CN101135909A - 诊断装置及方法、总线系统及其控制方法、线路诊断程序 - Google Patents
诊断装置及方法、总线系统及其控制方法、线路诊断程序 Download PDFInfo
- Publication number
- CN101135909A CN101135909A CNA2007101273472A CN200710127347A CN101135909A CN 101135909 A CN101135909 A CN 101135909A CN A2007101273472 A CNA2007101273472 A CN A2007101273472A CN 200710127347 A CN200710127347 A CN 200710127347A CN 101135909 A CN101135909 A CN 101135909A
- Authority
- CN
- China
- Prior art keywords
- data
- bus
- mentioned
- unit
- line
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
- Bus Control (AREA)
- Safety Devices In Control Systems (AREA)
Abstract
本发明公开一种控制装置,其通过诊断模块对关系到仲裁器调停的信号进行监视,在检测到信号胶着或调停控制部发生异常这些异常的情况下,安全地停止数据传送,防止安全数据误输出。从而提高在控制装置中对多个装置所输出的总线使用权请求进行调停的总线仲裁器动作的安全性,并通过基于外部诊断模块的监视机构来进行仲裁器动作的诊断,实现了高速应答性与安全性的两全。
Description
技术领域
本发明涉及一种诊断装置、总线系统、线路诊断方法、总线系统控制方法以及线路诊断程序。特别是一种安全性很理想的诊断装置、总线系统、线路诊断方法、总线系统控制方法以及线路诊断程序。
背景技术
近年来,对共同总线上的主控权进行调停的总线仲裁器(ア—ビタ:arbiter)技术的提高非常引人注意。特别是PCI总线或ISA总线等PC系统中所采用的共同总线中,数据传送速度的高速化正飞速发展,为了保证这些系统的动作,必需存在多个调停总线主控权的总线仲裁器。
总线仲裁器的动作,通过从来自多个总线主控器的总线权请求中,选择总线主控器中的1个总线主控器,并借助于将总线权允许给该总线主控器的调停机构来实现。所选择的总线主控器,取得总线权,并能够在总线上传送数据。仲裁方式如PCI总线所代表,一般通过主控器与仲裁器之间的总线权请求的REQ信号与总线权许可GNT信号的输入输出来进行调停。仲裁器的调停动作时,进行如下动作:即按照某个所决定的独自的调停算法对来自多个主控器的REQ信号进行调停,并将GNT信号输出给1个主控器。关于总线主控器的技术,例如公开在特开2003-099395号公报(专利文献1)中。
另外,工厂与铁道、航空器等为了确保人或环境的安全而要求非常高的可靠性的系统中,要求即使系统内发生了故障或异常,作为系统全体也是安全的,不会给外部带来不良影响的失效保护性。
这样的系统,为了控制的高级化而通过电子装置来实现的部分的比率有增加的倾向,电子装置本身也需要高可靠性。
以装置的正常动作为前提的安全称作功能安全。近年来,制订了对用来确保使用电子装置的系统的功能安全的客观的水准进行了规定的IEC(International Electrotechnical Commission)61508标准。为了实现满足该水准的系统,从所构成的硬件到软件等所有部件,都需要设有各种各样的高可靠性机构。
例如,发电厂系统中,控制装置将来自控制终端的指示传达给I/O装置,让发电厂进行工作,但在控制这些I/O装置的控制装置中发生了故障或异常的情况下,控制对象发电厂有可能变为危险状态。因此导入了用来实现失效保护的各种各样的构造。
关于该控制装置内部的总线系统部分,是将两个主控器A、B与多个从控器A、B经总线相连接,主控器A或B通过给从控器A、B传送数据来进行控制处理。为了提高含有这样的总线的控制装置的可靠性,而采用将主控器A、B、从控器A、B以及总线所构成的传送系统分别设为2重系统,对照两系统的数据,并通过不一致来检测出异常,让系统安全地过渡或停止的冗长类结构。这样的双重系统用在很多领域中,但存在用来构成该系统的成本或消耗功率变为数倍这一问题。
因此,还考虑采用以下构成。也即,给总线添加1位的奇偶校验(パリテイ)信号,给主控器与从控器分别添加奇偶校验检查部。并且,各个奇偶校验检查部中在给总线发送数据时,添加1位的奇偶校验码,在从总线接收数据时,对1位的奇偶校验码进行检查并检测所传送的数据中是否发生了错误。通过这样,提高了总线上所传送的数据的可靠性。另外,作为检测出错误的信号,很多是使用错误修正码或巡回修正码等来代替奇偶校验码。
控制中,多个主控器与多个从控器之间,并不都需要数据传送,特开平11-328383号公报(专利文献2)中,公开了在从控器与总线的连接部分中设置总线开关,并有选择地对其进行开/关。另外,特开2005-276136号公报(专利文献3)中,公开了以对总线进行分割的形式设置总线开关并连接主控器与从控器的构成。通过这样,实现了一种在某个主控器与某个从控器传送数据时,设置在不干扰该传送的场所中的另一主控器与从控器,能够在同一个总线上同时进行数据传送的构造。
在具有控制装置的控制领域中,应用该仲裁器技术的系统也常常被采用。例如,控制工厂中,在控制面板中所安装的控制装置架的后面板(plain)上,存在有具有仲裁器功能的插座,在通过能够成为总线主控器的多个插头来对控制对象进行输入输出控制的情况下,使用共通总线,进行来自总线主控器的数据传送读入、写入动作。特别是在要求数据的高速应答性的控制区域中,为了不给在线软件的处理动作的定时性带来影响,而在对包括从多个总线主控器所大量传送的通信数据的大容量数据传送进行处理的情况下,需要通过仲裁器动作来高速切换总线主控器的调停,在数据传送与调停切换动作中要求高速性。这种情况下的总线形态,可以采用独立总线或目前为主流的PCI总线所代表的一般的系统总线中的任一种。
另外,任务批评(mission critical)的控制领域中的控制装置,当然要担当通过面向控制对象的数据输入输出来控制机器并进行保护的作用,控制装置动作关系到控制对象(处理侧)的机器安全性或人命保护的事例在装置、系统的性质上被充分考虑,因此对系统以及对其进行控制的控制装置的安全性的要求非常高。与此对应的一个动向是,国际标准即IEC61508在控制装置中的应用正在以海外为中心不断发展。在该功能安全标准IEC61508中,关于总线仲裁器的安全要求事项作为一部分被进行了规定,通过满足该安全请求事项,能够作为控制装置接近确保给定的安全水准。
在该功能安全中,为了保证控制装置不进行危险的动作,而必须对主要功能实施诊断动作。对于担负着总线的中枢的仲裁器动作,标准中也同样要求进行诊断。必须使得:根据来自控制对象(处理侧)的输入数据,对安全数据进行处理并输出给处理的中央处理装置成为总线主控器,并不会因总线上所传输的关系到安全的数据对控制对象的误输出、误动作,而给安全动作带来影响。另外,即使在发生了仲裁器的误动作的情况下,也必须检测出异常,在反应时间内停止针对处理的安全数据输出,证明没有造成安全数据破坏、向控制对象误输出了安全数据。
作为用来提高控制装置的安全性的技术,提出了各种各样的诊断方法。通过应用微处理器或总线的诊断、对存储器或ASIC、输入输出的诊断,能够提高诊断率,但是关于对总线仲裁器所考虑的故障模式(异常),只通过上述诊断来覆盖(cover)有些情况下是不够的,为了进一步提高诊断率,必需有对仲裁器功能的诊断。
首先,作为仲裁器中所能够考虑的故障模式,考虑因总线请求信号REQ与总线许可信号GNT的信号胶着所引起的误动作,或仲裁器内部的进行调停动作的功能或进行状态控制的功能等因异常动作的功能不全而引起的仲裁器误动作。在发生了这种故障的情况下,对于存在有可能变为无法检测出异常的危险侧动作的故障模式的情况下,必须对安全数据传输的安全性进行考虑。因此为了提高控制装置的安全性,对如上所述有可能对安全数据传输带来影响的故障模式进行诊断。
作为诊断的方法之一,考虑通过软件来诊断仲裁器动作的方法。如果是基于软件的诊断,则存在与通过微处理器所生成的诊断模式所实施的诊断动作相比,能够更加灵活地进行仲裁器诊断的优点,另一方面,存在诊断处理程序的生成所需要的工时与在线动作中的诊断处理时间增大这一难点。特别是后者中,在进行要求高速应答性的高速输入输出动作的实时处理中,一旦数据传输中断就需要确保诊断处理时间,这种情况下,无法确保安全数据的定时性、定刻性。其结果是,要求高速的控制的在线处理的实时性有可能招致致命的结果,在性能确保方面存在问题。
作为另一问题是,仲裁器通常通过本地LSI(ASIC)来实现,在对其进行诊断的电路自身也通过与仲裁器相同的LSI内部的硬件逻辑来实现的情况下,发生了异常的情况下的波及范围很困难。另外,如果在仲裁器中发生了某种异常的情况下,需要验证对其进行诊断的同一LIS内的诊断电路是否正常起作用。
本发明的目的之一,是提供一种能够解决以上问题中至少1个的诊断装置、线路诊断方法、以及线路诊断程序。
另外,例如在某个主控器向某个从控器进行数据传送的正当中,如果与传输无关的其他从控器发生了故障,如果非法数据不慎流入到总线中,总线的数据就有可能被扰乱。在由于该总线数据的扰乱,而使得在构成总线数据的信号中只有1位发生了变化的情况下,就有可能通过奇偶校验信号与奇偶校验检查检测出来。但在多个位一次变化,或主控器传送给从控器的数据都被其他从控器所流入的非法数据所改写的情况下,无法通过奇偶校验码或错误修正码等检测出来。在此时所传送的数据是关系到系统的功能安全的重要数据的情况下,结果有可能导致系统陷入危险状态。
专利文献1的方式是在主控器经总线向特定的从控器传送数据时,其他从控器与本地存储器之间进行处理的构造,但对于对象系统来说,没有判断是否是关系到功能安全的数据的机构。因此,数据传送之后,从控器被从总线上断开,在此情况与本地存储器之间进行处理。所以关系到功能安全的处理无法在从控器侧进行,另外在主控器或从控器发生了故障,或总线开关发生了故障的情况下,没有保证装置与系统的安全性的机构,也没有会变为什么样的状态的记载。
另外,专利文献2中,也没有对是否是关系到功能安全的数据进行判断的机构,关于主控器或从控器发生了故障,或总线开关发生了故障的状况,没有公开保证安全性的方法。
本发明的目的之一在于,提供一种在应当优先的数据传送中,能够防止与该应当优先的数据的传送无关的部分中所产生的故障的影响波及到与应当优先的数据的传送有关的部分的这种可靠性高的系统。
发明内容
为实现上述目的,本发明具有:调停控制部,其在经第2通信线路接收关于控制对象的信息的设备中,经第1通信线路发送接收用来调停上述第2通信线路的使用权的信号;以及诊断部,其对上述第1通信线路的信号进行监视,判断上述调停部的异常,上述诊断部,在判断出上述调停部的异常的情况下,输出抑制上述第2通信线路的通信的信号。
另外,为了提高控制装置自身的诊断率,不依赖于成为数据传送的路线的总线诊断技术或微处理器的诊断,还设置了具有针对仲裁器功能的诊断机构的外部诊断装置,通过该装置,在仲裁器检测出异常时,安全地停止数据输出,由此来实现。
根据本发明,“线路诊断装置”是由与仲裁器中所内置的系统LSI不同的部件所构成的诊断装置,通过对总线主控器输出给仲裁器的总线权请求REQ信号、仲裁器输出给总线主控器的总线权许可GNT信号、以及其他与仲裁器动作相关联的信号进行监视,来进行仲裁器动作的诊断。
诊断装置的监视时序,在在线动作中的总线传送循环前的调停期间中进行。如前面的“发明目的”中所述,为了消除进行基于软件的仲裁器诊断动作的情况下的性能降低,而在调停期间中进行基于诊断装置的硬件的监视,从而不会发生数据传送的中断。通过在监视时序期间中,对总线权许可GNT信号的输出状态进行监控,能够检测出仲裁器的动作是正常还是异常。调停期间中,通常不会发生如下情况:即总线权许可信号同时作为有效状态输出给多个总线主控器。假设在发生了这样的同时输出的情况下,就认为是发生了信号的胶着,或仲裁器内的总线权许可GNT信号生成部的异常等,通过诊断装置对总线权许可GNT信号进行监视,就能够进行仲裁器功能的诊断。发生了这样的同时输出的情况下,由于误识别出多个仲裁器接收到了总线权,同时向总线输出数据,因此有可能发生数据冲突。在传送安全数据的情况下,一旦变为这样的状况,安全数据就会被破坏,因此,诊断装置具有如下机构:即在检测到本异常时,迅速对安全数据进行保护,同时给总线控制部输出停止指示,由此将数据停止在安全侧。
上述监视机构仅仅是一例,作为其他监视方法,通过进行仲裁器的状态迁移监视、与线路上的安全数据传送状态信号联动的总线SW控制信号开/关状态的监视、以及GNT信号的监视,提高仲裁器的诊断率的方法,以及从外部的微处理器通过软件来测试诊断装置的方法,在本发明的实施例中进行了说明。
另外,本发明是一种1个以上的主控器与多个从控器经总线开关与总线相连接,在上述主控器与上述从控器之间传送数据的总线系统,其特征在于,具有:第1数据传送期间指定部,其设置在上述主控器中,指定第1数据的传送期间;以及开关控制部,其在指定了上述第1数据传送期间时,将与作为上述第1数据的传送对象的主控器和从控器相对应的上述总线开关分别设为ON状态,同时将从上述第1数据的传送对象以外的主控器和控器相对应的上述总线开关分别设为OFF状态。
作为本发明的优先方式,上述第1数据的传送,在对于对象系统来说传送数据有2种时,是其中的应当优先的数据的传送。
另外,作为本发明的优选方式,上述第1数据的传送,是对象系统的安全动作的维持所必需的数据传送。
另外,作为本发明的优选方式,上述第1数据是关系到对象系统的基本功能的数据,此外的传送数据是关系到对象系统的辅助功能的数据。
例如,如果采用发电厂为例,则关于发电厂控制功能的数据是对象系统的基本功能的相关数据,对上述发电厂的运转状况进行监视并显示的控制监视器用数据,是作为对象的发电厂系统的辅助功能的相关数据。
通过采用本发明,不会降低传送性能,而能够实现高速应答性与数据传送、调停控制动作的安全性的两全,通过这样能够提高控制装置全体的安全性。更具体的说,通过与仲裁器分开的部件所构成的诊断装置,对某个在线动作中的数据传送时的时序进行监视,仲裁器动作异常的诊断并不依赖于软件诊断处理,而是通过基于硬件的监视机构来进行,从而不会因阻碍线路上的数据传送而致使传送性能降低,能够实现高速应答性与数据传送、调停控制动作的安全性的两全,通过这样能够提高控制装置全体的安全性。
另外,通过将总线与主控器和从控器的连接间所设置的总线开关,在第1数据的传送中,将与该传送无关的主控器和从控器从总线上断开,能够减少对总线上流通的数据传送的损害的发生。
相应的,不需要将总线或电路多重化,只在现有的总线系统中增加低成本的改良,就能够实现一种使应当优先的数据传送非常可靠的高可靠性总线系统。
本发明的其他目的与特征,通过以下所述的实施例的说明来明确。
附图说明
图1为线路诊断装置的全体结构图。
图2为线路诊断装置的内部结构图。
图3为正常动作时的状态迁移与时序图。
图4为基于软件的调停控制部的诊断实施例图。
图5为线路诊断装置的实施例1-1图。
图6为线路诊断装置的实施例1-2图。
图7为线路诊断装置的实施例2-1图。
图8为线路诊断装置的实施例2-2图。
图9为线路诊断装置的实施例3-1图。
图10为线路诊断装置的实施例4-1图。
图11为线路诊断装置的实施例4-2图。
图12为线路诊断装置的实施例4-3图。
图13为本发明的另一实施例的总线系统结构方框图,示出了优先(安全)数据传送时的总线开关的状况。
图14为总线系统中的开关控制部的方框图。
图15为总线系统中,传送优先(安全)数据时的时序图。
图16为总线系统的结构方框图,示出了非优先(通常)数据传送时的总线开关的状况。
图17为总线系统中,传送非优先(通常)数据时的时序图。
图18为本发明的另一实施例的具有诊断总线开关OFF胶着的功能的总线系统方框图。
图19为开关控制部的详细方框图。
图20为具有诊断总线开关ON胶着的机构的总线系统方框图。
图21为表示总线开关与开关诊断处理的流程的时序图。
图22为总线开关中所使用的晶体管单元的构成例图。
图23为发电厂中所采用的应用例方块结构图。
图24为汽车中所采用的应用例方块结构图。
图25为多功能移动电话中所采用的应用例方框结构图。
具体实施方式
下面对本发明的实施例进行说明。
图1中示出了成为本发明的线路诊断装置所使用的控制装置的全体结构例。控制装置由通过成为数据传送通路的线路2所连接的中央运算存储装置CPU10、进行通信控制的通信控制装置PO30、成为与控制对象之间的接口的输入装置140、以及输出装置150所构成。
下面对控制装置的基本动作进行说明。中央运算存储装置CPU10,借助于经由线路261与通信控制装置PO30内的数据寄存器33进行数据传送而进行发送接收动作。写入到数据寄存器33中的发送接收数据,经过串行线路或基于并行传送的线路362发送给通信控制装置S1。在接收时,经线路3所接收到的数据被写入到数据寄存器33中,并由中央运算存储装置CPU10读出。同样,中央运算存储装置CPU10,在输入装置140的输入数据寄存器42以及输出装置150的输出数据寄存器52之间进行数据传送。从控制对象70向输入装置140的处理输入数据43,被写入到输入数据寄存器42中,并由中央运算存储装置CPU10读出。另外,从中央运算存储装置CPU10写入到输出装置150内的输出数据寄存器52中的数据,被作为处理输出数据53输出给控制对象70。
中央运算存储装置CPU10与通信控制装置PO30之间,具有进行向线路261的数据传送控制的线路控制部13、31。线路控制部由线路261的线路使用权请求与线路使用权允许信号构成,由中央运算存储装置CPU10内的调停控制部12来进行该信号的调停控制。另外,通信控制装置PO30、输入装置140、以及输出装置150内,设有线路SW(总线SW)32、41、51。该总线SW具有将线路261与装置间电连接或断开的开关功能,开关控制信号包括在线路160的一部分中。开关控制信号是基于中央运算存储装置CPU10的调停处理部12的输出信号,通信控制装置PO30、输入装置140、以及输出装置150与中央运算存储装置CPU10一对一地连接。
中央控制装置CPU10或通信控制装置PO30,能够在控制装置中取得总线权并使用线路261。各个控制装置取得总线权时,使用线路1的总线权使用请求信号与总线权使用允许信号,进行线路调停控制。在中央运算存储装置CPU10进行数据传送请求时,线路控制部13将线路使用权请求信号输出给调停控制部12,线路控制部13接收到了调停控制部12所输出的线路160的线路使用权允许信号之后,将数据寄存器11的数据经线路261发送给发送目的地。另外,在通信控制装置PO30进行数据传送请求时,也是一样的顺序,线路控制部31将线路使用权请求信号输出给调停控制部12,线路控制部31接收到了调停控制部12所输出的线路160的线路使用权允许信号之后,将通信控制装置PO30内的数据寄存器33的数据经线路261发送给发送目的地。
接下来,对本发明的线路诊断装置20进行说明。线路诊断装置20,对关系到数据传送的线路261与关系到调停动作的线路160的信号进行监视。本实施例中,在有总线使用权的中央运算存储装置CPU10与通信控制装置30之间交互进行线路使用请求的情况下,线路2的使用调停动作通过线路160的信号由调停控制部12进行。线路诊断装置20内的监视部22,对关系到线路1的调停动作的信号动作,与线路261的时序信号联动而对时序进行监视,在检测到了线路261的异常动作的情况下,向该线路诊断装置20内的动作指示部进行异常通知,通过动作指示部21对中央运算存储装置CPU10内的线路控制部13的指令,进行将数据输出停止的动作。
下面使用图2,对基于线路160的调停控制动作时序与线路诊断装置20的监视动作进行详细说明。
图2中对线路诊断装置20内的结构图、线路160的调停控制动作时序的详细内容、以及线路诊断装置20的内监视部22的监视信号进行说明。图2中,除了图1中所说明的中央运算存储装置CPU10与线路诊断装置20以外,由对线路261的线路使用权请求进行输出并使线路261可使用的多个通信控制装置所构成的通信控制装置PO30、通信控制装置P180、以及通信控制装置P290构成。关系到线路调停控制的线路160信号的详细内容如下所述。中央运算存储装置CPU10内的线路控制部13所输出的线路使用权请求信号98与调停控制部12内的GNT生成部15所输出的线路使用权许可信号97、通信控制装置PO30所输出的线路使用权请求信号36与上述GNT生成部15所输出的线路使用权许可信号35以及开关控制信号153、通信控制装置P180所输出的线路使用权请求信号86与上述GNT生成部15所输出的线路使用权许可信号85以及开关控制信号155、以及通信控制装置P290…Pn所输出的线路使用权请求信号96与上述GNT生成部15所输出的线路使用权许可信号95以及开关控制信号154,构成线路160。通过调停控制部12内的调停部14所输出的GNT切换指示(信号)16,GNT生成部15进行如下动作:即通过线路调停控制,将线路使用权许可信号,从来自多个的、输出了线路使用请求的装置中,输出到1台装置。GNT切换指示(信号)16,通过调停控制部12内的调停部14的状态迁移输出而生成,调停部14内的状态迁移,由来自线路160与线路261的输入输出信号状态生成。详细的时序图将在图3中说明。
本发明的线路诊断装置20与成为数据传送通道的线路261相连接,通过与调停控制部12不同的部件构成。线路诊断装置20,具有通过对上述线路160、线路261、以及调停控制部12内的调停部14所输出的表示调停动作状态的STATE信号进行监视,来检测出调停控制部的异常动作的机构,同时,具有在异常检测时,通过由动作指示部21向中央运算存储装置CPU10内的线路控制部13输出指令,来停止输出数据的机构。
图2所示的构成中,通过对在中央运算存储装置CPU10与通信控制装置PO30、P180、P290之间进行调停控制动作的线路160的所有信号进行监视,能够检测出各个装置在线路使用请求时所进行的调停动作的异常动作。作为该诊断模块的诊断范围,并不仅限于线路160的信号的断线或开路,或有可能因短路而产生的High电平或Low电平胶着(固着)的信号校准诊断,关于调停控制部12内的状态迁移误动作或功能模块的动作异常,也能够通过对该信号进行监视来进行诊断。特别是调停控制部含有复杂的逻辑,通常由LSI(惯用ASIC:custom ASIC)实现,在发生了LSI内部的逻辑异常或功能异常的情况下,通过该LSI以外的第3部件所构成的诊断装置,不但能够诊断外部的信号胶着异常,还能够诊断调停控制部的内部动作。另外,通过采用本发明,不需要基于软件的诊断处理,而是通过线路诊断装置20的硬件来进行调停动作的诊断,这样,线路261上的数据传送由线路诊断装置20的硬件监视机构来诊断,不会因软件诊断处理而中断,通过这样,不会阻碍实时控制中的数据的定时性·定刻性,而能够实现数据传送与调停控制动作的安全性与高速应答性的两全。
下面,图3中示出了调停控制部的正常动作时的时序图,图4中示出了通过软件处理实施调停控制部的诊断的情况下的数据应答性以及对数据传送的影响。
图3中对正常动作时的调停控制部的动作时刻进行了说明。示出了在由中央运算存储装置CPU10与通信控制装置PO30所构成的控制装置中,从中央运算存储装置CPU10与通信控制装置PO30同时发出了线路261的线路使用权请求的情况下,关于调停控制部12内的调停部14所输出的表示调停状态迁移的STATE信号23,与线路160上的线路使用权许可信号GNT的状态、线路261上的总线传送状态的时序图。
上述STATE信号23中,从线路261的调停动作到总线传送完成,存在有T1~T4这5个状态。STATE=T0为“IDLE状态”,表示是进行总线调停动作之前的IDLE状态。STATE=T1为“ARB状态”,表示处于基于来自多个装置的线路使用权请求信号的调停动作中。STATE=T2为“ACKWAIT”状态,表示以GNT切换指示16的输出时刻为触发,对通过上述“ARB状态”的调停动作而被选择的装置,发布线路使用权许可信号GNT。图3中,示出了给中央运算存储装置CPU10发布GNT的例子。STATE=T3是“ACKBUSY状态”,表示处于得到了线路使用权许可的装置使用线路261的数据传送中。这里所示的TS(CPU、PO),其括号内前项表示发送源装置,后项表示发送目的地装置,图3中示出了正在进行从中央运算存储装置CPU10向通信控制装置PO30的数据传送。STATE=T4为“WAIT状态”,表示是迁移到数据传送完成后的IDLE状态之前的待机时间。
调停控制部的动作如图3所示,基本上是在STATE=T1的时刻对来自多个装置的线路使用权请求信号REQ进行调停,在STATE=T2的时刻,对所选择的1台装置输出线路使用权许可信号GNT,由此得到了GNT的装置(图3中为中央运算存储装置CPU10)能够进行总线传送。也即,STATE=T2期间中,给中央运算存储装置CPU10以外的GNT(图3中为给通信控制装置PO30的GNT)无法同时输出。或者在发生了这样的状态的情况下,考虑是调停控制部12的误动作或功能异常,或线路160的信号胶着等原因,其影响是:由于通信控制装置PO30误检测出总线使用权许可信号,而使得中央运算存储装置CPU与通信控制装置PO30的数据传送同时进行,有可能破坏本来中央运算存储装置CPU10应当输出的数据。
如上所述,作为由对线路使用权请求REQ进行输出的多个装置所构成的控制装置所构成的通常动作时的线路261的时序图,是由调停控制部12所控制的T0~T4之间的状态迁移反复执行,进行数据传送。作为本发明的线路诊断装置,是以通过硬件对线路160信号进行监视为特征的一机构,图4中示出了实施软件诊断的情况下的动作时序。
图4中对调停控制部的软件诊断流程控制进行了说明。作为采用基于软件的诊断机构的优点,可以列举出通过生成丰富的诊断模式来很容易地提高诊断对象的诊断率。国际安全标准IEC61508中,作为与仲裁器(ア—ビタ:arbiter)相关的安全请求事项,也规定了信号胶着的诊断、调停动作的内部诊断方法,并且使用软件处理也能够进行这些诊断。特别是为了提高实现仲裁器的LSI的诊断率,推荐进行到仲裁器功能诊断或内部动作诊断。
如上所述,图4中示出了将使用软件诊断的情况下的时序图与图3中所示的调停控制部的正常动作的组合起来的情况。以图1的构成为前提,在中央运算存储装置CPU10与通信控制装置PO30之间进行数据传送的控制装置中,按照以下顺序进行诊断处理与数据传送处理。
时序图示出了:首先,中央运算存储装置CPU10实施针对调停控制部的诊断处理130,根据来自控制对象的输入数据,进行输入处理A133。一旦输入处理A133结束,中央运算存储装置CPU10便将数据寄存器11中所存储的数据,经线路261传送给通信控制装置PO30内的数据寄存器33。之后,通信控制装置PO30得到线路使用权许可,进行向线路2的数据传送,接下来,中央运算存储装置CPU10再次得到线路使用权许可,进行对线路2的数据传送。各个数据的线路使用权许可,通过调停控制部12的调停动作产生切换动作,并基于图3中所示的正常动作时序图,进行数据传送。通常的中央运算存储装置CPU10的微处理器所进行的在线处理相当于输入处理A133、输入处理B134、运算处理135,其与线路261的数据传送动作并行,或在其他期间中进行,因此不会因为基于微处理器的处理而对线路2的数据传送带来影响,而阻碍定时性、定刻性。另外,基于软件的调停控制部12的诊断处理,相当于诊断处理130、诊断处理131、以及诊断处理132,其通过将线路2的数据传送暂时中断来进行。
由于软件诊断处理的实施频度,数据定刻性的变动不是一定的,但在寻求上述诊断率提高的另一方面,为了确保数据的高速应答性与定时性、定刻性,还存在有问题。因此,通过采用作为本发明的硬件监视机构所实现的线路诊断装置的诊断方法,能够解决上述问题。下面对照图5~图11,对本发明的线路诊断装置的实施例进行说明。
(实施方式1的说明)
图5与图6中,对线路诊断装置中进行监视、检测的调停控制部的故障模式与异常动作以及异常检测时的解决方法之一进行说明。上述图3的说明中,在调停控制部12所输出的线路使用权许可信号GNT以相同时序对多个装置进行输出的情况下,有可能会发生数据冲突,这一点已经进行了说明,但该线路诊断装置20内的监视部22的特征在于,具有对该故障模式进行监视·检测的机构。图5中示出了线路诊断装置20的线路使用许可信号GNT的同时刻输出时的诊断流程,图6中示出了上述GNT信号同时刻输出时的时间图与解决例。
图5中示出了线路诊断装置20的调停控制部12的异常检测机构与诊断流程。线路诊断装置20内的监视部22对线路160进行监视,监视部22由线路使用权许可信号GNT的同时输出CHK部25构成。同时输出CKH部25对针对多个装置的线路使用权许可信号GNT的多个同时输出进行监视。监视部22在调停控制部12的STAT=ARB时刻切入到监视时序中。监视部22在STATE=ACKWAIT时,对线路160上的所有线路使用权许可信号GNT进行监视,对是否给1台以外的装置输出了有效状态进行监视。例如,在GNT发送向中央运算存储装置CPU10的情况下,是否给其他通信装置PO30输出了GNT,对于其他组合,检测机构也一样。在监视部22中检测到了上述同时输出的事实(异常)的情况下,GNT同时输出CKH部25向调停控制部12内的动作指示部21发出指示信号,接收到该信号的动作指示部21,向线路控制部13输出动作指示信号。
图6中示出了实施例1的动作时序。如上述动作说明所述,本图中示出了发给中央运算存储装置CPU10与通信控制装置PO30的线路使用权许可信号GNT被同时输出。(时间图中标记为GNT(CPU)与GNT(P0))通过这样,中央运算存储装置CPU10与通信控制装置PO30的数据传送同时发生,发生了数据冲突。本发明的线路诊断装置中,以STATE=ACKWAIT循环来检测出上述GNT信号的同时输出,并向线路控制部13输出动作指示信号,由此能够防止数据冲突。线路控制部13接收到动作指示信号之后,将该开关控制信号=“总线SWOFF(P0)”输出到相应的装置即通信控制装置PO线路SW32,由此能够解决问题。
按照本实施例1,检测出并解决认为是故障模式的线路160信号胶着的产生或调停控制部12的异常所引起的线路使用权许可信号GNT的同时输出,从而能够避免因对策引起的对线路261的数据冲突,提高安全性。
(实施方式2的说明)
图7与图8中,对线路诊断装置中进行监视、检测的调停控制部的故障模式与异常动作以及异常检测时的另一解决方法进行说明。图7中示出了线路诊断装置20的开关控制信号的异常检测机构与诊断流程,图8中示出了线路诊断装置20的线路使用权许可信号GNT的异常检测机构与诊断流程。
图7中,调停控制部12内的监视部22中设有总线SW输出状态CHK部26。该总线SW输出状态CHK部26对线路160与线路261进行监视。如果示出了作为线路261上的信号一部分的中央运算存储装置CPU10或通信控制装置PO30所输出的安全数据传送状态信号=“安全数据传送中”,就看作是安全数据传送中,并将传送目的地址时隙(スロツト)与开关控制信号的开/关状态进行比较、对照。安全数据传送状态信号=“安全数据传送中”的输出目的,是向控制装置全体通知处于安全数据传送中。线路261中所传送的数据的种类,大体上分为:包括对控制对象70的输入输出数据和保护指令数据的“安全数据”;以及包括主要在监视等中使用的通信数据的“一般数据”。本发明的线路诊断装置目的在于,在检测出“安全数据传送中”时,保护向261上所传送的“安全数据”,而实施诊断与异常检测时的对策,以使得发生了关系到任何线路或调停控制部的异常时,控制装置自身不会陷入危险侧动作。
图8中,调停控制部12内的监视部22中设有GNT输出状态CHK部27。该GNT输出状态CHK部27对线路160与线路261进行监视。如果线路261上的安全数据传送状态信号=“安全”,便看作是安全数据传送中,并对传送目的地址时隙与GNT输出目的地时隙进行比较、对照。
在图7与图8所示的机构中检测到异常的情况下,动作指示部21对线路控制部13输出动作指示信号。接收到了动作指示信号的线路控制部13,识别出对已经发生了因调停控制部12的某个故障模式所产生的开关控制信号,或GNT信号异常这一事实进行识别,并迁移到与当前的输出数据相关的停止处理状态。作为停止手段,考虑现在的输出数据冻结(フリ—ズ),或基于安全关闭信号输出的安全停止等方法,但本发明并不仅限于这些方法。
按照本实施例2,对认为是故障模式的线路160的信号胶着发生,或因调停控制部12的异常所引起的开关控制信号,或GNT信号的误输出进行检测并加以对付,由此能够提高安全性。具体来说,对于在图7所示的机构中,对于通过总线SW开/关控制而实现安全数据保护的情况,能够避免双重故障发生时的数据冲突。这意味着,在例如采用通过总线SW开/关控制而对有可能给安全数据带来影响的装置的线路SW进行切断这种解决方法的情况下,发生了该线路SW被切断了的装置侧发生误动作,且对该装置的开关控制信号变得异常这种双重故障的情况下所有可能发生的异常能够被避免。另外,图8中所示的机构中,能够防止因对错误时隙的GNT信号输出所引起的超时的发生与双重故障发生时的数据冲突,与实施例1一样,有助于提高关于控制装置内的数据传送、以及调停控制动作的安全性。
[实施方式3的说明]
图9中对线路诊断装置中进行监视、检测的调停控制部的故障模式与异常动作以及异常检测时的另一解决方法进行说明。图9中示出了线路诊断装置20对调停控制部12内的状态迁移的异常检测方法与诊断流程。
图9中,调停控制部12内的监视部22具有状态迁移CHK部28。该状态迁移CHK部28对调停控制部12所输出的调停状态迁移STATE信号23与线路160以及线路261进行监视。状态迁移CHK部28对状态迁移STATE信号23的状态迁移顺序妥当性进行检查。
图2中所示的调停控制部12的调停部14所进行的正常动作时的状态迁移,如图3所示。通常如图9所示,正常动作时的状态迁移是T0(IDLE)110→T1(ARB)111→T2(ACKWAIT)112→T3(ACKBUSY)113→T4(WAIT)114。本实施例中,在STATE=T0时,输出STATE信号23=001,在STATE=T1时,输出STATE信号23=002,以下同样,输出STATE信号23=011→100→101。状态迁移CHK部28通过与上述状态迁移时所输出的STATE信号23相对应的CHK1 100、CHK2 101、CHK3 102、CHK4103、CHK5 104进行监视,在检测出状态异常的情况下,执行与实施例2同样的输出数据停止策略。CHK1~CHK5通过硬件而不是软件实现,被成为状态迁移的切换的切换触发信号赋予检查时序。特征在于,将CHK1~CHK4之间的STATE信号期待值与实际的图2中调停部14所输出的STATE信号23进行比较·对照的对照部29,在监视部22内的状态迁移CHK部28所具有,并具有通过切换触发信号而进行对照的机构。
作为异常动作时的例子,CHK1 100=STATE=001为正常,CHK2 101=STATE=010为正常,变为CHK3 102=STATE=100(期待值=011),在CHK3 102所检测出的ACKWAIT状态下检测到了状态迁移异常的情况下,图2中所示的GNT切换指示(信号)16的输出时序有误,同时输出了针对多个装置的线路使用权许可信号GNT,这样线路261上有可能发生数据冲突。上述异常检测时,状态迁移CHK部28,采用如下手段:即作为调停控制部12的功能异常报告给动作指示部21,且通过实施例2中所示的方法来停止输出数据。
按照本实施例3,对认为是故障模式的调停控制部12内的调停部14内的状态迁移异常,或内部逻辑状态迁移状态位变化、由实现调停控制动作的LSI内部信号胶着所引起产生的状态迁移异常,进行检测并解决,由此与实施例1一样,有助于提高控制装置内的数据传送以及调停控制动作的安全性。
(实施方式4的说明)
图10与图11中对线路诊断装置的诊断测试机构进行了说明。图10中示出了诊断装置测试时的动作流程。图11中示出了相同的动作时序图。
图10的控制装置由中央运算存储装置CPU10与线路诊断装置20构成。在中央运算存储装置CPU10内,由如下器件构成:即对用于通过软件处理来对线路诊断装置20进行诊断测试而使用的诊断测试模式进行生成的微处理器μP170;存储所生成的测试模式的诊断测试模式存储部15;以及经线路261传送诊断测试模式的线路控制部13。接下来,线路诊断装置20的构成如下所述。线路诊断装置20由如下器件构成:即对线路160与线路261的信号进行监视的监视部22;经线路261对上述中央运算存储装置CPU10所生成的诊断测试模式进行传送并存储的诊断测试模式设定而进行诊断测试起动控制的诊断部125;以及通过上述诊断测试指示126、127,对诊断控制部所进行的诊断测试起动指令122、123,进行通常监视动作与诊断测试动作的切换的切换SW-A120与切换SW-B121。
下面使用图10对动作流程进行说明。中央运算存储装置CPU10,让微处理器μP170生成针对成为对象的线路诊断装置20的测试模式,并写入到测试数据模式存储部15中。写入时序采用只在初始设定时初次存储,或每次执行时进行更新并重写的方法。进行写入的诊断测试模式,备有:线路诊断装置20检测出正常的模式和线路诊断装置20检测出异常的模式这两方。图11中示出了测试模式详细表内容。作为微处理器μP170所生成的测试模式信息,作为对实施例1中所说明的线路使用权许可信号GNT的同时输出进行模拟的模式,生成并存储有正常模式即“GNT信号正常模式”160与异常模式即“GNT信号异常模式”161。同样,生成并存储正常模式即“开关控制信号正常模式”162与异常模式即“开关控制信号异常模式”163,作为对实施例2中所说明的开关控制信号异常进行模拟的模式。同样,生成并存储正常模式即“状态迁移STATE信号正常模式”164与异常模式即“状态迁移STATE信号异常模式”165,作为对实施例3中所说明的状态控制所涉及STATE信号23的状态异常进行模拟的模式。中央运算存储装置CPU10的微处理器μP170,顺次读出上述测试模式,经线路261将所读出的测试模式写入到线路诊断装置20内的诊断测试模式设定部124中。测试模式的写入完成之后,中央运算存储装置CPU10的微处理器μP170经线路261向线路诊断装置20内的诊断控制部125发布诊断测试指示127。通过该诊断测试指示,诊断控制部125将切换指示信号122、123输出给切换SW-A120与切换SW-B121。切换SW-A120是线路261的切换开关,切换SW-B121是线路160的切换开关。不管哪一个切换SW,均具有通过对来自线路1、线路2侧的数据、信号与诊断测试模式设定部的数据模式进行切换而输出给监视部22的作用。通常动作时,SW-A120与SW-B121处于与线路160以及线路261侧相连接的状态。借助于诊断控制部125根据上述诊断测试指示127所输出的切换指示信号122、123,切换SW-A120与切换SW-B121将连接切换到诊断测试模式设定部124侧。切换动作结束之后,将诊断测试模式设定部124中所存储的测试模式数据,经切换SW-A120与切换SW-B121输出给监视部22。监视部22接收到测试模式之后,进行监视部的测试动作,如果是正常模式接收时,便将结果写入到诊断状态部125中。另外,如果是异常模式接收时,同样也将结果写入到诊断状态部125中。诊断测试写入结束之后,通过对诊断状态部125设置诊断测试写入完成标志位,而进行对中央运算存储装置CPU10的结束通知126。接收到了结束通知126的中央运算存储装置CPU10,读取诊断状态部125的结果信息,并进行结果判断。正常模式写入时的期待值是“状态=正常”,异常模式写入时的期待值是“状态=异常”,在得到了与此相反的结果的情况下,判断为诊断测试出错。在检测出诊断测试出错的情况下,意味着线路诊断装置20的关系到调停控制的诊断动作没有正常起作用,虽然在放弃诊断测试的情况下在通常动作中不会出问题,但由于在调停控制部发生异常时无法检测出异常,因此在发生了二重故障的情况下,对安全性有影响。因此,中央运算存储装置CPU10采取在检测到诊断测试数据时停止安全数据的手段。
接下来,图12中示出了线路诊断装置20的诊断测试时的动作时序图。图12示出了中央运算存储装置CPU10与成为本发明的线路诊断装置20、以及其他输入装置1与线路261之间的诊断测试动作时的时序。中央运算存储装置CPU10,首先实施线路261的诊断测试。通过输出来自中央运算存储装置CPU10的线路2诊断测试指令140,线路2诊断装置进行线路261的诊断测试处理145。若处理结束,则中央运算存储装置CPU10对结束许可ACK141进行受理,并对处理结束进行确认。在线路2诊断测试处理结束之后,中央运算存储装置CPU10移行到线路诊断装置20的诊断测试以及其他装置的诊断测试处理。如本实施例的图10、图11所说明那样,中央运算存储装置CPU10发布测试模式设定142,并发布诊断测试触发指令143。由此,借助于各个装置进行诊断测试动作146、147,最后作为结束确认,对结束确认ACK144进行受理,并对处理结束进行确认。
按照本实施例4,通过由中央运算存储装置10的微处理器μP170所生成的测试模式,对成为本发明的线路诊断装置20实施诊断测试,能够确保发生了双重故障的情况下的安全性。本诊断测试处理,通过在在线处理执行中的控制周期中将一部分软件处理时间分配给测试处理来进行。
以上,使用功能方框图示出了线路诊断装置20等各个装置,但当然也可以通过中央运算存储装置和实现上述功能的程序来构成。
下面对照附图对本发明的其他实施方式进行说明,另外,图中原则上给同一部件标注同一符号,避免其重复说明。
【实施例1】
图13为本发明的另一实施例中的总线系统的结构图。
主控器(A)301、主控器(B)302、从控器(A)303、从控器(B)304,分别经总线开关331~334与总线305相连接。
另外,开关控制部311所输出的总线开关控制信号(swc)321~324,分别用来切换各个总线开关331~334的ON状态与OFF状态,这里,设总线开关控制信号(swc)的值为“1”时为ON状态,为“0”时为OFF状态,进行说明。
主控器(A)301在总线开关331为ON状态时,与总线305相连接,在总线开关331为OFF状态时,从总线305上断开,关于主控器(B)302、从控器(A)303、以及从控器(B)304也一样。
总线仲裁器(bus arbiter)312,是在多个主控器对总线305进行请求使用的情况下,为了不产生冲突而进行调停的部分。从主控器(A)301接收请求(req)信号361,从主控器(B)302接收req信号362的声明(assert),调停的结果是,给任一个主控器声明许可(ack)信号351或352。
被声明了ack信号的主控器301或302,使用总线305进行数据传送,传送结束之后将req信号设为无效(negate),对此响应后将相应的ack信号也设为无线。
图13的开关控制部311,是生成主控器以及从控器用总线开关控制信号(swc)的部分。这里,设分别被输入主控器(A)301的ack信号351、主控器(B)302的ack信号352、主控器(A)301用来对传送目标从控器进行指定的地址信号393、以及主控器(B)302用来对传送目标从控器进行指定的地址信号394。
这里,对象系统的总线系统中的数据的转发中,有两种数据传送。第1数据传送与此外的(第2)传送数据相比,是应当优先的数据的传送,例如对象系统的安全动作的维持所必需的数据传送。另外,另一例是第1数据是关于对象系统的基本功能的数据,此外的(第2)传送数据是关于对象系统的辅助功能的数据。
图13中,主控器(A)1与从控器(A)303是进行对象系统中的第1数据的传送的部分,主控器(B)302与从控器(B)304是进行对象系统中的第2数据的传送的部分。本实施例中的第1数据是作为优先传送的功能安全的对象,假设安全数据的传送只从主控器(A)301向从控器(A)303进行。另外,主控器(B)302与从控器(B)304,是只进行与功能安全无关的优先级较低的通常数据的传送的部分,是功能安全的对象之外。
进而,主控器(A)301所输出的优先(安全)数据信号371,在图13的总线系统中主控器(A)301进行第1(安全)数据的传送的期间为“1”,此外的期间为“0”的信号。
图14为本发明的图13的实施例中所示的开关控制部311的具体构成例图。
在优先(安全)数据信号371的值为“1”,且在进行关于功能安全的优先(安全)数据的传送的期间中,被NOT门376所反转了的优先(安全)数据信号384的值为“0”。
通过OR门377,在发往主控器(A)301的ack信号351的值为“1”时,主控器(A)301的总线开关控制信号(swc)321的值变为“1”。同样,通过OR门378,在发往主控器(B)302的ack信号352的值为“1”时,主控器(B)302的总线开关控制信号(swc)322的值变为“1”。另外,优先(安全)数据信号371的值为“1”时,从控器用总线开关控制信号(swc)323、324的值按照如下方式进行确定。
主控器(A)301所接入的从控器的地址信号393,与主控器(B)302所接入的从控器的地址信号394,借助于选择器372,作为选择地址信号395输出。选择器372的输出,从发往主控器(A)301的ack信号351与发往主控器(B)302的ack信号352中选择。通过总线仲裁器312的调停,该ack信号351与352只有其中一方能够取“1”的值。选择地址信号395被地址解码器374所解码,输出从控器选择信号381、382。该地址选择信号381被地址解码的结果,是在将从控器(A)303作为传送目标指定时,取值“1”,在没有指定为传送目标时取值“0”,针对从控器(B)304的从控器选择信号382也一样。另外,ack有效信号383,是在ack信号351与352中一方的值为“1”时,被OR门375取值为“1”的信号,输入给AND-OR门379、380。也即,针对从控器(A)303的总线开关控制信号(swc)323,在优先(安全)数据信号371的值为“1”时,只在由主控器选择从控器(A)303为传送目标,且发往任一个主控器的ack信号为有效且正在进行数据的传送时,取值“1”,除此之外均取值“0”。针对从控器(B)304的总线开关控制信号(swc)324的值,也与针对从控器(A)303的总线开关控制信号(swc)323同样地进行变化。
与此相对,在优先(安全)数据信号371的值为“0”,进行与功能安全无关的通常数据的传送期间中,由NOT门376所反转的优先(安全)数据信号384的值为“1”。因此,OR门377、378以及AND-OR门379、380所输出的总线开关控制信号(swc)321~324的值都变为“1”。
图15为本发明的图13以及图14的实施例中,优先(安全)数据传送时的时序图之一例。示出了优先(安全)数据信号71的值为“1”,从主控器(A)301向从控器(A)303进行图14中虚线391所示的安全数据传送时的时序图。另外,以后的时序图中所示的信号,都设为声明(assert)状态的值为“1”,无效(negate)状态的值为“0”,时序图中的地址总线、数据总线分别是总线305中含有的线路。
在图15的时钟循环t0到t1之间,总线上不发生传送,优先(安全)数据信号371的值为“0”,各个主控器与从控器的总线开关控制信号(swc)的值都为“1”。
另外,在时钟循环t2中,主控器(A)301向从控器(A)303发送优先(安全)数据,因此,使主控器(A)301的req信号361置为有效(assert),对总线进行请求。该req信号361,是直到主控器(A)301的数据传送结束之前都被置为有效的信号。
时钟循环t2中,总线仲裁器312判断为,只有主控器(A)301是发出了请求的主控器,时钟循环t3中,给主控器(A)301声明ack信号351。将ack信号351置为有效的主控器(A)301,使优先(安全)数据信号371置为有效,使主控器(B)302的总线开关控制信号(swc)322置为无效。进而,对所选择的地址信号395中所载送的地址进行解码并判断从控器(A)303,结果是将从控器(B)304的总线开关控制信号(swc)324置为无效。
图15所示的时序图中,地址总线中,在t3至t6的期间中载送从控器(A)303的地址,另外,数据总线中,在t5至t6的期间中载送所传送的安全数据。
图16的时钟循环t5至t6的优先(安全)数据的传送中,从控器(B)304中发生了故障,出现了非法数据不慎流入到总线305中而带来了扰乱的状况。这种情况下,t3至t6的期间中,从控器(B)304的总线开关控制信号(swc)的值为“0”,如图13所示,总线开关34变为OFF状态,与总线5断开。因此,不会给主控器(A)301与从控器(A)303之间的、通过总线5所进行的优先(安全)数据的传送带来影响,保证了优先(安全)数据的可靠性。
图16为表示本发明的图13的实施例的总线系统中,优先(安全)数据信号371的值为“0”,通常数据传送时的总线开关的状况的图。
图16中所示的开关控制部311与图14中所示的是同一个,在优先(安全)数据信号371的值为“0”时,总线开关控制信号(swc)321~324的值都为“1”,总线开关31~34都为ON状态。
图17中示出了在图16中所示的本发明的实施例的总线系统中,优先(安全)数据信号371的值为“0”,由主控器(B)302对从控器(B)304进行虚线392(图16)中所示的通常数据传送时的时序图之一例。
图17中,从时钟循环u0到u9的期间中,优先(安全)数据信号371的值为“0”,因此各个主控器与从控器的所有总线开关控制信号(swc)的值都变为“1”,所有的总线开关都变为ON状态。
时钟循环u1中,从主控器(B)302向从控器(B)304传送通常数据,因此将主控器(B)302的req信号362置为有效,而对总线305进行请求。时钟循环u1中,由于只有主控器(B)302是发出了请求的主控器,因此时钟循环u2中,对主控器(B)302使ack信号352置为有效(assert)。所以,从u2到u5的期间中,从主控器(B)302向从控器(B)304进行数据传送。
时钟循环u3中,主控器(A)301为了对从控器(A)303传送通常数据,而对总线305进行请求,将主控器(A)301的req信号361置为有效。但是,由于主控器(B)302正在使用总线305,因此要等待到主控器(B)302的传送结束的时钟循环u6。时钟循环u6中,由于对总线进行请求的主控器只有主控器(A)301一个,因此从时钟循环u7开始,主控器(A)301对从控器(A)303传送数据。
在图17的从主控器(B)302向从控器(B)304的数据传送中,假设主控器(A)301或从控器(A)303中发生故障,总线305中被不慎流入了非法数据而造成了扰乱的状况。这种情况下,由于所传送的数据是通常数据而不是优先(安全)数据,因此不会给功能安全造成影响,作为系统不至于变为危险状态。
另外,还可以构成为,将开关控制部和与相当于地址信号的部分内置于安全对象的主控器中,从主控器输出开关控制信号。
通过采用以上实施例,在1个总线中连接有多个主控器与从控器的构成的总线系统中,总线上混有传送第1数据与第2数据的主控器与从控器。所谓第1数据是必须保证可靠性的优先(安全)数据,所谓第2数据,是此外的通常数据。也即,处理优先(安全)数据的主控器及从控器,与不处理优先(安全)数据的主控器及从控器,在总线上共存。这里,即使在优先(安全)数据在总线上传送的正当中,与传送无关的主控器或从控器发生了故障,也能够确实地进行优先(安全)数据的传送。也即,即使发生了异常的主控器或从控器,不慎将非法数据流入到了总线中,通过设置成了通过总线开关控制将与传送无关的部分从总线上断开的状态,能够可靠地进行优先(安全)数据的传送。
另外,通过采用在非优先(安全)数据的通常数据传送时将所有的总线开关设为ON状态而与现有的总线具有互换性的构成,由此给现有的总线系统追加设计就可以,能够容易地应用。
进而,图15与图17中将地址总线与数据总线分开而进行了描述,但在将地址与数据进行时分并共通化在1个总线中的情况下,利用将请求信号置为有效的期间,同样也能够进行确保了优先(安全)数据的可靠性的传送。
进而,在从控器具有直接访问存储器功能,而增加了在从控器之间进行传送的功能的情况下,通过同样地进行对总线开关的ON状态与OFF状态进行切换的控制,也能够可靠地进行优先(安全)数据的传送。另外,在进行通常数据的传送的情况下,也能够进行与以前的总线有互换性的传送。
另外,不将总线或主控器多重化,而只增加总线开关与开关控制部,也能够实现安全且可靠的总线系统。
【实施例2】
接下来,对本发明的另一实施例的总线系统中,对总线开关胶着进行诊断的方式之一例进行说明。
图18为按照本发明的实施例具有诊断总线开关的OFF胶着的功能的总线系统的方框图,是相对图13中所示的总线系统,增加了开关诊断部313与开关诊断模式信号(swd)373的结构的总线系统。
另外,主控器(A)306中,内置有保持数据的数据寄存器341,主控器(B)307、从控器(A)308、从控器(B)309中也分别内置有数据寄存器342、343、344。这些数据寄存器341~344以如下方式而连接:即借助于开关诊断部313中所内置的寄存器访问部315,经由总线305进行访问。若寄存器访问部315对各个数据寄存器341~344写入指定的数据的写动作,则进行与从数据寄存器读出数据的读动作。
关于开关诊断部313中所内置的诊断模式寄存器345,这里是2位的寄存器,不重写诊断模式寄存器345的值就能够变化开关诊断模式信号(swd)373的值。开关诊断模式信号(swd)373的低位(下位)在值为“1”时,是进行对总线开关是否不会陷入胶着故障进行调查的开关诊断处理的状态,值为“0”时是进行通常处理的状态。
在进行开关诊断处理的状态下,开关诊断模式信号(swd)373的高位(上位)的值,直接输出给总线开关控制信号(swc)325~328。
图19为本发明的实施例的图18中所示的开关控制部的详细方框图,示出了图18中所示的开关控制部14的具体应用例。相对于图14中所示的开关控制部311,成为增加了开关诊断模式信号(swd)373与选择器385~388的构成。图19中,选择器385中通过开关诊断模式信号(swd)[0]367的值,选择总线开关控制信号(swc)321与开关诊断模式信号(swd)[1]366中的其中一个,而成为主控器(A)306用总线开关控制信号(swc)325。主控器(B)307、从控器(A)308、从控器(B)309用总线开关控制信号(swc)326~328也一样,在开关诊断模式信号(swd)[0]367的值为“1”时,所有的总线开关控制信号(swc)变为同一个值。
图18中,由于开关诊断模式信号(swd)373的2位的值为“11”,因此在处于进行开关诊断处理的状态下,总线开关控制信号(swc)325~328的值都是“1”,其结果是总线开关331~334都变为ON状态。此时,从寄存器访问部315对主控器(A)306的数据寄存器341进行寄存器访问396。寄存器访问396中,将诊断用数据写入到数据寄存器341中,写入之后又读出同一个数据寄存器341,由此,如果读出了刚写入的数据,总线开关331就会变为正确的ON状态。
相反,如果没有读出刚写入的数据,而是读出了错误的数据或不确定的值,就能够判断是总线开关331胶着在OFF状态的故障。因此,能够对主控器(A)306发生故障、无法传送数据、系统变为危险状态这种状况防范于未然。
通过这样,能够诊断出主控器(A)306的总线开关331没有胶着在OFF状态而正确地变成了ON状态。
关于主控器(B)307、从控器(A)308、从控器(B)309的总线开关332~334也一样,能够对是否胶着在OFF状态进行诊断。
接下来,图20是本发明的另一实施例中的具有对总线开关的ON胶着进行诊断的机构的总线系统的方框图。图20中,由于图18中所示的开关诊断模式信号(swd)373的2位的值为“01”,因此处于进行开关诊断处理的状态,总线开关控制信号(swc)325~328的值都是“0”。其结果是总线开关331~334都变为OFF状态。此时,从寄存器访问部315对主控器(B)307的数据寄存器342,如虚线所示,进行寄存器访问397。寄存器访问397中,将诊断用数据写入,写入之后又对同一个数据寄存器342进行读出,由此如果没有读出刚写入的数据,而是读出了错误的数据或不确定的值,则总线开关332就会正确地被置为OFF。
相反,如果读出了与刚写入的数据相同的数据,就能够判断是总线开关332向ON状态的胶着故障。其结果是,能够对从该状态开始,主控器(B)307发生故障,给总线5带来坏影响的这种状况防范于未然。
通过这样,能够诊断出主控器(B)307的总线开关332没有胶着在ON状态而是正确地变为OFF状态。
关于主控器(A)306、从控器(A)308、从控器(B)309的总线开关331、333、334也一样,能够对是否胶着在ON状态进行诊断。
图21为表示本发明的另一实施例中的图18与图20所示的总线系统与开关诊断处理的流程的时序图。
总线系统的电源接通之后,首先进行起动处理441,在开始通常处理之前,进行开关诊断处理442。另外,该开关诊断处理是指图18与图20中所说明的对总线开关向ON状态的胶着与向OFF状态的胶着进行诊断的处理。如果开关诊断处理442正常结束,作为通常处理,便进行处理1、处理2、处理3。进而,如果进行了一定期间的通常处理,就进行开关诊断处理443、444,如此这样地定期进行开关诊断处理。
开关诊断处理442~444中,如果检测到了总线开关的胶着故障,便作为异常结束,通知系统,避免了变为危险状态的状况。
通过采用以上的本发明的其他实施例,即使在总线开关胶着的情况下,也能够通过诊断来未然地检测出故障,因此能够提高总线系统的可靠性,减小了系统整体变为危险状况的可能性。
另外,这里通过2位的线路来表示开关诊断模式信号(swd)373,但也可以分别使用对诊断模式进行切换的信号与诊断用数据信号。
进而,这里示出了通过数据寄存器的写与读来检测出总线开关的故障的手段,但也可以使用特开2006-139634号公报中所公开的通信线路诊断装置的诊断通信线路,检测出总线开关的胶着故障。
接下来,对本发明中的总线系统中所使用的总线开关的构造进行说明。
图22为表示本发明的实施例中的总线开关中所使用的晶体管单元的构成例图。图22(A)中示出了作为总线开关使用MOS晶体管401的例子。该MOS开关401,根据控制信号402的值,决定是否将输入403向输出404传输,并将输入403与主控器或从控器相连接,将输出404与总线相连接而构成。
通过对控制信号102的值进行控制,使得在将总线开关设为了ON状态时,MOS开关变为ON,另外,在总线开关设为了OFF状态时,MOS开关变为OFF,从而能够实现总线开关。
图20(B)中示出了作为总线开关使用选择器105的例子。
该选择器405,根据控制信号406,决定将输入(A)407与输入(B)408中的其中一个传递给输出409,将输入(A)407与输入(B)408中的任一方与主控器或从控器相连接,将输出409与总线相连接而构成。
给没有与主控器相连接的一方的输入上加载高阻抗输入。并且以如下方式对控制信号406的值进行控制,即在将总线开关设为了ON状态时,选择与主控器相连接的输入,另外,在总线开关设为了OFF状态时,选择高阻抗输入,从而能够实现总线开关。
图22(C)中示出了,作为总线开关使用测试状态缓存450的例子。
该测试状态缓存450构成为,根据控制信号451的值,决定是将输入452的值输出到输出453,还是将高阻抗输出到输出453,将输入452与主控器或从控器相连接,将输出453与总线相连接。
以如下方式对控制信号451的值进行控制:即使得在将总线开关设为ON状态时将输入452的值输出给输出453,另外在总线开关设为OFF状态时将高阻抗输出给输出453。由此能够实现总线开关。
这样,由于能够使用一般广泛应用的通用晶体管单元作为总线开关,因此能够非常容易地且通过很少的成本来实现总线开关。
下面对本发明的总线系统的应用例进行说明。
图23为将本发明的总线系统应用于发电厂的方框结构图。发电厂410基本上由控制装置411根据来自控制终端412的指令进行控制。发电厂410与控制装置411通过I/O装置413相连接,另外,具有控制监视器414。控制装置411内,工厂控制部415、I/O控制部416、以及显示控制部417通过总线418相连接。
该发电厂410的基本动作是,根据来自控制终端412的指令,通过从工厂控制部415经总线418发送给I/O控制部416的I/O控制信号,起动I/O装置413,让发电厂410进行动作。因此,与显示控制部417相比,工厂控制部415与I/O控制部416的基本功能是进行发电厂410的控制。因此,总线418中流通的I/O控制信号要求高可靠性,是前述本发明中的优先级较高的第1数据。
另外,显示部417对总线418中流通的显示用数据进行监视,并将必要的信息显示到控制监视器414上。因此,与该监视器相关的信息对于作为对象的发电厂410来说,是前述的关于辅助功能的数据,对应于第2数据。
因此,在该发电厂410中应用本发明时,使工厂控制部415对应于图13中的主控器(A)301,使I/O控制部416对应于图13的从控器(A)303,使显示控制部417对应于图13的从控器(B)304,从而构成总线系统。图23中,对应于图13示出了开关控制部311、总线开关331、333、以及334。
该应用例中,例如在显示控制部417发生了故障的情况下,会发生控制监视器414的显示被打乱或显示消失。但是即使显示消失,应该也不会给发电厂410的动作本身带来影响,能够继续发电。至于监视器系统的故障,可以在注意到之后,让工厂停止时,更换显示控制部417或控制监视器414。
对发电厂410的控制信号的输出时,如图所示,让总线开关331、333接通,总线开关334断开。因此,不会发生因显示控制部417的异常导致总线418内的数据被打乱而不慎使I/O控制信号的值发生变化,从而能够进行正确的I/O控制,避免了发电厂变得无法控制这种最坏的情况,从而能够提高发电厂系统的可靠性。
图33为将本发明的总线系统应用于汽车系统的方框结构图。汽车420中,经车载网络421连接有对汽车420的行驶进行控制的各种各样的ECU(Electric Control Unit)。首先,对应于油门踏板422的踏入程度进行变化的加速信号,从油门I/O装置423传递给发动机ECU424,通过变更发动机转数来变更汽车420的速度。另外,因方向盘425的操作而变化的驾驶信号,从转向I/O装置426传递给转向ECU571、572,通过变更前轮581、582的方向,来变更汽车420的前进方向。进而,对应于制动器踏板429的踏入程度而进行变化的制动信号,从制动器I/O装置591传递给制动器ECU592~595,让汽车420减速/停止。
这里,在汽车420的情况下,与对发动机的指令相比,转向与制动的重要性较高。也即,对发动机的指令相当于本发明中的第2(通常)数据,转向与制动指令,对应于对象系统的安全动作维持所必需的第1数据传送。
因此,在制动器踏板429被踏入,发生了制动指令的期间内,开关控制部311对总线开关组进行控制,使其禁止来自油门踏板422的燃料喷射指令。也即,让关于制动器的总线开关611~615以及关于转向的总线开关621~623常时为ON,在制动器踏板429被踏入,产生了制动指令的期间内,让关于油门的总线开关631~632为OFF。
在发动机ECU424中发生了故障的情况下,即使加速信号(燃料喷射指令)的值变化,速度不慎变化的情况下,通过制动器踏板429的踏入,车辆也能够正确地停止,从而能够保证作为汽车系统的安全性。
即使因发动机ECU424的故障,而使得车载网络421中流入了非法数据,发生了扰乱的情况下,通过制动器踏板429的踏入,发动机ECU424也能够通过对应的总线开关432,如图所示,从车载网络421断开。因此,不会发生制动信号变化、制动器无法正确发挥效用、或转向信号发生变化而没有变为所希望的转向等情况,从而能够确保作为汽车系统的安全性。
图25为将本发明的总线系统应用于多功能移动电话的方框结构图。这里的多功能移动电话是具有音乐功能与电视功能的移动电话。这种情况下,由于是移动电话,因此判断通话功能与音乐功能以及电视功能相比重要度较高,采用让通话功能优先的总线系统结构。
移动电话430的内部结构是,经由通信总线431将通话处理部432、声音输入部433、音乐功能部434、以及电视功能部435相连接。
在作为移动电话的基本功能的通话时,通话处理部432与声音输入部433进行动作,开关控制部311将总线开关611、612设为ON,将其他的总线开关621、622设为OFF。该状态下,将从麦克风436所输入的声音变换成电波,通过天线437与基站传递给对方的电话。另外,接收从基站所发送的来自对方电话的电波并变换成声音,通过扬声器438输出给用户。
在使用移动电话的其他的辅助功能过程中,开关控制部311将所有的总线开关611、612、621、622都保持为ON。
首先,在音乐功能使用时,音乐功能部434动作,根据移动电话内所存储的音乐数据,从总线开关621通过通信总线431,再生喜爱的音乐并从头戴式耳机扬声器438输出。接下来,在使用电视功能时,电视功能部435动作,将从总线开关622通过通信总线431所接收到的电波变换成视频与声音,并从液晶监视器439与(头戴式耳机)扬声器438输出。
这里,即使音乐功能部434或电视功能部435发生了故障,影响最多也不过是声音或显示混乱,或无法听到声音的这种程度。
但如果因声音功能部434或电视功能部435的故障,导致非法数据流入到通信总线431中,就会影响到核心的通话功能,变得无法通话,从而有可能失去电话功能本身。因此,如图所示,在通话中将通话相关的总线开关611、612设为ON,同时将音乐功能部434与电视功能部435相关的总线开关621、622设为OFF,从而不会打乱通话功能。
本发明的总线系统,除了图23~25所示的发电厂、汽车或多功能移动电话之外,还能够在产业系统、火车等中所使用的控制装置或半导体集成电路等中广泛应用,能够提高应用系统的可靠性。
Claims (36)
1.一种线路诊断装置,其特征在于,
具有:
调停控制部,其在经由第2通信线路对关于控制对象的信息进行接收发送的装置中,经由第1通信线路对用来调停上述第2通信线路的使用权的信号进行发送接收;以及
诊断部,其对上述第1通信线路的信号进行监视,判断上述调停部的异常,
上述诊断部,在判断出上述调停部的异常的情况下,输出对上述第2通信线路的通信进行抑制的信号。
2.如权利要求1所述的线路诊断装置,其特征在于,
上述第1通信线路的至少一部分中含有并行传送,上述第2通信线路的至少一部分中含有串行传送。
3.如权利要求1所述的线路诊断装置,其特征在于,
上述异常判断,使上述第1通信线路的通信动作的监视与上述第2通信线路的通信动作的监视联动而进行。
4.如权利要求1所述的线路诊断装置,其特征在于,
在同时对多个通信装置许可了上述第2通信线路中的通信的情况下,将上述调停部判断为异常。
5.如权利要求4所述的线路诊断装置,其特征在于,
与中央运算存储装置之间进行经由上述第2通信线路对控制对象信息的发送接收,在判断出上述异常的情况下,对与来自上述中央运算存储装置的通信相关的动作的停止进行指示。
6.如权利要求1所述的线路诊断装置,其特征在于,
与中央运算存储装置之间进行经由上述第2通信线路对控制对象信息的发送接收,上述诊断部由与上述中央运算存储装置另体设置的硬件构成。
7.一种线路诊断装置,其特征在于,
具有:
连接装置,其经由第2通信线路从中央运算存储装置对控制对象和信息进行发送接收;
调停控制部,其在经由上述第2通信线路与通信控制装置之间发送接收数据,并经由至少一部分以串行传送方式与一台或多台通信控制装置相连接的第3通信线路与控制对象之间发送接收信息的控制装置中,对第2通信线路的使用权进行调停;
第1通信线路,其用来对线路使用请求与线路使用许可信号进行通信;
检测部,其具有与上述第1通信线路相连接的线路诊断装置,并对该第1通信线路与第2通信线路进行监视,检测出与调停控制部和第1通信线路相关联的信号的异常动作;以及
指示部,其在异常检测出后,经第2通信线路对第2通信线路的通信的停止进行指示。
8.如权利要求7所述的线路诊断装置,其特征在于,
具有:
总线开关,其经由上述第1通信线路,连接或不连接第2通信线路的路线;
调停控制部,其通过调停控制部输出对进行针对该总线开关的连接或不连接进行指令的信号,通过上述线路诊断装置监视上述第1通信线路,并对第2通信线路的连接、不连接进行指令;
对该输出信号的异常动作进行检测的机构;以及
停止指示部,其通过在异常检测后输出针对第2通信线路控制部的动作指示,而停止数据输出。
9.如权利要求7所述的线路诊断装置,其特征在于,
具有:
检测部,其对针对包括上述中央运算存储装置与上述通信控制装置的能够使用第2通信线路的各个装置而输出的、第1通信线路内使用许可信号的针对多个装置的同时输出进行监视,并与线路控制部所输出的表示安全数据传送中的安全动作信号的监视相联动,抑制数据传送的中断,检测出安全动作中的数据传送调停中因上述使用许可信号的同时输出而引起的异常动作;以及
停止指示部,其通过在异常检测后输出对第2通信线路控制部的动作指示,从而来停止数据输出。
10.如权利要求7所述的线路诊断装置,其特征在于,
具有:
检测部,其对输出给上述中央运算存储装置与能够使用上述第2通信线路的通信控制装置,以及经第2通信线路对控制对象进行控制的输入装置、输出装置的,成为对第1通信线路内的总线开关的连接或不连接指令的输出信号,以及第2通信线路内的传送目的地址信息进行监视,并与线路控制部所输出的表示安全数据传送中的安全动作信号的监视相联动,抑制数据传送的中断,并对安全动作中的数据传送调停中、成为针对上述总线开关的连接、不连接指令的输出信号与传送目的地址信息比较的不一致被检测到时的异常动作进行检测;以及
停止指示部,其通过在异常检测后输出对第2通信线路控制部的动作指示,来停止数据输出。
11.如权利要求7所述的线路诊断装置,其特征在于,具有:
检测部,其对输出给包括上述中央运算存储装置与上述的能够使用第2通信线路的各个装置的、第1通信线路内使用许可信号与第2通信线路内传送目的地址信息进行监视,并与线路控制部所输出的表示安全数据传送中的安全动作信号的监视相联动,在不中断数据传送的情况下,对安全动作中的数据传送调停中上述使用许可信号与传送目的地址信息的比较中的不一致被检测出时的异常动作进行检测;以及
停止指示部,其通过在异常检测后输出针对第2通信线路控制部的动作指示,来停止数据输出。
12.如权利要求7所述的线路诊断装置,其特征在于,具有:
检测部,其对调停控制部所输出的状态信号进行监视,并与线路控制部所输出的表示安全数据传送中的安全动作信号的监视相联动,在不中断数据传送的情况下,对安全动作中的数据传送调停中上述状态信号的状态迁移异常进行检测;以及
停止指示部,其通过在异常检测后输出针对第2通信线路控制部的动作指示,来停止数据输出。
13.如权利要求7所述的线路诊断装置,其特征在于,
具有:
测试执行部,其包含有由中央运算存储装置的微处理器所生成的、由将正常状态作为期待值的测试模式与将异常状态作为期待值的测试模式双方构成的、能够检测出异常模式情况下的异常动作的测试模式,并经第2通信线路写入到线路诊断装置内,根据来自上述微处理器μP的诊断测试指令,进行向测试电路的切换,并实施线路诊断装置内的监视部的测试;以及
报告执行部,其将该诊断测试结果存储到线路诊断装置内,从CPU经第2通信线路读出结果,并进行测试动作结束报告。
14.一种线路诊断方法,其特征在于,
经由第2通信线路发送接收关于控制对象的信息,经由第1通信线路发送接收用来调停上述第2通信线路的使用权的信号,对上述第1通信线路的信号进行监视,判断上述调停部的异常;在判断出上述调停部的异常的情况下,输出抑制上述第2通信线路的通信的信号。
15.一种线路诊断方法,其特征在于,
对为了调停第2通信线路的使用权而经由第1通信线路发送接收的信号进行监视,并基于上述监视对异常进行判断,在上述调停部判断为异常的情况下,输出抑制上述第2通信线路的通信的信号。
16.一种线路诊断程序,其特征在于,
在运算装置中,对为了调停第2通信线路的使用权而经由第1通信线路发送接收的信号进行监视,根据上述监视对异常进行判断,在上述调停部判断为异常的情况下,输出抑制上述第2通信线路的通信的信号。
17.一种总线系统,其中1个以上的主控器与多个从控器经由总线开关与总线相连接,并在上述主控器与上述从控器之间传送数据,其特征在于,
具有:
第1数据传送期间指定部,其备置在上述主控器中,对第1数据的传送期间进行指定;以及
开关控制部,其在指定了上述第1数据传送期间时,将与作为上述第1数据的传送对象的主控器和从控器相对应的上述总线开关分别设为ON状态,同时将与上述第1数据的传送对象以外的主控器和从控器相对应的上述总线开关分别设为OFF状态。
18.如权利要求17所述的总线系统,其特征在于,
上述第1数据的传送,是应当比此外的数据传送优先的数据传送。
19.如权利要求17所述的总线系统,其特征在于,
上述第1数据的传送,是对象系统的安全动作的维持所必需的数据传送。
20.如权利要求17所述的总线系统,其特征在于,
上述第1数据是关系到对象系统的基本功能的数据,此外的传送数据是关系到对象系统的辅助功能的数据。
21.如权利要求17所述的总线系统,其特征在于,
具有第1数据传送对象设定机构,其预先设定上述作为第1数据的传送对象的主控器与从控器。
22.如权利要求17所述的总线系统,其特征在于,
与存在上述第1数据的传送开始请求这一情况相对应,而指定上述第1数据传送期间。
23.如权利要求17所述的总线系统,其特征在于,
具有:
总线仲裁器,其对来自多个主控器的传送请求进行调停,并给予上述总线的使用许可;以及
对传送目的地的地址进行解码的地址解码器,
上述开关控制部,在上述第1数据传送期间中,分别将与作为发送源的主控器相对应的上述总线开关,以及与根据上述地址解码器的解码结果而成为上述第1数据的传送对象的从控器相对应的上述总线开关,设为ON状态,同时将与其他的主控器和从控器相对应的上述总线开关均设为OFF状态。
24.如权利要求17所述的总线系统,其特征在于,
上述开关控制机构,在上述第1数据传送期间指定部指定了上述第1数据的传送期间以外的期间中,将所有的上述总线开关都设为ON状态。
25.如权利要求17所述的总线系统,其特征在于,
具有:
数据寄存器,其分别设置在上述主控器与上述从控器内,能够进行数据的写入和读出;
开关诊断部,其对上述开关控制机构,输出对上述总线开关的诊断进行指示的诊断模式信号;
诊断模式寄存器,其设于所述开关诊断部内,并决定上述诊断模式及其以外;
寄存器访问部,其进行上述数据寄存器的写入和读出;以及
OFF胶着诊断部,其在上述诊断模式寄存器的内容是上述诊断模式的期间内,将所有的上述总线开关都设为ON状态,从上述寄存器访问部将数据写入到上述数据寄存器中之后再读出,并对该写入/读出数据的一致进行确认。
26.如权利要求17所述的总线系统,其特征在于,
具有:
数据寄存器,其分别设置在上述主控器与上述从控器内,能够进行数据的写入和读出;
开关诊断部,其对上述开关控制机构,输出指示上述总线开关的诊断的诊断模式信号;
诊断模式寄存器,其设于所述开关诊断部内,并决定上述诊断模式及其以外;
寄存器访问部,其进行上述数据寄存器的写入和读出;以及
ON胶着诊断部,其在上述诊断模式寄存器的内容是第2诊断模式的期间内,将所有的上述总线开关都设为OFF状态,从上述寄存器访问部将数据写入到上述数据寄存器中之后再读出,并对该写入/读出数据的不一致或不确定的数据读出这一事实进行确认。
27.如权利要求17所述的总线系统,其特征在于,
上述总线开关,由MOS开关、选择器、以及测试状态缓存器等晶体管单元构成。
28.一种总线系统,其中1个以上的主控器与多个从控器经由总线开关与总线相连接,并在上述主控器与上述从控器之间传送数据,其特征在于,
具有:
第1数据传送期间指定部,其设置在上述主控器中,对关系到对象系统的基本功能的第1数据的传送期间进行指定;以及
开关控制部,其在指定了上述第1数据传送期间时,将与作为上述第1数据的传送对象的主控器和从控器相对应的上述总线开关分别设为ON状态,同时将与作为关系到对象系统的辅助功能的第2数据的传送对象的主控器以及从控器相对应的上述总线开关分别设为OFF状态,同时,在没有指定上述第1数据传送期间时,将与所有的主控器和从控器相对应的上述总线开关分别设为ON状态。
29.一种发电厂的总线系统,其中具有:发电厂、用来控制该发电厂的发电厂控制部、经总线开关与该发电厂控制部相连接的总线、经总线开关与该总线相连接的I/O控制部、与该I/O控制部相连接并对上述发电厂进行控制的I/O装置、对上述发电厂的运转状况监视并显示的控制监视器、以及为了控制该控制监视器而经由总线开关与上述总线相连接的显示控制部,其特征在于,
备有:
控制数据传送期间指定部,其对与上述发电厂的运转控制相关的控制数据的传送期间进行指定;以及
开关控制部,其在被上述控制数据的传送期间指定时,将分别与作为上述控制数据的传送对象的上述工厂控制部及上述I/O控制部相对应的上述总线开关,设为ON状态,并将与上述发电厂的运转状况监视功能有关的数据的传送对象即与上述显示控制部相对应的上述总线开关,设为OFF状态,同时,在没有被上述控制数据传送期间指定时,将上述工厂控制部、上述I/O控制部、以及与上述显示控制部的全体相对应的上述总线开关分别设为ON状态。
30.一种汽车中所安装的总线系统,安装于具有汽车、控制该汽车的发动机的电子控制单元即发动机ECU、经由总线与该发动机ECU相连接的油门I/O装置、控制上述汽车的转向的转向ECU、为了控制该转向ECU而与上述总线相连接的转向I/O装置、控制上述汽车的制动器的制动器ECU、为了控制该制动器ECU而与上述总线相连接的制动器I/O装置、以及分别插入在上述各个ECU与上述各个I/O装置之间的总线开关的汽车中,其特征在于,
具有:
开关控制部,其在关系到上述制动器的控制数据的传送期间中,将分别与上述制动器I/O装置、上述制动器ECU、上述转向I/O装置以及上述转向ECU相对应的上述总线开关保持为ON状态,将与上述油门I/O装置和上述发动机ECU分别相对应的上述总线开关设为OFF状态,同时,在不传送制动器控制数据时,将与所有的上述ECU以及所有的上述I/O装置相对应的上述总线开关分别保持为ON状态。
31.一种移动电话机内的总线系统,安装于具有移动电话机、用来控制该移动电话机的通话的通话处理部、经由总线开关与该通话处理部相连接的通信总线、经由总线开关与该通信总线相连接并与上述移动电话机的麦克风相连接的声音输入部、经总线开关与上述移动电话机内的上述通信总线相连接并基于上述移动电话机内的存储媒体中所存储的音乐数据再生并输出音乐的音乐功能部、以及经总线开关与上述移动电话机内的上述通信总线相连接并向上述移动电话机的监视器部再生并输出从外部所接收到的电视图像的电视功能部的移动电话机,其特征在于,
具有开关控制部,其在与上述移动电话机的通话相关通话期间内,将上述通话处理部与上述声音输入部相对应的上述总线开关分别设为ON状态,并将与上述音乐功能部和上述电视功能部分别对应的上述总线开关设为OFF状态,同时,在上述通话期间以外的期间内,将与上述通话处理部、上述声音输入部、上述音乐功能部、以及上述电视功能部相对应的上述总线开关分别都保持于ON状态。
32.一种总线系统的控制方法,是1个以上的主控器与多个从控器经总线开关与总线相连接并在上述主控器与上述从控器之间传送数据的总线系统的控制方法,其特征在于,
具有:
指定第1数据的传送期间的步骤;以及
在指定了上述第1数据传送期间时,将与作为上述第1数据的传送对象的主控器和从控器相对应的上述总线开关分别设为ON状态,同时将与上述第1数据的传送对象以外的主控器和从控器相对应的上述总线开关分别设为OFF状态。
33.如权利要求32所述的总线系统的控制方法,其特征在于,
具有:与存在上述第1数据的传送开始请求这一事实相对应地开始上述第1数据传送期间的步骤。
34.如权利要求32所述的总线系统的控制方法,其特征在于,
上述第1数据,是比此外的传送数据优先传送的数据。
35.如权利要求32所述的总线系统的控制方法,其特征在于,
上述第1数据的传送,是对象系统的安全动作的维持所必需的数据传送。
36.如权利要求32所述的总线系统的控制方法,其特征在于,
上述第1数据是关系到对象系统的基本功能的数据,此外的传送数据是关系到对象系统的辅助功能的数据。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006180649 | 2006-06-30 | ||
| JP2006180649A JP2008009795A (ja) | 2006-06-30 | 2006-06-30 | 診断装置,回線診断方法及び回線診断プログラム |
| JP2006237710 | 2006-09-01 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2008101489912A Division CN101373385A (zh) | 2006-06-30 | 2007-07-02 | 诊断装置及方法、总线系统及其控制方法、线路诊断程序 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101135909A true CN101135909A (zh) | 2008-03-05 |
Family
ID=39067932
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007101273472A Pending CN101135909A (zh) | 2006-06-30 | 2007-07-02 | 诊断装置及方法、总线系统及其控制方法、线路诊断程序 |
| CNA2008101489912A Pending CN101373385A (zh) | 2006-06-30 | 2007-07-02 | 诊断装置及方法、总线系统及其控制方法、线路诊断程序 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2008101489912A Pending CN101373385A (zh) | 2006-06-30 | 2007-07-02 | 诊断装置及方法、总线系统及其控制方法、线路诊断程序 |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP2008009795A (zh) |
| CN (2) | CN101135909A (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102269970A (zh) * | 2010-06-07 | 2011-12-07 | 富士电机株式会社 | 安全控制系统 |
| CN103376799A (zh) * | 2012-04-17 | 2013-10-30 | 通用汽车环球科技运作有限责任公司 | 用于估计电动机控制电路中的电流以改进性能和诊断能力的系统和方法 |
| CN103842981A (zh) * | 2011-08-05 | 2014-06-04 | 罗伯特·博世有限公司 | 改善在具有灵活消息大小的串行数据传输中的数据传输安全性的方法和设备 |
| CN103891225A (zh) * | 2011-09-26 | 2014-06-25 | 株式会社爱霓威亚 | 传输线断线检测方法及该方法所使用的从站终端 |
| CN107656887A (zh) * | 2016-07-25 | 2018-02-02 | 中兴通讯股份有限公司 | 外设总线的控制装置及方法 |
| CN107651518A (zh) * | 2016-07-26 | 2018-02-02 | 株式会社日立制作所 | 电梯装置及电梯装置的远程监控系统 |
| CN110406525A (zh) * | 2019-06-28 | 2019-11-05 | 潍柴动力股份有限公司 | 油门踏板失效的控制方法及装置 |
| CN111376215A (zh) * | 2018-12-26 | 2020-07-07 | 株式会社牧田 | 电动作业机 |
| CN112513819A (zh) * | 2018-09-19 | 2021-03-16 | 日立汽车系统株式会社 | 电子控制装置 |
| CN112527704A (zh) * | 2019-09-19 | 2021-03-19 | 京瓷办公信息系统株式会社 | 图像形成装置和数据通信方法 |
| CN112698982A (zh) * | 2021-03-24 | 2021-04-23 | 中国航空油料集团有限公司 | 一种工业现场总线调度方法及装置 |
| CN114647225A (zh) * | 2020-12-18 | 2022-06-21 | 丰田自动车株式会社 | 信息收集装置、系统以及方法、记录有程序的记录介质 |
| CN114968077A (zh) * | 2021-02-18 | 2022-08-30 | 株式会社日立制作所 | 传送控制方法、传送控制系统 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5632804B2 (ja) * | 2011-08-08 | 2014-11-26 | オークマ株式会社 | バス診断機能を備えた制御装置 |
| CN104732138A (zh) * | 2014-12-31 | 2015-06-24 | 深圳市元征科技股份有限公司 | 一种诊断设备的升级方法及设备 |
| CN105741863B (zh) * | 2016-01-29 | 2018-06-29 | 广东欧珀移动通信有限公司 | 一种移动终端音频播放的方法和装置及移动终端 |
| US10173661B2 (en) * | 2016-11-23 | 2019-01-08 | GM Global Technology Operations LLC | Brake fade management system for a brake-by-wire system |
| CN106603120B (zh) * | 2016-12-21 | 2020-12-29 | 株洲中车时代电气股份有限公司 | 列车wtb通讯电缆检测装置的防干扰系统及其控制方法 |
| JP6785720B2 (ja) * | 2017-05-29 | 2020-11-18 | 日立オートモティブシステムズ株式会社 | 車両用制御装置及びプログラム書き換え方法 |
| JP7280874B2 (ja) * | 2018-06-01 | 2023-05-24 | ソニーセミコンダクタソリューションズ株式会社 | 固体撮像素子、撮像装置、および、固体撮像素子の制御方法 |
-
2006
- 2006-06-30 JP JP2006180649A patent/JP2008009795A/ja active Pending
-
2007
- 2007-07-02 CN CNA2007101273472A patent/CN101135909A/zh active Pending
- 2007-07-02 CN CNA2008101489912A patent/CN101373385A/zh active Pending
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102269970A (zh) * | 2010-06-07 | 2011-12-07 | 富士电机株式会社 | 安全控制系统 |
| CN102269970B (zh) * | 2010-06-07 | 2013-09-25 | 富士电机株式会社 | 安全控制系统 |
| CN103842981A (zh) * | 2011-08-05 | 2014-06-04 | 罗伯特·博世有限公司 | 改善在具有灵活消息大小的串行数据传输中的数据传输安全性的方法和设备 |
| US9361178B2 (en) | 2011-08-05 | 2016-06-07 | Robert Bosch Gmbh | Method and device for improving the data transmission security in a serial data transmission having flexible message size |
| CN103842981B (zh) * | 2011-08-05 | 2017-08-15 | 罗伯特·博世有限公司 | 总线系统中进行串行数据传输的方法和设备及方法的应用 |
| CN103891225A (zh) * | 2011-09-26 | 2014-06-25 | 株式会社爱霓威亚 | 传输线断线检测方法及该方法所使用的从站终端 |
| CN103891225B (zh) * | 2011-09-26 | 2016-10-12 | 株式会社爱霓威亚 | 传输线断线检测方法及该方法所使用的从站终端 |
| CN103376799A (zh) * | 2012-04-17 | 2013-10-30 | 通用汽车环球科技运作有限责任公司 | 用于估计电动机控制电路中的电流以改进性能和诊断能力的系统和方法 |
| CN103376799B (zh) * | 2012-04-17 | 2016-02-03 | 通用汽车环球科技运作有限责任公司 | 用于估计电动机控制电路中的电流以改进性能和诊断能力的系统和方法 |
| CN107656887A (zh) * | 2016-07-25 | 2018-02-02 | 中兴通讯股份有限公司 | 外设总线的控制装置及方法 |
| CN107651518A (zh) * | 2016-07-26 | 2018-02-02 | 株式会社日立制作所 | 电梯装置及电梯装置的远程监控系统 |
| CN107651518B (zh) * | 2016-07-26 | 2019-05-14 | 株式会社日立制作所 | 电梯装置及电梯装置的远程监控系统 |
| CN112513819A (zh) * | 2018-09-19 | 2021-03-16 | 日立汽车系统株式会社 | 电子控制装置 |
| CN111376215A (zh) * | 2018-12-26 | 2020-07-07 | 株式会社牧田 | 电动作业机 |
| CN111376215B (zh) * | 2018-12-26 | 2024-03-19 | 株式会社牧田 | 电动作业机 |
| CN110406525A (zh) * | 2019-06-28 | 2019-11-05 | 潍柴动力股份有限公司 | 油门踏板失效的控制方法及装置 |
| CN110406525B (zh) * | 2019-06-28 | 2021-07-20 | 潍柴动力股份有限公司 | 油门踏板失效的控制方法及装置 |
| CN112527704A (zh) * | 2019-09-19 | 2021-03-19 | 京瓷办公信息系统株式会社 | 图像形成装置和数据通信方法 |
| CN112527704B (zh) * | 2019-09-19 | 2024-01-30 | 京瓷办公信息系统株式会社 | 图像形成装置和数据通信方法 |
| CN114647225A (zh) * | 2020-12-18 | 2022-06-21 | 丰田自动车株式会社 | 信息收集装置、系统以及方法、记录有程序的记录介质 |
| CN114968077A (zh) * | 2021-02-18 | 2022-08-30 | 株式会社日立制作所 | 传送控制方法、传送控制系统 |
| CN112698982A (zh) * | 2021-03-24 | 2021-04-23 | 中国航空油料集团有限公司 | 一种工业现场总线调度方法及装置 |
| CN112698982B (zh) * | 2021-03-24 | 2021-06-29 | 中国航空油料集团有限公司 | 一种工业现场总线调度方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2008009795A (ja) | 2008-01-17 |
| CN101373385A (zh) | 2009-02-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101135909A (zh) | 诊断装置及方法、总线系统及其控制方法、线路诊断程序 | |
| US20080046603A1 (en) | Line Diagnostic Device, Bus System, Line Diagnostic Method, Bus System Control Method, and Line Diagnostic Program | |
| JP3750693B2 (ja) | 接続装置 | |
| US20110043323A1 (en) | Fault monitoring circuit, semiconductor integrated circuit, and faulty part locating method | |
| US20200142795A1 (en) | Semiconductor device, semiconductor systems and test-control methods | |
| CN111971934B (zh) | 网关装置 | |
| CN115357926B (zh) | 基于SoC芯片的AXI总线协议访问权限控制方法及装置 | |
| JP2020195035A (ja) | 通信システム、および通信制御方法 | |
| WO2015083251A1 (ja) | 監視装置、制御システム及び監視プログラム | |
| EP2047641A1 (en) | Distributed communication system and corresponding communication method | |
| US20240178875A1 (en) | Can transceiver and method for the can transceiver | |
| CN1897009B (zh) | 输入输出控制装置、输入输出控制方法、过程控制装置以及过程控制方法 | |
| US20130096696A1 (en) | Method for operation of a control network, and a control network | |
| WO2021111639A1 (ja) | コントローラ | |
| CN100505668C (zh) | 在基于时分多址的网络节点中的差错检测和抑制 | |
| JP2008059448A (ja) | バスシステムおよびバスシステム制御方法 | |
| JP2009217435A (ja) | 制御方法、情報処理装置及びストレージシステム | |
| CN107210937A (zh) | 在数据总线中的总线监控器 | |
| JPH06259343A (ja) | 多重バス制御方式及びそれを用いたシステム | |
| KR101576848B1 (ko) | 에러 상태 신호를 출력하기 위한 에러 신호 처리 유닛, 장치 및 방법 | |
| US9509633B2 (en) | Multi-switching device and multi-switching method thereof | |
| JP7522301B2 (ja) | 車載制御装置 | |
| WO2015040454A1 (en) | Electronic device having multiplexed input/output terminals | |
| JP4788004B2 (ja) | 情報処理装置、pciバス制御方法、およびpciバス制御プログラム | |
| WO2014118985A1 (ja) | バスモジュール及びバスシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20080305 |