故障安全运算处理装置转让专利
申请号 : CN201510260992.6
文献号 : CN105093979B
文献日 : 2017-11-28
发明人 : 加藤翔平 , 作山秀夫 , 柴田直树
申请人 : 株式会社日立制作所
摘要 :
本发明提供一种故障安全运算处理装置。在具有多个运算部以及核对各运算部的处理结果的输出控制部的故障安全运算处理装置中,在由于电源的临时电压变动,各运算部同时输出相同的错误数据时,输出控制部可能无法检测出各运算部的错误的数据地保持原样地将错误的数据向外部输出。对于构成故障安全运算处理装置的多个运算部分别独立地供给电力的多个电源中的任意一个电源除了向对应的运算部供给电力以外,还对构成故障安全运算处理装置的运算部以外的电路部分供给电力。此外,一并使多个电源中的至少一个电源成为不同的电源容量。
权利要求 :
1.一种故障安全运算装置,其特征在于,具备:多个运算部,其具有同时进行同一运算,并且相互监视输出数据的功能;
输出控制部,其具有临时存储每个所述运算部的输出数据,根据来自所述多个运算部中的任意一个运算部的指示向外部输出所述临时存储的每个运算部的输出数据的功能;
对每个所述运算部设置的多个电源,
所述多个电源中的任意一个电源除了向对应的所述运算部供给电力以外还向所述输出控制部供给电力,从而使所述多个电源中的除所述任意一个电源以外的电源的负荷的大小与所述任意一个电源的负荷的大小不同。
2.根据权利要求1所述的故障安全运算装置,其特征在于,在所述多个电源中使至少一个电源为与其他的电源不同的电源容量。
3.根据权利要求1或2所述的故障安全运算装置,其特征在于,所述多个运算部中的任意一个在相互监视的所述输出数据一致的情况下,对所述输出控制部发出所述指示。
4.根据权利要求1或2所述的故障安全运算装置,其特征在于,所述多个运算部分别具有对其他的所述多个运算部发送复位信号的功能。
5.根据权利要求4所述的故障安全运算装置,其特征在于,所述多个运算部分别在相互监视的所述输出数据不一致的情况下,发送所述复位信号。
6.根据权利要求4所述的故障安全运算装置,其特征在于,所述多个运算部分别在接收到所述复位信号时停止自身的运算。
说明书 :
故障安全运算处理装置
技术领域
[0001] 本发明涉及一种在要求高安全性的领域使用的,在内部具有多个运算部,采用保证其运算结果一致的故障安全结构的多重系统故障安全运算处理装置。
背景技术
[0002] 在铁道用信号安全系统、发电站等要求高安全性的领域,进行运算处理的系统将运算部多重化来参照其处理结果,如果一致则继续正常的动作,如果不一致则执行一连串的控制从而作为系统转移到安全的状态。
[0003] 因此,需要排除多个运算部同时进行相同的错误的输出的原因。作为其原因之一,具有电源的临时的电压变动。在专利文献1以及专利文献2中,对多个运算部单独地供给电源。电源同时发生相同种类的故障的概率低,因此能够降低由于电源的故障运算部同时进行相同的错误的输出的概率。
[0004] 但是,在单独供给的电源同时产生同样的电压变动时,运算部同时输出相同的错误的数据,由此可能在输出控制部中无法检测出错误的数据地向外部进行输出。在专利文献1中,单方的CPU还与另一方的电源连接来监视该另一方的电源,此外,在对比文件2中,双方的CPU相互监视各自的电源输出,由此检测多个电源的临时的变动。然而,当在电源中发生临时的电压变动时,有可能CPU不会接受到来自电源监视部的复位等运算停止指令地输出错误的数据。
[0005] 专利文献1:日本特开2002-116921号公报
[0006] 专利文献2:日本特开平6-298105号公报
发明内容
[0007] 本发明的目的在于,在故障安全运算处理装置中,即使在向多个运算处理部供给的电源中发生了临时的电压变动,也会排除输出错误的运算结果的可能性。
[0008] 本发明为了解决上述课题,对于构成故障安全运算处理装置的多个运算部分别单独地供给电力的多个电源内的任意一个电源除了向对应的运算部供给电力外,还对构成故障安全运算处理装置的运算部以外的电路部分供给电力,或者使上述多个电源内的任意一个电源成为与其他的电源不同的电源容量。
[0009] 根据本发明,即使在电源中发生了临时的电压变动时,由于在各运算部中受到电压变动的影响的定时存在差异,能够排除上述各个运算部同时输出相同的错误的运算结果的情况。
附图说明
[0010] 图1是实施例1的故障安全运算处理装置的结构图。
[0011] 图2是通过电阻以及电容成分将实施例1的运算部以外的电路简化后的等价电路图。
[0012] 图3是表示在实施例1中输入电压变动时的各运算部中的电压变动、时钟以及输出数据的时间推移的图。
[0013] 图4是实施例2的故障安全运算处理装置的结构图。
[0014] 图5是实施例3的故障安全运算处理装置的结构图。
[0015] 符号说明
[0016] 11、41、51故障安全运算处理装置;12运算部A;13运算部B;14电源A;15、45电源B;16输出控制部;17缓冲器;18其他电路;52运算部C;54电源C;20A系统电源;21A系统电源电压;22A系统运算部以外的负荷的电阻成分RA;23A系统电路全体的电容成分CA;24A系统运算部的电压;25B系统电源;26B系统电源电压;27B系统运算部以外的负荷的电阻成分RB;28B系统电路全体的电容成分CB;29B系统运算部的电压;30电源输入变动;31A系统运算部中的电压变动;32A系统运算部动作下限阈值电压;33A系统运算部动作时钟;34A系统运算部输出数据;35A系统运算部的错误的输出数据;36B系统运算部中的电压变动;37B系统运算部动作下限阈值电压;38B系统运算部动作时钟;39B系统运算部输出数据;40B系统运算部的错误的输出数据。
具体实施方式
[0017] 以下,作为本发明的实施方式,按顺序对实施例1~实施例3进行说明。
[0018] (实施例1)
[0019] 关于本发明的实施例1,参照图1~图3进行说明。
[0020] 实施例1是作为多重系统的故障安全运算处理装置,以具有两个同时进行相同的运算的运算部,并且具备两个同容量的电源的双重系统结构为基础的情况。图1是实施例1的故障安全运算处理装置的结构图。
[0021] 故障安全运算处理装置11用于对输出数据要求故障安全性的运算部。在图1所示的结构中,为了担保故障安全性,具有运算部A(12)以及运算部B(13)这两个运算部。从故障安全运算处理装置11输出的数据基于由运算部A(12)以及运算部B(13)运算出的数据。
[0022] 把从运算部A(12)以及运算部B(13)输出的数据暂时保存(临时存储)在输出控制部(16)内的缓冲器17中。运算部A(12)以及运算部B(13)相互监视各自的输出数据,确认相互的输出数据相等。在确认了相互的输出数据一致的情况下,根据运算部A(12)的指示输出在输出控制部16内的缓冲器17中保存的数据。当在双方的输出数据中的至少任意一方存在问题相互的数据数据不一致的情况下,不从缓冲器17输出数据。此外,运算部A(12)以及运算部B(13)具有对对象侧(对方系统)发送用于停止运算的复位信号的功能,在产生了相互的输出数据不一致等问题的情况下,将对象侧复位。
[0023] 运算部A(12)以及运算部B(13)双方同时发生故障的概率非常低,通过这样的方法构成能够进行故障安全输出的故障安全运算处理装置。
[0024] 但是,在对于运算部A(12)以及运算部B(13)同时存在相同种类的故障原因的情况下,具有从双方的运算部输出同样的错误信号的危险性。于是,即使运算部A(12)以及运算部B(13)进行输出数据的相互监视,也有可能无法检测出该错误,从而向外部输出错误的信号。
[0025] 因此,在故障安全运算处理装置中,如上所述,需要极力排除同时相同种类的故障原因,充分抑制向外部输出错误信号的概率。
[0026] 作为上述的同时相同种类的故障原因,例举向运算部A(12)以及运算部B(13)供给的电源。在运算部A(12)以及运算部B(13)从公共电源接受电力供给时,当在公共电源中发生临时异常时,运算部A(12)以及运算部B(13)可能同时输出相同的错误的数据。
[0027] 因此,对于运算部A(12)从电源A(14)进行电力供给,对于运算部13(B)从电源B(15)进行电力供给。电源A(14)以及电源B(15)双方同时产生相同种类的故障的概率非常低,所以通过将向运算部A(12)以及运算部B(13)供给的电源分离,能够降低双方的运算部同时产生相同种类的故障的概率。
[0028] 但是,当在电源A(14)以及电源B(15)中同时发生了电压变动时,在针对各个电源的负荷的大小(包含运算部A(12)以及运算部B(13))为同等的情况下,同时输出相同等级的临时的异常电压。由此,出现在运算部A(12)以及运算部B(13)中同时产生同种的异常状态的可能性。此时,运算部A(12)以及运算部B(13)即使进行各自的输出数据的相互监视,也有可能无法检测出输出数据的错误,从而向外部输出错误的数据。
[0029] 因此,在实施例1中,即使发生上述的电源异常,为了防止运算部A(12)以及运算部B(13)同时输出相同的错误的数据,如图1所示对与电源连接的负荷采取措施。作为该措施,从电源A(14)或电源B(15)中的任意一个向运算部A(12)以及运算部B(13)以外的电路(例如,输出控制部16、其他电路18)供给电源,由此有意识地使负荷的大小带有差异。
[0030] 为了说明,在图2中表示通过电阻以及电容成分将图1中的运算部A(12)以及运算部B(13)以外的电路(输出控制部16、其他的电路18)简化后的等价电路图。
[0031] 图2的(A)是A系统电路的等价电路,A系统电源20相当于图1的电源A(14)。运算部A(12)以外的负荷的电阻成分RA22由故障安全运算处理装置11的基板和电路的电阻成分构成。A系统电路全体的电容成分CA23由A系统电源20自身中包含的电容成分以及在运算部A(12)以外被供给来自A系统电源20的电压的故障安全运算处理装置11的基板和电路的电容成分构成。此外,向运算部A(12)施加的输入电压相当于A系统运算部的输入电压ECPU_A24。
[0032] 图2的(B)是B系统电路的等价电路,B系统电源25相当于图1的电源B(15)。运算部B(13)以外的负荷的电阻成分RB28由故障安全运算处理装置11的基板和电路的电阻成分构成。B系统电路全体的电容成分CB28由B系统电源26自身中包含的电容成分以及在运算部B(13)以外被供给来自B系统电源25的电压的故障安全运算处理装置11的基板和电路的电容成分构成。此外,向运算部B(13)施加的输入电压相当于B系统运算部的输入电压ECPU_B29。
[0033] 如图1所示那样,与A系统的电源A(14)连接的电路相比于与电源B(15)连接的电路,电路数少,此外,在输出控制部16和其他的电路17中使用的IC等是与电路并列连接的负荷,所以RA>RB。在图3中表示此时的A系统电源电压Ein_A21以及B系统电源电压in_B26变动时的A系统运算部的输入电压Ecpu_A24以及B系统运算部的输入电压Ecpu_B29的变动、时钟以及输出数据的关系。
[0034] 通过图3所示的电源的电压变动30,图2的A系统电源电压Ein_A21以及B系统电源电压Ein_B26也一同变动。因此,图2的A系统运算部的输入电压Ecpu_A24产生图3的A系统运算部中的输入电压变动31,同样地,图2的B系统运算部的输入电压Ecpu_B29产生图3的B系统运算部中的输入电压变动36。
[0035] 在此,产生电源的电压变动30,从V1向V2电压下降时的A系统运算部的输入电压Ecpu_A24以及B系统运算部的输入电压Ecpu_B29的变动通过以下的公式来表示。
[0036] ECPU_A=V2×{1-exp(-t/RACA)}+V1×exp(-t/RACA)
[0037] ECPU_B=V2×{1-exp(-t/RBCB)}+V1×exp(-t/RBCB)
[0038] 一般,关于运算部,进行设计使其即使在产生10%左右的电压变动时也不进行误动作,所以将图3的A系统运算部的动作下限阈值电压32以及B系统运算部的动作下限阈值电压37设为额定的10%。此外,将A系统运算部以及B系统运算部的各输入电压由于上述电压变动而下降时的最小值设为V2,使该最小值V2低于A系统运算部的动作下限阈值32以及B系统运算部的动作下限阈值37。
[0039] 于是,从电源输入变动30发生下降时开始到A系统运算部的电压变动31低于A系统运算部的动作下限阈值电压32的时间ΔtA以及从电源输入变动30发生下降时开始到B系统运算部的电压变动36低于B系统运算部的动作下限阈值电压37的时间ΔtB通过以下的关系式来表示。
[0040] 0.9V1=V2×{1-exp(-ΔtA/RACA)}+V1×exp(-ΔtA/RACA)
[0041] 0.9V1=V2×{1-exp(-ΔtB/RBCB)}+V1×exp(-ΔtB/RBCB)
[0042] 当根据这些关系式求出ΔtA以及ΔtB时,成为以下那样。
[0043] ΔtA=-RACAln{(0.9V1-V2)/(V1-V2)}
[0044] ΔtB=-RBCBln{(0.9V1-V2)/(V1-V2)}
[0045] 此外,当把A系统以及B系统的各运算部的动作时钟33以及38的频率设为f[Hz]时,数据1比特的长度成为1/f[s]。为了A系统运算部的输出数据34中的错误的输出数据35的开始比特以及B系统运算部的输出数据39中的错误的输出数据40的开始比特偏移1比特以上,需要满足以下所示的条件式。
[0046] ΔtB-ΔtA=-RBCBln{(0.9V1-V2)/(V1-V2)}+RACAln{(0.9V1-V2)/(V1-V2)}>1/f
[0047] 根据上述条件式,设计A系统以及B系统电路各自的电阻成分以及电容成分(A系统以及B系统的各运算部以外的负荷),使其满足以下的关系式即可。
[0048] RACA-RBCB>1/[f×ln{(0.9V1-V2)/(V1-V2)}]
[0049] 此外,为了切实地达成上述关系式,可以对任意一个电源(在图1中电源A(14)或电源B(15))连接与运算部A(12)以及运算部B(13)相同程度的负荷。
[0050] 在图1所示的故障安全运算处理装置11中,运算部A(12)以及运算部B(13)正在进行同一运算。然后,输出控制部17确认来自运算部A(12)的输出数据34和来自运算部(13)的输出数据39中的至少任意一个有无问题。于是,如图4所示,在来自电源的输入电压发生变动时,如果A系统运算部的输出数据34和B系统运算部的输出数据39即使相差1比特,因为由运算部A(12)以及运算部B(13)相互监视各自的输出,能够检测出输出数据的错误。
[0051] 因此,能够提供一种不会从输出控制部16错误地输出从运算部A(12)以及运算部B(13)输出的数据的故障安全运算处理装置。
[0052] (实施例2)
[0053] 本发明的实施例2的特征在于,在分别对构成故障安全运算处理装置的各个运算部供给电力的各个电源部中,使其电源容量具有差异。作为实施例2,图4是表示在双系统的故障安全运算处理装置(图1)中电源部为不同的电源容量的结构的图。
[0054] 例如,电源B(45)使用电源容量比电源A(14)大的电源。由此,即使在电源A(14)以及电源B(45)中同时发生了电压变动的情况下,由于使电源容量具有差异,能够防止运算部A(12)以及运算部B(13)同时输出相同的错误数据。
[0055] (实施例3)
[0056] 本发明的实施例3是作为多重系统的故障安全运算处理装置用于三重系统的实施例。图5是表示追加了电源C(54)和运算部C(52)的三重系统的故障安全运算处理装置的结构的图。运算部C(52)与运算部A(12)以及运算部(B)13同时进行同一运算。此外,运算部A(12)、运算部B(13)以及运算部C(52)具有分别相互监视输出,并且进行对方系统复位的功能。
[0057] 在图5所示的结构中,电源C(54)除了向运算部C(52)供给电力外,还对输出控制部16以及其他的电路18进行电力供给。由此,电源A(14)以及电源B(115)向各个运算部(12)以及运算部(13)进行电力供给时的负荷与电源C(54)进行电力供给的负荷相比,负荷的大小不同。当然,可以取代电源C(54),由电源A(14)或电源B(15)对输出控制部16以及其他的电路18进行电力供给。
[0058] 因此,即使在三个电源全部同时发生电压变动时,能够防止运算部A(12)、运算部B(13)以及运算部C(52)同时输出错误的数据。