专利名称:输入输出控制装置、输入输出控制方法、过程控制装置以及过程控制方法
技术领域:
本发明涉及输入输出控制装置、输入输出控制方法、过程控制装置以及过程控制方法,尤其涉及适合于在以高可靠性控制为目的的控制装置中,对多个输入输出装置防止输出值的误输入输出,更具体而言涉及与持多面输入输出区的软件协同动作,进行误输入输出的防止。
背景技术:
在适用于仪器的控制装置的控制用计算机中,为了不会由于构成部件的故障和控制程序的缺陷等而引起危险的动作,有必要从硬件、软件两方面来实施适当的保护。特别地,存取控制手段是最重要的功能之一,其用于从由上述的故障及缺陷而导致的意外存取中保护保存程序和数据的存储器或者输入输出装置等的共有资源。关于存取控制手段的实现,已经知道有以下方式利用地址变换机构来实现存储区域的保护,以使处理器不会因控制程序的缺陷等的原因而对存储器上的重要区域错误地进行存取(访问)。这是通过在内置于处理器的Memory Management Unit(MMU)中,只登录允许来自程序的存取的存储器区域的信息,而对于针对其以外的区域的存取则使之发生存取违反例外,来防止对原本不应该进行存取的存储区域的误存取。
除此以外,在日本专利公开特开平6-75861号公报的存储器存取保护装置中,还公开了通过监视在总线上所输出的地址,来控制对于规定的存储区域的存取的例子。
在被要求的可靠性的因素中有可用性和安全性。在仪器的控制中可用性是重要的,在仪器的保护中安全性是重要的。这两个因素的实现手段二律背反的部分很多。
如果采用区分成负责可用性的部分装置和负责安全性的部分装置的结构,则不只是装置因此而变得复杂,而且运转、维护作业的重复和复杂化有时还会导致人为因素的可靠性降低。
在这里,作为较高的安全性,希望对于存储器或者输入输出装置等的共有资源,不只是考虑从在处理器中所执行的控制任务发生误存取的情况,还要考虑由于输入输出装置自身的故障等而发生对于存储器或者其他的输入输出装置的误存取的情况,并构成为可以抑制这些误存取。
在利用MMU的地址变换功能的存取控制中,对由于控制程序的缺陷等而引起的来自处理器的误存取是有效的,但是,在不经由处理器而传送存储器和PI/O输入输出装置之间的数据的情况下就不够用。
另外,在设置存取控制信息表并以动作模式和任务单位进行只针对特定地址的存取保护的方式中,在对于系统中存在的数十台输入输出装置逐个进行极其细致的控制这样的用途上,硬件资源增大或性能就会降低。
在同一控制用计算机上,在考虑了使一般的控制和以仪器的保护为目的的安全控制共存的情况下,与各个模式相对应的控制任务和与其相对应的输入输出装置就会分别混合存在于同一的计算机系统内。这时,不言而喻在正常控制模式和安全控制模式切换时,就有必要切换针对从处理器对共有资源进行存取的存取控制状态,但是,对于一般用和安全用的输入输出装置混合存在的系统,就有必要以个别的输入输出装置单位进行误输入输出保护。
发明内容
本发明的目的就在于解决这样的问题点或者至少解决要求之一。
为了达到上述目的,在本发明的技术方案中,构成为将用于处理器以安全要求度相对较高的模式进行运算的输入输出值存储在第一存储区域,将用于处理器以安全要求度相对较低的模式进行运算的输入输出值存储在第二存储区域,并依照与安全要求度有关的模式来限制向上述第一存储区域的传送、从上述第一存储区域的传送、向上述第二存储区域的传送或者从上述第二存储区域的传送。
这样一来,就可以防止由于误动作而导致的输入输出的误输出。
图1是作为本发明中的第1实施例的输入输出控制装置的整体构成。
图2是以存储器为中心、给出了详细构成的图。
图3是给出了动作概要的表。
具体实施例方式
以下,参考附图对本发明的实施例进行说明。
在以下的实施例中,作为输入输出控制装置具有的控制模式,采用了一般控制模式和安全控制模式两种。但是,在适合于本发明的实施上无须将控制模式仅限定于上述两种模式。
例如,关于安全控制,可以根据对控制对象的影响度设置若干安全级别,并对其中的每个分配限制模式。
另外,区分控制模式的基准也没有必要一定是基于安全性。例如,在进行目的不同的多个控制动作的情况下,也可以针对各自的目的来分配控制模式。
实施例1在图1中,表示了作为本发明中的第1实施例的输入输出控制装置的整体构成。
处理器1执行以来自I/O总线6的来自输入装置72、74的输入信息为基础进行运算、并经由I/O总线6的输出装置71、73将指示提供给设备8的应用程序。
存储器5保持输入输出数据。
输入输出装置7是进行设备8的状态输入82、84和指示输出81、83的装置,有一般控制用71、72和安全控制用73、74两种。
控制部3存在于上述处理器1、存储器5、输入输出装置7之间,分别用处理器总线2、存储器总线4、I/O总线6来连接,进行数据的输入输出控制。特别地,在输入输出装置7和存储器5间持有按照初始设定信息自动地以周期方式实施来自输入装置72、74的信息收集和将存储器信息传送给输出装置71、73的处理的“数据复制”功能。
控制部3中的处理器I/F部31、存储器I/F部33、输入输出总线I/F部32,分别用控制部内部信号36、37、38来连接,处理器I/F部31接受来自处理器1的存取,并连接到存储器I/F部33。
同样地,输入输出总线I/F部32,持有按照初始设定、不经过程序、定期地进行存储器5和输入输出装置7之间的数据复制的功能(在从处理器向输入输出装置的直接存取时也经由本I/F部)。
此外,存储器I/F部33进行对于存储器5的读写控制和模式对存储区不一致检测331。
基本动作的说明处理器1对控制部3进行初始设定。
初始设定指示通过微程序或应用程序设定来自处理器1的数据复制的参数。
应用程序起动以后,由操作系统(OS)在动作模式寄存器311中设定动作模式(安全或一般)后,执行应用程序以进行输入输出处理。
这时,防止源于应用程序的向成为存取禁止对象的输入输出装置7的误输入输出。
以下,根据图2来说明详细的实施例。
图2以存储器为中心更为详细地给出了图1的整体构成。
处理器1按照事先登录的系统构成信息,对控制部内的复制可否设定寄存器321进行初始设定。
在复制可否设定寄存器321中,设定以插槽单位的针对输入输出装置7的数据接收发送的可否。然后,设定数据的复制周期并进行复制开始指示。
在这里,作为复制可否设定寄存器321的内容,附有○的意味着可以复制。另外,附有×的意味着不可以复制。例如,在一般I/O区51的地址编号1(一般输出)的输出目标的复制可否设定寄存器321处附有○。这就意味着,若数据被写入一般I/O区51的地址编号1(一般输出),就通过复制可否设定寄存器321,将所写入的数据复制到输入输出装置7的插槽编号1(71)(一般输出)中。同样地,例如,在一般I/O区51的地址编号7(安全输出)的输出目标的复制可否设定寄存器321中附有×。这就意味着,即使数据被写入一般I/O区51的地址编号7(安全输出),也不会通过复制可否设定寄存器321,将所写入的数据复制到输入输出装置7的插槽编号7(73)(一般输出)中。
在连结输入输出装置7的插槽编号4(72)(一般输入)和安全I/O区52的地址编号4(一般输入)的输出目标的复制可否设定寄存器321处附有○,另外,在连结输入输出装置7的插槽编号10(74)(安全输入)和一般I/O区51的地址编号10(安全输入)的输出目标的复制可否设定寄存器321处附有○。但是它们可通过初始设定而分别设定为×。也就是说,可以通过初始设定对复制可否设定寄存器321进行设定,以便不将写入在输入输出装置7的插槽编号4(72)(一般输入)的数据传送到安全I/O区52的地址编号4(一般输入),而且,不将写入在输入输出装置7的插槽编号10(74)(安全输入)的数据传送到一般I/O区51的地址编号10(安全输入)。
接收到复制开始指示以后,输入输出总线I/F部32自动地按每个设定周期从存储器5进行输入输出装置7之间的数据接收发送。
存储器5持有一般I/O区51和安全I/O区52的两面,对于一个的输入输出装置持有两面的输入输出区域。数据的输出按照动作模式寄存器311从与各自相对应的区域进行输出。对于一般输出装置71从一般I/O区51进行,而对于安全输入装置73则从安全I/O区52进行输出。
在应用程序动作时,OS在控制模式寄存器311中设定是一般控制模式或是安全控制模式中的哪一个动作模式后执行应用程序,并且应用程序进行输入输出处理100。
应用程序参照存在于存储器5中的输入数据来实施控制运算。另外,将已进行控制运算后的输出数据向存储器5上的数据输出区域进行写入(100、101)。已写入到输出区域的数据通过数据复制60~69被发送给输出装置,并进行向设备的输出,或来自设备的数据输入。
模式对存储区不一致检测部331,按照已经设定的动作模式寄存器的内容361来限定输入输出的范围。只有在模式对存储区不一致检测部331中被允许的存取101可以进行针对存储器5的存取。
在图2的例子中,输出分别在一般控制模式时只可进行一般输出200,在安全控制模式时只可进行安全输出206。不允许一般模式下的安全输出202、安全模式下的一般输入204。
从而,在以一般模式进行动作时,即使有一般I/O区51内的向安全输出的输出指示202(存储器写入),也不进行向安全输出装置73的数据复制66。
这时,将有向未被允许输出的区域的输出的情况与数据复制周期区别开来进行区域检验,并检测向未被允许输出的存储器的写入,进行错误报告38(错误中断21、向状态寄存器312反映等)。
另外,在以一般模式动作时,在存在向安全I/O区52的输出指示204、206(存储器写入)之类的针对不允许部的存取指示的情况下,在模式对存储区不一致检测部331中将当前的动作模式与存取地址进行比较,在向安全I/O区的输出指示206(存储器写入)时,进行错误报告362(中断21、向状态寄存器312反映等)。
由此,来防止/检测基于应用程序的误输出。
另外,在这个例子中,输入数据可一直写入到存储器的两模式的区域(两个地方)201、205、203、207。
这是用于实现以下目的的措施即使是将安全输入装置74的数据从一般I/O区51进行读入203之类的误存取的情况,也接收非法的输入数据,不进行错误的运算。这种情况下也进行针对向不允许部的存取相对应的错误报告362(中断21、向状态寄存器312反映等)。
在图3中用表来表示以上的动作概要。
在处理器1以一般模式进行运算的情况下,一般输入和一般输出为有效。
因此,在一般模式下,若进行安全输入和安全输出就作为异常动作进行错误报告38。
同样,在处理器1以安全模式运算的情况下,只有安全输入和安全输出有效。
因此,在安全模式下,若进行一般输入和一般输出就作为异常动作进行错误报告38。
更详细地进行说明。在图3中,例如,在一般模式下,处理器1可以对一般I/O区51的地址编号1(一般输出)进行写入,在这种情况下,所写入的数据就输出该设定值。同样,在一般模式下,处理器1可以将被写入在一般I/O区51的地址编号4(一般输入)的数据读入,在这种情况下,所写入的数据就被读入到处理器1中。
在图3中,在一般I/O区51中,动作模式是一般模式情况下的安全输入被标记“△(通过设定来进行读入和报警报告[38])”,这表示可以通过初始设定来设定读入和报警报告[38]中的某一个。
也就是,如图2所示,表示以下情况在连结输入输出装置7的插槽编号10(74)(安全输入)和一般I/O区51的地址编号10(安全输入)的输出目标的复制可否设定寄存器321处附有○的情况下,设定为“○(读入输入值)”;另一方面,在连结输入输出装置7的插槽编号10(74)(安全输入)和一般I/O区51的地址编号10(安全输入)的输出目标的复制可否设定寄存器321处附有×的情况下,设定为“×(不可输出、报警报告[38])”。
同样,在安全I/O区52中,动作模式是安全模式情况下的一般输入被标记“△(通过设定进行读入和报警报告[38])”,这表示可以通过初始设定来设定读入和报警报告[38]中的某一个。
也就是,如图2所示,表示以下情况在连结输入输出装置7的插槽编号10(74)(安全输入)和一般I/O区51的地址编号10(安全输入)的输出目标的复制可否设定寄存器321处附有○的情况下,设定为“○(读入输入值)”;另一方面,在连结输入输出装置7的插槽编号10(74)(安全输入)和一般I/O区51的地址编号10(安全输入)的输出目标的复制可否设定寄存器321处附有×的情况下,设定为“×(不可输出、报警报告[38])”。
在图2的例子中,即便处理器1出错,以一般模式进行了安全输入或者以安全模式进行了一般输入的情况下,数据也将读入正常值。
由于直到通过错误报告38发生中断21,需要一定程度的时间,期间处理器1继续运行,所以这是用于防止由于使错误数据返回而引起的误运算的措施。
在这里,可以通过作为新的限制模式定义为“△”,一旦存取到来就将数据返回,同时打开错误报告38。
此外,作为使可用性进一步提高的办法,还可以只在一般模式时用模式对存储区不一致检测部331作为异常报告报警362,在安全模式时,一般I/O区51、安全I/O区52都可以进行存取。
通过采用本方式,由于区分存储区域51、52,所以可以利用简单的结构实现可靠的保护。
通过只在软件所呈报的动作模式与存取地址一致的情况下判定为正常,就可以确保系统的正当合理性。
实施例2还可以将在实施例1中由OS指示控制模式、由处理器IF部31的模式对存储区不一致检测部331实施判定的部分,使用处理器的MMU功能,与控制模式结合变更MMU信息,并切换写入禁止/解除,以进行针对安全I/O区的存取保护。
实施例3通过将物理的存储器设为一面,按照控制部内的动作模式寄存器,在硬件中自动附加与映射变更相应的偏移量将会实现同样的功能。
实施例4
在从处理器1向复制可否设定寄存器321的初始设定中,还可以不是依据事前登录的系统结构信息来进行设定,而是在电源刚刚接通之后的系统初始化时,读入实际所连接的输入输出装置的信息,并根据实际安装的插槽和装置种类自动地进行设定。
正如以上所述,在各实施例中,通过在输入输出装置中多重设置输入输出区域,软件分别在以安全模式进行动作的情况或者以一般模式进行动作的情况专用,且在初始化时对过程输入输出装置设定可执行输入输出的级别,就能够对各输入输出装置的输入输出进行来自程序的存取(访问)限制。
其结果,与各程序动作模式相对应的输入输出保护就成为可能,可以防止因程序的误动作而引起的输入输出装置的误输出。
另外,其结果,程序员仅通过改变将进行输入输出的地址的偏移量就使安全输入输出数据的存取成为可能、程序的变更也容易。
此外,实施例是以与直接从处理器对输入输出装置进行存取(访问)相比较时,实现更为困难的复制方式为前提进行了记载。在直接进行存取的方式中也可以通过采用本发明而实现同样的保护。
权利要求
1.一种输入输出控制装置,其特征在于,具有存储用于处理器以安全要求度相对较高的模式进行运算的输入输出值的第一存储区域;和存储用于处理器以安全要求度相对较低的模式进行运算的输入输出值的第二存储区域;并依照与安全要求度有关的模式来限制向上述第一存储区域的传送、从上述第一存储区域的传送、向上述第二存储区域的传送或者从上述第二存储区域的传送。
2.按照权利要求1所述的输入输出控制装置,其特征在于上述处理器依照处理器的动作模式,对上述第一存储区域以及上述第二存储区域之中的一部分区域进行存取。
3.按照权利要求1所述的输入输出控制装置,其特征在于具有复制可否设定寄存器,上述传送的限制参照上述复制可否设定寄存器的内容来进行。
4.按照权利要求3所述的输入输出控制装置,其特征在于具有状态寄存器,与上述安全要求度有关的模式参照上述状态寄存器的内容来进行
5.按照权利要求4所述的输入输出控制装置,其特征在于上述第一存储区域以及上述第二存储区域分别对插槽进行传送,上述第一存储区域和上述第二存储区域彼此关联起来的存储区域一起对上述插槽的规定区域进行传送。
6.按照权利要求5所述的输入输出控制装置,其特征在于上述第一存储区域以及上述第二存储区域相互持有偏移量并具有类似的地址构成。
7.按照权利要求6所述的输入输出控制装置,其特征在于在物理上的一个存储器中构成上述第一存储区域以及上述第二存储区域。
8.按照权利要求1所述的输入输出控制装置,其特征在于具有依照与安全要求度有关的模式,对上述第一存储区域以及上述第二存储区域的存取区域进行限制,并在针对该限制的非法存取时进行异常报告的部件。
9.按照权利要求1所述的输入输出控制装置,其特征在于上述限制在系统初始化时根据软件的系统构成信息来进行设定。
10.按照权利要求1所述的输入输出控制装置,其特征在于上述限制在系统初始化时根据硬件的输入输出装置安装信息来进行设定。
11.一种设备控制装置,具有基于设备信息来运算设备控制信息的处理器,和对上述处理器进行输入输出的输入输出部,其特征在于,上述输入输出部具有存储用于处理器以安全要求度相对较高的模式进行运算的输入输出值的第一存储区域;存储用于处理器以安全要求度相对较低的模式进行运算的输入输出值的第二存储区域;和依照与安全要求度有关的模式来限制向上述第一存储区域的传送、从上述第一存储区域的传送、向上述第二存储区域的传送或者从上述第二存储区域的传送的限制部。
12.一种输入输出控制方法,其特征在于将用于处理器以安全要求度相对较高的模式进行运算的输入输出值存储在第一存储区域中;将用于处理器以安全要求度相对较低的模式进行运算的输入输出值存储在第二存储区域中;依照与安全要求度有关的模式来限制向上述第一存储区域的传送、从上述第一存储区域的传送、向上述第二存储区域的传送或者从上述第二存储区域的传送。
13.一种设备控制方法,与设备的控制信息相关,其特征在于,将用于处理器以安全要求度相对较高的模式进行运算的输入输出值存储在第一存储区域中;将用于处理器以安全要求度相对较低的模式进行运算的输入输出值存储在第二存储区域中;和依照与安全要求度有关的模式来限制向上述第一存储区域的传送、从上述第一存储区域的传送、向上述第二存储区域的传送或者从上述第二存储区域的传送。
全文摘要
本发明提供一种输入输出控制装置、输入输出控制方法、过程控制装置以及过程控制方法。以防止因误动作而引起的输入输出的误输出为目的。构成如下将用于处理器以安全性相对较高的模式进行运算的输入输出值存储在第1存储区域中,将用于处理器以安全性相对较低的模式进行运算的输入输出值存储在第2存储区域中,并依照安全性的模式来限制向第1存储区域的传送、从第1存储区域的传送、向第2存储区域的传送或者从第2存储区域的传送。
文档编号G06F21/04GK1897009SQ20061009983
公开日2007年1月17日 申请日期2006年6月30日 优先权日2005年6月30日
发明者益子直也, 梅原敬, 小林正光, 远藤浩通, 小野塚明弘, 阪东明, 小仓真, 长山久雄, 石川雅一, 船木觉, 白石雅裕 申请人:株式会社日立制作所, 日立信息控制系统有限公司