JP2004302708A - 多重系情報処理装置 - Google Patents

多重系情報処理装置 Download PDF

Info

Publication number
JP2004302708A
JP2004302708A JP2003093087A JP2003093087A JP2004302708A JP 2004302708 A JP2004302708 A JP 2004302708A JP 2003093087 A JP2003093087 A JP 2003093087A JP 2003093087 A JP2003093087 A JP 2003093087A JP 2004302708 A JP2004302708 A JP 2004302708A
Authority
JP
Japan
Prior art keywords
control
collation
data
computers
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003093087A
Other languages
English (en)
Other versions
JP4103660B2 (ja
Inventor
Tei Watabe
悌 渡部
Yoichi Sugita
洋一 杉田
Noriharu Amitani
憲晴 網谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2003093087A priority Critical patent/JP4103660B2/ja
Publication of JP2004302708A publication Critical patent/JP2004302708A/ja
Application granted granted Critical
Publication of JP4103660B2 publication Critical patent/JP4103660B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Hardware Redundancy (AREA)

Abstract

【課題】多重系情報処理装置において系間のデータ照合処理のフェールセーフ性を保証するため必要であったフェールセーフな制御出力照合のためのハードウェアを削除する。
【解決手段】各系毎のデータ照合の結果を制御電文に追加し、制御を実行する装置側で各系の照合結果を比較し、制御データの正当性を判定し、制御データが正当であれば制御を実行する。照合結果の比較により制御データが不正であればデータを破棄し制御を保留する。
【選択図】 図1

Description

【0001】
【発明の属する技術分野】
本発明は、鉄道用の信号保安装置の安全性を保障するための複数の計算機を備えた多重系情報処理装置及び、各計算機間の照合装置と制御電文の伝送方法に関する。
【0002】
【従来の技術】
鉄道の列車制御では、運行の安全性を確保するためにフェールセーフの考え方に基づいた信号装置を用いている。例えば転轍機制御の場合、列車通過中に転轍機が動作すると脱線をまねくことになるので、仮になんらかの故障が発生した場合でも不正な動作とならない構成となっていなくてはならない。
【0003】
このようにフェールセーフとは、信号装置を構成する機器になんらかの故障が発生した場合でも、列車を制御する動作は安全側となるようにするというものである。前記の転轍機の場合では故障時には不正に動作しないよう構成され、信号機の場合は停止現示もしくは減灯するように構成されている。
【0004】
従来から鉄道の信号装置ではフェールセーフ性を実現するために信号用リレーを用いている。信号用リレーは励磁コイルによって接点が閉じ、コイルに電流が流れない時には機械的なバネの力によって接点が開放される構成となっている。よって制御入力としての励磁コイルヘの電流が遮断される場合はバネが開放されるので、コイルに故障があっても同様に接点は開放される。リレー接点が閉じる側の故障として接点溶着の可能性があるが信号用リレーでは溶着が発生しにくいように接点の材質や構造を工夫している。よって接点が閉じる故障は開放する故障に比べ発生確率は極めて低いという、故障の非対称性が実現されている。
【0005】
鉄道の信号装置では信号用リレーを制御信号伝達のスイッチとして利用し、また制御論理を構成する基本素子として用いた継電連動装置によって信号保安装置のフェールセーフ性を保証してきた。
【0006】
近年では、信号装置の小型化,長寿命化のために、信号用リレーに代えて電子計算機で構成した電子連動装置が考案され、従来の継電器連動装置に置き換えられている。電子計算機の論理素子であるMPUは半導体素子であるため信号用リレーのようにハードウェアそのもので安全側故障を保証することはできない。そこで電子計算機を用いた制御の安全性を保障するためには多重系構成が採用されてきた。これは制御のための情報処理を、複数の装置で平行して処理し、それぞれの処理結果を比較し、比較結果が同じであれば処理結果は正常であり、また比較結果が異なる場合は多重系装置のうちいずれかに異常が生じたと判断して処理結果を破棄することにより、処理が危険側に遷移することを防止する。
【0007】
例えば特許文献1では、2つのCPUを持つバス同期式コンピュータによるフェールセーフな処理装置の構成が示されている。それぞれのCPUはバス同期により同じ処理を実行し、処理結果は比較回路で照合される。比較回路の出力は最終的にデータ出力装置の出力を制御するリレーに接続され、CPUの処理結果の比較に異常が生じた場合は出力を停止する構成となっている。
【0008】
【特許文献1】
特開平9−289534号公報(全文)
【0009】
【発明が解決しようとする課題】
従来の鉄道信号保安用制御装置では、出力される制御信号そのものにフェールセーフ性が求められたため制御装置になんらかの異常が発生した場合には制御信号を確実に停止する機構が必要であった。
【0010】
例えば上述した特許文献1では出力はフェールセーフな素子であるリレーによって制御されている。またリレーを動作させる回路は振子回路であり、比較回路に異常が発生した場合でもリレーを落下させ出力を停止する仕組みとなっている。
【0011】
このように電子計算機を用いた鉄道用信号保安装置でフェールセーフ性を実現するためにはフェールセーフな照合機構が必要であり、通常はフェールセーフなハードウェアによって実現されている。
【0012】
従来は電子連動装置からの出方は直接信号機器に接続されていたため上記のようなフェールセーフな出力を制御する機構が必須であったが、近年では連動装置と信号機器はネットワークを経由して接続される構成も検討されている。この場合制御のフェールセーフ性を保証するためには、制御を実行する信号機器側に設置される信号機器制御装置にフェールセーフ性が求められる。よって連動装置側には出力をフェールセーフに制御するのではなく、信号機器制御装置がフェールセーフに制御を実行できることを保証する情報を出力することが求められる。また、連動装置側にはフェールセーフ性を保証するためのハードウェアを省略することが望まれる。
【0013】
本発明の目的は、データ照合を実行するフェールセーフなハードウェアを省略し、外部でフェールセーフな制御を実行するために必要な情報を出力する安全性の高い多重系情報処理構成を提供することである。
【0014】
【課題を解決するための手段】
本発明は、同一の処理を実行する複数の計算機を有し、それらの計算機が接続され、計算機間の処理結果の送受信が可能なデータ交換通信路と、それらの計算機から出力される処理結果をネットワークを介して外部へ出力する出力部とを有し、その出力部は、計算機からの処理結果である複数の制御データと、制御データと他の計算機の処理結果である制御データとを比較した複数の照合情報とを制御電文として出力する構成とする。
【0015】
また、照合情報は、その情報を作成した計算機固有の方式で符号化されている構成とする。
【0016】
また、照合情報の照合結果は、制御周期毎に変更される構成とする。
【0017】
また、出力部は、計算機間で送受された複数の制御データの照合結果に、定期的に不正な制御データが加えられた照合情報を出力する構成とする。
【0018】
【発明の実施の形態】
以下、図1を参照して本発明の多重系情報処理装置の一実施の形態の詳細を説明する。
【0019】
図1は本発明の多重系情報処理装置及び制御対象である信号機器7A,7Bとの接続状態を示した構成のブロック図である。
【0020】
図1において多重系情報処理装置を具体的な鉄道信号保安装置である連動装置1とする。
【0021】
連動装置1は複数の計算機2A,2B,2Cから構成されている。フェールセーフな連動装置を構成するために計算機は2つ以上が同時に動作している必要がある。本実施例では3つの系について説明するが3つ以上の系についても同様である。2A,2B,2Cの計算機は独立に動作しているが、それぞれの動作が正当であるか否かを確認するため定期的にデータ交換用通信路3を用いて自系計算機の計算結果である制御データを他系計算機に送信し、また他系計算機の制御データを受信する。各系は自系の計算結果の制御データと他系の計算結果の制御データを比較し、外部に出力するデータが正当か否かを判定する。
【0022】
図1において、1系計算機が制御データである制御電文8を外部に出力することをわりあてられている場合で照合情報の作成手順を説明する。
【0023】
まず各系がそれぞれ制御データを作成する。データ交換用通信路3を介して1系は2系,3系の計算機にその制御データを送信し、また2系,3系の計算機が作成した制御データを受信する。1系計算機は、1系が作成した制御データと2系が作成した制御データを比較する。同様に3系が作成したデータとも比較する。1系の制御データが2系,3系のいずれかのデータと一致していた場合は1系のデータが正しいと判定し、1系照合情報は正当を表現する値とする。1系のデータが2系,3系いずれのデータとも一致しない場合は、1系照合情報は不正を表現する値とする。
【0024】
2系計算機においても同様に、1系と2系の制御データ比較および1系と3系の制御データ比較を実行し、2系が判定した照合情報を作成する。作成された照合情報は1系計算機に送信される。3系計算機についても同様である。
【0025】
以上の処理から、1系計算機には、1系による照合情報と2系による照合情報と3系による照合情報が集積される。1系計算機は既に作成した制御データと3つの照合情報とを信号機器制御装置へ出力部であるネットワークインターフェース4を介して送信する。
【0026】
制御データと3つの照合情報は1つの電文にまとめられてもよいし、制御に影響がないかぎり一定制御周期以内にばらばらに送信されてもよい。ここでは1つの電文にまとめられているものとする。
【0027】
信号機器制御装置6A,6Bは上述した複数の制御データと複数の照合情報
(本実施例では3つの計算機を設けているので3つの照合情報)を含む制御電文8を連動装置1からネットワーク5を介して受信し、信号機器7A,7Bの制御に必要な制御情報を抽出する。このとき付加されている3つの照合情報をチェックする。
【0028】
3つの照合情報がすべて正当な場合は、多重系情報処理装置である連動装置1を構成する全ての計算機2A,2B,2Cは正常に動作しているものと判断できるので、制御データに応じて信号機器7A,7Bの制御を実行する。
【0029】
信号機器制御装置6A,6Bは、複数の照合情報のチェック結果、2系計算機の照合情報のみが不正である場合、2系計算機の照合機能に異常が生じたと判断できる。よって1系計算機と3系計算機の照合結果が正しいものとして制御を実行する。これは2つの系の計算機が同時には故障しないという前提に基づいた判断である。
【0030】
同様に信号機器制御装置6A,6Bは、3系計算機の照合情報のみが不正である場合は3系計算機の照合機能に異常が生じたと判断する。
【0031】
ただし、1系計算機2Aの照合情報が不正である場合には、1系になんらかの異常が発生したと判断でき、制御出力データ異常の可能性があるので他の系の照合情報によらず制御データを破棄する。
【0032】
1系計算機の照合情報が正当であっても、2系,3系の照合情報が不正という場合は、やはり1系計算機に何らかの異常があると考えられるので制御出力データを破棄する。
【0033】
以上のように計算機各系の照合情報の組み合わせによって、信号機器制御装置6A,6Bは連動装置1から出力された制御電文8内容の正当性を判別し安全に信号機器7A,7Bの制御を実行できる。
【0034】
また、入力された信号の特性を可逆的に変化させる符号化回路と、符号化された信号を復元する復号回路と、フィルタを設け、信号の出力を符号化情報および復号情報で制御することができ、スイッチ素子を制御する回路のフェールセーブ性を不要とする。
【0035】
図2は、連動装置1を構成する各系の計算機2A,2B,2Cが独立にネットワーク5に接続する場合の構成図である。
【0036】
連動装置1は各系の計算機全体でその安全性を保証するが、ネットワーク5を介して系間のデータを交換することが可能なので必ずしも図1のようなデータ交換用通信路3は必須ではない。また各系の計算機はネットワーク経由で処理の同期を維持できるのであれば、必ずしも同一の筐体に設置されている必要性はない。
【0037】
なお制御電文8中の制御データについては、通信内容を高水準で保証するためには制御データそのものを多重化して送信する。
【0038】
また、各系の照合情報を符号化することにより、他系計算機を経由してネットワーク5に送信された場合でも情報の改ざんを防ぐことが可能である。具体的な符号化手法としては、各系計算機ごとに固有なビットバターンによる符号化が可能であり、例えば排他的論理和による可逆可能なマスキングなどがある。
【0039】
照合情報の固定故障を回避するためには、照合情報の新規性を保証する値が望ましい。具体的には通番を用いて、毎周期ごとに照合情報が正当であることをあらわす値を変更するという手法がある。
【0040】
各系計算機はフェールセーフを前提としてはいないので、データの照合機能は必ずしもフェールセーフではない。そこで、照合機能が正常に動作していることを確認するために、照合情報を作成するにあたり系間の制御データによる照合だけではなく、必ず不正と判断するような不正なフォーマットの制御データによって照合を実行する。
【0041】
例えば、毎周期にこのような不正の制御データを入れる場合には、照合情報に正当な制御データによる照合結果と不正な制御データによる照合結果をのせる。この制御電文8を受信する信号機器制御装置6A,6Bは1つの照合情報内に、必ず正当な値と不正な値が2つの組で入っていることを確認して、データの正当性を知ることができる。
【0042】
また、符号化回路と復号回路を半導体素子による極性反転回路で構成し、制御情報を擬似ノイズによる反転情報とすることにより、リレーを用いず、かつ、フェールセーフなスイッチ素子制御回路を不要とし、かつネットワーク経由でフェールセーフに信号出力を制御することが可能となる。
【0043】
【発明の効果】
データ照合を実行するフェールセーフなハードウェアを省略し、外部でフェールセーフな制御を実行するために必要な情報を出力する安全性の高い多重系情報処理構成が提供できる。
【図面の簡単な説明】
【図1】本発明に係る多重系情報処理装置の一実施例を示す図である。
【図2】本発明に係る多重系情報処理装置の他の実施例を示す図である。
【符号の説明】
1…連動装置、2A,2B,2C…計算機、3…データ交換用通信路、4…ネツトワークインターフェース、5…ネットワーク、6A,6B…信号機器制御装置、7A,7B…信号機器、8…制御電文。

Claims (4)

  1. 同一の処理を実行する複数の計算機を有する多重系情報処理装置において、
    前記複数の計算機の各々が接続され、計算機間の処理結果の送受信が可能なデータ交換通信路と、
    前記複数の計算機の各々から出力される処理結果をネットワークを介して外部へ出力する出力部とを有し、
    前記出力部は、前記複数の計算機の各々から出力される処理結果である複数の制御データと、前記制御データと他の計算機の処理結果である制御データとを比較した複数の照合情報とを制御電文として出力することを特徴とする多重系情報処理装置。
  2. 請求項1の多重系情報処理装置において、
    前記照合情報は、前記照合情報を作成した計算機固有の方式で符号化されていることを特徴とする多重系情報処理装置。
  3. 請求項2の多重系情報処理装置において、
    前記照合情報の照合結果は、制御周期毎に変更されることを特徴とする多重系情報処理装置。
  4. 請求項1乃至3のいずれか1項の多重系情報処理装置において、
    前記出力部は、前記計算機間で送受された複数の制御データの照合結果に、定期的に不正な制御データが加えられた照合情報を組として出力することを特徴とする多重系情報処理装置。
JP2003093087A 2003-03-31 2003-03-31 多重系情報処理装置 Expired - Fee Related JP4103660B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003093087A JP4103660B2 (ja) 2003-03-31 2003-03-31 多重系情報処理装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003093087A JP4103660B2 (ja) 2003-03-31 2003-03-31 多重系情報処理装置

Publications (2)

Publication Number Publication Date
JP2004302708A true JP2004302708A (ja) 2004-10-28
JP4103660B2 JP4103660B2 (ja) 2008-06-18

Family

ID=33405963

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003093087A Expired - Fee Related JP4103660B2 (ja) 2003-03-31 2003-03-31 多重系情報処理装置

Country Status (1)

Country Link
JP (1) JP4103660B2 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008254556A (ja) * 2007-04-04 2008-10-23 Hitachi Ltd フェールセーフ制御方式
JP2013088826A (ja) * 2011-10-13 2013-05-13 Hitachi Ltd 冗長系システムにおけるデータ入力方式
JP2013105494A (ja) * 2011-11-15 2013-05-30 Ge Aviation Systems Llc 高整合性処理を提供する方法
EP2680148A1 (en) 2012-06-27 2014-01-01 Hitachi Ltd. Information processing system, output control device, and data generating device
JP2016016840A (ja) * 2014-07-11 2016-02-01 株式会社日立製作所 故障検知システム、故障検知装置及びその検知方法

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008254556A (ja) * 2007-04-04 2008-10-23 Hitachi Ltd フェールセーフ制御方式
JP2013088826A (ja) * 2011-10-13 2013-05-13 Hitachi Ltd 冗長系システムにおけるデータ入力方式
JP2013105494A (ja) * 2011-11-15 2013-05-30 Ge Aviation Systems Llc 高整合性処理を提供する方法
EP2680148A1 (en) 2012-06-27 2014-01-01 Hitachi Ltd. Information processing system, output control device, and data generating device
JP2016016840A (ja) * 2014-07-11 2016-02-01 株式会社日立製作所 故障検知システム、故障検知装置及びその検知方法

Also Published As

Publication number Publication date
JP4103660B2 (ja) 2008-06-18

Similar Documents

Publication Publication Date Title
TWI790215B (zh) 用於鐵路環境下重要通信的安全管理的設備和方法
CN104145453B (zh) 用于运行通信网络的方法和网络装置
US12099638B2 (en) Security device with extended reliability
US4270715A (en) Railway control signal interlocking systems
CN105398472A (zh) 一种平台主机插件
RU2679754C1 (ru) Релейный объектный контроллер для железнодорожной автоматики и телемеханики, способ безопасного определения состояния реле, способ безопасного управления реле, способ тестирования обмотки реле
JP4103660B2 (ja) 多重系情報処理装置
JP2003237579A (ja) 鉄道信号保安装置用知的端末
CA2818605A1 (en) Method for securing a control system of a reconfigurable multi-unit vehicle, and secured control system
JP5025402B2 (ja) 高安全制御装置
US9038965B2 (en) Method and sequential monitoring overlay system for track circuits
JP4698565B2 (ja) 電子軌道端末装置
JP5694806B2 (ja) 制御装置及び列車制御装置、並びに列車制御システム
JP6505525B2 (ja) 踏切制御装置
KR20010053028A (ko) 다중계 처리장치 및 다중계 처리장치에 접속된 콘트롤러및 다중계 처리시스템
JP2013017100A (ja) データ伝送システム
ES2905641T3 (es) Concepto para monitorizar un tráfico de red entrante en un puesto de enclavamiento
KR100694511B1 (ko) 무선열차제어시스템 차상자의 다수결방식 결함억제장치
US5671348A (en) Non-vital turn off of vital output circuit
US20240039717A1 (en) Appratus and method for controlling a critical system
JP4126222B2 (ja) スイッチ回路
CN108965314B (zh) 基于飞腾处理器的网络通信装置
Kolli et al. Providing cyber situational awareness (CSA) for PTC using a distributed IDS system (DIDS)
JP2011000981A (ja) Atc送信器
JP4716861B2 (ja) データ処理システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050119

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20060420

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070327

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070528

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080304

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080317

R151 Written notification of patent or utility model registration

Ref document number: 4103660

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110404

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120404

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120404

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130404

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140404

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees