WO2018154664A1 - Control device and control method - Google Patents

Control device and control method Download PDF

Info

Publication number
WO2018154664A1
WO2018154664A1 PCT/JP2017/006660 JP2017006660W WO2018154664A1 WO 2018154664 A1 WO2018154664 A1 WO 2018154664A1 JP 2017006660 W JP2017006660 W JP 2017006660W WO 2018154664 A1 WO2018154664 A1 WO 2018154664A1
Authority
WO
WIPO (PCT)
Prior art keywords
value
output
input
unit
failure determination
Prior art date
Application number
PCT/JP2017/006660
Other languages
French (fr)
Japanese (ja)
Inventor
寿和 加藤
努 元濱
亮 岡部
Original Assignee
三菱電機株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 三菱電機株式会社 filed Critical 三菱電機株式会社
Priority to JP2017546743A priority Critical patent/JP6271103B1/en
Priority to PCT/JP2017/006660 priority patent/WO2018154664A1/en
Publication of WO2018154664A1 publication Critical patent/WO2018154664A1/en

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment

Definitions

  • the present invention relates to a redundant system.
  • Patent Document 1 discloses a method in which a normal computing system can be selected by majority voting theory even when the outputs of duplicated computing systems do not match. Specifically, in the method of Patent Document 1, a calculation model for realizing a transfer function model from the input to the output of the arithmetic system by a program is added. And in the method of patent document 1, even if a failure occurs in one of the arithmetic systems and the outputs do not match, a normal arithmetic system is selected by the majority theory using the pseudo output output from the calculation model. be able to.
  • Patent Document 2 discloses a configuration in which each of the duplicated arithmetic systems has a self-diagnosis function.
  • one arithmetic system operates as an actual control system, and the other arithmetic system operates as a system that performs self-diagnosis.
  • the arithmetic system that operates as an actual control system and the arithmetic system that operates as a system that performs self-diagnosis are alternately switched, thereby realizing a continuous operation and an arithmetic system that has failed. It is possible to detect.
  • the main object of the present invention is to solve the above problems. More specifically, the present invention determines a normal arithmetic system with a simple hardware configuration in a method for determining whether or not a plurality of output values from a plurality of redundant arithmetic systems match.
  • the main purpose is to make it possible.
  • the control device includes: An input management unit for inputting a preset input value with a known correct output value to the plurality of operation systems when a plurality of output values from the plurality of operation systems that are made redundant do not match; A comparator that acquires a plurality of output values from the plurality of arithmetic systems for the preset input value and compares each of the acquired output values with the correct output value for the preset input value;
  • a normal computing system in a method for determining whether or not a plurality of output values from a plurality of redundant computing systems match, a normal computing system is reliably determined with a simple hardware configuration. Can do.
  • FIG. 3 is a diagram illustrating a hardware configuration example of a control device according to the first embodiment.
  • FIG. 3 is a diagram illustrating a functional configuration example of a control device according to the first embodiment.
  • 6 is a flowchart illustrating an operation example of the control device when the operation mode according to the first embodiment is a normal mode.
  • 5 is a flowchart illustrating an operation example of an input exclusion unit according to the first embodiment.
  • 5 is a flowchart showing an operation example of a failure determination activation unit according to the first embodiment.
  • 5 is a flowchart illustrating an operation example of a failure determination control unit according to the first embodiment.
  • FIG. 4 is a diagram illustrating a functional configuration example of a control device according to a second embodiment.
  • 9 is a flowchart illustrating an operation example of a data collection unit according to the second embodiment.
  • Embodiment 1 a combination of an input value and a correct output value for the input value is prepared in advance.
  • An input value with a known correct output value prepared in advance will be referred to as a preset input value hereinafter.
  • a preset input value is input to each computing system.
  • the output value from each arithmetic system is compared with the correct output value for the preset input value. As a result, it is possible to determine that the arithmetic system that has output the same output value as the correct output value is the correct arithmetic system.
  • a redundant arithmetic system will be described. That is, a configuration in which two arithmetic systems that perform the same arithmetic processing exist will be described.
  • FIG. 1 shows a hardware configuration example of the control device 100 according to the first embodiment.
  • the control device 100 has an input synchronous FPGA (Field-Programmable Gate Array) 110, a microcomputer A 120, a microcomputer B 130, and an output verification FPGA 140.
  • the control device 100 is duplicated by a microcomputer A120 and a microcomputer B130. Note that the processing performed by the control device 100 corresponds to a control method.
  • FPGA Field-Programmable Gate Array
  • the input synchronous FPGA 110 is connected using a plurality of external devices A150 (only one is shown in FIG. 1), CAN (Controller Area Network), SPI (Serial Peripheral Interface), and the like.
  • the input synchronous FPGA 110 receives the input value transmitted from the external device A150, and transmits the input value to the microcomputer A120 and the microcomputer B130 at the same timing.
  • the microcomputer A120 is hardware for performing main control processing of the control device 100.
  • the microcomputer A120 includes a CPU (Central Processing Unit) 121, a memory 122, an I / O (Input / Output) device 123, and a CAN I / O device 124.
  • the microcomputer A120 is connected to the input synchronous FPGA 110 and the output verification FPGA 140 using CAN, SPI, or the like.
  • CAN I / F 124 is arranged.
  • the microcomputer B130 is hardware for duplicating the system realized by the microcomputer A120.
  • the internal configuration of the microcomputer B130 is the same as that of the microcomputer A120. For this reason, illustration of the internal configuration of the microcomputer B130 is omitted.
  • the output verification FPGA 140 is connected to a plurality of external devices B 160 (only one is shown in FIG. 1) using CAN, SPI, or the like.
  • the output verification FPGA 140 compares the output value transmitted from the microcomputer A120 with the output value transmitted from the microcomputer B130. Then, the output verification FPGA 140 transmits one of the output values to the external device B 160 when the two output values match.
  • the input synchronous FPGA 110 and the output verification FPGA 140 are connected using CAN, SPI, or the like in order to connect an input exclusion unit 212 and a failure determination control unit 251 in FIG.
  • FIG. 2 shows a functional configuration example of the control device 100 according to the present embodiment.
  • solid arrows indicate input values (normal input values and preset input values) or output values. Dashed arrows represent information other than input values and output values.
  • the control device 100 includes an input unit 210, a subsystem A 220, a subsystem B 230, an output verification unit 240, and a failure determination unit 250.
  • the input unit 210 operates with the input synchronous FPGA 110.
  • the input unit 210 includes an input synchronization unit 211, an input exclusion unit 212, and a failure determination operation state storage unit 213.
  • the input synchronization unit 211 receives the normal input value transmitted from the external device A 150, synchronizes the timing with the input exclusion unit 212, and transmits the received normal input value to the input exclusion unit 212.
  • the input synchronization unit 211 repeatedly receives normal input values from the external device A 150 and repeatedly transmits normal input values to the input exclusion unit 212.
  • the input exclusion unit 212 receives a normal input value from the input synchronization unit 211 when the operation mode is the normal mode. Further, the input exclusion unit 212 receives the preset input value from the failure determination control unit 251 when the operation mode is the failure determination mode. The input exclusion unit 212 inputs a normal input value from the input synchronization unit 211 or a preset input value from the failure determination control unit 251 to the subsystem A 220 and the subsystem B 230.
  • the normal mode is an operation mode of the control device 100 while the output value from the subsystem A 220 and the output value from the subsystem B 230 coincide with each other.
  • the failure determination mode the output value from the subsystem A 220 and the output value from the subsystem B 230 do not coincide with each other, and the normally operating subsystem (hereinafter referred to as a normal subsystem) is determined. It is an operation mode of the control device 100 in between.
  • a procedure for determining which one of the subsystem A 220 and the subsystem B 230 is operating normally is performed.
  • a degenerate mode which will be described later, is an operation mode of the control device 100 after a normal subsystem is found.
  • the operation modes related to the input exclusion unit 212 are only the normal mode and the failure determination mode. That is, the input exclusion unit 212 switches the operation mode between the normal mode and the failure determination mode.
  • the operation mode is switched when the input exclusion unit 212 sets a value corresponding to the current operation mode in operation mode information stored in a failure determination operation state storage unit 213 described later.
  • the input exclusion unit 212 receives the failure determination mode setting request from the failure determination control unit 251, and sets the operation mode to the failure determination mode.
  • the failure mode setting request is a message that the failure determination control unit 251 requests the input exclusion unit 212 to set the operation mode to the failure determination mode.
  • the input exclusion unit 212 receives a normal mode setting request from the failure determination control unit 251 and sets the operation mode to the normal mode.
  • the normal mode setting request is a message that the failure determination control unit 251 requests the input exclusion unit 212 to set the operation mode to the normal mode.
  • the input exclusion unit 212 corresponds to an input management unit.
  • the failure determination operation state storage unit 213 stores operation mode information.
  • the operation mode information is control information indicating the current operation mode of the control device 100. Specifically, the operation mode information stored in the failure determination operation state storage unit 213 indicates a value indicating the normal mode or a value indicating the failure determination mode.
  • Subsystem A220 and Subsystem B230 are duplexed systems.
  • the same program is installed in the subsystem A220 and the subsystem B230.
  • subsystem A 220 and subsystem B 230 receive the same input value, perform arithmetic processing on the received input value, and each output an output value.
  • the subsystem A220 operates with the microcomputer A120
  • the subsystem B230 operates with the microcomputer B130.
  • Subsystem A220 and subsystem B230 each correspond to a computing system.
  • the output verification unit 240 operates with the output verification FPGA 140.
  • the output collation unit 240 includes an output collation control unit 241, a failure determination activation unit 242, and a degenerate mode operation state storage unit 243.
  • the output collation control unit 241 compares the output values transmitted from the subsystem A 220 and the subsystem B 230. When the two output values match, the output collation control unit 241 transmits one of the output values to the failure determination activation unit 242. On the other hand, if the two output values do not match, the output collation control unit 241 does not transmit any output value to the failure determination activation unit 242. Further, when the operation mode of the control device 100 is the failure determination mode, the output collation control unit 241 discards the output values transmitted from the subsystem A 220 and the subsystem B 230 without comparing them.
  • the output collation control unit 241 selects the output value of the normal subsystem and outputs the selected output value to the failure determination activation unit 242.
  • the output collation control unit 241 can determine which operation mode the control device 100 is in by receiving the current operation mode information from the failure determination activation unit 242. Further, the output verification control unit 241 can select the output value of the normal subsystem by being notified of the normal subsystem from the failure determination activation unit 242.
  • the failure determination activation unit 242 determines whether to perform failure determination according to the comparison result of the output collation control unit 241. Specifically, when the comparison result of the output collation control unit 241 notifies that the output value of the subsystem A 220 matches the output value of the subsystem B 230, the failure determination activation unit 242 It is determined not to perform the determination, and the output value transmitted from the output collation control unit 241 is transmitted to the external device B160. When the comparison result of the output collation control unit 241 notifies that the output value of the subsystem A220 and the output value of the subsystem B230 do not match, the failure determination activation unit 242 performs the failure determination. decide.
  • the failure determination activation unit 242 When performing failure determination, the failure determination activation unit 242 activates the failure determination control unit 251. Moreover, the failure determination activation unit 242 sets the operation mode to the failure determination mode. Furthermore, the failure determination activation unit 242 notifies the output collation control unit 241 that the operation mode has shifted to the failure determination mode. Further, the failure determination activation unit 242 is notified of the normal subsystem from the failure determination control unit 251. When the normal subsystem is notified, the failure determination activation unit 242 sets the operation mode to the degenerate mode. Further, the failure determination activation unit 242 notifies the output verification control unit 241 of the normal subsystem.
  • the failure determination activation unit 242 outputs the output value received from the output collation control unit 241 to the external device B 160 after the operation mode shifts to the degenerate mode. Switching of the operation mode is performed when the failure determination activation unit 242 sets a value corresponding to the current operation mode in the operation mode information stored in the degenerate mode operation state storage unit 243 described later.
  • the failure determination activation unit 242 can determine which operation mode the control device 100 is in by referring to the operation mode information in the degenerate mode operation state storage unit 243.
  • the failure determination activation unit 242 corresponds to an output management unit.
  • the degenerate mode operation state storage unit 243 stores operation mode information.
  • the operation mode information stored in the degenerate mode operation state storage unit 243 indicates a value representing the normal mode, a value representing the failure determination mode, or a value representing the degenerate mode.
  • the failure determination unit 250 operates in the output verification FPGA 140.
  • the failure determination unit 250 includes a failure determination control unit 251, a preset input value storage unit 252, and a retry count storage unit 253.
  • the failure determination control unit 251 is activated by the failure determination activation unit 242. When activated, the failure determination control unit 251 transmits a failure determination mode setting request to the input exclusion unit 212. In addition, the failure determination control unit 251 reads a set of preset input values and output values from the preset input value storage unit 252. Then, the failure determination control unit 251 transmits the preset input value to the input exclusion unit 212. When the subsystem A 220 and the subsystem B 230 perform an operation on the preset input value and an output value that is the operation result is output, the output value of the subsystem A 220 and the output value of the subsystem B 230 are set correctly. Compare with output value.
  • the failure determination control unit 251 determines that the subsystem that has output an output value that matches the correct output value is a normal subsystem. In addition, the failure determination control unit 251 notifies the failure determination activation unit 242 of the normal subsystem. If the normal subsystem cannot be determined even if the output value from the subsystem A 220 and the output value from the subsystem B 230 with respect to the preset input value are compared with the correct output value, the preset input value is repeatedly transmitted to the input exclusion unit 212. .
  • the failure determination control unit 251 reads another preset input value and output value pair from the preset input value storage unit 252, and uses the read preset input value as the input exclusion unit 212. Send to.
  • the failure determination control unit 251 determines that the output value from the subsystem A220 and the output value from the subsystem B230 both match the correct output value, or the output value from the subsystem A220 and the output value from the subsystem B230. If neither of them matches the correct output value, the normal subsystem cannot be determined.
  • the number of retries is stored in the retry number storage unit 253.
  • the failure determination control unit 251 When the number of retries reaches the upper limit value, the failure determination control unit 251 notifies the failure determination activation unit 242 that failure determination has failed. It is desirable that the preset input value be a value that can be calculated using as much hardware as possible. By doing in this way, early failure determination becomes possible.
  • the failure determination control unit 251 corresponds to a comparison unit.
  • the failure determination unit 250 is realized by the output verification FPGA 140, but the failure determination unit 250 can also be realized by using a low-cost small-scale microcomputer.
  • the input synchronization unit 211 receives a normal input value from the external device A150 (step S101).
  • the input synchronization unit 211 transmits a normal input value to the input exclusion unit 212 (step S102). Since the operation mode is the normal mode, the input exclusion unit 212 transmits the normal input value from the input synchronization unit 211 to the subsystem A 220 and the subsystem B 230 (step S102).
  • Subsystem A220 and Subsystem B230 each perform a calculation using a normal input value, and transmit an output value that is a calculation result (step S103).
  • the output collation control unit 241 compares the output value of the subsystem A220 and the output value of the subsystem B230, and transmits the comparison result to the failure determination activation unit 242 (step S104).
  • the output collation control unit 241 compares the comparison result for notifying that the two output values match and the output of the subsystem A220.
  • One of the value and the output value of the subsystem B 230 is transmitted to the failure determination activation unit 242.
  • the output collation control unit 241 sends a comparison result for notifying that the two output values do not match to the failure determination activation unit 242. Output. In this case, the output collation control unit 241 transmits neither the output value of the subsystem A 220 nor the output value of the subsystem B 230 to the failure determination activation unit 242.
  • the failure determination activation unit 242 refers to the comparison result of the output collation control unit 241, and determines whether or not failure determination is performed (step S105). Specifically, when the comparison result of the output collation control unit 241 notifies that the output value of the subsystem A 220 matches the output value of the subsystem B 230, the failure determination activation unit 242 Decide not to make a decision. Then, the failure determination activation unit 242 transmits the output value transmitted from the output collation control unit 241 to the external device B160. When the comparison result of the output collation control unit 241 notifies that the output value of the subsystem A 220 and the output value of the subsystem B 230 match, the failure determination activation unit 242 performs the failure determination. decide.
  • FIG. 4 shows an operation example of the input exclusion unit 212.
  • FIG. 5 shows an operation example of the failure determination activation unit 242.
  • FIG. 6 shows an operation example of the failure determination control unit 251. Note that the order and means of processing may be different as long as the effect obtained by the series of processing does not change.
  • the input exclusion unit 212 determines whether the received data is an input value (normal input value or preset input value) or a mode setting request (normal mode setting request or failure determination mode setting request) (step S201). . In the case of receiving an input value, the process proceeds to step S202. In the case of receiving a mode setting request, the process proceeds to step S208.
  • the input exclusion unit 212 determines whether the received input value is a normal input value or a preset input value (step S202). If the received input value is a normal input value, the process proceeds to step S203. On the other hand, if the received input value is a preset input value, the process proceeds to step S206.
  • the input exclusion unit 212 determines whether or not the current operation mode is the failure determination mode (step S203). Specifically, the input exclusion unit 212 refers to the operation mode information in the failure determination operation state storage unit 213 and determines whether or not the current operation mode is the failure determination mode. If the current operation mode is not the failure determination mode, the process proceeds to step S204. On the other hand, if the current operation mode is the failure determination mode, the process proceeds to step S205.
  • the input exclusion unit 212 transmits the received input value to both the subsystem A 220 and the subsystem B 230 (step S204).
  • the input exclusion unit 212 discards the normal input value received from the input synchronization unit 211 (step S205).
  • step S202 if the received input value is a preset input value from the failure determination control unit 251, then the input exclusion unit 212 determines whether or not the current operation mode is the failure determination mode ( Step S206). Specifically, the input exclusion unit 212 refers to the operation mode information in the failure determination operation state storage unit 213 and determines whether or not the current operation mode is the failure determination mode. If the current operation mode is not the failure determination mode, the process proceeds to step S205. On the other hand, when the current operation mode is the failure determination mode, the process proceeds to step S207.
  • the input exclusion unit 212 discards the preset input value received from the failure determination control unit 251 (step S205). On the other hand, when the current operation mode is the failure determination mode, the input exclusion unit 212 transmits the received preset input value to both the subsystem A 220 and the subsystem B 230 (step S207).
  • step S201 when the mode setting request is received, the operation mode is set to the failure determination mode or the normal mode (step S208). That is, when receiving a failure determination mode setting request, the input exclusion unit 212 sets the operation mode to the failure determination mode. When receiving the normal mode setting request, the input exclusion unit 212 sets the operation mode to the normal mode.
  • the failure determination activation unit 242 receives the comparison result from the output collation control unit 241, it determines whether or not the current operation mode is the degeneration mode (step S301). More specifically, the failure determination activation unit 242 refers to the operation mode information in the degeneration mode operation state storage unit 243 and determines whether or not the current operation mode is the degeneration mode. If the current operation mode is not the degeneration mode, the process proceeds to step S302. If the current operation mode is the degeneration mode, the process proceeds to step S307.
  • the failure determination activation unit 242 determines whether or not the comparison result transmitted from the output verification control unit 241 indicates that the two output values match (Ste S302). If the comparison result indicates that the two output results match, the process proceeds to step S303. If the comparison result indicates that the two output results do not match, the process proceeds to step S304.
  • the failure determination activation unit 242 transmits the output value received from the output collation control unit 241 to the external device B160 (step S303).
  • the failure determination activation unit 242 activates the failure determination control unit 251 in order to perform the failure determination (step S304). More specifically, the failure determination activation unit 242 transmits an activation request to the failure determination control unit 251. Further, the operation mode is set to the failure determination mode (step S304). More specifically, the failure determination activation unit 242 updates the operation mode information in the degenerate mode operation state storage unit 243 to a value indicating the failure determination mode. Furthermore, the failure determination activation unit 242 notifies the output collation control unit 241 that the operation mode has shifted to the failure determination mode. With this notification, thereafter, the output collation control unit 241 does not transmit the output value from any subsystem to the failure determination activation unit 242.
  • the failure determination activation unit 242 waits for the determination result from the failure determination control unit 251 (step S305), and when the normal subsystem is notified as the determination result of the failure determination control unit 251, the operation of the control device 100 is performed.
  • the mode is shifted to the degenerate mode (step S306). More specifically, the failure determination activation unit 242 updates the operation mode information in the degeneration mode operation state storage unit 243 to a value indicating the degeneration mode. Moreover, the failure determination activation unit 242 notifies the output verification control unit 241 of the normal subsystem. With this notification, the output collation control unit 241 transmits the output value from the normal subsystem to the failure determination activation unit 242 thereafter.
  • step S301 when the current operation mode is the degeneration mode, the output value of the normal subsystem received from the output collation control unit 241 is transmitted to the external device B160 (step S307).
  • the failure determination control unit 251 Upon receiving the activation request, the failure determination control unit 251 requests the input exclusion unit 212 to set the operation mode to the failure determination mode (step S401). More specifically, the failure determination control unit 251 transmits a failure determination mode setting request to the input exclusion unit 212.
  • the failure determination control unit 251 acquires a set of preset input values and output values from the preset input value storage unit 252 (step S402). Then, the failure determination control unit 251 transmits the acquired preset input value to the input exclusion unit 212 (step S403). Thereafter, it waits for reception of an output value from each subsystem (step S404).
  • the failure determination control unit 251 compares the two received output values with the correct output value of the preset input value (step S405).
  • the failure determination control unit 251 determines whether there is only one output value that matches the correct output value (step S406). As a result of the determination, if there is only one output value that matches the correct output value, the failure determination is successful. That is, the failure determination control unit 251 treats a subsystem that has transmitted an output value that matches a correct output value as a normal subsystem. In this case, the process proceeds to step S407. If there is not one output value that matches the correct output value (if two output values match the correct output value, neither output value matches the correct output value), the failure determination has failed. . In this case, the process proceeds to step S409.
  • the failure determination control unit 251 requests the input exclusion unit 212 to set the operation mode to the normal mode (step S407). More specifically, the failure determination control unit 251 transmits a normal mode setting request to the input exclusion unit 212. In addition, the failure determination control unit 251 notifies the failure determination activation unit 242 of the subsystem recognized as a normal subsystem (step S408).
  • the failure determination control unit 251 performs a failure determination retry. Specifically, the failure determination control unit 251 updates the number of retries stored in the retry number storage unit 253 (step S409), and determines whether or not the number of retries has reached an upper limit (step S410). . If the number of retries has reached the upper limit, the process proceeds to step S411. On the other hand, if the number of retries has not reached the upper limit, the process transitions to step S402. Then, the failure determination control unit 251 performs the processing sequence from step S402 again.
  • the failure determination control unit 251 When the number of retries reaches the upper limit value, the failure determination control unit 251 notifies the failure determination activation unit 242 of determination failure (step S411).
  • the failure determination control unit 251 gives the preset input values to the subsystems, and uses the preset input values. To each subsystem. Then, the failure determination control unit 251 compares the output value from each subsystem with the known output value to determine the subsystem that is operating normally. For this reason, in this embodiment, the high-performance hardware for executing the program for realizing the calculation model disclosed in Patent Document 1 is not necessary, and it operates normally only by adding simple hardware. The subsystem to be determined can be determined. In addition, since the failure determination control unit 251 that is a mechanism different from the subsystem that executes the calculation performs the failure determination, it is possible to reliably determine the subsystem that operates normally.
  • a redundant arithmetic system has been described as an example of a redundant arithmetic system.
  • the technique described in the present embodiment is also applicable to a redundant system with a redundancy higher than triple. Is possible.
  • the failure determination control unit 251 sets the preset input values to subsystem A, A normal subsystem can be determined by giving to each of subsystem B and subsystem C.
  • Embodiment 2 an example in which normal input values to the subsystem A 220 and the subsystem B 230 are used as preset input values when the output value from the subsystem A 220 matches the output value from the subsystem B 230 will be described. . In the present embodiment, differences from the first embodiment will be mainly described. Note that matters not described below are the same as those in the first embodiment.
  • FIG. 7 shows a functional configuration example of the control device 100 according to the second embodiment.
  • a data collection unit 254 is added as compared to the configuration of FIG.
  • the components other than the data collection unit 254 are the same as those shown in FIG. For this reason, description of components other than the data collection unit 254 is omitted.
  • the data collection unit 254 operates on the output verification FPGA 140.
  • the data collection unit 254 corresponds to a designation unit. In FIG. 7, the notation of the input synchronous FPGA 110, the microcomputer A120, the microcomputer B130, and the output verification FPGA 140 shown in FIG.
  • the data collection unit 254 collects normal input values input from the input exclusion unit 212 to the subsystem A 220 and the subsystem B 230.
  • the data collection unit 254 Specify collected normal input values as preset input values.
  • the data collection unit 254 specifies the output value for the normal input value specified as the preset input value as the correct output value for the preset input value. More specifically, the data collection unit 254 stores the normal input value in the preset input value storage unit 252, thereby designating the normal input value as the preset input value.
  • the data collection unit 254 stores the output value corresponding to the normal input value in the preset input value storage unit 252 in association with the normal input value, thereby designating the output value as a correct output value. If the number of preset input value and correct output value pairs stored in the preset input value storage unit 252 is equal to or greater than a specified number, the data collection unit 254 sets the oldest preset input value and correct output value pair. , And a set of new preset input values and correct output values is stored in the preset input value storage unit 252.
  • the failure determination control unit 251 transmits the preset input value stored in the preset input value storage unit 252 to the input exclusion unit 212 when activated by the failure determination activation unit 242.
  • the failure determination control unit 251 inputs the input value specified as the preset input value by the data collection unit 254 (the input stored in the preset input value storage unit 252 as the preset input value by the data collection unit 254). Value) to the input exclusion unit 212.
  • the failure determination control unit 251 compares the output value of the subsystem A 220 and the output value of the subsystem B 230 with the correct output value of the preset input value.
  • the failure determination control unit 251 outputs the output value specified as the correct output value by the data collection unit 254 (the output stored in the preset input value storage unit 252 as the correct output value by the data collection unit 254). Value).
  • the input exclusion unit 212 inputs the preset input value from the failure determination control unit 251 to the subsystem A 220 and the subsystem B 230. However, in the present embodiment, the input exclusion unit 212 inputs the input value designated as the preset input value by the data collection unit 254 to the subsystem A 220 and the subsystem B 230.
  • the data collection unit 254 receives normal input values input from the input exclusion unit 212 to the subsystem A 220 and the subsystem B 230 (step S501). The data collection unit 254 stores the received normal input value in the temporary storage area.
  • the data collection unit 254 receives the comparison result from the output collation control unit 241 (step S502).
  • the data collection unit 254 refers to the comparison result and determines whether or not the output value of the subsystem A 220 matches the output value of the subsystem B 230 (step S503). If the output value of subsystem A 220 matches the output value of subsystem B 230, the process transitions to step S504. On the other hand, if the output value of the subsystem A 220 does not match the output value of the subsystem B 230, the process transitions to step S505. Note that if the output value of the subsystem A 220 matches the output value of the subsystem B 230, the data collection unit 254 selects either the output value of the subsystem A 220 or the output value of the subsystem B 230 in step S502. Are received from the output collation control unit 241 together with the comparison result.
  • the data collection unit 254 sets the combination of the normal input value stored in the temporary storage area and the output value received in step S502. Is stored in the preset input value storage unit 252 (step S504). On the other hand, if the output value of the subsystem A 220 does not match the output value of the subsystem B 230, the data collection unit 254 discards the normal input value stored in the temporary storage area (step S505).
  • 100 control device 110 input synchronous FPGA, 120 microcomputer A, 121 CPU, 122 memory, 123 I / O device, 124 CAN I / O device, 130 microcomputer B, 140 output verification FPGA, 150 external device A, 160 external Device B, 210 input unit, 211 input synchronization unit, 212 input exclusion unit, 213 failure determination operation state storage unit, 220 subsystem A, 230 subsystem B, 240 output verification unit, 241 output verification control unit, 242 failure determination activation Unit, 243 degeneration mode operation state storage unit, 250 failure determination unit, 251 failure determination control unit, 252 preset input value storage unit, 253 retry number storage unit, 254 data collection unit.

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Mechanical Engineering (AREA)
  • Hardware Redundancy (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)

Abstract

An input exclusion unit (212) inputs a preset input value to a plurality of subsystems that are configured to have redundancy, if two or more of these subsystems produce different output values, wherein a correct output value associated with the preset input value is already known. A failure determination control unit (251) acquires a plurality of output values produced by the plurality of subsystems when the preset input value is input to the plurality of subsystems, and compares each of the acquired plurality of output values with the known correct output value associated with the preset input value.

Description

制御装置及び制御方法Control apparatus and control method
 本発明は、冗長化されたシステムに関する。 The present invention relates to a redundant system.
 車載制御装置に代表されるような高い信頼性が要求されるシステムにおいては、演算システム(マイクロコンピュータ等)を二重化し、一方の演算システムが故障した場合に、他方の正常な演算システムのみで演算を継続する技術が用いられる。そのような二重化システムにおいては、故障した演算システムを判定するために、故障診断を行うための機能が必須となる。特に、両方の演算システムで同じプログラムを常時動作させ、両方の演算システムからの出力が一致するか否かを確認する方式の場合、出力の不一致が発生した際にどちらの演算システムが故障したのかを判定することが必要である。 In systems that require high reliability, such as in-vehicle control devices, if a computing system (such as a microcomputer) is duplicated and one of the computing systems fails, computation is performed only with the other normal computing system. The technology that continues is used. In such a duplex system, a function for performing failure diagnosis is essential to determine a failed arithmetic system. In particular, in the case of a method in which the same program is always operated on both computing systems to check whether the outputs from both computing systems match, which computing system failed when an output mismatch occurred? It is necessary to determine
 例えば、特許文献1では、二重化された演算システムの出力が不一致の場合にも、多数決理論で正常な演算システムが選択可能な方法が開示されている。具体的には、特許文献1の方法では、演算システムの入力から出力への伝達関数モデルをプログラムにより実現する計算モデルが追加される。そして、特許文献1の方法では、いずれかの演算システムで故障が発生し、出力が不一致となった場合でも、計算モデルから出力される疑似出力を用いた多数決理論で正常な演算システムを選択することができる。
 また、特許文献2では、二重化された演算システムの各々が自己診断機能を有する構成が開示されている。特許文献2の構成では、一方の演算システムが実制御システムとして動作し、他方の演算システムが自己診断を行うシステムとして動作する。そして、特許文献2の構成では、実制御システムとして動作する演算システムと自己診断を行うシステムとして動作する演算システムを交互に切り替えることで、連続した運転を実現しつつ、故障が発生した演算システムを検知することが可能である。
For example, Patent Document 1 discloses a method in which a normal computing system can be selected by majority voting theory even when the outputs of duplicated computing systems do not match. Specifically, in the method of Patent Document 1, a calculation model for realizing a transfer function model from the input to the output of the arithmetic system by a program is added. And in the method of patent document 1, even if a failure occurs in one of the arithmetic systems and the outputs do not match, a normal arithmetic system is selected by the majority theory using the pseudo output output from the calculation model. be able to.
Patent Document 2 discloses a configuration in which each of the duplicated arithmetic systems has a self-diagnosis function. In the configuration of Patent Document 2, one arithmetic system operates as an actual control system, and the other arithmetic system operates as a system that performs self-diagnosis. In the configuration of Patent Document 2, the arithmetic system that operates as an actual control system and the arithmetic system that operates as a system that performs self-diagnosis are alternately switched, thereby realizing a continuous operation and an arithmetic system that has failed. It is possible to detect.
特開2006-228002号公報JP 2006-228002 A 国際公報WO2011/074147号International publication WO2011 / 074147
 特許文献1の方法においては、二重化するシステムをソフトウェアだけでなくハードウェアも含めてモデル化する必要がある。このため、特許文献1の方法では、二重化するシステムの特にハードウェア構成が複雑になるほど、計算モデルの規模が大きくなってしまう。従って、計算モデルを実現するプログラムを実行するために、二重化するシステムよりも高性能のハードウェア(マイクロコンピュータ等)が必要になるという課題がある。
 特許文献2の方法では、一方の演算システムが実制御システムとして動作し、他方の演算システムが自己診断を行うシステムとして動作する。このため、特許文献2の方法では、両方の演算システムで同じプログラムを常時動作させ、両方の演算システムの出力が一致するか否かを確認することができない。また、特許文献2の方法では、演算システムが自己診断を行う。このため、特許文献2の方法では、演算システムのハードウェアが故障した場合には自己診断機能も影響を受け、正しい診断ができず、高い信頼性を保証することができないという課題がある。
In the method of Patent Document 1, it is necessary to model a duplex system including not only software but also hardware. For this reason, in the method of Patent Document 1, the scale of the calculation model becomes larger as the hardware configuration of the duplexed system becomes more complicated. Therefore, in order to execute a program for realizing a calculation model, there is a problem that hardware (such as a microcomputer) having higher performance than a duplex system is required.
In the method of Patent Document 2, one arithmetic system operates as an actual control system, and the other arithmetic system operates as a system that performs self-diagnosis. For this reason, in the method of Patent Document 2, the same program is always operated in both arithmetic systems, and it cannot be confirmed whether or not the outputs of both arithmetic systems match. Moreover, in the method of patent document 2, an arithmetic system performs a self-diagnosis. For this reason, the method of Patent Document 2 has a problem that when the hardware of the arithmetic system fails, the self-diagnosis function is also affected, so that a correct diagnosis cannot be performed and high reliability cannot be guaranteed.
 本発明は、上記の課題を解決することを主な目的とする。より具体的には、本発明は、冗長化されている複数の演算システムからの複数の出力値が一致するか否かを判定する方式において、簡素なハードウェア構成により、正常な演算システムを判定できるようにすることを主な目的とする。 The main object of the present invention is to solve the above problems. More specifically, the present invention determines a normal arithmetic system with a simple hardware configuration in a method for determining whether or not a plurality of output values from a plurality of redundant arithmetic systems match. The main purpose is to make it possible.
 本発明に係る制御装置は、
 冗長化されている複数の演算システムからの複数の出力値が不一致の場合に、正しい出力値が既知であるプリセット入力値を前記複数の演算システムに入力する入力管理部と、
 前記プリセット入力値に対する前記複数の演算システムからの複数の出力値を取得し、取得した前記複数の出力値の各々と、前記プリセット入力値に対する前記正しい出力値とを比較する比較部とを有する。
The control device according to the present invention includes:
An input management unit for inputting a preset input value with a known correct output value to the plurality of operation systems when a plurality of output values from the plurality of operation systems that are made redundant do not match;
A comparator that acquires a plurality of output values from the plurality of arithmetic systems for the preset input value and compares each of the acquired output values with the correct output value for the preset input value;
 本発明によれば、冗長化されている複数の演算システムからの複数の出力値が一致するか否かを判定する方式において、簡素なハードウェア構成により、確実に正常な演算システムを判定することができる。 According to the present invention, in a method for determining whether or not a plurality of output values from a plurality of redundant computing systems match, a normal computing system is reliably determined with a simple hardware configuration. Can do.
実施の形態1に係る制御装置のハードウェア構成例を示す図。FIG. 3 is a diagram illustrating a hardware configuration example of a control device according to the first embodiment. 実施の形態1に係る制御装置の機能構成例を示す図。FIG. 3 is a diagram illustrating a functional configuration example of a control device according to the first embodiment. 実施の形態1に係る動作モードが通常モードである場合の制御装置の動作例を示すフローチャート。6 is a flowchart illustrating an operation example of the control device when the operation mode according to the first embodiment is a normal mode. 実施の形態1に係る入力排他部の動作例を示すフローチャート。5 is a flowchart illustrating an operation example of an input exclusion unit according to the first embodiment. 実施の形態1に係る故障判定起動部の動作例を示すフローチャート。5 is a flowchart showing an operation example of a failure determination activation unit according to the first embodiment. 実施の形態1に係る故障判定制御部の動作例を示すフローチャート。5 is a flowchart illustrating an operation example of a failure determination control unit according to the first embodiment. 実施の形態2に係る制御装置の機能構成例を示す図。FIG. 4 is a diagram illustrating a functional configuration example of a control device according to a second embodiment. 実施の形態2に係るデータ収集部の動作例を示すフローチャート。9 is a flowchart illustrating an operation example of a data collection unit according to the second embodiment.
 以下、本発明の実施の形態について、図を用いて説明する。以下の実施の形態の説明及び図面において、同一の符号を付したものは、同一の部分又は相当する部分を示す。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. In the following description of the embodiments and drawings, the same reference numerals denote the same or corresponding parts.
 実施の形態1.
 本実施の形態では、入力値と当該入力値に対する正しい出力値の組合せを事前に準備しておく。なお、事前に準備しておく、正しい出力値が既知の入力値は、以下、プリセット入力値という。そして、本実施の形態では、冗長化された複数の演算システムの出力値が不一致になった場合に、プリセット入力値が各演算システムに入力される。更に、本実施の形態では、各演算システムからの出力値とプリセット入力値に対する正しい出力値とが比較される。この結果、正しい出力値と同じ出力値を出力した演算システムが正しい演算システムであると判定することができる。
 なお、以下では、冗長化された演算システムの例として、二重化された演算システムを説明する。つまり、同一の演算処理を行う演算システムが二つ存在する構成を説明する。
Embodiment 1 FIG.
In this embodiment, a combination of an input value and a correct output value for the input value is prepared in advance. An input value with a known correct output value prepared in advance will be referred to as a preset input value hereinafter. In this embodiment, when the output values of a plurality of redundant computing systems do not match, a preset input value is input to each computing system. Further, in the present embodiment, the output value from each arithmetic system is compared with the correct output value for the preset input value. As a result, it is possible to determine that the arithmetic system that has output the same output value as the correct output value is the correct arithmetic system.
In the following, as an example of a redundant arithmetic system, a redundant arithmetic system will be described. That is, a configuration in which two arithmetic systems that perform the same arithmetic processing exist will be described.
***構成の説明***
 図1は、本実施の形態1に係る制御装置100のハードウェア構成例を示す。
 図1に示すように、制御装置100は入力同期FPGA(Field-Programmable Gate Array)110、マイクロコンピュータA120、マイクロコンピュータB130、及び出力照合FPGA140を持つ。制御装置100は、マイクロコンピュータA120、マイクロコンピュータB130により二重化されている。
 なお、制御装置100により行われる処理は、制御方法に相当する。
*** Explanation of configuration ***
FIG. 1 shows a hardware configuration example of the control device 100 according to the first embodiment.
As shown in FIG. 1, the control device 100 has an input synchronous FPGA (Field-Programmable Gate Array) 110, a microcomputer A 120, a microcomputer B 130, and an output verification FPGA 140. The control device 100 is duplicated by a microcomputer A120 and a microcomputer B130.
Note that the processing performed by the control device 100 corresponds to a control method.
 入力同期FPGA110は、複数の外部装置A150(図1では1つのみ記載)とCAN(Controller Area Network)、SPI(Serial Peripheral Interface)などを用いて接続される。入力同期FPGA110は、外部装置A150から送信された入力値を受信し、マイクロコンピュータA120及びマイクロコンピュータB130に、タイミングを合わせて入力値の送信を行う。 The input synchronous FPGA 110 is connected using a plurality of external devices A150 (only one is shown in FIG. 1), CAN (Controller Area Network), SPI (Serial Peripheral Interface), and the like. The input synchronous FPGA 110 receives the input value transmitted from the external device A150, and transmits the input value to the microcomputer A120 and the microcomputer B130 at the same timing.
 マイクロコンピュータA120は、制御装置100のメインの制御処理を行うためのハードウェアである。マイクロコンピュータA120は、CPU(Central Processing Unit)121、メモリ122、I/O(Input/Output)デバイス123、CAN I/Oデバイス124で構成される。
 マイクロコンピュータA120は、入力同期FPGA110と出力照合FPGA140と、CAN、SPIなどを用いて接続される。図1では、マイクロコンピュータA120がCANで入力同期FPGA110と出力照合FPGA140と接続される構成を想定しているため、CAN I/F124が配置されている。
 マイクロコンピュータB130は、マイクロコンピュータA120で実現されるシステムの二重化のためのハードウェアである。マイクロコンピュータB130の内部構成はマイクロコンピュータA120と同じである。このため、マイクロコンピュータB130の内部構成の図示は省略している。
The microcomputer A120 is hardware for performing main control processing of the control device 100. The microcomputer A120 includes a CPU (Central Processing Unit) 121, a memory 122, an I / O (Input / Output) device 123, and a CAN I / O device 124.
The microcomputer A120 is connected to the input synchronous FPGA 110 and the output verification FPGA 140 using CAN, SPI, or the like. In FIG. 1, since it is assumed that the microcomputer A120 is connected to the input synchronous FPGA 110 and the output verification FPGA 140 by CAN, the CAN I / F 124 is arranged.
The microcomputer B130 is hardware for duplicating the system realized by the microcomputer A120. The internal configuration of the microcomputer B130 is the same as that of the microcomputer A120. For this reason, illustration of the internal configuration of the microcomputer B130 is omitted.
 出力照合FPGA140は、複数の外部装置B160(図1では1つのみ記載)とCAN、SPIなどを用いて接続される。出力照合FPGA140は、マイクロコンピュータA120から送信される出力値とマイクロコンピュータB130から送信される出力値を比較する。そして、出力照合FPGA140は、二つの出力値が一致している場合に、いずれかの出力値を外部装置B160に送信する。
 また、入力同期FPGA110と出力照合FPGA140は、後述する図2の入力排他部212と故障判定制御部251とを接続するために、CAN、SPIなどを用いて接続される。
The output verification FPGA 140 is connected to a plurality of external devices B 160 (only one is shown in FIG. 1) using CAN, SPI, or the like. The output verification FPGA 140 compares the output value transmitted from the microcomputer A120 with the output value transmitted from the microcomputer B130. Then, the output verification FPGA 140 transmits one of the output values to the external device B 160 when the two output values match.
Further, the input synchronous FPGA 110 and the output verification FPGA 140 are connected using CAN, SPI, or the like in order to connect an input exclusion unit 212 and a failure determination control unit 251 in FIG.
 図2は、本実施の形態に係る制御装置100の機能構成例を示す。なお、図2において、実線の矢印は入力値(通常の入力値及びプリセット入力値)又は出力値を表す。破線の矢印は、入力値及び出力値以外の情報を表す。
 図2において、制御装置100は、入力部210、サブシステムA220、サブシステムB230、出力照合部240、故障判定部250から構成される。
FIG. 2 shows a functional configuration example of the control device 100 according to the present embodiment. In FIG. 2, solid arrows indicate input values (normal input values and preset input values) or output values. Dashed arrows represent information other than input values and output values.
In FIG. 2, the control device 100 includes an input unit 210, a subsystem A 220, a subsystem B 230, an output verification unit 240, and a failure determination unit 250.
 入力部210は、入力同期FPGA110にて動作する。入力部210は、入力同期部211と入力排他部212と故障判定動作状態記憶部213で構成される。 The input unit 210 operates with the input synchronous FPGA 110. The input unit 210 includes an input synchronization unit 211, an input exclusion unit 212, and a failure determination operation state storage unit 213.
 入力同期部211は、外部装置A150から送信された通常の入力値を受信し、入力排他部212とタイミングを同期し、受信した通常の入力値を入力排他部212に送信する。入力同期部211は、外部装置A150から繰り返し通常の入力値を受信し、入力排他部212に繰り返し通常の入力値を送信する。 The input synchronization unit 211 receives the normal input value transmitted from the external device A 150, synchronizes the timing with the input exclusion unit 212, and transmits the received normal input value to the input exclusion unit 212. The input synchronization unit 211 repeatedly receives normal input values from the external device A 150 and repeatedly transmits normal input values to the input exclusion unit 212.
 入力排他部212は、動作モードが通常モードである場合に、入力同期部211から通常の入力値を受信する。また、入力排他部212は、動作モードが故障判定モードの場合に、故障判定制御部251からプリセット入力値を受信する。入力排他部212は、入力同期部211からの通常の入力値又は故障判定制御部251からのプリセット入力値をサブシステムA220及びサブシステムB230に入力する。
 通常モードは、サブシステムA220からの出力値とサブシステムB230からの出力値とが一致している間の制御装置100の動作モードである。故障判定モードは、サブシステムA220からの出力値とサブシステムB230からの出力値とが不一致となってから、正常に動作していているサブシステム(以下、正常サブシステムという)が判明するまでの間の制御装置100の動作モードである。故障判定モードでは、サブシステムA220及びサブシステムB230のうち、どちらのサブシステムが正常に動作しているかを判定する手順が行われる。後述する縮退モードは、正常サブシステムが判明した後の制御装置100の動作モードである。
 入力排他部212が関係する動作モードは、正常モードと故障判定モードのみである。つまり、入力排他部212は、動作モードを、正常モードと故障判定モードの間で切り替える。なお、動作モードの切り替えは、後述する故障判定動作状態記憶部213で記憶されている動作モード情報に、入力排他部212が現在の動作モードに対応する値を設定することにより行われる。
 サブシステムA220からの出力値とサブシステムB230からの出力値が不一致になった際に、入力排他部212は、故障判定制御部251から故障判定モード設定要求を受信し、動作モードを故障判定モードに設定する。故障モード設定要求は、故障判定制御部251が入力排他部212に動作モードを故障判定モードに設定するよう要求するメッセージである。また、正常サブシステムが判明した後に、入力排他部212は、故障判定制御部251から正常モード設定要求を受信し、動作モードを正常モードに設定する。通常モード設定要求は、故障判定制御部251が入力排他部212に動作モードを通常モードに設定するよう要求するメッセージである。
 なお、入力排他部212は、入力管理部に相当する。
The input exclusion unit 212 receives a normal input value from the input synchronization unit 211 when the operation mode is the normal mode. Further, the input exclusion unit 212 receives the preset input value from the failure determination control unit 251 when the operation mode is the failure determination mode. The input exclusion unit 212 inputs a normal input value from the input synchronization unit 211 or a preset input value from the failure determination control unit 251 to the subsystem A 220 and the subsystem B 230.
The normal mode is an operation mode of the control device 100 while the output value from the subsystem A 220 and the output value from the subsystem B 230 coincide with each other. In the failure determination mode, the output value from the subsystem A 220 and the output value from the subsystem B 230 do not coincide with each other, and the normally operating subsystem (hereinafter referred to as a normal subsystem) is determined. It is an operation mode of the control device 100 in between. In the failure determination mode, a procedure for determining which one of the subsystem A 220 and the subsystem B 230 is operating normally is performed. A degenerate mode, which will be described later, is an operation mode of the control device 100 after a normal subsystem is found.
The operation modes related to the input exclusion unit 212 are only the normal mode and the failure determination mode. That is, the input exclusion unit 212 switches the operation mode between the normal mode and the failure determination mode. The operation mode is switched when the input exclusion unit 212 sets a value corresponding to the current operation mode in operation mode information stored in a failure determination operation state storage unit 213 described later.
When the output value from the subsystem A 220 does not match the output value from the subsystem B 230, the input exclusion unit 212 receives the failure determination mode setting request from the failure determination control unit 251, and sets the operation mode to the failure determination mode. Set to. The failure mode setting request is a message that the failure determination control unit 251 requests the input exclusion unit 212 to set the operation mode to the failure determination mode. Further, after the normal subsystem is determined, the input exclusion unit 212 receives a normal mode setting request from the failure determination control unit 251 and sets the operation mode to the normal mode. The normal mode setting request is a message that the failure determination control unit 251 requests the input exclusion unit 212 to set the operation mode to the normal mode.
The input exclusion unit 212 corresponds to an input management unit.
 故障判定動作状態記憶部213は、動作モード情報を記憶する。動作モード情報は、制御装置100の現在の動作モードを示す制御情報である。具体的には、故障判定動作状態記憶部213が記憶する動作モード情報には、通常モードを表す値又は故障判定モードを表す値が示される。 The failure determination operation state storage unit 213 stores operation mode information. The operation mode information is control information indicating the current operation mode of the control device 100. Specifically, the operation mode information stored in the failure determination operation state storage unit 213 indicates a value indicating the normal mode or a value indicating the failure determination mode.
 サブシステムA220とサブシステムB230は、二重化されたシステムである。サブシステムA220とサブシステムB230には、同じプログラムが搭載されている。そして、サブシステムA220とサブシステムB230は、同じ入力値を受信し、受信した入力値に対して演算処理を行い、各々出力値を出力する。サブシステムA220は、マイクロコンピュータA120で動作し、サブシステムB230は、マイクロコンピュータB130で動作する。サブシステムA220とサブシステムB230は、各々演算システムに相当する。 Subsystem A220 and Subsystem B230 are duplexed systems. The same program is installed in the subsystem A220 and the subsystem B230. Then, subsystem A 220 and subsystem B 230 receive the same input value, perform arithmetic processing on the received input value, and each output an output value. The subsystem A220 operates with the microcomputer A120, and the subsystem B230 operates with the microcomputer B130. Subsystem A220 and subsystem B230 each correspond to a computing system.
 出力照合部240は、出力照合FPGA140にて動作する。出力照合部240は、出力照合制御部241と故障判定起動部242と縮退モード動作状態記憶部243で構成される。 The output verification unit 240 operates with the output verification FPGA 140. The output collation unit 240 includes an output collation control unit 241, a failure determination activation unit 242, and a degenerate mode operation state storage unit 243.
 出力照合制御部241は、制御装置100の動作モードが通常モードであれば、サブシステムA220とサブシステムB230から送信される出力値を比較する。二つの出力値が一致している場合は、出力照合制御部241は、いずれかの出力値を故障判定起動部242へ送信する。一方、二つの出力値が不一致の場合は、出力照合制御部241は、いずれの出力値も故障判定起動部242に送信しない。
 また、出力照合制御部241は、制御装置100の動作モードが故障判定モードであれば、サブシステムA220とサブシステムB230から送信される出力値を比較せずに破棄する。
 また、出力照合制御部241は、制御装置100の動作モードが縮退モードであれば、正常サブシステムの出力値を選択して、選択した出力値を故障判定起動部242に出力する。
 出力照合制御部241は、故障判定起動部242から現在の動作モード情報を通知されることにより、制御装置100がどの動作モードにあるかを判定することができる。また、出力照合制御部241は、故障判定起動部242から正常サブシステムを通知されることにより、正常サブシステムの出力値を選択することができる。
When the operation mode of the control device 100 is the normal mode, the output collation control unit 241 compares the output values transmitted from the subsystem A 220 and the subsystem B 230. When the two output values match, the output collation control unit 241 transmits one of the output values to the failure determination activation unit 242. On the other hand, if the two output values do not match, the output collation control unit 241 does not transmit any output value to the failure determination activation unit 242.
Further, when the operation mode of the control device 100 is the failure determination mode, the output collation control unit 241 discards the output values transmitted from the subsystem A 220 and the subsystem B 230 without comparing them.
Further, when the operation mode of the control device 100 is the degenerate mode, the output collation control unit 241 selects the output value of the normal subsystem and outputs the selected output value to the failure determination activation unit 242.
The output collation control unit 241 can determine which operation mode the control device 100 is in by receiving the current operation mode information from the failure determination activation unit 242. Further, the output verification control unit 241 can select the output value of the normal subsystem by being notified of the normal subsystem from the failure determination activation unit 242.
 故障判定起動部242は、制御装置100の動作モードが通常モードであれば、出力照合制御部241の比較結果に応じて、故障判定を行うか否かを決定する。具体的には、出力照合制御部241の比較結果が、サブシステムA220の出力値とサブシステムB230の出力値が一致していることを通知している場合は、故障判定起動部242は、故障判定を行わないことを決定し、出力照合制御部241から送信された出力値を外部装置B160に送信する。出力照合制御部241の比較結果が、サブシステムA220の出力値とサブシステムB230の出力値が一致していないことを通知している場合は、故障判定起動部242は、故障判定を行うことを決定する。故障判定を行う場合は、故障判定起動部242は、故障判定制御部251を起動する。また、故障判定起動部242は、動作モードを故障判定モードに設定する。更に、故障判定起動部242は、出力照合制御部241に、動作モードが故障判定モードに移行したことを通知する。
 また、故障判定起動部242は、故障判定制御部251から正常サブシステムが通知される。故障判定起動部242は、正常サブシステムが通知されると、動作モードを縮退モードに設定する。更に、故障判定起動部242は、出力照合制御部241に正常サブシステムを通知する。また、故障判定起動部242は、動作モードが縮退モードに移行した後に、出力照合制御部241から受信した出力値を外部装置B160に出力する。
 動作モードの切り替えは、後述する縮退モード動作状態記憶部243で記憶されている動作モード情報に、故障判定起動部242が現在の動作モードに対応する値を設定することにより行われる。
 故障判定起動部242は、縮退モード動作状態記憶部243の動作モード情報を参照することで、制御装置100がどの動作モードにあるかを判定することができる。
 なお、故障判定起動部242は、出力管理部に相当する。
If the operation mode of the control device 100 is the normal mode, the failure determination activation unit 242 determines whether to perform failure determination according to the comparison result of the output collation control unit 241. Specifically, when the comparison result of the output collation control unit 241 notifies that the output value of the subsystem A 220 matches the output value of the subsystem B 230, the failure determination activation unit 242 It is determined not to perform the determination, and the output value transmitted from the output collation control unit 241 is transmitted to the external device B160. When the comparison result of the output collation control unit 241 notifies that the output value of the subsystem A220 and the output value of the subsystem B230 do not match, the failure determination activation unit 242 performs the failure determination. decide. When performing failure determination, the failure determination activation unit 242 activates the failure determination control unit 251. Moreover, the failure determination activation unit 242 sets the operation mode to the failure determination mode. Furthermore, the failure determination activation unit 242 notifies the output collation control unit 241 that the operation mode has shifted to the failure determination mode.
Further, the failure determination activation unit 242 is notified of the normal subsystem from the failure determination control unit 251. When the normal subsystem is notified, the failure determination activation unit 242 sets the operation mode to the degenerate mode. Further, the failure determination activation unit 242 notifies the output verification control unit 241 of the normal subsystem. Further, the failure determination activation unit 242 outputs the output value received from the output collation control unit 241 to the external device B 160 after the operation mode shifts to the degenerate mode.
Switching of the operation mode is performed when the failure determination activation unit 242 sets a value corresponding to the current operation mode in the operation mode information stored in the degenerate mode operation state storage unit 243 described later.
The failure determination activation unit 242 can determine which operation mode the control device 100 is in by referring to the operation mode information in the degenerate mode operation state storage unit 243.
The failure determination activation unit 242 corresponds to an output management unit.
 縮退モード動作状態記憶部243は、動作モード情報を記憶する。縮退モード動作状態記憶部243が記憶する動作モード情報には、通常モードを表す値、故障判定モードを表す値又は縮退モードを表す値が示される。 The degenerate mode operation state storage unit 243 stores operation mode information. The operation mode information stored in the degenerate mode operation state storage unit 243 indicates a value representing the normal mode, a value representing the failure determination mode, or a value representing the degenerate mode.
 故障判定部250は、出力照合FPGA140にて動作する。
 故障判定部250は、故障判定制御部251とプリセット入力値記憶部252とリトライ回数記憶部253で構成される。
The failure determination unit 250 operates in the output verification FPGA 140.
The failure determination unit 250 includes a failure determination control unit 251, a preset input value storage unit 252, and a retry count storage unit 253.
 故障判定制御部251は、故障判定起動部242により起動される。故障判定制御部251は、起動すると、入力排他部212に故障判定モード設定要求を送信する。また、故障判定制御部251は、プリセット入力値記憶部252からプリセット入力値と出力値との組を読み出す。そして、故障判定制御部251は、プリセット入力値を入力排他部212に送信する。サブシステムA220及びサブシステムB230がプリセット入力値に対して演算を行い、演算結果である出力値が出力されると、サブシステムA220の出力値とサブシステムB230の出力値を、プリセット入力値の正しい出力値と比較する。そして、故障判定制御部251は、正しい出力値と一致する出力値を出力したサブシステムを正常サブシステムと判定する。また、故障判定制御部251は、正常サブシステムを故障判定起動部242に通知する。
 プリセット入力値に対するサブシステムA220からの出力値とサブシステムB230からの出力値を正しい出力値と比較しても、正常サブシステムを判定できない場合は、繰り返しプリセット入力値を入力排他部212に送信する。つまり、リトライ回数が上限値に達していなければ、故障判定制御部251は、プリセット入力値記憶部252から別のプリセット入力値と出力値の組を読み出し、読み出したプリセット入力値を入力排他部212に送信する。故障判定制御部251は、サブシステムA220からの出力値とサブシステムB230からの出力値がどちらも正しい出力値に一致する場合、又は、サブシステムA220からの出力値とサブシステムB230からの出力値がどちらも正しい出力値に一致しない場合は、正常サブシステムを判定することができない。
 リトライ回数は、リトライ回数記憶部253で記憶される。リトライ回数が上限値に達した場合は、故障判定制御部251は、故障判定に失敗したことを故障判定起動部242に通知する。
 なお、プリセット入力値は、可能な限り多くのハードウェアを使用する演算が可能な値とすることが望ましい。このようにすることで、早期の故障判定が可能となる。
 故障判定制御部251は、比較部に相当する。
The failure determination control unit 251 is activated by the failure determination activation unit 242. When activated, the failure determination control unit 251 transmits a failure determination mode setting request to the input exclusion unit 212. In addition, the failure determination control unit 251 reads a set of preset input values and output values from the preset input value storage unit 252. Then, the failure determination control unit 251 transmits the preset input value to the input exclusion unit 212. When the subsystem A 220 and the subsystem B 230 perform an operation on the preset input value and an output value that is the operation result is output, the output value of the subsystem A 220 and the output value of the subsystem B 230 are set correctly. Compare with output value. Then, the failure determination control unit 251 determines that the subsystem that has output an output value that matches the correct output value is a normal subsystem. In addition, the failure determination control unit 251 notifies the failure determination activation unit 242 of the normal subsystem.
If the normal subsystem cannot be determined even if the output value from the subsystem A 220 and the output value from the subsystem B 230 with respect to the preset input value are compared with the correct output value, the preset input value is repeatedly transmitted to the input exclusion unit 212. . That is, if the number of retries has not reached the upper limit value, the failure determination control unit 251 reads another preset input value and output value pair from the preset input value storage unit 252, and uses the read preset input value as the input exclusion unit 212. Send to. The failure determination control unit 251 determines that the output value from the subsystem A220 and the output value from the subsystem B230 both match the correct output value, or the output value from the subsystem A220 and the output value from the subsystem B230. If neither of them matches the correct output value, the normal subsystem cannot be determined.
The number of retries is stored in the retry number storage unit 253. When the number of retries reaches the upper limit value, the failure determination control unit 251 notifies the failure determination activation unit 242 that failure determination has failed.
It is desirable that the preset input value be a value that can be calculated using as much hardware as possible. By doing in this way, early failure determination becomes possible.
The failure determination control unit 251 corresponds to a comparison unit.
 なお、ここでは、故障判定部250は出力照合FPGA140にて実現することとしているが、故障判定部250を、低コストの小規模マイクロコンピュータを用いて実現することも可能である。 Here, the failure determination unit 250 is realized by the output verification FPGA 140, but the failure determination unit 250 can also be realized by using a low-cost small-scale microcomputer.
***動作の説明***
 次に、動作モードが通常モードである場合の制御装置100の動作例を図3を用いて説明する。
*** Explanation of operation ***
Next, an operation example of the control device 100 when the operation mode is the normal mode will be described with reference to FIG.
 最初に、入力同期部211が、外部装置A150から通常の入力値を受信する(ステップS101)。 First, the input synchronization unit 211 receives a normal input value from the external device A150 (step S101).
 次に、入力同期部211は、通常の入力値を入力排他部212に送信する(ステップS102)。入力排他部212は、動作モードが通常モードであるであるため、入力同期部211からの通常の入力値を、サブシステムA220とサブシステムB230に送信する(ステップS102)。 Next, the input synchronization unit 211 transmits a normal input value to the input exclusion unit 212 (step S102). Since the operation mode is the normal mode, the input exclusion unit 212 transmits the normal input value from the input synchronization unit 211 to the subsystem A 220 and the subsystem B 230 (step S102).
 サブシステムA220とサブシステムB230は、各々、通常の入力値を用いた演算を行い、演算結果である出力値を送信する(ステップS103)。 Subsystem A220 and Subsystem B230 each perform a calculation using a normal input value, and transmit an output value that is a calculation result (step S103).
 次に、出力照合制御部241は、サブシステムA220の出力値とサブシステムB230の出力値とを比較し、比較結果を故障判定起動部242に送信する(ステップS104)。
 サブシステムA220の出力値とサブシステムB230の出力値が一致している場合は、出力照合制御部241は、二つの出力値が一致していることを通知する比較結果と、サブシステムA220の出力値とサブシステムB230の出力値のうちのいずれかを、故障判定起動部242に送信する。
 サブシステムA220の出力値とサブシステムB230の出力値が一致していない場合は、出力照合制御部241は、二つの出力値が一致していないことを通知する比較結果を故障判定起動部242に出力する。この場合は、出力照合制御部241は、サブシステムA220の出力値とサブシステムB230の出力値のいずれも、故障判定起動部242に送信しない。
Next, the output collation control unit 241 compares the output value of the subsystem A220 and the output value of the subsystem B230, and transmits the comparison result to the failure determination activation unit 242 (step S104).
When the output value of the subsystem A220 matches the output value of the subsystem B230, the output collation control unit 241 compares the comparison result for notifying that the two output values match and the output of the subsystem A220. One of the value and the output value of the subsystem B 230 is transmitted to the failure determination activation unit 242.
When the output value of the subsystem A 220 and the output value of the subsystem B 230 do not match, the output collation control unit 241 sends a comparison result for notifying that the two output values do not match to the failure determination activation unit 242. Output. In this case, the output collation control unit 241 transmits neither the output value of the subsystem A 220 nor the output value of the subsystem B 230 to the failure determination activation unit 242.
 故障判定起動部242は、出力照合制御部241の比較結果を参照して、故障判定の実施有無を決定する(ステップS105)。具体的には、出力照合制御部241の比較結果が、サブシステムA220の出力値とサブシステムB230の出力値が一致していることを通知している場合は、故障判定起動部242は、故障判定を行わないことを決定する。そして、故障判定起動部242は、出力照合制御部241から送信された出力値を外部装置B160に送信する。出力照合制御部241の比較結果が、サブシステムA220の出力値とサブシステムB230の出力値が一致していることを通知している場合は、故障判定起動部242は、故障判定を行うことを決定する。 The failure determination activation unit 242 refers to the comparison result of the output collation control unit 241, and determines whether or not failure determination is performed (step S105). Specifically, when the comparison result of the output collation control unit 241 notifies that the output value of the subsystem A 220 matches the output value of the subsystem B 230, the failure determination activation unit 242 Decide not to make a decision. Then, the failure determination activation unit 242 transmits the output value transmitted from the output collation control unit 241 to the external device B160. When the comparison result of the output collation control unit 241 notifies that the output value of the subsystem A 220 and the output value of the subsystem B 230 match, the failure determination activation unit 242 performs the failure determination. decide.
 次に、入力排他部212、故障判定起動部242、故障判定制御部251の動作例を説明する。
 図4は、入力排他部212の動作例を示す。図5は、故障判定起動部242の動作例を示す。図6は、故障判定制御部251の動作例を示す。なお、一連の処理によって得られる効果が変わらなければ、処理の順序や手段は異なっていても構わない。
Next, operation examples of the input exclusion unit 212, the failure determination activation unit 242, and the failure determination control unit 251 will be described.
FIG. 4 shows an operation example of the input exclusion unit 212. FIG. 5 shows an operation example of the failure determination activation unit 242. FIG. 6 shows an operation example of the failure determination control unit 251. Note that the order and means of processing may be different as long as the effect obtained by the series of processing does not change.
 まず、入力排他部212の動作例を、図4を用いて説明する。 First, an operation example of the input exclusion unit 212 will be described with reference to FIG.
 図4の処理シーケンスは、入力排他部212が通常の入力値、プリセット入力値、故障判定モード設定要求及び通常モード設定要求のいずれかを受信することにより開始する。 4 is started when the input exclusion unit 212 receives one of a normal input value, a preset input value, a failure determination mode setting request, and a normal mode setting request.
 入力排他部212は、受信したデータが入力値(通常の入力値又はプリセット入力値)及びモード設定要求(通常モード設定要求又は故障判定モード設定要求)のいずれであるかを判定する(ステップS201)。入力値の受信の場合は、処理はステップS202に遷移する。モード設定要求の受信の場合は、処理はステップS208に遷移する。 The input exclusion unit 212 determines whether the received data is an input value (normal input value or preset input value) or a mode setting request (normal mode setting request or failure determination mode setting request) (step S201). . In the case of receiving an input value, the process proceeds to step S202. In the case of receiving a mode setting request, the process proceeds to step S208.
 入力値の受信の場合は、入力排他部212は、受信した入力値が通常の入力値及びプリセット入力値のいずれであるかを判定する(ステップS202)。受信した入力値が通常の入力値の場合は、処理はステップS203に遷移する。一方、受信した入力値がプリセット入力値の場合は、処理はステップS206に遷移する。 In the case of receiving an input value, the input exclusion unit 212 determines whether the received input value is a normal input value or a preset input value (step S202). If the received input value is a normal input value, the process proceeds to step S203. On the other hand, if the received input value is a preset input value, the process proceeds to step S206.
 受信した入力値が入力同期部211からの通常の入力値である場合は、入力排他部212は、現在の動作モードが故障判定モードであるか否かを判定する(ステップS203)。具体的には、入力排他部212は、故障判定動作状態記憶部213の動作モード情報を参照して、現在の動作モードが故障判定モードであるか否かを判定する。
 現在の動作モードが故障判定モードでない場合は、処理がステップS204に遷移する。一方、現在の動作モードが故障判定モードである場合は、処理がステップS205に遷移する。
If the received input value is a normal input value from the input synchronization unit 211, the input exclusion unit 212 determines whether or not the current operation mode is the failure determination mode (step S203). Specifically, the input exclusion unit 212 refers to the operation mode information in the failure determination operation state storage unit 213 and determines whether or not the current operation mode is the failure determination mode.
If the current operation mode is not the failure determination mode, the process proceeds to step S204. On the other hand, if the current operation mode is the failure determination mode, the process proceeds to step S205.
 現在の動作モードが故障判定モードでない場合は、現在の動作モードは通常モードであるため、入力排他部212は、受信した入力値をサブシステムA220とサブシステムB230の双方に送信する(ステップS204)。
 一方、現在の動作モードが故障判定モードである場合は、入力排他部212は、入力同期部211から受信した通常の入力値を破棄する(ステップS205)。
When the current operation mode is not the failure determination mode, since the current operation mode is the normal mode, the input exclusion unit 212 transmits the received input value to both the subsystem A 220 and the subsystem B 230 (step S204). .
On the other hand, when the current operation mode is the failure determination mode, the input exclusion unit 212 discards the normal input value received from the input synchronization unit 211 (step S205).
 ステップS202において、受信した入力値が故障判定制御部251からのプリセット入力値である場合は、次に、入力排他部212は、現在の動作モードが故障判定モードであるか否かを判定する(ステップS206)。具体的には、入力排他部212は、故障判定動作状態記憶部213の動作モード情報を参照して、現在の動作モードが故障判定モードであるか否かを判定する。
 現在の動作モードが故障判定モードでない場合は、処理がステップS205に遷移する。一方、現在の動作モードが故障判定モードである場合は、処理がステップS207に遷移する。
In step S202, if the received input value is a preset input value from the failure determination control unit 251, then the input exclusion unit 212 determines whether or not the current operation mode is the failure determination mode ( Step S206). Specifically, the input exclusion unit 212 refers to the operation mode information in the failure determination operation state storage unit 213 and determines whether or not the current operation mode is the failure determination mode.
If the current operation mode is not the failure determination mode, the process proceeds to step S205. On the other hand, when the current operation mode is the failure determination mode, the process proceeds to step S207.
 現在の動作モードが故障判定モードでない場合は、現在の動作モードは通常モードであるため、入力排他部212は、故障判定制御部251から受信したプリセット入力値を破棄する(ステップS205)。
 一方、現在の動作モードが故障判定モードである場合は、入力排他部212は、受信したプリセット入力値をサブシステムA220とサブシステムB230の双方に送信する(ステップS207)。
When the current operation mode is not the failure determination mode, since the current operation mode is the normal mode, the input exclusion unit 212 discards the preset input value received from the failure determination control unit 251 (step S205).
On the other hand, when the current operation mode is the failure determination mode, the input exclusion unit 212 transmits the received preset input value to both the subsystem A 220 and the subsystem B 230 (step S207).
 また、ステップS201において、モード設定要求を受信している場合は、動作モードを故障判定モード又は通常モードに設定する(ステップS208)。つまり、故障判定モード設定要求を受信した場合は、入力排他部212は、動作モードを故障判定モードに設定する。また、通常モード設定要求を受信した場合は、入力排他部212は動作モードを通常モードに設定する。 In step S201, when the mode setting request is received, the operation mode is set to the failure determination mode or the normal mode (step S208). That is, when receiving a failure determination mode setting request, the input exclusion unit 212 sets the operation mode to the failure determination mode. When receiving the normal mode setting request, the input exclusion unit 212 sets the operation mode to the normal mode.
 次に、故障判定起動部242の動作例を図5を用いて説明する。 Next, an operation example of the failure determination activation unit 242 will be described with reference to FIG.
 図5の処理シーケンスは、故障判定起動部242が出力照合制御部241から出力値の比較結果を受信することで開始する。 5 is started when the failure determination activation unit 242 receives the output value comparison result from the output collation control unit 241.
 故障判定起動部242は、出力照合制御部241から比較結果を受信すると、現在の動作モードが縮退モードであるか否かを判定する(ステップS301)。より具体的には、故障判定起動部242は、縮退モード動作状態記憶部243の動作モード情報を参照して、現在の動作モードが縮退モードであるか否かを判定する。現在の動作モードが縮退モードでない場合は、処理はステップS302に遷移する。現在の動作モードが縮退モードの場合は、処理はステップS307に遷移する。 When the failure determination activation unit 242 receives the comparison result from the output collation control unit 241, it determines whether or not the current operation mode is the degeneration mode (step S301). More specifically, the failure determination activation unit 242 refers to the operation mode information in the degeneration mode operation state storage unit 243 and determines whether or not the current operation mode is the degeneration mode. If the current operation mode is not the degeneration mode, the process proceeds to step S302. If the current operation mode is the degeneration mode, the process proceeds to step S307.
 現在の動作モードが縮退モードでない場合は、故障判定起動部242は、出力照合制御部241から送信された比較結果が二つの出力値が一致しているかことを示しているか否かを判定する(ステップS302)。比較結果が二つの出力結果が一致していることを示している場合は、処理はステップS303に遷移する。比較結果が二つの出力結果が不一致であることを示している場合は、処理はステップS304に遷移する。 When the current operation mode is not the degeneration mode, the failure determination activation unit 242 determines whether or not the comparison result transmitted from the output verification control unit 241 indicates that the two output values match ( Step S302). If the comparison result indicates that the two output results match, the process proceeds to step S303. If the comparison result indicates that the two output results do not match, the process proceeds to step S304.
 比較結果が二つの出力結果が一致していることを示している場合は、故障判定起動部242は、出力照合制御部241から受信した出力値を外部装置B160に送信する(ステップS303)。 If the comparison result indicates that the two output results match, the failure determination activation unit 242 transmits the output value received from the output collation control unit 241 to the external device B160 (step S303).
 一方、比較結果が二つの出力結果が不一致であることを示している場合は、故障判定起動部242は、故障判定を実施するために、故障判定制御部251を起動する(ステップS304)。より具体的には、故障判定起動部242は、故障判定制御部251に起動要求を送信する。また、動作モードを故障判定モードに設定する(ステップS304)。より具体的には、故障判定起動部242は、縮退モード動作状態記憶部243の動作モード情報を、故障判定モードを示す値に更新する。更に、故障判定起動部242は、出力照合制御部241に動作モードが故障判定モードに移行したことを通知する。この通知により、以降は、出力照合制御部241からは、いずれのサブシステムからの出力値も故障判定起動部242に送信されなくなる。 On the other hand, when the comparison result indicates that the two output results do not match, the failure determination activation unit 242 activates the failure determination control unit 251 in order to perform the failure determination (step S304). More specifically, the failure determination activation unit 242 transmits an activation request to the failure determination control unit 251. Further, the operation mode is set to the failure determination mode (step S304). More specifically, the failure determination activation unit 242 updates the operation mode information in the degenerate mode operation state storage unit 243 to a value indicating the failure determination mode. Furthermore, the failure determination activation unit 242 notifies the output collation control unit 241 that the operation mode has shifted to the failure determination mode. With this notification, thereafter, the output collation control unit 241 does not transmit the output value from any subsystem to the failure determination activation unit 242.
 次に、故障判定起動部242は、故障判定制御部251からの判定結果を待ち(ステップS305)、故障判定制御部251の判定結果として、正常サブシステムが通知されると、制御装置100の動作モードを縮退モードに移行する(ステップS306)。より具体的には、故障判定起動部242は、縮退モード動作状態記憶部243の動作モード情報を、縮退モードを示す値に更新する。また、故障判定起動部242は、出力照合制御部241に正常サブシステムを通知する。この通知により、以降は、出力照合制御部241からは、正常サブシステムからの出力値が故障判定起動部242に送信される。 Next, the failure determination activation unit 242 waits for the determination result from the failure determination control unit 251 (step S305), and when the normal subsystem is notified as the determination result of the failure determination control unit 251, the operation of the control device 100 is performed. The mode is shifted to the degenerate mode (step S306). More specifically, the failure determination activation unit 242 updates the operation mode information in the degeneration mode operation state storage unit 243 to a value indicating the degeneration mode. Moreover, the failure determination activation unit 242 notifies the output verification control unit 241 of the normal subsystem. With this notification, the output collation control unit 241 transmits the output value from the normal subsystem to the failure determination activation unit 242 thereafter.
 ステップS301において、現在の動作モードが縮退モードである場合には、出力照合制御部241から受信した正常サブシステムの出力値を外部装置B160に送信する(ステップS307)。 In step S301, when the current operation mode is the degeneration mode, the output value of the normal subsystem received from the output collation control unit 241 is transmitted to the external device B160 (step S307).
 次に、故障判定制御部251の動作例を図6を用いて説明する。 Next, an operation example of the failure determination control unit 251 will be described with reference to FIG.
 図6の処理シーケンスは、故障判定制御部251が故障判定起動部242からの起動要求を受信することにより開始する。 6 is started when the failure determination control unit 251 receives an activation request from the failure determination activation unit 242.
 起動要求を受信すると、故障判定制御部251は、入力排他部212に、動作モードを故障判定モードに設定するように要求する(ステップS401)。より具体的には、故障判定制御部251は、入力排他部212に、故障判定モード設定要求を送信する。 Upon receiving the activation request, the failure determination control unit 251 requests the input exclusion unit 212 to set the operation mode to the failure determination mode (step S401). More specifically, the failure determination control unit 251 transmits a failure determination mode setting request to the input exclusion unit 212.
 次に、故障判定制御部251は、プリセット入力値記憶部252からプリセット入力値と出力値との組を取得する(ステップS402)。そして、故障判定制御部251は、取得したプリセット入力値を入力排他部212に送信する(ステップS403)。
 その後、各サブシステムからの出力値の受信を待つ(ステップS404)。
Next, the failure determination control unit 251 acquires a set of preset input values and output values from the preset input value storage unit 252 (step S402). Then, the failure determination control unit 251 transmits the acquired preset input value to the input exclusion unit 212 (step S403).
Thereafter, it waits for reception of an output value from each subsystem (step S404).
 各サブシステムから出力値を受信すると、故障判定制御部251は、受信した二つの出力値を、プリセット入力値の正しい出力値と比較する(ステップS405)。 When receiving the output value from each subsystem, the failure determination control unit 251 compares the two received output values with the correct output value of the preset input value (step S405).
 次に、故障判定制御部251は、正しい出力値と一致する出力値が一つのみであるか否かを判定する(ステップS406)。判定の結果、正しい出力値と一致する出力値が一つのみである場合は、故障判定が成功したことになる。つまり、故障判定制御部251は、正しい出力値と一致する出力値を送信したサブシステムを正常サブシステムとして扱う。この場合には、処理はステップS407に遷移する。正しい出力値と一致する出力値が一つでない場合(二つの出力値が正しい出力値に一致する場合、いずれの出力値も正しい出力値に一致しない場合)は、故障判定に失敗したことになる。この場合は、処理はステップS409に遷移する。 Next, the failure determination control unit 251 determines whether there is only one output value that matches the correct output value (step S406). As a result of the determination, if there is only one output value that matches the correct output value, the failure determination is successful. That is, the failure determination control unit 251 treats a subsystem that has transmitted an output value that matches a correct output value as a normal subsystem. In this case, the process proceeds to step S407. If there is not one output value that matches the correct output value (if two output values match the correct output value, neither output value matches the correct output value), the failure determination has failed. . In this case, the process proceeds to step S409.
 正しい出力値と一致する出力値が一つのみである場合は、故障判定制御部251は、入力排他部212に動作モードを通常モードに設定するように要求する(ステップS407)。より具体的には、故障判定制御部251は、入力排他部212に、通常モード設定要求を送信する。
 また、故障判定制御部251は、故障判定起動部242に、正常サブシステムとして認識されたサブシステムを通知する(ステップS408)。
If there is only one output value that matches the correct output value, the failure determination control unit 251 requests the input exclusion unit 212 to set the operation mode to the normal mode (step S407). More specifically, the failure determination control unit 251 transmits a normal mode setting request to the input exclusion unit 212.
In addition, the failure determination control unit 251 notifies the failure determination activation unit 242 of the subsystem recognized as a normal subsystem (step S408).
 正しい出力値と一致する出力値が一つでない場合は、故障判定制御部251は、故障判定のリトライを行う。具体的には、故障判定制御部251は、リトライ回数記憶部253で記憶されているリトライ回数を更新し(ステップS409)、リトライ回数が上限値に達したか否かを判定する(ステップS410)。リトライ回数が上限値に達した場合は、処理はステップS411に遷移する。一方、リトライ回数が上限値に達していない場合は、処理はステップS402に遷移する。そして、故障判定制御部251は、ステップS402からの処理シーケンスを再度実施する。 If there is not one output value that matches the correct output value, the failure determination control unit 251 performs a failure determination retry. Specifically, the failure determination control unit 251 updates the number of retries stored in the retry number storage unit 253 (step S409), and determines whether or not the number of retries has reached an upper limit (step S410). . If the number of retries has reached the upper limit, the process proceeds to step S411. On the other hand, if the number of retries has not reached the upper limit, the process transitions to step S402. Then, the failure determination control unit 251 performs the processing sequence from step S402 again.
 リトライ回数が上限値に達した場合は、故障判定制御部251は、故障判定起動部242に判定失敗を通知する(ステップS411)。 When the number of retries reaches the upper limit value, the failure determination control unit 251 notifies the failure determination activation unit 242 of determination failure (step S411).
***実施の形態の効果の説明***
 以上のように、本実施の形態では、各サブシステムからの出力値が不一致となった場合に、故障判定制御部251は、プリセット入力値を各サブシステムに与え、プリセット入力値を用いた演算を各サブシステムに行わせる。そして、故障判定制御部251は、各サブシステムからの出力値と既知の出力値とを比較して、正常に動作しているサブシステムを判定する。このため、本実施の形態では、特許文献1で開示された、計算モデルを実現するプログラムを実行するための高性能のハードウェアは不要であり、簡素なハードウェアの追加のみで、正常に動作するサブシステムを判定することができる。また、演算を実行するサブシステムとは別の機構である故障判定制御部251が故障判定を行うため、確実に、正常に動作するサブシステムを判定することができる。
*** Explanation of the effect of the embodiment ***
As described above, in this embodiment, when the output values from the subsystems do not match, the failure determination control unit 251 gives the preset input values to the subsystems, and uses the preset input values. To each subsystem. Then, the failure determination control unit 251 compares the output value from each subsystem with the known output value to determine the subsystem that is operating normally. For this reason, in this embodiment, the high-performance hardware for executing the program for realizing the calculation model disclosed in Patent Document 1 is not necessary, and it operates normally only by adding simple hardware. The subsystem to be determined can be determined. In addition, since the failure determination control unit 251 that is a mechanism different from the subsystem that executes the calculation performs the failure determination, it is possible to reliably determine the subsystem that operates normally.
 なお、以上では、冗長化された演算システムの例として、二重化された演算システムを説明したが、本実施の形態で説明した技術は、三重化以上の冗長度で冗長化されたシステムにも適用可能である。例えば、サブシステムA、サブシステムB、サブシステムCのように三重化された構成において、全てサブシステムの出力値が一致しない場合に、故障判定制御部251は、プリセット入力値をサブシステムA、サブシステムB、サブシステムCの各々に与えて、正常サブシステムを判定することができる。 In the above, a redundant arithmetic system has been described as an example of a redundant arithmetic system. However, the technique described in the present embodiment is also applicable to a redundant system with a redundancy higher than triple. Is possible. For example, in a tripled configuration such as subsystem A, subsystem B, and subsystem C, when all the output values of the subsystems do not match, the failure determination control unit 251 sets the preset input values to subsystem A, A normal subsystem can be determined by giving to each of subsystem B and subsystem C.
実施の形態2.
 本実施の形態では、サブシステムA220からの出力値及びサブシステムB230からの出力値が一致する場合に、サブシステムA220及びサブシステムB230への通常の入力値をプリセット入力値として用いる例を説明する。
 本実施の形態では、主に実施の形態1との差異を説明する。
 なお、以下で説明していない事項は、実施の形態1と同様である。
Embodiment 2. FIG.
In the present embodiment, an example in which normal input values to the subsystem A 220 and the subsystem B 230 are used as preset input values when the output value from the subsystem A 220 matches the output value from the subsystem B 230 will be described. .
In the present embodiment, differences from the first embodiment will be mainly described.
Note that matters not described below are the same as those in the first embodiment.
***構成の説明***
 実施の形態2に係る制御装置100ハードウェア構成例は、図1に示す構成と同じである。このため、本実施の形態に係る制御装置100のハードウェア構成例の説明は省略する。
*** Explanation of configuration ***
The hardware configuration example of the control device 100 according to the second embodiment is the same as the configuration shown in FIG. For this reason, description of the hardware structural example of the control apparatus 100 which concerns on this Embodiment is abbreviate | omitted.
 図7は、実施の形態2に係る制御装置100の機能構成例を示す。
 図7では、図2の構成と比較して、データ収集部254が追加されている。データ収集部254以外の構成要素は、図2に示すものと同じである。このため、データ収集部254以外の構成要素の説明を省略する。データ収集部254は、出力照合FPGA140で動作する。データ収集部254は、指定部に相当する。
 なお、図7では、作図上の理由から、図2に示す、入力同期FPGA110、マイクロコンピュータA120、マイクロコンピュータB130及び出力照合FPGA140の表記を省略している。
FIG. 7 shows a functional configuration example of the control device 100 according to the second embodiment.
In FIG. 7, a data collection unit 254 is added as compared to the configuration of FIG. The components other than the data collection unit 254 are the same as those shown in FIG. For this reason, description of components other than the data collection unit 254 is omitted. The data collection unit 254 operates on the output verification FPGA 140. The data collection unit 254 corresponds to a designation unit.
In FIG. 7, the notation of the input synchronous FPGA 110, the microcomputer A120, the microcomputer B130, and the output verification FPGA 140 shown in FIG.
 データ収集部254は、入力排他部212からサブシステムA220とサブシステムB230に入力される通常の入力値を収集する。そして、通常の入力値に対するサブシステムA220の出力値と通常の入力値に対するサブシステムの出力値とが一致していることを出力照合制御部241から通知された場合に、データ収集部254は、収集した通常の入力値をプリセット入力値に指定する。また、データ収集部254は、プリセット入力値として指定した通常の入力値に対する出力値を、プリセット入力値に対する正しい出力値として指定する。より具体的には、データ収集部254は、通常の入力値をプリセット入力値記憶部252に格納することで、当該通常の入力値をプリセット入力値に指定する。また、データ収集部254は、当該通常の入力値に対する出力値を、当該通常の入力値と対応付けてプリセット入力値記憶部252に格納することで、当該出力値を正しい出力値に指定する。
 なお、プリセット入力値記憶部252に記憶されているプリセット入力値と正しい出力値の組の数が規定数以上である場合は、データ収集部254は、最も古いプリセット入力値と正しい出力値の組を消去して、新しいプリセット入力値と正しい出力値の組をプリセット入力値記憶部252に格納する。
The data collection unit 254 collects normal input values input from the input exclusion unit 212 to the subsystem A 220 and the subsystem B 230. When the output collation control unit 241 notifies that the output value of the subsystem A 220 for the normal input value matches the output value of the subsystem for the normal input value, the data collection unit 254 Specify collected normal input values as preset input values. In addition, the data collection unit 254 specifies the output value for the normal input value specified as the preset input value as the correct output value for the preset input value. More specifically, the data collection unit 254 stores the normal input value in the preset input value storage unit 252, thereby designating the normal input value as the preset input value. Further, the data collection unit 254 stores the output value corresponding to the normal input value in the preset input value storage unit 252 in association with the normal input value, thereby designating the output value as a correct output value.
If the number of preset input value and correct output value pairs stored in the preset input value storage unit 252 is equal to or greater than a specified number, the data collection unit 254 sets the oldest preset input value and correct output value pair. , And a set of new preset input values and correct output values is stored in the preset input value storage unit 252.
 本実施の形態でも、故障判定制御部251は、故障判定起動部242により起動されると、プリセット入力値記憶部252に記憶されているプリセット入力値を入力排他部212に送信する。但し、本実施の形態では、故障判定制御部251は、データ収集部254によりプリセット入力値として指定された入力値(データ収集部254によりプリセット入力値としてプリセット入力値記憶部252に格納された入力値)を入力排他部212に送信する。
 また、本実施の形態でも、故障判定制御部251は、サブシステムA220の出力値とサブシステムB230の出力値を、プリセット入力値の正しい出力値と比較する。但し、本実施の形態では、故障判定制御部251は、データ収集部254により正しい出力値として指定された出力値(データ収集部254により正しい出力値としてプリセット入力値記憶部252に格納された出力値)を用いる。
Also in the present embodiment, the failure determination control unit 251 transmits the preset input value stored in the preset input value storage unit 252 to the input exclusion unit 212 when activated by the failure determination activation unit 242. However, in this embodiment, the failure determination control unit 251 inputs the input value specified as the preset input value by the data collection unit 254 (the input stored in the preset input value storage unit 252 as the preset input value by the data collection unit 254). Value) to the input exclusion unit 212.
Also in this embodiment, the failure determination control unit 251 compares the output value of the subsystem A 220 and the output value of the subsystem B 230 with the correct output value of the preset input value. However, in the present embodiment, the failure determination control unit 251 outputs the output value specified as the correct output value by the data collection unit 254 (the output stored in the preset input value storage unit 252 as the correct output value by the data collection unit 254). Value).
 本実施の形態でも、入力排他部212は、故障判定制御部251からのプリセット入力値をサブシステムA220及びサブシステムB230に入力する。但し、本実施の形態では、入力排他部212は、データ収集部254によりプリセット入力値として指定された入力値を、サブシステムA220及びサブシステムB230に入力する。 Also in this embodiment, the input exclusion unit 212 inputs the preset input value from the failure determination control unit 251 to the subsystem A 220 and the subsystem B 230. However, in the present embodiment, the input exclusion unit 212 inputs the input value designated as the preset input value by the data collection unit 254 to the subsystem A 220 and the subsystem B 230.
***動作の説明***
 次に、本実施の形態に係る制御装置100の動作例を説明する。
 ここでは、図8を参照して、データ収集部254の動作例を説明する。
 データ収集部254以外の構成要素の動作は、実施の形態1と同じである。
*** Explanation of operation ***
Next, an operation example of the control device 100 according to the present embodiment will be described.
Here, an operation example of the data collection unit 254 will be described with reference to FIG.
The operations of the components other than the data collection unit 254 are the same as those in the first embodiment.
 データ収集部254は、入力排他部212からサブシステムA220とサブシステムB230に入力される通常の入力値を受信する(ステップS501)。データ収集部254は、受信した通常の入力値を、一時記憶領域に格納する。 The data collection unit 254 receives normal input values input from the input exclusion unit 212 to the subsystem A 220 and the subsystem B 230 (step S501). The data collection unit 254 stores the received normal input value in the temporary storage area.
 次に、データ収集部254は、出力照合制御部241から比較結果を受信する(ステップS502)。 Next, the data collection unit 254 receives the comparison result from the output collation control unit 241 (step S502).
 次に、データ収集部254は、比較結果を参照して、サブシステムA220の出力値とサブシステムB230の出力値が一致しているか否かを判定する(ステップS503)。
 サブシステムA220の出力値とサブシステムB230の出力値が一致している場合は、処理はステップS504に遷移する。一方、サブシステムA220の出力値とサブシステムB230の出力値が一致していない場合は、処理はステップS505に遷移する。
 なお、サブシステムA220の出力値とサブシステムB230の出力値が一致している場合は、データ収集部254は、ステップS502において、サブシステムA220の出力値及びサブシステムB230の出力値のいずれかを、比較結果とともに出力照合制御部241から受信する。
Next, the data collection unit 254 refers to the comparison result and determines whether or not the output value of the subsystem A 220 matches the output value of the subsystem B 230 (step S503).
If the output value of subsystem A 220 matches the output value of subsystem B 230, the process transitions to step S504. On the other hand, if the output value of the subsystem A 220 does not match the output value of the subsystem B 230, the process transitions to step S505.
Note that if the output value of the subsystem A 220 matches the output value of the subsystem B 230, the data collection unit 254 selects either the output value of the subsystem A 220 or the output value of the subsystem B 230 in step S502. Are received from the output collation control unit 241 together with the comparison result.
 サブシステムA220の出力値とサブシステムB230の出力値が一致している場合は、データ収集部254は、一時記憶領域で記憶されている通常の入力値とステップS502で受信した出力値との組を、プリセット入力値記憶部252に格納する(ステップS504)。
 一方、サブシステムA220の出力値とサブシステムB230の出力値が一致していない場合は、データ収集部254は、一時記憶領域で記憶されている通常の入力値を破棄する(ステップS505)。
If the output value of the subsystem A 220 matches the output value of the subsystem B 230, the data collection unit 254 sets the combination of the normal input value stored in the temporary storage area and the output value received in step S502. Is stored in the preset input value storage unit 252 (step S504).
On the other hand, if the output value of the subsystem A 220 does not match the output value of the subsystem B 230, the data collection unit 254 discards the normal input value stored in the temporary storage area (step S505).
***実施の形態の効果の説明***
 以上のように、本実施の形態では、プリセット入力値と正しい出力値の組を事前に準備しておかなくとも、プリセット入力値と正しい出力値の組を用いた故障判定を行うことができる。
*** Explanation of the effect of the embodiment ***
As described above, in this embodiment, failure determination using a preset input value and correct output value pair can be performed without preparing a set of preset input values and correct output values in advance.
 100 制御装置、110 入力同期FPGA、120 マイクロコンピュータA、121 CPU、122 メモリ、123 I/Oデバイス、124 CAN I/Oデバイス、130 マイクロコンピュータB、140 出力照合FPGA、150 外部装置A、160 外部装置B、210 入力部、211 入力同期部、212 入力排他部、213 故障判定動作状態記憶部、220 サブシステムA、230 サブシステムB、240 出力照合部、241 出力照合制御部、242 故障判定起動部、243 縮退モード動作状態記憶部、250 故障判定部、251 故障判定制御部、252 プリセット入力値記憶部、253 リトライ回数記憶部、254 データ収集部。 100 control device, 110 input synchronous FPGA, 120 microcomputer A, 121 CPU, 122 memory, 123 I / O device, 124 CAN I / O device, 130 microcomputer B, 140 output verification FPGA, 150 external device A, 160 external Device B, 210 input unit, 211 input synchronization unit, 212 input exclusion unit, 213 failure determination operation state storage unit, 220 subsystem A, 230 subsystem B, 240 output verification unit, 241 output verification control unit, 242 failure determination activation Unit, 243 degeneration mode operation state storage unit, 250 failure determination unit, 251 failure determination control unit, 252 preset input value storage unit, 253 retry number storage unit, 254 data collection unit.

Claims (8)

  1.  冗長化されている複数の演算システムからの複数の出力値が不一致の場合に、正しい出力値が既知であるプリセット入力値を前記複数の演算システムに入力する入力管理部と、
     前記プリセット入力値に対する前記複数の演算システムからの複数の出力値を取得し、取得した前記複数の出力値の各々と、前記プリセット入力値に対する前記正しい出力値とを比較する比較部とを有する制御装置。
    An input management unit for inputting a preset input value with a known correct output value to the plurality of operation systems when a plurality of output values from the plurality of operation systems that are made redundant do not match;
    A control unit that acquires a plurality of output values from the plurality of arithmetic systems for the preset input value and compares each of the acquired output values with the correct output value for the preset input value; apparatus.
  2.  前記比較部は、
     取得した前記複数の出力値の各々と、前記プリセット入力値に対する前記正しい出力値とを比較して、前記複数の演算システムの中で正常に動作している演算システムを判定する請求項1に記載の制御装置。
    The comparison unit includes:
    2. The computing system operating normally in the plurality of computing systems is determined by comparing each of the obtained plurality of output values with the correct output value for the preset input value. Control device.
  3.  前記入力管理部は、
     前記複数の演算システムからの複数の出力値が一致している間は、通常の入力値を前記複数の演算システムに繰り返し入力し、
     前記複数の演算システムからの複数の出力値が不一致になった後は、前記通常の入力値の入力を停止して、前記プリセット入力値を前記複数の演算システムに入力する請求項1に記載の制御装置。
    The input management unit
    While a plurality of output values from the plurality of computing systems match, a normal input value is repeatedly input to the plurality of computing systems,
    2. The input of the normal input value is stopped and the preset input value is input to the plurality of arithmetic systems after a plurality of output values from the plurality of arithmetic systems become inconsistent. Control device.
  4.  前記入力管理部は、
     前記比較部により前記複数の演算システムの中で正常に動作している演算システムが判定されるまでは、前記プリセット入力値を前記複数の演算システムに繰り返し入力する請求項2に記載の制御装置。
    The input management unit
    3. The control device according to claim 2, wherein the preset input value is repeatedly input to the plurality of operation systems until the comparison unit determines a normal operation system among the plurality of operation systems.
  5.  前記制御装置は、更に、
     前記比較部により前記複数の演算システムの中で正常に動作している演算システムが判定された後は、前記比較部により判定された、正常に動作している演算システムからの出力値のみを外部に出力する出力管理部を有する請求項2に記載の制御装置。
    The control device further includes:
    After the comparison unit determines the operation system normally operating among the plurality of operation systems, only the output value from the operation system normally operating determined by the comparison unit is externally output. The control device according to claim 2, further comprising: an output management unit that outputs to the output.
  6.  前記入力管理部は、
     二重化されている二つの演算システムからの二つの出力値が不一致の場合に、正しい出力値が既知であるプリセット入力値を前記二つの演算システムに入力し、
     前記比較部は、
     前記プリセット入力値に対する前記二つの演算システムからの二つの出力値を取得し、取得した前記二つの出力値の各々と、前記プリセット入力値に対する前記正しい出力値とを比較する請求項1に記載の制御装置。
    The input management unit
    When the two output values from the two computation systems that are duplicated do not match, a preset input value with a known correct output value is input to the two computation systems,
    The comparison unit includes:
    The two output values from the two arithmetic systems for the preset input value are acquired, and each of the acquired two output values is compared with the correct output value for the preset input value. Control device.
  7.  前記制御装置は、更に、
     前記通常の入力値に対する前記複数の演算システムからの複数の出力値が一致する場合に、前記通常の入力値を前記プリセット入力値に指定し、前記複数の出力値のうちのいずれかを前記正しい出力値に指定する指定部を有し、
     前記入力管理部は、
     前記指定部により指定された前記プリセット入力値を前記複数の演算システムに入力し、
     前記比較部は、
     前記プリセット入力値に対する前記複数の演算システムからの複数の出力値を取得し、取得した前記複数の出力値の各々と、前記指定部により指定された前記正しい出力値とを比較する請求項3に記載の制御装置。
    The control device further includes:
    When a plurality of output values from the plurality of arithmetic systems match the normal input value, the normal input value is designated as the preset input value, and any one of the plurality of output values is correct. It has a specification part that specifies the output value,
    The input management unit
    The preset input value designated by the designation unit is input to the plurality of arithmetic systems,
    The comparison unit includes:
    The plurality of output values from the plurality of arithmetic systems for the preset input value are acquired, and each of the acquired plurality of output values is compared with the correct output value specified by the specifying unit. The control device described.
  8.  コンピュータが、冗長化されている複数の演算システムからの複数の出力値が不一致の場合に、正しい出力値が既知であるプリセット入力値を前記複数の演算システムに入力し、
     前記コンピュータが、前記プリセット入力値に対する前記複数の演算システムからの複数の出力値を取得し、取得した前記複数の出力値の各々と、前記プリセット入力値に対する前記正しい出力値とを比較する制御方法。
    When a plurality of output values from a plurality of redundant computing systems do not match, a computer inputs a preset input value with a known correct output value to the plurality of computing systems,
    A control method in which the computer acquires a plurality of output values from the plurality of arithmetic systems for the preset input value, and compares each of the acquired plurality of output values with the correct output value for the preset input value. .
PCT/JP2017/006660 2017-02-22 2017-02-22 Control device and control method WO2018154664A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2017546743A JP6271103B1 (en) 2017-02-22 2017-02-22 Control apparatus and control method
PCT/JP2017/006660 WO2018154664A1 (en) 2017-02-22 2017-02-22 Control device and control method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2017/006660 WO2018154664A1 (en) 2017-02-22 2017-02-22 Control device and control method

Publications (1)

Publication Number Publication Date
WO2018154664A1 true WO2018154664A1 (en) 2018-08-30

Family

ID=61074850

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2017/006660 WO2018154664A1 (en) 2017-02-22 2017-02-22 Control device and control method

Country Status (2)

Country Link
JP (1) JP6271103B1 (en)
WO (1) WO2018154664A1 (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS58127242A (en) * 1982-01-25 1983-07-29 Nec Corp Logical circuit
JPH06338200A (en) * 1993-05-25 1994-12-06 Hitachi Ltd Method and device for inspecting electrical characteristic of semiconductor storage device
JP2002049501A (en) * 2000-08-04 2002-02-15 Nippon Telegr & Teleph Corp <Ntt> Fault-tolerant system and its fault demarcating method
JP2010175459A (en) * 2009-01-30 2010-08-12 Advantest Corp Diagnosis apparatus, diagnosis method, and tester
WO2015145731A1 (en) * 2014-03-28 2015-10-01 三菱電機株式会社 Vehicle information notification device
JP2016038599A (en) * 2014-08-05 2016-03-22 ルネサスエレクトロニクス株式会社 Micro computer and micro computer system

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE112008003732T5 (en) * 2008-02-26 2011-01-27 Mitsubishi Electric Corp. Automatic Reproduction Test Device and Automatic Reproduction Test Procedure in an Embedded System

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS58127242A (en) * 1982-01-25 1983-07-29 Nec Corp Logical circuit
JPH06338200A (en) * 1993-05-25 1994-12-06 Hitachi Ltd Method and device for inspecting electrical characteristic of semiconductor storage device
JP2002049501A (en) * 2000-08-04 2002-02-15 Nippon Telegr & Teleph Corp <Ntt> Fault-tolerant system and its fault demarcating method
JP2010175459A (en) * 2009-01-30 2010-08-12 Advantest Corp Diagnosis apparatus, diagnosis method, and tester
WO2015145731A1 (en) * 2014-03-28 2015-10-01 三菱電機株式会社 Vehicle information notification device
JP2016038599A (en) * 2014-08-05 2016-03-22 ルネサスエレクトロニクス株式会社 Micro computer and micro computer system

Also Published As

Publication number Publication date
JPWO2018154664A1 (en) 2019-02-28
JP6271103B1 (en) 2018-01-31

Similar Documents

Publication Publication Date Title
EP2153328B1 (en) Data processing system, data processing method, and apparatus
CN110784331A (en) Consensus process recovery method and related nodes
US10114356B2 (en) Method and apparatus for controlling a physical unit in an automation system
KR101560497B1 (en) Method for controlling reset of lockstep replicated processor cores and lockstep system using the same
JP5921782B2 (en) Communication system, standby apparatus, communication method, and standby program
EP0866389A2 (en) Replicated controller and fault recovery method thereof
WO2014207893A1 (en) Computation circuit and computer
JP6083480B1 (en) Monitoring device, fault tolerant system and method
US8484546B2 (en) Information processing apparatus, information transmitting method, and information receiving method
JP6271103B1 (en) Control apparatus and control method
CN107038095B (en) Method for redundantly processing data
US10409666B2 (en) Method and device for generating an output data stream
JP5537140B2 (en) SAFETY CONTROL DEVICE AND SAFETY CONTROL PROGRAM
TW202040975A (en) Apparatus and method of crosschecking data copies using one or more voter elements
JP2013025765A (en) Master/slave system, control device, master/slave switching method and master/slave switching program
CN113722770B (en) End-to-end protection method and system based on hierarchical data integrity
JP2010165105A (en) Communication equipment and control program for the same
CN107992018B (en) Control system
JP5978873B2 (en) Electronic control unit
JP2020095322A (en) Distributed file device, failover method, program, and storage medium
JP4640359B2 (en) Fault tolerant computer and synchronization control method in fault tolerant computer
CN115941184B (en) Encryption module fault processing method and device, electronic equipment, system and chip
US20240311247A1 (en) Electronic control unit and storage medium storing software redundancy establishing program
JP6653250B2 (en) Computer system
CN117216163A (en) Cross configuration method, disaster recovery method, device, computer equipment and storage medium

Legal Events

Date Code Title Description
ENP Entry into the national phase

Ref document number: 2017546743

Country of ref document: JP

Kind code of ref document: A

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17897831

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 17897831

Country of ref document: EP

Kind code of ref document: A1