JP6714981B2 - 多重化制御装置 - Google Patents

多重化制御装置 Download PDF

Info

Publication number
JP6714981B2
JP6714981B2 JP2015140698A JP2015140698A JP6714981B2 JP 6714981 B2 JP6714981 B2 JP 6714981B2 JP 2015140698 A JP2015140698 A JP 2015140698A JP 2015140698 A JP2015140698 A JP 2015140698A JP 6714981 B2 JP6714981 B2 JP 6714981B2
Authority
JP
Japan
Prior art keywords
output
unit
value
signal
units
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015140698A
Other languages
English (en)
Other versions
JP2017021712A (ja
Inventor
中谷 博司
博司 中谷
俊也 丸地
俊也 丸地
森 俊樹
俊樹 森
順陽 吉田
順陽 吉田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Energy Systems and Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Energy Systems and Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Energy Systems and Solutions Corp filed Critical Toshiba Corp
Priority to JP2015140698A priority Critical patent/JP6714981B2/ja
Publication of JP2017021712A publication Critical patent/JP2017021712A/ja
Application granted granted Critical
Publication of JP6714981B2 publication Critical patent/JP6714981B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明の実施形態は、多重化制御装置に関する。
一般に、発電プラント等を制御する制御装置は、制御装置の単一故障が発生しても出力を誤らずに制御を継続する必要がある。そのため、このような制御装置には、単一故障時にも出力を誤らずに制御を継続できるように、三重化以上の多重化アーキテクチャが用いられることが多い。このような制御装置を、多重化制御装置と呼ぶ。
図15は、従来の多重化制御装置2の構成の例を示すブロック図である。
図15の多重化制御装置2は、三重化制御装置であり、入力装置1A〜1Cと出力装置3とに接続されている。この多重化制御装置2は、入力部10A〜10Cと、演算部20A〜20Cと、出力部30A〜30Cと、多数決部40とを備えている。また、演算部20A〜20Cはそれぞれ、演算処理部21A〜21Cと、診断部22A〜22Cと、通信部23A〜23Cとを備えている。この多重化制御装置2は、入力部10A、演算部20A、および出力部30Aを含むA系と、入力部10B、演算部20B、および出力部30Bを含むB系と、入力部10C、演算部20C、および出力部30Cを含むC系の3系統を備えている。
入力部10A〜10Cはそれぞれ、入力装置1A〜1Cから入力信号を受け取り、受け取った入力信号を入力値に変換し、入力値を入力値線51A〜51Cに出力する。演算部20A〜20Cはそれぞれ、入力値線51A〜51Cから入力値を受け取り、受け取った入力値を演算して出力値を生成し、出力値を出力値線52A〜52Cに出力する。出力部30A〜30Cは、出力値線52A〜52Cから出力値を受け取り、受け取った出力値を出力信号に変換し、出力信号を出力信号線53A〜53Cに出力する。
演算処理部21Aは、入力部10Aからの入力値を演算して出力値を生成し、出力値を出力値線52Aに出力する。これは、演算処理部21B、21Cでも同様である。
通信部23A、23Bは、ネットワーク55Aにより互いに接続されている。通信部23B、23Cは、ネットワーク55Bにより互いに接続されている。通信部23C、23Aは、ネットワーク55Cにより互いに接続されている。
通信部23Aは、入力部10Aからの入力値や、演算処理部21Aにより生成された出力値を、ネットワーク55A、55Cを介して通信部23B、23Cに供給する。また、通信部23Aは、入力部10Bからの入力値や、演算処理部21Bにより生成された出力値を、ネットワーク55Aを介して通信部23Bから受け取る。また、通信部23Aは、入力部10Bからの入力値や、演算処理部21Cにより生成された出力値を、ネットワーク55Cを介して通信部23Cから受け取る。これは、通信部23B、23Cでも同様である。
診断部22Aは、入力部11Aから受け取った入力値や、演算処理部21Aにより生成された出力値や、通信部23B、23Cから受け取った入力値や出力値を用いて診断処理を行う。これは、診断部22B、22Cでも同様である。
多数決部40は、出力信号線53A〜53Cから出力信号を受け取り、受け取った出力信号の多数決を取る多数決演算を行い、多数決で選択された出力信号をシステム出力信号として出力する。システム出力信号は、システム出力信号線54を介して出力装置3に出力される。多数決部40は、3つの出力信号の中から2つ以上の出力信号と一致するシステム出力信号を選択する「2 out of 3」の多数決演算を行う。出力装置3の動作は、このシステム出力信号により制御される。
これにより、多重化制御装置2は、入力部10A〜10C、演算部20A〜20C、および出力部30A〜30Cのうちの1か所に故障が発生しても、正しい出力で制御を継続することができる。理由は、この故障により出力部30A〜30Cの1つが正しい出力を行えなくなるものの、他の2つが正しい出力を行えるため、多重化制御装置2は多数決で正しい出力を行えるからである。
前述のように、多重化制御装置2は、このような単一故障が発生しても制御を継続する必要がある。多重化制御装置2は、第1の故障が発生した場合でも、その故障状態が維持されたまま、制御を継続することが要求される。この場合に、予期せぬ第2の故障が発生すると、以下の仕組みにより多重化制御装置2の出力に異常が生じるおそれがある。
図16は、図15の多重化制御装置2の動作を説明するための表である。
出力部30Aに第1の故障が発生した場合、多数決部40では正常出力が2対1で多数となり、システム出力信号は多数決により正常値となる。しかしながら、第1の故障状態が維持されたまま出力部30Bに第2の故障が発生すると、多数決部40では異常出力が2対1で多数となり、システム出力信号は多数決により異常値となってしまう。
図17は、従来の多重化制御装置2の構成の別の例を示すブロック図である。
図17では、このような二重故障の問題を解決するために、故障系統に関する情報を検出して多数決部40に入力することで、異常出力が多数派とならないように多数決部40で多数決結果を操作する。具体的には、故障系統検出部61が、出力部30A〜30Cのうちのどの出力部が故障しているかの情報を、信号線62を介して多数決部40に入力する。これにより、多数決部40で出力を操作することができ、二重故障時にも制御対象機器(出力装置3)が安全側状態となる安全信号を出力することができる。
特許第4701203号公報 特開2011−216020号公報
しかしながら、図17の多重化制御装置2では、多数決部40に、故障系統検出部61から故障系統情報を入力する機能と、多数決結果を操作する機能とが必要となる。そのため、図17の多数決部40は、複雑な演算機能を有する装置として構成する必要がある。
一方、発電プラント用の多重化制御装置2の出力部30A〜30Cは、発電プラントの様々な出力信号仕様に合わせて設計される必要がある。しかしながら、図17のように多数決部40に複雑な演算機能を持たせる場合には、様々な出力信号仕様に適合した多数決部40を用意することが難しい。そのため、この場合には、発電プラントの各所で適用可能な多重化制御装置2を提供することが難しくなる。
そこで、本発明は、出力部等の機能により二重故障に対応可能な多重化制御装置を提供することを課題とする。
一の実施形態によれば、多重化制御装置は、入力信号を入力値に変換し、前記入力値を出力する第1から第N入力部(Nは3以上の整数)を備える。前記装置はさらに、前記入力値を演算して出力値を生成し、前記出力値を出力する第1から第N演算部を備える。前記装置はさらに、前記出力値を出力信号に変換し、前記出力信号を、前記出力信号の多数決演算を行う多数決部に出力する第1から第N出力部を備える。さらに、各出力部は、第1および第2回路を備え、前記出力値を第1および第2信号に変換し、前記第1および第2信号をそれぞれ前記第1および第2回路に供給する。さらに、第X出力部(Xは1〜Nの整数)の前記第2回路は、前記第X出力部により生成された前記第2信号を受け取り、受け取った前記第2信号を第Y出力部(YはXと異なる1〜Nの整数)の前記第1回路に出力する。さらに、前記第X出力部の前記第1回路は、前記第X出力部により生成された前記第1信号を受け取り、第Z出力部(ZはXおよびYと異なる1〜Nの整数)の前記第2回路から前記第2信号を受け取り、受け取った前記第1および第2信号の少なくともいずれかを前記出力信号として前記多数決部に出力する。
第1実施形態の多重化制御装置の構成を示すブロック図である。 第1実施形態の多重化制御装置の出力部の構成を示すブロック図である。 第1実施形態の多重化制御装置の動作を示すシーケンス図である。 第1実施形態の多重化制御装置の動作を示す別のシーケンス図である。 第1実施形態の多重化制御装置の故障時の動作を説明するための表である。 第2実施形態の多重化制御装置の出力部の構成を示すブロック図である。 第2実施形態の多重化制御装置の故障について説明するための表である。 第3実施形態の多重化制御装置の演算部の構成を示すブロック図である。 第3実施形態の多重化制御装置の故障について説明するための表である。 第4実施形態の多重化制御装置の出力部の構成を示すブロック図である。 第4実施形態の多重化制御装置の動作を説明するための表である。 第7実施形態の多重化制御装置の動作を説明するための表である。 第7実施形態の多重化制御装置の動作を説明するための表である。 第8実施形態の多重化制御装置の演算部の構成を示すブロック図である。 従来の多重化制御装置の構成の例を示すブロック図である。 図15の多重化制御装置の動作を説明するための表である。 従来の多重化制御装置の構成の別の例を示すブロック図である。
以下、本発明の実施形態を、図面を参照して説明する。
図1〜図14において、図15や図17に示す構成要素と同一または類似の構成要素には同一の符号を付し、図15や図17の説明と重複する説明は省略する。
(第1実施形態)
図1は、第1実施形態の多重化制御装置2の構成を示すブロック図である。
図1の多重化制御装置2は、第1から第N入力部(Nは3以上の整数)の例である入力部10A〜10Cと、第1から第N演算部の例である演算部20A〜20Cと、第1から第N出力部の例である出力部30A〜30Cと、多数決部40とを備えている。演算部20A〜20Cはそれぞれ、演算処理部21A〜21Cと、診断部22A〜22Cと、通信部23A〜23Cとを備えている。
入力部10Aは、入力装置1Aから受け取った入力信号を入力値に変換し、この入力値を入力値線51Aに出力する。演算部20Aは、入力値線51Aから受け取った入力値を演算して出力値を生成し、この出力値を出力値線52Aに出力する。また、演算部20Aは、演算部20Cにより生成された出力値をネットワーク55Cから受け取り、この出力値を出力値線52Aに出力する。出力部30Aは、出力値線52Aから受け取った出力値を出力信号に変換し、この出力信号を出力信号線53Aに出力する。
同様に、入力部10Bは、入力装置1Bから受け取った入力信号を入力値に変換し、この入力値を入力値線51Bに出力する。演算部20Bは、入力値線51Bから受け取った入力値を演算して出力値を生成し、この出力値を出力値線52Bに出力する。また、演算部20Bは、演算部20Aにより生成された出力値をネットワーク55Aから受け取り、この出力値を出力値線52Bに出力する。出力部30Bは、出力値線52Bから受け取った出力値を出力信号に変換し、この出力信号を出力信号線53Bに出力する。
同様に、入力部10Cは、入力装置1Cから受け取った入力信号を入力値に変換し、この入力値を入力値線51Cに出力する。演算部20Cは、入力値線51Cから受け取った入力値を演算して出力値を生成し、この出力値を出力値線52Cに出力する。また、演算部20Cは、演算部20Bにより生成された出力値をネットワーク55Bから受け取り、この出力値を出力値線52Cに出力する。出力部30Cは、出力値線52Cから受け取った出力値を出力信号に変換し、この出力信号を出力信号線53Cに出力する。
多数決部40は、出力信号線53A〜53Cから出力信号を受け取り、受け取った出力信号の多数決を取る多数決演算を行い、多数決で選択された出力信号をシステム出力信号として出力する。システム出力信号は、システム出力信号線54を介して出力装置3に出力される。多数決部40は、3つの出力信号の中から2つ以上の出力信号と一致するシステム出力信号を選択する「2 out of 3」の多数決演算を行う。出力装置3の動作は、このシステム出力信号により制御される。
入力信号の例は、スイッチやボタンの操作内容を示す信号や、温度センサや圧力センサにより測定された温度や圧力を示す信号や、機器の速度や回転数を示す信号である。本実施形態の入力装置1A〜1Cは、入力部10A〜10Cに同一の入力信号を供給する。入力信号は、デジタル信号でもアナログ信号でもよいし、パルス信号でもよい。
入力信号がデジタル信号である場合、入力部10A〜10Cは例えば、入力信号のデジタルフィルタ処理により入力信号を入力値に変換する。入力信号がアナログ信号である場合、入力部10A〜10Cは例えば、入力信号のA/ D(アナログデジタル)変換により入力信号を入力値に変換する。入力信号がパルス信号である場合、入力部10A〜10Cは例えば、パルスの個数をカウントすることで入力信号を入力値に変換する。
一方、出力装置3の例は、発電プラント内のモータや弁である。出力値の例は、モータや弁を稼働させるためのデジタル出力条件を示す値である。出力部30A〜30Cは例えば、このような出力値を2値化することで出力値を出力信号に変換する。
図1の多重化制御装置2はさらに、信号線56A〜56Cを備えている。信号線56Aは、出力部30A、30Bに接続され、出力信号線53Aと直列に接続されている。信号線56Bは、出力部30B、30Cに接続され、出力信号線53Bと直列に接続されている。信号線56Cは、出力部30C、30Aに接続され、出力信号線53Cと直列に接続されている。信号線56A〜56Cの詳細は、図2を参照して説明する。
図2は、第1実施形態の多重化制御装置2の出力部30A〜30Cの構成を示すブロック図である。
出力部30A〜30Cはそれぞれ、第1回路の例である主出力回路31A〜31Cと、第2回路の例である副出力回路32A〜32Cとを備えている。主出力回路31A〜31Cはそれぞれ、出力信号線53A〜53Cにより多数決部40に接続されている。主出力回路31Aと副出力回路32Bは、信号線56Aにより互いに接続されている。主出力回路31Bと副出力回路32Cは、信号線56Bにより互いに接続されている。主出力回路31Cと副出力回路32Aは、信号線56Cにより互いに接続されている。副出力回路32A〜32Cはそれぞれ、信号線57A〜57Cにより固定電位(例えば接地電位)に接続されている。
さらに、出力部30A〜30Cはそれぞれ、テスト部36A〜36Cを備えている。テスト部36A〜36Cの詳細は、第7実施形態で説明する。
出力部30Aは、演算部20Aにより生成された出力値と、演算部20Cにより生成された出力値とを、出力値線52Aから受け取る。出力部30Aは、前者の出力値を第1信号の例である主出力信号に変換し、この主出力信号を主出力回路31Aに供給する。出力部30Aはさらに、後者の出力値を第2信号の例である副出力信号に変換し、この副出力信号を副出力回路32Aに供給する。
同様に、出力部30Bは、演算部20Bにより生成された出力値と、演算部20Aにより生成された出力値とを、出力値線52Bから受け取る。出力部30Bは、前者の出力値を第1信号の例である主出力信号に変換し、この主出力信号を主出力回路31Bに供給する。出力部30Bはさらに、後者の出力値を第2信号の例である副出力信号に変換し、この副出力信号を副出力回路32Bに供給する。
同様に、出力部30Cは、演算部20Cにより生成された出力値と、演算部20Bにより生成された出力値とを、出力値線52Cから受け取る。出力部30Cは、前者の出力値を第1信号の例である主出力信号に変換し、この主出力信号を主出力回路31Cに供給する。出力部30Cはさらに、後者の出力値を第2信号の例である副出力信号に変換し、この副出力信号を副出力回路32Cに供給する。
本実施形態の主出力信号と副出力信号は、上述の出力信号と同様の機能を有する信号である。例えば、出力信号がデジタル出力条件を示す2値信号である場合、主出力信号と副出力信号もデジタル出力条件を示す2値信号である。本実施形態の主出力信号と副出力信号はいずれも、上述の出力信号として機能することができる。
本実施形態の主出力回路31A〜31Cと副出力回路32A〜32Cはそれぞれ、出力信号線53A〜53Cと信号線56A〜56Cに対するスイッチとして機能し、主出力信号や副出力信号に従い安全側状態と危険側状態の2つのスイッチ状態を取る。
スイッチの安全側状態とは、例えば信号線の解放状態を指し、信号線が開いた状態を指す。一方、スイッチの危険側状態とは、例えば信号線の接続状態を指し、信号線が閉じた状態を指す。この場合、出力部30A〜30Cの電源が切れている場合の各スイッチの状態が、安全側状態に相当する。この場合のシステム出力信号の例は、発電プラントを駆動させるモータに電力を供給するための制御信号である。理由は、このようなモータは一般に、電力が供給されて動作状態にあるよりも、電力が遮断されて停止状態にある方が安全であるからである。
本実施形態では、信号線の解放状態が安全側状態であるが、信号線の接続状態が安全側状態である場合も考えられる。この場合のシステム出力信号の例は、発電プラント内の電磁弁に電力を供給するための制御信号である。理由は、このような電磁弁は一般に、電力が遮断されて動作できない状態にあるよりも、電力が供給されて動作できる状態にある方が安全であるからである。このような場合の例は、第6実施形態で説明する。
以下、出力部30A〜30Cが出力信号を出力する動作を、出力部30Aの動作を例として説明する。以下の説明において、出力部30Aは、第X出力部(Xは1〜Nの整数)の例である。出力部30Cは、第Y出力部(YはXと異なる1〜Nの整数)の例である。出力部30Bは、第Z出力部(ZはXおよびYと異なる1〜Nの整数)の例である。演算部20Aは、第X出力部に対応する第X演算部の例である。演算部20Cは、第Y出力部に対応する第Y演算部の例である。以下の説明は、出力部30Aだけでなく、出力部30B、30Cにも当てはまる。
出力部30Aの副出力回路32Aは、出力部30Aにより生成された副出力信号を受け取る。副出力信号は、解放状態を示す第1値と、接続状態を示す第2値のいずれかの値を有する。第1値の例はハイであり、第2値の例はローである。この副出力信号が第1値を有する場合には、副出力回路32Aは解放状態となる。その結果、第1値を有する副出力信号が、副出力回路32Aから信号線56Cを介して出力部30Cの主出力回路31Cに出力される。一方、この副出力信号が第2値を有する場合には、副出力回路32Aは接続状態となる。その結果、第2値を有する副出力信号が、副出力回路32Aから信号線56Cを介して出力部30Cの主出力回路31Cに出力される。
出力部30Aの主出力回路31Aは、出力部30Aにより生成された主出力信号を受け取る。主出力信号も、解放状態を示す第1値と、接続状態を示す第2値のいずれかの値を有する。前述のように、第1値の例はハイであり、第2値の例はローである。この主出力信号が第1値を有する場合には、主出力回路31Aは解放状態となる。その結果、第1値を有する主出力信号が、出力信号として主出力回路31Aから出力信号線53Aを介して多数決部54に出力される。一方、この主出力信号が第2値を有する場合には、主出力回路31Aは接続状態となる。その結果、第2値を有する主出力信号が、出力信号として主出力回路31Aから出力信号線53Aを介して多数決部54に出力される。
また、出力部30Aの主出力回路31Aは、出力部30Bの副出力回路32Bから信号線56Aを介して副出力信号を受け取る。前述のように、信号線56Aは出力信号線53Aに直列に接続されている。よって、この副出力信号が第1値を有する場合には、第1値を有する副出力信号が、出力信号として主出力回路31Aから出力信号線53Aを介して多数決部54に出力される。一方、この副出力信号が第2値を有する場合には、第2値を有する副出力信号が、出力信号として主出力回路31Aから出力信号線53Aを介して多数決部54に出力される。
本実施形態では、解放状態を示す第1値の例は正電圧であり、接続状態を示す第2値の例はゼロ電圧である。よって、主出力回路31Aと副出力回路32Bの少なくとも一方が解放状態になれば、出力信号線53Aは解放状態となる。一方、主出力回路31Aと副出力回路32Bの両方が接続状態になれば、出力信号線53Aは接続状態となる。このように、出力部30Aの出力信号線53Aの状態は、主出力回路31Aにより出力部30A自身が操作できるだけでなく、副出力回路32Bにより隣の出力部30Bも操作できる。同様に、出力信号線53Bの状態は出力部30B、30Cが操作することができ、出力信号線53Cの状態は出力部30C、30Aが操作することができる。
なお、主出力回路31Aと副出力回路32Bのうち、主出力回路31Aのみが解放状態の場合には、第1値を有する主出力信号が、出力信号線53Aの出力信号となる。また、主出力回路31Aと副出力回路32Bのうち、副出力回路32Bのみが解放状態の場合には、第1値を有する副出力信号が、出力信号線53Aの出力信号となる。一方、主出力回路31Aと副出力回路32Bの両方が解放状態の場合には、第1値を有する主出力信号と第1値を有する副出力信号の合成信号が、出力信号線53Aの出力信号となる。
図3は、第1実施形態の多重化制御装置2の動作を示すシーケンス図である。図3は、出力信号線53Aの取り扱いに注目したシーケンス図を示している。
まず、入力部10A、10Bが、入力信号を入力値に変換する(ステップS1A、S1B)。次に、演算部20A、20Bが、入力値から出力値を生成する(ステップS2A、S2B)。次に、演算部20A、20B(および20C)が、生成した出力値を互いに交換する(ステップS3A、S3B)。次に、演算部20A、20Bがそれぞれ、生成した出力値と交換した出力値とを出力部30A、30Bに送信する(ステップS4A、S4B)。
次に、出力部30Aが、主出力回路31Aに対して主出力処理を行うと共に、出力部30Bが、副出力回路32Bに対して副出力処理を行う(ステップS5A、S5B)。具体的には、出力部30Aは、出力値を主出力信号に変換し、主出力信号を主出力回路31Aに供給する。一方、出力部30Bは、出力値を副出力信号に変換し、副出力信号を副出力回路32Bに供給する。その結果、出力信号線53Aが解放状態または接続状態となる。
出力部30A、30Bに故障がない場合には、主出力回路31Aと副出力回路32Bは同期して動作し、主出力回路31Aと副出力回路32Bの状態により出力信号線53Aの状態が決定される。これは、出力信号線53B、53Cでも同様である。
図4は、第1実施形態の多重化制御装置2の動作を示す別のシーケンス図である。図4は、出力信号線53A〜53Cの取り扱いに注目したシーケンス図を示している。
図4のステップS1A〜S5Cの処理は、図3のステップS1A〜S5Bの処理と同様に行われる。その結果、出力部30A〜30Cからの出力信号により出力信号線53A〜53Cが解放状態または接続状態となる。次に、多数決部40が、これらの出力信号の多数決演算を行い、システム出力信号を出力する(ステップS6、S7)。
図5は、第1実施形態の多重化制御装置2の故障時の動作を説明するための表である。
図5は、出力部30Aに異常が発生した場合の信号線53A、53B、53C、54の状態と、出力部30A、30Bに異常が発生した場合の信号線53A、53B、53C、54の状態とを示している。前者は一重故障(単一故障)に相当し、後者は二重故障に相当する。
まず、第1の故障が出力部30Aに発生した場合、主出力回路31Aと副出力回路32Aは誤った出力状態となる。しかしながら、信号線53Aの状態は、主出力回路31Aだけでなく副出力回路32Bにも依存するため、正しい状態となる。同様に、信号線53Cの状態は、副出力回路32Aだけでなく主出力回路31Cにも依存するため、正しい状態となる。一方、信号線53Bの状態は、主出力回路31Aにも副出力回路32Aにも依存しないため、正しい状態となる。
このように、第1の故障が出力部30Aに発生した場合、信号線53A〜53Cの状態は、いずれも正しい状態となる。よって、システム出力信号線54の状態も、正しい状態となる。
次に、第1の故障が解消されないまま第2の故障が出力部30Bに発生した場合、信号線53Aは誤った状態となる。しかしながら、残りの信号線53B、53Cは正しい状態に保たれる。よって、多数決部40では正常出力が2対1で多数派となり、システム出力信号線54は正しい状態となる。
以上のように、本実施形態の出力部30A〜30Cはそれぞれ、主出力回路31A〜31Cと副出力回路32A〜32Cとを備え、出力信号線53A〜53Cの各々を、異なる出力部内の主出力回路と副出力回路により制御する。よって、本実施形態によれば、出力部30A〜30Cに二重故障が発生した場合でも、正常出力が多数となる出力信号を多数決部40に供給することができる。
よって、本実施形態では例えば、多数決部40に複雑な構成を持たせずに、単純な構成の多数決部40を採用しても、多重化制御装置2の二重故障時にも安全な制御を継続することができる。このように、本実施形態によれば、出力部30A〜30C等の機能により二重故障に対応可能な多重化制御装置2を提供することが可能となる。
さらに、本実施形態の主出力回路31A〜31Cは、主出力信号と副出力信号の安全側状態(解放状態)をOR演算で取り扱い、主出力信号と副出力信号の危険側状態(接続状態)をAND演算で取り扱うよう動作する。よって、本実施形態では、システム出力信号が誤った状態になる場合において、システム出力信号が誤って危険側状態になる割合を減らし、システム出力信号が誤って安全側状態になる割合を増やすことができる。よって、本実施形態によれば、多重化制御装置2の故障時の安全性を高めることが可能となる。
(第2実施形態)
図6は、第2実施形態の多重化制御装置2の出力部30Aの構成を示すブロック図である。以下の説明は、出力部30B、30Cにも当てはまる。
本実施形態の出力部30Aは、主出力回路31Aと、副出力回路32Aと、診断部の例である診断入力部33Aと、第1判定部の例である判定部34Aとを備えている。
診断入力部33Aは、信号線56Aにおける信号の値を診断する。これにより、この信号の値が第1値であるか第2値であるかが診断される。前述のように、信号線56Aは出力信号線53Aと直列に接続されている。そのため、信号線56Aにおける信号の値は、出力信号線53Aにおける信号の値と同一である。よって、診断入力部33Aは、信号線56Aにおける信号の値を診断することで、出力部30Aから多数決部40に供給される出力信号の値を診断することができる。診断入力部33Aは例えば、フオトカプラなどの回路要素により構成される。
判定部34Aは、出力部30Aにより生成された主出力信号の値と、診断入力部33Aにより診断された出力信号の値とに基づいて、出力部30A、30Bにおける故障を検出する。例えば、主出力信号の値と出力信号の値が異なる場合には、出力部30A、30Bにおいて故障が発生していると判定される。理由は、この出力信号の値は、出力部30Aからの主出力信号と、出力部30Bからの副出力信号とに依存しているからである。判定部34Aは例えば、MPU(Micro Processing Unit)やFPGA(Field Programmable Gate Array)などの論理演算要素により構成される。
図7は、第2実施形態の多重化制御装置2の故障について説明するための表である。
図7は、故障要因を出力回路30A〜30Cに限定した場合において、判定部34Aにより故障が発生していると判定されるパターンをすべて示している。この場合、主出力回路31Aと診断入力回路33Aのうちの主出力回路31Aのみが異常な場合と、主出力回路31Aと診断入力回路33Aのうちの診断入力回路33Aのみが異常な場合と、信号線56Aが異常な場合とが起こり得る。信号線56Aが異常である場合には、出力信号線53Aの出力信号が異常であるため、主出力回路31Aおよび/または副出力回路32Bが異常である。
以上のように、本実施形態では、出力部30Aにより、出力部30Aに起因する故障だけでなく、出力部30Bに起因する故障も検出することができる。よって、本実施形態によれば、各出力部が他の出力部の故障をも検出することで、故障検出性能を高めることが可能となる。なお、本実施形態の故障検出結果の利用方法の例は、後述する実施形態にて説明する。
(第3実施形態)
図8は、第3実施形態の多重化制御装置2の演算部20Aの構成を示すブロック図である。以下の説明は、演算部20B、20Cにも当てはまる。
本実施形態の演算部20Aは、前述のように、演算処理部21Aと、診断部22Aと、通信部23Aとを備えている(不図示)。本実施形態の演算部20Aはさらに、第2判定部の例である系統間判定部24Aを備えている。
本実施形態の出力部30A〜30Cは、第2実施形態の出力部30Aと同様の構成を有している。出力部30Aは、判定部34Aの故障検出結果を出力値線52Aを介して演算部20Aに供給する。これにより、演算部20Aは出力部30Aから故障検出結果を取得することができる。同様に、演算部20B、20Cはそれぞれ出力部30B、30Cから故障検出結果を取得することができる。さらに、演算部20A〜20Cは、これらの故障検出結果をネットワーク55A〜55Cを介して交換する。これにより、演算部20Aの系統間判定部24Aは、出力部30A〜30Cによる故障検出結果を取得することができる。これは、演算部20B、20Cでも同様である。
出力部30A(判定部34A)による故障検出結果は、出力部30A、30Bにおける故障の検出結果を示している。同様に、出力部30Bによる故障検出結果は、出力部30B、30Cにおける故障の検出結果を示し、出力部30Cによる故障検出結果は、出力部30C、30Aにおける故障の検出結果を示している。よって、本実施形態の系統間判定部24Aは、これらの故障検出結果に基づいて、出力部30A〜30Cの故障箇所を特定することができる。例えば、出力部30A、30Cによる故障検出結果が故障の発生を示している場合には、出力部30Aに故障が存在する可能性があると判定可能である。
図9は、第3実施形態の多重化制御装置2の故障について説明するための表である。
図9は、出力部30Aに異常が発生した場合の判定部34A〜34Cの故障検出結果を示している。出力部30Aの判定部34Aと同様に、判定部34B、34Cはそれぞれ出力部30B、30C内に設けられている。また、出力部30Aの診断入力部33Aと同様に、診断入力部33B、33Cはそれぞれ出力部30B、30C内に設けられている。
出力部30Aについては、判定部34A、34Cの2つの判定部が故障可能性ありと判定している。一方、出力部30Bについては、1つの判定部が故障可能性ありと判定し、1つの判定部が故障可能性なしと判定している。同様に、出力部30Cについては、1つの判定部が故障可能性ありと判定し、1つの判定部が故障可能性なしと判定している。
本実施形態の系統間判定部24Aは、これらの判定結果に多数決論理を適用することで故障箇所を特定することができる。具体的には、出力部30Aは2つの判定部により故障可能性ありと判定され、出力部30Bは1つの判定部により故障可能性ありと判定され、出力部30Cは1つの判定部により故障可能性ありと判定されたため、多数決により出力部30Aに故障があると判定することができる。
以上のように、本実施形態では、系統間判定部24Aにより、出力部30A〜30Cの故障箇所を特定することができる。よって、本実施形態によれば、第2実施形態よりもさらに高精度の故障判定が可能となる。
(第4実施形態)
図10は、第4実施形態の多重化制御装置2の出力部30Aの構成を示すブロック図である。以下の説明は、出力部30B、30Cにも当てはまる。
本実施形態の出力部30Aは、主出力回路31Aと、副出力回路32Aと、診断入力部33Aと、判定部34Aと、指示部の例である安全停止指示部35Aとを備えている。図10では、作図の便宜上、出力値線52Aと主出力回路31Aおよび副出力回路32Aとの間の配線の図示が省略されている。
本実施形態の演算部20A〜20Cは、第3実施形態の演算部20Aと同様の構成を有している。演算部20Aは、系統間判定部24Aの故障箇所特定結果を出力値線52Aを介して出力部30Aに供給する。これにより、出力部30Aの安全停止指示部35Aは、演算部20Aから故障検出結果を取得することができる。これは、出力部30B、30Cでも同様である。
安全停止指示部35Aは、判定部34Aから故障検出結果を受け取り、系統間判定部24Aから故障箇所特定結果を受け取る。故障検出結果は、出力部30A、30Bにおける故障の検出結果を示している。故障箇所特定結果は、出力部30A〜30Cの故障箇所の特定結果を示している。例えば、故障箇所特定結果は、出力部30Aに故障があるという判定結果を、出力部30Aの停止を指示するという形で示している。以下、故障検出結果を「第1判定結果」と表記し、故障箇所特定結果を「第2判定結果」と表記する。
安全停止指示部35Aは、第1判定結果と第2判定結果をOR演算で取り扱う。具体的には、安全停止指示部35Aは、第1判定結果が出力部30A、30Bに故障があることを示している場合、または、第2判定結果が出力部30Aに故障があることを示している場合に、主出力回路31Aと副出力回路32Aに安全停止指示を発行する。安全停止指示は、主出力回路31Aの状態や副出力回路32Aの状態を安全側状態(解放状態)に遷移させる指示である。これらの回路が安全側状態に遷移することで、出力部30Aの出力信号線53Aが安全側状態(解放状態)に遷移する。
出力部30Aは、演算部20Aからの出力値よりも、安全停止指示部35Aからの安全停止指示を優先して取り扱う。よって、演算部20Aが出力部30Aに出力値を出力しても、安全停止指示部35Aが安全停止指示を発行した場合には、主出力回路31Aと副出力回路32Aは安全側状態に遷移する。
第1判定結果が出力部30A、30Bに故障があることを示している場合、出力部30Aのみが故障している場合と、出力部30Bのみが故障している場合と、出力部30Aと出力部30Bの両方が故障している場合とがあり得る。本実施形態の安全停止指示部35Aは、これらのいずれの場合にも主出力回路31Aと副出力回路32Aを安全側状態(解放状態)に遷移させる。主出力回路31Aが解放状態になることで、出力部30Aの出力信号線53Aが解放状態となる。また、副出力回路32Aが解放状態になることで、出力部30Cの出力信号線53Cも解放状態となる。このように、本実施形態では、1つの出力部が安全停止指示を発行すると、2本の出力信号線が安全側状態へと遷移する。
図11は、第4実施形態の多重化制御装置2の動作を説明するための表である。
多重化制御装置2は、安全停止指示部35Aが第1判定結果と第2判定結果をAND演算で取り扱うかOR演算で取り扱うかを設定するための設定部を備えている。設定部に設定値「AND演算」が設定されていると、安全停止指示部35AはこれらをAND演算で取り扱う。一方、設定部に設定値「OR演算」が設定されていると、安全停止指示部35AはこれらをOR演算で取り扱う。
本実施形態では、設定部に設定値「OR演算」が設定されている。一方、後述する第5実施形態では、設定部に設定値「AND演算」が設定されている。
以上のように、本実施形態では、出力部30A〜30Cのいずれかが故障した場合に、安全停止指示により2本の出力信号線が安全側状態に遷移する。その結果、多数決部40の多数決演算により、システム出力信号線54が安全側状態に遷移する。よって、本実施形態によれば、1つの出力部の故障でもシステム出力信号線54が安全側状態に遷移する安全性の高い多重化制御装置2を実現することできる。
(第5実施形態)
第5実施形態は、第4実施形態と同様に、図10と図11を参照して説明する。
本実施形態の出力部30Aは、図10に示すように、主出力回路31Aと、副出力回路32Aと、診断入力部33Aと、判定部34Aと、指示部の例である安全停止指示部35Aとを備えている。本実施形態では、上述の設定部に設定値「AND演算」が設定されている(図11参照)。
よって、本実施形態の安全停止指示部35Aは、第1判定結果が出力部30A、30Bに故障があることを示している場合、かつ、第2判定結果が出力部30Aに故障があることを示している場合に、安全停止指示を発行する。ただし、この安全停止指示は、主出力回路31Aのみに発行され、副出力回路32Aには発行されない。これにより、主出力回路31Aが安全側状態(解放状態)に遷移し、その結果、出力部30Aの出力信号線53Aが安全側状態(解放状態)に遷移する。
第1判定結果が出力部30A、30Bに故障があることを示している場合、出力部30Aが故障している場合と、出力部30Aが故障していない場合とがあり得る。よって、本実施形態の安全停止指示部35Aは、第1判定結果のみに基づいて安全停止指示を発行せずに、第1および第2判定結果に基づいて安全停止指示を発行する。これにより、出力部30Aが故障している場合のみに、出力部30Aの出力信号線53を安全側状態に遷移させることができる。
この場合、安全停止指示が副出力回路32Aに発行されると、出力部30Cが故障していないにもかかわらず、出力部30Aの出力信号線53が安全側状態に遷移してしまう。そのため、本実施形態の安全停止指示部35Aは、主出力回路31Aのみに安全停止指示を発行し、副出力回路32Aには安全停止指示を発行しない。このように、本実施形態では、1つの出力部が安全停止指示を発行すると、1本の出力信号線が安全側状態へと遷移する。
以上のように、本実施形態では、出力部30A〜30Cのいずれかが故障した場合に、安全停止指示により1本の出力信号線が安全側状態に遷移する。この場合、多数決部40の多数決演算により、システム出力信号線54は安全側状態には遷移せず、もとの状態に維持される。よって、本実施形態によれば、ある出力部が故障した場合にはその出力部のみを停止させることができ、故障のない出力部の停止を防ぐことができる。よって、本実施形態によれば、出力部30A〜30Cの故障に対する安全性と、出力部30A〜30Cの一重故障時の運転継続性とを両立させることが可能となる。
なお、第4および第5実施形態の安全停止指示部35Aは、第1および第2判定結果の両方を取得可能であり、第1判定結果または/および第2判定結果に基づいて安全停止指示を発行するが、第1および第2判定結果の片方のみを取得可能でもよい。この場合、第4および第5実施形態の安全停止指示部35Aは、取得可能な第1判定結果のみに基づいて安全停止指示を発行してもよいし、取得可能な第2判定結果のみに基づいて安全停止指示を発行してもよい。
(第6実施形態)
第6実施形態は、第1実施形態と同様に、図2を参照して説明する。以下の説明では、まず第1〜第5実施形態について図2を参照して説明し、次に第6実施形態について図2を参照して説明する。
第1〜第5実施形態における安全側状態とは、信号線の解放状態を指し、信号線が開いた状態を指す。一方、危険側状態とは、信号線の接続状態を指し、信号線が閉じた状態を指す。この場合のシステム出力信号の例は、発電プラントを駆動させるモータに電力を供給するための制御信号である。理由は、このようなモータは一般に、電力が供給されて動作状態にあるよりも、電力が遮断されて停止状態にある方が安全であるからである。
図2において、出力部30Aの出力信号線53Aの状態は、出力信号線53Aに主出力信号を出力する主出力回路31Aと、出力信号線53Aに副出力信号を出力する副出力回路32Bにより制御される。主出力信号と副出力信号は、解放状態を示す第1値と、接続状態を示す第2値のいずれかの値を有する。第1〜第5実施形態では、解放状態を示す第1値の例は正電圧であり、接続状態を示す第2値の例はゼロ電圧である。よって、主出力回路31Aと副出力回路32Bの少なくとも一方が解放状態になれば、出力信号線53Aは解放状態となる。一方、主出力回路31Aと副出力回路32Bの両方が接続状態になれば、出力信号線53Aは接続状態となる。
このように、第1〜第5実施形態では、主出力信号と副出力信号の安全側状態(解放状態)がOR演算で扱われ、主出力信号と副出力信号の危険側状態(接続状態)がAND演算で扱われる。よって、システム出力信号が誤った状態になる場合において、システム出力信号が誤って危険側状態になる割合を減らし、システム出力信号が誤って安全側状態になる割合を増やすことができる。
一方、本実施形態における安全側状態とは、信号線の接続状態を指し、信号線が閉じた状態を指す。一方、危険側状態とは、信号線の解放状態を指し、信号線が開いた状態を指す。この場合のシステム出力信号の例は、発電プラント内の電磁弁に電力を供給するための制御信号である。理由は、このような電磁弁は一般に、電力が遮断されて動作できない状態にあるよりも、電力が供給されて動作できる状態にある方が安全であるからである。
本実施形態では、解放状態を示す第1値の例はゼロ電圧であり、接続状態を示す第2値の例は正電圧である。よって、主出力回路31Aと副出力回路32Bの少なくとも一方が接続状態になれば、出力信号線53Aは接続状態となる。一方、主出力回路31Aと副出力回路32Bの両方が解放状態になれば、出力信号線53Aは解放状態となる。
このように、本実施形態では、主出力信号と副出力信号の安全側状態(接続状態)がOR演算で扱われ、主出力信号と副出力信号の危険側状態(解放状態)がAND演算で扱われる。よって、システム出力信号が誤った状態になる場合において、システム出力信号が誤って危険側状態になる割合を減らし、システム出力信号が誤って安全側状態になる割合を増やすことができる。すなわち、本実施形態によれば、第1〜第5実施形態と同様に、システム出力信号が誤って安全側状態になる割合を増やすことができる。
なお、本実施形態の出力部30Aは、第2〜第5実施形態と同様に、診断入力部33Aや、判定部34Aや、安全停止指示部35Aを備えていてもよい。また、本実施形態の演算20Aは、第2〜第5実施形態と同様に、系統間判定部24Aを備えていてもよい。これは、出力部30B、30Cや演算部20B、30Cでも同様である。
また、本実施形態の多重化制御装置2は、解放状態と接続状態のいずれか一方を安全側状態に設定するための設定部を備えていてもよい。設定部に設定値「解放状態」が設定されていると、解放状態が安全側状態として扱われる。一方、設定部に設定値「接続状態」が設定されていると、接続状態が安全側状態として扱われる。
また、本実施形態では、安全側状態(接続状態)をOR演算で扱い、危険側状態(解放状態)をAND演算で扱っているが、逆に、安全側状態をAND演算で扱い、危険側状態をOR演算で扱ってもよい。これを、後述の説明中において第6実施形態の変形例と呼ぶことにする。同様に、第1〜第5実施形態では、安全側状態(解放状態)をOR演算で扱い、危険側状態(接続状態)をAND演算で扱っているが、逆に、安全側状態をAND演算で扱い、危険側状態をOR演算で扱ってもよい。これを、後述の説明中において第1〜第5実施形態の変形例と呼ぶことにする。
(第7実施形態)
第7実施形態は、第1実施形態と同様に、図2を参照して説明する。
本実施形態の出力部30A〜30Cは、出力部30A〜30Cの動作をテストするテスト部36A〜36Cを備えている(図2参照)。テスト部36A〜36Cは、主出力回路31A〜31C、副出力回路32A〜32C、出力信号線53A〜53C、信号線56A〜56Cなどの健全性を確認するためのテストを実行することができる。
本実施形態のテスト部36A〜36Cは、主出力回路31A〜31Cや副出力回路32A〜32Cの出力を一時的に操作し、この操作の結果としての診断結果を診断入力部33A〜33C(図6参照)から取り込む。そして、テスト部36A〜36Cによる操作により設定された出力信号の値と、診断入力部33A〜33Cにより診断された出力信号の値との間に不一致がある場合には、判定部34A〜34C(図6参照)は、テスト部36A〜36Cからの操作に応じて、出力部30A〜30Cにおける故障の検出処理を行う。テスト部36A〜36Cは、判定部34A〜34Cによる故障の検出結果を取得することで、出力部30A〜30Cが健全であるか否かを確認することができる。
図12は、第7実施形態の多重化制御装置2の動作を説明するための表である。
図12の表は、第1〜第5実施形態の多重化制御装置2のテストに適用可能である。また、図12の表は、解放状態と接続状態を入れ替えることで、第6実施形態の多重化制御装置2のテストにも適用可能である。
図12は、安全側状態の設定値が「解放状態」の場合におけるテストパターンの例を示している。例えば、テストパターン1では、主出力回路31A〜31Cと副出力回路32A〜32Cのうち、主出力回路31Aが解放状態に設定され、その他の回路は接続状態に設定される。この場合、出力部30A〜30Cに故障がなければ、診断入力部33Aは、出力信号の値を第1値(解放状態)と判定し、診断入力部33B、33Cは、出力信号の値を第2値(接続状態)と判定すると期待される。さらに、出力部30A〜30Cに故障がなければ、多数決部40のシステム出力信号の値は、第2値(接続状態)になると期待される。
テストパターン2〜6でも、テストパターン1と同様に、主出力回路31A〜31Cと副出力回路32A〜32Cのうち、1つの回路が解放状態に設定され、その他の回路は接続状態に設定される。これにより、テスト部36A〜36Cは、各回路の解放動作能力を確認することができる。
テストパターン1において、診断入力部33Aが出力信号の値を第2値(接続状態)と判定した場合には、出力部30A、30Bに故障がある可能性がある。理由は、テストパターン1の際のテスト部36A〜36Cは、主出力回路31Aを解放状態、副出力回路32Bを接続状態に設定することにより、出力部30Aの出力信号の値を第1値(解放状態)に設定したからである。よって、出力部30A、30Bに故障がなければ、診断入力部33Aによる診断結果は第1値(解放状態)になるはずである。
この場合、判定部34A〜34Cは、テスト部36A〜36Cからの操作に応じて、出力部30A〜30Cにおける故障の検出処理を行う。例えば、出力部30Aに故障がある場合においては、判定部34A、34Cは故障があると判定し、判定部34Bは故障はないと判定すると期待される。テスト部36A〜36Cは、これらの判定結果を取得することで、出力部30Aに故障があることを確認することができる。
図13は、第7実施形態の多重化制御装置2の動作を説明するための表である。
図13の表は、第6実施形態の変形例の多重化制御装置2のテストに適用可能である。また、図13の表は、解放状態と接続状態を入れ替えることで、第1〜第5実施形態の変形例の多重化制御装置2のテストにも適用可能である。
図13は、安全側状態の設定値が「接続状態」の場合におけるテストパターンの例を示している。例えば、テストパターン1では、主出力回路31A〜31Cと副出力回路32A〜32Cのうち、主出力回路31Aと副出力回路32Bが接続状態に設定され、その他の回路は解放状態に設定される。この場合、出力部30A〜30Cに故障がなければ、診断入力部33Aは、出力信号の値を第2値(接続状態)と判定し、診断入力部33B、33Cは、出力信号の値を第1値(解放状態)と判定すると期待される。さらに、出力部30A〜30Cに故障がなければ、多数決部40のシステム出力信号の値は、第1値(解放状態)になると期待される。
テストパターン2、3でも、テストパターン1と同様に、主出力回路31A〜31Cと副出力回路32A〜32Cのうち、2つの回路が接続状態に設定され、その他の回路は解放状態に設定される。これにより、テスト部36A〜36Cは、各回路の接続動作能力を確認することができる。
なお、図13のテストにて異常が検出された場合のテスト部36A〜36Cの動作は、図12のテストの場合と同様である。
以上のように、本実施形態によれば、診断入力部33A〜33Cと、判定部34A〜34Cと、テスト部36A〜36Cにより、出力部30A〜30Cの動作をテストすることが可能となる。例えば、本実施形態によれば、系統間判定部24A〜24Cを用いずに、3つの出力部のうちのどの出力部に故障があるかを判定することや、どの主出力回路または副出力回路に故障があるかを判定することが可能となる。
(第8実施形態)
図14は、第8実施形態の多重化制御装置2の演算部20A〜20Cの構成を示すブロック図である。
本実施形態の演算部20A〜20Cはそれぞれ、前述のように、演算処理部21A〜21Cと、診断部22A〜22Cと、通信部23A〜23Cとを備えている(不図示)。さらに、本実施形態の演算部20A〜20Cはそれぞれ、系統間判定部24A〜24Cと、設定部25A〜25Cとを備えている。設定部25A〜25Cはそれぞれ、出力部30A〜30C用の上述の「AND演算」「OR演算」の設定値や、出力部30A〜30C用の上述の「解放状態」「接続状態」の設定値を設定するために使用される。演算部20A〜20Cはそれぞれ、設定部25A〜25C内の設定値を出力値線52A〜52Cを介して出力部30A〜30Cに出力することができる。出力部30A〜30Cは、受け取った設定値を用いることにより、上述の設定を実現することができる。出力部30A〜30Cは、受け取った設定値を出力部30A〜30C内に登録してもよい。
図14はさらに、多重化制御装置2にアクセス可能なエンジニアリングツール4を示している。エンジニアリングツール4は、多重化制御装置2にアクセスして多重化制御装置2の各種設定を行うことが可能なソフトウェアや、このソフトウェアを実行可能なコンピュータの総称である。エンジニアリングツール4の例は、このようなソフトウェアがインストールされたPC(Personal Computer)である。このPCは例えば、ケーブル等の信号線58により多重化制御装置2に接続されることで、多重化制御装置2にアクセスすることができる。
演算部20A〜20Cは、エンジニアリングツール4と通信可能である。エンジニアリングツール4は、この通信により設定部25A〜25C内に各種設定値を登録することができる。エンジニアリングツール4は、ユーザが設定値を選択するためのユーザインターフェースを提供する。
上述の設定値は、多重化制御装置2を適用する発電プラントの入力装置1A〜1Cおよび出力装置3の仕様や、多重化制御装置2の多数決部40の仕様により、必要とされる値が異なる。本実施形態によれば、多重化制御装置2のユーザが、これらの仕様に適した設定値を設定することが可能となる。
なお、第1〜第8実施形態の多重化制御装置2は、3系統の入力部、演算部、出力部を備えているが、4系統以上の入力部、演算部、出力部を備えていてもよい。例えば、多重化制御装置2がN系統(Nは3以上の整数)の入力部、演算部、出力部を備えている場合には、多重化部40は、N系統の出力部からの出力信号の多数決演算を行う。
以上、いくつかの実施形態を説明したが、これらの実施形態は、例としてのみ提示したものであり、発明の範囲を限定することを意図したものではない。本明細書で説明した新規な装置は、その他の様々な形態で実施することができる。また、本明細書で説明した装置の形態に対し、発明の要旨を逸脱しない範囲内で、種々の省略、置換、変更を行うことができる。添付の特許請求の範囲およびこれに均等な範囲は、発明の範囲や要旨に含まれるこのような形態や変形例を含むように意図されている。
1A、1B、1C:入力装置 2:多重化制御装置 3:出力装置
4:エンジニアリングツール 10A、10B、10C:入力部
20A、20B、20C:演算部 21A、21B、21C:演算処理部
22A、22B、22C:診断部 23A、23B、23C:通信部
24A、24B、24C:系統間判定部 25A、25B、25C:設定部
30A、30B、30C:出力部 31A、31B、31C:主出力回路
32A、32B、32C:副出力回路 33A、33B、33C:診断入力部
34A、34B、34C:判定部 35A、35B、35C:安全停止指示部
36A、36B、36C:テスト部 40:多数決部
51A、51B、51C:入力値線 52A、52B、52C:出力値線
53A、53B、53C:出力信号線 54:システム出力信号線
55A、55B、55C:ネットワーク 56A、56B、56C:信号線
57A、57B、57C:信号線 58:信号線
61:故障系統検出部 62:信号線

Claims (7)

  1. 入力信号を入力値に変換し、前記入力値を出力する第1、第2、および第3入力部と、
    前記入力値を演算して出力値を生成し、前記出力値を出力する第1、第2、および第3演算部と、
    前記出力値を出力信号に変換し、前記出力信号を、前記出力信号の多数決演算を行う多数決部に出力する第1、第2、および第3出力部とを備え、
    各出力部は、第1および第2回路を備え、各出力部に対応する演算部により生成された前記出力値を第1信号に変換し、各出力部に対応する演算部以外の演算部により生成された前記出力値を第2信号に変換し、前記第1および第2信号をそれぞれ前記第1および第2回路に供給し、
    第X出力部(Xは1、2、3のいずれか)の前記第2回路は、前記第X出力部により生成された前記第2信号を受け取り、受け取った前記第2信号を第Y出力部(Xが1の場合はYは3、Xが2の場合はYは1、Xが3の場合はYは2)の前記第1回路に出力し、
    前記第X出力部の前記第1回路は、前記第X出力部により生成された前記第1信号を受け取り、第Z出力部(Xが1の場合はZは2、Xが2の場合はZは3、Xが3の場合はZは1)の前記第2回路から前記第2信号を受け取り、受け取った前記第1および第2信号の少なくともいずれかを前記出力信号として前記多数決部に出力する、
    多重化制御装置。
  2. 前記第X出力部は、前記第X出力部に対応する第X演算部により生成された前記出力値を前記第1信号に変換し、前記第Y出力部に対応する第Y演算部により生成された前記出力値を前記第2信号に変換する、請求項1に記載の多重化制御装置。
  3. 前記第X演算部は、前記第X演算部により生成された前記出力値と、前記第Y演算部から受け取った前記出力値とを、前記第X出力部に出力する、請求項2に記載の多重化制御装置。
  4. 前記第X出力部は、
    前記第X出力部から前記多数決部に供給される前記出力信号の値が第1値であるか第2値であるかを診断する診断部と、
    前記第X出力部により生成された前記第1信号の値と、前記診断部により診断された前記出力信号の値とが一致するか否かに基づいて、前記第Xおよび第Z出力部における故障を検出する第1判定部と、
    を備える請求項1から3のいずれか1項に記載の多重化制御装置。
  5. 前記第X出力部に対応する第X演算部は、前記第1、第2、および第3出力部の前記第1判定部による故障の検出結果を取得し、前記検出結果に基づいて、前記第1、第2、および第3出力部の故障箇所を特定する第2判定部を備える、請求項4に記載の多重化制御装置。
  6. さらに、前記第1、第2、および第3出力部の動作をテストするテスト部を備え、
    前記第1判定部は、前記テスト部により設定された前記出力信号の値と、前記診断部により診断された前記出力信号の値との間に不一致がある場合に、前記故障の検出処理を行う、請求項4または5に記載の多重化制御装置。
  7. さらに、前記多重化制御装置にアクセス可能なツールから前記出力部の設定値を設定するための設定部を備え、
    前記設定部は、前記出力部の出力信号線の解放状態と接続状態のいずれか一方を安全側状態に設定するための前記設定値を設定可能である、請求項1から6のいずれか1項に記載の多重化制御装置。
JP2015140698A 2015-07-14 2015-07-14 多重化制御装置 Active JP6714981B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015140698A JP6714981B2 (ja) 2015-07-14 2015-07-14 多重化制御装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015140698A JP6714981B2 (ja) 2015-07-14 2015-07-14 多重化制御装置

Publications (2)

Publication Number Publication Date
JP2017021712A JP2017021712A (ja) 2017-01-26
JP6714981B2 true JP6714981B2 (ja) 2020-07-01

Family

ID=57889850

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015140698A Active JP6714981B2 (ja) 2015-07-14 2015-07-14 多重化制御装置

Country Status (1)

Country Link
JP (1) JP6714981B2 (ja)

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0619641B2 (ja) * 1983-07-15 1994-03-16 株式会社日立製作所 多重系制御システムのデータ管理方式
JPS61221698A (ja) * 1985-03-28 1986-10-02 株式会社東芝 原子炉安全保護装置
JPH0439740A (ja) * 1990-06-05 1992-02-10 Nissan Motor Co Ltd 3重化システム
JP3229070B2 (ja) * 1993-06-01 2001-11-12 三菱電機株式会社 多数決回路及び制御ユニット及び多数決用半導体集積回路
JPH0998081A (ja) * 1995-07-21 1997-04-08 Hitachi Ltd フェール・セーフ多数決論理回路および該回路を用いたパラレル出力型電子連動装置
JP2004118265A (ja) * 2002-09-24 2004-04-15 Toshiba Corp プラント保護装置
JP4701203B2 (ja) * 2007-04-24 2011-06-15 株式会社日立製作所 プロセス制御システム
JP5319499B2 (ja) * 2009-11-11 2013-10-16 株式会社日立製作所 多重化制御装置
JP5660798B2 (ja) * 2010-04-01 2015-01-28 三菱電機株式会社 情報処理装置
JP5944243B2 (ja) * 2012-06-25 2016-07-05 株式会社東芝 プラント安全装置およびその動作方法

Also Published As

Publication number Publication date
JP2017021712A (ja) 2017-01-26

Similar Documents

Publication Publication Date Title
JP4801180B2 (ja) 多チャンネルアナログ入出力回路の故障診断装置及び故障診断方法
US7149925B2 (en) Peripheral component with high error protection for stored programmable controls
CN103703423A (zh) 用于运行安全控制设备的方法
CN105759781A (zh) 机器人的布线方法
KR101178186B1 (ko) Pc 기반 시스템에서 피엘씨 신호 패턴을 이용하여 다수의 설비로 구성된 자동화 라인의 비정상 상태 알람 방법.
JP4328352B2 (ja) 外部信号入出力ユニットの診断方法及びシステム
US11169491B2 (en) Safety switch
JP5726582B2 (ja) 制御棒監視制御システム及び診断方法
JP6714981B2 (ja) 多重化制御装置
JP6738438B2 (ja) 安全装置を監視する監視装置および安全装置を監視する方法
JP2016103110A (ja) 多重化制御装置
JP4788569B2 (ja) 出力装置
JP6882128B2 (ja) タービン保護装置およびタービン保護装置の診断方法
JP5319499B2 (ja) 多重化制御装置
JP7140020B2 (ja) 出力制御装置
JP4926299B1 (ja) プログラマブルロジックコントローラ
JP6856416B2 (ja) プロセス制御システム
JP6416065B2 (ja) 診断回路及び半導体システム
KR20040037697A (ko) 철도 제어 시스템의 시리얼 데이터 처리장치 및 그 방법
JP5925925B2 (ja) 診断付き出力装置
JP5511475B2 (ja) 信号処理システムおよびこれに用いる信号源ユニットならびに信号処理ユニット
US10528417B2 (en) Clock signal inspection device, plant monitoring controller, and method for diagnosing clock signal inspection device
JP5097013B2 (ja) Plcにおける接点状態診断方式および応急対策方式
JP2015197729A (ja) マイクロプロセッサの異常診断方法
JP2006276957A (ja) 安全システム

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20171124

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20171127

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180305

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190124

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190219

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190410

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190920

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191105

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200508

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200608

R150 Certificate of patent or registration of utility model

Ref document number: 6714981

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150