JP2012027805A - Control system - Google Patents

Control system Download PDF

Info

Publication number
JP2012027805A
JP2012027805A JP2010167682A JP2010167682A JP2012027805A JP 2012027805 A JP2012027805 A JP 2012027805A JP 2010167682 A JP2010167682 A JP 2010167682A JP 2010167682 A JP2010167682 A JP 2010167682A JP 2012027805 A JP2012027805 A JP 2012027805A
Authority
JP
Japan
Prior art keywords
controller
system controller
standby
execution
control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2010167682A
Other languages
Japanese (ja)
Inventor
Yoshio Matsuzawa
義男 松澤
Masahiro Fujita
雅博 藤田
Yuji Sugaya
祐二 菅谷
Yuichi Hagino
祐一 萩野
Seiji Shiroichi
誠二 城市
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi High Tech Corp
Original Assignee
Hitachi High Technologies Corp
Hitachi High Tech Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi High Technologies Corp, Hitachi High Tech Corp filed Critical Hitachi High Technologies Corp
Priority to JP2010167682A priority Critical patent/JP2012027805A/en
Publication of JP2012027805A publication Critical patent/JP2012027805A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Safety Devices In Control Systems (AREA)
  • Hardware Redundancy (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide a control system capable of continuing a plant control by a duplex control which can change over an execution right to a standby-system controller if only the standby-system controller is normal.SOLUTION: This control system includes the duplex system having an execution-system controller and the standby-system controller in an instrumentation system which controls production processes of production facilities. This control system includes a power supply element which supplies a power to an equalizing controller of the execution-system controller, a detection circuit for detecting abnormality of the power supply element, and a duplex control circuit, when the detection circuit detects abnormality of the power supply element, transmitting a changeover request to transfer the execution right from the execution-system controller to the standby-system controller, to the standby-system controller.

Description

本発明は、石油精製プラント,石油化学プラント,発電プラント,環境処理プラントといった生産設備において、生産工程を制御する計装システムに係り、特に、実行系コントローラと待機系コントローラを有する制御システムに関する。   The present invention relates to an instrumentation system that controls a production process in a production facility such as an oil refinery plant, a petrochemical plant, a power generation plant, and an environmental treatment plant, and more particularly to a control system having an execution system controller and a standby system controller.

石油精製プラント,石油化学プラント,発電プラント,環境処理プラントといった生産設備において、生産工程を制御する計装システムは、安定かつ高稼働である必要がある。例えば、環境処理プラントのうちのごみ焼却プラントについて、以下、説明する。図1はごみ焼却プラントの主な構成を示す構成図、図2はごみ焼却プラントの計装システムの主な構成を示す構成図である。ごみ焼却プラントでは、ごみピット101から焼却炉102にごみを投入し、サーマルフローメータ103で炉内の燃焼空気計測や流量計104により、焼却炉102内のごみ汚水噴霧再利用水の液体計測などを行い、ごみを焼却処理するとともに、有価物の回収や熱回収を行っている。計装システム203は、ごみ焼却プラントの生産工程で使用される超音波レベル計205,サーマルフローメータ103,流量計104といった計測機器を制御するための制御コントローラ204を有しており、また、制御コントローラ204は、イーサネット(イーサネットは登録商標)等のネットワーク回線202で操作卓201と接続され、プラントの生産工程を管理,制御している。このため、前記のように安定かつ高稼働な計装システムを構成するには、制御コントローラ204の高信頼化が必要となる。この制御コントローラ204の高信頼化手法としては、実行系コントローラの他に、待機系コントローラを備えた二重化システムが広く使用されている。   In production facilities such as an oil refinery plant, a petrochemical plant, a power generation plant, and an environmental treatment plant, an instrumentation system that controls the production process needs to be stable and highly operated. For example, a garbage incineration plant among environmental treatment plants will be described below. FIG. 1 is a configuration diagram showing a main configuration of a waste incineration plant, and FIG. 2 is a configuration diagram showing a main configuration of an instrumentation system of the waste incineration plant. In the waste incineration plant, waste is thrown into the incinerator 102 from the waste pit 101, the combustion air in the furnace is measured by the thermal flow meter 103, and the liquid measurement of the waste sewage spray reused water in the incinerator 102 is performed by the flow meter 104. The waste is incinerated, and valuables and heat are recovered. The instrumentation system 203 includes a control controller 204 for controlling measuring instruments such as an ultrasonic level meter 205, a thermal flow meter 103, and a flow meter 104 used in the production process of the waste incineration plant. The controller 204 is connected to the console 201 via a network line 202 such as Ethernet (Ethernet is a registered trademark), and manages and controls the production process of the plant. For this reason, in order to configure an instrumentation system that is stable and highly operational as described above, the control controller 204 needs to be highly reliable. As a high-reliability method for the control controller 204, a duplex system including a standby system controller is widely used in addition to the execution system controller.

制御コントローラ204の高信頼化手法のための二重化システムを構成する方法として、待機系コントローラのホットスタンバイを可能とするために、一般に、実行系コントローラの主記憶にあるプラントの制御情報など、信頼性が必要なデータ(以下、イコライズデータと称す)を実行系コントローラから待機系コントローラへ継続的に転写し、系間のイコライズデータが一致しているかのチェックを行い、二重化制御が正しいことを確認するメモリ転写方式が提案されている(例えば、特許文献1参照)。   As a method of configuring a duplex system for the high reliability method of the control controller 204, in order to enable hot standby of the standby system controller, in general, the reliability of the control information of the plant in the main memory of the execution system controller, etc. Data that needs to be transferred (hereinafter referred to as equalize data) is continuously transferred from the execution system controller to the standby system controller, and it is checked whether the equalization data between the systems match, and that the duplex control is correct. A memory transfer method has been proposed (see, for example, Patent Document 1).

このメモリ転写方式での信頼性向上のために、例えば、特許文献1では、主記憶においてECC1ビットエラーの自動修復機能と複数ビットエラーの検出を行い、複数ビットエラーが発生した場合は、待機系コントローラに実行権を切り替えることで、信頼性の高い制御コントローラを提供することにより、二重化システムにおけるプラントの安定稼動を実現している。   In order to improve the reliability in this memory transfer system, for example, in Patent Document 1, an automatic correction function of ECC 1 bit error and detection of a plurality of bit errors are performed in the main memory. By switching the execution right to the controller, a highly reliable control controller is provided, thereby realizing stable operation of the plant in the redundant system.

また、複数ビットエラーを検出した実行系コントローラは、待機系コントローラに実行権を切り替え後、主記憶の診断テストを実施し、問題なければ待機系コントローラとして継続して動作させることにより、主記憶自体のハードに問題はなく、ノイズ等の一過性の外乱により発生した複数ビットエラーについては修復させるといった機能を持たせている。このように複数ビットエラー発生時のエラー要因を特定する機能においては、制御コントローラに異常がない場合、制御コントローラを交換するといった作業やコストが発生しないため、保守性においても優れた二重化システムを提供している。   In addition, the execution system controller that has detected a multi-bit error switches the execution right to the standby system controller, performs a main memory diagnostic test, and if there is no problem, continues to operate as the standby system controller. There is no problem in hardware, and a function of repairing a multi-bit error caused by a transient disturbance such as noise is provided. In this way, in the function to identify the error factor when a multi-bit error occurs, if there is no abnormality in the control controller, there is no work and cost of replacing the control controller, so a duplex system with excellent maintainability is provided is doing.

このように、実行系コントローラで異常が発生した場合に、異常を検出し、待機系コントローラに実行権を切り替える二重化制御切り替え方式において、従来技術によれば、イコライズデータの信頼性および複数ビットエラー発生時のノイズ耐性強化などについては考慮されているが、実行系コントローラに実装されている電源生成素子の偶発故障によって発生する異常要因については考慮されていない。   In this way, when an abnormality occurs in the execution system controller, according to the conventional technology, the reliability of the equalized data and the occurrence of a multi-bit error are detected in the duplex control switching system that detects the abnormality and switches the execution right to the standby system controller. The noise tolerance enhancement at the time is taken into consideration, but the abnormal factor caused by the accidental failure of the power generation element mounted on the execution system controller is not taken into consideration.

図3は、図2の構成をより詳細に説明する構成図であり、制御コントローラ204は、二重化システムでは、実行系コントローラ302と待機系コントローラ303から構成される。また、超音波レベル計205,サーマルフローメータ103,流量計104などの計測機器は、図3では複数のプラント制御計測機器313として記載している。二重化システムは、例えば、図3のような操作卓201とイーサネット回線301により接続された実行系コントローラ302と待機系コントローラ303を持つ二重化システムでは、各々のコントローラはCPU(Central Processing Unit)306と、CPU306に接続されるイーサネットコントローラ304,イコライズコントローラ305,主記憶部307,二重化制御回路308,外部バス311,I/O(Input/Output)バス312を持ち、CPU306によりI/Oバス312に接続されたプラント制御計測機器313の制御を行っている。通常は、実行系コントローラ302で複数のプラント制御計測機器313を制御しており、イーサネットコントローラ304からイーサネット回線301を介して操作卓201でプラントの制御情報の管理,制御を行っている。一方、待機系コントローラ303のホットスタンバイを可能とするために、実行系コントローラ302の主記憶部307にあるイコライズデータを、イコライズコントローラ305により待機系コントローラ303に継続して転送を行っている。二重化の切り替えについては、CPU306の異常や電源断による停電時の検出を行い、二重化制御回路308から二重化制御信号の実行権切り替え要求を待機系コントローラ303に出力することで制御を行っている。   FIG. 3 is a block diagram for explaining the configuration of FIG. 2 in more detail. The control controller 204 includes an execution system controller 302 and a standby system controller 303 in a duplex system. In addition, measuring devices such as the ultrasonic level meter 205, the thermal flow meter 103, and the flow meter 104 are illustrated as a plurality of plant control measuring devices 313 in FIG. The duplex system is, for example, a duplex system having an execution system controller 302 and a standby system controller 303 connected by an operation console 201 and an Ethernet line 301 as shown in FIG. 3, and each controller has a CPU (Central Processing Unit) 306, It has an Ethernet controller 304, an equalize controller 305, a main storage unit 307, a duplex control circuit 308, an external bus 311 and an I / O (Input / Output) bus 312 connected to the CPU 306, and is connected to the I / O bus 312 by the CPU 306. The plant control measuring device 313 is controlled. Normally, a plurality of plant control measurement devices 313 are controlled by the execution system controller 302, and plant control information is managed and controlled by the console 201 via the Ethernet line 301 from the Ethernet controller 304. On the other hand, in order to enable hot standby of the standby system controller 303, the equalized data in the main storage unit 307 of the execution system controller 302 is continuously transferred to the standby system controller 303 by the equalization controller 305. Duplex switching is controlled by detecting a power failure due to an abnormality in the CPU 306 or power failure, and outputting a duplication control signal execution right switching request from the duplex control circuit 308 to the standby controller 303.

また、一般に、制御コントローラの二重化を必要とするシステムでは、停電時に主記憶部307のバッテリバックアップを行っており、主記憶部307への供給電源はCPU306やイコライズコントローラ305などの電源とは別電源である必要がある。このため、CPU306やイコライズコントローラ305などに供給する第1電源を生成する第1電源生成素子309と主記憶部307への供給電源である第2電源を生成する第2電源生成素子310とで構成されている。   In general, in a system that requires duplication of the controller, the main memory 307 is backed up in the event of a power failure, and the power supplied to the main memory 307 is different from that of the CPU 306, the equalizing controller 305, and the like. Need to be. Therefore, the first power generation element 309 that generates the first power to be supplied to the CPU 306, the equalization controller 305, and the like and the second power generation element 310 that generates the second power that is the power supply to the main storage unit 307 are configured. Has been.

図4は、実行系コントローラおよび待機系コントローラのタイムチャートである。実行系コントローラ302に搭載されている第1電源生成素子309の偶発故障によって発生する異常要因について、図4を用いて説明する。第1電源を生成する第1電源生成素子は偶発故障によって、時間の経過とともに過電圧となる場合がある。異常発生時の第1時刻401では、第1電源はまだ正常電圧のため、実行系コントローラのCPU,イコライズコントローラは正常に動作している。第2時刻402では、実行系コントローラのCPUはまだ正常に動作しており、異常は検出されないため、待機系コントローラに実行権の切り替え要求は行われない。しかし、第2時刻402において、実行系コントローラのイコライズコントローラが異常となり、待機系コントローラのイコライズコントローラにイコライズデータが送られなくなる。一方、待機系コントローラではイコライズデータの受信停止により、イコライズ監視タイマが作動してタイマがタイムアップすると、イコライズデータ受信エラーが検出され、待機系コントローラの二重化制御回路は自身が異常であると判断し、以降に実行系コントローラから実行権切り替え要求があっても、切り替えを拒否するように動作する。異常発生からさらに時間が経過し第3時刻403では、実行系コントローラのCPUが異常となり、実行系コントローラの二重化制御回路は自身の異常を検出し、待機系コントローラに実行権切り替え要求を行うが、前記の通り、待機系コントローラでは既に第2時刻402において自身の異常を検出しているため、プラント制御の計測機器を安定制御するのに必要なCPUやイーサネットコントローラ,主記憶部、またそれらに供給する電源生成素子などは正常であるにも関わらず、実行権の切り替えが正常に行われない。このため、実行系コントローラの電源生成素子の偶発故障であっても、その影響を待機系コントローラで受けることなく、待機系コントローラが正常であれば待機系コントローラに実行権を切り替えることができる二重化制御回路が必要となる。これにより、異常を警告するだけで、プラント制御を継続可能であるにもかかわらず、プラントが停止してしまうという課題があった。   FIG. 4 is a time chart of the execution system controller and the standby system controller. An abnormality factor that occurs due to an accidental failure of the first power generation element 309 mounted on the execution system controller 302 will be described with reference to FIG. The first power generation element that generates the first power may become an overvoltage with time due to an accidental failure. At the first time 401 when an abnormality occurs, the first power supply is still at a normal voltage, so the CPU and the equalization controller of the execution system controller are operating normally. At the second time 402, the CPU of the execution system controller is still operating normally, and no abnormality is detected, so no execution right switching request is made to the standby system controller. However, at the second time 402, the equalizing controller of the execution system controller becomes abnormal and the equalizing data cannot be sent to the equalizing controller of the standby system controller. On the other hand, when the equalization data reception is stopped and the equalization monitoring timer is activated and the timer expires, the standby controller detects an equalization data reception error, and the standby controller's duplex control circuit determines that it is abnormal. Thereafter, even if there is an execution right switching request from the execution system controller, the operation is performed so as to reject the switching. At the third time 403 when more time has elapsed from the occurrence of the abnormality, the CPU of the execution system controller becomes abnormal, and the duplication control circuit of the execution system controller detects its own abnormality and issues an execution right switching request to the standby system controller. As described above, since the standby system controller has already detected its own abnormality at the second time 402, the CPU, the Ethernet controller, the main storage unit, and the supply to them are necessary for stable control of the plant control measurement equipment. Even though the power generation element to be executed is normal, the execution right is not switched normally. Therefore, even if there is an accidental failure of the power generation element of the active controller, the redundant control can switch the execution right to the standby controller if the standby controller is normal without being affected by the standby controller A circuit is required. Thus, there is a problem that the plant stops even though the plant control can be continued only by warning the abnormality.

特開2008−146239号公報JP 2008-146239 A

上記のように、生産設備の生産工程を制御する制御コントローラの高信頼化のために、実行系コントローラと待機系コントローラを持った二重化システムにおいて、従来の実行権の切り替えを行う二重化制御の切り替え方式では、実行系コントローラのCPUやイコライズコントローラに供給する電源を生成する素子の偶発故障が発生した場合、プラント制御の計測機器を安定制御するのに必要なCPUやイーサネットコントローラ,主記憶部、またそれらに供給する電源生成素子などは正常であるにも関わらず、実行系から待機系へ実行権の切り替えができない。その結果、異常を警告するだけで、プラント制御を継続可能であるにもかかわらず、プラントが停止してしまうという課題があった。   As described above, in order to increase the reliability of the control controller that controls the production process of the production facility, the conventional dual control switching method that switches the execution right in the dual system with the execution system controller and standby system controller Then, in the event of an accidental failure of an element that generates power to be supplied to the CPU or equalizer controller of the execution system controller, the CPU, Ethernet controller, main memory unit, etc. necessary for stable control of the measurement equipment for plant control Although the power generation element and the like supplied to the device are normal, the execution right cannot be switched from the active system to the standby system. As a result, there is a problem that the plant stops even though the plant control can be continued only by warning the abnormality.

本発明の目的は、実行系コントローラの電源生成素子の偶発故障であっても、その影響を待機系コントローラで受けることなく、待機系コントローラが正常であれば待機系コントローラに実行権を切り替えることができるようにした二重化制御の切り替え方式を構築することで、プラント制御を継続可能な制御システムを提供することである。   The object of the present invention is to switch the execution right to the standby controller if the standby controller is normal without being affected by the standby controller even if the power generation element of the active controller is accidentally broken. It is to provide a control system capable of continuing plant control by constructing a dual control switching method that can be performed.

上記課題を解決するために、本発明の実施態様は、生産設備の生産工程を制御する計装システムにおける実行系コントローラと待機系コントローラを有する二重化システムを備えた制御システムにおいて、実行系コントローラのイコライズコントローラへ電源を供給する電源素子と、電源素子の異常を検出する検出回路と、検出回路で電源素子の異常を検出すると、実行系コントローラから待機系コントローラへの実行権の切り替え要求を待機系コントローラへ送信する二重化制御回路とを備えたことを特徴とする。   In order to solve the above-described problems, an embodiment of the present invention provides an equalization of an execution system controller in a control system including a redundant system having an execution system controller and a standby system controller in an instrumentation system that controls a production process of a production facility. A power supply element that supplies power to the controller, a detection circuit that detects an abnormality in the power supply element, and a detection circuit that detects an abnormality in the power supply element issues a request to switch the execution right from the execution system controller to the standby system controller And a duplex control circuit for transmitting to the network.

本発明によれば、プラントの生産工程を制御する制御コントローラの高信頼化のために、実行系コントローラと待機系コントローラを持った二重化システムにおいて、実行系コントローラの電源生成素子の偶発故障であっても、その影響を待機系コントローラで受けることなく、待機系コントローラが正常であれば待機系コントローラに実行権を切り替えることができる二重化制御の切り替え方式を構築することが可能となり、プラント制御を継続可能な制御システムを提供することができる。   According to the present invention, in order to increase the reliability of a control controller that controls the production process of a plant, in a redundant system having an execution system controller and a standby system controller, it is an accidental failure of a power generation element of the execution system controller. However, without being affected by the standby system controller, it is possible to build a duplex control switching method that can switch the execution right to the standby system controller if the standby system controller is normal, and plant control can be continued. A simple control system can be provided.

ごみ焼却プラントの主な構成を示す構成図である。It is a block diagram which shows the main structures of a waste incineration plant. ごみ焼却プラントの計装システムの主な構成を示す構成図である。It is a block diagram which shows the main structures of the instrumentation system of a refuse incineration plant. 図2の構成をより詳細に説明する構成図である。It is a block diagram explaining the structure of FIG. 2 in detail. 実行系コントローラおよび待機系コントローラのタイムチャートである。It is a time chart of an execution system controller and a standby system controller. 実行系コントローラおよび待機系コントローラのタイムチャートである。It is a time chart of an execution system controller and a standby system controller. 実行系コントローラの実行内容を示すフローチャートである。It is a flowchart which shows the execution content of an execution system controller. 待機系コントローラの実行内容を示すフローチャートである。It is a flowchart which shows the execution content of a standby system controller. 制御コントローラの第1電源生成素子と二重化制御回路の構成を示すブロック図である。It is a block diagram which shows the structure of the 1st power generation element of a control controller, and a duplication control circuit. 第1電源の過電圧検出時の実行系コントローラの動作を示すフローチャートである。It is a flowchart which shows operation | movement of the execution system controller at the time of the overvoltage detection of a 1st power supply.

以下、本発明の実施例を、図面を参照しながら説明する。   Embodiments of the present invention will be described below with reference to the drawings.

〔実施例〕
図5は、実行系コントローラおよび待機系コントローラのタイムチャートであり、図3に示す実行系コントローラ302のCPU306やイコライズコントローラ305に供給している第1電源生成素子309の偶発故障によって、第1電源が過電圧となった場合の、二重化制御回路における待機系コントローラ303への実行権切り替えタイミングを示している。また、図6は、実行系コントローラ302の実行内容を示すフローチャートであり、図7は、待機系コントローラ303の実行内容を示すフローチャートである。 〔Example〕
FIG. 5 is a time chart of the execution system controller and the standby system controller. The first power source is generated by an accidental failure of the first power generation element 309 supplied to the CPU 306 and the equalization controller 305 of the execution system controller 302 shown in FIG. The execution right switching timing to the standby system controller 303 in the redundant control circuit when is overvoltage is shown. FIG. 6 is a flowchart showing the execution contents of the execution system controller 302, and FIG. 7 is a flowchart showing the execution contents of the standby system controller 303.

実行系コントローラ302のCPU306やイコライズコントローラ305に供給している第1電源を生成する第1電源生成素子309は、偶発故障によって、時間の経過とともに過電圧となる場合がある。図5において、異常発生時の第1時刻501では、第1電源はまだ正常電圧であり、実行系コントローラ302のCPU306とイコライズコントローラ305は正常に動作している。第2時刻502になると、第1電源の電圧が異常電圧1に達し、過電圧になるので、実行系コントローラ302のCPU306とイコライズコントローラ305が異常となる。このとき、イコライズコントローラ305から待機系コントローラ303のイコライズコントローラにイコライズデータが送信されなくなる。この時にイコライズコントローラ305で検出されるイコライズデータ送信エラーを検出するタイミング503を、実行系コントローラ302の二重化制御回路308において、CPU306の異常による実行権切り替え要因に加えることで、図6に示す実行系コントローラ302の動作フローの通り、イコライズデータ送信エラーを検出し(ステップ601)、待機系コントローラ303に実行権切り替え要求を行い、操作卓201にイコライズデータ送信エラーの検出を示すデータを出力する(ステップ602)。なお、この時の実行系コントローラ302の操作卓201へのエラー報告は、図3に示すCPU306からイーサネットコントローラ304を介して行われ、操作卓201にエラーログ314を残す。エラーログ314には、エラーが発生した年月日,時刻(yyyy/mm/dd hh:mm:ss)を付加しているので、エラー発生要因の特定が容易となる。   The first power generation element 309 that generates the first power supplied to the CPU 306 and the equalization controller 305 of the execution system controller 302 may become overvoltage with time due to an accidental failure. In FIG. 5, at the first time 501 when an abnormality occurs, the first power supply is still at a normal voltage, and the CPU 306 and the equalization controller 305 of the execution system controller 302 are operating normally. At the second time 502, the voltage of the first power supply reaches the abnormal voltage 1 and becomes an overvoltage, so that the CPU 306 and the equalizing controller 305 of the execution system controller 302 become abnormal. At this time, equalization data is not transmitted from the equalization controller 305 to the equalization controller of the standby controller 303. At this time, a timing 503 for detecting an equalized data transmission error detected by the equalizing controller 305 is added to the execution right switching factor due to the abnormality of the CPU 306 in the duplication control circuit 308 of the executing system controller 302, thereby executing the execution system shown in FIG. As shown in the operation flow of the controller 302, an equalized data transmission error is detected (step 601), an execution right switching request is issued to the standby controller 303, and data indicating detection of the equalized data transmission error is output to the console 201 (step). 602). At this time, the error report to the console 201 of the execution system controller 302 is made from the CPU 306 shown in FIG. 3 via the Ethernet controller 304, and the error log 314 is left in the console 201. Since the date and time (yyyy / mm / dd hh: mm: ss) at which the error occurred are added to the error log 314, it is easy to identify the cause of the error.

また、実行系コントローラ302の動作フローは、図6に示すように、CPUの異常を検出し(ステップ603)、以降の実行権の切り替えの受付を拒否する。一方、待機系コントローラ303では、図7に示すように、実行系コントローラ302のイコライズコントローラ305が異常となり、イコライズ監視タイマがタイムアップする前に、実行系コントローラ302からイコライズデータ送信エラーにより実行権切り替え要求が出力される(ステップ701)。このステップにより、待機系コントローラ303は実行権切り替えの受付が可能となり(ステップ706)、待機系コントローラ303は実行系コントローラ302と同様の動作を行う(ステップ707)。一方、従来技術では、実行権切り替え要求のステップ701がなく、異常によりイコライズデータを受信しない場合(ステップ702)、イコライズ監視タイマが作動し(ステップ703)、タイマ作動後、イコライズ監視タイマがタイムアップすると(ステップ704)、待機系コントローラ303の二重化制御回路は、自身のCPU異常を検出し(ステップ705)、以降の実行系コントローラ302から送られる実行権切り替え要求の受付を拒否するので、制御が停止してしまう。   Further, as shown in FIG. 6, the operation flow of the execution system controller 302 detects an abnormality of the CPU (step 603), and rejects the subsequent execution right switching. On the other hand, in the standby system controller 303, as shown in FIG. 7, before the equalization controller 305 of the execution system controller 302 becomes abnormal and the equalization monitoring timer expires, the execution system controller 302 switches the execution right due to an equalize data transmission error. A request is output (step 701). This step allows the standby controller 303 to accept execution right switching (step 706), and the standby controller 303 performs the same operation as the execution controller 302 (step 707). On the other hand, in the prior art, when there is no execution right switching request step 701 and equalization data is not received due to an abnormality (step 702), the equalization monitoring timer is activated (step 703), and the equalization monitoring timer is timed up after the timer is activated. Then (Step 704), the duplexing control circuit of the standby system controller 303 detects its own CPU abnormality (Step 705), and rejects acceptance of the execution right switching request sent from the subsequent execution system controller 302. It will stop.

図8は、制御コントローラ204の、第1電源生成素子と二重化制御回路の構成を示すブロック図である。実行系コントローラ302のCPU306やイコライズコントローラ305に供給される第1電源を生成する第1電源生成素子309が、偶発故障によって、図5に示すように時間の経過とともに過電圧となり、第1電源が第2時刻502で異常電圧1になると、イコライズコントローラ305が異常となり、待機系コントローラ303にイコライズデータが送信されなくなる。第1電源の過電圧を検出する回路、および過電圧検出時に過電圧検出LEDを点灯駆動する回路801を、実行系コントローラおよび待機系コントローラ各々に設け、過電圧検出LED802を点灯させる。また、第1電源の過電圧検出時に、二重化制御回路308により、図7のステップ701で実行される実行権の切り替え要求を行い、二重化制御信号を送信する。   FIG. 8 is a block diagram illustrating the configuration of the first power generation element and the duplex control circuit of the controller 204. The first power generation element 309 that generates the first power to be supplied to the CPU 306 and the equalization controller 305 of the execution system controller 302 becomes an overvoltage as time passes as shown in FIG. When the abnormal voltage becomes 1 at 2 time 502, the equalizing controller 305 becomes abnormal, and the equalizing data is not transmitted to the standby controller 303. A circuit for detecting an overvoltage of the first power supply and a circuit 801 for lighting and driving the overvoltage detection LED when overvoltage is detected are provided in each of the execution system controller and the standby system controller, and the overvoltage detection LED 802 is lit. When the overvoltage of the first power supply is detected, the duplex control circuit 308 makes a request for switching the execution right executed in step 701 in FIG. 7 and transmits a duplex control signal.

図9は、図8に示した第1電源の過電圧検出時の実行系コントローラ302の動作を示すフローチャートである。実行系コントローラ302では、第1電源を生成する第1電源生成素子309の偶発故障により過電圧となった図5に示す第1電源の異常電圧1を、過電圧を検出する回路801により検出する(ステップ901)。異常電圧1の過電圧を検出すると、二重化制御回路308により、待機系コントローラ303に対して実行権の切り替え要求を行い、また、過電圧検出LED802を点灯駆動させる回路801により、過電圧検出LED802の点灯制御を行う(ステップ902)。実行権の切り替え要求後、実行系コントローラ302は、CPU306の異常を検出し(ステップ903)、以降の実行権の切り替え要求の受付を拒否するように動作する。これにより、第1電源生成素子309からの第1電源の過電圧が発生している実行系コントローラ302による制御は行われなくなり、待機系コントローラ303による制御に切り替えることができる。   FIG. 9 is a flowchart showing an operation of the execution system controller 302 when an overvoltage of the first power source shown in FIG. 8 is detected. In the execution system controller 302, the abnormal voltage 1 of the first power source shown in FIG. 5 that has become an overvoltage due to an accidental failure of the first power generation element 309 that generates the first power source is detected by the circuit 801 that detects the overvoltage (step 801). 901). When the overvoltage of the abnormal voltage 1 is detected, the duplication control circuit 308 requests the standby controller 303 to switch the execution right, and the circuit 801 for driving the overvoltage detection LED 802 to turn on controls the lighting of the overvoltage detection LED 802. Perform (step 902). After the execution right switching request, the execution system controller 302 detects an abnormality of the CPU 306 (step 903), and operates to reject acceptance of subsequent execution right switching requests. Thereby, the control by the execution system controller 302 in which the overvoltage of the first power supply from the first power generation element 309 is generated is not performed, and the control can be switched to the control by the standby system controller 303.

以上述べたように、本発明の実施例によれば、実行系コントローラにおいて、CPUやイコライズコントローラに供給している第1電源の生成素子の偶発故障によってイコライズコントローラが異常となると、待機系コントローラでイコライズデータが受信できなくなるが、その前に二重化制御回路により実行権の切り替え要求を待機系コントローラに対して行うことで、待機系コントローラではイコライズ受信エラーが検出される前に実行権の切り替えを行うようにすることで、待機系コントローラが正常であれば待機系コントローラに実行権を切り替えることができる二重化制御の切り替え方式を構築することが可能となり、プラント制御を継続可能な制御システムを提供することができる。   As described above, according to the embodiment of the present invention, when the equalizing controller becomes abnormal due to an accidental failure of the generating element of the first power source supplied to the CPU or the equalizing controller in the execution system controller, the standby system controller Before the equalization data can be received, the standby controller switches the execution right before the equalization reception error is detected by making a request for switching the execution right to the standby controller by the duplex control circuit. By doing so, it becomes possible to construct a switching method of duplex control that can switch the execution right to the standby controller if the standby controller is normal, and provide a control system capable of continuing plant control Can do.

以上の通り、本発明である二重化制御の実行権切り替え方式では、プラントの生産工程を制御する制御コントローラの高信頼化のために、実行系コントローラと待機系コントローラを持った二重化システムにおいて、従来方式では考慮されていなかった実行系コントローラの電源生成素子の偶発故障であっても、その影響を待機系コントローラで受けることなく、待機系コントローラが正常であれば待機系コントローラに実行権を切り替えることができるため、信頼性の高い二重化制御の切り替え方式を提供することが可能となる。   As described above, in the duplication control execution right switching system according to the present invention, the conventional system is used in the duplication system having the execution system controller and the standby system controller in order to increase the reliability of the control controller for controlling the production process of the plant. If the standby controller is normal, the execution right can be switched to the standby controller without being affected by the standby controller even if it is an accidental failure of the power generation element of the active controller that was not considered in Therefore, it is possible to provide a highly reliable duplex control switching method.

101 ごみピット
102 焼却炉
201 操作卓
203 計装システム
204 制御コントローラ
302 実行系コントローラ
303 待機系コントローラ
305 イコライズコントローラ
306 CPU
308 二重化制御回路
309 第1電源生成素子
313 プラント制御計測機器 101 Garbage Pit 102 Incinerator 201 Operation Console 203 Instrumentation System 204 Control Controller 302 Execution System Controller 303 Standby System Controller 305 Equalization Controller 306 CPU
308 Redundant control circuit 309 First power generation element 313 Plant control measuring instrument

Claims (2)

生産設備の生産工程を制御する計装システムにおける実行系コントローラと待機系コントローラを有する二重化システムを備えた制御システムにおいて、
前記実行系コントローラのイコライズコントローラへ電源を供給する電源素子と、
前記電源素子の異常を検出する検出回路と、
前記検出回路で前記電源素子の異常を検出すると、前記実行系コントローラから前記待機系コントローラへの実行権の切り替え要求を前記待機系コントローラへ送信する二重化制御回路とを備えたことを特徴とする制御ユニット。 In a control system comprising a redundant system having an execution system controller and a standby system controller in an instrumentation system that controls the production process of a production facility,
A power supply element for supplying power to the equalizing controller of the execution system controller;
A detection circuit for detecting an abnormality of the power supply element;
A duplex control circuit that transmits a request to switch the execution right from the active controller to the standby controller when the detection circuit detects an abnormality in the power supply element; unit. 請求項1において、前記待機系ユニットは、前記実行系コントローラのイコライズコントローラから前記待機系コントローラへ送信されるイコライズデータの送信が停止したことを検出して前記実行系コントローラからの実行権の新たな切り替え要求を拒否することを特徴とする制御システム。   2. The standby system unit according to claim 1, wherein the standby system unit detects that the transmission of equalize data transmitted from the equalize controller of the execution system controller to the standby system controller has stopped, and newly executes an execution right from the execution system controller. A control system characterized by rejecting a switching request.
JP2010167682A 2010-07-27 2010-07-27 Control system Pending JP2012027805A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010167682A JP2012027805A (en) 2010-07-27 2010-07-27 Control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010167682A JP2012027805A (en) 2010-07-27 2010-07-27 Control system

Publications (1)

Publication Number Publication Date
JP2012027805A true JP2012027805A (en) 2012-02-09

Family

ID=45780637

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010167682A Pending JP2012027805A (en) 2010-07-27 2010-07-27 Control system

Country Status (1)

Country Link
JP (1) JP2012027805A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014143490A (en) * 2013-01-22 2014-08-07 Denso Corp Load Drive circuit
JP2016095770A (en) * 2014-11-17 2016-05-26 富士電機株式会社 Controller and redundancy control system using the same

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11305801A (en) * 1998-04-22 1999-11-05 Mitsubishi Electric Corp Process controller
JP2002149203A (en) * 2000-11-09 2002-05-24 Mitsubishi Heavy Ind Ltd System switching control device and cpu duplex system for control device

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11305801A (en) * 1998-04-22 1999-11-05 Mitsubishi Electric Corp Process controller
JP2002149203A (en) * 2000-11-09 2002-05-24 Mitsubishi Heavy Ind Ltd System switching control device and cpu duplex system for control device

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014143490A (en) * 2013-01-22 2014-08-07 Denso Corp Load Drive circuit
JP2016095770A (en) * 2014-11-17 2016-05-26 富士電機株式会社 Controller and redundancy control system using the same

Similar Documents

Publication Publication Date Title
US7120820B2 (en) Redundant control system and control computer and peripheral unit for a control system of this type
JP2011043957A (en) Fault monitoring circuit, semiconductor integrated circuit, and faulty part locating method
US10222770B2 (en) Method and apparatus for analogue output current control
US20150293806A1 (en) Direct Connect Algorithm
WO2017073071A1 (en) Fuel cell device, fuel cell system, method for controlling fuel cell system, and controller
CN109143839A (en) A kind of sensor redundancy control method highly fault tolerant
JP2002517850A (en) Machine, plant or appliance control device and control monitoring method
JPH07334382A (en) Multicontroller system
JP6812736B2 (en) Arithmetic logic unit and control unit
JP2012027805A (en) Control system
JP5706347B2 (en) Redundant control system
JP6151655B2 (en) Numerical controller
JP2011022957A (en) System and method for monitoring voltage
JP2014048809A (en) Plc unit and plc system
US20190079823A1 (en) Signal Pairing for Module Expansion of a Failsafe Computing System
KR101448013B1 (en) Fault-tolerant apparatus and method in multi-computer for Unmanned Aerial Vehicle
JP2009075719A (en) Redundancy configuration device and self-diagnostic method thereof
JP2007018026A (en) Controller
JP2014086023A (en) Process monitor control system
JP6288609B2 (en) Redundant controller
JP2004206212A (en) Operation monitoring system
JP2004326405A (en) State monitoring system for watchdog timer circuit
JP2014164488A (en) Control device, control method, and control program
JP6101648B2 (en) Abnormal transmission detection apparatus and method
JP2017220842A (en) Duplex switching system

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20120517

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120827

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120827

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130723

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130724

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20131119