WO2006080431A1

WO2006080431A1 - 情報処理装置および情報処理方法

Info

Publication number: WO2006080431A1
Application number: PCT/JP2006/301303
Authority: WO
Inventors: Yukio Maniwa; Hiroyoshi Sekino; Atsushi Terayama
Original assignee: Yokogawa Electric Corporation
Priority date: 2005-01-28
Filing date: 2006-01-27
Publication date: 2006-08-03
Also published as: EP1857936A4; EP1857936B1; EP1857936A1; CN101111822B; US20080215759A1; US8359529B2; JP3897046B2; CN101111822A; JP2006209523A

Description

明細書

情報処理装置および情報処理方法

技術分野

[0001] 本発明は、互いに独立して処理を実行する複数の装置を備える情報処理装置および情報処理方法に関し、とくに高、信頼性を有する情報処理装置および情報処理方法に関する。

背景技術

[0002] プラントに配置されたフィールド機器を管理、制御するプラント制御システムが知られている。また、このようなプラントでは、プラントの安全を図るための安全システムが導入される。安全システムは、フィールド機器に異常が認められた場合に、警報を通知するとともに必要な措置を実行するシステムであり、プラント制御システムの一部として、あるいは、プラント制御システムとは独立して設けられる。

特開 2000— 347706号公報は関連技術として参照される。

発明の開示

発明が解決しょうとする課題

[0003] 安全システムには、その意図する機能力極めて高度の信頼性を要求される。例えば、異常が発生したにも関わらずシステムが安全だと認識し、あるいは、誤った情報を通知するような事態は極力回避しなければならない。また、異常が明らかには認識できないが、異常の可能性が示される場合には安全サイドの処理を選択する必要がある。

[0004] 本発明の目的は、高、信頼性を有する情報処理装置および情報処理方法を提供することにある。

課題を解決するための手段

[0005] 本発明は、互いに独立して同一処理を実行する第 1の装置および第 2の装置と、前記第 2の装置で生成されたデータを、前記第 2の装置から前記第 1の装置に送信する送信部と、前記送信部から送信されたデータと前記第 1の装置で生成されたデータとを照合し、これらのデータが不一致であれば異常と判定するデータ照合部と、を備える情報処理装置を提供する。

この情報処理装置によれば、第 1の装置で生成されたデータと第 2の装置で生成されたデータとを照合し、これらのデータが不一致であれば異常と判定するので、確実に異常を検出することができる。各装置における処理は、演算処理に限定されず、データを受信あるいは送信する処理、データを出力する処理、データを転送する処理、データを格納する処理等、すべての処理を含む。

[0006] 上記情報処理装置は、前記データ照合部の照合により異常と判定された場合に、前記第 1の装置の処理を停止する処理停止部を備えてもよい。

この場合には、異常の場合に第 1の装置の処理が停止される。処理を停止する方法は限定されない。例えば、処理の中間や出力段階で信号を遮断してもよいし、第 1 の装置をリセットして動作を停止してもよ、。

[0007] 上記情報処理装置では、前記送信部は、前記第 2の装置に設けられて、てもよ、

[0008] 本発明は、互いに独立して同一処理を実行する第 1の装置および第 2の装置と、前記第 1の装置で生成されたデータを、前記第 1の装置から前記第 2の装置に送信する送信部と、前記送信部から送信されたデータと前記第 2の装置で生成されたデータとを照合し、これらのデータが不一致であれば異常と判定するデータ照合部と、を備える情報処理装置も提供する。

[0009] 上記情報処理装置は、前記データ照合部により異常と判定された場合に、前記第 1の装置の処理を停止する処理停止部を備えてもよ!、。

この場合には、異常の場合に第 1の装置の処理が停止される。処理を停止する方法は限定されない。例えば、処理の中間や出力段階で信号を遮断してもよいし、第 1 の装置をリセットして動作を停止してもよ、。 [0010] 上記情報処理装置では、前記送信部は、前記第 1の装置に設けられていてもよい上記情報処理装置は、前記送信部から送信されるデータの送信のタイミングを利用して、前記第 1の装置の処理および前記第 2の装置の処理を同期させる同期部を備えてもよい。

この場合には、第 1の装置の処理および第 2の装置の処理を同期させるので、データの照合を正しく実行できる。また、データの送信のタイミングを利用して第 1の装置の処理および第 2の装置の処理を同期させるので、同期のために必要な待ち時間を短縮でき、処理効率の低下を防げる。

[0011] 上記情報処理装置では、前記同期部は、前記第 1の装置または前記第 2の装置に設けられていてもよい。

[0012] 本発明は、互いに独立して同一処理を同期して実行する第 1の装置および第 2の装置と、前記第 1の装置で生成されたデータおよび前記第 2の装置で生成されたデータをリアルタイムに取得する取得部と、前記取得部により取得された、前記第 1の装置で生成されたデータと前記第 2の装置で生成されたデータとを照合し、これらのデータが不一致であれば異常と判定するデータ照合部と、を備える情報処理装置も提供する。

[0013] 上記情報処理装置は、前記データ照合部により異常と判定された場合に、前記第 1の装置の処理を停止する処理停止部を備えてもよ!、。

[0014] 本発明は、互いに独立して同一処理を実行する第 1の装置および第 2の装置と、前記第 1の装置で生成されたデータに基づき第 1の誤り検出用コードを生成する第 1のコード生成部と、前記第 2の装置で生成されたデータに基づき第 2の誤り検出用コードを生成する第 2のコード生成部と、前記第 1のコード生成部により生成された前記第 1の誤り検出用コードと前記第 2のコード生成部により生成された前記第 2の誤り検出用コードとを照合し、前記両誤り検出用コードが不一致であれば異常と判定するコード照合部と、を備える情報処理装置も提供する。

この情報処理装置によれば、第 1の装置で生成されたデータに基づき生成された第 1の誤り検出用コードと、第 2の装置で生成されたデータに基づき生成された第 2 の誤り検出用コードとを照合し、これらの誤り検出用コードが不一致であれば異常と判定するので、確実に異常を検出することができる。各装置における処理は、演算処理に限定されず、データを受信あるいは送信する処理、データを出力する処理、データを転送する処理、データを格納する処理等、すべての処理を含む。

[0015] 上記情報処理装置は、前記コード照合部により異常と判定された場合に、前記第 1 の装置の処理を停止する処理停止部を備えてもょ、。

[0016] 上記情報処理装置では、前記第 1のコード生成部は前記第 1の装置に設けられ、前記第 2のコード生成部は前記第 2の装置に設けられて、てもよ、。

[0017] 上記情報処理装置では、前記コード照合部は、前記第 1の装置または前記第 2の装置に設けられて、てもよ、。

[0018] 本発明は、誤り検出用コード付きデータに対して互いに独立して同一処理を実行する第 1の装置および第 2の装置と、前記第 1の装置が受け取った第 1の誤り検出用コード付きデータの異常の有無を、当該第 1の誤り検出用コードを用いて検査する第 1の検査部と、前記第 2の装置が受け取った第 2の誤り検出用コード付きデータの異常の有無を、当該第 2の誤り検出用コードを用いて検査する第 2の検査部と、前記第 1の検査部で用いられた前記第 1の誤り検出用コードと前記第 2の検査部で用いられた前記第 2の誤り検出用コードとを照合するコード照合部と、前記第 1の検査部による検査結果若しくは前記第 2の検査部による検査結果が異常を示す場合、または、前記コード照合部による照合の結果、前記両誤り検出用コードが不一致であれば異常と判定する判定部と、を備える情報処理装置も提供する。この場合には、第 1の検査部による検査結果若しくは第 2の検査部による検査結果が異常を示す場合、または、コード照合部による照合の結果、両誤り検出用コードが不一致であれば異常と判定するので、確実に異常を検出することができる。各装置における処理は、演算処理に限定されず、データを受信あるいは送信する処理、データを出力する処理、データを転送する処理、データを格納する処理等、すべての処理を含む。

なお、第 1の検査部は第 1の装置が受け取った第 1の誤り検出用コード付きデータに基づき誤り検出用コードを生成し、受け取った誤り検出用コードと生成された誤り検出用コードとを比較することで異常の有無を検査する。第 2の検査部は第 2の装置が受け取った第 2の誤り検出用コード付きデータに基づき誤り検出用コードを生成し、受け取った誤り検出用コードと生成された誤り検出用コードとを比較することで異常の有無を検査する。

「前記第 1の検査部および前記第 2の検査部で用いられる前記誤り検出用コード」は、第 1の検査部あるいは第 2の検査部が生成した誤り検出用コード、および第 1の検査部あるいは第 2の検査部が受け取った誤り検出用コードの両者を含む。

[0019] 上記情報処理装置は、前記判定部により異常と判定された場合に、前記第 1の装置の処理を停止する処理停止部を備えてもょヽ。

[0020] 上記情報処理装置では、前記第 1の検査部は前記第 1の装置に設けられ、前記第 2の検査部は前記第 2の装置に設けられて、てもよ、。

[0021] 上記情報処理装置では、前記コード照合部は、前記第 1の装置または前記第 2の装置に設けられて、てもよ、。

[0022] 本発明は、互いに独立して同一処理を実行する第 1の装置および第 2の装置と、前記第 1の装置で生成されたデータと前記第 2の装置で生成されたデータとを照合するデータ照合部と、前記第 1の装置で生成されたデータにカウント番号を付加するカウント部と、前記データ照合部による照合の結果、前記両データが不一致であれば、前記カウント部によるカウント番号の付加を停止させるカウント停止部と、前記カウント部により付加されたカウント番号に基づいて異常を判定する判定部と、を備える情報処理装置も提供する。

この場合には、判定部は、カウント部により付加されたカウント番号に基づいて装置の異常を判定するので、第 1の装置で生成されたデータ以外のデータを参照することなく異常を検出できる。

[0023] 上記情報処理装置は、前記判定部により異常と判定された場合に、前記第 1の装置の処理または前記第 2の装置の処理を停止する処理停止部を備えてもよい。この場合には、異常の場合に第 1の装置の処理または第 2の装置の処理が停止される。処理を停止する方法は限定されない。例えば、処理の中間や出力段階で信号を遮断してもよいし、第 1の装置または第 2の装置をリセットして動作を停止してもよい

[0024] 上記情報処理装置では、前記第 1の装置および前記第 2の装置は、それぞれ個々の半導体デバイスであってもよ、。

[0025] 上記情報処理装置では、前記第 1の装置および前記第 2の装置は、それぞれ個々の CPUであってもよい。

[0026] 上記情報処理装置では、前記第 1の装置および前記第 2の装置は、互いに絶縁状態で実装されてもよい。

[0027] 本発明は、互いに独立して同一処理を実行する第 1の装置および第 2の装置を用いた情報処理方法において、前記第 2の装置で生成されたデータを、前記第 2の装置から前記第 1の装置に送信するステップと、前記第 2の装置から送信されたデータと前記第 1の装置で生成されたデータとを照合し、これらのデータが不一致であれば異常と判定するステップと、を備える情報処理方法も提供する。

この情報処理方法によれば、第 1の装置で生成されたデータと第 2の装置で生成されたデータとを照合し、これらのデータが不一致であれば異常と判定するので、確実に異常を検出することができる。各装置における処理は、演算処理に限定されず、データを受信あるいは送信する処理、データを出力する処理、データを転送する処理、データを格納する処理等、すべての処理を含む。 [0028] 本発明は、互いに独立して同一処理を実行する第 1の装置および第 2の装置を用いた情報処理方法において、前記第 1の装置で生成されたデータを、前記第 1の装置から前記第 2の装置に送信するステップと、前記第 1の装置から送信されたデータと前記第 2の装置で生成されたデータとを照合し、これらのデータが不一致であれば異常と判定するステップと、を備える情報処理方法も提供する。

この情報処理方法によれば、第 1の装置で生成されたデータと第 2の装置で生成されたデータとを照合し、これらのデータが不一致であれば異常と判定するので、確実に異常を検出することができる。各装置における処理は、演算処理に限定されず、データを受信あるいは送信する処理、データを出力する処理、データを転送する処理、データを格納する処理等、すべての処理を含む。

[0029] 上記情報処理方法は、前記第 2の装置から送信されるデータの送信のタイミングを利用して、前記第 1の装置の処理および前記第 2の装置の処理を同期させるステツプを備えてもよい。

[0030] 本発明は、互いに独立して同一処理を同期して実行する第 1の装置および第 2の装置を用いた情報処理方法において、前記第 1の装置で生成されたデータおよび前記第 2の装置で生成されたデータをリアルタイムに取得するステップと、前記第 1の装置で生成されたデータと前記第 2の装置で生成されたデータとを照合し、これらのデータが不一致であれば異常と判定するステップと、を備える情報処理方法も提供するこの情報処理方法によれば、第 1の装置で生成されたデータと第 2の装置で生成されたデータとを照合し、これらのデータが不一致であれば異常と判定するので、確実に異常を検出することができる。各装置における処理は、演算処理に限定されず、データを受信あるいは送信する処理、データを出力する処理、データを転送する処理、データを格納する処理等、すべての処理を含む。 [0031] 本発明は、互いに独立して同一処理を実行する第 1の装置および第 2の装置を用いた情報処理方法において、前記第 1の装置で生成されたデータに基づき第 1の誤り検出用コードを生成する第 1のコード生成ステップと、前記第 2の装置で生成されたデータに基づき第 2の誤り検出用コードを生成する第 2のコード生成ステップと、前記第 1の誤り検出用コードと前記第 2の誤り検出用コードとを照合し、前記両誤り検出用コードが不一致であれば異常と判定するステップと、を備える情報処理方法も提供する。

この情報処理方法によれば、第 1の装置で生成されたデータに基づき生成された第 1の誤り検出用コードと、第 2の装置で生成されたデータに基づき生成された第 2 の誤り検出用コードとを照合し、これらの誤り検出用コードが不一致であれば異常と判定するので、確実に異常を検出することができる。各装置における処理は、演算処理に限定されず、データを受信あるいは送信する処理、データを出力する処理、データを転送する処理、データを格納する処理等、すべての処理を含む。

[0032] 本発明は、誤り検出用コード付きデータに対して互いに独立して同一処理を実行する第 1の装置および第 2の装置を用いた情報処理方法において、前記第 1の装置が受け取った第 1の誤り検出用コード付きデータの異常の有無を、当該第 1の誤り検出用コードを用いて検査する第 1の検査ステップと、前記第 2の装置が受け取った第 2の誤り検出用コード付きデータの異常の有無を、当該第 2の誤り検出用コードを用 V、て検査する第 2の検査ステップと、前記第 1の検査ステップで用 1、られた前記第 1 の誤り検出用コードと前記第 2の検査ステップで用いられた前記第 2の誤り検出用コ一ドとを照合するコード照合ステップと、前記第 1の検査ステップによる検査結果若しくは前記第 2の検査ステップによる検査結果が異常を示す場合、または、前記コード照合ステップによる照合の結果、前記両誤り検出用コードが不一致であれば異常と判定するステップと、を備える情報処理方法も提供する。

この場合には、第 1の検査ステップによる検査結果若しくは第 2の検査ステップによる検査結果が異常を示す場合、または、コード照合ステップによる照合の結果、これらの誤り検出用コードが不一致であれば異常と判定するので、確実に異常を検出することができる。各装置における処理は、演算処理に限定されず、データを受信あるいは送信する処理、データを出力する処理、データを転送する処理、データを格納する処理等、すべての処理を含む。

[0033] 本発明は、互いに独立して同一処理を実行する第 1の装置および第 2の装置を用いた情報処理方法において、前記第 1の装置で生成されたデータと前記第 2の装置で生成されたデータとを照合するステップと、前記第 1の装置で生成されたデータにカウント番号を付加するステップと、前記データ照合の結果、前記両データが不一致であれば、カウント番号の付加を停止させるステップと、前記付加されたカウント番号に基づ!/ヽて異常を判定するステップと、を備える情報処理方法も提供する。

この場合には、付加されたカウント番号に基づいて異常を判定するので、第 1の装置で生成されたデータ以外のデータを参照することなく異常を検出できる。各装置における処理は、演算処理に限定されず、データを受信あるいは送信する処理、データを出力する処理、データを転送する処理、データを格納する処理等、すべての処理を含む。

発明の効果

[0034] 上記情報処理装置および上記情報処理方法によれば、第 1の装置で生成されたデータと第 2の装置で生成されたデータとを照合し、これらのデータが不一致であれば異常と判定するので、確実に異常を検出することができる。

図面の簡単な説明

[0035] [図 1] (a)及び (b)は、本発明に係る情報処理装置を機能的に示すブロック図である。

[図 2] (a)及び (b)は、本発明に係る情報処理装置を機能的に示すブロック図である。

[図 3] (a)及び (b)は、本発明に係る情報処理装置を機能的に示すブロック図である。

[図 4]は、実施例 1の情報処理装置が適用される安全システムの構成を示すブロック図である。

[図 5]は、第 1実施例の情報処理装置の構成の一部を示すブロック図である。

[図 6]は、通信処理のシーケンスを示す図である。

[図 7] (a)及び (b)は通信フレームの構成を示す図であり、図 7 (a)は個々の通信フレームの構成を示し、図 7 (b)は通信状態が正常な場合の動作を示す。

[図 8]は、実施例 2の情報処理装置の構成を示すブロック図である。 [図 9]は、実施例 3の情報処理装置の構成を示すブロック図である。

[図 10]は、実施例 4の情報処理装置の構成の一部を示すブロック図である符号の説明

[0036] 101 送信部

102 データ照合部

103 処理停止部

104 同期部

105 取得部

106 第 1のコード生成部

107 第 2のコード生成部

108 コード照合部

109 処理停止部

111 第 1の検査部

112 第 2の検査部

113 コード照合部

114 判定部

115 処理停止部

116 データ照合部

117 カウント咅

118 カウント停止部

119 判定部

120 処理停止部

発明を実施するための最良の形態

[0037] 図 1 (a)〜図 3 (b)は、本発明に係る情報処理装置を機能的に示すブロック図である。

[0038] 図 1 (a)に示す形態において、送信部 101は、第 2の装置で生成されたデータを、第 2の装置から第 1の装置に送信する。データ照合部 102は、送信部 101から送信されたデータと第 1の装置で生成されたデータとを照合し、これらのデータが不一致であれば異常と判定する。

[0039] 処理停止部 103は、データ照合部 102より異常と判定された場合に、第 1の装置の処理を停止する。

[0040] 同期部 104は、送信部 101から送信されるデータの送信のタイミングを利用して、第 1の装置の処理および第 2の装置の処理を同期させる。

[0041] 図 1 (b)に示す形態において、送信部 101は、第 1の装置で生成されたデータを、第 1の装置から第 2の装置に送信する。データ照合部 102は、送信部 101から送信されたデータと第 2の装置で生成されたデータとを照合し、これらのデータが不一致であれば異常と判定する。

[0042] 処理停止部 103は、データ照合部 102により異常と判定された場合に、第 1の装置の処理を停止する。

[0043] 同期部 104は、送信部 101から送信されるデータの送信のタイミングを利用して、第 1の装置の処理および第 2の装置の処理を同期させる。

[0044] 図 2 (a)に示す形態において、取得部 105は、第 1の装置で生成されたデータおよび第 2の装置で生成されたデータをリアルタイムに取得する。データ照合部 102は、取得部 105により取得された、第 1の装置で生成されたデータと第 2の装置で生成されたデータとを照合し、これらのデータが不一致であれば異常と判定する。

[0045] 処理停止部 103は、データ照合部により異常と判定された場合に、第 1の装置の処理を停止する。

[0046] 図 2 (b)に示す形態において、第 1のコード生成部 106は、第 1の装置で生成されたデータに基づき第 1の誤り検出用コードを生成する。第 2のコード生成部 107は、第 2の装置で生成されたデータに基づき第 2の誤り検出用コードを生成する。コード照合部 108は、第 1のコード生成部 106により生成された第 1の誤り検出用コードと第 2のコード生成部 107により生成された第 2の誤り検出用コードとを照合し、両誤り検出用コードが不一致であれば異常と判定する。

[0047] 処理停止部 109は、コード照合部 108により異常と判定された場合に、第 1の装置の処理を停止する。

[0048] 図 3 (a)に示す形態において、第 1の検査部 111は、第 1の装置が受け取った第 1 の誤り検出用コード付きデータの異常の有無を、当該第 1の誤り検出用コードを用いて検査する。第 2の検査部 112は、第 2の装置が受け取った第 2の誤り検出用コード付きデータの異常の有無を、当該第 2の誤り検出用コードを用いて検査する。コード照合部 113は、第 1の検査部 111で用いられた第 1の誤り検出用コードと第 2の検査部 112において用いられた第 2の誤り検出用コードとを照合する。判定部 114は、第 1の検査部 111による検査結果若しくは第 2の検査部 112による検査結果が異常を示す場合、または、コード照合部 113による照合の結果、両誤り検出用コードが不一致であれば異常と判定する。

[0049] 処理停止部 115は、判定部 114により異常と判定された場合に、第 1の装置の処理を停止する。

[0050] 図 3 (b)に示す形態において、データ照合部 116は、第 1の装置で生成されたデータと第 2の装置で生成されたデータとを照合する。カウント部 117は、第 1の装置で生成されたデータにカウント番号を付加する。カウント停止部 118は、データ照合部 11 6による照合の結果、両データが不一致であればカウント部 117によるカウント番号の付加を停止させる。判定部 119は、カウント部 117により付加されたカウント番号に基づいて異常を判定する。

[0051] 処理停止部 120は、判定部 119により異常と判定された場合に、第 1の装置の処理または第 2の装置の処理を停止する。

[0052] 以下、図 4〜図 10を参照して、本発明による情報処理装置の実施例 1〜4について説明する。

実施例 1

[0053] 図 4は実施例 1の情報処理装置が適用される安全システムの構成を示すブロック図である。この安全システムはプラント制御システムの一部として構成されて、る。

[0054] 図 4に示すように、プラント制御システムは、プラント各部に配置された電磁弁ゃセンサ等のフィールド機器 1, 1, · · ·を統合的に管理、制御するコントローラ 2と、コントローラ 2およびフィールド機器 1の間に介装される入出力装置 3, 3, · · ·と、を備える。入出力装置 3, 3,…は、ネットワーク 4を介してコントローラ 2に接続されている。また、フィールド機器 1, 1,…は、ターミナルボード 5を介して入出力装置 3に接続されている。

[0055] 図 4に示すように、入出力装置 3にはフィールド機器 1とコントローラ 1との間のインタ一フェース処理を実行する入出力ユニット 3a, 3b, · · ·が実装される。後述するように、これらの入出力ユニット 3a, 3b, · · 'では、信頼性向上を目的として、互いに独立して同一処理を実行している。

[0056] 図 5は入出力ユニット 3aの構成の一部を示すブロック図である。図 5では、下流ェ程であるフィールド機器 1の側力も入力された入力値を加工して、上流工程であるコントローラ 2の側に PV値（プロセス値）を出力するユニットの例を示している。

[0057] 図 5に示すように、このユニットは、マスター CPU10と、スレーブ CPU20とを備え、それぞれの CPU10および CPU20が互いに独立して同一処理を実行する。また、 C PU10および CPU20は、それぞれその周囲に実装された周辺回路の診断を実行する。

[0058] 図 5に示すように、フィールド機器 1からの入力値は、入力部 71および入力バッファ 72を介してマスター CPU10に入力される。マスター CPU10の周囲の周辺回路 74 は診断回路 75により診断される。また、入力バッファ 72から出力された信号が診断回路 75に入力され、信号の異常の有無が診断される。周辺回路 74の異常の有無、および入力バッファ 72から出力された信号の異常の有無は、診断回路 75からの診断情報としてマスター CPU 10に入力される。

[0059] 同様に、フィールド機器 1からの同一の入力値は入力部 71および入力バッファ 73 を介してスレーブ CPU20に入力される。スレーブ CPU20の周囲の周辺回路 76は診断回路 77により診断される。また、入力バッファ 73から出力された信号が診断回路 77に入力され、信号の異常の有無が診断される。周辺回路 76の異常の有無、および入力バッファ 73から出力された信号の異常の有無は、診断回路 77からの診断情報としてスレーブ CPU20に入力される。

[0060] 図 5に示すように、マスター CPU10は、入力バッファ 72を経由して入力された入力値に対する演算処理を実行し、コントローラ 2の側である上流工程で処理可能な形式の PV値 (プロセス値）に変換する PV値処理部 11と、診断回路 75からの診断情報を受けて異常の検出および判定を実行し、診断結果であるステータスを生成する診断部 12とを備える。

[0061] また、マスター CPU10は、スレーブ CPU20との間で通信を実行するための通信ブロック 13と、 PV値およびステータスに、 CRC (Cyclic Redundancy Check;巡回冗長検査)コードおよび更新カウンタを付加するコード生成部 14とを備える。

[0062] また、スレーブ CPU20は、入力バッファ 73を経由して入力された入力値に対する演算処理を実行し、コントローラ 2の側である上流工程で処理可能な形式の PV値 (プロセス値）に変換する PV値処理部 21と、診断回路 77からの診断情報を受けて異常の検出および判定を実行し、診断結果であるステータスを生成する診断部 22とを備える。

[0063] また、スレーブ CPU20は、マスター CPU10との間で通信を実行するための通信ブロック 23と、 PV値およびステータスに、 CRC (Cyclic Redundancy Check;巡回冗長検査)コードおよび更新カウンタを付加するコード生成部 24とを備える。

[0064] 次に、本ユニットの動作について説明する。

[0065] マスター CPU10では、診断部 12で生成されたステータスと、スレーブ CPU20の診断部 24で生成され、通信ブロック 23および通信ブロック 13による通信を介して取得されたステータスとを、等値ィ匕部 15において、比較、等値化する。等値ィ匕はマスター CPU10で取り扱うステータスと、スレーブ CPU20で取り扱うステータスとを同一にする処理である。等値ィ匕部 15ではステータスの OR情報を生成する。すなわち、等値ィ匕部 15では、いずれかのステータスが異常を示す場合、その異常を取り込んだステータスに変更し、コード生成部 14に受け渡す。後述するように、スレーブ CPU20でも同様の処理を行うことで、マスター CPU10およびスレーブ CPU20で取り扱うステータスを共通化する。

[0066] PV値処理部 11で生成された PV値は、コード生成部 14に与えられる。しかし、等値ィ匕部 15での処理に基づきステータスの異常が検出された場合には、遮断部 16によりコード生成部 14への PV値の入力が遮断される。

[0067] コード生成部 14では、入力された PV値および等値ィ匕部 15で生成されたステータスに基づいて CRCコードを生成する。また、新たな PV値およびステータスが入力されるたびにカウント番号を更新し、 CRCコードに付加したコードを生成する。コード生成部 14では、このように生成したコードを PV値およびステータスに付加することで、 P V値、ステータス、 CRCコードおよびカウント番号からなるフレームを生成する。カウント番号は、 PV値およびステータスの更新ごとにインクリメントされる。

[0068] コード生成部 14で作成されたフレームと同様のフレームは、スレーブ CPU20のコード生成部 24で同様に生成され、通信ブロック 23および通信ブロック 13による通信を介して取得される。コード生成部 14で作成されたフレームと、コード生成部 24で作成されたフレームとは、比較部 17において照合される。比較部 17では、両フレームの不一致が検出されれば異常と判断する。後述するように、スレーブ CPU20でも同様の処理を行うことで、マスター CPU10およびスレーブ CPU20は、互いに相手方の処理結果を自らの処理結果と照合し、不一致であれば異常と判断している。マスター CPU10およびスレーブ CPU20におけるすべての処理が正常であれば、比較部 17 における照合の結果、両フレームは一致することになる。

[0069] コード生成部 14で生成されたフレームは、上流工程である出力部 78に出力される。しかし、比較部 17において両フレームの不一致が検出され、異常と判断されれば、遮断部 18によって、フレームの出力が遮断される。また、後述するように、スレーブ C PU20の比較部 27においてフレームの不一致が検出された場合には、フェイルセィフ部 79において、フレームの出力が遮断される。

[0070] 一方、スレーブ CPU20では、診断部 22で生成されたステータスと、マスター CPU 10の診断部 14で生成され、通信ブロック 13および通信ブロック 23による通信を介して取得されたステータスとを、等値ィ匕部 25において、比較、等値化する。等値化部 2 5ではステータスの OR情報を生成する。すなわち、等値ィ匕部 25では、いずれかのステータスが異常を示す場合、その異常を取り込んだステータスに変更し、コード生成部 24に受け渡す。

[0071] PV値処理部 21で生成された PV値は、コード生成部 24に与えられる。しかし、等値ィ匕部 25での処理に基づきステータスの異常が検出された場合には、遮断部 26によりコード生成部 24への PV値の入力が遮断される。

[0072] コード生成部 24では、入力された PV値および等値ィ匕部 25で生成されたステータスに基づいて CRCコードを生成する。また、新たな PV値およびステータスが入力されるたびにカウント番号を更新し、 CRCコードに付加したコードを生成する。コード生成部 24では、このように生成したコードを PV値およびステータスに付加することで、 P V値、ステータス、 CRCコードおよびカウント番号からなるフレームを生成する。カウント番号は、 PV値およびステータスの更新ごとにインクリメントされる。

[0073] コード生成部 24で作成されたフレームは、マスター CPU10のコード生成部 14で同様に生成され通信ブロック 13および通信ブロック 23による通信を介して取得されたフレームと、比較部 27において照合される。比較部 27において両フレームの不一致が検出されれば異常と判断する。

[0074] 比較部 27においてフレームの不一致が検出された場合、比較部 27から異常を示すフェイルセィフ信号が出力され、フェイルセィフ部 79に与えられる。この場合、フエィルセィフ部 79において、 CPU10からのフレームの出力が遮断され、出力部 78への新たなフレームの出力が阻止される。フェイスセィフ部 79により出力を遮断する代わりに、 CPU20から CPU10のリセット回路にリセット信号を出力してもよい。この場合、リセット信号を受けた CPU10は強制的にリセットされ、出力部 78への出力が阻止される。

[0075] 出力部 78への出力が阻止された場合、カウント番号の更新が停止するため、出力部 78以降の後段の上流工程では、カウント番号を参照するだけで情報の出力が停止したことを認識できる。

[0076] 次に、マスター CPU10およびスレーブ CPU20間の通信方法について説明する。

上記のように、マスター CPU10およびスレーブ CPU20ではリアルタイムにデータを交換し、データの照合を行っている。このため、両者の CPUにおける処理のタイミングがずれると、時間軸方向に異なる別々の処理結果を比較することになり、照合の不一致が発生する。このため、本実施例の装置では、両者の CPUが常に同じ動作を実行している必要がある。そこで、マスター CPU10の側から非同期通信（UART)を利用してタイミングフェイズトリガを送信し、スレーブ CPU20が同期して同一のシーケンスで処理を実行できるよう制御して、る。

[0077] 図 6は通信処理のシーケンスを示す図である。図 7 (a)及び図 7 (b)は通信フレームの構成を示す図であり、図 7 (a)は個々の通信フレームの構成を示し、図 7 (b)は通信状態が正常な場合の動作を示す。

[0078] 図 6に示すように、マスター CPU10はスレーブ CPU20に、タイミングフェイズトリガ付きのコマンドを定周期で送信する。コマンドを受信したスレーブ CPU20は、マスタ一 CPU10にレスポンスを返送する。このような処理の後、両者の CPUが同一のフエィズを実行することで、両者の CPUの処理を同期させる。

[0079] 図 7 (a)に示すように、マスター CPU10は通信ブロック 13を介してタイミングフェイズトリガ付きのコマンドを送信する。スレーブ CPU20は通信ブロック 23を介してコマンドを受信する。スレーブ CPU20では、受信されたコマンドに表現されたフェイズ (シ一ケンス番号）と、期待されるフェイズ (シーケンス番号）、すなわち次に処理すべきフエイズ（図 7 (a)では 'BR〉Tエイズ 1)とを比較し、両者が一致していれば通信状態が正常であると認識する。通信状態が正常であると認識した場合には、スレーブ CPU2 0は通信ブロック 23を介してマスター CPU 10に当該フェイズ（図 7 (a)ではフェイズ 1 ) を示す情報（シーケンス番号）を含んだレスポンスを返送する。マスター CPU 10は、スレーブ CPU20からのレスポンスを一定時間内に受信し、かつ受信されたレスポンスに表現されたフェイズ (シーケンス番号）が適正であれば、通信状態が正常であると認識する。

[0080] コマンドおよびレスポンスの送受信により通信状態を確認するコマンドトリガ期間の後、全二重化通信期間に移行する。全二重化通信期間では、マスター CPU10およびスレーブ CPU20は、それぞれ同一フェイズ（図 7 (a)ではフェイズ 1)の処理を実行し、マスター CPU10からスレーブ CPU20にデータ MAが、スレーブ CPU20からにマスター CPU10データ SL力並行して送信される。データ MAおよびデータ SLには、それぞれ上述した、等値ィ匕のために送受信されるステータス、および照合のために送受信されるフレーム（PV値、ステータス、 CRCコードおよびカウント番号からなるフレーム）が含まれる。

[0081] 図 7 (b)に示すように、このようなフェイズを順次繰り返すことで、マスター CPU10およびスレーブ CPU20において同一処理が互いに同期して実行される。

[0082] 以上説明したように、実施例 1では、両 CPUで CRCコードを生成し、 CRC付きのデータ（フレーム）で照合を実行するため、照合の信頼性が高まる。また、両 CPUで照合の結果、いずれもデータが一致した場合に限り上流工程に情報を通知し、いずれか一方の CPUで異常が判定されれば、上流工程への情報の出力が確実に防止される。このため、上流工程に出力した情報の信頼性を高めることができる。すなわち、上流工程における検査で CRCコードが正常であれば、そのデータは入出力ユニット 3a内部で CPU間照合された高信頼のデータであることを意味する。また、上流工程でも CRCコードの検査を行うことで、 CPU内部において CRC付きデータを取り扱う全工程につ!、て、異常の有無を改めて診断できることになる。

[0083] また、 CPU間通信を用いて CRC付きのデータを送受信し、両 CPUで照合して、るので、別途、 CPU間通信フレームのチェック、例えば、フレームサム、パリティ一等のチェックを実行する必要がな、。

[0084] 実施例 1では、 CPU間通信のタイミングを利用してフェイズごとに処理の同期を取るようにしている。このため、同期化のための無駄な処理が不要で、同期化処理に起因するパフォーマンスの低下がない。すなわち、本来必須の通信内容に、フェイズを特定するシーケンス番号を挿入するだけで、余分な処理を要求しない。また、このような同期化により両 CPUが常に同期して同一フェイズを実行するので、 CPU間のデータ照合の精度を高めることができる。一方で、 CPU外部の要因で発生する過渡的な状態変化に対しても、両 CPUが同時に追従するため、突発的なデータ照合の不一致が発生しない。また、基本的に CPU20は CPU10から指定されたフェイズを実行する関係にあるので、フェイズの同期がずれても、容易に復帰可能である。

[0085] 実施例 1では、両 CPUのデータを互いに照合する前段で、各 CPUが生成したステ一タスを等値ィ匕している。このため、いずれかの CPUでステータスの異常が検知された場合には、ステータスの等値ィ匕によりステータスが異常であることの認識が両 CPU で共有化される。このため、ステータスの異常時に後段におけるデータ照合不一致とはならず、ステータス異常と、データの照合不一致とを切り分けて認識可能となる。このため、異常状態を正しく通知することが可能となる。このようなステータスの等値ィ匕は、とくに CPUごとに独立した周辺回路を増やしてでも CPU間に共通回路部分を減らし、 CPUを疎結合させる必要がある場合により有効である。また、一方の CPUだけでしか周辺回路の診断ができないような場合にも有効である。 [0086] 実施例 1で示した等値化の処理、 CRCコードの付加、データ照合のシーケンス等は、 CPUのプラグラムにより容易に実現できる。また、 CPU間通信は、 CPUに標準的に実装されている非同期通信 (UART)機能を用いて容易に実現できる。また、 C PU間通信をシリアル通信とすることで、 2つの CPUを互いに絶縁されたフィールド機器側と、コントローラ側に実装する場合でも、実装が容易である。

実施例 2

[0087] 実施例 2の情報処理装置は、マスター CPUと、スレーブ CPUとが、互いに絶縁されて実装される例を示して、る。

[0088] 図 8は、実施例 2の情報処理装置としての入出力ユニットの構成を示すブロック図である。

[0089] 図 4に示したようなプラント制御システムでは、通常、コントローラ 2とフィールド機器 1とが距離を置いて設置されている。したがって、地表を伝播するノイズや落雷の影響から逃れる目的で、コントローラ 2およびフィールド機器 1のグランドは互いに分離して設けられる。このため、コントローラ 2の側と、各フィールド機器 1との間は、電気的な絶縁状態を維持する必要がある。

[0090] 図 8に示す入出力ユニット 3bでは、絶縁境界 Lを介してマスター CPU10Aがコントローラ 2側（上流側）に、スレーブ CPU20Aがフィールド機器 1側（下流側）に設けられている。下流側からのアナログ入力値は入力回路 32を経て、 AD変換部 33においてデジタル信号に変換され、スレーブ CPU20Aに入力される。診断部 34には、スレーブ CPU20Aとグランド電位を共通にする周辺回路 35からの情報が与えられるとともに、入力回路 32から出力された入力値が与えられる。診断部 34では周辺回路 35 力もの情報および入力回路 32から出力された入力値に基づく診断情報をスレーブ C PU20Aに与える。

[0091] 一方、下流側からの入力値はフォトカプラ 37を介してマスター CPU10Aにも入力される。アナログ入力値はフォトカプラ 37において 2値化される。マスター CPU10Aでは 2値化された信号 (デジタル信号）に基づく処理を実行する。

[0092] なお、入力値は複数チャンネル (例えば 8チャンネル)で構成されており、入力回路 32、 AD変換部 33およびフォトカプラ 37は、チャンネル数に対応する数のユニットが用意されている。

[0093] マスター CPU10Aおよびスレーブ CPU20Aは、それぞれに設けられた CPU間通信ブロック 11Aおよび CPU間通信ブロック 21Aを介してタイミングフェイズトリガ付きコマンド、およびコマンドに対するレスポンスを送受信する。これにより、互いに独立しつつ、同一処理を同期して実行する。また、マスター CPU10Aおよびスレーブ CPU 20Aは、 CPU間通信ブロック 11Aおよび CPU間通信ブロック 21Aを介して互!、のデータを送受信し合い、データの照合をそれぞれ行う。さら〖こ、スレーブ CPU20Aで得られた診断情報はマスター CPU10Aにも送信され、ステータスの等値ィ匕が実行される。

[0094] マスター CPU10Aでは、等値化されたステータスが異常を示すことなぐかつ、マスター CPU10Aおよびスレーブ CPU20Aのデータの照合の結果、両者が一致する場合に限って、上位通信ブロック 12Aを介して上位ブロック 38にデータを通知する。また、スレーブ CPU20Aにお!/、てマスター CPU10Aおよびスレーブ CPU20Aのデータの不一致が検知された場合には、リセット信号をマスター CPU10Aに送出する。この場合、マスター CPU10Aはリセット信号により強制的にリセット状態とされ、マスタ一 CPU10Aから上位ブロック 38へのデータの通知が阻止される。なお、 CPU間の通信経路およびリセット信号の伝送ラインは、絶縁境界 Lにおいて、フォト力ブラ等によりマスター CPU10Aおよびスレーブ CPU20A間で絶縁されている。

[0095] 図 8に示すユニット 3bでは、スレーブ CPU20Aがフィールド機器 1側に実装されているので、フィールド機器 1側に実装された周辺回路 35からの情報や入力回路 32を経由した入力値を容易に取り込むことができ、詳細な診断を実行できる。また、 CPU 間通信は非同期通信 (UART)等を用いることで、少ない本数の通信ラインによって実行可能であるため、絶縁状態を容易に維持することができる。このため、 CPU間通信により診断情報であるステータスを両 CPU間で等値ィ匕することで、スレーブ CPU2 OAでの詳細な診断結果をマスター CPU10Aにおいても有効に活用できる。

実施例 3

[0096] 実施例 3の情報処理装置は、フィールド機器 1 (図 4)側からのアナログ信号をデジタル信号に変換し、 2つの CPUが共通のデジタル信号を受けてコントローラ 2 (図 4) 側にデータを出力する入出力ユニットの例を示している。図 9は、実施例 3の情報処理装置としての入出力ユニットの構成を示すブロック図である。

[0097] 図 9に示す入出力ユニット 3cは、互いに独立して同一処理を実行するマスター CP U10Bおよびスレーブ CPU20Bと、複数チャンネル（例えば 8チャンネル）のアナログ信号を受け、 1つの信号を選択するメインのマルチプレクサ 41およびサブのマルチプレクサ 42と、マルチプレクサ 41からのアナログ信号を受ける入力増幅器 43と、入力増幅器 43から出力された信号をデジタル信号に変換してマスター CPU10Bおよびスレーブ CPU20Bに与える AD変^ ^44とを備える。

[0098] メインのマルチプレクサ 41およびサブのマルチプレクサ 42の出力信号は、マスター CPU10Bおよびスレーブ CPU20Bでそれぞれ比較され、不一致の場合にはステータスの異常と判断する。またステータスは CPU間通信で交換され、ステータスの等値化が行われる。これにより、マルチプレクサ 41の動作の健全性が診断される。また、入力増幅部 43および AD変換器 44は全チャンネルに対し共通であるが、マルチプレクサ 41を介して一定周期で入力増幅部 43に基準電圧を入力し、 AD変換器 44の出力をマスター CPU10Bおよびスレーブ CPU20Bでそれぞれ確認することで、ステ一タスを監視している。この場合も、ステータスは CPU間通信で交換され、ステータスの等値ィ匕が行われる。

[0099] マスター CPU10Bおよびスレーブ CPU20Bは、それぞれに設けられた CPU間通信ブロック 11Bおよび CPU間通信ブロック 21Bを介してタイミングフェイズトリガ付きコマンド、およびコマンドに対するレスポンスを送受信することで、互いに独立しつつ、同一処理を同期して実行する。また、マスター CPU10Bおよびスレーブ CPU20Bで得られたステータスは CPU間通信により交換され、ステータスの等値ィ匕が実行される。さらに、マスター CPU10Bおよびスレーブ CPU20Bは、 CPU間通信ブロック 11B および CPU間通信ブロック 21Bを介して互!、のデータを送受信し合!、、データの照合を行う。

[0100] マスター CPU10Bでは、等値化されたステータスが異常を示すことなぐかつ、マスター CPU10Bおよびスレーブ CPU20Bのデータの照合の結果、両者が一致する場合に限って、通信ブロック 12Bを介して上位ブロック 45にデータを通知する。また、スレーブ CPU20Bにおいてマスター CPU10Bおよびスレーブ CPU20Bのデータの不一致が検知された場合には、リセット信号をマスター CPU10Bに送出する。この場合、マスター CPU10Bはリセット信号により強制的にリセット状態とされ、マスター CPU 10Bから上位ブロック 45へのデータの通知が阻止される。

実施例 4

[0101] 実施例 4の情報処理装置は、コントローラ 2 (図 4)側（上流側)から入力された CRC コード付きのデータを、フィールド機器 1 (図 4)側（下流側）に出力する入出力ユニットの例を示している。図 10は、実施例 4の情報処理装置としての入出力ユニットの構成の一部を示すブロック図である。

[0102] 図 10に示す入出力ユニットは、互いに独立して処理を実行する CPU50および CP U60を備える。

[0103] CPU50は、入力部 81を経由して入力されたデータに基づいて CRCコードの検査を実行するコード検査部 51と、 CPU60との間で通信を実行する通信ブロック 52と、入力されたデータをフィールド機器 1側で使用される形式に変換する設定値処理部 5 3とを備える。

[0104] CPU60は、 CPU50から転送されたデータに基づいて CRCコードの検査を実行するコード検査部 61と、 CPU60との間で通信を実行する通信ブロック 62と、入力されたデータをフィールド機器 1側で使用される形式に変換する設定値処理部 63とを備える。

[0105] 次に、図 10に示す入出力ユニットの動作について説明する。

[0106] コントローラ 2側からのデータは入力部 81を介して CPU50に入力される。このデータは、フィールド機器 1 (例えば電磁弁)を特定する設定先と、設定先に設定されるべき設定値 (例えば電磁弁の開度)と、設定値および設定先のデータに基づいて作成された CRCコードとを含んで!/、る。

[0107] CPU50に入力されたデータはコード検査部 51に与えられる。コード検査部 51では、受け取った設定値および設定先のデータに基づいて CRCコードを作成する。そして、データとして受け取った CRCコードと、コード検査部 51で作成した CRCコードとを比較する。コード検査部 51は、両者の CRCコードが不一致であれば異常と判断し、この場合には遮断部 54においてデータを遮断する。

[0108] 一方、 CPU50に入力されたデータは通信ブロック 52を介して送信される。送信されたデータは通信ブロック 62を介して CPU60で受信される。

[0109] CPU60で受信されたデータはコード検査部 61に与えられる。コード検査部 61では、受け取った設定値および設定先のデータに基づいて CRCコードを作成する。そして、データとして受け取った CRCコードと、コード検査部 61で作成した CRCコードとを比較する。コード検査部 61は、両者の CRCコードが不一致であれば異常と判断し、この場合には遮断部 64においてデータを遮断する。

[0110] 次に、 CPU50のコード検査部 51で作成された CRCコードは通信ブロック 52を介して送信される。送信された CRCコードは通信ブロック 62を介して CPU60で受信される。また、 CPU50のコード検査部 51で作成された CRCコードは、比較部 55において、 CPU60から送信されてきた CRCコードと比較される。

[0111] 比較部 55は両者の CRCを比較した結果、両者の CRCコードが一致しなければ異常と判断する。この場合、遮断部 56においてデータを遮断する。

[0112] CPU60では、コード検査部 61で作成した CRCコードを、通信ブロック 62を介して送信する。送信された CRCコードは、通信ブロック 52を介して CPU50で受信される

。この CRCコードは、上記のように、比較部 55においてコード検査部 51で作成された CRCコードと比較される。

[0113] また、 CPU60のコード検査部 61で作成された CRCコードは、比較部 65において、

CPU50から送信されてきた CRCコードと比較される。

[0114] 比較部 65は両者の CRCを比較した結果、両者の CRCコードが一致しなければ異常と判断する。この場合、遮断部 66においてデータを遮断する。

[0115] 次に、 CPU50では、入力部 81から受け取ったデータが設定値処理部 53に与えられる。しかし、上記のように、異常と判断された場合には、遮断部 54あるいは遮断部 5

6においてデータの受け渡しが阻止され、設定値処理部 53での処理が停止される。

[0116] データが入力される場合、設定値処理部 53では、設定値および設定先のデータをフィールド機器 1側で使用される形式に変換する。

[0117] 一方、 CPU60では、 CPU50から送信されてきたデータが設定値処理部 63に与えられる。しかし、上記のように、異常と判断された場合には、遮断部 64あるいは遮断部 66においてデータの受け渡しが阻止され、設定値処理部 63での処理が停止される。

[0118] データが入力される場合、設定値処理部 63では、設定値および設定先のデータをフィールド機器 1側で使用される形式に変換し、出力部 82に設定値および設定先のデータを出力する。

[0119] 出力部 82に出力された設定値および設定先のデータは、診断回路 83を介して CP U60の比較部 67に入力される。また、比較部 67には、設定値処理部 63から出力された設定値および設定先のデータが直接入力される。

[0120] 比較部 67では、設定値処理部 63から出力された段階での設定値および設定先のデータと、診断回路 83を経由した設定値および設定先のデータとを比較し、両者が不一致であれば異常と判断する。この場合には遮断部 68において設定値および設定先のデータを遮断し、出力部 82への設定値および設定先のデータの出力を阻止する。

[0121] また、 CPU60から出力部 82に出力された設定値および設定先のデータは、診断回路 84を介して CPU50の比較部 57に入力される。さらに、比較部 57には、設定値処理部 53から出力された設定値および設定先のデータが直接入力される。

[0122] 比較部 57では、設定値処理部 53から出力された設定値および設定先のデータと、 CPU60から出力された設定値および設定先のデータとを比較し、両者が不一致であれば異常と判断する。この場合にはフェイルセィフ回路 85において設定値および設定先のデータを遮断し、 CPU60から出力部 82への設定値および設定先のデータの出力を阻止する。

[0123] このように、実施例 4では、 CPU60の側が出力部 82へのデータ出力を実行している力 CPU60では出力されたデータを自らトレースし、異常と判断した場合にはデータ出力を停止している。また、 CPU50でも、 CPU60により出力部 82へ出力されたデータを同時にトレースし、異常と判断した場合には CPU50の側力も CPU60による出力を阻止している。このため、いずれかの CPUにより異常と判断した場合にはデータ出力が阻止されるため、誤ったデータが出力部 82に出力されることを確実に防止できる。

[0124] 本発明の適用範囲は上記実施形態に限定されることはない。また、本発明は、安全システムのみならず、各種情報を取り扱う情報処理システムに対し、広く適用することがでさる。

[0125] 本出願は、 2005年 1月 28日出願の日本特許出願 (特願 2005— 021423)に基づくものであり、その内容はここに参照として取り込まれる。

Claims

請求の範囲

[1] 互いに独立して同一処理を実行する第 1の装置および第 2の装置と、

前記第 2の装置で生成されたデータを、前記第 2の装置から前記第 1の装置に送信する送信部と、

前記送信部から送信されたデータと前記第 1の装置で生成されたデータとを照合し

、これらのデータが不一致であれば異常と判定するデータ照合部と、

を備えることを特徴とする情報処理装置。

[2] 前記データ照合部により異常と判定された場合に、前記第 1の装置の処理を停止する処理停止部を備えることを特徴とする請求項 1に記載の情報処理装置。

[3] 前記送信部は、前記第 2の装置に設けられていることを特徴とする請求項 1に記載の情報処理装置。

[4] 互いに独立して同一処理を実行する第 1の装置および第 2の装置と、

前記第 1の装置で生成されたデータを、前記第 1の装置から前記第 2の装置に送信する送信部と、

前記送信部から送信されたデータと前記第 2の装置で生成されたデータとを照合し

を備えることを特徴とする情報処理装置。

[5] 前記データ照合部により異常と判定された場合に、前記第 1の装置の処理を停止する処理停止部を備えることを特徴とする請求項 4に記載の情報処理装置。

[6] 前記送信部は、前記第 1の装置に設けられていることを特徴とする請求項 4に記載の情報処理装置。

[7] 前記送信部カゝら送信されるデータの送信のタイミングを利用して、前記第 1の装置の処理および前記第 2の装置の処理を同期させる同期部を備えることを特徴とする請求項 1に記載の情報処理装置。

[8] 前記送信部カゝら送信されるデータの送信のタイミングを利用して、前記第 1の装置の処理および前記第 2の装置の処理を同期させる同期部を備えることを特徴とする請求項 4に記載の情報処理装置。

[9] 前記同期部は、前記第 1の装置または前記第 2の装置に設けられていることを特徴とする請求項 7に記載の情報処理装置。

[10] 前記同期部は、前記第 1の装置または前記第 2の装置に設けられていることを特徴とする請求項 8に記載の情報処理装置。

[11] 互いに独立して同一処理を同期して実行する第 1の装置および第 2の装置と、前記第 1の装置で生成されたデータおよび前記第 2の装置で生成されたデータをリアルタイムに取得する取得部と、

前記取得部により取得された、前記第 1の装置で生成されたデータと前記第 2の装置で生成されたデータとを照合し、これらのデータが不一致であれば異常と判定するデータ照合部と、

を備えることを特徴とする情報処理装置。

[12] 前記データ照合部により異常と判定された場合に、前記第 1の装置の処理を停止する処理停止部を備えることを特徴とする請求項 11に記載の情報処理装置。

[13] 互いに独立して同一処理を実行する第 1の装置および第 2の装置と、

前記第 1の装置で生成されたデータに基づき第 1の誤り検出用コードを生成する第 1のコード生成部と、

前記第 2の装置で生成されたデータに基づき第 2の誤り検出用コードを生成する第 2のコード生成部と、

前記第 1のコード生成部により生成された前記第 1の誤り検出用コードと前記第 2のコード生成部により生成された前記第 2の誤り検出用コードとを照合し、前記両誤り検出用コードが不一致であれば異常と判定するコード照合部と、

を備えることを特徴とする情報処理装置。

[14] 前記コード照合部により異常と判定された場合に、前記第 1の装置の処理を停止する処理停止部を備えることを特徴とする請求項 13に記載の情報処理装置。

[15] 前記第 1のコード生成部は前記第 1の装置に設けられ、前記第 2のコード生成部は前記第 2の装置に設けられていることを特徴とする請求項 13に記載の情報処理装置

[16] 前記コード照合部は、前記第 1の装置または前記第 2の装置に設けられていることを特徴とする請求項 13に記載の情報処理装置。

[17] 誤り検出用コード付きデータに対して互いに独立して同一処理を実行する第 1の装置および第 2の装置と、

前記第 1の装置が受け取った第 1の誤り検出用コード付きデータの異常の有無を、当該第 1の誤り検出用コードを用いて検査する第 1の検査部と、

前記第 2の装置が受け取った第 2の誤り検出用コード付きデータの異常の有無を、当該第 2の誤り検出用コードを用いて検査する第 2の検査部と、

前記第 1の検査部で用、られた前記第 1の誤り検出用コードと前記第 2の検査部で用いられた前記第 2の誤り検出用コードとを照合するコード照合部と、

前記第 1の検査部による検査結果若しくは前記第 2の検査部による検査結果が異常を示す場合、または、前記コード照合部による照合の結果、前記両誤り検出用コードが不一致であれば、異常と判定する判定部と、

を備えることを特徴とする情報処理装置。

[18] 前記判定部により異常と判定された場合に、前記第 1の装置の処理を停止する処理停止部を備えることを特徴とする請求項 17に記載の情報処理装置。

[19] 前記第 1の検査部は前記第 1の装置に設けられ、前記第 2の検査部は前記第 2の装置に設けられていることを特徴とする請求項 17に記載の情報処理装置。

[20] 前記コード照合部は、前記第 1の装置または前記第 2の装置に設けられていることを特徴とする請求項 17に記載の情報処理装置。

[21] 互いに独立して同一処理を実行する第 1の装置および第 2の装置と、

前記第 1の装置で生成されたデータと前記第 2の装置で生成されたデータとを照合するデータ照合部と、

前記第 1の装置で生成されたデータにカウント番号を付加するカウント部と、前記データ照合部による照合の結果、前記両データが不一致であれば、前記カウント部によるカウント番号の付加を停止させるカウント停止部と、

前記カウント部により付加されたカウント番号に基づいて異常を判定する判定部と、を備えることを特徴とする情報処理装置。

[22] 前記判定部により異常と判定された場合に、前記第 1の装置の処理または前記第 2 の装置の処理を停止する処理停止部を備えることを特徴とする請求項 21に記載の

[23] 前記第 1の装置および前記第 2の装置は、それぞれ個々の半導体デバイスであるとを特徴とする請求項 1に記載の情報処理装置。

[24] 前記第 1の装置および前記第 2の装置は、それぞれ個々の半導体デバイスであるとを特徴とする請求項 4に記載の情報処理装置。

[25] 前記第 1の装置および前記第 2の装置は、それぞれ個々の半導体デバイスであるとを特徴とする請求項 11に記載の情報処理装置。

[26] 前記第 1の装置および前記第 2の装置は、それぞれ個々の半導体デバイスであるとを特徴とする請求項 13に記載の情報処理装置。

[27] 前記第 1の装置および前記第 2の装置は、それぞれ個々の半導体デバイスであるとを特徴とする請求項 17に記載の情報処理装置。

[28] 前記第 1の装置および前記第 2の装置は、それぞれ個々の半導体デバイスであるとを特徴とする請求項 21に記載の情報処理装置。

[29] 前記第 1の装置および前記第 2の装置は、それぞれ個々の CPUであることを特徴とする請求項 1に記載の情報処理装置。

[30] 前記第 1の装置および前記第 2の装置は、それぞれ個々の CPUであることを特徴とする請求項 4に記載の情報処理装置。

[31] 前記第 1の装置および前記第 2の装置は、それぞれ個々の CPUであることを特徴とする請求項 11に記載の情報処理装置。

[32] 前記第 1の装置および前記第 2の装置は、それぞれ個々の CPUであることを特徴とする請求項 13に記載の情報処理装置。

[33] 前記第 1の装置および前記第 2の装置は、それぞれ個々の CPUであることを特徴とする請求項 17に記載の情報処理装置。

[34] 前記第 1の装置および前記第 2の装置は、それぞれ個々の CPUであることを特徴とする請求項 21に記載の情報処理装置。

[35] 前記第 1の装置および前記第 2の装置は、互いに絶縁状態で実装されることを特徴とする請求項 1に記載の情報処理装置。

[36] 前記第 1の装置および前記第 2の装置は、互いに絶縁状態で実装されることを特徴とする請求項 4に記載の情報処理装置。

[37] 前記第 1の装置および前記第 2の装置は、互いに絶縁状態で実装されることを特徴とする請求項 11に記載の情報処理装置。

[38] 前記第 1の装置および前記第 2の装置は、互いに絶縁状態で実装されることを特徴とする請求項 13に記載の情報処理装置。

[39] 前記第 1の装置および前記第 2の装置は、互いに絶縁状態で実装されることを特徴とする請求項 17に記載の情報処理装置。

[40] 前記第 1の装置および前記第 2の装置は、互いに絶縁状態で実装されることを特徴とする請求項 21に記載の情報処理装置。

[41] 互いに独立して同一処理を実行する第 1の装置および第 2の装置を用いた情報処理方法において、

前記第 2の装置で生成されたデータを、前記第 2の装置から前記第 1の装置に送信するステップと、

前記第 2の装置から送信されたデータと前記第 1の装置で生成されたデータとを照合し、これらのデータが不一致であれば異常と判定するステップと、

を備えることを特徴とする情報処理方法。

[42] 互いに独立して同一処理を実行する第 1の装置および第 2の装置を用いた情報処理方法において、

前記第 1の装置で生成されたデータを、前記第 1の装置から前記第 2の装置に送信するステップと、

前記第 1の装置から送信されたデータと前記第 2の装置で生成されたデータとを照合し、これらのデータが不一致であれば異常と判定するステップと、

を備えることを特徴とする情報処理方法。

[43] 前記第 2の装置力送信されるデータの送信のタイミングを利用して、前記第 1の装置の処理および前記第 2の装置の処理を同期させるステップを備えることを特徴とする請求項 41に記載の情報処理方法。

[44] 前記第 1の装置力送信されるデータの送信のタイミングを利用して、前記第 1の装置の処理および前記第 2の装置の処理を同期させるステップを備えることを特徴とする請求項 42に記載の情報処理方法。

[45] 互いに独立して同一処理を同期して実行する第 1の装置および第 2の装置を用いた情報処理方法にぉ、て、

前記第 1の装置で生成されたデータおよび前記第 2の装置で生成されたデータをリアルタイムに取得するステップと、

前記第 1の装置で生成されたデータと前記第 2の装置で生成されたデータとを照合し、これらのデータが不一致であれば異常と判定するステップと、

を備えることを特徴とする情報処理方法。

[46] 互いに独立して同一処理を実行する第 1の装置および第 2の装置を用いた情報処理方法において、

前記第 1の装置で生成されたデータに基づき第 1の誤り検出用コードを生成する第 1のコード生成ステップと、

前記第 2の装置で生成されたデータに基づき第 2の誤り検出用コードを生成する第 2のコード生成ステップと、

前記第 1の誤り検出用コードと前記第 2の誤り検出用コードとを照合し、前記両誤り検出用コードが不一致であれば異常と判定するステップと、

を備えることを特徴とする情報処理方法。

[47] 誤り検出用コード付きデータに対して互いに独立して同一処理を実行する第 1の装置および第 2の装置を用いた情報処理方法にお、て、

前記第 1の装置が受け取った第 1の誤り検出用コード付きデータの異常の有無を、当該第 1の誤り検出用コードを用、て検査する第 1の検査ステップと、

前記第 2の装置が受け取った第 2の誤り検出用コード付きデータの異常の有無を、当該第 2の誤り検出用コードを用いて検査する第 2の検査ステップと、

前記第 1の検査ステップで用、られた前記第 1の誤り検出用コードと前記第 2の検查ステップで用いられた前記第 2の誤り検出用コードとを照合するコード照合ステップと、

前記第 1の検査ステップによる検査結果若しくは前記第 2の検査ステップによる検查結果が異常を示す場合、または、前記コード照合ステップによる照合の結果、前記両誤り検出用コードが不一致であれば、異常と判定するステップと、

を備えることを特徴とする情報処理方法。

互いに独立して同一処理を実行する第 1の装置および第 2の装置を用いた情報処理方法において、

前記第 1の装置で生成されたデータと前記第 2の装置で生成されたデータとを照合するステップと、

前記第 1の装置で生成されたデータにカウント番号を付加するステップと、前記データ照合の結果、前記両データが不一致であれば、カウント番号の付加を停止させるステップと、

前記付加されたカウント番号に基づいて異常を判定するステップと、

を備えることを特徴とする情報処理方法。