JP2008146236A - Duplex control device and redundancy method of its control right setting signal - Google Patents

Duplex control device and redundancy method of its control right setting signal Download PDF

Info

Publication number
JP2008146236A
JP2008146236A JP2006330840A JP2006330840A JP2008146236A JP 2008146236 A JP2008146236 A JP 2008146236A JP 2006330840 A JP2006330840 A JP 2006330840A JP 2006330840 A JP2006330840 A JP 2006330840A JP 2008146236 A JP2008146236 A JP 2008146236A
Authority
JP
Japan
Prior art keywords
control
control device
data
control right
redundant
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006330840A
Other languages
Japanese (ja)
Inventor
Jun Takehara
潤 竹原
Akira Sawada
彰 澤田
Makoto Tofuru
誠 登古
Hiroyuki Kusakabe
宏之 日下部
Yuji Kurihara
有二 栗原
Masashi Asano
昌志 浅野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2006330840A priority Critical patent/JP2008146236A/en
Publication of JP2008146236A publication Critical patent/JP2008146236A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Detection And Correction Of Errors (AREA)
  • Hardware Redundancy (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a duplex control device which improves redundancy with simple structure for changing a control right and without making system composition complicated, and also provide a redundancy method of its control right setting signal. <P>SOLUTION: A first control right of its own system is set, and the first control right of its own system is reset from abnormal information on its own system and a second control right transmitted from another system. Control data mutually given to and received from another system in synchronization with the execution cycle of a control device are transmitted to another system, together with redundancy bit data generated from the first control right and the second control right which both accompany the control data, and the first redundancy bit data transmitted from its own system are compared with the second redundancy bit data received from another system, and the presence or absence of compatibility in setting signals between the first control right and the second control right, which are both set by the control device, is determined. If contradiction exists in the compatibility, the abnormal information on its own system is referred to, and the first control right of its own system is reset, and a control right setting signal is made redundant. <P>COPYRIGHT: (C)2008,JPO&INPIT

Description

本発明は、例えば、発電プラントのようなプラントの運転を2系統の同一制御プログラムで制御する二重化制御装置に係り、特に、夫々の制御装置の制御権設定信号の冗長化方法に関する。   The present invention relates to a redundant control device that controls the operation of a plant such as a power plant with two identical control programs, and more particularly, to a redundancy method for a control right setting signal of each control device.

工場や公共施設等の各種プラントの動作を制御する制御装置には、この制御装置に何等かの異常が発生して、制御対象のプラントが停止すると重大な事故に至ることが予測される場合がある。   In a control device that controls the operation of various plants such as factories and public facilities, it may be predicted that some abnormality will occur in this control device and a serious accident will occur if the controlled plant stops. is there.

一般に、このような制御対象に対しては、同一構成の二組の制御装置を接続して、いずれか一方を稼動系、他方を待機系として、通常は稼動系のみで制御対象を制御し、稼動系に異常が生じたときに、待機系を稼動系に切り替え、制御を続行するように構成される待機冗長型の二重化制御装置がある。   In general, for such a control target, two sets of control devices having the same configuration are connected, and one of them is an active system, the other is a standby system, and normally the control target is controlled only by the active system, There is a standby redundant type redundant control device configured to switch a standby system to an active system and continue control when an abnormality occurs in the active system.

このような二重化制御装置においては、通常は、稼動系の制御装置が入出力装置からの制御対象の入力データを受信し、この入力データに対する制御演算を実行して、その演算結果を出力データとして入出力装置に出力するようにしている。   In such a duplex control device, normally, an active control device receives input data to be controlled from an input / output device, executes a control operation on the input data, and uses the operation result as output data. Outputs to the input / output device.

また、稼動系の制御装置の故障時に、稼動系から待機系の制御装置に制御を継続して引き継ぐため、実行していた制御データを稼動系から待機系へ、その制御装置の実行周期に同期して待機系に送信するようにしている。   In addition, in the event of a failure of the active control device, control is continuously transferred from the active system to the standby control device, so that the control data being executed is synchronized from the active system to the standby system in synchronization with the execution cycle of the control device. And send it to the standby system.

さらに、制御装置の制御権、即ち、制御を実行する稼動系を決定するため、夫々の制御装置の動作状態を相互に授受して、稼動系が故障した場合には待機系を稼動系に切り替え制御を継続するようにしている。   Furthermore, in order to determine the control right of the control device, that is, the active system to execute the control, the operating state of each control device is mutually exchanged, and when the active system fails, the standby system is switched to the active system The control is continued.

ところで、入出力装置は、システムの規模によって複数台で構成され、大規模システムの場合、そのシステム全体構成に占める割合も非常に大きくなる。そこで、システムの信頼性を高くするために、この入出力装置を二重化する場合もある。   By the way, the input / output device is configured by a plurality of units depending on the scale of the system, and in the case of a large-scale system, the proportion of the entire system configuration is very large. Therefore, in order to increase the reliability of the system, this input / output device may be duplicated.

従来の制御装置は、2台の制御装置と1台もしくは複数台の入出力装置からなる待機冗長型の二重化制御装置として構成され、夫々の制御装置及び入出力装置のいずれかが故障すると、制御する系の切り替えるように構成されているが、入出力装置の故障で制御装置の系の切り替えが発生するのは望ましくなく、制御装置と入出力装置は、自制御装置装置の故障に対して独立して切り替える方が故障に対して制御を継続できる可能性が高くなる。   The conventional control device is configured as a standby redundant type redundant control device composed of two control devices and one or a plurality of input / output devices. If either of the control devices or the input / output devices fails, control is performed. However, it is not desirable that the system of the control device is switched due to a failure of the input / output device. The control device and the input / output device are independent of the failure of the own control device. Therefore, the possibility that the control can be continued with respect to the failure increases.

従来から、稼動系と待機系の切り替に関しては、制御権を授受する方法について種々の提案がある。例えば、特開平5−165667号公報に示す方式によれば、制御装置と入出力装置の夫々に二重化の切り替え機能を持たせているものがある(例えば、特許文献1参照。)。
特開平5−165667号公報 Conventionally, regarding the switching between the active system and the standby system, various proposals have been made regarding methods for transferring control rights. For example, according to the method disclosed in Japanese Patent Laid-Open No. 5-165667, there is a system in which each of the control device and the input / output device has a duplex switching function (see, for example, Patent Document 1).
JP-A-5-165667

特許文献1に開示された二重化制御制御装置においては、制御装置及び入出力装置の何れもが二重化され、夫々に二重化リンクを備えている。そして、個々の二重化リンクの断線、個々の装置が故障した場合などの単一の故障に対し、フォールトマスキングが可能な冗長型の二重化制御装置としている。   In the duplex control control device disclosed in Patent Document 1, both the control device and the input / output device are duplexed, and each has a duplex link. In addition, the redundant duplication control device is capable of fault masking against a single failure such as disconnection of individual duplication links or failure of individual devices.

しかしながら、システムの規模が大きくなり出力点数が増大すると、複数の入出力装置が必要に成ることから、入出力装置の二重化リンクも複雑になる問題がある。   However, when the scale of the system is increased and the number of output points is increased, a plurality of input / output devices are required, so that there is a problem that a duplex link of the input / output devices becomes complicated.

本発明は、上記問題点を解決するためになされたもので、待機冗長型の二重化制御装置において、制御権の切り替をシンプルな構造で、システム構成を複雑にせずに冗長性を向上させた二重化制御装置、及びその制御権設定信号の冗長化方法を提供することを目的とする。   The present invention has been made to solve the above problems, and in a redundant redundant control device of standby redundancy, switching of control right has a simple structure, and redundancy is improved without complicating the system configuration. It is an object of the present invention to provide a control device and a redundancy method for the control right setting signal.

上記目的を達成するために、本発明の二重化制御装置は、制御対象に対して二組の制御装置を備え、一方の制御装置を稼動系制御装置、他方の制御装置を待機系制御装置として、通常は稼動系制御装置で前記制御対象の制御を行ない、この稼動系制御装置が故障した場合には待機系制御装置に切替えて、前記制御対象の制御を行う待機冗長型の二重化制御装置であって、前記制御装置は、前記制御対象の制御を実行する制御プログラム及び制御データを記憶するメモリ部と、前記制御装置と入出力装置との間で入力データ及び出力データをI/Oバスを介してやり取りするI/Oインタフェース部と、自系の第1の制御権を設定するとともに、他系で設定された第2の制御権を受信し、自系の異常情報と前記第2の制御権とから自系の前記第1の制御権を再定するステータス伝送処理部と、前記制御装置の実行周期に同期して、他系との間で相互に前記制御データと当該制御データに付随させる前記ステータス伝送処理部で送受信する前記第1の制御権及び第2の制御権から生成される冗長化ビットデータとを他系とで相互に授受するトラッキングデータ伝送部と、自系から送信する第1の前記冗長化ビットデータと他系から受信した第2の冗長化ビットデータとを比較する冗長化ビットデータ比較部とを備えるデータ伝送処理部と、前記メモリ部から前記制御プログラムを読出し、前記I/Oインタフェース部を介して入力される前記入力データと基に、前記実行周期で制御演算を実行し、その結果を前記出力データとして前記I/Oインタフェース部に出力する演算部とから成り、前記データ伝送処理部は、自系から送信した前記第1の冗長化ビットデータと、他系から受信した前記第2の冗長化ビットデータとを前記冗長化ビット比較部で比較して前記第1の制御権と前記第2の制御権との設定信号の整合性の有無を判定して前記ステータス伝送処理部に送信し、前記ステータス伝送処理部は、前記冗長化ビット比較部の当該判定出力と自系の前記異常情報とから自系の前記第1の制御権を再設定するようにしたことを特徴とする。   In order to achieve the above object, the duplex control device of the present invention comprises two sets of control devices for a control target, one control device as an active system control device, and the other control device as a standby system control device. Normally, the control system controls the control target with an active system control device, and when this active system control device fails, it switches to the standby control device and controls the control target. The control device stores a control program and control data for executing control of the control target, and input data and output data between the control device and the input / output device via an I / O bus. The first control right of the own system and the I / O interface unit to exchange with each other are received, the second control right set in the other system is received, the abnormality information of the own system and the second control right And the first of its own system The control data and the status transmission processing unit associated with the control data are transmitted / received to / from another system in synchronization with the execution cycle of the control device. A tracking data transmission unit for exchanging redundant bit data generated from the first control right and the second control right with another system; and the first redundant bit data transmitted from the own system; A data transmission processing unit including a redundant bit data comparison unit that compares second redundant bit data received from another system, and reads out the control program from the memory unit, via the I / O interface unit Based on the input data that is input, a control operation is executed in the execution cycle, and the result is output to the I / O interface unit as the output data. The data transmission processing unit compares the first redundant bit data transmitted from its own system with the second redundant bit data received from another system by the redundant bit comparing unit. Determining whether or not there is consistency between the setting signals of the first control right and the second control right, and transmitting the determination signal to the status transmission processing unit, and the status transmission processing unit outputs the determination output of the redundant bit comparison unit And the abnormality information of the own system, the first control right of the own system is reset.

上記目的を達成するために、本発明の係る二重化制御装置の制御権設定信号の冗長化方法は、制御対象に対して二組の制御装置を備え、一方の制御装置を稼動系制御装置、他方の制御装置を待機系制御装置として、通常は稼動系制御装置で前記制御対象の制御を行ない、この稼動系制御装置が故障した場合には待機系制御装置に切替えて、前記制御対象の制御を行う待機冗長型の二重化制御装置の制御権設定信号の冗長化方法であって、自系の第1の制御権を設定し、自系の異常情報と他系から送信された第2の制御権とから自系の第1の制御権を再設定し、前記制御装置の実行周期に同期して他系との間で相互に授受する前記制御データと当該制御データに付随させる前記第1の制御権及び前記第2の制御権から生成される冗長化ビットデータとを付随させて他系に送信し、自系から送信する第1の前記冗長化ビットデータと他系から受信した第2の前記冗長化ビットデータとを比較し、夫々前記制御装置で設定する第1の制御権と第2の制御権との設定信号の整合性の有無を判定し、整合性に矛盾がある場合、自系の異常情報を参照して、自系の前記第1の制御権を再設定し、制御権設定信号を冗長化するようにしたことを特徴とする。   In order to achieve the above object, a redundancy method for a control right setting signal of a duplex control device according to the present invention comprises two sets of control devices for a control target, one control device being an active system control device, and the other As the standby control device, the control target is normally controlled by the active control device, and when the active control device fails, the control target is switched to the standby control device to control the control target. A redundancy method of a control right setting signal of a standby redundant type redundant control device to be performed, wherein the first control right of the own system is set, the abnormality information of the own system and the second control right transmitted from the other system The first control right of the own system is reset from the above, and the control data exchanged with another system in synchronization with the execution cycle of the control device and the first control associated with the control data And a redundant bit data generated from the second control right The first redundant bit data transmitted from the local system is compared with the second redundant bit data received from the local system, and each is set by the control device. If there is a discrepancy in consistency between the first control right and the second control right, the first control right and the second control right are referred to. The control right is reset and the control right setting signal is made redundant.

従来の制御データに自系及び他系から送信された制御権をもとに生成された冗長化ビットデータを付随させ、自系から送信する冗長化ビットデータと他系から送信された冗長化ビットデータとを比較して制御権信号の整合性を判定して冗長化を持たせ、整合性に矛盾が発生した場合には制御権を再設定するようにしたので、シンプルな構造でシステム構成を複雑にせずに制御権信号に冗長性を向上させた二重化制御装置、及びその制御権設定信号の冗長化方法を提供することができる。   Redundant bit data transmitted from the local system and redundant bits transmitted from the local system are associated with the conventional control data accompanied by redundant bit data generated based on the control right transmitted from the local system and the remote system. Compared to the data, the consistency of the control right signal is judged to provide redundancy, and if there is a contradiction in consistency, the control right is reset, so the system configuration can be configured with a simple structure. It is possible to provide a redundant control device that improves the redundancy of the control right signal without making it complicated, and a redundancy method for the control right setting signal.

以下、本発明による二重化制御装置について、図1乃至図2を参照して説明する。   Hereinafter, a duplex control apparatus according to the present invention will be described with reference to FIGS.

図1は、二重化制御装置の構成図である。二重化制御装置は、2台の制御装置1a及び1bと、これらの制御装置1a及び制御装置1bにI/Oバス2aで接続される入出力装置2とから成り、制御対象3をいずれかの制御装置1a及び制御装置1bで制御する。   FIG. 1 is a configuration diagram of a duplexing control device. The duplex control device includes two control devices 1a and 1b and an input / output device 2 connected to the control device 1a and the control device 1b via an I / O bus 2a. Control is performed by the device 1a and the control device 1b.

次ぎに、制御装置1aの各部について説明する。制御装置1bを構成する各部について、制御装置1aと同一部は同じ符号を付し、その説明を省略する。   Next, each part of the control device 1a will be described. About each part which comprises the control apparatus 1b, the same code | symbol is attached | subjected to the same part as the control apparatus 1a, and the description is abbreviate | omitted.

夫々の制御装置1aは、制御対象3の制御プログラムを及びその制御プログラム実行時の制御データを記憶するメモリ部12と、制御装置1aと入出力装置3との間で入力データ及び出力データをI/Oバス2aを介してやり取りするI/Oインタフェース部13と、自系の異常情報を、システムバス16を介して受信して自系の制御権を設定するとともに、他系との間で相互に当該制御権信号を授受し自系の制御権を再設定するステータス伝送処理部14とから成る。   Each control device 1a transmits input data and output data between the control device 1a and the input / output device 3 between the memory unit 12 that stores the control program of the control target 3 and the control data when the control program is executed. The I / O interface unit 13 exchanged via the / O bus 2a and the own system's abnormality information are received via the system bus 16 to set the control right of the own system and to each other. And a status transmission processing unit 14 for transmitting and receiving the control right signal to reset the control right of the own system.

さらに、制御装置1aの実行周期に同期して、他系に送信する制御データと当該制御データに付随させる前記ステータス伝送処理部14で設定される自系の制御権信号と他系から送信された制御権信号とから生成される冗長化ビットデータとを他系との間で相互に授受するトラッキングデータ伝送部15aと、自系から送信する前記冗長化データと他系から受信した冗長化ビットデータとを比較する冗長化ビットデータ比較部15bとを備えるデータ伝送処理部15と、メモリ部12から制御プログラムを読出し、I/Oインタフェース部13を介して入力される入力データと基に、予め設定される実行周期で制御演算を実行し、結果をデータ伝送部に15に送信するとともに、その結果を前記出力データとして前記I/Oインタフェース部13に出力する演算部11とから成る。   Further, in synchronization with the execution cycle of the control device 1a, the control data transmitted to the other system, the control right signal of the own system set by the status transmission processing unit 14 associated with the control data, and the other system are transmitted. A tracking data transmission unit 15a that exchanges the redundant bit data generated from the control right signal with another system, the redundant data transmitted from the own system, and the redundant bit data received from the other system Is set in advance based on the data transmission processing unit 15 including the redundant bit data comparison unit 15b for comparing the data and the control program is read from the memory unit 12 and input data is input via the I / O interface unit 13. The control calculation is executed at an executed cycle and the result is transmitted to the data transmission unit 15 and the result is used as the output data in the I / O interface unit Consisting calculating unit 11 for outputting a 3.

次ぎに、ステータス伝送処理部14及びデータ伝送処理部15の詳細構成について、図2(a)を参照して説明する。   Next, detailed configurations of the status transmission processing unit 14 and the data transmission processing unit 15 will be described with reference to FIG.

ステータス伝送処理部14は、自系の制御権を設定し、他系に送信する。自系の制御権は、システムバス16を介して自系内のハードウェア及びソフトウェアの異常信号、制御装置1aの運転開始の初期に自系の制御が可能であることを設定する制御権化能信号、後述するデータ伝送処理部15から送信される冗長化ビットデータの整合性判定信号とから、自系の制御権を再設定し他系のステータス伝送処理部14に送信する機能を備える。   The status transmission processing unit 14 sets its own control right and transmits it to the other system. The control right of the own system is an abnormality signal of hardware and software in the own system via the system bus 16, and a control right enabling signal for setting that control of the own system is possible at the beginning of operation of the control device 1a. A function of resetting the control right of the own system and transmitting it to the status transmission processing unit 14 of the other system from a consistency determination signal of redundant bit data transmitted from the data transmission processing unit 15 described later is provided.

データ伝送処理部15のトラッキング伝送処理部15aと冗長化ビットデータ比較部15bとから成る。   The data transmission processing unit 15 includes a tracking transmission processing unit 15a and a redundant bit data comparison unit 15b.

そして、トラッキング伝送処理部15aは、演算部11で演算された制御データを、システムバス16を介して一次記憶するトラッキングメモリ15a1と、トラッキングメモリ15aメモリに記憶された制御データにステータス伝送処理部14から送信された自系の制御権及び他系から送信された制御権とから生成される冗長化ビットデータを付随させる冗長化ビットエンコード部15a2と、制御データと冗長化ビットデータとを予め指定された実行周期で他系に送信するデータ伝送部15a3とから成る。   The tracking transmission processing unit 15a includes a tracking memory 15a1 that primarily stores the control data calculated by the calculation unit 11 via the system bus 16, and a status transmission processing unit 14 that converts the control data stored in the tracking memory 15a memory. The redundant bit encoding unit 15a2 for attaching redundant bit data generated from the control right transmitted from the own system and the control right transmitted from the other system, and control data and redundant bit data are designated in advance. And a data transmission unit 15a3 that transmits to another system at an execution cycle.

さらに、他系のデータ伝送処理部15aから送信される制御データ及びこれに付随される冗長化ビットデータを受信するデータ受信部15a4と、データ受信部15a4で受信した他系の冗長化ビットデータを抽出する冗長化ビット抽出部15a5とから成る。   Further, the data receiving unit 15a4 that receives the control data transmitted from the other-system data transmission processing unit 15a and the redundant bit data associated therewith, and the other-system redundant bit data received by the data receiving unit 15a4 It comprises a redundant bit extraction unit 15a5 for extraction.

また、冗長化ビット比較部15bは、自系から送信した冗長化ビットデータと他系のデータ伝送処理部15aから送信された他系の冗長化ビットデータとを比較して、制御権の設定信号の整合性の有無を判定し、その結果をステータス伝送処理部14に送信する。   Further, the redundant bit comparison unit 15b compares the redundant bit data transmitted from the own system with the redundant bit data of the other system transmitted from the data transmission processing unit 15a of the other system, and sets the control right setting signal. And the result is transmitted to the status transmission processing unit 14.

自系から送信される冗長化ビットデータは、冗長化エンコード部15a2の出力を冗長化ビット抽出部15a5に送信し、ここで、相手系の冗長化ビットデータと同様の方法で抽出し、冗長化ビット比較部15bに送信するように構成することが出来る。   Redundant bit data transmitted from the local system is transmitted to the redundant bit extracting unit 15a5 by outputting the output of the redundant encoding unit 15a2, where it is extracted in the same manner as the redundant bit data of the counterpart system, and is made redundant. It can be configured to transmit to the bit comparison unit 15b.

次ぎに、冗長化ビットデータの構成例について図2(b)を参照して説明する。自系の冗長化ビットデータは、自系の制御データの先頭または末尾に自系ステータス伝送処理部14で出力される自系および他系から送信された制御権情報を加工して付与する。   Next, a configuration example of redundant bit data will be described with reference to FIG. The redundant bit data of the own system is provided by processing the control right information transmitted from the own system and the other system output from the own system status transmission processing unit 14 at the head or the end of the control data of the own system.

例えば、自系のステータス伝送処理部14で設定した制御権信号がA、他系から受信した制御信号がBの場合、これらの制御権信号の論理反転信号を夫々AL、とし、A、AL、B、Bの4ビットの信号をデータ列として生成し付与する。 For example, when the control right signal set by the status transmission processing unit 14 of the own system is A and the control signal received from the other system is B, the logical inversion signals of these control right signals are A L and B L , respectively. , A L, B, B L A 4-bit signal is generated and assigned as a data string.

同様に、他系のステータス伝送処理部14で設定した制御権信号がC、相手系から受信した制御権信号がDの場合、これらの制御権信号の論理反転信号を夫々CL、とし、C、CL、D、Dの4ビットの信号を生成して付与する。 Similarly, when the control right signal set by the status transmission processing unit 14 of the other system is C and the control right signal received from the partner system is D, the logical inversion signals of these control right signals are C L and D L , respectively. , C, C L, D, D L A 4-bit signal is generated and applied.

そして、付与した自系4ビットの冗長化ビットデータと、相手系で付与され自系のデータ伝送処理部15aで受信した4ビットの冗長化データとを冗長化ビット比較部15a5で比較する。   Then, the redundancy bit comparison unit 15a5 compares the assigned 4-bit redundancy bit data provided with the partner system and the 4-bit redundancy data received by the own-system data transmission processing unit 15a.

制御権信号が、相互に正しく授受されている場合には、対応する制御権信号AとC、また制御権信号BとDとは夫々反転した論理状態になっているはずであるので、夫々のビットデータを比較して、制御権信号の状態の整合性を判定することができる。   When the control right signals are correctly exchanged with each other, the corresponding control right signals A and C and the control right signals B and D should be in inverted logic states. The bit data can be compared to determine the consistency of the state of the control right signal.

次ぎに、このように構成された二重化制御装置の制御権の設定とその動作について説明する。   Next, the setting of the control right and the operation of the duplex control apparatus configured as described above will be described.

例えば、制御装置1aが制御権を保持し、稼動側となっているとする。この場合制御装置1aのステータス伝送処理部14は、システムバス16を介して自系のハードウェアおよびソフトウェアの異常の有無を受信する。   For example, it is assumed that the control device 1a holds the control right and is on the operating side. In this case, the status transmission processing unit 14 of the control device 1a receives the presence / absence of abnormality of its own hardware and software via the system bus 16.

そして、ステータス伝送処理部14は、自系が制御可能な状態であることを示す自系制御可能信号がオンであり、かつ、他系から制御を移譲されたことを示す他系制御権信号がオフであるときのみ、自系制御権信号をオンとし稼動側の制御権を獲得する。   Then, the status transmission processing unit 14 receives the other-system control right signal indicating that the own-system controllable signal indicating that the own-system is in a controllable state is ON and that control has been transferred from the other system. Only when it is off, the own control right signal is turned on and the control right on the operating side is acquired.

自系制御可能信号は、自系のハードウェアが正常であり、且つ、自系のソフトウェアが正常である場合にオンとなる。初期設定でこの自系制御可能信号を先に設定した制御装置1aまたは制御装置1bが制御権を獲得する。   The own system controllable signal is turned on when the own system hardware is normal and the own system software is normal. The control device 1a or the control device 1b that previously set the own system controllable signal in the initial setting acquires the control right.

即ち、初期設定で自系制御権可能信号をオンとし、制御権を取得した制御装置1a(または制御装置1b)が稼動側となり、自系制御権信号を他系へ出力し、他系での制御権取得を阻止するので同時に制御権を取得することはない。   That is, in the initial setting, the own system control right enable signal is turned on, and the control device 1a (or control device 1b) that has acquired the control right becomes the active side, and outputs the own system control right signal to the other system. Since control right acquisition is prevented, control right is not acquired at the same time.

ステータス伝送処理部14は、自系のハードウェアが正常でない、または自系のソフトウェアが正常でない場合には、自系制御権信号Aをオフとすることにより、待機側が制御権を取得し、制御権が切り替えられる。   When the local hardware is not normal or the local software is not normal, the status transmission processing unit 14 turns off the local control right signal A so that the standby side obtains the control right and performs control. Rights are switched.

次ぎに、制御権信号Aの送受信系統に何らかの原因で断線等が発生し、待機系の制御装置1bで相手からの他系制御権信号Dがオフとなった場合の動作について説明する。   Next, an operation when a disconnection or the like occurs in the transmission / reception system of the control right signal A for some reason and the other-system control right signal D from the other party is turned off in the standby control device 1b will be described.

ステータス伝送処理部14では、自系制御権信号と他系制御権信号を、データ伝送処理部15を介して制御データに付随させた冗長化ビットデータを相互に授受し、他系が受信した他系制御信号を同じ通信路を介して送り戻された他系からの冗長化ビットデータと、自系が送り出した冗長化ビットデータとを冗長ビット比較部15bで比較する。   The status transmission processing unit 14 exchanges the redundant bit data associated with the control data via the data transmission processing unit 15 with the own system control right signal and the other system control right signal. The redundant bit comparator 15b compares the redundant bit data sent from the other system sent back through the same communication path with the redundant bit data sent from the own system.

この比較結果をステータス伝送処理部14に送信する。テータス伝送処理部14では、冗長ビット比較部15bから不整合の判定信号を受信すると、自系が制御権を設定している場合、この不整合があっても制御権信号の切り替えを行わない。また、待機系のステータス伝送処理部14は、この不整合を受信しても待機系であることから稼動系に切り替えないように判断する。   The comparison result is transmitted to the status transmission processing unit 14. When the status transmission processing unit 14 receives the mismatch determination signal from the redundant bit comparison unit 15b, if the own system has set the control right, the status transmission processing unit 14 does not switch the control right signal even if this mismatch occurs. Further, the standby status transmission processing unit 14 determines that the standby system is not switched to the active system because it is a standby system even if this inconsistency is received.

なお、データ処理伝送部15とその通信路を用いて伝送する制御データ及びそれに付随される冗長化ビットデータは、制御データに冗長化ビットデータの余剰ビットが多重されたデータとして送信される。   The control data transmitted using the data processing transmission unit 15 and its communication path and the redundant bit data associated therewith are transmitted as data in which redundant bits of redundant bit data are multiplexed on the control data.

したがって、これらのデータの位相同期信号の検出、エラーチェックによるエラーの検出や訂正によって当該データの正常性が判断できるので、伝送する制御権信号は正しく伝送されるとともに、誤りのある場合にはその誤りが発見または訂正できる。   Therefore, since the normality of the data can be determined by detecting the phase synchronization signal of these data and detecting or correcting the error by error check, the control right signal to be transmitted is transmitted correctly. Errors can be found or corrected.

また、このデータ処理伝送部15から送受信されるデータは、予め設定される演算部11の実行周期で制御権信号を授受しているので、ステータス伝送処理部14を介して受け渡ししている制御権信号との時間的なずれによる不整合は生じない。   In addition, since the data transmitted / received from the data processing / transmission unit 15 transmits / receives a control right signal at a preset execution cycle of the arithmetic unit 11, the control right transferred via the status transmission processing unit 14. There is no mismatch due to time lag with the signal.

このようにして、ステータス伝送処理部14相互間の通信路での制御権信号の伝送系統の異常が判定できるので、稼動系の制御装置1aは稼動系として、待機系の制御装置1bは、制御権信号をオフした待機系の状態のまま動作を継続するので、両系が稼動系となることが防げる。   In this way, an abnormality in the transmission system of the control right signal in the communication path between the status transmission processing units 14 can be determined, so that the active control device 1a is the active system and the standby control device 1b is the control system. Since the operation is continued in the standby system state where the right signal is turned off, both systems can be prevented from becoming the active system.

また、制御権信号の通信路にノイズが混入し、一時的に自系制御権信号と他系制御権信号の論理が反転してしまった場合にも、稼動系の制御装置は、自系の制御権を放棄しないため、稼動系として制御を継続し、待機系へ制御データを所定の制御周期で転送することを継続する。   In addition, even when noise is mixed in the communication path of the control right signal and the logic of the own control right signal and the other control right signal is temporarily reversed, the active control device is In order not to give up the control right, the control is continued as the active system, and the control data is continuously transferred to the standby system at a predetermined control cycle.

以上述べたように、本発明によれば、ステータス伝送処理部14相互間の通信路は、極力単純なハードウェアで構成できるので偶発故障の確率を低減することができる。   As described above, according to the present invention, since the communication path between the status transmission processing units 14 can be configured with hardware as simple as possible, the probability of accidental failure can be reduced.

また、自系が稼動系であった場合は、ステータス伝送路14相互間の通信路の異常が発生して、相互の制御権信号の論理に誤りが発生しても、データ伝送処理部15相互間の通信路での冗長化ビットデータで制御権信号を比較し不整合を検出し、制御権を再設定する。   Further, when the own system is an active system, even if an error occurs in the communication path between the status transmission paths 14 and an error occurs in the logic of the mutual control right signal, the data transmission processing units 15 The control right signal is compared with the redundant bit data in the communication path between them, the mismatch is detected, and the control right is reset.

したがって、両系が稼動側となる、あるいは不要な切り替えが起こるという可能性を低減し、特別のハードウェア追加によるコスト増が少なく、制御装置のみで信頼性を向上させた二重化制御装置、及びその制御権設定の冗長化方法。   Therefore, a redundant control device that reduces the possibility of both systems becoming active or unnecessary switching, reduces the cost increase due to the addition of special hardware, and improves reliability only by the control device, and its Redundancy method of control right setting.

本発明は、上述した実施例に何ら限定されるものではなく、冗長化ビットデータは、制御権信号から生成されたものであればそのビット列データは任意に構成しても良く、また、その送受信は実行周期よりも早い制御周期で任意に送信しても良く、本発明の主旨を逸脱しない範囲で種々変形して実施することが可能である。   The present invention is not limited to the above-described embodiment. The redundant bit data may be arbitrarily configured as long as the redundant bit data is generated from the control right signal, and the transmission / reception thereof may be performed. May be arbitrarily transmitted in a control cycle earlier than the execution cycle, and various modifications can be made without departing from the gist of the present invention.

本発明の二重化制御装置の構成図。The block diagram of the duplication control apparatus of this invention. 本発明の二重化制御装置の制御権設定の冗長化データ伝送の説明図。Explanatory drawing of the redundant data transmission of the control right setting of the duplication control apparatus of this invention.

符号の説明Explanation of symbols

1a、1b 制御装置
2 入出力装置
2a I/Oバス
3 制御対象
11 演算部
12 メモリ部
13 I/Oインタフェース部
14 ステータス伝送部
15 データ伝送部
15a トラッキングデータ伝送処理部
15a1 トラッキングデータメモリ
15a2 冗長ビットエンコード部
15a3 データ伝送部
15a4 データ受信部
15a5 冗長ビット抽出部
15b 冗長ビット比較部
16 システムバス 1a, 1b Control device 2 Input / output device 2a I / O bus 3 Control target 11 Operation unit 12 Memory unit 13 I / O interface unit 14 Status transmission unit 15 Data transmission unit 15a Tracking data transmission processing unit 15a1 Tracking data memory 15a2 Redundant bit Encoding unit 15a3 Data transmission unit 15a4 Data reception unit 15a5 Redundant bit extraction unit 15b Redundant bit comparison unit 16 System bus

Claims (2)

制御対象に対して二組の制御装置を備え、一方の制御装置を稼動系制御装置、他方の制御装置を待機系制御装置として、通常は稼動系制御装置で前記制御対象の制御を行ない、この稼動系制御装置が故障した場合には待機系制御装置に切替えて、前記制御対象の制御を行う待機冗長型の二重化制御装置であって、
前記制御装置は、前記制御対象の制御を実行する制御プログラム及び制御データを記憶するメモリ部と、
前記制御装置と入出力装置との間で入力データ及び出力データをI/Oバスを介してやり取りするI/Oインタフェース部と、
自系の第1の制御権を設定するとともに、他系で設定された第2の制御権を受信し、自系の異常情報と前記第2の制御権とから自系の前記第1の制御権を再定するステータス伝送処理部と、
前記制御装置の実行周期に同期して、他系との間で相互に前記制御データと当該制御データに付随させる前記ステータス伝送処理部で送受信する前記第1の制御権及び第2の制御権から生成される冗長化ビットデータとを他系とで相互に授受するトラッキングデータ伝送部と、自系から送信する第1の前記冗長化ビットデータと他系から受信した第2の冗長化ビットデータとを比較する冗長化ビットデータ比較部とを備えるデータ伝送処理部と、
前記メモリ部から前記制御プログラムを読出し、前記I/Oインタフェース部を介して入力される前記入力データと基に、前記実行周期で制御演算を実行し、その結果を前記出力データとして前記I/Oインタフェース部に出力する演算部とから成り、
前記データ伝送処理部は、自系から送信した前記第1の冗長化ビットデータと、他系から受信した前記第2の冗長化ビットデータとを前記冗長化ビット比較部で比較して前記第1の制御権と前記第2の制御権との設定信号の整合性のの有無を判定して前記ステータス伝送処理部に送信し、前記ステータス伝送処理部は、前記冗長化ビット比較部の当該判定出力と自系の前記異常情報とから自系の前記第1の制御権を再設定するようにしたことを特徴とする二重化制御装置。 Two sets of control devices are provided for the control target, one control device is the active control device, the other control device is the standby control device, and the control target is usually controlled by the active control device. When the active system control device fails, the standby control device switches to the standby control device and performs the control of the control target.
The control device includes a memory unit for storing a control program and control data for executing control of the control target;
An I / O interface unit that exchanges input data and output data between the control device and the input / output device via an I / O bus;
The first control right of the own system is set, the second control right set by the other system is received, and the first control of the own system is determined from the abnormality information of the own system and the second control right. A status transmission processing unit for re-setting
Synchronously with the execution cycle of the control device, the control data and the first control right and the second control right that are sent and received by the status transmission processing unit associated with the control data to and from other systems. A tracking data transmission unit that exchanges the generated redundant bit data with another system, the first redundant bit data transmitted from the own system, and the second redundant bit data received from the other system; A data transmission processing unit comprising a redundant bit data comparison unit for comparing
The control program is read from the memory unit, a control operation is executed in the execution cycle based on the input data input via the I / O interface unit, and the result is used as the output data as the I / O. It consists of a calculation unit that outputs to the interface unit,
The data transmission processing unit compares the first redundancy bit data transmitted from its own system with the second redundancy bit data received from another system by the redundancy bit comparison unit. The control right and the second control right are determined to determine whether the setting signal is consistent and transmitted to the status transmission processing unit, and the status transmission processing unit outputs the determination output of the redundant bit comparison unit The duplex control apparatus is characterized in that the first control right of the own system is reset from the abnormality information of the own system. 制御対象に対して二組の制御装置を備え、一方の制御装置を稼動系制御装置、他方の制御装置を待機系制御装置として、通常は稼動系制御装置で前記制御対象の制御を行ない、この稼動系制御装置が故障した場合には待機系制御装置に切替えて、前記制御対象の制御を行う待機冗長型の二重化制御装置の制御権設定信号の冗長化方法であって、
自系の第1の制御権を設定し、
自系の異常情報と他系から送信された第2の制御権とから自系の第1の制御権を再設定し、
前記制御装置の実行周期に同期して他系との間で相互に授受する前記制御データと当該制御データに付随させる前記第1の制御権及び前記第2の制御権から生成される冗長化ビットデータとを付随させて他系に送信し、
自系から送信する第1の前記冗長化ビットデータと他系から受信した第2の前記冗長化ビットデータとを比較し、夫々前記制御装置で設定する第1の制御権と第2の制御権との設定信号の整合性の有無を判定し、
整合性に矛盾がある場合、自系の異常情報を参照して、自系の前記第1の制御権を再設定し、制御権設定信号を冗長化するようにしたことを特徴とする二重化制御装置の制御権設定信号の冗長化方法。 Two sets of control devices are provided for the control target, one control device is the active control device, the other control device is the standby control device, and the control target is usually controlled by the active control device. When the active control device fails, it is switched to the standby control device, and the redundancy method of the control right setting signal of the standby redundant type redundant control device that controls the control object,
Set the first control right of the own system,
Re-set the first control right of the own system from the abnormality information of the own system and the second control right transmitted from the other system,
Redundancy bits generated from the first control right and the second control right associated with the control data and the control data exchanged with another system in synchronization with the execution cycle of the control device Send it to other systems with data attached,
A first control right and a second control right set by the control device by comparing the first redundant bit data transmitted from the own system with the second redundant bit data received from the other system, respectively. To determine whether the setting signal is consistent with
When there is a contradiction in consistency, the duplex control is characterized in that the first control right of the own system is reset by referring to the abnormality information of the own system and the control right setting signal is made redundant. A method for making a control right setting signal redundant for a device.
JP2006330840A 2006-12-07 2006-12-07 Duplex control device and redundancy method of its control right setting signal Pending JP2008146236A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006330840A JP2008146236A (en) 2006-12-07 2006-12-07 Duplex control device and redundancy method of its control right setting signal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006330840A JP2008146236A (en) 2006-12-07 2006-12-07 Duplex control device and redundancy method of its control right setting signal

Publications (1)

Publication Number Publication Date
JP2008146236A true JP2008146236A (en) 2008-06-26

Family

ID=39606367

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006330840A Pending JP2008146236A (en) 2006-12-07 2006-12-07 Duplex control device and redundancy method of its control right setting signal

Country Status (1)

Country Link
JP (1) JP2008146236A (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014107952A (en) * 2012-11-28 2014-06-09 Mitsubishi Electric Corp Simplified supervision control device
CN109901380A (en) * 2017-12-11 2019-06-18 上海航空电器有限公司 Application circuit and method based on the redundancy design of hardware mediation on power system processor
CN110850799A (en) * 2019-11-19 2020-02-28 俊杰机械(深圳)有限公司 Production equipment adjusting device and adjusting method thereof
CN113931830A (en) * 2021-11-12 2022-01-14 华能伊敏煤电有限责任公司 Combined type variable frequency control system and method for open-pit coal mine open-drainage system
WO2024011906A1 (en) * 2022-07-15 2024-01-18 南京科远智慧科技集团股份有限公司 Master-slave redundancy control system and method

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014107952A (en) * 2012-11-28 2014-06-09 Mitsubishi Electric Corp Simplified supervision control device
CN109901380A (en) * 2017-12-11 2019-06-18 上海航空电器有限公司 Application circuit and method based on the redundancy design of hardware mediation on power system processor
CN110850799A (en) * 2019-11-19 2020-02-28 俊杰机械(深圳)有限公司 Production equipment adjusting device and adjusting method thereof
CN113931830A (en) * 2021-11-12 2022-01-14 华能伊敏煤电有限责任公司 Combined type variable frequency control system and method for open-pit coal mine open-drainage system
WO2024011906A1 (en) * 2022-07-15 2024-01-18 南京科远智慧科技集团股份有限公司 Master-slave redundancy control system and method

Similar Documents

Publication Publication Date Title
JP4309296B2 (en) Error tolerant computer control system, vehicle equipped with the system and aircraft equipped with the system
JP4776374B2 (en) Redundant supervisory control system and redundant switching method for the same system
US9934111B2 (en) Control and data transmission system, process device, and method for redundant process control with decentralized redundancy
JP5198568B2 (en) System and method for detecting signal failure in a ring bus system
US8140893B2 (en) Fault-tolerant system
US9317359B2 (en) Reliable, low latency hardware and software inter-process communication channel for safety critical system
JP5772911B2 (en) Fault tolerant system
WO2013145240A1 (en) Information processing device and information processing device control method
JP2008146236A (en) Duplex control device and redundancy method of its control right setting signal
CN103678031A (en) Double 2-vote-2 redundant system and method
US9497099B2 (en) Voting architecture for safety and mission critical systems
US20070006025A1 (en) Sending device, receiving device, communication control device, communication system, and communication control method
JP4855878B2 (en) Multi-ring network system
JP5706347B2 (en) Redundant control system
KR101846222B1 (en) Redundancy system and controllin method thereof
JP4287734B2 (en) Network equipment
EP1988469B1 (en) Error control device
JP4140615B2 (en) Data communication method and safety system
JP6394727B1 (en) Control device, control method, and fault tolerant device
JP4793117B2 (en) COMMUNICATION DEVICE, LINE PROTECTION CONTROL SYSTEM, AND LINE PROTECTION CONTROL METHOD
US11914338B2 (en) Redundant automation system and method for operating the redundant automation system
JP6099187B2 (en) Bus synchronous computer system
JP5604799B2 (en) Fault tolerant computer
JP5549570B2 (en) Data transmission apparatus and data transmission method
JP4423402B2 (en) Redundant transmission device