WO2022185582A1

WO2022185582A1 - データ処理装置、データ処理方法およびプログラム

Info

Publication number: WO2022185582A1
Application number: PCT/JP2021/034456
Authority: WO
Inventors: 大輝伊達
Original assignee: オムロン株式会社
Priority date: 2021-03-05
Filing date: 2021-09-21
Publication date: 2022-09-09
Also published as: JP2022135468A

Abstract

第１～第Ｎの演算部は、メモリの第１～第Ｎの領域に格納されたデータを用いて少なくとも１つの演算処理をそれぞれ実行する。メイン演算部は、少なくとも１つの演算処理の各々について、第１～第Ｎの演算部による演算結果を照合する。メイン演算部は、第１～第Ｎの演算部による演算結果のうちの予め定められた数以上の演算結果が一致することに応じて、第１～第Ｎの演算部の動作を継続させる。メイン演算部は、第１の演算部の演算結果と第２～第Ｎの演算部の演算結果とが一致しないことに応じて、第１の領域の少なくとも一部のデータを第２～第Ｎの領域のいずれかのデータと一致するように書き換える。

Description

データ処理装置、データ処理方法およびプログラム

　本開示は、データ処理装置、データ処理方法およびプログラムに関する。

　半導体デバイスの高集積化および微細化に伴い、メモリにおける一過性のビットエラー（ソフトエラー）が急増している。ソフトエラーは、例えばα粒子や宇宙線中性子の衝突によって生じる。ソフトエラーの起こりうるメモリをシステムに適用すると、ソフトエラーによるシステムの一時的な停止が生じうる。

　ソフトエラーによるシステムの一時的な停止を回避するための技術が開発されている。例えば、特許第６７３３８４３号公報（特許文献１）には、メモリに対して指定された変数の書き込みおよび読み出しを実行する処理部を備えるデータ処理装置が開示される。処理部は、書込指示を受けると、指定された変数の値を示すデータを、メモリの３個の領域の各々に書き込む。これにより、メモリ内においてデータが三重化され、１つのデータにソフトエラーが生じても、残り２つのデータを用いて処理を継続できる。

特許第６７３３８４３号公報

　特許６７３３８４３号公報に記載の技術では、処理部は、読出指示を受けると、メモリにおける３個の領域の各々からデータを順次読み出す。それから、読み出したデータを用いて演算処理が順次実行される。そのため、同一の演算処理が３回繰り返して実行され、演算処理に要する時間が長くなる。すなわち、処理速度が低下する。

　本開示は、上記の問題に鑑みてなされたものであり、その目的は、ソフトエラーが生じたとしても動作の継続が可能であるとともに、処理速度の低下を抑制できるデータ処理装置、データ処理方法およびプログラムを提供することである。

　本開示の一例によれば、少なくとも１つの演算処理を実行するデータ処理装置は、第１～第Ｎの演算部と、メモリと、を備える。Ｎは３以上の整数である。第１～第Ｎの演算部のうちの１つは、メイン演算部である。メモリは、互いに同一のデータが格納される第１～第Ｎの領域を有する。第１～第Ｎの演算部は、第１～第Ｎの領域に格納されたデータを用いて少なくとも１つの演算処理をそれぞれ実行する。メイン演算部は、少なくとも１つの演算処理の各々について、第１～第Ｎの演算部による演算結果を照合する。メイン演算部は、第１～第Ｎの演算部による演算結果のうちの予め定められた数以上の演算結果が一致することに応じて、第１～第Ｎの演算部の動作を継続させる。メイン演算部は、第１の演算部の演算結果と第２～第Ｎの演算部の演算結果とが一致しないことに応じて、第１の領域の少なくとも一部のデータを第２～第Ｎの領域のいずれかのデータと一致するように書き換える。

　この開示によれば、第１～第Ｎの演算部がメモリの第１～第Ｎの領域を用いて演算処理を並行して実行できるため、演算に要する処理時間の長期化が抑制される。すなわち、処理速度の低下が抑制される。

　さらに、第１～第Ｎの演算部の演算結果が照合され、予め定められた数以上の演算結果が一致することに応じて、第１～第Ｎの演算部の動作が継続される。そのため、ソフトエラーが生じたことにより予め定められた数未満の演算結果が他の演算結果と一致しなくても動作の継続が可能である。

　さらに、第１の演算部の演算結果と第２～第Ｎの演算部の演算結果とが一致しない場合、第１の領域においてソフトエラーが生じていると推定される。そのため、第１の演算部の演算結果と第２～第Ｎの演算部の演算結果とが一致しないことに応じて、第１の領域の少なくとも一部のデータは、第２～第Ｎの領域のいずれかのデータと一致するように書き換えられる。このようにしてソフトエラーによって破損したデータが正しいデータに修復されることにより、ソフトエラーに起因するシステムの一時的な停止が抑制される。

　このように、ソフトエラーが生じたとしても動作の継続が可能であるとともに、処理速度の低下を抑制できる。

　上述の開示において、メイン演算部は、第１の演算部の演算結果と第２～第Ｎの演算部の演算結果とが一致しないことに応じて、第２～第Ｎの領域のいずれかの全てのデータと一致するように、第１の領域の全てのデータを書き換える。

　上記の開示によれば、ソフトエラーが生じていると推定される第１の領域のデータが、第２～第Ｎの領域のいずれかの全てのデータと一致するように書き換えられる。これにより、ソフトエラーによって破損したデータが正しいデータに修復される。

　上述の開示において、少なくとも１つの演算処理は、複数の演算処理を含む。第１～第Ｎの領域の各々は、複数の演算処理の実行によって上書きされるデータをそれぞれ記憶する複数のサブ領域を有する。メイン演算部は、複数の演算処理のうちの対象演算処理について、第１の演算部の演算結果と第２～第Ｎの演算部の演算結果とが一致しないことに応じて、複数のサブ領域のうち対象演算処理に対応する対象サブ領域を特定する。メイン演算部は、第２～第Ｎの演算部のいずれかが用いる対象サブ領域のデータと一致するように、第１の演算部が用いる対象サブ領域のデータを書き換える。

　上記の開示によれば、第１の領域のうちソフトエラーが生じていると推定される対象サブ領域が特定される。そして、対象サブ領域のデータが正しいデータに修復される。その結果、第１の領域の全てのデータを書き換える場合に比べて、データの修復に要する時間が短縮される。

　上述の開示において、複数のサブ領域の各々は、複数のブロックに分割される。メイン演算部は、対象サブ領域の複数のブロックの各々の誤り検出符号を演算する。メイン演算部は、対象サブ領域の複数のブロックのうち、第１の演算部が用いる対象サブ領域と第２～第Ｎの演算部が用いる対象サブ領域との間で誤り検出符号が一致しない対象ブロックを特定する。メイン演算部は、第２～第Ｎの演算部が用いる対象ブロックのデータと一致するように、第１の演算部が用いる対象ブロックのデータを書き換える。

　上記の開示によれば、対象サブ領域のうちソフトエラーが生じていると推定される対象ブロックが特定される。そして、対象ブロックのデータが正しいデータに修復される。その結果、対象サブ領域の全てのデータを書き換える場合に比べて、データの修復に要する時間がさらに短縮される。

　上述の開示において、第１～第Ｎの演算部は、演算結果を第１～第Ｎの領域にそれぞれ書き込む。メイン演算部は、第１の演算部の演算結果と第２～第Ｎの演算部の演算結果とが一致しないことに応じて、第２～第Ｎの演算部の演算結果と一致するように、第１の領域に書き込まれた演算結果を書き換える。

　上記の開示によれば、演算結果のみが修復される。そのため、修復に要する時間がさらに短縮される。また、演算結果のみを修復する場合であっても、下記に説明するように、ソフトエラーによって破損の生じたデータが修復され得る。

　上述の開示において、第１～第Ｎの領域の各々は、互いに同一のデータが書き込まれる第１のサブ領域および第２のサブ領域を有する。第１～第Ｎの演算部の各々は、第１のサブ領域および第２のサブ領域のうちの一方のデータを読み出して少なくとも１つの演算処理を実行する。第１～第Ｎの演算部の各々は、少なくとも１つの演算処理の実行に応じて、第１のサブ領域および第２のサブ領域の両方のデータを更新する。少なくとも１つの演算処理は、第１の演算処理と、第１の演算処理の後に実行される第２の演算処理とを含む。メイン演算部は、第１のサブ領域のデータを用いた第１の演算部による第１の演算処理の演算結果が第１のサブ領域のデータを用いた第２～第Ｎの演算部による第１の演算処理の演算結果と一致しないことに応じて、第２の演算処理において、第１の演算部がデータを読み出す領域を第１のサブ領域から第２のサブ領域に切り替える。メイン演算部は、第２のサブ領域のデータを用いた第１の演算部による第２の演算処理の演算結果が第１のサブ領域のデータを用いた第２～第Ｎの演算部による第２の演算処理の演算結果と一致しないことに応じて、第１の領域の少なくとも一部のデータを第２～第Ｎの領域のデータと一致するように書き換える。

　上記の開示によれば、第１の演算部による第１のサブ領域を用いた演算結果が第２～第Ｎの演算部による第１のサブ領域を用いた演算結果と不一致であったとしても、データの修復は行われない。そのため、データの修復処理を行なう頻度を下げることができる。すなわち、データの修復のために演算処理の実行が待機される頻度を下げることができる。さらに、下記に説明するように、演算処理の内容によっては、ソフトエラーによって破損したデータが通常の演算処理によって自動的に修復され得る。

　本開示の一例によれば、上記のデータ処理装置のデータ処理方法は、第１～第４のステップを備える。第１のステップは、第１～第Ｎの演算部が、第１～第Ｎの領域に格納されたデータを用いて少なくとも１つの演算処理をそれぞれ実行するステップである。第２のステップは、メイン演算部が、少なくとも１つの演算処理の各々について、第１～第Ｎの演算部による演算結果を照合するステップである。第３のステップは、メイン演算部が、第１～第Ｎの演算部による演算結果のうちの予め定められた数以上の演算結果が一致することに応じて、第１～第Ｎの演算部の動作を継続させるステップである。第４のステップは、メイン演算部が、第１の演算部の演算結果と第２～第Ｎの演算部の演算結果とが一致しないことに応じて、第１の領域の少なくとも一部のデータを第２～第Ｎの領域のいずれかのデータと一致するように書き換えるステップである。

　本開示の一例によれば、プログラムは、上記のデータ処理方法を第１～第Ｎの演算部に実行させるコンピュータ読取可能なプログラムである。

　これらの開示によっても、ソフトエラーが生じたとしても動作の継続が可能であるとともに、処理速度の低下を抑制できる。

　本開示によれば、ソフトエラーが生じたとしても動作の継続が可能であるとともに、処理速度の低下を抑制できる。

実施の形態に係る安全ＩＯユニットの構成を示す概略図である。ソフトエラーの修復方法の一例を示す図である。実施形態に係る制御システムの全体構成を示す概略図である。安全ＩＯユニットのハードウェア構成例を示す模式図である。修復対象領域におけるデータの修復方法の第２の例を説明する図である。修復対象領域におけるデータの修復方法の第３の例を説明する図である。演算処理「プロセスＡ」が終了したときのメインメモリの状態の一例を示す図である。図７に示す演算処理「プロセスＡ」の後の修復処理の様子を示す図である。図８に示す修復処理の後に演算処理「プロセスＢ」が実行されたときのメインメモリの状態の一例を示す図である。図９に示す演算処理「プロセスＢ」の後の修復処理の様子を示す図である。演算処理「プロセスＡ」が終了したときのメインメモリの状態の別の例を示す図である。図１１に示す演算処理「プロセスＡ」の後の照合処理の様子を示す図である。図１２に示す照合処理の後に演算処理「プロセスＢ」が実行されたときのメインメモリ１０４の状態の一例を示す図である。図１３に示す演算処理「プロセスＢ」の後に演算処理「プロセスＣ」が実行されたときのメインメモリの状態の一例を示す図である。図１３に示す演算処理「プロセスＢ」の後に演算処理「プロセスＣ’」が実行されたときのメインメモリの状態の一例を示す図である。図１５に示す演算処理「プロセスＣ’」の後の照合修復処理の様子を示す図である。

　本発明の実施の形態について、図面を参照しながら詳細に説明する。なお、図中の同一または相当部分については、同一符号を付してその説明は繰返さない。

　§１　適用例
　航空宇宙システム、自動車、医療機器、通信機器、産業機器など様々に分野において、メモリのソフトエラーに起因するシステムの一時的な停止を抑制することが望まれる。本開示は、このような様々な分野のシステムに適用され得る。以下では、データ処理装置の適用例として、ＦＡ（ファクトリオートメーション）分野の制御システムに組み込まれる安全ＩＯユニットについて説明する。しかしながら、データ処理装置の適用例は、制御システムに組み込まれる安全ＩＯユニットに限定されない。

　図１および図２を参照して、本発明が適用される場面の一例について説明する。図１は、実施の形態に係る安全ＩＯユニット１００の構成を示す概略図である。安全ＩＯユニット１００は、データ処理装置の一例である。安全ＩＯユニット１００は、安全デバイスからの入力信号を受け付けて、当該入力信号をＰＬＣ（プログラマブルロジックコントローラ）に提供する。安全ＩＯユニット１００は、安全デバイスから受けた入力信号等を用いて、少なくとも１つの演算処理を周期的に実行する。

　図１に示されるように、安全ＩＯユニット１００は、マルチコアプロセッサ１０２とメインメモリ１０４とを備える。

　マルチコアプロセッサ１０２は、コアが複数搭載されたプロセッサである。コアの個数Ｎは、３以上の整数である。図１に示す例では、マルチコアプロセッサ１０２は、３個のコア１１，１２，１３を有する。

　コア１１，１２，１３の各々は、上記の少なくとも１つの演算処理を実行する演算部として動作する。コア１１は、メイン演算部として動作するマスターコアである。コア１２，１３は、スレーブコアとして動作する。コア１２，１３は、コア１１からの指示に応じて、動作の停止および再開を行なう。

　メインメモリ１０４は、例えばＤＲＡＭ（Dynamic　Random　Access　Memory）やＳＲＡＭ（Static　Random　Access　Memory）のような揮発性メモリによって構成される。ＳＲＡＭは、記憶部の構造としてフリップフロップを用いており、リフレッシュ動作を必要とせず、ＤＲＡＭより高速に動作できるという利点を有する。そのため、ＳＲＡＭをメインメモリ１０４として用いることが好ましい。

　積み上げ型（スタック型）の構造を有するＤＲＡＭでは、ソフトエラー耐性が高い。一方、フリップフロップ構造を有するＳＲＡＭでは、微細化によりソフトエラー耐性が低下する。そのため、大容量化のために高集積化されたＳＲＡＭによって構成されるメインメモリ１０４を用いる場合、メインメモリ１０４にソフトエラーが起こりやすい。以下、メインメモリ１０４がＳＲＡＭであるとものとして説明する。

　メインメモリ１０４は、互いに同一のデータが格納される、マルチコアプロセッサ１０２のコアの個数Ｎと同数の領域を有する。図１に示す例では、メインメモリ１０４は、３個の領域２１，２２，２３を有する。

　コア１１，１２，１３は、領域２１，２２，２３に格納されたデータを用いて、同一の演算処理をそれぞれ実行する。図１には、コア１１，１２，１３が領域２１，２２，２３のデータを用いて演算処理「プロセスＡ」をそれぞれ実行している様子が示される。コア１１，１２，１３が領域２１，２２，２３に格納されたデータをそれぞれ用いるため、コア１１，１２，１３の演算処理は、並行して実行される。したがって、演算処理に要する時間の長期化を避けることができる。すなわち、処理速度の低下が抑制される。

　メイン演算部であるコア１１は、各演算処理について、コア１１～１３による演算結果を照合する。コア１１～１３による演算結果は、領域２１～２３にそれぞれ書き込まれる。コア１１は、領域２１～２３に書き込まれた演算結果を照合すればよい。

　図１に示す例では、コア１１，１２は、領域２１，２２のデータを用いて演算処理「プロセスＡ」をそれぞれ実行することにより、演算結果（＝９）を領域２１，２２に書き込む。コア１３も、領域２３のデータを用いて演算処理「プロセスＡ」を実行し、演算結果を領域２３に書き込む。ただし、領域２３においてソフトエラーが生じ、演算処理「プロセスＡ」の実行に使用されるデータに破損（データ化け）が発生している。そのため、コア１３による演算結果（＝１５）は、コア１１，１２による演算結果（＝９）と異なる。

　コア１１は、コア１１～１３の演算結果のうちの予め定められた数以上の演算結果が一致するか否かを判断する。予め定められた数は、マルチコアプロセッサ１０２のコアの個数Ｎの過半数の整数である。

　予め定められた数以上の演算結果が一致する場合、当該演算結果は、ソフトエラーの生じていないデータを用いて生成されたものと推定される。そのため、コア１１は、コア１１～１３の演算結果のうちの予め定められた数以上の演算結果が一致することに応じて、コア１１～１３の動作を継続させる。たとえば、Ｎ＝３の場合、コア１１は、コア１１～１３の演算結果のうちの２個以上の演算結果が一致することに応じて、コア１１～１３の動作を継続させる。

　なお、コア１１は、演算結果を外部に出力する場合、コア１１～１３の演算結果のうち一致する予め定められた数以上の演算結果を出力する。あるいは、コア１１は、演算結果に応じた指令を外部に出力する場合、コア１１～１３の演算結果のうち一致する予め定められた数以上の演算結果に応じた指令を出力する。

　予め定められた数以上の演算結果が一致しない場合、ソフトエラーの生じていないデータを用いて生成された演算結果を推定できない。そのため、コア１１は、コア１１～１３の演算結果のうちの予め定められた数以上の演算結果が一致しないことに応じて、コア１１～１３の動作を停止させる。

　さらに、コア１１は、予め定められた数未満の演算結果が予め定められた数以上の演算結果と一致しないことに応じて、予め定められた数以上の演算結果と一致しない演算結果が書き込まれている領域の少なくとも一部のデータを、他の領域のいずれかのデータと一致するように書き換える。これにより、ソフトエラーによって破損したデータが修復され得る。

　図２は、ソフトエラーの修復方法の一例を示す図である。コア１１は、コア１３の演算結果（＝１５）とコア１１，１２の演算結果（＝９）とが一致しないことに応じて、コア１３に対応する領域２３の少なくとも一部のデータを領域２１，２２のいずれかのデータと一致するように書き換える。図２に示す例では、コア１１は、領域２１のデータと一致するように領域２３のデータを書き換える。すなわち、コア１１は、領域２１のデータを領域２３にコピーする。このように、３個の領域２１～２３のうちの１個の領域にソフトエラーが発生したとしても、ソフトエラーの生じた領域のデータが修復され得る。

　このように、本実施の形態によれば、Ｎ個（Ｎは３以上の整数）の演算部（コア）がメインメモリ１０４のＮ個の領域を用いて演算処理を実行するため、演算に要する処理時間の長期化が抑制される。すなわち、処理速度の低下が抑制される。

　さらに、Ｎ個の演算結果が照合され、予め定められた数以上の演算結果が一致することに応じて、Ｎ個の演算部（コア）の動作が継続される。そのため、ソフトエラーが生じたとしても動作の継続が可能である。

　さらに、コア１３の演算結果（＝１５）とコア１１，１２の演算結果（＝９）とが一致しないことに応じて、コア１３に対応する領域２３の少なくとも一部のデータは、領域２１，２２のいずれかのデータと一致するように書き換えられる。このようにしてソフトエラーによって破損したデータが正しいデータに修復されることにより、ソフトエラーに起因するシステムの一時的な停止が抑制される。

　§２　具体例
　＜制御システムの全体構成＞
　図３は、実施形態に係る制御システムの全体構成を示す概略図である。図３に例示される制御システム１は、主要なコンポーネントとして、１以上の安全ＩＯユニット１００と、標準ＰＬＣ２００と、安全ＰＬＣ３００と、１以上のカプラ４００と、を含む。制御システム１に含まれるこれらの装置は、各種の演算処理を実行するデータ処理装置である。

　標準ＰＬＣ２００は、予め作成された標準制御プログラムに従って、任意の制御対象に対する標準制御を実行する。「標準制御」は、予め定められた要求仕様に沿って、制御対象を制御するための処理の総称である。制御対象は、例えばサーボモータ、ロボットなどである。

　安全ＰＬＣ３００は、標準ＰＬＣ２００とは独立して、任意の制御対象に対するセーフティ制御を実行する。図３に例示される安全ＰＬＣ３００は、ローカルバスを介して標準ＰＬＣ２００に接続される。「セーフティ制御」は、設備や機械などによって人の安全が脅かされることを防止するための処理の総称である。「セーフティ制御」は、例えばＩＥＣ　６１５０８などに規定されたセーフティ機能を実現するための要件を満たすように設計される。

　カプラ４００は、標準ＰＬＣ２００と安全ＩＯユニット１００との間のデータの遣り取りを仲介する。カプラ４００は、フィールドネットワーク２を介して、標準ＰＬＣ２００と電気的に接続されている。フィールドネットワーク２は、ＦＡ用のデータ伝送を実現するための通信媒体である。フィールドネットワーク２において、予め定められた周期でフレーム伝送が可能になっており、ネットワーク内の各ノードに対するデータ到着時間が保証される。このようなデータ到着時間が保証されるプロトコルの一例として、本実施の形態に従う制御システム１においては、フィールドネットワーク２にはＥｔｈｅｒＣＡＴ（登録商標）を採用する。

　カプラ４００は、標準ＰＬＣ２００から受信したデータを安全ＩＯユニット１００へ送信するとともに、安全ＩＯユニット１００からデータを受信すると、当該受信したデータを次に到着するフレームに格納する準備を行なう。

　安全ＩＯユニット１００は、安全ＰＬＣ３００またはカプラ４００にローカルバスを介して接続される。さらに、安全ＩＯユニット１００には任意の安全デバイス（図示せず）が接続される。安全デバイスには、ライトカーテン、非常停止ボタン、セーフティドアスイッチなどが含まれる。

　安全ＩＯユニット１００は、安全デバイスからの入力信号を受け付けて、安全ＰＬＣ３００へ当該入力信号を提供する。あるいは、安全ＩＯユニット１００は、安全デバイスからの入力信号を受け付けて、カプラ４００を介して標準ＰＬＣ２００へ当該入力信号を提供する。標準ＰＬＣ２００へ提供された入力信号は、安全ＰＬＣ３００へ提供される。

　さらに、安全ＩＯユニット１００は、安全ＰＬＣ３００からの指令に応じて、安全デバイスへ出力信号を出力する。あるいは、安全ＩＯユニット１００は、カプラ４００および標準ＰＬＣ２００を介した安全ＰＬＣ３００からの指令に応じて、安全デバイスへ出力信号を出力する。

　安全ＩＯユニット１００は、予め定められた周期ごとに、安全デバイスからの入力信号の受け付け、当該入力信号の提供、安全デバイスへの出力信号の出力などに関する演算処理を実行する。

　安全ＰＬＣ３００は、安全ＩＯユニット１００から提供された入力信号に応じて、セーフティ制御を実行する。例えば、安全ＰＬＣ３００は、ライトカーテンである安全デバイスから人の侵入を示す入力信号が提供されると、標準ＰＬＣ２００の制御対象への電源供給を遮断し、制御システム１を一時的に停止させる。あるいは、安全ＰＬＣ３００は、非常停止ボタンである安全デバイスからボタン押下を示す入力信号が提供されると、標準ＰＬＣ２００の制御対象への電源供給を遮断し、制御システム１を一時的に停止させる。

　このように、安全ＩＯユニット１００は、人の安全が脅かされることを防止するためのセーフティ制御に直接関わる。従って、安全ＰＬＣ３００は、安全ＩＯユニット１００に故障や異常が発生したときにも、制御システム１を一時的に停止させるように設計されている。

　安全ＩＯユニット１００のメインメモリ１０４においてソフトエラーが発生し、破損したデータが修復されないまま安全ＩＯユニット１００が動作し続けると、安全ＰＬＣ３００は、セーフティ制御を正常に実行できない。そのため、安全ＩＯユニット１００は、ソフトエラーが発生したとしても、動作を継続させるとともに、破損したデータを修復する機能を有する。

　＜安全ＩＯユニットのハードウェア構成＞
　図４は、安全ＩＯユニットのハードウェア構成例を示す模式図である。図４に例示される安全ＩＯユニット１００は、上述したマルチコアプロセッサ１０２およびメインメモリ１０４の他に、ストレージ１１０と、ローカルバスコントローラ１２０と、安全ＩＯモジュール１３０と、を含む。これらのコンポーネントは、プロセッサバス１４０を介して接続されている。

　ストレージ１１０は、例えばＳＳＤ（Solid　State　Drive）やＨＤＤ（Hard　Disk　Drive）などの不揮発性記憶装置などで構成される。ストレージ１１０には、ＩＯ機能を実現するための実行可能プログラム１１１と照合修復プログラム１１２とが格納される。

　ローカルバスコントローラ１２０は、ローカルバスを介して、安全ＩＯユニット１００が接続されるデバイス（例えば安全ＰＬＣ３００、カプラ４００）との間でデータを遣り取りする。

　安全ＩＯモジュール１３０は、安全デバイスと電気的に接続され、安全デバイスによる検出結果などの入力を受け付けたり、安全デバイスへ信号を出力したりする。

　＜実行可能プログラムの実行＞
　マルチコアプロセッサ１０２のコア１１～１３（図１参照）は、実行可能プログラム１１１を並行して実行する。コア１１～１３は、メインメモリ１０４の領域２１～２３（図１参照）をそれぞれ用いて、実行可能プログラム１１１を実行する。

　コア１１～１３は、予め定められた制御周期ごとに、実行可能プログラム１１１を実行する。実行可能プログラム１１１は、少なくとも１つの演算処理を規定する。そのため、コア１１～１３は、実行可能プログラム１１１によって規定される少なくとも１つの演算処理を周期的に実行する。

　＜演算結果の照合およびデータの修復＞
　メイン演算部であるコア１１は、コア１１～１３による演算処理が終了するたびに、照合修復プログラム１１２を実行する。

　具体的には、コア１１は、コア１１～１３による演算処理の実行によって得られる３つの演算結果を照合する。当該３つの演算結果は、メインメモリ１０４の領域２１～２３にそれぞれ書き込まれる。そのため、コア１１は、領域２１～２３に書き込まれた演算結果を照合する。なお、コア１１は、演算結果の照合処理を行っている間、処理を待機するようにコア１２，１３に指示する。

　照合結果として、以下の（１）～（３）のパターンが考えられる。
（１）３つの演算結果が一致する。
（２）２つの演算結果が一致する。残り１つの演算結果は、上記の２つの演算結果と異なる。
（３）３つの演算結果が互いに異なる。

　パターン（１）の場合、メインメモリ１０４にはソフトエラーが生じていないと推定される。そのため、コア１１は、データの修復が不要と判断し、次の演算処理を開始するとともに、コア１２，１３に次の演算処理の開始を指示する。

　パターン（３）の場合、メインメモリ１０４の領域２１～２３のうちの少なくとも２つにおいてソフトエラーが生じていると推定される。この場合、領域２１～２３のうちソフトエラーが生じていない領域の特定が困難である。そのため、コア１１は、安全ＩＯユニット１００が異常状態であると判断し、異常信号を安全ＰＬＣ３００に出力する。安全ＰＬＣ３００は、異常信号を受けると、標準ＰＬＣ２００の制御対象への電源供給を遮断し、制御システム１を一時的に停止させる。

　ソフトエラーが発生する頻度は低い。そのため、メインメモリ１０４の２カ所において、ほぼ同じ時期にソフトエラーが発生する可能性が低い。したがって、パターン（２）の場合、互いに一致する演算結果が書き込まれている２つの領域において、ソフトエラーが生じていないと予想される。一方、領域２１～２３のうち、２つの領域の演算結果と異なる演算結果が書き込まれた領域（以下、「修復対象領域」と称する。）においてソフトエラーが生じていると推定される。そのため、コア１１は、修復対象領域のデータの修復が必要であると判断し、修復対象領域のデータの修復処理を実行する。コア１１は、データの修復処理が完了した後、次の演算処理を開始するとともに、コア１２，１３に次の演算処理の開始を指示する。

　修復対象領域において、ソフトエラーが生じているビットを確認するためには、修復対象領域と残り２つの領域との全ビットの比較が必要となる。当該比較処理には時間がかかる。そのため、コア１１は、当該比較処理を実行することなく、修復対象領域における少なくとも一部のデータを、残り２つの領域のいずれかのデータと一致するように書き換える。以下、修復対象領域におけるデータの修復方法の例について説明する。

　　（修復対象領域におけるデータの修復方法の第１の例）
　コア１１は、修復対象領域以外のいずれかの領域の全てのデータと一致するように、修復対象領域の全てのデータを書き換えてもよい。これにより、ソフトエラーによって破損（データ化け）の生じているデータ、および、修復対象領域に書き込まれた演算結果の両者が正しい内容に修復される。

　　（修復対象領域におけるデータの修復方法の第２の例）
　上記第１の例では、ソフトエラーによって破損の生じているデータおよび演算結果の両者が正しい内容に修復される。しかしながら、修復対象領域の全てのデータが書き換えられるため、修復に要する時間が長くなる。当該修復を行なっている間、次の演算処理が開始されない。そのため、例えばライトカーテンである安全デバイスから人の侵入を示す入力信号が提供されたとしても、安全ＩＯユニット１００から安全ＰＬＣ３００への当該入力信号の転送が遅延する。このような遅延時間を考慮して、安全距離を長くとる必要が生じる。具体的には、設備とライトカーテンとの距離を長く設定する。これにより、設備とライトカーテンとを含む生産ラインの規模が大きくなる。

　そのため、第２の例では、コア１１は、修復対象領域のうちの一部のデータのみを、残り２つの領域のいずれかのデータと一致するように書き換える。

　図５は、修復対象領域におけるデータの修復方法の第２の例を説明する図である。図５に示されるように、メインメモリ１０４の領域２１，２２，２３の各々は、複数の演算処理にそれぞれ対応する複数のサブ領域を有する。領域２１は、演算処理「プロセスＡ」～「プロセスＸ」にそれぞれ対応するサブ領域２１ａ～２１ｘを有する。同様に、領域２２は、演算処理「プロセスＡ」～「プロセスＸ」にそれぞれ対応するサブ領域２２ａ～２２ｘを有する。領域２３は、演算処理「プロセスＡ」～「プロセスＸ」にそれぞれ対応するサブ領域２３ａ～２３ｘを有する。各サブ領域には、対応する演算処理に用いられる変数群が書き込まれる。

　コア１１は、複数の演算処理のうちの対象演算処理について、コア１１～１３の演算結果が上記のパターン（２）を満たすことに応じて、複数のサブ領域のうち対象演算処理に対応する対象サブ領域を特定する。例えば、コア１１，１２による演算処理「プロセスＡ」の演算結果が一致し、コア１３による演算処理「プロセスＡ」の演算結果がコア１１，１２による演算処理「プロセスＡ」の演算結果と一致しない場合、サブ領域２１ａ～２３ａが対象サブ領域として特定される。

　コア１１は、互いに一致する２つの演算結果と一致しない演算結果を生成したコアに対応する対象サブ領域のデータを、残り２つのコアのいずれかに対応する対象サブ領域のデータと一致するように書き換える。例えば、コア１３による演算処理「プロセスＡ」の演算結果がコア１１，１２による演算処理「プロセスＡ」の演算結果と一致しない場合、サブ領域２１ａのデータと一致するようにサブ領域２３ａのデータが書き換えられる。

　コア１３による演算処理「プロセスＡ」の演算結果がコア１１，１２による演算処理「プロセスＡ」の演算結果と一致しない場合、コア１３による演算処理「プロセスＡ」に使用される変数を格納するサブ領域２３ａにおいてソフトエラーが生じていると推定される。サブ領域２１ａのデータと一致するようにサブ領域２３ａのデータが書き換えられることにより、ソフトエラーによって破損したデータが正しいデータに修復される。

　データが書き換えられる対象は、領域２３の全てではなく、領域２３の一部であるサブ領域２３ａのみである。そのため、修復に要する時間が短縮される。その結果、例えば、設備とライトカーテンとを含む生産ラインの規模の増大が抑制される。

　　（修復対象領域におけるデータの修復方法の第３の例）
　修復対象領域におけるデータの修復方法の第３の例は、上記の第２の例の変形例である。各サブ領域は、複数のブロックに予め分割されている。

　図６は、修復対象領域におけるデータの修復方法の第３の例を説明する図である。図６には、コア１３による演算処理「プロセスＡ」の演算結果がコア１１，１２による演算処理「プロセスＡ」の演算結果と一致しない場合における、修復対象領域におけるデータの修復方法が示される。サブ領域２１ａは、複数のブロック３１＿１，３１＿２，・・・，３１＿Ｍに分割される。サブ領域２２ａは、複数のブロック３２＿１，３２＿２，・・・，３２＿Ｍに分割される。サブ領域２３ａは、複数のブロック３３＿１，３３＿２，・・・，３３＿Ｍに分割される。

　図６に示されるように、コア１１は、演算処理「プロセスＡ」に対応するサブ領域２１ａ，２２ａ，２３ａ（対象サブ領域）の複数のブロック３１＿１～３１＿Ｍ，３２＿１～３２＿Ｍ，３３＿１～３３＿Ｍの各々の誤り検出符号ＣＲＣを演算する。

　コア１１は、対象サブ領域の複数のブロックのうち、コア１３が用いるサブ領域２３ａとコア１１，１２が用いるサブ領域２１ａ，２２ａとの間で誤り検出符号ＣＲＣが一致しない対象ブロックを特定する。例えば、ブロック３３＿１の誤り検出符号ＣＲＣがブロック３１＿１，３２＿１の誤り検出符号ＣＲＣと一致しない場合、ブロック３１＿１，３２＿１，３３＿１が対象ブロックとして特定される。

　コア１１は、コア１１，１２が用いる対象ブロックのデータと一致するように、コア１３が用いる対象ブロックのデータを書き換える。例えば、コア１１は、コア１１，１２が用いるブロック３１＿１，３２＿１のいずれかのデータと一致するように、コア１３が用いるブロック３３＿１のデータを書き換える。

　コア１３が用いるサブ領域２３ａとコア１１，１２が用いるサブ領域２１ａ，２２ａとの間で誤り検出符号ＣＲＣが一致するブロックでは、ソフトエラーが生じていないと推定される。そのため、このようなブロックは、データが書き換えられる対象から除外される。すなわち、データが書き換えられる対象は、サブ領域２３ａのうち、誤り検出符号ＣＲＣがブロック３１＿１，３２＿１と一致しないブロック３３＿１のみに限定される。その結果、修復に要する時間がさらに短縮される。

　　（修復対象領域におけるデータの修復方法の第４の例）
　図７～図１０を参照して、修復対象領域におけるデータの修復方法の第４の例を説明する。第４の例では、コア１１は、あるコア（例えばコア１３）の演算結果と残りのコア（例えばコア１１，１２）の演算結果とが一致しないことに応じて、当該残りのコアの演算結果と一致するように、メインメモリ１０４の当該あるコアの演算結果を書き換える。

　図７は、演算処理「プロセスＡ」が終了したときのメインメモリの状態の一例を示す図である。図７に示す例では、メインメモリ１０４の領域２３においてソフトエラーが生じ、変数ａが「１」から「３」に化けている。演算処理「プロセスＡ」は、以下の式（１）に従って変数ｘを更新する処理である。
ｘ＝（ａ＋ｂ）＊ｃ・・・式（１）。

　図７に示されるように、コア１１，１２は、領域２１，２２から演算に使用する変数（変数ａ，ｂ，ｃ）をそれぞれ読み出し、演算処理「プロセスＡ」の実行により、領域２１，２２の変数ｘを「５」から「９」にそれぞれ更新する。同様に、コア１３も、領域２３から演算に使用する変数ａ，ｂ，ｃを読み出し、演算処理「プロセスＡ」の実行により、領域２３の変数ｘを更新する。上述したように、領域２３において、変数ａにデータ化けが発生している。そのため、コア１３は、領域２３の変数ｘを「５」から「１５」に更新する。

　図８は、図７に示す演算処理「プロセスＡ」の後の修復処理の様子を示す図である。図８に示されるように、コア１１は、コア１１，１２，１３による演算処理「プロセスＡ」の演算結果を照合する。コア１１は、コア１３による演算結果「１５」がコア１１，１２による演算結果「９」と異なることに応じて、領域２３に書き込まれた演算結果「１５」を、領域２１，２２に書き込まれた演算結果「９」に書き換える。これにより、領域２３において、演算処理「プロセスＡ」の演算結果である変数ｘが正しい値に修復される。

　なお、コア１１は、コア１３による演算結果「１５」がコア１１，１２による演算結果「９」と異なる原因まで検証しない。そのため、コア１１は、領域２３の変数ａにデータ化けが発生していることを認識できず、変数ａの修復を行なわない。

　図９は、図８に示す修復処理の後に演算処理「プロセスＢ」が実行されたときのメインメモリの状態の一例を示す図である。演算処理「プロセスＢ」は、以下の式（２）に従って変数ａを更新する処理である。
ａ＝ａ＋１・・・式（２）。

　図９に示されるように、コア１１，１２は、領域２１，２２から演算に使用する変数ａをそれぞれ読み出し、演算処理「プロセスＢ」の実行により、領域２１，２２の変数ａを「１」から「２」にそれぞれ更新する。同様に、コア１３も、領域２３から演算に使用する変数ａを読み出し、演算処理「プロセスＢ」の実行により、領域２３の変数ａを更新する。上述したように、領域２３において、変数ａにデータ化けが発生している。そのため、コア１３は、領域２３の変数ｘを「３」から「４」に更新する。

　図１０は、図９に示す演算処理「プロセスＢ」の後の修復処理の様子を示す図である。図１０に示されるように、コア１１は、コア１１，１２，１３による演算処理「プロセスＢ」の演算結果を照合する。コア１１は、コア１３による演算結果「４」がコア１１，１２による演算結果「２」と異なることに応じて、領域２３に書き込まれた演算結果「４」を、領域２１，２２に書き込まれた演算結果「２」に書き換える。これにより、領域２３において、演算処理「プロセスＢ」の演算結果である変数ａが正しい値に修復される。

　このように、第４の例では、演算結果のみが修復される。そのため、修復に要する時間が短縮される。また、演算結果のみを修復する場合であっても、図７～１０に示されるように、ソフトエラーによって破損（データ化け）の生じたデータについても修復され得る。

　　（修復対象領域におけるデータの修復方法の第５の例）
　図１１～図１６を参照して、修復対象領域におけるデータの修復方法の第５の例を説明する。第５の例では、領域２１～２３の各々は、互いに同一のデータが書き込まれる２つのサブ領域を有する。コア１１～１３の各々は、２つのサブ領域のうちの一方のデータを読み出して演算処理を実行し、当該演算処理の実行に応じて、２つのサブ領域の両方のデータを更新する。

　図１１は、演算処理「プロセスＡ」が終了したときのメインメモリの状態の別の例を示す図である。図１１に示されるように、領域２１は、互いに同一のデータが書き込まれるサブ領域４１ａ，４１ｂを有する。領域２２は、互いに同一のデータが書き込まれるサブ領域４２ａ，４２ｂを有する。領域２３は、互いに同一のデータが書き込まれるサブ領域４３ａ，４３ｂを有する。ただし、図１１に示す例では、メインメモリ１０４の領域２３のサブ領域４３ａにおいてソフトエラーが生じ、変数ａが「１」から「３」に化けている。

　図１１に示されるように、コア１１は、サブ領域４１ａから演算に使用する変数（変数ａ，ｂ，ｃ）を読み出し、演算処理「プロセスＡ」の実行に従って、サブ領域４１ａ，４１ｂの両方の変数ｘを「５」から「９」に更新する。コア１２は、サブ領域４２ａから演算に使用する変数（変数ａ，ｂ，ｃ）を読み出し、演算処理「プロセスＡ」の実行に従って、サブ領域４２ａ，４２ｂの両方の変数ｘを「５」から「９」に更新する。同様に、コア１３も、サブ領域４３ａから演算に使用する変数（変数ａ，ｂ，ｃ）を読み出し、演算処理「プロセスＡ」の実行に従って、サブ領域４３ａ，４３ｂの両方の変数ｘを更新する。上述したように、サブ領域４３ａにおいて、変数ａにデータ化けが発生している。そのため、コア１３は、サブ領域４３ａ，４３ｂの変数ｘを「５」から「１５」に更新する。

　図１２は、図１１に示す演算処理「プロセスＡ」の後の照合処理の様子を示す図である。図１２に示されるように、コア１１は、コア１１，１２，１３による演算処理「プロセスＡ」の演算結果を照合する。コア１３による演算結果「１５」がコア１１，１２による演算結果「９」と異なるため、サブ領域４３ａにおいてソフトエラーが生じていることが推定される。そのため、コア１１は、コア１３による演算結果「１５」がコア１１，１２による演算結果「９」と異なることに応じて、コア１３が演算処理のために使用する領域を、サブ領域４３ａからサブ領域４３ｂに切り替える。

　図１３は、図１２に示す照合処理の後に演算処理「プロセスＢ」が実行されたときのメインメモリ１０４の状態の一例を示す図である。

　図１３に示されるように、コア１１は、サブ領域４１ａから演算に使用する変数ａを読み出し、演算処理「プロセスＢ」の実行に従って、サブ領域４１ａ，４１ｂの両方の変数ａを「１」から「２」に更新する。コア１２は、サブ領域４２ａから演算に使用する変数ａを読み出し、演算処理「プロセスＢ」の実行に従って、サブ領域４２ａ，４２ｂの両方の変数ａを「１」から「２」に更新する。コア１３は、サブ領域４３ｂから演算に使用する変数ａを読み出し、演算処理「プロセスＢ」の実行に従って、サブ領域４３ａ，４３ｂの両方の変数ａを更新する。サブ領域４３ａでは変数ａにデータ化けが発生しているものの、サブ領域４３ｂではデータ化けが発生していない。そのため、コア１３は、サブ領域４３ａの変数ａを「３」から「２」に更新し、サブ領域４３ｂの変数ａを「１」から「２」に更新する。これにより、サブ領域４３ａの変数ａの値が正しい値に修復される。

　図１４は、図１３に示す演算処理「プロセスＢ」の後に演算処理「プロセスＣ」が実行されたときのメインメモリの状態の一例を示す図である。演算処理「プロセスＣ」は、以下の式（３）に従って変数ｘを更新する処理である。
ｘ＝４＊ｃ・・・式（３）。

　図１４に示されるように、コア１１は、サブ領域４１ａから演算に使用する変数ｃを読み出し、演算処理「プロセスＣ」の実行に従って、サブ領域４１ａ，４１ｂの両方の変数ｘを「９」から「１２」に更新する。コア１２は、サブ領域４２ａから演算に使用する変数ｃを読み出し、演算処理「プロセスＣ」の実行に従って、サブ領域４２ａ，４２ｂの両方の変数ｘを「９」から「１２」に更新する。コア１３は、サブ領域４３ｂから演算に使用する変数ｃを読み出し、演算処理「プロセスＣ」の実行に従って、サブ領域４３ａ，４３ｂの両方の変数ｘを「１５」から「１２」に更新する。これにより、サブ領域４３ａ，４３ｂの変数ｘの値が正しい値に修復される。

　図１５は、図１３に示す演算処理「プロセスＢ」の後に演算処理「プロセスＣ’」が実行されたときのメインメモリの状態の一例を示す図である。演算処理「プロセスＣ’」は、以下の式（４）に従って変数ｘを更新する処理である。
ｘ＝ｘ＋１・・・式（４）。

　図１５に示されるように、コア１１は、サブ領域４１ａから演算に使用する変数ｘを読み出し、演算処理「プロセスＣ’」の実行に従って、サブ領域４１ａ，４１ｂの両方の変数ｘを「９」から「１０」に更新する。コア１２は、サブ領域４２ａから演算に使用する変数ｘを読み出し、演算処理「プロセスＣ’」の実行に従って、サブ領域４２ａ，４２ｂの両方の変数ｘを「９」から「１０」に更新する。コア１３は、サブ領域４３ｂから演算に使用する変数ｘを読み出し、演算処理「プロセスＣ’」の実行に従って、サブ領域４３ａ，４３ｂの両方の変数ｘを「１５」から「１６」に更新する。

　図１６は、図１５に示す演算処理「プロセスＣ’」の後の照合修復処理の様子を示す図である。図１６に示されるように、コア１１は、コア１１，１２，１３による演算処理「プロセスＣ’」の演算結果を照合する。コア１１は、コア１３による演算結果「１６」がコア１１，１２による演算結果「１０」と異なることに応じて、領域２３の修復が必要であると判断する。そして、コア１１は、たとえば上記の第１の例に従って、領域２１，２２のいずれかの全てのデータと一致するように、修復対象領域である領域２３の全てのデータを書き換える。これにより、サブ領域４３ａ，４３ｂの変数ｘの値が正しい値に修復される。

　第５の例によれば、サブ領域４１ａ～４３ａを用いた演算結果が不一致であったとしても、データの修復は行われない。そのため、データの修復処理を行なう頻度を下げることができる。すなわち、データの修復のために演算処理の実行が待機される頻度を下げることができる。

　さらに、図１１～図１４に示されるように、演算処理の内容によっては、ソフトエラーによって破損したデータが通常の演算処理によって自動的に修復され得る。

　＜変形例＞
　上記の説明では、安全ＩＯユニット１００は、複数のコアを有するマルチコアプロセッサ１０２を備えるものとした。しかしながら、安全ＩＯユニット１００は、マルチコアプロセッサ１０２の代わりに、複数のプロセッサを有するマルチプロセッサを備えてもよい。複数のプロセッサは、演算部として動作する。例えば、安全ＩＯユニット１００は、３個のプロセッサを有するマルチプロセッサを備える。３個のプロセッサは、メインメモリ１０４の領域２１，２２，２３を用いて演算処理をそれぞれ実行する。３個のプロセッサのうちの１つは、メイン演算部として動作する。メイン演算部として動作するプロセッサは、上記のコア１１と同様に、照合修復処理を実行する。

　標準ＰＬＣ２００、安全ＰＬＣ３００およびカプラ４００も、安全ＩＯユニット１００と同様に、マルチコアプロセッサが搭載され、照合修復プログラムを有していてもよい。これにより、標準ＰＬＣ２００、安全ＰＬＣ３００およびカプラ４００も、メインメモリにソフトエラーが生じたとしても動作を継続できる。その結果、制御システム１の停止の頻度が抑制される。

　§３　付記
　以上のように、本実施の形態は以下のような開示を含む。

　（構成１）
　少なくとも１つの演算処理を実行するデータ処理装置（１００）であって、
　第１～第Ｎの演算部（１１～１３）と、
　メモリ（１０４）と、を備え、
　Ｎは３以上の整数であり、
　前記第１～第Ｎの演算部（１１～１３）のうちの１つは、メイン演算部（１１）であり、
　前記メモリ（１０４）は、互いに同一のデータが格納される第１～第Ｎの領域（２１～２３）を有し、
　前記第１～第Ｎの演算部（１１～１３）は、前記第１～第Ｎの領域（２１～２３）に格納されたデータを用いて前記少なくとも１つの演算処理をそれぞれ実行し、
　前記メイン演算部（１１）は、
　　前記少なくとも１つの演算処理の各々について、前記第１～第Ｎの演算部（１１～１３）による演算結果を照合し、
　　前記第１～第Ｎの演算部（１１～１３）による演算結果のうちの予め定められた数以上の演算結果が一致することに応じて、前記第１～第Ｎの演算部（１１～１３）の動作を継続させ、
　　前記第１の演算部（１３）の前記演算結果と前記第２～第Ｎの演算部（１１，１２）の前記演算結果とが一致しないことに応じて、前記第１の領域（２３）の少なくとも一部のデータを前記第２～第Ｎの領域（２１，２２）のいずれかのデータと一致するように書き換える、データ処理装置（１００）。

　（構成２）
　前記メイン演算部（１１）は、前記第１の演算部（１３）の前記演算結果と前記第２～第Ｎの演算部（１１，１２）の前記演算結果とが一致しないことに応じて、前記第２～第Ｎの領域（２１，２２）のいずれかの全てのデータと一致するように、前記第１の領域（２３）の全てのデータを書き換える、構成１に記載のデータ処理装置。

　（構成３）
　前記少なくとも１つの演算処理は、複数の演算処理を含み、
　前記第１～第Ｎの領域（２１～２３）の各々は、前記複数の演算処理の実行によって上書きされるデータをそれぞれ記憶する複数のサブ領域（２１ａ～２１ｘ，２２ａ～２２ｘ，２３ａ～２３ｘ）を有し、
　前記メイン演算部（１１）は、
　　前記複数の演算処理のうちの対象演算処理について、前記第１の演算部（１３）の前記演算結果と前記第２～第Ｎの演算部（１１，１２）の前記演算結果とが一致しないことに応じて、前記複数のサブ領域（２１ａ～２１ｘ，２２ａ～２２ｘ，２３ａ～２３ｘ）のうち前記対象演算処理に対応する対象サブ領域（２１ａ，２２ａ，２３ａ）を特定し、
　　前記第２～第Ｎの演算部（１１，１２）のいずれかが用いる前記対象サブ領域（２１ａ，２２ａ）のデータと一致するように、前記第１の演算部（１３）が用いる前記対象サブ領域（２３ａ）のデータを書き換える、構成１に記載のデータ処理装置（１００）。

　（構成４）
　前記複数のサブ領域（２１ａ～２１ｘ，２２ａ～２２ｘ，２３ａ～２３ｘ）の各々は、複数のブロック（３１＿１～３１＿Ｍ，３２＿１～３２＿Ｍ，３３＿１～３３＿Ｍ）に分割され、
　前記メイン演算部（１１）は、
　　前記対象サブ領域（２１ａ，２２ａ，２３ａ）の前記複数のブロックの各々の誤り検出符号を演算し、
　　前記対象サブ領域の前記複数のブロックのうち、前記第１の演算部（１３）が用いる前記対象サブ領域と前記第２～第Ｎの演算部（１１，１２）が用いる前記対象サブ領域との間で前記誤り検出符号が一致しない対象ブロック（３１＿１，３２＿１，３３＿１）を特定し、
　　前記第２～第Ｎの演算部（１１，１２）が用いる前記対象ブロック（３１＿１，３２＿１）のデータと一致するように、前記第１の演算部（１３）が用いる前記対象ブロック（３３＿１）のデータを書き換える、構成３に記載のデータ処理装置（１００）。

　（構成５）
　前記第１～第Ｎの演算部（１１～１３）は、前記演算結果を前記第１～第Ｎの領域（２１～２３）にそれぞれ書き込み、
　前記メイン演算部（１１）は、
　　前記第１の演算部（１３）の前記演算結果と前記第２～第Ｎの演算部（１１，１２）の前記演算結果とが一致しないことに応じて、前記第２～第Ｎの演算部（１１，１２）の前記演算結果と一致するように、前記第１の領域（２３）に書き込まれた前記演算結果を書き換える、構成１に記載のデータ処理装置（１００）。

　（構成６）
　前記第１～第Ｎの領域（２１～２３）の各々は、互いに同一のデータが書き込まれる第１のサブ領域（４１ａ，４２ａ，４３ａ）および第２のサブ領域（４１ｂ，４２ｂ，４３ｂ）を有し、
　前記第１～第Ｎの演算部（１１～１３）の各々は、
　　前記第１のサブ領域（４１ａ，４２ａ，４３ａ）および前記第２のサブ領域（４１ｂ，４２ｂ，４３ｂ）のうちの一方のデータを読み出して前記少なくとも１つの演算処理を実行し、
　　前記少なくとも１つの演算処理の実行に応じて、前記第１のサブ領域（４１ａ，４２ａ，４３ａ）および前記第２のサブ領域（４１ｂ，４２ｂ，４３ｂ）の両方のデータを更新し、
　前記少なくとも１つの演算処理は、第１の演算処理と、前記第１の演算処理の後に実行される第２の演算処理とを含み、
　前記メイン演算部（１１）は、
　　前記第１のサブ領域（４３ａ）のデータを用いた前記第１の演算部（１３）による前記第１の演算処理の演算結果が前記第１のサブ領域（４１ａ，４２ａ）のデータを用いた前記第２～第Ｎの演算部（１１，１２）による前記第１の演算処理の前記演算結果と一致しないことに応じて、前記第２の演算処理において、前記第１の演算部（１３）がデータを読み出す領域を前記第１のサブ領域（４３ａ）から前記第２のサブ領域（４３ｂ）に切り替え、
　　前記第２のサブ領域（４３ｂ）のデータを用いた前記第１の演算部（１３）による前記第２の演算処理の演算結果が前記第１のサブ領域（４１ａ，４２ａ）のデータを用いた前記第２～第Ｎの演算部（１１ａ，１２）による前記第２の演算処理の演算結果と一致しないことに応じて、前記第１の領域（２３）の前記少なくとも一部のデータを前記第２～第Ｎの領域（２１，２２）のデータと一致するように書き換える、構成１に記載のデータ処理装置（１００）。

　（構成７）
　少なくとも１つの演算処理を実行するデータ処理装置（１００）のデータ処理方法であって、
　前記データ処理装置（１００）は、
　　第１～第Ｎの演算部（１１～１３）と、
　　メモリ（１０４）と、を備え、
　Ｎは３以上の整数であり、
　前記第１～第Ｎの演算部（１１～１３）のうちの１つは、メイン演算部（１１）であり、
　前記メモリ（１０４）は、互いに同一のデータが格納される第１～第Ｎの領域（２１～２３）を有し、
　前記データ処理方法は、
　前記第１～第Ｎの演算部（１１～１３）が、前記第１～第Ｎの領域（２１～２３）に格納されたデータを用いて前記少なくとも１つの演算処理をそれぞれ実行するステップと、
　前記メイン演算部（１１）が、前記少なくとも１つの演算処理の各々について、前記第１～第Ｎの演算部（１１～１３）による演算結果を照合するステップと、
　前記メイン演算部（１１）が、前記第１～第Ｎの演算部（１１～１３）による演算結果のうちの予め定められた数以上の演算結果が一致することに応じて、前記第１～第Ｎの演算部（１１～１３）の動作を継続させるステップと、
　前記メイン演算部（１１）が、前記第１の演算部（１３）の前記演算結果と前記第２～第Ｎの演算部（１１ａ，１２）の前記演算結果とが一致しないことに応じて、前記第１の領域（２３）の少なくとも一部のデータを前記第２～第Ｎの領域（２１，２２）のいずれかのデータと一致するように書き換えるステップと、を備えるデータ処理方法。

　（構成８）
　構成７に記載のデータ処理方法を前記第１～第Ｎの演算部（１１～１３）に実行させるコンピュータ読取可能なプログラム。

　本発明の実施の形態について説明したが、今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は請求の範囲によって示され、請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。

　１　制御システム、２　フィールドネットワーク、１１，１２，１３　コア、２１，２２，２３　領域、２１ａ～２１ｘ，２２ａ～２２ｘ，２３ａ～２３ｘ，４１ａ，４１ｂ，４２ａ，４２ｂ，４３ａ，４３ｂ　サブ領域、３１＿１～３１＿Ｍ，３２＿１～３２＿Ｍ，３３＿１～３３＿Ｍ　ブロック、１００　安全ＩＯユニット、１０２　マルチコアプロセッサ、１０４　メインメモリ、１１０　ストレージ、１１１　実行可能プログラム、１１２　照合修復プログラム、１２０　ローカルバスコントローラ、１３０　安全ＩＯモジュール、１４０　プロセッサバス、２００　標準ＰＬＣ、３００　安全ＰＬＣ、４００　カプラ。

Claims

　少なくとも１つの演算処理を実行するデータ処理装置であって、
　第１～第Ｎの演算部と、
　メモリと、を備え、
　Ｎは３以上の整数であり、
　前記第１～第Ｎの演算部のうちの１つは、メイン演算部であり、
　前記メモリは、互いに同一のデータが格納される第１～第Ｎの領域を有し、
　前記第１～第Ｎの演算部は、前記第１～第Ｎの領域に格納されたデータを用いて前記少なくとも１つの演算処理をそれぞれ実行し、
　前記メイン演算部は、
　　前記少なくとも１つの演算処理の各々について、前記第１～第Ｎの演算部による演算結果を照合し、
　　前記第１～第Ｎの演算部による演算結果のうちの予め定められた数以上の演算結果が一致することに応じて、前記第１～第Ｎの演算部の動作を継続させ、
　　前記第１の演算部の前記演算結果と前記第２～第Ｎの演算部の前記演算結果とが一致しないことに応じて、前記第１の領域の少なくとも一部のデータを前記第２～第Ｎの領域のいずれかのデータと一致するように書き換える、データ処理装置。
　前記メイン演算部は、前記第１の演算部の前記演算結果と前記第２～第Ｎの演算部の前記演算結果とが一致しないことに応じて、前記第２～第Ｎの領域のいずれかの全てのデータと一致するように、前記第１の領域の全てのデータを書き換える、請求項１に記載のデータ処理装置。
　前記少なくとも１つの演算処理は、複数の演算処理を含み、
　前記第１～第Ｎの領域の各々は、前記複数の演算処理の実行によって上書きされるデータをそれぞれ記憶する複数のサブ領域を有し、
　前記メイン演算部は、
　　前記複数の演算処理のうちの対象演算処理について、前記第１の演算部の前記演算結果と前記第２～第Ｎの演算部の前記演算結果とが一致しないことに応じて、前記複数のサブ領域のうち前記対象演算処理に対応する対象サブ領域を特定し、
　　前記第２～第Ｎの演算部のいずれかが用いる前記対象サブ領域のデータと一致するように、前記第１の演算部が用いる前記対象サブ領域のデータを書き換える、請求項１に記載のデータ処理装置。
　前記複数のサブ領域の各々は、複数のブロックに分割され、
　前記メイン演算部は、
　　前記対象サブ領域の前記複数のブロックの各々の誤り検出符号を演算し、
　　前記対象サブ領域の前記複数のブロックのうち、前記第１の演算部が用いる前記対象サブ領域と前記第２～第Ｎの演算部が用いる前記対象サブ領域との間で前記誤り検出符号が一致しない対象ブロックを特定し、
　　前記第２～第Ｎの演算部が用いる前記対象ブロックのデータと一致するように、前記第１の演算部が用いる前記対象ブロックのデータを書き換える、請求項３に記載のデータ処理装置。
　前記第１～第Ｎの演算部は、前記演算結果を前記第１～第Ｎの領域にそれぞれ書き込み、
　前記メイン演算部は、
　　前記第１の演算部の前記演算結果と前記第２～第Ｎの演算部の前記演算結果とが一致しないことに応じて、前記第２～第Ｎの演算部の前記演算結果と一致するように、前記第１の領域に書き込まれた前記演算結果を書き換える、請求項１に記載のデータ処理装置。
　前記第１～第Ｎの領域の各々は、互いに同一のデータが書き込まれる第１のサブ領域および第２のサブ領域を有し、
　前記第１～第Ｎの演算部の各々は、
　　前記第１のサブ領域および前記第２のサブ領域のうちの一方のデータを読み出して前記少なくとも１つの演算処理を実行し、
　　前記少なくとも１つの演算処理の実行に応じて、前記第１のサブ領域および前記第２のサブ領域の両方のデータを更新し、
　前記少なくとも１つの演算処理は、第１の演算処理と、前記第１の演算処理の後に実行される第２の演算処理とを含み、
　前記メイン演算部は、
　　前記第１のサブ領域のデータを用いた前記第１の演算部による前記第１の演算処理の演算結果が前記第１のサブ領域のデータを用いた前記第２～第Ｎの演算部による前記第１の演算処理の前記演算結果と一致しないことに応じて、前記第２の演算処理において、前記第１の演算部がデータを読み出す領域を前記第１のサブ領域から前記第２のサブ領域に切り替え、
　　前記第２のサブ領域のデータを用いた前記第１の演算部による前記第２の演算処理の演算結果が前記第１のサブ領域のデータを用いた前記第２～第Ｎの演算部による前記第２の演算処理の演算結果と一致しないことに応じて、前記第１の領域の前記少なくとも一部のデータを前記第２～第Ｎの領域のデータと一致するように書き換える、請求項１に記載のデータ処理装置。
　少なくとも１つの演算処理を実行するデータ処理装置のデータ処理方法であって、
　前記データ処理装置は、
　　第１～第Ｎの演算部と、
　　メモリと、を備え、
　Ｎは３以上の整数であり、
　前記第１～第Ｎの演算部のうちの１つは、メイン演算部であり、
　前記メモリは、互いに同一のデータが格納される第１～第Ｎの領域を有し、
　前記データ処理方法は、
　前記第１～第Ｎの演算部が、前記第１～第Ｎの領域に格納されたデータを用いて前記少なくとも１つの演算処理をそれぞれ実行するステップと、
　前記メイン演算部が、前記少なくとも１つの演算処理の各々について、前記第１～第Ｎの演算部による演算結果を照合するステップと、
　前記メイン演算部が、前記第１～第Ｎの演算部による演算結果のうちの予め定められた数以上の演算結果が一致することに応じて、前記第１～第Ｎの演算部の動作を継続させるステップと、
　前記メイン演算部が、前記第１の演算部の前記演算結果と前記第２～第Ｎの演算部の前記演算結果とが一致しないことに応じて、前記第１の領域の少なくとも一部のデータを前記第２～第Ｎの領域のいずれかのデータと一致するように書き換えるステップと、を備えるデータ処理方法。
　請求項７に記載のデータ処理方法を前記第１～第Ｎの演算部に実行させるコンピュータ読取可能なプログラム。