JP6302775B2 - 制御装置及びその制御方法 - Google Patents

制御装置及びその制御方法 Download PDF

Info

Publication number
JP6302775B2
JP6302775B2 JP2014139271A JP2014139271A JP6302775B2 JP 6302775 B2 JP6302775 B2 JP 6302775B2 JP 2014139271 A JP2014139271 A JP 2014139271A JP 2014139271 A JP2014139271 A JP 2014139271A JP 6302775 B2 JP6302775 B2 JP 6302775B2
Authority
JP
Japan
Prior art keywords
processing
task
result
processing device
identification number
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014139271A
Other languages
English (en)
Other versions
JP2016018291A (ja
Inventor
島村 光太郎
光太郎 島村
平 重喜
重喜 平
秀夫 作山
秀夫 作山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2014139271A priority Critical patent/JP6302775B2/ja
Publication of JP2016018291A publication Critical patent/JP2016018291A/ja
Application granted granted Critical
Publication of JP6302775B2 publication Critical patent/JP6302775B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Hardware Redundancy (AREA)

Description

本発明は、制御装置及びその制御方法に関する。
高い安全性が求められる制御装置では、フェールセーフな仕組みが用いられる。例えば、処理装置を二重化し、各々の装置の処理結果を照合・比較し、処理結果が一致した場合にのみ外部に出力する技術がある。この場合、片方の装置が故障した場合には外部に誤った出力がされないため、安全性が担保される。
本技術分野の背景技術として、特開2003−177801号公報(特許文献1)がある。この公報には「自己診断を行うと共に、他の制御演算部から取り込んだ演算結果信号と自己演算結果信号との相互診断を行い、これらの正常/異常の自己診断結果と正常/異常の相互診断結果とを外部判定回路に送出する診断手段と、を具え、PI/Oユニットは、被制御対象と各制御演算部とをつなぐ経路毎に直列に第1、第2の開閉路が介在し、第1の開閉路は対応する制御演算部の出力手段が実制御系となるべき制御信号により閉となり、待機系のとき開となる様に制御を受け、外部判定回路は、各制御演算部に対応した判定部を具え、各判定部は、対応する制御演算部からの自己診断結果と非対応の制御演算部からの自己診断結果と相互診断結果とを取込み、対応制御演算部の自己診断結果が異常のときに又は非対応の制御演算部の自己診断結果の全てが正常でかつ非対応の制御演算部での当該対応の制御演算部への相互診断結果の全てが異常のときに、対応するPI/Oユニットの第2開閉路をそれ迄の閉から開とする制御信号を発生するものとする」とある。
特開2003−177801号公報
前記特許文献1には、複数の制御演算部で同一の処理を実行し、結果を照合(相互診断)することで誤動作を検知して外部へのデータの出力を停止することにより、制御演算部の故障による誤ったデータの出力を防止する多重化装置が記載されている。
しかし、特許文献1の多重化装置では、複数のタスクを時分割で処理するマルチタスク処理を行った場合に、タスク切り換えによって複数の処理装置間で外部へのデータの出力もしくは出力の停止あるいは外部からのデータの入力に必要な処理を行う時刻にずれが生じ、誤った処理が行われる可能性がある。
上記課題を解決するため、例えば特許請求の範囲に記載の構成を採用する。
本願は上記課題を解決する手段を複数含んでいるが、その一例を挙げるならば、マルチタスクを行う第一の処理装置及び第二の処理装置を有し、第一の処理装置の処理結果及び第二の処理装置の処理結果を照合し、一致している場合は処理結果を出力し、不一致の場合は処理結果の出力を停止する二重系の制御装置において、第一の処理装置及び第二の処理装置の各々は、所定の処理を行う前後の時間帯で、タスク切り換えを禁止することを特徴とする
本発明によれば、タスク切り換えによって複数の処理装置間で外部へのデータの出力、あるいは出力の停止、あるいは外部からのデータの入力処理の時刻にずれが生じるのを抑制し、信頼性を向上させる制御装置を提供できる。
上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。
本発明を適用した制御システムの構成図の第1の例である。 図1の制御システムの処理装置101、102で1つのタスクを実行する時の処理フローの第1の実施例である。 図2の処理フローを採用した場合に、1つのタスクを実行中に別のタスクが起動された時の処理の実行順序の例である。 図1の制御システムの処理装置101、102で1つのタスクを実行する時の処理フローの第2の実施例である。 図1の制御システムの処理装置101、102で1つのタスクを実行する時の処理フローの第3の実施例である。 図1の制御システムの処理装置101、102で1つのタスクを実行する時の処理フローの第4の実施例である。 図4の処理フローを採用した場合に、出力番号比較が一致せず無限ループとなるケースの処理の実行順序の例である。 図1の制御システムの処理装置101、102で1つのタスクを実行する時の処理フローの第5の実施例である。 図8の処理フローを採用した場合に、図7の無限ループとなるケースを防止できることを示す図である。 本発明を適用した制御システムの構成図の第6の実施例である。 図10の制御システムの処理装置1001、1002で1つのタスクを実行する時の処理フローの例である。 本発明を適用した制御システムの構成図の第7の実施例である。 図12の制御システムの処理装置1201、1202で1つのタスクを実行する時の処理フローの例である。
まず、具体例を用いて、マルチタスクを行う従来の多重系処理装置のケースを説明する。
複数の制御演算部A、B、Cの各々でタスク1とタスク2という2つのタスクを実行するケースを考える。タスク2はタスク1より優先度が高く、タスク1の実行中にタスク2を起動する条件が成立した場合には、タスク1の処理を中断してタスク2の処理を開始するものとする。タスク2の起動する条件としては、タイマによる一定周期の起動や、PI/Oユニットからの割り込みによる起動などが考えられる。
複数の制御演算部A、B、Cの各々の間には動作タイミングのずれがあるため、制御演算部Aではタスク1の相互診断終了、相互診断結果の出力、PI/Oユニットへのデータの出力を行ってからタスク2の起動が行われるのに対し、制御演算部B、Cでは相互診断終了後、相互診断結果の出力より前にタスク2の起動が行われる可能性がある。この場合、制御演算部B、Cで相互診断により制御演算部Aの異常を検出していた場合でも相互診断結果の出力が行われないため、PI/Oユニットへのインタフェースの接点が閉じたままとなり、制御演算部Aからの異常なデータがPI/Oユニットに出力される可能性がある。
更に、制御演算に用いるデータの入力タイミングに関する問題もある。複数の制御演算部の間には動作タイミングのずれがあるため、制御演算部Aでは入力を行ってからタスク2が起動されるのに対し、制御演算部B、Cでは入力を行う前にタスク2が起動される可能性がある。この場合、制御演算部B、Cではタスク2が終了してタスク1に戻った後に入力が行われるが、制御演算部Aとは入力を行う時刻に大きな差があるため、入力値に大きな乖離が生じ、制御演算部Aが異常であると誤って判定される可能性がある。
上述のようにマルチタスク処理を行う多重系の処理を行う際に、タスクの割り込みによって各系で処理タスクが異なる場合がある。そこで本願は、処理タスクを揃えて実行すべき処理動作の前後で、自系のタスク切換を一時的に禁止することで、システム全体の処理タスク及び処理動作のタイミングを揃えるという技術思想に基づくものである。また、タスク切換を禁止中に、他系と処理タスク・データが異なっている場合は、自系のタスク切換を許可することで、他系との処理タスクを揃える点も更にポイントである。
以下、実施例を図面を用いて説明する。
図1は、本発明を適用した制御システムの構成図の第1の実施例である。
本実施例の制御システムは、第1の処理装置101、第2の処理装置102、出力停止スイッチ131、スイッチ制御回路134、制御端末132、機器133を有する。
第1の処理装置101は、CPU111、RAM112、ROM113、送信回路114、受信回路115、インタフェース回路116を有する。
第2の処理装置102は、CPU121、RAM122、ROM123、受信回路125、インタフェース回路126を有する。CPU111、及びCPU121は複数のタスクを時分割で処理するマルチタスク処理を行う機能を有する。
受信回路115は、伝送路145を介して制御端末132からデータを受け取り、バス117を介してRAM112に書き込む。
CPU111はROM113に格納されたプログラムに従い、以下の処理を実行する。CPU111はまず、受信回路115がRAM112に書き込んだデータをバス117を介して読み出し、予め定められた制御処理を行った後、処理結果をバス117を介してRAM112に書き込む。
CPU111はまた、バス117、インタフェース回路116、伝送路149、インタフェース回路126、バス127を介して、RAM122に格納されたCPU121の処理結果を読み出し、自身の処理結果と照合する。なお、照合する処理結果には、どのタスクの処理結果であるかを示す情報や、1つのタスクで複数回照合を行う場合にはそれらを識別するための情報を含むものとする。これらの情報は、後述するデータの識別番号と等価な情報となるが、情報の表現方法はデータの識別番号と同じでも良いし、識別可能であれば異なっていても良い。処理結果がいずれのタスクのものかが分かればよいので、タスク自体に対応する識別番号を含ませても良いし、CPU111、121がタスクを処理する際に出力結果に対応するタスクを識別可能な識別番号を付加、或いは別個に出力してもよい。
照合が終了すると、CPU111は、インタフェース回路116、伝送路147を介して照合結果をスイッチ制御回路134に書き込む。照合結果が一致を示している場合は、CPU111は、RAM112に書き込んだ処理結果から、予め定められた形式にのっとった送信データを生成し、RAM112に書き込む。一方、照合結果が不一致を示している場合は、CPU111は、処理を停止する。
CPU111はまた、後述する処理フローに従い、タスクの識別番号やデータの識別番号をRAM112に書き込む。CPU111はまた、後述する処理フローに従い、バス117、インタフェース回路116、伝送路149、インタフェース回路126、バス127を介して、RAM122に格納されたタスクの識別番号やデータの識別番号を読み出す。
なお、本実施例ではCPU111で実行するソフトウェアにより処理結果の照合を行うが、ハードウェアで照合を行う方法も考えられる。これによって、処理速度を向上することが可能である。
また、本実施例ではCPU111で実行するソフトウェアによりRAM122に格納されたCPU121の処理結果を読み出すが、ハードウェアでRAM122に格納された処理結果をRAM112に転送し、CPU111はRAM112に転送されたCPU121の処理結果を読み出すという方法も考えられる。これによって、処理速度を向上することが可能である。
インタフェース回路116は、バス117を介してCPU111から要求を受け取ると、伝送路149、インタフェース回路126、バス127を介して、RAM122に格納された処理結果、タスクの識別番号、またはデータの識別番号を読み出し、CPU111に出力する。インタフェース回路116はまた、CPU111から要求を受け取ると、伝送路147を介して照合結果をスイッチ制御回路134に書き込む。インタフェース回路116はまた、伝送路149を介してインタフェース回路126から要求を受け取ると、RAM112に格納された処理結果、タスクの識別番号、またはデータの識別番号を読み出し、インタフェース回路126に出力する。
送信回路114は、CPU111からバス117を介して送信要求を受け取ると、CPU111がRAM112に書き込んだ送信データをバス117を介して読み出し、伝送路141を介して出力停止スイッチ131に送信する。
受信回路125、インタフェース回路126の動作はそれぞれ、受信回路115、インタフェース回路116の動作と同様である。
CPU121の動作もCPU111の動作とほぼ同じであるが、生成した送信データは使用されないため、送信データの生成を省略することも可能である。
スイッチ制御回路134は、伝送路147を介してインタフェース回路116から受け取った照合結果と、伝送路148を介してインタフェース回路126から受け取った照合結果に基づき、送信停止スイッチ131の制御信号を信号線144に出力する。
送信停止スイッチ131は、インタフェース回路116とインタフェース回路126から受け取った照合結果の両方が一致であった場合にONに制御され、いずれか一方、または両方が不一致であった場合はOFFに制御される。
送信停止スイッチ131は、信号線144から受け取った制御信号に応じてスイッチのON/OFFを制御する。スイッチがONの場合、伝送路141から受け取った送信データがそのまま伝送路142に出力される。スイッチがOFFの場合、伝送路142には何も出力せず、伝送路142はアイドル状態となる。
制御端末132は、伝送路142から受け取ったデータに予め定められた処理を行い、機器133の制御信号を生成して信号線143に出力する。制御端末132はまた、予め定められた時間伝送路142にデータが出力されない場合には、処理装置101、または処理装置102に異常が発生したと判断し、機器133を安全に停止させるための制御信号を信号線143に出力する。制御端末132はまた、信号線146を介して機器133の状態を示す信号を取り込み、予め定められた処理を行った後、伝送路145に送信する。
本実施例は制御端末を1つしか有していないが、複数の制御端末を有することも可能である。その場合、必要に応じて伝送路142、145に中継回路を設ける場合もある。同様に、本発明では二重系の制御装置を用いて説明をしているが、3重系以上の複数の制御装置を用いたものにも適用可能である。
図2は、図1の制御システムの処理装置101、102で1つのタスクを実行する時の処理フローの第1の例である。以下、処理装置101の動作を説明する。
ステップ201では、受信回路115がRAM112に書き込んだデータをCPU111がバス117を介して読み出す。
ステップ202では、CPU111が予め定められた制御処理を行い、処理結果をバス117を介してRAM112に書き込む。
ステップ203では、CPU111がバス117、インタフェース回路116、伝送路149、インタフェース回路126、バス127を介して、RAM122に格納されたCPU121の処理結果を読み出し、CPU121がステップ202の処理を終了したかど
うかを確認する。CPU121がステップ202の処理を終了していた場合には、RAM
122から読み出したCPU121の処理結果と自身の処理結果と照合する。CPU12
1がステップ202の処理を終了していなかった場合は、終了するまでRAM122に格
納されたCPU121の処理結果を読み出しを繰り返す。
ステップ204では、CPU111がタスク切り換えを禁止する処理を行う。タスク切り換えは通常CPU111に内蔵されたタイマや受信回路115などからの割り込みが原因で発生するため、CPU111を割り込み禁止状態とすることでタスク切り換えを禁止することができる。タスク切り換えが禁止されると、タスク切り替え禁止状態の間は、CPUは処理を開始したタスクの処理を続ける。別の方法として、RAM112にタスク切り換えを許可するか禁止するかの情報を保持するエリアを設け、タスク切り換えを制御するソフトウェア、またはハードウェアがその情報を参照して必要に応じてタスク切り換えを抑止する方法も考えられる。
ステップ205では、CPU111が、出力するデータの識別番号をバス117を介してRAM112に書き込む。データの識別番号の割り振り方としては、少なくとも現在どのタスクを実行中であるかを識別できる必要がある。また、データの識別番号が書き込まれていない状態を表現できることが必要である。なお、ここでは1つのタスクで1回しか出力を行わない例を示したが、1つのタスクで複数回出力を行っても良い。但し、処理装置101と処理装置102の間の照合処理が正しく行われるためには、複数回の出力の実行順序は処理装置101と処理装置102で同一である必要がある。その場合、複数回の出力でデータの識別番号は同じものを用いても良いし、違うものを用いても良い。これは、同一のタスクの出力であれば、照合の処理で同一のデータであることの確認が行われるため、データ識別番号で区別する必要が無いためである。
ステップ206では、CPU111がバス117、インタフェース回路116、伝送路149、インタフェース回路126、バス127を介して、RAM122に格納された処理装置102のデータ識別番号を読み出す。
ステップ207では、CPU111が自装置のデータ識別番号と処理装置102のデータ識別番号を比較する。一致していた場合には、ステップ208に進み、不一致の場合はステップ212に進む。
ステップ208では、CPU111がインタフェース回路116、伝送路147を介して照合結果をスイッチ制御回路134に書き込む。照合結果が一致を示している場合は、ステップ209に進む。照合結果が不一致を示している場合は処理を停止する。
ステップ209では、CPU111がRAM112に書き込んだ処理結果から、予め定められた形式にのっとった送信データを生成し、RAM112に書き込む。その後、CPU111はバス117を介して送信回路114に送信要求を出力する。送信回路114は送信要求を受け取ると、CPU111がRAM112に書き込んだ送信データをバス117を介して読み出し、伝送路141を介して出力停止スイッチ131に送信する。
ステップ210では、CPU111がRAM112に書き込んだデータの識別番号を消去する。データの識別番号の消去は、データの識別番号が書き込まれていない状態を示す値を書き込むことによって行う。
ステップ211では、タスク切り換えを許可する処理を行う。ステップ204でCPU111を割り込み禁止状態とした場合には、割り込み許可状態とする。ステップ204でRAM112にタスク切り換えを禁止する情報を書き込んだ場合には、この情報をタスク切り換えを許可する値に書き換える。ステップ211が終了すると、本タスクの1回分の処理は終了となる。
ステップ212の処理内容は、ステップ210の処理内容と同様である。
ステップ213の処理内容は、ステップ211の処理内容と同様である。ステップ213が終了するとステップ204に進む。
処理装置102の動作も同様である。但し、処理装置102には送信回路は存在しないため、CPU121からの送信要求は出力されない。また、CPU121が生成した送信データは使用されないため、送信データ生成は行わなくても良い。
図3は、図2の処理フローを採用した場合に、1つのタスクを実行中に別のタスクが起動された時の処理の実行順序の例である。この例では、タスク2の優先度がタスク1より高く、タスク1を実行中にタスク2に切り換わり、タスク2が終了した後にタスク1に戻る。処理装置102の方がタスク2の起動が早く行われている。
時刻aにおいて、処理装置101で出力データ識別番号の比較を行うが、処理装置102のデータ識別番号は未格納の状態であるため、不一致となる。その後タスク切り換えが許可された時点で処理装置101はタスク2への切り換えが発生し、処理装置102と同じタスクを実行することが可能となる。
時刻cにおいて、処理装置101、102で出力データ識別番号の比較を行い、両者ともタスク2を実行中であるためデータ識別番号が一致し、照合結果書込以降の処理に進むことができる。
時刻dにおいて、処理装置101、102で出力データ識別番号の比較を行い、両者ともタスク1を実行中であるためデータ識別番号が一致し、照合結果書込以降の処理に進むことができる。
図3に示したとおり、処理装置101と処理装置102でタスク切り換えのタイミングが異なっていた場合でも、照合結果書込以降の処理は処理装置101と処理装置102でほぼ同じ時刻に行うことができる。
図4は、図1の制御システムの処理装置101、102で1つのタスクを実行する時の処理フローの第2の実施例を示す図である。図2と同じ符号のステップの処理は、図2と同様である。
図2の処理フローでは、ステップ208で照合結果をスイッチ制御回路134に書き込んだ後、照合結果を消去する処理を行っていないが、図4の処理フローでは、図2の処理フローに対し、ステップ414の照合結果を消去する処理を追加したものである。ステップ414では、CPU111がインタフェース回路116、伝送路147を介して照合結果を消去するための値をスイッチ制御回路134に書き込む。照合結果を消去するための値とは、出力停止スイッチ131をOFFにするための値であり、不一致を示す値と同一でも良いし、別の値でも良い。
制御装置101と制御装置102が正常に動作している期間は、出力停止スイッチ131がONのままとなるが、本実施例では、この状態で制御装置101が異常となり誤ったデータを伝送路141に出力してしまう誤動作があった場合であっても、制御端末131で誤ったデータを遮断することができ、より安全性が向上する効果がある。
図5は、図1の制御システムの処理装置101、102で1つのタスクを実行する時の処理フローの第3の実施例である。図2、図4と同じ符号のステップの処理は、図2、図4と同様である。
図4の処理フローでは、出力は処理装置101、102でほぼ同時刻に行われるが、入力は同時刻に行われるとは限らない。図5では、ステップ201の入力を行う前に、タスク切り換えを禁止する処理を行う点が図4と異なる。
ステップ515、516、517、518、519、520、521はぞれぞれ、図4のステップ204、205、206、207、212、213、210と処理内容は同様である。但し、出力データの識別番号ではなく入力データの識別番号を使用する。入力データの識別番号の決め方は、図2の出力データの識別番号の決め方と同様である。本フローにより、入力も処理装置101、102でほぼ同時刻に行われることを保証することが可能である。
図6は、図1の制御システムの処理装置101、102で1つのタスクを実行する時の処理フローの第4の実施例を示す図である。図2、図4、図5と同じ符号のステップの処理は、図2、図4、図5と同様である。
図6では、入力を行った後に一度タスク切り換えを許可する点が図5と異なる。これにより、図5の処理フローに対して、ステップ515からステップ211の期間で、優先度の高いタスクをより早く実行させることが可能となる。
ステップ622、623は図5のステップ521、211と処理内容は同様であり、ステップ201の入力処理の直後に行われる点が異なる。ステップ623でタスクの切り換えを許可することにより、ステップ515からステップ623の期間により優先度の高いタスクの起動要求があった場合は、ステップ623実行後の優先度の高いタスクを実行可能となるため、優先度の高いタスクの起動時刻の遅延を必要最小限とすることが可能である。
図6の処理フローでは、入力データの識別番号と出力データの識別番号を使用するが、両者が区別できるのが好ましい。そのためには、入力と出力で異なる値を割り当てるか、RAM112、122の格納場所を異なる場所とすればよい。
図8は、図1の制御システムの処理装置101、102で1つのタスクを実行する時の処理フローの第5の実施例である。図2、図4と同じ符号のステップの処理は、図2、図4と同様である。
まず図7を用いて、図4の処理フローを採用した場合に、出力番号比較が一致せず無限ループとなるケースの処理の実行順序の例を示す。
このケースは、処理装置102の照合処理の終了タイミングが処理装置101より遅れた場合である。時刻a、c、eでは処理装置101が出力データ識別番号の比較を行うが、処理装置102の識別番号が消去された状態を読み出して比較しているため、不一致となる。時刻b、d、fでは処理装置102が出力データ識別番号の比較を行うが、処理装置101の識別番号が消去された状態を読み出して比較しているため、不一致となる。以降同様の処理が継続され、無限ループとなる。
図8は、図7の無限ループを防止するための処理フローを示している。
ステップ825では、CPU111がRAM112の所定の場所にタスク識別番号を書き込む。その際、このタスクを実行するために中断された別のタスクがあると、中断されたタスクのタスク識別番号が失われてしまうため、中断されたタスクのタスク識別番号を保存しておく必要がある。
ステップ824は、中断されたタスクのタスク識別番号を保存するための処理であり、RAM112に書き込まれているタスク識別番号をCPU111が読み出し、RAM112の退避エリアにコピーする。
ステップ828は、ステップ824で保存した、中断されたタスクのタスク識別番号をもとに戻す処理である。ステップ824でRAM112の退避エリアにコピーされたタスク識別番号をCPU111が読み出し、RAM112の所定の場所に書き込む。
ステップ826では、CPU111がバス117、インタフェース回路116、伝送路149、インタフェース回路126、バス127を介して、RAM122に格納された処理装置102のタスク識別番号とデータ識別番号を読み出す。処理時間の短縮のため、タスク識別番号とデータ識別番号は1度に読み出せるデータワードの上位ビットと下位ビットに格納するなど、1度の読み出しで両者が読み出せることが好ましい。タスク識別番号とデータ識別番号が1度の読み出しで読み出せない場合は、ステップ826ではデータ識別番号のみを読み出し、ステップ827でタスク識別番号を読み出す方法も考えられる。
ステップ827では、CPU111が自装置のタスク識別番号と処理装置102のタスク識別番号を比較する。一致、あるいは自装置のタスクの優先度が高い場合には、ステップ826に進み、自装置のタスクの優先度が低い場合はステップ212に進む。
図9は、図8の処理フローを採用した場合に、図7の無限ループとなるケースを防止できることを示す図である。
時刻aで処理装置101でデータ識別番号の比較を行い不一致となるが、時刻bでタスク識別番号の比較を行い一致するため、処理装置101はデータ識別番号の消去を行わない。このため、処理装置102でデータ識別番号が書き込まれると、データ識別番号の比較で一致となり(時刻c、d)、照合結果書込みの処理に進むことができる。
なお、図8では、図4をベースに無限ループを防止する様に変更を加えたが、図2、図5、図6をベースにして同様に無限ループを防止する処理フローを構築することが可能である。
図10は、本発明を適用した制御システムの構成図の第6の実施例である。図1と同じ符号の構成要素は、図1と同様である。
本実施例では、図1のスイッチ制御回路134を削除し、出力停止スイッチ131をインタフェース回路1026からの信号線1044で制御する様にした点が特徴である。
インタフェース回路1016は、図1のインタフェース回路116と同様であるが、図1のスイッチ制御回路134に接続された伝送路147が削除されているところが異なる。
インタフェース回路1026は、図1のインタフェース回路126と同様であるが、図1のスイッチ制御回路134に接続された伝送路148が出力停止スイッチ131に接続された信号線1044に変更された点が異なる。インタフェース回路1026は、CPU124からバス127を介して出力停止スイッチ制御要求を受け取ると、要求で指示された値を信号線1044に出力する。
図11は、図10の制御システムの処理装置1001、1002で1つのタスクを実行する時の処理フローの例である。図2と同じ符号のステップの処理は、図2と同様である。
この処理フローは、図4のステップ208、414をステップ1129、1130に置き換えたものである。
ステップ1129は処理装置1002のみで行われる処理であり、CPU124がバス127を介してインタフェース回路1026に出力停止スイッチ制御要求を出力し、出力停止スイッチ131がONとなる値を信号線1044に出力する。
ステップ1130は処理装置1002のみで行われる処理であり、CPU124がバス127を介してインタフェース回路1026に出力停止スイッチ制御要求を出力し、出力停止スイッチ131がOFFとなる値を信号線1044に出力する。
なお、図11は図4の処理フローをベースとしているが、図2、5、6をベースとして同様の変更を行うことで図10に対応した処理フローを構築することも可能である。
図12は、本発明を適用した制御システムの構成図の第7の実施例である。図1と同じ符号の構成要素は、図1と同様である。
本実施例では、図1のスイッチ制御回路134を照合回路1235に置き換えた点が特徴である。
インタフェース回路1216は、図1のインタフェース回路116と同様であるが、図1のスイッチ制御回路134に接続された伝送路147が削除されているところが異なる。
インタフェース回路1226は、図1のインタフェース回路126と同様であるが、図1のスイッチ制御回路134に接続された伝送路148が削除されているところが異なる。
送信回路1224は送信回路114と同様である。
照合回路1235は、処理装置1201、1202の送信データを伝送路1241、1250から受け取り、両者が一致している場合は出力停止スイッチ131がONとなる値を信号線1244に出力し、不一致の場合は出力停止スイッチ131がOFFとなる値を信号線1244に出力する。
図13は、図12の制御システムの処理装置1201、1202で1つのタスクを実行する時の処理フローの例である。図2と同じ符号のステップの処理は、図2と同様である。
この処理フローは、図4の処理フローからステップ203、208、414を削除し、ステップ209をステップ1331に置き換えたものである。
ステップ1331は、図2のステップ209と同様であるが、処理装置1301だけでなく、処理装置1302でも送信回路1224から送信データを出力する処理を行う。
なお、図13は図4の処理フローをベースとしているが、図5、6をベースとして同様の変更を行うことで図12に対応した処理フローを構築することがも可能である。
101 第1の処理装置
102 第2の処理装置
131 出力停止スイッチ
132 制御端末
134 スイッチ制御回路
204 タスク切り換えを禁止するステップ
205 データ識別番号を書き込むステップ
206 他装置の書き込んだデータ識別番号を読み出すステップ
207 自装置と他装置のデータ識別番号を比較するステップ
208 照合結果を書き込むステップ
209 データを出力するステップ
212 出力データ識別番号を消去するステップ
213 タスク切り換えを許可するステップ
825 タスク識別番号を書き込むステップ
826 他装置の書き込んだタスク識別番号とデータ識別番号を読み出すステップ
827 自装置と他装置のタスク識別番号を比較するステップ

Claims (7)

  1. マルチタスクを行う第一の処理装置及び第二の処理装置を有し、
    前記第一の処理装置で実行されるタスクは、その処理結果及び前記第二の処理装置で実行されるタスクの処理結果を照合し、
    一致している場合は前記処理結果を出力し、
    不一致の場合は前記処理結果の出力を停止し、
    前記第二の処理装置で実行されるタスクは、その処理結果及び前記第一の処理装置で実行されるタスクの処理結果を照合する二重系の制御装置において、
    前記第一の処理装置で実行されるタスクは前記照合の後から次のタスクのためのデータ入力の前の時間帯で、タスク切り換えを禁止し、
    前記第二の処理装置で実行されるタスクは前記照合の後から次のタスクのためのデータ入力の前の時間帯で、タスク切り換えを禁止すること
    を特徴とする二重系の制御装置。
  2. 請求項1に記載の二重系の制御装置において、
    タスクの各々は、該タスクに対応する識別番号を備え、
    前記第一の処理装置で実行されるタスクは、タスク切り換えを禁止する前記時間帯で、かつ前記処理結果の出力を行う前に、前記識別番号を比較し、
    前記識別番号が一致している場合に、前記照合の結果に応じて前記処理結果の出力を行うこと
    を特徴とする二重系の制御装置。
  3. 請求項2に記載の二重系の制御装置において、
    前記第一の処理装置で実行されるタスクは、タスク切り換えを禁止する前記時間帯で、かつ前記処理結果の出力を行う前に、前記識別番号を比較し、
    前記識別番号が不一致の場合に、前記識別番号の比較結果を消去し、タスク切り換えを許可すること
    を特徴とする二重系の制御装置。
  4. 請求項3に記載の二重系の制御装置において、
    前記第一の処理装置で実行されるタスク及び前記第二の処理装置で実行されるタスクの各々は、前記タスク切り換えの許可を行った後、
    前記タスク切り換えの禁止、前記識別番号の比較を行うこと
    を特徴とする二重系の制御装置。
  5. 請求項2ないし請求項4のいずれか一つに記載の二重系の制御装置において、
    前記第一の処理装置で実行されるタスクは、前記処理結果の出力を行った後であって、タスク切り替えを許可する前に、
    前記識別番号の比較結果を消去すること
    を特徴とする二重系の制御装置。
  6. 請求項1ないし請求項5のいずれか一つに記載の二重系の制御装置において、
    前記第一の処理装置で実行されるタスク及び前記第二の処理装置で実行されるタスクの各々は、
    照合をする際に、相手の処理装置の演算処理が終了するまで、前記相手の処理結果の読み出しを繰り返すこと
    を特徴とする二重系の制御装置。
  7. マルチタスクを行う第一の処理装置及び第二の処理装置の二重系の制御方法において、
    前記第一の処理装置で実行されるタスクは、その処理結果及び前記第二の処理装置で実行されるタスクの処理結果を照合し、
    一致している場合にタスクの切り換えを禁止し、
    前記第一の処理装置及び前記第二の処理装置の各々の処理するタスクに備えられ、該タスクを識別可能な識別番号を各々比較し、
    一致している場合には所定の処理を行ってタスク切り替えを許可し、
    不一致の場合には前記識別番号の比較結果を消去してタスク切り替えを許可すること
    を特徴とする二重系の制御装置の制御方法。
JP2014139271A 2014-07-07 2014-07-07 制御装置及びその制御方法 Active JP6302775B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014139271A JP6302775B2 (ja) 2014-07-07 2014-07-07 制御装置及びその制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014139271A JP6302775B2 (ja) 2014-07-07 2014-07-07 制御装置及びその制御方法

Publications (2)

Publication Number Publication Date
JP2016018291A JP2016018291A (ja) 2016-02-01
JP6302775B2 true JP6302775B2 (ja) 2018-03-28

Family

ID=55233497

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014139271A Active JP6302775B2 (ja) 2014-07-07 2014-07-07 制御装置及びその制御方法

Country Status (1)

Country Link
JP (1) JP6302775B2 (ja)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0736720A (ja) * 1993-07-20 1995-02-07 Yokogawa Electric Corp 二重化コンピュータ装置
JP5850774B2 (ja) * 2012-03-22 2016-02-03 ルネサスエレクトロニクス株式会社 半導体集積回路装置及びそれを用いたシステム

Also Published As

Publication number Publication date
JP2016018291A (ja) 2016-02-01

Similar Documents

Publication Publication Date Title
CN102822807B (zh) 控制计算机系统及其控制方法和使用
US20170242809A1 (en) Abnormal interrupt request processing
US10114356B2 (en) Method and apparatus for controlling a physical unit in an automation system
CN102360311A (zh) 计算机系统
US8719650B2 (en) Self-diagnosis system and test circuit determination method
US20160253285A1 (en) Method And System of Synchronizing Processors To The Same Computational Point
US7827429B2 (en) Fault tolerant computer
US10108469B2 (en) Microcomputer and microcomputer system
US20220222187A1 (en) Controller
US10360115B2 (en) Monitoring device, fault-tolerant system, and control method
JP5423473B2 (ja) フォールトトレラント装置、その制御モジュール、プログラム
JP6302775B2 (ja) 制御装置及びその制御方法
CN103473153B (zh) 用于检测微控制器中的潜在故障的方法和系统
CN107423029B (zh) 计算单元
JP4477739B2 (ja) 冗長系情報処理システム
JP7073285B2 (ja) 動作検証プログラム、動作同期方法及び異常検出装置
JP4810488B2 (ja) 二重化制御装置、及びそのトラッキング方法
JP7211173B2 (ja) 通信制御装置、電子機器装置、通信制御方法、及び通信制御プログラム
JP4411600B2 (ja) 2重化システム
US20230398955A1 (en) In-vehicle use control system
JP6645467B2 (ja) マイクロコンピュータ
JP3652232B2 (ja) マイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステム
JP2014056396A (ja) 電子制御装置
JP2002229811A (ja) 論理分割システムの制御方法
JP4613019B2 (ja) コンピュータシステム

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20170110

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20170112

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170209

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20171031

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171121

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180206

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180305

R150 Certificate of patent or registration of utility model

Ref document number: 6302775

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150