專利名稱:控制裝置的任務(wù)管理裝置和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及控制裝置的任務(wù)管理裝置����、輸入輸出控制裝置、信息 控制裝置���、控制裝置的任務(wù)管理方法��、輸入輸出控制方法以及信息控 制方法���。
背景技術(shù):
以電子和信息領(lǐng)域的技術(shù)進(jìn)步、在單一裝置內(nèi)追求功能的復(fù)雜化 和復(fù)合化為原動(dòng)力��,可編程電子裝置的應(yīng)用范圍變寬����,同時(shí),所要求 的可靠性也提高�����。為實(shí)現(xiàn)一般所知的高可靠化,包括可編程電子裝置的多重化和多 個(gè)處理器的多重化�。作為可編程電子裝置的多重化,常用系統(tǒng)'備用系統(tǒng)的結(jié)構(gòu)是已 知的����。通過(guò)在常用系統(tǒng)檢測(cè)出故障時(shí)切換到備用系統(tǒng),可以提高可用 性����。另 一方面,特開(kāi)2004-234144號(hào)公報(bào)中公開(kāi)了作為使用多個(gè)處理 器的可編程電子裝置提高安全性的技術(shù)�。另外,在原子能設(shè)備和化學(xué)設(shè)備等潛在危險(xiǎn)性高的處理設(shè)備中���, 為了在萬(wàn)一的情況下減少對(duì)操作員和周邊環(huán)境的影響���,采取了利用隔 壁等防護(hù)設(shè)備的被動(dòng)對(duì)策和利用緊急停止裝置等安全裝置的主動(dòng)對(duì) 策。其中��,安全裝置等的控制單元由現(xiàn)有的繼電器等電磁'機(jī)械單元來(lái) 實(shí)現(xiàn)�����。但是���,近年來(lái)�����,伴隨著以可編程邏輯控制器(PLC)為代表的可 編程控制設(shè)備的技術(shù)發(fā)展�����,將它們用作安全控制系統(tǒng)的控制單元的需求增力口�����。IEC61508 - 1 7 ��, "Functional Safety of electrical/ electronic/ programmable electronic safety-related systems" partl-part7 (簡(jiǎn)稱為 IEC 61508)是對(duì)應(yīng)上述動(dòng)向而發(fā)布的國(guó)際標(biāo)準(zhǔn)��,它規(guī)定了在安全控制 系統(tǒng)的一部分中使用電氣/電子/可編程電子裝置的情況下的必要條 件����。在IEC61508中�,作為安全控制系統(tǒng)的能力尺度,定義了 Safety Integrity Level (SIL:安全完整性等級(jí))���,并規(guī)定了與從1到4的等級(jí) 相對(duì)應(yīng)水平的要求事項(xiàng)��。它表示SIL越高�����,可以降低處理設(shè)備所具有 的潛在危險(xiǎn)性的程度越大�����。即�����,意味著在檢測(cè)出處理設(shè)備的異常時(shí)����, 可以多可靠地實(shí)施規(guī)定的安全控制。要求安全控制裝置在通常運(yùn)轉(zhuǎn)狀態(tài)下為非活性��,而在處理設(shè)備發(fā) 生異常時(shí)立即活化����。為此,經(jīng)常執(zhí)行自診斷�����、連續(xù)檢查自身的健全性 是非常重要的。在要求高SIL的安全控制系統(tǒng)中���,為使由于未檢測(cè)出 的故障導(dǎo)致系統(tǒng)不動(dòng)作的概率極小化,必須實(shí)施寬范圍��、高精度的自 診斷�����。在IEC61508中�����,對(duì)構(gòu)成安全控制裝置的要素部件的每個(gè)種類�����, 介紹了各自應(yīng)用的自診斷技術(shù)�,并以診斷率的形式來(lái)表示各種技術(shù)的 有效性。診斷率表示各構(gòu)成要素的所有故障中����、采用該診斷技術(shù)時(shí)可 檢測(cè)出的故障的比例���。例如,利用美國(guó)專利6779128號(hào)公報(bào)中記栽的 RAM診斷技術(shù)"abraham"�����,可主張最高99°/����。的診斷率。另外�����,作為各構(gòu)成要素之一的處理器的故障檢測(cè)方法��,使用多個(gè)處理器來(lái)監(jiān)視相互的輸出結(jié)果的一致性的方法是有效的����。作為對(duì)多個(gè)處理器進(jìn)行相互診斷的方法,各處理器同時(shí)執(zhí)行同樣的控制處理并確認(rèn)其輸出一致的方法是有效的����。作為其代表性例子,如特開(kāi)平6-290066號(hào)公報(bào)中所記載的那樣����,例舉了下述方法利用在使2個(gè)處理器同步執(zhí)行的同時(shí)�����,通過(guò)使輸入值也為相同信息而使輸出一致的方法來(lái)確認(rèn)處理器的健全性��。發(fā)明內(nèi)容可編程電子裝置所要求的可靠性的要素包括可用性和安全型,但 在設(shè)備的控制中����,可用性很重要,在設(shè)備的保護(hù)中���,安全性很重要����。由于這2個(gè)要素的實(shí)現(xiàn)方法是相悖(二律背反)的���,因此����,很難同時(shí) 滿足可用性和安全性���?����?蓪⒇?fù)責(zé)可用性的裝置部分和負(fù)責(zé)安全性的裝 置部分分開(kāi)���,但是���,這不僅使裝置大型化,而且運(yùn)轉(zhuǎn)���、維護(hù)作業(yè)的重 復(fù)���、復(fù)雜化還導(dǎo)致人的要素的可靠性降低?���?删幊屉娮友b置所要求的可靠性的要素內(nèi)包括可用性和安全性。 在設(shè)備的控制中�����,可用性很重要�,在設(shè)備的保護(hù)中��,安全性很重要�����。 這2個(gè)要素的實(shí)現(xiàn)方法相悖的部分很多��。為此�,目前將負(fù)責(zé)可用性的裝置部分和負(fù)責(zé)安全性的裝置部分分 開(kāi)����,這是常識(shí)���。因此����,不僅使裝置大型化�����,而且運(yùn)轉(zhuǎn)�、維護(hù)作業(yè)的重 復(fù)、復(fù)雜化還導(dǎo)致人的要素的可靠性降低�����。在要求高安全性的控制系統(tǒng)中,如特開(kāi)平6-290066號(hào)公報(bào)(專利 文獻(xiàn)l)所記栽����,采用下述方法通過(guò)對(duì)照多個(gè)處理器的輸出來(lái)確認(rèn)處 理器的健全性,僅在一致的情況下�,才輸出到后級(jí)存儲(chǔ)器和IO。使用該方法�����,在使各處理器的動(dòng)作定時(shí)一致的同時(shí)�,對(duì)控制輸入 信息也進(jìn)行核對(duì),以向各處理器傳遞同一值��,從而使輸出一致����。但是,隨著控制對(duì)象變復(fù)雜�,處理器也變?yōu)楦咝阅埽谟啥鄠€(gè)處 理器構(gòu)成的控制系統(tǒng)中����,即便將1個(gè)時(shí)鐘輸入到多個(gè)處理器�,也不能 保證分別輸出的時(shí)鐘在頻率��、相位上是一樣的�。這樣,由于在今后的由多個(gè)處理器構(gòu)成的控制裝置中��,處理器輸 出的同步化變得困難��,因此����,在對(duì)多個(gè)處理器的輸出進(jìn)行對(duì)照來(lái)診斷 處理器的健全性的過(guò)程中,需要有與處理器的輸出同步��、非同步無(wú)關(guān) 地對(duì)輸出進(jìn)行對(duì)照的方法���。另外,為了在處理器的輸出之間進(jìn)行比較���, 必須在多個(gè)處理器中執(zhí)行1個(gè)處理���,從而每臺(tái)處理器的處理性能與通 常的處理相比降低了一半。另一方面,在可編程電子設(shè)備中���,除了安全性等可靠性之外�,還 要求高速地執(zhí)行網(wǎng)絡(luò)處理��、或不要求在處理器的輸出之間進(jìn)行對(duì)照這 樣的可靠性的通?���?刂铺幚恚蕴岣叻奖阈?��。特別是��,在希望高速地執(zhí)行控制處理的情況下�����、或在希望執(zhí)行處理大量數(shù)據(jù)的網(wǎng)絡(luò)處理的情 況下���,有必要分割執(zhí)行這些處理的可編程電子裝置和執(zhí)行要求可靠性 的處理的可編程電子裝置。本發(fā)明的目的在于提供可解決上述問(wèn)題中任意一個(gè)的裝置和方 法�。具體而言,本發(fā)明的目的在于�,使用多個(gè)處理器�,兼顧裝置的小 型高性能化和安全性���,并實(shí)現(xiàn)高可靠性��。本發(fā)明的目的在于提供了一種高可靠的可編程電子裝置���,其中使 用多個(gè)處理器,兼顧裝置的小型高性能化和安全性��。為了達(dá)到上述目的��,本發(fā)明構(gòu)成為對(duì)于共同的數(shù)據(jù)處理對(duì)象�����, 輸入以相互可互換的方式運(yùn)算的���、至少2個(gè)系統(tǒng)的處理結(jié)果�,從所述 至少2個(gè)系統(tǒng)之一接收到開(kāi)始信號(hào)后�,向所述至少2個(gè)系統(tǒng)輸出運(yùn)算 指示信號(hào)����。或者構(gòu)成為,對(duì)于共同的數(shù)據(jù)處理對(duì)象�,輸入以相互可互換的方 式運(yùn)算的、至少2個(gè)系統(tǒng)的處理結(jié)果��,對(duì)于不同的數(shù)據(jù)處理對(duì)象�����,輸 入由至少2個(gè)系統(tǒng)執(zhí)行了不同運(yùn)算處理后的處理結(jié)果��,輸出表示是由 所述至少2個(gè)系統(tǒng)執(zhí)行了不同運(yùn)算處理����、還是以可互換的方式執(zhí)行了 多重運(yùn)算處理的切換信號(hào),在所述信號(hào)表示由至少2個(gè)系統(tǒng)執(zhí)行了不 同運(yùn)算處理的情況下�����,判斷為允許所述至少2個(gè)系統(tǒng)的不同處理結(jié)果 中的至少1個(gè)的輸出���?����;蛘邩?gòu)成為對(duì)于共同的數(shù)據(jù)處理對(duì)象�,輸入以可互換的方式運(yùn) 算的、至少2個(gè)系統(tǒng)的處理結(jié)果�����,將用于識(shí)別所述至少2個(gè)系統(tǒng)中規(guī) 定系統(tǒng)的數(shù)據(jù)處理對(duì)象的識(shí)別數(shù)據(jù)存儲(chǔ)到第l識(shí)別數(shù)據(jù)區(qū)域�����;將用于 識(shí)別所述至少2個(gè)系統(tǒng)中任意另一個(gè)系統(tǒng)的數(shù)據(jù)處理對(duì)象的識(shí)別數(shù)據(jù) 存儲(chǔ)到第2識(shí)別數(shù)據(jù)區(qū)域�;將作為所述至少2個(gè)系統(tǒng)中規(guī)定系統(tǒng)的處 理結(jié)果的第1處理數(shù)據(jù)存儲(chǔ)到第1處理數(shù)據(jù)區(qū)域;并將作為所述至少 2個(gè)系統(tǒng)中任意另一個(gè)系統(tǒng)的處理結(jié)果的第2處理數(shù)據(jù)存儲(chǔ)到第2處 理數(shù)據(jù)區(qū)域內(nèi)�,其中,在對(duì)照所述第l識(shí)別數(shù)據(jù)和所述第2識(shí)別數(shù)據(jù) 的同時(shí)�����,還對(duì)照所述第l處理數(shù)據(jù)和所述第2處理數(shù)據(jù)�。或者是構(gòu)成為針對(duì)共同的數(shù)據(jù)處理對(duì)象���,輸入由至少2個(gè)系統(tǒng)以可互換的方式執(zhí)行了多重運(yùn)算處理后的處理結(jié)果����,針對(duì)不同的數(shù)據(jù)處理對(duì)象����,輸入由至少2個(gè)系統(tǒng)執(zhí)行了不同運(yùn)算處理后的處理結(jié)果, 并輸出表示是由所述至少2個(gè)系統(tǒng)執(zhí)行了不同運(yùn)算處理�����、還是以可互 換的方式執(zhí)行了運(yùn)算處理的切換信號(hào)����。更具體地說(shuō),構(gòu)成為在具有輸入輸出裝置�����、多個(gè)處理器和存儲(chǔ) 器的可編程電子裝置中�,具有多個(gè)處理器的動(dòng)作模式切換單元、多個(gè) 處理器的輸出對(duì)照單元�����、以及由表規(guī)定的區(qū)域的存儲(chǔ)器寫入保護(hù)單元����, 響應(yīng)動(dòng)作模式切換單元的輸出,使輸出對(duì)照單元?jiǎng)幼?停止�����,在輸出對(duì)照單元停止時(shí),使存儲(chǔ)器寫入保護(hù)單元?jiǎng)幼?����。根?jù)該結(jié)構(gòu)���,通過(guò)在輸出對(duì)照單元停止時(shí)使多個(gè)處理器獨(dú)立地動(dòng) 作�����,可以提高控制運(yùn)算性能��,同時(shí)還可以防止對(duì)安全產(chǎn)生影響的輸出 的誤寫入���。并且可以防止在輸出對(duì)照單元?jiǎng)幼鲿r(shí)由于處理器的錯(cuò)誤運(yùn) 算而引起的危險(xiǎn)側(cè)信號(hào)輸出,從而可以提高可靠性����。另外構(gòu)成為在動(dòng)作模式切換單元內(nèi)具有計(jì)時(shí)器,第l計(jì)時(shí)器按 照對(duì)照動(dòng)作開(kāi)始指令啟動(dòng)����,利用來(lái)自多個(gè)處理器的對(duì)照動(dòng)作開(kāi)始信號(hào) 復(fù)位���。第2計(jì)時(shí)器利用來(lái)自多個(gè)處理器的對(duì)照動(dòng)作開(kāi)始信號(hào)而復(fù)位啟 動(dòng),在2個(gè)計(jì)時(shí)器的輸出超過(guò)設(shè)定范圍時(shí)����,進(jìn)行異常輸出�����。利用該結(jié)構(gòu)�,可以檢測(cè)出輸出對(duì)照單元的停止,從而可以提高可靠性�����。另外構(gòu)成為具有用于診斷總線的粘合斷線的總線診斷單元�����,以 多個(gè)處理器的獨(dú)立動(dòng)作全部結(jié)束為條件�,開(kāi)始總線診斷,以診斷的正 常結(jié)束為比較對(duì)照處理的動(dòng)作開(kāi)始條件�����。由此,不僅可以防止處理器 的運(yùn)算誤動(dòng)作�,而且可以防止由于總線故障引起的危險(xiǎn)側(cè)信號(hào)輸出, 從而可以提高可靠性�����。該輸出對(duì)照單元具有來(lái)自多個(gè)處理器的獨(dú)立動(dòng)作結(jié)束檢測(cè)單 元�;設(shè)置規(guī)定的時(shí)間差、向多個(gè)處理器發(fā)出對(duì)照動(dòng)作程序的動(dòng)作開(kāi)始 指令的單元��;使對(duì)照程序的下一步驟的執(zhí)行進(jìn)行待機(jī)的指令輸出單元����;保持來(lái)自多個(gè)處理器的比較處理用信號(hào)的保持單元;以及被保持在保 持單元內(nèi)的比較處理用信號(hào)的比較對(duì)照處理單元�����,該輸出對(duì)照單元以多個(gè)處理器的獨(dú)立動(dòng)作全部結(jié)束為條件�����,開(kāi)始程序動(dòng)作�。給予先行動(dòng) 作處理器的待機(jī)指令在向保持單元的輸出結(jié)束時(shí)解除。另外構(gòu)成為, 給予后發(fā)動(dòng)作處理器的待機(jī)指令在比較對(duì)照處理結(jié)束時(shí)解除���。利用該結(jié)構(gòu)���,可以減少用于保持來(lái)自先行動(dòng)作處理器的比較信號(hào) 處理用信號(hào)的容量。另外�����,通過(guò)對(duì)運(yùn)算����、保持��、比較處理的各動(dòng)作執(zhí) 行流水線處理�,可以實(shí)現(xiàn)高速化?����;蛘邩?gòu)成為在出現(xiàn)了可靠性相對(duì)較高的運(yùn)算的請(qǐng)求的情況下����, 針對(duì)所述多個(gè)處理器中的至少一個(gè),指示從可靠性相對(duì)較低的運(yùn)算轉(zhuǎn) 而執(zhí)行可靠性相對(duì)較高的運(yùn)算,使多個(gè)處理器執(zhí)行相同的運(yùn)算����,并對(duì) 所述多個(gè)處理器的運(yùn)算結(jié)果進(jìn)行比較,基于所述比較結(jié)果�����,許可輸出 與所述處理器的運(yùn)算有關(guān)的數(shù)據(jù)��。如此�,可以兼顧小型高性能化和安全性,同時(shí)可以實(shí)現(xiàn)高可靠性�����。 另外����,在安全型性可靠性之外,可以高速地執(zhí)行網(wǎng)絡(luò)處理或不要 求在處理器的輸出之間進(jìn)行對(duì)照這樣的可靠性的通?���?刂铺幚恚瑥亩?可以提高便利性�。
圖l是整體結(jié)構(gòu)圖�。圖2是動(dòng)作切換單元的細(xì)節(jié)圖����。圖3是各部分動(dòng)作說(shuō)明圖。圖4是本發(fā)明的計(jì)算機(jī)系統(tǒng)的結(jié)構(gòu)�。圖5是表示本發(fā)明的系統(tǒng)總線接口部的動(dòng)作的狀態(tài)轉(zhuǎn)換圖。 圖6是表示本發(fā)明的錯(cuò)誤檢測(cè)部的動(dòng)作的狀態(tài)轉(zhuǎn)換圖���。 圖7是表示本發(fā)明的2個(gè)處理器的處理動(dòng)作的時(shí)刻圖����。
具體實(shí)施方式
接下來(lái)�����,參照附圖來(lái)說(shuō)明本發(fā)明的實(shí)施例���。圖l表示本發(fā)明的實(shí)施例的結(jié)構(gòu)。首先��,說(shuō)明整體結(jié)構(gòu)和各部分動(dòng)作的概要��。在該圖中�,可編程電子裝置具有2臺(tái)處理器��。A系統(tǒng)處理器l和 B系統(tǒng)處理器2分別經(jīng)由緩沖器3�����、緩沖器4連接到外部訪問(wèn)單元5��, 外部訪問(wèn)單元5與輸入輸出裝置以及存儲(chǔ)器連接��。A系統(tǒng)處理器1和B系統(tǒng)處理器2借助動(dòng)作模式切換單元6�,交 互地在對(duì)照模式和獨(dú)立模式這2種模式下動(dòng)作�����。在對(duì)照模式時(shí)��,在A系統(tǒng)處理器1和B系統(tǒng)處理器2上執(zhí)行同 一程序����。在向外部訪問(wèn)單元5輸出時(shí),在由數(shù)據(jù)保持單元7和輸出對(duì) 照單元8確認(rèn)了來(lái)自A系統(tǒng)處理器1和B系統(tǒng)處理器2的數(shù)據(jù)的一致 性后輸出����。在從外部訪問(wèn)單元5輸入時(shí),利用數(shù)據(jù)同步單元9向A系 統(tǒng)處理器1和B系統(tǒng)處理器2輸入相同數(shù)據(jù)���。輸出數(shù)據(jù)與輸入數(shù)據(jù)都 經(jīng)由對(duì)照緩沖器單元10輸入輸出至外部訪問(wèn)單元5����。數(shù)據(jù)保持單元7、輸出對(duì)照單元8�����、同步單元9��、對(duì)照緩沖器單元 10都以對(duì)照模式指令601為H電平為條件動(dòng)作并進(jìn)行信號(hào)輸出���。在獨(dú)立模式時(shí)�,在A系統(tǒng)處理器1和B系統(tǒng)處理器2上獨(dú)立地 執(zhí)行不同的程序��。A系統(tǒng)處理器1的輸入輸出經(jīng)由緩沖器3輸入輸出 至外部單元5����。保護(hù)表12在獨(dú)立模式時(shí)動(dòng)作�����,在緩沖器3的地址數(shù)據(jù) 處于預(yù)先定義的物理地址頁(yè)的保護(hù)范圍時(shí)��,禁止寫入。同樣���,B系統(tǒng) 處理器2的輸入輸出經(jīng)由緩沖器4輸入輸出至外部單元��,但由保護(hù)表 13禁止保護(hù)范圍的寫入����。輸出開(kāi)關(guān)單元14和15僅在NOT電路604的輸出605為H電平 時(shí)�����,將來(lái)自寄存器104和204的輸入信號(hào)輸出至輸出緩沖器3和4���。以下�����,使用圖l和圖3來(lái)說(shuō)明各部分的動(dòng)作細(xì)節(jié)����。開(kāi)始���,根據(jù)來(lái)自A系統(tǒng)處理器1的操作系統(tǒng)101的指示�����,向動(dòng)作 模式切換單元6發(fā)出(H電平)對(duì)照模式開(kāi)始指令102(tl)��。接收到對(duì)照 模式開(kāi)始指令102的動(dòng)作模式切換單元6以來(lái)自A系統(tǒng)處理器的對(duì)照 模式準(zhǔn)備完畢信號(hào)103成立(t2)��、同樣來(lái)自B系統(tǒng)處理器的準(zhǔn)備完畢 信號(hào)203同時(shí)成立(H電平)(t3)為條件�����,輸出(H電平)對(duì)照模式指令601 (t4)���。由此�����,A系統(tǒng)處理器開(kāi)始對(duì)照模式運(yùn)算(t5)���。在對(duì)照模式運(yùn)算105 上升時(shí),準(zhǔn)備完畢信號(hào)被復(fù)位(t6)���。這里,對(duì)照模式準(zhǔn)備完畢信號(hào)103和203是以各A系統(tǒng)處理器1 和B系統(tǒng)處理器的獨(dú)立模式運(yùn)算結(jié)束以及高速緩沖存儲(chǔ)器的清除為條 件而被輸出的����。由此�����,可以不產(chǎn)生由于對(duì)照模式開(kāi)始前的程序動(dòng)作的 不同而引起的運(yùn)算時(shí)間的偏差���。對(duì)照模式指令601直接輸入到A系統(tǒng)處理器1,另一方面�,向B 系統(tǒng)處理器2輸入由時(shí)限電路602延遲了設(shè)定時(shí)間(Td)的信號(hào)603(t7)。 由此�����,B系統(tǒng)處理器開(kāi)始對(duì)照模式運(yùn)算(t8)�����。在對(duì)照模式運(yùn)算205上升 時(shí)�,準(zhǔn)備完畢信號(hào)被復(fù)位(t9)。通過(guò)將延遲時(shí)間設(shè)定為動(dòng)作模式切換單元6的2個(gè)總線周期��,可 在始終使A系統(tǒng)處理器的運(yùn)算先行的同時(shí)��,將由于對(duì)照所引起的運(yùn)算 延遲抑制為最小。接下來(lái)�����,說(shuō)明輸出數(shù)據(jù)的對(duì)照動(dòng)作����。A系統(tǒng)處理器1的寄存器104的輸出被寫入數(shù)據(jù)保持單元7的寄 存器701中。在向寄存器701的寫入結(jié)束時(shí)��,解除寫入等待信號(hào)702���, 從而可以向A系統(tǒng)處理器的寄存器104執(zhí)行再寫入�����。另 一方面���,在利用輸出對(duì)照單元8的比較電路801對(duì)B系統(tǒng)處理 器2的寄存器204的寫入控制信號(hào)W和寄存器701的寫入控制信號(hào) W作出一致確認(rèn)后,向?qū)φ站彌_器單元10的寄存器11輸出寫入控制 信號(hào)W�。同時(shí),解除等待信號(hào)802�,從而比較電路803可以輸出。在利用比較電路803對(duì)保持在寄存器701內(nèi)的����、來(lái)自A系統(tǒng)處理 器1的地址信號(hào)701和來(lái)自B系統(tǒng)處理器2的地址信號(hào)204作出了一 致確認(rèn)后����,向?qū)φ站彌_器單元10的寄存器11輸出地址信號(hào)�。同時(shí)�����, 解除等待信號(hào)804����,從而使比較電路804可以輸出。在利用比較電路805對(duì)保持在寄存器701內(nèi)的��、來(lái)自A系統(tǒng)處理 器1的數(shù)據(jù)701和來(lái)自B系統(tǒng)處理器2的數(shù)據(jù)204作出了 一致確認(rèn)后�����, 向?qū)φ站彌_器單元10的寄存器11輸出數(shù)據(jù)信號(hào)�����。同時(shí)����,解除來(lái)自輸 出對(duì)照單元8的等待信號(hào)806�����,從而可以執(zhí)行B系統(tǒng)處理器2的寄存 器204的再寫入�����。接下來(lái)����,說(shuō)明輸入數(shù)據(jù)的分配動(dòng)作����。A系統(tǒng)處理器1的寄存器104的讀入控制信號(hào)R經(jīng)由對(duì)照緩沖器單元10的寄存器11的讀入控制信 號(hào)R,被傳送到外部訪問(wèn)單元5�����,地址信號(hào)和數(shù)據(jù)信號(hào)經(jīng)由寄存器11 被讀入寄存器104���。
然后�����,寄存器11被傳送到數(shù)據(jù)同步單元9的寄存器901�。利用比 較電路902對(duì)寄存器901的讀入控制信號(hào)R和B系統(tǒng)處理器2的寄存 器204的讀入控制信號(hào)R進(jìn)行對(duì)照,在一致的情況下��,解除等待信號(hào) 903��。利用比較電路904對(duì)寄存器901的地址信號(hào)和寄存器204的地址 信號(hào)進(jìn)行對(duì)照��。在兩者一致的情況下�,解除等待信號(hào)905�,從而門電 路906動(dòng)作,寄存器901的數(shù)據(jù)信號(hào)被傳送到寄存器204�����。傳送數(shù)據(jù) 后�,等待信號(hào)907被解除,從而可重寫對(duì)照緩沖器單元10���。
在檢測(cè)到A系統(tǒng)處理器的對(duì)照模式的運(yùn)算結(jié)束(tlO)���、B系統(tǒng)處理 器的對(duì)照模式的運(yùn)算結(jié)束(tll)后,對(duì)照模式指令601變?yōu)長(zhǎng)電平(tl2)�, 由于AND電路620���,對(duì)照模式指令630也同時(shí)變?yōu)長(zhǎng)電平。由此�����,開(kāi) 始獨(dú)立動(dòng)作模式(t14)��。
在圖2的實(shí)施例中��,示出下述情況在A系統(tǒng)處理器獨(dú)立模式運(yùn) 算106結(jié)束(t14)�、對(duì)照模式開(kāi)始指令102再次上升的時(shí)刻(t15), B系 統(tǒng)處理器獨(dú)立運(yùn)算模式206繼續(xù)���。在這種情況下���,在檢測(cè)出B系統(tǒng)處 理器獨(dú)立模式運(yùn)算206結(jié)束(U6)后,開(kāi)始對(duì)照電路的自診斷動(dòng)作(tn)�����。 自診斷動(dòng)作結(jié)束后��,A系統(tǒng)處理器對(duì)照模式準(zhǔn)備完畢103和B系統(tǒng)處 理器對(duì)照模式準(zhǔn)備完畢203變?yōu)镠電平(tl8)���。由此���,通過(guò)在對(duì)照模 式運(yùn)算之前執(zhí)行對(duì)照電路的自診斷動(dòng)作���,具有可提高對(duì)照電路的安全 性的效杲。
輸出開(kāi)關(guān)單元14和15由各個(gè)門電路141-144�����、 151-154構(gòu)成��,在 對(duì)照模式指令601的反轉(zhuǎn)信號(hào)605為H電平時(shí)��,可以執(zhí)行寄存器KM 和204以及緩沖器3和緩沖器4之間的輸入輸出���。
保護(hù)表12和13構(gòu)成為在對(duì)照模式指令601的反轉(zhuǎn)信號(hào)605為 H電平時(shí)動(dòng)作,參照地址信號(hào)121和131�����,在處于規(guī)定的物理地址范 圍時(shí)輸出訪問(wèn)保護(hù)信號(hào)122和132��,利用帶否定電路的門電路123和 133來(lái)防止向保護(hù)范圍的寫入�。由此�����,在獨(dú)立模式時(shí)的運(yùn)算中�,可使對(duì)照模式的運(yùn)算結(jié)果不受影 響地得到保護(hù)��。
圖2表示本發(fā)明的其他實(shí)施例�����。
利用由輸入了來(lái)自A系統(tǒng)處理器1的操作系統(tǒng)101的對(duì)照模式開(kāi) 始指令102的上升檢測(cè)器606檢測(cè)出的置位脈沖信號(hào)607�,計(jì)時(shí)器609 啟動(dòng)。將來(lái)自A系統(tǒng)處理器的對(duì)照模式準(zhǔn)備完畢信號(hào)103以及來(lái)自B 系統(tǒng)處理器的203輸入AND電路607�����,利用該輸出信號(hào)608���,計(jì)時(shí)器 609復(fù)位�����。將計(jì)時(shí)器609的輸出610輸入比較器611����,在輸出610超過(guò) 設(shè)定范圍時(shí),輸出異常輸出612���。由此檢測(cè)出對(duì)照動(dòng)作的啟動(dòng)阻塞��。
設(shè)置計(jì)時(shí)器615,該計(jì)時(shí)器615利用由輸入了 AND電路607的 輸出信號(hào)608的上升檢測(cè)器613輸出的脈沖信號(hào)復(fù)位并同時(shí)啟動(dòng)����。
將計(jì)時(shí)器615的輸出616輸入比較器617����,在輸出616超過(guò)設(shè)定 范圍時(shí),輸出異常輸出618����。由此檢測(cè)出對(duì)照運(yùn)算周期的異常��。
在以上的實(shí)施方式中����,可以構(gòu)成為具有由于診斷總線的粘合斷 線的總線診斷單元,以多個(gè)處理器的獨(dú)立動(dòng)作全部結(jié)束為條件�,開(kāi)始 總線診斷,診斷的正常結(jié)束是比較對(duì)照處理的動(dòng)作開(kāi)始條件���。由此����, 不僅可以防止處理器的運(yùn)算誤動(dòng)作,還可以防止由于總線故障引起的 危險(xiǎn)側(cè)信號(hào)輸出�����,從而可提高可靠性����。
該輸出對(duì)照單元具有來(lái)自多個(gè)處理器的獨(dú)立動(dòng)作結(jié)束檢測(cè)單 元;設(shè)置規(guī)定的時(shí)間差�、向多個(gè)處理器發(fā)出對(duì)照動(dòng)作程序的動(dòng)作開(kāi)始 指令的單元;使對(duì)照程序的下一步驟的執(zhí)行進(jìn)行待機(jī)的指令輸出單元���; 保持來(lái)自多個(gè)處理器的比較處理用信號(hào)的保持單元����;以及被保持在保 持單元內(nèi)的比較處理用信號(hào)的比較對(duì)照處理單元�,該輸出對(duì)照單元以 多個(gè)處理器的獨(dú)立動(dòng)作全部結(jié)束為條件,開(kāi)始程序動(dòng)作��。給予先行動(dòng) 作處理器的待機(jī)指令在向保持單元的輸出結(jié)束時(shí)解除。另外構(gòu)成為����, 給予后發(fā)動(dòng)作處理器的待機(jī)指令在比較對(duì)照處理結(jié)束時(shí)解除。
利用該結(jié)構(gòu)����,可以減少用于保持來(lái)自先行動(dòng)作處理器的比較信號(hào) 處理用信號(hào)的容量。另外�����,通過(guò)對(duì)運(yùn)算���、保持����、比較處理的各動(dòng)作執(zhí) 行流水線處理�,可以實(shí)現(xiàn)高速化。接著說(shuō)明其他實(shí)施方式����,但在說(shuō)明時(shí)進(jìn)行概念性說(shuō)明時(shí)��,實(shí)現(xiàn)具
有以下功能的CPU輸出對(duì)照在需要高可靠和高性能的控制裝置中, 在需要高可靠的情況下���,多個(gè)處理器動(dòng)作�����,對(duì)其輸出進(jìn)行對(duì)照�����,對(duì)處 理器進(jìn)行診斷�����,從而確認(rèn)處理器的健全性的功能�����;以及處理器執(zhí)行獨(dú) 立的處理����、實(shí)現(xiàn)性能提高的功能����。
更具體地說(shuō),特征在于以下幾點(diǎn)。
(1) 在一個(gè)控制裝置內(nèi)具有多個(gè)處理器�����,并且具有判斷每個(gè)處理 器所要訪問(wèn)的IO是否期待高可靠控制結(jié)果的單元�;比較多個(gè)處理器 的輸出并判定一致的單元;以及至少僅在多個(gè)處理器的輸出結(jié)果一致 的情況下���,才許可處理器對(duì)期待高可靠控制結(jié)果的IO的訪問(wèn)�,在單 獨(dú)的處理器執(zhí)行訪問(wèn)的情況下�,使其等待,直到其他處理器輸出同一 輸出結(jié)果的單元�����。
(2) 1個(gè)控制裝置內(nèi)具有的多個(gè)處理器具有處理并執(zhí)行針對(duì)每個(gè) 處理器不同的功能的單元�;以及用于從處理器中斷其他處理器的處理 的單元。
(3) 執(zhí)行向要求可靠性的IO輸出的處理的處理器具有使用中斷 其他處理器中的處理的單元�����,中斷其他處理器的處理��,執(zhí)行向要求可 靠性的IO輸出的處理的單元���。
(實(shí)施例1)
以下使用附圖來(lái)說(shuō)明本發(fā)明的實(shí)施例�����。作為本發(fā)明第1實(shí)施方式 的控制系統(tǒng)的結(jié)構(gòu)顯示在圖4中��。這里�����,就處理器是2個(gè)的情況進(jìn)行 說(shuō)明�,但在實(shí)際的實(shí)施方式中��,處理器的臺(tái)數(shù)沒(méi)有限制�,本發(fā)明不受 其制約。
這里說(shuō)明的控制系統(tǒng)以連接到存儲(chǔ)器電路為前提���,從而沒(méi)有特別明示��。
A系統(tǒng)處理器1001執(zhí)行控制任務(wù)���,B系統(tǒng)處理器1003執(zhí)行通信 任務(wù)。另外�,A系統(tǒng)處理器1001和B系統(tǒng)處理器1003不必按同一頻 率的同一相位來(lái)執(zhí)行同步動(dòng)作����。
A系統(tǒng)處理器1001輸出由地址信號(hào)����、數(shù)據(jù)信號(hào)構(gòu)成的A系統(tǒng)處理器總線1050。另外�,A系統(tǒng)處理器1001在總線訪問(wèn)開(kāi)始時(shí),發(fā)出 總線開(kāi)始信號(hào)1051�。 A系統(tǒng)接口部1002持續(xù)發(fā)出A系統(tǒng)等待信號(hào) 1052,直到A系統(tǒng)總線準(zhǔn)備就緒信號(hào)1067或A系統(tǒng)中斷控制準(zhǔn)備就 緒信號(hào)1068被發(fā)出�����。在A系統(tǒng)處理器1001執(zhí)行寫入訪問(wèn)的情況下���, A系統(tǒng)處理器1001在A系統(tǒng)等待信號(hào)1052發(fā)出期間��,向A系統(tǒng)處理 器總線1050持續(xù)輸出地址和數(shù)據(jù)�。在A系統(tǒng)處理器執(zhí)行讀出的情況 下�,A系統(tǒng)處理器1001在A系統(tǒng)等待信號(hào)1052發(fā)出期間,向A系統(tǒng) 處理器總線1050輸出地址��,并繼續(xù)等待讀出數(shù)據(jù)����,A系統(tǒng)等待信號(hào) 1052取消時(shí)��,將A系統(tǒng)處理器總線1050上的數(shù)據(jù)值作為讀出值取入。
B系統(tǒng)也同樣�����,B系統(tǒng)處理器1003輸出由地址信號(hào)��、數(shù)據(jù)信號(hào) 構(gòu)成的B系統(tǒng)處理器總線1055�����。另外����,B系統(tǒng)處理器1003在總線訪 問(wèn)開(kāi)始時(shí),發(fā)出總線開(kāi)始信號(hào)1057�。 B系統(tǒng)接口部1004在B系統(tǒng)總 線準(zhǔn)備就緒信號(hào)1065或B系統(tǒng)中斷控制準(zhǔn)備就緒信號(hào)1069被發(fā)出之 前,持續(xù)發(fā)出B系統(tǒng)等待信號(hào)1056���。在B系統(tǒng)處理器1003執(zhí)行寫入 訪問(wèn)的情況下�,B系統(tǒng)處理器1003在等待信號(hào)1057發(fā)出期間��,向B 系統(tǒng)處理器總線1055持續(xù)輸出地址和數(shù)據(jù)。在B系統(tǒng)處理器1003執(zhí) 行讀出的情況下��,B系統(tǒng)處理器1003在等待信號(hào)1056發(fā)出期間�����,向 B系統(tǒng)處理器總線1055輸出地址�,繼續(xù)等待讀出數(shù)據(jù),在等待信號(hào) 1056取消時(shí)����,將B系統(tǒng)處理器總線1055上的數(shù)據(jù)值作為讀出值取入。
A系統(tǒng)區(qū)域判斷部1013具有根據(jù)A系統(tǒng)處理器總線1050的地址 值���,來(lái)判斷當(dāng)前訪問(wèn)的設(shè)備是否是高可靠IO 1018的功能��,在A系統(tǒng) 處理器1001訪問(wèn)高可靠IO 1018的情況下�����,發(fā)出A系統(tǒng)高可靠訪問(wèn) 信號(hào)1060���。
B系統(tǒng)區(qū)域判斷部1014具有根據(jù)B系統(tǒng)處理器總線1055的地址 值,來(lái)判斷當(dāng)前訪問(wèn)的設(shè)備是否是高可靠IO1018的功能,在B系統(tǒng) 處理器1003訪問(wèn)高可靠IO 1018的情況下��,發(fā)出B系統(tǒng)高可靠訪問(wèn) 信號(hào)1061���。
比較部1015具有對(duì)A系統(tǒng)處理器總線1050和B系統(tǒng)處理器總 線1055進(jìn)行比較的功能���,對(duì)A系統(tǒng)處理器總線1050和B系統(tǒng)處理器總線1055的地址和寫還是讀的訪問(wèn)類型、寫入數(shù)據(jù)進(jìn)行比較�,在一致
的情況下�����,發(fā)出比較結(jié)果一致信號(hào)1062�����。
系統(tǒng)總線接口部1016根據(jù)A系統(tǒng)處理器總線1050���、 B系統(tǒng)處理
器總線1055����、 A系統(tǒng)高可靠訪問(wèn)信號(hào)1060����、 B系統(tǒng)高可靠訪問(wèn)信號(hào)
1061����、比較結(jié)果一致信號(hào)1062���,經(jīng)由系統(tǒng)總線1017����,訪問(wèn)高可靠IO
1018���、普通10 1020����、網(wǎng)絡(luò)10 1022�。
高可靠IO 1018連接到要求可靠性的輸入輸出裝置1019。
普通IO 1020連接到普通的可靠性就可以的輸入輸出裝置1021��。
網(wǎng)絡(luò)IO 1022是與網(wǎng)絡(luò)1023的接口�����,是在需要接收處理等由處
理器執(zhí)行的處理的情況下�����,發(fā)出網(wǎng)絡(luò)中斷1066,期待來(lái)自處理器的處
理的裝置��。
錯(cuò)誤檢測(cè)部1012具有以下功能根據(jù)A系統(tǒng)高可靠訪問(wèn)信號(hào) 1060���、 B系統(tǒng)高可靠訪問(wèn)信號(hào)1061��、比較結(jié)果一致信號(hào)1062,來(lái)判斷 A系統(tǒng)處理器1001和B系統(tǒng)處理器1003是正常動(dòng)作����,還是發(fā)生故障����。 在判斷為發(fā)生故障的情況下�����,發(fā)出故障報(bào)告信號(hào)1064����。
中斷控制部1005具有控制給予A系統(tǒng)處理器1001的A系統(tǒng)中 斷信號(hào)1053和給予B系統(tǒng)處理器1003的中斷信號(hào)1054的功能,由 用于發(fā)出A系統(tǒng)中斷信號(hào)1053的A系統(tǒng)中斷請(qǐng)求寄存器1006��、以及 表示中斷要因的A系統(tǒng)中斷要因寄存器1008構(gòu)成。另外���,還具有用 于發(fā)出B系統(tǒng)中斷信號(hào)1054的B系統(tǒng)中斷請(qǐng)求寄存器1007����、以及表 示中斷要因的B系統(tǒng)中斷要因寄存器1009�����。
構(gòu)成為可獨(dú)立地向A系統(tǒng)處理器1001��、 B系統(tǒng)處理器1003提供 中斷的結(jié)構(gòu)�。另外,A系統(tǒng)中斷請(qǐng)求寄存器1006����、 A系統(tǒng)中斷要因寄 存器1008、 B系統(tǒng)中斷請(qǐng)求寄存器1007��、 B系統(tǒng)中斷要因寄存器1009 構(gòu)成為可以從A系統(tǒng)處理器1001和B系統(tǒng)處理器1003進(jìn)行訪問(wèn)的結(jié) 構(gòu)��。
另外��,從外部輸入故障報(bào)告信號(hào)1064以及網(wǎng)絡(luò)中斷1066����。 A系 統(tǒng)中斷信號(hào)1053傳送從A系統(tǒng)中斷請(qǐng)求寄存器1006發(fā)生的中斷或由 故障報(bào)告信號(hào)1064發(fā)生的中斷�。這里���,由故障報(bào)告信號(hào)1064發(fā)生的中斷優(yōu)先于從A系統(tǒng)中斷請(qǐng)求寄存器1006發(fā)生的中斷���。
B系統(tǒng)中斷信號(hào)1054傳遞從B系統(tǒng)中斷請(qǐng)求寄存器1007發(fā)生的 中斷或由網(wǎng)絡(luò)中斷1066、故障報(bào)告信號(hào)1064發(fā)生的中斷���。這里���,由 故障報(bào)告信號(hào)1064發(fā)生的中斷優(yōu)先于從B系統(tǒng)中斷請(qǐng)求寄存器1007 發(fā)生的中斷,從B系統(tǒng)中斷請(qǐng)求寄存器1007發(fā)生的中斷優(yōu)先于網(wǎng)絡(luò) 中斷1066�����。即��,若按優(yōu)先順序排列���,則為由故障報(bào)告信號(hào)1064產(chǎn)生 的中斷、從B系統(tǒng)中斷請(qǐng)求寄存器1007發(fā)生的中斷�����、網(wǎng)絡(luò)中斷1066 這樣的順序。
圖5是說(shuō)明系統(tǒng)總線接口部1016的動(dòng)作狀態(tài)的狀態(tài)轉(zhuǎn)換圖�����。
系統(tǒng)總線接口部1016具有圖5所示的4個(gè)狀態(tài)�����。
狀態(tài)1200表示空閑狀態(tài)�,表示A系統(tǒng)處理器1001、 B系統(tǒng)處理
器1003都沒(méi)有訪問(wèn)系統(tǒng)總線1017的狀態(tài)��。
狀態(tài)1201表示A系統(tǒng)處理器訪問(wèn)狀態(tài)����,表示A系統(tǒng)處理器1001
訪問(wèn)普通IO 1018。
狀態(tài)1202表示B系統(tǒng)處理器訪問(wèn)狀態(tài)����,表示B系統(tǒng)處理器1003
訪問(wèn)網(wǎng)絡(luò)IO 1022。
狀態(tài)1203表示A系統(tǒng)和B系統(tǒng)處理器訪問(wèn)高可靠IO 1018的狀態(tài)�����。
從狀態(tài)1200轉(zhuǎn)換到狀態(tài)1201的轉(zhuǎn)換條件1204在A系統(tǒng)處理器 IOOI開(kāi)始執(zhí)行訪問(wèn)且A系統(tǒng)高可靠訪問(wèn)信號(hào)1060沒(méi)有發(fā)出的條件下 成立。
從狀態(tài)1200轉(zhuǎn)換到狀態(tài)1202的轉(zhuǎn)換條件1206在A系統(tǒng)處理器 1001沒(méi)有開(kāi)始執(zhí)行訪問(wèn)��、B系統(tǒng)處理器1003開(kāi)始執(zhí)行訪問(wèn)����、且B系 統(tǒng)高可靠訪問(wèn)信號(hào)1061沒(méi)有發(fā)出的條件下成立。
從狀態(tài)1200轉(zhuǎn)換到狀態(tài)1203的轉(zhuǎn)換條件1208在A系統(tǒng)處理器 IOOI開(kāi)始執(zhí)行訪問(wèn)�����、A系統(tǒng)高可靠訪問(wèn)信號(hào)1060發(fā)出�����、且B系統(tǒng)處 理器1003開(kāi)始執(zhí)行訪問(wèn)��、B系統(tǒng)高可靠訪問(wèn)信號(hào)1061發(fā)出�、且比較 結(jié)果一致信號(hào)1062發(fā)出的條件下成立。該條件表示A系統(tǒng)處理器 1001���、 B系統(tǒng)處理器1003 —起訪問(wèn)高可靠IO 1018的同一地址。轉(zhuǎn)換條件1205由于從普通IO 1020經(jīng)由系統(tǒng)總線1017發(fā)出的表 示訪問(wèn)結(jié)束的報(bào)告而成立���;轉(zhuǎn)換條件1207由于從網(wǎng)絡(luò)IO 1022經(jīng)由系 統(tǒng)總線1017發(fā)出的表示訪問(wèn)結(jié)束的報(bào)告而成立���;轉(zhuǎn)換條件1209由于 從高可靠IO 1018經(jīng)由系統(tǒng)總線1017發(fā)出的表示訪問(wèn)結(jié)束的報(bào)告而成立��。由于該狀態(tài)轉(zhuǎn)換�����,系統(tǒng)總線接口部1016依據(jù)A系統(tǒng)區(qū)域判斷部 1013���、 B系統(tǒng)區(qū)域判斷部1014的判斷結(jié)果,應(yīng)A系統(tǒng)處理器1001�����、 B 系統(tǒng)處理器1003的請(qǐng)求����,允許對(duì)連接到系統(tǒng)總線1017上的高可靠IO 1018、普通IO 1020�、網(wǎng)絡(luò)IO 1022中任何一個(gè)的訪問(wèn)。特別是��,對(duì) 于高可靠IO 1018的訪問(wèn)���,必須4吏表示A系統(tǒng)處理器1001�、 B系統(tǒng)處 理器1003共同訪問(wèn)高可靠IO 1018的同 一地址的轉(zhuǎn)換條件1208成立。另外�����,A系統(tǒng)總線準(zhǔn)備就緒信號(hào)1067在轉(zhuǎn)換條件1205和轉(zhuǎn)換條 件1209成立時(shí)發(fā)出���,B系統(tǒng)總線準(zhǔn)備就緒信號(hào)1065在轉(zhuǎn)換條件1207 和轉(zhuǎn)換條件1209成立時(shí)發(fā)出����。圖6是表示錯(cuò)誤檢測(cè)部1012的動(dòng)作的狀態(tài)轉(zhuǎn)換圖���。狀態(tài)1300為空閑狀態(tài)�����,表示A系統(tǒng)處理器���、B系統(tǒng)處理器都不 訪問(wèn)高可靠IO 1018的狀態(tài)。狀態(tài)1301是A系統(tǒng)處理器1001訪問(wèn)高可靠IO 1018���,在B系統(tǒng) 處理器1003輸出與自身處理器的輸出相同的輸出之前一直等待的狀�����。狀態(tài)1302是A系統(tǒng)處理器1001訪問(wèn)高可靠IO 1018,在B系統(tǒng) 處理器1003輸出與自身處理器的輸出相同的輸出之前待機(jī)����,但經(jīng)過(guò)一 定時(shí)間后�,判斷為超時(shí)錯(cuò)誤的狀態(tài)。狀態(tài)1303是A系統(tǒng)處理器1001和B系統(tǒng)處理器1003雖然訪問(wèn) 了高可靠10 1018��,但各個(gè)處理器的輸出不一致����、判斷為錯(cuò)誤的狀態(tài)。狀態(tài)1305是B系統(tǒng)處理器1003訪問(wèn)高可靠IO 1018�,在A系統(tǒng) 處理器1001輸出與自身處理器的輸出相同的輸出之前一直等待的狀 態(tài)。狀態(tài)1304是B系統(tǒng)處理器1003訪問(wèn)高可靠IO 1018����,在A系統(tǒng)處理器1001輸出與自身處理器的輸出相同的輸出之前一直等待,但經(jīng)過(guò)一定時(shí)間后��,判斷為超時(shí)錯(cuò)誤的狀態(tài)���。轉(zhuǎn)換條件1306在A系統(tǒng)高可靠訪問(wèn)信號(hào)1060發(fā)出����、B系統(tǒng)高可 靠訪問(wèn)信號(hào)1061沒(méi)有發(fā)出的條件下成立。轉(zhuǎn)換條件1307在B系統(tǒng)高可靠訪問(wèn)信號(hào)1061發(fā)出��、比較結(jié)果一 致信號(hào)1062發(fā)出的條件下成立���。轉(zhuǎn)換條件1309在B系統(tǒng)高可靠訪問(wèn)信號(hào)1061發(fā)出����、比較結(jié)果一 致信號(hào)1062沒(méi)有發(fā)出的條件下成立�。轉(zhuǎn)換條件1308在轉(zhuǎn)換條件1307、 1309不成立�、經(jīng)過(guò)一定時(shí)間的 條件下成立。轉(zhuǎn)換條件1316在B系統(tǒng)高可靠訪問(wèn)信號(hào)1061發(fā)出����、A系統(tǒng)高可 靠訪問(wèn)信號(hào)1060沒(méi)有發(fā)出的條件下成立。轉(zhuǎn)換條件1315在A系統(tǒng)高可靠訪問(wèn)信號(hào)1060發(fā)出�、比較結(jié)果一 致信號(hào)1062發(fā)出的條件下成立。轉(zhuǎn)換條件1312在A系統(tǒng)高可靠訪問(wèn)信號(hào)1060發(fā)出�����、B系統(tǒng)高可 靠訪問(wèn)信號(hào)1061發(fā)出����、比較結(jié)果一致信號(hào)1062沒(méi)有發(fā)出的條件下成 立�����。轉(zhuǎn)換條件1313在轉(zhuǎn)換條件1315、 1312不成立���、經(jīng)過(guò)一定時(shí)間的 條件下成立��。轉(zhuǎn)換條件1317在A系統(tǒng)高可靠訪問(wèn)信號(hào)1060發(fā)出�、B系統(tǒng)高可 靠訪問(wèn)信號(hào)1061發(fā)出��、比較結(jié)果一致信號(hào)1062沒(méi)有發(fā)出的條件下成 立�����。轉(zhuǎn)換條件1310�����、 1311���、 1314始終成立�,這意味著在向狀態(tài)1302、 1303���、 1304轉(zhuǎn)換后的下一個(gè)周期中�,向狀態(tài)1300轉(zhuǎn)換����。錯(cuò)誤檢測(cè)部1012管理A系統(tǒng)處理器1001和B系統(tǒng)處理器1003 對(duì)高可靠IO 1018的訪問(wèn)狀態(tài),對(duì)高可靠IO 1018執(zhí)行訪問(wèn)的處理器 在自身處理器的輸出與其他系統(tǒng)的處理器的輸出不一致的情況下����,或 其他處理器在一定時(shí)間內(nèi)不對(duì)高可靠IO 1018進(jìn)行訪問(wèn)的情況下,轉(zhuǎn) 換到狀態(tài)1302����、 1303、 1304,在該狀態(tài)1302����、 1303、 1304時(shí)發(fā)出故障報(bào)告信號(hào)1064���。高可靠IO 1018在故障報(bào)告信號(hào)1064被發(fā)出后��,識(shí)別出發(fā)生了 故障��,并將輸出切換到安全狀態(tài)��。這里��,所謂安全狀態(tài)包括繼續(xù)保持 當(dāng)前輸出的情況是安全狀態(tài)的情況��、或與切斷了電源的情況相同的狀 態(tài)是安全的情況�,隨每個(gè)執(zhí)行控制的對(duì)象而不同。另外���,在發(fā)生故障 后,錯(cuò)誤檢測(cè)部1012使用中斷信號(hào)1053�、 1054向A系統(tǒng)處理器1001 和B系統(tǒng)處理器1003報(bào)告故障中斷。接收到故障中斷的處理器迅速 中斷現(xiàn)狀的處理����,并執(zhí)行故障處理。圖7是表示A系統(tǒng)處理器1001和B系統(tǒng)處理器1003正常時(shí)的 處理動(dòng)作的時(shí)刻圖��。A系統(tǒng)處理器1001從控制任務(wù)0開(kāi)始順序處理任務(wù)�����,在最后的 控制任務(wù)n的處理結(jié)束后����,執(zhí)行用于啟動(dòng)B系統(tǒng)處理器高可靠任務(wù)的 啟動(dòng)任務(wù)�����。該啟動(dòng)任務(wù)通過(guò)訪問(wèn)中斷控制部1005內(nèi)部的B系統(tǒng)中斷 請(qǐng)求寄存器1997�����,使B系統(tǒng)處理器1003發(fā)生中斷而結(jié)束�。接下來(lái)���, A系統(tǒng)處理器1001執(zhí)行高可靠任務(wù)��。該高可靠任務(wù)對(duì)連接到高可靠 10 1018上的��、要求可靠性的輸入輸出裝置1019執(zhí)行控制�。A系統(tǒng)處 理器1001周期性地執(zhí)行從控制任務(wù)0開(kāi)始到高可靠任務(wù)為止的一連串 的處理�。另一方面,B系統(tǒng)處理器1003按照從網(wǎng)絡(luò)IO 1022發(fā)生的網(wǎng)絡(luò) 中斷�����,依次處理通信任務(wù)���,在由于A系統(tǒng)處理器1001執(zhí)行的啟動(dòng)任 務(wù)而接收到中斷后��,執(zhí)行與A系統(tǒng)處理器相同的高可靠任務(wù)�����。因此��, A系統(tǒng)處理器1001和B系統(tǒng)處理器1003執(zhí)行同一處理��,從而可以保 障2個(gè)處理器的輸出一致�����。B系統(tǒng)處理器1003在高可靠任務(wù)的處理結(jié) 束后��,再次按照從網(wǎng)絡(luò)IO 1022發(fā)生的網(wǎng)絡(luò)中斷1066�,依次處理通信 任務(wù)�。B系統(tǒng)處理器1003接收到中斷并且處理完畢后,對(duì)中斷控制部 1005執(zhí)行訪問(wèn)�,清除中斷要因。另外���,中斷控制部1005在由于訪問(wèn)B系統(tǒng)中斷請(qǐng)求寄存器1007 而發(fā)生的中斷進(jìn)入B系統(tǒng)處理器1003期間��,屏蔽優(yōu)先級(jí)低的網(wǎng)絡(luò)中 斷1066�,因此,在B系統(tǒng)處理器1003執(zhí)行高可靠任務(wù)期間�,網(wǎng)絡(luò)中 斷1066不進(jìn)入,從而不中斷處理�。如上所述,在執(zhí)行用于保證可靠性的處理時(shí)���,利用多個(gè)處理器來(lái)執(zhí)行處理�,比較多個(gè)輸出結(jié)果��,僅在一致的情況下執(zhí)行輸出���,從而提 高了可靠性�,對(duì)于不重視可靠性的處理���,多個(gè)處理器獨(dú)立動(dòng)作�����,從而 可以提高處理性能�����。
權(quán)利要求
1.一種控制裝置的任務(wù)管理裝置��,對(duì)于共同的數(shù)據(jù)處理對(duì)象����,以由至少2個(gè)系統(tǒng)執(zhí)行的處理結(jié)果為輸入,所述處理結(jié)果是由所述至少2個(gè)系統(tǒng)以相互可互換的方式運(yùn)算得到的����,其特征在于,所述任務(wù)管理裝置具有在從所述至少2個(gè)系統(tǒng)中的任意一個(gè)接收到開(kāi)始信號(hào)后�,向所述至少2個(gè)系統(tǒng)輸出運(yùn)算指示信號(hào)的單元;以及對(duì)根據(jù)所述開(kāi)始信號(hào)輸出的��、由所述至少2個(gè)系統(tǒng)執(zhí)行的處理結(jié)果進(jìn)行相對(duì)比較����,以允許輸出的單元�。
2. 如權(quán)利要求1所述的控制裝置的任務(wù)管理裝置,其特征在于����, 輸出信號(hào),以使所述至少2個(gè)系統(tǒng)中任意一個(gè)的運(yùn)算在與不同于所述 系統(tǒng)的系統(tǒng)的運(yùn)算不同的定時(shí)執(zhí)行�。
3. 如權(quán)利要求2所述的控制裝置的任務(wù)管理裝置�,其特征在于��, 對(duì)于不同的數(shù)據(jù)處理對(duì)象�����,輸入由至少2個(gè)系統(tǒng)執(zhí)行了不同運(yùn)算處理 后的處理結(jié)果�����。
4. 如權(quán)利要求3所述的控制裝置的任務(wù)管理裝置�����,其特征在于�, 在接收到表示所述不同運(yùn)算處理已經(jīng)結(jié)束的信號(hào)后,輸出允許所述可 互換的運(yùn)算的信號(hào)��。
5. 如權(quán)利要求3所述的控制裝置的任務(wù)管理裝置����,其特征在于, 在接收到表示所述可互換的運(yùn)算已經(jīng)結(jié)束的信號(hào)后����,輸出允許所述不 同運(yùn)算處理的信號(hào)��。
6. —種控制裝置的任務(wù)管理裝置��,其特征在于����,對(duì)于共同的數(shù)據(jù) 處理對(duì)象�,以由至少2個(gè)系統(tǒng)以可互換的方式執(zhí)行了運(yùn)算處理后的處 理結(jié)果為輸入,具有第l識(shí)別數(shù)據(jù)區(qū)域����,存儲(chǔ)用于識(shí)別所述至少2個(gè)系統(tǒng)中規(guī)定系統(tǒng) 的數(shù)據(jù)處理對(duì)象的識(shí)別數(shù)據(jù);第2識(shí)別數(shù)據(jù)區(qū)域���,存儲(chǔ)用于識(shí)別所述 至少2個(gè)系統(tǒng)中任意另一個(gè)系統(tǒng)的數(shù)據(jù)處理對(duì)象的識(shí)別數(shù)據(jù)��;第1處 理數(shù)據(jù)區(qū)域���,用于存儲(chǔ)作為所述至少2個(gè)系統(tǒng)中規(guī)定系統(tǒng)的處理結(jié)果的第l處理數(shù)椐;第2處理數(shù)椐區(qū)域��,用于存儲(chǔ)作為所述至少2個(gè)系 統(tǒng)中任意另一個(gè)系統(tǒng)的處理結(jié)果的第2處理數(shù)據(jù)�;和對(duì)照單元,在對(duì) 照所述第1識(shí)別數(shù)據(jù)和所述第2識(shí)別數(shù)據(jù)的同時(shí)�����,還對(duì)照所述第1處 理數(shù)據(jù)和所述第2處理數(shù)據(jù)�,其中,基于所述對(duì)照單元的對(duì)照來(lái)允許數(shù)據(jù)輸出��。
7. 如權(quán)利要求6所述的控制裝置的任務(wù)管理裝置�,其特征在于, 具有相對(duì)于執(zhí)行所述運(yùn)算處理的至少2個(gè)系統(tǒng)中的一個(gè)�,使另一個(gè)的 運(yùn)算延遲的延遲單元。
8. —種控制裝置的任務(wù)管理方法�����,對(duì)于共同的數(shù)據(jù)處理對(duì)象����,輸 入以相互可互換的方式運(yùn)算的、至少2個(gè)系統(tǒng)的處理結(jié)果����,在從所述 至少2個(gè)系統(tǒng)中的任意一個(gè)接收到開(kāi)始信號(hào)后,向所述至少2個(gè)系統(tǒng) 輸出運(yùn)算指示信號(hào)����,并對(duì)根據(jù)所述開(kāi)始信號(hào)輸出的���、由所述至少2個(gè) 系統(tǒng)執(zhí)行的處理結(jié)果進(jìn)行相對(duì)比較,以允許輸出��。
全文摘要
本發(fā)明提供了一種控制裝置的任務(wù)管理裝置和方法�,對(duì)于多個(gè)處理器,針對(duì)共同的數(shù)據(jù)處理對(duì)象����,輸入以可互換的方式運(yùn)算的處理結(jié)果,在從任何一個(gè)處理器接收到開(kāi)始信號(hào)后���,對(duì)于向處理器輸出運(yùn)算指示信號(hào)的運(yùn)算指示信號(hào)��,輸出為一個(gè)處理器和另一個(gè)處理器的動(dòng)作定時(shí)不同�。之后��,將一個(gè)處理器與另一個(gè)處理器的運(yùn)算效果進(jìn)行比較���。由于采用這種結(jié)構(gòu)��,對(duì)于多個(gè)處理器�����,可兼顧小型高性能化和安全性��,并實(shí)現(xiàn)高可靠性��。
文檔編號(hào)G05B19/418GK101329580SQ20081013004
公開(kāi)日2008年12月24日 申請(qǐng)日期2006年6月9日 優(yōu)先權(quán)日2005年6月10日
發(fā)明者小倉(cāng)真, 小林正光, 小野塚明弘, 山田勉, 梅原敬, 白石雅裕, 益子直也, 石川雅一, 船木覺(jué), 遠(yuǎn)藤浩通, 長(zhǎng)山久雄, 阪東明 申請(qǐng)人:株式會(huì)社日立制作所;日立信息控制系統(tǒng)有限公司