JPWO2014041829A1 - 安全演算装置、安全入力装置、安全出力装置および安全コントローラ - Google Patents

安全演算装置、安全入力装置、安全出力装置および安全コントローラ Download PDF

Info

Publication number
JPWO2014041829A1
JPWO2014041829A1 JP2014535388A JP2014535388A JPWO2014041829A1 JP WO2014041829 A1 JPWO2014041829 A1 JP WO2014041829A1 JP 2014535388 A JP2014535388 A JP 2014535388A JP 2014535388 A JP2014535388 A JP 2014535388A JP WO2014041829 A1 JPWO2014041829 A1 JP WO2014041829A1
Authority
JP
Japan
Prior art keywords
output
input
unit
memory area
safety
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014535388A
Other languages
English (en)
Other versions
JP5762642B2 (ja
Inventor
浩夫 神余
浩夫 神余
義智 浅野
義智 浅野
圭一 谷藤
圭一 谷藤
秀俊 原田
秀俊 原田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from PCT/JP2012/073179 external-priority patent/WO2014041596A1/ja
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2014535388A priority Critical patent/JP5762642B2/ja
Application granted granted Critical
Publication of JP5762642B2 publication Critical patent/JP5762642B2/ja
Publication of JPWO2014041829A1 publication Critical patent/JPWO2014041829A1/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Safety Devices In Control Systems (AREA)

Abstract

プロセッサ(11)およびメモリ(12)を有し、メモリは、第1メモリ領域(12A)と、第1メモリ領域とは異なるアドレスの第2メモリ領域(12B)を有し、プロセッサは、第1メモリ領域に書き込まれた入力データのプログラム処理を含む第1処理過程と、第2メモリ領域に書き込まれた入力データのプログラム処理、および第2メモリ領域に書き込まれた出力データへの冗長符号の付与と、を含む第2処理過程と、を実行する実行制御部(13)と、第1処理過程における冗長符号の付与を経た出力データ、および第2処理過程における冗長符号の付与を経た出力データを照合する結果照合部(14)と、プロセッサおよびメモリの故障の有無を診断する演算診断部(15)と、冗長検査、結果照合部における照合および演算診断部における診断の少なくともいずれかにおいて異常が検出された場合に、出力データの出力を停止させる異常処理部(16)と、を有する。

Description

本発明は、安全演算装置、安全入力装置、安全出力装置および安全コントローラ、特に、信頼性の高い制御動作を保障するための内部診断を実施する安全コントローラの構成に関する。
安全制御のための安全コントローラは、例えば、機能安全に関する国際規格であるIEC61508にしたがって、プロセッサやメモリにおける回路の永続的な故障であるハードウェア故障と、一時的な故障であるソフトウェア故障との両方を検出可能であることが求められている。
安全コントローラの内部診断については、例えば、2つのプロセッサの演算結果を照合して相互診断する手法や、1つのプロセッサにて同じ演算処理を2回実行して処理結果を比較する手法が知られている。例えば、特許文献1には、1つのプロセッサが同じ演算処理を2回実行した結果を別々のメモリに書き込む方法が開示されている。
特開昭59−194204号公報
特許文献1に記載の構成によると、2つのメモリからの出力は、二重化されたデマルチプレクサとフリップフロップ回路とを用いて一重化される。プロセッサで演算処理を2回実行した結果の照合は、二重化されたハードウェア回路により実現される。この二重化された回路構成を採用する場合、一重の入出力回路からなる一般的な構成に比べて、冗長な回路構成が必要となる分、安全コントローラが複雑かつ高コストとなることが問題となる。
本発明は、上記に鑑みてなされたものであって、一重の回路構成として簡易かつ低コストを実現し、ハードウェア故障およびソフトウェア故障の両方を検出可能とする安全演算装置、安全入力装置、安全出力装置および安全コントローラを得ることを目的とする。
上述した課題を解決し、目的を達成するために、本発明は、入力データのプログラム処理を実施するプロセッサと、前記プロセッサへ入力される前記入力データ、および前記プログラム処理の結果である出力データを保持するメモリと、を有し、前記メモリは、第1メモリ領域と、前記第1メモリ領域とは異なるアドレスの第2メモリ領域と、のそれぞれに、前記入力データおよび前記出力データを保持可能であって、前記プロセッサは、前記第1メモリ領域に書き込まれた前記入力データの前記プログラム処理と、前記プログラム処理の結果として前記第1メモリ領域に書き込まれた前記出力データへの冗長符号の付与と、を含む第1処理過程と、前記第2メモリ領域に書き込まれた前記入力データの前記プログラム処理と、前記プログラム処理の結果として前記第2メモリ領域に書き込まれた前記出力データへの冗長符号の付与と、を含む第2処理過程と、を実行する実行制御部と、前記第1処理過程における前記冗長符号の付与を経た前記出力データと、前記第2処理過程における前記冗長符号の付与を経た前記出力データとを照合する結果照合部と、前記プロセッサおよび前記メモリの故障の有無を演算によって診断する演算診断部と、前記入力データおよび前記出力データの冗長検査、前記結果照合部における照合、および前記演算診断部における診断の少なくともいずれかにおいて異常が検出された場合に、前記出力データの出力を停止させる異常処理部と、を有することを特徴とする。
本発明にかかる安全演算装置は、プロセッサおよびメモリを含む一重の回路構成を備える。実行制御部は、第1メモリ領域から読み出した入力データ、および第2メモリ領域から読み出した入力データに対し、それぞれプログラム処理を実行する。結果照合部は、双方の入力データについてのプログラム処理の結果を照合することで、ソフトウェア故障を検出する。演算診断部は、プロセッサおよびメモリにおけるハードウェア故障を検出する。これにより、安全演算装置は、一重の回路構成として簡易かつ低コストを実現し、ハードウェア故障およびソフトウェア故障の両方を検出できるという効果を奏する。
図1は、本発明の実施の形態1にかかる安全演算装置を備える安全コントローラの構成を示すブロック図である。 図2は、安全コントローラの動作手順を示すフローチャートである(その1)。 図3は、安全コントローラの動作手順を示すフローチャートである(その2)。 図4は、本発明の実施の形態2にかかる安全演算装置を備える安全コントローラの動作手順を示すフローチャートである(その1)。 図5は、本発明の実施の形態2にかかる安全演算装置を備える安全コントローラの動作手順を示すフローチャートである(その2)。 図6は、本発明の実施の形態6にかかる安全演算装置を備える安全コントローラの構成を示すブロック図である。 図7は、本発明の実施の形態7にかかる安全入力装置を備える安全コントローラの構成を示すブロック図である。 図8は、安全入力装置の動作手順を示すフローチャートである。 図9は、本発明の実施の形態8にかかる安全出力装置を備える安全コントローラの構成を示すブロック図である。 図10は、安全出力装置の動作手順を示すフローチャートである。 図11は、本発明の実施の形態9にかかる安全コントローラの構成を示すブロック図である。 図12は、本発明の実施の形態10にかかる安全コントローラの構成を示すブロック図である。
以下に、本発明にかかる安全演算装置、安全入力装置、安全出力装置および安全コントローラの実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。
実施の形態1.
図1は、本発明の実施の形態1にかかる安全演算装置を備える安全コントローラの構成を示すブロック図である。安全コントローラは、安全演算装置10、安全入力装置18および安全出力装置19を備える。
安全演算装置10は、安全制御のための演算処理を実施する。安全入力装置18は、安全コントローラへの入力信号の入力を受け付ける。安全出力装置19は、安全コントローラから外部へ出力信号を出力する。安全演算装置10、安全入力装置18および安全出力装置19は、バス20を介して互いに内部接続されている。
安全演算装置10は、プロセッサ11およびメモリ12を有する。プロセッサ11は、安全演算装置10へ入力された入力データのプログラム処理を実施する。メモリ12は、プロセッサ11へ入力される入力データ、およびプログラム処理の結果である出力データを保持する。
メモリ12は、互いに独立した第1メモリ領域12Aおよび第2メモリ領域12Bを有する。第2メモリ領域12Bは、第1メモリ領域12Aとはアドレスが異なる。第1メモリ領域12Aおよび第2メモリ領域12Bは、いずれも入力データおよび出力データを保持可能とされている。
プロセッサ11は、実行制御部13、結果照合部14、演算診断部15、異常処理部16および入出力処理部17を有する。実行制御部13は、第1メモリ領域12Aに書き込まれた入力データについての第1処理過程と、第2メモリ領域12Bに書き込まれた入力データについての第2処理過程とを実行する。結果照合部14は、第1処理過程において第1メモリ領域12Aに書き込まれた出力データと、第2処理過程において第2メモリ領域12Bに書き込まれた出力データとを照合する。
演算診断部15は、プロセッサ11およびメモリ12の故障の有無を演算により診断する。演算診断部15によるプロセッサ11およびメモリ12の診断には、例えば、テストパターンを用いる。異常処理部16は、入力データおよび出力データの冗長検査、結果照合部14における照合、および演算診断部15における診断の少なくともいずれかにおいて異常が検出された場合に、出力データの出力を停止させる。
入出力処理部17は、安全入力装置18と第1メモリ領域12Aおよび第2メモリ領域12Bとの間の入力データの転送と、安全出力装置19と第1メモリ領域12Aおよび第2メモリ領域12Bとの間の出力データの転送とを行う。
図2および図3は、安全コントローラの動作手順を示すフローチャートである。安全入力装置18は、入力データに冗長符号を付与する。入出力処理部17は、冗長符号が付与された入力データを安全入力装置18から読み込む。入出力処理部17は、読み込んだ入力データを第1メモリ領域12Aおよび第2メモリ領域12Bに書き込む(ステップS1)。
実行制御部13は、第1メモリ領域12Aへ書き込まれた入力データ(第1入力データ)に付随する冗長符号をチェックする(ステップS2)。冗長符号は、例えばCRC(Cyclic Redundancy Checking)とする。
かかる冗長検査において異常が検出された場合(ステップS3、Yes)、異常処理部16は、安全コントローラの動作を停止させる(ステップS18)。一方、ステップS2の冗長検査により異常が無いことを確認すると(ステップS3、No)、実行制御部13は、第1入力データのプログラム処理を実行する(ステップS4)。プログラムは、例えばユーザにより作成されたアプリケーションプログラムとする。実行制御部13は、プログラム処理において、第1入力データと、第1メモリ領域12Aが保持する自己保存データとを用いる。
実行制御部13は、ステップS4における処理結果である出力データ(第1出力データ)を、第1メモリ領域12Aに書き込む(ステップS5)。実行制御部13は、第1メモリ領域12Aが保持する自己保存データを、ステップS4における処理結果に応じて書き換える。
実行制御部13は、第1メモリ領域12Aへ書き込まれた第1出力データに冗長符号を付与する(ステップS6)。冗長符号は、例えばCRCとする。ステップS2からステップS6は、第1メモリ領域12Aに書き込まれた第1入力データについての第1処理過程に相当する。
次に、実行制御部13は、第2メモリ領域12Bへ書き込まれた入力データ(第2入力データ)に付随する冗長符号をチェックする(ステップS7)。冗長符号は、例えばCRCとする。かかる冗長検査において異常が検出された場合(ステップS8、Yes)、異常処理部16は、安全コントローラの動作を停止させる(ステップS18)。一方、ステップS7の冗長検査により異常が無いことを確認すると(ステップS8、No)、実行制御部13は、第2入力データのプログラム処理を実行する(ステップS9)。
第1メモリ領域12Aおよび第2メモリ領域12Bは、オフセットアドレスが異なる以外は、メモリマップは同一である。実行制御部13は、第2入力データに対しては、ステップS4における第1入力データの処理のときとは異なるオフセットアドレスとして、同じプログラムを実行する。実行制御部13は、プログラム処理において、第2入力データと、第2メモリ領域12Bが保持する自己保存データとを用いる。
実行制御部13は、ステップS9における処理結果である出力データ(第2出力データ)を、第2メモリ領域12Bに書き込む(ステップS10)。実行制御部13は、第2メモリ領域12Bが保持する自己保存データを、ステップS9における処理結果に応じて書き換える。
実行制御部13は、第2メモリ領域12Bへ書き込まれた第2出力データに冗長符号を付与する(ステップS11)。冗長符号は、例えばCRCとする。ステップS7からステップS11は、第2メモリ領域12Bに書き込まれた第2入力データについての第2処理過程に相当する。
次に、結果照合部14は、ステップS6における冗長符号の付与を経た第1出力データと、ステップS11における冗長符号の付与を経た第2出力データとを比較照合する(ステップS12)。結果照合部14は、第1および第2出力データに加えて、値が変更される可能性のある自己保存データを、比較照合の範囲に含めることとしても良い。
結果照合部14での照合において異常が検出された場合(ステップS13、Yes)、異常処理部16は、安全コントローラの動作を停止させる(ステップS18)。一方、結果照合部14での照合において異常が無いことを確認すると(ステップS13、No)、入出力処理部17は、第1メモリ領域12Aから第1出力データを読み出し、第1出力データを安全出力装置19に書き込む。
安全出力装置19は、入出力処理部17によって書き込まれた第1出力データに付随する冗長符号をチェックする(ステップS14)。かかる冗長検査において異常が検出された場合(ステップS15、Yes)、異常処理部16は、安全出力装置19による第1出力データの出力を停止させる(ステップS18)。一方、ステップS14の冗長検査により異常が無いことを確認すると(ステップS15、No)、安全出力装置19は、第1出力データを出力する。
次に、演算診断部15は、プロセッサ11およびメモリ12の故障の有無を診断する(ステップS16)。演算診断部15は、プロセッサ11の演算ユニット(ALU;Arithmetic and Logic Unit)を、テストパターンを使用して診断する。テストパターンとしては、ALUのレジスタの各ビットが独立してON/OFFできることを確認可能であるものを選択する。
例えば、和算を行うALUの場合、演算対象となる2つのレジスタの各ビット(0,0),(0,1),(1,0),(1,1)の確認と、下位ビットからのキャリー演算を実施する。さらに、隣接しているメモリビット間にショートが無いことを確認するために、テストパターンとしては、隣接ビットが異なる結果となるもの(0x5555および0xAAAA)を選択する。
演算診断部15は、第1メモリ領域12Aおよび第2メモリ領域12Bの指定されたアドレスに対し、互いに異なるテストパターンの書き込みおよび読み出しを行う。第1メモリ領域12Aおよび第2メモリ領域12Bは、互いに異なるオフセットアドレスと、同じメモリマップとを持つ。同じテストパターンでは、オフセットアドレスラインが固着する故障があっても、第1メモリ領域12Aおよび第2メモリ領域12Bの同じアドレスに同じ値が書き込まれることとなり、正確な故障診断が困難となる。演算診断部15は、第1メモリ領域12Aおよび第2メモリ領域12Bの指定されたアドレスに予め異なる値を書き込み、読み出された値と書き込み時の値とを比較することで、アドレスラインの故障を診断する。
プロセッサ11およびメモリ12の故障診断において異常が検出された場合(ステップS17、Yes)、すなわちプロセッサ11およびメモリ12の少なくともいずれかに故障があった場合、異常処理部16は、安全コントローラの動作を停止させる(ステップS18)。異常処理部16は、第1メモリ領域12Aおよび第2メモリ領域12Bからの信号出力をOFFにする。
一方、プロセッサ11およびメモリ12の故障診断により異常が無いこと、すなわちプロセッサ11およびメモリ12のいずれにも故障が無いことを確認すると(ステップS17、No)、安全コントローラは、ステップS1に戻って、安全制御のための動作を継続する。
安全コントローラは、入力データおよび出力データの冗長検査、結果照合部14における照合、および演算診断部15における診断の少なくともいずれかにおいて異常が検出された場合、ステップS18における動作の停止により、無為の無限ループ状態となる。これにより、安全コントローラは、異常を検出した時点で、出力データの出力を停止させる。
安全コントローラは、安全演算装置10のプロセッサ11およびメモリ12のいずれかにソフトウェア故障が発生した場合、結果照合部14による照合結果から、故障の発生を検出することができる。なお、安全コントローラは、ソフトウェア故障があった場合に、動作を停止させる以外に、所定の処置を施した上で動作を継続することとしても良い。
ソフトウェア故障は、ソフトウェア処理におけるある周期にて検出されても、次周期以降には解消されることがあり得る。安全コントローラは、例えば、故障が検出された周期の直前の周期における出力データを当該周期に適用することで、エラー扱いとせず次周期以降の処理を継続することとしても良い。安全コントローラは、所定回数の周期にて連続して故障を検出した場合に、動作を停止させることとしても良い。
安全コントローラは、プロセッサ11およびメモリ12のいずれかにハードウェア故障が発生した場合、演算診断部15による診断結果から、故障の発生を検出することができる。ハードウェア故障は、ソフトウェア処理のある周期にて検出されれば、次周期以降も解消されないこととなる。このため、安全コントローラは、ハードウェア故障を検出した場合、直ちに動作を停止させる。
安全コントローラは、プロセッサ11、メモリ12、安全入力装置18および安全出力装置19からなる一重の回路構成を採用する。安全コントローラは、二重化されたハードウェア構造を採用しなくても、ハードウェア故障およびソフトウェア故障の両方を検出することができる。安全コントローラは、一重の回路構成として簡易かつ低コストを実現できる。
実施の形態2.
図4および図5は、本発明の実施の形態2にかかる安全演算装置を備える安全コントローラの動作手順を示すフローチャートである。本実施の形態にかかる安全コントローラは、実施の形態1にかかる安全コントローラ(図1参照)と同様の構成を備える。本実施の形態における動作手順のうちステップS1からステップS9の手順は、実施の形態1における動作手順のステップS1からS9(図2参照)と同様である。
実行制御部13は、ステップS9における処理結果である出力データ(第2出力データ)を、ビット反転させる(ステップS20)。実行制御部13は、ビット反転を経た第2出力データを、第2メモリ領域12Bに書き込む(ステップS10)。また、実行制御部13は、第2メモリ領域12Bが保持する自己保存データを、ステップS9における処理結果に応じて書き換えるとともに、ビット反転させる。
実行制御部13は、第2メモリ領域12Bへ書き込まれた第2出力データに冗長符号を付与する(ステップS11)。冗長符号は、例えばCRCとする。ステップS7からステップS11は、第2メモリ領域12Bに書き込まれた第2入力データについての第2処理過程に相当する。
次に、結果照合部14は、ステップS6における冗長符号の付与を経た第1出力データと、ステップS11における冗長符号の付与を経た第2出力データとを比較照合する(ステップS12)。ステップS12において、結果照合部14は、互いの排他論理和を求める手法により、第1出力データと第2出力データとを照合する。その後ステップS13からステップS15の動作手順は、実施の形態1におけるステップS13からステップS15の動作手順と同様である。
ステップS14の冗長検査により異常が無いことを確認すると(ステップS15、No)、安全出力装置19は、第1出力データを出力する。次に、演算診断部15は、プロセッサ11の故障の有無を診断する(ステップS21)。第1メモリ領域12Aが保持する第1出力データに対し、第2メモリ領域12Bが保持する第2出力データは、ステップS20におけるビット反転を経ている。アドレスラインの故障は、第1出力データと第2出力データとを比較照合することで検出できる。よって、実施の形態2では、演算診断部15によるメモリ12の故障診断は不要となる。
ステップS17およびステップS18の動作手順は、実施の形態1におけるステップS17およびステップS18の動作手順と同様である。実施の形態2にかかる安全コントローラは、実施の形態1と同様に、一重の回路構成として簡易かつ低コストを実現し、ハードウェア故障およびソフトウェア故障の両方を検出することができる。
実施の形態3.
実施の形態3にかかる安全コントローラは、実施の形態1にかかる安全コントローラ(図1参照)と同様の構成を備える。本実施の形態にかかる安全コントローラの動作手順は、実施の形態2にかかる安全コントローラの動作手順(図4および図5参照)のうちステップS20において、ビット反転に代えて、補数への変換を行う。ここで、本実施の形態の動作手順を、図4および図5のフローチャートを参照して説明する。
実行制御部13は、ステップS9における処理結果である出力データ(第2出力データ)を、補数へ変換する。実行制御部13は、補数への変換を経た第2出力データを、第2メモリ領域12Bに書き込む(ステップS10)。また、実行制御部13は、第2メモリ領域12Bが保持する自己保存データを、ステップS9における処理結果に応じて書き換えるとともに、補数に変換する。
結果照合部14は、ステップS6における冗長符号の付与を経た第1出力データと、ステップS11における冗長符号の付与を経た第2出力データとを比較照合する(ステップS12)。ステップS12において、結果照合部14は、互いの和がゼロであるか否かにより、第1出力データと第2出力データとを照合する。その後の動作手順は、実施の形態2におけるステップS13からステップS18の動作手順と同様である。
実施の形態3では、実施の形態2と同様、第1メモリ領域12Aに書き込まれる第1出力データと第2メモリ領域12Bに書き込まれる第2出力データとは異なる値である。アドレスラインの故障は、第1出力データと第2出力データとを比較照合することで検出できる。よって、実施の形態3では、演算診断部15によるメモリ12の故障診断は不要となる。
実施の形態3にかかる安全コントローラは、実施の形態1および2と同様に、一重の回路構成として簡易かつ低コストを実現し、ハードウェア故障およびソフトウェア故障の両方を検出することができる。
実施の形態4.
実施の形態4にかかる安全コントローラは、実施の形態1にかかる安全コントローラ(図1参照)と同様の構成を備える。本実施の形態にかかる安全コントローラの動作手順は、実施の形態2にかかる安全コントローラの動作手順(図4および図5参照)のうちステップS20において、ビット反転に代えて、エンディアンを逆転させる変換を行う。ここで、本実施の形態の動作手順を、図4および図5のフローチャートを参照して説明する。
実行制御部13は、ステップS9における処理結果である出力データ(第2出力データ)について、例えば16ビットデータの上位ビットおよび下位ビットを逆にする変換を行う。実行制御部13は、エンディアンの逆転を経た第2出力データを、第2メモリ領域12Bに書き込む(ステップS10)。また、実行制御部13は、第2メモリ領域12Bが保持する自己保存データを、ステップS9における処理結果に応じて書き換えるとともに、エンディアンを逆転させる。
結果照合部14は、ステップS6における冗長符号の付与を経た第1出力データと、ステップS11における冗長符号の付与を経た第2出力データとを比較照合する(ステップS12)。その際、結果照合部14は、第2メモリ領域12Bが保持する第2出力データを、エンディアンを逆転させて読み出す。結果照合部14は、第1出力データと、エンディアンの逆転を経た第2出力データとを照合する。その後の動作手順は、実施の形態2におけるステップS13からステップS18の動作手順と同様である。
実施の形態4では、実施の形態2および3と同様、第1メモリ領域12Aに書き込まれる第1出力データと第2メモリ領域12Bに書き込まれる第2出力データとは異なる値である。アドレスラインの故障は、第1出力データと第2出力データとを比較照合することで検出できる。よって、実施の形態4では、演算診断部15によるメモリ12の故障診断は不要となる。
実施の形態4にかかる安全コントローラは、実施の形態1から3と同様に、一重の回路構成として簡易かつ低コストを実現し、ハードウェア故障およびソフトウェア故障の両方を検出することができる。
実施の形態4にかかる安全コントローラは、ステップS4における処理結果である出力データ(第1出力データ)についてエンディアンを逆転させることとしても良い。結果照合部14は、比較照合の際に、第1メモリ領域12Aが保持する第1出力データ、および第2メモリ領域12Bが保持する第2出力データのいずれについて、エンディアンを逆転させて読み出すこととしても良い。
実施の形態5.
実施の形態5にかかる安全コントローラは、実施の形態1にかかる安全コントローラ(図1参照)と同様の構成を備える。本実施の形態にかかる安全コントローラの動作手順は、実施の形態1にかかる安全コントローラの動作手順(図2および図3参照)と同様である。ここで、本実施の形態の動作手順を、図2および図3のフローチャートを参照して説明する。
第1入力データのプログラム処理(ステップS4)において、実行制御部13は、16ビット向けのコンパイラとして生成されたプログラムを使用する。一方、第2入力データのプログラム処理(ステップS9)において、実行制御部13は、32ビット向けのコンパイラとして生成されたプログラムを使用する。
コントローラが扱うデータのほとんどは、16ビットデータである。実行制御部13は、ステップS4において、16ビットである第1入力データをレジスタにロードし、16ビット命令を実行する。実行制御部13は、処理結果である16ビットの第1出力データを第1メモリ領域12Aに書き込む(ステップS5)。
また、プロセッサ11は、ステップS9において、16ビットである第2入力データをレジスタにロードし、32ビット命令を実行する。実行制御部13は、処理結果である16ビットの第2出力データを第2メモリ領域12Bに書き込む(ステップS10)。
実施の形態5では、第1入力データおよび第2入力データに対して実行する命令が互いに異なる。結果照合部14は、第1出力データと第2出力データとの比較照合により、プロセッサ11のソフトウェア故障およびハードウェア故障を検出することができる。よって、実施の形態5では、演算診断部15によるプロセッサ11の故障診断は不要となる。
実施の形態5にかかる安全コントローラは、実施の形態1から4と同様に、一重の回路構成として簡易かつ低コストを実現し、ハードウェア故障およびソフトウェア故障の両方を検出することができる。
実施の形態6.
図6は、本発明の実施の形態6にかかる安全演算装置を備える安全コントローラの構成を示すブロック図である。安全コントローラは、安全演算装置30、安全入力装置18および安全出力装置19を備える。実施の形態1と同一の部分には同一の符号を付し、重複する説明を適宜省略する。
安全演算装置30は、安全制御のための演算処理を実施する。安全演算装置30、安全入力装置18および安全出力装置19は、バス20を介して互いに内部接続されている。安全入力装置18は、安全コントローラへの入力データを基に、冗長符号を算出する。安全入力装置18は、入力データに冗長符号および付帯情報が付与された入力メッセージを生成する。入力メッセージは、入力データおよび冗長符号を含む。冗長符号は、例えばCRCとする。付帯情報は、例えばヘッダ情報とする。
安全演算装置30は、プロセッサ31およびメモリ12を有する。プロセッサ31は、安全演算装置30へ入力された入力データのプログラム処理を実施する。メモリ12は、プロセッサ31へ入力される入力メッセージ、およびプログラム処理の結果である出力メッセージを保持する。
プロセッサ31は、実行制御部32、結果照合部33、制御演算部34、メッセージ処理部35、演算診断部36、異常処理部37および送受信部38を有する。送受信部38は、安全入力装置18からの入力メッセージの受信と、安全出力装置19への出力メッセージの送信とを行う。送受信部38は、安全入力装置18と第1メモリ領域12Aおよび第2メモリ領域12Bとの間の入力メッセージの転送と、安全出力装置19と第1メモリ領域12Aおよび第2メモリ領域12Bとの間の出力メッセージの転送とを行う。
メッセージ処理部35は、入力メッセージ処理および出力メッセージ処理を実施する。メッセージ処理部35は、入力メッセージ処理として、入力メッセージに付与されている冗長符号を復号して検査する。メッセージ処理部35は、出力メッセージ処理として、出力データに冗長符号を付与し出力メッセージを生成する。
制御演算部34は、メッセージ処理部35からの入力メッセージに含まれる入力データについて、制御演算を実施する。制御演算部34は、例えば安全制御ロジックを実行する。実行制御部32は、第1メモリ領域12Aに書き込まれた入力メッセージについての第1処理過程と、第2メモリ領域12Bに書き込まれた入力メッセージについての第2処理過程とを実行する。
結果照合部33は、第1処理過程において第1メモリ領域12Aに書き込まれた出力メッセージと、第2処理過程において第2メモリ領域12Bに書き込まれた出力メッセージとを照合する。
演算診断部36は、プロセッサ31およびメモリ12の故障の有無を演算により診断する。演算診断部36によるプロセッサ31およびメモリ12の診断には、例えば、テストパターンを用いる。
異常処理部37は、入力データおよび出力データの冗長検査、結果照合部33における照合、および演算診断部36における診断の少なくともいずれかにおいて異常が検出された場合に、出力メッセージの出力を停止させる。
次に、安全コントローラの動作手順を説明する。送受信部38は、入力データに冗長符号が付与された入力メッセージを、安全入力装置18から読み込む。送受信部38は、読み込んだ入力メッセージを第1メモリ領域12Aおよび第2メモリ領域12Bに書き込む。
メッセージ処理部35は、送受信部38で読み込まれた入力メッセージに対し、入力メッセージ処理を実施する。メッセージ処理部35は、第1処理過程において、入力メッセージに付随する冗長符号を復号し、冗長検査を実施する。メッセージ処理部35は、入力メッセージに含まれる入力データおよびヘッダ情報をチェックする。実行制御部32は、メッセージ処理部35での入力メッセージ処理を経た入力メッセージを第1メモリ領域12Aに書き込む。
実行制御部32は、第1処理過程において、第1メモリ領域12Aから読み出した入力メッセージを制御演算部34へ送る。制御演算部34は、入力メッセージに含まれる入力データの制御演算、例えば安全制御ロジックを実施する。実行制御部32は、制御演算部34での制御演算を経た入力データを、出力データとして第1メモリ領域12Aに書き込む。
実行制御部32は、第1処理過程において、第1メモリ領域12Aから読み出した出力データをメッセージ処理部35へ送る。メッセージ処理部35は、第1メモリ領域12Aから読み出した出力データに対して、出力メッセージ処理を実施する。メッセージ処理部35は、出力データを基に冗長符号を算出し、出力データに冗長符号を付与する。実行制御部32は、冗長符号が付与された出力データを、出力メッセージとして、第1メモリ領域12Aに書き込む。実行制御部32は、第1処理過程において、入力メッセージ処理、制御演算、出力メッセージ処理を実行し、その結果を第1メモリ領域12Aに随時記録する。
次に、メッセージ処理部35は、第2処理過程において、入力メッセージに付随する冗長符号を復号し、冗長検査を実施する。メッセージ処理部35は、入力メッセージに含まれる入力データおよびヘッダ情報をチェックする。実行制御部32は、メッセージ処理部35での入力メッセージ処理を経た入力メッセージを第2メモリ領域12Bに書き込む。
実行制御部32は、第2処理過程において、第2メモリ領域12Bから読み出した入力メッセージを制御演算部34へ送る。制御演算部34は、入力メッセージに含まれる入力データの制御演算、例えば安全制御ロジックを実施する。実行制御部32は、制御演算部34での制御演算を経た入力データを、出力データとして第2メモリ領域12Bに書き込む。
実行制御部32は、第2処理過程において、第2メモリ領域12Bから読み出した出力データをメッセージ処理部35へ送る。メッセージ処理部35は、第2メモリ領域12Bから読み出した出力データに対して、出力メッセージ処理を実施する。メッセージ処理部35は、出力データを基に冗長符号を算出する。メッセージ処理部35は、出力データに冗長符号が付与された出力メッセージを生成する。実行制御部32は、メッセージ処理部35で生成された出力メッセージを、第2メモリ領域12Bに書き込む。実行制御部32は、第2処理過程において、入力メッセージ処理、制御演算、出力メッセージ処理を実行し、その結果を第2メモリ領域12Bに随時記録する。
結果照合部33は、第1メモリ領域12Aに書き込まれた出力メッセージと、第2メモリ領域12Bに書き込まれた出力メッセージとを比較照合する。異常処理部37は、入力データおよび出力データの冗長検査、結果照合部33における照合、および演算診断部36における診断の少なくともいずれかにおいて異常が検出された場合に、出力メッセージの出力を停止させる。
実施の形態6においても、安全コントローラは、実施の形態1と同様、一重の回路構成として簡易かつ低コストを実現できる。
実施の形態7.
図7は、本発明の実施の形態7にかかる安全入力装置を備える安全コントローラの構成を示すブロック図である。安全コントローラは、安全入力装置40、安全演算装置50および安全出力装置19を備える。
安全演算装置50は、安全制御のための演算処理を実施する。安全入力装置40は、安全コントローラへの入力信号の入力を受け付ける。安全出力装置19は、安全コントローラから外部へ出力信号を出力する。安全入力装置40、安全演算装置50および安全出力装置19は、バス20を介して互いに内部接続されている。
安全入力装置40は、入力部41、プロセッサ42およびメモリ43を有する。入力部41は、安全入力装置40への入力信号を数値化し、入力データとする。プロセッサ42は、入力部41からの入力データのプログラム処理を実施する。メモリ43は、プロセッサ42へ入力される入力データを保持する。
メモリ43は、互いに独立した第1メモリ領域43Aおよび第2メモリ領域43Bを有する。第2メモリ領域43Bは、第1メモリ領域43Aとはアドレスが異なる。第1メモリ領域43Aおよび第2メモリ領域43Bは、いずれも入力データを保持可能とされている。
プロセッサ42は、入力演算部44、入力診断部45、メッセージ処理部46、実行制御部47、結果照合部48および送信部49を有する。入力演算部44は、入力部41からの入力データに対する演算処理を実施する。入力診断部45は、入力部41へのテスト信号の送信によって、入力部41の異常の有無を診断する。
メッセージ処理部46は、入力メッセージ処理として、入力データに冗長符号および付帯情報を付与する。これにより、メッセージ処理部46は、安全演算装置50に対する入力メッセージを生成する。
実行制御部47は、第1メモリ領域43Aへの入力メッセージの書き込みを含む第1処理過程と、第2メモリ領域43Bへの入力メッセージの書き込みを含む第2処理過程と、を実行する。
結果照合部48は、第1処理過程において第1メモリ領域43Aに書き込まれた入力メッセージと、第2処理過程において第2メモリ領域43Bに書き込まれた入力メッセージとを照合する。
送信部49は、第1メモリ領域43Aに書き込まれた入力メッセージと、第2メモリ領域43Bに書き込まれた入力メッセージとのいずれかを、安全演算装置50へ送信する。
図8は、安全入力装置の動作手順を示すフローチャートである。入力診断部45は、入力部41に対してテスト信号を送信する(ステップS31)。入力診断部45は、入力部41の異常の有無を判断する(ステップS32)。
入力診断部45は、入力部41において入力データの値とテスト信号とが一致するか否かを確認する。入力信号がデジタル信号である場合、入力診断部45は、入力データの現在値とはON/OFFを反転させた信号をテスト信号とする。例えば、該当する入力チャンネルの値が「ON」である場合、入力診断部45は、テスト信号としてOFF信号を送信する。入力演算部44がOFF信号を確認した場合、入力診断部45は、入力部41に異常が無いものと判断する。該当する入力チャンネルの値が「OFF」である場合、入力診断部45は、テスト信号としてON信号を送信しても良い。
入力信号がアナログ信号である場合、入力診断部45は、アナログ入力の範囲の幅で変動する波形をテスト信号とする。テスト信号の波形を入力演算部44が確認した場合、入力診断部45は、入力部41に異常が無いものと判断する。入力信号部45は、アナログ入力の範囲内の値を複数回に分けて入力部41へ送信しても良い。当該値を入力演算部44が確認した場合、入力診断部45は、入力部41に異常が無いものと判断する。入力診断部45は、AD変換後の各ビットのON/OFFを確認できるように、テスト信号を選択する。
入力部41に異常があると入力診断部45が判断した場合(ステップS32、Yes)、送信部49は、安全演算装置50への入力メッセージの送信を停止させる(ステップS43)。安全コントローラは、動作を停止させる。
入力部41に異常が無いと入力診断部45が判断した場合(ステップS32、No)、入力部41は、複数の入力端子の信号をサンプリングして数値化する。入力部41は、数値化された入力データを取得する(ステップS33)。入力演算部44は、入力部41の各入力チャンネルについて、入力データのフィルタ処理を実施する(ステップS34)。入力演算部44は、フィルタ処理により、通過させる入力データの値(入力値)を決定する。
入力信号がデジタル信号である場合、入力演算部44は、所定の周期の入力信号が同じ値となったとき、当該値を入力値として確定する。または、入力演算部44は、所定の周期の入力信号の値のうち最も頻度が高い値を、入力値として確定する。入力信号がアナログ信号である場合、入力演算部44は、入力信号の所定の周期における移動平均値を、入力値として確定する。入力演算部44は、入力信号の所定の周期の中で急変した値を除去してから、入力値を確定しても良い。
メッセージ処理部46は、入力演算部44からの入力データに冗長符号および付帯情報を付与する。冗長符号は、例えばCRCとする。付帯情報は、例えばヘッダ情報とする。メッセージ処理部46は、入力データに冗長符号およびヘッダ情報が付与された入力メッセージ(第1入力メッセージ)を生成する(ステップS35)。
メッセージ処理部46は、入力データの通信ヘッダに、ヘッダ情報として送受信局情報やメッセージ番号を付与する。メッセージ処理部46は、ヘッダ情報およびペイロード(入力データ)についてCRC符号を算出する。メッセージ処理部46は、算出されたCRC符号をペイロードに追加する。
