JP5423473B2 - フォールトトレラント装置、その制御モジュール、プログラム - Google Patents
フォールトトレラント装置、その制御モジュール、プログラム Download PDFInfo
- Publication number
- JP5423473B2 JP5423473B2 JP2010041884A JP2010041884A JP5423473B2 JP 5423473 B2 JP5423473 B2 JP 5423473B2 JP 2010041884 A JP2010041884 A JP 2010041884A JP 2010041884 A JP2010041884 A JP 2010041884A JP 5423473 B2 JP5423473 B2 JP 5423473B2
- Authority
- JP
- Japan
- Prior art keywords
- output
- information
- input
- processing unit
- verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Safety Devices In Control Systems (AREA)
Description
図20に示すシステムは、同期して同じ動作を行う2つのモジュール100A、100B(制御モジュール;CPUモジュール)と、比較器101と、切替部102を有する。切替部102は2つのモジュール100A、100Bからの出力を入力し、何れか一方を不図示の外部システムに出力する。比較器101は、2つのモジュール100A、100Bからの出力を入力して、比較照合し一致/不一致を検出し、検出結果に応じて切替部102を制御する。例えば、不一致検出後に、必要ならば正常モジュール側に切り替える。
注)フォールトトレランス:放置しておけば故障に至るようなフォールトや誤りが存在しても、要求機能の遂行を可能にするアイテムの属性
フェールセーフ:アイテムが故障したとき、あらかじめ定められた一つの安全な状態をとるような設計上の性質
出典:JIS Z 8115 ディペンダビリティ(信頼性)用語
スポンス時間については触れられていない。
ここで、上記安全性に関しては、上記二重化されたモジュール/CPUの一方に故障があるか否かに係わらず、二重化されたモジュール/CPUから外部(制御対象機器等)への出力によって人的危害が発生しないことが重要である。
例えば「ISO13855機械の安全性 - 人体各部の接近速度に対応した保護機器の位置決め」では光カーテンとプレス機間の安全距離Sは
S=K×T+C
で計算される。(ここで、K;侵入速度、T;検出後の機会全体の停止時間=光カーテンの応答速度+機械停止制御時間、 C;最小検出体から算出される追加距離)
従って、この場合、安全フォールトトレラント装置のレスポンス時間短縮は、安全距離の短縮に貢献する。
また、特許文献1では、入力の照合のみを行っているが、特に、単に入力信号をデータ編集する処理を行うだけでなく、入力に応じたアプリケーション処理を実行する場合には、2つのCPUで同時に同一の入力を得たとしても出力が同一となる保証はなく、出力に関しても照合を行うことが望ましい。しかしこの場合、入力に関して照合を行い、アプリケーション処理後に出力に関する照合を行う為、2回の照合処理を行うことになり、レスポンス時間をより悪化させることになる。
その一方で、二重化されたモジュール/CPUからの出力が、例えば制御対象機器等を運転開始(例えばプレス動作開始等)させる等の信号(危険側出力と呼ぶ)である場合、特にこの危険側出力がCPUの誤動作(例えばどちらか一方のCPUの故障等が原因であるが、これに限らない)の結果として出力された場合には、人的危害が発生する可能性がある。例えば、作業員が運転開始スイッチを操作していないのに機器が動作開始すれば、非常に危険である。この点からも出力に関する照合も行うことが望ましいが、上記の通り、レスポンス時間をより悪化させることになる。
れとなる。
合における前記照合処理は、前記入力情報と出力情報とをまとめて行う。
これによって、入力の際に入力情報の照合を行い、出力の際に出力情報の照合を行うような、入力情報の照合と出力情報の照合を別々に行う場合に比べて、照合処理に関する処理時間を短縮でき、また処理負荷を軽減できる。
本手法として、実施例1と実施例2を示す。まず、実施例1について図1〜図11を参照して説明する。
図1に限らず後述する図12に示す実施例2においても同様であるが、本例の二重化装置(フォールトトレラント装置)は、2つのCPUモジュール1A,1Bから成り、「二重化/比較方式」の構成をとる。すなわち、2つのCPUモジュール1A,1Bには、同一のデータが入力され、各々で入力データに応じた所定の処理(両モジュールで同一の処理)を行い、基本的には両モジュール1間で入力と処理結果(出力)に関する比較照合処理を行ったうえで、照合OKであれば処理結果(出力)を外部(制御対象機器等)へ出力する。但し、本例の二重化装置では、照合処理を行う前に出力を行う場合もある。すなわち、後述する「安全側出力」の場合は、照合処理を行う前に出力を行い、その後、照合処理を実行する。後述する「危険側出力」の場合は、照合処理を行ってOKであれば出力(入力に応じた出力)を行う(照合NGの場合、本例では緊急停止出力を行うが、これは入力に応じた出力とは見做さない)。
って出力されてしまっても、安全である(特に人間に危害が発生しない)ような出力を意味するものである。
CPUモジュール1Aと1Bの間は、特に図示しないが照合や相互診断を行うため相互伝送が可能な構成をとる。相互伝送が可能な構成(通信線/通信方式等;以下、相互伝送路というものとする)は、例えばシリアル通信など互いに他CPUの故障の影響を受けず且つ安価に実現できる構成を採用する。従来ではこの相互伝送路を介したCPUモジュール1A−1B間相互の照合処理に時間が掛かる為、入力から出力までのレスポンス時間が悪化しており、またこの問題を解消する為に伝送路に共通メモリを採用した場合、共通原因故障率が増大し且つコスト高となっていた。これに対して本手法では、シリアル通信等の安価に実現できる構成であってもレスポンス時間を短縮でき、且つ上記共通原因故障率の増大、コスト高等の問題も生じない。
の各種登録データテーブル(予め設定されたデータを記憶している)と、診断処理部14、入力処理部15、照合処理部16a、16b、16c、判定処理部17a、17b、17c、17d、アプリケーション処理部18、検証処理部19の各種処理機能部を有する。
ュール1が有する各種処理機能部は、診断処理部14、入力処理部15、照合処理部16、判定処理部17、アプリケーション処理部18、及び検証処理部19ということになる。
“出力情報”についてまとめて、CPUモジュール1A−1B間で相互に照合処理を実行する。もし、照合処理の結果がNGであった場合には、緊急停止等の安全確保の為の出力を行う。その際、判定処理部17を起動して、緊急停止出力に関する判定処理を実行させ(判定処理部17dの処理を実行させる)、判定OKである場合に、外部への(例えば制御対象機器に対する)緊急停止出力が行われる。
で相互に通信を行う為、時間が掛かるが、検証処理はそのCPUモジュール1単独で処理できるので、照合処理に比べて短時間で処理完了できる。よって、検証処理を行う場合でも従来に比べて(危険側の場合に比べて)短時間で出力を行える。
まず、各種登録データについて概略的に説明する。
判定テーブル11は、入力または出力の是非(入力許可または出力許可)を判定する為の入力条件または出力条件が定義されており、その具体例は図4に示し、後に説明する。判定テーブル11の内容は、予め人間が判断して登録する。判定テーブル11は判定処理部17が参照する。
ここで、まず、診断処理部14だけは他の処理機能部とは異なり、外部からの任意の入力(入力変化)があった場合に動作するのではなく、例えば定期的に起動されて動作する。診断処理部14は、CPUモジュール1の自己(自系)診断処理、他系CPUモジュール1との相互監視処理を行う。診断の内容はIEC61508で規定された内容に従ったものとなる。つまり、診断処理部14による診断処理自体は、既存の一般的な処理であってよい。
尚、判定処理部17による判定処理の際には、上記システムステータス情報も参照する。
化)に応じた“入力情報”を生成する。そして、安全管理テーブル12を参照して、この“入力情報”(その入力種別)に応じた“出力情報”(その出力種別)が安全側か危険側かを判定して、この判定結果に基づいて後続処理を起動する。入力処理部15は、定期的に起動して入力の状態変化を検知した場合に図6の処理を開始する方式と、割り込みのデマンドを受けて起動して図6の処理を開始する方式がある。入力処理部15の具体的処理例を図6に示し、後に説明する。
判定処理部17は、入力または出力の是非を判定する。判定処理部17aは入力の是非(入力の許可/不許可)を判定し、判定処理部17b〜17dは出力の是非(出力の許可/不許可)を判定する。判定処理部17の具体的処理例を図7に示し、後に説明する。
検証処理部19は、上記アプリケーション処理部18による所定処理の結果(“出力情報”が、安全側出力である場合にのみ動作する機能部であり、検証テーブル13を参照して、この所定処理の妥当性を検証する処理を行う。検証処理部19の具体的処理例を図9に示し、後に説明する。
上記構成により、アプリケーション処理部18による“入力情報”に応じたアプリケーション処理結果としての“出力情報”が、安全側である場合には、照合処理は行う前に“出力情報”を外部へ(例えば制御対象機器への)出力する。尚、その前に、検証処理を行うことが望ましい。そして、その後に照合処理を行う。これは上記の通り“入力情報”の照合と“出力情報”の照合をまとめて行う。照合処理は時間が掛かるので、照合処理を後回しにして先に出力を行えるようにすることで、入力から出力までのレスポンスタイムを大幅に短縮することが可能となる。また、“入力情報”の照合と“出力情報”の照合を別々に行う場合に比べて、これらの照合をまとめて行うことでもレスポンスタイム短縮効果が得られる。
まず、図3〜図5を参照して、各種登録データについて詳細に説明する。
図示の安全管理テーブル12は、番号31、出力種別32、入力種別33、出力区分34の各データ項目より成る複数のレコードにより構成される。
出力種別32は、各“出力情報”の種別を示す。尚、図1では出力線は1本のみ示すが、各出力種別(出力情報)毎の複数の出力線があってよい(但し、1本の出力線に複数の出力種別の信号が出力される場合もある。例えば、出力種別として始動と停止があったとし、同一の信号線において、信号の立ち上がりは始動、立下りは停止を意味する場合もある)。
出力区分34は、各出力種別32の“出力情報”が安全側であるか危険側であるかを示す。
図示の判定テーブル11は、番号41、入力/出力42、出力区分43、「入力条件または出力条件」44の各データ項目より成る複数のレコードにより構成される。
入力/出力42には、入力、出力の何れかが格納される。これは、そのレコードにおける「入力条件または出力条件」44が、“入力情報”の判定に使用する条件か、“出力情報”の判定に使用する条件かを示す。
「入力条件または出力条件」44は、入力情報の入力を許可する条件または出力情報の外部出力を許可する条件を示す。
番号41=‘8’は、自系異常の場合の緊急停止出力に関する条件であり、本手法には特に関係しないので特に説明しない。また、尚、図4には全ての条件を載せているわけではなく、他の条件もあってよい。
図示の検証テーブル13は、番号51、アプリケーション処理名52、制限時間53、入力パラメータ54、出力パラメータ55の各データ項目より成る複数のレコードにより構成される。
アプリケーション処理名52には、アプリケーション処理部18が実行する各種アプリケーション処理の名称等(名称に限らず、アプリケーション識別ID等であってもよい)が格納される。尚、図では番号51=‘1’におけるアプリケーション処理名52(速度範囲チェック処理)のみ記載されているが、他は省略して示しているだけであり、基本的に、アプリケーション処理部18が実行する各種アプリケーション処理の全ての名称等が、各レコードに登録されており、それぞれに対応する検証条件が登録されている。
入力パラメータ54には、アプリケーション処理の入力パラメータを検証する条件が登録される。
そして、検証処理部19における検証処理の際には、まずアプリケーション処理名52
により該当するレコードを検索して、このレコードの制限時間53、入力パラメータ54、出力パラメータ55の全ての検証条件を満たす場合に、検証OKと判定する。
図6は、入力処理部15の処理フローチャート図である。
図6の処理では、まず、外部からの任意の入力信号(信号変化等)があると、これに基づいて上記の通り“入力情報”を生成する(ステップS11)。既に述べた通り、“入力情報”は、入力種別や入力値等からなる。
当該判定処理への入力、すなわち当該判定処理部17を起動した処理機能部から渡される情報(パラメータ)は、“入力情報”または“出力情報”と、“入力情報”であるか“出力情報”であるかを示す識別情報(入力/出力識別情報というものとする)である。この入力/出力識別情報により、当該判定処理部17へ渡されるデータが“入力情報”であるか“出力情報”であるかを認識できる。
的には、判定OKであれば、この“出力情報”を外部へ出力させる。但し、検証処理部19によって起動された場合には、更に、自己に渡された情報を(自己が起動した)照合処理部16へ渡す。あるいは、照合処理部16/検証処理部19は、自己が緊急停止等を出力する場合には、これと入力/出力識別情報を後段の(自己が起動した)処理機能部に渡す処理を行っている。尚、“出力情報”には緊急停止出力も含まれる。
一方、判定条件に合致しないと判定した場合には(ステップS22,NO)、上記出力を抑止する(入力または出力は許可しない)(ステップS24)。この場合、処理を終了することになる。
図8において、まず、入力処理を行う(ステップS31)。これは、アプリケーション処理部18には、上記判定処理部17において“入力情報”の入力を許可すると判定された場合に、判定処理部17から“入力情報”等が渡されるので、この“入力情報”等を入力するものである。
ステップS34以降の処理では、まず、安全管理テーブル12を読み込む(ステップS34)。そして、安全管理テーブル12を参照して、上記生成した“出力情報”が安全側か否かを判定する(ステップS35)。“出力情報”が安全側である場合には(ステップS35,YES)、検証処理部19を起動する。そして、起動した検証処理部19に対して“出力情報”や入力/出力識別情報(出力を示す)と共に、後述する「呼び出し元アプリケーション情報」を渡す(ステップS36)。
上記の通り、当該検証処理への入力は、“出力情報”と入力/出力識別情報と「呼び出し元アプリケーション情報」である。「呼び出し元アプリケーション情報」は、上記ステップS32のアプリケーション処理実行に係わる所定の情報であり、例えばアプリケーション処理の処理名、実行時間、アプリケーション処理の入力、出力に係わる所定情報等である。ここでは、図5に示す一例を用いて説明するならば、ステップS32のアプリケーション処理が速度範囲チェック処理であった場合には、「呼び出し元アプリケーション情報」は、処理名=速度範囲チェック処理、処理実行時間=t1、速度入力データ=P1、速度基準=P2、出力情報の出力先BitNo.の各項目より成る。
ステップS45の処理を実行する。一方、1つでも検証条件に合致しない項目があった場合には検証NGと判定し(ステップS43,NO)、検証NGを上記システムステータス情報に記録すると共に(ステップS46),ステップS47の処理を実行する。
当該照合処理の入力、すなわち当該照合処理部16を起動した処理機能部から渡される情報(パラメータ)は、上記“入力情報”または/及び“出力情報”と、入力/出力識別情報である。危険側出力の場合には、照合処理部16aには“入力情報”、照合処理部16bには“出力情報”が入力されることになる。一方、安全側出力の場合には、照合処理部16cに“入力情報”と“出力情報”の両方が入力されることになる。
は、“入力情報”と“出力情報”の両方が渡される場合、“出力情報”に関する処理を実行する。
尚、上記ステップS56の照合処理は、例えば、外部からの入力(入力情報)がディジタル入力の場合はOFFからON、またはONからOFFの変化が合致しているか否か、アナログ入力の場合CPU1とCPU2の入力値の差が所定の値以内であるか否か、パルス入力の場合CPUモジュール1A、CPUモジュール1Bそれぞれにおけるパルスカウント値の差が所定の値以内であるか否かによって、照合が合致したか否かを判断する。但し、照合処理部16が直接外部からの入力信号(ON→OFF変化等)を検出しているのではなく、これらは“入力情報”に反映されている形となっている。また、入力のチャターなどのノイズはハードウェアフィルタなどにより予め除去する。
上記の通り、診断処理自体は既存の一般的な手法であってよく、以下、簡単に説明する。
上記自己診断処理の結果、自系正常か否かを判定する(ステップS72)。
どフェールセーフを実現する安全側と、プレス機の動作開始指令などの危険側とに予め区分して(例えば人間が判断する)安全管理テーブルに登録しておく。
この様に、安全性を確保しつつ(人的危害等が発生しないようにしつつ)、出力が安全側の場合にはレスポンスタイムを短縮することができる。
尚、検証処理における上記アプリケーション実行時間制限判定は、ウオッチドッグで時間監視する等して判定してもよい。
ことが可能となる。
実施例2でも、上記実施例1と略同様の効果が得られ、更に実施例2による効果も得られる。
すなわち、概略的には、実施例2では、安全側出力と危険側出力が混在する場合には出力を同定して区分する。
図12は、実施例2の二重化装置の構成・機能ブロック図である。
尚、以下の実施例2の説明においては、実施例1と略同様の内容については、その説明を省略する場合もある。本説明では、主に、実施例1と異なる点について詳細に説明するものとする。
また、実施例2では、上記実施例1の変形例と同様、危険側出力の場合でも照合処理を“入力情報”と“出力情報”についてまとめて行うものであり、それ故、図12に示す通り、入力処理部65による入力処理後の照合処理は行われない。また、危険側出力の場合の照合処理である照合処理部71aの処理においても、安全側出力の場合の照合処理である照合処理部71bの処理と同様、“入力情報”と“出力情報”をまとめて照合処理を行う。これに伴って、入力処理部65、照合処理部71の処理フローチャート、及び安全管
理テーブル62の内容は、上記入力処理部15、照合処理部16、安全管理テーブル12とは多少異なるものとなり、後に図14、図15、図19を参照して説明する。
図13(a)の安全側出力タイムチャート、及び図13(b)の危険側出力タイムチャートを、図2(a)、(b)に示す実施例1のタイムチャートと比較すれば明らかな通り、実施例2は、タイムチャート的には、アプリケーション処理後に出力同定処理を行う点が実施例1と異なる(更に、危険側出力の場合にも入出力まとめて照合処理を行う点も異なるが、これは図2とは異なるが、上記実施例1の変形例と同じであると考えてよい)。
わち、照合処理を行ったうえで照合OKであれば“出力情報”を外部へ出力する。これによって、危険側に分類される出力が行われる場合でも、人的危害等が生じないようにでき、安全性が損なわれることはない。更に、安全側出力の場合だけでなく危険側出力の場合でも“入力情報”の照合と“出力情報”の照合をまとめて行うので、照合処理時間を短縮でき、CPUの処理負担を軽減できる。
図14に、実施例2の安全管理テーブル62のデータ構成例を示す。
図示の通り、入力処理部65の処理は、上記ステップS11と同様の処理である入力処理を行った後(ステップS91)、上記ステップS14と同様の処理である判定処理部66の起動処理(ステップS92)を行うだけである。
図16において、図示のステップS111,S112,S113の入力処理、アプリケーション処理、外部出力有無の判定処理は、上記図8のステップS31,S32,S33の処理と略同様であり、特に説明しない。
図示の例では、入出力バッファ69には、アプリケーション処理名91、入力データ92(入力データ項目94と入力データ値95から成る)、出力データ93(出力データ項目96と出力データ値97から成る)より成るテーブルが格納される。
憶し、このアプリケーション処理の結果(“出力情報”)の出力種別と出力データ値を出力データ項目96と出力データ値97に記憶する。
図18は、出力同定処理部68の処理フローチャート図である。
図18の処理では、まず、入出力バッファ69と安全管理テーブル62のデータを読み込む(ステップS121)。
し、1つ以上ある場合には(ステップS125、YES)、上記ステップS126の処理を行う。もし、危険側出力が1つも無い場合には(ステップS125,NO)本処理を終了する。但し、ステップS125の処理は無くても良い。尚、アプリケーション処理部67は、出力が非安全関連出力の場合、入出力バッファ69に書き込むことなく、直接、外部へ出力する。入出力バッファ69に何もデータが記憶されていない場合、すなわち出力が非安全関連出力のみの場合に、ステップS125の判定がNOとなる。この場合には、当然、後続の処理は行う必要はないので、起動処理は必要なく、本処理を終了する。
図19は、実施例2の照合処理部71の処理フローチャート図である。
図19の処理が上記実施例1の図10の処理と異なる点は、既に述べた通り本例では危険側の場合でも入出力まとめて照合処理を行うことから、図10のステップS51〜S54の処理は必要なくなり、代わりにステップS131の処理を実行することである。
すなわち、従来、二重化比較方式では二重の両系間のデータ照合を行ってから出力するため、照合処理に時間が掛かる分、「入力から出力までのレスポンスタイム」が悪化しており、特に他系が異常の場合などは照合の時間監視時間以上の安全側出力の遅れが発生し
ていたが、本方式により、「二重化/比較方式」の二重化装置において安全管理テーブルにより出力信号がフェールセーフ(安全側)であるか否かを識別し、安全側出力の場合、照合処理の前に外部への出力を行うことでレスポンスタイムを短縮することができる。また、当該安全側出力の場合、照合処理に必要なCPU間の伝送時間が出力の遅れに繋がらないため、安価な伝送装置で済むようになる。
特に1つのアプリケーション処理によって複数の出力データが得られる場合にも、安全性を確保することができる。
1B CPUモジュール
11 判定テーブル
12 安全管理テーブル
13 判定テーブル
14 診断処理部
15 入力処理部
16(16a、16b、16c) 照合処理部
17(17a、17b、17c、17d) 判定処理部
18 アプリケーション処理部
19 検証処理部
31 番号
32 出力種別
33 入力種別
34 出力区分
41 番号
42 入力/出力
43 出力区分
44 入力条件または出力条件
51 番号
52 アプリケーション処理名
53 制限時間
54 入力パラメータ
55 出力パラメータ
61 判定テーブル
62 安全管理テーブル
63 判定テーブル
64 診断処理部
65 入力処理部
66(66a、66b、66c、66d) 判定処理部
67 アプリケーション処理部
68 出力同定処理部
69 入出力バッファ
70 検証処理部
71(71a、71b) 照合処理部
81 番号
82 出力種別
83 出力区分
91 アプリケーション処理名
92 入力データ
93 出力データ
94 入力データ項目
95 入力データ値
96 出力データ項目
97 出力データ値
Claims (7)
- 略同一の構成の複数の制御モジュールより成り、該複数の制御モジュールに同一の入力情報が入力され、該複数の制御モジュールが該入力情報に応じた同一のアプリケーション処理を行い、該複数の制御モジュールが相互にデータ送受信を行って照合処理を行い、該複数の制御モジュールが同一の出力信号線に出力を行うフォールトトレラント装置であって、
前記各制御モジュールは、
予め各種出力情報毎に、それが安全側出力であるか危険側出力であるかを登録した第1の記憶手段と、
各種の前記アプリケーション処理を実行可能であり、任意の前記入力情報が入力される毎に、該入力情報に応じたアプリケーション処理を実行するアプリケーション処理実行手段と、
該アプリケーション処理の結果としての出力情報が、安全側出力であるか危険側出力であるかを前記第1の記憶手段を参照して判定する安全/危険判定手段と、
該安全/危険判定手段により前記出力情報が安全側出力であると判定した場合、該出力情報を前記出力信号線に出力し、その後、前記照合処理を実行し、前記安全/危険判定手段により前記出力情報が危険側出力であると判定した場合には、前記照合処理を実行し、照合OKであれば前記出力情報を前記出力信号線に出力する出力制御手段と、
を有することを特徴とするフォールトトレラント装置。 - 予め前記各種アプリケーション処理毎に対応付けて、そのアプリケーション処理が正常に実行されたか否かを判定する為の各種条件である検証条件を記憶する第2の記憶手段を更に有し、
前記出力制御手段は、前記出力情報が安全側出力であると判定された場合、前記第2の記憶手段を参照して、該出力情報に係わる前記アプリケーション処理が正常に実行されているか否かを検証し、検証OKである場合に前記出力情報を前記出力信号線に出力し、その後、前記照合処理を実行することを特徴とする請求項1記載のフォールトトレラント装置。 - 前記出力制御手段は、前記出力情報が安全側出力であると判定された場合における前記照合処理は、前記入力情報と出力情報とをまとめて行うことを特徴とする請求項1または2記載のフォールトトレラント装置。
- 前記安全/危険判定手段は、前記アプリケーション処理の結果としての出力情報が複数ある場合、該各出力情報毎に前記第1の記憶手段を参照してその出力情報が安全側出力か危険側出力かを求め、全ての出力情報が安全側出力である場合に安全側出力であると判定することを特徴とする請求項1記載のフォールトトレラント装置。
- 前記出力制御手段は、前記安全/危険判定手段による判定結果が安全側出力、危険側出力のどちらの場合でも、前記照合処理は、前記入力情報と出力情報とをまとめて行うことを特徴とする請求項1または4記載のフォールトトレラント装置。
- 略同一の構成の複数の制御モジュールより成り、該複数の制御モジュールに同一の入力情報が入力され、該複数の制御モジュールが該入力情報に応じた同一のアプリケーション処理を行い、該複数の制御モジュールが相互にデータ送受信を行って照合処理を行い、該複数の制御モジュールが同一の出力信号線に出力を行うフォールトトレラント装置における前記制御モジュールであって、
予め各種出力情報毎に、それが安全側出力であるか危険側出力であるかを登録した第1の記憶手段と、
各種の前記アプリケーション処理を実行可能であり、任意の前記入力情報が入力される毎に、該入力情報に応じたアプリケーション処理を実行するアプリケーション処理実行手段と、
該アプリケーション処理の結果としての出力情報が、安全側出力であるか危険側出力であるかを前記第1の記憶手段を参照して判定する安全/危険判定手段と、
該安全/危険判定手段により前記出力情報が安全側出力であると判定した場合、該出力情報を前記出力信号線に出力し、その後、前記照合処理を実行し、前記安全/危険判定手段により前記出力情報が危険側出力であると判定した場合には、前記照合処理を実行し、照合OKであれば前記出力情報を前記出力信号線に出力する出力制御手段と、
を有することを特徴とするフォールトトレラント装置における制御モジュール。 - 略同一の構成の複数の制御モジュールより成り、該複数の制御モジュールに同一の入力情報が入力され、該複数の制御モジュールが該入力情報に応じた同一のアプリケーション処理を行い、該複数の制御モジュールが相互にデータ送受信を行って照合処理を行い、該複数の制御モジュールが同一の出力信号線に出力を行うフォールトトレラント装置における前記制御モジュールのコンピュータを、
予め各種出力情報毎に、それが安全側出力であるか危険側出力であるかを登録した第1の記憶手段と、
各種の前記アプリケーション処理を実行可能であり、任意の前記入力情報が入力される毎に、該入力情報に応じたアプリケーション処理を実行するアプリケーション処理実行手段と、
該アプリケーション処理の結果としての出力情報が、安全側出力であるか危険側出力であるかを前記第1の記憶手段を参照して判定する安全/危険判定手段と、
該安全/危険判定手段により前記出力情報が安全側出力であると判定した場合、該出力情報を前記出力信号線に出力し、その後、前記照合処理を実行し、前記安全/危険判定手段により前記出力情報が危険側出力であると判定した場合には、前記照合処理を実行し、照合OKであれば前記出力情報を前記出力信号線に出力する出力制御手段、
として機能させる為のプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010041884A JP5423473B2 (ja) | 2010-02-26 | 2010-02-26 | フォールトトレラント装置、その制御モジュール、プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010041884A JP5423473B2 (ja) | 2010-02-26 | 2010-02-26 | フォールトトレラント装置、その制御モジュール、プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011180665A JP2011180665A (ja) | 2011-09-15 |
JP5423473B2 true JP5423473B2 (ja) | 2014-02-19 |
Family
ID=44692134
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010041884A Expired - Fee Related JP5423473B2 (ja) | 2010-02-26 | 2010-02-26 | フォールトトレラント装置、その制御モジュール、プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5423473B2 (ja) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6402469B2 (ja) * | 2014-04-04 | 2018-10-10 | 富士電機株式会社 | 安全制御装置および安全制御システム |
WO2015162760A1 (ja) * | 2014-04-24 | 2015-10-29 | 三菱電機株式会社 | Plcユニット及びプログラマブルロジックコントローラ |
JP6227027B2 (ja) * | 2016-02-12 | 2017-11-08 | 三菱電機株式会社 | プログラマブルロジックコントローラシステム、入力ユニットシステム、cpuユニットシステム及び出力ユニットシステム |
CN108803339A (zh) * | 2018-06-28 | 2018-11-13 | 杭州电子科技大学 | 一种化工批次过程容错迭代学习控制方法 |
WO2024075558A1 (ja) * | 2022-10-03 | 2024-04-11 | パナソニックIpマネジメント株式会社 | 機器システム |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3216996B2 (ja) * | 1996-07-19 | 2001-10-09 | 三菱電機株式会社 | 二重系電子連動装置 |
JP4401521B2 (ja) * | 2000-03-08 | 2010-01-20 | 日本信号株式会社 | 2重化情報処理装置 |
JP2006178730A (ja) * | 2004-12-22 | 2006-07-06 | Yaskawa Electric Corp | 安全信号i/f装置およびその二重化信号入力処理方法 |
-
2010
- 2010-02-26 JP JP2010041884A patent/JP5423473B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2011180665A (ja) | 2011-09-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5423473B2 (ja) | フォールトトレラント装置、その制御モジュール、プログラム | |
RU2585262C2 (ru) | Контрольно-вычислительная система, способ управления контрольно-вычислительной системой, а также применение контрольно-вычислительной системы | |
US8856595B2 (en) | Method for verifying an application program in a failsafe programmable logic controller, and programmable logic controller for performing the method | |
US20070277023A1 (en) | Method For Switching Over Between At Least Two Operating Modes Of A Processor Unit, As Well Corresponding Processor Unit | |
JP5911922B2 (ja) | 安全関連制御ユニットおよび自動化設備の制御方法 | |
JP2007507016A (ja) | シリアルインターフェイスを介したフラッシュプログラミングによる電子制御装置のソフトウェアアップデート方法およびこれに対応する状態自動装置 | |
CN107463516B (zh) | 控制装置 | |
JP4917604B2 (ja) | 記憶装置構成およびその駆動方法 | |
US8862934B2 (en) | Redundant computing system and redundant computing method | |
JP5537140B2 (ja) | 安全制御装置、及びその安全制御プログラム | |
CN106970550B (zh) | 车辆子系统通信仲裁 | |
JP5978873B2 (ja) | 電子制御装置 | |
JP4477739B2 (ja) | 冗長系情報処理システム | |
JP5453984B2 (ja) | Ram診断装置、そのプログラム | |
JP4664367B2 (ja) | 機能モジュールの管理システムを動作させる方法 | |
JP6824447B2 (ja) | 信号制御装置および異常検出方法 | |
JP5337661B2 (ja) | メモリ制御装置及びメモリ制御装置の制御方法 | |
JP6302775B2 (ja) | 制御装置及びその制御方法 | |
JP4650441B2 (ja) | 数値制御装置及び数値制御システム | |
JP5982226B2 (ja) | 二重化入力信号制御装置及び二重化出力信号制御装置の制御方法、その二重化入力信号制御装置、及びその二重化出力信号制御装置 | |
US10831176B2 (en) | Numerical controller monitoring removal of daisy chained devices | |
JP5649416B2 (ja) | バスシステム | |
JP6501703B2 (ja) | 車載制御装置 | |
JP2009282849A (ja) | マイクロコンピュータ | |
WO2012165396A1 (ja) | 電子制御システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130111 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131023 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131029 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131111 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 5423473 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |