JP3866708B2 - リモート入出力装置 - Google Patents

リモート入出力装置 Download PDF

Info

Publication number
JP3866708B2
JP3866708B2 JP2003379850A JP2003379850A JP3866708B2 JP 3866708 B2 JP3866708 B2 JP 3866708B2 JP 2003379850 A JP2003379850 A JP 2003379850A JP 2003379850 A JP2003379850 A JP 2003379850A JP 3866708 B2 JP3866708 B2 JP 3866708B2
Authority
JP
Japan
Prior art keywords
transmission
information
error control
output
input
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003379850A
Other languages
English (en)
Other versions
JP2005143015A (ja
Inventor
藤 光 安
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2003379850A priority Critical patent/JP3866708B2/ja
Publication of JP2005143015A publication Critical patent/JP2005143015A/ja
Application granted granted Critical
Publication of JP3866708B2 publication Critical patent/JP3866708B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Electric Propulsion And Braking For Vehicles (AREA)
  • Train Traffic Observation, Control, And Security (AREA)
  • Detection And Prevention Of Errors In Transmission (AREA)

Description

本発明は、リモート入出力装置に係り、特に、鉄道車両等を地上設備側から制御するために必要な情報を、車両と地上設備の間で安全かつ確実に伝送するための装置の構造に関する。
一般に、鉄道車両を安全に運行するためには、地上設備を含む保安装置が利用される。保安装置の誤動作は、直ちに危険につながるため、万全の安全対策が考慮される。装置を構成する機器間で情報のやり取りを行う場合、情報の誤りや欠落の防止策が不可欠とされている。このため、車両と地上設備の間で情報のやり取りを行うための情報伝送路においては、その両端に、フェールセーフプロセッサが設置され、これらのフェールセーフプロセッサ間で通信を実施することで、情報伝達の安全性を確保している。
フェールプロセッサは、送信側にパラレル入力される情報を一旦シリアル変換するが、その際に、周知の手続きにより、誤り検出符号の付加や誤り訂正符号の畳み込み等の符号処理が加えられる。符号処理された情報は、伝送路に送り出され、受信側でシリアル情報の形で受信される。受信されたシリアル情報は、誤りの有無を検出され、誤りがあれば、符号処理によりこれを訂正され、正しい情報に復号された上で、パラレル変換され、受信側から取り出される。このような情報伝送を行うことにより、一通話分の安全な伝送情報を確保している。
一般に、このような保安設備で利用される情報伝送路は、ひとつの伝送路内に複数分の通話を収容することで、鉄道車両設備機器相互間、鉄道車両を制御する地上設備機器相互間、鉄道車両設備機器と地上設備機器間のそれぞれの間で様々な情報のやり取りができるように構成される。このような場合も、安全な情報伝送ができるように、システム構築されている。
これら機器内に実装されるフェールセーフプロセッサは、2つのPU(プロセッサユニット)から入出力されるバスを照合するバス照合方式や、複数のPUから入出力される情報をソフト的に共通メモリに書き込み、相互に照合し合うデータ照合方式等が知られており、活用されている。
さて、情報伝送路に流れる情報の中には、情報伝送路の両端に接続されるフェールセーフプロセッサ内で、列車の走行制御や機器制御等のための制御演算を伴わない情報がある。このような情報は、送信側の機器からの情報を、情報伝送路を介して送信し、受信側では受け取った情報をそのまま機器に与えるだけとなる。しかし、情報伝送路の中でノイズや減衰により、情報の誤りが予想される限りは、情報伝送路の両端のフェールセーフプロセッサは不可欠である。
フェールセーフプロセッサは、内部にPU、ROM(リードオンリーメモリ)、RAM(ランダムアクセスメモリ)、入出力を2重以上の冗長化を施し、かつこれら冗長化された回路相互で安全に照合する照合回路で構成される。各PUは、制御プログラムをROMから読み出し、読み出した命令を解釈し実行を行う。命令のフェッチサイクルや実行サイクルは、データバスやRAMに実行状態が随時出力されるため、これらを実行する毎に照合回路で比較照合し、不一致時には出力を安全側に固定させるようになっている。制御サイクル内には命令が複数ステップ存在し、これらの命令を順番に繰り返し実行することでフェールセーフプロセッサは動作する。
従来のリモート入出力装置は以上のように構成されるため、機器から機器に伝送されるだけの制御演算を伴わない情報を、フェールセーフプロセッサで処理するには、冗長な部分が少なくない。つまり、情報を伝送するだけのために、時間的な無駄を生じ、無駄な制御回路が働いてしまうことになってしまう。特に、命令を読み出し、解釈し、実行サイクルに制御を渡すまでの時間は、1命令内でも、直接制御に関わらない間接的な時間であり、これが制御サイクル内の命令実行数で時間積分されることにより大きなオーバーヘッドとなる。このため、本来期待される安全制御のための応答時間を低下させてしまうと言う欠点を有している。
応答時間低下の原因となる回路は、ROM、命令デコーダ、バス制御回路等であり、信頼性、装置サイズ、コストで無駄な部分があると考えられる。
また、伝送路の両端に接続されるフェールセーフプロセッサにおいては、列車の走行制御や機器制御等のための制御演算を伴わない単純な情報伝送の場合、フェールセーフプロセッサに実装されている各PUの算術演算命令、論理演算命令等の制御回路においては、制御演算が不要なため、信頼性、装置サイズ、コストで無駄な部分となってしまう。
加えて、実装されてはいるものの、実質的に使用されない、もしくは間接的にしか動作しない機能回路は、実装されているが故に、全く故障しないとは言い切れず、故障修復のための稼働率低下や、危険側故障を招く可能性を含む。
以上述べたように、従来のリモート入出力装置は、伝送路の両端に設けられたフェールプロセッサの動作に、冗長な部分が多く、信頼性、コスト、装置サイズ等で解決すべき課題があった。
従って、本発明の目的は、上記のような従来技術の課題を解決し、伝送路の両端に、フェールセーフプロセッサを用いることなく、情報伝送機能のみに特化した回路を配置し、情報伝送に関わる入出力処理を安全でしかも高速で処理できるようにしたリモート入出力装置を提供することにある。
上記目的を達成するために、本発明は、情報部としての伝送情報を送信側の複数の系で並列的に入力処理する、それぞれの系毎に設けられた入力処理手段と、前記各伝達情報に誤り制御符号を付加して送信電文を作成する、それぞれの系毎に設けられた送信側誤り制御処理手段と、自己の系における前記送信電文の誤り制御符号のみと、他の系における前記送信電文における誤り制御符号のみを交換して照合する、照合動作を行う、それぞれの系毎に設けられた送信側照合手段と、前記照合済みの前記送信電文を伝送路に送出する伝送出力処理手段と、前記伝送路から前記送信電文を受信し、受信電文として受信側の複数の系に入力する伝送入力処理手段と、前記信電文から得られた前記伝送情報とこれに対応する誤り制御符号から、自己の系としての単系における誤り検知を行う、それぞれの系毎に設けられた受信側誤り制御処理手段と、自己の系における前記信電文中の誤り制御符号のみと、他の系における前記信電文中から抜き出した誤り制御符号とを交換し照合する、複数の系間での照合動作を行う、それぞれの系毎に設けられた受信側照合手段と、
前記単系での誤り検知及び複数の系間での照合済みの前記受信電文から抜き出された前記伝送情報を出力する受信側出力処理手段と、を備えることを特徴とするリモート入出力装置を提供するものである。
以上述べたように、本発明によれば、自局に関する受信電文を全て保管できる受信バッファを有する伝送入力回路と、誤り制御回路および照合回路と、送受信バッファとパラレルIO間のデータ転送を行うDMA転送回路と、フィードバックメッセージを全て保管できる送信バッファを有する伝送出力回路と、これら4つの機能回路を自己診断を実施しつつ、動作モード解釈により機能結合させるステートマシンと、によってリモート入出力装置を構成するようにしたので、必要な機能回路のみを、最低限の機能部品数で構成可能であり、極めてシンプルな機能回路で装置を構成できるため、信頼性が向上し、コスト低減の上で効果的なばかりでなく、ステートマシンには、フェッチ動作を伴うマイクロプロセッサを利用しないため、フェッチ動作によらずに、電文の誤り診断情報、系間の照合診断情報、機器の自己診断情報から、信頼性向上のためのタフネス化の機能動作を決定していくようにしたため、外部からの伝送入力からパラレル入出力動作及びフィードバックメッセージ出力までの時間を最小限に抑え、高速化を図ることができる。
以下、図面を参照しながら、本発明の実施の形態を説明する。
図1は本発明のリモート入出力装置の実施形を説明するためのブロック図である。図において示すように、伝送路(通信路)2を挟んで、情報を送信する側の送信端末4と情報を受信する側の受信端末6が配置される。送信端末4には、送信すべき情報の情報源となる機器(情報元)8が接続され、受信端末6には、情報を受け取る機器(受信機器)10が接続される。
機器8からの信号S1は、送信端末4に与えられ、並列に設けられたパラレル入力処理回路12、14に入力され、それぞれ誤り制御処理回路16、18で誤り検出、訂正のための符号化処理を施され、誤り制御処理回路16、18の各出力は、照合回路20、22で照合処理され、伝送出力処理回路24でシリアル信号に変換され、伝送路2に送り出される。
一方、伝送路2からの信号は、受信端末6に与えられ、伝送入力処理装置26でシリアル信号をパラレル信号に変換し、それぞれ誤り制御回路28、30に与えられ、更に照合回路32、34で照合処理され、パラレル出力処理装置36を通じて、信号S2として機器10に与えられる。
なお、信号S1が誤り制御などの処理をされ、伝送路2に送り出された後、ノイズN1などの影響を受けても、受信端末6で誤り訂正などの処理を受けるため、機器10に与えられる信号S2は信号S1と同じとなるように制御される。
以上述べたような構成において、次にその作用について説明する。
本実施形態のリモート入出力装置は、伝送路2にいくつか収容されている情報通話のうち、車両制御のための制御演算を伴わない信号のために、従来、伝送路2の両端に配されたフェールセーフプロセッサの代わりに制御演算機能を持たない送信端末4と受信端末6を実装している。すなわち、伝送路2の両端でフェールセーフプロセッサによる制御演算を行わず、送信側の機器8からの信号S1を送信端末4で、パラレル入力信号からシリアル伝送信号に変換して、伝送路2に出力処理し、受信側では、伝送路2からのシリアル信号を、受信端末6で、パラレル信号に変換し、誤り訂正等の処理を行い、信号S2として機器10に与えるような一連の処理を行う構成に特化して、伝送路2の両端から、複雑で演算時間のかかるフェールセーフプロセッサを省略している。
その結果、パラレル入力を符号処理して、伝送路2に対して、シリアル伝送出力処理し、伝送路2からのシリアル伝送入力を符号処理して、パラレル出力処理を行うまでの処理を、安全で高速な処理を実現している。
図1の構成は、上記の処理を、2重系で行うようにした場合を例示しており、送信側には、パラレル入力と伝送出力機能を設け、受信側には伝送入力とパラレル出力機能を設けている。
さて、送信側で、機器8からの信号S1は、送信端末4に与えられるが、先ず、2重化された系のそれぞれの入力処理回路12、14を通じて、誤り制御回路16、18に与えられる。ここでは、伝送路2で誤りが発生しても、受信側で送信情報の推定が行えるよう、誤り制御のための冗長符号を付加する。なお、信号S1に基づくパラレル入力データと誤り制御符号のペアは2組あるため、これらの2組は同一のデータとなる。従って、誤り制御回路16、18の出力データの中の誤り制御符号のみを、それぞれの系で交換して、照合回路20、22において、誤り検定を行う。この照合は、誤り制御回路16、18の故障を検出するためのものである。
照合回路20、22における照合処理の結果、両者が一致していれば伝送出力処理回路24を通じて、伝送路2に伝送出力される。
さて、伝送路2には、一般的に、外乱等に基づくノイズ源が多数存在し、伝送にあたっては、送信電文が、ノイズN1により影響を受けることを前提とした誤り検出や誤り訂正等の符号処理が行われる。
リモート入出力装置の受信側では、受信端末6において、誤りが内在している可能性のある受信電文を伝送入力処理回路26で受信し、この信号を2系統配置される誤り制御処理回路28、30に与え、受信電文に内在する誤りを検知する。更に、2組の受信電文の異常や誤り誤り制御処理回路28、30などの故障を検出するために、照合回路32、34により、2組の受信電文の中から誤り制御符号を抜き出し、各系統間で交換し照合する。両者が一致していれば、照合の結果、問題無しと判定されるので、復号信号を、パラレル出力処理回路36を通じて信号S2として取り出す。
この信号S2は、受信側の機器10に与えられる。
図1に示したリモート入出力装置の構成要素は、原則として運転中でも危険側故障が内在していないか自己診断により確認できていないと使用できないようにしている。つまり、自己診断の結果、故障が内在しない場合に限り、それぞれの構成要素は動作することができる。
図2は、図1のリモート入出力装置の動作を説明するためのフローチャートであり、特に、自己診断を含めた動作を示すものである。
図3は、以上のフローに示した動作を説明するための、本発明の実施形態に係るリモート入出力装置の内部機能ブロック図である。
先ず、電源を投入すると、処理ステップST1がスタートし、直ちに、処理ステップST2に移行し、リモート入出力装置全体の自己診断を実施する。
電源投入時の自己診断処理では、パラレル入力とパラレル出力の自己診断を実施する。これは、データ“0(オフ)”を安全側、“1(オン)”を危険側と定義し、入力に関しては、オフチェックを実施し、出力に関してはオンチェックを実施する。この診断方法は従来から用いられている方式である。
なお、従来は、電源投入時の自己診断処理の際には、内部記憶域のチェックを実施していたが、本実施形態のリモート入出力装置では、長期間保持するデータが存在しないだけでなく、入力時と出力時に、入出力データの誤り制御と照合を実施しているため、記憶域のチェックは必ずしも必要としない。つまり、記憶という動作は、広義の通信を考えたとき、時間軸方向にデータを保持(伝送)する作用であるため、伝送(ケーブル)と同様に扱うことができる。従って、記憶期間の短いデータは、伝送の誤り制御と照合の中で誤り検知できる可能性が高いと言える。しかし、それなりに時間をかけて、記憶域のチェックをすれば、より安全性が高まることは言うまでもない。
このようにして、電源投入時の自己診断を行った結果、異常を検出した場合には、処理ステップST3の判断ルーチンを経て、処理ステップST2に戻り、自己診断をリトライする。なお、このリトライをn回実行しても異常が連続して発生する場合には、機器故障と判断して、出力を安全側に固定する。この場合、交番信号の生成状態に至ってないため、出力に電源が供給されず、結果的に、安全側の“0”に固定されることになる。
一方、処理ステップST2の電源投入時自己診断の結果、処理ステップST3で正常と判断された場合には、処理ステップST4の情報制御処理タスクに移行する。
処理ステップST4の情報制御処理タスクでは、まず、同期化処理により、同期カウンタの更新処理と監視を実施し、多重系の各系が同期をとれるようにする。
以上のようにして、同期が取れると、多重系の各系は伝送入力処理を実行する。
さて、図3の伝送回路38は、送信電文をまるごと格納できる送信バッファ40と、受信電文をまるごと格納できる受信バッファ42の他に、送受信のためのいくつかのフラグ回路を有している。
多重系の各系は、受信バッファ42に受信電文が格納されると、受信バッファ42から各系の照合バッファ44、46、48、50にDMA転送する。照合バッファは、系がA、Bの二重系の場合、A系には照合バッファ44がA=A用、照合バッファ46がA=B用として配置され、B系には照合バッファ50がB=A用、照合バッファ48がB=B用として配置される。この4面の照合バッファに対して、受信バッファ42からDMA回路52、54を用いてDMA転送するが、この場合には、ひとつの情報を4箇所に書き込むことになる。
なお、処理ステップST4の情報制御処理タスクには、この他に伝送出力処理が含まれるが、これは、外部からの情報に対するフィードバックメッセージを送信するときに利用するものである。詳細については、後述する。
処理ステップST4の情報制御処理タスクを終了すると、続いて、処理ステップST7の管理タスクに移行する。
処理ステップST7の管理タスクには、処理ステップST5の誤り制御回路、照合回路56、58の自己診断結果に基づく交番出力回路64、66からの出力処理と、処理ステップST6の支援処理からなる。
なお、処理ステップST5における誤り制御・照合回路56、58の自己診断では、一致関係の取れたテスト情報と対応した誤り制御符号を自己診断用テスト情報回路60、62で生成し、これを誤り制御・照合回路56、58に与え、一致動作を確認する。
この自己診断の結果、一致動作が期待されているのに対し、不一致の関係となるときには、この回路に安全側に遷移する異常や障害があると言うことを検知することができる。
さらに、自己診断用テスト情報回路60、62から、不一致関係のテスト情報と誤り制御符号を誤り制御・照合回路56、68に与え、不一致動作を確認する。
この自己診断の結果、不一致動作が期待されているのに対し、一致の関係となるときには、この回路に致命的な危険側異常や障害があると言うことを検知することができる。
以上のような自己診断の結果を利用して、制御サイクル毎に、一致チェックと不一致チェックを定周期に実施する。これにより、特に、照合の判定基準にて不一致を期待しているのに、一致となった場合には危険側故障が内在しているため、交番信号出力回路64、66を制御して、交番信号を“0”ないし“1”の状態で固定する。
また、安全側故障の場合には、一過性の異常や障害の可能性があるため、n回以上連続して異常を検知する場合には、交番信号出力回路64、66を制御して、交番信号を“0”ないし“1”の状態で固定する。
つまり、誤り制御・照合回路56、58に異常や故障がない場合には、交番信号出力回路64、66の交番信号出力には、0→1→0→1…というように交番信号が現れる。
従来のフェールセーフ処理装置では、この交番信号に基づいて、コンデンサやトランスに電気エネルギーをチャージし、これによって セーフティリレーの接点を駆動し、出力回路の電源遮断制御を行うことで、出力を安全側に固定(出力をカット)することができるようにしている。
以上のようにして処理ステップST5の処理を終了すると、続いて、処理ステップST6の支援処理に移行する。この処理では、各系の照合バッファ44、46、48、50へDMA転送した受信データの誤りの検定と照合が実施される。
誤り検定では、受信データに含まれる情報部と誤り制御符号(安全コード)の一致性を利用して、送信側から送られてきた真の情報を推定する。なお、受信データの情報部には、発信元と宛先の識別子、サイズ情報、制御符号、シーケンス番号やタイムスタンプが含まれる。また、受信データの誤り制御符号は、安全な通信を実現するための安全コードであり、伝送LSI(大規模集積回路)等に誤り検出・訂正のために標準機能として備わるFCS(フレームチェックシーケンス)回路のためのFCSコードとは異なるものである。
照合では、さらにA、Bの各系間で、受信データに含まれる誤り制御符号を交換して、誤り検定の検算を実施する。このようにして、ノイズで誤情報が重畳した受信データの誤り検出と、誤り検知回路自身の故障による誤りを見逃さないようにしている。
見逃し誤りを無視してよいレベルまで下げた受信電文を利用して、次に電文解釈を実施する。この電文解釈は、受信電文の情報部に含まれる発信元と宛先の識別子、サイズ情報、制御符号、シーケンス番号やタイムスタンプから、自分に送られてきた受信電文であることを特定するとともに、次に移すべき動作状態を決定する条件の1つにする。
次に移すべき動作状態を決定する条件には、この他にこれまで実施してきた自己診断情報が利用され、リモート入出力運転が継続できる状態、すなわち、伝送回路38が正常で、2重系以上の誤り制御回路・照合回路56、58、パラレル入力回路76、78、パラレル出力回路80が正常であれば、伝送入力→パラレル出力動作ないし、パラレル入力→伝送出力動作に移行する。このような次の動作モードは、次状態動作決定ステートマシン68、70によって決定される。
なお、伝送入力→パラレル出力では、既にパラレル出力すべき情報も誤り検知及び照合された結果の推定情報も、照合バッファに存在するため、DMA回路72、74を用いて、この情報を自己診断付パラレル出力回路80にDMA転送することで、データ出力を実施する。このデータが図1の信号S2に対応するものとなる。
加えて、出力過渡期間を経た後、自己診断付パラレル出力回路80から出力した情報は、自己診断付パラレル入力回路76、78にパラレル入力される。このことについては、パラレル入力→伝送出力の説明の時に改めて触れる。
パラレル入力→伝送出力では、パラレル入力情報が安定するまでに時間がかかるが、これは、機器に含まれる外部接点のチャタリング等によるもので、これが安定するまでの時間がかかるためである。
従って、制御サイクル×N倍の定周期にサンプリングし、nスキャン一致フィルタで安定していることが確認されたパラレル入力情報を利用することになる。
以上のようにして取得したパラレル入力データは、伝送出力時のフィードバックデータ、つまりフィードバック電文の一部となる。伝送入力→パラレル出力のときにも、伝送出力でフィードバック電文を相手局に返送するため、内部パラレル出力の内部リードバック入力情報もフィードバック電文の一部となる。
このようにしてパラレル入出力処理を終えると、伝送出力を通したフィードバック電文の組立を行う。
フィードバック電文の組立ては、受信データに対応した発信元と宛先の識別子、サイズ情報、制御符号、シーケンス番号やタイムスタンプと、これまでに取得したパラレル入力情報やフィードバック入力情報を所定のフォーマットに従って組立てられ、各系の照合バッファ44、46、48、50にセットされる。
各系の誤り制御回路と照合回路56、58は、フィードバック電文が照合バッファ44、46、48、50にセットされると、この内容から誤り制御符号を生成し、系間で照合動作を実施することで、自身の自己診断はもとより、フィードバック電文の組立用のDMA回路52、54、72、74の検定も実施する。
このようにして、作成されたフィードバック電文+誤り制御符号は、誤りのない主系から伝送出力回路38の送信バッファ40にセットされ、伝送出力回路38を故障のない主系が送信制御することにより、相手局にフィードバック電文を返送する。
以上述べたようなプロセスを経て、本実施形態のリモート入出力装置は、図1に示した構成において、伝送路2からの一連の伝送入力と機器10へのパラレル出力動作および機器8からのパラレル入力動作および伝送路2への伝送出力動作を実施する。
続いて、本発明のリモート入出力装置を具体的に構築した例を以下に説明する。
各系の誤り制御・照合回路56、58にCRC−CCITT(生成多項式X16+X12+X5+1)を適用した。この方式のハミング距離は4である。
この方式は、送信する際に送信すべき真の情報を生成多項式で除算し、その剰余を誤り制御符号として付加し送信出力するものである。一方、受信側では、ノイズにより誤情報が重畳された受信電文を、生成多項式で除算し、剰余がなければ受信電文と送信電文は一致しているものと推定する。
照合回路56、58では、伝送入力の際に、この剰余を系間で交換し、誤り検定検算を実施する。
各系で割り切れれば、その受信データと照合回路には異常がない。もし万が一割り切れない場合、2重系の場合には、送信側からの真の情報を推定することはできないが、いずれか一方の受信電文ないし、誤り検定、照合回路に異常があることは検出できる。
3重系以上の場合には、多数決判定を実施することで、故障個所の推定と真の情報の推定とが行えるようになるため、より信頼性のある誤り制御と照合回路を実現することができる。
本発明の実施に当たり、リモート入出力装置の伝送仕様として以下を検証した。
先ず、安全に通信路に流せる情報量、ビットエラー率、誤り制御符号のもつハミング距離で影響する見逃し誤り率について説明する。見逃し誤り率とは、誤り制御符号の評価尺度の1つであり、情報元から通信路に流す際に誤り制御符号を付加したり、受信側で誤り制御符号とデータの関連性により情報元を推定する際に、誤りを見逃し出力先へ誤って情報を伝えてしまう確率である。この値は、小さいほど受信側の機器に誤りなく情報を伝えていることを意味している。
誤って情報を伝えてしまうケースの中には、その情報が誤って伝わってしまうことで、致命的な故障に発展する危険を内包するものがある。たとえば、ブレーキ指令を入力し、ブレーキ出力を行いたいのに対して、途中の伝送路で誤りが発生してブレーキ出力ができないと言った場合、列車衝突や脱線等の事故に発展する可能性がある。
鉄道車両を制御するために必要な情報を安全にやりとりする保安装置の場合は、1E−10〜1E−11(回/h)以下を危険側故障率ないしは危険側見逃し誤り率の設定値としている。
通信の情報量(ビット)をn(ビット)と仮定し、送信情報が誤らずに受信される確率P0は、nビットが誤らない確率であり、
=(1−p)
となる。残りの差集合
Figure 0003866708
 は何らかの誤りが起こる確率である。
一方、共通の誤り制御符号は、1回の情報伝送で複数ビットの誤りが発生してもハミング距離−1ビット以下であれば、誤りを検出できる。例えば、ハミング距離が4であれば、表1のようになる。
Figure 0003866708
これらを考慮しつつ 正しく復号される確率Pcは、以下のように求まる。符号長nビット中、特定の1箇所のみ誤る確率は
1(1−p)n−1
となる。このような誤りは、n個から1個を選ぶ組み合わせとして
=n
種類ある。従って、1箇所の誤りが発生する確率は、
1(1−p)n−1
となる。同様に、2箇所、3箇所の誤りの発生する確率を求め、受信語に誤りがない確率 P0を加えると、
Figure 0003866708
となる。
ハミング距離以上の複数の同時誤りで発生する見逃し誤りの確率は、
+P
であり、残りの差集合
=1−Pc
で求めることができる。ここで、例として、リモート入出力装置を考案するにあたり、この式を用い、見逃し誤り率を算出した結果をケース(1)〜ケース(4)に示す。
ケース(1):データサイズ64バイトの場合
前提条件(1−1) ハミング距離=4
前提条件(1−2) 伝送状況:10mSおきに状態変化のない同一データを冗長伝送。
Figure 0003866708
見逃し誤り率の指標値は、1E-10〜1E-11(回/h)以下、つまり20万年に1回である。従って、回線品質としては、1E-7以下であれば見逃し誤り率は確保できる。
ケース(2):データサイズ128バイトの場合
前提条件(2−1) ハミング距離=4
前提条件(2−2) 伝送状況:10mSおきに状態変化のない同一データを冗長伝送。
Figure 0003866708
見逃し誤り率の指標値は、1E-10〜1E-11(回/h)以下、つまり20万年に1回である。従って、回線品質としては、1E-7以下であれば見逃し誤り率は確保できる。
ケース(3):データサイズ256バイトの場合
前提条件(3−1) ハミング距離=4
前提条件(3−2) 伝送状況:10mSおきに状態変化のない同一データを冗長伝送。
Figure 0003866708
見逃し誤り率の指標値は、1E-10〜1E-11(回/h)以下、つまり20万年に1回である。従って、回線品質としては、1E-8以下であれば見逃し誤り率は確保できる。
ケース(4):データサイズ1500バイトの場合
前提条件(4−1) ハミング距離=4
前提条件(4−2) 伝送状況:10mSおきに状態変化のない同一データを冗長伝送。
Figure 0003866708
見逃し誤り率の指標値は、1E-10〜1E-11(回/h)以下、つまり20万年に1回である。従って、回線品質としては、1E-9以下であれば見逃し誤り率は確保できる。
上記のケース(1)〜(4)で総合的に考察される内容についてまとめると、
A) 情報量が2倍になると、見逃し誤り率は1桁悪化する。
B) ビットエラー率(BER)が1桁下がると、見逃し誤り率は約4桁下がる。
C) 粗悪な回線品質(1E−4以下)では、ハミング距離の高い誤り制御符号
を必要とし、
情報量を絞る必要がある。
従って、本発明のリモート入出力装置において、入出力装置のつながる通信路では、見逃し誤り率を確保するため、回線品質を考慮するとともに、1通話の情報サイズについて最適化を行うような伝送プロトコルにするなどの設計上の配慮が必要となってくる。
以上述べたような設計的なアプローチの結果、本発明の実施形態では、誤り制御回路と照合回路、送受信バッファと照合バッファ、パラレルIO間のデータ転送を行うDMA転送回路と、受信電文の解釈回路については、フェッチ機能を伴うマイクロプロセッサを利用せず、PLD(プログラマブルロジックデバイス)内でステートマシンにより構成可能となっている。その結果、リモート入出力装置として必要な機能回路のみを、最低限の機能部品数で構成することが可能となった。
また、マイクロプロセッサを利用せず、PLD内でステートマシンにすることによって、外部からの伝送入力からパラレル入出力動作及びフィードバックメッセージ出力までの時間を最小限に抑えることができる。
以上述べたように、本実施形のリモート入出力装置は、多重系で構成される誤り制御回路で、受信電文から得られた情報部とこれに対応する誤り制御符号から、単系における誤り検知を行い、加えて、照合回路により系間で誤り制御符号のみを交換し検算する照合動作により真の情報を推定することができる。また、3重系以上では多数決判定を行わせることで、情報の推定精度を高めることが可能となる。その結果、誤り制御回路の誤動作や故障を検知するとともに、ノイズによる誤情報を含んだ受信電文や内部データの誤りを無視してよいレベルまで検知可能とする。
また、フィードバック電文を作成する際、フィードバック電文に含む予定の発信元と宛先の識別子、サイズ情報、制御符号、シーケンス番号やタイムスタンプ、パラレル入力情報、パラレル出力の内部リードバック入力情報、自己診断情報等の情報部から、各系で誤り制御符号の作成を行うとともに、系間で誤り制御符号のみを交換し検算する照合動作と3重系以上の場合には多数決判定を行うことで、相手外部機器に対して誤った電文を送信するのを防止することができる。
さらに、誤り制御回路や照合回路の自己診断を実施し、この結果を交番信号に反映させることにより、伝送路上にデータを誤って出力しないようにすることができる。
本発明の実施形態のリモート入出力装置のブロック図である。 図1の構成を動作を説明するためのフローチャートである。 図2のフローチャートの動作を説明するための、リモート入出力装置の内部機能ブロック図である。
符号の説明
2 伝送路
4 送信端末
6 受信端末
8、10 機器
12、14 入力処理回路
16、18、28、30 誤り制御回路
20、22、32、34 照合回路
24 伝送出力処理回路
26 伝送入力処理回路
36 パラレル出力処理回路
38 伝送回路
40 送信バッファ
42 受信バッファ
44、46、48、50 照合バッファ
52、54、72、74 DMA回路
56、58 誤り制御・照合回路
60、62 自己診断用テスト情報回路
64、66 交番信号出力回路
68、70 次状態動作決定ステートマシン
76、78 自己診断付パラレル入力回路
80 自己診断付パラレル出力回路

Claims (13)

  1. 情報部としての伝送情報を送信側の複数の系で並列的に入力処理する、それぞれの系毎に設けられた入力処理手段と、
    前記各伝達情報に誤り制御符号を付加して送信電文を作成する、それぞれの系毎に設けられた送信側誤り制御処理手段と、
    自己の系における前記送信電文の誤り制御符号のみと、他の系における前記送信電文における誤り制御符号のみを交換して照合する、照合動作を行う、それぞれの系毎に設けられた送信側照合手段と、
    前記照合済みの前記送信電文を伝送路に送出する伝送出力処理手段と、
    前記伝送路から前記送信電文を受信し、受信電文として受信側の複数の系に入力する伝送入力処理手段と、
    前記信電文から得られた前記伝送情報とこれに対応する誤り制御符号から、自己の系としての単系における誤り検知を行う、それぞれの系毎に設けられた受信側誤り制御処理手段と、
    自己の系における前記信電文中の誤り制御符号のみと、他の系における前記信電文中から抜き出した誤り制御符号とを交換し照合する、複数の系間での照合動作を行う、それぞれの系毎に設けられた受信側照合手段と、
    前記単系での誤り検知及び複数の系間での照合済みの前記受信電文から抜き出された前記伝送情報を出力する受信側出力処理手段と、
    を備えることを特徴とするリモート入出力装置。
  2. 前記伝送情報が、発信元、宛先の識別子、サイズ情報、制御符号、シーケンス番号、タイムスタンプの少なくともひとつを含む、請求項1のリモート入出力装置。
  3. 前記系が3以上で、前記各照合手段が、多数決により照合する、請求項1または請求項2のリモート入出力装置。
  4. 相手局に返送されるフィードバック電文が、発信元、宛先の識別子、サイズ情報、制御符号、シーケンス番号、タイムスタンプ、内部フィードバック情報、自己診断情報の少なくともひとつを含む、請求項1乃至の1つのリモート入出力装置。
  5. 前記送信側照合手段および前記受信側照合手段による診断において、一致動作が期待されているのに対して、不一致となった場合は、前記送信側誤り制御処理回路および前記受信側誤り制御処理回路の少なくともひとつに、安全側に遷移する異常や障害があると診断するようにした、請求項1のリモート入出力装置。
  6. 前記一致診断を定期的に実施するようにした、請求項5のリモート入出力装置。
  7. 前記一致診断の結果に基づき、出力処理手段からの出力状態を、安全側にするようにした、請求項または請求項6のリモート入出力装置。
  8. 前記送信側照合手段および前記受信側照合手段による診断において、不一致動作が期待されているのに対して、一致となった場合は、前記送信側誤り制御処理回路および前記受信側誤り制御処理回路の少なくともひとつに、危険側に遷移する致命的な異常や障害があると診断するようにした、請求項1のリモート入出力装置。
  9. 前記不一致診断を定期的に実施するようにした、請求項8のリモート入出力装置。
  10. 前記不一致診断の結果に基づき、出力処理手段からの出力状態を、安全側にするようにした、請求項または請求項9のリモート入出力装置。
  11. 前記伝送出力処理手段において送信電文を全て保管する送信バッファ、前記送信側誤り制御処理手段、前記送信側照合手段のそれぞれの機能を、動作モードを解釈しながら、機能結合して診断するステートマシンを備える、請求項1のリモート入出力装置。
  12. 前記伝送入力処理手段において受信電文を全て保管する受信バッファ、前記受信側誤り制御処理手段、前記受信側照合手段のそれぞれの機能を、動作モードを解釈しながら、機能結合して診断するステートマシンを備える、請求項1のリモート入出力装置。
  13. 前記ステートマシンが、フェッチ動作を行わない、請求項11または請求項12のリモート入出力装置。
JP2003379850A 2003-11-10 2003-11-10 リモート入出力装置 Expired - Fee Related JP3866708B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003379850A JP3866708B2 (ja) 2003-11-10 2003-11-10 リモート入出力装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003379850A JP3866708B2 (ja) 2003-11-10 2003-11-10 リモート入出力装置

Publications (2)

Publication Number Publication Date
JP2005143015A JP2005143015A (ja) 2005-06-02
JP3866708B2 true JP3866708B2 (ja) 2007-01-10

Family

ID=34689769

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003379850A Expired - Fee Related JP3866708B2 (ja) 2003-11-10 2003-11-10 リモート入出力装置

Country Status (1)

Country Link
JP (1) JP3866708B2 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005061394A1 (de) * 2005-12-22 2007-06-28 Robert Bosch Gmbh Fehlertolerantes Prozessorsystem
KR101110975B1 (ko) * 2007-07-10 2012-03-14 미쓰비시덴키 가부시키가이샤 송신 장치 및 통신 시스템
JP4954249B2 (ja) * 2009-07-22 2012-06-13 株式会社京三製作所 電子端末装置及び電子連動装置
JP5467925B2 (ja) * 2010-05-10 2014-04-09 株式会社日立製作所 パラレルバスの健全性チェック機能を備えた保安装置
KR101465533B1 (ko) * 2013-01-31 2014-12-10 현대로템 주식회사 철도차량용 축전지의 제어시스템 및 그 철도차량
US9731714B2 (en) 2014-06-25 2017-08-15 Fujitsu Ten Limited Vehicle apparatus

Also Published As

Publication number Publication date
JP2005143015A (ja) 2005-06-02

Similar Documents

Publication Publication Date Title
US8799738B2 (en) Method of detecting data transmission errors in a CAN controller, and a CAN controller for carrying out the method
JP5068436B2 (ja) 安全性関連処理のバス結合のための方法と装置
US11245547B2 (en) Monitoring controller area network (CAN) nodes
US9452909B2 (en) Safety related elevator serial communication technology
CN107534592B (zh) 用于保护数据总线收发器的配置数据的方法、数据总线收发器和数据总线系统
US20070006025A1 (en) Sending device, receiving device, communication control device, communication system, and communication control method
US6601210B1 (en) Data integrity verification in a switching network
JP3866708B2 (ja) リモート入出力装置
KR20070070662A (ko) 초소형 위성용 데이터제어 자동복구 시스템
US20060218432A1 (en) Method for the recognition and/or correction of memory access error electronic circuit arrangement for carrying out said method
EP1999908B1 (en) Apparatus for detecting errors in a communication system
JP2005049967A (ja) フェイルセーフプロセッサ及び鉄道用保安制御装置
EP2601753B1 (en) High-integrity data transmission system
JP5094591B2 (ja) 照合システム
CN113722770B (zh) 基于分级的数据完整性的端到端的保护方法及系统
EP3882774A1 (en) Data processing device and data processing method
JP4812546B2 (ja) 送信装置,受信装置及び通信システム
CN114124745B (zh) 一种用于诊断mvb通信故障的方法与系统
CN111124418B (zh) 一种基于vcp冗余代码的通信数据超时判断方法
CN114598418A (zh) 一种应用于编码器数据传输的方法、装置及系统
JP5632804B2 (ja) バス診断機能を備えた制御装置
JP6017344B2 (ja) 制御装置、制御システム及びデータ生成方法
EP2824572A1 (en) Fail safe device and method for operating the fail safe device
JP2016066337A (ja) 情報処理装置、記憶装置及び情報処理システム
JP2024528495A (ja) 機能安全システムにおける符号化された診断のための方法

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20051128

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20051209

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060203

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060331

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060426

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060929

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20061005

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101013

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111013

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111013

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121013

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131013

Year of fee payment: 7

LAPS Cancellation because of no payment of annual fees