JP2017021617A - 多重化制御装置 - Google Patents

多重化制御装置 Download PDF

Info

Publication number
JP2017021617A
JP2017021617A JP2015139426A JP2015139426A JP2017021617A JP 2017021617 A JP2017021617 A JP 2017021617A JP 2015139426 A JP2015139426 A JP 2015139426A JP 2015139426 A JP2015139426 A JP 2015139426A JP 2017021617 A JP2017021617 A JP 2017021617A
Authority
JP
Japan
Prior art keywords
unit
output
power supply
units
input
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2015139426A
Other languages
English (en)
Inventor
森 俊樹
Toshiki Mori
俊樹 森
中谷 博司
Hiroshi Nakatani
博司 中谷
俊也 丸地
Shunya Maruchi
俊也 丸地
順陽 吉田
Nobuaki Yoshida
順陽 吉田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2015139426A priority Critical patent/JP2017021617A/ja
Priority to EP16167710.9A priority patent/EP3118695A1/en
Priority to US15/143,890 priority patent/US20170017210A1/en
Publication of JP2017021617A publication Critical patent/JP2017021617A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B11/00Automatic controllers
    • G05B11/01Automatic controllers electric
    • G05B11/012Automatic controllers electric details of the transmission means
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05FSYSTEMS FOR REGULATING ELECTRIC OR MAGNETIC VARIABLES
    • G05F1/00Automatic systems in which deviations of an electric quantity from one or more predetermined values are detected at the output of the system and fed back to a device within the system to restore the detected quantity to its predetermined value or values, i.e. retroactive systems
    • G05F1/66Regulating electric power

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Power Engineering (AREA)
  • Electromagnetism (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

【課題】二重故障に対する安全性を向上させることが可能な多重化制御装置を提供する。【解決手段】多重化制御装置は、入力信号を入力値に変換し、前記入力値を出力する第1から第N入力部10(Nは3以上の整数)と、前記入力値を演算して出力値を生成し、前記出力値を出力する第1から第N演算部20とを備える。前記装置はさらに、前記出力値を出力信号に変換し、前記出力信号を、前記出力信号の多数決演算を行う多数決部に出力する第1から第N出力部30と、前記第1から第N入力部、前記第1から第N演算部、および前記第1から第N出力部にそれぞれ電力を供給する第1から第N電源部60とを備える。さらに、第X出力部(Xは1〜Nの整数)は、第X電源部から前記第X出力部への電力供給が停止している場合に、前記第X出力部と前記多数決部との間の出力信号線が、安全側状態であるオープン状態になるように構成されている。【選択図】図2

Description

本発明の実施形態は、多重化制御装置に関する。
一般に、発電プラント等を制御する制御装置は、制御装置の単一故障が発生しても出力を誤らずに制御を継続する必要がある。そのため、このような制御装置には、単一故障時にも出力を誤らずに制御を継続できるように、三重化以上の多重化アーキテクチャが用いられることが多い。このような制御装置を、多重化制御装置と呼ぶ。
図10は、従来の多重化制御装置2の構成を示すブロック図である。
図10の多重化制御装置2は、三重化制御装置であり、入力装置1A〜1Cと出力装置3とに接続されている。この多重化制御装置2は、入力部10A〜10Cと、演算部20A〜20Cと、出力部30A〜30Cと、多数決部40とを備えている。この多重化制御装置2は、入力部10A、演算部20A、および出力部30Aを含むA系と、入力部10B、演算部20B、および出力部30Bを含むB系と、入力部10C、演算部20C、および出力部30Cを含むC系の3系統を備えている。
入力部10A〜10Cはそれぞれ、入力装置1A〜1Cから入力信号を受け取り、受け取った入力信号を入力値に変換し、入力値を入力値線51A〜51Cに出力する。演算部20A〜20Cはそれぞれ、入力値線51A〜51Cから入力値を受け取り、受け取った入力値を演算して出力値を生成し、出力値を出力値線52A〜52Cに出力する。出力部30A〜30Cは、出力値線52A〜52Cから出力値を受け取り、受け取った出力値を出力信号に変換し、出力信号を出力信号線53A〜53Cに出力する。
多数決部40は、出力信号線53A〜53Cから出力信号を受け取り、受け取った出力信号の多数決を取る多数決演算を行い、多数決で選択された出力信号をシステム出力信号として出力する。システム出力信号は、システム出力信号線54を介して出力装置3に出力される。多数決部40は、3つの出力信号の中から2つ以上の出力信号と一致するシステム出力信号を選択する「2 out of 3」の多数決演算を行う。出力装置3の動作は、このシステム出力信号により制御される。
これにより、多重化制御装置2は、入力部10A〜10C、演算部20A〜20C、および出力部30A〜30Cのうちの1か所に故障が発生しても、正しい出力で制御を継続することができる。理由は、この故障により出力部30A〜30Cの1つが正しい出力を行えなくなるものの、他の2つが正しい出力を行えるため、多重化制御装置2は多数決で正しい出力を行えるからである。
出力装置3の例は、発電プラント内のモータや弁である。出力値の例は、モータや弁を稼働させるためのデジタル出力条件を示す値である。出力信号およびシステム出力信号の例は、このような出力値を2値化した信号である。この場合、出力信号線53A〜53Cやシステム出力信号線54は、安全側状態と危険側状態の2つの状態を取り得る。
安全側状態とは、例えばこれらの信号線のオープン状態を指し、信号線が開いた状態を指す。一方、危険側状態とは、例えばこれらの信号線のクローズ状態を指し、信号線が閉じた状態を指す。この場合のシステム出力信号の例は、システム出力信号線54がクローズ状態の場合に、発電プラントを駆動させるモータに電力を供給する制御信号である。理由は、このようなモータは一般に、電力が供給されて動作状態にあるよりも、電力が遮断されて停止状態にある方が安全であるからである。
一方、信号線のクローズ状態が安全側状態である場合も考えられる。この場合のシステム出力信号の例は、システム出力信号線54がクローズ状態の場合に、発電プラント内の電磁弁に電力を供給する制御信号である。理由は、このような電磁弁は一般に、電力が遮断されて動作できない状態にあるよりも、電力が供給されて動作できる状態にある方が安全であるからである。
特開2001−175301号公報
前述のように、多重化制御装置2は、単一故障時にも、出力を誤らずに制御を継続する必要がある。多重化制御装置2は、第1の故障が発生した場合でも、その故障状態が維持されたまま、制御を継続することが要求される。この場合に、予期せぬ第2の故障が発生すると、多重化制御装置2の出力に異常が生じるおそれがある。
例えば、出力部30Aに第1の故障が発生した場合、出力部30Aの出力信号が危険側に固着する場合がある。この場合、出力部30Bに第2の故障が発生して、出力部30Bの出力信号が危険側に固着すると、出力部30A、30Bの危険側の出力信号が多数決部40で多数派となる。その結果、多数決部40は、この二重故障により危険側のシステム出力信号しか出力できなくなる。
よって、従来の三重化制御装置2では、単一故障が発生した場合、二重故障が発生する前に必要な対策をとる必要がある。そのため、単一故障時に多重化制御装置2による制御を継続できないことが問題となる。
そこで、本発明は、二重故障に対する安全性を向上させることが可能な多重化制御装置を提供することを課題とする。
一の実施形態によれば、多重化制御装置は、入力信号を入力値に変換し、前記入力値を出力する第1から第N入力部(Nは3以上の整数)と、前記入力値を演算して出力値を生成し、前記出力値を出力する第1から第N演算部とを備える。前記装置はさらに、前記出力値を出力信号に変換し、前記出力信号を、前記出力信号の多数決演算を行う多数決部に出力する第1から第N出力部と、前記第1から第N入力部、前記第1から第N演算部、および前記第1から第N出力部にそれぞれ電力を供給する第1から第N電源部とを備える。さらに、第X出力部(Xは1〜Nの整数)は、第X電源部から前記第X出力部への電力供給が停止している場合に、前記第X出力部と前記多数決部との間の出力信号線が、安全側状態であるオープン状態になるように構成されている。
第1実施形態の多重化制御装置の構成を示すブロック図である。 第1実施形態の多重化制御装置の構成を詳細に示すブロック図である。 第1実施形態の多重化制御装置の動作例を示すフローチャートである。 第1実施形態の多重化制御装置の別の動作例を示すフローチャートである。 第2実施形態の多重化制御装置の動作例を示すブロック図である。 第2実施形態の多重化制御装置の別の動作例を示すブロック図である。 第3実施形態の多重化制御装置の動作例を示すブロック図である。 第4実施形態の多重化制御装置の動作例を示すブロック図である。 第4実施形態の多重化制御装置の別の動作例を示すブロック図である。 従来の多重化制御装置の構成を示すブロック図である。
以下、本発明の実施形態を、図面を参照して説明する。
図1〜図9において、図10に示す構成要素と同一または類似の構成要素には同一の符号を付し、図10の説明と重複する説明は省略する。
(第1実施形態)
図1は、第1実施形態の多重化制御装置2の構成を示すブロック図である。
図1の多重化制御装置2は、第1から第N入力部(Nは3以上の整数)の例である入力部10A〜10Cと、第1から第N演算部の例である演算部20A〜20Cと、第1から第N出力部の例である出力部30A〜30Cと、多数決部40と、第1から第N電源部の例である電源部60A〜60Cとを備えている。さらに、演算部20A〜20Cはそれぞれ、演算処理部21A〜21Cと、診断部22A〜22Cと、通信部23A〜23Cとを備えている。
入力部10Aは、入力装置1Aから受け取った入力信号を入力値に変換し、この入力値を入力値線51Aに出力する。演算部20Aは、入力値線51Aから受け取った入力値を演算して出力値を生成し、この出力値を出力値線52Aに出力する。出力部30Aは、出力値線52Aから受け取った出力値を出力信号に変換し、この出力信号を出力信号線53Aに出力する。電源部60Aは、入力部10A、演算部20A、および出力部30Aに電力を供給する。
同様に、入力部10Bは、入力装置1Bから受け取った入力信号を入力値に変換し、この入力値を入力値線51Bに出力する。演算部20Bは、入力値線51Bから受け取った入力値を演算して出力値を生成し、この出力値を出力値線52Bに出力する。出力部30Bは、出力値線52Bから受け取った出力値を出力信号に変換し、この出力信号を出力信号線53Bに出力する。電源部60Bは、入力部10B、演算部20B、および出力部30Bに電力を供給する。
同様に、入力部10Cは、入力装置1Cから受け取った入力信号を入力値に変換し、この入力値を入力値線51Cに出力する。演算部20Cは、入力値線51Cから受け取った入力値を演算して出力値を生成し、この出力値を出力値線52Cに出力する。出力部30Cは、出力値線52Cから受け取った出力値を出力信号に変換し、この出力信号を出力信号線53Cに出力する。電源部60Cは、入力部10C、演算部20C、および出力部30Cに電力を供給する。
演算処理部21Aは、入力部10Aからの入力値を演算して出力値を生成し、出力値を出力値線52Aに出力する。これは、演算処理部21B、21Cでも同様である。
通信部23A、23Bは、ネットワーク55Aにより互いに接続されている。通信部23B、23Cは、ネットワーク55Bにより互いに接続されている。通信部23C、23Aは、ネットワーク55Cにより互いに接続されている。
通信部23Aは、入力部10Aからの入力値や、演算処理部21Aにより生成された出力値を、ネットワーク55A、55Cを介して通信部23B、23Cに供給する。また、通信部23Aは、入力部10Bからの入力値や、演算処理部21Bにより生成された出力値を、ネットワーク55Aを介して通信部23Bから受け取る。また、通信部23Aは、入力部10Bからの入力値や、演算処理部21Cにより生成された出力値を、ネットワーク55Cを介して通信部23Cから受け取る。これは、通信部23B、23Cでも同様である。
診断部22Aは、入力部11Aから受け取った入力値や、演算処理部21Aにより生成された出力値や、通信部23B、23Cから受け取った入力値や出力値を用いて自己診断などの診断処理を行う。これは、診断部22B、22Cでも同様である。診断部22A〜22Cは、診断結果をネットワーク55A〜55Cを介して互いに交換してもよい。
多数決部40は、出力信号線53A〜53Cから出力信号を受け取り、受け取った出力信号の多数決を取る多数決演算を行い、多数決で選択された出力信号をシステム出力信号として出力する。システム出力信号は、システム出力信号線54を介して出力装置3に出力される。多数決部40は、3つの出力信号の中から2つ以上の出力信号と一致するシステム出力信号を選択する「2 out of 3」の多数決演算を行う。出力装置3の動作は、このシステム出力信号により制御される。
入力信号の例は、スイッチやボタンの操作内容を示す信号や、温度センサや圧力センサにより測定された温度や圧力を示す信号や、機器の速度や回転数を示す信号である。本実施形態の入力装置1A〜1Cは、入力部10A〜10Cに同一の入力信号を供給する。入力信号は、デジタル信号でもアナログ信号でもよいし、パルス信号でもよい。
入力信号がデジタル信号である場合、入力部10A〜10Cは例えば、入力信号のデジタルフィルタ処理により入力信号を入力値に変換する。入力信号がアナログ信号である場合、入力部10A〜10Cは例えば、入力信号のA/ D(アナログデジタル)変換により入力信号を入力値に変換する。入力信号がパルス信号である場合、入力部10A〜10Cは例えば、パルスの個数をカウントすることで入力信号を入力値に変換する。
一方、出力装置3の例は、発電プラント内のモータや弁やLED(発光ダイオード)表示機器である。出力値の例は、モータや弁やLED表示機器を稼働させるためのデジタル出力条件を示す値である。デジタル出力条件は、代わりにアナログ出力条件でもよい。出力信号およびシステム出力信号の例は、このような出力値を2値化した信号である。この場合、出力信号線53A〜53Cやシステム出力信号線54は、安全側状態と危険側状態の2つの状態を取り得る。
本実施形態の安全側状態は、これらの信号線のオープン状態を指し、信号線が開いた状態を指す。一方、本実施形態の危険側状態は、これらの信号線のクローズ状態を指し、信号線が閉じた状態を指す。本実施形態のシステム出力信号の例は、システム出力信号線54がクローズ状態の場合に、発電プラントを駆動させるモータに電力を供給する制御信号である。よって、システム出力信号線54が危険側状態であるクローズ状態の場合に、モータに電力が供給され、システム出力信号線54が安全側状態であるオープン状態の場合に、モータの電力が遮断される。
図2は、第1実施形態の多重化制御装置2の構成を詳細に示すブロック図である。
電源部60A〜60Cはそれぞれ、A系〜C系の装置に電力を供給する。例えば、電源部60Aは、入力部10Aに電源線61Aを介して電力を供給し、演算部20Aに電源線62Aを介して電力を供給し、出力部30Aに電源線63Aを介して電力を供給する。また、演算部20A〜20Cは、信号線64Aにより電源部60Aに接続されており、電源部60Aによる電力供給のオン/オフを信号線64Aを介して制御することができる。これは、電源部60B、60Cでも同様である。よって、演算部20A〜20Cは、電源部60Bによる電力供給のオン/オフや、電源部60Cによる電力供給のオン/オフも、不図示の信号線を介して制御することができる。
本実施形態の出力部30Aは、電源部60Aから出力部30Aへの電力供給が停止している場合に、出力信号線53Aが安全側状態であるオープン状態になるように構成されている。よって、例えば出力部30Aに故障などの異常が発生した場合、演算部20A〜20Cは電源部60Aから出力部30Aへの電力供給を停止させる。これにより、出力部30Aの出力信号を、危険側(出力クローズ)ではなく、安全側(出力オープン)に固着させることができる。これは、出力部30B、30Cでも同様である。
よって、本実施形態によれば、出力部30A〜30Cの二重故障が発生した場合に、多数決部40が危険側のシステム出力信号しか出力できなくなる事態を回避することが可能となる。よって、本実施形態によれば、二重故障に対する多重化制御装置2の安全性を向上させることが可能となる。
以下、出力部30Aの故障発生時の多重化制御装置2の動作について説明する。出力部30Aは、第X出力部(Xは1〜Nの整数)の例である。以下の説明は、出力部30B、30Cにも当てはまる。
本実施形態の演算部20A〜20Cは、出力部30Aの故障の有無を監視し、出力部30Aの故障が検出された場合に、電源部60Aから出力部30Aへの電力供給を停止させる。その結果、出力信号線53Aがオープン状態になる。演算部20A〜20Cは、監視部および停止部の例である。
出力部30Aは、演算部20A〜20Cの3つにより監視されてもよいし、演算部20A〜20Cの1つまたは2つにより監視されてもよい。以下、後者の場合の様々な例を説明する。
第1の例では、演算部20Aが、出力部30Aの故障の有無を監視する。そして、演算部20Aは、出力部30Aの故障が演算部20Aにより検出された場合に、電源部60Aから出力部30Aへの電力供給を停止させる。この場合の演算部20Aは、監視部および停止部の例であり、第X演算部の例である。
本実施形態では、診断部22Aが実施する自己診断により、出力部30Aの故障の有無が常時監視されている。第1の例では、演算部20Aはこの自己診断により出力部30Aの故障を検出することができる。
第2の例では、演算部20Bが、出力部30Aの故障の有無を監視する。そして、演算部20Bは、出力部30Aの故障が演算部20Bにより検出された場合に、電源部60Aから出力部30Aへの電力供給を停止させる。この場合の演算部20Bは、監視部および停止部の例であり、第Y演算部(YはXと異なる1〜Nの整数)の例である。
本実施形態では、前述のように、診断部22Aが実施する自己診断により、出力部30Aの故障の有無が常時監視されている。この診断結果は、ネットワーク55A、55Cを介して診断部22B、22Cに伝達される。第2の例では、演算部20Bはこの診断結果により出力部30Aの故障を検出することができる。
第2の例では、演算部20Bが出力部30Aを監視し、演算部20Cが出力部30Bを監視し、演算部20Aが出力部30Cを監視することで、ループ状の監視関係が実現されている。代わりに、演算部20Cが出力部30Aを監視し、演算部20Aが出力部30Bを監視し、演算部20Bが出力部30Cを監視してもよい。
図3は、第1実施形態の多重化制御装置2の動作例を示すフローチャートである。
この例では、演算部20B、20Cが、出力部30Aの故障の有無を監視している。よって、出力部30Aで故障が発生すると(ステップS11)、演算部20B、20Cの各々が出力部30Aの故障を検出する(ステップS12、S13)。演算部20B、20Cはそれぞれ、診断部22Aから診断部22B、22Cに伝達された診断結果を用いて、出力部30Aの故障を検出することができる。
多重化制御装置2は、演算部20B、20Cの両方が出力部30Aの故障を検出した場合に、出力部30Aに故障があると判断する(ステップS14)。多重化制御装置2は、出力部30Aに故障があると判断した場合に、電源部60Aから出力部30Aへの電力供給を停止させる(ステップS15)。一方、演算部20B、20Cの一方のみが出力部30Aの故障を検出した場合には、電源部60Aから出力部30Aへの電力供給が維持される。
ステップS14、S15の処理は、例えば演算部20B、20Cにより実行される。この場合、演算部20B、20Cは例えば、出力部30Aの故障の判断結果をネットワーク55Bを介して互いに交換することで、演算部20B、20Cの両方が出力部30Aの故障を検出したか否かを判断することができる。ステップS14の判断処理やステップS15の停止処理は、演算部20Bが単独で行ってもよいし、演算部20Cが単独で行ってもよい。図3の例において、演算部20B、20Cは、監視部および停止部の例であり、第Yおよび第Z演算部(YとZは、Xと異なる1〜Nの整数)の例である。なお、ステップS14、S15の処理を演算部20Aが実行する例については、後述する。
図4は、第1実施形態の多重化制御装置2の別の動作例を示すフローチャートである。
この例では、演算部20B、20Cが、出力部30Aの故障の有無を監視している。よって、出力部30Aで故障が発生すると(ステップS21)、演算部20B、20Cの各々が出力部30Aの故障を検出する(ステップS22、S23)。演算部20B、20Cはそれぞれ、診断部22Aから診断部22B、22Cに伝達された診断結果を用いて、出力部30Aの故障を検出することができる。
多重化制御装置2は、演算部20B、20Cの少なくとも一方が出力部30Aの故障を検出した場合に、出力部30Aに故障があると判断する(ステップS24)。多重化制御装置2は、出力部30Aに故障があると判断した場合に、電源部60Aから出力部30Aへの電力供給を停止させる(ステップS25)。一方、演算部20B、20Cがいずれも出力部30Aの故障を検出しなかった場合には、電源部60Aから出力部30Aへの電力供給が維持される。
ステップS24、S25の処理は、例えば演算部20B、20Cの各々により実行される。例えば、演算部20Bが出力部30Aの故障を検出した場合には、演算部20BがステップS24、S25の処理を単独で行うことができる。また、演算部20Cが出力部30Aの故障を検出した場合には、演算部20CがステップS24、S25の処理を単独で行うことができる。図4の例において、演算部20B、20Cは、監視部および停止部の例であり、第Yおよび第Z演算部(YとZは、Xと異なる1〜Nの整数)の例である。なお、ステップS24、S25の処理を演算部20Aが実行する例については、後述する。
以上のように、本実施形態の出力部30Aは、電源部60Aから出力部30Aへの電力供給が停止している場合に、出力信号線53Aが安全側状態であるオープン状態になるように構成されている。これは、本実施形態の出力部30B、30Cでも同様である。よって、本実施形態によれば、二重故障に対する多重化制御装置2の安全性を向上させることが可能となる。
また、本実施形態では、第1および第2の例や、図3および図4の例のように、出力部30Aの故障を様々な方法で監視することができ、電源部60Aから出力部30Aへの電力供給を様々な方法で制御することができる。例えば、出力部30Aを1つの演算部で監視することには、監視処理の負担を軽減できるという利点がある。また、出力部30Aを2つの演算部で監視することには、故障検出の確実性を向上できるという利点がある。
(第2実施形態)
図5は、第2実施形態の多重化制御装置2の動作例を示すブロック図である。図5は、A系の構成のみを示しているが、以下の説明は、B系およびC系にも当てはまる。
出力部30Aは、出力部30Aの動作を制御する制御部31Aと、制御部31Aと出力信号線53Aとを接続する出力回路部32Aとを備えている。制御部31Aの例は、MPU(Micro Processing Unit)である。出力回路32Aの例は、回路素子や電気配線を含む電気回路である。例えば、制御部31Aは、出力値線52Aから出力値を受け取り、受け取った出力値を出力信号に変換し、この出力信号を出力回路部32Aに出力する。また、出力回路部32Aは、制御部31Aから出力信号を受け取り、この出力信号を出力信号線53Aに出力する。
図5は、出力回路部32Aの故障を示している。本実施形態では、出力回路部32Aが故障し、制御部31Aが動作を継続している場合、制御部31Aが出力回路部32Aの故障を検出することが可能である。よって、制御部31Aは、出力回路部32Aが故障したことを示す情報を出力値線51Aを介して演算部20Aに通知する。演算部20Aは、この情報により出力部30A(出力回路部32A)の故障を検出することができ、これにより電源部60Aから出力部30Aへの電力供給を停止させる。
出力部30Aの故障に関し、演算部20Aは、制御部31Aからの通知情報により、診断部22Aからの診断結果よりも多くの情報を得ることができる。例えば、演算部20Aは、制御部31Aからの通知情報により、出力回路部32Aが故障し、制御部31Aが動作を継続しているとの情報を得ることができる。よって、本実施形態によれば、第1実施形態に比べて故障検出結果の利便性を高めることができ、例えば、このような故障検出結果を用いて多重化制御装置2内でより高度な制御処理を行うことが可能となる。
なお、演算部20Aは、制御部31Aからの通知情報を演算部20B、20Cに伝達してもよい。この場合、演算部20B、20Cは、この通知情報に基づいて電源部60Aから出力部30Aへの電力供給を停止させてもよい。
図6は、第2実施形態の多重化制御装置2の別の動作例を示すブロック図である。図6は、A系の構成のみを示しているが、以下の説明は、B系およびC系にも当てはまる。
図6は、制御部31Aの故障や出力回路部32Aの故障を含む出力部30A全体の故障を示している。この場合、制御部31Aは、出力部30Aの故障を演算部20Aに通知することができない。よって、演算部20Aは、出力部30Aの故障の詳細を認識することができない。しかしながら、演算部20Aは、診断部22Aからの診断結果より、出力部30Aが何らかの故障状態にあることを認識することができる。すなわち、演算部20Aは、出力部30Aの制御部31Aからの情報によらずに、出力部30Aの故障を検出することができる。
以上のように、本実施形態の演算部20A〜20Cは、出力部30Aの故障を複数の方法により検出することができる。よって、本実施形態によれば、故障の検出精度を高めることや、種々の故障パターンに対応することが可能となる。
(第3実施形態)
図7は、第3実施形態の多重化制御装置2の動作例を示すブロック図である。
第1実施形態では、電源部60Aが、信号線64Aを介して演算部20A〜20Cと接続されている(図2)。よって、演算部20A〜20Cはいずれも、信号線64Aを用いて電源部60Aを制御することが可能である。よって、図3や図4の処理では、演算部20Bや演算部20Cは、電源部60Aから出力部30Aへの電力供給を停止させることができる。この場合、演算部20Bや演算部20Cは、停止部の例である。
一方、第3実施形態では、図7に示すように、信号線64Aが存在しない場合でも適用可能な電力供給停止方法を提供する。本実施形態の演算部20Bは、出力部30Aの故障を検出した場合、出力部30Aの故障に関する情報をネットワーク55Aを介して演算部20Aに伝達する。同様に、本実施形態の演算部20Cは、出力部30Aの故障を検出した場合、出力部30Aの故障に関する情報をネットワーク55Cを介して演算部20Aに伝達する。
よって、演算部20Aは、演算部20B、20Cの代わりに、図3のステップS14、S15の処理を実行することできる。すなわち、演算部20Aは、演算部20B、20Cの両方が出力部30Aの故障を検出したことを伝達情報から認識した場合に、電源部60Aから出力部30Aへの電力供給を停止させることができる。この演算部20Aは、停止部の例である。
同様に、演算部20Aは、演算部20B、20Cの代わりに、図4のステップS24、S25の処理を実行することできる。すなわち、演算部20Aは、演算部20B、20Cの少なくとも一方が出力部30Aの故障を検出したことを伝達情報から認識した場合に、電源部60Aから出力部30Aへの電力供給を停止させることができる。この演算部20Aは、停止部の例である。
以上のように、本実施形態においては、演算部20B、20Cが出力部30Aの故障を検出し、演算部20Aが電源部60Aを制御する。よって、本実施形態によれば、A系の出力部30Aの情報を、A系の演算部20Aに集約することができる。よって、本実施形態によれば、例えば、出力部30Aの故障や電源部60Aからの電力供給停止などの情報を演算部20Aが管理し、同様に、出力部30B、30Cの故障や電源部60B、60Cからの電力供給停止などの情報を演算部20B、20Cが管理することで、系統別に様々な情報処理を実行することが可能となる。
なお、本実施形態の処理は、A系の演算部20Aだけでなく、B系の演算部20BやC系の演算部20Cにも適用可能である。また、本実施形態の処理は、第1実施形態の第2の例にも適用可能である。すなわち、第2の例では、演算部20Bが出力部30Aの故障を検出し、演算部20Aが電源部60Aを制御してもよい。
(第4実施形態)
図8は、第4実施形態の多重化制御装置2の動作例を示すブロック図である。図8は、A系の構成のみを示しているが、以下の説明は、B系およびC系にも当てはまる。
本実施形態の出力部30Aは、第2実施形態と同様に、制御部31Aと出力回路部32Aとを備えている。制御部31Aと出力回路部32Aは、電源部60Aから共通の電源線63Aを介して電力を供給されている。
電源部60Aから出力部30Aへの電力供給は、図8に示すように、電源線63Aへの電力供給を停止することで停止可能である。これにより、出力信号線53Aがオープン状態になる。このような電力供給停止方法は、出力部30A全体が故障した場合には効果的である(図6参照)。しかしながら、この方法は、出力回路部32Aのみが故障した場合には望ましくない場合がある(図5参照)。理由は、故障のない制御部31Aが、これにより停止してしまい、出力回路部32Aの故障を示す情報を演算部20Aに通知できなくなるからである。
図9は、第4実施形態の多重化制御装置2の別の動作例を示すブロック図である。図9は、A系の構成のみを示しているが、以下の説明は、B系およびC系にも当てはまる。
図9では、電源線63Aが電源線65A、66Aに置き換えられている。電源線65Aは、電源部60Aから出力回路部32Aに電力を供給するために使用される。電源線66Aは、電源部60Aから制御部31Aに電力を供給するために使用される。電源線65Aと電源線66Aは、互いに独立な配線である。
図9では、出力回路部32Aが故障し、制御部31Aが故障していない場合、電源部60は、電源線66Aへの電力供給を維持しつつ、電源線65Aへの電力供給を停止する。これにより、出力回路部32Aへの電力供給が停止され、出力回路部32Aの動作が停止することで、出力信号線53Aがオープン状態になる。一方、制御部31Aへの電力供給は維持され、制御部31Aは動作を継続する。よって、制御部31Aは、出力回路部32Aの故障を示す情報を演算部20Aに通知することができる。
以上のように、本実施形態では、制御部31Aと出力回路部32Aへの電力供給を同時にまたは個々に停止することができる。前者の構成には例えば、電源線63の構成や電力供給の制御を単純化できるという利点がある。一方、後者の構成には例えば、出力信号線53Aをオープン状態にしつつ、制御部31Aの動作を継続できるという利点がある。
なお、本実施形態の多重化制御装置2の構成は、第2実施形態だけでなく、第1実施形態や第3実施形態にも適用可能である。
また、第1〜第4実施形態の多重化制御装置2は、3系統の入力部、演算部、出力部を備えているが、4系統以上の入力部、演算部、出力部を備えていてもよい。例えば、多重化制御装置2がN系統(Nは3以上の整数)の入力部、演算部、出力部を備えている場合には、多重化部40は、N系統の出力部からの出力信号の多数決演算を行う。
以上、いくつかの実施形態を説明したが、これらの実施形態は、例としてのみ提示したものであり、発明の範囲を限定することを意図したものではない。本明細書で説明した新規な装置は、その他の様々な形態で実施することができる。また、本明細書で説明した装置の形態に対し、発明の要旨を逸脱しない範囲内で、種々の省略、置換、変更を行うことができる。添付の特許請求の範囲およびこれに均等な範囲は、発明の範囲や要旨に含まれるこのような形態や変形例を含むように意図されている。
1A、1B、1C:入力装置 2:多重化制御装置 3:出力装置
10A、10B、10C:入力部 20A、20B、20C:演算部
21A、21B、21C:演算処理部 22A、22B、22C:診断部
23A、23B、23C:通信部 30A、30B、30C:出力部
31A:制御部 32A:出力回路部 40:多数決部
51A、51B、51C:入力値線 52A、52B、52C:出力値線
53A、53B、53C:出力信号線 54:システム出力信号線
55A、55B、55C:ネットワーク 60A、60B、60C:電源部
61A:電源線 62A:電源線 63A:電源線
64A:信号線 65A:電源線 66A:電源線

Claims (8)

  1. 入力信号を入力値に変換し、前記入力値を出力する第1から第N入力部(Nは3以上の整数)と、
    前記入力値を演算して出力値を生成し、前記出力値を出力する第1から第N演算部と、
    前記出力値を出力信号に変換し、前記出力信号を、前記出力信号の多数決演算を行う多数決部に出力する第1から第N出力部と、
    前記第1から第N入力部、前記第1から第N演算部、および前記第1から第N出力部にそれぞれ電力を供給する第1から第N電源部とを備え、
    第X出力部(Xは1〜Nの整数)は、第X電源部から前記第X出力部への電力供給が停止している場合に、前記第X出力部と前記多数決部との間の出力信号線が、安全側状態であるオープン状態になるように構成されている、多重化制御装置。
  2. 前記第X出力部の異常の有無を監視する監視部と、
    前記監視部が前記第X出力部の異常を検出した場合に、前記第X電源部から前記第X出力部への電力供給を停止させる停止部とを備え、
    前記第X出力部は、前記停止部が前記第X電源部から前記第X出力部への電力供給を停止させた場合に、前記出力信号線が前記オープン状態になるように構成されている、請求項1に記載の多重化制御装置。
  3. 前記第X出力部の前記監視部および前記停止部は、第X演算部である、請求項2に記載の多重化制御装置。
  4. 前記第X出力部の前記監視部および前記停止部は、第Y演算部(YはXと異なる1〜Nの整数)である、請求項2に記載の多重化制御装置。
  5. 前記第X出力部は、前記出力値を前記出力信号に変換する制御部と、前記出力信号を前記多数決部に出力する出力回路部とを備え、
    前記第X出力部の前記制御部は、前記第X出力部の前記出力回路部の異常を検出し、前記出力回路部の異常に関する情報を第X演算部に伝達する、請求項1から4のいずれか1項に記載の多重化制御装置。
  6. 前記第X出力部は、前記出力値を前記出力信号に変換する制御部と、前記出力信号を前記多数決部に出力する出力回路部とを備え、
    第X演算部は、前記第X出力部の前記制御部からの情報によらずに、前記第X出力部の異常を検出可能である、請求項1から5のいずれか1項に記載の多重化制御装置。
  7. 前記第X出力部は、前記出力値を前記出力信号に変換する制御部と、前記出力信号を前記多数決部に出力する出力回路部とを備え、
    前記第X電源部は、前記第X出力部の前記制御部および前記出力回路部への電力供給を停止することで、前記出力信号線の前記オープン状態を実現する、請求項1から6のいずれか1項に記載の多重化制御装置。
  8. 前記第X出力部は、前記出力値を前記出力信号に変換する制御部と、前記出力信号を前記多数決部に出力する出力回路部とを備え、
    前記第X電源部は、前記第X出力部の前記制御部への電力供給を維持しつつ、前記第X出力部の前記出力回路部への電力供給を停止することで、前記出力信号線の前記オープン状態を実現する、請求項1から6のいずれか1項に記載の多重化制御装置。
JP2015139426A 2015-07-13 2015-07-13 多重化制御装置 Pending JP2017021617A (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2015139426A JP2017021617A (ja) 2015-07-13 2015-07-13 多重化制御装置
EP16167710.9A EP3118695A1 (en) 2015-07-13 2016-04-29 Multiplex control apparatus
US15/143,890 US20170017210A1 (en) 2015-07-13 2016-05-02 Multiplex control apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015139426A JP2017021617A (ja) 2015-07-13 2015-07-13 多重化制御装置

Publications (1)

Publication Number Publication Date
JP2017021617A true JP2017021617A (ja) 2017-01-26

Family

ID=56235541

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015139426A Pending JP2017021617A (ja) 2015-07-13 2015-07-13 多重化制御装置

Country Status (3)

Country Link
US (1) US20170017210A1 (ja)
EP (1) EP3118695A1 (ja)
JP (1) JP2017021617A (ja)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3208573C2 (de) * 1982-03-10 1985-06-27 Standard Elektrik Lorenz Ag, 7000 Stuttgart 2 aus 3-Auswahleinrichtung für ein 3-Rechnersystem
US5903717A (en) * 1997-04-02 1999-05-11 General Dynamics Information Systems, Inc. Fault tolerant computer system
US6550018B1 (en) * 2000-02-18 2003-04-15 The University Of Akron Hybrid multiple redundant computer system

Also Published As

Publication number Publication date
EP3118695A1 (en) 2017-01-18
US20170017210A1 (en) 2017-01-19

Similar Documents

Publication Publication Date Title
JP5911439B2 (ja) 監視制御システム
JP2013180857A (ja) エレベータシステム
JP5554292B2 (ja) 二重化制御装置
US20150073599A1 (en) Control device and control method
KR20120002410A (ko) 기기 감시 기능을 갖는 프로세스 관리 시스템
US20130131832A1 (en) Method and Apparatus For Analogue Output Current Control
CN106814661A (zh) 机台监控联锁系统
JP5726582B2 (ja) 制御棒監視制御システム及び診断方法
JP2017141114A (ja) エレベータシステム
JP2017021617A (ja) 多重化制御装置
KR101817641B1 (ko) 원격 단말 장치를 위한 우회 경로를 가지는 이중 전원 공급 장치
KR101554474B1 (ko) 제어 시스템
JP5624528B2 (ja) データ伝送システムおよびその異常検知方法
JP6714981B2 (ja) 多重化制御装置
JP6634701B2 (ja) 配電盤制御システムおよびそれを用いた受配電設備
JP5591597B2 (ja) 制御棒位置監視装置
CN111884896B (zh) 基于通信总线的数字安全链系统及其监测方法
JP5766148B2 (ja) 原子力発電プラント監視制御システム
JP2016129346A (ja) 監視制御システム
JP6262001B2 (ja) 監視制御システム、及び監視制御システムの制御方法
JP2010257246A (ja) 多重化制御システムおよび多重化制御システムの制御方法
JP2001213316A (ja) 自動列車制御システム
JP6332905B2 (ja) プラント制御装置
JP2014222372A (ja) フィールド機器
JP2009159033A (ja) 光adm装置