JPS63208949A - Fail-safe system - Google Patents
Fail-safe systemInfo
- Publication number
- JPS63208949A JPS63208949A JP62044291A JP4429187A JPS63208949A JP S63208949 A JPS63208949 A JP S63208949A JP 62044291 A JP62044291 A JP 62044291A JP 4429187 A JP4429187 A JP 4429187A JP S63208949 A JPS63208949 A JP S63208949A
- Authority
- JP
- Japan
- Prior art keywords
- output
- microcomputer
- level
- signal
- buffer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012544 monitoring process Methods 0.000 claims description 3
- 230000005856 abnormality Effects 0.000 abstract description 12
- 230000002159 abnormal effect Effects 0.000 abstract description 6
- 238000000034 method Methods 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 8
- 230000000694 effects Effects 0.000 description 2
- 238000007796 conventional method Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Landscapes
- Hardware Redundancy (AREA)
Abstract
Description
【発明の詳細な説明】
〔産業上の利用分野〕
本発明はマイクロコンピュータを用いたフェイルセーフ
システムに関する。DETAILED DESCRIPTION OF THE INVENTION [Field of Industrial Application] The present invention relates to a fail-safe system using a microcomputer.
近年、マイクロコンピュータを用いた各種応用システム
は、゛ますます高度で豊富な機能を持つようになり、応
用システムに対する信頼性の要求も極めて強いものがあ
る。In recent years, various application systems using microcomputers have become increasingly sophisticated and have a wealth of functions, and there are extremely strong demands for reliability of the application systems.
このため応用システムにもいくつかの保護回路や監視回
路が設けられ、また回路を二重化するシステムの要求が
強くなっている。For this reason, application systems are also equipped with several protection circuits and monitoring circuits, and there is an increasing demand for systems with redundant circuits.
最も基本的な二重化システムの従来の例を第5図を参照
して説明する。マイクロコンピュータ50とマイクロコ
ンビ1−夕51は同一のプログラムを同期して実行して
おり、それぞれ信号を出力している。マイクロコンピュ
ータ50とマイクロコンピュータ51から出力されてワ
イヤードオアされた信号はマイクロコンピュータ52が
常にモニタしている。各マイクロコンピュータ50゜5
1が出力しているデータは信号モニタライン54および
信号モニタライン55を経由してマイクロコンピュータ
52に伝達されており、信号モニタライン54.55の
信号レベルと出力信号560レベルを常に比較を行なっ
ている。もし、マイクロコンピュータ50またはマ、イ
クロコンピュータ51の出力端子から出力されるデータ
に異常があったときはこれを検出して、マイクロコンピ
ュータ50またはマイクロコンピュータ51を出力信号
ライン56から切り離して復帰をはかる。A conventional example of the most basic duplex system will be explained with reference to FIG. The microcomputer 50 and the microcombi 1-51 are executing the same program synchronously and each outputs a signal. A microcomputer 52 constantly monitors the wired-OR signals output from the microcomputer 50 and the microcomputer 51. Each microcomputer 50゜5
1 is transmitted to the microcomputer 52 via a signal monitor line 54 and a signal monitor line 55, and the signal level of the signal monitor lines 54 and 55 is constantly compared with the output signal 560 level. There is. If there is an abnormality in the data output from the output terminal of the microcomputer 50 or the microcomputer 51, this is detected and the microcomputer 50 or 51 is disconnected from the output signal line 56 to recover. .
上述した従来の方法は、外部機器を制御するマイクロコ
ンピュータとは別に、出力信号のレベルをモニタするマ
イクロコンピュータを必要とするため、コストが大きく
なり、経済性に問題があり、また、開発しなければなら
ないソフトウェアが2倍となり、バグの原因となりやす
いといった欠点があり、さらに、マイクロコンピュータ
間の配線が多くなっており、基板面積の増大、信頼性の
低下を招くという欠点がある。The conventional method described above requires a microcomputer to monitor the level of the output signal in addition to the microcomputer that controls the external equipment, resulting in high costs and problems with economic efficiency. This method has the disadvantage that the amount of software that must be used is doubled, which is more likely to cause bugs.Furthermore, the amount of wiring between microcomputers has increased, resulting in an increase in the board area and a decrease in reliability.
(問題点を解決するための手段)
本発明のフェイルセーフシステムは、出力保持手段に保
持したレベルを出力する出力端子と、前記出力保持手段
に保持されているレベルと出力端子レベルとを各々読み
込む手段と、前記出力保持手段に保持されているレベル
を更新し、前記出力保持手段に保持されているレベルと
、出力端子レベルとを前記読み込み手段を用いて所定回
数比較する命令を備えた1ないし複数のマイクロコンピ
ュータからなり、前記マイクロコンピュータが1つの場
合には同等の機能を有する複数の出力端子がワイヤード
オア接続され、前記マイクロコンピュータが複数の場合
には各マイクロコンピュータの出力端子がワイヤードオ
ア接続され、前記マイクロコンピュータが互いの出力端
子レベルを監視しながら出力する特徴を有している。(Means for Solving the Problems) The fail-safe system of the present invention has an output terminal that outputs the level held in the output holding means, and reads the level held in the output holding means and the output terminal level, respectively. and an instruction for updating the level held in the output holding means and comparing the level held in the output holding means and the output terminal level a predetermined number of times using the reading means. Consisting of a plurality of microcomputers, when there is one microcomputer, a plurality of output terminals having the same function are wired-OR connected, and when there are multiple microcomputers, the output terminals of each microcomputer are wired-OR connected. The microcomputers are characterized in that they output while monitoring each other's output terminal levels.
出力端子レベルを更新する際に必ず出力保持手段に保持
されるレベルと、出力端子のレベルとを比較し、出力レ
ベル異常を検出できる命令を有するマイクロコンピュー
タを用いたシステムを使用することで、出力信号のレベ
ルをモニタするマイクロコンピュータが不要になり、安
価に二重化システムを構成できる。By using a system using a microcomputer that has instructions that can detect output level abnormalities by comparing the level held in the output holding means and the level of the output terminal when updating the output terminal level, the output There is no need for a microcomputer to monitor the signal level, and a duplex system can be constructed at low cost.
次に、本発明の実施例について図面を参照して説明する
。Next, embodiments of the present invention will be described with reference to the drawings.
第1図は本発明のフェイルセーフシステムの一実施例の
ブロック図である。マイクロコンピュータ30とマイク
ロコンピュータ31の出力端子はワイヤードオア接続さ
れ、出力信号33として外部機器を制御する。マイクロ
コンピュータ30゜31の出力端子は各マイクロコンピ
ュータ30゜31がモニタできるので、出力信号を監視
するためのマイクロコンピュータは不要である。FIG. 1 is a block diagram of an embodiment of the fail-safe system of the present invention. The output terminals of the microcomputer 30 and the microcomputer 31 are wired-OR connected, and an output signal 33 is used to control an external device. Since the output terminals of the microcomputers 30.degree. 31 can be monitored by each microcomputer 30.degree. 31, no microcomputer is required to monitor the output signal.
第2図はマイクロコンピュータ30.31のブロック図
である。マイクロコンピュータ30゜31は演算処理を
行なうCPU10と、プログラムがあらかじめ格納され
たROM11.演算処理に必要なデータが一時的に格納
されるRAM12と、バス14により命令処理を実行す
る。CPU10は算術演算ユニット(以下、ALUとい
う)100とテンポラリラッチ101を含む。CPLJ
loは命令語をROM11から取り出し、前記命令語を
解釈して各種制御信号を発生し、命令処理を行なう。c
pu i oがボート13にデータを出力する場合には
バス14を経由してボート13にデータを書込むと、出
力端子131,132゜133.13aからデータが出
力される。FIG. 2 is a block diagram of the microcomputer 30.31. The microcomputers 30 and 31 include a CPU 10 that performs arithmetic processing, and a ROM 11 that stores programs in advance. Instruction processing is executed using a RAM 12 in which data necessary for arithmetic processing is temporarily stored and a bus 14. The CPU 10 includes an arithmetic operation unit (hereinafter referred to as ALU) 100 and a temporary latch 101. C.P.L.J.
LO retrieves a command word from the ROM 11, interprets the command word, generates various control signals, and performs command processing. c.
When the pu i o outputs data to the boat 13, the data is written to the boat 13 via the bus 14, and the data is output from the output terminals 131, 132 and 133.13a.
第3図はボート13のブロック図である。ボート13は
4本の出力端子1.3+ 、132,133゜134を
有しているが、各出力端子の機能は等しいので、ここで
は出力端子131に着目して説明する。ボート13は、
ライト信号26によりバス14からデータを取り込む出
力ラッチ22.出力バッファ21.セレクト信号25が
ハイレベルのとき出力端子131のレベルを出力し、ロ
ウレベルのとき出力ラッチ22のレベルを出力するセレ
クタ27.リード信@24がハイレベルのときセレクタ
27の出力をバス14へ出力するバッファ23で構成さ
れている。FIG. 3 is a block diagram of the boat 13. The boat 13 has four output terminals 1.3+, 132, 133, and 134, but each output terminal has the same function, so the explanation will focus on the output terminal 131 here. Boat 13 is
Output latch 22 . captures data from bus 14 with write signal 26 . Output buffer 21. A selector 27 that outputs the level of the output terminal 131 when the select signal 25 is high level, and outputs the level of the output latch 22 when the select signal 25 is low level. It is composed of a buffer 23 that outputs the output of the selector 27 to the bus 14 when the read signal @24 is at a high level.
CPUl0はボート13にデータを出力する命令語を読
出すと以下の処理を行なう。When the CPU 10 reads an instruction word for outputting data to the port 13, it performs the following processing.
■ ライト信号26をアクティブとし、出力ラッチ22
にバス14からデータを取り込む。■ Activate the write signal 26 and output latch 22
data is taken in from the bus 14.
■ セレクト信号25をハイレベルとし、同時にリード
信号24をハイレベルとすることで出力端子131のレ
ベルをバスバッファ23を介してバス14へ出力する。(2) By setting the select signal 25 to high level and simultaneously setting the read signal 24 to high level, the level of the output terminal 131 is outputted to the bus 14 via the bus buffer 23.
■ CPU10はバス14へ出力された出力端子131
のレベルを演算時に使用するテンポラリラッチ101に
一担格納する。■ The CPU 10 outputs the output terminal 131 to the bus 14.
The level of is stored in a temporary latch 101 used during calculation.
■ セレクト信号25をロウレベルとし、同時にリード
信号24をハイレベルとすることで出力ラッチ22のレ
ベルをパスバッファ23を介してバス14へ出力する。(2) By setting the select signal 25 to a low level and simultaneously setting the read signal 24 to a high level, the level of the output latch 22 is outputted to the bus 14 via the path buffer 23.
■ CPtJloはALUlooを使用して、バス14
に出力されている出力ラッチ22のレベルと、テンポラ
リラッチ101に格納されている出力端子131のレベ
ルを比較する。■ CPtJlo uses ALUloo to connect bus 14
The level of the output latch 22 output to the temporary latch 101 is compared with the level of the output terminal 131 stored in the temporary latch 101.
■ ■■■■の手順を、信@遷移状態での比較を行なっ
てしまうことによる不一致判定を防ぐため所定の回数く
り返す。■ The procedure of ■■■■ is repeated a predetermined number of times in order to prevent a mismatch determination due to comparison in the true@transition state.
■ 所定回数比較動作後不一致を検出した場合は信号衝
突や素子破壊などによる信号レベル異常と判断し、所定
の番地に分岐し、異常対応処理を行なう。一致している
場合にはデータが正常に出力されたものとし、次の命令
を実行する。(2) If a mismatch is detected after a predetermined number of comparison operations, it is determined that the signal level is abnormal due to signal collision, element destruction, etc., the process branches to a predetermined address, and abnormality response processing is performed. If they match, it is assumed that the data has been output normally, and the next instruction is executed.
次に、本実施例のフェイルセーフシステムにおける信号
レベル異常検出動作を述べる。Next, the signal level abnormality detection operation in the fail-safe system of this embodiment will be described.
マイクロコンピュータ30とマイクロコンピュータ31
の出力端子は互いに接続されているので信号レベル異常
は同時に検出され、−担システムを休止させる。次に信
号レベル異常の原因を見つけるため、まずマイクロコン
ピュータ30の出力端子を出力信号33から切り離し、
ボート13にデータを出力する前記命令を双方のマイク
ロコンピュータ30.31で実行する。そのときマイク
ロコンピュータ31において信号レベル異常が発生せず
、マイクロコンピュータ30において異常が発生した場
合は、マイクロコンピュータ30を切り離したままシス
テムを復帰させる。一方、マイクロコンピュータ31に
おいて信号レベル異常が発生し、マイクロコンピュータ
30において異常が発生しない場合は、マイクロコンピ
ュータ30を接続し、逆にマイクロコンピュータ31を
切り離してシステムを復帰させる。さらに双方のマイク
ロコンピュータ30.31がともに信号レベル異常のと
きはシステムダウンと判断し、全ての制御は停止させる
。Microcomputer 30 and microcomputer 31
Since the output terminals of the two are connected to each other, abnormal signal levels are simultaneously detected and the system is shut down. Next, in order to find the cause of the signal level abnormality, first disconnect the output terminal of the microcomputer 30 from the output signal 33,
Both microcomputers 30 and 31 execute the instruction to output data to the boat 13. At that time, if no signal level abnormality occurs in the microcomputer 31 and an abnormality occurs in the microcomputer 30, the system is restored with the microcomputer 30 disconnected. On the other hand, if a signal level abnormality occurs in the microcomputer 31 and no abnormality occurs in the microcomputer 30, the microcomputer 30 is connected, and conversely, the microcomputer 31 is disconnected to restore the system. Furthermore, when both microcomputers 30 and 31 have abnormal signal levels, it is determined that the system is down, and all controls are stopped.
前述の実施例では2つのマイクロコンピュータを用いた
例を示したが、出力端子に余裕がある場合には第4図に
示す1チツプ構成の7エイルセー7システムを構築する
ことができる。本実施例では2本の出力ビンに常に等し
いデータを出力するようにプログラムを作成する。信号
レベル異常が発生した場合は、どちらの出力端子が異常
かを出力信号41から出力端子の一方を切り離して判断
し、異常な出力端子を切り離した状態でシステムを復帰
する。In the above-mentioned embodiment, an example using two microcomputers was shown, but if there is enough output terminal, it is possible to construct a 7-else-7 system with a one-chip configuration as shown in FIG. In this embodiment, a program is created so as to always output equal data to two output bins. When a signal level abnormality occurs, it is determined which output terminal is abnormal by disconnecting one of the output terminals from the output signal 41, and the system is restored with the abnormal output terminal disconnected.
なお、本実施例ではマイクロコンピュータを2つまでし
か使用しない例を示したが、さらに多くのマイクロコン
ピュータを用いても本発明は非常に有効である。Although this embodiment shows an example in which only two microcomputers are used, the present invention is very effective even if more microcomputers are used.
以上説明したように本発明は、出力端子レベルを更新す
る際に、信号レベル異常がないかを必ず検出する命゛令
を備えたマイクロコンピュータを用いることにより、チ
ップ数の少ない、またマイクロコンピュータ間の接続配
線の少ない安価な二重化システムを作成することができ
る。As explained above, the present invention uses a microcomputer equipped with an instruction to always detect whether there is an abnormality in the signal level when updating the output terminal level. It is possible to create an inexpensive duplex system with fewer connection wirings.
第1図は本発明の7エイルセーフシステムの一実施例を
示す図、第2図はマイクロコンピュータ30.31のブ
ロック図、第3図は第1図におけるボート13の詳細図
、第4図は本発明のフェイルセーフシステムの他の実施
例を示す図、第5図は従来例のフェイルセーフシステム
を示す図である。
10・・・CPLI、 11・・・ROM。
12・・・RAM、 13・・・ボート、14
・・・バス、
13+ 、132,133,134・・・出力端子、2
1・・・出力バッフ?、22・・・出力ラッチ、23・
・・バスバッファ、24・・・リード信号、25・・・
セレクト信号、26・・・ライト信号、27・・・セレ
クタ、
30.31.40・・・マイクロコンピュータ、33.
41・・・出力信号。FIG. 1 is a diagram showing an embodiment of the 7-ailsafe system of the present invention, FIG. 2 is a block diagram of the microcomputer 30, 31, FIG. 3 is a detailed diagram of the boat 13 in FIG. 1, and FIG. FIG. 5 is a diagram showing another embodiment of the fail-safe system of the present invention, and FIG. 5 is a diagram showing a conventional fail-safe system. 10...CPLI, 11...ROM. 12...RAM, 13...Boat, 14
... Bus, 13+, 132, 133, 134 ... Output terminal, 2
1... Output buffer? , 22... output latch, 23...
...Bus buffer, 24...Read signal, 25...
Select signal, 26... Write signal, 27... Selector, 30.31.40... Microcomputer, 33.
41...Output signal.
Claims (1)
前記出力保持手段に保持されているレベルと出力端子レ
ベルとを各々読み込む手段と、前記出力保持手段に保持
されているレベルを更新し、前記出力保持手段に保持さ
れているレベルと、出力端子レベルとを前記読み込み手
段を用いて所定回数比較する命令を備えた1ないし複数
のマイクロコンピュータからなり、前記マイクロコンピ
ュータが1つの場合には同等の機能を有する複数の出力
端子がワイヤードオア接続され、前記マイクロコンピュ
ータが複数の場合には各マイクロコンピュータの出力端
子がワイヤードオア接続され、前記マイクロコンピュー
タが互いの出力端子レベルを監視しながら出力すること
を特徴とするフェイルセーフシステム。an output terminal that outputs the level held in the output holding means;
means for respectively reading the level held in the output holding means and the output terminal level; and means for updating the level held in the output holding means, and updating the level held in the output holding means and the output terminal level. and a predetermined number of times using the reading means, and when there is one microcomputer, a plurality of output terminals having the same function are wired-OR connected, and the A fail-safe system characterized in that when there is a plurality of microcomputers, the output terminals of each microcomputer are wired-OR connected, and the microcomputers output while monitoring each other's output terminal levels.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP62044291A JPS63208949A (en) | 1987-02-26 | 1987-02-26 | Fail-safe system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP62044291A JPS63208949A (en) | 1987-02-26 | 1987-02-26 | Fail-safe system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPS63208949A true JPS63208949A (en) | 1988-08-30 |
Family
ID=12687404
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP62044291A Pending JPS63208949A (en) | 1987-02-26 | 1987-02-26 | Fail-safe system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPS63208949A (en) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS55154639A (en) * | 1979-05-18 | 1980-12-02 | Sanyo Electric Co Ltd | Control system for microcomputer |
-
1987
- 1987-02-26 JP JP62044291A patent/JPS63208949A/en active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS55154639A (en) * | 1979-05-18 | 1980-12-02 | Sanyo Electric Co Ltd | Control system for microcomputer |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6334194B1 (en) | Fault tolerant computer employing double-redundant structure | |
| JP4731364B2 (en) | Multiplexing control system and multiplexing method thereof | |
| JPS63208949A (en) | Fail-safe system | |
| JPH06324721A (en) | Method for detecting falling-off of connection unit | |
| JPS62293441A (en) | Data outputting system | |
| KR100238174B1 (en) | Parallel processor system | |
| JPS63224446A (en) | Communication system | |
| JPH0628003B2 (en) | DATA CONTROL METHOD AND DEVICE FOR MULTIPLEX CONTROLLER | |
| JPH01310422A (en) | Resetting circuit for microcomputer | |
| JP2778691B2 (en) | Bus monitoring circuit | |
| JPS6186847A (en) | Cpu runaway preventing device for automobile controller | |
| JPS6023382B2 (en) | Shared I/O bus controller | |
| JPS60167547A (en) | Signal transmitter | |
| JP2725680B2 (en) | Bus error detection circuit | |
| JPH02173852A (en) | Bus diagnostic device | |
| JP2946541B2 (en) | Redundant control system | |
| JPS5833737A (en) | Reset controlling system | |
| JPS6321217B2 (en) | ||
| JPS5916302B2 (en) | Check device | |
| SU1035596A2 (en) | Device for interfacing two computers | |
| JPS61139849A (en) | Redundancy system of data processor | |
| JPH0469759A (en) | Bypass control system for device selecting signal | |
| JPS6051127B2 (en) | Address setting circuit | |
| JPH04252344A (en) | Computer system | |
| JPS60195649A (en) | Error reporting system of microprogram-controlled type data processor |