[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP4477739B2 - 冗長系情報処理システム - Google Patents

冗長系情報処理システム Download PDF

Info

Publication number
JP4477739B2
JP4477739B2 JP2000118083A JP2000118083A JP4477739B2 JP 4477739 B2 JP4477739 B2 JP 4477739B2 JP 2000118083 A JP2000118083 A JP 2000118083A JP 2000118083 A JP2000118083 A JP 2000118083A JP 4477739 B2 JP4477739 B2 JP 4477739B2
Authority
JP
Japan
Prior art keywords
processing
control information
signal
processing device
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2000118083A
Other languages
English (en)
Other versions
JP2001306348A (ja
Inventor
エイ マクダーモット スコット
欣司 森
裕之 矢代
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
IHI Aerospace Co Ltd
Original Assignee
IHI Aerospace Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by IHI Aerospace Co Ltd filed Critical IHI Aerospace Co Ltd
Priority to JP2000118083A priority Critical patent/JP4477739B2/ja
Priority to US09/836,229 priority patent/US6940811B2/en
Publication of JP2001306348A publication Critical patent/JP2001306348A/ja
Application granted granted Critical
Publication of JP4477739B2 publication Critical patent/JP4477739B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/187Voting techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/182Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits based on mutual exchange of the output between redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/183Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
    • G06F11/184Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality
    • GPHYSICS
    • G08SIGNALLING
    • G08CTRANSMISSION SYSTEMS FOR MEASURED VALUES, CONTROL OR SIMILAR SIGNALS
    • G08C25/00Arrangements for preventing or correcting errors; Monitoring arrangements
    • G08C25/02Arrangements for preventing or correcting errors; Monitoring arrangements by signalling back receiving station to transmitting station
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/40Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Hardware Redundancy (AREA)
  • Safety Devices In Control Systems (AREA)

Description

【0001】
【発明の属する技術分野】
この発明は、信頼性確保のため、冗長系(多重系)を構成する三つ以上の処理装置を具え、それらの処理装置により共通の信号出力手段からの信号に基づいてそれぞれ所定の情報処理を行って制御情報を生成し、それらの制御情報のうちから論理決定例えば多数決によって決定した制御情報によって共通の制御対象の制御を行う冗長系情報処理システムに関するものである。
【0002】
【従来の技術】
上述の如き情報処理システムとしては従来、例えば特開平9−134208号公報にて開示されたものがあり、この情報処理システムは、共通の信号出力手段としてのセンサからの信号に基づき独自のクロックで独立して情報処理を行う処理装置としてのコントローラを三つ具えるとともに、共通の制御対象としてのアクチュエータを有するアクチュエータ装置内に、多数決論理回路とそれを制御する制御回路との組を具えている。
【0003】
そしてこの情報処理システムでは、センサからの信号に基づき三つのコントローラで情報処理を行ってそれぞれアクチュエータ制御信号を生成するとともに、それらのコントローラでの情報処理結果を各コントローラ内に集めて比較し、各コントローラからその比較結果情報をアクチュエータ装置内の制御回路の記憶素子へ送って記憶させ、その制御回路で各コントローラからの比較結果情報から多数決により正常なコントローラを決定して、その正常なコントローラからのアクチュエータ制御信号を選択的にアクチュエータに送るように多数決論理回路を作動させ、それによってアクチュエータを作動させている。
【0004】
【発明が解決しようとする課題】
しかしながらかかる従来の情報処理システムでは、アクチュエータ装置内の、多数決を行う制御回路および、その多数決の結果に基づきアクチュエータ制御信号を選択的に通過させる多数決論理回路が各々、単一故障点すなわちそれが故障するとアクチュエータが作動しなくなる部分となっており、それゆえ、コントローラ側を多重化していても充分な信頼性を確保するのは困難であるという問題があった。
そしてこの問題の解決のため、単一故障点となる多数決論理回路および制御回路を市販品よりも高い信頼性を持つ特別注文の部品で構成することとすると、システムが極めて高価なものとなってしまうという問題があり、この点は特に、多くのアクチュエータの作動を制御する必要がある場合に重大であった。
【0005】
【課題を解決するための手段およびその作用・効果】
この冗長系情報処理システムは、三つ以上の処理装置により共通の信号出力手段からの信号に基づきそれぞれ所定の情報処理を行って制御情報を生成し、それらの制御情報のうちから論理決定によって決定した制御情報によって共通の制御対象の制御を行う冗長系情報処理システムにおいて、前記三つ以上の処理装置が各々、前記三つ以上の処理装置による前記制御情報の生成過程における情報処理結果を集めて、何れの処理装置が生成した制御情報を有効とするかを論理決定により決定し、前記三つ以上の処理装置のうちの当該処理装置を含む二つ以上の処理装置が生成した制御情報を有効とする場合は、あらかじめ定められた優先度に基づきそれら制御情報を有効とする処理装置のうちで当該処理装置の優先度が最先の場合には制御情報送信信号を出力する一方最先でない場合には制御情報送信信号を出力しないようにするとともに、制御情報を有効とする処理装置以外の他の処理装置にそれぞれ制御情報阻止信号を出力し、前記三つ以上の処理装置のうちの当該処理装置を除く他の処理装置が生成した制御情報を有効とする場合は、制御情報送信信号を出力しないようにするとともに、他の処理装置に制御情報阻止信号を出力しないようにする送信可否決定部を具えている
【0006】
かかる情報処理システムにあっては、当該システムを構成する三つ以上の処理装置の各々が、送信可否決定部を具えており、ここで、各処理装置の送信可否決定部は、当該システムを構成する三つ以上の処理装置による、共通の信号出力手段からの信号に基づく制御情報の生成過程における情報処理結果を集めて、何れの処理装置が生成した制御情報を有効とするかを論理決定により決定し、当該システムを構成する三つ以上の処理装置のうちの当該処理装置を含む二つ以上の処理装置が生成した制御情報を有効とする場合は、あらかじめ定められた優先度に基づきそれら制御情報を有効とする処理装置のうちで当該処理装置の優先度が最先の場合には制御情報送信信号を出力する一方最先でない場合には制御情報送信信号を出力しないようにするとともに、制御情報を有効とする処理装置以外の他の処理装置にそれぞれ制御情報阻止信号を出力し、また当該システムを構成する三つ以上の処理装置のうちの当該処理装置を除く他の処理装置が生成した制御情報を有効とする場合は、制御情報送信信号を出力しないようにするとともに、他の処理装置に制御情報阻止信号を出力しないようにする。ここで、前記情報処理結果としては、生成した制御情報や、制御情報の生成途中での演算結果等を用いることができる。
【0007】
この発明の冗長系情報処理システムは、前記三つ以上の処理装置が各々、前記三つ以上の処理装置のうちの当該処理装置を除く他の処理装置からの前記制御情報阻止信号を入力し、その制御情報阻止信号の入力数が前記論理決定で有効とする所定数未満でかつ当該処理装置の前記送信可否決定部が前記制御情報送信信号を出力している場合は、当該処理装置が生成した制御情報を前記制御対象に出力し、前記制御情報阻止信号の入力数が前記所定数以上の場合は、当該処理装置の前記送信可否決定部が前記制御情報送信信号を出力していても当該処理装置が生成した制御情報を前記制御対象に出力しない論理演算部を具えることを特徴としている。
【0008】
かかる情報処理システムにあっては、当該システムを構成する三つ以上の処理装置の各々が、送信可否決定部と論理演算部とを具えており、各処理装置の論理演算部は、当該システムを構成する三つ以上の処理装置のうちの当該処理装置を除く他の処理装置からの制御情報阻止信号を入力し、その制御情報阻止信号の入力数が前記多数決で有効とする所定数未満でかつ当該処理装置の送信可否決定部が制御情報送信信号を出力している場合は、当該処理装置が生成した制御情報をアクチュエータ等の制御対象に出力し、制御情報阻止信号の入力数が前記所定数以上の場合は、当該処理装置の送信可否決定部が制御情報送信信号を出力していても当該処理装置が生成した制御情報をアクチュエータ等の制御対象へは出力しない。
【0009】
従ってこの発明の情報処理システムによれば、当該システムを構成する三つ以上の処理装置の過半数を超えない幾つかでの情報処理結果に異常があっても、それらのうちの何れか二つ以上の処理装置が生成した制御情報を論理決定で有効とすることから、正常に生成された制御情報を選択することができる可能性が高いので、信頼性の高い制御情報を得ることができる。
【0010】
また、この発明の情報処理システムにあっては、制御情報を有効とする二つ以上の処理装置のうちで優先度が最先の処理装置が制御情報送信信号を出力する一方で、制御情報を有効とする二つ以上の処理装置のうちで優先度が最先でない処理装置は制御情報送信信号を出力しないようにする。さらに、それら制御情報を有効とする二つ以上の処理装置は他の処理装置に対してそれぞれ制御情報阻止信号を出力することから、たとえ制御情報を有効とする処理装置以外の他の処理装置の送信可否決定部が誤作動して制御情報を出力しても、その処理装置の論理回路部が、論理決定で有効とする所定数以上の他の処理装置から制御情報阻止信号を入力して制御情報を出力しないようにする。また、たとえ制御情報を有効とする処理装置以外の他の幾つかの処理装置の送信可否決定部が誤作動して制御阻止信号を出力しても、その制御阻止信号の入力数が論理決定で有効とする所定数未満の場合には、上記優先度が最先の処理装置の論理演算部は、その処理装置の送信可否決定部が制御情報送信信号を出力していることから、制御情報を制御対象へ出力する。
【0011】
従ってこの発明の情報処理システムによれば、制御情報を有効とする二つ以上の処理装置すなわち正常に作動している可能性が高い処理装置のうちで優先度が最先の単一の処理装置のみから制御情報を制御対象へ出力することができる。
【0012】
そしてこの発明の情報処理システムによれば、共通の信号出力手段からの信号に基づき制御情報を生成する情報処理も、制御情報を有効とする論理決定の処理も、論理決定で有効とした複数の処理装置からの制御情報の選択処理も、何れも複数の処理装置で行うことから、システム内に多数決論理回路やその制御回路のような単一故障点となる部分を持たなくて済むので、充分な信頼性を持つ冗長系処理システムを安価に構成することができる。
【0013】
さらにこの発明の情報処理システムによれば、処理装置の数が三つ以上であればその数の如何にかかわりなく上記各処理を行うことができることから、高い拡張性を有するので、信頼度の要求に応じて処理装置の数を増減させることで、容易にその要求に対応することができる。
【0014】
なお、この発明の情報処理システムにおいては、前記論理演算部は論理演算素子からなり、フィードバックループを持たない組み合わせ回路で構成されていても良く、かかる構成によれば、論理演算部が記憶素子を持たないことから、宇宙空間でロケットや人工衛星の姿勢制御に使用した場合等に宇宙放射線等の影響で記憶素子が反転するシングルイベントアップセット(SEU)の可能性を論理演算部についてはなくすことができるので、送信可否決定部が多数決で決定した結果がSEUに起因する論理演算部の誤作動で無意味になるという事態を有効に防止することができる。
【0015】
また、この発明の情報処理システムにおいては、前記処理装置が、前記制御情報の生成過程で過去の制御情報を用いるものである場合に、制御情報を有効とする処理装置以外の他の前記処理装置が、その生成した制御情報を、制御情報を有効とする処理装置の制御情報に書き換えて、その書き換えた制御情報を次回の制御情報の生成過程に用いるようにしても良く、かかる構成によれば、送信可否決定部がSEUに起因して一過性の誤動作をした場合に、その誤動作した回の誤った処理結果を放棄して他の処理装置で正常に生成された制御情報を以後の処理に用いることができるので、システムの信頼性を高く維持することができる。
【0016】
さらに、この発明の情報処理システムにおいては、前記三つ以上の処理装置の前記送信可否決定部が行う論理決定の処理手順が共通であっても良く、かかる構成によれば、その論理決定を行うプログラムの開発時やシステムへのインストール時の作業者の作業の誤り低減させることができるので、システムの信頼性を向上させることができる。
【0017】
【発明の実施の形態】
以下に、この発明の実施の形態を実施例によって、図面に基づき詳細に説明する。ここに、図1は、この発明の冗長系情報処理システムの一実施例を示す構成図であり、図中符号1A〜1Cは互いに同一の構成を具える処理装置、2は送信可否決定部としてのプロセッサ部、3は論理演算部としてのインタフェース部、4は上記処理装置1A〜1Cに共通の信号出力手段としてのセンサ、5は上記処理装置1A〜1Cに共通の制御対象としてのアクチュエータ、6は上記処理装置1A〜1Cを相互に繋ぐネットワークをそれぞれ示し、この実施例の冗長系情報処理システムは、例えばロケットの姿勢制御系等に用いることができる。
【0018】
ここにおける処理装置1A〜1Cは具体的には各々、プロセッサ部2とインタフェース部3とを具えており、ここで、プロセッサ部2は、演算処理を行う通常の中央処理ユニット(CPU)2aと、プログラムや演算結果等の情報を記憶してCPUに所定のプログラムに基づく演算処理を実行させるメモリ(MEM)2bと、それらCPU2aおよびメモリ2bにクロック信号を供給するクロック回路(CLK)2cと、CPU2aやメモリ2bとネットワーク6との間の情報のやりとりを制御するネットワークコントローラ(NC)2dとを有している。なお、この実施例のシステムにおける三つの処理装置1A〜1Cのプロセッサ部2のクロック回路2cは、互いに独立して作動するものである。
【0019】
またここで、インタフェース部3は、センサ4に接続されてセンサ4からの出力信号を入力するインタフェース回路(I/O)3aと、アクチュエータ5に接続されてアクチュエータ5に制御情報としての後述するコマンド信号を出力するインタフェース回路(I/O)3bとを有している。
【0020】
図2は、上記各処理装置1A〜1Cが具えるインタフェース回路3bの回路構成を示す構成図であり、ここにおけるインタフェース回路3bは、論理演算素子であるAND素子3c、NAND素子3dおよびゲート素子3eを組み合わせてコマンド信号の出力を制御する論理回路と、そのインタフェース回路3bを具える処理装置のプロセッサ部2が出力する制御阻止信号としての後述する阻止信号S1,S2を他の二つの処理装置のインタフェース回路3bへそれぞれそのまま出力する信号回路3fとを有している。
【0021】
上記の論理回路において、NAND素子3dは、他の二つの処理装置のインタフェース回路3bから阻止信号S1,S2としての「1」信号を同時に入力すると「0」信号を出力し、阻止信号S1,S2としての「1」信号を少なくとも一方の処理装置から入力していない場合は「1」信号を出力する。また、AND素子3cは、当該処理装置のプロセッサ部2から制御情報送信信号として後述するコマンド送信信号としての「1」信号を入力すると同時にNAND素子3dから「1」信号を入力すると「1」信号を出力し、コマンド送信信号としての「1」信号とNAND素子3dからの「1」信号との少なくとも一方を入力していない場合は「0」信号を出力する。そしてゲート素子3eは、上記AND素子3cから「1」信号を入力している場合は、当該処理装置のプロセッサ部2から上記コマンド信号を入力するとそのコマンド信号をアクチュエータ5へ出力するとともに、そのコマンド信号を後述するコマンド検証アルゴリズムのためのコマンド検証信号として当該処理装置のプロセッサ部2へも出力するが、上記AND素子3cから「1」信号を入力していない場合は、当該処理装置のプロセッサ部2から上記コマンド信号を入力してもそのコマンド信号をアクチュエータ5へ出力せずそこで阻止する。
【0022】
図3は、上記三つの処理装置1A〜1Cのプロセッサ部2相互間、インタフェース回路3b相互間、そして各処理装置1A〜1Cのプロセッサ部2とインタフェース回路3b相互間の接続状態を示す構成図であり、この実施例では図示のように接続することで各処理装置1A〜1Cのプロセッサ部2の信号回路3fが、阻止信号S1,S2を他の二つの処理装置のインタフェース回路3bへそれぞれ出力している。
【0023】
この実施例の情報処理システムにあっては、共通の信号出力手段としてのセンサ4から三つの処理装置1A〜1Cに同一の信号が出力されると、それら三つの処理装置1A〜1Cの三つのプロセッサ部2のCPU2aが並列的にそれぞれ、そのプロセッサ部2のメモリ2b内にあらかじめ与えられたプログラムに従い、先ず上記センサ4からの信号に基づいて所定の演算処理を行って、共通の制御対象としてのアクチュエータ5の作動を制御するためのコマンド信号を生成し、次いでそれら三つの処理装置1A〜1Cのうちの他の処理装置が行った情報処理の結果をネットワーク6を介して入力して、以下に示す多数決の処理を行う。
【0024】
上記入力する情報処理結果としては、生成したコマンド信号の所定の部分(例えば最初の数ビット等)を用いているが、そのコマンド信号の他、アクチュエータの移動量やコマンド信号の生成途中での演算結果等の全体や所定の部分を用いることができる。また、この実施例では、あらかじめ三つの処理装置1A〜1Cの優先順位を、処理装置1Aが最も優先度が高く、次いで処理装置1Bが優先度が高く、処理装置1Cが最も優先度が低いものとして設定するとともに、処理装置1A〜1C相互間で情報処理結果が全く一致しなかった場合は優先度の最も高い処理装置1Aのコマンド信号を出力するものとして設定してある。
【0025】
図4は、処理装置1Aのプロセッサ部2のCPU2aがそのプロセッサ部2のメモリ2b内のプログラムに基づいて行う論理決定の一例としての、多数決のアルゴリズム(演算手順)を示すフローチャートであり、ここでは、阻止信号S1は処理装置1Cのインタフェース回路3bへ出力されてその処理装置1Cを制御し、阻止信号S2は処理装置1Bのインタフェース回路3bへ出力されてその処理装置1Bを制御する。
【0026】
図4中のステップ11では、処理装置1AのCPU2a自身の情報処理結果と他の処理装置の一方の処理装置1Bの情報処理結果とを比較して一致しているか否かを判断して、一致している場合はステップ12へ、一致していない場合はステップ15へ進み、ステップ12では、次に処理装置1AのCPU2a自身の情報処理結果と他の処理装置の他方の処理装置1Cの情報処理結果とを比較して一致しているか否かを判断し、一致している場合はステップ13へ、一致していない場合(処理装置1Cが故障で、結果が入力されない場合も含まれる。以下の一致しない場合についても処理装置の一方が故障で結果が入力されない場合も含まれる。)はステップ14へ進む。そしてステップ13では、先のステップ11,12の判断で三つの処理装置1A〜1Cの情報処理結果が全て一致していたので、優先度の最も高い当該処理装置1Aがコマンド信号を出力することになるようにコマンド送信信号を「1」信号にセットするとともに、他の処理装置1B,1Cも正しかったことになるので阻止信号S1,S2を「0」信号(阻止信号なし)にセットする。
【0027】
一方、ステップ14では、先のステップ11,12の判断で処理装置1A,1Bの情報処理結果は一致していたが処理装置1A,1Cの情報処理結果は一致していなかったので、論理決定、例えば多数決で処理装置1A,1Bの情報処理結果を正しいものとすることとし、その場合に優先度の最も高い当該処理装置1Aがコマンド信号を出力することになるように、コマンド送信信号を「1」信号にセットするとともに、処理装置1Cは誤っていたことになるので処理装置1Cに対応する阻止信号S1を「1」信号(阻止信号あり)にセットし、処理装置1Bは正しかったことになるので処理装置1Bに対応する阻止信号S2を「0」信号にセットする。
【0028】
またステップ15では、ステップ12と同様、処理装置1AのCPU2a自身の情報処理結果と他の処理装置の他方の処理装置1Cの情報処理結果とを比較して一致しているか否かを判断し、一致している場合はステップ16へ、一致していない場合はステップ17へ進む。そしてステップ16では、先のステップ11,15の判断で処理装置1A,1Cの情報処理結果は一致していたが処理装置1A,1Bの情報処理結果は一致していなかったので、論理決定、例えば多数決で処理装置1A,1Cの情報処理結果を正しいものとすることとし、その場合に優先度の最も高い当該処理装置1Aがコマンド信号を出力することになるように、コマンド送信信号を「1」信号にセットするとともに、処理装置1Cは正しかったことになるので処理装置1Cに対応する阻止信号S1を「0」信号にセットし、処理装置1Bは誤っていたことになるので処理装置1Bに対応する阻止信号S2を「1」信号にセットする。
【0029】
一方、ステップ17では、さらに、他の二つの処理装置1B,1Cの情報処理結果を比較して一致しているか否かを判断し、一致している場合はステップ18へ、一致していない場合はステップ20へ進む。そしてステップ18では、先のステップ11,15,17の判断で処理装置1B,1Cの情報処理結果は一致していたが処理装置1A,1Bの情報処理結果も処理装置1A,1Cの情報処理結果も一致していなかったので、論理決定、例えば多数決で他の処理装置1B,1Cの情報処理結果を正しいものとすることとし、その場合に優先度の最も高い処理装置1Bがコマンド信号を出力し得るように、コマンド送信信号を「0」信号にセットするとともに、処理装置1B,1Cは正しかったことになるので阻止信号S1,S2を「0」信号にセットする。しかる後、次のステップ19では、当該処理装置1Aのプロセッサ部2のメモリ2b内の情報処理結果のデータを、他の処理装置1B,1Cからの情報処理結果のデータに置き換える。
【0030】
また、ステップ20では、先のステップ11,15,17の判断で処理装置1A〜1Cの情報処理結果が全て一致していなかったので、論理決定、例えば多数決で決めることができないことから、先に述べたこの実施例についての規則で、三つの処理装置のうち優先度が最も高い当該処理装置1Aがコマンド信号を出力することになるようにコマンド送信信号を「1」信号にセットするとともに、処理装置1B,1Cは何れも誤っていたことになるので阻止信号S1,S2を「1」信号にセットする。
【0031】
図5は、処理装置1Bのプロセッサ部2のCPU2aがそのプロセッサ部2のメモリ2b内のプログラムに基づいて行う論理決定の一例としての、多数決のアルゴリズム(演算手順)を示すフローチャートであり、ここでは、阻止信号S1は処理装置1Aのインタフェース回路3bへ出力されてその処理装置1Aを制御し、阻止信号S2は処理装置1Cのインタフェース回路3bへ出力されてその処理装置1Cを制御する。
【0032】
図5中のステップ21では、処理装置1BのCPU2a自身の情報処理結果と他の処理装置の一方の処理装置1Aの情報処理結果とを比較して一致しているか否かを判断して、一致している場合はステップ22へ、一致していない場合はステップ25へ進み、ステップ22では、次に処理装置1BのCPU2a自身の情報処理結果と他の処理装置の他方の処理装置1Cの情報処理結果とを比較して一致しているか否かを判断し、一致している場合はステップ23へ、一致していない場合はステップ24へ進む。そしてステップ23では、先のステップ21,22の判断で三つの処理装置1A〜1Cの情報処理結果が全て一致していたので、優先度が最も高い他の処理装置1Aがコマンド信号を出力し得るように、コマンド送信信号を「0」信号にセットするとともに、他の処理装置1A,1Cも正しかったことになるので阻止信号S1,S2を「0」信号(阻止信号なし)にセットする。
【0033】
一方ステップ24では、先のステップ21,22の判断で処理装置1A,1Bの情報処理結果は一致していたが処理装置1B,1Cの情報処理結果は一致していなかったので、論理決定、例えば多数決で処理装置1A,1Bの情報処理結果を正しいものとすることとし、その場合に優先度の最も高い他の処理装置1Aがコマンド信号を出力し得るように、コマンド送信信号を「0」信号にセットするとともに、処理装置1Cは誤っていたことになるので処理装置1Cに対応する阻止信号S2を「1」信号(阻止信号あり)にセットし、処理装置1Aは正しかったことになるので処理装置1Aに対応する阻止信号S1を「0」信号にセットする。
【0034】
またステップ25では、ステップ22と同様、処理装置1BのCPU2a自身の情報処理結果と他の処理装置の他方の処理装置1Cの情報処理結果とを比較して一致しているか否かを判断し、一致している場合はステップ26へ、一致していない場合はステップ27へ進む。そしてステップ26では、先のステップ21,25の判断で処理装置1B,1Cの情報処理結果は一致していたが処理装置1A,1Bの情報処理結果は一致していなかったので、論理決定、例えば多数決で処理装置1B,1Cの情報処理結果を正しいものとすることとし、その場合に優先度の最も高い当該処理装置1Bがコマンド信号を出力することになるように、コマンド送信信号を「1」信号にセットするとともに、処理装置1Aは誤っていたことになるので処理装置1Aに対応する阻止信号S1を「1」信号にセットし、処理装置1Cは正しかったことになるので処理装置1Cに対応する阻止信号S2を「0」信号にセットする。
【0035】
一方、ステップ27では、さらに、他の二つの処理装置1A,1Cの情報処理結果を比較して一致しているか否かを判断し、一致している場合はステップ28へ、一致していない場合はステップ30へ進む。そしてステップ28では、先のステップ21,25,27の判断で処理装置1A,1Cの情報処理結果は一致していたが処理装置1A,1Bの情報処理結果も処理装置1B,1Cの情報処理結果も一致していなかったので、論理決定、例えば多数決で他の処理装置1A,1Cの情報処理結果を正しいものとすることとし、その場合に優先度の最も高い処理装置1Aがコマンド信号を出力し得ることになるようにコマンド送信信号を「0」信号にセットするとともに、処理装置1A,1Cは正しかったことになるので阻止信号S1,S2を「0」信号にセットする。しかる後、次のステップ29では、当該処理装置1Bのプロセッサ部2のメモリ2b内の情報処理結果のデータを、他の処理装置1A,1Cからの情報処理結果のデータに置き換える。
【0036】
また、ステップ30では、先のステップ21,25,27の判断で処理装置1A〜1Cの情報処理結果が全て一致していなかったので、論理決定、例えば多数決で決めることができないことから、先に述べたこの実施例についての規則で、三つの処理装置のうち優先度が最も高い他の処理装置1Aがコマンド信号を出力し得るようにコマンド送信信号を「0」信号にセットするとともに処理装置1Aに対応する阻止信号S1を「0」信号にセットし、処理装置1Cは誤っていたことになるので処理装置1Cに対応する阻止信号S2を「1」信号にセットする。
【0037】
図6は、処理装置1Cのプロセッサ部2のCPU2aがそのプロセッサ部2のメモリ2b内のプログラムに基づいて行う論理決定の一例としての、多数決のアルゴリズム(演算手順)を示すフローチャートであり、ここでは、阻止信号S1は処理装置1Bのインタフェース回路3bへ出力されてその処理装置1Bを制御し、阻止信号S2は処理装置1Aのインタフェース回路3bへ出力されてその処理装置1Aを制御する。
【0038】
図6中のステップ31では、処理装置1CのCPU2a自身の情報処理結果と他の処理装置の一方の処理装置1Aの情報処理結果とを比較して一致しているか否かを判断して、一致している場合はステップ32へ、一致していない場合はステップ35へ進み、ステップ32では、次に処理装置1CのCPU2a自身の情報処理結果と他の処理装置の他方の処理装置1Bの情報処理結果とを比較して一致しているか否かを判断し、一致している場合はステップ33へ、一致していない場合はステップ34へ進む。そしてステップ33では、先のステップ31,32の判断で三つの処理装置1A〜1Cの情報処理結果が全て一致していたので、優先度の最も高い他の処理装置1Aがコマンド信号を出力し得るようにコマンド送信信号を「」信号にセットするとともに、他の処理装置1A,1Bも正しかったことになるので阻止信号S1,S2を「0」信号(阻止信号なし)にセットする。
【0039】
一方ステップ34では、先のステップ31,32の判断で処理装置1A,1Cの情報処理結果は一致していたが処理装置1B,1Cの情報処理結果は一致していなかったので、論理決定、例えば多数決で処理装置1A,1Cの情報処理結果を正しいものとすることとし、その場合に優先度が最も高い他の処理装置1Aがコマンド信号を出力し得るように、コマンド送信信号を「0」信号にセットするとともに、処理装置1Bは誤っていたことになるので処理装置1Bに対応する阻止信号S1を「1」信号(阻止信号あり)にセットし、処理装置1Aは正しかったことになるので処理装置1Aに対応する阻止信号S2を「0」信号にセットする。
【0040】
またステップ35では、ステップ32と同様、処理装置1CのCPU2a自身の情報処理結果と他の処理装置の他方の処理装置1Bの情報処理結果とを比較して一致しているか否かを判断し、一致している場合はステップ36へ、一致していない場合はステップ37へ進む。そしてステップ36では、先のステップ31,35の判断で処理装置1B,1Cの情報処理結果は一致していたが処理装置1A,1Cの情報処理結果は一致していなかったので、論理決定、例えば多数決で処理装置1B,1Cの情報処理結果を正しいものとすることとし、その場合に優先度の最も高い他の処理装置1Bがコマンド信号を出力し得るようにコマンド送信信号を「0」信号にセットするとともに、処理装置1Bは正しかったことになるので処理装置1Bに対応する阻止信号S1を「0」信号にセットし、処理装置1Aは誤っていたことになるので処理装置1Aに対応する阻止信号S2を「1」信号にセットする。
【0041】
一方、ステップ37では、さらに、他の二つの処理装置1A,1Bの情報処理結果を比較して一致しているか否かを判断し、一致している場合はステップ38へ、一致していない場合はステップ40へ進む。そしてステップ38では、先のステップ31,35,37の判断で処理装置1A,1Bの情報処理結果は一致していたが処理装置1A,1Cの情報処理結果も処理装置1B,1Cの情報処理結果も一致していなかったので、論理決定、例えば多数決で他の処理装置1A,1Bの情報処理結果を正しいものとすることとし、その場合に優先度の最も高い処理装置1Aがコマンド信号を出力し得るようにコマンド送信信号を「0」信号にセットするとともに、処理装置1A,1Bは正しかったことになるので、阻止信号S1,S2を「0」信号にセットする。しかる後、次のステップ39では、当該処理装置1Cのプロセッサ部2のメモリ2b内の情報処理結果のデータを、他の処理装置1A,1Bからの情報処理結果のデータに置き換える。
【0042】
また、ステップ40では、先のステップ31,35,37の判断で処理装置1A〜1Cの情報処理結果が全て一致していなかったので、論理決定、例えば多数決で決めることができないことから、先に述べたこの実施例についての規則で、三つの処理装置のうち優先度が最も高い他の処理装置1Aがコマンド信号を出力し得るようにコマンド送信信号を「0」信号にセットするとともに処理装置1Aに対応する阻止信号S2を「0」信号にセットし、処理装置1Bは誤っていたことになるので処理装置1Bに対応する阻止信号S1を「1」信号にセットする。
【0043】
かくして上記実施例では、各処理装置1A〜1Cのプロセッサ部2が並列処理を行って、論理決定、例えば多数決および優先順位に基づき、自分自身が正しくかつコマンド送信信号を出せると判断した場合には当該処理装置のインタフェース回路3bにコマンド送信信号として「1」信号を出力し、また他の処理装置の情報処理結果が正しくないと判断した場合は論理決定、例えば多数決できなかった場合を除きその処理装置のインタフェース回路3bに阻止信号を出すので、その結果として、以下の〔表1〕に示すように、処理装置1A〜1Cが一致した場合と、処理装置1A,1Bのみが一致した場合と、処理装置1A,1Cのみが一致した場合には処理装置1Aがそのインタフェース回路3bを介してコマンド信号をアクチュエータ5へ出力し、処理装置1B,1Cのみが一致した場合には処理装置1Bがそのインタフェース回路3bを介してコマンド信号をアクチュエータ5へ出力し、全ての処理装置1A〜1Cが一致しなかった場合は運用要求、すなわちここでは優先度の最も高い処理装置がコマンド信号を出力するという要求により、処理装置1Aがコマンド信号をアクチュエータ5へ出力する。なお、全ての処理装置1A〜1Cが一致しなかった場合には何れの処理装置にもコマンド出力を行わせず当該システムの使用者にエラー警告信号を送るようにするという運用要求をすることもできる。
【0044】
【表1】
Figure 0004477739
ここで、白丸印(○)は、情報処理結果が一致した処理装置を示している。
【0045】
この実施例の情報処理システムではさらに、以下のコマンド検証アルゴリズムを実行する。この演算処理は、プロセッサ部2が正常で正しい情報処理が行われていてもインタフェース回路3に異常があってコマンド信号が正しく出力されない場合に対処するものであり、図7〜図9は、上記各処理装置1A〜1Cのプロセッサ部2がそれぞれ実行するコマンド検証アルゴリズムを示すフローチャートである。
【0046】
図7中ステップ41に示すように、優先度が最も高い処理装置1Aのプロセッサ部2は何も行わない。その一方、次に優先度が高い処理装置1Bのプロセッサ部2は、図8に示すように、ステップ42で、アクチュエータ5に何れかのインタフェース回路3から正しいコマンド信号が送られたか否かを、アクチュエータ5に繋がる回路からコマンド検証信号として戻されたコマンド信号の例えば最初の部分等から判断して、正しいコマンド信号が送られた場合にはステップ43に進み、何もしないが、正しいコマンド信号が送られなかった場合には、さらにステップ44で、処理装置1Aがアクチュエータ5にアクチュエーションコマンド信号を送るべきであったか否かを判断し、処理装置1A以外がコマンド信号を送るべきであった場合にはステップ43へ進むが、処理装置1Aがコマンド信号を送るべきであった場合にはステップ45で、当該処理装置1Bがコマンド信号を送るように、コマンド送信信号を「1」信号にセットするとともに、処理装置1Aに対する阻止信号S1を「1」信号にセットし、処理装置1Cに対する阻止信号S2の状態はそのまま維持する。
【0047】
さらに、最も優先度が低い処理装置1Cのプロセッサ部2は、図9に示すように、ステップ46で、アクチュエータ5に何れかのインタフェース回路3から正しいコマンド信号が送られたか否かを、アクチュエータ5に繋がる回路からコマンド検証信号として戻されたコマンド信号の例えば最初の部分等から判断して、正しいコマンド信号が送られた場合にはステップ47に進み、何もしないが、正しいコマンド信号が送られなかった場合には、次にステップ48で、処理装置1Aがアクチュエータ5にアクチュエーションコマンド信号を送るべきであったか否かを判断し、処理装置1Aがコマンド信号を送るべきであった場合にはさらにステップ49で、処理装置1Bが正常でないか否かを判断する。
【0048】
そしてステップ49で、処理装置1Bが正常であると判断した場合はステップ47へ進んでなにもしないが、処理装置1Bが正常でないと判断した場合はステップ50へ進む。また上記ステップ48で、処理装置1A以外すなわち処理装置1Bがコマンド信号を送るべきであった場合にもステップ50へ進む。ステップ50では、当該処理装置1Cがコマンド信号を送るように、コマンド送信信号を「1」信号にセットするとともに、処理装置1Bに対する阻止信号S1を「1」信号にセットし、処理装置1Aに対する阻止信号S2の状態はそのまま維持する。
【0049】
かかるコマンド検証アルゴリズムによれば、例えば、プロセッサ部2が正常な処理装置1A,1Bのうちコマンド信号を出力すべき処理装置1Aのインタフェース回路3に異常があってコマンド信号が全く出力されなかったり正しくないコマンド信号が出力されたりした場合でも、直ちに処理装置1Bが処理装置1Aののコマンド信号出力を阻止するとともに正しいコマンド信号を送ってアクチュエータ5の作動を適正に制御することができ、また例えば、処理装置1Aのインタフェース回路3に異常があって処理装置1Aがコマンド信号を出力できず、処理装置1Bもインタフェース回路3に異常があってコマンド信号を全く出力できなかったり正しくないコマンド信号を出力したりした場合でも、直ちに処理装置1Cが処理装置1Bのコマンド信号出力を阻止するとともに正しいコマンド信号を送ってアクチュエータ5の作動を適正に制御することができる。
【0050】
従ってこの実施例の情報処理システムによれば、当該システムを構成する三つの処理装置1A〜1Cの過半数を超えない幾つかでの情報処理結果に異常があっても、それらのうちの何れか二つ以上の処理装置が生成したコマンド信号を論理決定、例えば多数決で有効とすることから、正常に生成されたコマンド信号を選択することができる可能性が高いので、信頼性の高いコマンド信号を得ることができる。
【0051】
しかもこの実施例の情報処理システムによれば、コマンド信号を有効とする二つ以上の処理装置すなわち正常に作動している可能性が高い処理装置のうちで優先度が最先の単一の処理装置のみからコマンド信号を制御対象へ出力することができるので、複数のコマンド信号の重なり合いやぶつかり合いによりアクチュエータ5の制御が困難になるのを防止することができる。
【0052】
そしてこの発明の情報処理システムによれば、センサ4からの信号に基づきコマンド信号を生成する情報処理も、コマンド信号を有効とする論理決定、例えば多数決処理も、その論理決定で有効とした複数の処理装置からのコマンド信号の選択処理も、何れも三つの処理装置1A〜1Cで行うことから、システム内に多数決論理回路やその制御回路のような単一故障点となる部分を持たなくて済むので、充分な信頼性を持つ冗長系処理システムを安価に構成することができる。
【0053】
さらにこの実施例の情報処理システムによれば、処理装置の数を減らさない限りその数の如何にかかわりなく上記各処理を行うことができることから、高い拡張性を有するので、信頼度の要求に応じて処理装置の数を増加させることで、容易にその要求に対応することができる。
【0054】
さらにこの実施例の情報処理システムによれば、インタフェース回路3が、論理演算素子からなり、フィードバックループを持たない組み合わせ回路で構成されていて記憶素子を持たないことから、宇宙空間でロケットや人工衛星の姿勢制御に使用した場合等に宇宙放射線等の影響で記憶素子が反転するシングルイベントアップセット(SEU)の可能性をインタフェース回路3についてはなくすことができるので、プロセッサ部2が論理決定、例えば多数決で決定した結果がSEUに起因する論理演算部の誤作動で無意味になるという事態を有効に防止することができる。
【0055】
さらにこの実施例の情報処理システムによれば、処理装置1A〜1Cが、コマンド信号の生成過程で過去のコマンド信号を用いていて、それらの処理装置1A〜1Cのうちコマンド信号を有効とする処理装置以外の他の処理装置が、先のステップ19,29,39で、その生成したコマンド信号を放棄して、コマンド信号を有効とする処理装置のコマンド信号に置き換えているので、放射線等による記憶素子の反転エラー等の一過性のエラーの影響がその後も続くのを防止し得て、システムの信頼性を向上させることができる。
【0056】
そしてこの実施例の情報処理システムによれば、図4〜図6に示すように、符号や数値は異なるもののも、三つの処理装置1A〜1Cのプロセッサ部2が行う論理決定、例えば多数決の処理手順自体は共通であることから、その論理決定を行うプログラムの開発時やシステムへのインストール時の作業者の作業の誤り低減させることができるので、システムの信頼性を向上させることができる。
【0057】
以上、図示例に基づき説明したが、この発明は上述の例に限定されるものでなく、例えば、処理装置の数は論理決定、例えば多数決のできる(すなわち同じ情報処理結果となった処理装置の数が最も多い情報処理結果を選択できる)三つ以上であれば、所要に応じて適宜選択でき、例えば四つの場合には、二つの処理装置の情報処理結果が一致したらそれらの処理装置を正しいとし、二つづつの処理装置で情報処理結果が分かれたら制御情報を出力する処理装置を優先度に基づいて決定するようにしても良い。また信号出力手段は上記センサ4に限られず、制御対象も上記アクチュエータ5に限定されるものではない。
【図面の簡単な説明】
【図1】 この発明の冗長系情報処理システムの一実施例の構成を示す構成図である。
【図2】 上記実施例の冗長系情報処理システムにおける各処理装置のインタフェース回路の回路構成を示す構成図である。
【図3】 上記実施例の冗長系情報処理システムにおける三つの処理装置のプロセッサ部相互間、インタフェース回路相互間、そして各処理装置のプロセッサ部とインタフェース回路相互間の接続状態を示す構成図である。
【図4】 上記実施例の冗長系情報処理システムにおける処理装置1Aのプロセッサ部のCPUがそのプロセッサ部のメモリ内のプログラムに基づいて行う論理決定の一例としての多数決のアルゴリズムを示すフローチャートである。
【図5】 上記実施例の冗長系情報処理システムにおける処理装置1Bのプロセッサ部のCPUがそのプロセッサ部のメモリ内のプログラムに基づいて行う論理決定の一例としての多数決のアルゴリズムを示すフローチャートである。
【図6】 上記実施例の冗長系情報処理システムにおける処理装置1Cのプロセッサ部のCPUがそのプロセッサ部のメモリ内のプログラムに基づいて行う論理決定の一例としての多数決のアルゴリズムを示すフローチャートである。
【図7】 上記実施例の冗長系情報処理システムにおける処理装置1Aのプロセッサ部が行うコマンド検証アルゴリズムを示すフローチャートである。
【図8】 上記実施例の冗長系情報処理システムにおける処理装置1Bのプロセッサ部が行うコマンド検証アルゴリズムを示すフローチャートである。
【図9】 上記実施例の冗長系情報処理システムにおける処理装置1Cのプロセッサ部が行うコマンド検証アルゴリズムを示すフローチャートである。
【符号の説明】
1A,1B,1C 処理装置
2 プロセッサ部
2a 中央処理ユニット(CPU)
2b メモリ(MEM)
2c クロック回路(CLK)
2d ネットワークコントローラ(NC)
3 インタフェース部
3a,3b インタフェース回路
3c AND素子
3d NAND素子
3e ゲート素子
3f 信号回路
4 センサ
5 アクチュエータ
6 ネットワーク

Claims (4)

  1. 三つ以上の処理装置(1A,1B,1C)により共通の信号出力手段(4)からの信号に基づきそれぞれ所定の情報処理を行って制御情報を生成し、それらの制御情報のうちから論理決定によって決定した制御情報によって共通の制御対象(5)の制御を行う冗長系情報処理システムにおいて、
    前記三つ以上の処理装置が各々、
    前記三つ以上の処理装置による前記制御情報の生成過程における情報処理結果を集めて、何れの処理装置が生成した制御情報を有効とするかを論理決定により決定し、前記三つ以上の処理装置のうちの当該処理装置を含む二つ以上の処理装置が生成した制御情報を有効とする場合は、あらかじめ定められた優先度に基づきそれら制御情報を有効とする処理装置のうちで当該処理装置の優先度が最先の場合には制御情報送信信号を出力する一方最先でない場合には制御情報送信信号を出力しないようにするとともに、制御情報を有効とする処理装置以外の他の処理装置にそれぞれ制御情報阻止信号を出力し、前記三つ以上の処理装置のうちの当該処理装置を除く他の処理装置が生成した制御情報を有効とする場合は、制御情報送信信号を出力しないようにするとともに、他の処理装置に制御情報阻止信号を出力しないようにする送信可否決定部(2)を具え
    前記三つ以上の処理装置が各々、
    前記三つ以上の処理装置のうちの当該処理装置を除く他の処理装置からの前記制御情報阻止信号を入力し、その制御情報阻止信号の入力数が前記論理決定で有効とする所定数未満でかつ当該処理装置の前記送信可否決定部が前記制御情報送信信号を出力している場合は、当該処理装置が生成した制御情報を前記制御対象に出力し、前記制御情報阻止信号の入力数が前記所定数以上の場合は、当該処理装置の前記送信可否決定部が前記制御情報送信信号を出力していても当該処理装置が生成した制御情報を前記制御対象に出力しない論理演算部(3)をさらに具えることを特徴とする、冗長系情報処理システム。
  2. 前記論理演算部は、論理演算素子からなり、フィードバックループを持っていない組み合わせ回路(3)で構成されていることを特徴とする、請求項1記載の冗長系情報処理システム。
  3. 前記処理装置が、前記制御情報の生成過程で過去の制御情報を用いるものである場合に、
    制御情報を有効とする処理装置以外の他の前記処理装置は、その生成した制御情報を、制御情報を有効とする処理装置の制御情報に書き換えて、その書き換えた制御情報を次回の制御情報の生成過程に用いることを特徴とする、請求項1または2記載の冗長系情報処理システム。
  4. 前記三つ以上の処理装置の前記送信可否決定部が行う論理決定の処理手順は共通であることを特徴とする、請求項1から3までの何れか記載の冗長系情報処理システム。
JP2000118083A 2000-04-19 2000-04-19 冗長系情報処理システム Expired - Fee Related JP4477739B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2000118083A JP4477739B2 (ja) 2000-04-19 2000-04-19 冗長系情報処理システム
US09/836,229 US6940811B2 (en) 2000-04-19 2001-04-18 Redundant information processing system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000118083A JP4477739B2 (ja) 2000-04-19 2000-04-19 冗長系情報処理システム

Publications (2)

Publication Number Publication Date
JP2001306348A JP2001306348A (ja) 2001-11-02
JP4477739B2 true JP4477739B2 (ja) 2010-06-09

Family

ID=18629287

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000118083A Expired - Fee Related JP4477739B2 (ja) 2000-04-19 2000-04-19 冗長系情報処理システム

Country Status (2)

Country Link
US (1) US6940811B2 (ja)
JP (1) JP4477739B2 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6796213B1 (en) * 2003-05-23 2004-09-28 Raytheon Company Method for providing integrity bounding of weapons
US6896220B2 (en) * 2003-05-23 2005-05-24 Raytheon Company Munition with integrity gated go/no-go decision
US7729816B1 (en) * 2006-01-23 2010-06-01 Itt Manufacturing Enterprises, Inc. System and method for correcting attitude estimation
JP2013164763A (ja) * 2012-02-13 2013-08-22 Mitsubishi Electric Corp 二重化システム系切替制御装置
JP5942625B2 (ja) * 2012-06-15 2016-06-29 株式会社デンソー 電子制御装置
US9883641B2 (en) 2014-05-07 2018-02-06 Vivint, Inc. Sprinkler control systems and methods
DE102015218898A1 (de) * 2015-09-30 2017-03-30 Robert Bosch Gmbh Verfahren zur redundanten Verarbeitung von Daten

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09134208A (ja) 1995-11-07 1997-05-20 Hitachi Ltd 情報処理システムおよびコントローラならびにアクチュエータ制御装置
EP1157324A4 (en) * 1998-12-18 2009-06-17 Triconex Corp PROCESS AND DEVICE FOR PROCESSING CONTROL USING A MULTIPLE REDUNDANT PROCESS CONTROL SYSTEM

Also Published As

Publication number Publication date
JP2001306348A (ja) 2001-11-02
US6940811B2 (en) 2005-09-06
US20020027878A1 (en) 2002-03-07

Similar Documents

Publication Publication Date Title
JP2008503002A (ja) 単一フォールトトレランスのための冗長処理アーキテクチャ
US7017861B1 (en) Control system for actuators in an aircraft
US8527681B2 (en) Data processing system, data processing method, and apparatus
JP5014899B2 (ja) 再構成可能デバイス
EP0263055B1 (en) Autoequalization in redundant channels
RU2284929C2 (ru) Способ управления компонентом важной для обеспечения безопасности распределенной системы
JP2002358106A (ja) 安全コントローラ
EP2787401B1 (en) Method and apparatus for controlling a physical unit in an automation system
JP4477739B2 (ja) 冗長系情報処理システム
JP2009505185A (ja) 少なくとも2つの実行ユニットを有するコンピュータシステムにおいてデータを比較する方法およびデバイス
EP1327920A1 (en) Method for synchronizing data utilized in redundant, closed loop control systems
JP4731364B2 (ja) 多重化制御システム及びその多重化方法
JP6710142B2 (ja) 制御システム
US20240281319A1 (en) Method for operating a safety-critical computer system
JP5227653B2 (ja) 多重化計算機システム、及びその処理方法
JP2007323190A (ja) データ通信を行う計算制御システム及びその通信方法
JP5077741B2 (ja) 二重化冗長系システムとそのデータ共有方法
JP3879436B2 (ja) 分散処理システム及び分散処理方法並びに分散処理制御プログラム
US11379297B2 (en) System and method to provide safety partition for automotive system-on-a-chip
JP4613019B2 (ja) コンピュータシステム
JPS61213932A (ja) 分散形2重系計算機システムおよびその制御方法
JPS6091415A (ja) デイジタル制御装置
JP6302775B2 (ja) 制御装置及びその制御方法
JPS5941066A (ja) 制御装置のデ−タ照合方法
JPS5832424B2 (ja) 二重系ハイアラ−キシステム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070412

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20091029

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091117

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100210

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100309

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100312

R150 Certificate of patent or registration of utility model

Ref document number: 4477739

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130319

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130319

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140319

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees