CN1253765C - 多重系统处理装置及多重系统处理系统 - Google Patents
多重系统处理装置及多重系统处理系统 Download PDFInfo
- Publication number
- CN1253765C CN1253765C CNB998076163A CN99807616A CN1253765C CN 1253765 C CN1253765 C CN 1253765C CN B998076163 A CNB998076163 A CN B998076163A CN 99807616 A CN99807616 A CN 99807616A CN 1253765 C CN1253765 C CN 1253765C
- Authority
- CN
- China
- Prior art keywords
- treating apparatus
- result
- multiplicated
- data
- controller
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000012545 processing Methods 0.000 title claims abstract description 54
- 238000004891 communication Methods 0.000 claims description 5
- 238000012546 transfer Methods 0.000 claims description 4
- 230000007704 transition Effects 0.000 description 30
- 238000009826 distribution Methods 0.000 description 24
- 230000035899 viability Effects 0.000 description 13
- 230000005540 biological transmission Effects 0.000 description 8
- 238000000034 method Methods 0.000 description 7
- 230000009471 action Effects 0.000 description 6
- 230000015572 biosynthetic process Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 238000006243 chemical reaction Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 241001269238 Data Species 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 241001062009 Indigofera Species 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- JEIPFZHSYJVQDO-UHFFFAOYSA-N ferric oxide Chemical compound O=[Fe]O[Fe]=O JEIPFZHSYJVQDO-UHFFFAOYSA-N 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 239000011435 rock Substances 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
- 238000010626 work up procedure Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/18—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
- G06F11/182—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits based on mutual exchange of the output between redundant processing components
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L1/00—Devices along the route controlled by interaction with the vehicle or train
- B61L1/20—Safety arrangements for preventing or indicating malfunction of the device, e.g. by leakage current, by lightning
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L19/00—Arrangements for interlocking between points and signals by means of a single interlocking device, e.g. central control
- B61L19/06—Interlocking devices having electrical operation
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/18—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
- G06F11/183—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
- G06F11/184—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/18—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
- G06F11/187—Voting techniques
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- General Engineering & Computer Science (AREA)
- Mechanical Engineering (AREA)
- Automation & Control Theory (AREA)
- Hardware Redundancy (AREA)
- Train Traffic Observation, Control, And Security (AREA)
- Multi Processors (AREA)
- Processing Of Solid Wastes (AREA)
Abstract
本发明的多重系统处理装置,以不损害安全为前提,实现不增加多重系统处理装置与控制器间的配线,能适用于大型车站且执行时间短的装置。这种装置由分别接收相同的输入,进行相同处理,输出生成的各处理结果的多个处理装置构成,多个处理装置中以任意一个处理装置作为主系统处理装置,其它的作为副系统处理装置,主系统处理装置由收集多个副系统处理装置和主系统处理装置的处理结果的收集部,以及向控制器输出由收集部收集来的处理结果的输出部构成。
Description
技术领域
本发明是涉及使多个处理装置进行相同处理,依据各处理装置的处理结果,对控制对象装置进行控制的多重系统处理装置,特别是涉及在铁路行业,控制对象装置是要求高可靠性的信号机和转轨机等的列车控制器,对这种控制对象装置能进行高效率的数据传送的多重系统处理装置及多重系统处理装置系统。
背景技术
铁路行业的处理系统为了控制信号机和转轨机的控制器,接收「列车位置」、「转轨机状态」、「信号机状态」,根据其关系控制信号机和转轨机。它们的功能结构由以下两部分构成:(1)读取列车位置和转轨机方向等的信息,判定取入的信息的连锁关系,遵从上位装置的命令,根据判定结果和命令,对控制器输出转轨机的转换命令和信号机的控制命令的处理装置,(2)遵从处理装置的命令,进行转轨机转换或信号机指示灯点亮等的电力控制的控制器。
进行信号机的信号切换和转轨机的切换等的控制器及向该控制器发出命令的处理装置的故障直接联系到列车事故,因此要求安全性及从而也要求高可靠性。而且,这些系统的基本思想是,实现即使在这些系统发生故障的情况下,也保持安全状态停止动作的「故障保险系统」。为实现故障保险的处理装置和信号机等的控制器,往往使用多重系统构成的处理装置。多重系统构成的处理装置的安全性是基于「多台计算机同时发生故障,作出同样的错误信息的几率微乎其微」的考虑。
根据多重系统构成的处理装置的输出发出控制命令时,把多重系统构成的处理装置输出的多个输出组成1组,而且有必要保证其正当性。基于这种考虑的已有技术如文献「岩本他:新电子连动装置和现场机器的信息传送:第29回铁路行业利用控制论国内专题讨论会论文集P.499~503,(1992)」(第1项已有技术)所述,揭示了由多重系统构成的连动逻辑装置(多重系统处理装置)与具有故障保险性的信号机控制器之间安全地进行信息传送的技术。这种已有的技术,首先以多重系统构成的处理装置中的一个作为主系统处理装置,由这个主系统处理装置向信号机控制器和副系统处理装置发出控制命令,接收控制命令的副系统处理装置进行监视该控制数据是否正确的控制记录,而且信号机控制器将收到的控制命令送回处理装置,从信号机控制器接收到控制命令的答复的全部处理装置,验证该控制命令的正当性,如果没有问题,主系统处理装置首先就根据发送到信号机控制器的控制命令,执行向信号机控制器发出开始控制的指令的控制。该项已有技术由于主系统处理装置作成的控制命令确实传送到信号机控制器的情况得到全部系统的确认后控制得以执行,安全性得以确保。而且,上述已有的例子中多重系统处理装置与控制器间有数根配线。
第2项已有技术在文献「川端等人:考虑故障发生时的继续使用条件的小型电子连动装置的开发:电气学会论文集D,p.1348~1356,(1997)」中记载。这项已有技术揭示了构成多重系统的各处理装置通过与信号机及转轨机等一一对应的位(bit)构成的并联线路输出控制命令,接收该控制命令的信号机控制器对数据的各位进行多数决定来控制转轨机及信号机的技术。此项技术因采用了对多个处理装置的输出由多数决定的方法而可以确保安全性,故无需先前所示的分2阶段的控制。另外,这个已有例中的多重系统处理装置与控制器间通常有数百根配线。
前述的第1项已有技术中,多重系统处理装置即使向控制器发出控制命令,在实际对信号机控制器进行控制时,由于执行上述控制登记和控制实行的2阶段控制,实际让信号机等动作时执行时间需要很多。而且前述的第2项已有技术因构成多重系统的各处理装置和信号机控制器由并联线路连接,并联线路数目为信号机和转轨机等控制对象的数目对应的位数,因此,一旦控制对象增加配线即增加,所以其适用处所只是控制对象少的小车站。
也就是说,第1项已有技术所示的分2阶段控制,虽然配线数少但处理时间长了,第2项已有技术所示的由信号机控制器采取多数决定的方法中,存在处理时间短但配线数多的问题。
发明内容
本发明的目的是在不破坏安全性的前提下,实现不增加多重系统处理装置与控制器间的配线,可适用于大型车站,并且执行时间短的装置。
为解决这样的问题,本发明的多重系统处理装置是由分别接受相同的输入进行相同的处理,生成各种处理结果并输出的多个处理装置构成的,多个处理装置中以任意一个处理装置作为主系统处理装置、其他处理装置作为副系统处理装置,主系统处理装置由收集多个副系统处理装置和主系统处理装置的处理结果的收集部和把收集部收集的处理结果向控制器输出的输出部构成的。由于这样由主系统处理装置收集副系统处理装置的处理结果和主系统处理装置的处理结果向控制器输出,配线数可能减少。另外,在控制器一侧,因是由多数决定或判定一致的结构,与分2阶段的控制相比,数据传送所需的处理时间可以缩短。
本发明中,构成多重系统的各处理装置保持着独特的编码密钥,数据全部由该编码密钥编码再向主系统传送。主系统将自身的数据也用自己的编码密钥编码,与副系统来的数据一起汇总输出。接收数据的处理装置保持着全译码密钥,数据用该密钥译码并进行多数决定或一致处理。这时,如果主系统无论有什么样的故障也不能得到副系统编码密钥,则煞有介事地篡改从副系统得到的数据是不可能的,从而确保了安全性。
附图概述
第1图表示本发明的多重系统处理装置的基本构成。
第2图说明构成多重系统处理装置的各处理装置的处理(演算)内容。
第3图说明构成多重系统处理装置的各处理装置的处理(演算)内容。
第4图表示本发明的控制器的处理步骤。
第5图表示本发明的控制器的处理步骤。
第6图详细说明本发明的多重系统处理装置。
第7图表示本发明的故障诊断装置的具体结构。
第8图是在本发明的多重系统处理装置和控制器间交换的数据的形式。
第9图是本发明的多重系统处理装置向控制器传送的数据结构。
第10图是本发明中用到的显示数据的形式。
第11图是本发明的主系统处理装置的处理流程图。
第12图是本发明的副系统处理装置的处理流程图。
第13图是本发明的副系统处理装置的处理流程图。
第14图是本发明的主系统处理装置的处理流程图。
本发明的最佳实施方式
下面运用第1图来详细说明本发明的基本结构。
第1图表示本发明适用的多重系统处理系统。多重系统处理装置100是由从没有图示的上位装置通过线路108,接受对信号机和转轨机等进行控制用的控制要求进行相同的处理(运算),输出各处理结果的多个处理装置101~103构成。
控制器107是实际控制连接于控制器107的信号机、转轨机和轨道电路等的控制器,是从多重系统处理装置100接收处理结果,按照收到的处理结果实际控制信号机和转轨机的。
多重系统处理装置100和控制器107是由线路121连接进行数据和信息传送的。而且,如10所示,集合由线路127连接于该多重系统处理装置100的控制器107,也可作为多重系统处理系统10。另外,线路108还具有从多重系统处理装置100向上位装置传送信号机、转轨机和轨道电路等的各种传感器信息的作用。
下面说明构成多重系统处理装置100的处理装置101~103的处理概要。
处理装置101~103是构成多重系统处理装置100的各处理装置,各处理装置101~103具有相同的功能。各处理装置101~103通过线路108从上位装置接收相同的输入(从上位装置来的信号机、转轨机的控制要求),进行相同处理(运算),输出结果。
下面说明关于本发明的基本结构的动作。
本发明中,由构成多重系统处理装置100的多个处理装置101~103中的任意一个作为主系统处理装置,其余的处理装置作为副系统处理装置。这种任选一个的主系统处理装置的选择方法,操作者可以设定,而且也可以利用定时器等根据时间切换(选择)主系统处理装置。
第1图说明处理装置101被选择为主系统处理装置,其余的处理装置102、103作为副系统处理装置时的处理。
无论主系统处理装置还是副系统处理装置,各处理装置都是根据从上位装置接收的控制要求,如下所述在处理部1012进行相同的处理后输出处理结果。
然后副系统处理装置102、103将其处理结果送给主系统处理装置。
主系统处理装置101的收集部1011收集副系统处理装置102、103送来的处理结果和自处理装置的处理结果,输出部1013通过线路121向控制器107输出各处理装置的处理结果。具体地说,由多重系统处理装置100发出转轨机转换命令,信号机控制命令等。
收到多重系统处理装置100的输出的控制器107,依据传送来的处理结果由如下所详述的多数决定等运算作成各信号机、转轨机等的控制命令,通过连接未图示的信号机、转轨机和轨道线路等现场设备的并联线路122发出控制命令。具体的说,是输出轨道线路信息等。采用这样的结构,控制器107因无需向多重系统处理装置100确认控制命令发出,可以缩短处理时间,而且多重系统处理装置100的主系统处理装置101收集了处理结果,因此线路数量也可减少。
而且,各处理装置101~103为了互相确认各处理装置是否正常工作而进行信息交换,根据该信息把握各处理装置中哪个处理装置发生异常,对各处理装置来的处理结果附加表示是正常工作着还是有异常发生的信息后传送到控制器,所以能够进行精度更高的控制。关于根据信息交换判定异常由第6图、第7图详细说明。
接着用第2图、第3图来说明多重系统处理装置100的各处理装置进行的处理(运算)。
多重系统处理装置100的各处理装置经由线路121预先从控制器107分别接收「列车位置」、「转轨机状态」、「信号机状态」等信息,根据这些预先收到的信息和上位装置的控制要求,向控制器实际发出控制命令。
具体地说,这个处理就是多重系统处理装置100通过线路108从上位装置收到如第2图所示的列车2要进入1号线的进路设定要求(控制要求)时,根据控制器107预先收到的信息,输出「1号线有列车,为防止冲突,发停止信号」的处理结果。又,从上位装置收到要进入2号线的进路设定要求(控制要求)时,根据预先收到信息输出「2号线没有列车,可通行」的处理结果。又,如第3图所示,多重系统处理装置100从上位装置收到列车2要进入2号线的进路设定要求(控制要求)时,根据预先收到的信息输出「列车前方的转轨机已经预约给列车1使用,所以不能进入2号线,发停止信号」的处理结果。
下面用第4图、第5图来说明关于控制器107进行的处理的内容。
首先用第4图说明把构成多重系统处理装置100的处理装置101~103进行的处理(运算)用的数据发送给多重系统处理装置100处理。
控制器107通过配线122取入通过配线122实际配置在控制器107上的信号机、转轨机、控制电路等来的数据(步骤401)、给取入的数据加冗余码(步骤402)、复印该数据作成三组数据(步骤403)。然后把这三组数据用与处理装置101~103对应的编码密钥分别进行编码(步骤404),附加结构信息,组成第8图(c)的形式的数据(步骤405),向多重系统处理装置100的主系统处理装置101传送数据。在控制器107一侧把数据复印构成多重系统处理装置的处理装置的数量的份数,是为了使主系统处理装置101不能篡改传送给多重系统处理装置100的主系统处理装置101的数据。
下面利用第5图说明如何处理多重系统处理装置100的主系统处理装置101传来的处理结果。
接收从多重系统处理装置100传来的处理结果(步骤501)、然后分解该处理结果给各处理装置(步骤502)。接着利用对应于处理装置101~103的译码密钥将数据译码(步骤503),确认各处理结果的冗余码(步骤504)。确认结果后废弃发现异常的处理结果(步骤505),对于未发现异常的处理结果则继续以下处理。通过这样处理的处理结果再由各位的多数决定最终的控制信息(步骤506)。依据这一结果,控制器107向连接于控制器107的实际的信号机、转轨机和控制电路等发出控制命令(步骤507)。从控制器107收到控制命令的信号机、转轨机等根据控制命令点亮信号灯,切换转轨机。
下面对根据各处理装置的相互监视诊断故障的具体例子加以说明。
本发明中构成多重系统的全部处理装置的数据暂时集中于主系统后汇总发送,而且关于全部处理装置的工作状况的数据也同时发送。因此,控制器能够了解从多重系统处理装置送来的有几组数据,可以立即实行多数决定或一致判定。这样的构成与构成多重系统的各处理装置分别将数据传送给控制器的结构相比,通信不拥挤,能够整然地传送,而且接收侧无需白白等待停止工作的处理系统的输出数据。
而且,本说明书所述的关于多重系统构成的处理系统的安全性由全部处理系统互相确认进行着完全相同的运算来确保。例如判断某接点接通(ON),是由多重系统构成的处理系统完全平行地进行,其结果也一致。这样的动作的一致是由互相交换输入输出数据或运算中的数据来确认的。
但是,收集从副系统处理装置来的数据加以归纳发送的处理是只由主系统处理装置进行的处理,没有保证其正当性的手段。其结果是,在最坏的情况下,主系将从副系统收到的数据错误地改写,作成符合条理的但却是错误的信息。这时收到数据的处理装置用多数表决、判断一致等手法也不能检出其错误,就作了错误控制。
为解决这个问题,有必要导入编码技术。所谓利用编码处理的信息传送是接收方和发送方拥有共通的密钥,发送方用该密钥将信息编码,接收方用所持的密钥译码的方式。这种方式不仅具有将编码的信息传到他处内容也不会泄漏的、编码技术本来的特征,而且还有不能进行不正当的数据篡改的大特征。因为不能不正当篡改,接收方如果收到的信息是正当的,接收方就可以确定其信息的发送者。利用这个特征,即使「收集从副系统处理装置来的数据归纳输出的主系统处理装置进行的处理」的正当性不能保证,也可以确保安全性。
下面进行详细说明。
第6图表示在第1图详述的基本结构上添加了进行故障判定的故障判定装置104~106及伴随这些装置的多个线路的结构。
在第6图中,线路109~111是为了处理装置101~103之间能够互相交换信息,互相确认各处理装置是否正常工作而配备的。处理装置101~103在各处理装置刚输入数据或信息,以及就要输出数据或信息等时通过线路109~111相互交换输入输出数据来相互确认。
首先,处理装置101~103交换数据,输出暂时的诊断结果。例如,处理装置101收到处理装置102和处理装置103来的数据,与自己的数据等进行比较,在所有的数据一致时,可判断为“处理装置101正常、处理装置102正常、处理装置103正常”;只有处理装置103的数据与自己的数据等不同时,可判断为“处理装置101正常、处理装置102正常、处理装置103异常”;只有处理装置102的数据与自己的数据不同时,可判断为“处理装置101正常、处理装置102异常、处理装置103正常”;处理装置102和处理装置103的两个数据都与自己的数据不同时,可判断为“处理装置101正常、处理装置102异常、处理装置103异常”。而且线路109~111也可用于在向控制器107传送数据等时,将数据等收集于下述主系统处理装置,或各处理装置间控制用数据或观测数据等的交换。
故障判定装置104~106是接收处理装置101~103进行的健全性判断,依据该信息判定处理装置101~103的故障的故障判定装置。
这里详细说明故障判定装置104的动作。
故障判定装置104接收处理装置101来的健全性判断信息,将该信息与故障判定装置105、106互相交换,以此判定101的故障。例如关于处理装置101的健全性的判断,如上所述,是“处理装置101正常、处理装置102正常、处理装置103正常”,“处理装置101正常、处理装置102正常、处理装置103异常”,“处理装置101正常、处理装置102异常、处理装置103正常”,“处理装置101正常、处理装置102异常、处理装置103异常”中的某一个种。故障判定装置104接收这一信息,关于处理装置102的信息向故障判定装置105发送、关于处理装置103的信息向故障判定装置106发送。而且,从故障判定装置105、故障判定装置106接收关于处理装置101的信息。即故障判定装置104接收处理装置101自身进行判断的自处理系统的判断、处理装置102关于处理装置101下的判断、处理装置103关于处理装置101下的判断3个判断结果。这里,如果2个以上的判断结果为正常,则处理装置101正常,如果不是,即判断为处理装置101异常,把该判断结果发送给处理装置101。处理装置101根据这个判断结果,继续工作或停止。故障判定装置105、106也进行与故障判定装置104相同的处理。例如,考虑处理装置101发生故障的情况。
处理装置101作健全性判断,暂定判断为全部系统正常。因处理装置102、103正常,故判断处理装置101故障。在处理装置101~103得到的各判断结果被传送到故障判定装置104~106,在那里进行如下的逻辑判断。
<故障判定装置104的判断>
关于处理装置101,处理装置101的判断:正常
关于处理装置101,处理装置102的判断:异常
关于处理装置101,处理装置103的判断:异常
因2个处理装置判断处理装置101异常,根据多数决定判定处理装置101有故障。
<故障判定装置105的判断>
关于处理装置102,处理装置101的判断:正常
关于处理装置102,处理装置102的判断:正常
关于处理装置102,处理装置103的判断:正常
因3个处理装置判断处理装置102正常,故判定处理装置102正常。
<故障判定装置106的判断>
关于处理装置103,处理装置101的判断:正常
关于处理装置103,处理装置102的判断:正常
关于处理装置103,处理装置103的判断:正常
因为3个处理装置判断处理装置103正常,所以判断处理装置103正常。
线路115、117、119是用于把处理装置101~103作出的关于各处理装置的健全性判断的信息传送给故障判定装置104~106的传送电路。
线路116、118、120是用于把故障判定装置104~106作出的关于各处理装置的故障判断的信息传送给处理装置101~103的传送电路。
线路112~114是用于把处理装置101~103作出的关于各处理装置健全性判断的信息通过故障判定装置104~106进行交换的通信线路。
线路121是用于把多重系统处理装置100作出的转轨机和信号机的控制命令传送给控制器107,或把控制器107的信息传送给多重系统处理装置100的通信线路。
下面用第7图说明故障判定装置104~106的内部结构。
在第7图中,健全性判断电路1041是用于把关于处理装置101的健全性判断的信息相应于处理装置101~103的各处理装置进行分割的电路。
配线1044、1121、1141是分别传送关于处理装置101、102、103的健全性判断结果的配线,判断为健全时发ON信号,判断为不健全时发OFF信号。这些信号由处理装置101的判断结果决定。
配线1122、1142都是传送关于101的健全性判断结果的配线,判断为健全时发ON信号,判断为不健全时发OFF信号。通过配线1122的信号是根据处理装置102的判断结果决定的,通过配线1142的信号是根据处理装置103的判断结果决定的。配线1121、1122在第6图中由112表示。在第7图中,为分别表现发送和接收,把112由发送信息用的1121和接收信息用的1122来分开表示。同样,配线1141、1142在第4图中由114表示,为区分发送和接收,用1141、1142分开表示。
配线1042是从配线1122、1142接收信号,进行逻辑和运算的电路。102、103中任何一个或两个都判断「101为健全」时,本电路就生成ON的输出。
1043是把1042的输出传给1045的配线,并传送以关于101的,102、103的健全性判断为依据的信息。
1045是从1041、1042接收信号,进行逻辑积运算的电路。1041输出101作的关于101自身的健全性判断结果,1042输出102、103作的关于101的健全性判断结果。仅在101判断101自身为健全并且102、103中任一个或两个都判断101健全时,1045输出为ON,此外都为OFF。利用104~106的功能,采用处理装置101~103中多数的判断,实行101~103的故障判定。
处理装置101~103中被判定为无故障的处理装置作为主系统,其他系统的作为副系统。只要确保至少有一个副系统,100就继续工作。即101~103在工作时即使有一个发生故障,也能够以剩余的2个中任何一个为主系统,其余的为副系统,继续工作,而在2个发生故障时100停止工作。另外,3个组成的系统工作时,主系统发生故障的情况下,分配迄今为止一直作为副系统工作的处理装置为新的主系统继续工作。
在处理装置101~103上工作的多重系统处理装置的软件把控制转轨机和信号机用的数据按图8(a)所示的形式生成。
一般说来,转轨机在2个方向(定位方向、反位方向)上转换,而数据中生成与各转轨机的各方向对应的位列信息。关于信号机,也以使对应于红、黄、蓝等灯泡的信息对应于各信号机的位列信息的形式生成。各信息的意义为,实行控制时为on,不实行时为off。101~103是在第8图(a)的数据上附加冗余代码,作成第8图(b)所示形式的数据。冗余代码可以使用奇偶校验代码、CRC代码等。而且,101~103是在第8图(b)的数据上使用各个连动逻辑装置各自具有的编码密钥,生成第8图(c)所示形式的数据。编码方式可以使用作为密码方式闻名的DES代码,这里表示用预先准备的有足够位长的屏蔽数据进行每一位的“异”逻辑和演算的编码方式。
处理装置101~103生成的、第8图(c)形式的数据通过配线109~111暂时集中到主系统。例如,处理装置101是主系统装置时,处理装置102、103生成的、第8图(c)形式的数据集中到主系统处理装置101。
主系统处理装置101用收集到的各处理结果,作成第9图所示形式的数据。在第9图,3个的数据字段原封不动地包含处理装置101~103处理(运算)的、具有第8图(c)所示形式的数据。构成信息被包含在关于处理装置101~103工作状况的信息里。例如,如果处理装置101发生故障,处理装置102、103工作着,则就是存储101有故障,102工作,103工作的信息的情况。
这个例子中,收集着结构信息,但是也在每个处理结果上附加表示各处理装置的工作状态的信息。
第9图所示形式的数据从主系统处理装置101通过线路121传送给控制器107。
反过来,从控制器107接收数据的情况如下所述。
主系统处理装置101通过线路121从控制器107接收第10图所示形式的数据。第9图的各数据字段的形式就是第8图(c)的形式。
接着,主系统处理装置101按照第9图形式的数据的结构信息,把数据字段的各数据通过线路109~111只向工作中的各处理装置传送。
处理装置101~103通过线路109~111接收到第8图(c)形式的数据,由各个连动逻辑装置用各自的译码密钥将其译码,生成第8图(b)所示形式的数据。这里,进行冗余码的确认,发现异常时,废弃相应电文,未发现异常时,去除冗余码,生成第8图形式的数据。第8图形式的数据包含对应于转轨机、信号机的各信息的位串,也包含相应于轨道电路的状态的信息的位列。
下面用第11图~第14图说明构成多重系统处理装置100的主系统处理装置及副系统处理装置的处理内容。
在第11图中显示了主系统处理装置101从控制器107收到构成多重系统处理装置的各处理装置进行处理(运算)用的数据后,上位装置发来控制要求之前,主系统处理装置的处理动作。
主系统处理装置101从控制器107收到第8图(c)形式的数据(步骤1101),然后根据包含在数据里的结构信息,分解成两份数据,即主系统处理装置的一份和各副系统处理装置一份(步骤1102),副系统处理装置的一份传送到各副系统处理装置(步骤1103)。其后,主系统处理装置的一份的数据用自处理装置独自的译码密钥对数据进行译码(步骤1104),利用确认被附加的冗余码的方法确认信息的正确性(步骤1105)。如被判断为信息不正当就废弃该数据(步骤1106),如被判断为数据正当,就等待上位装置来的控制要求。
第12图表示对从主系统处理装置向副系统处理装置送来的数据进行的处理。
各副系统处理装置102、103从主系统处理装置101接收数据(步骤1201),用各副系统处理装置独自持有的译码密钥将收到的数据译码(步骤1202),通过对所附加的冗余码进行的确认判断数据的正当性(步骤1203)。如被判断为数据不正当就废弃该数据(步骤1204),如被判断为数据正当,就等待上位装置来的控制要求。
下面利用第13图和第14图的流程图说明从上位装置向多重系统处理装置101输出控制要求的情况下的,主系统处理装置101、副系统处理装置102、103的处理情况。
第13图表示副系统处理装置的、从上位装置收到控制要求到把处理结果发送给主系统处理装置的处理流程。
副系统处理装置一旦从上位装置收到控制要求,就对第2图、第3图所说明的各控制要求进行处理(运算)(步骤1301)。对该处理结果附加冗余码(步骤1302),用各处理装置独有的编码密钥对数据进行编码(步骤1303),将编码的处理结果数据发送给主系统处理装置(步骤1304)。
第14图表示主系统处理装置的、从上位装置收到控制要求到把处理结果发送给控制器107的处理流程。
主系统处理装置同副系统处理装置一样,一旦从上位装置收到控制要求,就对第2图、第3图说明的各控制要求进行处理(运算)(步骤1401)。对该处理结果附加冗余码(步骤1402),用各处理装置独有的编码密钥对数据进行编码(步骤1403)。在主系统处理装置输出自处理装置的处理结果后,就收集各副系统处理装置送来的编码的处理结果(步骤1404),集合对上位装置的控制要求各处理装置的处理结果(步骤1405),集合后的处理结果传送到控制器107(步骤1407)。
这样的3重系统以上的多重系统构成的处理装置,即使有一个系统发生故障,其余的系统往往可以继续动作,例如由3重系统构成的处理装置中一个系统发生故障,变成2重系统的结构,即使如此,如果判定2重系统的输出一致,则可以不损害安全地继续工作。
以上的说明是对一多重系统处理装置107由3重系统构成的例子进行的说明,但是它也适用于4重系统以上的多重系统结构。而且,即使是在2重系统结构的情况下,多数表决遇到相同数目不能够决定时,可以用使主系统处理装置的处理结果优先等附加优先度的方法。
而且,虽然说明了为防止篡改,构成多重系统处理装置的各处理装置间的数据传送、多重系统处理装置与控制器的数据传送中,将各数据编码传送的例子,但是也可以考虑在无篡改危险性等情况下,根据需要不进行编码原封不动地传送处理结果等。
而且,控制器107虽然进行多数决定运算,但是也可以进行只有当全部数据一致时才进行有效控制的一致运算。
工业应用性
运用本发明,在不损坏安全性能的前提下,多重系统处理装置和控制器间的通信可得到如下所述结果。
控制器判断由多重系统处理装置处理的结果,生成控制命令,因此可以缩短执行时间。而且因为多重系统处理装置与控制器之间的配线少,即使控制点数增多,配线量也没有变化,可适用于大型车站。
Claims (6)
1.一种多重系统处理装置,由分别接收相同的输入、进行相同的处理、生成各处理结果并输出的多个处理装置构成,其特征在于,
所述多个处理装置中以任意一个处理装置作为主系统处理装置,其他处理装置作为副系统处理装置,
所述主系统处理装置由收集所述副系统处理装置和所述主系统处理装置的处理结果的收集部以及输出该收集部收集的处理结果的输出部构成,
还具备控制部,该控制部仅通过一条通信线路与上述输出部连接,并且,根据来自上述输出部的处理结果,通过多数决定运算而作成控制命令。
2.根据权利要求1所述的多重系统处理装置,其特征在于,
一旦所述收集部收集了所述多个处理装置的处理结果,所述输出部就将该处理结果加以汇集、输出。
3.根据权利要求1~2中的任一项所述的多重系统处理装置,其特征在于,
在输出所述处理结果时,所述输出部对其附加所述多个处理装置的工作状态后输出,前述副系统处理装置把各自处理装置的输出结果用各处理装置持有的独自的编码密钥进行编码后输给所述主系统处理装置,
所述主系统处理装置利用自处理装置持有的独自的编码密钥进行编码,对所述多个副系统处理装置收集的编码的处理结果,通过在每一系统利用独自的译码密钥对信息译码,利用传送异常的影响对每一系统不同,在共通的传送路径中即使产生共通的错误的情况下,也在译码后的多数决定中检测出异常。
4.如权利要求3所述的多重系统处理装置,其特征在于,
所述控制器从所述多重系统处理装置发送的处理结果被编码时,使用与构成所述多重系统处理装置的处理装置分别对应的译码密钥,将收到的各处理结果译码,然后在数据间进行多数决定或判定一致后发出控制命令。
5.一种多重系统处理系统,由分别接收相同的输入、进行相同的处理、生成各处理结果并输出的多个处理装置构成的多重系统处理装置和与该多重系统处理装置连接的控制器构成,其特征在于,
在所述多重系统处理装置中,以构成所述多重系统处理装置的所述多个处理装置中的任意一个处理装置作为主系统处理装置,其他处理装置作为副系统处理装置,前述主系统处理装置由收集所述副系统处理装置和所述主系统处理装置的处理结果的收集部和输出该收集部收集的处理结果的输出部构成,以及
所述控制器连接到所述多个处理装置的所述输出部,所述多个处理装置来的处理结果被集总并传送过来时,判断接收的多个处理结果的多数决定或判定一致后输出控制命令。
6.根据权利要求5所述的多重系统处理系统,其特征在于,
构成所述多重系统处理装置的各处理装置在所述各处理装置独自保持对自处理结果进行编码的编码密钥,将利用该编码密钥进行编码的处理结果输出到所述控制器,
所述控制器保持对应于构成所述多重系统处理装置的各处理装置独自保持的编码密钥的译码密钥,用对应的译码密钥对从所述多重系统处理装置接收到的各处理结果进行译码,通过在每一系统利用独自的译码密钥对信息译码,利用传送异常的影响对每一系统不同,在共通的传送路径中即使产生共通的错误的情况下,也在译码后的多数决定中检测出异常。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP17250998A JP3346283B2 (ja) | 1998-06-19 | 1998-06-19 | 多重系処理装置及び多重系処理装置に接続されたコントローラ及び多重系処理システム |
| JP172509/98 | 1998-06-19 | ||
| JP172509/1998 | 1998-06-19 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1306482A CN1306482A (zh) | 2001-08-01 |
| CN1253765C true CN1253765C (zh) | 2006-04-26 |
Family
ID=15943289
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB998076163A Expired - Lifetime CN1253765C (zh) | 1998-06-19 | 1999-06-17 | 多重系统处理装置及多重系统处理系统 |
Country Status (5)
| Country | Link |
|---|---|
| EP (1) | EP1104735A4 (zh) |
| JP (1) | JP3346283B2 (zh) |
| KR (1) | KR100414031B1 (zh) |
| CN (1) | CN1253765C (zh) |
| WO (1) | WO1999065754A1 (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4716712B2 (ja) * | 2004-11-09 | 2011-07-06 | 株式会社日立製作所 | 列車ダイヤ評価装置及び列車ダイヤ評価方法 |
| JP4961247B2 (ja) * | 2007-04-04 | 2012-06-27 | 株式会社日立製作所 | フェールセーフ制御方式 |
| JP2010160712A (ja) * | 2009-01-09 | 2010-07-22 | Renesas Technology Corp | 半導体データ処理デバイス及びデータ処理システム |
| JP5574627B2 (ja) * | 2009-06-12 | 2014-08-20 | 三菱重工業株式会社 | 冗長化システム |
| US8799707B2 (en) | 2011-06-28 | 2014-08-05 | Mitsubishi Heavy Industries, Ltd. | Redundant system |
| JP5975753B2 (ja) * | 2012-06-27 | 2016-08-23 | 株式会社日立製作所 | 情報処理システム、出力制御装置、およびデータ生成装置 |
| US10202134B2 (en) * | 2014-03-11 | 2019-02-12 | Mitsubishi Electric Corporation | Train information managing apparatus |
| CN111142367B (zh) * | 2018-11-02 | 2022-01-28 | 株洲中车时代电气股份有限公司 | 一种针对铁路安全应用的控制系统 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US556805A (en) * | 1896-03-24 | Metal tube | ||
| GB1604154A (en) * | 1978-05-30 | 1981-12-02 | Westinghouse Brake & Signal | Railway control systems |
| ZA792482B (en) * | 1978-06-10 | 1980-06-25 | Signal Co Ltd | Railway control signal dynamic output interlocking systems |
| GB2022893B (en) * | 1978-06-10 | 1983-01-12 | Westinghouse Brake & Signal | Fault detection |
| JPS61109102A (ja) * | 1984-10-31 | 1986-05-27 | Mitsubishi Electric Corp | 多重制御系の制御装置 |
| JPS61150429A (ja) * | 1984-12-24 | 1986-07-09 | Mitsubishi Electric Corp | デ−タ収集処理装置 |
| JPS63108401A (ja) * | 1986-10-27 | 1988-05-13 | Mitsubishi Electric Corp | 3重系積分信号のリミツタ方法 |
| JPS63188201A (ja) * | 1987-01-30 | 1988-08-03 | Meidensha Electric Mfg Co Ltd | プログラマブルコントロ−ラの二重化装置 |
| JP2885800B2 (ja) * | 1988-06-28 | 1999-04-26 | 日本信号株式会社 | 二重系処理装置 |
| JPH0336602A (ja) * | 1989-07-03 | 1991-02-18 | Nec Corp | 二重化制御方式 |
| JPH04165429A (ja) * | 1990-10-29 | 1992-06-11 | Nippon Signal Co Ltd:The | 情報処理装置 |
-
1998
- 1998-06-19 JP JP17250998A patent/JP3346283B2/ja not_active Expired - Lifetime
-
1999
- 1999-06-17 EP EP99925359A patent/EP1104735A4/en not_active Withdrawn
- 1999-06-17 WO PCT/JP1999/003235 patent/WO1999065754A1/ja not_active Application Discontinuation
- 1999-06-17 CN CNB998076163A patent/CN1253765C/zh not_active Expired - Lifetime
- 1999-06-17 KR KR10-2000-7014446A patent/KR100414031B1/ko not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| KR100414031B1 (ko) | 2004-01-07 |
| EP1104735A4 (en) | 2004-10-06 |
| JP2000010940A (ja) | 2000-01-14 |
| KR20010053028A (ko) | 2001-06-25 |
| CN1306482A (zh) | 2001-08-01 |
| JP3346283B2 (ja) | 2002-11-18 |
| EP1104735A1 (en) | 2001-06-06 |
| WO1999065754A1 (fr) | 1999-12-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1185130C (zh) | 火车检测系统和火车检测方法 | |
| CN1253765C (zh) | 多重系统处理装置及多重系统处理系统 | |
| CN1198375A (zh) | 用于监控具有多个功能单元的设备的方法和装置 | |
| CN1550988A (zh) | 容错计算机控制系统 | |
| CN1503513A (zh) | 用于检测通信设备中模块之间发送的消息丢失的系统和方法 | |
| CN1824558A (zh) | 电子连锁系统以及实验装置和实验方法 | |
| CN1295890C (zh) | 信息传输系统及信息传输方法 | |
| CN1576131A (zh) | 自动列车停止系统 | |
| CN1620382A (zh) | 为基于火车站的重要计算机设备产生逻辑控制单元的方法和设备 | |
| CN1422031A (zh) | Id发生装置及id确认装置 | |
| CN2869988Y (zh) | 一种芯片编程装置 | |
| CN1173952A (zh) | 错误修正编码装置,错误修正译码装置和通信系统 | |
| CN1661503A (zh) | 控制系统 | |
| CN105700924A (zh) | 一种为多个模块烧录程序的方法及装置 | |
| CN1104355A (zh) | 相交电缆检测系统 | |
| US20020010874A1 (en) | System, device and method for determining the reliability of data carriers in a failsafe system network | |
| CN1124577C (zh) | 现场设备和现场总线系统以及控制现场设备的方法 | |
| CN1240603C (zh) | 远程监视系统 | |
| CN106610601A (zh) | 一种igbt元件运行状态监测装置 | |
| US6487695B1 (en) | Method for providing fail-safe secure data transmission between a numerical control system and a spatially separate unit | |
| CN1214967C (zh) | 电梯信息通信系统 | |
| CN104932407B (zh) | 一种基于plc的模块化机器人驱动控制系统及方法 | |
| JPS5981940A (ja) | デ−タ転送方式 | |
| CN1991811A (zh) | 主模块、功能模块和电子器件以及标识数据设定方法 | |
| CN1801767A (zh) | 铁道车辆用传输系统以及使用它的铁道车辆 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term |
Granted publication date: 20060426 |
|
| CX01 | Expiry of patent term |