專利名稱:多重系統(tǒng)處理裝置及其連接的控制器和多重系統(tǒng)處理系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明是涉及使多個處理裝置進(jìn)行相同處理,依據(jù)各處理裝置的處理結(jié)果����,對控制對象裝置進(jìn)行控制的多重系統(tǒng)處理裝置,特別是涉及在鐵路行業(yè)�����,控制對象裝置是要求高可靠性的信號機(jī)和轉(zhuǎn)軌機(jī)等的列車控制器�����,對這種控制對象裝置能進(jìn)行高效率的數(shù)據(jù)傳送的多重系統(tǒng)處理裝置及多重系統(tǒng)處理裝置系統(tǒng)����。
背景技術(shù):
鐵路行業(yè)的處理系統(tǒng)為了控制信號機(jī)和轉(zhuǎn)軌機(jī)的控制器,接收「列車位置」����、「轉(zhuǎn)軌機(jī)狀態(tài)」�、「信號機(jī)狀態(tài)」�����,根據(jù)其關(guān)系控制信號機(jī)和轉(zhuǎn)軌機(jī)��。它們的功能結(jié)構(gòu)由以下兩部分構(gòu)成(1)讀取列車位置和轉(zhuǎn)軌機(jī)方向等的信息���,判定取入的信息的連鎖關(guān)系,遵從上位裝置的命令�����,根據(jù)判定結(jié)果和命令����,對控制器輸出轉(zhuǎn)軌機(jī)的轉(zhuǎn)換命令和信號機(jī)的控制命令的處理裝置,(2)遵從處理裝置的命令�����,進(jìn)行轉(zhuǎn)軌機(jī)轉(zhuǎn)換或信號機(jī)指示燈點亮等的電力控制的控制器�����。
進(jìn)行信號機(jī)的信號切換和轉(zhuǎn)軌機(jī)的切換等的控制器及向該控制器發(fā)出命令的處理裝置的故障直接聯(lián)系到列車事故,因此要求安全性及從而也要求高可靠性����。而且,這些系統(tǒng)的基本思想是���,實現(xiàn)即使在這些系統(tǒng)發(fā)生故障的情況下���,也保持安全狀態(tài)停止動作的「故障保險系統(tǒng)」。為實現(xiàn)故障保險的處理裝置和信號機(jī)等的控制器��,往往使用多重系統(tǒng)構(gòu)成的處理裝置�。多重系統(tǒng)構(gòu)成的處理裝置的安全性是基于「多臺計算機(jī)同時發(fā)生故障,作出同樣的錯誤信息的幾率微乎其微」的考慮��。
根據(jù)多重系統(tǒng)構(gòu)成的處理裝置的輸出發(fā)出控制命令時�,把多重系統(tǒng)構(gòu)成的處理裝置輸出的多個輸出組成1組,而且有必要保證其正當(dāng)性���?����;谶@種考慮的已有技術(shù)如文獻(xiàn)「巖本他新電子連動裝置和現(xiàn)場機(jī)器的信息傳送第29回鐵路行業(yè)利用控制論國內(nèi)專題討論會論文集P.499~503,(1992)」(第1項已有技術(shù))所述�,揭示了由多重系統(tǒng)構(gòu)成的連動邏輯裝置(多重系統(tǒng)處理裝置)與具有故障保險性的信號機(jī)控制器之間安全地進(jìn)行信息傳送的技術(shù)。這種已有的技術(shù)�����,首先以多重系統(tǒng)構(gòu)成的處理裝置中的一個作為主系統(tǒng)處理裝置���,由這個主系統(tǒng)處理裝置向信號機(jī)控制器和副系統(tǒng)處理裝置發(fā)出控制命令����,接收控制命令的副系統(tǒng)處理裝置進(jìn)行監(jiān)視該控制數(shù)據(jù)是否正確的控制記錄����,而且信號機(jī)控制器將收到的控制命令送回處理裝置����,從信號機(jī)控制器接收到控制命令的答復(fù)的全部處理裝置,驗證該控制命令的正當(dāng)性����,如果沒有問題,主系統(tǒng)處理裝置首先就根據(jù)發(fā)送到信號機(jī)控制器的控制命令�,執(zhí)行向信號機(jī)控制器發(fā)出開始控制的指令的控制。該項已有技術(shù)由于主系統(tǒng)處理裝置作成的控制命令確實傳送到信號機(jī)控制器的情況得到全部系統(tǒng)的確認(rèn)后控制得以執(zhí)行��,安全性得以確保。而且�,上述已有的例子中多重系統(tǒng)處理裝置與控制器間有數(shù)根配線。
第2項已有技術(shù)在文獻(xiàn)「川端等人考慮故障發(fā)生時的繼續(xù)使用條件的小型電子連動裝置的開發(fā)電氣學(xué)會論文集D,p.1348~1356,(1997)」中記載�。這項已有技術(shù)揭示了構(gòu)成多重系統(tǒng)的各處理裝置通過與信號機(jī)及轉(zhuǎn)軌機(jī)等一一對應(yīng)的位(bit)構(gòu)成的并聯(lián)線路輸出控制命令,接收該控制命令的信號機(jī)控制器對數(shù)據(jù)的各位進(jìn)行多數(shù)決定來控制轉(zhuǎn)軌機(jī)及信號機(jī)的技術(shù)���。此項技術(shù)因采用了對多個處理裝置的輸出由多數(shù)決定的方法而可以確保安全性���,故無需先前所示的分2階段的控制。另外�,這個已有例中的多重系統(tǒng)處理裝置與控制器間通常有數(shù)百根配線。
前述的第1項已有技術(shù)中����,多重系統(tǒng)處理裝置即使向控制器發(fā)出控制命令,在實際對信號機(jī)控制器進(jìn)行控制時���,由于執(zhí)行上述控制登記和控制實行的2階段控制�,實際讓信號機(jī)等動作時執(zhí)行時間需要很多�。而且前述的第2項已有技術(shù)因構(gòu)成多重系統(tǒng)的各處理裝置和信號機(jī)控制器由并聯(lián)線路連接,并聯(lián)線路數(shù)目為信號機(jī)和轉(zhuǎn)軌機(jī)等控制對象的數(shù)目對應(yīng)的位數(shù)���,因此����,一旦控制對象增加配線即增加,所以其適用處所只是控制對象少的小車站����。
也就是說,第1項已有技術(shù)所示的分2階段控制����,雖然配線數(shù)少但處理時間長了,第2項已有技術(shù)所示的由信號機(jī)控制器采取多數(shù)決定的方法中�����,存在處理時間短但配線數(shù)多的問題����。
發(fā)明內(nèi)容
本發(fā)明的目的是在不破壞安全性的前提下���,實現(xiàn)不增加多重系統(tǒng)處理裝置與控制器間的配線�,可適用于大型車站�,并且執(zhí)行時間短的裝置。
為解決這樣的問題,本發(fā)明的多重系統(tǒng)處理裝置是由分別接受相同的輸入進(jìn)行相同的處理���,生成各種處理結(jié)果并輸出的多個處理裝置構(gòu)成的����,多個處理裝置中以任意一個處理裝置作為主系統(tǒng)處理裝置�、其他處理裝置作為副系統(tǒng)處理裝置,主系統(tǒng)處理裝置由收集多個副系統(tǒng)處理裝置和主系統(tǒng)處理裝置的處理結(jié)果的收集部和把收集部收集的處理結(jié)果向控制器輸出的輸出部構(gòu)成的��。由于這樣由主系統(tǒng)處理裝置收集副系統(tǒng)處理裝置的處理結(jié)果和主系統(tǒng)處理裝置的處理結(jié)果向控制器輸出�����,配線數(shù)可能減少��。另外����,在控制器一側(cè),因是由多數(shù)決定或判定一致的結(jié)構(gòu)��,與分2階段的控制相比�,數(shù)據(jù)傳送所需的處理時間可以縮短。
本發(fā)明中���,構(gòu)成多重系統(tǒng)的各處理裝置保持著獨特的編碼密鑰�����,數(shù)據(jù)全部由該編碼密鑰編碼再向主系統(tǒng)傳送���。主系統(tǒng)將自身的數(shù)據(jù)也用自己的編碼密鑰編碼�����,與副系統(tǒng)來的數(shù)據(jù)一起匯總輸出���。接收數(shù)據(jù)的處理裝置保持著全譯碼密鑰,數(shù)據(jù)用該密鑰譯碼并進(jìn)行多數(shù)決定或一致處理��。這時��,如果主系統(tǒng)無論有什么樣的故障也不能得到副系統(tǒng)編碼密鑰���,則煞有介事地篡改從副系統(tǒng)得到的數(shù)據(jù)是不可能的,從而確保了安全性�����。
附圖
概述第1圖表示本發(fā)明的多重系統(tǒng)處理裝置的基本構(gòu)成。
第2圖說明構(gòu)成多重系統(tǒng)處理裝置的各處理裝置的處理(演算)內(nèi)容�。
第3圖說明構(gòu)成多重系統(tǒng)處理裝置的各處理裝置的處理(演算)內(nèi)容。
第4圖表示本發(fā)明的控制器的處理步驟�����。
第5圖表示本發(fā)明的控制器的處理步驟�����。
第6圖詳細(xì)說明本發(fā)明的多重系統(tǒng)處理裝置��。
第7圖表示本發(fā)明的故障診斷裝置的具體結(jié)構(gòu)��。
第8圖是在本發(fā)明的多重系統(tǒng)處理裝置和控制器間交換的數(shù)據(jù)的形式����。
第9圖是本發(fā)明的多重系統(tǒng)處理裝置向控制器傳送的數(shù)據(jù)結(jié)構(gòu)。
第10圖是本發(fā)明中用到的顯示數(shù)據(jù)的形式����。
第11圖是本發(fā)明的主系統(tǒng)處理裝置的處理流程圖。
第12圖是本發(fā)明的副系統(tǒng)處理裝置的處理流程圖�。
第13圖是本發(fā)明的副系統(tǒng)處理裝置的處理流程圖。
第14圖是本發(fā)明的主系統(tǒng)處理裝置的處理流程圖�����。
本發(fā)明的最佳實施方式下面運用第1圖來詳細(xì)說明本發(fā)明的基本結(jié)構(gòu)。
第1圖表示本發(fā)明適用的多重系統(tǒng)處理系統(tǒng)��。多重系統(tǒng)處理裝置100是由從沒有圖示的上位裝置通過線路108�,接受對信號機(jī)和轉(zhuǎn)軌機(jī)等進(jìn)行控制用的控制要求進(jìn)行相同的處理(運算),輸出各處理結(jié)果的多個處理裝置101~103構(gòu)成����。
控制器107是實際控制連接于控制器107的信號機(jī)、轉(zhuǎn)軌機(jī)和軌道電路等的控制器�����,是從多重系統(tǒng)處理裝置100接收處理結(jié)果�,按照收到的處理結(jié)果實際控制信號機(jī)和轉(zhuǎn)軌機(jī)的。
多重系統(tǒng)處理裝置100和控制器107是由線路121連接進(jìn)行數(shù)據(jù)和信息傳送的��。而且�����,如10所示�����,集合由線路127連接于該多重系統(tǒng)處理裝置100的控制器107��,也可作為多重系統(tǒng)處理系統(tǒng)10����。另外,線路108還具有從多重系統(tǒng)處理裝置100向上位裝置傳送信號機(jī)���、轉(zhuǎn)軌機(jī)和軌道電路等的各種傳感器信息的作用�。
下面說明構(gòu)成多重系統(tǒng)處理裝置100的處理裝置101~103的處理概要���。
處理裝置101~103是構(gòu)成多重系統(tǒng)處理裝置100的各處理裝置��,各處理裝置101~103具有相同的功能�����。各處理裝置101~103通過線路108從上位裝置接收相同的輸入(從上位裝置來的信號機(jī)�����、轉(zhuǎn)軌機(jī)的控制要求)�����,進(jìn)行相同處理(運算)�,輸出結(jié)果。
下面說明關(guān)于本發(fā)明的基本結(jié)構(gòu)的動作����。
本發(fā)明中,由構(gòu)成多重系統(tǒng)處理裝置100的多個處理裝置101~103中的任意一個作為主系統(tǒng)處理裝置�����,其余的處理裝置作為副系統(tǒng)處理裝置�����。這種任選一個的主系統(tǒng)處理裝置的選擇方法��,操作者可以設(shè)定���,而且也可以利用定時器等根據(jù)時間切換(選擇)主系統(tǒng)處理裝置���。
第1圖說明處理裝置101被選擇為主系統(tǒng)處理裝置,其余的處理裝置102�、103作為副系統(tǒng)處理裝置時的處理�����。
無論主系統(tǒng)處理裝置還是副系統(tǒng)處理裝置,各處理裝置都是根據(jù)從上位裝置接收的控制要求���,如下所述在處理部1012進(jìn)行相同的處理后輸出處理結(jié)果��。
然后副系統(tǒng)處理裝置102�、103將其處理結(jié)果送給主系統(tǒng)處理裝置���。
主系統(tǒng)處理裝置101的收集部1011收集副系統(tǒng)處理裝置102��、103送來的處理結(jié)果和自處理裝置的處理結(jié)果����,輸出部1013通過線路121向控制器107輸出各處理裝置的處理結(jié)果����。具體地說,由多重系統(tǒng)處理裝置100發(fā)出轉(zhuǎn)軌機(jī)轉(zhuǎn)換命令��,信號機(jī)控制命令等���。
收到多重系統(tǒng)處理裝置100的輸出的控制器107��,依據(jù)傳送來的處理結(jié)果由如下所詳述的多數(shù)決定等運算作成各信號機(jī)����、轉(zhuǎn)軌機(jī)等的控制命令,通過連接未圖示的信號機(jī)��、轉(zhuǎn)軌機(jī)和軌道線路等現(xiàn)場設(shè)備的并聯(lián)線路122發(fā)出控制命令���。具體的說�,是輸出軌道線路信息等���。采用這樣的結(jié)構(gòu)���,控制器107因無需向多重系統(tǒng)處理裝置100確認(rèn)控制命令發(fā)出,可以縮短處理時間�,而且多重系統(tǒng)處理裝置100的主系統(tǒng)處理裝置101收集了處理結(jié)果,因此線路數(shù)量也可減少��。
而且����,各處理裝置101~103為了互相確認(rèn)各處理裝置是否正常工作而進(jìn)行信息交換���,根據(jù)該信息把握各處理裝置中哪個處理裝置發(fā)生異常,對各處理裝置來的處理結(jié)果附加表示是正常工作著還是有異常發(fā)生的信息后傳送到控制器����,所以能夠進(jìn)行精度更高的控制���。關(guān)于根據(jù)信息交換判定異常由第6圖���、第7圖詳細(xì)說明。
接著用第2圖�、第3圖來說明多重系統(tǒng)處理裝置100的各處理裝置進(jìn)行的處理(運算)。
多重系統(tǒng)處理裝置100的各處理裝置經(jīng)由線路121預(yù)先從控制器107分別接收「列車位置」�、「轉(zhuǎn)軌機(jī)狀態(tài)」、「信號機(jī)狀態(tài)」等信息����,根據(jù)這些預(yù)先收到的信息和上位裝置的控制要求,向控制器實際發(fā)出控制命令���。
具體地說�����,這個處理就是多重系統(tǒng)處理裝置100通過線路108從上位裝置收到如第2圖所示的列車2要進(jìn)入1號線的進(jìn)路設(shè)定要求(控制要求)時��,根據(jù)控制器107預(yù)先收到的信息��,輸出「1號線有列車�����,為防止沖突��,發(fā)停止信號」的處理結(jié)果��。又�,從上位裝置收到要進(jìn)入2號線的進(jìn)路設(shè)定要求(控制要求)時,根據(jù)預(yù)先收到信息輸出「2號線沒有列車����,可通行」的處理結(jié)果。又�,如第3圖所示,多重系統(tǒng)處理裝置100從上位裝置收到列車2要進(jìn)入2號線的進(jìn)路設(shè)定要求(控制要求)時�,根據(jù)預(yù)先收到的信息輸出「列車前方的轉(zhuǎn)軌機(jī)已經(jīng)預(yù)約給列車1使用,所以不能進(jìn)入2號線����,發(fā)停止信號」的處理結(jié)果���。
下面用第4圖、第5圖來說明關(guān)于控制器107進(jìn)行的處理的內(nèi)容���。
首先用第4圖說明把構(gòu)成多重系統(tǒng)處理裝置100的處理裝置101~103進(jìn)行的處理(運算)用的數(shù)據(jù)發(fā)送給多重系統(tǒng)處理裝置100處理�。
控制器107通過配線122取入通過配線122實際配置在控制器107上的信號機(jī)����、轉(zhuǎn)軌機(jī)、控制電路等來的數(shù)據(jù)(步驟401)����、給取入的數(shù)據(jù)加冗余碼(步驟402)����、復(fù)印該數(shù)據(jù)作成三組數(shù)據(jù)(步驟403)。然后把這三組數(shù)據(jù)用與處理裝置101~103對應(yīng)的編碼密鑰分別進(jìn)行編碼(步驟404)��,附加結(jié)構(gòu)信息���,組成第8圖(c)的形式的數(shù)據(jù)(步驟405)�����,向多重系統(tǒng)處理裝置100的主系統(tǒng)處理裝置101傳送數(shù)據(jù)�����。在控制器107一側(cè)把數(shù)據(jù)復(fù)印構(gòu)成多重系統(tǒng)處理裝置的處理裝置的數(shù)量的份數(shù)���,是為了使主系統(tǒng)處理裝置101不能篡改傳送給多重系統(tǒng)處理裝置100的主系統(tǒng)處理裝置101的數(shù)據(jù)�����。
下面利用第5圖說明如何處理多重系統(tǒng)處理裝置100的主系統(tǒng)處理裝置101傳來的處理結(jié)果�。
接收從多重系統(tǒng)處理裝置100傳來的處理結(jié)果(步驟501)�����、然后分解該處理結(jié)果給各處理裝置(步驟502)�。接著利用對應(yīng)于處理裝置101~103的譯碼密鑰將數(shù)據(jù)譯碼(步驟503),確認(rèn)各處理結(jié)果的冗余碼(步驟504)��。確認(rèn)結(jié)果后廢棄發(fā)現(xiàn)異常的處理結(jié)果(步驟505)�����,對于未發(fā)現(xiàn)異常的處理結(jié)果則繼續(xù)以下處理��。通過這樣處理的處理結(jié)果再由各位的多數(shù)決定最終的控制信息(步驟506)。依據(jù)這一結(jié)果����,控制器107向連接于控制器107的實際的信號機(jī)、轉(zhuǎn)軌機(jī)和控制電路等發(fā)出控制命令(步驟507)���。從控制器107收到控制命令的信號機(jī)�、轉(zhuǎn)軌機(jī)等根據(jù)控制命令點亮信號燈��,切換轉(zhuǎn)軌機(jī)����。
下面對根據(jù)各處理裝置的相互監(jiān)視診斷故障的具體例子加以說明。
本發(fā)明中構(gòu)成多重系統(tǒng)的全部處理裝置的數(shù)據(jù)暫時集中于主系統(tǒng)后匯總發(fā)送���,而且關(guān)于全部處理裝置的工作狀況的數(shù)據(jù)也同時發(fā)送。因此��,控制器能夠了解從多重系統(tǒng)處理裝置送來的有幾組數(shù)據(jù)��,可以立即實行多數(shù)決定或一致判定�����。這樣的構(gòu)成與構(gòu)成多重系統(tǒng)的各處理裝置分別將數(shù)據(jù)傳送給控制器的結(jié)構(gòu)相比,通信不擁擠�����,能夠整然地傳送���,而且接收側(cè)無需白白等待停止工作的處理系統(tǒng)的輸出數(shù)據(jù)��。
而且�,本說明書所述的關(guān)于多重系統(tǒng)構(gòu)成的處理系統(tǒng)的安全性由全部處理系統(tǒng)互相確認(rèn)進(jìn)行著完全相同的運算來確保����。例如判斷某接點接通(ON),是由多重系統(tǒng)構(gòu)成的處理系統(tǒng)完全平行地進(jìn)行�,其結(jié)果也一致。這樣的動作的一致是由互相交換輸入輸出數(shù)據(jù)或運算中的數(shù)據(jù)來確認(rèn)的��。
但是��,收集從副系統(tǒng)處理裝置來的數(shù)據(jù)加以歸納發(fā)送的處理是只由主系統(tǒng)處理裝置進(jìn)行的處理�����,沒有保證其正當(dāng)性的手段�����。其結(jié)果是,在最壞的情況下����,主系將從副系統(tǒng)收到的數(shù)據(jù)錯誤地改寫,作成符合條理的但卻是錯誤的信息�����。這時收到數(shù)據(jù)的處理裝置用多數(shù)表決��、判斷一致等手法也不能檢出其錯誤���,就作了錯誤控制����。
為解決這個問題����,有必要導(dǎo)入編碼技術(shù)��。所謂利用編碼處理的信息傳送是接收方和發(fā)送方擁有共通的密鑰�����,發(fā)送方用該密鑰將信息編碼,接收方用所持的密鑰譯碼的方式����。這種方式不僅具有將編碼的信息傳到他處內(nèi)容也不會泄漏的、編碼技術(shù)本來的特征��,而且還有不能進(jìn)行不正當(dāng)?shù)臄?shù)據(jù)篡改的大特征�����。因為不能不正當(dāng)篡改����,接收方如果收到的信息是正當(dāng)?shù)模邮辗骄涂梢源_定其信息的發(fā)送者���。利用這個特征�,即使「收集從副系統(tǒng)處理裝置來的數(shù)據(jù)歸納輸出的主系統(tǒng)處理裝置進(jìn)行的處理」的正當(dāng)性不能保證�,也可以確保安全性。
下面進(jìn)行詳細(xì)說明����。
第6圖表示在第1圖詳述的基本結(jié)構(gòu)上添加了進(jìn)行故障判定的故障判定裝置104~106及伴隨這些裝置的多個線路的結(jié)構(gòu)���。
在第6圖中,線路109~111是為了處理裝置101~103之間能夠互相交換信息�,互相確認(rèn)各處理裝置是否正常工作而配備的。處理裝置101~103在各處理裝置剛輸入數(shù)據(jù)或信息�,以及就要輸出數(shù)據(jù)或信息等時通過線路109~111相互交換輸入輸出數(shù)據(jù)來相互確認(rèn)。
首先����,處理裝置101~103交換數(shù)據(jù),輸出暫時的診斷結(jié)果�����。例如�����,處理裝置101收到處理裝置102和處理裝置103來的數(shù)據(jù)�����,與自己的數(shù)據(jù)等進(jìn)行比較���,在所有的數(shù)據(jù)一致時��,可判斷為“處理裝置101正常�、處理裝置102正常��、處理裝置103正?!保恢挥刑幚硌b置103的數(shù)據(jù)與自己的數(shù)據(jù)等不同時����,可判斷為“處理裝置101正常、處理裝置102正常��、處理裝置103異?����!?����;只有處理裝置102的數(shù)據(jù)與自己的數(shù)據(jù)不同時����,可判斷為“處理裝置101正常��、處理裝置102異常�����、處理裝置103正?��!保惶幚硌b置102和處理裝置103的兩個數(shù)據(jù)都與自己的數(shù)據(jù)不同時�,可判斷為“處理裝置101正常、處理裝置102異常�、處理裝置103異常”��。而且線路109~111也可用于在向控制器107傳送數(shù)據(jù)等時��,將數(shù)據(jù)等收集于下述主系統(tǒng)處理裝置�����,或各處理裝置間控制用數(shù)據(jù)或觀測數(shù)據(jù)等的交換���。
故障判定裝置104~106是接收處理裝置101~103進(jìn)行的健全性判斷�,依據(jù)該信息判定處理裝置101~103的故障的故障判定裝置����。
這里詳細(xì)說明故障判定裝置104的動作��。
故障判定裝置104接收處理裝置101來的健全性判斷信息,將該信息與故障判定裝置105�、106互相交換,以此判定101的故障�。例如關(guān)于處理裝置101的健全性的判斷,如上所述��,是“處理裝置101正常��、處理裝置102正常��、處理裝置103正?���!保疤幚硌b置101正常���、處理裝置102正常�、處理裝置103異?!保疤幚硌b置101正常���、處理裝置102異常����、處理裝置103正常”���,“處理裝置101正常��、處理裝置102異常��、處理裝置103異?����!敝械哪骋粋€種��。故障判定裝置104接收這一信息����,關(guān)于處理裝置102的信息向故障判定裝置105發(fā)送�����、關(guān)于處理裝置103的信息向故障判定裝置106發(fā)送�。而且��,從故障判定裝置105����、故障判定裝置106接收關(guān)于處理裝置101的信息��。即故障判定裝置104接收處理裝置101自身進(jìn)行判斷的自處理系統(tǒng)的判斷�、處理裝置102關(guān)于處理裝置101下的判斷��、處理裝置103關(guān)于處理裝置101下的判斷3個判斷結(jié)果�。這里,如果2個以上的判斷結(jié)果為正常�,則處理裝置101正常,如果不是�����,即判斷為處理裝置101異常�����,把該判斷結(jié)果發(fā)送給處理裝置101���。處理裝置101根據(jù)這個判斷結(jié)果�����,繼續(xù)工作或停止�����。故障判定裝置105��、106也進(jìn)行與故障判定裝置104相同的處理���。例如�����,考慮處理裝置101發(fā)生故障的情況����。
處理裝置101作健全性判斷�,暫定判斷為全部系統(tǒng)正常。因處理裝置102��、103正常�,故判斷處理裝置101故障。在處理裝置101~103得到的各判斷結(jié)果被傳送到故障判定裝置104~106,在那里進(jìn)行如下的邏輯判斷��。
〈故障判定裝置104的判斷)關(guān)于處理裝置101����,處理裝置101的判斷正常關(guān)于處理裝置101,處理裝置102的判斷異常關(guān)于處理裝置101�����,處理裝置103的判斷異常因2個處理裝置判斷處理裝置101異常���,根據(jù)多數(shù)決定判定處理裝置101有故障。
〈故障判定裝置105的判斷)關(guān)于處理裝置102����,處理裝置101的判斷正常關(guān)于處理裝置102,處理裝置102的判斷正常關(guān)于處理裝置102���,處理裝置103的判斷正常因3個處理裝置判斷處理裝置102正常����,故判定處理裝置102正常����。
〈故障判定裝置106的判斷>
關(guān)于處理裝置103����,處理裝置101的判斷正常關(guān)于處理裝置103�,處理裝置102的判斷正常關(guān)于處理裝置103,處理裝置103的判斷正常因為3個處理裝置判斷處理裝置103正常���,所以判斷處理裝置103正常�����。
線路115�、117�����、119是用于把處理裝置101~103作出的關(guān)于各處理裝置的健全性判斷的信息傳送給故障判定裝置104~106的傳送電路��。
線路116���、118��、120是用于把故障判定裝置104~106作出的關(guān)于各處理裝置的故障判斷的信息傳送給處理裝置101~103的傳送電路�。
線路112~114是用于把處理裝置101~103作出的關(guān)于各處理裝置健全性判斷的信息通過故障判定裝置104~106進(jìn)行交換的通信線路。
線路121是用于把多重系統(tǒng)處理裝置100作出的轉(zhuǎn)軌機(jī)和信號機(jī)的控制命令傳送給控制器107�,或把控制器107的信息傳送給多重系統(tǒng)處理裝置100的通信線路。
下面用第7圖說明故障判定裝置104~106的內(nèi)部結(jié)構(gòu)�����。
在第7圖中���,健全性判斷電路1041是用于把關(guān)于處理裝置101的健全性判斷的信息相應(yīng)于處理裝置101~103的各處理裝置進(jìn)行分割的電路����。
配線1044��、1121�、1141是分別傳送關(guān)于處理裝置101、102��、103的健全性判斷結(jié)果的配線��,判斷為健全時發(fā)ON信號�����,判斷為不健全時發(fā)OFF信號��。這些信號由處理裝置101的判斷結(jié)果決定�。
配線1122、1142都是傳送關(guān)于101的健全性判斷結(jié)果的配線�����,判斷為健全時發(fā)ON信號��,判斷為不健全時發(fā)OFF信號����。通過配線1122的信號是根據(jù)處理裝置102的判斷結(jié)果決定的,通過配線1142的信號是根據(jù)處理裝置103的判斷結(jié)果決定的�。配線1121、1122在第6圖中由112表示����。在第7圖中,為分別表現(xiàn)發(fā)送和接收����,把112由發(fā)送信息用的1121和接收信息用的1122來分開表示。同樣���,配線1141�����、1142在第4圖中由114表示����,為區(qū)分發(fā)送和接收,用1141��、1142分開表示��。
配線1042是從配線1122�、1142接收信號,進(jìn)行邏輯和運算的電路��。102�����、103中任何一個或兩個都判斷「101為健全」時�����,本電路就生成ON的輸出�����。
1043是把1042的輸出傳給1045的配線��,并傳送以關(guān)于101的���,102�����、103的健全性判斷為依據(jù)的信息��。
1045是從1041�����、1042接收信號,進(jìn)行邏輯積運算的電路�����。1041輸出101作的關(guān)于101自身的健全性判斷結(jié)果���,1042輸出102�、103作的關(guān)于101的健全性判斷結(jié)果��。僅在101判斷101自身為健全并且102、103中任一個或兩個都判斷101健全時���,1045輸出為ON���,此外都為OFF���。利用104~106的功能���,采用處理裝置101~103中多數(shù)的判斷����,實行101~103的故障判定��。
處理裝置101~103中被判定為無故障的處理裝置作為主系統(tǒng)�,其他系統(tǒng)的作為副系統(tǒng)���。只要確保至少有一個副系統(tǒng)����,100就繼續(xù)工作����。即101~103在工作時即使有一個發(fā)生故障���,也能夠以剩余的2個中任何一個為主系統(tǒng)����,其余的為副系統(tǒng)����,繼續(xù)工作,而在2個發(fā)生故障時100停止工作����。另外,3個組成的系統(tǒng)工作時��,主系統(tǒng)發(fā)生故障的情況下��,分配迄今為止一直作為副系統(tǒng)工作的處理裝置為新的主系統(tǒng)繼續(xù)工作。
在處理裝置101~103上工作的多重系統(tǒng)處理裝置的軟件把控制轉(zhuǎn)軌機(jī)和信號機(jī)用的數(shù)據(jù)按圖8(a)所示的形式生成�����。
一般說來��,轉(zhuǎn)軌機(jī)在2個方向(定位方向�����、反位方向)上轉(zhuǎn)換����,而數(shù)據(jù)中生成與各轉(zhuǎn)軌機(jī)的各方向?qū)?yīng)的位列信息���。關(guān)于信號機(jī)���,也以使對應(yīng)于紅、黃���、藍(lán)等燈泡的信息對應(yīng)于各信號機(jī)的位列信息的形式生成�。各信息的意義為���,實行控制時為on����,不實行時為off�����。101~103是在第8圖(a)的數(shù)據(jù)上附加冗余代碼,作成第8圖(b)所示形式的數(shù)據(jù)�����。冗余代碼可以使用奇偶校驗代碼�、CRC代碼等。而且�����,101~103是在第8圖(b)的數(shù)據(jù)上使用各個連動邏輯裝置各自具有的編碼密鑰����,生成第8圖(c)所示形式的數(shù)據(jù)。編碼方式可以使用作為密碼方式聞名的DES代碼�����,這里表示用預(yù)先準(zhǔn)備的有足夠位長的屏蔽數(shù)據(jù)進(jìn)行每一位的“異”邏輯和演算的編碼方式����。
處理裝置101~103生成的、第8圖(c)形式的數(shù)據(jù)通過配線109~111暫時集中到主系統(tǒng)�。例如,處理裝置101是主系統(tǒng)裝置時,處理裝置102����、103生成的、第8圖(c)形式的數(shù)據(jù)集中到主系統(tǒng)處理裝置101����。
主系統(tǒng)處理裝置101用收集到的各處理結(jié)果,作成第9圖所示形式的數(shù)據(jù)�。在第9圖��,3個的數(shù)據(jù)字段原封不動地包含處理裝置101~103處理(運算)的����、具有第8圖(c)所示形式的數(shù)據(jù)。構(gòu)成信息被包含在關(guān)于處理裝置101~103工作狀況的信息里����。例如,如果處理裝置101發(fā)生故障�����,處理裝置102�����、103工作著,則就是存儲101有故障��,102工作�����,103工作的信息的情況���。
這個例子中���,收集著結(jié)構(gòu)信息,但是也在每個處理結(jié)果上附加表示各處理裝置的工作狀態(tài)的信息����。
第9圖所示形式的數(shù)據(jù)從主系統(tǒng)處理裝置101通過線路121傳送給控制器107。
反過來����,從控制器107接收數(shù)據(jù)的情況如下所述。
主系統(tǒng)處理裝置101通過線路121從控制器107接收第10圖所示形式的數(shù)據(jù)���。第9圖的各數(shù)據(jù)字段的形式就是第8圖(c)的形式����。
接著,主系統(tǒng)處理裝置101按照第9圖形式的數(shù)據(jù)的結(jié)構(gòu)信息�����,把數(shù)據(jù)字段的各數(shù)據(jù)通過線路109~111只向工作中的各處理裝置傳送�����。
處理裝置101~103通過線路109~111接收到第8圖(c)形式的數(shù)據(jù)���,由各個連動邏輯裝置用各自的譯碼密鑰將其譯碼���,生成第8圖(b)所示形式的數(shù)據(jù)��。這里���,進(jìn)行冗余碼的確認(rèn)����,發(fā)現(xiàn)異常時�����,廢棄相應(yīng)電文,未發(fā)現(xiàn)異常時�,去除冗余碼,生成第8圖形式的數(shù)據(jù)����。第8圖形式的數(shù)據(jù)包含對應(yīng)于轉(zhuǎn)軌機(jī)、信號機(jī)的各信息的位串���,也包含相應(yīng)于軌道電路的狀態(tài)的信息的位列�����。
下面用第11圖~第14圖說明構(gòu)成多重系統(tǒng)處理裝置100的主系統(tǒng)處理裝置及副系統(tǒng)處理裝置的處理內(nèi)容�����。
在第11圖中顯示了主系統(tǒng)處理裝置101從控制器107收到構(gòu)成多重系統(tǒng)處理裝置的各處理裝置進(jìn)行處理(運算)用的數(shù)據(jù)后����,上位裝置發(fā)來控制要求之前�����,主系統(tǒng)處理裝置的處理動作。
主系統(tǒng)處理裝置101從控制器107收到第8圖(c)形式的數(shù)據(jù)(步驟1101)�,然后根據(jù)包含在數(shù)據(jù)里的結(jié)構(gòu)信息,分解成兩份數(shù)據(jù)��,即主系統(tǒng)處理裝置的一份和各副系統(tǒng)處理裝置一份(步驟1102)��,副系統(tǒng)處理裝置的一份傳送到各副系統(tǒng)處理裝置(步驟1103)�����。其后�����,主系統(tǒng)處理裝置的一份的數(shù)據(jù)用自處理裝置獨自的譯碼密鑰對數(shù)據(jù)進(jìn)行譯碼(步驟1104)��,利用確認(rèn)被附加的冗余碼的方法確認(rèn)信息的正確性(步驟1105)��。如被判斷為信息不正當(dāng)就廢棄該數(shù)據(jù)(步驟1106)�����,如被判斷為數(shù)據(jù)正當(dāng)�,就等待上位裝置來的控制要求���。
第12圖表示對從主系統(tǒng)處理裝置向副系統(tǒng)處理裝置送來的數(shù)據(jù)進(jìn)行的處理���。
各副系統(tǒng)處理裝置102��、103從主系統(tǒng)處理裝置101接收數(shù)據(jù)(步驟1201)��,用各副系統(tǒng)處理裝置獨自持有的譯碼密鑰將收到的數(shù)據(jù)譯碼(步驟1202)���,通過對所附加的冗余碼進(jìn)行的確認(rèn)判斷數(shù)據(jù)的正當(dāng)性(步驟1203)。如被判斷為數(shù)據(jù)不正當(dāng)就廢棄該數(shù)據(jù)(步驟1204)��,如被判斷為數(shù)據(jù)正當(dāng)����,就等待上位裝置來的控制要求。
下面利用第13圖和第14圖的流程圖說明從上位裝置向多重系統(tǒng)處理裝置101輸出控制要求的情況下的��,主系統(tǒng)處理裝置101��、副系統(tǒng)處理裝置102�����、103的處理情況���。
第13圖表示副系統(tǒng)處理裝置的�����、從上位裝置收到控制要求到把處理結(jié)果發(fā)送給主系統(tǒng)處理裝置的處理流程��。
副系統(tǒng)處理裝置一旦從上位裝置收到控制要求��,就對第2圖�����、第3圖所說明的各控制要求進(jìn)行處理(運算)(步驟1301)�����。對該處理結(jié)果附加冗余碼(步驟1302)���,用各處理裝置獨有的編碼密鑰對數(shù)據(jù)進(jìn)行編碼(步驟1303)���,將編碼的處理結(jié)果數(shù)據(jù)發(fā)送給主系統(tǒng)處理裝置(步驟1304)����。
第14圖表示主系統(tǒng)處理裝置的���、從上位裝置收到控制要求到把處理結(jié)果發(fā)送給控制器107的處理流程。
主系統(tǒng)處理裝置同副系統(tǒng)處理裝置一樣�����,一旦從上位裝置收到控制要求�,就對第2圖、第3圖說明的各控制要求進(jìn)行處理(運算)(步驟1401)����。對該處理結(jié)果附加冗余碼(步驟1402),用各處理裝置獨有的編碼密鑰對數(shù)據(jù)進(jìn)行編碼(步驟1403)�����。在主系統(tǒng)處理裝置輸出自處理裝置的處理結(jié)果后����,就收集各副系統(tǒng)處理裝置送來的編碼的處理結(jié)果(步驟1404),集合對上位裝置的控制要求各處理裝置的處理結(jié)果(步驟1405)���,集合后的處理結(jié)果傳送到控制器107(步驟1407)���。
這樣的3重系統(tǒng)以上的多重系統(tǒng)構(gòu)成的處理裝置��,即使有一個系統(tǒng)發(fā)生故障��,其余的系統(tǒng)往往可以繼續(xù)動作����,例如由3重系統(tǒng)構(gòu)成的處理裝置中一個系統(tǒng)發(fā)生故障����,變成2重系統(tǒng)的結(jié)構(gòu),即使如此���,如果判定2重系統(tǒng)的輸出一致�����,則可以不損害安全地繼續(xù)工作����。
以上的說明是對一多重系統(tǒng)處理裝置107由3重系統(tǒng)構(gòu)成的例子進(jìn)行的說明���,但是它也適用于4重系統(tǒng)以上的多重系統(tǒng)結(jié)構(gòu)�����。而且��,即使是在2重系統(tǒng)結(jié)構(gòu)的情況下�,多數(shù)表決遇到相同數(shù)目不能夠決定時�����,可以用使主系統(tǒng)處理裝置的處理結(jié)果優(yōu)先等附加優(yōu)先度的方法�����。
而且�,雖然說明了為防止篡改,構(gòu)成多重系統(tǒng)處理裝置的各處理裝置間的數(shù)據(jù)傳送�、多重系統(tǒng)處理裝置與控制器的數(shù)據(jù)傳送中,將各數(shù)據(jù)編碼傳送的例子�����,但是也可以考慮在無篡改危險性等情況下���,根據(jù)需要不進(jìn)行編碼原封不動地傳送處理結(jié)果等�����。
而且��,控制器107雖然進(jìn)行多數(shù)決定運算����,但是也可以進(jìn)行只有當(dāng)全部數(shù)據(jù)一致時才進(jìn)行有效控制的一致運算。
工業(yè)應(yīng)用性運用本發(fā)明��,在不損壞安全性能的前提下�����,多重系統(tǒng)處理裝置和控制器間的通信可得到如下所述結(jié)果�。
控制器判斷由多重系統(tǒng)處理裝置處理的結(jié)果,生成控制命令�,因此可以縮短執(zhí)行時間。而且因為多重系統(tǒng)處理裝置與控制器之間的配線少�,即使控制點數(shù)增多,配線量也沒有變化���,可適用于大型車站��。
權(quán)利要求
1.一種多重系統(tǒng)處理裝置���,由分別接收相同的輸入��,進(jìn)行相同的處理����,生成各處理結(jié)果并輸出的多個處理裝置構(gòu)成�����,其特征在于����,所述多個處理裝置中以任意一個處理裝置作為主系統(tǒng)處理裝置����,其他處理裝置作為副系統(tǒng)處理裝置,所述主系統(tǒng)處理裝置由收集所述副系統(tǒng)處理裝置和所述主系統(tǒng)處理裝置的處理結(jié)果的收集部����,以及輸出該收集部收集的處理結(jié)果的輸出部構(gòu)成。
2.根據(jù)權(quán)利要求1所述的多重系統(tǒng)處理裝置���,其特征在于���,一旦所述收集部收集了所述多個處理裝置的處理結(jié)果�,所述輸出部就將該處理結(jié)果加以匯集�、輸出。
3.根據(jù)權(quán)利要求2所述的多重系統(tǒng)處理裝置�����,其特征在于�,一旦收集了所述的多個處理裝置中正常工作的處理裝置的處理結(jié)果,所述收集部就將該處理結(jié)果匯集��、輸出��。
4.根據(jù)權(quán)利要求1~3中的任一項所述的多重系統(tǒng)處理裝置��,其特征在于����,在輸出所述處理結(jié)果時,所述輸出部對其附加所述多個處理裝置的工作狀態(tài)后輸出����。
5.根據(jù)權(quán)利要求1~4中的任一項所述的多重系統(tǒng)處理裝置,其特征在于���,前述副系統(tǒng)處理裝置把各自處理裝置的輸出結(jié)果用各處理裝置持有的獨自的編碼密鑰進(jìn)行編碼后輸給所述主系統(tǒng)處理裝置����,所述主系統(tǒng)處理裝置利用自處理裝置持有的獨自的編碼密鑰進(jìn)行編碼,集合從所述多個副系統(tǒng)處理裝置收集的編碼的處理結(jié)果和所述主系統(tǒng)處理裝置的編碼的處理結(jié)果并輸出���。
6.一種控制器���,連接于多重系統(tǒng)處理裝置�����,其特征在于�,從該多重系統(tǒng)處理裝置將構(gòu)成該多重系統(tǒng)處理裝置的處理裝置的處理結(jié)果集合、傳送過來時�,判斷接收的多個處理結(jié)果的多數(shù)進(jìn)行決定或判定一致后輸出控制命令。
7.根據(jù)權(quán)利要求6所述的控制器���,其特征在于���,從所述多重系統(tǒng)處理裝置發(fā)送的處理結(jié)果被編碼時,使用與構(gòu)成所述多重系統(tǒng)處理裝置的處理裝置分別對應(yīng)的譯碼密鑰�����,將收到的各處理結(jié)果譯碼,然后在數(shù)據(jù)間進(jìn)行多數(shù)決定或判定一致后發(fā)出控制命令���。
8.一種多重系統(tǒng)處理系統(tǒng)����,由分別接收相同的輸入�����,進(jìn)行相同的處理�����,生成各處理結(jié)果輸出的多個處理裝置構(gòu)成的多重系統(tǒng)處理裝置和與該多重系統(tǒng)處理裝置連接的控制器構(gòu)成����,其特征在于,具備以構(gòu)成所述多重系統(tǒng)處理裝置的所述多個處理裝置中的任意一個處理裝置作為主系統(tǒng)處理裝置�,其他處理裝置作為副系統(tǒng)處理裝置,前述主系統(tǒng)處理裝置由收集所述副系統(tǒng)處理裝置和所述主系統(tǒng)處理裝置的處理結(jié)果的收集部和輸出該收集部收集的處理結(jié)果的輸出部構(gòu)成的多重系統(tǒng)處理裝置�,以及該多重系統(tǒng)處理裝置的構(gòu)成該多重系統(tǒng)處理裝置的處理裝置來的處理結(jié)果集合、傳送過來時�,判斷接收的多個處理結(jié)果的多數(shù)進(jìn)行決定或判定一致后輸出控制命令��。
9.根據(jù)權(quán)利要求8所述的多重系統(tǒng)處理系統(tǒng)�,其特征在于�,構(gòu)成所述多重系統(tǒng)處理裝置的各處理裝置將所述各處理裝置獨自保持的對自處理結(jié)果進(jìn)行編碼的編碼密鑰,利用該編碼密鑰進(jìn)行編碼的處理結(jié)果輸出到所述控制器�����,所述控制器保持對應(yīng)于構(gòu)成所述多重系統(tǒng)處理裝置的各處理裝置獨自保持的編碼密鑰的譯碼密鑰�����,用對應(yīng)的譯碼密鑰對從所述多重系統(tǒng)處理裝置接收到的各處理結(jié)果進(jìn)行譯碼�。
全文摘要
本發(fā)明的多重系統(tǒng)處理裝置,以不損害安全為前提,實現(xiàn)不增加多重系統(tǒng)處理裝置與控制器間的配線,能適用于大型車站且執(zhí)行時間短的裝置。這種裝置由分別接收相同的輸入,進(jìn)行相同處理,輸出生成的各處理結(jié)果的多個處理裝置構(gòu)成,多個處理裝置中以任意一個處理裝置作為主系統(tǒng)處理裝置,其它的作為副系統(tǒng)處理裝置,主系統(tǒng)處理裝置由收集多個副系統(tǒng)處理裝置和主系統(tǒng)處理裝置的處理結(jié)果的收集部,以及向控制器輸出由收集部收集來的處理結(jié)果的輸出部構(gòu)成�。
文檔編號G06F11/18GK1306482SQ99807616
公開日2001年8月1日 申請日期1999年6月17日 優(yōu)先權(quán)日1998年6月19日
發(fā)明者川端敦, 渡部悌, 小熊賢司, 豐田泰之, 佐藤寬, 藤原道雄, 佐藤博康 申請人:株式會社日立制作所