JP5352815B2 - 制御装置および制御方法 - Google Patents
制御装置および制御方法 Download PDFInfo
- Publication number
- JP5352815B2 JP5352815B2 JP2009270776A JP2009270776A JP5352815B2 JP 5352815 B2 JP5352815 B2 JP 5352815B2 JP 2009270776 A JP2009270776 A JP 2009270776A JP 2009270776 A JP2009270776 A JP 2009270776A JP 5352815 B2 JP5352815 B2 JP 5352815B2
- Authority
- JP
- Japan
- Prior art keywords
- processor
- information
- verification circuit
- system processor
- circuit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
一般に、プロセッサ上のソフトウェアによる故障検出処理は、プロセッサ照合回路に対して、プロセッサ照合で不一致となる異常条件を入力し、プロセッサ照合回路が不一致を検出することを確認するものである。
このソフトウェア処理により、プロセッサ照合回路は、通常時の一致検出と、異常時の不一致検出を検出することが可能である。しかし、このソフトウェア処理では、n回目の故障検出処理とn+1回目の故障検出処理の間の実稼働期間は、故障を検出できないままその動作が継続する、という問題がある。
また、もう一つの課題として、制御装置内の設定情報が1ヵ所にしかないため、プロセッサのソフトウェア異常または、制御装置内のソフトエラー等によって、予期しないタイミングで予期しないデータに書き換わってしまうという問題もあった。
また、本発明の制御装置は、第一プロセッサ照合回路と同じ機能を持つ第二プロセッサ照合回路であって、第一および第二プロセッサが第二プロセッサ照合回路によってメインメモリにアクセスすることを決定した場合に、検出結果が同一ならば、第一および第二プロセッサの選択指示に基づいて、第一あるいは第二情報のいずれか一方の情報を第二アクセス情報として選択し、該第二アクセス情報でメインメモリにアクセスし、検出結果が非同一ならば、第一および第二情報のメインメモリに対するアクセスを禁止する第二プロセッサ照合回路を並列に備えている。
さらに、第一および第二アクセス情報の同一/非同一を検出する第一ロジック照合回路と、第一ロジック照合回路での検出結果が非同一ならば、第一プロセッサに対して割込みを要求する第一割込み要求を第一プロセッサに出力する第一割込みコントローラと、第一および第二アクセス情報の同一/非同一を検出する第二ロジック照合回路と、第二ロジック照合回路での検出結果が非同一ならば、第二プロセッサに対して割込みを要求する第二割込み要求を第二プロセッサに出力する第二割込みコントローラとを備えている。
また、プロセッサ照合回路を多重化するとともに、設定情報(レジスタデータ)も多重化して、設定変更時の手順を設けることで予期しないタイミングでのデータ変更を防ぎ、信頼性の向上を図ることができる、という効果がある。
<本発明の一実施形態例の説明>
(1)制御システムの構成
(2)CPU装置のモード遷移
(3)CPU装置の構成
(4)プロセッサ照合回路有効レジスタの同期化回路構成およびその動作(5)CPU装置の動作
本発明の第一の実施形態の例を、図1〜図6を参照して説明する。
[1.制御システムの構成]
まず、一実施形態に係る制御システム101の構成について図1および図2を参照して説明する。
図1は、発明の一実施形態である制御システム101を示すブロック図である。
制御システム101は、CPU装置102と、上位装置103と、下位装置104と、制御対象105よりなる。
次に、CPU装置102のモード遷移について図2を参照して説明する。
図2は、CPU装置102のモードの遷移を示す状態遷移図である。
また、CPU装置102は、安全モードでの演算中にCPU装置102に異常が発生すると、CPU装置102は演算を中止する(ステップS9)。同様に、CPU装置102は、テストモードの実行、すなわちテストプログラムによりCPU装置102を構成する各ブロックおよび各バスの故障を検出すると、当該CPU装置102を停止する(ステップS10)。
次に、制御システム101を構成するCPU装置102(上述した安全モード時)について図3を参照して説明する。
図3は、CPU装置102を示すブロック図である。なお、以下に示すCPU装置102は、CPU装置102が上位装置103からダウンロードしたプログラムに基づいて、安全モードで演算を行う場合を想定している。ただし、CPU装置102が、上位装置103からプログラムをダウンロードするときだけは、安全モードとは異なる動作を行う。
A系プロセッサ202は、A系プロセッサバス209により制御装置204と接続されており、A系プロセッサバス209を介して制御装置204に情報の入出力を行う。そして、ライト時には、A系プロセッサ202は、A系プロセッサバス209を介して、アドレス、データおよびコマンドを制御装置204に出力する。一方、リード時には、A系プロセッサ202は、A系プロセッサバス209を介して、アドレスおよびコマンドを制御装置204に出力する。
また、ライト時には、B系プロセッサ203は、B系プロセッサバス210を介して、アドレス、データおよびコマンドを制御装置204に出力する。一方、リード時には、B系プロセッサ203は、B系プロセッサバス210を介してアドレスおよびコマンドを制御装置204に出力する。
すなわち、B系照合回路208は、プロセッサ照合回路有効レジスタ215と、プロセッサ照合回路216と、ロジック照合回路217と、割込みコントローラ218とを備える。
次に、A系のプロセッサ照合回路有効レジスタ211とB系のプロセッサ照合回路有効レジスタ215について、図4を参照して構成を説明し、図5を参照して同期方法を説明する。
次に、CPU装置102の動作を、図6を参照して説明する。
まず、A系のプロセッサ照合回路212と、ロジック照合回路213と、B系のプロセッサ照合回路216と、ロジック照合回路217とが正常に動作している場合のCPU装置102の動作を説明する。
つまり、このアクセス完了となるタイミングT803で、CPU装置102が健全であることが確認されたことになり、この結果を受けて、CPU装置102が現在の安全モードから一般モードに切り換わる。すなわち、前述したように、A系のプロセッサ照合回路212およびB系のプロセッサ照合回路216が同期してネゲートされる。そして、A系のプロセッサ照合回路212およびB系のプロセッサ照合回路216からA系メモリバス219およびB系メモリバス220それぞれを介してのメインメモリ205へのアクセスが禁止される。
Claims (3)
- 第一および第二プロセッサが第一プロセッサ照合回路によってメインメモリにアクセスすることを決定した場合に、前記第一および第二プロセッサが所定のプログラムを実行した結果としてそれぞれ出力する第一および第二情報の同一/非同一を検出するとともに、該検出結果が同一ならば、前記第一および第二プロセッサの選択指示に基づいて、前記第一あるいは第二情報のいずれか一方の情報を第一アクセス情報として選択し、該第一アクセス情報で前記メインメモリにアクセスし、前記検出結果が非同一ならば、前記第一および第二情報の前記メインメモリに対するアクセスを禁止する前記第一プロセッサ照合回路と、
前記第一および第二プロセッサが第二プロセッサ照合回路によって前記メインメモリにアクセスすることを決定した場合に、前記第一および第二情報の同一/非同一を検出するとともに、該検出結果が同一ならば、前記第一および第二プロセッサの選択指示に基づいて、前記第一あるいは第二情報のいずれか一方の情報を第二アクセス情報として選択し、該第二アクセス情報で前記メインメモリにアクセスし、前記検出結果が非同一ならば、前記第一および第二情報の前記メインメモリに対するアクセスを禁止する前記第二プロセッサ照合回路と、
前記第一および第二アクセス情報の同一/非同一を検出する第一ロジック照合回路と、
前記第一ロジック照合回路での検出結果が非同一ならば、前記第一プロセッサに対して割込みを要求する第一割込み要求を前記第一プロセッサに出力する第一割込みコントローラと、
前記第一および第二アクセス情報の同一/非同一を検出する第二ロジック照合回路と、
前記第二ロジック照合回路での検出結果が非同一ならば、前記第二プロセッサに対して割込みを要求する第二割込み要求を前記第二プロセッサに出力する第二割込みコントローラと
を備える制御装置。 - 前記第一および第二ロジック照合回路は、前記第一および第二割込み要求の同一/非同一をそれぞれ検出する
請求項1に記載の制御装置。 - 第一および第二プロセッサが第一プロセッサ照合回路によってメインメモリにアクセスすることを決定した場合に、前記第一プロセッサ照合回路が、前記第一および第二プロセッサが所定のプログラムを実行した結果としてそれぞれ出力する第一および第二情報の同一/非同一を検出するとともに、該検出結果が同一ならば、前記第一および第二プロセッサの選択指示に基づいて、前記第一あるいは第二情報のいずれか一方の情報を第一アクセス情報として選択し、該第一アクセス情報でメインメモリにアクセスし、前記検出結果が非同一ならば、前記第一および第二情報の前記メインメモリに対するアクセスを禁止する第一プロセッサ照合ステップと、
前記第一および第二プロセッサが第二プロセッサ照合回路によって前記メインメモリにアクセスすることを決定した場合に、前記第二プロセッサ照合回路が、前記第一および第二情報の同一/非同一を検出するとともに、該検出結果が同一ならば、前記第一および第二プロセッサの選択指示に基づいて、前記第一あるいは第二情報のいずれか一方の情報を第二アクセス情報として選択し、該第二アクセス情報でメインメモリにアクセスし、前記検出結果が非同一ならば、前記第一および第二情報の前記メインメモリに対するアクセスを禁止する第二プロセッサ照合ステップと、
第一ロジック照合回路が、前記第一および第二アクセス情報の同一/非同一を検出する第一ロジック照合ステップと、
第一割込みコントローラが、前記第一ロジック照合ステップでの検出結果が非同一ならば、前記第一プロセッサに対して割込みを要求する第一割込み要求を前記第一プロセッサに出力する第一割込みステップと、
第二ロジック照合回路が、前記第一および第二アクセス情報の同一/非同一を検出する第二ロジック照合ステップと、
第二割込みコントローラが、前記第二ロジック照合ステップでの検出結果が非同一ならば、前記第二プロセッサに対して割込みを要求する第二割込み要求を前記第二プロセッサに出力する第二割込みステップと
を備える制御方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009270776A JP5352815B2 (ja) | 2009-11-27 | 2009-11-27 | 制御装置および制御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009270776A JP5352815B2 (ja) | 2009-11-27 | 2009-11-27 | 制御装置および制御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011113416A JP2011113416A (ja) | 2011-06-09 |
JP5352815B2 true JP5352815B2 (ja) | 2013-11-27 |
Family
ID=44235681
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009270776A Active JP5352815B2 (ja) | 2009-11-27 | 2009-11-27 | 制御装置および制御方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5352815B2 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9852811B2 (en) * | 2014-11-13 | 2017-12-26 | Macronix International Co., Ltd. | Device and method for detecting controller signal errors in flash memory |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS52137233A (en) * | 1976-05-12 | 1977-11-16 | Hitachi Ltd | Computer duplex system |
JPS5812062A (ja) * | 1981-07-15 | 1983-01-24 | Mitsubishi Electric Corp | 並列電子計算機システムの出力装置 |
JP4102814B2 (ja) * | 2005-06-30 | 2008-06-18 | 株式会社日立製作所 | 入出力制御装置,情報制御装置及び情報制御方法 |
-
2009
- 2009-11-27 JP JP2009270776A patent/JP5352815B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2011113416A (ja) | 2011-06-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2813949B1 (en) | Multicore processor fault detection for safety critical software applications | |
JP5911922B2 (ja) | 安全関連制御ユニットおよび自動化設備の制御方法 | |
KR20020000632A (ko) | 통합된 안전 제어 시스템을 갖춘 프로세스 제어 시스템 | |
US10379946B2 (en) | Controller | |
JP2017151785A (ja) | 半導体装置 | |
US20210278816A1 (en) | Automation System For Monitoring A Safety-Critical Process | |
US8255769B2 (en) | Control apparatus and control method | |
EP2787401B1 (en) | Method and apparatus for controlling a physical unit in an automation system | |
JP5422448B2 (ja) | 制御装置 | |
JP5352815B2 (ja) | 制御装置および制御方法 | |
JP2013175118A (ja) | 制御装置、及びそのメモリ故障検出方法、その自己診断方法 | |
JP4102814B2 (ja) | 入出力制御装置,情報制御装置及び情報制御方法 | |
KR20050121729A (ko) | 프로그램 제어식 유닛 및 방법 | |
JP2014132384A (ja) | マイクコンピュータ及びその制御方法 | |
EP3361335A1 (en) | Safety controller using hardware memory protection | |
JP5337661B2 (ja) | メモリ制御装置及びメモリ制御装置の制御方法 | |
JP6786449B2 (ja) | 半導体装置 | |
JP5563700B2 (ja) | 制御装置 | |
Iber et al. | Dynamic adaption to permanent memory faults in industrial control systems | |
JP2008267999A (ja) | 制御中に自己診断できるプログラム可能な制御装置 | |
JP5756413B2 (ja) | 制御装置 | |
JP2006146319A (ja) | 2重化システム | |
JP2010211391A (ja) | Cpuの動作監視方法および装置 | |
EA034974B1 (ru) | Способ обеспечения функциональной безопасности модуля центрального процессора промышленного контроллера и микропроцессорная система для осуществления данного способа (варианты) | |
JP2003037927A (ja) | ディジタル保護・制御装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20111128 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130607 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130618 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130709 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130730 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130801 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5352815 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |