JP6288609B2 - 二重化制御装置 - Google Patents

二重化制御装置 Download PDF

Info

Publication number
JP6288609B2
JP6288609B2 JP2015233594A JP2015233594A JP6288609B2 JP 6288609 B2 JP6288609 B2 JP 6288609B2 JP 2015233594 A JP2015233594 A JP 2015233594A JP 2015233594 A JP2015233594 A JP 2015233594A JP 6288609 B2 JP6288609 B2 JP 6288609B2
Authority
JP
Japan
Prior art keywords
signal
unit
service
current output
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015233594A
Other languages
English (en)
Other versions
JP2017102569A (ja
Inventor
郁知 渡邉
郁知 渡邉
幸雄 馬庭
幸雄 馬庭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yokogawa Electric Corp
Original Assignee
Yokogawa Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yokogawa Electric Corp filed Critical Yokogawa Electric Corp
Priority to JP2015233594A priority Critical patent/JP6288609B2/ja
Priority to US15/346,084 priority patent/US10574514B2/en
Publication of JP2017102569A publication Critical patent/JP2017102569A/ja
Application granted granted Critical
Publication of JP6288609B2 publication Critical patent/JP6288609B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0654Management of faults, events, alarms or notifications using network fault recovery
    • H04L41/0659Management of faults, events, alarms or notifications using network fault recovery by isolating or reconfiguring faulty entities
    • H04L41/0661Management of faults, events, alarms or notifications using network fault recovery by isolating or reconfiguring faulty entities by reconfiguring faulty entities
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • G05B23/0224Process history based detection method, e.g. whereby history implies the availability of large amounts of data
    • G05B23/0227Qualitative history assessment, whereby the type of data acted upon, e.g. waveforms, images or patterns, is not relevant, e.g. rule based assessment; if-then decisions
    • G05B23/0237Qualitative history assessment, whereby the type of data acted upon, e.g. waveforms, images or patterns, is not relevant, e.g. rule based assessment; if-then decisions based on parallel systems, e.g. comparing signals produced at the same time by same type systems and detect faulty ones by noticing differences among their responses
    • HELECTRICITY
    • H03ELECTRONIC CIRCUITRY
    • H03KPULSE TECHNIQUE
    • H03K17/00Electronic switching or gating, i.e. not by contact-making and –breaking
    • H03K17/51Electronic switching or gating, i.e. not by contact-making and –breaking characterised by the components used
    • H03K17/56Electronic switching or gating, i.e. not by contact-making and –breaking characterised by the components used by the use, as active elements, of semiconductor devices
    • H03K17/567Circuits characterised by the use of more than one type of semiconductor device, e.g. BIMOS, composite devices such as IGBT
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)

Description

本発明は、二重化制御装置に関し、特に切換部の固着故障を検出可能な二重化制御装置に関する。
装置の信頼性を高める手法の一つとして二重化方式がある。二重化されたシステムにおいては、どちらか一方の系統をサービス側にして実作業に従事させ、他系統はスタンバイ側にしておき、サービス側の故障を発見したときに実作業の受け持ちをスタンバイ側に切り替える。
図6は、操作量MV(Manipulated Value)に応じた4−20mAの電流を出力する電流出力部を二重化した従来の二重化システム300の構成例を示している。本例では、電流出力部A310aと電流出力部B310bとで二重化している。電流出力部A310aと電流出力部B310bとは、同じ構成であり、同じ操作量MVが入力される。このため、電流出力部B310bは記載を簡略化している。
二重化システム300では、電流出力部A310aの動作を監視する二重化制御部A320aと、電流出力部B310bの動作を監視する二重化制御部B320bとが設けられている。二重化制御部A320a、二重化制御部B320bとも二重化システム300の制御を行なう上位システムに接続されている。
二重化制御部A320aは、電流出力部A310aの動作を監視し、電流出力部A310aが正常であれば制御権を要求するReqA信号をHにし、異常が検出されればReqA信号をLにする。二重化制御部B320bは、電流出力部B310bの動作を監視し、電流出力部B310bが正常であれば制御権を要求するReqB信号をHにし、異常が検出されればReqB信号をLにする。
二重化システム300は、電流出力部A310a、電流出力部B310bのいずれか一方をサービス側とし、他方をスタンバイ側に切り替える切替部330を備えている。切替部330は、ReqA信号とReqB信号を入力し、電流出力部A310aにServiceA信号を出力し、電流出力部B310bにServiceB信号を出力する。
切替部330は、SR型のラッチ回路で構成することができ、本図の例ではNANDゲートG1とNANDゲートG2とから構成される負論理SR型ラッチ回路で構成されている。すなわち、NANDゲートG1が、Req信号AとNANDゲートG2の出力であるServiceB信号とを入力して、ServiceA信号を出力し、NANDゲートG2が、Req信号BとNANDゲートG1の出力であるServiceA信号とを入力して、ServiceB信号を出力する。
ここで、NANDゲートG1が出力するServiceA信号をNANDゲートG2にフィードバックする経路をfbAと称し、NANDゲートG2が出力するServiceB信号をNANDゲートG1にフィードバックする経路をfbBと称するものとする。
電流出力部A310aは、ServiceA信号がLのとき、トランジスタTr1がオフとなるため、操作量MVに応じた4−20mAの電流を出力するサービス側として機能し、ServiceA信号がHのとき、トランジスタTr1がオンとなるため、電流を出力せずにスタンバイ側として機能する。電流出力部B310bは、ServiceB信号がLのときサービス側として機能し、ServiceB信号がHのときスタンバイ側として機能する。
電流出力部A310a、電流出力部B310bとも正常な状態で、上位システムの制御により、二重化制御部A320a、二重化制御部B320bのいずれかが先に制御権を要求する。ここでは、二重化制御部A320aが先に制御権を要求するものとし、ReqA信号がH、ReqB信号がLとなる。
これにより、ServiceA信号がL、ServiceB信号がHで安定し、電流出力部A310aがサービス側となり、電流出力部B310bがスタンバイ側となる。
その後、二重化制御部B320bが制御権を要求して、ReqA信号、ReqB信号ともHとなる。この状態では、切替部330の出力状態は保持されるため、電流出力部A310aがサービス側で、電流出力部B310bがスタンバイ側のままとなる。
二重化システム300の稼働中に、サービス側である二重化制御部A320aが電流出力部A310aの異常を検出すると、制御権を放棄してReqA信号をLにする。これにより、ServiceA信号がH、ServiceB信号がLに反転し、電流出力部B310bがサービス側となり、電流出力部A310aがスタンバイ側となって、サービスを停止することなく二重化システム300の稼働を継続することができる。
また、二重化制御部A320aは、電流出力部A310aの異常を上位システムに通知する。これにより、電流出力部B310bがサービス側となっている間に、電流出力部A310aを修理・交換して、再度制御権を要求することができる。このため、その後、電流出力部B310bの異常が検出された場合でも即座に電流出力部A310aがサービス側に移行することができ、サービスを停止することなく二重化システム300の稼働を継続することができる。
一方、スタンバイ側である二重化制御部B320bが電流出力部B310bの異常を検出すると、ReqB信号をLにする。この状態では、切替部330の出力状態は保持されるため、電流出力部A310aがサービス側として動作し続ける。
また、二重化制御部B320bは、電流出力部B310bの異常を上位システムに通知する。これにより、電流出力部A310aがサービス側となっている間に、電流出力部B310bを修理・交換して、再度制御権を要求することができる。このため、その後、電流出力部A310aの異常が検出された場合でも即座に電流出力部B310bがサービス側に移行することができ、サービスを停止することなく二重化システム300の稼働を継続することができる。
特開2000−222001号公報
二重化されたそれぞれの電流出力部310については、二重化制御部320が監視しているため、いずれか一方に異常が発生しても即座に検出されて対応を行なうことができ、二重化システム300の連続稼働に影響を与えることはない。
しかしながら、通常状態では伝送信号が変化しない切替部330は監視対象になっていないため、仮に、切替部330のフィードバック経路に伝送信号がHまたはLに固着する固着故障が発生すると、サービス側の電流出力部310に異常が発生し、サービス側とスタンバイ側との切り替えを実行するまで問題が表面化されない。
例えば、電流出力部A310aがサービス側として稼働中に、フィードバック経路fbAが固着故障を起こしたとする。この状態で、サービス側である電流出力部A310aの異常が検出され、二重化制御部A320aが制御権を放棄して、ServiceA信号をHに切り替えたとしても、この信号がNANDゲートG2に伝わらないため、電流出力部B310bはサービス側に移行することができない。このため、二重化システム300の稼働が停止してしまう。
このように、切替部330のフィードバック経路に固着故障が発生した状態で放置されると、サービス側の異常に対応した必要な切り替えが正常に行なわれず、二重化システム300の稼働率に大きな影響を与えるおそれがある。
そこで、本発明は、二重化システムの切替部における固着故障を検出できるようにすることを目的とする。
このような課題を達成するため、本発明によれば、制御権を要求する第1リクエスト信号を出力する第1二重化制御部と、制御権を要求する第2リクエスト信号を出力する第2二重化制御部と、前記第1リクエスト信号および前記第2リクエスト信号を入力し、第1サービス信号および第2サービス信号を出力する切替部と、を備えた、二重化制御装置であって、前記切替部は、前記第1リクエスト信号と前記第2サービス信号に基づく信号とを入力し、前記第1サービス信号を出力する第1ゲートと、前記第2リクエスト信号と前記第1サービス信号に基づく信号とを入力し、前記第2サービス信号を出力する第2ゲートと、前記第1サービス信号に固着故障検出用データを付加して出力する第1送信部と、前記第1送信部の出力データを入力し、前記固着故障検出用データに基づいて、固着故障を検出するとともに、固着故障を検出しない場合は、前記第1サービス信号を抽出して前記第2ゲートに出力し、固着故障を検出した場合は、前記第1サービス信号の状態をスタンバイ側として前記第2ゲートに出力する第2受信部と、前記第2サービス信号に固着故障検出用データを付加して出力する第2送信部と、前記第2送信部の出力データを入力し、前記固着故障検出用データに基づいて、固着故障を検出するとともに、固着故障を検出しない場合は、前記第2サービス信号を抽出して前記第1ゲートに出力し、固着故障を検出した場合は、前記第2サービス信号の状態をスタンバイ側として前記第1ゲートに出力する第1受信部と、を備えたことを特徴とする
ここで、前記第1送信部は前記第1サービス信号にパリティデータをさらに付加して出力し、前記第2受信部は、前記第1送信部の出力データを入力し、前記パリティデータに基づいて送信データの異常を検出し、前記第2送信部は前記第2サービス信号にパリティデータをさらに付加して出力し、前記第1受信部は、前記第2送信部の出力データを入力し、前記パリティデータに基づいて送信データの異常を検出することができる。
また、前記固着故障検出用データは、前記固着故障検出用データを付加して出力するデータにおいて、同じ値のビットが所定個数連続しないデータとすることができる。
本発明によれば、二重化システムの切替部における固着故障を検出できるようになる。
本実施形態に係る二重化システムの構成例を示す図である。 送信部の動作を説明するフローチャートである。 複数ビットシリアルデータのフレーム構成例を示す図である。 受信部の動作を説明するフローチャートである。 本実施形態に係る二重化システムの別例を示す図である。 従来の二重化システムの構成例を示す図である。
本発明の実施の形態について図面を参照して説明する。図1は、本実施形態に係る二重化システム100の構成例を示す図である。本実施形態では、操作量MV(Manipulated Value)に応じた4−20mAの電流を出力する電流出力部を二重化した二重化システム100を例に説明するが、本発明は、電流出力部に限られず、デジタル信号出力部や電圧出力部等、種々の機能部を二重化したシステムに適用することができる。
本図に示すように、二重化システム100は、電流出力部A110aと電流出力部B110bとで二重化している。電流出力部A110aと電流出力部B110bとは、同じ構成であり、同じ操作量MVが入力される。このため、電流出力部B110bは記載を簡略化している。
以下では、電流出力部A110a側をA系統と称し、電流出力部B110b側をB系統と称する。電流出力部A110aと電流出力部B110bとを区別する必要がない場合には電流出力部110と総称する。他の部位についても同様である。
二重化システム100では、電流出力部A110aの動作を監視する二重化制御部A120aと、電流出力部B110bの動作を監視する二重化制御部B120bとが設けられている。二重化制御部A120a、二重化制御部B120bとも二重化システム100の制御を行なう上位システムに接続されている。
二重化制御部A120aは、電流出力部A110aの動作を監視し、電流出力部A110aが正常であれば制御権を要求するReqA信号をHにし、異常が検出されればReqA信号をLにする。二重化制御部B120bは、電流出力部B110bの動作を監視し、電流出力部B110bが正常であれば制御権を要求するReqB信号をHにし、異常が検出されればReqB信号をLにする。
二重化システム100は、電流出力部A110a、電流出力部B110bのいずれか一方をサービス側とし、他方をスタンバイ側に切り替える切替部130を備えている。二重化制御部A120a、二重化制御部B120b、切替部130で二重化制御装置を構成している。切替部130は、ReqA信号とReqB信号を入力し、電流出力部A110aにServiceA信号を出力し、電流出力部B110bにServiceB信号を出力する。
切替部130は、SR型のラッチ回路を含んで構成することができ、本図の例ではA系統のNANDゲートG1とB系統のNANDゲートG2とから構成される負論理SR型ラッチ回路を含んで構成されている。なお、切替部130は、ハードウェアで構成してもよいし、ソフトウェアで構成してもよい。
すなわち、NANDゲートG1が、Req信号AとNANDゲートG2の出力であるServiceB信号とを入力して、ServiceA信号を出力し、NANDゲートG2が、Req信号BとNANDゲートG1の出力であるServiceA信号とを入力して、ServiceB信号を出力する。
ここで、NANDゲートG1が出力するServiceA信号をNANDゲートG2にフィードバックする経路をfbAと称し、NANDゲートG2が出力するServiceB信号をNANDゲートG1にフィードバックする経路をfbBと称するものとする。
後述するように、本実施形態では、経路fbAに送信部A131aと受信部B132bとを設け、経路fbBに送信部B131bと受信部A132aとを設けている。送信部A131aと受信部A132aとがA系統に属し、送信部B131bと受信部B132bとがB系統に属するものとする。
電流出力部A110aは、ServiceA信号がLのとき、トランジスタTr1がオフとなるため、操作量MVに応じた4−20mAの電流を出力するサービス側として機能し、ServiceA信号がHのとき、トランジスタTr1がオンとなるため、電流を出力せずにスタンバイ側として機能する。電流出力部B110bは、ServiceB信号がLのときサービス側として機能し、ServiceB信号がHのときスタンバイ側として機能する。
二重化システム100の基本的な動作は従来と同様である。すなわち、電流出力部A110a、電流出力部B110bとも正常な状態で、上位システムの制御により、二重化制御部A120a、二重化制御部B120bのいずれかが先に制御権を要求する。ここでは、二重化制御部A120aが先に制御権を要求するものとし、ReqA信号がH、ReqB信号がLとなる。
これにより、ServiceA信号がL、ServiceB信号がHで安定し、電流出力部A110aがサービス側となり、電流出力部B110bがスタンバイ側となる。
その後、二重化制御部B120bが制御権を要求して、ReqA信号、ReqB信号ともHとなる。この状態では、切替部130の出力状態は保持されるため、電流出力部A110aがサービス側で、電流出力部B110bがスタンバイ側のままとなる。
二重化システム100の稼働中に、サービス側である二重化制御部A120aが電流出力部A110aの異常を検出すると、制御権を放棄してReqA信号をLにする。これにより、ServiceA信号がH、ServiceB信号がLに反転し、電流出力部B110bがサービス側となり、電流出力部A110aがスタンバイ側となるため、サービスを停止することなく二重化システム100の稼働を継続することができる。
また、二重化制御部A120aは、電流出力部A110aの異常を上位システムに通知する。これにより、電流出力部B110bがサービス側となっている間に、電流出力部A110aを修理・交換して、再度制御権を要求することができる。このため、その後、電流出力部B110bの異常が検出された場合でも即座に電流出力部A110aがサービス側に移行することができ、サービスを停止することなく二重化システム100の稼働を継続することができる。
一方、スタンバイ側である二重化制御部B120bが電流出力部B110bの異常を検出すると、ReqB信号をLにする。この状態では、切替部130の出力状態は保持されるため、電流出力部A110aがサービス側として動作し続ける。
また、二重化制御部B120bは、電流出力部B110bの異常を上位システムに通知する。これにより、電流出力部A110aがサービス側となっている間に、電流出力部B110bを修理・交換して、再度制御権を要求することができる。このため、その後、電流出力部A110aの異常が検出された場合でも即座に電流出力部B110bがサービス側に移行することができ、サービスを停止することなく二重化システム100の稼働を継続することができる。
次に、切替部130の詳細について説明する。上記の動作は切替部130のフィードバック経路に固着故障が発生していないことを前提としていたが、フィードバック経路に固着故障が発生すると、必要な切り替えが行なわれず、二重化システム100の稼働を継続することができなくなる場合がある。
そこで、本実施形態では、経路fbAに送信部A131aと受信部B132bとを設け、経路fbBに送信部B131bと受信部A132aとを設けることで、固着故障を検出できるようにしている。ここで、送信部A131aと受信部A132aとは、A系統のNANDゲートG1側に配置し、送信部B131bと受信部B132bとは、B系統のNANDゲートG2側に配置する。
送信部A131aは、1ビット情報であるServiceA信号に、所定の情報を付加して複数ビットのシリアルデータとして受信部B132bに送信する。受信部B132bは、受信した複数ビットのシリアルデータに基づいて経路fbAの固着故障診断を行なうとともに、ServiceA信号を抽出してNANDゲートG2に入力する。
送信部B131bは、1ビット情報であるServiceB信号に、所定の情報を付加して複数ビットのシリアルデータとして受信部A132aに送信する。受信部A132aは、受信した複数ビットのシリアルデータに基づいて経路fbBの固着故障診断を行なうとともに、ServiceB信号を抽出してNANDゲートG1に入力する。
ここで、所定の情報は、送信部131から受信部132に送るシリアルデータで、同じ値のビットが所定個数連続しないようにする情報であり、固着故障検出用データと称する。固着故障検出用データは、1ビットあるいは複数ビットからなる情報であり、例えば、カウント値や時刻情報、Service信号のビットを反転した情報、フレーム毎に0と1が交互に変化する情報、「01」または「10」の2ビットを含む情報等とすることができる。また、ハイレベル信号の状態やキャリア信号がない状態であるIDLE信号状態をフレーム間に設けてもよい。
これにより、受信部132は、受信したシリアルデータで同じ値のビットが所定個数以上連続している場合に、固着故障が発生していると判断することができる。
図2は、送信部131の動作を説明するフローチャートである。送信部131は、自系統のNANDゲートが出力するService信号を取得する(S101)。そして、固着故障検出用データを付加する(S102)。固着故障検出用データは、上述のように、同じ値のビットが所定個数連続しないようにする情報である。所定個数の連続は、複数のフレームをまたいでいてもよい。
さらに、本実施形態では、送受信データの信頼性を高めるためにパリティデータを付加するものとする(S103)。そして、複数ビットシリアルデータとして相手方系統の受信部132に送信する(S104)。送信部131は、以上の(S101)〜(S104)の処理を所定間隔で繰り返す。
図3は、複数ビットシリアルデータの1フレームの例を示している。本図に示すように、複数ビットシリアルデータはService信号、固着故障検出用データ、パリティデータで1フレームを構成している。ただし、順序を変更したり、他の情報を付加したり、パリティデータを省くようにしてもよい。また、固着故障検出用データでフレームの区切りを示すようにしてもよい。
図4は、受信部132の動作を説明するフローチャートである。受信部132は、相手方系統の送信部131から複数ビットシリアルデータを受信すると(S201)、複数ビットシリアルデータで同じ値のビットが所定個数連続しているかどうかを判定する(S202)。所定個数は、固着故障検出用データにより、同じ値のビットが連続し得ない個数より多い数とする。少なくとも、1フレームのビット数から固着故障検出用データのビット数を引いた個数よりも多くすることが望ましく、例えば、1フレームを構成するビット数とすることができる。
同じ値のビットが所定個数連続していない場合(S202:No)には、固着故障が発生していないと判断し、パリティデータを用いたパリティチェックを行なう(S203)。
パリティチェックの結果、パリティが不正でなければ(S203:No)、動作が正常であるとして、複数ビットシリアルデータからService信号を抽出し、自系統のNANDゲートに出力する(S204)。
一方、パリティが不正であれば(S204:Yes)、固着故障は発生していないものの送信データに異常があるとして自系統の二重化制御部120に通知し、二重化制御部120は上位システムに通知する。これにより、異常発生の可能性があるとしてフィードバック経路の点検を行なうことができる。この場合も、複数ビットシリアルデータからService信号を抽出し、自系統のNANDゲートに出力する(S204)。
同じ値のビットが所定個数連続している場合(S202:Yes)には、自身のフィードバック経路で固着故障が発生していると判断する。例えば、受信部B132bであれば、フィードバック経路fbAで固着故障が発生したと判断し、受信部A132aであれば、フィードバック経路fbBで固着故障が発生したと判断する。
そして、自系統がスタンバイ側であれば(S206:Yes)、自系統のNANDゲートを操作し、出力をLに切り替える。具体的には、自系統のNANDゲートにHを出力する。自系統のReq信号はHであるため、自系統のNANDゲートはLを出力することになる。これにより自系統の電流出力部110がサービス側に移行する。これは、サービス側となっている相手方系統の電流出力部110に異常が発生した場合に、フィードバック経路の固着故障により自系統側がサービス側に移行できないことから、あらかじめサービス側に移行しておくためである。
Lに切り替えられたNANDゲートの出力は、固着故障が発生していない他方のフィードバック経路を経由して、相手方系統のNANDゲートに入力される。これにより、相手方系統がサービス側からスタンバイ側に移行する。
移行後に、サービス側となった電流出力部110に異常が発生したとしても、正常なフィードバック経路によりサービス側とスタンバイ側とを切り替えることができるため、サービスを停止することなく二重化システム100の稼働を継続することができる。
例えば、電流出力部B110bがスタンバイ側のときに、受信部B132bがフィードバック経路fbAの固着故障を検出すると、NANDゲートG2の出力をLに切り替えることで、電流出力部A110aをスタンバイ側に移行させるとともに、電流出力部B110bをサービス側に切り替える。
この状態でサービス側の電流出力部B110bに異常が発生しても、二重化制御部B120bが、ReqB信号をLにしてServiceB信号をHにすることで、電流出力部B110bをスタンバイ側に移行させることができる。また、正常なフィードバック経路fbAを経由して、電流出力部A110aをサービス側に移行させることができる。
一方、自系統がサービス側であれば(S206:No)、そのまま稼働を続ける。これは、サービス側となっている自系統の電流出力部110に異常が発生した場合でも、正常なフィードバック経路によりサービス側とスタンバイ側とを切り替えることができるため、サービスを停止することなく二重化システム100の稼働を継続することができるからである。
いずれの場合も、固着異常が発生したことを自系統の二重化制御部120に通知し、二重化制御部120が上位システムに通知する(S208)。これにより、サービスを停止することなく二重化システム100の稼働を継続した状態で、フィードバック経路の固着故障を修理することが可能となる。
そして、受信部132は、複数ビットシリアルデータからService信号を抽出し、自系統のNANDゲートに出力する(S204)。
以上説明したように、本実施形態の二重化システム100によれば切替部130におけるフィードバック経路の固着故障を検出することができるようになる。また、フィードバック経路の固着故障が発生しても、システムの稼働率に影響を与えないようにすることができる。
なお、本発明は、上記の実施形態の構成に限られない。例えば、図5に示すように、受信部132の出力と、二重化制御部120aが出力するDpsel信号とのORをNANDゲートの一方の入力とする切替部140を用いることで、Dpsel信号により電流出力部A110aと電流出力部B110bとを二重化動作させるか、それぞれが独立したシングル動作させるかを指定することができる二重化システム101に本発明を適用してもよい。
この場合、DpselA信号、DpselB信号をともにLとすることで、二重化システム101は、上述の二重化システム100と同様の動作を行なうことになる。一方、DpselA信号、DpselB信号をともにHとすることで、二重化システム101は、電流出力部A110aと電流出力部B110bとが独立したシングル動作を行なうことになる。
100…二重化システム、101…二重化システム、110…電流出力部、120…二重化制御部、130…切替部、131…送信部、132…受信部、140…切替部

Claims (3)

  1. 制御権を要求する第1リクエスト信号を出力する第1二重化制御部と、
    制御権を要求する第2リクエスト信号を出力する第2二重化制御部と、
    前記第1リクエスト信号および前記第2リクエスト信号を入力し、第1サービス信号および第2サービス信号を出力する切替部と、を備えた、二重化制御装置であって、
    前記切替部は、
    前記第1リクエスト信号と前記第2サービス信号に基づく信号とを入力し、前記第1サービス信号を出力する第1ゲートと、
    前記第2リクエスト信号と前記第1サービス信号に基づく信号とを入力し、前記第2サービス信号を出力する第2ゲートと、
    前記第1サービス信号に固着故障検出用データを付加して出力する第1送信部と、
    前記第1送信部の出力データを入力し、前記固着故障検出用データに基づいて、固着故障を検出するとともに、固着故障を検出しない場合は、前記第1サービス信号を抽出して前記第2ゲートに出力し、固着故障を検出した場合は、前記第1サービス信号の状態をスタンバイ側として前記第2ゲートに出力する第2受信部と、
    前記第2サービス信号に固着故障検出用データを付加して出力する第2送信部と、
    前記第2送信部の出力データを入力し、前記固着故障検出用データに基づいて、固着故障を検出するとともに、固着故障を検出しない場合は、前記第2サービス信号を抽出して前記第1ゲートに出力し、固着故障を検出した場合は、前記第2サービス信号の状態をスタンバイ側として前記第1ゲートに出力する第1受信部と、
    を備えたことを特徴とする二重化制御装置。
  2. 前記第1送信部は前記第1サービス信号にパリティデータをさらに付加して出力し、
    前記第2受信部は、前記第1送信部の出力データを入力し、前記パリティデータに基づいて送信データの異常を検出し、
    前記第2送信部は前記第2サービス信号にパリティデータをさらに付加して出力し、
    前記第1受信部は、前記第2送信部の出力データを入力し、前記パリティデータに基づいて送信データの異常を検出することを特徴とする請求項1に記載の二重化制御装置。
  3. 前記固着故障検出用データは、前記固着故障検出用データを付加して出力するデータにおいて、同じ値のビットが所定個数連続しないデータであることを特徴とする請求項1または2に記載の二重化制御装置。
JP2015233594A 2015-11-30 2015-11-30 二重化制御装置 Active JP6288609B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2015233594A JP6288609B2 (ja) 2015-11-30 2015-11-30 二重化制御装置
US15/346,084 US10574514B2 (en) 2015-11-30 2016-11-08 Duplex control device and duplex system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015233594A JP6288609B2 (ja) 2015-11-30 2015-11-30 二重化制御装置

Publications (2)

Publication Number Publication Date
JP2017102569A JP2017102569A (ja) 2017-06-08
JP6288609B2 true JP6288609B2 (ja) 2018-03-07

Family

ID=58777429

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015233594A Active JP6288609B2 (ja) 2015-11-30 2015-11-30 二重化制御装置

Country Status (2)

Country Link
US (1) US10574514B2 (ja)
JP (1) JP6288609B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7338608B2 (ja) 2020-10-30 2023-09-05 横河電機株式会社 装置、方法およびプログラム

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3560829A (en) * 1969-01-28 1971-02-02 Gen Electric Pulse width modulated bridge power amplifier with memory and lockout logic
JP3392620B2 (ja) * 1996-03-04 2003-03-31 株式会社東芝 冗長化アナログ出力装置
JP2000222001A (ja) * 1999-02-01 2000-08-11 Yokogawa Electric Corp 二重化制御装置
JP4100300B2 (ja) * 2003-09-02 2008-06-11 セイコーエプソン株式会社 信号出力調整回路及び表示ドライバ
JP2006285631A (ja) * 2005-03-31 2006-10-19 Yokogawa Electric Corp 二重化システム
EP2080273B1 (en) * 2006-11-10 2018-09-05 Skyworks Solutions, Inc. Compact low loss high frequency switch with improved linearity performance
US7288902B1 (en) * 2007-03-12 2007-10-30 Cirrus Logic, Inc. Color variations in a dimmable lighting device with stable color temperature light sources
JP5707398B2 (ja) * 2010-06-21 2015-04-30 パナソニック インテレクチュアル プロパティ コーポレーション オブアメリカPanasonic Intellectual Property Corporation of America 端末装置、基地局装置、再送方法及びリソース割り当て方法
JP2013152596A (ja) * 2012-01-25 2013-08-08 Toshiba Corp アナログ出力冗長化装置
JP2014135580A (ja) * 2013-01-09 2014-07-24 Mitsubishi Electric Corp プラント監視制御システム
KR20170036906A (ko) * 2015-09-24 2017-04-04 현대중공업 주식회사 고압 인버터의 이중화 제어장치 및 방법

Also Published As

Publication number Publication date
US20170155546A1 (en) 2017-06-01
JP2017102569A (ja) 2017-06-08
US10574514B2 (en) 2020-02-25

Similar Documents

Publication Publication Date Title
JP2007285969A (ja) スイッチ故障検出回路
JP2006260259A (ja) 情報処理システムの制御方法、情報処理システム、情報処理システムの制御プログラム、冗長構成制御装置
JP2019128638A (ja) 二重化制御システム
JP6288609B2 (ja) 二重化制御装置
JP5706347B2 (ja) 二重化制御システム
JP4541241B2 (ja) プラント制御システム
TWI434159B (zh) 雙重系統控制裝置
JP7188895B2 (ja) 通信システム
KR101950695B1 (ko) 철도차량용 전기기계식 제동 시스템 및 이의 제어 방법
US20160321149A1 (en) Computer apparatus and computer mechanism
JP4755868B2 (ja) 切替制御システム及びこれに適用される制御ユニット
JP6464704B2 (ja) フォールトトレラントシステム、稼働系装置、待機系装置、フェイルオーバー方法、および、フェイルオーバープログラム
JP4100382B2 (ja) 受信側装置、送信側装置、フェールセーフシステム、受信側方法、送信側方法、および、プログラム
JP2013254333A (ja) 多重系制御システム及びその制御方法
JP4431262B2 (ja) 制御装置
JP2017220842A (ja) 二重化切替システム
JP2021135121A (ja) 故障検出回路および故障検出システム
JP2016091480A (ja) 二重化制御システム
JP6234388B2 (ja) 2重系制御装置
JP2013239034A (ja) 系切替制御装置及び二重化システム
JP2015148973A (ja) 監視デバイス、管理デバイス、電子装置、状態通知方法、対処方法、およびコンピュータ・プログラム
JP5161808B2 (ja) 2重系制御装置
KR101192202B1 (ko) 내장형 운영체제 기반의 응용프로그램에서 고장 감지 방법 및 시스템
JP2014160333A (ja) 多重系処理システム
JP2019040822A (ja) リレー制御装置

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20171107

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171219

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180115

R150 Certificate of patent or registration of utility model

Ref document number: 6288609

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180128