JP3916495B2 - フェイルセーフ機能を備えたコントローラ - Google Patents

フェイルセーフ機能を備えたコントローラ Download PDF

Info

Publication number
JP3916495B2
JP3916495B2 JP2002108093A JP2002108093A JP3916495B2 JP 3916495 B2 JP3916495 B2 JP 3916495B2 JP 2002108093 A JP2002108093 A JP 2002108093A JP 2002108093 A JP2002108093 A JP 2002108093A JP 3916495 B2 JP3916495 B2 JP 3916495B2
Authority
JP
Japan
Prior art keywords
processing data
data
signal
control unit
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2002108093A
Other languages
English (en)
Other versions
JP2003186691A (ja
Inventor
喜生 三瓶
弘典 加藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alps Alpine Co Ltd
Original Assignee
Alps Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alps Electric Co Ltd filed Critical Alps Electric Co Ltd
Priority to JP2002108093A priority Critical patent/JP3916495B2/ja
Priority to US10/408,749 priority patent/US7373487B2/en
Priority to EP03007913A priority patent/EP1353271A3/en
Publication of JP2003186691A publication Critical patent/JP2003186691A/ja
Application granted granted Critical
Publication of JP3916495B2 publication Critical patent/JP3916495B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Hardware Redundancy (AREA)
  • Debugging And Monitoring (AREA)
  • Safety Devices In Control Systems (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、フェイルセーフ機能を備えたコントローラに係り、特に、1つの制御対象に対して複数(通常、2つ)の中央制御ユニット(CPU)を有し、いずれかの中央制御ユニットの動作が異常になったとき、コントローラの動作を一時停止させ、誤った制御データが出力されるのを防止するフェイルセーフ機能を備えたコントローラに関する。
【0002】
【従来の技術】
従来、フェイルセーフ機能を備えたコントローラとしては、主中央制御ユニット(以下、これをマスタCPUという)と従中央制御ユニット(以下、これをスレーブCPUという)の2つの中央制御ユニット(CPU)を備えたものが知られている。
【0003】
この場合、既知のフェイルセーフ機能を備えたコントローラにおける第1のものは、マスタCPUがスレーブCPUの動作を常時監視し、スレーブCPUの動作が異常になったとき、マスタCPUからリセット信号をスレーブCPUに供給し、スレーブCPUをリセットし、スレーブCPUの動作を一時停止させるように動作するものである。
【0004】
また、既知のフェイルセーフ機能を備えたコントローラにおける第2のものは、マスタCPUとスレーブCPUに同じ検知データを供給し、マスタCPUで処理した第1中間処理データと、それに対応するスレーブCPUで処理した第2中間処理データとを比較し、第1及び第2中間処理データが一致しているときに一致信号を出力し、第1及び第2中間処理データが一致していないときに不一致信号を出力するように動作するものである。
【0005】
【発明が解決しようとする課題】
前記既知のフェイルセーフ機能を備えたコントローラにおける第1のものは、スレーブCPUの動作が異常になったとき、スレーブCPUから異常な処理データが出力されることはなくなるが、マスタCPUの動作が異常になったとき、そのマスタCPUの異常な動作を監視したり、または、異常な動作を停止させる手段を設けていないので、不所望な処理データが出力され続ける可能性を有するものである。
【0006】
また、前記既知のフェイルセーフ機能を備えたコントローラにおける第2のものは、マスタCPUで処理した第1中間処理データとスレーブCPUで処理した第2中間処理データとを比較するとき、第1及び第2中間処理データが一致したときに一致信号を、また、第1及び第2中間処理データが不一致であるときに不一致信号をそれぞれ出力するだけであり、第1及び第2処理データの一致、不一致を検出する検出手段が異常になった場合や、信号出力機能そのものに異常が検出された場合に、それを停止する手段を有していないので、誤った処理データが出力される可能性を有するものである。
【0007】
本発明は、このような技術的背景に鑑みてなされたもので、その目的は、マスタCPUの動作が異常になったとき自己修復が可能であり、出力される処理データが異常になったとき確実にその処理データを出力させないフェイルセーフ機能を備えたコントローラを提供することにある。
【0008】
【課題を解決するための手段】
前記目的を達成するために、本発明によるフェイルセーフ機能を備えたコントローラは、検知部から供給されるデータを処理し、各別に第1及び第2処理データを出力するマスタCPU(主中央制御ユニット)及びスレーブCPU(従中央制御ユニット)と、マスタCPUとスレーブCPUとの間に接続される通信線と、バスラインと、マスタCPUとバスライン間に接続される第1中継部と、スレーブCPUとバスライン間に接続される第2中継部とを備え、マスタCPUは、第1処理データと通信線を介してスレーブCPUから取得した第2処理データとを比較し、その比較の結果第1処理データ及び第2処理データが不一致であったとき、マスタCPU及びスレーブCPUの動作を一時停止し、所定時間が経過した後にマスタCPU及びスレーブCPUの動作を初期動作に戻し、また、その比較の結果第1処理データ及び第2処理データが一致していたとき、スレーブCPUから第2中継器を介してバスラインに第2処理データを送出させ、バスラインに送出した第2処理データを第1中継部を介して取得し、第1処理データと取得した第2処理データとを比較し、その比較の結果第1処理データ及び第2処理データが不一致であったとき、スレーブCPUの動作を一時停止し、所定時間が経過した後にスレーブCPUの動作を初期動作に戻す手段を備える。
【0011】
前記手段によれば、マスタCPUは、通信線を介してスレーブCPUが出力した第2処理データを通信線を介して取得し、自己の第1処理データと取得した第2処理データとを用いてマスタCPU及びスレーブCPUの動作状態を判定するだけでなく、第2中継部、バスライン、第1中継部を通して取得し、取得した第2処理データを用いてスレーブCPUの動作を監視しているので、比較的簡単な手段を用いることによって、マスタCPU及びスレーブCPUの動作の異常を迅速に検知し、適切な対応が可能になるだけでなく、マスタCPUから得られる第1処理データとスレーブCPUから得られる第2処理データの比較部の動作が異常になったり、マスタCPU自体の動作が異常になったりしたとき、異常な第1処理データや異常な第2処理データが出力されるのを迅速に、かつ、確実に阻止することができる。
【0014】
【発明の実施の形態】
以下、本発明の実施の形態を図面を参照して説明する。
【0015】
図1は、本発明によるフェイルセーフ機能を備えたコントローラの一つの実施の形態を示すもので、その要部構成を表すブロック図であり、自動車に搭載されるコントローラを示すものである。
【0016】
図1に示されるように、この実施の形態によるフェイルセーフ機能を備えたコントローラは、マスタCPU(主中央制御ユニット)1と、スレーブCPU(従中央制御ユニット)2と、タイマ(WDT)3と、同期信号発生部(Sync)4と、第1中継器(REP)5と、第2中継器(REP)6と、2本の通信線COM1、COM2からなっている。
【0017】
また、このコントローラの外部には、操作スイッチの操作状態を表す操作データや各種センサによる検知結果を表す検知データ等を発生する検知部7と、車載用電源(バッテリー)の電圧を調整して出力する電圧調整部8と、自動車内に付設されたバスライン9とを設けている。
【0018】
そして、マスタCPU1、スレーブCPU2、タイマ3、同期信号発生部4、第1中継器5、第2中継器6は、図1に図示されるように信号線によって相互に接続されている。また、マスタCPU1とスレーブCPU2とは、図1に図示されるように通信線COM1、COM2によって接続され、マスタCPU1及びスレーブCPU2と検知部7及び電圧調整部8とは、図1に図示されるように信号線によって接続され、第1中継器5、第2中継器6とバスライン9とは、同じく図1に図示されるように信号線によって接続されている。
【0019】
この場合、図1にそれぞれ示されている各信号線の中で、CLRはクリア信号線、RSTはリセット信号線、TMRはタイマ信号線、RDYは待機信号線、INTは同期信号線、DATAは検知データ供給線、PWRは調整電圧供給線を表している。
【0020】
次に、図2は、図1に図示されたマスタCPU1及びスレーブCPU2の内部構成の一例を示すブロック図である。
【0021】
図2に示されるように、マスタCPU1は、制御部10と、データ処理部11と、データ入力部12と、比較判定部13と、強制リセット信号発生部14と、計時部15と、クリア信号発生部16と、待機信号発生部17と、タイマ信号発生部18と、検知データ入力端子19と、処理データ入力端子20と、リセット信号入力端子21と、同期信号入力端子22と、強制リセット信号出力端子23と、クリア信号出力端子24と、待機信号出力端子25と、タイマ信号出力端子26と、処理信号入力端子37と、判定信号出力端子39とを備えている。
【0022】
また、スレーブCPU2は、制御部27と、データ処理部28と、データ出力部29と、待機信号発生部30と、検知データ入力端子31と、リセット信号入力端子32と、同期信号入力端子33と、強制リセット信号入力端子34と、処理データ出力端子35と、待機信号出力端子36と、処理信号出力端子38と、判定信号入力端子40とを備えている。
【0023】
そして、マスタCPU1において、制御部10は、各制御端がデータ処理部11、データ入力部12、比較判定部13、強制リセット信号発生部14、計時部15、クリア信号発生部16、待機信号発生部17、タイマ信号発生部18の各制御端にそれぞれ接続され、入力端がリセット信号入力端子21、同期信号入力端子22にそれぞれ接続される。データ処理部11は、入力端が検知データ入力端子19に接続され、出力端が比較判定部13の第1入力端に接続される。データ入力部12は、入力端が処理データ入力端子20に接続され、出力端が比較判定部13の第2入力端に接続される。比較判定部13は、出力端が強制リセット信号発生部14の入力端に接続され、かつ、処理信号入力端子37と判定信号出力端子39を介してスレーブCPU2の処理信号出力端子38とにそれぞれ接続される。強制リセット信号発生部14は、出力端が強制リセット信号出力端子23に接続される。計時部15は、出力端がクリア信号発生部16、タイマ信号発生部18の各入力端に接続される。クリア信号発生部16は、出力端がクリア信号出力端子24に接続され、タイマ信号発生部18は、出力端がタイマ信号出力端子26に接続される。待機信号発生部17は、出力端が待機信号出力端子25に接続される。
【0024】
また、スレーブCPU2において、制御部27は、各制御端がデータ処理部28、データ出力部29、待機信号発生部30の各制御端にそれぞれ接続され、入力端がリセット信号入力端子32、同期信号入力端子33、強制リセット信号入力端子34にそれぞれ接続される。データ処理部28は、入力端が検知データ入力端子31に接続され、出力端がデータ出力部29の入力端に接続されるとともに、処理信号出力端子38に接続される。データ出力部29は、出力端が処理データ出力端子35に接続されるとともに、判定信号入力端子40に接続される。待機信号発生部30は、出力端が待機信号出力端子36に接続される。
【0025】
さらに、図2に図示されていないが、検知データ入力端子19、31は、それぞれ検知データ供給線DATAを通して検知部7に接続され、処理データ入力端子20は、第1中継器5を通してバスライン9に接続される。リセット信号入力端子21、32は、それぞれリセット信号線RSTを通してタイマ3に接続され、同期信号入力端子22、33は、それぞれ同期信号線INTを介して同期信号発生部4に接続される。強制リセット信号出力端子23及び強制リセット信号入力端子34は、それぞれリセット信号線RSTに接続され、クリア信号出力端子24は、クリア信号線CLRを通してタイマ3に接続される。待機信号出力端子25、36は、それぞれ待機信号線RDYを通して同期信号発生部4に接続され、タイマ信号出力端子26は、タイマ信号線TMRを通して同期信号発生部4に接続される。処理データ出力端子35は第2中継器6を通してバスライン9に接続される。
【0026】
また、マスタCPU1側の比較判定部13に接続された処理信号入力端子37とスレーブCPU2側のデータ処理部28に接続された処理信号出力端子38は、いずれも通信線COM1に接続される。比較判定部13に接続された判定信号出力端子39とスレーブCPU2側のデータ出力部40に接続された判定信号入力端子40は、いずれも通信線COM2に接続される。
【0027】
前記構成によるこの実施の形態によるフェイルセーフ機能を備えたコントローラは、次のように動作する。
【0028】
始めに、マスタCPU1及びスレーブCPU2がそれぞれ正常に動作している場合について説明する。
【0029】
マスタCPU1は、検知部7で検知した検知データが検知データ供給線DATAを通して検知データ入力端子19に供給されると、データ処理部11がその検知データを所定の態様で処理して処理データ(以下、この処理データを第1処理データという)を形成し、第1処理データを比較判定部13の第1入力端に供給する。
【0030】
同じように、スレーブCPU2は、検知部7で検知した検知データが検知データ供給線DATAを通して検知データ入力端子31に供給されると、データ処理部28がその検知データを前述の所定の態様で処理して処理データ(以下、この処理データを第2処理データという)を形成し、第2処理データをデータ出力部29に供給するとともに、処理信号入力端子37から通信線COM1及びマスタCPU1側の処理信号出力端子38を通して比較判定部13に供給する。比較判定部13は、データ処理部11から供給された第1処理データとスレーブCPU2から供給された第2処理データとを比較し、それらが一致しているか不一致であるかを判定する。そして、それらが一致しているときに一致している旨の一致判定信号を判定信号出力端子39から通信線COM2及びスレーブCPU2側の判定信号入力端子40を通してデータ出力部29に供給する。データ出力部29は、一致判定信号を受けると、第2処理データを処理データ出力端子35を通して第2中継器6に供給し、第2中継器6からバスライン9に送出する。
【0031】
この時点に、マスタCPU1は、バスライン9に送出された第2処理データを第1中継器5によって受信し、受信した第2処理データを処理データ入力端子20を通してデータ入力部12に供給する。データ入力部12は、供給された第2処理データを比較判定部13の第2入力端に伝送する。比較判定部13は、第1入力端に供給された第1処理データと第2入力端に供給された第2処理データとを比較し、それらが一致しているか不一致であるかを判定する。このとき、マスタCPU1及びスレーブCPU2の動作はともに正常であり、出力回路を含む全体の出力系も正常であるので、第1処理データと第2入力端に供給された第2処理データは殆ど同じになり、比較判定部13は、それらが一致している旨の判定をし、強制リセット信号発生部14には出力指令信号を供給しない。
【0032】
また、マスタCPU1は、前記動作に並行して、制御部10の制御によって計時部15が計時動作を行い、一定時間の計時を行うと、クリア信号発生部16に出力指令信号を供給する。クリア信号発生部16は、供給された出力指令信号に応答してクリア信号を発生し、発生したクリア信号をクリア信号出力端子24に供給する。計時部15は、クリア信号発生部16に出力指令信号を供給すると、計時値が初期値に戻り、再び、計時動作を開始する。このクリア信号は、クリア信号出力端子24からクリア信号線CLRを通してタイマ3に供給され、タイマ3の計時値を初期値に戻す。
【0033】
この場合、タイマ3は、タイムアップ値を、連続して供給される2つのクリア信号の到来時間間隔、すなわち前記一定時間よりも長くなるように、具体的には、前記一定時間に所定時間を加えた時間に等しくなるように設定しているので、前記一定時間毎にクリア信号が供給されている間、タイムアップ値に到達することがない。このため、タイマ3は、リセット信号をリセット信号線RSTに出力することがなく、リセット信号によってマスタCPU1及びスレーブCPU2が初期動作に設定されることはない。
【0034】
この他に、マスタCPU1は、マスタCPU1及びスレーブCPU2の動作の一時停止、それに続く動作の再開のために、待機信号発生部17とタイマ信号発生部18を設けている。
【0035】
マスタCPU1は、マスタCPU1及びスレーブCPU2の動作を一時的に停止させる状態になったとき、制御部10の制御によって待機信号発生部17に出力指令信号を供給し、待機信号発生部17が供給された出力指令信号に応答して待機信号を発生し、発生した待機信号を待機信号出力端子25に供給する。この待機信号は、待機信号出力端子25から待機信号線RDYを通して同期信号発生部4に供給され、待機信号を受けた同期信号発生部4は同期信号の発生を停止する。同期信号発生部4による同期信号の発生が停止すると、同期信号が同期信号線INTを通してマスタCPU1及びスレーブCPU2に供給されなくなり、マスタCPU1及びスレーブCPU2の動作が一時停止する。
【0036】
また、マスタCPU1は、マスタCPU1及びスレーブCPU2の動作を再開させる状態になったとき、制御部10の制御によって計時部15からタイマ信号発生部18に出力指令信号を供給し、出力指令信号を受けたタイマ信号発生部18がタイマ信号を発生し、発生したタイマ信号をタイマ信号出力端子26に供給する。このタイマ信号は、タイマ信号出力端子26からタイマ信号線TMRを通して同期信号発生部4に供給され、タイマ信号を受けた同期信号発生部4は同期信号の発生を再開し、それにより同期信号が同期信号線INTを通してマスタCPU1及びスレーブCPU2に供給され、マスタCPU1及びスレーブCPU2の動作が再開する。
【0037】
なお、同期信号発生部4で行われるマスタCPU1及びスレーブCPU2の動作の一時停止は、スレーブCPU2側の待機信号発生部30が発生した待機信号を、待機信号出力端子36から待機信号線RDYを通して同期信号発生部4に供給することによっても行うことができる。
【0038】
次に、マスタCPU1が正常に動作し、スレーブCPU2が異常な動作をするようになった場合について説明する。
【0039】
この場合においても、マスタCPU1は、検知部7で検知した検知データが検知データ供給線DATAを通して検知データ入力端子19に供給されると、データ処理部11がその検知データを所定の態様で処理して第1処理データを形成し、この第1処理データを比較判定部13の第1入力端に供給する。
【0040】
同じように、スレーブCPU2は、検知部7で検知した検知データが検知データ供給線DATAを通して検知データ入力端子31に供給されると、データ処理部28がその検知データを所定の態様で処理して第2処理データを形成し、第2処理データをデータ出力部29に供給する。
【0041】
ここで、スレーブCPU2のデータ処理部28の動作が異常であるとすれば、比較判定部13は、それぞれ供給される第1処理データと第2処理データとが不一致である旨の判定をし、強制リセット信号発生部14に出力指令信号を供給する。強制リセット信号発生部14は、この出力指令信号に応答して強制リセット信号を発生する。
【0042】
発生した強制リセット信号は、リセット信号線RSTを通してスレーブCPU2側の強制リセット信号入力端子34に供給され、続いて制御部27に供給される。スレーブCPU2において、制御部27は、強制リセット信号が供給されると、その強制リセット信号によりリセットされ、初期動作に戻る。この後、制御部27は、一定の時間が経過すると正常な動作になる。
【0043】
ところで、制御部27が強制リセット信号の供給によりリセットされてから正常な動作になるまでの期間、データ処理部28は、検知データの処理を停止するので、異常な動作時にデータ処理部28で処理された第2処理データがデータ出力部29から第2中継器6を通してバスライン9に送出されることがなく、異常な第2処理データの供給によって被制御機構が誤動作するのを回避することができる。
【0044】
また、スレーブCPU2のデータ処理部28が正常な動作を行い、データ出力部29を含んだ出力系が異常な動作になった場合は、データ処理部28から通信線COM1及びマスタCPU1側の処理信号入力端子37を通してマスタCPU1の比較判定部13に供給される第2処理データに異常がないので、比較判定部13は、第1処理データ及び第2処理データが一致している旨の判定信号を、判定信号出力端子39から通信線COM2及び判定信号入力端子40を通してデータ出力部29に供給する。
【0045】
データ出力部29は、供給された第2の処理データを処理データ出力端子35を通して第2中継器6に供給し、第2中継器6からバスライン9に送出する。
【0046】
この時点においても、マスタCPU1は、バスライン9に送出された第2処理データを第1中継器5で受信し、第1中継器5で受信した第2処理データが処理データ入力端子20に供給されると、データ入力部12がこの第2処理データを比較判定部13の第2入力端に供給する。比較判定部13は、第1入力端に供給された第1処理データと第2入力端に供給された第2処理データとを比較するが、このときのマスタCPU1の動作が正常であるのに対し、スレーブCPU2のデータ出力部29を含む出力系の動作が異常であるため、第1処理データと第2処理データが一致することはなく、比較判定部13が不一致である旨の判定を行い、強制リセット信号発生部14に出力指令信号を供給する。強制リセット信号発生部14は、供給された出力指令信号に応答して強制リセット信号を発生し、発生した強制リセット信号を強制リセット信号出力端子23に供給する。
【0047】
この強制リセット信号は、リセット信号線RSTを通してスレーブCPU2側の強制リセット信号入力端子34に供給され、続いて制御部27に供給される。制御部27は、強制リセット信号の供給によってリセットされ、初期動作になる。そして、初期動作になってから一定の時間が経過すると、制御部27は、正常な動作になる。このときも、制御部27が強制リセット信号の供給によりリセットされてから正常な動作になるまでの期間、データ処理部28は、検知データの処理を停止するので、異常な動作時にデータ処理部28で処理された第2処理データがデータ出力部29から第2中継器6を通してバスライン9に送出されることがなく、異常な第2処理データの供給によって被制御機構が誤動作するのを回避することができる。
【0048】
次いで、スレーブCPU2が正常に動作し、マスタCPU1が異常な動作をするようになった場合について説明する。
【0049】
マスタCPU1は、本来、制御部10の制御によって計時部15が計時動作を行い、一定時間の計時を行うと、クリア信号発生部16に出力指令信号を供給するように動作する。ところが、制御部10の動作が異常になると、計時部15の計時動作が正常に行われなくなり、一定時間が経過しても、クリア信号発生部16に出力指令信号が供給されなくなる。クリア信号発生部16は、出力指令信号が供給されないので、クリア信号を発生せず、クリア信号がクリア信号線CLRを通してタイマ3に供給されなくなる。
【0050】
このとき、タイマ3は、前回にクリア信号が供給されてから一定時間が経過し、その後所定時間が経過しても次のクリア信号が供給されないので、タイムアップ状態になり、そのときにリセット信号を発生する。このリセット信号は、リセット信号線RSTを通してマスタCPU1側のリセット信号入力端子21とスレーブCPU2側のリセット信号入力端子32に供給され、このリセット信号によってマスタCPU1側の制御部10及びスレーブCPU2側の制御部27がそれぞれリセットされる。これにより、制御部10及び制御部27は、それぞれ初期動作になり、初期動作になってから一定の時間が経過すると、正常な動作になる。このときも、制御部27は、リセット信号が供給され、初期動作になってから正常な動作になるまでの期間、データ処理部28は、検知データの処理を停止するので、異常な動作時にデータ処理部28で処理された第2処理データがデータ出力部29から第2中継器6を通してバスライン9に送出されることがなく、被制御機構が誤動作するのを回避することができる。
【0051】
ところで、この実施の形態によるフェイルセーフ機能を備えたコントローラにおいては、タイマ3をクリアするクリア信号の供給間隔を表す一定時間をバスライン9にデータを送出する時間間隔と同じ、例えば10msec程度に選び、タイマ3へのクリア信号の供給が途絶えてからカウントアップするまでの所定時間をタイマ3へのクリア信号の時間間隔より長く、かつ、その2倍よりも短い時間、例えば15msec程度に選ぶことが好ましい。
【0052】
なお、この実施の形態によるフェイルセーフ機能を備えたコントローラは、自動車に搭載される場合を例に挙げて説明したが、本発明によるフェイルセーフ機能を備えたコントローラは自動車に搭載する場合に限られるものではなく、自動車に類似した他の車両に搭載する場合でも適用可能である。
【0054】
【発明の効果】
以上のように、請求項に記載の発明よれば、マスタCPUは、通信線を介してスレーブCPUが出力した第2処理データを通信線を介して取得し、自己の第1処理データと取得した第2処理データを用いてマスタCPU及びスレーブCPUの動作状態を判定するだけでなく、第2中継部、バスライン、第1中継部を通して取得し、取得した第2処理データを用いてスレーブCPUの動作を監視しているので、マスタCPU及びスレーブCPUの動作の異常を迅速に検知し、適切な対応可能になるとともに、マスタCPUから得られる第1処理データとスレーブCPUから得られる第2処理データの比較部の動作が異常になったり、マスタCPU自体の動作が異常になったりしたとき、異常な第1処理データや異常な第2処理データが出力されるのを確実に阻止することができるという効果がある。
【図面の簡単な説明】
【図1】本発明によるフェイルセーフ機能を備えたコントローラの一つの実施の形態を示すもので、その要部構成を表すブロック図である。
【図2】図1に図示されたマスタCPU及びスレーブCPUの内部構成の一例を示すブロック図である。
【符号の説明】
1 マスタCPU(主中央制御ユニット)
2 スレーブCPU(従中央制御ユニット)
3 タイマ(WDT)
4 同期信号発生部(Sync)
5 第1中継器(REP)
6 第2中継器(REP)
7 検知部
8 電圧調整部
9 バスライン
10、25 制御部
11、26 データ処理部
12 データ入力部
13 比較判定部
14 強制リセット信号発生部
15 計時部
16 クリア信号発生部
17、28 待機信号発生部
18、29 検知データ入力端子
19 処理データ入力端子
20、30 リセット信号入力端子
21、31 同期信号入力端子
22 強制リセット信号出力端子
23 クリア信号出力端子
24、34 待機信号出力端子
27 データ出力部
32 強制リセット信号入力端子
33 処理データ出力端子
COM1、COM2 通信線

Claims (1)

  1. 検知部から供給されるデータを処理し、各別に第1及び第2処理データを出力する主中央制御ユニット及び従中央制御ユニットと、前記主中央制御ユニットと前記従中央制御ユニットとの間に接続される通信線と、バスラインと、前記主中央制御ユニットと前記バスライン間に接続される第1中継部と、前記従中央制御ユニットと前記バスライン間に接続される第2中継部とを備え、前記主中央制御ユニットは、前記第1処理データと前記通信線を介して前記従中央制御ユニットから取得した第2処理データとを比較し、その比較の結果前記第1処理データ及び前記第2処理データが不一致であったとき、前記主中央制御ユニット及び前記従中央制御ユニットの動作を一時停止し、所定時間が経過した後に前記主中央制御ユニット及び前記従中央制御ユニットの動作を初期動作に戻し、また、前記比較の結果前記第1処理データ及び前記第2処理データが一致していたとき、前記従中央制御ユニットから前記第2中継器を介して前記バスラインに前記第2処理データを送出させ、前記バスラインに送出した第2処理データを前記第1中継部を介して取得し、前記第1処理データと取得した第2処理データとを比較し、その比較の結果前記第1処理データ及び前記第2処理データが不一致であったとき、前記従中央制御ユニットの動作を一時停止し、所定時間が経過した後に前記従中央制御ユニットの動作を初期動作に戻すことを特徴とするフェイルセーフ機能を備えたコントローラ。
JP2002108093A 2001-10-09 2002-04-10 フェイルセーフ機能を備えたコントローラ Expired - Fee Related JP3916495B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2002108093A JP3916495B2 (ja) 2001-10-09 2002-04-10 フェイルセーフ機能を備えたコントローラ
US10/408,749 US7373487B2 (en) 2002-04-10 2003-04-07 Controller with fail-safe function
EP03007913A EP1353271A3 (en) 2002-04-10 2003-04-07 Controller with fail-safe function

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2001311446 2001-10-09
JP2001-311446 2001-10-09
JP2002108093A JP3916495B2 (ja) 2001-10-09 2002-04-10 フェイルセーフ機能を備えたコントローラ

Publications (2)

Publication Number Publication Date
JP2003186691A JP2003186691A (ja) 2003-07-04
JP3916495B2 true JP3916495B2 (ja) 2007-05-16

Family

ID=27615270

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002108093A Expired - Fee Related JP3916495B2 (ja) 2001-10-09 2002-04-10 フェイルセーフ機能を備えたコントローラ

Country Status (1)

Country Link
JP (1) JP3916495B2 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101107597A (zh) * 2005-01-25 2008-01-16 横河电机株式会社 信息处理装置及信息处理方法
JP5539075B2 (ja) 2010-07-06 2014-07-02 キヤノン株式会社 情報処理装置
JP5525402B2 (ja) * 2010-09-30 2014-06-18 株式会社日立製作所 2重系装置の制御装置
CA2849383C (en) * 2013-08-20 2016-06-07 Yasunori Kimura Construction machine controller
TWI726687B (zh) * 2020-04-16 2021-05-01 財團法人工業技術研究院 電池系統、電壓平衡程序之控制方法與平衡電量之計算方法
CN113641094B (zh) * 2021-07-06 2024-02-02 江苏徐工工程机械研究院有限公司 预防工程机械控制器失效的安全系统及工程机械

Also Published As

Publication number Publication date
JP2003186691A (ja) 2003-07-04

Similar Documents

Publication Publication Date Title
US10486668B2 (en) Systems and methods for redundant wheel speed sensing
US6704628B1 (en) Method for detecting errors of microprocessors in control devices of an automobile
JP2746587B2 (ja) 複合計算機装置の計算機の動作監視およびエラー修正方法及び複合計算機装置
JP3916495B2 (ja) フェイルセーフ機能を備えたコントローラ
US7373487B2 (en) Controller with fail-safe function
JPWO2005049467A1 (ja) エレベータ制御装置
KR20030071532A (ko) 다중 통신 시스템 및 이를 이용한 승원 보호 시스템
JP3356635B2 (ja) 車両制御用コンピュータシステム
JP5614365B2 (ja) データ中継装置、車載ネットワーク
JP2988185B2 (ja) 多重通信装置
JPH04275740A (ja) 車載用多重伝送装置
JPH0599061A (ja) 自動車用制御装置
JPH11143841A (ja) 照合回路
JPH09200237A (ja) 多重伝送方法
JP2010095134A (ja) 通信中継装置
JP2771385B2 (ja) データ伝送装置
JPH08237286A (ja) 多重伝送システム
JP3154538B2 (ja) データ入出力装置
JP2614926B2 (ja) 電源制御システム
JPH09200811A (ja) マルチプロセッサシステムにおける障害復旧方法及びそのシステム
JPH063919B2 (ja) 負荷制御システム
JPS6039954A (ja) 移動体用多重通信装置
JP2000244375A (ja) 鉄道車両用伝送端末
JPH054259U (ja) デジタル情報処理装置
JPH08104224A (ja) 電子制御ユニットの故障検出装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050118

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060914

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060926

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20061122

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070109

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070206

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees