JP6007677B2 - 安全制御システム、及び安全制御システムのプロセッサ - Google Patents
安全制御システム、及び安全制御システムのプロセッサ Download PDFInfo
- Publication number
- JP6007677B2 JP6007677B2 JP2012190662A JP2012190662A JP6007677B2 JP 6007677 B2 JP6007677 B2 JP 6007677B2 JP 2012190662 A JP2012190662 A JP 2012190662A JP 2012190662 A JP2012190662 A JP 2012190662A JP 6007677 B2 JP6007677 B2 JP 6007677B2
- Authority
- JP
- Japan
- Prior art keywords
- safety
- control unit
- unit
- storage area
- drive control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims description 78
- 230000008569 process Effects 0.000 claims description 62
- 238000012544 monitoring process Methods 0.000 claims description 34
- 238000013500 data storage Methods 0.000 claims description 25
- 230000006870 function Effects 0.000 description 114
- 238000003745 diagnosis Methods 0.000 description 31
- 230000005856 abnormality Effects 0.000 description 12
- 230000000903 blocking effect Effects 0.000 description 12
- 238000004891 communication Methods 0.000 description 12
- 230000001133 acceleration Effects 0.000 description 7
- 238000002405 diagnostic procedure Methods 0.000 description 7
- 238000006243 chemical reaction Methods 0.000 description 6
- 230000002411 adverse Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000006378 damage Effects 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000004092 self-diagnosis Methods 0.000 description 2
- 230000009977 dual effect Effects 0.000 description 1
- 238000010292 electrical insulation Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
- Safety Devices In Control Systems (AREA)
Description
本発明は、安全制御システム及び安全制御システムのプロセッサに関する。
例えば、特許文献1には、モータ制御部とセーフティモジュールが分離した構成が提示され、セーフティモジュールを経由して安全機能のうち、STO(SBB)、SS1(SBB−D)、SS2(SPM−D)、SLS(SLS−D)の4種類の安全制御を行う旨が記載されている。
非特許文献1には、パワードライブシステムの17種の安全機能が定義されている。
非特許文献2には非特許文献1の17種類の安全機能のうち、STO,SS1,SS2,SOS,SLS,SDI,SLT,SLPの8種類の処理シーケンスと通信インタフェースなどが記載されている。
非特許文献2には非特許文献1の17種類の安全機能のうち、STO,SS1,SS2,SOS,SLS,SDI,SLT,SLPの8種類の処理シーケンスと通信インタフェースなどが記載されている。
IEC61800-5-2 Adjustable speed electrical power drive systems-Safety requirements-Functional
Amendment PROFIdrive on PROFIsafe
上記のように、従来では例えば上記特許文献1に示すようにモータ制御部とセーフティモジュール(二重化)が分離された構成となっている。
従来、1つのプロセッサ(CPU)上にモータ制御部とセーフティモジュール(二重化)が全て搭載された構成とする場合、例えばモータ制御部の動作に異常が生じた場合に、セーフティモジュールの動作に悪影響を及ぼす場合があった。これは、モータを制御する安全装置に限るものではない。
従来、1つのプロセッサ(CPU)上にモータ制御部とセーフティモジュール(二重化)が全て搭載された構成とする場合、例えばモータ制御部の動作に異常が生じた場合に、セーフティモジュールの動作に悪影響を及ぼす場合があった。これは、モータを制御する安全装置に限るものではない。
本発明の課題は、1つのプロセッサ上に駆動制御機能と安全機能とが搭載された構成であっても、問題なく動作するようにでき、特に駆動制御機能の異常によって安全機能に悪影響が生じることを防止できる安全制御システム等を提供することである。
本発明の安全制御システムは、制御対象装置の駆動制御を行う駆動制御部と前記駆動制御に係る安全制御を行う安全制御部とが1つのプロセッサ上に備えられる安全制御システムであって、予め前記駆動制御部、安全制御部それぞれに係るデータ格納領域として所定の記憶領域が割り当てられており、前記駆動制御部がアクセス不可の記憶領域として、前記安全制御部に割り当てられた記憶領域が登録されるメモリ保護情報記憶手段と、前記駆動制御部によるメモリアクセス実行の際、当該アクセス先と前記メモリ保護情報記憶手段に登録された登録情報を参照し、当該アクセス先が前記アクセス不可の記憶領域であった場合、前記駆動制御部による前記安全制御部に割り当てられた記憶領域へのメモリアクセスを阻止するメモリ保護手段とを有する。
更に、前記安全制御部は二重化されており、該二重化された安全制御部それぞれに対して前記所定の記憶領域が割り当てられており、前記メモリ保護情報記憶手段に登録される情報は、前記駆動制御部は前記二重化された各安全制御部に割り当てられた各記憶領域のどちらにもアクセス不可であるが、前記二重化された各安全制御部はどちらも前記駆動制御部に割り当てられた記憶領域にはアクセス可能である。
更に、前記安全制御部は二重化されており、該二重化された安全制御部それぞれに対して前記所定の記憶領域が割り当てられており、前記メモリ保護情報記憶手段に登録される情報は、前記駆動制御部は前記二重化された各安全制御部に割り当てられた各記憶領域のどちらにもアクセス不可であるが、前記二重化された各安全制御部はどちらも前記駆動制御部に割り当てられた記憶領域にはアクセス可能である。
本発明の安全制御システム等によれば、1つのプロセッサ上に駆動制御機能と安全機能とが搭載された構成であっても、問題なく動作するようにでき、特に駆動制御機能の異常によって安全機能に悪影響が生じることを防止できる。
以下、図面を参照して、本発明の実施の形態について説明する。
本発明は、何らかの駆動制御対象の駆動制御機能と、その安全関連制御を行う安全機能(セーフティモジュール)とを、1つのプロセッサ(CPU)上に搭載しても問題なく動作させるものである。そして、本例では、駆動制御対象がモータである例を用いるものとするが、この例に限らない。
本発明は、何らかの駆動制御対象の駆動制御機能と、その安全関連制御を行う安全機能(セーフティモジュール)とを、1つのプロセッサ(CPU)上に搭載しても問題なく動作させるものである。そして、本例では、駆動制御対象がモータである例を用いるものとするが、この例に限らない。
本例では、モータの駆動制御機能(モータ制御部)とセーフティモジュール(セーフティ部)を一体化する(1個のCPUで実現する)ことで、システム構成を簡素化し以ってコスト削減を実現すると共に、処理効率を向上させることができる。すなわち、モータ制御機能、及び安全機能(安全制御機能、安全監視機能、診断機能;尚、安全機能は二重化してもよい)は、“モータ制御兼セーフティ回路”1に搭載した1個のCPU2上で処理実現する。これによりCPUの個数を削減でき、システム構成が簡素化し、コスト削減を実現できる。但し、この構成の場合、任意の処理機能の異常(Loop等)によって他の処理機能(特に安全機能)が実行できなくなったりメモリ(データ)破壊等の問題が生じる。
この問題に対して、本手法の“モータ制御兼セーフティ回路CPU”2は、メモリ保護機能を備える。つまり、モータ制御部のプログラムは、セーフティ部のメモリへの書き込みを出来ないように制御する。尚、セーフティ部のプロブラムはモータ制御部のメモリにもアクセス可能としてもよい。
また、後述する時間監視処理を行うことで、任意の処理機能が暴走してLoopしても、他の処理(特に安全機能)が実行出来なくなるようなことはない。更に、本例のモータ制御兼セーフティ回路のCPUでは、安全機能(安全制御機能や安全監視機能等)をモータ制御機能よりも優先処理するように構成してもよい。このようにして、非安全の処理が安全制御に影響することを防止することができる。
また、従来では“モータ制御部&セーフティ部”を複数のCPUで実現している為に、モータ制御部−セーフティ部間でデータ送受信を行う必要がある場合には(特に、セーフティ部がモータ制御部に何らかの安全指令(モータ停止/減速等)を出す場合など)、CPU間の通信(シリアル通信等)が必要であった。つまり、モータ制御部のCPUとセーフティ部のCPUとの間で通信が必要であった。
これに対して、本手法では、プロセッサ間の通信は必要なく、1つのCPU内でメモリに直接アクセスすることでモータ制御部−セーフティ部間のデータ交換を実現できる。例えば後述するセーフティ部αなどが、非セーフティ部のデータ領域(‘7000’番地台)に安全指令を書き込めば済む。これによって、モータ制御部−セーフティ部間のデータ交換を高速化できる効果も得られる。
あるいは、従来では、メモリアクセスの制御に関してDMA(Direct Memory Access)を使用する場合があった。DMAは、外部とのデータ送受信やプロセッサ間のデータ送受信に用いられており、よく知られたメリットがあるが、MMU(Memory Management Unit)などによるメモリ保護機能が効かなくなる(よってメモリ破壊等を防止できない)というデメリットがある。
これに対して本構成では、メモリアクセス(特にモータ制御部−セーフティ部間でのデータ交換)の制御に関してDMAを使用しないことにより(そもそも、上記の通り、プロセッサ間通信ではなくプロセッサ内でのメモリアクセスによって、モータ制御部−セーフティ部間のデータ交換を実現できる。)、メモリアクセスをCPUの制御に一元化でき、処理が簡素化し安全性を向上できる。
また、STO(安全トルクオフ)は、ハードロジックで二重化対応する。これによりハードウェアフォールトトレランスを実現するシステム構成となる。
以下、図1の各構成について詳細に説明する。
以下、図1の各構成について詳細に説明する。
図1は、本例の安全モータ制御システムの構成図である。
尚、図示の安全モータ制御システムは、本発明の安全制御システムの一例であり、制御対象がモータである場合の例であるが、この例に限らない。制御対象は、モータ以外であってもよい(例えばカッター、プレスなど)。
尚、図示の安全モータ制御システムは、本発明の安全制御システムの一例であり、制御対象がモータである場合の例であるが、この例に限らない。制御対象は、モータ以外であってもよい(例えばカッター、プレスなど)。
本例の安全モータ制御システムは、概略的には、駆動制御対象であるモータ4と、このモータ4を安全に制御する為の“モータ制御兼セーフティ回路”1、給電遮断部3等を有する。尚、PG(Pulse Generator)6等も有する。
これらの構成のうち、まず、“モータ制御兼セーフティ回路”1以外の構成について説明する。
図には、まず、駆動制御対象の一例であるモータ4を示してある。モータ4は、“モータ制御兼セーフティ回路”1からモータ4へ給電する制御出力により、その回転数が制御される。また、モータ4は、ブレーキ制御部5により制動制御されるブレーキ装置(不図示)を含むものである。
図には、まず、駆動制御対象の一例であるモータ4を示してある。モータ4は、“モータ制御兼セーフティ回路”1からモータ4へ給電する制御出力により、その回転数が制御される。また、モータ4は、ブレーキ制御部5により制動制御されるブレーキ装置(不図示)を含むものである。
給電遮断部3は、“モータ制御兼セーフティ回路”1からモータ4へ給電する制御出力を遮断する。この遮断の為の構成として、給電遮断部3は図示の構成を有する。すなわち、まず、当該制御出力のモータ4への供給ライン上に、阻止SW(スイッチ)19が設けてある。阻止スイッチ19は二重化されている。よって、図示の2つの阻止スイッチ19の何れか一方がオフになれば、上記制御出力の遮断が実現されることになる。尚、阻止スイッチ19は二重化に伴って、その制御の為の構成も二重化されている。すなわち、図示のように、電気的な絶縁を行うPHC(フォトカップラ)20や、OR回路21等も二重化されている。
各OR回路21には、外部からのSTO入力が入力されると共に、“モータ制御兼セーフティ回路CPU”2の安全入出力処理部17からの出力も入力されて、これら2つの入力の論理和がOR回路21から出力される。OR回路21からの出力は、PHC(フォトカップラ)20を介して、阻止スイッチ19に入力され、阻止スイッチ19をON/OFF制御することになる。
上記構成により給電遮断部3は、外部からのSTO入力または“モータ制御兼セーフティ回路CPU”2の安全入出力処理部17からの出力に応じて、“モータ制御兼セーフティ回路CPU”2の制御出力処理部12からの上記制御出力を、阻止スイッチ19によって遮断する。
尚、阻止スイッチ19の動作情報は、“モータ制御兼セーフティ回路CPU”2の安全入出力処理部17へフィードバックする。また、尚、遮断の方法は3レベルなど、方式によって異なった対応をする。
また、上記OR回路21からの出力は、PHC20を介して阻止スイッチ19に入力されるだけでなく、更に、ブレーキ制御5への制御出力にもなる。また、制御出力のフィードバックとして、“モータ制御兼セーフティ回路CPU”2の制御出力処理部12へ出力する。
ブレーキ制御部5は、上記給電遮断部3からの制御入力に従い、上記不図示のブレーキ装置を制動制御する。尚、ブレーキ装置の診断のため、制動制御のフィードバック信号を“モータ制御兼セーフティ回路CPU”2の安全入出力処理部17へ送る。
PG(Pulse Generator)6は、モータ軸の回転に応じたパルス信号を発生する。当該パルスデータは“モータ制御兼セーフティ回路CPU”2の安全入出力処理部17へ送られる。尚、センサレスベクトル制御の場合は、PG6の代わりに制御出力電圧と電流を使用するので、PG6は不要であり、代わりに電流計を設置する。
また、安全関連デバイス18は、各種センサ等である。つまり、安全関連デバイス18の入出力としては、例えば温度センサ(SMTの場合はモータ温度センサ)、電源電圧、外部クロックからの入力、外部ウオッチドックへのリセット出力等がある。
次に、以下、“モータ制御兼セーフティ回路”1について説明する。
“モータ制御兼セーフティ回路”1は、“モータ制御兼セーフティ回路CPU”2、安全関連デバイス18等で構成される。上記の通り、本手法では、モータ制御機能及び安全機能(安全制御機能、安全監視機能、診断機能)は、“モータ制御兼セーフティ回路”1に搭載した1個のCPU(“モータ制御兼セーフティ回路CPU”2)で実現する。
“モータ制御兼セーフティ回路”1は、“モータ制御兼セーフティ回路CPU”2、安全関連デバイス18等で構成される。上記の通り、本手法では、モータ制御機能及び安全機能(安全制御機能、安全監視機能、診断機能)は、“モータ制御兼セーフティ回路”1に搭載した1個のCPU(“モータ制御兼セーフティ回路CPU”2)で実現する。
但し、それ故に、モータ制御機能や安全機能の処理に異常が生じた場合の各種問題(Loopや格納データ異常など)が生じる。この問題に対応する為に特に割込入力処理部7、メモリ保護機能部8等(更にメモリ保護設定処理部9等も)を有している。尚、“モータ制御兼セーフティ回路CPU”2において、これらの処理部7、9/機能部8以外の構成は、基本的には従来と略同様であってよい。但し、機能的には略同様であっても、本手法では上述したようにモータ制御部とセーフティモジュールを1つのCPU2上で実現されている。すなわち、セーフティ部(安全機能)としての各種機能と、非セーフティ部(モータ制御部)としての各種機能とが搭載されている。
非セーフティ部(モータ制御部)としての各種機能は、例えば図示の制御指令入力処理部10、モータ制御処理部11、制御出力処理部12等であり、上記の通り、これらの機能自体は、従来と略同様であって構わない。よって、これらについては以下に簡単に説明する。
制御指令入力処理部10は、割込入力処理部7によって起動され、外部からの制御指令を入力してモータ制御処理部11へ伝達する処理である。
モータ制御処理部11は、割込入力処理部7によって起動され、上記制御指令に対応し制御出力処理部12へ制御出力の指示を出す。尚、制御方式は、PG6からの入力により制御するVf制御方式でもよいし、センサレスベクトル制御方式でも良い。但し、センサレスベルトル制御方式の場合には、PG6の代わりに電流計を設置し、制御電圧と入力電流から演算により制御する。また、モータ制御処理部11は、例えば安全監視制御機能部14からの減速指令などに対応した制御を行う。あるいは、安全入出力処理部17へSTO診断処理に必要とする制御出力状態を送る。
モータ制御処理部11は、割込入力処理部7によって起動され、上記制御指令に対応し制御出力処理部12へ制御出力の指示を出す。尚、制御方式は、PG6からの入力により制御するVf制御方式でもよいし、センサレスベクトル制御方式でも良い。但し、センサレスベルトル制御方式の場合には、PG6の代わりに電流計を設置し、制御電圧と入力電流から演算により制御する。また、モータ制御処理部11は、例えば安全監視制御機能部14からの減速指令などに対応した制御を行う。あるいは、安全入出力処理部17へSTO診断処理に必要とする制御出力状態を送る。
制御出力処理部12は、割込入力処理部7によって起動され、上記モータ制御処理部11の指示により、モータ4の制御に必要な出力を行う。これは、例えば、PWM制御を行う場合は、当該処理部12と給電遮断部3の間にPWM制御信号を発生するハードウェアを設けてもよく、更に給電遮断部3とモータ4の間にPWM制御用のスイッチング素子を設けてもよい。
尚、以下の説明では、上記3つの処理部10,11,12を、まとめて、非セーフティ部(またはモータ制御部)等と呼ぶ場合もあるものとする。
また、上記セーフティ部としての各種機能のなかで基本的な機能は、従来と略同様であって構わない。すなわち、セーフティ部としての基本的な機能は、安全指令入力処理部13、安全監視制御機能部14、CPU診断機能部16、安全入出力処理部17などであり、これら自体は従来と略同様であって構わない。
また、上記セーフティ部としての各種機能のなかで基本的な機能は、従来と略同様であって構わない。すなわち、セーフティ部としての基本的な機能は、安全指令入力処理部13、安全監視制御機能部14、CPU診断機能部16、安全入出力処理部17などであり、これら自体は従来と略同様であって構わない。
尚、本手法では、これら基本的な機能が二重化されている(後述するセーフティ部α、セーフティ部β)。尚、安全関連処理の基本的な機能が二重化されること自体は、従来でも行っているが、従来ではモータ制御部のプロセッサとは別のプロセッサ(CPU)によって安全機能を実現していた。
これに対して本手法では1つのプロセッサ(“モータ制御兼セーフティ回路CPU”2)上で後述するセーフティ部α、セーフティ部βを実現し、更に上記非セーフティ部(モータ制御部)も実現する。それ故に生じる問題に対して、上記セーフティ部としての機能として、更に、上述した割込入力処理部7、メモリ保護機能部8等(更にメモリ保護設定処理部9等を設けているものである。
以下、まず、上記セーフティ部としての基本的な機能(13,14,16.17)について(既存技術であるので)簡単に説明するものとし、詳細な説明は省略する。
安全指令入力処理部13には、図1に示すように、不図示の外部の構成からのSTO入力や“STO以外の安全入力”が入力されており、且つ、これらの入力は二重化されている。尚、STO入力は、単に、2重化されたSTO入力の両方が正常状態である(断線等していない)ことをCPU2がチェックする為に、CPU2に入力しているものである。尚、特に図示しないが、STO入力は、例えば作業員等が外部の不図示の非常停止ボタンを押すことで、(正常であれば)2重化されたSTO入力の両方ともONとなるように構成している。また、“STO以外の安全入力”とは、例えばSS1等である。
安全指令入力処理部13には、図1に示すように、不図示の外部の構成からのSTO入力や“STO以外の安全入力”が入力されており、且つ、これらの入力は二重化されている。尚、STO入力は、単に、2重化されたSTO入力の両方が正常状態である(断線等していない)ことをCPU2がチェックする為に、CPU2に入力しているものである。尚、特に図示しないが、STO入力は、例えば作業員等が外部の不図示の非常停止ボタンを押すことで、(正常であれば)2重化されたSTO入力の両方ともONとなるように構成している。また、“STO以外の安全入力”とは、例えばSS1等である。
安全指令入力処理部13は、割込入力処理部7によって起動され、上記二重化されたSTO入力の診断、上記二重化された“STO入力以外の安全指令入力”の診断を行い、安全監視制御機能部14へ入力情報や診断結果を出力する。入力はワイヤでの入力または通信での入力のどちらでも良い。通信の場合は必要に応じ、安全通信に対応するIEC61784-3やIEC62280の要件に沿った診断を行う。
安全監視制御機能部14は、割込入力処理部7によって起動され、上記安全指令入力処理部13からの出力により、STO,SBC以外の安全機能を実行する。また、各安全機能の要件に従い、PG6からの入力により位置、速度、加速度の監視、モータ制御処理部11への加減速指示、安全入出力処理部17への安全出力指示等を行う。尚、センサレスベクトル制御の場合は、PG6の代わりに設置した電流計からの電流とモータ制御処理部11からの制御電圧出力を使用して、演算により、必要とする位置、速度、加速度を求める。また、安全停止状態へ移行する場合は、モータ制御処理部11への加減速指示や安全入出力処理部17へ停止指示等を行う。
CPU診断機能部16は、割込入力処理部7によって起動され、当該CPU2の診断を行う。その際、診断に関連するデータを安全入出力処理部17とやりとりする。診断方法は、要求される自己診断率(DC;Diagnosis Coverage)に依存する。診断対象は、メモリ保護装置、バス、割込装置、クロック、CPU命令、ROM,RAM,レジスタ、スタック領域、プログラムシーケンス、クロック、温度、電源などである(何れもCPU内の不図示の構成やデータ等)。診断の結果、安全停止状態へ移行する場合は、安全監視制御機能部14に対して、モータ制御処理部11への加減速指示や安全入出力処理部17への停止指示等を依頼する。
安全入出力処理部17は、割込入力処理部7によって起動され、安全関連デバイス18との入出力処理、給電遮断部3への出力処理、ブレーキ制御部5への出力処理、安全出力処理等を行う。尚、給電遮断部3への出力、および安全出力は、二重化する。尚、給電遮断部3への出力、ブレーキ制御部5への出力に関しては、フィードバックの入力により出力診断をする。また、定周期で、STO診断処理を行う。診断の結果、安全停止状態へ移行する場合は、安全監視制御機能部14を経由してモータ制御処理部11への加減速指示等を行う。また安全入出力処理部17自身への停止指示等を行う。出力はワイヤでの出力または通信での出力のどちらでも良い。通信の場合は必要に応じ、安全通信に対応するIEC61784-3やIEC62280の沿った診断を行う。
また、安全入出力処理部17は、例えばPG6からの出力等に基づいて異常発生か否かを判定し、異常発生の場合にはOR回路21に対して上記STO入力に相当する信号を出力する。この様に、外部からの指令またはCPU2の判断によって、給電遮断部3による給電遮断やブレーキ制御が実行される構成となっている。
そして、本例では、上述した基本的な機能に対して、更に、割込入力処理部7、メモリ保護機能部8、メモリ保護設定処理部9等を設けているものである。
すなわち、“モータ制御兼セーフティ回路CPU”2は、メモリ保護機能部8(MMU;Memory Management Unitの機能の1つ)を備え、基本的には、非セーフティ部は、セーフティ部のデータ記憶領域へのアクセス(特に書き込み)を行えないようにする。
すなわち、“モータ制御兼セーフティ回路CPU”2は、メモリ保護機能部8(MMU;Memory Management Unitの機能の1つ)を備え、基本的には、非セーフティ部は、セーフティ部のデータ記憶領域へのアクセス(特に書き込み)を行えないようにする。
これによって、メモリ空間に関して、非安全処理(非セーフティ部)による安全処理(セーフティ部)への影響をなくすことができる。つまり、非セーフティ部の処理中に何らかの異常が発生してセーフティ部のデータ記憶領域へのアクセス(特に書込み)が行われることでセーフティ部の処理に異常が生じる、等といった事態を防止できる。
尚、セーフティ部は、非セーフティ部のデータ記憶領域への書き込みを行えるようにする。これは、例えば上記モータ制御処理部11への停止や加減速指示等を行うためには、当該書込みが必要となるからである。尚、勿論、セーフティ部も非セーフティ部も、どちらも、自己のデータ記憶領域へのアクセスは行えるようにする。
メモリ保護機能部8は、例えば後述する図3の各テーブルを用いて、後述する図4の処理を実行することで、上記機能を実現する。詳しくは後述する。
尚、メモリ保護機能部8は、CPU2のメモリ保護をするCPU内蔵装置である。メモリ保護機能部8は、例えばMMU(Memory Management Unit)の機能の1つとして実装されている。尚、後述する図3の各テーブルは、メモリ保護設定処理部9によって、例えばユーザにより任意に設定される。
尚、メモリ保護機能部8は、CPU2のメモリ保護をするCPU内蔵装置である。メモリ保護機能部8は、例えばMMU(Memory Management Unit)の機能の1つとして実装されている。尚、後述する図3の各テーブルは、メモリ保護設定処理部9によって、例えばユーザにより任意に設定される。
割込入力処理部7は、CPU外部のクロックからCPUへ入力、またはCPU内蔵クロックから定周期で発生する割込入力によって起動される処理を実行する部分であり、例えば後述する図5の割込入力処理や図6の時間監視処理を実行する。これに関しては後に詳しく説明する。
また、割込入力処理部7は、基本的には、CPU2に対する外部割込、および内部割込入力を伝達するCPU内蔵装置であって、割込に応じて各処理を起動する機能を持つ。すなわち、割込入力処理部7は、任意の割込みに応じて、メモリ保護設定処理部9、制御指令入力処理部10、モータ制御処理部11、制御出力処理部12、安全指令入力処理部13、安全監視制御機能部14、CPU診断機能部16、安全入出力処理部17の起動を制御する。
割込入力処理部7は、上記各処理(モータ制御部の各処理と安全制御部の各処理)をその割込優先順位(タスクレベル)に応じて実行させると共に、例えば、割込優先順位が最も高い上記時間監視処理を定周期で実行させる。時間監視処理は、例えば、その時点で未だ実行中の処理があった場合には該処理を強制終了させる。
また、“モータ制御兼セーフティ回路CPU”2では、セーフティ部のプログラム(安全制御機能と安全監視機能のプロブラム)を起動する割り込み優先順位を、非セーフティ部(モータ制御部)のプロブラムを起動する割り込み優先順位よりも優先順位を高くする。これにより、非安全の処理が安全制御に影響することをなくすことができ、非安全の機能部であるモータ制御部と安全の機能部であるセーフティ部とを、時間的に分離することができる。
“モータ制御兼セーフティ回路CPU”2は、不図示の内蔵メモリに予め所定のアプリケーションプログラムが記憶されており、当該CPU2がこのアプリケーションプログラムを実行することにより上述した各種処理部/機能部の処理機能が実現される。すなわち、上記割込入力処理部7、メモリ保護機能部8、メモリ保護設定処理部9、制御指令入力処理部10、モータ制御処理部11、制御出力処理部12、安全指令入力処理部13、安全監視制御機能部14、CPU診断機能部16、安全入出力処理部17等の各種処理機能が実現される。特に、当該CPU2が上記アプリケーションプログラムを実行することによって、後述する図4や図6に示すフローチャート図の処理が実行される。
また、上記不図示のメモリには、後述する図3に示す各種テーブル30、40等も記憶される。
以下、図2、図3、図4、図5、図6を参照して、上記割込入力処理部7、メモリ保護機能部8、メモリ保護設定処理部9等について、更に詳細に説明する。
以下、図2、図3、図4、図5、図6を参照して、上記割込入力処理部7、メモリ保護機能部8、メモリ保護設定処理部9等について、更に詳細に説明する。
まず、本例では上述した通り1つのCPU(“モータ制御兼セーフティ回路CPU”2)上に、セーフティ部としての各種機能と、非セーフティ部(モータ制御部)としての各種機能とが搭載されているが、更にセーフティ部に関しては図2(a)に示すように二重化されている。
すなわち、図2(a)に示すように、“モータ制御兼セーフティ回路CPU”2上には、概略的には非セーフティ部とセーフティ部αとセーフティ部βの3つの機能部が搭載されている。セーフティ部αとセーフティ部βとは、同一の処理を実行する機能部であり、且つ、入力も同じである。つまり、セーフティ部αの入力である図示の安全入力(1)と、セーフティ部βの入力である図示の安全入力(2)とは、同一である。従って、正常な状態であれば、セーフティ部αの処理結果である図示の安全出力(1)と、セーフティ部βの処理結果である図示の安全出力(2)とは、同一となるはずである。これを利用して、セーフティ部αとセーフティ部βとが相互に入力や出力(処理結果)をチェックして一致/不一致を確認することで、正常な否かをチェックできることになる。
セーフティ部αとセーフティ部βは同じ処理をセーフティ部αとセーフティ部βそれぞれ独立に行うことにより、並列二重化処理(Dual処理)を実現する。セーフティ部αとセーフティ部βの独立性を高めるため、例えばセーフティ部αの処理が暴走することでセーフティ部βのデータを破壊することを防止するため、セーフティ部αからセーフティ部βへのデータ書き込み、及び、セーフティ部βからセーフティ部αへのデータ書き込みを禁止している。
尚、上記安全入力(1)、(2)は、基本的には、図1に示す“STO以外の安全入力”(例えばSS1など)である。
尚、上述したように、セーフティ部としての基本的な機能は、安全指令入力処理部13、安全監視制御機能部14、CPU診断機能部16、安全入出力処理部17などであり、これら自体は従来と略同様であって構わない。また、上記セーフティ部αとセーフティ部βは、セーフティ部としての基本的な機能部分であるものと見做してもよい。
尚、上述したように、セーフティ部としての基本的な機能は、安全指令入力処理部13、安全監視制御機能部14、CPU診断機能部16、安全入出力処理部17などであり、これら自体は従来と略同様であって構わない。また、上記セーフティ部αとセーフティ部βは、セーフティ部としての基本的な機能部分であるものと見做してもよい。
そして、例えば上記メモリ保護機能部8が、予め設定される例えば図2(b)や図3に示すようなメモリ保護情報に基づいて、例えば後述する図4の処理を実行することで、メモリ空間に関して非安全処理(非セーフティ部)による安全処理(セーフティ部)への影響をなくすことができる。
図2(b)に、メモリ保護情報の一例を示す。尚、実際には、後述する図3(a)のアドレス変換テーブル30と図3(b)のアクセス不可テーブル40とによって、メモリ保護情報が構成されることになる。
図2(b)には、まず、各プロセス(非セーフティ部、セーフティ部α、セーフティ部β)毎に予め割り当てられている記憶領域を示してある。すなわち、セーフティ部αのプログラム格納領域として‘1000’番地台(図示の‘0x’は省略する;他も同様)が割り当てられている。セーフティ部βのプログラム格納領域として‘2000’番地台が割り当てられている。非セーフティ部のプログラム格納領域として‘3000’番地台〜‘4000’番地台が割り当てられている。CPU2は、例えば‘1000’番地台の記憶領域に格納されているプログラムを読出し・実行することで、セーフティ部αの処理機能を実現させる。
また、セーフティ部αに係るデータ格納領域として‘5000’番地台が割り当てられている。セーフティ部βに係るデータ格納領域として‘6000’番地台が割り当てられている。非セーフティ部に係るデータ格納領域として‘7000’番地台が割り当てられている。
そして、上記各プロセス(非セーフティ部、セーフティ部α、セーフティ部β)毎のメモリ領域に対して、図示のように各プロセス(非セーフティ部、セーフティ部α、セーフティ部β)毎にメモリ保護情報が設定されている。これは、例えば上記メモリ保護設定処理部9の機能によって、ユーザ等が任意に設定するものである。
すなわち、まず、セーフティ部αに関する図示のメモリ保護情報によれば、セーフティ部αは、プログラム格納領域に関しては全領域について読込可能となっている(換言すれば書込みは不可)。つまり、セーフティ部αは、‘1000’番地台、‘2000’番地台、‘3000’番地台、‘4000’番地台は、リードオンリーのアクセスが可能となっている。尚、これは、図示の通り、セーフティ部βと非セーフティ部に関しても同様である。つまり、プログラム格納領域に関しては、非セーフティ部、セーフティ部α、セーフティ部βの全てが、全領域について(自己の領域だけでなく他の領域も)リードオンリーのアクセスが可能となっている。リードオンリーであるので、書込みよるデータ破壊等は生じないからである。
一方で、データ格納領域に関しては下記の通りとなっている。
すなわち、まず、セーフティ部αは、自己のデータ格納領域である‘5000’番地台に関しては、当然、読書可(リードライト可能)となっているが、非セーフティ部のデータ格納領域である‘7000’番地台に関しても、読書可(リードライト可能)となっている。これは、非セーフティ部に対して安全の為の何らかの指令を出す為には、非セーフティ部のデータ格納領域への所定の書込みを行う必要があるからである。その一方で、セーフティ部αは、セーフティ部βのデータ格納領域である‘6000’番地台に関しては、アクセス不可となっている。
すなわち、まず、セーフティ部αは、自己のデータ格納領域である‘5000’番地台に関しては、当然、読書可(リードライト可能)となっているが、非セーフティ部のデータ格納領域である‘7000’番地台に関しても、読書可(リードライト可能)となっている。これは、非セーフティ部に対して安全の為の何らかの指令を出す為には、非セーフティ部のデータ格納領域への所定の書込みを行う必要があるからである。その一方で、セーフティ部αは、セーフティ部βのデータ格納領域である‘6000’番地台に関しては、アクセス不可となっている。
また、セーフティ部βも、自己のデータ格納領域である‘6000’番地と非セーフティ部のデータ格納領域である‘7000’番地台は、読書可(リードライト可能)となっているが、セーフティ部αのデータ格納領域である‘5000’番地台に関しては、アクセス不可となっている。
また、非セーフティ部は、自己のデータ格納領域である‘7000’番地のみ読書可(リードライト可能)となっており、セーフティ部α、βのデータ格納領域である‘5000’番地台、‘6000’番地台に関しては、アクセス不可となっている。これによって、たとえ非セーフティ部が処理実行中に異常となっても、セーフティ部のデータ格納領域に勝手にアクセスしてデータ書き換え等を行うような事態にはならず、安全機能に悪影響を及ぼすようなことはなくなる。
既に述べたように、図2(b)に示すようなメモリ保護情報は、実際には図3(a)、図3(b)に示す2つのテーブル30、40の形で設定・登録されている。
図3(a)に示すように、アドレス変換テーブル30は、論理アドレス31と物理アドレス32とが対応付けられると共に、これらアドレスに対してメモリ保護33の情報が設定されている。メモリ保護33は、図示の例では‘0’が“読込可(リードオンリー)”、‘1’が“読書可(リードライト可)”を意味する。論理アドレス31と物理アドレス32は、例えば16進数の1000番地単位で設定される。つまり、図示の例では、例えば論理アドレス31が‘2000’番地台は‘0’(リードオンリー)、‘5000’番地台は‘1’(リードライト可)となっている。
図3(a)に示すように、アドレス変換テーブル30は、論理アドレス31と物理アドレス32とが対応付けられると共に、これらアドレスに対してメモリ保護33の情報が設定されている。メモリ保護33は、図示の例では‘0’が“読込可(リードオンリー)”、‘1’が“読書可(リードライト可)”を意味する。論理アドレス31と物理アドレス32は、例えば16進数の1000番地単位で設定される。つまり、図示の例では、例えば論理アドレス31が‘2000’番地台は‘0’(リードオンリー)、‘5000’番地台は‘1’(リードライト可)となっている。
“モータ制御兼セーフティ回路CPU”2上では、任意のプロセス実行中にメモリアクセスを行う場合に生成されたアドレス(論理アドレス)は、アドレス変換テーブル30を参照することで物理アドレスに変換されて、この物理アドレスによってメモリへアクセスすることになる。更に、その際に、当該アドレスに対応するメモリ保護33を参照することで、アクセス方法がリードオンリーであるのかリードライト可であるのかを判別したうえで、判別結果に応じたメモリアクセス制御を行う。但し、本手法では、更に図3(b)のアクセス不可テーブル40も参照することで、メモリアクセスを行うプロセスが上記アドレス(論理アドレス)に対応する記憶領域にアクセス可であるか否かを判別することでメモリ保護制御をする。このメモリ保護制御は、例えばメモリ保護機能部8が実行するものであり、その処理例を図4に示し、後に説明するものとし、その前に、図3(b)のアクセス不可テーブル40について説明する。
図3(b)のアクセス不可テーブル40は、論理アドレス41、セーフティ部α42、セーフティ部β43、非セーフティ部44の各データ項目より成る。論理アドレス41は、上記論理アドレス31と同様、16進数の1000番地単位で設定される。
そして、この1000番地単位のメモリ記憶領域毎に、上記各プロセスがその記憶領域にアクセス可能か否かが設定されるものである。例えば、セーフティ部α42のデータ項目欄には、上記1000番地単位の記憶領域毎に上記セーフティ部αがアクセス可能か否かが設定される。尚、ここでは、‘0’がアクセス可、‘1’がアクセス不可を意味する。
これより、図示の例では、例えばセーフティ部αは、‘6000’番地台のみがアクセス不可であり、それ以外の記憶領域(‘1000’番地台、‘2000’番地台、‘3000’番地台、‘4000’番地台、‘5000’番地台、‘7000’番地台)は、アクセス可能となっている。そして、これらアクセス可能な各記憶領域に関して、更に、上記アドレス変換テーブル30を参照することで、読込可(リードオンリー)であるか読書可(リードライト可能)であるかを識別できる。
ここで、図4を参照して、上記メモリ保護機能部8の処理例について説明する。
図4の処理は、任意のプロセスが任意のメモリアクセスを試みる際に起動される。
図4において、まず、メモリアクセスを行うプロセス(非セーフティ部、セーフティ部α、セーフティ部βの何れか)を識別すると共に(ステップS11)アクセス先の論理アドレスを取得する(ステップS12)。そして、アクセス不可テーブル40を参照することで、上記ステップS11で識別したプロセスが、当該アクセス先の論理アドレスに対応する記憶領域にアクセス可能であるか否かを判別する(ステップS13、S14)。
図4の処理は、任意のプロセスが任意のメモリアクセスを試みる際に起動される。
図4において、まず、メモリアクセスを行うプロセス(非セーフティ部、セーフティ部α、セーフティ部βの何れか)を識別すると共に(ステップS11)アクセス先の論理アドレスを取得する(ステップS12)。そして、アクセス不可テーブル40を参照することで、上記ステップS11で識別したプロセスが、当該アクセス先の論理アドレスに対応する記憶領域にアクセス可能であるか否かを判別する(ステップS13、S14)。
もし、アクセス不可であった場合には(ステップS14、YES)、所定のCPU異常処理を実行する(ステップS17)。当該CPU異常処理については特に説明しない。
一方、もしアクセス可能であるならば(ステップS14,NO)、上記アドレス変換テーブル30から上記ステップS12で取得した倫理アドレスに対応する物理アドレス32とメモリ保護33の情報を取得して(ステップS15)、これら取得した情報をMMUにセットする(LDTLB)。
一方、もしアクセス可能であるならば(ステップS14,NO)、上記アドレス変換テーブル30から上記ステップS12で取得した倫理アドレスに対応する物理アドレス32とメモリ保護33の情報を取得して(ステップS15)、これら取得した情報をMMUにセットする(LDTLB)。
尚、上記ステップS11の処理は、具体的には例えば、MMUのPTEH(ページ・テーブル・エントリの上位レジスタ)のASID(0〜7ビット)の情報を取得するものである。また、上記ステップS12の処理は、具体的には例えば、MMUのPTEH(ページ・テーブル・エントリの上位レジスタ)のVPN(10〜15ビット)の情報を取得するものである。また、上記ステップS16の処理は、具体的には例えば、MMUのPTEL(ページ・テーブル・エントリの下位レジスタ)のPPN(10〜15ビット)、PR5〜6ビット)に、上記取得した物理アドレス32とメモリ保護33のデータをセットするものである。
図2(b)や図3(a)、(b)に示すメモリ保護情報に基づいて、図4の処理を実行することで、例えば、非セーフティ部(モータ制御部)がセーフティ部(セーフティ部α、セーフティ部β)のデータ格納領域にアクセスしようとしても、ステップS14の判定がYESとなるので、リードもライトも出来ないことになる。また、非セーフティ部(モータ制御部)は、セーフティ部(セーフティ部α、セーフティ部β)のプログラム格納領域については、リードは出来てもライトは出来ないことになる(ステップS16でセットされるメモリ保護33の情報は、‘0’(リードオンリー)となる)。
一方、セーフティ部(セーフティ部α、セーフティ部β)は、どちらも、非セーフティ部のデータ格納領域にはアクセス可能であるが、他方のセーフティ部(セーフティ部αから見れば、セーフティ部βが他方のセーフティ部)のデータ格納領域にはアクセスできない(リードもライトも不可)。
次に、割込入力処理部7により処理について、図5、図6を参照して説明する。
図5は、割込入力処理部7の制御による各プロセスの実行シーケンス図である。
図6は、割込入力処理部7によって定周期で実行される時間監視処理の処理フローチャート図である。
図5は、割込入力処理部7の制御による各プロセスの実行シーケンス図である。
図6は、割込入力処理部7によって定周期で実行される時間監視処理の処理フローチャート図である。
まず、図5について説明する。
図5の例では、セーフティ部(セーフティ部α、セーフティ部β)の処理を、CPU診断処理と、“CPU診断処理以外の処理”とに分けている。尚、CPU診断処理は、上記CPU診断機能部16によって実現される。また、“CPU診断処理以外の処理”は、上記安全指令入力処理部13、安全監視制御機能部14、安全入出力処理部17によって実現される。これら処理の詳細については特に説明しない(既存技術であるので)。
図5の例では、セーフティ部(セーフティ部α、セーフティ部β)の処理を、CPU診断処理と、“CPU診断処理以外の処理”とに分けている。尚、CPU診断処理は、上記CPU診断機能部16によって実現される。また、“CPU診断処理以外の処理”は、上記安全指令入力処理部13、安全監視制御機能部14、安全入出力処理部17によって実現される。これら処理の詳細については特に説明しない(既存技術であるので)。
また、非セーフティ部の処理も、図では2つに分けられており、図示の非セーフティ部処理Aと、非セーフティ部処理Bとから成るが、これらの分け方には特に意味はないので特に説明しない。
また、図示の例では、上記各種処理の割込優先順位は、優先順位が高いものから順に、時間監視処理→“CPU診断処理以外の処理”→非セーフティ部処理A→CPU診断処理→非セーフティ部処理Bとなっている。必ずもこの例に限るものではないが、時間監視処理は最も優先順位が高いものとすることが望ましい。そして、時間監視処理は予め決められた定周期で実行される。これによって、セーフティ部または非セーフティ部が処理実行中に暴走してループ状態になったとしても、時間監視処理が定周期で実行されることで、後述するように強制終了することが可能となる。これにより、非安全の処理が安全制御に影響することをなくすことができる。
また、セーフティ部αまたはセーフティ部βが暴走してループ状態になっても、セーフティ部の他方(セーフティ部αが暴走したらセーフティ部β)に影響することをなくすことができ、他方によるセーフティ処理を継続することができる。
尚、上記各種処理の割込優先順位は、優先順位が高いものから順に、時間監視処理→“CPU診断処理以外の処理”→CPU診断処理→非セーフティ部処理A,B等としてもよい。つまり、セーフティ部は非セーフティ部よりも常に優先順位が高いものとしてもよい。これによって、非セーフティ部が処理実行中に異常(LOOP等)になったとしても、セーフティ部の処理実行タイミングになれば(割込みが生じれば)、セーフティ部が実行されることになる。つまり、セーフティ部が非セーフティ部の異常による悪影響を受けないようにできる。
以下、図6に示す時間監視処理の処理フローチャート図について説明する。
図示の例の時間監視処理では、まず、定周期内の全ての処理(“CPU診断処理以外の処理”、非セーフティ部処理A、CPU診断処理、非セーフティ部処理B)が完了しているか否かを確認・判定する(ステップS21,S22)。これは例えば、正常状態であれば定周期内に全ての処理が完了するように予め設定されているものである。但し、ステップS21の処理は、単に現在実行中の処理があるか否かをチェックするだけであってもよい(現在実行中の処理があれば、ステップS22の判定はNO)。
図示の例の時間監視処理では、まず、定周期内の全ての処理(“CPU診断処理以外の処理”、非セーフティ部処理A、CPU診断処理、非セーフティ部処理B)が完了しているか否かを確認・判定する(ステップS21,S22)。これは例えば、正常状態であれば定周期内に全ての処理が完了するように予め設定されているものである。但し、ステップS21の処理は、単に現在実行中の処理があるか否かをチェックするだけであってもよい(現在実行中の処理があれば、ステップS22の判定はNO)。
そして、定周期内の全ての処理が完了している場合には(ステップS22,YES)、ウォッチドッグタイマをリセットし(ステップS23)、ウォッチドッグタイマに所定時間を設定して再起動する(ステップS24)。この所定時間は、基本的には、次に時間監視処理が起動されるまでの時間よりも長い時間とする。つまり、正常状態であればタイムオーバーとなる前に次の時間監視処理のステップS23でリセットされるように、上記所定時間が設定される。
一方、定周期内の全ての処理が完了していない場合には(ステップS22,NO)、処理実行中の(暴走している可能性が高い)プロセスの強制終了を試みる(ステップS25)。そして、もし、強制終了が成功したならば(ステップS26,YES)、上記ステップS23,S24の処理を実行する。
一方、もし強制終了が失敗したならば(ステップS26,NO)、そのまま何も行わないことで、上記ウォッチドッグタイマがタイムオーバーするのを待つ。ウォッチドッグタイマ・タイムオーバーによって、予め設定されている“ウォッチドッグによるCPU異常処理”(ここでは特に説明しない)が実行されることになる。これによって、例えば、モータ4が停止される等の安全の為の制御が実行されることになる。
図7に、安全モータ制御システムの概略構成を従来と比較して示す。すなわち、図7(a)に従来の概略システム構成、図7(b)に本例の概略システム構成を示す。
図7(a)に示すように、従来でも給電遮断部の二重化やセーフティモジュールの二重化は行われていた。しかし、モータ制御部、セーフティモジュール(安全制御部)それぞれの機能を専用プロセッサ(CPU)により実現していた。つまり、複数のプロセッサ(CPU)が必要であった。
図7(a)に示すように、従来でも給電遮断部の二重化やセーフティモジュールの二重化は行われていた。しかし、モータ制御部、セーフティモジュール(安全制御部)それぞれの機能を専用プロセッサ(CPU)により実現していた。つまり、複数のプロセッサ(CPU)が必要であった。
この様にしていた理由は、モータ制御部と安全制御部という複数の機能が互いに影響を与える(タスク間の影響)事態を防止するためである。換言すれば、1つのCPU上に複数の機能を搭載する構成の場合、従来ではタスク間の影響を取り去ることが難しかった。
タスク間の影響とは、例えば、モータ制御部(モータ制御タスク)の処理実行中に何らかの不具合が生じた為に永久ループが発生した場合、セーフティモジュール(安全制御タスク)が実行されなくなる為、安全機能が働かなくなること等である。あるいは、モータ制御部(モータ制御タスク)の処理実行中に何らかの不具合が生じた為に、セーフティモジュール(安全制御タスク)のデータ格納領域にアクセスしてデータを書き換え等した為に(メモリ破壊)、セーフティモジュール(安全制御タスク)が正常に動作しなくなること等である。
これに対して、本手法では、上述した割込入力処理部7、メモリ保護機能部8等を設けることで、上記タスク間の影響を除去し、以って図7(b)に示すような1つのCPU上にモータ制御部と安全制御部とを搭載する構成でも問題なく動作するようにしている。すなわち、非セーフティ部、セーフティ部α、セーフティ部βの3つの機能それぞれに専用のメモリ領域を割り当てると共に、他の機能のメモリ領域へのアクセスに関しては一定の制限を課している。特に、非セーフティ部がセーフティ部α、βのデータ格納領域にアクセスするのを禁止している。
また、上述した“時間監視処理”を最も高い優先順位で設けることにより、任意の機能に何らかの不具合が生じて永久ループが発生した場合でも、強制的に処理終了して他の機能を実行可能とすることができる。
上述した様に、本手法によれば、モータ制御部と(例えば二重化された)安全制御部とを1つのCPU上に搭載しても、問題なく(特に安全機能に問題が生じることなく)動作させることができるようになる。CPUの数を減少させたことで(1つのみで済むようにする)、構成の簡素化、コスト削減などの効果が得られるようになり、また安全性の向上などの効果も得られるようになる。
更に、従来の複数プロセッサを用いる構成では、非セーフティ部−セーフティ部間のデータ交換のためにプロセッサ間のデータ送受信が必要となり、DMAを使用する場合もあったが、本手法では1つのプロセッサ内で直接メモリアクセスすることで非セーフティ部−セーフティ部間のデータ交換を実現でき、処理の高速化を実現でき、またメモリアクセスをCPUの制御に一元化でき、安全性を向上させることができる。
尚、STO入力および給電遮断部3のオンライン診断は、“モータ制御兼セーフティ回路CPU”2で実行する。JIS B 9705-1 2011(ISO13849と同等)表10には、カテゴリ4として、「いずれの部分の単一の障害も安全機能の喪失を招かない。かつ,単一障害は,安全機能に対する次の動作要求のとき,またはそれ以前に検出される。」と記載されている。STO入力および給電遮断部3が二重化されており、オンライン診断が可能な構成であることから、STOは、JIS B 9705-1のカテゴリ4アーキテクチャを満たすことができる。
同様に、SBCは、STO入力を経由し、給電遮断部3を経由し、ブレーキ制御部5へ出力する。STO入力および給電遮断部3、およびブレーキ制御部5のオンライン診断は、“モータ制御兼セーフティ回路CPU”2で実行する。JIS B 9705-1 表10には、カテゴリ4として、「いずれの部分の単一の障害も安全機能の喪失を招かない。かつ,単一障害は,安全機能に対する次の動作要求のとき,またはそれ以前に検出される。」と記載されている。STO入力および給電遮断部3およびブレーキ制御部5が二重化されており、オンライン診断が可能な構成であることから、SBCもJIS B 9705-1のカテゴリ4アーキテクチャを満たすことができる。
自動車安全ISO26262のシステム構成要件は、ASIL(Automotive Safety Integrity Level)に対応した、Single Point Fault Metric とLatent Fault Metricを満たすことである。Single Point Fault MetricとLatent Fault Metricは共に、エレメントに対する自己診断率;DC(Diagnosis Coverage)に依存する。STOとSBCの診断は“モータ制御兼セーフティ回路CPU”2で実行している。
1 モータ制御兼セーフティ回路
2 モータ制御兼セーフティ回路CPU
3 給電遮断部
4 モータ
5 ブレーキ制御部
6 PG
7 割込入力処理部
8 メモリ保護機能部
9 メモリ保護設定処理部
10 制御指令入力処理部
11 モータ制御処理部
12 制御出力処理部
13 安全指令入力処理部
14 安全監視制御機能部
16CPU診断機能部
17 安全入出力処理部
18 安全関連デバイス
19 阻止SW(スイッチ)
20 PHC(フォトカップラ)
21 OR回路
30 アドレス変換テーブル
31 論理アドレス
32 物理アドレス
40 アクセス不可テーブル
41 論理アドレス
42 セーフティ部α
43 セーフティ部β
44非セーフティ部
2 モータ制御兼セーフティ回路CPU
3 給電遮断部
4 モータ
5 ブレーキ制御部
6 PG
7 割込入力処理部
8 メモリ保護機能部
9 メモリ保護設定処理部
10 制御指令入力処理部
11 モータ制御処理部
12 制御出力処理部
13 安全指令入力処理部
14 安全監視制御機能部
16CPU診断機能部
17 安全入出力処理部
18 安全関連デバイス
19 阻止SW(スイッチ)
20 PHC(フォトカップラ)
21 OR回路
30 アドレス変換テーブル
31 論理アドレス
32 物理アドレス
40 アクセス不可テーブル
41 論理アドレス
42 セーフティ部α
43 セーフティ部β
44非セーフティ部
Claims (6)
- 制御対象装置の駆動制御を行う駆動制御部と前記駆動制御に係る安全制御を行う安全制御部とが1つのプロセッサ上に備えられる安全制御システムであって、
予め前記駆動制御部、安全制御部それぞれに係るデータ格納領域として所定の記憶領域が割り当てられており、
前記駆動制御部がアクセス不可の記憶領域として、前記安全制御部に割り当てられた記憶領域が登録されるメモリ保護情報記憶手段と、
前記駆動制御部によるメモリアクセス実行の際、当該アクセス先と前記メモリ保護情報記憶手段に登録された登録情報を参照し、当該アクセス先が前記アクセス不可の記憶領域であった場合、前記駆動制御部による前記安全制御部に割り当てられた記憶領域へのメモリアクセスを阻止するメモリ保護手段とを有し、
前記安全制御部は二重化されており、
該二重化された安全制御部それぞれに対して前記所定の記憶領域が割り当てられており、
前記メモリ保護情報記憶手段に登録される情報は、前記駆動制御部は前記二重化された各安全制御部に割り当てられた各記憶領域のどちらにもアクセス不可であるが、前記二重化された各安全制御部はどちらも前記駆動制御部に割り当てられた記憶領域にはアクセス可能であることを特徴とする安全制御システム。 - 前記駆動制御部の各処理と前記安全制御部の各処理をそのタスクレベルに応じて実行させると共に、タスクレベルが最も高い時間監視処理を定周期で実行させる割込制御手段を更に有し、
前記時間監視処理は、その時点で未だ実行中の処理があった場合には該処理を強制終了させることを特徴とする請求項1記載の安全制御システム。 - 前記駆動制御部の前記タスクレベルは、前記安全制御部の前記タスクレベルよりも低位であることを特徴とする請求項2記載の安全制御システム。
- 前記時間監視処理は、その時点で未だ実行中の処理が無い場合または前記強制終了に成功した場合にはウォッチドッグタイマをリセット&再起動し、前記強制終了に失敗した場合には前記ウォッチドッグタイマのタイムオーバーによる所定処理を実行させることを特徴とする請求項2記載の安全制御システム。
- 前記メモリ保護情報記憶手段に登録される情報は、更に、前記二重化された各安全制御部の一方は他方の記憶領域にはアクセス不可であることを特徴とする請求項1記載の安全制御システム。
- 制御対象装置の駆動制御を行う駆動制御部と前記駆動制御に係る安全制御を行う安全制御部とが1つのプロセッサ上に備えられる安全制御システムにおける該プロセッサであって、
前記駆動制御部がアクセス不可の記憶領域として、前記安全制御部に割り当てられた記憶領域が登録されるメモリ保護情報記憶手段と、
前記駆動制御部によるメモリアクセス実行の際、当該アクセス先と前記メモリ保護情報記憶手段に登録された登録情報を参照し、当該アクセス先が前記アクセス不可の記憶領域であった場合、前記駆動制御部による前記安全制御部に割り当てられた記憶領域へのメモリアクセスを阻止するメモリ保護手段とを有し、
前記安全制御部は二重化されており、
該二重化された安全制御部それぞれに対して前記所定の記憶領域が割り当てられており、
前記メモリ保護情報記憶手段に登録される情報は、前記駆動制御部は前記二重化された各安全制御部に割り当てられた各記憶領域のどちらにもアクセス不可であるが、前記二重化された各安全制御部はどちらも前記駆動制御部に割り当てられた記憶領域にはアクセス可能であることを特徴とする安全制御システムのプロセッサ。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012190662A JP6007677B2 (ja) | 2012-08-30 | 2012-08-30 | 安全制御システム、及び安全制御システムのプロセッサ |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012190662A JP6007677B2 (ja) | 2012-08-30 | 2012-08-30 | 安全制御システム、及び安全制御システムのプロセッサ |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014048849A JP2014048849A (ja) | 2014-03-17 |
| JP6007677B2 true JP6007677B2 (ja) | 2016-10-12 |
Family
ID=50608473
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012190662A Active JP6007677B2 (ja) | 2012-08-30 | 2012-08-30 | 安全制御システム、及び安全制御システムのプロセッサ |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6007677B2 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6131906B2 (ja) * | 2014-04-08 | 2017-05-24 | 富士電機株式会社 | リンプホームシステム、その安全制御装置 |
| JP6816345B2 (ja) | 2015-04-24 | 2021-01-20 | 富士電機株式会社 | 駆動制御装置 |
| US10241706B2 (en) | 2016-05-20 | 2019-03-26 | Renesas Electronics Corporation | Semiconductor device and its memory access control method |
| JP7115351B2 (ja) * | 2019-02-13 | 2022-08-09 | オムロン株式会社 | 制御装置 |
| CN111813033B (zh) * | 2019-04-12 | 2023-09-08 | 南京南瑞继保电气有限公司 | 一种电力电子设备冷却系统的控制保护架构和控制方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4340669B2 (ja) * | 2005-06-30 | 2009-10-07 | 株式会社日立製作所 | 入出力制御装置,入出力制御方法,プロセス制御装置及びプロセス制御方法 |
| JP5446447B2 (ja) * | 2009-05-19 | 2014-03-19 | トヨタ自動車株式会社 | 安全制御装置および安全制御方法 |
| JP5494255B2 (ja) * | 2010-06-07 | 2014-05-14 | 富士電機株式会社 | 安全制御システム |
-
2012
- 2012-08-30 JP JP2012190662A patent/JP6007677B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2014048849A (ja) | 2014-03-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6007677B2 (ja) | 安全制御システム、及び安全制御システムのプロセッサ | |
| JP4232987B2 (ja) | プロセッサユニットの少なくとも2つの動作モードを切替る方法および対応するプロセッサユニット | |
| JP4934642B2 (ja) | 計算機システム | |
| JP5199088B2 (ja) | 少なくとも2つの命令実行部および1つの比較ユニットを備えたコンピュータシステムを制御する方法および装置 | |
| US10254733B2 (en) | Motor control device | |
| EP3249534B1 (en) | Vehicle control device | |
| KR20160110203A (ko) | 안전 관련 중대한 에러를 처리하는 방법 및 장치 | |
| US10592356B2 (en) | Microcontroller and electronic control unit | |
| JP5682323B2 (ja) | 安全制御システム | |
| US20220055637A1 (en) | Electronic control unit and computer readable medium | |
| WO2015045507A1 (ja) | 車両用制御装置 | |
| US20190286091A1 (en) | Functional safety system, safety control method for the functional safety system, and functional safety program | |
| JP2009104246A (ja) | プログラマブルコントローラおよびその異常時復旧方法 | |
| KR100636513B1 (ko) | 전자 회로 및 내장형 시스템 | |
| US9128838B2 (en) | System and method of high integrity DMA operation | |
| JP6502211B2 (ja) | 車両制御装置 | |
| JP6131688B2 (ja) | 安全関連装置、そのプログラム | |
| Brewerton et al. | Demonstration of automotive steering column lock using multicore autosar® operating system | |
| JP4829821B2 (ja) | マルチプロセッサシステムおよびマルチプロセッサシステムにおける復旧方法 | |
| US20100114422A1 (en) | Control device for vehicles | |
| JP6349444B2 (ja) | 車両用制御装置 | |
| JP2007283788A (ja) | 車両用電子制御装置 | |
| JP6004057B2 (ja) | 情報処理装置およびdmaコントローラの動作確認方法 | |
| EP3480700A1 (en) | Electronic control device | |
| JP5803689B2 (ja) | 情報処理装置およびdmaコントローラの動作確認方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150713 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160518 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160531 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160722 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160816 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160829 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6007677 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |