JP2017005483A - データ処理装置、データ処理システム及びデータ処理方法 - Google Patents
データ処理装置、データ処理システム及びデータ処理方法 Download PDFInfo
- Publication number
- JP2017005483A JP2017005483A JP2015117096A JP2015117096A JP2017005483A JP 2017005483 A JP2017005483 A JP 2017005483A JP 2015117096 A JP2015117096 A JP 2015117096A JP 2015117096 A JP2015117096 A JP 2015117096A JP 2017005483 A JP2017005483 A JP 2017005483A
- Authority
- JP
- Japan
- Prior art keywords
- output
- data
- code
- error detection
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Detection And Prevention Of Errors In Transmission (AREA)
Abstract
【課題】誤り検出符号によって、機能モジュールから出力された異常データを検出可能にする。【解決手段】データ処理装置100は、同一の処理対象データに対して同一の処理を実行する複数の機能モジュール1を備える。各機能モジュール1は、出力データ11に対して誤り検出符号12を生成し、誤り検出符号12を他の機能モジュール1に送信する。各機能モジュール1は、他の機能モジュール1から受信された誤り検出符号12と、出力データ11とが整合するかを判定し、整合すると判定された誤り検出符号12を出力データ11とともに出力する。【選択図】図1
Description
この発明は、システムが故障した場合に異常データを外部に出さないために、機能モジュールを重複して設けたデータ処理技術に関する。
自動車等の乗り物の加減速及び操舵についての制御システムと、人間に危害を及ぼす可能性のある工作機械又はロボットの制御システムと、高額な金品又は債券を扱う制御システムとのような、人命又は高額な財産に関する制御システムがある。この制御システムにおいて、故障が起きた場合でも、異常データを制御システム外部に出さないようにするため、機能モジュールを重複して設けたものがある。特に、3つの機能モジュールが並列接続され、多数決の原理により、異常データを制御システム外部に出さない三重多数決冗長系(TMR:Triple Modular Redundancy)と呼ばれるシステムがある。異常データをシステム外部に出さないことを、誤りデータをマスクするという(非特許文献1)。
しかし、三重多数決冗長系では、機能モジュールの異常データを外部に出さないことはできても、多数決を行う回路の異常データを外部に出さないようにはできない(非特許文献1,2)。
非特許文献1は1956年の出版ではあるが、50年以上たった2014年に発行された非特許文献2でも「計算要素を三重化し、その結果の多数決を採って出力とするシステムの場合、多数決を採る機構の故障には耐えられない。」とあり、解決策が見出されていないことがわかる。
非特許文献1は1956年の出版ではあるが、50年以上たった2014年に発行された非特許文献2でも「計算要素を三重化し、その結果の多数決を採って出力とするシステムの場合、多数決を採る機構の故障には耐えられない。」とあり、解決策が見出されていないことがわかる。
J. Von Neumann: "Probabilistic Logics and the synthesis of reliable organisms from unreliable components," Automata Studies, Ann. of Math. Studies, no. 34, C. E. Shannon and J. McCarthy, Eds., Princeton University Press, pp. 43−98, 1956.
米田友洋:"無駄と冗長",情報・システムソサイエティ誌第19巻2号,電子情報通信学会,2014年8月
当麻喜弘、南谷崇、藤原秀雄:"フォールトトレラントシステムの構成と設計",pp103−104,槇書店,1991年
異常データを制御システム外部に出さないことはできなくても、異常データがあることを誤り検出符号で制御システム外部に知らせることができれば有益である。しかし、そのような技術は実現されていなかった。
この発明は、誤り検出符号によって、機能モジュールから出力された異常データを検出可能にする。
この発明は、誤り検出符号によって、機能モジュールから出力された異常データを検出可能にする。
この発明に係るデータ処理装置は、
同一の処理対象データに対して同一の処理を実行する複数の機能モジュールを備えるデータ処理装置であり、
各機能モジュールは、
前記処理を実行して得られた出力データに対して誤り検出符号を生成する符号生成部と、
前記符号生成部によって生成された誤り検出符号を他の機能モジュールに送信する符号送信部と、
他の機能モジュールの前記符号送信部によって送信された誤り検出符号を受信する符号受信部と、
前記符号受信部によって受信された誤り検出符号と、前記出力データとが整合するかを判定する符号判定部と、
前記符号判定部によって前記出力データと整合すると判定された誤り検出符号を、前記出力データとともに出力する出力部と
を備える。
同一の処理対象データに対して同一の処理を実行する複数の機能モジュールを備えるデータ処理装置であり、
各機能モジュールは、
前記処理を実行して得られた出力データに対して誤り検出符号を生成する符号生成部と、
前記符号生成部によって生成された誤り検出符号を他の機能モジュールに送信する符号送信部と、
他の機能モジュールの前記符号送信部によって送信された誤り検出符号を受信する符号受信部と、
前記符号受信部によって受信された誤り検出符号と、前記出力データとが整合するかを判定する符号判定部と、
前記符号判定部によって前記出力データと整合すると判定された誤り検出符号を、前記出力データとともに出力する出力部と
を備える。
この発明では、他の機能モジュールで生成された誤り検出符号が出力データとともに出力される。これにより、外部システムでは、出力データが異常データでないことを確認することが可能である。
実施の形態1.
***構成の説明***
図1は、実施の形態1に係るデータ処理装置100の構成図である。
データ処理装置100は、同一の処理対象データに対して同一の処理を実行する3つの機能モジュール1を備える。各機能モジュール1間は、相互にデータ通信できるようにデータ通信ラインで接続されている。また、各機能モジュール1は、外部システム21とデータ通信できるようにデータ通信ラインで接続されている。
各機能モジュール1は同じ構成である。ここでは、3つの機能モジュール1を区別して示す場合、各機能モジュール1に添え字a,b,cを付して、機能モジュール1a,1b,1cと表す。
***構成の説明***
図1は、実施の形態1に係るデータ処理装置100の構成図である。
データ処理装置100は、同一の処理対象データに対して同一の処理を実行する3つの機能モジュール1を備える。各機能モジュール1間は、相互にデータ通信できるようにデータ通信ラインで接続されている。また、各機能モジュール1は、外部システム21とデータ通信できるようにデータ通信ラインで接続されている。
各機能モジュール1は同じ構成である。ここでは、3つの機能モジュール1を区別して示す場合、各機能モジュール1に添え字a,b,cを付して、機能モジュール1a,1b,1cと表す。
各機能モジュール1は、データ処理部2と、符号生成部3と、符号送信部4と、符号受信部5と、符号判定部6と、出力部7とを備える。
データ処理部2は、処理対象データに対して処理を実行して出力データ11を出力する。
符号生成部3は、データ処理部2によって出力された出力データ11に対して誤り検出符号12を生成する。
生成される誤り検出符号12は、チェックサムとCRC(Cyclic Redundancy Check)とのような通信における誤り検出用の符号に限らず、暗号の分野で使われている認証符号又は署名データであってもよい。但し、認証符号及び署名データは、通信における誤り検出用の符号よりもデータ長が長くなることが多い。そのため、通信における誤り検出用の符号を用いる方が、データの伝送量等の面で有利である。
生成される誤り検出符号12は、チェックサムとCRC(Cyclic Redundancy Check)とのような通信における誤り検出用の符号に限らず、暗号の分野で使われている認証符号又は署名データであってもよい。但し、認証符号及び署名データは、通信における誤り検出用の符号よりもデータ長が長くなることが多い。そのため、通信における誤り検出用の符号を用いる方が、データの伝送量等の面で有利である。
符号送信部4は、符号生成部3によって生成された誤り検出符号12を他の2つの機能モジュール1に送信する。
ここでは、機能モジュール1aが備える符号送信部4は、誤り検出符号12aを機能モジュール1b,1cに送信する。機能モジュール1bが備える符号送信部4は、誤り検出符号12bを機能モジュール1a,1cに送信する。機能モジュール1cが備える符号送信部4は、誤り検出符号12cを機能モジュール1a,1bに送信する。
ここでは、機能モジュール1aが備える符号送信部4は、誤り検出符号12aを機能モジュール1b,1cに送信する。機能モジュール1bが備える符号送信部4は、誤り検出符号12bを機能モジュール1a,1cに送信する。機能モジュール1cが備える符号送信部4は、誤り検出符号12cを機能モジュール1a,1bに送信する。
符号受信部5は、他の2つの機能モジュール1の符号送信部4によって送信された誤り検出符号12を受信する。
ここでは、機能モジュール1aが備える符号受信部5は、誤り検出符号12b,12cを受信する。機能モジュール1bが備える符号受信部5は、誤り検出符号12a,12cを受信する。機能モジュール1cが備える符号受信部5は、誤り検出符号12a,12bを受信する。
ここでは、機能モジュール1aが備える符号受信部5は、誤り検出符号12b,12cを受信する。機能モジュール1bが備える符号受信部5は、誤り検出符号12a,12cを受信する。機能モジュール1cが備える符号受信部5は、誤り検出符号12a,12bを受信する。
符号判定部6は、符号受信部5によって受信された2つの誤り検出符号12それぞれと、出力データ11とが整合するかを判定する。つまり、符号判定部6は、符号受信部5によって受信された2つの誤り検出符号12それぞれによって、出力データ11から誤りが検出されるか判定する。そして、符号判定部6は、出力データ11と整合する誤り検出符号12、つまり誤りが検出されなかった方の誤り検出符号12を誤り検出符号13として選択する。
ここでは、機能モジュール1aであれば、符号判定部6は、誤り検出符号12bと出力データ11とが整合するかと、誤り検出符号12cと出力データ11とが整合するかとを判定する。そして、符号判定部6は、出力データ11と整合する方の誤り検出符号12を誤り検出符号13として選択する。
符号判定部6は、誤り検出符号12b,12cの両方が出力データ11と整合する場合には、どちらか一方を誤り検出符号13として選択する。
ここでは、機能モジュール1aであれば、符号判定部6は、誤り検出符号12bと出力データ11とが整合するかと、誤り検出符号12cと出力データ11とが整合するかとを判定する。そして、符号判定部6は、出力データ11と整合する方の誤り検出符号12を誤り検出符号13として選択する。
符号判定部6は、誤り検出符号12b,12cの両方が出力データ11と整合する場合には、どちらか一方を誤り検出符号13として選択する。
出力部7は、符号判定部6によって選択された誤り検出符号13を、出力データ11とともに外部システム21に出力する。
出力部7は、符号判定部6によって選択された誤り検出符号13がない場合、つまりいずれも誤り検出符号12も出力データ11と整合しなかった場合、出力データ11のみを外部システム21に出力する。
出力部7は、符号判定部6によって選択された誤り検出符号13がない場合、つまりいずれも誤り検出符号12も出力データ11と整合しなかった場合、出力データ11のみを外部システム21に出力する。
図2は、実施の形態1に係る外部システム21の構成図である。
外部システム21は、符号点検部22を備える。符号点検部22は、各機能モジュール1の出力部7によって出力された出力データ11及び誤り検出符号13の組について、出力データ11と誤り検出符号13とが整合するか判定する。
外部システム21は、符号点検部22を備える。符号点検部22は、各機能モジュール1の出力部7によって出力された出力データ11及び誤り検出符号13の組について、出力データ11と誤り検出符号13とが整合するか判定する。
ある機能モジュール1の出力部7によって出力された出力データ11と誤り検出符号13とが整合すれば、その機能モジュール1の出力データ11と、他の機能モジュール1の出力データ11とが等しかったということになる。つまり、3つの機能モジュール1のうち、2つの機能モジュール1の出力データ11が等しかったということになる。すなわち、多数決の結果となる。
一方、ある機能モジュール1の出力部7によって出力データ11だけが出力された場合、通信エラーが発生したか、又は、機能モジュール1が誤動作していると考えられる。この場合、外部システム21は、通信リトライを実施する。つまり、外部システム21は、データ処理装置100に出力データ11を再要求する。通信リトライを実施しても出力データ11だけが出力される場合には、機能モジュール1が誤動作していると考えられる。
一方、ある機能モジュール1の出力部7によって出力データ11だけが出力された場合、通信エラーが発生したか、又は、機能モジュール1が誤動作していると考えられる。この場合、外部システム21は、通信リトライを実施する。つまり、外部システム21は、データ処理装置100に出力データ11を再要求する。通信リトライを実施しても出力データ11だけが出力される場合には、機能モジュール1が誤動作していると考えられる。
***動作の説明***
図3は、実施の形態1に係るデータ処理装置100の動作を示すフローチャートである。
実施の形態1に係るデータ処理装置100の動作は、実施の形態1に係るデータ処理方法に相当する。また、実施の形態1に係るデータ処理装置100の動作は、実施の形態1に係るデータ処理プログラムの処理に相当する。
図3は、実施の形態1に係るデータ処理装置100の動作を示すフローチャートである。
実施の形態1に係るデータ処理装置100の動作は、実施の形態1に係るデータ処理方法に相当する。また、実施の形態1に係るデータ処理装置100の動作は、実施の形態1に係るデータ処理プログラムの処理に相当する。
各機能モジュール1においてS11からS18の処理が実行される。
S11のデータ処理工程では、データ処理部2が、処理対象データに対して処理を実行して出力データ11を出力する。S12の符号生成工程では、符号生成部3が、S11で出力された出力データ11に対して誤り検出符号12を生成する。S13の符号送信工程では、符号送信部4が、S12で生成された誤り検出符号12を他の2つの機能モジュール1に送信する。S14の符号受信工程では、符号受信部5が、他の2つの機能モジュール1によって、S13で送信された誤り検出符号12を受信する。
S15の第1符号判定工程では、符号判定部6が、一方の機能モジュール1から受信された誤り検出符号12と出力データ11とが整合するかを判定する。整合する場合(S15でYES)、符号判定部6は処理をS17に進める。一方、整合しない場合(S15でNO)、符号判定部6は処理をS16に進める。
S16の第2符号判定工程では、符号判定部6が、他方の機能モジュール1から受信された誤り検出符号12と出力データ11とが整合するかを判定する。整合する場合(S16でYES)、符号判定部6は処理をS17に進める。一方、整合しない場合(S16でNO)、符号判定部6は処理をS18に進める。
S17の第1出力工程では、符号判定部6が、S15又はS16で整合すると判定された誤り検出符号12を誤り検出符号13として選択する。そして、出力部7が、選択された誤り検出符号13を、出力データ11とともに外部システム21に出力する。
S18の第2出力工程では、出力部7が、出力データ11のみを外部システム21に出力する。
***実施の形態1の効果***
以上のように、実施の形態1に係るデータ処理装置100は、各機能モジュール1が、自身が生成した出力データ11に、他の機能モジュール1によって生成された誤り検出符号12を誤り検出符号13として付して、外部システム21に出力する。これにより、外部システム21では、出力データ11と誤り検出符号13との整合性がとれていることが確認できれば、2つの機能モジュール1の出力データ11が一致していることが確認できる。これは、機能モジュール1が3つの場合には、多数決の結果が得られたことと同じである。
実施の形態1に係るデータ処理装置100は、多数決を行う回路を用いていないため、多数決を行う回路が故障した場合を考慮する必要がない。
以上のように、実施の形態1に係るデータ処理装置100は、各機能モジュール1が、自身が生成した出力データ11に、他の機能モジュール1によって生成された誤り検出符号12を誤り検出符号13として付して、外部システム21に出力する。これにより、外部システム21では、出力データ11と誤り検出符号13との整合性がとれていることが確認できれば、2つの機能モジュール1の出力データ11が一致していることが確認できる。これは、機能モジュール1が3つの場合には、多数決の結果が得られたことと同じである。
実施の形態1に係るデータ処理装置100は、多数決を行う回路を用いていないため、多数決を行う回路が故障した場合を考慮する必要がない。
三重多数決冗長系では、出力データ11の多数決をとるために全出力データ11を多数決を行う回路に伝送する必要があり、伝送時間がかかっていた。しかし、実施の形態1に係るデータ処理装置100は、機能モジュール1間で誤り検出符号12のみ伝送すればよいため、伝送するデータ量を減らすことができ、伝送時間を短縮できる。
***他の構成***
上記説明では、3つの機能モジュール1が並列接続された場合について説明した。しかし、並列接続される機能モジュール1の数は4つ以上でもよい。
上記説明では、3つの機能モジュール1が並列接続された場合について説明した。しかし、並列接続される機能モジュール1の数は4つ以上でもよい。
また、並列接続される機能モジュール1の数は2つであってもよい。多数決を行う場合には並列接続される機能モジュール1の数は少なくとも3つ必要である。しかし、並列接続される機能モジュール1の数は2つであっても、比較システムとしては成立する。
具体的には、2つの機能モジュール1からそれぞれ別のハードディスクに出力データ11が出力され、格納されるとする。この場合、各ハードディスクに格納された出力データ11が整合しているか否かは、2つのハードディスクから出力データ11を読み出して比較する必要がある。しかし、データ処理装置100の構成によれば、1つのハードディスクに格納された出力データ11と誤り検出符号13との整合性を判定すれば済む。
具体的には、2つの機能モジュール1からそれぞれ別のハードディスクに出力データ11が出力され、格納されるとする。この場合、各ハードディスクに格納された出力データ11が整合しているか否かは、2つのハードディスクから出力データ11を読み出して比較する必要がある。しかし、データ処理装置100の構成によれば、1つのハードディスクに格納された出力データ11と誤り検出符号13との整合性を判定すれば済む。
また、並列接続される機能モジュール1の数は3つとする場合でも、4つ以上の機能モジュール1を用意しておき、ある機能モジュール1が故障した場合に、故障した機能モジュール1を新たな機能モジュール1に交換するようにしてもよい。
n+2個の機能モジュール1を用意しておけば、n個の機能モジュール1の故障まで耐えられる構成となる。
n+2個の機能モジュール1を用意しておけば、n個の機能モジュール1の故障まで耐えられる構成となる。
また、上記説明では、出力部7は、いずれの誤り検出符号12も出力データ11と整合しない場合には、誤り検出符号13を付さず、出力データ11だけを外部システム21に出力した。
しかし、出力部7は、いずれの誤り検出符号12も出力データ11と整合しない場合には、出力データ11と整合しない誤り検出符号13を出力データ11とともに外部システム21に出力してもよい。この場合、外部システム21は、誤り検出符号13と出力データ11とが整合しない場合、通信エラーが発生したか、又は、機能モジュール1が誤動作していると判定することができる。
また、出力部7は、いずれの誤り検出符号12も出力データ11と整合しない場合には、出力データ11も出力しないようにしてもよい。
しかし、出力部7は、いずれの誤り検出符号12も出力データ11と整合しない場合には、出力データ11と整合しない誤り検出符号13を出力データ11とともに外部システム21に出力してもよい。この場合、外部システム21は、誤り検出符号13と出力データ11とが整合しない場合、通信エラーが発生したか、又は、機能モジュール1が誤動作していると判定することができる。
また、出力部7は、いずれの誤り検出符号12も出力データ11と整合しない場合には、出力データ11も出力しないようにしてもよい。
実施の形態2.
実施の形態2では、機能モジュール1毎に異なる識別子16を出力データ11に合成した上で誤り検出符号12を生成する点が実施の形態1と異なる。実施の形態2では、この異なる点について説明する。
実施の形態2では、機能モジュール1毎に異なる識別子16を出力データ11に合成した上で誤り検出符号12を生成する点が実施の形態1と異なる。実施の形態2では、この異なる点について説明する。
***構成の説明***
図4は、実施の形態2に係るデータ処理装置100の構成図である。
符号生成部3は、機能モジュール1毎に異なる識別子16を出力データ11に合成した生成用データ14に対して誤り検出符号12を生成する。
ここでは、機能モジュール1aの符号生成部3は、機能モジュール1aの識別子16であるID−Aを出力データ11に合成した生成用データ14aに対して、誤り検出符号12aを生成する。機能モジュール1bの符号生成部3は、機能モジュール1bの識別子16であるID−Bを出力データ11に合成した生成用データ14bに対して、誤り検出符号12bを生成する。機能モジュール1cの符号生成部3は、機能モジュール1cの識別子16であるID−Cを出力データ11に合成した生成用データ14cに対して、誤り検出符号12cを生成する。
図4は、実施の形態2に係るデータ処理装置100の構成図である。
符号生成部3は、機能モジュール1毎に異なる識別子16を出力データ11に合成した生成用データ14に対して誤り検出符号12を生成する。
ここでは、機能モジュール1aの符号生成部3は、機能モジュール1aの識別子16であるID−Aを出力データ11に合成した生成用データ14aに対して、誤り検出符号12aを生成する。機能モジュール1bの符号生成部3は、機能モジュール1bの識別子16であるID−Bを出力データ11に合成した生成用データ14bに対して、誤り検出符号12bを生成する。機能モジュール1cの符号生成部3は、機能モジュール1cの識別子16であるID−Cを出力データ11に合成した生成用データ14cに対して、誤り検出符号12cを生成する。
符号送信部4は、識別子16を誤り検出符号12とともに他の2つの機能モジュール1に送信する。
符号受信部5は、識別子16を誤り検出符号12とともに他の2つの機能モジュール1から受信する。
符号判定部6は、符号受信部5によって受信された誤り検出符号12と、符号受信部5によって受信された識別子16を出力データ11に合成した判定用データ15とが整合するかを判定する。そして、符号判定部6は、出力データ11と整合する誤り検出符号12を誤り検出符号13として選択する。また、符号判定部6は、誤り検出符号13として選択した誤り検出符号12とともに受信された識別子16を選択する。
ここでは、機能モジュール1aであれば、符号判定部6は、誤り検出符号12bと、ID−Bを出力データ11に合成した判定用データ15とが整合するかを判定する。また、符号判定部6は、誤り検出符号12cと、ID−Cを出力データ11に合成した判定用データ15とが整合するかを判定する。
ここでは、機能モジュール1aであれば、符号判定部6は、誤り検出符号12bと、ID−Bを出力データ11に合成した判定用データ15とが整合するかを判定する。また、符号判定部6は、誤り検出符号12cと、ID−Cを出力データ11に合成した判定用データ15とが整合するかを判定する。
出力部7は、符号判定部6によって選択された誤り検出符号13及び識別子16を、出力データ11とともに外部システム21に出力する。
出力部7は、符号判定部6によって選択された誤り検出符号13がない場合、つまりいずれも誤り検出符号12も出力データ11と整合しなかった場合、出力データ11のみを外部システム21に出力する。
出力部7は、符号判定部6によって選択された誤り検出符号13がない場合、つまりいずれも誤り検出符号12も出力データ11と整合しなかった場合、出力データ11のみを外部システム21に出力する。
図5は、実施の形態2に係る外部システム21の構成図である。
符号点検部22は、各機能モジュール1の出力部7によって出力された出力データ11及び誤り検出符号13及び識別子16の組について、識別子16を出力データ11に合成した判定用データ15と、誤り検出符号13とが整合するか判定する。
符号点検部22は、各機能モジュール1の出力部7によって出力された出力データ11及び誤り検出符号13及び識別子16の組について、識別子16を出力データ11に合成した判定用データ15と、誤り検出符号13とが整合するか判定する。
***動作の説明***
図3に基づき、実施の形態2に係るデータ処理装置100の動作を説明する。
図3に基づき、実施の形態2に係るデータ処理装置100の動作を説明する。
S11の処理は、実施の形態1と同じである。
S12では、符号生成部3が、識別子16をS11で出力された出力データ11に合成した生成用データ14に対して誤り検出符号12を生成する。S13では、符号送信部4が、識別子16とともに、S12で生成された誤り検出符号12を他の2つの機能モジュール1に送信する。S14の符号受信工程では、符号受信部5が、他の2つの機能モジュール1によって、S13で送信された誤り検出符号12及び識別子16を受信する。
S12では、符号生成部3が、識別子16をS11で出力された出力データ11に合成した生成用データ14に対して誤り検出符号12を生成する。S13では、符号送信部4が、識別子16とともに、S12で生成された誤り検出符号12を他の2つの機能モジュール1に送信する。S14の符号受信工程では、符号受信部5が、他の2つの機能モジュール1によって、S13で送信された誤り検出符号12及び識別子16を受信する。
S15では、符号判定部6が、一方の機能モジュール1から受信された誤り検出符号12と、合わせて受信された識別子16を出力データ11に合成した判定用データ15とが整合するかを判定する。S16では、符号判定部6が、他方の機能モジュール1から受信された誤り検出符号12と、合わせて受信された識別子16を出力データ11に合成した判定用データ15とが整合するかを判定する。
S17では、符号判定部6が、S15又はS16で整合すると判定された誤り検出符号12を誤り検出符号13として選択するとともに、誤り検出符号12と合わせて受信された識別子16を選択する。そして、出力部7が、選択された誤り検出符号13及び識別子16を、出力データ11とともに外部システム21に出力する。
S18の処理は、実施の形態1と同じである。
S18の処理は、実施の形態1と同じである。
***実施の形態2の効果***
以上のように、実施の形態2に係るデータ処理装置100は、機能モジュール1毎に異なる識別子16を含めて誤り検出符号12を生成する。これにより、外部システム21で出力データ11ともに出力された誤り検出符号12がどの機能モジュール1で生成されたかを特定することができる。これは、システム製作時のデバッグと、システムの安全性検証時とに有用である。
以上のように、実施の形態2に係るデータ処理装置100は、機能モジュール1毎に異なる識別子16を含めて誤り検出符号12を生成する。これにより、外部システム21で出力データ11ともに出力された誤り検出符号12がどの機能モジュール1で生成されたかを特定することができる。これは、システム製作時のデバッグと、システムの安全性検証時とに有用である。
実施の形態3.
実施の形態3では、符号判定部6が整合しないと判定した場合に、データ処理部2に処理を再実行させる点が実施の形態1と異なる。実施の形態3では、この異なる点について説明する。
実施の形態3では、符号判定部6が整合しないと判定した場合に、データ処理部2に処理を再実行させる点が実施の形態1と異なる。実施の形態3では、この異なる点について説明する。
ここでは、実施の形態1で他の構成として説明した、2つの機能モジュール1からそれぞれ別のハードディスクに出力データ11が出力され、格納される場合を説明する。
***構成の説明***
図6は、実施の形態3に係るデータ処理装置100の構成図である。
データ処理装置100は、2つの機能モジュール1を備える。ここでは、2つの機能モジュール1を区別して示す場合、各機能モジュール1に添え字a,bを付して、機能モジュール1a,1bと表す。
図6は、実施の形態3に係るデータ処理装置100の構成図である。
データ処理装置100は、2つの機能モジュール1を備える。ここでは、2つの機能モジュール1を区別して示す場合、各機能モジュール1に添え字a,bを付して、機能モジュール1a,1bと表す。
各機能モジュール1は、図1に示す機能モジュール1が備える構成に加え、再実行部8を備える。
再実行部8は、符号判定部6によって出力データ11と整合すると判定された誤り検出符号12がない場合に、データ処理部2に処理の再実行を指示する再実行指示信号17を出力する。
***動作の説明***
図7は、実施の形態3に係るデータ処理装置100の動作を示すフローチャートである。
図7は、実施の形態3に係るデータ処理装置100の動作を示すフローチャートである。
S21からS25と、S27との処理は、図3のS11からS15と、S17との処理と同じである。
S25で整合しない場合、S26の再実行処理で、再実行部8がデータ処理部2に処理の再実行を指示する再実行指示信号17を出力する。すると、処理がS21に戻され、S21でデータ処理部2が処理を再実行する。
S25で整合しない場合、S26の再実行処理で、再実行部8がデータ処理部2に処理の再実行を指示する再実行指示信号17を出力する。すると、処理がS21に戻され、S21でデータ処理部2が処理を再実行する。
***実施の形態3の効果***
以上のように、実施の形態3に係るデータ処理装置100は、出力データ11と整合すると判定された誤り検出符号12がない場合に、データ処理部2が処理を再実行する。
再現性のない一時的な故障の発生確率は、再現性のある永久的な故障の発生確率より格段に高い。つまり、誤りが発生しても処理をやり直せば正しい結果が得られる可能性は高い。そのため、正しい出力データ11が得られない場合であっても、処理を再実行することにより、正しい出力データ11が得られる可能性が高い。
以上のように、実施の形態3に係るデータ処理装置100は、出力データ11と整合すると判定された誤り検出符号12がない場合に、データ処理部2が処理を再実行する。
再現性のない一時的な故障の発生確率は、再現性のある永久的な故障の発生確率より格段に高い。つまり、誤りが発生しても処理をやり直せば正しい結果が得られる可能性は高い。そのため、正しい出力データ11が得られない場合であっても、処理を再実行することにより、正しい出力データ11が得られる可能性が高い。
***他の構成***
上記説明では、再実行部8は、データ処理部2に再実行指示信号17を出力するとした。しかし、誤り検出符号12を送信した際に誤り検出符号12にエラーが含まれた可能性もある。そのため、処理を再実行させるのではなく、誤り検出符号12の送信元の機能モジュール1に誤り検出符号12を再送信させるだけでもよい。また、誤り検出符号12を生成した際にエラーが含まれた可能性もある。そのため、処理を再実行させるのではなく、誤り検出符号12の送信元の機能モジュール1に誤り検出符号12を再生成させるだけでもよい。
上記説明では、再実行部8は、データ処理部2に再実行指示信号17を出力するとした。しかし、誤り検出符号12を送信した際に誤り検出符号12にエラーが含まれた可能性もある。そのため、処理を再実行させるのではなく、誤り検出符号12の送信元の機能モジュール1に誤り検出符号12を再送信させるだけでもよい。また、誤り検出符号12を生成した際にエラーが含まれた可能性もある。そのため、処理を再実行させるのではなく、誤り検出符号12の送信元の機能モジュール1に誤り検出符号12を再生成させるだけでもよい。
また、上記説明では、実施の形態1に係る機能モジュール1の構成に再実行部8を加えた構成を説明した。しかし、実施の形態2に係る機能モジュール1の構成に再実行部8を加えた構成にすることも可能である。
また、上記説明では、2つの機能モジュール1からそれぞれ別のハードディスクに出力データ11が出力され、格納される場合を説明した。しかし、実施の形態1,2で説明した多数決を行う構成とすることも可能である。この場合、並列接続される機能モジュール1の数は3つ以上となる。
実施の形態4.
実施の形態4では、実施の形態1〜3で説明したデータ処理装置100を応用したシステムについて説明する。ここでは、外部システム21がトータリーセルフチェッキングシステムになっているデータ処理システム110について説明する。
実施の形態4では、実施の形態1〜3で説明したデータ処理装置100を応用したシステムについて説明する。ここでは、外部システム21がトータリーセルフチェッキングシステムになっているデータ処理システム110について説明する。
トータリーセルフチェッキングシステムとは、トータリーセルフチェッキング性を有するシステムである。トータリーセルフチェッキング性を有するとは、(1)〜(3)の3つの条件を満たすことである。
条件(1)は、各機能ブロックの出力が、誤り検出符号で符号化されていることである。条件(2)は、動作中に故障が生じると、一定の動作サイクル内に非符号語が出力されるように機能ブロックが構成されていることである。条件(3)は、非符号語をチェックする機能ブロックの故障も検出可能であることである。
非符号語とは、データと誤り検出符号との組であって、誤り検出符号によってデータの誤りを検出可能な組である。
条件(1)は、各機能ブロックの出力が、誤り検出符号で符号化されていることである。条件(2)は、動作中に故障が生じると、一定の動作サイクル内に非符号語が出力されるように機能ブロックが構成されていることである。条件(3)は、非符号語をチェックする機能ブロックの故障も検出可能であることである。
非符号語とは、データと誤り検出符号との組であって、誤り検出符号によってデータの誤りを検出可能な組である。
図8は、実施の形態4に係るデータ処理システム110の構成図である。
データ処理システム110は、データ処理装置100と、外部システム21である外部処理装置211とを備える。
外部処理装置211は、2つの処理モジュール111を備える。各処理モジュール111は同じ構成である。
データ処理システム110は、データ処理装置100と、外部システム21である外部処理装置211とを備える。
外部処理装置211は、2つの処理モジュール111を備える。各処理モジュール111は同じ構成である。
各処理モジュール111は、マルチプレクサ112A,112Bと、チェッカ113A,113Bと、情報処理部114と、チェッカ115とを備える。
マルチプレクサ112A,112Bは、2つの入力から1つを選択して出力する。マルチプレクサ112A,112Bは、トータリーセルフチェッキング性を有するように構成できることが知られている。
マルチプレクサ112Aは、機能モジュール1bから出力された出力データ11及び誤り検出符号13の組と、機能モジュール1cから出力された出力データ11及び誤り検出符号13の組との2つを入力とする。そして、マルチプレクサ112Aは、チェッカ113Aから出力された選択信号116Aに従い、いずれかの入力を出力する。
マルチプレクサ112Bは、機能モジュール1aから出力された出力データ11及び誤り検出符号13の組と、マルチプレクサ112Aから出力された出力データ11及び誤り検出符号13の組との2つを入力とする。そして、マルチプレクサ112Bは、チェッカ113Bから出力された選択信号116Bに従い、いずれかの入力を出力する。
マルチプレクサ112Aは、機能モジュール1bから出力された出力データ11及び誤り検出符号13の組と、機能モジュール1cから出力された出力データ11及び誤り検出符号13の組との2つを入力とする。そして、マルチプレクサ112Aは、チェッカ113Aから出力された選択信号116Aに従い、いずれかの入力を出力する。
マルチプレクサ112Bは、機能モジュール1aから出力された出力データ11及び誤り検出符号13の組と、マルチプレクサ112Aから出力された出力データ11及び誤り検出符号13の組との2つを入力とする。そして、マルチプレクサ112Bは、チェッカ113Bから出力された選択信号116Bに従い、いずれかの入力を出力する。
チェッカ113A,113Bは、出力データ11と誤り検出符号13との整合性を判定し、判定結果に応じた選択信号116A,116Bを出力する。
チェッカ113Aは、機能モジュール1bから出力された出力データ11と誤り検出符号13との整合性を判定する。そして、チェッカ113Aは、整合する場合には、機能モジュール1bから出力された組を選択することを示す選択信号116Aを出力し、整合しない場合には、機能モジュール1cから出力された組を選択することを示す選択信号116Aを出力する。
チェッカ113Bは、機能モジュール1aから出力された出力データ11と誤り検出符号13との整合性を判定する。そして、チェッカ113Bは、整合する場合には、機能モジュール1aから出力された組を選択することを示す選択信号116Bを出力し、整合しない場合には、マルチプレクサ112Aから出力された組を選択することを示す選択信号116Bを出力する。
選択信号116A,116Bは、2ビットの値である。ここでは、整合する場合には、選択信号116A,116Bは“10”となり、整合しない場合には、選択信号116A,116B“01”となる。これにより、チェッカ113A,113Bに故障が生じて、出力された選択信号116A,116Bのうち1ビットに誤りがあったとしても、マルチプレクサ112A,112Bは誤りを検出することが可能である。つまり、上述した条件(3)が満される。
チェッカ113Aは、機能モジュール1bから出力された出力データ11と誤り検出符号13との整合性を判定する。そして、チェッカ113Aは、整合する場合には、機能モジュール1bから出力された組を選択することを示す選択信号116Aを出力し、整合しない場合には、機能モジュール1cから出力された組を選択することを示す選択信号116Aを出力する。
チェッカ113Bは、機能モジュール1aから出力された出力データ11と誤り検出符号13との整合性を判定する。そして、チェッカ113Bは、整合する場合には、機能モジュール1aから出力された組を選択することを示す選択信号116Bを出力し、整合しない場合には、マルチプレクサ112Aから出力された組を選択することを示す選択信号116Bを出力する。
選択信号116A,116Bは、2ビットの値である。ここでは、整合する場合には、選択信号116A,116Bは“10”となり、整合しない場合には、選択信号116A,116B“01”となる。これにより、チェッカ113A,113Bに故障が生じて、出力された選択信号116A,116Bのうち1ビットに誤りがあったとしても、マルチプレクサ112A,112Bは誤りを検出することが可能である。つまり、上述した条件(3)が満される。
情報処理部114は、トータリーセルフチェッキング性を有する装置である。情報処理部114は、トータリーセルフチェッキング性を有するため、データと誤り検出符号との組を出力する。
情報処理部114の処理内容は、データ処理システム110として実現したい内容に応じて決定される。
情報処理部114の処理内容は、データ処理システム110として実現したい内容に応じて決定される。
チェッカ115は、情報処理部114から出力されたデータと誤り検出符号との整合性を判定し、判定結果に応じた結果信号117を出力する。結果信号117は、選択信号116A,116Bと同様に2ビットの値である。そのため、上述した条件(3)が満たされる。
以上のように、各処理モジュール111を構成することにより、各処理モジュール111はトータリーセルフチェッキングシステムになる。したがって、外部処理装置211は、冗長構成をとったトータリーセルフチェッキングシステムとなる。
データ処理装置100は、出力データ11が異常の場合には、必ず非符号語を出力する。そして、外部処理装置211は、トータリーセルフチェッキングシステムとなっており、データ処理装置100の出力を入力として動作する。そのため、データ処理システム110は、全体としてトータリーセルフチェッキングシステムになる。
また、外部処理装置211は、冗長構成をとったトータリーセルフチェッキングシステムであるため、データ処理システム110は、全体として1系統が故障することを許容した構成なる。
実施の形態5.
実施の形態5では、実施の形態1〜3で説明したデータ処理装置100を応用したシステムについて説明する。ここでは、ループバック及び定期テストにより外部システム21の動作を保障するデータ処理システム120について説明する。
実施の形態5では、実施の形態1〜3で説明したデータ処理装置100を応用したシステムについて説明する。ここでは、ループバック及び定期テストにより外部システム21の動作を保障するデータ処理システム120について説明する。
ここでは、データ処理システム120が有人宇宙船のヒータ制御システムである場合を説明する。宇宙船に搭載される化学エンジンは、噴射口と、配管と、バルブと、タンクとを備える。このうち、配管及びバルブは、宇宙の厳しい温度環境に弱い部分である。地球近傍の宇宙では、高温側は太陽光によって130℃以上となり、低温側は暗黒宇宙との熱結合によって−160℃以下になる。配管及びバルブは、低温になり過ぎても高温になり過ぎても、破裂と爆発と異常燃焼とのいずれかの危険がある。これらは宇宙船に乗った人の命に係わる事象である。そのため、高温側の対策として、配管及びバルブは断熱材で覆われている。また、低温側の対策として、ヒータで加熱することが行われている。この場合、ヒータ制御には、故障が発生しても、決められた温度範囲に制御対象を収めることが要求される。
図9は、実施の形態5に係るデータ処理システム120の構成図である。
データ処理システム120は、データ処理装置100と、外部システム21である外部処理装置212とを備える。
外部処理装置212は、2つの処理モジュール121と、ループバック部122とを備える。各処理モジュール121は同じ構成である。一方の処理モジュール121が稼働しており、他方の処理モジュール121は待機している。
データ処理システム120は、データ処理装置100と、外部システム21である外部処理装置212とを備える。
外部処理装置212は、2つの処理モジュール121と、ループバック部122とを備える。各処理モジュール121は同じ構成である。一方の処理モジュール121が稼働しており、他方の処理モジュール121は待機している。
各処理モジュール121は、ヒータ制御装置123と、ヒータ124と、電流センサ125とを備える。
ヒータ制御装置123は、各機能モジュール1から出力された出力データ11及び誤り検出符号13の組のうち、出力データ11と誤り検出符号13とが整合する組の出力データ11を選択する。ヒータ制御装置123は、選択した出力データ11に従いヒータ124をオンするかオフするかを示す切替信号128を出力する。
ここでは、ヒータ制御装置123は、切替信号128を電流で表す。ヒータ制御装置123は、ヒータ124をオンする場合には、電流を流し、ヒータ124をオフする場合には、電流を流さないようにする。
ここでは、ヒータ制御装置123は、切替信号128を電流で表す。ヒータ制御装置123は、ヒータ124をオンする場合には、電流を流し、ヒータ124をオフする場合には、電流を流さないようにする。
ヒータ124は、制御対象130を加熱する。ヒータ124は、ヒータ制御装置123の制御に従い、オンとオフとを切り替える。
電流センサ125は、ヒータ制御装置123からヒータ124に流れる電流を検出する。電流センサ125は、電流を検出した結果を示す検出信号129を後述する各AD変換機127に出力する。
ループバック部122は、3つの温度センサ126と、各温度センサ126に対応して設けられたAD変換機127とを備える。
各温度センサ126は、制御対象130の温度131を検出する。各温度センサ126は、検出した温度131を対応するAD変換機127に出力する。
各AD変換機127は、対応する温度センサ126から出力された温度131と、電流センサ125から出力された検出信号129とをAD(Analog Digital)変換して、各機能モジュール1に出力する。
各機能モジュール1のデータ処理部2は、各AD変換機127から出力された3つの温度131からヒータ124をオンするかオフするかを示すオンオフ情報を含む出力データ11を生成する。ここでは、各機能モジュール1は、3つの温度131から多数決によって選択された温度131が基準温度よりも高いか否かによって、ヒータ124をオンするかオフするかを決定し、オンオフ情報を含む出力データ11を生成する。
また、各機能モジュール1の出力部7は、定期的に、整合しない出力データ11と誤り検出符号13との組、つまり非符号語をヒータ制御装置123に出力する。この際、出力部7は、他の機能モジュール1の出力部7と異なるときに、非符号語を出力する。
また、各機能モジュール1は、実施の形態1〜3で説明した構成に加え、制御判定部9を備える。図9では、実施の形態1〜3で説明した構成については省略している。
制御判定部9は、各AD変換機127から出力された検出信号129に基づき、オンオフ情報の通りの切替信号128がヒータ124に出力されているかを判定する。具体的には、制御判定部9は、オンすると決定し、検出信号129が電流が流れていることを示すか、又は、オフすると決定し、検出信号129が電流が流れていないことを示す場合に、オンオフ情報の通りの切替信号128がヒータ124に出力されていると判定する。
制御判定部9は、オンオフ情報の通りの切替信号128がヒータ124に出力されていない場合には、出力データ11及び誤り検出符号13の出力先を、待機中の処理モジュール121に切り替える。これにより、待機中の処理モジュール121が稼働する。
制御判定部9は、各AD変換機127から出力された検出信号129に基づき、オンオフ情報の通りの切替信号128がヒータ124に出力されているかを判定する。具体的には、制御判定部9は、オンすると決定し、検出信号129が電流が流れていることを示すか、又は、オフすると決定し、検出信号129が電流が流れていないことを示す場合に、オンオフ情報の通りの切替信号128がヒータ124に出力されていると判定する。
制御判定部9は、オンオフ情報の通りの切替信号128がヒータ124に出力されていない場合には、出力データ11及び誤り検出符号13の出力先を、待機中の処理モジュール121に切り替える。これにより、待機中の処理モジュール121が稼働する。
***動作の説明***
図10は、実施の形態5に係るデータ処理システム120の動作を示すフローチャートである。
なお、データ処理システム120の動作開始時には、いずれか一方の処理モジュール121が稼働しており、他方の処理モジュール121は待機している。
図10は、実施の形態5に係るデータ処理システム120の動作を示すフローチャートである。
なお、データ処理システム120の動作開始時には、いずれか一方の処理モジュール121が稼働しており、他方の処理モジュール121は待機している。
S31の出力データ生成処理では、各機能モジュール1は、3つの温度131から多数決により温度131を選択する。各機能モジュール1は、選択された温度131に基づきオンオフ情報を含む出力データ11を生成して、ヒータ制御装置123に出力する。
S32のヒータ制御処理では、ヒータ制御装置123は、S31で各機能モジュール1から出力された出力データ11及び誤り検出符号13の組から、出力データ11と誤り検出符号13とが整合する組の出力データ11を選択する。ヒータ制御装置123は、選択した出力データ11に含まれるオンオフ情報に従いヒータ124をオンするかオフするかを示す切替信号128を出力する。
この際、電流センサ125は、ヒータ制御装置123からヒータ124に流れる電流を検出して、検出信号129をAD変換機127に出力する。
この際、電流センサ125は、ヒータ制御装置123からヒータ124に流れる電流を検出して、検出信号129をAD変換機127に出力する。
S33の温度計測処理では、各温度センサ126は、制御対象130の温度131を検出して、検出された温度131を対応するAD変換機127に出力する。
S34のループバック処理では、各AD変換機127は、S33で出力された温度131と、S32で出力された検出信号129とをAD変換して、各機能モジュール1に出力する。
S35の動作判定処理では、各機能モジュール1において制御判定部9は、S34で出力された3つの検出信号129から多数決により検出信号129を選択する。制御判定部9は、選択された検出信号129に基づき、オンオフ情報の通りの切替信号128がヒータ124に出力されているかを判定する。
オンオフ情報の通りの切替信号128がヒータ124に出力されている場合(S35でYES)、制御判定部9は処理をS31に戻す。一方、オンオフ情報の通りの切替信号128がヒータ124に出力されていない場合(S35でNO)、制御判定部9は、S36の出力先切替処理で待機中の処理モジュール121に出力先を切り替えた上で、S31に処理を戻す。
オンオフ情報の通りの切替信号128がヒータ124に出力されている場合(S35でYES)、制御判定部9は処理をS31に戻す。一方、オンオフ情報の通りの切替信号128がヒータ124に出力されていない場合(S35でNO)、制御判定部9は、S36の出力先切替処理で待機中の処理モジュール121に出力先を切り替えた上で、S31に処理を戻す。
なお、S31では、各機能モジュール1の出力部7は、他の機能モジュール1の出力部7と異なるときに、定期的に非符号語を出力する。
***実施の形態5の効果***
以上のように、実施の形態5に係るデータ処理システム120は、機能モジュール1、ヒータ制御装置123、電流センサ125、AD変換機127、機能モジュール1の順に、ヒータ124をオンするかオフするかを示す情報が形態を変えながらループバックしている。これにより、処理モジュール121で故障があったことをデータ処理装置100が検出できる。そして、処理モジュール121に故障があった場合に、待機中の処理モジュール121に出力先を切り替えることができる。その結果、外部処理装置212の動作を保証することできる。
以上のように、実施の形態5に係るデータ処理システム120は、機能モジュール1、ヒータ制御装置123、電流センサ125、AD変換機127、機能モジュール1の順に、ヒータ124をオンするかオフするかを示す情報が形態を変えながらループバックしている。これにより、処理モジュール121で故障があったことをデータ処理装置100が検出できる。そして、処理モジュール121に故障があった場合に、待機中の処理モジュール121に出力先を切り替えることができる。その結果、外部処理装置212の動作を保証することできる。
また、実施の形態5に係るデータ処理システム120は、出力部7が定期的に非符号語をヒータ制御装置123に出力する。これにより、ヒータ制御装置123における整合した出力データ11を選択する機能が故障していないか確認することができる。
ループバックと定期テストは、セルフチェッキングシステムが有するフォールトセキュア性と、セルフテスティング性に対応する性質を実現している。
なお、温度センサ126及びAD変換機127も3つずつ用意されており、出力結果から使用するデータを多数決により選択する。これにより、温度センサ126及びAD変換機127の1つが故障した場合であっても、動作を保証することができる。
***他の構成***
上記説明では、処理モジュール121は2つであった。しかし、処理モジュール121は3つ以上であってもよい。これにより、2つ以上の処理モジュール121が故障した場合であっても、外部処理装置212の動作を保証することできる。
上記説明では、処理モジュール121は2つであった。しかし、処理モジュール121は3つ以上であってもよい。これにより、2つ以上の処理モジュール121が故障した場合であっても、外部処理装置212の動作を保証することできる。
実施の形態6.
実施の形態6では、実施の形態1〜3で説明したデータ処理装置100を応用したシステムについて説明する。ここでは、分散サーバを構成するデータ処理システム140について説明する。
実施の形態6では、実施の形態1〜3で説明したデータ処理装置100を応用したシステムについて説明する。ここでは、分散サーバを構成するデータ処理システム140について説明する。
ここでは、データ処理装置100がサーバであり、外部システム21がクライアントである場合を想定する。クライアントは、顧客又は他社が使用する設備である。そのため、クライアント側で故障が発生することは大きな問題とはならないが、サーバ側で故障が発生することは避けたい場合がある。
具体的には、サーバから出力されたデータに誤りがあり、誤りに気付かずクライアント側で処理を進めてしまい、大きな問題となる場合がある。
具体的には、サーバから出力されたデータに誤りがあり、誤りに気付かずクライアント側で処理を進めてしまい、大きな問題となる場合がある。
図11は、実施の形態6に係るデータ処理システム140の構成図である。
データ処理システム140は、データ処理装置100と、外部システム21である外部処理装置213とを備える。データ処理システム140では、通信プロトコルとしてTCP/IP(Transmission Control Protocol/Internet Protocol)が用いられる。
データ処理システム140は、データ処理装置100と、外部システム21である外部処理装置213とを備える。データ処理システム140では、通信プロトコルとしてTCP/IP(Transmission Control Protocol/Internet Protocol)が用いられる。
データ処理装置100は、1つの機能モジュール1を有する3台の計算機141を備える。つまり、各機能モジュール1は、それぞれ異なる計算機141に実装される。そして、3台の計算機141のうち、2台だけが稼働し、残りの1台は待機している。稼働中の2台の計算機141のうち一方だけが、出力データ11及び誤り検出符号13を外部処理装置213に出力する。
ここでは、誤り検出符号12及び誤り検出符号13は、TCP/IPのチェックサムの領域が用いられる。
ここでは、誤り検出符号12及び誤り検出符号13は、TCP/IPのチェックサムの領域が用いられる。
外部処理装置213は、データ処理装置100から出力された出力データ11を用いて処理を実行する。
この際、外部処理装置213は、出力データ11と誤り検出符号13とが整合するかを判定する。外部処理装置213は、整合する場合、出力データ11を用いて処理を実行する。一方、外部処理装置213は、整合しない場合、データ処理装置100に出力データ11を再要求する。この処理は、誤り検出符号13がTCP/IPのチェックサムの領域を用いられていることで、外部処理装置213側では意識することなく実現される。
この際、外部処理装置213は、出力データ11と誤り検出符号13とが整合するかを判定する。外部処理装置213は、整合する場合、出力データ11を用いて処理を実行する。一方、外部処理装置213は、整合しない場合、データ処理装置100に出力データ11を再要求する。この処理は、誤り検出符号13がTCP/IPのチェックサムの領域を用いられていることで、外部処理装置213側では意識することなく実現される。
データ処理装置100は、実施の形態1〜3で説明した構成に加え、計算機切替部10を備える。
計算機切替部10は、外部処理装置213から出力データ11を再要求された場合、稼働中の2台の計算機141のうち、出力データ11及び誤り検出符号13を出力した計算機141を停止させ、代わりに待機中の計算機141を稼働させる。そして、再び出力データ11及び誤り検出符号13を出力する。
計算機切替部10は、外部処理装置213から出力データ11を再要求された場合、稼働中の2台の計算機141のうち、出力データ11及び誤り検出符号13を出力した計算機141を停止させ、代わりに待機中の計算機141を稼働させる。そして、再び出力データ11及び誤り検出符号13を出力する。
これにより、計算機141のうち1台が故障した場合でも、外部処理装置213が誤りのない出力データ11を用いて処理をすることができる。
上記説明では、データ処理装置100が3つの機能モジュール1を有する場合を説明した。しかし、データ処理装置100は、4つ以上の機能モジュール1を有していてもよい。この場合であっても、データ処理装置100は、機能モジュール1毎に計算機141を備えていればよい。これにより、複数の計算機141の故障を許容する構成とすることが可能である。
図12は、実施の形態1〜6に係るデータ処理装置100のハードウェア構成例を示す図である。
データ処理装置100はコンピュータである。
データ処理装置100は、プロセッサ901、補助記憶装置902、メモリ903、通信装置904、入力インターフェース905、ディスプレイインターフェース906といったハードウェアを備える。
プロセッサ901は、信号線910を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
入力インターフェース905は、ケーブル911により入力装置907に接続されている。
ディスプレイインターフェース906は、ケーブル912によりディスプレイ908に接続されている。
データ処理装置100はコンピュータである。
データ処理装置100は、プロセッサ901、補助記憶装置902、メモリ903、通信装置904、入力インターフェース905、ディスプレイインターフェース906といったハードウェアを備える。
プロセッサ901は、信号線910を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
入力インターフェース905は、ケーブル911により入力装置907に接続されている。
ディスプレイインターフェース906は、ケーブル912によりディスプレイ908に接続されている。
プロセッサ901は、プロセッシングを行うIC(Integrated Circuit)である。プロセッサ901は、具体的には、CPU(Central Processing Unit)、DSP(Digital Signal Processor)、GPU(Graphics Processing Unit)である。
補助記憶装置902は、具体的には、ROM(Read Only Memory)、フラッシュメモリ、HDD(Hard Disk Drive)である。
メモリ903は、具体的には、RAM(Random Access Memory)である。
通信装置904は、データを受信するレシーバー9041及びデータを送信するトランスミッター9042を含む。通信装置904は、具体的には、通信チップ又はNIC(Network Interface Card)である。
入力インターフェース905は、入力装置907のケーブル911が接続されるポートである。入力インターフェース905は、具体的には、USB(Universal Serial Bus)端子である。
ディスプレイインターフェース906は、ディスプレイ908のケーブル912が接続されるポートである。ディスプレイインターフェース906は、具体的には、USB端子又はHDMI(登録商標)(High Definition Multimedia Interface)端子である。
入力装置907は、具体的には、マウス、キーボード又はタッチパネルである。
ディスプレイ908は、具体的には、LCD(Liquid Crystal Display)である。
補助記憶装置902は、具体的には、ROM(Read Only Memory)、フラッシュメモリ、HDD(Hard Disk Drive)である。
メモリ903は、具体的には、RAM(Random Access Memory)である。
通信装置904は、データを受信するレシーバー9041及びデータを送信するトランスミッター9042を含む。通信装置904は、具体的には、通信チップ又はNIC(Network Interface Card)である。
入力インターフェース905は、入力装置907のケーブル911が接続されるポートである。入力インターフェース905は、具体的には、USB(Universal Serial Bus)端子である。
ディスプレイインターフェース906は、ディスプレイ908のケーブル912が接続されるポートである。ディスプレイインターフェース906は、具体的には、USB端子又はHDMI(登録商標)(High Definition Multimedia Interface)端子である。
入力装置907は、具体的には、マウス、キーボード又はタッチパネルである。
ディスプレイ908は、具体的には、LCD(Liquid Crystal Display)である。
補助記憶装置902には、上述したデータ処理部2と、符号生成部3と、符号送信部4と、符号受信部5と、符号判定部6と、出力部7と、再実行部8と、制御判定部9と(以下、データ処理部2と、符号生成部3と、符号送信部4と、符号受信部5と、符号判定部6と、出力部7と、再実行部8と、制御判定部9とをまとめて「部」と表記する)の機能を実現するプログラムが記憶されている。
このプログラムは、メモリ903にロードされ、プロセッサ901に読み込まれ、プロセッサ901によって実行される。
更に、補助記憶装置902には、OS(Operating System)も記憶されている。
そして、OSの少なくとも一部がメモリ903にロードされ、プロセッサ901はOSを実行しながら、「部」の機能を実現するプログラムを実行する。
図12では、1つのプロセッサ901が図示されているが、データ処理装置100が複数のプロセッサ901を備えていてもよい。そして、複数のプロセッサ901が「部」の機能を実現するプログラムを連携して実行してもよい。
また、「部」の処理の結果を示す情報又はデータ又は信号値又は変数値が、メモリ903、補助記憶装置902、又は、プロセッサ901内のレジスタ又はキャッシュメモリにファイルとして記憶される。
また、「部」の機能を実現するプログラムは、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVD等の記憶媒体に記憶される。
このプログラムは、メモリ903にロードされ、プロセッサ901に読み込まれ、プロセッサ901によって実行される。
更に、補助記憶装置902には、OS(Operating System)も記憶されている。
そして、OSの少なくとも一部がメモリ903にロードされ、プロセッサ901はOSを実行しながら、「部」の機能を実現するプログラムを実行する。
図12では、1つのプロセッサ901が図示されているが、データ処理装置100が複数のプロセッサ901を備えていてもよい。そして、複数のプロセッサ901が「部」の機能を実現するプログラムを連携して実行してもよい。
また、「部」の処理の結果を示す情報又はデータ又は信号値又は変数値が、メモリ903、補助記憶装置902、又は、プロセッサ901内のレジスタ又はキャッシュメモリにファイルとして記憶される。
また、「部」の機能を実現するプログラムは、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVD等の記憶媒体に記憶される。
「部」を「サーキットリー」で提供してもよい。また、「部」を「回路」又は「工程」又は「手順」又は「処理」に読み替えてもよい。「回路」及び「サーキットリー」は、プロセッサ901だけでなく、ロジックIC又はGA(Gate Array)又はASIC(Application Specific Integrated Circuit)又はFPGA(Field−Programmable Gate Array)といった他の種類の処理回路をも包含する概念である。
また、出力部7は、トランスミッター9042として実現されてもよい。
1 機能モジュール、2 データ処理部、3 符号生成部、4 符号送信部、5 符号受信部、6 符号判定部、7 出力部、8 再実行部、11 出力データ、12 誤り検出符号、13 誤り検出符号、14 生成用データ、15 判定用データ、16 識別子、17 再実行指示信号、21 外部システム、22 符号点検部、100 データ処理装置、110 データ処理システム、111 処理モジュール、112 マルチプレクサ、113 チェッカ、114 情報処理部、115 チェッカ、116 選択信号、117 結果信号、120 データ処理システム、121 処理モジュール、122 ループバック部、123 ヒータ制御装置、124 ヒータ、125 電流センサ、126 温度センサ、127 AD変換機、128 切替信号、129 検出信号、130 制御対象、131 温度、140 データ処理システム、141 計算機、211,212,213 外部処理装置。
Claims (9)
- 同一の処理対象データに対して同一の処理を実行する複数の機能モジュールを備えるデータ処理装置であり、
各機能モジュールは、
前記処理を実行して得られた出力データに対して誤り検出符号を生成する符号生成部と、
前記符号生成部によって生成された誤り検出符号を他の機能モジュールに送信する符号送信部と、
他の機能モジュールの前記符号送信部によって送信された誤り検出符号を受信する符号受信部と、
前記符号受信部によって受信された誤り検出符号と、前記出力データとが整合するかを判定する符号判定部と、
前記符号判定部によって前記出力データと整合すると判定された誤り検出符号を、前記出力データとともに出力する出力部と
を備えるデータ処理装置。 - 前記符号生成部は、機能モジュール毎に異なる識別子を前記出力データに合成した生成用データに対して誤り検出符号を生成し、
前記符号送信部は、前記識別子を前記誤り検出符号とともに送信し、
前記符号受信部は、前記識別子を前記誤り検出符号とともに受信し、
前記符号判定部は、前記符号受信部によって受信された前記誤り検出符号と、前記符号受信部によって受信された識別子を前記出力データに合成した判定用データとが整合するかを判定する
請求項1に記載のデータ処理装置。 - 前記各機能モジュールは、さらに、
前記符号判定部によって前記出力データと整合すると判定された誤り検出符号がない場合に、前記処理の再実行を指示する再実行指示信号を出力する再実行部
を備える請求項1又は2に記載のデータ処理装置。 - 請求項1から3までのいずれか1項に記載のデータ処理装置と、
前記出力部によって出力された出力データを用いて処理を行う外部処理装置と
を備えるデータ処理システム。 - 前記外部処理装置は、
2つの機能モジュールのうちの一方の機能モジュールが備える前記出力部によって出力された誤り検出符号と、前記出力部によって出力された出力データとが整合するか否かを判定するチェッカと、
前記チェッカによって整合すると判定された場合には前記一方の機能モジュールが備える前記出力部によって出力された出力データを出力し、前記チェッカによって整合しないと判定された場合には他方の機能モジュールが備える前記出力部によって出力された出力データを出力するマルチプレクサと、
前記マルチプレクサによって出力された出力データを用いて情報処理を実行する情報処理部と
を備える請求項4に記載のデータ処理システム。 - 前記外部処理装置は、
前記複数の機能モジュールが備える前記出力部によって出力された出力データのうち、ともに出力された誤り検出符号と整合する出力データに基づく信号を制御対象に送信して、前記制御対象を制御する処理モジュールと、
前記処理モジュールが出力した前記信号を取得して、取得された信号を前記各機能モジュールに出力するループバック部と
を備え、
前記各機能モジュールは、さらに、
前記ループバック部によって出力された信号に基づき、前記出力データに従う制御を前記処理モジュールがしているか判定する制御判定部
を備える請求項4に記載のデータ処理システム。 - 前記出力部は、定期的に、前記出力データ及び前記誤り検出符号に代えて、整合しない出力データ及び誤り検出符号、又は、出力データのみを出力する
請求項6に記載のデータ処理システム。 - 前記各機能モジュールは、それぞれ異なる計算機に実装され、前記各機能モジュールが実装された各計算機のうち複数の計算機が稼働するとともに、残りの計算機が待機しており、
前記データ処理装置は、さらに、
前記出力データの出力先から前記出力データを再要求されると、稼働している少なくとも一部の計算機を停止させ、待機している少なくとも一部の計算機を稼働させる計算機切替部
を備える請求項1から3までのいずれか1項に記載のデータ処理装置。 - 同一の処理対象データに対して同一の処理を実行する複数の機能モジュールを備えるデータ処理装置におけるデータ処理方法であり、
各機能モジュールが、
前記処理を実行して得られた出力データに対して誤り検出符号を生成し、
生成された誤り検出符号を他の機能モジュールに送信し、
他の機能モジュールによって送信された誤り検出符号を受信し、
受信された誤り検出符号と、前記出力データとが整合するかを判定する
データ処理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015117096A JP6482393B2 (ja) | 2015-06-10 | 2015-06-10 | データ処理装置及びデータ処理システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015117096A JP6482393B2 (ja) | 2015-06-10 | 2015-06-10 | データ処理装置及びデータ処理システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017005483A true JP2017005483A (ja) | 2017-01-05 |
| JP6482393B2 JP6482393B2 (ja) | 2019-03-13 |
Family
ID=57754534
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015117096A Active JP6482393B2 (ja) | 2015-06-10 | 2015-06-10 | データ処理装置及びデータ処理システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6482393B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111274543A (zh) * | 2020-01-17 | 2020-06-12 | 北京空间飞行器总体设计部 | 一种基于高维空间映射的航天器系统异常检测方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH05189325A (ja) * | 1992-01-16 | 1993-07-30 | Railway Technical Res Inst | 二重系電子計算機 |
| JPH0683663A (ja) * | 1992-03-04 | 1994-03-25 | Internatl Business Mach Corp <Ibm> | マルチプロセッサ・コンピュータ・システム |
| JPH06110931A (ja) * | 1992-09-30 | 1994-04-22 | Nippon Telegr & Teleph Corp <Ntt> | 二重化データベース装置 |
| JP2011198205A (ja) * | 2010-03-23 | 2011-10-06 | Railway Technical Research Institute | 二重系制御システム |
| JP2012073828A (ja) * | 2010-09-29 | 2012-04-12 | Nec Corp | 情報処理装置、情報処理方法 |
| JP2014096127A (ja) * | 2012-11-12 | 2014-05-22 | Kobe Univ | 高信頼マルチコアプロセッサ |
-
2015
- 2015-06-10 JP JP2015117096A patent/JP6482393B2/ja active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH05189325A (ja) * | 1992-01-16 | 1993-07-30 | Railway Technical Res Inst | 二重系電子計算機 |
| JPH0683663A (ja) * | 1992-03-04 | 1994-03-25 | Internatl Business Mach Corp <Ibm> | マルチプロセッサ・コンピュータ・システム |
| JPH06110931A (ja) * | 1992-09-30 | 1994-04-22 | Nippon Telegr & Teleph Corp <Ntt> | 二重化データベース装置 |
| JP2011198205A (ja) * | 2010-03-23 | 2011-10-06 | Railway Technical Research Institute | 二重系制御システム |
| JP2012073828A (ja) * | 2010-09-29 | 2012-04-12 | Nec Corp | 情報処理装置、情報処理方法 |
| JP2014096127A (ja) * | 2012-11-12 | 2014-05-22 | Kobe Univ | 高信頼マルチコアプロセッサ |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111274543A (zh) * | 2020-01-17 | 2020-06-12 | 北京空间飞行器总体设计部 | 一种基于高维空间映射的航天器系统异常检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6482393B2 (ja) | 2019-03-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9716612B2 (en) | Evaluation of field replaceable unit dependencies and connections | |
| EP0287302B1 (en) | Cross-coupled checking circuit | |
| JPH01188953A (ja) | 障害の許容範囲があるデータ保全装置及びその方法 | |
| CN102708021B (zh) | 镜像数据存储系统中的增强错误检测 | |
| US10114356B2 (en) | Method and apparatus for controlling a physical unit in an automation system | |
| US10393805B2 (en) | JTAG support over a broadcast bus in a distributed memory buffer system | |
| US9477559B2 (en) | Control device, control method and recording medium storing program thereof | |
| JP2012243305A (ja) | 1553バス動作の自己検査のためのシステムおよび方法 | |
| KR20150094112A (ko) | 반도체 메모리 장치 및 동작 방법 | |
| US20200117554A1 (en) | Ips soc pll monitoring and error reporting | |
| CN102214278A (zh) | 一种计算机的可信性检测方法 | |
| US20230102197A1 (en) | Parallel processing system runtime state reload | |
| JP6482393B2 (ja) | データ処理装置及びデータ処理システム | |
| US7853824B2 (en) | Dual computer for system backup and being fault-tolerant | |
| CN109522051B (zh) | 一种可自我修复的控制寄存器单元 | |
| US20210375383A1 (en) | Testing of fault detection circuit | |
| US8484546B2 (en) | Information processing apparatus, information transmitting method, and information receiving method | |
| US9713992B2 (en) | Transmission system for avionics application data | |
| US8522075B2 (en) | Storage system having storage devices for storing data and control devices for controlling the storage devices | |
| CN111587422A (zh) | 确定由三个或多于三个阵列存储的数据值之间的匹配 | |
| CN108028530B (zh) | 应用于数字集成电路的esd检测装置、集成电路及方法 | |
| US7996742B2 (en) | Circuit arrangement and method for checking the function of a logic circuit in a circuit arrangement | |
| JP6309432B2 (ja) | 秘密計算システム及び方法並びに管理サーバ及びプログラム | |
| US20120307650A1 (en) | Multiplex system | |
| RU120256U1 (ru) | Трехканальная отказоустойчивая система на конфигурируемых процессорах с вне- и внутрикристальным резервированием |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180110 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20181127 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181204 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190104 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190115 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190212 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6482393 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |