JP2577474B2 - 照合2重化プログラム制御方式 - Google Patents
照合2重化プログラム制御方式Info
- Publication number
- JP2577474B2 JP2577474B2 JP1198406A JP19840689A JP2577474B2 JP 2577474 B2 JP2577474 B2 JP 2577474B2 JP 1198406 A JP1198406 A JP 1198406A JP 19840689 A JP19840689 A JP 19840689A JP 2577474 B2 JP2577474 B2 JP 2577474B2
- Authority
- JP
- Japan
- Prior art keywords
- program
- information
- output
- collation
- programs
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Retry When Errors Occur (AREA)
- Hardware Redundancy (AREA)
- Safety Devices In Control Systems (AREA)
Description
【発明の詳細な説明】 〔発明の目的〕 (産業上の利用分野) この発明は工業用プロセス制御等、信頼性およびフェ
イルセーフ性が要求される計算機システムに係り、特
に、プログラムを2重化してノイズ等の一過性故障に対
しての異常出力を防止する照合2重化プログラム制御方
式に関するものである。
イルセーフ性が要求される計算機システムに係り、特
に、プログラムを2重化してノイズ等の一過性故障に対
しての異常出力を防止する照合2重化プログラム制御方
式に関するものである。
(従来の技術及び発明が解決しようとする課題) 交通信号制御等、誤出力が故障に繋がるようなフェイ
ルセーフ重視型システムにおいては、従来からハードウ
ェアおよびソフトウェア両方での各種対策が講じられて
きた。その例として、第11図乃至第13図に示す2重系が
ある。
ルセーフ重視型システムにおいては、従来からハードウ
ェアおよびソフトウェア両方での各種対策が講じられて
きた。その例として、第11図乃至第13図に示す2重系が
ある。
このうち、第11図に示したものは、入力装置10を介し
てCPU20に信号を入力すると、プログラムA,B,Cが順に動
作し、得られた信号が出力装置30を介して出力される系
統が2重化されており、これら2つの系統に対してCPU2
0を同期させるための同期クロック40、および、2つの
系統の出力を照合する照合回路50を備えている。なお、
各系統の要素は内部バス60で接続されている。また、照
合回路50としては、不一致を検出したとき不一致アラー
ム70を出力するものが用いられている。この2重化方式
は完全2重系またはAA′プログラム方式と呼ばれる。
てCPU20に信号を入力すると、プログラムA,B,Cが順に動
作し、得られた信号が出力装置30を介して出力される系
統が2重化されており、これら2つの系統に対してCPU2
0を同期させるための同期クロック40、および、2つの
系統の出力を照合する照合回路50を備えている。なお、
各系統の要素は内部バス60で接続されている。また、照
合回路50としては、不一致を検出したとき不一致アラー
ム70を出力するものが用いられている。この2重化方式
は完全2重系またはAA′プログラム方式と呼ばれる。
また、第12図に示したものは、単一の入力装置10を介
して得られた信号を2つのCPU20に同時に入力し、それ
ぞれプログラムA,B,Cを順に動作させ、このうち一方のC
PU20の出力を出力装置30を介して出力すると共に、各CP
U20の出力を照合回路50で照合して、不一致を検出した
とき不一致アラーム70を出力するようになっている。な
お、この場合も、2つのCPUを同期させる同期クロック4
0を備えている。この2重化方式はCPUバス照合系と呼ば
れたり、上述したと同様にAA′プログラム方式とも呼ば
れたりしている。
して得られた信号を2つのCPU20に同時に入力し、それ
ぞれプログラムA,B,Cを順に動作させ、このうち一方のC
PU20の出力を出力装置30を介して出力すると共に、各CP
U20の出力を照合回路50で照合して、不一致を検出した
とき不一致アラーム70を出力するようになっている。な
お、この場合も、2つのCPUを同期させる同期クロック4
0を備えている。この2重化方式はCPUバス照合系と呼ば
れたり、上述したと同様にAA′プログラム方式とも呼ば
れたりしている。
さらにまた、第13図に示したものは、入力装置10を介
して入力した信号をCPU20に入力してプログラムA,B,Cを
順に実行せしめ、このCPU20で得られた信号を出力装置3
0を介して出力する一つの系統と、入力信号を反転ゲー
ト80で反転した信号を、入力装置10を介してCPU20に加
え、逆論理で組上げられたプログラム,,を順に
実行せしめ、得られた信号が出力装置30を介して出力さ
れるもう一つの系統とを備え、各系統の出力装置30の出
力をタイミング調整回路90に加えて、タイミングのずれ
を調整して出力する構成になっている。この2重化方式
はAプログラム方式と呼ばれ、このうち、逆論理のプ
ログラム,,の代わりに別個のプログラムを用い
たとすると、これがABプログラム方式と呼ばれている。
して入力した信号をCPU20に入力してプログラムA,B,Cを
順に実行せしめ、このCPU20で得られた信号を出力装置3
0を介して出力する一つの系統と、入力信号を反転ゲー
ト80で反転した信号を、入力装置10を介してCPU20に加
え、逆論理で組上げられたプログラム,,を順に
実行せしめ、得られた信号が出力装置30を介して出力さ
れるもう一つの系統とを備え、各系統の出力装置30の出
力をタイミング調整回路90に加えて、タイミングのずれ
を調整して出力する構成になっている。この2重化方式
はAプログラム方式と呼ばれ、このうち、逆論理のプ
ログラム,,の代わりに別個のプログラムを用い
たとすると、これがABプログラム方式と呼ばれている。
上述した3つの方式はいずれもCPUの処理結果を外部
から観測し、その妥当性を照合チェックするものであ
り、次のような問題点があった。
から観測し、その妥当性を照合チェックするものであ
り、次のような問題点があった。
第11図、第12図に示したAA′プログラム方式は、照合
の負担をハードウェアに持たせているので、同期クロッ
ク40、照合回路50等の特殊なノードのハードウェアが必
要となる。また、全プログラムを同期走行させるべく、
クロックの速度を落として十分なマージンをとる必要が
あるため、負荷の増大に対応しようとしてもCPUの構
成、拡充性に大幅の制約を受けることになる。
の負担をハードウェアに持たせているので、同期クロッ
ク40、照合回路50等の特殊なノードのハードウェアが必
要となる。また、全プログラムを同期走行させるべく、
クロックの速度を落として十分なマージンをとる必要が
あるため、負荷の増大に対応しようとしてもCPUの構
成、拡充性に大幅の制約を受けることになる。
また、また第13図に示したAプログラム方式やABプ
ログラム方式にあっては、照合の負担を全面的にアプリ
ケーションソフトウェアに負わせるもので、プログラム
作成の手間は2倍になる他、出力タイミングが合わない
ために、タイミング調整回路で待合わせ一致照合を行う
という特別な処理を必要とした。
ログラム方式にあっては、照合の負担を全面的にアプリ
ケーションソフトウェアに負わせるもので、プログラム
作成の手間は2倍になる他、出力タイミングが合わない
ために、タイミング調整回路で待合わせ一致照合を行う
という特別な処理を必要とした。
一方、負荷分担を行うマルチCPUシステムも提案され
ているが、いずれも第14図に示す構成になっている。す
なわち、入力装置10、CPU20および出力装置30でなる系
統に、もう一つのCPUを付加したもので、プログラムA,
B,Cを、固定プログラムA,Cと可変配置可能なプログラム
Bとに分け、負荷量に応じてプログラムBを分散配置す
る形式のものである。
ているが、いずれも第14図に示す構成になっている。す
なわち、入力装置10、CPU20および出力装置30でなる系
統に、もう一つのCPUを付加したもので、プログラムA,
B,Cを、固定プログラムA,Cと可変配置可能なプログラム
Bとに分け、負荷量に応じてプログラムBを分散配置す
る形式のものである。
しかし、この方法ではプログラムA→B→Cの情報ル
ートは単一であり、この部分の信頼性の確保、フェイル
セーフ性の確保に問題が残り、しかも、処理プログラム
自体も2重になっていなかった。
ートは単一であり、この部分の信頼性の確保、フェイル
セーフ性の確保に問題が残り、しかも、処理プログラム
自体も2重になっていなかった。
この欠点を解決するために、第15図に示す2重化プロ
グラム方式も考えられる。これは、入力装置10、CPU2
0、出力装置30でなる系統を2個備え、両出力をタイミ
ング調整回路90で照合して出力するものである。この概
略動作を第16図を参照して説明する。
グラム方式も考えられる。これは、入力装置10、CPU2
0、出力装置30でなる系統を2個備え、両出力をタイミ
ング調整回路90で照合して出力するものである。この概
略動作を第16図を参照して説明する。
ここで、A+,A-,B+,B-,C+,C-は各々同一のオリジナル
プログラムA,B,Cから複製されたフローンプログラム
で、同一入力で同一出力が得られるものである。いま、
プログラムB+,B-を中心に考えると、前段のプログラムA
+,A-は同一の力により起動され、プログラムA+は情報a+
b+,a+b-を出力し、プログラムA-は情報a-b+,a-b-を出力
する。これらの情報はOS(OPERATING SYSTEM)内の同報
メッセージ処理機構にてプログラムB+,B-に渡される。
また、プログラムB+,B-はこれらの情報を処理して、情
報b+c+,b+c-と、情報b-c+,b-c-を出力すると、これらの
情報が同様にしてプログラムC+,C-に渡される。
プログラムA,B,Cから複製されたフローンプログラム
で、同一入力で同一出力が得られるものである。いま、
プログラムB+,B-を中心に考えると、前段のプログラムA
+,A-は同一の力により起動され、プログラムA+は情報a+
b+,a+b-を出力し、プログラムA-は情報a-b+,a-b-を出力
する。これらの情報はOS(OPERATING SYSTEM)内の同報
メッセージ処理機構にてプログラムB+,B-に渡される。
また、プログラムB+,B-はこれらの情報を処理して、情
報b+c+,b+c-と、情報b-c+,b-c-を出力すると、これらの
情報が同様にしてプログラムC+,C-に渡される。
この場合、システムが正常であれば、これらの情報a+
b+,a+b-,a-b+,a-b-は全く同一である。そして、受信側
プログラムB+は情報a+b+,a-b-を受取り、受信側プログ
ラムB-は情報a+b-,a-b-を受取るが、送信側のプログラ
ムA+,A-の走行状態に多少のずれがあるため、時間的に
ずれた情報を受信する。したがって、プログラムB+に着
目すれば、情報a+b+,a-b+の処理に当たってはこれらの
情報の待合わせ照合または先着優先、および着順制御
(不一致の場合の優先情報を決定するための基準設定手
法)等を行う必要があった。
b+,a+b-,a-b+,a-b-は全く同一である。そして、受信側
プログラムB+は情報a+b+,a-b-を受取り、受信側プログ
ラムB-は情報a+b-,a-b-を受取るが、送信側のプログラ
ムA+,A-の走行状態に多少のずれがあるため、時間的に
ずれた情報を受信する。したがって、プログラムB+に着
目すれば、情報a+b+,a-b+の処理に当たってはこれらの
情報の待合わせ照合または先着優先、および着順制御
(不一致の場合の優先情報を決定するための基準設定手
法)等を行う必要があった。
かかる2重化プログラム方式によれば、情報ルートの
2重化およびフェイルセーフ性は確保されるが、上記時
間的ずれに対する処理と同報通信が必ず重なるため、系
全体の応答遅れが発生した。
2重化およびフェイルセーフ性は確保されるが、上記時
間的ずれに対する処理と同報通信が必ず重なるため、系
全体の応答遅れが発生した。
この発明は上記の問題点を解決するためになされたも
ので、照合に対するアプリケーションおよびハードウェ
アの負担を増大させることなく、フェイルセーフ性およ
び良好な応答特性を確保することのできる照合2重化プ
ログラム制御方式を得ることを目的とする。
ので、照合に対するアプリケーションおよびハードウェ
アの負担を増大させることなく、フェイルセーフ性およ
び良好な応答特性を確保することのできる照合2重化プ
ログラム制御方式を得ることを目的とする。
(課題を解決するための手段) この発明は、オリジナルプログラムから複数のクロー
ンプログラムを生成する機構と、これらのクローンプロ
グラムを同時走行させる機構と、次プログラムに情報を
渡す同報通信機構とを備え、前記クローンプログラムは
主体的に次プログラムに情報を渡す主プログラムと、正
常時は次プログラムに情報を渡さないで、前記主プログ
ラムの出力情報を監視する副プログラムとでなり、前記
主プログラムは出力情報を次プログラムと副プログラム
とに同報通信で渡し、前記副プログラムは主プログラム
の出力情報と前段プログラムの出力情報を処理して得ら
れた結果情報とを照合し、これらの情報が不一致のとき
最終段出力の中止、取消し、代替出力等の異常時処理を
行うことを特徴とするものである。
ンプログラムを生成する機構と、これらのクローンプロ
グラムを同時走行させる機構と、次プログラムに情報を
渡す同報通信機構とを備え、前記クローンプログラムは
主体的に次プログラムに情報を渡す主プログラムと、正
常時は次プログラムに情報を渡さないで、前記主プログ
ラムの出力情報を監視する副プログラムとでなり、前記
主プログラムは出力情報を次プログラムと副プログラム
とに同報通信で渡し、前記副プログラムは主プログラム
の出力情報と前段プログラムの出力情報を処理して得ら
れた結果情報とを照合し、これらの情報が不一致のとき
最終段出力の中止、取消し、代替出力等の異常時処理を
行うことを特徴とするものである。
(作 用) この発明においては、オペレーティングシステムに、
オリジナルプログラムからクローンプログラムを生成す
る機構、および、メッセージメールをマルチキャスト同
報通信処理する機構を備えているので、ハードウェアお
よびアプリケーションに高度の負担をさせることなく、
2重化プログラムマルチシステムを構成することができ
る。
オリジナルプログラムからクローンプログラムを生成す
る機構、および、メッセージメールをマルチキャスト同
報通信処理する機構を備えているので、ハードウェアお
よびアプリケーションに高度の負担をさせることなく、
2重化プログラムマルチシステムを構成することができ
る。
また、この発明においては、CPU単位ではなく、プロ
グラム単位で2重化されているので、特に一過性の局所
異常に対してCPU全体を停止させることなく処理できる
と同時に、2重化プログラム方式に特有の情報の同期、
待合わせ処理が簡単で、応答性の良好なシステムが得ら
れる。
グラム単位で2重化されているので、特に一過性の局所
異常に対してCPU全体を停止させることなく処理できる
と同時に、2重化プログラム方式に特有の情報の同期、
待合わせ処理が簡単で、応答性の良好なシステムが得ら
れる。
(実施例) 以下、本発明を実施例について説明する。
先ず、本発明を実現する最小のハードウエア構成とし
て第1図に示したものが考えられる。これは、入力装置
10、CPU20および出力装置30でなる系統と、入力装置10
およびCPU20でなるもう一つの系統とでなり、従来の装
置で用いられた、同期クロックおよび照合回路を除去し
た構成になっている。
て第1図に示したものが考えられる。これは、入力装置
10、CPU20および出力装置30でなる系統と、入力装置10
およびCPU20でなるもう一つの系統とでなり、従来の装
置で用いられた、同期クロックおよび照合回路を除去し
た構成になっている。
この2重化プログラム処理の内部処理機構を示すと第
2図のようになる。これを第16図と比較すると、正プロ
グラムA+,B+,C+間の情報送信にあたり、副プログラム,A
-,B-,C-に対して各々結果照合用の情報a+a-,b+b-,c+c-
を送信するようにした点、副プログラム,A-,B-,C-は結
果の照合はするが常時は下位プログラムに対して送信し
ない点、副プログラムA-,B-,C-が照合結果、a-m,b-m,c-
mをシステムモニタプログラムMに渡すと、このシステ
ムモニタプログラムMの判断で出力のカットを行うモニ
タ判断出力mを送出する点が異なっている。
2図のようになる。これを第16図と比較すると、正プロ
グラムA+,B+,C+間の情報送信にあたり、副プログラム,A
-,B-,C-に対して各々結果照合用の情報a+a-,b+b-,c+c-
を送信するようにした点、副プログラム,A-,B-,C-は結
果の照合はするが常時は下位プログラムに対して送信し
ない点、副プログラムA-,B-,C-が照合結果、a-m,b-m,c-
mをシステムモニタプログラムMに渡すと、このシステ
ムモニタプログラムMの判断で出力のカットを行うモニ
タ判断出力mを送出する点が異なっている。
この2重化プログラム処理をステップに分けて説明す
る。
る。
−ステップ100− プログラムA+は同報通信機構を通して次のプログラム
B+,B-に情報a+b+,a+b-を、プログラムA+と同じ処理をす
るプログラムA-に照合結果用の情報a+a-を渡す。
B+,B-に情報a+b+,a+b-を、プログラムA+と同じ処理をす
るプログラムA-に照合結果用の情報a+a-を渡す。
−ステップ200− プログラムB+はプログラムA+の情報a+b+に従って処理
し、次プログラムC+,C-に渡す情報b+c+,b+c-を生成する
と共に、プログラムB-に渡す照合用の情報b+b-を生成す
る。プログラムB-はプログラムA+の情報a+b-に従って情
報b-cを生成する。
し、次プログラムC+,C-に渡す情報b+c+,b+c-を生成する
と共に、プログラムB-に渡す照合用の情報b+b-を生成す
る。プログラムB-はプログラムA+の情報a+b-に従って情
報b-cを生成する。
−ステップ300− プログラムB+は生成した情報b+c+をプログラムC+に、
b+c-をプログラムC-に、b+b-をプログラムB-に同報通信
で送出する。
b+c-をプログラムC-に、b+b-をプログラムB-に同報通信
で送出する。
−ステップ400− プログラムC+はプログラムB+の情報b+c+に従って処理
し、次プログラムに渡す情報を生成すると共に、プログ
ラムC-に渡す照合用の情報c+c-を生成する。プログラム
C-はプログラムB+の情報b+c-に従って生成する。
し、次プログラムに渡す情報を生成すると共に、プログ
ラムC-に渡す照合用の情報c+c-を生成する。プログラム
C-はプログラムB+の情報b+c-に従って生成する。
−ステップ500− プログラムB-は自己の出力情報b-cと、プログラムB+
出力情報b+b-とを照合する。正常状態にあっては、プロ
グラムB+,B-の入力情報a+b+,a+b-は同報された情報であ
り、プログラムB+,B-の出力b+b-,b-cは同一となるはず
である。
出力情報b+b-とを照合する。正常状態にあっては、プロ
グラムB+,B-の入力情報a+b+,a+b-は同報された情報であ
り、プログラムB+,B-の出力b+b-,b-cは同一となるはず
である。
−ステップ600− プログラムB-はシステムモニタプログラムMに対して
正常処理の報告b-mをして処理を終了する。
正常処理の報告b-mをして処理を終了する。
次に、異常時の処理について説明する。
(a)照合結果不一致の場合 −ステップ510− ハードウェアの一過性異常等により、上記ステップ50
0の処理で、プログラムB-の出力情報b+b-と、プログラ
ムB-の出力情報b-cとが不一致の場合、第3図に示すよ
うに、プログラムB-はプログラムC+,C-に対しては特別
な処理を行わずに、システムモニタプログラムMに異常
告知情報b-mを送出する。
0の処理で、プログラムB-の出力情報b+b-と、プログラ
ムB-の出力情報b-cとが不一致の場合、第3図に示すよ
うに、プログラムB-はプログラムC+,C-に対しては特別
な処理を行わずに、システムモニタプログラムMに異常
告知情報b-mを送出する。
−ステップ511− システムモニタプログラムMはプログラムB-より異常
告知情報b-mを受け、システムの関連出力のロック/リ
セット要求mを送出する。
告知情報b-mを受け、システムの関連出力のロック/リ
セット要求mを送出する。
この時点ではプログラムC+からの出力が完了している
可能性はあるが、間をおかずロック/リセット要求mを
送出することにより、下位出力処理サブシステムで異常
出力に対処する。
可能性はあるが、間をおかずロック/リセット要求mを
送出することにより、下位出力処理サブシステムで異常
出力に対処する。
(b)正プログラムが対応しない場合 −ステップ320− 第4図に示すように、プログラムA+からプログラムB+
への通信異常、または、プログラムB+の異常により、上
記ステップ300の処理でプログラムB+が情報を出力でき
ないとする。このときプログラムB-は通常の受信処理し
てその出力に対する照合を待っているが、プログラムB+
から照合情報b+b-が出力されない。
への通信異常、または、プログラムB+の異常により、上
記ステップ300の処理でプログラムB+が情報を出力でき
ないとする。このときプログラムB-は通常の受信処理し
てその出力に対する照合を待っているが、プログラムB+
から照合情報b+b-が出力されない。
−ステップ321− この場合、プログラムB-には出力照合待ちタイマを用
意し、一定時間内に照合情報b+b-がこないとき、プログ
ラムB+の代替としてプログラムC+,C-に対して代替出力b
-c+,b-c-を送出する。この代替出力b-c+,b-c-情報に
は、代替出力であることを指示するコードを付加してお
き、万一、タイムアウトと、プログラムB+の遅れた情報
とが重なっても、プログラムC+,C-では2重処理をしな
いようにして処理する。
意し、一定時間内に照合情報b+b-がこないとき、プログ
ラムB+の代替としてプログラムC+,C-に対して代替出力b
-c+,b-c-を送出する。この代替出力b-c+,b-c-情報に
は、代替出力であることを指示するコードを付加してお
き、万一、タイムアウトと、プログラムB+の遅れた情報
とが重なっても、プログラムC+,C-では2重処理をしな
いようにして処理する。
−ステップ322− さらに、システムモニタプログラムMに対して代替出
力実行の報告b-mを送出する。
力実行の報告b-mを送出する。
(c)照合不可の場合 −ステップ330− 前述したとは逆に、プログラムB-がプログラムA+の情
報a+b-を受取ることが出来ない場合を考える。このと
き、プログラムB-は、第5図に示すように、プログラム
B+の照合情報b+b-を受信するのみであるから、この照合
情報b+b-を受信した後のタイマアボートでプログラムA+
からの情報a+b-の途絶を認知する。
報a+b-を受取ることが出来ない場合を考える。このと
き、プログラムB-は、第5図に示すように、プログラム
B+の照合情報b+b-を受信するのみであるから、この照合
情報b+b-を受信した後のタイマアボートでプログラムA+
からの情報a+b-の途絶を認知する。
−ステップ331− そこで、プログラムB-は、システムモニタプログラム
Mに対して異常通知b-mを送出する。
Mに対して異常通知b-mを送出する。
(d)システムモニタプログラムMへの告知不可の場合 −ステップ340− プログラムB-の照合結果b-mが、システムモニタプロ
グラムMにて受信できない場合、または、プログラムB-
の異常で異常情報b-mを出力できない場合を考える。
グラムMにて受信できない場合、または、プログラムB-
の異常で異常情報b-mを出力できない場合を考える。
−ステップ341− この場合、システムモニタプログラムMは、第6図に
示すように、前段のプログラムA-よりの告知情報a-m、
および、後段のプログラムC-の告知c-mを受信すること
になり、各告知情報に下位ルートA→B→Cの情報を加
えておくことにより、プログラムB-からの情報欠落を知
ることができる。
示すように、前段のプログラムA-よりの告知情報a-m、
および、後段のプログラムC-の告知c-mを受信すること
になり、各告知情報に下位ルートA→B→Cの情報を加
えておくことにより、プログラムB-からの情報欠落を知
ることができる。
−ステップ350− 上記ステップ341の代替手段として、各々の正プログ
ラムA+,B+,C+がシステムモニタプログラムMへも次出力
情報b+mを同報することもできる。
ラムA+,B+,C+がシステムモニタプログラムMへも次出力
情報b+mを同報することもできる。
−ステップ351− システムモニタプログラムMは、第7図に示すよう
に、プログラムB+の同報出力b+mを受信し、定時間タイ
マを動作させ、プログラムB-の告知情報b-mを待って、
こなければプログラムBの異常と判定する。
に、プログラムB+の同報出力b+mを受信し、定時間タイ
マを動作させ、プログラムB-の告知情報b-mを待って、
こなければプログラムBの異常と判定する。
上記実施例は、2台のCPUでシステム構成した場合を
示したが、この代わりに第8図に示すように、3台のCP
U21,22,23を用いてシステム構成することもできる。こ
の場合、プログラムは各CPUの負荷が分担され、かつ、
同一のCPUに同じプログラムが入らないように分散配置
する必要がある。この例では、CPU21にプログラムA+,C-
が、CPU22にプログラムA-,C+が、CPU23にプログラムB-,
C+がそれぞれ配置されている。
示したが、この代わりに第8図に示すように、3台のCP
U21,22,23を用いてシステム構成することもできる。こ
の場合、プログラムは各CPUの負荷が分担され、かつ、
同一のCPUに同じプログラムが入らないように分散配置
する必要がある。この例では、CPU21にプログラムA+,C-
が、CPU22にプログラムA-,C+が、CPU23にプログラムB-,
C+がそれぞれ配置されている。
かかるシステム構成にて、CPU23が異常停止した場合
には、第9図に示すように、プログラムB-,C+は停止す
るが、情報およびプログラムは各々2重化されていの
で、制御出力は代替プログラムC-によって確保される。
なお、システム停止に至ったCPU23上のプログラムB-,C+
の代わりに、プログラムB+のコピープログラムB-がCPU2
1に、プログラムC-のコピープログラムC+がCPU22に再構
成され、CPU21,22にてシステムが復元される。、 かかる構成によれば、第16図に示したシステムと比較
したとき、プログラムA+A-,B+B-,C+C-間の通信量は半分
となり、応答性の向上が図られる。すなわち、プログラ
ムA+の出力は同報出力であり、情報a+b+,a+b-,a+a-は同
一情報をマルチキャストで送信するため、1回の送信で
済む。また、情報の発信源は常に1つであり、このた
め、下位プログラムにおける情報受信待合わせが不要に
なり、しかも、先頭入力のタイミング差による情報の相
違のおそれもなくなる。
には、第9図に示すように、プログラムB-,C+は停止す
るが、情報およびプログラムは各々2重化されていの
で、制御出力は代替プログラムC-によって確保される。
なお、システム停止に至ったCPU23上のプログラムB-,C+
の代わりに、プログラムB+のコピープログラムB-がCPU2
1に、プログラムC-のコピープログラムC+がCPU22に再構
成され、CPU21,22にてシステムが復元される。、 かかる構成によれば、第16図に示したシステムと比較
したとき、プログラムA+A-,B+B-,C+C-間の通信量は半分
となり、応答性の向上が図られる。すなわち、プログラ
ムA+の出力は同報出力であり、情報a+b+,a+b-,a+a-は同
一情報をマルチキャストで送信するため、1回の送信で
済む。また、情報の発信源は常に1つであり、このた
め、下位プログラムにおける情報受信待合わせが不要に
なり、しかも、先頭入力のタイミング差による情報の相
違のおそれもなくなる。
なお、この機構を利用すれば、2アウトオブ3の変形
処理も可能である。その例を第10図に示す。
処理も可能である。その例を第10図に示す。
同図において、3台のCPU21,22,23に各々プログラム
A,B,CのクローンプログラムA1,B1,C1、A2,B2,C2、A3,
B3,C3が配置され、プログラムB1の照合出力情報をプロ
グラムB2,B3が受取って照合する。システムプログラム
MはプログラムB2,B3の照合結果を受信し、プログラムB
2,B3のいずれかが照合良好と判断することによって、出
力の承認を行う。
A,B,CのクローンプログラムA1,B1,C1、A2,B2,C2、A3,
B3,C3が配置され、プログラムB1の照合出力情報をプロ
グラムB2,B3が受取って照合する。システムプログラム
MはプログラムB2,B3の照合結果を受信し、プログラムB
2,B3のいずれかが照合良好と判断することによって、出
力の承認を行う。
この場合、プログラムB1が不正出力したとすると、フ
ェイルセーフ的に出力される方向であり、完全な2アウ
トオブ3ではない。
ェイルセーフ的に出力される方向であり、完全な2アウ
トオブ3ではない。
しかし、プログラムB2,B3の異常告知でシステムモニ
タプログラムMがプログラムB2,B3の出力をも参照して
一致照合し、プログラムB2,B3のいずれかに代替出力要
求を出し、プログラムB1を停止させるようにすれば、2
アウトオブ3の構成も可能である。
タプログラムMがプログラムB2,B3の出力をも参照して
一致照合し、プログラムB2,B3のいずれかに代替出力要
求を出し、プログラムB1を停止させるようにすれば、2
アウトオブ3の構成も可能である。
なお、上記実施例における同報伝送系として、イサー
ネット等の高速LANを利用すれば、CPU相互間の通信遅れ
による影響は実質的に無視することができる。
ネット等の高速LANを利用すれば、CPU相互間の通信遅れ
による影響は実質的に無視することができる。
なおまた、上記実施例ではプログラムとしたが、デー
タとプログラムとを一体と見做したオブジェクト概念で
本システムを構成するとより容易に組上げることができ
る。
タとプログラムとを一体と見做したオブジェクト概念で
本システムを構成するとより容易に組上げることができ
る。
また、上記実施例では副プログラムが結果照合をする
ように説明したが、例えば、副プログラムB-が結果照合
をせず、主プログラムは次プログラムC+,C-の情報伝達
と同報でシステムモニタプログラムMにも結果情報を送
出し、プログラムB-はシステムモニタプログラムMに対
してのみ結果情報を送出し、システムモニタプログラム
MがプログラムB+,B-両プログラムの結果の一致照合を
する方式としても良い。
ように説明したが、例えば、副プログラムB-が結果照合
をせず、主プログラムは次プログラムC+,C-の情報伝達
と同報でシステムモニタプログラムMにも結果情報を送
出し、プログラムB-はシステムモニタプログラムMに対
してのみ結果情報を送出し、システムモニタプログラム
MがプログラムB+,B-両プログラムの結果の一致照合を
する方式としても良い。
以上の説明によって明らかなように、この発明によれ
ば、オペレーテングシステムに、オリジナルプログラム
からクローンプログラムを生成する機構、および、メッ
セージメールをマルチキャスト同報通信処理する機構を
備えているので、ハードウェア、アプリケーションに高
度の負担をさせることなく、2重化プログラムマルチシ
ステムを構成することができる。
ば、オペレーテングシステムに、オリジナルプログラム
からクローンプログラムを生成する機構、および、メッ
セージメールをマルチキャスト同報通信処理する機構を
備えているので、ハードウェア、アプリケーションに高
度の負担をさせることなく、2重化プログラムマルチシ
ステムを構成することができる。
また、2重化プログラム方式に特有の情報の同期、待
合わせ処理が簡単で、応答性の良好なシステムを作るこ
とができる。
合わせ処理が簡単で、応答性の良好なシステムを作るこ
とができる。
さらに、この発明においては、CPU単位ではなく、プ
ログラム単位で2重化されているため、特に一過性の局
所異常に対してCPU全体を停止させることなく、処理で
き、かつ、被害を局所にとどめることができ、原因発生
箇所の検出も容易になる。
ログラム単位で2重化されているため、特に一過性の局
所異常に対してCPU全体を停止させることなく、処理で
き、かつ、被害を局所にとどめることができ、原因発生
箇所の検出も容易になる。
また、2重化プログラムであり、常に照合、代替出力
が並行動作するので、システムの異常代替出力の切替え
が円滑に行われ、異常切離し、および、代替システム編
入時でも円滑な移行ができる。
が並行動作するので、システムの異常代替出力の切替え
が円滑に行われ、異常切離し、および、代替システム編
入時でも円滑な移行ができる。
第1図は本発明の一実施例のシステム構成図、第2図は
同システムの内部構成を示す図、第3図乃至第7図は同
システムで想定されるハザードとその処理を説明するた
めの説明図、第8図は本発明の他の実施例のシステム構
成図、第9図は同実施例のプログラム再構成を示した
図、第10図は本発明のもう一つ他の実施例のシステム構
成図、第11図乃至第15図はそれぞれ従来の照合2重化プ
ログラム制御方式を採用したシステム構成図、第16図は
同制御方式の負荷分担を説明するための説明図である。 10……入力装置、20……CPU、30……出力装置。
同システムの内部構成を示す図、第3図乃至第7図は同
システムで想定されるハザードとその処理を説明するた
めの説明図、第8図は本発明の他の実施例のシステム構
成図、第9図は同実施例のプログラム再構成を示した
図、第10図は本発明のもう一つ他の実施例のシステム構
成図、第11図乃至第15図はそれぞれ従来の照合2重化プ
ログラム制御方式を採用したシステム構成図、第16図は
同制御方式の負荷分担を説明するための説明図である。 10……入力装置、20……CPU、30……出力装置。
Claims (4)
- 【請求項1】オリジナルプログラムから複数のクローン
プログラムを生成する機構と、これらのクローンプログ
ラムを同時走行させる機構と、次プログラムに情報を渡
す同報通信機構とを備え、前記クローンプログラムは主
体的に次プログラムに情報を渡す主プログラムと、正常
時は次プログラムに情報を渡さないで、前記主プログラ
ムの出力情報を監視する副プログラムとでなり、前記主
プログラムは出力情報を次プログラムと副プログラムと
に同報通信で渡し、前記副プログラムは主プログラムの
出力情報と前段プログラムの出力情報を処理して得られ
た結果情報とを照合し、これらの情報が不一致のとき最
終段出力の中止、取消し、代替出力等の異常時処理を行
うことを特徴とする照合2重化プログラム制御方式。 - 【請求項2】前記副プログラム側に、前記主プログラム
の照合出力監視タイマを設け、このタイマのタイムアッ
プ時に前記副プログラムが代替出力を次プログラムに送
出することを特徴とする請求項1記載の照合2重化プロ
グラム制御方式。 - 【請求項3】前記照合結果が不一致のとき、もしくは、
前記照合出力監視タイマのタイムアップ時に、最終出力
段に出力の中止、取消し、または、取消し要求を行うシ
ステムモニタプログラムを備えたことを特徴とする請求
項2記載の照合2重化プログラム制御方式。 - 【請求項4】前記主プログラムが前記システムモニタプ
ログラムにも同報通信し、かつ、前記副プログラムの照
合結果の報告と突き合わせて情報の伝達の確認をするこ
とを特徴とする請求項3に記載の照合2重化プログラム
制御方式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP1198406A JP2577474B2 (ja) | 1989-07-31 | 1989-07-31 | 照合2重化プログラム制御方式 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP1198406A JP2577474B2 (ja) | 1989-07-31 | 1989-07-31 | 照合2重化プログラム制御方式 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH0362229A JPH0362229A (ja) | 1991-03-18 |
| JP2577474B2 true JP2577474B2 (ja) | 1997-01-29 |
Family
ID=16390598
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP1198406A Expired - Fee Related JP2577474B2 (ja) | 1989-07-31 | 1989-07-31 | 照合2重化プログラム制御方式 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2577474B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020160720A (ja) * | 2019-03-26 | 2020-10-01 | 株式会社エヌエスアイテクス | 故障検出装置 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS5812062A (ja) * | 1981-07-15 | 1983-01-24 | Mitsubishi Electric Corp | 並列電子計算機システムの出力装置 |
| JPS59132058A (ja) * | 1983-01-17 | 1984-07-30 | Japanese National Railways<Jnr> | 二重系処理装置の相互比較故障検出方法 |
| JPS60198645A (ja) * | 1984-03-22 | 1985-10-08 | Fujitsu Ltd | デ−タ処理システム |
| JPS6118047A (ja) * | 1984-07-04 | 1986-01-25 | Hitachi Ltd | プログラムの冗長実行方式 |
| JPS62174837A (ja) * | 1986-01-29 | 1987-07-31 | Hitachi Ltd | ソフトウエア二重化方式 |
| JPS62200430A (ja) * | 1986-02-28 | 1987-09-04 | Nec Corp | システム制御方式 |
| JPS62293441A (ja) * | 1986-06-12 | 1987-12-21 | Nec Corp | デ−タ出力方式 |
-
1989
- 1989-07-31 JP JP1198406A patent/JP2577474B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JPH0362229A (ja) | 1991-03-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7023870B2 (en) | Method for operating a distributed computer system | |
| US7467322B2 (en) | Failover method in a cluster computer system | |
| US20160253285A1 (en) | Method And System of Synchronizing Processors To The Same Computational Point | |
| Kopetz et al. | Tolerating arbitrary node failures in the time-triggered architecture | |
| JP2000510976A (ja) | 相互接続システムの相い異なるコンピュータ上のプログラムを同期化するための方法 | |
| JP2577474B2 (ja) | 照合2重化プログラム制御方式 | |
| JP3139884B2 (ja) | 多重要素処理システム | |
| US20170091051A1 (en) | Method for redundant processing of data | |
| JP2633351B2 (ja) | 制御装置の故障検出機構 | |
| US11507478B2 (en) | Method for operating a redundant automation system | |
| Budhiraja et al. | Early-stopping distributed bidding and applications | |
| JP2518517B2 (ja) | 通信バス監視装置 | |
| KR100205031B1 (ko) | 이중화 제어시스템의 동기제어 장치 | |
| US11755436B2 (en) | Computer system installed on board a carrier implementing at least one service critical for the operating safety of the carrier | |
| Proenza et al. | Using FTT and stars to simplify node replication in CAN-based systems | |
| JPH0755179Y2 (ja) | 並列多重電子連動装置 | |
| KR100198416B1 (ko) | 이중화 제어시스템에서의 동기제어를 위한 동기신호 감시회로 | |
| JP5416506B2 (ja) | Cpu脱着型のフェールセーフ装置及びフェールセーフ用プログラム | |
| Pinho et al. | Reliable Communication in Distributed Computer-Controlled Systems | |
| JP6653250B2 (ja) | 計算機システム | |
| JP2611549B2 (ja) | エレベータの群管理制御装置 | |
| CN111666181A (zh) | 用于地理热冗余的方法和系统 | |
| Traverse et al. | A Process Toward Total Dependability-Airbus Fly-by-Wire Paradigm. | |
| JPS62174838A (ja) | マルチプロセサ・システムに於けるプロセサ障害検出方法 | |
| JPH06161799A (ja) | Cpu多重化瞬時切換装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| LAPS | Cancellation because of no payment of annual fees |