JP2019121033A - 航空機用制御装置、および相互診断方法 - Google Patents

航空機用制御装置、および相互診断方法 Download PDF

Info

Publication number
JP2019121033A
JP2019121033A JP2017253771A JP2017253771A JP2019121033A JP 2019121033 A JP2019121033 A JP 2019121033A JP 2017253771 A JP2017253771 A JP 2017253771A JP 2017253771 A JP2017253771 A JP 2017253771A JP 2019121033 A JP2019121033 A JP 2019121033A
Authority
JP
Japan
Prior art keywords
unit
input
diagnosis
sub
signal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2017253771A
Other languages
English (en)
Inventor
丈裕 臼森
Takehiro Usumori
丈裕 臼森
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Infrastructure Systems and Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Infrastructure Systems and Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Infrastructure Systems and Solutions Corp filed Critical Toshiba Corp
Priority to JP2017253771A priority Critical patent/JP2019121033A/ja
Publication of JP2019121033A publication Critical patent/JP2019121033A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Safety Devices In Control Systems (AREA)

Abstract

【課題】メイン基板とサブ基板の正常性を相互に診断することができる航空機用制御装置および相互診断方法を提供することである。【解決手段】実施形態の航空機用制御装置は、メイン基板と、サブ基板とを持つ。メイン基板は、航空機における通信制御を実行するメイン制御部および第1診断部を搭載し、入出力ポートの数が予め規定されている。サブ基板は、前記メイン制御部と異なる制御を実行するサブ制御部および第2診断部を搭載し、入出力ポートの数が予め規定されている。前記第1診断部は、第1入力信号の周波数に基づいて、前記メイン基板に搭載されているデバイスの状態を示す信号を、前記第2診断部に出力する。前記第2診断部は、第2入力信号の周波数に基づいて、前記サブ基板に搭載されているデバイスの状態を示す信号を前記第1診断部に出力する。【選択図】図1

Description

本発明の実施形態は、航空機用制御装置、および相互診断方法に関する。
民生品での制御装置では、機能安全が重視されており、IEC61508、ISO26262といった機能安全規格の導入と、認証取得の必要性が求められている(例えば、特許文献1〜3)。
一方、航空機に搭載される電気・電子プログラマブルコントローラについては、SIL(Safety Integrity Level)2〜4の水準が要求されるため、開発コストが高騰している。また、航空機の一部の分野については、cots(Commercial Off-The-Shelf)製品が主となっているが、例えば、カーチスライト社製CPUボード(例えばVPX1−1957)では、相互診断、二重化、自己修復といったFMEA(Failure Mode and Effect Analysis)主点での設計がされていない。
航空機に搭載される電気・電子プログラマブルコントローラは、cots製品であるメイン基板と、ユーザの要求に応じたデバイスを搭載するサブ基板とを備える。メイン基板およびサブ基板は、例えば、PCIe(PCI Express)、sFPDP(Serial Front Panel Data Port)、SSD(Solid State Drive)等の規格部品や、CPU(Central Processing Unit)、揮発・不揮発メモリ等の汎用部品等の様々なデバイスを備える。メイン基板およびサブ基板は、デバイスの故障や異常等を、各基板に搭載されているコントローラで自己診断している。
しかしながら、コントローラの健全性を診断していないため、自己診断による診断結果の信頼性が確保されない場合があった。また、メイン基板およびサブ基板のそれぞれに設けられている入出力ポートの数は、所定の数に制限されており、一方の基板に入力する全ての入力信号に基づいて発振子の故障や異常等を、他方の基板が診断することは困難であった。また、マルチプレクサにより診断回路を切り替えながら入力信号を選択する手法が考えられるが、入力フィルタのセットリングタイム(RCフィルタの飽和時間)の考慮が必要となり処理時間の観点で実現が困難であった。また、ファームウェアは、BSP(Board Support Package)といわれるデバイスドライバが、CPU(Central Processing Unit)ボードメーカから提供され、ブラックボックス化されているため、回路又はIC(Integrated Circuit)の健全性を確認する自己診断機能をユーザが実装するのが困難であった。
国際公開第2015/159391号 特開平7−131937号公報 特開2009−237758号公報
本発明が解決しようとする課題は、メイン基板とサブ基板の正常性を相互に診断することができる航空機用制御装置および相互診断方法を提供することである。
実施形態の航空機用制御装置は、メイン基板と、サブ基板とを持つ。メイン基板は、航空機における通信制御を実行するメイン制御部および第1診断部を搭載し、入出力ポートの数が予め規定されている。サブ基板は、前記メイン制御部と異なる制御を実行するサブ制御部および第2診断部を搭載し、入出力ポートの数が予め規定されている。前記第1診断部は、第1入力信号の周波数に基づいて、前記メイン基板に搭載されているデバイスの状態を示す信号を、前記第2診断部に出力する。前記第2診断部は、第2入力信号の周波数に基づいて、前記サブ基板に搭載されているデバイスの状態を示す信号を前記第1診断部に出力する。
実施形態の航空機用制御装置1の構成図。 第1診断部115あるいは第2診断部217による自己診断処理の一例を示すフローチャート。 第1診断部115あるいは第2診断部217による相互診断処理の一例を示すフローチャート。 メイン基板100およびサブ基板200に搭載されるデバイスの一例を示す図。
以下、実施形態の航空機用制御装置、および相互診断方法を、図面を参照して説明する。
図1は、実施形態の航空機用制御装置1の構成図である。図に示す通り、航空機用制御装置1は、メイン基板100とサブ基板200とを備える。
メイン基板100は、プログラマブルデバイスであるCPU110、高速シリアル通信部120、およびタイミング生成部130等のデバイスを搭載している。メイン基板100は、入出力ポート140A〜140Jを備える。入出力ポート140A〜140Jの数は、予め規定されている。
サブ基板200は、プログラマブルデバイスであるFPGA210、高速シリアル通信部220、長距離シリアル通信部230、定速IC間通信部240、および演算部250等のデバイスを搭載している。サブ基板200は、入出力ポート260A〜260Wを備える。入出力ポート260A〜260Wの数は、予め規定されている。
高速シリアル通信部120および220は、例えば、PCIe、sFPDP等である。タイミング生成部130は、FPGA(Field Programmable Gate Array)、セラミック発振子、水晶発振子等である。長距離シリアル通信部230は、例えば、mil−std 1553B、RS422等である。定速IC間通信部240は、例えば、IC(Inter Integrated Circuit)である。演算部250は、FPGA,DSP(Digital Signal Processor)等であり、信号処理や座標変換等を行う。
高速シリアル通信部120には、入出力ポート140Aおよび140Bが接続されており、それぞれから、発振子からのキャリー信号であるCLKO_4と、DTO_6とが入力する。高速シリアル通信部120は、メイン基板100に入力される第1入力信号に基づいて所定の処理を実行し、処理結果をCPU110に出力する。
タイミング生成部130は、高精度な動作用クロックCLKO_5を生成し、CPU110に出力する。
高速シリアル通信部220には、入出力ポート260Aおよび260Bが接続されており、それぞれから、発振子からのキャリー信号であるCLKO_1と、DTO_1とが入力される。また、高速シリアル通信部220は、サブ基板200に入力される第2入力信号に基づいて所定の処理を実行し、CLKI_1およびDTI_1をCPU110に出力する。
長距離シリアル通信部230には、入出力ポート260Cおよび260Dが接続されており、それぞれから、発振子からのキャリー信号であるCLKO_2と、DAO_2とが入力される。長距離シリアル通信部230は、第2入力信号に基づいて所定の処理を実行し、CLKI_1およびDTI_2をCPU110に出力する。
定速IC間通信部240には、入出力ポート260Eおよび260Fが接続されており、それぞれから、発振子からのキャリー信号であるCLKO_3と、DAO_3が入力される。定速IC間通信部240は、第2入力信号に基づいて所定の処理を実行し、CLKI_1およびDTI_3をCPU110に出力する。
演算部250には、入出力ポート260G,260H,および260Iが接続されており、それぞれから、発振子からのキャリー信号であるCLKO_4と、DTO_4と、DTO_5とが入力される。演算部250は、入力信号に基づいて所定の処理を実行し、CLKI_1、DTI_4およびDTI_5をCPU110に出力する。
CPU110は、例えば、航空機における通信制御を実行するメイン制御部として機能する。CPU110は、例えば、VPX1−1957であり、メモリ111と、DIAG(Diagnostic)113と、第1診断部115とを含む。また、CPU110には、入出力ポート140E,140F,140G,および140Hが接続されている。入出力ポート140E,140Fには、サブ基板200のFPGA210からの信号(GPIO_M)が入力される。入出力ポート140Gおよび140Hからは、サブ基板200のFPGA210への信号が出力される。
メモリ111は、SSD等の不揮発性メモリや、DDR(Double Data Rate)メモリ等の揮発性メモリ等を含む。DIAG113は、メモリ111から情報を読み出し、CPU110およびメモリ111に異常があるか否かを自己診断する。DIAG113は、診断結果信号ALT_1を第1診断部115に出力する。異常には、デバイスの異常動作、デバイスの故障、入力信号を出力する発振子の異常等が含まれる。
第1診断部115には、入出力ポート140Cおよび140Dが接続されており、それぞれからCLKO_4およびCLKO_5が入力される。また、第1診断部115には、DIAG113からALT_1が入力される。第1診断部115は、入力信号(CLKO_4,CLKO_5,ALT_1)の周波数に基づいて、メイン基板100に搭載されているデバイスの正常性を診断し、診断結果信号ALT_HB1を、入出力ポート140Jを介して第2診断部217に出力する。また、第1診断部115は、入出力ポート140Iを介して第2診断部217から入力する診断結果信号ALT_HB2に基づいて、サブ基板200に搭載されているデバイスの正常性を診断し、診断結果に応じた処理を実行する。
例えば、第1診断部115は、入力信号の周波数を測定可能なパルス測定回路と、パルス出力可能なGPO(General Purpose Output)とを備える。第1診断部115は、入力信号の周波数が正常範囲である場合、メイン基板100に搭載されているデバイスが正常である(異常でない)と判定し、規定された周波数のハートビート信号を、入出力ポート140Jを介して第2診断部217に出力する。正常範囲とは、予め決められた範囲でもよく、ユーザにより任意に決定可能な範囲でもよい。また、第1診断部115は、入出力ポート140Iを介して第2診断部217から入力する診断結果信号ALT_HB2の周波数が停止を含む異常周波数である場合、サブ基板200に搭載されているデバイスが正常ではない(異常がある)と判定し、サブ基板200に搭載されているデバイスの修復または停止等の処理(以下、異常時対応の処理と記す)を実行する。
異常時対応に関する処理には、例えば、異常を外部に通知する処理、異常が検出されたデバイスをリセットする処理、および異常が検出されたデバイスへの電力供給を遮断する処理等が含まれる。
FPGA210は、例えば、メイン制御部(CPU110)と異なる制御を実行するサブ制御部として機能する。FPGA210は、メモリ211と、DIAG213と、標準入出力部215と、第2診断部217とを含み、入出力ポート260R,260S,260T,および260Uが接続されている。入出力ポート260Rおよび260Sからは、メイン基板100のCPU110への信号が出力される。入出力ポート260Tおよび260Uには、メイン基板100のCPU110からの信号(GPIO_S)が入力される。
メモリ211は、SSD等の不揮発性メモリや、DDR等の揮発性メモリ等を含む。DIAG213は、メモリ211から情報を読み出し、FPGA210およびメモリ211に異常があるか否かを自己診断する。DIAG213は、診断結果信号ALT_2を第2診断部217に出力する。
標準入出力部215は、例えば、GPIO(General Purpose Input / Output)等のレジスタである。標準入出力部215には、入出力ポート260J,260K,および260Lが接続されており、それぞれからDIO,TGR_1,およびTGR_2が入力される。
第2診断部217には、入出力ポート260M,260N,260O,260P,および260Qが接続されており、それぞれからCLKO_1,CLKO_2,CLKO_3,TGR_1,およびTGR_2が入力される。また、第2診断部217には、DIAG213からALT_2が入力される。第2診断部217は、第2入力信号(CLKO_1,CLKO_2,CLKO_3,TGR_1,およびTGR_2,ALT_2)の周波数に基づいて、サブ基板200に搭載されているデバイスの正常性を診断し、診断結果AL_HB2を、入出力ポート260Rを介して第1診断部115に出力する。また、第2診断部217は、入出力ポート260Wを介して第1診断部115から入力する診断結果ALT_HB1に基づいて、メイン基板100に搭載されているデバイスの正常性を診断し、診断結果に応じた処理を実行する。
例えば、第2診断部217は、第2入力信号の周波数を測定可能なパルス測定回路と、パルス出力可能なGPOとを備える。第2診断部217は、第2入力信号の周波数が正常範囲である場合、サブ基板200に搭載されているデバイスが正常であると判定し、規定された周波数のハートビート信号を、入出力ポート260Vを介して第1診断部115に出力する。また、第2診断部217は、入出力ポート260Wを介して第1診断部115から入力する診断結果信号ALT_HB1の周波数が停止を含む異常周波数である場合、メイン基板100に搭載されているデバイスに正常ではないと判定し、メイン基板100に搭載されているデバイスについての異常時対応の処理を実行する。
ここで、第1診断部115および第2診断部217に共通する機能について説明する。第1診断部115および第2診断部217は、第1入力信号または第2入力信号を出力する発振子の動作異常と、メイン基板100あるいはサブ基板200に搭載されている発振子以外のデバイスの故障とを、それぞれ区別して診断する。例えば、第1診断部115は、第2診断部217から入力する診断結果信号ALT_HB2が連続してオン信号あるいはオフ信号である場合、サブ基板200に搭載されているデバイスが故障していると判定する。また、第1診断部115は、例えば、診断結果信号ALT_HB2が単発のオフ信号である場合、サブ基板200へ信号を出力する発振子の動作異常が発生していると判定する。
第2診断部217は、第1診断部115から入力する診断結果信号ALT_HB1が連続してオン信号あるいはオフ信号である場合、メイン基板100に搭載されているデバイスの故障であると判定する。また、第2診断部217は、診断結果信号ALT_HB1が単発のオフ信号である場合、メイン基板100へ信号を出力する発振子の動作異常が発生していると判定する。
また、第1診断部115および第2診断部217は、診断結果に応じて異なる信号を、診断結果信号ALT_HB1およびALT_HB2として出力してもよい。例えば、第1診断部115および第2診断部217は、異常時対応に関する処理を実行している間、実行している処理に応じて異なる信号を、診断結果信号ALT_HB1およびALT_HB2として出力してもよく、異常時対応に関する処理を実行している間と、異常時対応に関する処理を実行していない間とで異なる信号を、診断結果信号ALT_HB1およびALT_HB2として出力してもよい。
例えば、診断結果信号ALT_HB1およびALT_HB2は、パルス出力であるが、停止時にHi固定またはLow固定としてもよい。これにより、Hi固定時は初期化中、Low固定時は通常故障というように、固定されたパルス信号の状態によって、デバイスのステータス等を通知することができる。
また、第1診断部115および第2診断部217は、診断結果に応じて異なる周波数の診断結果信号を出力してもよい。例えば、正常時は16KHz、警告には32KHz、故障または異常には0KHzというように、診断結果信号の周波数に意味を持たせてもよい。
これにより、第1診断部115および第2診断部217は、一つの入出力ポートで、二つの異常を区別して、外部の基板に通知することができる。よって、入出力ポートの数が制限されている制御装置であっても、相互診断を適切に行うことができる。
また、第1診断部115は、メイン基板100に入力される複数の第1入力信号のうち異常が検出された第1入力信号の数が基準値以上である場合、メイン基板100に搭載されたデバイスが正常ではない(言い換えると、デバイスの正常性が基準レベルよりも低い)と診断してもよい。例えば、第1診断部115は、対象信号である全ての第1入力信号について診断した後、所定数の第1入力信号が正常の範囲外であった場合、異常であると判定する。対象信号の範囲は、任意に設定可能である。例えば、対象信号の範囲は全ての第1入力信号であり、第1診断部115の場合、CLKO_4,CLKO_5、およびALM_1である。また、対象信号の範囲は、第1入力信号が入力する時間や、第1入力信号の数で規定されてもよい。
また、第2診断部217は、入力される複数の第2入力信号のうち異常が検出された第2入力信号の数が基準値以上である場合、サブ基板200に搭載されたデバイスが正常ではない(言い換えると、デバイスの正常性が基準レベルよりも低い)と診断してもよい。例えば、第2診断部217は、対象信号である全ての第2入力信号について診断した後、所定数の第2入力信号が正常の範囲外であった場合、異常であると判定する。対象信号の範囲は、任意に設定可能である。例えば、対象信号の範囲は、全ての第2入力信号であり、第2診断部217の場合、CLKO_1,CLKO_2,CLKO_3,TGR_1,TGR_2、およびALT_2である。また、対象信号の範囲は、第2入力信号が入力する時間や、第2入力信号の数で規定されてもよい。
また、第1診断部115および第2診断部217は、例えば、所定時間内に入力する複数の診断結果信号、あるいは、予め決められた数の診断結果信号について診断した後、所定数の信号が正常の範囲外であった場合、異常であると判定してもよい。
これにより、第1診断部115および第2診断部217は、検出された異常が基準値を超えた場合に、異常であると診断することができる。
また、第1診断部115および第2診断部217は、診断結果に応じた異常時対応であって、それぞれ異なる異常時対応に関する処理を実行する。例えば、第1診断部115が、サブ基板200の異常時対応を行う場合、サブ基板200の異常の外部への通知、サブ基板200の再起動、サブ基板200への電力供給の遮断等を実行する。また、第2診断部217は、メイン基板100の異常時対応を行う場合、メイン基板100の再起動が他の装置への影響するときは、異常を外部に通知する等の対応を行う。なお、メイン基板100の再起動が他の装置へ影響しない場合、第2診断部217は、メイン基板100の再起動を実行してもよい。
これにより、第1診断部115および第2診断部217は、診断結果に応じた異常時対応を実行することができる。
次に、図2,図3を参照して、第1診断部115あるいは第2診断部217による処理について説明する。図2および図3の処理は、所定の周期やタイミングによって繰り返し実行される。図2は、第1診断部115あるいは第2診断部217による自己診断処理の一例を示すフローチャートである。ここでは、第1診断部115による処理について説明し、第2診断部217による処理についての説明は省略する。
まず、第1診断部115は、第1入力信号ごとに、第1入力信号の周波数を検出する(ステップS101)。次いで、第1診断部115は、第1入力信号の周波数が正常範囲内か否かを判定する(ステップS102)。正常範囲内でないと判定した場合、第1診断部115は、自己診断カウンタをカウントアップする(ステップS103)。そして、第1診断部115は、対象信号の全てについて自己診断したか否かを判定する(ステップS104)。対象信号の全てについて自己診断が終了していない場合、第1診断部115は、ステップS101の処理に戻る。
一方、対象信号の全てについて自己診断が終了した場合、第1診断部115は、自己診断カウンタが基準値以上であるか否かを判定する(ステップS105)。自己診断カウンタが基準値以上であると判定した場合、第1診断部115は、メイン基板100のデバイスが正常でないと判定し、診断結果ALT_HB1として例えばオフ信号を第2診断部217に出力する(ステップS106)。一方、自己診断カウンタが基準値以上であると判定した場合、第1診断部115は、メイン基板100のデバイスが正常でないと判定し、診断結果ALT_HB1として例えばオン信号を第2診断部217に出力する(ステップS107)。そして、第1診断部115は、自己診断カウンタをリセットする(ステップS108)。
図3は、第1診断部115あるいは第2診断部217による相互診断処理の一例を示すフローチャートである。ここでは、第1診断部115による処理について説明し、第2診断部217による処理についての説明は省略する。
まず、第1診断部115は、第2診断部217から入力する診断結果信号ALT_HB2の周波数を検出する(ステップS201)。次いで、第1診断部115は、診断結果信号ALT_HB2の周波数が正常範囲内か否かを判定する(ステップS202)。正常範囲内でないと判定した場合、第1診断部115は、他者診断カウンタをカウントアップする(ステップS203)。他者とは、例えば、サブ基板200である。そして、第1診断部115は、予め決められた診断タイミングであるか否かを判定する(ステップS204)。診断タイミングは、任意に設定可能であり、例えば、前回の診断タイミングから所定時間が経過した場合、あるいは、前回の診断タイミングからステップS202の処理を実行した回数が所定回数以上であった場合、第1診断部115は、診断タイミングであると判定する。診断タイミングでないと判定された場合、第1診断部115は、ステップS201の処理に戻る。
一方、診断タイミングであると判定した場合、第1診断部115は、他者診断カウンタが基準値以上であるか否かを判定する(ステップS205)。他者診断カウンタが基準値以上であると判定した場合、第1診断部115は、サブ基板200のデバイスが正常ではないと判定し、異常時対応を実行する(ステップS206)。そして、第1診断部115は、他者診断カウンタをリセットする(ステップS207)。
なお、第2診断部217による処理は、サブ基板200をメイン基板100に置き換え、且つ、メイン基板100をサブ基板200に置き換えること以外は、上述した第1診断部115による処理とほぼ同様である。この場合、第2診断部217における自己診断とは、サブ基板200の診断を示し、他者とは、メイン基板100を示す。また、ステップS101およびS102の処理における第1入力信号は、第2入力信号に置き換わる。
以上説明した少なくとも一つの実施形態によれば、航空機用制御装置において、航空機における通信制御を実行するCPU110および第1診断部115を搭載し、入出力ポートの数が予め規定されているメイン基板100と、CPU110と異なる制御を実行するFPGA210および第2診断部217を搭載し、入出力ポートの数が予め規定されているサブ基板200と、を持ち、第1診断部115は、第1入力信号の周波数に基づいて、メイン基板100に搭載されているデバイスの状態を示す信号を、第2診断部217に出力し、第2診断部217は、第2入力信号の周波数に基づいて、サブ基板200に搭載されているデバイスの状態を示す信号を第1診断部115に出力することにより、メイン基板100とサブ基板200の正常性を相互に診断することができる。
また、以上説明した少なくとも一つの実施形態によれば、正常あるいは異常の判定に固定周波数のハートビート信号を採用している。このため、ハートビート信号は一線の信号線であるが、信号のオープン・ショート故障と信号源の発振子の動作異常の2つの故障判定が可能となる。
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
例えば、第1診断部115および第2診断部217は、それぞれの入力信号ごと、あるいは入力信号の種類ごとに、自己診断カウンタを備え、予め決められた個数の各入力信号について診断した結果、自己診断カウンタが閾値以上となった場合、故障や異常と判定するとともに、故障や異常と判定した入力信号やその種類を通知してもよい。通知方法としては、Hi固定やLow固定、各固定の時間やパターン、周波数を変更することで意味を持たせてもよい。
また、メイン基板100およびサブ基板200に搭載されるデバイスは、図1に示す例に限られず、例えば、図4に示すような内容であってもよい。図4は、メイン基板100およびサブ基板200に搭載されるデバイスの一例を示す図である。図4は、機能ごとに、デバイスおよび基板の種類と対応付けられている。図4における「メインandサブ」とは、メイン基板とサブ基板の両方に搭載することができることを示す。
1…航空機用制御装置、100…メイン基板、200…サブ基板、110…CPU、111…メモリ、113…DIAG、115…第1診断部、120…高速シリアル通信部、130…タイミング生成部、140A〜140J…入出力ポート、210…FPGA、211…メモリ、213…DIAG、215…標準入出力部、217…第2診断部、220…高速シリアル通信部、230…長距離シリアル通信部、240…定速IC間通信部、250…演算部、260A〜260W…入出力ポート

Claims (6)

  1. 航空機における通信制御を実行するメイン制御部および第1診断部を搭載し、入出力ポートの数が予め規定されているメイン基板と、
    前記メイン制御部と異なる制御を実行するサブ制御部および第2診断部を搭載し、入出力ポートの数が予め規定されているサブ基板と、を備え、
    前記第1診断部は、第1入力信号の周波数に基づいて、前記メイン基板に搭載されているデバイスの状態を示す信号を、前記第2診断部に出力し、
    前記第2診断部は、第2入力信号の周波数に基づいて、前記サブ基板に搭載されているデバイスの状態を示す信号を前記第1診断部に出力する、
    航空機用制御装置。
  2. 前記第1診断部は、前記第2診断部から入力された信号に基づいて、前記サブ基板に搭載されたデバイスが正常な状態でないと判定した場合、前記サブ基板の異常時対応に関する処理を実行し、
    前記第2診断部は、前記第1診断部から入力された信号に基づいて、前記メイン基板に搭載されたデバイスが正常な状態でないと判定した場合、前記メイン基板の異常時対応に関する処理を実行する、
    請求項1に記載の航空機用制御装置。
  3. 前記第1診断部および前記第2診断部は、
    前記第1入力信号または前記第2入力信号を出力する発振子の動作異常と、前記メイン基板あるいは前記サブ基板に搭載されている前記発振子以外のデバイスの故障とを、それぞれ区別して診断する
    請求項1または2に記載の航空機用制御装置。
  4. 前記第1診断部は、複数の第1入力信号のうち異常が検出された第1入力信号の数が基準値以上である場合、前記メイン基板に搭載されたデバイスが正常な状態ではないと判定し、
    前記第2診断部は、複数の第2入力信号のうち異常が検出された第2入力信号の数が基準値以上である場合、前記メイン基板に搭載されたデバイスが正常な状態ではないと判定する、
    請求項1から3のうちいずれか一項に記載の航空機用制御装置。
  5. 前記メイン基板の異常時対応に関する処理および前記サブ基板の異常時対応に関する処理のそれぞれは、異常を外部に通知する処理、異常が検出されたデバイスをリセットする処理、および異常が検出されたデバイスへの電力供給を遮断する処理のうち少なくとも一つを含む
    請求項2に記載の航空機用制御装置。
  6. 航空機における通信制御を実行するメイン制御部および第1診断部を搭載し、入出力ポートの数が予め規定されているメイン基板と、前記メイン制御部と異なる制御を実行するサブ制御部および第2診断部を搭載し、入出力ポートの数が予め規定されているサブ基板と、を備える航空機用制御装置の相互診断方法において、
    前記第1診断部が、第1入力信号の周波数に基づいて、前記メイン基板に搭載されているデバイスの状態を示す信号を、前記第2診断部に出力し、
    前記第2診断部が、第2入力信号の周波数に基づいて、前記サブ基板に搭載されているデバイスの状態を示す信号を前記第1診断部に出力する、
    相互診断方法。
JP2017253771A 2017-12-28 2017-12-28 航空機用制御装置、および相互診断方法 Pending JP2019121033A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017253771A JP2019121033A (ja) 2017-12-28 2017-12-28 航空機用制御装置、および相互診断方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017253771A JP2019121033A (ja) 2017-12-28 2017-12-28 航空機用制御装置、および相互診断方法

Publications (1)

Publication Number Publication Date
JP2019121033A true JP2019121033A (ja) 2019-07-22

Family

ID=67307850

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017253771A Pending JP2019121033A (ja) 2017-12-28 2017-12-28 航空機用制御装置、および相互診断方法

Country Status (1)

Country Link
JP (1) JP2019121033A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2023074564A (ja) * 2021-11-18 2023-05-30 三菱電機株式会社 制御装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2023074564A (ja) * 2021-11-18 2023-05-30 三菱電機株式会社 制御装置
JP7329579B2 (ja) 2021-11-18 2023-08-18 三菱電機株式会社 制御装置

Similar Documents

Publication Publication Date Title
JP5476238B2 (ja) 半導体装置
US8677182B2 (en) Computer system capable of generating an internal error reset signal according to a catastrophic error signal
US20120137159A1 (en) Monitoring system and method of power sequence signal
US20160147545A1 (en) Real-Time Optimization of Many-Core Systems
KR20170060028A (ko) 안전 서브-시스템을 가지는 프로그램가능 ic
US20170288677A1 (en) Clock signal stop detection circuit
JP2016081340A (ja) 多重化制御装置
US8793538B2 (en) System error response
US20120173933A1 (en) Profile-based execution monitoring
US20120166880A1 (en) Independently based diagnostic monitoring
JP4359632B2 (ja) プロセッサ動作検査システム及び動作検査回路
JP2019121033A (ja) 航空機用制御装置、および相互診断方法
JP6358107B2 (ja) 電源監視回路
US20090070574A1 (en) Remote diagnostic apparatus
JP2018163498A (ja) 監視回路
US9797945B2 (en) Semiconductor device having circuitry for detecting abnormalities in a power supply wiring network
US20180277234A1 (en) Failure prevention of bus monitor
JP4102814B2 (ja) 入出力制御装置,情報制御装置及び情報制御方法
JP2012150661A (ja) プロセッサ動作検査システム、及びその検査方法
JP6138591B2 (ja) 制御システム
JP2015175239A (ja) 監視装置、監視方法、及び、プログラム
JP2014098985A (ja) 安全スレーブユニット、その制御方法、その制御プログラム、および安全制御システム
US10303485B2 (en) Control method for controlling a server system by means of a set of reset signals and a set of notification signals
JP2012160149A (ja) 二重化回路、半導体装置およびテスト方法
JP2012114846A (ja) 画像処理システム