JP6509461B2 - 代替装置、情報処理システム及び代替方法 - Google Patents
代替装置、情報処理システム及び代替方法 Download PDFInfo
- Publication number
- JP6509461B2 JP6509461B2 JP2018561125A JP2018561125A JP6509461B2 JP 6509461 B2 JP6509461 B2 JP 6509461B2 JP 2018561125 A JP2018561125 A JP 2018561125A JP 2018561125 A JP2018561125 A JP 2018561125A JP 6509461 B2 JP6509461 B2 JP 6509461B2
- Authority
- JP
- Japan
- Prior art keywords
- information processing
- value
- circuit
- processing circuit
- output
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000010365 information processing Effects 0.000 title claims description 197
- 238000000034 method Methods 0.000 title description 3
- 230000007704 transition Effects 0.000 claims description 34
- 230000007423 decrease Effects 0.000 claims description 9
- BHKKSKOHRFHHIN-MRVPVSSYSA-N 1-[[2-[(1R)-1-aminoethyl]-4-chlorophenyl]methyl]-2-sulfanylidene-5H-pyrrolo[3,2-d]pyrimidin-4-one Chemical compound N[C@H](C)C1=C(CN2C(NC(C3=C2C=CN3)=O)=S)C=CC(=C1)Cl BHKKSKOHRFHHIN-MRVPVSSYSA-N 0.000 claims description 2
- 238000003745 diagnosis Methods 0.000 description 61
- 238000001514 detection method Methods 0.000 description 26
- 238000012545 processing Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 238000013461 design Methods 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 238000013500 data storage Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2023—Failover techniques
- G06F11/2033—Failover techniques switching over of hardware resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2023—Failover techniques
- G06F11/2028—Failover techniques eliminating a faulty processor or activating a spare
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0259—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
- G05B23/0286—Modifications to the monitored process, e.g. stopping operation or adapting control
- G05B23/0289—Reconfiguration to prevent failure, e.g. usually as a reaction to incipient failure detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0736—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
- G06F11/0739—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0796—Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2038—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant with a single idle spare processing component
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2051—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant in regular structures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/22—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
- G06F11/2205—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested
- G06F11/2236—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested to test CPU or processors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2201/00—Indexing scheme relating to error detection, to error correction, and to monitoring
- G06F2201/805—Real-time
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Computer Hardware Design (AREA)
- Chemical & Material Sciences (AREA)
- Chemical Kinetics & Catalysis (AREA)
- Automation & Control Theory (AREA)
- Hardware Redundancy (AREA)
- Retry When Errors Occur (AREA)
- Debugging And Monitoring (AREA)
- Testing And Monitoring For Control Systems (AREA)
Description
本発明は、情報処理回路に故障が発生した場合に情報処理回路を代替する代替装置に関する。
故障などのトラブルが発生した場合でも、処理を継続することが求められるシステムでは、フォルトトレラント設計が行われる。フォルトトレラント設計では、情報処理回路が多重化される。また、フォルトトレラント設計では、1つの情報処理回路に故障が発生した場合に、故障が発生した情報処理回路を分離し、正常に動作している他の情報処理回路で処理を継続する。
しかし、高信頼性が求められるが、コストに対する条件の厳しいシステムでは、情報処理回路を多重化することが困難な場合もある。そのような低コストが求められる高信頼システムでは、フォルトトレラント設計を行えない。このため、低コストが求められる高信頼システムでは、システムの内部又はシステムの外部に故障検出機能を設け、情報処理回路に故障が発生した時は、情報処理回路が異常動作を行わないように情報処理回路を停止することしかできない。
従って、高信頼及び低コストが求められるシステムでは、情報処理回路を多重化せずにフォルトトレラントを実現し、継続動作を可能とする方法が必要である。
従って、高信頼及び低コストが求められるシステムでは、情報処理回路を多重化せずにフォルトトレラントを実現し、継続動作を可能とする方法が必要である。
特許文献1には、複数の情報処理回路と、故障を検出する故障検出装置とを備えるシステムが開示される。特許文献1のシステムでは、いずれかの情報処理回路で故障が発生した場合に、故障検出装置が故障を検出する。そして、特許文献1では、故障が発生した情報処理回路の機能を故障検出装置が代替し、故障検出装置が、故障が発生した情報処理回路の動作を継続する。
また、特許文献1のシステムは、再構成手段と再構成データ保存回路を持つ。再構成データ保存回路には、各情報処理回路の代替動作を行うための回路情報が保持されている。いずれかの情報処理回路で故障が発生したことが検出された場合に、再構成手段は再構成データ保存回路の中から、故障した情報処理回路の代替動作のための回路情報を読み込む。そして、再構成手段は、故障検出装置を、故障が発生した情報処理回路の代替装置に再構成する。これにより、故障が発生した情報処理回路の動作を維持することが可能となり、故障発生後もシステムは動作を継続できる。
このように、特許文献1の技術を用いることで、情報処理回路を多重化することなく、故障発生時にも、故障が発生した情報処理回路の動作を継続することができる。
また、特許文献1のシステムは、再構成手段と再構成データ保存回路を持つ。再構成データ保存回路には、各情報処理回路の代替動作を行うための回路情報が保持されている。いずれかの情報処理回路で故障が発生したことが検出された場合に、再構成手段は再構成データ保存回路の中から、故障した情報処理回路の代替動作のための回路情報を読み込む。そして、再構成手段は、故障検出装置を、故障が発生した情報処理回路の代替装置に再構成する。これにより、故障が発生した情報処理回路の動作を維持することが可能となり、故障発生後もシステムは動作を継続できる。
このように、特許文献1の技術を用いることで、情報処理回路を多重化することなく、故障発生時にも、故障が発生した情報処理回路の動作を継続することができる。
特許文献2でも、情報処理回路と故障検出装置を持つ構成が開示されている。特許文献2の技術では、情報処理回路内の一部の機能が故障した際に、故障検出装置が故障箇所を特定し、特定した故障箇所を正常状態に再構成する。また、特許文献2の技術では、故障検出装置が、故障発生前に情報処理回路が計算に用いていた中間データを外部メモリに保持しておく。そして、故障検出装置が、故障箇所を正常状態に再構成した後に、外部メモリから中間データを読み出すことで、故障発生前の処理を再開することができる。
特許文献1では、故障検出装置が代替装置に再構成されるまでは、一定の時間が必要である。故障検出装置が代替装置に再構成されるまでの間は、故障した情報処理回路が行っていた動作は行われない。つまり、故障検出装置が代替装置に再構成されるまでの間は、情報処理回路が制御対象としていた被制御機器に対する制御が行われない。従って、再構成に要する時間によっては、被制御機器の動作に問題が発生する場合がある。
故障検出装置をFPGA(Field−Programmable Gate Array)を用いて実現した場合は、故障検出装置を代替装置に再構成するまでに、数十ミリ秒〜数秒の時間が必要になる。なお、代替装置の規模や再構成方法に依存して時間は変わる。故障検出装置を代替装置に再構成し、代替装置が正常に動作を開始できるまで数秒がかかった場合を想定する。この場合は、数秒間の間に、システムへの入力情報が故障発生前から大きく変わることが考えられる。また、数秒間の間に、被制御機器の状態が変化することが考えられる。このため、代替装置が、情報処理回路の故障発生前と同じ演算を再開すると、被制御回路の動作が急変する可能性がある。
例えば、車のアクチュエータを制御する自動運転システムに特許文献1の技術を適用することを想定する。
情報処理回路に故障が発生してから代替装置が動作可能になるまでに数秒間がかかったものとする。この数秒間の間、自動運転システムはアクチュエータの制御を行えておらず、アクチュエータの出力は低下する。アクチュエータの出力が低下した状態で、代替装置がアクチュエータの制御を再開した場合、代替装置はアクチュエータの出力の低下を認識していないため、代替装置は、現在のアクチュエータの出力に対して、過大な出力を行うように制御してしまう。この結果、車の挙動が急変する。車の挙動が急変することで、ドライバー、周辺の車両及び歩行者を危険にさらす可能性がある。
故障検出装置をFPGA(Field−Programmable Gate Array)を用いて実現した場合は、故障検出装置を代替装置に再構成するまでに、数十ミリ秒〜数秒の時間が必要になる。なお、代替装置の規模や再構成方法に依存して時間は変わる。故障検出装置を代替装置に再構成し、代替装置が正常に動作を開始できるまで数秒がかかった場合を想定する。この場合は、数秒間の間に、システムへの入力情報が故障発生前から大きく変わることが考えられる。また、数秒間の間に、被制御機器の状態が変化することが考えられる。このため、代替装置が、情報処理回路の故障発生前と同じ演算を再開すると、被制御回路の動作が急変する可能性がある。
例えば、車のアクチュエータを制御する自動運転システムに特許文献1の技術を適用することを想定する。
情報処理回路に故障が発生してから代替装置が動作可能になるまでに数秒間がかかったものとする。この数秒間の間、自動運転システムはアクチュエータの制御を行えておらず、アクチュエータの出力は低下する。アクチュエータの出力が低下した状態で、代替装置がアクチュエータの制御を再開した場合、代替装置はアクチュエータの出力の低下を認識していないため、代替装置は、現在のアクチュエータの出力に対して、過大な出力を行うように制御してしまう。この結果、車の挙動が急変する。車の挙動が急変することで、ドライバー、周辺の車両及び歩行者を危険にさらす可能性がある。
特許文献2でも、特許文献1の技術と同様に、再構成までの間に入力情報や被制御機器の状態が変化している場合は、再構成後に被制御機器の動作が急変しないように安全に制御することができない。
以上のように、従来の技術では、代替装置が、代替装置が構成されるまでの間に生じた被制御機器の出力状態の変化を認識せずに、被制御機器の制御を行う。このため、従来の技術では、代替装置が構成されるまでの間に被制御機器の出力状態が変化している場合には、代替装置は、適切に被制御機器を制御することができないという課題がある。
本発明は、このような課題を解決することを主な目的とする。つまり、本発明は、被制御機器の出力状態が変化している場合にも、適切に被制御機器を制御することができる構成を得ることを主な目的する。
本発明に係る代替装置は、
被制御機器の出力値を制御するための制御値を入力値に基づき生成し、生成した制御値を前記被制御機器に出力する情報処理回路に故障が発生した場合に、前記情報処理回路を代替するための準備を行う代替準備部と、
前記準備が完了した際に、前記情報処理回路の故障発生前に予定されていた前記被制御機器の出力値の時間推移である予定時間推移と、前記準備が完了した時点での前記被制御機器の実際の出力値と前記予定時間推移における出力値との差異と、前記情報処理回路の故障発生前の入力値と制御値とに基づき、前記被制御機器の実際の出力値と前記予定時間推移における出力値との差異が漸減していく制御値の出力計画を生成し、生成した前記出力計画に従って前記情報処理回路に代わって前記被制御機器に制御値を出力する代替部とを有する。
被制御機器の出力値を制御するための制御値を入力値に基づき生成し、生成した制御値を前記被制御機器に出力する情報処理回路に故障が発生した場合に、前記情報処理回路を代替するための準備を行う代替準備部と、
前記準備が完了した際に、前記情報処理回路の故障発生前に予定されていた前記被制御機器の出力値の時間推移である予定時間推移と、前記準備が完了した時点での前記被制御機器の実際の出力値と前記予定時間推移における出力値との差異と、前記情報処理回路の故障発生前の入力値と制御値とに基づき、前記被制御機器の実際の出力値と前記予定時間推移における出力値との差異が漸減していく制御値の出力計画を生成し、生成した前記出力計画に従って前記情報処理回路に代わって前記被制御機器に制御値を出力する代替部とを有する。
本発明では、被制御機器の実際の出力値と予定時間推移における出力値との差異が漸減していく制御値の出力計画が生成され、生成された出力計画に従って被制御機器に制御値が出力される。このため、被制御機器の出力状態が変化している場合にも、適切に被制御機器を制御することができる。
以下、本発明の実施の形態について、図を用いて説明する。以下の実施の形態の説明及び図面において、同一の符号を付したものは、同一の部分または相当する部分を示す。
実施の形態1.
***構成の説明***
本実施の形態では、情報処理回路が多重化されていない情報処理システム10を説明する。
図1は、本実施の形態に係る情報処理システム10の構成例を示す。
情報処理システム10は、情報処理回路200と故障診断回路300と回路情報格納メモリ400で構成される。
***構成の説明***
本実施の形態では、情報処理回路が多重化されていない情報処理システム10を説明する。
図1は、本実施の形態に係る情報処理システム10の構成例を示す。
情報処理システム10は、情報処理回路200と故障診断回路300と回路情報格納メモリ400で構成される。
情報処理回路200は、図示していない被制御装置を制御する。被制御機器は、例えば、アクチュエータである。
情報処理回路200は、被制御機器の出力値を制御するための制御値120を入力値110に基づき生成し、生成した制御値120を被制御機器に出力する。
また、情報処理回路200は、故障診断回路300の故障を検出する。
情報処理回路200は、被制御機器の出力値を制御するための制御値120を入力値110に基づき生成し、生成した制御値120を被制御機器に出力する。
また、情報処理回路200は、故障診断回路300の故障を検出する。
故障診断回路300は、入力値110と制御値120を取得し、取得した入力値110と制御値120を記憶する。また、故障診断回路300は、情報処理回路200からの故障診断情報130を監視し、情報処理回路200の故障を検出する。そして、故障診断回路300は、情報処理回路200の故障を検出した際に、情報処理回路200に動作停止指示140を出力して、情報処理回路200の動作を停止させる。更に、故障診断回路300は、情報処理代替回路500として、情報処理回路200を代替して被制御機器を制御する。
以下では、情報処理回路200を監視し、情報処理回路200の故障を検出する回路を故障診断回路300という。また、情報処理回路200を代替して被制御機器を制御する回路を情報処理代替回路500という。情報処理代替回路500については、図2を参照して後述する。
故障診断回路300及び情報処理代替回路500は、代替装置に相当する。
以下では、情報処理回路200を監視し、情報処理回路200の故障を検出する回路を故障診断回路300という。また、情報処理回路200を代替して被制御機器を制御する回路を情報処理代替回路500という。情報処理代替回路500については、図2を参照して後述する。
故障診断回路300及び情報処理代替回路500は、代替装置に相当する。
回路情報格納メモリ400は、故障診断回路情報410と情報処理代替回路情報420を記憶する。
故障診断回路情報410は、故障診断回路300の内部構成が示される情報である。
情報処理代替回路情報420は、情報処理代替回路500の内部構成が示される情報である。
故障診断回路情報410は、故障診断回路300の内部構成が示される情報である。
情報処理代替回路情報420は、情報処理代替回路500の内部構成が示される情報である。
情報処理回路200、故障診断回路300及び回路情報格納メモリ400の詳細を説明する前に、情報処理回路200、故障診断回路300、回路情報格納メモリ400の概要を説明する。
情報処理回路200は、入力値110を元に演算を行い、制御値120を生成する。そして、情報処理回路200は、情報処理システム10の外部にある被制御機器に出力する。
故障診断回路300は、入力値110と制御値120とを取得し、取得した入力値110と制御値120を記憶する。また、故障診断回路300は、情報処理回路200の内部状態を示す情報である故障診断情報130を取得し、情報処理回路200の内部状態を診断する。故障診断回路300は、診断の結果、情報処理回路200の故障を検出すると、情報処理回路200に対して、動作停止指示140を与えて、情報処理回路200の動作を停止させる。
また、故障診断回路300は、情報処理システム10の起動時から情報処理回路200の故障発生を検出するまでの間動作する。
故障診断回路300は、回路情報格納メモリ400内の故障診断回路情報410に基づいて構成される。
故障診断回路300は、回情報処理回路200の故障を検出し、動作停止指示140を出力した後は、回路情報格納メモリ400内の情報処理代替回路情報420を回路情報150として読み出す。そして、故障診断回路300は、情報処理代替回路情報420に基づき、情報処理回路200の機能を代替する情報処理代替回路500として動作する。
故障診断回路300は、入力値110と制御値120とを取得し、取得した入力値110と制御値120を記憶する。また、故障診断回路300は、情報処理回路200の内部状態を示す情報である故障診断情報130を取得し、情報処理回路200の内部状態を診断する。故障診断回路300は、診断の結果、情報処理回路200の故障を検出すると、情報処理回路200に対して、動作停止指示140を与えて、情報処理回路200の動作を停止させる。
また、故障診断回路300は、情報処理システム10の起動時から情報処理回路200の故障発生を検出するまでの間動作する。
故障診断回路300は、回路情報格納メモリ400内の故障診断回路情報410に基づいて構成される。
故障診断回路300は、回情報処理回路200の故障を検出し、動作停止指示140を出力した後は、回路情報格納メモリ400内の情報処理代替回路情報420を回路情報150として読み出す。そして、故障診断回路300は、情報処理代替回路情報420に基づき、情報処理回路200の機能を代替する情報処理代替回路500として動作する。
図2は、情報処理代替回路500が動作する際の情報処理システム10の構成例を示す。
図2の段階では、情報処理回路200は故障が発生しているため、故障診断回路300からの動作停止指示140によって動作が停止している。
情報処理代替回路500は、入力値110を元に情報処理回路200と同等の演算を行い、制御値121を生成し、生成した制御値121を被制御機器に出力する。
図2の段階では、情報処理回路200は故障が発生しているため、故障診断回路300からの動作停止指示140によって動作が停止している。
情報処理代替回路500は、入力値110を元に情報処理回路200と同等の演算を行い、制御値121を生成し、生成した制御値121を被制御機器に出力する。
図3は、故障診断回路300が動作する場合の情報処理システム10の構成の詳細を示す。
情報処理回路200は、演算回路210、メモリ220、出力インタフェース230、故障通知インタフェース240で構成される。なお、出力インタフェース230は出力I/F230とも表記する。また、故障通知インタフェース240は故障通知I/F240とも表記する。
演算回路210は、メモリ220内に格納された演算プログラム221に従って入力値110を元に演算を行う。演算結果231は出力インタフェース230が、情報処理システム10の外部の被制御機器に制御値120として出力する。
メモリ220には、演算の途中の中間データ222も保存される。
演算回路210は、また、故障診断回路300の状態を診断し、故障診断回路300の故障を検出する。演算回路210は、例えば、一定期間、故障診断回路300から故障診断情報130を取得するためのアクセスがない場合など、故障診断回路300が規定の動作を行わない場合に、故障診断回路300に故障が発生したと判断する。
故障診断回路300が故障状態でも、情報処理システム10の動作が異常になるわけではない。そのため、故障診断回路300が故障した場合は、演算回路210は、情報処理システム10を緊急停止しない。具体的には、演算回路210は、故障通知インタフェース240に故障情報241を出力し、故障通知インタフェース240が故障通知160を情報処理システム10の外部に出力する。故障通知160の出力により、故障診断回路300で故障が発生したことを情報処理システム10の利用者に通知することができる。利用者は、情報処理システム10の停止が必要な場合には、安全を確保した後に情報処理システム10を停止する。
メモリ220には、演算の途中の中間データ222も保存される。
演算回路210は、また、故障診断回路300の状態を診断し、故障診断回路300の故障を検出する。演算回路210は、例えば、一定期間、故障診断回路300から故障診断情報130を取得するためのアクセスがない場合など、故障診断回路300が規定の動作を行わない場合に、故障診断回路300に故障が発生したと判断する。
故障診断回路300が故障状態でも、情報処理システム10の動作が異常になるわけではない。そのため、故障診断回路300が故障した場合は、演算回路210は、情報処理システム10を緊急停止しない。具体的には、演算回路210は、故障通知インタフェース240に故障情報241を出力し、故障通知インタフェース240が故障通知160を情報処理システム10の外部に出力する。故障通知160の出力により、故障診断回路300で故障が発生したことを情報処理システム10の利用者に通知することができる。利用者は、情報処理システム10の停止が必要な場合には、安全を確保した後に情報処理システム10を停止する。
故障診断回路300は、再構成対象回路310と再構成対象外回路350で構成される。
再構成対象回路310は、故障診断回路300が動作する場合と情報処理代替回路500が動作する場合とで、回路構成を変化させる。
再構成対象外回路350は、故障診断回路300が動作する場合と情報処理代替回路500が動作する場合とで、回路構成に変化がない。
再構成対象回路310は、故障診断回路300が動作する場合と情報処理代替回路500が動作する場合とで、回路構成を変化させる。
再構成対象外回路350は、故障診断回路300が動作する場合と情報処理代替回路500が動作する場合とで、回路構成に変化がない。
故障診断回路300が動作する場合は、図3に示すように、再構成対象回路310は、故障情報インタフェース313と故障診断回路311と出力インタフェース315で構成される。故障情報インタフェース313は故障情報I/F313とも表記する。出力インタフェース315は、出力I/F315とも表記する。
故障情報インタフェース313は、情報処理回路200からの故障診断情報130を取得する。故障情報インタフェース313は、例えば、定期的に演算回路210にアクセスして、演算回路210から故障診断情報130を取得する。そして、故障情報インタフェース313は、故障診断情報130を故障診断回路311に出力する。
出力インタフェース315は、情報処理回路200から制御値120を受信する。そして、出力インタフェース315は、制御値120を故障診断回路311に出力する。また、出力インタフェース315は、制御値120を後述する値保存メモリ351に出力する。
故障診断回路311は、故障診断情報130と制御値120とを用いて、情報処理回路200の状態を診断し、情報処理回路200の故障を検出する。
また、故障診断回路311は、情報処理回路200の故障を検出した場合に、故障検出通知325を後述する再構成回路352に出力する。また、故障診断回路311は、動作停止指示324を後述する動作停止インタフェース353に出力する。故障検出通知325は、情報処理回路200の故障の検出を通知する信号である。動作停止指示324は、情報処理回路200の動作停止を指示する信号である。
故障診断回路311は、例えば、制御値120が、規定の上限値又は下限値を超えた異常値である場合に、情報処理回路200に故障が発生したと判断する。また、故障診断回路311は、例えば、情報処理回路200の演算回路210又はメモリ220内で発生したECC(Error Correction Code)エラー、入力値110のCRC(Cyclic Redundancy Check)エラーなどの異常が発生した場合に、情報処理回路200に故障が発生したと判断する。
また、故障診断回路311は、情報処理回路200の故障を検出した場合に、故障検出通知325を後述する再構成回路352に出力する。また、故障診断回路311は、動作停止指示324を後述する動作停止インタフェース353に出力する。故障検出通知325は、情報処理回路200の故障の検出を通知する信号である。動作停止指示324は、情報処理回路200の動作停止を指示する信号である。
故障診断回路311は、例えば、制御値120が、規定の上限値又は下限値を超えた異常値である場合に、情報処理回路200に故障が発生したと判断する。また、故障診断回路311は、例えば、情報処理回路200の演算回路210又はメモリ220内で発生したECC(Error Correction Code)エラー、入力値110のCRC(Cyclic Redundancy Check)エラーなどの異常が発生した場合に、情報処理回路200に故障が発生したと判断する。
再構成対象外回路350は、値保存メモリ351、再構成回路352、動作停止インタフェース353、入力インタフェース354で構成される。動作停止インタフェース353は動作停止I/F353とも表記する。入力インタフェース354は、入力I/F354とも表記する。
値保存メモリ351は、入力値110と制御値120を記憶する。
入力インタフェース354は、入力値110を取得し、取得した入力値110を値保存メモリ351に書き込む。また、制御値120は、出力インタフェース315により値保存メモリ351に書き込まれる。
入力インタフェース354は、入力値110を取得し、取得した入力値110を値保存メモリ351に書き込む。また、制御値120は、出力インタフェース315により値保存メモリ351に書き込まれる。
再構成回路352は、故障診断回路311から故障検出通知325を取得する。故障検出通知325は、上述したように、情報処理回路200の故障の検出を通知する信号である。再構成回路352は、故障検出通知325を取得すると、回路情報格納メモリ400から、情報処理代替回路情報420を回路情報150として読み出す。そして、再構成回路352は、情報処理代替回路情報420に基づく再構成情報326を再構成対象回路310に送信する。故障診断回路311は、再構成情報326に基づき、再構成対象回路310を後述する再構成対象回路510として再構成する。つまり、故障診断回路311及び再構成回路352は、情報処理代替回路500が情報処理回路200を代替するための準備を行う。故障診断回路311及び再構成回路352は、代替準備部に相当する。
動作停止インタフェース353は、故障診断回路311から動作停止指示324を取得する。上述したように、動作停止指示324は、情報処理回路200の動作停止を指示する信号である。動作停止インタフェース353は、動作停止指示324を取得した場合は、情報処理回路200が故障により不正な動作を行う可能性が高いため、動作停止指示140を情報処理回路200に出力して、情報処理回路200の動作を停止させる。
なお、情報処理回路200は、故障診断回路300が情報処理代替回路500に再構成された後も、動作を停止し続ける。
なお、情報処理回路200は、故障診断回路300が情報処理代替回路500に再構成された後も、動作を停止し続ける。
図4は、情報処理代替回路500が動作する場合の情報処理システム10の構成の詳細を示す。
情報処理回路200及び回路情報格納メモリ400は、図3に示したものと同様であるため、情報処理回路200及び回路情報格納メモリ400の説明は省略する。
情報処理回路200及び回路情報格納メモリ400は、図3に示したものと同様であるため、情報処理回路200及び回路情報格納メモリ400の説明は省略する。
情報処理代替回路500は、再構成対象回路510と再構成対象外回路350で構成される。再構成対象外回路350は図3に示したものと同様であるため、再構成対象外回路350の説明は省略する。
再構成対象回路510は、演算回路511、メモリ513、出力インタフェース514から構成される。出力インタフェース514は、出力I/F514とも表記する。
演算回路511は、入力インタフェース354から入力値110を取得する。そして、演算回路511は、メモリ513内に格納された演算プログラム522に従って、入力値110を元に演算を行って、制御値121を生成する。制御値121は出力インタフェース514から被制御機器に出力される。
メモリ513には、演算の途中の中間データ524も保存される。
演算回路511は、情報処理回路200の演算回路210と同じでなくてもよい。また、メモリ513内の演算プログラム522も情報処理回路200のメモリ220内の演算プログラム221と同じでなくてもよい。つまり、演算回路511及び演算プログラム522は、情報処理回路200の動作を模擬する機能を実現可能であればよい。
メモリ513には、演算の途中の中間データ524も保存される。
演算回路511は、情報処理回路200の演算回路210と同じでなくてもよい。また、メモリ513内の演算プログラム522も情報処理回路200のメモリ220内の演算プログラム221と同じでなくてもよい。つまり、演算回路511及び演算プログラム522は、情報処理回路200の動作を模擬する機能を実現可能であればよい。
演算回路511は、情報処理回路200を代替する準備が完了した際に、制御値121の出力計画を生成する。そして、演算回路511は、生成した出力計画に従って制御値121を生成し、出力インタフェース514を介して情報処理回路200に代わって被制御機器に制御値121を出力する。
より具体的には、演算回路511は、情報処理回路200の故障発生前に予定されていた被制御機器の出力値の時間推移である予定時間推移と、準備が完了した時点での被制御機器の実際の出力値と予定時間推移における出力値との差異と、情報処理回路の故障発生前の入力値110と制御値120(例えば、故障発生直前の入力値110と制御値120)とに基づき、被制御機器の実際の出力値と予定時間推移における出力値との差異が漸減していく制御値の出力計画を生成する。そして、演算回路511は、生成した出力計画に従って情報処理回路200に代わって被制御機器に制御値121を出力する。
このようにすることで、演算回路511は、被制御機器の動作が急変することを回避する。
なお、演算回路511は、代替部に相当する。
より具体的には、演算回路511は、情報処理回路200の故障発生前に予定されていた被制御機器の出力値の時間推移である予定時間推移と、準備が完了した時点での被制御機器の実際の出力値と予定時間推移における出力値との差異と、情報処理回路の故障発生前の入力値110と制御値120(例えば、故障発生直前の入力値110と制御値120)とに基づき、被制御機器の実際の出力値と予定時間推移における出力値との差異が漸減していく制御値の出力計画を生成する。そして、演算回路511は、生成した出力計画に従って情報処理回路200に代わって被制御機器に制御値121を出力する。
このようにすることで、演算回路511は、被制御機器の動作が急変することを回避する。
なお、演算回路511は、代替部に相当する。
図5は、情報処理システム10の状態とアクチュエータの出力との関係を示す。
図5では、被制御機器の例として、アクチュエータを用いる。
図5では、被制御機器の例として、アクチュエータを用いる。
図5において、状態(1)では、情報処理回路200が正常に動作しているため、情報処理回路200によりアクチュエータの出力値が制御されている。つまり、状態(1)では、情報処理回路200は、入力値110に基づき制御値120を生成し、制御値120を出力する。アクチュエータの出力値は制御値120により制御されている。また、状態(1)では、入力値110と制御値120とが更新される度に、更新された入力値110と制御値120とが値保存メモリ351で記憶される。
状態(2)では、情報処理回路200に故障が発生し、再構成回路352が故障診断回路300を情報処理代替回路500に再構成する。状態(2)では、情報処理回路200は動作を停止しているため、情報処理回路200はアクチュエータの制御を行うことができない。また、情報処理代替回路500の再構成が完了していないので、情報処理代替回路500もアクチュエータの制御を行うことができない。従って、状態(2)では、アクチュエータの出力値が低下する。
状態(3)では、情報処理代替回路500の再構成が完了している。つまり、情報処理代替回路500が情報処理回路200を代替する準備が完了している。このため、情報処理代替回路500がアクチュエータの制御を開始する。しかし、アクチュエータの出力は状態(2)の間に低下している。このため、状態(2)の間に低下したアクチュエータの実際の出力値を考慮せずに、情報処理代替回路500が、情報処理回路200で行われていた演算をそのまま実行すると、アクチュエータの動作が急変する。
つまり、演算回路511が演算回路210と同じ演算を行って制御値121を生成し、アクチュエータに制御値121を出力すると、アクチュエータの出力値は、破線で示された、故障発生前の出力値となる。この破線で示された、故障発生前の出力値の時間推移は、予定時間推移に相当する。故障発生前の出力値は、再構成完了時の実際のアクチュエータの出力値と大きく異なっているため、アクチュエータの動作が急変する。
このような、アクチュエータの動作の急変を回避するために、演算回路511は、出力値を補正する制御値の出力計画を生成し、出力計画に従って、アクチュエータに制御値を出力する。
より具体的には、演算回路511は、再構成完了時の実際のアクチュエータの出力値を取得し、また、故障発生前の出力値の予定時間推移を取得する。更に、演算回路511は、値保存メモリ351で記憶されている、故障発生前の入力値110と故障発生前の制御値120とを取得する。
次に、演算回路511は、予定時間推移と、再構成完了時の実際のアクチュエータの出力値と予定時間推移における出力値との差異と、故障発生前の入力値110と制御値120とに基づき、図5に示すような出力計画を生成する。この出力計画は、被制御機器の実際の出力値と予定時間推移における出力値との差異が漸減していく計画である。つまり、この出力計画は、アクチュエータの出力値が、故障発生前のアクチュエータの出力値に徐々に近づいていくような計画である。演算回路511は、出力計画に従って制御値121を生成し、出力インタフェース514が制御値121をアクチュエータに出力する。
つまり、演算回路511が演算回路210と同じ演算を行って制御値121を生成し、アクチュエータに制御値121を出力すると、アクチュエータの出力値は、破線で示された、故障発生前の出力値となる。この破線で示された、故障発生前の出力値の時間推移は、予定時間推移に相当する。故障発生前の出力値は、再構成完了時の実際のアクチュエータの出力値と大きく異なっているため、アクチュエータの動作が急変する。
このような、アクチュエータの動作の急変を回避するために、演算回路511は、出力値を補正する制御値の出力計画を生成し、出力計画に従って、アクチュエータに制御値を出力する。
より具体的には、演算回路511は、再構成完了時の実際のアクチュエータの出力値を取得し、また、故障発生前の出力値の予定時間推移を取得する。更に、演算回路511は、値保存メモリ351で記憶されている、故障発生前の入力値110と故障発生前の制御値120とを取得する。
次に、演算回路511は、予定時間推移と、再構成完了時の実際のアクチュエータの出力値と予定時間推移における出力値との差異と、故障発生前の入力値110と制御値120とに基づき、図5に示すような出力計画を生成する。この出力計画は、被制御機器の実際の出力値と予定時間推移における出力値との差異が漸減していく計画である。つまり、この出力計画は、アクチュエータの出力値が、故障発生前のアクチュエータの出力値に徐々に近づいていくような計画である。演算回路511は、出力計画に従って制御値121を生成し、出力インタフェース514が制御値121をアクチュエータに出力する。
演算回路511は、例えば、制御値121の出力の度に、アクチュエータの出力値を、予定時間推移の出力値に1割程度ずつ近づけるような出力計画を生成する。このような出力計画にすると、制御値121を10回程度出力した段階で実際のアクチュエータの出力値が予定時間推移の出力値と同じになる。一方で、このような出力計画によれば、アクチュエータの急制御を回避することができる。
状態(4)では、アクチュエータの出力値が予定時間推移の出力値と同じになったので、演算回路511は、演算回路210と同様の演算を行って、制御値121を生成する。つまり、演算回路511は、入力値110を元に通常の演算を実施する。
***動作の説明***
図6は、本実施の形態に係る情報処理システム10の動作例を示す。
以下、図6を参照して、情報処理システム10の動作を説明する。
図6は、本実施の形態に係る情報処理システム10の動作例を示す。
以下、図6を参照して、情報処理システム10の動作を説明する。
先ず、情報処理回路200が、入力値110を元に制御値120を生成し、被制御機器に制御値120を出力する(ステップS101)。
また、入力値110と制御値120とが発生する度に、値保存メモリ351が入力値110と制御値120とを記憶する(ステップS111)。
また、入力値110と制御値120とが発生する度に、値保存メモリ351が入力値110と制御値120とを記憶する(ステップS111)。
故障診断回路311が情報処理回路200の故障を検出した場合(ステップS102でYES)に、再構成回路352が、情報処理代替回路情報420を用いて故障診断回路300を情報処理代替回路500に再構成する(ステップS103)。
並行して、動作停止インタフェース353が動作停止指示140を情報処理回路200に出力して、情報処理回路200の動作を停止させる(ステップS112)。
並行して、動作停止インタフェース353が動作停止指示140を情報処理回路200に出力して、情報処理回路200の動作を停止させる(ステップS112)。
故障診断回路300から情報処理代替回路500への再構成が完了すると(ステップS104でYES)、演算回路511が、被制御機器の現在の出力値、出力値の予定時間推移、故障前の入力値110及び制御値120を取得する(ステップS105)。
次に、演算回路511は、被制御機器の現在の出力値、出力値の予定時間推移、故障前の入力値110及び制御値120に基づき、制御値121の出力計画を生成する(ステップS106)。
次に、演算回路511は、被制御機器の現在の出力値、出力値の予定時間推移、故障前の入力値110及び制御値120に基づき、制御値121の出力計画を生成する(ステップS106)。
次に、演算回路511は、ステップS106で生成した出力計画に従って制御値121を生成し、出力インタフェース514が制御値121を被制御機器に出力する(ステップS107)。
被制御機器の実際の出力値が情報処理回路200の故障前に予定していた出力値と同じになった場合(ステップS108でYES)に、演算回路511は、入力値110を元に制御値121を生成し、出力インタフェース514が制御値121を被制御機器に出力する(ステップS109)。つまり、演算回路511は、情報処理回路200の演算回路210と同様の演算により制御値121を生成する。
被制御機器の実際の出力値が情報処理回路200の故障前に予定していた出力値と同じになった場合(ステップS108でYES)に、演算回路511は、入力値110を元に制御値121を生成し、出力インタフェース514が制御値121を被制御機器に出力する(ステップS109)。つまり、演算回路511は、情報処理回路200の演算回路210と同様の演算により制御値121を生成する。
情報処理システム10の利用者から、情報処理システム10の動作完了が指示された場合(S110でYES)は、情報処理システム10は動作を終了する。
利用者から情報処理システム10の動作完了が指示されていない場合(S110でNO)は、情報処理回路200が正常に動作している場合は、ステップS101以降の動作が繰り返される。一方、情報処理代替回路500が動作している場合は、ステップS109の動作が繰り返される。
利用者から情報処理システム10の動作完了が指示されていない場合(S110でNO)は、情報処理回路200が正常に動作している場合は、ステップS101以降の動作が繰り返される。一方、情報処理代替回路500が動作している場合は、ステップS109の動作が繰り返される。
***実施の形態の効果の説明***
以上、本実施の形態では、情報処理代替回路500が、被制御機器の実際の出力値と予定時間推移における出力値との差異が漸減していく制御値の出力計画を生成し、生成した出力計画に従って被制御機器に制御値を出力する。このため、本実施の形態によれば、情報処理代替回路500は、被制御機器の出力状態が変化している場合にも、適切に被制御機器を制御することができる。
以上、本実施の形態では、情報処理代替回路500が、被制御機器の実際の出力値と予定時間推移における出力値との差異が漸減していく制御値の出力計画を生成し、生成した出力計画に従って被制御機器に制御値を出力する。このため、本実施の形態によれば、情報処理代替回路500は、被制御機器の出力状態が変化している場合にも、適切に被制御機器を制御することができる。
また、本実施の形態では、情報処理回路200が故障診断回路300の故障を検出することができる。
故障診断回路300で故障が発生した場合は、情報処理回路200の故障の検出も情報処理回路200を代替する動作も不可能となる。情報処理システム10の信頼性を高めるためには、故障診断回路300の故障の検出も必要である。本実施の形態では、情報処理回路200が故障診断回路300を監視することで、情報処理システム10の信頼性を高めることができる。
故障診断回路300で故障が発生した場合は、情報処理回路200の故障の検出も情報処理回路200を代替する動作も不可能となる。情報処理システム10の信頼性を高めるためには、故障診断回路300の故障の検出も必要である。本実施の形態では、情報処理回路200が故障診断回路300を監視することで、情報処理システム10の信頼性を高めることができる。
なお、上記では、再構成対象外回路350は、故障診断回路300及び情報処理代替回路500の内部に存在しているが、再構成対象外回路350は、故障診断回路300及び情報処理代替回路500の外部に存在してもよい。
10 情報処理システム、110 入力値、120 制御値、121 制御値、130 故障診断情報、140 動作停止指示、150 回路情報、160 故障通知、200 情報処理回路、210 演算回路、220 メモリ、221 演算プログラム、222 中間データ、230 出力インタフェース、231 演算結果、240 故障通知インタフェース、241 故障情報、300 故障診断回路、310 再構成対象回路、311 故障診断回路、313 故障情報インタフェース、315 出力インタフェース、324 動作停止指示、325 故障検出通知、326 再構成情報、350 再構成対象外回路、351 値保存メモリ、352 再構成回路、353 動作停止インタフェース、354 入力インタフェース、400 回路情報格納メモリ、410 故障診断回路情報、420 情報処理代替回路情報、500 情報処理代替回路、510 再構成対象回路、511 演算回路、513 メモリ、514 出力インタフェース、522 演算プログラム、524 中間データ。
Claims (6)
- 被制御機器の出力値を制御するための制御値を入力値に基づき生成し、生成した制御値を前記被制御機器に出力する情報処理回路に故障が発生した場合に、前記情報処理回路を代替するための準備を行う代替準備部と、
前記準備が完了した際に、前記情報処理回路の故障発生前に予定されていた前記被制御機器の出力値の時間推移である予定時間推移と、前記準備が完了した時点での前記被制御機器の実際の出力値と前記予定時間推移における出力値との差異と、前記情報処理回路の故障発生前の入力値と制御値とに基づき、前記被制御機器の実際の出力値と前記予定時間推移における出力値との差異が漸減していく制御値の出力計画を生成し、生成した前記出力計画に従って前記情報処理回路に代わって前記被制御機器に制御値を出力する代替部とを有する代替装置。 - 前記代替部は、
前記情報処理回路の故障発生から前記準備の完了までの間に制御値が出力されないことにより発生した、前記準備が完了した時点での前記被制御機器の実際の出力値と前記予定時間推移における出力値との差異に基づき、前記出力計画を生成する請求項1に記載の代替装置。 - 前記代替部は、
前記情報処理回路の故障発生直前の入力値と制御値とに基づき、前記出力計画を生成する請求項1に記載の代替装置。 - 被制御機器の出力値を制御するための制御値を入力値に基づき生成し、生成した制御値を前記被制御機器に出力する情報処理回路と、
前記情報処理回路に故障が発生した場合に、前記情報処理回路を代替するための準備を行い、
前記準備が完了した際に、前記情報処理回路の故障発生前に予定されていた前記被制御機器の出力値の時間推移である予定時間推移と、前記準備が完了した時点での前記被制御機器の実際の出力値と前記予定時間推移における出力値との差異と、前記情報処理回路の故障発生前の入力値と制御値とに基づき、前記被制御機器の実際の出力値と前記予定時間推移における出力値との差異が漸減していく制御値の出力計画を生成し、生成した前記出力計画に従って前記情報処理回路に代わって前記被制御機器に制御値を出力する代替装置とを有する情報処理システム。 - 前記情報処理回路は、
前記代替装置の故障を検知するために前記代替装置を監視する請求項4に記載の情報処理システム。 - 被制御機器の出力値を制御するための制御値を入力値に基づき生成し、生成した制御値を前記被制御機器に出力する情報処理回路に故障が発生した場合に、前記情報処理回路を代替する代替装置が、前記情報処理回路を代替するための準備を行い、
前記代替装置が、前記準備が完了した際に、前記情報処理回路の故障発生前に予定されていた前記被制御機器の出力値の時間推移である予定時間推移と、前記準備が完了した時点での前記被制御機器の実際の出力値と前記予定時間推移における出力値との差異と、前記情報処理回路の故障発生前の入力値と制御値とに基づき、前記被制御機器の実際の出力値と前記予定時間推移における出力値との差異が漸減していく制御値の出力計画を生成し、生成した前記出力計画に従って前記情報処理回路に代わって前記被制御機器に制御値を出力する代替方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2017/000510 WO2018131079A1 (ja) | 2017-01-10 | 2017-01-10 | 代替装置、情報処理システム及び代替方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2018131079A1 JPWO2018131079A1 (ja) | 2019-04-18 |
| JP6509461B2 true JP6509461B2 (ja) | 2019-05-08 |
Family
ID=62839741
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018561125A Active JP6509461B2 (ja) | 2017-01-10 | 2017-01-10 | 代替装置、情報処理システム及び代替方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11314606B2 (ja) |
| JP (1) | JP6509461B2 (ja) |
| CN (1) | CN110140113B (ja) |
| DE (1) | DE112017006135B4 (ja) |
| WO (1) | WO2018131079A1 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2023028829A (ja) * | 2021-08-20 | 2023-03-03 | 株式会社日立製作所 | 制御装置、制御装置の制御方法 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3165320B2 (ja) | 1994-03-31 | 2001-05-14 | 三菱電機株式会社 | 自己修復回路 |
| JP3365581B2 (ja) | 1994-07-29 | 2003-01-14 | 富士通株式会社 | 自己修復機能付き情報処理装置 |
| JP3294741B2 (ja) | 1995-08-23 | 2002-06-24 | 富士通株式会社 | 自己修復装置 |
| JP4113934B2 (ja) | 1998-07-09 | 2008-07-09 | 株式会社豊田中央研究所 | フェールセーフ機能付き情報処理装置 |
| JP2001034496A (ja) | 1999-07-22 | 2001-02-09 | Nec Corp | 自己修復回路 |
| JP3864747B2 (ja) | 2001-10-09 | 2007-01-10 | 株式会社デンソー | 冗長系信号処理装置 |
| JP2006085555A (ja) | 2004-09-17 | 2006-03-30 | Denso Corp | 信号処理システム |
| US8359112B2 (en) * | 2006-01-13 | 2013-01-22 | Emerson Process Management Power & Water Solutions, Inc. | Method for redundant controller synchronization for bump-less failover during normal and program mismatch conditions |
| JP2009140353A (ja) | 2007-12-07 | 2009-06-25 | Toshiba Corp | 再構成可能な集積回路、及びこれを用いた自己修復システム |
| JP2010128514A (ja) * | 2008-11-25 | 2010-06-10 | Mitsubishi Electric Corp | プラントコントロールシステム |
| JP4801180B2 (ja) * | 2009-03-06 | 2011-10-26 | 株式会社日立製作所 | 多チャンネルアナログ入出力回路の故障診断装置及び故障診断方法 |
| JP5660798B2 (ja) | 2010-04-01 | 2015-01-28 | 三菱電機株式会社 | 情報処理装置 |
| US8587320B2 (en) * | 2010-11-09 | 2013-11-19 | Honeywell International Inc. | System and method for testing a secondary servo control circuit in a redundant control configuration |
| JP2012168605A (ja) | 2011-02-10 | 2012-09-06 | Toyota Motor Corp | 制御装置 |
| US9318896B2 (en) * | 2012-09-27 | 2016-04-19 | Hewlett Packard Enterprise Development Lp | Fault-tolerant power control in a computer system |
| CA2913239A1 (en) * | 2013-06-25 | 2014-12-31 | Lumastream Canada Ulc | Apparatus and method for monitoring and limiting power to ssl devices |
| WO2016170614A1 (ja) * | 2015-04-22 | 2016-10-27 | 三菱電機株式会社 | プログラマブルロジックコントローラ、スレーブ機器及び二重化システム |
-
2017
- 2017-01-10 CN CN201780082097.7A patent/CN110140113B/zh active Active
- 2017-01-10 US US16/344,323 patent/US11314606B2/en active Active
- 2017-01-10 WO PCT/JP2017/000510 patent/WO2018131079A1/ja active Application Filing
- 2017-01-10 DE DE112017006135.0T patent/DE112017006135B4/de active Active
- 2017-01-10 JP JP2018561125A patent/JP6509461B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| WO2018131079A1 (ja) | 2018-07-19 |
| JPWO2018131079A1 (ja) | 2019-04-18 |
| DE112017006135T5 (de) | 2019-08-22 |
| CN110140113B (zh) | 2023-04-14 |
| DE112017006135B4 (de) | 2020-11-19 |
| CN110140113A (zh) | 2019-08-16 |
| US11314606B2 (en) | 2022-04-26 |
| US20190384683A1 (en) | 2019-12-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4458119B2 (ja) | マルチプロセッサシステム及びその制御方法 | |
| CN107003915B (zh) | 驱动控制装置 | |
| US7408475B2 (en) | Power supply monitoring device | |
| WO2018221136A1 (ja) | 異常判定装置、異常判定方法及び異常判定プログラム | |
| US10592356B2 (en) | Microcontroller and electronic control unit | |
| JP2014064354A (ja) | 異常検出機能を有するデジタル制御電源 | |
| US10249108B2 (en) | Risk-based control of a motor vehicle | |
| KR20190058310A (ko) | 반도체 장치 | |
| JP2020506472A (ja) | 冗長プロセッサアーキテクチャ | |
| JP6509461B2 (ja) | 代替装置、情報処理システム及び代替方法 | |
| US8274771B2 (en) | Safety switching device and modular failsafe control system | |
| US8831912B2 (en) | Checking of functions of a control system having components | |
| JP2007233573A (ja) | 電子制御装置 | |
| JP2007028118A (ja) | ノード装置の故障判断方法 | |
| US20230054109A1 (en) | Method and apparatus for reconfiguring an autonomous vehicle in the event of a fault | |
| JP2016126692A (ja) | 電子制御装置 | |
| JP6285123B2 (ja) | 電源監視装置、電源装置、情報処理システム及び電源監視方法 | |
| JP4107671B2 (ja) | 自動車内の乗員保護手段をトリガする制御ユニットおよびこのような有利な制御ユニットの正常な機能を監視する方法 | |
| JP6824447B2 (ja) | 信号制御装置および異常検出方法 | |
| JP2011126327A (ja) | 車載制御装置 | |
| WO2014188764A1 (ja) | 機能安全制御装置 | |
| JP6470114B2 (ja) | 制御システム | |
| JP6501703B2 (ja) | 車載制御装置 | |
| JP5559100B2 (ja) | 電子制御システム | |
| JP7329579B2 (ja) | 制御装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190123 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20190123 |
|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20190222 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190305 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190402 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6509461 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |