JP4504990B2 - Control system, communication method, operation terminal, control device, and program - Google Patents
Control system, communication method, operation terminal, control device, and program Download PDFInfo
- Publication number
- JP4504990B2 JP4504990B2 JP2007081192A JP2007081192A JP4504990B2 JP 4504990 B2 JP4504990 B2 JP 4504990B2 JP 2007081192 A JP2007081192 A JP 2007081192A JP 2007081192 A JP2007081192 A JP 2007081192A JP 4504990 B2 JP4504990 B2 JP 4504990B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- control device
- terminal
- procedure
- confirmation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 288
- 238000004891 communication Methods 0.000 title claims description 208
- 238000012790 confirmation Methods 0.000 claims description 191
- 230000005540 biological transmission Effects 0.000 claims description 47
- 230000004044 response Effects 0.000 description 82
- 238000012545 processing Methods 0.000 description 53
- 238000010586 diagram Methods 0.000 description 19
- 230000008569 process Effects 0.000 description 18
- 230000006870 function Effects 0.000 description 3
- 230000015654 memory Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Landscapes
- Testing And Monitoring For Control Systems (AREA)
- Safety Devices In Control Systems (AREA)
Description
本発明は、機能安全規格により規格化された安全水準を満たす制御装置と、安全水準を満たさない操作端末とが通信接続された制御システム等に関する。 The present invention relates to a control system in which a control device that satisfies a safety level standardized by a functional safety standard and an operation terminal that does not satisfy the safety level are connected by communication.
鉄道を含む輸送産業や各種の産業においては、制御機器や駆動機器等に対して動作機能としての安全性が求められている。機能安全性の規格として、国際規格IEC(International Electrotechnical Commission)61508で定義される安全度水準SIL(Safety Integrity Level)が知られており、機器の安全度がこの安全度水準SILにより評価される。安全度水準SILは、要求される安全機能を果たす確度により「1」〜「4」の4レベルで示され、レベルが高いほど安全性が高いことを示している。例えば、鉄道における電子連動装置では、電子連動論理部や電子端末群、制御盤等が光ケーブル等のネットワークで接続されて構成されるが、安全性の確保のため、専用のシステムとして構築される(例えば、非特許文献1参照)。
しかしながら、安全性の確保は、コストや汎用性と表裏の関係になることが多い。上述の電子連動装置を例にとれば、所定の水準以上の安全性の確保のため、安全性が確保された装置や通信回線等によって専用のシステムを構築する必要があり、このために汎用性や拡張性が犠牲になっていた。本発明は、このような事情に鑑みてなされたものであり、所定の機能安全水準を満たすことが求められる制御システムにおいて、汎用性や拡張性の向上を図ることを目的としている。 However, ensuring safety often has a relationship between cost and versatility. Taking the above-mentioned electronic interlocking device as an example, it is necessary to construct a dedicated system by using a device or communication line that ensures safety in order to ensure safety above a predetermined level. And extensibility was sacrificed. The present invention has been made in view of such circumstances, and aims to improve versatility and expandability in a control system that is required to satisfy a predetermined functional safety level.
上記課題を解決するための第1の発明は、
所定の機能安全規格により規格化された安全水準(例えば、実施形態の「安全度水準SIL」)を満たす制御対象機器(例えば、図1の機器制御端末500)を制御する前記安全水準を満たす制御装置(例えば、図1の制御装置300)と、操作者が前記制御装置に対する操作入力を行う前記安全水準を満たさない操作端末(例えば、図1の操作端末100)とが、前記安全水準を満たさない通信路(例えば、図1の操作用通信回線N1)で通信接続された制御システム(例えば、図1の制御システム1)であって、
前記操作端末は、
複数手順から成る操作手順を順次操作入力する操作入力手段(例えば、図3の操作部110)と、
前記操作入力された各手順の操作内容を入力順に対応付けた操作状態データを生成する操作状態生成手段(例えば、図3の処理部120)と、
前記操作状態生成手段により生成された操作状態データと所定の確認折返しデータとを前記制御装置に送信する端末側送信手段(例えば、図3の通信部140)と、
前記制御装置により照査された前記操作状態データの操作内容を表示する表示制御データと、操作端末と制御装置間の通信の正当性を検査するための通信確認データとを前記制御装置から受信する端末側受信手段(例えば、図3の通信部140)と、
前記端末側受信手段により受信された表示制御データに基づいて照査済の各手順の操作内容を表示制御する表示制御手段(例えば、図3の処理部120)と、
前記端末側受信手段により受信された通信確認データを基に、前記確認折返しデータを生成する確認折返し生成手段(例えば、図3の処理部120)と、
を有し、
前記制御装置は、
前記操作端末から前記操作状態データと前記確認折返しデータとを受信する制御装置側受信手段(例えば、図5の操作回線用通信部320)と、
前記制御装置側受信手段により受信された操作状態データを基に、操作者による操作入力の順序が予め定められた規定の操作順序通りであるか照査する手順照査手段(例えば、図5の処理部310)と、
前記制御装置側受信手段により今回受信された操作状態データと、以前に受信された操作状態データとを比較し、各手順の操作内容の一致を判定する情報比較手段(例えば、図5の処理部310)と、
前記制御装置側受信手段により受信された確認折返しデータを基に、前記操作端末との間の通信の正当性を検査する正当性検査手段(例えば、図5の処理部310)と、
前記手順照査手段により前記規定の操作順序通りと判定され、前記情報比較手段により一致と判定され、且つ前記正当性判断手段により正当と判定された場合に、前記手順照査手段により照査された操作状態データを基に、該操作状態データに対応付けられている各手順の操作内容を表示させるための表示制御データを生成する表示制御データ生成手段(例えば、図5の処理部310)と、
前記操作端末との間の通信の正当性を検査するための前記通信確認データを生成する通信確認データ生成手段(例えば、図5の処理部310)と、
前記表示制御データ生成手段により生成された表示制御データと、前記通信確認データ生成手段により生成された通信確認データとを前記操作端末に送信する制御装置側送信手段(例えば、図5の操作回線用通信部320)と、
を有し、
操作者が前記操作端末に前記規定の操作順序通りの操作入力を行った場合に、前記操作端末から前記制御装置への前記端末側送信手段による前記操作状態データ及び前記確認折返しデータの送信と、前記制御装置から前記操作端末への前記制御装置側送信手段による前記表示制御データ及び前記通信確認データの送信とが繰り返し実行される制御システムである。
The first invention for solving the above-described problems is
Control that satisfies the safety level for controlling a control target device (for example, the
The operation terminal is
Operation input means (for example, the
Operation state generation means (for example, the
Terminal-side transmission means (for example, the
A terminal that receives display control data for displaying the operation content of the operation state data checked by the control device, and communication confirmation data for checking the validity of communication between the operation terminal and the control device from the control device. Side receiving means (for example, the
Display control means (for example, the
Based on the communication confirmation data received by the terminal-side receiving means, a confirmation return generation means (for example, the
Have
The controller is
A control-device-side receiving means (for example, the operation
Procedure checking means (for example, the processing unit in FIG. 5) for checking whether the order of operation inputs by the operator is in accordance with a predetermined operation order based on the operation state data received by the control device side receiving means. 310)
Information comparison means (for example, the processing unit in FIG. 5) that compares the operation state data received this time by the control device side reception means with the operation state data received previously and determines whether the operation contents of each procedure match. 310)
Based on the confirmation loopback data received by the control device side receiving means, validity checking means (for example, the
The operation state checked by the procedure checking means when it is determined by the procedure checking means as being in accordance with the prescribed operation order, determined to be coincident by the information comparing means, and determined to be valid by the validity judging means. Display control data generating means (for example, the
Communication confirmation data generating means (for example, the
Control device side transmission means for transmitting the display control data generated by the display control data generation means and the communication confirmation data generated by the communication confirmation data generation means to the operation terminal (for example, for the operation line in FIG. 5) Communication unit 320);
Have
When the operator performs an operation input to the operation terminal according to the specified operation order, the operation state data and the confirmation return data are transmitted by the terminal-side transmission unit from the operation terminal to the control device, In the control system, transmission of the display control data and the communication confirmation data by the control device side transmission unit from the control device to the operation terminal is repeatedly executed.
また、第7の発明は、
所定の機能安全規格により規格化された安全水準を満たす制御対象機器(例えば、図1の機器制御端末500)を制御する前記安全水準を満たす制御装置(例えば、図1の制御装置300)と、操作者が前記制御装置に対する操作入力を行う前記安全水準を満たさない操作端末(例えば、図1の操作端末100)とが、前記安全水準を満たさない通信路で通信接続された制御システム(例えば、図1の制御システム1)における通信方法(例えば、図9の操作制御処理及び図10の応答制御処理)であって、
前記操作端末が行うステップとして、
操作入力された各手順の操作内容を入力順に対応付けた操作状態データを生成する操作状態生成ステップ(例えば、図9のステップA3)と、
前記生成された操作状態データと所定の確認折返しデータとを前記制御装置に送信する端末側送信ステップ(例えば、図9のステップA11)と、
前記制御装置により照査された前記操作状態データの操作内容を表示する表示制御データと、操作端末と制御装置間の通信の正当性を検査するための通信確認データとを前記制御装置から受信する端末側受信ステップと、
前記端末側受信ステップで受信された表示制御データに基づいて照査済の各手順の操作内容を表示制御する表示制御ステップ(例えば、図9のステップA17)と、
前記端末側受信ステップで受信された通信確認データを基に、前記確認折返しデータを生成する確認折返し生成ステップ(例えば、図9のステップA9)と、
を含むとともに、
前記制御装置が行うステップとして、
前記操作端末から前記操作状態データと前記確認折返しデータとを受信する制御装置側受信ステップと、
前記制御装置側受信ステップで受信された操作状態データを基に、操作者による操作入力の順序が予め定められた規定の操作順序通りであるか照査する手順照査ステップ(例えば、図10のステップB15)と、
前記制御装置側受信ステップで今回受信された操作状態データと、以前に受信された操作状態データとを比較し、各手順の操作内容の一致を判定する情報比較ステップ(例えば、図10のステップB5)と、
前記制御装置側受信ステップで受信された確認折返しデータを基に、前記操作端末との間の通信の正当性を検査する正当性検査ステップ(例えば、図10のステップB9〜B11)と、
前記手順照査ステップで前記規定の操作順序通りと判定され、前記情報比較ステップで一致と判定され、且つ前記正当性判断ステップで正当と判定された場合に、前記手順照査ステップにより照査された操作状態データを基に、該操作状態データに対応付けられている各手順の操作内容を表示させるための表示制御データを生成する表示制御データ生成ステップ(例えば、図10のステップB23)と、
前記操作端末との間の通信の正当性を検査するための前記通信確認データを生成する通信確認データ生成ステップ(例えば、図10のステップ25〜B29)と、
前記表示制御データ生成ステップで生成された表示制御データと、前記通信確認データ生成ステップで生成された通信確認データとを前記操作端末に送信する制御装置側送信ステップ(例えば、図10のステップB31)と、
を含み、
操作者が前記操作端末に前記規定の操作順序通りの操作入力を行った場合に、前記操作端末から前記制御装置への前記操作状態データ及び前記確認折返しデータの送信と、前記制御装置から前記操作端末への前記表示制御データ及び前記通信確認データの送信とが繰り返し実行される通信方法である。
In addition, the seventh invention,
A control device (for example, the
As a step performed by the operation terminal,
An operation state generation step (for example, step A3 in FIG. 9) for generating operation state data in which the operation contents of each operation input operation are associated in the input order;
A terminal-side transmission step (for example, step A11 in FIG. 9) for transmitting the generated operation state data and predetermined confirmation loopback data to the control device;
A terminal that receives display control data for displaying the operation content of the operation state data checked by the control device, and communication confirmation data for checking the validity of communication between the operation terminal and the control device from the control device. Side reception step;
A display control step (for example, step A17 in FIG. 9) for controlling display of the operation content of each verified procedure based on the display control data received in the terminal-side reception step;
Based on the communication confirmation data received in the terminal-side reception step, a confirmation return generation step (for example, step A9 in FIG. 9) for generating the confirmation return data;
Including
As the step performed by the control device,
A control device side receiving step for receiving the operation state data and the confirmation loopback data from the operation terminal;
On the basis of the operation state data received in the control device side receiving step, a procedure checking step for checking whether the order of operation inputs by the operator is in accordance with a predetermined operation order (for example, step B15 in FIG. 10). )When,
The information comparison step (for example, step B5 in FIG. 10) that compares the operation state data received this time in the control device side reception step with the operation state data received previously and determines whether the operation contents of each procedure match. )When,
Based on the confirmation loopback data received in the control device side reception step, a legitimacy check step (for example, steps B9 to B11 in FIG. 10) for checking the legitimacy of communication with the operation terminal;
The operation state checked by the procedure checking step when the procedure checking step determines that the order is in accordance with the prescribed operation order, when the information comparing step determines that they match, and when the validity checking step determines that the procedure is valid. A display control data generation step (for example, step B23 in FIG. 10) for generating display control data for displaying the operation content of each procedure associated with the operation state data based on the data;
A communication confirmation data generation step (for example, steps 25 to B29 in FIG. 10) for generating the communication confirmation data for checking the validity of communication with the operation terminal;
Control device side transmission step of transmitting the display control data generated in the display control data generation step and the communication confirmation data generated in the communication confirmation data generation step to the operation terminal (for example, step B31 in FIG. 10). When,
Including
When the operator performs an operation input to the operation terminal according to the prescribed operation sequence, the operation state data and the confirmation loopback data are transmitted from the operation terminal to the control device, and the operation is performed from the control device. In this communication method, the display control data and the communication confirmation data are repeatedly transmitted to a terminal.
また、第8の発明は、
所定の機能安全規格により規格化された安全水準を満たす制御対象機器を制御する前記安全水準を満たす制御装置に前記安全水準を満たさない通信路で通信接続された前記安全水準を満たさない操作端末(例えば、図1の操作端末100)であって、
複数手順から成る操作手順を順次操作入力する操作入力手段と、
前記操作入力された各手順の操作内容を入力順に対応付けた操作状態データを生成する操作状態生成手段と、
前記操作状態生成手段により生成された操作状態データと所定の確認折返しデータとを前記制御装置に送信する端末側送信手段と、
前記制御装置により照査された前記操作状態データの操作内容を表示する表示制御データと、操作端末と制御装置間の通信の正当性を検査するための通信確認データとを前記制御装置から受信する端末側受信手段と、
前記端末側受信手段により受信された表示制御データに基づいて照査済の各手順の操作内容を表示制御する表示制御手段と、
前記端末側受信手段により受信された通信確認データを基に、前記確認折返しデータを生成する確認折返し生成手段と、
を備えた操作端末である。
Further, the eighth invention is
An operation terminal that does not satisfy the safety level, and is connected to a control device that satisfies the safety level by controlling a device that satisfies the safety level standardized by a predetermined functional safety standard. For example, the operation terminal 100) of FIG.
Operation input means for sequentially inputting operation procedures comprising a plurality of procedures;
Operation state generation means for generating operation state data in which the operation contents of each operation input operation are associated in the order of input;
Terminal-side transmission means for transmitting the operation state data generated by the operation state generation means and predetermined confirmation loopback data to the control device;
A terminal that receives display control data for displaying the operation content of the operation state data checked by the control device, and communication confirmation data for checking the validity of communication between the operation terminal and the control device from the control device. Side receiving means;
Display control means for controlling the display of the operation content of each verified procedure based on the display control data received by the terminal-side receiving means;
Based on the communication confirmation data received by the terminal side receiving means, a confirmation return generating means for generating the confirmation return data,
Is an operation terminal equipped with.
また、第9の発明は、第8の発明の操作端末と前記安全水準を満たさない通信路で通信接続された前記安全水準を満たす制御装置(例えば、図1の制御装置300)であって、
前記操作端末から前記操作状態データと前記確認折返しデータとを受信する制御装置側受信手段と、
前記制御装置側受信手段により受信された操作状態データを基に、操作者による操作入力の順序が予め定められた規定の操作順序通りであるか照査する手順照査手段と、
前記制御装置側受信手段により今回受信された操作状態データと、以前に受信された操作状態データとを比較し、各手順の操作内容の一致を判定する情報比較手段と、
前記制御装置側受信手段により受信された確認折返しデータを基に、前記操作端末との間の通信の正当性を検査する正当性検査手段と、
前記手順照査手段により前記規定の操作順序通りと判定され、前記情報比較手段により一致と判定され、且つ前記正当性判断手段により正当と判定された場合に、前記手順照査手段により照査された操作状態データを基に、該操作状態データに対応付けられている各手順の操作内容を表示させるための表示制御データを生成する表示制御データ生成手段と、
前記操作端末との間の通信の正当性を検査するための前記通信確認データを生成する通信確認データ生成手段と、
前記表示制御データ生成手段により生成された表示制御データと、前記通信確認データ生成手段により生成された通信確認データとを前記操作端末に送信する制御装置側送信手段と、
を備えた制御装置である。
The ninth invention is a control device (for example, the
Control device side receiving means for receiving the operation state data and the confirmation loopback data from the operation terminal;
Based on the operation state data received by the control device side receiving means, a procedure checking means for checking whether the order of operation inputs by the operator is in accordance with a predetermined operation order,
Information comparing means for comparing the operation state data received this time by the control device side receiving means with the operation state data received previously, and determining the matching of the operation contents of each procedure;
Based on the confirmation loopback data received by the control device side receiving means, validity checking means for checking the validity of communication with the operation terminal,
The operation state checked by the procedure checking means when it is determined by the procedure checking means as being in accordance with the prescribed operation order, determined to be coincident by the information comparing means, and determined to be valid by the validity judging means. Display control data generating means for generating display control data for displaying the operation contents of each procedure associated with the operation state data based on the data;
Communication confirmation data generating means for generating the communication confirmation data for inspecting the validity of communication with the operation terminal;
Control device side transmitting means for transmitting the display control data generated by the display control data generating means and the communication confirmation data generated by the communication confirmation data generating means to the operation terminal;
It is a control device provided with.
また、第10の発明は、
所定の機能安全規格により規格化された安全水準を満たす制御対象機器を制御する前記安全水準を満たす制御装置に前記安全水準を満たさない通信路で通信接続された前記安全水準を満たさない操作端末(例えば、図1の操作端末100)であるコンピュータを、
複数手順から成る操作手順を順次操作入力する操作入力手段、
前記操作入力された各手順の操作内容を入力順に対応付けた操作状態データを生成する操作状態生成手段、
前記操作状態生成手段により生成された操作状態データと所定の確認折返しデータとを前記制御装置に送信する端末側送信手段、
前記制御装置により照査された前記操作状態データの操作内容を表示する表示制御データと、操作端末と制御装置間の通信の正当性を検査するための通信確認データとを前記制御装置から受信する端末側受信手段、
前記端末側受信手段により受信された表示制御データに基づいて照査済の各手順の操作内容を表示制御する表示制御手段、
前記端末側受信手段により受信された通信確認データを基に、前記確認折返しデータを生成する確認折返し生成手段、
として機能させるためのプログラム(例えば、図3の操作制御プログラム151)である。
The tenth aspect of the invention is
An operation terminal that does not satisfy the safety level, and is connected to a control device that satisfies the safety level by controlling a device that satisfies the safety level standardized by a predetermined functional safety standard. For example, a computer which is the operation terminal 100) of FIG.
Operation input means for sequentially inputting operation procedures comprising a plurality of procedures;
Operation state generation means for generating operation state data in which the operation contents of each operation input are associated in the order of input;
Terminal-side transmission means for transmitting the operation state data generated by the operation state generation means and predetermined confirmation loopback data to the control device;
A terminal that receives display control data for displaying the operation content of the operation state data checked by the control device, and communication confirmation data for checking the validity of communication between the operation terminal and the control device from the control device. Side receiving means,
Display control means for controlling the display of the operation content of each verified procedure based on the display control data received by the terminal-side receiving means;
Confirmation return generating means for generating the confirmation return data based on the communication confirmation data received by the terminal side receiving means,
For example, the
この第1、第7〜第10の発明によれば、所定の機能安全規格により規格化された安全水準を満たす制御装置と安全水準を満たさない操作端末とが、安全水準を満たさない通信路で通信接続された制御システムにおいて、操作者が操作端末に規定の操作順序通りの操作入力を行うと、操作端末から制御装置に、制御装置から受信した通信確認データに基づく確認折返しデータが操作状態データとともに送信され、制御装置から操作端末に、操作端末から受信した操作状態データに基づく操作表示データが通信確認データとともに送信されるといった一連の処理が繰り返し行われるとともに、制御装置において、操作状態データとともに受信した確認折返しデータに基づく通信の正当性の判断、受信した操作状態データの各手順の操作内容が以前に受信した各手順の操作内容と一致するかの判断、そして操作順序の照査が繰り返し行われる。これにより、制御装置において受信した操作状態データ及び操作端末において受信した操作表示データの信頼性が確保されることになる。つまり、制御装置と操作端末との間の通信の信頼性が向上し、その結果、操作端末や通信路といった安全水準を満たさない要素が含まれているとしても、制御システム全体として所定の安全水準を満たすこととなる。 According to the first and seventh to tenth aspects of the present invention, a control device that satisfies the safety level standardized by a predetermined functional safety standard and an operation terminal that does not satisfy the safety level are connected to each other through a communication path that does not satisfy the safety level. In a communication-connected control system, when an operator performs an operation input to the operation terminal according to a prescribed operation sequence, confirmation return data based on communication confirmation data received from the control device is transmitted from the operation terminal to the control device. A series of processing is repeatedly performed such that operation display data based on operation state data received from the operation terminal is transmitted together with communication confirmation data from the control device to the operation terminal. Judgment of the validity of communication based on the received confirmation loopback data, and the operation contents of each procedure of the received operation status data are as follows. Determination matches the operation content of each step received, and the Shosa sequence of operations is repeatedly performed. Thereby, the reliability of the operation state data received by the control device and the operation display data received by the operation terminal is ensured. In other words, the reliability of communication between the control device and the operation terminal is improved, and as a result, even if elements that do not satisfy the safety level such as the operation terminal and the communication path are included, the control system as a whole has a predetermined safety level. Will be satisfied.
更に、操作端末において受信した操作表示データに基づく照査済みの各手順の操作内容が表示制御されることで、通信の信頼性の更なる向上が実現される。即ち、例えば操作端末において、操作者は、手順の操作入力を行うと、該手順の操作内容が表示されることを確認した後、次の手順の操作入力を行うといったように、手順毎に該手順の操作内容の表示を確認しながら操作入力を行うことで、制御装置との間の通信が正常に行われていることを確認することができる。 Furthermore, the display operation is controlled for each verified procedure based on the operation display data received at the operation terminal, thereby further improving the reliability of communication. That is, for example, in an operation terminal, when an operator performs an operation input of a procedure, the operator confirms that the operation content of the procedure is displayed, and then performs an operation input of the next procedure. By performing the operation input while confirming the display of the operation content of the procedure, it is possible to confirm that communication with the control device is normally performed.
また、操作者は、操作端末において制御装置に対する操作入力を行うことができる。このため、操作端末として、例えばパソコンといった安全水準は満たさないけれども汎用性や拡張性に優れた装置を利用することで、特にマンマシン・インターフェースといった点において汎用性や拡張性の向上が実現される。つまり、安全水準を満たしつつ、専用のシステムとして構築される場合に比較して汎用性や拡張性が向上された制御システムが実現される。 Further, the operator can perform operation input to the control device at the operation terminal. For this reason, by using a device that does not meet the safety standard, such as a personal computer, but has excellent versatility and expandability, it is possible to improve versatility and expandability especially in terms of man-machine interface. . That is, a control system is realized that satisfies the safety level and has improved versatility and expandability compared to a case where it is constructed as a dedicated system.
第2の発明は、第1の発明の制御システムであって、
前記制御装置は、
前記手順照査手段により前記規定の操作順序通りと判定され、前記情報比較手段により一致と判定され、且つ前記正当性判断手段により正当と判定された場合に、前記制御装置側受信手段により受信された操作状態データを基に、前記規定の操作順序に従った全ての手順の操作入力が完了したことを判定する手順完了判定手段(例えば、図5の処理部310;図10のステップB33)と、
前記手順完了判定手段により完了したと判定された場合に、前記手順照査手段により照査された操作状態データに従って、前記制御対象機器の制御を実行する制御実行手段(例えば、図5の処理部310;図10のステップB37)と、
を更に有する制御システムである。
The second invention is the control system of the first invention,
The controller is
When it is determined by the procedure checking means that the prescribed operation order is satisfied, the information comparing means determines that it is a match, and the validity determining means determines that the order is correct, it is received by the control device side receiving means. Procedure completion determination means (for example, the
Control execution means (for example, the
A control system further comprising:
この第2の発明によれば、制御装置において、操作入力の順序が規定の操作順序通りと判定され、各手順の操作内容が一致すると判定され、且つ操作端末との間の通信が正当と判定された場合に、受信された操作状態データを基に、規定の操作順序に従った全ての手順の操作入力が完了したことが判定される。そして、全ての手順の操作入力が完了したと判定された場合に、照査された操作状態データに従って制御対象機器の制御が実行される。つまり、安全性が確保されていない操作端末や通信路におけるエラーが生じた場合には、高確度で手順の操作入力の完了が判定されず、従って制御対象機器の制御が実行されないことになる。これにより、制御システムの安全性の更なる向上が実現される。 According to the second invention, in the control device, it is determined that the order of the operation input is in accordance with the prescribed operation order, it is determined that the operation content of each procedure is the same, and the communication with the operation terminal is determined to be valid. If it is determined, the operation input of all procedures according to the prescribed operation order is determined based on the received operation state data. And when it determines with the operation input of all the procedures having been completed, control of a control object apparatus is performed according to the checked operation state data. In other words, when an error occurs in an operation terminal or communication path for which safety is not ensured, completion of the operation input of the procedure is not determined with high accuracy, and therefore control of the control target device is not executed. Thereby, the further improvement of the safety | security of a control system is implement | achieved.
第3の発明は、第2の発明の制御システムであって、
前記規定の操作順序は、最初の手順で入力した操作内容を最後の手順で再入力する手順として規定されており、
前記手順完了判定手段は、前記制御装置側受信手段により受信された操作状態データのうち、最新の手順が最初の手順と同じ操作内容を再入力する手順であり、且つ操作内容が最初の手順と同じことを、全ての手順の操作入力の完了と判定する請求項2に記載の制御システムである。
The third invention is the control system of the second invention,
The prescribed operation order is defined as a procedure for re-inputting the operation content entered in the first procedure in the last procedure,
The procedure completion determining means is a procedure in which the latest procedure among the operation status data received by the control device side receiving means is a procedure for re-inputting the same operation content as the first procedure, and the operation content is the first procedure. The control system according to claim 2, wherein the same thing is determined as completion of operation input of all procedures.
この第3の発明によれば、制御装置において、受信された操作状態データのうち、最新の手順が最初の手順と同じ操作内容を再入力する手順であり、且つ操作内容が最初の手順と同じことが、全ての手順の操作入力の完了と判定される。 According to the third aspect of the invention, in the control device, the latest procedure is a procedure for re-inputting the same operation content as the first procedure, and the operation content is the same as the first procedure. It is determined that the operation input for all procedures is completed.
第4の発明は、第1〜第3の何れかの発明の制御システムであって、
前記通信確認データ生成手段は、前記制御装置側受信手段により受信された操作状態データの全部又は一部を複製したデータを少なくとも含めて前記通信確認データを生成し、
前記情報比較手段は、前記制御装置側受信手段により今回受信された操作状態データと、前記通信確認データ生成手段により生成された通信確認データとの一致を判定することで、各手順の操作内容の一致を判定する、
制御システムである。
A fourth invention is a control system according to any one of the first to third inventions,
The communication confirmation data generation means generates the communication confirmation data including at least data obtained by duplicating all or part of the operation state data received by the control device side reception means,
The information comparison unit determines whether the operation state data received this time by the control device side receiving unit matches the communication confirmation data generated by the communication confirmation data generation unit, thereby determining the operation contents of each procedure. Determine match,
Control system.
この第4の発明によれば、制御装置において、操作端末から受信した操作状態データの全部又は一部を複製したデータを少なくとも含めた通信確認データが操作端末に送信され、操作端末から今回受信された操作状態データと生成した通信確認データとの一致を判定することで、各手順の操作内容の一致が判定される。つまり、通信確認データは、受信した操作状態データの全部又は一部を含んでいるため、今回受信された操作状態データと、以前に受信された操作状態データに替えて通信確認データとを比較することで、各手順の操作内容の一致を判定することができる。 According to the fourth aspect of the invention, in the control device, communication confirmation data including at least data obtained by duplicating all or part of the operation state data received from the operation terminal is transmitted to the operation terminal and received from the operation terminal this time. By determining the match between the operation state data thus generated and the generated communication confirmation data, it is determined whether the operation contents of each procedure match. That is, since the communication confirmation data includes all or part of the received operation state data, the operation state data received this time is compared with the communication confirmation data in place of the operation state data received previously. Thus, it is possible to determine whether the operation contents of each procedure match.
第5の発明は、第4の発明の制御システムであって、
前記通信確認データ生成手段は、更に、前記複製したデータに基づくチェックコードを生成して前記通信確認データに含め、
前記確認折返し生成手段は、前記端末側受信手段により受信された通信確認データを複製したデータを前記確認折返しデータとして生成し、
前記正当性検査手段は、前記制御装置側受信手段により受信された確認折返しデータに含まれる前記操作状態データの複製データを基にチェックコードを生成し、前記通信確認データ生成手段により生成されたチェックコードと一致するか否かで、通信の正当性を判断する、
制御システムである。
The fifth invention is the control system of the fourth invention,
The communication confirmation data generation means further generates a check code based on the copied data and includes the check code in the communication confirmation data.
The confirmation loopback generation unit generates data as a copy of the communication confirmation data received by the terminal side reception unit as the confirmation loopback data,
The validity checking means generates a check code based on the duplicated data of the operation state data included in the confirmation loopback data received by the control device side receiving means, and the check generated by the communication confirmation data generating means The validity of communication is judged based on whether it matches the code,
Control system.
この第5の発明によれば、制御装置では、更に、受信された操作状態データを複製したデータに基づくチェックコードが通信確認データに含めて操作端末に送信され、この送信した通信確認データを複製したデータを確認折返しデータとして操作端末から受信し、受信した確認折返しデータに含まれる操作状態データの複製データを基に生成したチェックコードが、送信したチェックコードと一致するか否かで、通信の正当性が判断される。 According to the fifth aspect of the invention, the control device further includes a check code based on data obtained by duplicating the received operation state data included in the communication confirmation data and transmitted to the operation terminal, and duplicates the transmitted communication confirmation data. Data received from the operating terminal as confirmation loopback data, and whether the check code generated based on the duplicated operation status data included in the received confirmation loopback data matches the transmitted check code. Justification is judged.
第6の発明は、第1〜第5の何れかの発明の制御システムであって、
前記端末側送信手段は、前記操作状態データ及び前記確認折返しデータの送信を所定周期で行い、
前記制御装置側送信手段は、前記表示制御データ及び前記通信確認データの送信を所定周期で行い、
前記表示制御手段は、前記端末側受信手段により前記表示制御データが受信される毎に、表示内容を更新制御する、
制御システムである。
A sixth invention is a control system according to any one of the first to fifth inventions,
The terminal side transmission means performs transmission of the operation state data and the confirmation loopback data in a predetermined cycle,
The control device side transmission means performs transmission of the display control data and the communication confirmation data in a predetermined cycle,
The display control means updates the display content every time the display control data is received by the terminal side receiving means.
Control system.
この第6の発明によれば、操作端末からの操作状態データ及び確認折返しデータの送信が所定周期で行われるとともに、制御装置からの表示制御データ及び通信確認データの送信が所定周期で行われ、操作端末では、制御装置から送信される表示制御データが受信される毎に、該受信した表示制御データに基づく各手順の操作内容の表示が更新される。
従って、データの送受信を所定周期で行うことで、操作端末と制御装置との間の通信の信頼性を更に向上させることができる。
According to the sixth aspect of the invention, the operation state data and the confirmation loopback data are transmitted from the operation terminal at a predetermined cycle, and the display control data and the communication confirmation data are transmitted from the control device at a predetermined cycle. In the operation terminal, every time display control data transmitted from the control device is received, the display of the operation content of each procedure based on the received display control data is updated.
Therefore, the reliability of communication between the operation terminal and the control device can be further improved by performing transmission / reception of data at a predetermined cycle.
本発明によれば、所定の機能安全規格により規格化された安全水準を満たす制御装置と安全水準を満たさない操作端末とが、安全水準を満たさない通信路で通信接続された制御システムにおいて、操作者が操作端末に規定の操作順序通りの操作入力を行うと、操作端末から制御装置に、制御装置から受信した通信確認データに基づく確認折返しデータが操作状態データとともに送信され、制御装置から操作端末に、操作端末から受信した操作状態データに基づく操作表示データが通信確認データとともに送信されるといった一連の処理が繰り返し行われるとともに、制御装置において、操作状態データとともに受信した確認折返しデータに基づく通信の正当性の判断、受信した操作状態データの各手順の操作内容が以前に受信した各手順の操作内容と一致するかの判断、そして操作順序の照査が繰り返し行われる。これにより、制御装置において受信した操作状態データ及び操作端末において受信した操作表示データの信頼性が確保されることになる。つまり、制御装置と操作端末との間の通信の信頼性が向上し、その結果、操作端末や通信路といった安全水準を満たさない要素が含まれているとしても、制御システム全体として所定の安全水準を満たすこととなる。 According to the present invention, in a control system in which a control device that satisfies the safety level standardized by a predetermined functional safety standard and an operation terminal that does not satisfy the safety level are connected by communication on a communication path that does not satisfy the safety level, When the operator performs an operation input in the prescribed operation sequence on the operation terminal, confirmation return data based on the communication confirmation data received from the control device is transmitted from the operation terminal to the control device together with the operation state data. In addition, a series of processes such as operation display data based on the operation state data received from the operation terminal is repeatedly transmitted together with the communication confirmation data, and the control device performs communication based on the confirmation loopback data received together with the operation state data. Judgment of legitimacy, operation contents of each procedure of received operation status data Contents to determination of whether match, and Shosa sequence of operations is repeated. Thereby, the reliability of the operation state data received by the control device and the operation display data received by the operation terminal is ensured. In other words, the reliability of communication between the control device and the operation terminal is improved, and as a result, even if elements that do not satisfy the safety level such as the operation terminal and the communication path are included, the control system as a whole has a predetermined safety level. Will be satisfied.
更に、操作端末において受信した操作表示データに基づく照査済みの各手順の操作内容が表示制御されることで、通信の信頼性の更なる向上が実現される。即ち、例えば操作端末において、操作者は、手順の操作入力を行うと、該手順の操作内容が表示されることを確認した後、次の手順の操作入力を行うといったように、手順毎に該手順の操作内容の表示を確認しながら操作入力を行うことで、制御装置との間の通信が正常に行われていることを確認することができる。 Furthermore, the display operation is controlled for each verified procedure based on the operation display data received at the operation terminal, thereby further improving the reliability of communication. That is, for example, in an operation terminal, when an operator performs an operation input of a procedure, the operator confirms that the operation content of the procedure is displayed, and then performs an operation input of the next procedure. By performing the operation input while confirming the display of the operation content of the procedure, it is possible to confirm that communication with the control device is normally performed.
また、操作者は、操作端末において制御装置に対する操作入力を行うことができる。このため、操作端末として、例えばパソコンといった安全水準は満たさないけれども汎用性や拡張性に優れた装置を利用することで、特にマンマシン・インターフェースといった点において汎用性や拡張性の向上が実現される。つまり、安全水準を満たしつつ、専用のシステムとして構築される場合に比較して汎用性や拡張性が向上された制御システムが実現される。 Further, the operator can perform operation input to the control device at the operation terminal. For this reason, by using a device that does not meet the safety standard, such as a personal computer, but has excellent versatility and expandability, it is possible to improve versatility and expandability especially in terms of man-machine interface. . That is, a control system is realized that satisfies the safety level and has improved versatility and expandability compared to a case where it is constructed as a dedicated system.
以下、図面を参照して本発明の好適な実施形態を説明する。 Preferred embodiments of the present invention will be described below with reference to the drawings.
[システム構成]
図1は、本実施形態の制御システム1の構成を示す図である。同図によれば、制御システム1は、操作端末100と制御装置300とが操作用通信回線N1を介して通信可能に接続されて構成されている。また、制御装置300には、制御用通信回線N2を介して複数の機器制御端末500が通信可能に接続されている。ここで、操作用通信回線N1は、データの送受信が可能な通信路であり、例えばイーサネット(登録商標)等である。また、制御用通信回線N2は、例えば光ケーブル等で構成される専用LANである。操作端末100は、操作者が制御装置300に対する操作入力を行うためのインターフェース装置であり、操作者による制御操作入力の操作内容に従った制御信号を制御装置300に出力する。この操作端末100は、例えばパソコン等により実現される。制御装置300は、操作端末100から送信される操作信号に従って、各機器の個別制御装置である機器制御端末500を制御する。
[System configuration]
FIG. 1 is a diagram illustrating a configuration of a
この制御システム1を電子連動装置に適用した場合、制御装置300は連動論理部に相当し、機器制御端末500は、例えば信号機や転てつ機、軌道回路といった現場に設置される各種機器を制御する電子端末群に相当する。そして、これらの制御装置300及び機器制御端末500は、例えば扱所に設置される論理架に収容される。
When this
また、これらの制御システム1の構成要素のうち、制御装置300、機器制御端末500及び制御用通信回線N2は、安全度水準SILレベルが「3」以上の“Vital”な装置である。一方、操作端末100及び操作用通信回線N1は、安全度水準SILレベルが「2」以下の“Non−Vital”な装置である。つまり、制御システム1は、一部に“Non−Vital”な構成要素を含んで構成されているが、操作端末100と制御装置300との間のデータの送受信を繰り返すことで当該装置間の通信の信頼度を向上させ、制御システム1全体を“Vital”とみなせるシステムとなっている。
Among the components of the
本実施形態では、操作者は、操作端末100において、制御装置300に対する制御操作入力として、複数手順から成る制御手順それぞれの操作入力を順に行う。すると、操作端末100と制御装置300との間で操作入力に応じたデータの送受信が行われ、全ての手順の操作入力が完了すると、各手順の操作内容に応じた制御信号が制御装置300から機器制御端末500に送信され、制御装置300による制御が実行される。より詳細には、操作者が行うべき手順として、複数の制御手順それぞれの操作入力を行った後、再度、最初の手順の操作入力を行うように規定されている。そして、最初の手順と同じ操作入力を再度行うことにより、一連の制御手順の操作入力の完了が判断される。即ち、操作端末100及び操作用通信回線N1の“Non−Vital”な構成要素は、制御装置300に対するマンマシン・インターフェースとして機能する。
In the present embodiment, the operator sequentially performs operation inputs of control procedures including a plurality of procedures as control operation inputs to the
このとき、操作端末100は、操作者による各手順の操作内容を含む操作状況データ10を生成し、制御装置300に送信する。また、制御装置300から受信した応答データ30に基づき、各手順の操作内容の表示更新を行う。この各手順の操作内容の表示は、操作者が自分の操作内容を確認するために行われる。一方、制御装置300は、操作端末100から受信した操作状況データ10を基に、操作端末100との間の伝送信頼性を確保するための所定の処理を行う。また、操作端末100から受信した操作状況データ10に応答した応答データ30を生成し、操作端末100に送信する。
At this time, the
図2は、操作端末100と制御装置300との間で送受信されるデータの構成を示す図である。同図(a)は、操作端末100から制御装置300に送信される操作状況データ10の構成を示し、同図(b)は、制御装置300から操作端末100に送信される応答データ30の構成を示している。
FIG. 2 is a diagram illustrating a configuration of data transmitted / received between the
同図(a)によれば、操作状況データ10には、操作状態データ11及び確認折返しデータ12が含まれる。操作状態データ11は、操作者により入力された操作データであり、各手順の操作内容がその入力順と対応付けて設定される。この操作状態データ11は、なされる制御手順に応じた数のデータエリアから構成される。即ち、制御手順それぞれの操作内容を格納するためのデータエリアと、再入力された最初の手順の操作内容を格納するためのデータエリアとの、制御手順の数より「1」だけ多い数のデータエリアから構成される。例えば2つの手順A,Bから成る制御手順の場合には、これら2つの手順それぞれ用の2つのデータエリアと、手順Aの再入力用の1つのデータエリアとの合計3つのデータエリアから構成される。また、確認折返しデータ12は、操作端末100と制御装置300との間の通信の正当性を確認(検査)するためのデータであり、制御装置300から受信した応答データ30に含まれる通信確認データ32を基に生成される。この確認折返しデータ12は、操作状態データ11と同数のデータエリアから構成される。
According to FIG. 5A, the
同図(b)によれば、応答データ30には、操作表示データ31及び通信確認データ32が含まれる。操作表示データ31は、制御手順それぞれの操作内容についての表示データであり、操作端末100から受信した操作状況データ10の操作状態データ11を基に生成される。この操作表示データ31は、操作状況データ10の操作状態データ11と同数のデータエリアから構成される。通信確認データ32は、操作端末100と制御装置300との間の通信の正当性を確認(検査)するためのデータであり、操作端末100から受信した操作状況データ10の操作状態データ11を基に生成される。この通信確認データ32は、操作状況データ10の操作状態データ11の同数のデータエリアから構成される。
According to FIG. 5B, the
[操作端末]
図3は、操作端末100の構成を示すブロック図である。同図によれば、操作端末100は、操作部110と、処理部120と、表示部130と、通信部140と、記憶部150とを備えて構成される。
[Operation terminal]
FIG. 3 is a block diagram illustrating a configuration of the
操作部110は、操作者が操作入力を行うための入力装置であり、なされた操作に応じた操作データを、処理部120に出力する。この操作部110は、例えばキーボードやマウス、タッチパネル等で実現される。
The
処理部120は、記憶部150に記憶されているプログラムやデータ、操作部110から入力された操作データ、通信部140を介して外部装置(主に、制御装置300)から受信したデータ等に基づいて、操作端末100の全体制御等の各種処理を行う。この処理部120は、例えばCPU等で実現される。
The
また、処理部120は、記憶部150の操作制御プログラム151に従って、制御装置300との間の通信を制御するための処理(操作制御処理)を行う。
In addition, the
図4は、処理部120が行う処理を説明するための図である。同図において、左側は制御装置300から受信した応答データ30を示し、右側は制御装置300に送信する操作状況データ10を示している。同図によれば、処理部120は、操作部110から入力された各手順の操作内容のデータと、制御装置300から受信した応答データ30とを基に、操作状況データ10を生成する。即ち、入力された各手順の操作内容のデータを、その入力順と対応付けて操作状態データ11を生成する。また、受信した応答データ30に含まれる通信確認データ32と同一のデータ(コピーデータ)を、確認折返しデータ12とする。そして、この操作状態データ11及び確認折返しデータ12を含めた操作状況データ10を、制御装置300に送信する。尚、応答データ30を未だ受信していない場合には、確認折返しデータ12を「空きデータ」とする。また、この操作状況データ10の生成及び送信は、所定時間間隔で周期的に実行する。更に、処理部120は、制御装置300から受信した応答データ30に含まれる操作表示データ31に従って、各手順の操作内容を表示部130に表示させる。
FIG. 4 is a diagram for explaining processing performed by the
図3において、表示部130は、処理部120の制御に従って各種表示画面を表示する表示装置であり、例えばCRTやLCD、ELD等で実現される。通信部140は、処理部120の制御に従って操作用通信回線N1に接続し、外部装置(主に、制御装置300)とのデータ通信を行う通信装置である。
In FIG. 3, a
記憶部150は、処理部120に操作端末100を統合的に制御させるためのシステムプログラムや、制御装置300との間の通信制御に必要なプログラムやデータ等を記憶するとともに、処理部120の作業領域として用いられ、処理部120が各種プログラムに従って実行した演算結果や、操作部110から入力される操作データ等を一時的に記憶する。この記憶部150は、例えば各種ICメモリやハードディスク、ROM、RAM等で実現される。
The
本実施形態では、操作制御プログラム151と、受信応答データ152と、送信用操作状況データ153とが記憶される。受信応答データ152は、制御装置300から受信した応答データ30であり、応答データ30の受信毎に、この受信された応答データ30で更新される。送信用操作状況データ153は、当該操作端末100から制御装置300に送信する操作状況データ10である。
In the present embodiment, an
[制御装置]
図5は、制御装置300の構成を示すブロック図である。同図によれば、制御装置300は、処理部310と、操作回線用通信部320と、制御回線用通信部330と、記憶部340とを備えて構成される。
[Control device]
FIG. 5 is a block diagram illustrating a configuration of the
処理部310は、記憶部340に記憶されているプログラムやデータ、操作回線用通信部320を介して外部装置(主に、操作端末100)から受信したデータ等に基づいて、制御装置300の全体制御等の各種処理を行う。この処理部310は、例えば、CPU等で実現される。
The
また、処理部310は、記憶部340の応答制御プログラム341に従って、操作端末100との間の通信を制御するための処理(応答制御処理)を行う。図6は、処理部310が行う処理を説明するための図である。同図において、左側は操作端末100から受信した操作状況データ10を示し、右側下は操作端末100に送信する応答データ30を示し、右側上は前回送信した応答データ30を示している。
In addition, the
同図によれば、処理部310は、(1)受信した操作状況データ10に含まれる操作状態データ11を基に、各手順の操作順序が規定の順序通りであるかを照査(判定)する「手順照査」を行う。
According to the figure, the processing unit 310 (1) checks (determines) whether the operation order of each procedure is in a prescribed order based on the
また、(2)今回受信した操作状況データ10の操作状態データ11に設定されている各手順の操作内容が、前回受信した操作状況データ10の操作状態データ11に設定されている各手順の操作内容と一致するかを判定する「情報比較」を行う。即ち、受信した操作状況データ10の操作状態データ11と、送信済みの応答データ30に含めた通信確認データ32とを比較し、各手順の操作内容が一致するかを判断する。これは、後述のように、応答データ30の通信確認データ32は、受信した操作状況データ10の操作状態データ11のコピーデータであるためである。
Also, (2) the operation contents of each procedure set in the
また、(3)受信した操作状況データ10の確認折返しデータ12に含まれているコピーデータを基にチェックコードを生成し、生成したチェックコードと、送信済みの応答データ30に含めた通信確認データ32のチェックコードと一致するかを判定する「チェックコードの確認」を行う。
(3) A check code is generated based on the copy data included in the
そして、(1)「手順照査」により規定の順序通りであると判定し、(2)「情報比較」により各手順の操作内容が一致すると判定し、且つ(3)「チェックコードの確認」によりチェックコードが一致すると判定したならば、操作端末100から受信した操作状況データ10に応答した応答データ30を生成し、操作端末100に送信する。
Then, (1) “procedure check” determines that the order is in accordance with the prescribed order, (2) “information comparison” determines that the operation contents of each procedure match, and (3) “check code confirmation” If it is determined that the check codes match,
即ち、受信した操作状況データ10に含まれる操作状態データ11を基に、各手順の操作内容を表示するための表示データを生成し、操作表示データ31とする。また、操作状態データ11と同一のデータ(コピーデータ)を生成するとともに、このコピーデータを基にチェックコードを生成し、コピーデータとチェックコードとを通信確認データ32とする。そして、この操作表示データ31及び通信確認データ32を含めた応答データ30を、操作端末100に送信する。
That is, based on the
尚、(1)「手順照査」により規定の順序通りでないと判定した、或いは(2)「情報比較」により各手順の操作内容が一致しないと判定した、或いは(3)「チェックコードの確認」によりチェックコードが一致しないと判定したならば、受信した操作状況データ10に含まれる操作状態データ11を破棄(クリア)し、操作端末100に「操作破棄」を通知する。また、この操作状況データ10の生成及び送信は、所定時間間隔で周期的に実行する。
Note that (1) “Procedure check” determines that the order is not in accordance with the prescribed order, or (2) “Information comparison” determines that the operation contents of each procedure do not match, or (3) “Check code confirmation”. If it is determined that the check codes do not match, the
図5において、操作回線用通信部320は、処理部310の制御に従って操作用通信回線N1に接続し、外部装置(主に、操作端末100)とデータ通信を行う接続装置である。また、制御回線用通信部330は、処理部310の制御に従って制御用通信回線N2に接続し、外部装置(主に、機器制御端末500)とデータ通信を行う接続装置である。
In FIG. 5, the operation
記憶部340は、処理部310に制御装置300を統合的に制御させるためのシステムプログラムや、操作端末100との間の通信の制御に必要なプログラムやデータ等を記憶するとともに、処理部310の作業領域として用いられ、処理部310が各種プログラムに従って実行した演算結果や、操作回線用通信部320からの受信データ等を一時的に記憶する。この記憶部340は、例えば各種ICメモリやハードディスク、ROM、RAM等で実現される。
The
本実施形態では、記憶部340には、応答制御プログラム341と、受信操作状況データ342と、送信用応答データ343と、送信済み応答データ344とが記憶される。受信操作状況データ342は、操作端末100から受信した操作状況データ10であり、操作状況データ10の受信毎に、この受信した操作状況データ10で更新される。送信用応答データ343は、当該制御装置300から操作端末100に送信する応答データ30である。送信済み応答データ344は、当該制御装置300から操作端末100に以前に送信した最新の応答データ30であり、応答データ30の送信毎に、この応答データ30で更新される。
In the present embodiment, the
[通信手順]
図7は、操作端末100と制御装置300との間の通信手順を示す図である。同図は、二つの手順A,Bからなる制御手順を実行する場合であり、操作者は、操作端末100において、「手順A」,「手順B」の順に操作入力を行った後、再度、最初の手順である「手順A」の操作を行う。
[Communication procedure]
FIG. 7 is a diagram illustrating a communication procedure between the
同図によれば、操作者は、先ず、操作端末100において「手順A」の操作入力を行う。すると、操作端末100では、入力された「手順A」の操作内容が操作状態データ11に設定され、この操作状態データ11を含む操作状況データ10が制御装置300に送信される。
According to the figure, the operator first performs an operation input of “procedure A” on the
図8(a)は、このとき操作端末100から制御装置300に送信される操作状況データ10Aを示す図である。操作状況データ10Aの操作状態データ11には、「手順A」の操作内容が設定されている。また、確認折返しデータ12は「空データ」となっている。
FIG. 8A is a diagram showing the
制御装置300において、操作端末100から送信された操作状況データ10Aが受信されると、この操作状況データ10Aに含まれている操作状態データ11に基づく「手順照査」が行われる。ここでは、「手順A」が操作されたかが判断される。次いで、操作状況データ10Aに応答した応答データ30が生成される。即ち、操作状況データ10Aに含まれている操作状態データ11を基に、操作表示データ31が生成される。ここでは、「手順A」の操作内容の表示データが操作表示データ31に設定される。また、操作状況データ10Aに含まれている操作状態データ11のコピーデータが通信確認データ32に設定されるとともに、該コピーデータを基にチェックコードが生成され、通信確認データ32に設定される。そして、これらの操作表示データ31及び通信確認データ32を含む応答データ30Aが、制御装置300から操作端末100に送信される。
When the
図8(b)は、このとき制御装置300から操作端末100に送信される応答データ30Aの構成を示す図である。応答データ30Aの操作表示データ31には、「手順A」の表示データが設定されている。また、通信確認データ32には、操作状況データ10Aの操作状態データ11のコピーデータである「操作A」の操作内容とチェックコードaとが設定されている。
FIG. 8B is a diagram showing a configuration of
操作端末100において、制御装置300から送信された応答データ30Aが受信されると、この応答データ30Aに含まれている操作表示データ31を基に、各手順の操作内容が表示される。ここでは、「手順A」の操作内容が表示される。操作者は、表示される「手順A」の操作内容が、自分が行った操作内容と一致することを確認し、次の手順である「手順B」の操作を行う。
When the
すると、操作端末100では、入力された「手順B」の操作内容が、これまでに入力された各手順の操作内容(即ち、「手順A」の操作内容)とともに操作状態データ11に設定される。また、受信した応答データ30Aに含まれる通信確認データ32のコピーデータが、確認折返しデータ12に設定される。そして、これらの操作状態データ11及び確認折返しデータ12を含む操作状況データ10が、操作端末100から制御装置300に送信される。
Then, in the
図8(c)は、このとき操作端末100から制御装置300に送信される操作状況データ10Bを示す図である。操作状況データ10Bの操作状態データ11には、「手順A」及び「手順B」の操作内容が設定されている。また、確認折返しデータ12には、応答データ30Aの通信確認データ32のコピーデータである「手順A」及び「手順B」の操作内容及びチェックコードaが設定されている。
FIG. 8C is a diagram showing the
制御装置300において、操作端末100から送信された操作状況データ10Bが受信されると、この操作状況データ10Bに含まれる操作状態データ11と、前回送信した応答データ30Aに含めた通信確認データ32とを基に、「情報比較」が行われる。ここでは、「手順A」の操作内容が一致するかが判断される。また、操作状況データ10Bに含まれる確認折返しデータ12を基に、「チェックコードの確認」が行われる。即ち、確認折返しデータ12のコピーデータを基に生成したチェックコードが、前回送信した応答データ30Aの通信確認データ32に含めたチェックコードaに一致するかが判定される。また、操作状況データ10Bに含まれる操作状態データ11に基づく「手順照査」が行われる。ここでは、「手順A」次いで「手順B」の順に操作されたかが判断される。
When the
次いで、応答データ30が生成される。即ち、操作状況データ10Bの操作状態データ11を基に、各手順の操作内容の表示データが生成され、操作表示データ31に設定される。また、操作状況データ10Bに含まれる操作状態データ11のコピーデータが通信確認データ32に設定されるとともに、このコピーデータを基に生成されたチェックコードが通信確認データ32に設定される。そして、これらの操作表示データ31及び通信確認データ32を含む応答データ30Bが、制御装置300から操作端末100に送信される。
Next,
図8(d)は、ここで制御装置300から操作端末100に送信される応答データ30Bのデータ構成を示す図である。応答データ30Bの操作表示データ31には、「手順A」及び「手順B」の表示データが設定されている。また、通信確認データ32には、操作状況データ10Aの操作状態データ11のコピーデータである「手順A」及び「手順B」の操作内容とチェックコードbとが設定されている。
FIG. 8D is a diagram showing a data configuration of
操作端末100において、制御装置300から送信された応答データ30Bが受信されると、この応答データ30Bの操作表示データ31を基に、各手順の操作内容の表示が更新される。ここでは、「手順A」及び「手順B」それぞれの操作内容が表示される。操作者は、表示される各手順の操作内容を確認し、再度「手順A」の操作を行う。
When the
すると、操作端末100では、入力された「手順A」の操作内容が、これまでに入力された各手順の操作内容(即ち、「手順A」及び「手順B」の操作内容)とともに操作状態データ11に設定される。また、受信された応答データ30Bに含まれる通信確認データ32のコピーデータが確認折返しデータ12に設定される。そして、この操作状態データ11及び確認折返しデータ12を含む操作状況データ10が、操作端末100から制御装置300に送信される。
Then, in the
図8(e)は、ここで操作端末100から制御装置300に送信される操作状況データ10Cのデータ構成を示す図である。操作状況データ10Cの操作状態データ11には、「手順A」、「手順B」及び「手順A」それぞれの操作内容が設定されている。また、確認折返しデータ12には、応答データ30Bの通信確認データ32のコピーデータである「手順A」及び「手順B」の操作内容及びチェックコードbが設定されている。
FIG. 8E is a diagram showing a data structure of the operation status data 10C transmitted from the
制御装置300において、操作端末100から送信された操作状況データ10Cが受信されると、この操作状況データ10Cに含まれる操作状態データ11と、前回送信した応答データ30Bに含めた通信確認データ32とを基に、「情報比較」が行われる。ここでは、「手順A」及び「手順B」の操作内容が一致するかが判断される。また、操作状況データ10Cに含まれる確認折返しデータ12を基に、「チェックコードの確認」が行われる。即ち、この確認折返しデータ12のコピーデータを基に生成したチェックコードが、前回送信した応答データ30Bに含めた通信確認データ32のチェックコードbに一致するかを判定する。また、操作状況データ10Cに含まれる操作状態データ11を基に、「手順照査」が行われる。ここでは、「手順A」、「手順B」次いで「手順A」の順に操作されたかが判断される。
When the
その後、機器制御端末500に対する制御データが生成され、該当する機器制御端末500に送信される。即ち、受信された操作状況データ10Cに含まれる操作状態データ11を基に、各手順の操作内容に従った制御データが生成される。ここでは、「手順A」及び「手順B」の操作内容に従った制御データが生成される。そして、制御装置300では、機器制御端末500から送信される制御状態や制御結果等のデータ(制御状態データ)を受信すると、該受信したデータを操作端末100に送信する。すると、操作端末100では、制御装置300から受信した制御状態データに基づく表示が行われる。
Thereafter, control data for the
[処理の流れ]
(A)操作端末100
図9は、操作端末100における操作制御処理の流れを説明するためのフローチャートである。この処理は、処理部120が操作制御プログラム151を実行することで実現される。
[Process flow]
(A)
FIG. 9 is a flowchart for explaining the flow of operation control processing in the
同図によれば、処理部120は、操作者による操作入力がなされたか否かを判断し、操作入力がなされたならば(ステップA1:YES)、入力された手順の操作内容を、送信用操作状況データ10の操作状態データ11に追加設定する(ステップA3)。次いで、送信用操作状況データ10の操作状態データ11を参照して、設定されている最新の操作手順が初回手順であるか否かを判断し(ステップA5)、初回手順でないならば(ステップA7:NO)、受信応答データ152(制御装置300から受信した最新の応答データ30)に含まれる通信確認データ32を、そのまま、送信用操作状況データ153の確認折返しデータ12に設定する(ステップA9)。そして、操作状態データ11及び確認折返しデータ12を含む送信用応答データ343を、制御装置300に送信する(ステップA11)。
According to the figure, the
続いて、処理部120は、送信用操作状況データ10の操作状態データ11を参照して、設定されている最新の操作手順が初回手順の再度の入力であるか否かを判断し、再度入力でないならば(ステップA13:NO)、続いて、制御装置300からの操作破棄の通知があるか否かを判断する。操作破棄の通知がないならば(ステップA15:NO)、受信操作状況データ342(受信した最新の操作状況データ10)に含まれる操作表示データ31に基づいて、各手順の操作内容の表示を更新する(ステップA17)。続いて、操作者によるキャンセル操作がなされたか否かを判断し、キャンセルがなされていないならば(ステップA19:NO)、ステップA1に戻る。
Subsequently, the
一方、操作者によるキャンセル操作がなされた(ステップA19:YES)、或いは制御装置300からの操作破棄の通知があるならば(ステップA15:YES)、送信用操作状況データ153の操作状態データ11をクリアし、この送信用操作状況データ153を制御装置300へ送信する(ステップA21)。
On the other hand, if the cancel operation is performed by the operator (step A19: YES), or if there is an operation discard notification from the control device 300 (step A15: YES), the
また、ステップA13において、最新の操作手順が初回手順の再度入力ならば(ステップA13:YES)、規定された全ての手順の操作入力が完了したと判断し、制御状態表示処理を行う。即ち、制御装置300からの制御状態データの受信を待機し、受信した制御状態データに基づく制御状態や制御結果の表示を行う(ステップA23)。以上の処理を行うと、操作制御処理は終了となる。
In step A13, if the latest operation procedure is input again for the initial procedure (step A13: YES), it is determined that the operation inputs for all the specified procedures have been completed, and control state display processing is performed. That is, it waits for the reception of control state data from the
(B)制御装置300
図10は、制御装置300における応答制御処理の流れを説明するためのフローチャートである。この処理は、処理部310が応答制御プログラム341を実行することで実現される。
(B)
FIG. 10 is a flowchart for explaining the flow of response control processing in the
同図によれば、処理部310は、受信操作状況データ342(操作端末100から受信した操作状況データ10)に含まれる操作状態データ11を基に最新の手順を判定し(ステップB1)、判定した手順が初回手順ならば(ステップB3:TYES)、ステップB15に移行する。一方、判定した手順が初回手順でないならば(ステップB3:NO)、続いて、「情報比較」を行う。即ち、受信操作状況データ342に含まれる操作状態データ11と、送信済み応答データ344(送信した最新の応答データ30)に含まれる通信確認データ32とを比較し、各手順の操作内容が一致するかを判断する(ステップB5)。
According to the figure, the
その結果、各手順の操作内容が一致するならば(ステップB7:YES)、続いて、「チェックコードの確認」を行う。即ち、受信操作状況データ342に含まれる確認折返しデータ12のコピーデータを基にチェックコードを生成し(ステップB9)、生成したチェックコードと、送信済み応答データ344に含まれる通信確認データ32のチェックコードとの一致を判定する(ステップB11)。
As a result, if the operation content of each procedure matches (step B7: YES), “check code confirmation” is subsequently performed. That is, a check code is generated based on the copy data of the
その結果、双方のチェックコードが一致するならば(ステップB13:YES)、続いて、「手順照査」を行う。即ち、受信操作状況データ342に含まれる操作状態データ11に基づいて、各手順の操作順序が規定の順序通りであるかを判断する(ステップB15)。
As a result, if both check codes match (step B13: YES), “procedure check” is subsequently performed. That is, based on the
その結果、規定の順序通りであるならば(ステップB17:YES)、続いて、応答データ30を生成する。即ち、受信操作状況データ342に含まれる操作状態データ11を基に各手順の表示データを生成して、送信用応答データ343の操作表示データ31に設定する(ステップB23)。また、受信操作状況データ342に含まれる操作状態データ11のコピーデータを、送信用応答データ343の通信確認データ32に設定するとともに(ステップB25)、このコピーデータを基にチェックコードを生成し(ステップB27)、生成したチェックコードを該通信確認データ32に設定する(ステップB29)。そして、この操作表示データ31及び通信確認データ32を含む送信用応答データ30を操作端末100に送信する(ステップB31)。
As a result, if it is in the prescribed order (step B17: YES), the
その後、受信操作状況データ342の操作状態データ11を基に、規定された全ての手順の操作が完了したか否かを判断する(ステップB33)。その結果、規定された全ての手順の操作が完了してないならば(ステップB35:NO)、ステップB1に戻る。一方、規定された全ての手順の操作が完了したならば(ステップB35:YES)、機器制御端末500を制御する機器制御処理を行う。即ち、受信操作状況データ342に含まれる操作状態データ11を基に、各手順の操作内容に従った制御データを生成し、該当する機器制御端末500へ送信する。そして、該機器制御端末500から送信される制御状態データを受信すると、このデータを操作端末100に送信する(ステップB37)。
Thereafter, based on the
一方、ステップB7において、「情報比較」の結果、各手順の操作内容が一致しない(ステップB7:NO)、或いは、ステップB13において、「チェックコードの確認」の結果、双方のチェックコードが一致しない(ステップB13:NO)、或いは、ステップB17において、手順照査の結果、各手順の操作順序が規定された手順通りでない場合には(ステップB17:NO)、受信操作状況データ342の操作状態データ11を破棄(クリア)し(ステップB19)、操作状態の破棄を操作端末100に通知する(ステップB21)。以上の処理を行うと、応答制御処理を終了する。
On the other hand, as a result of “information comparison” in step B7, the operation contents of each procedure do not match (step B7: NO), or as a result of “confirmation of check code” in step B13, both check codes do not match. (Step B13: NO) Or, in Step B17, if the operation order of each procedure is not as defined as a result of the procedure check (Step B17: NO), the
[実施例]
続いて、制御システム1の具体的な適用例として、臨時速度制御装置に適用した場合を説明する。この場合、制御装置300は臨時速度制御装置の論理部に相当し、機器制御端末500はATC装置に相当する。また、臨速制御における制御手順は、臨速制御の開始/解除を指定する「手順A」と、制御を適用する範囲(区間)を指定する「手順B」と、変更後の速度を指定する「手順C」との3つの手順から成る。
[Example]
Subsequently, a case where the
図11は、臨速制御において操作端末100に表示される操作画面の一例を示す図である。同図に示すように、操作画面には、制御手順の操作入力を行うためのボタン50が表示されているとともに、各ボタン50の上方には該当する手順の操作内容を表示するための表示領域60が形成されている。即ち、「手順A」の操作入力を行うためのボタン50aと、「手順B」の操作入力を行うためのボタン50bと、「手順C」の操作入力を行うためのボタン50cと、「手順A」の再度の操作入力を行うためのボタン50dとが表示されているとともに、ボタン50aの上方に「手順A」の操作内容を表示するための表示領域60aが形成され、ボタン50bの上方に「手順B」の操作内容を表示するための表示領域60bが形成され、ボタン50cの上方に「手順C」の操作内容を表示するための表示領域60cが形成されている。また、操作画面の上部には、現時点での制御状態を表示するための表示エリア70が形成されている。この表示エリア70には、対象線区において、上下線別に各区間に定められている制限速度が表示されている。
FIG. 11 is a diagram illustrating an example of an operation screen displayed on the
この操作画面において、操作者は、先ず「手順A」の操作を行う。即ち、ボタン50aにおいて、臨速制御の開始を指示する「設定」を選択する。そして、行った「手順A」の操作内容「設定」が表示領域60aに表示されることを確認すると、次いで「手順B」の操作を行う。即ち、ボタン50bにおいて、速度制御を行いたい区間として、例えば始点「1610」及び終点「1626」を選択し、「決定」を選択する。そして、行った「手順B」の操作内容「1610」及び「1614」が表示領域60bに表示されることを確認すると、続いて「手順C」の操作を行う。即ち、ボタン50cにおいて、「手順B」で選択した区間に適用する制限速度として、例えば「70」を選択する。そして、行った「手順C」の操作内容「70」が表示されることを確認すると、再度、「手順A」の操作を行う。即ち、ボタン50dにおいて、最初に行った「手順A」の操作と同様に「設定」を選択する。すると、表示エリア70において、操作内容に従った制御状態が表示される。即ち、区間「1610〜1614」の制限速度が「70」に設定されたことが表示される。
On this operation screen, the operator first performs an operation of “procedure A”. That is, “Setting” for instructing the start of the quick control is selected with the
[作用・効果]
このように、本実施形態の制御システム1では、操作端末100から制御装置300への操作データを含む操作状況データ10の送信と、制御装置300から操作端末100への受信された操作状況データ10に応答した応答データ30の送信とが繰り返し行われる。操作端末100では、操作者が、複数手順から成る制御手順の各手順について順に操作入力を行うとともに、受信した応答データ30に含まれる操作表示データ31を基に各手順の操作内容が表示される。また、制御装置300では、受信した操作状況データ10を基に、(1)各手順の操作順序が規定の順序通りであるかを照査する「手順照査」、(2)今回の受信と前回の受信とで各手順の操作内容が一致するかを判定する「情報比較」、(3)送信したチェックコードと受信したチェックコードとが一致するかを判定する「チェックコードの確認」、が行われる。これにより、制御装置300で受信された操作状況データ10、及び、操作端末100で受信された応答データ30の信頼性が確保されることになる。つまり、制御装置300と操作端末100との間の通信の信頼性が向上し、その結果、操作端末100及び操作用通信回線N1といった“Non−Vital”な構成要素が含まれているとしても、制御システム1全体として“Vital”相当の安全性が実現される。
[Action / Effect]
As described above, in the
また、操作端末100において、操作者が、手順の操作入力を行い、該手順の操作内容が正しく表示されることを確認した後、次の手順の操作入力を行うといったように、手順毎に該手順の操作内容の表示を確認しながら操作入力を行うことで、制御装置300との間の通信が正常に行われていることを確認することができる。
Further, in the
更に、操作端末100として、例えばパソコンといった“Non−Vital”な装置であるけれども汎用性や拡張性に優れた装置を利用することで、マンマシン・インターフェース等の点において汎用性や拡張性の向上が実現される。つまり、従来と比較して汎用性や拡張性が向上された“Vital”な制御システム1が実現される。
Furthermore, as the
[変形例]
尚、本発明の適用可能な実施形態は、上述の実施形態に限定されることなく、本発明の趣旨を逸脱しない範囲で適宜変更可能なのは勿論である。
[Modification]
It should be noted that embodiments to which the present invention can be applied are not limited to the above-described embodiments, and can be appropriately changed without departing from the spirit of the present invention.
(A)通信確認データ32
例えば、上述の実施形態では、制御装置300から操作端末100に送信する答データ30の通信確認データ32を、操作端末100から受信した操作状況データ10に含まれる操作状態データ11のコピーデータとしたが、これを、例えばランダムデータといった他のデータとしても良い。この場合、制御装置300における「情報比較」では、今回受信した操作状況データ10に含まれる操作状態データ11と、前回受信した操作状況データ10に含まれる操作状態データ11とを比較することで、各手順の操作内容が一致するかを判定する。
(A)
For example, in the above-described embodiment, the
(B)適用するシステム
また、上述の実施形態では、制御システム1の具体的な適用例として臨時速度制御装置に適用した場合を説明したが、他のシステムに対しても同様に適用可能なのは勿論である。
(B) Applied System In the above-described embodiment, the case where the
(C)機能安全水準
また、上述の実施形態では、安全性を指標として安全度水準SILを用いた場合を説明したが、他の規格化された安全水準であっても良いのは勿論である。
(C) Functional safety level In the above-described embodiment, the case where the safety level SIL is used as an index of safety has been described. However, other standardized safety levels may be used as a matter of course. .
1 制御システム
100 操作端末
110 操作部、120 処理部、130 表示部、140 通信部
150 記憶部
151 操作制御プログラム
152 受信応答データ、153 送信用操作状況データ
300 制御装置
310 処理部
320 操作回線用通信部、330 制御回線用通信部
340 記憶部
341 応答制御プログラム
342 受信操作状況データ、343 送信用応答データ、344 送信済み応答データ
500 機器制御端末
N1 操作用通信回線、N2 制御用通信回線
10 操作状況データ
11 操作状態データ、12 確認折返しデータ
30 応答データ
31 操作表示データ、32 通信確認データ
DESCRIPTION OF
Claims (10)
前記操作端末は、
複数手順から成る操作手順を順次操作入力する操作入力手段と、
前記操作入力された各手順の操作内容を入力順に対応付けた操作状態データを生成する操作状態生成手段と、
前記操作状態生成手段により生成された操作状態データと所定の確認折返しデータとを前記制御装置に送信する端末側送信手段と、
前記制御装置により照査された前記操作状態データの操作内容を表示する表示制御データと、操作端末と制御装置間の通信の正当性を検査するための通信確認データとを前記制御装置から受信する端末側受信手段と、
前記端末側受信手段により受信された表示制御データに基づいて照査済の各手順の操作内容を表示制御する表示制御手段と、
前記端末側受信手段により受信された通信確認データを基に、前記確認折返しデータを生成する確認折返し生成手段と、
を有し、
前記制御装置は、
前記操作端末から前記操作状態データと前記確認折返しデータとを受信する制御装置側受信手段と、
前記制御装置側受信手段により受信された操作状態データを基に、操作者による操作入力の順序が予め定められた規定の操作順序通りであるか照査する手順照査手段と、
前記制御装置側受信手段により今回受信された操作状態データと、以前に受信された操作状態データとを比較し、各手順の操作内容の一致を判定する情報比較手段と、
前記制御装置側受信手段により受信された確認折返しデータを基に、前記操作端末との間の通信の正当性を検査する正当性検査手段と、
前記手順照査手段により前記規定の操作順序通りと判定され、前記情報比較手段により一致と判定され、且つ前記正当性判断手段により正当と判定された場合に、前記手順照査手段により照査された操作状態データを基に、該操作状態データに対応付けられている各手順の操作内容を表示させるための表示制御データを生成する表示制御データ生成手段と、
前記操作端末との間の通信の正当性を検査するための前記通信確認データを生成する通信確認データ生成手段と、
前記表示制御データ生成手段により生成された表示制御データと、前記通信確認データ生成手段により生成された通信確認データとを前記操作端末に送信する制御装置側送信手段と、
を有し、
操作者が前記操作端末に前記規定の操作順序通りの操作入力を行った場合に、前記操作端末から前記制御装置への前記端末側送信手段による前記操作状態データ及び前記確認折返しデータの送信と、前記制御装置から前記操作端末への前記制御装置側送信手段による前記表示制御データ及び前記通信確認データの送信とが繰り返し実行される制御システム。 A control device that satisfies the safety level for controlling a control target device that satisfies a safety level that is standardized by a predetermined functional safety standard, and an operation terminal that does not satisfy the safety level for an operator to perform an operation input to the control device. , A control system communicably connected via a communication path that does not satisfy the safety level,
The operation terminal is
Operation input means for sequentially inputting operation procedures comprising a plurality of procedures;
Operation state generation means for generating operation state data in which the operation contents of each operation input operation are associated in the order of input;
Terminal-side transmission means for transmitting the operation state data generated by the operation state generation means and predetermined confirmation loopback data to the control device;
A terminal that receives display control data for displaying the operation content of the operation state data checked by the control device, and communication confirmation data for checking the validity of communication between the operation terminal and the control device from the control device. Side receiving means;
Display control means for controlling the display of the operation content of each verified procedure based on the display control data received by the terminal-side receiving means;
Based on the communication confirmation data received by the terminal side receiving means, a confirmation return generating means for generating the confirmation return data,
Have
The controller is
Control device side receiving means for receiving the operation state data and the confirmation loopback data from the operation terminal;
Based on the operation state data received by the control device side receiving means, a procedure checking means for checking whether the order of operation inputs by the operator is in accordance with a predetermined operation order,
Information comparing means for comparing the operation state data received this time by the control device side receiving means with the operation state data received previously, and determining the matching of the operation contents of each procedure;
Based on the confirmation loopback data received by the control device side receiving means, validity checking means for checking the validity of communication with the operation terminal,
The operation state checked by the procedure checking means when it is determined by the procedure checking means as being in accordance with the prescribed operation order, determined to be coincident by the information comparing means, and determined to be valid by the validity judging means. Display control data generating means for generating display control data for displaying the operation contents of each procedure associated with the operation state data based on the data;
Communication confirmation data generating means for generating the communication confirmation data for inspecting the validity of communication with the operation terminal;
Control device side transmitting means for transmitting the display control data generated by the display control data generating means and the communication confirmation data generated by the communication confirmation data generating means to the operation terminal;
Have
When the operator performs an operation input to the operation terminal according to the specified operation order, the operation state data and the confirmation return data are transmitted by the terminal-side transmission unit from the operation terminal to the control device, A control system in which transmission of the display control data and the communication confirmation data by the control device side transmission means from the control device to the operation terminal is repeatedly executed.
前記手順照査手段により前記規定の操作順序通りと判定され、前記情報比較手段により一致と判定され、且つ前記正当性判断手段により正当と判定された場合に、前記制御装置側受信手段により受信された操作状態データを基に、前記規定の操作順序に従った全ての手順の操作入力が完了したことを判定する手順完了判定手段と、
前記手順完了判定手段により完了したと判定された場合に、前記手順照査手段により照査された操作状態データに従って、前記制御対象機器の制御を実行する制御実行手段と、
を更に有する請求項1に記載の制御システム。 The controller is
When it is determined by the procedure checking means that the prescribed operation order is satisfied, the information comparing means determines that it is a match, and the validity determining means determines that the order is correct, it is received by the control device side receiving means. Procedure completion determination means for determining that the operation input of all procedures according to the prescribed operation order is completed based on the operation state data;
Control execution means for executing control of the control target device according to the operation state data checked by the procedure checking means when it is determined that the procedure completion determining means has completed;
The control system according to claim 1, further comprising:
前記手順完了判定手段は、前記制御装置側受信手段により受信された操作状態データのうち、最新の手順が最初の手順と同じ操作内容を再入力する手順であり、且つ操作内容が最初の手順と同じことを、全ての手順の操作入力の完了と判定する請求項2に記載の制御システム。 The prescribed operation order is defined as a procedure for re-inputting the operation content entered in the first procedure in the last procedure,
The procedure completion determining means is a procedure in which the latest procedure among the operation status data received by the control device side receiving means is a procedure for re-inputting the same operation content as the first procedure, and the operation content is the first procedure. The control system according to claim 2, wherein the same thing is determined as completion of operation input of all procedures.
前記情報比較手段は、前記制御装置側受信手段により今回受信された操作状態データと、前記通信確認データ生成手段により生成された通信確認データとの一致を判定することで、各手順の操作内容の一致を判定する、
請求項1〜3の何れか一項に記載の制御システム。 The communication confirmation data generation means generates the communication confirmation data including at least data obtained by duplicating all or part of the operation state data received by the control device side reception means,
The information comparison unit determines whether the operation state data received this time by the control device side receiving unit matches the communication confirmation data generated by the communication confirmation data generation unit, thereby determining the operation contents of each procedure. Determine match,
The control system as described in any one of Claims 1-3.
前記確認折返し生成手段は、前記端末側受信手段により受信された通信確認データを複製したデータを前記確認折返しデータとして生成し、
前記正当性検査手段は、前記制御装置側受信手段により受信された確認折返しデータに含まれる前記操作状態データの複製データを基にチェックコードを生成し、前記通信確認データ生成手段により生成されたチェックコードと一致するか否かで、通信の正当性を判断する、
請求項4に記載の制御システム。 The communication confirmation data generation means further generates a check code based on the copied data and includes the check code in the communication confirmation data.
The confirmation loopback generation unit generates data as a copy of the communication confirmation data received by the terminal side reception unit as the confirmation loopback data,
The validity checking means generates a check code based on the duplicated data of the operation state data included in the confirmation loopback data received by the control device side receiving means, and the check generated by the communication confirmation data generating means The validity of communication is judged based on whether it matches the code,
The control system according to claim 4.
前記制御装置側送信手段は、前記表示制御データ及び前記通信確認データの送信を所定周期で行い、
前記表示制御手段は、前記端末側受信手段により前記表示制御データが受信される毎に、表示内容を更新制御する、
請求項1〜5の何れか一項に記載の制御システム。 The terminal side transmission means performs transmission of the operation state data and the confirmation loopback data in a predetermined cycle,
The control device side transmission means performs transmission of the display control data and the communication confirmation data in a predetermined cycle,
The display control means updates the display content every time the display control data is received by the terminal side receiving means.
The control system as described in any one of Claims 1-5.
前記操作端末が行うステップとして、
操作入力された各手順の操作内容を入力順に対応付けた操作状態データを生成する操作状態生成ステップと、
前記生成された操作状態データと所定の確認折返しデータとを前記制御装置に送信する端末側送信ステップと、
前記制御装置により照査された前記操作状態データの操作内容を表示する表示制御データと、操作端末と制御装置間の通信の正当性を検査するための通信確認データとを前記制御装置から受信する端末側受信ステップと、
前記端末側受信ステップで受信された表示制御データに基づいて照査済の各手順の操作内容を表示制御する表示制御ステップと、
前記端末側受信ステップで受信された通信確認データを基に、前記確認折返しデータを生成する確認折返し生成ステップと、
を含むとともに、
前記制御装置が行うステップとして、
前記操作端末から前記操作状態データと前記確認折返しデータとを受信する制御装置側受信ステップと、
前記制御装置側受信ステップで受信された操作状態データを基に、操作者による操作入力の順序が予め定められた規定の操作順序通りであるか照査する手順照査ステップと、
前記制御装置側受信ステップで今回受信された操作状態データと、以前に受信された操作状態データとを比較し、各手順の操作内容の一致を判定する情報比較ステップと、
前記制御装置側受信ステップで受信された確認折返しデータを基に、前記操作端末との間の通信の正当性を検査する正当性検査ステップと、
前記手順照査ステップで前記規定の操作順序通りと判定され、前記情報比較ステップで一致と判定され、且つ前記正当性判断ステップで正当と判定された場合に、前記手順照査ステップにより照査された操作状態データを基に、該操作状態データに対応付けられている各手順の操作内容を表示させるための表示制御データを生成する表示制御データ生成ステップと、
前記操作端末との間の通信の正当性を検査するための前記通信確認データを生成する通信確認データ生成ステップと、
前記表示制御データ生成ステップで生成された表示制御データと、前記通信確認データ生成ステップで生成された通信確認データとを前記操作端末に送信する制御装置側送信ステップと、
を含み、
操作者が前記操作端末に前記規定の操作順序通りの操作入力を行った場合に、前記操作端末から前記制御装置への前記操作状態データ及び前記確認折返しデータの送信と、前記制御装置から前記操作端末への前記表示制御データ及び前記通信確認データの送信とが繰り返し実行される通信方法。 A control device that satisfies the safety level for controlling a control target device that satisfies a safety level that is standardized by a predetermined functional safety standard, and an operation terminal that does not satisfy the safety level for an operator to perform an operation input to the control device. , A communication method in a control system connected by communication on a communication path that does not satisfy the safety level,
As a step performed by the operation terminal,
An operation state generation step for generating operation state data in which the operation contents of each operation input operation are associated in the order of input;
A terminal-side transmission step of transmitting the generated operation state data and predetermined confirmation loopback data to the control device;
A terminal that receives display control data for displaying the operation content of the operation state data checked by the control device, and communication confirmation data for checking the validity of communication between the operation terminal and the control device from the control device. Side reception step;
A display control step for controlling the display of the operation content of each verified procedure based on the display control data received in the terminal-side receiving step;
Based on the communication confirmation data received in the terminal-side reception step, a confirmation return generation step for generating the confirmation return data;
Including
As a step performed by the control device,
A control device side receiving step for receiving the operation state data and the confirmation loopback data from the operation terminal;
On the basis of the operation state data received in the control device side receiving step, a procedure checking step for checking whether the order of operation input by the operator is in accordance with a predetermined operation order,
An information comparison step of comparing the operation state data received this time in the control device side reception step with the operation state data previously received, and determining a match between the operation contents of each procedure,
Based on the confirmation loopback data received in the control device side receiving step, a legitimacy checking step of checking the legitimacy of communication with the operation terminal,
The operation state checked by the procedure checking step when the procedure checking step determines that the order is in accordance with the prescribed operation order, when the information comparing step determines that they match, and when the validity checking step determines that the procedure is valid. A display control data generation step for generating display control data for displaying the operation content of each procedure associated with the operation state data based on the data;
A communication confirmation data generation step for generating the communication confirmation data for inspecting the validity of communication with the operation terminal;
A control device side transmission step of transmitting the display control data generated in the display control data generation step and the communication confirmation data generated in the communication confirmation data generation step to the operation terminal;
Including
When the operator performs an operation input to the operation terminal according to the prescribed operation sequence, the operation state data and the confirmation loopback data are transmitted from the operation terminal to the control device, and the operation is performed from the control device. A communication method in which transmission of the display control data and the communication confirmation data to a terminal is repeatedly executed.
複数手順から成る操作手順を順次操作入力する操作入力手段と、
前記操作入力された各手順の操作内容を入力順に対応付けた操作状態データを生成する操作状態生成手段と、
前記操作状態生成手段により生成された操作状態データと所定の確認折返しデータとを前記制御装置に送信する端末側送信手段と、
前記制御装置により照査された前記操作状態データの操作内容を表示する表示制御データと、操作端末と制御装置間の通信の正当性を検査するための通信確認データとを前記制御装置から受信する端末側受信手段と、
前記端末側受信手段により受信された表示制御データに基づいて照査済の各手順の操作内容を表示制御する表示制御手段と、
前記端末側受信手段により受信された通信確認データを基に、前記確認折返しデータを生成する確認折返し生成手段と、
を備えた操作端末。 An operation terminal that does not satisfy the safety level is connected to a control device that satisfies the safety level by controlling a device to be controlled that satisfies the safety level standardized by a predetermined functional safety standard. There,
Operation input means for sequentially inputting operation procedures comprising a plurality of procedures;
Operation state generation means for generating operation state data in which the operation contents of each operation input operation are associated in the order of input;
Terminal-side transmission means for transmitting the operation state data generated by the operation state generation means and predetermined confirmation loopback data to the control device;
A terminal that receives display control data for displaying the operation content of the operation state data checked by the control device, and communication confirmation data for checking the validity of communication between the operation terminal and the control device from the control device. Side receiving means;
Display control means for controlling the display of the operation content of each verified procedure based on the display control data received by the terminal-side receiving means;
Based on the communication confirmation data received by the terminal side receiving means, a confirmation return generating means for generating the confirmation return data,
Operation terminal equipped with.
前記操作端末から前記操作状態データと前記確認折返しデータとを受信する制御装置側受信手段と、
前記制御装置側受信手段により受信された操作状態データを基に、操作者による操作入力の順序が予め定められた規定の操作順序通りであるか照査する手順照査手段と、
前記制御装置側受信手段により今回受信された操作状態データと、以前に受信された操作状態データとを比較し、各手順の操作内容の一致を判定する情報比較手段と、
前記制御装置側受信手段により受信された確認折返しデータを基に、前記操作端末との間の通信の正当性を検査する正当性検査手段と、
前記手順照査手段により前記規定の操作順序通りと判定され、前記情報比較手段により一致と判定され、且つ前記正当性判断手段により正当と判定された場合に、前記手順照査手段により照査された操作状態データを基に、該操作状態データに対応付けられている各手順の操作内容を表示させるための表示制御データを生成する表示制御データ生成手段と、
前記操作端末との間の通信の正当性を検査するための前記通信確認データを生成する通信確認データ生成手段と、
前記表示制御データ生成手段により生成された表示制御データと、前記通信確認データ生成手段により生成された通信確認データとを前記操作端末に送信する制御装置側送信手段と、
を備えた制御装置。 A control device that satisfies the safety level and is connected to the operation terminal according to claim 8 via a communication path that does not satisfy the safety level.
Control device side receiving means for receiving the operation state data and the confirmation loopback data from the operation terminal;
Based on the operation state data received by the control device side receiving means, a procedure checking means for checking whether the order of operation inputs by the operator is in accordance with a predetermined operation order,
Information comparing means for comparing the operation state data received this time by the control device side receiving means with the operation state data received previously, and determining the matching of the operation contents of each procedure;
Based on the confirmation loopback data received by the control device side receiving means, validity checking means for checking the validity of communication with the operation terminal,
The operation state checked by the procedure checking means when it is determined by the procedure checking means as being in accordance with the prescribed operation order, determined to be coincident by the information comparing means, and determined to be valid by the validity judging means. Display control data generating means for generating display control data for displaying the operation contents of each procedure associated with the operation state data based on the data;
Communication confirmation data generating means for generating the communication confirmation data for inspecting the validity of communication with the operation terminal;
Control device side transmitting means for transmitting the display control data generated by the display control data generating means and the communication confirmation data generated by the communication confirmation data generating means to the operation terminal;
A control device comprising:
複数手順から成る操作手順を順次操作入力する操作入力手段、
前記操作入力された各手順の操作内容を入力順に対応付けた操作状態データを生成する操作状態生成手段、
前記操作状態生成手段により生成された操作状態データと所定の確認折返しデータとを前記制御装置に送信する端末側送信手段、
前記制御装置により照査された前記操作状態データの操作内容を表示する表示制御データと、操作端末と制御装置間の通信の正当性を検査するための通信確認データとを前記制御装置から受信する端末側受信手段、
前記端末側受信手段により受信された表示制御データに基づいて照査済の各手順の操作内容を表示制御する表示制御手段、
前記端末側受信手段により受信された通信確認データを基に、前記確認折返しデータを生成する確認折返し生成手段、
として機能させるためのプログラム。 An operation terminal that does not satisfy the safety level is connected to a control device that satisfies the safety level by controlling a device to be controlled that satisfies the safety level standardized by a predetermined functional safety standard. A computer
Operation input means for sequentially inputting operation procedures comprising a plurality of procedures;
Operation state generation means for generating operation state data in which the operation contents of each operation input are associated in the order of input;
Terminal-side transmission means for transmitting the operation state data generated by the operation state generation means and predetermined confirmation loopback data to the control device;
A terminal that receives display control data for displaying the operation content of the operation state data checked by the control device, and communication confirmation data for checking the validity of communication between the operation terminal and the control device from the control device. Side receiving means,
Display control means for controlling the display of the operation content of each verified procedure based on the display control data received by the terminal-side receiving means;
Confirmation return generating means for generating the confirmation return data based on the communication confirmation data received by the terminal side receiving means,
Program to function as.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007081192A JP4504990B2 (en) | 2007-03-27 | 2007-03-27 | Control system, communication method, operation terminal, control device, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007081192A JP4504990B2 (en) | 2007-03-27 | 2007-03-27 | Control system, communication method, operation terminal, control device, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008242719A JP2008242719A (en) | 2008-10-09 |
JP4504990B2 true JP4504990B2 (en) | 2010-07-14 |
Family
ID=39914007
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007081192A Active JP4504990B2 (en) | 2007-03-27 | 2007-03-27 | Control system, communication method, operation terminal, control device, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4504990B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2493127C (en) * | 2011-07-04 | 2020-08-05 | Knorr-Bremse Rail Systems (Uk) Ltd | Braking system |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH01209502A (en) * | 1988-02-17 | 1989-08-23 | Fuji Electric Co Ltd | Checking device for extension bus of programmable controller |
JPH10301601A (en) * | 1997-04-25 | 1998-11-13 | Mitsubishi Electric Corp | Data transfer device |
JP2002510082A (en) * | 1998-03-30 | 2002-04-02 | シーメンス アクチエンゲゼルシヤフト | Data transmission method |
JP2002350504A (en) * | 2001-05-28 | 2002-12-04 | Sony Corp | Mounting evaluating apparatus |
-
2007
- 2007-03-27 JP JP2007081192A patent/JP4504990B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH01209502A (en) * | 1988-02-17 | 1989-08-23 | Fuji Electric Co Ltd | Checking device for extension bus of programmable controller |
JPH10301601A (en) * | 1997-04-25 | 1998-11-13 | Mitsubishi Electric Corp | Data transfer device |
JP2002510082A (en) * | 1998-03-30 | 2002-04-02 | シーメンス アクチエンゲゼルシヤフト | Data transmission method |
JP2002350504A (en) * | 2001-05-28 | 2002-12-04 | Sony Corp | Mounting evaluating apparatus |
Also Published As
Publication number | Publication date |
---|---|
JP2008242719A (en) | 2008-10-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2016129067A1 (en) | Autonomous operation verification device and autonomous system | |
KR101598738B1 (en) | Control program management system and method for changing control program | |
CN104461765B (en) | The interlock system data accuracy detection method verified based on version | |
CN104850093B (en) | Method and automated network for the security in monitoring automation network | |
CN102361810A (en) | Signal transmission device | |
CN105555638B (en) | The software upgrading of non-critical component in the crucial distributed system of dual safety | |
CN107077115A (en) | Safe operation control method and the automated network with the security control | |
CN109063481B (en) | Risk detection method and device | |
US8634938B2 (en) | Method for safely parameterizing an electrical device | |
CN107430659B (en) | Method and device for processing and transmitting data in a functionally secure electrical, electronic and/or programmable electronic system | |
JP4504990B2 (en) | Control system, communication method, operation terminal, control device, and program | |
CN109359917A (en) | Electronics goods sorting method, device, computer readable storage medium and system | |
WO2011128210A1 (en) | Method and device for confirming an operationally safe state of a critical safety system | |
JP2007236093A (en) | Transmission tester and method for updating control system | |
US10803163B2 (en) | Method of modular verification of a configuration of a device | |
JP6475329B2 (en) | Train operation management system and railway equipment manual control method | |
CN113722770B (en) | End-to-end protection method and system based on hierarchical data integrity | |
CN102047263B (en) | For monitoring the method and system relating to safe system | |
JP2008254556A (en) | Fail-safe control system | |
JP4102306B2 (en) | Method for controlling railway operation process requiring safety and apparatus for carrying out this method | |
JP2007257386A (en) | Method and system for verifying data for vehicle electronic controller | |
CN111694598A (en) | Software version package management method, device, equipment and medium | |
KR101623305B1 (en) | Apparatus, Method for check in data and System using the same | |
CN109917749A (en) | The wiring method and device of automatic control | |
CN109560983A (en) | Data communications method and device for vehicle network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20081105 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100412 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100420 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100423 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4504990 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130430 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130430 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140430 Year of fee payment: 4 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |