多重系統處理裝置及其連接的控制器和多重系統處理系統的制作方法

專利名稱：多重系統處理裝置及其連接的控制器和多重系統處理系統的制作方法
技術領域：
本發明是涉及使多個處理裝置進行相同處理，依據各處理裝置的處理結果，對控制對象裝置進行控制的多重系統處理裝置，特別是涉及在鐵路行業，控制對象裝置是要求高可靠性的信號機和轉軌機等的列車控制器，對這種控制對象裝置能進行高效率的數據傳送的多重系統處理裝置及多重系統處理裝置系統。
背景技術：
鐵路行業的處理系統為了控制信號機和轉軌機的控制器，接收「列車位置」、「轉軌機狀態」、「信號機狀態」，根據其關系控制信號機和轉軌機。它們的功能結構由以下兩部分構成(1)讀取列車位置和轉軌機方向等的信息，判定取入的信息的連鎖關系，遵從上位裝置的命令，根據判定結果和命令，對控制器輸出轉軌機的轉換命令和信號機的控制命令的處理裝置，(2)遵從處理裝置的命令，進行轉軌機轉換或信號機指示燈點亮等的電力控制的控制器。
進行信號機的信號切換和轉軌機的切換等的控制器及向該控制器發出命令的處理裝置的故障直接聯系到列車事故，因此要求安全性及從而也要求高可靠性。而且，這些系統的基本思想是，實現即使在這些系統發生故障的情況下，也保持安全狀態停止動作的「故障保險系統」。為實現故障保險的處理裝置和信號機等的控制器，往往使用多重系統構成的處理裝置。多重系統構成的處理裝置的安全性是基于「多臺計算機同時發生故障，作出同樣的錯誤信息的幾率微乎其微」的考慮。
根據多重系統構成的處理裝置的輸出發出控制命令時，把多重系統構成的處理裝置輸出的多個輸出組成1組，而且有必要保證其正當性。基于這種考慮的已有技術如文獻「巖本他新電子連動裝置和現場機器的信息傳送第29回鐵路行業利用控制論國內專題討論會論文集P.499～503,(1992)」(第1項已有技術)所述，揭示了由多重系統構成的連動邏輯裝置(多重系統處理裝置)與具有故障保險性的信號機控制器之間安全地進行信息傳送的技術。這種已有的技術，首先以多重系統構成的處理裝置中的一個作為主系統處理裝置，由這個主系統處理裝置向信號機控制器和副系統處理裝置發出控制命令，接收控制命令的副系統處理裝置進行監視該控制數據是否正確的控制記錄，而且信號機控制器將收到的控制命令送回處理裝置，從信號機控制器接收到控制命令的答復的全部處理裝置，驗證該控制命令的正當性，如果沒有問題，主系統處理裝置首先就根據發送到信號機控制器的控制命令，執行向信號機控制器發出開始控制的指令的控制。該項已有技術由于主系統處理裝置作成的控制命令確實傳送到信號機控制器的情況得到全部系統的確認后控制得以執行，安全性得以確保。而且，上述已有的例子中多重系統處理裝置與控制器間有數根配線。
第2項已有技術在文獻「川端等人考慮故障發生時的繼續使用條件的小型電子連動裝置的開發電氣學會論文集D,p.1348～1356,(1997)」中記載。這項已有技術揭示了構成多重系統的各處理裝置通過與信號機及轉軌機等一一對應的位(bit)構成的并聯線路輸出控制命令，接收該控制命令的信號機控制器對數據的各位進行多數決定來控制轉軌機及信號機的技術。此項技術因采用了對多個處理裝置的輸出由多數決定的方法而可以確保安全性，故無需先前所示的分2階段的控制。另外，這個已有例中的多重系統處理裝置與控制器間通常有數百根配線。
前述的第1項已有技術中，多重系統處理裝置即使向控制器發出控制命令，在實際對信號機控制器進行控制時，由于執行上述控制登記和控制實行的2階段控制，實際讓信號機等動作時執行時間需要很多。而且前述的第2項已有技術因構成多重系統的各處理裝置和信號機控制器由并聯線路連接，并聯線路數目為信號機和轉軌機等控制對象的數目對應的位數，因此，一旦控制對象增加配線即增加，所以其適用處所只是控制對象少的小車站。
也就是說，第1項已有技術所示的分2階段控制，雖然配線數少但處理時間長了，第2項已有技術所示的由信號機控制器采取多數決定的方法中，存在處理時間短但配線數多的問題。

發明內容
本發明的目的是在不破壞安全性的前提下，實現不增加多重系統處理裝置與控制器間的配線，可適用于大型車站，并且執行時間短的裝置。
為解決這樣的問題，本發明的多重系統處理裝置是由分別接受相同的輸入進行相同的處理，生成各種處理結果并輸出的多個處理裝置構成的，多個處理裝置中以任意一個處理裝置作為主系統處理裝置、其他處理裝置作為副系統處理裝置，主系統處理裝置由收集多個副系統處理裝置和主系統處理裝置的處理結果的收集部和把收集部收集的處理結果向控制器輸出的輸出部構成的。由于這樣由主系統處理裝置收集副系統處理裝置的處理結果和主系統處理裝置的處理結果向控制器輸出，配線數可能減少。另外，在控制器一側，因是由多數決定或判定一致的結構，與分2階段的控制相比，數據傳送所需的處理時間可以縮短。
本發明中，構成多重系統的各處理裝置保持著獨特的編碼密鑰，數據全部由該編碼密鑰編碼再向主系統傳送。主系統將自身的數據也用自己的編碼密鑰編碼，與副系統來的數據一起匯總輸出。接收數據的處理裝置保持著全譯碼密鑰，數據用該密鑰譯碼并進行多數決定或一致處理。這時，如果主系統無論有什么樣的故障也不能得到副系統編碼密鑰，則煞有介事地篡改從副系統得到的數據是不可能的，從而確保了安全性。
附圖
概述第1圖表示本發明的多重系統處理裝置的基本構成。
第2圖說明構成多重系統處理裝置的各處理裝置的處理(演算)內容。
第3圖說明構成多重系統處理裝置的各處理裝置的處理(演算)內容。
第4圖表示本發明的控制器的處理步驟。
第5圖表示本發明的控制器的處理步驟。
第6圖詳細說明本發明的多重系統處理裝置。
第7圖表示本發明的故障診斷裝置的具體結構。
第8圖是在本發明的多重系統處理裝置和控制器間交換的數據的形式。
第9圖是本發明的多重系統處理裝置向控制器傳送的數據結構。
第10圖是本發明中用到的顯示數據的形式。
第11圖是本發明的主系統處理裝置的處理流程圖。
第12圖是本發明的副系統處理裝置的處理流程圖。
第13圖是本發明的副系統處理裝置的處理流程圖。
第14圖是本發明的主系統處理裝置的處理流程圖。
本發明的最佳實施方式下面運用第1圖來詳細說明本發明的基本結構。
第1圖表示本發明適用的多重系統處理系統。多重系統處理裝置100是由從沒有圖示的上位裝置通過線路108，接受對信號機和轉軌機等進行控制用的控制要求進行相同的處理(運算)，輸出各處理結果的多個處理裝置101～103構成。
控制器107是實際控制連接于控制器107的信號機、轉軌機和軌道電路等的控制器，是從多重系統處理裝置100接收處理結果，按照收到的處理結果實際控制信號機和轉軌機的。
多重系統處理裝置100和控制器107是由線路121連接進行數據和信息傳送的。而且，如10所示，集合由線路127連接于該多重系統處理裝置100的控制器107，也可作為多重系統處理系統10。另外，線路108還具有從多重系統處理裝置100向上位裝置傳送信號機、轉軌機和軌道電路等的各種傳感器信息的作用。
下面說明構成多重系統處理裝置100的處理裝置101～103的處理概要。
處理裝置101～103是構成多重系統處理裝置100的各處理裝置，各處理裝置101～103具有相同的功能。各處理裝置101～103通過線路108從上位裝置接收相同的輸入(從上位裝置來的信號機、轉軌機的控制要求)，進行相同處理(運算)，輸出結果。
下面說明關于本發明的基本結構的動作。
本發明中，由構成多重系統處理裝置100的多個處理裝置101～103中的任意一個作為主系統處理裝置，其余的處理裝置作為副系統處理裝置。這種任選一個的主系統處理裝置的選擇方法，操作者可以設定，而且也可以利用定時器等根據時間切換(選擇)主系統處理裝置。
第1圖說明處理裝置101被選擇為主系統處理裝置，其余的處理裝置102、103作為副系統處理裝置時的處理。
無論主系統處理裝置還是副系統處理裝置，各處理裝置都是根據從上位裝置接收的控制要求，如下所述在處理部1012進行相同的處理后輸出處理結果。
然后副系統處理裝置102、103將其處理結果送給主系統處理裝置。
主系統處理裝置101的收集部1011收集副系統處理裝置102、103送來的處理結果和自處理裝置的處理結果，輸出部1013通過線路121向控制器107輸出各處理裝置的處理結果。具體地說，由多重系統處理裝置100發出轉軌機轉換命令，信號機控制命令等。
收到多重系統處理裝置100的輸出的控制器107，依據傳送來的處理結果由如下所詳述的多數決定等運算作成各信號機、轉軌機等的控制命令，通過連接未圖示的信號機、轉軌機和軌道線路等現場設備的并聯線路122發出控制命令。具體的說，是輸出軌道線路信息等。采用這樣的結構，控制器107因無需向多重系統處理裝置100確認控制命令發出，可以縮短處理時間，而且多重系統處理裝置100的主系統處理裝置101收集了處理結果，因此線路數量也可減少。
而且，各處理裝置101～103為了互相確認各處理裝置是否正常工作而進行信息交換，根據該信息把握各處理裝置中哪個處理裝置發生異常，對各處理裝置來的處理結果附加表示是正常工作著還是有異常發生的信息后傳送到控制器，所以能夠進行精度更高的控制。關于根據信息交換判定異常由第6圖、第7圖詳細說明。
接著用第2圖、第3圖來說明多重系統處理裝置100的各處理裝置進行的處理(運算)。
多重系統處理裝置100的各處理裝置經由線路121預先從控制器107分別接收「列車位置」、「轉軌機狀態」、「信號機狀態」等信息，根據這些預先收到的信息和上位裝置的控制要求，向控制器實際發出控制命令。
具體地說，這個處理就是多重系統處理裝置100通過線路108從上位裝置收到如第2圖所示的列車2要進入1號線的進路設定要求(控制要求)時，根據控制器107預先收到的信息，輸出「1號線有列車，為防止沖突，發停止信號」的處理結果。又，從上位裝置收到要進入2號線的進路設定要求(控制要求)時，根據預先收到信息輸出「2號線沒有列車，可通行」的處理結果。又，如第3圖所示，多重系統處理裝置100從上位裝置收到列車2要進入2號線的進路設定要求(控制要求)時，根據預先收到的信息輸出「列車前方的轉軌機已經預約給列車1使用，所以不能進入2號線，發停止信號」的處理結果。
下面用第4圖、第5圖來說明關于控制器107進行的處理的內容。
首先用第4圖說明把構成多重系統處理裝置100的處理裝置101～103進行的處理(運算)用的數據發送給多重系統處理裝置100處理。
控制器107通過配線122取入通過配線122實際配置在控制器107上的信號機、轉軌機、控制電路等來的數據(步驟401)、給取入的數據加冗余碼(步驟402)、復印該數據作成三組數據(步驟403)。然后把這三組數據用與處理裝置101～103對應的編碼密鑰分別進行編碼(步驟404)，附加結構信息，組成第8圖(c)的形式的數據(步驟405)，向多重系統處理裝置100的主系統處理裝置101傳送數據。在控制器107一側把數據復印構成多重系統處理裝置的處理裝置的數量的份數，是為了使主系統處理裝置101不能篡改傳送給多重系統處理裝置100的主系統處理裝置101的數據。
下面利用第5圖說明如何處理多重系統處理裝置100的主系統處理裝置101傳來的處理結果。
接收從多重系統處理裝置100傳來的處理結果(步驟501)、然后分解該處理結果給各處理裝置(步驟502)。接著利用對應于處理裝置101～103的譯碼密鑰將數據譯碼(步驟503)，確認各處理結果的冗余碼(步驟504)。確認結果后廢棄發現異常的處理結果(步驟505)，對于未發現異常的處理結果則繼續以下處理。通過這樣處理的處理結果再由各位的多數決定最終的控制信息(步驟506)。依據這一結果，控制器107向連接于控制器107的實際的信號機、轉軌機和控制電路等發出控制命令(步驟507)。從控制器107收到控制命令的信號機、轉軌機等根據控制命令點亮信號燈，切換轉軌機。
下面對根據各處理裝置的相互監視診斷故障的具體例子加以說明。
本發明中構成多重系統的全部處理裝置的數據暫時集中于主系統后匯總發送，而且關于全部處理裝置的工作狀況的數據也同時發送。因此，控制器能夠了解從多重系統處理裝置送來的有幾組數據，可以立即實行多數決定或一致判定。這樣的構成與構成多重系統的各處理裝置分別將數據傳送給控制器的結構相比，通信不擁擠，能夠整然地傳送，而且接收側無需白白等待停止工作的處理系統的輸出數據。
而且，本說明書所述的關于多重系統構成的處理系統的安全性由全部處理系統互相確認進行著完全相同的運算來確保。例如判斷某接點接通(ON)，是由多重系統構成的處理系統完全平行地進行，其結果也一致。這樣的動作的一致是由互相交換輸入輸出數據或運算中的數據來確認的。
但是，收集從副系統處理裝置來的數據加以歸納發送的處理是只由主系統處理裝置進行的處理，沒有保證其正當性的手段。其結果是，在最壞的情況下，主系將從副系統收到的數據錯誤地改寫，作成符合條理的但卻是錯誤的信息。這時收到數據的處理裝置用多數表決、判斷一致等手法也不能檢出其錯誤，就作了錯誤控制。
為解決這個問題，有必要導入編碼技術。所謂利用編碼處理的信息傳送是接收方和發送方擁有共通的密鑰，發送方用該密鑰將信息編碼，接收方用所持的密鑰譯碼的方式。這種方式不僅具有將編碼的信息傳到他處內容也不會泄漏的、編碼技術本來的特征，而且還有不能進行不正當的數據篡改的大特征。因為不能不正當篡改，接收方如果收到的信息是正當的，接收方就可以確定其信息的發送者。利用這個特征，即使「收集從副系統處理裝置來的數據歸納輸出的主系統處理裝置進行的處理」的正當性不能保證，也可以確保安全性。
下面進行詳細說明。
第6圖表示在第1圖詳述的基本結構上添加了進行故障判定的故障判定裝置104～106及伴隨這些裝置的多個線路的結構。
在第6圖中，線路109～111是為了處理裝置101～103之間能夠互相交換信息，互相確認各處理裝置是否正常工作而配備的。處理裝置101～103在各處理裝置剛輸入數據或信息，以及就要輸出數據或信息等時通過線路109～111相互交換輸入輸出數據來相互確認。
首先，處理裝置101～103交換數據，輸出暫時的診斷結果。例如，處理裝置101收到處理裝置102和處理裝置103來的數據，與自己的數據等進行比較，在所有的數據一致時，可判斷為“處理裝置101正常、處理裝置102正常、處理裝置103正常”；只有處理裝置103的數據與自己的數據等不同時，可判斷為“處理裝置101正常、處理裝置102正常、處理裝置103異常”；只有處理裝置102的數據與自己的數據不同時，可判斷為“處理裝置101正常、處理裝置102異常、處理裝置103正常”；處理裝置102和處理裝置103的兩個數據都與自己的數據不同時，可判斷為“處理裝置101正常、處理裝置102異常、處理裝置103異常”。而且線路109～111也可用于在向控制器107傳送數據等時，將數據等收集于下述主系統處理裝置，或各處理裝置間控制用數據或觀測數據等的交換。
故障判定裝置104～106是接收處理裝置101～103進行的健全性判斷，依據該信息判定處理裝置101～103的故障的故障判定裝置。
這里詳細說明故障判定裝置104的動作。
故障判定裝置104接收處理裝置101來的健全性判斷信息，將該信息與故障判定裝置105、106互相交換，以此判定101的故障。例如關于處理裝置101的健全性的判斷，如上所述，是“處理裝置101正常、處理裝置102正常、處理裝置103正常”，“處理裝置101正常、處理裝置102正常、處理裝置103異常”，“處理裝置101正常、處理裝置102異常、處理裝置103正常”，“處理裝置101正常、處理裝置102異常、處理裝置103異常”中的某一個種。故障判定裝置104接收這一信息，關于處理裝置102的信息向故障判定裝置105發送、關于處理裝置103的信息向故障判定裝置106發送。而且，從故障判定裝置105、故障判定裝置106接收關于處理裝置101的信息。即故障判定裝置104接收處理裝置101自身進行判斷的自處理系統的判斷、處理裝置102關于處理裝置101下的判斷、處理裝置103關于處理裝置101下的判斷3個判斷結果。這里，如果2個以上的判斷結果為正常，則處理裝置101正常，如果不是，即判斷為處理裝置101異常，把該判斷結果發送給處理裝置101。處理裝置101根據這個判斷結果，繼續工作或停止。故障判定裝置105、106也進行與故障判定裝置104相同的處理。例如，考慮處理裝置101發生故障的情況。
處理裝置101作健全性判斷，暫定判斷為全部系統正常。因處理裝置102、103正常，故判斷處理裝置101故障。在處理裝置101～103得到的各判斷結果被傳送到故障判定裝置104～106，在那里進行如下的邏輯判斷。
〈故障判定裝置104的判斷)關于處理裝置101，處理裝置101的判斷正常關于處理裝置101，處理裝置102的判斷異常關于處理裝置101，處理裝置103的判斷異常因2個處理裝置判斷處理裝置101異常，根據多數決定判定處理裝置101有故障。
〈故障判定裝置105的判斷)關于處理裝置102，處理裝置101的判斷正常關于處理裝置102，處理裝置102的判斷正常關于處理裝置102，處理裝置103的判斷正常因3個處理裝置判斷處理裝置102正常，故判定處理裝置102正常。
〈故障判定裝置106的判斷>
關于處理裝置103，處理裝置101的判斷正常關于處理裝置103，處理裝置102的判斷正常關于處理裝置103，處理裝置103的判斷正常因為3個處理裝置判斷處理裝置103正常，所以判斷處理裝置103正常。
線路115、117、119是用于把處理裝置101～103作出的關于各處理裝置的健全性判斷的信息傳送給故障判定裝置104～106的傳送電路。
線路116、118、120是用于把故障判定裝置104～106作出的關于各處理裝置的故障判斷的信息傳送給處理裝置101～103的傳送電路。
線路112～114是用于把處理裝置101～103作出的關于各處理裝置健全性判斷的信息通過故障判定裝置104～106進行交換的通信線路。
線路121是用于把多重系統處理裝置100作出的轉軌機和信號機的控制命令傳送給控制器107，或把控制器107的信息傳送給多重系統處理裝置100的通信線路。
下面用第7圖說明故障判定裝置104～106的內部結構。
在第7圖中，健全性判斷電路1041是用于把關于處理裝置101的健全性判斷的信息相應于處理裝置101～103的各處理裝置進行分割的電路。
配線1044、1121、1141是分別傳送關于處理裝置101、102、103的健全性判斷結果的配線，判斷為健全時發ON信號，判斷為不健全時發OFF信號。這些信號由處理裝置101的判斷結果決定。
配線1122、1142都是傳送關于101的健全性判斷結果的配線，判斷為健全時發ON信號，判斷為不健全時發OFF信號。通過配線1122的信號是根據處理裝置102的判斷結果決定的，通過配線1142的信號是根據處理裝置103的判斷結果決定的。配線1121、1122在第6圖中由112表示。在第7圖中，為分別表現發送和接收，把112由發送信息用的1121和接收信息用的1122來分開表示。同樣，配線1141、1142在第4圖中由114表示，為區分發送和接收，用1141、1142分開表示。
配線1042是從配線1122、1142接收信號，進行邏輯和運算的電路。102、103中任何一個或兩個都判斷「101為健全」時，本電路就生成ON的輸出。
1043是把1042的輸出傳給1045的配線，并傳送以關于101的，102、103的健全性判斷為依據的信息。
1045是從1041、1042接收信號，進行邏輯積運算的電路。1041輸出101作的關于101自身的健全性判斷結果，1042輸出102、103作的關于101的健全性判斷結果。僅在101判斷101自身為健全并且102、103中任一個或兩個都判斷101健全時，1045輸出為ON，此外都為OFF。利用104～106的功能，采用處理裝置101～103中多數的判斷，實行101～103的故障判定。
處理裝置101～103中被判定為無故障的處理裝置作為主系統，其他系統的作為副系統。只要確保至少有一個副系統，100就繼續工作。即101～103在工作時即使有一個發生故障，也能夠以剩余的2個中任何一個為主系統，其余的為副系統，繼續工作，而在2個發生故障時100停止工作。另外，3個組成的系統工作時，主系統發生故障的情況下，分配迄今為止一直作為副系統工作的處理裝置為新的主系統繼續工作。
在處理裝置101～103上工作的多重系統處理裝置的軟件把控制轉軌機和信號機用的數據按圖8(a)所示的形式生成。
一般說來，轉軌機在2個方向(定位方向、反位方向)上轉換，而數據中生成與各轉軌機的各方向對應的位列信息。關于信號機，也以使對應于紅、黃、藍等燈泡的信息對應于各信號機的位列信息的形式生成。各信息的意義為，實行控制時為on，不實行時為off。101～103是在第8圖(a)的數據上附加冗余代碼，作成第8圖(b)所示形式的數據。冗余代碼可以使用奇偶校驗代碼、CRC代碼等。而且，101～103是在第8圖(b)的數據上使用各個連動邏輯裝置各自具有的編碼密鑰，生成第8圖(c)所示形式的數據。編碼方式可以使用作為密碼方式聞名的DES代碼，這里表示用預先準備的有足夠位長的屏蔽數據進行每一位的“異”邏輯和演算的編碼方式。
處理裝置101～103生成的、第8圖(c)形式的數據通過配線109～111暫時集中到主系統。例如，處理裝置101是主系統裝置時，處理裝置102、103生成的、第8圖(c)形式的數據集中到主系統處理裝置101。
主系統處理裝置101用收集到的各處理結果，作成第9圖所示形式的數據。在第9圖，3個的數據字段原封不動地包含處理裝置101～103處理(運算)的、具有第8圖(c)所示形式的數據。構成信息被包含在關于處理裝置101～103工作狀況的信息里。例如，如果處理裝置101發生故障，處理裝置102、103工作著，則就是存儲101有故障，102工作，103工作的信息的情況。
這個例子中，收集著結構信息，但是也在每個處理結果上附加表示各處理裝置的工作狀態的信息。
第9圖所示形式的數據從主系統處理裝置101通過線路121傳送給控制器107。
反過來，從控制器107接收數據的情況如下所述。
主系統處理裝置101通過線路121從控制器107接收第10圖所示形式的數據。第9圖的各數據字段的形式就是第8圖(c)的形式。
接著，主系統處理裝置101按照第9圖形式的數據的結構信息，把數據字段的各數據通過線路109～111只向工作中的各處理裝置傳送。
處理裝置101～103通過線路109～111接收到第8圖(c)形式的數據，由各個連動邏輯裝置用各自的譯碼密鑰將其譯碼，生成第8圖(b)所示形式的數據。這里，進行冗余碼的確認，發現異常時，廢棄相應電文，未發現異常時，去除冗余碼，生成第8圖形式的數據。第8圖形式的數據包含對應于轉軌機、信號機的各信息的位串，也包含相應于軌道電路的狀態的信息的位列。
下面用第11圖～第14圖說明構成多重系統處理裝置100的主系統處理裝置及副系統處理裝置的處理內容。
在第11圖中顯示了主系統處理裝置101從控制器107收到構成多重系統處理裝置的各處理裝置進行處理(運算)用的數據后，上位裝置發來控制要求之前，主系統處理裝置的處理動作。
主系統處理裝置101從控制器107收到第8圖(c)形式的數據(步驟1101)，然后根據包含在數據里的結構信息，分解成兩份數據，即主系統處理裝置的一份和各副系統處理裝置一份(步驟1102)，副系統處理裝置的一份傳送到各副系統處理裝置(步驟1103)。其后，主系統處理裝置的一份的數據用自處理裝置獨自的譯碼密鑰對數據進行譯碼(步驟1104)，利用確認被附加的冗余碼的方法確認信息的正確性(步驟1105)。如被判斷為信息不正當就廢棄該數據(步驟1106)，如被判斷為數據正當，就等待上位裝置來的控制要求。
第12圖表示對從主系統處理裝置向副系統處理裝置送來的數據進行的處理。
各副系統處理裝置102、103從主系統處理裝置101接收數據(步驟1201)，用各副系統處理裝置獨自持有的譯碼密鑰將收到的數據譯碼(步驟1202)，通過對所附加的冗余碼進行的確認判斷數據的正當性(步驟1203)。如被判斷為數據不正當就廢棄該數據(步驟1204)，如被判斷為數據正當，就等待上位裝置來的控制要求。
下面利用第13圖和第14圖的流程圖說明從上位裝置向多重系統處理裝置101輸出控制要求的情況下的，主系統處理裝置101、副系統處理裝置102、103的處理情況。
第13圖表示副系統處理裝置的、從上位裝置收到控制要求到把處理結果發送給主系統處理裝置的處理流程。
副系統處理裝置一旦從上位裝置收到控制要求，就對第2圖、第3圖所說明的各控制要求進行處理(運算)(步驟1301)。對該處理結果附加冗余碼(步驟1302)，用各處理裝置獨有的編碼密鑰對數據進行編碼(步驟1303)，將編碼的處理結果數據發送給主系統處理裝置(步驟1304)。
第14圖表示主系統處理裝置的、從上位裝置收到控制要求到把處理結果發送給控制器107的處理流程。
主系統處理裝置同副系統處理裝置一樣，一旦從上位裝置收到控制要求，就對第2圖、第3圖說明的各控制要求進行處理(運算)(步驟1401)。對該處理結果附加冗余碼(步驟1402)，用各處理裝置獨有的編碼密鑰對數據進行編碼(步驟1403)。在主系統處理裝置輸出自處理裝置的處理結果后，就收集各副系統處理裝置送來的編碼的處理結果(步驟1404)，集合對上位裝置的控制要求各處理裝置的處理結果(步驟1405)，集合后的處理結果傳送到控制器107(步驟1407)。
這樣的3重系統以上的多重系統構成的處理裝置，即使有一個系統發生故障，其余的系統往往可以繼續動作，例如由3重系統構成的處理裝置中一個系統發生故障，變成2重系統的結構，即使如此，如果判定2重系統的輸出一致，則可以不損害安全地繼續工作。
以上的說明是對一多重系統處理裝置107由3重系統構成的例子進行的說明，但是它也適用于4重系統以上的多重系統結構。而且，即使是在2重系統結構的情況下，多數表決遇到相同數目不能夠決定時，可以用使主系統處理裝置的處理結果優先等附加優先度的方法。
而且，雖然說明了為防止篡改，構成多重系統處理裝置的各處理裝置間的數據傳送、多重系統處理裝置與控制器的數據傳送中，將各數據編碼傳送的例子，但是也可以考慮在無篡改危險性等情況下，根據需要不進行編碼原封不動地傳送處理結果等。
而且，控制器107雖然進行多數決定運算，但是也可以進行只有當全部數據一致時才進行有效控制的一致運算。
工業應用性運用本發明，在不損壞安全性能的前提下，多重系統處理裝置和控制器間的通信可得到如下所述結果。
控制器判斷由多重系統處理裝置處理的結果，生成控制命令，因此可以縮短執行時間。而且因為多重系統處理裝置與控制器之間的配線少，即使控制點數增多，配線量也沒有變化，可適用于大型車站。
權利要求
1．一種多重系統處理裝置，由分別接收相同的輸入，進行相同的處理，生成各處理結果并輸出的多個處理裝置構成，其特征在于，所述多個處理裝置中以任意一個處理裝置作為主系統處理裝置，其他處理裝置作為副系統處理裝置，所述主系統處理裝置由收集所述副系統處理裝置和所述主系統處理裝置的處理結果的收集部，以及輸出該收集部收集的處理結果的輸出部構成。
2．根據權利要求1所述的多重系統處理裝置，其特征在于，一旦所述收集部收集了所述多個處理裝置的處理結果，所述輸出部就將該處理結果加以匯集、輸出。
3．根據權利要求2所述的多重系統處理裝置，其特征在于，一旦收集了所述的多個處理裝置中正常工作的處理裝置的處理結果，所述收集部就將該處理結果匯集、輸出。
4．根據權利要求1～3中的任一項所述的多重系統處理裝置，其特征在于，在輸出所述處理結果時，所述輸出部對其附加所述多個處理裝置的工作狀態后輸出。
5．根據權利要求1～4中的任一項所述的多重系統處理裝置，其特征在于，前述副系統處理裝置把各自處理裝置的輸出結果用各處理裝置持有的獨自的編碼密鑰進行編碼后輸給所述主系統處理裝置，所述主系統處理裝置利用自處理裝置持有的獨自的編碼密鑰進行編碼，集合從所述多個副系統處理裝置收集的編碼的處理結果和所述主系統處理裝置的編碼的處理結果并輸出。
6．一種控制器，連接于多重系統處理裝置，其特征在于，從該多重系統處理裝置將構成該多重系統處理裝置的處理裝置的處理結果集合、傳送過來時，判斷接收的多個處理結果的多數進行決定或判定一致后輸出控制命令。
7．根據權利要求6所述的控制器，其特征在于，從所述多重系統處理裝置發送的處理結果被編碼時，使用與構成所述多重系統處理裝置的處理裝置分別對應的譯碼密鑰，將收到的各處理結果譯碼，然后在數據間進行多數決定或判定一致后發出控制命令。
8．一種多重系統處理系統，由分別接收相同的輸入，進行相同的處理，生成各處理結果輸出的多個處理裝置構成的多重系統處理裝置和與該多重系統處理裝置連接的控制器構成，其特征在于，具備以構成所述多重系統處理裝置的所述多個處理裝置中的任意一個處理裝置作為主系統處理裝置，其他處理裝置作為副系統處理裝置，前述主系統處理裝置由收集所述副系統處理裝置和所述主系統處理裝置的處理結果的收集部和輸出該收集部收集的處理結果的輸出部構成的多重系統處理裝置，以及該多重系統處理裝置的構成該多重系統處理裝置的處理裝置來的處理結果集合、傳送過來時，判斷接收的多個處理結果的多數進行決定或判定一致后輸出控制命令。
9．根據權利要求8所述的多重系統處理系統，其特征在于，構成所述多重系統處理裝置的各處理裝置將所述各處理裝置獨自保持的對自處理結果進行編碼的編碼密鑰，利用該編碼密鑰進行編碼的處理結果輸出到所述控制器，所述控制器保持對應于構成所述多重系統處理裝置的各處理裝置獨自保持的編碼密鑰的譯碼密鑰，用對應的譯碼密鑰對從所述多重系統處理裝置接收到的各處理結果進行譯碼。
全文摘要
本發明的多重系統處理裝置,以不損害安全為前提,實現不增加多重系統處理裝置與控制器間的配線,能適用于大型車站且執行時間短的裝置。這種裝置由分別接收相同的輸入,進行相同處理,輸出生成的各處理結果的多個處理裝置構成,多個處理裝置中以任意一個處理裝置作為主系統處理裝置,其它的作為副系統處理裝置,主系統處理裝置由收集多個副系統處理裝置和主系統處理裝置的處理結果的收集部,以及向控制器輸出由收集部收集來的處理結果的輸出部構成。
文檔編號G06F11/18GK1306482SQ99807616
公開日2001年8月1日 申請日期1999年6月17日 優先權日1998年6月19日
發明者川端敦, 渡部悌, 小熊賢司, 豐田泰之, 佐藤寬, 藤原道雄, 佐藤博康 申請人:株式會社日立制作所