JP7470018B2 - 制御システム及び保護制御実行方法 - Google Patents

制御システム及び保護制御実行方法 Download PDF

Info

Publication number
JP7470018B2
JP7470018B2 JP2020194969A JP2020194969A JP7470018B2 JP 7470018 B2 JP7470018 B2 JP 7470018B2 JP 2020194969 A JP2020194969 A JP 2020194969A JP 2020194969 A JP2020194969 A JP 2020194969A JP 7470018 B2 JP7470018 B2 JP 7470018B2
Authority
JP
Japan
Prior art keywords
control
protection
availability
control means
candidates
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020194969A
Other languages
English (en)
Other versions
JP2022083573A (ja
Inventor
浩通 遠藤
典剛 松本
輝昭 酒田
寛 岩澤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2020194969A priority Critical patent/JP7470018B2/ja
Publication of JP2022083573A publication Critical patent/JP2022083573A/ja
Application granted granted Critical
Publication of JP7470018B2 publication Critical patent/JP7470018B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Safety Devices In Control Systems (AREA)

Description

本発明は、制御システム及びその異常時に実行する保護制御の実行方法に関する。
プラント設備やモビリティ機器等のための制御システムにおいて、例えば、制御装置および制御対象機器の故障、想定外の環境変化、又は、セキュリティの侵害によって、制御装置および制御対象機器の状態や動作に異常が発生する。その際、人への危害や制御対象機器、周辺環境への悪影響を防止ないし緩和するため、通常の制御手順や制御則とは別に定義された特別の制御手順や制御則などの保護制御が適用されることが多々ある。
例えば、化学プラントで反応タンクの内圧を一定に保つよう原料の供給量を制御するケースにおいて、タンクの破裂を防ぐために所定の圧力以上で減圧弁を開放するような制御が保護制御に該当する。保護制御は、プラント制御等の通常制御のための制御装置、たとえばProgrammable Logic Controller(PLC)とは区別されて、別の保護制御専用制御装置で実行されることもある。一方、自動車の自動運転システムでは、通常運転の制御装置が機能を喪失した場合、乗員の安全を確保のため、たとえば、車両を路肩へ寄せて停止できるよう、保護制御装置が車両の運転制御を代行する。
通常制御において、前述の化学プラントのように、単一又はごく少数の制御則が適用される場合であれば、保護制御の手順や制御則も同様に単一又はごく少数、かつ固定のものでよい。しかしながら、実際の制御システムは大規模なものや複雑な動作をするものも多いため、単純な保護制御では適切でない場合がある。例えば、自動運転システムでは、車両の速度や走行中の車線、さらには他車の状態によって、自車を安全に停止させるまでの減速動作や車線移動の要否など多くのパラメータ、実行順序が多岐に亘るので、最適な保護制御の手順または制御則を選択する必要がある。特許文献1には、センサで収集したデータ、あるいは、それからの推定した車両や乗員の状態に基づいて、乗員が負傷するリスクの少ない乗員保護手段の制御方式を複数の候補から選択する方法が開示されている。
特表第2018-520934号公報
しかしながら、複数の対象を制御するシステム、例えば、自律走行する搬送車両を擁する自動搬送システム、そして、複数のロボットアームの協調動作を目指す組み立てラインにおいては、保護制御として、制御対象が緊急停止されると、緊急停止した搬送車両やロボットアームによって、他の搬送車両や他のロボットアームの動きが支障され、システム全体の可用性が大きく低下する。そして、全体システムが中断されると、再開、復旧までに長時間を要することが少なくない。
制御対象の安全確保など制御対象の保護制御が重要であることは勿論であるものの、制御システムの可用性が大きく損なわれては、産業活動への影響も少なくない。そこで、本発明は、制御対象の保護制御と制御システムの可用性とを高い次元で均衡させることが可能な制御システムとその方法を提供することを目的とする。
本発明は、例えば、特許請求の範囲に記載の構成を採用する。本発明は上記課題を解決する手段を複数含んでいるが、その一例として、制御対象の動作を制御する制御システムであって、制御対象の通常制御モジュールと、制御対象の通常制御が損なわれる際、制御対象を通常制御から特別制御に移行させる特別制御モジュールと、を備え、特別制御モジュールは、制御対象の制御の状態に基づいて、特別制御の態様について複数の候補を選択し、制御システムの可用性について所定の要件と複数の候補とを比較して、複数の候補のうち要件を満たす態様を選択し、選択した態様に基づいて制御対象を特別制御する。
本発明によれば、制御対象の保護制御と制御システムの可用性とを高い次元で均衡させることが可能な制御システムを提供できる。
本発明の実施形態に係る制御システムの全体構成を示す機能ブロック図である。 図1の制御システムにおける保護制御手段選択手段の詳細な構成を示す機能ブロック図である。 図2の保護制御手段対応情報の構成を示す説明図である。 図2の保護制御手段選択手段における保護制御手段定義部の機能を示す説明図である。 図2の保護制御手段選択手段における可用性条件定義部の機能を示す説明図である。
本発明に係る制御システムの実施形態について説明する。本発明は、制御対象の動作を制御する制御システムであって、前記制御対象の通常制御モジュールと、前記制御対象の通常制御が損なわれる際、当該制御対象を通常制御から特別制御に移行させる特別制御モジュールと、を備え、前記特別制御モジュールは、前記制御対象の制御の状態に基づいて、前記特別制御の態様の複数の候補を選択し、前記制御システムの可用性の所定の要件と前記複数の候補とを比較して、前記複数の候補のうち前記要件を満たす態様を選択し、当該選択した態様に基づいて前記制御対象を特別制御する、ことを特徴とするものである。
制御対象とは、車両、プラント機器、ロボット等、特に限定されない。モジュールとは、制御対象の制御のためのソフトウェア、又は、制御対象の制御のための集積回路制御装置と、又は、その両方である。“制御対象の通常制御が損なわれる”ことは、制御対象の通常制御状態の一部又は全部が失われることを含み、特別制御は、制御対象の異常状態から当該制御対象を保護するための保護制御を含む。
<全体構成>
図1は、本発明の実施形態に係る制御システム1の全体構成を示す機能ブロック図である。図1に示すように、制御システム1は、基本制御装置20と、保護制御装置30と、出力選択手段40と、を備え、制御対象10を制御する。
基本制御装置20は、通常時における制御システム1の目的を達するために、基本制御手段21に従って制御対象10を制御する機能を具備する。基本制御装置20は、例えばPLC(Programmable Logic Controller)やDCS(Distributed Control System)、ECU(Electronic Control Unit)などと呼ばれる装置や、それらに類する計算機、あるいは電子装置などで実現される。また、基本制御装置20に内蔵された基本制御手段21は、例えば、プログラムなどの機械可読形式で予め記述された制御手順、制御則、又は制御ルールの少なくとも何れかを有する。
基本制御装置20は、基本制御手段21の記述に従って、制御対象10、又はそれに取り付けられたセンサ(図示せず)から状態入力101を取得し、制御対象10に対する基本制御指令出力102を生成して出力する。なお、基本制御装置20は、必要に応じて上位の装置や他の制御装置、又は保護制御装置30などと、ネットワークなどで相互に接続されていてもよい。
保護制御装置30は、基本制御装置20又は基本制御手段21の異常、あるいは、その結果生成される指令出力によって、制御対象10が意図しない状態となることを検知し、それを検知した場合は、制御対象10に対して、人間への危害などを防止するための特別な動作を指令する。保護制御装置30は、基本制御装置20と同様にPLC、DCS、又はECUなどの技術によって実現することも可能である。なお、保護制御装置30は、前述のように基本制御装置20から独立した別の装置として実装する形態のほか、必要に応じて基本制御装置20と同一の装置として実装する形態であってもよい。
出力選択手段40は、基本制御装置20から出力される基本制御指令出力102と、保護制御装置30から出力される保護制御指令出力304と、の間で調整を行い、単一の制御指令出力401として制御対象10へ出力する。前記の機能は、例えば、信号線の接続を直接切り替える電気的/電子的スイッチや、通信内容の伝達と遮断を切り替えるような論理的なスイッチなどにより実現されうる。
出力選択手段40は、通常時に基本制御指令出力102を優先的に出力し、基本制御装置20又は基本制御手段21に異常が発生し、保護制御装置30が作動した場合にのみ、保護制御指令出力304を出力する。保護制御装置30は、例えば、制御状態推定手段31、制御異常検知手段32、保護制御手段選択手段33、及び保護制御手段実行手段34を備えて構成される。
制御状態推定手段31は、少なくとも基本制御手段21が動作状態の間、状態入力101と基本制御指令出力102を継続的に取得し、その時系列変化から基本制御手段21の状態推定結果である制御状態301を生成して出力する。具体的な推定方法として、例えば、基本制御手段21と同一の制御手順、制御則、又は制御ルールなどを実行することにより、基本制御手段21の内部状態を再現することが考えられる。
なお、装置構成によっては、基本制御手段21から基本制御手段21の状態である制御状態201を直接取得できる場合も想定することができる。具体的には、基本制御装置20と保護制御装置30が同一の装置として実装される場合や、基本制御装置20と保護制御装置30が内部バスなどを介して共有メモリなどに接続されている場合などがある。これらの場合には、制御状態推定手段31を省略することもできる。
制御異常検知手段32は、状態入力101や基本制御指令出力102を監視し、制御対象10の運転状態や基本制御装置20からの制御指令が所定の運転条件を満たしているかを監視する。もし、状態入力101や基本制御指令出力102によって示される制御対象10の運転状態や基本制御装置20からの制御指令が所定の運転条件から逸脱していると判定されれば、直ちに異常検知通知302が出力される。
保護制御手段選択手段33は、制御異常検知手段32において制御異常が検知された場合に、その時点における制御状態301又は制御状態201と対応する保護制御手段候補から、所定の可用性条件を満たす保護制御手段303を選択して出力する。
保護制御手段実行手段34は、保護制御手段選択手段33で選択された保護制御手段303を実行し、保護制御指令出力304を出力する。保護制御手段実行手段34は、例えば、基本制御装置20と同様の機能を具備したハードウェアやソフトウェアで構成されてもよい。
<保護制御手段選択手段>
図2は、図1の制御システム1における保護制御手段選択手段33の詳細な構成を示す機能ブロック図である。図2に示すように、保護制御手段選択手段33は、保護制御手段対応情報331と、保護制御手段定義部332と、可用性評価手段333と、可用性条件定義部334と、可用性条件判定手段335と、を具備して構成される。これらに出入力される情報、及びそれら各部の動作については、図3及び図4を用いて後述する。
図3は、図2の保護制御手段対応情報331の構成を示す説明図である。保護制御手段対応情報331は、図2の保護制御手段選択手段33において、基本制御手段21がとりうる制御状態の各々に対して、その制御状態において制御異常が発生した際に実行すべき保護制御手段3302の候補との対応を定義した情報である。
例えば、保護制御手段対応情報331は、図3のように制御状態の識別番号1~N(Nは制御状態の総数)をインデックスとした配列として定義し、その要素331-1~331-Nのすべてに、保護制御手段3302の識別番号を格納した可変長配列(ただし、要素数は1以上とする)を定義することで構成できる。もちろん、通常時における制御システム1の目的にかなう限り、これ以外の形態で実現してもよい。
保護制御手段対応情報331は、異常検知通知302が入力されると、その時点において入力されている制御状態301又は制御状態201をインデックスとして配列を検索し、要素331-1~331-Nに対応する要素を保護制御手段候補番号3301として出力する。
なお、複数の制御状態に対して、同じ保護制御手段3302の識別番号が重複して定義されていてもよい。これにより、保護制御手段3302の定義が冗長となることを防ぎ、定義領域の肥大化を抑制することができる。図4は、図2の保護制御手段選択手段33における保護制御手段定義部332の機能を示す説明図である。
図4に示すように、保護制御手段定義部332は、例えば保護制御手段3302の識別番号をインデックスとして、異本制御手段21と同様にプログラムなどの機械可読形式で予め記述された制御手順、制御則、制御ルールなどの保護制御手段候補3302(手段と同一符号)と、それらに関連して定義されたメタデータ(付帯情報)3303をそれぞれ直接格納した配列、又はそれらを参照できる記憶装置上のアドレスを格納した配列として構成される。
メタデータ3303は、保護制御手段3302に関する仕様値や周辺条件の集合であり、その内訳は可用性評価手段333において算出する可用性指標の種類によって異なる。詳細については後述する。なお、前記の構成は、例えばメモリブロックの配列や、データベースなどによって実現されうるが、それらに限られない。
保護制御手段3302の識別番号は、制御状態の識別番号とは無関係に、任意に採番することができる。ただし、実質的な動作を何もしない保護制御手段3302を定義するための特殊な識別番号として、例えば0を割り当ててもよい。これにより、保護制御を必要としない制御状態を定義することができる。
保護制御手段定義部332は、保護制御手段対応情報331より保護制御手段候補の識別番号3301が入力されると、それをインデックスとして対応する保護制御手段3302及びそのメタデータ3303を検索し、それぞれ出力する。なお、保護制御手段候補の識別番号3301は前述の通り可変長の配列であるので、要素数が2以上の場合は、それぞれの要素をインデックスとして保護制御手段3302及びそのメタデータ3303を検索し、それぞれのインデックスに対応するものをすべて出力する。
可用性評価手段333は、保護制御手段定義部332より入力された保護制御手段3302及びそのメタデータ3303を参照して、保護制御手段3302を実行した際の制御システム1における可用性の期待値を評価し、可用性評価値3304として出力する。ここで評価する可用性の期待値には、例えば、以下の指標のうち少なくとも1つを含む(ただし、この限りではない)。
K1:制御対象10が通常制御へ復帰するまでに要する時間、
K2:制御対象10を含む制御システム1全体の時間稼働率、
K3:制御対象10を含む制御システム1全体の単位時間(期間)処理量、(実効伝送速度;スループット Throughput)。
指標K1は、保護制御手順3302によって制御対象10を安全状態(フィールド内の人間や他の機器への危害を生じないよう、動力を遮断するとともに装備品を退避位置まで移動させた状態)へ移行させ、基本制御装置20を再起動し、所定の診断手順を実行して通常制御手段21の実行を再開させるまでの時間である。例えば、保護制御手段3302の各ステップにおける標準実行時間をメタデータ3303に含めておくことで、前記標準実行時間の総和として指標K1を推定することができる。
指標K2は、保護制御手順3302の実行により、制御対象10及びそれによって支障される他の制御対象が通常制御から離脱する可能性を考慮して、対象期間(例えば、1日)における制御システム1全体の稼働率を推定するものである。このとき、指標K1を利用して下式(1)のように指標K2を推定できる。
K2=1-{K1*(1+m)}/(24*60*60)・・・(1)
ただし、K1の単位は秒、mは制御対象10によって支障される制御対象の数とする。なお、mを求める方法としては、制御対象10に搭載したセンサによって周囲に存在する他の制御対象を検知したり、上位の制御装置に他の制御対象の位置を照会したりする方法など、当業者に周知の技術を用いることもできる。
指標K3はさらに、制御システム1内における、制御対象10を含む各制御対象の標準処理速度を加重し、対象期間における制御システム1全体の処理量を推定するものである。このとき、下式(2)のように指標K3を推定できる。
K3=(24*60*60―K1)*Σ(T0,TN)+K1*Σ(Tm+1,TN)・・・(2)
ただし、Tiは制御対象iの通常状態における処理速度とし、i=0は制御対象10、i=1からi=mまでは、制御対象10によって支障される他の制御対象、i=m+1からi=Nまでは支障されない制御対象に関するものとする。また、Σ(Xa,Xb)は、配列X1,X2,…,XnにおけるXaからXbまでの部分和の意味で用いる。
また、保護制御手段3302の候補をより絞り込むために、上記の指標のほかに、例えば、以下のような補助指標を併用してもよい。補助指標は以下に限られるものではなく、事業面の要請などに応じて定義してもよい。
KA1:保護制御手段3302の実行に要するエネルギー費用
補助指標KA1は、例えば、保護制御手段候補3302(手段と同一符号)を実行することにより、制御対象10の全体又は各部が動作することであり、消費される電力などのエネルギー量を費用に換算したものである。具体的には、保護制御手段候補3302の各ステップにおいて消費される電力や、制御対象全体又は一部の質量及び移動距離をメタデータ3303に含めておくことにより、そのメタデータから求められる各ステップの消費エネルギー量を算出し、その総和として補助指標KA1を推定することができる。
図5は、図2の保護制御手段選択手段33における可用性条件定義部334の機能を示す説明図である。可用性条件定義部334は、可用性評価値3304に基づいて保護制御手段3302を選択する可用性条件3305を定義する。図5に示すように、可用性条件3305は、例えば、評価対象とする可用性評価値3304の指標名又は補助指標名、前記指標に関する判定演算子と判定閾値を含んで構成される。
可用性条件3305は複数定義してもよく、その際には、各可用性条件3305を結合する際の演算子を論理積や論理和などで定義することもできる。また、可用性条件3305を複数定義する場合、各々の条件に優先順位を定義し、より重要な条件を明示するようにしてもよい。
可用性条件判定手段335は、保護制御手段候補3302のそれぞれに対応する可用性評価値3304が前記可用性条件3305を満たすかどうかを判定し、可用性条件3305を成立させる保護制御手段候補3302のみを選択する。
もし、可用性条件3305を成立させる保護制御手段候補3302が複数存在する場合、各々に対応する可用性評価値3304が、より大幅に可用性条件3305を満たすほうを選択してもよい。例えば、可用性条件がK1<180と定義されており、可用性評価値3304が、それぞれK1=150とK1=120である2つの保護制御手段候補3302がある場合、後者の保護制御手段3302が可用性の点でより好適であると判断され選択される。
また、可用性条件3305を成立させる保護制御手段候補3302が全く存在しない場合には、可用性評価値3304が、可用性条件3305の成立閾値に最も近い保護制御手段候補3302を選択するようにしてもよい。例えば、可用性条件がK1<180と定義されており、可用性評価値3304が、それぞれK1=210とK1=300である2つの保護制御手段候補3302がある場合、判定閾値により近い前者の保護制御手段3302が次善の選択肢となる。
ただし、この場合は目標とした可用性が達成されないと予測されるため、可用性低下の警告3306を出力し、制御システム1の運用者に対して注意もしくは代替策の検討を促すことが望ましい。
以上に説明した制御システム1の構成により、基本制御手段21による制御対象10の制御において異常が発生した場合、各制御状態に対応して予め定義した複数の保護制御手段候補3302から、制御システム1における可用性の条件を達成可能なものを選択して実行することができ、可用性の低下を避けることが可能となる。
なお、以上の説明において、構成に関して特段の断りがない機能や手段は、電気回路、電子回路、論理回路、及びそれらを内蔵した集積回路のほか、マイコン、プロセッサ、及びこれらに類する演算装置と、ROM、RAM、フラッシュメモリ、ハードディスク、SSD、メモリカード、光ディスク及びこれらに類する記憶装置と、バス、ネットワーク及びこれらに類する通信装置、及び周辺の諸装置の組み合わせによって実行されるプログラムによって実現してもよく、何れの実現態様でも本発明は成立し得ることに留意されたい。
[補足]
なお、制御システム1において、通常制御装置と保護制御装置とを区別しているが、一つの装置が両方を兼ねる場合もあり、その場合は、通常制御・保護制御とハードウェアの結びつきを弱めるため、あえて「モジュール」と表記した。モジュールはソフト/ハードの両方を含む。制御システム1では、通常制御装置の異常(故障)を主に説明しているが、その一方で、制御対象の異常も言及している。つまり、制御対象に生じる異常であって、ハードだけでなく、ソフトのバグ、ソフト性能不充分など多岐に亘る場合が想定される。このような場合も含めているので、本実施形態に係る通常制御・保護制御とハードウェアについて、本発明では「モジュール」と表記した。
制御システム1は、化学プラントで反応タンクの内圧を一定に保つよう原料の供給量を制御するケースにおいて、タンクの破裂を防ぐために、所定の圧力以上で減圧弁を開放するような制御にも好適である。このような制御は、通常のプラント制御を実行する制御装置、例えば、PLCなどとは別に設けられた、保護制御専用の制御装置で実行されることがある。そのように、状況分析が単純で保護制御の選択肢が少ない用途に対しても、本発明の実施形態に係る制御システム1は十分に対応できる。
プラント設備に限らず、あらゆる分野に適用される制御システム1は、概ね想定された故障や外乱要因などによる制御異常、さらには事故が生じた際、それによる被害が広がらないように施される事後の処置である点で、ダメージコントロール(damage control)の判断要件を含む。このダメージコントロールは、制御異常を予防するために、システム構成を極端に堅牢化したり、品質管理を厳格化したりするなどの方策とは別に、通常運用されるシステムにおいて、既に起きてしまった事象に対して行われる実現可能な対処のことをいう。
制御システム1における保護制御は、信頼性や安全性への要望が強い分野で特に重要視され、その効果が期待される点で、ダメージコントロールに近い。例えば、電力分野ならば、停電区域を最小限に局所化して全体的に維持するとともに、復旧を迅速化する。輸送分野ならば、不通区間に対する代替経路を速やかに確保するとともに、不通区間を順次漸減するなどが考えられる。何れの分野でも、保護制御により、最悪の事態を回避しながら、総合的な機能の低減を抑止する。つまり、保護制御は、主な制御対象を含む制御環境全体の可用性低下を抑制して総合力を維持するために実行される。
また、少し異なる制御環境における可用性低下について説明する。例えば、大量生産工場の組み立てラインは、自動搬送システムによる搬送車両が自律走行する工場内において、複数のロボットアームが協調動作する状況である。その組み立てラインでの故障や制御異常時の保護制御として、緊急停止のみが定義されている場合がある。
その場合、緊急停止した搬送車両やロボットアームによって、他の正常な搬送車両やロボットアームまでが動きが遮られ、搬送や組み立て業務全体が停止するという最悪に近い状況となる。あるいは、最悪でなくとも、その業務全体における処理量低下の悪影響を受けて可用性が低下することもある。
この分野において、特に、通路の狭い工場や倉庫内では顕著な影響が予見される。また、異常の発生した機器の再起動や修理、交換後にも、支障された他の機器が障害になるなどして、業務全体の復旧に長時間を要するおそれがある。このような場合に設定すべき目標は、事故ゼロ化でなく、事故発生後にとるべき対策として、可用性を維持できる保護制御の確立である。これに適した制御システム1は、事故対策として、予め用意されている複数の選択肢から、最善策や次善の策を適宜選択する技術である。換言すると、事故発生率を限りなくゼロに近づける非現実的な施策よりも、ある確率で必ず起こり得る事故に対して可用性を維持した保護制御の確立を目指す制御システム1の方が現実的かつ有益なことが多い。
さらに、異なる制御環境における可用性低下について、豪雪地帯の高速道路を例示して説明する。例えば、予想外に突然積雪した高速道路が、未対策車両の立ち往生で、当該区間が可用性ゼロになる制御状態を想定する。当該区間の交通維持を目的とした高速道路管理システム(以下、「制御システム1」とする)は、この場合の可用性指標に、例えば、「衝突事故防止」よりも「半ば復旧」の優先順位を高く設定し、「不動車両の自力移動」を補助指標に設定されている。
ここで、制御システム1は、制御状態推定手段31が制御状態を「高速道路の急な積雪で未対策車両が立ち往生」と推定すれば、保護制御手段3302は、制御指標が「安全確保」と「可用性確保」の何れかで異なる選択肢となる。制御システム1において、保護制御手段選択手段33による選択肢が「可用性ゼロでも良いから安全確保」ならば、「衝突事故防止」のため、「雪解けの春まで道路を閉鎖」し、「不動車両の乗員は当該車両を放置して徒歩で避難させる」といった保護制御303を選択しても良い。
また、制御システム1において、可用性指標の「可用性確保」と、補助指標の「半ば復旧を急ぐ」と、に基づいて選択された保護制御303が「不動車両の自力移動」ならば、それを促すように、「タイヤチェーン等の非装備による不動車両に対し、道路管理者が布製タイヤカバーを緊急配布して装着させ、速やかに自力移動させて通行障害を排除する」といった保護制御指令出力304が、出力選択手段40によって選択される。このとき、制御システム1の保護制御手段実行手段34は、制御対象10への制御信号を送って相応に作動させる。
その際、制御システム1は、予めシミュレーションした結果に基づいて、「当該区間である程度の小規模な衝突事故が発生しても、大混乱に至らせない補助対策」も用意しておく。これらは、一例に過ぎず、「豪雨」、「地震」、又は「トンネル火災」その他にも、災難の種類と程度に応じて、柔軟で細やかな対応が考えられる。何れの制御状態の場合にも、制御指標が何かで決まる、可用性条件、及び可用性評価に基づき、可用性条件判定手段335が判定し、最適と可用性条件判定された保護制御手段303が選択される。
ここで、制御システムの可用性を評価する手段として、つぎの2つのうち、少なくとも何れかを含むことが好ましい。1つ目は、メタデータ3303(図4)を含む所定の算出式から算出して評価する手段である。2つ目は、メタデータ3303をパラメータとして保護制御手段3302の候補を模擬実行した結果から算出して評価する手段である。高速道路管理システム(制御システム1)におけるメタデータ(付帯情報)3303として、路線と日時に対応する気象データが用意されていると良い。
メタデータ3303は、保護制御手段3302に関する仕様値や周辺条件の集合であり、その内訳は可用性評価手段333において算出する可用性指標の種類によって異なる。可用性評価手段333は、保護制御手段定義部332より入力された保護制御手段3302及びそのメタデータ3303を参照して、保護制御手段3302を実行した際の制御システム1における可用性の期待値を評価し、可用性評価値3304として出力する。
また、シミュレーションについては、予め実行した結果をコンピュータに記憶しておき、それを適宜用いてもよいが、必要な都度に新たな条件で実行しても良い。そのシミュレーション(模擬実行)は、前述の基本制御とは異なり、できるだけ高速な計算機を用いて実時間より短縮された時間軸で実行することで、制御システムにおける可用性の評価がなお一層高速かつ精密になり、より良い保護制御手順の候補を選択実行できる。
なお、説明の便宜上、高速道路管理システム(制御システム1)に、ある程度の人が介在するような表現になっているが、その点については、周辺機器の充実に伴って、人の介在を無くせる可能性がある。例えば、「道路管理者が布製タイヤカバーを緊急配布」について、制御システム1は、保護制御手段実行手段34が制御対象10である周辺機器へ「緊急電話のそばに配設された自動配布装置を作動し、その旨を報知する」との制御信号を出力すれば良い。
また、本発明は上記した実施形態に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施形態の構成の一部を他の実施形態の構成に置き換えることが可能であり、また、ある実施形態の構成に他の実施形態の構成を加えることも可能である。また、各実施形態の構成の一部について、他の構成の追加、削除又は置換をすることが可能である。
本発明の実施形態に係る制御システム(以下、「本システム」という)1は、つぎのように総括できる。
[1]本システム1は、制御対象10の動作を制御するために、通常制御モジュールと、特別制御モジュールと、を備える。特別制御モジュールは、制御対象10の通常制御が損なわれる際、制御対象10を通常制御から特別制御に移行させる。
その際、特別制御モジュールは、まず、制御対象10の制御の状態に基づいて、特別制御の態様について複数の候補を選択する。つぎに、特別制御モジュールは、本システム1の可用性について所定の要件と複数の候補とを比較して、複数の候補のうち要件を満たす態様を選択する。特別制御モジュールは、その選択した態様に基づいて制御対象10を特別制御する。これにより、本システム1は、保護制御の実行による可用性の低下を抑制することが可能である。
[2]本システム1は、特別制御モジュール及び/又は通常制御モジュールは、制御対象10の異常を検知し、検知結果に基づいて、特別制御を開始する。これのように、本システム1は、異常を検知された結果に基づいて、特別制御を開始し、保護制御が実行されることにより、可用性の低下を抑制することが可能である。
[3]本システム1は、基本制御手段21と、制御状態推定手段31と、をさらに備えると良い。基本制御手段21は、通常時における本システム1の目的を達するように、制御対象10を制御する機能を具備する。制御状態推定手段31は、基本制御手段21における制御状態を推定する。基本制御手段21は、コンピュータのプログラム等、機械可読形式で予め記述された制御手順、制御則、又は制御ルールの少なくとも何れかを有する。
具体的な推定方法として、例えば、基本制御手段21と同一の制御手順、制御則、又は制御ルールなどを実行することにより、基本制御手段21の内部状態を再現することが考えられる。これにより、制御状態推定手段31は、既存設備から設備増強することなく簡素なままに、基本制御手段21における制御状態を推定できる。
本システム1において、特別制御するための候補は、基本制御手段21がとりうる制御状態の各々に対する制御状態で、制御異常が発生した際に実行すべき保護制御手段3302との対応を定義した保護制御手段対応情報331に基づいて選択される。制御状態推定手段31は、少なくとも基本制御手段21が動作状態の間、状態入力101と基本制御指令出力102を継続的に取得し、その時系列変化から基本制御手段21の状態推定結果である制御状態301を生成して出力する。
ここでいう制御状態として、ロボットアームのシーケンス制御におけるラダープログラムがどの段階まで実行されているか、すなわち、ロボットアームがどのような姿勢であるか、といったことが例示される。また、本システム1は、制御状態を推定することが必要な場合として、基本制御手段21の状態である制御状態201を直接取得できない場合がある。例えば、本システム1は、基本制御装置20と保護制御装置30が離間した位置で情報共有性に乏しい場合がある。
そのような場合でも、本システム1は、制御状態推定手段31は、基本制御手段21における制御状態を推定することにより、その推定された制御状態に適応した保護制御手段3302の候補を選択して実行できる。例えば、本システム1は、カメラの映像に基づいて、その画像分析出力に基づいて、ロボットアームの制御状態を推定できる。その結果、本システム1は、制御異常の状態をより迅速正確に検知して的確な保護制御を実行できる。
[4]本システム1において、保護制御手段定義部332は、保護制御手段3302の識別番号をインデックスとして、つぎのように構成される。図4に示すように、保護制御手段定義部332は、保護制御手段3302と、メタデータ3303と、をそれぞれ直接格納した配列、又は格納された情報を参照できる記憶装置上のアドレスを格納した配列として構成される。保護制御手段3302は、基本制御手段21と同様に機械可読形式で予め記述された制御手順、制御則、又は制御ルールで構成される。メタデータ3303は、保護制御手段3302に関連して定義される。
本システム1は、保護制御手段3302の候補に関するメタデータが定義され、メタデータを用いて保護制御手段3302の候補を実行した場合の制御システムの可用性を評価することが好ましい。例えば、本システム1は、保護制御手段候補3302の各ステップにおいて消費される電力や、制御対象全体又は一部の質量及び移動距離をメタデータ3303に含めておくことにより、そのメタデータ3303から求められる各ステップの消費エネルギー量を算出し、その総和として補助指標KA1を上式(1)と上式(2)の少なくとも何れかを用いる等により推定する。
本システム1は、このような推定をコンピュータ処理だけで瞬時に対応できる。その結果、本システム1は、制御システムにおける可用性の評価が高速かつ精密になり、保護制御手段3302の候補をより適格に選択できる。
[5]本システム1は、可用性評価手段333をさらに備えると良い。可用性評価手段333は、まず、保護制御手段定義部332より入力された保護制御手段3302及びそのメタデータ3303を参照する。つぎに、可用性評価手段333は、参照した保護制御手段3302を実行した際の本システム1における可用性の期待値を評価し、可用性評価値3304として出力する。
[6]上記[5]の本システム1において、可用性の期待値には、以下の指標のうち少なくとも1つを含むことが好ましい。
K1:制御対象10が通常制御へ復帰するまでに要する時間、
K2:制御対象10を含む本システム1全体の時間稼働率、
K3:制御対象10を含む本システム1全体の単位時間(期間)処理量、(実効伝送速度;スループット Throughput)。
このように、本システム1は、期待値に基づいて可用性を評価することにより、可用性の評価がより具体的かつ精密になり、保護制御手段3302の候補をより適格に選択できる。
[7]上記[5]の本システム1において、可用性評価値3304に基づいて保護制御手段3302を選択する可用性条件3305を定義する可用性条件定義部334をさらに備えることが好ましい。このように、可用性の期待値を評価するための制約条件を設定することで、より的確な評価を導き出せる。
[8]上記[7]の本システム1において、保護制御手段候補3302のそれぞれに対応する可用性評価値3304が可用性条件3305を満たすかどうかを判定し、可用性条件3305を成立させる保護制御手段候補3302のみを選択する可用性条件判定手段335をさらに備えることが好ましい。これにより、可用性条件(制約条件)と可用性評価を比較して、最適な結果を得るような制御が実現する。
また、本発明の実施形態に係る保護制御実行方法(以下、「本方法」という)は、つぎのように総括できる。
[9]本方法は、制御対象10の制御異常時における動作を制御する保護制御実行方法である。本方法では、つぎの手順が実行される。まず、通常制御モジュールにより制御対象10を通常制御する。通常制御が損なわれる際、特別制御モジュールにより、制御対象10を通常制御から特別制御に移行させる。
特別制御モジュールは、まず、制御対象10の制御の状態に基づいて、特別制御の態様について複数の候補を選択する。つぎに、特別制御モジュールは、制御対象10の可用性について所定の要件と複数の候補とを比較する。つぎに、特別制御モジュールは、複数の候補のうち要件を満たす態様を選択する。つぎに、特別制御モジュールは、選択した態様に基づいて制御対象10を特別制御する。
[10]本方法において、制御対象10の各制御状態について、予め制御異常時における保護制御手順の候補を複数定義することが好ましい。本方法において、まず、特別制御モジュール及び/又は通常制御モジュールは、制御対象10の異常を検知し、検知結果に基づいて、特別制御を開始する。つぎに、特別制御モジュール及び/又は通常制御モジュールは、制御異常検知時に、各保護制御手順を実行した場合の可用性を評価し、所定の目標値を達成可能なものを選択実行する。
[11]本方法において、基本制御手段21は、通常目的を達するように制御対象10を制御する。また、制御状態推定手段31が基本制御手段21における制御状態を推定する。なお、基本制御手段21は、機械可読形式で予め記述された制御手順、制御則、又は制御ルールの少なくとも何れかを実行する。
[12]本方法において、保護制御手段3302の候補に関するメタデータ3303が定義されると良い。そのメタデータ3303を用いて保護制御手段3302の候補を実行した場合の制御対象10の可用性が評価される。可用性を評価する手段として、メタデータ3303を含む所定の算出式から算出されるか、メタデータ3303をパラメータとして保護制御手段3302の候補を模擬実行した結果から算出されるか、の少なくとも何れかを含むことが好ましい。
[13]上記[12]の本方法において、模擬実行は、時間軸を実際の所要時間よりも短縮して処理することが好ましい。なお、本システム1において、制御システムの可用性を評価する手段として、つぎの2つのうち、少なくとも何れかを含むことが好ましい。1つ目は、メタデータ3303を含む所定の算出式から算出して評価する手段である。2つ目は、メタデータ3303をパラメータとして保護制御手段3302の候補を模擬実行した結果から算出して評価する手段である。これらは、コンピュータによる数値計算、論理判定、アルゴリズム処理等によるので、本システム1は、コンピュータに相応の処理能力を具備することで、より良い保護制御手段3302の候補をより確実に選択実行できる。
また、本システム1は、可用性の評価が高速であるため、次善の策やそれ以外の可能性まで追求した代替案、あるいは可用性条件を変えた再度のシミュレーションを繰り返した代替案まで得ることが可能になる。その結果、本システム1は、より良い保護制御手段3302の候補を多面的な評価基準に基づいて選択実行することが可能になる。
なお、本システム1において、自動車の衝突回避の対策を評価するシミュレーション(模擬実行)するならば、実時間の処理では間に合わないので、高速処理が求められる。より具体的には、本システム1は、例えばより高速で動作するCPU(Central Processing Unit)などを搭載し、実時間よりも短縮された時間軸でシミュレーション(模擬実行)を実行できるよう構成する。これにより、制御システムにおける可用性の評価を可及的速やかに完了させ、異常発生後直ちに最善策を選択して実施できる。
[14]本方法において、可用性の指標及びその目標値を含んで1つ以上の可用性条件が定義されることが好ましい。これにより、本システム1は、化学プラント、高速道路管理システム、又は大量生産工場の組み立てライン、その他何れの事例にも適用できて、該当事例に対するコンピュータ処理の結果を、適任者による最適な判断に近づけることができる。なお、可用性の指標及びその目標値とは、制御異常に際して当事者の利益を守る合理的な基準をいう。また、適任者とは、利益を最大限に守るように判断できる者をいう。したがって、本システム1により可用性を維持することは、適任者以上の高速な判断によって、利益を最大限に守る結果となる。
1 制御システム、10 制御対象、20 基本制御装置、21 基本制御手段、30 保護制御装置、31 制御状態推定手段、32 制御異常検知手段、33 保護制御手段選択手段、34 保護制御手段実行手段、40 出力選択手段、331 保護制御手段対応情報、332 保護制御手段定義部、333 可用性評価手段、334 可用性条件定義部、335 可用性条件判定手段

Claims (14)

  1. 制御対象の動作を制御する制御システムであって、
    前記制御対象の通常制御モジュールと、
    前記制御対象の通常制御が損なわれる際、当該制御対象を通常制御から特別制御に移行させる特別制御モジュールと、
    を備え、
    前記特別制御モジュールは、
    前記制御対象の制御の状態に基づいて、前記特別制御の態様について複数の候補を選択し、
    当該制御システムの可用性について所定の要件と前記複数の候補とを比較して、
    前記複数の候補のうち前記要件を満たす態様を選択し、
    当該選択した態様に基づいて前記制御対象を特別制御する、
    制御システム。
  2. 前記特別制御モジュール及び/又は前記通常制御モジュールは、前記制御対象の異常を検知し、検知結果に基づいて、特別制御を開始する、
    請求項1に記載の制御システム。
  3. 前記制御対象を制御する機能を具備して通常時における当該制御システムの目的を達するための基本制御手段と、
    該基本制御手段における制御状態を推定する制御状態推定手段と、
    をさらに備え、
    前記基本制御手段は、機械可読形式で予め記述された制御手順、制御則、又は制御ルールの少なくとも何れかを有し、
    前記候補は、前記基本制御手段がとりうる制御状態の各々に対する制御状態で、制御異常が発生した際に実行すべき保護制御手段との対応を定義した保護制御手段対応情報に基づいて選択される、
    請求項1に記載の制御システム。
  4. 保護制御手段定義部は、保護制御手段の識別番号をインデックスとして、前記基本制御手段と同様に機械可読形式で予め記述された制御手順、制御則、又は制御ルールでなる保護制御手段と、該保護制御手段に関連して定義されたメタデータと、をそれぞれ直接格納した配列、又は格納された情報を参照できる記憶装置上のアドレスを格納した配列として構成される、
    請求項3に記載の制御システム。
  5. 前記保護制御手段定義部より入力された前記保護制御手段及びその前記メタデータを参照して、前記保護制御手段を実行した際の制御システムにおける可用性の期待値を評価し、可用性評価値として出力する可用性評価手段をさらに備えた、
    請求項4に記載の制御システム。
  6. 前記可用性の期待値には、以下の指標のうち少なくとも1つを含む、
    K1:制御対象が通常制御へ復帰するまでに要する時間、
    K2:制御対象を含む制御システム全体の時間稼働率、
    K3:制御対象を含む制御システム全体の単位時間処理量、
    請求項5に記載の制御システム。
  7. 前記可用性評価値に基づいて前記保護制御手段を選択する可用性条件を定義する可用性条件定義部をさらに備えた、
    請求項5に記載の制御システム。
  8. 前記保護制御手段の候補それぞれに対応する前記可用性評価値が前記可用性条件を満たすかどうかを判定し、前記可用性条件を成立させる前記保護制御手段の候補のみを選択する可用性条件判定手段をさらに備えた、
    請求項7に記載の制御システム。
  9. 制御対象の制御異常時における動作を制御する保護制御実行方法であって、
    通常制御モジュールにより前記制御対象を通常制御し、
    該通常制御が損なわれる際、特別制御モジュールにより、前記制御対象を通常制御から特別制御に移行させ、
    前記特別制御モジュールは、
    前記制御対象の制御の状態に基づいて、前記特別制御の態様について複数の候補を選択し、
    前記制御対象の可用性について所定の要件と前記複数の候補とを比較して、
    前記複数の候補のうち前記要件を満たす態様を選択し、
    当該選択した態様に基づいて前記制御対象を特別制御する、
    保護制御実行方法。
  10. 前記制御対象の各制御状態について、予め制御異常時における保護制御手順の候補を複数定義し、
    前記特別制御モジュール及び/又は前記通常制御モジュールは、前記制御対象の異常を検知し、検知結果に基づいて、特別制御を開始する、
    制御異常検知時に、前記各保護制御手順を実行した場合の前記可用性を評価し、
    所定の目標値を達成可能なものを選択実行する、
    請求項9に記載の保護制御実行方法。
  11. 機械可読形式で予め記述された制御手順、制御則、又は制御ルールの少なくとも何れかを実行して形成される基本制御手段は、
    通常目的を達するように前記制御対象を制御し、
    該基本制御手段における制御状態を制御状態推定手段が推定する、
    請求項9に記載の保護制御実行方法。
  12. 保護制御手段の候補に関するメタデータが定義され、前記メタデータを用いて前記保護制御手段の候補を実行した場合の前記制御対象の可用性を評価し、
    該可用性を評価する手段として、前記メタデータを含む所定の算出式から算出されるか、前記メタデータをパラメータとして前記保護制御手段の候補を模擬実行した結果から算出されるか、の少なくとも何れかを含む、
    請求項9に記載の保護制御実行方法。
  13. 前記模擬実行は、時間軸を実際の所要時間よりも短縮して処理する、
    請求項12に記載の保護制御実行方法。
  14. 前記可用性の指標及びその目標値を含んで1つ以上の可用性条件が定義される、
    請求項9に記載の保護制御実行方法。
JP2020194969A 2020-11-25 2020-11-25 制御システム及び保護制御実行方法 Active JP7470018B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2020194969A JP7470018B2 (ja) 2020-11-25 2020-11-25 制御システム及び保護制御実行方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020194969A JP7470018B2 (ja) 2020-11-25 2020-11-25 制御システム及び保護制御実行方法

Publications (2)

Publication Number Publication Date
JP2022083573A JP2022083573A (ja) 2022-06-06
JP7470018B2 true JP7470018B2 (ja) 2024-04-17

Family

ID=81855584

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020194969A Active JP7470018B2 (ja) 2020-11-25 2020-11-25 制御システム及び保護制御実行方法

Country Status (1)

Country Link
JP (1) JP7470018B2 (ja)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003181900A (ja) 2001-12-20 2003-07-02 Omron Corp コントローラ並びにモーション制御装置
JP2008262445A (ja) 2007-04-13 2008-10-30 Fuji Electric Fa Components & Systems Co Ltd サーボモータ駆動装置
JP2013517582A (ja) 2010-01-20 2013-05-16 エルエス産電株式会社 安全増設ベース及びその制御方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003181900A (ja) 2001-12-20 2003-07-02 Omron Corp コントローラ並びにモーション制御装置
JP2008262445A (ja) 2007-04-13 2008-10-30 Fuji Electric Fa Components & Systems Co Ltd サーボモータ駆動装置
JP2013517582A (ja) 2010-01-20 2013-05-16 エルエス産電株式会社 安全増設ベース及びその制御方法

Also Published As

Publication number Publication date
JP2022083573A (ja) 2022-06-06

Similar Documents

Publication Publication Date Title
CN107407919B (zh) 安全控制系统和安全控制系统的运行方法
US10991177B2 (en) Method for processing vehicle fault, apparatus, device, and storage medium
Ji et al. Prognostics enabled resilient control for model-based building automation systems
Reschka Safety concept for autonomous vehicles
CN110682876B (zh) 车辆自动驾驶方法、系统、存储介质及自动驾驶汽车
WO2009089313A2 (en) Methods and systems for vital bus architecture
CN112622930A (zh) 无人车的行驶控制方法、装置、设备以及自动驾驶车辆
CN111665849B (zh) 一种自动驾驶系统
CN111016827A (zh) 用于自动驾驶车辆的配电系统的健康自学习系统和方法
US20230176573A1 (en) Method and system for operating an autonomous agent with a remote operator
Hussain et al. DeepGuard: A framework for safeguarding autonomous driving systems from inconsistent behaviour
JP7470018B2 (ja) 制御システム及び保護制御実行方法
DE102017216801A1 (de) Verfahren zum Überwachen mindestens einer Komponente eines Kraftfahrzeugs
KR20160009156A (ko) 차량 정비 서비스 제공 시스템 및 방법
Wardziński The role of situation awareness in assuring safety of autonomous vehicles
Nezami et al. A safe control architecture based on a model predictive control supervisor for autonomous driving
CN114911982A (zh) 一种车辆故障预警方法、装置、终端设备及存储介质
Shetty et al. Automated vehicle safety and deployment: lessons from human crashes
Hanselaar et al. Detection and mitigation of functional insufficiencies in autonomous vehicles: The safety shell
CN109094489B (zh) 用于运行车载电网的方法
Malm Guidelines to make safe industrial robot systems
Zheng et al. Function modelling and risk analysis of automated level crossing based on national statistical data
Li et al. Safety Analysis Based on Critical Scenarios and Collision Avoidance of Highly Automated Vehicle
CN111145381B (zh) 一种电动车辆的安全状态评估方法以及电动车辆
CN107274059A (zh) 用于确定消防系统安全得分和用于通过数据挖掘进行预测分析的系统和方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230807

TRDD Decision of grant or rejection written
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20240322

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240402

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240405

R150 Certificate of patent or registration of utility model

Ref document number: 7470018

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150