JP6046888B2 - フェイルセーフマイコン - Google Patents

フェイルセーフマイコン Download PDF

Info

Publication number
JP6046888B2
JP6046888B2 JP2011228634A JP2011228634A JP6046888B2 JP 6046888 B2 JP6046888 B2 JP 6046888B2 JP 2011228634 A JP2011228634 A JP 2011228634A JP 2011228634 A JP2011228634 A JP 2011228634A JP 6046888 B2 JP6046888 B2 JP 6046888B2
Authority
JP
Japan
Prior art keywords
data
processing
collation
processing data
output
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011228634A
Other languages
English (en)
Other versions
JP2013089005A (ja
Inventor
正三 岡本
正三 岡本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Signal Co Ltd
Original Assignee
Nippon Signal Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Signal Co Ltd filed Critical Nippon Signal Co Ltd
Priority to JP2011228634A priority Critical patent/JP6046888B2/ja
Publication of JP2013089005A publication Critical patent/JP2013089005A/ja
Application granted granted Critical
Publication of JP6046888B2 publication Critical patent/JP6046888B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Hardware Redundancy (AREA)

Description

本発明は、同一の処理を同期して行う2系統の処理装置を含むフェイルセーフマイコンに関する。
従来、同一の処理を同期して行う2系統の処理装置を含むマイコンにおいて、各処理装置の処理データを照合する照合回路が、例えば特許文献1に開示されている。
この照合回路は、自系の処理データと他系の処理データとの一致・不一致を各処理装置において判定させると共に、処理装置毎の一致・不一致の判定結果を比較し、各処理装置での一致・不一致の判定結果が合致する場合、即ち、各処理装置が共に正常に動作している場合には交番信号を出力し、各処理装置での一致・不一致の判定結果が合致しない場合、即ち、回路のいずれかの部分で故障が発生した場合には、前記交番信号の出力を停止する。
そして、前記交番信号が出力される状態では、リレーがオンされて制御対象機器に電源が投入され、交番信号の出力が停止されると、前記リレーがオフされて前記制御対象機器への電源が遮断されるように構成される。
特開平11−143841号公報
ところで、2系統の処理装置それぞれで自系の処理データと他系の処理データとを照合させるために、2系統の処理装置間で処理データの送受信が行われるが、この送受信される処理データにノイズが重畳するなどの外乱が発生すると、処理データの一致・不一致の判断に誤りが生じる結果、各処理装置での一致・不一致の判定結果が合致しなくなり、実際には各処理装置が正常に動作しているのに、交番信号の出力が停止され、制御対象機器の稼動率が低くなってしまうという問題があった。
本発明は上記問題点に着目してなされたものであり、ノイズなどの外乱によって動作が誤って停止されてしまうことを抑制でき、制御対象機器の稼動率を高められるフェイルセーフマイコンを提供することを目的とする。
このため、請求項1に係る発明は、同一の処理を同期して行う2系統の処理装置それぞれが、同期する照合タイミング毎に、処理データを送受して自系の処理データと他系の処理データとを照合し、正常動作時に交番信号となる照合結果を送受して自系の照合結果と他系の照合結果との組み合わせを判定し、組み合わせが正常である場合は自系の照合結果を示す交番信号の出力によって制御対象機器に電源投入し、組み合わせが異常である場合は処理データを再度送受して再照合すると共に再照合結果を送受して照合結果の組み合わせを再度判定し、照合結果の組み合わせの異常連続回数が閾値を超えたときに異常時処理によって前記制御対象機器への電源を遮断する構成とした。
かかる構成では、2系統の処理装置それぞれが、他系のデータを読み込んでデータ照合を行うと共に、他系での照合結果を読み込んでそれぞれでの照合結果の組み合わせが正常であるか異常であるかを判定し、異常判定時には、該異常判定がノイズなどの外乱によるものである可能性があるので、照合データの送受、処理データの照合、照合結果の送受、照合結果の組み合わせの判定を再度行わせる。
そして、閾値に相当する回数だけ再照合を繰り返しても、照合結果の組み合わせの異常が解消されない場合には、外乱の影響ではなく動作異常が発生しているものと推定し、処理装置が動作異常に対応する異常時処理を実行することで、制御対象機器への電源を遮断する。
また、請求項構成において、請求項のように、前記2系統の処理装置それぞれが、自系の処理データと該自系の処理データの反転データとを交互に連続的に他系に出力し、自系の処理データと他系の処理データとの一致・不一致を判定し、次に自系の処理データと他系の処理データの反転データとの一致・不一致を判定し、処理データの一致・不一致で異なる論理値を出力することで、正常動作時に1ビットの交番信号を出力するよう構成するとよい。
この場合、自系の処理データと、他系の処理データとを比較させると共に、自系の処理データ(ポジティブデータ)と、他系の処理データの反転データ(ネガティブデータ)とを比較させることで、正常動作時に一致・不一致の判定が繰り返されて交番信号が出力される。
上記請求項の構成においては、請求項のように、前記各処理装置が他系に自系の処理データを出力するタイミングで、双方の照合結果が共に処理データの一致を示す場合に正常と判断し、少なくとも一方の照合結果が処理データの不一致を示す場合に異常と判断し、前記各処理装置が他系に自系の処理データの反転データを出力するタイミングで、双方の照合結果が共に処理データの不一致を示す場合に正常と判断し、少なくとも一方の照合結果が処理データの一致を示す場合に異常と判断する構成とするとよい。
この場合、各処理装置が他系に対して自系の処理データを出力するタイミングで、それぞれの系での処理データが合致していれば、各処理装置は、共に処理データの一致を判断することになるから、少なくとも一方の照合結果が処理データの不一致を示す場合に異常と判断できる。また、各処理装置が他系に対して自系の処理データの反転データを出力するタイミングで、前記反転処理は、処理データを強制的に不一致とさせる処理であって、各処理装置は、共に処理データの不一致を判断することになるから、少なくとも一方の照合結果が処理データの一致を示す場合に異常と判断できる。
上記請求項1から請求項3のいずれか1つの構成において、請求項4のように、前記各処理装置での処理データの照合結果をそれぞれ入力し、照合結果の一致状態では前記両出力に対応する交番信号を出力し、照合結果に不一致が発生した後は、前記交番信号の出力を停止状態に保持させる信号照合手段を含み、前記信号照合手段による交番信号の出力によって前記制御対象機器に電源投入し、前記信号照合手段による交番信号の出力停止によって前記制御対象機器への電源を遮断する構成とすることができる。
かかる構成では、双方での照合結果が一致していれば交番信号が出力されて制御対象機器に電源投入され、不一致になると交番信号の出力が停止状態に保持されることで制御対象機器への電源を遮断するので、動作異常時に安全側に制御される。
また、請求項5に係る発明は、同一の処理を同期して行う2系統の処理装置それぞれが、同期する照合タイミング毎に、自系の処理データとその反転データとを交互に他系に出力し、他系から入力した処理データと自系の処理データとの一致・不一致で異なる論理値を照合結果として他系に出力し、両系の照合結果の組み合わせを判定して正常であれば自系の照合結果を信号照合手段に出力し異常であれば処理データの送受から両系の照合結果の比較までの処理を繰り返し、組み合わせ異常の連続回数が閾値を超えたときに異常時処理を実行し、前記信号照合手段は、両系が出力する照合結果の正常状態では両出力に対応する交番信号を出力し、異常時は交番信号の出力を停止状態に保持するよう構成した。
かかるフェイルセーフマイコンによれば、処理装置間で送受信される処理データにノイズが重畳するなどして、一時的に処理データが不一致状態になっても、処理データの照合を再度行わせることで、ノイズ等によって一時的に不一致になっているのか、動作異常によって継続的に不一致になっているのかを判別でき、ノイズ等の外乱の影響によって、その後の動作が停止されてしまうことを回避し、制御対象機器の稼動率が低下することを未然に防止することが可能になる。
本発明に係るフェイルセーフマイコンの一実施形態を示すブロック図 同上実施形態のフェイルセーフマイコンにおけるデータ照合部の動作を示すタイムチャート 同上実施形態のフェイルセーフマイコンにおけるデータ照合部及び照合結果判定部17での処理を示すフローチャート 同上実施形態のフェイルセーフマイコンにおける再照合処理の実行例を示すタイムチャート
以下、本発明の実施の形態を図面に基づいて説明する。図1は、本願発明に係るフェイルセーフマイコンを示す回路図であり、このフェイルセーフマイコンは、例えば鉄道信号用情報処理システムなどに用いられる。
図1に示すフェイルセーフマイコン1は、第1MCU(第1マイクロコントローラ)2,第2MCU(第2マイクロコントローラ)3及び信号照合部(信号照合手段)4を含んで構成される。前記第1MCU2及び第2MCU3が2系統の処理装置を構成し、処理装置としての第1MCU2及び第2MCU3は、同一の処理を同期して行う。
前記第1MCU2及び第2MCU3は、外部から入力されるアナログ信号をデジタルデータに変換するA/D変換器11、CPU12、図外のタイマやインターフェイスなどを含んで構成され、各MCU2,3のA/D変換器11には同じアナログ信号が入力され、この同じ入力信号に基づいて同一の演算処理を同期して行う。
更に、前記CPU12は、論理演算部13,同期部14,論理照合部15としての処理機能をソフトウエアとして予め備えており、更に、前記論理照合部15は、データ照合部(データ照合手段)16及び照合結果判定部(照合結果判定手段)17を含んで構成される。
前記論理演算部13には、自系のA/D変換器11の出力が入力され、該自系のA/D変換出力を他系の論理演算部13に対して出力し、また、他系の論理演算部13から出力される他系のA/D変換出力を入力する。そして、前記論理演算部13は、自系のA/D変換出力と他系のA/D変換出力とを対比することで、A/D変換器11の変換ばらつきを補償する処理を行う。
具体的には、第1MCU2側のA/D変換器11の出力と第2MCU3側のA/D変換器11の出力とにずれがある場合、両データのうちより安全側であるデータに両データを揃える処理を行う。例えば、A/D変換後のデジタルデータとしてより小さい方が、制御結果としてより安全側となる場合には、自系のA/D変換出力と他系のA/D変換出力との小さい方を選択し、入力デジタルデータとして出力する。
前記論理演算部13の出力(A/D変換出力)は、バス18を介して図外の制御出力演算部に出力され、ここで、前記A/D変換出力に基づき外部に出力する処理データ(制御出力)などが演算される。
また、同期部14は、自系の演算処理における同期信号(クロック信号)を他系の同期部14に出力し、また、他系の同期部14から出力される他系の演算処理における同期信号(クロック信号)を入力し、自系の同期信号(クロック信号)と他系の同期信号(クロック信号)とを対比することで、第1MCU2側の演算処理と第2MCU3側の演算処理とを同期させる処理を行う。
具体的には、例えば第2MCU3側の演算タイミングが第1MCU2側に比べて遅れている場合には、第1MCU2側の演算タイミングを遅らせて第2MCU3側の演算タイミングと同期させるようにする。
上記のように、前記第1MCU2及び第2MCU3は、同じアナログ信号をA/D変換してそれぞれ読み込み、該A/D変換出力に対して同じ処理を同期して施して、処理データを算出する。
一方、前記論理照合部15を構成するデータ照合部16は、前記同期部14からの同期信号に基づいてタイミングを判断して、自系で演算された処理データ(照合データ)を他系のデータ照合部15に出力し、また、他系のデータ照合部15から出力される他系で演算された処理データ(照合データ)を入力する。そして、自系の処理データと他系の処理データとを対比して、処理データの一致・不一致を示す信号を、自系の照合結果判定部17に出力する。尚、後で詳細に説明するが、前記データ照合部16の出力は、前記MCU2,3の正常動作時には、1ビットの交番信号として出力されるようになっている。
前記照合結果判定部17は、自系のデータ照合部16での照合結果(一致・不一致を示す1ビットの交番信号)を、他系の照合結果判定部17に出力し、また、他系の照合結果判定部17から他系のデータ照合部16での照合結果(一致・不一致を示す1ビットの交番信号)を入力し、自系のデータ照合部16での照合結果と他系のデータ照合部16での照合結果との組み合わせの正常・異常を判定する。
そして、前記照合結果判定部17は、双方の系での照合結果の組み合わせが正常であると判定した場合には、自系のデータ照合部16の照合結果を、そのまま最終的な照合結果として外部に出力させる一方、双方の系での照合結果の組み合わせが異常であると判定した場合には、自系のデータ照合部16に対してデータ照合の再実行(照合データの再読み込み及び再比較の実行)を指示する。前記照合結果判定部17を介して外部に出力される、各系のデータ照合部16での照合結果は、それぞれ信号照合部4に入力される。
信号照合部4は、第1MCU2側での処理データの照合結果を示す交番信号と、第2MCU3側での処理データの照合結果を示す交番信号とが一致する場合、即ち、第1MCU2と第2MCU3とが共に正常に動作している場合には、前記両交番信号に対応する交番信号を出力し、第1MCU2側と第2MCU3側とのいずれかの部分に故障が発生し、各系からの交番信号に不一致が発生すると、その後は前記交番信号の出力を停止状態に保持する回路である。
前記信号照合部4は、例えば、特開平05−120047号公報に開示されるように、遅延回路・排他的論理和回路・フリップフロップ回路などから構成される公知の回路である。
図2は、前記データ照合部16の動作を示すタイムチャートである。各系において、処理データは、第1割込信号毎に演算され、第1割込信号に同期して演算された処理データ(ポジティブデータ)は、他系のデータ照合部16に向けて出力され、各データ照合部16では、自系の処理データ(ポジティブデータ)と他系の処理データ(ポジティブデータ)との一致・不一致を判断して、一致時に「1」で不一致時に「0」の1ビット信号を、比較結果出力として発生させる。
また、前記データ照合部16は、前記第1割込信号の発生間隔の中間位置付近で出力される第2割込信号に同期して、自系で演算された処理データをビット反転させたデータ(ネガティブデータ)を、他系のデータ照合部16に向けて出力させる。
そして、各データ照合部16では、自系の処理データ(ポジティブデータ)と他系の処理データの反転データ(ネガティブデータ)との一致・不一致を判断して、一致時に「1」で不一致時に「0」の1ビット信号を、比較結果出力として発生させる。尚、各データ照合部16が、一致時に「0」で不一致時に「1」の1ビット信号を出力する構成とすることができる。
上記のように、他系に向けて出力させる処理データ(照合データ)として、演算結果そのままのポジティブデータと、演算結果をビット反転させたネガティブデータとを交互に連続して出力することで、第1MCU2側で演算された処理データと第2MCU3側で演算された処理データとが一致する場合であっても、データ照合部16の出力として、処理データの一致を示す論理値と、処理データの不一致を示す論理値とを交互に繰り返す交番信号が出力されるようにしてある。
即ち、第1MCU2側及び第2MCU3側での処理データの演算や反転処理の動作、更には、第1MCU2側と第2MCU3側との間での処理データの伝送経路が正常であれば、双方のデータ照合部16から、前記第1,第2割込信号毎に変化する同じ交番信号が出力されるようにしてある。
従って、正常動作時には、各データ照合部16からの出力を、前記信号照合部4に出力することで、前記信号照合部4から、両データ照合部16からの交番信号に対応する交番信号が出力される。
前記信号照合部4からの交番信号は、例えばリレー駆動のために用いられ、交番信号の出力状態では、リレーがオンされて制御対象機器(例えば信号機)に電源が投入され、交番信号の出力が停止されると、前記リレーがオフされて前記制御対象機器への電源が遮断される。従って、各データ照合部16での処理データの一致・不一致の判断が異なるようになった動作異常時に、前記制御対象機器への電源を遮断することで、安全側に制御されることになる。
前述のように、各データ照合部16からの交番信号が異なるようになると、信号照合部4は、その後の交番信号の出力を停止状態に保持するが、自系の処理データを他系に送るための信号ラインにノイズが重畳して本来の値とは異なる値が送信されたような場合にも、各データ照合部16からの交番信号が一時的に異なるようになることで、信号照合部4からの交番信号の出力が停止状態に保持され、前記制御対象機器の稼動率が低下してしまう。
そこで、本実施形態では、前記照合結果判定部17を設けて、前記ノイズなどの外乱に影響されて、信号照合部4からの交番信号の出力が停止状態に保持されることを抑制できるようにしてある。
前記照合結果判定部17には、自系のデータ照合部16の出力信号、及び、他系のデータ照合部16の出力信号が入力されると共に、データ照合部16において、ポジティブデータ同士が比較されるタイミング(第1割込信号に同期した照合時期)であるか、自系のポジティブデータと他系のネガティブデータとが比較されるタイミング(第2割込信号に同期した照合時期)であるかの情報が入力される。
そして、前記照合結果判定部17は、第1MCU2側のデータ照合部16での照合結果と、第2MCU3側のデータ照合部16での照合結果との組み合わせの正常・異常を判断し、異常判断した場合に、自系のデータ照合部16に対して、処理データを再度読み込んで照合させる再照合指示(照合リトライ指示)を出力する。
前記照合結果の組み合わせの正常・異常の判断は、以下のようにして行われる。ポジティブデータ同士が比較されるタイミングであれば、正常動作時には、双方のデータ照合部16は、共にデータの一致を示す論理値を出力し、自系のポジティブデータと他系のネガティブデータとが比較されるタイミングであれば、正常動作時には、双方のデータ照合部16は、共にデータの不一致を示す論理値を出力する。
従って、前記照合結果判定部17は、ポジティブデータ同士が比較されるタイミングでは、第1MCU2側のデータ照合部16での一致判定と、第2MCU3側のデータ照合部16での一致判定との組み合わせを正常状態として判断し、自系のポジティブデータと他系のネガティブデータとが比較されるタイミングでは、第1MCU2側のデータ照合部16での不一致判定と、第2MCU3側のデータ照合部16での不一致判定との組み合わせを正常状態として判断する。
一方、ポジティブデータ同士が比較されるタイミングにおいて、少なくとも一方のデータ照合部16が処理データの不一致を示す論理値を出力する場合、前記照合結果判定部17は、照合結果の組み合わせは異常であると判断する。
より具体的には、ポジティブデータ同士が比較されるタイミングにおいて、第1MCU2側のデータ照合部16が処理データの一致を示す論理値を出力し、第2MCU3側のデータ照合部16が処理データの不一致を示す論理値を出力する場合、又は、第1MCU2側のデータ照合部16が処理データの不一致を示す論理値を出力し、第2MCU3側のデータ照合部16が処理データの一致を示す論理値を出力する場合、又は、第1MCU2側のデータ照合部16が処理データの不一致を示す論理値を出力し、第2MCU3側のデータ照合部16も処理データの不一致を示す論理値を出力する場合、前記照合結果判定部17は、照合結果の組み合わせは異常であると判断する。
同様に、自系のポジティブデータと他系のネガティブデータとが比較されるタイミングでは、少なくとも一方のデータ照合部16が処理データの一致を示す論理値を出力する場合、前記照合結果判定部17は、照合結果の組み合わせが異常であると判断する。
より具体的には、自系のポジティブデータと他系のネガティブデータとが比較されるタイミングにおいて、第1MCU2側のデータ照合部16が処理データの一致を示す論理値を出力し、第2MCU3側のデータ照合部16が処理データの不一致を示す論理値を出力する場合、又は、第1MCU2側のデータ照合部16が処理データの不一致を示す論理値を出力し、第2MCU3側のデータ照合部16が処理データの一致を示す論理値を出力する場合、又は、第1MCU2側のデータ照合部16が処理データの一致を示す論理値を出力し、第2MCU3側のデータ照合部16も処理データの一致を示す論理値を出力する場合、前記照合結果判定部17は、照合結果の組み合わせは異常であると判断する。
但し、前記照合結果の組み合わせの異常は、前記ノイズなどの外乱に影響された結果である可能性があるため、照合結果の組合せについて異常判断した前記照合結果判定部17は、自系のデータ照合部16に対して再照合指示を出力する。前記再照合指示を受けたデータ照合部16では、自系及び他系の照合データを再度読み込んで、自系の照合データと他系の照合データとを比較する処理を繰り返す。
そして、再照合の結果、照合結果の組み合わせが正常に戻れば、先の異常判断は外乱に影響された結果であったものと推定し、また、再照合しても照合結果の組み合わせが異常状態を保持する場合には、外乱による一時的な異常状態ではなく動作異常による継続的な異常であると判断し、前記リレー駆動(交番信号の出力)を停止させる異常処理を実行させる。
図3のフローチャートは、系毎に並行して行われる前記データ照合部16及び照合結果判定部17の処理の流れを示すものであり、前記第1割込信号及び第2割込信号に同期して割り込み実行される。
まず、ステップS101では、他系のデータ照合部16に照合データを出力する処理を行い、次のステップS102では、他系のデータ照合部16から出力される照合データを入力する処理を行う。
前述のように、各データ照合部16は、ポジティブデータ同士を比較させるタイミングであれば、自系のポジティブデータを他系のデータ照合部16に照合データとして出力し、他系のポジティブデータを照合データとして入力する。一方、自系のポジティブデータと他系のネガティブデータとを比較させるタイミングであれば、自系のネガティブデータを他系のデータ照合部16に照合データとして出力し、他系のネガティブデータを照合データとして入力する。
ステップS103では、各データ照合部16で、自系の処理データと他系の処理データとの一致・不一致を判断する照合動作を行い、次のステップS104で、処理データの一致状態と不一致状態とで異なる論理値を、照合結果として他系の照合結果判定部17に出力する。
ステップS105では、他系のデータ照合部16での処理データの照合結果を入力し、ステップS106では、各データ照合部16での照合結果の組み合わせが正常であるか否かを判断する。ここで、ポジティブデータ同士を比較させるタイミングであれば、双方の照合結果が共に処理データの一致を示していれば、照合結果の組み合わせが正常であると判断し、少なくとも一方の照合結果が処理データの不一致を示していれば、照合結果の組み合わせが異常であると判断する。
また、自系のポジティブデータと他系のネガティブデータとを比較させるタイミングであれば、双方の照合結果が共に処理データの不一致を示していれば、照合結果の組み合わせが正常であると判断し、少なくとも一方の照合結果が処理データの一致を示していれば、照合結果の組み合わせが異常であると判断する。
ステップS106で、照合結果の組み合わせが正常であると判断されると、ステップS107へ進み、自系のデータ照合部16の出力を最終照合結果として、前記信号照合部4に出力する。次のステップS108では、再照合の回数を計数するエラーカウンタの値を零にクリアし、データ照合処理を終了させる。
一方、ステップS106で、照合結果の組み合わせが異常であると判断されると、ステップS109へ進み、前記エラーカウンタの値を1だけ増大させ、次のステップS110では、前記増大設定後のエラーカウンタの値が閾値を超えているか否かを判断する。尚、前記閾値は、例えば3程度とする。
そして、エラーカウンタの値が閾値以下であれば、ステップS101へ戻り、処理データの照合、即ち、ステップS101〜ステップS105における照合データの出力・入力、処理データの照合、照合結果の出力・入力を再度実行させ、ステップS106では、再照合させた結果、照合結果の組み合わせが正常になったか否かを判断する。
例えば、ノイズなどの外乱の影響で、他系から読み込んだ処理データが実際値とは異なる値になり、照合結果の組み合わせが異常になった場合、再度の読込みによって他系の処理データを正常に読み込むことができれば、照合結果の組み合わせが正常に戻ることになる。そして、再照合によって照合結果の組み合わせが正常に戻れば、ステップS106からステップS107へ進んで、再照合結果を最終照合結果として出力させる。
一方、再照合を行わせても、引き続き照合結果の組み合わせが異常のままである場合には、ステップS109へ進んで、前記エラーカウンタの値を更に1だけ増大させ、ステップS110へ進む。そして、ステップS110で前記エラーカウンタの値が未だ閾値以下であると判断されると、ステップS101へ戻ってデータ照合を再度実行させる。
即ち、照合結果の組み合わせが異常である場合には、データ照合の再実行を前記閾値の回数だけ行わせ、再実行回数が閾値を超える前に、照合結果の組み合わせが正常に戻れば、ノイズなどの外乱による一時的な異常であったものと判断して、正常に戻った結果を最終照合結果として出力させる。
従って、ノイズなどの外乱に影響されて一時的に異常になっても、交番出力の発生状態に直ぐに復帰させることができ、前記一時的な異常によって、交番信号の出力が停止されて、リレーがオフされてしまうことを抑制できる。
一方、前記エラーカウンタ(再実行回数)が閾値を超えていると、ステップS110で判断された場合には、照合結果の組み合わせが異常である状態が、ノイズなどの外乱による一時的なものではなく、自系及び/又は他系のMCUの動作異常によるものであると判断し、ステップS111へ進んで、自系のMCUの制御動作を停止させる異常処理を実行する。
前記異常処理としては、外部入力に基づく処理データの演算を停止し、処理データを予め設定された安全側の値に固定したり、第1MCU2側のデータ照合部16での照合結果と第2MCU3側のデータ照合部16での照合結果とが異なる場合には、その状態をそのまま最終照合結果として出力することで、信号照合部4からの交番信号の出力を停止させたりする処理などがある。
そして、信号照合部4の出力でリレーを駆動する場合には、前記異常時処理によってリレーがオフされ、制御対象機器に対する電源投入が遮断されるから、安全側に制御されることになる。
図4は、ノイズなどの影響によって各系での照合結果の組合せが異常となった場合における再照合動作を示し、第1MCU2が、第2MCU3側からネガティブデータを読み込むタイミングであるのに、ノイズなどの外乱で第2MCU3側のポジティブデータをそのまま照合データとして読み込んだ場合の例である。
時刻t1で、第1MCU2側のデータ照合部16で、第1MCU2側の処理データポジティブデータA1と、第2MCU3側のポジティブデータA2とが比較されることで、一致の判断がなされる一方、第2MCU3側のデータ照合部16で、第1MCU2側のネガティブデータA1と、第2MCU3側のポジティブデータA2とが比較されることで、不一致の判断がなされる。
従って、時刻t1では、照合結果の組合せが一致と不一致とであるため、異常判断がなされて、再照合指示が、第1MCU2側の照合結果判定部17から、同じ第1MCU2側のデータ照合部16に出力される。
前記ノイズ影響は時刻t2の時点で消滅するが、時刻t1と時刻t2との間での再照合処理では、時刻t1での照合結果と同じになり、照合結果の組合せは異常のまま保持されることになる。
しかし、時刻t2を過ぎた時刻t3の時点で再照合が行われると、ノイズ影響が既に消滅し、第2MCU3側の照合データは本来のネガティブデータA2に戻っているので、双方の系での照合結果が共に不一致になり、かつ、時刻t3の時点は、未だ自系のポジティブデータと他系のネガティブデータとを比較する期間内であるから、共に不一致の判断を下したことは、各MCU2,3が正常動作していることを示す。
従って、時刻t3の時点で照合結果の組合せが正常であると判断され、第1MCU2側の照合結果判定部17の出力は、それまでの一致を示す論理値から、不一致を示す論理値に切り換り、第2MCU3側での照合結果と同じ値に復帰し、信号照合部4からの交番信号の出力が継続されることになる。
ここで、再照合によって照合結果の組合せが正常に戻ったとしても、図4に示す例での時刻t1から時刻t3までの間のように、ノイズ影響で一方の系での照合結果が一致で、他方の系での照合結果が不一致である状態が発生する。
しかし、閾値の回数だけ再照合を繰り返したとしても、係る再照合に要する時間は、処理データの出力時間(図4における時間tD)に比して充分に短いため、再照合を繰り返している間に処理データが切り換ってしまうことはなく、処理データ毎に照合を終えることができる。
また、再照合に要する時間は、リレーがオンからオフ状態に切り換る機械的動作時間に対しても充分に短いため、第1MCU2側のデータ照合部16からの交番信号と第2MCU3側のデータ照合部16からの交番信号とが異なる期間で、信号照合部4がリレーをオフさせるべく動作したとしても、再照合に要する時間で実際にリレーがオフ状態に移行することはなく、電源の瞬断は回避される。
また、信号照合部4が、特開平05−120047号公報に開示されるように、遅延回路・排他的論理和回路・フリップフロップ回路などで構成される場合においては、各系のデータ照合回路16の一方からの交番信号と、他方のデータ照合回路16の交番信号を遅延回路で遅延させた信号とを、排他的論理和回路に入力させて、交番信号の切り換り毎のクロック信号を発生させる。
しかし、係る構成の信号照合部4を用いる場合であっても、前記再照合に要する時間は、前記遅延回路による遅延時間よりも短いため、前記クロック信号の発生処理においては無視できる程度の時間であり、再照合を行っている期間で、各系の照合結果が異なっていたとしても、信号照合部4からの交番信号の出力が停止状態に保持されるようになることはない。
また、照合結果判定部17が、前回の処理データに対する照合結果を、今回の処理データ出力中に最終照合結果として出力するよう構成すれば、再照合に要する時間が、処理データの出力時間tD以下であれば、最終照合結果として外乱に影響されない信号を出力させることができ、再照合の時間及び回数をより多く確保することが可能となる。
以上のように、本実施形態のフェイルセーフマイコンによると、ノイズなどの外乱に影響されて動作が停止してしまうことが抑制され、制御対象機器の稼動率を高めることができる。
尚、前記照合結果判定部17からの再照合指示による再照合は、連続的に繰り返すようにしても良いし、前回の再照合タイミングから所定時間が経過するのを待って、次回の再照合を実行させてもよく、更に、前記所定時間を、再照合の回数などに応じて可変としてもよい。
また、双方の系に共通のA/D変換器11を備え、共通の入力デジタルデータに基づいて同一の処理を同期して行う2系統の処理装置(マイクロプロセッサユニットMPU)を含んでフェイルセーフマイコンを構成することができる。
また、信号照合部4の出力で、リレーを駆動する構成に限定されるものではなく、例えば、負荷の駆動回路を前記信号照合部4の出力で制御する構成であってもよい。
1 フェイルセーフマイコン
2 第1MCU(第1マイクロコントローラ、処理装置)
3 第2MCU(第2マイクロコントローラ、処理装置)
4 信号照合部(信号照合手段)
11 A/D変換器
12 CPU
13 論理演算部
14 同期部
15 論理照合部
16 データ照合部(データ照合手段)
17 照合結果判定部(照合結果判定手段)

Claims (5)

  1. 同一の処理を同期して行う2系統の処理装置それぞれが、同期する照合タイミング毎に、処理データを送受して自系の処理データと他系の処理データとを照合し、正常動作時に交番信号となる照合結果を送受して自系の照合結果と他系の照合結果との組み合わせを判定し、組み合わせが正常である場合は自系の照合結果を示す交番信号の出力によって制御対象機器に電源投入し、組み合わせが異常である場合は処理データを再度送受して再照合すると共に再照合結果を送受して照合結果の組み合わせを再度判定し、照合結果の組み合わせの異常連続回数が閾値を超えたときに異常時処理によって前記制御対象機器への電源を遮断する、フェイルセーフマイコン。
  2. 前記2系統の処理装置それぞれが、自系の処理データと該自系の処理データの反転データとを交互に連続的に他系に出力し、自系の処理データと他系の処理データとの一致・不一致を判定し、次に自系の処理データと他系の処理データの反転データとの一致・不一致を判定し、処理データの一致・不一致で異なる論理値を出力することで、正常動作時に1ビットの交番信号を出力する、請求項1記載のフェイルセーフマイコン。
  3. 前記各処理装置が他系に自系の処理データを出力するタイミングで、双方の照合結果が共に処理データの一致を示す場合に正常と判断し、少なくとも一方の照合結果が処理データの不一致を示す場合に異常と判断し、
    前記各処理装置が他系に自系の処理データの反転データを出力するタイミングで、双方の照合結果が共に処理データの不一致を示す場合に正常と判断し、少なくとも一方の照合結果が処理データの一致を示す場合に異常と判断する、請求項2記載のフェイルセーフマイコン。
  4. 前記各処理装置での処理データの照合結果をそれぞれ入力し、照合結果の一致状態では前記両出力に対応する交番信号を出力し、照合結果に不一致が発生した後は、前記交番信号の出力を停止状態に保持させる信号照合手段を含み、前記信号照合手段による交番信号の出力によって前記制御対象機器に電源投入し、前記信号照合手段による交番信号の出力停止によって前記制御対象機器への電源を遮断する、請求項1から請求項3のいずれか1つに記載のフェイルセーフマイコン。
  5. 同一の処理を同期して行う2系統の処理装置それぞれが、同期する照合タイミング毎に、自系の処理データとその反転データとを交互に他系に出力し、他系から入力した処理データと自系の処理データとの一致・不一致で異なる論理値を照合結果として他系に出力し、両系の照合結果の組み合わせを判定して正常であれば自系の照合結果を信号照合手段に出力し異常であれば処理データの送受から両系の照合結果の比較までの処理を繰り返し、組み合わせ異常の連続回数が閾値を超えたときに異常時処理を実行し、
    前記信号照合手段は、両系が出力する照合結果の正常状態では両出力に対応する交番信号を出力し、異常時は交番信号の出力を停止状態に保持する、フェイルセーフマイコン。
JP2011228634A 2011-10-18 2011-10-18 フェイルセーフマイコン Active JP6046888B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011228634A JP6046888B2 (ja) 2011-10-18 2011-10-18 フェイルセーフマイコン

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011228634A JP6046888B2 (ja) 2011-10-18 2011-10-18 フェイルセーフマイコン

Publications (2)

Publication Number Publication Date
JP2013089005A JP2013089005A (ja) 2013-05-13
JP6046888B2 true JP6046888B2 (ja) 2016-12-21

Family

ID=48532859

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011228634A Active JP6046888B2 (ja) 2011-10-18 2011-10-18 フェイルセーフマイコン

Country Status (1)

Country Link
JP (1) JP6046888B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108931948A (zh) * 2017-05-23 2018-12-04 欧姆龙株式会社 通信装置及通信系统

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2561181B2 (ja) * 1991-05-13 1996-12-04 財団法人鉄道総合技術研究所 クロック同期形2重系回路
JP3313308B2 (ja) * 1997-07-31 2002-08-12 三菱電機株式会社 2重系電子連動装置
JPH11143729A (ja) * 1997-11-07 1999-05-28 Nec Corp フォールトトレラントコンピュータ
JP3529994B2 (ja) * 1997-11-12 2004-05-24 日本信号株式会社 照合回路
JP3235785B2 (ja) * 1998-04-15 2001-12-04 日本電気株式会社 二重化情報処理装置
JP4401521B2 (ja) * 2000-03-08 2010-01-20 日本信号株式会社 2重化情報処理装置
JP3897047B2 (ja) * 2005-01-31 2007-03-22 横河電機株式会社 情報処理装置および情報処理方法
JP5618345B2 (ja) * 2009-07-29 2014-11-05 日本信号株式会社 二重化データ処理回路

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108931948A (zh) * 2017-05-23 2018-12-04 欧姆龙株式会社 通信装置及通信系统

Also Published As

Publication number Publication date
JP2013089005A (ja) 2013-05-13

Similar Documents

Publication Publication Date Title
CN107003915B (zh) 驱动控制装置
JP4711197B2 (ja) デュアルcpuの安全システムにおける安全タイマクロスチェック診断
US8495433B2 (en) Microcomputer mutual monitoring system and a microcomputer mutual monitoring method
CN104360916B (zh) 基于数据同步的主备同步方法
US9690678B2 (en) Fault tolerant systems and method of using the same
WO2006080227A1 (ja) 情報処理装置および情報処理方法
JP7023722B2 (ja) 二重化制御システム
JP2013514498A (ja) 制御装置にある監視計算機
JP5013309B2 (ja) フォールトトレラントコンピュータ、そのトランザクション同期制御方法
JP6046888B2 (ja) フェイルセーフマイコン
EP2442229A1 (en) High reliability method of data processing, and controller unit
CA2973963A1 (en) Computerised system
CN105573869B (zh) 基于i2c总线的系统控制器容错控制方法
CN109491842B (zh) 用于故障安全计算系统的模块扩展的信号配对
JP5618687B2 (ja) 2重化演算装置
US11409255B2 (en) Output control apparatus
EP2801874A1 (en) Multi-channel control switchover logic
JP3529994B2 (ja) 照合回路
JP6099187B2 (ja) バス同期2重系のコンピュータシステム
US10740199B2 (en) Controlling device, controlling method, and fault tolerant apparatus
JP2016142141A (ja) 車両用電子制御装置
JP2016058944A (ja) ノード
WO2022224897A1 (ja) デジタル出力装置およびデジタル出力の生成方法
JP6837413B2 (ja) プラント機器の監視制御装置
CN114509981B (zh) 控制器硬件冗余控制方法及系统

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20140527

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20141002

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150717

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150901

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151030

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160329

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160530

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161101

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161118

R150 Certificate of patent or registration of utility model

Ref document number: 6046888

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150