JP6816345B2 - 駆動制御装置 - Google Patents

駆動制御装置 Download PDF

Info

Publication number
JP6816345B2
JP6816345B2 JP2015089082A JP2015089082A JP6816345B2 JP 6816345 B2 JP6816345 B2 JP 6816345B2 JP 2015089082 A JP2015089082 A JP 2015089082A JP 2015089082 A JP2015089082 A JP 2015089082A JP 6816345 B2 JP6816345 B2 JP 6816345B2
Authority
JP
Japan
Prior art keywords
control
processing unit
signal
control processor
abnormality
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015089082A
Other languages
English (en)
Other versions
JP2016207002A (ja
Inventor
田島 宏一
宏一 田島
西田 廣治
廣治 西田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fuji Electric Co Ltd
Original Assignee
Fuji Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Electric Co Ltd filed Critical Fuji Electric Co Ltd
Priority to JP2015089082A priority Critical patent/JP6816345B2/ja
Priority to CN201680003941.8A priority patent/CN107003915B/zh
Priority to PCT/JP2016/055278 priority patent/WO2016170840A1/ja
Priority to DE112016000153.3T priority patent/DE112016000153T5/de
Publication of JP2016207002A publication Critical patent/JP2016207002A/ja
Priority to US15/600,984 priority patent/US10006455B2/en
Application granted granted Critical
Publication of JP6816345B2 publication Critical patent/JP6816345B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F04POSITIVE - DISPLACEMENT MACHINES FOR LIQUIDS; PUMPS FOR LIQUIDS OR ELASTIC FLUIDS
    • F04BPOSITIVE-DISPLACEMENT MACHINES FOR LIQUIDS; PUMPS
    • F04B49/00Control, e.g. of pump delivery, or pump pressure of, or safety measures for, machines, pumps, or pumping installations, not otherwise provided for, or of interest apart from, groups F04B1/00 - F04B47/00
    • F04B49/06Control using electricity
    • F04B49/065Control using electricity and making use of computers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/26Pc applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Automation & Control Theory (AREA)
  • Computer Hardware Design (AREA)
  • Mechanical Engineering (AREA)
  • Safety Devices In Control Systems (AREA)
  • Debugging And Monitoring (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)

Description

この発明は、ウォッチドッグタイマを備える駆動制御装置に関する。
CPU(Central Processing Unit、以下「CPU」と略記)によりアクチュエータ等の制御対象装置の駆動制御を行う駆動制御システムでは、CPUの異常や故障への対策が強く求められている。そこで、CPUを監視し、CPUの異常や故障を検知する技術が種々開発されている。例えば特許文献1に開示の技術では、監視対象のCPUとは別に監視ICを設け、この監視ICがCPUのトルクモニタ部と信号異常診断部の動作状態を監視し、これらの動作異常を検知すると、マイクロコンピュータの自己監視部と協調して、フェールセーフ制御を実施する。
しかしながら、この特許文献1に開示の技術において、監視ICが検知するCPUの動作異常は、トルクモニタ部と信号異常診断部の動作異常等の特定の異常に限られる。そして、この特許文献1に開示の技術は、CPUの動作において発生し得るALU(Arithmetic Logic Unit;算術論理演算装置)の動作異常、データ経路の動作異常、レジスタの動作異常、内部RAMの動作異常、アドレス計算の動作異常、割り込み処理の動作異常、制御ロジックの動作異常、構成レジスタの動作異常といった広範囲の動作異常を検知して、その対応を行うことができないという問題がある。
CPUにおいて発生し得る広範囲の動作異常への対応手段として、ウォッチドッグタイマを利用した手段がある。例えば特許文献2に開示の技術では、CPUからウォッチドッグタイマに周期的にパルス信号を供給してウォッチドッグタイマをリセットする。CPUに動作異常が発生してパルス信号が所定時間供給されないと、ウォッチドッグタイマはリセット信号をCPUに出力し、CPUにリセット処理を実行させる。また、特許文献3に開示の技術では、特許文献2と同様にウォッチドッグタイマが設けられているが、ウォッチドッグタイマは、CPUからの定期的なウォッチドッグタイマクリア信号の供給が途絶えると、CPUが正常動作していないと判断し、上位システムに対してエラー通知を送信する。
特開2010−43536号公報 特開2003−97345号公報 特開2014−32558号公報
ところで、上述した特許文献2に開示の技術は、リセット信号が与えられても制御プロセッサであるCPUのリセット機能が正常に働かない場合への対策が講じられていない問題がある。また、上述した特許文献2に開示の技術は、制御プロセッサであるCPUのリセット機能が正常に働いたとしても、リセット後のCPUが正常な動作をする保証がないという問題がある。また、上述した特許文献2および3に開示の技術は、ウォッチドッグタイマ自体の動作が異常になった場合に、駆動制御システムを安全な状態に維持するのが困難であるという問題がある。
この発明は、以上説明した事情に鑑みてなされたものであり、その第1の目的は、制御プロセッサのリセットが正常に働かなくなるような動作異常あるいは制御プロセッサのリセットを行ったとしても解消しないような動作異常が制御プロセッサに発生する場合においても、駆動制御システムを安全な状態に維持することができる駆動制御装置を提供することにある。また、この発明の第2の目的は、ウォッチドッグタイマ自体に動作異常が発生する状況においても、駆動制御システムを安全な状態に維持することができる駆動制御装置を提供することにある。
この発明は、制御信号を生成する制御処理部と、前記制御処理部の動作が正常であるか異常であるかを診断する診断手段とを含む制御プロセッサと、前記制御処理部の動作が正常であると前記診断手段により診断された場合に前記制御プロセッサから供給されるリセット信号に応じて計時値をリセットし、前記リセット後、目標計時時間の計時を完了することによって、前記制御プロセッサから制御対象装置への前記制御信号の供給を遮断する遮断信号を継続的に出力するウォッチドッグタイマと、前記遮断信号が与えられていないとき、制御対象装置である駆動回路への前記制御信号の供給を継続し、前記遮断信号が与えられるとき、前記駆動回路への前記制御信号の供給を遮断するスイッチ回路と、を具備することを特徴とする駆動制御装置を提供する。
この発明によれば、制御プロセッサからウォッチドッグタイマへのリセット信号の供給が途絶えると、ウォッチドッグタイマは、目標計時時間の計時を完了することによって、制御対象装置への制御信号の供給を継続的に遮断する。そのため、制御プロセッサのリセットが正常に働かなくなるような動作異常あるいは制御プロセッサのリセットを行ったとしても解消しないような動作異常が制御プロセッサに発生したとしても、制御対象装置が制御プロセッサの動作異常の悪影響を受けるのを阻止し、駆動制御システムを安全な状態に維持することができる。
好ましい態様において、前記制御プロセッサは、当該制御プロセッサの動作の診断を行う診断手段と、前記診断手段が当該制御プロセッサの動作に異常があると診断した場合に、正常時よりも動作範囲が制限された安全状態に当該制御プロセッサを移行させる安全状態移行処理手段とを具備する。
この態様によれば、ウォッチドッグタイマ自体の動作異常が発生し、制御プロセッサの動作異常発生時にウォッチドッグタイマが制御対象装置への制御信号の供給を遮断できなくても、制御プロセッサを安全状態に移行することができ、駆動制御システムを安全な状態に維持することができる。
好ましい態様において、前記診断手段は、前記目標計時時間よりも短い周期で前記診断を繰り返し、前記制御プロセッサが正常であると診断した場合に前記リセット信号を出力する。
この態様によれば、前記診断手段が当該制御プロセッサの動作に異常があると診断した場合に、ウォッチドッグタイマが遮断信号を出力する前に、安全状態移行手段が制御プロセッサを安全状態に移行させる。従って、制御対象装置の安全性を確保することができる。
好ましい態様において、前記安全状態移行処理手段は、前記診断手段が前記制御プロセッサの動作の異常を診断した場合に、前記制御対象装置を正常時よりも動作範囲の制限された安全状態とする制御信号を前記制御プロセッサから出力させる。
この態様によれば、制御プロセッサの動作異常が診断された場合に、制御対象装置の動作範囲を制限することにより制御対象装置の安全性を確保することができる。
好ましい態様においては、前記安全状態移行処理手段は、前記診断手段が前記制御プロセッサの動作の異常を診断した場合に、前記制御プロセッサからの前記制御信号の出力を停止させる。
この態様によれば、制御プロセッサの動作の異常を診断した後は、制御プロセッサの動作異常の影響が制御対象装置に及ぶのを阻止することができる。
好ましい態様においては、前記安全状態移行処理手段は、前記診断手段が前記制御プロセッサの動作の異常を診断した場合に、前記制御対象装置の動作状態を時間経過に応じて所定の安全状態に移行させる制御信号を前記制御プロセッサから出力させる。
この態様によれば、制御プロセッサの動作の異常が診断された場合に、制御対象装置の駆動状態を時間経過に伴って徐々に安全な状態に移行させることができる。従って、制御対象装置の動作が不安定になるのを防止することができる。
好ましい態様においては、前記制御プロセッサは、前記診断手段が前記制御プロセッサの動作の異常を診断した場合に、前記制御プロセッサの動作の異常を上位コントローラに通知する通信手段を具備する。この態様によれば、上位コントローラは制御プロセッサの動作の異常を認識することができる。
好ましい態様においては、前記安全状態移行処理手段は、前記診断手段が前記制御プロセッサの動作の異常を診断した場合に、前記制御プロセッサをホールド状態とする。この態様によれば、制御プロセッサの動作異常が診断された場合、制御プロセッサがホールド状態とされるので、制御プロセッサの動作異常の影響が大きくなるのを防止することができる。
以上説明したように、この発明によれば、制御プロセッサのリセットが正常に働かなくなるような動作異常あるいは制御プロセッサのリセットを行ったとしても解消しないような動作異常が制御プロセッサに発生したとしても、制御対象装置が制御プロセッサの動作異常の悪影響を受けるのを阻止し、駆動制御システムを安全な状態に維持することができる。
この発明の一実施形態による駆動制御装置1を含む駆動制御システムの構成を示すブロック図である。 同駆動制御装置1の制御プロセッサ11の処理内容を示すフローチャートである。 同制御プロセッサ11が実行する安全機能診断処理を示すフローチャートである。 同制御プロセッサ11の第1の動作例を示すタイムチャートである。 同制御プロセッサ11の第2の動作例を示すタイムチャートである。 同制御プロセッサ11の第3の動作例を示すタイムチャートである。 この発明の他の実施形態における制御プロセッサの動作例を示すタイムチャートである。
以下、図面を参照しつつ、この発明の実施形態について説明する。
図1は、この発明の一実施形態による駆動制御装置1を含む駆動制御システムの構成を示すブロック図である。この駆動制御システムは、図1に示すように、駆動制御装置1と、上位コントローラ2と、スイッチ回路3と、駆動制御装置1の制御対象装置である駆動回路4と、アクチュエータ5とを有する。
上位コントローラ2は、例えばPLC(Programmable Logic Controller)等の制御装置と、安全リレー等からなる安全装置とにより構成されている。この上位コントローラ2は、使用者による操作等に基づいて生成した制御指令信号を駆動制御装置1に供給する。また、上位コントローラ2は、駆動制御システム内において、アクチュエータ5への作業者の接近等の危険の発生を検知した場合あるいは非常停止ボタンの押圧操作が行われた場合等に安全信号を発生して駆動制御装置1に供給する。また、上位コントローラ2は、駆動制御装置1の制御プロセッサ11(後述)の異常を示す異常報告信号を駆動制御装置1から受け取り、警報の発生等、異常報告信号に対応した処理を実行する。
スイッチ回路3は、駆動制御装置1と駆動回路4の間に設けられている。このスイッチ回路3は、常時は、駆動制御装置1が出力する制御信号を駆動回路4に供給するが、駆動制御装置1から遮断信号が与えられることによりオフとなり、駆動制御装置1から駆動回路4への制御信号の供給を遮断する。
駆動回路4は、例えばインバータの主回路であり、複数のスイッチング素子により構成されている。この駆動回路4は、駆動制御装置1から供給される制御信号に基づいてスイッチング素子をオンさせ、このスイッチング素子を介してアクチュエータ5に駆動電圧を供給する。アクチュエータ5は、例えばモータである。
駆動制御装置1は、制御指令信号或いは安全信号に基づいて制御信号を生成し、スイッチ回路3を介して制御信号を駆動回路4に供給し、アクチュエータ5の駆動を制御する。この駆動制御装置1は、図1に示すように、制御プロセッサ11と、ウォッチドッグタイマ(以下、WDTと略す)12とを有する。WDT12は、一定周期のクロックのカウントを行うカウンタを有し、制御プロセッサ11からリセット信号の供給があると、WDT12はクロックのカウント値(すなわち、計時値)をゼロにする。また、WDT12は、計時値が所定の目標計時時間に到達すると、スイッチ回路3に継続的に遮断信号を供給する。
制御プロセッサ11は、上位コントローラ2から供給される制御指令信号または安全信号に基づいてアクチュエータ5を制御するための制御信号を生成する手段である。この制御プロセッサ11は、CPUコアの他、このCPUコアが実行するプログラムを記憶したROMと、CPUコアによってワークエリアとして使用されるRAMとを内蔵したCPUである。図1では、CPUコアとROMとRAMの図示は省略している。制御プロセッサ11のCPUコア(以下、説明の便宜のため、単に制御プロセッサ11という)がROM内のプログラムを実行することにより実現される機能は、図1に示す通信処理部111と、指令入力処理部112と、アクチュエータ制御処理部113と、診断処理部114と、制御信号出力処理部115と、安全状態移行処理部116とに大別することができる。
通信処理部111は、上位コントローラ2から制御指令信号および安全信号を受信する手段である。また、通信処理部111は、安全状態移行処理部116から異常報告信号を受け取った場合に、その異常報告信号を上位コントローラ2に送信し、以後、上位コントローラ2からの制御指令信号および安全信号の受信を拒否する。ただし、上位コントローラ2が異常報告信号の内容を判断して復帰指令信号を送信した場合、通信処理部111は、この復帰指令信号を受信し、上位コントローラ2からの制御信号および安全信号の受信を再開する。指令入力処理部112は、通信処理部111が上位コントローラ2から受信した制御指令信号および安全信号をアクチュエータ制御処理部113に引き渡す手段である。アクチュエータ制御処理部113は、制御指令信号や安全信号に基づいて、アクチュエータ5を駆動制御するための制御信号を生成するための演算処理を実行する手段である。
例えば、アクチュエータ5がモータであり、駆動回路4がモータを駆動するインバータの主回路である場合、アクチュエータ制御処理部113は、駆動回路4の各スイッチング素子のON/OFFを制御するためのPWM(Pulse Width Modulation;パルス幅変調)信号を生成する。その際、アクチュエータ制御処理部113は、制御指令信号や安全信号に応じて、制御信号であるPWM信号のパルス幅の増減の制御を行う。
制御信号出力処理部115は、アクチュエータ制御処理部113によって生成される制御信号を制御プロセッサ11から出力する手段である。制御信号出力処理部115は、安全状態移行処理部116から停止信号を受け取った場合に、制御信号の出力を停止する。
診断処理部114は、アクチュエータ制御処理部113の動作が正常であるか異常であるかを診断する手段である。図1に示すように、診断処理部114は、プログラムシーケンス診断処理部1141と、安全機能診断処理部1142とを含む。ここで、プログラムシーケンス診断処理部1141は、アクチュエータ制御処理部113の動作のうち制御指令信号に応じて制御信号の生成を行う動作が正常であるか異常であるかを診断する手段である。また、安全機能診断処理部1142は、アクチュエータ制御処理部113の動作のうち安全信号に応じて制御信号の生成を行う動作が正常であるか異常であるかを診断する手段である。
これらの診断において、プログラムシーケンス診断処理部1141および安全機能診断処理部1142は、アクチュエータ制御処理部113において使用される制御プロセッサ11のALUの異常、データ経路の異常、レジスタの異常、内部RAMの異常、アドレス計算手段の異常、割り込み処理手段の異常、制御ロジックの異常、構成レジスタの異常を検知する。
診断処理部114は、プログラムシーケンス診断処理部1141による診断処理および安全機能診断処理部1142による診断処理を周期的に繰り返し、両診断処理においてアクチュエータ制御処理部113の動作が正常である旨の診断結果が得られた場合にリセット信号をWDT12に供給する。また、安全状態移行処理部116は、プログラムシーケンス診断処理部1141による診断処理または安全機能診断処理部1142による診断処理において、アクチュエータ制御処理部113の動作の異常が診断された場合に、異常信号を安全状態移行処理部116に出力する。この異常信号は制御プロセッサ11が異常である旨を示す情報とその異常内容を示す情報とを含む。
安全状態移行処理部116は、診断処理部114がアクチュエータ制御処理部113の動作に異常があると診断した場合に、正常時よりも動作範囲が制限された安全状態に制御プロセッサ11を移行させる安全状態移行処理手段として機能する。具体的には、本実施形態において安全状態とは、制御プロセッサ11がホールド(内部状態を遷移させない状態)し、制御信号の生成および出力を行わない状態である。安全状態移行処理部116は、診断処理部114から異常信号を受け取った場合に、制御信号出力処理部115に停止信号を出力するとともに、異常信号を異常報告信号として通信処理部111に出力し、さらに制御プロセッサ11をホールド状態にする。
以上が本実施形態の構成である。
次に、本実施形態の動作について説明する。図2は、制御プロセッサ11の処理内容を示すフローチャートである。駆動制御装置1の電源投入等に伴って起動指令が発生すると、まず、ステップS101に進むと、プログラムシーケンス診断処理部1141がプログラムシーケンス診断処理を実行する。このプログラムシーケンス診断処理は、アクチュエータ制御処理部113の動作のうち制御指令信号に応じて制御信号を生成する動作を診断する処理である。
次にステップS102に進むと、プログラムシーケンス診断処理部1141は、プログラムシーケンス診断処理の診断結果についての判断を行う。アクチュエータ制御処理部113の動作が異常であることを診断結果が示している場合、処理はステップS110に進み、アクチュエータ制御処理部113の動作が正常であることを診断結果が示している場合、処理はステップS103に進む。
次にステップS103に進むと、安全機能診断処理部1142が安全機能診断処理を実行する。この安全機能診断処理は、アクチュエータ制御処理部113の動作のうち安全信号に応じて制御信号を生成する動作を診断する処理である。
次にステップS104に進むと、安全機能診断処理部1142は、安全機能診断処理の診断結果についての判断を行う。アクチュエータ制御処理部113の動作が異常であることを診断結果が示している場合、処理はステップS110に進み、アクチュエータ制御処理部113の動作が正常であることを診断結果が示している場合、処理はステップS105に進む。
次にステップS105に進むと、診断処理部114は、WDT12にリセット信号を出力し、WDT12の計時値をリセットさせる。次にステップS106に進むと、アクチュエータ制御処理部113が本来のアクチュエータ制御処理を実行する。このアクチュエータ制御処理において、アクチュエータ制御処理部113は、指令入力処理部112から制御指令信号或いは安全信号を取得し、制御指令信号や安全信号に基づいて制御信号を生成し、制御信号出力処理部115に供給する。
このステップS106が終了すると、処理はステップS101に戻る。以後、プログラムシーケンス診断処理(ステップS101)および安全機能診断処理(ステップS103)の両診断結果においてアクチュエータ制御処理部113の動作が正常である限り、ステップS101→S102→S103→S104→S105→S106→S101の順に各ステップの処理が繰り返される。
一方、ステップS102またはS104の判断において、アクチュエータ制御処理部113の動作が異常であることを診断結果が示していると、処理はステップS110へ進む。このステップS110において、診断処理部114は、安全状態移行処理部116に異常信号を出力する。そして、安全状態移行処理部116は、異常報告信号を通信処理部111に出力する。これにより通信処理部111は、異常報告信号を上位コントローラ2に送信し、以後、上位コントローラ2からの制御指令信号および安全信号の受信を拒否する。ただし、上位コントローラ2が異常報告信号の内容を判断して復帰指令信号を送信した場合、通信処理部111は、この復帰指令信号を受信し、上位コントローラ2からの制御信号および安全信号の受信を再開する。次にステップS111に進むと、安全状態移行処理部116が安全状態に移行するための処理を行う。具体的には、安全状態移行処理部116は、停止信号を制御信号出力処理部115に出力する。これにより制御信号出力処理部115は、アクチュエータ制御処理部113からの制御信号の外部への出力を停止する。また、安全状態移行処理部116は、制御プロセッサ11への内部クロックを停止し、制御プロセッサ11をホールド状態とし、図2に示す処理を終了する。
図3はステップS103の安全機能診断処理の処理内容を示すフローチャートである。安全機能診断処理部1142は、この安全機能診断処理の実行を開始すると、まず、ステップS201に進み、ROMから安全機能診断用の入力データを読み出してRAMに格納する。次にステップS202に進むと、安全機能診断処理部1142は、この入力データをアクチュエータ制御処理部113に供給し、この入力データに基づいて演算を行わせる。次にステップS203に進むと、安全機能診断処理部1142は、アクチュエータ制御処理部113の演算結果をRAMに書き込む。次にステップS204に進むと、安全機能診断処理部1142は、ROMから安全機能診断用の入力データを再度読み出してRAMに格納する。次にステップS205に進むと、安全機能診断処理部1142は、この入力データをアクチュエータ制御処理部113に再度供給し、この入力データに基づく演算を再度行わせる。次にステップS206に進むと、安全機能診断処理部1142は、アクチュエータ制御処理部113の演算結果をRAMに書き込む。次にステップS207に進むと、安全機能診断処理部1142は、ステップS203においてRAMに書き込んだ演算結果と、ステップS206においてRAMに書き込んだ演算結果とを比較し、両者が一致するか否かを診断する。
ステップS207の判断結果が「NO」である場合、処理はステップS208に進む。次にステップS208に進むと、安全機能診断処理部1142は、アクチュエータ制御処理部113が異常であると診断し、安全機能診断処理を終了する。
一方、ステップS207の判断結果が「YES」であると、処理はステップS210に進む。次にステップS210に進むと、安全機能診断処理部1142は、安全機能診断用のテストデータをROMから読み出し、RAMに格納する。次にステップS211に進むと、安全機能診断処理部1142は、アクチュエータ制御処理部113にこのテストデータに基づく演算を行わせる。次にステップS212に進むと、安全機能診断処理部1142は、アクチュエータ制御処理部113の演算結果をRAMに書き込む。次にステップS213に進むと、安全機能診断処理部1142は、テストデータに基づく演算結果の期待値である判定値をROMから読み出す。次にステップS214に進むと、安全機能診断処理部1142は、ステップS212においてRAMに書き込んだ演算結果と、ステップS213においてROMから読み出した判定値とを比較し、両者が一致するか否かを判断する。このステップS214の判断結果が「NO」である場合、処理は上述したステップS208に進む。一方、ステップS214の診断結果が「YES」である場合、処理はステップS215に進む。次にステップS215に進むと、安全機能診断処理部1142は、アクチュエータ制御処理部113は正常であると診断し、安全機能診断処理を終了する。
以上が図2のステップS103における安全機能診断処理の内容である。ステップS101のプログラムシーケンス診断処理も基本的にこの安全機能診断処理と同様である。
図4〜図6は、本実施形態の動作例を示すタイムチャートである。図4は、前掲図2において、プログラムシーケンス診断処理(ステップS101)および安全機能診断処理(ステップS103)の両診断においてアクチュエータ制御処理部113が正常であると診断される場合の動作例を示している。この場合、制御プロセッサ11では、図4に示すように、プログラムシーケンス診断処理、安全機能診断処理およびアクチュエータ制御処理からなる処理が周期的に繰り返される。
ここで、WDT12がリセットされてからタイムアウトになるまでの目標計時時間は、1周期分のプログラムシーケンス診断処理、安全機能診断処理およびアクチュエータ制御処理の全所要時間よりも長い。従って、WDT12がリセットされると、その後、WDT12の計時値が目標計時時間に到達するよりも前に、プログラムシーケンス診断処理(ステップS101)および安全機能診断処理(ステップS103)の両診断においてアクチュエータ制御処理部113が正常であると診断され、WDT12がリセットされる。従って、WDT12がタイムアウトとなってスイッチ回路3が遮断されることはない。
また、プログラムシーケンス診断処理(ステップS101)および安全機能診断処理(ステップS103)の両診断においてアクチュエータ制御処理部113が正常であると診断される場合、診断処理部114は異常信号を出力せず、安全状態移行処理部116は停止信号を制御信号出力処理部115に出力しない。従って、制御信号出力処理部115は、アクチュエータ制御処理部113が生成する制御信号を出力し、スイッチ回路3はこの制御信号を駆動回路4に供給する。
図5は、前掲図2のプログラムシーケンス診断処理(ステップS101)においてアクチュエータ制御処理部の動作の異常が診断され、時刻t1において診断処理部114から異常信号が出力(図2のステップS110)される動作例を示している。この異常信号が出力されると、安全状態移行処理部116は、停止信号を制御信号出力処理部115に出力する。この結果、図5に示すように、制御信号出力処理部115は、アクチュエータ制御処理部113が生成する制御信号の出力を停止する。
また、本実施形態において、WDT12の目標計時時間は、プログラムシーケンス診断処理が繰り返される周期よりも長い。このため、図5に例示するように、時刻t1より後の時刻t2において、WDT12の計時値が、目標計時時間に到達し、WDT12が遮断信号をスイッチ回路3に出力する。この結果、スイッチ回路3はオフとなる。
このように本実施形態によれば、プログラムシーケンス診断処理部1141が制御プロセッサ11の動作異常を検知した場合に、WDT12がスイッチ回路3を遮断するよりも前に、安全状態移行処理部116が制御信号出力処理部115による制御信号の出力を停止させる。安全機能診断処理部1142が制御プロセッサ11の動作異常を検知した場合も同様である。従って、例えばWDT12が正常に働かない状況においても制御プロセッサ11の誤動作の影響が制御対象装置である駆動回路4およびアクチュエータ5に及ぶのを阻止することができる。
さらに、本実施形態によれば、制御プロセッサ11から異常報告信号を上位コントローラ2に出力するので、上位コントローラ2が制御プロセッサ11の動作異常を認識し、適切な対応をとることができる。また、本実施形態によれば、制御プロセッサ11は、異常診断時、自らをホールド状態に移行するので、制御プロセッサ11の動作異常が進行するのを止め、制御プロセッサ11が致命的な故障に陥るのを回避することができる。
図6は、前掲図2において、プログラムシーケンス診断処理部1141がプログラムシーケンス診断処理(ステップS101)の実行を開始した後、プログラムシーケンス診断処理部1141の動作異常が発生し、診断処理部114によってリセット信号が出力されることなく、WDT12の計時値が時刻t3において目標計時時間に到達した動作例を示している。このように本実施形態によれば、プログラムシーケンス診断処理部1141の動作異常が発生した場合には、WDT12の計時値が目標計時時間に到達し、遮断信号によりスイッチ回路3がオフとされ、制御プロセッサ11の誤動作の影響が制御対象装置である駆動回路4およびアクチュエータ5に及ぶのを阻止することができる。安全機能診断処理部1142の動作異常が発生した場合も同様である。
<他の実施形態>
以上、この発明の一実施形態について説明したが、この発明には他にも実施形態が考えられる。例えば次の通りである。
(1)上記実施形態では、図3のステップS201〜S206において、アクチュエータ制御処理部113は入力データに基づく演算を2回行い、ステップS207においてプログラムシーケンス診断処理部1141が演算結果を比較したが、演算の回数は2回に限られない。アクチュエータ制御処理部113が演算を3回以上行い、プログラムシーケンス診断処理部1141が各演算の演算結果を比較してもよい。演算の回数を増やせば制御プロセッサ11の動作異常を検知しやすくなるが、制御プロセッサ11に負荷がかかるので、制御プロセッサ11の性能に応じて適宜演算の回数を決めればよい。
(2)上記実施形態では、プログラムシーケンス診断処理を実行した後に安全機能診断処理を実行していたが、この順番が逆であってもよい。また、図3のステップS210〜S214の処理の後にステップS201〜S207の処理を実行してもよい。
(3)上記実施形態では、アクチュエータ制御処理部113の演算結果を判定値と比較したが、アクチュエータ制御処理部113の演算の所要時間を所定の基準時間と比較することで制御プロセッサ11の動作異常を検知してもよい。また、例えば図3の安全機能診断処理において、ステップS202の演算の所要時間とステップS205の演算の所要時間を比較し、両所要時間の差が所定の閾値を越えている場合にアクチュエータ制御処理部113の動作が異常であると診断してもよい。また、制御プロセッサ11が例えば時分割制御により複数の処理を並行して進める場合には、各処理が行われる順序を監視し、各処理の順序が所定の順序でない場合に制御プロセッサ11の動作が異常であると診断してもよい。あるいは各処理の所要時間を所定の基準時間と比較し、いずれかの処理の所要時間と基準時間との差が所定の閾値を越えた場合に制御プロセッサ11の動作が異常であると診断してもよい。あるいは処理の順序に基づく判断と処理の所要時間に基づく判断とを併用して制御プロセッサ11の動作が異常であるか否かを診断してもよい。
(4)上記実施形態では、診断処理部114が異常信号を安全状態移行処理部116に供給すると、安全状態移行処理部116が停止信号を制御信号出力処理部115に供給し、制御信号出力処理部115が制御信号の供給を停止した。しかし、この場合に安全状態移行処理部116は、制御信号出力処理部115に停止信号を供給する代わりに、安全状態に対応した制御信号の生成をアクチュエータ制御処理部113に行わせてもよい。ここで、安全状態とは、正常時よりも動作範囲の制限されたアクチュエータ5の駆動状態であり、速度が制限されたアクチュエータ5の駆動状態やアクチュエータ5の停止等が安全状態に含まれる。さらに、安全状態移行処理部116は、異常信号の内容に応じて安全状態に対応した制御信号の生成をアクチュエータ制御部113に行わせてもよい。そのために、異常信号の内容とその内容に応じた安全状態もしくは安全状態の決定方法を制御プロセッサ11のROMやRAMが予め記憶していてもよい。制御プロセッサ11の動作異常が診断された場合、安全状態移行処理部116は、アクチュエータ5をこのような安全状態にするための制御信号をアクチュエータ制御処理部113に生成させるのである。
あるいは制御プロセッサ11の動作異常が診断された場合、安全状態移行処理部116は、アクチュエータ5を時間経過に伴って徐々に安全状態(例えば停止状態)に移行させる制御信号をアクチュエータ制御処理部113に生成させてもよい。
また、安全状態移行処理部116は、このような安全状態に対応した制御信号の生成を行わせる指示をアクチュエータ制御処理部113に送った後、所定時間が経過するのを待って、停止信号を制御信号出力処理部115に出力することが好ましい。また、診断処理部114は、安全状態移行処理部116が停止信号を制御信号出力処理部115に出力するまでの間、リセット信号をWDT12に供給し続けることが好ましい。これにより、所定時間の間は、アクチュエータ制御処理部113が生成する安全状態に対応した制御信号が駆動回路4に供給され、アクチュエータ5が制御される。この所定時間は、予め設定した一定時間でもよいし、制御プロセッサ11の異常検出時におけるアクチュエータ5の動作速度等に応じて決定してもよい。この態様によれば、アクチュエータ5の急停止による事故を防止できる。
(5)上記実施形態では、プログラムシーケンス診断処理、安全機能診断処理、アクチュエータ制御処理といったタスク単位での時分割制御により、プログラムシーケンス診断処理、安全機能診断処理、アクチュエータ制御処理を並行して進めることで、制御プロセッサ11による制御信号の生成と並行して制御プロセッサ11の診断を実施した。しかし、タスク単位よりも細かい時間単位での時分割制御によりプログラムシーケンス診断処理、安全機能診断処理、アクチュエータ制御処理を並行して進めてもよい。
図7はプログラムシーケンス診断処理、安全機能診断処理、アクチュエータ制御処理の時分割制御の態様を示すタイムチャートである。この例では、時間軸は、ある時間長を持った複数のタイムスロットに分割されている。図7に示す例では、複数のタイムスロットcの各間にタイムスロットaまたはbが挟まれている。制御プロセッサ11は、離散した複数のタイムスロットcを利用して、アクチュエータ制御処理を実行する。また、制御プロセッサ11は、所定個数のタイムスロットaを利用してプログラムシーケンス診断処理を実行した後、所定個数のタイムスロットbを利用して安全機能診断処理を実行し、両診断処理において制御プロセッサの動作が正常であると診断された場合にWDT12にリセット信号を出力する動作を周期的に繰り返す。この態様によれば、複数のアクチュエータ制御処理間の時間間隔を狭くすることができる。従って、1周期分のプログラムシーケンス診断処理および安全機能診断処理の所要時間が長い場合に有効である。
(6)この発明は複数のCPUコアを備えたマルチコアCPUを制御プロセッサ11とする駆動制御装置にも勿論適用可能である。この場合において、例えば複数のCPUコアにアクチュエータ制御処理を実行させ、各CPUコアの演算結果を比較することにより、CPUコアの動作異常の有無を診断してもよい。この場合、周期的に、各CPUコアの動作の異常が検出されたか否かを確認し、異常が検出されなかった場合はWDT12にリセット信号を出力し、異常が検出された場合は制御プロセッサ11を安全状態に移行させるようにすればよい。
(7)上記実施形態では、制御プロセッサ11の動作を診断するための診断処理部114をソフトウェアにより実現したが、診断処理部114をハードウェアにより実現してもよい。
1……駆動制御装置、2……上位コントローラ、3……スイッチ回路、4……駆動回路、5……アクチュエータ、11……制御プロセッサ、12……WDT、111……通信処理部、112……指令入力処理部、113……アクチュエータ制御処理部、114……診断処理部、115……制御信号出力処理部、116……安全状態移行処理部、1141……プログラムシーケンス診断処理部、1142……安全機能診断処理部。

Claims (8)

  1. 制御信号を生成する制御処理部と、前記制御処理部の動作が正常であるか異常であるかを診断する診断手段とを含む制御プロセッサと、
    前記制御処理部の動作が正常であると前記診断手段により診断された場合に前記制御プロセッサから供給されるリセット信号に応じて計時値をリセットし、前記リセット後、目標計時時間の計時を完了することによって、前記制御プロセッサから制御対象装置への前記制御信号の供給を遮断する遮断信号を継続的に出力するウォッチドッグタイマと、
    前記遮断信号が与えられていないとき、制御対象装置である駆動回路への前記制御信号の供給を継続し、前記遮断信号が与えられるとき、前記駆動回路への前記制御信号の供給を遮断するスイッチ回路と、
    を具備することを特徴とする駆動制御装置。
  2. 前記制御プロセッサは、
    記診断手段が当該制御プロセッサの動作に異常があると診断した場合に、正常時よりも動作範囲が制限された安全状態に当該制御プロセッサを移行させる安全状態移行処理手段と
    を具備することを特徴とする請求項1に記載の駆動制御装置。
  3. 前記診断手段は、前記目標計時時間よりも短い周期で前記診断を繰り返し、前記制御プロセッサが正常であると診断した場合に前記リセット信号を出力することを特徴とする請求項2に記載の駆動制御装置。
  4. 前記安全状態移行処理手段は、前記診断手段が前記制御プロセッサの動作の異常を診断した場合に、前記制御対象装置を正常時よりも動作範囲の制限された安全状態とする制御信号を前記制御プロセッサから出力させることを特徴とする請求項2に記載の駆動制御装置。
  5. 前記安全状態移行処理手段は、前記診断手段が前記制御プロセッサの動作の異常を診断した場合に、前記制御プロセッサからの前記制御信号の出力を停止させることを特徴とする請求項4に記載の駆動制御装置。
  6. 前記安全状態移行処理手段は、前記診断手段が前記制御プロセッサの動作の異常を診断した場合に、前記制御対象装置の動作状態を時間経過に応じて所定の安全状態に移行させる制御信号を前記制御プロセッサから出力させることを特徴とする請求項4に記載の駆動制御装置。
  7. 前記制御プロセッサは、
    前記診断手段が前記制御プロセッサの動作の異常を診断した場合に、前記制御プロセッサの動作の異常を上位コントローラに通知する通信手段を具備することを特徴とする請求項2に記載の駆動制御装置。
  8. 前記安全状態移行処理手段は、前記診断手段が前記制御プロセッサの動作の異常を診断した場合に、前記制御プロセッサをホールド状態とすることを特徴とする請求項2に記載の駆動制御装置。
JP2015089082A 2015-04-24 2015-04-24 駆動制御装置 Active JP6816345B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2015089082A JP6816345B2 (ja) 2015-04-24 2015-04-24 駆動制御装置
CN201680003941.8A CN107003915B (zh) 2015-04-24 2016-02-23 驱动控制装置
PCT/JP2016/055278 WO2016170840A1 (ja) 2015-04-24 2016-02-23 駆動制御装置
DE112016000153.3T DE112016000153T5 (de) 2015-04-24 2016-02-23 Antriebssteuerungsvorrichtung
US15/600,984 US10006455B2 (en) 2015-04-24 2017-05-22 Drive control apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015089082A JP6816345B2 (ja) 2015-04-24 2015-04-24 駆動制御装置

Publications (2)

Publication Number Publication Date
JP2016207002A JP2016207002A (ja) 2016-12-08
JP6816345B2 true JP6816345B2 (ja) 2021-01-20

Family

ID=57144581

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015089082A Active JP6816345B2 (ja) 2015-04-24 2015-04-24 駆動制御装置

Country Status (5)

Country Link
US (1) US10006455B2 (ja)
JP (1) JP6816345B2 (ja)
CN (1) CN107003915B (ja)
DE (1) DE112016000153T5 (ja)
WO (1) WO2016170840A1 (ja)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6812737B2 (ja) * 2016-10-07 2021-01-13 オムロン株式会社 演算装置および制御装置
JP6702175B2 (ja) * 2016-12-26 2020-05-27 アンデン株式会社 負荷駆動装置
JP6485441B2 (ja) * 2016-12-26 2019-03-20 トヨタ自動車株式会社 走行用モータの制御装置
US10296434B2 (en) * 2017-01-17 2019-05-21 Quanta Computer Inc. Bus hang detection and find out
JP6848511B2 (ja) * 2017-02-21 2021-03-24 オムロン株式会社 モータ制御装置
JP7081079B2 (ja) * 2017-02-21 2022-06-07 オムロン株式会社 モータ制御装置
JP6878945B2 (ja) * 2017-02-21 2021-06-02 オムロン株式会社 モータ制御装置
JP6825412B2 (ja) * 2017-02-21 2021-02-03 オムロン株式会社 モータ制御装置
JP6927032B2 (ja) 2017-12-29 2021-08-25 トヨタ自動車株式会社 電力変換回路の保護制御装置
JP7038016B2 (ja) * 2018-07-05 2022-03-17 本田技研工業株式会社 水素ステーション
JP7091949B2 (ja) 2018-08-30 2022-06-28 トヨタ自動車株式会社 車両制御装置
DE102022102412A1 (de) * 2022-02-02 2023-08-03 Valeo Schalter Und Sensoren Gmbh Störungsdetektion für einen elektronischen Verarbeitungsschaltkreis mit einer arithmetisch-logischen Einheit

Family Cites Families (57)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS60142033A (ja) * 1983-12-28 1985-07-27 Toyota Motor Corp 電子制御エンジンのフエイルセイフ装置
GB2177241B (en) * 1985-07-05 1989-07-19 Motorola Inc Watchdog timer
JPS6461830A (en) * 1987-08-31 1989-03-08 Aisin Seiki Protecting device for automobile microcomputer
US4866713A (en) * 1987-11-02 1989-09-12 Motorola, Inc. Operational function checking method and device for microprocessors
US5233613A (en) * 1988-03-29 1993-08-03 Advanced Micro Devices, Inc. Reliable watchdog timer
US4956842A (en) * 1988-11-16 1990-09-11 Sundstrand Corporation Diagnostic system for a watchdog timer
US5203000A (en) * 1988-12-09 1993-04-13 Dallas Semiconductor Corp. Power-up reset conditioned on direction of voltage change
US5175845A (en) * 1988-12-09 1992-12-29 Dallas Semiconductor Corp. Integrated circuit with watchdog timer and sleep control logic which places IC and watchdog timer into sleep mode
US5754462A (en) * 1988-12-09 1998-05-19 Dallas Semiconductor Corporation Microprocessor auxiliary with ability to be queried re power history
JP2658697B2 (ja) * 1991-12-11 1997-09-30 富士通株式会社 ウォッチ・ドック・タイマ回路
EP0547259B1 (de) * 1991-12-17 1996-04-17 Siemens Aktiengesellschaft Schaltungsanordnung zum Sichern des Betriebes eines rechnergesteuerten Gerätes
US5450403A (en) * 1993-03-02 1995-09-12 The Furukawa Electric Co., Ltd. Method and apparatus for multiplex transmission
AUPM348794A0 (en) * 1994-01-20 1994-02-17 Alcatel Australia Limited Microprocessor fault log
US5541943A (en) * 1994-12-02 1996-07-30 At&T Corp. Watchdog timer lock-up prevention circuit
JP3464872B2 (ja) * 1996-06-26 2003-11-10 富士通株式会社 分離するユニットの監視制御システム
JP3660105B2 (ja) * 1997-07-30 2005-06-15 光洋精工株式会社 車両用制御装置
JP4279912B2 (ja) * 1997-10-15 2009-06-17 株式会社日立製作所 車両用ブレーキ制御装置
US6591389B1 (en) * 1999-01-29 2003-07-08 Lucent Technologies Inc. Testing system for circuit board self-test
KR100352023B1 (ko) * 1999-09-03 2002-09-11 가야바코교 가부시기가이샤 페일세이프기구
US6587966B1 (en) * 2000-04-25 2003-07-01 Hewlett-Packard Development Company, L.P. Operating system hang detection and correction
JP2002089336A (ja) * 2000-09-19 2002-03-27 Nissan Motor Co Ltd 車両用電子制御システムの故障検出装置
JP3881177B2 (ja) * 2001-02-06 2007-02-14 三菱電機株式会社 車両用制御装置
US6959404B2 (en) * 2001-08-23 2005-10-25 Texas Instruments Incorporated Extended dynamic range watchdog timer
US6775609B2 (en) 2001-09-27 2004-08-10 Denso Corporation Electronic control unit for vehicle having operation monitoring function and fail-safe function
JP2003097345A (ja) 2001-09-27 2003-04-03 Denso Corp 車両用電子制御装置
JP4409800B2 (ja) * 2001-11-28 2010-02-03 三菱電機株式会社 エンジン制御装置
US6957368B2 (en) * 2002-01-23 2005-10-18 Medtronic Emergency Response Systems, Inc. Hazard mitigation in medical device
US7024550B2 (en) * 2002-06-28 2006-04-04 Hewlett-Packard Development Company, L.P. Method and apparatus for recovering from corrupted system firmware in a computer system
JP2004034746A (ja) * 2002-06-28 2004-02-05 Toyota Motor Corp 車両の走行制御装置
KR100619010B1 (ko) * 2003-12-09 2006-08-31 삼성전자주식회사 스텝 모터 제어 장치 및 방법
EP1719055A2 (en) * 2004-02-27 2006-11-08 Koninklijke Philips Electronics N.V. Electronic circuit arrangement for detecting a failing clock
US7305570B2 (en) * 2004-08-16 2007-12-04 Standard Microsystems Corporation Failsafe slave mechanism for mission critical applications
US7453678B2 (en) * 2004-08-24 2008-11-18 Hamilton Sunstrand Corporation Power interruption system for electronic circuit breaker
CN100403703C (zh) * 2004-12-29 2008-07-16 华为技术有限公司 一种通信设备单板及其控制方法
US7253577B2 (en) * 2005-05-20 2007-08-07 Rockwell Automation Technologies, Inc. Independent safety processor for disabling the operation of high power devices
US7307837B2 (en) * 2005-08-23 2007-12-11 International Business Machines Corporation Method and apparatus for enforcing of power control in a blade center chassis
US7907378B2 (en) * 2005-10-20 2011-03-15 Microchip Technology Incorporated Automatic detection of a CMOS device in latch-up and cycling of power thereto
JP4098803B2 (ja) * 2005-11-18 2008-06-11 三菱電機株式会社 車載駆動制御装置
JP4352078B2 (ja) * 2007-03-28 2009-10-28 三菱電機株式会社 車載電子制御装置の給電制御回路
US20080263379A1 (en) * 2007-04-17 2008-10-23 Advanced Micro Devices, Inc. Watchdog timer device and methods thereof
JP4420944B2 (ja) * 2007-07-27 2010-02-24 三菱電機株式会社 車載エンジン制御装置
US20090193230A1 (en) * 2008-01-30 2009-07-30 Ralf Findeisen Computer system including a main processor and a bound security coprocessor
JP4525762B2 (ja) * 2008-02-04 2010-08-18 株式会社デンソー 車両用電子制御装置
JP4924905B2 (ja) 2008-08-08 2012-04-25 株式会社デンソー 車両の制御装置
US8421369B2 (en) * 2008-10-28 2013-04-16 Samsung Electro-Mechanics Co., Ltd. Light emitting diode having protection function
US8448029B2 (en) * 2009-03-11 2013-05-21 Lsi Corporation Multiprocessor system having multiple watchdog timers and method of operation
JP5388667B2 (ja) * 2009-04-16 2014-01-15 キヤノン株式会社 画像形成装置
US8291205B2 (en) * 2009-05-27 2012-10-16 Deere & Company Method for managing the reset of a data processor
JP5448661B2 (ja) * 2009-09-08 2014-03-19 株式会社日立製作所 電池制御装置および電力装置
CN102475940A (zh) * 2010-11-29 2012-05-30 四川大学 电刺激保护装置
US20150006978A1 (en) * 2012-02-13 2015-01-01 Mitsubishi Electric Corporation Processor system
JP5379880B2 (ja) * 2012-04-18 2013-12-25 三菱電機株式会社 電動機駆動制御装置
JP2014032558A (ja) 2012-08-03 2014-02-20 Renesas Electronics Corp 半導体装置
JP6007677B2 (ja) * 2012-08-30 2016-10-12 富士電機株式会社 安全制御システム、及び安全制御システムのプロセッサ
KR101448775B1 (ko) * 2013-09-06 2014-10-08 현대자동차 주식회사 공조 패널 반도체 장치 및 이를 포함하는 차량용 공조 시스템
JP6236325B2 (ja) * 2014-01-27 2017-11-22 カルソニックカンセイ株式会社 プロセッサの制御装置及び制御方法
CN104391757B (zh) * 2014-12-19 2017-08-11 天津七一二通信广播股份有限公司 一种防止持续损坏的保护电路及实现方法

Also Published As

Publication number Publication date
WO2016170840A1 (ja) 2016-10-27
US20170254325A1 (en) 2017-09-07
DE112016000153T5 (de) 2017-08-10
JP2016207002A (ja) 2016-12-08
CN107003915A (zh) 2017-08-01
CN107003915B (zh) 2020-10-09
US10006455B2 (en) 2018-06-26

Similar Documents

Publication Publication Date Title
JP6816345B2 (ja) 駆動制御装置
JP4711197B2 (ja) デュアルcpuの安全システムにおける安全タイマクロスチェック診断
JP5126393B2 (ja) 車載電子制御装置
US20100308868A1 (en) Clock supervision unit
US8495433B2 (en) Microcomputer mutual monitoring system and a microcomputer mutual monitoring method
JP2013514497A (ja) 制御装置における監視構想
KR100711850B1 (ko) 마이크로컴퓨터 감시 금지 기능을 갖는 전자 제어 시스템및 방법
JP5041290B2 (ja) プログラマブルコントローラおよびその異常時復旧方法
JP6736980B2 (ja) システムおよび半導体装置
JP6502211B2 (ja) 車両制御装置
JP5459370B2 (ja) 車載電子制御装置
WO2014188764A1 (ja) 機能安全制御装置
JP2014178730A (ja) 制御装置の異常監視装置および異常監視方法
JP4613019B2 (ja) コンピュータシステム
JP7268554B2 (ja) 制御装置および制御方法
US20160124785A1 (en) System and method of safety monitoring for embedded systems
JP5392058B2 (ja) 処理装置及び制御方法
WO2011142015A1 (ja) 演算器異常判定装置及び方法
JP5561329B2 (ja) 車載電子制御装置
JP2011008493A (ja) ウォッチドッグタイマーによるシステム異常検出方式
JP4983806B2 (ja) 二重化タイマを用いたシステム監視装置、および監視方法
JPH1021121A (ja) マイクロコンピュータ装置
JP2007079839A (ja) 電子機器、監視装置、監視方法およびコンピュータプログラム
JPH0477935A (ja) 故障検出回路
JPH04127206A (ja) 制御装置の異常監視装置

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20160905

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20160906

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160927

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180214

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190423

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190530

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191029

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20200602

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200828

C60 Trial request (containing other claim documents, opposition documents)

Free format text: JAPANESE INTERMEDIATE CODE: C60

Effective date: 20200828

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20200908

C21 Notice of transfer of a case for reconsideration by examiners before appeal proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C21

Effective date: 20200915

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20201124

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20201207

R150 Certificate of patent or registration of utility model

Ref document number: 6816345

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250