JP2012103882A - 2重系演算処理装置の監視装置 - Google Patents
2重系演算処理装置の監視装置 Download PDFInfo
- Publication number
- JP2012103882A JP2012103882A JP2010251486A JP2010251486A JP2012103882A JP 2012103882 A JP2012103882 A JP 2012103882A JP 2010251486 A JP2010251486 A JP 2010251486A JP 2010251486 A JP2010251486 A JP 2010251486A JP 2012103882 A JP2012103882 A JP 2012103882A
- Authority
- JP
- Japan
- Prior art keywords
- circuit
- alternating signal
- output
- collation
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Hardware Redundancy (AREA)
Abstract
【課題】2重系演算処理装置の安全性、信頼性を向上する。
【解決手段】第1の照合回路ユニット10(照合回路11)は、同期して動作する2個のCPUのバス上のデータを照合して、一致しているときに交番信号を出力し、不一致のときにその交番信号の出力を停止する。第2の照合回路ユニット20(照合回路21)は、2重系として設けられる。選択器としてのオア回路30は、照合回路ユニット10、20のうち一方から交番信号が入力されているときに、その交番信号を選択して出力する。異常検出回路40は、オア回路30からの交番信号を監視し交番信号の出力が停止されたときに異常を検出する。
【選択図】図1
【解決手段】第1の照合回路ユニット10(照合回路11)は、同期して動作する2個のCPUのバス上のデータを照合して、一致しているときに交番信号を出力し、不一致のときにその交番信号の出力を停止する。第2の照合回路ユニット20(照合回路21)は、2重系として設けられる。選択器としてのオア回路30は、照合回路ユニット10、20のうち一方から交番信号が入力されているときに、その交番信号を選択して出力する。異常検出回路40は、オア回路30からの交番信号を監視し交番信号の出力が停止されたときに異常を検出する。
【選択図】図1
Description
本発明は、2つの演算処理装置(CPU)を完全に同期させて処理データ(バス上のデータ)の一致を常時監視することにより処理の正当性を保証する2重系演算処理装置の監視装置に関する。
従来、例えば鉄道信号保安装置や産業ロボットのように高い安全性と高い信頼性の要求される制御システムとして、特許文献1などに示されるように、バス同期2重系演算処理装置が存在している。
バス同期2重系演算処理装置は、同期して動作する2個の演算処理装置(CPU)と、これらの演算処理装置のバス(バス上のデータ)を照合する照合回路を含む監視装置とから構成される。
監視装置は、同期して動作する2個の演算処理装置(CPU)のバス上のデータを照合して、一致しているときに交番信号を出力し、不一致のときにその交番信号の出力を停止する照合回路と、該照合回路からの交番信号を監視し交番信号の出力が停止されたときに異常を検出する異常検出回路とを含んで構成される。
尚、照合回路は、リード/ライト信号などに基づいて生成される照合タイミングにて、2系統のバス上の所定ビット長のデータをビットごとに比較する。
尚、照合回路は、リード/ライト信号などに基づいて生成される照合タイミングにて、2系統のバス上の所定ビット長のデータをビットごとに比較する。
上記のようなバス同期2重系演算処理装置は、フェイルセーフ性が極めて高い。
しかし、一過性のノイズや、メモリの一時的なビット反転などが発生すると、照合回路がこれを検出して交番信号の出力を停止させるため、異常検出回路がこれを検出して、システムを停止させてしまうという問題点があった。また、照合回路自体が故障して交番信号の出力が停止された場合も同様の問題点があった。
しかし、一過性のノイズや、メモリの一時的なビット反転などが発生すると、照合回路がこれを検出して交番信号の出力を停止させるため、異常検出回路がこれを検出して、システムを停止させてしまうという問題点があった。また、照合回路自体が故障して交番信号の出力が停止された場合も同様の問題点があった。
本発明は、このような実状に鑑み、一過性のノイズ等では異常検出によるシステム停止に至らないようにして実用性を高めることを課題とする。
上記の課題を解決するために、本発明は、照合回路を複数設けて、複数の照合回路の出力を選択器を介して異常検出回路に入力する構成とし、前記選択器は、少なくとも1つの照合回路から交番信号が入力されているときに、その交番信号を選択して出力する構成とした。
本発明によれば、何らかの理由で1つの照合回路の交番信号が停止されても、他の照合回路の交番信号が正常に出力されているときは、選択器により交番信号を選択的に出力して、異常検出によりシステム停止に至るのを防止できる。従って、一過性のノイズ等で1つの照合回路において不一致を生じた場合や、1つの照合回路が故障した場合に、他の照合回路に切換えて、システムの運転を継続できるようになる。
以下、本発明の実施の形態について、詳細に説明する。
図1は本発明の一実施形態を示す2重系演算処理装置の監視装置の構成図である。
本実施形態では、2重系演算処理装置として、完全に同期して動作する2つのCPU(A系CPU及びB系CPU)を備える。
図1は本発明の一実施形態を示す2重系演算処理装置の監視装置の構成図である。
本実施形態では、2重系演算処理装置として、完全に同期して動作する2つのCPU(A系CPU及びB系CPU)を備える。
そして、同期して動作する2つのCPUの処理データの一致を常時監視することにより処理の正当性を保証するための監視装置の主要部として、2つのCPUのデータバスDBa、DBb(データバスDBa、DBb上のデータ)を照合する照合回路ユニットが設けられるが、2重系として、第1及び第2の照合回路ユニット10、20が設けられる。
第1の照合回路ユニット10は、その中核をなす照合回路11、ゲート12、動作確認カウンタ13及びリセット回路14を含んで構成される。同様に、第2の照合回路ユニット20は、その中核をなす照合回路21、ゲート22、動作確認カウンタ23及びリセット回路24を含んで構成される。これらは2重系をなすように同一の構成であるので、第1の照合回路ユニット10について詳しく説明する。
第1の照合回路ユニット10の中核をなす照合回路11には、A系CPUのデータバスDBaとB系CPUのデータバスDBbとが接続されている。
照合回路11は、各CPUの同期したリード/ライト信号などに基づくデータ照合タイミングにて、A系CPUのデータバスDBaとB系CPUのデータバスDBbとからそれぞれ所定ビット長(例えば32ビット長)のデータを取込んで、これらのデータを比較することにより、一致・不一致を判定する。そして、データ照合タイミングにて一致する毎に出力信号をLレベルからHレベルに反転させることで、一致している間、出力ラインL1から、交番信号を出力させる。不一致のときは、出力信号をLレベルからHレベルに反転させないため、出力ラインL1からの交番信号の出力が停止される。
照合回路11はまた、不一致のときに、別の出力ラインL2から、HレベルのNG信号を発生させる。
照合回路11は、各CPUの同期したリード/ライト信号などに基づくデータ照合タイミングにて、A系CPUのデータバスDBaとB系CPUのデータバスDBbとからそれぞれ所定ビット長(例えば32ビット長)のデータを取込んで、これらのデータを比較することにより、一致・不一致を判定する。そして、データ照合タイミングにて一致する毎に出力信号をLレベルからHレベルに反転させることで、一致している間、出力ラインL1から、交番信号を出力させる。不一致のときは、出力信号をLレベルからHレベルに反転させないため、出力ラインL1からの交番信号の出力が停止される。
照合回路11はまた、不一致のときに、別の出力ラインL2から、HレベルのNG信号を発生させる。
照合回路11の交番信号の出力ラインL1にはゲート12が設けられる。このゲート12はNG信号の出力ラインL2の信号で制御される。
すなわち、このゲート12は、NG信号の出力ラインL2の信号がLレベル(データ一致)のときは、ON状態(導通状態)となって、出力ラインL1の交番信号をそのまま出力し、NG信号の出力ラインL2の信号がHレベル(データ不一致)のときは、OFF状態(遮断状態)となって、このときのゲート出力はLレベルの固定信号となる。
すなわち、このゲート12は、NG信号の出力ラインL2の信号がLレベル(データ一致)のときは、ON状態(導通状態)となって、出力ラインL1の交番信号をそのまま出力し、NG信号の出力ラインL2の信号がHレベル(データ不一致)のときは、OFF状態(遮断状態)となって、このときのゲート出力はLレベルの固定信号となる。
尚、動作確認カウンタ13は、照合回路11の出力の立上がりエッジにてカウントする。従って、照合回路11が停止した際には本カウンタ13も停止する。そして、動作確認カウンタ13の計数結果は各系CPUへ出力され、照合回路11の動作状態の確認に用いられる。
また、リセット回路14は、照合回路11が片系のみ故障で停止した際に、復旧を試みるためのものである。動作確認カウンタ13が停止したことをソフトウエアで検出した際にリセットすることで照合回路11の復旧を試みる。
第2の照合回路ユニット20は、前述のように、第1の照合回路ユニット10と2重系をなすよう、第1の照合回路ユニット10と同じ構成であり、照合回路21、ゲート22、動作確認カウンタ23及びリセット回路24を備える。よって、説明は省略する。
第1及び第2の照合回路ユニット10、20の出力、すなわち、2つの照合回路11、21からのゲート12、22を介しての出力は、選択器としてのオア回路30に入力されている。従って、照合回路11、21のいずれか一方から交番信号が出力されていれば、オア回路30から交番信号が出力される。
オア回路30の出力は異常検出回路(交番信号検出回路)40に入力されている。異常検出回路40は、交番信号が出力されているか否かを検出するもので、交番信号が検出されている場合は、正常信号を出力し、交番信号が検出されなくなった場合に、異常信号を出力する。具体的には、自動列車制御装置(ATC)、自動列車運転装置(ATO)、自動列車停止装置(ATS)などを含む鉄道信号保安装置では、異常検出回路40の出力側には監視リレー50があり、正常信号により、監視リレー50を扛上(ON)し、異常信号により、監視リレー50を落下(OFF)する。
次に作用を説明する。
〔両方でデータ一致の場合〕
第1の照合回路ユニット10の照合回路11にて、A系CPUのデータバスDBa上のデータと、B系CPUのデータバスDBb上のデータとが一致していると判定されているときは、照合回路11の出力ラインL1からゲート12を介して交番信号が出力されている。
また、第2の照合回路ユニット20の照合回路21にても、A系CPUのデータバスDBa上のデータと、B系CPUのデータバスDBb上のデータとが一致していると判定されているときは、照合回路21の出力ラインL1からゲート22を介して交番信号が出力されている。
従って、この場合は、オア回路30から交番信号が出力され、異常検出回路40が正常信号を出力する結果、監視リレー50を扛上(ON)して、システムの運転を継続する。
〔両方でデータ一致の場合〕
第1の照合回路ユニット10の照合回路11にて、A系CPUのデータバスDBa上のデータと、B系CPUのデータバスDBb上のデータとが一致していると判定されているときは、照合回路11の出力ラインL1からゲート12を介して交番信号が出力されている。
また、第2の照合回路ユニット20の照合回路21にても、A系CPUのデータバスDBa上のデータと、B系CPUのデータバスDBb上のデータとが一致していると判定されているときは、照合回路21の出力ラインL1からゲート22を介して交番信号が出力されている。
従って、この場合は、オア回路30から交番信号が出力され、異常検出回路40が正常信号を出力する結果、監視リレー50を扛上(ON)して、システムの運転を継続する。
〔両方でデータ不一致の場合〕
第1の照合回路ユニット10の照合回路11にて、A系CPUのデータバスDBa上のデータと、B系CPUのデータバスDBb上のデータとが不一致であると判定されたときは、ゲート12の出力がLレベルの固定信号となる。
また、第2の照合回路ユニット20の照合回路21にても、A系CPUのデータバスDBa上のデータと、B系CPUのデータバスDBb上のデータとが不一致であると判定されたときは、ゲート22の出力もLレベルの固定信号となる。
従って、この場合は、オア回路30の出力がLレベルの固定信号となり、異常検出回路40が異常信号を出力する結果、監視リレー50を落下(OFF)して、システムを停止させる。
第1の照合回路ユニット10の照合回路11にて、A系CPUのデータバスDBa上のデータと、B系CPUのデータバスDBb上のデータとが不一致であると判定されたときは、ゲート12の出力がLレベルの固定信号となる。
また、第2の照合回路ユニット20の照合回路21にても、A系CPUのデータバスDBa上のデータと、B系CPUのデータバスDBb上のデータとが不一致であると判定されたときは、ゲート22の出力もLレベルの固定信号となる。
従って、この場合は、オア回路30の出力がLレベルの固定信号となり、異常検出回路40が異常信号を出力する結果、監視リレー50を落下(OFF)して、システムを停止させる。
〔一方でデータ不一致、他方でデータ一致の場合〕
一過性のノイズや、メモリの一時的なビット反転を生じて、一方の、例えば第1の照合回路ユニット10にて、データ不一致と判定された場合は、次のようになる。
第1の照合回路ユニット10の照合回路11にて、A系CPUのデータバスDBa上のデータと、B系CPUのデータバスDBb上のデータとが不一致であると判定されるので、ゲート12の出力がLレベルの固定信号となる。
これに対し、第2の照合回路ユニット20の照合回路21にては、A系CPUのデータバスDBa上のデータと、B系CPUのデータバスDBb上のデータとが一致していると判定されるので、照合回路21の出力ラインL1からゲート22を介して交番信号が出力されている。
従って、この場合は、オア回路30が第2の照合回路ユニット20を実質的に選択し、オア回路30から交番信号が出力される。よって、異常検出回路40が正常信号を出力する結果、監視リレー50を扛上(ON)して、システムの運転を継続する。
一過性のノイズや、メモリの一時的なビット反転を生じて、一方の、例えば第1の照合回路ユニット10にて、データ不一致と判定された場合は、次のようになる。
第1の照合回路ユニット10の照合回路11にて、A系CPUのデータバスDBa上のデータと、B系CPUのデータバスDBb上のデータとが不一致であると判定されるので、ゲート12の出力がLレベルの固定信号となる。
これに対し、第2の照合回路ユニット20の照合回路21にては、A系CPUのデータバスDBa上のデータと、B系CPUのデータバスDBb上のデータとが一致していると判定されるので、照合回路21の出力ラインL1からゲート22を介して交番信号が出力されている。
従って、この場合は、オア回路30が第2の照合回路ユニット20を実質的に選択し、オア回路30から交番信号が出力される。よって、異常検出回路40が正常信号を出力する結果、監視リレー50を扛上(ON)して、システムの運転を継続する。
また、一方の、例えば第1の照合回路ユニット10(照合回路11)が故障した場合も同様で、第1の照合回路ユニット10側のゲート12の出力がLレベルの固定信号となるのに対し、第2の照合回路ユニット20側のゲート22の出力が交番信号となるので、オア回路30から交番信号が出力される。よって、異常検出回路40が正常信号を出力する結果、監視リレー50を扛上(ON)して、システムの運転を継続する。
以上のように、一方の照合回路ユニット10の交番信号が停止されても、他方の照合回路ユニット20の交番信号が正常に出力されているときは、選択器としてのオア回路30により交番信号を選択的に出力して、異常検出によりシステム停止に至るのを防止することできる。従って、一過性のノイズ等で一系統の照合回路において不一致を生じた場合や、一系統の照合回路が故障した場合に、他系統の照合回路に切換えて、システムの運転を継続できるようになる。すなわち、正常な照合回路側の交番信号を用いる制御に切換えることができる。
また、本実施形態によれば、照合回路、は2つ設けられ、選択器が、オア回路30により構成されて、いずれか一方の照合回路から交番信号が入力されているときに、その交番信号を選択して出力する構成とすることにより、比較的簡単な構成で、フェイルセーフな構成のまま冗長構成を実現することができる。
また、本実施形態によれば、照合回路11、12は、交番信号の出力ラインL1にゲート12、22を有し、これらのゲート12、22は、照合結果が不一致のときに、遮断されて、出力をLレベルに固定する構成とすることにより、選択器をオア回路30で構成可能となる。
尚、以上の説明では、照合回路を2つ設けて、交番信号を出力している正常な照合回路を切換え使用するようにしているが、照合回路を3つ以上設けて、3つ以上で切換える方式としてもよい。また、相互に切換える方式とする他、奇数個であれば、多数決をとる方式としてもよい。また、切換えは、照合回路からの交番信号の出力が停止したことを検出したタイミングで行うようにしてもよいし、あるいは他の類似の手法で切換えるようにしてもよい。
また、複数設ける照合回路は、「同期して作動する2個の演算処理装置(CPU)のバス上のデータを照合して、一致しているときに交番信号を出力し、不一致のときに交番信号の出力を停止する」という機能を有していれば、全く同一のものでなくてもよく、それぞれに特徴を持たせてもよい。
尚、図示の実施形態はあくまで本発明を例示するものであり、本発明は、説明した実施形態により直接的に示されるものに加え、特許請求の範囲内で当業者によりなされる各種の改良・変更を包含するものであることは言うまでもない。
10 第1の照合回路ユニット
11 照合回路
12 ゲート
13 カウンタ
14 リセット回路
20 第2の照合回路ユニット
21 照合回路
22 ゲート
23 カウンタ
24 リセット回路
30 オア回路
40 異常検出回路
50 監視リレー
11 照合回路
12 ゲート
13 カウンタ
14 リセット回路
20 第2の照合回路ユニット
21 照合回路
22 ゲート
23 カウンタ
24 リセット回路
30 オア回路
40 異常検出回路
50 監視リレー
Claims (3)
- 同期して動作する2個の演算処理装置のバス上のデータを照合して、一致しているときに交番信号を出力し、不一致のときにその交番信号の出力を停止する照合回路と、該照合回路からの交番信号を監視し交番信号の出力が停止されたときに異常を検出する異常検出回路と、を備える2重系演算処理装置の監視装置において、
前記照合回路を複数設けて、複数の照合回路の出力を選択器を介して前記異常検出回路に入力する構成とし、
前記選択器は、少なくとも1つ照合回路から交番信号が入力されているときに、その交番信号を選択して出力する構成としたことを特徴とする2重系演算処理装置の監視装置。 - 前記照合回路は2つ設けられ、
前記選択器は、オア回路により構成されて、いずれか一方の照合回路から交番信号が入力されているときに、その交番信号を選択して出力することを特徴とする請求項1記載の2重系演算処理装置の監視装置。 - 前記照合回路は、交番信号の出力ラインにゲートを有し、
前記ゲートは、照合結果が不一致のときに、遮断されて、出力をLレベルに固定することを特徴とする請求項1又は請求項2記載の2重系演算処理装置の監視装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010251486A JP2012103882A (ja) | 2010-11-10 | 2010-11-10 | 2重系演算処理装置の監視装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010251486A JP2012103882A (ja) | 2010-11-10 | 2010-11-10 | 2重系演算処理装置の監視装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2012103882A true JP2012103882A (ja) | 2012-05-31 |
Family
ID=46394204
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010251486A Pending JP2012103882A (ja) | 2010-11-10 | 2010-11-10 | 2重系演算処理装置の監視装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2012103882A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022224897A1 (ja) * | 2021-04-20 | 2022-10-27 | 株式会社日立製作所 | デジタル出力装置およびデジタル出力の生成方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH02272907A (ja) * | 1989-03-07 | 1990-11-07 | Philips Gloeilampenfab:Nv | 比較回路 |
-
2010
- 2010-11-10 JP JP2010251486A patent/JP2012103882A/ja active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH02272907A (ja) * | 1989-03-07 | 1990-11-07 | Philips Gloeilampenfab:Nv | 比較回路 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022224897A1 (ja) * | 2021-04-20 | 2022-10-27 | 株式会社日立製作所 | デジタル出力装置およびデジタル出力の生成方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2017107665A1 (zh) | 一种用于列车控制的安全计算机系统 | |
| US9367375B2 (en) | Direct connect algorithm | |
| US9952579B2 (en) | Control device | |
| CN110690894A (zh) | 一种时钟失效安全保护方法及电路 | |
| WO2015152167A1 (ja) | 冗長系制御装置及びその系切替方法 | |
| JP2011198205A (ja) | 二重系制御システム | |
| US9665447B2 (en) | Fault-tolerant failsafe computer system using COTS components | |
| US9772615B2 (en) | Multi-channel control switchover logic | |
| JP2016192158A (ja) | 異常判断装置、異常判断方法、及び異常判断プログラム | |
| JP2012103882A (ja) | 2重系演算処理装置の監視装置 | |
| CN109491842B (zh) | 用于故障安全计算系统的模块扩展的信号配对 | |
| JP2010102565A (ja) | 二重化制御装置 | |
| US9311212B2 (en) | Task based voting for fault-tolerant fail safe computer systems | |
| JP6710142B2 (ja) | 制御システム | |
| JP5875475B2 (ja) | 保安装置 | |
| JP2022001987A (ja) | 保安装置、及び故障検知方法 | |
| JP3751746B2 (ja) | フェールセーフ出力装置 | |
| US20120307650A1 (en) | Multiplex system | |
| JP6099187B2 (ja) | バス同期2重系のコンピュータシステム | |
| JP6356325B1 (ja) | リレー制御装置 | |
| Akita et al. | Safety and fault-tolerance in computer-controlled railway signalling systems | |
| RU2453079C2 (ru) | Устройство для контроля и резервирования информационной системы | |
| JP2012230448A (ja) | 2重系演算処理装置の監視装置 | |
| JP4613019B2 (ja) | コンピュータシステム | |
| JP2011248625A (ja) | 制御装置の故障診断回路および故障診断方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20131111 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20140527 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140916 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140930 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20150106 |