JP2006344086A - データ照合装置,データ照合方法,データ制御装置及びデータ制御方法 - Google Patents

データ照合装置,データ照合方法,データ制御装置及びデータ制御方法 Download PDF

Info

Publication number
JP2006344086A
JP2006344086A JP2005170274A JP2005170274A JP2006344086A JP 2006344086 A JP2006344086 A JP 2006344086A JP 2005170274 A JP2005170274 A JP 2005170274A JP 2005170274 A JP2005170274 A JP 2005170274A JP 2006344086 A JP2006344086 A JP 2006344086A
Authority
JP
Japan
Prior art keywords
data
processing
systems
control
common
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005170274A
Other languages
English (en)
Inventor
Hisao Nagayama
久雄 長山
Satoru Funaki
覚 船木
Akira Bando
明 阪東
Hiromichi Endo
浩通 遠藤
Makoto Ogura
真 小倉
Masamitsu Kobayashi
正光 小林
Takashi Umehara
敬 梅原
Ryuichi Watabe
隆一 渡部
Naoya Masuko
直也 益子
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Hitachi Information and Control Systems Inc
Hitachi Information and Control Solutions Ltd
Original Assignee
Hitachi Ltd
Hitachi Information and Control Systems Inc
Hitachi Information and Control Solutions Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd, Hitachi Information and Control Systems Inc, Hitachi Information and Control Solutions Ltd filed Critical Hitachi Ltd
Priority to JP2005170274A priority Critical patent/JP2006344086A/ja
Publication of JP2006344086A publication Critical patent/JP2006344086A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Hardware Redundancy (AREA)

Abstract

【課題】
複数のプロセッサを用いた装置について、小型高性能化,安全性向上と可用性向上を可能とすることにある。
【解決手段】
共通のデータ処理対象に対して2以上の系で互換が可能に処理された処理結果を入力し、前記2以上の系での処理結果に対してデータ照合するデータ照合装置において、前記2以上の系での処理結果が互いに共通のデータ処理対象に対してなされたことをデータ共通性として判断し、前記2以上の系での処理結果が許容範囲であるかをデータ許容性として判断し、前記データ照合は、前記データ共通性及びデータ許容性によってなされるように構成した。
【選択図】図1

Description

本発明は、データ,データ照合方法,データ制御装置及びデータ制御方法に関する。
原子力プラントや化学プラントなど潜在的な危険性の高いプロセス設備では、万が一の事態に作業員および周辺環境への影響を低減するため、隔壁等の防護設備による受動的な対策および、緊急停止装置等の安全装置を用いる能動的な対策が講じられる。このうち、安全装置等の制御手段は、従来リレー等の電磁的・機械的手段により実現されていた。しかし、近年、Programmable Logic Controller(PLC)に代表されるプログラム可能な制御機器における技術の発展に伴い、これらを安全制御システムの制御手段として利用するニーズが高まっている。
非特許文献1のIEC61508は、そのような動向に対応して発行された国際規格であり、電気的/電子的/プログラム可能な電子的装置を安全制御システムの一部に利用する場合の要件が規定されている。IEC61508では、安全制御システムの能力の尺度としてSafety
Integrity Level(SIL)を定義し、1から4までのレベルに対応する水準の要求事項を規定している。SILが高いほどプロセス設備の持つ潜在的な危険性を低減できる度合が大きいことを示す。すなわち、プロセス設備の異常を検出した際、どれだけ確実に所定の安全制御を実施できるかを意味する。
安全制御装置は、通常稼働状態で非活性となっていても、プロセス設備の異常発生時には直ちに活性化することを求められる。そのため、常時自己診断を行い、自身の健全性をチェックし続けることが重要となる。また、高いSILが要求される安全制御システムでは、未検出の故障によりシステムが不動作となる確率を極小とするため、広範囲・高精度な自己診断を実施する必要がある。
IEC61508では、安全制御装置を構成する要素部品の種類ごとに、各々適用される自己診断技法を紹介し、それぞれの技法の有効性を診断率という形で示している。診断率は、各構成要素における全故障のうち、その診断技法を採用したとき検出可能な故障の割合を示す。例えば、非特許文献2に引用されているRAMの診断技法“abraham” では、最高
99%の診断率を主張可能であるとされている。
また、各構成要素の一つであるプロセッサの故障検出手段としては、複数のプロセッサを用いて、相互の出力結果の整合性を監視する方法が有効である。
複数のプロセッサの出力相互診断手段としては、各々のプロセッサが同様の制御処理を同時に実行し、その出力が一致していることを確認しあう手法が効果的である。
この代表的な公知例として、特許文献1にあるように2つのプロセッサを同期して実行させるとともに、入力値も同一の情報とすることで、出力を一致化させる手法により、双方のプロセッサの出力値を比較し一致性を確認する方法が挙げられる。
特開2004−234144号公報 International Electrotechnical Comission(IEC),"IEC61508: Functional Safety of Electrical/Electronic/Programmable Electronic safety related systems" R. Nair, S. M. Thatte, J. A. Abraham,"Efficient Algorithmsfor Testing Semiconductor Random-Access Memories,"IEEE trans. comput. C-27(6),572-576,1978
プログラマブル電子装置に要求される信頼性の要素には可用性と安全性がある。機器の制御では可用性が重要となり、機器の保護では安全性が重要となる。これら2要素の実現手段は二律背反している部分が多い。
このため、従来は可用性を担う部分装置と安全性を担う部分装置に分けるのが常識とされてきた。このために装置が大型化するだけでなく、運転・保守作業の重複・複雑化が人的要素の信頼性低下を招くことがあった。
本発明の目的は、複数のプロセッサを用いた装置について、小型高性能化,安全性向上と可用性向上を可能とするデータ照合装置,データ照合方法,データ制御装置及びデータ制御方法を提供することにある。
上記目的を達成するために、本発明では、共通のデータ処理対象に対して2以上の系で互換が可能に処理された処理結果を入力し、前記2以上の系での処理結果に対してデータ照合するデータ照合装置において、前記2以上の系での処理結果が互いに共通のデータ処理対象に対してなされたことをデータ共通性として判断し、前記2以上の系での処理結果が許容範囲であるかをデータ許容性として判断し、前記データ照合は、前記データ共通性及びデータ許容性によってなされるように構成した。
あるいは、一つ以上の制御タスクおよびオペレーティングシステムを格納する記憶装置と、前記制御タスクおよび前記オペレーティングシステムを実行するための制御装置(プロセッサ)を少なくとも2つと、各々の制御装置(プロセッサ)からの出力値を比較判定するための出力値格納バッファを備えた比較回路と周辺機器,メモリなどへの装置に入出力する入出力回路を備えるコントローラにおいて、各々の制御装置(プロセッサ)の出力値を参照できる照合バッファを備えることを特徴とする。
さらに、照合すべきデータの対象が一致していることを確認する照合IDバッファを備えても良い。ここで、前記照合バッファと照合IDバッファの領域割り当て手段において、一方の制御装置からの書き込みと参照が可能なエリアは、他方の制御装置からは参照のみ可能とし、相互で同一の領域をアクセスすることで自系照合バッファへの書き出しと相手照合バッファの参照、および自系照合IDバッファへの書き出しと相手照合IDバッファの参照を実施できるようにすることで、複数の制御装置上で動作する制御タスクを共通にすることを特徴とする。
さらに、前記比較回路中の出力値格納バッファにおいても、各々の制御装置が同一の領域をアクセスすることで、各々の制御装置に対応した出力値格納バッファと比較要求フラグバッファを操作できるようにすることで、複数の制御装置上で動作する出力照合にかかわる制御タスクを共通にすることを特徴とする。
ところで、高い安全性が要求される制御システムでは、複数の制御装置の出力を比較し、一致性を確認後出力する手法がとられているが、この手法によると、各制御装置の動作タイミングを一致させるとともに、各制御装置への制御入力情報も同じ値に一致させることで、出力を一致させていた。
しかしながら、制御対象が複雑になるにつれ、制御装置も高機能化が進み、制御装置自身も複雑になり、完全な同期動作が困難になりつつある。この結果、入力値を一致化させても、各々の制御タイミングの差異により、時間パラメータを使用する演算出力結果など、出力値にも差異が発生することが問題となっている。
また、アナログ入力等のセンサを、各制御装置に個別に接続し、多点観測して制御する要求もあり、この場合は各々の制御装置間で演算結果に差異が発生することになる。
このため、同期ずれや、制御出力情報の差異を見越した、出力データの一致化方式が必要である。さらにまた、処理速度の観点からは、出力の一致性確認による処理速度の低下は否めない。そこで、実際の制御対象には機械設備など高い信頼性を要求されるものと、モニタ出力など比較的信頼性が低くても良いものがある点を利用し、高い信頼性を要求される処理対象には出力情報の一致性確認をした結果で出力し、比較的信頼性が低くても良い制御対象には出力情報の一致性確認を実施しないことにより、処理速度の向上を図るのが良策である。
そしてさらに、比較的信頼性が低くても良い制御対象の制御は各制御機器に分散して実行し、システム全体の処理能力を向上させることもできる。
そして、制御ソフトウェアの開発効率向上のためには、出力データの一致化にかかわる処理は制御装置間で共通にすることが望ましいことは言うまでもない。
本発明によれば、複数のプロセッサを用いた装置について、小型高性能化,安全性向上と可用性向上を可能となる。
以下、発明を実施するための最良の形態を説明する。
まず、概略を説明すると、高信頼な制御を目的とする制御装置において、複数の制御装置間の出力値を照合し、一致性確認論理や多数決論理、により、出力値の不整合を検出する機能を備えたデータ照合であり、特に、前記制御装置間で不整合の発生を予見し、最終出力前に相互の出力値を参照し、誤差が許容範囲以内であれば、出力値を制御装置間で一致化して出力することで、可用性を向上させるデータ照合である。
さらに、図面を用いて詳細に説明する。本発明の第1の実施形態である制御システムの構成を図1に示す。
ここでは、制御装置が2個の場合について説明するが、実際の実施形態において制御装置の台数に制限は無く、それにより本発明が制約を受けることはない。
制御装置A 001および制御装置B 002は、各々1つ以上の制御タスクA 003(制御タスクB 004)により、制御処理を実行する装置であり、制御装置の基本的な構成要素であるプロセッサとメモリおよび入出力回路を有するものである。ここでの説明において、制御装置の基本的な構成要素であるプロセッサとメモリおよび入出力回路は特に明示しないものとする。
制御装置Aは、入力信号029と出力信号030により照合回路035に接続される。
制御装置Aは、出力信号033により出力比較回路036に接続される。
制御装置Aは、出力信号061により高信頼制御が要求されない制御対象063に接続される。
同様に制御装置Bは、信号031,032,034,062により照合回路035と出力比較回路036および高信頼制御が要求されない制御対象064に接続される。
また、制御装置A 001および制御装置B 002には、各々の装置番号を示す装置番号A 066と装置番号B 067が割り当てられる。
制御装置番号は、各々の制御装置にユニークに割り当てられ、各々の制御タスクが参照可能である。
照合回路035は、データ照合領域物理空間065と、制御装置Aのインタフェースとして制御装置A ID論理空間005と制御装置A DATA論理空間006および制御装置Bのインタフェースとして制御装置B ID論理空間007と制御装置B DATA論理空間008より構成される。
データ照合領域物理空間065は、空間名称ID_A 025,ID_B 026,
DATA_A 027,DATA_B 028の領域を持つ。
ここで、空間名称ID_A 025,ID_B 026は、照合の対象とするデータ毎にユニークに付けられる番号を格納する空間であり、照合対象データが一致していることを確認するために設ける。
従って、制御装置A 001と制御装置B 002で照合対象となるデータに対する番号は同一である必要がある。
尚、この番号は制御装置内でデータ毎にユニークであれば良く、データのアドレス等を用いても構わない。
ID論理空間005,007は、空間名称自系ID 009,013と相手ID 010,014の領域を持つ。
DATA論理空間006,008は、空間名称自系DATA 011,015と相手
DATA 012,016の領域を持つ。
制御装置A ID論理空間005の、空間名称自系ID 009は、信号線017により、データ照合領域物理空間065の空間名称ID_A 025と対応付けされ、空間名称相手ID 010は信号線018により、データ照合領域物理空間065の空間名称
ID_B 026対応付けされる。
制御装置A DATA論理空間006の、空間名称自系DATA 011は信号線019により、データ照合領域物理空間065の空間名称DATA_A 027と対応付けされ、空間名称相手DATA 012は信号線020により、データ照合領域物理空間065の空間名称DATA_B 028対応付けされる。
一方、制御装置B ID論理空間007の、空間名称自系ID 013は、信号線021により、データ照合領域物理空間065の空間名称ID_B 026と対応付けされ、空間名称相手ID 014は信号線022により、データ照合領域物理空間065の空間名称ID_A 025対応付けされる。
制御装置B DATA論理空間008の、空間名称自系DATA 015は信号線023により、データ照合領域物理空間065の空間名称DATA_B 028と対応付けされ、空間名称相手DATA 016は信号線024により、データ照合領域物理空間065の空間名称DATA_A 027対応付けされる。
これにより、制御タスクA 003と制御タスクB 004から参照される論理空間
037,038は、同一のマッピングとなり、制御タスクA 003と制御タスクB
004は同一にできる。
出力比較回路036は、出力比較部物理空間039と、制御装置A出力論理空間037と制御装置B出力論理空間038、および一致性確認回路058より構成され、応答信号
052により制御装置Aと制御装置Bに接続される。
ここで、応答信号052は、正常終了応答のほかに、不一致応答,タイムアウト応答,アクセスエラー応答など、複数の状態を報告できるプロトコルを有するものであり、単線、複線などの手段は通常用いられる技術を適宜選択してよく、それにより本発明が制約を受けることはない。
出力比較部物理空間039は、空間名称REQ_A 048,REQ_B 049,書き込み情報_A 050,書き込み情報_B 051の領域を持つ。
ここで、書き込み情報_A 050,書き込み情報_B 051は、データ出力の情報を格納する空間であり、書き込み先のアドレスと書き込みデータを格納する。
また、REQ_A 048は、書き込み情報_A 050の、REQ_B 049は、書き込み情報_B 051に対応する比較出力要求フラグであり、このエリアに要求フラグが格納されると、対応する書き込み情報が格納されたことを示し、一致性確認回路058による比較判定出力処理の起動条件となる。
一致性確認回路058の動作については後述する。
出力論理空間037,038は、各々空間名称要求フラグ040,042と書き込み情報041,043の領域を持つ。
制御装置A出力論理空間037の空間名称要求フラグ040は、信号線044により、出力比較部物理空間039の空間名称REQ_A 048に対応付けされ、空間名称書き込み情報041は、信号線045により空間名称書き込み情報_A 050に対応付けされる。
一方、制御装置B出力論理空間038の空間名称要求フラグ042は、信号線046により、出力比較部物理空間039の空間名称REQ_B 049に対応付けされ、空間名称書き込み情報043は、信号線047により空間名称書き込み情報_B 051に対応付けされる。
これにより、制御タスクA 003と制御タスクB 004から参照される論理空間
037,038は、同一のマッピングとなり、制御タスクA 003と制御タスクB
004は同一にできる。
一致性確認回路058は、入力信号053,出力信号054により出力比較部物理空間039の空間内の参照と更新ができる。
また、一致性確認回路058は出力要求信号と056,出力応答信号055により出力回路(一致性確認回路)058に接続される。
出力回路(一致性確認回路)058は、信号線059により、高信頼制御が要求される制御対象060に制御情報(データ)を出力する。
ここで、各装置間を接続する入出力信号(バス)は、単純なプロセッサバスのほか、
Peripheral Component Interconnect(PCI) バス等、通常用いられる技術を適宜選択してよく、それにより本発明が制約を受けることはない。
以下、制御タスクAおよび制御タスクBの動作による本発明の実施例を図1と図2のフローチャートおよび一致性確認回路058の動作説明である図3のフローチャートを用い説明する。
前述のとおり制御タスクA 003および制御タスクB 004は同一にすることができるため、ここでの説明は、制御装置A 001の制御タスクA 003の動作を主体に実施する。
説明中の( )内の3文字の英数字は、フローチャートの番号を示す。
制御タスクA 003は、制御対象が高信頼制御が要求される制御対象060か高信頼制御が要求されない制御対象063かを判定し(119)、高信頼制御が要求されない制御対象063であった場合、高信頼制御が要求されない制御対象063に対し、信号線
061により制御データを出力する(120)。
制御対象が高信頼制御が要求される制御対象060であった場合は、出力処理のタイムアウト監視をスタート(100)させ、制御装置A DATA論理空間011の空間名称自系DATA 011に対し照合対象の出力データをセット(101)する。
空間名称自系DATA 011は、信号線018により、データ照合領域物理空間065の空間名称DATA_A 027に対応付けされているため、実際の照合対象の出力データはデータ照合領域物理空間065の空間名称DATA_A 027に格納される。
その後、制御タスクA 003は、照合対象データのIDとして、制御装置A ID論理空間005の、空間名称自系ID 009に照合対象データ毎にユニークな値(例えばアドレス)をセット(102)する。次に、自系ID 009と相手ID 010の比較(103)を実施し、照合対象データが一致することを待ち合わせる。
この待ち合わせにより、制御装置間の同期ずれを吸収することができる。
自系ID 009と相手ID 010の比較(103)の結果が不一致中にタイムアウト(104)となった場合は、制御装置B 002の制御タスクB 004の誤判定を防止するため、自系ID 009をクリア(117)し、その後異常処理(118)を実行する。
所定時間内に自系ID 009と相手ID 010の比較(103)の結果が一致すると、制御装置A 001と制御装置B 002の照合対象データが準備できたと判断し、制御タスクAは、自系DATA 011と相手データ012の比較(105)を実施する。
この自系DATA 011と相手データ012の比較(105)の結果、不一致が発生していた場合は、自系DATA 011と相手データ012間の差異が許容範囲か判断
(106)し、許容範囲外であった場合は、制御装置B 002の制御タスクB 004の誤判定を防止するため、自系ID 009をクリア(117)し、その後異常処理
(118)を実行する。
制御タスクB 004も同様である。
制御タスクA 003は、自系DATA 011と相手データ012間の差異が許容範囲か判断(106)した結果、許容範囲内であった場合は、次回のデータ照合に備えて自系ID 009をクリア(116)後、自身の制御装置番号066によりA系と判断し、自系DATA 011を用い、信号線033を使用し比較回路036に対してアクセス
(108)を実施する。
一方、制御タスクB 004は、自系DATA 015と相手データ016間の差異が許容範囲か判断(106)した結果、許容範囲内であった場合は、次回のデータ照合に備えて自系ID 013をクリア(116)後、自身の制御装置番号067によりB系と判断し、相手DATA 016を用い、信号線034を使用し比較回路036に対してアクセス(109)を実施する。
つまり、制御タスクA 003が使用する自系DATA 011は、データ照合領域物理空間の空間名称DATA_A 027を示し、制御タスクB 004が使用する相手
DATA 016も、データ照合領域物理空間の空間名称 DATA_A 027を示すため、出力結果が一致することになる。
ここで、空間名称DATA_A 027を使用することは必須ではなく、請求項2,請求項4,請求項5,請求項6に示すように、データの一致性を実現する手段のいずれを使用してもかまわず、それにより本発明が制約を受けることはない。
また、制御タスクA 003による自系DATA 011と相手データ012の比較
(105)の結果、一致していた場合も同様に次回のデータ照合に備えて自系ID 009をクリア(116)後、自身の制御装置番号066によりA系と判断し、自系DATA 011を用い、信号線033を使用し比較回路036に対してアクセス(108)を実施する。
制御タスクB 004も同様に、自系DATA 015と相手データ016間が一致していた場合は、次回のデータ照合に備えて自系ID 013をクリア(116)後、自身の制御装置番号067によりB系と判断し、相手DATA 016を用い、信号線034を使用し比較回路036に対してアクセス(109)を実施する。
制御タスクA 003による出力比較回路036へのアクセスは、制御装置A出力論理空間037に対して実施し、空間名称書き込み情報041にアドレスやデータなどの情報を書き込み(110)、その後、空間名称要求フラグ040に対し書き込み要求有りを設定(111)し、出力比較回路036からの応答を待つ(114)。
この結果、信号線044と信号線045で示すように対応付けされた、空間名称書き込み情報_A 050とREQ_A 048に情報が格納される。
制御タスクB 004による出力比較回路036へのアクセスも同様に、制御装置B出力論理空間038に対して実施し、空間名称書き込み情報043にアドレスやデータなどの情報を書き込み(112)、その後、空間名称要求フラグ042に対し書き込み要求有りを設定(113)し、出力比較回路036からの応答を待つ(114)。
この結果、信号線046と信号線047で示すように対応付けされた、空間名称書き込み情報_B 051とREQ_B 049に情報が格納される。
出力比較回路036からの応答信号052が正常応答であった場合は、タスクを正常終了とする。もしも、応答なしによるタイムアウトを検出した場合(115)や異常報告応答を受けた場合には、誤判定を防止するため、自系ID 009をクリア(117)し、その後異常処理(118)を実行する。
以下、出力比較回路036の一致性確認回路058の説明を図3のフローチャートを用い説明する。
一致性確認回路058は、書き込み要求フラグである空間名称REQ_A 048と
REQ_B 049のいずれかに要求があるかをチェックする(200)。
REQ_A 048とREQ_B 049のいずれかに要求がある場合は、異常監視として出力比較のタイムアウト監視をスタートする(201)。
その後、REQ_A 048とREQ_B 049の両者に要求が立つまで待ち合わせする。
この待ち合わせ中にタイムアウト(203)となった場合は、異常報告応答としてタイムアウトを報告する(204)。
所定の時間内にREQ_A 048とREQ_B 049の両者に要求が立った場合は、書き込み情報_A 050と書き込み情報_B 051が一致しているかを判定する
(205)。
判定の結果、不一致だった場合、異常報告応答として不一致報告を実施する(209)。
判定の結果、一致している場合、出力情報は正常と判断し、出力回路057に出力要求信号056を発行(206)し、出力回路057からの出力応答信号055を待つ(207)。
ここで、出力要求信号056には、アドレスやデータなどの書き込み情報を含むものとする。
一致性確認回路058は、出力回路057からの出力応答信号055を待つ(207)最中に、タイムアウトを検出した場合(208)異常報告応答としてアクセスエラーを報告する(211)。
所定の時間内に出力回路057からの出力応答信号055を受けた場合、一致性確認回路058は、出力回路057への出力要求信号056をオフ(210)し、次回の比較のためにREQ_A 048とREQ_B 049の要求情報をクリアする(212)、その後、正常終了を報告し(213)、次回の比較要求を待つ。
尚、一致性確認回路058は、ハードウェアとソフトウェアのいずれかまたは両方の組み合わせで実現して良く、それにより本発明が制約を受けることはない。
以上の動作により、制御装置間の同期ずれを吸収するとともに、制御装置間で発生する許容範囲内の制御情報の修正が可能となる。
更に、出力照合にかかわる部分の論理空間を各制御装置で同一にすることで、各々の制御装置内の出力照合にかかわる制御タスクの共通化が図れる。
更に、信頼性要求が高い処理と信頼性要求が低い処理を判断して処理することができ、システム全体での制御処理能力(制御処理速度)の向上が図れる。
本発明の第2の実施の形態であるコントローラの構成を図4に示す。なお、第1の実施の形態と同じ部分の説明は省略し、特徴となる部分の説明にとどめる。
図4は、本発明のデータ照合方式により、複数の制御装置に、個別にアナログ入力装置等の入力機器を接続し、別個に制御処理を実施しながら、出力値を一致化させる制御である。
本発明の第3の実施の形態であるコントローラの構成を図5に示す。
図5は、実施例2−図4において、個別に接続された入力装置が故障した際に、別の制御装置に接続された入力装置から情報を入力し、制御処理の可用性を向上させた制御である。
本発明の第4の実施の形態であるコントローラの構成を図6に示す。
図6は、実施例1の制御タスクA 003と制御タスクB 004を、個別タスク068,070と共通タスク069,071から構成したものを例として示す。
本実施例では、共通タスク同期装置072を設け、共通タスクの同期をとる方法について記述するが、実施例1で説明したように処理の待ち合わせを実施できるため、共通タスク同期装置072は必須な装置ではなく、それにより本発明が制約を受けることはない。
共通タスク同期装置072は、タスクAからBへの同期フラグバッファ073とタスクBからAへの同期フラグバッファ074から構成される。
個別タスク068は、高信頼制御が要求されない制御対象063に対し、信号線061により制御を実施する。
同様に、個別タスク070は、高信頼制御が要求されない制御対象064に対し、信号線062により制御を実施する。
このとき、制御装置A 001の高信頼制御が要求されない制御対象063と制御装置B 002の高信頼制御が要求されない制御対象064は、全く別の対象でよい。
この結果、高信頼制御が要求されない制御対象に対する処理は並列に処理される結果となり、システムの処理能力が向上する。
次に、共通タスク069と共通タスク071の処理に関し記述する。
共通タスク069と共通タスク071の処理の開始順序に制約は無いが、ここでは便宜上共通タスク069が先に起動されたケースに関し説明する。
共通タスク069は、信号線075により共通タスク同期装置072内のタスクAからBへの同期フラグバッファ073に同期フラグをセットする。
この同期フラグは、信号線077により、制御装置Bに伝えられる。
この伝搬の方法は、割り込みや、オペレーティングシステムによるポーリング等、通常用いられる技術を適宜選択してよく、それにより本発明が制約を受けることはない。
同期要求を認識した制御装置Bは、所定の時間内に信号線078により共通タスク同期装置072内のタスクBからAへの同期フラグバッファ074に同期フラグを設定する。
この同期フラグは、信号線076により、制御装置Aに伝えられる。
共通タスク069は、共通タスク071が動作開始したことを認識した後、実施例1の図2のフローチャートに従い、出力照合の処理を実施する。
共通タスク071も同様に、同期フラグバッファ073の状態を認識し、実施例1の図2のフローチャートに従い、出力照合の処理を実施する。
以上説明したように、本実施の形態によれば、制御装置(プロセッサ)に共通の相互のデータ照合用の領域を設けることによって、各制御装置は、前記比較回路への出力前に、前記照合バッファにより、他の制御装置の出力値を知ることができ、予め出力値の差異を知ることができる。
この結果、各々の制御装置で出力値の誤差範囲が妥当であるか否かを判定し、誤差範囲が妥当である場合、自分の出力値と参照した他の制御装置の出力値を用いて制御出力として最も適した値を、共通の手法にて導出し、前記比較回路へ一致性確認のための出力ができる。
この結果、制御装置間の出力値は共通となり、前記の同期ずれや、制御出力情報の差異を見越した、出力データの一致化が可能となり、信頼性と可用性の両立が可能となる。
なお、所定時間以内に、同期フラグバッファ073と同期フラグバッファ074が一致しなかった場合は、タイムアウトエラーとし、共通タスク069は同期フラグバッファ
073を、共通タスク071は同期フラグバッファ074をクリアし誤動作に備える。
また、共通タスク069の処理が異常終了も含めて終了した場合は、同期フラグバッファ073をクリアし、次回の同期に備える。
同様に、共通タスク071の処理が異常終了も含めて終了した場合は、同期フラグバッファ074をクリアし、次回の同期に備える。
ここで、共通タスクが複数あっても、各共通タスク毎にユニークな番号を制御装置間で共通に設け、同期フラグバッファ073と同期フラグバッファ074にその番号を反映し参照しあうことで各共通タスク毎に同期化が可能となる。
本発明による第1の実施例における、制御システムの構成。 本発明による第1の実施例における、制御タスク出力動作フロー。 本発明による第1の実施例における、一致性確認回路動作フロー。 本発明による第2の実施例における、制御システムの構成。 本発明による第3の実施例における、制御システムの構成。 本発明による第4の実施例における、制御システムの構成。
符号の説明
035…照合回路、036…出力比較回路、039…出力比較部物理空間、058…一致性確認回路、065…データ照合領域物理空間。

Claims (15)

  1. 共通のデータ処理対象に対して2以上の系でなされた処理結果を入力とし、前記処理結果は前記2以上の系で互いに互換が可能なように演算されたものであって、前記2以上の系での処理結果に対してデータ照合するデータ照合装置において、前記2以上の系での処理結果が互いに共通のデータ処理対象に対してなされたことをデータ共通性として判断する手段と、前記2以上の系での処理結果が許容範囲であるかをデータ許容性として判断する手段と、前記データ照合は、前記データ共通性及びデータ許容性によってなされることを特徴とするデータ照合装置。
  2. 請求項1において、前記データ許容性を判断する手段は、前記2以上の系での処理結果が互いに一致しているかを判断する手段を含んでなり、前記一致していない場合に前記2以上の系での処理結果に基づいて、予め決められた所定の処理により、前記2以上の系での演算結果として出力する手段を有することを特徴とするデータ照合装置。
  3. 請求項2において、前記許容範囲でないと判断した場合に異常を示す信号を出力する手段を有することを特徴とするデータ照合装置。
  4. 請求項2において、前記2以上の系での処理結果が互いに一致していない場合、前記2以上の系での処理結果のいずれかを選択して出力することを特徴とするデータ照合装置。
  5. 請求項4において、前記データ許容性を判断する手段は前記2以上の系のいずれかと関連付けられており、前記関連付けられた系での演算結果を選択して出力することを特徴とするデータ照合装置。
  6. 請求項2において、前記2以上の系での処理結果が互いに一致していない場合、前記2以上の系での処理結果の中間値,平均値,最大値或いは最小値を出力することを特徴とするデータ照合装置。
  7. 請求項1において、前記2以上の系での処理結果を記憶するデータ照合領域物理空間を有し、前記データ照合領域物理空間は、前記2以上の系それぞれに相当するデータ処理対象を記憶する識別領域、及び、前記2以上の系それぞれに相当する処理結果を記憶するデータ領域を有しており、前記識別領域及び前記データ領域はいずれも所定の系に対応した書き込みが可能であり、それ以外の系からは書き込みが不可能なように構成されていることを特徴とするデータ照合装置。
  8. 請求項1において、所定時間内に前記データ共通性が判断された場合に、前記データ照合の動作を継続することを特徴とするデータ照合装置。
  9. 請求項8において、前記所定時間に前記2以上の系で前記共通のデータ処理対象が処理されない場合、異常を示す信号を出力する手段を有することを特徴とするデータ照合装置。
  10. 請求項1において、前記共通のデータ処理対象は、アナログ入力装置のデータに関するものであることを特徴とするデータ照合装置。
  11. 請求項1において、2以上の系にそれぞれ入力装置が接続され、前記接続された入力装置のいずれかが故障した場合、異なる入力装置を代替的に用いることを特徴とするデータ照合装置。
  12. 請求項1において、データ処理対象には、信頼性要求が相対的に高いものと低いものが含まれており、信頼性要求が高いと判断された場合に、前記データ照合を行い、信頼性要求が低いと判断された場合、2以上の系で異なるデータを処理対象として、異なるデータ処理を実行することを特徴とするデータ照合装置。
  13. 2以上の系として演算する演算処理装置と、前記2以上の演算処理は共通の処理対象について互いに互換が可能なように演算するものであって、前記2以上の演算処理装置による共通のデータ処理対象に対する処理結果を入力としてデータ照合する手段と、前記2以上の演算処理装置での処理結果が互いに共通のデータ処理対象に対してなされたことをデータ共通性として判断する手段と、前記2以上の演算処理装置での処理結果が許容範囲であるかをデータ許容性として判断する手段と、前記データ照合は、前記データ共通性及びデータ許容性によってなされることを特徴とするデータ処理装置。
  14. 共通のデータ処理対象に対して2以上の系でなされた処理結果を入力とし、前記処理結果は前記2以上の系で互いに互換が可能なように演算されたものであって、前記2以上の系での処理結果に対してデータ照合するものであり、前記2以上の系での処理結果が互いに共通のデータ処理対象に対してなされたことをデータ共通性として判断し、前記2以上の系での処理結果が許容範囲であるかをデータ許容性として判断し、前記データ照合は、前記データ共通性及びデータ許容性によってなされるデータ照合方法。
  15. 共通のデータ処理対象に対して2以上の系として演算処理装置で互換可能に演算処理し、前記演算処理は共通のデータ処理対象に対して互換が可能に処理され、前記2以上の演算処理装置での処理結果に対してデータ照合し、前記2以上の演算処理装置での処理結果が互いに共通のデータ処理対象に対してなされたことをデータ共通性として判断し、前記2以上の演算処理装置での処理結果が許容範囲であるかをデータ許容性として判断し、前記データ照合は、前記データ共通性及びデータ許容性によってなされるデータ処理方法。


JP2005170274A 2005-06-10 2005-06-10 データ照合装置,データ照合方法,データ制御装置及びデータ制御方法 Pending JP2006344086A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005170274A JP2006344086A (ja) 2005-06-10 2005-06-10 データ照合装置,データ照合方法,データ制御装置及びデータ制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005170274A JP2006344086A (ja) 2005-06-10 2005-06-10 データ照合装置,データ照合方法,データ制御装置及びデータ制御方法

Publications (1)

Publication Number Publication Date
JP2006344086A true JP2006344086A (ja) 2006-12-21

Family

ID=37640996

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005170274A Pending JP2006344086A (ja) 2005-06-10 2005-06-10 データ照合装置,データ照合方法,データ制御装置及びデータ制御方法

Country Status (1)

Country Link
JP (1) JP2006344086A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012151599A (ja) * 2011-01-18 2012-08-09 Yokogawa Electric Corp 通信装置及び制御装置
WO2013001716A1 (ja) 2011-06-29 2013-01-03 日本精工株式会社 車載電子制御装置
WO2013105554A1 (ja) * 2012-01-12 2013-07-18 株式会社日立製作所 制御装置監視システムおよび制御装置の監視方法

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012151599A (ja) * 2011-01-18 2012-08-09 Yokogawa Electric Corp 通信装置及び制御装置
WO2013001716A1 (ja) 2011-06-29 2013-01-03 日本精工株式会社 車載電子制御装置
US9087077B2 (en) 2011-06-29 2015-07-21 Nsk Ltd. In-vehicle electronic control device
US9348684B2 (en) 2011-06-29 2016-05-24 Nsk Ltd. In-vehicle electronic control device
US9348683B2 (en) 2011-06-29 2016-05-24 Nsk Ltd. In-vehicle electronic control device
WO2013105554A1 (ja) * 2012-01-12 2013-07-18 株式会社日立製作所 制御装置監視システムおよび制御装置の監視方法
JP2013143077A (ja) * 2012-01-12 2013-07-22 Hitachi Ltd 制御装置の監視方法および制御装置監視システム

Similar Documents

Publication Publication Date Title
US5984504A (en) Safety or protection system employing reflective memory and/or diverse processors and communications
US20070277023A1 (en) Method For Switching Over Between At Least Two Operating Modes Of A Processor Unit, As Well Corresponding Processor Unit
CN101127243B (zh) 存储器控制器和存储器控制方法
EP2188949B1 (en) System and method providing fault detection capability
US8161362B2 (en) Task management control apparatus and method, having redundant processing comparison
AU2011235381B2 (en) Computer system and method for comparing output signals
JP2008009795A (ja) 診断装置,回線診断方法及び回線診断プログラム
CN109634171B (zh) 双核双锁步二取二架构及其安全平台
CN102640119B (zh) 用于运行计算单元的方法
JP6029737B2 (ja) 制御装置
US20080313426A1 (en) Information Processing Apparatus and Information Processing Method
JP2013235300A (ja) 安全信号処理システム
JP2006344086A (ja) データ照合装置,データ照合方法,データ制御装置及びデータ制御方法
US8255769B2 (en) Control apparatus and control method
CN102521086B (zh) 基于锁步同步的双模冗余系统及其实现方法
JP4102814B2 (ja) 入出力制御装置,情報制御装置及び情報制御方法
JP5337661B2 (ja) メモリ制御装置及びメモリ制御装置の制御方法
JP2915528B2 (ja) センサ・データの故障検出・信号選択装置
JP2011095837A (ja) フェールセーフシステム
JP3127941B2 (ja) 二重化装置
JP2006338425A (ja) 制御装置
JP4613019B2 (ja) コンピュータシステム
WO2008062511A1 (fr) Système multiprocesseur
JP2007323190A (ja) データ通信を行う計算制御システム及びその通信方法
CA2304438C (en) Safety or protection system employing reflective memory and/or diverse processors and communications