JP2007249976A - システムの安全性を確保する分散制御システムと、制御プロセス - Google Patents
システムの安全性を確保する分散制御システムと、制御プロセス Download PDFInfo
- Publication number
- JP2007249976A JP2007249976A JP2007070709A JP2007070709A JP2007249976A JP 2007249976 A JP2007249976 A JP 2007249976A JP 2007070709 A JP2007070709 A JP 2007070709A JP 2007070709 A JP2007070709 A JP 2007070709A JP 2007249976 A JP2007249976 A JP 2007249976A
- Authority
- JP
- Japan
- Prior art keywords
- sequence
- processor
- safety
- control system
- output
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1479—Generic software techniques for error detection or fault masking
- G06F11/1487—Generic software techniques for error detection or fault masking using N-version programming
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L19/00—Arrangements for interlocking between points and signals by means of a single interlocking device, e.g. central control
- B61L19/06—Interlocking devices having electrical operation
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L21/00—Station blocking between signal boxes in one yard
- B61L21/04—Electrical locking and release of the route; Electrical repeat locks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1641—Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/18—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
- G06F11/183—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
- G06F11/184—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality
Landscapes
- Engineering & Computer Science (AREA)
- Mechanical Engineering (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Train Traffic Observation, Control, And Security (AREA)
- Safety Devices In Control Systems (AREA)
- Hardware Redundancy (AREA)
- Devices For Executing Special Programs (AREA)
- Programmable Controllers (AREA)
- Electric Propulsion And Braking For Vehicles (AREA)
- Advance Control (AREA)
- Stored Programmes (AREA)
Abstract
【課題】ソフトウェアの開発工数を削減できる、システムの安全性を確保する分散制御システムを提供する。
【手段】鉄道網向けコマンドを処理するため、並列に配置され対応入力に同一の入力データを受信する複数個のプロセッサのセットと、各プロセッサは複数の異なる命令セットを受取り、その命令セットの実行を通じて同一の入力データに対し同一の出力データを計算して各出力に伝達し、各プロセッサの出力データから所定の基準に基づいて選んだコマンド信号を伝達するコマンド出力を備えたコマンド選択コンポーネントとを含み、さらに、各プロセッサに関連した命令セットは、全ての命令セットに対して同一の複数の自動システムを、各プロセッサに特有の関連する周期的シーケンスにおいて活性化するシーケンサに従って走らせ、各シーケンサの発生する周期的シーケンスは互いに異なる、ことを特徴とする。
【選択図】図2
【手段】鉄道網向けコマンドを処理するため、並列に配置され対応入力に同一の入力データを受信する複数個のプロセッサのセットと、各プロセッサは複数の異なる命令セットを受取り、その命令セットの実行を通じて同一の入力データに対し同一の出力データを計算して各出力に伝達し、各プロセッサの出力データから所定の基準に基づいて選んだコマンド信号を伝達するコマンド出力を備えたコマンド選択コンポーネントとを含み、さらに、各プロセッサに関連した命令セットは、全ての命令セットに対して同一の複数の自動システムを、各プロセッサに特有の関連する周期的シーケンスにおいて活性化するシーケンサに従って走らせ、各シーケンサの発生する周期的シーケンスは互いに異なる、ことを特徴とする。
【選択図】図2
Description
本発明は、システム、中でも鉄道網システムの安全性を確保する分散制御システムに係り、特に、以下に掲げる特徴を含むタイプの分散制御システムに関するものである。
(i) 鉄道網システム向けに意図されたコマンドを処理するために、対応する入力において同一の入力データEを受信するように並列に配置された、少なくとも2つのプロセッサからなるセット、
(ii) その際、プロセッサの各々は、少なくとも2つの異なる命令セットを受け取り、その命令セットの実行を通じて、同一の入力データEに対して同一の出力データS(P1)、S(P2)、S(P3)を計算し、異なる出力に伝達することができ、
(iii) 各々、プロセッサの出力に接続されている少なくとも2つの入力、及びプロセッサからの出力データから前もって定義した基準に基づいて選ばれたコマンド信号を伝達することができるコマンド出力を備えたコマンド選択コンポーネント。
(i) 鉄道網システム向けに意図されたコマンドを処理するために、対応する入力において同一の入力データEを受信するように並列に配置された、少なくとも2つのプロセッサからなるセット、
(ii) その際、プロセッサの各々は、少なくとも2つの異なる命令セットを受け取り、その命令セットの実行を通じて、同一の入力データEに対して同一の出力データS(P1)、S(P2)、S(P3)を計算し、異なる出力に伝達することができ、
(iii) 各々、プロセッサの出力に接続されている少なくとも2つの入力、及びプロセッサからの出力データから前もって定義した基準に基づいて選ばれたコマンド信号を伝達することができるコマンド出力を備えたコマンド選択コンポーネント。
鉄道網システムは、平面交差システムに接続されたスイッチング・システム、及び交差点の踏切遮断機の遮断警報システム、から成る。
安全上の理由から、鉄道網システムの制御システムは、異なる計算機回路配置を有する処理ブランチを複数持たせる形で分散化できることが知られている。
同じ入力データに基づいて、各処理ブランチは同一のアプリケーション(又は、アプリケーション・アルゴリズム)を、異なる計算様式を使って実行する。
同じ入力データに基づいて、各処理ブランチは同一のアプリケーション(又は、アプリケーション・アルゴリズム)を、異なる計算様式を使って実行する。
各処理ブランチが正確に機能している状況では、各処理ブランチから同一のコマンドが出力として出される。
万一、処理ブランチのうちの1つの回路に誤動作があると、異なるコマンドが生産される。
いくつかの処理ブランチが同時に誤動作する場合にも、一般に異なる計算回路配置を有する処理ブランチの故障モードには相関性が欠如しているので、異なるコマンドが生産される。
複雑なアルゴリズムが使用される場合、この従来の配置は特に有利である。
複雑なアルゴリズムが使用される場合、この従来の配置は特に有利である。
このシステムの安全性を確保する分散制御システムの、良く知られた単純な具体案(implementation)は、物理的な視点からは、各処理ブランチ内に同一のアーキテクチャのプロセッサを提供する形になる。
この良く知られた具体案では、各プロセッサが、異なる関連するコンパイラの言語に依存する異なるソースプログラムから生じる命令セット(又は、オブジェクトプログラム)を実行し、異なるソースプログラムの各々は、同じ入力、同じ出力、及び同じアプリケーション・アルゴリズムによって定義された同じアプリケーションをエミュレートする。
しかしながら、この具体案は物理的な視点からは単純であるが、異なる言語又はコンパイラの数に比例する多数のソフトウェア・コンポーネントの開発を必要とするので、ソフトウェアの視点からは、依然として複雑である。
このような従来のシステムの安全性を確保する分散制御システムで生じる特有の問題は、いくつかのコンパイラ言語を使用するソフトウェア・コンポーネントの開発の複雑さにある。
従って本発明の目的は、システムの安全性を確保する分散制御システムの提供に際して、ソフトウェア・コンポーネントの開発に要するリソースを削減することにある。
この目的に対してなされた本発明による、システムの安全性を確保する分散制御システムは、鉄道網システムの制御システムに関係し、
(i) 鉄道網システム向けに意図されたコマンドを処理するために、対応する入力(10、12、14)において同一の入力データEを受信するように並列に配置された、少なくとも2つのプロセッサ(4、6、8)からなるセットと、
(ii) その際、プロセッサ(4、6、8)の各々は、少なくとも2つの異なる命令セットを受け取り、その命令セットの実行を通じて、同一の入力データEに対して同一の出力データS(P1)、S(P2)、S(P3)を計算し、異なる出力(28、30、32)に伝達することができ、
(iii) 各々、プロセッサ(4、6、8)の出力(28、30、32)に接続されている少なくとも2つの入力(36、38、40)、及びプロセッサ(4、6、8)からの出力データから前もって定義した基準に基づいて選ばれたコマンド信号を伝達することができるコマンド出力(42)を備えたコマンド選択コンポーネント(34)と、
を含み、さらに、
(iv) プロセッサ(4、6、8)の各々に関連した命令セットは、少なくとも2つのモジュラ・アプリケーション自動システム(以下、単に「自動システム」という。 46、48、50、52)を走らせることが可能で、自動システム(46、48、50、52)は、すべての命令セットに対して同一であり、
(v) プロセッサ(4、6、8)の各々に関連した各命令セット(16、18、20)は、自動システム(46、48、50、52)を、各プロセッサに特有の関連する周期的シーケンス(60、70、78)において活性化するシーケンサ(54、56、58)を作成し、そして、
(vi) 各シーケンサ(54、56、58)は、その特定の関連する周期的シーケンス(60、70、78)に関して、他のシーケンサ(各々、56と58、54と58、54と56)と異なる、
ことを特徴とする。
(i) 鉄道網システム向けに意図されたコマンドを処理するために、対応する入力(10、12、14)において同一の入力データEを受信するように並列に配置された、少なくとも2つのプロセッサ(4、6、8)からなるセットと、
(ii) その際、プロセッサ(4、6、8)の各々は、少なくとも2つの異なる命令セットを受け取り、その命令セットの実行を通じて、同一の入力データEに対して同一の出力データS(P1)、S(P2)、S(P3)を計算し、異なる出力(28、30、32)に伝達することができ、
(iii) 各々、プロセッサ(4、6、8)の出力(28、30、32)に接続されている少なくとも2つの入力(36、38、40)、及びプロセッサ(4、6、8)からの出力データから前もって定義した基準に基づいて選ばれたコマンド信号を伝達することができるコマンド出力(42)を備えたコマンド選択コンポーネント(34)と、
を含み、さらに、
(iv) プロセッサ(4、6、8)の各々に関連した命令セットは、少なくとも2つのモジュラ・アプリケーション自動システム(以下、単に「自動システム」という。 46、48、50、52)を走らせることが可能で、自動システム(46、48、50、52)は、すべての命令セットに対して同一であり、
(v) プロセッサ(4、6、8)の各々に関連した各命令セット(16、18、20)は、自動システム(46、48、50、52)を、各プロセッサに特有の関連する周期的シーケンス(60、70、78)において活性化するシーケンサ(54、56、58)を作成し、そして、
(vi) 各シーケンサ(54、56、58)は、その特定の関連する周期的シーケンス(60、70、78)に関して、他のシーケンサ(各々、56と58、54と58、54と56)と異なる、
ことを特徴とする。
特定の実施例によれば、システムの安全性を確保する分散制御システムは、次の各段落のうちの1つ又は複数に記載の特徴を備える。
各シーケンサ(54、56、58)は、自動システム(46、48、50、52)を走らせる互いに異なる周期的シーケンス(60、70、78)に基き、自動システム(46、48、50、52)を活性化し順序付けし、その際、周期的シーケンス(60、70、78)は、同一のサイクル(62)を有し、さらに異なるシーケンス・スタート(64、72)及び異なるパス方向(66、82)の一方又は両方のいずれかを有する。
各シーケンサ(54、56)は、自動システム(46、48、50、52)を走らせる異なる特定の周期的シーケンス(60、70)に基き、自動システム(46、48、50、52)を活性化し順序付けし、その際、周期的シーケンス(60、70)は、同一パス方向(66、74)の同一のサイクル(62)を有する。
請求項4に示す、システムの安全性を確保する分散制御システムの特徴は、詳細に述べると次のようになる。
(i) 自動システム(198、200、202、204、206、208、210、212、214、216)は、少なくとも2つのサブグループ(218、220、222)にグループ化され、
(ii) シーケンサは、第1に、サブグループ間のシーケンス(224)を制御し、
(iii) シーケンサは、第2に、各サブグループ(234、244、254)の内部のシーケンスを制御し、
(iv) その際、各サブグループの内部の自動システムの組合せは、全てのプロセッサに共通であり、一方、サブグループ間のシーケンス及び各サブグループ内部の自動システムのシーケンスは、各プロセッサに特有である。
(i) 自動システム(198、200、202、204、206、208、210、212、214、216)は、少なくとも2つのサブグループ(218、220、222)にグループ化され、
(ii) シーケンサは、第1に、サブグループ間のシーケンス(224)を制御し、
(iii) シーケンサは、第2に、各サブグループ(234、244、254)の内部のシーケンスを制御し、
(iv) その際、各サブグループの内部の自動システムの組合せは、全てのプロセッサに共通であり、一方、サブグループ間のシーケンス及び各サブグループ内部の自動システムのシーケンスは、各プロセッサに特有である。
自動システムのサブグループ(218、220、222)は、すべてのプロセッサ(4、6、8)に対して同一である。
(i) 各自動システム(46、48、50、52)は、自動システム入力(86、88、92、94、100、102、106、108)、及び自動システム出力(90、96、98、104、110)を有し、
(ii) 前記自動システム入力は、それが制御システム(2)への入力データ(E1、E2)の変数アイテムを受信することができる場合、外部入力であり、
(iii) 前記自動システム出力は、それが制御システム(2)からの出力データ(S1、S2、S3)の変数アイテムを伝達することができる場合、外部出力であり、
(iv) 前記自動システム入力及び自動システム出力は、同一の自動システム又は2つの異なる自動システムに対して相互に連結することができ、データ(I1、I2)の変数アイテムを交換することができる場合、内部入出力であり、
(v) 自動システム入力(86、88、92、94、100、102、106、108)、及び自動システム出力(90、96、98、104、110)の変数のセットは、重複を省いた場合、制御システム(2)の状態ベクトル(E1、E2、Il、I2、S1、S2、S3)を形成し、
さらに、
(vi) 制御システム(2)は、各プロセッサ(4、6、8)に対応する一時記憶(22、24、26)を有し、前記一時記憶(22、24、26)は、自動システムのシーケンスが実行される場合の、スタート状態レジスタレジスタ(112)とエンド状態レジスタ(113)を備え、
(a) 前記スタート状態レジスタレジスタ(112)は、自動システムのシーケンスが実行される直前の状態変数のセット(E1、E2、Il、I2、S1、S2、S3)に対する値を含み、
(b) 前記エンド状態レジスタ(113)は、自動システムのシーケンスが実行された直後の状態変数のセット(E1、E2、Il、I2、S1、S2、S3)に対する値を含む。
(ii) 前記自動システム入力は、それが制御システム(2)への入力データ(E1、E2)の変数アイテムを受信することができる場合、外部入力であり、
(iii) 前記自動システム出力は、それが制御システム(2)からの出力データ(S1、S2、S3)の変数アイテムを伝達することができる場合、外部出力であり、
(iv) 前記自動システム入力及び自動システム出力は、同一の自動システム又は2つの異なる自動システムに対して相互に連結することができ、データ(I1、I2)の変数アイテムを交換することができる場合、内部入出力であり、
(v) 自動システム入力(86、88、92、94、100、102、106、108)、及び自動システム出力(90、96、98、104、110)の変数のセットは、重複を省いた場合、制御システム(2)の状態ベクトル(E1、E2、Il、I2、S1、S2、S3)を形成し、
さらに、
(vi) 制御システム(2)は、各プロセッサ(4、6、8)に対応する一時記憶(22、24、26)を有し、前記一時記憶(22、24、26)は、自動システムのシーケンスが実行される場合の、スタート状態レジスタレジスタ(112)とエンド状態レジスタ(113)を備え、
(a) 前記スタート状態レジスタレジスタ(112)は、自動システムのシーケンスが実行される直前の状態変数のセット(E1、E2、Il、I2、S1、S2、S3)に対する値を含み、
(b) 前記エンド状態レジスタ(113)は、自動システムのシーケンスが実行された直後の状態変数のセット(E1、E2、Il、I2、S1、S2、S3)に対する値を含む。
各プロセッサ(4、6、8)は、シーケンス(60、70、78)が実行されている期間において、スタート状態レジスタレジスタ(112)に対しては単に読み出すことができるだけであり、エンド状態レジスタ(113)に対しては単に書き込むことができるだけである。
(i) 各プロセッサ(4、6、8)については、一旦シーケンスが実行され始めると、シーケンス用のスタート状態レジスタ(112)は単に書き込まれることができ、エンド状態レジスタ(113)に存在する状態変数の値によってリフレッシュすることができ、
さらに、
(ii) 少なくとも2つの関連する状態レジスタ(112、113)の状態変数の値が同一になるまで、各プロセッサ(4、6、8)は、自動システムのシーケンスを繰り返し実行することができる。
さらに、
(ii) 少なくとも2つの関連する状態レジスタ(112、113)の状態変数の値が同一になるまで、各プロセッサ(4、6、8)は、自動システムのシーケンスを繰り返し実行することができる。
各プロセッサ(4、6、8)は、そのプロセッサにロードすることができる1セットのプロセッサ命令を含むプログラム・データベース(16、18、20)を備え、そのプロセッサに関連するシーケンサ(54、56、58)によって命じられたシーケンスに従い、自動システム(46、48、50、52)のシーケンスを実行することができる。
各プログラム・データベース(16、18、20)は、同一のコンパイラを使用して得られた1セットの命令から成る。
コマンド選択コンポーネント(34)は、全てのプロセッサ(4、6、8)から生じる出力データ(S(P1)、S(P2)、S(P3))から多数決ベースで決定するものであり、
前記コマンド選択コンポーネントは、各プロセッサ(4、6、8)の出力から生じる出力データを比較して、予め定義した多数決基準に基づき、プロセッサのセットに関して多数決ベースで共通の出力データを送信することができる。
前記コマンド選択コンポーネントは、各プロセッサ(4、6、8)の出力から生じる出力データを比較して、予め定義した多数決基準に基づき、プロセッサのセットに関して多数決ベースで共通の出力データを送信することができる。
コマンド選択コンポーネント(34)は、全数一致ベースで決定するものである。
前記制御システム(2)が、安全性鉄道網システムを制御することができる。
この目的に対してなされた本発明による、システムの安全性を確保する制御プロセスは、次の各段階:
(i) 少なくとも2つのプロセッサ(4、6、8)に、プログラム・データ・ベース(16、18、20)から、異なる命令セットをロードする段階、
(ii) それぞれの入力(10、12、14)を介して、並列に配置されたプロセッサ(4、6、8)に同一の入力データ(E)を供給する段階、
(iii) 各プロセッサ(4、6、8)に、それに関連した異なる命令のセットを実行させ、同一の入力データEに基づいて、同一の出力データ(S(P1)、S(P2)、S(P3))を計算し、それぞれの出力(28、30、32)に伝達することができるようにする段階であって、次のサブ段階から成る段階:
(a) 少なくとも2つの、各命令セットに対して同一の自動システム(46、48、50、52)を、他の命令セットに対するシーケンスとは異なる、特定のシーケンスに従い実行させるサブ段階、
(b) シーケンスを実行した後に得られた出力データS(P1)、S(P2)、S(P3)を抽出するサブ段階、
(c) 出力データをコマンド選択コンポーネントに伝達するサブ段階、
(iv) 特定の選択基準に基づいて、プロセッサ(4、6、8)から生じた出力データS(P1)、S(P2)、S(P3)のうちから1つを選択してコマンド信号とする段階、
を含むことを特徴とする。
(i) 少なくとも2つのプロセッサ(4、6、8)に、プログラム・データ・ベース(16、18、20)から、異なる命令セットをロードする段階、
(ii) それぞれの入力(10、12、14)を介して、並列に配置されたプロセッサ(4、6、8)に同一の入力データ(E)を供給する段階、
(iii) 各プロセッサ(4、6、8)に、それに関連した異なる命令のセットを実行させ、同一の入力データEに基づいて、同一の出力データ(S(P1)、S(P2)、S(P3))を計算し、それぞれの出力(28、30、32)に伝達することができるようにする段階であって、次のサブ段階から成る段階:
(a) 少なくとも2つの、各命令セットに対して同一の自動システム(46、48、50、52)を、他の命令セットに対するシーケンスとは異なる、特定のシーケンスに従い実行させるサブ段階、
(b) シーケンスを実行した後に得られた出力データS(P1)、S(P2)、S(P3)を抽出するサブ段階、
(c) 出力データをコマンド選択コンポーネントに伝達するサブ段階、
(iv) 特定の選択基準に基づいて、プロセッサ(4、6、8)から生じた出力データS(P1)、S(P2)、S(P3)のうちから1つを選択してコマンド信号とする段階、
を含むことを特徴とする。
特定の実施例によれば、システムの安全性を確保する制御プロセスは、さらに次の段階:
(i) 前記選択基準に基づいて、複数の出力データ(S(P1)、S(P2)、S(P3))から出る前記コマンドの送信を有効とするか、又は禁止する段階、
(ii) 禁止の場合には、少なくとも1つのプロセッサ(4、6、8)のフォールト(誤動作)の存在を発信する(196)段階、
を含む。
(i) 前記選択基準に基づいて、複数の出力データ(S(P1)、S(P2)、S(P3))から出る前記コマンドの送信を有効とするか、又は禁止する段階、
(ii) 禁止の場合には、少なくとも1つのプロセッサ(4、6、8)のフォールト(誤動作)の存在を発信する(196)段階、
を含む。
このようにして、モジュラ・アプリケーション自動システムを異なる特有の順序で働かせることによって形成された相異なる命令セットは、同一のアーキテクチャを有するプロセッサの各々において、異なる回路活性化シーケンスを使用することを可能にし、そのシーケンスはプロセッサの一般的なアーキテクチャの範囲で規定可能なものである。
従って第一に、得られた異なる命令セットは、鉄道網の安全上の制約によって制御システムに課せられた分散化の要請を満たす。
従って第一に、得られた異なる命令セットは、鉄道網の安全上の制約によって制御システムに課せられた分散化の要請を満たす。
更に、1つのソフトウェア開発プラットフォームだけを使用することができるので、これらの異なる命令セットを処理する過程を具体化(implement)することは簡単である。
事実、単一のコンパイラを使用するアプリケーション・モジュールの開発リソースは、それらのアプリケーション・モジュールを、ある処理ブランチから別の処理ブランチに好便に再利用することができるので、削減できる。
事実、単一のコンパイラを使用するアプリケーション・モジュールの開発リソースは、それらのアプリケーション・モジュールを、ある処理ブランチから別の処理ブランチに好便に再利用することができるので、削減できる。
本発明は、純粋に例示を目的として提供された以下の記述を、添付された図面を参照しながら読むことにより、より良い理解が得られるであろう。
図1に示す「システムの安全性を確保する分散制御システム」(以下、単に「制御システム」とする)2は、3つの計算システム又は処理システムから成り、各々は、第1のプロセッサ4、P1、第2のプロセッサ6、P2、第3のプロセッサ8、P3を含む。
各プロセッサ4、6、8は、関連する入力10、12、14を通じて前もって定義した鉄道網システム9から生じる同一の入力データを受信する。
各プロセッサ4、6、8は、特定の計算プログラム、即ち、各プロセッサが接続された関連するプログラム・データベース16、18、20からロードした命令セット、をそれぞれ実行する。
各プロセッサ4、6、8は、関連する一時記憶22、24、26と、ワーキングデータを交換することができる。
各プロセッサ4、6、8は、処理後に出力データS(P1)、S(P2)、S(P3)を伝達できる関連する出力28、30、32を備える。
制御システム2は、さらに、本実施例では3つの入力36、38、40を有するコマンド選択コンポーネント34を備える。
各入力36、38、40は、各々、プロセッサ4、6、8、即ち、P1、P2、P3から生じた出力信号S(P1)、S(P2)、S(P3)を受信することができる。
各入力36、38、40は、各々、プロセッサ4、6、8、即ち、P1、P2、P3から生じた出力信号S(P1)、S(P2)、S(P3)を受信することができる。
コマンド選択コンポーネント34は、コマンド受信ターミナル44に接続される出力42を備える。
本実施例における、各々プロセッサ4、6、8に関連したプログラム・データベース16、18、20の構造的内容を、図2(A)、2(B)、2(C)にそれぞれ示す。
第1のプロセッサP1に関連した第1のプログラム・データベース16は、自動システム46、48、50、52のセット、A、B、C、Dと、第1のシーケンサ54、Seq1を含み、自動システムは、第1シーケンスではA、B、C、Dの順に順序付けられ、第1のシーケンサは、自動システムの作動シーケンスがこの順になるように制御する。
第2のプロセッサP2に関連した第2のプログラム・データベース18は、同一の自動システム46、48、50、52のセット、A、B、C、Dと、第2のシーケンサ56、Seq2を含み、自動システムは、第2シーケンスではC、D、A、Bの順に順序付けられ、第2のシーケンサは、自動システムの作動シーケンスがこの順になるように制御する。
第3のプロセッサP3に関連した第3のプログラム・データベース20は、同一の自動システム46、48、50、52のセット、A、B、C、Dと、第3のシーケンサ58、Seq3を含み、自動システムは、第3シーケンスではD、C、B、Aの順に順序付けられ、第3のシーケンサは、自動システムの作動シーケンスがこの順になるように制御する。
各プログラム・データベースにおけるある与えられたアプリケーションに対応する自動システムは、ある与えられたソース・コード及び同一のコンパイラから生成される限りでは、同一である。
各データベースにおける自動システムは全て同一のコンパイラを使用して生成される。
シーケンサSeq1、Seq2及びSeq3によって具体化された第1、第2及び第3のシーケンスは、図3(A)、3(B)、3(C)にそれぞれ記述される。
シーケンス60、70、78は各々、同一の与えられたサイクル62から形成され、シーケンス・スタート64、72、80を備え、シーケンス・スタートはここでは各々、図3(A)のA、図3(B)のC、及び図3(C)のDである。
シーケンス60、70、78は各々、パス方向66、74、82に従い実行され、パス方向はここでは各々、図3(A)の右回り方向66、図3(B)の右回り方向74、及び図3(C)の左回り方向82である。
シーケンス・エンド68、76、84は各々、シーケンス・スタート64、72、80からスタートするシーケンス60、70、78に起因し、シーケンス60、70、78の各々に対応し、シーケンス・エンドはここでは各々、図3(A)のD、図3(B)のB、及び図3(C)のAである。
シーケンス60、70、78は各々、同一の与えられたサイクル62から形成され、シーケンス・スタート64、72、80を備え、シーケンス・スタートはここでは各々、図3(A)のA、図3(B)のC、及び図3(C)のDである。
シーケンス60、70、78は各々、パス方向66、74、82に従い実行され、パス方向はここでは各々、図3(A)の右回り方向66、図3(B)の右回り方向74、及び図3(C)の左回り方向82である。
シーケンス・エンド68、76、84は各々、シーケンス・スタート64、72、80からスタートするシーケンス60、70、78に起因し、シーケンス60、70、78の各々に対応し、シーケンス・エンドはここでは各々、図3(A)のD、図3(B)のB、及び図3(C)のAである。
図4(A)は、モジュラ・アプリケーション用を意図した自動システムのセットを示す。
ここで、自動システムAはルート・モデルをシミュレートし、自動システムBは平面交差モデルをシミュレートするために用いられ、自動システムCは公報モデルをシミュレートし、自動システムDはスイッチング・モデルを再生する。
ここで、自動システムAはルート・モデルをシミュレートし、自動システムBは平面交差モデルをシミュレートするために用いられ、自動システムCは公報モデルをシミュレートし、自動システムDはスイッチング・モデルを再生する。
自動システムAは2つの入力信号E1、E2を、鉄道網システム9から、2つの入力86、88で受信し、第1の内部信号Ilを出力90に提供する。
自動システムBは2つの入力92、94を有し、各々第1の入力信号I1と鉄道網システム9からの第1の入力信号Elを受信する。
自動システムBも、各々第2の内部信号I2と第1の外部出力信号S1を提供する2つの出力96、98を備える。
自動システムBも、各々第2の内部信号I2と第1の外部出力信号S1を提供する2つの出力96、98を備える。
自動システムCは、第2の内部信号I2と第1の外部入力信号E1を、2つの入力100、102でそれぞれ受信する。
自動システムCは出力104に第2の外部出力信号S2を伝達する。
自動システムCは出力104に第2の外部出力信号S2を伝達する。
自動システムDは、第1の外部入力信号E1と第2の外部入力信号E2を、2つの入力106、108で受信する。
自動システムDは単一の出力110に第3の外部出力信号S3を伝達する。
自動システムDは単一の出力110に第3の外部出力信号S3を伝達する。
ここで、第1の外部入力信号E1は現在時刻であり、一方、第2の外部入力信号E2は、鉄道位置マークの通過指標である。
また、第1の内部信号Ilは平面交差で予期される交差時刻に相当し、第2の内部信号I2は計算された公報コマンド時刻に相当する。
また、第1の内部信号Ilは平面交差で予期される交差時刻に相当し、第2の内部信号I2は計算された公報コマンド時刻に相当する。
第1の外部出力信号S1は平面交差で遮断機を降ろすコマンドであり、第2の外部出力信号S2は平面交差の遮断を公報するコマンドであり、他方、第3の外部出力信号S3はスイッチング・コマンドである。
一時記憶22、24、26は各々プロセッサP1、P2、P3に関連していて、それぞれ、スタート状態レジスタ112及びエンド状態レジスタ113を有し、それらのフォームは図4(B)及び4(C)にそれぞれ示すとおりであり、プロセッサP1、P2、P3に共通である。
図4(B)及び4(C)に示すレジスタに記憶されたデータのセットは、対応する状態ベクトルを表わす。
図4(B)に示すスタート状態レジスタ112は、7つのコンポーネント114、116、118、120、122、124、126を有し、3つのグループに細分される。
即ち、114、116からなる第1のグループEには、2つの外部入力信号E1、E2が記憶され、118、120からなる第2のグループI(Pi)には、2つの内部信号Il(Pi)、I2(Pi)が記憶され、そして、122、124、126からなる第3のグループS(Pi)には、3つの外部出力信号S1(Pi)、S2(Pi)、S3(Pi)が記憶される。
(「(Pi)」は、ここでは(P1)、(P2)、(P3)のいずれかに相当し、どのプロセッサに所属するかを表す。)
図4(B)に示すスタート状態レジスタ112は、7つのコンポーネント114、116、118、120、122、124、126を有し、3つのグループに細分される。
即ち、114、116からなる第1のグループEには、2つの外部入力信号E1、E2が記憶され、118、120からなる第2のグループI(Pi)には、2つの内部信号Il(Pi)、I2(Pi)が記憶され、そして、122、124、126からなる第3のグループS(Pi)には、3つの外部出力信号S1(Pi)、S2(Pi)、S3(Pi)が記憶される。
(「(Pi)」は、ここでは(P1)、(P2)、(P3)のいずれかに相当し、どのプロセッサに所属するかを表す。)
エンド状態レジスタ113もまた、スタート状態レジスタ112のコンポーネント114、116、118、120、122、124、126に類似した、7つのコンポーネント130、132、134、136、138、140、142を有する。
制御システムの動作は、図5のフローチャートによって記述され、それはプロセッサP1、P2及びP3によって具体化される。
第1ステージ144では、鉄道網システム9は共通の方法で、プロセッサP1、P2、及びP3の各々に同じ入力データEを送り、プロセッサは各々対応する処理146、148及び150を実行する。
処理146の初期段階152では、第1のプロセッサP1はスタート状態レジスタ112を初期化する。それは、図5の初期段階152において、プロセッサP1の状態ベクトルV1−dsをV0に等しくセットすることで示される。
その後、プロセッサP1は、図3(A)に示したように、第1のプロセッサP1に関係している、第1のシーケンスに従って、自動システムA上で第1段階154、次にB上で第2段階156、次にC上で第3段階158、次にD上で第4段階160を実行する。
処理146の初期段階152では、第1のプロセッサP1はスタート状態レジスタ112を初期化する。それは、図5の初期段階152において、プロセッサP1の状態ベクトルV1−dsをV0に等しくセットすることで示される。
その後、プロセッサP1は、図3(A)に示したように、第1のプロセッサP1に関係している、第1のシーケンスに従って、自動システムA上で第1段階154、次にB上で第2段階156、次にC上で第3段階158、次にD上で第4段階160を実行する。
上記のシーケンスの終了後、段階162では、自動システムA、B、C、Dの各々から得られた内部信号データの組I(P1)、外部出力信号データの組S(P1)を、外部入力信号データの組Eと合わせて状態ベクトルV1−fsを形成し、エンド状態レジスタ113に記憶させる。
続くテスト段階164では、スタート状態レジスタレジスタ112内の状態ベクトルV1−dsが、エンド状態レジスタ113内の状態ベクトルV1−fsと比較される。
状態ベクトルV1−dsとV1−fsが等しくない場合、段階166中に示すように、スタート状態レジスタ112をエンド状態レジスタ113の状態ベクトルV1−fsによりリフレッシュした後、第1のシーケンス154〜160、即ち、A、B、C、Dが再実行される。
2つの状態レジスタ112と113が同一の状態ベクトルを持つ場合、即ち、V1−dsがV1−fsに等しい場合、段階170中で、出力データ(状態ベクトルの第3グループ・コンポーネントS(P1))が抽出される。
2つの状態レジスタ112と113が同一の状態ベクトルを持つ場合、即ち、V1−dsがV1−fsに等しい場合、段階170中で、出力データ(状態ベクトルの第3グループ・コンポーネントS(P1))が抽出される。
第2のプロセッサP2による処理148は、自動システムの走る順序を除いて第1のプロセッサP1による処理146に似ている。
従って、処理のスタートでは、スタート状態レジスタを初期化する段階172が実行される。即ち、プロセッサP2の状態ベクトルV2−dsはV0にセットされる。
しかしながら、それに続くシーケンスは図3(B)に示す第2のシーケンスであるので、処理146と異なる形で実行される、即ち、C、D、A、Bのシーケンスである。
従って、処理のスタートでは、スタート状態レジスタを初期化する段階172が実行される。即ち、プロセッサP2の状態ベクトルV2−dsはV0にセットされる。
しかしながら、それに続くシーケンスは図3(B)に示す第2のシーケンスであるので、処理146と異なる形で実行される、即ち、C、D、A、Bのシーケンスである。
スタート及びエンド状態レジスタ内の2つの状態ベクトルV2−ds、V2−fsを比較するテスト段階176は同様に実行され、テスト結果が否定的である(即ち、2つの状態ベクトルが等しくない)限り、リフレッシュ段階178を経て第2のシーケンスが繰り返される。
テスト結果が肯定的である(即ち、2つの状態ベクトルが等しい)場合、段階180中で、出力データS(P2)が抽出される。
同様に、第3のプロセッサP3による処理150も、自動システムの実行順序を除いて第1及び第2のプロセッサP1、P2による処理146、148に似ている。
スタート状態レジスタ112を初期化する段階182も実行される。
自動システムのシーケンスは、図3(C)に示した第3のシーケンス、即ちD、C、B、Aのシーケンス、で実行される。
自動システムのシーケンスは、図3(C)に示した第3のシーケンス、即ちD、C、B、Aのシーケンス、で実行される。
同様に段階184で、状態ベクトルV3−fsがエンド状態レジスタ113に供給される。
同様のテスト段階186が実行され、プロセッサP3の、スタート状態レジスタ112内の状態ベクトルV3−dsが、エンド状態レジスタ113内の状態ベクトルV3−fsと比較される。
テスト結果が肯定的になるまで、この手順は繰り返し実行される。
同様のテスト段階186が実行され、プロセッサP3の、スタート状態レジスタ112内の状態ベクトルV3−dsが、エンド状態レジスタ113内の状態ベクトルV3−fsと比較される。
テスト結果が肯定的になるまで、この手順は繰り返し実行される。
テスト結果が否定的な場合、段階188で、エンド状態レジスタ113はスタート状態レジスタ112をリフレッシュする。
テスト結果が肯定的な場合、段階186で、第3のプロセッサP3から出力データS(P3)は抽出される。
出力データS(P1)、S(P2)、S(P3)は各々、プロセッサP1、P2、P3からコマンド選択コンポーネント34へ送られる。
コマンド選択段階192では、プロセッサの各々からの出力データが比較される。
テスト結果が肯定的な場合、段階186で、第3のプロセッサP3から出力データS(P3)は抽出される。
出力データS(P1)、S(P2)、S(P3)は各々、プロセッサP1、P2、P3からコマンド選択コンポーネント34へ送られる。
コマンド選択段階192では、プロセッサの各々からの出力データが比較される。
出力データが全て等しい場合、段階194で、出力コマンドCは、S(P1)=S(P2)=S(P3)の共通の値に等しくセットされ、有効とされ、鉄道網システム9に属するコマンド受信ターミナル44へ送信される。
これらのデータのうちの1つが異なる場合、段階196で、制御システム内での誤動作を警告する信号が(鉄道網システム9に向かって)与えられる。
「全数一致ベースの決定」がコマンド選択コンポーネント34に採用される場合、出力コマンドCは出されない。
「多数決ベースの決定」がコマンド選択コンポーネント34に採用され、かつ、3つのプロセッサのうちの2つからの出力データが一致する場合、一致した値にセットされた出力コマンドCが、通常何らかの警告付きで出される。
「全数一致ベースの決定」がコマンド選択コンポーネント34に採用される場合、出力コマンドCは出されない。
「多数決ベースの決定」がコマンド選択コンポーネント34に採用され、かつ、3つのプロセッサのうちの2つからの出力データが一致する場合、一致した値にセットされた出力コマンドCが、通常何らかの警告付きで出される。
変形として、第2の実施例に係るプログラム・データベースによる、自動システム198、200、202、204、206、208、210、212、214、216からなるセットを用いて形成されたシーケンスが、図6(A)、6(B)、6(C)、6(D)、及び6(E)を一括した形で示される。
ここでは制御システム(2)に含まれる複数のプロセッサのうち、単一のプロセッサだけを考察する。
プロセッサに関連するシーケンサは、プロセッサに属する自動システムのセットに対して以下のように働く。
ここでは制御システム(2)に含まれる複数のプロセッサのうち、単一のプロセッサだけを考察する。
プロセッサに関連するシーケンサは、プロセッサに属する自動システムのセットに対して以下のように働く。
図6(A)では、これらの自動システムが、P、Q、R、S、T、U、V、W、X、Y、Zとして識別され、参照される。
自動システムのセット、198、200、202、204、206、208、210、212、214、216は、3つのサブグループ218、220、222に細分され、各々、SG1、SG2、SG3と名づけられる。
第1のサブグループ218(SG1)は自動システムP、Q、Rから成り、第2のサブグループ220(SG2)は自動システムS、T、V、Wから成り、第3のサブグループ222(SG3)は自動システムX、Y、Zから成る。
第1のサブグループ218(SG1)は自動システムP、Q、Rから成り、第2のサブグループ220(SG2)は自動システムS、T、V、Wから成り、第3のサブグループ222(SG3)は自動システムX、Y、Zから成る。
サブグループ群のためのシーケンス224は、サブグループSG1、SG2、SG3によって形成されたサイクル226に基づいた図6(B)に示される。
シーケンス・スタート228は、ここではSG1に割り当てられ、パス方向230は、ここでは右回りに割り当てられ、そして、シーケンス・エンド232は、ここではSG3に割り当てられる。
シーケンス・スタート228は、ここではSG1に割り当てられ、パス方向230は、ここでは右回りに割り当てられ、そして、シーケンス・エンド232は、ここではSG3に割り当てられる。
第1のサブグループSG1のためのシーケンス234は図6(C)に示される。
シーケンス234は、ここではP、Q、Rと命名された自動システム198、200、202のサイクル236によって形成され、ここでは、自動システムQをシーケンス・スタート238とし、右回りをラン方向240とし、そして自動システムPをシーケンス・エンド242とする。
シーケンス234は、ここではP、Q、Rと命名された自動システム198、200、202のサイクル236によって形成され、ここでは、自動システムQをシーケンス・スタート238とし、右回りをラン方向240とし、そして自動システムPをシーケンス・エンド242とする。
第2のサブグループSG2のためのシーケンス244は図6(D)に示される。
シーケンス244は、ここではS、T、V、Wと命名された自動システム204、206、208、210のサイクル246によって形成され、ここでは、自動システムSをシーケンス・スタート248とし、右回りをラン方向250とし、そして自動システムWをシーケンス・エンド252とする。
シーケンス244は、ここではS、T、V、Wと命名された自動システム204、206、208、210のサイクル246によって形成され、ここでは、自動システムSをシーケンス・スタート248とし、右回りをラン方向250とし、そして自動システムWをシーケンス・エンド252とする。
最後に、第3のサブグループSG3のためのシーケンス254は図6(E)に示される。
シーケンス254は、ここではX、Y、Zと命名された自動システム212、214、216のサイクル256によって形成され、ここでは、自動システムZをシーケンス・スタート258とし、左回りをラン方向260とし、そして自動システムXをシーケンス・エンド262とする。
このようにして得られた自動システムの全体シーケンスは、各々、サブグループSG1、SG2、SG3に対する部分的なシーケンス234、244、254を、シーケンス224に従って連鎖して形成される。
シーケンス254は、ここではX、Y、Zと命名された自動システム212、214、216のサイクル256によって形成され、ここでは、自動システムZをシーケンス・スタート258とし、左回りをラン方向260とし、そして自動システムXをシーケンス・エンド262とする。
このようにして得られた自動システムの全体シーケンスは、各々、サブグループSG1、SG2、SG3に対する部分的なシーケンス234、244、254を、シーケンス224に従って連鎖して形成される。
従って、本実施例のこの場合に示された自動システムのシーケンスは、Q、R、P、S、T、V、W、Z、Y、X.となる。
他のプロセッサ用の異なるシーケンスは、自動システムP、Q、R、S、T、V、W、X、Y、Zのサブグループの同じ組み合わせを使用して、容易に設計できる。
他のプロセッサ用の異なるシーケンスは、自動システムP、Q、R、S、T、V、W、X、Y、Zのサブグループの同じ組み合わせを使用して、容易に設計できる。
このようにして、モジュラ・アプリケーション自動システムを異なる特有の順序で働かせることによって形成された相異なる命令セットは、同一のアーキテクチャを有するプロセッサの各々において、異なる回路活性化シーケンスを使用することを可能にし、そのシーケンスはプロセッサの一般的なアーキテクチャの範囲で規定可能なものである。
従って第一に、得られた異なる命令セットは、鉄道網の安全上の制約によって制御システムに課せられた分散化の要請を満たす。
更に、1つのソフトウェア開発プラットフォームだけを使用することができるので、これらの異なる命令セットを処理する過程を具体化(implement)することは簡単である。
事実、単一のコンパイラを使用するアプリケーション・モジュールの開発リソースは、それらのアプリケーション・モジュールを、ある処理ブランチから別の処理ブランチに好便に再利用することができるので、削減できる。
上述の実施例に係るシステムの安全性を確保する分散制御システムは、本質的な修正をすることなく、別の実施例として、航空機又は宇宙船の内蔵システム等に対して、あるいは原子核装置中で使用される保護又は緊急停止システムに対して適用することができる。
上述のシステムの安全性を確保する分散制御システムは、さらに別の実施例として、全ての、安全性を極度に追求したソフトウェア設計により安全性を確保するシステムに対して適用することができる。
2 制御システム(=システムの安全性を確保する分散制御システム)、
4、6、8 プロセッサ、
9 鉄道網システム
10、12、14 プロセッサの入力、
16、18、20 命令セット(=プログラム・データベース)、
22、24、26 一時記憶、
28、30、32 プロセッサの出力、
34 コマンド選択コンポーネント、
36、38、40 コマンド選択コンポーネントの入力、
42 コマンド選択コンポーネントの出力、
44 コマンド受信ターミナル、
46、48、50、52 モジュラ・アプリケーション自動システム(=自動システム)、
54、56、58 シーケンサ、
60、70、78 周期的シーケンス、
62 サイクル、
64、72、80 シーケンス・スタート、
66、74、82 パス方向、
68、76、84 シーケンス・エンド、
86、88、92、94、100、102、106、108 自動システム入力、
90、96、98、104、110 自動システム出力、
112 スタート状態レジスタ、
113 エンド状態レジスタ、
114、116、118、120、122、124、126 スタート状態レジスタのコンポーネント、
130、132、134、136、138、140、142 エンド状態レジスタのコンポーネント、
198、200、202、204、206、208、210、212、214、216 自動システム(=モジュラ・アプリケーション自動システム)、
218、220、222 自動システムのサブグループ、
224、234、244、254 周期的シーケンス、
226、236、246、256 サイクル、
228、238、248、258 シーケンス・スタート、
230、240、250、260 ラン方向、
232、242、252、262 シーケンス・エンド。
4、6、8 プロセッサ、
9 鉄道網システム
10、12、14 プロセッサの入力、
16、18、20 命令セット(=プログラム・データベース)、
22、24、26 一時記憶、
28、30、32 プロセッサの出力、
34 コマンド選択コンポーネント、
36、38、40 コマンド選択コンポーネントの入力、
42 コマンド選択コンポーネントの出力、
44 コマンド受信ターミナル、
46、48、50、52 モジュラ・アプリケーション自動システム(=自動システム)、
54、56、58 シーケンサ、
60、70、78 周期的シーケンス、
62 サイクル、
64、72、80 シーケンス・スタート、
66、74、82 パス方向、
68、76、84 シーケンス・エンド、
86、88、92、94、100、102、106、108 自動システム入力、
90、96、98、104、110 自動システム出力、
112 スタート状態レジスタ、
113 エンド状態レジスタ、
114、116、118、120、122、124、126 スタート状態レジスタのコンポーネント、
130、132、134、136、138、140、142 エンド状態レジスタのコンポーネント、
198、200、202、204、206、208、210、212、214、216 自動システム(=モジュラ・アプリケーション自動システム)、
218、220、222 自動システムのサブグループ、
224、234、244、254 周期的シーケンス、
226、236、246、256 サイクル、
228、238、248、258 シーケンス・スタート、
230、240、250、260 ラン方向、
232、242、252、262 シーケンス・エンド。
Claims (15)
- システムの安全性を確保する分散制御システム(2)であって、
(i) 鉄道網システム向けに意図されたコマンドを処理するために、対応する入力(10、12、14)において同一の入力データEを受信するように並列に配置された、少なくとも2つのプロセッサ(4、6、8)からなるセットと、
(ii) その際、プロセッサ(4、6、8)の各々は、少なくとも2つの異なる命令セットを受け取り、その命令セットの実行を通じて、同一の入力データEに対して同一の出力データS(P1)、S(P2)、S(P3)を計算し、異なる出力(28、30、32)に伝達することができ、
(iii) 各々、プロセッサ(4、6、8)の出力(28、30、32)に接続されている少なくとも2つの入力(36、38、40)、及びプロセッサ(4、6、8)からの出力データから前もって定義した基準に基づいて選ばれたコマンド信号を伝達することができるコマンド出力(42)を備えたコマンド選択コンポーネント(34)と、
を含み、さらに、
(iv) プロセッサ(4、6、8)の各々に関連した命令セットは、少なくとも2つのモジュラ・アプリケーション自動システム(以下、単に「自動システム」という。 46、48、50、52)を走らせることが可能で、自動システム(46、48、50、52)は、すべての命令セットに対して同一であり、
(v) プロセッサ(4、6、8)の各々に関連した各命令セット(16、18、20)は、自動システム(46、48、50、52)を、各プロセッサに特有の関連する周期的シーケンス(60、70、78)において活性化するシーケンサ(54、56、58)を作成し、そして、
(vi) 各シーケンサ(54、56、58)は、その特定の関連する周期的シーケンス(60、70、78)に関して、他のシーケンサ(各々、56と58、54と58、54と56)と異なる、
ことを特徴とするシステムの安全性を確保する分散制御システム。 - 各シーケンサ(54、56、58)は、自動システム(46、48、50、52)を走らせる互いに異なる周期的シーケンス(60、70、78)に基き、自動システム(46、48、50、52)を活性化し順序付けし、その際、周期的シーケンス(60、70、78)は、同一のサイクル(62)を有し、さらに異なるシーケンス・スタート(64、72)及び異なるパス方向(66、82)の一方又は両方のいずれかを有する、
ことを特徴とする請求項1に記載のシステムの安全性を確保する分散制御システム。 - 各シーケンサ(54、56)は、自動システム(46、48、50、52)を走らせる異なる特定の周期的シーケンス(60、70)に基き、自動システム(46、48、50、52)を活性化し順序付けし、その際、周期的シーケンス(60、70)は、同一パス方向(66、74)の同一のサイクル(62)を有する、
ことを特徴とする請求項2に記載のシステムの安全性を確保する分散制御システム。 - 各シーケンサは、一連の部分的シーケンス(234、244、254)から形成された、互いに異なる周期的シーケンス(224)に基き、自動システムを順序付けし、その際、各部分的シーケンス(234、244、254)は、制御システム(2)における自動システムのセット(198、200、202、204、206、208、210、212、214、216)を細分するサブグループ(218、220、222)の各々に属する自動システムから構成される、
ことを特徴とする請求項1に記載のシステムの安全性を確保する分散制御システム。 - 自動システムのサブグループ(218、220、222)は、すべてのプロセッサ(4、6、8)に対して同一である、
ことを特徴とする請求項4に記載のシステムの安全性を確保する分散制御システム。 - システムの安全性を確保する分散制御システムであって、
(i) 各自動システム(46、48、50、52)は、自動システム入力(86、88、92、94、100、102、106、108)、及び自動システム出力(90、96、98、104、110)を有し、
(ii) 前記自動システム入力は、それが制御システム(2)への入力データ(E1、E2)の変数アイテムを受信することができる場合、外部入力であり、
(iii) 前記自動システム出力は、それが制御システム(2)からの出力データ(S1、S2、S3)の変数アイテムを伝達することができる場合、外部出力であり、
(iv) 前記自動システム入力及び自動システム出力は、同一の自動システム又は2つの異なる自動システムに対して相互に連結することができ、データ(I1、I2)の変数アイテムを交換することができる場合、内部入出力であり、
(v) 自動システム入力(86、88、92、94、100、102、106、108)、及び自動システム出力(90、96、98、104、110)の変数のセットは、重複を省いた場合、制御システム(2)の状態ベクトル(E1、E2、Il、I2、S1、S2、S3)を形成し、
さらに、
(vi) 制御システム(2)は、各プロセッサ(4、6、8)に対応する一時記憶(22、24、26)を有し、前記一時記憶(22、24、26)は、自動システムのシーケンスが実行される場合の、スタート状態レジスタレジスタ(112)とエンド状態レジスタ(113)を備え、
(a) 前記スタート状態レジスタレジスタ(112)は、自動システムのシーケンスが実行される直前の状態変数のセット(E1、E2、Il、I2、S1、S2、S3)に対する値を含み、
(b) 前記エンド状態レジスタ(113)は、自動システムのシーケンスが実行された直後の状態変数のセット(E1、E2、Il、I2、S1、S2、S3)に対する値を含む、
ことを特徴とする請求項1ないし5のいずれかに記載のシステムの安全性を確保する分散制御システム。 - 各プロセッサ(4、6、8)は、シーケンス(60、70、78)が実行されている期間において、スタート状態レジスタレジスタ(112)に対しては単に読み出すことができるだけであり、エンド状態レジスタ(113)に対しては単に書き込むことができるだけである、
ことを特徴とする請求項6に記載のシステムの安全性を確保する分散制御システム。 - (i) 各プロセッサ(4、6、8)については、一旦シーケンスが実行され始めると、シーケンス用のスタート状態レジスタ(112)は単に書き込まれることができ、エンド状態レジスタ(113)に存在する状態変数の値によってリフレッシュすることができ、
さらに、
(ii) 少なくとも2つの関連する状態レジスタ(112、113)の状態変数の値が同一になるまで、各プロセッサ(4、6、8)は、自動システムのシーケンスを繰り返し実行することができる、
ことを特徴とする請求項7に記載のシステムの安全性を確保する分散制御システム。 - 各プロセッサ(4、6、8)は、そのプロセッサにロードすることができる1セットのプロセッサ命令を含むプログラム・データベース(16、18、20)を備え、そのプロセッサに関連するシーケンサ(54、56、58)によって命じられたシーケンスに従い、自動システム(46、48、50、52)のシーケンスを実行することができる、
ことを特徴とする請求項1ないし8のいずれかに記載のシステムの安全性を確保する分散制御システム。 - 各プログラム・データベース(16、18、20)は、同一のコンパイラを使用して得られた1セットの命令から成る。
ことを特徴とする請求項9に記載のシステムの安全性を確保する分散制御システム。 - コマンド選択コンポーネント(34)は、全てのプロセッサ(4、6、8)から生じる出力データ(S(P1)、S(P2)、S(P3))から多数決ベースで決定するものであり、
前記コマンド選択コンポーネントは、各プロセッサ(4、6、8)の出力から生じる出力データを比較して、予め定義した多数決基準に基づき、プロセッサのセットに関して多数決ベースで共通の出力データを送信することができる、
ことを特徴とする請求項1ないし10のいずれかに記載のシステムの安全性を確保する分散制御システム。 - コマンド選択コンポーネント(34)は、全数一致ベースで決定するものである、
ことを特徴とする請求項11に記載のシステムの安全性を確保する分散制御システム。 - 前記システムの安全性を確保する分散制御システム(2)が、安全性鉄道網システムを制御することができる、
ことを特徴とする請求項1ないし12のいずれかに記載のシステムの安全性を確保する分散制御システム。 - 次の各段階:
(i) 少なくとも2つのプロセッサ(4、6、8)に、プログラム・データ・ベース(16、18、20)から、異なる命令セットをロードする段階、
(ii) それぞれの入力(10、12、14)を介して、並列に配置されたプロセッサ(4、6、8)に同一の入力データ(E)を供給する段階、
(iii) 各プロセッサ(4、6、8)に、それに関連した異なる命令のセットを実行させ、同一の入力データEに基づいて、同一の出力データ(S(P1)、S(P2)、S(P3))を計算し、それぞれの出力(28、30、32)に伝達することができるようにする段階であって、次のサブ段階から成る段階:
(a) 少なくとも2つの、各命令セットに対して同一の自動システム(46、48、50、52)を、他の命令セットに対するシーケンスとは異なる、特定のシーケンスに従い実行させるサブ段階、
(b) シーケンスを実行した後に得られた出力データS(P1)、S(P2)、S(P3)を抽出するサブ段階、
(c) 出力データをコマンド選択コンポーネントに伝達するサブ段階、
(iv) 特定の選択基準に基づいて、プロセッサ(4、6、8)から生じた出力データS(P1)、S(P2)、S(P3)のうちから1つを選択してコマンド信号とする段階、
を含むことを特徴とするシステムの安全性を確保する制御プロセス。 - さらに次の段階:
(i) 前記選択基準に基づいて、複数の出力データ(S(P1)、S(P2)、S(P3))から出る前記コマンドの送信を有効とするか、又は禁止する段階、
(ii) 禁止の場合には、少なくとも1つのプロセッサ(4、6、8)のフォールト(誤動作)の存在を発信する(196)段階、
を含むことを特徴とする請求項14に記載のシステムの安全性を確保する制御プロセス。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0602390A FR2898706B1 (fr) | 2006-03-17 | 2006-03-17 | Dispositif de commande securise a diversification d'un systeme ferroviaire |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2007249976A true JP2007249976A (ja) | 2007-09-27 |
Family
ID=37194299
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007070709A Pending JP2007249976A (ja) | 2006-03-17 | 2007-03-19 | システムの安全性を確保する分散制御システムと、制御プロセス |
Country Status (13)
| Country | Link |
|---|---|
| US (1) | US7631113B2 (ja) |
| EP (1) | EP1834857B1 (ja) |
| JP (1) | JP2007249976A (ja) |
| CN (1) | CN101070074B (ja) |
| AU (1) | AU2007201007B2 (ja) |
| BR (1) | BRPI0700955B8 (ja) |
| CA (1) | CA2581391C (ja) |
| DK (1) | DK1834857T3 (ja) |
| ES (1) | ES2652412T3 (ja) |
| FR (1) | FR2898706B1 (ja) |
| NO (1) | NO341655B1 (ja) |
| RU (1) | RU2454345C2 (ja) |
| ZA (1) | ZA200701907B (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014091370A (ja) * | 2012-11-01 | 2014-05-19 | Mitsubishi Electric Corp | 電子連動装置 |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20090004266A (ko) * | 2007-07-06 | 2009-01-12 | 한국전자통신연구원 | 자체 제어 기능을 갖는 기능 모듈 및 이의 동작 제어방법과, 이를 이용한 시스템 |
| DE102007054304A1 (de) * | 2007-11-08 | 2009-05-14 | Siemens Ag | Rechnerarchitektur |
| US8977584B2 (en) | 2010-01-25 | 2015-03-10 | Newvaluexchange Global Ai Llp | Apparatuses, methods and systems for a digital conversation management platform |
| KR101502713B1 (ko) * | 2010-12-16 | 2015-03-13 | 미쓰비시덴키 가부시키가이샤 | 시퀀서 시스템 및 그 제어 방법 |
| US9448794B2 (en) | 2011-11-30 | 2016-09-20 | Intel Corporation | Instruction and logic to provide vector horizontal majority voting functionality |
| US10520928B2 (en) * | 2017-05-15 | 2019-12-31 | Rockwell Automation Technologies, Inc. | Safety industrial controller providing diversity in single multicore processor |
| RU2709068C1 (ru) * | 2017-11-20 | 2019-12-13 | Открытое акционерное общество "Объединенные электротехнические заводы" ОАО "ЭЛТЕЗА" | Микропроцессорная система централизации мпц-эл |
| IT201800007412A1 (it) * | 2018-07-23 | 2020-01-23 | Sistema elettronico modulare per la verifica della corretta esecuzione di operazioni eseguite dal sistema stesso | |
| RU2692739C1 (ru) * | 2018-08-14 | 2019-06-26 | Открытое акционерное общество "Объединенные электротехнические заводы" (ОАО "ЭЛТЕЗА") | Микропроцессорная система централизации МПЦ-ЭЛ |
| RU2694709C1 (ru) * | 2018-11-06 | 2019-07-16 | Федеральное государственное бюджетное образовательное учреждение высшего образования "Петербургский государственный университет путей сообщения Императора Александра I" | Система микропроцессорной централизации |
| CN109866752B (zh) * | 2019-03-29 | 2020-06-05 | 合肥工业大学 | 基于预测控制的双模式并行车辆轨迹跟踪行驶系统的方法 |
| RU2710502C1 (ru) * | 2019-04-22 | 2019-12-26 | Игорь Давидович Долгий | Унифицированный логический контроллер |
| US11618553B2 (en) * | 2019-11-19 | 2023-04-04 | Ge Aviation Systems Limited | Method and process of creating qualifiable parameter data item (PDI) to define the function of a power system controller |
| RU2726243C1 (ru) * | 2020-02-05 | 2020-07-10 | Ефим Наумович Розенберг | Двухканальная система для регулирования движения железнодорожных транспортных средств |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU8135U1 (ru) * | 1998-01-22 | 1998-10-16 | Алексей Геннадьевич Окуличев | Многопроцессорный вычислитель для управления объектами в реальном времени |
| GB2348034A (en) | 1999-03-17 | 2000-09-20 | Westinghouse Brake & Signal | An interlocking for a railway system |
| DE19942981A1 (de) * | 1999-09-09 | 2001-03-22 | Alcatel Sa | Programmodul und Verfahren zum Erhöhen der Sicherheit eines softwaregesteuerten Systems |
| DE10053023C1 (de) * | 2000-10-13 | 2002-09-05 | Siemens Ag | Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens |
| US6751749B2 (en) * | 2001-02-22 | 2004-06-15 | International Business Machines Corporation | Method and apparatus for computer system reliability |
| FR2832685A1 (fr) * | 2001-11-23 | 2003-05-30 | Conception & Dev Michelin Sa | Direction electrique pour vehicule, a redondance triple |
| DE10158317B4 (de) * | 2001-11-28 | 2009-06-18 | Siemens Ag | Verfahren zur Generierung und Ausführung eines diversitären Programmablaufs |
| ITSV20020009A1 (it) * | 2002-02-22 | 2003-08-22 | Alstom Transp Spa | Metodo per la generazione di unita' logiche di comando degli apparatidi stazione a computer vitale, cioe' nelle unita' centrali di comando |
| RU34482U1 (ru) * | 2003-08-06 | 2003-12-10 | Долгий Игорь Давидович | Централизованная диспетчерская система с распределенными контролируемыми пунктами |
| RU44625U1 (ru) * | 2004-10-18 | 2005-03-27 | Грачев Гаврил Николаевич | Устройство для управления системами железнодорожной автоматики и телемеханики |
| DE202005016151U1 (de) * | 2005-10-09 | 2006-02-09 | Elpro Gmbh Berlin -Industrieholding- | Einrichtung zur Fernsteuerung eines Relais-Stellwerks unter Verwendung von hochverfügbaren diversitären Steuerungen |
-
2006
- 2006-03-17 FR FR0602390A patent/FR2898706B1/fr not_active Expired - Fee Related
-
2007
- 2007-03-02 ES ES07290263.8T patent/ES2652412T3/es active Active
- 2007-03-02 DK DK07290263.8T patent/DK1834857T3/en active
- 2007-03-02 EP EP07290263.8A patent/EP1834857B1/fr active Active
- 2007-03-05 ZA ZA200701907A patent/ZA200701907B/xx unknown
- 2007-03-07 AU AU2007201007A patent/AU2007201007B2/en not_active Ceased
- 2007-03-12 CA CA2581391A patent/CA2581391C/fr not_active Expired - Fee Related
- 2007-03-12 US US11/716,956 patent/US7631113B2/en not_active Expired - Fee Related
- 2007-03-15 BR BRPI0700955A patent/BRPI0700955B8/pt not_active IP Right Cessation
- 2007-03-16 NO NO20071423A patent/NO341655B1/no not_active IP Right Cessation
- 2007-03-16 CN CN2007100885310A patent/CN101070074B/zh not_active Expired - Fee Related
- 2007-03-16 RU RU2007109723/11A patent/RU2454345C2/ru active
- 2007-03-19 JP JP2007070709A patent/JP2007249976A/ja active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014091370A (ja) * | 2012-11-01 | 2014-05-19 | Mitsubishi Electric Corp | 電子連動装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| BRPI0700955B8 (pt) | 2018-11-21 |
| NO341655B1 (no) | 2017-12-18 |
| RU2007109723A (ru) | 2008-09-27 |
| EP1834857A3 (fr) | 2009-08-19 |
| RU2454345C2 (ru) | 2012-06-27 |
| CN101070074A (zh) | 2007-11-14 |
| DK1834857T3 (en) | 2017-12-04 |
| US20070260773A1 (en) | 2007-11-08 |
| ES2652412T3 (es) | 2018-02-02 |
| US7631113B2 (en) | 2009-12-08 |
| EP1834857A2 (fr) | 2007-09-19 |
| ZA200701907B (en) | 2008-07-30 |
| BRPI0700955B1 (pt) | 2018-08-07 |
| FR2898706B1 (fr) | 2008-06-13 |
| AU2007201007A1 (en) | 2007-10-04 |
| CN101070074B (zh) | 2011-11-09 |
| FR2898706A1 (fr) | 2007-09-21 |
| NO20071423L (no) | 2007-09-18 |
| CA2581391A1 (fr) | 2007-09-17 |
| AU2007201007B2 (en) | 2012-06-14 |
| CA2581391C (fr) | 2015-11-03 |
| BRPI0700955A (pt) | 2007-11-13 |
| EP1834857B1 (fr) | 2017-11-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2007249976A (ja) | システムの安全性を確保する分散制御システムと、制御プロセス | |
| AU767024B2 (en) | Systems and methods for fail safe process execution, monitoring and output control for critical systems | |
| Dideban et al. | Reduction of constraints for controller synthesis based on safe Petri nets | |
| Yue et al. | Petri-net-based robust supervisory control of automated manufacturing systems | |
| US11022950B2 (en) | Resilient failover of industrial programmable logic controllers | |
| Zhang et al. | Modeling and Verification of Reconfigurable and Energy‐Efficient Manufacturing Systems | |
| Camilli et al. | Specifying and verifying real-time self-adaptive systems | |
| Grobelna et al. | Specification of cyber-physical systems with the application of interpreted nets | |
| Szpyrka et al. | Hierarchical communication diagrams | |
| Machado et al. | A generic approach to build plant models for DES verification purposes | |
| Xu et al. | Rigorous development of a safety-critical system based on coordinated atomic actions | |
| Simon et al. | Design and analysis of synchronization for real-time closed-loop control in robotics | |
| Basile et al. | Residuals-based fault diagnosis of industrial automation systems using timed and untimed Interpreted Petri nets | |
| Dotoli et al. | A fault monitor for automated manufacturing systems using a hybrid Petri nets formalism | |
| Alpan et al. | Synthesis of a closed-loop combined plant and controller model | |
| WO2022185582A1 (ja) | データ処理装置、データ処理方法およびプログラム | |
| Zhang | Modeling and verification of reconfigurable discrete event control systems | |
| Serrano et al. | Reliability and safety evaluation techniques for components and processes | |
| Siegrist | Computer Architecture Group, Computer Science Department, ABB Research Center, Baden, Switzerland | |
| Ho et al. | Modeling and Control Synthesis of a Manufacturing Workcell | |
| Mušič et al. | An admissible-behaviour-based analysis of the deadlock in Petri-net controllers | |
| JP2006164186A (ja) | 集積回路のデバッグ方法、デバッグプログラム | |
| Lamperti et al. | Diagnosis of active systems by lazy techniques | |
| Fei | On symbolic analysis of discrete event systems modeled as automata with variables | |
| Iverson et al. | Digraph reliability model processing advances and applications |