JP5494077B2 - フェールセーフ制御装置 - Google Patents
フェールセーフ制御装置 Download PDFInfo
- Publication number
- JP5494077B2 JP5494077B2 JP2010064160A JP2010064160A JP5494077B2 JP 5494077 B2 JP5494077 B2 JP 5494077B2 JP 2010064160 A JP2010064160 A JP 2010064160A JP 2010064160 A JP2010064160 A JP 2010064160A JP 5494077 B2 JP5494077 B2 JP 5494077B2
- Authority
- JP
- Japan
- Prior art keywords
- computer
- majority
- fail
- switch
- result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Safety Devices In Control Systems (AREA)
Description
この発明は、フェールセーフ制御装置に関するものである。
近年、人工衛星や宇宙船などの宇宙機器、列車や自動車の安全制御システムなどにおいて、フェールセーフ制御装置が広く利用されている。さらに近い将来、有人宇宙船の設計では、乗員が搭乗しているので、所定の安全性要求をフェールセーフにより満足しなければならない。その要求の根幹において、2フェールセーフといって、いかなる2故障によっても人命への影響に至ってはいけないことが求められるだろう。
フェールセーフ機能を備えたシステムの一例として、列車制御システムのフェールセーフ制御装置がある。この装置は、フェールセーフに情報伝達を行うため、地上装置は同一の論理を持つ多重系計算機を構成し、自系と他系の処理計算結果を相互に交換して照合し、当該照合結果に基づいて自系及び他系の計算機に対する健全性判定結果(例えば、各系計算機が判定した主系(データを出力する系)の正常または異常状態を示す情報)を作成する。作成された健全性判定結果は、処理計算結果とともに地上装置から車上装置に送信され、車上装置側で多数決処理が行われて、処理計算結果の利用可否を判定する(例えば、主系異常の判定時には車上装置内のリレーにより、データ出力を制限する)という手法が用いられている(例えば、特許文献1参照)。
また、宇宙機のランデブドッキング制御装置では、並列に同期動作を行い、同一のソフトウェアおよびハードウェアからなる3台のコントローラと、各コントローラから出力されるアクチュエータ制御及び切換制御信号を多数決処理する比較処理回路により、フェールセーフを実現している(例えば、特許文献2参照)。
安全性を確実に確保するには、いかなる回路の故障についてもフェールセーフであることを示す必要がある。例えば、国際宇宙ステーションの安全基準では、2フェールセーフといって、いかなる部位の2故障によっても、安全を保証することが要求されている。ただし、同時同モード2故障は、その確率が極めて低いことが定量的に示せる場合は、設計前提から外しても良いとされている。
一般に、多数決回路は、図5に示すように、ANDゲートやORゲートで構成される。図5の回路では、ANDゲートまたはORゲートが1つ故障した場合、たとえA=B=Cであっても、多数決回路の出力は異常になる。
もし、故障許容の多数決回路を構成する方法があれば、図5のような回路を使うよりも、簡単にフェイルセーフシステムを構成することができる。
しかしながら、特許文献1、2に示すような従来のフェールセーフ制御装置においては、多数決を行う多数決処理回路に故障が起きた場合についても、フェールセーフが施されているかどうかについては示されていない。
この発明は、係る課題を解決するためになされたものであり、nを自然数とする時、多数決処理回路を含む、いかなる部位のn故障によっても、安全を保証するフェールセーフ制御装置を得ることを目的とする。
この発明によるフェールセーフ制御装置は、同一処理対象について同一処理計算を実行し、自系コンピュータの処理計算結果と他系コンピュータの処理計算結果とを相互に交換して照合を行い、照合結果を出力する、(n×2+1)台(nは1以上の整数)のコンピュータと、並列数を(n×2)個からn個を選ぶ組合せ数とし、直列数をn個とする行列状に配列された複数のスイッチからなり、自己の接続される自系の上記コンピュータと電源との間にそれぞれ接続された(n×2+1)個の多数決電源スイッチと、を備え、上記多数決電源スイッチは、他系の各上記コンピュータから出力される上記照合結果の組合せに基づいて上記各スイッチの入切を行い、当該各スイッチの入切によって、多数決で自系の上記コンピュータの入切を制御するものである。
この発明によれば、電源と同一処理対象について同一処理計算を実行するコンピュータとの間を接続する多数決電源スイッチによって多数決処理回路を構成し、所要の演算による出力結果を各コンピュータ間で相互に照合し、照合結果により他系コンピュータの多数決電源スイッチを制御することによって、多数決で故障のコンピュータをOffすることができるので、多数決処理回路も含めたフェールセーフにより、制御系の安全を保証することができる。
実施の形態1.
図1は、この発明に係る実施の形態1によるフェールセーフ制御装置の構成を示す図である。図において、フェールセーフ制御装置は、CPU(計算機)から構成される複数(5台)のコンピュータ1(1a〜1e)と、複数(5台)の多数決電源スイッチ3と、電源4から構成される。フェールセーフ制御装置は、2フェールセールを実現する冗長構成となっており、2つのコンピュータが同時に故障しても、他の3つのコンピュータが多数決によって、3つ目の故障を検出するまで正確に演算処理を継続することのできる冗長構成が組まれている。これは、5つのコンピュータの多数決処理によって、いかなる部位の2故障によっても、常に正しい演算処理結果を出力することができる2故障許容のフェールセーフ制御装置を構成している。各コンピュータ1a〜1eは、同一処理対象について同一処理計算を実行する。各コンピュータ1a〜1eは、データバスを通じて互いに接続されてデータの授受を行い、自系コンピュータの処理計算結果と他系コンピュータの処理計算結果とを相互に交換して照合することができるようになされている。
図1は、この発明に係る実施の形態1によるフェールセーフ制御装置の構成を示す図である。図において、フェールセーフ制御装置は、CPU(計算機)から構成される複数(5台)のコンピュータ1(1a〜1e)と、複数(5台)の多数決電源スイッチ3と、電源4から構成される。フェールセーフ制御装置は、2フェールセールを実現する冗長構成となっており、2つのコンピュータが同時に故障しても、他の3つのコンピュータが多数決によって、3つ目の故障を検出するまで正確に演算処理を継続することのできる冗長構成が組まれている。これは、5つのコンピュータの多数決処理によって、いかなる部位の2故障によっても、常に正しい演算処理結果を出力することができる2故障許容のフェールセーフ制御装置を構成している。各コンピュータ1a〜1eは、同一処理対象について同一処理計算を実行する。各コンピュータ1a〜1eは、データバスを通じて互いに接続されてデータの授受を行い、自系コンピュータの処理計算結果と他系コンピュータの処理計算結果とを相互に交換して照合することができるようになされている。
図1において、英大文字と英小文字の2文字の記号は、英小文字のコンピュータの出力結果を、英大文字のコンピュータで照合したことによる照合結果を示している。
すなわち、コンピュータ1aは、自系コンピュータによる演算処理結果と、他系コンピュータ1b、1c、1d、1eのそれぞれの演算処理による出力データとのデータ照合を行い、それぞれの照合結果Ab、Ac、Ad、Aeを出力する。コンピュータ1bは、自系コンピュータによる演算処理結果と、他系コンピュータ1a、1c、1d、1eのそれぞれの演算処理による出力データとのデータ照合を行い、それぞれの照合結果Ba、Bc、Bd、Beを出力する。コンピュータ1cは、自系コンピュータによる演算処理結果と、他系コンピュータ1a、1b、1d、1eのそれぞれの演算処理による出力データとのデータ照合を行い、それぞれの照合結果Ca、Cb、Cd、Ceを出力する。コンピュータ1dは、自系コンピュータによる演算処理結果と、他系コンピュータ1a、1b、1c、1eのそれぞれの演算処理による出力データとのデータ照合を行い、それぞれの照合結果Da、Db、Dc、Deを出力する。コンピュータ1eは、自系コンピュータによる演算処理結果と、他系コンピュータ1a、1b、1c、1dのそれぞれの演算処理による出力データとのデータ照合を行い、それぞれの照合結果Ea、Eb、Ec、Edを出力する。
すなわち、コンピュータ1aは、自系コンピュータによる演算処理結果と、他系コンピュータ1b、1c、1d、1eのそれぞれの演算処理による出力データとのデータ照合を行い、それぞれの照合結果Ab、Ac、Ad、Aeを出力する。コンピュータ1bは、自系コンピュータによる演算処理結果と、他系コンピュータ1a、1c、1d、1eのそれぞれの演算処理による出力データとのデータ照合を行い、それぞれの照合結果Ba、Bc、Bd、Beを出力する。コンピュータ1cは、自系コンピュータによる演算処理結果と、他系コンピュータ1a、1b、1d、1eのそれぞれの演算処理による出力データとのデータ照合を行い、それぞれの照合結果Ca、Cb、Cd、Ceを出力する。コンピュータ1dは、自系コンピュータによる演算処理結果と、他系コンピュータ1a、1b、1c、1eのそれぞれの演算処理による出力データとのデータ照合を行い、それぞれの照合結果Da、Db、Dc、Deを出力する。コンピュータ1eは、自系コンピュータによる演算処理結果と、他系コンピュータ1a、1b、1c、1dのそれぞれの演算処理による出力データとのデータ照合を行い、それぞれの照合結果Ea、Eb、Ec、Edを出力する。
各多数決電源スイッチ3は、自系のコンピュータ1と電源4との間に接続される。各多数決電源スイッチ3は、直列に接続された2つのスイッチを1組のスイッチペアとして、6組のスイッチペアを並列に接続して構成される。各多数決電源スイッチ3は、自系に接続されたコンピュータ1の出力結果を、他系に接続された各コンピュータで照合した照合結果がデータバスを介して入力される。各多数決電源スイッチ3は、入力される各コンピュータ1のそれぞれの照合結果に基いて、照合結果が一致した場合はスイッチON、一致しなかった場合はスイッチOFFとして、各スイッチの切替制御処理を行う。
ここで、例として、自系のコンピュータ1aに接続された多数決スイッチ3の動作を説明する。
例えば、コンピュータ1b、1cが故障している場合、コンピュータ1b及び1cからの照合結果の出力データBa、Bc、Bd、Be及びCa、Cb、Cd、Ceは不一致となる。また、コンピュータ1dからの照合結果の出力データDb、Dcは不一致となり、出力データDa、Deは一致となる。コンピュータ1eからの照合結果の出力データEb、Ecは不一致となり、出力データEa、Edは一致となる。
この結果、多数決電源スイッチ3において、1列目、3列目〜6列目のスイッチは何れからのスイッチがOFFになるので電源4との接続が遮断されるが、2列目のスイッチはONになるので電源4との接続が維持された状態となる。すなわち、故障していないコンピュータ1aは、電源4に接続された状態が維持される。
例えば、コンピュータ1b、1cが故障している場合、コンピュータ1b及び1cからの照合結果の出力データBa、Bc、Bd、Be及びCa、Cb、Cd、Ceは不一致となる。また、コンピュータ1dからの照合結果の出力データDb、Dcは不一致となり、出力データDa、Deは一致となる。コンピュータ1eからの照合結果の出力データEb、Ecは不一致となり、出力データEa、Edは一致となる。
この結果、多数決電源スイッチ3において、1列目、3列目〜6列目のスイッチは何れからのスイッチがOFFになるので電源4との接続が遮断されるが、2列目のスイッチはONになるので電源4との接続が維持された状態となる。すなわち、故障していないコンピュータ1aは、電源4に接続された状態が維持される。
また、コンピュータ1aのみが故障している場合、コンピュータ1bからの照合結果の出力データBaは不一致となり、出力データBc、Bd、Beは一致となる。コンピュータ1cからの照合結果の出力データCaは不一致となり、出力データCb、Cd、Ceは一致となる。コンピュータ1dからの照合結果の出力データDaは不一致となり、出力データDb、Dc、Deは一致となる。コンピュータ1eからの照合結果の出力データEaは不一致となり、出力データEb、Ec、Edは一致となる。
この結果、多数決電源スイッチ3において、1列目〜6列目のスイッチは全てがOFFになるので、故障したコンピュータ1aは電源4との接続が遮断される。
なお、各スイッチの何れか1つがON故障(ONの状態のまま故障)になっても、直列に接続された他のスイッチがOFFになるので、電源4から確実に遮断されることとなる。
この結果、多数決電源スイッチ3において、1列目〜6列目のスイッチは全てがOFFになるので、故障したコンピュータ1aは電源4との接続が遮断される。
なお、各スイッチの何れか1つがON故障(ONの状態のまま故障)になっても、直列に接続された他のスイッチがOFFになるので、電源4から確実に遮断されることとなる。
このように構成された実施の形態1によるフェールセーフ制御装置は、同時に2台のコンピュータ1が故障しても、故障していない他系のコンピュータ1の出力データに基いて、故障した自系のコンピュータ1に接続される多数決電源スイッチ3の各スイッチのON/OFFが制御され、自系の多数決電源スイッチ3と電源4との接続が遮断される。すなわち、自系のコンピュータ1の電源を他系のコンピュータ1の照合結果の多数決処理に基づいて、2故障を許容して、ON/OFF制御できるように接続している。
これによって、コンピュータ1が電源4から遮断されて、コンピュータ1が非作動状態となり、故障していない他系のコンピュータ1によって継続して演算処理が行われることとなる。
これによって、コンピュータ1が電源4から遮断されて、コンピュータ1が非作動状態となり、故障していない他系のコンピュータ1によって継続して演算処理が行われることとなる。
実施の形態2.
図2は、この発明に係る実施の形態2によるフェールセーフ制御装置の構成を示す図である。図において、フェールセーフ制御装置は、CPU(計算機)から構成される(2n+1)台のコンピュータ1と、複数(2n+1台)の多数決電源スイッチ3と、電源4から構成される。コンピュータ1は、n故障を許容する(同時複数故障を許容する)多重系コンピューターシステムを構成している。図において、フェールセーフnを自然数とするとき、n故障時でもフェールセーフを保証する多重系コンコンピューターシステム構成単位を示している。アクチュエータ5は、複数(n+1)台以上構成することにより、n故障時にも、フェールセーフを維持してアクチュエータを有した制御系の制御が行われる。
図2は、この発明に係る実施の形態2によるフェールセーフ制御装置の構成を示す図である。図において、フェールセーフ制御装置は、CPU(計算機)から構成される(2n+1)台のコンピュータ1と、複数(2n+1台)の多数決電源スイッチ3と、電源4から構成される。コンピュータ1は、n故障を許容する(同時複数故障を許容する)多重系コンピューターシステムを構成している。図において、フェールセーフnを自然数とするとき、n故障時でもフェールセーフを保証する多重系コンコンピューターシステム構成単位を示している。アクチュエータ5は、複数(n+1)台以上構成することにより、n故障時にも、フェールセーフを維持してアクチュエータを有した制御系の制御が行われる。
図2において、(2n+1)台のコンピュータ1は、同一処理対象について同一処理計算を実行する。自系コンピュータ1は、自系の演算処理結果(Self出力データ)2−1と、他系のコンピュータ1からの演算処理結果(出力データ)2−2〜2−(2n+1)とを、相互に交換する。自系コンピュータ1は、自系の演算処理結果(Self出力データ)2−1と、他系のコンピュータ1からの演算処理結果(出力データ)2−2〜2−(2n+1)とを、それぞれ比較することで、照合結果6を得る。照合結果6は、それぞれ他系多数決電源スイッチ3へ出力されることとなる。
各コンピュータ1は、スイッチの並列数をn×2個からn個を選ぶ組合せ数とし、スイッチの直列数をnとする行列状に並んだスイッチから構成されて多数決電源スイッチ3に接続される。他系多数決電源スイッチ3は、他系コンピュータ1からの照合結果6に基づいて、自己の各スイッチのON/OFFを制御する。
すなわち、他系多数決電源スイッチ3は、各スイッチを各コンピュータ1の組合せで制御することにより、自系の電源4を各コンピュータ1の照合結果6の多数決によってON/OFF制御できるように接続されることで、n故障を許容するフェールセーフ制御を実現する。
すなわち、他系多数決電源スイッチ3は、各スイッチを各コンピュータ1の組合せで制御することにより、自系の電源4を各コンピュータ1の照合結果6の多数決によってON/OFF制御できるように接続されることで、n故障を許容するフェールセーフ制御を実現する。
ここで、自系コンピュータの照合結果は、常に一致していることが自明なので、多数決の母数から外すことができる。すなわち、多数決電源スイッチ3では、2×n個のコンピュータの内、半数のn個の照合結果が一致した場合を正常として考えればよい。
例えば、図1に示した多数決電源スイッチ3においては、直列に接続されたスイッチの内、いずれか1直列の照合結果出力データに対応したコンピュータ2台について、2台1組のスイッチがONで一致すればよい。
したがって、図2の他系多数決電源スイッチ3の場合は、スイッチの直列数はnとなり、このスイッチ直列回路の並列数は2n個からn個を取り出す組合せ2nCnで求められる数となり、この数が多数決電源スイッチにおける多数決の母数となる。
その他の詳細については、実施の形態1と同様に多数決処理が行われる。
例えば、図1に示した多数決電源スイッチ3においては、直列に接続されたスイッチの内、いずれか1直列の照合結果出力データに対応したコンピュータ2台について、2台1組のスイッチがONで一致すればよい。
したがって、図2の他系多数決電源スイッチ3の場合は、スイッチの直列数はnとなり、このスイッチ直列回路の並列数は2n個からn個を取り出す組合せ2nCnで求められる数となり、この数が多数決電源スイッチにおける多数決の母数となる。
その他の詳細については、実施の形態1と同様に多数決処理が行われる。
なお、その他の詳細動作については、実施の形態1と同様に多数決処理が行われる。例えば、図2のnを2としたときの回路構成が、図1の回路構成となる。図2のフェールセーフ制御装置の動作については、図1のフェールセーフ制御装置のコンピュータ1及び多数決電源スイッチ3の個数を拡張したものになる。
また、多数決電源スイッチ3における電源スイッチ制御の電気信号は、LowでスイッチOn、HighでスイッチOffとすることにより、一旦多数決で電源Offされたコンピュータを、多数決処理の対象から排除するようにしても良い。
また、多数決電源スイッチ3における電源スイッチ制御の電気信号は、LowでスイッチOn、HighでスイッチOffとすることにより、一旦多数決で電源Offされたコンピュータを、多数決処理の対象から排除するようにしても良い。
実施の形態3.
図3は、この発明に係る実施の形態3によるフェールセーフ制御装置の構成を示す図である。このフェールセーフ制御装置では、ハードウェアは同時複数故障を起こさないことを前提とした場合の、n故障時のフェールセーフを保証する、多重系コンピューターシステムの1構成単位を示すものである。実施の形態3によるフェールセーフ制御装置は、同一処理対象についてCPUにより同一処理計算を実行するn+2台のコンピュータ(計算機)1と、複数(n+2台)の多数決電源スイッチ3と、電源4から構成される。コンピュータ1は、自系のコンピュータ1の処理計算結果と他系のコンピュータ1の処理計算結果とを相互に交換して照合することで、n故障を許容する。アクチュエータ5は、主系、従系、第三系の3冗長構成が取られており、(n+2)台のコンピュータ1を用いて、フェールセーフを維持してアクチュエータを有した制御系の制御が行われる。
図3は、この発明に係る実施の形態3によるフェールセーフ制御装置の構成を示す図である。このフェールセーフ制御装置では、ハードウェアは同時複数故障を起こさないことを前提とした場合の、n故障時のフェールセーフを保証する、多重系コンピューターシステムの1構成単位を示すものである。実施の形態3によるフェールセーフ制御装置は、同一処理対象についてCPUにより同一処理計算を実行するn+2台のコンピュータ(計算機)1と、複数(n+2台)の多数決電源スイッチ3と、電源4から構成される。コンピュータ1は、自系のコンピュータ1の処理計算結果と他系のコンピュータ1の処理計算結果とを相互に交換して照合することで、n故障を許容する。アクチュエータ5は、主系、従系、第三系の3冗長構成が取られており、(n+2)台のコンピュータ1を用いて、フェールセーフを維持してアクチュエータを有した制御系の制御が行われる。
コンピュータや半導体部品の信頼度は非常に高いので、同時に複数の故障が起こらないと仮定しても実際的である。この場合、ハードウェアは1個ずつ壊れると仮定しているので、壊れたハードウェアをシステムから分離できれば、多数決処理を行うコンピュータ1の母数は、n+2個で必要十分である。
また、多数決電源スイッチ3では、自系の照合結果は、常に一致していることが自明なので、多数決の母数から外すことができる。したがって、多数決電源スイッチ3の多数決の母数、すなわち多数決電源スイッチ3を構成するスイッチの並列数はn+1個になる。
多数決電源スイッチ3は、この多数決電源スイッチ3に接続されたコンピュータ1が異常動作した場合に備えて、n−1個までのスイッチのON故障があっても、このコンピュータ1の電源を遮断できなければならない。したがって、多数決電源スイッチ3の直列数はnになる。
以上により、多数決電源スイッチ3は、構成するスイッチの直列数がnであり、スイッチ直列回路の並列数が母数n+1個からn個を取り出す組合せである、(n+1)Cnとなる。
以上により、多数決電源スイッチ3は、構成するスイッチの直列数がnであり、スイッチ直列回路の並列数が母数n+1個からn個を取り出す組合せである、(n+1)Cnとなる。
すなわち、実施の形態3によるフェールセーフ制御装置は、各コンピュータ1が、スイッチの直列数をn個、並列数をn+1個とする行列状に並んだ多数決電源スイッチ3を具備する。各多数決電源スイッチ3は、多数決電源スイッチ3を構成する各スイッチを自系以外の各コンピュータ1の組合せで制御することにより、自系のコンピュータ1の電源を他系のコンピュータ1の照合結果の多数決でON/OFF制御できるように接続している。
また、コンピュータ1の母数をn+2個とする多数決処理では、フェールセーフ制御により、壊れたハードウェアを多数決から分離する必要がある。このため、多数決電源スイッチ3の各スイッチを制御する電気信号は、LowでスイッチOn、HighでスイッチOFFとする。これによって、一旦多数決で電源OFFされたコンピュータは、自動的に、多数決から排除されていくことになる。図3において、照合結果6は不一致でスイッチOff(信号はHigh)、一致でスイッチOn(信号はLow)となっている。
すなわち、多数決電源スイッチ3における電源スイッチ制御の電気信号は、LowでスイッチOn、HighでスイッチOffとすることにより、一旦多数決で電源Offされたコンピュータを、多数決処理の対象から排除するようにしている。
なお、その他の詳細動作については、実施の形態1、2と同様に多数決処理が行われる。
なお、その他の詳細動作については、実施の形態1、2と同様に多数決処理が行われる。
実施の形態4.
図4は、この発明に係る実施の形態4によるフェールセーフ制御装置の構成を示す図である。このフェールセーフ制御装置は、図3に示す実施の形態3によるフェールセーフ制御装置において、特に2フェールセーフを保証する例を示している。フェールセーフ制御装置は、CPU(計算機)から構成される4台のコンピュータ1(1a〜1d)と、それぞれのコンピュータ1に接続された複数の多数決電源スイッチ3と、電源4から構成される。また、図4において、アクチュエータ5は、主系、従系、第三系の3冗長構成が取られており、4台のコンピュータ1を用いて、フェールセーフを維持して制御が行われる。その他の構成及び動作については、実施の形態3と同様であるため、説明を省く。
図4は、この発明に係る実施の形態4によるフェールセーフ制御装置の構成を示す図である。このフェールセーフ制御装置は、図3に示す実施の形態3によるフェールセーフ制御装置において、特に2フェールセーフを保証する例を示している。フェールセーフ制御装置は、CPU(計算機)から構成される4台のコンピュータ1(1a〜1d)と、それぞれのコンピュータ1に接続された複数の多数決電源スイッチ3と、電源4から構成される。また、図4において、アクチュエータ5は、主系、従系、第三系の3冗長構成が取られており、4台のコンピュータ1を用いて、フェールセーフを維持して制御が行われる。その他の構成及び動作については、実施の形態3と同様であるため、説明を省く。
以上、実施の形態1乃至4に係るフェールセーフ制御装置は、自動列車制御システムや有人宇宙船などに利用することができる。
1 コンピュータ、3 多数決電源スイッチ、4 電源、5 アクチュエータ。
Claims (2)
- 同一処理対象について同一処理計算を実行し、自系コンピュータの処理計算結果と他系コンピュータの処理計算結果とを相互に交換して照合を行い、照合結果を出力する、(n×2+1)台(nは1以上の整数)のコンピュータと、
並列数を(n×2)個からn個を選ぶ組合せ数とし、直列数をn個とする行列状に配列された複数のスイッチからなり、自己の接続される自系の上記コンピュータと電源との間にそれぞれ接続された(n×2+1)個の多数決電源スイッチと、
を備え、
上記多数決電源スイッチは、他系の各上記コンピュータから出力される上記照合結果の組合せに基づいて上記各スイッチの入切を行い、当該各スイッチの入切によって、多数決で自系の上記コンピュータの入切を制御するフェールセーフ制御装置。 - 同一処理対象について同一処理計算を実行し、自系コンピュータの処理計算結果と他系コンピュータの処理計算結果とを相互に交換して照合を行い、照合結果を出力する、(n+2)台(nは1以上の整数)のコンピュータと、
並列数を(n+1)個、直列数をn個とする行列状に配列された複数のスイッチからなり、自己の接続される自系の上記コンピュータと電源との間にそれぞれ接続された(n+2)個の多数決電源スイッチと、
を備え、
上記多数決電源スイッチは、他系の各上記コンピュータから出力される上記照合結果の組合せに基づいて、上記各スイッチの入切を行い、当該各スイッチの入切によって、多数決で自系の上記コンピュータの入切を制御するフェールセーフ制御装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010064160A JP5494077B2 (ja) | 2010-03-19 | 2010-03-19 | フェールセーフ制御装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010064160A JP5494077B2 (ja) | 2010-03-19 | 2010-03-19 | フェールセーフ制御装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011198038A JP2011198038A (ja) | 2011-10-06 |
| JP5494077B2 true JP5494077B2 (ja) | 2014-05-14 |
Family
ID=44876154
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010064160A Active JP5494077B2 (ja) | 2010-03-19 | 2010-03-19 | フェールセーフ制御装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5494077B2 (ja) |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS6368902A (ja) * | 1986-09-10 | 1988-03-28 | Hitachi Ltd | 多重化制御装置のバイパス機構 |
| JPH0377145A (ja) * | 1989-08-18 | 1991-04-02 | Fujitsu Ltd | 二重化システム |
| JPH0462641A (ja) * | 1990-06-30 | 1992-02-27 | Toshiba Corp | マルチプロセッサシステム |
| JPH05313931A (ja) * | 1992-02-06 | 1993-11-26 | Nec Corp | コンピュータの耐障害方式 |
| JPH05286499A (ja) * | 1992-04-10 | 1993-11-02 | Mitsubishi Electric Corp | 宇宙機のランデブドッキング制御装置 |
| JP3751746B2 (ja) * | 1998-03-11 | 2006-03-01 | 東日本旅客鉄道株式会社 | フェールセーフ出力装置 |
| JP4961247B2 (ja) * | 2007-04-04 | 2012-06-27 | 株式会社日立製作所 | フェールセーフ制御方式 |
-
2010
- 2010-03-19 JP JP2010064160A patent/JP5494077B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2011198038A (ja) | 2011-10-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7877627B1 (en) | Multiple redundant computer system combining fault diagnostics and majority voting with dissimilar redundancy technology | |
| US6732300B1 (en) | Hybrid triple redundant computer system | |
| RU2758229C2 (ru) | Система управления с тройной избыточностью для летательного аппарата и способ управления этой системой (варианты) | |
| US7047440B1 (en) | Dual/triple redundant computer system | |
| JP5660798B2 (ja) | 情報処理装置 | |
| EP2573636B1 (en) | Multi-channel control switchover logic | |
| RU2769359C2 (ru) | Система управления полетом (варианты) и способ её использования | |
| BRPI1102364A2 (pt) | sistema de comando de voo para aeronave e aeronave | |
| US9690678B2 (en) | Fault tolerant systems and method of using the same | |
| US20140100718A1 (en) | Flight control system using simplex computers and aircraft comprising same | |
| US7979746B2 (en) | Dual-dual lockstep processor assemblies and modules | |
| JPS62150439A (ja) | 高信頼性コンピユ−タ方式 | |
| US20160004241A1 (en) | Control device | |
| CN112498664B (zh) | 飞行控制系统以及飞行控制方法 | |
| US9367375B2 (en) | Direct connect algorithm | |
| US6367031B1 (en) | Critical control adaption of integrated modular architecture | |
| CN110710164A (zh) | 飞行控制系统 | |
| US9053245B2 (en) | Partial redundancy for I/O modules or channels in distributed control systems | |
| JP5494077B2 (ja) | フェールセーフ制御装置 | |
| Gohil et al. | Redundancy management and synchronization in avionics communication products | |
| JP2012025223A (ja) | フェイルセーフ制御システム | |
| JP6618427B2 (ja) | 二重化対応電流出力システム | |
| Xue et al. | The distributed dissimilar redundancy architecture of fly-by-wire flight control system | |
| JP6642040B2 (ja) | 情報処理システム、情報処理方法、及び、プログラム | |
| CN202748776U (zh) | 即时无缝备援系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20121213 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130910 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130911 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131010 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140204 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140217 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 5494077 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |