JP5494255B2 - 安全制御システム - Google Patents

安全制御システム Download PDF

Info

Publication number
JP5494255B2
JP5494255B2 JP2010130533A JP2010130533A JP5494255B2 JP 5494255 B2 JP5494255 B2 JP 5494255B2 JP 2010130533 A JP2010130533 A JP 2010130533A JP 2010130533 A JP2010130533 A JP 2010130533A JP 5494255 B2 JP5494255 B2 JP 5494255B2
Authority
JP
Japan
Prior art keywords
safety
data
processor unit
memory
detection code
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2010130533A
Other languages
English (en)
Other versions
JP2011257889A (ja
Inventor
博之 國分
以久也 佐藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fuji Electric Co Ltd
Original Assignee
Fuji Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Electric Co Ltd filed Critical Fuji Electric Co Ltd
Priority to JP2010130533A priority Critical patent/JP5494255B2/ja
Priority to EP11168248.0A priority patent/EP2413484B1/en
Priority to CN2011101604429A priority patent/CN102269970B/zh
Publication of JP2011257889A publication Critical patent/JP2011257889A/ja
Application granted granted Critical
Publication of JP5494255B2 publication Critical patent/JP5494255B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02MAPPARATUS FOR CONVERSION BETWEEN AC AND AC, BETWEEN AC AND DC, OR BETWEEN DC AND DC, AND FOR USE WITH MAINS OR SIMILAR POWER SUPPLY SYSTEMS; CONVERSION OF DC OR AC INPUT POWER INTO SURGE OUTPUT POWER; CONTROL OR REGULATION THEREOF
    • H02M3/00Conversion of dc power input into dc power output
    • H02M3/02Conversion of dc power input into dc power output without intermediate conversion into ac
    • H02M3/04Conversion of dc power input into dc power output without intermediate conversion into ac by static converters
    • H02M3/10Conversion of dc power input into dc power output without intermediate conversion into ac by static converters using discharge tubes with control electrode or semiconductor devices with control electrode
    • H02M3/145Conversion of dc power input into dc power output without intermediate conversion into ac by static converters using discharge tubes with control electrode or semiconductor devices with control electrode using devices of a triode or transistor type requiring continuous application of a control signal
    • H02M3/155Conversion of dc power input into dc power output without intermediate conversion into ac by static converters using discharge tubes with control electrode or semiconductor devices with control electrode using devices of a triode or transistor type requiring continuous application of a control signal using semiconductor devices only
    • H02M3/156Conversion of dc power input into dc power output without intermediate conversion into ac by static converters using discharge tubes with control electrode or semiconductor devices with control electrode using devices of a triode or transistor type requiring continuous application of a control signal using semiconductor devices only with automatic control of output voltage or current, e.g. switching regulators
    • H02M3/157Conversion of dc power input into dc power output without intermediate conversion into ac by static converters using discharge tubes with control electrode or semiconductor devices with control electrode using devices of a triode or transistor type requiring continuous application of a control signal using semiconductor devices only with automatic control of output voltage or current, e.g. switching regulators with digital control
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1633Error detection by comparing the output of redundant processing systems using mutual exchange of the output between the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1654Error detection by comparing the output of redundant processing systems where the output of only one of the redundant processing components can drive the attached hardware, e.g. memory or I/O
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1687Temporal synchronisation or re-synchronisation of redundant processing components at event level, e.g. by interrupt or result of polling
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24191Redundant processors are different in structure

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Emergency Protection Circuit Devices (AREA)
  • Hardware Redundancy (AREA)

Description

本発明は、電力変換器などの被制御装置の安全監視機能を有し、ネットワーク経由で与えられる制御信号に基づいて被制御装置を制御する安全制御システムに係り、特に制御機能と安全監視機能とを有するプロセッサと、安全監視機能のみを有するプロセッサとの間で精度の高い同期処理を実行し、高い安全性を実現する安全制御システムに関する。
従来、電力変換器などの被制御装置に対しては、機能安全が要求され、IEC61508に代表される機能安全規格などが策定されている。この機能安全規格は、診断・監視機能に加えて、外部のセンサー等からの信号に基づいて装置を安全な状態へ移行する機能を定義している。安全状態への移行機能においては、安全停止、安全減速などが挙げられる。また、外部コントローラから電力変換器へ制御信号や安全信号を与える方法として、現在主流となっているのは、機能ごとに信号線を電力変換器へ接続するワイヤ配線によるものである。この方法は、実装が容易であるものの、システムの規模に応じて配線が複雑化し、設計面やコスト面で不利となっている。このため、ワイヤ配線で与えられていた安全信号を、制御信号と混合させて産業用ネットワークに乗せるための「安全バス」を用いたシステムが提案されている。(例えば特許文献1を参照。)
また、特許文献2には、外部の安全コントローラと安全規格で設計された入力機器・出力機器とをネットワークに中継するための装置が記載されている。この装置の入力と出力はそれぞれ別々の機器で構成され、それぞれは冗長化された端子(送受信部)で接続することで安全機能を実現している。
電力変換器で安全バスを実現するとき、通信装置は、機能安全規格を満たすため、たとえば図8に示すように、安全バス(ネットワーク3)に流れる通信データのうち、制御データと安全データを分離するために、独立した2つの通信装置10a,10bを設けるか、あるいは、図9に示すように、一つの通信装置10で安全データと非安全データ(制御データ)の混在する通信データを受信し、その通信データから安全データと非安全データとを分離するための専用のプロセッサユニットを設けていた。
ところで、ハードウェアのコスト削減の要請から、図9に挙げる3つのプロセッサユニットを2つに集約し、一方のプロセッサユニットには制御機能と安全機能を実装し、他方のプロセッサユニットには安全機能のみを実装するようにすれば、安全機能の二重化の条件を満たしつつ、ユニット数が削減され小型化と低コスト化を実現することができる。
しかしながら、このユニット構成にすると安全機能と非安全機能が混在することによる問題が生じる。たとえば、二重化された安全機能は、同時に同じ安全処理を実行するように同期をとる必要があるが、一方のプロセッサユニットの安全処理が非安全処理の挙動に影響されて同期外れが起こりやすくなるという問題がある。
特開2006−178730号公報 特開2006−325390号公報
本発明は、上述のかかる事情に鑑みてなされたものであり、プロセッサユニット数を削減して、低コスト化と省スペース化を実現するとともに、二重化構成による安全機能間の同期を確実に維持することのできる安全制御システムを提供することを目的とする。
上記目的を達成するため、本発明に係る安全制御システムは、ネットワークを介して外部コントローラと通信データの送受信を行う通信装置と、該通信装置を経由して外部コントローラから送られてくる通信データを受信し、該通信データに基づいて電力変換器へ制御信号を出力する制御機能と、該通信データに基づいて電力変換器への停止指令の出力その他の安全機能と、を実行する第一のプロセッサユニットと、安全機能のみを実行する第二のプロセッサユニットを有する安全制御システムであって、第一のプロセッサユニットは、通信データが非安全データを含む場合は、該非安全データをもとに制御指令を生成して電力変換器へ出力する制御指令生成手段と、通信データが安全データを含む場合は、前記第二のプロセッサユニットに対する割込み信号である外部割込み信号と、プロセッサ内部の割込み信号である内部割込み信号を発生すると共に、安全データを前記第二のプロセッサユニットへ転送する安全データ転送手段と、内部割込み信号によって、安全データに基づく安全処理を実行する安全データ実行手段と、第二のプロセッサユニットによって実行された安全処理の結果を受信し、該受信データと安全データ実行手段による実行結果をもとに通信コントローラへ送信すべき通信データを生成する結合手段と、を備え、第二のプロセッサユニットは、外部割込み信号によって起動し、第一のプロセッサユニットから転送された安全データをもとに安全処理を実行し、該安全処理の結果を第一のプロセッサユニットへ送信する安全データ実行手段を備えたことを特徴とする。
ここで、プロセッサユニットとは、ある機能を実現するための演算処理を行う独立した構成単位を意味し、その形態(基板や装置など)は問わない。
本発明では、第一のプロセッサユニットでは制御機能と安全機能を実行させ、第二のプロセッサユニットでは安全機能のみを実行させ、処理負荷の重い第一のプロセッサユニットからの外部割込み信号によって両プロセッサユニット間の安全処理のタイミングをとる。第二のプロセッサユニットは、第一のプロセッサユニットよりも処理負荷が軽いので、第一のプロセッサユニットのタイミングに合わせても安全処理が停滞することはない。これにより、両プロセッサユニットの安全機能の同期を確実にとることができる。
また、本発明に係る安全制御システムの第一のプロセッサユニットは、一定時間間隔で内部割込み信号を発生させる第一のタイマ手段と、該内部割込み信号によってメモリ診断処理を実行すると共に安全処理用のメモリ領域について誤り検出符合を生成し、当該誤り検出符合の生成後、第二のプロセッサユニットに対して外部割込み信号を発生すると共に該誤り検出符号を送信する第一のメモリ診断手段と、第二のプロセッサユニットの第二のメモリ診断手段によって発生された外部割込み信号によって起動し、第二のメモリ診断手段から送信された誤り検出符号と第一のメモリ診断手段によって生成された誤り検出符号を比較し、両符号が一致していない場合はエラー処理を実行する第一の安全管理手段と、を備え、第二のプロセッサユニットは、設定時間経過後に内部割込み信号を発生させた後に再起動する第二のタイマ手段と、該内部割込み信号によってメモリ診断処理を実行すると共に安全処理用のメモリ領域について誤り検出符合を生成し、当該誤り検出符合の生成後、第一のプロセッサユニットに対して外部割込み信号を発生すると共に該誤り検出符号を送信する第二のメモリ診断手段と、第一のプロセッサユニットの第一のメモリ診断手段によって発生された外部割込み信号によって起動し、該起動のタイミングに基づいて第二のタイマ手段の設定時間を調整する一方、第一のメモリ診断手段から送信された誤り検出符号と第二のメモリ診断手段によって生成された誤り検出符号を比較し、両符号が一致していない場合はエラー処理を実行する第二の安全管理手段と、を備えたことを特徴とする。
安全機能の一つであるメモリ診断機能は、同じタイミングで誤り検出符合を生成して転送し合うことが必要であるが、誤り検出符号生成のタイミングを発生するタイマ手段については、第一のプロセッサユニットからの誤り検出符号の送信タイミングで第二のタイマの設定時間を調整することにより、第二のタイマ手段を第一のタイマ手段に同期させるようにする。これにより、両プロセッサユニットのメモリ診断処理のタイミングのずれが蓄積されていくことを防止することができる。
また、本発明に係る安全制御システムの第一のメモリ診断手段は、送信ごとに順にインクリメントされる送信番号とともに誤り検出符号を送信し、第二のメモリ診断手段は、第一のメモリ手段から送られてきた最新の送信番号をインクリメントした値を送信番号として、該送信番号を誤り検出符号とともに送信し、第一の安全管理手段と第二の安全管理手段は、それぞれ送信番号も含めて比較し、送信番号と誤り検出符号のいずれか一方でも一致していない場合はエラー処理を実行することを特徴とする。
本発明では、両プロセッサユニット間で万一メモリ診断処理のタイミングにずれが生じた場合に、ずれが生じたこと、すなわち同期外れの状態にあることを検知してエラー処理を実行する。
本発明によれば、プロセッサユニット数を削減して、低コスト化と省スペース化を実現するとともに、二重化構成による安全機能間の同期を確実に維持することができる。また、故障等により万一安全機能間で同期外れが発生した場合には、これを検知してエラー処理を実行するので、信頼性の高い安全制御システムを構築することができる。
本発明の実施の形態による安全制御システム1および周辺装置の構成図である。 図1のプロセッサユニット11,12の機能ブロック図である。 本発明の実施の形態による安全制御システム1の動作概要の説明図である。 分離手段22の処理手順を示すフローチャートである。 図2のメモリ34、メモリ64の領域分割の説明図である。 図2のメモリ診断手段28、安全管理手段29の処理手順を示すフローチャートである。 図2のメモリ診断手段58、安全管理手段59の処理手順を示すフローチャートである。 従来の安全制御システムの一構成例である。 従来の安全制御システムの他の構成例である。
以下、図面を参照しながら本発明の実施の形態を説明する。図1は、本発明の実施の形態による安全制御システム1および周辺装置の構成図である。図9に示す従来の安全制御システム1との主な違いは、プロセッサユニット90とプロセッサユニット91との機能を統合して制御機能と安全機能の両方を有するプロセッサユニット11と、安全機能のみを有するプロセッサユニット12の構成にしたことである。各プロセッサユニット11,12や通信装置10、電力変換器60はケーブルで接続される。また、プロセッサユニット11とプロセッサユニット12との間は、データ同期手段として外部割込み信号線で接続されている。
この構成において、非安全信号は、プロセッサユニット11から電力変換器60へ出力され、安全信号は、プロセッサユニット11およびプロセッサユニット12の両方から電力変換器60へ出力される。たとえば、緊急停止の安全信号がプロセッサユニット11とプロセッサユニット12の少なくともいずれか一方から出力された場合は、電力変換器60は緊急停止を行う。したがって、プロセッサユニット11とプロセッサユニット12によって、制御系は一重化、安全系は二重化の構成を実現している。
図2は、プロセッサユニット11,12の機能ブロック図である。プロセッサユニット11は、演算処理を実行するCPU21、データを記憶するメモリ34、通信装置10とデータの送受信を行う送受信回路35、電力変換器60との間でそれぞれ安全信号、制御信号の受け渡しを行うI/F(インタフェース)回路36,37、割込み要求の出力を一定時間保持するラッチ回路38,39、およびプロセッサユニット12との間でデータの送受信を行う送受信回路40を備えている。
また、CPU21の機能として、通信装置10から受信したデータを分離する分離手段22、安全データを受信した場合は、外部割込みと内部割込みを発生させ、安全データをプロセッサユニット12へ転送する安全データ転送手段26、安全データに基づいて安全処理を実行する安全データ実行手段27、外部コントローラ2からの制御データに基づいて電力変換器60へ出力すべき制御信号を生成する制御指令生成手段24、安全処理や制御処理の結果から外部コントローラ2へ送信すべき通信データを生成する結合手段23、レジスタ等の設定値保持手段(以下、「設定値」という。)31に保持されている設定値に基づいて時間を計測して一定周期で割込み要求(内部割込み)を出力するタイマ手段30、タイマ手段30からの割込み要求によって起動されメモリ領域の診断を行うメモリ診断手段28、およびメモリ診断手段28による診断結果等に基づいて異常の有無を監視し、異常検出時は予め定められたフェイルセーフ処理を実行する安全管理手段29を備えている。
プロセッサユニット12は、演算処理を実行するCPU51、データを記憶するメモリ64、電力変換器60との間でそれぞれ安全信号の受け渡しを行うI/F回路66、割込み要求の出力を一定時間保持するラッチ回路69、およびプロセッサユニット11との間でデータの送受信を行う送受信回路70を備えている。なお、送受信回路40と送受信回路70との間は物理的にはシリアル通信によって接続する。図2において、回路40,70間の破線は、論理的接続を意味している。
また、CPU51の機能として、プロセッサユニット11から送られてきた安全データに基づいて安全処理を実行する安全データ実行手段27、設定値81に基づいて時間を計測して割込み要求(内部割込み)を出力するタイマ手段80、タイマ手段80からの割込み要求によって起動されメモリ領域の診断を行うメモリ診断手段58、およびメモリ診断手段58による診断結果等に基づいて異常の有無を監視し、異常検出時は予め定められたフェイルセーフ処理を実行する安全管理手段59を備えている。
上記の構成を有する安全制御システム1の動作概要を説明する。
図3において、安全制御システム1は通信データを受信すると、まず、CPU21の分離手段22は、通信装置10から受け取った通信データを安全データと制御データに分離する(S1)。そして、通信データが制御データであった場合は、制御指令生成手段24により制御データ処理を行い、電力変換器60へ制御信号を出力して(S2)、処理は終了する。一方、ステップS1で通信データが安全データであった場合は、CPU21の安全データ転送手段26は、CPU51へ安全データを転送する一方、安全データ実行手段27は、その安全データに基づいて安全処理を実行する(S3)。同時に、安全データにより設定された周期でメモリ診断処理なども実行する。CPU51は、CPU21から安全データを受け取ると、その安全データに基づいて安全処理を実行する(S4)。プロセッサ21ならびにプロセッサ51による安全データの処理結果は、データ同期手段によってプロセッサ21にまとめられ、結合手段23の処理によって、安全データは通信データに変換され、通信装置10を介して外部コントローラ2へ通信データが送信される(S5)。
以下、安全制御システム1の動作を詳述する。
(受信データ分離処理)
図4に分離手段22の処理手順を示す。通信装置10を介して送られてきた通信データは、送受信回路35を介して受信され、CPU21の分離手段22によって受信される(S101)。次に、分離手段22は、通信データが安全データであるか制御データであるかを判定する(S102)。この判定は、通信データの中に安全データか制御データかを判別するためのデータ(データ種別)を定義しておき、そのデータ種別により判定する。判定の結果、安全データであれば安全処理用の内部割込をセットする(S103)。制御データであれば、制御処理用の内部割込をセットする(S104)。
なお、通信データが、安全データおよび制御データの両方を含む場合、安全データと制御データを分離すると共に、安全処理用の内部割込みと制御処理用の内部割込みの両方をセットする。内部割込みは、CPUの特定のプログラムを起動するための割込みである。この内部割込を用いることで、制御データと安全データが同時に受信された場合や、その他の処理が行われる場合でも、予め決定したプログラムの優先度に応じて順番に処理されることとなり、安全通信処理と緊急性の高いその他の処理を効率よく処理することができる。また、制御データ処理とは異なる割込要因で処理することにより、安全データ処理の独立性が確保できる。
(制御指令生成処理)
制御指令生成手段24は、分離手段22で発生された内部割込をトリガに起動して、速度指令等の制御データを制御信号として電力変換器60へ出力する。また、電力変換器60から取得された現在速度などの制御応答信号を後述する結合手段23へ送る。
(安全データ転送処理)
安全データ転送手段26は、分離手段22で発生された内部割込をトリガに起動し、プロセッサユニット12のCPU51に外部割込み要求を出力する。この要求は、予め割り付けられた特定のアドレスへの書き込み動作によって出力される。具体的には書き込み信号がラッチ回路38に入力されると、ラッチ回路38は割込みがアクティブ(有効)になるように一定時間パルス信号を出力する。このパルス信号は、外部割込み信号としてCPU51に入力され、CPU51の安全データ実行手段57が起動される。
安全データ転送手段26は、同時に送受信回路40を介して安全データをプロセッサユニット12へ送信する。プロセッサユニット11から送信された安全データは、プロセッサユニット12の送受信回路70で受信され、CPU51の安全データ実行手段57に渡される。
安全データ転送手段26は、さらに、内部割込みをセットして、安全データ実行手段27を起動する。
(安全データ実行処理)
プロセッサユニット11の安全データ実行手段27は、安全データ転送手段26によってセットされた内部割込みによって起動すると、安全データから安全処理に必要な安全信号を生成し、I/F回路36を介して電力変換器60へ出力する。この処理結果は、結合手段23に渡される。
一方、プロセッサユニット12の安全データ実行手段57は、ラッチ回路38から出力される外部割込み信号によって起動すると、安全データ転送手段26から送られてくる安全データを受信し、この安全データから安全処理に必要な安全信号を生成し、I/F回路66を介して電力変換器60へ出力する。この処理結果は、プロセッサユニット11の結合手段23に送られる
以上、分離手段22、安全データ転送手段26による外部および内部の割込み信号の発生および安全データの転送、さらに両プロセッサユニット11,12の安全データ実行手段27,57の処理動作によって、プロセッサユニット11,12の間で安全データの同期処理が実現する。
(データの結合処理)
結合手段23の処理は、安全データ実行手段27およびプロセッサユニット12の安全データ実行手段57で取得された安全データの処理結果から通信データを生成して、通信装置10を経由して外部コントローラ2へ送信する。結合手段23は、また、制御指令生成手段24から渡される制御応答信号をもとに通信データを生成して外部コントローラ2へ送信する。
(メモリ診断の同期処理)
安全処理の中でも、定周期に実行されるメモリ診断処理の同期をとることが重要である。以下、この手順について説明する。なお、定周期処理では、CPU内のメモリ診断の他に、電力変換器60の出力電圧チェックや電動機4の速度監視等の安全モニタリング処理があるが、これらはメモリ診断の前後に実行すれば良いので、以下、プロセッサユニット11,12間でのメモリ診断の同期のとり方について説明する。
CPU21並びにCPU51に接続もしくは内蔵されているメモリの構成を図5に示す。プロセッサユニット11のメモリ34は、非安全関連(制御関連)メモリ領域と、安全関連メモリ領域と、その他の領域に予め区分けされている。この区分けは、リンカなどのツールを用いて行うことができる。このように区分けをすることにより、制御データ処理でのプログラムミスによって、メモリ書き換えが発生した場合でも、安全データ処理のメモリに直接影響を与えることがない。また、万一メモリ空間を越えて書き換えが発生するなどの異常が発生した場合でも、プロセッサユニット12では同様の安全データ処理を実行し、相互監視を行っているため異常を検出することが可能で、安全性を確保することができる。
プロセッサユニット12は、安全関連メモリ領域とその他の領域に区分けされている。プロセッサユニット11とプロセッサユニット12は、安全処理については上述したように同期をとって実行しているため、安全関連メモリ領域は、常に同一のデータとなるよう制御されている。したがって、この安全関連メモリ領域のメモリ診断(例えばリードライトチェック)やメモリ領域から生成した誤り符号を互いのCPUで同期して不一致が無いか一定の周期でチェックを行うものである。
また、電力変換器60や電動機4についても温度・電圧・仕様外の何らかの異常が存在しないか定周期間隔で監視を行い、異常発生時は予め定義された安全動作を行うようにする。安全動作は、たとえば電力変換器60内の電力線のゲート遮断や電動機4などの負荷を一定値で減速する安全減速停止、安全速度制限などである。
誤り検出符合の処理としては、例えば、5msの一定周期で安全関連メモリ領域の誤り検出符号(例えばCRC)を計算して、その計算結果を相互に送信し合うというものである。
このメモリ診断処理の手順の概要は、タイマ手段30,80による内部割込みにより、両プロセッサユニット11,12のメモリ診断手段28,58を起動して、上述した一定の定周期処理の後、誤り検出符号を計算して、相互に送信する。そして、安全管理手段29,59によって、両プロセッサユニット11,12の、誤り検出符号を照合して一致しているか否かを判定するというものである。
以下、図6、図7を用いて各プロセッサユニット11,12ごとにメモリ診断処理の手順を詳述する。
(プロセッサユニット11のメモリ診断処理)
プロセッサユニット11のメモリ診断手段28は、タイマ手段30の設定値31の時間経過による内部割込みによって起動する。そして、タイマ手段30を再起動し(S201)、安全モニタリング処理(電力変換器60の出力電圧チェックなど)を実行した後に(S202)、メモリ診断処理を実行する(S203)。そして、安全関連領域について誤り検出符号を生成して(S204)、メモリ34の予め決められた所定領域に保存する。その後、外部割込みを出力すると共に、プロセッサユニット12へ向けて生成した誤り検出符号を送信する(S205)。
プロセッサユニット11の安全管理手段29は、プロセッサユニット12のメモリ診断手段58からの外部割込みによって起動すると、メモリ診断手段58から送られてくる誤り検出符号を抽出すると共に、メモリ34に保存されている自身の誤り検出符号を抽出して(S301)、ログをとる一方、両者が一致しているか否かを判定する(S302,S303)。その結果一致していなければ(S303で「NO」)、予め定められたフェイルセーフ処理を実行する(S304)。
(プロセッサユニット12のメモリ診断処理)
プロセッサユニット12のメモリ診断手段58は、タイマ手段80の設定値81の時間経過による内部割込みによって起動する。そして、安全モニタリング処理を実行した後に(S401)、メモリ診断処理を実行する(S402)。そして、安全関連領域について誤り検出符号を生成してメモリ64の所定領域に保存する(S403)。その後、外部割込みを出力すると共に、プロセッサユニット11へ向けて生成した誤り検出符号を送信する(S404)。
プロセッサユニット12の安全管理手段59は、プロセッサユニット11のメモリ診断手段28からの外部割込みによって起動すると、設定値81の調整を行って(S501)、タイマ手段80を再起動する(S502)。設定値81の調整のしかたは、メモリ診断手段58による外部割込み信号出力タイミングと、メモリ診断手段28からの外部割込みのタイミングの時間差を計測し、メモリ診断手段28からの外部割込みのタイミングの方が一定値以上遅くなれば、設定値81を予め定められた値だけ加算する。これにより、次回のメモリ診断手段58の起動タイミングが遅くなる。一方、メモリ診断手段28からの外部割込みのタイミングの方が一定値以上早くなれば、設定値81を予め定められた値だけ減算する。これにより、次回のメモリ診断手段58の起動タイミングが早くなる。
次に、メモリ診断手段28から送られてくる誤り符号を抽出すると共に、メモリ64に保存されている自身の誤り検出符号を抽出して(S503)、ログをとる一方、両者が一致しているか否かを判定する(S504,S505)。その結果一致していなければ(S505で「NO」)、予め定められたフェイルセーフ処理を実行する(S506)。
なお、上記の図6、図7の処理では、誤り検出符号を互いに送信し合うようにしたが、このとき、送信ごとに順にインクリメントされる送信番号とともに誤り検出符号を送信するようにしても良い。そして、それぞれ送信番号も含めて誤り検出符号を比較し、送信番号と誤り検出符号のいずれか一方でも一致していない場合はエラー処理を実行する。これにより、故障等によって同期外れの状態にあることを迅速に検知することができる。
以上、本実施の形態によれば、二重化構成による安全機能間の同期を維持しつつ、プロセッサユニット数を削減することができる。特に、安全機能のみを実装するプロセッサユニット12のタイマ手段80を上記の処理によってプロセッサユニット11のタイマ手段30のタイミングに追従させるようにしたので、両プロセッサユニット11,12を精度よく同期させることができる。また、故障等により万一安全機能間で同期外れが発生した場合には、これを検知してエラー処理を実行するので、信頼性の高い安全制御システムを構築することができる。
1 安全制御システム
2 外部コントローラ
3 ネットワーク
4 電動機
10,10a,10b 通信装置
11,12 プロセッサユニット
21,51 CPU(プロセッサ)
22 分離手段
23 結合手段
24 制御指令生成手段
26 安全データ転送手段
27,57 安全データ実行手段
28,58 メモリ診断手段
29,59 安全管理手段
30,80 タイマ手段
31,81 設定値
34,64 メモリ
35,40,70 送受信回路
36,37,66 I/F回路
38,39,69 ラッチ回路
40 送受信回路
60 電力変換器
64 メモリ
90,91,92 従来のプロセッサユニット
99 従来の安全制御システム

Claims (3)

  1. ネットワークを介して外部コントローラと通信データの送受信を行う通信装置と、該通信装置を経由して前記外部コントローラから送られてくる通信データを受信し、該通信データに基づいて電力変換器へ制御信号を出力する制御機能と、該通信データに基づいて前記電力変換器への停止指令の出力その他の安全機能と、を実行する第一のプロセッサユニットと、前記安全機能のみを実行する第二のプロセッサユニットを有する安全制御システムであって、
    前記第一のプロセッサユニットは、
    通信データが非安全データを含む場合は、該非安全データをもとに制御指令を生成して前記電力変換器へ出力する制御指令生成手段と、
    通信データが安全データを含む場合は、前記第二のプロセッサユニットに対する割込み信号である外部割込み信号と、プロセッサ内部の割込み信号である内部割込み信号を発生すると共に、安全データを前記第二のプロセッサユニットへ転送する安全データ転送手段と、
    前記内部割込み信号によって、前記安全データに基づく安全処理を実行する安全データ実行手段と、
    前記第二のプロセッサユニットによって実行された安全処理の結果を受信し、該受信データと前記安全データ実行手段による実行結果をもとに前記通信コントローラへ送信すべき通信データを生成する結合手段と、
    を備え、
    前記第二のプロセッサユニットは、
    前記外部割込み信号によって起動し、前記第一のプロセッサユニットから転送された安全データをもとに安全処理を実行し、該安全処理の結果を前記第一のプロセッサユニットへ送信する安全データ実行手段を備えたことを特徴とする安全制御システム。
  2. 前記第一のプロセッサユニットは、一定時間間隔で内部割込み信号を発生させる第一のタイマ手段と、該内部割込み信号によってメモリ診断処理を実行すると共に安全処理用のメモリ領域について誤り検出符合を生成し、当該誤り検出符合の生成後、前記第二のプロセッサユニットに対して外部割込み信号を発生すると共に該誤り検出符号を送信する第一のメモリ診断手段と、前記第二のプロセッサユニットの前記第二のメモリ診断手段によって発生された外部割込み信号によって起動し、前記第二のメモリ診断手段から送信された誤り検出符号と前記第一のメモリ診断手段によって生成された誤り検出符号を比較し、両符号が一致していない場合はエラー処理を実行する第一の安全管理手段と、を備え、
    前記第二のプロセッサユニットは、設定時間経過後に内部割込み信号を発生させた後に再起動する第二のタイマ手段と、該内部割込み信号によってメモリ診断処理を実行すると共に安全処理用のメモリ領域について誤り検出符合を生成し、当該誤り検出符合の生成後、前記第一のプロセッサユニットに対して外部割込み信号を発生すると共に該誤り検出符号を送信する第二のメモリ診断手段と、前記第一のプロセッサユニットの前記第一のメモリ診断手段によって発生された外部割込み信号によって起動し、該起動のタイミングに基づいて前記第二のタイマ手段の設定時間を調整する一方、前記第一のメモリ診断手段から送信された誤り検出符号と前記第二のメモリ診断手段によって生成された誤り検出符号を比較し、両符号が一致していない場合はエラー処理を実行する第二の安全管理手段と、
    を備えたことを特徴とする請求項1に記載の安全制御システム。
  3. 前記第一のメモリ診断手段は、送信ごとに順にインクリメントされる送信番号とともに誤り検出符号を送信し、
    前記第二のメモリ診断手段は、前記第一のメモリ手段から送られてきた最新の送信番号をインクリメントした値を送信番号として、該送信番号を誤り検出符号とともに送信し、
    前記第一の安全管理手段と前記第二の安全管理手段は、それぞれ送信番号も含めて比較し、送信番号と誤り検出符号のいずれか一方でも一致していない場合はエラー処理を実行することを特徴とする請求項1または請求項2に記載の安全制御システム。
JP2010130533A 2010-06-07 2010-06-07 安全制御システム Expired - Fee Related JP5494255B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2010130533A JP5494255B2 (ja) 2010-06-07 2010-06-07 安全制御システム
EP11168248.0A EP2413484B1 (en) 2010-06-07 2011-05-31 Safety control system
CN2011101604429A CN102269970B (zh) 2010-06-07 2011-06-07 安全控制系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010130533A JP5494255B2 (ja) 2010-06-07 2010-06-07 安全制御システム

Publications (2)

Publication Number Publication Date
JP2011257889A JP2011257889A (ja) 2011-12-22
JP5494255B2 true JP5494255B2 (ja) 2014-05-14

Family

ID=45052301

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010130533A Expired - Fee Related JP5494255B2 (ja) 2010-06-07 2010-06-07 安全制御システム

Country Status (3)

Country Link
EP (1) EP2413484B1 (ja)
JP (1) JP5494255B2 (ja)
CN (1) CN102269970B (ja)

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5830952B2 (ja) * 2011-06-16 2015-12-09 富士電機株式会社 インバータ装置
JP5949003B2 (ja) * 2012-03-15 2016-07-06 富士電機株式会社 ゲートウェイ、システム及び方法
KR101688749B1 (ko) 2012-07-17 2016-12-21 미쓰비시덴키 가부시키가이샤 제어 장치 및 제어 방법
JP6007677B2 (ja) * 2012-08-30 2016-10-12 富士電機株式会社 安全制御システム、及び安全制御システムのプロセッサ
CN103676640B (zh) * 2012-09-03 2016-12-28 上海航天测控通信研究所 应用于交会对接的数据通信装置
WO2014041596A1 (ja) * 2012-09-11 2014-03-20 三菱電機株式会社 安全コントローラ
JP5762642B2 (ja) * 2012-09-11 2015-08-12 三菱電機株式会社 安全演算装置、安全入力装置、安全出力装置および安全コントローラ
JP2014225110A (ja) * 2013-05-16 2014-12-04 三菱電機株式会社 安全コントローラ
JP5862614B2 (ja) * 2013-07-11 2016-02-16 横河電機株式会社 フィールド機器及びデータ処理方法
CN103354495B (zh) * 2013-07-30 2016-12-28 东莞宇龙通信科技有限公司 终端和数据处理方法
CN103391191A (zh) * 2013-07-30 2013-11-13 东莞宇龙通信科技有限公司 终端和数据处理方法
CN103391371A (zh) * 2013-07-30 2013-11-13 东莞宇龙通信科技有限公司 终端和数据处理方法
CN103391189A (zh) * 2013-07-30 2013-11-13 东莞宇龙通信科技有限公司 终端和数据处理方法
WO2016002416A1 (ja) * 2014-07-04 2016-01-07 富士電機株式会社 電力変換装置
JP5902778B1 (ja) * 2014-09-03 2016-04-13 ファナック株式会社 周辺機器を安全に制御する機能を有する工作機械
EP3112964B1 (en) * 2015-07-01 2019-03-27 Abb Ag A method and system for safety-relevant input to a control system
DE102016102282B4 (de) * 2016-02-10 2024-01-04 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zum Überwachen einer Datenverarbeitung und -übertragung in einer Sicherheitskette eines Sicherheitssystems
DE102016207020A1 (de) * 2016-04-26 2017-10-26 Robert Bosch Gmbh Sicherungssystem für mindestens einen Verbraucher eines Fahrzeugs
DE102018120344A1 (de) * 2018-08-21 2020-02-27 Pilz Gmbh & Co. Kg Automatisierungssystem zur Überwachung eines sicherheitskritischen Prozesses
CN109412468A (zh) * 2018-09-10 2019-03-01 上海辛格林纳新时达电机有限公司 基于安全转矩关断的系统和控制方法
JP7115351B2 (ja) * 2019-02-13 2022-08-09 オムロン株式会社 制御装置
CN110361979B (zh) * 2019-07-19 2022-08-16 北京交大思诺科技股份有限公司 一种铁路信号领域的安全计算机平台
JP7459915B1 (ja) 2022-10-27 2024-04-02 Smc株式会社 安全モジュールおよびモジュール連結体

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003047172A (ja) * 2001-08-02 2003-02-14 Toshiba Corp データ記録装置
DE10144050A1 (de) * 2001-09-07 2003-03-27 Bosch Gmbh Robert Verfahren zur Softwareverifikation für Steuereinheiten und Verifikationssystem
DE10261453B4 (de) * 2002-12-31 2010-04-15 Danfoss Drives A/S Motorsteuerung
US7213168B2 (en) * 2003-09-16 2007-05-01 Rockwell Automation Technologies, Inc. Safety controller providing for execution of standard and safety control programs
JP4080980B2 (ja) * 2003-09-26 2008-04-23 三菱電機株式会社 電子制御装置
US7426656B2 (en) * 2004-03-30 2008-09-16 Hewlett-Packard Development Company, L.P. Method and system executing user programs on non-deterministic processors
US20060047800A1 (en) * 2004-08-24 2006-03-02 Panduit Corporation Systems and methods for network management
US7069109B2 (en) * 2004-11-09 2006-06-27 E.G.O. North America, Inc. Systems and methods of using multiple microcontrollers for fail-safe control and enhanced feature operation of an appliance
JP2006178730A (ja) 2004-12-22 2006-07-06 Yaskawa Electric Corp 安全信号i/f装置およびその二重化信号入力処理方法
JP3918950B2 (ja) 2005-04-19 2007-05-23 オムロン株式会社 セーフティデバイス
JP3978617B2 (ja) * 2005-04-19 2007-09-19 オムロン株式会社 安全ユニットの入力装置
US7933966B2 (en) * 2005-04-26 2011-04-26 Hewlett-Packard Development Company, L.P. Method and system of copying a memory area between processor elements for lock-step execution
JP2008009795A (ja) * 2006-06-30 2008-01-17 Hitachi Ltd 診断装置,回線診断方法及び回線診断プログラム
DE102007008168A1 (de) * 2007-02-19 2008-08-28 Siemens Ag Schaltungsvorrichtung und entsprechendes Verfahren zum Ansteuern einer Last
JP5446447B2 (ja) * 2009-05-19 2014-03-19 トヨタ自動車株式会社 安全制御装置および安全制御方法

Also Published As

Publication number Publication date
CN102269970B (zh) 2013-09-25
EP2413484B1 (en) 2018-04-18
EP2413484A2 (en) 2012-02-01
CN102269970A (zh) 2011-12-07
JP2011257889A (ja) 2011-12-22
EP2413484A3 (en) 2017-03-29

Similar Documents

Publication Publication Date Title
JP5494255B2 (ja) 安全制御システム
CN103377083B (zh) 用于运行冗余的自动化系统的方法
EP3045987B1 (en) Control device and control method
US7120820B2 (en) Redundant control system and control computer and peripheral unit for a control system of this type
US9170569B2 (en) Method for electing an active master device from two redundant master devices
JPH04293338A (ja) 通信システム
US10162314B2 (en) Two-way architecture
US9783138B2 (en) Vehicle control device
US20090290485A1 (en) Distributed communication system and corresponding communication method
CN111103824A (zh) 用于控制安全关键和非安全关键过程的控制系统
US10986556B2 (en) Circuit for monitoring a data processing system
JP2019128638A (ja) 二重化制御システム
JP2006209624A (ja) 二重化情報処理システム
JP2008009794A (ja) プログラマブル電子制御装置及びプログラマブル電子装置の通信制御方法
CN104750087A (zh) 一种诊断外部时钟源的系统及方法
JP2008054028A (ja) 制御情報伝送システム
JP2009259134A (ja) 安全plc
JP5560915B2 (ja) 安全制御システム
JP6274436B2 (ja) 二重化制御システム
JP5604799B2 (ja) フォールトトレラントコンピュータ
JP2006287415A (ja) シリアルバスシステムにおける異常検出方法およびその装置
JP4788469B2 (ja) Cpu二重化システム
JP5380884B2 (ja) データ処理装置及び同期方法
JP2020067685A (ja) コンピュータシステム
JP2006287684A (ja) データ伝送装置およびデータ伝送方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130514

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140204

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140217

R150 Certificate of patent or registration of utility model

Ref document number: 5494255

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees