信息處理系統(tǒng)��、輸出控制裝置以及數(shù)據(jù)生成裝置制造方法
【專利摘要】本發(fā)明提供一種信息處理系統(tǒng)���、輸出控制裝置以及數(shù)據(jù)生成裝置����,多重系信息處理系統(tǒng)至少具有2個基于輸入數(shù)據(jù)生成用于控制控制對象設備的控制數(shù)據(jù)的處理部,并且具有:1系的處理部���,其輸出基于輸入數(shù)據(jù)而生成的1系的控制數(shù)據(jù)�����;2系的處理部�����,其輸出利用2系固有的編碼算法對基于輸入數(shù)據(jù)而生成的2系的控制數(shù)據(jù)進行了編碼的2系的碼數(shù)據(jù)�;和控制部����,其接收1系的控制數(shù)據(jù)和2系的碼數(shù)據(jù)��,并且基于1系的控制數(shù)據(jù)與2系的碼數(shù)據(jù)的正當性的驗證結果���,決定可否將1系的控制數(shù)據(jù)發(fā)送給控制對象設備��。據(jù)此����,解決在多重系信息處理系統(tǒng)中用于保障故障安全性的硬件的設計及其安裝需要大量的時間和工夫這樣的問題。
【專利說明】信息處理系統(tǒng)�����、輸出控制裝置以及數(shù)據(jù)生成裝置
【技術領域】
[0001]本發(fā)明涉及信息處理系統(tǒng)����、輸出控制裝置以及數(shù)據(jù)生成裝置,尤其涉及對輸入數(shù)據(jù)進行多重系處理并具有故障安全(fail-safe)性的系統(tǒng)����。
【背景技術】
[0002]在強烈期望保障安全性的系統(tǒng)中,保證故障安全性是重要的�。例如,對于鐵路的信號保安裝置�,為了確保列車運行的安全性,無論在構成信號保安裝置的設備發(fā)生了怎樣的故障的情況下����,都需要對列車安全地進行控制的性質(zhì)。將這種性質(zhì)稱為故障安全性���,在具有故障安全性的信號機的情況下�����,構成為在信號機故障時停止示象(aspect)或者進行燈火管制(brownout)���。
[0003]該故障安全性這一想法���,以汽車為首,被用于各種領域���。例如����,在鐵路領域中��,將信號用繼電器用作控制信號傳達的開關��,此外通過用作構成控制邏輯的基本元件的繼電聯(lián)鎖裝置來保障了信號保安裝置的故障安全性��。近年來�,通過使裝置多重化的多重系系統(tǒng)來實現(xiàn)故障安全性��。
[0004]作為將多重系系統(tǒng)用于鐵路信號系統(tǒng)的技術����,存在JP特開2011-39630號公報(專利文獻I)��。在該公報中�,記載了 “為了減少數(shù)據(jù)量�����,代替原始數(shù)據(jù)而發(fā)送CPU-B根據(jù)原始數(shù)據(jù)計算出的哈希(hash)值(128比特(bit))���。在圖8的⑵中�,CPU-A使用通用接口將CPU-A作成的數(shù)據(jù)和從CPU-B接收到的數(shù)據(jù)這雙方發(fā)送給比較器��。在本例中�,為了減少數(shù)據(jù)量,代替原始數(shù)據(jù)而向比較器發(fā)送CPU-A����、B的數(shù)據(jù)的哈希值。在圖8的(3)中��,比較器對來自CPU-A��、CPU-B這雙方的數(shù)據(jù)(哈希值)進行比較��,并且在一致的情況下��,向CPU-A發(fā)送發(fā)送許可?!?(JP特開2011-39630號公報、第〔0019〕段)�����。
[0005]此外�,作為省略用于保障具有多重系系統(tǒng)的聯(lián)動裝置側的故障安全性的硬件的技術,存在JP特開2004-302708號公報(專利文獻2)�����。在該公報中記載了 “雖然2A����、2B、2C的計算機獨立地進行動作����,但是為了確認各個動作是否正當,定期地利用數(shù)據(jù)交換用通信路徑3將作為本系計算機的計算結果的控制數(shù)據(jù)發(fā)送給其他系計算機�,并且接收其他系計算機的控制數(shù)據(jù)��。各系對本系的計算結果的控制數(shù)據(jù)與其他系的計算結果的控制數(shù)據(jù)進行比較���,判斷向外部輸出的數(shù)據(jù)是否正當���?�!?(JP特開2004-302708號公報����,第〔0021〕段)�����。
[0006]現(xiàn)有技術文獻
[0007]專利文獻
[0008]專利文獻I JP特開2011-39630號公報
[0009]專利文獻2 JP特開2004-302708號公報
[0010]通過多重系保障故障安全性的系統(tǒng)的課題在于���,由多個系生成數(shù)據(jù)���,在進行數(shù)據(jù)核對的數(shù)據(jù)生成裝置側,省略用于保障故障安全性的比較器等的硬件���。對于多重系系統(tǒng)的傳輸�����,在輸出側�����、網(wǎng)絡上�、以及輸入側的至少任一個中,存在各系物理地靠近從而串線的危險性��。若發(fā)生了串線��,則各系的數(shù)據(jù)有可能被改寫/竄改�����,不能保持故障安全性?�,F(xiàn)有技術中�,為了排除串線的危險性,花費了很多時間和工夫���,設計并安裝了不產(chǎn)生串線的故障安全的硬件構成�。因此���,省略產(chǎn)生很多時間和工夫成本的硬件構成��,但對多重系系統(tǒng)的簡化���、低成本化有很大幫助。
[0011]在所述專利文獻I中����,記載了在多重系中發(fā)送哈希值代替原始數(shù)據(jù),并且對哈希值本身進行比較的技術�����。在專利文獻I的傳輸裝置中�,為了保障故障安全性,使用了作為硬件的比較器��。
[0012]此外��,在所述專利文獻2中���,記載了在聯(lián)動裝置內(nèi)對各計算部的處理結果進行核對��,并且將該結果輸出給信號控制裝置的技術��。在所述專利文獻2中�,各計算部具備核對功能,也需要對各計算部計算出的控制數(shù)據(jù)在計算部間相互進行通信的處理/構成�����。而且��,專利文獻2中的核對信息是僅表示各系中的核對結果的信息����,所以為了驗證在通信路徑上對于控制數(shù)據(jù)沒有發(fā)生通信錯誤,如記載了 “針對控制數(shù)據(jù)���,為了高水平地保證通信內(nèi)容�,需要對控制數(shù)據(jù)本身進行多重化來進行發(fā)送”(JP特開2004-302708號公報���、第〔0037〕段)所示��,需要另外采取多重化構成����。例如�����,在I系作成錯誤的控制數(shù)據(jù),作為正當數(shù)據(jù)輸出�����,并且I系對從2系接收到的控制數(shù)據(jù)假裝成I系的控制數(shù)據(jù)來退回2系的控制數(shù)據(jù)時��,存在將I系的錯誤的控制數(shù)據(jù)用于控制中的危險性���,可以設想另外附加用于防止這種情況的處理/構成。
【發(fā)明內(nèi)容】
[0013]因此�,本發(fā)明提供一種使系統(tǒng)簡化、低成本化的系統(tǒng)構成���,在保障了故障安全性的基礎上�����,省略在進行由多重系的各系所生成的數(shù)據(jù)的核對的數(shù)據(jù)生成裝置側的故障安全的硬件構成��。
[0014]為了解決上述課題�,采用例如權利要求書中記載的構成�。
[0015]本申請包含多種用于解決上述課題的手段,但是若列舉其中一例�,則信息處理系統(tǒng)至少具有兩個基于輸入數(shù)據(jù)生成用于控制控制對象設備的控制數(shù)據(jù)的處理部,其中,信息處理系統(tǒng)具有:1系的處理部����,其輸出基于輸入數(shù)據(jù)而生成的I系的控制數(shù)據(jù);2系的處理部����,其輸出利用2系固有的編碼算法對基于輸入數(shù)據(jù)而生成的2系的控制數(shù)據(jù)進行了編碼的2系的碼數(shù)據(jù);和控制部����,其接收I系的控制數(shù)據(jù)和2系的碼數(shù)據(jù),并且基于I系的控制數(shù)據(jù)與2系的碼數(shù)據(jù)的正當性的驗證結果�,決定可否將I系的控制數(shù)據(jù)發(fā)送給控制對象設備。
[0016]此外���,若列舉其他一例�,則輸出控制裝置����,從至少具有兩個基于輸入數(shù)據(jù)生成用于控制控制對象設備的控制數(shù)據(jù)的處理部的數(shù)據(jù)生成裝置接收控制數(shù)據(jù),并且控制控制對象設備��,其中�,輸出控制裝置具有:控制部��,其接收基于輸入數(shù)據(jù)而生成的I系的控制數(shù)據(jù)����、和利用2系固有的編碼算法對基于輸入數(shù)據(jù)而生成的2系的控制數(shù)據(jù)進行了編碼的2系的碼數(shù)據(jù)���,并且基于I系的控制數(shù)據(jù)與2系的控制數(shù)據(jù)的正當性的驗證結果����,決定可否將I系的控制數(shù)據(jù)發(fā)送給控制對象設備�����。
[0017]此外�����,若列舉其他一例��,則數(shù)據(jù)生成裝置��,至少具有2個基于輸入數(shù)據(jù)生成用于控制控制對象設備的控制數(shù)據(jù)的處理部����,并且將控制數(shù)據(jù)發(fā)送給對控制對象設備進行控制的輸出控制裝置,其中��,數(shù)據(jù)生成裝置具有:1系的控制部��,其輸出基于輸入數(shù)據(jù)而生成的I系的控制數(shù)據(jù)�;和2系的處理部,其輸出利用2系固有的編碼算法對基于輸入數(shù)據(jù)而生成的2系的控制數(shù)據(jù)進行了編碼的2系的碼數(shù)據(jù)�����,基于I系的控制數(shù)據(jù)與2系的碼數(shù)據(jù)的正當性的驗證結果�,決定可否將I系的控制數(shù)據(jù)發(fā)送給控制裝置。
[0018]此外����,若列舉其他一例,則數(shù)據(jù)生成裝置��,至少具有2個基于輸入數(shù)據(jù)生成用于控制控制對象設備的控制數(shù)據(jù)的處理部�����,并且將控制數(shù)據(jù)發(fā)送給對控制對象設備進行控制的控制裝置��,其中�,數(shù)據(jù)生成裝置具有:1系的處理部����,其輸出利用具有I系的分散信息的算法對基于輸入數(shù)據(jù)而生成的I系的控制數(shù)據(jù)進行了編碼的I系的分散碼數(shù)據(jù)���;和2系的處理部����,其輸出利用具有2系的分散信息的算法對基于輸入數(shù)據(jù)而生成的2系的控制數(shù)據(jù)進行了編碼的2系的分散碼數(shù)據(jù)�,在I系的分散碼數(shù)據(jù)和2系的分散碼數(shù)據(jù)都是正當?shù)那闆r下,使用I系的分散碼數(shù)據(jù)和2系的分散碼數(shù)據(jù)�,生成能夠驗證I系的控制數(shù)據(jù)的正當性的碼數(shù)據(jù),并且將碼數(shù)據(jù)和I系的控制數(shù)據(jù)發(fā)送給控制裝置����。
[0019](發(fā)明效果)
[0020]根據(jù)本發(fā)明���,能夠提供一種多重系系統(tǒng)���,削減用于進行在多重系的各系所生成的數(shù)據(jù)的核對的數(shù)據(jù)生成裝置側的故障安全的機構,并且在保證故障安全性的基礎上����,能夠?qū)崿F(xiàn)系統(tǒng)的簡化����、低成本化��。
[0021]上述以外的課題��、構成以及效果���,通過以下的實施方式的說明而變得清楚�?���!緦@綀D】
【附圖說明】[0022]圖1是表示本發(fā)明的實施例1的聯(lián)動裝置以及信號控制裝置的構成的一例的圖。[0023]圖2是表示本發(fā)明的實施例1的聯(lián)動裝置以及信號控制裝置的構成的一變形例的圖����。[0024]圖3是表示本發(fā)明的實施例1的聯(lián)動裝置以及信號控制裝置的構成的一變形例的圖。[0025]圖4是表示本發(fā)明的實施例1的聯(lián)動裝置以及信號控制裝置的構成的一變形例的圖��。[0026]圖5是表示本發(fā)明的實施例2的聯(lián)動裝置以及信號控制裝置的構成的一例的圖���。[0027]圖6是表示本發(fā)明的實施例3的聯(lián)動裝置以及信號控制裝置的構成的一例的圖����。[0028]圖7是表示本發(fā)明的實施例4的聯(lián)動裝置以及信號控制裝置的構成的一例的圖。[0029]圖8是表示本發(fā)明的實施例1中的聯(lián)動裝置中的控制流程的圖����。[0030]圖9是表示本發(fā)明的實施例1中的信號控制裝置中的控制流程的圖。[0031]符號說明[0032]I聯(lián)動裝置[0033]2信號控制裝置[0034]3信號設備[0035]4網(wǎng)絡[0036]5發(fā)送電文[0037]11�����、21�、31計算部[0038]12、13����、22、23�、32、33 碼生成部[0039]42碼事前驗證部[0040]61控制信息選擇部[0041]101,201,301控制數(shù)據(jù)[0042]102���、202、302���、402 碼數(shù)據(jù)
[0043]401,411,421 發(fā)送部
[0044]501接收部
[0045]502����、512、522 碼驗證部
[0046]503信號控制部
【具體實施方式】
[0047]以下���,參照附圖來說明本發(fā)明的實施方式���。其中,要留意附圖是示意性的圖���。
[0048]【實施例1】
[0049]在本實施例中�����,作為多重系信息處理系統(tǒng)��,假設具備3個計算部的聯(lián)動裝置I���。此外,假設聯(lián)動裝置I通過網(wǎng)絡4與信號控制裝置2連接�����,信號控制裝置2與信號設備3連接��。另外,本發(fā)明也可以由基于I系和2系的2重系���、或者3系以上的多重系構成��。此外�,適用本發(fā)明的多重系信息處理系統(tǒng)不限定于鐵路中的信號設備���,將信號控制裝置2以及信號設備3分別讀作輸出控制裝置以及控制對象設備��,可以適用于各種設備�。同樣��,聯(lián)動裝置I可以讀作根據(jù)輸入數(shù)據(jù)生成用于控制控制對象設備的控制數(shù)據(jù)的數(shù)據(jù)生成裝置����。而且,輸出控制裝置和數(shù)據(jù)生成裝置不需要分開存在�,將進行輸出控制裝置中的碼的驗證、以及數(shù)據(jù)的輸出控制的部分作為控制部�����,可以設置在多重系信息處理系統(tǒng)上的任一部分���。
[0050]圖1示出本實施例的構成�����。在本實施例中��,聯(lián)動裝置I具備3個信息處理系(以下分別稱為I系���、2系、3系)����, 各系由計算針對信號控制裝置2的控制數(shù)據(jù)的計算部(11、21以及31)�����、將計算部輸出的控制數(shù)據(jù)作為輸入并且輸出錯誤檢測碼的碼生成部(12����、22以及23)構成。此外��,在聯(lián)動裝置I內(nèi)具備將計算出的發(fā)送電文5發(fā)送到網(wǎng)絡4的發(fā)送部401����,各系的碼生成部(12��、22以及23)、以及I系的計算部11與發(fā)送部401連接�����。信號控制裝置2由通過網(wǎng)絡4接收聯(lián)動裝置I發(fā)送的發(fā)送電文5的接收部501����、對發(fā)送電文5中包含的控制數(shù)據(jù)101以及各系計算出的錯誤檢測碼即碼數(shù)據(jù)(102��、202以及302)的整合性進行驗證的碼驗證部502�����、基于控制數(shù)據(jù)101對信號設備3進行控制的信號控制部503構成����。進行各系的處理的部分是處理部,在本實施例中����,處理部包括計算部和碼生成部。其中����,在系的處理中不需要碼生成的情況下��,處理部也可以不包括碼生成部。
[0051]圖8表示本實施例的聯(lián)動裝置I的控制流程�,圖9表示本實施例的信號控制裝置2的控制流程。以下����,示出聯(lián)動裝置I和信號控制裝置2中的信號控制的流程。
[0052]首先�����,聯(lián)動裝置I的各系的計算部基于聯(lián)動邏輯�,按照列車的在線狀態(tài)決定各列車前進的道路,計算用于對設置在站內(nèi)的信號設備3進行控制的控制數(shù)據(jù)(9001)�,向自系的碼生成部發(fā)送控制數(shù)據(jù)(9002)。此外���,I系的計算部11將控制數(shù)據(jù)101發(fā)送給發(fā)送部401(9003)��。
[0053]接下來���,各系的碼生成部對由計算部接收到的控制數(shù)據(jù)計算錯誤檢測碼(9004)����,作為碼數(shù)據(jù)發(fā)送給發(fā)送部401 (9005)����。
[0054]在上述所述的錯誤檢測碼是針對所發(fā)送的數(shù)據(jù),在通信路徑上發(fā)生了比特亂碼等的通信錯誤的情況下��,用于對該錯誤進行檢測的信息��。碼生成部具備用于生成錯誤檢測碼的算法���,例如使用奇偶碼�����、校驗和(checksum)���、循環(huán)冗余校驗(CRC)、哈希函數(shù)�。另外,在本實施例中針對利用錯誤檢測碼的情況進行了敘述,但是作為能夠檢測錯誤并且進行訂正的糾錯碼�����,例如還可以利用循環(huán)漢明(Hamming)碼、里德.所羅門(Reed-Solomon)碼等�����。
[0055]此外��,設錯誤檢測碼是各系固有的�����,具有即使在計算部異常動作的情況下也不能計算出其他系的錯誤檢測碼的性質(zhì)�。該性質(zhì)�,通過例如作為碼生成算法,各系利用使用了不同的多項式的CRC�,或者將控制數(shù)據(jù)中附加了各系獨自的信息得到的數(shù)據(jù)作為哈希函數(shù)的輸入,來實現(xiàn)���?���;蛘?����,對控制數(shù)據(jù)附加各系獨自的信息(識別信息、秘密信息等)�,并且對其計算碼,采用這種方式也可以實現(xiàn)本性質(zhì)�。此外,也可以在各系利用不同的算法/不同的編碼方式(例如在I系利用CRC���,在2系利用哈希函數(shù)���,在3系利用奇偶碼)。本實施例中的“不同的算法/不同的編碼方式/固有的算法/固有的編碼方式”�����,是指“對相同的輸入�,輸出不同”。因此����,即使算法、編碼方式本身的種類相同�����,由于系數(shù)等的設定而對于輸入可獲得固有的輸出結果,也表示“不同的算法/不同的編碼方式/固有的算法/固有的編碼方式”��。
[0056]發(fā)送部401將從各系的碼生成部接收到的碼數(shù)據(jù)(102�、202以及302)、以及從I系的計算部11接收到的控制數(shù)據(jù)101作為發(fā)送電文5發(fā)送給信號控制裝置2 (9006)��。在本實施例中��,針對將這些數(shù)據(jù)匯集在一個電文中的情況進行了敘述���,但是在對控制沒有影響的情況下��,也可以向信號控制裝置2分別發(fā)送各數(shù)據(jù)。
[0057]為了避免碼數(shù)據(jù)的固定故障���,即使是相同的控制內(nèi)容�����,也可以使碼數(shù)據(jù)的值具有可以按每控制周期進行變更的性質(zhì)���。這例如通過將每控制周期的編號包含在碼計算中來實現(xiàn)。據(jù)此����,例如在發(fā)送部401發(fā)生故障��,將過去的控制數(shù)據(jù)101����、碼數(shù)據(jù)(102����、202以及302)發(fā)送給了信號控制裝置2的情況下,通過編號檢查�����,檢測到碼數(shù)據(jù)是過去的值�����,作為不正確的控制數(shù)據(jù)101而廢棄��。
[0058]當然����,若不考慮針對各系中的改寫的危險性,則也可以在各系使用相同的碼生成算法�����,也可以根據(jù)碼數(shù)據(jù)向固定故障的對應程度,將碼數(shù)據(jù)的值持續(xù)使用一定期間�����,或者在控制周期的常數(shù)倍的時間持續(xù)使用相同的編碼方式�����。
[0059]若信號控制裝置2的接收部501由聯(lián)動裝置I的發(fā)送部401接收到發(fā)送電文5(9011)����,則將控制數(shù)據(jù)101以及碼數(shù)據(jù)發(fā)送給碼驗證部502(9012)。
[0060]碼驗證部502使用由接收部501接收到的3個系的碼數(shù)據(jù)(102�����、202以及302)�����,驗證在I系的計算部11計算出的控制數(shù)據(jù)101中是否沒有錯誤(9013)��。針對I系的控制數(shù)據(jù)101�,在至少2個以上的系的碼數(shù)據(jù)的驗證中沒有檢測到錯誤的情況下,判斷為在該控制數(shù)據(jù)101中沒有錯誤��,向信號控制部503發(fā)送控制數(shù)據(jù)101(9014)�。此外,在2個以上的系的碼數(shù)據(jù)的驗證中檢測到錯誤的情況下��,判斷為在該控制數(shù)據(jù)101中存在錯誤�,不許可向信號控制部503發(fā)送控制數(shù)據(jù)101,向信號控制部503通知異常狀態(tài)(9015)���。
[0061]說明使用了碼數(shù)據(jù)的控制數(shù)據(jù)的驗證�����。碼驗證部502知道碼生成部(12��、22以及
32)中的各種編碼方式��,根據(jù)接收到的控制數(shù)據(jù)101���,通過各系固有的編碼方式,生成用于與各個碼數(shù)據(jù)進行核對的碼核對用數(shù)據(jù)(1502�����、2502以及3502)。通過將各個碼核對用數(shù)據(jù)��、與對應的系的碼數(shù)據(jù)(102�、202以及302)進行核對,從而進行控制數(shù)據(jù)和各碼數(shù)據(jù)的驗證�。碼生成部使用的編碼方式可以預先登記在碼驗證部502中,也可以在發(fā)送部401與接收部501之間進行通信來共享�,也可以使用其他無線傳輸方式。作為對應的系的發(fā)現(xiàn)方法��,可以預先在頭信息中記錄各碼數(shù)據(jù)的位置�,也可以通過循環(huán)比較(総當D )來判斷各碼核對用數(shù)據(jù)與各碼數(shù)據(jù)的各個一致/不一致。
[0062]在本實施例中�,使用3個系計算出的3個碼數(shù)據(jù),進行總共3次的錯誤檢測處理�。即,進行對I系的控制數(shù)據(jù)101使用了 I系的碼數(shù)據(jù)102的錯誤檢測處理�����、對I系的控制數(shù)據(jù)101使用了 2系的碼數(shù)據(jù)202的錯誤檢測處理���、對I系的控制數(shù)據(jù)101使用了 3系的碼數(shù)據(jù)302的錯誤檢測處理。因為使用了各系獨自的碼��,所以碼驗證部502適用與各系對應的碼驗證算法。另外�����,即使在使用了 I系的碼數(shù)據(jù)的錯誤檢測處理檢測到了錯誤的情況下�����,若在其他2個系沒有檢測到錯誤檢測�,則判斷為I系的控制數(shù)據(jù)101沒有錯誤。在判斷為一個系的碼不正確的情況下�,判斷為發(fā)生了該系的計算部或者碼生成部的錯誤計算、或者在通信路徑上通信錯誤�����。為了維護�,期望該信息作為錯誤日志記錄在聯(lián)動裝置I或者信號控制裝置2內(nèi),或者通知給維護人員��、維護設備��。
[0063]信號控制部503在由碼驗證部502接收到控制數(shù)據(jù)101的情況下�����,按照該控制數(shù)據(jù)101對信號設備3進行控制(9016)。由碼驗證部502通知了異常的情況下����,將信號設備3向安全側(停止示象或者燈火管制等)進行控制(9017)。
[0064]以下示出��,在聯(lián)動裝置I實施的各處理過程中�����,在假設發(fā)生了異常處理的情況的情況下��,也可以確保信號設備3的安全性����。另外,信號控制裝置2在一定期間沒有從聯(lián)動裝置I接收到有效的電文的情況下���,將信號設備3向安全側進行控制����。
[0065]首先�,示出I系的計算部11發(fā)生了異常動作的情況。作為I系的計算部11的異常動作�,假設“將錯誤的控制數(shù)據(jù)101發(fā)送給發(fā)送部401、或者碼生成部12”����、“沒有向發(fā)送部401、或者碼生成部12發(fā)送控制數(shù)據(jù)101”這樣的狀況�����。在I系發(fā)送了錯誤的控制數(shù)據(jù)101的情況下�,基于該控制數(shù)據(jù)101計算碼數(shù)據(jù)102,并且將錯誤的控制數(shù)據(jù)101以及碼數(shù)據(jù)102發(fā)送給信號控制裝置2的碼驗證部502�。信號控制裝置2對I系的錯誤的控制數(shù)據(jù)101以及碼數(shù)據(jù)102、以及從其他系(2系�����、3系)接收到的碼數(shù)據(jù)(202以及302)進行驗證����。在該情況下,I系的控制數(shù)據(jù)101和I系的碼數(shù)據(jù)102的驗證有可能被看做是正當?shù)?����,但是因為正當?shù)?系以及3系的計算部計算出與I系的控制數(shù)據(jù)101不同的控制數(shù)據(jù)���,并且對其計算出碼數(shù)據(jù)(202以及302)���,所以使用了 I系的控制數(shù)據(jù)101的2系以及3系的碼數(shù)據(jù)(202以及302)的驗證被看做不正確���。因此,看做控制數(shù)據(jù)101的異常��,向信號控制部503通知異常從而向安全側進行控制���。此外�,在I系不發(fā)送控制數(shù)據(jù)101的情況下����,信號控制裝置2確認了在一定期間沒有接收到有效的電文之后,將信號設備3向安全側進行控制��。
[0066]示出2系的計算部21進行了異常動作的情況���。作為2系的計算部21的異常動作���,假設“向碼生成部22發(fā)送錯誤的控制數(shù)據(jù)”這樣的狀況。在2系將錯誤的控制數(shù)據(jù)發(fā)送給碼生成部22的情況下,基于該控制數(shù)據(jù)計算碼數(shù)據(jù)202���,并且發(fā)送給信號控制裝置2的碼驗證部502����。信號控制裝置2對I系的控制數(shù)據(jù)101��、以及2系的錯誤的碼數(shù)據(jù)202�����、以及從其他系(I系��、3系)接收到的碼數(shù)據(jù)(102以及302)進行驗證��。在該情況下��,I系的控制數(shù)據(jù)101和I系以及3系的碼數(shù)據(jù)(102以及302)的驗證被看做是正當?shù)?�,但是I系的控制數(shù)據(jù)101和2系的碼數(shù)據(jù)202的驗證被看做不正確���。因此,看做2系的碼數(shù)據(jù)202的異常��,基于控制數(shù)據(jù)101可以控制信號設備3。因為3系的計算部31的異常動作與2系的情況相同�,所以省略。
[0067]接下來���,示出I系����、2系或者3系的碼生成部進行了異常動作的情況��。作為碼生成部(12���、22以及32)的異常動作�,假設“向發(fā)送部401發(fā)送錯誤的碼數(shù)據(jù)”����、“不向發(fā)送部401發(fā)送碼數(shù)據(jù)”這樣的狀況。在一個系計算出了錯誤的碼數(shù)據(jù)(102�����、202或者302)的情況下�����,該錯誤的碼數(shù)據(jù)被發(fā)送給信號控制裝置2的碼驗證部502。信號控制裝置2對I系的控制數(shù)據(jù)101��、以及一個系的錯誤的碼數(shù)據(jù)�����、以及從其他2個系接收到的正當?shù)拇a數(shù)據(jù)進行驗證��。在該情況下�����,I系的控制數(shù)據(jù)101和正當?shù)?個系的碼數(shù)據(jù)的驗證被看做是正當?shù)?,但是I系的控制數(shù)據(jù)101和一個錯誤的碼數(shù)據(jù)的驗證被看做不正確�����。因此����,看做錯誤的一個系的碼數(shù)據(jù)的異常,基于I系的控制數(shù)據(jù)101控制信號設備3����。在一個系的碼生成部不發(fā)送碼數(shù)據(jù)的情況下,若信號控制裝置2接收到了控制數(shù)據(jù)101以及其他2個系的碼數(shù)據(jù),則可以基于控制數(shù)據(jù)101對信號設備3進行控制�。
[0068]最后,示出發(fā)送部401進行了異常動作的情況��。作為發(fā)送部401的異常動作�,假設“對控制數(shù)據(jù)101或者各系的碼數(shù)據(jù)進行變更并進行發(fā)送”、“不向信號控制裝置2發(fā)送發(fā)送電文5”這樣的狀況�����。在改寫了控制數(shù)據(jù)101的情況下����,與作為I系的異常動作的一種的計算出了錯誤的控制數(shù)據(jù)101的情況相同,在信號控制裝置2進行碼驗證時檢測出來�。作為改寫了各系的碼數(shù)據(jù)的情況,在例如假設用I系的碼數(shù)據(jù)改寫了 2系的碼數(shù)據(jù)的狀況的情況下����,因為碼驗證部502對各系的碼數(shù)據(jù)使用不同的碼驗證算法,所以在進行了改寫的情況下��,由碼驗證部502看做是不正確的碼�。
[0069]在本構成中,在聯(lián)動裝置I內(nèi)的一個系在異常時能夠生成其他系的碼的情況下�,有可能將信號設備3控制到危險側���。例如I系發(fā)生異常動作從而計算出錯誤的控制數(shù)據(jù)101,并且計算出本系以及其他系的碼數(shù)據(jù)發(fā)送給信號控制裝置2��,由此信號控制裝置2的碼驗證部502有可能錯過控制數(shù)據(jù)101的錯誤���,基于錯誤的控制數(shù)據(jù)101控制信號設備3�。因此����,在本構成中,即使一個系發(fā)生異常動作�����,也不能計算出(偽造)其他系的碼數(shù)據(jù)的性質(zhì)變得重要�����。通過具有該性質(zhì)����,例如即使在從各系向發(fā)送部401的通信線短路(混觸)從而改寫了其他系的數(shù)據(jù)的情況下�,通過驗證碼數(shù)據(jù)也可以檢測異常����。
[0070]此外�����,為了防止聯(lián)動裝置1�、信號控制裝置2的故障潛在化,可以進行基于定期的錯誤控制數(shù)據(jù)�、或者錯誤碼數(shù)據(jù)輸入的故障診斷。例如為了診斷�,聯(lián)動裝置I的I系的計算部11可以定期地計算錯誤控制數(shù)據(jù)101,并且確認信號控制裝置2的碼驗證部502是否對其正確地檢測到不正確并進行通知����。通過使碼驗證部502具有所計算出的是錯誤控制數(shù)據(jù)的信息,可以I系�����、2系的任一個或者雙方輸出錯誤控制數(shù)據(jù)��。此外�,通過具備未圖示的警報裝置,在檢測到不正確的情況下��,可以輸出警報。
[0071]優(yōu)選在聯(lián)動裝置1�����、信號控制裝置2���、信號設備3��、網(wǎng)絡4的任一個設置監(jiān)視器��、或者通過聲音通知處理狀況的單元���、或者這雙方,從而可以容易地確認聯(lián)動裝置I或者信號控制裝置2內(nèi)的處理狀況���。
[0072]本實施例基于聯(lián)動裝置I內(nèi)的多個系同時發(fā)生同一故障的概率較低這樣的假設來確保安全性。因此�,需要降低由于電源電壓異常、EMC�、溫度變化等而引起的多個系的同時同一故障的概率的對策。因此�����,例如優(yōu)選各系安裝到不同的硬件。此外�����,聯(lián)動裝置I內(nèi)的各處理系�,只要不影響控制,沒有必要一定匯集在一個地方���,例如也可以配置在物理上不同的場所����。
[0073]如上所述�,只要2個以上的系不發(fā)生異常動作,通過碼驗證部502檢測異常���。因此�,即使聯(lián)動裝置I內(nèi)任意一個系和發(fā)送部401同時發(fā)生了故障�,也不影響安全性,所以可以通過將發(fā)送部401包含在任一系之中����,來簡化系統(tǒng)構成。圖2中示出本構成�����。
[0074]此外,本實施例中重要的是���,碼數(shù)據(jù)(102���、202以及302)分別根據(jù)計算部11、21以及31的各自的控制數(shù)據(jù)而作成�,而由碼驗證部502生成的碼核對用數(shù)據(jù)基于來自計算部11的控制數(shù)據(jù)101而生成。在碼生成部和碼驗證部中針對相對應的系使用相同的編碼算法�,但是例如對于碼數(shù)據(jù)202和碼核對用數(shù)據(jù)2502,因為編碼之前的控制數(shù)據(jù)的系不同(碼數(shù)據(jù)202來自2系�����,碼核對用數(shù)據(jù)2502來自I系)��,所以例如在控制數(shù)據(jù)101本身不正確的情況下��,在碼驗證部502中對于碼數(shù)據(jù)202(來自2系)與碼核對用數(shù)據(jù)2502(來自I系)����、以及碼數(shù)據(jù)302 (來自3系)與碼核對用數(shù)據(jù)3502 (來自I系)�,核對不成立����,能夠發(fā)現(xiàn)系統(tǒng)的不良�����。因此����,在保障故障安全性上,也可以不一定進行來自同一系的碼數(shù)據(jù)102(來自I系)與碼核對用數(shù)據(jù)1502(來自I系)的核對���。圖3中示出本構成���。在圖3中,能夠減少碼生成部���,可以進一步簡化系統(tǒng)����。在碼驗證部502中��,進行控制數(shù)據(jù)101與碼數(shù)據(jù)202以及302的核對,若至少一個是正當?shù)?���,則可以將控制數(shù)據(jù)101判斷為正當。但是����,如圖1所示,在進行碼數(shù)據(jù)102與碼核對用數(shù)據(jù)1502的核對的情況下��,還能夠判斷控制數(shù)據(jù)101在聯(lián)動裝置內(nèi)是否產(chǎn)生了不良����,或者從網(wǎng)絡4與信號控制裝置2之間是否產(chǎn)生了不良。
[0075]若能夠進行成為用于控制信號設備3的數(shù)據(jù)的候補的控制數(shù)據(jù)���、與根據(jù)與該控制數(shù)據(jù)不同的控制數(shù)據(jù)所計算出的碼數(shù)據(jù)的驗證�����,則碼驗證可以在系統(tǒng)上��、發(fā)送側�、網(wǎng)絡上���、接收側的任一處�����。例如�,若在發(fā)送側進行碼驗證����,則能夠由發(fā)送側裝置輸出具有可靠性的碼數(shù)據(jù)。
[0076]利用的碼生成算法����,根據(jù)通信環(huán)境來分別使用成為有效。例如在作為鐵路專用有線網(wǎng)絡的網(wǎng)絡4等�,通信路徑錯誤少、第三者難以訪問的通信環(huán)境下��,能夠利用安裝簡單并且高速的算法���。另一方面����,在通用無線網(wǎng)絡等���,第三者容易訪問的通信環(huán)境下�����,需要使用了秘密密鑰的哈希函數(shù)等加密性地強度高的算法�����。
[0077]在上述的構成中���,I系的計算部11將控制數(shù)據(jù)101發(fā)送給發(fā)送部401�,但是為了提高針對通信錯誤的可靠性�����,可以從多個系發(fā)送控制數(shù)據(jù)�。
[0078]此外,如圖4所示���,可以通過附加控制信息選擇部61�,來控制控制數(shù)據(jù)的選擇方法�。例如,控制信息選擇部61可以從各系的控制數(shù)據(jù)中選擇按每個控制周期���、或者按每一定期間向發(fā)送部401輸出的控制數(shù)據(jù)��。選擇方法可以是隨機的���,也可以依次選擇各系。通過控制信息選擇部61�����,各系的計算部(11�、21以及31)的潛在故障變得容易被發(fā)現(xiàn)。當然����,若具有發(fā)送部401和各系進行相互收發(fā)的功能,則發(fā)送部401也可以進行控制信息的選擇����。
[0079]在本實施例中,設為為了省略聯(lián)動裝置側的故障安全的機構�����。當然�����,在采取在聯(lián)動裝置側不收集來自多重系的數(shù)據(jù)而直接進行并行發(fā)送的構成的情況下,也可以在網(wǎng)絡上�����、或者接收裝置側采取本實施例的構成�����。也就是說���,也可以信號控制裝置2����、車上邏輯部采用本構成�。
[0080]【實施例2】
[0081]在本實施例中,說明聯(lián)動裝置I內(nèi)的發(fā)送部411基于各系的碼生成部(13�����、23以及
33)計算出的數(shù)據(jù)���,生成一個錯誤檢測碼數(shù)據(jù)402����,將控制數(shù)據(jù)101以及構成的錯誤檢測碼數(shù)據(jù)402發(fā)送給信號控制裝置2的例子。圖5是實施例2中的構成����。聯(lián)動裝置1、信號控制裝置2����、信號設備3��、網(wǎng)絡4�����、發(fā)送電文5與實施例1對應����,在沒有特別說明的情況下是相同的構成。
[0082]作為根據(jù)從多個系接收到的碼數(shù)據(jù)構成可以驗證的一個碼數(shù)據(jù)的方式����,例如可以應用秘密函數(shù)分散。所謂秘密函數(shù)分散�,是將秘密函數(shù)向多個系(i)進行分散編碼的方法��,是如下方式:為了計算針對向該函數(shù)(F)的輸入(X)的輸出(Vi), 各系使用本系保持的各個分散信息(Wi)進行針對該輸入的計算Vi = F(Wi;X)�,通過從某一常數(shù)以上的系獲得計算結果���,來計算輸出��。此外���,在用于各系進行計算的函數(shù)本身具有分散信息的情況下,上述計算也可以是Vi = Fi(X)15通過將這些輸出(Vi)收集一定數(shù)量以上���,從而能夠解碼正確的輸出(V)���。
[0083]在本實施例中,例如將錯誤檢測碼生成算法作為秘密函數(shù)��,將該函數(shù)進行分散化從而各系的碼生成部(13���、23以及33)進行保存�����。碼生成部將控制數(shù)據(jù)作為輸入��,將通過具備各個分散信息的算法而進行了編碼的分散碼數(shù)據(jù)輸出給發(fā)送部411�。發(fā)送部411基于所接收到的多個系的分散碼數(shù)據(jù),生成針對控制數(shù)據(jù)101的一個錯誤檢測碼數(shù)據(jù)402�����,發(fā)送給信號控制裝置2�����。
[0084] 該錯誤檢測碼數(shù)據(jù)402具有如下性質(zhì):若來自各系的計算結果即分散碼數(shù)據(jù)有一定數(shù)量以上不正確�����,則不能正確地被輸出����。在本實施例中示出了 3系的情況��,所以發(fā)送部411既可以設定為在3系全部可以輸出正確的分散碼數(shù)據(jù)的情況下能夠計算出錯誤檢測碼數(shù)據(jù)402��,也可以設定為在至少2系能夠輸出正確的分散碼數(shù)據(jù)的情況下能夠計算出錯誤檢測碼數(shù)據(jù)402����。
[0085]信號控制裝置2內(nèi)的碼驗證部512具備對該錯誤檢測碼進行驗證的算法���,判斷碼的正當性。在該構成中����,即使發(fā)送部411發(fā)生故障從而進行了異常動作,只要不能從各系獲得分散碼數(shù)據(jù)�����,就不能計算出有效的錯誤檢測碼數(shù)據(jù)402�。因此,發(fā)送部411在故障時也不能計算出錯誤的控制數(shù)據(jù)101和與其對應的有效的錯誤檢測碼數(shù)據(jù)402�,保證了針對信號控制裝置2的安全性。此外����,若來自各系的分散碼數(shù)據(jù)有一定數(shù)量以上不正確,則錯誤檢測碼數(shù)據(jù)402也變?yōu)榘e誤����,所以在碼驗證部52能夠檢測異常。據(jù)此���,不再需要向信號控制裝置2發(fā)送多個碼數(shù)據(jù)�,所以信號控制裝置2內(nèi)的碼驗證部512不需要具備多個碼驗證算法,只要具備錯誤檢測碼數(shù)據(jù)402的編碼算法即可��。
[0086]此外�����,在實施例2中���,通過具有圖4所示的聯(lián)動裝置I的構成���、或者發(fā)送部411與各系相互收發(fā)的功能,也可以按每個控制周期來變更控制數(shù)據(jù)的選擇方法����。據(jù)此,變得容易發(fā)現(xiàn)各系的計算部的固定故障����。而且�����,為了進一步提高可靠性,可以至少按每個控制周期來變更對錯誤檢測碼進行驗證的算法��、或者使驗證錯誤檢測碼的算法分散化時的分散信息�。
[0087]【實施例3】
[0088]在本實施例中,示出聯(lián)動裝置I內(nèi)具備碼事前驗證部42的例子�。圖6中示出本構成。聯(lián)動裝置1��、信號控制裝置2���、信號設備3�����、網(wǎng)絡4���、發(fā)送電文5與實施例1對應,只要沒有特別說明則是相同的構成���。
[0089]在向信號控制裝置2發(fā)送控制數(shù)據(jù)101之前���,由碼事前驗證部42進行碼的驗證,由此能夠防止錯誤的控制數(shù)據(jù)101流出到聯(lián)動裝置I的外部����。據(jù)此����,與實施例1相比較����,更早地檢測控制數(shù)據(jù)101的異常,原因確定�����、排除����、以及維護成為可能。此外����,因為由聯(lián)動裝置I能夠進行控制數(shù)據(jù)的驗證,所以根據(jù)本實施例的構成��,通過發(fā)送器�����,削減聯(lián)動裝置內(nèi)的故障安全的機構��,在保證故障安全性的基礎上��,能夠?qū)崿F(xiàn)系統(tǒng)的簡化/低成本化這樣的效果�����。發(fā)送部421在通過碼事前驗證部42的驗證���,判斷為控制數(shù)據(jù)101是正當?shù)那闆r下�����,將控制數(shù)據(jù)101和碼數(shù)據(jù)102輸出給信號控制裝置2����。碼事前驗證部42進行的控制數(shù)據(jù)和碼數(shù)據(jù)的正當性的驗證�,可以利用與實施例1中的碼驗證部522相同的方法進行。
[0090]聯(lián)動裝置I內(nèi)的碼事前驗證部42利用的碼驗證算法�����,期望具有能夠進行碼驗證但是不能進行碼生成的性質(zhì)�。該性質(zhì)��,可以通過利用例如RSA簽名�����、DSA簽名����、橢圓ElGamal簽名等電子簽名中所使用的驗證算法來實現(xiàn)����。通過利用具備了該性質(zhì)的驗證算法,即使在聯(lián)動裝置I內(nèi)的碼事前驗證部42發(fā)生了異常動作的情況下�,因為碼事前驗證部42不能正確地計算出各系的碼,所以即使碼事前驗證部42發(fā)送了錯誤的控制數(shù)據(jù)101�����,信號控制裝置2的碼驗證部522也能夠檢測該錯誤�����。此外���,對于碼驗證��,只要使用至少一個控制數(shù)據(jù)即可�����,在本實施例中使用控制數(shù)據(jù)101�����。
[0091]在碼事前驗證部42利用的碼驗證算法不具有上述性質(zhì)的情況下(即��,在利用可以進行碼驗證和碼生成的驗證算法的情況下)��,碼事前驗證部42故障時���,錯誤的控制數(shù)據(jù)101以及碼事前驗證部42被要求具有故障安全性。例如可以采用如下方式:采取使碼事前驗證部42多重化的構成�,對相互的處理進行核對,在不一致的情況下����,停止動作。
[0092]在實施例1中將I系的控制數(shù)據(jù)101以及各系的碼數(shù)據(jù)作為發(fā)送電文5來進行發(fā)送���,但是在本構成中在聯(lián)動裝置I的碼事前驗證部42具有故障安全性的情況下��,例如可以將I系的控制數(shù)據(jù)101��、和I系的碼數(shù)據(jù)102作為發(fā)送電文5進行發(fā)送��。據(jù)此�����,聯(lián)動裝置I以及信號控制裝置2間的通信負載減輕�����,并且碼驗證部522不需要具備多個碼驗證算法�。
[0093]【實施例4】
[0094]在本實施例中,示出在控制數(shù)據(jù)發(fā)生了錯誤的情況下替換為正確的控制數(shù)據(jù)的例子�。圖7示出實施例4中的構成。聯(lián)動裝置1��、信號控制裝置2��、信號設備3����、網(wǎng)絡4、發(fā)送電文5與實施例1相對應,在沒有特別說明的情況下是相同的構成��。
[0095]與實施例1不同���,各系將控制數(shù)據(jù)(101���、201�、以及301)、和碼數(shù)據(jù)(102��、202以及302)發(fā)送給發(fā)送部401��,發(fā)送部401根據(jù)各系的控制數(shù)據(jù)和碼數(shù)據(jù)生成發(fā)送電文5���。
[0096]碼驗證部502對控制數(shù)據(jù)101驗證與各系的碼數(shù)據(jù)(102�、202以及302)的正當性���,判斷控制數(shù)據(jù)101的正當性�。正當性的判斷�����,可以與實施例1相同,也可以不使用碼數(shù)據(jù)102�����。這里�����,若在將控制數(shù)據(jù)101判斷為不正確的情況下����,對控制數(shù)據(jù)201進行與各碼數(shù)據(jù)的正當性的驗證。在將控制數(shù)據(jù)201判斷為正當?shù)那闆r下����,代替控制數(shù)據(jù)101輸出控制數(shù)據(jù)201,在將控制數(shù)據(jù)201判斷為不正確的情況下���,進行控制數(shù)據(jù)301的正當性的驗證���,同樣地基于控制數(shù)據(jù)301的正當性的驗證來決定可否輸出控制數(shù)據(jù)301。當然�,也可以與控制數(shù)據(jù)101的正當性的判斷無關地,判斷控制數(shù)據(jù)201�、控制數(shù)據(jù)301的正當性。對多個控制數(shù)據(jù)的正當性進行驗證,在存在多個判斷為正當?shù)目刂茢?shù)據(jù)的情況下�,向信號控制部503發(fā)送的控制數(shù)據(jù)可以選擇判斷為正當?shù)目刂茢?shù)據(jù)中的至少任一個。在沒有要發(fā)送的控制數(shù)據(jù)的情況下�����,判斷為在系統(tǒng)上發(fā)生了通信錯誤�。
【權利要求】
1.一種信息處理系統(tǒng),至少具有兩個基于輸入數(shù)據(jù)生成用于控制控制對象設備的控制數(shù)據(jù)的處理部���,該信息處理系統(tǒng)的特征在于�����,所述信息處理系統(tǒng)具有:1系的處理部,其輸出基于所述輸入數(shù)據(jù)而生成的I系的控制數(shù)據(jù)�����;2系的處理部�����,其輸出利用2系固有的編碼算法對基于所述輸入數(shù)據(jù)而生成的2系的控制數(shù)據(jù)進行了編碼的2系的碼數(shù)據(jù)�;和控制部,其接收所述I系的控制數(shù)據(jù)和所述2系的碼數(shù)據(jù),并且基于所述I系的控制數(shù)據(jù)與所述2系的碼數(shù)據(jù)的正當性的驗證結果�����,決定可否將所述I系的控制數(shù)據(jù)發(fā)送給所述控制對象設備�。
2.根據(jù)權利要求1所述的信息處理系統(tǒng),其特征在于��,所述I系的處理部輸出利用I系固有的編碼算法對所述I系的控制數(shù)據(jù)進行了編碼的I系的碼數(shù)據(jù)����,所述控制部接收所述I系的碼數(shù)據(jù),并且基于所述I系的控制數(shù)據(jù)與所述2系的碼數(shù)據(jù)的正當性的驗證結果�����、和所述I系的控制數(shù)據(jù)與所述I系的碼數(shù)據(jù)的正當性的驗證結果中的兩個所述驗證結果���,決定可否將所述I系的控制數(shù)據(jù)發(fā)送給所述控制對象設備�。
3.根據(jù)權利要求2所述的信息處理系統(tǒng)�����,其特征在于�����,所述控制部在所述I系的控制數(shù)據(jù)與所述2系的碼數(shù)據(jù)的正當性的驗證結果、和所述I系的控制數(shù)據(jù)與所述I系的碼數(shù)據(jù)的正當性的驗證結果中的兩個所述驗證結果為正當?shù)那闆r下����,判斷為所述I系的控制數(shù)據(jù)是正當?shù)牟⑶疫M行向所述控制對象設備的發(fā)送。
4.根據(jù)權利要求2所述的信息處理系統(tǒng)����,其特征在于����,所述控制部接收所述2系的控制數(shù)據(jù),基于所述I系的控制數(shù)據(jù)與所述2系的碼數(shù)據(jù)的正當性的驗證結果�、以及所述2系的控制數(shù)據(jù)與所述I系的碼數(shù)據(jù)的正當性的驗證結果����,決定可否將所述I系的控制數(shù)據(jù)發(fā)送給所述控制對象設備、以及可否將所述2系的控制數(shù)據(jù)發(fā)送給所述控制對象設備��,在所述I系的控制數(shù)據(jù)��、以及所述2系的控制數(shù)據(jù)的發(fā)送可否中任意一方的控制數(shù)據(jù)可以發(fā)送的情況下�����,發(fā)送該可以發(fā)送的控制數(shù)據(jù),在所述兩個控制數(shù)據(jù)都可以發(fā)送的情況下�,可以選擇要發(fā)送的控制數(shù)據(jù)。
5.根據(jù)權利要求2所述的信息處理系統(tǒng)����,其特征在于,所述控制部在不許可發(fā)送所述I系的控制數(shù)據(jù)的情況下��,接收所述2系的控制數(shù)據(jù)��,基于所述2系的控制數(shù)據(jù)與所述I系的碼數(shù)據(jù)的正當性的驗證結果��,決定可否將所述2系的控制數(shù)據(jù)發(fā)送給所述控制對象設備��。
6.根據(jù)權利要求1~5中的任意一項所述的信息處理系統(tǒng),其特征在于�,使所述I系固有的編碼算法、或者所述2系固有的編碼算法��、或者這雙方可以至少按每個控制周期發(fā)生變更���。
7.根據(jù)權利要求1~6中的任意一項所述的信息處理系統(tǒng),其特征在于�����,所述I系固有的編碼算法�、或者所述2系固有的編碼算法是奇偶碼、校驗和����、循環(huán)冗余校驗、哈希函數(shù)�����、循環(huán)漢明碼��、里德.所羅門碼中的任一種�����。
8.根據(jù)權利要求1~7中的任意一項所述的信息處理系統(tǒng)����,其特征在于,所述I系的處理部�、或者所述2系的處理部�����、或者這雙方,輸出包含錯誤的數(shù)據(jù)的控制數(shù)據(jù)��,在所述控制部未檢測出所述包含錯誤的數(shù)據(jù)的控制數(shù)據(jù)的不正確的情況下��,判斷為在信息處理系統(tǒng)發(fā)生了異常���,并且輸出警報�。
9.根據(jù)權利要求1~8中的任意一項所述的信息處理系統(tǒng)�����,其特征在于����,所述信息處理系統(tǒng)具備顯示所述控制數(shù)據(jù)的生成、所述碼數(shù)據(jù)的生成��、和所述控制部的驗證中的至少一個的處理狀況的監(jiān)視器����、或者通過聲音通知所述處理狀況的單元、或者所述監(jiān)視器和所述單元這雙方���。
10.根據(jù)權利要求1~9中的任意一項所述的信息處理系統(tǒng)�,其特征在于,所述控制對象設備是信號設備���。
11.一種輸出控制裝置����,從至少具有兩個基于輸入數(shù)據(jù)生成用于控制控制對象設備的控制數(shù)據(jù)的處理部的數(shù)據(jù)生成裝置接收所述控制數(shù)據(jù)����,并且控制所述控制對象設備,所述輸出控制裝置的特征在于�,具有:控制部,其接收基于所述輸入數(shù)據(jù)而生成的I系的控制數(shù)據(jù)�����、和利用2系固有的編碼算法對基于所述輸入數(shù)據(jù)而生成的2系的控制數(shù)據(jù)進行了編碼的2系的碼數(shù)據(jù)�,并且基于所述I系的控制數(shù)據(jù)與所 述2系的控制數(shù)據(jù)的正當性的驗證結果,決定可否將所述I系的控制數(shù)據(jù)發(fā)送給所述控制對象設備���。
12.根據(jù)權利要求11所述的輸出控制裝置�,其特征在于��,所述控制對象設備是信號設備���。
13.一種數(shù)據(jù)生成裝置�,至少具有兩個基于輸入數(shù)據(jù)生成用于控制控制對象設備的控制數(shù)據(jù)的處理部����,并且將所述控制數(shù)據(jù)發(fā)送給對所述控制對象設備進行控制的輸出控制裝置,所述數(shù)據(jù)生成裝置的特征在于���,具有:I系的控制部����,其輸出基于所述輸入數(shù)據(jù)而生成的I系的控制數(shù)據(jù)�;和2系的處理部,其輸出利用2系固有的編碼算法對基于所述輸入數(shù)據(jù)而生成的2系的控制數(shù)據(jù)進行了編碼的2系的碼數(shù)據(jù)��,基于所述I系的控制數(shù)據(jù)與所述2系的碼數(shù)據(jù)的正當性的驗證結果����,決定可否將所述I系的控制數(shù)據(jù)發(fā)送給所述控制裝置。
14.根據(jù)權利要求13所述的數(shù)據(jù)生成裝置���,其特征在于��,能進行所述2系的碼數(shù)據(jù)的驗證�,但是不能進行碼數(shù)據(jù)的生成,或者�����,至少使用RSA簽名����、DSA簽名、橢圓ElGamal簽名的任一種進行所述2系的碼數(shù)據(jù)的驗證���。
15.一種數(shù)據(jù)生成裝置�,至少具有兩個基于輸入數(shù)據(jù)生成用于控制控制對象設備的控制數(shù)據(jù)的處理部��,并且將所述控制數(shù)據(jù)發(fā)送給對所述控制對象設備進行控制的控制裝置�����,所述數(shù)據(jù)生成裝置的特征在于���,I系的處理部����,其輸出利用具有I系的分散信息的算法對基于所述輸入數(shù)據(jù)而生成的I系的控制數(shù)據(jù)進行了編碼的I系的分散碼數(shù)據(jù);和2系的處理部��,其輸出利用具有2系的分散信息的算法對基于所述輸入數(shù)據(jù)而生成的2系的控制數(shù)據(jù)進行了編碼的2系的分散碼數(shù)據(jù)���,在所述I系的分散碼數(shù)據(jù)和所述2系的分散碼數(shù)據(jù)都是正當?shù)那闆r下,使用所述I系的分散碼數(shù)據(jù)和所述2系的分散碼數(shù)據(jù)�,生成能夠驗證所述I系的控制數(shù)據(jù)的正當性的碼數(shù)據(jù),并且將該碼數(shù)據(jù)和所述I系的控制數(shù)據(jù)發(fā)送給所述控制裝置�。
16.根據(jù)權利要求15所述的數(shù)據(jù)生成裝置,其特征在于�����,能夠至少按照每個控制周期來變更具有所述分散信息的算法���。
17.根據(jù)權利要求13~16中的任意一項所述的數(shù)據(jù)生成裝置�,其特征在于��,所述控制對象設備是信`號設備��。
【文檔編號】G05B23/02GK103513646SQ201310254488
【公開日】2014年1月15日 申請日期:2013年6月25日 優(yōu)先權日:2012年6月27日
【發(fā)明者】今本健二, 前川景示, 勝田敬一, 柴田直樹, 酒井憲一, 作山秀夫, 渡部悌 申請人:株式會社日立制作所