亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

安全控制裝置及安全控制方法

文檔序號:6318874閱讀:635來源:國知局
專利名稱:安全控制裝置及安全控制方法
技術(shù)領(lǐng)域
本發(fā)明涉及為了確保功能安全而搭載在服務(wù)機(jī)器人和輸送設(shè)備等上的安全控制裝置,特別涉及使用了計算機(jī)系統(tǒng)的安全控制裝置。
背景技術(shù)
服務(wù)機(jī)器人需要通過外界傳感器和自診斷裝置來持續(xù)監(jiān)視安全狀態(tài),并在檢測到任何危險時通過執(zhí)行合適的安全控制邏輯來確保功能安全。作為國際標(biāo)準(zhǔn)制定了 IEC61508,該國際標(biāo)準(zhǔn)與以上述的服務(wù)機(jī)器人以及運(yùn)輸設(shè)備等按電氣原理進(jìn)行動作的系統(tǒng)為對象的功能安全相關(guān)。在IEC61508中,將為了確保功能安全而設(shè)置的系統(tǒng)稱為安全關(guān)聯(lián)系統(tǒng)。IEC61508規(guī)定了用于通過微處理器及PLC(Programmable Logic Controller,可編程邏輯控制器)等硬件和計算機(jī)程序(軟件)來構(gòu)建安全關(guān)聯(lián)系統(tǒng)的各種方法。通過使用由IEC61508規(guī)定的方法,能夠使用計算機(jī)系統(tǒng)來構(gòu)建安全關(guān)聯(lián)系統(tǒng)。另一方面,近年來微處理器等可編程電子設(shè)備的處理能力被提高了。因而,通過利用多任務(wù)0S(0perating System,操作系統(tǒng)),在一個計算機(jī)系統(tǒng)上并行執(zhí)行各種應(yīng)用程序,能夠?qū)Υ钶d在服務(wù)機(jī)器人及汽車等設(shè)備上的多用途計算機(jī)系統(tǒng)進(jìn)行整合。例如,專利文獻(xiàn)I公開了如下技術(shù)使與功能安全的確保相關(guān)的應(yīng)用程序(以下,稱為安全關(guān)聯(lián)應(yīng)用)與其他的應(yīng)用程序(以下,稱為非安全關(guān)聯(lián)應(yīng)用)一同在一個計算機(jī)系統(tǒng)上動作。當(dāng)將由IEC61508規(guī)定的方法應(yīng)用于包含安全關(guān)聯(lián)應(yīng)用及非安全關(guān)聯(lián)應(yīng)用的全體軟件時,會產(chǎn)生應(yīng)用于非安全關(guān)聯(lián)應(yīng)用的必要性。因而,存在軟件開發(fā)成本増大的問題。因此,在專利文獻(xiàn)I所公開的技術(shù)中,通過系統(tǒng)程序的時間分段,使安全關(guān)聯(lián)應(yīng)用(安全監(jiān)視程序及安全控制程序)相對于非安全關(guān)聯(lián)應(yīng)用(通??刂瞥绦?獨(dú)立。因而,能夠從安全關(guān)聯(lián)系統(tǒng)中除去通??刂瞥绦颍瑥亩軌蛴兄谑褂糜嬎銠C(jī)系統(tǒng)構(gòu)成的安全關(guān)聯(lián)系統(tǒng)的低成本化。在先專利文獻(xiàn)專利文獻(xiàn)專利文獻(xiàn)1:日本專利文獻(xiàn)特開2010-271759號公報

發(fā)明內(nèi)容
對服務(wù)機(jī)器人及輸送設(shè)備等進(jìn)行控制的執(zhí)行器包括馬達(dá)。在此,參考圖21對控制這種馬達(dá)的控制裝置的一個例子進(jìn)行說明。圖21所示的控制裝置具有主控制E⑶(EngineControl Unit,發(fā)動機(jī)控制單元)和馬達(dá)放大器(伺服包)E⑶。主控制E⑶和馬達(dá)放大器E⑶通過高速通信線或模擬傳送路徑而相互連接。主控制E⑶基于時鐘信號進(jìn)行動作。主控制E⑶向馬達(dá)放大器E⑶輸出指示馬達(dá)的控制內(nèi)容的伺服指令值。馬達(dá)放大器ECU基于從主控制ECU輸出的伺服指令值所指示的控制內(nèi)容,生成控制馬達(dá)的PWM (Pulse Width Modulation,脈寬調(diào)制)信號,并將其輸出給馬達(dá)。馬達(dá)放大器ECU在載波信號的每一個周期的定時將來自主控制ECU的指示內(nèi)容反映到PWM信號中。此外,馬達(dá)放大器E⑶通過監(jiān)視馬達(dá)來檢測異常,從而進(jìn)行用于確保功能安全的馬達(dá)控制。如此,在圖21所示的控制裝置中,進(jìn)行通??刂频闹骺刂艵CU和進(jìn)行用于確保功能安全的控制的馬達(dá)放大器E⑶是獨(dú)立的。因而,馬達(dá)放大器E⑶能夠在不受主控制ECU的異常的影響的情況下進(jìn)行用于確保功能安全的控制,從而確保了一定的安全性。但是,在上述的控制裝置中,存在以下說明的技術(shù)問題。主控制ECU以時鐘信號為基準(zhǔn)以大約I毫秒周期進(jìn)行指示馬達(dá)的控制內(nèi)容的動作。與此相對,馬達(dá)放大器E⑶以載波信號為基準(zhǔn)以大約30微秒周期進(jìn)行將來自主控制ECU的指示內(nèi)容反映到PWM信號中的動作。因而,存在主控制E⑶無法與馬達(dá)的控制周期同步地控制馬達(dá)的問題。S卩,相對于馬達(dá)的控制周期,馬達(dá)的控制內(nèi)容的指示被大幅地延遲了。本發(fā)明是基于上述認(rèn)知而作出的,其目的在于提供一種能夠維持安全性,并能夠與控制對象的控制周期同步地進(jìn)行控制的安全控制裝置及安全控制方法。本發(fā)明的第一方式涉及的安全控制裝置包括處理器,其輸出指示針對控制對象的控制內(nèi)容的指示信息;系統(tǒng)程序,其控制所述處理器的執(zhí)行時間針對安全關(guān)聯(lián)任務(wù)和通常控制任務(wù)的分配,所述安全關(guān)聯(lián)任務(wù)執(zhí)行與所述控制對象的功能安全確保相關(guān)的處理,所述通??刂迫蝿?wù)執(zhí)行與所述控制對象的控制相關(guān)的其他處理;信號生成部,其生成載波信號;控制部,其在所述信號生成部生成的載波信號的每個第一規(guī)定周期,將針對所述控制對象的控制內(nèi)容更新為從所述處理器輸出的指示信息所指示的控制內(nèi)容,并以更新后的控制內(nèi)容執(zhí)行對所述控制對象的PWM (Pulse Width Modulation,脈寬調(diào)制)控制;以及中斷信號生成部,其在所述信號生成部生成的載波信號的每個第二規(guī)定周期,生成針對所述處理器的中斷信號,將所述中斷信號輸出給所述處理器;其中,所述處理器通過執(zhí)行所述系統(tǒng)程序,來基于表示安全關(guān)聯(lián)時間段和通??刂茣r間段的調(diào)度內(nèi)容的調(diào)度信息來調(diào)度所述任務(wù),其中,所述安全關(guān)聯(lián) 時間段是所述執(zhí)行時間被分配給所述安全關(guān)聯(lián)任務(wù)的時間段,所述通??刂茣r間段是所述執(zhí)行時間被分配給所述通??刂迫蝿?wù)的時間段,所述處理器通過執(zhí)行所述系統(tǒng)程序,來響應(yīng)于來自所述中斷發(fā)生部的中斷信號的輸出而切換所述時間段,所述處理器通過執(zhí)行所述通??刂迫蝿?wù)或所述安全關(guān)聯(lián)任務(wù)來向所述控制部輸出所述指示信息。本發(fā)明第二方式涉及的安全控制方法,在載波信號的每個第一規(guī)定周期,將針對控制對象的控制內(nèi)容更新為生成的指示信息所指示的控制內(nèi)容,并以更新后的控制內(nèi)容來進(jìn)行針對所述控制對象的脈寬調(diào)制控制,所述安全控制方法包括如下步驟在所述載波信號的每個第二規(guī)定周期,產(chǎn)生針對處理器的中斷;響應(yīng)于所述中斷的產(chǎn)生,基于表示安全關(guān)聯(lián)時間段和通??刂茣r間段的調(diào)度內(nèi)容的調(diào)度信息將時間段切換為所述安全關(guān)聯(lián)時間段或所述通??刂茣r間段,其中,所述安全關(guān)聯(lián)時間段是所述處理器的執(zhí)行時間被分配給執(zhí)行與所述控制對象的功能安全確保相關(guān)的處理的安全關(guān)聯(lián)任務(wù)的時間段,所述通常控制時間段是所述執(zhí)行時間被分配給執(zhí)行與所述控制對象的控制有關(guān)的其他處理的通??刂迫蝿?wù)的時間段;基于所述調(diào)度信息來調(diào)度所述任務(wù),從而將所述執(zhí)行時間分配給所述切換后的安全關(guān)聯(lián)時間段或通??刂茣r間段中的安全關(guān)聯(lián)任務(wù)或通??刂迫蝿?wù);以及通過執(zhí)行被分配所述執(zhí)行時間的通??刂迫蝿?wù)或安全關(guān)聯(lián)任務(wù),來生成所述指示信息。
發(fā)明效果根據(jù)本發(fā)明,能夠提供一種在維持安全性的同時,執(zhí)行與控制對象的控制周期同步的控制的安全控制裝置及安全控制方法。


圖1是表示發(fā)明的實(shí)施方式I中的安全控制裝置的結(jié)構(gòu)例的框圖;圖2是用于說明發(fā)明的實(shí)施方式I中的時間分段的概念的圖;圖3是用于說明發(fā)明的實(shí)施方式I中的資源分段的概念的概念圖;圖4是表示在由圖1所示OS提供的執(zhí)行環(huán)境下啟動的、段調(diào)度器和任務(wù)之間關(guān)系的圖;圖5A是表示調(diào)度模式的具體例的圖;圖5B是表示調(diào)度模式的具體例的圖;圖6是表示段調(diào)度器的處理步驟的具體例的流程圖;圖7是表示微控制器的重置處理步驟的具體例的流程圖;圖8是表示微控制器的重置處理步驟的具體例的流程圖;圖9是表示本發(fā)明的實(shí)施方式2中的安全控制裝置2的結(jié)構(gòu)例的框圖;圖10是表示在由圖9所示OS提供的執(zhí)行環(huán)境下啟動的、段調(diào)度器和任務(wù)之間關(guān)系的圖;圖11是表示發(fā)明的實(shí)施方式2中的主控制E⑶的圖;圖12是表示發(fā)明的實(shí)施方式2中的段調(diào)度器的處理進(jìn)程的具體例的流程圖;圖13是表示發(fā)明的實(shí)施方式2中的調(diào)度模式和各TP期間中的PWM信號的圖;圖14是表示發(fā)明的實(shí)施方式2中的段調(diào)度處理步驟的具體例的流程圖;圖15是表示發(fā)明的實(shí)施方式3中的安全控制裝置的結(jié)構(gòu)例的框圖;圖16是表示發(fā)明的實(shí)施方式3中的段調(diào)度器的處理步驟的具體例的流程圖;圖17是表示發(fā)明的實(shí)施方式3中的調(diào)度模式的具體例的圖;圖18是表示發(fā)明的實(shí)施方式3中的其他調(diào)度模式的具體例的圖;圖19是表示在由發(fā)明的實(shí)施方式3中的OS提供的執(zhí)行環(huán)境下啟動的、段調(diào)度器和任務(wù)之間關(guān)系的圖;圖20是表示發(fā)明的實(shí)施方式4中的段調(diào)度處理步驟的具體例的流程圖;圖21是用于說明問題的圖。
具體實(shí)施例方式以下,參考附圖對應(yīng)用本發(fā)明的具體實(shí)施方式
進(jìn)行詳細(xì)說明。在各附圖中,對于相同的要素標(biāo)注了相同的符號,并為了使說明明確,根據(jù)需要省略了重復(fù)說明。<發(fā)明的實(shí)施方式I >本實(shí)施方式涉及的安全控制裝置I被搭載在服務(wù)機(jī)器人或運(yùn)輸設(shè)備等上,以執(zhí)行用于確保功能安全的安全控制。安全控制裝置I被構(gòu)成為通過同一個計算機(jī)系統(tǒng)來執(zhí)行安全關(guān)聯(lián)應(yīng)用和非安全關(guān)聯(lián)應(yīng)用。圖1是表示本實(shí)施方式涉及的安全控制裝置I的結(jié)構(gòu)例的框圖。
處理器10進(jìn)行程序(命令流)的獲取、命令的解碼、以及與命令的解碼結(jié)果相應(yīng)的運(yùn)算處理。另外,盡管在圖1中僅示出了一個處理器10,但安全控制裝置I也可以是具有多個處理器10的多處理器結(jié)構(gòu)。此外,處理器10也可以是多核處理器。處理器10通過執(zhí)行作為系統(tǒng)程序的操作系統(tǒng)(OS) 100來提供多道程序環(huán)境。所謂多道程序環(huán)境,是指通過定期地切換執(zhí)行多個程序或者響應(yīng)于某個事件的發(fā)生而切換要執(zhí)行的程序而使多個程序猶如并行執(zhí)行的環(huán)境。多道程序有時也被稱為多處理、多線程、多任務(wù)等。處理、線程以及任務(wù)是指在多道程序環(huán)境下被并行執(zhí)行的程序單位。本實(shí)施方式的處理器10所具備的多道程序環(huán)境可以是多處理環(huán)境,也可以是多線程環(huán)境。執(zhí)行用存儲器11是為了由處理器10執(zhí)行程序而使用的存儲器。執(zhí)行用存儲器11中存儲了從非易失性存儲器13載入的程序(0S100及應(yīng)用101 103等)、處理器10的輸入輸出數(shù)據(jù)等。另外,處理器10也可以不將程序從非易失性存儲器13載入到執(zhí)行用存儲器11中,而是直接從非易失性存儲器13執(zhí)行這些程序。具體而言,執(zhí)行用存儲器11可以是SRAM(Static Random Access Memory,靜態(tài)隨機(jī)存取存儲器)、DRAM (Dynamic Random Access Memory,動態(tài)隨機(jī)存取存儲器)等能夠隨機(jī)存取的易失性存儲器。圖1的執(zhí)行用存儲器11示出了邏輯結(jié)構(gòu)單位。即,執(zhí)行用存儲器11例如可以是多個SRAM器件的組合、多個DRAM器件的組合、或者SRAM器件與DRAM器件的組

口 oI/O端口 12在與外部設(shè)備間的數(shù)據(jù)收發(fā)中被使用。例如,當(dāng)安全控制裝置I被搭載到服務(wù)機(jī)器人上時,外部設(shè)備是能夠?qū)Ψ?wù)機(jī)器人周圍的障礙物進(jìn)行測定的視覺傳感器、使服務(wù)機(jī)器人動作的執(zhí)行器等。非易失性存儲器13是能夠在不接受電力供應(yīng)的情況下與執(zhí)行用存儲器11相比穩(wěn)定地維持存儲內(nèi)容的存儲器器件。例如,非易失性存儲器13是R0M(Read Only Memory,只讀存儲器)、閃速存儲器、硬盤驅(qū)動器或者光盤驅(qū)動器,或者是它們的組合。非易失性存儲器13保存0S100及應(yīng)用101 103。另外,非易失性存儲器13也可以被構(gòu)成為至少一部分能夠從安全控制裝置I上卸下。例如,可以使存儲了應(yīng)用101 103的存儲器能夠卸下。此夕卜,非易失性存儲器13的至少一部分也可以配置在安全控制裝置I的外部。0S100通過被處理器10執(zhí)行,而利用處理器10、執(zhí)行用存儲器11以及非易失性存儲器13等硬件資源,進(jìn)行包含任務(wù)調(diào)度的任務(wù)管理、中斷管理、時間管理、資源管理、任務(wù)間同步以及任務(wù)間通信機(jī)構(gòu)的提供等。另外,為了提高與功能安全的確保相關(guān)聯(lián)的安全監(jiān)視應(yīng)用101及安全控制應(yīng)用103相對于通常控制應(yīng)用102的獨(dú)立性,0S100具有在時間上和空間上保護(hù)硬件資源的功能。這里,硬件資源包括處理器10、執(zhí)行用存儲器11、1/0端口 12。其中,時間上的保護(hù)通過將被處理器10的執(zhí)行時間這樣的時間資源分段來進(jìn)行。具體而言,通過將處理器10的執(zhí)行時間分段并對各段(稱為時間段)分配任務(wù)(處理或線程)來進(jìn)行時間上的保護(hù)。0S100的調(diào)度功能(段調(diào)度器21)對于被分配給各時間段(以下有時簡稱為TP)的任務(wù),保證包含處理器10的執(zhí)行時間在內(nèi)的資源的利用。圖2是與時間分段相關(guān)的概念圖。在圖2的例子中,示出了將預(yù)先確定的I周期時間分為TP1、TP2及TP3這3個的例子。例如,當(dāng)將I周期時間設(shè)為100個Tick (時間單位)時,將其中前半部分的20Tick規(guī)定為TP1,中間的30Tick規(guī)定為TP2,后半部分的50Tick規(guī)定為TP3。此外,在圖2的例子中,第一應(yīng)用(APLl) 第四應(yīng)用(APL4)被分配給TPl TP3中的任一個。根據(jù)時間的經(jīng)過,0S100的調(diào)度功能(段調(diào)度器21)選擇并確定將TPl TP3中的任一個激活。然后,在處理器10中執(zhí)行被分配給激活的TP的應(yīng)用。另一方面,空間上的保護(hù)是通過將包含執(zhí)行用存儲器11和I/O端口 12的固定資源分段,并對各段(稱為資源段)分配任務(wù)來進(jìn)行的。0S100的調(diào)度功能(段調(diào)度器21)禁止任務(wù)越過預(yù)先分配的資源段(以下,有時簡稱為RP)而訪問其他資源。圖3是與資源分段相關(guān)的概念圖。在圖3的例子中示出了兩個RP (RPl和RP2)。RPl被分配了執(zhí)行用存儲器11和非易失性存儲器13的一部(A區(qū)域)、以及I/O端口 12的一部分(端口 A)。此外,RP2被分配了執(zhí)行用存儲器11和非易失性存儲器13的另一部分(B區(qū)域)、以及I/O端口 12的另一部分(端口 B)。并且,禁止從RPl訪問被分配給RP2的資源,并禁止了從RP2訪問被分配給RPl的資源。另外,無需將全部資源都排他性地分配給任一 RP。即,也可以具有由多個RP共享的資源。例如,當(dāng)進(jìn)行服務(wù)機(jī)器人的安全控制時,需要從通??刂茟?yīng)用102和安全控制應(yīng)用103都能夠訪問。由此,用于控制執(zhí)行器的I/O端口可被通??刂茟?yīng)用101所屬的RP和安全控制應(yīng)用102所屬的RP共享。返回到圖1繼續(xù)說明。應(yīng)用101 103在由0S100和處理器10提供的多道程序環(huán)境下被執(zhí)行。其中,安全監(jiān)視應(yīng)用101包含命令碼,該命令碼用于使處理器10執(zhí)行對通??刂茟?yīng)用102的執(zhí)行狀況的監(jiān)視、對安全控制應(yīng)用103的執(zhí)行狀況的監(jiān)視、以及對I/O端口 12上的輸入輸出數(shù)據(jù)的監(jiān)視。另外,安全監(jiān)視應(yīng)用101包含用于使處理器10執(zhí)行向段調(diào)度器21進(jìn)行結(jié)果通知的命令碼。即,安全監(jiān)視應(yīng)用101是安全關(guān)聯(lián)應(yīng)用。此外,通??刂茟?yīng)用102包含用于使處理器10執(zhí)行控制步驟的命令碼,所述控制步驟用于使服務(wù)機(jī)器人等控制對象執(zhí)行通常的功能和動作。另外,通??刂茟?yīng)用102包含用于使處理器10執(zhí)行對段調(diào)度器21進(jìn)行結(jié)果通知的命令碼。即,通??刂茟?yīng)用102是非安全關(guān)聯(lián)應(yīng)用。此外,安全控制應(yīng)用103包含用于使處理器10執(zhí)行控制步驟的命令碼,所述控制步驟是與檢測出某些異常的情況相對應(yīng),為確保功能安全而被確定的。另外,安全控制應(yīng)用103包含用于使處理器10執(zhí)行對段調(diào)度器21進(jìn)行結(jié)果通知的命令碼。即,安全控制應(yīng)用103是安全關(guān)聯(lián)應(yīng)用。重置電路14基于來自0S100的信號進(jìn)行微控制器15的重置。后面將針對使用了重置電路14的微控制器15的重置機(jī)構(gòu)進(jìn)行敘述。接下來,使用圖4對段調(diào)度器21和由于應(yīng)用101 103的啟動而生成的任務(wù)之間的關(guān)系進(jìn)行說明。圖4是表示在由0S100提供的多道程序環(huán)境下啟動的、段調(diào)度器21和任務(wù)24、26、28之間關(guān)系的圖。微控制器15包含處理器10、執(zhí)行用存儲器11、1/0端口 12、非易失性存儲器13等。另外,圖4中例示了在微控制器15的外部包括重置電路14的結(jié)構(gòu),但也可以是在微控制器15的內(nèi)部包含重置電路14的結(jié)構(gòu)。來自外部的時鐘源的時鐘信號被供應(yīng)到微控制器15,處理器10等以基于該時鐘信號的規(guī)定的計時器周期進(jìn)行動作。在本實(shí)施方式中,將規(guī)定的計時器周期作為ITick來進(jìn)行說明。因而,通過處理器10執(zhí)行0S100,段調(diào)度器21在每ITick內(nèi)動作,并且在各TP中,任務(wù)調(diào)度器23、25、27和任務(wù)(安全監(jiān)視任務(wù)24、通??刂迫蝿?wù)26、安全控制任務(wù)28)在每ITick內(nèi)動作。段調(diào)度器21在每ITick內(nèi)動作,進(jìn)行TP的切換(段調(diào)度)。段調(diào)度器21選擇并確定在下ITick的期間內(nèi)激活TPl TP3中的任一個。另外,段調(diào)度器21使與所選擇的TP相關(guān)的任務(wù)調(diào)度器的動作開始。如果對段調(diào)度器21的段調(diào)度進(jìn)行具體描述,則段調(diào)度器21參考調(diào)度表22,按照TP的設(shè)定已被確定的調(diào)度模式進(jìn)行段調(diào)度。調(diào)度表22保存有規(guī)定了 TP的切換順序及定時的調(diào)度模式。另外,調(diào)度表22保存有至少兩個不同的調(diào)度模式。其中一個是安全監(jiān)視任務(wù)24沒有進(jìn)行異常檢測時(即通常時)所應(yīng)用的調(diào)度模式。另一個是通過安全監(jiān)視任務(wù)24檢測到異常時應(yīng)用的調(diào)度模式。以下,將通常時所應(yīng)用的調(diào)度模式稱為“通??刂普{(diào)度模式”。并且,將檢測到異常時應(yīng)用的調(diào)度模式稱為“安全控制調(diào)度模式”。圖5A示出了通??刂普{(diào)度模式的具體例。在圖5A中,通??刂迫蝿?wù)26所屬的TP2被分配了 I周期時間的前半部分(Tl)。此外,安全監(jiān)視任務(wù)24所屬的TPl被分配在I周期時間的后半部分(T2)。根據(jù)圖5A的調(diào)度模式,通??刂迫蝿?wù)26和安全監(jiān)視任務(wù)24被
反復(fù)調(diào)度。圖5B示出了安全控制調(diào)度模式的具體例。在圖5B中,安全控制任務(wù)28所屬的TP3被分配I周期時間的前半部分(T3)。此外,安全監(jiān)視任務(wù)24所屬的TPl被分配在I周期時間的后半部分(T4)。根據(jù)圖5B的調(diào)度模式,安全控制任務(wù)28和安全監(jiān)視任務(wù)24被反
復(fù)調(diào)度。返回到圖4繼續(xù)進(jìn)行說明。任務(wù)調(diào)度器23、25、27進(jìn)行各自所屬的TP內(nèi)的任務(wù)調(diào)度。對于各TP內(nèi)的任務(wù)調(diào)度,可應(yīng)用通常優(yōu)先級基礎(chǔ)的調(diào)度。在圖4中示出的是各TP分別僅包含一個任務(wù),但實(shí)際上包含I個以上的任務(wù)。例如,在通??刂朴玫腡P2內(nèi),也可以包含通??刂迫蝿?wù)A和通??刂迫蝿?wù)B這兩個任務(wù)。安全監(jiān)視任務(wù)24是通過安全監(jiān)視應(yīng)用101的啟動而生成的任務(wù)。在圖4的例子中,安全監(jiān)視任務(wù)24被分配給TPl和RPl。安全監(jiān)視任務(wù)24監(jiān)視作為非安全關(guān)聯(lián)應(yīng)用的通常控制任務(wù)26的執(zhí)行狀況,監(jiān)視作為安全關(guān)聯(lián)應(yīng)用的安全控制任務(wù)28,并監(jiān)視I/O端口 12的輸入輸出數(shù)據(jù)。另外,安全監(jiān)視任務(wù)24將任務(wù)的執(zhí)行狀況通知給段調(diào)度器21。通??刂迫蝿?wù)26是通過通常控制應(yīng)用102的啟動而生成的任務(wù)。在圖4的例子中,通??刂迫蝿?wù)26被分配給TP2和RP2。通??刂迫蝿?wù)26進(jìn)行用于使服務(wù)機(jī)器人等控制對象執(zhí)行通常的功能和動作的控制。另外,通??刂迫蝿?wù)26將任務(wù)的執(zhí)行狀況通知給段調(diào)度器21。安全控制任務(wù)28是通過安全控制應(yīng)用103的啟動而生成的任務(wù)。在圖4的例子中,安全控制任務(wù)28被分配給TP3和RP3。安全控制任務(wù)28與任何異常被檢測到的情況相對應(yīng)地,進(jìn)行為確保功能安全而確定的控制。另外,安全控制任務(wù)28將任務(wù)的執(zhí)行狀況通知給段調(diào)度器21。另外,作為從各任務(wù)向段21通知結(jié)果的具體結(jié)構(gòu),能夠采用各種各樣的方法。例如,任務(wù)能夠調(diào)出0S100的系統(tǒng)核(服務(wù)核),并經(jīng)由0S100將結(jié)果通知給段調(diào)度器21。此外,例如假設(shè)將與任務(wù)的執(zhí)行狀況相關(guān)的標(biāo)志保存在到執(zhí)行用存儲器11中,任務(wù)能夠根據(jù)其執(zhí)行狀況來設(shè)定標(biāo)志的值,并且段調(diào)度器21根據(jù)標(biāo)志的設(shè)定值來判斷任務(wù)的執(zhí)行狀況。如上所述,段調(diào)度器21在每ITick內(nèi)進(jìn)行動作,選擇并確定激活TPl TP3中的任一個。另外,段調(diào)度器21使與所選的TP相關(guān)的任務(wù)調(diào)度器開始動作。然后,通過任務(wù)調(diào)度器23、25、27開始動作而進(jìn)行任務(wù)的調(diào)度,處理器10按照由任務(wù)調(diào)度器23、25、27進(jìn)行調(diào)度的順序,執(zhí)行TP內(nèi)的任務(wù)。由此,被分配給激活的TP的應(yīng)用在處理器10中被執(zhí)行。接著,下面使用圖6對段調(diào)度器21的段調(diào)度進(jìn)行說明。圖6是表示段調(diào)度器21的處理步驟的具體例的流程圖。首先,在每ITick內(nèi)進(jìn)行動作的段調(diào)度器21使TPX的任務(wù)調(diào)度器動作(S11)。這里,變量X表示TP的編號,X是I以外的值。S卩,在Sll中,使除安全監(jiān)視用的TPl之外的、TP2或TP3中的任一個動作。另外,在圖6中,基于通??刂普{(diào)度模式(例如圖5A)或安全控制調(diào)度模式(例如圖5B),以執(zhí)行調(diào)度的情況為例進(jìn)行說明。即,以如下情況為例進(jìn)行說明當(dāng)接在TP2或者TP3之后的下一個TP是TP1、并且在TPl檢測到TP2中的異常時,接受來自TPl的結(jié)果,使接下來選擇并確定的TP為TP3。在Sll開始動作的TPX的任務(wù)調(diào)度器按照優(yōu)先級執(zhí)行TPX內(nèi)的任務(wù)(S12)。當(dāng)經(jīng)過了 ITick時,段調(diào)度器21開始TP的調(diào)度(S13)。即,段調(diào)度器21基于調(diào)度模式來選擇并確定在下ITick的期間內(nèi)激活任一個TP。當(dāng)不改變下一個要激活的TP時(S14中為“否”),段調(diào)度器21返回S11,使關(guān)于同一個TPX的動作繼續(xù)進(jìn)行。因而,在到達(dá)TPX的切換定時之前的期間內(nèi),重復(fù)Sll S14的
處理。 當(dāng)改變下一個要激活的TP時(S14中為“是”),段調(diào)度器21使所述要改變的時間段的任務(wù)調(diào)度器動作(S15)。這里,使TPl的任務(wù)調(diào)度器動作。然后,TPl的任務(wù)調(diào)度器23根據(jù)優(yōu)先級執(zhí)行TPl內(nèi)的任務(wù)(S16)。在TPl中執(zhí)行的安全監(jiān)視任務(wù)24監(jiān)視通常控制任務(wù)26的執(zhí)行狀況,監(jiān)視I/O端口 12的輸入輸出數(shù)據(jù),判斷它們是否正常(S17)。進(jìn)行判斷的結(jié)果,當(dāng)判斷為異常時(S18中為“否”),安全監(jiān)視任務(wù)24將該結(jié)果通知給段調(diào)度器21 (SlQ)0當(dāng)經(jīng)過了 ITick時,段調(diào)度器21再次開始調(diào)度(S20)。段調(diào)度器21基于調(diào)度模式來選擇并確定在下ITick期間內(nèi)激活哪一個TP,當(dāng)不改變下一個要激活的TP時(S21中為“否”),返回到S15,使關(guān)于TPl的動作繼續(xù)進(jìn)行。當(dāng)改變下一個要激活的TP時(在S21中為“是”),段調(diào)度器21進(jìn)而根據(jù)S19中的來自TPl的通知結(jié)果判斷TPX是否正常(S22)。當(dāng)判斷結(jié)果為異常時(S22中為“否”),段調(diào)度器21將TP3選擇并確定為接下來的ITick期間內(nèi)要激活的TP (S23)。當(dāng)判斷結(jié)果為正常時(S22中為“是”),段調(diào)度器21將TPl和TP3之外的TPX選擇并確定為在接下來的ITick期間內(nèi)要激活的TP (S24)。關(guān)于圖6所示的處理,對段調(diào)度的具體例進(jìn)行說明。首先,對基于圖5A例示的通常控制調(diào)度模式在Sll中開始了調(diào)度的情況進(jìn)行說明。此時,在Sll中開始使TPX = TP2,直到S12 S14仍然保持TPX = TP2。然后,在S15中從TP2變?yōu)門Pl,直到S15 S21仍然為TPl。當(dāng)S18中與TP2相關(guān)的執(zhí)行狀況(數(shù)據(jù)輸入輸出)被判定為正常時,在S24中,TPX = TP2 (S卩,從TP2開始的通常控制調(diào)度模式得以繼續(xù))。另一方面,當(dāng)S18中與TP2相關(guān)的執(zhí)行狀況(數(shù)據(jù)輸入輸出)被判定為異常時,在S23中,TPX = TP3 (S卩,切換到從TP3開始的安全控制調(diào)度模式)。此外,對基于圖5B例示的安全控制調(diào)度模式在Sll中開始了調(diào)度的情況進(jìn)行說明。此時,在Sll中以TPX = TP3開始,直到S12 S14仍然保持TPX = TP3。然后,在S15中從TP3變?yōu)門P1,并S15 S21仍然為TPl。當(dāng)S18中與TP3相關(guān)的執(zhí)行狀況(數(shù)據(jù)輸入輸出)被判定為正常時,在S24中,TPX = TP2 (即,切換為從TP2開始的通??刂普{(diào)度模式)。另一方面,當(dāng)S18中與TP3相關(guān)的執(zhí)行狀況(數(shù)據(jù)輸入輸出)被判定為異常時,在S23中,TPX=TP3 (S卩,從TP3開始的安全控制調(diào)度模式得以繼續(xù))。另外,在上述的例子中,作為調(diào)度模式例示了僅將三個TP(安全監(jiān)視用的TP1、通常控制用的TP2、安全控制用的TP3)組合起來的情況,但對于TP2那樣的通??刂朴枚?、或TP3那樣的安全控制用段來說,也可以分別存在多個。例如,也可以是存在兩個通??刂朴玫腡P2及TP4、安全監(jiān)視用的TPl、兩個安全控制用的TP3及TP5,將這五個TP (TPl TP5)組合起來構(gòu)成調(diào)度模式。此時,在S23中,段調(diào)度器21可以對與TPX相關(guān)的執(zhí)行狀況(數(shù)據(jù)輸入輸出)的異常狀態(tài)的種類進(jìn)行判定,并根據(jù)該異常種類來選擇安全控制用的TP3或TP5中的某個。此外,在S24中,可以選擇通??刂朴玫腡P2或TP4中的某個。

如上所述,在本實(shí)施方式中,0S100具有段調(diào)度器21,該段調(diào)度器21根據(jù)來自安全監(jiān)視用的TPl的通知、或來自各TP的通知,選擇并確定下一個要激活的段。段調(diào)度器21與各TP中執(zhí)行的任務(wù)相獨(dú)立,以規(guī)定的計時器周期進(jìn)行動作。由于以規(guī)定的計時器周期獨(dú)立地動作的段調(diào)度器21具有段調(diào)度功能,因而能夠?qū)崿F(xiàn)以下效果。首先,一般來說,為了充分確保通??刂迫蝿?wù)26的執(zhí)行時間,存在盡可能地縮短安全監(jiān)視任務(wù)24的執(zhí)行時間的要求。在現(xiàn)有技術(shù)(例如專利文獻(xiàn)I)中,安全監(jiān)視任務(wù)24除了監(jiān)視通??刂迫蝿?wù)26的執(zhí)行狀況和監(jiān)視I/O端口 12的輸入輸出數(shù)據(jù)之外,還對調(diào)度模式進(jìn)行選擇和確定,因而還需要給安全監(jiān)視任務(wù)24所屬的TP2分配該選擇和確定所需的執(zhí)行時間。此外,為了保證確保功能安全,基本上需要安全監(jiān)視任務(wù)24和通??刂迫蝿?wù)26被交替地執(zhí)行。因而,在現(xiàn)有技術(shù)中,隨著通??刂迫蝿?wù)26的執(zhí)行,每次都由安全監(jiān)視任務(wù)24執(zhí)行調(diào)度模式的選擇和確定,如果對多個周期進(jìn)行合計,則安全監(jiān)視任務(wù)24對調(diào)度模式的選擇和確定會需要很多的執(zhí)行時間。與此相對,根據(jù)本實(shí)施方式,安全監(jiān)視任務(wù)24自身不必執(zhí)行調(diào)度模式的選擇和確定。此外,段調(diào)度器21對調(diào)度模式的選擇和確定所需的執(zhí)行時間可以是很短的時間。因而,與現(xiàn)有技術(shù)相比,能夠獲得可以給安全監(jiān)視用的TPl分配更短的時間、并且能夠給通常控制用的TP2分配更長的時間的效果。另外,在圖6例示的處理中,對段調(diào)度器21根據(jù)來自TPl的結(jié)果通知來選擇并確定安全控制用的TP3 (S23)、或者選擇并確定通??刂朴玫腡P2 (S24)的情況進(jìn)行了說明,但本發(fā)明并不限于此。例如,也可以代替僅從安全監(jiān)視用的TPl向段調(diào)度器21通知結(jié)果的結(jié)構(gòu),而采用從TPl TP3的每一個向段調(diào)度器21通知執(zhí)行狀況的結(jié)構(gòu),段調(diào)度器21可根據(jù)來自各TP的結(jié)果通知來選擇并確定安全控制用的TP3。
通過采用由獨(dú)立動作的段調(diào)度器21從全部TP接受結(jié)果通知的結(jié)構(gòu),段調(diào)度器21能夠統(tǒng)一把握與全部TP相關(guān)的狀況。因而,例如當(dāng)段調(diào)度器21根據(jù)來自安全監(jiān)視用的TPl的結(jié)果通知而要選擇并確定下一個段時,段調(diào)度器21能夠在考慮了各TP的狀況后,僅從處于正常狀態(tài)的TP確定并選擇下一個段。因此,與現(xiàn)有技術(shù)相比,能夠?qū)崿F(xiàn)更準(zhǔn)確的段調(diào)度。接著,下面使用圖7和圖8對使用了重置電路14的微控制器15的重置機(jī)構(gòu)進(jìn)行說明。圖7和圖8是表示使用了重置電路14的微控制器15的重置處理步驟的具體例的流程圖。在本實(shí)施方式中,在每ITick內(nèi)動作的段調(diào)度器21具有微控制器15的重置功能。當(dāng)檢測出0S100中的異常時,段調(diào)度器21與重置電路14連動而執(zhí)行異常處置。重置電路14根據(jù)來自段調(diào)度器21的信號來進(jìn)行微控制器15的重置。首先,使用圖7對利用了重置電路14的微控制器15的重置處理步驟的具體例進(jìn)行說明。在圖7所示的處理中,當(dāng)從段調(diào)度器21接收到重置指示信號時,重置電路14對微控制器15進(jìn)行重置。另外,在圖7中,TPX是TPl和TP3以外的TP。首先,在S31 S33中,通過段調(diào)度器21使TPX開始動作,而在下一個要激活的TP被改變之前的期間,與TPX相關(guān)的處理被執(zhí)行。然后,在段調(diào)度器21使TPl的任務(wù)調(diào)度器23開始動作(S34)后,屬于TPl的安全監(jiān)視任務(wù)24判斷與TPX相關(guān)的處理(輸入輸出)是否正常(S35)。當(dāng)判斷結(jié)果為正常時(S35中為“是”),返回到S31,有關(guān)同一個TPX的動作繼續(xù)。當(dāng)判斷結(jié)果為異常時(S35中為“否”),屬于TPl的安全監(jiān)視任務(wù)24判斷TPX中的異常是否是屬于TP3的安全控制任務(wù)28能夠應(yīng)付的異常(S36)。當(dāng)不是TP3能夠應(yīng)付的異常時(S36中為“否”),屬于TPl的安全監(jiān)視任務(wù)24通知段調(diào)度器21是具有緊急停止的異常(S37)。從屬于TPl的安全監(jiān)視任務(wù)24接收到通知的段調(diào)度器21向重置電路14輸出重置指示信號,并且接受了重置指示信號的重置電路14進(jìn)行微控制器15的重置(S38)。當(dāng)是TP3能夠應(yīng)付的異常時(S36中為“是”),屬于TPl的安全監(jiān)視任務(wù)24向段調(diào)度器21通知TPX為異常(S39)。接收到來自TPl的通知的段調(diào)度器21從TPX切換到TP3(S40)。接著,使用圖8對使用了重置電路14的微控制器15的重置處理步驟的另一具體例進(jìn)行說明。在圖8所示的處理中,從段調(diào)度器21定期地向重置電路14發(fā)送信號,當(dāng)來自段調(diào)度器21的發(fā)送信號被切斷時,重置電路14對微控制器15進(jìn)行重置。另外,在圖8中,TPX是TPl和TP3以外的TP0與圖7的S31 S35的處理相比,在圖8的S53中,明確了段調(diào)度器21在每ITick動作的這一點(diǎn),此外,不同點(diǎn)在于在S54和S55中段調(diào)度器21定期地向重置電路14發(fā)送信號。圖8所示的S51 S57中的其他處理與圖7所示的S31 S35中的處理基本上相同。此外,與圖7的S36 S40中的處理相比,不同點(diǎn)在于,在圖8的S60中段調(diào)度器21停止向重置電路14發(fā)送信號,在S63中段調(diào)度器21向重置電路14發(fā)送信號。并且不同點(diǎn)在于,在圖8的S61中響應(yīng)于來自段調(diào)度器21的發(fā)送信號中斷,重置電路14進(jìn)行微控制器15的重置。其他的圖8所示的S58 S64中的處理與圖7所示的S36 S40中的處理基本相同。另外,如圖8的S71和S72所示,當(dāng)與S51 S64中的處理并行,在段調(diào)度器21中產(chǎn)生了故障時,或者當(dāng)從段調(diào)度器21到重置電路14的信號線中產(chǎn)生了故障時,不從段調(diào)度器21向重置電路14傳遞發(fā)送信號。此時,與來自段調(diào)度器21的發(fā)送信號被切斷相應(yīng)地,重置電路14也進(jìn)行微控制器15的重置(S61)。根據(jù)圖8所示的處理,除了從段調(diào)度器21有意地對重置電路14進(jìn)行重置指示的情況之外,當(dāng)段調(diào)度器21自身由于某種原因而不正常動作時,或者當(dāng)從段調(diào)度器21向重置電路14傳遞發(fā)送信號的信號線上發(fā)生了故障時,也能夠可靠地進(jìn)行微控制器15的重置。并且同時,還能夠保證TP的切換在每ITick內(nèi)被正常地執(zhí)行。另外,在圖7和圖8中,對段調(diào)度器21根據(jù)來自TPl的結(jié)果通知而向重置電路14輸出重置指示信號、或者停止向重置電路14發(fā)送信號的情況進(jìn)行了說明,但也可以根據(jù)來自TPl TP3中任一個的結(jié)果通知而向重置電路14輸出重置指示信號,或者停止向重置電路14發(fā)送信號。<發(fā)明的實(shí)施方式2 >接著,參考圖9對本實(shí)施方式2涉及的安全控制裝置2的結(jié)構(gòu)進(jìn)行說明。圖9是表示本實(shí)施方式2涉及的安全控制裝置2的結(jié)構(gòu)例的框圖。以下,對于與實(shí)施方式I涉及的安全控制裝置I同樣的內(nèi)容,省略說明。發(fā)射器16生成載波信號。發(fā)射器16將所生成的載波信號輸出給I/O端口 12和中斷信號生成電路17。中斷信號生成電路17基于從發(fā)射器16輸出的載波信號的周期,生成中斷信號并將其輸出給處理器10。中斷信號生成電路17在檢測到載波信號的波谷部分或波峰部分時,生成中斷信號并將其輸出給處理器10。即,當(dāng)檢測到載波信號的三角波的頂點(diǎn)時,生成中斷信號并將其輸出給處理器10。由此,在載波信號的每一周期,對處理器10產(chǎn)生載波中斷。當(dāng)從中斷信號生成電路17輸出了中斷信號時,處理器10使段調(diào)度器21動作。處理器10將指示針對控制對象的控制內(nèi)容的指令值輸出給I/O端口 12。I/O端口 12生成PWM信號并將其輸出給執(zhí)行器。由此,具有外部設(shè)備的控制對象被控制。在本實(shí)施方式2中,對執(zhí)行器是受PWM信號控制的電機(jī)的情況進(jìn)行說明。在從發(fā)射器20輸出的載波信號的每一周期,I/O端口 12更新要輸出給外部設(shè)備的PWM信號值,以使其變?yōu)閺奶幚砥?0輸出的指令值所表示的控制內(nèi)容。由此,I/O端口 12包括基于指令值生成PWM信號的PWM電路(圖中未示出)。接著,參考圖10對段調(diào)度器21與由于應(yīng)用101 103的啟動而生成的任務(wù)之間的關(guān)系進(jìn)行說明。圖10是表示在由0S100提供的多道程序環(huán)境下啟動的、段調(diào)度器21與任務(wù)24、26、28之間的關(guān)系的圖。以下,對于與本發(fā)明的實(shí)施方式2同樣的內(nèi)容,省略說明。另外,在圖10中,省略了圖4所示的表示來自安全監(jiān)視任務(wù)24的監(jiān)視對象的任務(wù)的箭頭。在本實(shí)施方式2中,如圖10所示,只有屬于TPl的安全監(jiān)視任務(wù)24被構(gòu)成為能夠訪問傳感器或電機(jī)等外部設(shè)備。安全監(jiān)視任務(wù)24通過將指令值輸出給I/O端口 12來控制電機(jī)。安全監(jiān)視任務(wù)24經(jīng)由I/O端口 12從傳感器獲取傳感器測得的數(shù)據(jù)(以下,也稱為傳感器值)。安全監(jiān)視任務(wù)24將所獲取的傳感器值提供給通常控制任務(wù)26和安全控制任務(wù)28。例如,安全監(jiān)視任務(wù)24通過任務(wù)間通信,將所獲取的傳感器值傳輸給通常控制任務(wù)26和安全控制任務(wù)28。此時,傳感器值也可以經(jīng)由執(zhí)行用存儲器11被傳輸。
通常控制任務(wù)26和安全控制任務(wù)28分別基于從安全監(jiān)視任務(wù)24傳輸過來的傳感器值,進(jìn)行電機(jī)的控制計算。通??刂迫蝿?wù)26和安全控制任務(wù)28分別指示安全監(jiān)視任務(wù)24輸出通過控制計算生成的指令值。例如,通??刂迫蝿?wù)26和安全控制任務(wù)28分別通過任務(wù)間通信,將指令值傳輸給安全監(jiān)視任務(wù)24。另外,此時也可以經(jīng)由執(zhí)行用存儲器11來傳輸指令值。安全監(jiān)視任務(wù)24在從通??刂迫蝿?wù)26或安全控制任務(wù)28傳來指令值時,將該指令值輸出給I/O端口 12。在本實(shí)施方式2中,如圖11所示,對將微控制器15應(yīng)用于主控制ECU的情況進(jìn)行說明。通??刂迫蝿?wù)26進(jìn)行圖11中的主控制,安全監(jiān)視任務(wù)24進(jìn)行電機(jī)放大器控制。接著,參考圖12 圖13對·本實(shí)施方式2涉及的安全控制裝置2的動作進(jìn)行說明。圖12是表示本實(shí)施方式2涉及的段調(diào)度器21的處理步驟的具體例的流程圖。圖13是表示本實(shí)施方式2涉及的調(diào)度模式和各TP的期間內(nèi)的PWM信號的圖。即,在本實(shí)施方式2中,調(diào)度表22保存圖13例示的調(diào)度模式。每當(dāng)對處理器10發(fā)生周期性的載波中斷(S81)時,處理器10執(zhí)行段調(diào)度器21(S82)。由此,每當(dāng)發(fā)生載波中斷,如圖13所例示的那樣,TP被切換。屬于TP2的通??刂迫蝿?wù)26生成指令值,并進(jìn)行指示安全監(jiān)視任務(wù)24輸出所生成的指令值的主控制。此外,屬于TPl的安全監(jiān)視任務(wù)24進(jìn)行將從通??刂迫蝿?wù)26傳輸過來的指令值輸出給I/O端口12的電機(jī)放大器控制。由此,如圖13所示,在進(jìn)行了電機(jī)放大器控制的下一個載波信號的周期中,由指令值所指示的控制內(nèi)容被反映到PWM信號中。即,能夠控制與載波信號同步的控制對象。接著,參考圖14對本實(shí)施方式2涉及的段調(diào)度處理進(jìn)行說明。圖14是表示本實(shí)施方式2涉及的段調(diào)度處理步驟的具體例的流程圖。這里,在圖13例示的動作中,從TP2被激活時開始進(jìn)行說明。段調(diào)度器21將TP2激活,并使任務(wù)調(diào)度器25動作(S91)。任務(wù)調(diào)度器25執(zhí)行通??刂迫蝿?wù)26。通常控制任務(wù)26從屬于TPl的安全監(jiān)視任務(wù)24獲取傳感器值來進(jìn)行控制處理(S92)。S卩,通??刂迫蝿?wù)26進(jìn)行控制計算并將生成的指令值傳輸給安全監(jiān)視任務(wù)24。直到TP2的時間資源耗盡之前,通??刂迫蝿?wù)26的執(zhí)行繼續(xù)(在S93中為“否”,S91、S92)。當(dāng)TP2的時間資源耗盡時(S93中為“是”),段調(diào)度器21激活TP1,使任務(wù)調(diào)度器23動作(S94)。任務(wù)調(diào)度器23執(zhí)行安全監(jiān)視任務(wù)24。安全監(jiān)視任務(wù)24判定從通??刂迫蝿?wù)26傳輸過來的指令值是否正常(S95)。當(dāng)指令值正常時(S95中為“是”),安全監(jiān)視任務(wù)24將指令值輸出給I/O端口 12(S96)。此外,安全監(jiān)視任務(wù)24從傳感器獲取傳感器值(S97)。這里,獲取的傳感器值被傳輸給通??刂迫蝿?wù)26。然后,再次執(zhí)行從步驟S91開始的處理。當(dāng)指令值不正常時(S95中為“否”),安全監(jiān)視任務(wù)24向段調(diào)度器21通知屬于TP2的通??刂迫蝿?wù)26異常(S98)。此處的通知例如通過任務(wù)間通信來進(jìn)行。然后,安全監(jiān)視任務(wù)24抑制指令值向I/O端口 12的輸出(S99)。段調(diào)度器21根據(jù)來自安全監(jiān)視任務(wù)24的異常通知,從TP2切換到TP3 (S100)。由此,通過安全控制任務(wù)28,執(zhí)行用于確保功能安全的控制。如上所述,在本實(shí)施方式2中,中斷信號生成部17在載波信號的每一周期,生成針對處理器10的中斷信號,并將其輸出給處理器10。處理器10響應(yīng)于來自中斷信號生成部17的中斷信號的輸出,切換時間段。然后,當(dāng)切換到TPl時,安全監(jiān)視任務(wù)24將指令值輸出給 I/O 端口 12?;诖耍词笽/O端口 12在載波信號的每一周期中將針對控制對象的控制內(nèi)容更新為指令值所指示的控制內(nèi)容,也能夠減小針對該控制周期的控制內(nèi)容的指示延遲。即,能夠進(jìn)行與控制對象的控制周期同步的控制。此外,通過時間分段,使執(zhí)行與確??刂茖ο蟮墓δ馨踩嘘P(guān)的處理的安全監(jiān)視任務(wù)24和執(zhí)行與所述控制對象的控制有關(guān)的其他處理的通常控制任務(wù)26相獨(dú)立。因而,如本實(shí)施方式2那樣,即使在同一個ECU中安裝主控制和伺服放大器控制,也能夠維持安全性。此外,如圖21所示,由于能夠在同一個ECU中安裝,因而不必將主控制ECU和電機(jī)放大器ECU分離,因而能夠?qū)崿F(xiàn)小型化和低成本化。此外,在本實(shí)施方式2中,安全監(jiān)視任務(wù)24輸出通常控制任務(wù)26所生成的指令值。因而,在安全監(jiān)視任務(wù)24中,當(dāng)指令值異常時,能夠抑制該輸出,并能夠防止控制對象的誤動作。<發(fā)明的實(shí)施方式3 >接著,參考圖15對本實(shí)施方式3涉及的安全控制裝置2的結(jié)構(gòu)進(jìn)行說明。圖15是表示本實(shí)施方式3涉及的安全控制裝置2的結(jié)構(gòu)例的框圖。以下,對于實(shí)施方式3中的與安全控制裝置2同樣的內(nèi)容,省略說明。本實(shí)施方式3涉及的安全控制裝置2分別具有多個發(fā)射器16、18以及中斷信號生成電路17、19。發(fā)射器16和發(fā)射器18分別生成相位不同的載波信號。發(fā)射器18生成載波信號,將所生成的載波信號輸出給I/O端口 12和中斷信號生成電路19。中斷信號生成電路19與中斷信號生成電路17同樣地,基于從發(fā)射器16輸出的載波信號,生成中斷信號并將其輸出給處理器10。由此,I/O端口 12基于兩個載波信號來控制電機(jī)。在本實(shí)施方式3中,I/O端口12通過兩個載波信號的每一個來控制每個雙軸電機(jī)。即,I/O端口 12生成兩個PWM信號并將其輸出給各軸的每一個。由此,在本實(shí)施方式3中,從處理器10向I/O端口 12輸出各軸的指令值。當(dāng)從中斷信號生成電路17和中斷信號生成電路19的每一個輸出了中斷信號時,處理器10使段調(diào)度器21動作。對于段調(diào)度器21和由于應(yīng)用101 103的啟動而生成的任務(wù)之間的關(guān)系,由于與實(shí)施方式2 —樣,因而省略說明。接著,參考圖16 圖17對本實(shí)施方式3涉及的安全控制裝置3的動作進(jìn)行說明。圖16是表示本實(shí)施方式3涉及的段調(diào)度器21的處理步驟的具體例的流程圖。圖17是表示本實(shí)施方式3涉及的調(diào)度模式的圖。即,在本實(shí)施方式3中,調(diào)度表22保持圖17例示的調(diào)度模式。每當(dāng)從中斷信號生成電路17和中斷信號生成電路19的每一個對處理器10產(chǎn)生周期性的載波中斷時(S101、S102),處理器10執(zhí)行段調(diào)度器21 (S103)。由此,每當(dāng)產(chǎn)生載波中斷時,如圖17所例示的那樣,TP被切換。如此,通過基于各自相位發(fā)生了偏移的多個載波信號來產(chǎn)生中斷,能夠以更快的周期進(jìn)行TP的切換。此外,通過對發(fā)射器16和發(fā)射器18的每一個中生成的載波信號的相位差進(jìn)行調(diào)整,如圖18所例示的那樣,能夠使TP的期間長度不固定。另外,圖17和圖18中的“用戶程序”和“用戶”表示安全控制裝置3的用戶安裝的任意處理。如上所述,根據(jù)本實(shí)施方式3,基于各自相位發(fā)生了偏移的多個載波信號,而產(chǎn)生了成為段調(diào)度定時的中斷。由此,與實(shí)施方式2相比,還能夠細(xì)化TP的分辨率。因而,能夠進(jìn)一步減小針對控制周期的控制內(nèi)容的指示的延遲。此外,根據(jù)本實(shí)施方式3,通過調(diào)整載波信號的相位差,能夠生產(chǎn)多個中斷信號,使得從第一中斷信號的輸出起至第一中斷信號之后的第二中斷信號的輸出為止的期間,不同于從第二中斷信號的輸出起至第二中斷信號之后的第三中斷信號的輸出為止的期間。由此,如圖18所例示的那樣,能夠更細(xì)地設(shè)定TP的權(quán)重。<發(fā)明的實(shí)施方式4>接著,對本實(shí)施方式4涉及的安全控制裝置I進(jìn)行說明。另外,由于本實(shí)施方式4涉及的安全控制裝置I的結(jié)構(gòu)與本實(shí)施方式I涉及的安全控制裝置I的結(jié)構(gòu)相同,因而省略說明。接著,參考圖19對段調(diào)度器21和由于應(yīng)用101 103的啟動而生成的任務(wù)之間的關(guān)系進(jìn)行說明。圖19是表示在由0S100提供的多道程序環(huán)境下啟動的、段調(diào)度器21與任務(wù)24、26、28之間關(guān)系的圖。以下,針對與本發(fā)明的實(shí)施方式I同樣的內(nèi)容,省略說明。另夕卜,在圖19中,省略了圖4所示的表示來自安全監(jiān)視任務(wù)24的監(jiān)視對象的任務(wù)的箭頭。在本實(shí)施方式4中,如圖19所示,只有屬于TP2的通常控制任務(wù)26能夠訪問傳感器或電機(jī)等外部設(shè)備。通??刂迫蝿?wù)26經(jīng)由I/O端口 12從傳感器獲取傳感器值。通??刂迫蝿?wù)26基于所獲取的傳感器值,進(jìn)行電機(jī)的控制計算。通??刂迫蝿?wù)26通過將由控制計算生成的指令值輸出到I/O端口 12來控制電機(jī)。通??刂迫蝿?wù)26將所獲取的傳感器值提供給安全監(jiān)視任務(wù)24和安全控制任務(wù)28。例如,通常控制任務(wù)26通過任務(wù)間通信,將所獲取的傳感器值傳輸給安全監(jiān)視任務(wù)24和安全控制任務(wù)28。另外,此時傳感器值也可以經(jīng)由執(zhí)行用存儲器11被傳輸。安全監(jiān)視任務(wù)24基于從通??刂迫蝿?wù)26傳輸來的傳感器值,對控制對象的異常進(jìn)行監(jiān)視。安全監(jiān)視任務(wù)24也可以指示通??刂迫蝿?wù)26獲取傳感器值。例如,安全監(jiān)視任務(wù)24通過任務(wù)間通信,指示通常控制任務(wù)26獲取傳感器值。安全控制任務(wù)28分別基于從通??刂迫蝿?wù)26傳輸來的傳感器值進(jìn)行電機(jī)的控制計算。安全控制任務(wù)28指示通常控制任務(wù)26輸出由控制計算生成的指令值。例如,安全控制任務(wù)28通過任務(wù)間通信,將指令值傳輸給通常控制任務(wù)26。另外,此時,指令值也可以經(jīng)由執(zhí)行用存儲器11被傳輸。當(dāng)從安全控制任務(wù)28傳輸了指令值時,通??刂迫蝿?wù)26將該指令值輸出給I/O端口 12。接著,參考圖20對本實(shí)施方式4涉及的段調(diào)度處理進(jìn)行說明。圖20是表示本實(shí)施方式4涉及的段調(diào)度處理步驟的具體例的流程圖。這里,本實(shí)施方式4涉及的調(diào)度模式被規(guī)定為使TP3、TP2重復(fù)。這里,從TP3被激活時開始說明。段調(diào)度器21將TP3激活,并使任務(wù)調(diào)度器27動作(SI 11)。任務(wù)調(diào)度器27執(zhí)行安全控制任務(wù)28。安全控制任務(wù)28從屬于TP2的通??刂迫蝿?wù)26獲取傳感器值并進(jìn)行控制處理(S112)。S卩,安全控制任務(wù)28進(jìn)行控制計算并將生成的指令值傳輸給通??刂迫蝿?wù)26。直至TP3的時間資源耗盡之前,安全控制任務(wù)28的執(zhí)行繼續(xù)(SI 13中為“否”,S111、S112)。當(dāng)TP3的時間資源耗盡時(S113中為“是”),段調(diào)度器21激活TP2,并使任務(wù)調(diào)度器25動作(S114)。任務(wù)調(diào)度器25執(zhí)行通??刂迫蝿?wù)26。通??刂迫蝿?wù)26將從安全控制任務(wù)28傳輸來的指令值輸出到I/O端口 12(S115)。此外,通常控制任務(wù)26從傳感器獲取傳感器值(S116)。這里,所獲取的傳感器值被傳輸給安全監(jiān)視任務(wù)24和安全控制任務(wù)28。這里,在針對傳感器和電機(jī)等的IO的訪問中,大多通過與處理器10的通信來進(jìn)行,并且產(chǎn)生針對處理器10的中斷的情況很多。因而,當(dāng)以安全關(guān)聯(lián)系統(tǒng)訪問IO時,恐怕無法執(zhí)行與確保功能安全相關(guān)聯(lián)的處理。與此相對,如以上說明的那樣,在本實(shí)施方式4中,通??刂迫蝿?wù)26輸出安全控制任務(wù)28所生成的指令值。因而,根據(jù)本實(shí)施方式4,能夠在不給安全關(guān)聯(lián)系統(tǒng)造成影響的情況下對控制對象進(jìn)行控制。此外,根據(jù)本實(shí)施方式4,訪問IO的處理可以僅在不是安全關(guān)聯(lián)系統(tǒng)的通??刂迫蝿?wù)26中執(zhí)行。因而,能夠?qū)踩P(guān)聯(lián)系統(tǒng)構(gòu)建得較小,從而能夠有利于安全關(guān)聯(lián)系統(tǒng)的低成本化。另外,本發(fā)明并不限于上述的實(shí)施方式,毋庸置疑,其能夠在不脫離所述本發(fā)明主旨的范圍內(nèi)進(jìn)行各種變更。例如,也可以組合第一至實(shí)施方式4中的任一個進(jìn)行實(shí)施。在本實(shí)施方式中,對OS具有TPl TP3的情況進(jìn)行了例示,但TP的種類和數(shù)量不限于此。調(diào)度模式也不局限于本實(shí)施方式所例示的類型。此外,屬于TP的任務(wù)種類和數(shù)量也不限于本實(shí)施方式中例示的情況。在本實(shí)施方式2中,例示了在載波信號的每一周期生成中斷信號的情況,但并不局限于此。例如,也可以在載波信號的每兩個周期生成中斷信號,與基于時鐘信號進(jìn)行動作的情況相比,能夠大幅度地 降低針對控制周期的控制內(nèi)容的指示的延遲。即,也可以以每個I周期以外的規(guī)定周期生成中斷信號。此外,在本實(shí)施方式2中,I/O端口 12在載波信號的每一個周期將針對控制對象的控制內(nèi)容更新為從處理器10輸出的指令值所指示的控制內(nèi)容,但并不局限于此。例如,也可以以每個I周期以外的規(guī)定周期更新控制內(nèi)容。在本實(shí)施方式3中,例示了發(fā)射器和中斷信號生成電路為兩個的情況,但并不局限于此。也可以在安全控制裝置中配備三個以上的發(fā)射器和中斷信號生成電路。符號說明1、2、3安全控制裝置10處理器11執(zhí)行用存儲器121/0 端口13非易失性存儲器14重置電路15微控制器16, 18 發(fā)射器17、19中斷信號生成電路
21段調(diào)度器22調(diào)度表23、25、27、29 任務(wù)調(diào)度器24安全監(jiān)視任務(wù)26通??刂迫蝿?wù)28安全控制任務(wù)30中斷處理任務(wù)100操作系統(tǒng)101安全監(jiān)視應(yīng)用102通常控制應(yīng)用103安全控制應(yīng)用
權(quán)利要求
1.一種安全控制裝置,包括 處理器,其輸出指示針對控制對象的控制內(nèi)容的指示信息; 系統(tǒng)程序,其控制所述處理器的執(zhí)行時間針對安全關(guān)聯(lián)任務(wù)和通??刂迫蝿?wù)的分配,所述安全關(guān)聯(lián)任務(wù)執(zhí)行與所述控制對象的功能安全確保相關(guān)的處理,所述通??刂迫蝿?wù)執(zhí)行與所述控制對象的控制相關(guān)的其他處理; 信號生成部,其生成載波信號; 控制部,其在所述信號生成部生成的載波信號的每個第一規(guī)定周期,將針對所述控制對象的控制內(nèi)容更新為從所述處理器輸出的指示信息所指示的控制內(nèi)容,并以更新后的控制內(nèi)容執(zhí)行對所述控制對象的PWM (Pulse Width Modulation,脈寬調(diào)制)控制;以及 中斷信號生成部,其在所述信號生成部生成的載波信號的每個第二規(guī)定周期,生成針對所述處理器的中斷信號,將所述中斷信號輸出給所述處理器; 其中,所述處理器通過執(zhí)行所述系統(tǒng)程序,來基于表示安全關(guān)聯(lián)時間段和通??刂茣r間段的調(diào)度內(nèi)容的調(diào)度信息來調(diào)度所述任務(wù),其中,所述安全關(guān)聯(lián)時間段是所述執(zhí)行時間被分配給所述安全關(guān)聯(lián)任務(wù)的時間段,所述通??刂茣r間段是所述執(zhí)行時間被分配給所述通??刂迫蝿?wù)的時間段, 所述處理器通過執(zhí)行所述系統(tǒng)程序,來響應(yīng)于來自所述中斷產(chǎn)生部的中斷信號的輸出而切換所述時間段, 所述處理器通過執(zhí)行所述通??刂迫蝿?wù)或所述安全關(guān)聯(lián)任務(wù)來向所述控制部輸出所述指示信息。
2.如權(quán)利要求1所述的安全控制裝置,其中, 所述信號生成部生成多個所述載波信號并使它們各自的相位不同。
3.如權(quán)利要求2所述的安全控制裝置,其中, 所述信號生成部以不同的相位生成所述多個載波信號,以使得在由所述中斷信號生成部基于所述多個載波信號而生成的多個中斷信號中,從輸出第一中斷信號起到輸出跟在該第一中斷信號之后的第二中斷信號為止的期間不同于從輸出該第二中斷信號起到輸出跟在該第二中斷信號之后的第三中斷信號為止的期間。
4.如權(quán)利要求1至3中任一項所述的安全控制裝置,其中, 所述處理器通過執(zhí)行所述通??刂迫蝿?wù)來生產(chǎn)所述指示信息, 所述處理器通過執(zhí)行所述安全關(guān)聯(lián)任務(wù),來向所述控制部輸出由所述通??刂迫蝿?wù)生成的指示信息,并且當(dāng)該指示信息異常時抑制該指示信息的輸出。
5.如權(quán)利要求1至3中任一項所述的安全控制裝置,其中, 所述處理器通過執(zhí)行所述安全關(guān)聯(lián)任務(wù)來生成所述指示信息, 所述處理器通過執(zhí)行所述通??刂迫蝿?wù),來向所述控制部輸出由所述安全關(guān)聯(lián)任務(wù)生成的指示信息。
6.一種安全控制方法,用于在載波信號的每個第一規(guī)定周期,將針對控制對象的控制內(nèi)容更新為所生成的指示信息所指示的控制內(nèi)容,并以更新后的控制內(nèi)容進(jìn)行針對所述控制對象的PWM控制,所述安全控制方法包括以下步驟 在所述載波信號的每個第二規(guī)定周期,產(chǎn)生針對處理器的中斷; 響應(yīng)于所述中斷的產(chǎn)生,基于表示安全關(guān)聯(lián)時間段和通??刂茣r間段的調(diào)度內(nèi)容的調(diào)度信息將所述時間段切換為所述安全關(guān)聯(lián)時間段或所述通??刂茣r間段,其中,所述安全關(guān)聯(lián)時間段是所述處理器的執(zhí)行時間被分配給執(zhí)行與所述控制對象的功能安全確保相關(guān)的處理的安全關(guān)聯(lián)任務(wù)的時間段,所述通??刂茣r間段是所述執(zhí)行時間被分配給執(zhí)行與所述控制對象的控制有關(guān)的其他處理的通常控制任務(wù)的時間段; 基于所述調(diào)度信息來調(diào)度所述任務(wù),從而將所述執(zhí)行時間分配給所述切換后的安全關(guān)聯(lián)時間段或通??刂茣r間段中的安全關(guān)聯(lián)任務(wù)或通??刂迫蝿?wù);以及 通過執(zhí)行被分配所述執(zhí)行時間的通??刂迫蝿?wù)或安全關(guān)聯(lián)任務(wù),來生成所述指示信息。
全文摘要
在維持安全性的同時,執(zhí)行與控制對象的控制周期同步的控制。安全控制裝置包括處理器;控制處理器的執(zhí)行時間針對任務(wù)的分配的系統(tǒng)程序;生成周期性的載波信號的信號生成部;在載波信號的每個第一規(guī)定周期將針對控制對象的控制內(nèi)容更新為從處理器輸出的指示信息指示的控制內(nèi)容,并對控制對象進(jìn)行PWM控制的控制部;在載波信號的每個第二規(guī)定周期將中斷信號輸出給處理器的中斷信號生成部。處理器通過系統(tǒng)程序,按照安全關(guān)聯(lián)時間段和通常控制時間段的調(diào)度信息來調(diào)度任務(wù),并根據(jù)中斷信號的輸出來切換時間段,通過通常控制任務(wù)或安全關(guān)聯(lián)任務(wù)將指示信息輸出給控制部。
文檔編號G05B19/05GK103052924SQ20118003810
公開日2013年4月17日 申請日期2011年1月31日 優(yōu)先權(quán)日2011年1月31日
發(fā)明者平哲也, 尾藤浩司 申請人:豐田自動車株式會社
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
1