JP3600938B2 - Control device - Google Patents

Control device Download PDF

Info

Publication number
JP3600938B2
JP3600938B2 JP14652494A JP14652494A JP3600938B2 JP 3600938 B2 JP3600938 B2 JP 3600938B2 JP 14652494 A JP14652494 A JP 14652494A JP 14652494 A JP14652494 A JP 14652494A JP 3600938 B2 JP3600938 B2 JP 3600938B2
Authority
JP
Japan
Prior art keywords
control
control instruction
check
bit
status information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP14652494A
Other languages
Japanese (ja)
Other versions
JPH0816202A (en
Inventor
修一 三浦
圭介 戸次
賢司 小熊
敦 平塚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP14652494A priority Critical patent/JP3600938B2/en
Publication of JPH0816202A publication Critical patent/JPH0816202A/en
Application granted granted Critical
Publication of JP3600938B2 publication Critical patent/JP3600938B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Safety Devices In Control Systems (AREA)
  • Control By Computers (AREA)

Description

【0001】
【産業上の利用分野】
本発明は、計算機を用いた制御装置に係り、特に制御装置の安全性向上技術に関する。
【0002】
【従来の技術】
計算機を用いた制御システムによっては、計算機の故障やノイズ、ソフトウェアのバグ等による誤動作が、人命にかかわる大事故となる恐れがある。このため、誤動作を起こさないように、あるいは仮りに誤動作が起きても安全側に制御されるように、制御システムを設計しなければならない。
【0003】
このような制御システムの安全確保技術の公知例として、特開昭61−166489号公報に記載された技術がある。上記公知例では、前提条件が満たされないときに発行されると人命にかかわる大事故となる恐れがある信号に対し、正常時に満たすべき前提条件を論理的に設定し、この論理条件を満たさない時に上記信号がオンとなった場合、上記信号が異常信号であると判定して制御対象の通常動作を阻止するものである。
【0004】
【発明が解決しようとする課題】
上記公知例では、前提条件がシステムに固有のものであるため、前提条件のチェック機構はシステムに組み込まれている。しかし、前提条件を含む制御情報をデータとして取り込むことにより、前提条件の異なる様々なヴァリエーションに対応可能な汎用性のある制御装置に対しては、公知例に示されるようなシステム組み込み型のチェック機構では、個々のヴァリエーション毎にシステムそのものを作り替えなければならず、対応できない。
【0005】
本発明はこのような事情に鑑みてなされたものであり、前提条件の異なる様々なヴァリエーションに対応可能な汎用性があり、簡単なチェック機能により、前提条件が満たされないときに発行されると事故となるおそれがある制御命令の誤った発行を確実に抑止し得る制御装置を提供することを目的とする。
【0006】
【課題を解決するための手段】
本発明の制御装置は、制御対象の状態を表すステータス情報を取込み、前記制御対象を制御する制御命令を生成して前記制御対象に出力する制御部を備えた制御装置において、
前記制御命令を実行するための条件である他の制御命令と前記ステータス情報の前提条件を記述した制御情報が記憶された制御情報記憶部と、前記制御情報に基づいて、あらかじめ指定された特定の制御命令と該特定の制御命令に対応した前記前提条件とを対応付けてなるチェック情報を生成するチェック情報生成手段と、該生成されたチェック情報を記憶するチェック情報記憶部と、前記制御部から前記特定の制御命令を含む複数の制御命令群が発行されたとき、該特定の制御命令に対応する前記チェック情報を前記チェック情報記憶部から読出して該チェック情報の成立をチェックし、成立した場合は前記制御命令群を前記制御対象へ出力し、成立しなかった場合は前記制御命令群の制御対象への出力を抑止する制御命令チェック手段とを設けたことを特徴とする。
【0007】
【作用】
チェック情報生成手段は、制御情報から、あらかじめ指定された特定の制御命令に対して、該特定の制御命令と該特定の制御命令を実行するための前提条件を抽出し、特定の制御命令と該特定の制御命令に対応した前記前提条件とを対応付けてなるチェック情報を生成する。
【0008】
前提条件となるのは制御対象から得られるステータス情報と該特定の制御命令以外の制御命令である。これにより、制御情報を変更することにより発生する様々なヴァリエーションに対して、確実にチェック情報を生成できる。
【0009】
一方、制御命令チェック手段は、上記特定の制御命令が発行されたとき、上記制御命令に対応するチェック情報に基づいて、上記特定の制御命令と上記前提条件の同時成立をチェックする。同時成立しなかった場合、制御命令群の制御対象への転送を抑止する。これにより、上記チェックパターンを用いて前提条件が満たされないときに発行されると人命にかかわる事故となるおそれがある制御命令の誤った発行確実に抑止できる。
【0010】
【実施例】
本発明の実施例を図面を参照して説明する。図1には本発明に係る制御装置の一実施例の構成が示されている。同図において、制御装置1は、制御対象2を制御する。制御装置1は、制御対象2に一定周期で制御命令群を転送し、制御対象2は、制御装置1から制御命令群を受け取って動作する。
【0011】
また、制御対象2は、制御装置1にステータス情報群を一定周期で転送し、制御装置1は、制御対象2からステータス情報群を受け取り、次の制御を決定するために使う。
【0012】
制御装置1は、制御命令を実行するための前提条件を記述した制御情報を記憶する制御情報記憶部10と、制御情報記憶部10に記憶された制御情報に基づいて制御対象2を制御する制御部11と、制御部11の出力する制御命令群と制御対象2の出力するステータス情報群を入力とし、チェックパターンを用いて制御命令発行の正当性をチェックする制御命令チェック部12と、制御命令チェック部12においてチェックのために使用するチェックパターンを、制御情報記憶部10に記憶された制御情報に基づいて生成するチェックパターン生成部13と、チェックパターン生成部13が生成するチェックパターンを記憶するチェックパターン記憶部14とからなる。
【0013】
制御装置1及び制御対象2は以下のように動作する。まずオフライン処理によって、チェックパターン生成部13は、制御情報記憶部10から制御情報を読み込み、チェックパターンを生成し、生成したチェックパターンをチェックパターン記憶部14に出力する。
【0014】
次に、オンラインシステム起動時に、制御部11は制御情報記憶部10から制御情報を読み込み、制御命令チェック部12はチェックパターン記憶部14からチェックパターンを読み込む。
【0015】
以上の処理の後、制御部11、制御命令チェック部12、制御対象2がオンラインで動作する。すなわち、制御部11は、一定周期で制御命令チェック部12に制御命令群を出力する。制御対象2は、制御部11及び制御命令チェック部12にステータス情報群を出力する。
【0016】
制御命令チェック部12は、制御部11から供給される制御命令群と、制御対象2から供給されるステータス情報群を取り込み、チェックパターン記憶部14から読み込んだチェックパターンに基づいて上記制御命令群の中に含まれる特定の制御命令の発行の正当性をチェックする。チェックの結果、上記特定の制御命令の発行が正当であれば、制御命令チェック部12は、上記制御命令群を制御対象2に転送し、制御対象2は、上記制御命令群に従って動作する。逆に上記特定の制御命令の発行の条件が満たされていなければ、異常と判定し、制御命令チェック部12は、上記制御命令群の制御対象2への転送を抑止する。
【0017】
また、制御命令チェック部12は、制御命令の発行が正常か異常かを示すチェックフラグと、制御命令群の中のどの制御命令の発行が異常であったかを示すロゴを、制御部11に出力する。
【0018】
次に図2に制御命令チェック部12の具体的構成を示す。同図においてチェックパターン入力部121は、オンラインシステム起動時にチェックパターン記憶部14よりチェックパターンを読み込む。
【0019】
チェックパターン一時記憶部122は、チェックパターン入力部121が読み込んだチェックパターンを電源オンの間記憶する。
【0020】
制御命令入力部123は制御部11より制御命令群を読み込み、ステータス情報入力部126は制御対象2からステータス情報群を読み込む。
【0021】
制御命令判定部120は、ステータス情報入力部126から転送されるステータス情報群と、チェックパターン一時記憶部122から転送されるチェックパターンを用いて、制御命令入力部123から転送される制御命令群の中の特定制御命令の発行の正当性をチェックする。
【0022】
制御命令出力部125は、制御命令判定部120から、制御命令群と、チェックの結果を示すチェックフラグを受け取り、チェックフラグがOKを示す場合には制御対象2に制御命令群を出力し、上記チェックフラグがNGを示す場合には制御対象2への制御命令群の出力を抑止する。
【0023】
チェックフラグロゴ出力部124は、制御命令判定部120からチェックの結果を示すチェックフラグと、制御命令群の中のどの制御命令の発行が異常であったかを示すロゴを受け取り、制御部11に出力する。
【0024】
次に図3に制御命令判定部120の具体的構成を示す。同図においてレジスタ200は、制御命令入力部123から供給される制御命令群を取り込む。ここで制御命令群とは、各ビットが個別の制御命令のオン/オフを示すデータになっているビット例である。
【0025】
制御命令マスクレジスタ201は、制御命令レジスタ200の中の特定の制御命令ビットを取り出すための制御命令マスクを、チェックパターン一時記憶部122から取り込む。
【0026】
ビット選別回路202は、制御命令レジスタ200が供給する制御命令群を、制御命令マスクレジスタ201が供給する制御命令マスクでマスクする。
【0027】
ビットオン判定回路203は、ビット選別回路202がマスクしたパターンを取り込み、ビットが立っているかどうかを判定する。ビットが立っていれば論理“1”を出力し、立っていなければ論理“0”を出力する。ここで論理“1”出力はチェックすべき特定制御命令が発行されていることを示す。
【0028】
一方、条件レジスタ209は、制御命令入力部123から制御命令群を、ステータス情報入力部126からステータス情報群を取り込む。ここでステータス情報群とは、各ビットが個別の制御対象のステータス情報を示すデータになっているビット列である。
【0029】
条件マスクレジスタ210は、チェックパターン一時記憶部122から、条件レジスタ209に取り込んだ条件データから必要な条件を取り出すための条件マスクを取り込む。
【0030】
ビットマスク回路211は、条件レジスタ209内の条件データを、条件マスクレジスタ210内の条件マスクでマスクする。
【0031】
条件判定パターンレジスタ212は、チェックパターン一時記憶部122から、マスクされた条件データが、上記制御命令と整合性が取れているかどうかを判定するための条件判定パターンを取り込む。
【0032】
ビット一致判定回路204は、条件判定パターンレジスタ212内の条件判定パターンと、ビットマスク回路211が出力するマスクされた条件データが一致しているかどうかを判定する。一致していれば論理“0”を出力し、一致していなければ論理“1”を出力する。
【0033】
AND回路205は、ビットオン判定回路203の出力とビット一致判定回路204の出力のAND論理を取る。AND回路205の出力が論理“1”となるのは、上記特定制御命令が発行され、かつ上記特定制御命令発行の前提条件を満たさなかった場合である。このAND回路205の出力は、チェックフラグとしてチェックフラグロゴ出力部124に転送され、チェックフラグロゴ出力部124は検出結果を制御部11に通知する。
【0034】
また、AND回路205の出力(チェックフラグ)は、制御命令出力部125に転送され、制御命令を制御対象2に出力するかどうかの判定に使われる。
【0035】
更に、AND回路205の出力は、マルチプレクサ206の制御線に使われる。マルチプレクサ206は、チェックフラグが“0”の場合“0”を、チェックフラグが“1”の場合ビット選択回路202の出力をOR回路207に供給する。
【0036】
OR回路207は、ロゴレジスタ208の出力とマルチプレクサ206の出力をビット毎にOR論理をとり、その出力を再びロゴレジスタ208に書き込む。これにより、特定制御命令において条件との整合性がとれなかった場合、上記特定制御命令ビットがロゴレジスタに登録される。
【0037】
次に図4にチェックパターン生成部13の具体的構成を、図5にチェックパターン生成部で扱われるデータの詳細を示す。これらの図において制御情報入力部130は、制御情報記憶部10から制御情報300を読み込む。ここで制御情報300は、制御命令とステータス情報の関係を示すもので、図5では表形式に表現しているが、適用分野によって、様々な記述方法があり得る。
【0038】
チェック情報抽出部131は、制御情報入力部130が取り込んだ制御情報300から、チェックパターンを作成するために必要なチェック情報310を抽出する。即ち、まず、制御情報300に記述されている制御命令の中から、誤って発行すると重大事故を引き起こす可能性のある特定制御命令を抽出する。
【0039】
次に、上記特定制御命令を発行する際に、前提条件となる他の制御命令、及びステータス情報を抽出し、上記特定命令と対応させる。
【0040】
チェックパターン作成部132は、チェック情報抽出部131が抽出したチェック情報310に基づいて、制御命令マスク320、条件マスク330、条件パターン340を作成する。
【0041】
制御命令マスク320は、特定制御命令のビット位置を示すパターンで、制御命令群のビット列から特定制御命令を抽出するのに使用する。
【0042】
条件マスク330は、上記特定制御命令が発行される際に、前提条件としてチェックすべき他の制御命令及びステータス情報のビット位置を示すパターンで、上記条件ビットを抽出するのに使う。
【0043】
条件判定パターン340は、上記特定制御命令が発行されるときの前提条件となる他の制御命令及びステータス情報のビットパターンを示し、上記条件ビットと上記特定制御命令との間に整合性があるかどうかの判定に使う。
【0044】
チェックパターン出力部133は、チェックパターン作成部132が作成した制御命令マスク320、条件マスク330、条件判定パターン340を、チェックパターン記憶部14に出力する。
【0045】
以上の実施例によれば、誤って発行されると重大事故につながる危険性のある特定制御命令に対して、上記特定制御命令が発行されたときに、上記特定制御命令が制御対象に転送される前に、上記特定制御命令の発行が許される前提条件をチェックし、チェックの結果、上記前提条件が満たされていないと判定された場合には、上記特定制御命令の発行を抑止することができるので、簡単なチェック手段の追加によって、重大事故を確実に防ぐことができる効果がある。
【0046】
また、本実施例によれば、オフライン処理によって、制御命令とその発行の前提条件を示す制御情報から、重大事故につながる危険性のある特定制御命令に対する前提条件を抽出し、チェックパターンを生成することができるので、制御情報を入れ替えることによって様々な制御を可能とする汎用性のある制御装置に対しても、簡単なチェック手段の追加によって、重大事故を確実に防ぐことができる効果がある。
【0047】
更に、本実施例によれば、チェック処理は単純な論理演算によって実現しているので、高速にチェック処理を実行できる効果がある。
【0048】
次に、第1の実施例で示した制御装置を実際の制御に適用した実施例を図6に示す。図6に示す制御対象2は、建物の搬入口である。この建物の室内は空気圧が高いため、搬入口2は、外部ドア20と内部ドア21の2重ドア構造になっているものとする。搬入口2には、外部ドア20、内部ドア21、屋外照明22、中室照明23、室内照明24、及び空調機25があり、制御装置1(図1)によって制御されるものとする。
【0049】
また搬入口2においては、外部ドア20と内部ドア21が同時に開くと、室内の空気圧が高いために室内から屋外に向けて強い風が吹き、様々なものが飛ばされて重大事故を引き起こす可能性があるものとする。
【0050】
図7に搬入口2の制御における制御命令ビット(30〜41)と、ステータス情報ビット50〜57を示す。同図において制御命令ビット30は、外部ドア20をあける命令、制御命令ビット31は、外部ドア20を閉める命令、制御命令ビット32は、内部ドア21を開ける命令、制御命令ビット33は、内部ドア21を閉める命令、制御命令ビット34は、屋外照明22のスイッチオン命令、制御命令ビット35は、屋外照明22のスイッチオフ命令、制御命令ビット36は、中室照明23のスイッチオン命令、制御命令ビット37は、中室照明23のスイッチオフ命令、制御命令ビット38は、室内照明24のスイッチオン命令、制御命令ビット39は、室内照明24のスイッチオフ命令、制御命令ビット40は、空調機25のスイッチオン命令、制御命令ビット41は、空調機25のスイッチオフ命令である。
【0051】
一方、ステータス情報ビット50は、外部ドア20が完全に開いている状態を示し、ステータス情報ビット51は、外部ドア20が完全に閉まっている状態を示す。ステータス情報ビット52は、内部ドア21が完全に開いている状態を示し、ステータス情報ビット53は、内部ドア21が完全に閉まっている状態を示す。ステータス情報ビット54、55、56は、それぞれ屋外照明22、中室照明23、室内照明24が点灯していることを示し、ステータス情報ビット57は、空調機のスイッチが入っていることを示す。
【0052】
図8に本実施例で使用される制御情報300の内容を示す。制御情報300は、次の内容を示している。(1)外部ドア20を開けるときは、外部ドア20と内部ドア21が閉まっていなければならない。(2)外部ドア20を閉めるときは、外部ドア20が開いており、内部ドアが閉まっていなければならない。(3)内部ドア21を開けるときは、外部ドア20と内部ドア21が閉まっていなければならない。(4)内部ドア21を閉めるときは、外部ドア20が閉まっており、内部ドアが開いていなければならない。(5)屋外照明22を点灯するときは、屋外照明22が消えていなければならない。(6)屋外照明22を消灯するときは、屋外照明22が点灯していなければならない。(7)中室照明23を点灯するときは中室照明23が消えていなければならない。(8)中室照明23を消灯するときは、中室照明23が点灯していなければならない。(9)室内照明24を点灯するときは、室内照明24が消えていなければならない。(10)室内照明24を消灯するときは、室内照明24が点灯していなければならない。(11)空調25を起動するときには、空調25が停止していなければならない。(12)空調25を停止するときには、空調25が稼働していなければならない。なお、ここでは、前提条件はすべてAND条件になっているが、OR条件が含まれていてもよい。
【0053】
上記制御情報300から、チェック情報310が作成される。チェック情報310では、誤って発行されると重大事故につながる特定の制御命令と、該特定の制御命令発行に対する前提条件がリストアップされる。
【0054】
本実施例では、重大事故につながる可能性のあるのは、外部ドア20と内部ドア21が同時に開いたときである。そこで、特定制御命令として、外部ドア20を開ける命令30と、内部ドア21を開ける命令32を指定する。
【0055】
外部ドア20を開ける命令30の発行条件は、内部ドア21を開ける命令32が発行されていないこと、及び、内部ドア21が完全に閉まっていることである。 内部ドア21が完全に閉まっている条件とは、ステータス情報群の内部ドア21が完全に開いている状態を示すステータス情報ビット52が“0”でかつ内部ドア21が完全に閉まっている状態を示すステータス情報ビット53が“1”であることである。
【0056】
内部ドア21を開ける命令32の発行条件は、外部ドア20を開ける命令30が発行されていないこと、及び、外部ドア20が完全に閉まっていることである。外部ドア20が完全に閉まっている条件とは、ステータス情報群の外部ドア20が完全に開いている状態を示すステータス情報ビット50が“0”でかつ外部ドア20が完全に閉まっている状態を示すステータス情報ビット51が“1”であることである。
【0057】
次に図9に、チェック情報310より生成される制御命令マスク320、条件マスク330、条件判定パターン340を示す。制御命令マスク320では、パターン1で外部ドア20の開放命令30の発行を、パターン2で内部ドア21の開放命令32の発行を抽出する。
【0058】
条件マスク330では、パターン1で内部ドア21の開放命令32、及びステータス情報52、53を抽出し、パターン2では外部ドア20の開放命令30、及びステータス情報50、51を抽出する。
【0059】
条件判定パターン340においては、条件マスク330によってマスクされた条件データに対して、パターン1ではステータス情報ビット53のみが、パターン2では、ステータス情報ビット51のみが“1”であることをチェックする。なお、前提条件にOR条件が含まれる場合には、ひとつの制御命令マスク320に対して、複数の条件マスク330と条件判定パターン340を用いることでチェックが可能となる。
【0060】
図10は、搬入口2の外部ドア20が、閉まりきらない途中で止まっている状態にある場合を示す。この時に内部ドア21を開ける制御命令32が発行された場合の制御命令判定部120の動作を、図11及び図12を参照して説明する。
【0061】
図11において、制御命令は、内部ドアを開ける命令32、中室照明を点灯する命令36、空調機を停止する命令41が、同時に発行されているものとする。制御命令マスク320は、図9に示すようにパターン1とパターン2の2種類があるので、チェック処理も2回にわけて実施する。
【0062】
まず、制御命令マスク320のパターン1が制御命令マスクレジスタ201にセットされる。制御命令マスク320のパターン1は、外部ドア20を開ける命令30を抽出するマスクである。ビット選別回路202が、制御命令レジスタ200にセットされた制御命令と、制御命令マスクレジスタ201にセットされた制御命令マスク320のビット毎のAND論理を取ると、出力として“000000000000”が得られる。これにより外部ドア20を開ける命令30が発行されていないことが検出されたことになる。ビット選別回路202以下の全ての回路出力は“0”となり、制御命令マスク320のパターン1に対する処理が終了する。
【0063】
次に図11に示した制御命令判定部120の動作において制御命令マスク320のパターン2を用いた場合の動作を図12に示す。制御命令マスクレジスタ201には、図11と同様の制御命令群がセットされている。制御命令レジスタ201には、制御命令マスク320のパターン2がセットされる。制御命令マスク320のパターン2は、内部ドア21を開ける命令32を抽出するマスクである。
【0064】
ビット選別回路202は、制御命令レジスタ200にセットされた制御命令群と、制御命令マスクレジスタ201にセットされた制御命令マスク320のビット毎のAND論理を取り、出力として“001000000000”を得る。
【0065】
ビットオン判定回路203は、上記ビット選別回路202の出力のビット列の中に“1”があるので“1”を出力する。
【0066】
一方、条件レジスタ209には、制御命令群とステータス情報群がセットされ、条件マスクレジスタ210には、条件マスク330のパターン2がセットされている。
【0067】
また条件判定パターンレジスタ212には、条件判定パターン340のパターン2がセットされている。ビットマスク回路211は、条件レジスタ209にセットされた制御命令群及びステータス情報群と、条件マスクレジスタ210にセットされた条件マスク330のパターン2とのビット毎のAND論理をとる。ビットマスク回路211の出力は、“000000000000”となる。
【0068】
ビット一致判定回路204は、上記ビットマスク回路211の出力と、条件判定パターンレジスタ212にセットされた条件判定パターン340のパターン2との一致をチェックする。図12の動作ではビット一致判定回路204は、不一致と判定し、“1”を出力する。
【0069】
この結果AND回路205は、ビットオン判定回路203の出力“1”と、ビット一定判定回路204の出力“1”のAND論理を取って論理“1”を出力する。AND回路205の出力が論理“1”であるため、制御命令ビット32(内ドア開放命令)の発行が不当であると判定され、制御命令群の制御対象2への出力が抑止される。
【0070】
更にマルチプレクサ206がビット選別回路202の出力“001000000000”を選択してOR回路207に供給し、ロゴレジスタ208に登録される。
【0071】
本実施例によれば、室内の気圧が高く、2重のドアが設けられ、該2重ドアの開閉が計算機によって制御される搬入口において、簡単なチェック手段を設けることによって、2つのドアが同時に開くという重大事故につながる誤制御を確実に抑止できる。
【0072】
また、本実施例によれば、オフライン処理によって、制御命令とその発行の前提となる条件を示す制御情報から、重大事故につながる危険性のある外部ドアを開ける命令及び内部ドアを開ける命令に対する前提条件を抽出し、チェックパターンを生成することができるので、搬入口の設備変更や、制御命令群、ステータス情報群のビット配置に変更が生じても、制御情報を変更するだけで安全度の高い制御を実現できる。
【0073】
また、本実施例によれば、他の制御対象に対しても、制御情報を入れ替えるだけで安全度の高い制御を実現できる。
【0074】
更に、本実施例によれば、チェック処理は単純な論理演算によって実現しているので、高速にチェック処理を実行できる。
【0075】
【発明の効果】
本発明によれば、誤って発行されると重大事故につながる危険性のある特定制御命令に対して、上記特定制御命令が発行されたときに、上記特定制御命令が制御対象に転送される前に、上記特定制御命令の発行が許される前提条件をチェックし、チェックの結果、上記前提条件が満たされていないと判定された場合には、上記特定制御命令の発行を抑止することができるので、簡単なチェック手段の追加によって、重大事故を確実に防ぐことができる。
【0076】
また、本発明によれば、オフライン処理によって、制御命令とその発行の前提となる条件を示す制御情報から、重大事故につながる危険性のある特定制御命令に対する前提条件を抽出し、チェックパターンを生成することができるので、制御情報を入れ替えることによって様々な制御を可能とする汎用性のある制御装置に対しても、簡単なチェック手段の追加によって、重大事故を確実に防ぐことができる。
【0077】
更に、本発明によれば、チェック処理は単純な論理演算によって実現しているので、高速にチェック処理を実行できる。
【図面の簡単な説明】
【図1】本発明に係る制御装置の一実施例の構成を示すブロック図である。
【図2】図1に示した制御装置における制御命令チェック部の具体的構成を示すブロック図である。
【図3】図2に示した制御命令チェック部における制御命令判定部の具体的構成を示すブロック図である。
【図4】図1に示した制御装置におけるチェックパターン生成部の具体的構成を示すブロック図である。
【図5】チェックパターン生成部で扱われる各種データの生成過程を概念的に示す説明図である。
【図6】本発明に係る制御装置が適用される制御対象としての搬入口の構成を示す説明図である。
【図7】図6に示す搬入口の制御に使用される制御命令とステータス情報のデータ構造を示す説明図である。
【図8】図6に示す搬入口の制御に使用される制御情報とチェック情報の具体的内容を示す説明図である。
【図9】図6に示す搬入口の制御に使用される制御命令マスク、条件マスク及び条件判定パターンの具体的内容を示す説明図である。
【図10】図6に示す搬入口の外部ドアが閉まりきらないで途中で止まっている状態を示す説明図である。
【図11】制御命令判定部の動作の一例を示す説明図である。
【図12】制御命令判定部の動作の他の例を示す説明図である。
【符号の説明】
1 制御装置
2 制御対象
10 制御情報記憶部
11 制御部
12 制御命令チェック部部
13 チェックパターン生成部
14 チェックパターン記憶部
120 制御命令判定部
131 チェック情報抽出部
132 チェックパターン作成部[0001]
[Industrial applications]
The present invention relates to a control device using a computer, and more particularly to a technology for improving the safety of the control device.
[0002]
[Prior art]
Depending on a control system using a computer, a malfunction due to a computer failure, noise, software bug, or the like may cause a serious accident involving human life. For this reason, a control system must be designed so as not to cause a malfunction, or to be controlled on the safe side even if a malfunction occurs.
[0003]
As a well-known example of such a technique for ensuring safety of a control system, there is a technique described in JP-A-61-166489. In the above-described known example, for a signal that may be a fatal accident if issued when the precondition is not satisfied, a precondition to be satisfied in a normal state is logically set. When the signal is turned on, it is determined that the signal is an abnormal signal and normal operation of the controlled object is prevented.
[0004]
[Problems to be solved by the invention]
In the above known example, since the preconditions are specific to the system, the precondition checking mechanism is incorporated in the system. However, by incorporating control information including preconditions as data, a versatile control device capable of coping with various variations with different preconditions requires a system-incorporated check mechanism as shown in a known example. In this case, the system itself must be recreated for each variation, which is not possible.
[0005]
The present invention has been made in view of such circumstances, and has general versatility capable of responding to various variations with different preconditions.There isSimple checking machineNohIssued when preconditions are not metMay cause an accidentEnsure erroneous issuance of control instructionsCan be deterredIt is an object to provide a control device.
[0006]
[Means for Solving the Problems]
The control device of the present inventionIn a control device including a control unit that captures status information indicating a state of a control target, generates a control command for controlling the control target, and outputs the control instruction to the control target,
A control information storage unit in which control information describing conditions for executing the control instruction and other control instructions and prerequisites for the status information are stored, and based on the control information, a specific specified in advance. A check information generating unit that generates check information in which a control instruction is associated with the precondition corresponding to the specific control instruction; a check information storage unit that stores the generated check information; and When a plurality of control instruction groups including the specific control instruction are issued, the check information corresponding to the specific control instruction is read from the check information storage unit to check whether the check information is satisfied, and Control instruction check means for outputting the control instruction group to the control target, and suppressing the output of the control instruction group to the control target when the control instruction group is not satisfied; Characterized by providing.
[0007]
[Action]
checkinformationGeneration means, SystemFrom the control information, for a specific control instruction specified in advance, extract the specific control instruction and a precondition for executing the specific control instruction,Check information in which a specific control instruction is associated with the precondition corresponding to the specific control instructionGenerate
[0008]
The prerequisites are status information obtained from the control target and control commands other than the specific control command. This ensures that various variations caused by changing control information can be checked.informationCan be generated.
[0009]
On the other hand, when the specific control instruction is issued, the control instruction check means checks whether the specific control instruction and the precondition are simultaneously established based on check information corresponding to the control instruction. If not established at the same time, the transfer of the control instruction group to the control target is suppressed. As a result, if issued when the prerequisites are not satisfied using the above check pattern,AccidentIssuance of a control instruction that could result inToSureToCan be stopped.
[0010]
【Example】
Embodiments of the present invention will be described with reference to the drawings. FIG. 1 shows the configuration of an embodiment of the control device according to the present invention. In the figure, a control device 1 controls a control target 2. The control device 1 transfers a control command group to the control target 2 at a fixed period, and the control target 2 receives the control command group from the control device 1 and operates.
[0011]
Further, the control target 2 transfers the status information group to the control device 1 at regular intervals, and the control device 1 receives the status information group from the control target 2 and uses the status information group to determine the next control.
[0012]
The control device 1 includes a control information storage unit 10 that stores control information describing preconditions for executing a control command, and a control that controls the control target 2 based on the control information stored in the control information storage unit 10. A control command check unit 12 that receives a control command group output from the control unit 11 and a status information group output from the control target 2 and checks the validity of the control command issuance using a check pattern; A check pattern generation unit 13 that generates a check pattern used for checking in the check unit 12 based on the control information stored in the control information storage unit 10 and a check pattern generated by the check pattern generation unit 13 are stored. And a check pattern storage unit 14.
[0013]
The control device 1 and the control target 2 operate as follows. First, by offline processing, the check pattern generation unit 13 reads control information from the control information storage unit 10, generates a check pattern, and outputs the generated check pattern to the check pattern storage unit 14.
[0014]
Next, when the online system is started, the control unit 11 reads control information from the control information storage unit 10, and the control command check unit 12 reads a check pattern from the check pattern storage unit 14.
[0015]
After the above processing, the control unit 11, the control command check unit 12, and the control target 2 operate online. That is, the control unit 11 outputs a control command group to the control command check unit 12 at a fixed cycle. The control target 2 outputs a status information group to the control unit 11 and the control command check unit 12.
[0016]
The control command check unit 12 takes in the control command group supplied from the control unit 11 and the status information group supplied from the control target 2, and based on the check pattern read from the check pattern storage unit 14, Check the validity of the issuance of the specific control instruction contained in it. As a result of the check, if the issuance of the specific control instruction is valid, the control instruction check unit 12 transfers the control instruction group to the control target 2, and the control target 2 operates according to the control instruction group. Conversely, if the condition for issuing the specific control instruction is not satisfied, it is determined that the control instruction is abnormal, and the control instruction check unit 12 inhibits the transfer of the control instruction group to the control target 2.
[0017]
Further, the control instruction check unit 12 outputs to the control unit 11 a check flag indicating whether the issuance of the control instruction is normal or abnormal, and a logo indicating which control instruction in the control instruction group is abnormally issued. .
[0018]
Next, FIG. 2 shows a specific configuration of the control command check unit 12. In the figure, a check pattern input unit 121 reads a check pattern from the check pattern storage unit 14 when the online system is started.
[0019]
The check pattern temporary storage unit 122 stores the check pattern read by the check pattern input unit 121 while the power is on.
[0020]
The control command input unit 123 reads a control command group from the control unit 11, and the status information input unit 126 reads a status information group from the control target 2.
[0021]
The control command determining unit 120 uses the status information group transferred from the status information input unit 126 and the check pattern transferred from the check pattern temporary storage unit 122 to generate the control command group transferred from the control command input unit 123. Check the validity of the issuance of the specific control instruction.
[0022]
The control command output unit 125 receives the control command group and the check flag indicating the check result from the control command determination unit 120, and outputs the control command group to the control target 2 when the check flag indicates OK. When the check flag indicates NG, the output of the control instruction group to the control target 2 is suppressed.
[0023]
The check flag logo output unit 124 receives the check flag indicating the result of the check from the control instruction determination unit 120 and the logo indicating which control instruction in the control instruction group is abnormally issued, and outputs the logo to the control unit 11. .
[0024]
Next, FIG. 3 shows a specific configuration of the control command determination unit 120. In the figure, a register 200 takes in a control command group supplied from a control command input unit 123. Here, the control command group is a bit example in which each bit is data indicating ON / OFF of an individual control command.
[0025]
The control instruction mask register 201 fetches from the check pattern temporary storage unit 122 a control instruction mask for extracting a specific control instruction bit in the control instruction register 200.
[0026]
The bit selection circuit 202 masks a control instruction group supplied by the control instruction register 200 with a control instruction mask supplied by the control instruction mask register 201.
[0027]
The bit-on determination circuit 203 captures the pattern masked by the bit selection circuit 202 and determines whether a bit is set. If the bit is set, the logic "1" is output. If the bit is not set, the logic "0" is output. Here, a logical "1" output indicates that a specific control instruction to be checked has been issued.
[0028]
On the other hand, the condition register 209 takes in a control command group from the control command input unit 123 and a status information group from the status information input unit 126. Here, the status information group is a bit string in which each bit is data indicating status information of an individual control target.
[0029]
The condition mask register 210 fetches, from the check pattern temporary storage unit 122, a condition mask for extracting necessary conditions from the condition data fetched into the condition register 209.
[0030]
The bit mask circuit 211 masks the condition data in the condition register 209 with the condition mask in the condition mask register 210.
[0031]
The condition determination pattern register 212 fetches a condition determination pattern from the check pattern temporary storage unit 122 for determining whether the masked condition data is consistent with the control command.
[0032]
The bit match determination circuit 204 determines whether the condition determination pattern in the condition determination pattern register 212 matches the masked condition data output from the bit mask circuit 211. If they match, logic "0" is output, and if they do not match, logic "1" is output.
[0033]
The AND circuit 205 performs an AND logic operation on the output of the bit-on determination circuit 203 and the output of the bit match determination circuit 204. The output of the AND circuit 205 becomes logic "1" when the specific control instruction is issued and the precondition for issuing the specific control instruction is not satisfied. The output of the AND circuit 205 is transferred to the check flag logo output unit 124 as a check flag, and the check flag logo output unit 124 notifies the control unit 11 of the detection result.
[0034]
The output (check flag) of the AND circuit 205 is transferred to the control command output unit 125, and is used to determine whether to output the control command to the control target 2.
[0035]
Further, the output of the AND circuit 205 is used for the control line of the multiplexer 206. The multiplexer 206 supplies “0” to the OR circuit 207 when the check flag is “0” and outputs the output of the bit selection circuit 202 when the check flag is “1”.
[0036]
The OR circuit 207 performs an OR logic on the output of the logo register 208 and the output of the multiplexer 206 for each bit, and writes the output to the logo register 208 again. As a result, when the specific control instruction is not compatible with the condition, the specific control instruction bit is registered in the logo register.
[0037]
Next, FIG. 4 shows a specific configuration of the check pattern generator 13, and FIG. 5 shows details of data handled by the check pattern generator. In these figures, the control information input unit 130 reads the control information 300 from the control information storage unit 10. Here, the control information 300 indicates the relationship between the control command and the status information, and is shown in a table form in FIG. 5, but there may be various description methods depending on the application fields.
[0038]
The check information extracting unit 131 extracts check information 310 necessary for creating a check pattern from the control information 300 captured by the control information input unit 130. That is, first, a specific control command that may cause a serious accident if issued incorrectly is extracted from the control commands described in the control information 300.
[0039]
Next, at the time of issuing the specific control instruction, another control instruction which is a prerequisite and status information are extracted and made to correspond to the specific instruction.
[0040]
The check pattern creation unit 132 creates a control command mask 320, a condition mask 330, and a condition pattern 340 based on the check information 310 extracted by the check information extraction unit 131.
[0041]
The control instruction mask 320 is a pattern indicating the bit position of the specific control instruction, and is used to extract the specific control instruction from the bit string of the control instruction group.
[0042]
The condition mask 330 is a pattern indicating the bit positions of other control commands and status information to be checked as preconditions when the specific control command is issued, and is used to extract the condition bits.
[0043]
The condition determination pattern 340 indicates a bit pattern of another control command and status information that are preconditions when the specific control command is issued, and indicates whether there is consistency between the condition bits and the specific control command. Used to determine whether or not.
[0044]
The check pattern output unit 133 outputs the control command mask 320, the condition mask 330, and the condition determination pattern 340 created by the check pattern creation unit 132 to the check pattern storage unit 14.
[0045]
According to the above embodiment, when the specific control instruction is issued for the specific control instruction that may cause a serious accident if issued erroneously, the specific control instruction is transferred to the control target. Before issuing the specific control instruction, if it is determined that the prerequisite is not satisfied, the issue of the specific control instruction may be suppressed. Since a simple accident can be added, a serious accident can be reliably prevented.
[0046]
Further, according to the present embodiment, the precondition for the specific control command that may lead to a serious accident is extracted from the control information indicating the precondition for issuing the control command and the issuance by the offline processing, and the check pattern is generated. Therefore, even for a versatile control device capable of performing various controls by exchanging control information, it is possible to reliably prevent a serious accident by adding a simple checking means.
[0047]
Further, according to the present embodiment, since the check processing is realized by a simple logical operation, there is an effect that the check processing can be executed at high speed.
[0048]
Next, FIG. 6 shows an embodiment in which the control device shown in the first embodiment is applied to actual control. The control target 2 shown in FIG. 6 is a building entrance. Since the air pressure inside the building is high, it is assumed that the carry-in entrance 2 has a double door structure of an external door 20 and an internal door 21. The carry-in entrance 2 includes an outer door 20, an inner door 21, an outdoor light 22, an inner room light 23, an indoor light 24, and an air conditioner 25, which are controlled by the control device 1 (FIG. 1).
[0049]
In addition, when the outer door 20 and the inner door 21 are simultaneously opened at the carry-in entrance 2, a strong wind is blown from the room to the outside due to high air pressure in the room, and various things may be blown to cause a serious accident. It is assumed that there is.
[0050]
FIG. 7 shows control command bits (30 to 41) and status information bits 50 to 57 in the control of the entrance 2. In the figure, a control command bit 30 is a command to open the outer door 20, a control command bit 31 is a command to close the outer door 20, a control command bit 32 is a command to open the inner door 21, and a control command bit 33 is a command to open the inner door. 21, a control command bit 34 is a switch-on command for the outdoor light 22, a control command bit 35 is a switch-off command for the outdoor light 22, and a control command bit 36 is a switch-on command and a control command for the middle room light 23. Bit 37 is a command to switch off the interior lighting 23, a control command bit 38 is a command to switch on the interior lighting 24, a control command bit 39 is a command to switch off the interior lighting 24, and a control command bit 40 is the air conditioner 25. The switch on command and control command bit 41 is a switch off command for the air conditioner 25.
[0051]
On the other hand, the status information bit 50 indicates a state where the external door 20 is completely opened, and the status information bit 51 indicates a state where the external door 20 is completely closed. The status information bit 52 indicates a state where the internal door 21 is completely open, and the status information bit 53 indicates a state where the internal door 21 is completely closed. The status information bits 54, 55 and 56 indicate that the outdoor light 22, the middle room light 23 and the indoor light 24 are turned on, respectively, and the status information bit 57 indicates that the air conditioner is turned on.
[0052]
FIG. 8 shows the contents of the control information 300 used in this embodiment. The control information 300 indicates the following contents. (1) When opening the outer door 20, the outer door 20 and the inner door 21 must be closed. (2) When closing the outer door 20, the outer door 20 must be open and the inner door must be closed. (3) When opening the inner door 21, the outer door 20 and the inner door 21 must be closed. (4) When closing the inner door 21, the outer door 20 must be closed and the inner door must be open. (5) When turning on the outdoor lighting 22, the outdoor lighting 22 must be turned off. (6) When turning off the outdoor lighting 22, the outdoor lighting 22 must be turned on. (7) When turning on the middle room lighting 23, the middle room lighting 23 must be turned off. (8) When turning off the middle room lighting 23, the middle room lighting 23 must be turned on. (9) When turning on the interior lighting 24, the interior lighting 24 must be turned off. (10) When turning off the interior lighting 24, the interior lighting 24 must be turned on. (11) When activating the air conditioner 25, the air conditioner 25 must be stopped. (12) When stopping the air conditioner 25, the air conditioner 25 must be operating. Here, all the preconditions are AND conditions, but an OR condition may be included.
[0053]
Check information 310 is created from the control information 300. The check information 310 lists a specific control command that, if issued erroneously, could lead to a serious accident, and the preconditions for issuing the specific control command.
[0054]
In this embodiment, there is a possibility that a serious accident may occur when the outer door 20 and the inner door 21 are simultaneously opened. Therefore, a command 30 for opening the external door 20 and a command 32 for opening the internal door 21 are specified as specific control commands.
[0055]
The issuing condition of the instruction 30 for opening the external door 20 is that the instruction 32 for opening the internal door 21 has not been issued and that the internal door 21 is completely closed. The condition that the internal door 21 is completely closed means that the status information bit 52 indicating that the internal door 21 of the status information group is completely open is “0” and the internal door 21 is completely closed. The status information bit 53 is "1".
[0056]
The issuing condition of the instruction 32 for opening the inner door 21 is that the instruction 30 for opening the outer door 20 has not been issued and that the outer door 20 is completely closed. The condition that the external door 20 is completely closed means that the status information bit 50 indicating that the external door 20 in the status information group is completely open is “0” and the external door 20 is completely closed. The status information bit 51 is "1".
[0057]
Next, FIG. 9 shows a control command mask 320, a condition mask 330, and a condition determination pattern 340 generated from the check information 310. In the control command mask 320, the issuance of the opening command 30 for the outer door 20 in pattern 1 and the issuance of the opening command 32 for the inner door 21 in pattern 2 are extracted.
[0058]
In the condition mask 330, the opening instruction 32 of the inner door 21 and the status information 52 and 53 are extracted in the pattern 1, and in the pattern 2, the opening instruction 30 and the status information 50 and 51 of the outer door 20 are extracted.
[0059]
In the condition determination pattern 340, it is checked that only the status information bit 53 in the pattern 1 and only the status information bit 51 in the pattern 2 are "1" with respect to the condition data masked by the condition mask 330. If the precondition includes an OR condition, a check can be performed by using a plurality of condition masks 330 and condition determination patterns 340 for one control command mask 320.
[0060]
FIG. 10 shows a case where the external door 20 of the carry-in entrance 2 is stopped halfway without closing. The operation of the control command determination unit 120 when the control command 32 for opening the internal door 21 is issued at this time will be described with reference to FIGS.
[0061]
In FIG. 11, it is assumed that a control command 32 for opening the internal door, a command 36 for turning on the interior room lighting, and a command 41 for stopping the air conditioner are issued at the same time. As shown in FIG. 9, there are two types of control command mask 320, pattern 1 and pattern 2, so that the check process is also performed twice.
[0062]
First, the pattern 1 of the control command mask 320 is set in the control command mask register 201. Pattern 1 of the control command mask 320 is a mask for extracting the command 30 for opening the external door 20. When the bit selection circuit 202 takes the AND logic for each bit of the control command set in the control command register 200 and the control command mask 320 set in the control command mask register 201, “00000000000000” is obtained as an output. As a result, it is detected that the command 30 for opening the external door 20 has not been issued. All circuit outputs after the bit selection circuit 202 become “0”, and the processing for the pattern 1 of the control instruction mask 320 ends.
[0063]
Next, FIG. 12 shows an operation when the pattern 2 of the control instruction mask 320 is used in the operation of the control instruction determination unit 120 shown in FIG. A control instruction group similar to that of FIG. 11 is set in the control instruction mask register 201. In the control instruction register 201, pattern 2 of the control instruction mask 320 is set. Pattern 2 of the control command mask 320 is a mask for extracting the command 32 for opening the internal door 21.
[0064]
The bit selection circuit 202 performs an AND logic for each bit of the control instruction group set in the control instruction register 200 and the control instruction mask 320 set in the control instruction mask register 201, and obtains “00110000000” as an output.
[0065]
The bit-on determination circuit 203 outputs “1” because “1” is in the bit string output from the bit selection circuit 202.
[0066]
On the other hand, a group of control instructions and a group of status information are set in the condition register 209, and the pattern 2 of the condition mask 330 is set in the condition mask register 210.
[0067]
In the condition determination pattern register 212, pattern 2 of the condition determination pattern 340 is set. The bit mask circuit 211 performs an AND logic for each bit of the group of control instructions and status information set in the condition register 209 and the pattern 2 of the condition mask 330 set in the condition mask register 210. The output of the bit mask circuit 211 is “00000000000000”.
[0068]
The bit match determination circuit 204 checks whether the output of the bit mask circuit 211 matches the pattern 2 of the condition determination pattern 340 set in the condition determination pattern register 212. In the operation of FIG. 12, the bit match determination circuit 204 determines that there is no match, and outputs “1”.
[0069]
As a result, the AND circuit 205 outputs the logic “1” by taking the AND logic of the output “1” of the bit-on determination circuit 203 and the output “1” of the constant-bit determination circuit 204. Since the output of the AND circuit 205 is logic "1", it is determined that the issuance of the control command bit 32 (internal door open command) is invalid, and the output of the control command group to the control target 2 is suppressed.
[0070]
Further, the multiplexer 206 selects the output “00110000000” of the bit selection circuit 202, supplies it to the OR circuit 207, and is registered in the logo register 208.
[0071]
According to this embodiment, a double door is provided with a high indoor pressure, and a simple check means is provided at a carry-in entrance where opening and closing of the double door is controlled by a computer. Erroneous control that leads to a serious accident that opens at the same time can be reliably suppressed.
[0072]
Further, according to the present embodiment, the off-line processing uses the control information indicating the control command and the control information indicating the preconditions for issuing the control command and the premise for the command to open the external door and the command to open the internal door that may lead to a serious accident. Since conditions can be extracted and check patterns can be generated, even if the equipment at the entrance is changed or the bit arrangement of the control instruction group and status information group changes, high security is achieved simply by changing the control information. Control can be realized.
[0073]
Further, according to the present embodiment, control with a high degree of safety can be realized for other control targets only by exchanging control information.
[0074]
Furthermore, according to the present embodiment, the check processing is realized by a simple logical operation, so that the check processing can be executed at high speed.
[0075]
【The invention's effect】
According to the present invention, when the specific control instruction is issued for the specific control instruction which may cause a serious accident if issued incorrectly, the specific control instruction is not transferred to the control target. In addition, the prerequisites under which the issuance of the specific control instruction is permitted are checked, and if it is determined that the prerequisites are not satisfied, the issuance of the specific control instruction can be suppressed. By adding simple checking means, a serious accident can be reliably prevented.
[0076]
Further, according to the present invention, a precondition for a specific control command that may lead to a serious accident is extracted from control information indicating a control command and a precondition for issuing the control command by offline processing, and a check pattern is generated. Therefore, even for a versatile control device capable of performing various controls by exchanging control information, a serious accident can be reliably prevented by adding a simple checking means.
[0077]
Furthermore, according to the present invention, since the check processing is realized by a simple logical operation, the check processing can be executed at high speed.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a configuration of an embodiment of a control device according to the present invention.
FIG. 2 is a block diagram showing a specific configuration of a control instruction check unit in the control device shown in FIG.
FIG. 3 is a block diagram showing a specific configuration of a control command determination unit in the control command check unit shown in FIG.
FIG. 4 is a block diagram showing a specific configuration of a check pattern generation unit in the control device shown in FIG.
FIG. 5 is an explanatory diagram conceptually showing a generation process of various data handled by a check pattern generation unit.
FIG. 6 is an explanatory diagram showing a configuration of a carry-in port as a control target to which the control device according to the present invention is applied.
FIG. 7 is an explanatory diagram showing a data structure of a control command and status information used for controlling the carry-in entrance shown in FIG. 6;
FIG. 8 is an explanatory diagram showing specific contents of control information and check information used for controlling the carry-in entrance shown in FIG. 6;
9 is an explanatory diagram showing specific contents of a control command mask, a condition mask, and a condition determination pattern used for controlling the carry-in entrance shown in FIG.
FIG. 10 is an explanatory view showing a state in which the external door of the carry-in entrance shown in FIG. 6 is stopped halfway without closing completely.
FIG. 11 is an explanatory diagram illustrating an example of an operation of a control command determination unit.
FIG. 12 is an explanatory diagram showing another example of the operation of the control command determination unit.
[Explanation of symbols]
1 controller
2 Control target
10 control information storage unit
11 Control part
12 Control command check section
13 Check pattern generator
14 Check pattern storage
120 control command judgment unit
131 Check Information Extraction Unit
132 Check pattern creation unit

Claims (5)

制御対象の状態を表すステータス情報を取込み、前記制御対象を制御する制御命令を生成して前記制御対象に出力する制御部を備えた制御装置において、
前記制御命令を実行するための条件である他の制御命令と前記ステータス情報の前提条件を記述した制御情報が記憶された制御情報記憶部と、
前記制御情報に基づいて、あらかじめ指定された特定の制御命令と該特定の制御命令に対応した前記前提条件とを対応付けてなるチェック情報を生成するチェック情報生成手段と、該生成されたチェック情報を記憶するチェック情報記憶部と、
前記制御部から前記特定の制御命令を含む複数の制御命令群が発行されたとき、該特定の制御命令に対応する前記チェック情報を前記チェック情報記憶部から読出して該チェック情報の成立をチェックし、成立した場合は前記制御命令群を前記制御対象へ出力し、成立しなかった場合は前記制御命令群の制御対象への出力を抑止する制御命令チェック手段とを設けてなることを特徴とする制御装置。 In a control device including a control unit that captures status information indicating a state of a control target, generates a control command for controlling the control target, and outputs the control instruction to the control target,
A control information storage unit that stores control information that describes other control instructions that are conditions for executing the control instruction and preconditions of the status information,
Check information generating means for generating check information in which a specific control instruction specified in advance and the precondition corresponding to the specific control instruction are generated based on the control information; and A check information storage unit for storing
When a plurality of control instruction groups including the specific control instruction are issued from the control unit, the check information corresponding to the specific control instruction is read from the check information storage unit to check whether the check information is satisfied. A control instruction check means for outputting the control instruction group to the control object when the condition is satisfied, and for suppressing the output of the control instruction group to the control object when the condition is not satisfied. Control device. 前記制御命令群は、ビット列であり、一つの制御命令が一つのビットに対応し、ビット”1”が該制御命令の発行を意味し、ビット”0”が該制御命令を発行しないことを意味することを特徴とする請求項1に記載の制御装置。The control instruction group is a bit string, one control instruction corresponds to one bit, bit “1” means that the control instruction is issued, and bit “0” means that the control instruction is not issued. The control device according to claim 1, wherein: 前記前提条件を構成する前記ステータス情報が複数の場合、該ステータス情報群は、ビット配列であり、一つのステータス情報が一つのビットに対応することを特徴とする請求項1または2に記載の制御装置。 If the status information constituting the prerequisites of the plurality, the status information group is a bit sequence, the control according to claim 1 or 2 single status information characterized in that it corresponds to one bit apparatus. 前記チェック情報は、前記特定の制御命令と前記前提条件を構成する前記他の制御命令および前記ステータス情報をビット配列してなるチェックパターンであり、
チェックパターンは、前記制御命令群から前記特定の制御命令を抽出する制御命令マスクと、前記制御命令群と前記ステータス情報群から前記前提条件の対象となる制御命令とステータス情報を抽出する条件マスクと、前記前提条件の対象となる制御命令とステータス情報が前提条件を満たすか否かをチェックする条件判定パターンとからなり、制御命令マスク、条件マスク及び条件判定パターンは、それぞれビット列からなることを特徴とする請求項3に記載の制御装置。 The check information is a check pattern in which the specific control instruction and the other control instruction and the status information constituting the precondition are arranged in a bit array,
The check pattern includes a control instruction mask for extracting the specific control instruction from the control instruction group, and a condition mask for extracting the control instruction and status information to be the precondition from the control instruction group and the status information group. And a condition determination pattern for checking whether or not the control instruction and the status information satisfying the preconditions satisfy the precondition.The control command mask, the condition mask, and the condition determination pattern each include a bit string. The control device according to claim 3, characterized in that: 前記制御命令チェック手段は、前記制御命令群と、前記ステータス情報群と、前記チェックパターンとの論理演算により前記特定の制御命令と該特定の制御命令の発行の前提条件との同時成立のチェックを行なうことを特徴とする請求項に記載の制御装置。The control command checking means, said control instructions, and the status information group, the simultaneous establishment checks the prerequisites for the issuance of the particular control command and the particular control command by the logical operation of the check pattern The control device according to claim 4 , wherein the control is performed.
JP14652494A 1994-06-28 1994-06-28 Control device Expired - Fee Related JP3600938B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP14652494A JP3600938B2 (en) 1994-06-28 1994-06-28 Control device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP14652494A JP3600938B2 (en) 1994-06-28 1994-06-28 Control device

Publications (2)

Publication Number Publication Date
JPH0816202A JPH0816202A (en) 1996-01-19
JP3600938B2 true JP3600938B2 (en) 2004-12-15

Family

ID=15409606

Family Applications (1)

Application Number Title Priority Date Filing Date
JP14652494A Expired - Fee Related JP3600938B2 (en) 1994-06-28 1994-06-28 Control device

Country Status (1)

Country Link
JP (1) JP3600938B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008060011A1 (en) * 2008-11-25 2010-05-27 Pilz Gmbh & Co. Kg Safety control and method for controlling an automated plant

Also Published As

Publication number Publication date
JPH0816202A (en) 1996-01-19

Similar Documents

Publication Publication Date Title
US8910131B2 (en) Method and apparatus for generating an application program for a safety-related control unit
JP2007060710A (en) Security-related automation bus system
JP2007533045A (en) Safety-oriented control system
JP3600938B2 (en) Control device
JP5041290B2 (en) PROGRAMMABLE CONTROLLER AND ITS ERROR RECOVERY METHOD
US20150340111A1 (en) Device for detecting unauthorized manipulations of the system state of an open-loop and closed-loop control unit and a nuclear plant having the device
JP2001185884A (en) Information processing device
JPS633126A (en) Control of combustion apparatus
JP2004330346A (en) Robot control device
EP0382234B1 (en) Microprocessor having improved functional redundancy monitor mode arrangement
JPH0217302A (en) Automatic control device for the number of boilers
JPS6293468A (en) Fuel injection control device for engine
CN117055495A (en) Management method, system, equipment and storage medium for equipment protection action
JPS5851309A (en) Sequence controller
JPH0524037Y2 (en)
JP2549510B2 (en) Switch control device
JPH11242788A (en) Security system
JP5700223B2 (en) Control device
JPH01307804A (en) Programmable controller
JPH06222960A (en) Cpu reset circuit
JPH06202909A (en) Microcomputer and electronic equipment with the same
JPH1011325A (en) Programmable controller
JPH05297914A (en) Programmable controller
JPH01304560A (en) Microprocessor bus monitor controller
JPH0651827A (en) Abnormality monitor system for program controller

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040217

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040401

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20040817

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20040907

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081001

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091001

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101001

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111001

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121001

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131001

Year of fee payment: 9

LAPS Cancellation because of no payment of annual fees