JP2005049967A - フェイルセーフプロセッサ及び鉄道用保安制御装置 - Google Patents
フェイルセーフプロセッサ及び鉄道用保安制御装置 Download PDFInfo
- Publication number
- JP2005049967A JP2005049967A JP2003203535A JP2003203535A JP2005049967A JP 2005049967 A JP2005049967 A JP 2005049967A JP 2003203535 A JP2003203535 A JP 2003203535A JP 2003203535 A JP2003203535 A JP 2003203535A JP 2005049967 A JP2005049967 A JP 2005049967A
- Authority
- JP
- Japan
- Prior art keywords
- information
- error control
- output
- fail
- input
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Hardware Redundancy (AREA)
- Train Traffic Observation, Control, And Security (AREA)
Abstract
【課題】システムの通信媒体の大容量化に伴うデータ誤りのリスクに対し自己診断機能を有した誤り制御と照合動作をより高速に行うことのできるフェイルセーフプロセッサを提供すること。
【解決手段】フェイルセーフプロセッサは、情報を入力する入力手段及び制御演算処理を行う演算手段、さらには出力手段を多重化して構成される。多重化された各系へ入力される情報を情報部と誤り制御符合との対となる情報とし、その中の誤り制御符号のみを系間で交換し、情報部と誤り制御符合の一致性に異常がないかどうかを照合する誤り制御照合手段を備え、通信媒体からの入力情報誤りが演算手段に入力されることを極少にし、演算手段の制御演算結果を多重化された出力手段から出力すると共に、異常を検出した場合には安全側の状態で保持する。
【選択図】 図1
【解決手段】フェイルセーフプロセッサは、情報を入力する入力手段及び制御演算処理を行う演算手段、さらには出力手段を多重化して構成される。多重化された各系へ入力される情報を情報部と誤り制御符合との対となる情報とし、その中の誤り制御符号のみを系間で交換し、情報部と誤り制御符合の一致性に異常がないかどうかを照合する誤り制御照合手段を備え、通信媒体からの入力情報誤りが演算手段に入力されることを極少にし、演算手段の制御演算結果を多重化された出力手段から出力すると共に、異常を検出した場合には安全側の状態で保持する。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
本発明は、制御演算処理を行うプロセッサを多重化し制御演算処理中に異常が発生した場合に安全側の状態で保持するフェイルセーフプロセッサ及び鉄道用保安制御装置に関する。
【0002】
【従来の技術】
例えば、鉄道用列車の制御装置に対しては、万一故障が発生したとしても、その制御装置は常に安全側の状態となるようにして、危険側の状態になるのを回避できるような機能が要求されており、このような機能をフェイルセーフ機能と呼んでいる。フェイルセーフ機能が要求されている従来の鉄道用保安制御装置に適用されたフェイルセーフプロセッサの構成を図14に示す。
【0003】
図14はバス照合方式によるフェイルセーフプロセッサの構成図である。この制御装置は、A系及びB系から成る2重系の構成を有しており、A系及びB系はそれぞれマイクロプロセッサ11A、11B及び記憶回路12A、12Bを有し、入出力部13A、13Bを介して情報の入出力を行っている。これらマイクロプロセッサ11A、11Bはクロック回路14からのクロック信号により同期を取りながら走行している。
【0004】
マイクロプロセッサ11A、11Bにはバス15A、15Bを介してバス照合交番信号出力回路16が接続されている。このバス照合交番信号出力回路16は、バス15A、15B上に現れるマイクロプロセッサ11A、11Bの信号を照合し、両者が一致するか否かについてその照合結果を照合異常検出回路17に出力している。バス照合交番信号出力回路16は、常時、交番信号を出力しており、両者が一致している場合は、この交番信号の出力を継続することによりマイクロプロセッサ11A、11Bの走行を許容する。
【0005】
しかし、バス照合交番信号出力回路16は、両者の信号の不一致が一度でも発生すると、この不一致の情報を記憶し、以後の交番信号の出力を停止する。バス照合交番信号出力回路16からの交番信号の停止で、照合異常検出回路17は照合異常を検出し、マイクロプロセッサ11A、11Bにリセット信号を出力する。マイクロプロセッサ11A、11Bがリセットされることにより、バス照合交番信号出力回路16が照合すべきデータがなくなり、照合不一致となって交番信号を出力できなくなる。そして、双方のマイクロプロセッサユニットはリセットされた状態(安全側の状態となっている)で走行を停止するので、フェイルセーフ機能が確保されることになる。
【0006】
このバス照合によるフェイルセーフプロセッサを備えた制御装置については、長い間鉄道を制御する保安装置で利用されてきたが、昨今ではこのフェイルセーフ回路の部分が専用のハードウエアにより構成されているがために、高性能のマイクロプロセッサ11A、11Bやマイクロコンピュータが開発される度に、その都度専用のハードウエアを開発しなければならず、多大の労力及びコストを費やす結果となっていた。また、最近の鉄道用保安制御装置には多くの個所に半導体素子が使用されているが、これらの半導体素子の故障箇所あるいは発生態様によってはフェイルセーフ機能を確保できない場合も考えられ、安全性確保を一定値以上向上させることが非常に困難であった。このような課題に対して対策を講じたものが、データ照合方式のフェイルセーフプロセッサである。
【0007】
図15はデータ照合方式によるフェイルセーフプロセッサの構成図である。図15ではフェイルセーフプロセッサは、3重系で構成されており、入力部18A、18B、18C、プロセッサ19A、19B、19C、出力部20A、20B、20Cを有し、各系間に共通メモリDPM(Dual Port memory)21A、21B、21Cを接続して構成されている。また、出力部20A、20B、20Cからの出力信号はアンド回路22を介して3種類の演算結果が同一となったときのみ安全と判断して出力する構成としている。
【0008】
このようなデータ照合方式のフェイルセーフプロセッサの動作は、各系の入力部18A、18B、18Cから得られる入力情報を共通メモリ21A、21B、21Cに書き込み、これを各系のプロセッサ19A、19B、19C内の比較回路により系間で照合する。照合した結果、一致していれば、次の各系のプロセッサ19A、19B、19Cの演算動作を許容する。不一致であれば、入力情報を前回値ないし安全側に固定する。
【0009】
次の演算動作では、入力動作で決定された入力情報を用いて演算を行う。さらに、次の出力処理では、各系の各系のプロセッサ19A、19B、19Cで演算した結果を共通メモリ21A、21B、21Cに書き込み、これを各系のプロセッサ19A、19B、19C内の比較回路により系間で照合する。照合した結果、一致していれば、各系は次の出力動作を許容する。不一致であれば、出力を前回値ないし安全側に固定する。
【0010】
このように、データ照合方式は、入力→演算→出力と繰り返し実行されるフェイルセーフプロセッサの各動作フェーズにおいて、入出力情報を照合し各データの異常を検出する方式である。このデータ照合方式は、共通メモリ21A、21B、21Cを利用することで汎用のプロセッサとの接続を良くするメリットを有している。
【0011】
また、これだけでは、十分な安全性を確保することができないため、内部を構成する機能回路の故障に対しては、定周期に自己診断用のテストデータを与え、各機能回路を活性化させ診断することにより故障発生箇所の特定ができるようにしている。各フェーズでの動作は、この自己診断を行った後で実行することで、内部機能回路の安全(故障や障害がないこと)を確認したうえで、動作を行わせることができる。
【0012】
図16は、従来のデータ照合方式による安全性評価尺度PFDを示すモデル図である。図16に示すように、従来のデータ照合方式による安全性評価尺度を求める際には、システム内部及びそのシステム周辺の故障や障害の分類を行うようにしている。図16では、故障を安全側故障状態ないし正常状態U0、検出可能な危険側故障状態U1、検出できない危険側故障状態U2の3つの状態に分け、正常状態ないし安全側故障から危険側故障への遷移確率をλs、λns、修復により回復する確率をμs、μnsとしている。安全性評価尺度PFDは下記の(1)式で示される。
【0013】
PDF=λs(MTTR)+λns(T/2) …(1)
ここで、
λs:検出可能な危険側故障率
λns:検出不能な危険側故障率
μs:1/MTTR
μns:1/(T/2)…平均値
MTTR:自己診断により安全側へ修復する時間
T:オフライン検査時間
従来のデータ照合方式のフェイルセーフプロセッサでは、安全性評価尺度PFDにおいて、自己診断によりシステムを安全側に回復させることに重点を置き、検出できずにオフラインでしかシステムを安全側に回復させられないような部分を極小にすることで、この安全性評価尺度PFDを極力小さくするように設計している。このように、データ照合方式では、高い安全性を確保することができている。
【0014】
【発明が解決しようとする課題】
しかし、通信路の大容量化に伴い、これら通信路の誤り制御や照合時間に時間がかかり、入力から出力までの応答時間が確保できにくくなってきている。例えば、鉄道車両の制御や地上と鉄道車両との協調制御は、鉄道車両が移動体であるだけに、応答時間の確保が難しくなると、安全性を確保できなくなったりする場合がある。例えば、ブレーキ指令入力を地上より受信し、ブレーキを掛ける場合にブレーキ制動時間が伸びてしまうことあり、このような場合、地上の閉塞期間を延ばす等の処置が必要となり、土地取得や設備費用の上昇等のデメリットにも発展する。
【0015】
昨今、伝送路における情報量の大容量化、記憶回路12A、12Bの大容量化の進歩に伴い、鉄道を制御する制御装置においても、ME技術の導入や、制御装置から現場機器や保安装置までの配線削減のために、シリアル通信を利用するだけに留まらず、これまでいくつかのサブ伝送路に分けて接続していた保安装置をもう少し上位のレベルからも制御できるようにしたり、情報伝送路や記憶情報の共有化を行うようになってきたため、いくつかの伝送路に行き交う情報を1つの幹線通信路に纏めて収容する動きも顕著になってきている。
【0016】
このように、これまで、物理的、論理的に分断されていたいくつかのサブシステム同士が幹線伝送路を通した情報通信により、別のサブシステムの機器から情報入力したり、逆に別のサブシステムの機器へ情報出力するようにもなってきている。
【0017】
また、このように上位の伝送路には、その伝送路を構成するサブ伝送路内機器同士の複数の通話が収容されており、そのため必要な情報が比較的容易に取り出せるため、そこに新たな機能を演算、出力するアダプタを追加することで、新たな機能の提供や機能分散により、これまで難しかった性能面の改良が行えるようになってきている。
【0018】
伝送路における情報量の大容量化やシステムの機能向上施策がなされる一方、フェイルセーフプロセッサにとってみれば、1つの機能出力を得るためには、複数の入力情報を遠隔のいろいろな箇所の機器から入力収集し、これらを内部のプロセッサで演算し、情報出力を所定の遠隔の機器へ情報出力するようになってきているため、情報誤りに対するリスクが拡大傾向にある。
【0019】
さらに、昨今のME技術は高集積化が進む一方、低電圧化が益々進んでいる。低電圧化が進むことにより、伝送路、記憶装置、装置内部の全てにおいて、そこに流れる情報が誤る可能性がある。このような状況に対し、フェイルセーフプロセッサにおける情報誤りに対するリスクには、以下のようなものがある。
【0020】
(1)フェイルセーフプロセッサから入力部が離れている場合、入力部からフェイルセーフプロセッサまでの伝送路でノイズが混入し、データ誤りが発生する可能性がある。入力情報が誤ると、演算手段が故障していなくとも、結果は異常情報であるのにあたかも正常情報であるかのように振る舞う場合があり、錯誤状態に陥る。
【0021】
(2)フェイルセーフプロセッサ内に記憶される記憶情報を将来の制御演算に備え、比較的長期間使用せず記憶した場合、記憶情報が保管されたデータはノイズの影響にさらされる。 記憶情報が誤ると、演算手段が故障していなくとも、結果は異常情報であるのにあたかも正常情報であるかのように振る舞う場合があり、錯誤状態に陥る。
【0022】
(3)将来、伝送路や記憶部における情報量の大容量化やシステムの機能向上がさらに進むと、入力情報、記憶情報、出力情報内には、大量の誤り制御符号付き情報が収納され、フェイルセーフプロセッサでは、誤り制御処理(送信側での誤り制御符合の付加、受信側での誤り検出)を大量に処理しなくてはならなくなってくる。
【0023】
(4)システムとしての入力から出力までの応答時間を保証しなくてはならない用途(保安装置等)では、ソフトウエアでの誤り制御を実施するのでは時間がかかってしまい、入力情報量を限定しなくてはならない等応答時間の保証が難しくなってくる。これは、折角伝送路を大容量化(高速化)しても、そこにつながる保安装置で誤り制御に時間がかかってしまい、伝送路の大容量化の恩恵が得にくくなるデメリットでもある。
【0024】
(5)鉄道車両ないし地上設備のいろいろな箇所に情報入力装置や情報出力装置を設置しシリアルバスで相互に接続し情報の交換を行う情報制御装置では、中央装置や伝送路の途中の端末装置にフェイルセーフプロセッサを実装して、保安装置での演算機能の一部を実行させるような要望が増えてきている。このような場合でも、中央装置には大量の誤り制御符号付き情報が集まってくるようになるため、やはり誤り制御や照合処理に時間を奪われるようになってしまう。
【0025】
(6)通信路や記憶装置(フェイルセーフプロセッサ内部の記憶回路12A、12Bも含む)における多重誤りに対する防御とこれを検出する防御機能の自己診断方法を明確にする必要がでてくる。また、情報伝送用の誤り制御照合機能の健全性チェックとこれまでのフェイルセーフプロセッサに必ず常備されていた交番出力への仕掛けを明確にすることが要請される。
【0026】
本発明の目的は、入力情報や出力情報の誤りを見逃し難くし、誤り制御と一体となった照合動作の高速性を向上させることができるフェイルセーフプロセッサ及び鉄道用保安制御装置を提供することである。
【0027】
【課題を解決するための手段】
請求項1の発明に係わるフェイルセーフプロセッサは、情報を入力する入力手段及び制御演算処理を行う演算手段を多重化し多重化された演算手段の制御演算結果を照合して多重化された出力手段から制御演算結果を出力すると共に異常を検出した場合に安全側の状態で保持するフェールセーフプロセッサにおいて、多重化された各系へ入力される情報を情報部と誤り制御符合との対となる情報とし、その中の誤り制御符号のみを系間で交換し、情報部と誤り制御符合の一致性に異常がないかどうかを照合する誤り制御照合手段を備えたことを特徴とする。
【0028】
請求項2の発明に係わるフェイルセーフプロセッサは、請求項1の発明において、前記誤り制御照合手段はハードウエアで構成されたことを特徴とする。
【0029】
請求項3の発明に係わるフェイルセーフプロセッサは、請求項1または請求項2の発明において、前記誤り制御照合手段は、各系の前記入力手段と前記演算手段との間、前記出力手段と前記演算手段との間に設けたことを特徴とする。
【0030】
請求項4の発明に係わるフェイルセーフプロセッサは、請求項1乃至請求項3のいずれか1項の発明において、前記誤り制御照合手段は、前記演算手段での制御演算結果を出力する際に、前記情報の情報部に基づいて各系で誤り制御符合の作成を行い、系間でその誤り制御符合のみを交換し、情報部と誤り制御符合の一致性を照合することを特徴とする。
【0031】
請求項5の発明に係わるフェイルセーフプロセッサは、請求項1乃至請求項4のいずれか1項の発明において、前記誤り制御照合手段は自己診断機能を有し、一致関係の取れたテスト情報と対応した誤り制御符号とを与えたとき、一致動作が期待されているのに不一致の関係となるときには安全側に遷移する異常や障害があると判定し、不一致関係のテスト情報と誤り制御符号とを与えたとき、不一致動作が期待されているのに一致の関係となるときには、危険側異常や障害があると判定することを特徴とする。
【0032】
請求項6の発明に係わるフェールセーフプロセッサは、請求項5の発明において、前記誤り制御照合手段は自己診断機能を有し、前記演算手段での制御演算結果を出力する際の誤り制御符号の作成機能および照合機能を自己診断するにあたり、同一のテスト情報を各系の誤り制御符号の作成機能へ与えて各系で誤り制御符合を作成させ、作成されたテスト情報に対応した誤り制御符号とテスト情報とを各系の照合機能で照合することを特徴とする。
【0033】
請求項7の発明に係わるフェイルセーフプロセッサは、請求項5または請求項6の発明において、前記誤り制御照合手段は、定期的に自己診断機能を動作させ他系の自己診断結果との一致チェックまたは不一致チェックを行い異常判定のための交番信号に反映させることを特徴とする。
【0034】
請求項8の発明に係わるフェイルセーフプロセッサは、請求項1乃至請求項7のいずれか1項の発明において、前記誤り制御照合手段での誤り制御照合用の計算動作は、前記演算手段の演算動作とは分離して動作させ、演算手段における演算動作に極力影響を与え合わないようにプラットフォーム化したことを特徴とする。
【0035】
請求項9の発明に係わるフェールセーフプロセッサは、請求項1乃至請求項8のいずれか1項の発明において、前記誤り制御照合手段は、起動時に自己診断機能を動作させ、正常と判断される機能のみを使用して入力照合や出力照合を行うことを特徴とする。
【0036】
請求項10の発明に係わるフェイルセーフプロセッサは、請求項1乃至請求項9のいずれか1項の発明において、多重化された各系へ入力される情報は、安全性に関わる見逃し誤り率を厳重に管理した情報部とこの情報部に対応した誤り制御符号との対であることを特徴とする。
【0037】
請求項11の発明に係わる鉄道用保安制御装置は、請求項1乃至請求項10のいずれか1項記載のフェイルセーフプロセッサを備えたことを特徴とする。
【0038】
【発明の実施の形態】
以下、本発明の実施の形態を説明する。図1は本発明の実施の形態に係わるフェイルセーフプロセッサの構成図である。図1では、本発明による3台のフェイルセーフプロセッサ23を用いた場合を示している。
【0039】
フェイルセーフプロセッサ23は、それぞれA系およびB系の二重系で構成され、大容量化や共有化された情報伝送路及び記憶装置24と接続されている。大容量化や共有化された情報伝送路及び記憶装置24と送受信する情報は、後述するように情報部と誤り制御符合とが対となった情報であり、A系およびB系の入力処理手段25A、25Bを介してそれぞれA系及びB系の情報入力支援処理手段26A、26Bに入力される。
【0040】
A系及びB系の情報入力支援処理手段26A、26Bは、それぞれ誤り制御符合に基づいて誤り制御照合を行う誤り制御照合手段を有し、入力された情報の正当性を判断する。A系及びB系の演算処理手段27A、27Bは、A系及びB系の情報入力支援処理手段26A、26Bで正当性が判断された情報を用いて制御演算を行い、A系及びB系の情報出力支援処理手段28A、28B、さらにはA系及びB系の出力処理手段29A、29Bを介して情報伝送路及び記憶装置24に出力される。
【0041】
A系及びB系の情報出力支援処理手段28A、28Bにも、それぞれ誤り制御符合に基づいて誤り制御照合を行う誤り制御照合手段を有し、A系及びB系の演算処理手段27A、27Bで演算された情報の正当性を判断して、情報伝送路及び記憶装置24に出力するようにしている。
【0042】
次に、情報伝送路及び記憶装置24と送受信する情報について説明する。図2は、情報伝送路及び記憶装置24と送受信する情報の説明図である。情報伝送路及び記憶装置24と送受信する情報は、図2に示すように、情報部と誤り制御符合とが対となって構成されかつ複数の対が収納される。
【0043】
情報部には、本来伝えたい情報以外に、発信元と宛先の識別子、サイズ情報、制御符号、シーケンス番号やタイムスタンプ等が含まれる。また、誤り制御符合は安全な通信を実現するための安全コードであり、伝送LSI等に標準的に機能回路として有するFCS回路のためのFCSコードとは異なるものである。
【0044】
一般に、安全に流せる情報部の情報伝送量や記憶情報量に対しては、設置環境のS/Nに基づくビットエラー率や誤り制御符号の持つハミング距離を考慮しながら目標とする見逃し誤り率を設定している。
【0045】
見逃し誤り率は誤り制御符合の評価尺度の1つである。見逃し誤り率は、情報元から情報通信路及び記憶装置24に流す際に誤り制御符合を付加したり、受信側で誤り制御符号とデータの関連性により情報元を推定する際に、誤りを見逃し出力先へ誤って情報を伝えてしまう確率である。見逃し誤り率の値は、大きいほど受信側の機器に、誤り検出できずに情報を伝えていることを意味する。
【0046】
誤って情報を伝えてしまうものの中にはその情報が誤って伝わってしまうことで、致命的な障害に発展する恐れのものがある。例えば、ブレーキ指令を入力し、ブレーキ出力を行いたいのに、途中の伝送路で誤りが発生しブレーキが出力できない場合には、列車衝突や脱線等に発展しないとは言い切れないような場合が発生する。鉄道車両を制御するために必要な情報を安全にやりとりを行う保安装置では、国内では20万年に1回以下を危険側故障とし、それを危険側見逃し誤り率の設定値としている。
【0047】
一般に、危険側見逃し誤り率は、見逃し誤り率から安全側見逃し誤り率を引いた差であるが、危険側見逃し誤り率と安全側見逃し誤り率とを分類することは困難を伴うため、和である見逃し誤り率に着眼して統計計算を進める。見逃し誤り率が規定値以下に収まれば、必然的に危険側見逃し誤り率も規定値以下となる。
【0048】
見逃し誤り率の統計計算では、通信の情報量(ビット)をn(ビット)と仮定し、送信情報が誤らずに受信される確率P0は、nビットが誤らない確率であり、以下の(2)式で示される。
【0049】
P0=(1−p)n …(2)
残りの差集合P0’=1−P0は何らかの誤りが起こる確率である。誤り制御符合は、1回の情報伝送で複数ビットの誤りが発生しても、ハミング距離−1ビット以下であれば誤りを検出できる。例えば、ハミング距離が4のときの誤り率表は以下のようになる。
【0050】
【表1】
これらを考慮しつつ 正しく復号される確率Pcは、離散データの統計計算のため2項分布に従えば、以下のように求まる。符号長nビット中、特定の1箇所のみ誤る確率はp1(1−p)n−1となる。このような誤りは、n個から1個を選ぶ組み合わせとしてn種類ある(nC1=n)。従って、1箇所の誤りが発生する確率は、nC1p1(1−p)n−1となる。同様に、2箇所、3箇所の誤りの発生する確率を求め、受信語に誤りがない確率P0を加えて、正しく復号される確率は以下の(3)式で示される。
【0051】
【数1】
ハミング距離以上の複数の同時誤りで発生する見逃し誤りの確率は、PD+PEであり、残りの差集合P0’=1−Pcとなる。すなわち、見逃し誤り率は下記の(4)式で示される。
【0052】
【数2】
このように、ビットエラー率や、ハミング距離、情報サイズの最適化等により厳重に管理された情報部とこれに対応した誤り制御符号の対は、情報伝送路及び記憶装置24を通じてデータ共有されている。
【0053】
図3は、図1に示したフェイルセーフプロセッサ23の入力処理手段25から演算処理手段27までの処理内容(入力処理→入力支援処理→制御演算)を示すブロック構成図である。
【0054】
入力処理手段25に関わる部分としては、複数の情報部と誤り制御符合の対を取り込む入力手段30と、入力手段30で取り込まれた情報部と誤り制御符合の対を各々の入力部1〜nまでを定周期に順番にスキャンし、後段の入力DPM31に転送するDMA回路32A、32Bと、DMA回路32A、32Bから転送されてくる複数の情報部と誤り制御符合の対を一時保管する入力DPM31と、これら複数の情報部と誤り制御符合を入力手段30から入力DPM31まで通すためのバス回路から構成される。
【0055】
入力DPM31は、後述する照合動作のために、A系が入力として取り込むと共に同時に2箇所に書き込み保管するA=A入力DPM、B=A入力DPMと、B系が入力として取り込むと共に同時に2箇所に書き込み保管するB=B入力DPM、A=B入力DPMから構成される。
【0056】
また、バス回路は、ノイズ等の影響により多重ビット障害の照合検知のため原則として多重化されるが、厳重に見逃し誤り率が管理された情報伝送路の場合には伝送路と捕らえ、ハミング距離を考慮した範囲であれば多重ビット障害検知は後段の入力照合部で検知可能なため省略される場合もある。
【0057】
また、図3のバス回路では、フェイルセーフプロセッサ内部の記憶回路12A、12Bのデータも、誤り検知可能なようにBUSBUF33A、33Bを開閉してデータルートを開通させ、入力DPM31へ転送できるようにしている。
【0058】
情報入力支援処理手段26に関わる部分としては、前述した入力DPM31と、入力DPM31に保管された複数の情報部と誤り制御符合の対を誤り制御に関する照合を実施する誤り制御照合手段34A、34Bと、入力DPM31から誤り制御照合手段34A、34Bへ複数の情報部と誤り制御符合の対を通すバス回路から構成される。誤り制御照合手段34A、34Bは、情報部と誤り制御符合の対の数と入力から出力までの応答時間に応じて複数化することもできる。誤り制御照合手段34A、34Bが多重化される場合、入力DPM31との伝送路も時間的ないし物理的に多重化される。
【0059】
演算処理手段27に関わる部分は、制御演算を行う演算手段35A、35Bと、それぞれに誤り制御符合が付加された制御サイクルの実行プログラムや制御テーブルデータ、演算結果の中間データ、ジャーナルデータ等を保管する記憶回路12A、12Bと、入出力情報も含め各種記憶情報のやり取りを行うためのバス回路と、DMA回路32A、32Bから構成される。
【0060】
通常、演算手段35A、35Bは、汎用のマイクロプロセッサを使用する。なお、演算手段35A、35Bでの制御演算と、入出力情報のためのDMA動作、誤り制御照合手段34A、34Bの動作は、互いの処理時間が影響を与え合わないように、バス回路でデータルートの制限を行えるよう構成している。
【0061】
図4は、図1に示したフェイルセーフプロセッサ23の演算処理手段27から出力処理手段29までの処理内容(制御演算→出力支援処理→出力処理)に関連したブロック構成図である。出力支援処理手段28では、誤り制御符号生成処理と出力照合処理の2つの処理を行う。
【0062】
誤り制御符号生成処理に関する部分は、演算手段35A、35Bで計算した結果を保管する出力DPM36と、出力DPM36にセットされたデータから誤り制御符号を生成し、その結果を出力DPM36にセットする誤り制御照合手段34A、34Bと、出力DPM36から誤り制御照合手段34A、34Bへ複数の情報部を通すバス回路から構成される。誤り制御照合手段34A、34Bは、情報部の数と入力から出力までの応答時間に応じて複数化される。誤り制御照合手段34A、34Bが多重化される場合、出力DPM36との伝送路も時間的ないし物理的に多重化される。
【0063】
出力照合に関わる部分としては、出力DPM36と、出力DPM36に保管された複数の情報部と誤り制御符合の対を誤り制御照合を実施する誤り制御照合手段34A、34Bと、出力DPM36から誤り制御照合手段34A、34Bへ複数の情報部と誤り制御符合の対を通すバス回路から構成される。誤り制御照合手段34A、34Bは、情報部と誤り制御符合の対の数と入力から出力までの応答時間に応じて複数化される。誤り制御照合手段34A、34Bが多重化される場合、出力DPM36との伝送路も時間的ないし物理的に多重化される。出力DPM36は、照合動作のために入力照合を行う入力DPM31と同様に、A=A出力DPM、B=A出力DPMと、B=B出力DPM、A=B出力DPMから構成される。
【0064】
出力処理手段29に関わる部分としては、出力DPM36と、出力DPM36から出力手段38や内部の記憶回路12A、12Bに対し情報部と誤り制御符合の対を配信するDMA回路32A、32Bと、DMA回路32A、32Bにより、転送してきた情報部と誤り制御符合の対を外部の情報伝送路及び記憶装置24へ出力する出力手段38と、出力DPM36から出力手段38ないし内部記憶回路12A、12Bへ転送するバス回路から構成される。
【0065】
バス回路は、ノイズ等の影響により多重ビット障害の照合検知のため原則として多重化されるが、厳重に見逃し誤り率が管理された情報伝送路の場合には伝送路と捕らえ、ハミング距離を考慮した範囲であれば、多重ビット障害検知は転送先のフェイルセーフプロセッサの入力照合部で検知するか、外部フェイルセーフプロセッサからのフィードバックメッセージにより、誤り検知可能なため後段の伝送路に揃えてバス回路の多重化が省略される場合もある。このとき主系AのA=B出力DPMのデータを転送に利用する。
【0066】
このように構成されたフェイルセーフプロセッサの各手段は、所定の状態遷移で順番に動作する。図5は、本発明の実施の形態によるフェイルセーフプロセッサ23のメイン状態遷移図である。フェイルセーフプロセッサの基本的な状態としては、電源投入処理状態S1、管理処理状態S2、情報入力処理状態S3、制御演算処理状態S4、情報出力処理状態S5の5つのフェーズから構成される。
【0067】