安全演算装置50は、CRC符号を再計算することで、入力メッセージのビット化けを検出することができる。また、安全演算装置50は、ヘッダ情報を確認することで、受け付けた入力メッセージが受信すべき入力メッセージであるか否かを判断することができる。
実行制御部47は、メッセージ処理部46からの第1入力メッセージを、第1メモリ領域43Aに書き込む(ステップS36)。第1処理過程は、ステップS33からステップS35までの処理過程とする。第1メモリ領域43Aは、第1入力メッセージを格納する以外に、第1処理過程における変数等の記憶領域としても機能する。
次に、入力演算部44は、ステップS34と同様に、入力部41の各入力チャンネルについて、入力データのフィルタ処理を実施する(ステップS37)。メッセージ処理部46は、ステップS35と同様に、入力演算部44からの入力データに冗長符号およびヘッダ情報を付与する。メッセージ処理部46は、入力データに冗長符号およびヘッダ情報が付与された入力メッセージ(第2入力メッセージ)を生成する(ステップS38)。
実行制御部47は、メッセージ処理部46からの第2入力メッセージを、第2メモリ領域43Bに書き込む(ステップS39)。第2処理過程は、ステップS37からステップS39までの処理過程とする。第2メモリ領域43Bは、第2入力メッセージを格納する以外に、第2処理過程における変数等の記憶領域としても機能する。
結果照合部48は、第1メモリ領域43Aから第1入力メッセージを読み出す。結果照合部48は、第2メモリ領域43Bから第2入力メッセージを読み出す。結果照合部48は、それぞれ読み出された第1入力メッセージと第2入力メッセージとを比較照合する(ステップS40)。
結果照合部48での照合において異常が検出された場合(ステップS41、Yes)、送信部49は、安全演算装置50への入力メッセージの送信を停止させる(ステップS43)。安全コントローラは、動作を停止させる。
結果照合部48での照合において異常が無いことを確認すると(ステップS41、No)、送信部49は、第1入力メッセージまたは第2入力メッセージを安全演算装置50へ送信する(ステップS42)。送信部49は、例えば、第2メモリ領域43Bから第2入力メッセージを読み出す。送信部49は、読み出された第2入力メッセージを、安全演算装置50へ送信する。送信部49から安全演算装置50へ入力メッセージを送信すると、安全入力装置40は、ステップS31に戻り、安全コントローラへの入力信号の入力を受け付けるための動作を継続する。
安全入力装置40は、プロセッサ42およびメモリ43のいずれにソフトウェア故障が発生した場合、結果照合部48による照合結果から、故障の発生を検出することができる。なお、安全入力装置40は、ソフトウェア故障があった場合に、動作を停止させる以外に、所定の処置を施した上で動作を継続することとしても良い。
ソフトウェア故障は、ソフトウェア処理におけるある周期にて検出されても、次周期以降には解消されることがあり得る。安全入力装置40は、例えば、故障が検出された周期の直前の周期における入力メッセージを当該周期に適用することで、エラー扱いとせず次周期以降の処理を継続することとしても良い。安全入力装置40は、所定回数の周期にて連続して故障を検出した場合に、動作を停止させることとしても良い。
安全入力装置40は、プロセッサ42およびメモリ43のいずれかにハードウェア故障が発生した場合、結果照合部48による照合では、故障の発生を検出することが困難である。安全入力装置40は、ハードウェア故障を自己診断するために、例えば、周期の途中にて所定の診断プログラムを実施する。
安全入力装置40は、入力部41への入力信号の範囲の全体について、入力診断部45による診断を実施する。安全入力装置40は、一重の回路構成の入力部41について、回路部品の固着やドリフトの発生による誤入力を検出することができる。安全入力装置40および安全演算装置50は、入力メッセージの冗長検査とヘッダ情報の確認を行うことで、一重の通信手段にて、入力メッセージのエラーを検出できる。安全入力装置40は、結果照合部48での入力メッセージの照合により、ソフトウェアエラーの混入を防止できる。
安全入力装置40は、入力部41、プロセッサ42およびメモリ43からなる一重の回路構成を採用する。実施の形態7にかかる安全入力装置40は、一重の回路構成として簡易かつ低コストを実現し、ハードウェア故障およびソフトウェア故障の両方を検出することができる。
なお、安全入力装置40のプロセッサ42の動作には、上記の実施の形態1から5におけるプロセッサ11(図1参照)と同様の動作を追加することとしても良い。
実施の形態8.
図9は、本発明の実施の形態8にかかる安全出力装置を備える安全コントローラの構成を示すブロック図である。安全コントローラは、安全入力装置18、安全演算装置50および安全出力装置60を備える。
安全演算装置50は、安全制御のための演算処理を実施する。安全入力装置18は、安全コントローラへの入力信号の入力を受け付ける。安全出力装置60は、安全コントローラから外部へ出力信号を出力する。安全入力装置18、安全演算装置50および安全出力装置60は、バス20を介して互いに内部接続されている。
安全出力装置60は、出力部61、プロセッサ62およびメモリ63を有する。プロセッサ62は、出力メッセージのプログラム処理を実施する。メモリ63は、出力メッセージに含まれる出力データを保持する。出力部61は、出力データに応じた出力信号を出力する。
メモリ63は、互いに独立した第1メモリ領域63Aおよび第2メモリ領域63Bを有する。第2メモリ領域63Bは、第1メモリ領域63Aとはアドレスが異なる。第1メモリ領域63Aおよび第2メモリ領域63Bは、いずれも出力データを保持可能とされている。
プロセッサ62は、電源遮断部64、出力診断部65、結果照合部66、出力演算部67、メッセージ処理部68、実行制御部69および受信部70を有する。受信部70は、安全演算装置50からの出力メッセージを受信する。
メッセージ処理部68は、出力メッセージ処理として、出力メッセージに含まれる冗長符号および付帯情報を基に出力メッセージの内容を検査する。出力演算部67は、出力メッセージから出力データを取り出すための演算処理を実施する。実行制御部69は、第1メモリ領域63Aへの出力データの書き込みを含む第1処理過程と、第2メモリ領域63Bへの出力データの書き込みを含む第2処理過程と、を実行する。
結果照合部66は、第1処理過程において第1メモリ領域63Aに書き込まれた出力データと、第2処理過程において第2メモリ領域63Bに書き込まれた出力データとを照合する。
出力診断部65は、出力部61へのテスト信号の送信によって、出力部61の異常の有無を診断する。電源遮断部64は、出力診断部65での診断結果に応じて、出力部61への電源を遮断する。
図10は、安全出力装置の動作手順を示すフローチャートである。出力診断部65は、出力部61に対してテスト信号を送信する(ステップS51)。出力診断部65は、出力部61の異常の有無を判断する(ステップS52)。
出力診断部65は、出力部61において出力データの値とテスト信号とが一致するか否かを確認する。出力信号をデジタル信号とする場合、出力診断部65は、出力データの現在値とはON/OFFを反転させた信号をテスト信号とする。出力診断部65は、出力部61へテスト信号を出力する。
例えば、該当する出力端子の値が「ON」である場合、出力診断部65は、テスト信号としてOFF信号を送信する。一定時間内に出力診断部65がOFF信号を確認した場合、出力診断部65は、出力部61に異常が無いものと判断する。または、出力診断部65は、出力端子の信号を読み出し、読み出された信号の値と、期待する出力データの値とを比較する。
出力信号をアナログ信号とする場合、出力診断部65は、DA変換器のレンジ範囲の値を複数回に分けて、出力部61へ送信する。出力診断部65は、出力部61の出力データの値を読み出して、読み出された値が誤差範囲内である場合、出力部61に異常が無いものと判断する。出力診断部65によるテストは、出力端子に接続されたデバイスが反応しない程度の短い時間内に行われるものとする。出力部61は、出力診断部65によるテスト中に、現在の出力データによる出力信号を継続して出力しても良い。
出力部61に異常があると出力診断部65が判断した場合(ステップS52、Yes)、電源遮断部64は、出力部61の電源を遮断する(ステップS63)。出力部61の電源の遮断により、安全出力装置60は、出力部61からの出力信号を強制的にゼロとする。
出力部61に異常が無いと出力診断部65が判断した場合(ステップS52、No)、受信部70は、安全演算装置50からの出力メッセージを受信する(ステップS53)。メッセージ処理部68は、受信部70が受信した出力メッセージ(第1出力メッセージ)の内容を検査する(ステップS54)。
出力メッセージは、冗長符号および付帯情報を含む。冗長符号は、例えばCRCとする。付帯情報は、例えばヘッダ情報とする。メッセージ処理部68は、第1出力メッセージのCRC符号を再計算することで、第1出力メッセージのビット化けを検出する。また、メッセージ処理部68は、ヘッダ情報である送受信局情報やメッセージ番号を確認することで、受け付けた第1出力メッセージが、安全出力装置60が出力信号を得るべき正しい出力メッセージであるか否かを判断する。
出力演算部67は、出力部61の出力端子ごとの出力データ(第1出力データ)を、第1出力メッセージから取り出す。出力演算部67は、第1出力データのフィルタ処理を実施する(ステップS55)。出力演算部67は、所定の周期における移動平均値、または連続する同値を、フィルタ処理によって通過させる第1出力データの値(出力値)として決定する。出力演算部67は、フィルタ処理によって、出力値の振動を防止する。
実行制御部69は、出力演算部67からの第1出力データを、第1メモリ領域63Aに書き込む(ステップS56)。第1処理過程は、ステップS54からステップS56までの処理過程とする。第1メモリ領域63Aは、第1出力データを格納する以外に、第1処理過程における変数等の記憶領域としても機能する。
次に、メッセージ処理部68は、ステップS54と同様に、受信部70が受信した出力メッセージ(第2出力メッセージ)の内容を検査する(ステップS57)。メッセージ処理部68は、第2出力メッセージのCRC符号を再計算することで、第2出力メッセージのビット化けを検出する。また、メッセージ処理部68は、ヘッダ情報である送受信局情報やメッセージ番号を確認することで、受け付けた第2出力メッセージが、安全出力装置60が出力信号を得るべき正しい出力メッセージであるか否かを判断する。
出力演算部67は、ステップS55と同様に、出力部61の出力端子ごとの出力データ(第2出力データ)を、第2出力メッセージから取り出す。出力演算部67は、第2出力データのフィルタ処理を実施する(ステップS58)。
実行制御部69は、出力演算部67からの第2出力データを、第2メモリ領域63Bに書き込む(ステップS59)。第2処理過程は、ステップS57からステップS59までの処理過程とする。第2メモリ領域63Bは、第2出力データを格納する以外に、第2処理過程における変数等の記憶領域としても機能する。
結果照合部66は、第1メモリ領域63Aから第2出力データを読み出す。結果照合部66は、第2メモリ領域63Bから第2出力データを読み出す。結果照合部66は、それぞれ読み出された第1出力データと第2出力データとを比較照合する(ステップS60)。
結果照合部66での照合において異常が検出された場合(ステップS61、Yes)、電源遮断部64は、出力部61の電源を遮断する(ステップS63)。出力部61の電源の遮断により、安全出力装置60は、出力部61からの出力信号を強制的にゼロとする。
結果照合部66での照合において異常が無いことを確認すると(ステップS61、No)、出力部61は、第1出力データまたは第2出力データに基づく出力信号を出力する(ステップS62)。出力部61が出力信号を出力すると、安全出力装置60は、ステップS51に戻り、出力信号を出力するための動作を継続する。
安全出力装置60は、プロセッサ62およびメモリ63のいずれにソフトウェア故障が発生した場合、結果照合部66による照合結果から、故障の発生を検出することができる。なお、安全出力装置60は、ソフトウェア故障があった場合に、動作を停止させる以外に、所定の処置を施した上で動作を継続することとしても良い。
ソフトウェア故障は、ソフトウェア処理におけるある周期にて検出されても、次周期以降には解消されることがあり得る。安全出力装置60は、例えば、故障が検出された周期の直前の周期における出力データを当該周期に適用することで、エラー扱いとせず次周期以降の処理を継続することとしても良い。安全出力装置60は、所定回数の周期にて連続して故障を検出した場合に、動作を停止させることとしても良い。
安全出力装置60は、プロセッサ62およびメモリ63のいずれかにハードウェア故障が発生した場合、結果照合部66による照合では、故障の発生を検出することが困難である。安全出力装置60は、ハードウェア故障を自己診断するために、例えば、周期の途中にて所定の診断プログラムを実施する。
安全出力装置60は、出力部61の出力レンジの全体について、出力診断部65による診断を実施する。安全出力装置60は、一重の回路構成の出力部61について、回路部品の固着やドリフトの発生による誤出力を検出することができる。安全出力装置60および安全演算装置50は、出力メッセージの冗長検査とヘッダ情報の確認を行うことで、一重の通信手段にて、出力メッセージのエラーを検出できる。安全出力装置60は、結果照合部66での出力データの照合により、ソフトウェアエラーの混入を防止できる。
安全出力装置60は、出力部61、プロセッサ62およびメモリ63からなる一重の回路構成を採用する。実施の形態8にかかる安全出力装置60は、一重の回路構成として簡易かつ低コストを実現し、ハードウェア故障およびソフトウェア故障の両方を検出することができる。
なお、安全出力装置60のプロセッサ62の動作には、上記の実施の形態1から5におけるプロセッサ11(図1参照)と同様の動作を追加することとしても良い。
実施の形態9.
図11は、本発明の実施の形態9にかかる安全コントローラの構成を示すブロック図である。安全コントローラは、安全入力装置18、安全演算装置10、安全出力装置19、ゲートウェイ80およびエンジニアリングツール81を有する。安全演算装置10は、例えば、実施の形態1にかかる安全演算装置10とする。
エンジニアリングツール81は、例えば、PLCシステム等で動作させるシーケンスプログラムを編集するツールである。エンジニアリングツール81は、例えば、エンジニアリングツールソフトウェアがインストールされたパーソナルコンピュータなどで実現される。
安全演算装置10、安全入力装置18および安全出力装置19は、バス20を介して互いに内部接続されている。エンジニアリングツール81は、ゲートウェイ80を介してバス20に接続されている。スイッチおよびセンサ83は、安全入力装置18の入力部に接続されている。アクチュエータおよびコンタクタ84は、安全出力装置19の出力部に接続されている。
エンジニアリングツール81は、安全演算装置10の安全制御プログラムや設定パラメータの変更あるいは書き込みを行う。安全コントローラは、安全演算装置10を適用することで、二重化されたハードウェア構造を採用しなくても、ハードウェア故障およびソフトウェア故障の両方を検出することができる。安全コントローラは、一重の回路構成として簡易かつ低コストを実現できる。
安全コントローラの動作には、上記の実施の形態2から5にかかる安全コントローラと同様の動作を追加することとしても良い。安全コントローラは、実施の形態6にかかる安全演算装置30(図6参照)を適用しても良い。
安全コントローラは、実施の形態7にかかる安全入力装置40(図7参照)を適用しても良い。この場合、エンジニアリングツール81は、安全入力装置40に対し、入力データのフィルタ処理の条件や、入力診断の条件を指定する。この場合も、安全コントローラは、一重の回路構成として簡易かつ低コストを実現できる。
安全コントローラは、実施の形態8にかかる安全出力装置60(図9参照)を適用しても良い。この場合、エンジニアリングツール81は、安全出力装置60に対し、出力データのフィルタ処理の条件や、出力診断の条件を指定する。この場合も、安全コントローラは、一重の回路構成として簡易かつ低コストを実現できる。
安全コントローラは、例えば、実施の形態6にかかる安全演算装置30、実施の形態7にかかる安全入力装置40、および実施の形態8にかかる安全出力装置60を組み合わせたものとしても良い。
実施の形態10.
図12は、本発明の実施の形態10にかかる安全コントローラの構成を示すブロック図である。実施の形態9と同一の部分には同一の符号を付し、重複する説明を適宜省略する。
安全コントローラは、安全入力装置18、安全演算装置10、安全出力装置19、ネットワーク接続装置85およびエンジニアリングツール81を有する。安全演算装置10は、例えば、実施の形態1にかかる安全演算装置10とする。安全演算装置10、安全入力装置18、安全出力装置19およびエンジニアリングツール81は、ネットワーク接続装置85を介して互いに接続されている。
エンジニアリングツール81は、安全演算装置10の安全制御プログラムや設定パラメータの変更あるいは書き込みを行う。安全コントローラは、安全演算装置10を適用することで、二重化されたハードウェア構造を採用しなくても、ハードウェア故障およびソフトウェア故障の両方を検出することができる。安全コントローラは、一重の回路構成として簡易かつ低コストを実現できる。
安全コントローラの動作には、上記の実施の形態2から5にかかる安全コントローラと同様の動作を追加することとしても良い。安全コントローラは、実施の形態6にかかる安全演算装置30(図6参照)を適用しても良い。
安全コントローラは、実施の形態7にかかる安全入力装置40(図7参照)を適用しても良い。この場合、エンジニアリングツール81は、安全入力装置40に対し、入力データのフィルタ処理の条件や、入力診断の条件を指定する。この場合も、安全コントローラは、一重の回路構成として簡易かつ低コストを実現できる。
安全コントローラは、実施の形態8にかかる安全出力装置60(図9参照)を適用しても良い。この場合、エンジニアリングツール81は、安全出力装置60に対し、出力データのフィルタ処理の条件や、出力診断の条件を指定する。この場合も、安全コントローラは、一重の回路構成として簡易かつ低コストを実現できる。
安全コントローラは、例えば、実施の形態6にかかる安全演算装置30、実施の形態7にかかる安全入力装置40、および実施の形態8にかかる安全出力装置60を組み合わせたものとしても良い。
本発明の安全コントローラは、機械や設備の安全制御を担う安全コントローラとして有用である。
11 プロセッサ、12 メモリ、12A 第1メモリ領域、12B 第2メモリ領域、13 実行制御部、14 結果照合部、15 演算診断部、16 異常処理部、17 入出力処理部、18 安全入力装置、19 安全出力装置、20 バス、30 安全演算装置、31 プロセッサ、32 実行制御部、33 結果照合部、34 制御演算部、35 メッセージ処理部、36 演算診断部、37 異常処理部、38 送受信部、40 安全入力装置、41 入力部、42 プロセッサ、43 メモリ、43A 第1メモリ領域、43B 第2メモリ領域、44 入力演算部、45 入力診断部、46 メッセージ処理部、47 実行制御部、48 結果照合部、49 送信部、50 安全演算装置、60 安全出力装置、61 出力部、62 プロセッサ、63 メモリ、63A 第1メモリ領域、63B 第2メモリ領域、64 電源遮断部、65 出力診断部、66 結果照合部、67 出力演算部、68 メッセージ処理部、69 実行制御部、70 受信部、80 ゲートウェイ、81 エンジニアリングツール、83 スイッチおよびセンサ、84 アクチュエータおよびコンタクタ、85 ネットワーク接続装置。
上述した課題を解決し、目的を達成するために、本発明は、入力データのプログラム処理を実施するプロセッサと、前記プロセッサへ入力される前記入力データ、および前記プログラム処理の結果である出力データを保持するメモリと、を有し、前記メモリは、第1メモリ領域と、前記第1メモリ領域とは異なるアドレスの第2メモリ領域と、のそれぞれに、前記入力データおよび前記出力データを保持可能であって、前記プロセッサは、前記第1メモリ領域に書き込まれた前記入力データの冗長検査および前記プログラム処理と、前記プログラム処理の結果として前記第1メモリ領域に書き込まれた前記出力データへの冗長符号の付与と、を含む第1処理過程と、前記第2メモリ領域に書き込まれた前記入力データの冗長検査および前記プログラム処理と、前記プログラム処理の結果として前記第2メモリ領域に書き込まれた前記出力データへの冗長符号の付与と、を含む第2処理過程と、を実行する実行制御部と、前記第1処理過程における前記冗長符号の付与を経た前記出力データと、前記第2処理過程における前記冗長符号の付与を経た前記出力データとを照合する結果照合部と、前記プロセッサおよび前記メモリの故障の有無を演算によって診断する演算診断部と、前記実行制御部における前記入力データの前記冗長検査、前記結果照合部における照合、および前記演算診断部における診断の少なくともいずれかにおいて異常が検出された場合に、前記出力データの出力を停止させる異常処理部と、を有することを特徴とする。
実行制御部13は、第1メモリ領域12Aへ書き込まれた入力データ(第1入力データ)に付随する冗長符号をチェックする(ステップS2)。冗長符号は、例えばCRC(Cyclic Redundancy Code)とする。
例えば、加算を行うALUの場合、演算対象となる2つのレジスタの各ビット(0,0),(0,1),(1,0),(1,1)の確認と、下位ビットからのキャリー演算を実施する。さらに、隣接しているメモリビット間にショートが無いことを確認するために、テストパターンとしては、隣接ビットが異なる結果となるもの(0x5555および0xAAAA)を選択する。
入力信号がアナログ信号である場合、入力診断部45は、アナログ入力の範囲の幅で変動する波形をテスト信号とする。テスト信号の波形を入力演算部44が確認した場合、入力診断部45は、入力部41に異常が無いものと判断する。入力診断部45は、アナログ入力の範囲内の値を複数回に分けて入力部41へ送信しても良い。当該値を入力演算部44が確認した場合、入力診断部45は、入力部41に異常が無いものと判断する。入力診断部45は、AD変換後の各ビットのON/OFFを確認できるように、テスト信号を選択する。
メッセージ処理部46は、入力データの通信ヘッダに、ヘッダ情報として送受信局情報やメッセージ番号を付与する。メッセージ処理部46は、ヘッダ情報およびペイロード(入力データ)についてCRCを算出する。メッセージ処理部46は、算出されたCRCをペイロードに追加する。
安全演算装置50は、CRCを再計算することで、入力メッセージのビット化けを検出することができる。また、安全演算装置50は、ヘッダ情報を確認することで、受け付けた入力メッセージが受信すべき入力メッセージであるか否かを判断することができる。
出力メッセージは、冗長符号および付帯情報を含む。冗長符号は、例えばCRCとする。付帯情報は、例えばヘッダ情報とする。メッセージ処理部68は、第1出力メッセージのCRCを再計算することで、第1出力メッセージのビット化けを検出する。また、メッセージ処理部68は、ヘッダ情報である送受信局情報やメッセージ番号を確認することで、受け付けた第1出力メッセージが、安全出力装置60が出力信号を得るべき正しい出力メッセージであるか否かを判断する。
次に、メッセージ処理部68は、ステップS54と同様に、受信部70が受信した出力メッセージ(第2出力メッセージ)の内容を検査する(ステップS57)。メッセージ処理部68は、第2出力メッセージのCRCを再計算することで、第2出力メッセージのビット化けを検出する。また、メッセージ処理部68は、ヘッダ情報である送受信局情報やメッセージ番号を確認することで、受け付けた第2出力メッセージが、安全出力装置60が出力信号を得るべき正しい出力メッセージであるか否かを判断する。
結果照合部66は、第1メモリ領域63Aから第出力データを読み出す。結果照合部66は、第2メモリ領域63Bから第2出力データを読み出す。結果照合部66は、それぞれ読み出された第1出力データと第2出力データとを比較照合する(ステップS60)。

