JP3897046B2 - 情報処理装置および情報処理方法 - Google Patents
情報処理装置および情報処理方法 Download PDFInfo
- Publication number
- JP3897046B2 JP3897046B2 JP2005021423A JP2005021423A JP3897046B2 JP 3897046 B2 JP3897046 B2 JP 3897046B2 JP 2005021423 A JP2005021423 A JP 2005021423A JP 2005021423 A JP2005021423 A JP 2005021423A JP 3897046 B2 JP3897046 B2 JP 3897046B2
- Authority
- JP
- Japan
- Prior art keywords
- information processing
- unit
- cpu
- data
- determination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 230000010365 information processing Effects 0.000 title claims description 68
- 238000003672 processing method Methods 0.000 title claims description 16
- 238000012545 processing Methods 0.000 claims description 72
- 230000005856 abnormality Effects 0.000 claims description 55
- 238000001514 detection method Methods 0.000 claims description 31
- 230000002159 abnormal effect Effects 0.000 claims description 21
- 230000005540 biological transmission Effects 0.000 claims description 11
- 230000006854 communication Effects 0.000 description 70
- 238000004891 communication Methods 0.000 description 69
- 238000000034 method Methods 0.000 description 28
- 238000007689 inspection Methods 0.000 description 26
- 238000010586 diagram Methods 0.000 description 22
- 238000003745 diagnosis Methods 0.000 description 15
- 230000000903 blocking effect Effects 0.000 description 12
- 238000011144 upstream manufacturing Methods 0.000 description 12
- 230000002093 peripheral effect Effects 0.000 description 10
- 238000012795 verification Methods 0.000 description 5
- 238000009413 insulation Methods 0.000 description 3
- 206010009944 Colon cancer Diseases 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 125000004122 cyclic group Chemical group 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000015556 catabolic process Effects 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 238000011143 downstream manufacturing Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000010292 electrical insulation Methods 0.000 description 1
- 230000008054 signal transmission Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1675—Temporal synchronisation or re-synchronisation of redundant processing components
- G06F11/1683—Temporal synchronisation or re-synchronisation of redundant processing components at instruction level
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1633—Error detection by comparing the output of redundant processing systems using mutual exchange of the output between the redundant processing components
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1654—Error detection by comparing the output of redundant processing systems where the output of only one of the redundant processing components can drive the attached hardware, e.g. memory or I/O
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24173—One sensor, two I-O channels each for different processor
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24186—Redundant processors are synchronised
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24187—Redundant processors run identical programs
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/25—Pc structure of the system
- G05B2219/25014—Fieldbus general name of bus connected to machines, detectors, actuators
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/25—Pc structure of the system
- G05B2219/25428—Field device
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0796—Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1637—Error detection by comparing the output of redundant processing systems using additional compare functionality in one or some but not all of the redundant processing components
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2201/00—Indexing scheme relating to error detection, to error correction, and to monitoring
- G06F2201/88—Monitoring involving counting
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- General Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Hardware Redundancy (AREA)
- Multi Processors (AREA)
Description
本発明は、互いに独立して処理を実行する複数の装置を備える情報処理装置および情報処理方法に関し、とくに信頼性を向上させることができる情報処理装置および情報処理方法に関する。
プラントに配置されたフィールド機器を管理、制御するプラント制御システムが知られている。また、このようなプラントでは、プラントの安全を図るための安全システムが導入される。安全システムは、フィールド機器に異常が認められた場合に、警報を通知するとともに必要な措置を実行するシステムであり、プラント制御システムの一部として、あるいは、プラント制御システムとは独立して設けられる。
特開2000−347706号公報
安全システムには、その意図する機能から極めて高度の信頼性を要求される。例えば、異常が発生したにも関わらずシステムが安全だと認識し、あるいは、誤った情報を通知するような事態は極力回避しなければならない。また、異常が明らかには認識できないが、異常の可能性が示される場合には安全サイドの処理を選択する必要がある。
本発明の目的は、高度の信頼性を確保しうる情報処理装置および情報処理方法を提供することにある。
本発明の情報処理装置は、互いに独立して同一処理を二重に実行する第1の装置および第2の装置を備える情報処理装置において、前記情報処理装置の状態を前記第1の装置において判定する第1の判定手段と、前記情報処理装置の前記状態を前記第2の装置において判定する第2の判定手段と、前記第1の判定手段の判定結果を前記第2の装置に向けて送信する送信手段と、前記第1の判定手段および前記第2の判定手段の判定結果を、前記第2の装置において照合し、前記両判定結果が一致しない場合に異常と判定する照合手段と、を備えることを特徴とする。
前記照合手段の照合により異常と判定された場合に、前記第1の装置の機能を停止する停止手段を備えてもよい。
前記送信手段により送信される前記データの送受信のタイミングを利用して、前記第1の装置および前記第2の装置の処理を同期させる同期手段を備えてもよい。
本発明の情報処理装置は、互いに独立して同一処理を二重に実行する第1の装置および第2の装置を備える情報処理装置において、前記情報処理装置の状態を前記第1の装置において判定する第1の判定手段と、前記第1の装置において、前記第1の判定手段の判定結果のデータに基づき誤り検出用コードを生成する第1のコード生成手段と、前記情報処理装置の前記状態を前記第2の装置において判定する第2の判定手段と、 前記第2の装置において、前記第2の判定手段の判定結果のデータに基づき誤り検出用コードを生成する第2のコード生成手段と、前記第1のコード生成手段で生成された前記誤り検出用コードを前記第2の装置に向けて送信する送信手段と、前記第1のコード生成手段で生成された前記誤り検出用コードと、前記第2のコード生成手段で生成された前記誤り検出用コードとを前記第2の装置において照合し、前記両誤り検出用コードが一致しない場合に異常と判定する照合手段と、を備えることを特徴とする。
前記照合手段の照合により異常と判定された場合に、前記第1の装置の機能を停止する停止手段を備えてもよい。
前記第1の装置および前記第2の装置は、それぞれ個々のCPUとして構成されていてもよい。
本発明の情報処理方法は、互いに独立して同一処理を二重に実行する第1の装置および第2の装置を備える情報処理方法において、前記情報処理装置の状態を前記第1の装置において判定するステップと、前記情報処理装置の前記状態を前記第2の装置において判定するステップと、前記第1の装置における判定結果を前記第2の装置に向けて送信するステップと、前記第1の装置における判定結果および前記第2の装置における判定結果を、前記第2の装置において照合し、前記両判定結果が一致しない場合に異常と判定するステップと、を備えることを特徴とする。
前記照合するステップでの照合により異常と判定された場合に、前記第1の装置の機能を停止するステップを備えてもよい。
本発明の情報処理方法は、互いに独立して同一処理を二重に実行する第1の装置および第2の装置を備える情報処理方法において、前記情報処理装置の状態を前記第1の装置において判定するステップと、前記第1の装置において、前記第1の判定手段の判定結果のデータに基づき誤り検出用コードを生成するステップと、前記情報処理装置の前記状態を前記第2の装置において判定するステップと、前記第2の装置において、前記第2の判定手段の判定結果のデータに基づき誤り検出用コードを生成するステップと、前記第1の装置において生成された前記誤り検出用コードを前記第2の装置に向けて送信するステップと、前記第1の装置において生成された前記誤り検出用コードと、前記第2の装置において生成された前記誤り検出用コードとを前記第2の装置において照合し、前記両誤り検出用コードが一致しない場合に異常と判定するステップと、を備えることを特徴とする。
前記照合手段の照合により異常と判定された場合に、前記第1の装置の機能を停止するステップを備えてもよい。
本発明の情報処理装置および情報処理方法によれば、第1の装置における処理により生成されたデータと、第2の装置における処理により生成されたデータとを照合し、これらが一致しない場合に異常と判定するので、確実に異常を検出することができる。
図1〜図3は本発明による情報処理装置を機能的に示すブロック図である。
図1(a)において、送信手段101は、第2の装置における処理により生成されたデータを、第2の装置から第1の装置に向けて送信する。データ照合手段102は、送信手段101により送信されたデータと、第1の装置における処理により生成されたデータとを、第1の装置において照合し、両データが一致しない場合に異常と判定する。
処理停止手段103は、データ照合手段102の照合により異常と判定された場合に、第1の装置による処理を停止する。
同期手段104は、送信手段101により送信されるデータの送受信のタイミングを利用して、第1の装置および第2の装置の処理を同期させる。
図1(b)において、送信手段101は、第1の装置における処理により生成されたデータを、第1の装置から第2の装置に向けて送信する。データ照合手段102は、送信手段101により送信されたデータと、第2の装置における処理により生成されたデータとを、第2の装置において照合し、両データが一致しない場合に異常と判定する。
処理停止手段103は、データ照合手段102の照合により異常と判定された場合に、第1の装置による処理を停止する。
同期手段104は、送信手段101により送信されるデータの送受信のタイミングを利用して、第1の装置および第2の装置の処理を同期させる。
図2(a)において、取得手段105は、第1の装置における処理により生成されたデータおよび第2の装置における処理により生成されたデータをリアルタイムに取得する。データ照合手段102は、取得手段105により取得された両データを照合し、両データが一致しない場合に異常と判定する。
処理停止手段103は、データ照合手段102の照合により異常と判定された場合に、第1の装置による処理を停止する。
図2(b)において、第1のコード生成手段106は、第1の装置における処理により生成したデータに基づき誤り検出用コードを生成する。第2のコード生成手段107は、第2の装置における処理により生成したデータに基づき誤り検出用コードを生成する。コード照合手段108は、第1のコード生成手段106および第2のコード生成手段107によりそれぞれ生成された誤り検出用コードを照合し、両誤り検出用コードが一致しない場合に異常と判定する。
処理停止手段109は、コード照合手段108の照合により異常と判定された場合に、第1の装置による処理を停止する。
図3(a)において、第1の検査手段111は、第1の装置が受け取った誤り検出用コード付きデータの異常の有無を、当該誤り検出用コードを用いて検査する。第2の検査手段112は、第2の装置が受け取った誤り検出用コード付きデータの異常の有無を、当該誤り検出用コードを用いて検査する。コード照合手段113は、第1の検査手段111および第2の検査手段112において用いた誤り検出用コードを照合する。判定手段114は、第1の検査手段111または第2の検査手段112による検査結果が異常を示す場合、または、コード照合手段113での照合によりコードが一致しない場合には、装置の異常と判定する。
処理停止手段115は、判定手段114により異常と判定された場合に、第1の装置による処理を停止する。
図3(b)において、データ照合手段116は、第1の装置および第2の装置における処理により生成されたデータを照合する。カウント手段117は、第1の装置における処理により生成されたデータにカウント番号を付加する。カウント停止手段118は、データ照合手段116の照合により両データが一致しない場合にカウント手段117によるカウント番号の付加を停止させる。判定手段119は、カウント手段117により付加されたカウント番号に基づいて装置の異常を判定する。
処理停止手段120は、判定手段119により異常と判定された場合に、第1の装置による処理、または第2の装置による処理を停止する。
以下、図4〜図10を参照して、本発明による情報処理装置の実施例1〜4について説明する。
図4は実施例1の情報処理装置が適用される安全システムの構成を示すブロック図である。この安全システムはプラント制御システムの一部として構成されている。
図4に示すように、プラント制御システムは、プラント各部に配置された電磁弁やセンサ等のフィールド機器1,1,・・・を統合的に管理、制御するコントローラ2と、コントローラ2およびフィールド機器1の間に介装される入出力装置3,3,・・・と、を備える。入出力装置3,3,・・・は、ネットワーク4を介してコントローラ2に接続されている。また、フィールド機器1,1,・・・は、ターミナルボード5を介して入出力装置3に接続されている。
図4に示すように、入出力装置3にはフィールド機器1とコントローラ1との間のインターフェース処理を実行する入出力ユニット3a,3b,・・・が実装される。後述するように、これらの入出力ユニット3a,3b,・・・では、信頼性向上を目的として同一処理を二重に実行している。
図5は入出力ユニット3aの構成の一部を示すブロック図である。図5では、下流工程であるフィールド機器1の側から入力された入力値を加工して、上流工程であるコントローラ2の側に向けてPV値(プロセス値)を出力するユニットの例を示している。
図5に示すように、このユニットは、マスターCPU10と、スレーブCPU20とを備え、それぞれのCPU10およびCPU20が互いに独立して同一処理を実行する。また、CPU10およびCPU20は、それぞれその周囲に実装された周辺回路の診断を実行する。
図5に示すように、フィールド機器1からの入力値は、入力部71および入力バッファ72を介してマスターCPU10に入力される。マスターCPU10の周囲の周辺回路74は診断回路75により診断される。また、入力バッファ72から出力された信号が診断回路75に入力され、信号の異常の有無が診断される。周辺回路74の異常の有無、および入力バッファ72から出力された信号の異常の有無は、診断回路75からの診断情報としてマスターCPU10に入力される。
同様に、フィールド機器1からの同一の入力値は入力部71および入力バッファ73を介してスレーブCPU20に入力される。スレーブCPU20の周囲の周辺回路76は診断回路77により診断される。また、入力バッファ73から出力された信号が診断回路77に入力され、信号の異常の有無が診断される。周辺回路76の異常の有無、および入力バッファ73から出力された信号の異常の有無は、診断回路77からの診断情報としてスレーブCPU20に入力される。
図5に示すように、マスターCPU10は、入力バッファ72を経由して入力された入力値に対する演算処理を実行し、コントローラ2の側である上流工程で処理可能な形式のPV値(プロセス値)に変換するPV値処理部11と、診断回路75からの診断情報を受けて異常の検出および判定を実行し、診断結果であるステータスを生成する診断部12とを備える。
また、マスターCPU10は、スレーブCPU20との間で通信を実行するための通信ブロック13と、PV値およびステータスに、CRC(Cyclic Redundancy Check;巡回冗長検査)コードおよび更新カウンタを付加するコード生成部14とを備える。
また、スレーブCPU20は、入力バッファ73を経由して入力された入力値に対する演算処理を実行し、コントローラ2の側である上流工程で処理可能な形式のPV値(プロセス値)に変換するPV値処理部21と、診断回路77からの診断情報を受けて異常の検出および判定を実行し、診断結果であるステータスを生成する診断部22とを備える。
また、スレーブCPU20は、マスターCPU10との間で通信を実行するための通信ブロック23と、PV値およびステータスに、CRC(Cyclic Redundancy Check;巡回冗長検査)コードおよび更新カウンタを付加するコード生成部24とを備える。
次に、本ユニットの動作について説明する。
マスターCPU10では、診断部12で生成されたステータスと、スレーブCPU20の診断部24で生成され、通信ブロック23および通信ブロック13による通信を介して取得されたステータスとを、等値化部15において、比較、等値化する。等値化はマスターCPU10で取り扱うステータスと、スレーブCPU20で取り扱うステータスとを同一にする処理である。等値化部15ではステータスのOR情報を生成する。すなわち、等値化部15では、いずれかのステータスが異常を示す場合、その異常を取り込んだステータスに変更し、コード生成部14に受け渡す。後述するように、スレーブCPU20でも同様の処理を行うことで、マスターCPU10およびスレーブCPU20で取り扱うステータスを共通化する。
PV値処理部11で生成されたPV値は、コード生成部14に与えられる。しかし、等値化部15での処理に基づきステータスの異常が検出された場合には、遮断部16によりコード生成部14へのPV値の入力が遮断される。
コード生成部14では、入力されたPV値および等値化部15で生成されたステータスに基づいてCRCコードを生成する。また、新たなPV値およびステータスが入力されるたびにカウント番号を更新し、CRCコードに付加したコードを生成する。コード生成部14では、このように生成したコードをPV値およびステータスに付加することで、PV値、ステータス、CRCコードおよびカウント番号からなるフレームを生成する。カウント番号は、PV値およびステータスの更新ごとにインクリメントされる。
コード生成部14で作成されたフレームと同様のフレームは、スレーブCPU20のコード生成部24で同様に生成され、通信ブロック23および通信ブロック13による通信を介して取得される。コード生成部14で作成されたフレームと、コード生成部24で作成されたフレームとは、比較部17において照合される。比較部17では、両フレームの不一致が検出されれば異常と判断する。後述するように、スレーブCPU20でも同様の処理を行うことで、マスターCPU10およびスレーブCPU20は、互いに相手方の処理結果を自らの処理結果と照合し、不一致であれば異常と判断している。マスターCPU10およびスレーブCPU20におけるすべての処理が正常であれば、比較部17における照合の結果、両フレームは一致することになる。
コード生成部14で生成されたフレームは、上流工程である出力部78に向けて出力される。しかし、比較部17において両フレームの不一致が検出され、異常と判断されれば、遮断部18によって、フレームの出力が遮断される。また、後述するように、スレーブCPU20の比較部27においてフレームの不一致が検出された場合には、フェイルセイフ部79において、フレームの出力が遮断される。
一方、スレーブCPU20では、診断部22で生成されたステータスと、マスターCPU10の診断部14で生成され、通信ブロック13および通信ブロック23による通信を介して取得されたステータスとを、等値化部25において、比較、等値化する。等値化部25ではステータスのOR情報を生成する。すなわち、等値化部25では、いずれかのステータスが異常を示す場合、その異常を取り込んだステータスに変更し、コード生成部24に受け渡す。
PV値処理部21で生成されたPV値は、コード生成部24に与えられる。しかし、等値化部25での処理に基づきステータスの異常が検出された場合には、遮断部26によりコード生成部24へのPV値の入力が遮断される。
コード生成部24では、入力されたPV値および等値化部25で生成されたステータスに基づいてCRCコードを生成する。また、新たなPV値およびステータスが入力されるたびにカウント番号を更新し、CRCコードに付加したコードを生成する。コード生成部24では、このように生成したコードをPV値およびステータスに付加することで、PV値、ステータス、CRCコードおよびカウント番号からなるフレームを生成する。カウント番号は、PV値およびステータスの更新ごとにインクリメントされる。
コード生成部24で作成されたフレームは、マスターCPU10のコード生成部14で同様に生成され通信ブロック13および通信ブロック23による通信を介して取得されたフレームと、比較部27において照合される。比較部27において両フレームの不一致が検出されれば異常と判断する。
比較部27においてフレームの不一致が検出された場合、比較部27から異常を示すフェイルセイフ信号が出力され、フェイルセイフ部79に与えられる。この場合、フェイルセイフ部79において、CPU10からのフレームの出力が遮断され、出力部78への新たなフレームの出力が阻止される。フェイスセイフ部79により出力を遮断する代わりに、CPU20からCPU10のリセット回路に向けてリセット信号を出力してもよい。この場合、リセット信号を受けたCPU10は強制的にリセットされ、出力部78への出力が阻止される。
出力部78への出力が阻止された場合、カウント番号の更新が停止するため、出力部78以降の後段の上流工程では、カウント番号を参照するだけで情報の出力が停止したことを認識できる。
次に、マスターCPU10およびスレーブCPU20間の通信方法について説明する。上記のように、マスターCPU10およびスレーブCPU20ではリアルタイムにデータを交換し、データの照合を行っている。このため、両者のCPUにおける処理のタイミングがずれると、時間軸方向に異なる別々の処理結果を比較することになり、照合の不一致が発生する。このため、本実施例の装置では、両者のCPUが常に同じ動作を実行している必要がある。そこで、マスターCPU10の側から非同期通信(UART)を利用してタイミングフェイズトリガを送信し、スレーブCPU20が同期して同一のシーケンスで処理を実行できるよう制御している。
図6は通信処理のシーケンスを示す図である。図7は通信フレームの構成を示す図であり、図7(a)は個々の通信フレームの構成を、図7(b)は通信状態が正常な場合の動作を、それぞれ示す図である。
図6に示すように、マスターCPU10はスレーブCPU20に向けて、タイミングフェイズトリガ付きのコマンドを定周期で送信する。コマンドを受信したスレーブCPU20は、マスターCPU10に向けてレスポンスを返送する。このような処理の後、両者のCPUが同一のフェイズを実行することで、両者のCPUの処理を同期させる。
図7(a)に示すように、マスターCPU10は通信ブロック13を介してタイミングフェイズトリガ付きのコマンドを送信する。スレーブCPU20は通信ブロック23を介してコマンドを受信する。スレーブCPU20では、受信されたコマンドに表現されたフェイズ(シーケンス番号)と、期待されるフェイズ(シーケンス番号)、すなわち次に処理すべきフェイズ(図7(a)ではフェイズ1)とを比較し、両者が一致していれば通信状態が正常であると認識する。通信状態が正常であると認識した場合には、スレーブCPU20は通信ブロック23を介してマスターCPU10に当該フェイズ(図7(a)ではフェイズ1)を示す情報(シーケンス番号)を含んだレスポンスを返送する。マスターCPU10は、スレーブCPU20からのレスポンスを一定時間内に受信し、かつ受信されたレスポンスに表現されたフェイズ(シーケンス番号)が適正であれば、通信状態が正常であると認識する。
コマンドおよびレスポンスの送受信により通信状態を確認するコマンドトリガ期間の後、全二重化通信期間に移行する。全二重化通信期間では、マスターCPU10およびスレーブCPU20は、それぞれ同一フェイズ(図7(a)ではフェイズ1)の処理を実行し、マスターCPU10からスレーブCPU20に向けてデータMAが、スレーブCPU20からにマスターCPU10向けてデータSLが、並行して送信される。データMAおよびデータSLには、それぞれ上述した、等値化のために送受信されるステータス、および照合のために送受信されるフレーム(PV値、ステータス、CRCコードおよびカウント番号からなるフレーム)が含まれる。
図7(b)に示すように、このようなフェイズを順次繰り返すことで、マスターCPU10およびスレーブCPU20において同一処理が互いに同期して実行される。
以上説明したように、実施例1では、両CPUでCRCコードを生成し、CRC付きのデータ(フレーム)で照合を実行するため、照合の信頼性が高まる。また、両CPUで照合の結果、いずれもデータが一致した場合に限り上流工程に情報を通知し、いずれか一方のCPUで異常が判定されれば、上流工程への情報の出力が確実に防止される。このため、上流工程に出力した情報の信頼性を高めることができる。すなわち、上流工程における検査でCRCコードが正常であれば、そのデータは入出力ユニット3a内部でCPU間照合された高信頼のデータであることを意味する。また、上流工程でもCRCコードの検査を行うことで、CPU内部においてCRC付きデータを取り扱う全工程について、異常の有無を改めて診断できることになる。
また、CPU間通信を用いてCRC付きのデータを送受信し、両CPUで照合しているので、別途、CPU間通信フレームのチェック、例えば、フレームサム、パリティー等のチェックを実行する必要がない。
実施例1では、CPU間通信のタイミングを利用してフェイズごとに処理の同期を取るようにしている。このため、同期化のための無駄な処理が不要で、同期化処理に起因するパフォーマンスの低下がない。すなわち、本来必須の通信内容に、フェイズを特定するシーケンス番号を挿入するだけで、余分な処理を要求しない。また、このような同期化により両CPUが常に同期して同一フェイズを実行するので、CPU間のデータ照合の精度を高めることができる。一方で、CPU外部の要因で発生する過渡的な状態変化に対しても、両CPUが同時に追従するため、突発的なデータ照合の不一致が発生しない。また、基本的にCPU20はCPU10から指定されたフェイズを実行する関係にあるので、フェイズの同期がずれても、容易に復帰可能である。
実施例1では、両CPUのデータを互いに照合する前段で、各CPUが生成したステータスを等値化している。このため、いずれかのCPUでステータスの異常が検知された場合には、ステータスの等値化によりステータスが異常であることの認識が両CPUで共有化される。このため、ステータスの異常時に後段におけるデータ照合不一致とはならず、ステータス異常と、データの照合不一致とを切り分けて認識可能となる。このため、異常状態を正しく通知することが可能となる。このようなステータスの等値化は、とくにCPUごとに独立した周辺回路を増やしてでもCPU間に共通回路部分を減らし、CPUを疎結合させる必要がある場合により有効である。また、一方のCPUだけでしか周辺回路の診断ができないような場合にも有効である。
実施例1で示した等値化の処理、CRCコードの付加、データ照合のシーケンス等は、CPUのプラグラムにより容易に実現できる。また、CPU間通信は、CPUに標準的に実装されている非同期通信(UART)機能を用いて容易に実現できる。また、CPU間通信をシリアル通信とすることで、2つのCPUを互いに絶縁されたフィールド機器側と、コントローラ側に実装する場合でも、実装が容易である。
実施例2の情報処理装置は、マスターCPUと、スレーブCPUとが、互いに絶縁されて実装される例を示している。
図8は、実施例2の情報処理装置としての入出力ユニットの構成を示すブロック図である。
図4に示したようなプラント制御システムでは、通常、コントローラ2とフィールド機器1とが距離を置いて設置されている。したがって、地表を伝播するノイズや落雷の影響から逃れる目的で、コントローラ2およびフィールド機器1のグランドは互いに分離して設けられる。このため、コントローラ2の側と、各フィールド機器1との間は、電気的な絶縁状態を維持する必要がある。
図8に示す入出力ユニット3bでは、絶縁境界Lを介してマスターCPU10Aがコントローラ2側(上流側)に、スレーブCPU20Aがフィールド機器1側(下流側)に設けられている。下流側からのアナログ入力値は入力回路32を経て、AD変換部33においてデジタル信号に変換され、スレーブCPU20Aに入力される。診断部34には、スレーブCPU20Aとグランド電位を共通にする周辺回路35からの情報が与えられるとともに、入力回路32から出力された入力値が与えられる。診断部34では周辺回路35からの情報および入力回路32から出力された入力値に基づく診断情報をスレーブCPU20Aに与える。
一方、下流側からの入力値はフォトカプラ37を介してマスターCPU10Aにも入力される。アナログ入力値はフォトカプラ37において2値化される。マスターCPU10Aでは2値化された信号(デジタル信号)に基づく処理を実行する。
なお、入力値は複数チャンネル(例えば8チャンネル)で構成されており、入力回路32、AD変換部33およびフォトカプラ37は、チャンネル数に対応する数のユニットが用意されている。
マスターCPU10AおよびスレーブCPU20Aは、それぞれに設けられたCPU間通信ブロック11AおよびCPU間通信ブロック21Aを介してタイミングフェイズトリガ付きコマンド、およびコマンドに対するレスポンスを送受信する。これにより、互いに独立しつつ、同一処理を同期して実行する。また、マスターCPU10AおよびスレーブCPU20Aは、CPU間通信ブロック11AおよびCPU間通信ブロック21Aを介して互いのデータを送受信し合い、データの照合をそれぞれ行う。さらに、スレーブCPU20Aで得られた診断情報はマスターCPU10Aにも送信され、ステータスの等値化が実行される。
マスターCPU10Aでは、等値化されたステータスが異常を示すことなく、かつ、マスターCPU10AおよびスレーブCPU20Aのデータの照合の結果、両者が一致する場合に限って、上位通信ブロック12Aを介して上位ブロック38にデータを通知する。また、スレーブCPU20AにおいてマスターCPU10AおよびスレーブCPU20Aのデータの不一致が検知された場合には、リセット信号をマスターCPU10Aに送出する。この場合、マスターCPU10Aはリセット信号により強制的にリセット状態とされ、マスターCPU10Aから上位ブロック38へのデータの通知が阻止される。なお、CPU間の通信経路およびリセット信号の伝送ラインは、絶縁境界Lにおいて、フォトカプラ等によりマスターCPU10AおよびスレーブCPU20A間で絶縁されている。
図8に示すユニット3bでは、スレーブCPU20Aがフィールド機器1側に実装されているので、フィールド機器1側に実装された周辺回路35からの情報や入力回路32を経由した入力値を容易に取り込むことができ、詳細な診断を実行できる。また、CPU間通信は非同期通信(UART)等を用いることで、少ない本数の通信ラインによって実行可能であるため、絶縁状態を容易に維持することができる。このため、CPU間通信により診断情報であるステータスを両CPU間で等値化することで、スレーブCPU20Aでの詳細な診断結果をマスターCPU10Aにおいても有効に活用できる。
実施例3の情報処理装置は、フィールド機器1(図4)側からのアナログ信号をデジタル信号に変換し、2つのCPUが共通のデジタル信号を受けてコントローラ2(図4)側にデータを出力する入出力ユニットの例を示している。図9は、実施例3の情報処理装置としての入出力ユニットの構成を示すブロック図である。
図9に示す入出力ユニット3cは、互いに独立して同一処理を実行するマスターCPU10BおよびスレーブCPU20Bと、複数チャンネル(例えば8チャンネル)のアナログ信号を受け、1つの信号を選択するメインのマルチプレクサ41およびサブのマルチプレクサ42と、マルチプレクサ41からのアナログ信号を受ける入力増幅器43と、入力増幅器43から出力された信号をデジタル信号に変換してマスターCPU10BおよびスレーブCPU20Bに与えるAD変換器44とを備える。
メインのマルチプレクサ41およびサブのマルチプレクサ42の出力信号は、マスターCPU10BおよびスレーブCPU20Bでそれぞれ比較され、不一致の場合にはステータスの異常と判断する。またステータスはCPU間通信で交換され、ステータスの等値化が行われる。これにより、マルチプレクサ41の動作の健全性が診断される。また、入力増幅部43およびAD変換器44は全チャンネルに対し共通であるが、マルチプレクサ41を介して一定周期で入力増幅部43に基準電圧を入力し、AD変換器44の出力をマスターCPU10BおよびスレーブCPU20Bでそれぞれ確認することで、ステータスを監視している。この場合も、ステータスはCPU間通信で交換され、ステータスの等値化が行われる。
マスターCPU10BおよびスレーブCPU20Bは、それぞれに設けられたCPU間通信ブロック11BおよびCPU間通信ブロック21Bを介してタイミングフェイズトリガ付きコマンド、およびコマンドに対するレスポンスを送受信することで、互いに独立しつつ、同一処理を同期して実行する。また、マスターCPU10BおよびスレーブCPU20Bで得られたステータスはCPU間通信により交換され、ステータスの等値化が実行される。さらに、マスターCPU10BおよびスレーブCPU20Bは、CPU間通信ブロック11BおよびCPU間通信ブロック21Bを介して互いのデータを送受信し合い、データの照合を行う。
マスターCPU10Bでは、等値化されたステータスが異常を示すことなく、かつ、マスターCPU10BおよびスレーブCPU20Bのデータの照合の結果、両者が一致する場合に限って、通信ブロック12Bを介して上位ブロック45にデータを通知する。また、スレーブCPU20BにおいてマスターCPU10BおよびスレーブCPU20Bのデータの不一致が検知された場合には、リセット信号をマスターCPU10Bに送出する。この場合、マスターCPU10Bはリセット信号により強制的にリセット状態とされ、マスターCPU10Bから上位ブロック45へのデータの通知が阻止される。
実施例4の情報処理装置は、コントローラ2(図4)側(上流側)から入力されたCRCコード付きのデータを、フィールド機器1(図4)側(下流側)に出力する入出力ユニットの例を示している。図10は、実施例4の情報処理装置としての入出力ユニットの構成の一部を示すブロック図である。
図10に示す入出力ユニットは、互いに独立して処理を実行するCPU50およびCPU60を備える。
CPU50は、入力部81を経由して入力されたデータに基づいてCRCコードの検査を実行するコード検査部51と、CPU60との間で通信を実行する通信ブロック52と、入力されたデータをフィールド機器1側で使用される形式に変換する設定値処理部53とを備える。
CPU60は、CPU50から転送されたデータに基づいてCRCコードの検査を実行するコード検査部61と、CPU60との間で通信を実行する通信ブロック62と、入力されたデータをフィールド機器1側で使用される形式に変換する設定値処理部63とを備える。
次に、図10に示す入出力ユニットの動作について説明する。
コントローラ2側からのデータは入力部81を介してCPU50に入力される。このデータは、フィールド機器1(例えば電磁弁)を特定する設定先と、設定先に設定されるべき設定値(例えば電磁弁の開度)と、設定値および設定先のデータに基づいて作成されたCRCコードとを含んでいる。
CPU50に入力されたデータはコード検査部51に与えられる。コード検査部51では、受け取った設定値および設定先のデータに基づいてCRCコードを作成する。そして、データとして受け取ったCRCコードと、コード検査部51で作成したCRCコードとを比較する。コード検査部51は、両者のCRCコードが不一致であれば異常と判断し、この場合には遮断部54においてデータを遮断する。
一方、CPU50に入力されたデータは通信ブロック52を介して送信される。送信されたデータは通信ブロック62を介してCPU60で受信される。
CPU60で受信されたデータはコード検査部61に与えられる。コード検査部61では、受け取った設定値および設定先のデータに基づいてCRCコードを作成する。そして、データとして受け取ったCRCコードと、コード検査部61で作成したCRCコードとを比較する。コード検査部61は、両者のCRCコードが不一致であれば異常と判断し、この場合には遮断部64においてデータを遮断する。
次に、CPU50のコード検査部51で作成されたCRCコードは通信ブロック52を介して送信される。送信されたCRCコードは通信ブロック62を介してCPU60で受信される。また、CPU50のコード検査部51で作成されたCRCコードは、比較部55において、CPU60から送信されてきたCRCコードと比較される。
比較部55は両者のCRCを比較した結果、両者のCRCコードが一致しなければ異常と判断する。この場合、遮断部56においてデータを遮断する。
CPU60では、コード検査部61で作成したCRCコードを、通信ブロック62を介して送信する。送信されたCRCコードは、通信ブロック52を介してCPU50で受信される。このCRCコードは、上記のように、比較部55においてコード検査部51で作成されたCRCコードと比較される。
また、CPU60のコード検査部61で作成されたCRCコードは、比較部65において、CPU50から送信されてきたCRCコードと比較される。
比較部65は両者のCRCを比較した結果、両者のCRCコードが一致しなければ異常と判断する。この場合、遮断部66においてデータを遮断する。
次に、CPU50では、入力部81から受け取ったデータが設定値処理部53に与えられる。しかし、上記のように、異常と判断された場合には、遮断部54あるいは遮断部56においてデータの受け渡しが阻止され、設定値処理部53での処理が停止される。
データが入力される場合、設定値処理部53では、設定値および設定先のデータをフィールド機器1側で使用される形式に変換する。
一方、CPU60では、CPU50から送信されてきたデータが設定値処理部63に与えられる。しかし、上記のように、異常と判断された場合には、遮断部64あるいは遮断部66においてデータの受け渡しが阻止され、設定値処理部63での処理が停止される。
データが入力される場合、設定値処理部63では、設定値および設定先のデータをフィールド機器1側で使用される形式に変換し、出力部82に向けて設定値および設定先のデータを出力する。
出力部82に出力された設定値および設定先のデータは、診断回路83を介してCPU60の比較部67に入力される。また、比較部67には、設定値処理部63から出力された設定値および設定先のデータが直接入力される。
比較部67では、設定値処理部63から出力された段階での設定値および設定先のデータと、診断回路83を経由した設定値および設定先のデータとを比較し、両者が不一致であれば異常と判断する。この場合には遮断部68において設定値および設定先のデータを遮断し、出力部82への設定値および設定先のデータの出力を阻止する。
また、CPU60から出力部82に出力された設定値および設定先のデータは、診断回路84を介してCPU50の比較部57に入力される。さらに、比較部57には、設定値処理部53から出力された設定値および設定先のデータが直接入力される。
比較部57では、設定値処理部53から出力された設定値および設定先のデータと、CPU60から出力された設定値および設定先のデータとを比較し、両者が不一致であれば異常と判断する。この場合にはフェイルセイフ回路85において設定値および設定先のデータを遮断し、CPU60から出力部82への設定値および設定先のデータの出力を阻止する。
このように、実施例4では、CPU60の側が出力部82へのデータ出力を実行しているが、CPU60では出力されたデータを自らトレースし、異常と判断した場合にはデータ出力を停止している。また、CPU50でも、CPU60により出力部82へ出力されたデータを同時にトレースし、異常と判断した場合にはCPU50の側からCPU60による出力を阻止している。このため、いずれかのCPUにより異常と判断した場合にはデータ出力が阻止されるため、誤ったデータが出力部82に出力されることを確実に防止できる。
本発明の適用範囲は上記実施形態に限定されることはない。また、本発明は、安全システムのみならず、各種情報を取り扱う情報処理システムに対し、広く適用することができる。
101 送信手段
102 データ照合手段
103 処理停止手段
104 同期手段
105 取得手段
106 第1のコード生成手段
107 第2のコード生成手段
108 コード照合手段
109 処理停止手段
111 第1の検査手段
112 第2の検査手段
113 コード照合手段
114 判定手段
115 処理停止手段
116 データ照合手段
117 カウント手段
118 カウント停止手段
119 判定手段
120 処理停止手段
102 データ照合手段
103 処理停止手段
104 同期手段
105 取得手段
106 第1のコード生成手段
107 第2のコード生成手段
108 コード照合手段
109 処理停止手段
111 第1の検査手段
112 第2の検査手段
113 コード照合手段
114 判定手段
115 処理停止手段
116 データ照合手段
117 カウント手段
118 カウント停止手段
119 判定手段
120 処理停止手段
Claims (12)
- 互いに独立して同一処理を二重に実行する第1の装置および第2の装置を備える情報処理装置において、
前記情報処理装置の状態を前記第1の装置において判定する第1の判定手段と、
前記情報処理装置の前記状態を前記第2の装置において判定する第2の判定手段と、
前記第1の判定手段の判定結果を前記第2の装置に向けて送信する送信手段と、
前記第1の判定手段および前記第2の判定手段の判定結果を、前記第2の装置において照合し、前記両判定結果が一致しない場合に異常と判定する照合手段と、
を備えることを特徴とする情報処理装置。 - 前記照合手段の照合により異常と判定された場合に、前記第1の装置の機能を停止する停止手段を備えることを特徴とする請求項1に記載の情報処理装置。
- 前記送信手段により送信される前記データの送受信のタイミングを利用して、前記第1の装置および前記第2の装置の処理を同期させる同期手段を備えることを特徴とする請求項1または2に記載の情報処理装置。
- 互いに独立して同一処理を二重に実行する第1の装置および第2の装置を備える情報処理装置において、
前記情報処理装置の状態を前記第1の装置において判定する第1の判定手段と、
前記第1の装置において、前記第1の判定手段の判定結果のデータに基づき誤り検出用コードを生成する第1のコード生成手段と、
前記情報処理装置の前記状態を前記第2の装置において判定する第2の判定手段と、
前記第2の装置において、前記第2の判定手段の判定結果のデータに基づき誤り検出用コードを生成する第2のコード生成手段と、
前記第1のコード生成手段で生成された前記誤り検出用コードを前記第2の装置に向けて送信する送信手段と、
前記第1のコード生成手段で生成された前記誤り検出用コードと、前記第2のコード生成手段で生成された前記誤り検出用コードとを前記第2の装置において照合し、前記両誤り検出用コードが一致しない場合に異常と判定する照合手段と、
を備えることを特徴とする情報処理装置。 - 前記照合手段の照合により異常と判定された場合に、前記第1の装置の機能を停止する停止手段を備えることを特徴とする請求項4に記載の情報処理装置。
- 前記情報処理装置の状態を第1の装置および第2の装置の間で等値化する等値化手段を備え、
前記第1の判定手段および前記第2の判定手段は、前記等値化手段により等値化された前記状態を判定することを特徴とする請求項1〜5のいずれか1項に記載の情報処理装置。 - 前記第1の装置および前記第2の装置は、それぞれ個々のCPUとして構成されていることを特徴とする請求項1〜6のいずれか1項に記載の情報処理装置。
- 互いに独立して同一処理を二重に実行する第1の装置および第2の装置を備える情報処理方法において、
前記情報処理装置の状態を前記第1の装置において判定するステップと、
前記情報処理装置の前記状態を前記第2の装置において判定するステップと、
前記第1の装置における判定結果を前記第2の装置に向けて送信するステップと、
前記第1の装置における判定結果および前記第2の装置における判定結果を、前記第2の装置において照合し、前記両判定結果が一致しない場合に異常と判定するステップと、
を備えることを特徴とする情報処理方法。 - 前記照合するステップでの照合により異常と判定された場合に、前記第1の装置の機能を停止するステップを備えることを特徴とする請求項8に記載の情報処理方法。
- 前記前記第1の装置における判定結果を前記第2の装置に向けて送信するステップにより送信される前記データの送受信のタイミングを利用して、前記第1の装置および前記第2の装置の処理を同期させるステップを備えることを特徴とする請求項8または9に記載の情報処理方法。
- 互いに独立して同一処理を二重に実行する第1の装置および第2の装置を備える情報処理方法において、
前記情報処理装置の状態を前記第1の装置において判定するステップと、
前記第1の装置において、前記第1の判定手段の判定結果のデータに基づき誤り検出用コードを生成するステップと、
前記情報処理装置の前記状態を前記第2の装置において判定するステップと、
前記第2の装置において、前記第2の判定手段の判定結果のデータに基づき誤り検出用コードを生成するステップと、
前記第1の装置において生成された前記誤り検出用コードを前記第2の装置に向けて送信するステップと、
前記第1の装置において生成された前記誤り検出用コードと、前記第2の装置において生成された前記誤り検出用コードとを前記第2の装置において照合し、前記両誤り検出用コードが一致しない場合に異常と判定するステップと、
を備えることを特徴とする情報処理方法。 - 前記照合手段の照合により異常と判定された場合に、前記第1の装置の機能を停止するステップを備えることを特徴とする請求項11に記載の情報処理方法。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005021423A JP3897046B2 (ja) | 2005-01-28 | 2005-01-28 | 情報処理装置および情報処理方法 |
| PCT/JP2006/301303 WO2006080431A1 (ja) | 2005-01-28 | 2006-01-27 | 情報処理装置および情報処理方法 |
| CN2006800034410A CN101111822B (zh) | 2005-01-28 | 2006-01-27 | 信息处理设备和信息处理方法 |
| EP06712469A EP1857936B1 (en) | 2005-01-28 | 2006-01-27 | Information processing apparatus and information processing method |
| US11/883,454 US8359529B2 (en) | 2005-01-28 | 2006-01-27 | Information processing apparatus and information processing method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005021423A JP3897046B2 (ja) | 2005-01-28 | 2005-01-28 | 情報処理装置および情報処理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006209523A JP2006209523A (ja) | 2006-08-10 |
| JP3897046B2 true JP3897046B2 (ja) | 2007-03-22 |
Family
ID=36740455
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005021423A Expired - Fee Related JP3897046B2 (ja) | 2005-01-28 | 2005-01-28 | 情報処理装置および情報処理方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8359529B2 (ja) |
| EP (1) | EP1857936B1 (ja) |
| JP (1) | JP3897046B2 (ja) |
| CN (1) | CN101111822B (ja) |
| WO (1) | WO2006080431A1 (ja) |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102007007537A1 (de) | 2007-02-15 | 2008-08-21 | Siemens Ag | Leitsystem einer technischen Anlage |
| US9207661B2 (en) * | 2007-07-20 | 2015-12-08 | GM Global Technology Operations LLC | Dual core architecture of a control module of an engine |
| FR2924238B1 (fr) * | 2007-11-22 | 2009-12-11 | Schneider Electric Ind Sas | Module d'entrees/sorties integrant une fonction logique pour controler les donnees |
| JP5060263B2 (ja) * | 2007-12-06 | 2012-10-31 | 日立オートモティブシステムズ株式会社 | チップ内冗長化による高信頼システム及びその制御方法 |
| EP2133764B1 (de) * | 2008-06-09 | 2012-10-17 | Siemens Aktiengesellschaft | Fehlersicheres Automatisierungssystem und Verfahren |
| JP5380978B2 (ja) * | 2008-09-26 | 2014-01-08 | 富士通株式会社 | 伝送装置、伝送装置の制御方法および伝送装置の制御プログラム |
| JP5344936B2 (ja) * | 2009-01-07 | 2013-11-20 | 株式会社日立製作所 | 制御装置 |
| JP5515374B2 (ja) * | 2009-04-02 | 2014-06-11 | 富士電機株式会社 | プログラマブルコントローラ、プログラム実行監視方法及びプログラム |
| JP5641181B2 (ja) * | 2009-11-26 | 2014-12-17 | 横河電機株式会社 | 二重化処理装置 |
| JP2011128821A (ja) * | 2009-12-17 | 2011-06-30 | Yokogawa Electric Corp | 二重化フィールド機器 |
| JP5614143B2 (ja) * | 2010-07-21 | 2014-10-29 | セイコーエプソン株式会社 | 情報処理システム、印刷装置及び情報処理方法 |
| JP5617651B2 (ja) * | 2011-01-18 | 2014-11-05 | 横河電機株式会社 | 通信装置及び制御装置 |
| US8516355B2 (en) * | 2011-02-16 | 2013-08-20 | Invensys Systems, Inc. | System and method for fault tolerant computing using generic hardware |
| EP2662773B1 (de) * | 2012-05-10 | 2016-07-20 | Airbus Defence and Space GmbH | Redundantes Mehrprozessorsystem und zugehöriges Verfahren |
| JP5975753B2 (ja) * | 2012-06-27 | 2016-08-23 | 株式会社日立製作所 | 情報処理システム、出力制御装置、およびデータ生成装置 |
| JP2014142823A (ja) * | 2013-01-24 | 2014-08-07 | Azbil Corp | データ作成装置および方法 |
| JP6017344B2 (ja) * | 2013-02-26 | 2016-10-26 | 株式会社日立製作所 | 制御装置、制御システム及びデータ生成方法 |
| JP5895906B2 (ja) * | 2013-07-24 | 2016-03-30 | 横河電機株式会社 | プロセス制御装置及びシステム並びにその健全性判定方法 |
| JP5850016B2 (ja) * | 2013-10-02 | 2016-02-03 | 横河電機株式会社 | フィールド機器 |
| JP6710142B2 (ja) * | 2016-10-26 | 2020-06-17 | 株式会社日立製作所 | 制御システム |
| US10740186B2 (en) * | 2017-05-15 | 2020-08-11 | The Boeing Company | High data integrity processing system |
| CN107341085B (zh) * | 2017-06-14 | 2020-12-08 | 北京多思安全芯片科技有限公司 | 一种控制装置 |
| US10345801B2 (en) * | 2017-08-21 | 2019-07-09 | Honeywell International Inc. | Ensuring a correct program sequence in a dual-processor architecture |
| US10831628B2 (en) * | 2018-12-12 | 2020-11-10 | Intel Corporation | Hardware lockstep checking within a fault detection interval in a system on chip |
| KR102191169B1 (ko) * | 2019-11-26 | 2020-12-16 | 주식회사 오비고 | 이종 dcu의 출력 값을 사용하는 ads를 통해 자율 주행에서 발생할 수 있는 dcu들의 오판 상황을 방지하는 방법 및 이를 이용한 장치 |
| CN116057478A (zh) * | 2020-09-25 | 2023-05-02 | 日立安斯泰莫株式会社 | 电子控制装置及电子控制装置的诊断方法 |
Family Cites Families (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US3864670A (en) * | 1970-09-30 | 1975-02-04 | Yokogawa Electric Works Ltd | Dual computer system with signal exchange system |
| US4233682A (en) * | 1978-06-15 | 1980-11-11 | Sperry Corporation | Fault detection and isolation system |
| US4843608A (en) * | 1987-04-16 | 1989-06-27 | Tandem Computers Incorporated | Cross-coupled checking circuit |
| US5204952A (en) * | 1988-07-18 | 1993-04-20 | Northern Telecom Limited | Duplex processor arrangement for a switching system |
| JPH02228740A (ja) * | 1989-03-01 | 1990-09-11 | Mitsubishi Electric Corp | 二重系処理システム |
| JPH0773059A (ja) * | 1993-03-02 | 1995-03-17 | Tandem Comput Inc | フォールトトレラント型コンピュータシステム |
| JPH07129426A (ja) * | 1993-10-29 | 1995-05-19 | Hitachi Ltd | 障害処理方式 |
| JPH07129427A (ja) * | 1993-11-01 | 1995-05-19 | Fujitsu Ltd | Eccコードによるデータの比較チェック方法 |
| EP0986008B1 (en) * | 1993-12-01 | 2008-04-16 | Marathon Technologies Corporation | Computer system comprising controllers and computing elements |
| US6061599A (en) * | 1994-03-01 | 2000-05-09 | Intel Corporation | Auto-configuration support for multiple processor-ready pair or FRC-master/checker pair |
| JPH07281915A (ja) * | 1994-04-08 | 1995-10-27 | Mitsubishi Electric Corp | 集積回路モジュール同期2重系情報処理装置 |
| JP3247043B2 (ja) * | 1996-01-12 | 2002-01-15 | 株式会社日立製作所 | 内部信号で障害検出を行う情報処理システムおよび論理lsi |
| JP3208060B2 (ja) * | 1996-05-27 | 2001-09-10 | 三菱電機株式会社 | 並列二重系電子連動装置 |
| US5799022A (en) * | 1996-07-01 | 1998-08-25 | Sun Microsystems, Inc. | Faulty module location in a fault tolerant computer system |
| US5784383A (en) * | 1997-10-02 | 1998-07-21 | International Business Machines Corporation | Apparatus for identifying SMP bus transfer errors |
| US6173414B1 (en) * | 1998-05-12 | 2001-01-09 | Mcdonnell Douglas Corporation | Systems and methods for reduced error detection latency using encoded data |
| DE19832060C2 (de) * | 1998-07-16 | 2000-07-06 | Siemens Ag | Doppelbare Prozessoreinrichtung |
| US6357024B1 (en) * | 1998-08-12 | 2002-03-12 | Advanced Micro Devices, Inc. | Electronic system and method for implementing functional redundancy checking by comparing signatures having relatively small numbers of signals |
| GB2340627B (en) * | 1998-08-13 | 2000-10-04 | Plessey Telecomm | Data processing system |
| JP2000347706A (ja) | 1999-06-07 | 2000-12-15 | Mitsubishi Electric Corp | プラント制御装置 |
| US7043728B1 (en) * | 1999-06-08 | 2006-05-09 | Invensys Systems, Inc. | Methods and apparatus for fault-detecting and fault-tolerant process control |
| SE516542C2 (sv) * | 1999-07-01 | 2002-01-29 | Ericsson Telefon Ab L M | Metod och anordning för övervakning av parallella processer |
| US6615366B1 (en) * | 1999-12-21 | 2003-09-02 | Intel Corporation | Microprocessor with dual execution core operable in high reliability mode |
| US6480970B1 (en) * | 2000-05-17 | 2002-11-12 | Lsi Logic Corporation | Method of verifying data consistency between local and remote mirrored data storage systems |
| US6772368B2 (en) | 2000-12-11 | 2004-08-03 | International Business Machines Corporation | Multiprocessor with pair-wise high reliability mode, and method therefore |
| US6751749B2 (en) * | 2001-02-22 | 2004-06-15 | International Business Machines Corporation | Method and apparatus for computer system reliability |
| DE10133652A1 (de) | 2001-07-11 | 2003-01-30 | Siemens Ag | Zentraleinheit für ein redundantes Automatisierungssystem |
| US6954886B2 (en) * | 2001-12-31 | 2005-10-11 | Intel Corporation | Deterministic hardware reset for FRC machine |
| US7055060B2 (en) | 2002-12-19 | 2006-05-30 | Intel Corporation | On-die mechanism for high-reliability processor |
| US7328371B1 (en) * | 2004-10-15 | 2008-02-05 | Advanced Micro Devices, Inc. | Core redundancy in a chip multiprocessor for highly reliable systems |
-
2005
- 2005-01-28 JP JP2005021423A patent/JP3897046B2/ja not_active Expired - Fee Related
-
2006
- 2006-01-27 EP EP06712469A patent/EP1857936B1/en not_active Ceased
- 2006-01-27 US US11/883,454 patent/US8359529B2/en active Active
- 2006-01-27 CN CN2006800034410A patent/CN101111822B/zh active Active
- 2006-01-27 WO PCT/JP2006/301303 patent/WO2006080431A1/ja active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| EP1857936A4 (en) | 2011-03-09 |
| WO2006080431A1 (ja) | 2006-08-03 |
| US20080215759A1 (en) | 2008-09-04 |
| EP1857936B1 (en) | 2013-04-03 |
| US8359529B2 (en) | 2013-01-22 |
| JP2006209523A (ja) | 2006-08-10 |
| CN101111822A (zh) | 2008-01-23 |
| EP1857936A1 (en) | 2007-11-21 |
| CN101111822B (zh) | 2010-12-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3897046B2 (ja) | 情報処理装置および情報処理方法 | |
| EP1857937A1 (en) | Information processing apparatus and information processing method | |
| US20080215913A1 (en) | Information Processing System and Information Processing Method | |
| US11016463B2 (en) | Control and data-transfer system, gateway module, I/O module, and method for process control | |
| US20080313426A1 (en) | Information Processing Apparatus and Information Processing Method | |
| CN102361810A (zh) | 信号传输装置 | |
| WO2008110957A3 (en) | Node of a distributed communication system, node and monitoring device coupled to such communication system | |
| JP2006323831A (ja) | 安全ユニットの入力装置 | |
| US10578465B2 (en) | Sensor bus system and unit with internal event verification | |
| KR101560497B1 (ko) | 락스텝으로 이중화된 프로세서 코어들의 리셋 제어 방법 및 이를 이용하는 락스텝 시스템 | |
| CN111103824A (zh) | 用于控制安全关键和非安全关键过程的控制系统 | |
| US6507760B1 (en) | Numerical control unit with a spatially separated input device | |
| US20090106461A1 (en) | Information Processing Apparatus and Information Processing Method | |
| EP3316261A1 (en) | Control system for the safety of nuclear power plant | |
| JP2006178730A (ja) | 安全信号i/f装置およびその二重化信号入力処理方法 | |
| JP3962956B6 (ja) | 情報処理装置および情報処理方法 | |
| JP5906145B2 (ja) | 伝送装置、伝送システム、及びその自己診断方法 | |
| JP6059652B2 (ja) | 信号保安用制御装置 | |
| JP7219054B2 (ja) | センサ及びアクチュエータを備えるデバイス並びにこのデバイスを試験するための方法 | |
| JP6234388B2 (ja) | 2重系制御装置 | |
| JP2008283488A (ja) | 検査システム、および検査システム用データ処理装置 | |
| JP2008109325A (ja) | 通信システム | |
| JP2006276957A (ja) | 安全システム | |
| JP2008092523A (ja) | データ転送装置及びデータ処理方法 | |
| JP2008109324A (ja) | 通信システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060622 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20061128 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20061211 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 3897046 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110105 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120105 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120105 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130105 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140105 Year of fee payment: 7 |
|
| LAPS | Cancellation because of no payment of annual fees |