【0001】[0001]
【産業上の利用分野】本発明は電力変換器や電動機など
を制御する上で複数のマイクロコンピュータ(以降は、
マイコンと略す)を用いてディジタル制御される制御装
置において、一個のマイコンが故障した場合においても
制御を続行し、システムを無停止に連続して運転するに
好適なマルチマイクロコンピュータシステムに関するも
のである。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to controlling a power converter, an electric motor, etc.
The present invention relates to a multi-microcomputer system suitable for continuously controlling the system in a control device which is digitally controlled by using a microcomputer (abbreviated as "microcomputer") even if one microcomputer fails. .
【0002】[0002]
【従来の技術】従来より、複数のマイコンを用いたマル
チマイコン制御装置は数多く発表されている。それらの
中で、複数のマイコン間をむすぶ共有メモリなど共有部
品をアクセスするための共有バスと、各マイコンに個有
の部品をアクセスするための個別バスの、2つのバスを
有する構成で実現している例として特開昭56−145450号
や特開昭61−26169 号などがある。2. Description of the Related Art Conventionally, many multi-microcomputer control devices using a plurality of microcomputers have been announced. Among them, it is realized with a configuration having two buses, a shared bus for accessing shared components such as shared memory between multiple microcomputers, and an individual bus for accessing individual components unique to each microcomputer. Examples of such methods include JP-A-56-145450 and JP-A-61-26169.
【0003】[0003]
【発明が解決しようとする課題】上記従来技術において
は、共有バスには各マイコン間の情報通信のための共有
メモリといった共有部品が接続され、各マイコン毎の個
別バスには制御対象を制御するための周辺入出力回路を
接続する制御装置の構成が実現できる。しかしながら、
ある一つのマイコンが故障した場合には、そのマイコン
の処理を引き継ぐ工夫がなされておらず制御を中断しな
ければならない。つまり、システムを停止しなければな
らない。逆に、マイコンの故障時にも制御を続行させる
ためにマイコンを多重化する方法があるが、この場合は
マイコンのみならず周辺入出力回路をも多重化する必要
があり、制御装置の規模が大きくなってしまう問題があ
る。本発明の目的は、マルチマイクロコンピュータシス
テムにおいて、マイコンあるいは周辺回路に故障が生じ
た場合にも制御処理を続行可能にして冗長性の向上を図
るとともに、それをマイコンや周辺入出力回路などのハ
ードウェアを必要最小限の構成で実現することにある。In the above prior art, a shared component such as a shared memory for information communication between the microcomputers is connected to the shared bus, and a control target is controlled on an individual bus for each microcomputer. The configuration of the control device for connecting the peripheral input / output circuit can be realized. However,
When a certain microcomputer fails, control is interrupted because no measures are taken to take over the processing of that microcomputer. That is, the system must be stopped. On the contrary, there is a method to multiplex the microcomputer in order to continue control even if the microcomputer fails, but in this case it is necessary to multiplex not only the microcomputer but also the peripheral input / output circuits, and the scale of the control device is large. There is a problem that becomes. An object of the present invention is to improve the redundancy by enabling control processing to continue even when a failure occurs in a microcomputer or peripheral circuits in a multi-microcomputer system, and to improve the redundancy of the microcomputer and peripheral input / output circuits. Ware with a minimum required configuration.
【0004】[0004]
【課題を解決するための手段】上記目的を達成するため
に、目的の制御処理を複数のマイコンで処理分担し、し
かも、各マイコンが制御処理に必要な周辺入出力インタ
フェース(I/O)回路は、各々のマイコンが独自に持
つ個別バスに専有するもので、マイコンが故障した場合
にその処理を引き継ぐためには、故障したマイコンが個
別バスに専有するI/Oをもアクセスする必要がある。
そのために、各マイコンの個別バスをバッファ回路によ
り接続し、バックアップするマイコンからI/Oをアク
セスできるようにしたものである。In order to achieve the above-mentioned object, a target control process is shared by a plurality of microcomputers, and each microcomputer has a peripheral input / output interface (I / O) circuit necessary for the control process. Is dedicated to the individual bus that each microcomputer has independently, and in order to take over the processing when the microcomputer fails, it is also necessary to access the I / O dedicated to the individual bus of the failed microcomputer. .
For that purpose, the individual buses of the respective microcomputers are connected by a buffer circuit so that the I / O can be accessed from the backup microcomputer.
【0005】また、故障マイコンの処理を継続して処理
するためには、その演算処理に用いているワークデータ
を引き継ぐ必要がある。そのために、各マイコンはサン
プリング毎の演算処理終了ごとに必要なデータを共有バ
スに接続された共有メモリに格納しておき、マイコンが
故障した場合にはバックアップするマイコンが、共通メ
モリより故障マイコンのワークデータを読み取ること
で、引継ぎ時間が短く制御処理を続行できるようにした
ものである。Further, in order to continue the processing of the failed microcomputer, it is necessary to take over the work data used for the arithmetic processing. For this purpose, each microcomputer stores the necessary data at the end of each sampling operation in a shared memory connected to the shared bus, and if the microcomputer fails, the microcomputer that backs up the data is By reading the work data, the control process can be continued with a short transfer time.
【0006】また、制御に用いるマイコンは所定サンプ
リング周期ごとに必要な演算を実行しなければならない
が、故障したマイコンの処理を引き継いだ場合には処理
が増えて実行時間が長くなる。その場合にも処理時間が
サンプリング周期を越えないように、処理を引き継いだ
マイコンのサンプリング周期を長くしたものである。ま
た、故障検出回路によりマイコンの故障を検出したとき
には、他のマイコンやバッファ回路に通知し、更に、故
障したマイコンを停止状態にすると共に共通バスや個別
バスとのバッファ回路をハイインピーダンス状態にする
ことにより、マイコンと各バスを分離し故障マイコンの
異常信号などを外部に出力させないようにしたものであ
る。Further, the microcomputer used for control has to execute a necessary calculation at every predetermined sampling cycle, but if the processing of the defective microcomputer is taken over, the processing increases and the execution time becomes long. Even in that case, the sampling cycle of the microcomputer that has taken over the processing is lengthened so that the processing time does not exceed the sampling cycle. Also, when a failure of the microcomputer is detected by the failure detection circuit, it notifies other microcomputers and the buffer circuit, and also puts the failed microcomputer into the stopped state and puts the buffer circuit with the common bus or the individual bus into the high impedance state As a result, the microcomputer and each bus are separated so that the abnormal signal of the failed microcomputer is not output to the outside.
【0007】また、各マイコンの個別バスを接続するバ
ッファ回路を各々の個別バスごとに設け、それらを並列
に接続することにより、複数のマイコン(3以上)シス
テムにおいても、任意のマイコン故障の場合においても
継続処理が実現できるようにしたものでる。Further, by providing a buffer circuit for connecting the individual buses of the respective microcomputers to each individual bus and connecting them in parallel, even in the case of a plurality of microcomputers (3 or more) system, in the case of any microcomputer failure. In the above, continuous processing can be realized.
【0008】また、複数のマイコンで処理分担するシス
テムにおいて、特にマイコンの故障がシステムに与える
影響の大きい処理を負担するマイコンの個別バスに、バ
ッファ回路を設けバックアップできる構成にすること
で、マイコンの故障がシステムにおよぼす影響を最小限
に抑えるようにしたものである。Further, in a system in which a plurality of microcomputers share the processing, a buffer circuit is provided on the individual bus of the microcomputer that bears the processing, which is particularly affected by the failure of the microcomputer, so that the microcomputer can be backed up. It is designed to minimize the effect of a failure on the system.
【0009】[0009]
【作用】マイコンにより対象機器を制御するためには、
対象機器の各種状態量の入力と、対象機器を駆動するた
めの信号を出力する必要がある。これら入出力信号のた
めのI/O回路を複数のマイコンが共通してアクセスで
きる共有バスに接続した場合には、バス競合の頻度が多
くなり処理速度の低下を招くことになる。この対策の1
つとして共有バスの他に各マイコンに固有の個別バスを
設け、I/O回路を個別バスに接続してバス競合を低減
する方法がある。しかしながら、I/O回路は各マイコ
ンに専有されるため、他のマイコンからアクセスできな
くなる。そこで、各マイコンの個別バスをスイッチ機能
を有するバッファ回路で接続する。このバッファ回路は
マイコンが正常な時には非動作状態にあり、双方のバス
が分離された状態になるため双方のマイコンからアクセ
ス出来ない構成になっている。また、マイコンが故障し
たときにバッファ回路を動作させ、双方のバスを接続状
態にすることで、正常のマイコンから故障したマイコン
のI/O回路をアクセスできるようにするため制御処理
を続行できる。[Operation] In order to control the target device by the microcomputer,
It is necessary to input various state quantities of the target device and output a signal for driving the target device. When the I / O circuits for these input / output signals are connected to a shared bus that a plurality of microcomputers can commonly access, the frequency of bus competition increases and the processing speed decreases. 1 of this measure
One method is to provide an individual bus unique to each microcomputer in addition to the shared bus and connect the I / O circuit to the individual bus to reduce bus contention. However, since the I / O circuit is dedicated to each microcomputer, it cannot be accessed from other microcomputers. Therefore, the individual buses of each microcomputer are connected by a buffer circuit having a switch function. This buffer circuit is in a non-operating state when the microcomputer is normal and both buses are in a separated state, so that it cannot be accessed from both microcomputers. Further, when the microcomputer fails, the buffer circuit is operated and both buses are connected so that the normal microcomputer can access the I / O circuit of the failed microcomputer so that the control process can be continued.
【0010】また、各マイコンは演算処理終了ごとに演
算に必要なデータを共有メモリに格納しておくことで、
常に最新の情報を記憶しておくことができ、マイコン故
障にもバックアップするマイコンが、共通メモリより故
障マイコンの最新情報を得ることができるため、制御処
理の連続性が確保できる。Further, each microcomputer stores the data necessary for the calculation in the shared memory each time the calculation processing is completed,
Since the latest information can be always stored and the microcomputer that backs up even when the microcomputer fails, the latest information of the failed microcomputer can be obtained from the common memory, so continuity of control processing can be ensured.
【0011】また、機器の制御にはサンプリング制御さ
れるものが殆どで、所定演算はサンプリング期間内に完
了しなければならない。しかし、故障したマイコンの処
理を引き継いだ場合には処理が増えて実行時間が長くな
り、処理時間がサンプリング周期を越えた時には正常な
制御は実現できない。そのため、処理を引き継いだマイ
コンのサンプリング周期を増加した処理時間より長く設
定しなおすことで、対象機器を安定に制御できる。Most of the devices are controlled by sampling, and the predetermined calculation must be completed within the sampling period. However, when the processing of the faulty microcomputer is taken over, the processing increases and the execution time becomes long, and when the processing time exceeds the sampling cycle, normal control cannot be realized. Therefore, the target device can be stably controlled by resetting the sampling period of the microcomputer that has taken over the processing longer than the increased processing time.
【0012】また、マイコンは暴走をはじめとする各種
故障が発生したときには、どういう動作をするか予期で
きない。従って、故障を検出した場合には故障したマイ
コンを停止状態にすると共に、共通バスや個別バスをバ
ッファ回路により分離し異常信号が外部に出力されるこ
とを禁止することで、処理をバックアップするマイコン
が正常に各バスをアクセスでき、制御処理の継続運転が
できる。Further, the microcomputer cannot predict what kind of operation will occur when various failures such as runaway occur. Therefore, when a failure is detected, the microcomputer that has failed is placed in a stopped state, and the common bus and individual buses are separated by a buffer circuit to prohibit the output of an abnormal signal to the microcomputer that backs up the processing. Can access each bus normally and can continue the control process.
【0013】また、制御対象が大きくなったときにはマ
イコンの数が3以上になることがある。このような場合
には、各マイコンの個別バスごとに設けたバッファ回路
を並列に接続することで、任意のマイコンが故障した場
合にも、所定の2つのバッファ回路を閉じることにより
故障マイコンの個別バスをアクセスでき、継続処理が実
現できる。Further, when the controlled object becomes large, the number of microcomputers may become three or more. In such a case, by connecting the buffer circuits provided for each individual bus of each microcomputer in parallel, even if any microcomputer fails, by closing the two predetermined buffer circuits, the individual failed microcomputers can be closed. The bus can be accessed and continuous processing can be realized.
【0014】また、複数のマイコンの処理分担において
は監視や保護・診断など、直接的に制御に関与しないマ
イコンの処理がある。これらのマイコンが故障したとし
ても対象機器に与える影響はない。従って、マイコンの
故障がシステムに与える影響の大きい処理、つまり、制
御処理を分担するマイコンの個別バスに、バッファ回路
を設けバックアップできる構成にすることで、最小限の
構成でマイコンの故障がシステムにおよぼす影響を最小
限に抑ることができる。Further, in the processing sharing of a plurality of microcomputers, there are processings of the microcomputers that are not directly involved in control such as monitoring, protection and diagnosis. Even if one of these microcomputers fails, it will not affect the target device. Therefore, by providing a buffer circuit on the individual bus of the microcomputer that is responsible for the processing that has a large impact on the system due to the failure of the microcomputer, that is, the control processing, it is possible to back up the system to the failure of the microcomputer with the minimum configuration. The influence exerted can be suppressed to a minimum.
【0015】[0015]
【実施例】以下、本発明におけるマルチマイコンシステ
ムの一実施例を図1により説明する。図1は2つのマイ
コン1,2により所定の制御処理を分担するものであ
る。各マイコン1,2間に必要なデータの転送は、共有
バス4で結合された共有メモリ6をアクセスすることで
行なわれる。なお、この場合には図示していないが共有
バス4での競合が発生しないような調停回路が、マイコ
ン1,2あるいは共有メモリ6に含まれている。マイコ
ン1,2は各々の制御処理に必要な入出力回路(I/
O)12a〜12n及び22a〜22nを、各々の個別
バス11,21に専有してアクセスし入出力データの送
受信を行う。つまり、上述の構成が目的とする対象を制
御するための最小限の構成である。また、バッファ5は
スイッチ機能を有するもので、マイコン1,2が正常に
運転されている時には、そのバッファのスイッチを開き
双方の個別バス11,21を切り離した状態にし、各々
が独立して制御処理を実行している。このような制御装
置において、一方のマイコンが故障した場合にはバッフ
ァ5のスイッチ機能を閉じることで各個別バスを一体化
するものである。つまり、他方の正常なマイコンから故
障したマイコンの個別バスをアクセスし、制御に必要な
入出力データを送受信できる。従って、正常なマイコン
が故障マイコンの持つI/Oをアクセスし制御処理を実
行できるため、一方のマイコン故障時にも他方の正常な
マイコンが処理を引き継ぐことが可能となり制御を続行
できる。DESCRIPTION OF THE PREFERRED EMBODIMENTS An embodiment of a multi-microcomputer system according to the present invention will be described below with reference to FIG. In FIG. 1, a predetermined control process is shared by the two microcomputers 1 and 2. The necessary data transfer between the microcomputers 1 and 2 is performed by accessing the shared memory 6 connected by the shared bus 4. In this case, although not shown, an arbitration circuit that does not cause contention on the shared bus 4 is included in the microcomputers 1 and 2 or the shared memory 6. The microcomputers 1 and 2 are input / output circuits (I / I) required for each control processing.
O) 12a to 12n and 22a to 22n are exclusively used for access to the individual buses 11 and 21 to transmit / receive input / output data. That is, the above-mentioned configuration is the minimum configuration for controlling the target object. Further, the buffer 5 has a switch function, and when the microcomputers 1 and 2 are operating normally, the switch of the buffer is opened and both the individual buses 11 and 21 are disconnected, and each is independently controlled. Processing is being performed. In such a control device, when one microcomputer fails, the switch function of the buffer 5 is closed to integrate the individual buses. In other words, the other normal microcomputer can access the individual bus of the failed microcomputer and transmit / receive the input / output data required for control. Therefore, since the normal microcomputer can access the I / O of the faulty microcomputer and execute the control process, even when one of the microcomputers fails, the other normal microcomputer can take over the process and control can be continued.
【0016】図2は図1のシステムの構成においてマイ
コンが処理するフローチャートを示す。なお、マイコン
により制御系を実現する場合は、通常サンプリング制御
が行われる。図2はマイコン1のサンプリング毎の処理
を示すものである。まず、サンプリング周期を決める割
込み処理の最初のステップ200において、マイコン1
が分担する制御処理を実行する。次に、ステップ201
においてマイコン1が故障したときのために、ステップ
200で用いたワークデータを共有メモリ6の所定エリ
アに格納する。その後、ステップ202で相手側のマイ
コン2が既に故障しているか否かを調べるため、メモリ
内に格納されている故障フラグの状態を判定する。ステ
ップ202で故障フラグがセットされていないときは、
ステップ203に移りマイコン2からの故障検出信号が
入力されているかを判定する。もし、ステップ203で
マイコン2からの故障信号が入力されていなければ、そ
のまま割込み処理を終了する。一方ステップ203でマ
イコン2からの故障信号が入力されていた場合は、ステ
ップ204からマイコン2の処理を引き継ぐ為の故障検
出直後の処理に移る。まず、ステップ204において以
後の割込み処理で、既にマイコン2が故障していること
を記憶するため故障フラグをセットする。次にマイコン
2の処理が増え、サンプリング周期内に処理が終了しな
いことを防ぐため、ステップ205においてマイコン1
のサンプリング周期を変更する。ステップ206ではマ
イコン2の演算を引き継ぐために、それまで共有メモリ
に格納されていたマイコン2のワークデータを取り込
み、ステップ207でマイコン2が分担すべき演算を実
行する。また、故障したマイコン2が復旧した場合に
も、処理を連続して戻すことができるように、ステップ
208でマイコン2の演算ワークデータを共有メモリに
格納する。なお、図2ではマイコン1の処理についての
み述べたが、マイコン2も同様な処理が行われることは
明らかである。FIG. 2 shows a flow chart for processing by the microcomputer in the system configuration of FIG. When a control system is realized by a microcomputer, normal sampling control is performed. FIG. 2 shows the processing for each sampling of the microcomputer 1. First, in the first step 200 of interrupt processing that determines the sampling period, the microcomputer 1
Executes the control process shared by. Next, step 201
At step 200, the work data used in step 200 is stored in a predetermined area of the shared memory 6 in case the microcomputer 1 fails. After that, in step 202, the state of the failure flag stored in the memory is determined in order to check whether or not the partner microcomputer 2 has already failed. If the failure flag is not set in step 202,
In step 203, it is determined whether the failure detection signal from the microcomputer 2 is input. If the failure signal from the microcomputer 2 is not input in step 203, the interrupt processing is ended as it is. On the other hand, if the failure signal from the microcomputer 2 is input in step 203, the processing immediately after the failure detection for taking over the processing of the microcomputer 2 is started from step 204. First, in step 204, a failure flag is set to store that the microcomputer 2 has already failed in the subsequent interrupt processing. Next, in order to prevent the processing of the microcomputer 2 from increasing and the processing not ending within the sampling period, in step 205, the microcomputer 1
Change the sampling cycle of. In step 206, the work data of the microcomputer 2 stored in the shared memory until then is taken in order to take over the operation of the microcomputer 2, and in step 207, the operation to be shared by the microcomputer 2 is executed. Further, in step 208, the calculation work data of the microcomputer 2 is stored in the shared memory so that the process can be continuously returned even when the failed microcomputer 2 is recovered. Although only the processing of the microcomputer 1 is described in FIG. 2, it is clear that the microcomputer 2 also performs the same processing.
【0017】次にバッファ5の具体的一例を図3を用い
て説明する。I/Oから各マイコンへのアクノレッジ信
号など、マイコンの入力信号である制御信号バス1と、
マイコンからの出力信号である制御信号バス2とアドレ
スバス、及び入出力信号であるデータバスは、各々3ス
テートバッファ50,51,52を介して各マイコンの
個別バスに接続されている。しかし、各マイコンの故障
検出信号AB1とAB2はバッファを介さずに直接接続さ
れている。この故障検出信号AB1,AB2は通常はロ
ーレベルであり、故障を検出するとハイレベルになるも
のである。従って、マイコンが正常時にはバッファ50
〜52は非導通状態となっている。いま、マイコン2が
故障したとすると故障検出信号AB2がハイレベルとな
り、バッファ50と51はマイコン1の信号のみが有効
となるよう1方向のみ導通状態となる。また、データバ
スは双方向信号であるため、故障検出信号AB2とマイ
コン1のリード/ライト(R/W)信号から、論理回路
53〜58により信号方向に応じてバッファ52を導通
状態にする。このようにすることで、マイコン2が故障
したときには、マイコン1からマイコン2の個別バスを
介してマイコン2のI/Oをアクセスできる。なお、マ
イコン1が故障した場合にも同様に、マイコン2からマ
イコン1の個別バスをアクセスできるようになる。ま
た、各故障信号は直接相手側のマイコンに入力されるた
め、相手側マイコンの故障を知ることができ、故障した
マイコンの処理を引き継ぐことが可能となる。Next, a concrete example of the buffer 5 will be described with reference to FIG. A control signal bus 1 which is an input signal of the microcomputer, such as an acknowledge signal from the I / O to each microcomputer,
The control signal bus 2 and the address bus, which are output signals from the microcomputer, and the data bus, which is an input / output signal, are connected to the individual buses of the respective microcomputers via three-state buffers 50, 51 and 52, respectively. However, the failure detection signals AB1 and AB2 of each microcomputer are directly connected without a buffer. The failure detection signals AB1 and AB2 are normally at a low level, and become high when a failure is detected. Therefore, when the microcomputer is normal, the buffer 50
~ 52 are in a non-conductive state. Now, if the microcomputer 2 fails, the failure detection signal AB2 becomes high level, and the buffers 50 and 51 are conductive only in one direction so that only the signal of the microcomputer 1 is valid. Since the data bus is a bidirectional signal, the logic circuits 53 to 58 make the buffer 52 conductive according to the signal direction from the failure detection signal AB2 and the read / write (R / W) signal of the microcomputer 1. By doing so, when the microcomputer 2 fails, the I / O of the microcomputer 2 can be accessed from the microcomputer 1 via the individual bus of the microcomputer 2. If the microcomputer 1 fails, the individual bus of the microcomputer 1 can be accessed from the microcomputer 2 in the same manner. Further, since each failure signal is directly input to the partner microcomputer, it is possible to know the failure of the partner microcomputer and to take over the processing of the failed microcomputer.
【0018】次に、マイコン1の具体的一例を図4に示
す(マイコン2も同様である)。マイコン1には演算部
であるCPU100と、プログラムやワークデータを格
納するメモリやその他の周辺素子を有するメモリ部10
1、及びインタフェースタイミングを生成するタイミン
グ制御部102を有する。CPU100はバッファ10
5,106を介して共有バス及び個別バスをアクセス
し、所定の制御演算を実行する。バス制御部104は論
理回路を中心として構成され、タイミング制御部102
などからの信号をもとに、バッファ105,106をコ
ントロールする。故障検出部104はCPU100の暴
走や、メモリ異常をはじめとする各種の故障を検出する
と、故障検出信号AB1を出力しCPU1を停止すると
共にバッファ105を経由して個別バスに出力する。ま
た、バス制御部104は故障検出信号AB1を受けると
バッファ105,106をハイインピーダンス状態にす
ることで、共有バスと個別バスから分離する。但し、故
障検出信号AB1,AB2はこのかぎりでない。また、
マイコン2からの故障検出信号AB2は、ラッチ回路1
07により保持されるため正確にCPU100へ伝送さ
れる。Next, a concrete example of the microcomputer 1 is shown in FIG. 4 (the same applies to the microcomputer 2). The microcomputer 1 includes a CPU 100, which is an arithmetic unit, and a memory unit 10 having a memory for storing programs and work data and other peripheral elements.
1 and a timing control unit 102 that generates interface timing. CPU 100 is buffer 10
The shared bus and the individual bus are accessed via 5, 106 to execute a predetermined control operation. The bus control unit 104 is mainly composed of a logic circuit, and the timing control unit 102 is provided.
The buffers 105 and 106 are controlled based on signals from the above. When the failure detection unit 104 detects a runaway of the CPU 100 or various failures such as memory abnormality, it outputs a failure detection signal AB1 to stop the CPU1 and outputs it to the individual bus via the buffer 105. When the bus control unit 104 receives the failure detection signal AB1, it puts the buffers 105 and 106 into a high impedance state, thereby separating the shared bus from the individual buses. However, the failure detection signals AB1 and AB2 are not limited to this. Also,
The failure detection signal AB2 from the microcomputer 2 is sent to the latch circuit 1
Since it is held by 07, it is accurately transmitted to the CPU 100.
【0019】本実施例によれば、マイコン故障時のバス
結合の切り替えをハードウェアで自動的に行わせること
が出来るため、処理の引継ぎにおいてソフトウェアへの
負担を軽減できるという効果がある。また、マイコンが
故障したときにマイコンとバスを切り離した状態にする
ことで、故障マイコンの異常信号をバスに出力すること
がないため、正常なマイコンが自由に故障側のバスを利
用できると共に、故障マイコンのメンテナンスを容易に
できるという効果がある。また、故障したマイコンの処
理を引き継いだ正常なマイコンは、処理が増えてもサン
プリング周期を変更するため、マイコンの負荷率を適正
にでき安定な状態に運転出来るという効果がある。更
に、相手側マイコンの故障検出信号を、マイコン内部に
保持しているため、オンラインメンテナンスなどで修復
を行った場合にも、正しくに伝えることが出来るという
効果がある。According to this embodiment, since the bus connection can be automatically switched by hardware when the microcomputer fails, there is an effect that the load on the software can be reduced when the processing is taken over. In addition, by disconnecting the bus from the microcomputer when the microcomputer fails, the abnormal signal of the failed microcomputer is not output to the bus, so a normal microcomputer can freely use the bus on the failed side, This has the effect of facilitating maintenance of the failed microcomputer. Further, a normal microcomputer that succeeds the processing of the failed microcomputer changes the sampling cycle even if the number of processing increases, so that there is an effect that the load factor of the microcomputer can be made appropriate and can be operated in a stable state. Further, since the failure detection signal of the partner microcomputer is held inside the microcomputer, there is an effect that it can be correctly transmitted even when repaired by online maintenance or the like.
【0020】次に、本発明における他の実施例を図5に
示す。なお、図1と同一記号のブロックは同一機能を有
するものである。各マイコン接続されたバッファ7−1
〜7−3の構成は、基本的に図3と同構成で実現される
もので、各々一方のポートを個別バス11,21,31
に接続し、他の一方のポートを並列に接続している。し
かしながら、故障検出信号は並列には接続せずに、処理
を引き継ぐマイコンのバッファにのみ入力されるもので
ある。つまり、故障検出信号は複数のバッファにまたが
りリング状に結線される。従って、各マイコンが正常に
動作しているときには、バッファ7−1〜7−3は全て
ハイインピーダンスになっており、個別バス11,2
1,31は分離されている。例えば、マイコン1が故障
しマイコン2が処理を引き継ぐ場合は、個別バス11,
21に接続された2つのバッファ7−1,7−2が動作
し、マイコン2がマイコン1のI/Oをアクセスする。
つまり、図3と同様なバッファが直列に接続された状態
になり、信号方向も所定の方向になる。従って、以後の
処理内容及び処理の引継ぎ方法は、上記の図1から図4
に示した実施例と同様である。Next, another embodiment of the present invention is shown in FIG. Blocks having the same symbols as in FIG. 1 have the same functions. Buffer 7-1 connected to each microcomputer
The configuration of 7-3 is basically realized by the same configuration as that of FIG. 3, and one of the ports is connected to the individual buses 11, 21 and 31.
, And the other port is connected in parallel. However, the failure detection signal is not connected in parallel, but is input only to the buffer of the microcomputer that takes over the processing. That is, the failure detection signal is connected in a ring shape across a plurality of buffers. Therefore, when each microcomputer is operating normally, the buffers 7-1 to 7-3 are all in high impedance, and the individual buses 11 and
1, 31 are separated. For example, when the microcomputer 1 fails and the microcomputer 2 takes over the processing, the individual bus 11,
Two buffers 7-1 and 7-2 connected to 21 operate, and the microcomputer 2 accesses the I / O of the microcomputer 1.
That is, the same buffers as those in FIG. 3 are connected in series, and the signal direction also becomes the predetermined direction. Therefore, the subsequent processing contents and the method of taking over the processing will be described with reference to FIGS.
It is similar to the embodiment shown in FIG.
【0021】本実施例によれば、マルチマイコンシステ
ムにおいてマイコンの増設を行った場合においても、同
じバッファ回路を各マイコンの個別バスに接続するだけ
で、マイコン故障に対するバックアップ処理が出来るた
め、システムの拡張が簡単に実現できるという効果があ
る。According to the present embodiment, even when the number of microcomputers is increased in the multi-microcomputer system, the same buffer circuit can be connected to the individual bus of each microcomputer to carry out the backup process for the microcomputer failure. The effect is that expansion can be realized easily.
【0022】次に、本発明における他の実施例を図6に
示す。なお、図5と同一記号のブロックは同一機能を有
するものである。本実施例は図5に示す一実施例に対し
て、特にマイコンの故障が制御対象機器に影響を与える
処理を実行するマイコンの個別バスにのみ、バッファ回
路7−1,7−2を設けてバックアップを可能にしたも
のである。つまり、制御装置内には制御処理を実行する
マイコンと、保護や診断などを実行するマイコンなどが
ある。本実施例ではマイコン1,2が制御演算を分担実
行し、マイコン3が保護・診断処理を実行する。従っ
て、マイコン3は対象機器の状態を監視する為のもの
で、マイコン3が故障したとしても対象機器に影響を与
えることはない。しかしながら、対象機器に対して制御
信号を出力するマイコン1、あるいはマイコン2が故障
した場合には、暴走などといった悪影響が発生する。そ
こで、マイコン1,2のみを上記実施例で述べた方法と
同様な手法、つまり、一方のマイコン故障時において個
別バスを一体化し、正常なマイコンが故障したマイコン
の処理を引継ぎ、連続して制御を続行できる。Next, another embodiment of the present invention is shown in FIG. Blocks having the same symbols as in FIG. 5 have the same functions. This embodiment is different from the embodiment shown in FIG. 5 in that the buffer circuits 7-1 and 7-2 are provided only on the individual bus of the microcomputer that executes the process in which the failure of the microcomputer affects the controlled device. It is possible to backup. That is, the control device includes a microcomputer that executes control processing and a microcomputer that executes protection and diagnosis. In the present embodiment, the microcomputers 1 and 2 share control executions, and the microcomputer 3 executes protection / diagnosis processing. Therefore, the microcomputer 3 is for monitoring the state of the target device and does not affect the target device even if the microcomputer 3 fails. However, when the microcomputer 1 or the microcomputer 2 that outputs a control signal to the target device fails, an adverse effect such as runaway occurs. Therefore, only the microcomputers 1 and 2 are similar to the method described in the above embodiment, that is, when one of the microcomputers fails, the individual buses are integrated so that the normal microcomputer takes over the processing of the failed microcomputer and controls continuously. Can continue.
【0023】本発明によれば、制御に必要な部分のみを
バックアップ可能な構成とするため、制御装置のハード
ウェア及び、ソフトウェア共に簡単な構成で実現できる
という効果がある。According to the present invention, since only the part required for control can be backed up, the hardware and software of the control device can be realized with a simple structure.
【0024】[0024]
【発明の効果】本発明によれば、マルチマイコンシステ
ムにおいて、I/Oを各マイコンの個別バスに専有し、
I/Oアクセス時の競合がない高速なシステムを可能と
し、各々の個別バスをバッファ回路で接続しマイコンが
故障したときのみバッファ回路を動作状態にすること
で、故障したマイコンが専有するI/Oを正常なマイコ
ンがアクセスできるため、故障したマイコンの制御処理
を引き継ぐことが可能となり、マイコンの故障に対して
も装置あるいはマイコンを多重化することなく最小限の
構成で、制御対象機器の無停止運転が出来るという効果
がある。According to the present invention, in a multi-microcomputer system, I / O is dedicated to an individual bus of each microcomputer,
It enables a high-speed system without contention at the time of I / O access, connects each individual bus with a buffer circuit, and activates the buffer circuit only when the microcomputer fails. Since O can be accessed by a normal microcomputer, it is possible to take over the control processing of a failed microcomputer, and even if the microcomputer fails, the minimum configuration is possible without multiplexing devices or microcomputers. This has the effect of stopping operation.
【0025】また、共有バスに接続された共有メモリに
サンプリング周期ごとに、各々のマイコンのデータを格
納しているため、マイコンが故障した場合にも制御演算
を連続的に実行できるため、対象機器への影響が少ない
処理の引き継ぎが出来るという効果がある。Further, since the data of each microcomputer is stored in the shared memory connected to the shared bus at each sampling cycle, the control operation can be continuously executed even if the microcomputer fails, so that the target device can be operated. This has the effect of being able to take over the processing that has less effect on.
【0026】また、マイコンの個別バスを接続するバッ
ファ回路を、各マイコンの個別バスに配置することによ
り、I/Oを含めた一個のマイコンの構成を標準化で
き、システムに応じたマイコンの拡張が容易にできると
いう効果がある。Further, by arranging a buffer circuit for connecting the individual buses of the microcomputers to the individual buses of the respective microcomputers, the structure of one microcomputer including I / O can be standardized, and the microcomputers can be expanded according to the system. The effect is that it can be done easily.
【図面の簡単な説明】[Brief description of drawings]
【図1】本発明の一実施例であるマルチマイコンシステ
ム構成図である。FIG. 1 is a configuration diagram of a multi-microcomputer system that is an embodiment of the present invention.
【図2】図1のマイコンの処理を説明するフローチャー
トである。FIG. 2 is a flowchart illustrating a process of the microcomputer of FIG.
【図3】図1のバッファ回路の概要を示す構成図であ
る。FIG. 3 is a configuration diagram showing an outline of a buffer circuit in FIG.
【図4】図1のマイコンの内部構成図である。FIG. 4 is an internal configuration diagram of the microcomputer of FIG.
【図5】本発明の他の実施例のマルチマイコンシステム
構成図である。FIG. 5 is a block diagram of a multi-microcomputer system according to another embodiment of the present invention.
【図6】本発明の他の実施例のマルチマイコンシステム
構成図である。FIG. 6 is a block diagram of a multi-microcomputer system according to another embodiment of the present invention.
1,2,3…マイコン、4…各マイコンに共有な共有バ
ス、5,7…個別バスを接続するバッファ、6…共有メ
モリ、11,21,31…マイコンの個別バス、50,
51,52…信号方向を決めるバッファ、100…CP
U、103…故障検出部、105,106…マイコンの
バスバッファ、107…ラッチ回路。1, 2, 3 ... Microcomputer, 4 ... Shared bus shared by each microcomputer, 5, 7 ... Buffer for connecting individual bus, 6 ... Shared memory 11, 21, 31 ... Individual bus of microcomputer, 50,
51, 52 ... Buffer for determining signal direction, 100 ... CP
U, 103 ... Failure detection unit, 105, 106 ... Microcomputer bus buffer, 107 ... Latch circuit.
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP5262056AJPH07114521A (en) | 1993-10-20 | 1993-10-20 | Multi-microcomputer system |
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP5262056AJPH07114521A (en) | 1993-10-20 | 1993-10-20 | Multi-microcomputer system |
| Publication Number | Publication Date |
|---|---|
| JPH07114521Atrue JPH07114521A (en) | 1995-05-02 |
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP5262056APendingJPH07114521A (en) | 1993-10-20 | 1993-10-20 | Multi-microcomputer system |
| Country | Link |
|---|---|
| JP (1) | JPH07114521A (en) |
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018076072A (en)* | 2018-02-07 | 2018-05-17 | 日本精工株式会社 | Control device of electric power steering device |
| JP2018100091A (en)* | 2018-02-07 | 2018-06-28 | 日本精工株式会社 | Control device for electric power steering device |
| US10579489B2 (en) | 2015-07-30 | 2020-03-03 | Mitsubishi Electric Corporation | Program execution device, program execution system, and program execution method |
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10579489B2 (en) | 2015-07-30 | 2020-03-03 | Mitsubishi Electric Corporation | Program execution device, program execution system, and program execution method |
| JP2018076072A (en)* | 2018-02-07 | 2018-05-17 | 日本精工株式会社 | Control device of electric power steering device |
| JP2018100091A (en)* | 2018-02-07 | 2018-06-28 | 日本精工株式会社 | Control device for electric power steering device |
| Publication | Publication Date | Title |
|---|---|---|
| US5005174A (en) | Dual zone, fault tolerant computer system with error checking in I/O writes | |
| EP0186006B1 (en) | Multiprocessor system | |
| US5345566A (en) | Method and apparatus for controlling dual bus system | |
| CA1310129C (en) | Interface of non-fault tolerant components to fault tolerant system | |
| US5423024A (en) | Fault tolerant processing section with dynamically reconfigurable voting | |
| EP0306244A2 (en) | Fault tolerant computer system with fault isolation | |
| JPH11143729A (en) | Fault tolerant computer | |
| US5742851A (en) | Information processing system having function to detect fault in external bus | |
| JPS59106056A (en) | Failsafe type data processing system | |
| JP2002269029A (en) | Highly reliable information processor, information processing method used for the same and program therefor | |
| JPH07114521A (en) | Multi-microcomputer system | |
| JP3127941B2 (en) | Redundant device | |
| JP2626127B2 (en) | Backup route test method | |
| JPS6113627B2 (en) | ||
| JPH02173852A (en) | Bus diagnostic device | |
| JP2908135B2 (en) | Microprocessor failure detection device | |
| JP2756315B2 (en) | Update control method for system configuration information | |
| JP3015537B2 (en) | Redundant computer system | |
| JP3015538B2 (en) | Redundant computer system | |
| JP2815730B2 (en) | Adapters and computer systems | |
| JP2001092682A (en) | Cache system and duplex system | |
| JP2896206B2 (en) | On-line diagnostics for multiplexed memory devices. | |
| JPH09179836A (en) | Multiplexed computer and failure detection processing method thereof | |
| JP2000242317A (en) | Programmable controller | |
| JP2009276983A (en) | Multiplexing computer system and its processing method |