JP7132837B2 - 独立連動冗長システム - Google Patents

独立連動冗長システム Download PDF

Info

Publication number
JP7132837B2
JP7132837B2 JP2018226190A JP2018226190A JP7132837B2 JP 7132837 B2 JP7132837 B2 JP 7132837B2 JP 2018226190 A JP2018226190 A JP 2018226190A JP 2018226190 A JP2018226190 A JP 2018226190A JP 7132837 B2 JP7132837 B2 JP 7132837B2
Authority
JP
Japan
Prior art keywords
processor
control command
processors
standby
timing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018226190A
Other languages
English (en)
Other versions
JP2020091508A (ja
Inventor
正翁 早川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Subaru Corp
Original Assignee
Subaru Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Subaru Corp filed Critical Subaru Corp
Priority to JP2018226190A priority Critical patent/JP7132837B2/ja
Priority to US16/592,161 priority patent/US11223517B2/en
Priority to EP19205387.4A priority patent/EP3663923B1/en
Publication of JP2020091508A publication Critical patent/JP2020091508A/ja
Application granted granted Critical
Publication of JP7132837B2 publication Critical patent/JP7132837B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0654Management of faults, events, alarms or notifications using network fault recovery
    • H04L41/0668Management of faults, events, alarms or notifications using network fault recovery by dynamic selection of recovery network elements, e.g. replacement by the most appropriate element after failure
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2023Failover techniques
    • G06F11/2028Failover techniques eliminating a faulty processor or activating a spare
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2038Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant with a single idle spare processing component
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1658Data re-synchronization of a redundant component, or initial sync of replacement, additional or spare unit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2023Failover techniques
    • G06F11/2025Failover techniques using centralised failover control functionality
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2023Failover techniques
    • G06F11/2033Failover techniques switching over of hardware resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Hardware Redundancy (AREA)
  • Multi Processors (AREA)
  • Safety Devices In Control Systems (AREA)

Description

本発明は、独立連動冗長システムに関する。
従来から、航空機等には飛行制御等のために複数のプロセッサを備えるシステムが搭載されており、1つのプロセッサで故障が生じても、航空機の飛行等に影響が生じないようにするためにシステムの冗長化が図られている。
そして、複数のプロセッサを備えるシステムを冗長化する際の手法として、従来から、種々の手法が考案されている。
例えば、特許文献1では、複数のプロセッサと冗長系のプロセッサとを備えたシステムにおいて、プロセッサが故障した際に、冗長系のプロセッサが故障したプロセッサの論理的設定を受け継ぐことで、論理的な接続を変更せずに運用が継続されるようにした技術が開示されている。
また、特許文献2では、複数のプロセッサと冗長系のプロセッサとを備えたシステムにおいて、プロセッサが故障した際に、プロセッサ間でメモリ内容を比較して故障したプロセッサを特定し、冗長系のプロセッサが故障していないプロセッサからメモリ内容をコピーしてシステムを復元する技術が開示されている。
特開2004-280853号公報 特開平8-255091号公報
ところで、上記のいずれのシステムも、プロセッサが故障してから冗長系のプロセッサに切り替わるまでの間に、プロセッサによる制御対象に対する制御が行われなくなる期間が発生したり、制御対象に対する制御のタイミングが遅れてしまう場合がある。
しかしながら、このようにプロセッサによる制御対象の制御が行われなくなったり(すなわちプロセッサによる制御が中断したり)制御のタイミングが遅れたりすると、例えば航空機が飛行不能に陥るなど、航空機等の安全性等に重大な問題が生じる可能性がある。
本発明は、上記の問題点を鑑みてなされたものであり、複数のプロセッサを備えるシステムにおいて、プロセッサが故障しても、プロセッサによる制御対象に対する制御が行われなくなったり制御のタイミングが遅れたりすることなく制御を継続して行うことが可能なシステム(独立連動冗長システム)を提供することを目的とする。
前記の問題を解決するために、請求項1に記載の発明は、独立連動冗長システムにおいて、
単数又は複数の制御対象と、
前記制御対象に対して、互いに独立に、かつ、交代で制御指令を送信する複数の作動プロセッサと、
単数又は複数の待機プロセッサと、
を備え、
前記待機プロセッサは、
前記作動プロセッサのうちの1つが故障すると、待機状態からウォーミングアップ状態に遷移し、
ウォーミングアップ状態では、故障していない前記作動プロセッサが前記制御対象に送信した前記制御指令と同じ制御指令を、故障した前記作動プロセッサが前記制御指令を送信するはずであったタイミングで前記制御対象に送信し、
ウォーミングアップが完了した後は、制御指令を自ら割り出して、故障していない前記作動プロセッサとは互いに独立に、かつ、交代で制御指令を送信することを特徴とする。
請求項2に記載の発明は、請求項1に記載の独立連動冗長システムにおいて、システム内にn個の前記作動プロセッサが存在する場合、前記待機プロセッサは、前記作動プロセッサのうちの1つが故障したタイミングに続く1番目からn-1番目の各タイミングでは制御指令を送信せず、n番目のタイミングで制御指令を送信することを特徴とする。
請求項3に記載の発明は、請求項1又は請求項2に記載の独立連動冗長システムにおいて、前記待機プロセッサは、前記故障していない作動プロセッサが送信した前記制御指令と、ウォーミングアップ状態で独自に割り出した制御指令との差異が、所定の誤差範囲内に収まった場合に、ウォーミングアップが完了したと判断することを特徴とする。
本発明によれば、複数のプロセッサを備えるシステムにおいて、プロセッサが故障しても、プロセッサによる制御対象に対する制御が行われなくなったり制御のタイミングが遅れたりすることなく制御を継続して行うことが可能となる。
本実施形態に係る独立連動冗長システムの構成の一例を表す図である。 図1の独立連動冗長システムにおいて作動プロセッサ3αが故障したことを表す図である。 管理装置を備える独立連動冗長システムの構成の一例を表す図である。
以下、本発明に係る独立連動冗長システムの実施の形態について、図面を参照して説明する。
なお、以下では、独立連動冗長システム1が、2個の作動プロセッサ3α、3βと1個(単数)の待機プロセッサ3γとを備えて構成されており、制御対象2が1個(単数)である場合について説明するが、本発明はこの場合に限定されず、作動プロセッサが3個以上であったり、待機プロセッサが2個以上(すなわち複数)であったり、制御対象が2個以上(すなわち複数)であるような場合にも適用される。
また、以下では、制御対象2がコントローラ2aを有しており、コントローラ2aが制御対象2を制御するために必要なパラメータを作動プロセッサ3α、3βや待機プロセッサ3γから制御対象2のコントローラ2aに送信することで、作動プロセッサ3α、3βや待機プロセッサ3γが制御対象2を制御する場合を例示して説明する。
しかし、作動プロセッサ3α、3βや待機プロセッサ3γによる制御対象の制御のしかたはこれに限定されず、例えばデータや命令、信号等を送信することで制御するように構成されていてもよく、制御対象の態様やシステムの構築のしかた等によって種々の制御のしかたがあり得る。
以下、作動プロセッサや待機プロセッサが制御対象を制御するために制御対象に送信するパラメータやデータ、命令、信号等をまとめて制御指令という。
さらに、作動プロセッサや待機プロセッサから制御対象に制御指令を送信するタイミングは、例えば、制御対象から作動プロセッサ等に送信される送信要求に基づいて作動プロセッサ等が制御指令を送信する場合には、制御対象から作動プロセッサ等に送信要求が送信されるタイミングである。
また、例えば、作動プロセッサや待機プロセッサ、制御対象等を同期させるための外部クロックに基づいて作動プロセッサ等から制御対象に制御指令が送信される場合には、外部クロックが発信されるタイミングということになる。
このように、作動プロセッサや待機プロセッサから制御対象に制御指令を送信するタイミングは、システムの構築のしかた等によって種々のケースがあり得る。
図1は、本実施形態に係る独立連動冗長システムの構成の一例を表す図である。
独立連動冗長システム1は、制御対象2と、制御対象2に対して、互いに独立に、かつ、交代で制御指令を送信する複数の作動プロセッサ3α、3βと、待機プロセッサ3γとを備えている。
本実施形態では、制御対象2と作動プロセッサ3α、3β、待機プロセッサ3γは通信ネットワークNを介して接続されており、以下、このように構成されている場合について説明するが、それらが通信ネットワークNを介さずに互いに直接接続されていてもよく、それらの接続のしかたは通信ネットワークNを介する場合には限定されない。
また、以下では、作動プロセッサ3α、3βが通信ネットワークNに制御指令を送信する等の表現を用いる場合があるが、その場合は、制御対象2は通信ネットワークNからその制御指令を受信することになり、結局、作動プロセッサ3α、3βから制御対象2に制御指令が送信されることになる。
前述したように、制御対象2は、コントローラ2aを有しておる。そして、コントローラ2aは、通信ネットワークNから(すなわち通信ネットワークNを介して作動プロセッサ3α、3βから)制御指令を受信すると、それに基づいて制御対象2の制御を行うようになっている。
なお、制御対象2は、必ずしもコントローラ2aを有するものでなくてもよく、作動プロセッサによる制御を受けることができるものであればどのような構成であってもよい。
作動プロセッサ3α、3βや待機プロセッサ3γは、例えばコンピュータ等で構成されている。
まず、作動プロセッサ3α、3βについて説明すると、本実施形態では、作動プロセッサ3α、3βは、システム内に複数設けられている。そして、本実施形態では、作動プロセッサ3α、3βは、所定のタイミングが到来すると、制御対象2に送信するべき制御指令(この場合はパラメータ)を割り出して通信ネットワークNに送信し、制御指令の送信が終了すると通信ネットワークNに終了信号を送信するようになっている。
このように、本実施形態では、各作動プロセッサは、他の作動プロセッサと連絡を取り合うことはなく、前述したように制御対象から送信要求が送信されてくるタイミングや同期を取るための外部クロックのタイミング等を各自で監視し、それに基づいて互いに独立に制御指令を送信するようになっている。
本実施形態に係る独立連動冗長システム1の「独立」は、このように、各作動プロセッサが互いに独立に制御対象2に対して制御指令を送信することを表すものである。
また、作動プロセッサ3α、3βは、通信ネットワークNに対して(すなわち制御対象2に対して)、交代で制御指令を送信するようになっている。図1の場合は作動プロセッサ3α、3βが2個であるため交互に制御指令を送信するようになっている。
そのため、制御対象2から見た場合、各タイミングで作動プロセッサ3α、3βから適切に制御指令が送信されてくる。
本実施形態に係る独立連動冗長システム1の「連動」は、このように、制御対象2に対する制御としては各作動プロセッサが交代しながら制御指令を送信し、あたかも連動しているように制御対象2の制御が行われることを表すものである。なお、「連動」は各作動プロセッサが他の作動プロセッサと連絡を取り合って制御を行うことを意味するものではない。
本実施形態では、このように、複数の作動プロセッサは(通信ネットワークNを介して)制御対象2に対して、互いに独立に、かつ、交代で制御指令を送信するように構成されている。
具体的に説明すると、独立連動冗長システム1のn個の各作動プロセッサは、上記のタイミングをそれぞれ個別に監視しており、あるタイミングで制御指令を割り出して送信すると、続く1番目からn-1番目の各タイミングでは制御指令の割り出しを行わず、n番目のタイミングで制御指令を割り出して送信する。
そして、各作動プロセッサがこの動作を1タイミングずつずらして互いに独立に行うことで、各タイミングごとに作動プロセッサが交代で制御指令を制御対象2に送信する状態が形成されるようになっている。
この場合、各作動プロセッサに、独立連動冗長システム1内の作動プロセッサの個数nを予め入力しておく。
そして、各作動プロセッサに最初に処理を行うタイミングをそれぞれ指示すれば、その後は、各作動プロセッサが自動的に自らが処理を行うべきタイミングで制御指令を割り出して送信するようになるため、各作動プロセッサが交代で制御指令を送信する状態が形成される。
例えば、本実施形態に係る独立連動冗長システム1のように、作動プロセッサが3α、3βの2個存在する場合には、各タイミングで3α、3β、3α、3β、…の順番に交代で(交互に)制御指令を送信する状態になる。
また、例えば、独立連動冗長システム1中に作動プロセッサがA、B、Cの3個存在する場合には、各タイミングごとにA、B、C、A、B、C、…の順番に交代で制御指令を送信する状態になる。
なお、上記のように、各作動プロセッサは上記のタイミングをそれぞれ個別に監視し、タイミングに基づいて制御指令の割り出しや送信を行う。
そのため、本実施形態に係る独立連動冗長システム1では、複数の作動プロセッサのうちの1つの作動プロセッサが故障しても、故障した作動プロセッサが行っていた処理を他の作動プロセッサが引き継いで行うようなことはなく、各作動プロセッサは、それまで行っていた自らの処理をそれぞれ淡々と継続して行うようになっている。
次に、待機プロセッサ3γについて説明する。
本実施形態に係る独立連動冗長システム1では、複数の作動プロセッサのうちの1つの作動プロセッサが故障した場合に、故障した作動プロセッサが行っていた処理を待機プロセッサが引き継いで行うようになっている。
なお、待機プロセッサによる処理の引き継ぎが一時的なものか(この場合は故障した作動プロセッサを修理したり別の作動プロセッサに交換する等した後、作動プロセッサに処理を戻す。)、あるいは永続的なものか(この場合は処理を引き継いだ待機プロセッサをその後も作動プロセッサとして使用する。)は、独立連動冗長システム1の使用状況等に基づいて適宜決められる。
待機プロセッサ3γは、作動プロセッサのうちの1つが故障すると、待機状態からウォーミングアップ状態に遷移するようになっている。
そして、ウォーミングアップ状態では、故障していない作動プロセッサ3βが制御対象2に送信した制御指令と同じ制御指令を、故障した作動プロセッサ3αが送信するはずであったタイミングで制御対象2に送信する。
また、ウォーミングアップが完了した後は、作動プロセッサと同等なものとなり、故障していない作動プロセッサ3βとは互いに独立に、かつ、交代で制御指令を送信するようになっている。
以下、待機プロセッサ3γの動作等について具体的に説明する。
以下では、図2に示すように、独立連動冗長システム1において、作動プロセッサ3αが故障した場合(図中の×印参照)を例示して説明する。
なお、待機プロセッサ3γは、構成としては作動プロセッサ3α、3βと全く同等であり、待機プロセッサ3γとして特別な構成を有しているわけではない。
また、待機プロセッサ3γが待機状態やウォーミングアップ状態であるという場合、制御対象2の制御に関しては待機状態やウォーミングアップ状態にあるということであり、その間、待機プロセッサ3γは、制御対象2の制御以外の他の処理を行っていてもよく、また、他の処理を行わずに待機していてもよい。
本実施形態では、待機プロセッサ3γは、独立連動冗長システム1内の作動プロセッサの個数n(この場合はn=2)の情報を予め有している。
そして、待機プロセッサ3γは、作動プロセッサ3α、3βと同様に上記のタイミングを監視するとともに、各タイミングごとに終了信号が通信ネットワークNから送られてきたか否かを監視する。この場合、終了信号が作動プロセッサ3α、3βのいずれから送信されたものかを待機プロセッサ3γが認識する必要はない。
そして、本実施形態では、待機プロセッサ3γは、タイミングが到来したにもかかわらずそれに対応する終了信号が通信ネットワークNから送られてこない場合に、作動プロセッサのうちの1つが故障したと判断し、その時点で待機状態からウォーミングアップ状態に遷移するようになっている。
なお、その際、待機プロセッサ3γは、故障した作動プロセッサがどの作動プロセッサであるかを認識する必要はない。
そして、待機プロセッサ3γは、故障した作動プロセッサ3αを引き継いで、故障した作動プロセッサ3αが送信するはずであったタイミングで通信ネットワークNに(すなわち制御対象2に)制御指令を送信するようになっている。
すなわち、待機プロセッサ3γは、終了信号が通信ネットワークNから送られてこなかったタイミングの次のタイミングでは制御指令の割り出しを行わず(このタイミングでは作動プロセッサ3βが制御指令を送信する。)、その次のタイミングで制御指令を割り出して送信する。
すなわち、この場合は、待機プロセッサ3γは、作動プロセッサ3βと交互のタイミングで制御指令を制御対象2に送信することになる。
なお、一般的に、独立連動冗長システム1内にn個の作動プロセッサが存在する場合には、待機プロセッサは、終了信号が送られてこなかったタイミング(すなわち作動プロセッサのうちの1つが故障したタイミング)に続く1番目からn-1番目の各タイミングでは制御指令の割り出しを行わず(これらのタイミングでは作動プロセッサが制御指令を送信する。)、n番目のタイミングで制御指令を割り出して送信することになる。
しかし、待機プロセッサ3γは、ウォーミングアップ状態では、プログラムを起動させたりモードを変更したり内部パラメータの積分等の必要な演算処理等を行う必要があり、その間、制御指令(この場合はパラメータ)を割り出すことができなかったり、割り出した制御指令が適切なものでなかったりする場合がある。
そこで、本実施形態では、待機プロセッサ3γは、ウォーミングアップ状態では、故障していない作動プロセッサ3βが制御対象2に送信した制御指令と同じ制御指令を、故障した作動プロセッサ3αが制御指令を送信するはずであったタイミング(すなわち上記のn番目のタイミング)で送信するようになっている。
すなわち、上記の例では、待機プロセッサ3γは、ウォーミングアップ状態では、あるタイミングで作動プロセッサ3βが送信した制御指令が通信ネットワークNから送られてくると、それを一旦メモリに保存し、次のタイミングでその制御指令(すなわち作動プロセッサ3βが送信した制御指令と同じ制御指令)をメモリから読み出して通信ネットワークNを介して制御対象2に送信する。
そのため、例えば、仮に作動プロセッサ3αが故障していないとしたときに作動プロセッサ3βと作動プロセッサ3αから各タイミングで交互に1、2、3、4、5、…の各制御指令(パラメータ)を送信するような場合、同じ状況で、作動プロセッサ3αが故障しており待機プロセッサ3γがまだウォーミングアップ状態である場合には、作動プロセッサ3βと待機プロセッサ3γから各タイミングで交互に1、1、3、3、5、…の各制御指令(パラメータ)が送信されることになる。
本実施形態に係る独立連動冗長システム1では、このように、本来、各タイミングごとに制御指令(パラメータ)が1ずつ増加するようなケースでも、同じ制御指令(パラメータ)が繰り返されて制御対象2に送信されたり制御指令(パラメータ)が2ずつ増加する状態になる場合があり、制御対象2に対する制御が滑らかでなくなる可能性がある。
しかし、少なくとも制御対象2に制御指令を送信するべきタイミングで制御指令が送信されなかったり制御指令を送信するタイミングが遅れたりすることなく、各タイミングで制御指令を確実に制御対象2に送信することが可能となる。
そのため、本実施形態に係る独立連動冗長システム1では、前述した従来のシステムのように、作動プロセッサの1つが故障した場合に、作動プロセッサによる制御対象2の制御が行われなくなったり制御のタイミングが遅れたりするといった問題が生じることはなく、制御対象2に対する制御を適切なタイミングで継続して行うことが可能となる。
なお、独立連動冗長システム1内に作動プロセッサが3個以上ある場合は(n≧3)、例えば、待機プロセッサは、終了信号が通信ネットワークNから送られてこなかったタイミングに続く1番目からn-1番目の各タイミングでは制御指令の割り出しを行わないが、n-1番目のタイミングで通信ネットワークNから送られてきた制御指令を一旦メモリに保存する。
そして、n番目のタイミングすなわち待機プロセッサが制御指令を送信するタイミングでその制御指令(すなわち故障していない作動プロセッサがn-1番目に送信した制御指令と同じ制御指令)をメモリから読み出して通信ネットワークNを介して制御対象2に送信するように構成することが可能である。
一方、ウォーミングアップ状態の待機プロセッサ3γで内部パラメータの積分等の必要な演算処理等が進んでウォーミングアップが完了すると、制御指令(この場合はパラメータ)を適切に割り出すことができる状態になる。
そのため、本実施形態では、待機プロセッサ3γは、ウォーミングアップが完了した後は、制御指令を自ら割り出して、故障していない作動プロセッサ3βとは互いに独立に、かつ、交代で制御指令を送信するようになっている。
その場合、例えば、待機プロセッサ3γは、上記のように他の作動プロセッサ3βが送信した制御指令(待機プロセッサ3γのメモリに保存された制御指令)と、ウォーミングアップ状態の待機プロセッサ3γが独自に割り出した制御指令との差異が、所定の誤差範囲内に収まった場合に、待機プロセッサ3γのウォーミングアップが完了し、他の作動プロセッサ3βと同様に制御指令を適切に割り出すことができる状態になったと判断するように構成することが可能である。
本実施形態に係る独立連動冗長システム1では、以上のようにして、1つの作動プロセッサが故障しても、他の作動プロセッサや待機プロセッサが適切なタイミングで、互いに独立に、かつ、交代で制御対象2に対して制御指令を送信する状態を復元することが可能となる。
以上のように、本実施形態に係る独立連動冗長システム1によれば、作動プロセッサのうちの1つが故障すると、待機プロセッサが待機状態からウォーミングアップ状態に遷移する。そして、待機プロセッサは、ウォーミングアップ状態では、故障していない作動プロセッサが制御対象に送信した制御指令と同じ制御指令を、故障した作動プロセッサが制御指令を送信するはずであったタイミングで制御対象に送信する。そして、ウォーミングアップが完了した後は、作動プロセッサとして、故障していない作動プロセッサとは互いに独立に、かつ、交代で制御指令を送信する。
そのため、本実施形態に係る独立連動冗長システム1では、作動プロセッサが故障しても、作動プロセッサによる制御対象に対する制御が行われなくなったり制御のタイミングが遅れたりすることなく、適切なタイミングで制御を継続して行うことが可能となる。
そのため、作動プロセッサが故障しても、作動プロセッサによる制御対象の制御が行われなくなったり(すなわちプロセッサによる制御が中断したり)制御のタイミングが遅れたりする事態は生じず、航空機が飛行不能に陥るなど、航空機等の安全性等に重大な問題が生じることを的確に回避することが可能となる。
なお、本発明が上記の各実施形態等に限定されず、本発明の趣旨を逸脱しない限り、適宜変更可能であることは言うまでもない。
例えば、上記の実施形態では、待機プロセッサが、故障した作動プロセッサがどの作動プロセッサであるかを特定せずに処理を行うように構成されている場合について説明したが、故障した作動プロセッサを特定するように構成することも可能である。
また、例えば、図3に示すように、独立連動冗長システム1に管理装置4を設けておき、作動プロセッサのうちの1つが故障した際に、管理装置4が待機プロセッサ3γを待機状態からウォーミングアップ状態に遷移させる等の処理を行うように構成することも可能である。
すなわち、待機プロセッサ3γが、管理装置4の指示に従って上記の各処理を行うように構成することも可能である。
そして、故障した作動プロセッサの処理を引き継いだ待機プロセッサ3γをその後も作動プロセッサとして使用する場合には、待機プロセッサ3γのウォーミングアップが完了した時点で、管理装置4は待機プロセッサ3γに対する管理を停止するように構成することも可能である。
この場合、待機プロセッサ3γは、ウォーミングアップ後は、もはや管理装置4の管理を受けず、1個の独立した作動プロセッサとして、制御対象2の制御を継続して行うようになる。
1 独立連動冗長システム
2 制御対象
3α、3β 作動プロセッサ
3α 故障した作動プロセッサ
3β 故障していない作動プロセッサ
3γ 待機プロセッサ

Claims (3)

  1. 単数又は複数の制御対象と、
    前記制御対象に対して、互いに独立に、かつ、交代で制御指令を送信する複数の作動プロセッサと、
    単数又は複数の待機プロセッサと、
    を備え、
    前記待機プロセッサは、
    前記作動プロセッサのうちの1つが故障すると、待機状態からウォーミングアップ状態に遷移し、
    ウォーミングアップ状態では、故障していない前記作動プロセッサが前記制御対象に送信した前記制御指令と同じ制御指令を、故障した前記作動プロセッサが前記制御指令を送信するはずであったタイミングで前記制御対象に送信し、
    ウォーミングアップが完了した後は、制御指令を自ら割り出して、故障していない前記作動プロセッサとは互いに独立に、かつ、交代で制御指令を送信することを特徴とする独立連動冗長システム。
  2. システム内にn個の前記作動プロセッサが存在する場合、前記待機プロセッサは、前記作動プロセッサのうちの1つが故障したタイミングに続く1番目からn-1番目の各タイミングでは制御指令を送信せず、n番目のタイミングで制御指令を送信することを特徴とする請求項1に記載の独立連動冗長システム。
  3. 前記待機プロセッサは、前記故障していない作動プロセッサが送信した前記制御指令と、ウォーミングアップ状態で独自に割り出した制御指令との差異が、所定の誤差範囲内に収まった場合に、ウォーミングアップが完了したと判断することを特徴とする請求項1又は請求項2に記載の独立連動冗長システム。
JP2018226190A 2018-12-03 2018-12-03 独立連動冗長システム Active JP7132837B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2018226190A JP7132837B2 (ja) 2018-12-03 2018-12-03 独立連動冗長システム
US16/592,161 US11223517B2 (en) 2018-12-03 2019-10-03 Independent and interlocking redundancy system
EP19205387.4A EP3663923B1 (en) 2018-12-03 2019-10-25 Independent and interlocking redundancy system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018226190A JP7132837B2 (ja) 2018-12-03 2018-12-03 独立連動冗長システム

Publications (2)

Publication Number Publication Date
JP2020091508A JP2020091508A (ja) 2020-06-11
JP7132837B2 true JP7132837B2 (ja) 2022-09-07

Family

ID=68344758

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018226190A Active JP7132837B2 (ja) 2018-12-03 2018-12-03 独立連動冗長システム

Country Status (3)

Country Link
US (1) US11223517B2 (ja)
EP (1) EP3663923B1 (ja)
JP (1) JP7132837B2 (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000267874A (ja) 1999-01-11 2000-09-29 Koken:Kk フォールトトレラント計算機システム
JP2010196619A (ja) 2009-02-26 2010-09-09 Toyota Motor Corp 内燃機関の制御装置
JP2011185117A (ja) 2010-03-05 2011-09-22 Toyota Motor Corp 内燃機関制御装置
JP2012226409A (ja) 2011-04-15 2012-11-15 Toyota Motor Corp マルチコア・プロセッサ

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3890493A (en) 1974-03-21 1975-06-17 Bell Telephone Labor Inc Circuitry for detecting faults in duplicate controllers
FR2422196A1 (fr) 1978-04-04 1979-11-02 Bailey Controle Procede de commande du deroulement d'un processus industriel et systeme pour la mise en oeuvre de ce procede
JPH08255091A (ja) 1995-03-17 1996-10-01 Nec Corp マルチプロセッサシステムおよびプログラム検証方法
US6018570A (en) * 1997-05-12 2000-01-25 Nynex Science And Technology Inc. Methods and apparatus for regulating the remote ordering, authorization, access and control of services and service features associated with a terminal
DE69916990T2 (de) * 1999-01-11 2005-04-21 Koken Co Fehlertolerantes Rechnersystem
US6721882B1 (en) * 1999-08-30 2004-04-13 Lucent Technologies Inc. Method and apparatus for warm starting a system where the system includes region(s) of software code incapable of warm starting
JP3860587B2 (ja) 2004-05-17 2006-12-20 富士通株式会社 マルチプロセッサ装置
US7839222B2 (en) * 2008-07-22 2010-11-23 Ciena Corporation Systems and methods using programmable fixed frequency digitally controlled oscillators for multirate low jitter frequency synthesis
US8661290B2 (en) * 2011-01-14 2014-02-25 International Business Machines Corporation Saving power in computing systems with redundant service processors
JP6268071B2 (ja) * 2014-09-17 2018-01-24 日立オートモティブシステムズ株式会社 電子制御装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000267874A (ja) 1999-01-11 2000-09-29 Koken:Kk フォールトトレラント計算機システム
JP2010196619A (ja) 2009-02-26 2010-09-09 Toyota Motor Corp 内燃機関の制御装置
JP2011185117A (ja) 2010-03-05 2011-09-22 Toyota Motor Corp 内燃機関制御装置
JP2012226409A (ja) 2011-04-15 2012-11-15 Toyota Motor Corp マルチコア・プロセッサ

Also Published As

Publication number Publication date
EP3663923B1 (en) 2023-07-05
EP3663923A1 (en) 2020-06-10
US11223517B2 (en) 2022-01-11
JP2020091508A (ja) 2020-06-11
US20200177440A1 (en) 2020-06-04

Similar Documents

Publication Publication Date Title
EP1110148B1 (en) Fault tolerant computer system
JP3982353B2 (ja) フォルトトレラントコンピュータ装置、その再同期化方法及び再同期化プログラム
EP3285168B1 (en) Disaster tolerance method and apparatus in active-active cluster system
US9168995B2 (en) Flight control system using simplex computers and aircraft comprising same
JP6484330B2 (ja) 2路アーキテクチャ
CN101609421B (zh) 运算处理装置的多重控制系统及多重控制方法
US20160018793A1 (en) Control of aircraft systems with at least two remote data concentrators for control of an aircraft system component
US20170249214A1 (en) Fault-tolerant system architecture for the control of a physical system, in particular a machine or a motor vehicle
JP7023722B2 (ja) 二重化制御システム
JP7132837B2 (ja) 独立連動冗長システム
JP6937626B2 (ja) コントローラ装置、及び二重化システムの同期化方法
US7237152B2 (en) Fail-operational global time reference in a redundant synchronous data bus system
JP5613119B2 (ja) マスター/スレーブシステム、制御装置、マスター/スレーブ切替方法、および、マスター/スレーブ切替プログラム
US9003067B2 (en) Network and method for operating the network
JP5011655B2 (ja) サーバシステム
JP4442613B2 (ja) ユニット増設システム
JP5469637B2 (ja) 冗長構成をとるコントローラ
JP2016173636A (ja) ファームウェア更新方法および二重化システム
JP2007072980A (ja) 計算機制御システム
JPH0462081B2 (ja)
JP2013254333A (ja) 多重系制御システム及びその制御方法
JP2008225752A (ja) フォールトトレラントコンピュータ、フォールトトレラントコンピュータにおける同期制御方法
JP2004078425A (ja) 二重化制御システムの二重化切換方法
JP2010237989A (ja) Haクラスタシステムおよびそのクラスタリング方法
JP2003140707A (ja) プロセス制御装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210922

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220713

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220802

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220826

R150 Certificate of patent or registration of utility model

Ref document number: 7132837

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150