JPS598004A - Fail-safe circuit - Google Patents

Fail-safe circuit

Info

Publication number
JPS598004A
JPS598004A JP57116746A JP11674682A JPS598004A JP S598004 A JPS598004 A JP S598004A JP 57116746 A JP57116746 A JP 57116746A JP 11674682 A JP11674682 A JP 11674682A JP S598004 A JPS598004 A JP S598004A
Authority
JP
Japan
Prior art keywords
signal
computer
output
program
fail
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP57116746A
Other languages
Japanese (ja)
Inventor
Kenichi Matsuda
健一 松田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Engineering Co Ltd
Hitachi Ltd
Original Assignee
Hitachi Engineering Co Ltd
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Engineering Co Ltd, Hitachi Ltd filed Critical Hitachi Engineering Co Ltd
Priority to JP57116746A priority Critical patent/JPS598004A/en
Publication of JPS598004A publication Critical patent/JPS598004A/en
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

PURPOSE:To prevent the miscontrol of a process with a system in which the process is controlled directly by a computer, by fixing automatically the output of the computer to the safety side of the system if a fault of a program is detected. CONSTITUTION:A processor is provided to a program itself to output a signal to the outside for detection of the fault of the program. A control computer 1 calculates the signal which controls a process within a CPU4 on the basis of a command signal 2 applied via an input module 3. Then the computer 1 delivers an arithmetic result 10 via an output module 6 in the form of a control signal 11. A monitor circuit 8 judges whether the program is normally executed by the state of a fault detecting signal 7 given from the CPU4. Then the result of this judgment is delivered to the module 6 as a computer output control signal 9. The module 6 judges the result 10 and blocks the output of the result 10 to set the state of computer output at the safety side of a system in case the program has a fault.

Description

【発明の詳細な説明】 本発明は、プロセスを直接計算機制御する7ステムに係
り、特定の周期で実行される制御プログラムの故障を検
出する手段を設け、故障時には、計算機出力を定められ
たシステムの安全側の状態に固定するようにしたフェイ
ル・セーフ回路に関する。
DETAILED DESCRIPTION OF THE INVENTION The present invention relates to a 7 system that directly controls a process by a computer, and is provided with means for detecting a failure in a control program executed at a specific cycle. This invention relates to a fail-safe circuit that is fixed to a safe state.

プログラムの無限ループやデッドロックなどのソフトウ
ェア上の障害を検出する手段として、プログラムを一つ
のループ上に配列し、ループの開始時、あるいは、ルー
プの一巡終了時に、セットとリセットが交互に繰り返さ
れるような交番信号を、コンデンサCと抵抗几を用いた
監視用の回路に出力するようにし、該監視用回路の出力
を、プログラムが正常である時は、一定出力範囲内で充
放電が繰り返されるように、また、プログラム異常によ
りセット信号あるいはリセット信号がある期間以上続く
場合は、充電あるいは故イしつ放しとなって前記出力範
囲を逸脱するように設定したフェイル・セーフ回路が考
えられる。しかし、この方法は、監視回路の出力がアナ
ログ信号であるため、誤診断防止のために、充放電の時
定数をプログラム異常より十分大きな直とする必要があ
るので故障検出の応答性が悪く、また、故障発生時の監
視回路の出力状態が、交番信号がセット状態かリセット
状態によって異なるという問題がある。
As a means of detecting software failures such as infinite program loops and deadlocks, programs are arranged in one loop, and sets and resets are repeated alternately at the start of the loop or at the end of one loop. An alternating signal such as this is output to a monitoring circuit using a capacitor C and a resistor, and when the program is normal, the output of the monitoring circuit is repeatedly charged and discharged within a certain output range. Also, if the set signal or reset signal continues for a certain period or more due to a program abnormality, a fail-safe circuit can be considered, which is set so that the output range is exceeded by charging or leaving the output inactive. However, in this method, since the output of the monitoring circuit is an analog signal, the charging/discharging time constant must be set to be sufficiently larger than the program abnormality in order to prevent misdiagnosis, resulting in poor fault detection response. Another problem is that the output state of the monitoring circuit when a failure occurs varies depending on whether the alternating signal is set or reset.

本発明の目的は、直接計算機制御において、メモリ部の
ハード故障などにより制御プログラムが正常な実行状態
から逸脱した場合に、実際にCPUの演算を止めるので
はなく、計算機のプロセスへの出力信号を自動的に安全
側に固定し、プログラムの暴走によるプロセスの誤制御
を防止するようにしたフェイル・セーフ回路を提供する
ことにある。
In direct computer control, when a control program deviates from a normal execution state due to a hardware failure in the memory section, an object of the present invention is to send an output signal to the computer process instead of actually stopping the CPU operation. An object of the present invention is to provide a fail-safe circuit that automatically fixes to the safe side and prevents erroneous control of processes due to program runaway.

本発明は、直接計算機制御システムのフェイルセーフ性
を保つため、プログラム自身に、プログラムの故障を検
出するだめの信号を外部出力する処理を設け、該信号の
状態からプログラムが正常に実行されていると判定され
ている場合のみ、プログラム演算結果をそのまま出力す
るようにし、それ以外の場合には、演算結果をキャンセ
ルして計算機出力の状態をシステムの安全側に固定する
ようにしたところに特徴がある。
In order to maintain the fail-safe nature of a direct computer control system, the present invention provides the program itself with a process for externally outputting a signal to detect a failure in the program, and determines whether the program is being executed normally based on the state of the signal. The feature is that only when it is determined that the program calculation result is output as is, and in other cases, the calculation result is canceled and the state of the computer output is fixed to the safe side of the system. be.

以丁、本発明の実施例について詳細に説明する。Embodiments of the present invention will now be described in detail.

第1図に、今回考案したフェイル・セーフ回路を設けた
制御用計算機の構成を示す。制御用計算機1ば、入力モ
ジュール3を介して与えられる指令信号2に基づいて、
CPU4内でプロセスを制御するだめの信号を演算し、
該演算結果10を出力モジュール6を介して、プロセス
へ割肌信号11とし、て出力する。
Figure 1 shows the configuration of a control computer equipped with the newly devised fail-safe circuit. The control computer 1, based on the command signal 2 given via the input module 3,
Calculates signals to control the process within the CPU 4,
The calculation result 10 is outputted to the process as a split skin signal 11 via the output module 6.

メモリ5には、制御用のプログラムやデータなどが記憶
されている。CPU4から監視回路8に出力される故障
検出信号7は、制御プログラムの実行周期に同期したパ
ルス信号であり、監視回路8は、故障検出信号7の状態
からプログラムが正常に実行されているか否かを常時判
定して、その判定結果を計算機出力制御信号9として、
出力モジュール6へ出力する。出力モジュール6は、計
算機出力制御信号V状態からCPU4からの演算結果1
0の妥当性を判断し、プログラム異常時には、演算結果
lOを出力するのをブロックして、計算機出力信号11
がプロセスに対して安全側となるように固定する機能を
有している。
The memory 5 stores control programs, data, and the like. The failure detection signal 7 output from the CPU 4 to the monitoring circuit 8 is a pulse signal synchronized with the execution cycle of the control program, and the monitoring circuit 8 determines whether the program is being executed normally based on the state of the failure detection signal 7. is constantly determined, and the determination result is used as the computer output control signal 9,
Output to the output module 6. The output module 6 outputs the calculation result 1 from the CPU 4 from the state of the computer output control signal V.
0 is judged, and when the program is abnormal, the output of the calculation result lO is blocked and the computer output signal 11 is
It has the function of fixing so that it is on the safe side for the process.

具体的なフェイル・セーフ回路の構成としては、故障検
出信号7として、制御プログラム起動毎にセット″1”
とリセット″0”が交互に繰り返されるような交番信号
を作成し、監視回路8に第2図に示すようなコンデン?
C13と抵抗R12とから成る積分回路14を用いる方
法が一般的に考えられる。
As for the specific fail-safe circuit configuration, the failure detection signal 7 is set to "1" every time the control program is started.
An alternating signal is created in which "0" and "0" are alternately repeated, and the monitoring circuit 8 is connected to a capacitor as shown in FIG.
A generally conceivable method is to use an integrating circuit 14 consisting of C13 and resistor R12.

時定数C−R,を調整して、積分回路14のステップ応
答整定時間■がプログラム周期Tより十分長い適当な直
となるように設定しておけば、プログラムが正常に周期
起動されていて、故障検出信号7が第3図に示すような
周期Tの交番信号となっている間は、積分回路14の出
力である計算機出力制御信号9は、高しきいI*Hと低
しきい直りの間で充放電を繰り返すが、プログラムがメ
モリ部のハード故障等により正規の処理ループから逸脱
してしまい、第4図および第5図に示すように故障検出
信号70セツト状態あるいはリセット状態がある期間以
上続くと、計算機出刃制御信号9は充電あるいは故成し
つばなしとなり、高・低両しきい直間の範囲を越えるよ
うに16゜したがって、出力モジュール6に、計算機出
力jtfll N信号9の直が、高しきい値と低しきい
値の範囲内であるか否かによりプログラム異常を判定し
、異常と判定された場合、制御信号11をプロセスの安
全側である瞳、例えば、0#に固定するような機能を設
けておけば、フェイル・に−フが保たれる訳である。し
かし、この方法では、故障発生時の計算機出刃制御信号
9が、故障検出信号7の状態がセット状態かりセット状
態によって充直しっばなしと放鑞しっばなしの2つの′
アナログモードをとりうるため、故障判定処理が複雑と
なり、信頼性の面で好ましくない。また、誤同定防止の
ため、積分回路14の整定時間■をプログラム周期Tに
対して十分長い呟とする必要があるため、ソフト故障が
発生してから、出力モジュール6が計算機制御出力信号
9を受けて計算機出力11を安全側に固定するまでに要
する期間、すなわち、デッド・タイムの間に、プログラ
ムが数回実行されるという問題がある。
If the time constant C-R is adjusted so that the step response settling time (2) of the integrator circuit 14 is set to an appropriate value that is sufficiently longer than the program period T, the program will be activated periodically. While the failure detection signal 7 is an alternating signal with a period T as shown in FIG. However, the program deviates from the normal processing loop due to a hardware failure in the memory section, and the failure detection signal 70 is in the set or reset state as shown in Figures 4 and 5. If the above continues, the computer blade control signal 9 will be charged or not generated, and the output module 6 will receive the direct signal 9 of the computer output is within the range of the high threshold and low threshold, and if it is determined to be abnormal, the control signal 11 is sent to the pupil on the safe side of the process, for example, 0#. If a function is provided to fix it, failures and failures can be maintained. However, in this method, when a failure occurs, the computer cutting control signal 9 is set to the set state of the failure detection signal 7.
Since the analog mode can be used, failure determination processing becomes complicated, which is not desirable in terms of reliability. Furthermore, in order to prevent erroneous identification, it is necessary to make the settling time (2) of the integrating circuit 14 sufficiently long with respect to the program period T, so that after a soft failure occurs, the output module 6 outputs the computer control output signal 9. There is a problem in that the program is executed several times during the period required to fix the computer output 11 to the safe side, that is, during the dead time.

そこで、今回性たに考案したフェイル・セーフ回路は、
以上述べてきたアナログのフェイル・セーフ回路の問題
点を解決するたゆに、監視回路8にワンショット・マル
チバイブレータを適用シテ、故障判定処理の簡単化・高
信頼化と故障検出応答性の向上を図ったものである。周
知のように、ワンショット・マルチパイプレークは、入
力端子からトリガパルスが入力されると同時に出力信号
が′1”すなわちセット状態となり、自己の回路定数に
よシ決まるリセット期間tB経過後、自動的にパ0”に
出力リセットされる論理素子である。
Therefore, the fail-safe circuit that we devised this time is
In order to solve the above-mentioned problems of analog fail-safe circuits, a one-shot multivibrator is applied to the monitoring circuit 8, which simplifies and increases the reliability of failure judgment processing and improves failure detection responsiveness. The aim is to As is well known, in the one-shot multi-pipe rake, the output signal becomes '1', that is, the set state, at the same time as the trigger pulse is input from the input terminal, and after the reset period tB determined by the own circuit constants has elapsed, the output signal is automatically activated. This is a logic element whose output is reset to "P0" automatically.

したがって、故障検出信号7としてプログラム処理の中
でトリガ用のパルス信号を作成し、監視回路8、すなわ
ち、ワンショット・マルtノ(イブレータに出力するよ
うにすれば、リセット期間を几を該トリガパルス信号の
周期t↓り若干長くしておくことによシ、プログラムが
正常に起動していて、故障検出信号7が第6図に示すよ
うな一定周期tのトリガパルスとなっている場合は、計
算機出力信号9を論理酸′1″に、また、プログラム故
障が発生し、故障検出信号7が第7図および第8図に示
すように1”あるいは0”になりっ放しになると、論理
酸110 ′1になるように設定するできる。すなわち
、出力モジュールでのプログラム故障の判定処理として
は、計算機出力制御信号9が論理酸″0”が1”かを判
定すればよいだけになるので、判定が非常に容易となり
、また誤判定率も大幅に低下することができるため、フ
ェイル・セーフ判定処理の高信頼化が図れる。、また、
故障検出用のトリガパルス(d号7の周期tを、プログ
ラム周J41JTに比べて十分短い1直とすることが可
能であるので、故障検出の応答性、すなわち、検出分解
能の大幅な向上が望める。
Therefore, if a trigger pulse signal is created during program processing as the failure detection signal 7 and outputted to the monitoring circuit 8, that is, a one-shot multifunction generator, the reset period can be extended to the trigger signal. By making the period t↓ of the pulse signal slightly longer, if the program is running normally and the failure detection signal 7 is a trigger pulse with a constant period t as shown in Figure 6, , the computer output signal 9 becomes logic acid '1'', and if a program failure occurs and the failure detection signal 7 remains at 1'' or 0'' as shown in FIGS. In other words, in order to determine whether the output module has a program failure, it is only necessary to determine whether the computer output control signal 9 is a logic acid of "0" or "1". , Since the judgment becomes very easy and the false judgment rate can be significantly reduced, the reliability of fail-safe judgment processing can be improved. ,
Since it is possible to make the period t of the trigger pulse (d-7) for failure detection into one shift, which is sufficiently short compared to the program cycle J41JT, it is possible to significantly improve the responsiveness of failure detection, that is, the detection resolution. .

本発明によれば、プロセスを直接計算機で制御するよう
なシステムにおいて、プログラムの無限ループやデッド
ロックなどのソフトウェア上の障害が発生した場合、C
PUの演算を止めることなく、自動的に計算機出力をシ
ステムの安全側に固定することが5T能となり、システ
ムのフェイル・セーフ性を保つことができる。特に、障
害検出用の信号を監視する手段としてワンショット・マ
ルチバイブレータを用いることにより、障害判定処理の
高信頼化と、検出分解能の大幅な向上とを図ることがで
きる。
According to the present invention, when a software failure such as an infinite program loop or deadlock occurs in a system where processes are directly controlled by a computer, the
The 5T feature automatically fixes the computer output to the safe side of the system without stopping the PU calculations, making it possible to maintain the fail-safe nature of the system. In particular, by using a one-shot multivibrator as a means for monitoring signals for failure detection, it is possible to increase the reliability of failure determination processing and to significantly improve detection resolution.

今回発明したフェイル・セーフ回路の構成は非常にシン
プルでかつ風月性があるので、マイクロコンピュータ技
術を駆使した制御システムの開発に対するニーズが高ま
っている現在、その工業的制置は極めて大きい。
The structure of the fail-safe circuit invented this time is extremely simple and unique, so its industrial application is extremely important at a time when there is a growing need for the development of control systems that make full use of microcomputer technology.

【図面の簡単な説明】[Brief explanation of the drawing]

第1図は、本発明のフェイル・セーフ回路を設けた制御
用計算機の全体構成図、第2図は、積分回路とそのステ
ップ応答特性のタイムチャート、第3図〜第5図はフェ
イル七−〕回路に積分回路を用いた時のタイムチャート
、第6図〜第8図はフCイル・セーフ回路にワンショッ
ト・マルチバイブレータを用いた時の故障検出信号と計
算機出力信号の関係を示すタイムチャートを表している
。 1・・・制御用計算機、3・・・人力モジュール、4・
・・CPU、5・・・メモ1ハ 6・・・出力モジュー
ル、7・・・故障検出信号、8・・・監視回路、9・・
・計算機出力制御信号、10・・・演算結果、11・・
・計算機出力信号。 第  1  図 第  2 図            9第 3 冴 第 4 閃 兜 5 ロ
FIG. 1 is an overall configuration diagram of a control computer equipped with the fail-safe circuit of the present invention, FIG. 2 is a time chart of an integrating circuit and its step response characteristics, and FIGS. 3 to 5 are fail-safe circuit diagrams. ] Time charts when an integrating circuit is used in the circuit, Figures 6 to 8 are time charts showing the relationship between the failure detection signal and the computer output signal when a one-shot multivibrator is used in the safe circuit. represents a chart. 1... Control computer, 3... Human power module, 4.
...CPU, 5...Memo 1c 6...Output module, 7...Failure detection signal, 8...Monitoring circuit, 9...
・Computer output control signal, 10... Calculation result, 11...
・Computer output signal. Fig. 1 Fig. 2 Fig. 9 No. 3 Sae No. 4 Senkabuto 5 Ro

Claims (1)

【特許請求の範囲】 1、 プロセスを直接計算機で制御するシステムにおい
て、ソフトウェア上の障害を検出する信号として制御プ
ログラムの実行周期に同期したパルス信号を作成する手
段と、該パルス信号を常時監視する手段を設けて、該パ
ルス信号の変化によりプログラムの異常を検出した場合
には、自動的に、計算機出力をシステムの安全側に固定
するようにしたフェイル・セーフ回路。 Z 第1項記載のフェイル・セーフ回路において、検出
用信号として制御プログラムの起動周期以内に最低1回
セット・リセットする信号を作成し、該信号を監視する
手段としてワン・ショット・マルチバイブレータを用い
るようにしたことにより、検出処理の簡素化・高信頼化
と、検出応答性の向上を図ったことを特徴とするフェイ
ル・セーフ回路。
[Claims] 1. In a system where a process is directly controlled by a computer, means for creating a pulse signal synchronized with the execution cycle of a control program as a signal for detecting a software failure, and constantly monitoring the pulse signal. A fail-safe circuit is provided with means to automatically fix a computer output to a safe side of the system when an abnormality in the program is detected due to a change in the pulse signal. Z In the fail-safe circuit described in item 1, a signal that is set and reset at least once within the startup period of the control program is created as a detection signal, and a one-shot multivibrator is used as a means for monitoring the signal. This is a fail-safe circuit characterized by simplifying and increasing the reliability of detection processing and improving detection responsiveness.
JP57116746A 1982-07-07 1982-07-07 Fail-safe circuit Pending JPS598004A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP57116746A JPS598004A (en) 1982-07-07 1982-07-07 Fail-safe circuit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP57116746A JPS598004A (en) 1982-07-07 1982-07-07 Fail-safe circuit

Publications (1)

Publication Number Publication Date
JPS598004A true JPS598004A (en) 1984-01-17

Family

ID=14694739

Family Applications (1)

Application Number Title Priority Date Filing Date
JP57116746A Pending JPS598004A (en) 1982-07-07 1982-07-07 Fail-safe circuit

Country Status (1)

Country Link
JP (1) JPS598004A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS61221903A (en) * 1985-03-22 1986-10-02 ユナイテツド テクノロジーズ コーポレ―シヨン Backup control
JPS62246205A (en) * 1986-04-18 1987-10-27 住友電装株式会社 Method and apparatus for forming wiring harness

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS61221903A (en) * 1985-03-22 1986-10-02 ユナイテツド テクノロジーズ コーポレ―シヨン Backup control
JPS62246205A (en) * 1986-04-18 1987-10-27 住友電装株式会社 Method and apparatus for forming wiring harness
JPH0580767B2 (en) * 1986-04-18 1993-11-10 Sumitomo Wiring Systems

Similar Documents

Publication Publication Date Title
US4072852A (en) Digital computer monitoring and restart circuit
US6076172A (en) Monitoting system for electronic control unit
JPS58201154A (en) Mode monitoring device of microcomputer
JPS62157953A (en) Microcomputer provided with abnormality detecting function
JP2593915B2 (en) Double microcomputer system runaway prevention circuit
JPS598004A (en) Fail-safe circuit
JPH08171507A (en) Abnormality monitoring method
JPH11203173A (en) Watch dog timer circuit
JPS5821281B2 (en) arithmetic device
JPS5814204A (en) Microcomputer controller
JPS62222318A (en) Information processor
JPS62168204A (en) Digital controller
JPH0353345A (en) Controller with automatic self-diagnostic function
JP4063699B2 (en) Program runaway detection circuit
JPH01169642A (en) Runaway detecting circuit
JPS6319187B2 (en)
JPS61275943A (en) Abnormality detector for computer
JPH0520121U (en) Malfunction prevention device for micro computer system
JPS63123138A (en) Detection circuit for out-of-control of microcomputer
JPH01106231A (en) Abnormal processing detecting system
JPS6295646A (en) Microprogram controller with run monitoring function
JPS62229301A (en) Runaway detecting device for control system using cpu
JPH0581078A (en) Detection of micro program abnormal run, micro computer system and microcomputer control processor
JPS62147538A (en) Reset system for watchdog timer for device using microcomputer
JPS62194486A (en) Time measuring circuit