Claims (11)

  1. 入力データのプログラム処理を実施するプロセッサと、
    前記プロセッサへ入力される前記入力データ、および前記プログラム処理の結果である出力データを保持するメモリと、を有し、
    前記メモリは、第1メモリ領域と、前記第1メモリ領域とは異なるアドレスの第2メモリ領域と、のそれぞれに、前記入力データおよび前記出力データを保持可能であって、
    前記プロセッサは、
    前記第1メモリ領域に書き込まれた前記入力データの前記プログラム処理と、前記プログラム処理の結果として前記第1メモリ領域に書き込まれた前記出力データへの冗長符号の付与と、を含む第1処理過程と、前記第2メモリ領域に書き込まれた前記入力データの前記プログラム処理と、前記プログラム処理の結果として前記第2メモリ領域に書き込まれた前記出力データへの冗長符号の付与と、を含む第2処理過程と、を実行する実行制御部と、
    前記第1処理過程における前記冗長符号の付与を経た前記出力データと、前記第2処理過程における前記冗長符号の付与を経た前記出力データとを照合する結果照合部と、
    前記プロセッサおよび前記メモリの故障の有無を演算によって診断する演算診断部と、
    前記入力データおよび前記出力データの冗長検査、前記結果照合部における照合、および前記演算診断部における診断の少なくともいずれかにおいて異常が検出された場合に、前記出力データの出力を停止させる異常処理部と、を有することを特徴とする安全演算装置。
  2. 前記実行制御部は、前記第2処理過程において、ビット反転させた前記出力データを前記第2メモリ領域に書き込み、
    前記結果照合部は、前記第1メモリ領域から読み出した前記出力データと、前記第2メモリ領域から読み出した前記出力データとを、互いの排他論理和により照合することを特徴とする請求項1に記載の安全演算装置。
  3. 前記実行制御部は、前記第2処理過程において、補数への変換を経た前記出力データを前記第2メモリ領域に書き込み、
    前記結果照合部は、前記第1メモリ領域から読み出した前記出力データと、前記第2メモリ領域から読み出した前記出力データとを、互いの和により照合することを特徴とする請求項1に記載の安全演算装置。
  4. 前記実行制御部は、前記第1メモリ領域に書き込む前記出力データと前記第2メモリ領域に書き込む前記出力データとのうちの一方について、エンディアンを逆転させ、
    前記結果照合部は、前記第1メモリ領域から読み出した前記出力データと前記第2メモリ領域から読み出した前記出力データとのうちの一方についてエンディアンを逆転させて、照合することを特徴とする請求項1に記載の安全演算装置。
  5. 前記実行制御部は、前記第1メモリ領域から読み出した前記入力データの前記プログラム処理において、16ビット向けのコンパイラとして生成されたプログラムを使用し、かつ、前記第2メモリ領域から読み出した前記入力データの前記プログラム処理において、32ビット向けのコンパイラとして生成されたプログラムを使用することを特徴とする請求項1に記載の安全演算装置。
  6. 入力データのプログラム処理を実施するプロセッサと、
    前記プロセッサへ入力される前記入力データ、および前記プログラム処理の結果である出力データを保持するメモリと、を有し、
    前記メモリは、第1メモリ領域と、前記第1メモリ領域とは異なるアドレスの第2メモリ領域と、のそれぞれに、前記入力データおよび前記出力データを保持可能であって、
    前記プロセッサは、
    前記入力データを含む入力メッセージに付与されている冗長符号を復号して検査する入力メッセージ処理と、前記出力データに冗長符号を付与し出力メッセージとする出力メッセージ処理とを実施するメッセージ処理部と、
    前記第1メモリ領域に書き込まれた前記入力メッセージについての制御演算と、前記出力メッセージ処理により得られた前記出力メッセージの前記第1メモリ領域への書き込みとを含む第1処理過程と、前記第2メモリ領域に書き込まれた前記入力メッセージについての制御演算と、前記出力メッセージ処理を経た前記出力メッセージの前記第2メモリ領域への書き込みとを含む第2処理過程と、を実行する実行制御部と、
    前記第1メモリ領域に書き込まれた前記出力メッセージと、前記第2メモリ領域に書き込まれた前記出力メッセージとを照合する結果照合部と、
    前記プロセッサおよび前記メモリの故障の有無を演算によって診断する演算診断部と、
    前記入力データおよび前記出力データの冗長検査、前記結果照合部における照合、および前記演算診断部における診断の少なくともいずれかにおいて異常が検出された場合に、前記出力メッセージの出力を停止させる異常処理部と、を有することを特徴とする安全演算装置。
  7. 入力信号を数値化し、入力データとする入力部と、
    前記入力データのプログラム処理を実施するプロセッサと、
    前記プロセッサへ入力される前記入力データを保持するメモリと、を有し、
    前記メモリは、第1メモリ領域と、前記第1メモリ領域とは異なるアドレスの第2メモリ領域と、のそれぞれに、前記入力データを保持可能であって、
    前記プロセッサは、
    前記入力部へのテスト信号の送信によって、前記入力部の異常の有無を診断する入力診断部と、
    前記入力データに冗長符号を付与し入力メッセージとする入力メッセージ処理を実施するメッセージ処理部と、
    前記入力データに対する演算処理と、前記第1メモリ領域への前記入力メッセージの書き込みとを含む第1処理過程と、前記入力データに対する演算処理と、前記第2メモリ領域への前記入力メッセージの書き込みとを含む第2処理過程と、を実行する実行制御部と、
    前記第1メモリ領域に書き込まれた前記入力メッセージと、前記第2メモリ領域に書き込まれた前記入力メッセージとを照合する結果照合部と、
    安全制御のための演算処理を実施する安全演算装置へ前記入力メッセージを送信する送信部と、を備え、
    前記送信部は、前記入力診断部における診断、および前記結果照合部における照合の少なくともいずれかにおいて異常が検出された場合に、前記入力メッセージの送信を停止させることを特徴とする安全入力装置。
  8. 出力メッセージのプログラム処理を実施するプロセッサと、
    前記出力メッセージに含まれる出力データを保持するメモリと、
    前記出力データに応じた出力信号を出力する出力部と、を有し、
    前記メモリは、第1メモリ領域と、前記第1メモリ領域とは異なるアドレスの第2メモリ領域と、のそれぞれに、前記出力データを保持可能であって、
    前記プロセッサは、
    安全制御のための演算処理を実施する安全演算装置からの前記出力メッセージを受信する受信部と、
    前記出力メッセージに含まれる冗長符号を基に前記出力メッセージの内容を検査する出力メッセージ処理を実施するメッセージ処理部と、
    前記出力メッセージの内容の検査と、前記第1メモリ領域への前記出力データの書き込みとを含む第1処理過程と、前記出力メッセージの内容の検査と、前記第2メモリ領域への前記出力データの書き込みとを含む第2処理過程と、を実行する実行制御部と、
    前記第1メモリ領域に書き込まれた前記出力データと、前記第2メモリ領域に書き込まれた前記出力データとを照合する結果照合部と、
    前記出力部へのテスト信号の送信によって、前記出力部の異常の有無を診断する出力診断部と、を備え、
    前記出力部は、前記出力診断部における診断、および前記結果照合部における照合の少なくともいずれかにおいて異常が検出された場合に、前記出力信号の出力を停止させることを特徴とする安全出力装置。
  9. 安全コントローラへの入力信号の入力を受け付ける安全入力装置と、
    安全制御のための演算処理を実施する安全演算装置と、
    前記安全コントローラから出力信号を出力する安全出力装置と、を有し、
    前記安全演算装置は、
    前記安全入力装置からの入力データのプログラム処理を実施するプロセッサと、
    前記プロセッサへ入力される前記入力データ、および前記プログラム処理の結果である出力データを保持するメモリと、を有し、
    前記メモリは、第1メモリ領域と、前記第1メモリ領域とは異なるアドレスの第2メモリ領域と、のそれぞれに、前記入力データおよび前記出力データを保持可能であって、
    前記プロセッサは、
    前記第1メモリ領域に書き込まれた前記入力データの前記プログラム処理と、前記プログラム処理の結果として前記第1メモリ領域に書き込まれた前記出力データへの冗長符号の付与と、を含む第1処理過程と、前記第2メモリ領域に書き込まれた前記入力データの前記プログラム処理と、前記プログラム処理の結果として前記第2メモリ領域に書き込まれた前記出力データへの冗長符号の付与と、を含む第2処理過程と、を実行する実行制御部と、
    前記第1処理過程における前記冗長符号の付与を経た前記出力データと、前記第2処理過程における前記冗長符号の付与を経た前記出力データとを照合する結果照合部と、
    前記プロセッサおよび前記メモリの故障の有無を演算によって診断する演算診断部と、
    前記入力データおよび前記出力データの冗長検査、前記結果照合部における照合、および前記演算診断部における診断の少なくともいずれかにおいて異常が検出された場合に、前記出力データの出力を停止させる異常処理部と、を有することを特徴とする安全コントローラ。
  10. 安全コントローラへの入力信号の入力を受け付ける安全入力装置と、
    安全制御のための演算処理を実施する安全演算装置と、
    前記安全コントローラから出力信号を出力する安全出力装置と、を有し、
    前記安全入力装置は、
    前記入力信号を数値化し、入力データとする入力部と、
    前記入力データのプログラム処理を実施するプロセッサと、
    前記プロセッサへ入力される前記入力データを保持するメモリと、を有し、
    前記メモリは、第1メモリ領域と、前記第1メモリ領域とは異なるアドレスの第2メモリ領域と、のそれぞれに、前記入力データを保持可能であって、
    前記プロセッサは、
    前記入力部へのテスト信号の送信によって、前記入力部の異常の有無を診断する入力診断部と、
    前記入力データに冗長符号を付与し入力メッセージとする入力メッセージ処理を実施するメッセージ処理部と、
    前記入力データに対する演算処理と、前記第1メモリ領域への前記入力メッセージの書き込みとを含む第1処理過程と、前記入力データに対する演算処理と、前記第2メモリ領域への前記入力メッセージの書き込みとを含む第2処理過程と、を実行する実行制御部と、
    前記第1メモリ領域に書き込まれた前記入力メッセージと、前記第2メモリ領域に書き込まれた前記入力メッセージとを照合する結果照合部と、
    前記安全演算装置へ前記入力メッセージを送信する送信部と、を備え、
    前記送信部は、前記入力診断部における診断、および前記結果照合部における照合の少なくともいずれかにおいて異常が検出された場合に、前記入力メッセージの送信を停止させることを特徴とする安全コントローラ。
  11. 安全コントローラへの入力信号の入力を受け付ける安全入力装置と、
    安全制御のための演算処理を実施する安全演算装置と、
    前記安全コントローラから出力信号を出力する安全出力装置と、を有し、
    前記安全出力装置は、
    前記安全演算装置からの出力メッセージのプログラム処理を実施するプロセッサと、
    前記出力メッセージに含まれる出力データを保持するメモリと、
    前記出力データに応じた出力信号を出力する出力部と、を有し、
    前記メモリは、第1メモリ領域と、前記第1メモリ領域とは異なるアドレスの第2メモリ領域と、のそれぞれに、前記出力データを保持可能であって、
    前記プロセッサは、
    前記安全演算装置からの前記出力メッセージを受信する受信部と、
    前記出力メッセージに含まれる冗長符号を基に前記出力メッセージの内容を検査する出力メッセージ処理を実施するメッセージ処理部と、
    前記出力メッセージの内容の検査と、前記第1メモリ領域への前記出力データの書き込みとを含む第1処理過程と、前記出力メッセージの内容の検査と、前記第2メモリ領域への前記出力データの書き込みとを含む第2処理過程と、を実行する実行制御部と、
    前記第1メモリ領域に書き込まれた前記出力データと、前記第2メモリ領域に書き込まれた前記出力データとを照合する結果照合部と、
    前記出力部へのテスト信号の送信によって、前記出力部の異常の有無を診断する出力診断部と、を備え、
    前記出力部は、前記出力診断部における診断、および前記結果照合部における照合の少なくともいずれかにおいて異常が検出された場合に、前記出力信号の出力を停止させることを特徴とする安全コントローラ。
JP2014535388A 2012-09-11 2013-03-11 安全演算装置、安全入力装置、安全出力装置および安全コントローラ Active JP5762642B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014535388A JP5762642B2 (ja) 2012-09-11 2013-03-11 安全演算装置、安全入力装置、安全出力装置および安全コントローラ

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
PCT/JP2012/073179 WO2014041596A1 (ja) 2012-09-11 2012-09-11 安全コントローラ
JPPCT/JP2012/073179 2012-09-11
JP2014535388A JP5762642B2 (ja) 2012-09-11 2013-03-11 安全演算装置、安全入力装置、安全出力装置および安全コントローラ
PCT/JP2013/056612 WO2014041829A1 (ja) 2012-09-11 2013-03-11 安全演算装置、安全入力装置、安全出力装置および安全コントローラ

Publications (2)

Publication Number Publication Date
JP5762642B2 JP5762642B2 (ja) 2015-08-12
JPWO2014041829A1 true JPWO2014041829A1 (ja) 2016-08-18

Family

ID=53887822

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014535388A Active JP5762642B2 (ja) 2012-09-11 2013-03-11 安全演算装置、安全入力装置、安全出力装置および安全コントローラ

Country Status (1)

Country Link
JP (1) JP5762642B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105334845B (zh) * 2015-11-25 2020-05-22 中国航空工业集团公司沈阳飞机设计研究所 一种机械双余度电气四余度的迎角余度管理方法
CN106325148B (zh) * 2016-08-09 2019-08-09 北京精密机电控制设备研究所 一种伺服系统用转电分离控制与检测电路
CN113359657B (zh) * 2020-03-05 2024-05-17 广州汽车集团股份有限公司 Ecu诊断配置码校验方法及其系统、电子控制单元

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS63298602A (ja) * 1987-05-29 1988-12-06 Daikin Ind Ltd 空気調和装置のバックアップ装置
JPH028911A (ja) * 1988-06-27 1990-01-12 Matsushita Electric Works Ltd プログラマブルコントローラ
JPH02219101A (ja) * 1989-02-21 1990-08-31 Matsushita Electric Ind Co Ltd 出力処理装置
JP2000148216A (ja) * 1998-11-12 2000-05-26 Mitsubishi Electric Corp プラントコントローラ通信装置
JP2010262432A (ja) * 2009-05-01 2010-11-18 Mitsubishi Electric Corp 安全制御装置
JP5494255B2 (ja) * 2010-06-07 2014-05-14 富士電機株式会社 安全制御システム

Also Published As

Publication number Publication date
JP5762642B2 (ja) 2015-08-12

Similar Documents

Publication Publication Date Title
WO2014041829A1 (ja) 安全演算装置、安全入力装置、安全出力装置および安全コントローラ
US8793533B2 (en) Method and device for performing failsafe hardware-independent floating-point arithmetic
JP2006059356A (ja) 安全性関連処理のバス結合のための方法と装置
JP5762642B2 (ja) 安全演算装置、安全入力装置、安全出力装置および安全コントローラ
JP5404442B2 (ja) 安全入力装置
JP2015118468A (ja) プログラマブルコントローラ
JP5608409B2 (ja) 自己診断システム及び検査回路判定方法
JP5115101B2 (ja) フィールド装置及びフィールドバスコントローラ
US6487695B1 (en) Method for providing fail-safe secure data transmission between a numerical control system and a spatially separate unit
US6507760B1 (en) Numerical control unit with a spatially separated input device
US11982984B2 (en) Automation system for monitoring a safety-critical process
JP3883856B2 (ja) 信号処理系の故障診断方法および装置
JP7140020B2 (ja) 出力制御装置
JP2019046274A (ja) 入出力装置
JP2014119909A (ja) 通信カプラ、情報処理装置、制御方法およびプログラム
JP5906145B2 (ja) 伝送装置、伝送システム、及びその自己診断方法
CN111124418A (zh) 一种基于vcp冗余代码的通信数据超时判断方法
JP2007532992A (ja) 処理システムにおけるデータ処理中のエラー検知方法および制御システム
JP2012029250A (ja) 電子装置及び電子装置の制御方法
JP2014225110A (ja) 安全コントローラ
CN116455732A (zh) 面向列车主动安全的数据冗余传输控制方法及其系统组成
KR100775345B1 (ko) 듀얼포트 메모리의 액세스 제어장치 및 방법
JP2001034500A (ja) マイクロコンピュータ故障診断装置およびマイクロコンピュータ故障診断方法
JPH01231134A (ja) 情報処理装置の擬似障害発生方式
JP2007207093A (ja) 接点入力装置

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150512

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150609

R150 Certificate of patent or registration of utility model

Ref document number: 5762642

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250