JP3210833B2 - エラーチェック方法および装置 - Google Patents

エラーチェック方法および装置

Info

Publication number
JP3210833B2
JP3210833B2 JP11050595A JP11050595A JP3210833B2 JP 3210833 B2 JP3210833 B2 JP 3210833B2 JP 11050595 A JP11050595 A JP 11050595A JP 11050595 A JP11050595 A JP 11050595A JP 3210833 B2 JP3210833 B2 JP 3210833B2
Authority
JP
Japan
Prior art keywords
check
data
error
arithmetic processing
processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP11050595A
Other languages
English (en)
Other versions
JPH08305593A (ja
Inventor
由英 永次
誠 能見
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP11050595A priority Critical patent/JP3210833B2/ja
Priority to EP96107022A priority patent/EP0744693A1/en
Priority to CN96105671.1A priority patent/CN1139802A/zh
Publication of JPH08305593A publication Critical patent/JPH08305593A/ja
Application granted granted Critical
Publication of JP3210833B2 publication Critical patent/JP3210833B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1633Error detection by comparing the output of redundant processing systems using mutual exchange of the output between the redundant processing components
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L15/00Indicators provided on the vehicle or train for signalling purposes
    • B61L15/0062On-board target speed calculation or supervision
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/08Error detection or correction by redundancy in data representation, e.g. by using checking codes
    • G06F11/10Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1479Generic software techniques for error detection or fault masking
    • G06F11/1487Generic software techniques for error detection or fault masking using N-version programming

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mechanical Engineering (AREA)
  • Hardware Redundancy (AREA)
  • Safety Devices In Control Systems (AREA)
  • Retry When Errors Occur (AREA)

Description

【発明の詳細な説明】
【0001】
【産業上の利用分野】本発明は、マイクロコンピュータ
を用いた制御装置に用いるエラーチェック方法および装
置、特に、鉄道車両の制御装置のようなフェイルセイフ
性の要求される制御装置に適したエラーチェック方法お
よび装置に関するものである。
【0002】
【従来の技術】鉄道車両等の制御を行う場合、誤ったデ
ータに基づく誤制御が行われると、人命にかかわる事故
につながる恐れがある。このため、これらの制御装置に
はフェイルセイフ性が要求されており、入出力データや
演算処理の正当性を保証することが必要となる。
【0003】データ伝送過程等における入出力データの
正当性を保証する手段としては、送信側で伝送データに
対してチェックコードを付加し、受信側でチェックコー
ドと伝送データを照合し、伝送誤りを検出する方法が広
く用いられている。チェックコードとしては、パリティ
ビットやCRC(巡回冗長検査、 Cyclic Re
dundancy check)コードなどが一般的で
ある。
【0004】一方、処理そのものの正当性を保証する手
段として、処理装置を多重系で構成し、各系の処理結果
を照合し、照合結果の不一致を検出することにより処理
の異常を検出する方法が、フェイルセイフ性を要求され
る装置を中心に用いられている。
【0005】この場合のデータ照合方法としては、バス
照合方法に代表されるハードウェア的な方法のほか、ソ
フトウェアにより各系の処理結果に付加されたCRCコ
ードを照合することにより、処理の不一致を検出する方
法が特開昭60−233734に示されている。
【0006】
【発明が解決しようとする課題】このような従来の技術
においては、照合手段そのものに異常が生じたことによ
り、照合結果が「誤りなし」の側に固定する場合があ
り、完全なフェイルセイフであるとは言えない。このた
め、2重系の照合においては、特殊なフェイルセイフ論
理を用いて、照合回路自身の故障も含めて検出可能な方
法が実用化されているが、論理が特殊なため回路が複雑
化・大規模化し、信頼性及び処理速度の面で問題があ
る。
【0007】一方、ソフトウェアにより照合を行うと、
装置の簡素化及び処理の高速化を図ることが可能となる
が、ソフトウェア暴走時のフェイルセイフ性に問題があ
る。
【0008】また、データ伝送等において、多重系を構
成せず、データとチェックコードの照合によりデータ誤
りを検出する場合においては、チェッカ自身の故障につ
いては、あまり考慮されていない。
【0009】本発明の目的は、照合論理回路に特別な論
理を使用することなく、通常の非フェイルセイフ論理に
より照合回路自身の故障検出も含めたフェイルセイフな
データエラーチェックを実現することにある。
【0010】
【課題を解決するための手段】以上の課題を解決するた
めに、本発明においては、演算処理結果に対して2つの
互いに異なるチェックコード生成手段によりチェックコ
ードを付加し、前記チェックコードに対応した2つのチ
ェック手段に対して、前記の2つのチェックコードを付
加した演算処理結果を交互に供給することにより、チェ
ック結果の交番化を行なう。
【0011】
【作用】前記構成において、データ正常時には、2つの
チェック手段によるチェック結果は、「誤りなし」と
「誤りあり」が交互に現れる交番信号となっており、ま
た一方のチェック結果が「誤りなし」の場合、もう一方
のチェック結果は「誤りあり」となる。
【0012】データに異常が生じた場合には、2つのチ
ェック手段のチェック結果は共に「誤りあり」となり、
交番信号でなくなる。チェック手段自身に異常が生じた
場合、その判定結果は「誤りなし」ないしは「誤りあ
り」のいずれか一方に固定する。従って、2つのチェッ
ク結果のうち、少なくとも一方の交番が停止することに
より、処理ないしはチェック手段の異常を検出すること
が可能となる。
【0013】
【実施例】以下、図面に示した本発明の1実施例につい
て詳細に説明する。
【0014】図1は、本発明のデータエラーチェック装
置を応用した列車制御車上装置とその周辺装置の構成を
示す図、図2はデータ処理装置(FS−CPU)1およ
び速度制御装置(FS−IOU)2の内部構成を表す
図、図3は本実施例による列車制御装置の機能構成を示
したものである。
【0015】データ処理装置(FS−CPU)1は、地
上から先行列車の位置や前方区間の制限速度などに関す
る情報を入力ポートRXDb,RXCbに受け、データ
処理後出力ポートTXDa、TXCaから速度制御装置
(FS−IOU)2の入力ポートRXD、RXCに制限
速度情報を供給する。
【0016】データ処理装置1の入力ポートRXDbに
は先行列車の位置情報、前方区域の制限速度などに関す
るデータ、入力ポートRXCbには伝送用同期クロック
信号が送られてくる。さらに、速度制御装置の入力ポー
トRXDには制限速度、入力ポートRXCには伝送用ク
ロック信号が送られてくる。
【0017】リレーユニット(RYU)3は、速度制御
装置2の出力する故障検知信号FDF,非常ブレーキ信
号EBF、常用ブレーキ信号NBFに応じて故障検知リ
レーFDR、非常ブレーキリレーEBR,常用ブレーキ
リレーNBRをそれぞれ動作させる。
【0018】信号通信送受信器(TRX)4は、送受信
アンテナ5を介して地上から伝送される情報をデータ制
御装置1に与える。速度発電機(TG)6は、車輪回転
数に関する信号を速度制御装置2の入力ポートTGPに
供給し、列車の走行距離、速度などを演算する。ブレー
キ制御ユニット(BCU)7は、非常ブレーキリレーリ
レーEBR,常用ブレーキリレーNBRの出力に応じて
車輪8にブレーキをかけ、レール9との摩擦で列車を止
める。
【0019】地上に設置された信号通信装置(図示しな
い)からレール9を介して先行列車の位置(在線軌道回
路)が周期的に送られ、送受信アンテナ5、車上装置の
送受信機4によってそのデータが受信され、データ制御
装置1の入力ポートRXDb,RXCbに供給される。
入力ポートRXDbには先行列車の位置情報、前方区域
の制限速度などに関するデータ、入力ポートRXCbに
は伝送用同期クロック信号が送られてくる。
【0020】一方、速度制御装置2の入力ポートTGP
には、車輪8の車軸に設置された速度発電機6によって
検出された距離パルスが供給される。このパルスは図3
に示すようにタコジェネパルス入力車輪径補正部で補正
された後、距離積算部で積算され自列車の現在位置が計
算される。
【0021】この自列車の位置情報は、制限速度補間部
に送られるとともに出力ポートTXD、TXCを経て,
データ処理装置(FS−CPU)1の入力ポートRXD
a,RXCaに送られる。入力ポートRXDaにはデー
タが、RXCaには伝送用同期クロック信号が送られ
る。位置に関する情報は出力ポートTXDb,伝送用同
期クロック信号は出力ポートTXCb、信号通信送受信
機(TRX)を経て、後続列車に送られる。
【0022】速度制御装置2の制限速度補間部は、入力
ポートRXCに送られる伝送用同期クロックとともに入
力ポートRXDに供給される制限速度情報と、自列車の
位置から制限速度を計算する。速度検出部は、距離パル
スと周期タイマーとの出力から現在の走行速度を計算す
る。ブレーキ指令演算制御部は制限速度と自列車の速度
を比較し、制限速度を上回った場合にはブレーキ指令を
発し、リレーユニット3を介してブレーキユニット7を
制御し、列車を安全に運行させる。
【0023】図3に示すように速度制御装置(FS−C
PU)1、は先行列車の位置、前方区間の制限速度など
に関する情報を受信後、データ受信エラーチェック部で
チェックし、自列車位置情報Xf、路線データなどに基
づいて、制限速度パターンの算出を分担する。
【0024】速度制御装置(FS−IOU)2は、その
制限速度パターンに基づいた時々刻々のブレーキ制御指
令の算出を分担する。ここでNBFは常用ブレーキ指
令、EBFは非常ブレーキ指令である。なお、制御装置
が故障したときは、制御装置の故障検知指令FDRが発
生する。
【0025】また、速度制御装置2は、出力ポートTX
D、TXC、データ処理装置1の入力ポートRXDa、
RXCa、出力ポートTXDa,TXCaを介して自列
車の位置に関する情報を後続列車に伝送する。
【0026】リレーユニット(RYU)3は、交番化さ
れたブレーキ指令の交流増幅およびその整流とリレー駆
動を分担するものである。ここでブレーキ指令を交番化
しているのは、故障により制御装置出力あるいはリレー
駆動回路がブレーキ緩解側に固定されたとき不安全にな
ることを防止するために、交番信号をブレーキ緩解、交
番停止をブレーキ作用と決め、故障時には交番停止とな
りブレーキ作用側になることによってフェイルセイフ化
を図ったもので、従来から採用されているものと同じで
ある。
【0027】データ処理装置(FS−CPU)1は、先
行列車の位置、前方区間の制限速度などに関する情報を
地上から受信後、エラーの有無をデータ受信エラーチェ
ック部でチェックし、エラーがない場合は、その先行列
車位置Xpから自列車位置Xfまでの間の路線の勾配情
報、曲線・分岐器等の速度制限情報を収納する路線デー
タファイルを参照して、データのチェックを行なった
後、そのデータに基づいて先行列車に追突せず、かつ途
中の速度制限をオーバーしないように運転するための制
限速度パターンVp(Xi)を計算する。
【0028】この時、勾配情報は列車の有効減速度を算
出するために用いる。Xiは勾配変化、速度制限等によ
るパターンの変曲点であり、Vp(Xi)はその点にお
ける制限速度である。このように計算された制限速度パ
ターン列(Vp(X0)、Vp(X1)、〜Vp(x
n))は、出力ポートTXDa、TXCaを介して速度
制御装置(FS−IOU)2に渡される。なお図中では
省略されているが、データ処理装置(FS−CPU)1
内でのパターンデータ計算処理は、間違いなく処理を行
なうために2重化されている。
【0029】一方、速度制御装置2の入力ポートTGP
には、車輪8の車軸に設置された速度発電機6によって
検出された距離パルスが供給される。このパルスはタコ
ジェネパルス入力車輪径補正部で補正された後、距離積
算部で積算され自列車の現在位置が計算される。速度制
御装置(FS−IOU)2は、前記のようにパルスを積
算し、自列車位置Xf(t)を算出すると同時に、その
時間変化分である自列車速度Vf(t)を算出する。
【0030】速度制御装置(FS−IOU)2はこの自
列車位置Xf(t)およびデータ処理装置(FS−CP
U)1より受け取った制限速度パターン列(Vp(X
0)、Vp(X1)〜Vp(Xn))をもとに、Xi<
Xf<Xi−1、即ち自列車位置を内包区間とする制限
速度パターン対Vp(Xi)、Vp(Xi−1)を選択
し、その間を内挿してXfにおける制限速度Vp(X
f)を算出する。
【0031】この制限速度Vp(Xf)はブレーキ指令
演算制御部において現在の列車速度Vf(t)と比較さ
れる。比較の結果、Vf>Vpであれば常用ブレーキ指
令が出力ポートNBRに出力され、さらにVf>Vp+
α(αは定数:例えば5km/h)であれば、非常ブレーキ
指令が出力ポートEBRに出力される。なお、このと
き、最終的に出力されるブレーキ指令は、交番信号とし
て出力され、ブレーキ作用を示す場合を交番停止、ブレ
ーキ緩解を示す場合を交番信号とし、出力回路の故障等
でブレーキが作用しなくなることを防止し、フェイルセ
イフ化を図っている。
【0032】このように、路線条件を車上装置のデータ
として保持し、そのデータに基づき制御を行なうシステ
ムの場合、誤った速度パターンによる制御が実行された
場合には、最悪の場合列車衝突という事態も考えられ
る。パターンデータが1ビットでも誤っていた場合、数
値的にはまったく別のものになってしまうため、パター
ンデータの計算処理およびデータ処理装置(FS−CP
U)1と速度制御装置(FS−IOU)2間の通信は確
実に実行されなければならない。
【0033】このため、処理装置FS−CPU1内の処
理を2重化し、データ処理装置(FS−CPU)1と速
度制御装置(FS−IOU)2間の通信において、本発
明によるデータ照合方法を用いることにより、パターン
データの計算処理およびデータ伝送のフェイルセイフ化
を行なっている。
【0034】図4はデータ処理装置FS−CPU1の構
成を示したもので、中央処理装置(CPU)11は、ク
ロックジェネレータCPG10によって動作する。シリ
アル通信制御回路(以下CCUa、CCUbと略称す
る)12a、12bは、速度制御装置速度制御装置(F
S−IOU)2、対地上送受信装置等の制御装置・回路
と接続している。
【0035】図では2個のポートを備えた構成となって
いるが、その個数は任意であり、また本実施例において
は省略されている外部バスインターフェースを設けるこ
とも可能である。
【0036】図5は図2に示したFS−CPU1内の中
央処理装置(CPU)11内部の処理を示すフローチャ
ートである。まず、ステップ110aでは、プログラム
AによりパターンデータA1100aが計算される。ス
テップ111aでは、同じくプログラムAによりCRC
コードA1110aが計算される。ここで計算されるC
RCコードの系列を「系列0」と呼ぶことにする。
【0037】次に、ステップ110bでは、プログラム
BによりパターンデータB1100bが計算される。こ
こでプログラムBは、プログラムAと同一機能ではある
が異なるプログラムとすることにより、2つのプログラ
ムが同時に同じ誤りをすることを防止している。ステッ
プ111bでは、同じくプログラムBによりCRCコー
ドB1110bが計算される。なお、ここで計算される
CRCコードBは、プログラムAにより計算されるCR
CコードAとは異なる系列(「系列1」と呼ぶこととに
する)のCRCコードであるとする。
【0038】ステップ112では、プログラムA、Bの
計算結果の間で、CRCコードを交換する処理を行な
う。ここでは、図6に詳細に示すようにパターンデータ
A1100aとCRCコードB1110bを結合したデ
ータを転送データA1120a、パターンデータB11
00bとCRCコードA1110aを結合したデータを
転送データB1120bと呼ぶことにする。
【0039】なお、図6にステップ112における処理
の概要を示す。ステップ113では、データ切替フラグ
FLAGを判定する。FLAG=1の場合、ステップ1
14aにより転送データAの送信処理を行なった後、ス
テップ115aによりFLAG=0にリセットされる。
FLAG=0の場合、ステップ114bにより転送デー
タBの送信処理を行なった後、ステップ115bにより
FLAG=1にセットされる。従って、データ処理装置
(FS−CPU)からは、演算サイクル毎に、転送デー
タAと転送データBが交互に送信されることになる。
【0040】図7は速度制御装置FS−IOU2の詳細
な構成を表す図で、中央処理装置(CPU)21、CP
U21を駆動するためのクロックパルスジェネレータ2
0、データ処理装置FS−CPU1、その他制御機器、
回路と接続するためのシリアル通信制御回路CCU2
2、速度発電機からの距離パルスをカウントし、列車の
現在位置及び速度を算出するためのパルスカウンタ(C
NT)23、CPUにより演算されたブレーキ指令の信
号変換を行ない、リレーユニットRYUに供給する出力
インターフェース回路(IFU)24、データ照合回路
(CHK)25などから構成されている。
【0041】各装置は、リード信号RD、ライト信号W
R、一時停止信号、割り込み信号WAI、アドレス信号
A15〜A0、データバスD0〜D7を有している。速
度制御装置(FS−IOU)2内の中央処理装置CPU
21では、ブレーキ指令演算を行なう前に、まずデータ
処理装置(FS−CPU)1からの転送データのチェッ
クを行なう。
【0042】図8は、伝送データチェックのフローチャ
ートである。ステップ210では、データ処理装置(F
S−CPU)1からの転送データ(AまたはB)の受信
処理が行なわれる。
【0043】ステップ211aでは、チェックプログラ
ムAにより、「系列0」CRCコードによる、転送デー
タのCRCチェックが行なわれる。ここで、チェック結
果が「誤りなし」の場合、ステップ212aによりCR
Cレジスタaに1が設定され、「誤りあり」の場合、ス
テップ213aによりCRCレジスタaに0が設定され
る。
【0044】なお、本実施例においては、CRCレジス
タとしてCPU内メモリの特定1バイトを割り当て、そ
の最下位(第0)ビットをCRCレジスタaとして用い
ている。ステップ211bでは、チェックプログラムB
により、「系列1」CRCコードによる、転送データの
CRCチェックが行なわれる。ここで、チェック結果が
「誤りなし」の場合、ステップ212bによりCRCレ
ジスタbに1が設定され、「誤りあり」の場合、ステッ
プ213bによりCRCレジスタbに0が設定される。
【0045】なおCRCレジスタbとしては、前出のC
RCレジスタの第1ビットを用いるものとする。ステッ
プ214では、CRCレジスタa、bの内容を、データ
照合回路(CHK)25内の出力レジスタ(REG)2
52へ転送する処理を行なう。
【0046】これらの処理が終った後、CPU21はパ
ターンデータに基づきブレーキ指令演算を行ない、その
結果を出力インタフェース回路(IFU24)へ転送す
る。
【0047】さて、データ処理装置(FS−CPU)1
内の2つのプログラムによるパターンデータ計算結果が
同じ場合、CRCコードBを持つ転送データAをチェッ
クプログラムBでCRCチェックした場合、チェック結
果は「誤りなし」となり、CRCレジスタbには1が設
定される。
【0048】逆に、CRCコードAを持つ転送データB
をチェックプログラムAでCRCチェックした場合、チ
ェック結果は「誤りなし」となり、CRCレジスタaに
は1が設定される。なぜなら、CRCコードa、bは、
同一データに対して生成されたものなので、CRCコー
ドを交換しても、パターンデータa(あるいはb)に適
合しているからである。
【0049】一方、CRCチェックコードBを持つ転送
データAをチェックプログラムAでCRCチェックした
場合、CRC系列が異なるため、転送データの内容にか
かわりなく、チェック結果は常に「誤りあり」となり、
CRCレジスタaには0が設定される。
【0050】一方、CRCチェックコードAを持つ転送
データBをチェックプログラムBでCRCチェックした
場合、CRC系列が異なるため、転送データの内容にか
かわりなく、チェック結果は常に「誤りあり」となり、
CRCレジスタa(b)には0が設定される。データ処
理装置(FS−CPU)1からは転送データAとBが交
互に送られてきているため、結局CRCレジスタaおよ
びbには1と0が演算サイクル毎に交互に書き込まれる
ことになる。さらに、CRCレジスタaとbの内容は互
いに反転しており、同時に1ないしは0になることはな
い。
【0051】次に、データ処理装置(FS−CPU)1
内の2つの処理結果に不一致が生じた場合を考える。こ
の場合における、転送データA(あるいはB)のプログ
ラムB(あるいはA)によるチェック結果は、データと
CRCコードが対応していないため、「誤りあり」とな
り、CRCレジスタb(あるいはa)には0が設定され
る。一方、この場合のCRCレジスタa(あるいはb)
の内容は、先述した通り0である。従ってこの場合に
は、CRCレジスタaおよびbの内容が同時に0とな
る。
【0052】データ伝送過程において誤りが生じた場
合、転送データA(あるいはB)のプログラムB(ある
いはA)によるチェック結果は、データに誤りが生じて
いるため、「誤りあり」となり、CRCレジスタb(あ
るいはa)には0が設定される。一方、この場合のCR
Cレジスタa(あるいはb)の内容は、先述した通り0
である。従ってこの場合についても、CRCレジスタa
およびbの内容が同時に0となる。
【0053】CPU21もしくはその内部のチェックプ
ログラムに異常が生じた場合、CRCチェックの結果
は、「誤りなし」または「誤りあり」のいずれかに固定
するか、あるいはこれらがランダムに現れるものとな
る。
【0054】データ処理装置(FS−CPU)1内の中
央演算装置(CPU)21、もしくはその内部のプログ
ラムの異常により、速度制御装置(FS−IOU)2に
対する出力が転送データa(あるいはb)に固定した場
合、CRCレジスタaの内容は0(あるいは1)に、C
RCレジスタbの内容は1(あるいは0)に固定する。
【0055】図9はデータ照合回路(CHK)25の内
部構造を示した図である。ANDゲート251は、アド
レスデコーダ(DEC)250の出力とCPU21のラ
イト信号WRのANDを取る。出力レジスタREG25
2は、2つのフリップフロップFF0、FF1から構成
されており、それぞれCRCレジスタa、bの内容が書
き込まれる。正常時におけるFF0、FF1の出力タイ
ムチャートを図10に示す。
【0056】交番AND回路(FSAND)253は、
2つのフリップフロップ(FFa)2530およびフリ
ップフロップ(FFb)2531を図のように結んだも
ので、2つの入力TaおよびTbが共に交番信号で、か
つ互いに位相が反転している場合のみ、その照合出力F
DFも交番信号となるものである。図11〜図13はF
SANDの動作タイムチャートを示した図である。
【0057】図11はデータ処理装置(FS−CPU)
での演算処理に不一致が生じた場合、またはデータ伝送
過程において誤りが生じた場合の動作タイムチャートを
示したものであり、不一致または誤りの生じた時点で入
力Ta、Tbが同時に0となるため、照合出力FDFの
交番が停止する。
【0058】図12はチェックプログラムに異常が生じ
た場合の動作タイムチャートを示したものである。この
場合、異常発生後、入力Ta、Tbが同時に1または0
になった時点で照合出力FDFの交番が停止する。図で
はプログラムAに異常が発生し、その出力が1に固定し
た場合が示されているが、出力が0に固定した場合や、
プログラムBに異常が発生した場合についても同様であ
る。
【0059】図13はデータ処理装置(FS−CPU)
からの出力が転送データaに固定した場合の動作タイム
チャートを示したものであり、この場合転送データが固
定した時点で照合出力FDFの交番が停止する。データ
処理装置(FS−CPU)からの出力が転送データbに
固定した場合についても同様である。
【0060】以上に示した通り、データ処理装置(FS
−CPU)での処理に不一致が発生した場合、データ伝
送過程において誤りが生じた場合、チェックプログラム
に異常が生じた場合、データ処理装置(FS−CPU)
からの出力データが固定した場合のいずれにおいても、
FSANDからの照合出力FDFは交番停止するため、
異常を確実に検知することが可能となる。
【0061】リレーユニットRYU内の故障検知リレー
FDRは、FSANDからの照合出力FDFによって駆
動されており、FDFの交番が停止すると、FDRのコ
イルは無励磁となり、接点が開くことによりブレーキユ
ニットBCUに対し非常ブレーキが指令される。従っ
て、データ伝送過程において誤りが生じた場合、CRC
チェッカに故障が生じた場合、データ処理装置(FS−
CPU)からの出力データが固定した場合のいずれにお
いても非常ブレーキが動作し、フェイルセイフ化を図る
ことが可能となる。
【0062】なお、本実施例においては、チェックコー
ドとしてCRCコードを用いたが、その他のチェックコ
ードを用いても差し支えない。また、本実施例における
CRCチェックはソフトウェアで行なっているが、ハー
ドウェアによるチェックを行なっても良いことは言うま
でもない。2つの処理は、同一ハード内で行なっても、
別のハードに分散して行なっても良い。
【0063】データ伝送過程での誤り検出のみを目的と
する場合には、演算処理は1つのプログラムで行ない、
チェックコード生成プログラムのみ2つ用意し、これら
を演算サイクル毎に切り替えて使用することにより、チ
ェック結果の交番信号化を図ることも可能である。
【0064】
【発明の効果】以上説明の通り、本発明では、相異なる
チェックコードに対応した2つのチェック手段と、チェ
ック手段に対して前記チェックコードを交互に供給する
ことにより照合結果の交番化を図ることで、特殊なフェ
イルセイフ論理を用いることなくフェイルセイフ照合を
実現することが可能となる。このため照合論理が単純化
し、フェイルセイフ照合を用いた装置の小形高信頼化を
図ることが可能となる。
【図面の簡単な説明】
【図1】本発明を用いた列車制御装置の構成を表す図で
ある。
【図2】データ処理装置(FS−CPU)と速度制御装
置(FS−IOU)の構成を表す図である。
【図3】本発明を用いた列車制御装置の機能構成を表す
図である。
【図4】データ処理装置(FS−CPU)の詳細構成を
表す図である。
【図5】データ処理装置(FS−CPU)内の処理フロ
ーチャートである。
【図6】CRCコード交換処理の概略図である。
【図7】速度制御装置(FS−IOU)の詳細構成を表
す図である。
【図8】速度制御装置(FS−IOU)内における処理
フローチャートである。
【図9】データ照合回路の構成を表す図である。
【図10】出力レジスタの動作タイムチャートである。
【図11】処理の不一致ないしはデータ伝送誤りが生じ
た場合における交番AND回路の動作タイムチャートで
ある。
【図12】チェックプログラムに異常が生じた場合にお
ける交番AND回路の動作タイムチャートである。
【図13】データ処理装置(FS−CPU)からの出力
データが固定した場合における交番AND回路の動作タ
イムチャートである。
【符号の説明】
1…データ処理装置、2…速度制御装置、3…リレーユ
ニット、4…信号通信送受信器、 5…送受信アンテ
ナ、6…速度発電機、7…ブレーキ制御ユニット。
───────────────────────────────────────────────────── フロントページの続き (58)調査した分野(Int.Cl.7,DB名) G06F 11/14 - 11/20 G05B 9/02 G06F 13/00 H04L 1/00

Claims (3)

    (57)【特許請求の範囲】
  1. 【請求項1】 同一データに対して同一処理内容を異な
    る方法で演算処理し、前記2つの演算処理結果に対し
    て、それぞれ異なる2つのチェックコードを生成し、前
    2つの演算処理結果間で前記2つのチェックコードを
    交換し、前記交換されたチェックコードが付された演算
    処理結果を、交互に、前記それぞれのチェックコードに
    対応する2つのチェック手段に供給することを特徴とす
    るエラーチェック方法。
  2. 【請求項2】 同一データに対して同一処理を行なう2
    つの演算処理手段と、前記2つの演算処理手段による演
    算処理結果に対して、それぞれ異なるチェックコードを
    生成する2つのチェックコード生成手段と、前記2つの
    演算処理結果間で前記生成された2つのチェックコード
    を交換する手段と、前記それぞれのチェックコ一ドに対
    する2つのチェック手段とを備え、前記交換されたチ
    ェックコードが付された演算処理結果を、交互に、前記
    2つのチェック手段に供給することを特徴とするエラー
    チェック装置
  3. 【請求項3】 同一データに対して同一処理を行なう2
    つの演算処理手段と、前記2つの演算処理手段による演
    算処理結果に対して、それぞれ異なるチェックコードを
    生成する2つのチェックコード生成手段と、前記2つの
    演算処理結果間で前記生成された2つのチェックコード
    を交換するチェックコード交換手段と、前記交換された
    チェックコードが付された演算処理結果を、交互に送信
    する手段とを備える第1の演算処理装置と、前記それぞ
    のチェックコ一ドに対応する2つのチェック手段とを
    備える第2の演算処理装置とからなり、前記第1の演算
    処理装置を送信側、前記第2の演算処理装置を受信側と
    して通信を行ない、前記第1の演算処理装置の処理誤り
    および両演算処理装置間における通信誤りを検出するエ
    ラーチェック装置。
JP11050595A 1995-05-09 1995-05-09 エラーチェック方法および装置 Expired - Fee Related JP3210833B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP11050595A JP3210833B2 (ja) 1995-05-09 1995-05-09 エラーチェック方法および装置
EP96107022A EP0744693A1 (en) 1995-05-09 1996-05-03 Method and system for fail-safe error checking by providing plural series of check orders
CN96105671.1A CN1139802A (zh) 1995-05-09 1996-05-09 提供多个检验码序列的差错检验方法和实施该方法的系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP11050595A JP3210833B2 (ja) 1995-05-09 1995-05-09 エラーチェック方法および装置

Publications (2)

Publication Number Publication Date
JPH08305593A JPH08305593A (ja) 1996-11-22
JP3210833B2 true JP3210833B2 (ja) 2001-09-25

Family

ID=14537481

Family Applications (1)

Application Number Title Priority Date Filing Date
JP11050595A Expired - Fee Related JP3210833B2 (ja) 1995-05-09 1995-05-09 エラーチェック方法および装置

Country Status (3)

Country Link
EP (1) EP0744693A1 (ja)
JP (1) JP3210833B2 (ja)
CN (1) CN1139802A (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10344460B4 (de) * 2003-09-25 2022-03-24 Zf Cv Systems Hannover Gmbh Verfahren zur Fehlerbehandlung bei elektronischen Steuergeräten
DE102004018858A1 (de) * 2004-04-19 2005-11-10 Elektro Beckhoff Gmbh Unternehmensbereich Industrie Elektronik Verfahren und Steuerungssystem zum Erkennen eines Fehlers bei einer Verarbeitung von Daten in einem Verarbeitungssystem
DE102007029116A1 (de) * 2007-06-25 2009-01-02 Continental Automotive Gmbh Verfahren zum Betreiben eines Mikrocontrollers und einer Ausführungseinheit sowie ein Mikrocontroller und eine Ausführungseinheit
DE102009019087A1 (de) * 2009-04-20 2010-11-11 Pilz Gmbh & Co. Kg Sicherheitssteuerung und Verfahren zum Steuern einer automatisierten Anlage

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3040080C1 (de) * 1980-10-24 1987-11-12 Standard Elektrik Lorenz Ag, 7000 Stuttgart Einrichtung zur signaltechnisch sicheren Datenuebertragung zwischen einer Trasse und auf dieser gefuehrten Fahrzeugen
EP0096510B1 (en) * 1982-06-03 1988-07-27 LUCAS INDUSTRIES public limited company Control system primarily responsive to signals from digital computers
US4843608A (en) * 1987-04-16 1989-06-27 Tandem Computers Incorporated Cross-coupled checking circuit
US4924467A (en) * 1988-08-24 1990-05-08 Unisys Corporation System for checking duplicate logic using complementary residue codes to achieve high error coverage with a minimum of interface signals
GB9319974D0 (en) * 1993-09-28 1993-11-17 Smiths Industries Plc Electronic circuits and processing systems

Also Published As

Publication number Publication date
EP0744693A1 (en) 1996-11-27
CN1139802A (zh) 1997-01-08
JPH08305593A (ja) 1996-11-22

Similar Documents

Publication Publication Date Title
JP3412349B2 (ja) 制御装置
JP3206006B2 (ja) 二重化バス制御方法及び装置
US6201997B1 (en) Microprocessor system for safety-critical control systems
US6157887A (en) Brake system for a motor vehicle
US5794167A (en) Microprocessor based reliability system applicable, in particular, to the field of rail transport
JP3937242B2 (ja) 車両コントロールシステム用マイクロプロセッサ装置
US9207661B2 (en) Dual core architecture of a control module of an engine
US7673217B2 (en) Method of detecting data transmission errors in a CAN controller, and a CAN controller for carrying out the method
ITMI20082068A1 (it) Sistema elettronico per il rilevamento di un guasto
RU2284929C2 (ru) Способ управления компонентом важной для обеспечения безопасности распределенной системы
CN110758489A (zh) 一种列车自动防护系统
JP3210833B2 (ja) エラーチェック方法および装置
JPH10513286A (ja) プログラム制御回路の機能をモニタするための処理及び回路構成
US4266273A (en) System for controlling track-bound vehicles forming a train
JP3313308B2 (ja) 2重系電子連動装置
Chandra et al. A fail-safe interlocking system for railways
JPH07302207A (ja) バス照合型処理装置及び方法
JP5025402B2 (ja) 高安全制御装置
JPH07295844A (ja) フェイルセーフ制御装置及び列車制御装置
CN104714510B (zh) 用于容错故障安全计算机系统的基于任务的表决
GB2547985A (en) Vehicle subsystem communication arbitration
CN110979406A (zh) 一种交叉复用的信号系统安全计算平台
JP2005143015A (ja) リモート入出力装置
JPS5931738B2 (ja) 計算機システムの並列三重系構成方法
JPS6091415A (ja) デイジタル制御装置

Legal Events

Date Code Title Description
FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20070713

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080713

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080713

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090713

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090713

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100713

Year of fee payment: 9

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100713

Year of fee payment: 9

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110713

Year of fee payment: 10

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110713

Year of fee payment: 10

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120713

Year of fee payment: 11

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130713

Year of fee payment: 12

LAPS Cancellation because of no payment of annual fees