JP2004341645A - Automatic-recovery distributed control system - Google Patents
Automatic-recovery distributed control system Download PDFInfo
- Publication number
- JP2004341645A JP2004341645A JP2003135013A JP2003135013A JP2004341645A JP 2004341645 A JP2004341645 A JP 2004341645A JP 2003135013 A JP2003135013 A JP 2003135013A JP 2003135013 A JP2003135013 A JP 2003135013A JP 2004341645 A JP2004341645 A JP 2004341645A
- Authority
- JP
- Japan
- Prior art keywords
- control system
- control
- abnormality
- stem cell
- remote
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Micro-Organisms Or Cultivation Processes Thereof (AREA)
- Hardware Redundancy (AREA)
- Safety Devices In Control Systems (AREA)
Abstract
Description
【0001】
【発明の属する技術分野】
本発明は、複数の制御系の組み合わせにより全体の機能が実現されている分散制御システムの信頼性の向上に関する。
【0002】
【技術的背景】
多数の制御系の組み合わせで全体の機能が実現されているシステム(例えばシーケンス制御システムなど)において、従来、システムの信頼性を向上させるためにシステムの多重化により対処する場合(例えば上下水道などの公共設備プラントなど)がある。しかしながら、一般の製造システムなどでは、コストの問題等により、制御系を全て多重化することはまれである。このため、各制御系に故障が発生した場合には、各制御系の修復に関して個別に対応する必要があった。
また、どの制御系に異常が発生したかを自動的に検出し、自動的に修復するシステムも開発されている。例えば特許文献1では、FPGA (Field Programmable Gate Array) を利用した機能装置(制御系)の信頼性を向上するために、次のような技術を提案している。なお、ここで、FPGAとはプログラミング可能なLSIなどの電子回路であり、例えば特許文献2などでも利用されている従来技術である。
特許文献1の発明における機能装置は機能回路部、障害検出部、定義処理部、内部メモリで構成され、機能回路部の機能を実現するためのレイアウトパターン定義情報を内部メモリに格納(および外部メモリにバックアップ)しておく。障害検出部は、障害を検出し、障害領域を判別する。その情報に従って、定義処理部はメモリから障害領域を回避できるレイアウトパターン定義情報を読み出し、そのレイアウトパターン定義情報に従って機能回路部を再定義する。これにより、機能装置がサービス中、運用中であっても、装置の機能を自己修復することができる。
【0003】
【特許文献1】
特開平9−62528号公報
【特許文献2】
特開平10−92943号公報
【0004】
【発明が解決しようとする課題】
しかしながら、特許文献1の従来技術を用いても、次のような問題が残る。まず、障害の箇所によっては修復が不可能となってしまう場合がある。例えば、レイアウトパターン定義情報を格納した内部メモリおよび外部メモリにアクセスできなくなった場合である。さらに、外部メモリはレイアウトパターン定義情報のバックアップという目的に特化した存在であるため、この外部メモリに障害が発生した場合、修復が不可能となったり、システム全体が機能不全に陥る場合がある。
【0005】
【課題を解決するための手段】
上記の課題を解決するために、本発明は、ネットワークで互いに接続している、予備の制御系として動作する少なくとも1つの幹細胞を含む複数の制御系と、該各制御系が制御している制御対象と制御系との間を接続するリモートI/Oとで構成した自動修復分散制御システムであって、前記リモートI/Oは、前記制御系のいずれとも接続でき、前記制御系と制御対象との間で、制御系からの制御信号および制御対象からのフィードバック伝達を行なう入出力手段と、少なくとも該リモートI/Oを介して制御対象を制御している制御系の異常を検知する異常検知手段を有し、前記制御系は、前記リモートI/Oを介して前記制御対象を制御する制御手段と、少なくとも1つの前記制御系の異常を検知する異常検知手段と、該制御手段を変化させる再生手段とを有し、前記制御系の異常は、全体としてリモートI/O又は制御系のいずれかで検出され、前記リモートI/O又は前記制御系で前記制御系の異常を検知した場合、検知した前記リモートI/O又は前記制御系は、前記幹細胞および異常が検知された制御系と接続しているリモートI/Oに通知し、通知を受けた幹細胞の制御手段は、再生手段により該異常制御系の制御手段と同様になり、通知を受けたリモートI/Oの入出力手段は該異常制御系との接続を停止して、通知を受けた幹細胞と接続することを特徴とする自動修復分散制御システムである。
また、前記リモートI/O及び前記制御系は、前記制御系からの信号パターンを格納したメモリを有しており、前記制御系及び前記リモートI/Oの前記異常検知手段は、前記制御信号を前記メモリに格納している信号パターンと照合することにより、前記制御系の異常を検知することを特徴としてもよい。
前記幹細胞は、さらに、全ての制御系の情報を格納したメモリを有しており、前記幹細胞の前記再生手段は、前記異常検知手段により異常が検知された制御系の情報を、前記メモリから取得し、自身の制御手段を該異常制御系の制御手段と同様の機能とすることを特徴としてもよい。
前記制御系は、さらに、自己以外の少なくとも1つの制御系の情報を格納したメモリを有しており、前記制御系のメモリは、全体として全ての制御系の情報を格納しており、前記幹細胞の前記再生手段は、前記異常検知手段により異常が検知された制御系の情報を、前記制御系のメモリから取得し、自身の制御手段を該異常制御系の制御手段と同様の機能とすることを特徴としてもよい。このとき、前記制御系の前記再生手段は、さらに、自己以外の少なくとも1つの制御系に対して、自己の制御手段とする情報を他の制御系に対して送信し、受信した制御系の前記再生手段は、該情報を前記制御系の情報を格納したメモリに格納することを特徴としてもよい。さらに、前記制御系の前記再生手段は、自己の制御手段とする情報を他の制御系に対して、定期的に送信することを特徴としてもよい。
【0006】
【発明の実施の形態】
本発明では、上述した従来技術の問題点を解決するために、次のような特徴を有する。まず、複数の制御系の組み合わせにより全体の機能が実現されるような工学システムにおいて、ある制御系が故障した場合に、故障した制御系の機能を再生させるために、生物の再生過程に見られる「幹細胞」に相当するものを、制御系の予備として導入する。すなわち、それ自体通常はなんら特定の性格(機能)を持たない状態の「幹細胞的性質を持つ電気回路基盤(ボード)」(以降「幹細胞コンポーネント」とよぶ)を1個以上、ネットワークでシステムにあらかじめ結合しておき、各々の制御系が故障した場合に、幹細胞コンポーネントが故障した制御系に自動的に変化(以降「再生」という)する仕組みを構築する。これにより、システム全体の機能を維持できるようにする。
以降、本発明の自動修復分散制御システムの実施形態を、図を参照しながら詳細に説明する。
【0007】
<システム構成>
最初に、本実施形態のシステム構成を説明する。本実施形態のシステムにおいては、全ての制御対象はネットワークとリモートI/O(以降、単に「I/O」ともいう)を介して各制御系に制御される。また、各制御系(幹細胞コンポーネントを含む)同士も、イーサネット(登録商標)等のネットワークで接続する。
ネットワーク接続の様式の例を図1に示す。なお、図1は接続様式の一例を示すものであり、他の多様なケースが考えられる。他の例については後述する。
【0008】
図1において、制御対象1 131〜制御対象4 134はそれぞれ、I/O(リモートI/O)1 121〜I/O(リモートI/O)4 124を介して制御系1 111〜制御系4 114に接続されている。これにより、各制御系から各制御対象を制御することができる。
ここで、各I/Oと各制御系との間の接続は、I/O側の黒丸150と制御系側の黒丸150との間の接続として示されている。I/O側の黒丸150は、I/O内の構成要素の1つである「制御系と制御対象との信号のやり取りをする制御部」(図3において入出力制御部310で示している)からの接続を意味している。また、制御系側の黒丸150は、制御系内の構成要素の1つである「対象I/Oと信号をやり取りする回路部」(図2において入出力回路部260で示している)からの接続を意味している。
各幹細胞コンポーネントに示された黒丸150も、制御系と同様、幹細胞コンポーネント内の構成要素の1つである「対象I/Oと信号をやり取りする回路部」(図2において260で示している)からの接続である。図1に示すように、幹細胞コンポーネント側の黒丸150と各制御系とはネットワークで接続されている。これにより、例えば、制御系が故障して幹細胞コンポーネントがその制御系の代わりとして機能する際に、対象I/Oと信号をやり取りすることができる。
【0009】
一方、図1において、制御系1 111〜制御系4 114および幹細胞コンポーネント1 141〜幹細胞コンポーネント2 142は、それぞれの白丸160間で、互いにネットワーク接続されている。この白丸160は、制御系および幹細胞コンポーネント内の構成要素の1つである「再生を実現するための制御部」(図2において再生制御部240で示している)からの接続を意味している。これにより、例えば、幹細胞コンポーネントが故障した制御系の代わりとして機能する際に、対象I/Oと信号をやり取りすることができる。なお、図1においては制御系1 111〜制御系4 114と幹細胞1 141,幹細胞2 142を2重のネットワーク接続で示しているが、本実施形態においてネットワーク接続は1重以上であればよい。ネットワーク接続が多重であるほど、ネットワークの切断等の故障に強いシステムとすることができる。
【0010】
上述したように、制御系、幹細胞コンポーネント、およびリモートI/Oの内部構成要素は図2および図3に示している。次に、これらの図を参照しながら、各々の内部構成要素について説明する。
【0011】
<制御系、幹細胞コンポーネントおよびリモートI/Oの内部構成>
制御系および幹細胞コンポーネントは、図2に示すような内部構成要素からなる。なお、図2に示す構成要素は一例であり、他のバリエーションも考えられる。
各制御系(幹細胞コンポーネントを含む)200の内部において、機能回路部210はFPGAにより構成され、制御対象を制御するための回路である。回路定義メモリ部220は、機能回路部210のFPGA回路を定義するための情報が格納されている。本実施形態では機能回路部210の外部にあるが、機能回路部210の内部にあってもよい。回路制御部230は、回路定義メモリ部220から定義回路を選択し、機能回路部210のFPGA回路を書き換えるための制御部である。
再生制御部240は、異常信号検出部を含んでいる。この異常信号検出部は少なくとも1つの制御系の異常を、異常信号パターン検出用メモリ部270に格納されている異常信号パターンと照合することにより検出している。そして、リモートI/O部等が異常を検出したとき、「再生」を実現している。
再生制御部240は、上述の図1で説明したように、他の制御系、幹細胞コンポーネントおよびリモートI/Oと信号をやり取りする。
また、各制御系(幹細胞コンポーネントを含む)は、後述するように、「再生」を実現するために自己以外の制御系の回路定義情報やデータを回路定義メモリ部220やデータ保存用メモリ部250に保持している。再生制御部240は、自己の制御系がどの制御系の回路定義情報やデータを保持しているかの情報を持つ。
再生制御部240は、機能回路部210と同様にFPGAやマイクロプロセッサなどを用いて構成することができる。なお、異常信号検出部は、複数の制御系の異常を検出するようにすれば、全体的にどれかの制御系が故障しても異常を検出する確率が増すことになる。
【0012】
データ保存用メモリ部250は、機能回路部210のFPGAの機能実現に必要となるデータを格納している。
入出力回路部260は、機能回路部210のFPGAによる、対象の制御実行した結果を、対象リモートI/Oと入出力信号のやり取りをする。
異常信号パターン検出用メモリ部270は、異常信号を検出するための検出用パターンを格納している。
本実施形態において「制御系の異常」とは、これら制御系内部の各機能のどれか1つでも異常になった場合を全て含む。つまり、FPGA内部の異常にとどまらず、機能単位である制御回路基板のどこかに1つ何らかの異常があった場合、制御機能異常として検出され処理される。
なお、回路定義メモリ部220、データ保存用メモリ部250、異常信号パターン検出用メモリ部270については、ハードディスク等の大容量の記憶媒体を用いることも可能である。
【0013】
一方、リモートI/Oは図3に示すような内部構成要素からなる。
リモートI/O 300の内部において、入出力制御部310は、制御系と制御対象との信号のやり取りをする。入出力制御部310は、各々の制御系および制御対象と連絡している。異常検出部320は、少なくとも当該リモートI/Oを介して制御対象を制御している制御系からの異常信号を検出する。もちろん、他の制御系の異常信号を検出するようにしてもよい。異常信号パターン検出用メモリ部330は、異常信号パターンを格納しており、異常検出部320は、格納されている異常信号パターンを用いて、制御系からの信号の異常を検出する。
なお、これらの構成要素の、本実施形態のシステムにおける具体的な役割については、後で詳しく説明する。
【0014】
本実施形態のシステムでは、上述したようなネットワークを利用して、各々の制御系、幹細胞コンポーネント、リモートI/Oが常時、互いにパケットを送信する。これにより、互いの状態を常時モニタすることができる。
この常時モニタにより、ある制御系の異常を、他の各制御系、幹細胞コンポーネント、および各リモートI/Oのどれか(複数を含む)が検出することができるように構成する。また、各制御系が制御対象を制御するための出力信号の異常は、出力が無い場合を含め検出可能である。つまり、各制御系が担う機能のうち、どれが異常になった場合でも、その異常が検出される。
【0015】
幹細胞コンポーネントは、そのようにして検出された異常の情報を得て、異常が検出された制御系に対応するリモートI/Oにその情報を与え、当該異常制御系からの当該リモートI/Oへの情報を無効とし、新に自らは後述のように、FPGAを用いて当該故障制御系と同等の制御機能を実現する制御回路を構築し、自らが当該制御系の代わりとなり、当該制御対象を制御する「再生」を行なう。
幹細胞コンポーネントが「再生」を行なうために制御回路を構築する方法を、次の(方法1)〜(方法4)に示す。
【0016】
<制御回路の構築方法>
(方法1)
最も単純な方法としては、幹細胞コンポーネントの回路定義メモリ部220に、各制御系の制御回路全てを構築するための回路定義情報を保持させ、どれが異常な制御系であるかの情報を得た後、その回路定義情報に基づき必要となる制御回路を構築する方法である。
但し、制御系の機能の種類によっては、その機能を実現するために、変化するデータを短期間あるいは長期間にわたりデータ保存用メモリ部250に保存することが必要となる場合がある。また、入力データ次第でFPGAの回路パターンを変化させることが必要となる場合もある。このような場合、各制御系は、それぞれが必要とするデータをデータ保存用メモリ部250や回路定義メモリ部220に保持することになる。幹細胞コンポーネントがどの制御系にも変化しうるようにするために最も簡単な方法は、幹細胞コンポーネントのデータ保存用メモリ部250や回路定義メモリ部220に、各制御系のそれらのデータを全て保持することである。
しかし、例えば幹細胞コンポーネントの回路定義メモリ部220が、ハードディスクなど大容量の記憶媒体である場合には、幹細胞コンポーネント内に全てのデータを保持することが可能となるが、そうでない場合には膨大なメモリが必要となり、事実上それが困難な場合も想定される。
そのような場合を想定して、以下の(方法2)〜(方法4)に説明するような方法をとることもできる。
【0017】
(方法2)
番号nの制御系(制御系n)のデータ保存用メモリ部250の内容を、制御系nが常時、制御系n+1にも転送し、制御系n+1のデータ保存用メモリ部250にもその内容を同時に持たせ、システム全体として全ての制御系のデータ保存用メモリ部250の内容を自己以外のいずれかの制御系に持たせるようにする。また、制御系nにおいて、もしFPGAの回路パターンの書き換えが行なわれた場合、その回路パターン情報を常時、制御系n+1にも転送し、その回路パターン定義情報を制御系n+1の回路定義メモリ部220(もしくはデータ保存用メモリ部250)に同時に持たせる。この転送は各制御系の再生制御部240により実現される。
これによって、制御系nと制御系n+1が、同一時刻に同時に故障しないかぎり、制御系nが異常になった場合、幹細胞コンポーネントは制御系n+1のメモリを参照して制御系nの機能を持つように変化し、その機能を復旧することができる。
もちろん、これを実現するには、おおまかに言えば、各制御系には最大量のメモリを必要とする制御系のメモリ量(Mとする)の2倍量が必要となり、系全体で必要なメモリ量は、最大2M×N(Nは制御系の数)となる。しかし、上記(方法1)のように、幹細胞コンポーネントに仮にM×Nのメモリを載せ、その幹細胞コンポーネントをあらかじめ複数個用意するよりはメモリ量が節約できる。
【0018】
(方法3)
上記(方法2)において、再生制御部240が、制御系nのメモリ内容を常時、制御系n+1と制御系n−1にも転送し、システム全体として全ての制御系のデータ保存用メモリ部250の内容を自己以外のいずれか2つの制御系に持たせるようにすれば、同一時刻に同時に、番号が隣り合う2個の制御系が故障しても復旧が可能となり、系全体の信頼性はさらに増大する。ただし、制御系に必要なメモリは、系全体で最大3M×N必要になる。なお、常時転送先の制御系数をさらに増やすことにより、系全体の信頼性をいっそう増大させることが可能となる。ここで、転送先の制御系の数や、どの制御系に対して転送するかなどのルールは、システムに応じて決定すればよい。
【0019】
(方法4)
系全体のメモリを節約するために、各制御系の再生制御部240に、他の制御系の空いているデータ保存用メモリ部250の量をモニタする機能を持たせる。これにより、多くのデータを転送する必要のある制御系は、メモリに余裕がある制御系を選択してメモリ内容の転送を行なうことができる。また必要があれば、そのデータを分割し、複数の制御系のメモリに転送するというように、各転送先制御系の空いているメモリ量に応じて、転送先を動的に決定するということも可能となる。この方法においても上記(方法1)〜(方法3)と同様に、システム全体として全ての制御系のデータ保存用メモリ部250の内容を自己以外のいずれかの制御系に持たせるようにする。
この方法では、上述でnで説明したような番号のルールには拘束されずに、各制御系は他の(単数または複数の)制御系に対して、自己制御系を再構築するためのデータを転送する。また、各制御系および幹細胞コンポーネントは、どの制御系が他のどの制御系のデータを持っているかを再生制御部240で把握する。
このような動的なメモリ割振りを活用すれば、例えば、ある特定の制御系2つだけが大量のメモリ(M)を必要とし、他の制御系はさほどメモリを必要としていない場合に、例えば上記(方法1)では幹細胞コンポーネントと他のどれか2つの制御系(複数あるうちの他の幹細胞コンポーネントを含む)がM量ずつのメモリを持てばよい(あるいは、上記のデータ分割を行なう場合は、分割データを転送するグループを形成しているうちの他のどれか2つの制御系が、それぞれのグループ内でトータルM量ずつのメモリを持てばよい)ということになり、系全体のメモリ量をさらに減らすことが可能となる。
【0020】
このように、各制御系は、自己の制御系を形成するための情報を他の(単数または複数の)制御系に転送し保持させる。このとき、上述したように、システム全体として全ての制御系の情報(単数又は複数)を自己以外のいずれかの制御系に保持させるようにする。なお、上記の(方法2)〜(方法4)においては、各制御系において自己がどの制御系の情報を保持しているのかを把握する必要があり、上述したように、各制御系の再生制御部240がそれを把握している。
そして、ある制御系が機能不全に陥ったり破壊された場合に、幹細胞コンポーネントはその保持された情報を参照し、当該制御系の機能を持つコンポーネントに変化(再生)することで、システム全体の機能を回復する。
【0021】
以降、本実施形態のシステムにおいて制御系が制御対象を制御する方法、制御系の異常検出方法、異常発生時のシステム回復の流れについて、図1に示すシステム構成を例として具体的に説明する。
【0022】
<制御方法の具体例>
まず、図1を参照しながら、制御系2 112がI/O2 122を通じて、制御対象2 132の制御をする過程を例として、制御方法の具体例を説明する。
なお、本実施形態においては、例えば Fast Ethenet と UDP/IP を利用した技術を用いて、パケットによるデータ(信号)のやり取りを行なうものとする。この Fast Ethenet と UDP/IP を利用した技術は従来技術であり、例えば、藤本康孝・関口隆「分散型プログラマブルコントローラ群による耐故障制御」(平成13年電気学会電子・情報・システム部門大会 講演論文集I)に示されている。
(1)制御系2 112の入出力回路部260は、ブロードキャストで全ての宛先(幹細胞を含む各制御系の再生制御部240と入出力回路部260、および各リモートI/Oの入出力制御部310)に対して、ネットワークを介してパケットを送る。
(2)I/O2 122は、送信元が制御系2 112のパケットのみを選択し、そのデータを制御対象2 132に渡す。この時、I/O2 122の異常検出部320は、制御系2 112からのデータ(信号)が、信号パターンの許容範囲にあるかどうかについて異常の検出を行なう。仮に異常が検出された場合は、I/O2 122は、ブロードキャストで全ての宛先(幹細胞を含む各制御系の再生制御部240と入出力回路部260、および各リモートI/Oの入出力制御部310)に対してパケットを送り、制御系2 112の異常情報を送信する。
【0023】
(3)制御対象2 132はI/O2 122に対し、必要に応じて、フィードバックのための情報(信号)を返す。ここで、I/O2 122の作用に関しては以下の(a)(b)2つの場合を考える。
(a)I/O2 122は、制御系2 112の入出力回路部260宛てに、制御対象2 132からの信号をパケットで送る。
(b)I/O2 122は、ブロードキャストで全ての宛先(各制御系の再生制御部240と入出力回路部260、および各リモートI/Oの入出力制御部310)に対して、制御対象2 132からの信号をパケットで送る。制御系2 112の入出力回路部260は、送信元がI/O2 122のパケットを選択する。
なお、上記の(b)を実行することにより、I/O2 122や制御対象2 132の異常の認識が、制御系2 112以外からも可能となるが、例えば実行速度の面では(a)の方が優れている。従って(a)(b)どちらを採用するかは、システムによって判断するとよい。
(4)制御系2 112の入出力回路部260に渡された信号は、制御系2 112の機能回路部210により処理される。
(5)制御系2 112の機能回路部210により処理された結果の信号は、制御系2 112の入出力回路部260に渡される。
【0024】
上記(1)〜(5)を繰り返すことにより、制御系2 112は、I/O2 122を通じて制御対象2 132とパケットによるデータのやり取りを行ない、制御対象2 132の制御を行なう。
なお、制御系2 112の機能回路部210は、上述したI/O2 122からのフィードバック信号以外にも、各種の入力情報(例えば時間制御、マニュアル制御、その他必要に応じて他の制御対象からの情報など)に従い、制御系2 112の入出力回路部260に信号を渡す。
また、制御システムの実行動作上問題がない場合は、各制御系(幹細胞コンポーネントを含む)の入出力回路部260と再生制御部240の機能を1つの構成要素内に持たせることもできる。
【0025】
<異常検出方法の具体例>
本実施形態では、上述のリモートI/Oによる異常検出の他、次のような異常検出方法をとる。
【0026】
(1)制御系全てが常時動作しているシステムの場合
この場合は、上述のように、各制御系の入出力回路部260はブロードキャストで全ての宛先(各制御系および幹細胞コンポーネントの再生制御部240と入出力回路部260、および各リモートI/Oの入出力制御部310)に対してパケットを送るが、これにより各制御系の再生制御部240は、制御対象以外からの信号についても、その送信元と信号内容を認識する。各制御系の再生制御部240には、全ての制御系からの信号あるいは特定の1個以上の制御系からの信号に対して、その信号の異常(信号が途絶える、あるいは信号パターンに異常が認められる)を認識する異常信号検出部を持たせる。
なお、信号パターンの異常を識別するために、異常信号パターン検出用メモリ部270を持たせる。異常信号パターン検出用メモリ部270は、各制御系に対応する異常信号パターン検出用メモリ(どのような信号パターンを異常と見なすかについてのメモリ)である。このとき、各々の制御系の異常を、他の各制御系(単数または複数)、幹細胞コンポーネント(単数または複数)、のどれかが検出することができるようにする。また、必要に応じて上述の各制御系が制御する制御対象と接続するリモートI/O以外のリモートI/O(単数または複数)によっても検出することができるようにする。これにより、自己以外の各制御系の異常が検出可能となる。
【0027】
このように、システム全体として各制御系の異常を、少なくとも1個以上の自己以外の上記各制御系、幹細胞コンポーネントあるいはリモートI/Oが検出することになる。各制御系の異常をそれらの何個により検出可能とするかは、各制御系やシステムごとに決めることができる。その数が多いほど、故障に対して強いシステムにすることができる。
なお、この異常信号パターン検出用メモリ部270は、回路定義メモリ部220やデータ保存用メモリ部250で代用することも可能である。
【0028】
(2)制御系全ての常時動作が必要でないシステムの場合
この場合は、各制御系からの制御信号が長時間にわたり発生しなくてもそれが異常ではないケースがある。このようなシステムにおいては、各制御系の再生制御部240は、ブロードキャストで全ての宛先(各制御系および幹細胞コンポーネントの再生制御部240と入出力回路部260、および各リモートI/Oの入出力制御部310)に対して、正常動作確認のための信号を、一定時間間隔でパケット送信する。このパケットは当該制御系が正常に機能しうることを他の制御系に認識させるための信号のみを含み、実際の制御のための情報は持たない。なお、時間間隔は、そのシステムが必要とする制御対象やその制御動作時間などに依存し、システムによりケースバイケースで設定する。
上記(1)と同様、各制御系の再生制御部240には、全ての制御系からの信号あるいは特定の(単数あるいは複数の)制御系からの信号に対して、その信号の異常(信号が途絶える、あるいは信号パターンに異常が認められる)を認識する異常信号検出部を持たせる。異常信号パターン検出用メモリ部270についても、上記(1)と同様である。
【0029】
なお、制御系が正常に機能しうることを知らせるパケット信号の送信には、次の(a)(b)2通りの方法があるが、これらも、システムによりケースバイケースで設定する。
(a)単に再生制御部240が定期的に信号パケットを送ることにより、再生制御部240の機能が正常であることを示す方法
(b)再生制御部240が機能回路部210に定期的にテスト信号を与え、当該制御系の機能回路部210の実行動作テストを行ない、機能回路部210が正常であることを再生制御部240が確認した後、正常である旨の信号パケットを送る方法
【0030】
<故障発生時におけるシステム回復の流れの具体例>
次に、システム内のある制御系に異常や故障が発生した場合に、システム回復(再生)に至るまでの具体的な流れを説明する。ここでは、図1において制御系2 112が故障した場合を例として説明する。
(1)制御系2 112に異常が発生した場合、上述の異常検出方法により、その異常はI/O(リモートI/O)2 122および他の単数または複数の制御系(幹細胞コンポーネント1および2を含む)、あるいは必要に応じてI/O2122以外の単数または複数の各リモートI/Oにより検出される。この異常情報は幹細胞コンポーネント1および2(あるいはそれらを含む全ての制御系)に送信される。
本実施形態では、前述のように、各々の制御系の異常を、他の各制御系、幹細胞コンポーネントのどれか(単数または複数)、および各リモートI/Oのどれか(単数または複数)が検出することができるようにしているため、いずれの制御系に異常が発生した場合でも、幹細胞コンポーネントに異常を伝えることができる。また、I/O2 122による異常検出が失敗した場合でも、このような他の制御系や他のI/Oによる異常検出情報から、I/O2 122は制御系2
112の異常を認識できる。
【0031】
(2)ここで、例えば、幹細胞コンポーネントのアドレスが若い順(値が小さい順)に「再生」に参加するというルールをあらかじめ与えておく。この場合、幹細胞コンポーネント1がまず「再生」に参加し、制御系2 112に変化する。
なお、どの幹細胞コンポーネントのアドレスが若いかは、各幹細胞コンポーネントの再生制御部240が互いにパケット信号を送受信することにより、「再生」に参加する前に、あらかじめ各幹細胞コンポーネントが把握している。
(3)上述したように、本実施形態では、制御系2 112の回路定義情報とデータを、(a)幹細胞コンポーネント1が保持している場合もあるが、(b)他の(単数または複数の)制御系のメモリに保存されていることもある。
上記(a)の、幹細胞コンポーネント1が制御系2 112の回路定義情報とデータを回路定義メモリ部220やデータ保存用メモリ部250に保持している場合、後述するように再生制御部240はそれらの情報を保持していることを把握している。そして、制御系2 112に異常が発生した際、幹細胞コンポーネント1はそれらの情報を用いて回路制御部230によって機能回路部210の形成を行なう。
【0032】
また、上記(b)の、他の(単数または複数の)制御系が制御系2 112の回路定義情報とデータを保持している場合、それらの情報を保持している各制御系の再生制御部240は、「自己の回路定義メモリ部220やデータ保存用メモリ部250に、制御系2 112の回路定義情報あるいはデータが保持されている」という情報も持つ。このためのメモリは、再生制御部240に独自に持たせることとするが、回路定義メモリ部220、データ保存用メモリ部250や異常信号パターン検出用メモリ部270で代用してもよい。
そして、制御系2 112に異常が発生した際、幹細胞コンポーネント1の再生制御部240は、各制御系の再生制御部240にアクセスして、制御系2 112の回路定義情報やデータが保持されている制御系を選択し、(あるいは、後述するように、どの制御系が制御系2 112の回路定義情報やデータを有するのかを、幹細胞コンポーネント1の再生制御部240があらかじめ把握していることにより、)該当する他の制御系の再生制御部240を通じて、それらの制御系の回路定義メモリ部220やデータ保存用メモリ部250を参照し、(または、幹細胞コンポーネント1の回路定義メモリ部220やデータ保存用メモリ部250にその内容をあらかじめコピーした後、それらを用いて、)回路制御部230によって機能回路部210の形成を行なう。
【0033】
なお、上記の「再生」を実現するために、各幹細胞コンポーネントおよび各制御系の再生制御部240は「自己の回路定義メモリ部220やデータ保存用メモリ部250にどの制御系の回路定義情報あるいはデータ情報が保持されているか」についての情報を持つ。この「どの制御系の回路定義情報あるいはデータに関する情報を持つか」について、各幹細胞コンポーネントおよび各制御系の再生制御部240は、他の各幹細胞コンポーネントの(あるいは各制御系も含め、その)全ての再生制御部240に対して、定期的に、あるいは自己がどの制御系の回路定義情報あるいはデータに関する情報を持つかについて変更があった場合などに随時、パケット送信することとしてもよい。
これにより、各幹細胞コンポーネントの(あるいは各制御系も含め、その)全ての再生制御部240は、常に、どの幹細胞コンポーネントあるいは制御系から各制御系の再生に必要な情報を読み出したらよいのかをあらかじめ把握することが可能となる。
【0034】
(4)このように、制御系2 112と同様の機能回路部210およびデータを獲得した幹細胞コンポーネント1は、ブロードキャストで全ての宛先(各制御系の再生制御部240と入出力回路部260、および各リモートI/Oの入出力制御部310)に対してパケットを送る。前述したように、このパケットはI/O2 122に信号を与える目的のほか、他の制御系等による異常信号の検出に利用される。
【0035】
(5)一方、I/O2 122は、制御系2 112が異常になったという情報を得た後、対応すべき入力信号の送信元のアドレスを、もとの制御系2 112から幹細胞コンポーネント1に変更し、また、制御対象2 132からの信号をパケット送信する宛先を、幹細胞コンポーネント1の入出力回路部260に変更する(前述の<制御方法の具体例>の(3)(a)の方法を用いた場合)。もしくは、全ての宛先(各制御系の再生制御部240と入出力回路部260、および各リモートI/Oの入出力制御部310)に対してパケットを送る(前述の<制御方法の具体例>の(3)(b)の方法を用いた場合)。
(6)また、幹細胞コンポーネント1は、制御系2 112が異常になったという情報を得た後、入出力回路部260が対応すべき入力信号パケットの送信元アドレスを、I/O2 122からのものと設定する。
以上(1)〜(6)により、幹細胞コンポーネント1が完全に、故障した制御系2 112と置き換わることにより、システムの再生を行なう。
【0036】
<ネットワークの接続様式の例>
本実施形態のシステムのネットワーク構成は、上述したように、図1に示す他にも様々な様式が考えられる。また、制御系、幹細胞コンポーネントおよびリモートI/Oなどの数も、図1に限られるものではない。
以降、ネットワーク接続様式の他の例を、図4〜図7を用いて紹介する。なお、ここに挙げる接続様式も例示であり、さらに他の様式も考えられる。
【0037】
図4〜図6は、図1と同じく、4つの制御対象に対して4つの制御系がリモートI/Oを介して接続してあり、幹細胞コンポーネントの数は2つである。しかし、図1と比較してネットワーク構成が増強されており、ネットワークの回線そのものに(複数の)支障や破壊があった場合においても、システムの復旧(再生)を行なうことが可能となる。すなわち、ネットワーク接続の障害に対する信頼性を向上することができる。例えば、図4に示すネットワーク構成の場合、図1と比べ、各制御系と各々の制御対象との間のネットワークが切断された場合にも、システムを復旧することができる。
また、図7は、図1と同じネットワーク構成であるが、ネットワークを構成する制御系や制御対象の数が異なる例である。図7のネットワークでは、制御系の数は制御系1 111〜制御系5 115まで5つである。また、制御系4 114は、I/O4a 124aを介して制御対象4a 134aを、I/O4b124bを介して制御対象4b 134bを制御している。このように、本実施形態においては制御系、リモートI/O、制御対象の数に特に制限はない。また、幹細胞コンポーネントの数にも制限はないが、数が多いほど、故障に対して強いシステムにすることができる。
実際どのネットワーク構成を採用するか、あるいは、制御系、幹細胞コンポーネントおよびリモートI/Oなどの数は、システムの目的や必要性、コストとのバランス等により、個々のシステムごとに決めることができる。
なお、上述では、制御系の機能回路部として、FPGAを用いた場合で説明したが、プロセッサとプログラムにより、機能回路部を構成することもできる。この場合、機能回路部を構成する情報として、プログラムが用いられる。
【0038】
【発明の効果】
本発明では、多数の制御系の組み合わせで全体の機能が実現されているシステムにおいて、個々の各制御系が故障したり破壊された場合、当該故障制御系が自動的に自己修復する機構をシステム全体に加えている。特に、システム内のどのような制御系に機能不全が生じた場合においても自己修復を可能としている。
これにより、制御系システム全体において「この機能部分が故障したり破壊された場合は自己修復が不可能となる」という状況を回避し、システムの信頼性を向上することができる。
また、本発明で提案する基本的な原理は、多くの実際的な制御システムにおいて活用することが可能で、例えば、各種プラントの制御、工場等のプロセス系の制御をはじめ、今後発展が予想されるネットワーク家電分野での活用も可能である。ネットワーク家電分野での活用例としては、ネットワークで接続された家電のうちある特定の家電の制御基盤が故障した場合に、瞬時に自動的に自己復旧する機能を付加することが可能となる。
また、本発明の方法は、制御システムの故障を想定した場合にとどまらず、人為的なシステムの破壊が行なわれた場合のシステムの自動復旧方法としても有効である。具体的には、テロ等により大規模システムの一部が破壊された場合、本発明の方法を使うことで自動復旧が可能となる。
【図面の簡単な説明】
【図1】本実施形態のシステム構成の例である。
【図2】制御系および幹細胞コンポーネントの内部構成要素の例である。
【図3】リモートI/Oの内部構成要素の例である。
【図4】本実施形態のネットワーク接続様式の例である。
【図5】本実施形態のネットワーク接続様式の例である。
【図6】本実施形態のネットワーク接続様式の例である。
【図7】本実施形態のネットワーク接続様式の例である。[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to improving the reliability of a distributed control system in which the entire function is realized by a combination of a plurality of control systems.
[0002]
[Technical background]
In a system in which the entire function is realized by a combination of a large number of control systems (for example, a sequence control system, etc.), conventionally, when measures are taken by multiplexing the system in order to improve the reliability of the system (for example, water supply and Public facilities plant). However, in a general manufacturing system or the like, it is rare that all control systems are multiplexed due to a cost problem or the like. Therefore, when a failure occurs in each control system, it is necessary to individually deal with the restoration of each control system.
Further, a system has been developed which automatically detects which control system has an abnormality and automatically repairs the system. For example,
The functional device according to the invention of
[0003]
[Patent Document 1]
JP-A-9-62528
[Patent Document 2]
JP-A-10-92943
[0004]
[Problems to be solved by the invention]
However, even if the conventional technique of
[0005]
[Means for Solving the Problems]
In order to solve the above-mentioned problems, the present invention provides a plurality of control systems including at least one stem cell operating as a backup control system, which are connected to each other via a network, and a control system controlled by each of the control systems. An automatic restoration distributed control system comprising a remote I / O for connecting a target and a control system, wherein the remote I / O can be connected to any of the control systems, and , An input / output means for transmitting a control signal from the control system and a feedback from the control object, and an abnormality detection means for detecting an abnormality of the control system controlling the control object via at least the remote I / O The control system controls the control target via the remote I / O; an abnormality detection unit that detects abnormality of at least one of the control systems; A reproducing means for causing the control system to detect an abnormality in the control system as a whole, either in the remote I / O or the control system, and when the remote I / O or the control system detects an abnormality in the control system. The detected remote I / O or the control system notifies the stem cell and the remote I / O connected to the control system in which the abnormality has been detected, and the control means of the notified stem cell uses a reproducing means. It is the same as the control means of the abnormal control system, wherein the input / output means of the remote I / O which has received the notification stops the connection with the abnormal control system and connects with the notified stem cell. It is an automatic restoration distributed control system.
Further, the remote I / O and the control system have a memory storing a signal pattern from the control system, and the abnormality detection means of the control system and the remote I / O transmits the control signal to the controller. An abnormality of the control system may be detected by comparing the signal pattern with a signal pattern stored in the memory.
The stem cell further has a memory storing information of all control systems, and the reproducing means of the stem cells obtains, from the memory, information of the control system in which an abnormality is detected by the abnormality detecting means. However, the control means may have the same function as the control means of the abnormality control system.
The control system further includes a memory storing information of at least one control system other than the self, and the memory of the control system stores information of all control systems as a whole, Wherein the reproducing means obtains, from the memory of the control system, information of the control system in which the abnormality is detected by the abnormality detecting means, and has its own control means having the same function as the control means of the abnormality control system. May be characterized. At this time, the reproducing means of the control system further transmits, to at least one control system other than its own, information to be used as its own control means to another control system, and receives the information of the received control system. The reproducing means may store the information in a memory storing information of the control system. Further, the reproduction means of the control system may periodically transmit information to be used as its own control means to another control system.
[0006]
BEST MODE FOR CARRYING OUT THE INVENTION
The present invention has the following features in order to solve the above-described problems of the related art. First, in an engineering system in which the whole function is realized by a combination of multiple control systems, when a certain control system fails, it is seen in the process of regenerating organisms to reproduce the function of the failed control system. What is equivalent to "stem cells" is introduced as a reserve for the control system. In other words, one or more “electrical circuit boards (boards) having stem cell properties” (hereinafter referred to as “stem cell components”), which usually do not have any specific characteristics (functions), are added to the system in advance through a network. If the respective control systems fail, a mechanism for automatically changing the stem cell component to the failed control system (hereinafter referred to as “regeneration”) is constructed. Thereby, the function of the whole system can be maintained.
Hereinafter, an embodiment of the automatic restoration distributed control system of the present invention will be described in detail with reference to the drawings.
[0007]
<System configuration>
First, the system configuration of the present embodiment will be described. In the system of this embodiment, all control targets are controlled by each control system via a network and a remote I / O (hereinafter, also simply referred to as “I / O”). The control systems (including the stem cell component) are also connected to each other via a network such as Ethernet (registered trademark).
FIG. 1 shows an example of a network connection mode. FIG. 1 shows an example of the connection mode, and other various cases are conceivable. Other examples will be described later.
[0008]
In FIG. 1, a
Here, the connection between each I / O and each control system is shown as a connection between the
Similarly to the control system, the
[0009]
On the other hand, in FIG. 1, the
[0010]
As described above, the internal components of the control system, stem cell components, and remote I / O are shown in FIGS. Next, each internal component will be described with reference to these drawings.
[0011]
<Internal configuration of control system, stem cell component and remote I / O>
The control system and stem cell components consist of internal components as shown in FIG. Note that the components shown in FIG. 2 are merely examples, and other variations are also possible.
Inside each control system (including the stem cell component) 200, the
The
The
Further, as described later, each control system (including the stem cell component) transmits circuit definition information and data of a control system other than itself to the circuit
The
[0012]
The data
The input /
The abnormal signal pattern
In the present embodiment, “abnormality of the control system” includes all cases where any one of these functions in the control system becomes abnormal. In other words, if there is any abnormality in any part of the control circuit board, which is a functional unit, the abnormality is detected and processed as a control function abnormality.
Note that a large-capacity storage medium such as a hard disk may be used for the circuit
[0013]
On the other hand, the remote I / O includes internal components as shown in FIG.
Inside the remote I /
The specific role of these components in the system of the present embodiment will be described later in detail.
[0014]
In the system of the present embodiment, each control system, stem cell component, and remote I / O always transmit packets to each other using the above-described network. As a result, it is possible to constantly monitor each other's state.
This constant monitor is configured so that any one (including a plurality) of other control systems, stem cell components, and remote I / Os can detect an abnormality of a certain control system. Further, an abnormality of an output signal for controlling each control system by each control system can be detected even when there is no output. That is, even if any of the functions performed by each control system becomes abnormal, the abnormality is detected.
[0015]
The stem cell component obtains information on the abnormality detected in this manner, gives the information to the remote I / O corresponding to the control system in which the abnormality is detected, and sends the information to the remote I / O from the abnormality control system. Of the control system to realize the same control function as that of the failure control system by using the FPGA as described later. Perform "reproduction" to control.
The following (method 1) to (method 4) show a method of constructing a control circuit for performing "regeneration" by the stem cell component.
[0016]
<How to build a control circuit>
(Method 1)
As the simplest method, the circuit
However, depending on the type of the function of the control system, it may be necessary to store changing data in the data
However, for example, when the circuit
Assuming such a case, the following methods (method 2) to (method 4) can be employed.
[0017]
(Method 2)
The control system n always transfers the contents of the data
As a result, unless the control system n and the control system n + 1 fail simultaneously at the same time, if the control system n becomes abnormal, the stem cell component refers to the memory of the control system n + 1 to have the function of the control system n. And the function can be restored.
Of course, in order to realize this, roughly speaking, each control system requires twice the amount of memory (M) of the control system that requires the maximum amount of memory, which is necessary for the entire system. The maximum memory capacity is 2M × N (N is the number of control systems). However, as in the above (method 1), an M × N memory is temporarily mounted on the stem cell component, and the amount of memory can be reduced compared to preparing a plurality of stem cell components in advance.
[0018]
(Method 3)
In the above (method 2), the
[0019]
(Method 4)
In order to save the memory of the entire system, the
In this method, each control system is not restricted by the rule of number as described in n above, and each control system has a data for reconstructing a self-control system with respect to another (single or plural) control systems. To transfer. In addition, each control system and stem cell component uses the
By utilizing such dynamic memory allocation, for example, when only two specific control systems require a large amount of memory (M) and other control systems do not require much memory, for example, In (method 1), the stem cell component and any two other control systems (including other stem cell components among a plurality) may have M amount of memory (or if the above data division is performed, Any other two control systems forming the group for transferring the divided data need only have a total memory amount of M in each group.) It is possible to further reduce.
[0020]
In this way, each control system transfers information for forming its own control system to another (single or plural) control system and holds it. At this time, as described above, information (single or plural) of all the control systems in the entire system is held in any control system other than the own. In the above-mentioned (method 2) to (method 4), it is necessary for each control system to know which control system the self holds, and as described above, the reproduction of each control system is performed. The
When a certain control system malfunctions or is destroyed, the stem cell component refers to the stored information and changes (regenerates) to a component having the function of the control system. To recover.
[0021]
Hereinafter, a method in which the control system controls the control target, a method of detecting an abnormality in the control system, and a flow of system recovery when an abnormality occurs in the system of the present embodiment will be specifically described using the system configuration shown in FIG. 1 as an example.
[0022]
<Specific example of control method>
First, a specific example of a control method will be described with reference to FIG. 1 as an example of a process in which the
In the present embodiment, it is assumed that data (signal) is exchanged by packets using, for example, a technique using Fast Ethernet and UDP / IP. The technology using the Fast Ethernet and the UDP / IP is a conventional technology. For example, Yasutaka Fujimoto and Takashi Sekiguchi "Fault-tolerant control by distributed programmable controllers" (Proceedings of the 2001 IEEJ Electronics, Information and Systems Conference) It is shown in I).
(1) The input /
(2) The I /
[0023]
(3) The
(A) The I /
(B) The I /
Note that by executing the above (b), it is possible to recognize the abnormality of the I /
(4) The signal passed to the input /
(5) The signal processed by the
[0024]
By repeating the above (1) to (5), the
In addition, the
In addition, when there is no problem in the execution operation of the control system, the functions of the input /
[0025]
<Specific example of abnormality detection method>
In the present embodiment, in addition to the above-described abnormality detection by the remote I / O, the following abnormality detection method is employed.
[0026]
(1) In the case of a system in which all control systems are constantly operating
In this case, as described above, the input /
Note that an abnormal signal pattern
[0027]
In this way, at least one or more of the above-described control systems, stem cell components, or remote I / Os other than the control system detect an abnormality in each control system as a whole system. How many of them can detect an abnormality in each control system can be determined for each control system or system. The larger the number, the more resistant the system to failure.
The abnormal signal pattern
[0028]
(2) For a system that does not require constant operation of all control systems
In this case, even if the control signal from each control system is not generated for a long time, it may not be abnormal. In such a system, the
As in the case of (1) above, the
[0029]
Note that there are the following two methods (a) and (b) for transmitting a packet signal indicating that the control system can function normally. These methods are also set on a case-by-case basis by the system.
(A) A method of indicating that the function of the
(B) The
[0030]
<Specific example of system recovery flow when a failure occurs>
Next, a specific flow up to system recovery (regeneration) when an abnormality or failure occurs in a certain control system in the system will be described. Here, a case where the
(1) When an abnormality occurs in the
In the present embodiment, as described above, the abnormality of each control system is determined by determining whether each of the other control systems, one of the stem cell components (one or more), and one of the remote I / Os (one or more). Since the detection can be performed, the abnormality can be transmitted to the stem cell component even if an abnormality occurs in any control system. Further, even when the abnormality detection by the I /
112 can be recognized.
[0031]
(2) Here, for example, a rule is given in advance that the address of the stem cell component participates in the “reproduction” in ascending order (lower values). In this case, the
It should be noted that each stem cell component knows in advance which stem cell component has the lower address before participating in “reproduction” by transmitting and receiving packet signals between the
(3) As described above, in the present embodiment, the circuit definition information and data of the control system 2112 may be held by the
In the case of (a) above, when the
[0032]
When the other (single or plural) control systems of (b) hold the circuit definition information and the data of the control system 2112, the reproduction control of each control system holding those information is performed. The
Then, when an abnormality occurs in the
[0033]
In order to realize the above-mentioned “reproduction”, the
Accordingly, all the
[0034]
(4) As described above, the
[0035]
(5) On the other hand, after obtaining information that the
(6) Also, after obtaining the information that the
As described above (1) to (6), the system is regenerated by completely replacing the failed control system 2112 with the
[0036]
<Example of network connection style>
As described above, various forms of the network configuration of the system according to the present embodiment can be considered in addition to the configuration illustrated in FIG. Further, the numbers of control systems, stem cell components, remote I / Os, and the like are not limited to those in FIG.
Hereinafter, other examples of the network connection mode will be introduced with reference to FIGS. Note that the connection modes listed here are also examples, and other modes are also conceivable.
[0037]
4 to 6, as in FIG. 1, four control systems are connected to four control targets via remote I / O, and the number of stem cell components is two. However, the network configuration is strengthened as compared with FIG. 1, and the system can be restored (reproduced) even when there is a plurality of troubles or breaks in the network line itself. That is, it is possible to improve the reliability with respect to the failure of the network connection. For example, in the case of the network configuration shown in FIG. 4, the system can be restored even when the network between each control system and each control target is disconnected as compared with FIG.
FIG. 7 shows an example in which the network configuration is the same as that in FIG. 1, but the number of control systems and control objects constituting the network is different. In the network of FIG. 7, the number of control systems is five from
The actual network configuration to be adopted, or the number of control systems, stem cell components, remote I / Os, and the like can be determined for each individual system according to the purpose and necessity of the system, balance with cost, and the like.
In the above description, the case where an FPGA is used as the functional circuit unit of the control system has been described. However, the functional circuit unit may be configured by a processor and a program. In this case, a program is used as information constituting the functional circuit unit.
[0038]
【The invention's effect】
According to the present invention, in a system in which the entire function is realized by a combination of a large number of control systems, when each of the individual control systems fails or is destroyed, a system in which the failure control system automatically self-heals is provided. In addition to the whole. In particular, self-healing is enabled even if a malfunction occurs in any control system in the system.
As a result, it is possible to avoid a situation in which the self-repair is impossible if the functional part is broken down or destroyed in the entire control system, thereby improving the reliability of the system.
Further, the basic principle proposed in the present invention can be utilized in many practical control systems. For example, control of various plants, control of process systems such as factories, etc., are expected to develop in the future. It can also be used in the field of network home appliances. As an example of application in the field of network home appliances, it is possible to add a function of automatically and automatically recovering automatically when a control base of a specific home appliance out of home appliances connected via a network breaks down.
Further, the method of the present invention is effective not only when a control system failure is assumed, but also as a system automatic recovery method when an artificial system is destroyed. Specifically, when a part of a large-scale system is destroyed due to terrorism or the like, the method of the present invention enables automatic recovery.
[Brief description of the drawings]
FIG. 1 is an example of a system configuration according to an embodiment.
FIG. 2 is an example of internal components of a control system and a stem cell component.
FIG. 3 is an example of internal components of a remote I / O.
FIG. 4 is an example of a network connection mode according to the embodiment.
FIG. 5 is an example of a network connection mode according to the embodiment;
FIG. 6 is an example of a network connection mode according to the embodiment;
FIG. 7 is an example of a network connection mode according to the embodiment;
Claims (6)
前記リモートI/Oは、前記制御系のいずれとも接続でき、前記制御系と制御対象との間で、制御系からの制御信号および制御対象からのフィードバック伝達を行なう入出力手段と、少なくとも該リモートI/Oを介して制御対象を制御している制御系の異常を検知する異常検知手段を有し、
前記制御系は、前記リモートI/Oを介して前記制御対象を制御する制御手段と、少なくとも1つの前記制御系の異常を検知する異常検知手段と、該制御手段を変化させる再生手段とを有し、
前記制御系の異常は、全体としてリモートI/O又は制御系のいずれかで検出され、前記リモートI/O又は前記制御系で前記制御系の異常を検知した場合、検知した前記リモートI/O又は前記制御系は、前記幹細胞および異常が検知された制御系と接続しているリモートI/Oに通知し、通知を受けた幹細胞の制御手段は、再生手段により該異常制御系の制御手段と同様になり、通知を受けたリモートI/Oの入出力手段は該異常制御系との接続を停止して、通知を受けた幹細胞と接続することを特徴とする自動修復分散制御システム。A plurality of control systems including at least one stem cell operating as a spare control system connected to each other by a network, and a remote I / O connecting a control target controlled by each control system and the control system; An automatic restoration distributed control system comprising:
The remote I / O can be connected to any of the control systems, and has input / output means for transmitting a control signal from the control system and a feedback transmission from the control object between the control system and the control object; An abnormality detecting means for detecting an abnormality of a control system controlling the control object via the I / O,
The control system includes a control unit that controls the control target via the remote I / O, an abnormality detection unit that detects an abnormality of at least one of the control systems, and a reproduction unit that changes the control unit. And
The abnormality of the control system is detected by either the remote I / O or the control system as a whole, and when the remote I / O or the control system detects the abnormality of the control system, the detected remote I / O is detected. Alternatively, the control system notifies the remote I / O connected to the stem cell and the control system in which the abnormality has been detected, and the control means of the notified stem cell uses the control means of the abnormality control system by a reproducing means. Similarly, the input / output means of the remote I / O that has received the notification stops the connection with the abnormal control system, and connects to the notified stem cell, thereby providing an automatic restoration distributed control system.
前記リモートI/O及び前記制御系は、前記制御系からの信号パターンを格納したメモリを有しており、
前記制御系及び前記リモートI/Oの前記異常検知手段は、前記制御信号を前記メモリに格納している信号パターンと照合することにより、前記制御系の異常を検知する
ことを特徴とする自動修復分散制御システム。The automatic restoration distributed control system according to claim 1,
The remote I / O and the control system have a memory storing a signal pattern from the control system,
The abnormality detection means of the control system and the remote I / O detects an abnormality of the control system by comparing the control signal with a signal pattern stored in the memory. Distributed control system.
前記幹細胞は、さらに、全ての制御系の情報を格納したメモリを有しており、
前記幹細胞の前記再生手段は、前記異常検知手段により異常が検知された制御系の情報を、前記メモリから取得し、自身の制御手段を該異常制御系の制御手段と同様の機能とする
ことを特徴とする自動修復分散制御システム。In the automatic restoration distributed control system according to claim 1 or 2,
The stem cells further have a memory storing information of all control systems,
The regenerating means of the stem cell acquires information of a control system in which an abnormality is detected by the abnormality detecting means from the memory, and has its own control means having the same function as the control means of the abnormality control system. Automatic restoration decentralized control system characterized.
前記制御系は、さらに、自己以外の少なくとも1つの制御系の情報を格納したメモリを有しており、
前記制御系のメモリは、全体として全ての制御系の情報を格納しており、
前記幹細胞の前記再生手段は、前記異常検知手段により異常が検知された制御系の情報を、前記制御系のメモリから取得し、自身の制御手段を該異常制御系の制御手段と同様の機能とする
ことを特徴とする自動修復分散制御システム。In the automatic restoration distributed control system according to claim 1 or 2,
The control system further includes a memory storing information of at least one control system other than the control system,
The memory of the control system stores information of all control systems as a whole,
The regenerating means of the stem cell acquires information of a control system in which an abnormality is detected by the abnormality detecting means from a memory of the control system, and has its own control means having the same function as the control means of the abnormal control system. An automatic restoration distributed control system characterized in that:
前記制御系の前記再生手段は、さらに、自己以外の少なくとも1つの制御系に対して、自己の制御手段とする情報を他の制御系に対して送信し、
受信した制御系の前記再生手段は、該情報を前記制御系の情報を格納したメモリに格納する
ことを特徴とする自動修復分散制御システム。The automatic restoration distributed control system according to claim 4,
The reproducing means of the control system further transmits, to at least one control system other than the self, information to be used as the self control means to another control system,
The automatic restoration / distribution control system according to claim 1, wherein the reproduction means of the control system receives the information and stores the information in a memory storing the information of the control system.
前記制御系の前記再生手段は、自己の制御手段とする情報を他の制御系に対して、定期的に送信する
ことを特徴とする自動修復分散制御システム。The automatic restoration distributed control system according to claim 5,
The automatic restoration decentralized control system, wherein the reproduction means of the control system periodically transmits information to be used as its own control means to another control system.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003135013A JP4138573B2 (en) | 2003-05-13 | 2003-05-13 | Automatic restoration distributed control system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003135013A JP4138573B2 (en) | 2003-05-13 | 2003-05-13 | Automatic restoration distributed control system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2004341645A true JP2004341645A (en) | 2004-12-02 |
JP4138573B2 JP4138573B2 (en) | 2008-08-27 |
Family
ID=33525414
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003135013A Expired - Fee Related JP4138573B2 (en) | 2003-05-13 | 2003-05-13 | Automatic restoration distributed control system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4138573B2 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014003364A (en) * | 2012-06-15 | 2014-01-09 | Toshiba Corp | Communication device and communication method |
CN110139923A (en) * | 2016-12-29 | 2019-08-16 | 通用电气公司 | The fault recovery of biological reactor for cell culture |
-
2003
- 2003-05-13 JP JP2003135013A patent/JP4138573B2/en not_active Expired - Fee Related
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014003364A (en) * | 2012-06-15 | 2014-01-09 | Toshiba Corp | Communication device and communication method |
CN110139923A (en) * | 2016-12-29 | 2019-08-16 | 通用电气公司 | The fault recovery of biological reactor for cell culture |
US11525112B2 (en) | 2016-12-29 | 2022-12-13 | Global Life Sciences Solutions Usa Llc | Failure recovery in cell culture bioreactors |
Also Published As
Publication number | Publication date |
---|---|
JP4138573B2 (en) | 2008-08-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4437984B2 (en) | Network relay device and control method thereof | |
CN105607590B (en) | Method and apparatus to provide redundancy in a process control system | |
US7284067B2 (en) | Method for integrated load balancing among peer servers | |
CN101588304B (en) | Implementation method of VRRP and device | |
CN102355369B (en) | Virtual clustered system as well as processing method and processing device thereof | |
US11575769B2 (en) | Redundancy in a network centric process control system | |
US9218230B2 (en) | Method for transmitting messages in a redundantly operable industrial communication network and communication device for the redundantly operable industrial communication network | |
CN102394787A (en) | Dual-link redundancy control method based on EPA switch | |
CN109104348B (en) | Train network data transmission method, system and device based on CANopen protocol | |
JP2004062535A (en) | Method of dealing with failure for multiprocessor system, multiprocessor system and node | |
JP2010541413A (en) | Network conflict prevention apparatus and network conflict prevention method | |
JP2005209190A (en) | Reporting of multi-state status for high-availability cluster node | |
TW201517568A (en) | Server operation system and operation method thereof | |
JP2006014310A (en) | Method and apparatus for providing redundant connection services | |
CN101371524B (en) | Packet ring network system, packet transfer system, redundancy node, and packet transfer program | |
CN112601216B (en) | Zigbee-based trusted platform alarm method and system | |
CN105790825A (en) | Method and apparatus for carrying out hot backup on controllers in distributed protection | |
CN102244589B (en) | Method and opposite terminal apparatus for processing link fault in virtual switch unit system | |
CN102932249B (en) | A kind of transmission method of VRRP message and device | |
JP2012138888A (en) | Information processing device and information processing method | |
EP2069934A2 (en) | Fault-tolerant medium access control (mac) address assignment in network elements | |
KR101574900B1 (en) | Control system for steel plant | |
CN104125079A (en) | Method and device for determining double-device hot-backup configuration information | |
JP4138573B2 (en) | Automatic restoration distributed control system | |
CN103888310A (en) | Monitor processing method and system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050121 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070525 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070626 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070823 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20071211 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080208 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080603 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080605 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110613 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |