本发明专利技术公开一种控制装置,其通过诊断模块对关系到仲裁器调停的信号进行监视,在检测到信号胶着或调停控制部发生异常这些异常的情况下,安全地停止数据传送,防止安全数据误输出。从而提高在控制装置中对多个装置所输出的总线使用权请求进行调停的总线仲裁器动作的安全性,并通过基于外部诊断模块的监视机构来进行仲裁器动作的诊断,实现了高速应答性与安全性的两全。
【技术实现步骤摘要】
本专利技术涉及一种诊断装置、总线系统、线路诊断方法、总线系统控制 方法以及线路诊断程序。特别是一种安全性很理想的诊断装置、总线系统、 线路诊断方法、总线系统控制方法以及线路诊断程序。
技术介绍
近年来,对共同总线上的主控权进行调停的总线仲裁器(7—tf夕 arbiter)技术的提高非常引人注意。特别是PCI总线或ISA总线等PC系 统中所采用的共同总线中,数据传送速度的高速化正飞速发展,为了保证 这些系统的动作,必需存在多个调停总线主控权的总线仲裁器。总线仲裁器的动作,通过从来自多个总线主控器的总线权请求中,选 择总线主控器中的1个总线主控器,并借助于将总线权允许给该总线主控 器的调停机构来实现。所选择的总线主控器,取得总线权,并能够在总线 上传送数据。仲裁方式如PCI总线所代表, 一般通过主控器与仲裁器之间 的总线权请求的REQ信号与总线权许可GNT信号的输入输出来进行调 停。仲裁器的调停动作时,进行如下动作即按照某个所决定的独自的调 停算法对来自多个主控器的REQ信号进行调停,并将GNT信号输出给1 个主控器。关于总线主控器的技术,例如公开在特开2003—099395号公 报(专利文献l)中。另外,工厂与铁道、航空器等为了确保人或环境的安全而要求非常高的可靠性的系统中,要求即使系统内发生了故障或异常,作为系统全体也 是安全的,不会给外部带来不良影响的失效保护性。这样的系统,为了控制的高级化而通过电子装置来实现的部分的比率 有增加的倾向,电子装置本身也需要高可靠性。以装置的正常动作为前提的安全称作功能安全。近年来,制订了对用来确保使用电子装置的系统的功能安全的客观的水准进行了规定的IEC (International Electrotechnical Commission) 61508标准。为了实现满足该 水准的系统,从所构成的硬件到软件等所有部件,都需要设有各种各样的 高可靠性机构。例如,发电厂系统中,控制装置将来自控制终端的指示传达给I/0装置,让发电厂进行工作,但在控制这些i/o装置的控制装置中发生了故障或异常的情况下,控制对象发电厂有可能变为危险状态。因此导入了用来 实现失效保护的各种各样的构造。关于该控制装置内部的总线系统部分,是将两个主控器A、 B与多个 从控器A、 B经总线相连接,主控器A或B通过给从控器A、 B传送数据 来进行控制处理。为了提高含有这样的总线的控制装置的可靠性,而采用 将主控器A、 B、从控器A、 B以及总线所构成的传送系统分别设为2重 系统,对照两系统的数据,并通过不一致来检测出异常,让系统安全地过 渡或停止的冗长类结构。这样的双重系统用在很多领域中,但存在用来构 成该系统的成本或消耗功率变为数倍这一问题。因此,还考虑采用以下构成。也即,给总线添加l位的奇偶校验(八° y亍O信号,给主控器与从控器分别添加奇偶校验检查部。并且,各个 奇偶校验检查部中在给总线发送数据时,添加l位的奇偶校验码,在从总 线接收数据时,对1位的奇偶校验码进行检査并检测所传送的数据中是否 发生了错误。通过这样,提高了总线上所传送的数据的可靠性。另外,作 为检测出错误的信号,很多是使用错误修正码或巡回修正码等来代替奇偶 校验码。控制中,多个主控器与多个从控器之间,并不都需要数据传送,特开 平11一328383号公报(专利文献2)中,公开了在从控器与总线的连接部 分中设置总线开关,并有选择地对其进行开/关。另外,特开2005—276136 号公报(专利文献3)中,公开了以对总线进行分割的形式设置总线开关 并连接主控器与从控器的构成。通过这样,实现了一种在某个主控器与某 个从控器传送数据时,设置在不干扰该传送的场所中的另一主控器与从控 器,能够在同一个总线上同时进行数据传送的构造。在具有控制装置的控制领域中,应用该仲裁器技术的系统也常常被采 用。例如,控制工厂中,在控制面板中所安装的控制装置架的后面板(plain) 上,存在有具有仲裁器功能的插座,在通过能够成为总线主控器的多个插 头来对控制对象进行输入输出控制的情况下,使用共通总线,进行来自总 线主控器的数据传送读入、写入动作。特别是在要求数据的高速应答性的 控制区域中,为了不给在线软件的处理动作的定时性带来影响,而在对包 括从多个总线主控器所大量传送的通信数据的大容量数据传送进行处理 的情况下,需要通过仲裁器动作来高速切换总线主控器的调停,在数据传 送与调停切换动作中要求高速性。这种情况下的总线形态,可以采用独立 总线或目前为主流的PCI总线所代表的一般的系统总线中的任一种。另外,任务批评(mission critical)的控制领域中的控制装置,当然要 担当通过面向控制对象的数据输入输出来控制机器并进行保护的作用,控 制装置动作关系到控制对象(处理侧)的机器安全性或人命保护的事例在 装置、系统的性质上被充分考虑,因此对系统以及对其进行控制的控制装 置的安全性的要求非常高。与此对应的一个动向是,国际标准即IEC61508 在控制装置中的应用正在以海外为中心不断发展。在该功能安全标准 正C61508中,关于总线仲裁器的安全要求事项作为一部分被进行了规定, 通过满足该安全请求事项,能够作为控制装置接近确保给定的安全水准。在该功能安全中,为了保证控制装置不进行危险的动作,而必须对主 要功能实施诊断动作。对于担负着总线的中枢的仲裁器动作,标准中也同 样要求进行诊断。必须使得根据来自控制对象(处理侧)的输入数据, 对安全数据进行处理并输出给处理的中央处理装置成为总线主控器,并不 会因总线上所传输的关系到安全的数据对控制对象的误输出、误动作,而 给安全动作带来影响。另外,即使在发生了仲裁器的误动作的情况下,也 必须检测出异常,在反应时间内停止针对处理的安全数据输出,证明没有 造成安全数据破坏、向控制对象误输出了安全数据。作为用来提高控制装置的安全性的技术,提出了各种各样的诊断方法。通过应用微处理器或总线的诊断、对存储器或ASIC、输入输出的诊 断,能够提高诊断率,但是关于对总线仲裁器所考虑的故障模式(异常), 只通过上述诊断来覆盖(cover)有些情况下是不够的,为了进一步提高诊 断率,必需有对仲i裁器功能的诊断。首先,作为仲裁器中所能够考虑的故障模式,考虑因总线请求信号 REQ与总线许可信号GNT的信号胶着所引起的误动作,或仲裁器内部的 进行调停动作的功能或进行状态控制的功能等因异常动作的功能不全而 引起的仲裁器误动作。在发生了这种故障的情况下,对于存在有可能变为 无法检测出异常的危险侧动作的故障模式的情况下,必须对安全数据传输 的安全性进行考虑。因此为了提高控制装置的安全性,对如上所述有可能 对安全数据传输带来影响的故障模式进行诊断。作为诊断的方法之一,考虑通过软件来诊断仲裁器动作的方法。如果 是基于软件的诊断,则存在与通过微处理器所生成的诊断模式所实施的诊 断动作相比,能够更加灵活地进行仲裁器诊断的优点,另一方面,存在诊 断处理程序的生成所需要的工时与在线动作中的诊断处理时间增大这一 难点。特别是后者中,在进行要求高速应答性的高速输入输出动作的实时 处理中, 一旦数据传输中断就需要确保诊断处理时间,这种情况下,无法 确保安全数据的定时性本文档来自技高网...
【技术保护点】
一种总线系统,其中1个以上的主控器与多个从控器经由总线开关与总线相连接,并在上述主控器与上述从控器之间传送数据,其特征在于, 具有: 第1数据传送期间指定机构,其备置在上述主控器中,对第1数据的传送期间进行指定;以及 开关控制机构,其在指定了上述第1数据传送期间时,将与作为上述第1数据的传送对象的主控器和从控器相对应的上述总线开关分别设为ON状态,同时将与上述第1数据的传送对象以外的主控器和从控器相对应的上述总线开关分别设为OFF状态。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:小林英二,阪东明,小林正光,白石雅裕,小野塚明弘,梅原敬,小仓真,石川雅一,古田康幸,船木觉,关裕介,大谷辰幸,酒田辉昭,岛村光太郎,
申请(专利权)人:株式会社日立制作所,日立信息控制系统有限公司,
类型:发明
国别省市:JP[日本]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。