JP2006236301A - データ通信方法及び安全システム - Google Patents
データ通信方法及び安全システム Download PDFInfo
- Publication number
- JP2006236301A JP2006236301A JP2005104528A JP2005104528A JP2006236301A JP 2006236301 A JP2006236301 A JP 2006236301A JP 2005104528 A JP2005104528 A JP 2005104528A JP 2005104528 A JP2005104528 A JP 2005104528A JP 2006236301 A JP2006236301 A JP 2006236301A
- Authority
- JP
- Japan
- Prior art keywords
- input
- data
- controller
- safety
- output
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】 異常検出率の高いデータ通信方法を実現する。
【解決手段】 安全システムに適用されるデータ通信方法に関し、特にコントローラと入出力モジュール間のデータ通信方法に関するものである。
入力モジュールとコントローラ間のデータ通信方法において、入力モジュールで、データの安全性を確認するための安全コードを入力データに付加した入力データフレームを生成する工程と、コントローラで、入力モジュールから受信した入力データフレームを記憶手段上に展開し、記憶手段上の安全コードをチェックする工程を含むようにした。
【選択図】 図1
【解決手段】 安全システムに適用されるデータ通信方法に関し、特にコントローラと入出力モジュール間のデータ通信方法に関するものである。
入力モジュールとコントローラ間のデータ通信方法において、入力モジュールで、データの安全性を確認するための安全コードを入力データに付加した入力データフレームを生成する工程と、コントローラで、入力モジュールから受信した入力データフレームを記憶手段上に展開し、記憶手段上の安全コードをチェックする工程を含むようにした。
【選択図】 図1
Description
本発明は、安全システムに適用されるデータ通信方法及び安全システムに関し、特にコントローラと入出力モジュール間のデータ通信方法及びコントローラと入出力モジュール間でデータ通信を行う安全システムに関するものである。
プラントに配置されたフィールド機器を管理、制御するプラント制御システムが知られている。また、このようなプラントでは、プラントの安全を図るための安全システムが導入される。安全システムは、有毒薬品の溢流、爆発などの如き深刻な災害になるおそれのある問題が発生した場合、プラント内の安全に関する重要な問題を検出し、バルブ閉鎖、フィールド機器電力の切断、プラント内のフローの切換えなどを実行するシステムであり、プラント制御システムの一部として、或いは、プラント制御システムとは独立して設けられる。
安全システムのコントローラは、プラント内に配置された個別のバスまたは通信回線を利用して安全フィールド機器に入出力モジュールを介して接続されている。コントローラは、重要なイベントに関連するプロセス状態を検出するために安全フィールド機器を利用し、それにより、プラント内における「イベント」を検出する。イベントが検出されると、コントローラは、そのイベントの有害な影響を抑制するために、バルブの閉鎖などのアクションを取る。
従来のプラント制御システムにおけるコントローラと入出力モジュールとの通信の構成を示したものとして、例えば特許文献1に記載されたものがあった。
安全システムには、その意図する機能から極めて高度の信頼性を要求される。例えば、異常が発生したにも関わらずシステムが安全だと認識し、或いは、誤った情報を通知するような事態は回避しなければならない。また、異常が明らかには認識できないが、異常の可能性が示される場合には安全サイドの処理を選択する必要がある。
そのため、安全システムに適用されるデータ通信においては、想定される通信の異常(Repetition,Deletion,Insertion,Re-sequence,Corruption,Delay,Masquerade)を全て検出することができることが重要である。
本発明は上述した問題点を解決するためになされたものであり、異常検出率の高いデータ通信方法及び安全システムを実現することを目的とする。
このような課題を達成するために、本発明は次のとおりの構成になっている。
(1)入力モジュールとコントローラ間のデータ通信方法において、
前記入力モジュールで、データの安全性を確認するための安全コードを入力データに付加した入力データフレームを生成する工程と、
前記コントローラで、前記入力モジュールから受信した前記入力データフレームを記憶手段上に展開し、該記憶手段上の前記安全コードをチェックする工程を含むことを特徴とするデータ通信方法。
(1)入力モジュールとコントローラ間のデータ通信方法において、
前記入力モジュールで、データの安全性を確認するための安全コードを入力データに付加した入力データフレームを生成する工程と、
前記コントローラで、前記入力モジュールから受信した前記入力データフレームを記憶手段上に展開し、該記憶手段上の前記安全コードをチェックする工程を含むことを特徴とするデータ通信方法。
(2)出力モジュールとコントローラ間のデータ通信方法において、
前記コントローラで、データの安全性を確認するための安全コードを出力データに付加した出力データフレームを生成する工程と、
前記出力モジュールで、前記コントローラから受信した前記出力データフレームを記憶手段上に展開し、該記憶手段上の前記安全コードをチェックする工程を含むことを特徴とするデータ通信方法。
前記コントローラで、データの安全性を確認するための安全コードを出力データに付加した出力データフレームを生成する工程と、
前記出力モジュールで、前記コントローラから受信した前記出力データフレームを記憶手段上に展開し、該記憶手段上の前記安全コードをチェックする工程を含むことを特徴とするデータ通信方法。
(3)入出力モジュールとコントローラ間のデータ通信方法において、
前記入力モジュールで、データの安全性を確認するための安全コードを入力データに付加した入力データフレームを生成する工程と、
前記コントローラで、前記入力モジュールから受信した前記入力データフレームを記憶手段上に展開し、該記憶手段上の前記安全コードをチェックする工程を含み、
前記コントローラで、出力データの安全性を確認するための安全コードを出力データに付加した出力データフレームを生成する工程と、
前記出力モジュールで、前記コントローラから受信した前記出力データフレームを記憶手段上に展開し、該記憶手段上の前記安全コードをチェックする工程を含むことを特徴とするデータ通信方法。
前記入力モジュールで、データの安全性を確認するための安全コードを入力データに付加した入力データフレームを生成する工程と、
前記コントローラで、前記入力モジュールから受信した前記入力データフレームを記憶手段上に展開し、該記憶手段上の前記安全コードをチェックする工程を含み、
前記コントローラで、出力データの安全性を確認するための安全コードを出力データに付加した出力データフレームを生成する工程と、
前記出力モジュールで、前記コントローラから受信した前記出力データフレームを記憶手段上に展開し、該記憶手段上の前記安全コードをチェックする工程を含むことを特徴とするデータ通信方法。
(4)前記安全コードは、CRCコードを含むことを特徴とする(1)乃至(3)のいずれかに記載のデータ通信方法。
(5)前記安全コードは、入出力モジュール或いはコントローラの機種を特定するためのデバイスIDを含むことを特徴とする(1)乃至(4)のいずれかに記載のデータ通信方法。
(6)前記安全コードは、入出力データフレームの記憶手段上の格納場所を確認するためのブロックIDを含むことを特徴とする(1)乃至(5)のいずれかに記載のデータ通信方法。
(7)前記安全コードは、データが更新されていることを確認するための更新コードを含むことを特徴とする(1)乃至(6)のいずれかに記載のデータ通信方法。
(8)前記安全コードは、アプリケーションにより決定される入出力モジュールの設定情報のCRC演算値である設定情報CRCコードを含むことを特徴とする(1)乃至(7)のいずれかに記載のデータ通信方法。
(9)前記入出力データは、入出力モジュール毎の一括情報及び入出力モジュールのチャネル毎の個別情報であることを特徴とする(1)乃至(8)のいずれかに記載のデータ通信方法。
(10)入出力モジュールとコントローラ間のデータ通信方法において、
データ送信側で、データの安全性を確認するための安全コードをデータに付加し、前記安全コード付データを分割して順番に送信する工程と、
データ受信側で、分割された前記安全コード付データを受信順に記憶手段上に展開して構築し、該記憶手段上の前記安全コードをチェックする工程を含むことを特徴とするデータ通信方法。
データ送信側で、データの安全性を確認するための安全コードをデータに付加し、前記安全コード付データを分割して順番に送信する工程と、
データ受信側で、分割された前記安全コード付データを受信順に記憶手段上に展開して構築し、該記憶手段上の前記安全コードをチェックする工程を含むことを特徴とするデータ通信方法。
(11)前記安全コードは、CRCコードを含むことを特徴とする(10)記載のデータ通信方法。
(12)プラントからの信号を入力する入力モジュールとコントローラ間でデータ通信を行い、プラントの安全を図る安全システムにおいて、
前記入力モジュールは、データの安全性を確認するための安全コードを入力データに付加した入力データフレームを生成する入力データフレーム生成手段を有し、
前記コントローラは、前記入力モジュールから受信した前記入力データフレームを展開する記憶手段と、
該記憶手段上の前記安全コードをチェックする安全コードチェック手段とを有することを特徴とする安全システム。
前記入力モジュールは、データの安全性を確認するための安全コードを入力データに付加した入力データフレームを生成する入力データフレーム生成手段を有し、
前記コントローラは、前記入力モジュールから受信した前記入力データフレームを展開する記憶手段と、
該記憶手段上の前記安全コードをチェックする安全コードチェック手段とを有することを特徴とする安全システム。
(13)プラントへ信号を出力する出力モジュールとコントローラ間でデータ通信を行い、プラントの安全を図る安全システムにおいて、
前記コントローラは、データの安全性を確認するための安全コードを出力データに付加した出力データフレームを生成する出力データフレーム生成手段を有し、
前記出力モジュールは、前記コントローラから受信した前記出力データフレームを展開する記憶手段と、
該記憶手段上の前記安全コードをチェックする安全コードチェック手段とを有することを特徴とする安全システム。
前記コントローラは、データの安全性を確認するための安全コードを出力データに付加した出力データフレームを生成する出力データフレーム生成手段を有し、
前記出力モジュールは、前記コントローラから受信した前記出力データフレームを展開する記憶手段と、
該記憶手段上の前記安全コードをチェックする安全コードチェック手段とを有することを特徴とする安全システム。
(14)プラントと信号を授受する入出力モジュールとコントローラ間でデータ通信を行い、プラントの安全を図る安全システムにおいて、
前記入出力モジュールは、データの安全性を確認するための安全コードを入力データに付加した入力データフレームを生成する入力データフレーム生成手段を有し、
前記コントローラは、前記入出力モジュールから受信した前記入力データフレームを展開する記憶手段と、
該記憶手段上の前記安全コードをチェックする安全コードチェック手段とを有するとともに、
前記コントローラは、データの安全性を確認するための安全コードを出力データに付加した出力データフレームを生成する出力データフレーム生成手段を有し、
前記入出力モジュールは、前記コントローラから受信した前記出力データフレームを展開する記憶手段と、
該記憶手段上の前記安全コードをチェックする安全コードチェック手段とを有することを特徴とする安全システム。
前記入出力モジュールは、データの安全性を確認するための安全コードを入力データに付加した入力データフレームを生成する入力データフレーム生成手段を有し、
前記コントローラは、前記入出力モジュールから受信した前記入力データフレームを展開する記憶手段と、
該記憶手段上の前記安全コードをチェックする安全コードチェック手段とを有するとともに、
前記コントローラは、データの安全性を確認するための安全コードを出力データに付加した出力データフレームを生成する出力データフレーム生成手段を有し、
前記入出力モジュールは、前記コントローラから受信した前記出力データフレームを展開する記憶手段と、
該記憶手段上の前記安全コードをチェックする安全コードチェック手段とを有することを特徴とする安全システム。
(15)前記入力データフレームは、前記入出力モジュールのステータス情報を有し、
前記出力データフレームは、前記コントローラのステータス情報を有することを特徴とする(12)乃至(14)のいずれかに記載の安全システム。
前記出力データフレームは、前記コントローラのステータス情報を有することを特徴とする(12)乃至(14)のいずれかに記載の安全システム。
(16)前記入出力モジュールは、該入出力モジュールのステータスと、前記コントローラのステータスを判断するステータス判断手段を有し、
該ステータス判断手段の入力のうち、前記入出力モジュールのステータス入力部をアサートするとともに、前記入力データフレームにて前記入出力モジュールのステータスを前記コントローラに渡す際に、前記ステータス判断手段の入力のうち、前記コントローラのステータス入力部をネゲートしておき、
前記出力データフレームにて前記コントローラのステータスを受け、該ステータスにて前記ステータス判断手段のコントローラのステータス入力部がアサートされたときに前記ステータス判断手段は有効となることを特徴とする(12)乃至(15)のいずれかに記載の安全システム。
該ステータス判断手段の入力のうち、前記入出力モジュールのステータス入力部をアサートするとともに、前記入力データフレームにて前記入出力モジュールのステータスを前記コントローラに渡す際に、前記ステータス判断手段の入力のうち、前記コントローラのステータス入力部をネゲートしておき、
前記出力データフレームにて前記コントローラのステータスを受け、該ステータスにて前記ステータス判断手段のコントローラのステータス入力部がアサートされたときに前記ステータス判断手段は有効となることを特徴とする(12)乃至(15)のいずれかに記載の安全システム。
(17)前記コントローラは、該コントローラのステータスと、前記入出力モジュールのステータスを判断するステータス判断手段を有し、
該ステータス判断手段の入力のうち、前記コントローラのステータス入力部をアサートするとともに、前記出力データフレームにて前記コントローラのステータスを前記入出力モジュールに渡す際に、前記ステータス判断手段の入力のうち、前記入出力モジュールのステータス入力部をネゲートしておき、
前記入力データフレームにて前記入出力モジュールのステータスを受け、該ステータスにて前記ステータス判断手段の入出力モジュールのステータス入力部がアサートされたときに前記ステータス判断手段は有効となることを特徴とする(12)乃至(16)のいずれかに記載の安全システム。
該ステータス判断手段の入力のうち、前記コントローラのステータス入力部をアサートするとともに、前記出力データフレームにて前記コントローラのステータスを前記入出力モジュールに渡す際に、前記ステータス判断手段の入力のうち、前記入出力モジュールのステータス入力部をネゲートしておき、
前記入力データフレームにて前記入出力モジュールのステータスを受け、該ステータスにて前記ステータス判断手段の入出力モジュールのステータス入力部がアサートされたときに前記ステータス判断手段は有効となることを特徴とする(12)乃至(16)のいずれかに記載の安全システム。
(18)前記入出力モジュールは、入出力モジュールのフェイル時に前記記憶手段とは別の記憶手段にあらかじめ設定されているフェイルセーフデータを使用することを特徴とする(12)乃至(17)のいずれかに記載の安全システム。
(19)前記入出力モジュールは、フェイル復帰したことを知らせるフェイル復帰ステータスを前記入力データフレームにて前記コントローラに渡し、
該コントローラは、前記入出力モジュールの起動を要求する起動要求ステータスを前記出力データフレームにて前記入出力モジュールに渡し、
該入出力モジュールは、起動する準備が整ったことを知らせる起動準備完了ステータスを前記入出力データフレームにて前記コントローラに渡し、
該コントローラは、起動を許可する起動許可ステータスを前記出力データフレームにて前記入出力モジュールに渡し、
該入出力モジュールは、フェイルセーフデータを使用しているフェイルセーフ動作から通常動作に切り替えることを特徴とする(12)乃至(18)のいずれかに記載の安全システム。
該コントローラは、前記入出力モジュールの起動を要求する起動要求ステータスを前記出力データフレームにて前記入出力モジュールに渡し、
該入出力モジュールは、起動する準備が整ったことを知らせる起動準備完了ステータスを前記入出力データフレームにて前記コントローラに渡し、
該コントローラは、起動を許可する起動許可ステータスを前記出力データフレームにて前記入出力モジュールに渡し、
該入出力モジュールは、フェイルセーフデータを使用しているフェイルセーフ動作から通常動作に切り替えることを特徴とする(12)乃至(18)のいずれかに記載の安全システム。
本発明によれば次のような効果がある。
入出力モジュール及びコントローラの記憶手段上に展開されたデータフレームの安全コードの内容のチェックを行うことにより異常検出率が高く、信頼性の高いデータ通信方法が安価で実現できる。
また、データフレームの信頼性確保は、入出力モジュール及びコントローラの記憶手段上のデータとしてEND to ENDでチェックすることで実現しているので、データを互いの記憶手段上に転送するまでの処理階層(物理層やデータリンク層)の手段により、通信の異常検出率が影響を受けることはない。
入出力モジュール及びコントローラの記憶手段上に展開されたデータフレームの安全コードの内容のチェックを行うことにより異常検出率が高く、信頼性の高いデータ通信方法が安価で実現できる。
また、データフレームの信頼性確保は、入出力モジュール及びコントローラの記憶手段上のデータとしてEND to ENDでチェックすることで実現しているので、データを互いの記憶手段上に転送するまでの処理階層(物理層やデータリンク層)の手段により、通信の異常検出率が影響を受けることはない。
以下、図面を用いて本発明を詳細に説明する。
図1は本発明の一実施例を示す構成図である。
図1で入出力モジュール10は、フィールド機器1からの信号をディジタルデータに変換しコントローラ20へ伝え、コントローラ20からのディジタルデータをアナログ信号や接点信号に変換してフィールド機器1へ出力する。
ここでは、入力モジュールと出力モジュールが一体となった入出力モジュールとして説明しているが、入力モジュールと出力モジュールが別々の構成の場合も同様である。
図1は本発明の一実施例を示す構成図である。
図1で入出力モジュール10は、フィールド機器1からの信号をディジタルデータに変換しコントローラ20へ伝え、コントローラ20からのディジタルデータをアナログ信号や接点信号に変換してフィールド機器1へ出力する。
ここでは、入力モジュールと出力モジュールが一体となった入出力モジュールとして説明しているが、入力モジュールと出力モジュールが別々の構成の場合も同様である。
入出力モジュール10は、内部通信機能によりコントローラ20とインターフェースを確立しており、入出力モジュール10とコントローラ20はそれぞれ更新したデータを定周期で交換している。この内部通信によって、入出力モジュール10及びコントローラ20で生成された入出力データは、それぞれ入出力モジュール10及びコントローラ20上に実装されるRAM(Random Access Memory)11,21上に入出力データイメージとして展開される。
コントローラ20からは、内部通信機能を使用して入出力モジュール10の任意のRAM領域をアクセス可能であり、入出力モジュール10からは、内部通信機能を使用してコントローラ20の任意のRAM領域をアクセス可能である。
コントローラ20からは、内部通信機能を使用して入出力モジュール10の任意のRAM領域をアクセス可能であり、入出力モジュール10からは、内部通信機能を使用してコントローラ20の任意のRAM領域をアクセス可能である。
入出力データフレーム12,23は入出力データ121,231に安全コード122,232を付加した構成となっている。
入力データ121は入出力モジュール10からコントローラ20への入力情報であり、例えば、フィールドのプロセス量などが格納されている。
出力データ231はコントローラ20から入出力モジュール10への設定値であり、例えば、操作量などが格納されている。
入力データ121は入出力モジュール10からコントローラ20への入力情報であり、例えば、フィールドのプロセス量などが格納されている。
出力データ231はコントローラ20から入出力モジュール10への設定値であり、例えば、操作量などが格納されている。
図2は入出力データのフレーム構成例を示した図である。
入力データフレーム12において、R_CRC122aは入力データフレーム12に対するCRC(Cyclic Redundancy Check)コードであり、入出力モジュール10が生成する。入出力モジュール10はこのR_CRC122a付きのデータである入力データフレーム12を内部通信によりコントローラ20へ送信する。
コントローラ20は受信した入力データフレーム22をRAM21上に展開し、入力データフレーム22に付けられているCRCコードと、コントローラ20側で受信した入力データフレーム22を基に生成したCRCコードとを比較することにより、受信したデータの正当性を確認する。その結果、データが正常の場合に入力データフレーム22の中身を使用する。
これにより、入力データが通信の途中で内容が変更されていないかの検出をすることができる。
入力データフレーム12において、R_CRC122aは入力データフレーム12に対するCRC(Cyclic Redundancy Check)コードであり、入出力モジュール10が生成する。入出力モジュール10はこのR_CRC122a付きのデータである入力データフレーム12を内部通信によりコントローラ20へ送信する。
コントローラ20は受信した入力データフレーム22をRAM21上に展開し、入力データフレーム22に付けられているCRCコードと、コントローラ20側で受信した入力データフレーム22を基に生成したCRCコードとを比較することにより、受信したデータの正当性を確認する。その結果、データが正常の場合に入力データフレーム22の中身を使用する。
これにより、入力データが通信の途中で内容が変更されていないかの検出をすることができる。
出力データフレーム23において、W_CRC232aは出力データフレーム23に対するCRCコードであり、コントローラ20が生成する。コントローラ20はこのW_CRC232a付きのデータである出力データフレーム23を内部通信により入出力モジュール10へ送信する。
入出力モジュール10は受信した出力データフレーム13をRAM11上に展開し、出力データフレーム13に付けられているCRCコードと、入出力モジュール10側で受信した出力データフレーム13を基に生成したCRCコードとを比較することにより、受信したデータの正当性を確認する。その結果、データが正常の場合に出力データフレーム13の中身を使用する。
これにより、出力データが通信の途中で内容が変更されていないかの検出をすることができる。
入出力モジュール10は受信した出力データフレーム13をRAM11上に展開し、出力データフレーム13に付けられているCRCコードと、入出力モジュール10側で受信した出力データフレーム13を基に生成したCRCコードとを比較することにより、受信したデータの正当性を確認する。その結果、データが正常の場合に出力データフレーム13の中身を使用する。
これにより、出力データが通信の途中で内容が変更されていないかの検出をすることができる。
図3は本発明の動作説明図である。この図ではデータの送受信元を確認する手順を示している。
設定情報24は、システムの動作定義や入出力モジュールの動作定義、実装情報が定義されているデータベースであり、各入出力モジュール毎、各種アプリケーション毎に決定される。
この設定情報24は、コントローラ20で作成され、入出力モジュール10へダウンロードされることでコントローラ20と入出力モジュール10の設定情報14は等値化されている。
設定情報24は、システムの動作定義や入出力モジュールの動作定義、実装情報が定義されているデータベースであり、各入出力モジュール毎、各種アプリケーション毎に決定される。
この設定情報24は、コントローラ20で作成され、入出力モジュール10へダウンロードされることでコントローラ20と入出力モジュール10の設定情報14は等値化されている。
S_DEVICE_ID122b及びM_DEVICE_ID232bはデバイスIDであり、入出力モジュール10及びコントローラ20が互いに機種を特定するための情報が格納されている。
データの受信側では、受信したデータフレームのデバイスIDと、設定情報24,14にあらかじめ設定されているデバイスIDとの比較を行い、一致した場合にデータフレームの中身を使用し、不一致である場合は使用しない。
データの受信側では、受信したデータフレームのデバイスIDと、設定情報24,14にあらかじめ設定されているデバイスIDとの比較を行い、一致した場合にデータフレームの中身を使用し、不一致である場合は使用しない。
S_CONFIG_CRC122c及びM_CONFIG_CRC232cは設定情報CRCコードであり、入出力モジュール10及びコントローラ20が互いに認識している設定情報14,24のCRCコードが格納されている。
設定情報14のCRCであるS_CONFIG_CRC122cは、入出力モジュール10で生成される。コントローラ20では、受信したS_CONFIG_CRC222cと、設定情報24から生成したCRCの値を比較を行い、一致した場合に入力データフレーム22の中身を使用し、不一致である場合は使用しない。
設定情報14のCRCであるS_CONFIG_CRC122cは、入出力モジュール10で生成される。コントローラ20では、受信したS_CONFIG_CRC222cと、設定情報24から生成したCRCの値を比較を行い、一致した場合に入力データフレーム22の中身を使用し、不一致である場合は使用しない。
設定情報24のCRCであるM_CONFIG_CRC232cは、コントローラ20で生成される。入出力モジュール10では、受信したM_CONFIG_CRC132cと、設定情報14から生成したCRCの値を比較を行い、一致した場合に出力データフレーム13の中身を使用し、不一致である場合は使用しない。
S_BLK_ID122d及びM_BLK_ID232dはブロックIDである。入出力データフレームはそれぞれ複数のブロックで構成されるため、どのブロックかを指定するためのブロック番号が格納されている。
データの受信側では、受信したデータフレームのブロックIDと、実際にデータフレームが送られてきたアドレスの比較を行い、一致した場合にデータフレームの中身を使用し、不一致である場合は使用しない。
データの受信側では、受信したデータフレームのブロックIDと、実際にデータフレームが送られてきたアドレスの比較を行い、一致した場合にデータフレームの中身を使用し、不一致である場合は使用しない。
これらにより、データの送信元と受信元が正しくリンクされ、同じアプリケーションであることを認識していることが確認でき、安全システムとしてシステムへの誤入力やシステムからの誤出力を防止することができる。
図4は本発明の動作説明図である。この図ではデータの更新を確認する手順を示している。
R_UPDATE122eは入力データフレーム12の更新カウンタである。入出力モジュール10は、入力値を更新毎にR_UPDATE122eをインクリメントする。コントローラ20は、一定時間入力データが更新されていないことを確認すると、入力データフレームが喪失されたと判断し、入力異常とする。
R_UPDATE122eは入力データフレーム12の更新カウンタである。入出力モジュール10は、入力値を更新毎にR_UPDATE122eをインクリメントする。コントローラ20は、一定時間入力データが更新されていないことを確認すると、入力データフレームが喪失されたと判断し、入力異常とする。
W_UPDATE232eは出力データフレーム23の更新カウンタである。コントローラ20は、出力値を更新毎にW_UPDATE232eをインクリメントする。入出力モジュール10は、一定時間出力データが更新されていないことを確認すると、出力データフレームが喪失されたと判断し、フィールド側への出力OFFなどの必要なフェイルセイフを実行する。
これらにより、過去のデータの繰り返し、必要なデータの喪失、データ遅延などの通信異常を検出することができる。
これらにより、過去のデータの繰り返し、必要なデータの喪失、データ遅延などの通信異常を検出することができる。
図5は入出力データの他のフレーム構成例を示した図である。
安全コード122でプロテクトされた入力データフレーム12として、SSTR121a(スレーブステータスレジスタ)やMDL_STAT121b(チャネル共通のステータス)などのモジュール全体に共通の情報(モジュール一括情報)と、CH_STATn121d(各チャネルのステータス)やR_DATAn121e(各チャネルの入力値)などのチャネル毎に個別の情報(チャネル個別情報)を構成することにより、簡単に安全通信で入力データの即時型アクセスをすることができる。
安全コード122でプロテクトされた入力データフレーム12として、SSTR121a(スレーブステータスレジスタ)やMDL_STAT121b(チャネル共通のステータス)などのモジュール全体に共通の情報(モジュール一括情報)と、CH_STATn121d(各チャネルのステータス)やR_DATAn121e(各チャネルの入力値)などのチャネル毎に個別の情報(チャネル個別情報)を構成することにより、簡単に安全通信で入力データの即時型アクセスをすることができる。
また、安全コード232でプロテクトされた出力データフレーム23として、MSTR231a(マスターステータスレジスタ)やMDL_CTRL231b(チャネル共通の制御情報)などのモジュール全体に共通の情報(モジュール一括情報)と、CH_CTRLn231d(各チャネルの制御情報)やW_DATAn231e(各チャネルの出力値)などのチャネル毎に個別の情報(チャネル個別情報)を構成することにより、簡単に安全通信で出力データの即時型アクセスをすることができる。
図6は安全通信の概念図である。
入出力データに安全コードを付加したデータフレーム構成とし、RAM上に展開されたデータフレームの安全コードの内容のチェックを行う安全通信階層でデータの通信異常を検出することができる。
よって、入出力モジュール及びコントローラのRAM上のデータとしてEND to ENDのチェックが行え、データを互いのRAM上に転送するまでの物理層やデータリンク層の手段により、通信の異常検出率は影響を受けることはない。
入出力データに安全コードを付加したデータフレーム構成とし、RAM上に展開されたデータフレームの安全コードの内容のチェックを行う安全通信階層でデータの通信異常を検出することができる。
よって、入出力モジュール及びコントローラのRAM上のデータとしてEND to ENDのチェックが行え、データを互いのRAM上に転送するまでの物理層やデータリンク層の手段により、通信の異常検出率は影響を受けることはない。
いままでの例では、安全通信として入出力モジュールとコントローラ間でデータ転送するには、安全コード付きのデータフレーム単位で行っていたが、設定情報などの大容量のデータ転送をする場合などは、データ送信側でデータの安全性を確認するための安全コードをデータに付加し、安全コード付きのデータを分割して順番に送信し、データ受信側で分割された安全コード付きのデータを受信順にRAM上に展開して再構築し、RAM上の安全コードをチェックするようにしてもよい。
図7は即時型アクセスの動作説明図である。
入出力モジュール10は通常時、コントローラ20から設定された出力データフレーム13を使用しており、この状態から入出力モジュール10がフェイルすると、自発的にフェイルセーフデータ15を使用するように切り替わる。
入出力モジュール10は通常時、コントローラ20から設定された出力データフレーム13を使用しており、この状態から入出力モジュール10がフェイルすると、自発的にフェイルセーフデータ15を使用するように切り替わる。
その後、入出力モジュール10がフェイル復帰すると、ステータス判断手段16のRDY121a1入力部はアサートされ、フェイル復帰信号によりステータス判断手段16のもう一方の入力部はネゲートされるので、ステータス判断手段16は無効状態である。
ステータス判断手段26のRDY121a1入力部はアサートされ、フェイル復帰信号によりステータス判断手段26及び27のAPREQ121a2入力部もアサートされる。
ステータス判断手段26は、起動要求25がない限り無効状態であり、起動要求25があると有効となる。
ステータス判断手段26のRDY121a1入力部はアサートされ、フェイル復帰信号によりステータス判断手段26及び27のAPREQ121a2入力部もアサートされる。
ステータス判断手段26は、起動要求25がない限り無効状態であり、起動要求25があると有効となる。
ステータス判断手段26が有効となり、APACK231a1がアサートされると、ステータス判断手段16が有効となり、ステータス判断手段17の一方の入力部をアサートし、入出力モジュールが安定する一定時間T[ms]後にONS121a3をアサートする。
また、APACK231a1がアサートされることにより、APREQ121a2はネゲートされるので、ステータス判断手段27は有効となるとともに、ステータス判断手段26は無効となりAPACK231a1をネゲートする。
また、APACK231a1がアサートされることにより、APREQ121a2はネゲートされるので、ステータス判断手段27は有効となるとともに、ステータス判断手段26は無効となりAPACK231a1をネゲートする。
コントローラ20は入出力モジュール10が正常稼働になったことを確認すると出力データフレーム23を必要な初期値に再設定してOUTEN231a2をアサートし、出力データフレーム13の使用を許可する。ステータス判断手段17が有効となることでフェイルセーブデータ15から出力データフレーム13の出力データの使用に切り替わり、入出力モジュール10は通常動作となる。
なお、コントローラ20は次回入出力モジュール10がフェイル復帰した際に、出力が急変しないように、通常時はAPACK231a1をネゲートしている。
図8は図7の即時型アクセスの入出力データフレームを示す図である。
図7のAPACK231a1,OUTEN231a2のステータスは、出力データフレーム23のMSTR231aに埋め込まれており、入出力モジュール10が出力データフレーム13を受け取り、データに異常がなければAPACK131a1,OUTEN131a2を使用して処理を行う。
RDY121a1,APREQ121a2,ONS121a3のステータスは、入力データフレーム12のSSTR121aに埋め込まれており、コントローラ20が入力データフレーム22を受け取り、データに異常がなければRDY221a1,APREQ221a2,ONS221a3を使用して処理を行う。
図7のAPACK231a1,OUTEN231a2のステータスは、出力データフレーム23のMSTR231aに埋め込まれており、入出力モジュール10が出力データフレーム13を受け取り、データに異常がなければAPACK131a1,OUTEN131a2を使用して処理を行う。
RDY121a1,APREQ121a2,ONS121a3のステータスは、入力データフレーム12のSSTR121aに埋め込まれており、コントローラ20が入力データフレーム22を受け取り、データに異常がなければRDY221a1,APREQ221a2,ONS221a3を使用して処理を行う。
これらの即時型アクセスもRAM上に展開された入出力データフレームのやり取りで実現することができる。
また、この仕組みにより、入出力モジュールがフェイル復帰した際、システムに外乱を与える出力の急変を防止することができる。
さらに、入出力モジュールが一度でもフェイルを検出したことを確実にコントローラに通知し、コントローラの指示があるまではフェイル発生時の動作をラッチすることができるので、安全性の高いシステムを構築することができる。
また、この仕組みにより、入出力モジュールがフェイル復帰した際、システムに外乱を与える出力の急変を防止することができる。
さらに、入出力モジュールが一度でもフェイルを検出したことを確実にコントローラに通知し、コントローラの指示があるまではフェイル発生時の動作をラッチすることができるので、安全性の高いシステムを構築することができる。
10 入出モジュール
11 記憶手段(RAM)
12 入力データフレーム
121 入力データ
121a〜121c モジュール一括情報
121d,121e チャネル個別情報
122,122a〜122e 安全コード
15 フェイルセーフデータ
16,17,26,27 ステータス判断手段
20 コントローラ
21 記憶手段(RAM)
23 出力データフレーム
231 出力データ
231a〜231c モジュール一括情報
231d,231e チャネル個別情報
232,232a〜232e 安全コード
11 記憶手段(RAM)
12 入力データフレーム
121 入力データ
121a〜121c モジュール一括情報
121d,121e チャネル個別情報
122,122a〜122e 安全コード
15 フェイルセーフデータ
16,17,26,27 ステータス判断手段
20 コントローラ
21 記憶手段(RAM)
23 出力データフレーム
231 出力データ
231a〜231c モジュール一括情報
231d,231e チャネル個別情報
232,232a〜232e 安全コード
Claims (19)
- 入力モジュールとコントローラ間のデータ通信方法において、
前記入力モジュールで、データの安全性を確認するための安全コードを入力データに付加した入力データフレームを生成する工程と、
前記コントローラで、前記入力モジュールから受信した前記入力データフレームを記憶手段上に展開し、該記憶手段上の前記安全コードをチェックする工程を含むことを特徴とするデータ通信方法。 - 出力モジュールとコントローラ間のデータ通信方法において、
前記コントローラで、データの安全性を確認するための安全コードを出力データに付加した出力データフレームを生成する工程と、
前記出力モジュールで、前記コントローラから受信した前記出力データフレームを記憶手段上に展開し、該記憶手段上の前記安全コードをチェックする工程を含むことを特徴とするデータ通信方法。 - 入出力モジュールとコントローラ間のデータ通信方法において、
前記入力モジュールで、データの安全性を確認するための安全コードを入力データに付加した入力データフレームを生成する工程と、
前記コントローラで、前記入力モジュールから受信した前記入力データフレームを記憶手段上に展開し、該記憶手段上の前記安全コードをチェックする工程を含み、
前記コントローラで、出力データの安全性を確認するための安全コードを出力データに付加した出力データフレームを生成する工程と、
前記出力モジュールで、前記コントローラから受信した前記出力データフレームを記憶手段上に展開し、該記憶手段上の前記安全コードをチェックする工程を含むことを特徴とするデータ通信方法。 - 前記安全コードは、CRCコードを含むことを特徴とする請求項1乃至3のいずれかに記載のデータ通信方法。
- 前記安全コードは、入出力モジュール或いはコントローラの機種を特定するためのデバイスIDを含むことを特徴とする請求項1乃至4のいずれかに記載のデータ通信方法。
- 前記安全コードは、入出力データフレームの記憶手段上の格納場所を確認するためのブロックIDを含むことを特徴とする請求項1乃至5のいずれかに記載のデータ通信方法。
- 前記安全コードは、データが更新されていることを確認するための更新コードを含むことを特徴とする請求項1乃至6のいずれかに記載のデータ通信方法。
- 前記安全コードは、アプリケーションにより決定される入出力モジュールの設定情報のCRC演算値である設定情報CRCコードを含むことを特徴とする請求項1乃至7のいずれかに記載のデータ通信方法。
- 前記入出力データは、入出力モジュール毎の一括情報及び入出力モジュールのチャネル毎の個別情報であることを特徴とする請求項1乃至8のいずれかに記載のデータ通信方法。
- 入出力モジュールとコントローラ間のデータ通信方法において、
データ送信側で、データの安全性を確認するための安全コードをデータに付加し、前記安全コード付データを分割して順番に送信する工程と、
データ受信側で、分割された前記安全コード付データを受信順に記憶手段上に展開して構築し、該記憶手段上の前記安全コードをチェックする工程を含むことを特徴とするデータ通信方法。 - 前記安全コードは、CRCコードを含むことを特徴とする請求項10記載のデータ通信方法。
- プラントからの信号を入力する入力モジュールとコントローラ間でデータ通信を行い、プラントの安全を図る安全システムにおいて、
前記入力モジュールは、データの安全性を確認するための安全コードを入力データに付加した入力データフレームを生成する入力データフレーム生成手段を有し、
前記コントローラは、前記入力モジュールから受信した前記入力データフレームを展開する記憶手段と、
該記憶手段上の前記安全コードをチェックする安全コードチェック手段とを有することを特徴とする安全システム。 - プラントへ信号を出力する出力モジュールとコントローラ間でデータ通信を行い、プラントの安全を図る安全システムにおいて、
前記コントローラは、データの安全性を確認するための安全コードを出力データに付加した出力データフレームを生成する出力データフレーム生成手段を有し、
前記出力モジュールは、前記コントローラから受信した前記出力データフレームを展開する記憶手段と、
該記憶手段上の前記安全コードをチェックする安全コードチェック手段とを有することを特徴とする安全システム。 - プラントと信号を授受する入出力モジュールとコントローラ間でデータ通信を行い、プラントの安全を図る安全システムにおいて、
前記入出力モジュールは、データの安全性を確認するための安全コードを入力データに付加した入力データフレームを生成する入力データフレーム生成手段を有し、
前記コントローラは、前記入出力モジュールから受信した前記入力データフレームを展開する記憶手段と、
該記憶手段上の前記安全コードをチェックする安全コードチェック手段とを有するとともに、
前記コントローラは、データの安全性を確認するための安全コードを出力データに付加した出力データフレームを生成する出力データフレーム生成手段を有し、
前記入出力モジュールは、前記コントローラから受信した前記出力データフレームを展開する記憶手段と、
該記憶手段上の前記安全コードをチェックする安全コードチェック手段とを有することを特徴とする安全システム。 - 前記入力データフレームは、前記入出力モジュールのステータス情報を有し、
前記出力データフレームは、前記コントローラのステータス情報を有することを特徴とする請求項12乃至14のいずれかに記載の安全システム。 - 前記入出力モジュールは、入出力モジュールのステータスと、前記コントローラのステータスを判断するステータス判断手段を有し、
前記ステータス判断手段の入力のうち、前記入出力モジュールのステータス入力部をアサートするとともに、前記入力データフレームにて前記入出力モジュールのステータスを前記コントローラに渡す際に、前記ステータス判断手段の入力のうち、前記コントローラのステータス入力部をネゲートしておき、
前記出力データフレームにて前記コントローラのステータスを受け、該ステータスにて前記ステータス判断手段のコントローラのステータス入力部がアサートされたときに前記ステータス判断手段は有効となることを特徴とする請求項12乃至15のいずれかに記載の安全システム。 - 前記コントローラは、コントローラのステータスと、前記入出力モジュールのステータスを判断するステータス判断手段を有し、
前記ステータス判断手段の入力のうち、前記コントローラのステータス入力部をアサートするとともに、前記出力データフレームにて前記コントローラのステータスを前記入出力モジュールに渡す際に、前記ステータス判断手段の入力のうち、前記入出力モジュールのステータス入力部をネゲートしておき、
前記入力データフレームにて前記入出力モジュールのステータスを受け、該ステータスにて前記ステータス判断手段の入出力モジュールのステータス入力部がアサートされたときに前記ステータス判断手段は有効となることを特徴とする請求項12乃至16のいずれかに記載の安全システム。 - 前記入出力モジュールは、入出力モジュールのフェイル時に前記記憶手段とは別の記憶手段にあらかじめ設定されているフェイルセーフデータを使用することを特徴とする請求項12乃至17のいずれかに記載の安全システム。
- 前記入出力モジュールは、フェイル復帰したことを知らせるフェイル復帰ステータスを前記入力データフレームにて前記コントローラに渡し、
該コントローラは、前記入出力モジュールの起動を要求する起動要求ステータスを前記出力データフレームにて前記入出力モジュールに渡し、
該入出力モジュールは、起動する準備が整ったことを知らせる起動準備完了ステータスを前記入出力データフレームにて前記コントローラに渡し、
該コントローラは、起動を許可する起動許可ステータスを前記出力データフレームにて前記入出力モジュールに渡し、
該入出力モジュールは、フェイルセーフデータを使用しているフェイルセーフ動作から通常動作に切り替えることを特徴とする請求項12乃至18のいずれかに記載の安全システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005104528A JP4140615B2 (ja) | 2005-01-28 | 2005-03-31 | データ通信方法及び安全システム |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005021747 | 2005-01-28 | ||
| JP2005104528A JP4140615B2 (ja) | 2005-01-28 | 2005-03-31 | データ通信方法及び安全システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006236301A true JP2006236301A (ja) | 2006-09-07 |
| JP4140615B2 JP4140615B2 (ja) | 2008-08-27 |
Family
ID=37043836
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005104528A Active JP4140615B2 (ja) | 2005-01-28 | 2005-03-31 | データ通信方法及び安全システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4140615B2 (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008210384A (ja) * | 2007-02-27 | 2008-09-11 | Siemens Ag | 爆発危険領域のためのasiネットワーク |
| JP2010141654A (ja) * | 2008-12-12 | 2010-06-24 | Yokogawa Electric Corp | フィールド通信システムおよびフィールド通信方法 |
| US11177828B2 (en) | 2018-12-27 | 2021-11-16 | Mitsubishi Electric Corporation | Data collection apparatus, method, and program |
-
2005
- 2005-03-31 JP JP2005104528A patent/JP4140615B2/ja active Active
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008210384A (ja) * | 2007-02-27 | 2008-09-11 | Siemens Ag | 爆発危険領域のためのasiネットワーク |
| US8242901B2 (en) | 2007-02-27 | 2012-08-14 | Siemens Aktiengesellschaft | ASI network for explosion-hazard areas |
| JP2010141654A (ja) * | 2008-12-12 | 2010-06-24 | Yokogawa Electric Corp | フィールド通信システムおよびフィールド通信方法 |
| US11177828B2 (en) | 2018-12-27 | 2021-11-16 | Mitsubishi Electric Corporation | Data collection apparatus, method, and program |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4140615B2 (ja) | 2008-08-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7328369B2 (en) | Inherently fail safe processing or control apparatus | |
| JP4309296B2 (ja) | エラー・トレラント・コンピュータ制御システム、同システムを備える車両および同システムを備える航空機 | |
| CN100595746C (zh) | 总线耦合安全相关过程的方法和设备 | |
| CN100480913C (zh) | 以安全为导向的控制系统 | |
| JP2002358106A (ja) | 安全コントローラ | |
| WO2006080227A1 (ja) | 情報処理装置および情報処理方法 | |
| JP4140615B2 (ja) | データ通信方法及び安全システム | |
| EP2680148B1 (en) | Information processing system, output control device, and data generating device | |
| US6487695B1 (en) | Method for providing fail-safe secure data transmission between a numerical control system and a spatially separate unit | |
| RU2647684C2 (ru) | Устройство и способ обнаружения несанкционированных манипуляций системным состоянием блока управления и регулирования ядерной установки | |
| JP2008146236A (ja) | 二重化制御装置、及びその制御権設定信号の冗長化方法 | |
| JPH05233344A (ja) | 情報処理装置 | |
| JP2006155678A (ja) | 多重化制御システム及びその多重化方法 | |
| JP2008009794A (ja) | プログラマブル電子制御装置及びプログラマブル電子装置の通信制御方法 | |
| JP5025402B2 (ja) | 高安全制御装置 | |
| CN101098211B (zh) | 发送控制装置、接收控制装置、以及通信系统 | |
| US9241043B2 (en) | Method of connecting a hardware module to a fieldbus | |
| JP2007323190A (ja) | データ通信を行う計算制御システム及びその通信方法 | |
| JP2010198520A (ja) | コントローラ通信方法およびコントローラ通信装置 | |
| JP2009017619A (ja) | 電源活殺回路、遠隔監視制御装置、および遠隔監視制御装置のリセット方法 | |
| JP2009104391A (ja) | メモリ二重化システム及び情報処理装置 | |
| JP2005050088A (ja) | 高速二重系制御装置 | |
| JP2007043679A (ja) | 送信装置,受信装置及び通信システム | |
| KR100606888B1 (ko) | 이동통신 시스템에서 디지털 송수신기 보드 제어 이중화장치 및 방법 | |
| JP2000312190A (ja) | データ伝送方式 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20071127 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20071206 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080204 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20080225 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080423 |
|
| A911 | Transfer of reconsideration by examiner before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20080501 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080520 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080602 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110620 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4140615 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130620 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140620 Year of fee payment: 6 |