JP4140615B2 - Data communication method and safety system - Google Patents

Data communication method and safety system Download PDF

Info

Publication number
JP4140615B2
JP4140615B2 JP2005104528A JP2005104528A JP4140615B2 JP 4140615 B2 JP4140615 B2 JP 4140615B2 JP 2005104528 A JP2005104528 A JP 2005104528A JP 2005104528 A JP2005104528 A JP 2005104528A JP 4140615 B2 JP4140615 B2 JP 4140615B2
Authority
JP
Japan
Prior art keywords
input
data
status
controller
output module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2005104528A
Other languages
Japanese (ja)
Other versions
JP2006236301A (en
Inventor
幸雄 馬庭
宏美 関野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yokogawa Electric Corp
Original Assignee
Yokogawa Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yokogawa Electric Corp filed Critical Yokogawa Electric Corp
Priority to JP2005104528A priority Critical patent/JP4140615B2/en
Publication of JP2006236301A publication Critical patent/JP2006236301A/en
Application granted granted Critical
Publication of JP4140615B2 publication Critical patent/JP4140615B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、安全システムに適用されるデータ通信方法及び安全システムに関し、特にコントローラと入出力モジュール間のデータ通信方法及びコントローラと入出力モジュール間でデータ通信を行う安全システムに関するものである。   The present invention relates to a data communication method and a safety system applied to a safety system, and more particularly to a data communication method between a controller and an input / output module and a safety system for performing data communication between the controller and the input / output module.

プラントに配置されたフィールド機器を管理、制御するプラント制御システムが知られている。また、このようなプラントでは、プラントの安全を図るための安全システムが導入される。安全システムは、有毒薬品の溢流、爆発などの如き深刻な災害になるおそれのある問題が発生した場合、プラント内の安全に関する重要な問題を検出し、バルブ閉鎖、フィールド機器電力の切断、プラント内のフローの切換えなどを実行するシステムであり、プラント制御システムの一部として、或いは、プラント制御システムとは独立して設けられる。   There is known a plant control system that manages and controls field devices arranged in a plant. Moreover, in such a plant, a safety system for safety of the plant is introduced. The safety system detects important problems related to safety in the plant in the event of a serious disaster such as overflow of toxic chemicals or explosion, and shuts off the valve, disconnects the power of the field equipment, It is a system that executes switching of the internal flow, and is provided as a part of the plant control system or independently of the plant control system.

安全システムのコントローラは、プラント内に配置された個別のバスまたは通信回線を利用して安全フィールド機器に入出力モジュールを介して接続されている。コントローラは、重要なイベントに関連するプロセス状態を検出するために安全フィールド機器を利用し、それにより、プラント内における「イベント」を検出する。イベントが検出されると、コントローラは、そのイベントの有害な影響を抑制するために、バルブの閉鎖などのアクションを取る。   The controller of the safety system is connected to the safety field device via an input / output module using individual buses or communication lines arranged in the plant. The controller utilizes safety field equipment to detect process conditions associated with significant events, thereby detecting “events” within the plant. When an event is detected, the controller takes action, such as closing a valve, to mitigate the harmful effects of that event.

従来のプラント制御システムにおけるコントローラと入出力モジュールとの通信の構成を示したものとして、例えば特許文献1に記載されたものがあった。   For example, Patent Document 1 describes a communication configuration between a controller and an input / output module in a conventional plant control system.

特開平6−242979号公報Japanese Unexamined Patent Publication No. 6-242979

安全システムには、その意図する機能から極めて高度の信頼性を要求される。例えば、異常が発生したにも関わらずシステムが安全だと認識し、或いは、誤った情報を通知するような事態は回避しなければならない。また、異常が明らかには認識できないが、異常の可能性が示される場合には安全サイドの処理を選択する必要がある。   Safety systems are required to have extremely high reliability due to their intended functions. For example, it is necessary to avoid a situation in which the system recognizes that the system is safe in spite of the occurrence of an abnormality or reports incorrect information. In addition, although the abnormality cannot be clearly recognized, it is necessary to select the safe side process when the possibility of the abnormality is indicated.

そのため、安全システムに適用されるデータ通信においては、想定される通信の異常(Repetition,Deletion,Insertion,Re-sequence,Corruption,Delay,Masquerade)を全て検出することができることが重要である。   Therefore, in data communication applied to a safety system, it is important to be able to detect all possible communication abnormalities (Repetition, Deletion, Insertion, Re-sequence, Corruption, Delay, Masquerade).

本発明は上述した問題点を解決するためになされたものであり、異常検出率の高いデータ通信方法及び安全システムを実現することを目的とする。   The present invention has been made to solve the above-described problems, and an object thereof is to realize a data communication method and a safety system with a high abnormality detection rate.

このような課題を達成するために、本発明は次のとおりの構成になっている。
(1)入出力モジュールとコントローラからなるシステムのデータ通信方法において、
前記入出力モジュールと前記コントローラは、該コントローラで作成した前記システムの設定情報を前記入出力モジュールへダウンロードすることにより、前記システムの設定情報をそれぞれ保有しており、
データ送信側は、データフレームを送信する際に、データ及び設定事項の安全性を確認するための安全コードとして、前記データ送信側に保有している設定情報から抽出した送受信対象を特定するデバイスIDと、前記データ送信側に保有している設定情報を基に生成した設定情報CRCコードと、送信するデータフレームを基に生成するCRCコードとを含ませ、前記安全コードをデータに付加したデータフレームを生成し、
データ受信側は、受信したデータフレームを記憶手段上に展開し、受信した安全コード中のCRCコードと、受信したデータフレームを基に生成したCRCコードとを比較して、受信したデータフレームのデータの安全性を確認した後、受信した安全コード中のデバイスIDと、前記データ受信側に保有している設定情報から抽出したデバイスIDとを比較して、受信したデータフレームの設定事項の安全性を確認するとともに、受信した安全コード中の設定情報CRCコードと、前記データ受信側に保有している設定情報を基に生成した設定情報CRCコードとを比較して、前記入出力モジュールと前記コントローラが保有する設定情報の同一性を確認することを特徴とするデータ通信方法。 In order to achieve such a subject, the present invention is configured as follows.
(1) In a data communication method of a system comprising an input / output module and a controller,
The input / output module and the controller each have the system setting information by downloading the system setting information created by the controller to the input / output module .
When transmitting a data frame, the data transmission side identifies a transmission / reception target extracted from the setting information held by the data transmission side as a safety code for confirming the safety of data and setting items. A data frame including a setting information CRC code generated based on the setting information held on the data transmission side and a CRC code generated based on the data frame to be transmitted, and adding the safety code to the data Produces
The data receiving side expands the received data frame on the storage means, compares the CRC code in the received safety code with the CRC code generated based on the received data frame, and receives the data of the received data frame After confirming the safety of the device, the device ID in the received safety code is compared with the device ID extracted from the setting information held on the data receiving side, and the safety of the setting items of the received data frame And comparing the setting information CRC code in the received safety code with the setting information CRC code generated based on the setting information held on the data receiving side, and the input / output module and the controller A data communication method characterized by confirming the identity of setting information held by .

)前記データ送信側は、前記安全コードとして、前記データ送信側の記憶手段上のデータフレームの格納場所を確認するためのブロックIDを含め、
前記データ受信側は、受信した安全コード中のブロックIDと、実際に送られてきたアドレスとを比較して、受信したデータフレームの設定事項の安全性を確認することを特徴とする請求項()記載のデータ通信方法。 ( 2 ) The data transmission side includes, as the safety code, a block ID for confirming the storage location of the data frame on the storage means on the data transmission side,
The data receiving side compares the block ID in the received safety code with the address actually sent to confirm the safety of the setting items of the received data frame. 1 ) The data communication method described.

)前記データ送信側は、前記安全コードとして、データが更新されていることを確認するための更新コードを含め、
前記データ受信側は、受信した安全コード中の更新コードの更新の有無を確認して、受信したデータフレームのデータの安全性を確認することを特徴とする(1)又は(2)記載のデータ通信方法。 ( 3 ) The data transmission side includes an update code for confirming that data is updated as the safety code,
The data receiving side confirms whether the update code in the received safety code has been updated, and checks the safety of the data in the received data frame. (1) or (2) Communication method.

)前記データは、入出力モジュール毎の一括情報及び入出力モジュールのチャネル毎の個別情報の少なくとも一方であることを特徴とする(1)乃至()のいずれかに記載のデータ通信方法。 ( 4 ) The data communication method according to any one of (1) to ( 3 ), wherein the data is at least one of collective information for each input / output module and individual information for each channel of the input / output module. .

)プラントと信号を授受する入出力モジュールとコントローラ間でデータ通信を行い、プラントの安全を図る安全システムにおいて、
前記入出力モジュールと前記コントローラは、該コントローラで作成した前記システムの設定情報を前記入出力モジュールへダウンロードすることにより、前記安全システムの設定情報をそれぞれ保有する設定情報記憶手段と、
データ送信側で、データフレームを送信する際に、データ及び設定事項の安全性を確認するための安全コードとして、前記データ送信側に保有している設定情報から抽出した送受信対象を特定するデバイスIDと、前記データ送信側に保有している設定情報を基に生成した設定情報CRCコードと、送信するデータフレームを基に生成するCRCコードとを含ませ、前記安全コードをデータに付加したデータフレームを生成するデータフレーム生成手段と、
データ受信側で、受信したデータフレームを記憶手段上に展開し、受信した安全コード中のCRCコードと、受信したデータフレームを基に生成したCRCコードとを比較して、受信したデータフレームのデータの安全性を確認した後、受信した安全コード中のデバイスIDと、前記データ受信側に保有している設定情報から抽出したデバイスIDとを比較して、受信したデータフレームの設定事項の安全性を確認するとともに、受信した安全コード中の設定情報CRCコードと、前記データ受信側に保有している設定情報を基に生成した設定情報CRCコードとを比較して、前記入出力モジュールと前記コントローラが保有する設定情報の同一性を確認する安全コードチェック手段と、
を有することを特徴とする安全システム。 ( 5 ) In a safety system that performs data communication between the controller and the input / output module that exchanges signals with the plant,
The input / output module and the controller are configured to store setting information of the safety system by downloading the setting information of the system created by the controller to the input / output module, respectively.
A device ID that identifies a transmission / reception target extracted from the setting information held by the data transmission side as a safety code for confirming the safety of data and setting items when transmitting a data frame on the data transmission side A data frame including a setting information CRC code generated based on the setting information held on the data transmission side and a CRC code generated based on the data frame to be transmitted, and adding the safety code to the data Data frame generating means for generating
On the data receiving side, the received data frame is expanded on the storage means, the CRC code in the received safety code is compared with the CRC code generated based on the received data frame, and the data of the received data frame After confirming the safety of the device, the device ID in the received safety code is compared with the device ID extracted from the setting information held on the data receiving side, and the safety of the setting items of the received data frame And comparing the setting information CRC code in the received safety code with the setting information CRC code generated based on the setting information held on the data receiving side, and the input / output module and the controller A safety code check means for confirming the identity of the setting information held by
A safety system characterized by comprising:

)前記データフレームのうち、前記入出力モジュールから前記コントローラへ送信する入力データフレームは、前記入出力モジュールのステータス情報を有し、
前記コントローラから前記入出力モジュールへ送信する出力データフレームは、前記コントローラのステータス情報を有することを特徴とする()記載の安全システム。 ( 6 ) Among the data frames, an input data frame transmitted from the input / output module to the controller has status information of the input / output module,
Output data frame to be transmitted from the controller to the output module, the safety system, characterized (5), wherein further comprising a status information of the controller.

)前記入出力モジュールは、入出力モジュールのステータスと、前記コントローラのステータスを判断するステータス判断手段を有し、
前記ステータス判断手段の入力のうち、前記入出力モジュールのステータス入力部をアサートするとともに、前記入力データフレームにて前記入出力モジュールのステータスを前記コントローラに渡す際に、前記ステータス判断手段の入力のうち、前記コントローラのステータス入力部をネゲートしておき、
前記出力データフレームにて前記コントローラのステータスを受け、該ステータスにて前記ステータス判断手段のコントローラのステータス入力部がアサートされたときに前記ステータス判断手段は有効となることを特徴とする()又は()記載の安全システム。 ( 7 ) The input / output module has status determination means for determining the status of the input / output module and the status of the controller,
Among the inputs of the status determination unit, the status input unit of the input / output module is asserted and the status of the input / output module is passed to the controller in the input data frame. , Negate the status input part of the controller,
The status determination means is enabled when the status of the controller is received in the output data frame and the status input unit of the controller of the status determination means is asserted by the status ( 5 ) or ( 6 ) The safety system described.

)前記コントローラは、コントローラのステータスと、前記入出力モジュールのステータスを判断するステータス判断手段を有し、
前記ステータス判断手段の入力のうち、前記コントローラのステータス入力部をアサートするとともに、前記出力データフレームにて前記コントローラのステータスを前記入出力モジュールに渡す際に、前記ステータス判断手段の入力のうち、前記入出力モジュールのステータス入力部をネゲートしておき、
前記入力データフレームにて前記入出力モジュールのステータスを受け、該ステータスにて前記ステータス判断手段の入出力モジュールのステータス入力部がアサートされたときに前記ステータス判断手段は有効となることを特徴とする()乃至()のいずれかに記載の安全システム。 ( 8 ) The controller includes status determination means for determining the status of the controller and the status of the input / output module,
Among the inputs of the status determination means, the status input unit of the controller is asserted, and the status of the controller is passed to the input / output module in the output data frame. Negate the status input part of the entry output module,
The status determination unit is enabled when the status of the input / output module is received in the input data frame and the status input unit of the input / output module of the status determination unit is asserted based on the status. The safety system according to any one of ( 5 ) to ( 7 ).

)前記入出力モジュールは、フェイル復帰したことを知らせるフェイル復帰ステータスを前記入力データフレームにて前記コントローラに渡し、
該コントローラは、前記入出力モジュールの起動を要求する起動要求ステータスを前記出力データフレームにて前記入出力モジュールに渡し、
該入出力モジュールは、起動する準備が整ったことを知らせる起動準備完了ステータスを前記入出力データフレームにて前記コントローラに渡し、
該コントローラは、起動を許可する起動許可ステータスを前記出力データフレームにて前記入出力モジュールに渡し、
該入出力モジュールは、フェイルセーフデータを使用しているフェイルセーフ動作から通常動作に切り替えることを特徴とする()乃至()のいずれかに記載の安全システム。
( 9 ) The input / output module passes a fail recovery status informing the failure recovery to the controller in the input data frame,
The controller passes an activation request status requesting activation of the input / output module to the input / output module in the output data frame,
The I / O module passes a startup ready status in the I / O data frame to inform the controller that it is ready to start,
The controller passes a start permission status permitting start to the input / output module in the output data frame,
The safety system according to any one of ( 5 ) to ( 8 ), wherein the input / output module switches from a failsafe operation using failsafe data to a normal operation.

本発明によれば次のような効果がある。
入出力モジュール及びコントローラの記憶手段上に展開されたデータフレームの安全コードの内容のチェックを行うことにより異常検出率が高く、信頼性の高いデータ通信方法が安価で実現できる。
また、データフレームの信頼性確保は、入出力モジュール及びコントローラの記憶手段上のデータとしてEND to ENDでチェックすることで実現しているので、データを互いの記憶手段上に転送するまでの処理階層(物理層やデータリンク層)の手段により、通信の異常検出率が影響を受けることはない。 The present invention has the following effects.
By checking the contents of the safety code of the data frame developed on the storage means of the input / output module and the controller, a highly reliable data communication method with a high abnormality detection rate can be realized at low cost.
In addition, data frame reliability is ensured by checking END to END as data on the storage means of the input / output module and controller, so the processing hierarchy until the data is transferred to each other's storage means The communication abnormality detection rate is not affected by the means (physical layer or data link layer).

以下、図面を用いて本発明を詳細に説明する。
図1は本発明の一実施例を示す構成図である。
図1で入出力モジュール10は、フィールド機器1からの信号をディジタルデータに変換しコントローラ20へ伝え、コントローラ20からのディジタルデータをアナログ信号や接点信号に変換してフィールド機器1へ出力する。
ここでは、入力モジュールと出力モジュールが一体となった入出力モジュールとして説明しているが、入力モジュールと出力モジュールが別々の構成の場合も同様である。 Hereinafter, the present invention will be described in detail with reference to the drawings.
FIG. 1 is a block diagram showing an embodiment of the present invention.
In FIG. 1, the input / output module 10 converts a signal from the field device 1 into digital data and transmits it to the controller 20, converts the digital data from the controller 20 into an analog signal or a contact signal, and outputs it to the field device 1.
Here, the input module and the output module are described as an integrated input / output module, but the same applies to the case where the input module and the output module have different configurations.

入出力モジュール10は、内部通信機能によりコントローラ20とインターフェースを確立しており、入出力モジュール10とコントローラ20はそれぞれ更新したデータを定周期で交換している。この内部通信によって、入出力モジュール10及びコントローラ20で生成された入出力データは、それぞれ入出力モジュール10及びコントローラ20上に実装されるRAM(Random Access Memory)11,21上に入出力データイメージとして展開される。
コントローラ20からは、内部通信機能を使用して入出力モジュール10の任意のRAM領域をアクセス可能であり、入出力モジュール10からは、内部通信機能を使用してコントローラ20の任意のRAM領域をアクセス可能である。 The input / output module 10 establishes an interface with the controller 20 by an internal communication function, and the input / output module 10 and the controller 20 exchange updated data at regular intervals. Through this internal communication, the input / output data generated by the input / output module 10 and the controller 20 are input / output data images on RAMs (Random Access Memory) 11 and 21 mounted on the input / output module 10 and the controller 20, respectively. Be expanded.
The controller 20 can access an arbitrary RAM area of the input / output module 10 using the internal communication function, and the input / output module 10 can access an arbitrary RAM area of the controller 20 using the internal communication function. Is possible.

入出力データフレーム12,23は入出力データ121,231に安全コード122,232を付加した構成となっている。
入力データ121は入出力モジュール10からコントローラ20への入力情報であり、例えば、フィールドのプロセス量などが格納されている。
出力データ231はコントローラ20から入出力モジュール10への設定値であり、例えば、操作量などが格納されている。 The input / output data frames 12 and 23 are configured by adding safety codes 122 and 232 to the input / output data 121 and 231.
The input data 121 is input information from the input / output module 10 to the controller 20 and stores, for example, the process amount of the field.
The output data 231 is a setting value from the controller 20 to the input / output module 10 and stores, for example, an operation amount.

図2は入出力データのフレーム構成例を示した図である。
入力データフレーム12において、R_CRC122aは入力データフレーム12に対するCRC(Cyclic Redundancy Check)コードであり、入出力モジュール10が生成する。入出力モジュール10はこのR_CRC122a付きのデータである入力データフレーム12を内部通信によりコントローラ20へ送信する。
コントローラ20は受信した入力データフレーム22をRAM21上に展開し、入力データフレーム22に付けられているCRCコードと、コントローラ20側で受信した入力データフレーム22を基に生成したCRCコードとを比較することにより、受信したデータの正当性を確認する。その結果、データが正常の場合に入力データフレーム22の中身を使用する。
これにより、入力データが通信の途中で内容が変更されていないかの検出をすることができる。 FIG. 2 is a diagram showing a frame configuration example of input / output data.
In the input data frame 12, R_CRC 122 a is a CRC (Cyclic Redundancy Check) code for the input data frame 12 and is generated by the input / output module 10. The input / output module 10 transmits the input data frame 12, which is data with the R_CRC 122a, to the controller 20 by internal communication.
The controller 20 expands the received input data frame 22 on the RAM 21 and compares the CRC code attached to the input data frame 22 with the CRC code generated based on the input data frame 22 received on the controller 20 side. Thus, the validity of the received data is confirmed. As a result, the contents of the input data frame 22 are used when the data is normal.
Thereby, it is possible to detect whether the contents of the input data are not changed during the communication.

出力データフレーム23において、W_CRC232aは出力データフレーム23に対するCRCコードであり、コントローラ20が生成する。コントローラ20はこのW_CRC232a付きのデータである出力データフレーム23を内部通信により入出力モジュール10へ送信する。
入出力モジュール10は受信した出力データフレーム13をRAM11上に展開し、出力データフレーム13に付けられているCRCコードと、入出力モジュール10側で受信した出力データフレーム13を基に生成したCRCコードとを比較することにより、受信したデータの正当性を確認する。その結果、データが正常の場合に出力データフレーム13の中身を使用する。
これにより、出力データが通信の途中で内容が変更されていないかの検出をすることができる。 In the output data frame 23, W_CRC 232a is a CRC code for the output data frame 23 and is generated by the controller 20. The controller 20 transmits the output data frame 23, which is data with the W_CRC 232a, to the input / output module 10 by internal communication.
The input / output module 10 expands the received output data frame 13 on the RAM 11 and generates a CRC code attached to the output data frame 13 and a CRC code generated based on the output data frame 13 received on the input / output module 10 side. And the validity of the received data is confirmed. As a result, the contents of the output data frame 13 are used when the data is normal.
As a result, it is possible to detect whether the contents of the output data are not changed during the communication.

図3は本発明の動作説明図である。この図ではデータの送受信元を確認する手順を示している。
設定情報24は、システムの動作定義や入出力モジュールの動作定義、実装情報が定義されているデータベースであり、各入出力モジュール毎、各種アプリケーション毎に決定される。
この設定情報24は、コントローラ20で作成され、入出力モジュール10へダウンロードされることでコントローラ20と入出力モジュール10の設定情報14は等値化されている。 FIG. 3 is a diagram for explaining the operation of the present invention. This figure shows the procedure for confirming the data transmission / reception source.
The setting information 24 is a database in which system operation definitions, input / output module operation definitions, and implementation information are defined, and is determined for each input / output module and each application.
The setting information 24 is created by the controller 20 and downloaded to the input / output module 10 so that the setting information 14 of the controller 20 and the input / output module 10 is equalized.

S_DEVICE_ID122b及びM_DEVICE_ID232bはデバイスIDであり、入出力モジュール10及びコントローラ20が互いに機種を特定するための情報が格納されている。
データの受信側では、受信したデータフレームのデバイスIDと、設定情報24,14にあらかじめ設定されているデバイスIDとの比較を行い、一致した場合にデータフレームの中身を使用し、不一致である場合は使用しない。 S_DEVICE_ID 122b and M_DEVICE_ID 232b are device IDs, which store information for the input / output module 10 and the controller 20 to mutually identify the model.
On the data receiving side, the device ID of the received data frame is compared with the device ID set in advance in the setting information 24, 14, and if they match, the contents of the data frame are used, and if they do not match Is not used.

S_CONFIG_CRC122c及びM_CONFIG_CRC232cは設定情報CRCコードであり、入出力モジュール10及びコントローラ20が互いに認識している設定情報14,24のCRCコードが格納されている。
設定情報14のCRCであるS_CONFIG_CRC122cは、入出力モジュール10で生成される。コントローラ20では、受信したS_CONFIG_CRC222cと、設定情報24から生成したCRCの値を比較を行い、一致した場合に入力データフレーム22の中身を使用し、不一致である場合は使用しない。 S_CONFIG_CRC 122c and M_CONFIG_CRC 232c are setting information CRC codes, and the CRC codes of the setting information 14 and 24 recognized by the input / output module 10 and the controller 20 are stored.
The S_CONFIG_CRC 122 c that is the CRC of the setting information 14 is generated by the input / output module 10. The controller 20 compares the received S_CONFIG_CRC 222c with the CRC value generated from the setting information 24, and uses the contents of the input data frame 22 if they match, and does not use it if they do not match.

設定情報24のCRCであるM_CONFIG_CRC232cは、コントローラ20で生成される。入出力モジュール10では、受信したM_CONFIG_CRC132cと、設定情報14から生成したCRCの値を比較を行い、一致した場合に出力データフレーム13の中身を使用し、不一致である場合は使用しない。   The controller 20 generates M_CONFIG_CRC 232 c that is a CRC of the setting information 24. The input / output module 10 compares the received M_CONFIG_CRC 132c with the CRC value generated from the setting information 14, and uses the contents of the output data frame 13 when they match, and does not use them when they do not match.

S_BLK_ID122d及びM_BLK_ID232dはブロックIDである。入出力データフレームはそれぞれ複数のブロックで構成されるため、どのブロックかを指定するためのブロック番号が格納されている。
データの受信側では、受信したデータフレームのブロックIDと、実際にデータフレームが送られてきたアドレスの比較を行い、一致した場合にデータフレームの中身を使用し、不一致である場合は使用しない。 S_BLK_ID 122d and M_BLK_ID 232d are block IDs. Since each input / output data frame is composed of a plurality of blocks, a block number for designating which block is stored.
On the data receiving side, the block ID of the received data frame is compared with the address where the data frame is actually sent, and the contents of the data frame are used if they match, and not used if they do not match.

これらにより、データの送信元と受信元が正しくリンクされ、同じアプリケーションであることを認識していることが確認でき、安全システムとしてシステムへの誤入力やシステムからの誤出力を防止することができる。   As a result, it is possible to confirm that the data transmission source and the data reception source are correctly linked and recognize that they are the same application, and it is possible to prevent erroneous input to the system and erroneous output from the system as a safety system. .

図4は本発明の動作説明図である。この図ではデータの更新を確認する手順を示している。
R_UPDATE122eは入力データフレーム12の更新カウンタである。入出力モジュール10は、入力値を更新毎にR_UPDATE122eをインクリメントする。コントローラ20は、一定時間入力データが更新されていないことを確認すると、入力データフレームが喪失されたと判断し、入力異常とする。 FIG. 4 is a diagram for explaining the operation of the present invention. This figure shows a procedure for confirming data update.
R_UPDATE 122 e is an update counter for the input data frame 12. The input / output module 10 increments R_UPDATE 122e every time the input value is updated. When the controller 20 confirms that the input data has not been updated for a certain period of time, the controller 20 determines that the input data frame has been lost, and determines that the input is abnormal.

W_UPDATE232eは出力データフレーム23の更新カウンタである。コントローラ20は、出力値を更新毎にW_UPDATE232eをインクリメントする。入出力モジュール10は、一定時間出力データが更新されていないことを確認すると、出力データフレームが喪失されたと判断し、フィールド側への出力OFFなどの必要なフェイルセイフを実行する。
これらにより、過去のデータの繰り返し、必要なデータの喪失、データ遅延などの通信異常を検出することができる。 W_UPDATE 232 e is an update counter for the output data frame 23. The controller 20 increments W_UPDATE 232e every time the output value is updated. When the input / output module 10 confirms that the output data has not been updated for a certain period of time, the input / output module 10 determines that the output data frame has been lost, and executes necessary fail-safe such as output OFF to the field side.
As a result, it is possible to detect communication abnormalities such as repetition of past data, loss of necessary data, and data delay.

図5は入出力データの他のフレーム構成例を示した図である。
安全コード122でプロテクトされた入力データフレーム12として、SSTR121a(スレーブステータスレジスタ)やMDL_STAT121b(チャネル共通のステータス)などのモジュール全体に共通の情報(モジュール一括情報)と、CH_STATn121d(各チャネルのステータス)やR_DATAn121e(各チャネルの入力値)などのチャネル毎に個別の情報(チャネル個別情報)を構成することにより、簡単に安全通信で入力データの即時型アクセスをすることができる。 FIG. 5 is a diagram showing another frame configuration example of input / output data.
As the input data frame 12 protected by the safety code 122, information common to the entire module (module collective information) such as SSTR 121a (slave status register) and MDL_STAT 121b (channel common status), CH_STATn 121d (status of each channel), By configuring individual information (channel individual information) such as R_DATAn 121e (input value of each channel) for each channel, immediate access to input data can be easily performed by secure communication.

また、安全コード232でプロテクトされた出力データフレーム23として、MSTR231a(マスターステータスレジスタ)やMDL_CTRL231b(チャネル共通の制御情報)などのモジュール全体に共通の情報(モジュール一括情報)と、CH_CTRLn231d(各チャネルの制御情報)やW_DATAn231e(各チャネルの出力値)などのチャネル毎に個別の情報(チャネル個別情報)を構成することにより、簡単に安全通信で出力データの即時型アクセスをすることができる。   In addition, the output data frame 23 protected by the safety code 232 includes information common to the entire module (module batch information) such as MSTR 231a (master status register) and MDL_CTRL 231b (channel common control information), and CH_CTRLn 231d (each channel's information). By configuring individual information (channel individual information) such as control information) or W_DATAn 231e (output value of each channel), immediate access to output data can be easily performed by secure communication.

図6は安全通信の概念図である。
入出力データに安全コードを付加したデータフレーム構成とし、RAM上に展開されたデータフレームの安全コードの内容のチェックを行う安全通信階層でデータの通信異常を検出することができる。
よって、入出力モジュール及びコントローラのRAM上のデータとしてEND to ENDのチェックが行え、データを互いのRAM上に転送するまでの物理層やデータリンク層の手段により、通信の異常検出率は影響を受けることはない。 FIG. 6 is a conceptual diagram of safety communication.
A data frame structure in which a safety code is added to input / output data, and a data communication abnormality can be detected in a safety communication layer that checks the content of the safety code of the data frame developed on the RAM.
Therefore, END to END can be checked as data on the RAM of the input / output module and controller, and the communication error detection rate is affected by the means of the physical layer and data link layer until the data is transferred to the RAM. I will not receive it.

いままでの例では、安全通信として入出力モジュールとコントローラ間でデータ転送するには、安全コード付きのデータフレーム単位で行っていたが、設定情報などの大容量のデータ転送をする場合などは、データ送信側でデータの安全性を確認するための安全コードをデータに付加し、安全コード付きのデータを分割して順番に送信し、データ受信側で分割された安全コード付きのデータを受信順にRAM上に展開して再構築し、RAM上の安全コードをチェックするようにしてもよい。   In the examples so far, data transfer between the input / output module and the controller as safety communication was performed in units of data frames with safety codes, but when transferring large amounts of data such as setting information, A safety code for confirming the safety of data on the data transmission side is added to the data, the data with the safety code is divided and transmitted in order, and the data with the safety code divided on the data reception side is received in the order of reception. The security code on the RAM may be checked by expanding it on the RAM and reconstructing it.

図7は即時型アクセスの動作説明図である。
入出力モジュール10は通常時、コントローラ20から設定された出力データフレーム13を使用しており、この状態から入出力モジュール10がフェイルすると、自発的にフェイルセーフデータ15を使用するように切り替わる。 FIG. 7 is a diagram for explaining the operation of immediate access.
The input / output module 10 normally uses the output data frame 13 set from the controller 20, and when the input / output module 10 fails from this state, the input / output module 10 is switched to use the fail-safe data 15 spontaneously.

その後、入出力モジュール10がフェイル復帰すると、ステータス判断手段16のRDY121a1入力部はアサートされ、フェイル復帰信号によりステータス判断手段16のもう一方の入力部はネゲートされるので、ステータス判断手段16は無効状態である。
ステータス判断手段26のRDY121a1入力部はアサートされ、フェイル復帰信号によりステータス判断手段26及び27のAPREQ121a2入力部もアサートされる。
ステータス判断手段26は、起動要求25がない限り無効状態であり、起動要求25があると有効となる。 Thereafter, when the input / output module 10 returns to fail, the RDY 121a1 input part of the status determination means 16 is asserted, and the other input part of the status determination means 16 is negated by the fail return signal. It is.
The RDY 121a1 input unit of the status determination unit 26 is asserted, and the APREQ 121a2 input unit of the status determination units 26 and 27 is also asserted by the fail return signal.
The status determination means 26 is in an invalid state unless there is an activation request 25, and becomes valid when there is an activation request 25.

ステータス判断手段26が有効となり、APACK231a1がアサートされると、ステータス判断手段16が有効となり、ステータス判断手段17の一方の入力部をアサートし、入出力モジュールが安定する一定時間T[ms]後にONS121a3をアサートする。
また、APACK231a1がアサートされることにより、APREQ121a2はネゲートされるので、ステータス判断手段27は有効となるとともに、ステータス判断手段26は無効となりAPACK231a1をネゲートする。 When the status judging means 26 becomes valid and APACK 231a1 is asserted, the status judging means 16 becomes valid, one input part of the status judging means 17 is asserted, and the ONS 121a3 after a certain time T [ms] when the input / output module is stabilized. Is asserted.
Further, when APACK 231a1 is asserted, APREQ 121a2 is negated, so that status determination means 27 becomes valid and status determination means 26 becomes invalid and APACK 231a1 is negated.

コントローラ20は入出力モジュール10が正常稼働になったことを確認すると出力データフレーム23を必要な初期値に再設定してOUTEN231a2をアサートし、出力データフレーム13の使用を許可する。ステータス判断手段17が有効となることでフェイルセーブデータ15から出力データフレーム13の出力データの使用に切り替わり、入出力モジュール10は通常動作となる。   When the controller 20 confirms that the input / output module 10 is operating normally, it resets the output data frame 23 to a necessary initial value, asserts OUTEN 231a2, and permits the use of the output data frame 13. When the status determination means 17 becomes valid, the fail save data 15 is switched to use of the output data of the output data frame 13, and the input / output module 10 becomes a normal operation.

なお、コントローラ20は次回入出力モジュール10がフェイル復帰した際に、出力が急変しないように、通常時はAPACK231a1をネゲートしている。   Note that the controller 20 negates APACK 231a1 during normal times so that the output does not change suddenly when the input / output module 10 fails again next time.

図8は図7の即時型アクセスの入出力データフレームを示す図である。
図7のAPACK231a1,OUTEN231a2のステータスは、出力データフレーム23のMSTR231aに埋め込まれており、入出力モジュール10が出力データフレーム13を受け取り、データに異常がなければAPACK131a1,OUTEN131a2を使用して処理を行う。
RDY121a1,APREQ121a2,ONS121a3のステータスは、入力データフレーム12のSSTR121aに埋め込まれており、コントローラ20が入力データフレーム22を受け取り、データに異常がなければRDY221a1,APREQ221a2,ONS221a3を使用して処理を行う。 FIG. 8 is a diagram showing an input / output data frame for immediate access in FIG.
The status of APACK 231a1 and OUTEN 231a2 in FIG. 7 is embedded in the MSTR 231a of the output data frame 23, and the input / output module 10 receives the output data frame 13 and performs processing using the APACK 131a1 and OUTEN 131a2 if there is no abnormality in the data. .
The statuses of RDY 121a1, APREQ 121a2, and ONS 121a3 are embedded in the SSTR 121a of the input data frame 12, and the controller 20 receives the input data frame 22, and performs processing using the RDY 221a1, APREQ 221a2, and ONS 221a3 if there is no abnormality in the data.

これらの即時型アクセスもRAM上に展開された入出力データフレームのやり取りで実現することができる。
また、この仕組みにより、入出力モジュールがフェイル復帰した際、システムに外乱を与える出力の急変を防止することができる。
さらに、入出力モジュールが一度でもフェイルを検出したことを確実にコントローラに通知し、コントローラの指示があるまではフェイル発生時の動作をラッチすることができるので、安全性の高いシステムを構築することができる。 These immediate accesses can also be realized by exchanging input / output data frames expanded on the RAM.
In addition, this mechanism can prevent a sudden change in output that causes disturbance to the system when the input / output module fails.
In addition, it is possible to reliably notify the controller that the I / O module has detected a failure even once, and to latch the operation at the time of the failure until the controller gives an instruction. Can do.

本発明の一実施例を示す構成図である。It is a block diagram which shows one Example of this invention. 入出力データのフレーム構成例を示した図である。It is the figure which showed the example of a frame structure of input-output data. 本発明の動作説明図である。It is operation | movement explanatory drawing of this invention. 本発明の動作説明図である。It is operation | movement explanatory drawing of this invention. 入出力データの他のフレーム構成例を示した図である。It is the figure which showed the example of another frame structure of input-output data. 安全通信の概念図である。It is a conceptual diagram of safe communication. 即時型アクセスの動作説明図である。It is operation | movement explanatory drawing of immediate type | mold access. 図7の即時型アクセスの入出力データフレームを示す図である。It is a figure which shows the input-output data frame of the immediate type | mold access of FIG.

符号の説明Explanation of symbols

10 入出モジュール
11 記憶手段(RAM)
12 入力データフレーム
121 入力データ
121a〜121c モジュール一括情報
121d,121e チャネル個別情報
122,122a〜122e 安全コード
15 フェイルセーフデータ
16,17,26,27 ステータス判断手段
20 コントローラ
21 記憶手段(RAM)
23 出力データフレーム
231 出力データ
231a〜231c モジュール一括情報
231d,231e チャネル個別情報
232,232a〜232e 安全コード 10 Input / output module 11 Storage means (RAM)
12 Input data frame 121 Input data 121a-121c Module batch information 121d, 121e Channel individual information 122, 122a-122e Safety code 15 Fail safe data 16, 17, 26, 27 Status judgment means 20 Controller 21 Storage means (RAM)
23 Output data frame 231 Output data 231a to 231c Module batch information 231d and 231e Channel individual information 232 and 232a to 232e Safety code

Claims (9)

入出力モジュールとコントローラからなるシステムのデータ通信方法において、
前記入出力モジュールと前記コントローラは、該コントローラで作成した前記システムの設定情報を前記入出力モジュールへダウンロードすることにより、前記システムの設定情報をそれぞれ保有しており、
データ送信側は、データフレームを送信する際に、データ及び設定事項の安全性を確認するための安全コードとして、前記データ送信側に保有している設定情報から抽出した送受信対象を特定するデバイスIDと、前記データ送信側に保有している設定情報を基に生成した設定情報CRCコードと、送信するデータフレームを基に生成するCRCコードとを含ませ、前記安全コードをデータに付加したデータフレームを生成し、
データ受信側は、受信したデータフレームを記憶手段上に展開し、受信した安全コード中のCRCコードと、受信したデータフレームを基に生成したCRCコードとを比較して、受信したデータフレームのデータの安全性を確認した後、受信した安全コード中のデバイスIDと、前記データ受信側に保有している設定情報から抽出したデバイスIDとを比較して、受信したデータフレームの設定事項の安全性を確認するとともに、受信した安全コード中の設定情報CRCコードと、前記データ受信側に保有している設定情報を基に生成した設定情報CRCコードとを比較して、前記入出力モジュールと前記コントローラが保有する設定情報の同一性を確認することを特徴とするデータ通信方法。 In a data communication method of a system consisting of an input / output module and a controller,
The input / output module and the controller have the system setting information by downloading the system setting information created by the controller to the input / output module ,
When transmitting a data frame, the data transmitting side identifies a transmission / reception target extracted from the setting information held by the data transmitting side as a safety code for confirming safety of data and setting items. A data frame including a setting information CRC code generated based on the setting information held on the data transmission side and a CRC code generated based on the data frame to be transmitted, and adding the safety code to the data Produces
The data receiving side expands the received data frame on the storage means, compares the CRC code in the received safety code with the CRC code generated based on the received data frame, and receives the data of the received data frame After confirming the safety of the device, the device ID in the received safety code is compared with the device ID extracted from the setting information held on the data receiving side, and the safety of the setting items of the received data frame And comparing the setting information CRC code in the received safety code with the setting information CRC code generated based on the setting information held on the data receiving side, and the input / output module and the controller A data communication method characterized by confirming the identity of setting information held by . 前記データ送信側は、前記安全コードとして、前記データ送信側の記憶手段上のデータフレームの格納場所を確認するためのブロックIDを含め、
前記データ受信側は、受信した安全コード中のブロックIDと、実際に送られてきたアドレスとを比較して、受信したデータフレームの設定事項の安全性を確認することを特徴とする請求項記載のデータ通信方法。 The data transmission side includes, as the safety code, a block ID for confirming the storage location of the data frame on the storage unit of the data transmission side,
Wherein the data receiving side, the block ID in the security code received is compared with the address that has been actually sent, claim, characterized in that to verify the safety of the received data frame set items 1 The data communication method described. 前記データ送信側は、前記安全コードとして、データが更新されていることを確認するための更新コードを含め、
前記データ受信側は、受信した安全コード中の更新コードの更新の有無を確認して、受信したデータフレームのデータの安全性を確認することを特徴とする請求項1又は2記載のデータ通信方法。 The data transmission side includes an update code for confirming that data is updated as the safety code,
3. The data communication method according to claim 1, wherein the data receiving side confirms whether or not the update code in the received safety code is updated, and confirms the safety of the data of the received data frame. . 前記データは、入出力モジュール毎の一括情報及び入出力モジュールのチャネル毎の個別情報の少なくとも一方であることを特徴とする請求項1乃至のいずれかに記載のデータ通信方法。 The data communication method according to any one of claims 1 to 3, characterized in that at least one of the individual information for each channel of the bulk information and input and output modules for each input and output module. プラントと信号を授受する入出力モジュールとコントローラ間でデータ通信を行い、プラントの安全を図る安全システムにおいて、
前記入出力モジュールと前記コントローラは、該コントローラで作成した前記システムの設定情報を前記入出力モジュールへダウンロードすることにより、前記安全システムの設定情報をそれぞれ保有する設定情報記憶手段と、
データ送信側で、データフレームを送信する際に、データ及び設定事項の安全性を確認するための安全コードとして、前記データ送信側に保有している設定情報から抽出した送受信対象を特定するデバイスIDと、前記データ送信側に保有している設定情報を基に生成した設定情報CRCコードと、送信するデータフレームを基に生成するCRCコードとを含ませ、前記安全コードをデータに付加したデータフレームを生成するデータフレーム生成手段と、
データ受信側で、受信したデータフレームを記憶手段上に展開し、受信した安全コード中のCRCコードと、受信したデータフレームを基に生成したCRCコードとを比較して、受信したデータフレームのデータの安全性を確認した後、受信した安全コード中のデバイスIDと、前記データ受信側に保有している設定情報から抽出したデバイスIDとを比較して、受信したデータフレームの設定事項の安全性を確認するとともに、受信した安全コード中の設定情報CRCコードと、前記データ受信側に保有している設定情報を基に生成した設定情報CRCコードとを比較して、前記入出力モジュールと前記コントローラが保有する設定情報の同一性を確認する安全コードチェック手段と、
を有することを特徴とする安全システム。 In a safety system that performs data communication between the input / output module that exchanges signals with the plant and the controller,
The input / output module and the controller are configured to store setting information of the safety system by downloading the setting information of the system created by the controller to the input / output module, respectively.
A device ID that identifies a transmission / reception target extracted from the setting information held by the data transmission side as a safety code for confirming the safety of data and setting items when transmitting a data frame on the data transmission side A data frame including a setting information CRC code generated based on the setting information held on the data transmission side and a CRC code generated based on the data frame to be transmitted, and adding the safety code to the data Data frame generating means for generating
On the data receiving side, the received data frame is expanded on the storage means, the CRC code in the received safety code is compared with the CRC code generated based on the received data frame, and the data of the received data frame After confirming the safety of the device, the device ID in the received safety code is compared with the device ID extracted from the setting information held on the data receiving side, and the safety of the setting items of the received data frame And comparing the setting information CRC code in the received safety code with the setting information CRC code generated based on the setting information held on the data receiving side, and the input / output module and the controller A safety code check means for confirming the identity of the setting information held by
A safety system characterized by comprising: 前記データフレームのうち、前記入出力モジュールから前記コントローラへ送信する入力データフレームは、前記入出力モジュールのステータス情報を有し、
前記コントローラから前記入出力モジュールへ送信する出力データフレームは、前記コントローラのステータス情報を有することを特徴とする請求項記載の安全システム。 Of the data frames, an input data frame transmitted from the input / output module to the controller has status information of the input / output module,
6. The safety system according to claim 5 , wherein an output data frame transmitted from the controller to the input / output module includes status information of the controller. 前記入出力モジュールは、入出力モジュールのステータスと、前記コントローラのステータスを判断するステータス判断手段を有し、
前記ステータス判断手段の入力のうち、前記入出力モジュールのステータス入力部をアサートするとともに、前記入力データフレームにて前記入出力モジュールのステータスを前記コントローラに渡す際に、前記ステータス判断手段の入力のうち、前記コントローラのステータス入力部をネゲートしておき、
前記出力データフレームにて前記コントローラのステータスを受け、該ステータスにて前記ステータス判断手段のコントローラのステータス入力部がアサートされたときに前記ステータス判断手段は有効となることを特徴とする請求項又は記載の安全システム。 The input / output module has status determination means for determining the status of the input / output module and the status of the controller,
Among the inputs of the status determination unit, the status input unit of the input / output module is asserted and the status of the input / output module is passed to the controller in the input data frame. , Negate the status input part of the controller,
Receiving a status of the controller in the output data frame, or claim 5, characterized in said status determining means to become effective when the status input section of the controller of the status determination means at said status is asserted 6. The safety system according to 6 . 前記コントローラは、コントローラのステータスと、前記入出力モジュールのステータスを判断するステータス判断手段を有し、
前記ステータス判断手段の入力のうち、前記コントローラのステータス入力部をアサートするとともに、前記出力データフレームにて前記コントローラのステータスを前記入出力モジュールに渡す際に、前記ステータス判断手段の入力のうち、前記入出力モジュールのステータス入力部をネゲートしておき、
前記入力データフレームにて前記入出力モジュールのステータスを受け、該ステータスにて前記ステータス判断手段の入出力モジュールのステータス入力部がアサートされたときに前記ステータス判断手段は有効となることを特徴とする請求項乃至のいずれかに記載の安全システム。 The controller has status determination means for determining the status of the controller and the status of the input / output module,
When the status input unit of the controller is asserted among the inputs of the status determination unit and the status of the controller is passed to the input / output module in the output data frame, Negate the status input part of the entry output module,
The status determination unit is enabled when the status of the input / output module is received in the input data frame and the status input unit of the input / output module of the status determination unit is asserted based on the status. The safety system according to any one of claims 5 to 7 . 前記入出力モジュールは、フェイル復帰したことを知らせるフェイル復帰ステータスを前記入力データフレームにて前記コントローラに渡し、
該コントローラは、前記入出力モジュールの起動を要求する起動要求ステータスを前記出力データフレームにて前記入出力モジュールに渡し、
該入出力モジュールは、起動する準備が整ったことを知らせる起動準備完了ステータスを前記入出力データフレームにて前記コントローラに渡し、
該コントローラは、起動を許可する起動許可ステータスを前記出力データフレームにて前記入出力モジュールに渡し、
該入出力モジュールは、フェイルセーフデータを使用しているフェイルセーフ動作から通常動作に切り替えることを特徴とする請求項乃至のいずれかに記載の安全システム。 The input / output module passes a fail return status informing the failure return to the controller in the input data frame,
The controller passes an activation request status requesting activation of the input / output module to the input / output module in the output data frame,
The I / O module passes a startup ready status in the I / O data frame to inform the controller that it is ready to start,
The controller passes a start permission status permitting start to the input / output module in the output data frame,
The safety system according to any one of claims 5 to 8 , wherein the input / output module switches from a fail-safe operation using fail-safe data to a normal operation.
JP2005104528A 2005-01-28 2005-03-31 Data communication method and safety system Active JP4140615B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005104528A JP4140615B2 (en) 2005-01-28 2005-03-31 Data communication method and safety system

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2005021747 2005-01-28
JP2005104528A JP4140615B2 (en) 2005-01-28 2005-03-31 Data communication method and safety system

Publications (2)

Publication Number Publication Date
JP2006236301A JP2006236301A (en) 2006-09-07
JP4140615B2 true JP4140615B2 (en) 2008-08-27

Family

ID=37043836

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005104528A Active JP4140615B2 (en) 2005-01-28 2005-03-31 Data communication method and safety system

Country Status (1)

Country Link
JP (1) JP4140615B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE502007004246D1 (en) * 2007-02-27 2010-08-12 Siemens Ag ASI network for hazardous areas
JP5233634B2 (en) * 2008-12-12 2013-07-10 横河電機株式会社 Field communication system and field communication method
JP6641536B1 (en) 2018-12-27 2020-02-05 三菱電機株式会社 Data collection device, method, and program

Also Published As

Publication number Publication date
JP2006236301A (en) 2006-09-07

Similar Documents

Publication Publication Date Title
CN100595746C (en) Method and device of bus coupling safe related course
EP1573543B1 (en) Inherently fail safe processing or control apparatus
CN100480913C (en) Safety-oriented control system
JP4828155B2 (en) Storage system
JP2004342077A (en) Error-tolerant computer controlled system, vehicle equipped with it, and aircraft equipped with it
JPH04359322A (en) Backup method for general-purpose input/output redundancy method in process control system
JP2002358106A (en) Safety controller
US20080215913A1 (en) Information Processing System and Information Processing Method
JP4140615B2 (en) Data communication method and safety system
EP2680148B1 (en) Information processing system, output control device, and data generating device
RU2647684C2 (en) Device and method for detecting unauthorized manipulations with the system state of the nuclear plant control unit
US6487695B1 (en) Method for providing fail-safe secure data transmission between a numerical control system and a spatially separate unit
JP2008146236A (en) Duplex control device and redundancy method of its control right setting signal
CN107038095B (en) Method for redundantly processing data
JP2006155678A (en) Multiplexing control system and multiplexing method
JP2008009794A (en) Programmable electronic controller, and communication control method for programmable electronic apparatus
CN101098211B (en) Sending control device, receiving control device, and communication system
JP3858696B2 (en) Multiplexing control system and multiplexing method thereof
US9241043B2 (en) Method of connecting a hardware module to a fieldbus
JP5544099B2 (en) Controller communication method and controller communication device
JP2007323190A (en) Calculation control system for performing data communication and its communication method
US20200287845A1 (en) Method and system for a geographical hot redundancy
JP6059652B2 (en) Signal security control device
JP2018160030A (en) Control device, control method and fault-tolerant device
JP3962956B6 (en) Information processing apparatus and information processing method

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20071127

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071206

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080204

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20080225

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080423

A911 Transfer of reconsideration by examiner before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20080501

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080520

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080602

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110620

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4140615

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130620

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140620

Year of fee payment: 6