诊断装置及方法、总线系统及其控制方法、线路诊断程序的制作方法

专利名称：诊断装置及方法、总线系统及其控制方法、线路诊断程序的制作方法
技术领域：
本发明涉及一种诊断装置、总线系统、线路诊断方法、总线系统控制 方法以及线路诊断程序。特别是一种安全性很理想的诊断装置、总线系统、 线路诊断方法、总线系统控制方法以及线路诊断程序。
背景技术：
近年来，对共同总线上的主控权进行调停的总线仲裁器(7—tf夕 arbiter)技术的提高非常引人注意。特别是PCI总线或ISA总线等PC系 统中所采用的共同总线中，数据传送速度的高速化正飞速发展，为了保证 这些系统的动作，必需存在多个调停总线主控权的总线仲裁器。
总线仲裁器的动作，通过从来自多个总线主控器的总线权请求中，选 择总线主控器中的1个总线主控器，并借助于将总线权允许给该总线主控 器的调停机构来实现。所选择的总线主控器，取得总线权，并能够在总线 上传送数据。仲裁方式如PCI总线所代表， 一般通过主控器与仲裁器之间 的总线权请求的REQ信号与总线权许可GNT信号的输入输出来进行调 停。仲裁器的调停动作时，进行如下动作即按照某个所决定的独自的调 停算法对来自多个主控器的REQ信号进行调停，并将GNT信号输出给1 个主控器。关于总线主控器的技术，例如公开在特开2003—099395号公 报(专利文献l)中。
另外，工厂与铁道、航空器等为了确保人或环境的安全而要求非常高
的可靠性的系统中，要求即使系统内发生了故障或异常，作为系统全体也 是安全的，不会给外部带来不良影响的失效保护性。
这样的系统，为了控制的高级化而通过电子装置来实现的部分的比率 有增加的倾向，电子装置本身也需要高可靠性。
以装置的正常动作为前提的安全称作功能安全。近年来，制订了对用
来确保使用电子装置的系统的功能安全的客观的水准进行了规定的IEC (International Electrotechnical Commission) 61508标准。为了实现满足该 水准的系统，从所构成的硬件到软件等所有部件，都需要设有各种各样的 高可靠性机构。
例如，发电厂系统中，控制装置将来自控制终端的指示传达给I/0装
置，让发电厂进行工作，但在控制这些i/o装置的控制装置中发生了故障
或异常的情况下，控制对象发电厂有可能变为危险状态。因此导入了用来 实现失效保护的各种各样的构造。
关于该控制装置内部的总线系统部分，是将两个主控器A、 B与多个 从控器A、 B经总线相连接，主控器A或B通过给从控器A、 B传送数据 来进行控制处理。为了提高含有这样的总线的控制装置的可靠性，而采用 将主控器A、 B、从控器A、 B以及总线所构成的传送系统分别设为2重 系统，对照两系统的数据，并通过不一致来检测出异常，让系统安全地过 渡或停止的冗长类结构。这样的双重系统用在很多领域中，但存在用来构 成该系统的成本或消耗功率变为数倍这一问题。
因此，还考虑采用以下构成。也即，给总线添加l位的奇偶校验(八° y亍O信号，给主控器与从控器分别添加奇偶校验检查部。并且，各个 奇偶校验检查部中在给总线发送数据时，添加l位的奇偶校验码，在从总 线接收数据时，对1位的奇偶校验码进行检査并检测所传送的数据中是否 发生了错误。通过这样，提高了总线上所传送的数据的可靠性。另外，作 为检测出错误的信号，很多是使用错误修正码或巡回修正码等来代替奇偶 校验码。
控制中，多个主控器与多个从控器之间，并不都需要数据传送，特开 平11一328383号公报(专利文献2)中，公开了在从控器与总线的连接部 分中设置总线开关，并有选择地对其进行开/关。另外，特开2005—276136 号公报(专利文献3)中，公开了以对总线进行分割的形式设置总线开关 并连接主控器与从控器的构成。通过这样，实现了一种在某个主控器与某 个从控器传送数据时，设置在不干扰该传送的场所中的另一主控器与从控 器，能够在同一个总线上同时进行数据传送的构造。
在具有控制装置的控制领域中，应用该仲裁器技术的系统也常常被采 用。例如，控制工厂中，在控制面板中所安装的控制装置架的后面板(plain) 上，存在有具有仲裁器功能的插座，在通过能够成为总线主控器的多个插 头来对控制对象进行输入输出控制的情况下，使用共通总线，进行来自总 线主控器的数据传送读入、写入动作。特别是在要求数据的高速应答性的 控制区域中，为了不给在线软件的处理动作的定时性带来影响，而在对包 括从多个总线主控器所大量传送的通信数据的大容量数据传送进行处理 的情况下，需要通过仲裁器动作来高速切换总线主控器的调停，在数据传 送与调停切换动作中要求高速性。这种情况下的总线形态，可以采用独立 总线或目前为主流的PCI总线所代表的一般的系统总线中的任一种。
另外，任务批评(mission critical)的控制领域中的控制装置，当然要 担当通过面向控制对象的数据输入输出来控制机器并进行保护的作用，控 制装置动作关系到控制对象(处理侧)的机器安全性或人命保护的事例在 装置、系统的性质上被充分考虑，因此对系统以及对其进行控制的控制装 置的安全性的要求非常高。与此对应的一个动向是，国际标准即IEC61508 在控制装置中的应用正在以海外为中心不断发展。在该功能安全标准 正C61508中，关于总线仲裁器的安全要求事项作为一部分被进行了规定， 通过满足该安全请求事项，能够作为控制装置接近确保给定的安全水准。
在该功能安全中，为了保证控制装置不进行危险的动作，而必须对主 要功能实施诊断动作。对于担负着总线的中枢的仲裁器动作，标准中也同 样要求进行诊断。必须使得根据来自控制对象(处理侧)的输入数据， 对安全数据进行处理并输出给处理的中央处理装置成为总线主控器，并不 会因总线上所传输的关系到安全的数据对控制对象的误输出、误动作，而 给安全动作带来影响。另外，即使在发生了仲裁器的误动作的情况下，也 必须检测出异常，在反应时间内停止针对处理的安全数据输出，证明没有 造成安全数据破坏、向控制对象误输出了安全数据。
作为用来提高控制装置的安全性的技术，提出了各种各样的诊断方
法。通过应用微处理器或总线的诊断、对存储器或ASIC、输入输出的诊 断，能够提高诊断率，但是关于对总线仲裁器所考虑的故障模式(异常)， 只通过上述诊断来覆盖(cover)有些情况下是不够的，为了进一步提高诊 断率，必需有对仲i裁器功能的诊断。
首先，作为仲裁器中所能够考虑的故障模式，考虑因总线请求信号 REQ与总线许可信号GNT的信号胶着所引起的误动作，或仲裁器内部的 进行调停动作的功能或进行状态控制的功能等因异常动作的功能不全而 引起的仲裁器误动作。在发生了这种故障的情况下，对于存在有可能变为 无法检测出异常的危险侧动作的故障模式的情况下，必须对安全数据传输 的安全性进行考虑。因此为了提高控制装置的安全性，对如上所述有可能 对安全数据传输带来影响的故障模式进行诊断。
作为诊断的方法之一，考虑通过软件来诊断仲裁器动作的方法。如果 是基于软件的诊断，则存在与通过微处理器所生成的诊断模式所实施的诊 断动作相比，能够更加灵活地进行仲裁器诊断的优点，另一方面，存在诊 断处理程序的生成所需要的工时与在线动作中的诊断处理时间增大这一 难点。特别是后者中，在进行要求高速应答性的高速输入输出动作的实时 处理中， 一旦数据传输中断就需要确保诊断处理时间，这种情况下，无法 确保安全数据的定时性、定刻性。其结果是，要求高速的控制的在线处理 的实时性有可能招致致命的结果，在性能确保方面存在问题。
作为另一问题是，仲裁器通常通过本地LSI (ASIC)来实现，在对其 进行诊断的电路自身也通过与仲裁器相同的LSI内部的硬件逻辑来实现的 情况下，发生了异常的情况下的波及范围很困难。另外，如果在仲裁器中 发生了某种异常的情况下，需要验证对其进行诊断的同一LIS内的诊断电 路是否正常起作用。
本发明的目的之一，是提供一种能够解决以上问题中至少1个的诊断 装置、线路诊断方法、以及线路诊断程序。
另外，例如在某个主控器向某个从控器进行数据传送的正当中，如果 与传输无关的其他从控器发生了故障，如果非法数据不慎流入到总线中， 总线的数据就有可能被扰乱。在由于该总线数据的扰乱，而使得在构成总
线数据的信号中只有1位发生了变化的情况下，就有可能通过奇偶校验信 号与奇偶校验检查检测出来。但在多个位一次变化，或主控器传送给从控 器的数据都被其他从控器所流入的非法数据所改写的情况下，无法通过奇 偶校验码或错误修正码等检测出来。在此时所传送的数据是关系到系统的 功能安全的重要数据的情况下，结果有可能导致系统陷入危险状态。
专利文献l的方式是在主控器经总线向特定的从控器传送数据时，其 他从控器与本地存储器之间进行处理的构造，但对于对象系统来说，没有 判断是否是关系到功能安全的数据的机构。因此，数据传送之后，从控器 被从总线上断开，在此情况与本地存储器之间进行处理。所以关系到功能 安全的处理无法在从控器侧进行，另外在主控器或从控器发生了故障，或 总线开关发生了故障的情况下，没有保证装置与系统的安全性的机构，也 没有会变为什么样的状态的记载。
另外，专利文献2中，也没有对是否是关系到功能安全的数据进行判 断的机构，关于主控器或从控器发生了故障，或总线开关发生了故障的状 况，没有公开保证安全性的方法。
本发明的目的之一在于，提供一种在应当优先的数据传送中，能够防 止与该应当优先的数据的传送无关的部分中所产生的故障的影响波及到 与应当优先的数据的传送有关的部分的这种可靠性高的系统。

发明内容
为实现上述目的，本发明具有调停控制部，其在经第2通信线路接 收关于控制对象的信息的设备中，经第1通信线路发送接收用来调停上述 第2通信线路的使用权的信号；以及诊断部，其对上述第l通信线路的信 号进行监视，判断上述调停部的异常，上述诊断部，在判断出上述调停部 的异常的情况下，输出抑制上述第2通信线路的通信的信号。
另外，为了提高控制装置自身的诊断率，不依赖于成为数据传送的路 线的总线诊断技术或微处理器的诊断，还设置了具有针对仲裁器功能的诊 断机构的外部诊断装置，通过该装置，在仲裁器检测出异常时，安全地停 止数据输出，由此来实现。
根据本发明，"线路诊断装置"是由与仲裁器中所内置的系统LSI不
同的部件所构成的诊断装置，通过对总线主控器输出给仲裁器的总线权请
求REQ信号、仲裁器输出给总线主控器的总线权许可GNT信号、以及其 他与仲裁器动作相关联的信号进行监视，来进行仲裁器动作的诊断。
诊断装置的监视时序，在在线动作中的总线传送循环前的调停期间中 进行。如前面的"发明目的"中所述，为了消除进行基于软件的仲裁器诊 断动作的情况下的性能降低，而在调停期间中进行基于诊断装置的硬件的 监视，从而不会发生数据传送的中断。通过在监视时序期间中，对总线权 许可GNT信号的输出状态进行监控，能够检测出仲裁器的动作是正常还 是异常。调停期间中，通常不会发生如下情况即总线权许可信号同时作 为有效状态输出给多个总线主控器。假设在发生了这样的同时输出的情况 下，就认为是发生了信号的胶着，或仲裁器内的总线权许可GNT信号生 成部的异常等，通过诊断装置对总线权许可GNT信号进行监视，就能够 进行仲裁器功能的诊断。发生了这样的同时输出的情况下，由于误识别出 多个仲裁器接收到了总线权，同时向总线输出数据，因此有可能发生数据 冲突。在传送安全数据的情况下， 一旦变为这样的状况，安全数据就会被 破坏，因此，诊断装置具有如下机构即在检测到本异常时，迅速对安全 数据进行保护，同时给总线控制部输出停止指示，由此将数据停止在安全
上述监视机构仅仅是一例，作为其他监视方法，通过进行仲裁器的状 态迁移监视、与线路上的安全数据传送状态信号联动的总线SW控制信号 开/关状态的监视、以及GNT信号的监视，提高仲裁器的诊断率的方法， 以及从外部的微处理器通过软件来测试诊断装置的方法，在本发明的实施 例中进行了说明。
另外，本发明是一种1个以上的主控器与多个从控器经总线开关与总 线相连接，在上述主控器与上述从控器之间传送数据的总线系统，其特征 在于，具有第l数据传送期间指定部，其设置在上述主控器中，指定第 l数据的传送期间；以及开关控制部，其在指定了上述第l数据传送期间 时，将与作为上述第1数据的传送对象的主控器和从控器相对应的上述总 线开关分别设为ON状态，同时将从上述第1数据的传送对象以外的主控 器和控器相对应的上述总线开关分别设为OFF状态。
作为本发明的优先方式，上述第l数据的传送，在对于对象系统来说
传送数据有2种时，是其中的应当优先的数据的传送。
另外，作为本发明的优选方式，上述第1数据的传送，是对象系统的 安全动作的维持所必需的数据传送。
另外，作为本发明的优选方式，上述第1数据是关系到对象系统的基 本功能的数据，此外的传送数据是关系到对象系统的辅助功能的数据。
例如，如果采用发电厂为例，则关于发电厂控制功能的数据是对象系 统的基本功能的相关数据，对上述发电厂的运转状况进行监视并显示的控 制监视器用数据，是作为对象的发电厂系统的辅助功能的相关数据。
通过釆用本发明，不会降低传送性能，而能够实现高速应答性与数据 传送、调停控制动作的安全性的两全，通过这样能够提高控制装置全体的 安全性。更具体的说，通过与仲裁器分开的部件所构成的诊断装置，对某 个在线动作中的数据传送时的时序进行监视，仲裁器动作异常的诊断并不 依赖于软件诊断处理，而是通过基于硬件的监视机构来进行，从而不会因 阻碍线路上的数据传送而致使传送性能降低，能够实现高速应答性与数据 传送、调停控制动作的安全性的两全，通过这样能够提高控制装置全体的 安全性。
另外，通过将总线与主控器和从控器的连接间所设置的总线开关，在 第l数据的传送中，将与该传送无关的主控器和从控器从总线上断幵，能 够减少对总线上流通的数据传送的损害的发生。
相应的，不需要将总线或电路多重化，只在现有的总线系统中增加低 成本的改良，就能够实现一种使应当优先的数据传送非常可靠的高可靠性 总线系统。
本发明的其他目的与特征，通过以下所述的实施例的说明来明确。


图1为线路诊断装置的全体结构图。
图2为线路诊断装置的内部结构图。
图3为正常动作时的状态迁移与时序图。
图4为基于软件的调停控制部的诊断实施例图。
图5为线路诊断装置的实施例l一l图。
图6为线路诊断装置的实施例l一2图。 图7为线路诊断装置的实施例2—1图。 图8为线路诊断装置的实施例2—2图。 图9为线路诊断装置的实施例3 — 1图。 图10为线路诊断装置的实施例4一1图。 图11为线路诊断装置的实施例4一2图。 图12为线路诊断装置的实施例4一3图。
图13为本发明的另一实施例的总线系统结构方框图，示出了优先(安
全)数据传送时的总线开关的状况。
图14为总线系统中的开关控制部的方框图。
图15为总线系统中，传送优先(安全)数据时的时序图。
图16为总线系统的结构方框图，示出了非优先(通常)数据传送时
的总线开关的状况。
图17为总线系统中，传送非优先(通常)数据时的时序图。
图18为本发明的另一实施例的具有诊断总线开关OFF胶着的功能的
总线系统方框图。
图19为开关控制部的详细方框图。
图20为具有诊断总线开关ON胶着的机构的总线系统方框图。
图21为表示总线开关与开关诊断处理的流程的时序图。
图22为总线开关中所使用的晶体管单元的构成例图。
图23为发电厂中所采用的应用例方块结构图。
图24为汽车中所采用的应用例方块结构图。
图25为多功能移动电话中所采用的应用例方框结构图。
具体实施例方式
下面对本发明的实施例进行说明。
图1中示出了成为本发明的线路诊断装置所使用的控制装置的全体结 构例。控制装置由通过成为数据传送通路的线路2所连接的中央运算存储 装置CPUIO、进行通信控制的通信控制装置P03Q、成为与控制对象之间
的接口的输入装置140、以及输出装置150所构成。
下面对控制装置的基本动作进行说明。中央运算存储装置CPUIO，借 助于经由线路2 61与通信控制装置P030内的数据寄存器33进行数据传 送而进行发送接收动作。写入到数据寄存器33中的发送接收数据，经过 串行线路或基于并行传送的线路3 62发送给通信控制装置Sl。在接收时， 经线路3所接收到的数据被写入到数据寄存器33中，并由中央运算存储 装置CPU10读出。同样，中央运算存储装置CPUIO，在输入装置140的 输入数据寄存器42以及输出装置1 50的输出数据寄存器52之间进行数据 传送。从控制对象70向输入装置140的处理输入数据43，被写入到输入 数据寄存器42中，并由中央运算存储装置CPU10读出。另外，从中央运 算存储装置CPU10写入到输出装置1 50内的输出数据寄存器52中的数 据，被作为处理输出数据53输出给控制对象70。
中央运算存储装置CPU10与通信控制装置PO 30之间，具有进行向 线路2 61的数据传送控制的线路控制部13、 31。线路控制部由线路261 的线路使用权请求与线路使用权允许信号构成，由中央运算存储装置 CPU10内的调停控制部12来进行该信号的调停控制。另外，通信控制装 置P030、输入装置140、以及输出装置150内，设有线路SW (总线SW) 32、 41、 51。该总线SW具有将线路2 61与装置间电连接或断开的开关功 能，开关控制信号包括在线路160的一部分中。开关控制信号是基于中央 运算存储装置CPU10的调停处理部12的输出信号，通信控制装置PO 30、 输入装置1 40、以及输出装置1 50与中央运算存储装置CPU10 —对一地 连接。
中央控制装置CPU10或通信控制装置PO 30，能够在控制装置中取得 总线权并使用线路261。各个控制装置取得总线权时，使用线路l的总线 权使用请求信号与总线权使用允许信号，进行线路调停控制。在中央运算 存储装置CPU10进行数据传送请求时，线路控制部13将线路使用权请求 信号输出给调停控制部12，线路控制部13接收到了调停控制部12所输出 的线路1 60的线路使用权允许信号之后，将数据寄存器11的数据经线路 2 61发送给发送目的地。另外，在通信控制装置PO 30进行数据传送请求 时，也是一样的顺序，线路控制部31将线路使用权请求信号输出给调停
控制部12，线路控制部31接收到了调停控制部12所输出的线路160的线 路使用权允许信号之后，将通信控制装置PO 30内的数据寄存器33的数 据经线路2 61发送给发送目的地。
接下来，对本发明的线路诊断装置20进行说明。线路诊断装置20， 对关系到数据传送的线路2 61与关系到调停动作的线路1 60的信号进行 监视。本实施例中，在有总线使用权的中央运算存储装置CPU IO与通信 控制装置30之间交互进行线路使用请求的情况下，线路2的使用调停动 作通过线路1 60的信号由调停控制部12进行。线路诊断装置20内的监视 部22，对关系到线路1的调停动作的信号动作，与线路2 61的时序信号 联动而对时序进行监视，在检测到了线路2 61的异常动作的情况下，向该 线路诊断装置20内的动作指示部进行异常通知，通过动作指示部21对中 央运算存储装置CPU 10内的线路控制部13的指令，进行将数据输出停止 的动作。
下面使用图2，对基于线路1 60的调停控制动作时序与线路诊断装置 20的监视动作进行详细说明。
图2中对线路诊断装置20内的结构图、线路1 60的调停控制动作时 序的详细内容、以及线路诊断装置20的内监视部22的监视信号进行说明。 图2中，除了图1中所说明的中央运算存储装置CPU10与线路诊断装置 20以外，由对线路2 61的线路使用权请求进行输出并使线路2 61可使用 的多个通信控制装置所构成的通信控制装置P0 30、通信控制装置P1 80、 以及通信控制装置P2 90构成。关系到线路调停控制的线路1 60信号的详 细内容如下所述。中央运算存储装置CPUIO内的线路控制部13所输出的 线路使用权请求信号98与调停控制部12内的GNT生成部15所输出的线 路使用权许可信号97、通信控制装置PO 30所输出的线路使用权请求信号 36与上述GNT生成部15所输出的线路使用权许可信号35以及开关控制 信号153、通信控制装置Pl 80所输出的线路使用权请求信号86与上述 GNT生成部15所输出的线路使用权许可信号85以及开关控制信号155、 以及通信控制装置P290…Pn所输出的线路使用权请求信号96与上述GNT 生成部15所输出的线路使用权许可信号95以及开关控制信号154，构成 线路160。通过调停控制部12内的调停部14所输出的GNT切换指示(信
号)16， GNT生成部15进行如下动作即通过线路调停控制，将线路使 用权许可信号，从来自多个的、输出了线路使用请求的装置中，输出到l 台装置。GNT切换指示(信号)16，通过调停控制部12内的调停部14 的状态迁移输出而生成，调停部14内的状态迁移，由来自线路160与线 路2 61的输入输出信号状态生成。详细的时序图将在图3中说明。
本发明的线路诊断装置20与成为数据传送通道的线路2 61相连接， 通过与调停控制部12不同的部件构成。线路诊断装置20，具有通过对上 述线路1 60、线路2 61、以及调停控制部12内的调停部14所输出的表示 调停动作状态的STATE信号进行监视，来检测出调停控制部的异常动作 的机构，同时，具有在异常检测时，通过由动作指示部21向中央运算存 储装置CPU10内的线路控制部13输出指令，来停止输出数据的机构。
图2所示的构成中，通过对在中央运算存储装置CPU10与通信控制 装置PO 30、 Pl 80、 P2 90之间进行调停控制动作的线路1 60的所有信号 进行监视，能够检测出各个装置在线路使用请求时所进行的调停动作的异 常动作。作为该诊断模块的诊断范围，并不仅限于线路1 60的信号的断线 或开路，或有可能因短路而产生的High电平或Low电平胶着(固着)的 信号校准诊断，关于调停控制部12内的状态迁移误动作或功能模块的动 作异常，也能够通过对该信号进行监视来进行诊断。特别是调停控制部含 有复杂的逻辑，通常由LSI (惯用ASIC: custom ASIC)实现，在发生了 LSI内部的逻辑异常或功能异常的情况下，通过该LSI以外的第3部件所 构成的诊断装置，不但能够诊断外部的信号胶着异常，还能够诊断调停控 制部的内部动作。另外，通过采用本发明，不需要基于软件的诊断处理， 而是通过线路诊断装置20的硬件来进行调停动作的诊断，这样，线路261 上的数据传送由线路诊断装置20的硬件监视机构来诊断，不会因软件诊 断处理而中断，通过这样，不会阻碍实时控制中的数据的定时性，定刻性， 而能够实现数据传送与调停控制动作的安全性与高速应答性的两全。
下面，图3中示出了调停控制部的正常动作时的时序图，图4中示出 了通过软件处理实施调停控制部的诊断的情况下的数据应答性以及对数 据传送的影响。
图3中对正常动作时的调停控制部的动作时刻进行了说明。示出了在
由中央运算存储装置CPU10与通信控制装置PO 30所构成的控制装置中， 从中央运算存储装置CPU10与通信控制装置PO 30同时发出了线路261 的线路使用权请求的情况下，关于调停控制部12内的调停部14所输出的 表示调停状态迁移的STATE信号23，与线路1 60上的线路使用权许可信 号GNT的状态、线路261上的总线传送状态的时序图。
上述STATE信号23中，从线路261的调停动作到总线传送完成，存 在有T1 T4这5个状态。STATE二TO为"IDLE状态"，表示是进行总 线调停动作之前的IDLE状态。STATE=T1为"ARB状态"，表示处于 基于来自多个装置的线路使用权请求信号的调停动作中。STATE二T2为 "ACKWAIT"状态，表示以GNT切换指示16的输出时刻为触发，对通 过上述"ARB状态"的调停动作而被选择的装置，发布线路使用权许可信 号GNT。图3中，示出了给中央运算存储装置CPU10发布GNT的例子。 STATE=T3是"ACKBUSY状态"，表示处于得到了线路使用权许可的 装置使用线路2 61的数据传送中。这里所示的TS (CPU、 PO)，其括号 内前项表示发送源装置，后项表示发送目的地装置，图3中示出了正在进 行从中央运算存储装置CPU10向通信控制装置PO 30的数据传送。STATE 二T4为"WAIT状态"，表示是迁移到数据传送完成后的IDLE状态之前 的待机时间。
调停控制部的动作如图3所示，基本上是在STATE=T1的时刻对来 自多个装置的线路使用权请求信号REQ进行调停，在STATE二T2的时刻， 对所选择的1台装置输出线路使用权许可信号GNT，由此得到了 GNT的 装置(图3中为中央运算存储装置CPU10)能够进行总线传送。也即， STATE二T2期间中，给中央运算存储装置CPU10以外的GNT (图3中为 给通信控制装置PO 30的GNT)无法同时输出。或者在发生了这样的状态 的情况下，考虑是调停控制部12的误动作或功能异常，或线路160的信 号胶着等原因，其影响是由于通信控制装置PO30误检测出总线使用权 许可信号，而使得中央运算存储装置CPU与通信控制装置PO 30的数据 传送同时进行，有可能破坏本来中央运算存储装置CPU10应当输出的数 据。
如上所述，作为由对线路使用权请求REQ进行输出的多个装置所构
成的控制装置所构成的通常动作时的线路261的时序图，是由调停控制部 12所控制的T0 T4之间的状态迁移反复执行，进行数据传送。作为本发 明的线路诊断装置，是以通过硬件对线路160信号进行监视为特征的一机 构，图4中示出了实施软件诊断的情况下的动作时序。
图4中对调停控制部的软件诊断流程控制进行了说明。作为采用基于 软件的诊断机构的优点，可以列举出通过生成丰富的诊断模式来很容易地 提高诊断对象的诊断率。国际安全标准IEC61508中，作为与仲裁器(7 一tf夕arbiter)相关的安全请求事项，也规定了信号胶着的诊断、调停 动作的内部诊断方法，并且使用软件处理也能够进行这些诊断。特别是为 了提高实现仲裁器的LSI的诊断率，推荐进行到仲裁器功能诊断或内部动 作诊断。
如上所述，图4中示出了将使用软件诊断的情况下的时序图与图3中 所示的调停控制部的正常动作的组合起来的情况。以图1的构成为前提， 在中央运算存储装置CPU10与通信控制装置PO 30之间进行数据传送的 控制装置中，按照以下顺序进行诊断处理与数据传送处理。
时序图示出了首先，中央运算存储装置CPU10实施针对调停控制 部的诊断处理130，根据来自控制对象的输入数据，进行输入处理A133。 一旦输入处理A133结束，中央运算存储装置CPU10便将数据寄存器11 中所存储的数据，经线路2 61传送给通信控制装置PO 30内的数据寄存器 33。之后，通信控制装置PO30得到线路使用权许可，进行向线路2的数 据传送，接下来，中央运算存储装置CPU10再次得到线路使用权许可， 进行对线路2的数据传送。各个数据的线路使用权许可，通过调停控制部 12的调停动作产生切换动作，并基于图3中所示的正常动作时序图，进行 数据传送。通常的中央运算存储装置CPU10的微处理器所进行的在线处 理相当于输入处理A133、输入处理B134、运算处理135，其与线路261 的数据传送动作并行，或在其他期间中进行，因此不会因为基于微处理器 的处理而对线路2的数据传送带来影响，而阻碍定时性、定刻性。另外， 基于软件的调停控制部12的诊断处理，相当于诊断处理130、诊断处理 131、以及诊断处理132，其通过将线路2的数据传送暂时中断来进行。
由于软件诊断处理的实施频度，数据定刻性的变动不是一定的，但在
寻求上述诊断率提高的另一方面，为了确保数据的高速应答性与定时性、 定刻性，还存在有问题。因此，通过采用作为本发明的硬件监视机构所实
现的线路诊断装置的诊断方法，能够解决上述问题。下面对照图5 图11， 对本发明的线路诊断装置的实施例进行说明。 (实施方式l的说明) 图5与图6中，对线路诊断装置中进行监视、检测的调停控制部的故 障模式与异常动作以及异常检测时的解决方法之一进行说明。上述图3的
说明中，在调停控制部12所输出的线路使用权许可信号GNT以相同时序 对多个装置进行输出的情况下，有可能会发生数据冲突，这一点己经进行 了说明，但该线路诊断装置20内的监视部22的特征在于，具有对该故障 模式进行监视 检测的机构。图5中示出了线路诊断装置20的线路使用 许可信号GNT的同时刻输出时的诊断流程，图6中示出了上述GNT信号 同时刻输出时的时间图与解决例。
图5中示出了线路诊断装置20的调停控制部12的异常检测机构与诊 断流程。线路诊断装置20内的监视部22对线路1 60进行监视，监视部 22由线路使用权许可信号GNT的同时输出CHK部25构成。同时输出CKH 部25对针对多个装置的线路使用权许可信号GNT的多个同时输出进行监 视。监视部22在调停控制部12的STAT=ARB时刻切入到监视时序中。 监视部22在STATE=ACKWAIT时，对线路160上的所有线路使用权许 可信号GNT进行监视，对是否给l台以外的装置输出了有效状态进行监 视。例如，在GNT发送向中央运算存储装置CPU10的情况下，是否给其 他通信装置PO30输出了GNT，对于其他组合，检测机构也一样。在监视 部22中检测到了上述同时输出的事实(异常)的情况下，GNT同时输出 CKH部25向调停控制部12内的动作指示部21发出指示信号，接收到该 信号的动作指示部21，向线路控制部13输出动作指示信号。
图6中示出了实施例1的动作时序。如上述动作说明所述，本图中示 出了发给中央运算存储装置CPU10与通信控制装置PO 30的线路使用权 许可信号GNT被同时输出。(时间图中标记为GNT(CPU)与GNT(PO)) 通过这样，中央运算存储装置CPU10与通信控制装置PO 30的数据传送 同时发生，发生了数据冲突。本发明的线路诊断装置中，以STATE =
ACKWAIT循环来检测出上述GNT信号的同时输出，并向线路控制部13 输出动作指示信号，由此能够防止数据冲突。线路控制部13接收到动作 指示信号之后，将该开关控制信号二 "总线SWOFF (P0)"输出到相应 的装置即通信控制装置PO线路SW32,由此能够解决问题。
按照本实施例1，检测出并解决认为是故障模式的线路1 60信号胶着 的产生或调停控制部12的异常所引起的线路使用权许可信号GNT的同时 输出，从而能够避免因对策引起的对线路2 61的数据冲突，提高安全性。 〔实施方式2的说明)
图7与图8中，对线路诊断装置中进行监视、检测的调停控制部的故 障模式与异常动作以及异常检测时的另一解决方法进行说明。图7中示出
了线路诊断装置20的开关控制信号的异常检测机构与诊断流程，图8中 示出了线路诊断装置20的线路使用权许可信号GNT的异常检测机构与诊 断流程。
图7中，调停控制部12内的监视部22中设有总线SW输出状态CHK 部26。该总线SW输出状态CHK部26对线路1 60与线路2 61进行监视。 如果示出了作为线路2 61上的信号一部分的中央运算存储装置CPU10或 通信控制装置PO 30所输出的安全数据传送状态信号="安全数据传送中"， 就看作是安全数据传送中，并将传送目的地址时隙(7口、乂卜)与开关控 制信号的开/关状态进行比较、对照。安全数据传送状态信号="安全数据 传送中"的输出目的，是向控制装置全体通知处于安全数据传送中。线路 261中所传送的数据的种类，大体上分为包括对控制对象70的输入输出 数据和保护指令数据的"安全数据"；以及包括主要在监视等中使用的通 信数据的"一般数据"。本发明的线路诊断装置目的在于，在检测出"安 全数据传送中"时，保护向2 61上所传送的"安全数据"，而实施诊断与 异常检测时的对策，以使得发生了关系到任何线路或调停控制部的异常 时，控制装置自身不会陷入危险侧动作。
图8中，调停控制部12内的监视部22中设有GNT输出状态CHK部 27。该GNT输出状态CHK部27对线路1 60与线路2 61进行监视。如果 线路2 61上的安全数据传送状态信号="安全"，便看作是安全数据传送 中，并对传送目的地址时隙与GNT输出目的地时隙进行比较、对照。
在图7与图8所示的机构中检测到异常的情况下，动作指示部21对 线路控制部13输出动作指示信号。接收到了动作指示信号的线路控制部 13，识别出对已经发生了因调停控制部12的某个故障模式所产生的开关 控制信号，或GNT信号异常这一事实进行识别，并迁移到与当前的输出 数据相关的停止处理状态。作为停止手段，考虑现在的输出数据冻结(7 ，或基于安全关闭信号输出的安全停止等方法，但本发明并不仅 限于这些方法。
按照本实施例2，对认为是故障模式的线路160的信号胶着发生，或 因调停控制部12的异常所引起的开关控制信号，或GNT信号的误输出进 行检测并加以对付，由此能够提高安全性。具体来说，对于在图7所示的 机构中，对于通过总线SW开/关控制而实现安全数据保护的情况，能够避 免双重故障发生时的数据冲突。这意味着，在例如采用通过总线SW开/ 关控制而对有可能给安全数据带来影响的装置的线路SW进行切断这种解 决方法的情况下，发生了该线路SW被切断了的装置侧发生误动作，且对 该装置的开关控制信号变得异常这种双重故障的情况下所有可能发生的 异常能够被避免。另外，图8中所示的机构中，能够防止因对错误时隙的 GNT信号输出所引起的超时的发生与双重故障发生时的数据冲突，与实施 例1一样，有助于提高关于控制装置内的数据传送、以及调停控制动作的 安全性。
图9中对线路诊断装置中进行监视、检测的调停控制部的故障模式与 异常动作以及异常检测时的另一解决方法进行说明。图9中示出了线路诊 断装置20对调停控制部12内的状态迁移的异常检测方法与诊断流程。
图9中，调停控制部12内的监视部22具有状态迁移CHK部28。该 状态迁移CHK部28对调停控制部12所输出的调停状态迁移STATE信号 23与线路1 60以及线路2 61进行监视。状态迁移CHK部28对状态迁移 STATE信号23的状态迁移顺序妥当性进行检査。
图2中所示的调停控制部12的调停部14所进行的正常动作时的状态 迁移，如图3所示。通常如图9所示，正常动作时的状态迁移是TO(IDLE) 110—Tl (ARB) 111—T2 (ACKWAIT) 112—T3 (ACKBUSY) 113—T4(WAIT) 114。本实施例中，在STATE二TO时，输出STATE信号23 = 001，在STATE二T1时，输出STATE信号23二002，以下同样，输出STATE 信号23=011 — 100—101。状态迁移CHK部28通过与上述状态迁移时所 输出的STATE信号23相对应的CHK1 100、CHK2 101、CHK3 102、CHK4 103、 CHK5 104进行监视，在检测出状态异常的情况下，执行与实施例2 同样的输出数据停止策略。CHK1 CHK5通过硬件而不是软件实现，被 成为状态迁移的切换的切换触发信号赋予检查时序。特征在于，将CHK1 CHK4之间的STATE信号期待值与实际的图2中调停部14所输出的 STATE信号23进行比较 对照的对照部29，在监视部22内的状态迁移 CHK部28所具有，并具有通过切换触发信号而进行对照的机构。
作为异常动作时的例子，CHK1 IOO二STATE二OOI为正常，CHK2 101 二STATE二010为正常，变为CHK3 102=STATE= 100 (期待值二OlO ， 在CHK3 102所检测出的ACKWAIT状态下检测到了状态迁移异常的情况 下，图2中所示的GNT切换指示(信号)16的输出时序有误，同时输出 了针对多个装置的线路使用权许可信号GNT，这样线路261上有可能发生 数据冲突。上述异常检测时，状态迁移CHK部28，采用如下手段即作 为调停控制部12的功能异常报告给动作指示部21，且通过实施例2中所 示的方法来停止输出数据。
按照本实施例3，对认为是故障模式的调停控制部12内的调停部14 内的状态迁移异常，或内部逻辑状态迁移状态位变化、由实现调停控制动 作的LSI内部信号胶着所引起产生的状态迁移异常，进行检测并解决，由 此与实施例1一样，有助于提高控制装置内的数据传送以及调停控制动作 的安全性。
(实施方式4的说明)
图10与图11中对线路诊断装置的诊断测试机构进行了说明。图10 中示出了诊断装置测试时的动作流程。图11中示出了相同的动作时序图。
图10的控制装置由中央运算存储装置CPU10与线路诊断装置20构 成。在中央运算存储装置CPU10内，由如下器件构成即对用于通过软 件处理来对线路诊断装置20进行诊断测试而使用的诊断测试模式进行生 成的微处理器yP170;存储所生成的测试模式的诊断测试模式存储部15;
以及经线路261传送诊断测试模式的线路控制部13。接下来，线路诊断装 置20的构成如下所述。线路诊断装置20由如下器件构成即对线路160 与线路261的信号进行监视的监视部22;经线路261对上述中央运算存储 装置CPU10所生成的诊断测试模式进行传送并存储的诊断测试模式设定 部124;借助于基于中央运算存储装置CPU10的微处理器14的软件指示， 而进行诊断测试起动控制的诊断部125;以及通过上述诊断测试指示126、 127，对诊断控制部所进行的诊断测试起动指令122、 123，进行通常监视 动作与诊断测试动作的切换的切换SW—A120与切换SW—B121。
下面使用图IO对动作流程进行说明。中央运算存储装置CPUIO，让 微处理器PP170生成针对成为对象的线路诊断装置20的测试模式，并写 入到测试数据模式存储部15中。写入时序采用只在初始设定时初次存储， 或每次执行时进行更新并重写的方法。进行写入的诊断测试模式，备有 线路诊断装置20检测出正常的模式和线路诊断装置20检测出异常的模式 这两方。图11中示出了测试模式详细表内容。作为微处理器PP170所生 成的测试模式信息，作为对实施例1中所说明的线路使用权许可信号GNT 的同时输出进行模拟的模式，生成并存储有正常模式即"GNT信号正常模 式"160与异常模式即"GNT信号异常模式"161。同样，生成并存储正 常模式即"开关控制信号正常模式"162与异常模式即"开关控制信号异 常模式"163，作为对实施例2中所说明的开关控制信号异常进行模拟的 模式。同样，生成并存储正常模式即"状态迁移STATE信号正常模式" 164与异常模式即"状态迁移STATE信号异常模式"165，作为对实施例 3中所说明的状态控制所涉及STATE信号23的状态异常进行模拟的模式。 中央运算存储装置CPU10的微处理器yP170，顺次读出上述测试模式， 经线路2 61将所读出的测试模式写入到线路诊断装置20内的诊断测试模 式设定部124中。测试模式的写入完成之后，中央运算存储装置CPU10 的微处理器u P170经线路261向线路诊断装置20内的诊断控制部125发 布诊断测试指示127。通过该诊断测试指示，诊断控制部125将切换指示 信号122、 123输出给切换SW—A120与切换SW—B121。切换SW—A120 是线路2 61的切换开关，切换SW—B121是线路1 60的切换开关。不管 哪一个切换SW，均具有通过对来自线路l、线路2侧的数据、信号与诊 断测试模式设定部的数据模式进行切换而输出给监视部22的作用。通常 动作时，SW—A120与SW—B121处于与线路1 60以及线路2 61侧相连 接的状态。借助于诊断控制部125根据上述诊断测试指示127所输出的切 换指示信号122、 123，切换SW—A120与切换SW—B121将连接切换到 诊断测试模式设定部124侧。切换动作结束之后，将诊断测试模式设定部 124中所存储的测试模式数据，经切换SW—A120与切换SW—B121输出 给监视部22。监视部22接收到测试模式之后，进行监视部的测试动作， 如果是正常模式接收时，便将结果写入到诊断状态部125中。另外，如果 是异常模式接收时，同样也将结果写入到诊断状态部125中。诊断测试写 入结束之后，通过对诊断状态部125设置诊断测试写入完成标志位，而进 行对中央运算存储装置CPU10的结束通知126。接收到了结束通知126的 中央运算存储装置CPUIO，读取诊断状态部125的结果信息，并进行结果 判断。正常模式写入时的期待值是"状态二正常"，异常模式写入时的期 待值是"状态二异常"，在得到了与此相反的结果的情况下，判断为诊断 测试出错。在检测出诊断测试出错的情况下，意味着线路诊断装置20的 关系到调停控制的诊断动作没有正常起作用，虽然在放弃诊断测试的情况 下在通常动作中不会出问题，但由于在调停控制部发生异常时无法检测出 异常，因此在发生了二重故障的情况下，对安全性有影响。因此，中央运 算存储装置CPU10采取在检测到诊断测试数据时停止安全数据的手段。
接下来，图12中示出了线路诊断装置20的诊断测试时的动作时序图。 图12示出了中央运算存储装置CPU10与成为本发明的线路诊断装置20、 以及其他输入装置1与线路2 61之间的诊断测试动作时的时序。中央运算 存储装置CPUIO，首先实施线路2 61的诊断测试。通过输出来自中央运 算存储装置CPU10的线路2诊断测试指令140，线路2诊断装置进行线路 2 61的诊断测试处理145。若处理结束，则中央运算存储装置CPU10对结 束许可ACK141进行受理，并对处理结束进行确认。在线路2诊断测试处 理结束之后，中央运算存储装置CPU10移行到线路诊断装置20的诊断测 试以及其他装置的诊断测试处理。如本实施例的图10、图11所说明那样， 中央运算存储装置CPU10发布测试模式设定142，并发布诊断测试触发指 令143。由此，借助于各个装置进行诊断测试动作146、 147，最后作为结
束确认，对结束确认ACK144进行受理，并对处理结束进行确认。
按照本实施例4，通过由中央运算存储装置10的微处理器UP170所 生成的测试模式，对成为本发明的线路诊断装置20实施诊断测试，能够 确保发生了双重故障的情况下的安全性。本诊断测试处理，通过在在线处 理执行中的控制周期中将一部分软件处理时间分配给测试处理来进行。
以上，使用功能方框图示出了线路诊断装置20等各个装置，但当然 也可以通过中央运算存储装置和实现上述功能的程序来构成。
下面对照附图对本发明的其他实施方式进行说明，另外，图中原则上 给同一部件标注同一符号，避免其重复说明。实施例1
图13为本发明的另一实施例中的总线系统的结构图。
主控器(A) 301、主控器(B) 302、从控器(A) 303、从控器(B)
304，分别经总线开关331 334与总线305相连接。
另外，开关控制部311所输出的总线开关控制信号(swc) 321 324，
分别用来切换各个总线开关331 334的ON状态与OFF状态，这里，设
总线开关控制信号(swc)的值为"1"时为ON状态，为"0"时为OFF
状态，进行说明。
主控器(A) 301在总线开关331为ON状态时，与总线305相连接， 在总线开关331为OFF状态时，从总线305上断开，关于主控器(B) 302、 从控器(A) 303、以及从控器(B) 304也一样。
总线仲裁器(bus arbiter) 312，是在多个主控器对总线305进行请求 使用的情况下，为了不产生冲突而进行调停的部分。从主控器(A) 301 接收请求(r叫)信号361，从主控器(B)3(^接收req信号362的声明(assert)， 调停的结果是，给任一个主控器声明许可(ack)信号351或352。
被声明了 ack信号的主控器301或302，使用总线305进行数据传送， 传送结束之后将req信号设为无效(negate),对此响应后将相应的ack 信号也设为无线。
图13的开关控制部311，是生成主控器以及从控器用总线开关控制信 号(swc)的部分。这里，设分别被输入主控器(A) 301的ack信号351、 主控器(B) 302的ack信号352、主控器(A) 301用来对传送目标从控
器进行指定的地址信号393、以及主控器(B) 302用来对传送目标从控器 进行指定的地址信号394。
这里，对象系统的总线系统中的数据的转发中，有两种数据传送。第 1数据传送与此外的(第2)传送数据相比，是应当优先的数据的传送， 例如对象系统的安全动作的维持所必需的数据传送。另外，另一例是第1 数据是关于对象系统的基本功能的数据，此外的(第2)传送数据是关于 对象系统的辅助功能的数据。
图13中，主控器(A) 1与从控器(A) 303是进行对象系统中的第1 数据的传送的部分，主控器(B) 302与从控器(B) 304是进行对象系统 中的第2数据的传送的部分。本实施例中的第1数据是作为优先传送的功 能安全的对象，假设安全数据的传送只从主控器(A) 301向从控器(A) 303进行。另外，主控器(B) 302与从控器(B) 304，是只进行与功能安 全无关的优先级较低的通常数据的传送的部分，是功能安全的对象之外。
进而，主控器(A) 301所输出的优先(安全)数据信号371，在图 13的总线系统中主控器(A) 301进行第1 (安全)数据的传送的期间为 "1"，此外的期间为"0"的信号。
图14为本发明的图13的实施例中所示的开关控制部311的具体构成 例图。
在优先(安全)数据信号371的值为"1"，且在进行关于功能安全 的优先(安全)数据的传送的期间中，被NOT门376所反转了的优先(安 全)数据信号384的值为"0"。
通过OR门377，在发往主控器(A) 301的ack信号351的值为"1" 时，主控器(A) 301的总线开关控制信号(swc) 321的值变为"1"。同 样，通过OR门378，在发往主控器(B) 302的ack信号352的值为"1" 时，主控器(B) 302的总线开关控制信号(swc) 322的值变为"1"。另 外，优先(安全)数据信号371的值为"1"时，从控器用总线开关控制 信号(swc) 323、 324的值按照如下方式进行确定。
主控器(A) 301所接入的从控器的地址信号393，与主控器(B) 302 所接入的从控器的地址信号394,借助于选择器372，作为选择地址信号 395输出。选择器372的输出，从发往主控器(A) 301的ack信号351与
发往主控器(B)302的ack信号352中选择。通过总线仲裁器312的调停， 该ack信号351与352只有其中一方能够取"1"的值。选择地址信号395 被地址解码器374所解码，输出从控器选择信号381、 382。该地址选择信 号381被地址解码的结果，是在将从控器(A) 303作为传送目标指定时， 取值"1"，在没有指定为传送目标时取值"0"，针对从控器(B) 304 的从控器选择信号382也一样。另外，ack有效信号383，是在ack信号 351与352中一方的值为"1"时，被OR门375取值为"1"的信号，输 入给AND—OR门379、 380。也即，针对从控器(A) 303的总线开关控 制信号(swc) 323，在优先(安全)数据信号371的值为"1"时，只在 由主控器选择从控器(A) 303为传送目标，且发往任一个主控器的ack 信号为有效且正在进行数据的传送时，取值"1"，除此之外均取值"0"。 针对从控器(B) 304的总线开关控制信号(swc) 324的值，也与针对从 控器(A) 303的总线开关控制信号(swc) 323同样地进行变化。
与此相对，在优先(安全)数据信号371的值为"0"，进行与功能 安全无关的通常数据的传送期间中，由NOT门376所反转的优先(安全) 数据信号384的值为"1"。因此，OR门377、 378以及AND—OR门379、 380所输出的总线开关控制信号(swc) 321 324的值都变为"1"。
图15为本发明的图13以及图14的实施例中，优先(安全)数据传 送时的时序图之一例。示出了优先(安全)数据信号71的值为"1"，从 主控器(A) 301向从控器(A) 303进行图14中虚线391所示的安全数 据传送时的时序图。另外，以后的时序图中所示的信号，都设为声明(assert) 状态的值为"1"，无效(negate)状态的值为"0"，时序图中的地址总 线、数据总线分别是总线305中含有的线路。
在图15的时钟循环t0到tl之间，总线上不发生传送，优先(安全) 数据信号371的值为"0"，各个主控器与从控器的总线开关控制信号(swc) 的值都为"1"。
另夕卜，在时钟循环t2中，主控器(A) 301向从控器(A) 303发送优 先(安全)数据，因此，使主控器(A)301的req信号361置为有效(assert)， 对总线进行请求。该req信号361，是直到主控器(A) 301的数据传送结 束之前都被置为有效的信号。
时钟循环t2中，总线仲裁器312判断为，只有主控器(A) 301是发 出了请求的主控器，时钟循环t3中，给主控器(A)301声明ack信号351。 将ack信号351置为有效的主控器(A) 301，使优先(安全)数据信号 371置为有效，使主控器(B) 302的总线开关控制信号(swc) 322置为 无效。进而，对所选择的地址信号395中所载送的地址进行解码并判断从 控器(A) 303，结果是将从控器(B) 304的总线开关控制信号(swc) 324 置为无效。
图15所示的时序图中，地址总线中，在t3至t6的期间中载送从控器 (A) 303的地址，另外，数据总线中，在t5至t6的期间中载送所传送的
安全数据。
图16的时钟循环t5至t6的优先(安全)数据的传送中，从控器(B) 304中发生了故障，出现了非法数据不慎流入到总线305中而带来了扰乱 的状况。这种情况下，t3至t6的期间中，从控器(B) 304的总线开关控 制信号(swc)的值为"0"，如图13所示，总线幵关34变为OFF状态， 与总线5断开。因此，不会给主控器(A) 301与从控器(A) 303之间的、 通过总线5所进行的优先(安全)数据的传送带来影响，保证了优先(安 全)数据的可靠性。
图16为表示本发明的图13的实施例的总线系统中，优先(安全)数 据信号371的值为"0"，通常数据传送时的总线开关的状况的图。
图16中所示的开关控制部311与图14中所示的是同一个，在优先(安 全)数据信号371的值为"0"时，总线开关控制信号(swc) 321 324 的值都为"1"，总线开关31 34都为ON状态。
图17中示出了在图16中所示的本发明的实施例的总线系统中，优先 (安全)数据信号371的值为"0"，由主控器(B) 302对从控器(B) 304进行虚线392 (图16)中所示的通常数据传送时的时序图之一例。
图17中，从时钟循环u0到u9的期间中，优先(安全)数据信号371 的值为"0"，因此各个主控器与从控器的所有总线开关控制信号(swc) 的值都变为"1"，所有的总线开关都变为ON状态。
时钟循环ul中，从主控器(B) 302向从控器(B) 304传送通常数据， 因此将主控器(B) 302的req信号362置为有效，而对总线305进行请求。
时钟循环ul中，由于只有主控器(B) 302是发出了请求的主控器，因此 时钟循环u2中，对主控器(B) 302使ack信号352置为有效(assert)。 所以，从u2到u5的期间中，从主控器(B) 302向从控器(B) 304进行
数据传送。
时钟循环u3中，主控器(A) 301为了对从控器(A) 303传送通常 数据，而对总线305进行请求，将主控器(A) 301的req信号361置为有 效。但是，由于主控器(B) 302正在使用总线305，因此要等待到主控器 (B) 302的传送结束的时钟循环u6。时钟循环u6中，由于对总线进行请 求的主控器只有主控器(A) 301—个，因此从时钟循环u7开始，主控器 (A) 301对从控器(A) 303传送数据。
在图17的从主控器(B) 302向从控器(B) 304的数据传送中，假设 主控器(A) 301或从控器(A) 303中发生故障，总线305中被不慎流入 了非法数据而造成了扰乱的状况。这种情况下，由于所传送的数据是通常 数据而不是优先(安全)数据，因此不会给功能安全造成影响，作为系统 不至于变为危险状态。
另外，还可以构成为，将开关控制部和与相当于地址信号的部分内置 于安全对象的主控器中，从主控器输出开关控制信号。
通过采用以上实施例，在1个总线中连接有多个主控器与从控器的构 成的总线系统中，总线上混有传送第1数据与第2数据的主控器与从控器。 所谓第1数据是必须保证可靠性的优先(安全)数据，所谓第2数据，是 此外的通常数据。也即，处理优先(安全)数据的主控器及从控器，与不 处理优先(安全)数据的主控器及从控器，在总线上共存。这里，即使在 优先(安全)数据在总线上传送的正当中，与传送无关的主控器或从控器 发生了故障，也能够确实地进行优先(安全)数据的传送。也即，即使发 生了异常的主控器或从控器，不慎将非法数据流入到了总线中，通过设置 成了通过总线开关控制将与传送无关的部分从总线上断开的状态，能够可 靠地进行优先(安全)数据的传送。
另外，通过采用在非优先(安全)数据的通常数据传送时将所有的总 线开关设为ON状态而与现有的总线具有互换性的构成，由此给现有的总 线系统追加设计就可以，能够容易地应用。
进而，图15与图17中将地址总线与数据总线分开而进行了描述，但 在将地址与数据进行时分并共通化在1个总线中的情况下，利用将请求信 号置为有效的期间，同样也能够进行确保了优先(安全)数据的可靠性的 传送。
进而，在从控器具有直接访问存储器功能，而增加了在从控器之间进 行传送的功能的情况下，通过同样地进行对总线开关的ON状态与OFF 状态进行切换的控制，也能够可靠地进行优先(安全)数据的传送。另外， 在进行通常数据的传送的情况下，也能够进行与以前的总线有互换性的传送。
另外，不将总线或主控器多重化，而只增加总线开关与开关控制部， 也能够实现安全且可靠的总线系统。实施例2
接下来，对本发明的另一实施例的总线系统中，对总线开关胶着进行 诊断的方式之一例进行说明。
图18为按照本发明的实施例具有诊断总线开关的OFF胶着的功能的 总线系统的方框图，是相对图13中所示的总线系统，增加了开关诊断部 313与开关诊断模式信号(swd) 373的结构的总线系统。
另外，主控器(A) 306中，内置有保持数据的数据寄存器341，主控 器(B) 307、从控器(A) 308、从控器(B) 309中也分别内置有数据寄 存器342、 343、 344。这些数据寄存器341 344以如下方式而连接即借 助于开关诊断部313中所内置的寄存器访问部315，经由总线305进行访 问。若寄存器访问部315对各个数据寄存器341 344写入指定的数据的 写动作，则进行与从数据寄存器读出数据的读动作。
关于开关诊断部313中所内置的诊断模式寄存器345，这里是2位的 寄存器，不重写诊断模式寄存器345的值就能够变化开关诊断模式信号 (swd) 373的值。开关诊断模式信号(swd) 373的低位(下位)在值为 "1"时，是进行对总线开关是否不会陷入胶着故障进行调查的开关诊断 处理的状态，值为"0"时是进行通常处理的状态。
在进行开关诊断处理的状态下，开关诊断模式信号(swd) 373的高 位(上位)的值，直接输出给总线开关控制信号(swc) 325 328。
图19为本发明的实施例的图18中所示的开关控制部的详细方框图， 示出了图18中所示的开关控制部14的具体应用例。相对于图14中所示 的开关控制部311,成为增加了开关诊断模式信号(swd) 373与选择器 385 388的构成。图19中，选择器385中通过开关诊断模式信号(swd)
367的值，选择总线开关控制信号(swc)321与开关诊断模式信号(swd) [1]366中的其中一个，而成为主控器(A) 306用总线开关控制信号(swc) 325。主控器(B) 307、从控器(A) 308、从控器(B) 309用总线开关控 制信号(swc) 326 328也一样，在开关诊断模式信号(swd)
367的值 为"1"时，所有的总线开关控制信号(swc)变为同一个值。
图18中，由于开关诊断模式信号(swd) 373的2位的值为"11", 因此在处于进行开关诊断处理的状态下，总线开关控制信号(swc) 325 328的值都是"1"，其结果是总线开关331 334都变为ON状态。此时， 从寄存器访问部315对主控器(A) 306的数据寄存器341进行寄存器访 问396。寄存器访问396中，将诊断用数据写入到数据寄存器341中，写 入之后又读出同一个数据寄存器341，由此，如果读出了刚写入的数据， 总线开关331就会变为正确的ON状态。
相反，如果没有读出刚写入的数据，而是读出了错误的数据或不确定 的值，就能够判断是总线开关331胶着在OFF状态的故障。因此，能够对 主控器(A) 306发生故障、无法传送数据、系统变为危险状态这种状况 防范于未然。
通过这样，能够诊断出主控器(A) 306的总线开关331没有胶着在 OFF状态而正确地变成了 ON状态。
关于主控器(B) 307、从控器(A) 308、从控器(B) 309的总线开 关332 334也一样，能够对是否胶着在OFF状态进行诊断。
接下来，图20是本发明的另一实施例中的具有对总线开关的ON胶 着进行诊断的机构的总线系统的方框图。图20中，由于图18中所示的开 关诊断模式信号(swd) 373的2位的值为"01"，因此处于进行开关诊 断处理的状态，总线开关控制信号(swc) 325 328的值都是"0"。其结 果是总线开关331 334都变为OFF状态。此时，从寄存器访问部315对 主控器(B) 307的数据寄存器342，如虚线所示，进行寄存器访问397。
寄存器访问397中，将诊断用数据写入，写入之后又对同一个数据寄存器 342进行读出，由此如果没有读出刚写入的数据，而是读出了错误的数据 或不确定的值，则总线开关332就会正确地被置为OFF。
相反，如果读出了与刚写入的数据相同的数据，就能够判断是总线开 关332向ON状态的胶着故障。其结果是，能够对从该状态开始，主控器 (B) 307发生故障，给总线5带来坏影响的这种状况防范于未然。
通过这样，能够诊断出主控器(B) 307的总线开关332没有胶着在 ON状态而是正确地变为OFF状态。
关于主控器(A) 306、从控器(A) 308、从控器(B) 309的总线开 关331、 333、 334也一样，能够对是否胶着在ON状态进行诊断。
图21为表示本发明的另一实施例中的图18与图20所示的总线系统 与开关诊断处理的流程的时序图。
总线系统的电源接通之后，首先进行起动处理441，在开始通常处理 之前，进行开关诊断处理442。另外，该开关诊断处理是指图18与图20 中所说明的对总线开关向ON状态的胶着与向OFF状态的胶着进行诊断的 处理。如果开关诊断处理442正常结束，作为通常处理，便进行处理l、 处理2、处理3。进而，如果进行了一定期间的通常处理，就进行开关诊 断处理443、 444，如此这样地定期进行开关诊断处理。
开关诊断处理442 444中，如果检测到了总线开关的胶着故障，便 作为异常结束，通知系统，避免了变为危险状态的状况。
通过采用以上的本发明的其他实施例，即使在总线开关胶着的情况 下，也能够通过诊断来未然地检测出故障，因此能够提高总线系统的可靠 性，减小了系统整体变为危险状况的可能性。
另外，这里通过2位的线路来表示开关诊断模式信号(swd) 373，但
也可以分别使用对诊断模式进行切换的信号与诊断用数据信号。
进而，这里示出了通过数据寄存器的写与读来检测出总线开关的故障
的手段，但也可以使用特开2006—139634号公报中所公开的通信线路诊
断装置的诊断通信线路，检测出总线开关的胶着故障。
接下来，对本发明中的总线系统中所使用的总线开关的构造进行说明。
图22为表示本发明的实施例中的总线开关中所使用的晶体管单元的 构成例图。图22 (A)中示出了作为总线开关使用MOS晶体管401的例 子。该MOS开关401，根据控制信号402的值，决定是否将输入403向 输出404传输，并将输入403与主控器或从控器相连接，将输出404与总 线相连接而构成。
通过对控制信号102的值进行控制，使得在将总线开关设为了 ON状 态时，MOS开关变为ON，另外，在总线开关设为了 OFF状态时，MOS 开关变为OFF，从而能够实现总线开关。
图20 (B)中示出了作为总线开关使用选择器105的例子。
该选择器405，根据控制信号406，决定将输入(A) 407与输入(B) 408中的其中一个传递给输出409，将输入(A) 407与输入(B) 408中 的任一方与主控器或从控器相连接，将输出409与总线相连接而构成。
给没有与主控器相连接的一方的输入上加载高阻抗输入。并且以如下 方式对控制信号406的值进行控制，即在将总线开关设为了 ON状态时， 选择与主控器相连接的输入，另外，在总线开关设为了OFF状态时，选择 高阻抗输入，从而能够实现总线开关。
图22 (C)中示出了，作为总线开关使用测试状态缓存450的例子。
该测试状态缓存450构成为，根据控制信号451的值，决定是将输入 452的值输出到输出453，还是将高阻抗输出到输出453，将输入452与主 控器或从控器相连接，将输出453与总线相连接。
以如下方式对控制信号451的值进行控制即使得在将总线开关设为 ON状态时将输入452的值输出给输出453，另外在总线开关设为OFF状 态时将高阻抗输出给输出453。由此能够实现总线开关。
这样，由于能够使用一般广泛应用的通用晶体管单元作为总线开关， 因此能够非常容易地且通过很少的成本来实现总线开关。
下面对本发明的总线系统的应用例进行说明。
图23为将本发明的总线系统应用于发电厂的方框结构图。发电厂410 基本上由控制装置411根据来自控制终端412的指令进行控制。发电厂410 与控制装置411通过I/0装置413相连接，另外，具有控制监视器414。 控制装置411内，工厂控制部415、 1/0控制部416、以及显示控制部417
通过总线418相连接。
该发电厂410的基本动作是，根据来自控制终端412的指令，通过从 工厂控制部415经总线418发送给I/O控制部416的I/O控制信号，起动 I/O装置413，让发电厂410进行动作。因此，与显示控制部417相比，工 厂控制部415与I/O控制部416的基本功能是进行发电厂410的控制。因 此，总线418中流通的I/0控制信号要求高可靠性，是前述本发明中的优 先级较高的第l数据。
另外，显示部417对总线418中流通的显示用数据进行监视，并将必 要的信息显示到控制监视器414上。因此，与该监视器相关的信息对于作 为对象的发电厂410来说，是前述的关于辅助功能的数据，对应于第2数 据。
因此，在该发电厂410中应用本发明时，使工厂控制部415对应于图 13中的主控器(A) 301，使I/0控制部416对应于图13的从控器(A) 303，使显示控制部417对应于图13的从控器(B) 304，从而构成总线系 统。图23中，对应于图13示出了开关控制部311、总线开关331、 333、 以及334。
该应用例中，例如在显示控制部417发生了故障的情况下，会发生控 制监视器414的显示被打乱或显示消失。但是即使显示消失，应该也不会 给发电厂410的动作本身带来影响，能够继续发电。至于监视器系统的故 障，可以在注意到之后，让工厂停止时，更换显示控制部417或控制监视 器414。
对发电厂410的控制信号的输出时，如图所示，让总线开关331、 333 接通，总线开关334断开。因此，不会发生因显示控制部417的异常导致 总线418内的数据被打乱而不慎使I/0控制信号的值发生变化，从而能够 进行正确的I/0控制，避免了发电厂变得无法控制这种最坏的情况，从而 能够提高发电厂系统的可靠性。
图33为将本发明的总线系统应用于汽车系统的方框结构图。汽车420 中，经车载网络421连接有对汽车420的行驶进行控制的各种各样的ECU (Electric Control Unit)。首先，对应于油门踏板422的踏入程度进行变 化的加速信号，从油门I/0装置423传递给发动机ECU424，通过变更发
动机转数来变更汽车420的速度。另外，因方向盘425的操作而变化的驾 驶信号，从转向I/O装置426传递给转向ECU571、572，通过变更前轮581、 582的方向，来变更汽车420的前进方向。进而，对应于制动器踏板429 的踏入程度而进行变化的制动信号，从制动器I/O装置591传递给制动器 ECU592 595，让汽车420减速/停止。
这里，在汽车420的情况下，与对发动机的指令相比，转向与制动的 重要性较高。也即，对发动机的指令相当于本发明中的第2 (通常)数据， 转向与制动指令，对应于对象系统的安全动作维持所必需的第1数据传送。
因此，在制动器踏板429被踏入，发生了制动指令的期间内，开关控 制部311对总线开关组进行控制，使其禁止来自油门踏板422的燃料喷射 指令。也即，让关于制动器的总线开关611 615以及关于转向的总线开 关621 623常时为ON，在制动器踏板429被踏入，产生了制动指令的期 间内，让关于油门的总线开关631 632为OFF。
在发动机ECU424中发生了故障的情况下，即使加速信号(燃料喷射 指令)的值变化，速度不慎变化的情况下，通过制动器踏板429的踏入， 车辆也能够正确地停止，从而能够保证作为汽车系统的安全性。
即使因发动机ECU424的故障，而使得车载网络421中流入了非法数 据，发生了扰乱的情况下，通过制动器踏板429的踏入，发动机ECU424 也能够通过对应的总线开关432，如图所示，从车载网络421断开。因此， 不会发生制动信号变化、制动器无法正确发挥效用、或转向信号发生变化 而没有变为所希望的转向等情况，从而能够确保作为汽车系统的安全性。
图25为将本发明的总线系统应用于多功能移动电话的方框结构图。 这里的多功能移动电话是具有音乐功能与电视功能的移动电话。这种情况 下，由于是移动电话，因此判断通话功能与音乐功能以及电视功能相比重 要度较高，采用让通话功能优先的总线系统结构。
移动电话430的内部结构是，经由通信总线431将通话处理部432、 声音输入部433、音乐功能部434、以及电视功能部435相连接。
在作为移动电话的基本功能的通话时，通话处理部432与声音输入部 433进行动作，开关控制部311将总线开关611、 612设为ON，将其他的 总线开关621、 622设为OFF。该状态下，将从麦克风436所输入的声音
变换成电波，通过天线437与基站传递给对方的电话。另外，接收从基站 所发送的来自对方电话的电波并变换成声音，通过扬声器438输出给用户。
在使用移动电话的其他的辅助功能过程中，开关控制部311将所有的 总线开关611、 612、 621、 622都保持为ON。
首先，在音乐功能使用时，音乐功能部434动作，根据移动电话内所 存储的音乐数据，从总线开关621通过通信总线431，再生喜爱的音乐并 从头戴式耳机扬声器438输出。接下来，在使用电视功能时，电视功能部 435动作，将从总线开关622通过通信总线431所接收到的电波变换成视 频与声音，并从液晶监视器439与(头戴式耳机)扬声器438输出。
这里，即使音乐功能部434或电视功能部435发生了故障，影响最多 也不过是声音或显示混乱，或无法听到声音的这种程度。
但如果因声音功能部434或电视功能部435的故障，导致非法数据流 入到通信总线431中，就会影响到核心的通话功能，变得无法通话，从而 有可能失去电话功能本身。因此，如图所示，在通话中将通话相关的总线 开关611、 612设为ON，同时将音乐功能部434与电视功能部435相关的 总线开关621、 622设为OFF，从而不会打乱通话功能。
本发明的总线系统，除了图23 25所示的发电厂、汽车或多功能移 动电话之外，还能够在产业系统、火车等中所使用的控制装置或半导体集 成电路等中广泛应用，能够提高应用系统的可靠性。
权利要求
1.一种总线系统，其中1个以上的主控器与多个从控器经由总线开关与总线相连接，并在上述主控器与上述从控器之间传送数据，其特征在于，具有第1数据传送期间指定机构，其备置在上述主控器中，对第1数据的传送期间进行指定；以及开关控制机构，其在指定了上述第1数据传送期间时，将与作为上述第1数据的传送对象的主控器和从控器相对应的上述总线开关分别设为ON状态，同时将与上述第1数据的传送对象以外的主控器和从控器相对应的上述总线开关分别设为OFF状态。
2. 如权利要求1所述的总线系统，其特征在于，上述第1数据的传送，是应当比此外的数据传送优先的数据传送。
3. 如权利要求1所述的总线系统，其特征在于，上述第1数据的传送，是对象系统的安全动作的维持所必需的数据传送。
4. 如权利要求1所述的总线系统，其特征在于，上述第1数据是关系到对象系统的基本功能的数据，此外的传送数据 是关系到对象系统的辅助功能的数据。
5. 如权利要求1所述的总线系统，其特征在于，具有第1数据传送对象设定机构，其预先设定上述作为第1数据的传 送对象的主控器与从控器。
6. 如权利要求1所述的总线系统，其特征在于，与存在上述第1数据的传送开始请求这一情况相对应，而指定上述第 l数据传送期间。
7. 如权利要求1所述的总线系统，其特征在于， 具有总线仲裁器，其对来自多个主控器的传送请求进行调停，并给予上述 总线的使用许可；以及对传送目的地的地址进行解码的地址解码器，上述开关控制机构，在上述第l数据传送期间中，分别将与作为发送 源的主控器相对应的上述总线开关，以及与根据上述地址解码器的解码结 果而成为上述第1数据的传送对象的从控器相对应的上述总线开关，设为ON状态，同时将与其他的主控器和从控器相对应的上述总线开关均设为 OFF状态。
8. 如权利要求1所述的总线系统，其特征在于， 上述开关控制机构，在上述第1数据传送期间指定机构指定了上述第1数据的传送期间以外的期间中，将所有的上述总线开关都设为ON状态。
9. 如权利要求1所述的总线系统，其特征在于， 具有-数据寄存器，其分别设置在上述主控器与上述从控器内，能够进行数 据的写入和读出；开关诊断机构，其对上述开关控制机构，输出对上述总线开关的诊断 进行指示的诊断模式信号；诊断模式寄存器，其设于所述开关诊断机构内，并决定上述诊断模式 及其以外；寄存器访问机构，其进行上述数据寄存器的写入和读出；以及 OFF胶着诊断机构，其在上述诊断模式寄存器的内容是上述诊断模式 的期间内，将所有的上述总线开关都设为ON状态，从上述寄存器访问机 构将数据写入到上述数据寄存器中之后再读出，并对该写入/读出数据的一 致进行确认。
10. 如权利要求1所述的总线系统，其特征在于， 具有数据寄存器，其分别设置在上述主控器与上述从控器内，能够进行数 据的写入和读出；开关诊断机构，其对上述开关控制机构，输出指示上述总线开关的诊 断的诊断模式信号；诊断模式寄存器，其设于所述开关诊断机构内，并决定上述诊断模式 及其以外； 寄存器访问机构，其进行上述数据寄存器的写入和读出；以及 ON胶着诊断机构，其在上述诊断模式寄存器的内容是第2诊断模式 的期间内，将所有的上述总线开关都设为OFF状态，从上述寄存器访问机 构将数据写入到上述数据寄存器中之后再读出，并对该写入/读出数据的不 一致或不确定的数据读出这一事实进行确认。
11. 如权利要求1所述的总线系统，其特征在于， 上述总线开关，由MOS开关、选择器、以及测试状态缓存器等晶体管单元构成。
12. —种总线系统，其中1个以上的主控器与多个从控器经由总线开 关与总线相连接，并在上述主控器与上述从控器之间传送数据，其特征在 于，具有-第1数据传送期间指定机构，其设置在上述主控器中，对关系到对象 系统的基本功能的第1数据的传送期间进行指定；以及开关控制机构，其在指定了上述第1数据传送期间时，将与作为上述 第1数据的传送对象的主控器和从控器相对应的上述总线开关分别设为 ON状态，同时将与作为关系到对象系统的辅助功能的第2数据的传送对 象的主控器以及从控器相对应的上述总线开关分别设为OFF状态，同时， 在没有指定上述第1数据传送期间时，将与所有的主控器和从控器相对应 的上述总线开关分别设为ON状态。
13. —种发电厂的总线系统，其中具有发电厂、用来控制该发电厂 的发电厂控制机构、经总线开关与该发电厂控制机构相连接的总线、经总 线开关与该总线相连接的I/O控制机构、与该I/O控制机构相连接并对上 述发电厂进行控制的I/O装置、对上述发电厂的运转状况监视并显示的控 制监视器、以及为了控制该控制监视器而经由总线开关与上述总线相连接 的显示控制机构，其特征在于，备有控制数据传送期间指定机构，其对与上述发电厂的运转控制相关的控 制数据的传送期间进行指定；以及开关控制机构，其在被上述控制数据的传送期间指定时，将分别与作 为上述控制数据的传送对象的上述工厂控制机构及上述I/O控制机构相对 应的上述总线开关，设为ON状态，并将与上述发电厂的运转状况监视功 能有关的数据的传送对象即与上述显示控制机构相对应的上述总线开关， 设为OFF状态，同时，在没有被上述控制数据传送期间指定时，将上述工 厂控制机构、上述I/0控制机构、以及与上述显示控制机构的全体相对应 的上述总线开关分别设为ON状态。
14. 一种汽车中所安装的总线系统，安装于具有汽车、控制该汽车的 发动机的电子控制单元即发动机ECU、经由总线与该发动机ECU相连接 的油门1/0装置、控制上述汽车的转向的转向ECU、为了控制该转向ECU 而与上述总线相连接的转向I/O装置、控制上述汽车的制动器的制动器 ECU、为了控制该制动器ECU而与上述总线相连接的制动器I/0装置、以 及分别插入在上述各个ECU与上述各个I/O装置之间的总线开关的汽车 中，其特征在于，具有开关控制机构，其在关系到上述制动器的控制数据的传送期间中，将 分别与上述制动器I/0装置、上述制动器ECU、上述转向I/0装置以及上 述转向ECU相对应的上述总线开关保持为ON状态，将与上述油门I/O装 置和上述发动机ECU分别相对应的上述总线开关设为OFF状态，同时， 在不传送制动器控制数据时，将与所有的上述ECU以及所有的上述I/O装 置相对应的上述总线开关分别保持为ON状态。
15. —种移动电话机内的总线系统，安装于具有移动电话机、用来控 制该移动电话机的通话的通话处理机构、经由总线开关与该通话处理机构 相连接的通信总线、经由总线开关与该通信总线相连接并与上述移动电话 机的麦克风相连接的声音输入机构、经总线开关与上述移动电话机内的上 述通信总线相连接并基于上述移动电话机内的存储媒体中所存储的音乐 数据再生并输出音乐的音乐功能机构、以及经总线开关与上述移动电话机 内的上述通信总线相连接并向上述移动电话机的监视器机构再生并输出 从外机构所接收到的电视图像的电视功能机构的移动电话机，其特征在 于，具有开关控制机构，其在与上述移动电话机的通话相关通话期间内， 将上述通话处理机构与上述声音输入机构相对应的上述总线开关分别设为ON状态，并将与上述音乐功能机构和上述电视功能机构分别对应的上 述总线开关设为OFF状态，同时，在上述通话期间以外的期间内，将与上 述通话处理机构、上述声音输入机构、上述音乐功能机构、以及上述电视 功能机构相对应的上述总线开关分别都保持于ON状态。
16. —种总线系统的控制方法，是l个以上的主控器与多个从控器经 总线开关与总线相连接并在上述主控器与上述从控器之间传送数据的总 线系统的控制方法，其特征在于，具有指定第l数据的传送期间的步骤；以及在指定了上述第1数据传送期间时，将与作为上述第1数据的传送对 象的主控器和从控器相对应的上述总线开关分别设为ON状态，同时将与 上述第1数据的传送对象以外的主控器和从控器相对应的上述总线开关分 别设为OFF状态。
全文摘要
本发明公开一种控制装置，其通过诊断模块对关系到仲裁器调停的信号进行监视，在检测到信号胶着或调停控制部发生异常这些异常的情况下，安全地停止数据传送，防止安全数据误输出。从而提高在控制装置中对多个装置所输出的总线使用权请求进行调停的总线仲裁器动作的安全性，并通过基于外部诊断模块的监视机构来进行仲裁器动作的诊断，实现了高速应答性与安全性的两全。
文档编号G05B23/02GK101373385SQ20081014899
公开日2009年2月25日 申请日期2007年7月2日 优先权日2006年6月30日
发明者关裕介, 古田康幸, 大谷辰幸, 小仓真, 小林正光, 小林英二, 小野塚明弘, 岛村光太郎, 梅原敬, 白石雅裕, 石川雅一, 船木觉, 酒田辉昭, 阪东明 申请人:株式会社日立制作所;日立信息控制系统有限公司