JP2022067483A - コントローラ仮想化装置、及び、制御システム - Google Patents

コントローラ仮想化装置、及び、制御システム Download PDF

Info

Publication number
JP2022067483A
JP2022067483A JP2020176208A JP2020176208A JP2022067483A JP 2022067483 A JP2022067483 A JP 2022067483A JP 2020176208 A JP2020176208 A JP 2020176208A JP 2020176208 A JP2020176208 A JP 2020176208A JP 2022067483 A JP2022067483 A JP 2022067483A
Authority
JP
Japan
Prior art keywords
controller virtualization
controller
confirmation signal
devices
virtualization
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2020176208A
Other languages
English (en)
Inventor
実 中出
Minoru Nakade
信一 戸田
Shinichi Toda
圭 石井
Kei Ishii
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Heavy Industries Ltd
Original Assignee
Mitsubishi Heavy Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Heavy Industries Ltd filed Critical Mitsubishi Heavy Industries Ltd
Priority to JP2020176208A priority Critical patent/JP2022067483A/ja
Priority to PCT/JP2021/038508 priority patent/WO2022085651A1/ja
Priority to US18/022,651 priority patent/US20230325229A1/en
Priority to DE112021003867.2T priority patent/DE112021003867T5/de
Priority to CN202180062037.5A priority patent/CN116097183A/zh
Publication of JP2022067483A publication Critical patent/JP2022067483A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45591Monitoring or debugging support

Abstract

Figure 2022067483000001
【課題】障害の発生態様に関わらず制御対象を安定的に制御でき、優れた高可用性を有しながらも低コストで長期安定供給可能なコントローラ仮想化装置、及び、制御システムを提供する。
【解決手段】コントローラ仮想化装置は、制御対象に対する制御信号を生成するための1以上の仮想機械をそれぞれ含む複数のコントローラ仮想化装置と、複数のコントローラ仮想化装置からの制御信号を制御対象に伝送するための1以上のOTラインと、を備える。複数のコントローラ仮想化装置は、それぞれ、1以上のOTラインを介して、仮想機械の生存確認信号、又は、信頼性確認信号を互いに送受信するように構成される。
【選択図】図1

Description

本開示は、コントローラ仮想化装置、及び、制御システムに関する。
例えば各種機器を含むプラントを制御対象とする制御システムとして、制御機能を各機器に対応して複数の制御盤に分散させた分散型制御システム(DCS:Distributed Control System)が知られている。分散型制御システムでは、構成の規模が複数の制御盤にわたるため、大きな製造コストが課題となっている。このような課題を解決するために、仮想化技術を利用することで、単一の物理コントローラ上に複数の仮想機械(VM:Vertural Machine)を搭載したコントローラ仮想化装置において、各仮想機械で独立的にアプリケーションを実行することで、製造コストを抑えた分散型制御システムが実現できる。
この種のコントローラ仮想化装置を含む制御システムでは、リアルタイム性が必要であり、更に障害発生時においても制御機能を安定的に維持できる可用性が要求される。リアルタイム性は、仮想化ソフトウェア(ハイパーバイザ)をリアルタイム化し、仮想機械上のOS(Operating System)としてリアルタイムOSを搭載することで実現可能である。一方で高可用性は、ハードウェアのランダムな障害発生に備え、物理コントローラを冗長化させることが一般的である。冗長化された構成では、制御対象に対して実際に制御信号を出力する稼働側装置と、稼働側装置と同等の構成を有する待機側装置とを含み、稼働側装置に障害が発生した場合に、制御周期(例えばミリ秒)単位で待機側装置に切り替えることで、制御機能が維持される。
このように仮想化技術を利用したコントローラ仮想化装置を含む制御システムとして、例えば特許文献1がある。特許文献1では、仮想機械で稼働している各アプリケーションの動作状態を、生存確認信号であるハートビートメッセージを送信することで監視し、ハートビートメッセージに対する応答が適切に得られなかった場合に、仮想機械の再起動が実施されている。
特許第5851503号公報
上述のように高可用性を実現するために、稼働側装置と待機側装置とを含む冗長化又は多重化された構成では、稼働側装置と待機側装置との間を接続するイーサネット(登録商標)等の汎用ネットワークを介して、上記特許文献1のような生存確認信号を互いに送受信することで、障害発生時における装置切り替えが行われていた。しかしながら、イーサネット(登録商標)等の汎用ネットワークを直結して構成する接続ケーブルに断線などの障害が発生した場合や、その一方がコネクタから脱落した場合には、両方のコネクタのリンク状態が切れてしまう。この場合、生存確認信号の送受信結果によっては、両方の系が稼働側装置となって制御出力信号(以下、単に「制御信号」と称する)が競合してしまったり、両方の系が待機側装置となることで稼働側装置が存在しなくなるなど、安定した制御の継続が困難になるおそれがあった。
本開示の少なくとも一態様は、上述の事情に鑑みなされたものであり、障害の発生態様に関わらず制御対象を安定的に制御でき、優れた高可用性を有しながらも低コストで長期安定供給可能なコントローラ仮想化装置、及び、制御システムを提供することを目的とする。
本開示の少なくとも一態様に係るコントローラ仮想化装置は、上記課題を解決するために、
制御対象に対する制御信号を生成するための1以上の仮想機械をそれぞれ含む複数のコントローラ仮想化装置と、
前記複数のコントローラ仮想化装置からの前記制御信号を前記制御対象に伝送するための1以上のOT(Operational Technology:制御・運用技術)ネットワーク通信ライン(以下、単に「OTライン」と称する)と、
を備え、
前記複数のコントローラ仮想化装置は、それぞれ、前記1以上のOTラインを介して、前記仮想機械の生存確認信号、又は、信頼性確認信号を互いに送受信するように構成される。
本開示の少なくとも一態様によれば、障害の発生態様に関わらず制御対象を安定的に制御でき、優れた高可用性を有しながらも低コストで長期安定供給可能なコントローラ仮想化装置、及び、制御システムを提供できる。
第1実施形態に係る制御システムの全体構成図である。 図1の制御システムにおいて一方のコントローラ仮想化装置側で障害が発生した場合の様子を示す図である。 図1の制御システムにおいて両方のコントローラ仮想化装置で障害が生じた場合の様子を示す図である。 第2実施形態に係る制御システムの全体構成図である。 第3実施形態に係る制御システムの全体構成図である。 第4実施形態に係る制御システムの全体構成図である。 図6の制御システムにおいて二重障害が発生した状況を示す図である。
以下、添付図面を参照して本開示の幾つかの実施形態について説明する。ただし、実施形態として記載されている又は図面に示されている構成部品の寸法、材質、形状、その相対的配置等は、本開示の範囲をこれに限定する趣旨ではなく、単なる説明例にすぎない。
例えば、「ある方向に」、「ある方向に沿って」、「平行」、「直交」、「中心」、「同心」或いは「同軸」等の相対的或いは絶対的な配置を表す表現は、厳密にそのような配置を表すのみならず、公差、若しくは、同じ機能が得られる程度の角度や距離をもって相対的に変位している状態も表すものとする。
例えば、「同一」、「等しい」及び「均質」等の物事が等しい状態であることを表す表現は、厳密に等しい状態を表すのみならず、公差、若しくは、同じ機能が得られる程度の差が存在している状態も表すものとする。
例えば、四角形状や円筒形状等の形状を表す表現は、幾何学的に厳密な意味での四角形状や円筒形状等の形状を表すのみならず、同じ効果が得られる範囲で、凹凸部や面取り部等を含む形状も表すものとする。
一方、一の構成要素を「備える」、「具える」、「具備する」、「含む」、又は、「有する」という表現は、他の構成要素の存在を除外する排他的な表現ではない。
図1は第1実施形態に係る制御システム100の全体構成図である。制御システム100は、オペレータの操作に基づいて制御対象200を制御するためのシステムである。制御対象200は、制御システム100から出力される制御信号Sに基づいて制御可能な任意の機器を含むことができるが、本実施形態では、各種機器から構成されるプラントを一例に説明する。プラントは、例えば発電プラント(火力発電プラント、原子力発電プラント、水力発電プラント又は風力発電プラント等)である。
制御システム100は、オペレータが操作可能なオペレーション装置110と、制御対象200からの各種センサ入力、制御ロジックの内部状態、及び、オペレーション装置110からの入力に基づいて制御対象200を制御するための制御信号を生成可能なコントローラ仮想化装置120と、を備える。
尚、以下の実施形態では、オペレータの操作に基づいて制御対象200を制御するための制御システム100について述べるが、本願発明は、オペレータの操作に基づくことなく制御対象200を自動制御するための制御システムにも適用可能である。この場合、制御システム100は、オペレーション装置110に代えて指令信号Dを生成するための構成を有することとなり、オペレーション装置110は不要である。
オペレーション装置110は、オペレータの操作を受け付けるとともに、操作内容に基づいてコントローラ仮想化装置120に対する指令信号Dを生成する。本実施形態では、オペレーション装置110は、制御対象200の状態を監視するための監視部112と、オペレータの操作を受け付ける操作部114とを含む。監視部112は、制御対象200の状態をオペレータが認識可能な態様で表示する機能を有し、例えば、ディスプレイ等の表示装置である。オペレータは、監視部112による監視結果(例えば、ディスプレイに表示された制御対象200の状態)に基づいて操作部114を操作可能である。操作部114は、例えばオペレータによるコマンド入力操作を受け付けることにより、操作内容に対応した指令信号Dを生成する。
オペレーション装置110は、コントローラ仮想化装置120に対してIT(Information Technology)ネットワーク(以下、単に「ITネットワーク」と称する)150を介して接続される。ITネットワーク150は、例えば制御装置の内部信号の監視(モニタ)やデータ収録(ログ)、他装置との信号取り合い等、OTライン上の時間制約に対して比較的余裕ある時間制約でのデータ通信を行う通信経路である。オペレーション装置110からの指令信号Dは、ITネットワーク150を介してコントローラ仮想化装置120に対して伝送される。
コントローラ仮想化装置120は、ITネットワーク150を介して伝送された指令信号Dに基づいて制御信号Sを生成する。コントローラ仮想化装置120は、制御信号Sを生成可能な複数のコントローラ仮想化装置を備える。本実施形態では、コントローラ仮想化装置120が2つのコントローラ仮想化装置122A、122Bを備える場合について例示的に説明するが、3以上のコントローラ仮想化装置を備えてもよい(例えば、後述する図5を参照)。
コントローラ仮想化装置122A、122Bの各々は、例えば、ハードウェア構成として、中央処理装置(CPU:Central Processing Unit)をはじめとする電子部品を含む電子演算装置を有しており、当該電子演算装置が備えるハイパーバイザ124において仮想化ソフトウェアを実行することにより少なくとも1の仮想機械を示すVM(以下、単に「VM」と称する)が搭載される。本実施形態では、コントローラ仮想化装置122A、122Bの各々には、それぞれ1つのVMが搭載されている。VMは仮想化ソフトウェアの実行により構成され、例えば、分散型制御システムにおいて、制御対象200を構成する各機器に対応する各制御盤を仮想的に模擬する機能を有する。
ここで、プラントのような制御対象200のライフサイクルは数10年の長期に及ぶ一方で、近年、電子演算装置を構成する電子部品のバージョンアップサイクル(ライフサイクル)は数年程度に短くなってきている。従来、コントローラ仮想化装置120には、ハードウェア構成に特化された専用の組み込みソフトウェアが搭載されることが一般的であったが、ハードウェア構成の旧バージョンの生産中止(EOL:End Of Life)による設計変更が生じた場合、ハードウェア構成に特化したソフトウェアの設計変更が必要となる。その結果、設計変更にかかる開発コストやバージョン管理負担が増大するという課題が生じていた。
本実施形態のコントローラ仮想化装置122A、122Bでは、仮想化ソフトウェアであるハイパーバイザ124によって仮想機械VMを構成することで、このような課題を好適に解決することができる。すなわち、コントローラ仮想化装置122A、122Bのハードウェア構成を設計変更した場合においても、ハイパーバイザ124を介してVMから見たハードウェア・アーキテクチャが画一化されているため、VM自身の設計変更が不要となり、開発コストやバージョン管理負担が少なく済む。
また後述するように、ハイパーバイザ124において仮想化ソフトウェアを実行することによって単一のハードウェアに対して複数のVMを搭載することも可能となる。そのため、例えば、プラントの構成機器ごとに複数の制御盤を有していた従来の分散型制御システムに比べて、従来の分散型制御システムによる機能的な独立性を維持したまま、個々のコントローラ機能を同一のコントローラ仮想化装置状に集約することによって、ハードウェアを集約した分散型制御システムを実現でき、コストを効果的に抑制できる。
コントローラ仮想化装置120は、複数のコントローラ仮想化装置122A、122Bを備えることで冗長化された構成を備えており、高可用性を有する。これら2つのコントローラ仮想化装置122A、122Bは、いわゆるハートビート信号である生存確認信号Scを互いに送受信することで、互いの動作状態に応じて、稼働側装置又は待機側装置として選択される。図1では、コントローラ仮想化装置122Aが稼働側装置として選択されることで制御信号Sの生成を行い、残りのコントローラ仮想化装置122Bが待機側装置として選択されることで制御信号Sの生成が行われない待機状態に制御されている場合が例示されている。
生存確認信号Scは、複数のコントローラ仮想化装置122A、122B間で互いに送受信されることにより、互いの動作状態を確認するための通信データである。生存確認信号Scの一態様としては、例えば、一方側のコントローラ仮想化装置122Aから他方側のコントローラ仮想化装置122Bに対応する宛先アドレスを含むデータヘッダを有する送信データを送信し、当該送信データを受信した他方側のコントローラ仮想化装置122Bが出力する応答データを、一方側のコントローラ仮想化装置122Aで受信することにより、一方側のコントローラ仮想化装置122Aにおいて他方側のコントローラ仮想化装置122Bが健全に生存しているか否かを確認することができる。同様に、他方側のコントローラ仮想化装置122Bから一方側のコントローラ仮想化装置122Aに対応する宛先アドレスを含むデータヘッダを有する送信データを送信し、当該送信データを受信した一方側のコントローラ仮想化装置122Aが出力する応答データを、他方側のコントローラ仮想化装置122Bで受信することにより、他方側のコントローラ仮想化装置122Bにおいて一方側のコントローラ仮想化装置122Aが健全に生存しているか否かを確認することができる。
尚、生存確認信号Scは、上述したようなリクエスト-レスポンス型の双方向通信で互いの情報を取り合う態様の他に公知の各種態様を取ることができ、例えば、双方が定期的にハートビート信号を出し続け、互いに相手から送信されたハートビート信号を受信監視する態様でもよい。
このような生存確認信号Scには、種々の情報を含めることができる。例えば生存確認信号Scには、コントローラ仮想化装置122A、122Bの動作状態(稼働中/待機中/初期化中/故障中等)或いは動作カウンタ、又は、コントローラ仮想化装置122A、122B内の各VMの動作状態(稼働中/待機中/初期化中/故障中等)或いは動作カウンタを含んでいてもよい。
稼働側装置であるコントローラ仮想化装置122Aでは、制御対象200に対する制御信号Sの生成が行われる一方で、待機側装置であるコントローラ仮想化装置122Bでは、制御信号Sの生成は行われない(尚、他の態様としては、制御信号Sの通信パケットの中に有効フラグを持たせることで、待機側装置であっても有効フラグを立てない制御信号Sを生成し、送信させるように構成することで、実質的な出力指令が稼働側装置からしか出力されないようにしてもよい)。その結果、コントローラ仮想化装置120では、2つのコントローラ仮想化装置122A、122Bからの制御信号が競合することがなく、稼働側装置であるコントローラ仮想化装置122Aで生成された制御信号Sがゲートウェイ装置165からOTライン160を介して、入出力装置170に出力される。入出力装置170には、稼働側装置であるコントローラ仮想化装置122Aからの制御信号Sが入力され、制御対象200に対して当該制御信号Sを出力する。
このように冗長化された構成を有するコントローラ仮想化装置120では、稼働側装置であるコントローラ仮想化装置122A側で障害(例えば、コントローラ仮想化装置122AとOTライン160とを含む経路上における接続ケーブルの断線、当該経路に接続される通信チップや通信機器の故障など)が生じると、稼働側装置であったコントローラ仮想化装置122Aは、待機側装置に切り替えられることで制御から離脱される一方で、待機側装置にあったコントローラ仮想化装置122Bが稼働側装置に切り替えられる。その結果、障害発生時においても、障害が発生していないコントローラ仮想化装置122B側を用いることで、制御対象200の制御が安定的に維持される。
ところで従来、このような複数のコントローラ仮想化装置122A、122B間における生存確認信号Scの送受信は、これらのコントローラ仮想化装置122A、122B間を接続する装置間接続ネットワーク180、又は、前述のITネットワーク150のようにイーサネット(登録商標)等の汎用ネットワークを介して行われていた。この場合、各コントローラ仮想化装置122A、122Bにおいて障害発生時に、稼働側装置と待機側装置との切り替えを短時間(例えばハードウェア構成に含まれる中央演算装置の制御周期であるミリ秒単位)で行うためのリアルタイム性を実現するために、FPGA等を用いた専用の切替回路が用いられていた。しかしながら、このような専用の切替回路もまた、コントローラ仮想化装置122A、122Bに用いられる電子部品のバージョンアップサイクルに伴ってアップデートする必要があり、旧バージョンの生産中止(EOL)の際には、それに対応するための設計変更の開発コスト増加の要因の一つになっている。
またイーサネット(登録商標)等の汎用ネットワークを直結して構成する接続ケーブルに断線などに障害が発生した場合や、その一方がコネクタから脱落した場合には、両方のコネクタのリンク状態が切れてしまう。この場合、生存確認信号Scの送受信結果によっては、コントローラ仮想化装置122A、122Bの両方が稼働側装置となって制御信号が競合してしまったり、コントローラ仮想化装置122A、122Bの両方が待機側装置となることで稼働側装置が存在しなくなるなど、安定した制御の継続が困難になるおそれがあった。
このような課題を解決するために、本実施形態では、複数のコントローラ仮想化装置122A、122B間における生存確認信号Scの伝送が、OTライン160を介して行われるように構成される。
ここで図2は図1の制御システム100においてコントローラ仮想化装置122A側で障害が発生した場合の様子を示す図である。この例では、障害が発生する直前まで図1に示すように、コントローラ仮想化装置122Aが稼働側装置であり、コントローラ仮想化装置122Bが待機側装置として制御されており、図2では、コントローラ仮想化装置122Aと入出力装置170との間のOTライン160を構成する接続ケーブル上に障害発生箇所185(断線等)が生じた場合の様子が示されている。この場合、コントローラ仮想化装置122AからOTライン160を介して伝送される生存確認信号Scは障害発生箇所185によって途絶える。これにより、図2に示すように、稼働側装置であるコントローラ仮想化装置122Aは自身の障害を認識して待機側装置に切り替わるとともに、待機側装置であったコントローラ仮想化装置122Bが稼働側装置に切り替わることで、制御対象の制御が維持される。
このような構成によれば、OTライン160を介して互いに伝送される生存確認信号Scに基づいて、複数のコントローラ仮想化装置122A、122Bを稼働側装置又は待機側装置に切り替えることで、障害が発生した際においても、制御対象200の制御を好適に維持することができる。例えば生存確認信号Scをやり取りするラインとして、OTライン160とは独立した装置間接続ネットワーク180のような複数のコントローラ仮想化装置122A、122B間を直結した接続ケーブルを用いると、複数のコントローラ仮想化装置122A、122Bが互いに制御信号Scを出力してしまい、制御が不安定になる可能性がある。それに対して本構成では、生存確認信号ScをOTライン160を介して複数のコントローラ仮想化装置122A、122B間を互いに伝送することで、OTライン160が断線した場合には、当該断線箇所側のコントローラ仮想化装置から制御信号Scが物理的に途切れることで出力されないため、このような可能性を効果的に防止することができる。またOTライン160は、例えばギガビットイーサネットワーク等の汎用高速通信ネットワークを用いられるため、従来用いられていたFPGA等の専用の切替回路が不要となり、コントローラ仮想化装置122A、122Bを構成するハードウェア構成である電子部品にバージョンアップサイクルに伴う旧バージョンの生産中止(EOL)が発生した場合においても、設計変更に伴う開発コストを効果的に削減することができる。
尚、2つのコントローラ仮想化装置122A、122Bの両方で障害が生じた場合には、図3に示すように、コントローラ仮想化装置120は、コントローラ仮想化装置122A、122Bの両方を待機側装置に切り替えるとともに、入出力装置170から、緊急停止制御信号Ssを制御対象200に出力してもよい。緊急停止制御信号Ssは、制御対象200を正常に停止するためのシーケンス制御が実行可能な制御信号であり、これにより、コントローラ仮想化装置122A、122Bの両方に障害が発生する重大な事態に陥った場合においても、各コントローラ仮想化装置からの意図しない制御信号Sが制御対象200から出力されることを回避し、制御対象200を適切に停止させることができる。
尚、上記実施形態では、OTライン160を介して互いに伝送される生存確認信号Scに基づいて複数のコントローラ仮想化装置122A、122Bを稼働側装置又は待機側装置に切り替えるように構成された場合について説明したが、生存確認信号Scに代えて、OTライン160を介して互いに伝送される信頼性確認信号Srに基づいて複数のコントローラ仮想化装置122A、122Bを稼働側装置又は待機側装置に切り替えるように構成されてもよい。
この場合、信頼性確認信号Srは、複数のコントローラ仮想化装置122A、122Bの信頼性に関する情報パラメータを含み、これらのパラメータ同士を比較して、各コントローラ仮想化装置の信頼性を判断してもよいし、パラメータが基準値以上であるコントローラ仮想化装置に信頼性があると判断してもよい。これにより、信頼性が保証されたコントローラ仮想化装置を稼働側装置として、当該コントローラ仮想化装置からの制御信号Sを制御対象に伝送することで、信頼性の高い多重化構成を有するコントローラ仮想化装置120を実現できる。
以上説明したようにコントローラ仮想化装置120は、生存確認信号Sc又は信頼性確認信号Srが複数のコントローラ仮想化装置122A、122Bの間をOTライン160を介して互いに送受信するように構成される。これにより、例えば、制御対象200に対して制御信号SをOTライン160を介して出力しているコントローラ仮想化装置122A、122BとOTライン160とを含む経路上に障害(当該経路に関するケーブルの断線、通信チップや通信機器の故障等)が発生した場合には、当該コントローラ仮想化装置は自身の制御出力ラインの断線を検知して制御から離脱し、他のコントローラ仮想化装置が代わりに制御対象に対する制御信号SをOTライン160を介して出力できる。
このように、生存確認信号Sc又は信頼性確認信号Srを複数のコントローラ仮想化装置122A、122B間でOTラインを介して互いに送受信するように構成することで、複数のコントローラ仮想化装置122A、122B間を接続するITネットワークや装置間接続ネットワークを介して生存確認信号Sc又は信頼性確認信号Srを複数のコントローラ仮想化装置122A、122B間で互いに送受信する場合に必要となるFPGA等を用いた専用回路が不要となる。その結果、コントローラ仮想化装置120のハードウェアを構成する電子部品がバージョンアップサイクルに伴う旧バージョンの生産中止(EOL)による設計変更を迫られた場合においても、コントローラ仮想化装置120に要求される開発コストを効果的に削減することができる。
図4は第2実施形態に係る制御システム100の全体構成図である。第2実施形態に係る制御システム100では、各コントローラ仮想化装置122A、122Bがそれぞれ複数のVM1、VM2、・・・VMxを有する点において前述の実施形態と異なっている。複数のVM1、VM2、・・・VMxは、ハイパーバイザ124において仮想化ソフトウェアが実行されることによって搭載される。このように、コントローラ仮想化装置122A、122Bの各々に複数のVM1、VM2、・・・VMxをそれぞれ搭載することで、単一のハードウェア中においても複数の仮想機械VMで独立したアプリケーションの実行が可能になる。このような構成は、例えば、プラントのように各種機器を含む制御対象200について、各機器を分散的に制御する分散型制御システムを少ないハードウェア構成で実現するのに適している。
この場合、複数のコントローラ仮想化装置122A、122B間で互いに伝送される生存確認信号Scには、各コントローラ仮想化装置122A、122B内の各VM1、VM2、・・・、VMxの動作状態(稼働中/待機中/初期化中/故障中等)或いは動作カウンタを含んでいてもよい。
尚、本実施形態では、複数のコントローラ仮想化装置122A、122Bのうち一方に含まれる全VMが稼働状態になるとともに、他方に含まれる全VMが待機状態になるように制御される場合が例示されているが、一方に含まれる一部のVMが稼働状態であるとともに残りのVMが待機状態であり、且つ、他方に含まれる一部のVMが待機状態であるとともに残りのVMが稼働状態になるように制御されてもよい。すなわち複数のコントローラ仮想化装置122A、122BのいずれかでVM1、VM2、・・・、VMxの各々がそれぞれ稼働状態と待機状態に制御されていればよく、複数のコントローラ仮想化装置122A、122Bのいずれが稼働側装置であり、いずれが待機側装置であると区別する意味が実質的になくともよい。
また本実施形態についても、前述の実施形態と同様に、生存確認信号Scに代えて信頼性確認信号Srに基づいて複数のコントローラ仮想化装置122A、122Bを制御側装置又は待機側装置に切り替えるように構成されてもよい。
以上説明したように第2実施形態によれば、複数のコントローラ仮想化装置122A、122Bの各々に、複数のVM1、VM2、・・・、VMxが搭載されることで、少ないハードウェア構成のもとで多機能な制御装置を集約して実現でき、製造コストを効果的に抑制できる。
図5は第3実施形態に係る制御システム100の全体構成図である。第3実施形態に係る制御システム100では、コントローラ仮想化装置120は、3以上のコントローラ仮想化装置を備える。図5では、コントローラ仮想化装置120が3つのコントローラ仮想化装置122A、122B、122Cを備える場合について例示している。
3つのコントローラ仮想化装置122A、122B、122Cは、ITネットワーク160を介して、オペレーション装置110から指令信号Dが並列に入力されるとともに、コントローラ仮想化装置122A、122B、122Cからの制御信号SがOTライン160を介して入出力装置170に出力されるように構成される。
3つのコントローラ仮想化装置122A、122B、122Cは、OTライン160を介して生存確認信号Sc又は信頼性確認信号Srが互いに伝送されるように構成される。OTライン160を生存確認信号Scが互いに伝送される場合、生存確認信号Scは、例えば、相手側のコントロール仮想化装置をアドレスとするデータヘッダを含むハートビート信号であり、相手側のコントロール仮想化装置からの応答に基づいて生存状態を確認する。またOTライン160を信頼性確認信号Srが互いに伝送される場合、信頼性確認信号Srは、各コントローラ仮想化装置122A、122B、122Cの信頼性に関する情報パラメータを含み、これらを比較する。その結果、信頼性が高いコントローラ仮想化装置が稼働側装置とされ、残りのコントローラ仮想化装置が待機側装置とされる。
尚、3つのコントローラ仮想化装置122A、122B、122C間で、OTライン160を介して信頼性確認信号Srが互いに伝送される場合、信頼性確認信号Srは複数のコントローラ仮想化装置122A、122B、122Cの信頼性に関する情報パラメータを含み、これらのパラメータ同士を比較して、いわゆる多数決によって各コントローラ仮想化装置の信頼性を判断してもよいし、パラメータが基準値以上であるコントローラ仮想化装置に信頼性があると判断してもよい。
生存確認信号Sc又は信頼性確認信号Srは、コントローラ仮想化装置120が有するコントローラ仮想化装置122A、122B、122Cの任意の組み合わせに対応して、OTライン160を介して伝送される。具体的には、コントローラ仮想化装置122A、122B間ではOTライン160を介して第1生存確認信号Sc1又は第1信頼性確認信号Sr1が互いに伝送され、コントローラ仮想化装置122B、122C間ではOTライン160を介して第2生存確認信号Sc2又は第2信頼性確認信号Sr2が互いに伝送され、コントローラ仮想化装置122C、122A間ではOTライン160を介して第3生存確認信号Sc又は第3信頼性確認信号Sr3が互いに伝送される。
このように3以上のコントローラ仮想化装置を備えるコントローラ仮想化装置120を有する制御システム100においても、OTライン160を介して、生存確認信号Sc又は信頼性確認信号Srを互いに伝送することで、高機能で信頼性に優れた制御装置を、製造コストを抑えながら実現できる。またハードウェアを構成する電子部品にバージョンアップサイクルに伴う旧バージョンの生産中止(EOL)が発生した場合においても、設計変更に伴う開発コストを効果的に削減することができる。
図6は第4実施形態に係る制御システム100の全体構成図である。第4実施形態に係る制御システム100では、各コントローラ仮想化装置が有する複数の仮想機械にそれぞれ対応する互いに独立した複数のOTラインを有する。具体的には、コントローラ仮想化装置120が備える2つのコントローラ仮想化装置122A、122Bにはそれぞれ複数のVM1、VM2が搭載される。そして、複数のVM1、VM2は、それぞれに対応する互いに独立した第1OTライン160-1、及び、第2OTライン160-2を介して、生存確認信号Sc又は信頼性確認信号Srを互いに伝送するように構成される。すなわち、コントローラ仮想化装置122Aが有するVM1と、コントローラ仮想化装置122Bが有するVM1とは、第1OTライン160-1を介して接続され、当該第1OTライン160-1を介して生存確認信号Sca又は信頼性確認信号Sraを互いに伝送する。またコントローラ仮想化装置122Aが有するVM2と、コントローラ仮想化装置122Bが有するVM2とは、第2OTライン160-2を介して接続され、当該第2OTライン160-2を介して生存確認信号Scb又は信頼性確認信号Srbを互いに伝送する。
このように複数のコントローラ仮想化装置122A、122Bに搭載されるVM1、VM2ごとに第1OTライン160-1、第2OTライン160-2を設けることで、前述の実施形態のように、単一のOTライン160を有する場合に比べて、OTラインを構成する接続ケーブルに断線が生じる等の故障に対する耐性を向上させることができる。また各コントローラ仮想化装置122A、122Bと入出力装置170との間において、各VM1、VM2からの制御信号Sの相互干渉を回避できるため、応答性を向上し、優れたリアルタイム性が得られる。また生存確認信号Sc又は信頼性確認信号Srは、複数のOTライン160-1、160-2を介して互いに送受信されることで、複数のコントローラ仮想化装置122A、122B間を接続するITネットワーク150や装置間接続ネットワーク180を介して生存確認信号Sc又は信頼性確認信号Srを複数のコントローラ仮想化装置122A、112B間で互いに送受信する場合に必要となるFPGA等を用いた専用回路を不要とすることができる。
図7は第5実施形態に係る制御システム100の全体構成図である。図7では、コントローラ仮想化装置122A、122Bはそれぞれ1つのVMを備える一方で、それぞれのVMからの制御信号が伝送されるOTラインとして、二重化された第1OTライン160-1及び第2OTライン160-2を有することで耐故障性を向上させている。このような構成において、コントローラ仮想化装置122A、122Bは、第1OTライン160-1を介して生存確認信号Scaを互いに伝送するとともに、第2OTライン160-2を介して生存確認信号Scbを互いに伝送する。
尚、図7に示す実施形態では、コントローラ仮想化装置122A、122BがVMを1つずつ備える場合について例示的に説明したが、コントローラ仮想化装置122A、122Bがそれぞれ複数のVMを備え、OTライン160が二重化されている構成においても同様である。
図7では、このような構成において、第1OTライン160-1のうちコントローラ仮想化装置122A側に発生した第1障害発生箇所185-1と、第2OTライン160―2のうちコントローラ仮想化装置122B側に発生した第2障害箇所185-2とを含む二重障害が発生した場合が示されている。このような二重障害が発生すると、2つのコントローラ仮想化装置122A、122B間で生存確認信号Sca、Scbが互いに伝送できなくなるため、2つのコントローラ仮想化装置122A、122Bの両方が稼働側装置になるおそれがある。この場合、入出力装置170では、2つのコントローラ仮想化装置122A、122Bからの制御信号Sが競合し、制御が不安定になってしまう。
本実施形態では、このような二重障害が発生した場合に、図7に示すように、装置間接続ネットワーク180を介して、2つのコントローラ仮想化装置122A、122B間で、第2生存確認信号Sc2を互いに伝送可能に構成される。これにより、2つのコントローラ仮想化装置122A、122Bが同時に稼働側装置にならないようにすることができる。すなわち、制御システム100では、第1OTライン160-1及び第2OTライン160-2を介した生存確認信号Sca、Scbの伝送によって二重障害が発生した場合に、装置間接続ネットワーク180を介した第2生存確認信号Sc2に基づいて、各コントローラ仮想化装置122A、122Bの一方を稼働側装置とし、他方を待機側装置とする。これにより、二重障害の発生時においても2つのコントローラ仮想化装置122A、122Bからの制御信号Sの競合を回避し、制御が不安定になることを防止できる。
以上説明したように、上記各実施形態によれば、コントローラ仮想化装置120からの制御信号Sを出力するOTライン160を介して、複数のコントローラ仮想化装置間で生存確認信号Sc又は信頼性確認信号Srを互いに伝送することで、高機能で信頼性に優れた制御装置を、製造コストを抑えながら実現できる。またハードウェアを構成する電子部品にバージョンアップサイクルに伴う旧バージョンの生産中止(EOL)が発生した場合においても、設計変更に伴う開発コストを効果的に削減することができる。
上記各実施形態に記載の内容は、例えば以下のように把握される。
(1)一態様に係るコントローラ仮想化装置(例えば上記実施形態のコントローラ仮想化装置120)は、
制御対象(例えば上記実施形態の制御対象200)に対する制御信号(例えば上記実施形態の制御信号S)を生成するための1以上の仮想機械(例えば上記実施形態のVM)をそれぞれ含む複数のコントローラ仮想化装置(例えば上記実施形態のコントローラ仮想化装置122A、122B、122C)と、
前記複数のコントローラ仮想化装置からの前記制御信号を前記制御対象に伝送するための1以上のOTライン(例えば上記実施形態のOTライン160)と、
を備え、
前記複数のコントローラ仮想化装置は、それぞれ、前記1以上のOTラインを介して、前記仮想機械の生存確認信号(例えば上記実施形態の生存確認信号Sc)、又は、信頼性確認信号(例えば上記実施形態の信頼性確認信号Sr)を互いに送受信するように構成される。
上記(1)の態様によれば、制御装置は、生存確認信号又は信頼性確認信号が複数のコントローラ仮想化装置の間をOTラインを介して互いに送受信するように構成される。これにより、例えば、制御対象に対して制御信号をOTラインを介して出力しているコントローラ仮想化装置とOTラインとを含む経路上に障害(当該経路に関するケーブルの断線、通信チップや通信機器の故障等)が発生した場合には、当該コントローラ仮想化装置は自身の制御出力ラインの断線を検知して制御から離脱し、他のコントローラ仮想化装置が代わりに制御対象に対する制御信号をOTラインを介して出力できる。このように、生存確認信号又は信頼性確認信号を複数のコントローラ仮想化装置間でOTラインを介して互いに送受信するように構成することで、複数のコントローラ仮想化装置間を接続するITネットワークや装置間接続ネットワークを介して生存確認信号又は信頼性確認信号を複数のコントローラ仮想化装置間で互いに送受信する場合に必要となるFPGA等を用いた専用回路が不要となる。その結果、制御装置のハードウェアを構成する電子部品がバージョンアップサイクルに伴う旧バージョンの生産中止(EOL)による設計変更を迫られた場合においても、制御装置に要求される開発コストを効果的に削減することができる。
(2)他の態様では、上記(1)の態様において、
前記生存確認信号又は前記信頼性確認信号に基づいて前記複数のコントローラ仮想化装置から稼働側装置として選択された前記コントローラ仮想化装置で生成された前記制御信号を前記制御対象に伝送するように構成される。
上記(2)の態様によれば、複数のコントローラ仮想化装置のうち生存確認信号又は信頼性確認信号に基づいて選択された稼働側装置からの制御信号が制御対象に伝送される。このように選択された稼働側装置であるコントローラ仮想化装置とOTラインとを含む経路で障害が発生した場合には、前述したように各コントローラ仮想化装置はOTライン上における生存確認信号又は信頼性確認信号の送受信状態に基づいて、稼働側装置として選択されていない(すなわち、待機側装置として選択された)コントローラ仮想化装置が稼働側装置に切り替えられる。
(3)他の態様では、上記(2)の態様において、
前記生存確認信号に基づいて前記複数のコントローラ仮想化装置のうち生存が確認された前記コントローラ仮想化装置を前記稼働側装置として選択するように構成される。
上記(3)の態様によれば、複数のコントローラ仮想化装置はOTラインを介して互いに送受信される生存確認信号に基づいて、生存が確認されたコントローラ仮想化装置を稼働側装置として選択し、当該コントローラ仮想化装置で生成された制御信号を制御対象に伝送する。一方で、稼働側装置として選択されなかったコントローラ仮想化装置は待機側装置として、稼働側装置として選択されたコントローラ仮想化装置とOTラインとを含む経路上に障害が発生した際に、稼働側装置に切り替え可能な状態で待機する。これにより、障害発生時においてもOTラインを介した生存確認信号に基づいて稼働側装置と待機側装置とを切り替えることで、信頼性の高い冗長化構成を有する制御装置を実現できる。
(4)他の態様では、上記(2)の態様において、
前記信頼性確認信号に基づいて前記複数のコントローラ仮想化装置から信頼性が確認された前記コントローラ仮想化装置を前記稼働側装置として選択するように構成される。
上記(4)の態様によれば、複数のコントローラ仮想化装置はOTラインを介して互いに送受信される信頼性確認信号に基づいて、信頼性が確認されたコントローラ仮想化装置を稼働側装置として選択し、当該コントローラ仮想化装置で生成された制御信号を制御対象に伝送する。例えば、信頼性確認信号は、複数のコントローラ仮想化装置の信頼性に関する情報パラメータを含み、これらのパラメータ同士を比較して、いわゆる多数決によって各コントローラ仮想化装置の信頼性を判断してもよいし、パラメータが基準値以上であるコントローラ仮想化装置に信頼性があると判断してもよい。これにより、信頼性が保証されたコントローラ仮想化装置からの制御信号を制御対象に伝送することで、信頼性の高い多重化構成を有する制御装置を実現できる。
(5)他の態様では、上記(2)から(4)のいずれか一態様において、
前記生存確認信号又は前記信頼性確認信号に基づいて前記稼働側装置に該当する前記コントローラ仮想化装置が存在しない場合、緊急停止制御信号(例えば上記実施形態の緊急停止制御信号Ss)を前記制御対象に出力するように構成される。
上記(5)の態様によれば、稼働側装置となるコントローラ仮装化装置が存在しない場合には、緊急停止信号を制御対象に出力して、制御対象が緊急停止制御させる。これにより、意図しない制御信号が制御対象に対して出力されることで障害に起因した不具合発生を効果的に防止できる。
(6)他の態様では、上記(2)から(5)のいずれか一態様において、
前記複数のコントローラ仮想化装置の各々は、起動時に前回停止前の動作状態を再現するように動作するように構成され、
前記複数のコントローラ仮想化装置の前回停止前の動作状態が前記稼働側装置であった場合、前記複数のコントローラ仮想化装置の起動タイミングを異ならせる。
上記(6)の態様によれば、起動時にコントローラ仮想化装置の動作状態が前回停止前(直前)の動作状態を再現するように制御される。このような場合、複数のコントローラ仮想化装置の前回停止前の動作状態がともに稼働側装置であったとしても、これらの起動タイミングを異ならせることで、起動時に複数のコントローラ仮想化装置が同時に稼働側装置となることを回避し、制御が不安定になることを防止できる。
(7)他の態様では、上記(1)から(6)のいずれか一態様において、
前記複数のコントローラ仮想化装置は、複数の前記仮想機械をそれぞれ含む。
上記(7)の態様によれば、例えば仮想化ソフトウェアの実行によって単一のハードウェア上に複数の仮想機械を作成することで、複数のコントローラ仮想化装置の各々に、複数の仮想機械が搭載される。このように一つの物理コントローラ上に複数の仮想機械を搭載することで複数のコントローラ機能を実現でき、制御装置の製造コストを効果的に抑制できる。
(8)他の態様では、上記(7)の態様において、
前記1以上のOTラインは、前記複数の仮想機械にそれぞれ対応する互いに独立した複数のOTライン(例えば上記実施形態の第1OTライン160-1、第2OTライン160-2)を含む。
上記(8)の態様によれば、各コントローラ仮想化装置に複数の仮想機械が搭載される場合には、各仮想機械に対応する複数のOTラインが設けられていてもよい。この場合、生存確認信号又は信頼性確認信号は、複数のOTラインを介して互いに送受信されることで、複数のコントローラ仮想化装置間を接続するITネットワークや装置間接続ネットワークを介して生存確認信号又は信頼性確認信号を複数のコントローラ仮想化装置間で互いに送受信する場合に必要となるFPGA等を用いた専用回路を不要とすることができる。
(9)他の態様では、上記(1)から(6)のいずれか一態様において、
前記複数のコントローラ仮想化装置は、前記仮想機械をそれぞれ1つずつ含み、
前記1以上のOTラインは、互いに独立した複数のOTラインを含み、
前記複数のOTラインの各々において障害が発生した場合、前記複数のコントローラ仮想化装置の間に設けられた装置間接続ネットワークを介して互いに伝送され、且つ、前記複数のコントローラ仮想化装置の各々の動作状態を示す第2生存確認信号に基づいて選択される前記コントローラ仮想化装置で生成された前記制御信号を、前記制御対象に伝送するように構成される。
上記(9)の態様によれば、各コントローラ仮想化装置が仮想機械をそれぞれ含み、且つ、複数のOTラインによって耐故障性を向上させるように二重化されている場合において、複数のOTラインの各々において障害が発生する、いわゆる二重障害が発生した際には、装置間接続ネットワークを介して互いに伝送される第2生存確認信号に基づいて、制御対象に対して制御信号を伝送するコントローラ仮想化装置を選択するように構成される。二重障害発生時では、複数のコントローラ仮想化装置間でOTラインを介して生存確認信号又は信頼性確認信号を送受信し合うことが困難になる場合が考えられるが、このような場合においても、装置間接続ネットワークを介して互いに伝送される第2生存確認信号に基づいて制御対象に制御信号を伝送すべきコントローラ仮想化装置を選択することで、複数のコントローラ仮想化装置からの制御信号が競合して、制御が不安定になることを効果的に回避することができる。
(10)他の態様では、上記(1)から(9)のいずれか一態様において、
前記生存確認信号又は前記信頼性確認信号は、前記コントローラ仮想化装置の動作状態若しくは動作カウント数、又は、前記仮想機械の動作状態若しくは動作カウント数の少なくとも1つを含む。
上記(10)の態様によれば、制御アプリケーションと生存確認信号又は信頼性確認信号を交換する処理が別プロセス(若しくはスレッド)で構成されている場合であっても、制御アプリケーションの動作状態を相手装置に伝達できる。特に、生存確認信号又は信頼性確認信号に仮想機械の動作状態を含めることで、複数の仮想機械の状態を個別に判定処理することが可能となる。また、カウント数を送信パケットのシーケンス番号とみなし、OTラインが冗長化された場合に、同タイミングで送信されたパケットに対して、先に受信したパケットを処理し、後に受信したパケットを破棄させることで、生存確認信号又は信頼性確認信号を二重に処理することを防ぐことができる。
(11)一態様に係る制御システムは、
上記(1)から(10)のいずれか一態様に係るコントローラ仮想化装置を備える。
上記(11)の態様によれば、障害の発生態様に関わらず制御対象を安定的に制御でき、優れた高可用性を有する制御システムを実現できる。
100 制御システム
110 オペレーション装置
112 監視部
114 操作部
120 コントローラ仮想化装置
122A,122B,122C コントローラ仮想化装置
124 ハイパーバイザ
150 ITネットワーク
160 OTライン
160-1 第1OTライン
160-2 第2OTライン
165 ゲートウェイ装置
170 入出力装置
180 装置間接続ネットワーク
185 障害発生箇所
185-1 第1障害発生箇所
185-2 第2障害箇所

Claims (11)

  1. 制御対象に対する制御信号を生成するための1以上の仮想機械をそれぞれ含む複数のコントローラ仮想化装置と、
    前記複数のコントローラ仮想化装置からの前記制御信号を前記制御対象に伝送するための1以上のOTラインと、
    を備え、
    前記複数のコントローラ仮想化装置は、それぞれ、前記1以上のOTラインを介して、前記仮想機械の生存確認信号、又は、信頼性確認信号を互いに送受信するように構成される、コントローラ仮想化装置。
  2. 前記生存確認信号又は前記信頼性確認信号に基づいて前記複数のコントローラ仮想化装置から稼働側装置として選択された前記コントローラ仮想化装置で生成された前記制御信号を前記制御対象に伝送するように構成された、請求項1に記載のコントローラ仮想化装置。
  3. 前記生存確認信号に基づいて前記複数のコントローラ仮想化装置のうち生存が確認された前記コントローラ仮想化装置を前記稼働側装置として選択するように構成された、請求項2に記載のコントローラ仮想化装置。
  4. 前記信頼性確認信号に基づいて前記複数のコントローラ仮想化装置から信頼性が確認された前記コントローラ仮想化装置を前記稼働側装置として選択するように構成された、請求項2に記載のコントローラ仮想化装置。
  5. 前記生存確認信号又は前記信頼性確認信号に基づいて前記稼働側装置に該当する前記コントローラ仮想化装置が存在しない場合、緊急停止制御信号を前記制御対象に出力するように構成された、請求項2から4のいずれか一項に記載のコントローラ仮想化装置。
  6. 前記複数のコントローラ仮想化装置の各々は、起動時に前回停止前の動作状態を再現するように動作するように構成され、
    前記複数のコントローラ仮想化装置の前回停止前の動作状態が前記稼働側装置であった場合、前記複数のコントローラ仮想化装置の起動タイミングを異ならせる、請求項2から5のいずれか一項に記載のコントローラ仮想化装置。
  7. 前記複数のコントローラ仮想化装置は、複数の前記仮想機械をそれぞれ含む、請求項1から6のいずれか一項に記載のコントローラ仮想化装置。
  8. 前記1以上のOTラインは、前記複数の仮想機械にそれぞれ対応する互いに独立した複数のOTラインを含む、請求項7に記載のコントローラ仮想化装置。
  9. 前記複数のコントローラ仮想化装置は、前記仮想機械をそれぞれ1つずつ含み、
    前記1以上のOTラインは、互いに独立した複数のOTラインを含み、
    前記複数のOTラインの各々において障害が発生した場合、前記複数のコントローラ仮想化装置の間に設けられた装置間接続ネットワークを介して互いに伝送され、且つ、前記複数のコントローラ仮想化装置の各々の動作状態を示す第2生存確認信号に基づいて選択される前記コントローラ仮想化装置で生成された前記制御信号を、前記制御対象に伝送するように構成された、請求項1から6のいずれか一項に記載のコントローラ仮想化装置。
  10. 前記生存確認信号又は前記信頼性確認信号は、前記コントローラ仮想化装置の動作状態若しくは動作カウント数、又は、前記仮想機械の動作状態若しくは動作カウント数の少なくとも1つを含む、請求項1から9のいずれか一項に記載のコントローラ仮想化装置。
  11. 請求項1から10のいずれか一項に記載のコントローラ仮想化装置を備える、制御システム。
JP2020176208A 2020-10-20 2020-10-20 コントローラ仮想化装置、及び、制御システム Pending JP2022067483A (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2020176208A JP2022067483A (ja) 2020-10-20 2020-10-20 コントローラ仮想化装置、及び、制御システム
PCT/JP2021/038508 WO2022085651A1 (ja) 2020-10-20 2021-10-19 コントローラ仮想化装置、及び、制御システム
US18/022,651 US20230325229A1 (en) 2020-10-20 2021-10-19 Controller virtualization device and control system
DE112021003867.2T DE112021003867T5 (de) 2020-10-20 2021-10-19 Steuerungsvirtualisierungsvorrichtung und steuersystem
CN202180062037.5A CN116097183A (zh) 2020-10-20 2021-10-19 控制器虚拟化装置及控制系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020176208A JP2022067483A (ja) 2020-10-20 2020-10-20 コントローラ仮想化装置、及び、制御システム

Publications (1)

Publication Number Publication Date
JP2022067483A true JP2022067483A (ja) 2022-05-06

Family

ID=81289742

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020176208A Pending JP2022067483A (ja) 2020-10-20 2020-10-20 コントローラ仮想化装置、及び、制御システム

Country Status (5)

Country Link
US (1) US20230325229A1 (ja)
JP (1) JP2022067483A (ja)
CN (1) CN116097183A (ja)
DE (1) DE112021003867T5 (ja)
WO (1) WO2022085651A1 (ja)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8424000B2 (en) 2010-07-30 2013-04-16 Symantec Corporation Providing application high availability in highly-available virtual machine environments
JP2014048933A (ja) * 2012-08-31 2014-03-17 Toshiba Corp プラント監視システム、プラント監視方法およびプラント監視プログラム
JP2019040331A (ja) * 2017-08-24 2019-03-14 アズビル株式会社 分散制御システムおよびノード
JP2020176208A (ja) 2019-04-18 2020-10-29 Agc株式会社 塗料及び車両外装部材

Also Published As

Publication number Publication date
US20230325229A1 (en) 2023-10-12
WO2022085651A1 (ja) 2022-04-28
DE112021003867T5 (de) 2023-07-20
CN116097183A (zh) 2023-05-09

Similar Documents

Publication Publication Date Title
JP4782823B2 (ja) ユーザ端末、マスタ・ユニット、通信システムおよびその稼動方法
JP5796139B2 (ja) Pcieスイッチベースのサーバ・システム、スイッチング方法、及びデバイス
JP2023506404A (ja) 自動運転制御システム、制御方法及び装置
EP3001263B1 (en) Connection equipment for field devices
JP6265158B2 (ja) 電子機器
US10044580B2 (en) Redundantly operable industrial communication system, communication device and method for redundantly operating an industrial communication system
EP3073380B1 (en) Redundant pc system
CN110967969B (zh) 高可用性工业自动化系统及通过该系统传送信息的方法
US20190302742A1 (en) Method for Setting Up a Redundant Communication Connection, and Failsafe Control Unit
EP2362534B1 (en) Systems and Methods for Controlling Electronic Circuitry with Separated Controllers
JP6933183B2 (ja) セーフティ制御システムおよびセーフティ制御ユニット
WO2022085651A1 (ja) コントローラ仮想化装置、及び、制御システム
WO2013111240A1 (ja) 二重化制御システムおよびその制御方法
JP4404493B2 (ja) 計算機システム
KR20110123168A (ko) Hmi 이중화 장치
JP2007304700A (ja) 2重化ノードシステムのアドレス管理システム及び方法
JP2007018026A (ja) コントローラ
CN111190345B (zh) 每个硬件单元配有多个处理器单元的冗余的自动化系统
JP2014215622A (ja) プラント監視システム及びプラント監視方法
KR20130019617A (ko) Plc 네트워크 증설방법 및 이를 이용한 네트워크 증설시스템
WO2012127629A1 (ja) サーバシステム及びクロスバボードの活性保守方法
JP2014112293A (ja) 監視制御システム及び監視制御方法
KR100865286B1 (ko) 고장 입출력 모듈 교체 시스템 및 그 방법
JP7326239B2 (ja) コントローラ、および、コントローラシステム
JP7349416B2 (ja) 分散制御システム

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20220125

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230627