JP4454538B2 - 多重系電子計算機 - Google Patents
多重系電子計算機 Download PDFInfo
- Publication number
- JP4454538B2 JP4454538B2 JP2005158861A JP2005158861A JP4454538B2 JP 4454538 B2 JP4454538 B2 JP 4454538B2 JP 2005158861 A JP2005158861 A JP 2005158861A JP 2005158861 A JP2005158861 A JP 2005158861A JP 4454538 B2 JP4454538 B2 JP 4454538B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- circuit
- memory
- computer
- processor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000015654 memory Effects 0.000 claims description 98
- 230000009977 dual effect Effects 0.000 claims description 53
- 238000012795 verification Methods 0.000 claims description 32
- 230000005540 biological transmission Effects 0.000 claims 1
- 238000000034 method Methods 0.000 description 29
- 230000008569 process Effects 0.000 description 23
- 238000012545 processing Methods 0.000 description 22
- 238000012546 transfer Methods 0.000 description 15
- 230000001360 synchronised effect Effects 0.000 description 9
- 230000004913 activation Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 4
- 230000005856 abnormality Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000010355 oscillation Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Landscapes
- Hardware Redundancy (AREA)
- Train Traffic Observation, Control, And Security (AREA)
Description
この発明は、鉄道信号保安装置などの鉄道信号制御分野で用いられる多重系電子計算機に関し、詳しくは、フェールセーフコンピュータをなす多重系電子計算機に関する。
従来、鉄道信号制御の分野では、障害発生時にシステムを安全な状態に維持もしくは安全な状態に遷移させるというフェールセーフなコンピュータを構成するため、プロセッサ及びその周辺を二重系・多重系とし(例えば特許文献1参照)、冗長化された処理結果を比較回路に入力して誤り検出を行い、誤り検出時には、装置として出力を安全側に固定するとともに、比較回路自体も自身の故障に対して出力を安全側に固定する、といったことが行われている。
そのようなフェールセーフコンピュータの具体例を図5に2つ示したが、図5(a)のものは、密結合バス同期式と呼ばれ、日本の鉄道分野では、連動装置や,新幹線用ATC,踏切などに用いられている。また、図5(b)のものは、プログラム同期式と呼ばれ、最近の電子連動装置などに採用されつつある。さらに、図示は割愛したが、時間差同期式や、2−バージョンプログラム式、セルフチェッキング式などのフェールセーフコンピュータも鉄道信号に実用化されている(例えば非特許文献1参照)。
図6は、そのような従来の多重系電子計算機のうち、密結合バス同期式について(図5(a),非特許文献1図1−4(1),特許文献1図4を参照)、その構成を、本発明の具体的な説明に役立つ程度の詳しさで、図示したものであり、(a)が全体ブロック図、(b)が搭載プログラムの概要フローチャートである。
なお、図示に際して、A系の要素には数字符号の末尾にAを付加し、B系の要素には数字符号の末尾にBを付加したが、文中でA系・B系の片系を意識せずに両系を纏めて参照するときは単に数字符号だけを記す。
なお、図示に際して、A系の要素には数字符号の末尾にAを付加し、B系の要素には数字符号の末尾にBを付加したが、文中でA系・B系の片系を意識せずに両系を纏めて参照するときは単に数字符号だけを記す。
この二重系電子計算機は(図6(a)参照)、同じプログラム16を搭載した複数系(A系,B系)のコンピュータ10〜15と、複数系のバスラインのデータDa,Dbを比較して不一致検出時に出力を停止する照合回路20とを備え、照合回路20が各系コンピュータのバスライン11A,11Bに直接接続されている。すなわち、A系コンピュータ10A〜15AのA系バスライン11Aのデータがそのまま比較対象の一方のデータDaとして照合回路20に入力されるとともに、B系コンピュータ10B〜15BのB系バスライン11Bのデータがそのまま比較対象の他方のデータDbとして照合回路20に入力され、更に両系のコンピュータのバスライン11A,11Bのクロックと照合回路のデータ入力のクロックCLKとが同一・共通になっている。
詳述すると、A系も、B系も、コンピュータは、応用プログラム16をインストールされたプロセッサ10と、複数ラインのアドレスと複数ラインのデータと単一ラインのクロックとを含むバスライン11と、バスライン11を介してプロセッサ10に接続された入力回路12とメインメモリ13と出力回路14と、複数ラインからなり図示しない周辺装置や通信装置等への出力を伝える出力ライン15とを具えている。入力回路12は、例えば、ラッチ回路や割込要求回路等を具えていて、周辺装置や通信装置等から受けたデータをプロセッサ10に入力させるようになっている。メインメモリ13は、例えば、プログラム保持に適したPROMやデータ保持に適したSRAMからなり、出力回路14は、例えば、バッファ等を具えていて、出力ライン15を介して外部へ出力するデータを一時保持するようになっている。
応用プログラム16は(図6(b)参照)、連動装置や新幹線用ATC等のアプリケーションに応じて具体的な処理内容が異なるが、入力処理とそれに応じた応用演算と演算結果に基づく出力処理とを基本的な処理単位として、それを応用種別等に応じて必要なだけ(1〜N)行うようになっている。また、それら一連の処理は、プロセッサ10によって繰り返し実行される。即ち(図6参照)、入力処理(入力1〜N)では、入力回路12からバスライン11を介してプロセッサ10へデータが送られ、応用演算(応用1〜N)では、プロセッサ10からバスライン11を介してメインメモリ13へデータ参照やデータ書込が行われ、出力処理(出力1〜N)ではプロセッサ10からバスライン11を介して出力回路14へ出力データが送られるとともに、この出力データが出力回路14から出力ライン15に送出されるようになっている。密結合バス同期式では、クロックが共通なので、A系プロセッサ10AとB系プロセッサ10Bは完全に同期して同じ処理を行う。
照合回路20は(図6(a)参照)、複数系のデータを比較して不一致検出時に出力を停止するために、フェールセーフ比較回路21とフェールセーフ電源22と出力比較回路23とを具えており、そのうちフェールセーフ比較回路21は、プロセッサ10のバスラインと共通するクロックCLKに基づくタイミングで、A系バスライン11AからデータDaを入力するとともにB系バスライン11BからデータDbを入力して、両データが一致しているか否かの比較を行うようになっている。また、フェールセーフ比較回路21は、比較結果として照合信号Fを出力するが、いわゆる振り子回路を具有しており、これによって照合信号Fは、一致状態の継続している間は、一定周期で交互に値の変化する交番信号となり、比較結果に不一致が検出されると、値の変化しない一定信号となる。
出力比較回路23は、例えばリレー回路からなり、図示の出力回路14と図示しない周辺装置や通信装置等の外部装置との間に介挿して設けられ、出力回路14A,Bの出力データについて出力ライン15の各ライン毎にA系とB系との論理積を採ってからその論理値を例えば24Vのリレー信号で図示しない外部装置へ送出するようになっている。
フェールセーフ電源22は、出力比較回路23に例えば24Vの動作電力を供給するものであるが、その電力供給を照合信号Fに応じて選択的に行う。具体的には、照合信号Fが交番信号のときだけ出力比較回路23に動作電力を供給し、照合信号Fが一定信号のときには出力比較回路23に動作電力を供給しないようになっている。
フェールセーフ電源22は、出力比較回路23に例えば24Vの動作電力を供給するものであるが、その電力供給を照合信号Fに応じて選択的に行う。具体的には、照合信号Fが交番信号のときだけ出力比較回路23に動作電力を供給し、照合信号Fが一定信号のときには出力比較回路23に動作電力を供給しないようになっている。
このような密結合バス同期式の多重系電子計算機では、A系およびB系のコンピュータ10〜15が同一のソフトウェアで稼動するとともに、照合回路20がクロックに同期して両系のバスライン11のデータを比較する。
そして、両系のコンピュータ10〜15が何れも正常に動作している間は、両系のデータが一致してフェールセーフ比較回路21の照合信号Fが交番信号になり、フェールセーフ電源22から出力比較回路23に電力が供給されるので、出力比較回路23から外部へ出力データが出力される。
そして、両系のコンピュータ10〜15が何れも正常に動作している間は、両系のデータが一致してフェールセーフ比較回路21の照合信号Fが交番信号になり、フェールセーフ電源22から出力比較回路23に電力が供給されるので、出力比較回路23から外部へ出力データが出力される。
これに対し、何れかの系に故障が発生して、両系のデータに不一致が検出されると、フェールセーフ比較回路21の照合信号Fが一定信号になり、フェールセーフ電源22から出力比較回路23への電力供給が停止されるので、出力比較回路23から外部へ出力データが出力されなくなる。
こうして、故障発生時には照合回路によってデータの外部出力が抑止されて、装置から外部への作用が安全状態に保持され、フェールセーフ性が確保される。
こうして、故障発生時には照合回路によってデータの外部出力が抑止されて、装置から外部への作用が安全状態に保持され、フェールセーフ性が確保される。
このような従来の多重系電子計算機では、フェールセーフ化のために採用した方式によって、長所・短所に違いがある。
例えば、プログラム同期方式の場合、健全性のチェックをソフトウェア(プログラム)で遂行するため、ハードウェアの規模や制約が少なくてプロセッサ(CPU)のマシンサイクル(クロック)を上げるのも容易であるという長所がある一方、ソフトウェアの負担(プログラム構成,プログラム規模,実行負荷)が重いという短所がある。
例えば、プログラム同期方式の場合、健全性のチェックをソフトウェア(プログラム)で遂行するため、ハードウェアの規模や制約が少なくてプロセッサ(CPU)のマシンサイクル(クロック)を上げるのも容易であるという長所がある一方、ソフトウェアの負担(プログラム構成,プログラム規模,実行負荷)が重いという短所がある。
これに対し、密結合バス同期方式では、健全性のチェックに際し、ハードウェアで構成した比較回路・照合回路を用いて、プロセッサのマシンサイクル毎に各系のバスラインのデータを比較するため、ソフトウェアの負担が軽いという長所がある一方、プロセッサのバス動作速度が照合回路の制約を受けることに起因する不都合がある。すなわち、照合回路のうち比較回路や電源回路にフェールセーフなものが採用されていて、照合回路の動作速度を上げるのが困難なことから、プロセッサのバス動作速度の上限の引き上げも難しく、そのため、利用可能なプロセッサの動作速度が向上しても、その最高動作速度を下回るバス動作速度の上限以下でしかプロセッサを動作させることができなかった。
しかしながら、処理能力の向上は避けることのできない要請であり、密結合バス同期方式についても、ハードウェアの制約が少なくてマシンサイクルを容易に上げられるというプログラム同期方式の長所を取り込めるよう、改造を施すことが望まれる。もっとも、ソフトウェアの負担が過重になることは許されないので、負担の重いフェールセーフな比較処理はソフトウェア化を避けなければならない。
そこで、フェールセーフコンピュータの実現に実績を持つ照合回路の使用は踏襲しつつも、照合回路とバスラインとの結合状態を改めることにより、プロセッサを高速動作させうる多重系電子計算機を実現することが、技術的な課題となる。
そこで、フェールセーフコンピュータの実現に実績を持つ照合回路の使用は踏襲しつつも、照合回路とバスラインとの結合状態を改めることにより、プロセッサを高速動作させうる多重系電子計算機を実現することが、技術的な課題となる。
本発明の多重系電子計算機は(解決手段1)、このような課題を解決するために創案されたものであり、各系毎にプロセッサとメインメモリを有し同じプログラムを搭載した複数系のコンピュータと、複数系のデータを比較して不一致検出時に出力を停止する照合回路とを備えた多重系電子計算機において、前記コンピュータ毎に設けられ該当系のプロセッサから該当系のバスラインを介して固有タイミングで転送されたデータの書き込みを受けるデュアルポートメモリを複数系と、前記照合回路の入力タイミングと共通するタイミングで前記デュアルポートメモリそれぞれからデータを読み出して前記照合回路にその入力対象の複数系のデータとして送出する読出制御回路とを具えたことを特徴とする。
また、本発明の多重系電子計算機は(解決手段2)、上記解決手段1の多重系電子計算機であって、前記デュアルポートメモリが各系毎に複数設けられ、前記読出制御回路が各系毎に前記デュアルポートメモリの何れか一つをデータ読出対象に選択してデータの読出および前記照合回路へのデータ送出を繰り返すとともにデータ読出対象のメモリ切替を複数系について一斉に行うようになっていることを特徴とする。
さらに、本発明の多重系電子計算機は(解決手段3)、上記解決手段2の多重系電子計算機であって、前記デュアルポートメモリへのデータ書込が複数系の総てで終了したときに前記メモリ切替を行うように前記読出制御回路がなっていることを特徴とする。
また、本発明の多重系電子計算機は(解決手段4)、上記解決手段3の多重系電子計算機であって、同期要求を出して待ち状態になる同期プログラムが前記コンピュータそれぞれに搭載され、前記同期要求が複数系の総てで出揃ったときに前記コンピュータの待ち状態を一斉に解く同期制御回路が設けられたことを特徴とする。
このような本発明の多重系電子計算機にあっては(解決手段1)、各系のプロセッサのバスラインとフェールセーフな照合回路との直接接続が外され、その代わりに、各系毎にメインメモリとは別のデュアルポートメモリが設けられて、その読出が読出制御回路によって行われる。
これにより、バスラインと照合回路との接続関係がデュアルポートメモリを介在させた間接的なものとなって、クロックを同一・共通にするというハードウェア上の制約が解かれる。一方、ソフトウェア負荷の増加は、比較対象データをメインメモリ等からデュアルポートメモリへ転送する程度にとどまり、比較処理には及ばない。
これにより、バスラインと照合回路との接続関係がデュアルポートメモリを介在させた間接的なものとなって、クロックを同一・共通にするというハードウェア上の制約が解かれる。一方、ソフトウェア負荷の増加は、比較対象データをメインメモリ等からデュアルポートメモリへ転送する程度にとどまり、比較処理には及ばない。
しかも、比較対象データの転送に際して、各系のプロセッサからデュアルポートメモリへの書込が各系の固有タイミングで行われる一方、デュアルポートメモリからのデータ読出は読出制御回路によって照合回路の入力タイミングに適合するよう一斉に行われるため、各系のプロセッサのマシンサイクル・バスラインのクロックと照合回路の比較サイクル・データ入力クロックとが同じでなくても、複数系のデータを比較してフェールセーフ性を確保することが可能である。
したがって、この発明によれば、密結合バス同期方式の照合回路を使用してフェールセーフコンピュータを構成していながらプロセッサは高速動作させうる多重系電子計算機を実現することができる。
したがって、この発明によれば、密結合バス同期方式の照合回路を使用してフェールセーフコンピュータを構成していながらプロセッサは高速動作させうる多重系電子計算機を実現することができる。
また、本発明の多重系電子計算機にあっては(解決手段2)、デュアルポートメモリが各系毎に複数化されていて、各系毎にデュアルポートメモリの何れか一つがデータ読出対象に選択され、そこから繰り返してデータが読み出され照合回路へ送出される。そして、データ読出対象のメモリを切り替えるときには複数系で一斉に行われる。そのため、デュアルポートメモリへのデータ書き込みはデータ読出対象以外のメモリに行われることとなる。また、各系でのデータ書込状態の不揃いに影響されることなく、比較可能に揃った各系のデータが途切れることなくデュアルポートメモリから読み出されて照合回路に送られる。これにより、照合回路が、フェールセーフ性の確保のため振り子回路等を具有していて比較対象データの間断なき入力を要する従来品のままであっても、適切に動作する。
さらに、本発明の多重系電子計算機にあっては(解決手段3)、複数系の総てでデュアルポートメモリへのデータ書込が終了すると、読出制御回路によってデータ読出対象メモリの切替が行われる。
これにより、各系のコンピュータは自系データの書込終了を通知すれば足り他系コンピュータのデータ書込終了を待ち合わせる必要がなくなるので、比較対象データをプログラムで転送しなければならなくなったことに伴うプログラムの改造が少なくて済む。
これにより、各系のコンピュータは自系データの書込終了を通知すれば足り他系コンピュータのデータ書込終了を待ち合わせる必要がなくなるので、比較対象データをプログラムで転送しなければならなくなったことに伴うプログラムの改造が少なくて済む。
また、本発明の多重系電子計算機にあっては(解決手段4)、各系のコンピュータがクロックレベルでは非同期で動作しうるようになったが、処理タイミングのずれが過大になると不都合なので、そのような可能性のあるときには各系のコンピュータで同期プログラムが実行される。そうすると、同期要求を出したコンピュータは待ち状態になり、同期要求が複数系の総てで出揃ったとき、同期制御回路によって、一斉にコンピュータの待ち状態が解かれる。
このように各系のコンピュータが同期要求を出すだけで同期が採られるようにしたことにより、各系のコンピュータを非同期で動作させて各系間のタイミングの自由度を高めたことに伴い反射的に必要となる同期採りのためのプログラム改造が少なくて済む。
このように各系のコンピュータが同期要求を出すだけで同期が採られるようにしたことにより、各系のコンピュータを非同期で動作させて各系間のタイミングの自由度を高めたことに伴い反射的に必要となる同期採りのためのプログラム改造が少なくて済む。
このような本発明の多重系電子計算機について、これを実施するための好適な形態を、図面を引用して具体的に説明する。
図1及び図2は、その典型例である二重系電子計算機の構成を示し、図1は、全体ブロック図、図2は、搭載プログラムの概要フローチャートである。
図1及び図2は、その典型例である二重系電子計算機の構成を示し、図1は、全体ブロック図、図2は、搭載プログラムの概要フローチャートである。
なお、それらの図示に際し従来と同様の構成要素には同一の符号を付して示したので、重複する再度の説明は割愛し、以下、従来との相違点を中心に説明する。
また、従来例と同様、図示に際して、A系の要素には数字符号の末尾にAを付加し、B系の要素には数字符号の末尾にBを付加したが、文中でA系・B系の片系を意識せずに両系を纏めて参照するときは単に数字符号だけを記す。
また、従来例と同様、図示に際して、A系の要素には数字符号の末尾にAを付加し、B系の要素には数字符号の末尾にBを付加したが、文中でA系・B系の片系を意識せずに両系を纏めて参照するときは単に数字符号だけを記す。
この図1〜2の二重系電子計算機が既述した図6の従来例と相違するのは、各系毎にデュアルポートメモリ31が設けられた点と、読出制御回路32及び同期制御回路33が一つずつ設けられた点と、各系のコンピュータそれぞれに同じ転送プログラム34及び同期プログラム35が追加搭載された点である。
それらの追加要素について、以下、詳述する。なお、図1では、入力回路12をA系入力回路12AとB系入力回路12Bとに分けて示したが、図6の入力回路12と実質的な相違はなく、上記追加要素を明瞭に図示するための便宜にすぎない。
それらの追加要素について、以下、詳述する。なお、図1では、入力回路12をA系入力回路12AとB系入力回路12Bとに分けて示したが、図6の入力回路12と実質的な相違はなく、上記追加要素を明瞭に図示するための便宜にすぎない。
デュアルポートメモリ31は、メモリアクセス用ポートを二つ具えたメモリであり、各系毎に複数設けられている。すなわち、A系のコンピュータに設けられたA系デュアルポートメモリ31Aには切替可能な二つのメモリ@1,@2が含まれ、B系のコンピュータに設けられたB系デュアルポートメモリ31Bにも切替可能な二つのメモリ@1,@2が含まれている。デュアルポートメモリ31の一方のポートはバスライン11に接続されていて、接続先の系である該当系のプロセッサから該当系のバスラインを介して固有タイミングで転送されたデータの書き込みを受けるようになっている。
デュアルポートメモリ31の他方のポートは、アドレス部が読出制御回路32のアドレス出力(Ra又はRb)に接続され、データ部が照合回路20のフェールセーフ比較回路21のデータ入力(Da又はDb)に接続されていて、データ読出が読出制御回路32の制御で行われるものとなっている。そして、A系デュアルポートメモリ31Aから読み出されたデータは照合回路20の一方の入力対象データDaにされ、B系デュアルポートメモリ31Bから読み出されたデータは照合回路20の他方の入力対象データDbにされるようになっている。
デュアルポートメモリ31におけるメモリ@1,@2のサイズ(記憶容量)はメインメモリ13より小さくて良く、例えば、メインメモリ13がメガバイトオーダのときデュアルポートメモリ31はキロバイトオーダで足りる。そのような各系のデュアルポートメモリ31に対するメモリ@1,@2の切り替えも読出制御回路32の制御で行われる。そして、メモリ@1が読出制御回路32によってデータ読出対象に選択されているときメモリ@2がバスライン11を介するデータ書込対象とされ、メモリ@2が読出制御回路32によってデータ読出対象に選択されているときメモリ@1がバスライン11を介するデータ書込対象とされるようになっている。
読出制御回路32は、デュアルポートメモリ31からのデータ読出を制御するためにアドレスカウンタ等を具備する他、バスライン11のクロックよりも通常は周波数の低いクロックCLKを発生する発振回路等も具えている。このクロックCLKが、デュアルポートメモリ31からのデータ読出制御に用いられるとともに、フェールセーフ比較回路21にデータ入力のクロックとして送出されているので、読出制御回路32は、照合回路20の入力タイミングと共通するタイミングでA系デュアルポートメモリ31A及びB系デュアルポートメモリ31Bそれぞれからデータを読み出して照合回路20にその入力対象の複数系のデータRa,Rbとして送出するものとなる。
また、読出制御回路32は、データ転送終了の通知や有効アドレス範囲の通知などを各系のコンピュータから受けるために、各系のバスライン11にも接続されている。さらに、各系毎にデュアルポートメモリ31の何れか一つ即ちメモリ@1かメモリ@2か何れか一方をデータ読出対象に選択して行うデータDa,Dbの読出および照合回路20へのデータ送出を間断なく繰り返すようになっている。また、データ読出対象のメモリ切替は、A系,B系のコンピュータ両方からデータ転送終了の通知を受けたとき、A系デュアルポートメモリ31A及びB系デュアルポートメモリ31Bについて一斉に行うようになっている。
同期制御回路33は、同期要求を各系のコンピュータから受けるために、各系のバスライン11に接続されている。そして、同期要求が複数系の総てで出揃ったとき即ちA系バスライン11A経由の同期要求とB系バスライン11B経由の同期要求との双方を受け取ったときに、コンピュータの待ち状態を解くための起動信号WをA系プロセッサ10A及びB系プロセッサ10Bに対して一斉に送出するようになっている。大抵の汎用プロセッサ10は待ち状態を制御するための信号入力端子を具えているので、その端子に起動信号Wを送出するようになっている。
転送プログラム34は、プロセッサ10によって実行されて、応用プログラム16による応用演算の中間値や結果値などのうち適宜なデータをバスライン11経由でデュアルポートメモリ31に書き込むようになっている。
同期プログラム35は、やはりプロセッサ10によって実行されて、同期制御回路33にバスライン11を介して同期要求を出し、その後は待ち状態になるためのプログラム命令を実行して搭載先のプロセッサ10を待ち状態にするようになっている。
同期プログラム35は、やはりプロセッサ10によって実行されて、同期制御回路33にバスライン11を介して同期要求を出し、その後は待ち状態になるためのプログラム命令を実行して搭載先のプロセッサ10を待ち状態にするようになっている。
これらの追加プログラム34,35は例えばサブルーチン形式で応用プログラム16の適宜な何カ所かに組み込まれる。例えば(図2参照)、転送プログラム34は、応用演算(1〜N)それぞれの後に組み込まれ、同期プログラム35は、入力処理(1〜N)と転送処理(1〜N)と出力処理(1〜N)それぞれの直前に組み込まれる。そして、応用プログラム16の繰り返し実行に随伴して、転送プログラム34及び同期プログラム35も繰り返し実行される。
密結合バス同期式でなくなり、クロックが別個なので、A系プロセッサ10AとB系プロセッサ10Bとの同期はプログラムに依存して間欠的に採られるようになっている。比較対象データの転送もプログラムに依存して間欠的に行われるようになったが、比較対象データの読出は読出制御回路32によって常に繰り返して行われ、さらに比較処理自体やフェールセーフ性確保はプログラムでなく密結合バス同期式の照合回路20によって間断なく行われるので、プログラム同期方式でもない。
この実施形態の二重系電子計算機について、その使用態様及び動作を、図面を引用して説明する。図3及び図4は、動作説明用のタイムチャートであり、そのうち図3は正常時を示し、図4は異常時を示している。なお、その図示に際しては、説明の都合上、A系とB系との速度差を誇張して、A系プロセッサ10AがB系プロセッサ10Bよりかなり高速であるように記したが、実用上は、大抵、同一構成のプロセッサを同じ周期のクロックで動作させるので、短期間における両系での処理のタイミングずれは、ほとんど無い。
A系,B系いずれのコンピュータも正常な場合(図3参照)、何れのコンピュータでも、同期処理と入力処理と応用演算と同期処理と転送処理と同期処理と出力処理とが基本的な処理単位となり、それが応用種別等に応じて必要なだけ(1〜N)行われ、さらに、それら一連の処理が繰り返される。
一連の処理の繰り返しは従来同様なので、ここでは、同期処理と転送処理とが組み込まれた基本的な処理単位の一例を詳述する。
A系プロセッサ10AがB系プロセッサ10Bより速いとすると、時刻t1には、前の処理を終えたA系プロセッサ10Aが、A系転送プログラム34Aを実行して、A系バスライン11Aを介して同期制御回路33に同期要求を出しそれから待ち状態になる。
一連の処理の繰り返しは従来同様なので、ここでは、同期処理と転送処理とが組み込まれた基本的な処理単位の一例を詳述する。
A系プロセッサ10AがB系プロセッサ10Bより速いとすると、時刻t1には、前の処理を終えたA系プロセッサ10Aが、A系転送プログラム34Aを実行して、A系バスライン11Aを介して同期制御回路33に同期要求を出しそれから待ち状態になる。
このとき、A系デュアルポートメモリ31Aの一方のメモリ@1にはA系プロセッサ10Aによる前の前の転送処理で書き込まれた旧々データが保持され、他方のメモリ@2にはA系プロセッサ10Aによる前の転送処理で書き込まれた旧データが保持され、このメモリ@2の旧データが読出制御回路32によって繰り返し読み出されて照合回路20の入力データDaにされる。また、B系デュアルポートメモリ31Bの一方のメモリ@1にはB系プロセッサ10Bによる前の前の転送処理で書き込まれた旧々データが保持され、他方のメモリ@2にはB系プロセッサ10Bによる前の転送処理で書き込まれた旧データが保持され、このメモリ@2の旧データが読出制御回路32によって繰り返し読み出されて照合回路20の入力データDbにされる。
正常時には、両系のデュアルポートメモリ31A,31Bの同じアドレスから同じタイミングでデータが読み出されるので、クロックCLKで照合回路20のフェールセーフ比較回路21に比較対象データとして入力されるデータDa,Dbは値が等しい。そのため、照合信号Fが交番信号になり、フェールセーフ電源22から電力を供給されて出力比較回路23が動作可能な状態におかれる。
そして、時刻t2に、B系プロセッサ10Bから同期要求が出されると、同期要求が出揃ったことになるので、同期制御回路33から起動信号Wが両プロセッサ10A,10Bに送出されて、両系で同時に入力処理が実行される。同時なので入力回路12から両プロセッサ10A,10Bに同じデータが入力される。
そして、時刻t2に、B系プロセッサ10Bから同期要求が出されると、同期要求が出揃ったことになるので、同期制御回路33から起動信号Wが両プロセッサ10A,10Bに送出されて、両系で同時に入力処理が実行される。同時なので入力回路12から両プロセッサ10A,10Bに同じデータが入力される。
入力処理の後は入力データに基づく応用演算が行われ、既述したようにメインメモリ13へのデータ参照やデータ書込が行われる。そして、この応用演算でもA系プロセッサ10AがB系プロセッサ10Bより先に終了したとすると、その時刻t3に、A系プロセッサ10Aから同期要求が出され、A系プロセッサ10Aが待ち状態になる。その後、時刻t4には、B系プロセッサ10Bからも同期要求が出されて同期要求が揃い、これに応じて同期制御回路33から起動信号Wが出されて、両系で同時に転送処理が実行される。
転送処理はプロセッサ10が転送プログラム34を実行することにより遂行され、応用演算の中間値や結果値などのうち適宜なデータがバスライン11を介してデュアルポートメモリ31に書き込まれる。具体的には、A系のコンピュータでは、A系の比較対象用の新データがA系プロセッサ10AからA系デュアルポートメモリ31Aのメモリ@1に書き込まれ、その有効アドレス範囲の通知がA系プロセッサ10Aから読出制御回路32に送られ、更にデータ転送終了の通知もA系プロセッサ10Aから読出制御回路32に送られ、それから同期要求がA系プロセッサ10Aから同期制御回路33に出されて、時刻t5にはA系プロセッサ10Aが待ち状態になる。
また、B系のコンピュータでは、B系の比較対象用の新データがB系プロセッサ10BからB系デュアルポートメモリ31Bのメモリ@1に書き込まれ、その有効アドレス範囲の通知がB系プロセッサ10Bから読出制御回路32に送られ、更にデータ転送終了の通知もB系プロセッサ10Bから読出制御回路32に送られる。この通知がなされた時刻t6には、A系,B系すべての系でデュアルポートメモリ31へのデータ書き込みが終了しているので、読出制御回路32によってデータ読出対象のメモリ切替が行われ、A系,B系いずれでも、デュアルポートメモリ31のうち新データを保持しているメモリ@1が読出制御回路32のデータ読出対象に選択されるとともに、旧データを保持しているメモリ@2は次のデータ書き込みに備えてデータ読出対象から外される。
そして、フェールセーフ比較回路21に比較対象データとして入力されるデータDa,Dbが新データに切り替わるが、正常時には、両系の新データも等しいので、引き続き照合信号Fが交番信号になり出力比較回路23が動作可能な状態におかれる。
それから、B系プロセッサ10Bからも同期要求が出されて同期要求が揃うと、これに応じて同期制御回路33から起動信号Wが出されて、両系で同時に出力処理が実行される。同時なのでA系出力回路14AとB系出力回路14Bとから出力比較回路23へ同じデータが送出され、出力比較回路23から外部に向けたデータ出力がなされる。
それから、B系プロセッサ10Bからも同期要求が出されて同期要求が揃うと、これに応じて同期制御回路33から起動信号Wが出されて、両系で同時に出力処理が実行される。同時なのでA系出力回路14AとB系出力回路14Bとから出力比較回路23へ同じデータが送出され、出力比較回路23から外部に向けたデータ出力がなされる。
これに対し、異常時には(図4参照)、以下のようにして出力比較回路23から外部へのデータ出力が抑制される。時刻t2以降の入力処理や応用演算あるいは時刻t4以降の転送処理で何れかのコンピュータに異常が生じ、その影響が比較対象データに及ぶと、とりあえず時刻t1〜t6までの各処理は上述した正常時と同様に進行するが、それは処理手順だけのことであり、デュアルポートメモリ31のメモリ@1に書き込まれた新データは両系で異なるため、時刻t6に読出制御回路32の読出対象がメモリ@2からメモリ@1に切り替わると、フェールセーフ比較回路21に比較対象データとして入力されるデータDa,Dbが一致せず、不一致が検出される。
すると、フェールセーフ比較回路21の出力する照合信号Fが交番信号から一定信号に変わり、これに応じてフェールセーフ電源22が出力比較回路23に電力を供給しなくなるので、出力比較回路23から外部へ出力データが出力されなくなる。
こうして、この実施形態の二重系電子計算機でも、故障発生時には照合回路によってデータの外部出力が抑止されて、装置から外部への作用が安全状態に保持されるので、フェールセーフ性が確保される。
こうして、この実施形態の二重系電子計算機でも、故障発生時には照合回路によってデータの外部出力が抑止されて、装置から外部への作用が安全状態に保持されるので、フェールセーフ性が確保される。
このように、本発明を適用した二重系電子計算機にあっては、A系バスライン11AクロックとB系バスライン11Bのクロックと照合回路20のクロックCLKとが同じでなくてもフェールセーフコンピュータとして機能するので、例えば、クロックCLKを従来通り25MHzにとどめたまま、プロセッサ10にマシンサイクル150MHzやそれ以上の高速なものを採用することができる。また、各系のプロセッサ10A,10Bそれぞれにキャッシュメモリを持たせることもできる。
[その他]
照合回路20は、不一致検出時に少なくとも出力を停止するようになっていれば足りるが、その他の安全事項を行うようにしても良く、例えば出力停止に加えてプロセッサを停止させるようにしても良い。
バスライン11は、CPUバスラインの総てを含んでいる必要はなく、メモリバスと入出力バスを含んでいれば足りる。
照合回路20は、不一致検出時に少なくとも出力を停止するようになっていれば足りるが、その他の安全事項を行うようにしても良く、例えば出力停止に加えてプロセッサを停止させるようにしても良い。
バスライン11は、CPUバスラインの総てを含んでいる必要はなく、メモリバスと入出力バスを含んでいれば足りる。
待ち状態を制御する専用の信号入力端子が無いプロセッサの場合、起動信号Wを割込要求信号入力端子に送出する等のことで、待ち状態を解くようにしても良い。
二重系電子計算機への適用例を上述したが、本発明は三重系以上の多重系電子計算機にも適用することができる。
二重系電子計算機への適用例を上述したが、本発明は三重系以上の多重系電子計算機にも適用することができる。
10…プロセッサ(CPU)、
11…バスライン、12…入力回路、13…メインメモリ、
14…出力回路、15…出力ライン、16…応用プログラム、
20…照合回路、
21…フェールセーフ比較回路(FS)、
22…フェールセーフ電源(FS)、23…出力比較回路、
30…バス模擬回路、
31…デュアルポートメモリ、32…読出制御回路、
33…同期制御回路、34…転送プログラム、35…同期プログラム
11…バスライン、12…入力回路、13…メインメモリ、
14…出力回路、15…出力ライン、16…応用プログラム、
20…照合回路、
21…フェールセーフ比較回路(FS)、
22…フェールセーフ電源(FS)、23…出力比較回路、
30…バス模擬回路、
31…デュアルポートメモリ、32…読出制御回路、
33…同期制御回路、34…転送プログラム、35…同期プログラム
Claims (3)
- 各系毎にプロセッサとメインメモリを有し同じプログラムを搭載した複数系のコンピュータと、複数系のデータを比較して不一致検出時に出力を停止する照合回路とを備えた多重系電子計算機において、前記コンピュータ毎に設けられ該当系のプロセッサから該当系のバスラインを介して固有タイミングで転送されたデータの書き込みを受けるデュアルポートメモリを複数系と、前記照合回路の入力タイミングと共通するタイミングで前記デュアルポートメモリそれぞれからデータを読み出して前記照合回路にその入力対象の複数系のデータとして送出する読出制御回路とを具えており、更に、前記デュアルポートメモリが各系毎に複数設けられ、前記読出制御回路が各系毎に前記デュアルポートメモリの何れか一つをデータ読出対象に選択してデータの読出および前記照合回路へのデータ送出を繰り返すとともにデータ読出対象のメモリ切替を複数系について一斉に行うようになっていることを特徴とする多重系電子計算機。
- 前記デュアルポートメモリへのデータ書込が複数系の総てで終了したときに前記メモリ切替が行われるようになっていることを特徴とする請求項1記載の多重系電子計算機。
- 同期要求を出して待ち状態になる同期プログラムが前記コンピュータそれぞれに搭載され、前記同期要求が複数系の総てで出揃ったときに前記コンピュータの待ち状態を一斉に解く同期制御回路が設けられたことを特徴とする請求項2記載の多重系電子計算機。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005158861A JP4454538B2 (ja) | 2005-05-31 | 2005-05-31 | 多重系電子計算機 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005158861A JP4454538B2 (ja) | 2005-05-31 | 2005-05-31 | 多重系電子計算機 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006338094A JP2006338094A (ja) | 2006-12-14 |
| JP4454538B2 true JP4454538B2 (ja) | 2010-04-21 |
Family
ID=37558626
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005158861A Active JP4454538B2 (ja) | 2005-05-31 | 2005-05-31 | 多重系電子計算機 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4454538B2 (ja) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010262432A (ja) * | 2009-05-01 | 2010-11-18 | Mitsubishi Electric Corp | 安全制御装置 |
| JP4954249B2 (ja) * | 2009-07-22 | 2012-06-13 | 株式会社京三製作所 | 電子端末装置及び電子連動装置 |
| JP5568962B2 (ja) * | 2009-11-25 | 2014-08-13 | 三菱電機株式会社 | エレベーターの制御装置 |
| JP5618687B2 (ja) * | 2010-08-05 | 2014-11-05 | 日本信号株式会社 | 2重化演算装置 |
| JP5839713B2 (ja) * | 2012-11-29 | 2016-01-06 | 株式会社京三製作所 | 電子端末装置及び電子連動装置 |
| JP6038706B2 (ja) * | 2013-03-29 | 2016-12-07 | 大同信号株式会社 | 二線式検査回路搭載fpga |
| WO2015177927A1 (ja) * | 2014-05-23 | 2015-11-26 | 株式会社日立製作所 | 情報処理装置 |
| CN104071166B (zh) * | 2014-07-08 | 2016-04-06 | 上海自仪泰雷兹交通自动化系统有限公司 | 2取2车载信号系统安全接口子架及其收纳结构 |
| JP6646322B2 (ja) * | 2016-03-18 | 2020-02-14 | 大同信号株式会社 | 多重系電子計算機および多重系電子計算機用プログラム |
-
2005
- 2005-05-31 JP JP2005158861A patent/JP4454538B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006338094A (ja) | 2006-12-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4454538B2 (ja) | 多重系電子計算機 | |
| US11023404B2 (en) | Daisy chain connection system and system control method | |
| JP5585332B2 (ja) | 耐故障システム、マスタft制御lsi、スレーブft制御lsiおよび耐故障制御方法 | |
| JPH0773059A (ja) | フォールトトレラント型コンピュータシステム | |
| JP4182948B2 (ja) | フォールト・トレラント・コンピュータシステムと、そのための割り込み制御方法 | |
| JPS6334494B2 (ja) | ||
| CN100511167C (zh) | 监控多处理器系统中的存储单元的方法和设备 | |
| JP5908068B2 (ja) | 待機冗長二重化装置 | |
| US20020174282A1 (en) | Multiprocessor system | |
| JP5115075B2 (ja) | 転送装置、転送装置を有する情報処理装置及び制御方法 | |
| JP6646322B2 (ja) | 多重系電子計算機および多重系電子計算機用プログラム | |
| JP2002014943A (ja) | 耐故障性システム及びその故障検出方法 | |
| JP2937857B2 (ja) | 共通記憶装置のロックフラグ解除方式および方法 | |
| US10621031B2 (en) | Daisy-chain of safety systems | |
| JPS593775B2 (ja) | バス要求処理装置 | |
| JPH11259325A (ja) | 二重化システム及び二重化システムにおける情報処理方法 | |
| JPH07114521A (ja) | マルチマイクロコンピュータシステム | |
| WO1992005489A1 (en) | Method of nonsynchronous access to shared memory | |
| JPH10289121A (ja) | 2重化コンピュータシステム | |
| JP2003044309A (ja) | バス照合回路 | |
| JPH06124242A (ja) | 二重化共有メモリ等価性保証方式 | |
| JPH11327941A (ja) | 二重化計算機システム | |
| JPH0822441A (ja) | 情報処理装置およびその通信エラー検出方法 | |
| JPH0553848A (ja) | フオールトトレラントシステム | |
| JPH08263318A (ja) | 診断処理装置の同期システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080403 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20091016 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091124 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100108 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100202 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100202 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130212 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4454538 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130212 Year of fee payment: 3 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140212 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |