JPH0362229A - 照合2重化プログラム制御方式 - Google Patents
照合2重化プログラム制御方式Info
- Publication number
- JPH0362229A JPH0362229A JP1198406A JP19840689A JPH0362229A JP H0362229 A JPH0362229 A JP H0362229A JP 1198406 A JP1198406 A JP 1198406A JP 19840689 A JP19840689 A JP 19840689A JP H0362229 A JPH0362229 A JP H0362229A
- Authority
- JP
- Japan
- Prior art keywords
- program
- information
- output
- verification
- programs
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000007246 mechanism Effects 0.000 claims abstract description 16
- 230000006854 communication Effects 0.000 claims abstract description 12
- 238000012795 verification Methods 0.000 claims description 30
- 238000012545 processing Methods 0.000 claims description 20
- 238000000034 method Methods 0.000 claims description 18
- 230000005856 abnormality Effects 0.000 claims description 14
- 238000004891 communication Methods 0.000 claims description 11
- 230000005540 biological transmission Effects 0.000 claims description 2
- 238000012544 monitoring process Methods 0.000 claims 2
- 230000008569 process Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 230000002159 abnormal effect Effects 0.000 description 4
- 230000009977 dual effect Effects 0.000 description 3
- 230000004043 responsiveness Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 2
- 230000001052 transient effect Effects 0.000 description 2
- 206010000210 abortion Diseases 0.000 description 1
- 238000007664 blowing Methods 0.000 description 1
- 239000013256 coordination polymer Substances 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000001969 hypertrophic effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000003756 stirring Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Landscapes
- Safety Devices In Control Systems (AREA)
- Retry When Errors Occur (AREA)
- Hardware Redundancy (AREA)
Abstract
(57)【要約】本公報は電子出願前の出願データであるた
め要約のデータは記録されません。
め要約のデータは記録されません。
Description
【発明の詳細な説明】
〔発明の目的〕
(産業上の利用分野)
この発明は工業用プロセス制御等、f:頼性およびフェ
イルセーフ性が要求される計算機システムに係り、特に
、プログラムを2重化してノイズ″、午の一過性故障に
対しての異常出力を防止する照合2重化プログラム制御
方式に関するものである。
イルセーフ性が要求される計算機システムに係り、特に
、プログラムを2重化してノイズ″、午の一過性故障に
対しての異常出力を防止する照合2重化プログラム制御
方式に関するものである。
(従来の技術及び発明か解決しようとする課題)交通信
号制御等、誤出力が故障に繋がるようなフェイルセーフ
重視型システムにおいては、従来からハードウェアおよ
びソフトウェア両方での各種対策が講じられてきた。そ
の例として、第11図乃至第13図に示す2重系がある
。
号制御等、誤出力が故障に繋がるようなフェイルセーフ
重視型システムにおいては、従来からハードウェアおよ
びソフトウェア両方での各種対策が講じられてきた。そ
の例として、第11図乃至第13図に示す2重系がある
。
このうち、第11図に示したものは、人力装置10を介
してCPU20に信号を人力すると、プログラムA、
B、 Cが順に動作し、得られた信号が出力装置3
0を介して出力される系統が2重化されており、これら
2つの系統に対してCPU20を同期させるための同期
クロック40、および、2つの系統の出力を照合する照
合回路50を備えている。なお、各系統の要素は内部バ
ス60で接続されている。また、照合回路50としては
、不一致を検出したとき不一致アラーム70を出力する
ものが用いられる。この2重化方式は完全2蚤系または
AA’プログラム方式と呼ばれる。
してCPU20に信号を人力すると、プログラムA、
B、 Cが順に動作し、得られた信号が出力装置3
0を介して出力される系統が2重化されており、これら
2つの系統に対してCPU20を同期させるための同期
クロック40、および、2つの系統の出力を照合する照
合回路50を備えている。なお、各系統の要素は内部バ
ス60で接続されている。また、照合回路50としては
、不一致を検出したとき不一致アラーム70を出力する
ものが用いられる。この2重化方式は完全2蚤系または
AA’プログラム方式と呼ばれる。
また、第12図に示したものは、単一の人力装置10を
介して得られた信号を2つのCP U 20に同時に人
力し、それぞれプログラムA、B、Cを順に動作させ、
このうちの一方のCPU20の出力を出力装置30を介
して出力すると共に、各CPU20の出力を照合回路5
0で照合して、不一致を検出したとき不一致アラーム7
0を出力するようになっている。なお、この場合も、2
つのCPUを同期させる同期クロック40を備えている
。この2重化方式はCPUバス照合系と呼ばれたり、上
述したと同様にAA’プログラム方式とも呼ばれたりし
ている。
介して得られた信号を2つのCP U 20に同時に人
力し、それぞれプログラムA、B、Cを順に動作させ、
このうちの一方のCPU20の出力を出力装置30を介
して出力すると共に、各CPU20の出力を照合回路5
0で照合して、不一致を検出したとき不一致アラーム7
0を出力するようになっている。なお、この場合も、2
つのCPUを同期させる同期クロック40を備えている
。この2重化方式はCPUバス照合系と呼ばれたり、上
述したと同様にAA’プログラム方式とも呼ばれたりし
ている。
さらにまた、第13図に示したものは、人力装置10を
介して入力した信号をCPU20に入力してプログラム
A、 B、 Cを順に実行せしめ、このCPU20
で得られた信号を出力装置30を介して出力する一つの
系統と、入力信号を反転ゲート80で反転した信号を、
入力装置10を介してCPU20に加え、逆論理で組上
げられたプログラムA、8.Cを順に実行せしめ、得ら
れた信号が出力装置30を介して出力されるもう一つの
系統とを備え、各系統の出力装置30の出力をタイミン
グ調整回路90に加えて、タイミングのずれを調整して
出力する構成になっている。この2重化方式はAAプロ
グラム方式と呼ばれ、このうち、逆論理のプログラム六
、百、ごの代わりに別個のプログラムを用いたとすると
、これがABプログラム方式と呼ばれている。
介して入力した信号をCPU20に入力してプログラム
A、 B、 Cを順に実行せしめ、このCPU20
で得られた信号を出力装置30を介して出力する一つの
系統と、入力信号を反転ゲート80で反転した信号を、
入力装置10を介してCPU20に加え、逆論理で組上
げられたプログラムA、8.Cを順に実行せしめ、得ら
れた信号が出力装置30を介して出力されるもう一つの
系統とを備え、各系統の出力装置30の出力をタイミン
グ調整回路90に加えて、タイミングのずれを調整して
出力する構成になっている。この2重化方式はAAプロ
グラム方式と呼ばれ、このうち、逆論理のプログラム六
、百、ごの代わりに別個のプログラムを用いたとすると
、これがABプログラム方式と呼ばれている。
上述した3つの方式はいずれもCPUの処理結果を外部
から観測し、その妥当性を照合チエツクするものであり
、次のような問題点があった。
から観測し、その妥当性を照合チエツクするものであり
、次のような問題点があった。
第11図、第12図に示したAA′プログラム方式は、
照合の負担をハードウェアに持たせているので、同期ク
ロック40、照合回路50等の特殊なノードのハードウ
ェアが必要となる。また、全プログラムを同期走行させ
るべく、クロックの速度を落として十分なマージンをと
る必要があるため、負荷の増大に対応しようとしてもC
PUの構成、拡充性に大幅の制約を受けることになる。
照合の負担をハードウェアに持たせているので、同期ク
ロック40、照合回路50等の特殊なノードのハードウ
ェアが必要となる。また、全プログラムを同期走行させ
るべく、クロックの速度を落として十分なマージンをと
る必要があるため、負荷の増大に対応しようとしてもC
PUの構成、拡充性に大幅の制約を受けることになる。
また、また第13図に示したA尺プログラム方式やAB
プログラム方式にあっては、照合の負担を全面的にアプ
リケーションソフトウェアに負わせるもので、プログラ
ム作成の手間は2倍になる他、出力タイミングが合わな
いために、タイミング調整回路で待合わせ一致照合を行
うという特別な処理を必要とした。
プログラム方式にあっては、照合の負担を全面的にアプ
リケーションソフトウェアに負わせるもので、プログラ
ム作成の手間は2倍になる他、出力タイミングが合わな
いために、タイミング調整回路で待合わせ一致照合を行
うという特別な処理を必要とした。
一方、負荷分担を行うマルチCPUシステムも提案され
ているが、いずれも第14図に示す構成になっている。
ているが、いずれも第14図に示す構成になっている。
すなわち、入力装置10SCPU20および出力装置3
0でなる系統に、もう一つのCPUを付加したもので、
プログラムA、 B。
0でなる系統に、もう一つのCPUを付加したもので、
プログラムA、 B。
Cを、固定プログラムA、 Cと可変配置可能なプロ
グラムBとに分け、負荷量に応じてプログラムBを分散
配置する形式のものである。
グラムBとに分け、負荷量に応じてプログラムBを分散
配置する形式のものである。
しかし、この方法ではプログラムA−48−Cの情報ル
ートは!IX−であり、この部分の13頼性の確保、フ
ェイルセーフ性の確保に問題が残り、しかも、処理プロ
グラム自体も2重になっていなかった。
ートは!IX−であり、この部分の13頼性の確保、フ
ェイルセーフ性の確保に問題が残り、しかも、処理プロ
グラム自体も2重になっていなかった。
この欠点を解決するために、第15図に示す2重化プロ
グラム方式も考えられる。これは、入力装置10、CP
U20、出力装置30でなる系統を2個備え、両出力を
タイミング5!整回路90で照合して出力するものであ
る。この煽略動作を第16図を参照して説明する。
グラム方式も考えられる。これは、入力装置10、CP
U20、出力装置30でなる系統を2個備え、両出力を
タイミング5!整回路90で照合して出力するものであ
る。この煽略動作を第16図を参照して説明する。
ここで、A 、A B 、B 、C、Cは各
々同一のオリジナルプログラムA、B、Cから複製され
たクローンプログラムで、同一人力で同一出力が得られ
るものである。いま、プログラムB”、B−を中心に考
えると、前段のプログラムA、A は同一の人力によ
り起動され、プログラムA は情報ab、ab を出
力し、プログラムA−は情報a−b”、a−b−を出力
する。これら□の情報はOS (OPERATING
5YSTI’:M)内の回報メツセージ処理機構にてプ
ログラムB+B−に渡される。また、プログラムB”
B−はこれらの情報を処理して、情報b+c+、b+
C−と、情報b−c”、b−c−を出力すると、これら
の情報が同様にしてプログラムC+Cに渡される。
々同一のオリジナルプログラムA、B、Cから複製され
たクローンプログラムで、同一人力で同一出力が得られ
るものである。いま、プログラムB”、B−を中心に考
えると、前段のプログラムA、A は同一の人力によ
り起動され、プログラムA は情報ab、ab を出
力し、プログラムA−は情報a−b”、a−b−を出力
する。これら□の情報はOS (OPERATING
5YSTI’:M)内の回報メツセージ処理機構にてプ
ログラムB+B−に渡される。また、プログラムB”
B−はこれらの情報を処理して、情報b+c+、b+
C−と、情報b−c”、b−c−を出力すると、これら
の情報が同様にしてプログラムC+Cに渡される。
この場合、システムが正常であれば、これらの情報ab
、ab、ab ab は全く同一である。そして
、受信側プログラムB+は情報ab、ab を受取り
、受信側プログラムB は情報ab、ab を受取る
が、送信側のプログラムA、A の走行状態に多少の
ずれがあるため、時間的にずれた情報を受1:する。し
たがって、プログラムB+に着目すれば、情報ab、a
b の処理に当たってはこれらの情報の待合わせ照合
または先着優先、および着順制all(不一致の場合の
優先情報を決定するための基準設定手法)等を行う必要
があった。
、ab、ab ab は全く同一である。そして
、受信側プログラムB+は情報ab、ab を受取り
、受信側プログラムB は情報ab、ab を受取る
が、送信側のプログラムA、A の走行状態に多少の
ずれがあるため、時間的にずれた情報を受1:する。し
たがって、プログラムB+に着目すれば、情報ab、a
b の処理に当たってはこれらの情報の待合わせ照合
または先着優先、および着順制all(不一致の場合の
優先情報を決定するための基準設定手法)等を行う必要
があった。
かかる2ffl化プログラム方式によれば、情報ルート
の2fff化およびフェイルセーフ性は確保されるが、
上記時間的ずれに対する処理と同報at=が必ず重なる
ため、系全体の応答遅れが発生した。
の2fff化およびフェイルセーフ性は確保されるが、
上記時間的ずれに対する処理と同報at=が必ず重なる
ため、系全体の応答遅れが発生した。
この発明は上記の問題点を解決するためになされたもの
で、照合に対するアプリケーションおよびハードウェア
の負担を増大させることなく、フェイルセーフ性および
良好な応答特性を確保することのできる照合2重化プロ
グラム制御方式を得ることを目的とする。
で、照合に対するアプリケーションおよびハードウェア
の負担を増大させることなく、フェイルセーフ性および
良好な応答特性を確保することのできる照合2重化プロ
グラム制御方式を得ることを目的とする。
(課題を解決するための手段)
この発明は、オリジナルプログラムから複数のクローン
プログラムを生成する機構と、これらのクローンプログ
ラムを同時走行させる機構と、次プログラムに情報を渡
す同報通信機構とを備え、前記クローンプログラムは主
体的に次プログラムに情報を渡す主プログラムと、正常
時は次プログラムに情報を渡さないで、前記主プログラ
ムの出力情報を監視する副プログラムとでなり、前記主
プログラムは出力情報を次プログラムと副プログラムと
に同報通信で渡し、前記副プログラムは主プログラムの
出力情報と前段プログラムの出力情報を処理して得られ
、た結果情報とを照合し、これらの情報が不一致のとき
最終段出力の中止、取消し、代替出力等の異常時処理を
行うことを特徴とするものである。
プログラムを生成する機構と、これらのクローンプログ
ラムを同時走行させる機構と、次プログラムに情報を渡
す同報通信機構とを備え、前記クローンプログラムは主
体的に次プログラムに情報を渡す主プログラムと、正常
時は次プログラムに情報を渡さないで、前記主プログラ
ムの出力情報を監視する副プログラムとでなり、前記主
プログラムは出力情報を次プログラムと副プログラムと
に同報通信で渡し、前記副プログラムは主プログラムの
出力情報と前段プログラムの出力情報を処理して得られ
、た結果情報とを照合し、これらの情報が不一致のとき
最終段出力の中止、取消し、代替出力等の異常時処理を
行うことを特徴とするものである。
(作 用)
この発明においては、オペレーテングシステムに、オリ
ジナルプログラムからクローンプログラムを生成する機
構、および、メツセージメールをマルチキャスト同報通
信処理する機構を備えているので、ハードウェアおよび
アプリケーションに高度の負担をさせることなく、2重
化プログラムマルチシステムを構成することができる。
ジナルプログラムからクローンプログラムを生成する機
構、および、メツセージメールをマルチキャスト同報通
信処理する機構を備えているので、ハードウェアおよび
アプリケーションに高度の負担をさせることなく、2重
化プログラムマルチシステムを構成することができる。
また、この発明においては、CPU単位ではなく、プロ
グラム単位で2重化されているので、特に一過性の局所
異常に対してCPU仝体を停止させることなく処理でき
ると同時に、2重化プログラム方式に特有の情報の同期
、待合わせ処理が簡単で、応答性の良好なシステムが得
られる。
グラム単位で2重化されているので、特に一過性の局所
異常に対してCPU仝体を停止させることなく処理でき
ると同時に、2重化プログラム方式に特有の情報の同期
、待合わせ処理が簡単で、応答性の良好なシステムが得
られる。
(実施例)
以下、本発明を実施例について説明する。
先ず、本発明を実現する最小のハードウェア構成として
第1図に示したものが考えられる。これは、入力装置1
0、CPU20および出力装置30でなる系統と、入力
装置10およびCPU20でなるもう一つの系統とでな
り、促来の装置で用いられた、同期クロックおよび照合
回路を除去した構成になっている。
第1図に示したものが考えられる。これは、入力装置1
0、CPU20および出力装置30でなる系統と、入力
装置10およびCPU20でなるもう一つの系統とでな
り、促来の装置で用いられた、同期クロックおよび照合
回路を除去した構成になっている。
この2ifi化プログラム処理の内部処理機構を示すと
第2図のようになる。これを第16図と比較すると、正
プログラムA 、B 、C間の情報送信にあたり、
副プログラム、A”−B−、Cに対して各々結果照合用
の情報aa、bb cc を送信するようにした
点、副プログラム、A″″、B″″、C−は結果の照合
はするが常時は下位プログラムに対して送信しない点、
副プログラムA″″、B−,C−が照合結果a−m。
第2図のようになる。これを第16図と比較すると、正
プログラムA 、B 、C間の情報送信にあたり、
副プログラム、A”−B−、Cに対して各々結果照合用
の情報aa、bb cc を送信するようにした
点、副プログラム、A″″、B″″、C−は結果の照合
はするが常時は下位プログラムに対して送信しない点、
副プログラムA″″、B−,C−が照合結果a−m。
b m、 c mをシステムモニタプログラムM
に渡すと、このシステムモニタプログラムMの判断で出
力のカットを行うモニタ判断出力mを送出する点が異な
っている。
に渡すと、このシステムモニタプログラムMの判断で出
力のカットを行うモニタ判断出力mを送出する点が異な
っている。
この2重化プログラム処理をステップに分けて説明する
。
。
一ステップ10〇−
プログラムA は回報通信機構を通して次のプログラム
B、B に情報ab、ab を、プログラムA と
同じ処理をするプログラムAに照合結実用の情報a”a
−を渡す。
B、B に情報ab、ab を、プログラムA と
同じ処理をするプログラムAに照合結実用の情報a”a
−を渡す。
−ステップ200−
プログラムB はプログラムA の情報a+b+に従っ
て処理し、次プログラムC、Cに渡す情報b c
、b c を生成すると共に、プログラムB に渡
す照合用の情報bb を生成する。プログラムB は
プログラムA の情報a”b−に従って情報b−cを生
成する。
て処理し、次プログラムC、Cに渡す情報b c
、b c を生成すると共に、プログラムB に渡
す照合用の情報bb を生成する。プログラムB は
プログラムA の情報a”b−に従って情報b−cを生
成する。
−ステップ30〇−
プログラムB+は生成した情報bc をプログラムC
+に、b c をプログラムCに、b”b−をプログラ
ムB−に同報通信で送出する。
+に、b c をプログラムCに、b”b−をプログラ
ムB−に同報通信で送出する。
−ステップ40〇−
プログラムC+はプログラムB+の情報b+Cに従って
処理し、次プログラムに渡す情報を生成すると共に、プ
ログラムC−に渡す照合用の情報CCを生成する。プロ
グラムC−はプログラムB の情報bc に従って情
報を生成する。
処理し、次プログラムに渡す情報を生成すると共に、プ
ログラムC−に渡す照合用の情報CCを生成する。プロ
グラムC−はプログラムB の情報bc に従って情
報を生成する。
−ステップ50〇−
プログラムB は自己の出力情報bcと、プログラムB
出力情報bb とを照合する。肥常状態にあっては
、プログラムB”、B−の入力情報a4″b”、a”b
は回報された情報であり、プログラムB”、B−の
出力b” b−b−cは同一となるはずである。
出力情報bb とを照合する。肥常状態にあっては
、プログラムB”、B−の入力情報a4″b”、a”b
は回報された情報であり、プログラムB”、B−の
出力b” b−b−cは同一となるはずである。
一ステップ60〇−
プログラムB はシステムモニタプログラムMに対して
正常処理の報告bmをして処理を終了する。
正常処理の報告bmをして処理を終了する。
次に、異常時の処理について説明する。
(a)照合結果不一致の場合
一ステップ51〇−
ハードウェアの一過性異常等により、上記ステップ50
0の処理で、プログラムB の出力情報b”b−と、プ
ログラムB−の出力情報b−cとが不一致の場合、第3
図に示すように、プログラムB はプログラムC、Cに
対しては特別な処理を行わずに、システムモニタプログ
ラムMに異常告知情報bmを送出する。
0の処理で、プログラムB の出力情報b”b−と、プ
ログラムB−の出力情報b−cとが不一致の場合、第3
図に示すように、プログラムB はプログラムC、Cに
対しては特別な処理を行わずに、システムモニタプログ
ラムMに異常告知情報bmを送出する。
−ステップ511−
システムモニタプログラムMはプログラムBより異常告
知情報bmを受け、システムの関連出力のロック/リセ
ット要求mを送出する。
知情報bmを受け、システムの関連出力のロック/リセ
ット要求mを送出する。
この時点ではプログラムC+からの出力が完rしている
可能性はあるが、間をおかずロック/リセット要求mを
送出することにより、下位出力処理サブシステムで異常
出力に対処する。
可能性はあるが、間をおかずロック/リセット要求mを
送出することにより、下位出力処理サブシステムで異常
出力に対処する。
(b)正プログラムが応答しない場合
−ステップ32〇−
第4図に示すように、プログラムA からプログラムB
+への通信異常、または、プログラムB の異常により
、上記ステップ300の処理でプログラムB が情報を
出力できないとする。このときプログラムB−は通常の
受信処理してその出力に対する照合を待っているが、プ
ログラムB から照合情報bb が出力されない。
+への通信異常、または、プログラムB の異常により
、上記ステップ300の処理でプログラムB が情報を
出力できないとする。このときプログラムB−は通常の
受信処理してその出力に対する照合を待っているが、プ
ログラムB から照合情報bb が出力されない。
−ステップ321−
この場合、プログラムB には出力照合待ちタイマを用
意し、一定時間内に照合情報bb がニないとき、プ
ログラムB の代替としてプログラムc”、c−に対し
て代替出力b−c”、bC−を送出する。この代替出力
b−c”、bC−情報には、代替出力であることを指示
するコードを付加しておき、万一、タイムアウトと、プ
ログラムB の遅れた情報とが重なっても、プログラム
C、Cでは2m処理をしないようにして処理する。
意し、一定時間内に照合情報bb がニないとき、プ
ログラムB の代替としてプログラムc”、c−に対し
て代替出力b−c”、bC−を送出する。この代替出力
b−c”、bC−情報には、代替出力であることを指示
するコードを付加しておき、万一、タイムアウトと、プ
ログラムB の遅れた情報とが重なっても、プログラム
C、Cでは2m処理をしないようにして処理する。
一ステップ322−
さらに、システムモニタプログラムMに対して代替出力
実行の報告bmを送出する。
実行の報告bmを送出する。
(c)照合不可の場合
−ステップ33〇−
前述したとは逆に、プログラムB−がプログラムA の
情報ab を受取ることが出来ない場合を考える。こ
のとき、プログラムB″″は、第5図に示すように、プ
ログラムB+の照合情報b+b を受信するのみである
から、この照合情報bb を受信した後のタイマアボ
ートでプログラムA+からの情報ab の途絶を認知
する。
情報ab を受取ることが出来ない場合を考える。こ
のとき、プログラムB″″は、第5図に示すように、プ
ログラムB+の照合情報b+b を受信するのみである
から、この照合情報bb を受信した後のタイマアボ
ートでプログラムA+からの情報ab の途絶を認知
する。
−ステップ331−
そこで、プログラムB は、システムモニタプログラム
Mに対して異常通報bmを送出する。
Mに対して異常通報bmを送出する。
(d)システムモニタプログラムMへの告知不+1Jの
場合 一ステップ34〇− プログラムB の照合結果b″″mが、システムモニタ
プログラムMにて受信できない場合、または、プログラ
ムB−の異常で異常情報b−mを出力できない場合を考
える。
場合 一ステップ34〇− プログラムB の照合結果b″″mが、システムモニタ
プログラムMにて受信できない場合、または、プログラ
ムB−の異常で異常情報b−mを出力できない場合を考
える。
一ステップ341−
この場合、システムモニタプログラムMは、第6図に示
すように、前段のプログラムA″″よりの告知情報a
mlおよび、後段のプログ−ラムCの告知cmを受信す
ることになり、各告知情報に下位ルートA→B−Cの情
報を加えておくことにより、プログラムB−からの情報
欠落を知ることができる。
すように、前段のプログラムA″″よりの告知情報a
mlおよび、後段のプログ−ラムCの告知cmを受信す
ることになり、各告知情報に下位ルートA→B−Cの情
報を加えておくことにより、プログラムB−からの情報
欠落を知ることができる。
一ステップ35〇−
上記ステップ341の代替手段として、各々の正プログ
ラムABCがシステムモニタ プログラムMへも吹出力情報bmを(61報することも
できる。
ラムABCがシステムモニタ プログラムMへも吹出力情報bmを(61報することも
できる。
一ステップ351−
システムモニタプログラムMは、第7図に示すように、
プログ、ラムB の同報出力bmを受1.;し、定時間
タイマを動作させ、プログラムB−の告知情報bmを待
って、こなければプログラムBの異常と判定する。
プログ、ラムB の同報出力bmを受1.;し、定時間
タイマを動作させ、プログラムB−の告知情報bmを待
って、こなければプログラムBの異常と判定する。
上記実施例は、2台のCPUでシステム構成した場合を
示したが、この代わりに第8図に示すように、3台のC
PU21.22.23を用いてシステム構成することも
できる。この場合、プログラムは各CPUの負荷が分担
され、かつ、同一のCPtJに同じプログラムが入らな
いように分散配置する必要がある。この例では、CPU
21にプログラムACが、CPU22にプログラムAB
が、CPU23にプログラムBC+がそれぞれ配置
されている。
示したが、この代わりに第8図に示すように、3台のC
PU21.22.23を用いてシステム構成することも
できる。この場合、プログラムは各CPUの負荷が分担
され、かつ、同一のCPtJに同じプログラムが入らな
いように分散配置する必要がある。この例では、CPU
21にプログラムACが、CPU22にプログラムAB
が、CPU23にプログラムBC+がそれぞれ配置
されている。
かかるシステム構成にて、CPO23が異常停電した場
合には、第9図に示すように、プログラムBCは停止す
るが、情報およびプログラムは各々2重化されているの
で、制御出力は代替プログラムC−によって確保される
。なお、システム伴出に至ったCPU23上のプログラ
ムBC+の代わりに、プログラムB+のコピープログラ
ムB がCPU21に、プログラムCのコピープログラ
ムCがCPU22に再構成され、CPU21.22にて
システムが復元される。、かかる構成によれば、第16
図に示したシステムと比較したとき、プログラムA”A
−、B”B、CC間の通信量は十分となり、応答性の向
上が図られる。すなわち、プログラムA+の出力は同報
出力であり、情報a” b” a” baa は同
一情報をマルチキャストで送信するため、1回の送信で
済む。また、情報の発信源は常に1つであり、このため
、下位プログラムにおける情報受信待合わせが不要にな
り、しかも、先頭入力のタイミング差による情報の相違
のおそれもなくなる。
合には、第9図に示すように、プログラムBCは停止す
るが、情報およびプログラムは各々2重化されているの
で、制御出力は代替プログラムC−によって確保される
。なお、システム伴出に至ったCPU23上のプログラ
ムBC+の代わりに、プログラムB+のコピープログラ
ムB がCPU21に、プログラムCのコピープログラ
ムCがCPU22に再構成され、CPU21.22にて
システムが復元される。、かかる構成によれば、第16
図に示したシステムと比較したとき、プログラムA”A
−、B”B、CC間の通信量は十分となり、応答性の向
上が図られる。すなわち、プログラムA+の出力は同報
出力であり、情報a” b” a” baa は同
一情報をマルチキャストで送信するため、1回の送信で
済む。また、情報の発信源は常に1つであり、このため
、下位プログラムにおける情報受信待合わせが不要にな
り、しかも、先頭入力のタイミング差による情報の相違
のおそれもなくなる。
なお、この機構を利用すれば、2アウトオブ3の変形処
理も可能である。その例を第1U図に示す。
理も可能である。その例を第1U図に示す。
同図において、3台のCPU21,22.23に各々プ
ログラムA、B、CのクローンプログラムA、・ Bl
・ CI−A 2・ B2・ C2・A3・B a 、
Caが配置され、プログラムB、の照合出力情報をプロ
グラムB2.B3が受取って照合する。システムモニタ
プログラムMはプログラムB2.B3の照合結果を受信
し、プログラムB2゜B3のいずれかが照合良好と判断
することによって、出力の承認を行う。
ログラムA、B、CのクローンプログラムA、・ Bl
・ CI−A 2・ B2・ C2・A3・B a 、
Caが配置され、プログラムB、の照合出力情報をプロ
グラムB2.B3が受取って照合する。システムモニタ
プログラムMはプログラムB2.B3の照合結果を受信
し、プログラムB2゜B3のいずれかが照合良好と判断
することによって、出力の承認を行う。
この場合、プログラムB1が不IE出力したとすると、
フェイルセーフ的に出力される方向であり、完全な2ア
ウトオブ3ではない。
フェイルセーフ的に出力される方向であり、完全な2ア
ウトオブ3ではない。
しかし、プログラムB2.B3の異常告知でシステムモ
ニタプログラムMがプログラムB2゜B3の出力をも参
照して一致照合し、プログラムB2.B3のいずれかに
代替出力要求を出し、プログラムB1を停止させるよう
にすれば、2アウトオブ3の構成も可能である。
ニタプログラムMがプログラムB2゜B3の出力をも参
照して一致照合し、プログラムB2.B3のいずれかに
代替出力要求を出し、プログラムB1を停止させるよう
にすれば、2アウトオブ3の構成も可能である。
なお、上記実施例における同報伝送系として、イサーネ
ット等の高速LANを利用すれば、CPU相互間の通信
遅れによる影響は実質的に無視することができる。
ット等の高速LANを利用すれば、CPU相互間の通信
遅れによる影響は実質的に無視することができる。
なおまた、上記実施例ではプログラムとしたが、データ
とプログラムとを一体と見做したオブジェクト概念で本
システムを構成するとより容易に組上げることができる
。
とプログラムとを一体と見做したオブジェクト概念で本
システムを構成するとより容易に組上げることができる
。
また、上記実施例では副プログラムが結果照合をするよ
うに説明したが、例えば、副プログラムB−が結果照合
をせず、主プログラムは次プログラムC、Cの情報伝達
と同報でシステムモニタプログラムMにも結果情報を送
出し、プログラムB はシステムモニタプログラムMに
対してのみ結果情報を送出し、システムモニタプログラ
ムMがプログラムB、B 両プログラムの結果の一致
照合をする方式としても良い。
うに説明したが、例えば、副プログラムB−が結果照合
をせず、主プログラムは次プログラムC、Cの情報伝達
と同報でシステムモニタプログラムMにも結果情報を送
出し、プログラムB はシステムモニタプログラムMに
対してのみ結果情報を送出し、システムモニタプログラ
ムMがプログラムB、B 両プログラムの結果の一致
照合をする方式としても良い。
以上の説明によって明らかなように、この発明によれば
、オペレーテングシステムに、オリジナルプログラムか
らクローンプログラムを構成する機構、および、′メツ
セージメールをマルチキャスト同報通信処理する機構を
備えているので、ハードウェア、アプリケーションに高
度の負担をさせることなく、2重化プログラムマルチシ
ステムを構成することができる。
、オペレーテングシステムに、オリジナルプログラムか
らクローンプログラムを構成する機構、および、′メツ
セージメールをマルチキャスト同報通信処理する機構を
備えているので、ハードウェア、アプリケーションに高
度の負担をさせることなく、2重化プログラムマルチシ
ステムを構成することができる。
また、2重化プログラム方式にct6°の情報の開切、
待合わせ処理が簡l11−で、応答性の良好なシステム
を作ることができる。
待合わせ処理が簡l11−で、応答性の良好なシステム
を作ることができる。
さらに、この発明においては、CP U (li−位で
はなく、プログラム単位で2重化されているため、。
はなく、プログラム単位で2重化されているため、。
特に一過性の局所異常に対してCPU全体を停止させる
ことなく、処理でき、かつ、被害を局所にとどめること
ができ、原因発生箇所の検出も容易になる。
ことなく、処理でき、かつ、被害を局所にとどめること
ができ、原因発生箇所の検出も容易になる。
また、2@化プログラムであり、常に照合、代替出力が
並行動作するので、システムの5′コ常代替出力の切替
えが円滑に行われ、叉常切離し、および、代替システム
編入時でも円滑な移行ができる。
並行動作するので、システムの5′コ常代替出力の切替
えが円滑に行われ、叉常切離し、および、代替システム
編入時でも円滑な移行ができる。
第1図は本発明の一実施例のシステム構成図、第2図は
同システムの内部構成を示す図、第3図乃至第7図は同
システムで想定されるI\ザードとその処理を説明する
ための説明図、第8図は本発明の他の実施例のシステム
構成図、第9図は同大施例のプログラム再構成を示した
図、第10−は本発明のもう一つ他の実施例のシステム
昏ト1成図、第11図乃至第15囚はそれぞれ従来の照
合2虫化プログラム制8Ji式を採用したシステム構成
図、第16図は同制御方式の11荷分担を説明するため
の説明図である。 10・・・人力装置、 20・・・CPU。 30・・・出力袋 置。
同システムの内部構成を示す図、第3図乃至第7図は同
システムで想定されるI\ザードとその処理を説明する
ための説明図、第8図は本発明の他の実施例のシステム
構成図、第9図は同大施例のプログラム再構成を示した
図、第10−は本発明のもう一つ他の実施例のシステム
昏ト1成図、第11図乃至第15囚はそれぞれ従来の照
合2虫化プログラム制8Ji式を採用したシステム構成
図、第16図は同制御方式の11荷分担を説明するため
の説明図である。 10・・・人力装置、 20・・・CPU。 30・・・出力袋 置。
Claims (1)
- 【特許請求の範囲】 1、オリジナルプログラムから複数のクローンプログラ
ムを生成する機構と、これらのクローンプログラムを同
時走行させる機構と、次プログラムに情報を渡す同報通
信機構とを備え、前記クローンプログラムは主体的に次
プログラムに情報を渡す主プログラムと、正常時は次プ
ログラムに情報を渡さないで、前記主プログラムの出力
情報を監視する副プログラムとでなり、前記主プログラ
ムは出力情報を次プログラムと副プログラムとに同報通
信で渡し、前記副プログラムは主プログラムの出力情報
と前段プログラムの出力情報を処理して得られた結果情
報とを照合し、これらの情報が不一致のとき最終段出力
の中止、取消し、代替出力等の異常時処理を行うことを
特徴とする照合2重化プログラム制御方式。2、前記副
プログラム側に、前記主プログラムの照合出力監視タイ
マを設け、このタイマのタイムアップ時に前記副プログ
ラムが代替出力を次プログラムに送出することを特徴と
する請求項1記載の照合2重化プログラム制御方式。 3、前記照合結果が不一致のとき、もしくは、前記照合
出力監視タイマのタイムアップ時に、最終出力段に出力
の中止、取消し、または、取消し要求を行うシステムモ
ニタプログラムを備えたことを特徴とする請求項2記載
の照合2重化プログラム制御方式。 4、前記主プログラムが前記システムモニタプログラム
にも同報通信し、かつ、前記副プログラムの照合結果の
報告と突き合わせて情報の伝達の確認をすることを特徴
とする請求項3に記載の照合2重化プログラム制御方式
。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP1198406A JP2577474B2 (ja) | 1989-07-31 | 1989-07-31 | 照合2重化プログラム制御方式 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP1198406A JP2577474B2 (ja) | 1989-07-31 | 1989-07-31 | 照合2重化プログラム制御方式 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH0362229A true JPH0362229A (ja) | 1991-03-18 |
| JP2577474B2 JP2577474B2 (ja) | 1997-01-29 |
Family
ID=16390598
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP1198406A Expired - Fee Related JP2577474B2 (ja) | 1989-07-31 | 1989-07-31 | 照合2重化プログラム制御方式 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2577474B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020160720A (ja) * | 2019-03-26 | 2020-10-01 | 株式会社エヌエスアイテクス | 故障検出装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS5812062A (ja) * | 1981-07-15 | 1983-01-24 | Mitsubishi Electric Corp | 並列電子計算機システムの出力装置 |
| JPS59132058A (ja) * | 1983-01-17 | 1984-07-30 | Japanese National Railways<Jnr> | 二重系処理装置の相互比較故障検出方法 |
| JPS60198645A (ja) * | 1984-03-22 | 1985-10-08 | Fujitsu Ltd | デ−タ処理システム |
| JPS6118047A (ja) * | 1984-07-04 | 1986-01-25 | Hitachi Ltd | プログラムの冗長実行方式 |
| JPS62174837A (ja) * | 1986-01-29 | 1987-07-31 | Hitachi Ltd | ソフトウエア二重化方式 |
| JPS62200430A (ja) * | 1986-02-28 | 1987-09-04 | Nec Corp | システム制御方式 |
| JPS62293441A (ja) * | 1986-06-12 | 1987-12-21 | Nec Corp | デ−タ出力方式 |
-
1989
- 1989-07-31 JP JP1198406A patent/JP2577474B2/ja not_active Expired - Fee Related
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS5812062A (ja) * | 1981-07-15 | 1983-01-24 | Mitsubishi Electric Corp | 並列電子計算機システムの出力装置 |
| JPS59132058A (ja) * | 1983-01-17 | 1984-07-30 | Japanese National Railways<Jnr> | 二重系処理装置の相互比較故障検出方法 |
| JPS60198645A (ja) * | 1984-03-22 | 1985-10-08 | Fujitsu Ltd | デ−タ処理システム |
| JPS6118047A (ja) * | 1984-07-04 | 1986-01-25 | Hitachi Ltd | プログラムの冗長実行方式 |
| JPS62174837A (ja) * | 1986-01-29 | 1987-07-31 | Hitachi Ltd | ソフトウエア二重化方式 |
| JPS62200430A (ja) * | 1986-02-28 | 1987-09-04 | Nec Corp | システム制御方式 |
| JPS62293441A (ja) * | 1986-06-12 | 1987-12-21 | Nec Corp | デ−タ出力方式 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020160720A (ja) * | 2019-03-26 | 2020-10-01 | 株式会社エヌエスアイテクス | 故障検出装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2577474B2 (ja) | 1997-01-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7023870B2 (en) | Method for operating a distributed computer system | |
| Powell | Distributed fault tolerance: Lessons from delta-4 | |
| US7467322B2 (en) | Failover method in a cluster computer system | |
| CN109634171B (zh) | 双核双锁步二取二架构及其安全平台 | |
| JPS58221453A (ja) | 多重系情報処理装置 | |
| JP2000510976A (ja) | 相互接続システムの相い異なるコンピュータ上のプログラムを同期化するための方法 | |
| Kopetz et al. | Tolerating arbitrary node failures in the time-triggered architecture | |
| JPH0362229A (ja) | 照合2重化プログラム制御方式 | |
| JP7512529B2 (ja) | データ処理のためのデータ処理ネットワーク | |
| Wirthumer | VOTRICS—Fault Tolerance Realized in Software | |
| JP3061998B2 (ja) | コンピュータのフォールト・トレラント方式 | |
| JP2885800B2 (ja) | 二重系処理装置 | |
| JP2793115B2 (ja) | フェール・セーフプロセッサを用いたデータ転送システム | |
| KR100198416B1 (ko) | 이중화 제어시스템에서의 동기제어를 위한 동기신호 감시회로 | |
| JPH0755179Y2 (ja) | 並列多重電子連動装置 | |
| JP6653250B2 (ja) | 計算機システム | |
| JPS5931738B2 (ja) | 計算機システムの並列三重系構成方法 | |
| WO2024179427A1 (zh) | 一种双az集群下的容灾方法及相关设备 | |
| Traverse et al. | A Process Toward Total Dependability-Airbus Fly-by-Wire Paradigm. | |
| Wirthumer et al. | Fault Tolerance for Railway Signalling Votrics in Practice | |
| JPH09179836A (ja) | 多重化計算機およびその障害検出処理方法 | |
| JP3015537B2 (ja) | 電子計算機の二重化方式 | |
| JPH08190494A (ja) | 二重化処理装置を有する高信頼化コンピュータ | |
| JP2000155698A (ja) | コンピュ―タのフォ―ルト・トレラント方式 | |
| JPH079465Y2 (ja) | Lan用インターフェース |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| LAPS | Cancellation because of no payment of annual fees |