亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

安全控制系統(tǒng)的制作方法

文檔序號:6328362閱讀:125來源:國知局
專利名稱:安全控制系統(tǒng)的制作方法
技術領域
本發(fā)明涉及安全控制系統(tǒng),其具有電力轉(zhuǎn)換器等被控制裝置的安全監(jiān)視功能,基于經(jīng)由網(wǎng)絡而提供的控制信號對被控制裝置進行控制,特別涉及在具有控制功能和安全監(jiān)視功能的處理器與僅具有安全監(jiān)視功能的處理器之間進行高精度的同步處理,實現(xiàn)高安全性的安全控制系統(tǒng)。
背景技術
目前,對電力轉(zhuǎn)換器等被控制裝置,提出了功能安全的要求,制定有以IEC61508 為代表的功能安全標準等。在該功能安全標準中,在診斷、監(jiān)視功能之外,還定義有基于來自外部傳感器等的信號而使裝置轉(zhuǎn)換為安全的狀態(tài)的功能。在轉(zhuǎn)換到安全狀態(tài)的功能中, 能夠列舉安全停止、安全減速等。另外,作為從外部控制器向電力轉(zhuǎn)換器給予控制信號、安全信號的方法,現(xiàn)在主流的是按照功能將信號線連接到電力轉(zhuǎn)換器的線路配線的方法。在該方法中,安裝雖然容易,但是與系統(tǒng)的規(guī)模相應地,配線變得復雜,在設計方面、成本方面不利。因此,提案使用“安全總線”的系統(tǒng),該系統(tǒng)用于將通過線路配線給予的安全信號與控制信號混合后利用工業(yè)用網(wǎng)絡傳送(例如參照專利文獻1)。另外,在專利文獻2中,記載有用于將外部的安全控制器和以安全標準設計的輸入設備、輸出設備在網(wǎng)絡上進行中繼的裝置。該裝置的輸入和輸出分別由不同的設備構(gòu)成, 分別通過以冗長化的端子(發(fā)送接收部)進行連接,從而實現(xiàn)安全功能。在由電力轉(zhuǎn)換器實現(xiàn)安全總線時,通信裝置為了滿足功能安全標準,例如如圖8 所示那樣,為了將安全總線(網(wǎng)絡3)中流動的通信數(shù)據(jù)之中的控制數(shù)據(jù)和安全數(shù)據(jù)分離, 設置有獨立的2個通信裝置10a、10b,或者如圖9所示那樣,設置有用于由1個通信裝置10 接收混合了安全數(shù)據(jù)和非安全數(shù)據(jù)(控制數(shù)據(jù))的通信數(shù)據(jù),從該通信數(shù)據(jù)中將安全數(shù)據(jù)和非安全數(shù)據(jù)分離的專用處理器單元。但是,基于硬件的成本削減的要求,將圖9舉例所示的3個處理器單元精簡為兩個,在一個處理器單元安裝控制功能和安全功能,在另一個處理器單元僅安裝安全功能,這樣既能夠滿足安全功能的雙重化的條件,又能夠削減單元個數(shù)而實現(xiàn)小型化和低成本化。但是,在形成為這樣的單元結(jié)構(gòu)時,由于安全功能和非安全功能混合存在,導致產(chǎn)生問題。例如,雙重化的安全功能,為了同時進行相同的安全處理,需要實現(xiàn)同步,但是存在一個處理器單元的安全處理受到非安全處理的行為的影響,從而同步失敗變得容易發(fā)生的問題?,F(xiàn)有技術文獻專利文獻專利文獻1 日本特開2006-178730號公報專利文獻2 日本特開2006-325390號公報
發(fā)明內(nèi)容
發(fā)明要解決的課題本發(fā)明鑒于上述情況而完成,其目的在于提供一種安全控制系統(tǒng),能夠削減處理器單元個數(shù),實現(xiàn)低成本化和省空間化,并且能夠可靠地維持雙重化結(jié)構(gòu)的安全功能間的同步。用于解決課題的手段為了達成上述目的,本發(fā)明的其包括通過網(wǎng)絡與外部控制器進行通信數(shù)據(jù)的發(fā)送接收的通信裝置;第一處理器單元,其經(jīng)由該通信裝置接收從上述外部控制器傳送來的通信數(shù)據(jù),執(zhí)行基于該通信數(shù)據(jù)向電力轉(zhuǎn)換器輸出控制信號的控制功能和基于該通信數(shù)據(jù)向電力轉(zhuǎn)換器輸出停止指令等安全功能;和僅執(zhí)行安全功能的第二處理器單元,安全控制系統(tǒng)的特征在于第一處理器單元包括控制指令生成模塊,其在通信數(shù)據(jù)包含非安全數(shù)據(jù)的情況下,基于該非安全數(shù)據(jù)生成控制指令,并將該控制指令向電力轉(zhuǎn)換器輸出;安全數(shù)據(jù)轉(zhuǎn)送模塊,其在通信數(shù)據(jù)包含安全數(shù)據(jù)的情況下,產(chǎn)生作為針對第二處理器單元的中斷信號的外部中斷信號和作為處理器內(nèi)部的中斷信號的內(nèi)部中斷信號,并且向第二處理器單元轉(zhuǎn)送安全數(shù)據(jù);安全數(shù)據(jù)執(zhí)行模塊,其根據(jù)內(nèi)部中斷信號,執(zhí)行基于安全數(shù)據(jù)的安全處理;和結(jié)合模塊,其接收由第二處理器單元執(zhí)行的安全處理的結(jié)果,基于該接收數(shù)據(jù)和安全數(shù)據(jù)執(zhí)行模塊的執(zhí)行結(jié)果,生成要向外部控制器發(fā)送的通信數(shù)據(jù),其中,第二處理器單元具備安全數(shù)據(jù)執(zhí)行模塊,該安全數(shù)據(jù)執(zhí)行模塊根據(jù)外部中斷信號啟動,基于從第一處理器單元轉(zhuǎn)送的安全數(shù)據(jù)執(zhí)行安全處理,將該安全處理的結(jié)果向第一處理器單元發(fā)送。這里,處理器單元是指進行用于實現(xiàn)某種功能的運算處理的獨立的結(jié)構(gòu)單位,與其形態(tài)(基板或裝置等)無關。在本發(fā)明中,在第一處理器單元執(zhí)行控制功能和安全功能,在第二處理器單元僅執(zhí)行安全功能,通過來自處理負載重的第一處理器單元的外部中斷信號取得兩處理器單元間的安全處理的定時(時刻)。第二處理器單元與第一處理器單元相比處理負載較輕,因此即使與第一處理器單元的定時一致,也不會使安全處理停滯。由此,能夠可靠地實現(xiàn)兩處理器單元的安全功能的同步。另外,本發(fā)明的安全控制系統(tǒng)的第一處理器單元包括以一定時間間隔產(chǎn)生內(nèi)部中斷信號的第一計時器模塊;和第一存儲器診斷模塊,其根據(jù)該內(nèi)部中斷信號執(zhí)行存儲器診斷處理,并且針對安全處理用的存儲器區(qū)域生成錯誤檢測碼,在生成了該錯誤檢測碼之后,對于第二處理器單元,產(chǎn)生外部中斷信號并且發(fā)送該錯誤檢測碼,第二處理器單元包括在經(jīng)過了設定時間后產(chǎn)生內(nèi)部中斷信號并在此后重新啟動的第二計時器模塊;第二存儲器診斷模塊,其根據(jù)該內(nèi)部中斷信號執(zhí)行存儲器診斷處理,并且針對安全處理用的存儲器區(qū)域生成錯誤檢測碼,在生成了該錯誤檢測碼之后,對于第一處理器單元,產(chǎn)生外部中斷信號并且發(fā)送該錯誤檢測碼;和第二安全管理模塊,其根據(jù)由第一處理器單元的第一存儲器診斷模塊產(chǎn)生的外部中斷信號啟動,基于該啟動的時刻調(diào)整第二計時器模塊的設定時間,并對從第一存儲器診斷模塊發(fā)送的錯誤檢測碼和由第二存儲器診斷模塊生成的錯誤檢測碼進行比較,在兩個碼不一致的情況下執(zhí)行錯誤處理,第一處理器單元還具有第一安全管理模塊,該第一安全管理模塊根據(jù)由第二處理器單元的第二存儲器診斷模塊產(chǎn)生的外部中斷信號啟動,對從第二存儲器診斷模塊發(fā)送的錯誤檢測碼和由第一存儲器診斷模塊生成的錯誤檢測碼進行比較,在兩個碼不一致的情況下執(zhí)行錯誤處理。
5
作為安全功能之一的存儲器診斷功能,需要在相同定時生成錯誤檢測碼并相互轉(zhuǎn)送,但是對于產(chǎn)生錯誤檢測碼生成的定時的計時器模塊,通過以第一處理器單元發(fā)出的錯誤檢測碼的發(fā)送定時調(diào)整第二計時器的設定時間,使第二計時器模塊與第一計時器模塊同步。由此,能夠防止兩處理器單元的存儲器診斷處理的定時偏差的不斷累積。另外,本發(fā)明的安全控制系統(tǒng)的第一存儲器診斷模塊將上述第一存儲器診斷模塊將按照發(fā)送次數(shù)遞增的發(fā)送編號與錯誤檢測碼一起發(fā)送,第二存儲器診斷模塊,使從第一存儲器診斷模塊傳送來的最新的發(fā)送編號遞增,并將遞增后的值作為發(fā)送編號,將該發(fā)送編號與錯誤檢測碼一起發(fā)送,第一安全管理模塊和第二安全管理模塊,還分別對發(fā)送編號進行比較,在發(fā)送編號和錯誤檢測碼中的任一方不一致的情況下,執(zhí)行錯誤處理。在本發(fā)明中,萬一在兩處理器單元間存儲器診斷處理的定時產(chǎn)生偏差的情況下, 檢測出產(chǎn)生偏差即處于同步失敗的狀態(tài)而執(zhí)行錯誤處理。發(fā)明的效果根據(jù)本發(fā)明,在削減處理器單元數(shù)量,實現(xiàn)低成本化和省空間化的同時,能夠可靠地維持雙重化結(jié)構(gòu)帶來的安全功能間的同步。另外,在萬一由于故障等引起安全功能間發(fā)生同步失敗的情況下,檢測出這種情況進行錯誤(error)處理(糾錯處理),因此能夠構(gòu)筑可靠性高的安全控制系統(tǒng)。


圖1是本發(fā)明的實施方式的安全控制系統(tǒng)1和周邊裝置的結(jié)構(gòu)圖。圖2是圖1的處理器單元11、12的功能框圖。圖3是本發(fā)明的實施方式的安全控制系統(tǒng)1的動作概要的說明圖。圖4是表示分離模塊22的處理步驟的流程圖。圖5是圖2的存儲器34、存儲器64的區(qū)域分割的說明圖。圖6是表示圖2的存儲器診斷模塊洲、安全管理模塊四的處理步驟的流程圖。圖7是表示圖2的存儲器診斷模塊58、安全管理模塊59的處理步驟的流程圖。圖8是現(xiàn)有的安全控制系統(tǒng)的一個結(jié)構(gòu)例。圖9是現(xiàn)有的安全控制系統(tǒng)的其他結(jié)構(gòu)例。附圖標記說明1 安全控制系統(tǒng)2 外部控制器3 網(wǎng)絡4 電動機10、10a、IOb 通信裝置11、12 處理器單元21、51 CPU (處理器)22 分離模塊23 結(jié)合模塊24 控制指令生成模塊26 安全數(shù)據(jù)轉(zhuǎn)送模塊
27、57 安全數(shù)據(jù)執(zhí)行模塊28、58 存儲器診斷模塊29、59 安全管理模塊30、80 計時器模塊31,81 設定值34、64 存儲器35、40、70 發(fā)送接收電路36、37、66 I/F 電路38、39、69 鎖存電路40 發(fā)送接收電路60 電力轉(zhuǎn)換器64 存儲器90,91,92 現(xiàn)有的存儲器單元99 現(xiàn)有的安全控制系統(tǒng)
具體實施例方式以下,參照附圖對本發(fā)明的實施方式進行說明。圖1是本發(fā)明的實施方式的安全控制系統(tǒng)1和周邊裝置的結(jié)構(gòu)圖。與如圖9所示的現(xiàn)有的安全控制系統(tǒng)1的主要區(qū)別在于, 由統(tǒng)合處理器單元90和處理器單元91的功能而兼具控制功能和安全功能兩者的處理器單元11,和僅具有安全功能的處理器單元12組成的結(jié)構(gòu)。各處理器單元11、12、通信裝置10、 電力轉(zhuǎn)換器60以線纜連接。另外,在處理器單元11與處理器單元12之間,作為數(shù)據(jù)同步方法,采用外部中斷信號線進行連接。在該結(jié)構(gòu)中,將非安全信號從處理器單元11向電力轉(zhuǎn)換器60輸出,將安全信號從處理器單元11和處理器單元12雙方向電力轉(zhuǎn)換器60輸出。例如,在緊急停止的安全信號從處理器單元11和處理器單元12中的至少任一方輸出的情況下,電力轉(zhuǎn)換器60進行緊急停止。于是,通過處理器單元11和處理器單元12,控制系統(tǒng)單重化、安全系統(tǒng)雙重化的結(jié)構(gòu)得以實現(xiàn)。圖2是處理器單元11、12的功能框圖。處理器單元11具備執(zhí)行運算處理的 CPU21 ;存儲數(shù)據(jù)的存儲器34 ;與通信裝置10進行數(shù)據(jù)的發(fā)送接收的發(fā)送接收電路35 ;與電力轉(zhuǎn)換器60之間分別進行安全信號、控制信號的傳遞的I/F(接口)電路36、37 ;將中斷請求的輸出保持一定時間的鎖存(latch)電路38、39;和與處理器單元12之間進行數(shù)據(jù)的發(fā)送接收的發(fā)送接收電路40。另外,作為CPU21的功能,具備對從通信裝置10接收的數(shù)據(jù)進行分離的分離模塊 22;在接收到安全數(shù)據(jù)的情況下,產(chǎn)生外部中斷和內(nèi)部中斷,將安全數(shù)據(jù)轉(zhuǎn)送到處理器單元 12的安全數(shù)據(jù)轉(zhuǎn)送模塊沈;基于安全數(shù)據(jù)執(zhí)行安全處理的安全數(shù)據(jù)執(zhí)行模塊27 ;基于來自外部控制器2的控制數(shù)據(jù),生成應輸出到電力轉(zhuǎn)換器60的控制信號的控制指令生成模塊 24 ;根據(jù)安全處理、控制處理的結(jié)果生成應發(fā)送到外部控制器2的通信數(shù)據(jù)的結(jié)合模塊23 ; 基于在寄存器(register)等的設定值保持模塊(以下稱為“設定值”)31中保持的設定值, 計測時間并以一定周期輸出中斷請求(內(nèi)部中斷)的計時器模塊30;由來自計時器模塊30
7的中斷請求啟動,進行存儲器區(qū)域的診斷的存儲器診斷模塊觀;和基于存儲器診斷模塊觀的診斷結(jié)果等監(jiān)視有無異常,并在檢測出異常時進行預先設定的故障保險(fail safe,有限可靠性)處理的安全管理模塊四。處理器單元12包括執(zhí)行運算處理的CPTOl ;存儲數(shù)據(jù)的存儲器64 ;與電力轉(zhuǎn)換器60之間分別進行安全信號的傳遞的I/F電路66 ;將中斷請求的輸出保持一定時間的鎖存電路69 ;和與處理器單元11之間進行數(shù)據(jù)的發(fā)送接收的發(fā)送接收電路70。此外,在發(fā)送接收電路40與發(fā)送接收電路70之間通過串行通信進行物理上連接。在圖2中,電路40、70 之間的虛線表示邏輯連接。另外,作為CPTOl的功能,具備基于從處理器單元11送來的安全數(shù)據(jù)執(zhí)行安全處理的安全數(shù)據(jù)執(zhí)行模塊27 ;基于設定值81計測時間并輸出中斷請求(內(nèi)部中斷)的計時器模塊80 ;根據(jù)來自計時器模塊80的中斷請求而啟動、進行存儲器區(qū)域的診斷的存儲器診斷模塊58 ;和基于存儲器診斷模塊58的診斷結(jié)果等監(jiān)視有無異常,并在檢測出異常時執(zhí)行預先設定的故障保險處理的安全管理模塊59。對具有上述結(jié)構(gòu)的安全控制系統(tǒng)1的動作概要進行說明。在圖3中,當安全控制系統(tǒng)1接收通信數(shù)據(jù)時,首先,CPU21的分離模塊22將從通信裝置10接收到的通信數(shù)據(jù)分離成安全數(shù)據(jù)和控制數(shù)據(jù)(Si)。接著,在通信數(shù)據(jù)為控制數(shù)據(jù)的情況下,通過控制指令生成模塊M進行控制數(shù)據(jù)處理,向電力轉(zhuǎn)換器60輸出控制信號
(52),處理結(jié)束。另一方面,在步驟Sl中通信數(shù)據(jù)為安全數(shù)據(jù)的情況下,CPU21的安全數(shù)據(jù)轉(zhuǎn)送模塊沈?qū)踩珨?shù)據(jù)轉(zhuǎn)送到CPTO1,安全數(shù)據(jù)執(zhí)行模塊27基于該安全數(shù)據(jù)執(zhí)行安全處理
(53)。同時,也以根據(jù)安全數(shù)據(jù)所設定的周期進行存儲器診斷處理等。在從CPU21接收安全數(shù)據(jù)時,CPU51基于該安全數(shù)據(jù)執(zhí)行安全處理(S4)。處理器21和處理器51的安全數(shù)據(jù)的處理結(jié)果,通過數(shù)據(jù)同步模塊被匯總到處理器21,通過結(jié)合模塊23的處理,安全數(shù)據(jù)被轉(zhuǎn)換為通信數(shù)據(jù),經(jīng)由通信裝置10向外部控制器2發(fā)送通信數(shù)據(jù)(S5)。下面,詳細敘述安全控制系統(tǒng)1的動作。(接收數(shù)據(jù)分離處理)圖4表示分離模塊22的處理步驟。經(jīng)由通信裝置10送來的通信數(shù)據(jù),由發(fā)送接收電路35接收,并由CPU21的分離模塊22接收(SlOl)。接著,分離模塊22對通信數(shù)據(jù)是安全數(shù)據(jù)還是控制數(shù)據(jù)進行判定(S102)。對于該判定,通信數(shù)據(jù)中定義了用于判別是安全數(shù)據(jù)還是控制數(shù)據(jù)的數(shù)據(jù)(數(shù)據(jù)種類),根據(jù)該數(shù)據(jù)種類進行判定。判定的結(jié)果為安全數(shù)據(jù)時,設定安全處理用的內(nèi)部中斷(S103)。判定的結(jié)果為控制數(shù)據(jù)時,設定控制處理用的內(nèi)部中斷(S104)。此外,通信數(shù)據(jù)包括安全數(shù)據(jù)和控制數(shù)據(jù)雙方時,對安全數(shù)據(jù)和控制數(shù)據(jù)進行分離,并且設定安全處理用的內(nèi)部中斷和控制處理用的內(nèi)部中斷這兩方。內(nèi)部中斷是用于啟動CPU的特定程序的中斷。通過使用該內(nèi)部中斷,即使在同時接收到控制數(shù)據(jù)和安全數(shù)據(jù)的情況、進行其他的處理的情況下,也能夠根據(jù)預先決定的程序的優(yōu)先度按順序進行處理, 能夠高效地處理安全通信處理和緊急性高的其他處理。另外,通過在與控制數(shù)據(jù)處理不同的中斷主要原因下進行處理,能夠確保安全數(shù)據(jù)處理的獨立性。(控制指令生成處理)控制指令生成模塊M以由分離模塊22產(chǎn)生的內(nèi)部中斷為觸發(fā)(trigger)而啟動,將速度指令等控制數(shù)據(jù)作為控制信號向電力轉(zhuǎn)換器60輸出。另外,將從電力轉(zhuǎn)換器60 取得的當前速度等控制應答信號向后述的結(jié)合模塊23傳送。(安全數(shù)據(jù)轉(zhuǎn)送處理)安全數(shù)據(jù)轉(zhuǎn)送模塊沈以由分離模塊22產(chǎn)生的內(nèi)部中斷為觸發(fā)而啟動,將外部中斷請求輸出到處理器單元12的CPTO1。該請求通過向預先分配的特定的地址進行寫入動作而輸出。具體而言,在寫入信號輸入至鎖存電路38時,鎖存電路38以使中斷有效(active) 的方式將脈沖信號輸出一定時間。該脈沖信號作為外部中斷信號輸入至CPTO1,CPTO1的安全數(shù)據(jù)執(zhí)行模塊57啟動。安全數(shù)據(jù)轉(zhuǎn)送模塊沈同時通過發(fā)送接收電路40將安全數(shù)據(jù)向處理器單元12發(fā)送。從處理器單元11發(fā)送來的安全數(shù)據(jù)由處理器單元12的發(fā)送接收電路70接收,傳輸給 CPU51的安全數(shù)據(jù)執(zhí)行模塊57。安全數(shù)據(jù)轉(zhuǎn)送模塊沈進而設定內(nèi)部中斷,啟動安全數(shù)據(jù)執(zhí)行模塊27。(安全數(shù)據(jù)執(zhí)行處理)處理器單元11的安全數(shù)據(jù)執(zhí)行模塊27,因由安全數(shù)據(jù)轉(zhuǎn)送模塊沈設定的內(nèi)部中斷而啟動時,基于安全數(shù)據(jù)生成安全處理所必需的安全信號,經(jīng)由I/F電路36向電力轉(zhuǎn)換器60輸出。將該處理結(jié)果傳送給結(jié)合模塊23。另一方面,處理器單元12的安全數(shù)據(jù)執(zhí)行模塊57,因從鎖存電路38輸出的外部中斷信號而啟動時,接收從安全數(shù)據(jù)轉(zhuǎn)送模塊26送來的安全數(shù)據(jù),基于該安全數(shù)據(jù)生成安全處理所必需的安全信號,經(jīng)由I/F電路66向電力轉(zhuǎn)換器60輸出。將該處理結(jié)果傳送至處理器單元11的結(jié)合模塊23。以上,通過分離模塊22、安全數(shù)據(jù)轉(zhuǎn)送模塊沈的外部和內(nèi)部的中斷信號的產(chǎn)生和安全數(shù)據(jù)的轉(zhuǎn)送,進而兩處理器單元11、12的安全數(shù)據(jù)執(zhí)行模塊27、57的處理動作,在處理器單元11、12之間實現(xiàn)安全數(shù)據(jù)的同步處理。(數(shù)據(jù)的結(jié)合處理)結(jié)合模塊23的處理如下根據(jù)由安全數(shù)據(jù)執(zhí)行模塊27和處理器單元12的安全數(shù)據(jù)執(zhí)行模塊57取得的安全數(shù)據(jù)的處理結(jié)果生成通信數(shù)據(jù),經(jīng)由通信裝置10向外部控制器2 發(fā)送。結(jié)合模塊23還基于從控制指令生成模塊M傳遞的控制應答信號生成通信數(shù)據(jù),并將其向外部控制器2發(fā)送。(存儲器診斷的同步處理)在安全處理之中,實現(xiàn)以定周期執(zhí)行的存儲器診斷處理的同步是重要的。下面,對于該步驟進行說明。此外,在定周期處理中,除CPU內(nèi)的存儲器診斷之外,還存在電力轉(zhuǎn)換器60的輸出電壓檢測(check)、電動機4的速度監(jiān)視等安全監(jiān)控(monitoring)處理,但是這些在存儲器診斷的前后執(zhí)行即可,因此下面對在處理器單元11、12之間實現(xiàn)存儲器診斷的同步的方法進行說明。CPU21和CPTOl連接或內(nèi)置其中的存儲器的結(jié)構(gòu)如圖5所示。處理器單元11的存儲器34被預先劃分為非安全相關(控制相關)存儲器區(qū)域、安全相關存儲器區(qū)域和其他區(qū)域。該劃分能夠使用連接程序(linker)等工具進行。通過這樣劃分,即使在因控制數(shù)據(jù)處理中的程序錯誤(miss)而引發(fā)存儲器重新寫入的情況下,也不會對安全數(shù)據(jù)處理的存儲器施加直接影響。另外,萬一發(fā)生越過存儲器空間重新寫入等異常的情況下,由于在處理器單元12中執(zhí)行同樣的安全數(shù)據(jù)處理并進行相互監(jiān)視,因此能夠檢測出異常,能夠確保安全性。在處理器單元12中,則劃分為安全相關存儲器區(qū)域和其他區(qū)域。處理器單元11 和處理器單元12對于安全處理如上所述同步地執(zhí)行,因此安全相關存儲器區(qū)域被控制為總是為同一數(shù)據(jù)。于是,通過彼此的CPU使該安全相關存儲器區(qū)域的存儲器診斷(例如讀寫檢查)、從存儲器區(qū)域生成的錯誤碼同步,并以一定的周期檢查是否存在不一致。另外,對于電力轉(zhuǎn)換器60、電動機4,也以固定周期間隔監(jiān)視是否存在溫度、電壓、 規(guī)格外的任何異常,使得在異常發(fā)生時進行預先定義的安全動作。安全動作例如為電力轉(zhuǎn)換器60內(nèi)的電力線的啟動脈沖(gate)切斷、電動機4等的負載以一定值進行減速的安全減速停止、安全速度限制等。作為錯誤檢測碼的處理,例如為以5ms的一定周期對安全相關存儲器區(qū)域的錯誤檢測碼(例如CRC)進行計算,將其計算結(jié)果相互發(fā)送的處理。該存儲器診斷處理的流程的概要為,利用計時器模塊30、80產(chǎn)生的內(nèi)部中斷,啟動兩處理器單元11、12的存儲器診斷模塊觀、58,在上述的一定的固定周期處理之后,計算錯誤檢測碼,并相互發(fā)送。于是,通過安全管理模塊四、59,對兩處理器單元11、12的錯誤檢測碼進行核對來判定是否一致。以下,用圖6、圖7對各處理器單元11、12各自的存儲器診斷處理的步驟進行詳述。(處理器單元11的存儲器診斷處理)處理器單元11的存儲器診斷模塊觀,因計時器模塊30的設定值31的隨時間經(jīng)過發(fā)出的內(nèi)部中斷而啟動。于是,在重新(再次)啟動計時器模塊30 (S201)、安全監(jiān)控處理 (電力轉(zhuǎn)換器60的輸出電壓檢查等)之后(S202),執(zhí)行存儲器診斷處理(S2(X3)。然后,對于安全相關區(qū)域,生成錯誤檢測碼(S204),并將其保存在存儲器34的預先決定的規(guī)定區(qū)域中。其后,輸出外部中斷,并且向處理器單元12發(fā)送所生成的錯誤檢測碼(S205)。處理器單元11的安全管理模塊四,在因來自處理器單元12的存儲器診斷模塊58 的外部中斷而啟動時,提取從存儲器診斷模塊58送來的錯誤檢測碼,并且提取存儲器34中保存的自身的錯誤檢測碼(S301),進行記錄(log)并判定兩者是否一致(S302、S303)。如果其結(jié)果不一致(在S303為“否”),則執(zhí)行預先設定的故障保險處理(S304)。(存儲器單元12的存儲器診斷處理)存儲器單元12的存儲器診斷模塊58,因計時器模塊80的設定值81的隨時間經(jīng)過發(fā)出的內(nèi)部中斷而啟動。在執(zhí)行安全監(jiān)控處理之后(S401),執(zhí)行存儲器診斷處理(S402)。 然后,對于安全相關區(qū)域,生成錯誤檢測碼,并將其保存在存儲器64的規(guī)定區(qū)域中(S403)。 其后,輸出外部中斷,并且向處理器單元11發(fā)送所生成的錯誤檢測碼(S404)。處理器單元12的安全管理模塊59,在因來自處理器單元11的存儲器診斷模塊觀的外部中斷而啟動時,調(diào)整設定值81 (S501),對計時器模塊80進行重新啟動650 。調(diào)整設定值81的方法為,對存儲器診斷模塊58的外部中斷信號輸出時刻(timing)與來自存儲器診斷模塊觀的外部中斷的時刻的時間差進行計測,如果來自存儲器診斷模塊觀的外部中斷的時刻延遲了一定值以上,則使設定值81加上預先確定的值。由此,下一次的存儲器診斷模塊58的啟動時刻延遲。另一方面,如果來自存儲器診斷模塊觀的外部中斷的時刻提前了一定值以上,則從設定值81減去預先確定的值。由此,下一次的存儲器診斷模塊58的啟動時刻提前。接著,提取從存儲器診斷模塊觀送來的錯誤碼,并提取存儲器64中保存的自身的錯誤檢測碼(S503),進行記錄并判定兩者是否一致(S504、S505)。如果其結(jié)果不一致(在 S505為“否”),執(zhí)行預先設定的故障保險處理(S506)。此外,在上述圖6、圖7的處理中,將錯誤檢測碼相互發(fā)送,但是此時也可以將錯誤檢測碼與按照發(fā)送次數(shù)遞增的發(fā)送編號一起發(fā)送。而且,分別以還包含發(fā)送編號的方式對錯誤檢測碼進行比較,在發(fā)送編號和錯誤檢測碼中的任一方不一致的情況下執(zhí)行錯誤處理。由此,能夠迅速檢測出由故障等引起的同步失敗的狀態(tài)。以上,根據(jù)本實施方式,能夠維持雙重化結(jié)構(gòu)的安全功能間的同步并且削減處理器單元的個數(shù)。特別是,使僅安裝安全功能的處理器單元12的計時器模塊80通過上述處理,跟蹤處理器單元11的計時器模塊30的時刻,因此能夠使兩處理器單元11、12高精度地同步。另外,在倘若因故障等而在安全功能間引發(fā)同步失敗的情況下,檢測出該情況并執(zhí)行錯誤處理,所以能夠構(gòu)筑可靠性高的安全控制系統(tǒng)。
權(quán)利要求
1.一種安全控制系統(tǒng),其包括通過網(wǎng)絡與外部控制器進行通信數(shù)據(jù)的發(fā)送接收的通信裝置;第一處理器單元,其經(jīng)由該通信裝置接收從所述外部控制器傳送來的通信數(shù)據(jù),執(zhí)行基于該通信數(shù)據(jù)向電力轉(zhuǎn)換器輸出控制信號的控制功能和基于該通信數(shù)據(jù)向所述電力轉(zhuǎn)換器輸出停止指令等安全功能;和僅執(zhí)行所述安全功能的第二處理器單元,所述安全控制系統(tǒng)的特征在于所述第一處理器單元包括控制指令生成模塊,其在通信數(shù)據(jù)包含非安全數(shù)據(jù)的情況下,基于該非安全數(shù)據(jù)生成控制指令,并將該控制指令向所述電力轉(zhuǎn)換器輸出;安全數(shù)據(jù)轉(zhuǎn)送模塊,其在通信數(shù)據(jù)包含安全數(shù)據(jù)的情況下,產(chǎn)生作為針對所述第二處理器單元的中斷信號的外部中斷信號和作為處理器內(nèi)部的中斷信號的內(nèi)部中斷信號,并且向所述第二處理器單元轉(zhuǎn)送安全數(shù)據(jù);安全數(shù)據(jù)執(zhí)行模塊,其根據(jù)所述內(nèi)部中斷信號,執(zhí)行基于所述安全數(shù)據(jù)的安全處理;和結(jié)合模塊,其接收由所述第二處理器單元執(zhí)行的安全處理的結(jié)果,基于該接收數(shù)據(jù)和所述安全數(shù)據(jù)執(zhí)行模塊的執(zhí)行結(jié)果,生成要向所述外部控制器發(fā)送的通信數(shù)據(jù),其中,所述第二處理器單元具備安全數(shù)據(jù)執(zhí)行模塊,該安全數(shù)據(jù)執(zhí)行模塊根據(jù)所述外部中斷信號啟動,基于從所述第一處理器單元轉(zhuǎn)送的安全數(shù)據(jù)執(zhí)行安全處理,將該安全處理的結(jié)果向所述第一處理器單元發(fā)送。
2.如權(quán)利要求1所述的安全控制系統(tǒng),其特征在于所述第一處理器單元包括以一定時間間隔產(chǎn)生內(nèi)部中斷信號的第一計時器模塊;和第一存儲器診斷模塊,其根據(jù)該內(nèi)部中斷信號執(zhí)行存儲器診斷處理,并且針對安全處理用的存儲器區(qū)域生成錯誤檢測碼,在生成了該錯誤檢測碼之后,對于所述第二處理器單元,產(chǎn)生外部中斷信號并且發(fā)送該錯誤檢測碼,所述第二處理器單元包括在經(jīng)過了設定時間后產(chǎn)生內(nèi)部中斷信號并在此后重新啟動的第二計時器模塊;第二存儲器診斷模塊,其根據(jù)該內(nèi)部中斷信號執(zhí)行存儲器診斷處理,并且針對安全處理用的存儲器區(qū)域生成錯誤檢測碼,在生成了該錯誤檢測碼之后,對于所述第一處理器單元,產(chǎn)生外部中斷信號并且發(fā)送該錯誤檢測碼;和第二安全管理模塊,其根據(jù)由所述第一處理器單元的所述第一存儲器診斷模塊產(chǎn)生的外部中斷信號啟動,基于該啟動的時刻調(diào)整所述第二計時器模塊的設定時間,并對從所述第一存儲器診斷模塊發(fā)送的錯誤檢測碼和由所述第二存儲器診斷模塊生成的錯誤檢測碼進行比較,在兩個碼不一致的情況下執(zhí)行錯誤處理,所述第一處理器單元還具有第一安全管理模塊,該第一安全管理模塊根據(jù)由所述第二處理器單元的所述第二存儲器診斷模塊產(chǎn)生的外部中斷信號啟動,對從所述第二存儲器診斷模塊發(fā)送的錯誤檢測碼和由所述第一存儲器診斷模塊生成的錯誤檢測碼進行比較,在兩個碼不一致的情況下執(zhí)行錯誤處理。
3.如權(quán)利要求1或2所述的安全控制系統(tǒng),其特征在于所述第一存儲器診斷模塊將按照發(fā)送次數(shù)遞增的發(fā)送編號與錯誤檢測碼一起發(fā)送, 所述第二存儲器診斷模塊,使從所述第一存儲器診斷模塊傳送來的最新的發(fā)送編號遞增,并將遞增后的值作為發(fā)送編號,將該發(fā)送編號與錯誤檢測碼一起發(fā)送,所述第一安全管理模塊和所述第二安全管理模塊,還分別對發(fā)送編號進行比較,在發(fā)送編號和錯誤檢測碼中的任一方不一致的情況下,執(zhí)行錯誤處理。
全文摘要
本發(fā)明提供一種安全控制系統(tǒng),其目的在于削減處理器單元數(shù)量,實現(xiàn)低成本化和省空間化,并且可靠地維持雙重化結(jié)構(gòu)的安全功能間的同步。本發(fā)明由執(zhí)行控制功能和安全功能這兩者的第一處理器單元,和僅執(zhí)行安全功能的第二處理器單元構(gòu)成,第一處理器單元具備安全數(shù)據(jù)轉(zhuǎn)送模塊,其在通信數(shù)據(jù)包括安全數(shù)據(jù)的情況下,產(chǎn)生內(nèi)部中斷信號和發(fā)往第二處理器單元的外部中斷信號,并且向第二處理器單元轉(zhuǎn)送安全數(shù)據(jù);和通過內(nèi)部中斷信號執(zhí)行安全處理的安全數(shù)據(jù)執(zhí)行模塊,第二處理器單元通過外部中斷信號啟動,基于從第一處理器單元轉(zhuǎn)送的安全數(shù)據(jù)執(zhí)行安全處理。
文檔編號G05B9/03GK102269970SQ20111016044
公開日2011年12月7日 申請日期2011年6月7日 優(yōu)先權(quán)日2010年6月7日
發(fā)明者佐藤以久也, 國分博之 申請人:富士電機株式會社
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1