JPH07117671A - マイクロプロセッサ内蔵の鉄道等の安全装置 - Google Patents
マイクロプロセッサ内蔵の鉄道等の安全装置Info
- Publication number
- JPH07117671A JPH07117671A JP6083419A JP8341994A JPH07117671A JP H07117671 A JPH07117671 A JP H07117671A JP 6083419 A JP6083419 A JP 6083419A JP 8341994 A JP8341994 A JP 8341994A JP H07117671 A JPH07117671 A JP H07117671A
- Authority
- JP
- Japan
- Prior art keywords
- microprocessor
- microprocessors
- built
- output
- safety device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012545 processing Methods 0.000 claims abstract description 14
- 239000013256 coordination polymer Substances 0.000 claims abstract description 4
- 238000012546 transfer Methods 0.000 claims description 4
- 239000008186 active pharmaceutical agent Substances 0.000 claims description 3
- 238000007689 inspection Methods 0.000 claims description 2
- 238000001914 filtration Methods 0.000 claims 1
- 238000000034 method Methods 0.000 abstract description 10
- 238000004364 calculation method Methods 0.000 abstract description 3
- 230000009977 dual effect Effects 0.000 description 9
- 230000007246 mechanism Effects 0.000 description 7
- 238000004519 manufacturing process Methods 0.000 description 4
- 238000013461 design Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- HKLUUHOGFLPVLP-UHFFFAOYSA-N 3,5-dihydroxy-2-(2-hydroxyphenyl)-7-methoxychromen-4-one Chemical compound C=1C(OC)=CC(O)=C(C(C=2O)=O)C=1OC=2C1=CC=CC=C1O HKLUUHOGFLPVLP-UHFFFAOYSA-N 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 101000869583 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) Oligo(A)/oligo(T)-binding protein Proteins 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000005484 gravity Effects 0.000 description 1
- 238000010297 mechanical methods and process Methods 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L15/00—Indicators provided on the vehicle or train for signalling purposes
- B61L15/0063—Multiple on-board control systems, e.g. "2 out of 3"-systems
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60L—PROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
- B60L2200/00—Type of vehicles
- B60L2200/26—Rail vehicles
Landscapes
- Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Mechanical Engineering (AREA)
- Physics & Mathematics (AREA)
- Safety Devices In Control Systems (AREA)
- Hardware Redundancy (AREA)
- Train Traffic Observation, Control, And Security (AREA)
- Alarm Systems (AREA)
- Burglar Alarm Systems (AREA)
- Communication Control (AREA)
- Amplifiers (AREA)
- Storage Device Security (AREA)
- Traffic Control Systems (AREA)
- Vehicle Body Suspensions (AREA)
- Control Of Vehicles With Linear Motors And Vehicles That Are Magnetically Levitated (AREA)
Abstract
(57)【要約】
【目的】融通性に富み設計の自由度が大きく、かつ、安
全性を犠牲にすることなく製造コストの安い軌道による
交通機関の安全装置機構を実現すること。 【構成】並列に設けられた少なくとも二台のマイクロプ
ロセッサと、センサと、第3のマイクロプロセッサと、
ダイナミックコントローラとからなり、前記マイクロプ
ロセッサの各入力部に前記センサから符号化されたデー
タを受信させ、その出力データ個々は入力データと比較
されて、前記第3のマイクロプロセッサにより符号化さ
れたマイクロプロセッサの処理結果を比較しつつ前記ダ
イナミックコントローラを操作して出力データを自動列
車制御装置(ACT)等のアクチュエータに転送する。
全性を犠牲にすることなく製造コストの安い軌道による
交通機関の安全装置機構を実現すること。 【構成】並列に設けられた少なくとも二台のマイクロプ
ロセッサと、センサと、第3のマイクロプロセッサと、
ダイナミックコントローラとからなり、前記マイクロプ
ロセッサの各入力部に前記センサから符号化されたデー
タを受信させ、その出力データ個々は入力データと比較
されて、前記第3のマイクロプロセッサにより符号化さ
れたマイクロプロセッサの処理結果を比較しつつ前記ダ
イナミックコントローラを操作して出力データを自動列
車制御装置(ACT)等のアクチュエータに転送する。
Description
【0001】
【産業上の利用分野】この発明は、特に軌道を使った交
通機関、たとえば列車の安全装置に関する。詳しくは、
センサにより検知されたデータをマイクロプロセッサに
よって処理してアクチュエータたとえばATC(自動列
車制御装置)を監視・制御するようにした鉄道等の安全
装置に関する。
通機関、たとえば列車の安全装置に関する。詳しくは、
センサにより検知されたデータをマイクロプロセッサに
よって処理してアクチュエータたとえばATC(自動列
車制御装置)を監視・制御するようにした鉄道等の安全
装置に関する。
【0002】
【従来の技術】従来から、特に鉄道運輸機関に安全装置
が使用されていることはよく知られているが、それらは
複雑な安全規則、いわゆるフェイルセイフの規則に則っ
て設計されているため機械的機構や回路は複雑である。
が使用されていることはよく知られているが、それらは
複雑な安全規則、いわゆるフェイルセイフの規則に則っ
て設計されているため機械的機構や回路は複雑である。
【0003】従来の安全装置は機械的な方法、たとえ
ば、重力の法則の応用や、疲労理論によるものであっ
た。事故の発生が検知されるとシステムの機能は直ちに
抑制状態に置かれる。その結果、列車は減速または停止
される。
ば、重力の法則の応用や、疲労理論によるものであっ
た。事故の発生が検知されるとシステムの機能は直ちに
抑制状態に置かれる。その結果、列車は減速または停止
される。
【0004】マイクロプロセッサが発明され、これが安
全機構に応用されるようになった。プログラムされた安
全システムは、二つの原理に拠っている。第1は、情報
のコード化(encoding) による冗長性情報によってエラ
ーの自動検出を行う場合と、冗長性ハードウエア、すな
わち、複数のコンピュータを使ってハードまたはソフト
の構成素子(components)によって検知結果を比較する場
合とがある。
全機構に応用されるようになった。プログラムされた安
全システムは、二つの原理に拠っている。第1は、情報
のコード化(encoding) による冗長性情報によってエラ
ーの自動検出を行う場合と、冗長性ハードウエア、すな
わち、複数のコンピュータを使ってハードまたはソフト
の構成素子(components)によって検知結果を比較する場
合とがある。
【0005】情報のコード化では、マイクロプロセッサ
は1基だけしか使用しないが、機能部分とコード化部分
とからなる冗長性情報に基づいて作動するので、二つの
異なった情報に対し重複した(duplicated)アルゴリズム
によることができる。アルゴリズムの許可信号(signat
ure )は、フエイルセイフベイスによって構成された通
称「ダイナミックコントローラ」として知られる外部制
御装置に送られる。結果が符号と整合するときは、ダイ
ナミックコントローラがこれを確め(validated) 、それ
によりセフテイ出力が外部アクチュエータに発信され
る。もし、結果が符号と整合しないときは、出力はすべ
て無効とされ、抑制される。大事なことは、多くの場合
セフテイ出力は機能的には発効され、読まれて安全度が
制御値と比較されるということである。
は1基だけしか使用しないが、機能部分とコード化部分
とからなる冗長性情報に基づいて作動するので、二つの
異なった情報に対し重複した(duplicated)アルゴリズム
によることができる。アルゴリズムの許可信号(signat
ure )は、フエイルセイフベイスによって構成された通
称「ダイナミックコントローラ」として知られる外部制
御装置に送られる。結果が符号と整合するときは、ダイ
ナミックコントローラがこれを確め(validated) 、それ
によりセフテイ出力が外部アクチュエータに発信され
る。もし、結果が符号と整合しないときは、出力はすべ
て無効とされ、抑制される。大事なことは、多くの場合
セフテイ出力は機能的には発効され、読まれて安全度が
制御値と比較されるということである。
【0006】コード化の能力にもよるが、コード化プロ
セッサ技術ではエラーを検知しないことがあり得る。し
かし、欠点は、計算時間がかかること、複雑なプログラ
ムを要するため製造コストが上がるということである。
他方、この機構は、特別の技術上の手当てを要せず、市
販の産業用マイクロプロセッサを使うことができるとい
う大きな利点を有する。
セッサ技術ではエラーを検知しないことがあり得る。し
かし、欠点は、計算時間がかかること、複雑なプログラ
ムを要するため製造コストが上がるということである。
他方、この機構は、特別の技術上の手当てを要せず、市
販の産業用マイクロプロセッサを使うことができるとい
う大きな利点を有する。
【0007】ハードウエア冗長技術(hardware redunda
ncy technique)においては、安全性は、少なくとも二台
のマイクロプロセッサを並列に設置することにより可能
となる。比較・アクセス許可(authorization) は、相互
比較または精緻な安全技術を用いて設計したハードウエ
アにより外部的に行われる。アプリケーション・プログ
ラムは、二台のマイクロプロセッサを同一態様に、また
は、非対称に装備される。
ncy technique)においては、安全性は、少なくとも二台
のマイクロプロセッサを並列に設置することにより可能
となる。比較・アクセス許可(authorization) は、相互
比較または精緻な安全技術を用いて設計したハードウエ
アにより外部的に行われる。アプリケーション・プログ
ラムは、二台のマイクロプロセッサを同一態様に、また
は、非対称に装備される。
【0008】こうしたいわゆるデュアルプロセッサシス
テムのもとで高度な安全性を保とうとすれば、通常モー
ドのエラーを防止しなければならない。そのためには、
二つのデータ処理シーケンスとは独立した処理が必要と
なる。そのためには、別個のバスやすべてのハードユニ
ットについてもう一組同じものを備える必要がある。さ
らに、潜在的エラーを防止するため自己試験(self−te
st)や相互試験(cross−test) を行わなければならな
い。
テムのもとで高度な安全性を保とうとすれば、通常モー
ドのエラーを防止しなければならない。そのためには、
二つのデータ処理シーケンスとは独立した処理が必要と
なる。そのためには、別個のバスやすべてのハードユニ
ットについてもう一組同じものを備える必要がある。さ
らに、潜在的エラーを防止するため自己試験(self−te
st)や相互試験(cross−test) を行わなければならな
い。
【0009】
【発明が解決しようとしている課題】2台のマイクロプ
ロセッサを同期化することはデリケートな事項であり、
安全性の確保が、こうしたマイクロプロセッサに精通し
ていることが条件となる。他方、情報は符号化されてい
ない分コンピュータのオーバーロードはない。
ロセッサを同期化することはデリケートな事項であり、
安全性の確保が、こうしたマイクロプロセッサに精通し
ていることが条件となる。他方、情報は符号化されてい
ない分コンピュータのオーバーロードはない。
【0010】しかし、比較器がフェイルセーフベースで
設計されていると、安全装置としてのハードウエアは、
応用段階で大幅なコスト高を招く。
設計されていると、安全装置としてのハードウエアは、
応用段階で大幅なコスト高を招く。
【0011】
【課題を解決するための手段】この発明の目的は、マイ
クロプロセッサをベースにした鉄道等の安全装置であっ
て、特徴は、同じプログラムを扱う少なくとも二台のマ
イクロプロセッサが並列して設けられ、その入力部は、
センサから予め符号化されたデータを受信するとともに
出力データは入力データと比較するため読み取られてエ
ラーの有無が検知される。さらに第3の比較マイクロプ
ロセッサ(通称voter)が設けられる。第三のマイ
クロプロセッサは、2台のアプリケーション・マイクロ
プロセッサの符号化された識別的結果をプログラムに従
って相互比較し、ダイナミックコントローラを使って比
較の結果を出力データとしてアクチュエータ、たとえ
ば、ATCに伝達する。
クロプロセッサをベースにした鉄道等の安全装置であっ
て、特徴は、同じプログラムを扱う少なくとも二台のマ
イクロプロセッサが並列して設けられ、その入力部は、
センサから予め符号化されたデータを受信するとともに
出力データは入力データと比較するため読み取られてエ
ラーの有無が検知される。さらに第3の比較マイクロプ
ロセッサ(通称voter)が設けられる。第三のマイ
クロプロセッサは、2台のアプリケーション・マイクロ
プロセッサの符号化された識別的結果をプログラムに従
って相互比較し、ダイナミックコントローラを使って比
較の結果を出力データとしてアクチュエータ、たとえ
ば、ATCに伝達する。
【0012】本発明の構成では、入力データと出力デー
タだけが符号化され、アプリケーション自体はデュアル
プロセシングにより符号化の必要はない。従って、計算
時間は短くて済む。加えて、ハードウエアの数は少なく
て済むので製造コストはそれだけ安くなる。さらに、後
述するように、装置は、製作が容易であり、しかも設計
の自由度の大きいものとなる。
タだけが符号化され、アプリケーション自体はデュアル
プロセシングにより符号化の必要はない。従って、計算
時間は短くて済む。加えて、ハードウエアの数は少なく
て済むので製造コストはそれだけ安くなる。さらに、後
述するように、装置は、製作が容易であり、しかも設計
の自由度の大きいものとなる。
【0013】好ましくは、タイムラグを2台のアプリケ
ーション・マイクロプロセッサ間に入れて、固有の通常
モードエラー、たとえば、電磁気的ノイズを防止する。
さらに、好ましくは、一つの非専用(non−dedicated)
の共通バスにより2台のマイクロプロセッサ間で情報伝
達を行う。
ーション・マイクロプロセッサ間に入れて、固有の通常
モードエラー、たとえば、電磁気的ノイズを防止する。
さらに、好ましくは、一つの非専用(non−dedicated)
の共通バスにより2台のマイクロプロセッサ間で情報伝
達を行う。
【0014】こうしたことは、伝達する情報の安全保護
が符号化と日付記入(dating)とにより可能となる。
が符号化と日付記入(dating)とにより可能となる。
【0015】
【実施例】一般に、モニタ機構と制御機構として知られ
た安全システムは、センサとアクチュエータとを基本に
しており、アナログ入力をデジタルデータに変換し、こ
れをアルゴリズムを使って処理し、デジタル出力を発生
し、同出力はアナログ出力に変換されアクチュエータを
操作するようにしたものである。
た安全システムは、センサとアクチュエータとを基本に
しており、アナログ入力をデジタルデータに変換し、こ
れをアルゴリズムを使って処理し、デジタル出力を発生
し、同出力はアナログ出力に変換されアクチュエータを
操作するようにしたものである。
【0016】第1図の回路図において、P1 、P2 は並
列に置かれた二台のマイクロプロセッサである。一また
はそれ以上の入力センサCPは入力データDEをシステ
ムに供給する。しかるのち、このアナログ型の入力デー
タDEは記憶され、アナログ・デジタル変換器A/N1
で符号化される。マイクロプロセッサP1 、P2 は同じ
アプリケーションを扱う。アプリケーション自体はデュ
アルプロセスのお陰で符号化を要しない。他方、入力・
出力データはエンコーダを使って符号化される。各マイ
クロプロセッサは、タイムラグをもってアプリケーショ
ンに対処し、これにより、一般モードのエラー、たとえ
ば、電磁気によるノイズなどを防いでいる。
列に置かれた二台のマイクロプロセッサである。一また
はそれ以上の入力センサCPは入力データDEをシステ
ムに供給する。しかるのち、このアナログ型の入力デー
タDEは記憶され、アナログ・デジタル変換器A/N1
で符号化される。マイクロプロセッサP1 、P2 は同じ
アプリケーションを扱う。アプリケーション自体はデュ
アルプロセスのお陰で符号化を要しない。他方、入力・
出力データはエンコーダを使って符号化される。各マイ
クロプロセッサは、タイムラグをもってアプリケーショ
ンに対処し、これにより、一般モードのエラー、たとえ
ば、電磁気によるノイズなどを防いでいる。
【0017】マイクロプロセッサの処理結果R1 、R2
は、通称" ボータ(voter)" と言われる第三の比較プロ
セッサP3 に送られるが、その前にマイクロプロセッサ
により最終的に符号化される。
は、通称" ボータ(voter)" と言われる第三の比較プロ
セッサP3 に送られるが、その前にマイクロプロセッサ
により最終的に符号化される。
【0018】ボータP3 は、処理結果R1 、R2 をソフ
トを使って、符号化プロセス手段を適用して比較する。
入力は二台のマイクロプロセッサP1 、P2 により符号
化されているから、ボータP3 のアルゴリズムは処理結
果R1 、R2 の値を比較することによっている。もし比
較の結果が満足すべきものであれば、ボータは、正常運
転を表象した許可サイン(signature) Sをダイナミック
コントローラCDに送る。そこで、ダイナミックコント
ローラCDは、アプリケーション・プロセッサの機能出
力Si、SjをラインAGに伝達する(図中G)。この
場合、対象となる機能出力は、プロセッサP1 、P2 の
いずれか一方だけの出力である。さらに、比較結果の内
部分的に異常が検知されれば該当する異常出力は、ボー
タによりラインAIを介しインヒビット(inhibit)され
る(図中I)。
トを使って、符号化プロセス手段を適用して比較する。
入力は二台のマイクロプロセッサP1 、P2 により符号
化されているから、ボータP3 のアルゴリズムは処理結
果R1 、R2 の値を比較することによっている。もし比
較の結果が満足すべきものであれば、ボータは、正常運
転を表象した許可サイン(signature) Sをダイナミック
コントローラCDに送る。そこで、ダイナミックコント
ローラCDは、アプリケーション・プロセッサの機能出
力Si、SjをラインAGに伝達する(図中G)。この
場合、対象となる機能出力は、プロセッサP1 、P2 の
いずれか一方だけの出力である。さらに、比較結果の内
部分的に異常が検知されれば該当する異常出力は、ボー
タによりラインAIを介しインヒビット(inhibit)され
る(図中I)。
【0019】次いで、機能出力Si、Sjのデジタルデ
ータはアナログ出力データにデジタル・アナログ変換器
N/Aにより変換されて、たとえば、ACTのようなア
クチュエータを操作する。さらに、この出力データDS
は、第2のアナログ・デジタル変換器A/N2 で変換後
に読まれ、最初に計算済のデジタルデータと比較される
(RL)。このようにして安全性は監視される。
ータはアナログ出力データにデジタル・アナログ変換器
N/Aにより変換されて、たとえば、ACTのようなア
クチュエータを操作する。さらに、この出力データDS
は、第2のアナログ・デジタル変換器A/N2 で変換後
に読まれ、最初に計算済のデジタルデータと比較される
(RL)。このようにして安全性は監視される。
【0020】さらに詳しく第2図に基づいて説明する。
三台のプロセッサP1 、P2 、P3 (voter) は、共通の
非専用の標準型バスに接続される。同バスを介してすべ
ての情報はモジュール間で転送される。このバスは特別
に情報の安全性についての制約を有していない。同バス
を介しての情報の安全保護は、符号化と日付記入(datin
g)とによって果たされている。
三台のプロセッサP1 、P2 、P3 (voter) は、共通の
非専用の標準型バスに接続される。同バスを介してすべ
ての情報はモジュール間で転送される。このバスは特別
に情報の安全性についての制約を有していない。同バス
を介しての情報の安全保護は、符号化と日付記入(datin
g)とによって果たされている。
【0021】第2図は入出力カプラE/Sを示している
が、これを介して入力データDE・出力データDSが転
送される。現実的には、アプリケーション・プロセッサ
P1、P2 が、同じ入力を処理できるようにするため
に、入力自体が単一機構から得られることが重要であ
る。これら入力は符号化プロセスを経て符号化されてお
り、バスBに接続されたデュアル・アクセス・メモリM
DAでアプリケーション・プロセッサP1 、P2 に入力
可能となる。カプラ、バス、連続したリンクを含む転送
過程を通じて安全データは符号化により保護される。
が、これを介して入力データDE・出力データDSが転
送される。現実的には、アプリケーション・プロセッサ
P1、P2 が、同じ入力を処理できるようにするため
に、入力自体が単一機構から得られることが重要であ
る。これら入力は符号化プロセスを経て符号化されてお
り、バスBに接続されたデュアル・アクセス・メモリM
DAでアプリケーション・プロセッサP1 、P2 に入力
可能となる。カプラ、バス、連続したリンクを含む転送
過程を通じて安全データは符号化により保護される。
【0022】データが得られると、二つのアプリケーシ
ョン・プロセッサP1 、P2 が所定のタイムラグをもっ
て作動される。各プロセッサはデュアル・アクセス・メ
モリMDAから入力を読み、それを一つ一つ検証する。
検証が済んだ入力は、以後非符号化データで処理され
る。適用業務が終了すると、各プロセッサはその出力を
計算し、結果を準備する。なお、これら出力は符号化プ
ロセスにより符号化される。
ョン・プロセッサP1 、P2 が所定のタイムラグをもっ
て作動される。各プロセッサはデュアル・アクセス・メ
モリMDAから入力を読み、それを一つ一つ検証する。
検証が済んだ入力は、以後非符号化データで処理され
る。適用業務が終了すると、各プロセッサはその出力を
計算し、結果を準備する。なお、これら出力は符号化プ
ロセスにより符号化される。
【0023】実際の出力(physical outputting)は、プ
ロセッサP1 、P2 のいづれかにより入出力カプラE/
Sを介して行われる。他方、各プロセッサにより処理さ
れた処理結果R1 、R2 は、第3のプロセッサP3 によ
りデュアル・アクセス・メモリMDAにおいて符号化さ
れ日付記入されて処理される。さらに各プロセッサP1
、P2 はそれぞれ自己試験を行い、その結果は、統合
(integrated)されて結果R1 、R2 として第3のプロセ
ッサP3 に供給される。
ロセッサP1 、P2 のいづれかにより入出力カプラE/
Sを介して行われる。他方、各プロセッサにより処理さ
れた処理結果R1 、R2 は、第3のプロセッサP3 によ
りデュアル・アクセス・メモリMDAにおいて符号化さ
れ日付記入されて処理される。さらに各プロセッサP1
、P2 はそれぞれ自己試験を行い、その結果は、統合
(integrated)されて結果R1 、R2 として第3のプロセ
ッサP3 に供給される。
【0024】デュアル・プロセッサのアーキテクチャ
は、主としてマイクロプロセッサP1、P2 に共通のモ
ードがないことで確実性が保証される。比較は出力に基
づいて行われるので、モジュールP1 、P2 の設計の自
由度はそれだけ増す。すなわち、二枚の同じ基板に同一
のソフトを設けることから、ハードの異なった二つのユ
ニットに違った二つのソフトを設けることが可能とな
る。
は、主としてマイクロプロセッサP1、P2 に共通のモ
ードがないことで確実性が保証される。比較は出力に基
づいて行われるので、モジュールP1 、P2 の設計の自
由度はそれだけ増す。すなわち、二枚の同じ基板に同一
のソフトを設けることから、ハードの異なった二つのユ
ニットに違った二つのソフトを設けることが可能とな
る。
【0025】第3のマイクロコンピュータP3 はマイク
ロコンピュータP1 の処理結果R1とマイクロコンピュ
ータP2 の処理結果R2 を受信し、符号化プロセッサに
よる符号化されたデータに基づいて適宜の処理を施しな
がら二つづつ比較する。ソフトによる比較機能によって
連続して出力をチェックすることも、または、各出力を
ろ過することも可能である。第3のマイクロコンピュー
タを種々に設計することができるとともに、出力の一部
禁止も可能となる。これら出力が重複されたとき(dupli
cated)再構築が可能となる。さらに、第3のマイクロコ
ンピュータは、デュアル・プロセッサが正しく作動して
いるかを監視する。すなわち、タイムラグと自己検査の
結果とを監視する。
ロコンピュータP1 の処理結果R1とマイクロコンピュ
ータP2 の処理結果R2 を受信し、符号化プロセッサに
よる符号化されたデータに基づいて適宜の処理を施しな
がら二つづつ比較する。ソフトによる比較機能によって
連続して出力をチェックすることも、または、各出力を
ろ過することも可能である。第3のマイクロコンピュー
タを種々に設計することができるとともに、出力の一部
禁止も可能となる。これら出力が重複されたとき(dupli
cated)再構築が可能となる。さらに、第3のマイクロコ
ンピュータは、デュアル・プロセッサが正しく作動して
いるかを監視する。すなわち、タイムラグと自己検査の
結果とを監視する。
【0026】第3のマイクロプロセッサP3 の比較論理
回路は、デュアル・プロセッサの基板と同じプロセッサ
用電子基板に形成される。比較は、情報の符号化によっ
て行われる。比較操作は第3のマイクロプロセッサP3
によって行われ、整合しておれば許可信号(signature)
SをダイナミックコントローラCDに送ることで検証さ
れる。さらに、この信号Sは、時間とともに生成するリ
フレッシュ情報によってダイナミックに保たれる。ダイ
ナミックコントローラCDはフエイルセイフベースによ
って設計されており、これは許可信号が正しくリフレッ
シュされたかどうかの検証を行う一方で、許可信号自体
の検証をも行うものである。これにより第3のマイクロ
プロセッサの正常性が保証される。
回路は、デュアル・プロセッサの基板と同じプロセッサ
用電子基板に形成される。比較は、情報の符号化によっ
て行われる。比較操作は第3のマイクロプロセッサP3
によって行われ、整合しておれば許可信号(signature)
SをダイナミックコントローラCDに送ることで検証さ
れる。さらに、この信号Sは、時間とともに生成するリ
フレッシュ情報によってダイナミックに保たれる。ダイ
ナミックコントローラCDはフエイルセイフベースによ
って設計されており、これは許可信号が正しくリフレッ
シュされたかどうかの検証を行う一方で、許可信号自体
の検証をも行うものである。これにより第3のマイクロ
プロセッサの正常性が保証される。
【0027】ダイナミックコントローラCDは、出力を
バスBに接続されたモジュールAを介して転送し、同モ
ジュールAは、各出力を、第3のマイクロプロセッサに
より供給された情報の関数として転送する。換言すれ
ば、比較結果R1 、R2 の間に少しでも不整合がある
と、不整合の出力は禁止または抑制状態(restricted st
ate)に置かれる。必要とあれば冗長性(redundancy)を付
加して利用し易やすくすることができる。
バスBに接続されたモジュールAを介して転送し、同モ
ジュールAは、各出力を、第3のマイクロプロセッサに
より供給された情報の関数として転送する。換言すれ
ば、比較結果R1 、R2 の間に少しでも不整合がある
と、不整合の出力は禁止または抑制状態(restricted st
ate)に置かれる。必要とあれば冗長性(redundancy)を付
加して利用し易やすくすることができる。
【0028】
【発明の効果】この発明の利点は、融通性に富み設計の
自由度が大きいこと。製造コストを安くして、しかも安
全性を犠牲にすることはない。
自由度が大きいこと。製造コストを安くして、しかも安
全性を犠牲にすることはない。
【0029】図示実施例ではアプリケーション・プロセ
ッサは2台であったが、2台に限定されるものではなく
3台以上でも可能である。第3のプロセッサ(voter)の
ソフトは、なんらハードウエアを追加することなくpプ
ロセッサからnプロセッサ用に多くの論理を与えること
ができる。換言すれば、pプロセッサからnプロセッサ
は、検証される安全確認出力信号に対し同じ結果を出さ
なければならない。この場合、第3のプロセッサのソフ
トウエアはアプリケーション・プロセッサのいづれかに
設置することができる。
ッサは2台であったが、2台に限定されるものではなく
3台以上でも可能である。第3のプロセッサ(voter)の
ソフトは、なんらハードウエアを追加することなくpプ
ロセッサからnプロセッサ用に多くの論理を与えること
ができる。換言すれば、pプロセッサからnプロセッサ
は、検証される安全確認出力信号に対し同じ結果を出さ
なければならない。この場合、第3のプロセッサのソフ
トウエアはアプリケーション・プロセッサのいづれかに
設置することができる。
【図1】は、本発明の安全装置の操作状態を示すブロッ
ク回路図である。
ク回路図である。
【図2】は、安全装置の機構を略示的に示すブロック図
である。
である。
P1 、P2 ... 第1、第2のアプリケーション・マイク
ロプロセッサ P3...第3のマイクロプロセッサ
ロプロセッサ P3...第3のマイクロプロセッサ
───────────────────────────────────────────────────── フロントページの続き (72)発明者 エルベ ル ガル フランス国 78470 サン レミー レ シュブルーズ,リュー ポール ロワイヤ ル,109
Claims (7)
- 【請求項1】同じアプリケーションを扱う並列に設けら
れた少なくとも二台のマイクロプロセッサP1 、P2
と、センサCPと、第3のマイクロプロセッサと、ダイ
ナミックコントローラCDとからなり、前記マイクロプ
ロセッサの各入力部は、前記センサCPから符号化され
たデータDEを受信するとともに、その出力データは個
々に入力データと比較されて、前記第3のマイクロプロ
セッサP3 により符号化されたマイクロプロセッサの処
理結果R1 、R2 を比較しつつ前記ダイナミックコント
ローラCDを操作して出力データDSを自動列車制御装
置(ACT)等のアクチュエータに転送することを特徴
としたマイクロプロセッサ内蔵の鉄道等の安全装置。 - 【請求項2】並列されたマイクロプロセッサ間にタイム
ラグを挿入したことを特徴とした請求項1記載のマイク
ロプロセッサ内蔵の鉄道等の安全装置。 - 【請求項3】マイクロプロセッサP1 、P2 、P3 間で
情報を転送する単一の非専用のバスを設けたことを特徴
とした請求項1または2記載のマイクロプロセッサ内蔵
の鉄道等の安全装置。 - 【請求項4】第3のマイクロプロセッサP3 は、さらに
異なった出力をろ過し、継続検査を可能にするアルゴリ
ズムを有する請求項1乃至3記載のマイクロプロセッサ
内蔵の鉄道等の安全装置。 - 【請求項5】第3のマイクロプロセッサP3 のアルゴリ
ズムは、処理結果間に不整合があった場合該当出力を禁
止することのできるものである請求項4記載のマイクロ
プロセッサ内蔵の鉄道等の安全装置。 - 【請求項6】アプリケーション・マイクロプロセッサは
三台以上あり、かつ、第3のマイクロプロセッサP3 は
pプロセッサからnプロセッサへの多数決論理を可能と
したことを特徴とした請求項1乃至5記載のマイクロプ
ロセッサ内蔵の鉄道等の安全装置。 - 【請求項7】第3のマイクロプロセッサP3 のソフトウ
エアは、アプリケーション・マイクロプロセッサのいづ
れか一つに設置されたことを特徴とした請求項6記載の
マイクロプロセッサ内蔵の鉄道等の安全装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR9304680A FR2704329B1 (fr) | 1993-04-21 | 1993-04-21 | Système de sécurité à microprocesseur, applicable notamment au domaine des transports ferroviaires. |
| FR9304680 | 1993-04-21 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH07117671A true JPH07117671A (ja) | 1995-05-09 |
Family
ID=9446272
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP6083419A Pending JPH07117671A (ja) | 1993-04-21 | 1994-04-21 | マイクロプロセッサ内蔵の鉄道等の安全装置 |
Country Status (22)
| Country | Link |
|---|---|
| US (1) | US5794167A (ja) |
| EP (1) | EP0621521B1 (ja) |
| JP (1) | JPH07117671A (ja) |
| CN (1) | CN1095136C (ja) |
| AT (1) | ATE164690T1 (ja) |
| AU (1) | AU670679B2 (ja) |
| CA (1) | CA2121714A1 (ja) |
| CZ (1) | CZ289813B6 (ja) |
| DE (1) | DE69409283T2 (ja) |
| DK (1) | DK0621521T3 (ja) |
| ES (1) | ES2117222T3 (ja) |
| FI (1) | FI103697B (ja) |
| FR (1) | FR2704329B1 (ja) |
| HK (1) | HK1008153A1 (ja) |
| HU (1) | HU216216B (ja) |
| NO (1) | NO309344B1 (ja) |
| PL (1) | PL174598B1 (ja) |
| RO (1) | RO113771B1 (ja) |
| RU (1) | RU94013455A (ja) |
| SI (1) | SI0621521T1 (ja) |
| SK (1) | SK283059B6 (ja) |
| ZA (1) | ZA942761B (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2021064409A (ja) * | 2017-10-06 | 2021-04-22 | 横河電機株式会社 | 制御システム、制御方法及び等値化装置 |
Families Citing this family (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2799018B1 (fr) * | 1999-09-28 | 2003-07-04 | Matra Transp Internat | Systeme informatique securise |
| DE19947252A1 (de) * | 1999-09-30 | 2001-05-03 | Bosch Gmbh Robert | Vorrichtung und Verfahren zur Steuerung einer Antriebseinheit |
| US7302587B2 (en) | 2001-06-08 | 2007-11-27 | Matra Transport International | Secure computer system |
| US7209811B1 (en) * | 2001-11-22 | 2007-04-24 | Siemens Aktiengesellschaft | System and method for controlling a safety-critical railroad operating process |
| AU2003268552A1 (en) | 2002-09-10 | 2004-04-30 | Union Switch And Signal, Inc. | Hot standby method and apparatus |
| US7130703B2 (en) * | 2003-04-08 | 2006-10-31 | Fisher-Rosemount Systems, Inc. | Voter logic block including operational and maintenance overrides in a process control system |
| US7213168B2 (en) * | 2003-09-16 | 2007-05-01 | Rockwell Automation Technologies, Inc. | Safety controller providing for execution of standard and safety control programs |
| ITTO20040325A1 (it) * | 2004-05-14 | 2004-08-14 | Ansaldo Segnalamento Ferroviario Spa | Dispositivo per la trasmissione sicura di dati verso boe per la segnalazione ferroviaria |
| DE102005023296B4 (de) * | 2005-05-12 | 2007-07-12 | Siemens Ag | Zugbeeinflussungssystem |
| FR2929056B1 (fr) * | 2008-03-19 | 2010-04-16 | Alstom Transport Sa | Dispositif de detection a seuil securitaire d'un systeme ferroviaire |
| DE102008056095A1 (de) * | 2008-11-04 | 2010-05-12 | Siemens Aktiengesellschaft | Einrichtung und Verfahren zum Empfangen und zum Verarbeiten von Signalen zur Zugbeeinflussung auf einem Schienenfahrzeug sowie Empfangsgerät |
| CN101943910B (zh) * | 2009-07-07 | 2012-06-27 | 华东理工大学 | 用于容错控制的自校验方法 |
| JP2011128821A (ja) * | 2009-12-17 | 2011-06-30 | Yokogawa Electric Corp | 二重化フィールド機器 |
| JP5683294B2 (ja) * | 2011-01-31 | 2015-03-11 | 三菱重工業株式会社 | 安全装置、安全装置の演算方法 |
| FR2992083B1 (fr) * | 2012-06-19 | 2014-07-04 | Alstom Transport Sa | Calculateur, ensemble de communication comportant un tel calculateur, systeme de gestion ferroviaire comportant un tel ensemble, et procede de fiabilisation de donnees dans un calculateur |
| US9233698B2 (en) | 2012-09-10 | 2016-01-12 | Siemens Industry, Inc. | Railway safety critical systems with task redundancy and asymmetric communications capability |
| GB2507295B (en) * | 2012-10-25 | 2020-02-05 | Bae Systems Plc | Control systems for unmanned vehicles |
| US9935776B2 (en) | 2012-10-25 | 2018-04-03 | Bae Systems Plc | Control systems for unmanned vehicles |
| CN103144657B (zh) * | 2013-03-15 | 2015-07-22 | 卡斯柯信号有限公司 | 带校验板的通用轨旁安全平台主处理子*** |
| CN103220100B (zh) * | 2013-03-15 | 2016-02-03 | 卡斯柯信号有限公司 | 一种基于编码的输出表决方法 |
| EP2786913B1 (en) | 2013-04-04 | 2020-08-26 | ALSTOM Transport Technologies | Switch point machine management unit |
| DK2958022T3 (en) | 2013-04-24 | 2017-05-01 | Alstom Transp Tech | Intrinsically fail-safe activating control and command device with two out of two architecture |
| RU2661535C1 (ru) * | 2017-06-14 | 2018-07-17 | Российская Федерация, от имени которой выступает Государственная корпорация по космической деятельности "РОСКОСМОС" | Способ мутационного тестирования электронной аппаратуры и ее управляющего программного обеспечения с определением локализации мутаций |
| CH714256A1 (de) * | 2017-10-18 | 2019-04-30 | Elesta Gmbh Ostfildern De Zweigniederlassung Bad Ragaz | Verfahren zur seriellen Übermittlung von Daten eines Sensors an ein Sicherheitskontrollgerät. |
| RU2703681C1 (ru) * | 2019-04-19 | 2019-10-21 | Акционерное общество "ТеконГруп" | Модуль центрального процессора промышленного контроллера |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2344063A1 (fr) * | 1976-03-10 | 1977-10-07 | Smiths Industries Ltd | Circuit numerique de commande a deux voies au moins |
| DE2701925C3 (de) * | 1977-01-19 | 1981-10-15 | Standard Elektrik Lorenz Ag, 7000 Stuttgart | Fahrzeugsteuerung mit zwei Bordrechnern |
| DE2701924C3 (de) * | 1977-01-19 | 1987-07-30 | Standard Elektrik Lorenz Ag, 7000 Stuttgart | Steuereinrichtung für spurgebundene Fahrzeuge |
| GB2019622B (en) * | 1978-04-14 | 1982-04-07 | Lucas Industries Ltd | Digital computing apparatus |
| DE3003291C2 (de) * | 1980-01-30 | 1983-02-24 | Siemens AG, 1000 Berlin und 8000 München | Zweikanalige Datenverarbeitungsanordnung für Eisenbahnsicherungszwecke |
| DE3377541D1 (en) * | 1982-06-03 | 1988-09-01 | Lucas Ind Plc | Control system primarily responsive to signals from digital computers |
| DE3225455C2 (de) * | 1982-07-07 | 1986-07-17 | Siemens AG, 1000 Berlin und 8000 München | Verfahren zum sicheren Betrieb eines redundanten Steuersystems |
| US5067080A (en) * | 1985-04-11 | 1991-11-19 | Lucas Industries Public Limited Company | Digital control system |
| GB8729901D0 (en) * | 1987-12-22 | 1988-02-03 | Lucas Ind Plc | Dual computer cross-checking system |
| JPH01245335A (ja) * | 1988-03-28 | 1989-09-29 | Hitachi Ltd | プログラマブルコントローラの多重化システム |
| DE3816254A1 (de) * | 1988-05-11 | 1989-11-23 | Siemens Ag | Steuereinheit zur lenkung der hinterraeder eines strassenfahrzeuges |
| FR2632748B1 (fr) * | 1988-06-14 | 1994-04-29 | Alsthom | Dispositif de traitement de donnees et de commande |
| DE3923773A1 (de) * | 1988-07-20 | 1990-03-01 | Vaillant Joh Gmbh & Co | Verfahren zum steuern und ueberwachen eines brennstoffbeheizten geraetes unter verwendung zumindest eines mikrocomputersystems und vorrichtung zur durchfuehrung des verfahrens |
| US5001638A (en) * | 1989-04-18 | 1991-03-19 | The Boeing Company | Integrated aircraft air data system |
| JP2768791B2 (ja) * | 1990-03-09 | 1998-06-25 | 三菱自動車工業株式会社 | 車載用電子制御装置 |
| GB9101227D0 (en) * | 1991-01-19 | 1991-02-27 | Lucas Ind Plc | Method of and apparatus for arbitrating between a plurality of controllers,and control system |
| US5274554A (en) * | 1991-02-01 | 1993-12-28 | The Boeing Company | Multiple-voting fault detection system for flight critical actuation control systems |
-
1993
- 1993-04-21 FR FR9304680A patent/FR2704329B1/fr not_active Expired - Fee Related
-
1994
- 1994-04-12 FI FI941683A patent/FI103697B/fi active
- 1994-04-20 SI SI9430157T patent/SI0621521T1/xx unknown
- 1994-04-20 RO RO94-00671A patent/RO113771B1/ro unknown
- 1994-04-20 HU HU9401144A patent/HU216216B/hu not_active IP Right Cessation
- 1994-04-20 AU AU60615/94A patent/AU670679B2/en not_active Ceased
- 1994-04-20 RU RU94013455/11A patent/RU94013455A/ru unknown
- 1994-04-20 ES ES94400859T patent/ES2117222T3/es not_active Expired - Lifetime
- 1994-04-20 NO NO941431A patent/NO309344B1/no unknown
- 1994-04-20 DK DK94400859T patent/DK0621521T3/da active
- 1994-04-20 CA CA002121714A patent/CA2121714A1/en not_active Abandoned
- 1994-04-20 EP EP94400859A patent/EP0621521B1/fr not_active Expired - Lifetime
- 1994-04-20 DE DE69409283T patent/DE69409283T2/de not_active Expired - Fee Related
- 1994-04-20 AT AT94400859T patent/ATE164690T1/de not_active IP Right Cessation
- 1994-04-20 PL PL94303076A patent/PL174598B1/pl unknown
- 1994-04-20 CZ CZ1994957A patent/CZ289813B6/cs not_active IP Right Cessation
- 1994-04-21 SK SK459-94A patent/SK283059B6/sk not_active IP Right Cessation
- 1994-04-21 CN CN94104994A patent/CN1095136C/zh not_active Expired - Fee Related
- 1994-04-21 ZA ZA942761A patent/ZA942761B/xx unknown
- 1994-04-21 JP JP6083419A patent/JPH07117671A/ja active Pending
-
1996
- 1996-12-09 US US08/762,147 patent/US5794167A/en not_active Expired - Fee Related
-
1998
- 1998-06-26 HK HK98107073A patent/HK1008153A1/xx not_active IP Right Cessation
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2021064409A (ja) * | 2017-10-06 | 2021-04-22 | 横河電機株式会社 | 制御システム、制御方法及び等値化装置 |
Also Published As
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JPH07117671A (ja) | マイクロプロセッサ内蔵の鉄道等の安全装置 | |
| KR19990036222A (ko) | 임계 안전도 조절 시스템용 마이크로프로세서 시스템 | |
| JPH04310459A (ja) | 制御装置 | |
| EP2892771B1 (en) | Braking system | |
| JP2002358106A (ja) | 安全コントローラ | |
| JPH08216850A (ja) | ブレーキ装置用回路装置 | |
| JP4475593B2 (ja) | エレベータ制御装置 | |
| JPS63271540A (ja) | フエイルセイフ形コンピユ−タ装置 | |
| JP2510472B2 (ja) | 鉄道保安装置 | |
| JP2793115B2 (ja) | フェール・セーフプロセッサを用いたデータ転送システム | |
| JP2003044309A (ja) | バス照合回路 | |
| JP5612995B2 (ja) | 入力バイパス型のフェイルセーフ装置及びフェイルセーフ用プログラム | |
| JP3210833B2 (ja) | エラーチェック方法および装置 | |
| JP2005343602A (ja) | エレベータ制御装置 | |
| JP2005511386A (ja) | 安全性の要求される鉄道運転プロセスの制御方法およびこの方法を実施するための装置 | |
| JP2906790B2 (ja) | 複数のマイクロコンピュータの暴走監視回路 | |
| JP2841603B2 (ja) | 多重系制御回路 | |
| JPH0726762Y2 (ja) | バス不一致発生回路 | |
| JPS6091415A (ja) | デイジタル制御装置 | |
| JPS5812062A (ja) | 並列電子計算機システムの出力装置 | |
| JPS5998235A (ja) | 入出力制御装置 | |
| JPS6212722B2 (ja) | ||
| JPS63186351A (ja) | 周辺装置制御方式 | |
| JPH02223302A (ja) | 制御装置 | |
| JP2004196214A (ja) | 列車制御装置 |