DE112021003867T5 - Steuerungsvirtualisierungsvorrichtung und steuersystem - Google Patents

Steuerungsvirtualisierungsvorrichtung und steuersystem Download PDF

Info

Publication number
DE112021003867T5
DE112021003867T5 DE112021003867.2T DE112021003867T DE112021003867T5 DE 112021003867 T5 DE112021003867 T5 DE 112021003867T5 DE 112021003867 T DE112021003867 T DE 112021003867T DE 112021003867 T5 DE112021003867 T5 DE 112021003867T5
Authority
DE
Germany
Prior art keywords
control
virtualization
confirmation signal
devices
control virtualization
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112021003867.2T
Other languages
English (en)
Inventor
Minoru Nakaide
Shinichi Toda
Kiyoshi Ishii
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Heavy Industries Ltd
Original Assignee
Mitsubishi Heavy Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Heavy Industries Ltd filed Critical Mitsubishi Heavy Industries Ltd
Publication of DE112021003867T5 publication Critical patent/DE112021003867T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45591Monitoring or debugging support

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Automation & Control Theory (AREA)
  • Hardware Redundancy (AREA)
  • Safety Devices In Control Systems (AREA)
  • Debugging And Monitoring (AREA)
  • Programmable Controllers (AREA)

Abstract

Eine Steuerungsvirtualisierungsvorrichtung umfasst: eine Vielzahl von Steuerungsvirtualisierungsvorrichtungen, die jeweils so konfiguriert sind, um ein Steuersignal für ein Steuerobjekt zu erzeugen und mindestens eine virtuelle Maschine umfassen; und mindestens eine OT-Leitung zum Übertragen des Steuersignals von jeder der Vielzahl von Steuerungsvirtualisierungsvorrichtungen an das Steuerobjekt. Die Vielzahl von Steuerungsvirtualisierungsvorrichtungen sind konfiguriert, um gegenseitig ein Existenzbestätigungssignal oder ein Zuverlässigkeitsbestätigungssignal der virtuellen Maschine über die mindestens eine OT-Leitung zu übertragen und zu empfangen.

Description

  • TECHNISCHES GEBIET
  • Die vorliegende Erfindung bezieht sich auf eine Steuerungsvirtualisierungsvorrichtung und ein Steuersystem.
  • Diese Anmeldung nimmt die Priorität der am 20. Oktober 2020 eingereichten japanischen Patentanmeldung Nr. 2020-176208 in Anspruch, deren Inhalt hier unter Bezugnahme enthalten ist.
  • HINTERGRUND
  • Beispielsweise ist ein verteiltes Steuersystem (DCS: „distributed control system“), bei dem Steuerfunktionen zu einer Vielzahl von Steuertafeln korrespondierend zu jeder Vorrichtung verteilt werden, als ein Steuersystem zum Steuern einer Anlage mit verschiedenen Vorrichtungen bekannt. Das verteilte Steuersystem wird durch hohe Herstellungskosten aufgrund der Größe der Konfiguration über der Vielzahl von Steuertafeln beeinträchtigt. Um ein solches Problem zu lösen, wird eine Virtualisierungstechnologie verwendet, um eine Anwendung in jeder von einer Vielzahl von virtuellen Maschinen (VMs: „virtual machines“) in einer Steuerungsvirtualisierungsvorrichtung unabhängig zu betreiben, in der die virtuellen Maschinen auf einer einzelnen physikalischen Steuerung installiert sind, wodurch es möglich ist, das verteilte Steuersystem mit geringen Herstellungskosten zu realisieren.
  • Das Steuersystem mit diesem Typ an Steuerungsvirtualisierungsvorrichtung erfordert eine Echtzeitleistung, und es erfordert ferner eine Verfügbarkeit, die in der Lage ist, eine Steuerfunktion stabil aufrechtzuerhalten, sogar wenn ein Fehler auftritt. Die Echtzeitleistung kann implementiert werden, indem eine Virtualisierungssoftware (Hypervisor) in Echtzeit erstellt wird, und ein Echtzeit-OS (OS: „operating system“; Betriebssystem) als ein OS auf der virtuellen Maschine installiert wird. Unterdessen macht eine hohe Verfügbarkeit eine physikalische Steuerung im Falle zufälliger Hardwarefehler im Allgemeinen redundant. Die redundante Konfiguration umfasst eine aktive Vorrichtung zum tatsächlichen Ausgeben eines Steuersignals an ein Steuerobjekt, und eine Standby-Vorrichtung mit derselben Konfiguration wie die aktive Vorrichtung, und falls ein Fehler in der aktiven Vorrichtung auftritt, wird die Steuerfunktion aufrechterhalten, indem sie zu der Standby-Vorrichtung in einer Einheit eines Steuerzyklus (z.B. Millisekunden) umgeschaltet wird.
  • Als das Steuersystem mit der Steuerungsvirtualisierungsvorrichtung, die die Virtualisierungstechnologie verwendet, ist z.B. die Patentschrift 1 bekannt. In Patentschrift 1 wird ein Betriebszustand von jeder auf einer virtuellen Maschine laufenden Anwendung überwacht, indem eine Herzschlagnachricht gesendet wird, welche ein Existenzbestätigungssignal ist, und die virtuelle Maschine wird neu gestartet, falls eine Antwort auf die Herzschlagnachricht nicht in geeigneter Weise erhalten wird.
  • Zitierliste
  • Patentliteratur
  • Patentschrift 1: JP 5851503 B
  • ZUSAMMENFASSUNG
  • Technisches Problem
  • Um eine hohe Verfügbarkeit, wie vorstehend beschrieben, in einer redundanten oder gebündelten Konfiguration mit der aktiven Vorrichtung und der Standby-Vorrichtung zu erzielen, ist ein Vorrichtungsumschalten zum Zeitpunkt eines Fehlerauftretens durchgeführt worden, indem ein Existenzbestätigungssignal, wie das in der vorstehend beschriebenen Patentschrift 1, über ein allgemeines Netzwerk, wie etwa Ethernet (registrierte Marke) zum Verbinden der aktiven Vorrichtung und der Standby-Vorrichtung gegenseitig übertragen und empfangen wird. Falls allerdings Verbindungskabel, die durch ein direktes Verbinden mit dem allgemeinen Netzwerk, wie etwa Ethernet (registrierte Marke), konfiguriert sind, einen Fehler, wie etwa eine Trennung, aufweisen, oder falls eines der Verbindungskabel von einem Verbinder getrennt ist, ist ein Verbindungszustand beider Verbinder unterbrochen. In diesem Fall werden beide Systeme in Abhängigkeit von einem Übertragungs-/Empfangsergebnis des Existenzbestätigungssignals aktive Vorrichtungen, und Steuerausgabesignale (nachstehend einfach als „Steuersignale“ bezeichnet) stehen in Konflikt zueinander, beide Systeme werden Standby-Vorrichtungen, und somit liegt keine aktive Vorrichtung oder dergleichen vor, wodurch ein Fortsetzen einer stabilen Steuerung erschwert werden kann.
  • Mindestens ein Aspekt der vorliegenden Erfindung ist in Anbetracht des vorstehenden gemacht worden, und eine Aufgabe der vorliegenden Erfindung besteht darin, eine Steuerungsvirtualisierungsvorrichtung und ein Steuersystem bereitzustellen, die das Steuerobjekt ungeachtet einer Fehlerauftrittsbetriebsart stabil steuern können, und die für eine lange Zeit mit geringen Kosten stabil versorgt werden können, während sie eine exzellente hohe Verfügbarkeit aufweisen.
  • Lösung des Problems
  • Um die vorstehend beschriebenen Probleme zu lösen, umfasst eine Steuerungsvirtualisierungsvorrichtung gemäß mindestens einem Aspekt der vorliegenden Erfindung: eine Vielzahl von Steuerungsvirtualisierungsvorrichtungen, die jeweils so konfiguriert sind, um ein Steuersignal für ein Steuerobjekt zu erzeugen und mindestens eine virtuelle Maschine umfassen; und mindestens eine OT-(„operational technology“; Betriebstechnologie: Steuer-/Betriebstechnologie) Netzwerkkommunikationsleitung (nachstehend einfach als „OT-Leitung“ bezeichnet) zum Übertragen des Steuersignals von jeder der Vielzahl von Steuerungsvirtualisierungsvorrichtungen an das Steuerobjekt. Die Vielzahl von Steuerungsvirtualisierungsvorrichtungen sind konfiguriert, um gegenseitig ein Existenzbestätigungssignal oder ein Zuverlässigkeitsbestätigungssignal der virtuellen Maschine über die mindestens eine OT-Leitung zu übertragen und zu empfangen.
  • Vorteilhafte Effekte
  • Gemäß mindestens einem Aspekt der vorliegenden Erfindung ist es möglich, eine Steuerungsvirtualisierungsvorrichtung und ein Steuersystem bereitzustellen, die ein Steuerobjekt ungeachtet einer Fehlerauftrittsbetriebsart stabil steuern können, und die für eine lange Zeit mit geringen Kosten stabil versorgt werden können, während sie eine exzellente hohe Verfügbarkeit aufweisen.
  • Figurenliste
    • 1 ist ein Gesamtkonfigurationsdiagramm eines Steuersystems gemäß dem ersten Ausführungsbeispiel.
    • 2 ist ein Diagramm, das einen Zustand zeigt, wenn ein Fehler auf Seiten einer Steuerungsvirtualisierungsvorrichtung in dem Steuersystem von 1 auftritt.
    • 3 ist ein Diagramm, das einen Zustand zeigt, wenn Fehler an beiden Steuerungsvirtualisierungsvorrichtungen in dem Steuersystem von 1 auftreten.
    • 4 ist ein Gesamtkonfigurationsdiagramm des Steuersystems gemäß dem zweiten Ausführungsbeispiel.
    • 5 ist ein Gesamtkonfigurationsdiagramm des Steuersystems gemäß dem dritten Ausführungsbeispiel.
    • 6 ist ein Gesamtkonfigurationsdiagramm des Steuersystems gemäß dem vierten Ausführungsbeispiel.
    • 7 ist ein Diagramm, das eine Situation zeigt, bei der Doppelfehler in dem Steuersystem von 6 auftreten.
  • DETAILLIERTE BESCHREIBUNG
  • Ausführungsbeispiele der vorliegenden Erfindung werden nachstehend mit Bezug auf die begleitenden Zeichnungen beschrieben. Es ist jedoch beabsichtigt, dass Abmessungen, Materialien, Formen, relative Positionen und ähnliches von Komponenten, die in den Zeichnungen als Ausführungsbeispiele beschrieben oder gezeigt werden, nur als illustrativ zu verstehen sind und den Umfang der vorliegenden Erfindung nicht einschränken sollen, sofern sie nicht besonders gekennzeichnet sind.
  • So ist z.B. der Ausdruck einer relativen oder absoluten Anordnung, wie etwa „in einer Richtung“, „entlang einer Richtung“, „parallel“, „orthogonal“, „zentriert“, „konzentrisch“ und „koaxial“ nicht so auszulegen, dass er nur die Anordnung im strengen Wortsinn bezeichnet, sondern auch einen Zustand umfasst, in dem die Anordnung relativ um eine Toleranz oder um einen Winkel oder einen Abstand verschoben ist, wodurch es möglich ist, die gleiche Funktion zu erzielen.
  • So ist z.B. der Ausdruck „derselbe/dieselbe/dasselbe“, „gleich“ und „einheitlich“ nicht so auszulegen, dass er nur den Zustand anzeigt, in dem das Merkmal strikt gleich ist, sondern auch einen Zustand umfasst, in dem eine Toleranz oder ein Unterschied besteht, mit dem dennoch die gleiche Funktion erzielt werden kann.
  • Ferner ist z.B. der Ausdruck einer Form, wie etwa eine rechteckige Form oder eine Röhrenform, nicht so auszulegen, dass damit nur die geometrisch strenge Form gemeint ist, sondern auch eine Form mit Unebenheiten oder abgeschrägten Ecken innerhalb des Bereichs umfasst, in dem die gleiche Wirkung erzielt werden kann.
  • Andererseits sind die Ausdrücke „aufweisen“, „umfassen“, „haben“, „enthalten“ und „bestehen aus“ bzw. „gebildet aus“ für eine Bestandteilskomponente keine ausschließenden Ausdrücke, die das Vorhandensein anderer Bestandteilskomponenten ausschließen.
  • 1 ist ein Gesamtkonfigurationsdiagramm eines Steuersystems 100 gemäß dem ersten Ausführungsbeispiel. Das Steuersystem 100 ist ein System zum Steuern eines Steuerobjekts 200 basierend auf einem Betrieb eines Bedieners. Das Steuerobjekt 200 kann irgendeine Vorrichtung umfassen, die basierend auf einem von dem Steuersystem 100 ausgegebenen Steuersignal S gesteuert werden kann, aber in dem vorliegenden Ausführungsbeispiel wird eine Anlage bestehend aus verschiedenen Vorrichtungen als ein Beispiel beschrieben. Die Anlage ist z.B. eine Energieerzeugungsanlage (wie etwa ein Wärmekraftwerk, ein Atomkraftwerk, ein Wasserkraftwerk, ein Windkraftwerk oder dergleichen).
  • Das Steuersystem 100 umfasst eine Betriebsvorrichtung 110, die durch einen Bediener betrieben werden kann, und eine Steuerungsvirtualisierungsvorrichtung 120, die in der Lage ist, ein Steuersignal zu erzeugen zum Steuern des Steuerobjekts 200 basierend auf der Eingabe von verschiedenen Sensoreingaben von dem Steuerobjekt 200, einem inneren Zustand einer Steuerlogik, und einer Eingabe von der Betriebsvorrichtung 110.
  • In dem folgenden Ausführungsbeispiel wird das Steuersystem 100 zum Steuern des Steuerobjekts 200 basierend auf dem Betrieb des Bedieners beschrieben. Allerdings ist die vorliegende Erfindung auch auf ein Steuersystem anwendbar zum automatischen Steuern des Steuerobjekts 200 ohne auf dem Betrieb des Bedieners zu basieren. In diesem Fall weist das Steuersystem 100 eine Konfiguration auf zum Erzeugen eines Befehlssignals D anstelle der Betriebsvorrichtung 110, und die Betriebsvorrichtung 110 ist nicht erforderlich.
  • Die Betriebsvorrichtung 110 empfängt den Betrieb des Bedieners und erzeugt das Befehlssignal D zu der Steuerungsvirtualisierungsvorrichtung 120 basierend auf Betriebsinhalten. In dem vorliegenden Ausführungsbeispiel umfasst die Betriebsvorrichtung 110 einen Überwachungsteil 112 zum Überwachen des Zustands des Steuerobjekts 200, und einen Betriebsteil 114 zum Empfangen des Betriebs des Bedieners. Der Überwachungsteil 112 weist eine Funktion auf zum Anzeigen des Zustands des Steuerobjekts 200 in einer Weise, die von dem Bediener erkennbar ist, und er ist z.B. eine Anzeigevorrichtung, wie etwa eine Anzeige. Der Bediener kann den Betriebsteil 114 basierend auf einem Überwachungsergebnis (z.B. den auf der Anzeige angezeigten Zustand des Steuerobjekts 200) von dem Überwachungsteil 112 betreiben. Der Betriebsteil 114 empfängt z.B. einen Befehlseingabebetrieb von dem Bediener, wodurch das Befehlssignal D korrespondierend zu den Betriebsinhalten erzeugt wird.
  • Die Betriebsvorrichtung 110 ist mit der Steuerungsvirtualisierungsvorrichtung 120 über ein IT-(„information technology“; Informationstechnologie) Netzwerk (nachstehend einfach als das „IT-Netzwerk“ bezeichnet) 150 verbunden. Das IT-Netzwerk 150 ist ein Kommunikationspfad zum Durchführen einer Datenkommunikation unter zeitlichen Beschränkungen, die relativ zu zeitlichen Beschränkungen auf einer OT-Leitung relativ frei sind, wie etwa eine Überwachung eines internen Signals einer Steuervorrichtung, eine Datenaufzeichnung (log) oder eine Signalkommunikation mit einer anderen Vorrichtung. Das Befehlssignal D von der Betriebsvorrichtung 110 wird an die Steuerungsvirtualisierungsvorrichtung 120 über das IT-Netzwerk 150 übertragen.
  • Die Steuerungsvirtualisierungsvorrichtung 120 erzeugt das Steuersignal S basierend auf dem über das IT-Netzwerk 150 übertragenen Befehlssignal D. Die Steuerungsvirtualisierungsvorrichtung 120 umfasst eine Vielzahl von Steuerungsvirtualisierungsvorrichtungen, die in der Lage sind, die Steuersignale S zu erzeugen. In dem vorliegenden Ausführungsbeispiel wird ein Fall als ein Beispiel beschrieben, in dem die Steuerungsvirtualisierungsvorrichtung 120 zwei Steuerungsvirtualisierungsvorrichtungen 122A, 122B umfasst. Allerdings kann die Steuerungsvirtualisierungsvorrichtung 120 mindestens drei Steuerungsvirtualisierungsvorrichtungen umfassen (s. z.B. 5, was nachstehend beschrieben wird).
  • Jede der Steuerungsvirtualisierungsvorrichtungen 122A, 122B umfasst z.B. eine elektronische Berechnungsvorrichtung mit elektronischen Komponenten, wie etwa eine zentrale Verarbeitungseinheit (CPU: „central processing unit“) als eine Hardwarekonfiguration. Indem eine Virtualisierungssoftware in einem Hypervisor 124 der elektronischen Berechnungsvorrichtung ausgeführt wird, ist eine VM angebracht, die mindestens eine virtuelle Maschine (nachstehend einfach als die „VM“ bezeichnet) darstellt. In dem vorliegenden Ausführungsbeispiel ist jede der Steuerungsvirtualisierungsvorrichtungen 122A, 122B mit einer VM montiert. Die VM ist konfiguriert, indem die Virtualisierungssoftware ausgeführt wird, und sie weist eine Funktion zum virtuellen Simulieren jeder Steuertafel korrespondierend zu einer der Vorrichtungen auf, die z.B. das Steuerobjekt 200 in einem verteilten Steuersystem darstellt bzw. bildet.
  • Während sich hier der Lebenszyklus des Steuerobjekts 200, wie etwa eine Anlage, für eine lange Zeitdauer von mehreren Jahrzehnten erstreckt, ist in den vergangenen Jahren der Versionsaufrüstungszyklus (Lebenszyklus) der elektronischen Komponente, die die elektronische Berechnungsvorrichtung darstellt bzw. bildet, um etwa einige Jahre verkürzt worden. Herkömmlicherweise ist die Steuerungsvirtualisierungsvorrichtung 120 im Allgemeinen mit einer dedizierten eingebetteten Software ausgerüstet, die für die Hardwarekonfiguration spezialisiert ist. Falls allerdings eine Ausgestaltungsänderung aufgrund des Lebensendes (EOL: „end of life“) einer vorhergehenden Version der Hardwarekonfiguration auftritt, ist es erforderlich, die für die Hardwarekonfiguration spezialisierte Softwareausgestaltung zu ändern. Demzufolge liegt ein Problem von erhöhten Entwicklungskosten oder mit der Ausgestaltungsänderung verknüpfte Versionssteuerlasten vor.
  • In der Steuerungsvirtualisierungsvorrichtung 122A, 122B des vorliegenden Ausführungsbeispiels kann ein solches Problem in geeigneter Weise gelöst werden, indem die virtuelle Maschine VM mit dem Hypervisor 124 konfiguriert wird, was die Virtualisierungssoftware darstellt. D.h., sogar falls die Hardwarekonfiguration der Steuerungsvirtualisierungsvorrichtung 122A, 122B in ihrer Ausgestaltung geändert wird, wird die von der VM über den Hypervisor 124 gesehene Hardwarearchitektur standardisiert, wodurch es nicht erforderlich wird, die Ausgestaltung der VM selbst zu ändern, und was in geringeren Entwicklungskosten oder einer Versionssteuerlast resultiert.
  • Außerdem ist es möglich, wie nachstehend beschrieben wird, eine Vielzahl von VMs auf einem einzelnen Hardwarestück anzubringen, indem die Virtualisierungssoftware in dem Hypervisor 124 ausgeführt wird. Somit werden z.B. im Vergleich zu dem herkömmlichen verteilten Steuersystem mit der Vielzahl von Steuertafeln für jede die Anlage darstellende bzw. bildende Vorrichtung individuelle Steuerungsfunktionen auf derselben Steuerungsvirtualisierungsvorrichtung aggregiert, während eine funktionale Unabhängigkeit durch das herkömmliche verteilte Steuersystem aufrechterhalten wird, wodurch es möglich wird, ein verteiltes Steuersystem zu realisieren, in dem eine Hardware aggregiert ist, und wodurch es möglich wird, die Kosten effektiv zu drücken.
  • Die Steuerungsvirtualisierungsvorrichtung 120 weist eine redundante Konfiguration auf, indem die Vielzahl von Steuerungsvirtualisierungsvorrichtung 122A, 122B enthalten ist, und sie weist eine hohe Verfügbarkeit auf. Diese beiden Steuerungsvirtualisierungsvorrichtungen 122A, 122B übertragen und empfangen gegenseitig ein Existenzbestätigungssignal Sc, das ein sogenanntes Herzschlagsignal ist, wodurch sie als eine aktive Vorrichtung oder eine Standby-Vorrichtung gemäß ihrer Betriebszustände ausgewählt werden. 1 stellt einen Fall dar, in dem das Steuersignal S erzeugt wird durch Auswählen der Steuerungsvirtualisierungsvorrichtung 122A als die aktive Vorrichtung, und die verbleibende Steuerungsvirtualisierungsvorrichtung 122B wird gesteuert, um in einem Standby-Zustand zu sein, in dem das Steuersignal S nicht erzeugt wird durch Auswählen der Steuerungsvirtualisierungsvorrichtung 122B als die Standby-Vorrichtung.
  • Das Existenzbestätigungssignal Sc stellt Kommunikationsdaten dar zum Bestätigen der gegenseitigen Betriebszustände, indem sie zwischen der Vielzahl von Steuerungsvirtualisierungsvorrichtungen 122A und 122B gegenseitig übertragen und empfangen werden. Als ein Aspekt des Existenzbestätigungssignals Sc werden z.B. Übertragungsdaten mit einem Datenkopf einschließlich einer korrespondierenden Zieladresse von der Steuerungsvirtualisierungsvorrichtung 122A an einer Seite zu der Steuerungsvirtualisierungsvorrichtung 122B an einer anderen Seite übertragen, und von der Steuerungsvirtualisierungsvorrichtung 122B an der anderen Seite ausgegebene Antwortdaten, die die Übertragungsdaten empfangen hat, werden durch die Steuerungsvirtualisierungsvorrichtung 122A an der einen Seite empfangen, wodurch zugelassen wird, dass die Steuerungsvirtualisierungsvorrichtung 122A an der einen Seite bestätigt, ob die Steuerungsvirtualisierungsvorrichtung 122B an der anderen Seite gesund vorliegt. In ähnlicher Weise werden Übertragungsdaten mit einem Datenkopf einschließlich einer korrespondierenden Zieladresse von der Steuerungsvirtualisierungsvorrichtung 122B an der anderen Seite zu der Steuerungsvirtualisierungsvorrichtung 122A an der einen Seite übertragen, und von der Steuerungsvirtualisierungsvorrichtung 122A an der einen Seite ausgegebene Antwortdaten, die die Übertragungsdaten empfangen hat, werden von der Steuerungsvirtualisierungsvorrichtung 122B an der anderen Seite empfangen, wodurch zugelassen wird, dass die Steuerungsvirtualisierungsvorrichtung 122B an der anderen Seite bestätigt, ob die Steuerungsvirtualisierungsvorrichtung 122A an der einen Seite gesund vorliegt.
  • Das Existenzbestätigungssignal Sc kann verschiedene bekannte Formen annehmen, die von der Form einer gegenseitigen Informationsakquirierung durch die Zweiwegekommunikation eines Anfrage-Antwort-Typs, wie vorstehend beschrieben, verschieden sind, und es kann eine Form annehmen, in der z.B. beide Seiten ein Ausgeben von Herzschlagsignalen periodisch aufrechterhalten, und die von der anderen übertragene Herzschlagsignale gegenseitig empfangen und überwachen.
  • Ein solches Existenzbestätigungssignal Sc kann verschiedene Arten von Informationen umfassen. Beispielsweise kann das Existenzbestätigungssignal Sc einen Betriebszustand (aktiv/Standby/Initialisierung/außer Betrieb usw.) oder einen Betriebszähler der Steuerungsvirtualisierungsvorrichtung 122A, 122B, oder einen Betriebszustand (aktiv/Standby/Initialisierung/außer Betrieb usw.) oder einen Betriebszähler von jeder VM in der Steuerungsvirtualisierungsvorrichtung 122A, 122B umfassen.
  • Die Steuerungsvirtualisierungsvorrichtung 122A, die die aktive Vorrichtung darstellt, erzeugt das Steuersignal S für das Steuerobjekt 200, während die Steuerungsvirtualisierungsvorrichtung 122B, die die Standby-Vorrichtung darstellt, das Steuersignal S nicht erzeugt (als ein anderer Aspekt, indem ein gültiges Flag in einem Kommunikationspaket des Steuersignals S bereitgestellt wird, kann sogar die Standby-Vorrichtung konfiguriert sein, um das Steuersignal S zu erzeugen und zu übertragen, das das gültige Flag nicht setzt, wodurch ein tatsächlicher Ausgabebefehl nur von der aktiven Vorrichtung ausgegeben wird). Demzufolge stehen in der Steuerungsvirtualisierungsvorrichtung 120 die Steuersignale von den beiden Steuerungsvirtualisierungsvorrichtungen 122A, 122B nicht in Konflikt zueinander, und das von der Steuerungsvirtualisierungsvorrichtung 122A erzeugte Steuersignal S, die die aktive Vorrichtung darstellt, wird von einer Gateway-Vorrichtung 165 zu einer Eingabe-/Ausgabevorrichtung 170 über eine OT-Leitung 160 ausgegeben. Die Eingabe-/Ausgabevorrichtung 170 empfängt das Steuersignal S von der Steuerungsvirtualisierungsvorrichtung 122A, die die aktive Vorrichtung darstellt, und gibt das Steuersignal S an das Steuerobjekt 200 aus.
  • In der Steuerungsvirtualisierungsvorrichtung 120 mit einer solchen redundanten Konfiguration wird der Steuerungsvirtualisierungsvorrichtung 122A, die die aktive Vorrichtung gewesen ist, die Steuerung entzogen, indem sie zu der Standby-Vorrichtung umgeschaltet wird, während die Steuerungsvirtualisierungsvorrichtung 122B, die die Standby-Vorrichtung gewesen ist, zu der aktiven Vorrichtung umgeschaltet wird, falls ein Fehler (z.B. eine Trennung eines Verbindungskabels auf einem Pfad mit der Steuerungsvirtualisierungsvorrichtung 122A und der OT-Leitung 160, ein Zusammenbruch eines Kommunikationschips oder einer mit dem Pfad verbundenen Kommunikationsvorrichtung usw.) auf Seiten der Steuerungsvirtualisierungsvorrichtung 122A, die die aktive Vorrichtung darstellt, auftritt. Demzufolge wird die Steuerung des Steuerobjekts 200 stabil aufrechterhalten, sogar wenn der Fehler auftritt, indem die Seite der Steuerungsvirtualisierungsvorrichtung 122B verwendet wird, bei der kein Fehler auftritt.
  • Unterdessen sind herkömmlicherweise eine solche Übertragung und ein solcher Empfang des Existenzbestätigungssignals Sc zwischen der Vielzahl von Steuerungsvirtualisierungsvorrichtungen 122A und 122B über ein Zwischenvorrichtungsverbindungsnetzwerk 180 durchgeführt worden, das diese Steuerungsvirtualisierungsvorrichtungen 122A und 122B des allgemeinen Netzwerks, wie etwa Ethernet (registrierte Marke), als das vorstehend erwähnte IT-Netzwerk 150 verbindet. Wenn in diesem Fall der Fehler in jeder Steuerungsvirtualisierungsvorrichtung 122A, 122B auftritt, um eine Echtzeitleistung zum Durchführen eines Umschaltens zwischen der aktiven Vorrichtung und der Standby-Vorrichtung in einer kurzen Zeit zu realisieren (z.B. in einer Einheit von Millisekunden, die den Steuerzyklus der in der Hardwarekonfiguration enthaltenen zentralen Verarbeitungseinheit darstellt), dann ist eine dedizierte Umschaltschaltung unter Verwendung eines FPGA oder dergleichen verwendet worden. Allerdings muss eine solche dedizierte Umschaltschaltung auch gemäß dem Versionsaufrüstungszyklus der in der Steuerungsvirtualisierungsvorrichtung 122A, 122B verwendeten elektronischen Komponente aktualisiert werden, und in dem Lebensende (EOL) der vorherigen Version ist dies einer von Faktoren einer Zunahme der Entwicklungskosten einer Ausgestaltungsänderung, um mit dem Lebensende (EOL) der vorherigen Version zurechtzukommen.
  • Falls außerdem Verbindungskabel, die durch direktes Verbinden mit dem allgemeinen Netzwerk, wie etwa Ethernet (registrierte Marke), konfiguriert sind, den Fehler aufweisen, wie etwa eine Trennung, oder falls eines der Verbindungskabel von einem Verbinder getrennt ist, dann ist ein Verbindungszustand beider Verbinder unterbrochen. In diesem Fall werden beide Steuerungsvirtualisierungsvorrichtungen 122A, 122B in Abhängigkeit von einem Übertragungs-/Empfangsergebnis des Existenzbestätigungssignals Sc die aktiven Vorrichtungen, und die Steuersignale stehen in Konflikt zueinander, beide Steuerungsvirtualisierungsvorrichtungen 122A, 122B werden die Standby-Vorrichtungen, und somit liegt keine aktive Vorrichtung oder dergleichen vor, wodurch es schwierig wird, eine stabile Steuerung fortzusetzen.
  • Damit ein solches Problem gelöst wird, ist das vorliegende Ausführungsbeispiel derart konfiguriert, dass eine Übertragung des Existenzbestätigungssignals Sc zwischen der Vielzahl von Steuerungsvirtualisierungsvorrichtungen 122A und 122B über die OT-Leitung 160 durchgeführt wird.
  • Hier ist 2 ein Diagramm, das einen Zustand zeigt, wenn der Fehler auf Seiten der Steuerungsvirtualisierungsvorrichtung 122A in dem Steuersystem 100 von 1 auftritt. In dem vorliegenden Beispiel ist, bis unmittelbar vor Auftritt des Fehlers, wie in 1 gezeigt, die Steuerungsvirtualisierungsvorrichtung 122A die aktive Vorrichtung, und die Steuerungsvirtualisierungsvorrichtung 122B wird als die Standby-Vorrichtung gesteuert, und 2 zeigt den Zustand, in dem ein Fehlerort 185 (Trennung usw.) auf dem Verbindungskabel auftritt, das die OT-Leitung 160 zwischen der Steuerungsvirtualisierungsvorrichtung 122A und der Eingabe-/Ausgabevorrichtung 170 darstellt bzw. bildet. In diesem Fall wird das von der Steuerungsvirtualisierungsvorrichtung 122A über die OT-Leitung 160 übertragene Existenzbestätigungssignal Sc durch den Fehlerort 185 unterbrochen. Folglich erkennt, wie in 2 gezeigt, die Steuerungsvirtualisierungsvorrichtung 122A, die die aktive Vorrichtung darstellt, ihren eigenen Fehler und schaltet zu der Standby-Vorrichtung um, und die Steuerungsvirtualisierungsvorrichtung 122B, die die Standby-Vorrichtung gewesen ist, schaltet zu der aktiven Vorrichtung um, wodurch die Steuerung des Steuerobjekts aufrechterhalten wird.
  • Mit einer solchen Konfiguration kann die Steuerung des Steuerobjekts 200 in geeigneter Weise aufrechterhalten werden, sogar wenn der Fehler auftritt, indem die Vielzahl von Steuerungsvirtualisierungsvorrichtungen 122A, 122B zu der aktiven Vorrichtung oder der Standby-Vorrichtung basierend auf dem Existenzbestätigungssignal Sc umgeschaltet wird, das über die OT-Leitung 160 gegenseitig übertragen wird. Falls z.B. das Verbindungskabel, das die Vielzahl von Steuerungsvirtualisierungsvorrichtungen 122A und 122B direkt verbindet, wie etwa das Zwischenvorrichtungsverbindungsnetzwerk 180 unabhängig von der OT-Leitung 160, als eine Leitung zum Austauschen des Existenzbestätigungssignals Sc verwendet wird, besteht eine Möglichkeit, dass die Vielzahl von Steuerungsvirtualisierungsvorrichtungen 122A, 122B die Steuersignale Sc gegenseitig ausgeben und die Steuerung instabil wird. Im Gegensatz dazu, da in der vorliegenden Konfiguration das Existenzbestätigungssignal Sc zwischen der Vielzahl von Steuerungsvirtualisierungsvorrichtungen 122A und 122B über die OT-Leitung 160 gegenseitig übertragen wird, für den Fall, dass die OT-Leitung 160 getrennt ist, wird das Steuersignal Sc nicht von der Steuerungsvirtualisierungsvorrichtung auf Seiten des Trennungsorts aufgrund der physikalischen Unterbrechung ausgegeben, wodurch es möglich wird, die vorstehend beschriebene Wahrscheinlichkeit effektiv zu verhindern. Da außerdem die OT-Leitung 160 ein allgemeines Hochgeschwindigkeitskommunikationsnetzwerk, wie etwa ein Gigabit-Ethernet-Netzwerk verwendet, wird die herkömmlich verwendete dedizierte Umschaltschaltung, wie etwa das FPGA, nicht erforderlich, und sogar falls das Lebensende (EOL) der vorherigen Version aufgrund des Versionsaufrüstungszyklus in der elektronischen Komponente auftritt, die die Hardwarekonfiguration darstellt, die die Steuerungsvirtualisierungsvorrichtung 122A, 122B darstellt bzw. bildet, ist es möglich, die mit der Ausgestaltungsänderung verknüpften Entwicklungskosten effektiv zu verringern.
  • Falls die Fehler in beiden Steuerungsvirtualisierungsvorrichtungen 122A, 122B, wie in 3 gezeigt, auftreten, schaltet die Steuerungsvirtualisierungsvorrichtung 120 beide Steuerungsvirtualisierungsvorrichtungen 122A, 122B zu den Standby-Vorrichtungen um, und die Eingabe-/Ausgabevorrichtung 170 kann ein Notaus-Steuersignal Ss an das Steuerobjekt 200 ausgeben. Das Notaus-Steuersignal Ss ist ein Steuersignal, das in der Lage ist, eine Sequenzsteuerung zum normalen Stoppen des Steuerobjekts 200 durchzuführen, wodurch verhindert werden kann, dass das unbeabsichtigte Steuersignal S von jeder Steuerungsvirtualisierungsvorrichtung von dem Steuerobjekt 200 ausgegeben wird, und das Steuerobjekt 200 in geeigneter Weise gestoppt werden kann, sogar falls eine ernste Situation eintritt, in der die Fehler in beiden Steuerungsvirtualisierungsvorrichtungen 122A, 122B auftreten.
  • In dem vorstehenden Ausführungsbeispiel ist der Fall beschrieben worden, in dem eine derartige Konfiguration vorliegt, dass die Vielzahl von Steuerungsvirtualisierungsvorrichtungen 122A, 122B zu der aktiven Vorrichtung oder der Standby-Vorrichtung basierend auf dem Existenzbestätigungssignal Sc umgeschaltet werden, das über die OT-Leitung 160 gegenseitig übertragen wird. Allerdings kann eine derartige Konfiguration vorliegen, dass die Vielzahl von Steuerungsvirtualisierungsvorrichtungen 122A, 122B zu der aktiven Vorrichtung oder der Standby-Vorrichtung basierend auf einem Zuverlässigkeitsbestätigungssignal Sr umgeschaltet werden, das über die OT-Leitung 160 gegenseitig übertragen wird, anstelle des Existenzbestätigungssignals Sc.
  • In diesem Fall umfasst das Zuverlässigkeitsbestätigungssignal Sr Informationsparameter hinsichtlich der Zuverlässigkeit der Vielzahl von Steuerungsvirtualisierungsvorrichtungen 122A, 122B, und durch Vergleichen dieser Parameter kann die Zuverlässigkeit von jeder Steuerungsvirtualisierungsvorrichtung bestimmt werden, oder die Steuerungsvirtualisierungsvorrichtung, deren Parameter nicht kleiner als ein Bezugswert ist, kann als zuverlässig bestimmt werden. Mit der Steuerungsvirtualisierungsvorrichtung, deren Zuverlässigkeit als die aktive Vorrichtung garantiert ist, ist es möglich, durch Übertragen des Steuersignals S von der Steuerungsvirtualisierungsvorrichtung zu dem Steuerobjekt die Steuerungsvirtualisierungsvorrichtung 120 mit einer hoch zuverlässigen gebündelten Konfiguration zu realisieren.
  • Wie vorstehend beschrieben, ist die Steuerungsvirtualisierungsvorrichtung 120 derart konfiguriert, dass das Existenzbestätigungssignal Sc oder das Zuverlässigkeitsbestätigungssignal Sr zwischen der Vielzahl von Steuerungsvirtualisierungsvorrichtungen 122A und 122B über die OT-Leitung 160 gegenseitig übertragen und empfangen werden. Folglich erfasst die Steuerungsvirtualisierungsvorrichtung die Trennung ihrer eigenen Steuerausgabeleitung und verlässt die Steuerung, falls z.B. der Fehler (Trennung des Kabels bezogen auf einen Pfad, der die OT-Leitung 160 und die Steuerungsvirtualisierungsvorrichtung 122A, 122B umfasst, die das Steuersignal S an das Steuerobjekt 200 über die OT-Leitung 160 ausgibt, Zusammenbruch des Kommunikationschips oder der Kommunikationsvorrichtung usw.), und eine andere Steuerungsvirtualisierungsvorrichtung kann stattdessen das Steuersignal S für das Steuerobjekt über die OT-Leitung 160 ausgeben.
  • Da somit eine derartige Konfiguration vorliegt, dass das Existenzbestätigungssignal Sc oder das Zuverlässigkeitsbestätigungssignal Sr zwischen der Vielzahl von Steuerungsvirtualisierungsvorrichtungen 122A und 122B über die OT-Leitung gegenseitig übertragen und empfangen werden, wird die dedizierte Schaltung unter Verwendung des FPGA oder dergleichen nicht erforderlich, die erforderlich ist, wenn das Existenzbestätigungssignal Sc oder das Zuverlässigkeitsbestätigungssignal Sr zwischen der Vielzahl von Steuerungsvirtualisierungsvorrichtungen 122A und 122B über ein IT-Netzwerk oder ein Zwischenvorrichtungsverbindungsnetzwerk gegenseitig übertragen und empfangen wird, das die Vielzahl von Steuerungsvirtualisierungsvorrichtungen 122A und 122B verbindet. Demzufolge ist es möglich, sogar falls die elektronische Komponente, die die Hardware der Steuerungsvirtualisierungsvorrichtung 120 darstellt bzw. bildet, die Ausgestaltung aufgrund des Lebensendes (EOL) der mit dem Versionsaufrüstungszyklus verknüpften vorherigen Version ändern muss, die für die Steuerungsvirtualisierungsvorrichtung 120 erforderlichen Entwicklungskosten effektiv zu verringern.
  • 4 ist ein Gesamtkonfigurationsdiagramm des Steuersystems 100 gemäß dem zweiten Ausführungsbeispiel. Das Steuersystem 100 gemäß dem zweiten Ausführungsbeispiel unterscheidet sich von dem vorstehend erwähnten Ausführungsbeispiel darin, dass jede der Steuerungsvirtualisierungsvorrichtungen 122A, 122B eine Vielzahl von VM1, VM2, ... VMx aufweist. Die Vielzahl von VM1, VM2, ... VMx wird angebracht, indem die Virtualisierungssoftware in dem Hypervisor 124 ausgeführt wird. Indem somit die Vielzahl von VM1, VM2, ... VMx in jeder der Steuerungsvirtualisierungsvorrichtungen 122A, 122B angebracht wird, ist es möglich, die unabhängige Anwendung in der Vielzahl von virtuellen Maschinen VM sogar innerhalb eines einzelnen Hardwarestücks auszuführen. Eine solche Konfiguration ist geeignet, um z.B. das verteilte Steuersystem zu realisieren, in dem jede Vorrichtung auf eine verteilte Weise mit einer kleinen Hardwarekonfiguration mit Bezug auf das Steuerobjekt 200 einschließlich verschiedener Vorrichtungen, wie etwa eine Anlage, gesteuert wird.
  • In diesem Fall kann das zwischen der Vielzahl von Steuerungsvirtualisierungsvorrichtungen 122A und 122B gegenseitig übertragene Existenzbestätigungssignal Sc einen Betriebszustand (aktiv/Standby/Initialisierung/außer Betrieb usw.) oder einen Betriebszähler von jeder von VM1, VM2, ..., VMx jeder der Steuerungsvirtualisierungsvorrichtungen 122A, 122B umfassen.
  • In dem vorliegenden Ausführungsbeispiel wird der Fall beispielhaft dargestellt, in dem eine derartige Steuerung vorliegt, dass alle in einer der Vielzahl von Steuerungsvirtualisierungsvorrichtungen 122A, 122B enthaltenen VMs den aktiven Zustand annehmen, und alle in den anderen enthaltenen VMs den Standby-Zustand annehmen. Allerdings kann eine derartige Steuerung vorliegen, dass einige in der einen der Vielzahl von Steuerungsvirtualisierungsvorrichtungen 122A, 122B enthaltenen VMs in dem aktiven Zustand sind, und einige der in den anderen enthaltenen VMs in dem Standby-Zustand sind, und die verbliebenen VMs in dem aktiven Zustand sind. D.h., es ist lediglich erforderlich, dass jede von VM1, VM2, ..., VMx gesteuert wird, um in dem aktiven Zustand und dem Standby-Zustand in einer der Vielzahl von Steuerungsvirtualisierungsvorrichtungen 122A, 122B zu sein, und es kann keine substantielle Bedeutung vorliegen beim Unterscheiden, welche der Vielzahl von Steuerungsvirtualisierungsvorrichtungen 122A, 122B die aktive Vorrichtung ist, und welche der Vielzahl von Steuerungsvirtualisierungsvorrichtungen 122A, 122B die Standby-Vorrichtung ist.
  • Außerdem kann in dem vorliegenden Ausführungsbeispiel, wie in dem vorstehend erwähnten Ausführungsbeispiel, eine derartige Konfiguration vorliegen, dass die Vielzahl von Steuerungsvirtualisierungsvorrichtungen 122A, 122B zu der Steuerseitenvorrichtung oder der Standby-Vorrichtung basierend auf dem Zuverlässigkeitsbestätigungssignal Sr anstelle des Existenzbestätigungssignals Sc umgeschaltet werden.
  • Wie vorstehend beschrieben, kann gemäß dem zweiten Ausführungsbeispiel, da die Vielzahl von VM1, VM2, ..., VMx an jeder der Vielzahl von Steuerungsvirtualisierungsvorrichtungen 122A, 122B angebracht sind, die multifunktionale Steuervorrichtung aggregiert und unter der kleinen Hardwarekonfiguration realisiert werden, und es ist möglich, die Herstellungskosten effektiv zu drücken.
  • 5 ist ein Gesamtkonfigurationsdiagramm des Steuersystems 100 gemäß dem dritten Ausführungsbeispiel. In dem Steuersystem 100 gemäß dem dritten Ausführungsbeispiel umfasst die Steuerungsvirtualisierungsvorrichtung 120 mindestens drei Steuerungsvirtualisierungsvorrichtungen. 5 stellt einen Fall dar, in dem die Steuerungsvirtualisierungsvorrichtung 120 drei Steuerungsvirtualisierungsvorrichtungen 122A, 122B, 122C umfasst.
  • Die drei Steuerungsvirtualisierungsvorrichtungen 122A, 122B, 122C sind konfiguriert, um die Befehlssignale D von der Betriebsvorrichtung 110 über das IT-Netzwerk 160 parallel zu empfangen, und um die Steuersignale S von den Steuerungsvirtualisierungsvorrichtungen 122A, 122B, 122C an die Eingabe-/Ausgabevorrichtung 170 über die OT-Leitung 160 auszugeben.
  • Die drei Steuerungsvirtualisierungsvorrichtungen 122A, 122B, 122C sind konfiguriert, um das Existenzbestätigungssignal Sc oder das Zuverlässigkeitsbestätigungssignal Sr über die OT-Leitung 160 gegenseitig zu übertragen. Falls das Existenzbestätigungssignal Sc durch die OT-Leitung 160 gegenseitig übertragen wird, ist das Existenzbestätigungssignal Sc z.B. ein Herzschlagsignal mit einem Datenkopf, dessen Adresse die Steuerungsvirtualisierungsvorrichtung der anderen Partei ist, und die Existenz wird basierend auf der Antwort von der Steuerungsvirtualisierungsvorrichtung der anderen Partei bestätigt. Falls außerdem das Zuverlässigkeitsbestätigungssignal Sr durch die OT-Leitung 160 gegenseitig übertragen wird, umfasst das Zuverlässigkeitsbestätigungssignal Sr die Informationsparameter hinsichtlich der Zuverlässigkeit von jeder der Steuerungsvirtualisierungsvorrichtungen 122A, 122B, 122C, und diese Informationsparameter werden verglichen. Demzufolge ist die hochzuverlässige Steuerungsvirtualisierungsvorrichtung als die aktive Vorrichtung eingestellt, und die verbleibenden Steuerungsvirtualisierungsvorrichtungen sind jeweils als die Standby-Vorrichtung eingestellt.
  • Falls das Zuverlässigkeitsbestätigungssignal Sr unter den drei Steuerungsvirtualisierungsvorrichtungen 122A, 122B, 122C über die OT-Leitung 160 gegenseitig übertragen wird, umfasst das Zuverlässigkeitsbestätigungssignal Sr die Informationsparameter hinsichtlich der Zuverlässigkeit der Vielzahl von Steuerungsvirtualisierungsvorrichtungen 122A, 122B, 122C, und durch Vergleichen dieser Parameter kann die Zuverlässigkeit von jeder Steuerungsvirtualisierungsvorrichtung durch sogenannte Mehrheitsentscheidung bestimmt werden, oder die Steuerungsvirtualisierungsvorrichtung, deren Parameter nicht kleiner als der Bezugswert ist, kann als zuverlässig bestimmt werden.
  • Das Existenzbestätigungssignal Sc oder das Zuverlässigkeitsbestätigungssignal Sr wird über die OT-Leitung 160 korrespondierend zu irgendeiner Kombination der in der Steuerungsvirtualisierungsvorrichtung 120 enthaltenen Steuerungsvirtualisierungsvorrichtungen 122A, 122B, 122C übertragen. Insbesondere wird ein erstes Existenzbestätigungssignal Sc1 oder ein erstes Zuverlässigkeitsbestätigungssignal Sr1 über die OT-Leitung 160 zwischen den Steuerungsvirtualisierungsvorrichtungen 122A und 122B gegenseitig übertragen, ein zweites Existenzbestätigungssignal Sc2 oder ein zweites Zuverlässigkeitsbestätigungssignal Sr2 wird über die OT-Leitung 160 zwischen den Steuerungsvirtualisierungsvorrichtungen 122B und 122C gegenseitig übertragen, und ein drittes Existenzbestätigungssignal Sc3 oder ein drittes Zuverlässigkeitsbestätigungssignal Sr3 wird über die OT-Leitung 160 zwischen den Steuerungsvirtualisierungsvorrichtungen 122C und 122A gegenseitig übertragen.
  • Sogar in dem Steuersystem 100 mit der Steuerungsvirtualisierungsvorrichtung 120, die mindestens drei Steuerungsvirtualisierungsvorrichtungen umfasst, ist es durch gegenseitiges Übertragen des Existenzbestätigungssignals Sc oder des Zuverlässigkeitsbestätigungssignals Sr über die OT-Leitung 160 möglich, die Steuervorrichtung mit hoher Funktionalität und exzellenter Zuverlässigkeit zu realisieren, während die Herstellungskosten gedrückt werden. Außerdem ist es möglich, sogar falls das Lebensende (EOL) der mit dem Versionsaufrüstungszyklus verknüpften vorherigen Version in der elektronischen Komponente auftritt, die die Hardware darstellt bzw. bildet, die mit der Ausgestaltungsänderung verknüpften Entwicklungskosten effektiv zu verringern.
  • 6 ist ein Gesamtkonfigurationsdiagramm des Steuersystems 100 gemäß dem vierten Ausführungsbeispiel. Das Steuersystem 100 gemäß dem vierten Ausführungsbeispiel umfasst eine Vielzahl von einander unabhängigen OT-Leitungen, die jeweils zu der Vielzahl von virtuellen Maschinen von jeder Steuerungsvirtualisierungsvorrichtung korrespondieren.
  • Insbesondere sind die beiden Steuerungsvirtualisierungsvorrichtungen 122A, 122B der Steuerungsvirtualisierungsvorrichtung 120 jeweils mit der Vielzahl von VM1, VM2 angeordnet. Dann ist die Vielzahl von VM1, VM2 konfiguriert, um das Existenzbestätigungssignal Sc oder das Zuverlässigkeitsbestätigungssignal Sr über eine voneinander unabhängige erste OT-Leitung 160-1 und eine zweite OT-Leitung 160-2, die jeweils zu der Vielzahl von VM1, VM2 korrespondieren, gegenseitig zu übertragen. D.h., die VM1 der Steuerungsvirtualisierungsvorrichtung 122A und die VM1 der Steuerungsvirtualisierungsvorrichtung 122B sind über die erste OT-Leitung 160-1 verbunden, und ein Existenzbestätigungssignal Sca oder ein Zuverlässigkeitsbestätigungssignal Sra werden über die erste OT-Leitung 160-1 gegenseitig übertragen. Außerdem sind die VM2 der Steuerungsvirtualisierungsvorrichtung 122A und die VM2 der Steuerungsvirtualisierungsvorrichtung 122B über die zweite OT-Leitung 160-2 verbunden, und ein Existenzbestätigungssignal Scb oder ein Zuverlässigkeitsbestätigungssignal Srb werden über die zweite OT-Leitung 160-2 gegenseitig übertragen.
  • Indem somit die erste OT-Leitung 160-1 und die zweite OT-Leitung 160-2 für jede der an der Vielzahl von Steuerungsvirtualisierungsvorrichtungen 122A, 122B angebrachten VM1 und VM2 bereitgestellt werden, im Vergleich zu dem Fall, in dem die einzelne OT-Leitung 160 wie in dem vorstehend erwähnten Ausführungsbeispiel vorgesehen ist, kann ein Widerstand zu dem Fehler, wie etwa das Auftreten der Trennung in dem Verbindungskabel, das die OT-Leitung darstellt bzw. bildet, verbessert werden. Außerdem kann eine gegenseitige Interferenz der Steuersignale S von den jeweiligen VM1, VM2 zwischen der Eingabe-/Ausgabevorrichtung 170 und jeder der Steuerungsvirtualisierungsvorrichtungen 122A, 122B verhindert werden, wodurch eine Ansprechbarkeit verbessert und eine exzellente Echtzeitleistung erhalten wird. Da außerdem das Existenzbestätigungssignal Sc oder das Zuverlässigkeitsbestätigungssignal Sr über die Vielzahl von OT-Leitungen 160-1, 160-2 gegenseitig übertragen und empfangen wird, wird die dedizierte Schaltung, die das FPGA oder dergleichen verwendet, nicht erforderlich, welche erforderlich ist, wenn das Existenzbestätigungssignal Sc oder das Zuverlässigkeitsbestätigungssignal Sr zwischen der Vielzahl von Steuerungsvirtualisierungsvorrichtungen 122A und 122B über das IT-Netzwerk 150 oder das Zwischenvorrichtungsverbindungsnetzwerk 180 gegenseitig übertragen und empfangen wird, das die Vielzahl von Steuerungsvirtualisierungsvorrichtungen 122A und 122B verbindet.
  • 7 ist ein Gesamtkonfigurationsdiagramm des Steuersystems 100 gemäß dem fünften Ausführungsbeispiel. Während in 7 jede der Steuerungsvirtualisierungsvorrichtungen 122A, 122B die eine VM umfasst, sind die duplizierte erste OT-Leitung 160-1 und die zweite OT-Leitung 160 als die OT-Leitungen vorgesehen, durch die die Steuersignale von den jeweiligen VMs übertragen werden, wodurch die Fehlertoleranz verbessert wird. In einer solchen Konfiguration übertragen die Steuerungsvirtualisierungsvorrichtungen 122A, 122B gegenseitig das Existenzbestätigungssignal Sca über die erste OT-Leitung 160-1, und sie übertragen gegenseitig das Existenzbestätigungssignal Scb über die zweite OT-Leitung 160-2.
  • In dem in 7 gezeigten Ausführungsbeispiel ist der Fall beispielhaft dargestellt worden, in dem die Steuerungsvirtualisierungsvorrichtungen 122A, 122B jeweils die eine VM umfassen. Allerdings gilt dasselbe auch für die Konfiguration, in der die Steuerungsvirtualisierungsvorrichtungen 122A, 122B jeweils die Vielzahl von VMs umfassen, und die OT-Leitung 160 ist dupliziert.
  • 7 zeigt den Fall, in dem in einer solchen Konfiguration Doppelfehler auftreten, welche einen ersten Fehlerort 185-1 umfassen, der auf Seiten der Steuerungsvirtualisierungsvorrichtung 122A in der ersten OT-Leitung 160-1 auftritt, und einen zweiten Fehlerort 185-2, der auf Seiten der Steuerungsvirtualisierungsvorrichtung 122B in der zweiten OT-Leitung 160-2 auftritt. Falls derartige Doppelfehler auftreten, können die Existenzbestätigungssignale Sca und Scb nicht gegenseitig zwischen den beiden Steuerungsvirtualisierungsvorrichtungen 122A und 122B übertragen werden, was darin resultieren kann, dass beide Steuerungsvirtualisierungsvorrichtungen 122A, 122B die aktiven Vorrichtungen werden. In diesem Fall stehen in der Eingabe-/Ausgabevorrichtung 170 die Steuersignale S von den beiden Steuerungsvirtualisierungsvorrichtungen 122A, 122B in Konflikt zueinander, was in einer instabilen Steuerung resultiert.
  • Falls in dem vorliegenden Ausführungsbeispiel solche Doppelfehler, wie in 7 gezeigt, auftreten, liegt eine derartige Konfiguration vor, dass das zweite Existenzbestätigungssignal Sc2 zwischen den beiden Steuerungsvirtualisierungsvorrichtungen 122A und 122B über das Zwischenvorrichtungsverbindungsnetzwerk 180 übertragen werden kann. Somit kann verhindert werden, dass die beiden Steuerungsvirtualisierungsvorrichtungen 122A, 122B gleichzeitig die aktiven Vorrichtungen werden. D.h., falls in dem Steuersystem 100 die Doppelfehler aufgrund der Übertragung der Existenzbestätigungssignale Sca, Scb über die erste OT-Leitung 160-1 und die zweite OT-Leitung 160-2 auftreten, wird eine der Steuerungsvirtualisierungsvorrichtungen 122A, 122B als die aktive Vorrichtung eingestellt, und die andere wird als die Standby-Vorrichtung eingestellt basierend auf dem zweiten Existenzbestätigungssignal Sc2 über das Zwischenvorrichtungsverbindungsnetzwerk 180. Somit kann vermieden werden, dass die Steuersignale S von den beiden Steuerungsvirtualisierungsvorrichtungen 122A, 122B sogar bei dem Auftritt der Doppelfehler miteinander in Konflikt stehen, und es kann verhindert werden, dass die Steuerung instabil wird.
  • Wie vorstehend beschrieben, ist es gemäß jedem vorstehend beschriebenen Ausführungsbeispiel möglich, durch gegenseitiges Übertragen des Existenzbestätigungssignals Sc oder des Zuverlässigkeitsbestätigungssignal Sr zwischen der Vielzahl von Steuerungsvirtualisierungsvorrichtungen über die OT-Leitung 160 zum Ausgeben des Steuersignals S von der Steuerungsvirtualisierungsvorrichtung 120, die Steuervorrichtung mit hoher Funktionalität und exzellenter Zuverlässigkeit zu realisieren, während die Herstellungskosten gedrückt werden. Außerdem ist es möglich, sogar falls das Lebensende (EOL) der mit dem Versionsaufrüstungszyklus verknüpften vorherigen Version in der elektronischen Komponente auftritt, die die Hardware darstellt bzw. bildet, die mit der Ausgestaltungsänderung verknüpften Entwicklungskosten effektiv zu verringern.
  • Die in den vorstehenden Ausführungsbeispielen beschriebenen Inhalte werden z.B. wie folgt verstanden.
    • (1) Eine Steuerungsvirtualisierungsvorrichtung (wie etwa die Steuerungsvirtualisierungsvorrichtung 120 des vorstehend beschriebenen Ausführungsbeispiels) gemäß einem Aspekt umfasst: eine Vielzahl von Steuerungsvirtualisierungsvorrichtungen (wie etwa die Steuerungsvirtualisierungsvorrichtungen 122A, 122B, 122C des vorstehend beschriebenen Ausführungsbeispiels), die jeweils so konfiguriert sind, um ein Steuersignal (wie etwa das Steuersignal S des vorstehend beschriebenen Ausführungsbeispiels) für ein Steuerobjekt (wie etwa das Steuersignal 200 des vorstehend beschriebenen Ausführungsbeispiels) zu erzeugen und mindestens eine virtuelle Maschine (wie etwa die VM des vorstehend beschriebenen Ausführungsbeispiels) umfassen; und mindestens eine OT-Leitung (wie etwa die OT-Leitung 160 des vorstehend beschriebenen Ausführungsbeispiels) zum Übertragen des Steuersignals von jeder der Vielzahl von Steuerungsvirtualisierungsvorrichtungen an das Steuerobjekt. Die Vielzahl von Steuerungsvirtualisierungsvorrichtungen sind konfiguriert, um gegenseitig ein Existenzbestätigungssignal (wie etwa das Existenzbestätigungssignal Sc des vorstehend beschriebenen Ausführungsbeispiels) oder ein Zuverlässigkeitsbestätigungssignal (wie etwa das Zuverlässigkeitsbestätigungssignal Sr des vorstehend beschriebenen Ausführungsbeispiels) der virtuellen Maschine über die mindestens eine OT-Leitung zu übertragen und zu empfangen.
  • Mit dem vorstehenden Aspekt (1) ist die Steuervorrichtung derart konfiguriert, dass das Existenzbestätigungssignal oder das Zuverlässigkeitsbestätigungssignal zwischen der Vielzahl von Steuerungsvirtualisierungsvorrichtungen über die OT-Leitung gegenseitig übertragen und empfangen wird. Folglich erfasst die Steuerungsvirtualisierungsvorrichtung die Trennung von ihrer eigenen Steuerausgabeleitung und verlässt die Steuerung, und eine andere Steuerungsvirtualisierungsvorrichtung kann stattdessen das Steuersignal für das Steuerobjekt über die OT-Leitung ausgeben, falls z.B. der Fehler (Trennung des Kabels bezogen auf einen Pfad, der die OT-Leitung und die Steuerungsvirtualisierungsvorrichtung umfasst, die das Steuersignal an das Steuerobjekt über die OT-Leitung ausgibt, Zusammenbruch des Kommunikationschips oder der Kommunikationsvorrichtung usw.) auf dem Pfad auftritt. Da somit eine derartige Konfiguration vorliegt, dass das Existenzbestätigungssignal oder das Zuverlässigkeitsbestätigungssignal zwischen der Vielzahl von Steuerungsvirtualisierungsvorrichtungen über die OT-Leitung gegenseitig übertragen und empfangen wird, wird die dedizierte Schaltung, die das FPGA oder dergleichen verwendet, nicht erforderlich, die erforderlich ist, wenn das Existenzbestätigungssignal oder das Zuverlässigkeitsbestätigungssignal zwischen der Vielzahl von Steuerungsvirtualisierungsvorrichtungen über ein IT-Netzwerk oder ein Zwischenvorrichtungsverbindungsnetzwerk gegenseitig übertragen und empfangen wird, das die Vielzahl von Steuerungsvirtualisierungsvorrichtungen verbindet. Demzufolge ist es möglich, sogar falls die elektronische Komponente, die die Hardware der Steuervorrichtung darstellt bzw. bildet, die Ausgestaltung aufgrund des Lebensendes (EOL) der mit dem Versionsaufrüstungszyklus verknüpften vorherigen Version ändern muss, die für die Steuervorrichtung erforderlichen Entwicklungskosten effektiv zu verringern.
    • (2) In einem anderen Aspekt gemäß dem vorstehenden Aspekt (1) ist die Steuerungsvirtualisierungsvorrichtung konfiguriert, um an das Steuerobjekt das Steuersignal zu übertragen, das von der Steuerungsvirtualisierungsvorrichtung erzeugt wird, die als eine aktive Vorrichtung aus der Vielzahl von Steuerungsvirtualisierungsvorrichtungen basierend auf dem Existenzbestätigungssignal oder dem Zuverlässigkeitsbestätigungssignal ausgewählt wird.
  • Mit dem vorstehenden Aspekt (2) wird das Steuersignal von der aktiven Vorrichtung, die unter der Vielzahl von Steuerungsvirtualisierungsvorrichtungen basierend auf dem Existenzbestätigungssignal oder dem Zuverlässigkeitsbestätigungssignal ausgewählt ist, an das Steuerobjekt übertragen. Falls in jeder Steuerungsvirtualisierungsvorrichtung der Fehler in dem Pfad einschließlich der OT-Leitung und der Steuerungsvirtualisierungsvorrichtung auftritt, welche die somit ausgewählte aktive Vorrichtung ist, wird die Steuerungsvirtualisierungsvorrichtung, die nicht als die aktive Vorrichtung ausgewählt worden ist (d.h., als die Standby-Vorrichtung ausgewählt worden ist) zu der aktiven Vorrichtung basierend auf dem Übertragungs-/Empfangsstatus des Existenzbestätigungssignals oder des Zuverlässigkeitsbestätigungssignals auf der OT-Leitung, wie vorstehend beschrieben, umgeschaltet.
    • (3) In einem anderen Aspekt gemäß dem vorstehenden Aspekt (2) ist die Steuerungsvirtualisierungsvorrichtung konfiguriert, um als die aktive Vorrichtung die Steuerungsvirtualisierungsvorrichtung auszuwählen, deren Existenz aus der Vielzahl von Steuerungsvirtualisierungsvorrichtungen basierend auf dem Existenzbestätigungssignal bestätigt wird.
  • Mit dem vorstehenden Aspekt (3) wählen die Vielzahl von Steuerungsvirtualisierungsvorrichtungen die Steuerungsvirtualisierungsvorrichtung aus, deren Existenz als die aktive Vorrichtung basierend auf dem Existenzbestätigungssignal, das über die OT-Leitung gegenseitig übertragen und empfangen wird, bestätigt ist, und das von der Steuerungsvirtualisierungsvorrichtung erzeugte Steuersignal wird an das Steuerobjekt übertragen. Andererseits fungiert die Steuerungsvirtualisierungsvorrichtung, die nicht als die aktive Vorrichtung ausgewählt worden ist, als die Standby-Vorrichtung, und befindet sich in einem Standby-Zustand, der zu der aktiven Vorrichtung umschaltbar ist, wenn der Fehler auf dem Pfad auftritt, der die OT-Leitung und die als die aktive Vorrichtung ausgewählte Steuerungsvirtualisierungsvorrichtung umfasst. Da somit die aktive Vorrichtung und die Standby-Vorrichtung basierend auf dem Existenzbestätigungssignal über die OT-Leitung umgeschaltet werden, sogar wenn der Fehler auftritt, kann die Steuervorrichtung mit der hoch zuverlässigen redundanten Konfiguration realisiert werden.
    • (4) In einem anderen Aspekt gemäß dem vorstehenden Aspekt (2) ist die Steuerungsvirtualisierungsvorrichtung konfiguriert, um als die aktive Vorrichtung die Steuerungsvirtualisierungsvorrichtung auszuwählen, deren Zuverlässigkeit aus der Vielzahl von Steuerungsvirtualisierungsvorrichtungen basierend auf dem Zuverlässigkeitsbestätigungssignal bestätigt wird.
  • Mit dem vorstehenden Aspekt (4) wählt die Vielzahl von Steuerungsvirtualisierungsvorrichtungen die Steuerungsvirtualisierungsvorrichtung aus, deren Zuverlässigkeit als die aktive Vorrichtung basierend auf dem Zuverlässigkeitsbestätigungssignal, das über die OT-Leitung gegenseitig übertragen und empfangen wird, bestätigt ist, und das von der Steuerungsvirtualisierungsvorrichtung erzeugte Steuersignal wird an das Steuerobjekt übertragen. Beispielsweise umfasst das Zuverlässigkeitsbestätigungssignal Informationsparameter hinsichtlich der Zuverlässigkeit der Vielzahl von Steuerungsvirtualisierungsvorrichtungen, und durch Vergleichen dieser Parameter kann die Zuverlässigkeit von jeder Steuerungsvirtualisierungsvorrichtung durch sogenannte Mehrheitsentscheidung bestimmt werden, oder die Steuerungsvirtualisierungsvorrichtung, deren Parameter nicht kleiner als ein Bezugswert ist, kann als zuverlässig bestimmt werden. Während das Steuersignal von der Steuerungsvirtualisierungsvorrichtung, deren Zuverlässigkeit garantiert wird, zu dem Steuerobjekt übertragen wird, kann die Steuervorrichtung mit der hoch zuverlässigen gebündelten Konfiguration realisiert werden.
    • (5) In einem anderen Aspekt gemäß einem der vorstehenden Aspekte (2) bis (4) ist die Steuerungsvirtualisierungsvorrichtung konfiguriert, um ein Notaus-Steuersignal (wie etwa das Notaus-Steuersignal Ss des vorstehend beschriebenen Ausführungsbeispiels) an das Steuerobjekt auszugeben, falls die Steuerungsvirtualisierungsvorrichtung, die zu der aktiven Vorrichtung korrespondiert, nicht existiert, basierend auf dem Existenzbestätigungssignal oder dem Zuverlässigkeitsbestätigungssignal.
  • Mit dem vorstehenden Aspekt (5) wird das Notaus-Signal an das Steuerobjekt ausgegeben, falls keine Steuerungsvirtualisierungsvorrichtung die aktive Vorrichtung ist, und das Steuerobjekt wird einer Notaus-Steuerung unterzogen. Da somit das unbeabsichtigte Steuersignal an das Steuerobjekt ausgegeben wird, kann das Auftreten des durch den Fehler verursachten Problems effektiv verhindert werden.
    • (6) In einem anderen Aspekt gemäß einem der vorstehenden Aspekte (2) bis (5) ist jede der Vielzahl von Steuerungsvirtualisierungsvorrichtungen konfiguriert, um so zu arbeiten, dass sie einen Betriebszustand vor einem vorherigen Stopp beim Start reproduziert, und die Vielzahl von Steuerungsvirtualisierungsvorrichtungen weisen unterschiedliche Startzeitpunkte auf, falls der Betriebszustand vor dem vorherigen Stopp jeder der Vielzahl von Steuerungsvirtualisierungsvorrichtungen die aktive Vorrichtung ist.
  • Mit dem vorstehenden Aspekt (6) findet eine derartige Steuerung statt, dass der Betriebszustand der Steuerungsvirtualisierungsvorrichtung den Betriebszustand vor (unmittelbar vor) dem vorherigen Stopp beim Start reproduziert. In solch einem Fall ist es möglich, sogar falls die Betriebszustände vor dem vorherigen Stopp der Vielzahl von Steuerungsvirtualisierungsvorrichtungen alle die aktiven Vorrichtungen sind, da die Vielzahl von Steuerungsvirtualisierungsvorrichtungen unterschiedliche Startzeitpunkte aufweisen, zu verhindern, dass die Vielzahl von Steuerungsvirtualisierungsvorrichtungen gleichzeitig die aktiven Vorrichtungen beim Start werden, und um zu verhindern, dass die Steuerung instabil wird.
    • (7) In einem anderen Aspekt gemäß einem der vorstehenden Aspekte (1) bis (6) umfasst die Vielzahl von Steuerungsvirtualisierungsvorrichtungen jeweils die Vielzahl von virtuellen Maschinen.
  • Mit dem vorstehenden Aspekt (7) werden die Vielzahl von virtuellen Maschinen in jeder der Vielzahl von Steuerungsvirtualisierungsvorrichtungen angebracht, indem z.B. die Vielzahl von virtuellen Maschinen auf einem einzelnen Hardwarestück durch Ausführung von Virtualisierungssoftware erzeugt wird. Indem somit die Vielzahl von virtuellen Maschinen auf der einzelnen physikalischen Steuerung angebracht wird, kann die Vielzahl von Steuerungsfunktionen realisiert werden, und die Herstellungskosten der Steuervorrichtung können effektiv gedrückt werden.
    • (8) In einem anderen Aspekt gemäß dem vorstehenden Aspekt (7) umfasst die mindestens eine OT-Leitung eine Vielzahl von voneinander unabhängigen OT-Leitungen (wie etwa die erste OT-Leitung 160-1 und die zweite OT-Leitung 160-2 des vorstehend beschriebenen Ausführungsbeispiels), die jeweils zu der Vielzahl von virtuellen Maschinen korrespondieren.
  • Mit dem vorstehenden Aspekt (8) kann die Vielzahl von OT-Leitungen korrespondierend zu den jeweiligen virtuellen Maschinen bereitgestellt werden, falls die Vielzahl von virtuellen Maschinen an jeder Steuerungsvirtualisierungsvorrichtung angebracht sind. Da in diesem Fall das Existenzbestätigungssignal oder das Zuverlässigkeitsbestätigungssignal über die Vielzahl von OT-Leitungen gegenseitig übertragen und empfangen wird, wird die dedizierte Schaltung, die das FPGA oder dergleichen verwendet, nicht erforderlich, welche erforderlich ist, wenn das Existenzbestätigungssignal oder das Zuverlässigkeitsbestätigungssignal zwischen der Vielzahl von Steuerungsvirtualisierungsvorrichtungen über das IT-Netzwerk oder das Zwischenvorrichtungsverbindungsnetzwerk gegenseitig übertragen und empfangen wird, das die Vielzahl von Steuerungsvirtualisierungsvorrichtungen verbindet.
    • (9) In einem anderen Aspekt gemäß einem der vorstehenden Aspekte (1) bis (6) umfassen die Vielzahl von Steuerungsvirtualisierungsvorrichtungen jeweils die eine virtuelle Maschine, die mindestens eine OT-Leitung umfasst eine Vielzahl von voneinander unabhängigen OT-Leitungen, und die Steuerungsvirtualisierungsvorrichtung ist konfiguriert, um das Steuersignal, das über ein zwischen der Vielzahl von Steuerungsvirtualisierungsvorrichtungen angeordnetes Zwischenvorrichtungsverbindungsnetzwerk übertragen wird und von der Steuerungsvirtualisierungsvorrichtung erzeugt wird, die basierend auf einem zweiten Existenzbestätigungssignal ausgewählt wird, das einen Betriebszustand jeder der Vielzahl von Steuerungsvirtualisierungsvorrichtungen anzeigt, an das Steuerobjekt zu übertragen, falls in jeder der Vielzahl von OT-Leitungen ein Fehler auftritt.
  • Mit dem vorstehenden Aspekt (9) ist die Steuerungsvirtualisierungsvorrichtung konfiguriert, um basierend auf dem zweiten Existenzbestätigungssignal, das über das Zwischenvorrichtungsverbindungsnetzwerk gegenseitig übertragen wird, die Steuerungsvirtualisierungsvorrichtung zum Übertragen des Steuersignals an das Steuerobjekt auszuwählen, für den Fall, in dem jede Steuerungsvirtualisierungsvorrichtung die virtuelle Maschine umfasst und von der Vielzahl von OT-Leitungen dupliziert wird, um eine Fehlertoleranz zu verbessern, bei dem Auftreten des Fehlers in jeder der Vielzahl von OT-Leitungen, d.h., ein sogenanntes Auftreten von Doppelfehlern. Bei dem Auftreten von Doppelfehlern wird der Fall berücksichtigt, bei dem es schwierig ist, das Existenzbestätigungssignal oder das Zuverlässigkeitsbestätigungssignal über die OT-Leitung zwischen der Vielzahl von Steuerungsvirtualisierungsvorrichtungen zu übertragen und zu empfangen. Allerdings ist es möglich, sogar in solch einem Fall, indem die Steuerungsvirtualisierungsvorrichtung, die das Steuersignal an das Steuerobjekt überträgt, basierend auf dem zweiten Existenzbestätigungssignal, das über das Zwischenvorrichtungsverbindungsnetzwerk gegenseitig übertragen wird, ausgewählt wird, eine durch den Konflikt zwischen den Steuersignalen von der Vielzahl von Steuerungsvirtualisierungsvorrichtungen bewirkte instabile Steuerung effektiv zu vermeiden.
    • (10) In einem anderen Aspekt gemäß einem der vorstehenden Aspekte (1) bis (9) umfasst das Existenzbestätigungssignal oder das Zuverlässigkeitsbestätigungssignal mindestens entweder einen Betriebszustand oder die Anzahl an Betriebszählungen der Steuerungsvirtualisierungsvorrichtung, oder einen Betriebszustand oder die Anzahl an Betriebszählungen der virtuellen Maschine.
  • Mit dem vorstehenden Aspekt (10) ist es möglich, sogar falls der Prozess zum Austauschen des Existenzbestätigungssignals oder des Zuverlässigkeitsbestätigungssignals mit der Steueranwendung in einem separaten Prozess (oder Thread) konfiguriert ist, den Betriebszustand der Steueranwendung an die Partnervorrichtung zu übertragen. Da insbesondere das Existenzbestätigungssignal oder das Zuverlässigkeitsbestätigungssignal den Betriebszustand der virtuellen Maschine umfasst, ist es möglich, die Zustände der Vielzahl von virtuellen Maschinen individuell zu bestimmen und zu verarbeiten. Außerdem wird die Anzahl an Zählungen als eine Sequenzzahl eines übertragenen Pakets betrachtet, und falls die OT-Leitung redundant gemacht ist, wird ein Paket, das vor einem zu demselben Zeitpunkt übertragenen Paket empfangen ist, verarbeitet, und das später empfangene Paket wird verworfen, wodurch eine Doppelverarbeitung des Existenzbestätigungssignals oder des Zuverlässigkeitsbestätigungssignals verhindert werden kann.
    • (11) Ein Steuersystem gemäß einem Aspekt umfasst: die Steuerungsvirtualisierungsvorrichtung gemäß einem der vorstehenden Aspekte (1) bis (10).
  • Mit dem vorstehenden Aspekt (11) ist es möglich, ein Steuersystem zu realisieren, das ein Steuerobjekt ungeachtet einer Fehlerauftrittsbetriebsart stabil steuern kann und eine exzellente hohe Verfügbarkeit aufweist.
  • Bezugszeichenliste
    • 100
    Steuersystem
    110
    Betriebsvorrichtung
    112
    Überwachungsteil
    114
    Betriebsteil
    120
    Steuerungsvirtualisierungsvorrichtung
    122A, 122B, 122C
    Steuerungsvirtualisierungsvorrichtung
    124
    Hypervisor
    150
    IT-Netzwerk
    160
    OT-Leitung
    160-1
    Erste OT-Leitung
    160-2
    Zweite OT-Leitung
    165
    Gatewayvorrichtung
    170
    Eingabe-/Ausgabevorrichtung
    180
    Zwischenvorrichtungsverbindungsnetzwerk
    185
    Fehlerort
    185-1
    Erster Fehlerort
    185-2
    Zweiter Fehlerort
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • JP 2020176208 [0002]
    • JP 5851503 B [0006]

Claims (11)

  1. Eine Steuerungsvirtualisierungsvorrichtung, aufweisend: eine Vielzahl von Steuerungsvirtualisierungsvorrichtungen, die jeweils so konfiguriert sind, um ein Steuersignal für ein Steuerobjekt zu erzeugen und mindestens eine virtuelle Maschine umfassen; und mindestens eine OT-Leitung zum Übertragen des Steuersignals von jeder der Vielzahl von Steuerungsvirtualisierungsvorrichtungen an das Steuerobjekt, wobei die Vielzahl von Steuerungsvirtualisierungsvorrichtungen konfiguriert sind, um gegenseitig ein Existenzbestätigungssignal oder ein Zuverlässigkeitsbestätigungssignal der virtuellen Maschine über die mindestens eine OT-Leitung zu übertragen und zu empfangen.
  2. Die Steuerungsvirtualisierungsvorrichtung nach Anspruch 1, wobei die Steuerungsvirtualisierungsvorrichtung konfiguriert ist, um an das Steuerobjekt das Steuersignal zu übertragen, das von der Steuerungsvirtualisierungsvorrichtung erzeugt wird, die als eine aktive Vorrichtung aus der Vielzahl von Steuerungsvirtualisierungsvorrichtungen basierend auf dem Existenzbestätigungssignal oder dem Zuverlässigkeitsbestätigungssignal ausgewählt wird.
  3. Die Steuerungsvirtualisierungsvorrichtung nach Anspruch 2, wobei die Steuerungsvirtualisierungsvorrichtung konfiguriert ist, um als die aktive Vorrichtung die Steuerungsvirtualisierungsvorrichtung auszuwählen, deren Existenz aus der Vielzahl von Steuerungsvirtualisierungsvorrichtungen basierend auf dem Existenzbestätigungssignal bestätigt wird.
  4. Die Steuerungsvirtualisierungsvorrichtung nach Anspruch 2, wobei die Steuerungsvirtualisierungsvorrichtung konfiguriert ist, um als die aktive Vorrichtung die Steuerungsvirtualisierungsvorrichtung auszuwählen, deren Zuverlässigkeit aus der Vielzahl von Steuerungsvirtualisierungsvorrichtungen basierend auf dem Zuverlässigkeitsbestätigungssignal bestätigt wird.
  5. Die Steuerungsvirtualisierungsvorrichtung nach einem der Ansprüche 2 bis 4, wobei die Steuerungsvirtualisierungsvorrichtung konfiguriert ist, um ein Notaus-Steuersignal an das Steuerobjekt auszugeben, falls die Steuerungsvirtualisierungsvorrichtung, die zu der aktiven Vorrichtung korrespondiert, nicht existiert, basierend auf dem Existenzbestätigungssignal oder dem Zuverlässigkeitsbestätigungssignal.
  6. Die Steuerungsvirtualisierungsvorrichtung nach einem der Ansprüche 2 bis 5, wobei jede der Vielzahl von Steuerungsvirtualisierungsvorrichtungen konfiguriert ist, um so zu arbeiten, dass sie einen Betriebszustand vor einem vorherigen Stopp beim Start reproduziert, und wobei die Vielzahl von Steuerungsvirtualisierungsvorrichtungen unterschiedliche Startzeitpunkte aufweisen, falls der Betriebszustand vor dem vorherigen Stopp jeder der Vielzahl von Steuerungsvirtualisierungsvorrichtungen die aktive Vorrichtung ist.
  7. Die Steuerungsvirtualisierungsvorrichtung nach einem der Ansprüche 1 bis 6, wobei die Vielzahl von Steuerungsvirtualisierungsvorrichtungen jeweils die Vielzahl von virtuellen Maschinen umfasst.
  8. Die Steuerungsvirtualisierungsvorrichtung nach Anspruch 7, wobei die mindestens eine OT-Leitung eine Vielzahl von voneinander unabhängigen OT-Leitungen umfasst, die jeweils zu der Vielzahl von virtuellen Maschinen korrespondieren.
  9. Die Steuerungsvirtualisierungsvorrichtung nach einem der Ansprüche 1 bis 6, wobei die Vielzahl von Steuerungsvirtualisierungsvorrichtungen jeweils die eine virtuelle Maschine umfassen, wobei die mindestens eine OT-Leitung eine Vielzahl von voneinander unabhängigen OT-Leitungen umfasst, und wobei die Steuerungsvirtualisierungsvorrichtung konfiguriert ist, um das Steuersignal, das über ein zwischen der Vielzahl von Steuerungsvirtualisierungsvorrichtungen angeordnetes Zwischenvorrichtungsverbindungsnetzwerk übertragen wird und von der Steuerungsvirtualisierungsvorrichtung erzeugt wird, die basierend auf einem zweiten Existenzbestätigungssignal ausgewählt wird, das einen Betriebszustand jeder der Vielzahl von Steuerungsvirtualisierungsvorrichtungen anzeigt, an das Steuerobjekt zu übertragen, falls in jeder der Vielzahl von OT-Leitungen ein Fehler auftritt.
  10. Die Steuerungsvirtualisierungsvorrichtung nach einem der Ansprüche 1 bis 9, wobei das Existenzbestätigungssignal oder das Zuverlässigkeitsbestätigungssignal mindestens entweder einen Betriebszustand oder die Anzahl an Betriebszählungen der Steuerungsvirtualisierungsvorrichtung, oder einen Betriebszustand oder die Anzahl an Betriebszählungen der virtuellen Maschine umfasst.
  11. Ein Steuersystem, aufweisend: die Steuerungsvirtualisierungsvorrichtung nach einem der Ansprüche 1 bis 10.
DE112021003867.2T 2020-10-20 2021-10-19 Steuerungsvirtualisierungsvorrichtung und steuersystem Pending DE112021003867T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2020176208A JP2022067483A (ja) 2020-10-20 2020-10-20 コントローラ仮想化装置、及び、制御システム
JP2020-176208 2020-10-20
PCT/JP2021/038508 WO2022085651A1 (ja) 2020-10-20 2021-10-19 コントローラ仮想化装置、及び、制御システム

Publications (1)

Publication Number Publication Date
DE112021003867T5 true DE112021003867T5 (de) 2023-07-20

Family

ID=81289742

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112021003867.2T Pending DE112021003867T5 (de) 2020-10-20 2021-10-19 Steuerungsvirtualisierungsvorrichtung und steuersystem

Country Status (5)

Country Link
US (1) US20230325229A1 (de)
JP (1) JP2022067483A (de)
CN (1) CN116097183A (de)
DE (1) DE112021003867T5 (de)
WO (1) WO2022085651A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5851503B2 (ja) 2010-07-30 2016-02-03 シマンテック コーポレーションSymantec Corporation 高可用性仮想機械環境におけるアプリケーションの高可用性の提供
JP2020176208A (ja) 2019-04-18 2020-10-29 Agc株式会社 塗料及び車両外装部材

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014048933A (ja) * 2012-08-31 2014-03-17 Toshiba Corp プラント監視システム、プラント監視方法およびプラント監視プログラム
JP2019040331A (ja) * 2017-08-24 2019-03-14 アズビル株式会社 分散制御システムおよびノード

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5851503B2 (ja) 2010-07-30 2016-02-03 シマンテック コーポレーションSymantec Corporation 高可用性仮想機械環境におけるアプリケーションの高可用性の提供
JP2020176208A (ja) 2019-04-18 2020-10-29 Agc株式会社 塗料及び車両外装部材

Also Published As

Publication number Publication date
WO2022085651A1 (ja) 2022-04-28
US20230325229A1 (en) 2023-10-12
JP2022067483A (ja) 2022-05-06
CN116097183A (zh) 2023-05-09

Similar Documents

Publication Publication Date Title
EP0884821B1 (de) Anordnung zur Energieverteilung, insbesondere in einem Flugzeug
EP1540428B1 (de) Redundante steuergeräteanordnung
DE3486148T2 (de) Fehlertolerantes Übertragungssteuersystem.
DE2908316C2 (de) Modular aufgebaute Multiprozessor-Datenverarbeitungsanlage
EP1297394B1 (de) Redundantes steuerungssystem sowie steuerrechner und peripherieeinheit für ein derartiges steuerungssystem
WO2005122597A1 (de) Datenübertragungseinrichtung und verfahren zur datenübertragung mit verringertem ausfallrisiko
EP2210325B1 (de) Verfahren und anordnung zum schützen, steuern oder überwachen einer elektrischen schalt- oder energieversorgungsanlage
DE3247801C2 (de)
DE2420214C2 (de) Schaltungsanordnung zur Umschaltung der redundanten Kommunikationspfade einer Datenübertragungseinrichtung
EP2274874B1 (de) Überprüfung einer kommunikationsverbindung zwischen feldgeräten
DE3780306T2 (de) Adapterbusschalter zur verbesserung der verfuegbarkeit einer steuereinheit.
DE112012005740T5 (de) Duplexsteuerungssystem und dessen Steuerungsverfahren
DE69535691T2 (de) Ein/ausgabe-vorrichtung zum verbinden und abschalten von aktiven leitungen
DE112021003867T5 (de) Steuerungsvirtualisierungsvorrichtung und steuersystem
EP0551114A1 (de) Anordnung zur Informationsübermittlung
DE68913926T2 (de) Elektronisches System mit mehreren abnehmbaren Einheiten.
EP1851934B1 (de) Verfahren zur fehlererkennung eines nachrichteninterfaces in einer kommunikationseinrichtung
DE102014217457A1 (de) Schutzvorrichtung mit richtzonenselektiver Verriegelungsfunktionalität
DE102011115318B4 (de) Flugsteuerungssystem
EP2237118A1 (de) Sicherheitssystem zur Sicherung einer fehlersicheren Steuerung elektrischer Anlagen und Sicherheitssteuerung damit
WO1999014886A1 (de) Redundanzsystem mit '1:n' und '1:1' redunzanz für ein asn-system
EP2881812A1 (de) Verfahren zum Betreiben einer Automatisierungseinrichtung
DE102011082598A1 (de) Steueranordnung
DE102015120492A1 (de) Virtuelle Kanalabstraktionsschicht für Festkörperleistungssteuerungen
DE19856835C2 (de) Verfahren zum Betreiben von Peripheriebaugruppen innerhalb einer ATM-Kommunikationseinrichtung

Legal Events

Date Code Title Description
R012 Request for examination validly filed