップ#1a及び制御ステップ#2aを追加
し、被制御装置4のアクセス権が無い制御部2では、K
EY_CNT及びDIS_CNTにリクエストが設定さ
れたときに、制御部1からのKEY_DAT3及びDI
S_DAT3を制御部2のRAM12に格納する制御を
実施することで、外部入力信号Sxの状態変化後に被制
御装置4のアクセス権が発生した制御部が状態変化前と
同じ状態から被制御装置4を制御することができる。
【0049】また、本実施例では、被制御装置4のアク
セス権がある制御部と、被制御装置4のアクセス権が無
い制御部では、制御方法(プログラム)が違うので、仮
にソフトウェア的なバグにより制御部が暴走した場合で
も、2つの制御部が同時に暴走することはない。
【0050】次に、図22のRAM13の構成におい
て、制御部が暴走した場合のプロテクトエリアとして、
SAF_DATというエリアが設けられており、任意の
データ(本実施例では1以外)を設定する。被制御装置
4のアクセス権が無い制御部は、RAM13のデータを
制御部のメモリに転送する前に、SAF_DATエリア
のデータを確認し、任意のデータでない場合には制御部
のメモリに転送しない制御を被制御装置4のアクセス権
が無い制御部の制御に追加する。これがプロテクト処理
である。このプロテクト処理を追加することにより、仮
に、被制御装置4のアクセス権がある制御部だけが暴走
し、誤ってRAM13のKEY_CNT及びDIS_C
NTに1(リクエスト)が設定された場合でも、被制御
装置4のアクセス権が無い制御部のメモリは破壊されな
い。つまり、本構成のように、制御部のメモリを互いに
独立させ、前記プロテクト処理を追加することにより、
暴走した制御部が正常な制御部のメモリを破壊すること
がなくなる。
【0051】
【発明の効果】請求項1〜の発明によれば、制御部を
監視又は切り替えるための余分なマイクロコンピュータ
を使用しなくても、制御部用のマイクロコンピュータだ
けで二重化構成を実現することができる。請求項1又は
の発明によれば、制御の切替要求が発生したときの制
御部の被制御装置のアクセス状態に応じて、制御部を効
率良く切り替えることができる。請求項3又は4の発明
によれば、制御の切替え要求が発生したときの制御部の
動作状態に応じて、制御部を効率良く切り替えることが
できる。請求項の発明によれば、ソフトウェア的なバ
グにより、二重化された制御部が同時に暴走することが
ない。また、暴走した制御部が正常に動作している制御
部のメモリを破壊することがない。
【図面の簡単な説明】
【図1】本発明の第1実施例の構成を示すブロック図で
ある。
【図2】本発明の第1実施例における切替制御回路の回
路図である。
【図3】本発明の第1実施例の動作説明図である。
【図4】本発明の第2実施例の構成を示すブロック図で
ある。
【図5】本発明の第2実施例の動作説明図である。
【図6】本発明の第3実施例の構成を示すブロック図で
ある。
【図7】本発明の第3実施例における切替制御回路の回
路図である。
【図8】本発明の第3実施例の第1の動作説明図であ
る。
【図9】本発明の第3実施例の第2の動作説明図であ
る。
【図10】本発明の第4実施例の構成を示すブロック図
である。
【図11】本発明の第4実施例の第1の動作説明図であ
る。
【図12】本発明の第4実施例の第2の動作説明図であ
る。
【図13】本発明の第4実施例の第3の動作説明図であ
る。
【図14】本発明の第5実施例の構成を示すブロック図
である。
【図15】本発明の第5実施例の第1の動作説明図であ
る。
【図16】本発明の第5実施例の第2の動作説明図であ
る。
【図17】本発明の第6実施例の構成を示すブロック図
である。
【図18】本発明の第6実施例における共有メモリの構
成を示す説明図である。
【図19】本発明の第7実施例の基本構成を示すブロッ
ク図である。
【図20】本発明の第7実施例の具体的な構成を示すブ
ロック図である。
【図21】本発明の第7実施例における個別メモリの構
成を示す説明図である。
【図22】本発明の第7実施例におけるメモリ間転送の
内容を示す説明図である。
【図23】第1の従来例の構成を示すブロック図であ
る。
【図24】第2の従来例の構成を示すブロック図であ
る。
【符号の説明】
1 第1の制御部 2 第2の制御部 3 切替制御回路 4 被制御装置
───────────────────────────────────────────────────── フロントページの続き (58)調査した分野(Int.Cl.7,DB名) G06F 11/16 - 11/20 G05B 9/03

Claims (5)

    (57)【特許請求の範囲】
  1. 【請求項1】 第1及び第2の制御部と、第1の制御
    部の入出力信号と第2の制御部の入出力信号を切り替え
    るための切替制御回路と、切替制御回路で選択された第
    3の入出力信号により制御可能な被制御装置とで構成さ
    れるシステムにおいて、外部入力信号の状態変化に応じ
    て第1又は第2の制御部から出力される切替要求信号に
    同期して第3の入出力信号を切り替えるように構成し、
    切替制御回路が第1及び第2のどちらの入出力信号を選
    択しているかを知らせる信号を第1及び第2の制御部に
    入力すると共に、第1及び第2の制御部から出力される
    切替延長要求信号を切替制御回路に入力し、外部入力信
    号の状態変化時における、状態変化前の被制御装置のア
    クセス権がある制御部の被制御装置に対するアクセス状
    態に応じて第3の入出力信号を切り替える時間を変化さ
    せる制御を行う手段を設けたことを特徴とする二重化さ
    れた制御システム。
  2. 【請求項2】 第1及び第2の制御部と、第1の制御
    部の入出力信号と第2の制御部の入出力信号を切り替え
    るための切替制御回路と、切替制御回路で選択された第
    3の入出力信号により制御可能な被制御装置とで構成さ
    れるシステムにおいて、外部入力信号の状態変化に応じ
    て第1又は第2の制御部から出力される切替要求信号に
    同期して第3の入出力信号を切り替えるように構成する
    と共に、外部入力信号の状態変化時における第1又は第
    2の制御部の動作状態に合わせて切替要求信号を出力す
    るタイミングを変更する制御を行うために、互いの制御
    部が被制御装置をアクセスしているか否かを確認又は相
    手側の制御部に知らせることができる監視部を設けたこ
    とを特徴とする二重化された制御システム。
  3. 【請求項3】 外部入力信号の状態変化時における状
    態変化前の被制御装置へのアクセス権を有する制御部の
    動作状態が異常であると判断した場合に第3の入出力信
    号を強制的に切り替えるために、制御部が外部入力信号
    の状態変化を認識したか否かを確認又は相手側の制御部
    に知らせる手段を前記監視部に追加したことを特徴とす
    る請求項記載の二重化された制御システム。
  4. 【請求項4】 互いの制御部がアクセス可能なメモリ
    を監視部に備えたことを特徴とする請求項記載の二重
    化された制御システム。
  5. 【請求項5】 第1の制御部のみがアクセス可能な第
    1のメモリと、第2の制御部のみがアクセス可能な第2
    のメモリとを備え、外部入力信号の状態変化後に被制御
    装置のアクセス権が発生した制御部が、状態変化前と同
    じ状態から被制御装置を制御するために最低限必要なデ
    ータを、被制御装置のアクセス権を有する制御部のメモ
    リから、アクセス権の無い制御部のメモリへ転送する手
    段を備えたことを特徴とする請求項記載の二重化され
    た制御システム。
JP01107095A 1995-01-26 1995-01-26 二重化された制御システム Expired - Fee Related JP3427538B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP01107095A JP3427538B2 (ja) 1995-01-26 1995-01-26 二重化された制御システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP01107095A JP3427538B2 (ja) 1995-01-26 1995-01-26 二重化された制御システム

Publications (2)

Publication Number Publication Date
JPH08202572A JPH08202572A (ja) 1996-08-09
JP3427538B2 true JP3427538B2 (ja) 2003-07-22

Family

ID=11767727

Family Applications (1)

Application Number Title Priority Date Filing Date
JP01107095A Expired - Fee Related JP3427538B2 (ja) 1995-01-26 1995-01-26 二重化された制御システム

Country Status (1)

Country Link
JP (1) JP3427538B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6837413B2 (ja) * 2017-11-02 2021-03-03 三菱電機株式会社 プラント機器の監視制御装置

Also Published As

Publication number Publication date
JPH08202572A (ja) 1996-08-09

Similar Documents

Publication Publication Date Title
KR0139902B1 (ko) 다중 프로세서 컴퓨터 시스템에 있어서 데이터 인코히어런스를 방지하기 위한 버스-대-버스 인터페이스
US5423024A (en) Fault tolerant processing section with dynamically reconfigurable voting
US5862405A (en) Peripheral unit selection system having a cascade connection signal line
US7299098B2 (en) Method and device for programming a control unit
KR100299149B1 (ko) I/o핀이n이하인n-비트데이타버스폭을갖는마이크로콘트롤러와그방법
KR940001275B1 (ko) 기기내 버스를 이용한 동작 제어방법
US5600808A (en) Processing method by which continuous operation of communication control program is obtained
JP3427538B2 (ja) 二重化された制御システム
EP0660239A1 (en) Data transfer between computing elements
US5175832A (en) Modular memory employing varying number of imput shift register stages
US7624315B2 (en) Adapter card for connection to a data bus in a data processing unit and method for operating a DDR memory module
EP0554819B1 (en) Transfer control unit, processor element and data transferring method
JPH05300152A (ja) アドレス設定器
KR100228306B1 (ko) 핫-스탠바이 이중화 장치 및 그의 구현 방법
JPS61213932A (ja) 分散形2重系計算機システムおよびその制御方法
KR100296403B1 (ko) 통신시스템에서이중화구현방법
KR100448218B1 (ko) 이중화 보드 시스템 및 그의 이중화 보드 절체 방법
JP2743780B2 (ja) 分散処理装置
KR19980067077A (ko) 이중화 제어 시스템 및 그 제어방법
JP2000076199A (ja) デバッグ端子を有するマルチプロセッサ装置
JPH08123503A (ja) プラント制御装置
KR20030024472A (ko) Cpu 이중화 장치 및 방법
JP3405677B2 (ja) システム制御装置の二重化機構
CN116582510A (zh) 一种实现交换板卡间主备切换的方法及装置
JP2658853B2 (ja) 通信制御装置

Legal Events

Date Code Title Description
FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080516

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090516

Year of fee payment: 6

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090516

Year of fee payment: 6

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100516

Year of fee payment: 7

LAPS Cancellation because of no payment of annual fees