2重系演算処理装置および2重系演算処理方法
【課題】メモリ照合コントローラリトライ機能を利用して、一時的な外乱による両系比較不一致が生じた際に、直前の正常な演算データを用いて自動復旧させることを可能にする2重系演算処理装置及び2重系演算処理方法を提供する。
【解決手段】2重系演算処理装置は、2重系を構成するCPU21,22と、各系のCPU21,22の演算データをバス周期に基づいて伝送するバス29a,29bと、各系の演算データを記憶する2重系の記憶装置24,25と、両系の演算データを比較する照合論理部23とを備えている。各系の記憶装置24,25は、演算データを記憶する常用エリアと、両系比較一致を確認した演算データを常用エリアから受信して記憶する退避エリアとを有している。照合論理部23は、両系比較不一致が発生した場合に、各系において、退避エリアから演算データを読み出して、CPU21,22で再演算をさせるリトライ機能を備えている。
【解決手段】2重系演算処理装置は、2重系を構成するCPU21,22と、各系のCPU21,22の演算データをバス周期に基づいて伝送するバス29a,29bと、各系の演算データを記憶する2重系の記憶装置24,25と、両系の演算データを比較する照合論理部23とを備えている。各系の記憶装置24,25は、演算データを記憶する常用エリアと、両系比較一致を確認した演算データを常用エリアから受信して記憶する退避エリアとを有している。照合論理部23は、両系比較不一致が発生した場合に、各系において、退避エリアから演算データを読み出して、CPU21,22で再演算をさせるリトライ機能を備えている。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、高い安全性を求められる分野で用いられ、内部にA系・B系からなる2重系のCPUを持ちフェールセーフな構成とされた2重系演算処理装置および2重系演算処理方法に関する。
【背景技術】
【0002】
鉄道用信号・保安システム、発電所などの高い安全性を求められる分野では、システムの高い稼働率とともに、当該システムを構成する部品の故障といった不測の事態が生じても、システム全体を安全側の状態に遷移させるフェールセーフな構成の実現が必要不可欠である。こうしたシステムは、フェールセーフ性を実現するために、A系・B系の二つの演算処理部と照合論理部を持つフェールセーフCPUを備えている。フェールセーフCPUでは、A系・B系それぞれにおいて同じ演算処理を行い、一つのバス周期毎に1演算処理の1サイクルの出力をフェールセーフ照合論理部にてバス比較し、その結果が正しい場合にのみ次のサイクルに移り、1演算処理終了後に出力することで出力データのフェールセーフ性を確保している。
【0003】
しかしながら、上記のようなフェールセーフ構成では、構成部品の故障或いはそれに相当するものではなくても、一時的な外乱により両系の演算データがその比較照合で不一致という結果が出た場合でも、出力処理が止まってしまう。出力処理が止まるとフェールセーフな出力が得られなくなり、出力結果を得て動作するシステムが停止する。再び演算結果を得てシステムを動作させるためには、現状では装置を一度手動で立ち上げ直す必要がある。
【0004】
また、従来の二つの処理系を持つフェールセーフ演算装置にて自動的に復旧するシステムを構築することが考えられるが、そうした自動復旧機能付きのフェールセーフ演算装置では、制御周期毎に1演算処理の全サイクルを行った結果の出力比較を行うため、自動復旧による再演算は、次の制御周期で行うこととなる。従って、次の演算を行う制御周期がずれ、リアルタイム性を保つことが困難となる。
【0005】
更に、従来方式のフェールセーフ演算装置では、上記の通り、両系比較照合において、たとえ一時的な外乱による不一致が出た場合でも出力処理が停止し、一度手動で装置を立ち上げなおす必要がある。再立ち上げまでの間、システムが停止するため、装置に対して求められている稼働率の低下に繋がる。また、演算装置を立ち上げ直すために人員を投入する必要があり、従来の方式は時間とコストが掛かるものであった。
【0006】
特許文献1には、多段に演算器を連ねパイプライン方式で演算処理を行うような信号処理装置として、フェールセーフなシステム構成が記載されている。このシステムでは、演算器の適当な段に次段に送るのと同時にその演算周期内でデータ格納が可能な診断メモリを設置し、また同じ周期内でデータの正否を判定する装置を設け、データエラー等を検出し停止した際にそのアドレスより演算を再開させることで、エラーを発生させたデータを特定することを可能にしているので、再実行する際にそのデータから入力して起動することにより必要な演算の再実行時間を減少することを可能にしている。また、特許文献2では、2台のCPUで出力電圧・電流を監視しているので、送信器の出力の増大故障を誤り無く検知する軌道回路用送信受器が提案されている。送受信器内のデバイスに故障が発生した場合には、送受信器の信号出力を停止して、送受信器から誤った情報や危険なレベルを含んだ信号を出力しなくすることで、フェールセーフな送受信器を構成している。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開平7−302201号公報
【特許文献2】特開2004−237903号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
そこで、2重系演算処理および2重系演算処理方法において、メモリ照合コントローラリトライ機能を利用して、一時的な外乱による両系比較不一致が生じた際に、直前の正常な演算データを用いて自動復旧させる点で解決すべき課題がある。
本発明の目的は、一時的な外乱による両系比較不一致が生じた際に、自動復旧させて演算装置の手動による立ち上げ直しを回避することで高い稼働率を実現し、システムの維持・管理コストの低減を図り、かつ不測の事態が生じてもシステム全体を安全側の状態に遷移させることができる2重系演算処理装置および2重系演算処理方法を提供することである。
【課題を解決するための手段】
【0009】
本発明による2重系演算処理装置は、2重系を構成するCPUと、前記2重系の各系の前記CPUの演算データをバス周期に基づいて伝送するバスと、前記バスを介してそれぞれの記憶装置が各系の前記演算データを記憶する2重系の記憶装置と、前記バスを介して両系の前記演算データを比較する照合論理部と、を備える演算処理装置であって、各系の前記記憶装置は、前記バスを介して対応する系の前記演算データを記憶する常用エリアと、前記照合論理部で両系比較一致を確認した前記演算データを前記常用エリアから受信して記憶する退避エリアとを有しており、前記照合論理部は、両系比較不一致が発生した場合に、各系において、前記退避エリアから両系比較一致が確認されている前記演算データを読み出して、前記退避エリアから読み出した前記演算データを用いて前記CPUで再演算をするリトライ機能を有することを特徴としている。
【0010】
本発明による2重系演算処理方法は、2重系を構成するCPUと、前記2重系の各系の前記CPUの演算データをバス周期に基づいて伝送するバスと、前記バスを介して各系の前記演算データを記憶する2重系の記憶装置と、前記バスを介して両系の前記演算データを比較する照合論理部と、を備える演算処理装置の2重系演算処理方法であって、前記照合論理部で両系比較一致を確認した前記演算データを前記記憶装置の退避エリアに記憶し、前記照合論理部で両系比較不一致が発生した場合に、各系の前記記憶装置の退避エリアに記憶された両系比較一致が確認されている前記演算データを読み出し、当該演算データを用いて前記CPUで再演算をすることを特徴としている。
【0011】
本発明による2重系演算処理装置および2重系演算処理方法では、CPUが演算処理を行う場合、両系の信号処理演算をバス照合比較しながら行い、バス周期毎に演算データを記憶装置内の常用エリアから退避エリアにコピーして格納していく。このときのデータは両系演算出力結果を比較し、正常な出力が得られているときの演算データなので整合性が取れているといえる。また、両系比較演算が正しい場合には、フェールセーフな演算出力を行いながら、バス周期毎の演算データを常用エリアから退避エリアへ格納する。そして、一時的な外乱により両系比較不一致が出た場合は、CPUの動作を止め、やり直しのトリガをかけ、最後に両系比較演算が正しい時に常用エリアから退避エリアに格納した整合性の取れている(正しい演算結果となっている)演算データを用いること(好ましくは、退避エリアから常用エリアへ戻すこと)によって、両系比較不一致が出る前の一致状態に戻して、再計算をする。正常な出力が得られているときは、システムを停止させることなく、演算処理が続行される。このように、フェールセーフCPUの持つリトライ支援モードを利用して、一つの演算処理を行うべき時間としての制御周期をずらすことなく、リアルタイム性を保ちながら自動的に演算を再開させることが可能になる。
【0012】
自動再立ち上げ動作を、制御周期がより短いバス比較で行うことにより、制御周期内でデータ錯誤復旧動作を済ませることが可能になるので、制御周期をずらすことなくリアルタイム性を維持し、両系比較演算を早急に且つ自動的に再開できるようになる。また、同時に外部記憶装置を設ける場合には、その予備部からデータを読み出し、データ錯誤のあった演算部に書き込むことで、あらゆるメモリのデータ錯誤に対応し、両系比較不一致によるシステム停止時間を圧縮することが可能になる。
【発明の効果】
【0013】
本発明による2重系演算処理装置および2重系演算処理方法は、フェールセーフCPUを用いたシステムが一時的な外乱による両系比較不一致から復帰する際に、そのメモリ照合コントローラリトライ機能により、人員を動員して手動で装置を再立ち上げすることなく、自動的に且つ制御周期をずらすことなく演算を再開させることができるので、人件費等のコストの低減とシステムの稼働率の向上を見込むことができる。また、自動復帰後も、制御周期のリアルタイム性を保つことができる。
【図面の簡単な説明】
【0014】
【図1】本発明による2重系演算処理装置が適用されるシステムブロックの一例を示す図である。
【図2】本発明による2重系演算処理装置が適用されるフェールセーフCPUの一実施例を示すブロック図である。
【図3】図2に示すフェールセーフCPUに適用されるSRAMのメモリ構成である。
【図4】図2に示すフェールセーフCPUにおける制御動作を示すフローチャートである。
【図5】自動復帰の従来方式及び本発明の方式と制御周期との関係を示す図である。
【図6】本発明による2重系演算処理装置が適用される外部記憶装置付きフェールセーフCPUの一実施例を示すブロック図である。
【発明を実施するための最良の形態】
【0015】
以下、図面を参照して、本発明による2重系演算処理装置及び2重系演算処理方法の実施例を説明する。
【実施例1】
【0016】
図1は、本発明による2重系演算処理装置が適用されるシステムの一例を示しており、フェールセーフCPUを用いたネットワーク信号の流れを示すブロック図である。
【0017】
図1に示すように、ネットワーク信号システムにおいては、進路設定サーバ1から進路設定として列車の進行に必要な情報が連動部2に渡され、連動部2からは制御する信号別に、保安装置用のS−LAN(Signal-Local Area Network)3を経由して、FCP( Field Object Controlled Processor)である論理部4,5に渡される。FCPはフェールセーフな論理装置であって、定められた制御論理に基づいて小型制御端末に対する制御内容を決定し、デジタルネットワークであるE−PON(Ethernet(登録商標)-Passive Optical Network)6,7に出力する。以上の進路設定サーバ1からE−PON6,7までが信号機器室内に配設されている。制御出力は、各機器の小型制御端末であるFC(Field Controller)8〜11に送られる。
【0018】
FC8〜11に、本発明による2重系演算処理装置であるところのメモリ照合コントローラリトライ機能を兼ね備えるフェールセーフCPUが搭載されている。最後に、FC8〜11が、信号機12、転轍機13、ATS−S14、出発反応灯15、転轍機16等の現場機器(現場端末)を制御する。
【0019】
図2には、図1に示すFC8〜11に備わるフェールセーフCPUのブロック図が示されている。図2において、符号21で示すCPU_A及び符号22で示すCPU_Bは、フェールセーフCPU20の演算処理部となる2重系のCPUである。符号23はフェールセーフ照合論理部を示しており、本発明のメモリ照合コントローラリトライ機能は、このフェールセーフ照合論理部23に含まれる。また、符号24で示すSRAM_Aと符号25で示すSRAM_Bは、それぞれのCPUに付属する記憶装置としてのSRAM(Static Random Access Memory)である。SRAM24,25は、アドレスにより任意の十分な大きさを持つ常用エリアと退避エリアに分割されている。また、本例ではSRAM24,25としているが、同等の記憶装置であればそれらを用いても構わない。フェールセーフCPU20内では、信号の遣り取りは、伝送速度の早く制御周期の短いバス29a,29bを通じて行われる。また、フェールセーフCPU20には、当該CPUが外部と接続するために、I/F(Interface)26〜28が設けられている。
【0020】
図3は、図2に示す記憶装置であるSRAM24,25(同等の記憶装置を含む)のメモリマップの構造の一例を示す。SRAM24,25のメモリ領域は、任意のアドレスで常用エリア30と退避エリア36に分割されている。常用エリア30は、マイクロプログラム及びデータ格納部分31、タスクプログラム及びスタック格納部分32、サブルーチン格納部分33、読書き両用テーブル34、及び読出し専用テーブル35を備えている。そして、退避エリア36がメモリマップ内に含まれている。
【0021】
図3に示すフェールセーフCPU内での動作のフローチャートが図4に示されている。図4を参照してフェールセーフCPU20の動作、即ち、メモリ照合コントローラリトライ機能について説明する。演算(信号処理)を開始(ステップ41;以下、各ステップについては括弧付の数字を付す。)すると、フェールセーフCPUは、2重系の比較演算を行い、結果を出力しながら演算データの常用エリアへの書き込みを行い、更に、照合論理部23は、常用エリアからから退避エリアへの演算データの移動をDMA(Direct Memory Access)により行う(42)。不一致か否かの両系比較(43)において、両系比較不一致が出なければ演算を続け(43→44)、もし両系比較不一致が出れば、フェールセーフCPUは演算を停止する(43→45)。ここで、照合論理部23においては本発明のメモリ照合コントローラリトライ機能が働き、やり直しトリガがかけられる(46)。これを受けて、照合論理部23はDMAメモリ内の退避エリア36から最後に正確に動いていたときの演算データを読み出し、常用エリア30に戻す(47)。常用エリア30への正常演算データの戻しは、常用エリア30における該当データを上書きして行うことができる。例えば、一部演算データのビット化けのような一時的な外乱による演算停止であれば、常用エリア30からの正常演算データの戻しとその戻された正常演算データに基づくリトライにより、装置の再立ち上げを必要とすることなく自動的に復旧して演算を再開させることができる(48→44)。そうではなく、例えば部品の不具合等による自動的に復旧できない故障の場合は、装置のメンテナンスを行い再立ち上げする(48→49)。また、図5に自動復帰の従来方式及び本発明の方式と、制御周期の関係を示す。
【0022】
以上を用いて本発明による2重系演算処理装置に基づくネットワーク信号の動作を説明する。まず、進路設定(RCS)1からの入力が連動部2〜E−PON7を経て1バス周期毎にFC8〜11内にあるCPU_A21とCPU_B22にデータが同時に入力される。バス周期は、バスのクロック周波数に対応した周期のことであって、その周期に1リード/ライトが実行される。CPU_A21とCPU_B22はそれぞれ常用エリア30(31〜35)内に格納されている演算データに基づき、全く同じ演算処理(2重系演算処理)を行う。次に、CPU_A21とCPU_B22の演算結果が、常用エリア30に記憶されるとともに、フェールセーフ照合論理部23に入力されてバス比較・照合が行われる。演算結果が全く同一のときに現場端末12〜16を制御する信号を出力し、その信号を受け現場端末12〜16が動作する。また、このときCPU_A21、CPU_B22にそれぞれ付属するSRAM_A24、SRAM_B25の常用エリア30に記憶されている演算データが、リトライ支援機能により、コピーして退避エリア36に格納される。即ち、A系・B系それぞれのプログラム処理でトリガ用レジスタを叩くことで、常用エリア30内の制御用データが、CPU_A21、CPU_B22のそれぞれに付属するSRAM_A24、SRAM_B24の退避エリア36に照合論理部23のDMAによりコピーして格納される。
【0023】
本発明のリトライ支援機能では、各系において、常用エリア30から退避エリア36に格納するデータの格納の際に関しても、照合を行うことで健全性を確認することができる。このようなデータの格納の際に照合を行うことで、常用エリア30から退避エリア36へのデータ移動の際に各系でのデータの健全性維持を維持することができる。データ移動時の照合はこれに限ることなく、各系において、常用エリア30からコピーされて移動された退避エリア36内のデータの正常性(錯誤有無)を検出するのにも適用することができる。更に、両系比較不一致時において、各系で退避エリア36から常用エリア30へデータ移動する際のデータの健全性維持、更には各系で常用エリア30に戻されたデータの健全性維持のためにも、照合を行うことができる。フェールセーフ照合論理部23が両系比較不一致を検出するまでこれを繰り返す(42→43のNo(一致)→44)。
【0024】
両系比較不一致がフェールセーフ照合論理部23により検出((43)のYes)されれば、リトライ支援機能により、A系・B系それぞれのプログラム処理でトリガ用レジスタを叩くことでSRAM_A24、SRAM_B25の各退避エリア36から常用エリア31〜35へデータ復帰が実行される(47)。そのとき、レジスタより演算を停止させるための割り込み信号を各CPU_A21、CPU_B22に対して送信する。それを受けデータ復帰中CPUは演算を停止する(46)。尚、このとき格納した演算データは、正常動作時に両系で一致する演算結果を出力していたときの演算データであり、整合性が取れている。
【0025】
更に、従来の方式で考えられる復帰法では、制御周期毎に復帰のプロセスを行うため、次の演算を行う制御周期がずれる。図5を参照すると、従来方式では、制御周期(1周期は200ms)2の間で情報錯誤が発生すると、制御周期2での実行が繰り返され、その次には制御周期4で実行される。その結果、制御周期3の処理が実行されずリアルタイム性が保たれないことになる。これに対し、本発明における復帰のプロセスは、バス比較・照合によるものなので、復帰までの速度が速く、全ての作業を1制御周期内に収めることが可能となり、リアルタイム性を保つことができる。両系比較一致が確認される場合には、その各系における演算処理から照合までの一連の動作、及び両系比較不一致が確認される場合には、各系における演算処理からリトライ機能に係る再演算までの一連の各動作を、バス周期に従って一つの演算処理を行う制御周期内に行うことができる。即ち、図5に示すように、本発明によるエラー処理は、1バス周期が約60nsで非常に短く、一つの自動再立ち上げ処理に要する時間、即ち、演算から照合不一致、データ訂正、再演算及び出力までに要する時間は約240nsで済み、例えば制御周期2の間で情報錯誤が発生すると、全ての作業を当該制御周期内に済ますことができる。従来の演算処理では演算停止中、手動再立ち上げまで、例えば、図1にある信号機の場合は赤を点灯し、列車が誤って発車することを防ぐように、現場機器13〜16は安全側になるように設定されている。したがって、この間、列車は動くことが出来なくなり、稼働率の低下につながる。それに対し、本発明では、一時的な外乱が両系比較不一致の原因であるなら、演算可能な状態に、制御周期をずらすことなく自動的に且つ直ちに復旧することができる((48)のYes)ため、現場機器は照合不一致が無かったかのように振舞う、あるいは不一致があってもすぐに復帰することが出来、列車の稼働率を従来の演算処理に比べ、向上させることが可能となる。
【0026】
このように、本発明では、一時的な外乱により両系比較不一致が出る以前の状態に、1制御周期以内にフェールセーフCPUを戻すことができ(図5)、装置の再立ち上げを行うことなく、リアルタイム性を保ちながら自動的に演算を再開させることが可能となる。従って現場機器も迅速に復帰させることができ、システムの停止による列車の運行障害などの復帰時間を最小限に抑え、システムの稼働率の低下を防止して高い稼働率を維持することが可能となる。
【実施例2】
【0027】
以下、本発明による2重系演算処理装置の実施例2を、図6を参照して説明する。図6は外部記憶装置付きフェールセーフCPUのブロック図である。図6において、CPU_A50及びCPU_B51は演算を行うフェールセーフCPUの演算処理部である。フェールセーフ照合論理部52には、本発明のメモリ照合コントローラリトライ機能が含まれる。また、SRAM_A53とSRAM_B54は、CPU_A50、CPU_B51のそれぞれに付属するSRAM(Static Random Access Memory)である。このSRAMは、アドレスにより任意の十分な大きさを持つ常用エリアと退避エリアに分割されている。また、本例ではSRAMとしているが、同等の記憶装置であればそれらを用いても構わない。SRAM_A53とSRAM_B54のメモリマップは、実施例1の場合と同様に図3に例示されているものでよい。また、本発明のメモリ照合コントローラリトライ機能のフローチャート、及び制御周期との関係における自動復帰(従来方式及び本発明方式)ついても、実施例1の場合と同様に、図4及び図5に示されるもので良い。また、フェールセーフCPUが外部と接続するため、I/F(Interface)55, 56, 59が設けられている。実施例2では、それぞれが演算データを持つ演算部と予備部を備える、A系の外部記憶装置57とB系の外部記憶装置58が備わっている。
【0028】
図6に示す実施例2では、フェールセーフCPUからバス60a,60bを経由して、A系・B系双方に、外部記憶装置57, 58を備えている。ここで、一時的な外乱により、外部記憶装置57, 58内にデータ錯誤が生じた場合について述べる。フェールセーフCPUは、外部記憶装置57, 58の内部空間のチェック、訂正機能を持つ。
【0029】
1バス周期毎に外部記憶装置57, 58から、CPU_A50とCPU_B51にデータが同時に入力される。CPU_A50、CPU_B51は常用エリア30,30内に格納されている演算データに基づき、全く同じ演算処理をそれぞれ行う。次にCPU_A50とCPU_B51の演算結果がフェールセーフ照合論理部52に入力され、バス比較が行われる。この照合で演算結果が全く同一であるときに演算結果を出力し、また、演算データをCPU_A50、CPU_B51に付属するSRAM_A53、SRAM_B54の常用エリア書き込みながら、システムが稼動を続ける。更に、このときSRAM_A53、SRAM_B54の常用エリア31〜35に記憶されている演算データが、リトライ支援機能により、A系・B系それぞれのプログラム処理でトリガ用レジスタを叩くことで、照合論理部52のDMAにより、SRAM_A53、SRAM_B54の退避エリア36,36にコピーして格納される。本発明のリトライ支援機能ではこの退避エリア36,36に格納するデータの格納の際に関しても、比較実行を行うことで健全性を確認することができる。フェールセーフ照合論理部52が両系比較不一致を検出するまでこれを繰り返す(42→43のNo→44)。
【0030】
もし、演算結果についてデータ錯誤により、両系比較不一致が検出((43)のYes)されれば、リトライ支援機能により、A系・B系それぞれのプログラム処理でトリガ用レジスタを叩くことでSRAM_A53、SRAM_B540のそれぞれにおいて退避エリア36から常用エリア30,30へ、照合論理部52のDMAによりデータ復帰が実行される(47)。そのとき、レジスタより演算を停止させるための割り込み信号をCPU_A50、CPU_B51に対して送信する。それを受けデータ復帰中CPU50,51は演算を停止する(46)。なお、この演算停止中、現場機器13〜16は安全側になるように設定されている。このとき格納した演算データは、正常動作時に両系で一致する演算結果を出力していたときの演算データであり、整合性が取れている。さらに、従来の方式で考えられる復帰法では、制御周期ごとに復帰のプロセスを行うため、次の演算の制御周期がずれるのに対し、本発明における復帰のプロセスは、バス照合によるものなので、復帰までの速度が速く、全ての作業を1制御周期内に収めることが可能となり、演算再開後もリアルタイム性を保つことができる(図6)。また、同時に外部記憶装置(57,58)内の予備部から正し情報を読み出し、一時的な外乱により、データが錯誤された演算部に書き込むことで、データが錯誤された演算部の情報を錯誤前の正しい情報に戻す。これにより外部記憶装置の演算部を、データ錯誤前の演算可能な状態に復旧する((48)のYes)。前記事項を実施することにより、一時的な外乱により、外部記憶装置の演算部の情報が大きく錯誤されても、自動的に制御周期以内にデータ錯誤前の状態に戻すことができ、リアルタイム性を保ちながら(図6)、速やかに自動的に演算を再開させることが可能となる。
【産業上の利用可能性】
【0031】
本発明は、鉄道車両の運行システムを例に挙げて説明したが、これに限ることなく、2重系のCPUを持つ演算処理装置であれば、適用可能であり、ビット化けのような一時的な外乱に起因して両系比較不一致が生じた際に、直前の正常な演算データを用いて自動復旧させて、装置の再立ち上げを行うことなく、リアルタイム性を保ちながら自動的に演算を再開させて、管理・維持に掛かるコストを低減することが可能なすべてのシステムに対して適用可能である。
【符号の説明】
【0032】
1…進路設定(RCS:Real Time Control
Server)
2…連動部
3…S−LAN(Signal-Local Area Network)
4,5…論理部(FCP:Field Object Controlled Processor)
6,7…E−PON(Ethernet(登録商標)-Passive Optical
Network)
8〜11…FC(Field Controller)
12〜16…現場機器
20…フェールセーフCPU
21…A系CPU (CPU:Central Processing Unit)
22…B系CPU (CPU:Central Processing Unit)
23…フェールセーフ照合論理部
24…A系SRAM(SRAM: Static Random Access Memor)
25…B系SRAM(SRAM: Static Random Access Memor)
26…A系外部バス入出力・/F(・/F:Interface)
27…B系外部バス入出力・/F(・/F:Interface)
28…外部共通バス入出力・/F(・/F:Interface)
29a,29b…バス
30…常用エリア
31…マイクロプログラム、データ 32…タスクプログラム及びスタック
33…サブルーチン 34…読書き両用テーブル
35…読出し専用テーブル 36…退避エリア
41…信号処理開始 42…2重系演算出力/演算データ退避エリア書き込み
43…両系比較不一致? 44…信号処理継続
45…演算停止 46…やり直しのトリガ
47…退避エリアから演算データ読み直し 48…復旧
49…手動再立ち上げ
50…A系CPU 51…B系CPU
52…フェールセーフ照合論理部
53…A系SRAM 54…B系SRAM
55…A系外部バス入出力I/F 56…B系外部バス入出力I/F
57…A系外部記憶装置 58…B系外部記憶装置
59…外部共通バス入出力I/F
【技術分野】
【0001】
本発明は、高い安全性を求められる分野で用いられ、内部にA系・B系からなる2重系のCPUを持ちフェールセーフな構成とされた2重系演算処理装置および2重系演算処理方法に関する。
【背景技術】
【0002】
鉄道用信号・保安システム、発電所などの高い安全性を求められる分野では、システムの高い稼働率とともに、当該システムを構成する部品の故障といった不測の事態が生じても、システム全体を安全側の状態に遷移させるフェールセーフな構成の実現が必要不可欠である。こうしたシステムは、フェールセーフ性を実現するために、A系・B系の二つの演算処理部と照合論理部を持つフェールセーフCPUを備えている。フェールセーフCPUでは、A系・B系それぞれにおいて同じ演算処理を行い、一つのバス周期毎に1演算処理の1サイクルの出力をフェールセーフ照合論理部にてバス比較し、その結果が正しい場合にのみ次のサイクルに移り、1演算処理終了後に出力することで出力データのフェールセーフ性を確保している。
【0003】
しかしながら、上記のようなフェールセーフ構成では、構成部品の故障或いはそれに相当するものではなくても、一時的な外乱により両系の演算データがその比較照合で不一致という結果が出た場合でも、出力処理が止まってしまう。出力処理が止まるとフェールセーフな出力が得られなくなり、出力結果を得て動作するシステムが停止する。再び演算結果を得てシステムを動作させるためには、現状では装置を一度手動で立ち上げ直す必要がある。
【0004】
また、従来の二つの処理系を持つフェールセーフ演算装置にて自動的に復旧するシステムを構築することが考えられるが、そうした自動復旧機能付きのフェールセーフ演算装置では、制御周期毎に1演算処理の全サイクルを行った結果の出力比較を行うため、自動復旧による再演算は、次の制御周期で行うこととなる。従って、次の演算を行う制御周期がずれ、リアルタイム性を保つことが困難となる。
【0005】
更に、従来方式のフェールセーフ演算装置では、上記の通り、両系比較照合において、たとえ一時的な外乱による不一致が出た場合でも出力処理が停止し、一度手動で装置を立ち上げなおす必要がある。再立ち上げまでの間、システムが停止するため、装置に対して求められている稼働率の低下に繋がる。また、演算装置を立ち上げ直すために人員を投入する必要があり、従来の方式は時間とコストが掛かるものであった。
【0006】
特許文献1には、多段に演算器を連ねパイプライン方式で演算処理を行うような信号処理装置として、フェールセーフなシステム構成が記載されている。このシステムでは、演算器の適当な段に次段に送るのと同時にその演算周期内でデータ格納が可能な診断メモリを設置し、また同じ周期内でデータの正否を判定する装置を設け、データエラー等を検出し停止した際にそのアドレスより演算を再開させることで、エラーを発生させたデータを特定することを可能にしているので、再実行する際にそのデータから入力して起動することにより必要な演算の再実行時間を減少することを可能にしている。また、特許文献2では、2台のCPUで出力電圧・電流を監視しているので、送信器の出力の増大故障を誤り無く検知する軌道回路用送信受器が提案されている。送受信器内のデバイスに故障が発生した場合には、送受信器の信号出力を停止して、送受信器から誤った情報や危険なレベルを含んだ信号を出力しなくすることで、フェールセーフな送受信器を構成している。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開平7−302201号公報
【特許文献2】特開2004−237903号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
そこで、2重系演算処理および2重系演算処理方法において、メモリ照合コントローラリトライ機能を利用して、一時的な外乱による両系比較不一致が生じた際に、直前の正常な演算データを用いて自動復旧させる点で解決すべき課題がある。
本発明の目的は、一時的な外乱による両系比較不一致が生じた際に、自動復旧させて演算装置の手動による立ち上げ直しを回避することで高い稼働率を実現し、システムの維持・管理コストの低減を図り、かつ不測の事態が生じてもシステム全体を安全側の状態に遷移させることができる2重系演算処理装置および2重系演算処理方法を提供することである。
【課題を解決するための手段】
【0009】
本発明による2重系演算処理装置は、2重系を構成するCPUと、前記2重系の各系の前記CPUの演算データをバス周期に基づいて伝送するバスと、前記バスを介してそれぞれの記憶装置が各系の前記演算データを記憶する2重系の記憶装置と、前記バスを介して両系の前記演算データを比較する照合論理部と、を備える演算処理装置であって、各系の前記記憶装置は、前記バスを介して対応する系の前記演算データを記憶する常用エリアと、前記照合論理部で両系比較一致を確認した前記演算データを前記常用エリアから受信して記憶する退避エリアとを有しており、前記照合論理部は、両系比較不一致が発生した場合に、各系において、前記退避エリアから両系比較一致が確認されている前記演算データを読み出して、前記退避エリアから読み出した前記演算データを用いて前記CPUで再演算をするリトライ機能を有することを特徴としている。
【0010】
本発明による2重系演算処理方法は、2重系を構成するCPUと、前記2重系の各系の前記CPUの演算データをバス周期に基づいて伝送するバスと、前記バスを介して各系の前記演算データを記憶する2重系の記憶装置と、前記バスを介して両系の前記演算データを比較する照合論理部と、を備える演算処理装置の2重系演算処理方法であって、前記照合論理部で両系比較一致を確認した前記演算データを前記記憶装置の退避エリアに記憶し、前記照合論理部で両系比較不一致が発生した場合に、各系の前記記憶装置の退避エリアに記憶された両系比較一致が確認されている前記演算データを読み出し、当該演算データを用いて前記CPUで再演算をすることを特徴としている。
【0011】
本発明による2重系演算処理装置および2重系演算処理方法では、CPUが演算処理を行う場合、両系の信号処理演算をバス照合比較しながら行い、バス周期毎に演算データを記憶装置内の常用エリアから退避エリアにコピーして格納していく。このときのデータは両系演算出力結果を比較し、正常な出力が得られているときの演算データなので整合性が取れているといえる。また、両系比較演算が正しい場合には、フェールセーフな演算出力を行いながら、バス周期毎の演算データを常用エリアから退避エリアへ格納する。そして、一時的な外乱により両系比較不一致が出た場合は、CPUの動作を止め、やり直しのトリガをかけ、最後に両系比較演算が正しい時に常用エリアから退避エリアに格納した整合性の取れている(正しい演算結果となっている)演算データを用いること(好ましくは、退避エリアから常用エリアへ戻すこと)によって、両系比較不一致が出る前の一致状態に戻して、再計算をする。正常な出力が得られているときは、システムを停止させることなく、演算処理が続行される。このように、フェールセーフCPUの持つリトライ支援モードを利用して、一つの演算処理を行うべき時間としての制御周期をずらすことなく、リアルタイム性を保ちながら自動的に演算を再開させることが可能になる。
【0012】
自動再立ち上げ動作を、制御周期がより短いバス比較で行うことにより、制御周期内でデータ錯誤復旧動作を済ませることが可能になるので、制御周期をずらすことなくリアルタイム性を維持し、両系比較演算を早急に且つ自動的に再開できるようになる。また、同時に外部記憶装置を設ける場合には、その予備部からデータを読み出し、データ錯誤のあった演算部に書き込むことで、あらゆるメモリのデータ錯誤に対応し、両系比較不一致によるシステム停止時間を圧縮することが可能になる。
【発明の効果】
【0013】
本発明による2重系演算処理装置および2重系演算処理方法は、フェールセーフCPUを用いたシステムが一時的な外乱による両系比較不一致から復帰する際に、そのメモリ照合コントローラリトライ機能により、人員を動員して手動で装置を再立ち上げすることなく、自動的に且つ制御周期をずらすことなく演算を再開させることができるので、人件費等のコストの低減とシステムの稼働率の向上を見込むことができる。また、自動復帰後も、制御周期のリアルタイム性を保つことができる。
【図面の簡単な説明】
【0014】
【図1】本発明による2重系演算処理装置が適用されるシステムブロックの一例を示す図である。
【図2】本発明による2重系演算処理装置が適用されるフェールセーフCPUの一実施例を示すブロック図である。
【図3】図2に示すフェールセーフCPUに適用されるSRAMのメモリ構成である。
【図4】図2に示すフェールセーフCPUにおける制御動作を示すフローチャートである。
【図5】自動復帰の従来方式及び本発明の方式と制御周期との関係を示す図である。
【図6】本発明による2重系演算処理装置が適用される外部記憶装置付きフェールセーフCPUの一実施例を示すブロック図である。
【発明を実施するための最良の形態】
【0015】
以下、図面を参照して、本発明による2重系演算処理装置及び2重系演算処理方法の実施例を説明する。
【実施例1】
【0016】
図1は、本発明による2重系演算処理装置が適用されるシステムの一例を示しており、フェールセーフCPUを用いたネットワーク信号の流れを示すブロック図である。
【0017】
図1に示すように、ネットワーク信号システムにおいては、進路設定サーバ1から進路設定として列車の進行に必要な情報が連動部2に渡され、連動部2からは制御する信号別に、保安装置用のS−LAN(Signal-Local Area Network)3を経由して、FCP( Field Object Controlled Processor)である論理部4,5に渡される。FCPはフェールセーフな論理装置であって、定められた制御論理に基づいて小型制御端末に対する制御内容を決定し、デジタルネットワークであるE−PON(Ethernet(登録商標)-Passive Optical Network)6,7に出力する。以上の進路設定サーバ1からE−PON6,7までが信号機器室内に配設されている。制御出力は、各機器の小型制御端末であるFC(Field Controller)8〜11に送られる。
【0018】
FC8〜11に、本発明による2重系演算処理装置であるところのメモリ照合コントローラリトライ機能を兼ね備えるフェールセーフCPUが搭載されている。最後に、FC8〜11が、信号機12、転轍機13、ATS−S14、出発反応灯15、転轍機16等の現場機器(現場端末)を制御する。
【0019】
図2には、図1に示すFC8〜11に備わるフェールセーフCPUのブロック図が示されている。図2において、符号21で示すCPU_A及び符号22で示すCPU_Bは、フェールセーフCPU20の演算処理部となる2重系のCPUである。符号23はフェールセーフ照合論理部を示しており、本発明のメモリ照合コントローラリトライ機能は、このフェールセーフ照合論理部23に含まれる。また、符号24で示すSRAM_Aと符号25で示すSRAM_Bは、それぞれのCPUに付属する記憶装置としてのSRAM(Static Random Access Memory)である。SRAM24,25は、アドレスにより任意の十分な大きさを持つ常用エリアと退避エリアに分割されている。また、本例ではSRAM24,25としているが、同等の記憶装置であればそれらを用いても構わない。フェールセーフCPU20内では、信号の遣り取りは、伝送速度の早く制御周期の短いバス29a,29bを通じて行われる。また、フェールセーフCPU20には、当該CPUが外部と接続するために、I/F(Interface)26〜28が設けられている。
【0020】
図3は、図2に示す記憶装置であるSRAM24,25(同等の記憶装置を含む)のメモリマップの構造の一例を示す。SRAM24,25のメモリ領域は、任意のアドレスで常用エリア30と退避エリア36に分割されている。常用エリア30は、マイクロプログラム及びデータ格納部分31、タスクプログラム及びスタック格納部分32、サブルーチン格納部分33、読書き両用テーブル34、及び読出し専用テーブル35を備えている。そして、退避エリア36がメモリマップ内に含まれている。
【0021】
図3に示すフェールセーフCPU内での動作のフローチャートが図4に示されている。図4を参照してフェールセーフCPU20の動作、即ち、メモリ照合コントローラリトライ機能について説明する。演算(信号処理)を開始(ステップ41;以下、各ステップについては括弧付の数字を付す。)すると、フェールセーフCPUは、2重系の比較演算を行い、結果を出力しながら演算データの常用エリアへの書き込みを行い、更に、照合論理部23は、常用エリアからから退避エリアへの演算データの移動をDMA(Direct Memory Access)により行う(42)。不一致か否かの両系比較(43)において、両系比較不一致が出なければ演算を続け(43→44)、もし両系比較不一致が出れば、フェールセーフCPUは演算を停止する(43→45)。ここで、照合論理部23においては本発明のメモリ照合コントローラリトライ機能が働き、やり直しトリガがかけられる(46)。これを受けて、照合論理部23はDMAメモリ内の退避エリア36から最後に正確に動いていたときの演算データを読み出し、常用エリア30に戻す(47)。常用エリア30への正常演算データの戻しは、常用エリア30における該当データを上書きして行うことができる。例えば、一部演算データのビット化けのような一時的な外乱による演算停止であれば、常用エリア30からの正常演算データの戻しとその戻された正常演算データに基づくリトライにより、装置の再立ち上げを必要とすることなく自動的に復旧して演算を再開させることができる(48→44)。そうではなく、例えば部品の不具合等による自動的に復旧できない故障の場合は、装置のメンテナンスを行い再立ち上げする(48→49)。また、図5に自動復帰の従来方式及び本発明の方式と、制御周期の関係を示す。
【0022】
以上を用いて本発明による2重系演算処理装置に基づくネットワーク信号の動作を説明する。まず、進路設定(RCS)1からの入力が連動部2〜E−PON7を経て1バス周期毎にFC8〜11内にあるCPU_A21とCPU_B22にデータが同時に入力される。バス周期は、バスのクロック周波数に対応した周期のことであって、その周期に1リード/ライトが実行される。CPU_A21とCPU_B22はそれぞれ常用エリア30(31〜35)内に格納されている演算データに基づき、全く同じ演算処理(2重系演算処理)を行う。次に、CPU_A21とCPU_B22の演算結果が、常用エリア30に記憶されるとともに、フェールセーフ照合論理部23に入力されてバス比較・照合が行われる。演算結果が全く同一のときに現場端末12〜16を制御する信号を出力し、その信号を受け現場端末12〜16が動作する。また、このときCPU_A21、CPU_B22にそれぞれ付属するSRAM_A24、SRAM_B25の常用エリア30に記憶されている演算データが、リトライ支援機能により、コピーして退避エリア36に格納される。即ち、A系・B系それぞれのプログラム処理でトリガ用レジスタを叩くことで、常用エリア30内の制御用データが、CPU_A21、CPU_B22のそれぞれに付属するSRAM_A24、SRAM_B24の退避エリア36に照合論理部23のDMAによりコピーして格納される。
【0023】
本発明のリトライ支援機能では、各系において、常用エリア30から退避エリア36に格納するデータの格納の際に関しても、照合を行うことで健全性を確認することができる。このようなデータの格納の際に照合を行うことで、常用エリア30から退避エリア36へのデータ移動の際に各系でのデータの健全性維持を維持することができる。データ移動時の照合はこれに限ることなく、各系において、常用エリア30からコピーされて移動された退避エリア36内のデータの正常性(錯誤有無)を検出するのにも適用することができる。更に、両系比較不一致時において、各系で退避エリア36から常用エリア30へデータ移動する際のデータの健全性維持、更には各系で常用エリア30に戻されたデータの健全性維持のためにも、照合を行うことができる。フェールセーフ照合論理部23が両系比較不一致を検出するまでこれを繰り返す(42→43のNo(一致)→44)。
【0024】
両系比較不一致がフェールセーフ照合論理部23により検出((43)のYes)されれば、リトライ支援機能により、A系・B系それぞれのプログラム処理でトリガ用レジスタを叩くことでSRAM_A24、SRAM_B25の各退避エリア36から常用エリア31〜35へデータ復帰が実行される(47)。そのとき、レジスタより演算を停止させるための割り込み信号を各CPU_A21、CPU_B22に対して送信する。それを受けデータ復帰中CPUは演算を停止する(46)。尚、このとき格納した演算データは、正常動作時に両系で一致する演算結果を出力していたときの演算データであり、整合性が取れている。
【0025】
更に、従来の方式で考えられる復帰法では、制御周期毎に復帰のプロセスを行うため、次の演算を行う制御周期がずれる。図5を参照すると、従来方式では、制御周期(1周期は200ms)2の間で情報錯誤が発生すると、制御周期2での実行が繰り返され、その次には制御周期4で実行される。その結果、制御周期3の処理が実行されずリアルタイム性が保たれないことになる。これに対し、本発明における復帰のプロセスは、バス比較・照合によるものなので、復帰までの速度が速く、全ての作業を1制御周期内に収めることが可能となり、リアルタイム性を保つことができる。両系比較一致が確認される場合には、その各系における演算処理から照合までの一連の動作、及び両系比較不一致が確認される場合には、各系における演算処理からリトライ機能に係る再演算までの一連の各動作を、バス周期に従って一つの演算処理を行う制御周期内に行うことができる。即ち、図5に示すように、本発明によるエラー処理は、1バス周期が約60nsで非常に短く、一つの自動再立ち上げ処理に要する時間、即ち、演算から照合不一致、データ訂正、再演算及び出力までに要する時間は約240nsで済み、例えば制御周期2の間で情報錯誤が発生すると、全ての作業を当該制御周期内に済ますことができる。従来の演算処理では演算停止中、手動再立ち上げまで、例えば、図1にある信号機の場合は赤を点灯し、列車が誤って発車することを防ぐように、現場機器13〜16は安全側になるように設定されている。したがって、この間、列車は動くことが出来なくなり、稼働率の低下につながる。それに対し、本発明では、一時的な外乱が両系比較不一致の原因であるなら、演算可能な状態に、制御周期をずらすことなく自動的に且つ直ちに復旧することができる((48)のYes)ため、現場機器は照合不一致が無かったかのように振舞う、あるいは不一致があってもすぐに復帰することが出来、列車の稼働率を従来の演算処理に比べ、向上させることが可能となる。
【0026】
このように、本発明では、一時的な外乱により両系比較不一致が出る以前の状態に、1制御周期以内にフェールセーフCPUを戻すことができ(図5)、装置の再立ち上げを行うことなく、リアルタイム性を保ちながら自動的に演算を再開させることが可能となる。従って現場機器も迅速に復帰させることができ、システムの停止による列車の運行障害などの復帰時間を最小限に抑え、システムの稼働率の低下を防止して高い稼働率を維持することが可能となる。
【実施例2】
【0027】
以下、本発明による2重系演算処理装置の実施例2を、図6を参照して説明する。図6は外部記憶装置付きフェールセーフCPUのブロック図である。図6において、CPU_A50及びCPU_B51は演算を行うフェールセーフCPUの演算処理部である。フェールセーフ照合論理部52には、本発明のメモリ照合コントローラリトライ機能が含まれる。また、SRAM_A53とSRAM_B54は、CPU_A50、CPU_B51のそれぞれに付属するSRAM(Static Random Access Memory)である。このSRAMは、アドレスにより任意の十分な大きさを持つ常用エリアと退避エリアに分割されている。また、本例ではSRAMとしているが、同等の記憶装置であればそれらを用いても構わない。SRAM_A53とSRAM_B54のメモリマップは、実施例1の場合と同様に図3に例示されているものでよい。また、本発明のメモリ照合コントローラリトライ機能のフローチャート、及び制御周期との関係における自動復帰(従来方式及び本発明方式)ついても、実施例1の場合と同様に、図4及び図5に示されるもので良い。また、フェールセーフCPUが外部と接続するため、I/F(Interface)55, 56, 59が設けられている。実施例2では、それぞれが演算データを持つ演算部と予備部を備える、A系の外部記憶装置57とB系の外部記憶装置58が備わっている。
【0028】
図6に示す実施例2では、フェールセーフCPUからバス60a,60bを経由して、A系・B系双方に、外部記憶装置57, 58を備えている。ここで、一時的な外乱により、外部記憶装置57, 58内にデータ錯誤が生じた場合について述べる。フェールセーフCPUは、外部記憶装置57, 58の内部空間のチェック、訂正機能を持つ。
【0029】
1バス周期毎に外部記憶装置57, 58から、CPU_A50とCPU_B51にデータが同時に入力される。CPU_A50、CPU_B51は常用エリア30,30内に格納されている演算データに基づき、全く同じ演算処理をそれぞれ行う。次にCPU_A50とCPU_B51の演算結果がフェールセーフ照合論理部52に入力され、バス比較が行われる。この照合で演算結果が全く同一であるときに演算結果を出力し、また、演算データをCPU_A50、CPU_B51に付属するSRAM_A53、SRAM_B54の常用エリア書き込みながら、システムが稼動を続ける。更に、このときSRAM_A53、SRAM_B54の常用エリア31〜35に記憶されている演算データが、リトライ支援機能により、A系・B系それぞれのプログラム処理でトリガ用レジスタを叩くことで、照合論理部52のDMAにより、SRAM_A53、SRAM_B54の退避エリア36,36にコピーして格納される。本発明のリトライ支援機能ではこの退避エリア36,36に格納するデータの格納の際に関しても、比較実行を行うことで健全性を確認することができる。フェールセーフ照合論理部52が両系比較不一致を検出するまでこれを繰り返す(42→43のNo→44)。
【0030】
もし、演算結果についてデータ錯誤により、両系比較不一致が検出((43)のYes)されれば、リトライ支援機能により、A系・B系それぞれのプログラム処理でトリガ用レジスタを叩くことでSRAM_A53、SRAM_B540のそれぞれにおいて退避エリア36から常用エリア30,30へ、照合論理部52のDMAによりデータ復帰が実行される(47)。そのとき、レジスタより演算を停止させるための割り込み信号をCPU_A50、CPU_B51に対して送信する。それを受けデータ復帰中CPU50,51は演算を停止する(46)。なお、この演算停止中、現場機器13〜16は安全側になるように設定されている。このとき格納した演算データは、正常動作時に両系で一致する演算結果を出力していたときの演算データであり、整合性が取れている。さらに、従来の方式で考えられる復帰法では、制御周期ごとに復帰のプロセスを行うため、次の演算の制御周期がずれるのに対し、本発明における復帰のプロセスは、バス照合によるものなので、復帰までの速度が速く、全ての作業を1制御周期内に収めることが可能となり、演算再開後もリアルタイム性を保つことができる(図6)。また、同時に外部記憶装置(57,58)内の予備部から正し情報を読み出し、一時的な外乱により、データが錯誤された演算部に書き込むことで、データが錯誤された演算部の情報を錯誤前の正しい情報に戻す。これにより外部記憶装置の演算部を、データ錯誤前の演算可能な状態に復旧する((48)のYes)。前記事項を実施することにより、一時的な外乱により、外部記憶装置の演算部の情報が大きく錯誤されても、自動的に制御周期以内にデータ錯誤前の状態に戻すことができ、リアルタイム性を保ちながら(図6)、速やかに自動的に演算を再開させることが可能となる。
【産業上の利用可能性】
【0031】
本発明は、鉄道車両の運行システムを例に挙げて説明したが、これに限ることなく、2重系のCPUを持つ演算処理装置であれば、適用可能であり、ビット化けのような一時的な外乱に起因して両系比較不一致が生じた際に、直前の正常な演算データを用いて自動復旧させて、装置の再立ち上げを行うことなく、リアルタイム性を保ちながら自動的に演算を再開させて、管理・維持に掛かるコストを低減することが可能なすべてのシステムに対して適用可能である。
【符号の説明】
【0032】
1…進路設定(RCS:Real Time Control
Server)
2…連動部
3…S−LAN(Signal-Local Area Network)
4,5…論理部(FCP:Field Object Controlled Processor)
6,7…E−PON(Ethernet(登録商標)-Passive Optical
Network)
8〜11…FC(Field Controller)
12〜16…現場機器
20…フェールセーフCPU
21…A系CPU (CPU:Central Processing Unit)
22…B系CPU (CPU:Central Processing Unit)
23…フェールセーフ照合論理部
24…A系SRAM(SRAM: Static Random Access Memor)
25…B系SRAM(SRAM: Static Random Access Memor)
26…A系外部バス入出力・/F(・/F:Interface)
27…B系外部バス入出力・/F(・/F:Interface)
28…外部共通バス入出力・/F(・/F:Interface)
29a,29b…バス
30…常用エリア
31…マイクロプログラム、データ 32…タスクプログラム及びスタック
33…サブルーチン 34…読書き両用テーブル
35…読出し専用テーブル 36…退避エリア
41…信号処理開始 42…2重系演算出力/演算データ退避エリア書き込み
43…両系比較不一致? 44…信号処理継続
45…演算停止 46…やり直しのトリガ
47…退避エリアから演算データ読み直し 48…復旧
49…手動再立ち上げ
50…A系CPU 51…B系CPU
52…フェールセーフ照合論理部
53…A系SRAM 54…B系SRAM
55…A系外部バス入出力I/F 56…B系外部バス入出力I/F
57…A系外部記憶装置 58…B系外部記憶装置
59…外部共通バス入出力I/F
【特許請求の範囲】
【請求項1】
2重系を構成するCPUと、
前記2重系の各系の前記CPUの演算データをバス周期に基づいて伝送するバスと、
前記バスを介して各系の前記演算データを記憶する2重系の記憶装置と、
前記バスを介して両系の前記演算データを比較する照合論理部と、
を備える演算処理装置であって、
各系の前記記憶装置は、前記バスを介して自系の前記演算データを記憶する常用エリアと、前記照合論理部で両系比較一致を確認した前記演算データを受信して記憶する退避エリアとを有しており、
前記照合論理部は、両系比較不一致が発生した場合に、各系において、前記退避エリアから両系比較一致が確認されている前記演算データを読み出して、前記退避エリアから読み出した前記演算データを用いて前記CPUで再演算をするリトライ機能を有する
ことを特徴とする2重系演算処理装置。
【請求項2】
請求項1に記載の2重系演算処理装置において、
前記両系比較一致が確認される場合の各系における前記演算処理から前記照合までの一連の動作、及び前記両系比較不一致が確認される場合の各系における前記演算処理から前記リトライ機能に係る前記再演算までの一連の各動作を、前記バス周期に従って一つの演算処理を行う制御周期内に行うこと
を特徴とする2重系演算処理装置。
【請求項3】
請求項1又は2に記載の2重系演算処理装置において、
前記照合論理部は、前記両系比較不一致が発生した場合に、各系において、前記退避エリアから前記両系比較一致が確認されている前記演算データを読み出して前記常用エリアに記録する
ことを特徴とする2重系演算処理装置。
【請求項4】
請求項1又は2に記載の2重系演算処理装置において、
前記退避エリアへ記録される両系比較一致を確認した前記演算データは、前記常用エリアを介して前記退避エリアへ移動されるデータであり、
前記照合論理部は、各系において、通常動作時における前記記憶装置の前記常用エリアから前記退避エリアへのデータ移動の際、又は前記両系比較不一致時における前記退避エリアにおいて格納されている状態及び前記退避エリアから前記常用エリアへのデータ移動の際に、各系の前記演算データを比較する
ことを特徴とする2重系演算処理装置。
【請求項5】
請求項4に記載の2重系演算処理装置において、
前記照合論理部は、各系において、前記記憶装置の前記常用エリアと前記退避エリアとの間での前記データ移動の後、更に移動された状態の各系の前記演算データを比較する
ことを特徴とする2重系演算処理装置。
【請求項6】
請求項1〜5のいずれか一項に記載の2重系演算処理装置において、
前記バスには、各系において、インターフェースを介して外部記憶装置が付設されていることを特徴とする2重系演算処理装置。
【請求項7】
2重系を構成するCPUと、
前記2重系の各系の前記CPUの演算データをバス周期に基づいて伝送するバスと、
前記バスを介して各系の前記演算データを記憶する2重系の記憶装置と、
前記バスを介して両系の前記演算データを比較する照合論理部と、
を備える演算処理装置の2重系演算処理方法であって、
前記照合論理部で両系比較一致を確認した前記演算データを前記記憶装置の退避エリアに記憶し、
前記照合論理部で両系比較不一致が発生した場合に、
各系の前記記憶装置の退避エリアに記憶された両系比較一致が確認されている前記演算データを読み出し、当該演算データを用いて前記CPUで再演算をすることを特徴とする2重系演算処理方法。
【請求項8】
請求項7に記載の2重系演算処理方法において、
前記両系比較一致が確認される場合の各系における前記演算処理から前記照合までの一連の動作、及び前記両系比較不一致が確認される場合の各系における前記演算処理から前記リトライ機能に係る前記再演算までの一連の各動作を、前記バス周期に従って一つの演算処理を行う制御周期内に行うことを特徴とする2重系演算処理方法。
【請求項1】
2重系を構成するCPUと、
前記2重系の各系の前記CPUの演算データをバス周期に基づいて伝送するバスと、
前記バスを介して各系の前記演算データを記憶する2重系の記憶装置と、
前記バスを介して両系の前記演算データを比較する照合論理部と、
を備える演算処理装置であって、
各系の前記記憶装置は、前記バスを介して自系の前記演算データを記憶する常用エリアと、前記照合論理部で両系比較一致を確認した前記演算データを受信して記憶する退避エリアとを有しており、
前記照合論理部は、両系比較不一致が発生した場合に、各系において、前記退避エリアから両系比較一致が確認されている前記演算データを読み出して、前記退避エリアから読み出した前記演算データを用いて前記CPUで再演算をするリトライ機能を有する
ことを特徴とする2重系演算処理装置。
【請求項2】
請求項1に記載の2重系演算処理装置において、
前記両系比較一致が確認される場合の各系における前記演算処理から前記照合までの一連の動作、及び前記両系比較不一致が確認される場合の各系における前記演算処理から前記リトライ機能に係る前記再演算までの一連の各動作を、前記バス周期に従って一つの演算処理を行う制御周期内に行うこと
を特徴とする2重系演算処理装置。
【請求項3】
請求項1又は2に記載の2重系演算処理装置において、
前記照合論理部は、前記両系比較不一致が発生した場合に、各系において、前記退避エリアから前記両系比較一致が確認されている前記演算データを読み出して前記常用エリアに記録する
ことを特徴とする2重系演算処理装置。
【請求項4】
請求項1又は2に記載の2重系演算処理装置において、
前記退避エリアへ記録される両系比較一致を確認した前記演算データは、前記常用エリアを介して前記退避エリアへ移動されるデータであり、
前記照合論理部は、各系において、通常動作時における前記記憶装置の前記常用エリアから前記退避エリアへのデータ移動の際、又は前記両系比較不一致時における前記退避エリアにおいて格納されている状態及び前記退避エリアから前記常用エリアへのデータ移動の際に、各系の前記演算データを比較する
ことを特徴とする2重系演算処理装置。
【請求項5】
請求項4に記載の2重系演算処理装置において、
前記照合論理部は、各系において、前記記憶装置の前記常用エリアと前記退避エリアとの間での前記データ移動の後、更に移動された状態の各系の前記演算データを比較する
ことを特徴とする2重系演算処理装置。
【請求項6】
請求項1〜5のいずれか一項に記載の2重系演算処理装置において、
前記バスには、各系において、インターフェースを介して外部記憶装置が付設されていることを特徴とする2重系演算処理装置。
【請求項7】
2重系を構成するCPUと、
前記2重系の各系の前記CPUの演算データをバス周期に基づいて伝送するバスと、
前記バスを介して各系の前記演算データを記憶する2重系の記憶装置と、
前記バスを介して両系の前記演算データを比較する照合論理部と、
を備える演算処理装置の2重系演算処理方法であって、
前記照合論理部で両系比較一致を確認した前記演算データを前記記憶装置の退避エリアに記憶し、
前記照合論理部で両系比較不一致が発生した場合に、
各系の前記記憶装置の退避エリアに記憶された両系比較一致が確認されている前記演算データを読み出し、当該演算データを用いて前記CPUで再演算をすることを特徴とする2重系演算処理方法。
【請求項8】
請求項7に記載の2重系演算処理方法において、
前記両系比較一致が確認される場合の各系における前記演算処理から前記照合までの一連の動作、及び前記両系比較不一致が確認される場合の各系における前記演算処理から前記リトライ機能に係る前記再演算までの一連の各動作を、前記バス周期に従って一つの演算処理を行う制御周期内に行うことを特徴とする2重系演算処理方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2012−22429(P2012−22429A)
【公開日】平成24年2月2日(2012.2.2)
【国際特許分類】
【出願番号】特願2010−158521(P2010−158521)
【出願日】平成22年7月13日(2010.7.13)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成24年2月2日(2012.2.2)
【国際特許分類】
【出願日】平成22年7月13日(2010.7.13)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]