WO2019106830A1

WO2019106830A1 - 分散制御装置

Info

Publication number: WO2019106830A1
Application number: PCT/JP2017/043279
Authority: WO
Inventors: 輝昭酒田; 広津　鉄平
Original assignee: Hitachi Ltd
Current assignee: Hitachi Ltd
Priority date: 2017-12-01
Filing date: 2017-12-01
Publication date: 2019-06-06
Anticipated expiration: 2020-06-01

Abstract

単一故障点の発生を回避し、縮退動作への移行遅延時間を原減少し、安全性及び信頼正性を向上可能な分散制御装置が実現される。分散制御装置はCPU1の演算結果をCPU2とCPU3とが使用して処理を行うため、再構成制御部21、22及び23が、CPU1、2及び3と各メモリ11、12及び13との間に接続され、再構成制御部21、22及び23どうしも互いに接続される。再構成制御部22とメモリ12との間には共有データ診断部27が接続され、再構成制御部23とメモリ13との間には共有データ診断部28が接続される。CPU1で故障が発生した場合、CPU1の故障発生を検出し、CPU2とCPU3での縮退動作に移行するためにメモリ12とメモリ13のデータ診断を行う。いずれのデータも正しかった場合CPU2がCPU1を代替しシステム縮退動作を行う。

Description

分散制御装置

　本発明は、分散制御装置に関する。

　半導体プロセスの微細化に伴い、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ、中央演算処理装置）の高性能化や、ＲＡＭ（Ｒａｎｄａｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ、主記憶、メモリ）の高速・大容量化が可能になってきた。

　これら半導体デバイスの進歩により、特に、産業分野や自動車分野等においては、従来では成し得なかった様々な機能を実現するための取り組みが始まっている。

　例えば、産業分野では現実世界に分散して配置した大量の装置から稼働データを収集して仮想世界上で分析し、より良い制御出力を現実世界へフィードバックさせるＩｏＴ（Ｉｎｔｅｒｎｅｔ　ｏｆ　Ｔｈｉｎｇｓ）への取り組みが盛んである。

　また、自動車分野ではＡＩ（Ａｒｔｉｆｉｃｉａｌ　Ｉｎｔｅｌｌｉｇｅｎｃｅ、人工知能）を自動車の制御装置に組込むことで、自動車システムに認識機能と制御機能を持たせて自動運転を実現しようとするための取り組みが行われている。

　産業分野でＩｏＴを実現するには産業システム全体を構成するデバイス、ＰＬＣ（Ｐｒｏｇｒａｍｍａｂｌｅ　Ｌｏｇｉｃ　Ｃｏｎｔｒｏｌｌｅｒ）、クラウドなどの各階層にてそれぞれが分散処理を行い、相互に情報を通信して現実世界と仮想世界を有機的に接続する必要がある。

　また、将来の自動車システムではＡＩを実現する機能や外界認識機能、モーターやステアを操作するアクチュエーション機能などを複数の電子制御ユニット（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ、ＥＣＵ）に割り当て、分散制御することで自動運転を実現する構成を採ることが考えられる。

　このような産業システムや自動車システムにおいて、機能が高度化しシステムが複雑化していく場合に課題となるのは安全性と信頼性の確保である。特に、人命が関わるシステムにおいて、システムの一部で異常や故障が発生した場合にその影響がシステム全体に波及して想定通りの制御ができなくなり、その結果人命が損なわれるようなシステムは許容されない。

　そのため、このような分野のシステムでは異常や故障が発生したことを検出し対策する仕組みを取ることが一般的である。

　本技術分野の背景技術として、例えば、特許文献１には、複数のマイクロプロセッサにより分散処理が行われる分散処理機能を持つマイクロプロセッサ応用装置が記載されている。

　特許文献１に記載のマイクロプロセッサ応用装置は、複数のマイクロプロセッサの一部が故障しても、装置全体として縮退運転により動作を継続することを目的としている。そして、各マイクロプロセッサの故障の有無の組合せで決定される装置構成毎に、正常な各マイクロプロセッサで実行すべきプログラムが格納されたプログラムメモリと、各マイクロプロセッサの異常を検出して装置の初期化を行うための初期化手段と、プログラム割当て手段とを備えている。

　そして、プログラム割当て手段は、上記複数のマイクロプロセッサの１つがマスタプロセッサとなって初期化手段の異常検出結果をもとに装置構成の変化を判別し、新たな装置構成に固有のプログラムをプログラムメモリから取り出してそれぞれ対応する正常なマイクロプロセッサに割り当てることとしている。

特開平５－１５８９０５号公報

　ところで、従来の複数のマイクロプロセッサとメモリと初期化手段とを有する分散処理機能を持つ技術について、本発明者が検討した結果、以下のようなことが明らかとなった。

　特許文献１に記載の技術では、複数のマイクロプロセッサが共有している共有メモリおよび初期化制御部は一組ずつしかなく、これらの部位が故障した場合には、単一故障点となる可能性があり、これらの部位が故障した場合の対策のための構成及び動作が明示されていない。

　また、マスタＣＰＵが共有メモリを介して縮退時のソフトウェアをスレーブＣＰＵに転送する必要があり、そのための時間が要求され、通常動作から縮退動作へ切り替えるために時間がかかっていた。

　このため、リアルタイム性が要求されるような産業システムや自動車システムへの適用が困難であるという問題があった。

　本発明の目的は、単一故障点の発生を回避し、縮退動作への移行遅延時間を原減少し、安全性及び信頼正性を向上可能な分散制御装置を実現することである。

　上記目的を達成するため、本発明は次のように構成される。

　分散制御装置において、第１の動作制御部と、上記第１の動作制御部に接続された第１の再構成制御部と、上記第１の再構成制御部に接続された第１のメモリと、第２の動作制御部と、上記第２の動作制御部に接続された第２の再構成制御部と、上記第２の再構成制御部に接続された第２のメモリと、上記第２の再構成制御部及び上記第２のメモリに接続された第１の共有データ診断部と、第３の動作制御部と、上記第３の動作制御部に接続された第３の再構成制御部と、上記第３の再構成制御部に接続された第３のメモリと、上記第３の再構成制御部及び上記第３のメモリに接続された第２の共有データ診断部と、を備え、上記第２のメモリはこの第２の専用メモリ空間、上記第１のメモリとの共有メモリ空間及び上記第３のメモリとの共有メモリ空間を有し、上記第３のメモリはこの第３のメモリの専用メモリ空間、上記第１のメモリとの共有メモリ空間及び上記第２のメモリとの共有メモリ空間を有し、上記第１の共有データ診断部は上記第２のメモリにおける上記第１のメモリとの共有空間に格納されたデータを診断し、誤ったデータを正しいデータに書き換え、上記第２の共有データ診断部は上記第３のメモリにおける上記第１のメモリとの共有メモリ空間に格納されたデータを診断し、誤ったデータを正しいデータに書き換える。

　本発明によれば、産業分野や自動車分野などのシステムにおいて、単一故障点の発生を回避し、縮退動作への移行遅延時間を原減少し、安全性及び信頼正性を向上可能な分散制御装置を実現することができる。

実施例１による分散制御装置の概略構成図である。実施例１の再構成制御部の構成の一例を示す図である。実施例１の共有データ診断部の構成の一例を示す図である。実施例１の分散制御装置のメモリの構成の一例を示す図である。実施例１の分散制御装置の一部で故障が発生し縮退動作に移行する場合の動作フローチャートである。システムで故障が発生し縮退動作に移行した後の動作フローチャートである。本発明の分散制御装置における動作のタイミングチャートである。本発明を適用しない分散制御装置の動作のタイミングチャートである。実施例２による分散制御装置の概略構成図である。実施例３による分散制御装置の概略説明図である。本発明の分散制御装置における再構成制御部から制御対象機器に対して出力するデータフレームの一例を示す図である。本発明の分散制御装置において故障が発生した場合のデータフレームの一例を示す図である。実施例４による分散制御装置を自動車システムに適用した場合の一例を示す図である。実施例５による分散制御装置を産業制御システムに適用した場合の一例を示す図である。

　以下、本発明の実施例を、図面を用いて説明する。

　（実施例１）
　図１から図７Ａ及び図７Ｂを用いて、本発明の実施例１を説明する。

　図１は、本発明の実施例１による分散制御装置の概略構成図である。

　図１に示した例は、ＣＰＵ１（第１の動作制御部）及びメモリ１１（第１のメモリ）と、ＣＰＵ２（第２の動作制御部）及びメモリ１２（第２のメモリ）と、ＣＰＵ３（第３の動作制御部）及びメモリ１３（第３のメモリ）との組み合わせによって分散処理を行う分散制御装置の例である。

　この分散制御装置の例では、ＣＰＵ１の演算結果をＣＰＵ２とＣＰＵ３とが使用して処理を行う構成を採っており、そのための再構成制御部２１（第１の再構成制御部）、再構成制御部２２（第２の再構成制御部）及び再構成制御部２３
（第３の再構成制御部）が、各ＣＰＵ１、２及び３と各メモリ１１、１２及び１３との間に接続されており、各再構成制御部２１、２２及び２３どうしも互いに接続されている（データを相互通信する）。

　さらに、ＣＰＵ２に接続された再構成制御部２２とメモリ１２との間には共有データ診断部２７（第１の共有データ診断部）が接続されている。同様に、ＣＰＵ３に接続された再構成制御部２３とメモリ１３との間には共有データ診断部２８（第２の共有データ診断部）が接続されている。共有データ診断部２７と共有データ診断部２８とは、データを相互通信する構成となっている。

　図２は、図１に示した再構成制御部２２の詳細な構成の一例を示す図である。

　図２において、再構成制御部２２には、ＣＰＵ２からアドレス１０１、ライトデータ１０２、コマンド１０３及び故障検出信号１３２（故障検出信号番号２）が入力される。また、再構成制御部２２には、別の再構成制御部２１から故障検出信号１３１（故障検出信号番号１）が入力され、再構成制御部２３から故障検出信号１３３（故障検出信号番号３）が入力される。

　共有空間判定部３０は、メモリ１２においてＣＰＵ２が使用するメモリ空間とＣＰＵ１およびＣＰＵ３とで共有するメモリ空間とを判定するもので、この例では制御システムで動作させるソフトウェアによってどのメモリ空間を共有するかが予め決定されている。

　デマルチプレクサ４０は、共有空間判定部３０が出力する共有空間判定信号１５０の結果によってアドレス１０１の出力先をアドレス１１１とアドレス（共有）１２１とに切り替える。アドレス１０１がＣＰＵ２のメモリ空間であればデマルチプレクサ４０はアドレス１０１をアドレス１１１としてメモリ１２に出力し、アドレス１０１がＣＰＵ１またはＣＰＵ３とで共有するメモリ空間であればデマルチプレクサ４０はアドレス１０１をアドレス（共有）１２１として共有データ診断部２７に出力する。

　同様に、アドレス１０１がＣＰＵ２のメモリ空間であればデマルチプレクサ４１はライトデータ１０２をライトデータ１１２としてメモリ１２に出力し、デマルチプレクサ４２はコマンド１０３をコマンド１１３としてメモリ１２に出力する。

　また、アドレス１０１がＣＰＵ１またはＣＰＵ３で共有するメモリ空間であれば、デマルチプレクサ４１はライトデータ１０２をライトデータ（共有）１２２として共有データ診断部２７に出力し、デマルチプレクサ４２はコマンド１０３をコマンド（共有）１２３として共有データ診断部２７に出力する。

　なお、共有領域判定信号１５０は、後述するようにメモリ１２に出力される。

　再構成制御部２２へは、メモリ１２からリードデータ１１４が入力され、共有データ診断部２７からリードデータ（共有）１２４が入力される。

　共有空間判定信号１５０の結果によって、アドレス１０１がＣＰＵ２のメモリ空間であれば、セレクタ４６はリードデータ１１４をリードデータ１０４として選択してＣＰＵ２に出力する。

　アドレス１０１がＣＰＵ１またはＣＰＵ３とで共有するメモリ空間であればセレクタ４６はリードデータ（共有）１２４をリードデータ１０４として選択してＣＰＵ２に出力する。

　故障箇所判定部３１は、ＣＰＵ１の再構成制御部２１から入力されるＣＰＵ１の故障検出信号１３１と、ＣＰＵ２から入力されるＣＰＵ２の故障検出信号１３２と、ＣＰＵ３の再構成制御部２３から入力されるＣＰＵ３の故障検出信号１３３との情報から、ＣＰＵ１、ＣＰＵ２及びＣＰＵ３のいずれのＣＰＵで故障が発生したかを検出する。

　そして、故障箇所判定部３１は、故障したＣＰＵに応じてデータ診断要求信号１３７を共有データ診断部２７に出力する。

　図１に示した再構成制御部２３も、図２に示した再構成制御部２２と同様の構成となっている。また、図１に示した共有データ診断部２７とは接続されていない再構成制御部２１は、図２の再構成制御部２２からアドレス（共有）１２１、ライトデータ（共有）１２２、コマンド（共有）１２３、リードデータ（共有）１２４、故障箇所判定部３１などを除いた形で、再構成御部部２２と同様な構成とすることができる。

　図３は、図１に示した共有データ診断部２７の構成の一例を示す図である。

　図３において、共有データ診断部２７には、再構成制御部２２からアドレス（共有）１２１、ライトデータ（共有）１２２、コマンド（共有）１２３及びデータ診断要求信号１３７が入力される。また、共有データ診断部２７には、別の共有データ診断部２８からリードデータ（共有）１２５が入力される。

　アドレスバッファ５１は、アドレス（共有）１２１を複数保持することが可能な構成であり、保持したアドレス（共有）１２１の内容を順にアドレス（共有）１２６としてメモリ１２に出力する。

　同様に、ライトデータバッファ５２は、ライトデータ（共有）１２２を複数保持して順にライトデータ（共有）１２７としてメモリ１２に出力する。また、コマンドバッファ５３は、コマンド（共有）１２３を複数保持して順にコマンド（共有）１２８としてメモリ１２に出力する。

　故障診断ステートマシン５６は、データ診断要求信号１３７の値によってＣＰＵ１～３のうちのいずれかのＣＰＵで故障発生を検出したタイミングにおいて、アドレス（共有）１２６が示すメモリ空間にコマンド（共有）１２８によってライトされたライトデータ（共有）１２７を診断することを制御するものである。

　ＣＰＵ１～３のうちのいずれかのＣＰＵでの故障発生時に故障診断ステートマシン５６はデータ診断開始信号１３８を有効にしてデータ診断手段５５に送信する。

　データ診断開始信号１３８を受けたデータ診断手段５５は、メモリ１２から入力されたリードデータ（共有）１２４の値と別の共有データ診断部２８から入力されたリードデータ（共有）１２５の値を診断し、ＣＰＵの故障による影響でいずれかのリードデータが不正な値になっていないかどうかを診断し、誤ったデータを正しいデータに書き換えて、データ診断結果５４として共有データ診断部２８へ出力する。

　なお、データ診断手段５５におけるデータの故障検出手段としては、パリティ、ＥＣＣ（Ｅｒｒｏｒ　Ｃｏｒｒｅｃｔｉｏｎ　Ｃｏｄｅ）、ＣＲＣ（Ｃｙｃｌｉｃ　Ｒｅｄｕｎｄａｎｃｙ　Ｃｈｅｃｋ）、データ照合などの技術が知られており、これらを使用することができる。

　図１に示した共有データ診断部２８も図３の共有データ診断部２７と同様の構成である。

　図４は、図１に示したメモリ１２の詳細な構成の一例を示す図である。

　図４において、メモリ１２には、再構成制御部２２からアドレス１１１、ライトデータ１１２、コマンド１１３及び共有空間判定信号１５０が入力され、共有データ診断部２７からアドレス（共有）１２６、ライトデータ（共有）１２７及びコマンド（共有）１２８が入力される。

　共有空間判定信号１５０の結果によって、セレクタ６０はアドレス１１１とアドレス（共有）１２６のうちの選択したアドレスをアドレス１４１としてメモリセル１５に出力する。セレクタ６１はライトデータ１１２とライトデータ（共有）１２７のうちの選択したライトデータをライトデータ１４２としてメモリセル１５に出力する。

　また、セレクタ６２はコマンド１１３とコマンド（共有）１２８のうちの選択したコマンドをコマンド１４３としてメモリセル１５に出力する。

　また、共有空間判定信号１５０の結果によって、デマルチプレクサ６６はリードデータ１４４をリードデータ１１４として再構成制御部２２へ、もしくはリードデータ（共有）１２４として共有データ診断部２７へ出力する。

　メモリセル１５は、メモリ１２を構成する中でデータのライトとリードが可能な部位である。メモリセル１５へ入力されるコマンド１４３がライトの場合はアドレス１４１で示されるメモリ空間にライトデータ１４２をライトし、メモリセル１５へ入力されるコマンド１４３がリードの場合はアドレス１４１で示されるメモリ空間からリードデータ１４４をリードする。

　図４におけるメモリセル１５の＃２で示したメモリ空間１７は、ＣＰＵ２が使用する専用メモリ空間であり、メモリ空間１７へのアクセスではアドレス１１１、ライトデータ１１２、コマンド１１３、リードデータ１１４を使用する。

　一方、メモリセル１５の＃１２で示したメモリ空間１８はＣＰＵ２がＣＰＵ１と共有して使用する共有メモリ空間であり、＃２３で示したメモリ空間１９はＣＰＵ２がＣＰＵ３と共有して使用する共有メモリ空間である。

　これらのメモリ空間１８、１９へのアクセスではアドレス（共有）１２６、ライトデータ（共有）１２７、コマンド（共有）１２８、リードデータ（共有）１２４を使用する。

　図１に示したメモリ１３も図４のメモリ１２と同様の構成である。また、図１に示した共有データ診断部２７が接続されていないメモリ１１は、図４のメモリ１２からアドレス（共有）１２６、ライトデータ（共有）１２７、コマンド（共有）１２８、リードデータ（共有）１２４などを除いた形で構成することができる。

　図５は、図１から図４で示した分散制御装置を用いたシステムにおいて、このシステムが動作中に一部で故障が発生し縮退動作に移行する場合の動作フローチャートの一例を示す図である。

　図５のステップＳ０１にてシステムを起動し、ステップＳ０２にてシステム動作のための初期設定を行って、ステップＳ０３のシステム通常動作に遷移する。

　システムの通常動作中は、例えば制御周期の中で定期的にステップＳ０４にて再構成制御部２１、２２及び２３の故障個所判定部３１は、各ＣＰＵ１、２及び３の故障診断を行って各ＣＰＵ１、２及び３に故障が発生していないかをステップＳ０５にて判定する。

　ステップＳ０５において、各ＣＰＵ１、２及び３に故障が発生していなければ、ステップＳ０５からステップＳ０３に遷移して、システムの通常動作を続ける。

　ステップＳ０５にて、再構成制御部２１、２２又は２３の故障個所判定部３１が、いずれかのＣＰＵ１、２又は３で故障が発生したと判断した場合、ステップＳ１１に遷移する。図５の例ではステップＳ１１においてＣＰＵ１で故障が発生したことを検出し、ＣＰＵ２とＣＰＵ３での縮退動作に移行するためにステップＳ１２にて、共有データ診断部２７のデータ診断手段（データ診断部）５５が、メモリ１２に格納されたデータと共有データ診断部２８から入力されたデータとの診断を行う。

　ステップＳ１２にて行うデータ診断は、パリティ、ＥＣＣ（誤り訂正符号）、ＣＲＣ（巡回冗長検査）、データ照合などを用いて行われる。

　ステップＳ１２のデータ診断の結果、データが正しいか否かの判断がステップＳ１３にて行われる。ステップＳ１３にて、いずれのデータも正しかった場合はステップＳ１４に遷移し、この例ではＣＰＵ２がＣＰＵ１を代替し、ステップＳ１５にてシステム縮退動作を行う。

　一方、ステップＳ１３にていずれかのデータが不正であった場合はステップＳ２１に遷移し、不正データを訂正したのち、ステップＳ１４に遷移してＣＰＵの代替処理を行う。

　なお、この図５の動作フローチャートではＣＰＵ１が故障しＣＰＵ２で代替する例で示したが、ＣＰＵ３が代替してよい。また、ＣＰＵ２もしくはＣＰＵ３が故障した場合の動作も、図５に示した動作フローチャートと同様の動作フローチャートで示すことができる。

　ここで、縮退動作とは、自動運転動作を縮退動作に変更する場合であれば、自動運転動作のうちの、重要な動作を維持しつつ、その他の自動運転動作は行わない動作とするように、自動運転動作に制限を設けて動作させることである。

　図６は、図１から図４で示した分散制御装置を用いたシステムにおいて、システムが動作中に一部で故障が発生し縮退動作に移行した後、故障部位を復帰させて再び動作する場合の動作フローチャートの一例を示した図である。

　図６の動作フローチャートは、図５に示した動作フローチャートと比較して、ステップＳ１５の後にステップＳ１６～Ｓ１８のＣＰＵ１の復帰動作を追加している。

　断線などのハードウェア故障であれば復帰できないが、ソフトエラーなどの一時的な故障であればＣＰＵのリセットなどにより復帰できる場合がある。このため、故障したＣＰＵにリセット信号を入力し、復帰動作を行い、復帰したならば、再び、動作を行わせることが可能である。

　図６において、ステップＳ０１からＳ１５までには、図５に示した動作と同様であるので、説明は省略する。

　ステップＳ１５に続くステップＳ１６において、ＣＰＵ１の復帰動作が行われる。例えば、ＣＰＵ２がＣＰＵ１にリセット信号を出力する。

　次に、ステップＳ１７において、ＣＰＵ１の故障を検出する。これはＣＰＵ２が実行することができる。そして、ステップＳ１８において、ステップＳ１７のＣＰＵ１に故障が検出されたか否かにより、ＣＰＵ１が復帰したことを確認できれば、ＣＰＵ１、ＣＰＵ２、ＣＰＵ３のいずれも正常に動作するのでステップＳ０３のシステム通常動作に遷移する。

　一方、ステップＳ１８にてＣＰＵ１が復帰したことを確認できない場合は再びステップＳ１５のシステム縮退動作に遷移する。

　ステップ１６のＣＰＵ１の復帰動作を複数回試みて復帰しない場合は、システム全体を安全に停止させるようにしてもよい。

　なお、この図６の動作フローチャートではＣＰＵ１が故障しＣＰＵ２で代替する例で示したが、ＣＰＵ２もしくはＣＰＵ３が故障した場合でも同様の動作フローチャートで示すことができる。

　図７Ａは、図１から図６に示した実施例１の分散制御装置における動作のタイミングチャートであり、図７Ｂは、本発明を適用しない分散制御装置の動作のタイミングチャートの一例である。

　図７Ａに示したステップＳ０３のシステム通常動作からステップＳ１５のシステム縮退動作までは、図５で示した動作フローチャートの各ステップに対応している。なお、ステップＳ０５とステップＳ１３の判定ステップは、省略して図示している。

　図７Ａに示した例では、最初のステップＳ０３とステップＳ０４においてＣＰＵで故障が発生していない通常動作を行っているが、２回目のステップＳ０４の各ＣＰＵの故障診断においてＣＰＵ１で故障が発生し、ステップＳ１１に遷移してＣＰＵ１の故障を検出し、ステップＳ１２のデータ診断、ステップＳ２１の不正データ訂正を経てステップＳ１４の代替処理を行い、ステップＳ１５の縮退動作に遷移する。

　ここで、ステップＳ１２のデータ診断とステップＳ２１の不正データ訂正については、本発明の分散制御装置によって、ＣＰＵのハードウェアで実行するため非常に高速に行うことができ、ステップＳ１２及びＳ２１の動作にかかる時間ｔ_ａは短い。

　図７Ｂに示した本発明を適用しない分散制御装置の動作のタイミングチャートにおいては、図７Ａと同様に、ステップＳ０３のシステム通常動作からステップＳ１５のシステム縮退動作までは、図５で示した動作フローチャートの各ステップに対応している。なお、図７Ａと同様に、図７Ｂにおいても、ステップＳ０５とステップＳ１３の判定ステップは省略して図示している。

　図７Ｂのタイミングチャートは図７Ａのタイミングチャートと比較して、ステップＳ１２のメモリ２及びメモリ３のデータ診断と、ステップＳ２１の不正データ訂正にかかる時間ｔ_ｂが長い。図７Ｂに示した例は、本発明の分散制御装置におけるハードウェア（主としてデータ診断手段５５（データ診断部））によるデータ診断とデータ訂正機能を適用しておらずソフトウェアによる処理で実行しているためである。

　つまり、マスタＣＰＵが共有メモリを介して縮退時のソフトウェアをスレーブＣＰＵに転送するための時間が必要であり、通常動作から縮退動作へ切り替えるために時間がかかり、時間ｔ_ｂが長い時間となることとなる。

　これに対して、本発明の実施例１による分散制御装置によって、システムの一部で故障が発生した場合でもハードウェアによるデータの診断と訂正機構により高速に縮退動作に移行することが可能となる。

　従って、リアルタイム性と高信頼性が必要とされるシステムを実現することが可能になる。

　すなわち、本発明の実施例１によれば、単一故障点の発生を回避し、縮退動作への移行遅延時間を減少させ、安全性及び信頼正性を向上可能な分散制御装置を実現することができる。

　また、実施例１の例では共通データ診断部２７をメモリ１２に接続し、共通データ診断部２８をメモリ１３に接続する形で説明したが、共通データ診断部２７をメモリ１２及びメモリ１３に接続し、共通データ診断部２８もメモリ１２及びメモリ１３に接続する構成としてもよい。

　また、実施例１の例ではＣＰＵおよびメモリの数を３として説明したが、ＣＰＵおよびメモリの数を４以上の数で実装することもできる。

　さらに、実施例１の例では、図６に示したように、システムの縮退動作を実行した後に、ＣＰＵ１の復帰動作を行うように構成したが、縮退動作を実行する前に、ＣＰＵ１の復帰動作を行い、縮退動作を行うことなく、ＣＰＵ１の動作を復帰させる構成としてもよい。この場合、ＣＰＵ１の復帰が困難と判断した場合には、縮退動作を行うように構成される。

　（実施例２）
　次に、本発明の実施例２について説明する。

　図８は、実施例２による分散制御装置の概略構成図である。

　実施例２は、図１に示した実施例１と比較して、不揮発メモリ７０（第１の不揮発メモリ）及び７１（第２の不揮発メモリ）を追加した点が異なっている。

　図８において、再構成制御部２２と共有データ診断部２７との間のバスに不揮発メモリ７０が接続され、この不揮発メモリ７０は、ＣＰＵ２で故障が発生したときに再構成制御部２２から共有データ診断部２７へ送信するライトデータの情報を保持（格納）するものである。

　また、再構成制御部２３と共有データ診断部２８との間のバスに不揮発性メモリ７１が接続され、この不揮発メモリ７１は、ＣＰＵ３で故障が発生したときに再構成制御部２３から共有データ診断部２８へ送信するライトデータの情報を保持（格納）するものである。

　このように、分散制御装置に不揮発メモリ７０及び７１を追加して故障が発生したときの情報を保持しておく構成とすることで、故障の影響などでシステム全体が停止して揮発性メモリの内容が保持されない場合などでも、あとから不揮発メモリ７０及び７１に保持された（格納された）内容を確認して、システムが停止した原因を確認できる可能性が高まり、システムの保守に役立てることが可能となる。

　以上のように、実施例２によれば、実施例１により得られる効果の他、上述したような効果を得ることができる。

　なお、実施例２の例では不揮発メモリ７０を再構成制御部２２に接続し、不揮発メモリ７１を再構成制御部２３に接続する構成としたが、不揮発メモリ７０を再構成制御部２２及び２３に接続し、不揮発メモリ７１も再構成制御部２２及び２３に接続する構成としてもよい。

　さらに、実施例２の例ではＣＰＵおよびメモリの数を３として説明したが、４以上の様々な数で実装してもよい。

　（実施例３）
　次に、本発明の実施例３について説明する。

　図９は、実施例３による分散制御装置の概略説明図である。

　実施例３は、図１に示した実施例１と比較して、実施例１におけるＣＰＵ２及びＣＰＵ３について、ＣＰＵを２重化したロックステップ構成のＣＰＵ４（動作制御部）及びＣＰＵ５（動作制御部）にした点が異なっている。実施例３の他の構成は、実施例１の構成と同様となっている。

　図９において、ロックステップＣＰＵ４は、ＣＰＵコア６及びＣＰＵコア７を備え、ＣＰＵ６の演算結果とＣＰＵ７の演算結果とを、照合器８０で照合し、ＣＰＵコア６及び７のいずれかで故障が発生したら故障検出信号をロックステップＣＰＵ４の外部へ出力する構成である。

　ロックステップＣＰＵ５もロックステップＣＰＵ４と同様に、ＣＰＵコア８及びＣＰＵコア９を備え、ＣＰＵコア８の演算結果とＣＰＵコア９の演算結果とを照合器８１で照合し、ＣＰＵコア８及び９のいずれかで故障が発生したら故障検出信号をロックステップＣＰＵ５の外部へ出力する構成である。

　なお、ロックステップ動作中の照合手法は、公知の技術である。

　このように、分散制御装置を構成するＣＰＵの一部（ＣＰＵ４とＣＰＵ５）をロックステップＣＰＵにすることで、分散制御装置で故障が発生した場合の故障検出を即座に行い縮退動作へ高速に遷移することが可能となり、高信頼性が要求される分散制御装置を実現することが可能になる。

　また、仮に、ＣＰＵ４又は５がＣＰＵ１に代わってマスタＣＰＵとなった場合、マスタＣＰＵ自身の故障を検出することができ、安全性をさらに向上することができる。

　以上のように、実施例３によれば、実施例１により得られる効果の他、上述したような効果を得ることができる。

　なお、実施例３の例ではロックステップＣＰＵをＣＰＵ４とＣＰＵ５の２つにした形で説明したが、ロックステップＣＰＵを、３つのＣＰＵ（ＣＰＵ１、ＣＰＵ４、ＣＰＵ５）のうちのいずれか１つとしてもよい。

　また、ＣＰＵ１を含めた全てのＣＰＵをロックステップＣＰＵとした構成としてもよい。

　また、実施例３の例ではＣＰＵおよびメモリの数を３として説明したが、その他の様々な数で実装してもよい。

　次に、図１０Ａ及び図１０Ｂを用いて、本発明に使用するデータフォーマットの例を説明する。このデータフォーマットは、実施例１～３に共通とすることができる。

　図１０Ａは、本発明の分散制御装置における再構成制御部２２、２３から制御対象機器に対して出力するデータフレームの一例を示した図である。

　このデータフレームは図１０Ａの左から順に１ビットのＳＯＦ（Ｓｔａｒｔ　ｏｆ　Ｆｒａｍｅ）２００、２ビットのＩＤ（Ｉｄｅｎｔｉｆｉｃａｔｉｏｎ）２０１、８ビットのデータ２０２、４ビットのＣＲＣ（２０３）、３ビットの故障したＣＰＵのデータ２０４、１ビットのＥＯＦ（Ｅｎｄ　ｏｆ　Ｆｒａｍｅ）２０５で構成されている。

　なお、データ２００～２０５のそれぞれの値は、０と１との２進数で表している。

　図１０Ａに示したデータフレームは、ＩＤ２０１の値が１０で、ＣＰＵ２から出力されたフレームであり、データ２０２の値が１０１１１１１０であり、データ２０２に対するＣＲＣ２０３の値が１１１０であり、故障ＣＰＵ２０４は０００でいずれのＣＰＵでも故障が発生していないことを表している。

　一方、図１０Ｂは故障が発生した場合のデータフレームの一例を示す図であり、図１０Ａに示したデータフレームと比較して、データ２１０の値が００１１１１１０となり、ＣＲＣ２１１の値が０１１１となり、故障ＣＰＵ２１２の値が００１となっているところが異なっている。図１０Ｂに示した例では、故障ＣＰＵ２１２の値によりＣＰＵ１で故障が発生し、その結果、データ２１０の値に故障の影響が発生し、データ２１０に対するＣＲＣ２１１の値が異なった場合を示している。

　このように、分散制御装置において通信するデータフレームに各ＣＰＵが正常動作しているか故障しているかの情報を付加することで、分散制御装置の内部もしくは外部でどのＣＰＵに故障が発生したかを正確かつ迅速に検出できるため、高信頼なシステムを実現することが可能となる。

　（実施例４）
　次に、図１１を用いて、本発明の実施例４について説明する。

　図１１は、実施例４による分散制御装置を自動車制御システムにおける車両制御装置に適用した場合の一例を示す図である。

　図１１において、自動車５００の内部は複数の電子制御ユニットを接続した形で構成している。

　この自動車５００には、センサ５１４及び５１５の入力を受ける自動運転ＥＣＵ（Ａｕｔｏｎｏｍｏｕｓ　Ｄｒｉｖｉｎｇ　ＥＣＵ、ＡＤ－ＥＣＵ）５１１と、前輪５０１、５０２を動作させて自動車５００を動かすためのパワートレーンＥＣＵ５１０とがあり、ＡＤ－ＥＣＵ５１１による走行指令をパワートレーンＥＣＵ５１０に伝えるための車両運動制御装置（Ｖｅｈｉｃｌｅ　Ｍｏｔｉｏｎ　Ｃｏｎｔｒｏｌ、ＶＭＣ）５１２及び５１３を図１１のように接続した構成となっている。

　ＡＤ－ＥＣＵ５１１には、ＣＰＵ５１１ａ、再構成制御部５１１ｂ、ローカルメモリ５１１ｃ（Ｌｏｃａｌ　Ｍｅｍｏｒｙ、ＬＭ）が含まれている。ＶＭＣ５１２には、ＣＰＵ５１２ａ、共有データ診断部５１２ｂ、再構成制御部５１２ｃ、ＬＭ５１２ｄが含まれている。

　同様に、ＶＭＣ５１３には、ＣＰＵ５１３ａ、共有データ診断部５１３ｂ、再構成制御部５１３ｃ、ＬＭ５１３が含まれている。

　自動車５００では、ＡＤ－ＥＣＵ５１１、ＶＭＣ５１２、５１３、パワートレーンＥＣＵ５１０が相互に接続し協調動作することで自動運転制御を行う。

　自動運転ＥＣＵ５１１は、図１のＣＰＵ１、再構成制御部２１、メモリ１１に対応し、車両運動制御装置５１２は、図１の、ＣＰＵ２、再構成制御部２２、共有データ診断部２７、メモリ１２に対応する。また、車両運動制御装置５１３は、図１の、ＣＰＵ３、再構成制御部２３、共有データ診断部２８、メモリ１３に対応する。

　図１１に示した自動車システムにおいて、例えば、ＡＤ－ＥＣＵ５１１で故障が発生した場合、ＡＤ－ＥＣＵ５１１と接続しているＶＭＣ５１２及び５１３がそれぞれＡＤ－ＥＣＵ５１１で故障が発生したことを検出する。

　この例では、ＶＭＣ５１２の再構成制御部５１２ｃによってＡＤ－ＥＣＵ５１１のＬＭ５１１ｃとＶＭＣ５１２のＬＭ５１２ｄとで共有していたデータを診断することで、ＡＤ－ＥＣＵ５１１の縮退動作をＶＭＣ５１２によって速やかに行う。

　これらの動作により、ＡＤ－ＥＣＵ５１１、ＶＭＣ５１２、５１３、パワートレーンＥＣＵ５１０は縮退動作に移行しながら最低限の動作を継続でき、周囲の状況に応じて前輪５０１、５０２の回転を継続もしくは停止させることで自動車システム全体としては安全動作を担保する。

　このように、本発明の分散制御装置を自動車５００の車両制御装置に適用することで、自動車５００の自動運転機能を構成する装置の一部に故障が発生した場合でも、自動車５００全体として縮退動作をしながら安全性を保つことが可能になる。

　（実施例５）
　次に、本発明の実施例５について説明する。

　図１２は、実施例５による分散制御装置を産業制御システムにおける動作制御装置に適用した場合の一例を示した図である。

　図１２において、この産業制御システムは、システムを統括制御するコンピュータ６００と、このコンピュータ６００によって制御される制御コントローラ６３１と、表示板６４０を制御するプログラマブルロジックコントローラ６３２と、アクチュエータ６４１を制御するプログラマブルロジックコントローラ６３３とを備えている。

　そして、制御コントローラ６３１、プログラマブルロジックコントローラ６３２、６３３はそれぞれ制御バス６３７を介して接続されている。

　制御コントローラ６３１は、ＣＰＵモジュール６０１、メモリモジュール６１１、再構成制御モジュール６２１など複数のモジュールを組み合わせて構成される。

　プログラマブルロジックコントローラ６３２も制御コントローラ６３１と同様に複数のモジュールを組み合わせて構成され、このプログラマブルロジックコントローラ６３２は、ＣＰＵモジュール６０２、メモリモジュール６１２、再構成制御モジュール６２２などを組み合わせて構成される。

　また、プログラマブルロジックコントローラ６３３も同様に、ＣＰＵモジュール６０３、メモリモジュール６１３、再構成制御モジュール６２３などで構成される。

　コントローラ６３１は、図１のＣＰＵ１、再構成制御部２１、メモリ１１に対応し、プログラマブルロジックコンピュータ６３２は、図１の、ＣＰＵ２、再構成制御部２２、共有データ診断部２７、メモリ１２に対応する。また、プログラマブルコンピュータ６３３は、図１の、ＣＰＵ３、再構成制御部２３、共有データ診断部２８、メモリ１３に対応する。ただし、図１２では、共有データ診断部は省略されている。

　この産業制御システムにおいて、例えば、制御コントローラ６３１で故障が発生した場合には、制御バス６３７を介して制御コントローラ６３１で故障が発生したことをプログラマブルロジックコントローラ６３２、６３３でそれぞれ検出する。

　この例では、再構成制御部６２２によってプログラマブルロジックコントローラ６３２のメモリモジュール６１２と制御コントローラ６３１のメモリモジュール６１１とで共有していたデータを診断することで、制御コントローラ６３１の縮退動作をプログラマブルロジックコントローラ６３２によって速やかに行うものである。

　上述した動作により、制御コントローラ６３１、プログラマブルロジックコントローラ６３２、６３３は縮退動作に移行しながら最低限の動作を継続でき、表示板６４０とアクチュエータ６４１の動作を継続もしくは安全に停止させることで、産業システム全体としては安全動作を担保することができる。

　このように、本発明の実施例５による分散制御装置を産業制御システムにおける動作制御装置に適用することで、産業制御システムを構成する一部の装置に故障が発生した場合でも、システム全体としては速やかに縮退動作に移行しながら安全性を保つことが可能になる。

　なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。

　また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能である。また、ある実施例の構成に他の実施例の構成を加えて構成することも可能である。

　さらに、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。

　１、２、３、５１１ａ、５１２ａ、５１３ａ・・・ＣＰＵ、　　４、５・・・ロックステップＣＰＵ、　　６、７、８、９・・・ＣＰＵコア、　　１１、１２、１３、５１１ｃ、５１２ｄ、５１３ｄ・・・メモリ、　　１７、１８、１９・・・メモリ空間、　　２１、２２、２３、５１１ｂ、５１２ｃ、５１３ｃ・・・再構成制御部、　　２７、２８、５１２ｂ、５１３ｂ・・・共有データ診断部、　　３０・・・共有領域判定部、　　３１・・・故障箇所判定部、　　４０、４１、４２、６６・・・デマルチプレクサ、　　４６、６０、６１、６２・・・セレクタ、　　５１・・・アドレスバッファ、　　５２・・・ライトデータバッファ、　　
５３・・・コマンドバッファ、　　５５・・・データ診断手段（データ診断部）、　　５６・・・故障診断ステートマシン、　　７０、７１・・・不揮発メモリ、　　８０、８１・・・照合部、　　５００・・・自動車、　　５０１、５０２・・・前輪、　　５１０・・・パワートレーンＥＣＵ、　　５１１・・・自動運転ＥＣＵ、　　５１２、５１３・・・車両運動制御装置、　　５１４、５１５・・・センサ、　　６００・・・コンピュータ、　　６０１、６０２、６０３・・・ＣＰＵモジュール、　　６１１、６１２、６１３・・・メモリモジュール、　　６２１、６２２、６２３・・・再構成制御モジュール、　　６３１・・・制御コントローラ、　　６３２、６３３・・・プログラマブルロジックコントローラ、　　６４０・・・表示板、　　６４１・・・アクチュエータ

Claims

　第１の動作制御部と、
　上記第１の動作制御部に接続された第１の再構成制御部と、
　上記第１の再構成制御部に接続された第１のメモリと、
　第２の動作制御部と、
　上記第２の動作制御部に接続された第２の再構成制御部と、
　上記第２の再構成制御部に接続された第２のメモリと、
　上記第２の再構成制御部及び上記第２のメモリに接続された第１の共有データ診断部と、
　第３の動作制御部と、
　上記第３の動作制御部に接続された第３の再構成制御部と、
　上記第３の再構成制御部に接続された第３のメモリと、
　上記第３の再構成制御部及び上記第３のメモリに接続された第２の共有データ診断部と、
　を備え、上記第２のメモリはこの第２の専用メモリ空間、上記第１のメモリとの共有メモリ空間及び上記第３のメモリとの共有メモリ空間を有し、上記第３のメモリはこの第３のメモリの専用メモリ空間、上記第１のメモリとの共有メモリ空間及び上記第２のメモリとの共有メモリ空間を有し、
　上記第１の共有データ診断部は上記第２のメモリにおける上記第１のメモリとの共有空間に格納されたデータを診断し、誤ったデータを正しいデータに書き換え、上記第２の共有データ診断部は上記第３のメモリにおける上記第１のメモリとの共有メモリ空間に格納されたデータを診断し、誤ったデータを正しいデータに書き換えることを特徴とする分散制御装置。
　請求項１に記載の分散制御装置において、
　上記第２の再構成制御部及び上記第３の再構成制御部のそれぞれは、それぞれの上記専用メモリ空間にアクセスするか上記共有メモリ空間にアクセスするかを示す共有領域判定信号を、上記第２のメモリまたは第３のメモリに出力する共有領域判定部を有することを特徴とする分散制御装置。
　請求項１に記載の分散制御装置において、
　上記第２の再構成制御部及び上記第３の再構成制御部は、それぞれ、上記第１の動作制御部、上記第２の動作制御部及び上記第３の動作制御部の故障検出信号が入力されると、データ診断要求信号を出力する故障個所判定部を備え、上記第１の共有データ診断部及び上記第２の共有データ診断部は、それぞれ、上記データ診断要求信号に応じて上記共有メモリ空間に格納されたデータを診断するデータ診断部を有することを特徴とする分散制御装置。
　請求項３に記載の分散制御装置において、
　上記データ診断部は、上記共有メモリ空間に格納されたデータのパリティ、誤り訂正符号又は巡回冗長検査を用いてデータを診断することを特徴とする分散制御装置。
　請求項１に記載の分散制御装置において、
　上記第２の再構成制御部と上記第２のメモリに接続された第１の不揮発メモリと、上記第３の再構成制御部と上記第３のメモリに接続された第２の不揮発メモリとを、さらに備えることを特徴とする分散制御装置。
　請求項１に記載の分散制御装置において、
　上記第１の動作制御部、上記第２の動作制御部及び上記第３の動作制御部のうちのいずれか１つもしくは２つあるいは全てがロックステップ構成の動作制御部であることを特徴とする分散制御装置。
　請求項１に記載の分散制御装置において、
　上記第１の再構成制御部、上記第２の再構成制御部及び上記第３の再構成制御部はデータを相互通信し、相互通信するデータのデータフレームは、上記第１の動作制御部の故障情報、上記第２の動作制御部の故障情報及び上記第３の動作制御部の故障情報を有することを特徴とする分散制御装置。
　請求項１から７のうちのいずれか一項に記載の分散制御装置において、
　上記分散制御装置は、車両制御装置であることを特徴等する分散制御装置。
　請求項１から７のうちのいずれか一項に記載の分散制御装置において、
　上記分散制御装置は、産業制御システムにおける動作制御装置であることを特徴等する分散制御装置。