CN103513646B - 信息处理系统、输出控制装置以及数据生成装置 - Google Patents
信息处理系统、输出控制装置以及数据生成装置 Download PDFInfo
- Publication number
- CN103513646B CN103513646B CN201310254488.6A CN201310254488A CN103513646B CN 103513646 B CN103513646 B CN 103513646B CN 201310254488 A CN201310254488 A CN 201310254488A CN 103513646 B CN103513646 B CN 103513646B
- Authority
- CN
- China
- Prior art keywords
- data
- control
- code
- control data
- information processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0796—Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1641—Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1654—Error detection by comparing the output of redundant processing systems where the output of only one of the redundant processing components can drive the attached hardware, e.g. memory or I/O
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Hardware Redundancy (AREA)
- Safety Devices In Control Systems (AREA)
- Detection And Prevention Of Errors In Transmission (AREA)
Abstract
本发明提供一种信息处理系统、输出控制装置以及数据生成装置,多重系信息处理系统至少具有2个基于输入数据生成用于控制控制对象设备的控制数据的处理部,并且具有:1系的处理部,其输出基于输入数据而生成的1系的控制数据;2系的处理部,其输出利用2系固有的编码算法对基于输入数据而生成的2系的控制数据进行了编码的2系的码数据;和控制部,其接收1系的控制数据和2系的码数据,并且基于1系的控制数据与2系的码数据的正当性的验证结果,决定可否将1系的控制数据发送给控制对象设备。据此,解决在多重系信息处理系统中用于保障故障安全性的硬件的设计及其安装需要大量的时间和工夫这样的问题。
Description
技术领域
本发明涉及信息处理系统、输出控制装置以及数据生成装置,尤其涉及对输入数据进行多重系处理并具有故障安全(fail-safe)性的系统。
背景技术
在强烈期望保障安全性的系统中,保证故障安全性是重要的。例如,对于铁路的信号保安装置,为了确保列车运行的安全性,无论在构成信号保安装置的设备发生了怎样的故障的情况下,都需要对列车安全地进行控制的性质。将这种性质称为故障安全性,在具有故障安全性的信号机的情况下,构成为在信号机故障时停止示象(aspect)或者进行灯火管制(brownout)。
该故障安全性这一想法,以汽车为首,被用于各种领域。例如,在铁路领域中,将信号用继电器用作控制信号传达的开关,此外通过用作构成控制逻辑的基本元件的继电联锁装置来保障了信号保安装置的故障安全性。近年来,通过使装置多重化的多重系系统来实现故障安全性。
作为将多重系系统用于铁路信号系统的技术,存在JP特开2011-39630号公报(专利文献1)。在该公报中,记载了“为了减少数据量,代替原始数据而发送CPU-B根据原始数据计算出的哈希(hash)值(128比特(bit))。在图8的(2)中,CPU-A使用通用接口将CPU-A作成的数据和从CPU-B接收到的数据这双方发送给比较器。在本例中,为了减少数据量,代替原始数据而向比较器发送CPU-A、B的数据的哈希值。在图8的(3)中,比较器对来自CPU-A、CPU-B这双方的数据(哈希值)进行比较,并且在一致的情况下,向CPU-A发送发送许可。”(JP特开2011-39630号公报、第〔0019〕段)。
此外,作为省略用于保障具有多重系系统的联动装置侧的故障安全性的硬件的技术,存在JP特开2004-302708号公报(专利文献2)。在该公报中记载了“虽然2A、2B、2C的计算机独立地进行动作,但是为了确认各个动作是否正当,定期地利用数据交换用通信路径3将作为本系计算机的计算结果的控制数据发送给其他系计算机,并且接收其他系计算机的控制数据。各系对本系的计算结果的控制数据与其他系的计算结果的控制数据进行比较,判断向外部输出的数据是否正当。”(JP特开2004-302708号公报,第〔0021〕段)。
现有技术文献
专利文献
专利文献1:JP特开2011-39630号公报
专利文献2:JP特开2004-302708号公报
通过多重系保障故障安全性的系统的课题在于,由多个系生成数据,在进行数据核对的数据生成装置侧,省略用于保障故障安全性的比较器等的硬件。对于多重系系统的传输,在输出侧、网络上、以及输入侧的至少任一个中,存在各系物理地靠近从而串线的危险性。若发生了串线,则各系的数据有可能被改写/窜改,不能保持故障安全性。现有技术中,为了排除串线的危险性,花费了很多时间和工夫,设计并安装了不产生串线的故障安全的硬件构成。因此,省略产生很多时间和工夫成本的硬件构成,但对多重系系统的简化、低成本化有很大帮助。
在所述专利文献1中,记载了在多重系中发送哈希值代替原始数据,并且对哈希值本身进行比较的技术。在专利文献1的传输装置中,为了保障故障安全性,使用了作为硬件的比较器。
此外,在所述专利文献2中,记载了在联动装置内对各计算部的处理结果进行核对,并且将该结果输出给信号控制装置的技术。在所述专利文献2中,各计算部具备核对功能,也需要对各计算部计算出的控制数据在计算部间相互进行通信的处理/构成。而且,专利文献2中的核对信息是仅表示各系中的核对结果的信息,所以为了验证在通信路径上对于控制数据没有发生通信错误,如记载了“针对控制数据,为了高水平地保证通信内容,需要对控制数据本身进行多重化来进行发送”(JP特开2004-302708号公报、第〔0037〕段)所示,需要另外采取多重化构成。例如,在1系作成错误的控制数据,作为正当数据输出,并且1系对从2系接收到的控制数据假装成1系的控制数据来退回2系的控制数据时,存在将1系的错误的控制数据用于控制中的危险性,可以设想另外附加用于防止这种情况的处理/构成。
发明内容
因此,本发明提供一种使系统简化、低成本化的系统构成,在保障了故障安全性的基础上,省略在进行由多重系的各系所生成的数据的核对的数据生成装置侧的故障安全的硬件构成。
为了解决上述课题,采用例如权利要求书中记载的构成。
本申请包含多种用于解决上述课题的手段,但是若列举其中一例,则信息处理系统至少具有两个基于输入数据生成用于控制控制对象设备的控制数据的处理部,其中,信息处理系统具有:1系的处理部,其输出基于输入数据而生成的1系的控制数据;2系的处理部,其输出利用2系固有的编码算法对基于输入数据而生成的2系的控制数据进行了编码的2系的码数据;和控制部,其接收1系的控制数据和2系的码数据,并且基于1系的控制数据与2系的码数据的正当性的验证结果,决定可否将1系的控制数据发送给控制对象设备。
此外,若列举其他一例,则输出控制装置,从至少具有两个基于输入数据生成用于控制控制对象设备的控制数据的处理部的数据生成装置接收控制数据,并且控制控制对象设备,其中,输出控制装置具有:控制部,其接收基于输入数据而生成的1系的控制数据、和利用2系固有的编码算法对基于输入数据而生成的2系的控制数据进行了编码的2系的码数据,并且基于1系的控制数据与2系的控制数据的正当性的验证结果,决定可否将1系的控制数据发送给控制对象设备。
此外,若列举其他一例,则数据生成装置,至少具有2个基于输入数据生成用于控制控制对象设备的控制数据的处理部,并且将控制数据发送给对控制对象设备进行控制的输出控制装置,其中,数据生成装置具有:1系的控制部,其输出基于输入数据而生成的1系的控制数据;和2系的处理部,其输出利用2系固有的编码算法对基于输入数据而生成的2系的控制数据进行了编码的2系的码数据,基于1系的控制数据与2系的码数据的正当性的验证结果,决定可否将1系的控制数据发送给控制装置。
此外,若列举其他一例,则数据生成装置,至少具有2个基于输入数据生成用于控制控制对象设备的控制数据的处理部,并且将控制数据发送给对控制对象设备进行控制的控制装置,其中,数据生成装置具有:1系的处理部,其输出利用具有1系的分散信息的算法对基于输入数据而生成的1系的控制数据进行了编码的1系的分散码数据;和2系的处理部,其输出利用具有2系的分散信息的算法对基于输入数据而生成的2系的控制数据进行了编码的2系的分散码数据,在1系的分散码数据和2系的分散码数据都是正当的情况下,使用1系的分散码数据和2系的分散码数据,生成能够验证1系的控制数据的正当性的码数据,并且将码数据和1系的控制数据发送给控制装置。
(发明效果)
根据本发明,能够提供一种多重系系统,削减用于进行在多重系的各系所生成的数据的核对的数据生成装置侧的故障安全的机构,并且在保证故障安全性的基础上,能够实现系统的简化、低成本化。
上述以外的课题、构成以及效果,通过以下的实施方式的说明而变得清楚。
附图说明
图1是表示本发明的实施例1的联动装置以及信号控制装置的构成的一例的图。
图2是表示本发明的实施例1的联动装置以及信号控制装置的构成的一变形例的图。
图3是表示本发明的实施例1的联动装置以及信号控制装置的构成的一变形例的图。
图4是表示本发明的实施例1的联动装置以及信号控制装置的构成的一变形例的图。
图5是表示本发明的实施例2的联动装置以及信号控制装置的构成的一例的图。
图6是表示本发明的实施例3的联动装置以及信号控制装置的构成的一例的图。
图7是表示本发明的实施例4的联动装置以及信号控制装置的构成的一例的图。
图8是表示本发明的实施例1中的联动装置中的控制流程的图。
图9是表示本发明的实施例1中的信号控制装置中的控制流程的图。
符号说明
1 联动装置
2 信号控制装置
3 信号设备
4 网络
5 发送电文
11、21、31 计算部
12、13、22、23、32、33 码生成部
42 码事前验证部
61 控制信息选择部
101、201、301 控制数据
102、202、302、402 码数据
401、411、421 发送部
501 接收部
502、512、522 码验证部
503 信号控制部
具体实施方式
以下,参照附图来说明本发明的实施方式。其中,要留意附图是示意性的图。
【实施例1】
在本实施例中,作为多重系信息处理系统,假设具备3个计算部的联动装置1。此外,假设联动装置1通过网络4与信号控制装置2连接,信号控制装置2与信号设备3连接。另外,本发明也可以由基于1系和2系的2重系、或者3系以上的多重系构成。此外,适用本发明的多重系信息处理系统不限定于铁路中的信号设备,将信号控制装置2以及信号设备3分别读作输出控制装置以及控制对象设备,可以适用于各种设备。同样,联动装置1可以读作根据输入数据生成用于控制控制对象设备的控制数据的数据生成装置。而且,输出控制装置和数据生成装置不需要分开存在,将进行输出控制装置中的码的验证、以及数据的输出控制的部分作为控制部,可以设置在多重系信息处理系统上的任一部分。
图1示出本实施例的构成。在本实施例中,联动装置1具备3个信息处理系(以下分别称为1系、2系、3系),各系由计算针对信号控制装置2的控制数据的计算部(11、21以及31)、将计算部输出的控制数据作为输入并且输出错误检测码的码生成部(12、22以及23)构成。此外,在联动装置1内具备将计算出的发送电文5发送到网络4的发送部401,各系的码生成部(12、22以及23)、以及1系的计算部11与发送部401连接。信号控制装置2由通过网络4接收联动装置1发送的发送电文5的接收部501、对发送电文5中包含的控制数据101以及各系计算出的错误检测码即码数据(102、202以及302)的整合性进行验证的码验证部502、基于控制数据101对信号设备3进行控制的信号控制部503构成。进行各系的处理的部分是处理部,在本实施例中,处理部包括计算部和码生成部。其中,在系的处理中不需要码生成的情况下,处理部也可以不包括码生成部。
图8表示本实施例的联动装置1的控制流程,图9表示本实施例的信号控制装置2的控制流程。以下,示出联动装置1和信号控制装置2中的信号控制的流程。
首先,联动装置1的各系的计算部基于联动逻辑,按照列车的在线状态决定各列车前进的道路,计算用于对设置在站内的信号设备3进行控制的控制数据(9001),向自系的码生成部发送控制数据(9002)。此外,1系的计算部11将控制数据101发送给发送部401(9003)。
接下来,各系的码生成部对由计算部接收到的控制数据计算错误检测码(9004),作为码数据发送给发送部401(9005)。
在上述所述的错误检测码是针对所发送的数据,在通信路径上发生了比特乱码等的通信错误的情况下,用于对该错误进行检测的信息。码生成部具备用于生成错误检测码的算法,例如使用奇偶码、校验和(checksum)、循环冗余校验(CRC)、哈希函数。另外,在本实施例中针对利用错误检测码的情况进行了叙述,但是作为能够检测错误并且进行订正的纠错码,例如还可以利用循环汉明(Hamming)码、里德·所罗门(Reed-Solomon)码等。
此外,设错误检测码是各系固有的,具有即使在计算部异常动作的情况下也不能计算出其他系的错误检测码的性质。该性质,通过例如作为码生成算法,各系利用使用了不同的多项式的CRC,或者将控制数据中附加了各系独自的信息得到的数据作为哈希函数的输入,来实现。或者,对控制数据附加各系独自的信息(识别信息、秘密信息等),并且对其计算码,采用这种方式也可以实现本性质。此外,也可以在各系利用不同的算法/不同的编码方式(例如在1系利用CRC,在2系利用哈希函数,在3系利用奇偶码)。本实施例中的“不同的算法/不同的编码方式/固有的算法/固有的编码方式”,是指“对相同的输入,输出不同”。因此,即使算法、编码方式本身的种类相同,由于系数等的设定而对于输入可获得固有的输出结果,也表示“不同的算法/不同的编码方式/固有的算法/固有的编码方式”。
发送部401将从各系的码生成部接收到的码数据(102、202以及302)、以及从1系的计算部11接收到的控制数据101作为发送电文5发送给信号控制装置2(9006)。在本实施例中,针对将这些数据汇集在一个电文中的情况进行了叙述,但是在对控制没有影响的情况下,也可以向信号控制装置2分别发送各数据。
为了避免码数据的固定故障,即使是相同的控制内容,也可以使码数据的值具有可以按每控制周期进行变更的性质。这例如通过将每控制周期的编号包含在码计算中来实现。据此,例如在发送部401发生故障,将过去的控制数据101、码数据(102、202以及302)发送给了信号控制装置2的情况下,通过编号检查,检测到码数据是过去的值,作为不正确的控制数据101而废弃。
当然,若不考虑针对各系中的改写的危险性,则也可以在各系使用相同的码生成算法,也可以根据码数据向固定故障的对应程度,将码数据的值持续使用一定期间,或者在控制周期的常数倍的时间持续使用相同的编码方式。
若信号控制装置2的接收部501由联动装置1的发送部401接收到发送电文5(9011),则将控制数据101以及码数据发送给码验证部502(9012)。
码验证部502使用由接收部501接收到的3个系的码数据(102、202以及302),验证在1系的计算部11计算出的控制数据101中是否没有错误(9013)。针对1系的控制数据101,在至少2个以上的系的码数据的验证中没有检测到错误的情况下,判断为在该控制数据101中没有错误,向信号控制部503发送控制数据101(9014)。此外,在2个以上的系的码数据的验证中检测到错误的情况下,判断为在该控制数据101中存在错误,不许可向信号控制部503发送控制数据101,向信号控制部503通知异常状态(9015)。
说明使用了码数据的控制数据的验证。码验证部502知道码生成部(12、22以及32)中的各种编码方式,根据接收到的控制数据101,通过各系固有的编码方式,生成用于与各个码数据进行核对的码核对用数据(1502、2502以及3502)。通过将各个码核对用数据、与对应的系的码数据(102、202以及302)进行核对,从而进行控制数据和各码数据的验证。码生成部使用的编码方式可以预先登记在码验证部502中,也可以在发送部401与接收部501之间进行通信来共享,也可以使用其他无线传输方式。作为对应的系的发现方法,可以预先在头信息中记录各码数据的位置,也可以通过循环比较(総当り)来判断各码核对用数据与各码数据的各个一致/不一致。
在本实施例中,使用3个系计算出的3个码数据,进行总共3次的错误检测处理。即,进行对1系的控制数据101使用了1系的码数据102的错误检测处理、对1系的控制数据101使用了2系的码数据202的错误检测处理、对1系的控制数据101使用了3系的码数据302的错误检测处理。因为使用了各系独自的码,所以码验证部502适用与各系对应的码验证算法。另外,即使在使用了1系的码数据的错误检测处理检测到了错误的情况下,若在其他2个系没有检测到错误检测,则判断为1系的控制数据101没有错误。在判断为一个系的码不正确的情况下,判断为发生了该系的计算部或者码生成部的错误计算、或者在通信路径上通信错误。为了维护,期望该信息作为错误日志记录在联动装置1或者信号控制装置2内,或者通知给维护人员、维护设备。
信号控制部503在由码验证部502接收到控制数据101的情况下,按照该控制数据101对信号设备3进行控制(9016)。由码验证部502通知了异常的情况下,将信号设备3向安全侧(停止示象或者灯火管制等)进行控制(9017)。
以下示出,在联动装置1实施的各处理过程中,在假设发生了异常处理的情况的情况下,也可以确保信号设备3的安全性。另外,信号控制装置2在一定期间没有从联动装置1接收到有效的电文的情况下,将信号设备3向安全侧进行控制。
首先,示出1系的计算部11发生了异常动作的情况。作为1系的计算部11的异常动作,假设“将错误的控制数据101发送给发送部401、或者码生成部12”、“没有向发送部401、或者码生成部12发送控制数据101”这样的状况。在1系发送了错误的控制数据101的情况下,基于该控制数据101计算码数据102,并且将错误的控制数据101以及码数据102发送给信号控制装置2的码验证部502。信号控制装置2对1系的错误的控制数据101以及码数据102、以及从其他系(2系、3系)接收到的码数据(202以及302)进行验证。在该情况下,1系的控制数据101和1系的码数据102的验证有可能被看做是正当的,但是因为正当的2系以及3系的计算部计算出与1系的控制数据101不同的控制数据,并且对其计算出码数据(202以及302),所以使用了1系的控制数据101的2系以及3系的码数据(202以及302)的验证被看做不正确。因此,看做控制数据101的异常,向信号控制部503通知异常从而向安全侧进行控制。此外,在1系不发送控制数据101的情况下,信号控制装置2确认了在一定期间没有接收到有效的电文之后,将信号设备3向安全侧进行控制。
示出2系的计算部21进行了异常动作的情况。作为2系的计算部21的异常动作,假设“向码生成部22发送错误的控制数据”这样的状况。在2系将错误的控制数据发送给码生成部22的情况下,基于该控制数据计算码数据202,并且发送给信号控制装置2的码验证部502。信号控制装置2对1系的控制数据101、以及2系的错误的码数据202、以及从其他系(1系、3系)接收到的码数据(102以及302)进行验证。在该情况下,1系的控制数据101和1系以及3系的码数据(102以及302)的验证被看做是正当的,但是1系的控制数据101和2系的码数据202的验证被看做不正确。因此,看做2系的码数据202的异常,基于控制数据101可以控制信号设备3。因为3系的计算部31的异常动作与2系的情况相同,所以省略。
接下来,示出1系、2系或者3系的码生成部进行了异常动作的情况。作为码生成部(12、22以及32)的异常动作,假设“向发送部401发送错误的码数据”、“不向发送部401发送码数据”这样的状况。在一个系计算出了错误的码数据(102、202或者302)的情况下,该错误的码数据被发送给信号控制装置2的码验证部502。信号控制装置2对1系的控制数据101、以及一个系的错误的码数据、以及从其他2个系接收到的正当的码数据进行验证。在该情况下,1系的控制数据101和正当的2个系的码数据的验证被看做是正当的,但是1系的控制数据101和一个错误的码数据的验证被看做不正确。因此,看做错误的一个系的码数据的异常,基于1系的控制数据101控制信号设备3。在一个系的码生成部不发送码数据的情况下,若信号控制装置2接收到了控制数据101以及其他2个系的码数据,则可以基于控制数据101对信号设备3进行控制。
最后,示出发送部401进行了异常动作的情况。作为发送部401的异常动作,假设“对控制数据101或者各系的码数据进行变更并进行发送”、“不向信号控制装置2发送发送电文5”这样的状况。在改写了控制数据101的情况下,与作为1系的异常动作的一种的计算出了错误的控制数据101的情况相同,在信号控制装置2进行码验证时检测出来。作为改写了各系的码数据的情况,在例如假设用1系的码数据改写了2系的码数据的状况的情况下,因为码验证部502对各系的码数据使用不同的码验证算法,所以在进行了改写的情况下,由码验证部502看做是不正确的码。
在本构成中,在联动装置1内的一个系在异常时能够生成其他系的码的情况下,有可能将信号设备3控制到危险侧。例如1系发生异常动作从而计算出错误的控制数据101,并且计算出本系以及其他系的码数据发送给信号控制装置2,由此信号控制装置2的码验证部502有可能错过控制数据101的错误,基于错误的控制数据101控制信号设备3。因此,在本构成中,即使一个系发生异常动作,也不能计算出(伪造)其他系的码数据的性质变得重要。通过具有该性质,例如即使在从各系向发送部401的通信线短路(混触)从而改写了其他系的数据的情况下,通过验证码数据也可以检测异常。
此外,为了防止联动装置1、信号控制装置2的故障潜在化,可以进行基于定期的错误控制数据、或者错误码数据输入的故障诊断。例如为了诊断,联动装置1的1系的计算部11可以定期地计算错误控制数据101,并且确认信号控制装置2的码验证部502是否对其正确地检测到不正确并进行通知。通过使码验证部502具有所计算出的是错误控制数据的信息,可以1系、2系的任一个或者双方输出错误控制数据。此外,通过具备未图示的警报装置,在检测到不正确的情况下,可以输出警报。
优选在联动装置1、信号控制装置2、信号设备3、网络4的任一个设置监视器、或者通过声音通知处理状况的单元、或者这双方,从而可以容易地确认联动装置1或者信号控制装置2内的处理状况。
本实施例基于联动装置1内的多个系同时发生同一故障的概率较低这样的假设来确保安全性。因此,需要降低由于电源电压异常、EMC、温度变化等而引起的多个系的同时同一故障的概率的对策。因此,例如优选各系安装到不同的硬件。此外,联动装置1内的各处理系,只要不影响控制,没有必要一定汇集在一个地方,例如也可以配置在物理上不同的场所。
如上所述,只要2个以上的系不发生异常动作,通过码验证部502检测异常。因此,即使联动装置1内任意一个系和发送部401同时发生了故障,也不影响安全性,所以可以通过将发送部401包含在任一系之中,来简化系统构成。图2中示出本构成。
此外,本实施例中重要的是,码数据(102、202以及302)分别根据计算部11、21以及31的各自的控制数据而作成,而由码验证部502生成的码核对用数据基于来自计算部11的控制数据101而生成。在码生成部和码验证部中针对相对应的系使用相同的编码算法,但是例如对于码数据202和码核对用数据2502,因为编码之前的控制数据的系不同(码数据202来自2系,码核对用数据2502来自1系),所以例如在控制数据101本身不正确的情况下,在码验证部502中对于码数据202(来自2系)与码核对用数据2502(来自1系)、以及码数据302(来自3系)与码核对用数据3502(来自1系),核对不成立,能够发现系统的不良。因此,在保障故障安全性上,也可以不一定进行来自同一系的码数据102(来自1系)与码核对用数据1502(来自1系)的核对。图3中示出本构成。在图3中,能够减少码生成部,可以进一步简化系统。在码验证部502中,进行控制数据101与码数据202以及302的核对,若至少一个是正当的,则可以将控制数据101判断为正当。但是,如图1所示,在进行码数据102与码核对用数据1502的核对的情况下,还能够判断控制数据101在联动装置内是否产生了不良,或者从网络4与信号控制装置2之间是否产生了不良。
若能够进行成为用于控制信号设备3的数据的候补的控制数据、与根据与该控制数据不同的控制数据所计算出的码数据的验证,则码验证可以在系统上、发送侧、网络上、接收侧的任一处。例如,若在发送侧进行码验证,则能够由发送侧装置输出具有可靠性的码数据。
利用的码生成算法,根据通信环境来分别使用成为有效。例如在作为铁路专用有线网络的网络4等,通信路径错误少、第三者难以访问的通信环境下,能够利用安装简单并且高速的算法。另一方面,在通用无线网络等,第三者容易访问的通信环境下,需要使用了秘密密钥的哈希函数等加密性地强度高的算法。
在上述的构成中,1系的计算部11将控制数据101发送给发送部401,但是为了提高针对通信错误的可靠性,可以从多个系发送控制数据。
此外,如图4所示,可以通过附加控制信息选择部61,来控制控制数据的选择方法。例如,控制信息选择部61可以从各系的控制数据中选择按每个控制周期、或者按每一定期间向发送部401输出的控制数据。选择方法可以是随机的,也可以依次选择各系。通过控制信息选择部61,各系的计算部(11、21以及31)的潜在故障变得容易被发现。当然,若具有发送部401和各系进行相互收发的功能,则发送部401也可以进行控制信息的选择。
在本实施例中,设为为了省略联动装置侧的故障安全的机构。当然,在采取在联动装置侧不收集来自多重系的数据而直接进行并行发送的构成的情况下,也可以在网络上、或者接收装置侧采取本实施例的构成。也就是说,也可以信号控制装置2、车上逻辑部采用本构成。
【实施例2】
在本实施例中,说明联动装置1内的发送部411基于各系的码生成部(13、23以及33)计算出的数据,生成一个错误检测码数据402,将控制数据101以及构成的错误检测码数据402发送给信号控制装置2的例子。图5是实施例2中的构成。联动装置1、信号控制装置2、信号设备3、网络4、发送电文5与实施例1对应,在没有特别说明的情况下是相同的构成。
作为根据从多个系接收到的码数据构成可以验证的一个码数据的方式,例如可以应用秘密函数分散。所谓秘密函数分散,是将秘密函数向多个系(i)进行分散编码的方法,是如下方式:为了计算针对向该函数(F)的输入(X)的输出(Vi),各系使用本系保持的各个分散信息(Wi)进行针对该输入的计算Vi=F(Wi,X),通过从某一常数以上的系获得计算结果,来计算输出。此外,在用于各系进行计算的函数本身具有分散信息的情况下,上述计算也可以是Vi=Fi(X)。通过将这些输出(Vi)收集一定数量以上,从而能够解码正确的输出(V)。
在本实施例中,例如将错误检测码生成算法作为秘密函数,将该函数进行分散化从而各系的码生成部(13、23以及33)进行保存。码生成部将控制数据作为输入,将通过具备各个分散信息的算法而进行了编码的分散码数据输出给发送部411。发送部411基于所接收到的多个系的分散码数据,生成针对控制数据101的一个错误检测码数据402,发送给信号控制装置2。
该错误检测码数据402具有如下性质:若来自各系的计算结果即分散码数据有一定数量以上不正确,则不能正确地被输出。在本实施例中示出了3系的情况,所以发送部411既可以设定为在3系全部可以输出正确的分散码数据的情况下能够计算出错误检测码数据402,也可以设定为在至少2系能够输出正确的分散码数据的情况下能够计算出错误检测码数据402。
信号控制装置2内的码验证部512具备对该错误检测码进行验证的算法,判断码的正当性。在该构成中,即使发送部411发生故障从而进行了异常动作,只要不能从各系获得分散码数据,就不能计算出有效的错误检测码数据402。因此,发送部411在故障时也不能计算出错误的控制数据101和与其对应的有效的错误检测码数据402,保证了针对信号控制装置2的安全性。此外,若来自各系的分散码数据有一定数量以上不正确,则错误检测码数据402也变为包含错误,所以在码验证部52能够检测异常。据此,不再需要向信号控制装置2发送多个码数据,所以信号控制装置2内的码验证部512不需要具备多个码验证算法,只要具备错误检测码数据402的编码算法即可。
此外,在实施例2中,通过具有图4所示的联动装置1的构成、或者发送部411与各系相互收发的功能,也可以按每个控制周期来变更控制数据的选择方法。据此,变得容易发现各系的计算部的固定故障。而且,为了进一步提高可靠性,可以至少按每个控制周期来变更对错误检测码进行验证的算法、或者使验证错误检测码的算法分散化时的分散信息。
【实施例3】
在本实施例中,示出联动装置1内具备码事前验证部42的例子。图6中示出本构成。联动装置1、信号控制装置2、信号设备3、网络4、发送电文5与实施例1对应,只要没有特别说明则是相同的构成。
在向信号控制装置2发送控制数据101之前,由码事前验证部42进行码的验证,由此能够防止错误的控制数据101流出到联动装置1的外部。据此,与实施例1相比较,更早地检测控制数据101的异常,原因确定、排除、以及维护成为可能。此外,因为由联动装置1能够进行控制数据的验证,所以根据本实施例的构成,通过发送器,削减联动装置内的故障安全的机构,在保证故障安全性的基础上,能够实现系统的简化/低成本化这样的效果。发送部421在通过码事前验证部42的验证,判断为控制数据101是正当的情况下,将控制数据101和码数据102输出给信号控制装置2。码事前验证部42进行的控制数据和码数据的正当性的验证,可以利用与实施例1中的码验证部522相同的方法进行。
联动装置1内的码事前验证部42利用的码验证算法,期望具有能够进行码验证但是不能进行码生成的性质。该性质,可以通过利用例如RSA签名、DSA签名、椭圆ElGamal签名等电子签名中所使用的验证算法来实现。通过利用具备了该性质的验证算法,即使在联动装置1内的码事前验证部42发生了异常动作的情况下,因为码事前验证部42不能正确地计算出各系的码,所以即使码事前验证部42发送了错误的控制数据101,信号控制装置2的码验证部522也能够检测该错误。此外,对于码验证,只要使用至少一个控制数据即可,在本实施例中使用控制数据101。
在码事前验证部42利用的码验证算法不具有上述性质的情况下(即,在利用可以进行码验证和码生成的验证算法的情况下),码事前验证部42故障时,错误的控制数据101以及码事前验证部42被要求具有故障安全性。例如可以采用如下方式:采取使码事前验证部42多重化的构成,对相互的处理进行核对,在不一致的情况下,停止动作。
在实施例1中将1系的控制数据101以及各系的码数据作为发送电文5来进行发送,但是在本构成中在联动装置1的码事前验证部42具有故障安全性的情况下,例如可以将1系的控制数据101、和1系的码数据102作为发送电文5进行发送。据此,联动装置1以及信号控制装置2间的通信负载减轻,并且码验证部522不需要具备多个码验证算法。
【实施例4】
在本实施例中,示出在控制数据发生了错误的情况下替换为正确的控制数据的例子。图7示出实施例4中的构成。联动装置1、信号控制装置2、信号设备3、网络4、发送电文5与实施例1相对应,在没有特别说明的情况下是相同的构成。
与实施例1不同,各系将控制数据(101、201、以及301)、和码数据(102、202以及302)发送给发送部401,发送部401根据各系的控制数据和码数据生成发送电文5。
码验证部502对控制数据101验证与各系的码数据(102、202以及302)的正当性,判断控制数据101的正当性。正当性的判断,可以与实施例1相同,也可以不使用码数据102。这里,若在将控制数据101判断为不正确的情况下,对控制数据201进行与各码数据的正当性的验证。在将控制数据201判断为正当的情况下,代替控制数据101输出控制数据201,在将控制数据201判断为不正确的情况下,进行控制数据301的正当性的验证,同样地基于控制数据301的正当性的验证来决定可否输出控制数据301。当然,也可以与控制数据101的正当性的判断无关地,判断控制数据201、控制数据301的正当性。对多个控制数据的正当性进行验证,在存在多个判断为正当的控制数据的情况下,向信号控制部503发送的控制数据可以选择判断为正当的控制数据中的至少任一个。在没有要发送的控制数据的情况下,判断为在系统上发生了通信错误。
Claims (17)
1.一种信息处理系统,至少具有两个基于输入数据生成用于控制控制对象设备的控制数据的处理部,该信息处理系统的特征在于,
所述信息处理系统具有:
1系的处理部,其输出基于所述输入数据而生成的1系的控制数据;
2系的处理部,其输出利用2系固有的编码算法对基于所述输入数据而生成的2系的控制数据进行了编码的2系的码数据;和
控制部,其接收所述1系的控制数据和所述2系的码数据,并且基于所述1系的控制数据与所述2系的码数据的正当性的验证结果,决定可否将所述1系的控制数据发送给所述控制对象设备。
2.根据权利要求1所述的信息处理系统,其特征在于,
所述1系的处理部输出利用1系固有的编码算法对所述1系的控制数据进行了编码的1系的码数据,
所述控制部接收所述1系的码数据,并且
基于所述1系的控制数据与所述2系的码数据的正当性的验证结果、和所述1系的控制数据与所述1系的码数据的正当性的验证结果中的两个所述验证结果,决定可否将所述1系的控制数据发送给所述控制对象设备。
3.根据权利要求2所述的信息处理系统,其特征在于,
所述控制部在所述1系的控制数据与所述2系的码数据的正当性的验证结果、和所述1系的控制数据与所述1系的码数据的正当性的验证结果中的两个所述验证结果为正当的情况下,判断为所述1系的控制数据是正当的并且进行向所述控制对象设备的发送。
4.根据权利要求2所述的信息处理系统,其特征在于,
所述控制部接收所述2系的控制数据,
基于所述1系的控制数据与所述2系的码数据的正当性的验证结果、以及所述2系的控制数据与所述1系的码数据的正当性的验证结果,
决定可否将所述1系的控制数据发送给所述控制对象设备、以及可否将所述2系的控制数据发送给所述控制对象设备,
在所述1系的控制数据、以及所述2系的控制数据中任意一方的控制数据可以发送的情况下,发送该可以发送的控制数据,
在所述两个控制数据都可以发送的情况下,可以选择要发送的控制数据。
5.根据权利要求2所述的信息处理系统,其特征在于,
所述控制部在不许可发送所述1系的控制数据的情况下,
接收所述2系的控制数据,
基于所述2系的控制数据与所述1系的码数据的正当性的验证结果,
决定可否将所述2系的控制数据发送给所述控制对象设备。
6.根据权利要求2~5中的任意一项所述的信息处理系统,其特征在于,
使所述1系固有的编码算法、或者所述2系固有的编码算法、或者这双方可以至少按每个控制周期发生变更。
7.根据权利要求2~5中的任意一项所述的信息处理系统,其特征在于,
所述1系固有的编码算法、或者所述2系固有的编码算法是奇偶码、校验和、循环冗余校验、哈希函数、循环汉明码、里德·所罗门码中的任一种。
8.根据权利要求1~5中的任意一项所述的信息处理系统,其特征在于,
所述1系的处理部、或者所述2系的处理部、或者这双方,输出包含错误的数据的控制数据,
在所述控制部未检测出所述包含错误的数据的控制数据的不正确的情况下,判断为在信息处理系统发生了异常,并且输出警报。
9.根据权利要求1~5中的任意一项所述的信息处理系统,其特征在于,
所述信息处理系统具备显示所述控制数据的生成、所述码数据的生成、和所述控制部的验证中的至少一个的处理状况的监视器、或者通过声音通知所述处理状况的单元、或者所述监视器和所述单元这双方。
10.根据权利要求1~5中的任意一项所述的信息处理系统,其特征在于,
所述控制对象设备是信号设备。
11.一种输出控制装置,从至少具有两个基于输入数据生成用于控制控制对象设备的控制数据的处理部的数据生成装置接收所述控制数据,并且控制所述控制对象设备,所述输出控制装置的特征在于,具有:
控制部,其接收基于所述输入数据而生成的1系的控制数据、和利用2系固有的编码算法对基于所述输入数据而生成的2系的控制数据进行了编码的2系的码数据,并且基于所述1系的控制数据与所述2系的控制数据的正当性的验证结果,决定可否将所述1系的控制数据发送给所述控制对象设备。
12.根据权利要求11所述的输出控制装置,其特征在于,
所述控制对象设备是信号设备。
13.一种数据生成装置,至少具有两个基于输入数据生成用于控制控制对象设备的控制数据的处理部,并且将所述控制数据发送给对所述控制对象设备进行控制的输出控制装置,所述数据生成装置的特征在于,具有:
1系的控制部,其输出基于所述输入数据而生成的1系的控制数据;和
2系的处理部,其输出利用2系固有的编码算法对基于所述输入数据而生成的2系的控制数据进行了编码的2系的码数据,
基于所述1系的控制数据与所述2系的码数据的正当性的验证结果,决定可否将所述1系的控制数据发送给所述控制装置。
14.根据权利要求13所述的数据生成装置,其特征在于,
至少使用RSA签名、DSA签名、椭圆ElGamal签名的任一种进行所述2系的码数据的验证。
15.一种数据生成装置,至少具有两个基于输入数据生成用于控制控制对象设备的控制数据的处理部,并且将所述控制数据发送给对所述控制对象设备进行控制的控制装置,所述数据生成装置的特征在于,
1系的处理部,其输出利用具有1系的分散信息的算法对基于所述输入数据而生成的1系的控制数据进行了编码的1系的分散码数据;和
2系的处理部,其输出利用具有2系的分散信息的算法对基于所述输入数据而生成的2系的控制数据进行了编码的2系的分散码数据,
在所述1系的分散码数据和所述2系的分散码数据都是正当的情况下,使用所述1系的分散码数据和所述2系的分散码数据,生成能够验证所述1系的控制数据的正当性的码数据,并且将该码数据和所述1系的控制数据发送给所述控制装置。
16.根据权利要求15所述的数据生成装置,其特征在于,
能够至少按照每个控制周期来变更具有所述分散信息的算法。
17.根据权利要求13~16中的任意一项所述的数据生成装置,其特征在于,
所述控制对象设备是信号设备。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012-143677 | 2012-06-27 | ||
JP2012143677A JP5975753B2 (ja) | 2012-06-27 | 2012-06-27 | 情報処理システム、出力制御装置、およびデータ生成装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103513646A CN103513646A (zh) | 2014-01-15 |
CN103513646B true CN103513646B (zh) | 2016-09-21 |
Family
ID=48747921
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310254488.6A Active CN103513646B (zh) | 2012-06-27 | 2013-06-25 | 信息处理系统、输出控制装置以及数据生成装置 |
Country Status (4)
Country | Link |
---|---|
EP (1) | EP2680148B1 (zh) |
JP (1) | JP5975753B2 (zh) |
CN (1) | CN103513646B (zh) |
BR (1) | BR102013016622B1 (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017187632A1 (ja) * | 2016-04-28 | 2017-11-02 | 三菱電機株式会社 | 車上装置、地上データ管理装置、地車間通信セキュリティシステム及び地車間通信方法 |
CN106094581B (zh) * | 2016-06-08 | 2019-03-08 | 美的集团股份有限公司 | 控制数据监测装置及方法 |
JP7082084B2 (ja) * | 2019-04-05 | 2022-06-07 | 公益財団法人鉄道総合技術研究所 | 情報送受信システム、情報送受信方法、および、プログラム、ならびに、連動論理処理装置、および、電子端末 |
CN114025001A (zh) * | 2021-10-25 | 2022-02-08 | 安庆师范大学 | 一种基于云服务的席卡信息传输控制系统 |
CN114802368B (zh) * | 2022-04-14 | 2023-09-26 | 通号城市轨道交通技术有限公司 | 联锁系统的设备控制方法、系统、装置、设备和存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1306482A (zh) * | 1998-06-19 | 2001-08-01 | 株式会社日立制作所 | 多重系统处理装置及其连接的控制器和多重系统处理系统 |
US20090259885A1 (en) * | 2008-04-14 | 2009-10-15 | The Charles Stark Draper Laboratory, Inc. | Systems and methods for redundancy management in fault tolerant computing |
CN101111822B (zh) * | 2005-01-28 | 2010-12-15 | 横河电机株式会社 | 信息处理设备和信息处理方法 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4103660B2 (ja) | 2003-03-31 | 2008-06-18 | 株式会社日立製作所 | 多重系情報処理装置 |
JP4782406B2 (ja) * | 2004-11-16 | 2011-09-28 | 横河電機株式会社 | 2重化システム |
DE102009005266A1 (de) * | 2009-01-20 | 2010-07-22 | Continental Teves Ag & Co. Ohg | Anbindung eines Kommunikationscontrollers in Sicherheitsarchitekturen |
JP4954249B2 (ja) * | 2009-07-22 | 2012-06-13 | 株式会社京三製作所 | 電子端末装置及び電子連動装置 |
JP5416506B2 (ja) | 2009-08-07 | 2014-02-12 | 株式会社日立製作所 | Cpu脱着型のフェールセーフ装置及びフェールセーフ用プログラム |
JP5612995B2 (ja) * | 2010-10-05 | 2014-10-22 | 株式会社日立製作所 | 入力バイパス型のフェイルセーフ装置及びフェイルセーフ用プログラム |
-
2012
- 2012-06-27 JP JP2012143677A patent/JP5975753B2/ja active Active
-
2013
- 2013-06-25 EP EP13173527.6A patent/EP2680148B1/en active Active
- 2013-06-25 CN CN201310254488.6A patent/CN103513646B/zh active Active
- 2013-06-27 BR BR102013016622-7A patent/BR102013016622B1/pt not_active IP Right Cessation
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1306482A (zh) * | 1998-06-19 | 2001-08-01 | 株式会社日立制作所 | 多重系统处理装置及其连接的控制器和多重系统处理系统 |
CN101111822B (zh) * | 2005-01-28 | 2010-12-15 | 横河电机株式会社 | 信息处理设备和信息处理方法 |
US20090259885A1 (en) * | 2008-04-14 | 2009-10-15 | The Charles Stark Draper Laboratory, Inc. | Systems and methods for redundancy management in fault tolerant computing |
Also Published As
Publication number | Publication date |
---|---|
JP5975753B2 (ja) | 2016-08-23 |
EP2680148B1 (en) | 2015-01-07 |
JP2014006826A (ja) | 2014-01-16 |
BR102013016622B1 (pt) | 2020-12-01 |
EP2680148A1 (en) | 2014-01-01 |
CN103513646A (zh) | 2014-01-15 |
BR102013016622A2 (pt) | 2015-07-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103513646B (zh) | 信息处理系统、输出控制装置以及数据生成装置 | |
US10272933B2 (en) | Railway safety critical systems with task redundancy and asymmetric communications capability | |
US9457821B2 (en) | Railroad signaling and communication system using a fail-safe voltage sensor to verify trackside conditions in safety-critical railroad applications | |
US20140074327A1 (en) | Railway train critical systems having control system redundancy and asymmetric communications capability | |
US9953521B2 (en) | Protected transmission of independent sensor signals | |
US8032078B1 (en) | Wayside monitoring systems | |
US7673217B2 (en) | Method of detecting data transmission errors in a CAN controller, and a CAN controller for carrying out the method | |
CN104977907B (zh) | 容错性失效保护系统和方法 | |
US20210349443A1 (en) | Method and apparatus for the computer-aided creation and execution of a control function | |
TWI790215B (zh) | 用於鐵路環境下重要通信的安全管理的設備和方法 | |
CN108599896B (zh) | 一种基于冗余编码系统的crc校验系统及方法 | |
US20110309204A1 (en) | Device for detecting the occupied state and the free state of a track section as well as method for operating such a device | |
US20170126701A1 (en) | Method and device for the protection of data integrity through an embedded system having a main processor core and a security hardware module | |
CN104750594A (zh) | 用于监控电路的监控装置 | |
CN104247326B (zh) | 现场总线数据传输 | |
CN108572893A (zh) | 用于安全系统的端到端fpga诊断 | |
DE102013108006A1 (de) | Kommunikationsanordnung | |
JP5161158B2 (ja) | Atc送信器 | |
EP2824572B1 (en) | Fail safe device and method for operating the fail safe device | |
Wołoszyk et al. | Communication in safety systems for railway transport using the example of axle counter | |
CN113422672B (zh) | 一种控制命令执行状态的安全显示方法 | |
BR102016022338B1 (pt) | método, controlador e sistema para detectar um vazamento de um sinal de linha em pelo menos uma linha férrea | |
JP2018207649A (ja) | 車両制御装置 | |
JP2011248625A (ja) | 制御装置の故障診断回路および故障診断方法 | |
JP2020170981A (ja) | 情報送受信システム、情報送受信方法、および、プログラム、ならびに、連動論理処理装置、および、電子端末 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |