WO1999065754A1

WO1999065754A1 - Processeur multisysteme, controleur connecte a un processeur multisysteme et systeme de traitement multisysteme

Info

Publication number: WO1999065754A1
Application number: PCT/JP1999/003235
Authority: WO
Inventors: Atsushi Kawabata; Michio Fujiwara; Hiroyasu Sato; Dai Watanabe; Kenji Oguma; Hiroyuki Toyoda; Hiroshi Sato
Original assignee: Hitachi, Ltd.
Priority date: 1998-06-19
Filing date: 1999-06-17
Publication date: 1999-12-23
Also published as: JP2000010940A; KR100414031B1; KR20010053028A; CN1306482A; CN1253765C; EP1104735A1; EP1104735A4; JP3346283B2

Description

明細書多重系処理装置及び多重系処理装置に接続されたコントローラ及び多重系処理システム

技術分野

本発明は、複数の処理装置に同一の処理を行わせ、各処理装置による処理結果に基づいて、制御対象装置の制御を行う多重系処理装置に係り、特に鉄道分野において、信号機や転轍機等の高い信頼性を求められる列車制御のコントローラを制御対象装置とし、この制御対象装置に対して効率の良いデータ転送を行う多重系処理装置、及び多重系処理システムに関する。

背景技術

鉄道分野における処理システムは、信号機や転轍機のコントローラを制御するために、「列車の位置」，「転てつ機の状態」，「信号機の状態」を受け取り、その関係により信号機や転轍機を制御している。これらの機能構成は、（1 ) 列車の位置や転てつ機の向き等の情報を取り込み、取り込んだ情報の連鎖関係を判定し、上位装置からの命令に従い、判定結果と命令とにより、コントローラに対して転てつ機の転換命令や、信号機の制御命令を出力する処理装置、（2 ) 処理装置の指令に従い、転てつ機転換、あるいは信号機のランプ点灯などの電力制御を行うコントローラ、とにより構成されている。

信号機の信号の切り替えや、転轍機の切り替え等を行うコントローラ及びこのコントローラに命令を出力する処理装置は、故障が、即、列車事故につながってしまうため安全性が要求され、そのため高い信頼性が要求される。また、仮にこれらのシステムに故障が発生した場合にも、安全な状態を保つて動作を停止するという「フェールセーフシステム」がこれらのシステムの基本思想である。フエ —ルセーフな処理装置や信号機等のコントローラを実現するには、多重系構成による処理装置が用いられる場合が多い。多重系構成された処理装置の安全性は「複数の計算機が同時に故障し、同じ誤情報を作成してしまう確率は極めて低い」という考え方に基づいている。多重系構成の処理装置からの出力により制御命令を発行する場合には、多重系構成の処理装置より出力される複数の出力を 1組に絞り込み、かつ、その正当性を保証する必要が有る。このような考え方に基づく従来技術としては、文献「岩本他：新しい電子連動装置と現場機器との情報伝送：第 2 9回鉄道におけるサイバネテイクス利用国内シンポジウム論文集、 P . 4 9 9〜 5 0 3，（1 9 9 2 )」 (第 1の従来技術）に記載されているような、多重系構成された連動論理装置 (多重系処理装置）と、フェールセーフ性が保証されている信号機コントローラとの間で、安全に情報の伝送を行う技術を開示している。この従来技術では、まず、多重系構成された処理装置のうちの 1つを主系処理装置とし、この主系処理装置が、信号機コントローラ及び従系処理装置に制御命令を出力し、制御命令を受け取つた従系処理装置がこの制御データが正しいかどうかを監視する制御登録を行い、また、信号機コントローラは受け取った制御命令を処理装置に送り返し、信号機コントローラから制御命令の返信を受けた全ての処理装置は、この制御命令の正当性を検証し、問題がなければ、主系処理装置が、先に信号機コント口一ラに送信した制御命令に基づいて、制御を開始するよう信号機コントローラに指令を出すという制御実行を行っている。この従来技術は、主系処理装置が作成した制御命令が、確実に信号機コントローラに伝送されたことを全ての系が確認した後に、制御が実行されるので安全性は確保される。尚、この従来例での多重系処理装置とコントローラ間の配線数は数本である。

また、第 2の従来技術として、文献「川端他：故障発生時の継続使用条件を考慮した小型電子連動装置の開発：電気学会論文誌 D、 p . 1 3 4 8〜 1 3 5 6，

( 1 9 9 7 ) 」がある。この従来技術は、多重系構成された各処理装置が、信号機や転てつ機などに 1対 1に対応したビットにより構成されたパラレル回線を介して制御命令を出力し、この制御命令を受けた信号機コントローラが、データの各ビットに関する多数決を行い、転てつ機や信号機を制御するという技術を開示している。この技術では、複数の処理装置からの出力の多数決を採ることにより安全性が確保できるので先に示した 2段階の制御は必要ない。また、この従来例での多重系処理装置とコントローラ間の配線数は通常数百本である。

前述した第 1の従来技術では、多重系処理装置からコントローラに制御命令を送信しても、実際に信号機コントローラを制御する際には、前述した制御登録、制御実行の 2段階制御となるため、実際に信号機等を動かす場合には実行時間が多くかかってしまう。また、前述した第 2の従来技術では、多重系構成された各処理装置と、信号機コントローラが、信号機や転てつ機等の制御対象の数だけビット数を持つパラレル回線により接続されるため、制御対象が多くなると配線が増えてしまうため、その適用箇所は、制御対象の少ない小さな駅になってしまう。すなわち、第 1の従来技術に示す 2段階制御では、配線数が少ない代わりに処理時間が多くかかつてしまい、第 2の従来技術に示す信号機コントローラで多数決を採る方法では、処理時間は短いが配線数が多くなるという問題がある。

発明の開示

本発明の目的は、安全性を損なわないという前提のもと、多重系処理装置とコントローラ間の配線を増やすことなく、大きな駅にも対応可能で、力、つ、実行時間の短い装置を実現することにある。

このような問題点を解決するために、本発明の多重系処理装置は、それぞれが同一の入力を受け取って同一の処理を行い、各処理結果を生成して出力する複数の処理装置により構成され、複数の処理装置のうち、ある任意の 1つの処理装置を主系処理装置、他の処理装置を従系処理装置とし、主系処理装置は、複数の従系処理装置及び主系処理装置の処理結果を収集する収集部と、収集部により収集された処理結果をコントローラに出力する出力部とにより構成することにより解決される。このように主系処理装置にて従系処理装置の処理結果及び主系処理装置の処理結果をまとめてコントローラに出力するため配線数が少なくすることが可能である。またコントローラ側で、多数決、あるいは一致を判定する構成であるので、 2段階制御に比べてデータ伝送に要する処理時間が短くすることができる。

本発明では、多重系を構成する各処理装置がユニークな符号化鍵を保持しており、データは全てこの符号化鍵により符号化されて主系に伝送される。主系は、自らのデータも自分の符号化鍵で符号化し、従系からのデータと一緒にしてまとめて、出力する。データを受信した処理装置では、全復号化鍵を保持しており、データをその鍵を用いて複号化し、多数決または、一致処理を行う。この場合、主系がどのように故障したとしても、従系符号化鍵が手に入らなければ、従系から受け取つたデータをもつともらしく改ざんすることは、不可能となり安全性が確保される。

図面の簡単な説明

第 1図は、本発明による多重系処理装置の基本構成を示す図である。

第 2図は、多重系処理装置を構成する各処理装置の処理（演算）内容を説明するための図である。

第 3図は、多重系処理装置を構成する各処理装置の処理（演算）内容を説明するための図である。

第 4図は、本発明によるコントローラの処理手順を示す図である。

第 5図は、本発明によるコントローラの処理手順を示す図である。

第 6図は、本発明による多重系処理装置を詳細に説明するための図である。第 7図は、本発明による故障診断装置の具体的構成を示す図である。

第 8図は、本発明による多重系処理装置とコントローラ間でやり取りされるデータの形式である。

第 9図は、本発明による多重系処理装置からコントローラへ送信するデータ構成である。

第 1 0図は、本発明で用いる表示データの形式である。

第 1 1図は、本発明による主系処理装置の処理フローを示す図である。

第 1 2図は、本発明による従系処理装置の処理フロ一を示す図である。

第 1 3図は、本発明による従系処理装置の処理フローを示す図である。

第 1 4図は、本発明による主系処理装置の処理フローを示す図である。

発明を実施するための最良の形態

以下では、第 1図を用いて本発明による基本構成について詳細に説明する。第 1図は、本発明が適用される多重系処理システムを示したものである。多重系処理装置 1 0 0は、図示しない上位装置から回線 1 0 8を介して、信号機や転てつ機等を制御するための制御要求を受け取って同一の処理（演算）を行い、各各処理結果を出力する複数の処理装置 1 0 1〜1 0 3により構成される。

コントローラ 1 0 7はコントローラ 1 0 7に接続されている信号機や転てつ機、軌道回路等を実際に制御するものであり、多重系処理装置 1 0 0からの送信される処理結果を受け取って、受け取った処理結果に応じて実際に信号機や転てつ機を制御するものである。

多重系処理装置 1 0 0とコントローラ 1 0 7とは回線 1 2 1により接続され、データや情報の転送を行っている。尚、 1 0に示すようにこの多重系処理装置 1 0 0と回線 1 2 1で接続されたコントローラ 1 0 7をまとめて多重系処理システム 1 0としてとらえることも可能である。また、回線 1 0 8は多重系処理装置 1 0 0から上位装置に信号機や転てつ機、軌道回路等の各種センサー情報を送信する役割も有している。

次に、多重系処理装置 1 0 0を構成する処理装置 1 0 1〜 1 0 3について処理概要を説明する。

処理装置 1 0 1〜 1 0 3は、多重系処理装置 1 0 0を構成する各処理装置であり、各処理装置 1 0 1〜1 0 3は機能的に同一の機能を有している。各処理装置 1 0 1〜1 0 3は、上位装置から回線 1 0 8を介して同一の入力（上位装置からの信号機や転てつ機の制御要求）受け取り、同一の処理（演算）を行うことにより処理結果を出力するというものである。

本願発明の基本構成の動作について説明する。

本願発明では、多重系処理装置 1 0 0を構成する複数の処理装置 1 0 1〜 1 0 3のうち、任意の 1つを主系処理装置とし、残りの処理装置を従系処理装置とする。この任意の 1つの主系処理装置の選択の仕方は、オペレータが設定を行うことも可能であり、また、タイマー等により時間により主系処理装置の切り替え (選択）を行うことも可能である。

第 1図では、処理装置 1 0 1が主系処理装置として選択され、残りの処理装置 1 0 2， 1 0 3が従系処理装置となった場合の処理について説明する。

主系処理装置、従系処理装置を問わず各処理装置は、上位装置から受け取った制御要求により後述する同一の処理を処理部 1 0 1 2により行い処理結果を出力する。

そして、従系処理装置 1 0 2， 1 0 3は自処理装置の処理結果を主系処理装置に送る。主系処理装置 1 0 1は、収集部 1 0 1 1により従系処理装置 1 0 2， 1 0 3力、ら送られてきた処理結果と自処理装置の処理結果を収集し、出力部 1 0 1 3は、各処理装置からの処理結果を回線 1 2 1を介してコントローラ 1 0 7に出力する。具体的には、多重系処理装置 1 0 0からは、転てつ機転換命令、信号機制御命令等がだされる。

多重系処理装置 1 0 0からの出力を受け取ったコントローラ 1 0 7は、送信されてきた処理結果に基づいて後に詳述する多数決等の演算により各信号機や転てつ機等の制御命令を作成し、図示していない信号機や転てつ機、軌道回路などの現地設備間を接続するパラレル回線 1 2 2を介して制御命令を出力する。具体的には軌道回路情報等が出力される。このような構成により、コントローラ 1 0 7 は多重系処理装置 1 0 0に制御命令発行の確をとる必要がないため処理時間が短縮することができ、また多重系処理装置 1 0 0の主系処理装置 1 0 1により処理結果がまとめるので回線数も少なくすることができる。

尚、各処理装置 1 0 1〜1 0 3には、互いに各処理装置が正常に動作しているかを確認しあうため情報交換を行っており、この情報により各処理装置どうしはどの処理装置に異常が発生しているかを把握して、各処理装置からの処理結果に対して正常動作しているか異常が発生しているかの情報を付加してコントローラに送信することにより、より精度の高い制御を行うことができる。尚、この情報交換による異常判定については、第 6図，第 7図において詳しく説明する。

次に、第 2図，第 3図を用いて、多重系処理装置 1 0 0の各処理装置が行う処理（演算）について説明する。

多重系処理装置 1 0 0の各処理装置はそれぞれコントローラ 1 0 7から回線 1 2 1を経由して、「列車の位置」，「転てつ機の状態」，「信号の状態」等の情報を予め受け取つており、これら予め受け取った情報と、上位装置からの制御要求により実際にコントローラに制御命令を出力するものである。

この処理を具体的に説明すると、多重系処理装置 1 0 0が、上位装置より回線 1 0 8を介して、第 2図に示す列車 2が 1番線に進入するような進路の設定要求 (制御要求）を受け取った場合には、コントローラ 1 0 7から予め受け取つている情報により、「1番線に列車が存在しているので、衝突防止のため停止信号が示される」という処理結果出力される。また、上位装置より 2番線に進行するような進路の設定要求（制御要求）を受け取った場合には、予め受け取つている情報により、「2番線に列車は存在していないので、進行許可」との処理結果が出力される。また、第 3図では、多重系処理装置 1 0 0が、上位装置により列車 2 を 2番線に進行させるような進路の設定要求（制御要求）を受け取った場合には、予め受け取った情報より、「列車の前方にある転てつ機が、すでに列車 1用に予約されているため、 2番線に進行できず、停止信号」との処理結果が出力されるというものである。

第 4図，第 5図を用いて、コントローラ 1 0 7の行う処理内容について説明する。

まず、第 4図を用いて、多重系処理装置 1 0 0を構成する処理装置 1 0 1〜1 0 3の行う処理（演算）のためのデータを、多重系処理装置 1 0 0に送信する処理について説明する。

コントローラ 1 0 7は、コントローラ 1 0 7に配線 1 2 2を介して実際に配置されている信号機や転てつ機，制御回路等からのデータを配線 1 2 2を介して取り込み（ステップ 4 0 1 ) 、取り込んだデータに冗長符号を付カ卩し（ステップ 4 0 2 ) 、そのデータをコピーして 3組のデータを作成する（ステップ 4 0 3 ) 。そして、それらの 3組のデ一タを、処理装置 1 0 1〜1 0 3に対応した、符号化鍵を用いてそれぞれ符号化し（ステップ 4 0 4 ) 、構成情報を付加して、第 8図 ( c ) の形式のデータを組み立てて（ステップ 4 0 5 ) 、多重系処理装置 1 0 0 の主系処理装置 1 0 1に向けてデータを転送する。コントローラ 1 0 7側でデータを多重系処理装置を構成する処理装置分コピーしているのは、多重系処理装置 1 0 0の主系処理装置 1 0 1に送られたデータを、主系処理装置 1 0 1が改ざんできないようにするためである。

次に、多重系処理装置 1 0 0の主系処理装置 1 0 1から送られてきた処理結果をどのように処理するかについて第 5図を使って説明する。

多重系処理装置 1 0 0から送信されてきた処理結果を受信し（ステップ 5 0 1 )、その処理結果を各処理装置別に分解する（ステップ 5 0 2 ) 。次に、処理装置 1 0 1〜1 0 3に対応した復号化鍵を用いてデータを複号化し（ステップ 5 0 3 )、各処理結果の冗長符号を確認する（ステップ 5 0 4 ) 。確認の結果、異常が発見された処理結果のものは破棄され（ステップ 5 0 5 ) 、異常が発見されなかった処理結果のものに関しては、以下の処理が継続される。この処理を通った処理結果は、各ビットごとの多数決が採られ最終的な制御情報が決定される（ステップ 5 0 6 ) 。この結果に基づき、コント口一ラ 1 0 7は、コントローラ 1 0 7に接続されている実際の信号機や転てつ機、制御回路等に制御命令を出力する（ステップ 5 0 7 ) 。コントローラ 1 0 7から制御命令を受けた信号機、転てつ機等は、制御命令に基づき、信号灯を点灯したり、転てつ機を切り換えたりする。

次に、前述した各処理装置の相互監視による故障診断の具体例について説明する。

本発明では、多重系を構成している全ての処理装置のデータを一旦主系に集めてから、まとめて送信しており、さらに、全ての処理装置の動作状況に関するデータも同時に送信する。このため、多重系処理装置から送信されるコントローラは、何組のデータが送られてくるのかを把握することができ、多数決、あるいは一致判定を滞りなく実行することができる。このような構成では、多重系を構成する各処理装置が個別にデータをコントローラに転送する構成に比べて、通信が輻輳することなく整然と伝送され、また、動作を停止した処理系の出力データを受信者側が無用に待ち合わせることもない。

尚、本明細書で述べている多重系構成の処理系に関する安全性は、全ての処理系が全く同じ演算を行っていることをお互いに確認しあうことにより、確保されている。たとえば、ある接点を O Nするといつた判断は、多重系構成の処理系が全て平行して行い、その結果も一致する。このような動作の一致を、入出力データ、あるいは演算途中のデータを互いに交換しあうことにより確認するものである。

ところが、従系処理装置からのデータを集めてまとめて送信する処理は主系処理装置のみが行う動作であり、その正当性を保証する手段はない。その結果、最悪の場合、主系が従系から受け取ったデータを誤って書き換えてしまい、辻棲のあう、誤情報を作成するというケースが考えられる。この場合、データを受け取つた処理装置では、多数決、一致判断などの手法では誤りを検出することができず、誤制御を行うことになる。

この問題を解決するには、符号化の技術を導入する必要がある。符号化処理による情報伝送とは、受け手と送り手が共通の鍵を持ち、送り手はその鍵で情報を符号化し、受け手は符号化された情報を、保持している鍵を用いて復号ィヒする方式である。この方式は、符号化された情報が他に渡っても内容が漏えいしない、という符号化技術本来の特徴があるだけではなく、不正なデータ改ざんが不可能な点が大きな特徴でもある。不正な改ざんが不可能なため、受け手は、受け取つた情報が正当な物であるならば、その情報の発信者を特定することが可能となる。この特徴を利用することにより、「従系処理装置からのデータを集めてまとめて出力する主系処理装置の処理」の正当性が保証されなくとも、安全性を確保することが可能となる。

以下、詳細に説明する。

第 6図においては、第 1図で詳述した基本構成に、故障の判定を行う故障判定装置 1 0 4〜1 0 6とそれに伴う複数の回線が付加された構成となっている。第 6図において、回線 1 0 9〜1 1 1は、処理装置 1 0 1〜1 0 3が互いに情報交換をして、互いに各処理装置が正常に動作しているかを確認しあうために備えられている。処理装置 1 0 1〜1 0 3は、各処理装置にデータや情報が入力された直後やデータや情報を出力する直前等に、互いの入出力データを、回線 1 0 9〜： 1 1 1を介して交換することにより互いに確認している。

まず、処理装置 1 0 1〜 1 0 3はそれぞれデータをやりとりすることに仮の診断結果を出力する。例えば、処理装置 1 0 1は処理装置 1 0 2，処理装置 1 0 3 からデータ等を受け取り、自分のデータ等と比較することにより、全てのデータがー致する場合には、（処理装置 1 0 1は正常，処理装置 1 0 2は正常，処理装置 1 0 3は正常）と、処理装置 1 0 3のデータだけが自分のデータ等と異なっている場合には（処理装置 1 0 1は正常、処理装置 1 0 2は正常、処理装置 1 0 3 は異常）と、処理装置 1 0 2のデータだけが自分のデータと異なっている場合には、（処理装置 1 0 1は正常、処理装置 1 0 2は異常、処理装置 1 0 3は正常）と、処理装置 1 0 2と処理装置 1 0 3のデータが両方とも自分のデータと異なつている場合には、（処理装置 1 0 1は正常、処理装置 1 0 2は異常、処理装置 1 0 3は異常）と判断する。さらに、回線 1 0 9〜1 1 1は、コントローラ 1 0 7 にデータ等を転送する際に、後述する主系処理装置にデータ等を収集したり、各処理装置間の制御用データ、あるいは観測データ等の交換にも用いることができる。

故障判定装置 1 0 4〜： I 0 6は、処理装置 1 0 1〜 1 0 3が行った健全性の判断を受け取り、その情報に基づき、処理装置 1 0 1〜1 0 3の故障を判定する故障判定装置である。

ここでは、故障判定装置 1 0 4の動作に関して詳しく説明する。

故障判定装置 1 0 4は、処理装置 1 0 1から健全性判断の情報を受け取り、その情報を故障判定装置 1 0 5， 1 0 6と互いに交換しあうことにより 1 0 1の故障を判定する。例えば、処理装置 1 0 1の健全性に関する判断は、上述したように、 { (処理装置 1 0 1は正常、処理装置 1 0 2は正常、処理装置 1 0 3は正常） ' (処理装置 1 0 1は正常、処理装置 1 0 2は正常、処理装置 1 0 3は異常），（処理装置 1 0 1は正常、処理装置 1 0 2は異常、処理装置 1 0 3は正常），（処理装置 1 0 1は正常、処理装置 1 0 2は異常、処理装置 1 0 3は異常） } のいずれかである。故障判定装置 1 0 4はこの情報を受け取り、処理装置 1 0 2に関する情報は故障判定装置 1 0 5へ、処理装置 1 0 3に関する情報は、故障判定装置 1 0 6へ送信する。また、故障判定装置 1 0 5，故障判定装置 1 0 6からは、処理装置 1 0 1に関する情報を受けとる。即ち、故障判定装置 1 0 4 は、処理装置 1 0 1が自分で判断した自処理系の判断、処理装置 1 0 2が下した処理装置 1 0 1に関する判断、処理装置 1 0 3が下した処理装置 1 0 1に関する判断の 3個の判断結果を受けとる。ここで、 2個以上の判断結果が正常であれば、処理装置 1 0 1は正常、そうでなければ、処理装置 1 0 1は異常と判断し、その判断結果を処理装置 1 0 1に送信する。処理装置 1 0 1はその判断結果に基づき、動作を継続、あるいは停止する。故障判定装置 1 0 5， 1 0 6も故障判定装置 1 0 4と同様の処理を行う。例えば、処理装置 1 0 1が故障を起こした場合を考える。

処理装置 1 0 1は健全性判断で、仮に全系正常と判断したとする。処理装置 1 0 2， 1 0 3は正常であるため、処理装置 1 0 1は故障と判断する。処理装置 1 0 1〜 1 0 3で得られた各判断結果は、故障判定装置 1 0 4〜 1 0 6に送られ、そこで次のような論理判断が行われる。

ぐ故障判定装置 1 0 4の判断〉

処理装置 1 0 1に関する処理装置 1 0 1の判断：正常

処理装置 1 0 1に関する処理装置 1 0 2の判断：異常

処理装置 1 0 1に関する処理装置 1 0 3の判断：異常

2個の処理装置が処理装置 1 0 1を異常と判断したため、多数決により処理装置 1 0 1は故障と判断。

<故障診断装置 1 0 5の判断 >

処理装置 1 0 2に関する処理装置 1 0 1の判断：正常

処理装置 1 0 2に関する処理装置 1 0 2の判断：正常

処理装置 1 0 2に関する処理装置 1 0 3の判断：正常

3個の処理装置が処理装置 1 0 2を正常と判断したため、処理装置 1 0 2は正常と判断。

<故障診断装置 1 0 6の判断 >

処理装置 1 0 3に関する処理装置 1 0 1の判断：正常

処理装置 1 0 3に関する処理装置 1 0 2の判断：正常

処理装置 1 0 3に関する処理装置 1 0 3の判断：正常

3個の処理装置が処理装置 1 0 3を正常と判断したため、処理装置 1 0 3は正常と判断。

回線 1 1 5， 1 1 7， 1 1 9は処理装置 1 0 1〜1 0 3が下した、各処理装置の健全性判断に関する情報を故障診断装置 1 0 4〜1 0 6に伝送するための伝送路である。

回線 1 1 6， 1 1 8， 1 2 0は故障診断装置 1 0 4〜1 0 6が下した、各処理装置の故障判断に関する情報を処理装置 1 0 1〜 1 0 3に伝送するための伝送路である。

回線 1 1 2〜 1 1 4は、処理装置 1 0 1〜 1 0 3が下した各処理装置の健全性判断に関する情報を故障判定装置 1 0 4〜1 0 6経由で交換するための通信回線である。回線 1 21は、多重系処理装置 100が作成した、転てつ機や信号機の制御命令をコントローラ 107に伝送したり、コントローラ 107の情報を多重系処理装置 100に伝送するための通信回線である。

次に、第 7図を用いて、故障判定装置 104〜106の内部構成について説明する。

第 7図において、健全性判断判定回路 1041は、処理装置 101の健全性判断に関する情報を、処理装置 101〜103の各処理装置に応じて分割するためのものである。

配線 1044， 1 121， 1 141は、それぞれ、処理装置 101， 102， 103に関する健全性判断の結果が伝送される配線であり、健全と判断した場合には ON信号、不健全と判断した場合には、 OFF信号が流れる。これらの信号は、処理装置 101が判断した結果に基づいて決定される。

配線 1 1 22， 1 142は、両方とも、 101に関する健全性判断の結果が伝送される配線であり、健全と判断した場合には ON信号、不健全と判断した場合には、 OFF信号が流れる。配線 1 122を流れる信号は、処理装置 102が判断した結果に基づいて決定され、配線 1 142を流れる信号は、処理装置 103 が判断した結果に基づいて決定される。配線 1 1 21， 1 1 22は、第 6図において 1 1 2と示されていたものである。第 7図では、送りと受けを区別して表現したため、 1 12が情報送りだし用の 1 1 21，情報受け取り用の 1 1 22に分けて表現されている。同様に、配線 1 141， 1 142は、第 4図において 1 1 4と示されていたものであるが、送りと受けを区別するために、 1 141， 1 1 42に分けて表現されている。

配線 1042は、配線 1 1 22， 1142から信号を受け取り、論理和演算を行う回路である。本回路により、 102， 103のいずれか、あるいは両方が、「101は健全である」と判断した場合に、 ON出力が生成される。

1043は、 1042の出力を 1045に伝える配線であり、 101に関する 102， 103の健全性判断に基づく情報が流れる。

1045は、 1041， 1042から信号を受け取り、論理積演算を行う回路である。 1041は、 101が下した 101自身に関する健全性判断の結果を、 1042は、 102， 103が下した 101に関する健全性判断の結果を出力する。 1045の出力は、 101自身が 101が健全であると判断し、かつ、 10 2, 103のいずれか、あるいは両方が 101が健全であると判断した場合に限り、 ONとなり、それ以外では、 OFFとなる。 104〜106の機能により、処理装置 101〜： I, 03の判断の多数決が採られ、 101〜 103の故障判定が実行される。

処理装置 101〜103の中で、故障無しと判定された処理装置が主系となり、他の系は従系となる。少なくとも 1個の従系が確保されるかぎり、 100は動作を継続する。即ち、 101〜103動作中に、 1個が故障を起こしたとしても、残りの 2個のどちらかが主系、残りが従系となり、動作を継続するが、 2個が故障した場合には、 100は動作を停止する。尚、 3個の系で動作中に、主系が故障を起こした場合には、それまで従系として動作していた処理装置を新たに主系に割り付けて、動作を,継続する。

処理装置 101〜103の上で動作する多重系処理装置のソフトウエアは、転てつ機や信号機を制御するためのデータを、第 8図（a) に示す形式で生成する。一般的に、転てつ機は 2方向（定位方向，反位方向）に転換するが、データでは、各転てつ機の各方向に対応したビット列情報を生成する。信号機に関しても、赤，黄，青等の電球に対応した情報を各信号機に対応したビット列情報の形で生成する。各情報の意味は、制御を実行するときに on、実行しないときに off となる。 101〜103では、第 8図（a) のデータに、冗長符合を付加して、第 8 図（b) に示す形式のデータを作成する。冗長符合としては、パリティ一符合、 CRC符合等を用いることが可能である。さらに、 101〜103では、第 8図 (b) のデータに、それぞれの連動論理装置が個別に持っている符合化鍵を用いて、第 8図（c) に示す形式のデータを生成する。符合化の方式としては、暗号方式として著名な DES符合等を用いることが可能であるが、ここでは、あらかじめ用意してある、十分なビット長のあるマスクデータを用いて、ビット毎の排他的論理和演算を行う符号化方式を示している。

処理装置 101〜 103で生成した、第 8図（ c ) 形式のデータを配線 109 〜1 1 1を介して一旦、主系に集める。例えば、処理装置 101が主系処理装置であった場合には、処理装置 1 0 2， 1 0 3で生成した、第 8図（c ) 形式のデ一タを主系処理装置 1 0 1に集める。

主系処理装置 1 0 1は、集まった各処理結果を用いて、第 9図に示す形式のデータを作成する。第 9図において、 3個のデータフィールドは、処理装置 1 0 1 〜1 0 3が処理（演算）した第 8図（c ) の形式のデータをそのまま埋め込んだ物である。構成情報は、処理装置 1 0 1〜1 0 3の動作状況に関する情報が含まれている。例えば、処理装置 1 0 1が故障，処理装置 1 0 2， 1 0 3が動作中であれば、 1 0 1故障， 1 0 2動作， 1 0 3動作という情報が格納される場所である。

この例では、構成情報をまとめているが、各処理結果毎に、各処理装置の動作状態を示す情報を加えるようにしてもよい。

第 9図の形式のデータは、主系処理装置 1 0 1から回線 1 2 1を介してコントローラ 1 0 7に伝送される。

逆に、コントローラ 1 0 7からのデータを受け取る場合には、次のようになる。主系処理装置 1 0 1は、コントローラ 1 0 7から回線 1 2 1を介して第 1 0図に示す形式のデータを受け取る。第 9図の各データフィールドの形式は第 8図 ( c ) の形式である。

次に、主系処理装置 1 0 1は、第 9図の形式データの構成情報に従って、動作中の処理装置に関してのみ、データフィールドの各データを回線 1 0 9〜1 1 1 を介してそれぞれの処理装置に伝送する。

処理装置 1 0 1〜1 0 3は回線 1 0 9〜1 1 1を介して受け取った第 8図 ( c ) 形式のデータを、それぞれの連動論理装置が個別に持っている複号化鍵を用いて、第 8図（b ) に示す形式のデータを生成する。ここで、冗長符号の確認を行い、異常が発見された場合には、該当電文を破棄し、異常が発見されなかつた場合には、冗長符号を取り除いて、第 8図の形式のデータを生成する。第 8図の形式のデータでは、転てつ機や信号機の各情報に対応したビット列に加えて、軌道回路の状態に関する情報もビット列の形で加える。

第 1 1図〜第 1 4図を用いて多重系処理装置 1 0 0を構成する主系処理装置及び従系処理装置の処理内容について説明する。第 1 1図において、多重系処理装置を構成する各処理装置が処理（演算）を行うためのデータをコントローラ 107から主系処理装置 1◦ 1が受け取つてから上位装置から制御要求が来るまでの主系処理装置の処理動作を示している。主系処理装置 101はコントローラ 107から、第 8図（c) 形式のデータを受け取り（ステップ 1 101) 、その後、データに含まれる構成情報に基づいて主系処理装置分と、各従系処理装置分のデータに分解し（ステップ 1 102) 、従系処理装置分のデータについては、各従系処理装置に伝送する（ステップ 1 1 03) 。その後主系処理装置分のデータに対して、自処理装置独自の複号化鍵を用いてデータを復号化し（ステップ 1 104) 、付加されている冗長符号を確認することにより情報の正当性を確認する（ステップ 1 105) 。情報が正当でないと判断された場合にはそのデータを破棄し（ステップ 1 106) 、データが正当であると判断されれば、上位装置からの制御要求を待つ。

第 1 2図は、主系処理装置から自従系処理装置に送られてきたデータに対する処理を示す図である。

各従系処理装置 102， 103は、主系処理装置 101からデータを受け取り (ステップ 1201) 、各従系処理装置独自に保持する複号化鍵を用いて受け取つたデータを複号化し（ステップ 1 202) 、付加されている冗長符号を確認することでデータの正当性を判断する（ステップ 1 203) 。データが正当でないと判断されるとそのデータを破棄し（ステップ 1 204) 、デ一タが正当であると判断されると上位装置からの制御要求を待つ。

次に、第 13図，第 14図のフローにより、上位装置から多重系処理装置 10 0へ制御要求が入力された場合の、主系処理装置 101，従系処理装置 102， 103の処理について説明する。

第 1 3図は、従系処理装置における上位装置から制御要求を受け取つてから主系処理装置へ処理結果を送信するまでの処理フローを示す。

従系処理装置は、上位装置から制御要求を受け取ると、第 2図，第 3図により説明したような各制御要求に対して処理（演算）を行う（ステップ 1301)。この処理結果に冗長符号を付加し（ステップ 1302) 、各処理装置独自に保有する符号化鍵を用いてデータを符号化し（ステップ 1303) 、符号化した処理結果のデータを主系処理装置に送信する（ステップ 1 3 0 4 ) 。

第 1 4図は、主系処理装置における上位装置から制御要求を受け取つてからコントローラ 1 0 7へ処理結果を送信するまでの処理フローを示す。

主系処理装置は、従系処理装置と同様に上位装置から制御要求を受け取ると、第 2図，第 3図により説明したような各制御要求に対して処理（演算）を行う (ステップ 1 4 0 1 ) 。この処理結果に冗長符号を付加し（ステップ 1 4 0 2 ) 、各処理装置独自に保有する符号化鍵を用いてデータを符号化する（ステップ 1 4 0 3 )。主系処理装置は自処理装置の処理結果を出力すると、各従系処理装置から送信されてきた符号化された処理結果を受け取り（ステップ 1 4 0 4 ) 、上位装置の制御要求に対する各処理装置の処理結果をまとめて組立て（ステップ 1 4 0 5 ) 、まとめた処理結果をコントローラ 1 0 7に伝送する（ステップ 1 4 0 7 ) 。

このような 3重系以上の多重系構成の処理装置では、 1個の系が故障しても、残りの系で動作継続が可能である場合が多いが、たとえば、 3重系構成の処理装置で単系故障により、 2重系構成となっても、 2重系出力の一致を判定すれば、安全を損なうことなく動作,継続が可能となる。

以上の説明では、多重系処理装置 1 0 7が 3重系にて構成されている例について説明したが、 4系以上の多重系構成においても適用できる。また、 2重系構成の場合にも、多数決同数の場合には、主系処理装置の処理結果を優先させる等の優先度を付加することにより適用できる。

また、多重系処理装置を構成する各処理装置間のデータ伝送と、多重系処理装置とコントローラのデータ伝送については、改ざん防止のため各データを符号化して伝送する例について説明したが、改ざんの危険性が無い場合などは、必要に応じて符号化を行わずにそのまま処理結果等を伝送することも考えられる。

また、コントローラ 1 0 7では、多数決演算を行っているが、全てのデータが一致した場合のみに有効な制御を行うような一致演算にすることも可能である。産業上の利用可能性

本発明を用いると、多重系処理装置と、コントローラ間の通信において、安全性を損なわないという前提のもと、次に示すような効果が得られる。多重系処理装置により処理された処理結果をコントローラにより判断して制御命令を生成するので、実行時間を短縮することができる。また、多重系処理装置とコントローラ間の配線が少なく、制御点数が多くなつても、配線の量に変化がないので、大きな駅にも対応可能である。

Claims

請求の範囲

1. それぞれが同一の入力を受け取って同一の処理を行い、各処理結果を生成して出力する複数の処理装置により構成される多重系処理装置において、前記複数の処理装置のうち、ある任意の 1つの処理装置を主系処理装置、他の処理装置を従系処理装置とし、

前記主系処理装置は、前記従系処理装置及び前記主系処理装置の処理結果を収集する収集部と、該収集部により収集された処理結果を出力する出力部とから構成された多重系処理装置。

2. 前記出力部は、前記収集部により前記複数の処理装置からの処理結果が収集されると、該処理結果をまとめて出力する構成である請求の範囲第 1項記載の

3. 前記収集部は、前記複数の処理装置のうち、正常動作している処理装置の処理結果が収集されると、該処理結果をまとめて出力する請求の範囲第 2項記載の多重系処理装置。

4. 前記出力部は、前記処理結果を出力する際、前記複数の処理装置の動作状態を付加して出力する請求の範囲第 1項〜第 3項のいずれかに記載の多重系処理

5. 前記従系処理装置は、それぞれ自処理装置の出力結果を各々の処理装置が保持している独自の符合化鍵により符合化した後に前記主系処理装置出力し、前記主系処理装置は、自処理装置の保持している独自の符合化鍵により符号ィ匕し、前記複数の従系処理装置から収集した符号化された処理結果に、前記主系処理装置の符号ィヒされた処理結果をまとめてから出力する請求の範囲第 1項〜第 4 項のいずれかに記載の多重系処理装置。

6. 多重系処理装置に接続されたコントローラであって、

該多重系処理装置から該多重系処理装置を構成する処理装置からの処理結果がまとめて送信されてきた場合、受信した複数の処理結果の多数決、あるいは一致を判定して制御命令を出力するコントローラ。

7. 前記多重系処理装置から送信された処理結果が符号化されていた場合、前記多重系処理装置を構成する処理装置それぞれに対応した複号化鍵を用いて、受信した各処理結果を複号化し、その後に、データ間の多数決、あるいは一致を判定して制御命令を出力する請求の範囲第 6項記載のコントローラ。

8. それぞれが同一の入力を受け取って同一の処理を行い、各処理結果を生成して出力する複数の処理装置により構成される多重系処理装置と該多重系処理装置に接続されたコントローラによって構成される多重系処理システムにおいて、前記多重系処理装置を構成する前記複数の処理装置のうち、ある任意の 1つの処理装置を主系処理装置、他の処理装置を従系処理装置とし、前記主系処理装置は、前記従系処理装置及び前記主系処理装置の処理結果を収集する収集部と、該収集部により収集された処理結果を出力する出力部とから構成された多重系処理装置と、

該多重系処理装置の該多重系処理装置を構成する処理装置からの処理結果がまとめて送信されてきた場合、受信した複数の処理結果の多数決、あるいは一致を判定して制御命令を出力するコントローラとからなる多重系処理システム。

9. 前記多重系処理装置を構成する各処理装置は、該各処理装置独自に自処理結果を符号化する符号化鍵を保持し、該符号化鍵により符号化した処理結果を前記コントローラに出力し、

前記コントローラは、前記多重系処理装置を構成する各処理装置独自に保持している符号化鍵に対応する複号化鍵を保持し、前記多重系処理装置から受け取つた各処理結果に対して対応する複号化鍵を用いて複合化する請求の範囲第 8項記載の多重系処理システム。