JP2001306348A - 冗長系情報処理システム - Google Patents

冗長系情報処理システム

Info

Publication number
JP2001306348A
JP2001306348A JP2000118083A JP2000118083A JP2001306348A JP 2001306348 A JP2001306348 A JP 2001306348A JP 2000118083 A JP2000118083 A JP 2000118083A JP 2000118083 A JP2000118083 A JP 2000118083A JP 2001306348 A JP2001306348 A JP 2001306348A
Authority
JP
Japan
Prior art keywords
processing
control information
signal
processing device
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2000118083A
Other languages
English (en)
Other versions
JP4477739B2 (ja
Inventor
Scott A Mcdermott
エイ マクダーモット スコット
Kinji Mori
欣司 森
Hiroyuki Yashiro
裕之 矢代
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
IHI Aerospace Co Ltd
Mori Kinji
AeroAstro Inc
Original Assignee
IHI Aerospace Co Ltd
Mori Kinji
AeroAstro Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by IHI Aerospace Co Ltd, Mori Kinji, AeroAstro Inc filed Critical IHI Aerospace Co Ltd
Priority to JP2000118083A priority Critical patent/JP4477739B2/ja
Priority to US09/836,229 priority patent/US6940811B2/en
Publication of JP2001306348A publication Critical patent/JP2001306348A/ja
Application granted granted Critical
Publication of JP4477739B2 publication Critical patent/JP4477739B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/187Voting techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/182Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits based on mutual exchange of the output between redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/183Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
    • G06F11/184Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality
    • GPHYSICS
    • G08SIGNALLING
    • G08CTRANSMISSION SYSTEMS FOR MEASURED VALUES, CONTROL OR SIMILAR SIGNALS
    • G08C25/00Arrangements for preventing or correcting errors; Monitoring arrangements
    • G08C25/02Arrangements for preventing or correcting errors; Monitoring arrangements by signalling back receiving station to transmitting station
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/40Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Hardware Redundancy (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

