バス同期2重系コンピュータシステム
【課題】バス同期2重系コンピュータシステムの制御対象の稼働率を向上させる。
【解決手段】同一情報に対し同一演算処理を同期して行う2個の演算部2A,2Bの各データを照合部4で照合した結果から制御対象の動作を制御するコンピュータシステムにおいて、2個の演算部2A,2Bと別に予備演算部3を設け、前記照合部4の照合前に2個の演算部2A,2Bと予備演算部3の各データを別の照合部5で相互に照合した結果から予備演算部3が正常で2個の演算部2A,2Bのいずれか一方が異常のとき異常側演算部を予備演算部3に切替えるバス同期2重系コンピュータシステム。
【解決手段】同一情報に対し同一演算処理を同期して行う2個の演算部2A,2Bの各データを照合部4で照合した結果から制御対象の動作を制御するコンピュータシステムにおいて、2個の演算部2A,2Bと別に予備演算部3を設け、前記照合部4の照合前に2個の演算部2A,2Bと予備演算部3の各データを別の照合部5で相互に照合した結果から予備演算部3が正常で2個の演算部2A,2Bのいずれか一方が異常のとき異常側演算部を予備演算部3に切替えるバス同期2重系コンピュータシステム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、同一の入力情報に対して同一の演算処理を同期して行う2個の演算部から算出されデータバス上に出力された各データを照合し、その結果に基づいて制御対象の動作を制御するバス同期2重系コンピュータシステムに関し、特に、制御対象の稼働率を向上させるバス同期2重系コンピュータシステムに関する。
【背景技術】
【0002】
近年、例えば、鉄道信号保安装置、産業ロボット等では、コンピュータを用いた制御システムの導入が進められており、その保守・保全の問題や安全性に加えて高度の信頼性が要求されている。このような高い信頼性と安全性を確保するためのコンピュータを用いた制御システムとして、複数のコンピュータを用い、1つのコンピュータが故障したときに他のコンピュータで代用できる或いは安全側出力を確保するようにした2重系システムがあり、その中の一つの方式としてバス同期2重系コンピュータシステムがある。
【0003】
従来、この種のバス同期2重系コンピュータシステムとしては、例えば、特許文献1等に記載されたものがある。特許文献1に記載されたバス同期2重系コンピュータシステムは、2個の演算部から算出されデータバス上に出力された各データを照合し、互いのデータの一致・不一致を判定し、不一致の原因が、例えばノイズ等による一過性の原因である場合、不一致と判定される回数が所定の回数に達する前にその一過性の原因が解消し一致と判定されるようになれば、制御対象(例えば、鉄道信号機、鉄道車両のブレーキ等)に対する制御動作を停止させないでそのまま動作を継続させ、不一致と判定される回数が所定の回数に達すると、演算部の動作が異常であると判断し制御対象の動作が安全側になるように制御(例えば、鉄道車両を停止させる)している。この様な構成により、ノイズ等による一過性の原因で演算部からの各データの不一致が発生した時も制御対象の動作が停滞しないようにすることによって、一過性の原因による制御対象の稼働率の低下を抑制している。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特許第2561181号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
ところで、実用においてこの種のバス同期2重系コンピュータシステムに対して、制御対象の稼動率を更に向上させることが求められている。
【0006】
上述の特許文献1に記載された従来のバス同期2重系コンピュータシステムは、ノイズ等の一過性の原因による制御対象の稼働率の低下については抑制している。しかしながら、2個の演算部の互いのデータが不一致であると判定される回数が所定の回数に達すると、制御対象の動作を安全側になるように制御し、制御対象の本来の動作を止めてしまうという構成のため、例えば、2個の演算部の一方が故障し異常なデータを算出し続ける場合の稼動率の低下については抑制することができないという問題がある。
【0007】
本発明は上記問題点に着目してなされたもので、制御対象の稼働率を更に向上させるバス同期2重系コンピュータシステムを提供することを目的とする。
【課題を解決するための手段】
【0008】
上記目的を達成するために、本発明によるバス同期2重系コンピュータシステムは、同一情報に対し同一演算処理を同期して行う2個の演算部の各データを照合部で照合した結果から制御対象の動作を制御するコンピュータシステムにおいて、2個の演算部と別に予備演算部を設け、前記照合部の照合前に2個の演算部と予備演算部の各データを別の照合部で相互に照合した結果から予備演算部が正常で2個の演算部のいずれか一方が異常のとき異常側演算部を予備演算部に切替えることを特徴とする。
【0009】
このような構成により、同一情報に対し同一演算処理を同期して行う2個の演算部の各データを照合する照合部の照合前に、別の照合部によって、2個の演算部と予備演算部との各データを相互に照合した結果から、予備演算部が正常であり、かつ、2個の演算部のいずれか一方が異常である場合に、異常側演算部を予備演算部に切替えて照合部の照合結果から制御対象の動作を制御する。
【0010】
また、請求項2のように、前記別の照合部は、前記2個の演算部と前記予備演算部からの各データを相互に照合して互いのデータの一致・不一致を検知する構成とし、前記別の照合部の検知結果に基づいて前記2個の演算部と前記予備演算部の動作が正常であるか否かを判定し、該判定結果に応じて前記異常側演算部を予備演算部に切替えるように構成するとよい。
【0011】
例えば、請求項3のように、前記2個の演算部として第1主演算部と第2主演算部を設け、前記予備演算部は、前記第1及び第2主演算部と同一の入力情報に対して同一の演算処理を同期して行い、前記別の照合部は、前記第1主演算部と第2主演算部と予備演算部からの各データをそれぞれ相互に照合し、互いのデータの一致・不一致を検知する構成とし、前記第1主演算部と前記予備演算部を前記照合部に選択的に切替え接続可能な第1切替部と、前記第2主演算部と前記予備演算部を前記照合部に選択的に切替え接続可能な第2切替部と、前記別の照合部の検知結果に基づき前記第1主演算部と前記第2主演算部と前記予備演算部の動作が正常であるか否かを判定し、該判定結果に応じて前記第1及び第2切替部の切替制御を行う制御部と、を備えて構成するとよい。
【0012】
さらに、請求項4のように、前記制御部は、前記第1及び第2主演算部の動作は正常であると判定する場合は、前記第1及び第2主演算部を前記照合部に接続するように、前記第1及び第2切替部を制御し、前記予備演算部の動作は正常であり前記第1主演算部の動作は異常であると判定する場合は、前記予備演算部及び前記第2主演算部を前記照合部に接続するように、前記第1及び第2切替部を制御し、前記予備演算部の動作は正常であり前記第2主演算部の動作は異常であると判定する場合は、前記予備演算部及び前記第1主演算部を前記照合部に接続するように、前記第1及び第2切替部を制御するように構成してもよい。
【0013】
さらにまた、請求項5のように、前記制御部は、前記別の照合部により、少なくとも、前記第1主演算部と第2主演算部の互いのデータの一致が検知される場合に、前記第1及び第2主演算部の動作は正常であると判定し、少なくとも、前記第1主演算部からのデータと、前記第2主演算部及び予備演算部からの各データとの不一致がそれぞれ検知される場合に、前記第1主演算部の動作は異常であると判定し、少なくとも、前記第2主演算部からのデータと、前記第1主演算部及び予備演算部からの各データとの不一致がそれぞれ検知される場合に、前記第2主演算部の動作は異常であると判定し、前記予備演算部と前記第1主演算部の互いのデータの一致が検知されている場合、又は、前記予備演算部と前記第2主演算部の互いのデータの一致が検知されている場合に、前記予備演算部の動作は正常であると判定する構成にしてもよい。
【0014】
また、請求項6のように、前記2個の演算部と前記予備演算部とを切替える各切替部を設け、各切替部を介して前記照合部の前記データの各入力部がそれぞれ前記予備演算部と接続された場合に、各入力部に互いに異なるデータが入力可能な構成にしてもよい。
【0015】
また、請求項7のように、前記2個の演算部のいずれか一方を前記各切替部を介して周期的に前記予備演算部に切替えるように構成してもよい。
【発明の効果】
【0016】
本発明のバス同期2重系コンピュータシステムによれば、同一情報に対し同一演算処理を同期して行う2個の演算部の各データを照合する主照合部の照合前に、別の照合部によって、2個の演算部と予備演算部との各データを相互に照合した結果から、予備演算部が正常であり、かつ、2個の演算部の何れか一方が異常である場合に、異常側演算部を予備演算部に切替えて照合部の照合結果から制御対象の動作を制御するよう構成したので、予備演算部が正常であるときに2個の演算部のどちらか一方が故障し異常なデータを算出し続ける場合やノイズ等による一過性の原因で一時的に異常なデータを算出する場合に、異常側演算部を予備演算部に切替え、予備演算部と正常側演算部の各データを照合部で照合し、例えば、各データが一致している場合には、データ照合された演算部から出力される各データに基づき制御対象の動作を制御し、制御対象の本来の動作を継続させることができる。このようにして、制御対象の稼働率を更に向上させるバス同期2重系コンピュータシステムを提供することができる。
【図面の簡単な説明】
【0017】
【図1】本発明に係るバス同期2重系コンピュータシステムの第1実施形態を示す概略構成図である。
【図2】上記第1実施形態のバス同期2重系コンピュータシステムの動作の一例を説明する説明図である。
【図3】本発明に係るバス同期2重系コンピュータシステムの第2実施形態を示す概略構成図である。
【図4】上記第2実施形態のバス同期2重系コンピュータシステムの動作の一例を説明する説明図である。
【図5】上記第2実施形態のバス同期2重系コンピュータシステムにおいて第2切替部が誤動作した場合の動作状況を説明する説明図である。
【図6】上記第2実施形態の変形例を示す概略構成図である。
【図7】上記変形例のバス同期2重系コンピュータシステムの動作の一例を説明する説明図である。
【図8】上記図3〜図5に示す第2実施形態のバス同期2重系コンピュータシステムにおいて変換部や復元部が短絡故障した状況を説明する説明図である。
【図9】図8に示す故障状態のバス同期2重系コンピュータシステムにおいて第1切替部が誤動作した場合の動作状況を説明する説明図である。
【図10】図8に示す故障状態のバス同期2重系コンピュータシステムにおいて第2切替部が誤動作した場合の動作状況を説明する説明図である。
【図11】第3実施形態のバス同期2重系コンピュータシステムの動作の一例を説明する説明図である。
【発明を実施するための形態】
【0018】
まず、本発明の基本的な考え方について説明する。
本発明に係るバス同期2重系コンピュータシステムは、同一情報に対し同一演算処理を同期して行う2個の演算部の各データを照合部で照合した結果から制御対象の動作を制御するコンピュータシステムにおいて、2個の演算部と別に予備演算部を設け、前記照合部の照合前に2個の演算部と予備演算部の各データを別の照合部で相互に照合した結果から予備演算部が正常で2個の演算部のいずれか一方が異常のとき異常側演算部を予備演算部に切替えるように構成されたものである。
【0019】
そして、このように構成すれば、予備演算部が正常であるときに、2個の演算部のどちらか一方が故障し異常なデータを算出し続ける場合やノイズ等による一過性の原因で一時的に異常なデータを算出する場合に、異常側演算部を予備演算部に切替え、予備演算部と正常側演算部の各データを照合部で照合し、例えば、各データが一致している場合には、データ照合された演算部から出力される各データに基づき制御対象の動作を制御し、制御対象の本来の動作を継続させることができる。このようにして、制御対象の稼働率を更に向上させるバス同期2重系コンピュータシステムを提供することができる。
【0020】
以下、本発明を適用したバス同期2重系コンピュータシステムの実施形態を図面に基づいてより詳細に説明する。
図1は、上記バス同期2重系コンピュータシステムの第1実施形態を示す概略構成図である。図1において、本実施形態のバス同期2重系コンピュータシステム1は、前記別の照合部を前記2個の演算部と前記予備演算部からの各データを相互に照合して互いのデータの一致・不一致を検知する構成とし、前記別の照合部の検知結果に基づいて前記2個の演算部と前記予備演算部の動作が正常であるか否かを判定し、該判定結果に応じて前記異常側演算部を予備演算部に切替えるように構成したものである。
具体的には、2重系コンピュータシステム1は、2個の演算部から算出されデータバス上に出力された各データを照合し、各データが一致している場合には、演算部の動作は正常であると判定し、演算部から出力される各データに基づき制御対象の動作を制御し、各データが不一致である場合には、2個の演算部の一方の動作は異常であると判定し、制御対象の動作が安全側になるように制御するもので、図1に示すように、前記2個の演算部として設けた第1及び第2主演算部2A,2Bと、前記2個の演算部と別に設けた予備演算部3と、照合部(以下において、「主照合部」 と言う」)4と、照合部4とは別の照合部(以下において、「副照合部」 と言う」)5と、第1切替部6と、第2切替部7と、制御部8と、を備える。なお、第1及び第2主演算部2A,2B並びに予備演算部3と、主照合部4はそれぞれデータバスで接続可能に構成されており、以下データバスを経路と称して説明する。
【0021】
前記第1及び第2主演算部2A,2Bは、入力情報に対して予め定められた所定の演算処理を行う演算部であり、同一の入力情報に対して同一の演算処理を同期して行うように構成されている。また、第1及び第2主演算部2A,2B及び後述する予備演算部3は、図示省略するが、同一の入力情報が入力されるようになっており、この入力情報と共に同一の例えばクロック信号がそれぞれ入力され各演算部は同期して作動するように構成されている。そして、第1及び第2主演算部2A,2Bは、後述する主照合部4の照合結果に基づき、動作が異常と判定されない限り、この第1及び第2主演算部2A,2Bから出力される各データに基づき、制御対象(例えば、鉄道信号機)の動作が制御される。なお、この第1及び第2主演算部2A,2Bが、例えば、ノイズ等の一過性の原因や故障等によって異常な動作をしてしまう場合には、後述する制御部8によって、どちらの演算部が異常な動作をしているか判定できるようになっている。また、以下の説明において、第1及び第2主演算部2A,2B並びに後述する予備演算部3のうち2つ以上の演算部が、同時に同じ異常な動作をすることはないものとして説明する。
【0022】
前記予備演算部3は、第1及び第2主演算部2A,2Bと同一の入力情報に対して同一の演算処理を第1及び第2主演算部2A,2Bと同期して行う予備の演算部である。
【0023】
また、本実施形態においては、例えば、図1に示す状態を、初期の状態とし、第1主演算部2Aと後述する主照合部4は、データバスである第1経路Aによって接続され、第2主演算部2Bと主照合部4は、データバスである第2経路Bによって接続され、また、予備演算部3からのデータが出力され2方向に分岐しているデータバスである第3経路Cと第1経路A及び第2経路Bとは接続されないように、後述する第1及び第2切替部6,7によって、初期の経路が選択されている。
【0024】
前記主照合部4は、具体的には、第1及び第2主演算部2A,2Bから算出され各経路上に出力された各データを照合し、各データが一致している場合には、第1及び第2主演算部2A,2Bの動作は正常であると判定し、各データが不一致である場合には、第1及び第2主演算部2A,2Bの一方の動作は異常であると判定するものである。そして、主照合部4により、第1及び第2主演算部2A,2Bの動作は正常であると判定された場合は、第1及び第2主演算部2A,2Bから出力される各データに基づき制御対象の動作が制御されるように構成されている。主照合部4により、第1及び第2主演算部2A,2Bの一方の動作は異常であると判定された場合は、制御対象の動作が安全側になるように制御されるように構成されている。そして、主照合部4は、第1及び第2主演算部2A,2Bの動作は正常であると判定する場合には、例えば、図示しないが交番出力を出力しトランスを介してリレーをオンする。このリレーがオン状態の時は、第1及び第2主演算部2A,2Bから出力される各データに基づき制御対象を継続して制御するように構成されている。また、主照合部4は、第1及び第2主演算部2A,2Bの一方の動作は異常であると判定する場合には、例えば、出力値を固定してリレーをオフする。このリレーがオフすることにより、制御対象の動作を、例えば、停止させて、安全側になるように制御するように構成されている。
【0025】
前記副照合部5は、具体的には、第1及び第2主演算部2A,2Bからの各データを、主照合部4で照合する前に、第1主演算部2Aと第2主演算部2Bと予備演算部3からの各データをそれぞれ相互に照合し、互いのデータの一致・不一致を検知するものである。本実施形態において、副照合部5は、図1に示すように、第1経路Aと第3経路C上の互いのデータの一致・不一致を検知する第1副照合部5Aと、第2経路Bと第3経路C上の互いのデータの一致・不一致を検知する第2副照合部5Bと、第1経路Aと第2経路B上の互いのデータの一致・不一致を検知する第3副照合部5Cとで構成される。そして、各副照合部5A,5B,5Cは、図1に点線で示すように、後述する制御部8に、一致・不一致の検知結果を出力する。
【0026】
前記第1切替部6は、第1主演算部2Aと予備演算部3のどちらか一方を主照合部4に選択的に切替え接続可能な切替手段であり、後述する制御部8によって制御され、例えば、図1に矢印で示すように、第1及び第3経路A,Cの切替動作を行う。
【0027】
前記第2切替部7は、第2主演算部2Bと予備演算部3のどちらか一方を主照合部4に選択的に切替え接続可能な切替手段であり、後述する制御部8によって制御され、例えば、図1に矢印で示すように、第2及び第3経路B,Cの切替動作を行う。
【0028】
前記制御部8は、副照合部5の検知結果に基づき、第1主演算部2Aと第2主演算部2Bと予備演算部3の動作が正常であるか否かを判定し、該判定結果に応じて第1及び第2切替部6,7の切替制御を行うものである。
【0029】
前記制御部8は、例えば、図1に示すように、第1及び第2主演算部2A,2Bの動作は正常であると判定する場合は、第1及び第2主演算部2A,2Bを主照合部4に接続するように、第1及び第2切替部6,7を制御し、図2に示すように、前記予備演算部3の動作は正常であり、第1主演算部2Aの動作は異常であると判定する場合は、予備演算部3及び第2主演算部2Bを主照合部4に接続するように、第1及び第2切替部6,7を制御し、図示省略するが、予備演算部3の動作は正常であり、第2主演算部2Bの動作は異常であると判定する場合は、予備演算部3及び第1主演算部2Aを主照合部4に接続するように、第1及び第2切替部6,7を制御するように構成される。
【0030】
制御部8は、具体的には、図2に示すように、予備演算部3の動作は正常であり第1主演算部2Aの動作は異常であると判定する場合は、予備演算部3を主照合部4に接続するように、第1切替部6を制御すると共に、第2主演算部2Bを主照合部4に接続(図2に実線で示す方向)するように、第2切替部7を制御する。そして、制御部8は、図示省略するが、予備演算部3の動作は正常であり第2主演算部2Bの動作は異常であると判定する場合は、予備演算部3を主照合部4に接続するように、第2切替部7を制御すると共に、第1主演算部2Aを主照合部4に接続するように、第1切替部6を制御する。
【0031】
また、本実施形態における制御部8は、例えば、第1、第2、第3副照合部5A,5B,5Cから一致という検知結果を得た場合に、第1及び第2主演算部2A,2Bの動作は正常であるという判定を行う。また、制御部8は、第1副照合部5Aから予備演算部3と第1主演算部2Aの互いのデータの一致が検知されている場合、又は、第2副照合部5Bから予備演算部3と第2主演算部2Bの互いのデータの一致が検知されている場合に、予備演算部の動作は正常であるという判定を行う。制御部8は、第1及び第3副照合部5A,5Cから不一致、第2副照合部5Bから一致という検知結果を得た場合に、第1主演算部2Aの動作は異常であるという判定を行う。さらに、制御部8は、第2及び第3副照合部5B,5Cから不一致、第1副照合部5Aから一致という検知結果を得た場合に、第2主演算部2Bの動作は異常であるという判定を行う。そして、制御部8は、第1及び第2副照合部5A,5Bから不一致、第3副照合部5Cから一致という検知結果を得た場合に、予備演算部3の動作は異常であるという判定を行う。制御部8は、予備演算部3の動作は異常であるという判定を行った場合は、例えば、その後、第1及び第2主演算部2A,2Bの動作が異常であると判定された場合であっても、異常側主演算部を予備演算部3に切替えず、第1及び第2主演算部2A,2Bを主照合部4にそのまま接続するように制御する。この場合、主照合部4は、主演算部2A,2Bのいずれかの動作は異常であると判定し、制御対象の動作が安全側になるように制御する。
【0032】
なお、本実施形態において、制御部8は、各副照合部5A,5B,5Cから一致という検知結果を得た場合に、第1及び第2主演算部2A,2Bの動作は正常であるという判定を行うものとしたが、これに限らず、副照合部5により、少なくとも、第1主演算部2Aと第2主演算部2Bの互いのデータの一致が検知される場合に、第1及び第2主演算部2A,2Bの動作は正常であると判定する構成であればよい。例えば、第3副照合部5Cから一致という検知結果を得た時に、第1及び第2主演算部2A,2Bの動作は正常であるという判定を行ってもよい。
【0033】
また、制御部8は、第1及び第3副照合部5A,5Cから不一致、第2副照合部5Bから一致という検知結果を得た場合に、第1主演算部2Aの動作は異常であるという判定を行うものとしたが、これに限らず、副照合部5により、少なくとも、第1主演算部2Aからのデータと、第2主演算部2B及び予備演算部3からの各データとの不一致がそれぞれ検知される場合に、第1主演算部2Aの動作は異常であると判定する構成であればよい。例えば、第1及び第3副照合部5A,5Cから不一致という検知結果を得た時に、第1主演算部2Aの動作は異常であると判定を行ってもよい。
【0034】
さらに、制御部8は、第2及び第3副照合部5B,5Cから不一致、第1副照合部5Aから一致という検知結果を得た場合に、第2主演算部2Bの動作は異常であると判定を行うものとしたが、これに限らず、副照合部5により、少なくとも、第2主演算部2Bからのデータと、第1主演算部2A及び予備演算部3からの各データとの不一致がそれぞれ検知される場合に、第2主演算部2Bの動作は異常であると判定する構成であればよい。例えば、第2及び第3副照合部5B,5Cから不一致という検知結果を得た時に、第2主演算部2Bの動作は異常であると判定を行ってもよい。
【0035】
そして、制御部8は、制御部8は、第1及び第2副照合部5A,5Bから不一致、第3副照合部5Cから一致という検知結果を得た場合に、予備演算部3の動作は異常であるという判定を行うものとしたが、これに限らず、副照合部5により、少なくとも、予備演算部3からのデータと、第1及び第2主演算部2A,2Bからの各データとの不一致がそれぞれ検知される場合に、予備演算部3の動作は異常であると判定する構成であればよい。例えば、第1及び第2副照合部5A,5Bから不一致という検知結果を得た時に、予備演算部3の動作は異常であると判定を行ってもよい。
【0036】
次に、本実施形態に係るバス同期2重系コンピュータシステム1の制御動作について、図1及び図2に基づいて説明する。なお、初期の状態においては、第1及び第2主演算部2A、2B、並びに予備演算部3は正常な動作をしており、また、各演算部のうち2つ以上の演算部が、同時に異常動作を起さないものとする。また、図1に示すように、第1及び第2主演算部2A,2Bによって正常に演算処理を行い制御対象の動作を制御している状態を初期状態とし、この初期状態において、第1主演算部2Aが故障し、異常なデータを出力し続ける場合の制御動作を説明する。なお、上記の初期状態において、例えば、ノイズ等による一過性の原因により、第1主演算部2Aから異常なデータを一時的に出力する場合においても、同じ制御動作を行うため説明を省略する。
【0037】
はじめに、第1主演算部2Aが故障し、異常なデータを出力し始めるまでの制御動作を説明する。まず、第1及び第2主演算部2A、2B並びに予備演算部3に、同一の入力情報を入力すると共に同一の、例えばクロック信号を同時に入力し、同一の演算処理を同期して行う。
次に、第1及び第2主演算部2A,2Bからの各データを、主照合部4で照合させる前に、各副照合部5A,5B,5Cは、第1及び第2主演算部2A,2B並びに予備演算部3からの各データを、それぞれ相互に照合し、互いのデータが一致しているという検知結果を制御部8にそれぞれ出力する。そして、制御部8は、各副照合部5A,5B,5Cからの検知結果に基づいて、第1及び第2主演算部2A,2Bの両方は正常な動作を行うと判定すると共に予備演算部3も正常な動作を行うと判定し、図1に示す初期状態を維持する制御指令を、第1及び第2切替部6,7に出力し、第1及び第2切替部6,7は、第1及び第2主演算部2A,2Bを主照合部4に接続する第1及び第2経路A,Bを継続して選択する。ここで、第1主演算部2Aから出力されたデータは第1経路Aを経由し、第2主演算部2Bから出力されたデータは第2経路Bを経由して、主照合部4に引き続き入力される。そして、主照合部4は、入力された各データを照合し、各データが一致しているか否かを照合し、一致しているという照合結果を得て、第1及び第2主演算部2A,2Bの動作は正常と判定する。そして、例えば、第1及び第2主演算部2A,2Bから出力される各データに基づき制御対象の動作を引き続き制御する。
上記のように、予備演算部3が正常な動作を行っている時に、図2に示すように、第1主演算部2Aに故障が発生したものとして以降の説明をする。第3副照合部5Cは、第1主演算部2Aと第2主演算部2Bの互いのデータが不一致であることを検知し、第1副照合部5Aは、第1主演算部2Aと予備演算部3の互いのデータが不一致であることを検知し、第2副照合部5Bは、第2主演算部2Bと予備演算部3の互いのデータが一致することを検知する。そして、制御部8は、この検知結果に基づき、予備演算部3の動作は正常であり第1主演算部2Aの動作は異常であると判定し、第1主演算部2Aからのデータの代わりに、予備演算部3からのデータを主照合部4に入力するように、制御指令を第1切替部6に出力し、第1切替部6は、予備演算部3を主照合部4に接続する第3経路Cを選択する。さらに、制御部8は、第2主演算部2Bからのデータは引き続き主照合部4へ入力するように、制御指令を第2切替部7に出力し、第2切替部7は、第2主演算部2Bを主照合部4に接続する第2経路Bを継続して選択する。
最後に、主照合部4は、入力された予備演算部3と第2主演算部2Bからの各データを照合し、各データが一致しているか否かを照合し、各データが一致しているという照合結果を得て、予備演算部3及び第2主演算部2Bの動作は正常と判定する。そして、例えば、予備演算部3及び第2主演算部2Bから出力される各データに基づき制御対象の動作を、引き続き制御する。そして、この様に、予備演算部3からのデータが主照合部4に入力される様に経路が切替えられた後は、例えば、データの照合は、副照合部5では行わず、主照合部4でのみ行い、その後、例えば、主照合部4で各データが不一致であるという照合結果を得た場合は、予備演算部3及び第2主演算部2Bのどちらか一方の動作は異常と判定する。そして、制御対象の動作を、安全側になるように制御する。
【0038】
なお、前記初期状態において、第2主演算部2Bに故障が発生した場合の制御動作についても、以下に概略説明する。予備演算部3が正常な動作を行っている時に、第2,3副照合部5B,5Cは、不一致を検知し、第1副照合部5Aは、一致を検知する。そして、制御部8は、予備演算部3の動作は正常であり第2主演算部2Bの動作は異常であると判定し、第2主演算部2Bの代わりに、予備演算部3からのデータを主照合部4に入力するように、第2切替部7を制御する。さらに、制御部8は、第1主演算部2Aからのデータは引き続き主照合部4へ入力するように、第1切替部6を制御する。そして、主照合部4は、入力された第1主演算部2Aと予備演算部3からの各データが一致しているという照合結果を得て、第1主演算部2A及び予備演算部3の動作は正常と判定する。そして、例えば、第1主演算部2A及び予備演算部3から出力される各データに基づき制御対象の動作を、引き続き制御する。そして、この様に、予備演算部3からのデータが主照合部4に入力される様に経路が切替えられた後は、前述同様に、データの照合は、副照合部5では行わず、主照合部4でのみ行い、その後、例えば、主照合部4で各データが不一致であるという照合結果を得た場合は、予備演算部3及び第1主演算部2Aのどちらか一方の動作は異常と判定する。そして、制御対象の動作を、安全側になるように制御する。
【0039】
このような構成により、本実施形態に係るバス同期2重系コンピュータシステム1は、予備演算部3が正常であるときに第1及び第2主演算部2A,2Bのどちらか一方が故障し異常なデータを算出し続ける場合やノイズ等による一過性の原因で一時的に異常なデータを算出する場合に、異常側演算部を予備演算部に切替え、異常な動作を行うと判定された演算部の代わりに予備演算部3を主照合部4に接続し、予備演算部3と正常な動作を行う主演算部から算出され各経路上に出力された各データを主照合部4で照合し、各データが一致している場合には、データ照合された演算部から出力される各データに基づき制御対象の動作を制御し、制御対象の本来の動作を継続させることができる。このようにして、制御対象の稼働率を更に向上させるバス同期2重系コンピュータシステム1を提供することができる。また、主照合部で照合する各データが不一致である場合には、制御対象の動作が安全側になるように制御するため、従来と同様に安全性を確保することができる。
【0040】
ところで、第1主演算部2Aの動作は異常であると判定され、第1切替部6が、図2に示すように正常動作を行い、第1切替部6を経由して予備演算部3からのデータを主照合部4に入力している場合に、例えば、図2に点線で示すように、第2切替部7の誤動作により、第2切替部7を経由した予備演算部3からのデータも主照合部4に入力されてしまうことも想定される。この場合、主照合部4は、予備演算部3からのデータ同士を照合することになり、主照合部4では一致という照合結果が得られてしまうため、予備演算部3から異常なデータが算出されても、演算部が正常な動作を行っていると判定してしまう。後述する第2実施形態におけるバス同期2重系コンピュータシステムは、このように、同一の演算部からのデータが主照合部4に入力されるというフェールアウトな状態になった場合においても、主照合部4において、異常を検出することができるように構成したものである。
【0041】
図3は、本発明に係るバス同期2重系コンピュータシステム1の第2実施形態を示す概略構成図である。本実施形態における2重系コンピュータシステム1では、前記2個の演算部(第1主演算部2A、第2主演算部2B)と前記予備演算部3とを切替える各切替部(第1切替部6、第2切替部7及び後述の第3切替部10)を設け、各切替部を介して前記照合部(主照合部4)の前記データの各入力部(図示省略)がそれぞれ前記予備演算部3と接続された場合に、各入力部に互いに異なるデータが入力可能な構成としている。なお、図1の第1実施形態と同一の要素には同一の符号を付して説明を省略し、異なる部分についてのみ説明する。
【0042】
具体的には、本実施形態においては、前述したデータバスである第3経路Cは、図3に示すように、予備演算部3と第1切替部6とを接続する経路の中間部に第1分岐部S1を設け、この第1分岐部S1から分岐した経路(C1)を第2切替部7に接続し、第1分岐部S1と予備演算部3間の経路に第2分岐部S2を設け、第2分岐部S2から分岐する分岐経路C2を設けて、第1分岐部S1と第2分岐部S2の間の経路を主経路C3としてデータバスを構成している。そして、本実施形態におけるバス同期2重系コンピュータシステム1は、図3に示すように、変換部9と、第3切替部10と、復元部11を更に備えて構成されている。
【0043】
前記変換部9は、予備演算部3から入力されるデータを異なる形式のデータに変換して出力するものであり、図3に示すように、分岐経路C2上に設けられている。なお、本実施形態において、この変換部9は、入力するデータを暗号化して出力する暗号化回路で構成されている。そして、この暗号化回路は、データを異なる形式に暗号化すると共に、例えば、データは暗号化されたデータであることが後で識別可能なデータを付加する。この付加されたデータにより、後述する復元部11において、入力されるデータが暗号化されたデータか否かの判断をすることができるように構成されている。
【0044】
前記第3切替部10は、主経路C3と分岐経路C2のどちらか一方を第1分岐部S1に選択的に切替え接続可能な切替手段であり、図3に示すように、主経路C3上に設けられている。また、第3切替部10は、例えば、図3,4に示すように、主経路C3又は分岐経路C2のどちらか一方に接続している状態を初期状態としてもよいし、図示しないが、どちらとも接続していない状態を初期状態としてもよい。
【0045】
前記復元部11は、入力されるデータが変換部9により変換されたデータの場合は、元のデータに復元し、変換されていないデータである場合は、異なる形式のデータに変換して出力するものである。なお、本実施形態において、この復元部11は、前述した暗号化回路で暗号化されたデータを復号化して出力する復号化回路で構成されている。そして、暗号化回路により付加されたデータによって、復号化回路に入力されるデータが暗号化されたデータであると判断する場合は、元のデータに復号化し、暗号化されていないデータであると判断する場合は、異なる形式のデータに暗号化する様に構成されている。
【0046】
また、本実施形態において、制御部8は、図3に示すように、予備演算部3の動作は正常であり第1主演算部2Aの動作は異常であると判定する場合に、主経路C3を第1分岐部S1に接続するように、第3切替部10を制御すると共に、図4に示すように、予備演算部3の動作は正常であり第2主演算部2Bの動作は異常であると判定する場合に、分岐経路C2を第1分岐部S1に接続するように、第3切替部10を制御するように構成されている。そして、復元部11は、図3,4に示すように、第2切替部7と第1分岐部S1を接続する経路(C1)に設けて構成されている。
【0047】
次に、本実施形態に係るバス同期2重系コンピュータシステム1の制御動作について、図3〜5に基づいて説明する。なお、初期の状態においては、第1及び第2主演算部2A、2B、並びに予備演算部3は正常な動作をしており、また、各演算部のうち2つ以上の演算部が、同時に異常動作を起さないものとする。また、第1及び第2主演算部2A、2Bによって正常に演算処理を行い制御対象の動作を制御している状態を初期状態とし、この初期状態において、第1主演算部2Aが故障し、異常なデータを出力し続ける場合の制御動作を説明する。なお、上記の初期状態において、例えば、ノイズ等による一過性の原因により、第1主演算部2Aから異常なデータを一時的に出力する場合においても、同じ制御動作を行うため説明を省略する。
【0048】
上記初期状態において、図3に示す様に、第1主演算部2Aに故障が発生したものとして以降の説明をする。第1,3副照合部5A,5Cにより不一致、第2副照合部5Bにより一致を検知し、制御部8は、予備演算部3の動作は正常であり第1主演算部2Aの動作は異常であると判定し、第3切替部10は主経路C3を、第1切替部6は経路C4を選択するように制御指令を出力する。さらに、制御部8は、第2主演算部2Bからのデータは引き続き主照合部4へ入力するように、制御指令を第2切替部7に出力する。そして、主照合部4は、入力された予備演算部3と第2主演算部2Bからの各データを照合し、以降は第1実施形態と同じ制御動作を行う。なお、図3に示す状態において、図5に示すように、第2切替部7が誤動作すると、予備演算部3からのデータは、主経路C3と経路C1を経由して復号化回路(復元部11)により元のデータと異なる形式のデータに変換され、主照合部4に入力される。
【0049】
このようにして、主照合部4には、予備演算部3から出力されたデータと同じデータが一方の入力部から入力され、元のデータと異なる形式のデータに変換されたデータが他方の入力部から入力され、主照合部4は、互いのデータは不一致であるとして、演算部の動作が異常であると判定することができるため、予備演算部3同士のデータを主照合部4で照合するというフェールアウトな状態になった場合においても、制御対象の動作が安全側になるように制御することができる。
【0050】
なお、前記初期状態において、図4に示す様に、第2主演算部2Bに故障が発生した場合の制御動作についても、以下に概略説明する。第2,3副照合部5B,5Cにより不一致、第1副照合部5Aにより一致を検知し、制御部8は、予備演算部3の動作は正常であり第2主演算部2Bの動作は異常であると判定し、第3切替部10は分岐経路C2を、第2切替部7は経路C1を選択するように制御指令を出力すると共に、第1主演算部2Aからのデータは引き続き主照合部4へ入力するように、制御指令を第1切替部6に出力する。そして、予備演算部3からのデータは分岐経路C2上の暗号化回路(変換部9)により暗号化され、そして、経路C1上の復号化回路(復元部11)により元のデータに復号化され、予備演算部3から出力されたデータと同じデータが主照合部4に入力される。主照合部4は、入力された第1主演算部2Aと予備演算部3からの各データを照合し、以降は第1実施形態と同じ制御動作を行う。なお、図4に示す状態において、図示しないが、第1切替部6が誤動作すると、予備演算部3からのデータは、分岐経路C2を経由して暗号化回路(変換部9)により暗号化され、経路C4を経由して主照合部4に入力される。
【0051】
このようにして、主照合部4は、予備演算部3から出力されたデータと同じデータに復号化されたデータと、暗号化されたデータとが入力され、主照合部4は、互いのデータは不一致であるとして、演算部の動作が異常であると判定することができるため、予備演算部3同士のデータを主照合部4で照合するというフェールアウトな状態になった場合においても、制御対象の動作が安全側になるように制御することができる。
【0052】
なお、本実施形態においては、第1又は第2切替部6,7が誤動作した場合について説明したが、第1又は第2切替部6,7が誤動作する場合に限らず、制御部8が誤動作し、第1及び第2切替部6,7に誤った切替動作の指令する場合や、制御部8と第1及び第2切替部6,7の誤動作が重なる結果、前述のフェールアウトな状態になった場合においても、前述同様に、制御対象の動作が安全側になるように制御することができる。
【0053】
また、本実施形態においては、記2個の演算部と前記予備演算部とを切替える各切替部を設け、各切替部を介して前記照合部の前記データの各入力部がそれぞれ前記予備演算部と接続された場合に、各入力部に互いに異なるデータが入力可能な構成の一例として、制御部8は、予備演算部3の動作は正常であり第1主演算部2Aの動作は異常であると判定する場合に、主経路C3を第1分岐部S1に接続するように、第3切替部10を制御すると共に、予備演算部3の動作は正常であり第2主演算部2Bの動作が異常であると判定する場合に、分岐経路C2を第1分岐部S1に接続するように、第3切替部10を制御するように構成された場合で説明したが、これに限らず、第2実施形態の変形例を示す図6及び図7に示したように、予備演算部3の動作は正常であり第1主演算部2Aの動作は異常であると判定する場合に、分岐経路C2を第1分岐部S1に接続するように、第3切替部10を制御する(図6参照)と共に、予備演算部3の動作は正常であり第2主演算部2Bの動作が異常であると判定する場合に、主経路C3を第1分岐部S1に接続するように、第3切替部10を制御する(図7参照)構成であってもよい。この構成の場合は、復元部11は、図6及び図7に示すように、第1切替部6と第1分岐部S1を接続する経路(C4)に設けて構成される。
【0054】
また、本実施形態において、変換部9は、暗号化回路によって構成され、復元部11は、復号化回路によって構成された場合で説明したが、前記変換部9及び復元部11は、入力するデータを反転して出力する反転回路で構成してもよい。この反転回路は、データ内の、例えば、0というデータを1に、1というデータを0に反転させて出力するものであり、変換部9と復元部11は同じ反転回路で構成される。これにより、変換部9及び復元部11の構成が簡略化される。
【0055】
ところで、予備演算部3、変換部9、第3切替部10、復元部11、第1切替部6及び第2切替部7を備えた予備系の回路は、第1主演算部2A又は第2主演算部2Bの動作が異常であると判定されるまでは使用されない。したがって、第1主演算部2A又は第2主演算部2Bが異常であると判定される前に、例えば、変換部9と復元部11が、いずれも短絡故障した状態になっている可能性がある(図8参照)。
【0056】
この図8の状態で、第2主演算部2Bの故障が発生し、予備演算部3の動作は正常であり第2主演算部2Bの動作は異常であると判定され、第2切替部7が図9に示すように正常動作を行い、暗号化されていない予備演算部3のデータが変換部9の入出力短絡ラインC5及び復元部11の入出力短絡ラインC6を経由して第2経路Bから主照合部4に入力されている場合に、例えば、図9に点線で示す第1切替部6の誤動作により、第1経路Aからも暗号化されていない予備演算部3のデータが変換部9の入出力短絡ラインC5を経由して主照合部4に入力されることが想定される。
【0057】
また、図8の状態で、第1主演算部2Aの故障が発生し、予備演算部3の動作は正常であり第1主演算部2Aの動作は異常であると判定され、第1切替部6が図10に示すように正常動作を行い、第1経路Aから暗号化されていない予備演算部3のデータが主照合部4に入力されている場合に、図10に点線で示す第2切替部7の誤動作により、第2経路Bからも暗号化されていない予備演算部3のデータが復元部11の入出力短絡ラインC6(図10参照)を経由して主照合部4に入力されることも想定される。
【0058】
これら図9及び図10に示す状態の場合、主照合部4は、予備演算部3からのデータ同士を照合することになり、主照合部4では一致という照合結果が得られてしまうため、予備演算部3から異常なデータが算出されても、演算部が正常な動作を行っていると判定してしまう。また、図示省略するが、短絡故障が復元部11にのみ発生している場合であっても、図9及び図10と同様に、第1経路A及び第2経路Bから同一のデータが主照合部4に入力されることも想定される。
【0059】
後述する第3実施形態におけるバス同期2重系コンピュータシステムは、第1主演算部2A又は第2主演算部2Bが異常であると判定される前に、少なくとも復元部11が短絡故障した場合に、上述したように第1経路A及び第2経路Bから同一のデータが主照合部4に入力されるというフェールアウトな状態になることを未然に防止することができるように、復元部11の故障診断機能を追加して構成したものである。
【0060】
図11は、本発明に係るバス同期2重系コンピュータシステム1の第3実施形態を示す概略構成図である。本実施形態におけるバス同期2重系コンピュータシステム1では、前記2個の演算部(第1主演算部2A、第2主演算部2B)のいずれか一方を、前記各切替部(第1切替部6、第2切替部7及び第3切替部10)を介して周期的に前記予備演算部3に切替えるように構成している。なお、図3の第2実施形態と同一の要素には同一の符号を付して説明を省略し、異なる部分についてのみ説明する。
【0061】
具体的には、本実施形態においては、第2切替部7を予備演算部3側へ周期的に切替え接続し、この切替接続と同期して第3切替部10を分岐経路C2側へ周期的に接続するように構成する。この第2切替部7及び第3切替部10の周期的な切替接続は、例えば、制御部8に設けるタイマー部(図示省略)からの周期的な切替指令によって行われるように構成する。上記タイマー部は、具体的には、第2切替部7に対して、予備演算部3側へ切替え接続しその状態を所定時間維持した後に第2主演算部2B側へ切替え接続するという一連の制御指令を予め定めた周期(例えば、数秒間隔)で出力すると共に、第3切替部10に対して、分岐経路C2側へ切替え接続し所定時間維持した後に主経路C3側へ切替え接続するという一連の制御指令を上記第2切替部の周期的な切替え接続の制御指令と同期して出力する。
【0062】
次に、本実施形態に係るバス同期2重系コンピュータシステム1の制御動作について、図11に基づいて説明する。なお、初期の状態においては、第1及び第2主演算部2A、2B、並びに予備演算部3は正常な動作をしており、その後、復元部11が短絡故障するものとして、復元部11及び変換部9は同時に短絡故障しないものとして以下説明する。また、第1及び第2主演算部2A、2B、並びに予備演算部3が故障した場合の制御動作については、第2実施形態と同じであるため説明を省略する。
【0063】
上記初期状態において、まず、制御部8のタイマー部(図示省略)は、第2切替部7に対して、予備演算部3側へ切替え接続しこの状態を予め定めた所定時間維持する制御指令を出力すると共に、第3切替部10に対して、分岐経路C2側へ切替え接続しこの状態を予め定めた所定時間維持する制御指令を第2切替部7の上記切替え接続の制御指令と同期して出力する。ここで、第2切替部7及び第3切替部10を図11に実線で示したように切替え接続した時に、変換部9及び復元部11が正常である場合、主照合部4は、入力された各データを照合し、一致しているという照合結果を得て、例えば、第1主演算部2A及び予備演算部3から出力される各データに基づき制御対象の動作を制御する。
【0064】
そして、制御部8のタイマー部(図示省略)は、図11に実線で示した第2切替部7及び第3切替部10の状態を所定時間維持させる制御指令を出力した後、第2切替部7に対して、第2主演算部2B側へ切替え接続する制御指令を出力すると共に、第3切替部10に対して、主経路C3側へ切替え接続する制御指令を上記第2切替部7の切替え接続の制御指令と同期して出力する。これにより、第2切替部7及び第3切替部10を図11に破線で示したように切替え接続して初期の接続状態に戻して、上記第2切替部7及び第3切替部10の一連の故障診断用の切替動作が完了する。制御部8のタイマー部は、この一連の切替動作を予め定めた周期(例えば、数秒間隔)で行うように、第2切替部7及び第3切替部10に対して上記制御指令を周期的に出力することにより、故障診断用の切替動作を繰り返し行う。
【0065】
ここで、図11に破線で示した初期の接続状態に戻した後、次に図11の実線で示す切替接続が行われる前に、復元部11に短絡故障が発生したものとして、以下説明する。この短絡故障が発生した後、次に第2切替部7が予備演算部10側へ切替え接続されると共に第3切替部10が分岐経路C2側へ切替え接続されたとき、主照合部4は、入力された各データを照合し、不一致であるという照合結果を得て、例えば、復元部11、変換部9及び第3切替部10等を備えた予備系の回路に何らかの故障があると判定し、制御対象の動作が安全側になるように制御する。
【0066】
このように、予備系回路の故障診断用の切替動作を周期的に行うことにより、復元部11に短絡故障が発生した場合に、主照合部4は、入力された各データが不一致であるという照合結果を得て、例えば、復元部11等を備えた予備系回路に何らかの故障があると判定して制御対象の動作が安全側になるように制御することができる。したがって、第1主演算部2A又は第2主演算部2Bが異常であると判定される前に、少なくとも復元部11が短絡故障した場合に、上述したように第1経路A及び第2経路Bから同一のデータが主照合部4に入力されるというフェールアウトな状態(例えば、図9及び図10)になることを未然に防止することができる。
【0067】
なお、周期的な切替接続の制御指令をタイマー部から行うものとしたが、これに限らず、この切替接続の制御指令のプログラムを演算部に備え、この演算部(例えば、第1及び第2主演算部)から制御部8に対して切替タイミングを都度指令し、この指令に基づき制御部8が各切替部に対して切替の制御指令を出力するようにしてもよい。
【0068】
また、本実施形態に係るバス同期2重系コンピュータシステム1の上記制御動作の説明では、図11に示すように復元部11が先に短絡故障するものとしたが、これに限らず、変換部9が先に短絡故障することも想定される。この場合であっても、主照合部4は、入力された各データが不一致であるという照合結果を得て、予備系回路に故障があると判定して制御対象の動作が安全側になるように制御する。これにより、変換部9と復元部11の両方が短絡故障しているという図9に示すフェールアウトな状態になることを未然に防止することができる。
【0069】
また、図6及び図7に示す第2実施形態の変形例においても、図8及び図9に示すような予備系回路の故障に起因するフェールアウトな状態になる可能性がある。この場合は、図示省略するが、第1切替部6を予備演算部3側へ周期的に切替え接続し、この切替接続と同期して第3切替部10を主経路C3側へ周期的に接続するように構成する。この場合、タイマー部は、例えば、第1切替部6に対して、予備演算部3側へ切替え接続しその状態を所定時間維持した後に第1主演算部2A側へ切替え接続するという一連の制御指令を予め定めた周期(例えば、数秒間隔)で出力すると共に、第3切替部10に対して、主経路C3側へ切替え接続し所定時間維持した後に分岐経路C2側へ切替え接続するという一連の制御指令を上記第1切替部6の周期的な切替え接続の制御指令と同期して出力する。
【0070】
なお、予備系回路の故障診断用の切替接続の制御指令は、タイマー部に限らず、切替接続の制御指令のプログラムを備えた演算部によって行うようにしてもよい。
【符号の説明】
【0071】
1 バス同期2重系コンピュータシステム
2A 第1主演算部
2B 第2主演算部
3 予備演算部
4 主照合部(照合部)
5 副照合部(別の照合部)
6 第1切替部
7 第2切替部
8 制御部
9 変換部
10 第3切替部
11 復元部
C2 分岐経路
C3 主経路
S1 第1分岐点
S2 第2分岐点
【技術分野】
【0001】
本発明は、同一の入力情報に対して同一の演算処理を同期して行う2個の演算部から算出されデータバス上に出力された各データを照合し、その結果に基づいて制御対象の動作を制御するバス同期2重系コンピュータシステムに関し、特に、制御対象の稼働率を向上させるバス同期2重系コンピュータシステムに関する。
【背景技術】
【0002】
近年、例えば、鉄道信号保安装置、産業ロボット等では、コンピュータを用いた制御システムの導入が進められており、その保守・保全の問題や安全性に加えて高度の信頼性が要求されている。このような高い信頼性と安全性を確保するためのコンピュータを用いた制御システムとして、複数のコンピュータを用い、1つのコンピュータが故障したときに他のコンピュータで代用できる或いは安全側出力を確保するようにした2重系システムがあり、その中の一つの方式としてバス同期2重系コンピュータシステムがある。
【0003】
従来、この種のバス同期2重系コンピュータシステムとしては、例えば、特許文献1等に記載されたものがある。特許文献1に記載されたバス同期2重系コンピュータシステムは、2個の演算部から算出されデータバス上に出力された各データを照合し、互いのデータの一致・不一致を判定し、不一致の原因が、例えばノイズ等による一過性の原因である場合、不一致と判定される回数が所定の回数に達する前にその一過性の原因が解消し一致と判定されるようになれば、制御対象(例えば、鉄道信号機、鉄道車両のブレーキ等)に対する制御動作を停止させないでそのまま動作を継続させ、不一致と判定される回数が所定の回数に達すると、演算部の動作が異常であると判断し制御対象の動作が安全側になるように制御(例えば、鉄道車両を停止させる)している。この様な構成により、ノイズ等による一過性の原因で演算部からの各データの不一致が発生した時も制御対象の動作が停滞しないようにすることによって、一過性の原因による制御対象の稼働率の低下を抑制している。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特許第2561181号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
ところで、実用においてこの種のバス同期2重系コンピュータシステムに対して、制御対象の稼動率を更に向上させることが求められている。
【0006】
上述の特許文献1に記載された従来のバス同期2重系コンピュータシステムは、ノイズ等の一過性の原因による制御対象の稼働率の低下については抑制している。しかしながら、2個の演算部の互いのデータが不一致であると判定される回数が所定の回数に達すると、制御対象の動作を安全側になるように制御し、制御対象の本来の動作を止めてしまうという構成のため、例えば、2個の演算部の一方が故障し異常なデータを算出し続ける場合の稼動率の低下については抑制することができないという問題がある。
【0007】
本発明は上記問題点に着目してなされたもので、制御対象の稼働率を更に向上させるバス同期2重系コンピュータシステムを提供することを目的とする。
【課題を解決するための手段】
【0008】
上記目的を達成するために、本発明によるバス同期2重系コンピュータシステムは、同一情報に対し同一演算処理を同期して行う2個の演算部の各データを照合部で照合した結果から制御対象の動作を制御するコンピュータシステムにおいて、2個の演算部と別に予備演算部を設け、前記照合部の照合前に2個の演算部と予備演算部の各データを別の照合部で相互に照合した結果から予備演算部が正常で2個の演算部のいずれか一方が異常のとき異常側演算部を予備演算部に切替えることを特徴とする。
【0009】
このような構成により、同一情報に対し同一演算処理を同期して行う2個の演算部の各データを照合する照合部の照合前に、別の照合部によって、2個の演算部と予備演算部との各データを相互に照合した結果から、予備演算部が正常であり、かつ、2個の演算部のいずれか一方が異常である場合に、異常側演算部を予備演算部に切替えて照合部の照合結果から制御対象の動作を制御する。
【0010】
また、請求項2のように、前記別の照合部は、前記2個の演算部と前記予備演算部からの各データを相互に照合して互いのデータの一致・不一致を検知する構成とし、前記別の照合部の検知結果に基づいて前記2個の演算部と前記予備演算部の動作が正常であるか否かを判定し、該判定結果に応じて前記異常側演算部を予備演算部に切替えるように構成するとよい。
【0011】
例えば、請求項3のように、前記2個の演算部として第1主演算部と第2主演算部を設け、前記予備演算部は、前記第1及び第2主演算部と同一の入力情報に対して同一の演算処理を同期して行い、前記別の照合部は、前記第1主演算部と第2主演算部と予備演算部からの各データをそれぞれ相互に照合し、互いのデータの一致・不一致を検知する構成とし、前記第1主演算部と前記予備演算部を前記照合部に選択的に切替え接続可能な第1切替部と、前記第2主演算部と前記予備演算部を前記照合部に選択的に切替え接続可能な第2切替部と、前記別の照合部の検知結果に基づき前記第1主演算部と前記第2主演算部と前記予備演算部の動作が正常であるか否かを判定し、該判定結果に応じて前記第1及び第2切替部の切替制御を行う制御部と、を備えて構成するとよい。
【0012】
さらに、請求項4のように、前記制御部は、前記第1及び第2主演算部の動作は正常であると判定する場合は、前記第1及び第2主演算部を前記照合部に接続するように、前記第1及び第2切替部を制御し、前記予備演算部の動作は正常であり前記第1主演算部の動作は異常であると判定する場合は、前記予備演算部及び前記第2主演算部を前記照合部に接続するように、前記第1及び第2切替部を制御し、前記予備演算部の動作は正常であり前記第2主演算部の動作は異常であると判定する場合は、前記予備演算部及び前記第1主演算部を前記照合部に接続するように、前記第1及び第2切替部を制御するように構成してもよい。
【0013】
さらにまた、請求項5のように、前記制御部は、前記別の照合部により、少なくとも、前記第1主演算部と第2主演算部の互いのデータの一致が検知される場合に、前記第1及び第2主演算部の動作は正常であると判定し、少なくとも、前記第1主演算部からのデータと、前記第2主演算部及び予備演算部からの各データとの不一致がそれぞれ検知される場合に、前記第1主演算部の動作は異常であると判定し、少なくとも、前記第2主演算部からのデータと、前記第1主演算部及び予備演算部からの各データとの不一致がそれぞれ検知される場合に、前記第2主演算部の動作は異常であると判定し、前記予備演算部と前記第1主演算部の互いのデータの一致が検知されている場合、又は、前記予備演算部と前記第2主演算部の互いのデータの一致が検知されている場合に、前記予備演算部の動作は正常であると判定する構成にしてもよい。
【0014】
また、請求項6のように、前記2個の演算部と前記予備演算部とを切替える各切替部を設け、各切替部を介して前記照合部の前記データの各入力部がそれぞれ前記予備演算部と接続された場合に、各入力部に互いに異なるデータが入力可能な構成にしてもよい。
【0015】
また、請求項7のように、前記2個の演算部のいずれか一方を前記各切替部を介して周期的に前記予備演算部に切替えるように構成してもよい。
【発明の効果】
【0016】
本発明のバス同期2重系コンピュータシステムによれば、同一情報に対し同一演算処理を同期して行う2個の演算部の各データを照合する主照合部の照合前に、別の照合部によって、2個の演算部と予備演算部との各データを相互に照合した結果から、予備演算部が正常であり、かつ、2個の演算部の何れか一方が異常である場合に、異常側演算部を予備演算部に切替えて照合部の照合結果から制御対象の動作を制御するよう構成したので、予備演算部が正常であるときに2個の演算部のどちらか一方が故障し異常なデータを算出し続ける場合やノイズ等による一過性の原因で一時的に異常なデータを算出する場合に、異常側演算部を予備演算部に切替え、予備演算部と正常側演算部の各データを照合部で照合し、例えば、各データが一致している場合には、データ照合された演算部から出力される各データに基づき制御対象の動作を制御し、制御対象の本来の動作を継続させることができる。このようにして、制御対象の稼働率を更に向上させるバス同期2重系コンピュータシステムを提供することができる。
【図面の簡単な説明】
【0017】
【図1】本発明に係るバス同期2重系コンピュータシステムの第1実施形態を示す概略構成図である。
【図2】上記第1実施形態のバス同期2重系コンピュータシステムの動作の一例を説明する説明図である。
【図3】本発明に係るバス同期2重系コンピュータシステムの第2実施形態を示す概略構成図である。
【図4】上記第2実施形態のバス同期2重系コンピュータシステムの動作の一例を説明する説明図である。
【図5】上記第2実施形態のバス同期2重系コンピュータシステムにおいて第2切替部が誤動作した場合の動作状況を説明する説明図である。
【図6】上記第2実施形態の変形例を示す概略構成図である。
【図7】上記変形例のバス同期2重系コンピュータシステムの動作の一例を説明する説明図である。
【図8】上記図3〜図5に示す第2実施形態のバス同期2重系コンピュータシステムにおいて変換部や復元部が短絡故障した状況を説明する説明図である。
【図9】図8に示す故障状態のバス同期2重系コンピュータシステムにおいて第1切替部が誤動作した場合の動作状況を説明する説明図である。
【図10】図8に示す故障状態のバス同期2重系コンピュータシステムにおいて第2切替部が誤動作した場合の動作状況を説明する説明図である。
【図11】第3実施形態のバス同期2重系コンピュータシステムの動作の一例を説明する説明図である。
【発明を実施するための形態】
【0018】
まず、本発明の基本的な考え方について説明する。
本発明に係るバス同期2重系コンピュータシステムは、同一情報に対し同一演算処理を同期して行う2個の演算部の各データを照合部で照合した結果から制御対象の動作を制御するコンピュータシステムにおいて、2個の演算部と別に予備演算部を設け、前記照合部の照合前に2個の演算部と予備演算部の各データを別の照合部で相互に照合した結果から予備演算部が正常で2個の演算部のいずれか一方が異常のとき異常側演算部を予備演算部に切替えるように構成されたものである。
【0019】
そして、このように構成すれば、予備演算部が正常であるときに、2個の演算部のどちらか一方が故障し異常なデータを算出し続ける場合やノイズ等による一過性の原因で一時的に異常なデータを算出する場合に、異常側演算部を予備演算部に切替え、予備演算部と正常側演算部の各データを照合部で照合し、例えば、各データが一致している場合には、データ照合された演算部から出力される各データに基づき制御対象の動作を制御し、制御対象の本来の動作を継続させることができる。このようにして、制御対象の稼働率を更に向上させるバス同期2重系コンピュータシステムを提供することができる。
【0020】
以下、本発明を適用したバス同期2重系コンピュータシステムの実施形態を図面に基づいてより詳細に説明する。
図1は、上記バス同期2重系コンピュータシステムの第1実施形態を示す概略構成図である。図1において、本実施形態のバス同期2重系コンピュータシステム1は、前記別の照合部を前記2個の演算部と前記予備演算部からの各データを相互に照合して互いのデータの一致・不一致を検知する構成とし、前記別の照合部の検知結果に基づいて前記2個の演算部と前記予備演算部の動作が正常であるか否かを判定し、該判定結果に応じて前記異常側演算部を予備演算部に切替えるように構成したものである。
具体的には、2重系コンピュータシステム1は、2個の演算部から算出されデータバス上に出力された各データを照合し、各データが一致している場合には、演算部の動作は正常であると判定し、演算部から出力される各データに基づき制御対象の動作を制御し、各データが不一致である場合には、2個の演算部の一方の動作は異常であると判定し、制御対象の動作が安全側になるように制御するもので、図1に示すように、前記2個の演算部として設けた第1及び第2主演算部2A,2Bと、前記2個の演算部と別に設けた予備演算部3と、照合部(以下において、「主照合部」 と言う」)4と、照合部4とは別の照合部(以下において、「副照合部」 と言う」)5と、第1切替部6と、第2切替部7と、制御部8と、を備える。なお、第1及び第2主演算部2A,2B並びに予備演算部3と、主照合部4はそれぞれデータバスで接続可能に構成されており、以下データバスを経路と称して説明する。
【0021】
前記第1及び第2主演算部2A,2Bは、入力情報に対して予め定められた所定の演算処理を行う演算部であり、同一の入力情報に対して同一の演算処理を同期して行うように構成されている。また、第1及び第2主演算部2A,2B及び後述する予備演算部3は、図示省略するが、同一の入力情報が入力されるようになっており、この入力情報と共に同一の例えばクロック信号がそれぞれ入力され各演算部は同期して作動するように構成されている。そして、第1及び第2主演算部2A,2Bは、後述する主照合部4の照合結果に基づき、動作が異常と判定されない限り、この第1及び第2主演算部2A,2Bから出力される各データに基づき、制御対象(例えば、鉄道信号機)の動作が制御される。なお、この第1及び第2主演算部2A,2Bが、例えば、ノイズ等の一過性の原因や故障等によって異常な動作をしてしまう場合には、後述する制御部8によって、どちらの演算部が異常な動作をしているか判定できるようになっている。また、以下の説明において、第1及び第2主演算部2A,2B並びに後述する予備演算部3のうち2つ以上の演算部が、同時に同じ異常な動作をすることはないものとして説明する。
【0022】
前記予備演算部3は、第1及び第2主演算部2A,2Bと同一の入力情報に対して同一の演算処理を第1及び第2主演算部2A,2Bと同期して行う予備の演算部である。
【0023】
また、本実施形態においては、例えば、図1に示す状態を、初期の状態とし、第1主演算部2Aと後述する主照合部4は、データバスである第1経路Aによって接続され、第2主演算部2Bと主照合部4は、データバスである第2経路Bによって接続され、また、予備演算部3からのデータが出力され2方向に分岐しているデータバスである第3経路Cと第1経路A及び第2経路Bとは接続されないように、後述する第1及び第2切替部6,7によって、初期の経路が選択されている。
【0024】
前記主照合部4は、具体的には、第1及び第2主演算部2A,2Bから算出され各経路上に出力された各データを照合し、各データが一致している場合には、第1及び第2主演算部2A,2Bの動作は正常であると判定し、各データが不一致である場合には、第1及び第2主演算部2A,2Bの一方の動作は異常であると判定するものである。そして、主照合部4により、第1及び第2主演算部2A,2Bの動作は正常であると判定された場合は、第1及び第2主演算部2A,2Bから出力される各データに基づき制御対象の動作が制御されるように構成されている。主照合部4により、第1及び第2主演算部2A,2Bの一方の動作は異常であると判定された場合は、制御対象の動作が安全側になるように制御されるように構成されている。そして、主照合部4は、第1及び第2主演算部2A,2Bの動作は正常であると判定する場合には、例えば、図示しないが交番出力を出力しトランスを介してリレーをオンする。このリレーがオン状態の時は、第1及び第2主演算部2A,2Bから出力される各データに基づき制御対象を継続して制御するように構成されている。また、主照合部4は、第1及び第2主演算部2A,2Bの一方の動作は異常であると判定する場合には、例えば、出力値を固定してリレーをオフする。このリレーがオフすることにより、制御対象の動作を、例えば、停止させて、安全側になるように制御するように構成されている。
【0025】
前記副照合部5は、具体的には、第1及び第2主演算部2A,2Bからの各データを、主照合部4で照合する前に、第1主演算部2Aと第2主演算部2Bと予備演算部3からの各データをそれぞれ相互に照合し、互いのデータの一致・不一致を検知するものである。本実施形態において、副照合部5は、図1に示すように、第1経路Aと第3経路C上の互いのデータの一致・不一致を検知する第1副照合部5Aと、第2経路Bと第3経路C上の互いのデータの一致・不一致を検知する第2副照合部5Bと、第1経路Aと第2経路B上の互いのデータの一致・不一致を検知する第3副照合部5Cとで構成される。そして、各副照合部5A,5B,5Cは、図1に点線で示すように、後述する制御部8に、一致・不一致の検知結果を出力する。
【0026】
前記第1切替部6は、第1主演算部2Aと予備演算部3のどちらか一方を主照合部4に選択的に切替え接続可能な切替手段であり、後述する制御部8によって制御され、例えば、図1に矢印で示すように、第1及び第3経路A,Cの切替動作を行う。
【0027】
前記第2切替部7は、第2主演算部2Bと予備演算部3のどちらか一方を主照合部4に選択的に切替え接続可能な切替手段であり、後述する制御部8によって制御され、例えば、図1に矢印で示すように、第2及び第3経路B,Cの切替動作を行う。
【0028】
前記制御部8は、副照合部5の検知結果に基づき、第1主演算部2Aと第2主演算部2Bと予備演算部3の動作が正常であるか否かを判定し、該判定結果に応じて第1及び第2切替部6,7の切替制御を行うものである。
【0029】
前記制御部8は、例えば、図1に示すように、第1及び第2主演算部2A,2Bの動作は正常であると判定する場合は、第1及び第2主演算部2A,2Bを主照合部4に接続するように、第1及び第2切替部6,7を制御し、図2に示すように、前記予備演算部3の動作は正常であり、第1主演算部2Aの動作は異常であると判定する場合は、予備演算部3及び第2主演算部2Bを主照合部4に接続するように、第1及び第2切替部6,7を制御し、図示省略するが、予備演算部3の動作は正常であり、第2主演算部2Bの動作は異常であると判定する場合は、予備演算部3及び第1主演算部2Aを主照合部4に接続するように、第1及び第2切替部6,7を制御するように構成される。
【0030】
制御部8は、具体的には、図2に示すように、予備演算部3の動作は正常であり第1主演算部2Aの動作は異常であると判定する場合は、予備演算部3を主照合部4に接続するように、第1切替部6を制御すると共に、第2主演算部2Bを主照合部4に接続(図2に実線で示す方向)するように、第2切替部7を制御する。そして、制御部8は、図示省略するが、予備演算部3の動作は正常であり第2主演算部2Bの動作は異常であると判定する場合は、予備演算部3を主照合部4に接続するように、第2切替部7を制御すると共に、第1主演算部2Aを主照合部4に接続するように、第1切替部6を制御する。
【0031】
また、本実施形態における制御部8は、例えば、第1、第2、第3副照合部5A,5B,5Cから一致という検知結果を得た場合に、第1及び第2主演算部2A,2Bの動作は正常であるという判定を行う。また、制御部8は、第1副照合部5Aから予備演算部3と第1主演算部2Aの互いのデータの一致が検知されている場合、又は、第2副照合部5Bから予備演算部3と第2主演算部2Bの互いのデータの一致が検知されている場合に、予備演算部の動作は正常であるという判定を行う。制御部8は、第1及び第3副照合部5A,5Cから不一致、第2副照合部5Bから一致という検知結果を得た場合に、第1主演算部2Aの動作は異常であるという判定を行う。さらに、制御部8は、第2及び第3副照合部5B,5Cから不一致、第1副照合部5Aから一致という検知結果を得た場合に、第2主演算部2Bの動作は異常であるという判定を行う。そして、制御部8は、第1及び第2副照合部5A,5Bから不一致、第3副照合部5Cから一致という検知結果を得た場合に、予備演算部3の動作は異常であるという判定を行う。制御部8は、予備演算部3の動作は異常であるという判定を行った場合は、例えば、その後、第1及び第2主演算部2A,2Bの動作が異常であると判定された場合であっても、異常側主演算部を予備演算部3に切替えず、第1及び第2主演算部2A,2Bを主照合部4にそのまま接続するように制御する。この場合、主照合部4は、主演算部2A,2Bのいずれかの動作は異常であると判定し、制御対象の動作が安全側になるように制御する。
【0032】
なお、本実施形態において、制御部8は、各副照合部5A,5B,5Cから一致という検知結果を得た場合に、第1及び第2主演算部2A,2Bの動作は正常であるという判定を行うものとしたが、これに限らず、副照合部5により、少なくとも、第1主演算部2Aと第2主演算部2Bの互いのデータの一致が検知される場合に、第1及び第2主演算部2A,2Bの動作は正常であると判定する構成であればよい。例えば、第3副照合部5Cから一致という検知結果を得た時に、第1及び第2主演算部2A,2Bの動作は正常であるという判定を行ってもよい。
【0033】
また、制御部8は、第1及び第3副照合部5A,5Cから不一致、第2副照合部5Bから一致という検知結果を得た場合に、第1主演算部2Aの動作は異常であるという判定を行うものとしたが、これに限らず、副照合部5により、少なくとも、第1主演算部2Aからのデータと、第2主演算部2B及び予備演算部3からの各データとの不一致がそれぞれ検知される場合に、第1主演算部2Aの動作は異常であると判定する構成であればよい。例えば、第1及び第3副照合部5A,5Cから不一致という検知結果を得た時に、第1主演算部2Aの動作は異常であると判定を行ってもよい。
【0034】
さらに、制御部8は、第2及び第3副照合部5B,5Cから不一致、第1副照合部5Aから一致という検知結果を得た場合に、第2主演算部2Bの動作は異常であると判定を行うものとしたが、これに限らず、副照合部5により、少なくとも、第2主演算部2Bからのデータと、第1主演算部2A及び予備演算部3からの各データとの不一致がそれぞれ検知される場合に、第2主演算部2Bの動作は異常であると判定する構成であればよい。例えば、第2及び第3副照合部5B,5Cから不一致という検知結果を得た時に、第2主演算部2Bの動作は異常であると判定を行ってもよい。
【0035】
そして、制御部8は、制御部8は、第1及び第2副照合部5A,5Bから不一致、第3副照合部5Cから一致という検知結果を得た場合に、予備演算部3の動作は異常であるという判定を行うものとしたが、これに限らず、副照合部5により、少なくとも、予備演算部3からのデータと、第1及び第2主演算部2A,2Bからの各データとの不一致がそれぞれ検知される場合に、予備演算部3の動作は異常であると判定する構成であればよい。例えば、第1及び第2副照合部5A,5Bから不一致という検知結果を得た時に、予備演算部3の動作は異常であると判定を行ってもよい。
【0036】
次に、本実施形態に係るバス同期2重系コンピュータシステム1の制御動作について、図1及び図2に基づいて説明する。なお、初期の状態においては、第1及び第2主演算部2A、2B、並びに予備演算部3は正常な動作をしており、また、各演算部のうち2つ以上の演算部が、同時に異常動作を起さないものとする。また、図1に示すように、第1及び第2主演算部2A,2Bによって正常に演算処理を行い制御対象の動作を制御している状態を初期状態とし、この初期状態において、第1主演算部2Aが故障し、異常なデータを出力し続ける場合の制御動作を説明する。なお、上記の初期状態において、例えば、ノイズ等による一過性の原因により、第1主演算部2Aから異常なデータを一時的に出力する場合においても、同じ制御動作を行うため説明を省略する。
【0037】
はじめに、第1主演算部2Aが故障し、異常なデータを出力し始めるまでの制御動作を説明する。まず、第1及び第2主演算部2A、2B並びに予備演算部3に、同一の入力情報を入力すると共に同一の、例えばクロック信号を同時に入力し、同一の演算処理を同期して行う。
次に、第1及び第2主演算部2A,2Bからの各データを、主照合部4で照合させる前に、各副照合部5A,5B,5Cは、第1及び第2主演算部2A,2B並びに予備演算部3からの各データを、それぞれ相互に照合し、互いのデータが一致しているという検知結果を制御部8にそれぞれ出力する。そして、制御部8は、各副照合部5A,5B,5Cからの検知結果に基づいて、第1及び第2主演算部2A,2Bの両方は正常な動作を行うと判定すると共に予備演算部3も正常な動作を行うと判定し、図1に示す初期状態を維持する制御指令を、第1及び第2切替部6,7に出力し、第1及び第2切替部6,7は、第1及び第2主演算部2A,2Bを主照合部4に接続する第1及び第2経路A,Bを継続して選択する。ここで、第1主演算部2Aから出力されたデータは第1経路Aを経由し、第2主演算部2Bから出力されたデータは第2経路Bを経由して、主照合部4に引き続き入力される。そして、主照合部4は、入力された各データを照合し、各データが一致しているか否かを照合し、一致しているという照合結果を得て、第1及び第2主演算部2A,2Bの動作は正常と判定する。そして、例えば、第1及び第2主演算部2A,2Bから出力される各データに基づき制御対象の動作を引き続き制御する。
上記のように、予備演算部3が正常な動作を行っている時に、図2に示すように、第1主演算部2Aに故障が発生したものとして以降の説明をする。第3副照合部5Cは、第1主演算部2Aと第2主演算部2Bの互いのデータが不一致であることを検知し、第1副照合部5Aは、第1主演算部2Aと予備演算部3の互いのデータが不一致であることを検知し、第2副照合部5Bは、第2主演算部2Bと予備演算部3の互いのデータが一致することを検知する。そして、制御部8は、この検知結果に基づき、予備演算部3の動作は正常であり第1主演算部2Aの動作は異常であると判定し、第1主演算部2Aからのデータの代わりに、予備演算部3からのデータを主照合部4に入力するように、制御指令を第1切替部6に出力し、第1切替部6は、予備演算部3を主照合部4に接続する第3経路Cを選択する。さらに、制御部8は、第2主演算部2Bからのデータは引き続き主照合部4へ入力するように、制御指令を第2切替部7に出力し、第2切替部7は、第2主演算部2Bを主照合部4に接続する第2経路Bを継続して選択する。
最後に、主照合部4は、入力された予備演算部3と第2主演算部2Bからの各データを照合し、各データが一致しているか否かを照合し、各データが一致しているという照合結果を得て、予備演算部3及び第2主演算部2Bの動作は正常と判定する。そして、例えば、予備演算部3及び第2主演算部2Bから出力される各データに基づき制御対象の動作を、引き続き制御する。そして、この様に、予備演算部3からのデータが主照合部4に入力される様に経路が切替えられた後は、例えば、データの照合は、副照合部5では行わず、主照合部4でのみ行い、その後、例えば、主照合部4で各データが不一致であるという照合結果を得た場合は、予備演算部3及び第2主演算部2Bのどちらか一方の動作は異常と判定する。そして、制御対象の動作を、安全側になるように制御する。
【0038】
なお、前記初期状態において、第2主演算部2Bに故障が発生した場合の制御動作についても、以下に概略説明する。予備演算部3が正常な動作を行っている時に、第2,3副照合部5B,5Cは、不一致を検知し、第1副照合部5Aは、一致を検知する。そして、制御部8は、予備演算部3の動作は正常であり第2主演算部2Bの動作は異常であると判定し、第2主演算部2Bの代わりに、予備演算部3からのデータを主照合部4に入力するように、第2切替部7を制御する。さらに、制御部8は、第1主演算部2Aからのデータは引き続き主照合部4へ入力するように、第1切替部6を制御する。そして、主照合部4は、入力された第1主演算部2Aと予備演算部3からの各データが一致しているという照合結果を得て、第1主演算部2A及び予備演算部3の動作は正常と判定する。そして、例えば、第1主演算部2A及び予備演算部3から出力される各データに基づき制御対象の動作を、引き続き制御する。そして、この様に、予備演算部3からのデータが主照合部4に入力される様に経路が切替えられた後は、前述同様に、データの照合は、副照合部5では行わず、主照合部4でのみ行い、その後、例えば、主照合部4で各データが不一致であるという照合結果を得た場合は、予備演算部3及び第1主演算部2Aのどちらか一方の動作は異常と判定する。そして、制御対象の動作を、安全側になるように制御する。
【0039】
このような構成により、本実施形態に係るバス同期2重系コンピュータシステム1は、予備演算部3が正常であるときに第1及び第2主演算部2A,2Bのどちらか一方が故障し異常なデータを算出し続ける場合やノイズ等による一過性の原因で一時的に異常なデータを算出する場合に、異常側演算部を予備演算部に切替え、異常な動作を行うと判定された演算部の代わりに予備演算部3を主照合部4に接続し、予備演算部3と正常な動作を行う主演算部から算出され各経路上に出力された各データを主照合部4で照合し、各データが一致している場合には、データ照合された演算部から出力される各データに基づき制御対象の動作を制御し、制御対象の本来の動作を継続させることができる。このようにして、制御対象の稼働率を更に向上させるバス同期2重系コンピュータシステム1を提供することができる。また、主照合部で照合する各データが不一致である場合には、制御対象の動作が安全側になるように制御するため、従来と同様に安全性を確保することができる。
【0040】
ところで、第1主演算部2Aの動作は異常であると判定され、第1切替部6が、図2に示すように正常動作を行い、第1切替部6を経由して予備演算部3からのデータを主照合部4に入力している場合に、例えば、図2に点線で示すように、第2切替部7の誤動作により、第2切替部7を経由した予備演算部3からのデータも主照合部4に入力されてしまうことも想定される。この場合、主照合部4は、予備演算部3からのデータ同士を照合することになり、主照合部4では一致という照合結果が得られてしまうため、予備演算部3から異常なデータが算出されても、演算部が正常な動作を行っていると判定してしまう。後述する第2実施形態におけるバス同期2重系コンピュータシステムは、このように、同一の演算部からのデータが主照合部4に入力されるというフェールアウトな状態になった場合においても、主照合部4において、異常を検出することができるように構成したものである。
【0041】
図3は、本発明に係るバス同期2重系コンピュータシステム1の第2実施形態を示す概略構成図である。本実施形態における2重系コンピュータシステム1では、前記2個の演算部(第1主演算部2A、第2主演算部2B)と前記予備演算部3とを切替える各切替部(第1切替部6、第2切替部7及び後述の第3切替部10)を設け、各切替部を介して前記照合部(主照合部4)の前記データの各入力部(図示省略)がそれぞれ前記予備演算部3と接続された場合に、各入力部に互いに異なるデータが入力可能な構成としている。なお、図1の第1実施形態と同一の要素には同一の符号を付して説明を省略し、異なる部分についてのみ説明する。
【0042】
具体的には、本実施形態においては、前述したデータバスである第3経路Cは、図3に示すように、予備演算部3と第1切替部6とを接続する経路の中間部に第1分岐部S1を設け、この第1分岐部S1から分岐した経路(C1)を第2切替部7に接続し、第1分岐部S1と予備演算部3間の経路に第2分岐部S2を設け、第2分岐部S2から分岐する分岐経路C2を設けて、第1分岐部S1と第2分岐部S2の間の経路を主経路C3としてデータバスを構成している。そして、本実施形態におけるバス同期2重系コンピュータシステム1は、図3に示すように、変換部9と、第3切替部10と、復元部11を更に備えて構成されている。
【0043】
前記変換部9は、予備演算部3から入力されるデータを異なる形式のデータに変換して出力するものであり、図3に示すように、分岐経路C2上に設けられている。なお、本実施形態において、この変換部9は、入力するデータを暗号化して出力する暗号化回路で構成されている。そして、この暗号化回路は、データを異なる形式に暗号化すると共に、例えば、データは暗号化されたデータであることが後で識別可能なデータを付加する。この付加されたデータにより、後述する復元部11において、入力されるデータが暗号化されたデータか否かの判断をすることができるように構成されている。
【0044】
前記第3切替部10は、主経路C3と分岐経路C2のどちらか一方を第1分岐部S1に選択的に切替え接続可能な切替手段であり、図3に示すように、主経路C3上に設けられている。また、第3切替部10は、例えば、図3,4に示すように、主経路C3又は分岐経路C2のどちらか一方に接続している状態を初期状態としてもよいし、図示しないが、どちらとも接続していない状態を初期状態としてもよい。
【0045】
前記復元部11は、入力されるデータが変換部9により変換されたデータの場合は、元のデータに復元し、変換されていないデータである場合は、異なる形式のデータに変換して出力するものである。なお、本実施形態において、この復元部11は、前述した暗号化回路で暗号化されたデータを復号化して出力する復号化回路で構成されている。そして、暗号化回路により付加されたデータによって、復号化回路に入力されるデータが暗号化されたデータであると判断する場合は、元のデータに復号化し、暗号化されていないデータであると判断する場合は、異なる形式のデータに暗号化する様に構成されている。
【0046】
また、本実施形態において、制御部8は、図3に示すように、予備演算部3の動作は正常であり第1主演算部2Aの動作は異常であると判定する場合に、主経路C3を第1分岐部S1に接続するように、第3切替部10を制御すると共に、図4に示すように、予備演算部3の動作は正常であり第2主演算部2Bの動作は異常であると判定する場合に、分岐経路C2を第1分岐部S1に接続するように、第3切替部10を制御するように構成されている。そして、復元部11は、図3,4に示すように、第2切替部7と第1分岐部S1を接続する経路(C1)に設けて構成されている。
【0047】
次に、本実施形態に係るバス同期2重系コンピュータシステム1の制御動作について、図3〜5に基づいて説明する。なお、初期の状態においては、第1及び第2主演算部2A、2B、並びに予備演算部3は正常な動作をしており、また、各演算部のうち2つ以上の演算部が、同時に異常動作を起さないものとする。また、第1及び第2主演算部2A、2Bによって正常に演算処理を行い制御対象の動作を制御している状態を初期状態とし、この初期状態において、第1主演算部2Aが故障し、異常なデータを出力し続ける場合の制御動作を説明する。なお、上記の初期状態において、例えば、ノイズ等による一過性の原因により、第1主演算部2Aから異常なデータを一時的に出力する場合においても、同じ制御動作を行うため説明を省略する。
【0048】
上記初期状態において、図3に示す様に、第1主演算部2Aに故障が発生したものとして以降の説明をする。第1,3副照合部5A,5Cにより不一致、第2副照合部5Bにより一致を検知し、制御部8は、予備演算部3の動作は正常であり第1主演算部2Aの動作は異常であると判定し、第3切替部10は主経路C3を、第1切替部6は経路C4を選択するように制御指令を出力する。さらに、制御部8は、第2主演算部2Bからのデータは引き続き主照合部4へ入力するように、制御指令を第2切替部7に出力する。そして、主照合部4は、入力された予備演算部3と第2主演算部2Bからの各データを照合し、以降は第1実施形態と同じ制御動作を行う。なお、図3に示す状態において、図5に示すように、第2切替部7が誤動作すると、予備演算部3からのデータは、主経路C3と経路C1を経由して復号化回路(復元部11)により元のデータと異なる形式のデータに変換され、主照合部4に入力される。
【0049】
このようにして、主照合部4には、予備演算部3から出力されたデータと同じデータが一方の入力部から入力され、元のデータと異なる形式のデータに変換されたデータが他方の入力部から入力され、主照合部4は、互いのデータは不一致であるとして、演算部の動作が異常であると判定することができるため、予備演算部3同士のデータを主照合部4で照合するというフェールアウトな状態になった場合においても、制御対象の動作が安全側になるように制御することができる。
【0050】
なお、前記初期状態において、図4に示す様に、第2主演算部2Bに故障が発生した場合の制御動作についても、以下に概略説明する。第2,3副照合部5B,5Cにより不一致、第1副照合部5Aにより一致を検知し、制御部8は、予備演算部3の動作は正常であり第2主演算部2Bの動作は異常であると判定し、第3切替部10は分岐経路C2を、第2切替部7は経路C1を選択するように制御指令を出力すると共に、第1主演算部2Aからのデータは引き続き主照合部4へ入力するように、制御指令を第1切替部6に出力する。そして、予備演算部3からのデータは分岐経路C2上の暗号化回路(変換部9)により暗号化され、そして、経路C1上の復号化回路(復元部11)により元のデータに復号化され、予備演算部3から出力されたデータと同じデータが主照合部4に入力される。主照合部4は、入力された第1主演算部2Aと予備演算部3からの各データを照合し、以降は第1実施形態と同じ制御動作を行う。なお、図4に示す状態において、図示しないが、第1切替部6が誤動作すると、予備演算部3からのデータは、分岐経路C2を経由して暗号化回路(変換部9)により暗号化され、経路C4を経由して主照合部4に入力される。
【0051】
このようにして、主照合部4は、予備演算部3から出力されたデータと同じデータに復号化されたデータと、暗号化されたデータとが入力され、主照合部4は、互いのデータは不一致であるとして、演算部の動作が異常であると判定することができるため、予備演算部3同士のデータを主照合部4で照合するというフェールアウトな状態になった場合においても、制御対象の動作が安全側になるように制御することができる。
【0052】
なお、本実施形態においては、第1又は第2切替部6,7が誤動作した場合について説明したが、第1又は第2切替部6,7が誤動作する場合に限らず、制御部8が誤動作し、第1及び第2切替部6,7に誤った切替動作の指令する場合や、制御部8と第1及び第2切替部6,7の誤動作が重なる結果、前述のフェールアウトな状態になった場合においても、前述同様に、制御対象の動作が安全側になるように制御することができる。
【0053】
また、本実施形態においては、記2個の演算部と前記予備演算部とを切替える各切替部を設け、各切替部を介して前記照合部の前記データの各入力部がそれぞれ前記予備演算部と接続された場合に、各入力部に互いに異なるデータが入力可能な構成の一例として、制御部8は、予備演算部3の動作は正常であり第1主演算部2Aの動作は異常であると判定する場合に、主経路C3を第1分岐部S1に接続するように、第3切替部10を制御すると共に、予備演算部3の動作は正常であり第2主演算部2Bの動作が異常であると判定する場合に、分岐経路C2を第1分岐部S1に接続するように、第3切替部10を制御するように構成された場合で説明したが、これに限らず、第2実施形態の変形例を示す図6及び図7に示したように、予備演算部3の動作は正常であり第1主演算部2Aの動作は異常であると判定する場合に、分岐経路C2を第1分岐部S1に接続するように、第3切替部10を制御する(図6参照)と共に、予備演算部3の動作は正常であり第2主演算部2Bの動作が異常であると判定する場合に、主経路C3を第1分岐部S1に接続するように、第3切替部10を制御する(図7参照)構成であってもよい。この構成の場合は、復元部11は、図6及び図7に示すように、第1切替部6と第1分岐部S1を接続する経路(C4)に設けて構成される。
【0054】
また、本実施形態において、変換部9は、暗号化回路によって構成され、復元部11は、復号化回路によって構成された場合で説明したが、前記変換部9及び復元部11は、入力するデータを反転して出力する反転回路で構成してもよい。この反転回路は、データ内の、例えば、0というデータを1に、1というデータを0に反転させて出力するものであり、変換部9と復元部11は同じ反転回路で構成される。これにより、変換部9及び復元部11の構成が簡略化される。
【0055】
ところで、予備演算部3、変換部9、第3切替部10、復元部11、第1切替部6及び第2切替部7を備えた予備系の回路は、第1主演算部2A又は第2主演算部2Bの動作が異常であると判定されるまでは使用されない。したがって、第1主演算部2A又は第2主演算部2Bが異常であると判定される前に、例えば、変換部9と復元部11が、いずれも短絡故障した状態になっている可能性がある(図8参照)。
【0056】
この図8の状態で、第2主演算部2Bの故障が発生し、予備演算部3の動作は正常であり第2主演算部2Bの動作は異常であると判定され、第2切替部7が図9に示すように正常動作を行い、暗号化されていない予備演算部3のデータが変換部9の入出力短絡ラインC5及び復元部11の入出力短絡ラインC6を経由して第2経路Bから主照合部4に入力されている場合に、例えば、図9に点線で示す第1切替部6の誤動作により、第1経路Aからも暗号化されていない予備演算部3のデータが変換部9の入出力短絡ラインC5を経由して主照合部4に入力されることが想定される。
【0057】
また、図8の状態で、第1主演算部2Aの故障が発生し、予備演算部3の動作は正常であり第1主演算部2Aの動作は異常であると判定され、第1切替部6が図10に示すように正常動作を行い、第1経路Aから暗号化されていない予備演算部3のデータが主照合部4に入力されている場合に、図10に点線で示す第2切替部7の誤動作により、第2経路Bからも暗号化されていない予備演算部3のデータが復元部11の入出力短絡ラインC6(図10参照)を経由して主照合部4に入力されることも想定される。
【0058】
これら図9及び図10に示す状態の場合、主照合部4は、予備演算部3からのデータ同士を照合することになり、主照合部4では一致という照合結果が得られてしまうため、予備演算部3から異常なデータが算出されても、演算部が正常な動作を行っていると判定してしまう。また、図示省略するが、短絡故障が復元部11にのみ発生している場合であっても、図9及び図10と同様に、第1経路A及び第2経路Bから同一のデータが主照合部4に入力されることも想定される。
【0059】
後述する第3実施形態におけるバス同期2重系コンピュータシステムは、第1主演算部2A又は第2主演算部2Bが異常であると判定される前に、少なくとも復元部11が短絡故障した場合に、上述したように第1経路A及び第2経路Bから同一のデータが主照合部4に入力されるというフェールアウトな状態になることを未然に防止することができるように、復元部11の故障診断機能を追加して構成したものである。
【0060】
図11は、本発明に係るバス同期2重系コンピュータシステム1の第3実施形態を示す概略構成図である。本実施形態におけるバス同期2重系コンピュータシステム1では、前記2個の演算部(第1主演算部2A、第2主演算部2B)のいずれか一方を、前記各切替部(第1切替部6、第2切替部7及び第3切替部10)を介して周期的に前記予備演算部3に切替えるように構成している。なお、図3の第2実施形態と同一の要素には同一の符号を付して説明を省略し、異なる部分についてのみ説明する。
【0061】
具体的には、本実施形態においては、第2切替部7を予備演算部3側へ周期的に切替え接続し、この切替接続と同期して第3切替部10を分岐経路C2側へ周期的に接続するように構成する。この第2切替部7及び第3切替部10の周期的な切替接続は、例えば、制御部8に設けるタイマー部(図示省略)からの周期的な切替指令によって行われるように構成する。上記タイマー部は、具体的には、第2切替部7に対して、予備演算部3側へ切替え接続しその状態を所定時間維持した後に第2主演算部2B側へ切替え接続するという一連の制御指令を予め定めた周期(例えば、数秒間隔)で出力すると共に、第3切替部10に対して、分岐経路C2側へ切替え接続し所定時間維持した後に主経路C3側へ切替え接続するという一連の制御指令を上記第2切替部の周期的な切替え接続の制御指令と同期して出力する。
【0062】
次に、本実施形態に係るバス同期2重系コンピュータシステム1の制御動作について、図11に基づいて説明する。なお、初期の状態においては、第1及び第2主演算部2A、2B、並びに予備演算部3は正常な動作をしており、その後、復元部11が短絡故障するものとして、復元部11及び変換部9は同時に短絡故障しないものとして以下説明する。また、第1及び第2主演算部2A、2B、並びに予備演算部3が故障した場合の制御動作については、第2実施形態と同じであるため説明を省略する。
【0063】
上記初期状態において、まず、制御部8のタイマー部(図示省略)は、第2切替部7に対して、予備演算部3側へ切替え接続しこの状態を予め定めた所定時間維持する制御指令を出力すると共に、第3切替部10に対して、分岐経路C2側へ切替え接続しこの状態を予め定めた所定時間維持する制御指令を第2切替部7の上記切替え接続の制御指令と同期して出力する。ここで、第2切替部7及び第3切替部10を図11に実線で示したように切替え接続した時に、変換部9及び復元部11が正常である場合、主照合部4は、入力された各データを照合し、一致しているという照合結果を得て、例えば、第1主演算部2A及び予備演算部3から出力される各データに基づき制御対象の動作を制御する。
【0064】
そして、制御部8のタイマー部(図示省略)は、図11に実線で示した第2切替部7及び第3切替部10の状態を所定時間維持させる制御指令を出力した後、第2切替部7に対して、第2主演算部2B側へ切替え接続する制御指令を出力すると共に、第3切替部10に対して、主経路C3側へ切替え接続する制御指令を上記第2切替部7の切替え接続の制御指令と同期して出力する。これにより、第2切替部7及び第3切替部10を図11に破線で示したように切替え接続して初期の接続状態に戻して、上記第2切替部7及び第3切替部10の一連の故障診断用の切替動作が完了する。制御部8のタイマー部は、この一連の切替動作を予め定めた周期(例えば、数秒間隔)で行うように、第2切替部7及び第3切替部10に対して上記制御指令を周期的に出力することにより、故障診断用の切替動作を繰り返し行う。
【0065】
ここで、図11に破線で示した初期の接続状態に戻した後、次に図11の実線で示す切替接続が行われる前に、復元部11に短絡故障が発生したものとして、以下説明する。この短絡故障が発生した後、次に第2切替部7が予備演算部10側へ切替え接続されると共に第3切替部10が分岐経路C2側へ切替え接続されたとき、主照合部4は、入力された各データを照合し、不一致であるという照合結果を得て、例えば、復元部11、変換部9及び第3切替部10等を備えた予備系の回路に何らかの故障があると判定し、制御対象の動作が安全側になるように制御する。
【0066】
このように、予備系回路の故障診断用の切替動作を周期的に行うことにより、復元部11に短絡故障が発生した場合に、主照合部4は、入力された各データが不一致であるという照合結果を得て、例えば、復元部11等を備えた予備系回路に何らかの故障があると判定して制御対象の動作が安全側になるように制御することができる。したがって、第1主演算部2A又は第2主演算部2Bが異常であると判定される前に、少なくとも復元部11が短絡故障した場合に、上述したように第1経路A及び第2経路Bから同一のデータが主照合部4に入力されるというフェールアウトな状態(例えば、図9及び図10)になることを未然に防止することができる。
【0067】
なお、周期的な切替接続の制御指令をタイマー部から行うものとしたが、これに限らず、この切替接続の制御指令のプログラムを演算部に備え、この演算部(例えば、第1及び第2主演算部)から制御部8に対して切替タイミングを都度指令し、この指令に基づき制御部8が各切替部に対して切替の制御指令を出力するようにしてもよい。
【0068】
また、本実施形態に係るバス同期2重系コンピュータシステム1の上記制御動作の説明では、図11に示すように復元部11が先に短絡故障するものとしたが、これに限らず、変換部9が先に短絡故障することも想定される。この場合であっても、主照合部4は、入力された各データが不一致であるという照合結果を得て、予備系回路に故障があると判定して制御対象の動作が安全側になるように制御する。これにより、変換部9と復元部11の両方が短絡故障しているという図9に示すフェールアウトな状態になることを未然に防止することができる。
【0069】
また、図6及び図7に示す第2実施形態の変形例においても、図8及び図9に示すような予備系回路の故障に起因するフェールアウトな状態になる可能性がある。この場合は、図示省略するが、第1切替部6を予備演算部3側へ周期的に切替え接続し、この切替接続と同期して第3切替部10を主経路C3側へ周期的に接続するように構成する。この場合、タイマー部は、例えば、第1切替部6に対して、予備演算部3側へ切替え接続しその状態を所定時間維持した後に第1主演算部2A側へ切替え接続するという一連の制御指令を予め定めた周期(例えば、数秒間隔)で出力すると共に、第3切替部10に対して、主経路C3側へ切替え接続し所定時間維持した後に分岐経路C2側へ切替え接続するという一連の制御指令を上記第1切替部6の周期的な切替え接続の制御指令と同期して出力する。
【0070】
なお、予備系回路の故障診断用の切替接続の制御指令は、タイマー部に限らず、切替接続の制御指令のプログラムを備えた演算部によって行うようにしてもよい。
【符号の説明】
【0071】
1 バス同期2重系コンピュータシステム
2A 第1主演算部
2B 第2主演算部
3 予備演算部
4 主照合部(照合部)
5 副照合部(別の照合部)
6 第1切替部
7 第2切替部
8 制御部
9 変換部
10 第3切替部
11 復元部
C2 分岐経路
C3 主経路
S1 第1分岐点
S2 第2分岐点
【特許請求の範囲】
【請求項1】
同一情報に対し同一演算処理を同期して行う2個の演算部の各データを照合部で照合した結果から制御対象の動作を制御するコンピュータシステムにおいて、2個の演算部と別に予備演算部を設け、前記照合部の照合前に2個の演算部と予備演算部の各データを別の照合部で相互に照合した結果から予備演算部が正常で2個の演算部のいずれか一方が異常のとき異常側演算部を予備演算部に切替えるバス同期2重系コンピュータシステム。
【請求項2】
前記別の照合部は、前記2個の演算部と前記予備演算部からの各データを相互に照合して互いのデータの一致・不一致を検知する構成とし、
前記別の照合部の検知結果に基づいて前記2個の演算部と前記予備演算部の動作が正常であるか否かを判定し、該判定結果に応じて前記異常側演算部を予備演算部に切替えることを特徴とする請求項1に記載のバス同期2重系コンピュータシステム。
【請求項3】
前記2個の演算部として第1主演算部と第2主演算部を設け、前記予備演算部は、前記第1及び第2主演算部と同一の入力情報に対して同一の演算処理を同期して行い、前記別の照合部は、前記第1主演算部と第2主演算部と予備演算部からの各データをそれぞれ相互に照合し、互いのデータの一致・不一致を検知する構成とし、
前記第1主演算部と前記予備演算部を前記照合部に選択的に切替え接続可能な第1切替部と、
前記第2主演算部と前記予備演算部を前記照合部に選択的に切替え接続可能な第2切替部と、
前記別の照合部の検知結果に基づき前記第1主演算部と前記第2主演算部と前記予備演算部の動作が正常であるか否かを判定し、該判定結果に応じて前記第1及び第2切替部の切替制御を行う制御部と、
を備えて構成することを特徴とする請求項2に記載のバス同期2重系コンピュータシステム。
【請求項4】
前記制御部は、前記第1及び第2主演算部の動作は正常であると判定する場合は、前記第1及び第2主演算部を前記照合部に接続するように、前記第1及び第2切替部を制御し、前記予備演算部の動作は正常であり前記第1主演算部の動作は異常であると判定する場合は、前記予備演算部及び前記第2主演算部を前記照合部に接続するように、前記第1及び第2切替部を制御し、前記予備演算部の動作は正常であり前記第2主演算部の動作は異常であると判定する場合は、前記予備演算部及び前記第1主演算部を前記照合部に接続するように、前記第1及び第2切替部を制御するように構成されることを特徴とする請求項3に記載のバス同期2重系コンピュータシステム。
【請求項5】
前記制御部は、前記別の照合部により、少なくとも、前記第1主演算部と第2主演算部の互いのデータの一致が検知される場合に、前記第1及び第2主演算部の動作は正常であると判定し、少なくとも、前記第1主演算部からのデータと、前記第2主演算部及び予備演算部からの各データとの不一致がそれぞれ検知される場合に、前記第1主演算部の動作は異常であると判定し、少なくとも、前記第2主演算部からのデータと、前記第1主演算部及び予備演算部からの各データとの不一致がそれぞれ検知される場合に、前記第2主演算部の動作は異常であると判定し、前記予備演算部と前記第1主演算部の互いのデータの一致が検知されている場合、又は、前記予備演算部と前記第2主演算部の互いのデータの一致が検知されている場合に、前記予備演算部の動作は正常であると判定する構成であることを特徴とする請求項4に記載のバス同期2重系コンピュータシステム。
【請求項6】
前記2個の演算部と前記予備演算部とを切替える各切替部を設け、各切替部を介して前記照合部の前記データの各入力部がそれぞれ前記予備演算部と接続された場合に、各入力部に互いに異なるデータが入力可能な構成としたことを特徴とする請求項1又は2に記載のバス同期2重系コンピュータシステム。
【請求項7】
前記2個の演算部のいずれか一方を、前記各切替部を介して周期的に前記予備演算部に切替えることを特徴とする請求項6に記載のバス同期2重系コンピュータシステム。
【請求項1】
同一情報に対し同一演算処理を同期して行う2個の演算部の各データを照合部で照合した結果から制御対象の動作を制御するコンピュータシステムにおいて、2個の演算部と別に予備演算部を設け、前記照合部の照合前に2個の演算部と予備演算部の各データを別の照合部で相互に照合した結果から予備演算部が正常で2個の演算部のいずれか一方が異常のとき異常側演算部を予備演算部に切替えるバス同期2重系コンピュータシステム。
【請求項2】
前記別の照合部は、前記2個の演算部と前記予備演算部からの各データを相互に照合して互いのデータの一致・不一致を検知する構成とし、
前記別の照合部の検知結果に基づいて前記2個の演算部と前記予備演算部の動作が正常であるか否かを判定し、該判定結果に応じて前記異常側演算部を予備演算部に切替えることを特徴とする請求項1に記載のバス同期2重系コンピュータシステム。
【請求項3】
前記2個の演算部として第1主演算部と第2主演算部を設け、前記予備演算部は、前記第1及び第2主演算部と同一の入力情報に対して同一の演算処理を同期して行い、前記別の照合部は、前記第1主演算部と第2主演算部と予備演算部からの各データをそれぞれ相互に照合し、互いのデータの一致・不一致を検知する構成とし、
前記第1主演算部と前記予備演算部を前記照合部に選択的に切替え接続可能な第1切替部と、
前記第2主演算部と前記予備演算部を前記照合部に選択的に切替え接続可能な第2切替部と、
前記別の照合部の検知結果に基づき前記第1主演算部と前記第2主演算部と前記予備演算部の動作が正常であるか否かを判定し、該判定結果に応じて前記第1及び第2切替部の切替制御を行う制御部と、
を備えて構成することを特徴とする請求項2に記載のバス同期2重系コンピュータシステム。
【請求項4】
前記制御部は、前記第1及び第2主演算部の動作は正常であると判定する場合は、前記第1及び第2主演算部を前記照合部に接続するように、前記第1及び第2切替部を制御し、前記予備演算部の動作は正常であり前記第1主演算部の動作は異常であると判定する場合は、前記予備演算部及び前記第2主演算部を前記照合部に接続するように、前記第1及び第2切替部を制御し、前記予備演算部の動作は正常であり前記第2主演算部の動作は異常であると判定する場合は、前記予備演算部及び前記第1主演算部を前記照合部に接続するように、前記第1及び第2切替部を制御するように構成されることを特徴とする請求項3に記載のバス同期2重系コンピュータシステム。
【請求項5】
前記制御部は、前記別の照合部により、少なくとも、前記第1主演算部と第2主演算部の互いのデータの一致が検知される場合に、前記第1及び第2主演算部の動作は正常であると判定し、少なくとも、前記第1主演算部からのデータと、前記第2主演算部及び予備演算部からの各データとの不一致がそれぞれ検知される場合に、前記第1主演算部の動作は異常であると判定し、少なくとも、前記第2主演算部からのデータと、前記第1主演算部及び予備演算部からの各データとの不一致がそれぞれ検知される場合に、前記第2主演算部の動作は異常であると判定し、前記予備演算部と前記第1主演算部の互いのデータの一致が検知されている場合、又は、前記予備演算部と前記第2主演算部の互いのデータの一致が検知されている場合に、前記予備演算部の動作は正常であると判定する構成であることを特徴とする請求項4に記載のバス同期2重系コンピュータシステム。
【請求項6】
前記2個の演算部と前記予備演算部とを切替える各切替部を設け、各切替部を介して前記照合部の前記データの各入力部がそれぞれ前記予備演算部と接続された場合に、各入力部に互いに異なるデータが入力可能な構成としたことを特徴とする請求項1又は2に記載のバス同期2重系コンピュータシステム。
【請求項7】
前記2個の演算部のいずれか一方を、前記各切替部を介して周期的に前記予備演算部に切替えることを特徴とする請求項6に記載のバス同期2重系コンピュータシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2013−101603(P2013−101603A)
【公開日】平成25年5月23日(2013.5.23)
【国際特許分類】
【出願番号】特願2012−230202(P2012−230202)
【出願日】平成24年10月17日(2012.10.17)
【出願人】(000004651)日本信号株式会社 (720)
【出願人】(899000057)学校法人日本大学 (650)
【Fターム(参考)】
【公開日】平成25年5月23日(2013.5.23)
【国際特許分類】
【出願日】平成24年10月17日(2012.10.17)
【出願人】(000004651)日本信号株式会社 (720)
【出願人】(899000057)学校法人日本大学 (650)
【Fターム(参考)】
[ Back to top ]