JP3600938B2 - Control device - Google Patents
Control device Download PDFInfo
- Publication number
- JP3600938B2 JP3600938B2 JP14652494A JP14652494A JP3600938B2 JP 3600938 B2 JP3600938 B2 JP 3600938B2 JP 14652494 A JP14652494 A JP 14652494A JP 14652494 A JP14652494 A JP 14652494A JP 3600938 B2 JP3600938 B2 JP 3600938B2
- Authority
- JP
- Japan
- Prior art keywords
- control
- control instruction
- check
- bit
- status information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Safety Devices In Control Systems (AREA)
- Control By Computers (AREA)
Description
【0001】
【産業上の利用分野】
本発明は、計算機を用いた制御装置に係り、特に制御装置の安全性向上技術に関する。
【0002】
【従来の技術】
計算機を用いた制御システムによっては、計算機の故障やノイズ、ソフトウェアのバグ等による誤動作が、人命にかかわる大事故となる恐れがある。このため、誤動作を起こさないように、あるいは仮りに誤動作が起きても安全側に制御されるように、制御システムを設計しなければならない。
【0003】
このような制御システムの安全確保技術の公知例として、特開昭61−166489号公報に記載された技術がある。上記公知例では、前提条件が満たされないときに発行されると人命にかかわる大事故となる恐れがある信号に対し、正常時に満たすべき前提条件を論理的に設定し、この論理条件を満たさない時に上記信号がオンとなった場合、上記信号が異常信号であると判定して制御対象の通常動作を阻止するものである。
【0004】
【発明が解決しようとする課題】
上記公知例では、前提条件がシステムに固有のものであるため、前提条件のチェック機構はシステムに組み込まれている。しかし、前提条件を含む制御情報をデータとして取り込むことにより、前提条件の異なる様々なヴァリエーションに対応可能な汎用性のある制御装置に対しては、公知例に示されるようなシステム組み込み型のチェック機構では、個々のヴァリエーション毎にシステムそのものを作り替えなければならず、対応できない。
【0005】
本発明はこのような事情に鑑みてなされたものであり、前提条件の異なる様々なヴァリエーションに対応可能な汎用性があり、簡単なチェック機能により、前提条件が満たされないときに発行されると事故となるおそれがある制御命令の誤った発行を確実に抑止し得る制御装置を提供することを目的とする。
【0006】
【課題を解決するための手段】
本発明の制御装置は、制御対象の状態を表すステータス情報を取込み、前記制御対象を制御する制御命令を生成して前記制御対象に出力する制御部を備えた制御装置において、
前記制御命令を実行するための条件である他の制御命令と前記ステータス情報の前提条件を記述した制御情報が記憶された制御情報記憶部と、前記制御情報に基づいて、あらかじめ指定された特定の制御命令と該特定の制御命令に対応した前記前提条件とを対応付けてなるチェック情報を生成するチェック情報生成手段と、該生成されたチェック情報を記憶するチェック情報記憶部と、前記制御部から前記特定の制御命令を含む複数の制御命令群が発行されたとき、該特定の制御命令に対応する前記チェック情報を前記チェック情報記憶部から読出して該チェック情報の成立をチェックし、成立した場合は前記制御命令群を前記制御対象へ出力し、成立しなかった場合は前記制御命令群の制御対象への出力を抑止する制御命令チェック手段とを設けたことを特徴とする。
【0007】
【作用】
チェック情報生成手段は、制御情報から、あらかじめ指定された特定の制御命令に対して、該特定の制御命令と該特定の制御命令を実行するための前提条件を抽出し、特定の制御命令と該特定の制御命令に対応した前記前提条件とを対応付けてなるチェック情報を生成する。
【0008】
前提条件となるのは制御対象から得られるステータス情報と該特定の制御命令以外の制御命令である。これにより、制御情報を変更することにより発生する様々なヴァリエーションに対して、確実にチェック情報を生成できる。
【0009】
一方、制御命令チェック手段は、上記特定の制御命令が発行されたとき、上記制御命令に対応するチェック情報に基づいて、上記特定の制御命令と上記前提条件の同時成立をチェックする。同時成立しなかった場合、制御命令群の制御対象への転送を抑止する。これにより、上記チェックパターンを用いて前提条件が満たされないときに発行されると人命にかかわる事故となるおそれがある制御命令の誤った発行を確実に抑止できる。
【0010】
【実施例】
本発明の実施例を図面を参照して説明する。図1には本発明に係る制御装置の一実施例の構成が示されている。同図において、制御装置1は、制御対象2を制御する。制御装置1は、制御対象2に一定周期で制御命令群を転送し、制御対象2は、制御装置1から制御命令群を受け取って動作する。
【0011】
また、制御対象2は、制御装置1にステータス情報群を一定周期で転送し、制御装置1は、制御対象2からステータス情報群を受け取り、次の制御を決定するために使う。
【0012】
制御装置1は、制御命令を実行するための前提条件を記述した制御情報を記憶する制御情報記憶部10と、制御情報記憶部10に記憶された制御情報に基づいて制御対象2を制御する制御部11と、制御部11の出力する制御命令群と制御対象2の出力するステータス情報群を入力とし、チェックパターンを用いて制御命令発行の正当性をチェックする制御命令チェック部12と、制御命令チェック部12においてチェックのために使用するチェックパターンを、制御情報記憶部10に記憶された制御情報に基づいて生成するチェックパターン生成部13と、チェックパターン生成部13が生成するチェックパターンを記憶するチェックパターン記憶部14とからなる。
【0013】
制御装置1及び制御対象2は以下のように動作する。まずオフライン処理によって、チェックパターン生成部13は、制御情報記憶部10から制御情報を読み込み、チェックパターンを生成し、生成したチェックパターンをチェックパターン記憶部14に出力する。
【0014】
次に、オンラインシステム起動時に、制御部11は制御情報記憶部10から制御情報を読み込み、制御命令チェック部12はチェックパターン記憶部14からチェックパターンを読み込む。
【0015】
以上の処理の後、制御部11、制御命令チェック部12、制御対象2がオンラインで動作する。すなわち、制御部11は、一定周期で制御命令チェック部12に制御命令群を出力する。制御対象2は、制御部11及び制御命令チェック部12にステータス情報群を出力する。
【0016】
制御命令チェック部12は、制御部11から供給される制御命令群と、制御対象2から供給されるステータス情報群を取り込み、チェックパターン記憶部14から読み込んだチェックパターンに基づいて上記制御命令群の中に含まれる特定の制御命令の発行の正当性をチェックする。チェックの結果、上記特定の制御命令の発行が正当であれば、制御命令チェック部12は、上記制御命令群を制御対象2に転送し、制御対象2は、上記制御命令群に従って動作する。逆に上記特定の制御命令の発行の条件が満たされていなければ、異常と判定し、制御命令チェック部12は、上記制御命令群の制御対象2への転送を抑止する。
【0017】
また、制御命令チェック部12は、制御命令の発行が正常か異常かを示すチェックフラグと、制御命令群の中のどの制御命令の発行が異常であったかを示すロゴを、制御部11に出力する。
【0018】
次に図2に制御命令チェック部12の具体的構成を示す。同図においてチェックパターン入力部121は、オンラインシステム起動時にチェックパターン記憶部14よりチェックパターンを読み込む。
【0019】
チェックパターン一時記憶部122は、チェックパターン入力部121が読み込んだチェックパターンを電源オンの間記憶する。
【0020】
制御命令入力部123は制御部11より制御命令群を読み込み、ステータス情報入力部126は制御対象2からステータス情報群を読み込む。
【0021】
制御命令判定部120は、ステータス情報入力部126から転送されるステータス情報群と、チェックパターン一時記憶部122から転送されるチェックパターンを用いて、制御命令入力部123から転送される制御命令群の中の特定制御命令の発行の正当性をチェックする。
【0022】
制御命令出力部125は、制御命令判定部120から、制御命令群と、チェックの結果を示すチェックフラグを受け取り、チェックフラグがOKを示す場合には制御対象2に制御命令群を出力し、上記チェックフラグがNGを示す場合には制御対象2への制御命令群の出力を抑止する。
【0023】
チェックフラグロゴ出力部124は、制御命令判定部120からチェックの結果を示すチェックフラグと、制御命令群の中のどの制御命令の発行が異常であったかを示すロゴを受け取り、制御部11に出力する。
【0024】
次に図3に制御命令判定部120の具体的構成を示す。同図においてレジスタ200は、制御命令入力部123から供給される制御命令群を取り込む。ここで制御命令群とは、各ビットが個別の制御命令のオン/オフを示すデータになっているビット例である。
【0025】
制御命令マスクレジスタ201は、制御命令レジスタ200の中の特定の制御命令ビットを取り出すための制御命令マスクを、チェックパターン一時記憶部122から取り込む。
【0026】
ビット選別回路202は、制御命令レジスタ200が供給する制御命令群を、制御命令マスクレジスタ201が供給する制御命令マスクでマスクする。
【0027】
ビットオン判定回路203は、ビット選別回路202がマスクしたパターンを取り込み、ビットが立っているかどうかを判定する。ビットが立っていれば論理“1”を出力し、立っていなければ論理“0”を出力する。ここで論理“1”出力はチェックすべき特定制御命令が発行されていることを示す。
【0028】
一方、条件レジスタ209は、制御命令入力部123から制御命令群を、ステータス情報入力部126からステータス情報群を取り込む。ここでステータス情報群とは、各ビットが個別の制御対象のステータス情報を示すデータになっているビット列である。
【0029】
条件マスクレジスタ210は、チェックパターン一時記憶部122から、条件レジスタ209に取り込んだ条件データから必要な条件を取り出すための条件マスクを取り込む。
【0030】
ビットマスク回路211は、条件レジスタ209内の条件データを、条件マスクレジスタ210内の条件マスクでマスクする。
【0031】
条件判定パターンレジスタ212は、チェックパターン一時記憶部122から、マスクされた条件データが、上記制御命令と整合性が取れているかどうかを判定するための条件判定パターンを取り込む。
【0032】
ビット一致判定回路204は、条件判定パターンレジスタ212内の条件判定パターンと、ビットマスク回路211が出力するマスクされた条件データが一致しているかどうかを判定する。一致していれば論理“0”を出力し、一致していなければ論理“1”を出力する。
【0033】
AND回路205は、ビットオン判定回路203の出力とビット一致判定回路204の出力のAND論理を取る。AND回路205の出力が論理“1”となるのは、上記特定制御命令が発行され、かつ上記特定制御命令発行の前提条件を満たさなかった場合である。このAND回路205の出力は、チェックフラグとしてチェックフラグロゴ出力部124に転送され、チェックフラグロゴ出力部124は検出結果を制御部11に通知する。
【0034】
また、AND回路205の出力(チェックフラグ)は、制御命令出力部125に転送され、制御命令を制御対象2に出力するかどうかの判定に使われる。
【0035】
更に、AND回路205の出力は、マルチプレクサ206の制御線に使われる。マルチプレクサ206は、チェックフラグが“0”の場合“0”を、チェックフラグが“1”の場合ビット選択回路202の出力をOR回路207に供給する。
【0036】
OR回路207は、ロゴレジスタ208の出力とマルチプレクサ206の出力をビット毎にOR論理をとり、その出力を再びロゴレジスタ208に書き込む。これにより、特定制御命令において条件との整合性がとれなかった場合、上記特定制御命令ビットがロゴレジスタに登録される。
【0037】
次に図4にチェックパターン生成部13の具体的構成を、図5にチェックパターン生成部で扱われるデータの詳細を示す。これらの図において制御情報入力部130は、制御情報記憶部10から制御情報300を読み込む。ここで制御情報300は、制御命令とステータス情報の関係を示すもので、図5では表形式に表現しているが、適用分野によって、様々な記述方法があり得る。
【0038】
チェック情報抽出部131は、制御情報入力部130が取り込んだ制御情報300から、チェックパターンを作成するために必要なチェック情報310を抽出する。即ち、まず、制御情報300に記述されている制御命令の中から、誤って発行すると重大事故を引き起こす可能性のある特定制御命令を抽出する。
【0039】
次に、上記特定制御命令を発行する際に、前提条件となる他の制御命令、及びステータス情報を抽出し、上記特定命令と対応させる。
【0040】
チェックパターン作成部132は、チェック情報抽出部131が抽出したチェック情報310に基づいて、制御命令マスク320、条件マスク330、条件パターン340を作成する。
【0041】
制御命令マスク320は、特定制御命令のビット位置を示すパターンで、制御命令群のビット列から特定制御命令を抽出するのに使用する。
【0042】
条件マスク330は、上記特定制御命令が発行される際に、前提条件としてチェックすべき他の制御命令及びステータス情報のビット位置を示すパターンで、上記条件ビットを抽出するのに使う。
【0043】
条件判定パターン340は、上記特定制御命令が発行されるときの前提条件となる他の制御命令及びステータス情報のビットパターンを示し、上記条件ビットと上記特定制御命令との間に整合性があるかどうかの判定に使う。
【0044】
チェックパターン出力部133は、チェックパターン作成部132が作成した制御命令マスク320、条件マスク330、条件判定パターン340を、チェックパターン記憶部14に出力する。
【0045】
以上の実施例によれば、誤って発行されると重大事故につながる危険性のある特定制御命令に対して、上記特定制御命令が発行されたときに、上記特定制御命令が制御対象に転送される前に、上記特定制御命令の発行が許される前提条件をチェックし、チェックの結果、上記前提条件が満たされていないと判定された場合には、上記特定制御命令の発行を抑止することができるので、簡単なチェック手段の追加によって、重大事故を確実に防ぐことができる効果がある。
【0046】
また、本実施例によれば、オフライン処理によって、制御命令とその発行の前提条件を示す制御情報から、重大事故につながる危険性のある特定制御命令に対する前提条件を抽出し、チェックパターンを生成することができるので、制御情報を入れ替えることによって様々な制御を可能とする汎用性のある制御装置に対しても、簡単なチェック手段の追加によって、重大事故を確実に防ぐことができる効果がある。
【0047】
更に、本実施例によれば、チェック処理は単純な論理演算によって実現しているので、高速にチェック処理を実行できる効果がある。
【0048】
次に、第1の実施例で示した制御装置を実際の制御に適用した実施例を図6に示す。図6に示す制御対象2は、建物の搬入口である。この建物の室内は空気圧が高いため、搬入口2は、外部ドア20と内部ドア21の2重ドア構造になっているものとする。搬入口2には、外部ドア20、内部ドア21、屋外照明22、中室照明23、室内照明24、及び空調機25があり、制御装置1(図1)によって制御されるものとする。
【0049】
また搬入口2においては、外部ドア20と内部ドア21が同時に開くと、室内の空気圧が高いために室内から屋外に向けて強い風が吹き、様々なものが飛ばされて重大事故を引き起こす可能性があるものとする。
【0050】
図7に搬入口2の制御における制御命令ビット(30〜41)と、ステータス情報ビット50〜57を示す。同図において制御命令ビット30は、外部ドア20をあける命令、制御命令ビット31は、外部ドア20を閉める命令、制御命令ビット32は、内部ドア21を開ける命令、制御命令ビット33は、内部ドア21を閉める命令、制御命令ビット34は、屋外照明22のスイッチオン命令、制御命令ビット35は、屋外照明22のスイッチオフ命令、制御命令ビット36は、中室照明23のスイッチオン命令、制御命令ビット37は、中室照明23のスイッチオフ命令、制御命令ビット38は、室内照明24のスイッチオン命令、制御命令ビット39は、室内照明24のスイッチオフ命令、制御命令ビット40は、空調機25のスイッチオン命令、制御命令ビット41は、空調機25のスイッチオフ命令である。
【0051】
一方、ステータス情報ビット50は、外部ドア20が完全に開いている状態を示し、ステータス情報ビット51は、外部ドア20が完全に閉まっている状態を示す。ステータス情報ビット52は、内部ドア21が完全に開いている状態を示し、ステータス情報ビット53は、内部ドア21が完全に閉まっている状態を示す。ステータス情報ビット54、55、56は、それぞれ屋外照明22、中室照明23、室内照明24が点灯していることを示し、ステータス情報ビット57は、空調機のスイッチが入っていることを示す。
【0052】
図8に本実施例で使用される制御情報300の内容を示す。制御情報300は、次の内容を示している。(1)外部ドア20を開けるときは、外部ドア20と内部ドア21が閉まっていなければならない。(2)外部ドア20を閉めるときは、外部ドア20が開いており、内部ドアが閉まっていなければならない。(3)内部ドア21を開けるときは、外部ドア20と内部ドア21が閉まっていなければならない。(4)内部ドア21を閉めるときは、外部ドア20が閉まっており、内部ドアが開いていなければならない。(5)屋外照明22を点灯するときは、屋外照明22が消えていなければならない。(6)屋外照明22を消灯するときは、屋外照明22が点灯していなければならない。(7)中室照明23を点灯するときは中室照明23が消えていなければならない。(8)中室照明23を消灯するときは、中室照明23が点灯していなければならない。(9)室内照明24を点灯するときは、室内照明24が消えていなければならない。(10)室内照明24を消灯するときは、室内照明24が点灯していなければならない。(11)空調25を起動するときには、空調25が停止していなければならない。(12)空調25を停止するときには、空調25が稼働していなければならない。なお、ここでは、前提条件はすべてAND条件になっているが、OR条件が含まれていてもよい。
【0053】
上記制御情報300から、チェック情報310が作成される。チェック情報310では、誤って発行されると重大事故につながる特定の制御命令と、該特定の制御命令発行に対する前提条件がリストアップされる。
【0054】
本実施例では、重大事故につながる可能性のあるのは、外部ドア20と内部ドア21が同時に開いたときである。そこで、特定制御命令として、外部ドア20を開ける命令30と、内部ドア21を開ける命令32を指定する。
【0055】
外部ドア20を開ける命令30の発行条件は、内部ドア21を開ける命令32が発行されていないこと、及び、内部ドア21が完全に閉まっていることである。 内部ドア21が完全に閉まっている条件とは、ステータス情報群の内部ドア21が完全に開いている状態を示すステータス情報ビット52が“0”でかつ内部ドア21が完全に閉まっている状態を示すステータス情報ビット53が“1”であることである。
【0056】
内部ドア21を開ける命令32の発行条件は、外部ドア20を開ける命令30が発行されていないこと、及び、外部ドア20が完全に閉まっていることである。外部ドア20が完全に閉まっている条件とは、ステータス情報群の外部ドア20が完全に開いている状態を示すステータス情報ビット50が“0”でかつ外部ドア20が完全に閉まっている状態を示すステータス情報ビット51が“1”であることである。
【0057】
次に図9に、チェック情報310より生成される制御命令マスク320、条件マスク330、条件判定パターン340を示す。制御命令マスク320では、パターン1で外部ドア20の開放命令30の発行を、パターン2で内部ドア21の開放命令32の発行を抽出する。
【0058】
条件マスク330では、パターン1で内部ドア21の開放命令32、及びステータス情報52、53を抽出し、パターン2では外部ドア20の開放命令30、及びステータス情報50、51を抽出する。
【0059】
条件判定パターン340においては、条件マスク330によってマスクされた条件データに対して、パターン1ではステータス情報ビット53のみが、パターン2では、ステータス情報ビット51のみが“1”であることをチェックする。なお、前提条件にOR条件が含まれる場合には、ひとつの制御命令マスク320に対して、複数の条件マスク330と条件判定パターン340を用いることでチェックが可能となる。
【0060】
図10は、搬入口2の外部ドア20が、閉まりきらない途中で止まっている状態にある場合を示す。この時に内部ドア21を開ける制御命令32が発行された場合の制御命令判定部120の動作を、図11及び図12を参照して説明する。
【0061】
図11において、制御命令は、内部ドアを開ける命令32、中室照明を点灯する命令36、空調機を停止する命令41が、同時に発行されているものとする。制御命令マスク320は、図9に示すようにパターン1とパターン2の2種類があるので、チェック処理も2回にわけて実施する。
【0062】
まず、制御命令マスク320のパターン1が制御命令マスクレジスタ201にセットされる。制御命令マスク320のパターン1は、外部ドア20を開ける命令30を抽出するマスクである。ビット選別回路202が、制御命令レジスタ200にセットされた制御命令と、制御命令マスクレジスタ201にセットされた制御命令マスク320のビット毎のAND論理を取ると、出力として“000000000000”が得られる。これにより外部ドア20を開ける命令30が発行されていないことが検出されたことになる。ビット選別回路202以下の全ての回路出力は“0”となり、制御命令マスク320のパターン1に対する処理が終了する。
【0063】
次に図11に示した制御命令判定部120の動作において制御命令マスク320のパターン2を用いた場合の動作を図12に示す。制御命令マスクレジスタ201には、図11と同様の制御命令群がセットされている。制御命令レジスタ201には、制御命令マスク320のパターン2がセットされる。制御命令マスク320のパターン2は、内部ドア21を開ける命令32を抽出するマスクである。
【0064】
ビット選別回路202は、制御命令レジスタ200にセットされた制御命令群と、制御命令マスクレジスタ201にセットされた制御命令マスク320のビット毎のAND論理を取り、出力として“001000000000”を得る。
【0065】
ビットオン判定回路203は、上記ビット選別回路202の出力のビット列の中に“1”があるので“1”を出力する。
【0066】
一方、条件レジスタ209には、制御命令群とステータス情報群がセットされ、条件マスクレジスタ210には、条件マスク330のパターン2がセットされている。
【0067】
また条件判定パターンレジスタ212には、条件判定パターン340のパターン2がセットされている。ビットマスク回路211は、条件レジスタ209にセットされた制御命令群及びステータス情報群と、条件マスクレジスタ210にセットされた条件マスク330のパターン2とのビット毎のAND論理をとる。ビットマスク回路211の出力は、“000000000000”となる。
【0068】
ビット一致判定回路204は、上記ビットマスク回路211の出力と、条件判定パターンレジスタ212にセットされた条件判定パターン340のパターン2との一致をチェックする。図12の動作ではビット一致判定回路204は、不一致と判定し、“1”を出力する。
【0069】
この結果AND回路205は、ビットオン判定回路203の出力“1”と、ビット一定判定回路204の出力“1”のAND論理を取って論理“1”を出力する。AND回路205の出力が論理“1”であるため、制御命令ビット32(内ドア開放命令)の発行が不当であると判定され、制御命令群の制御対象2への出力が抑止される。
【0070】
更にマルチプレクサ206がビット選別回路202の出力“001000000000”を選択してOR回路207に供給し、ロゴレジスタ208に登録される。
【0071】
本実施例によれば、室内の気圧が高く、2重のドアが設けられ、該2重ドアの開閉が計算機によって制御される搬入口において、簡単なチェック手段を設けることによって、2つのドアが同時に開くという重大事故につながる誤制御を確実に抑止できる。
【0072】
また、本実施例によれば、オフライン処理によって、制御命令とその発行の前提となる条件を示す制御情報から、重大事故につながる危険性のある外部ドアを開ける命令及び内部ドアを開ける命令に対する前提条件を抽出し、チェックパターンを生成することができるので、搬入口の設備変更や、制御命令群、ステータス情報群のビット配置に変更が生じても、制御情報を変更するだけで安全度の高い制御を実現できる。
【0073】
また、本実施例によれば、他の制御対象に対しても、制御情報を入れ替えるだけで安全度の高い制御を実現できる。
【0074】
更に、本実施例によれば、チェック処理は単純な論理演算によって実現しているので、高速にチェック処理を実行できる。
【0075】
【発明の効果】
本発明によれば、誤って発行されると重大事故につながる危険性のある特定制御命令に対して、上記特定制御命令が発行されたときに、上記特定制御命令が制御対象に転送される前に、上記特定制御命令の発行が許される前提条件をチェックし、チェックの結果、上記前提条件が満たされていないと判定された場合には、上記特定制御命令の発行を抑止することができるので、簡単なチェック手段の追加によって、重大事故を確実に防ぐことができる。
【0076】
また、本発明によれば、オフライン処理によって、制御命令とその発行の前提となる条件を示す制御情報から、重大事故につながる危険性のある特定制御命令に対する前提条件を抽出し、チェックパターンを生成することができるので、制御情報を入れ替えることによって様々な制御を可能とする汎用性のある制御装置に対しても、簡単なチェック手段の追加によって、重大事故を確実に防ぐことができる。
【0077】
更に、本発明によれば、チェック処理は単純な論理演算によって実現しているので、高速にチェック処理を実行できる。
【図面の簡単な説明】
【図1】本発明に係る制御装置の一実施例の構成を示すブロック図である。
【図2】図1に示した制御装置における制御命令チェック部の具体的構成を示すブロック図である。
【図3】図2に示した制御命令チェック部における制御命令判定部の具体的構成を示すブロック図である。
【図4】図1に示した制御装置におけるチェックパターン生成部の具体的構成を示すブロック図である。
【図5】チェックパターン生成部で扱われる各種データの生成過程を概念的に示す説明図である。
【図6】本発明に係る制御装置が適用される制御対象としての搬入口の構成を示す説明図である。
【図7】図6に示す搬入口の制御に使用される制御命令とステータス情報のデータ構造を示す説明図である。
【図8】図6に示す搬入口の制御に使用される制御情報とチェック情報の具体的内容を示す説明図である。
【図9】図6に示す搬入口の制御に使用される制御命令マスク、条件マスク及び条件判定パターンの具体的内容を示す説明図である。
【図10】図6に示す搬入口の外部ドアが閉まりきらないで途中で止まっている状態を示す説明図である。
【図11】制御命令判定部の動作の一例を示す説明図である。
【図12】制御命令判定部の動作の他の例を示す説明図である。
【符号の説明】
1 制御装置
2 制御対象
10 制御情報記憶部
11 制御部
12 制御命令チェック部部
13 チェックパターン生成部
14 チェックパターン記憶部
120 制御命令判定部
131 チェック情報抽出部
132 チェックパターン作成部[0001]
[Industrial applications]
The present invention relates to a control device using a computer, and more particularly to a technology for improving the safety of the control device.
[0002]
[Prior art]
Depending on a control system using a computer, a malfunction due to a computer failure, noise, software bug, or the like may cause a serious accident involving human life. For this reason, a control system must be designed so as not to cause a malfunction, or to be controlled on the safe side even if a malfunction occurs.
[0003]
As a well-known example of such a technique for ensuring safety of a control system, there is a technique described in JP-A-61-166489. In the above-described known example, for a signal that may be a fatal accident if issued when the precondition is not satisfied, a precondition to be satisfied in a normal state is logically set. When the signal is turned on, it is determined that the signal is an abnormal signal and normal operation of the controlled object is prevented.
[0004]
[Problems to be solved by the invention]
In the above known example, since the preconditions are specific to the system, the precondition checking mechanism is incorporated in the system. However, by incorporating control information including preconditions as data, a versatile control device capable of coping with various variations with different preconditions requires a system-incorporated check mechanism as shown in a known example. In this case, the system itself must be recreated for each variation, which is not possible.
[0005]
The present invention has been made in view of such circumstances, and has general versatility capable of responding to various variations with different preconditions.There isSimple checking machineNohIssued when preconditions are not metMay cause an accidentEnsure erroneous issuance of control instructionsCan be deterredIt is an object to provide a control device.
[0006]
[Means for Solving the Problems]
The control device of the present inventionIn a control device including a control unit that captures status information indicating a state of a control target, generates a control command for controlling the control target, and outputs the control instruction to the control target,
A control information storage unit in which control information describing conditions for executing the control instruction and other control instructions and prerequisites for the status information are stored, and based on the control information, a specific specified in advance. A check information generating unit that generates check information in which a control instruction is associated with the precondition corresponding to the specific control instruction; a check information storage unit that stores the generated check information; and When a plurality of control instruction groups including the specific control instruction are issued, the check information corresponding to the specific control instruction is read from the check information storage unit to check whether the check information is satisfied, and Control instruction check means for outputting the control instruction group to the control target, and suppressing the output of the control instruction group to the control target when the control instruction group is not satisfied; Characterized by providing.
[0007]
[Action]
checkinformationGeneration means, SystemFrom the control information, for a specific control instruction specified in advance, extract the specific control instruction and a precondition for executing the specific control instruction,Check information in which a specific control instruction is associated with the precondition corresponding to the specific control instructionGenerate
[0008]
The prerequisites are status information obtained from the control target and control commands other than the specific control command. This ensures that various variations caused by changing control information can be checked.informationCan be generated.
[0009]
On the other hand, when the specific control instruction is issued, the control instruction check means checks whether the specific control instruction and the precondition are simultaneously established based on check information corresponding to the control instruction. If not established at the same time, the transfer of the control instruction group to the control target is suppressed. As a result, if issued when the prerequisites are not satisfied using the above check pattern,AccidentIssuance of a control instruction that could result inToSureToCan be stopped.
[0010]
【Example】
Embodiments of the present invention will be described with reference to the drawings. FIG. 1 shows the configuration of an embodiment of the control device according to the present invention. In the figure, a
[0011]
Further, the
[0012]
The
[0013]
The
[0014]
Next, when the online system is started, the control unit 11 reads control information from the control
[0015]
After the above processing, the control unit 11, the control
[0016]
The control
[0017]
Further, the control
[0018]
Next, FIG. 2 shows a specific configuration of the control
[0019]
The check pattern
[0020]
The control
[0021]
The control
[0022]
The control
[0023]
The check flag
[0024]
Next, FIG. 3 shows a specific configuration of the control
[0025]
The control
[0026]
The
[0027]
The bit-on
[0028]
On the other hand, the
[0029]
The
[0030]
The
[0031]
The condition determination pattern register 212 fetches a condition determination pattern from the check pattern
[0032]
The bit
[0033]
The AND
[0034]
The output (check flag) of the AND
[0035]
Further, the output of the AND
[0036]
The OR
[0037]
Next, FIG. 4 shows a specific configuration of the
[0038]
The check
[0039]
Next, at the time of issuing the specific control instruction, another control instruction which is a prerequisite and status information are extracted and made to correspond to the specific instruction.
[0040]
The check
[0041]
The
[0042]
The
[0043]
The
[0044]
The check
[0045]
According to the above embodiment, when the specific control instruction is issued for the specific control instruction that may cause a serious accident if issued erroneously, the specific control instruction is transferred to the control target. Before issuing the specific control instruction, if it is determined that the prerequisite is not satisfied, the issue of the specific control instruction may be suppressed. Since a simple accident can be added, a serious accident can be reliably prevented.
[0046]
Further, according to the present embodiment, the precondition for the specific control command that may lead to a serious accident is extracted from the control information indicating the precondition for issuing the control command and the issuance by the offline processing, and the check pattern is generated. Therefore, even for a versatile control device capable of performing various controls by exchanging control information, it is possible to reliably prevent a serious accident by adding a simple checking means.
[0047]
Further, according to the present embodiment, since the check processing is realized by a simple logical operation, there is an effect that the check processing can be executed at high speed.
[0048]
Next, FIG. 6 shows an embodiment in which the control device shown in the first embodiment is applied to actual control. The
[0049]
In addition, when the
[0050]
FIG. 7 shows control command bits (30 to 41) and
[0051]
On the other hand, the
[0052]
FIG. 8 shows the contents of the
[0053]
Check
[0054]
In this embodiment, there is a possibility that a serious accident may occur when the
[0055]
The issuing condition of the
[0056]
The issuing condition of the
[0057]
Next, FIG. 9 shows a
[0058]
In the
[0059]
In the
[0060]
FIG. 10 shows a case where the
[0061]
In FIG. 11, it is assumed that a
[0062]
First, the
[0063]
Next, FIG. 12 shows an operation when the
[0064]
The
[0065]
The bit-on
[0066]
On the other hand, a group of control instructions and a group of status information are set in the
[0067]
In the condition determination pattern register 212,
[0068]
The bit
[0069]
As a result, the AND
[0070]
Further, the
[0071]
According to this embodiment, a double door is provided with a high indoor pressure, and a simple check means is provided at a carry-in entrance where opening and closing of the double door is controlled by a computer. Erroneous control that leads to a serious accident that opens at the same time can be reliably suppressed.
[0072]
Further, according to the present embodiment, the off-line processing uses the control information indicating the control command and the control information indicating the preconditions for issuing the control command and the premise for the command to open the external door and the command to open the internal door that may lead to a serious accident. Since conditions can be extracted and check patterns can be generated, even if the equipment at the entrance is changed or the bit arrangement of the control instruction group and status information group changes, high security is achieved simply by changing the control information. Control can be realized.
[0073]
Further, according to the present embodiment, control with a high degree of safety can be realized for other control targets only by exchanging control information.
[0074]
Furthermore, according to the present embodiment, the check processing is realized by a simple logical operation, so that the check processing can be executed at high speed.
[0075]
【The invention's effect】
According to the present invention, when the specific control instruction is issued for the specific control instruction which may cause a serious accident if issued incorrectly, the specific control instruction is not transferred to the control target. In addition, the prerequisites under which the issuance of the specific control instruction is permitted are checked, and if it is determined that the prerequisites are not satisfied, the issuance of the specific control instruction can be suppressed. By adding simple checking means, a serious accident can be reliably prevented.
[0076]
Further, according to the present invention, a precondition for a specific control command that may lead to a serious accident is extracted from control information indicating a control command and a precondition for issuing the control command by offline processing, and a check pattern is generated. Therefore, even for a versatile control device capable of performing various controls by exchanging control information, a serious accident can be reliably prevented by adding a simple checking means.
[0077]
Furthermore, according to the present invention, since the check processing is realized by a simple logical operation, the check processing can be executed at high speed.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a configuration of an embodiment of a control device according to the present invention.
FIG. 2 is a block diagram showing a specific configuration of a control instruction check unit in the control device shown in FIG.
FIG. 3 is a block diagram showing a specific configuration of a control command determination unit in the control command check unit shown in FIG.
FIG. 4 is a block diagram showing a specific configuration of a check pattern generation unit in the control device shown in FIG.
FIG. 5 is an explanatory diagram conceptually showing a generation process of various data handled by a check pattern generation unit.
FIG. 6 is an explanatory diagram showing a configuration of a carry-in port as a control target to which the control device according to the present invention is applied.
FIG. 7 is an explanatory diagram showing a data structure of a control command and status information used for controlling the carry-in entrance shown in FIG. 6;
FIG. 8 is an explanatory diagram showing specific contents of control information and check information used for controlling the carry-in entrance shown in FIG. 6;
9 is an explanatory diagram showing specific contents of a control command mask, a condition mask, and a condition determination pattern used for controlling the carry-in entrance shown in FIG.
FIG. 10 is an explanatory view showing a state in which the external door of the carry-in entrance shown in FIG. 6 is stopped halfway without closing completely.
FIG. 11 is an explanatory diagram illustrating an example of an operation of a control command determination unit.
FIG. 12 is an explanatory diagram showing another example of the operation of the control command determination unit.
[Explanation of symbols]
1 controller
2 Control target
10 control information storage unit
11 Control part
12 Control command check section
13 Check pattern generator
14 Check pattern storage
120 control command judgment unit
131 Check Information Extraction Unit
132 Check pattern creation unit
Claims (5)
前記制御命令を実行するための条件である他の制御命令と前記ステータス情報の前提条件を記述した制御情報が記憶された制御情報記憶部と、
前記制御情報に基づいて、あらかじめ指定された特定の制御命令と該特定の制御命令に対応した前記前提条件とを対応付けてなるチェック情報を生成するチェック情報生成手段と、該生成されたチェック情報を記憶するチェック情報記憶部と、
前記制御部から前記特定の制御命令を含む複数の制御命令群が発行されたとき、該特定の制御命令に対応する前記チェック情報を前記チェック情報記憶部から読出して該チェック情報の成立をチェックし、成立した場合は前記制御命令群を前記制御対象へ出力し、成立しなかった場合は前記制御命令群の制御対象への出力を抑止する制御命令チェック手段とを設けてなることを特徴とする制御装置。 In a control device including a control unit that captures status information indicating a state of a control target, generates a control command for controlling the control target, and outputs the control instruction to the control target,
A control information storage unit that stores control information that describes other control instructions that are conditions for executing the control instruction and preconditions of the status information,
Check information generating means for generating check information in which a specific control instruction specified in advance and the precondition corresponding to the specific control instruction are generated based on the control information; and A check information storage unit for storing
When a plurality of control instruction groups including the specific control instruction are issued from the control unit, the check information corresponding to the specific control instruction is read from the check information storage unit to check whether the check information is satisfied. A control instruction check means for outputting the control instruction group to the control object when the condition is satisfied, and for suppressing the output of the control instruction group to the control object when the condition is not satisfied. Control device.
該チェックパターンは、前記制御命令群から前記特定の制御命令を抽出する制御命令マスクと、前記制御命令群と前記ステータス情報群から前記前提条件の対象となる制御命令とステータス情報を抽出する条件マスクと、前記前提条件の対象となる制御命令とステータス情報が前提条件を満たすか否かをチェックする条件判定パターンとからなり、制御命令マスク、条件マスク及び条件判定パターンは、それぞれビット列からなることを特徴とする請求項3に記載の制御装置。 The check information is a check pattern in which the specific control instruction and the other control instruction and the status information constituting the precondition are arranged in a bit array,
The check pattern includes a control instruction mask for extracting the specific control instruction from the control instruction group, and a condition mask for extracting the control instruction and status information to be the precondition from the control instruction group and the status information group. And a condition determination pattern for checking whether or not the control instruction and the status information satisfying the preconditions satisfy the precondition.The control command mask, the condition mask, and the condition determination pattern each include a bit string. The control device according to claim 3, characterized in that:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP14652494A JP3600938B2 (en) | 1994-06-28 | 1994-06-28 | Control device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP14652494A JP3600938B2 (en) | 1994-06-28 | 1994-06-28 | Control device |
Publications (2)
Publication Number | Publication Date |
---|---|
JPH0816202A JPH0816202A (en) | 1996-01-19 |
JP3600938B2 true JP3600938B2 (en) | 2004-12-15 |
Family
ID=15409606
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP14652494A Expired - Fee Related JP3600938B2 (en) | 1994-06-28 | 1994-06-28 | Control device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3600938B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102008060011A1 (en) * | 2008-11-25 | 2010-05-27 | Pilz Gmbh & Co. Kg | Safety control and method for controlling an automated plant |
-
1994
- 1994-06-28 JP JP14652494A patent/JP3600938B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JPH0816202A (en) | 1996-01-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8910131B2 (en) | Method and apparatus for generating an application program for a safety-related control unit | |
JP2007060710A (en) | Security-related automation bus system | |
JP2007533045A (en) | Safety-oriented control system | |
JP3600938B2 (en) | Control device | |
JP5041290B2 (en) | PROGRAMMABLE CONTROLLER AND ITS ERROR RECOVERY METHOD | |
US20150340111A1 (en) | Device for detecting unauthorized manipulations of the system state of an open-loop and closed-loop control unit and a nuclear plant having the device | |
JP2001185884A (en) | Information processing device | |
JPS633126A (en) | Control of combustion apparatus | |
JP2004330346A (en) | Robot control device | |
EP0382234B1 (en) | Microprocessor having improved functional redundancy monitor mode arrangement | |
JPH0217302A (en) | Automatic control device for the number of boilers | |
JPS6293468A (en) | Fuel injection control device for engine | |
CN117055495A (en) | Management method, system, equipment and storage medium for equipment protection action | |
JPS5851309A (en) | Sequence controller | |
JPH0524037Y2 (en) | ||
JP2549510B2 (en) | Switch control device | |
JPH11242788A (en) | Security system | |
JP5700223B2 (en) | Control device | |
JPH01307804A (en) | Programmable controller | |
JPH06222960A (en) | Cpu reset circuit | |
JPH06202909A (en) | Microcomputer and electronic equipment with the same | |
JPH1011325A (en) | Programmable controller | |
JPH05297914A (en) | Programmable controller | |
JPH01304560A (en) | Microprocessor bus monitor controller | |
JPH0651827A (en) | Abnormality monitor system for program controller |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040217 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20040401 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20040817 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20040907 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081001 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091001 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101001 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111001 Year of fee payment: 7 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121001 Year of fee payment: 8 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131001 Year of fee payment: 9 |
|
LAPS | Cancellation because of no payment of annual fees |