このうち、電源投入処理状態S1は電源投入直後のみに起きる状態で、管理処理状態S2、情報入力処理状態S3、制御演算処理状態S4、情報出力処理状態S5は、電源投入している間、管理処理状態S2→情報入力処理状態S3→制御演算処理状態S4→情報出力処理状態S5の順に繰り返し実行される。なお、フェイルセーフプロセッサの各系のプロセッサにはあらかじめ定めた期間の同期割込み信号を入力しており、情報入力処理状態S3、制御演算処理状態S4、情報出力処理状態S5のいずれかを実行している最中に同期割込みを入力した時点で現在の処理を一時中断し管理処理を実行するようにしている。
【0068】
これにより、例えば、情報入力処理、制御演算処理、情報出力処理に約2mSかかると仮定した場合、同期割込みを2mS+αとすることで、管理処理状態S2→情報入力処理状態S3→管理処理状態S2→制御演算処理状態S4→管理処理状態S2→情報出力処理状態S5というふうに管理処理とそれ以外の処理を交互に実行することができる。後述するが、管理処理には、自己診断処理が備わっており、これにより、自己診断を実施してから、情報入力、制御演算、情報出力を実行できる仕掛けも構築できるようになっている。
【0069】
<電源投入処理遷移>
フェイルセーフプロセッサでは、電源を投入するとまず電源投入処理が実行される。図6は電源投入処理の状態遷移図である。図6に示すように、まずフェイルセーフプロセッサを構成する機能回路の全ての自己診断を実施する(S11)。自己診断には、演算処理手段27に関係するプロセッサの各種命令の自己診断、実行プログラムや制御テーブルデータ、演算結果の中間データ、ジャーナルデータ等を保管する記憶回路12A、12Bの自己診断、入力処理手段25及び入力支援処理手段26の自己診断、出力支援処理手段28及び出力処理手段29の自己診断等を実施する。自己診断結果は、ジャーナル処理にて記録される(S11a)。
【0070】
そして、診断された機能を用い、記憶回路12A、12Bに実装される実行プログラム等の各種バージョン情報を他系と一致しているか照合を実施する(S12)。バージョンチェック結果は、ジャーナル処理にて記録される(S12a)。
【0071】
また、他系バージョンチェック処理の結果を利用してフェイルセーフプロセッサが運転可能なのかどうかを、RUN/STOP決定処理で判断する(S13)。
自己診断とバージョンチェックで致命的な故障や障害が検出される場合、実行不可能とし運転状態に移行することなく、出力を安全側に固定し動作を停止する(S13a)。自己診断とバージョンチェックで致命的な故障や障害が検出されない場合は実行可能とし、運転状態に移行する。この際、電源投入処理が実行されたことをジャーナルに記録する(S14)。
【0072】
ここで、入力支援処理手段26と出力支援処理手段28の自己診断、特に、プロセッサの比較(照合)命令と誤り制御照合手段34の自己診断は特に厳重に実施する。
【0073】
誤り制御照合手段34では、入力の際の誤り制御照合機能、出力の際の誤り制御符合作成機能と照合機能より構成されている。このうち、照合機能の自己診断では、テスト情報と一致関係の取れた誤り制御符号を定周期に本回路へ与え一致動作を確認する。その結果、一致動作が期待されているのに対し、不一致の関係となるときには、この回路に安全側に遷移する異常や障害があることを検知できる。さらに、不一致関係のテスト情報と誤り制御符号を本回路へ与え不一致動作を確認する。その結果、不一致動作が期待されているのに対し、一致の関係となるときには、この回路に致命的な危険側異常や障害があることを検知できる。このように、照合回路の自己診断を定周期でかつ厳重に実施する。
【0074】
例えば、誤り制御照合手段34にCRC−CCITT(生成多項式:X16+X12+X5+1)を用いる場合、この方式の基本が除算回路であり、情報部と対応した剰余符号の構成であり、情報部と情報部に対応した剰余符号が一致(すなわち、情報部と情報部に対応した剰余符号で構成される情報ブロックの対をさらに生成多項式で除算すると割り切れる)関係にないと、情報部+情報部に対応した剰余符号の対でデータ誤りが発生したか、誤り制御照合手段34自体に故障が発生していると言える。これを利用して、情報部と一致関係にある剰余符号のテストデータと、情報部と不一致関係にある剰余符号のテストデータとを与えることによって、情報自体に誤りがあるのか?、それとも回路に故障があるのか?、回路故障の場合に安全側か?危険側か?というふうに自己診断による故障の分類が行える。
【0075】
図7は、誤り制御照合手段34にCRC−CCITT(生成多項式:X16+X12+X5+1)を用い、これを2重系とし利用することで、照合と回路自体の故障検出ができるようにした場合の説明図である。
【0076】
図7のA系及びB系は同じ処理が行われるので、A系に着眼して説明する。A=ADPMにはA系が書き込んだテスト情報+対応した誤り制御符合の対が存在する。逆にB=ADPMにはB系が書き込んだテスト情報+対応する誤り制御符合の対が存在する。誤り制御照合手段34Aでは、まず、A=ADPMに書き込んでいるA系テスト情報部を読み出し、P/S変換器39A及びマルチプレクサ(MPX)40Aを経由して、誤り制御照合手段34AのLFSR41Aにセットし除算していく。テスト情報部を順次読み出し除算を繰り返し、誤り制御符合のポインタまで進むと、マルチプレクサ(MPX)40Aを制御して、B系のB=ADPMの誤り制御符合が読み出せるようにデータルートを切り替え除算を進行させる。
【0077】
これにより、A系テスト情報のうち情報部のみを、B系テスト情報のうち誤り制御符合を読み出し、CRC計算を行わせることになる。通常、A系とB系の情報部と対応した誤り制御符号は、一致したものが与えられるため、このように誤り制御符合を入れ替えても、回路に故障やデータに障害がなければ割り切れて一致の結果が得られることになる。逆に、回路に故障やデータに障害が発生したり、自己診断により不一致のテスト情報と誤り制御符合の対を与えるような場合には割り切れずに不一致の結果が得られることになる。その結果は、A=ADPM、B=ADPMに情報部を破壊することなく書き込まれ、A系の誤り制御照合手段34Aからのフィードバックメッセージとして、A系からもB系からも読み出せる。
【0078】
B系でも、A系と同期してB=BDPM、A=BDPMにセットされた情報部と対応した誤り制御符号により、除算を実施し、結果がB=BDPM、A=BDPMにセットされていく。
【0079】
このようにして、A系からもB系からもA系誤り制御照合手段34Aからの計算結果、A系からもB系からもB系誤り制御照合手段34Bからの計算結果を読み出し照合することによって、誤り制御照合手段34自体の故障検知が行える。
【0080】
また、出力の際の誤り制御符号の作成機能と照合機能の自己診断では、同一のテスト情報部を、各系の誤り制御符号の作成機能へ与え各系で誤り制御符合を作成させる。これにより作成されたテスト情報に対応した誤り制御符号とテスト情報を各系にある照合機能で照合する。その結果、同一のテスト情報を与えているため一致結果が期待されているのに対し、不一致結果となるときには、この回路に安全側に遷移する異常や障害があることを検知できる。
【0081】
図8は、誤り制御照合手段34にCRC−CCITT(生成多項式:X16+X12+X5+1)を用い、これを2重系とし利用することで、剰余符号の生成と回路自体の故障検出ができるようにした場合の説明図である。
【0082】
図8のA系及びB系は同じ処理が行われるので、A系に着眼して説明する。A=ADPMにはA系が書き込んだテスト情報部のみが存在する。逆にB=ADPMにはB系が書き込んだテスト情報部のみが存在する。誤り制御照合手段34Aでは、B=ADPMに書き込んでいるB系テスト情報部のみを読み出し、後段のP/S変換器を経由して、誤り制御照合手段のLFSRにセットし除算していく。テスト情報部を順次読み出し除算を進行させ誤り制御符合を作成させる。
【0083】
通常、A系とB系の情報部は一致したものが与えられるため、A系とB系の誤り制御符号(剰余符号)は同一の計算結果が得られる。同一でなく不一致な場合には、誤り制御照合手段自体に故障が発生していることになる。その他、プロセッサの比較命令を含む各種命令の自己診断、記憶回路12A、12Bの自己診断、入力処理手段の自己診断、出力処理手段の自己診断は従来の照合方式によるフェイルセーフプロセッサと大差がないため、説明は省略する。
【0084】
<管理処理遷移>
管理処理は、電源投入処理の直後及び、通常時の運転中の同期割込みが発生するたびに起動される。管理処理は、通常時の運転中に定周期に自己診断を行うことと、伝送路との情報入出力や内部記憶回路12A、12B、外部記憶回路との情報入出力の際に誤り制御や照合動作だけに専念して動作するプラットフォーム処理である。
【0085】
図9は管理処理の状態遷移図である。管理処理に移行すると、プロセッサの比較命令の自己診断を実施する(S21)。従来の照合方式のフェイルセーフプロセッサと同様に、ここでは、比較命令回路へ一致データと不一致データとを交互に与え、一致データを与えているにも関わらず不一致になる安全側故障の検知、不一致データを与えているにも関わらず一致となる危険側故障の検知を行う。一致データと不一致データの与え方は、同期割込み発生毎に一致データと不一致データを交互に与える。
【0086】
なお、プロセッサの比較命令の自己診断において、安全側故障を検出した場合には、一過性の障害が考えられるためその時点ではジャーナル保存に留める(S21a)。一方、危険側故障を検知した場合や、自己診断をリトライしn回連続して異常を検出するようであれば故障と判断し、危険側故障と同様に速やかに出力を安全側に固定し、運転停止とする(S21b)。
【0087】
次に、誤り制御照合手段34の自己診断を実施する(S22)。電源投入処理で実施した自己診断と同じ処理を実施するが、一致データと不一致データの与え方は、同期割込み発生毎に一致データと不一致データとを交互に与えて自己診断を実施する。
【0088】
なお、誤り制御照合手段34の自己診断において、正常と判断される回路のみを使用して後述の管理処理の情報入力支援処理や情報出力支援処理を実施する。
危険側異常と判断される回路は使用しない。安全側異常と判断される回路は一過性の障害が考えられるためこの時点ではジャーナル処理に留める(S22a)。
自己診断をリトライしn回連続して異常を検出するようであれば故障と判定して使用しないようにし、また、誤り制御照合手段34の自己診断において、危険側故障を検出した場合には速やかに出力を安全側に固定し運転停止とする(S22b)。
【0089】
次に、定周期な自己診断を実施する(S23)。これは、(1)式に示した安全性評価尺度PFDにおいて、結果値を極小化する(MTTRとTとを少なくする)ためである。定周期自己診断では、電源投入時に実施している自己診断をいくつかのブロックに分けて同期割込み発生ごとに順番に繰り返し実行する。これは、例えば、記憶回路12A、12Bの自己診断等の診断時間を必要とするものが、全体の応答時間に負担をかけてしまうためであり、自己診断をいくつかのブロックに分けることで全体の応答時間の確保が可能になる。定期的な自己診断において、障害を検出した場合にはジャーナル処理に留める(S23a)。
【0090】
次に交番出力処理を行う(S24)。従来の照合方式のフェールセーフプロセッサは出力カットのための条件(危険側故障や、n回以上の安全側故障)により出力を安全側に固定する交番出力機能は有しているが、本発明の実施の形態では、特に、前述の誤り制御照合手段34の自己診断の結果も利用して、一致チェックと不一致チェックを定周期に実施し交番信号に反映する。
【0091】
これにより、特に判定基準にて不一致を期待しているのに、一致となった場合には危険側故障が内在しているため、交番信号を“0”ないし“1”の状態で固定する条件も含めている。また、安全側故障の場合には、一過性の異常や障害の可能性があるため、n回以上連続して異常を検知する場合には、交番信号を“0”ないし“1”の状態で固定する条件も含めている。この誤り制御照合手段34の自己診断に基づく交番出力は、情報入力処理、情報入力支援処理、情報出力処理、情報出力支援処理の前で自己診断処理が実行されることによって、誤り制御照合手段34に危険側故障が潜在する期間を短くしている。
【0092】
このようにして、自己診断を実施した内容と、累積したジャーナル記録を総合的に判定し、フェイルセーフプロセッサが運転可能なのかを、RUN/STOP決定処理で判断する(S25)。致命的な故障や障害が検出される場合には、実行不可能とし、運転状態に移行することなく、出力を安全側に固定し動作を停止する(S25a)。そして、致命的な故障や障害が検出されない場合は、実行可能とし、情報入力支援処理に移行する。
【0093】
<情報入力支援処理遷移>
情報入力支援処理では、伝送路からの情報入力や内部記憶回路12A、12B、外部記憶回路からの情報入力時の誤り制御や照合動作を実施する。図10は情報入力支援処理の状態遷移図である。
【0094】
情報入力支援処理では、DMA回路32と誤り制御照合手段34とが主に動作する。まず、DMA回路32により入力情報をDPMセット処理を行い(S31)、誤り制御照合手段34により各ブロックごとに誤り制御照合処理を行う(S32)。そして、ブロックごとの照合完了に従って照合結果の格納処理を行う(S32a)。
【0095】
このように、各系のプロセッサは、これらDMA回路32と誤り制御照合手段34とに対し簡単なパラメータを与え起動制御するだけであり、本発明では、DMA機能と誤り制御照合機能は、ソフトウエアによって実現するのではなくハードウエアによって実現する。
【0096】
すなわち、各系プロセッサからは、伝送路入力部や記憶回路12A、12Bから取得する情報の転送元アドレスと入力DPM31への転送先、転送するサイズ、誤り制御照合機能でのLFSR初期値等のパラメータ設定を情報ブロック(情報部+誤り制御符号の対)ごとに行い、開始指示を行うことで、まず、DMA回路が動作する。DMA回路は、情報ブロックごとに、伝送路からの情報入力や内部記憶回路12A、12B、外部記憶回路から所定の入力情報を取り出す。転送を完了すると、誤り制御照合手段34に制御を委ねて誤り制御照合を実施する。
【0097】
誤り制御照合では、情報部と誤り制御符合から構成される情報ブロックを入力させ、その中の誤り制御符号のみを系間で交換し、誤り制御用の計算式に基づいて計算を行うことで情報部と誤り制御符合の一致性に異常がないかを計算結果として入力DPM31に出力することを行う。これは情報ブロック数分繰り返される。入力DPM31には、照合の結果、図11の右側のように照合結果がセットされる。
【0098】
<情報出力支援処理遷移>
情報出力支援処理では、伝送路への情報出力や内部記憶回路12A、12B、外部記憶回路への情報出力の際の誤り制御と照合動作を実施する。図12は情報出力支援処理の状態遷移図である。
【0099】
情報出力支援処理では、図4における誤り制御照合手段34とDMA回路32が主に動作する。まず、誤り制御照合手段34は、各ブロックごとに誤り制御符号を生成する処理を行い(S41)、ブロックごとの誤り制御符号の生成完了に従って制御符号を格納処理する(S41a)。全ブロックの誤り制御生成が完了すると、各ブロックごとの誤り制御の照合処理を行い(S42)、ブロックごとの誤り制御符号の照合完了に従って照合結果を格納処理する(S42a)。そして、DMA回路32により、出力DPM36にセットしている情報を出力処理する(S43)。
【0100】
このように、各系のプロセッサは、後述の情報出力処理で事前に出力すべき情報を出力DPM36でセットしているため、誤り制御照合手段34とDMA回路32に対してのみパラメータを与え起動制御する。すなわち、各系プロセッサからは、伝送路出力部や記憶回路12A、12Bへ情報出力する情報の出力DPM36の転送元アドレスと情報出力部や記憶回路12A、12Bへの転送先、転送するサイズ、誤り制御照合機能でのLFSR初期値等のパラメータ設定を情報ブロック(情報部+誤り制御符号の対)ごとに行い開始指示を行う。
【0101】
まず、誤り制御照合手段34が動作して誤り制御符号を計算し、図13の中央部に示すように誤り制御符号を情報部に付加し、出力DPM36へ書き込む。誤り照合処理では、情報部と誤り制御符合から構成される情報ブロックを入力し、その中の誤り制御符号のみを系間で交換し、誤り制御用の計算式に基づいて計算を行う。これにより、情報部と誤り制御符合の一致性に異常がないかを計算結果として出力DPM36に出力し情報ブロックに付加する(図13右)。この処理は、情報ブロック数分繰り返される。
【0102】
このようにして、DMA回路32が動作することによって出力手段38へ出力決定値を転送する。DMA回路32は、情報ブロックごとに出力DPM36から伝送路出力部や記録回路に転送する。
【0103】
以上のように、フェイルセーフプロセッサは、情報入力ができる時期になると情報入力処理に移行し、情報入力処理では、管理処理の情報入力支援処理で誤り制御照合が確認された安全な入力情報決定値を入力DPM31より取り出し、各系プロセッサでの各種演算命令に備えプロセッサの内部レジスタや内部記憶回路12A、12Bへ一時的に転送する。
【0104】
各系プロセッサで演算ができる時期になると、演算処理に移行する。演算処理では、前段の情報入力支援処理と情報入力処理の作用により、入力決定値が決定されているため、これを利用して、各系プロセッサは演算を実施して、結果を出力DPMや内部記憶回路12A、12Bに順次繰り返し転送する。
【0105】
そして、情報出力ができる時期になると情報出力処理に移行する。情報出力処理では、管理処理での情報出力支援処理に備え、内部のレジスタや内部記憶回路12A、12Bから、出力DPM36に出力情報の情報部のみを出力ブロック数分繰り返し転送する。
【0106】
このようにして、電源投入処理の後、管理処理状態S2→情報入力処理状態S3→管理処理状態S2→制御演算処理状態S4→管理処理状態S2→情報出力処理状態S5というふうに、管理処理とそれ以外の処理を交互に実行を行っている。
【0107】
本発明の実施の形態によれば、情報通信路のビットエラー率や、ハミング距離、情報サイズの最適化等により、安全性に関わる見逃し誤り率を厳重に管理した情報部とこれに対応した誤り制御符号の対を情報伝送路や記憶装置に複数収容するので、受信側で情報推定誤りがより少なく、安全な情報通信を行うことができる。これにより、昨今のME技術による低電圧化が進むことによってS/N比も厳しくなっていることに対処できる。
【0108】
また、フェイルセーフプロセッサ内の多重系各系に誤り制御照合手段を実装し、誤り制御符号のみを系間で交換し、誤り制御用の計算式に基づいて計算を行うことで情報部と誤り制御符合の一致性に異常がないかを計算結果として出力するので、演算処理を軽減できる。また、誤り制御照合機能のための繰り返し計算部分が、ハードウエアで実現されているため、誤り制御と照合計算によるソフトウエアへの負担を軽減することができる。また、誤り制御照合機能回路を複数実装することによって、情報部と誤り制御符合の対の数量が多くなった場合でも、入力から出力までの応答時間に影響を与え難くすることもできる。
【0109】
ハードウエアによる誤り制御照合手段を、各系の入出力手段と演算手段の中間に実装することで、入力動作や演算動作の各フェーズで出力する情報部と誤り制御符号を系間で相互に監視し合うことで、入出力手段や演算手段の故障検出だけではなく、誤り制御照合手段34自身の故障検出や各動作フェーズや各動作フェーズ間の期間に発生したノイズによる情報誤りをも検出することが可能となる。
【0110】
また、フェイルセーフプロセッサには、従来どおり定周期に入力手段や、出力手段、演算手段等の各種命令回路の自己診断を行う機能を備えているが、特に、プロセッサの比較命令と誤り制御照合手段34の自己診断を厳重に実施でき、誤り制御照合手段34では、入力の際の誤り制御照合機能、出力の際の誤り制御符合作成機能と照合機能より構成されているので、照合機能の自己診断を定周期でかつ厳重に実施することで、積極的に故障や障害を検知するだけでなく、安全側故障と危険側故障を分類できる。
【0111】
照合機能の自己診断の結果を利用して、一致チェックと不一致チェックを定周期に実施し交番信号に反映するので、特に照合の判定基準にて不一致を期待しているのに、一致となった場合には危険側故障が内在しているため、交番信号を“0”ないし“1”の状態で固定することができる。また、安全側故障の場合には、一過性の異常や障害の可能性があるため、n回以上連続して異常を検知する場合には、交番信号を“0”ないし“1”の状態で固定することができる。この照合自己診断に基づく交番出力は、入力部や記憶回路12A、12Bからの入力動作、出力回路への出力動作を行う前に必ず実施する。このように照合回路自体の一致不一致自己診断に基づく交番出力を備えることもできる。
【0112】
さらに、管理処理状態S2→情報入力処理状態S3→管理処理状態S2→制御演算処理状態S4→管理処理状態S2→情報出力処理状態S5というふうに管理処理とそれ以外の処理を交互に実行することができる。プラットフォームとなる管理処理には、自己診断処理が備わっており、これにより、オフライン検査時間を極小にできる。さらに、自己診断を実施してから、情報入力、制御演算、情報出力を実行できる仕掛けも構築できるようになっているため、危険側故障の潜在期間を極小にすることもでき、オフライン検査時間の極小化とを併せて、安全性評価尺度PFDも極小にすることができる。さらには、通信路(伝送路+記憶装置)での見逃し誤り率の極小化ならびに安全性評価尺度PFDの極小化により、高い安全性のフェイルセーフプロセッサを構築できる
【0113】
【発明の効果】
以上述べたように、本発明によれば、今後益々大容量化(高速化)されることが期待される情報通信に適正に対応したフェイルセーフプロセッサを提供できる。すなわち、安全性に関わる見逃し誤り率を厳重に管理した情報部とこれに対応した誤り制御符号の対を情報伝送路や記憶装置に複数収容するので、受信側で情報推定誤りがより少なく、安全な情報通信を行うことができる。また、多重系各系に誤り制御照合手段を実装し、誤り制御符号のみを系間で交換して情報の一致性に異常がないかを出力するので演算処理を軽減できる。
【図面の簡単な説明】
【図1】本発明の実施の形態に係わるフェイルセーフプロセッサの構成図。
【図2】本発明の実施の形態における情報伝送路及び記憶装置と送受信する情報の説明図。
【図3】図1に示したフェイルセーフプロセッサの入力処理手段から演算処理手段までの処理に関連するブロック構成図。
【図4】図1に示したフェイルセーフプロセッサの演算処理手段から出力処理手段までの処理に関連するブロック構成図。
【図5】本発明の実施の形態によるフェイルセーフプロセッサのメイン状態遷移図。
【図6】本発明の実施の形態によるフェイルセーフプロセッサの電源投入処理の状態遷移図。
【図7】本発明の実施の形態による誤り制御照合手段にCRC−CCITTを用い、これを2重系とし利用することで照合と回路自体の故障検出ができるようにした場合の説明図。
【図8】本発明の実施の形態による誤り制御照合手段にCRC−CCITTを用い、これを2重系とし利用することで剰余符号の生成と回路自体の故障検出ができるようにした場合の説明図。
【図9】本発明の実施の形態によるフェイルセーフプロセッサの管理処理の状態遷移図。
【図10】本発明の実施の形態によるフェイルセーフプロセッサの情報入力支援処理の状態遷移図。
【図11】本発明の実施の形態におけるDPMに情報の入力時においてセットされる情報の構成の説明図。
【図12】本発明の実施の形態によるフェイルセーフプロセッサの情報出力支援処理の状態遷移図。
【図13】本発明の実施の形態におけるDPMに情報の出力時においてセットされる情報の構成の説明図。
【図14】従来のバス照合方式によるフェイルセーフプロセッサの構成図。
【図15】従来のデータ照合方式によるフェイルセーフプロセッサの構成図。
【図16】従来のデータ照合方式による安全性評価尺度PFDを示すモデル図。
【符号の説明】
11…マイクロプロセッサ、12…記憶回路、13…入出力部、14…クロック回路、15…バス、16…バス照合交番信号出力回路、17…照合異常検出回路、18…入力部、19…プロセッサ、20…出力部、21…共有メモリ、22…アンド回路、23…フェイルセーフプロセッサ、24…情報伝送路及び記憶装置、25…入力処理手段、26…情報入力支援処理手段、27…演算処理手段、28…情報出力支援処理手段、29…出力処理手段、30…入力手段、31…入力DPM、32…DMA回路、33…BUSBUF、34…誤り制御照合手段、35…演算手段、36…出力DPM、38…出力手段、39…P/S変換器、40…マルチプレクサ(MPX)、41…LFSR
【発明の属する技術分野】
本発明は、制御演算処理を行うプロセッサを多重化し制御演算処理中に異常が発生した場合に安全側の状態で保持するフェイルセーフプロセッサ及び鉄道用保安制御装置に関する。
【0002】
【従来の技術】
例えば、鉄道用列車の制御装置に対しては、万一故障が発生したとしても、その制御装置は常に安全側の状態となるようにして、危険側の状態になるのを回避できるような機能が要求されており、このような機能をフェイルセーフ機能と呼んでいる。フェイルセーフ機能が要求されている従来の鉄道用保安制御装置に適用されたフェイルセーフプロセッサの構成を図14に示す。
【0003】
図14はバス照合方式によるフェイルセーフプロセッサの構成図である。この制御装置は、A系及びB系から成る2重系の構成を有しており、A系及びB系はそれぞれマイクロプロセッサ11A、11B及び記憶回路12A、12Bを有し、入出力部13A、13Bを介して情報の入出力を行っている。これらマイクロプロセッサ11A、11Bはクロック回路14からのクロック信号により同期を取りながら走行している。
【0004】
マイクロプロセッサ11A、11Bにはバス15A、15Bを介してバス照合交番信号出力回路16が接続されている。このバス照合交番信号出力回路16は、バス15A、15B上に現れるマイクロプロセッサ11A、11Bの信号を照合し、両者が一致するか否かについてその照合結果を照合異常検出回路17に出力している。バス照合交番信号出力回路16は、常時、交番信号を出力しており、両者が一致している場合は、この交番信号の出力を継続することによりマイクロプロセッサ11A、11Bの走行を許容する。
【0005】
しかし、バス照合交番信号出力回路16は、両者の信号の不一致が一度でも発生すると、この不一致の情報を記憶し、以後の交番信号の出力を停止する。バス照合交番信号出力回路16からの交番信号の停止で、照合異常検出回路17は照合異常を検出し、マイクロプロセッサ11A、11Bにリセット信号を出力する。マイクロプロセッサ11A、11Bがリセットされることにより、バス照合交番信号出力回路16が照合すべきデータがなくなり、照合不一致となって交番信号を出力できなくなる。そして、双方のマイクロプロセッサユニットはリセットされた状態(安全側の状態となっている)で走行を停止するので、フェイルセーフ機能が確保されることになる。
【0006】
このバス照合によるフェイルセーフプロセッサを備えた制御装置については、長い間鉄道を制御する保安装置で利用されてきたが、昨今ではこのフェイルセーフ回路の部分が専用のハードウエアにより構成されているがために、高性能のマイクロプロセッサ11A、11Bやマイクロコンピュータが開発される度に、その都度専用のハードウエアを開発しなければならず、多大の労力及びコストを費やす結果となっていた。また、最近の鉄道用保安制御装置には多くの個所に半導体素子が使用されているが、これらの半導体素子の故障箇所あるいは発生態様によってはフェイルセーフ機能を確保できない場合も考えられ、安全性確保を一定値以上向上させることが非常に困難であった。このような課題に対して対策を講じたものが、データ照合方式のフェイルセーフプロセッサである。
【0007】
図15はデータ照合方式によるフェイルセーフプロセッサの構成図である。図15ではフェイルセーフプロセッサは、3重系で構成されており、入力部18A、18B、18C、プロセッサ19A、19B、19C、出力部20A、20B、20Cを有し、各系間に共通メモリDPM(Dual Port memory)21A、21B、21Cを接続して構成されている。また、出力部20A、20B、20Cからの出力信号はアンド回路22を介して3種類の演算結果が同一となったときのみ安全と判断して出力する構成としている。
【0008】
このようなデータ照合方式のフェイルセーフプロセッサの動作は、各系の入力部18A、18B、18Cから得られる入力情報を共通メモリ21A、21B、21Cに書き込み、これを各系のプロセッサ19A、19B、19C内の比較回路により系間で照合する。照合した結果、一致していれば、次の各系のプロセッサ19A、19B、19Cの演算動作を許容する。不一致であれば、入力情報を前回値ないし安全側に固定する。
【0009】
次の演算動作では、入力動作で決定された入力情報を用いて演算を行う。さらに、次の出力処理では、各系の各系のプロセッサ19A、19B、19Cで演算した結果を共通メモリ21A、21B、21Cに書き込み、これを各系のプロセッサ19A、19B、19C内の比較回路により系間で照合する。照合した結果、一致していれば、各系は次の出力動作を許容する。不一致であれば、出力を前回値ないし安全側に固定する。
【0010】
このように、データ照合方式は、入力→演算→出力と繰り返し実行されるフェイルセーフプロセッサの各動作フェーズにおいて、入出力情報を照合し各データの異常を検出する方式である。このデータ照合方式は、共通メモリ21A、21B、21Cを利用することで汎用のプロセッサとの接続を良くするメリットを有している。
【0011】
また、これだけでは、十分な安全性を確保することができないため、内部を構成する機能回路の故障に対しては、定周期に自己診断用のテストデータを与え、各機能回路を活性化させ診断することにより故障発生箇所の特定ができるようにしている。各フェーズでの動作は、この自己診断を行った後で実行することで、内部機能回路の安全(故障や障害がないこと)を確認したうえで、動作を行わせることができる。
【0012】
図16は、従来のデータ照合方式による安全性評価尺度PFDを示すモデル図である。図16に示すように、従来のデータ照合方式による安全性評価尺度を求める際には、システム内部及びそのシステム周辺の故障や障害の分類を行うようにしている。図16では、故障を安全側故障状態ないし正常状態U0、検出可能な危険側故障状態U1、検出できない危険側故障状態U2の3つの状態に分け、正常状態ないし安全側故障から危険側故障への遷移確率をλs、λns、修復により回復する確率をμs、μnsとしている。安全性評価尺度PFDは下記の(1)式で示される。
【0013】
PDF=λs(MTTR)+λns(T/2) …(1)
ここで、
λs:検出可能な危険側故障率
λns:検出不能な危険側故障率
μs:1/MTTR
μns:1/(T/2)…平均値
MTTR:自己診断により安全側へ修復する時間
T:オフライン検査時間
従来のデータ照合方式のフェイルセーフプロセッサでは、安全性評価尺度PFDにおいて、自己診断によりシステムを安全側に回復させることに重点を置き、検出できずにオフラインでしかシステムを安全側に回復させられないような部分を極小にすることで、この安全性評価尺度PFDを極力小さくするように設計している。このように、データ照合方式では、高い安全性を確保することができている。
【0014】
【発明が解決しようとする課題】
しかし、通信路の大容量化に伴い、これら通信路の誤り制御や照合時間に時間がかかり、入力から出力までの応答時間が確保できにくくなってきている。例えば、鉄道車両の制御や地上と鉄道車両との協調制御は、鉄道車両が移動体であるだけに、応答時間の確保が難しくなると、安全性を確保できなくなったりする場合がある。例えば、ブレーキ指令入力を地上より受信し、ブレーキを掛ける場合にブレーキ制動時間が伸びてしまうことあり、このような場合、地上の閉塞期間を延ばす等の処置が必要となり、土地取得や設備費用の上昇等のデメリットにも発展する。
【0015】
昨今、伝送路における情報量の大容量化、記憶回路12A、12Bの大容量化の進歩に伴い、鉄道を制御する制御装置においても、ME技術の導入や、制御装置から現場機器や保安装置までの配線削減のために、シリアル通信を利用するだけに留まらず、これまでいくつかのサブ伝送路に分けて接続していた保安装置をもう少し上位のレベルからも制御できるようにしたり、情報伝送路や記憶情報の共有化を行うようになってきたため、いくつかの伝送路に行き交う情報を1つの幹線通信路に纏めて収容する動きも顕著になってきている。
【0016】
このように、これまで、物理的、論理的に分断されていたいくつかのサブシステム同士が幹線伝送路を通した情報通信により、別のサブシステムの機器から情報入力したり、逆に別のサブシステムの機器へ情報出力するようにもなってきている。
【0017】
また、このように上位の伝送路には、その伝送路を構成するサブ伝送路内機器同士の複数の通話が収容されており、そのため必要な情報が比較的容易に取り出せるため、そこに新たな機能を演算、出力するアダプタを追加することで、新たな機能の提供や機能分散により、これまで難しかった性能面の改良が行えるようになってきている。
【0018】
伝送路における情報量の大容量化やシステムの機能向上施策がなされる一方、フェイルセーフプロセッサにとってみれば、1つの機能出力を得るためには、複数の入力情報を遠隔のいろいろな箇所の機器から入力収集し、これらを内部のプロセッサで演算し、情報出力を所定の遠隔の機器へ情報出力するようになってきているため、情報誤りに対するリスクが拡大傾向にある。
【0019】
さらに、昨今のME技術は高集積化が進む一方、低電圧化が益々進んでいる。低電圧化が進むことにより、伝送路、記憶装置、装置内部の全てにおいて、そこに流れる情報が誤る可能性がある。このような状況に対し、フェイルセーフプロセッサにおける情報誤りに対するリスクには、以下のようなものがある。
【0020】
(1)フェイルセーフプロセッサから入力部が離れている場合、入力部からフェイルセーフプロセッサまでの伝送路でノイズが混入し、データ誤りが発生する可能性がある。入力情報が誤ると、演算手段が故障していなくとも、結果は異常情報であるのにあたかも正常情報であるかのように振る舞う場合があり、錯誤状態に陥る。
【0021】
(2)フェイルセーフプロセッサ内に記憶される記憶情報を将来の制御演算に備え、比較的長期間使用せず記憶した場合、記憶情報が保管されたデータはノイズの影響にさらされる。 記憶情報が誤ると、演算手段が故障していなくとも、結果は異常情報であるのにあたかも正常情報であるかのように振る舞う場合があり、錯誤状態に陥る。
【0022】
(3)将来、伝送路や記憶部における情報量の大容量化やシステムの機能向上がさらに進むと、入力情報、記憶情報、出力情報内には、大量の誤り制御符号付き情報が収納され、フェイルセーフプロセッサでは、誤り制御処理(送信側での誤り制御符合の付加、受信側での誤り検出)を大量に処理しなくてはならなくなってくる。
【0023】
(4)システムとしての入力から出力までの応答時間を保証しなくてはならない用途(保安装置等)では、ソフトウエアでの誤り制御を実施するのでは時間がかかってしまい、入力情報量を限定しなくてはならない等応答時間の保証が難しくなってくる。これは、折角伝送路を大容量化(高速化)しても、そこにつながる保安装置で誤り制御に時間がかかってしまい、伝送路の大容量化の恩恵が得にくくなるデメリットでもある。
【0024】
(5)鉄道車両ないし地上設備のいろいろな箇所に情報入力装置や情報出力装置を設置しシリアルバスで相互に接続し情報の交換を行う情報制御装置では、中央装置や伝送路の途中の端末装置にフェイルセーフプロセッサを実装して、保安装置での演算機能の一部を実行させるような要望が増えてきている。このような場合でも、中央装置には大量の誤り制御符号付き情報が集まってくるようになるため、やはり誤り制御や照合処理に時間を奪われるようになってしまう。
【0025】
(6)通信路や記憶装置(フェイルセーフプロセッサ内部の記憶回路12A、12Bも含む)における多重誤りに対する防御とこれを検出する防御機能の自己診断方法を明確にする必要がでてくる。また、情報伝送用の誤り制御照合機能の健全性チェックとこれまでのフェイルセーフプロセッサに必ず常備されていた交番出力への仕掛けを明確にすることが要請される。
【0026】
本発明の目的は、入力情報や出力情報の誤りを見逃し難くし、誤り制御と一体となった照合動作の高速性を向上させることができるフェイルセーフプロセッサ及び鉄道用保安制御装置を提供することである。
【0027】
【課題を解決するための手段】
請求項1の発明に係わるフェイルセーフプロセッサは、情報を入力する入力手段及び制御演算処理を行う演算手段を多重化し多重化された演算手段の制御演算結果を照合して多重化された出力手段から制御演算結果を出力すると共に異常を検出した場合に安全側の状態で保持するフェールセーフプロセッサにおいて、多重化された各系へ入力される情報を情報部と誤り制御符合との対となる情報とし、その中の誤り制御符号のみを系間で交換し、情報部と誤り制御符合の一致性に異常がないかどうかを照合する誤り制御照合手段を備えたことを特徴とする。
【0028】
請求項2の発明に係わるフェイルセーフプロセッサは、請求項1の発明において、前記誤り制御照合手段はハードウエアで構成されたことを特徴とする。
【0029】
請求項3の発明に係わるフェイルセーフプロセッサは、請求項1または請求項2の発明において、前記誤り制御照合手段は、各系の前記入力手段と前記演算手段との間、前記出力手段と前記演算手段との間に設けたことを特徴とする。
【0030】
請求項4の発明に係わるフェイルセーフプロセッサは、請求項1乃至請求項3のいずれか1項の発明において、前記誤り制御照合手段は、前記演算手段での制御演算結果を出力する際に、前記情報の情報部に基づいて各系で誤り制御符合の作成を行い、系間でその誤り制御符合のみを交換し、情報部と誤り制御符合の一致性を照合することを特徴とする。
【0031】
請求項5の発明に係わるフェイルセーフプロセッサは、請求項1乃至請求項4のいずれか1項の発明において、前記誤り制御照合手段は自己診断機能を有し、一致関係の取れたテスト情報と対応した誤り制御符号とを与えたとき、一致動作が期待されているのに不一致の関係となるときには安全側に遷移する異常や障害があると判定し、不一致関係のテスト情報と誤り制御符号とを与えたとき、不一致動作が期待されているのに一致の関係となるときには、危険側異常や障害があると判定することを特徴とする。
【0032】
請求項6の発明に係わるフェールセーフプロセッサは、請求項5の発明において、前記誤り制御照合手段は自己診断機能を有し、前記演算手段での制御演算結果を出力する際の誤り制御符号の作成機能および照合機能を自己診断するにあたり、同一のテスト情報を各系の誤り制御符号の作成機能へ与えて各系で誤り制御符合を作成させ、作成されたテスト情報に対応した誤り制御符号とテスト情報とを各系の照合機能で照合することを特徴とする。
【0033】
請求項7の発明に係わるフェイルセーフプロセッサは、請求項5または請求項6の発明において、前記誤り制御照合手段は、定期的に自己診断機能を動作させ他系の自己診断結果との一致チェックまたは不一致チェックを行い異常判定のための交番信号に反映させることを特徴とする。
【0034】
請求項8の発明に係わるフェイルセーフプロセッサは、請求項1乃至請求項7のいずれか1項の発明において、前記誤り制御照合手段での誤り制御照合用の計算動作は、前記演算手段の演算動作とは分離して動作させ、演算手段における演算動作に極力影響を与え合わないようにプラットフォーム化したことを特徴とする。
【0035】
請求項9の発明に係わるフェールセーフプロセッサは、請求項1乃至請求項8のいずれか1項の発明において、前記誤り制御照合手段は、起動時に自己診断機能を動作させ、正常と判断される機能のみを使用して入力照合や出力照合を行うことを特徴とする。
【0036】
請求項10の発明に係わるフェイルセーフプロセッサは、請求項1乃至請求項9のいずれか1項の発明において、多重化された各系へ入力される情報は、安全性に関わる見逃し誤り率を厳重に管理した情報部とこの情報部に対応した誤り制御符号との対であることを特徴とする。
【0037】
請求項11の発明に係わる鉄道用保安制御装置は、請求項1乃至請求項10のいずれか1項記載のフェイルセーフプロセッサを備えたことを特徴とする。
【0038】
【発明の実施の形態】
以下、本発明の実施の形態を説明する。図1は本発明の実施の形態に係わるフェイルセーフプロセッサの構成図である。図1では、本発明による3台のフェイルセーフプロセッサ23を用いた場合を示している。
【0039】
フェイルセーフプロセッサ23は、それぞれA系およびB系の二重系で構成され、大容量化や共有化された情報伝送路及び記憶装置24と接続されている。大容量化や共有化された情報伝送路及び記憶装置24と送受信する情報は、後述するように情報部と誤り制御符合とが対となった情報であり、A系およびB系の入力処理手段25A、25Bを介してそれぞれA系及びB系の情報入力支援処理手段26A、26Bに入力される。
【0040】
A系及びB系の情報入力支援処理手段26A、26Bは、それぞれ誤り制御符合に基づいて誤り制御照合を行う誤り制御照合手段を有し、入力された情報の正当性を判断する。A系及びB系の演算処理手段27A、27Bは、A系及びB系の情報入力支援処理手段26A、26Bで正当性が判断された情報を用いて制御演算を行い、A系及びB系の情報出力支援処理手段28A、28B、さらにはA系及びB系の出力処理手段29A、29Bを介して情報伝送路及び記憶装置24に出力される。
【0041】
A系及びB系の情報出力支援処理手段28A、28Bにも、それぞれ誤り制御符合に基づいて誤り制御照合を行う誤り制御照合手段を有し、A系及びB系の演算処理手段27A、27Bで演算された情報の正当性を判断して、情報伝送路及び記憶装置24に出力するようにしている。
【0042】
次に、情報伝送路及び記憶装置24と送受信する情報について説明する。図2は、情報伝送路及び記憶装置24と送受信する情報の説明図である。情報伝送路及び記憶装置24と送受信する情報は、図2に示すように、情報部と誤り制御符合とが対となって構成されかつ複数の対が収納される。
【0043】
情報部には、本来伝えたい情報以外に、発信元と宛先の識別子、サイズ情報、制御符号、シーケンス番号やタイムスタンプ等が含まれる。また、誤り制御符合は安全な通信を実現するための安全コードであり、伝送LSI等に標準的に機能回路として有するFCS回路のためのFCSコードとは異なるものである。
【0044】
一般に、安全に流せる情報部の情報伝送量や記憶情報量に対しては、設置環境のS/Nに基づくビットエラー率や誤り制御符号の持つハミング距離を考慮しながら目標とする見逃し誤り率を設定している。
【0045】
見逃し誤り率は誤り制御符合の評価尺度の1つである。見逃し誤り率は、情報元から情報通信路及び記憶装置24に流す際に誤り制御符合を付加したり、受信側で誤り制御符号とデータの関連性により情報元を推定する際に、誤りを見逃し出力先へ誤って情報を伝えてしまう確率である。見逃し誤り率の値は、大きいほど受信側の機器に、誤り検出できずに情報を伝えていることを意味する。
【0046】
誤って情報を伝えてしまうものの中にはその情報が誤って伝わってしまうことで、致命的な障害に発展する恐れのものがある。例えば、ブレーキ指令を入力し、ブレーキ出力を行いたいのに、途中の伝送路で誤りが発生しブレーキが出力できない場合には、列車衝突や脱線等に発展しないとは言い切れないような場合が発生する。鉄道車両を制御するために必要な情報を安全にやりとりを行う保安装置では、国内では20万年に1回以下を危険側故障とし、それを危険側見逃し誤り率の設定値としている。
【0047】
一般に、危険側見逃し誤り率は、見逃し誤り率から安全側見逃し誤り率を引いた差であるが、危険側見逃し誤り率と安全側見逃し誤り率とを分類することは困難を伴うため、和である見逃し誤り率に着眼して統計計算を進める。見逃し誤り率が規定値以下に収まれば、必然的に危険側見逃し誤り率も規定値以下となる。
【0048】
見逃し誤り率の統計計算では、通信の情報量(ビット)をn(ビット)と仮定し、送信情報が誤らずに受信される確率P0は、nビットが誤らない確率であり、以下の(2)式で示される。
【0049】
P0=(1−p)n …(2)
残りの差集合P0’=1−P0は何らかの誤りが起こる確率である。誤り制御符合は、1回の情報伝送で複数ビットの誤りが発生しても、ハミング距離−1ビット以下であれば誤りを検出できる。例えば、ハミング距離が4のときの誤り率表は以下のようになる。
【0050】
【表1】
これらを考慮しつつ 正しく復号される確率Pcは、離散データの統計計算のため2項分布に従えば、以下のように求まる。符号長nビット中、特定の1箇所のみ誤る確率はp1(1−p)n−1となる。このような誤りは、n個から1個を選ぶ組み合わせとしてn種類ある(nC1=n)。従って、1箇所の誤りが発生する確率は、nC1p1(1−p)n−1となる。同様に、2箇所、3箇所の誤りの発生する確率を求め、受信語に誤りがない確率P0を加えて、正しく復号される確率は以下の(3)式で示される。
【0051】
【数1】
ハミング距離以上の複数の同時誤りで発生する見逃し誤りの確率は、PD+PEであり、残りの差集合P0’=1−Pcとなる。すなわち、見逃し誤り率は下記の(4)式で示される。
【0052】
【数2】
このように、ビットエラー率や、ハミング距離、情報サイズの最適化等により厳重に管理された情報部とこれに対応した誤り制御符号の対は、情報伝送路及び記憶装置24を通じてデータ共有されている。
【0053】
図3は、図1に示したフェイルセーフプロセッサ23の入力処理手段25から演算処理手段27までの処理内容(入力処理→入力支援処理→制御演算)を示すブロック構成図である。
【0054】
入力処理手段25に関わる部分としては、複数の情報部と誤り制御符合の対を取り込む入力手段30と、入力手段30で取り込まれた情報部と誤り制御符合の対を各々の入力部1〜nまでを定周期に順番にスキャンし、後段の入力DPM31に転送するDMA回路32A、32Bと、DMA回路32A、32Bから転送されてくる複数の情報部と誤り制御符合の対を一時保管する入力DPM31と、これら複数の情報部と誤り制御符合を入力手段30から入力DPM31まで通すためのバス回路から構成される。
【0055】
入力DPM31は、後述する照合動作のために、A系が入力として取り込むと共に同時に2箇所に書き込み保管するA=A入力DPM、B=A入力DPMと、B系が入力として取り込むと共に同時に2箇所に書き込み保管するB=B入力DPM、A=B入力DPMから構成される。
【0056】
また、バス回路は、ノイズ等の影響により多重ビット障害の照合検知のため原則として多重化されるが、厳重に見逃し誤り率が管理された情報伝送路の場合には伝送路と捕らえ、ハミング距離を考慮した範囲であれば多重ビット障害検知は後段の入力照合部で検知可能なため省略される場合もある。
【0057】
また、図3のバス回路では、フェイルセーフプロセッサ内部の記憶回路12A、12Bのデータも、誤り検知可能なようにBUSBUF33A、33Bを開閉してデータルートを開通させ、入力DPM31へ転送できるようにしている。
【0058】
情報入力支援処理手段26に関わる部分としては、前述した入力DPM31と、入力DPM31に保管された複数の情報部と誤り制御符合の対を誤り制御に関する照合を実施する誤り制御照合手段34A、34Bと、入力DPM31から誤り制御照合手段34A、34Bへ複数の情報部と誤り制御符合の対を通すバス回路から構成される。誤り制御照合手段34A、34Bは、情報部と誤り制御符合の対の数と入力から出力までの応答時間に応じて複数化することもできる。誤り制御照合手段34A、34Bが多重化される場合、入力DPM31との伝送路も時間的ないし物理的に多重化される。
【0059】
演算処理手段27に関わる部分は、制御演算を行う演算手段35A、35Bと、それぞれに誤り制御符合が付加された制御サイクルの実行プログラムや制御テーブルデータ、演算結果の中間データ、ジャーナルデータ等を保管する記憶回路12A、12Bと、入出力情報も含め各種記憶情報のやり取りを行うためのバス回路と、DMA回路32A、32Bから構成される。
【0060】
通常、演算手段35A、35Bは、汎用のマイクロプロセッサを使用する。なお、演算手段35A、35Bでの制御演算と、入出力情報のためのDMA動作、誤り制御照合手段34A、34Bの動作は、互いの処理時間が影響を与え合わないように、バス回路でデータルートの制限を行えるよう構成している。
【0061】
図4は、図1に示したフェイルセーフプロセッサ23の演算処理手段27から出力処理手段29までの処理内容(制御演算→出力支援処理→出力処理)に関連したブロック構成図である。出力支援処理手段28では、誤り制御符号生成処理と出力照合処理の2つの処理を行う。
【0062】
誤り制御符号生成処理に関する部分は、演算手段35A、35Bで計算した結果を保管する出力DPM36と、出力DPM36にセットされたデータから誤り制御符号を生成し、その結果を出力DPM36にセットする誤り制御照合手段34A、34Bと、出力DPM36から誤り制御照合手段34A、34Bへ複数の情報部を通すバス回路から構成される。誤り制御照合手段34A、34Bは、情報部の数と入力から出力までの応答時間に応じて複数化される。誤り制御照合手段34A、34Bが多重化される場合、出力DPM36との伝送路も時間的ないし物理的に多重化される。
【0063】
出力照合に関わる部分としては、出力DPM36と、出力DPM36に保管された複数の情報部と誤り制御符合の対を誤り制御照合を実施する誤り制御照合手段34A、34Bと、出力DPM36から誤り制御照合手段34A、34Bへ複数の情報部と誤り制御符合の対を通すバス回路から構成される。誤り制御照合手段34A、34Bは、情報部と誤り制御符合の対の数と入力から出力までの応答時間に応じて複数化される。誤り制御照合手段34A、34Bが多重化される場合、出力DPM36との伝送路も時間的ないし物理的に多重化される。出力DPM36は、照合動作のために入力照合を行う入力DPM31と同様に、A=A出力DPM、B=A出力DPMと、B=B出力DPM、A=B出力DPMから構成される。
【0064】
出力処理手段29に関わる部分としては、出力DPM36と、出力DPM36から出力手段38や内部の記憶回路12A、12Bに対し情報部と誤り制御符合の対を配信するDMA回路32A、32Bと、DMA回路32A、32Bにより、転送してきた情報部と誤り制御符合の対を外部の情報伝送路及び記憶装置24へ出力する出力手段38と、出力DPM36から出力手段38ないし内部記憶回路12A、12Bへ転送するバス回路から構成される。
【0065】
バス回路は、ノイズ等の影響により多重ビット障害の照合検知のため原則として多重化されるが、厳重に見逃し誤り率が管理された情報伝送路の場合には伝送路と捕らえ、ハミング距離を考慮した範囲であれば、多重ビット障害検知は転送先のフェイルセーフプロセッサの入力照合部で検知するか、外部フェイルセーフプロセッサからのフィードバックメッセージにより、誤り検知可能なため後段の伝送路に揃えてバス回路の多重化が省略される場合もある。このとき主系AのA=B出力DPMのデータを転送に利用する。
【0066】
このように構成されたフェイルセーフプロセッサの各手段は、所定の状態遷移で順番に動作する。図5は、本発明の実施の形態によるフェイルセーフプロセッサ23のメイン状態遷移図である。フェイルセーフプロセッサの基本的な状態としては、電源投入処理状態S1、管理処理状態S2、情報入力処理状態S3、制御演算処理状態S4、情報出力処理状態S5の5つのフェーズから構成される。
【0067】
このうち、電源投入処理状態S1は電源投入直後のみに起きる状態で、管理処理状態S2、情報入力処理状態S3、制御演算処理状態S4、情報出力処理状態S5は、電源投入している間、管理処理状態S2→情報入力処理状態S3→制御演算処理状態S4→情報出力処理状態S5の順に繰り返し実行される。なお、フェイルセーフプロセッサの各系のプロセッサにはあらかじめ定めた期間の同期割込み信号を入力しており、情報入力処理状態S3、制御演算処理状態S4、情報出力処理状態S5のいずれかを実行している最中に同期割込みを入力した時点で現在の処理を一時中断し管理処理を実行するようにしている。
【0068】
これにより、例えば、情報入力処理、制御演算処理、情報出力処理に約2mSかかると仮定した場合、同期割込みを2mS+αとすることで、管理処理状態S2→情報入力処理状態S3→管理処理状態S2→制御演算処理状態S4→管理処理状態S2→情報出力処理状態S5というふうに管理処理とそれ以外の処理を交互に実行することができる。後述するが、管理処理には、自己診断処理が備わっており、これにより、自己診断を実施してから、情報入力、制御演算、情報出力を実行できる仕掛けも構築できるようになっている。
【0069】
<電源投入処理遷移>
フェイルセーフプロセッサでは、電源を投入するとまず電源投入処理が実行される。図6は電源投入処理の状態遷移図である。図6に示すように、まずフェイルセーフプロセッサを構成する機能回路の全ての自己診断を実施する(S11)。自己診断には、演算処理手段27に関係するプロセッサの各種命令の自己診断、実行プログラムや制御テーブルデータ、演算結果の中間データ、ジャーナルデータ等を保管する記憶回路12A、12Bの自己診断、入力処理手段25及び入力支援処理手段26の自己診断、出力支援処理手段28及び出力処理手段29の自己診断等を実施する。自己診断結果は、ジャーナル処理にて記録される(S11a)。
【0070】
そして、診断された機能を用い、記憶回路12A、12Bに実装される実行プログラム等の各種バージョン情報を他系と一致しているか照合を実施する(S12)。バージョンチェック結果は、ジャーナル処理にて記録される(S12a)。
【0071】
また、他系バージョンチェック処理の結果を利用してフェイルセーフプロセッサが運転可能なのかどうかを、RUN/STOP決定処理で判断する(S13)。
自己診断とバージョンチェックで致命的な故障や障害が検出される場合、実行不可能とし運転状態に移行することなく、出力を安全側に固定し動作を停止する(S13a)。自己診断とバージョンチェックで致命的な故障や障害が検出されない場合は実行可能とし、運転状態に移行する。この際、電源投入処理が実行されたことをジャーナルに記録する(S14)。
【0072】
ここで、入力支援処理手段26と出力支援処理手段28の自己診断、特に、プロセッサの比較(照合)命令と誤り制御照合手段34の自己診断は特に厳重に実施する。
【0073】
誤り制御照合手段34では、入力の際の誤り制御照合機能、出力の際の誤り制御符合作成機能と照合機能より構成されている。このうち、照合機能の自己診断では、テスト情報と一致関係の取れた誤り制御符号を定周期に本回路へ与え一致動作を確認する。その結果、一致動作が期待されているのに対し、不一致の関係となるときには、この回路に安全側に遷移する異常や障害があることを検知できる。さらに、不一致関係のテスト情報と誤り制御符号を本回路へ与え不一致動作を確認する。その結果、不一致動作が期待されているのに対し、一致の関係となるときには、この回路に致命的な危険側異常や障害があることを検知できる。このように、照合回路の自己診断を定周期でかつ厳重に実施する。
【0074】
例えば、誤り制御照合手段34にCRC−CCITT(生成多項式:X16+X12+X5+1)を用いる場合、この方式の基本が除算回路であり、情報部と対応した剰余符号の構成であり、情報部と情報部に対応した剰余符号が一致(すなわち、情報部と情報部に対応した剰余符号で構成される情報ブロックの対をさらに生成多項式で除算すると割り切れる)関係にないと、情報部+情報部に対応した剰余符号の対でデータ誤りが発生したか、誤り制御照合手段34自体に故障が発生していると言える。これを利用して、情報部と一致関係にある剰余符号のテストデータと、情報部と不一致関係にある剰余符号のテストデータとを与えることによって、情報自体に誤りがあるのか?、それとも回路に故障があるのか?、回路故障の場合に安全側か?危険側か?というふうに自己診断による故障の分類が行える。
【0075】
図7は、誤り制御照合手段34にCRC−CCITT(生成多項式:X16+X12+X5+1)を用い、これを2重系とし利用することで、照合と回路自体の故障検出ができるようにした場合の説明図である。
【0076】
図7のA系及びB系は同じ処理が行われるので、A系に着眼して説明する。A=ADPMにはA系が書き込んだテスト情報+対応した誤り制御符合の対が存在する。逆にB=ADPMにはB系が書き込んだテスト情報+対応する誤り制御符合の対が存在する。誤り制御照合手段34Aでは、まず、A=ADPMに書き込んでいるA系テスト情報部を読み出し、P/S変換器39A及びマルチプレクサ(MPX)40Aを経由して、誤り制御照合手段34AのLFSR41Aにセットし除算していく。テスト情報部を順次読み出し除算を繰り返し、誤り制御符合のポインタまで進むと、マルチプレクサ(MPX)40Aを制御して、B系のB=ADPMの誤り制御符合が読み出せるようにデータルートを切り替え除算を進行させる。
【0077】
これにより、A系テスト情報のうち情報部のみを、B系テスト情報のうち誤り制御符合を読み出し、CRC計算を行わせることになる。通常、A系とB系の情報部と対応した誤り制御符号は、一致したものが与えられるため、このように誤り制御符合を入れ替えても、回路に故障やデータに障害がなければ割り切れて一致の結果が得られることになる。逆に、回路に故障やデータに障害が発生したり、自己診断により不一致のテスト情報と誤り制御符合の対を与えるような場合には割り切れずに不一致の結果が得られることになる。その結果は、A=ADPM、B=ADPMに情報部を破壊することなく書き込まれ、A系の誤り制御照合手段34Aからのフィードバックメッセージとして、A系からもB系からも読み出せる。
【0078】
B系でも、A系と同期してB=BDPM、A=BDPMにセットされた情報部と対応した誤り制御符号により、除算を実施し、結果がB=BDPM、A=BDPMにセットされていく。
【0079】
このようにして、A系からもB系からもA系誤り制御照合手段34Aからの計算結果、A系からもB系からもB系誤り制御照合手段34Bからの計算結果を読み出し照合することによって、誤り制御照合手段34自体の故障検知が行える。
【0080】
また、出力の際の誤り制御符号の作成機能と照合機能の自己診断では、同一のテスト情報部を、各系の誤り制御符号の作成機能へ与え各系で誤り制御符合を作成させる。これにより作成されたテスト情報に対応した誤り制御符号とテスト情報を各系にある照合機能で照合する。その結果、同一のテスト情報を与えているため一致結果が期待されているのに対し、不一致結果となるときには、この回路に安全側に遷移する異常や障害があることを検知できる。
【0081】
図8は、誤り制御照合手段34にCRC−CCITT(生成多項式:X16+X12+X5+1)を用い、これを2重系とし利用することで、剰余符号の生成と回路自体の故障検出ができるようにした場合の説明図である。
【0082】
図8のA系及びB系は同じ処理が行われるので、A系に着眼して説明する。A=ADPMにはA系が書き込んだテスト情報部のみが存在する。逆にB=ADPMにはB系が書き込んだテスト情報部のみが存在する。誤り制御照合手段34Aでは、B=ADPMに書き込んでいるB系テスト情報部のみを読み出し、後段のP/S変換器を経由して、誤り制御照合手段のLFSRにセットし除算していく。テスト情報部を順次読み出し除算を進行させ誤り制御符合を作成させる。
【0083】
通常、A系とB系の情報部は一致したものが与えられるため、A系とB系の誤り制御符号(剰余符号)は同一の計算結果が得られる。同一でなく不一致な場合には、誤り制御照合手段自体に故障が発生していることになる。その他、プロセッサの比較命令を含む各種命令の自己診断、記憶回路12A、12Bの自己診断、入力処理手段の自己診断、出力処理手段の自己診断は従来の照合方式によるフェイルセーフプロセッサと大差がないため、説明は省略する。
【0084】
<管理処理遷移>
管理処理は、電源投入処理の直後及び、通常時の運転中の同期割込みが発生するたびに起動される。管理処理は、通常時の運転中に定周期に自己診断を行うことと、伝送路との情報入出力や内部記憶回路12A、12B、外部記憶回路との情報入出力の際に誤り制御や照合動作だけに専念して動作するプラットフォーム処理である。
【0085】
図9は管理処理の状態遷移図である。管理処理に移行すると、プロセッサの比較命令の自己診断を実施する(S21)。従来の照合方式のフェイルセーフプロセッサと同様に、ここでは、比較命令回路へ一致データと不一致データとを交互に与え、一致データを与えているにも関わらず不一致になる安全側故障の検知、不一致データを与えているにも関わらず一致となる危険側故障の検知を行う。一致データと不一致データの与え方は、同期割込み発生毎に一致データと不一致データを交互に与える。
【0086】
なお、プロセッサの比較命令の自己診断において、安全側故障を検出した場合には、一過性の障害が考えられるためその時点ではジャーナル保存に留める(S21a)。一方、危険側故障を検知した場合や、自己診断をリトライしn回連続して異常を検出するようであれば故障と判断し、危険側故障と同様に速やかに出力を安全側に固定し、運転停止とする(S21b)。
【0087】
次に、誤り制御照合手段34の自己診断を実施する(S22)。電源投入処理で実施した自己診断と同じ処理を実施するが、一致データと不一致データの与え方は、同期割込み発生毎に一致データと不一致データとを交互に与えて自己診断を実施する。
【0088】
なお、誤り制御照合手段34の自己診断において、正常と判断される回路のみを使用して後述の管理処理の情報入力支援処理や情報出力支援処理を実施する。
危険側異常と判断される回路は使用しない。安全側異常と判断される回路は一過性の障害が考えられるためこの時点ではジャーナル処理に留める(S22a)。
自己診断をリトライしn回連続して異常を検出するようであれば故障と判定して使用しないようにし、また、誤り制御照合手段34の自己診断において、危険側故障を検出した場合には速やかに出力を安全側に固定し運転停止とする(S22b)。
【0089】
次に、定周期な自己診断を実施する(S23)。これは、(1)式に示した安全性評価尺度PFDにおいて、結果値を極小化する(MTTRとTとを少なくする)ためである。定周期自己診断では、電源投入時に実施している自己診断をいくつかのブロックに分けて同期割込み発生ごとに順番に繰り返し実行する。これは、例えば、記憶回路12A、12Bの自己診断等の診断時間を必要とするものが、全体の応答時間に負担をかけてしまうためであり、自己診断をいくつかのブロックに分けることで全体の応答時間の確保が可能になる。定期的な自己診断において、障害を検出した場合にはジャーナル処理に留める(S23a)。
【0090】
次に交番出力処理を行う(S24)。従来の照合方式のフェールセーフプロセッサは出力カットのための条件(危険側故障や、n回以上の安全側故障)により出力を安全側に固定する交番出力機能は有しているが、本発明の実施の形態では、特に、前述の誤り制御照合手段34の自己診断の結果も利用して、一致チェックと不一致チェックを定周期に実施し交番信号に反映する。
【0091】
これにより、特に判定基準にて不一致を期待しているのに、一致となった場合には危険側故障が内在しているため、交番信号を“0”ないし“1”の状態で固定する条件も含めている。また、安全側故障の場合には、一過性の異常や障害の可能性があるため、n回以上連続して異常を検知する場合には、交番信号を“0”ないし“1”の状態で固定する条件も含めている。この誤り制御照合手段34の自己診断に基づく交番出力は、情報入力処理、情報入力支援処理、情報出力処理、情報出力支援処理の前で自己診断処理が実行されることによって、誤り制御照合手段34に危険側故障が潜在する期間を短くしている。
【0092】
このようにして、自己診断を実施した内容と、累積したジャーナル記録を総合的に判定し、フェイルセーフプロセッサが運転可能なのかを、RUN/STOP決定処理で判断する(S25)。致命的な故障や障害が検出される場合には、実行不可能とし、運転状態に移行することなく、出力を安全側に固定し動作を停止する(S25a)。そして、致命的な故障や障害が検出されない場合は、実行可能とし、情報入力支援処理に移行する。
【0093】
<情報入力支援処理遷移>
情報入力支援処理では、伝送路からの情報入力や内部記憶回路12A、12B、外部記憶回路からの情報入力時の誤り制御や照合動作を実施する。図10は情報入力支援処理の状態遷移図である。
【0094】
情報入力支援処理では、DMA回路32と誤り制御照合手段34とが主に動作する。まず、DMA回路32により入力情報をDPMセット処理を行い(S31)、誤り制御照合手段34により各ブロックごとに誤り制御照合処理を行う(S32)。そして、ブロックごとの照合完了に従って照合結果の格納処理を行う(S32a)。
【0095】
このように、各系のプロセッサは、これらDMA回路32と誤り制御照合手段34とに対し簡単なパラメータを与え起動制御するだけであり、本発明では、DMA機能と誤り制御照合機能は、ソフトウエアによって実現するのではなくハードウエアによって実現する。
【0096】
すなわち、各系プロセッサからは、伝送路入力部や記憶回路12A、12Bから取得する情報の転送元アドレスと入力DPM31への転送先、転送するサイズ、誤り制御照合機能でのLFSR初期値等のパラメータ設定を情報ブロック(情報部+誤り制御符号の対)ごとに行い、開始指示を行うことで、まず、DMA回路が動作する。DMA回路は、情報ブロックごとに、伝送路からの情報入力や内部記憶回路12A、12B、外部記憶回路から所定の入力情報を取り出す。転送を完了すると、誤り制御照合手段34に制御を委ねて誤り制御照合を実施する。
【0097】
誤り制御照合では、情報部と誤り制御符合から構成される情報ブロックを入力させ、その中の誤り制御符号のみを系間で交換し、誤り制御用の計算式に基づいて計算を行うことで情報部と誤り制御符合の一致性に異常がないかを計算結果として入力DPM31に出力することを行う。これは情報ブロック数分繰り返される。入力DPM31には、照合の結果、図11の右側のように照合結果がセットされる。
【0098】
<情報出力支援処理遷移>
情報出力支援処理では、伝送路への情報出力や内部記憶回路12A、12B、外部記憶回路への情報出力の際の誤り制御と照合動作を実施する。図12は情報出力支援処理の状態遷移図である。
【0099】
情報出力支援処理では、図4における誤り制御照合手段34とDMA回路32が主に動作する。まず、誤り制御照合手段34は、各ブロックごとに誤り制御符号を生成する処理を行い(S41)、ブロックごとの誤り制御符号の生成完了に従って制御符号を格納処理する(S41a)。全ブロックの誤り制御生成が完了すると、各ブロックごとの誤り制御の照合処理を行い(S42)、ブロックごとの誤り制御符号の照合完了に従って照合結果を格納処理する(S42a)。そして、DMA回路32により、出力DPM36にセットしている情報を出力処理する(S43)。
【0100】
このように、各系のプロセッサは、後述の情報出力処理で事前に出力すべき情報を出力DPM36でセットしているため、誤り制御照合手段34とDMA回路32に対してのみパラメータを与え起動制御する。すなわち、各系プロセッサからは、伝送路出力部や記憶回路12A、12Bへ情報出力する情報の出力DPM36の転送元アドレスと情報出力部や記憶回路12A、12Bへの転送先、転送するサイズ、誤り制御照合機能でのLFSR初期値等のパラメータ設定を情報ブロック(情報部+誤り制御符号の対)ごとに行い開始指示を行う。
【0101】
まず、誤り制御照合手段34が動作して誤り制御符号を計算し、図13の中央部に示すように誤り制御符号を情報部に付加し、出力DPM36へ書き込む。誤り照合処理では、情報部と誤り制御符合から構成される情報ブロックを入力し、その中の誤り制御符号のみを系間で交換し、誤り制御用の計算式に基づいて計算を行う。これにより、情報部と誤り制御符合の一致性に異常がないかを計算結果として出力DPM36に出力し情報ブロックに付加する(図13右)。この処理は、情報ブロック数分繰り返される。
【0102】
このようにして、DMA回路32が動作することによって出力手段38へ出力決定値を転送する。DMA回路32は、情報ブロックごとに出力DPM36から伝送路出力部や記録回路に転送する。
【0103】
以上のように、フェイルセーフプロセッサは、情報入力ができる時期になると情報入力処理に移行し、情報入力処理では、管理処理の情報入力支援処理で誤り制御照合が確認された安全な入力情報決定値を入力DPM31より取り出し、各系プロセッサでの各種演算命令に備えプロセッサの内部レジスタや内部記憶回路12A、12Bへ一時的に転送する。
【0104】
各系プロセッサで演算ができる時期になると、演算処理に移行する。演算処理では、前段の情報入力支援処理と情報入力処理の作用により、入力決定値が決定されているため、これを利用して、各系プロセッサは演算を実施して、結果を出力DPMや内部記憶回路12A、12Bに順次繰り返し転送する。
【0105】
そして、情報出力ができる時期になると情報出力処理に移行する。情報出力処理では、管理処理での情報出力支援処理に備え、内部のレジスタや内部記憶回路12A、12Bから、出力DPM36に出力情報の情報部のみを出力ブロック数分繰り返し転送する。
【0106】
このようにして、電源投入処理の後、管理処理状態S2→情報入力処理状態S3→管理処理状態S2→制御演算処理状態S4→管理処理状態S2→情報出力処理状態S5というふうに、管理処理とそれ以外の処理を交互に実行を行っている。
【0107】
本発明の実施の形態によれば、情報通信路のビットエラー率や、ハミング距離、情報サイズの最適化等により、安全性に関わる見逃し誤り率を厳重に管理した情報部とこれに対応した誤り制御符号の対を情報伝送路や記憶装置に複数収容するので、受信側で情報推定誤りがより少なく、安全な情報通信を行うことができる。これにより、昨今のME技術による低電圧化が進むことによってS/N比も厳しくなっていることに対処できる。
【0108】
また、フェイルセーフプロセッサ内の多重系各系に誤り制御照合手段を実装し、誤り制御符号のみを系間で交換し、誤り制御用の計算式に基づいて計算を行うことで情報部と誤り制御符合の一致性に異常がないかを計算結果として出力するので、演算処理を軽減できる。また、誤り制御照合機能のための繰り返し計算部分が、ハードウエアで実現されているため、誤り制御と照合計算によるソフトウエアへの負担を軽減することができる。また、誤り制御照合機能回路を複数実装することによって、情報部と誤り制御符合の対の数量が多くなった場合でも、入力から出力までの応答時間に影響を与え難くすることもできる。
【0109】
ハードウエアによる誤り制御照合手段を、各系の入出力手段と演算手段の中間に実装することで、入力動作や演算動作の各フェーズで出力する情報部と誤り制御符号を系間で相互に監視し合うことで、入出力手段や演算手段の故障検出だけではなく、誤り制御照合手段34自身の故障検出や各動作フェーズや各動作フェーズ間の期間に発生したノイズによる情報誤りをも検出することが可能となる。
【0110】
また、フェイルセーフプロセッサには、従来どおり定周期に入力手段や、出力手段、演算手段等の各種命令回路の自己診断を行う機能を備えているが、特に、プロセッサの比較命令と誤り制御照合手段34の自己診断を厳重に実施でき、誤り制御照合手段34では、入力の際の誤り制御照合機能、出力の際の誤り制御符合作成機能と照合機能より構成されているので、照合機能の自己診断を定周期でかつ厳重に実施することで、積極的に故障や障害を検知するだけでなく、安全側故障と危険側故障を分類できる。
【0111】
照合機能の自己診断の結果を利用して、一致チェックと不一致チェックを定周期に実施し交番信号に反映するので、特に照合の判定基準にて不一致を期待しているのに、一致となった場合には危険側故障が内在しているため、交番信号を“0”ないし“1”の状態で固定することができる。また、安全側故障の場合には、一過性の異常や障害の可能性があるため、n回以上連続して異常を検知する場合には、交番信号を“0”ないし“1”の状態で固定することができる。この照合自己診断に基づく交番出力は、入力部や記憶回路12A、12Bからの入力動作、出力回路への出力動作を行う前に必ず実施する。このように照合回路自体の一致不一致自己診断に基づく交番出力を備えることもできる。
【0112】
さらに、管理処理状態S2→情報入力処理状態S3→管理処理状態S2→制御演算処理状態S4→管理処理状態S2→情報出力処理状態S5というふうに管理処理とそれ以外の処理を交互に実行することができる。プラットフォームとなる管理処理には、自己診断処理が備わっており、これにより、オフライン検査時間を極小にできる。さらに、自己診断を実施してから、情報入力、制御演算、情報出力を実行できる仕掛けも構築できるようになっているため、危険側故障の潜在期間を極小にすることもでき、オフライン検査時間の極小化とを併せて、安全性評価尺度PFDも極小にすることができる。さらには、通信路(伝送路+記憶装置)での見逃し誤り率の極小化ならびに安全性評価尺度PFDの極小化により、高い安全性のフェイルセーフプロセッサを構築できる
【0113】
【発明の効果】
以上述べたように、本発明によれば、今後益々大容量化(高速化)されることが期待される情報通信に適正に対応したフェイルセーフプロセッサを提供できる。すなわち、安全性に関わる見逃し誤り率を厳重に管理した情報部とこれに対応した誤り制御符号の対を情報伝送路や記憶装置に複数収容するので、受信側で情報推定誤りがより少なく、安全な情報通信を行うことができる。また、多重系各系に誤り制御照合手段を実装し、誤り制御符号のみを系間で交換して情報の一致性に異常がないかを出力するので演算処理を軽減できる。
【図面の簡単な説明】
【図1】本発明の実施の形態に係わるフェイルセーフプロセッサの構成図。
【図2】本発明の実施の形態における情報伝送路及び記憶装置と送受信する情報の説明図。
【図3】図1に示したフェイルセーフプロセッサの入力処理手段から演算処理手段までの処理に関連するブロック構成図。
【図4】図1に示したフェイルセーフプロセッサの演算処理手段から出力処理手段までの処理に関連するブロック構成図。
【図5】本発明の実施の形態によるフェイルセーフプロセッサのメイン状態遷移図。
【図6】本発明の実施の形態によるフェイルセーフプロセッサの電源投入処理の状態遷移図。
【図7】本発明の実施の形態による誤り制御照合手段にCRC−CCITTを用い、これを2重系とし利用することで照合と回路自体の故障検出ができるようにした場合の説明図。
【図8】本発明の実施の形態による誤り制御照合手段にCRC−CCITTを用い、これを2重系とし利用することで剰余符号の生成と回路自体の故障検出ができるようにした場合の説明図。
【図9】本発明の実施の形態によるフェイルセーフプロセッサの管理処理の状態遷移図。
【図10】本発明の実施の形態によるフェイルセーフプロセッサの情報入力支援処理の状態遷移図。
【図11】本発明の実施の形態におけるDPMに情報の入力時においてセットされる情報の構成の説明図。
【図12】本発明の実施の形態によるフェイルセーフプロセッサの情報出力支援処理の状態遷移図。
【図13】本発明の実施の形態におけるDPMに情報の出力時においてセットされる情報の構成の説明図。
【図14】従来のバス照合方式によるフェイルセーフプロセッサの構成図。
【図15】従来のデータ照合方式によるフェイルセーフプロセッサの構成図。
【図16】従来のデータ照合方式による安全性評価尺度PFDを示すモデル図。
【符号の説明】
11…マイクロプロセッサ、12…記憶回路、13…入出力部、14…クロック回路、15…バス、16…バス照合交番信号出力回路、17…照合異常検出回路、18…入力部、19…プロセッサ、20…出力部、21…共有メモリ、22…アンド回路、23…フェイルセーフプロセッサ、24…情報伝送路及び記憶装置、25…入力処理手段、26…情報入力支援処理手段、27…演算処理手段、28…情報出力支援処理手段、29…出力処理手段、30…入力手段、31…入力DPM、32…DMA回路、33…BUSBUF、34…誤り制御照合手段、35…演算手段、36…出力DPM、38…出力手段、39…P/S変換器、40…マルチプレクサ(MPX)、41…LFSR
Claims (11)
- 情報を入力する入力手段及び制御演算処理を行う演算手段を多重化し多重化された演算手段の制御演算結果を照合して多重化された出力手段から制御演算結果を出力すると共に異常を検出した場合に安全側の状態で保持するフェイルセーフプロセッサにおいて、多重化された各系へ入力される情報を情報部と誤り制御符合との対となる情報とし、その中の誤り制御符号のみを系間で交換し、情報部と誤り制御符合の一致性に異常がないかどうかを照合計算する誤り制御照合手段を備えたことを特徴とするフェイルセーフプロセッサ。
- 前記誤り制御照合手段はハードウエアで構成されたことを特徴とする請求項1記載のフェイルセーフプロセッサ。
- 前記誤り制御照合手段は、各系の前記入力手段と前記演算手段との間、前記出力手段と前記演算手段との間に設けたことを特徴とする請求項1または請求項2記載のフェイルセーフプロセッサ。
- 前記誤り制御照合手段は、前記演算手段での制御演算結果を出力する際に、前記情報の情報部に基づいて各系で誤り制御符合の作成を行い、系間でその誤り制御符合のみを交換し、情報部と誤り制御符合の一致性を照合することを特徴とする請求項1乃至請求項3のいずれか1項記載のフェイルセーフプロセッサ。
- 前記誤り制御照合手段は自己診断機能を有し、一致関係の取れたテスト情報と対応した誤り制御符号とを与えたとき、一致動作が期待されているのに不一致の関係となるときには安全側に遷移する異常や障害があると判定し、不一致関係のテスト情報と誤り制御符号とを与えたとき、不一致動作が期待されているのに一致の関係となるときには、危険側異常や障害があると判定することを特徴とする請求項1乃至請求項4のいずれか1項記載のフェイルセーフプロセッサ。
- 前記誤り制御照合手段は自己診断機能を有し、前記演算手段での制御演算結果を出力する際の誤り制御符号の作成機能および照合機能を自己診断するにあたり、同一のテスト情報を各系の誤り制御符号の作成機能へ与えて各系で誤り制御符合を作成させ、作成されたテスト情報に対応した誤り制御符号とテスト情報とを各系の照合機能で照合することを特徴とする請求項5記載のフェイルセーフプロセッサ。
- 前記誤り制御照合手段は、定期的に自己診断機能を動作させ他系の自己診断結果との一致チェックまたは不一致チェックを行い異常判定のための交番信号に反映させることを特徴とする請求項5または請求項6記載のフェイルセーフプロセッサ。
- 前記誤り制御照合手段での誤り制御照合用の計算動作は、前記演算手段の演算動作とは分離して動作させ、演算手段における演算動作に極力影響を与え合わないようにプラットフォーム化したことを特徴とする請求項1乃至請求項7のいずれか1項記載のフェイルセーフプロセッサ。
- 前記誤り制御照合手段は、起動時に自己診断機能を動作させ、正常と判断される機能のみを使用して入力照合や出力照合を行うことを特徴とする請求項1乃至請求項8のいずれか1項記載のフェイルセーフプロセッサ。
- 多重化された各系へ入力される情報は、安全性に関わる見逃し誤り率を厳重に管理した情報部とこの情報部に対応した誤り制御符号との対であることを特徴とする請求項1ない請求項9のいずれか1項記載のフェイルセーフプロセッサ。
- 請求項1乃至請求項10のいずれか1項記載のフェイルセーフプロセッサを備えたことを特徴とする鉄道用保安制御装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003203535A JP2005049967A (ja) | 2003-07-30 | 2003-07-30 | フェイルセーフプロセッサ及び鉄道用保安制御装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003203535A JP2005049967A (ja) | 2003-07-30 | 2003-07-30 | フェイルセーフプロセッサ及び鉄道用保安制御装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005049967A true JP2005049967A (ja) | 2005-02-24 |
Family
ID=34262852
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003203535A Pending JP2005049967A (ja) | 2003-07-30 | 2003-07-30 | フェイルセーフプロセッサ及び鉄道用保安制御装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005049967A (ja) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007091178A (ja) * | 2005-09-30 | 2007-04-12 | East Japan Railway Co | 信号制御システム |
JP2010206394A (ja) * | 2009-03-02 | 2010-09-16 | Mitsubishi Electric Corp | 安全ネットワーク装置および安全ネットワーク |
JP2011025733A (ja) * | 2009-07-22 | 2011-02-10 | Kyosan Electric Mfg Co Ltd | 電子端末装置及び電子連動装置 |
US7903539B2 (en) | 2006-02-28 | 2011-03-08 | Fujitsu Ten Limited | Electronic control unit |
JP2011095837A (ja) * | 2009-10-27 | 2011-05-12 | Toshiba Corp | フェールセーフシステム |
WO2011081052A1 (ja) * | 2009-12-28 | 2011-07-07 | 株式会社日立製作所 | Lsi,鉄道用フェールセーフlsi,電子装置,鉄道用電子装置 |
CN101098211B (zh) * | 2005-06-30 | 2012-01-25 | 株式会社日立制作所 | 发送控制装置、接收控制装置、以及通信系统 |
US8209594B2 (en) | 2005-06-30 | 2012-06-26 | Hitachi, Ltd. | Sending device, receiving device, communication control device, communication system, and communication control method |
JP2015065581A (ja) * | 2013-09-25 | 2015-04-09 | 三菱重工業株式会社 | パケット処理方法及びパケット処理装置 |
WO2015177927A1 (ja) * | 2014-05-23 | 2015-11-26 | 株式会社日立製作所 | 情報処理装置 |
CN114802368A (zh) * | 2022-04-14 | 2022-07-29 | 通号城市轨道交通技术有限公司 | 联锁系统的设备控制方法、系统、装置、设备和存储介质 |
-
2003
- 2003-07-30 JP JP2003203535A patent/JP2005049967A/ja active Pending
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101098211B (zh) * | 2005-06-30 | 2012-01-25 | 株式会社日立制作所 | 发送控制装置、接收控制装置、以及通信系统 |
US8209594B2 (en) | 2005-06-30 | 2012-06-26 | Hitachi, Ltd. | Sending device, receiving device, communication control device, communication system, and communication control method |
JP2007091178A (ja) * | 2005-09-30 | 2007-04-12 | East Japan Railway Co | 信号制御システム |
US7903539B2 (en) | 2006-02-28 | 2011-03-08 | Fujitsu Ten Limited | Electronic control unit |
JP2010206394A (ja) * | 2009-03-02 | 2010-09-16 | Mitsubishi Electric Corp | 安全ネットワーク装置および安全ネットワーク |
JP2011025733A (ja) * | 2009-07-22 | 2011-02-10 | Kyosan Electric Mfg Co Ltd | 電子端末装置及び電子連動装置 |
JP2011095837A (ja) * | 2009-10-27 | 2011-05-12 | Toshiba Corp | フェールセーフシステム |
JP2011138852A (ja) * | 2009-12-28 | 2011-07-14 | Hitachi Ltd | Lsi,鉄道用フェールセーフlsi,電子装置,鉄道用電子装置 |
WO2011081052A1 (ja) * | 2009-12-28 | 2011-07-07 | 株式会社日立製作所 | Lsi,鉄道用フェールセーフlsi,電子装置,鉄道用電子装置 |
GB2489353A (en) * | 2009-12-28 | 2012-09-26 | Hitachi Ltd | LSI, fail-safe LSI for railways, electronic device, and electronic device for railways |
JP2015065581A (ja) * | 2013-09-25 | 2015-04-09 | 三菱重工業株式会社 | パケット処理方法及びパケット処理装置 |
WO2015177927A1 (ja) * | 2014-05-23 | 2015-11-26 | 株式会社日立製作所 | 情報処理装置 |
CN114802368A (zh) * | 2022-04-14 | 2022-07-29 | 通号城市轨道交通技术有限公司 | 联锁系统的设备控制方法、系统、装置、设备和存储介质 |
CN114802368B (zh) * | 2022-04-14 | 2023-09-26 | 通号城市轨道交通技术有限公司 | 联锁系统的设备控制方法、系统、装置、设备和存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102822807B (zh) | 控制计算机系统及其控制方法和使用 | |
EP1857936B1 (en) | Information processing apparatus and information processing method | |
US8880961B2 (en) | System and method of computation by signature analysis | |
JP2005049967A (ja) | フェイルセーフプロセッサ及び鉄道用保安制御装置 | |
JP4727896B2 (ja) | システムの機能性の監視方法,その監視装置,メモリ素子,コンピュータプログラム | |
EP2381266B1 (en) | Self-diagnosis system and test circuit determination method | |
CN107534592A (zh) | 用于保护数据总线收发器的配置数据的方法、数据总线收发器和数据总线系统 | |
US20070283061A1 (en) | Method for Delaying Accesses to Date and/or Instructions of a Two-Computer System, and Corresponding Delay Unit | |
Gnesi et al. | An automatic SPIN validation of a safety critical railway control system | |
Kohn et al. | Markov chain-based reliability analysis for automotive fail-operational systems | |
US20060218432A1 (en) | Method for the recognition and/or correction of memory access error electronic circuit arrangement for carrying out said method | |
US8522075B2 (en) | Storage system having storage devices for storing data and control devices for controlling the storage devices | |
US20090024908A1 (en) | Method for error registration and corresponding register | |
Mariani et al. | Fault-robust microcontrollers for automotive applications | |
JP5094591B2 (ja) | 照合システム | |
JP5025402B2 (ja) | 高安全制御装置 | |
CN103144657B (zh) | 带校验板的通用轨旁安全平台主处理子系统 | |
CN1893336B (zh) | 接收装置以及通信系统 | |
CN110088735B (zh) | 控制装置以及控制装置的故障时处理方法 | |
JP3866708B2 (ja) | リモート入出力装置 | |
CN111124418B (zh) | 一种基于vcp冗余代码的通信数据超时判断方法 | |
JP3883856B2 (ja) | 信号処理系の故障診断方法および装置 | |
JP2007293678A (ja) | 共用バス接続診断装置 | |
JP4357373B2 (ja) | 高信頼性制御装置 | |
CN110865902A (zh) | 一种管道导航参考轨道存储上注诊断的批处理方法 |