(57)【要約】 (修正有) 【課題】 システム内に単一故障点となる部分を持たな
いようにして、充分な信頼性を持つ冗長系処理システム
を安価に構成することにある。 【解決手段】 センサ4からの信号に基づきアクチュエ
ータ5の制御を行う冗長系情報処理システムにおいて、
処理装置1A〜1Cが各々、他の処理装置からの何れの
コマンド信号を有効とするかを論理決定例えば多数決に
より決定し、当該処理装置を含む二つ以上の処理装置の
コマンド信号を有効とする場合は、優先度に従ってコマ
ンド送信信号を出力しかつ、有効とする処理装置以外の
処理装置に制御情報阻止信号を出力し、当該処理装置以
外の処理装置のコマンド信号を有効とする場合は、コマ
ンド送信信号を出力せずかつ、他の処理装置に制御情報
阻止信号を出力しないプロセッサ部2と、他の処理装置
からの制御情報阻止信号の入力数により、コマンド信号
のアクチュエータへの出力を制御するインタフェース部
3とを具えるものである。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】この発明は、信頼性確保のた
め、冗長系(多重系)を構成する三つ以上の処理装置を
具え、それらの処理装置により共通の信号出力手段から
の信号に基づいてそれぞれ所定の情報処理を行って制御
情報を生成し、それらの制御情報のうちから論理決定例
えば多数決によって決定した制御情報によって共通の制
御対象の制御を行う冗長系情報処理システムに関するも
のである。
【0002】
【従来の技術】上述の如き情報処理システムとしては従
来、例えば特開平9−134208号公報にて開示され
たものがあり、この情報処理システムは、共通の信号出
力手段としてのセンサからの信号に基づき独自のクロッ
クで独立して情報処理を行う処理装置としてのコントロ
ーラを三つ具えるとともに、共通の制御対象としてのア
クチュエータを有するアクチュエータ装置内に、多数決
論理回路とそれを制御する制御回路との組を具えてい
る。
【0003】そしてこの情報処理システムでは、センサ
からの信号に基づき三つのコントローラで情報処理を行
ってそれぞれアクチュエータ制御信号を生成するととも
に、それらのコントローラでの情報処理結果を各コント
ローラ内に集めて比較し、各コントローラからその比較
結果情報をアクチュエータ装置内の制御回路の記憶素子
へ送って記憶させ、その制御回路で各コントローラから
の比較結果情報から多数決により正常なコントローラを
決定して、その正常なコントローラからのアクチュエー
タ制御信号を選択的にアクチュエータに送るように多数
決論理回路を作動させ、それによってアクチュエータを
作動させている。
【0004】
【発明が解決しようとする課題】しかしながらかかる従
来の情報処理システムでは、アクチュエータ装置内の、
多数決を行う制御回路および、その多数決の結果に基づ
きアクチュエータ制御信号を選択的に通過させる多数決
論理回路が各々、単一故障点すなわちそれが故障すると
アクチュエータが作動しなくなる部分となっており、そ
れゆえ、コントローラ側を多重化していても充分な信頼
性を確保するのは困難であるという問題があった。そし
てこの問題の解決のため、単一故障点となる多数決論理
回路および制御回路を市販品よりも高い信頼性を持つ特
別注文の部品で構成することとすると、システムが極め
て高価なものとなってしまうという問題があり、この点
は特に、多くのアクチュエータの作動を制御する必要が
ある場合に重大であった。
【0005】
【課題を解決するための手段およびその作用・効果】こ
の発明は、上記課題を有利に解決した情報処理システム
を提供することを目的とするものであり、この発明の冗
長系情報処理システムは、三つ以上の処理装置により共
通の信号出力手段からの信号に基づきそれぞれ所定の情
報処理を行って制御情報を生成し、それらの制御情報の
うちから論理決定によって決定した制御情報によって共
通の制御対象の制御を行う冗長系情報処理システムにお
いて、前記三つ以上の処理装置が各々、前記三つ以上の
処理装置による前記制御情報の生成過程における情報処
理結果を集めて、何れの処理装置が生成した制御情報を
有効とするかを論理決定により決定し、前記三つ以上の
処理装置のうちの当該処理装置を含む二つ以上の処理装
置が生成した制御情報を有効とする場合は、あらかじめ
定められた優先度に基づきそれら制御情報を有効とする
処理装置のうちで当該処理装置の優先度が最先の場合に
は制御情報送信信号を出力する一方最先でない場合には
制御情報送信信号を出力しないようにするとともに、制
御情報を有効とする処理装置以外の他の処理装置にそれ
ぞれ制御情報阻止信号を出力し、前記三つ以上の処理装
置のうちの当該処理装置を除く他の処理装置が生成した
制御情報を有効とする場合は、制御情報送信信号を出力
しないようにするとともに、他の処理装置に制御情報阻
止信号を出力しないようにする送信可否決定部を具える
ことを特徴としている。
【0006】かかる情報処理システムにあっては、当該
システムを構成する三つ以上の処理装置の各々が、送信
可否決定部を具えており、ここで、各処理装置の送信可
否決定部は、当該システムを構成する三つ以上の処理装
置による、共通の信号出力手段からの信号に基づく制御
情報の生成過程における情報処理結果を集めて、何れの
処理装置が生成した制御情報を有効とするかを論理決定
により決定し、当該システムを構成する三つ以上の処理
装置のうちの当該処理装置を含む二つ以上の処理装置が
生成した制御情報を有効とする場合は、あらかじめ定め
られた優先度に基づきそれら制御情報を有効とする処理
装置のうちで当該処理装置の優先度が最先の場合には制
御情報送信信号を出力する一方最先でない場合には制御
情報送信信号を出力しないようにするとともに、制御情
報を有効とする処理装置以外の他の処理装置にそれぞれ
制御情報阻止信号を出力し、また当該システムを構成す
る三つ以上の処理装置のうちの当該処理装置を除く他の
処理装置が生成した制御情報を有効とする場合は、制御
情報送信信号を出力しないようにするとともに、他の処
理装置に制御情報阻止信号を出力しないようにする。こ
こで、前記情報処理結果としては、生成した制御情報
や、制御情報の生成途中での演算結果等を用いることが
できる。
【0007】またこの発明の冗長系情報処理システム
は、前記三つ以上の処理装置が各々、前記三つ以上の処
理装置のうちの当該処理装置を除く他の処理装置からの
前記制御情報阻止信号を入力し、その制御情報阻止信号
の入力数が前記論理決定で有効とする所定数未満でかつ
当該処理装置の前記送信可否決定部が前記制御情報送信
信号を出力している場合は、当該処理装置が生成した制
御情報を前記制御対象に出力し、前記制御情報阻止信号
の入力数が前記所定数以上の場合は、当該処理装置の前
記送信可否決定部が前記制御情報送信信号を出力してい
ても当該処理装置が生成した制御情報を前記制御対象に
出力しない論理演算部を具えることを特徴としている。
【0008】かかる情報処理システムにあっては、当該
システムを構成する三つ以上の処理装置の各々が、送信
可否決定部と論理演算部とを具えており、各処理装置の
論理演算部は、当該システムを構成する三つ以上の処理
装置のうちの当該処理装置を除く他の処理装置からの制
御情報阻止信号を入力し、その制御情報阻止信号の入力
数が前記多数決で有効とする所定数未満でかつ当該処理
装置の送信可否決定部が制御情報送信信号を出力してい
る場合は、当該処理装置が生成した制御情報をアクチュ
エータ等の制御対象に出力し、制御情報阻止信号の入力
数が前記所定数以上の場合は、当該処理装置の送信可否
決定部が制御情報送信信号を出力していても当該処理装
置が生成した制御情報をアクチュエータ等の制御対象へ
は出力しない。
【0009】従ってこの発明の情報処理システムによれ
ば、当該システムを構成する三つ以上の処理装置の過半
数を超えない幾つかでの情報処理結果に異常があって
も、それらのうちの何れか二つ以上の処理装置が生成し
た制御情報を論理決定で有効とすることから、正常に生
成された制御情報を選択することができる可能性が高い
ので、信頼性の高い制御情報を得ることができる。
【0010】また、この発明の情報処理システムにあっ
ては、制御情報を有効とする二つ以上の処理装置のうち
で優先度が最先の処理装置が制御情報送信信号を出力す
る一方で、制御情報を有効とする二つ以上の処理装置の
うちで優先度が最先でない処理装置は制御情報送信信号
を出力しないようにする。さらに、それら制御情報を有
効とする二つ以上の処理装置は他の処理装置に対してそ
れぞれ制御情報阻止信号を出力することから、たとえ制
御情報を有効とする処理装置以外の他の処理装置の送信
可否決定部が誤作動して制御情報を出力しても、その処
理装置の論理回路部が、論理決定で有効とする所定数以
上の他の処理装置から制御情報阻止信号を入力して制御
情報を出力しないようにする。また、たとえ制御情報を
有効とする処理装置以外の他の幾つかの処理装置の送信
可否決定部が誤作動して制御阻止信号を出力しても、そ
の制御阻止信号の入力数が論理決定で有効とする所定数
未満の場合には、上記優先度が最先の処理装置の論理演
算部は、その処理装置の送信可否決定部が制御情報送信
信号を出力していることから、制御情報を制御対象へ出
力する。
【0011】従ってこの発明の情報処理システムによれ
ば、制御情報を有効とする二つ以上の処理装置すなわち
正常に作動している可能性が高い処理装置のうちで優先
度が最先の単一の処理装置のみから制御情報を制御対象
へ出力することができる。
【0012】そしてこの発明の情報処理システムによれ
ば、共通の信号出力手段からの信号に基づき制御情報を
生成する情報処理も、制御情報を有効とする論理決定の
処理も、論理決定で有効とした複数の処理装置からの制
御情報の選択処理も、何れも複数の処理装置で行うこと
から、システム内に多数決論理回路やその制御回路のよ
うな単一故障点となる部分を持たなくて済むので、充分
な信頼性を持つ冗長系処理システムを安価に構成するこ
とができる。
【0013】さらにこの発明の情報処理システムによれ
ば、処理装置の数が三つ以上であればその数の如何にか
かわりなく上記各処理を行うことができることから、高
い拡張性を有するので、信頼度の要求に応じて処理装置
の数を増減させることで、容易にその要求に対応するこ
とができる。
【0014】なお、この発明の情報処理システムにおい
ては、前記論理演算部は論理演算素子からなり、フィー
ドバックループを持たない組み合わせ回路で構成されて
いても良く、かかる構成によれば、論理演算部が記憶素
子を持たないことから、宇宙空間でロケットや人工衛星
の姿勢制御に使用した場合等に宇宙放射線等の影響で記
憶素子が反転するシングルイベントアップセット(SE
U)の可能性を論理演算部についてはなくすことができ
るので、送信可否決定部が多数決で決定した結果がSE
Uに起因する論理演算部の誤作動で無意味になるという
事態を有効に防止することができる。
【0015】また、この発明の情報処理システムにおい
ては、前記処理装置が、前記制御情報の生成過程で過去
の制御情報を用いるものである場合に、制御情報を有効
とする処理装置以外の他の前記処理装置が、その生成し
た制御情報を、制御情報を有効とする処理装置の制御情
報に書き換えて、その書き換えた制御情報を次回の制御
情報の生成過程に用いるようにしても良く、かかる構成
によれば、送信可否決定部がSEUに起因して一過性の
誤動作をした場合に、その誤動作した回の誤った処理結
果を放棄して他の処理装置で正常に生成された制御情報
を以後の処理に用いることができるので、システムの信
頼性を高く維持することができる。
【0016】さらに、この発明の情報処理システムにお
いては、前記三つ以上の処理装置の前記送信可否決定部
が行う論理決定の処理手順が共通であっても良く、かか
る構成によれば、その論理決定を行うプログラムの開発
時やシステムへのインストール時の作業者の作業の誤り
低減させることができるので、システムの信頼性を向上
させることができる。
【0017】
【発明の実施の形態】以下に、この発明の実施の形態を
実施例によって、図面に基づき詳細に説明する。ここ
に、図1は、この発明の冗長系情報処理システムの一実
施例を示す構成図であり、図中符号1A〜1Cは互いに
同一の構成を具える処理装置、2は送信可否決定部とし
てのプロセッサ部、3は論理演算部としてのインタフェ
ース部、4は上記処理装置1A〜1Cに共通の信号出力
手段としてのセンサ、5は上記処理装置1A〜1Cに共
通の制御対象としてのアクチュエータ、6は上記処理装
置1A〜1Cを相互に繋ぐネットワークをそれぞれ示
し、この実施例の冗長系情報処理システムは、例えばロ
ケットの姿勢制御系等に用いることができる。
【0018】ここにおける処理装置1A〜1Cは具体的
には各々、プロセッサ部2とインタフェース部3とを具
えており、ここで、プロセッサ部2は、演算処理を行う
通常の中央処理ユニット(CPU)2aと、プログラム
や演算結果等の情報を記憶してCPUに所定のプログラ
ムに基づく演算処理を実行させるメモリ(MEM)2b
と、それらCPU2aおよびメモリ2bにクロック信号
を供給するクロック回路(CLK)2cと、CPU2a
やメモリ2bとネットワーク6との間の情報のやりとり
を制御するネットワークコントローラ(NC)2dとを
有している。なお、この実施例のシステムにおける三つ
の処理装置1A〜1Cのプロセッサ部2のクロック回路
2cは、互いに独立して作動するものである。
【0019】またここで、インタフェース部3は、セン
サ4に接続されてセンサ4からの出力信号を入力するイ
ンタフェース回路(I/O)3aと、アクチュエータ5
に接続されてアクチュエータ5に制御情報としての後述
するコマンド信号を出力するインタフェース回路(I/
O)3bとを有している。
【0020】図2は、上記各処理装置1A〜1Cが具え
るインタフェース回路3bの回路構成を示す構成図であ
り、ここにおけるインタフェース回路3bは、論理演算
素子であるAND素子3c、NAND素子3dおよびゲ
ート素子3eを組み合わせてコマンド信号の出力を制御
する論理回路と、そのインタフェース回路3bを具える
処理装置のプロセッサ部2が出力する制御阻止信号とし
ての後述する阻止信号S1,S2を他の二つの処理装置
のインタフェース回路3bへそれぞれそのまま出力する
信号回路3fとを有している。
【0021】上記の論理回路において、NAND素子3
dは、他の二つの処理装置のインタフェース回路3bか
ら阻止信号S1,S2としての「1」信号を同時に入力
すると「0」信号を出力し、阻止信号S1,S2として
の「1」信号を少なくとも一方の処理装置から入力して
いない場合は「1」信号を出力する。また、AND素子
3cは、当該処理装置のプロセッサ部2から制御情報送
信信号として後述するコマンド送信信号としての「1」
信号を入力すると同時にNAND素子3dから「1」信
号を入力すると「1」信号を出力し、コマンド送信信号
としての「1」信号とNAND素子3dからの「1」信
号との少なくとも一方を入力していない場合は「0」信
号を出力する。そしてゲート素子3eは、上記AND素
子3cから「1」信号を入力している場合は、当該処理
装置のプロセッサ部2から上記コマンド信号を入力する
とそのコマンド信号をアクチュエータ5へ出力するとと
もに、そのコマンド信号を後述するコマンド検証アルゴ
リズムのためのコマンド検証信号として当該処理装置の
プロセッサ部2へも出力するが、上記AND素子3cか
ら「1」信号を入力していない場合は、当該処理装置の
プロセッサ部2から上記コマンド信号を入力してもその
コマンド信号をアクチュエータ5へ出力せずそこで阻止
する。
【0022】図3は、上記三つの処理装置1A〜1Cの
プロセッサ部2相互間、インタフェース回路3b相互
間、そして各処理装置1A〜1Cのプロセッサ部2とイ
ンタフェース回路3b相互間の接続状態を示す構成図で
あり、この実施例では図示のように接続することで各処
理装置1A〜1Cのプロセッサ部2の信号回路3fが、
阻止信号S1,S2を他の二つの処理装置のインタフェ
ース回路3bへそれぞれ出力している。
【0023】この実施例の情報処理システムにあって
は、共通の信号出力手段としてのセンサ4から三つの処
理装置1A〜1Cに同一の信号が出力されると、それら
三つの処理装置1A〜1Cの三つのプロセッサ部2のC
PU2aが並列的にそれぞれ、そのプロセッサ部2のメ
モリ2b内にあらかじめ与えられたプログラムに従い、
先ず上記センサ4からの信号に基づいて所定の演算処理
を行って、共通の制御対象としてのアクチュエータ5の
作動を制御するためのコマンド信号を生成し、次いでそ
れら三つの処理装置1A〜1Cのうちの他の処理装置が
行った情報処理の結果をネットワーク6を介して入力し
て、以下に示す多数決の処理を行う。
【0024】上記入力する情報処理結果としては、生成
したコマンド信号の所定の部分(例えば最初の数ビット
等)を用いているが、そのコマンド信号の他、アクチュ
エータの移動量やコマンド信号の生成途中での演算結果
等の全体や所定の部分を用いることができる。また、こ
の実施例では、あらかじめ三つの処理装置1A〜1Cの
優先順位を、処理装置1Aが最も優先度が高く、次いで
処理装置1Bが優先度が高く、処理装置1Cが最も優先
度が低いものとして設定するとともに、処理装置1A〜
1C相互間で情報処理結果が全く一致しなかった場合は
優先度の最も高い処理装置1Aのコマンド信号を出力す
るものとして設定してある。
【0025】図4は、処理装置1Aのプロセッサ部2の
CPU2aがそのプロセッサ部2のメモリ2b内のプロ
グラムに基づいて行う論理決定の一例としての、多数決
のアルゴリズム(演算手順)を示すフローチャートであ
り、ここでは、阻止信号S1は処理装置1Cのインタフ
ェース回路3bへ出力されてその処理装置1Cを制御
し、阻止信号S2は処理装置1Bのインタフェース回路
3bへ出力されてその処理装置1Bを制御する。
【0026】図4中のステップ11では、処理装置1Aの
CPU2a自身の情報処理結果と他の処理装置の一方の
処理装置1Bの情報処理結果とを比較して一致している
か否かを判断して、一致している場合はステップ12へ、
一致していない場合はステップ15へ進み、ステップ12で
は、次に処理装置1AのCPU2a自身の情報処理結果
と他の処理装置の他方の処理装置1Cの情報処理結果と
を比較して一致しているか否かを判断し、一致している
場合はステップ13へ、一致していない場合(処理装置1
Cが故障で、結果が入力されない場合も含まれる。以下
の一致しない場合についても処理装置の一方が故障で結
果が入力されない場合も含まれる。)はステップ14へ進
む。そしてステップ13では、先のステップ11,12の判断
で三つの処理装置1A〜1Cの情報処理結果が全て一致
していたので、優先度の最も高い当該処理装置1Aがコ
マンド信号を出力することになるようにコマンド送信信
号を「1」信号にセットするとともに、他の処理装置1
B,1Cも正しかったことになるので阻止信号S1,S
2を「0」信号(阻止信号なし)にセットする。
【0027】一方、ステップ14では、先のステップ11,
12の判断で処理装置1A,1Bの情報処理結果は一致し
ていたが処理装置1A,1Cの情報処理結果は一致して
いなかったので、論理決定、例えば多数決で処理装置1
A,1Bの情報処理結果を正しいものとすることとし、
その場合に優先度の最も高い当該処理装置1Aがコマン
ド信号を出力することになるように、コマンド送信信号
を「1」信号にセットするとともに、処理装置1Cは誤
っていたことになるので処理装置1Cに対応する阻止信
号S1を「1」信号(阻止信号あり)にセットし、処理
装置1Bは正しかったことになるので処理装置1Bに対
応する阻止信号S2を「0」信号にセットする。
【0028】またステップ15では、ステップ12と同様、
処理装置1AのCPU2a自身の情報処理結果と他の処
理装置の他方の処理装置1Cの情報処理結果とを比較し
て一致しているか否かを判断し、一致している場合はス
テップ16へ、一致していない場合はステップ17へ進む。
そしてステップ16では、先のステップ11,15の判断で処
理装置1A,1Cの情報処理結果は一致していたが処理
装置1A,1Bの情報処理結果は一致していなかったの
で、論理決定、例えば多数決で処理装置1A,1Cの情
報処理結果を正しいものとすることとし、その場合に優
先度の最も高い当該処理装置1Aがコマンド信号を出力
することになるように、コマンド送信信号を「1」信号
にセットするとともに、処理装置1Cは正しかったこと
になるので処理装置1Cに対応する阻止信号S1を
「0」信号にセットし、処理装置1Bは誤っていたこと
になるので処理装置1Bに対応する阻止信号S2を
「1」信号にセットする。
【0029】一方、ステップ17では、さらに、他の二つ
の処理装置1B,1Cの情報処理結果を比較して一致し
ているか否かを判断し、一致している場合はステップ18
へ、一致していない場合はステップ20へ進む。そしてス
テップ18では、先のステップ11,15,17の判断で処理装
置1B,1Cの情報処理結果は一致していたが処理装置
1A,1Bの情報処理結果も処理装置1A,1Cの情報
処理結果も一致していなかったので、論理決定、例えば
多数決で他の処理装置1B,1Cの情報処理結果を正し
いものとすることとし、その場合に優先度の最も高い処
理装置1Bがコマンド信号を出力し得るように、コマン
ド送信信号を「0」信号にセットするとともに、処理装
置1B,1Cは正しかったことになるので阻止信号S
1,S2を「0」信号にセットする。しかる後、次のス
テップ19では、当該処理装置1Aのプロセッサ部2のメ
モリ2b内の情報処理結果のデータを、他の処理装置1
B,1Cからの情報処理結果のデータに置き換える。
【0030】また、ステップ20では、先のステップ11,
15,17の判断で処理装置1A〜1Cの情報処理結果が全
て一致していなかったので、論理決定、例えば多数決で
決めることができないことから、先に述べたこの実施例
についての規則で、三つの処理装置のうち優先度が最も
高い当該処理装置1Aがコマンド信号を出力することに
なるようにコマンド送信信号を「1」信号にセットする
とともに、処理装置1B,1Cは何れも誤っていたこと
になるので阻止信号S1,S2を「1」信号にセットす
る。
【0031】図5は、処理装置1Bのプロセッサ部2の
CPU2aがそのプロセッサ部2のメモリ2b内のプロ
グラムに基づいて行う論理決定の一例としての、多数決
のアルゴリズム(演算手順)を示すフローチャートであ
り、ここでは、阻止信号S1は処理装置1Aのインタフ
ェース回路3bへ出力されてその処理装置1Aを制御
し、阻止信号S2は処理装置1Cのインタフェース回路
3bへ出力されてその処理装置1Cを制御する。
【0032】図5中のステップ21では、処理装置1Bの
CPU2a自身の情報処理結果と他の処理装置の一方の
処理装置1Aの情報処理結果とを比較して一致している
か否かを判断して、一致している場合はステップ22へ、
一致していない場合はステップ25へ進み、ステップ22で
は、次に処理装置1BのCPU2a自身の情報処理結果
と他の処理装置の他方の処理装置1Cの情報処理結果と
を比較して一致しているか否かを判断し、一致している
場合はステップ23へ、一致していない場合はステップ24
へ進む。そしてステップ23では、先のステップ21,22の
判断で三つの処理装置1A〜1Cの情報処理結果が全て
一致していたので、優先度が最も高い他の処理装置1A
がコマンド信号を出力し得るように、コマンド送信信号
を「0」信号にセットするとともに、他の処理装置1
A,1Cも正しかったことになるので阻止信号S1,S
2を「0」信号(阻止信号なし)にセットする。
【0033】一方ステップ24では、先のステップ21,22
の判断で処理装置1A,1Bの情報処理結果は一致して
いたが処理装置1B,1Cの情報処理結果は一致してい
なかったので、論理決定、例えば多数決で処理装置1
A,1Bの情報処理結果を正しいものとすることとし、
その場合に優先度の最も高い他の処理装置1Aがコマン
ド信号を出力し得るように、コマンド送信信号を「0」
信号にセットするとともに、処理装置1Cは誤っていた
ことになるので処理装置1Cに対応する阻止信号S2を
「1」信号(阻止信号あり)にセットし、処理装置1A
は正しかったことになるので処理装置1Aに対応する阻
止信号S1を「0」信号にセットする。
【0034】またステップ25では、ステップ22と同様、
処理装置1BのCPU2a自身の情報処理結果と他の処
理装置の他方の処理装置1Cの情報処理結果とを比較し
て一致しているか否かを判断し、一致している場合はス
テップ26へ、一致していない場合はステップ27へ進む。
そしてステップ26では、先のステップ21,25の判断で処
理装置1B,1Cの情報処理結果は一致していたが処理
装置1A,1Bの情報処理結果は一致していなかったの
で、論理決定、例えば多数決で処理装置1B,1Cの情
報処理結果を正しいものとすることとし、その場合に優
先度の最も高い当該処理装置1Bがコマンド信号を出力
することになるように、コマンド送信信号を「1」信号
にセットするとともに、処理装置1Aは誤っていたこと
になるので処理装置1Aに対応する阻止信号S1を
「1」信号にセットし、処理装置1Cは正しかったこと
になるので処理装置1Cに対応する阻止信号S2を
「0」信号にセットする。
【0035】一方、ステップ27では、さらに、他の二つ
の処理装置1A,1Cの情報処理結果を比較して一致し
ているか否かを判断し、一致している場合はステップ28
へ、一致していない場合はステップ30へ進む。そしてス
テップ28では、先のステップ21,25,27の判断で処理装
置1A,1Cの情報処理結果は一致していたが処理装置
1A,1Bの情報処理結果も処理装置1B,1Cの情報
処理結果も一致していなかったので、論理決定、例えば
多数決で他の処理装置1A,1Cの情報処理結果を正し
いものとすることとし、その場合に優先度の最も高い処
理装置1Aがコマンド信号を出力し得ることになるよう
にコマンド送信信号を「0」信号にセットするととも
に、処理装置1A,1Cは正しかったことになるので阻
止信号S1,S2を「0」信号にセットする。しかる
後、次のステップ29では、当該処理装置1Bのプロセッ
サ部2のメモリ2b内の情報処理結果のデータを、他の
処理装置1A,1Cからの情報処理結果のデータに置き
換える。
【0036】また、ステップ30では、先のステップ21,
25,27の判断で処理装置1A〜1Cの情報処理結果が全
て一致していなかったので、論理決定、例えば多数決で
決めることができないことから、先に述べたこの実施例
についての規則で、三つの処理装置のうち優先度が最も
高い他の処理装置1Aがコマンド信号を出力し得るよう
にコマンド送信信号を「0」信号にセットするとともに
処理装置1Aに対応する阻止信号S1を「0」信号にセ
ットし、処理装置1Cは誤っていたことになるので処理
装置1Cに対応する阻止信号S2を「1」信号にセット
する。
【0037】図6は、処理装置1Cのプロセッサ部2の
CPU2aがそのプロセッサ部2のメモリ2b内のプロ
グラムに基づいて行う論理決定の一例としての、多数決
のアルゴリズム(演算手順)を示すフローチャートであ
り、ここでは、阻止信号S1は処理装置1Bのインタフ
ェース回路3bへ出力されてその処理装置1Bを制御
し、阻止信号S2は処理装置1Aのインタフェース回路
3bへ出力されてその処理装置1Aを制御する。
【0038】図6中のステップ31では、処理装置1Cの
CPU2a自身の情報処理結果と他の処理装置の一方の
処理装置1Aの情報処理結果とを比較して一致している
か否かを判断して、一致している場合はステップ32へ、
一致していない場合はステップ35へ進み、ステップ32で
は、次に処理装置1CのCPU2a自身の情報処理結果
と他の処理装置の他方の処理装置1Bの情報処理結果と
を比較して一致しているか否かを判断し、一致している
場合はステップ33へ、一致していない場合はステップ34
へ進む。そしてステップ33では、先のステップ31,32の
判断で三つの処理装置1A〜1Cの情報処理結果が全て
一致していたので、優先度の最も高い他の処理装置1A
がコマンド信号を出力し得るようにコマンド送信信号を
「1」信号にセットするとともに、他の処理装置1A,
1Bも正しかったことになるので阻止信号S1,S2を
「0」信号(阻止信号なし)にセットする。
【0039】一方ステップ34では、先のステップ31,32
の判断で処理装置1A,1Cの情報処理結果は一致して
いたが処理装置1B,1Cの情報処理結果は一致してい
なかったので、論理決定、例えば多数決で処理装置1
A,1Cの情報処理結果を正しいものとすることとし、
その場合に優先度が最も高い他の処理装置1Aがコマン
ド信号を出力し得るように、コマンド送信信号を「0」
信号にセットするとともに、処理装置1Bは誤っていた
ことになるので処理装置1Bに対応する阻止信号S1を
「1」信号(阻止信号あり)にセットし、処理装置1A
は正しかったことになるので処理装置1Aに対応する阻
止信号S2を「0」信号にセットする。
【0040】またステップ35では、ステップ32と同様、
処理装置1CのCPU2a自身の情報処理結果と他の処
理装置の他方の処理装置1Bの情報処理結果とを比較し
て一致しているか否かを判断し、一致している場合はス
テップ36へ、一致していない場合はステップ37へ進む。
そしてステップ36では、先のステップ31,35の判断で処
理装置1B,1Cの情報処理結果は一致していたが処理
装置1A,1Cの情報処理結果は一致していなかったの
で、論理決定、例えば多数決で処理装置1B,1Cの情
報処理結果を正しいものとすることとし、その場合に優
先度の最も高い他の処理装置1Bがコマンド信号を出力
し得るようにコマンド送信信号を「0」信号にセットす
るとともに、処理装置1Bは正しかったことになるので
処理装置1Bに対応する阻止信号S1を「0」信号にセ
ットし、処理装置1Aは誤っていたことになるので処理
装置1Aに対応する阻止信号S2を「1」信号にセット
する。
【0041】一方、ステップ37では、さらに、他の二つ
の処理装置1A,1Bの情報処理結果を比較して一致し
ているか否かを判断し、一致している場合はステップ38
へ、一致していない場合はステップ40へ進む。そしてス
テップ38では、先のステップ31,35,37の判断で処理装
置1A,1Bの情報処理結果は一致していたが処理装置
1A,1Cの情報処理結果も処理装置1B,1Cの情報
処理結果も一致していなかったので、論理決定、例えば
多数決で他の処理装置1A,1Bの情報処理結果を正し
いものとすることとし、その場合に優先度の最も高い処
理装置1Aがコマンド信号を出力し得るようにコマンド
送信信号を「0」信号にセットするとともに、処理装置
1A,1Bは正しかったことになるので、阻止信号S
1,S2を「0」信号にセットする。しかる後、次のス
テップ39では、当該処理装置1Cのプロセッサ部2のメ
モリ2b内の情報処理結果のデータを、他の処理装置1
A,1Bからの情報処理結果のデータに置き換える。
【0042】また、ステップ40では、先のステップ31,
35,37の判断で処理装置1A〜1Cの情報処理結果が全
て一致していなかったので、論理決定、例えば多数決で
決めることができないことから、先に述べたこの実施例
についての規則で、三つの処理装置のうち優先度が最も
高い他の処理装置1Aがコマンド信号を出力し得るよう
にコマンド送信信号を「0」信号にセットするとともに
処理装置1Aに対応する阻止信号S2を「0」信号にセ
ットし、処理装置1Bは誤っていたことになるので処理
装置1Bに対応する阻止信号S1を「1」信号にセット
する。
【0043】かくして上記実施例では、各処理装置1A
〜1Cのプロセッサ部2が並列処理を行って、論理決
定、例えば多数決および優先順位に基づき、自分自身が
正しくかつコマンド送信信号を出せると判断した場合に
は当該処理装置のインタフェース回路3bにコマンド送
信信号として「1」信号を出力し、また他の処理装置の
情報処理結果が正しくないと判断した場合は論理決定、
例えば多数決できなかった場合を除きその処理装置のイ
ンタフェース回路3bに阻止信号を出すので、その結果
として、以下の〔表1〕に示すように、処理装置1A〜
1Cが一致した場合と、処理装置1A,1Bのみが一致
した場合と、処理装置1A,1Cのみが一致した場合に
は処理装置1Aがそのインタフェース回路3bを介して
コマンド信号をアクチュエータ5へ出力し、処理装置1
B,1Cのみが一致した場合には処理装置1Bがそのイ
ンタフェース回路3bを介してコマンド信号をアクチュ
エータ5へ出力し、全ての処理装置1A〜1Cが一致し
なかった場合は運用要求、すなわちここでは優先度の最
も高い処理装置がコマンド信号を出力するという要求に
より、処理装置1Aがコマンド信号をアクチュエータ5
へ出力する。なお、全ての処理装置1A〜1Cが一致し
なかった場合には何れの処理装置にもコマンド出力を行
わせず当該システムの使用者にエラー警告信号を送るよ
うにするという運用要求をすることもできる。
【0044】
【表1】 ここで、白丸印(○)は、情報処理結果が一致した処理
装置を示している。
【0045】この実施例の情報処理システムではさら
に、以下のコマンド検証アルゴリズムを実行する。この
演算処理は、プロセッサ部2が正常で正しい情報処理が
行われていてもインタフェース回路3に異常があってコ
マンド信号が正しく出力されない場合に対処するもので
あり、図7〜図9は、上記各処理装置1A〜1Cのプロ
セッサ部2がそれぞれ実行するコマンド検証アルゴリズ
ムを示すフローチャートである。
【0046】図7中ステップ41に示すように、優先度が
最も高い処理装置1Aのプロセッサ部2は何も行わな
い。その一方、次に優先度が高い処理装置1Bのプロセ
ッサ部2は、図8に示すように、ステップ42で、アクチ
ュエータ5に何れかのインタフェース回路3から正しい
コマンド信号が送られたか否かを、アクチュエータ5に
繋がる回路からコマンド検証信号として戻されたコマン
ド信号の例えば最初の部分等から判断して、正しいコマ
ンド信号が送られた場合にはステップ43に進み、何もし
ないが、正しいコマンド信号が送られなかった場合に
は、さらにステップ44で、処理装置1Aがアクチュエー
タ5にアクチュエーションコマンド信号を送るべきであ
ったか否かを判断し、処理装置1A以外がコマンド信号
を送るべきであった場合にはステップ43へ進むが、処理
装置1Aがコマンド信号を送るべきであった場合にはス
テップ45で、当該処理装置1Bがコマンド信号を送るよ
うに、コマンド送信信号を「1」信号にセットするとと
もに、処理装置1Aに対する阻止信号S1を「1」信号
にセットし、処理装置1Cに対する阻止信号S2の状態
はそのまま維持する。
【0047】さらに、最も優先度が低い処理装置1Cの
プロセッサ部2は、図9に示すように、ステップ46で、
アクチュエータ5に何れかのインタフェース回路3から
正しいコマンド信号が送られたか否かを、アクチュエー
タ5に繋がる回路からコマンド検証信号として戻された
コマンド信号の例えば最初の部分等から判断して、正し
いコマンド信号が送られた場合にはステップ47に進み、
何もしないが、正しいコマンド信号が送られなかった場
合には、次にステップ48で、処理装置1Aがアクチュエ
ータ5にアクチュエーションコマンド信号を送るべきで
あったか否かを判断し、処理装置1Aがコマンド信号を
送るべきであった場合にはさらにステップ49で、処理装
置1Bが正常でないか否かを判断する。
【0048】そしてステップ49で、処理装置1Bが正常
であると判断した場合はステップ47へ進んでなにもしな
いが、処理装置1Bが正常でないと判断した場合はステ
ップ50へ進む。また上記ステップ48で、処理装置1A以
外すなわち処理装置1Bがコマンド信号を送るべきであ
った場合にもステップ50へ進む。ステップ50では、当該
処理装置1Cがコマンド信号を送るように、コマンド送
信信号を「1」信号にセットするとともに、処理装置1
Bに対する阻止信号S1を「1」信号にセットし、処理
装置1Aに対する阻止信号S2の状態はそのまま維持す
る。
【0049】かかるコマンド検証アルゴリズムによれ
ば、例えば、プロセッサ部2が正常な処理装置1A,1
Bのうちコマンド信号を出力すべき処理装置1Aのイン
タフェース回路3に異常があってコマンド信号が全く出
力されなかったり正しくないコマンド信号が出力された
りした場合でも、直ちに処理装置1Bが処理装置1Aの
のコマンド信号出力を阻止するとともに正しいコマンド
信号を送ってアクチュエータ5の作動を適正に制御する
ことができ、また例えば、処理装置1Aのインタフェー
ス回路3に異常があって処理装置1Aがコマンド信号を
出力できず、処理装置1Bもインタフェース回路3に異
常があってコマンド信号を全く出力できなかったり正し
くないコマンド信号を出力したりした場合でも、直ちに
処理装置1Cが処理装置1Bのコマンド信号出力を阻止
するとともに正しいコマンド信号を送ってアクチュエー
タ5の作動を適正に制御することができる。
【0050】従ってこの実施例の情報処理システムによ
れば、当該システムを構成する三つの処理装置1A〜1
Cの過半数を超えない幾つかでの情報処理結果に異常が
あっても、それらのうちの何れか二つ以上の処理装置が
生成したコマンド信号を論理決定、例えば多数決で有効
とすることから、正常に生成されたコマンド信号を選択
することができる可能性が高いので、信頼性の高いコマ
ンド信号を得ることができる。
【0051】しかもこの実施例の情報処理システムによ
れば、コマンド信号を有効とする二つ以上の処理装置す
なわち正常に作動している可能性が高い処理装置のうち
で優先度が最先の単一の処理装置のみからコマンド信号
を制御対象へ出力することができるので、複数のコマン
ド信号の重なり合いやぶつかり合いによりアクチュエー
タ5の制御が困難になるのを防止することができる。
【0052】そしてこの発明の情報処理システムによれ
ば、センサ4からの信号に基づきコマンド信号を生成す
る情報処理も、コマンド信号を有効とする論理決定、例
えば多数決処理も、その論理決定で有効とした複数の処
理装置からのコマンド信号の選択処理も、何れも三つの
処理装置1A〜1Cで行うことから、システム内に多数
決論理回路やその制御回路のような単一故障点となる部
分を持たなくて済むので、充分な信頼性を持つ冗長系処
理システムを安価に構成することができる。
【0053】さらにこの実施例の情報処理システムによ
れば、処理装置の数を減らさない限りその数の如何にか
かわりなく上記各処理を行うことができることから、高
い拡張性を有するので、信頼度の要求に応じて処理装置
の数を増加させることで、容易にその要求に対応するこ
とができる。
【0054】さらにこの実施例の情報処理システムによ
れば、インタフェース回路3が、論理演算素子からな
り、フィードバックループを持たない組み合わせ回路で
構成されていて記憶素子を持たないことから、宇宙空間
でロケットや人工衛星の姿勢制御に使用した場合等に宇
宙放射線等の影響で記憶素子が反転するシングルイベン
トアップセット(SEU)の可能性をインタフェース回
路3についてはなくすことができるので、プロセッサ部
2が論理決定、例えば多数決で決定した結果がSEUに
起因する論理演算部の誤作動で無意味になるという事態
を有効に防止することができる。
【0055】さらにこの実施例の情報処理システムによ
れば、処理装置1A〜1Cが、コマンド信号の生成過程
で過去のコマンド信号を用いていて、それらの処理装置
1A〜1Cのうちコマンド信号を有効とする処理装置以
外の他の処理装置が、先のステップ19,29,39で、その
生成したコマンド信号を放棄して、コマンド信号を有効
とする処理装置のコマンド信号に置き換えているので、
放射線等による記憶素子の反転エラー等の一過性のエラ
ーの影響がその後も続くのを防止し得て、システムの信
頼性を向上させることができる。
【0056】そしてこの実施例の情報処理システムによ
れば、図4〜図6に示すように、符号や数値は異なるも
ののも、三つの処理装置1A〜1Cのプロセッサ部2が
行う論理決定、例えば多数決の処理手順自体は共通であ
ることから、その論理決定を行うプログラムの開発時や
システムへのインストール時の作業者の作業の誤り低減
させることができるので、システムの信頼性を向上させ
ることができる。
【0057】以上、図示例に基づき説明したが、この発
明は上述の例に限定されるものでなく、例えば、処理装
置の数は論理決定、例えば多数決のできる(すなわち同
じ情報処理結果となった処理装置の数が最も多い情報処
理結果を選択できる)三つ以上であれば、所要に応じて
適宜選択でき、例えば四つの場合には、二つの処理装置
の情報処理結果が一致したらそれらの処理装置を正しい
とし、二つづつの処理装置で情報処理結果が分かれたら
制御情報を出力する処理装置を優先度に基づいて決定す
るようにしても良い。また信号出力手段は上記センサ4
に限られず、制御対象も上記アクチュエータ5に限定さ
れるものではない。
【図面の簡単な説明】
【図1】 この発明の冗長系情報処理システムの一実施
例の構成を示す構成図である。
【図2】 上記実施例の冗長系情報処理システムにおけ
る各処理装置のインタフェース回路の回路構成を示す構
成図である。
【図3】 上記実施例の冗長系情報処理システムにおけ
る三つの処理装置のプロセッサ部相互間、インタフェー
ス回路相互間、そして各処理装置のプロセッサ部とイン
タフェース回路相互間の接続状態を示す構成図である。
【図4】 上記実施例の冗長系情報処理システムにおけ
る処理装置1Aのプロセッサ部のCPUがそのプロセッ
サ部のメモリ内のプログラムに基づいて行う論理決定の
一例としての多数決のアルゴリズムを示すフローチャー
トである。
【図5】 上記実施例の冗長系情報処理システムにおけ
る処理装置1Bのプロセッサ部のCPUがそのプロセッ
サ部のメモリ内のプログラムに基づいて行う論理決定の
一例としての多数決のアルゴリズムを示すフローチャー
トである。
【図6】 上記実施例の冗長系情報処理システムにおけ
る処理装置1Cのプロセッサ部のCPUがそのプロセッ
サ部のメモリ内のプログラムに基づいて行う論理決定の
一例としての多数決のアルゴリズムを示すフローチャー
トである。
【図7】 上記実施例の冗長系情報処理システムにおけ
る処理装置1Aのプロセッサ部が行うコマンド検証アル
ゴリズムを示すフローチャートである。
【図8】 上記実施例の冗長系情報処理システムにおけ
る処理装置1Bのプロセッサ部が行うコマンド検証アル
ゴリズムを示すフローチャートである。
【図9】 上記実施例の冗長系情報処理システムにおけ
る処理装置1Cのプロセッサ部が行うコマンド検証アル
ゴリズムを示すフローチャートである。
【符号の説明】 1A,1B,1C 処理装置 2 プロセッサ部 2a 中央処理ユニット(CPU) 2b メモリ(MEM) 2c クロック回路(CLK) 2d ネットワークコントローラ(NC) 3 インタフェース部 3a,3b インタフェース回路 3c AND素子 3d NAND素子 3e ゲート素子 3f 信号回路 4 センサ 5 アクチュエータ 6 ネットワーク
───────────────────────────────────────────────────── フロントページの続き (71)出願人 500302552 株式会社アイ・エイチ・アイ・エアロスペ ース 東京都千代田区大手町二丁目2番1号 (72)発明者 スコット エイ マクダーモット アメリカ合衆国 ヴァージニア州 20109 −6450 マナッサス ラピダン レイン 10439 (72)発明者 森 欣司 東京都町田市金井1−15−8 (72)発明者 矢代 裕之 神奈川県横浜市神奈川区宝町2番地 日産 自動車株式会社内 Fターム(参考) 5B034 AA05 CC01 DD01

Claims (5)

    【特許請求の範囲】
  1. 【請求項1】 三つ以上の処理装置(1A,1B,1
    C)により共通の信号出力手段(4)からの信号に基づ
    きそれぞれ所定の情報処理を行って制御情報を生成し、
    それらの制御情報のうちから論理決定によって決定した
    制御情報によって共通の制御対象(5)の制御を行う冗
    長系情報処理システムにおいて、 前記三つ以上の処理装置が各々、 前記三つ以上の処理装置による前記制御情報の生成過程
    における情報処理結果を集めて、何れの処理装置が生成
    した制御情報を有効とするかを論理決定により決定し、
    前記三つ以上の処理装置のうちの当該処理装置を含む二
    つ以上の処理装置が生成した制御情報を有効とする場合
    は、あらかじめ定められた優先度に基づきそれら制御情
    報を有効とする処理装置のうちで当該処理装置の優先度
    が最先の場合には制御情報送信信号を出力する一方最先
    でない場合には制御情報送信信号を出力しないようにす
    るとともに、制御情報を有効とする処理装置以外の他の
    処理装置にそれぞれ制御情報阻止信号を出力し、前記三
    つ以上の処理装置のうちの当該処理装置を除く他の処理
    装置が生成した制御情報を有効とする場合は、制御情報
    送信信号を出力しないようにするとともに、他の処理装
    置に制御情報阻止信号を出力しないようにする送信可否
    決定部(2)を具えることを特徴とする、冗長系情報処
    理システム。
  2. 【請求項2】 前記三つ以上の処理装置が各々、 前記三つ以上の処理装置のうちの当該処理装置を除く他
    の処理装置からの前記制御情報阻止信号を入力し、その
    制御情報阻止信号の入力数が前記論理決定で有効とする
    所定数未満でかつ当該処理装置の前記送信可否決定部が
    前記制御情報送信信号を出力している場合は、当該処理
    装置が生成した制御情報を前記制御対象に出力し、前記
    制御情報阻止信号の入力数が前記所定数以上の場合は、
    当該処理装置の前記送信可否決定部が前記制御情報送信
    信号を出力していても当該処理装置が生成した制御情報
    を前記制御対象に出力しない論理演算部(3)をさらに
    具えることを特徴とする、請求項1記載の冗長系情報処
    理システム。
  3. 【請求項3】 前記論理演算部は、論理演算素子からな
    り、フィードバックループを持っていない組み合わせ回
    路(3)で構成されていることを特徴とする、請求項2
    記載の冗長系情報処理システム。
  4. 【請求項4】 前記処理装置が、前記制御情報の生成過
    程で過去の制御情報を用いるものである場合に、 制御情報を有効とする処理装置以外の他の前記処理装置
    は、その生成した制御情報を、制御情報を有効とする処
    理装置の制御情報に書き換えて、その書き換えた制御情
    報を次回の制御情報の生成過程に用いることを特徴とす
    る、請求項2または3記載の冗長系情報処理システム。
  5. 【請求項5】 前記三つ以上の処理装置の前記送信可否
    決定部が行う論理決定の処理手順は共通であることを特
    徴とする、請求項1から4までの何れか記載の冗長系情
    報処理システム。
JP2000118083A 2000-04-19 2000-04-19 冗長系情報処理システム Expired - Fee Related JP4477739B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2000118083A JP4477739B2 (ja) 2000-04-19 2000-04-19 冗長系情報処理システム
US09/836,229 US6940811B2 (en) 2000-04-19 2001-04-18 Redundant information processing system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000118083A JP4477739B2 (ja) 2000-04-19 2000-04-19 冗長系情報処理システム

Publications (2)

Publication Number Publication Date
JP2001306348A true JP2001306348A (ja) 2001-11-02
JP4477739B2 JP4477739B2 (ja) 2010-06-09

Family

ID=18629287

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000118083A Expired - Fee Related JP4477739B2 (ja) 2000-04-19 2000-04-19 冗長系情報処理システム

Country Status (2)

Country Link
US (1) US6940811B2 (ja)
JP (1) JP4477739B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013164763A (ja) * 2012-02-13 2013-08-22 Mitsubishi Electric Corp 二重化システム系切替制御装置
JP2014002472A (ja) * 2012-06-15 2014-01-09 Denso Corp 電子制御装置

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6896220B2 (en) * 2003-05-23 2005-05-24 Raytheon Company Munition with integrity gated go/no-go decision
US6796213B1 (en) * 2003-05-23 2004-09-28 Raytheon Company Method for providing integrity bounding of weapons
US7729816B1 (en) * 2006-01-23 2010-06-01 Itt Manufacturing Enterprises, Inc. System and method for correcting attitude estimation
US9883641B2 (en) * 2014-05-07 2018-02-06 Vivint, Inc. Sprinkler control systems and methods
DE102015218898A1 (de) * 2015-09-30 2017-03-30 Robert Bosch Gmbh Verfahren zur redundanten Verarbeitung von Daten

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09134208A (ja) 1995-11-07 1997-05-20 Hitachi Ltd 情報処理システムおよびコントローラならびにアクチュエータ制御装置
EP1157324A4 (en) * 1998-12-18 2009-06-17 Triconex Corp PROCESS AND DEVICE FOR PROCESSING CONTROL USING A MULTIPLE REDUNDANT PROCESS CONTROL SYSTEM

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013164763A (ja) * 2012-02-13 2013-08-22 Mitsubishi Electric Corp 二重化システム系切替制御装置
JP2014002472A (ja) * 2012-06-15 2014-01-09 Denso Corp 電子制御装置

Also Published As

Publication number Publication date
US6940811B2 (en) 2005-09-06
US20020027878A1 (en) 2002-03-07
JP4477739B2 (ja) 2010-06-09

Similar Documents

Publication Publication Date Title
RU2237276C1 (ru) Система управления приводами в самолете
EP0760973B1 (en) Method and apparatus for implementing a databus voter to select the command signals from one of several redundant asynchronous digital processing units
KR20130119452A (ko) 오류 허용 아키텍쳐를 갖는 마이크로프로세서 시스템
US20060200278A1 (en) Generic software fault mitigation
EP0263055B1 (en) Autoequalization in redundant channels
US20050278567A1 (en) Redundant processing architecture for single fault tolerance
US7890800B2 (en) Method, operating system and computing hardware for running a computer program
KR20020063237A (ko) 중요시스템의 고장안전처리실행, 모니터링 및 출력제어를위한 시스템 및 방법
JP2002358106A (ja) 安全コントローラ
JP2004518578A (ja) 分配された安全上重要なシステムのコンポーネントの駆動方法
US7788533B2 (en) Restarting an errored object of a first class
JP2001306348A (ja) 冗長系情報処理システム
US7181644B2 (en) Method for synchronizing data utilized in redundant, closed loop control systems
US6061601A (en) Redundant data processing system having two programmed logic controllers operating in tandem
JPH0821025B2 (ja) マルチプロセッサシステムおよび同システムの初期化方法
EP0265366B1 (en) An independent backup mode transfer method and mechanism for digital control computers
JP4232589B2 (ja) 二重化コントローラ、その等値化モード決定方法
JP5227653B2 (ja) 多重化計算機システム、及びその処理方法
US6507916B1 (en) Method and circuit arrangement for using two processors to read values of two independently clocked counters, exchanging values therebetween, comparing two values to determine error when the comparison exceed a threshold
JPH03219360A (ja) マルチプロセッサ制御方式
JP3884642B2 (ja) コントローラ及び多重化並列処理方法
JPH06124213A (ja) コンピュータのフォールト・トレラント方式
JPS63273141A (ja) 誤り自己訂正プロセッサ−とその駆動方法
JP2002342300A (ja) 分散処理システム及び分散処理方法並びに分散処理制御プログラム
JPS5941066A (ja) 制御装置のデ−タ照合方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070412

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20091029

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091117

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100210

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100309

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100312

R150 Certificate of patent or registration of utility model

Ref document number: 4477739

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130319

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130319

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140319

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees