安全运算装置、安全输入装置、安全输出装置以及安全控制器的制造方法
【专利说明】安全运算装置、安全输入装置、安全输出装置以及安全控制
□ □
技术领域
[0001]本发明涉及安全运算装置、安全输入装置、安全输出装置以及安全控制器,特别是涉及一种实施内部诊断的安全控制器的结构,该内部诊断用于保障可靠性较高的控制动作。
【背景技术】
[0002]用于安全控制的安全控制器例如按照与功能安全相关的国际标准即IEC61508,要求能够检测出处理器或存储器中的电路的永久性故障即硬件故障、和暂时性的故障即软件故障这两种故障。
[0003]对于安全控制器的内部诊断,例如已知下述方法,S卩,将2个处理器的运算结果对照而进行相互诊断的方法、和由I个处理器执行2次相同的运算处理而对处理结果进行比较的方法。例如,在专利文献I中,公开了将由I个处理器执行2次相同的运算处理而得出的结果写入各自的存储器的方法。
[0004]专利文献1:日本特开昭59 - 194204号公报
【发明内容】
[0005]如果采用专利文献I所记载的结构,则对来自2个存储器的输出使用二重化的分接器和触发电路而进行一重化。由处理器执行2次运算处理而得到的结果的对照通过二重化的硬件电路实现。采用该二重化电路结构的情况与由一重输入输出电路构成的通常的结构相比,存在下述问题,即,需要冗余的电路结构,导致安全控制器变复杂且高成本。
[0006]本发明就是鉴于上述情况而提出的,其目的在于得到一种安全运算装置、安全输入装置、安全输出装置以及安全控制器,该安全运算装置、安全输入装置、安全输出装置以及安全控制器作为一重电路结构而能够实现简化和低成本,并能够检测出硬件故障以及软件故障这两种故障。
[0007]为了解决上述课题,并实现目的,本发明的特征在于,具有:处理器,其实施输入数据的程序处理;以及存储器,其保存输入至所述处理器的所述输入数据、以及所述程序处理的结果即输出数据,所述存储器在第I存储区域、和地址与所述第I存储区域不同的第2存储区域的每一个中都能够保存所述输入数据以及所述输出数据,所述处理器具有:执行控制部,其执行第I处理过程和第2处理过程,该第I处理过程包含写入所述第I存储区域的所述输入数据的所述程序处理、和向作为所述程序处理的结果而写入所述第I存储区域的所述输出数据添加冗余码,该第2处理过程包含写入所述第2存储区域的所述输入数据的所述程序处理、和向作为所述程序处理的结果而写入所述第2存储区域的所述输出数据添加冗余码;结果对照部,其对在所述第I处理过程中添加了所述冗余码的所述输出数据、和在所述第2处理过程中添加了所述冗余码的所述输出数据进行对照;运算诊断部,其通过运算,诊断所述处理器以及所述存储器有无故障;以及异常处理部,其在所述输入数据以及所述输出数据的冗余校验、所述结果对照部的对照、以及所述运算诊断部的诊断中的至少一项检测出异常的情况下,使所述输出数据的输出停止。
[0008]发明的效果
[0009]本发明所涉及的安全运算装置具有包含处理器以及存储器的一重电路结构。执行控制部分别对从第I存储区域读出的输入数据、以及从第2存储区域读出的输入数据执行程序处理。结果对照部通过对针对双方的输入数据的程序处理的结果进行对照,从而检测出软件故障。运算诊断部检测出处理器以及存储器中的硬件故障。由此,安全运算装置具有下述效果,即,作为一重电路结构而能够实现简化和低成本,并能够检测出硬件故障以及软件故障这两种故障。
【附图说明】
[0010]图1是表示本发明的实施方式I所涉及的具有安全运算装置的安全控制器的结构的框图。
[0011]图2是表示安全控制器的动作过程的流程图(其一)。
[0012]图3是表示安全控制器的动作过程的流程图(其二)。
[0013]图4是表示本发明的实施方式2所涉及的具有安全运算装置的安全控制器的动作过程的流程图(其一)。
[0014]图5是表示本发明的实施方式2所涉及的具有安全运算装置的安全控制器的动作过程的流程图(其二)。
[0015]图6是表示本发明的实施方式6所涉及的具有安全运算装置的安全控制器的结构的框图。
[0016]图7是表示本发明的实施方式7所涉及的具有安全输入装置的安全控制器的结构的框图。
[0017]图8是表示安全输入装置的动作过程的流程图。
[0018]图9是表示本发明的实施方式8所涉及的具有安全输出装置的安全控制器的结构的框图。
[0019]图10是表示安全输出装置的动作过程的流程图。
[0020]图11是表示本发明的实施方式9所涉及的安全控制器的结构的框图。
[0021]图12是表示本发明的实施方式10所涉及的安全控制器的结构的框图。
【具体实施方式】
[0022]下面,基于附图,对本发明所涉及的安全运算装置、安全输入装置、安全输出装置以及安全控制器的实施方式进行详细说明。此外,本发明并不限定于这些实施方式。
[0023]实施方式I
[0024]图1是表示本发明的实施方式I所涉及的具有安全运算装置的安全控制器的结构的框图。安全控制器具有安全运算装置10、安全输入装置18、以及安全输出装置19。
[0025]安全运算装置10实施用于安全控制的运算处理。安全输入装置18接受向安全控制器输入的输入信号。安全输出装置19从安全控制器将输出信号输出至外部。安全运算装置10、安全输入装置18、以及安全输出装置19经由总线20彼此进行内部连接。
[0026]安全运算装置10具有处理器11以及存储器12。处理器11实施输入至安全运算装置10的输入数据的程序处理。存储器12保存输入至处理器11的输入数据、以及程序处理的结果即输出数据。
[0027]存储器12具有彼此独立的第I存储区域12A以及第2存储区域12B。第2存储区域12B的地址与第I存储区域12A的地址不同。第I存储区域12A以及第2存储区域12B均能够保存输入数据以及输出数据。
[0028]处理器11具有执行控制部13、结果对照部14、运算诊断部15、异常处理部16、以及输入输出处理部17。执行控制部13执行针对写入至第I存储区域12A的输入数据的第I处理过程、和针对写入至第2存储区域12B的输入数据的第2处理过程。结果对照部14将在第I处理过程中写入至第I存储区域12A的输出数据和在第2处理过程中写入至第2存储区域12B的输出数据进行对照。
[0029]运算诊断部15通过运算,诊断出处理器11以及存储器12有无故障。在运算诊断部15进行的处理器11以及存储器12的诊断中,例如可以使用测试模式。异常处理部16在输入数据以及输出数据的冗余校验、结果对照部14的对照、以及运算诊断部15的诊断中的至少一项检测出异常的情况下,使输出数据的输出停止。
[0030]输入输出处理部17进行安全输入装置18与第I存储区域12A以及第2存储区域12B之间的输入数据的转发、和安全输出装置19与第I存储区域12A以及第2存储区域12B之间的输出数据的转发。
[0031]图2以及图3是表示安全控制器的动作过程的流程图。安全输入装置18向输入数据添加冗余码。输入输出处理部17将添加有冗余码的输入数据从安全输入装置18读入。输入输出处理部17将读入的输入数据写入至第I存储区域12A以及第2存储区域12B (步骤 SI) ο
[0032]执行控制部13对写入至第I存储区域12A的输入数据(第I输入数据)所附带的冗余码进行校验(步骤S2)。冗余码例如是CRC (Cyclic Redundancy Checking)。
[0033]在该冗余校验中检测出异常的情况下(步骤S3,Yes),异常处理部16使安全控制器的动作停止(步骤S18)。另一方面,如果通过步骤S2的冗余校验确认出没有异常(步骤S3,No),则执行控制部13执行第I输入数据的程序处理(步骤S4)。程序例如是由用户生成的应用程序。在程序处理中,执行控制部13使用第I输入数据、以及第I存储区域12A所保存的自身保存数据。
[0034]执行控制部13将步骤S4的处理结果即输出数据(第I输出数据)写入至第I存储区域12A (步骤S5)。执行控制部13根据步骤S4的处理结果,将第I存储区域12A所保存的自身保存数据改写。
[0035]执行控制部13向写入至第I存储区域12A的第I输出数据添加冗余码(步骤S6)。冗余码例如是CRC。从步骤S2至步骤S6相当于针对写入至第I存储区域12A的第I输入数据的第I处理过程。
[0036]下面,执行控制部13对写入至第2存储区域12B的输入数据(第2输入数据)所附带的冗余码进行校验(步骤S7)。冗余码例如是CRC。在该冗余校验中检测出异常的情况下(步骤S8, Yes),异常处理部16使安全控制器的动作停止(步骤S18)。另一方面,如果通过步骤S7的冗余校验确认出没有异常(步骤S8,No),则执行控制部13执行第2输入数据的程序处理(步骤S9)。
[0037]第I存储区域12A以及第2存储区域12B除了偏移地址不同以外,存储映像相同。执行控制部13对于第2输入数据,以与步骤S4中对第I输入数据进行处理时的偏移地址不同的偏移地址执行相同的程序。在程序处理中,执行控制部13使用第2输入数据、以及第2存储区域12B所保存的自身保存数据。
[0038]执行控制部13将步骤S9的处理结果即输出数据(第2输出数据)写入至第2存储区域12B (步骤S10)。执行控制部13根据步骤S9的处理结果,将第2存储区域12B所保存的自身保存数据改写。
[0039]执行控制部13向写入至第2存储区域12B的第2输出数据添加冗余码(步骤Sll)。冗余码例如是CRC。从步骤S7至步骤Sll相当于针对写入至第2存储区域12B的第2输入数据的第2处理过程。
[0040]然后,结果对照部14将在步骤S6中添加了冗余码的第I输出数据和在步骤Sll中添加了冗余码的第2输出数据进行比较对照(步骤S12)。结果对照部14也可以在第I以及第2输出数据的基础上,将值可能变更的自身保存数据包含在比较对照的范围内。
[0041]在结果对照部14的对照中检测出异常的情况下(步骤S13,Yes