JP6312948B2 - 制御システム及び制御ユニット - Google Patents

制御システム及び制御ユニット Download PDF

Info

Publication number
JP6312948B2
JP6312948B2 JP2017558769A JP2017558769A JP6312948B2 JP 6312948 B2 JP6312948 B2 JP 6312948B2 JP 2017558769 A JP2017558769 A JP 2017558769A JP 2017558769 A JP2017558769 A JP 2017558769A JP 6312948 B2 JP6312948 B2 JP 6312948B2
Authority
JP
Japan
Prior art keywords
control unit
input
communication
layer
control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017558769A
Other languages
English (en)
Other versions
JPWO2017134783A1 (ja
Inventor
怜也 市岡
怜也 市岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of JPWO2017134783A1 publication Critical patent/JPWO2017134783A1/ja
Application granted granted Critical
Publication of JP6312948B2 publication Critical patent/JP6312948B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/40Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM]
    • G05B19/4185Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM] characterised by the network communication
    • G05B19/41855Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM] characterised by the network communication by local area network [LAN], network structure
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2023Failover techniques
    • G06F11/2033Failover techniques switching over of hardware resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2038Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant with a single idle spare processing component
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2043Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant where the redundant components share a common memory address space
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0654Management of faults, events, alarms or notifications using network fault recovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0654Management of faults, events, alarms or notifications using network fault recovery
    • H04L41/0663Performing the actions predefined by failover planning, e.g. switching to standby network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0695Management of faults, events, alarms or notifications the faulty arrangement being the maintenance, administration or management system
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/31From computer integrated manufacturing till monitoring
    • G05B2219/31368MAP manufacturing automation protocol
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/321Interlayer communication protocols or service data unit [SDU] definitions; Interfaces between layers

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Automation & Control Theory (AREA)
  • Manufacturing & Machinery (AREA)
  • Computer Security & Cryptography (AREA)
  • Safety Devices In Control Systems (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)

Description

本発明は、PA(Process Automation)分野又はFA(Factory Automation)分野の設備を制御する制御システム及び制御ユニットに関する。
PA分野又はFA分野の設備は、複数の機器を組み合わせて実現されることが一般的である。PA分野又はFA分野の設備を構成する複数の機器は、第1の制御ユニットと、この第1の制御ユニットを代替可能な第2の制御ユニットとを備える二重化制御システムにより制御されることがある(特許文献1参照)。
特開平10−313348号公報
特許文献1に示された二重化制御システムは、第1の制御ユニットと第2の制御ユニットとのうちの一方、機器に接続した入出力ユニットとの間で安全通信が適用される。安全通信は、送受信される信号を誤りなく送信するための通信であり、受信側において、送受信される信号が破損しているか否かを検出する。また、二重化制御システムに用いられる安全通信は、様々な通信制御方式を採用したものが存在している。
二重化制御システムは、第1の制御ユニットと第2の制御ユニットとのうちの一方と、入出力ユニットとの間で安全通信により情報を送受信する。二重化制御システムは、第1の制御ユニットと第2の制御ユニットとのうちの一方と入出力ユニットとの間で情報を送受信する前に、第1の制御ユニットと第2の制御ユニットとのうちの一方と入出力ユニットとの間のコネクションを確立する。また、二重化制御システムは、前述した一方と入出力ユニットとの間で情報を送受信する状態から、第1の制御ユニットと第2の制御ユニットとのうちの他方と入出力ユニットとの間で安全通信により情報を送受信する状態に切り替える際に、前述した一方と入出力ユニットとの間のコネクションを切断し、前述した他方と入出力ユニットとの間のコネクションを確立する必要がある。二重化制御システムは、様々な通信制御方式を採用した安全通信であってもコネクションの切り替えを行うことが求められている。
本発明は、上記に鑑みてなされたものであって、安全通信のコネクションの切り替えを行うことができる制御システムを得ることを目的とする。
上述した課題を解決し、目的を達成するために、本発明は、プロセスオートメーション又はファクトリーオートメーション分野の設備に設置される機器に接続した入出力ユニットに接続した第1の制御ユニットと、第1の制御ユニットを代替可能な第2の制御ユニットと、を備えた制御システムである。制御システムは、第1の制御ユニットと第2の制御ユニットとのうちの一方の制御ユニットが入出力ユニットとのコネクションを確立する。制御システムは、一方の制御ユニットの入出力ユニットとのコネクションが切断された状態になると、第1の制御ユニットと第2の制御ユニットとのうちの他方の制御ユニットと入出力ユニットとのコネクションを確立することを決定する決定層を備える。制御システムは、決定層の決定結果通りに方の制御ユニットと入出力ユニットとのコネクションを確立してから通信を行う通信層を備える。決定層は、通信層よりも制御システムの通信プロトコルの上位の階層に位置する。通信層は、安全データの誤り検出用の検出用符号と、検出用符号が生成された時刻を示すタイムスタンプとを備える安全通信用の情報を生成する。
本発明に係る制御システムは、安全通信のコネクションの切り替えを行うことができるという効果を奏する。
実施の形態1に係る制御システムの構成を示す図 実施の形態1に係る制御システムのコンピュータのハードウェア構成を示す図 実施の形態1に係る制御システムの安全アプリが生成する安全データを示す図 実施の形態1に係る制御システムの安全通信層が生成する安全通信用の情報の構成を示す図 実施の形態1に係る制御システムの安全アプリ、安全通信層及び一般アプリが生成する通信情報の構成を示す図 実施の形態1に係る制御システムの制御ユニット及び入出力ユニットのハードウェア構成を示す図 図1に示された制御システムの駆動系制御ユニットが他方の制御ユニットに切り替わった状態を示す図 図1に示された制御システムの切替イベントが発生した際に駆動系制御ユニットを切り替える過程を示すシーケンス図 図1に示された制御システムの一方の制御ユニットが故障した際に駆動系制御ユニットを切り替える過程を示すシーケンス図 実施の形態2に係る制御システムの構成を示す図 実施の形態2に係る制御システムの安全アプリ、安全通信層及び一般アプリが生成する通信情報の構成を示す図 図10に示された制御システムの駆動系制御ユニットが他方の制御ユニットに切り替わった状態を示す図 図10に示された制御システムの切替イベントが発生した際に駆動系制御ユニットを切り替える過程を示すシーケンス図 図10に示された制御システムの一方の制御ユニットが故障した際に駆動系制御ユニットを切り替える過程を示すシーケンス図
以下に、本発明の実施の形態に係る制御システム及び制御装置を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。
実施の形態1.
図1は、実施の形態1に係る制御システムの構成を示す図である。制御システム1は、PA分野又はFA分野の設備を構成するものであり、設備に設置される図1に示す複数の機器2,3を制御するものである。実施の形態1において、機器2,3は、センサ又は駆動機器である。センサとしては、設備に設置される流量、圧力、濃度、又は温度を検出するセンサが挙げられる。駆動機器としては、設備に設置されるスイッチ、調整弁、電磁弁、モータ、又はポンプである動作を実行する駆動機器が挙げられる。実施の形態1において、制御システム1は、二つの機器2,3を備えるが、制御システム1が備える機器は二つに限定されない。また、実施の形態1において、機器2は、センサであり、機器3は、駆動機器である。
制御システム1は、図1に示すように、機器2,3に接続した複数の入出力ユニット4と、入出力ユニット4に接続した複数の制御ユニット5とを備える。制御ユニット5は、コンピュータ6により作成された制御プログラムを受信し、受信した制御プログラムを実行することにより、入出力ユニット4を介して機器2,3を制御する。
図2は、実施の形態1に係る制御システムのコンピュータのハードウェア構成を示す図である。実施の形態1に係るコンピュータ6は、コンピュータプログラムを実行するものであって、図2に示すように、CPU(Central Processing Unit)61と、RAM(Random Access Memory)62と、ROM(Read Only Memory)63と、記憶装置64と、入力装置65と、表示装置66と、通信インタフェース67と、を含む。CPU61、RAM62、ROM63、記憶装置64、入力装置65、表示装置66及び通信インタフェース67は、内部バスB6を介して相互に接続されている。
CPU61は、RAM62を作業領域として使用しながら、ROM63及び記憶装置64に記憶されているプログラムを実行する。ROM63に記憶されているプログラムは、BIOS(Basic Input/Output System)又はUEFI(Unified Extensible Firmware Interface)であるが、ROM63に記憶されているプログラムは、BIOS又はUEFIに限定されない。実施の形態1において、記憶装置64に記憶されているプログラムは、オペレーティングシステムプログラム及びエンジニアリングツールプログラムであるが、記憶装置64に記憶されているプログラムは、オペレーティングシステムプログラム及びエンジニアリングツールプログラムに限定されない。実施の形態1において、記憶装置64は、SSD(Solid State Drive)又はHDD(Hard Disk Drive)であるが、記憶装置64は、SSD又はHDDに限定されない。
入力装置65は、ユーザからの操作入力を受け付ける。実施の形態1において、入力装置65は、キーボード又はマウスであるが、キーボード又はマウスに限定されない。表示装置66は、文字及び画像を表示する。実施の形態1において、表示装置66は、液晶表示装置であるが、液晶表示装置に限定されない。通信インタフェース67は、ネットワークNに接続し、ネットワークNを介して制御ユニット5と通信を行う。ネットワークNは、コンピュータ6、複数の入出力ユニット4、及び複数の制御ユニット5を相互に通信可能に接続するコンピュータネットワークである。実施の形態1において、ネットワークNは、PA設備又はFA設備に設置されるLAN(Local Area Network)であるが、通信用のバスでも良い。
入出力ユニット4は、ネットワークNに接続している。実施の形態1において、入出力ユニット4は、二つ設けられるが、二つに限定されない。二つの入出力ユニット4は、それぞれ、機器2,3に接続している。実施の形態1において、入出力ユニット4は、それぞれ、一つの機器2,3に接続しているが、これに限定されない。入出力ユニット4のうちセンサである機器2に接続した入出力ユニット4は、機器2の検出結果を受信し、受信した検出結果を記憶する。入出力ユニット4のうち駆動機器である機器3に接続した入出力ユニット4は、制御ユニット5が送信する機器3の制御信号を受信し、記憶する。駆動機器である機器3に接続した入出力ユニット4は、記憶した制御信号を機器3に送信する。
実施の形態1において、二つの入出力ユニット4のうち一方の入出力ユニット4(以下、符号4Iで示す)は、センサである機器2に接続する所謂入力ユニットとして動作する。他方の入出力ユニット4(以下、符号4Oで示す)は、駆動機器である機器3に接続する所謂出力ユニットとして動作する。また、本明細書は、二つの入出力ユニット4同士を区別する場合に、符号4I又は符号4Oを付して説明し、特に区別しない場合に、符号4を付して説明する。
制御ユニット5は、ネットワークNに接続している。実施の形態1において、制御ユニット5は、二つ設けられ、ネットワークNを介して互いに接続される。二つの制御ユニット5は、トラッキングケーブル7により互いに接続されて、互いに冗長化されたものである。制御ユニット5は、コンピュータ6から受信した制御プログラムを実行することにより、機器2,3を制御するプログラマブルコントローラ(Programmable Logic Controllers(PLC))のCPUユニットとして動作する。プログラマブルコントローラは、JIS(日本工業規格) B 3502:2011により規定されたものである。
二つの制御ユニット5は、それぞれ、ネットワークNを介して二つの入出力ユニット4の双方に接続している。実施の形態1において、二つの制御ユニット5のうちの一方の制御ユニット5は、第1の制御ユニットであり、入出力ユニット4Iが記憶した機器2の検出結果を含む情報を取得し、他方の入出力ユニット4Oに機器3の制御信号を含む情報を送信する。二つの制御ユニット5のうちの他方の制御ユニット5は、第2の制御ユニットであり、一方の制御ユニット5が機器2の情報を取得するとともに機器3の動作を制御している間、待機状態を維持する。実施の形態1において、待機状態とは、省電力の所謂待機電源モードであり、ACPI(Advanced Configuration and Power Interface)により規定されたS1、S2、S3、S4の何れかの状態、又は、ACPIにより規定されたS1、S2、S3、S4の何れかに相当する状態をいう。待機状態は、待機電源モードに限定されない。また、待機電源モードは、ACPIに規定されたものに限定されない。
一方の制御ユニット5は、機器2,3の情報を取得しかつ機器2,3を制御する、駆動系制御ユニットとして動作する。他方の制御ユニット5は、待機状態を維持する待機系制御ユニットとして動作する。実施の形態1において、待機系制御ユニットは、駆動系制御ユニットの電源オフ時、駆動系制御ユニットを初期状態に戻すリセット時、駆動系制御ユニットの故障時、駆動系制御ユニットの処理を中断又は停止させるエラー時、又はコンピュータ6からの切替要求を示す信号を受信した時に、駆動系制御ユニットに切り替わる。待機系制御ユニットは、駆動系制御ユニットに切り替わると、いままで駆動系制御ユニットとして動作していたものに代わり、機器2の情報を取得しかつ機器3の動作を制御する。即ち、待機系制御ユニットは、駆動系制御ユニットを代替可能なものである。なお、駆動系制御ユニットとして動作してしたものは、電源オフからの再起動時、リセットされた以降、故障からの復旧時、エラーからの復旧時、又は、コンピュータ6からの切替要求を示す信号を受信した時に、待機系制御ユニットに切り替わる。即ち、待機系制御ユニットとして動作している他方の制御ユニット5は、駆動系制御ユニットとして動作している一方の制御ユニット5を代替可能である。
実施の形態1において、二つの制御ユニット5同士を区別する場合は、駆動系制御ユニットとして動作している一方の制御ユニット5を符号「5D」で示し、待機系制御ユニットとして動作している他方の制御ユニット5を符号「5W」で示す。駆動系制御ユニットと待機系制御ユニットとを区別しない場合は、制御ユニット5を単に符号「5」で示す。
実施の形態1において、二つの制御ユニット5は、構成が同一である。また、実施の形態1は、二つの制御ユニット5と二つの入出力ユニット4との構成が同等であるので、同一部分には同一符号を付して説明する。さらに、実施の形態1において、制御ユニット5及び入出力ユニット4の各構成部分において、駆動系制御ユニットとして動作している一方の制御ユニット5Dのものと特定できる構成部分は、符号「D」を付して説明し、待機系制御ユニットとして動作している他方の制御ユニット5Wのものと特定できる構成部分は、符号「W」を付して説明し、入出力ユニット4Iのものと特定できる構成部分は、符号「I」を付して説明し、入出力ユニット4Oのものと特定できる構成部分は、符号「O」を付して説明する。また、実施の形態1において、制御ユニット5及び入出力ユニット4の各構成部分において、特定できない構成部分は、符号「D」、符号「W」、符号「I」及び符号「O」を付さずに説明する。
制御ユニット5及び入出力ユニット4は、図1に示すように、設備に設置される非常停止スイッチ8が操作されると少なくとも一つの入出力ユニット4を停止させる安全アプリケーションソフトウェア(以下、単に、安全アプリと記載する)11と、自ユニット以外のユニットと安全通信を行う接続手段である安全通信層12と、一般アプリケーションソフトウェア(以下、単に、一般アプリと記載する)13と、ネットワーク層14とを備える。実施の形態1において、非常停止スイッチ8は、ネットワークNに接続している。
図3は、実施の形態1に係る制御システムの安全アプリが生成する安全データを示す図である。安全アプリ11は、機器2,3を停止するか否かを示す図3に示す安全データSDを生成する、又は、自ユニット以外の安全アプリ11が生成した安全データSDを受信する。
駆動系制御ユニットとして動作する一方の制御ユニット5Dの安全アプリ11Dは、ネットワークNを介して非常停止スイッチ8が操作された情報を受信すると、複数の入出力ユニット4に接続された機器2,3のうちの非常停止させる機器2,3を抽出する。駆動系制御ユニットとして動作する一方の制御ユニット5Dの安全アプリ11Dは、抽出した非常停止させる機器2,3に接続した入出力ユニット4に機器2,3を停止させる安全データSDを生成し、生成した安全データSDを送信して、抽出した機器2,3を非常停止させる。
入出力ユニット4Iの安全アプリ11Iは、センサである機器2の検出結果に基づいて機器2が故障したか否かを判定し、機器2が故障したか否かを示す情報である安全データSDを生成する。駆動系制御ユニットとして動作する一方の制御ユニット5Dの安全アプリ11Dは、ネットワークNを介して入出力ユニット4Iの安全アプリ11Iが生成した安全データSDを取得する。
駆動系制御ユニットとして動作する一方の制御ユニット5Dの安全アプリ11Dは、入出力ユニット4Iの安全アプリ11Iが生成した安全データSDが機器2が故障していることを示す場合、複数の入出力ユニット4に接続された機器2,3のうちの非常停止させる機器2,3を抽出する。駆動系制御ユニットとして動作する一方の制御ユニット5Dの安全アプリ11Dは、抽出した非常停止させる機器2,3に接続した入出力ユニット4に機器2,3を停止させるための安全データSDを生成し、生成した安全データSDを送信して、抽出した機器2,3を非常停止させる。また、駆動系制御ユニットとして動作する一方の制御ユニット5Dの安全アプリ11Dは、非常停止スイッチ8が操作された情報を受信していなく、かつ入出力ユニット4Iの安全アプリ11Iが生成した安全データSDが機器2が正常であることを示す場合、制御システム1が正常であることを示す安全データSDを生成し、生成した安全データSDを入出力ユニット4Oに送信する。
入出力ユニット4Oの安全アプリ11Oは、駆動系制御ユニットとして動作する一方の制御ユニット5Dから受信した安全データSDに基づいて、機器3を停止するか否かを判定し、制御ユニット5Dから受信した安全データSDが機器3を非常停止させる情報である場合、機器3を非常停止する。入出力ユニット4Oの安全アプリ11Oは、制御ユニット5Dから受信した安全データSDが制御システム1が正常であることを示す場合、機器3を継続して動作させる。
図4は、実施の形態1に係る制御システムの安全通信層が生成する安全通信用の情報の構成を示す図である。図5は、実施の形態1に係る制御システムの安全アプリ、安全通信層及び一般アプリが生成する通信情報の構成を示す図である。安全通信層12が行う安全通信は、駆動系制御ユニットとして動作する一方の制御ユニット5Dと、入出力ユニット4I,4Oとの間で送受信される情報が、偶発的な誤りが生じることなく送受信されているか否かを検出するものである。
実施の形態1において、安全通信層12は、図4に示す安全通信用の情報SIを生成する。安全通信層12が生成する安全通信用の情報SIは、図4に示すように、安全データSDの誤り検出用の検出用符号DSと、検出用符号DSが生成された時刻を示すタイムスタンプTSとを備える。検出用符号DSは、安全データSDに偶発的な誤りが生じているか否かを検出するためのものである。検出用符号DSは、制御ユニット5と入出力ユニット4とのうちの情報を受信したものにより安全データSDに偶発的な誤りが生じているか否かが検出される。実施の形態1において、検出用符号DSは、巡回冗長検査(Cyclic Redundancy Check:CRC)を用いるが、CRCに限定されない。また、安全通信層12は、受信した安全通信用の情報SIに基づいて、安全データSDに偶発的な誤りが生じていないことを検出すると、機器2,3を継続して動作させ、安全データSDに偶発的な誤りが生じていることを検出すると、機器2,3を非常停止させる。
センサである機器2に接続した入出力ユニット4Iの一般アプリ13Iは、センサである機器2から検出結果を取得し、図5に示す情報DIを生成する。図5に示す情報DIは、機器2の検出結果を示す情報である。駆動系制御ユニットとして動作する一方の制御ユニット5Dの一般アプリ13Dは、図5に示す情報CIを生成する。図5に示す情報CIは、駆動機器である機器3の制御信号を示す情報である。
前述した構成の制御ユニット5及び入出力ユニット4が互いに通信する通信情報TIは、図5に示すように、安全データSDの下位の階層に安全通信用の情報SIを配置し、安全通信用の情報SIの下位の階層に情報DI,CIを配置する。このように、制御システム1の制御ユニット5と入出力ユニット4との間の通信プロトコルにおいて、安全アプリ11が生成する安全データSDは、安全通信層12が生成する安全通信用の情報SIよりも通信プロトコルの上位の階層に位置する。即ち、安全アプリ11が生成する安全データSDは、安全通信層12が生成する安全通信用の情報SIと通信プロトコルの異なる階層に位置する。実施の形態1において、図5に示す通信情報TIのうちの安全データSD、安全通信用の情報SI及び情報DI,CIの階層は、予め定められた階層である。図5に示す通信情報TIのうちの安全データSD、安全通信用の情報SI及び情報DI,CIの各階層におけるアドレスは、予め定められたアドレスである。なお、本明細書でいう通信プロトコルの階層は、制御ユニット5と入出力ユニット4との間の情報を送受信する通信における階層と、各制御ユニット5と入出力ユニット4において実行される処理の階層とを総称するものである。ネットワーク層14は、図5に示す通信情報TIを送受信するものである。
また、実施の形態1に係る制御システム1は、二つの制御ユニット5のうちの駆動系制御ユニットとして動作する一方の制御ユニット5Dが、通信情報TIを送受信する前に、入出力ユニット4とのコネクションを確立する。コネクションを確立するとは、ネットワークNにより接続した制御ユニット5と入出力ユニット4とが、互いに情報を送受信可能となる状態を確立することである。即ち、コネクションを確立するとは、ネットワークNを介して、制御ユニット5と入出力ユニット4との相互間の通信用の回線を確保することである。
制御ユニット5は、入出力ユニット4とのコネクションを確立するか否かを決定する決定手段である決定層15を備える。決定層15は、安全通信層12よりも制御システム1及び制御ユニット5の通信プロトコルの上位の階層に位置する。即ち、決定層15は、安全通信層12と、制御システム1及び制御ユニット5の通信プロトコルの異なる階層に位置する。二つの制御ユニット5のうちの駆動系制御ユニットとして動作する一方の制御ユニット5Dの決定層15Dは、入出力ユニット4とのコネクションを確立することを決定する。二つの制御ユニット5のうちの駆動系制御ユニットとして動作する一方の制御ユニット5Dの安全通信層12Dは、決定層15Dの決定結果通りに入出力ユニット4とのコネクションを確立する。
一方の制御ユニット5Dの安全通信層12Dは、コネクションを確立する際に、入出力ユニット4の安全通信層12との間で、安全通信の確立要求情報の送受信と応答情報の送受信とを実行する。一方の制御ユニット5Dの安全通信層12Dは、入出力ユニット4の安全通信層12との間で、ネットワークパラメータ確認要求情報の送受信と応答情報の送受信とを実行し、パラメータを格納し、保持する。
一方の制御ユニット5Dの安全通信層12Dは、入出力ユニット4の安全通信層12との間で、安全局パラメータ照合要求情報の送受信と応答情報の送受信とを実行し、パラメータの正当性を確認する。一方の制御ユニット5Dの安全通信層12Dは、入出力ユニット4の安全通信層12との間で、オプションに関係する情報の送受信と応答情報の送受信とを実行する。一方の制御ユニット5Dの安全通信層12Dは、入出力ユニット4の安全通信層12との間で、オフセット計測情報の送受信と応答情報の送受信とを実行する。一方の制御ユニット5Dの安全通信層12Dは、入出力ユニット4の安全通信層12との間で、オフセット生成要求情報の送受信と応答情報の送受信とを実行する。
二つの制御ユニット5のうちの駆動系制御ユニットとして動作する一方の制御ユニット5Dの決定層15Dは、入出力ユニット4との間で通信情報TIを送受信する前にコネクションを確立することを決定する。二つの制御ユニット5のうちの駆動系制御ユニットとして動作する一方の制御ユニット5Dの安全通信層12Dは、入出力ユニット4との間で通信情報TIを送受信する前に決定層15Dの決定結果通りにコネクションを確立する。
二つの制御ユニット5のうちの駆動系制御ユニットとして動作する一方の制御ユニット5Dが入出力ユニット4とコネクションを確立した後、入出力ユニット4Iは、外部から図示しない同期信号を受信すると、図5に示す情報DIを含む通信情報TIを生成し、記憶する。駆動系制御ユニットとして動作する一方の制御ユニット5Dは、同期信号を受信すると、入出力ユニット4Iから通信情報TIを取得し、記憶する。
駆動系制御ユニットとして動作する一方の制御ユニット5Dは、同期信号を受信すると、入出力ユニット4Iから通信情報TIを取得するとともに、図5に示す情報CIを含む通信情報TIを生成し、入出力ユニット4Oに送信する。入出力ユニット4Oは、情報CIを含む通信情報TIを記憶する。実施の形態1において、制御ユニット5Dが、入出力ユニット4Iから情報DIを含む通信情報TIを取得し、情報CIを含む通信情報TIを入出力ユニット4Oに送信することは、制御ユニット5Dが入出力ユニット4I,4Oとの間で通信情報TIを送受信することを示す。
また、制御システム1は、二つの制御ユニット5のうちの駆動系制御ユニットとして動作する一方の制御ユニット5Dと待機系制御ユニットとして動作する他方の制御ユニット5Wとが、トラッキングケーブル7を介して、同値化ための信号と相互監視のための信号とを送受信する。同値化のための信号は、待機系制御ユニットが、いままで駆動系制御ユニットとしていたものに代わり駆動系制御ユニットに切り替わる際に、過不足なく入出力ユニット4Iから通信情報TIを取得でき、入出力ユニット4Oに通信情報TIを送信できることを可能とするための信号である。相互監視のための信号は、故障が発生することなく互いに動作しているか否かを監視するための信号である。
また、一方の制御ユニット5Dが駆動系制御ユニットとして動作して入出力ユニット4とのコネクションを確立している際中に、一方の制御ユニット5Dの入出力ユニット4とのコネクションが切断された状態になると、二つの制御ユニット5のうちの待機系制御ユニットとして動作する他方の制御ユニット5Wの決定層15Wは、入出力ユニット4とのコネクションを確立することを決定する。二つの制御ユニット5のうちの待機系制御ユニットとして動作する他方の制御ユニット5Wの安全通信層12Wは、決定層15の決定結果通りに他方の制御ユニット5Wと入出力ユニット4とのコネクションを確立する。待機系制御ユニットとして動作する他方の制御ユニット5Wは、安全通信層12Wが一方の制御ユニット5Dと同様にコネクションを確立する。他方の制御ユニット5Wは、安全通信層12Wがコネクションを確立した後、入出力ユニット4と通信情報TIを送受信して、以後、駆動系制御ユニットとして動作する。
図6は、実施の形態1に係る制御システムの制御ユニット及び入出力ユニットのハードウェア構成を示す図である。制御システム1の制御ユニット5及び入出力ユニット4は、図6に示すように、コンピュータプログラムを記憶するMPU(Micro-Processing Unit)91と、情報を記憶可能な共有メモリ92と、他のユニットと通信可能な通信用回路93と、ネットワークNに接続した通信インタフェース94とを備える。通信用回路93は、通信インタフェース94に接続している。MPU91と共有メモリ92と通信用回路93とは、内部バスB9を介して接続している。
制御ユニット5及び入出力ユニット4は、図6に示すように、入出力インタフェース95と、入出力インタフェース95に接続したコンバータ96とを備える。制御ユニット5D,5Wの入出力インタフェース95D,95Wは、トラッキングケーブル7を介して互いに接続している。入出力ユニット4Iの入出力インタフェース95Iは、機器2に接続し、入出力ユニット4Oの入出力インタフェース95Oは、機器3に接続している。
安全アプリ11、決定層15、安全通信層12、一般アプリ13及びネットワーク層14の機能は、MPU91が記憶したコンピュータプログラムを実行することにより実現される。コンピュータプログラムは、コンピュータにより読み出し可能なコンピュータプログラムであって、ソフトウェア、ファームウェア、又はソフトウェアとファームウェアとの組み合わせにより実現される。
共有メモリ92は、データを記憶可能な記憶領域を備える。入出力ユニット4の共有メモリ92は、制御ユニット5双方のMPU91がアクセス可能である。共有メモリ92は、不揮発性の半導体メモリ、又は揮発性の半導体メモリにより構成される。不揮発性の半導体メモリ、又は揮発性の半導体メモリとして、RAM、ROM、フラッシュメモリ、EPROM(Erasable Programmable Read Only Memory)、又は、EEPROM(Electrically Erasable Programmable Read Only Memory)を用いることができる。また、共有メモリ92は、磁気ディスク、光ディスク、及び光磁気ディスクのうちの少なくとも一つにより構成されても良い。
入出力ユニット4Iの共有メモリ92Iは、入出力ユニット4IのMPU91Iにより情報DIを含む通信情報TIが書き込まれる。入出力ユニット4Iの共有メモリ92Iは、駆動系制御ユニットとして動作する一方の制御ユニット5DのMPU91Dにより通信情報TIが取得され、通信情報TIが取得されるとMPU91Dにより通信情報TIを記憶している記憶領域がクリアされて情報を記憶していない空きの状態となる。駆動系制御ユニットとして動作する一方の制御ユニット5DのMPU91Dは、取得した通信情報TIを共有メモリ92Dに書き込む。駆動系制御ユニットとして動作する一方の制御ユニット5DのMPU91Dは、情報CIを含む通信情報TIを生成し、生成した通信情報TIを入出力ユニット4Oの共有メモリ92Oに書き込む。入出力ユニット4Oの共有メモリ92Oは、MPU91Oにより通信情報TIが取得され、通信情報TIが取得されるとMPU91Oにより通信情報TIを記憶している記憶領域がクリアされて情報を記憶していない空きの状態となる。入出力ユニット4OのMPU91Oは、共有メモリ92Oから取得した通信情報TIを機器3に送信し、機器3の動作を制御する。
通信用回路93は、単一回路、複合回路、プログラム化したプロセッサー、並列プログラム化したプロセッサー、ASIC(Application Specific Integrated Circuit)、FPGA(Field-Programmable Gate Array)又はこれらの二以上を組み合わせて実現される。
入出力ユニット4のコンバータ96は、MPU91と機器2,3とが互いに送受信する信号のうちアナログ信号をデジタル信号に変換するA/D(Analog/Digital)コンバータ、デジタル信号をアナログ信号に変換するD/A(Digital/Analog)コンバータ、又は、デジタルI/O(Input/Output)により実現される。制御ユニット5のコンバータ96は、デジタルI/Oにより実現される。
次に、実施の形態1に係る制御システムの駆動系制御ユニットが第1の制御ユニットから第2の制御ユニットに切り替わる過程を図面に基づいて説明する。図7は、図1に示された制御システムの駆動系制御ユニットが他方の制御ユニットに切り替わった状態を示す図である。図8は、図1に示された制御システムの切替イベントが発生した際に駆動系制御ユニットを切り替える過程を示すシーケンス図である。図9は、図1に示された制御システムの一方の制御ユニットが故障した際に駆動系制御ユニットを切り替える過程を示すシーケンス図である。
制御システム1は、図1に実線で示すように、駆動系制御ユニットとして動作する一方の制御ユニット5Dの安全通信層12Dと、入出力ユニット4I,4Oの安全通信層12I,12Oとのコネクションを確立している。一方の制御ユニット5Dが、図1に示す点線、図8及び図9に示すように、機器3に接続した入出力ユニット4Oに通信情報TIを送信して、入出力ユニット4Oの共有メモリ92Oに書き込む(ステップST1)。さらに、一方の制御ユニット5Dが、図1に示す点線、図8及び図9に示すように、機器2に接続した入出力ユニット4Iから通信情報TIを取得する(ステップST2)。
制御システム1は、一方の制御ユニット5Dがコンピュータ6から切替要求を示す信号を受信して、切替イベントを発生する。制御システム1は、図8に示すように、一方の制御ユニット5Dが、切替要求を示す信号を受信すると、他方の制御ユニット5Wに切替通知を送信する(ステップST3)。すると、一方の制御ユニット5Dは、入出力ユニット4I,4Oとのコネクションを切断し、他方の制御ユニット5Wは、図8に示すように、入出力ユニット4I,4Oとのコネクションを確立する(ステップST4)。
制御システム1は、図7に実線で示すように、他方の制御ユニット5Wの安全通信層12Wと入出力ユニット4I,4Oの安全通信層12I,12Oとのコネクションを確立する。他方の制御ユニット5Wは、図7に示す点線及び図8に示すように、機器3に接続した入出力ユニット4Oに通信情報TIを送信して、入出力ユニット4Oの共有メモリ92Oに書き込む(ステップST5)。さらに、他方の制御ユニット5Wは、図1に示す点線及び図9に示すように、機器2に接続した入出力ユニット4Iから通信情報TIを取得する(ステップST6)。
また、制御システム1は、一方の制御ユニット5Dが通信情報TIを送受信している間、即ち、一方の制御ユニット5Dの安全通信層12Dと入出力ユニット4I,4Oの安全通信層12I,12Oとがコネクションを確立している間に、二つの制御ユニット5が、図9に示すように、トラッキングケーブル7を介して互いに監視している(ステップST10)。制御システム1は、他方の制御ユニット5Wが一方の制御ユニット5Dの故障を検知する(ステップST11)と、他方の制御ユニット5Wが、図9に示すように、入出力ユニット4I,4Oとのコネクションを確立する(ステップST12)。
そして、制御システム1は、他方の制御ユニット5Wがコネクションを確立すると、図9に示すように、他方の制御ユニット5Wが機器3に接続した入出力ユニット4Oに通信情報TIを送信して、入出力ユニット4Oの共有メモリ92Oに書き込む(ステップST13)。さらに、他方の制御ユニット5Wが、図9に示すように、機器2に接続した入出力ユニット4Iから通信情報TIを取得する(ステップST14)。
実施の形態1に係る制御システム1によれば、二つの制御ユニット5のうちの駆動系制御ユニットとして動作している一方の制御ユニット5Dのコネクションが切断された状態になると、待機系制御ユニットとして動作する他方の制御ユニット5Wが、入出力ユニット4I,4Oとのコネクションを確立することを決定する決定手段である決定層15Wを安全通信層12Wとは別に備える。このために、制御システム1及び制御ユニット5は、コネクションを確立する安全通信層12に加えて決定層15を備えるので、決定層15が様々な通信制御方式を採用した安全通信を行う安全通信層12に対応することができる。その結果、制御システム1及び制御ユニット5は、様々な通信制御方式を採用した安全通信のコネクションの切り替えを容易に行うことができる。
また、実施の形態1に係る制御システム1及び制御ユニット5によれば、決定層15が安全通信層12よりも通信プロトコルの上位の階層に位置するので、決定層15が様々な通信制御方式を採用した安全通信を行う安全通信層12に対応することができる。その結果、制御システム1は、様々な通信制御方式を採用した安全通信のコネクションの切り替えを容易に行うことができる。
実施の形態2.
次に、本発明の実施の形態2に係る制御システム1を図面に基づいて説明する。図10は、実施の形態2に係る制御システムの構成を示す図である。図11は、実施の形態2に係る制御システムの安全アプリ、安全通信層及び一般アプリが生成する通信情報の構成を示す図である。図12は、図10に示された制御システムの駆動系制御ユニットが他方の制御ユニットに切り替わった状態を示す図である。図13は、図10に示された制御システムの切替イベントが発生した際に駆動系制御ユニットを切り替える過程を示すシーケンス図である。図14は、図10に示された制御システムの一方の制御ユニットが故障した際に駆動系制御ユニットを切り替える過程を示すシーケンス図である。なお、図10から図14において、実施の形態1と同一部分には、同一符号を付して説明を省略する。
実施の形態2に係る制御システム1−2は、実施の形態1に係る制御システム1と構成が等しい。実施の形態2に係る制御システム1−2は、図10に実線で示すように、駆動系制御ユニットとして動作する一方の制御ユニット5Dの安全通信層12Dが入出力ユニット4I,4Oの安全通信層12I,12Oとのコネクションを確立するとともに、待機系制御ユニットとして動作する他方の制御ユニット5Wの安全通信層12Wが入出力ユニット4I,4Oの安全通信層12I,12Oとのコネクションを確立する。即ち、制御システム1−2は、決定層15D,15Wの双方が、制御ユニット5D,5Wの双方と入出力ユニット4I,4Oとのコネクションを確立することを決定する。制御システム1−2は、安全通信層12D,12Wの双方が、決定層15D,15Wの決定結果通りに制御ユニット5D,5Wの双方と入出力ユニット4I,4Oとのコネクションを確立する。
実施の形態2に係る制御システム1−2は、駆動系制御ユニットとして動作する一方の制御ユニット5Dが通信情報TIを入出力ユニット4Iから取得し、通信情報TIを入出力ユニット4Oに送信する。また、実施の形態2に係る制御システム1−2は、待機系制御ユニットとして動作する他方の制御ユニット5Wが図11に示すテスト用の情報TI−2を入出力ユニット4Iから取得し、テスト用の情報TI−2を入出力ユニット4Oに送信する。テスト用の情報TI−2は、待機系制御ユニットとして動作する他方の制御ユニット5Wと入出力ユニット4I,4Oとの間で安全通信を行うための情報である。実施の形態2において、テスト用の情報TI−2は、実施の形態1に係る通信情報TIの情報DI,CIの代わりにダミーの情報DMを備えるものである。
制御システム1−2は、一方の制御ユニット5Dが、図10に示す点線、図13及び図14に示すように、入出力ユニット4Oに通信情報TIを送信して、入出力ユニット4Oの共有メモリ92Oに書き込む(ステップST1)。さらに、一方の制御ユニット5Dが、図10に示す点線、図13及び図14に示すように、入出力ユニット4Iから通信情報TIを取得する(ステップST2)。
さらに、制御システム1−2は、他方の制御ユニット5Wが、図13及び図14に示すように、入出力ユニット4Oにテスト用の情報TI−2を送信して、入出力ユニット4Oの共有メモリ92に書き込む(ステップST1−2)。さらに、他方の制御ユニット5Wが、図13及び図14に示すように、入出力ユニット4Iからテスト用の情報TI−2を取得する(ステップST2−2)。
制御システム1−2は、一方の制御ユニット5Dがコンピュータ6から切替要求を示す信号を受信して、切替イベントを発生する。制御システム1−2は、一方の制御ユニット5Dがコンピュータ6から切替要求を示す信号を受信すると、図13に示すように、一方の制御ユニット5Dが他方の制御ユニット5Wに切替通知を送信する(ステップST3)。すると、他方の制御ユニット5Wは、図12に示す点線及び図13に示すように、入出力ユニット4Oに通信情報TIを送信して、入出力ユニット4Oの共有メモリ92Oに書き込む(ステップST5)。さらに、他方の制御ユニット5Wは、図12に示す点線及び図13に示すように、入出力ユニット4Iから通信情報TIを取得する(ステップST6)。
さらに、制御システム1−2は、一方の制御ユニット5Dが、図13に示すように、入出力ユニット4Oにテスト用の情報TI−2を送信して、入出力ユニット4Oの共有メモリ92Oに書き込む(ステップST5−2)。さらに、一方の制御ユニット5Dは、図13に示すように、入出力ユニット4Iからテスト用の情報TI−2を取得する(ステップST6−2)。
また、制御システム1−2は、一方の制御ユニット5Dが通信情報TIを送受信し、他方の制御ユニット5Wがテスト用の情報TI−2を送受信している間に、二つの制御ユニット5が、図14に示すように、トラッキングケーブル7を介して互いに監視している(ステップST10)。制御システム1−2は、他方の制御ユニット5Wが一方の制御ユニット5Dの故障を検知することがある(ステップST11)。制御システム1−2は、他方の制御ユニット5Wが一方の制御ユニット5Dの故障を検知する(ステップST11)と、一方の制御ユニット5Dの入出力ユニット4I,4Oとのコネクションが切断された状態になる。制御システム1−2は、他方の制御ユニット5Wが、入出力ユニット4I,4Oとのコネクションを用いて、図14に示すように、入出力ユニット4Oに通信情報TIを送信して、入出力ユニット4Oの共有メモリ92Oに書き込む(ステップST13)。さらに、他方の制御ユニット5Wは、入出力ユニット4I,4Oとのコネクションを用いて、図14に示すように、入出力ユニット4Iから通信情報TIを取得する(ステップST14)。
実施の形態2に係る制御システム1−2によれば、実施の形態1と同様に、決定層15を安全通信層12とは別に備えるので、様々な通信制御方式を採用した安全通信のコネクションの切り替えを容易に行うことができる。
また、実施の形態2に係る制御システム1−2によれば、実施の形態1と同様に、決定層15が安全通信層12よりも通信プロトコルの上位の階層に位置するので、様々な通信制御方式を採用した安全通信のコネクションの切り替えを容易に行うことができる。
また、実施の形態2に係る制御システム1−2によれば、二つの制御ユニット5D,5Wの双方の決定層15D,15Wが、入出力ユニット4I,4Oとのコネクションを確立することを決定し、二つの制御ユニット5D,5Wの双方の安全通信層12D,12Wが、入出力ユニット4I,4Oの安全通信層12I,12Oとのコネクションを確立する。このために、実施の形態2に係る制御システム1−2によれば、駆動系制御ユニットから待機系制御ユニットへの切り替えをスムーズに行うことができる。
以上の実施の形態に示した構成は、本発明の内容の一例を示すものであり、別の公知の技術と組み合わせることも可能であるし、本発明の要旨を逸脱しない範囲で、構成の一部を省略、変更することも可能である。
1,1−2 制御システム、2,3 機器、4,4I,4O 入出力ユニット、5 制御ユニット、5D 一方の制御ユニット(第1の制御ユニット)、5W 他方の制御ユニット(第2の制御ユニット)、12,12D,12W 安全通信層(接続手段)、15,15D,15W 決定層(決定手段)。

Claims (3)

  1. プロセスオートメーション又はファクトリーオートメーション分野の設備に設置される機器に接続した入出力ユニットに接続した第1の制御ユニットと、前記第1の制御ユニットを代替可能な第2の制御ユニットと、を備え、前記第1の制御ユニットと前記第2の制御ユニットとのうちの一方の制御ユニットが前記入出力ユニットとのコネクションを確立する制御システムであって、
    前記一方の制御ユニットの前記入出力ユニットとのコネクションが切断された状態になると、前記第1の制御ユニットと前記第2の制御ユニットとのうちの他方の制御ユニットと前記入出力ユニットとのコネクションを確立することを決定する決定層と、
    前記決定層の決定結果通りに前記他方の制御ユニットと前記入出力ユニットとのコネクションを確立してから通信を行う通信層と、
    を備え、
    前記決定層は、前記通信層よりも前記制御システムの通信プロトコルの上位の階層に位置し、前記通信層は、安全データの誤り検出用の検出用符号と、前記検出用符号が生成された時刻を示すタイムスタンプとを備える安全通信用の情報を生成することを特徴とする制御システム。
  2. プロセスオートメーション又はファクトリーオートメーション分野の設備に設置される機器に接続した入出力ユニットに接続した第1の制御ユニットと、前記第1の制御ユニットを代替可能な第2の制御ユニットと、を備えた制御システムであって、
    前記第1の制御ユニットと前記第2の制御ユニットとの双方と、前記入出力ユニットとのコネクションを確立することを決定する決定層と、
    前記決定層の決定結果通りに前記第1の制御ユニットと前記第2の制御ユニットとの双方と前記入出力ユニットとのコネクションを確立してから通信を行う通信層と、を備え、
    前記第1の制御ユニットと前記第2の制御ユニットとのうちの一方の制御ユニットの前記入出力ユニットとのコネクションが切断された状態になると、前記第1の制御ユニットと前記第2の制御ユニットとのうちの他方の制御ユニットは、前記他方の制御ユニットと前記入出力ユニットとのコネクションを用いて、情報を送受信するとともに、前記決定層は、前記通信層よりも前記制御システムの通信プロトコルの上位の階層に位置し、前記通信層は、安全データの誤り検出用の検出用符号と、前記検出用符号が生成された時刻を示すタイムスタンプとを備える安全通信用の情報を生成する
    ことを特徴とする制御システム。
  3. プロセスオートメーション又はファクトリーオートメーション分野の設備に設置される機器に接続した入出力ユニットを制御する制御ユニットであって、
    前記入出力ユニットとのコネクションを確立することを決定する決定層と、
    前記決定層の決定結果通りに前記入出力ユニットとのコネクションを確立してから通信を行う通信層と、
    を備え、
    前記決定層は、前記通信層よりも前記制御ユニットの通信プロトコルの上位の階層に位置し、前記通信層は、安全データの誤り検出用の検出用符号と、前記検出用符号が生成された時刻を示すタイムスタンプとを備える安全通信用の情報を生成することを特徴とする制御ユニット。
JP2017558769A 2016-02-03 2016-02-03 制御システム及び制御ユニット Active JP6312948B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2016/053274 WO2017134783A1 (ja) 2016-02-03 2016-02-03 制御システム及び制御ユニット

Publications (2)

Publication Number Publication Date
JPWO2017134783A1 JPWO2017134783A1 (ja) 2018-03-15
JP6312948B2 true JP6312948B2 (ja) 2018-04-18

Family

ID=59499633

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017558769A Active JP6312948B2 (ja) 2016-02-03 2016-02-03 制御システム及び制御ユニット

Country Status (4)

Country Link
US (1) US10845788B2 (ja)
JP (1) JP6312948B2 (ja)
CN (1) CN108605060B (ja)
WO (1) WO2017134783A1 (ja)

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2575883B2 (ja) 1989-08-02 1997-01-29 東京瓦斯株式会社 相互バックアップ可能なシーケンサ機構
JP2993337B2 (ja) 1993-11-10 1999-12-20 神鋼電機株式会社 2重系のバスコントロ−ル方法
JPH10313348A (ja) 1997-05-12 1998-11-24 Yokogawa Electric Corp 二重化通信制御装置
JP3403021B2 (ja) * 1997-09-17 2003-05-06 株式会社東芝 伝送路二重化処理方式
JP2000224206A (ja) * 1999-02-02 2000-08-11 Fuji Electric Co Ltd フィールドバスシステムのマスタ局二重化方法
US7120692B2 (en) * 1999-12-02 2006-10-10 Senvid, Inc. Access and control system for network-enabled devices
JP2001306262A (ja) * 2000-04-26 2001-11-02 Hitachi Ltd 情報処理システムの制御方法および情報処理システム
JP2003309887A (ja) * 2002-04-17 2003-10-31 Mitsubishi Electric Corp 遠隔監視制御のための二重化通信装置および二重化通信方法
US20110314506A1 (en) * 2008-08-07 2011-12-22 Broadcom Corporation Point to multi-point wireless video delivery
JP5168025B2 (ja) * 2008-08-13 2013-03-21 富士ゼロックス株式会社 データ送信装置及び読取データ送信装置
JP5894516B2 (ja) * 2012-10-05 2016-03-30 株式会社日立製作所 制御システム
JP5836504B2 (ja) * 2012-12-20 2015-12-24 三菱電機株式会社 制御システム及びプログラム送信装置及び認証サーバ及びプログラム保護方法及びプログラム送信方法及びプログラム送信装置のプログラム
CN105579981B (zh) * 2013-09-26 2017-08-25 三菱电机株式会社 通信系统、备用装置以及通信方法

Also Published As

Publication number Publication date
JPWO2017134783A1 (ja) 2018-03-15
CN108605060A (zh) 2018-09-28
WO2017134783A1 (ja) 2017-08-10
US20190025804A1 (en) 2019-01-24
US10845788B2 (en) 2020-11-24
CN108605060B (zh) 2021-09-17

Similar Documents

Publication Publication Date Title
EP3346381B1 (en) Cloud service control device, cloud service control system, cloud service control method, program and storage medium
WO2017073071A1 (ja) 燃料電池装置、燃料電池システム、燃料電池システムの制御方法、及びコントローラ
CN103246242A (zh) 工厂监视控制装置以及工厂监视控制方法
JP2013201664A (ja) 冗長通信装置
JP6312948B2 (ja) 制御システム及び制御ユニット
JP2019128638A (ja) 二重化制御システム
JP2012128573A (ja) 二重化システムおよびそのシステムを用いたビル管理システム
CN111273577A (zh) 设施监视系统及设施监视系统的通信方法
TWI434159B (zh) 雙重系統控制裝置
JP6187508B2 (ja) 制御装置、バス回路、方法、及び、プログラム
JPWO2018116400A1 (ja) 制御装置および制御装置の故障時処理方法
JP2013254333A (ja) 多重系制御システム及びその制御方法
JP2008009518A (ja) 2重化オペレーションシステム
US7558192B1 (en) Method to increase system availability of critical hardware components
JP7211173B2 (ja) 通信制御装置、電子機器装置、通信制御方法、及び通信制御プログラム
JP4613019B2 (ja) コンピュータシステム
JP2015064737A (ja) プロセス計算機の冗長化装置および冗長化方法、並びに当該冗長化装置を適用したプロセス計算機
KR100606888B1 (ko) 이동통신 시스템에서 디지털 송수신기 보드 제어 이중화장치 및 방법
JP4566531B2 (ja) シリアル通信二重系制御装置
JP4844813B2 (ja) 二重化制御システム
JP6580913B2 (ja) 電子装置、管理装置、情報処理装置、制御システムおよび電源制御方法、並びにコンピュータ・プログラム
WO2017051702A1 (ja) 制御装置
CN116494893A (zh) 基于功能安全机制和中央计算架构的车辆控制方法及装置
JP2009048341A (ja) 冗長構成における異常データチェック方法及び装置
JP2010257361A (ja) 二重化フィールド機器

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171109

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171109

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20171109

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20171129

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20171205

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180201

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180220

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180320

R150 Certificate of patent or registration of utility model

Ref document number: 6312948

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250