JPH055121B2 - - Google Patents

Info

Publication number
JPH055121B2
JPH055121B2 JP58085803A JP8580383A JPH055121B2 JP H055121 B2 JPH055121 B2 JP H055121B2 JP 58085803 A JP58085803 A JP 58085803A JP 8580383 A JP8580383 A JP 8580383A JP H055121 B2 JPH055121 B2 JP H055121B2
Authority
JP
Japan
Prior art keywords
control device
control
subsystem
plant
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP58085803A
Other languages
English (en)
Other versions
JPS59212902A (ja
Inventor
Kazuo Asami
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP58085803A priority Critical patent/JPS59212902A/ja
Priority to US06/697,585 priority patent/US4667284A/en
Priority to PCT/JP1984/000251 priority patent/WO1988004071A1/ja
Publication of JPS59212902A publication Critical patent/JPS59212902A/ja
Publication of JPH055121B2 publication Critical patent/JPH055121B2/ja
Granted legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/181Eliminating the failing redundant component
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/182Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits based on mutual exchange of the output between redundant processing components

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)

Description

【発明の詳細な説明】 〔発明の利用分野〕 本発明は、多重化制御装置に関する。
〔発明の背景〕
制御装置の高信頼化には種々の方法がある。従
来からとられている最も一般的な方法は、制御装
置に使用されているハードウエア個々のレベルで
の高信頼化である。具体的には、高信頼度部品の
選択使用及び、十分な設計裕度の確保、或いは、
部品のスクリーニング実施及びエージング実施、
さらには使用部品点数の削減(集積回路の適用)
などである。しかしながら、これらハードウエア
レベルでの高信頼化には限界がある。そこで、最
近は、システムレベルでの高信頼化の必要性と有
効性が強く認識されてきている。
例えば、従来のシングル系の制御装置のシステ
ム構成では、コンデンサ1個又はトランジスタ1
個の異常が、制御システム全体に大きな影響を与
える可能性がある。事実、過去の制御システムの
異常原因を分析してみると、ほとんどがこの種の
トラブルに起因している。そこで、制御システム
を多重化することが考えられている。
第1図は二重化プラント制御装置の一構成例を
示したものである。同一機能をもつ2台の制御装
置11及び12は、プラント1から検出されたプ
ラント情報21及び22を入力して出力信号31
及び32を出力する。出力信号31及び32は切
換回路51にて選択され、切換回路51より最終
的な選択制御信号30が出力される。この制御信
号30によりプラント1の制御対象機器を制御す
る。例えば、現在、切換回路51によつて制御装
置11が選択されている場合を考える。この場
合、制御装置12は待機中である。制御装置11
及び12は、各々自己の機能が正常であるか否か
を常にチエツクしている。さて、制御装置11
が、自己診断などでその異常を発見すると、制御
装置11より切換回路51に異常である旨の自己
診断結果信号41を送る。切換回路51では、制
御装置11及び12から送られてきた自己診断結
果信号41及び42より、より正常だと考えられ
る制御装置11又は12を選択する。
第1図の二重化プラント制御装置は、切換回路
51による制御装置の切換を、主として自己診断
結果をベースに判定している。従つて、万一自己
診断により発見できなかつた異常が生じている場
合、制御装置11及び12の演算結果が異なつた
場合などは、正しく機能している制御装置を判定
できない。
この点を改良した例が、第2図に示す異常検出
装置付二重化プラント制御装置である。異常検出
装置61の構成に対しても、種々の公知例があ
る。例えば、制御装置11及び12の出力信号3
1及び32を常時モニタしておき、変化率チエツ
ク、ドリフトチエツクなどの一種の合理性チエツ
クにより、制御装置11又は12の異常を検出す
るものである。一般には、上記異常検出機能と、
第1図の二重化プラント制御装置にて説明した自
己診断結果信号41及び42とを考慮して、正常
な制御装置を判定することが多い。すなわち、マ
イクロコンピユータなどでこの処理を実行するケ
ースが多い。
第2図に示した異常検出装置付二重化プラント
制御装置は、異常検出装置61の故障検出能力が
大きく制御装置全体の信頼性に関わつてくる。例
えば、故障検出率が0.9と0.99ではプラント制御
装置全体の信頼性は約1桁異なつてくる。従つ
て、この種のプラント制御装置ではできる限り故
障検出率を上げることが必須となる。しかし、各
各の制御装置から出力される2つの自己診断結果
信号によつて、正確にどちらの制御装置が正しく
機能しているかを判定することには限界がある。
そのため、故障検出率を高めることを目的とし
て、異常検出装置61にもプラント1から制御装
置出力信号31及び32の良否を判定するために
参考となる必要情報を入力し、これらの信号より
基準信号を作成して異常の有無を判定するという
方法もある。この場合は、異常検出装置61の規
模が大きくしかも複雑になり、第3図に示す三重
化プラント制御装置と構造的に大差がなくなつて
しまう。また、異常検出装置61の信頼性も問題
となる。特に、異常検出装置61の故障は制御装
置11及び12のコモンモードとなり、実際は期
待したほど二重化プラント制御装置のトータルの
信頼性は向上しない。
第3図に三重化プラント制御装置の一例を示
す。
第3図の三重化プラント制御装置は、3台の制
御装置11,12及び13が常時運転していて、
その出力信号31,32及び33のうちの中間値
を中間値選択回路71が選択し出力する中間値選
択三重化プラント制御装置の一例を示している。
中間値選択回路71は、例えば高値入力選択回路
と低値入力選択回路の組合せにより作られる。し
かし、第2図の説明で述べたように、本方式では
中間値選択回路の故障がコモンモードとなるの
で、中間値選択回路71を十分信頼性の高いもの
にしないと効果は半減する。なお、電源まで含め
た多重化を考慮した場合は、この中間値選択回路
の電源異常で、三重化プラント制御装置全体が異
常となる。なお、制御装置の出力が多数ある場
合、本方式では、各出力信号毎に中間値をとる形
になるので、制御対象システムによつては、各々
の制御装置が干渉しあい、ハンチング現象が発生
する可能性もあり、その適用には注意を要する。
〔発明の目的〕
本発明の目的は信頼性の高い多重化制御装置を
提供することにある。
〔発明の概要〕
本発明の特徴は、制御装置間を連絡して他方の
制御装置が所有している情報を一方の制御装置に
伝送する情報伝送回路を有し、制御装置は自己が
所有している情報に基づく自己診断及び他の制御
装置の情報に基づく他の制御装置の診断を行う機
能を有し、入力した各々の制御装置の診断結果に
基づいて正常な1つの制御装置を選択する複数の
判定手段を設け、各々の判定手段の出力信号に基
づいて選択された制御装置の制御信号を制御対象
機器に出力する複数の切換手段を設けたことにあ
る。
本発明は、システム構成面からは、万一の故障
発生時にはその故障をマスクし、その故障した機
能を代行させるための多重化構成と、万一の故障
発生時の危険を最小化するための分散化構成とを
合わせた、いわば多重分散化システム構成として
いる。
本発明の構成は、信頼性理論上からも、また実
際上からも、極めて高い信頼度を期待できる。優
れたものであるが、全体のシステムの中で、多重
分散型構成をとれない、いわば共通部が多数存在
すると、全体の信頼度はこの共通部により決まつ
てしまうということになる。したがつて全体とし
ては、いかに共通部の信頼度を向上させるかが重
要となつてくるが、共通部はいわばシングル系で
あるため、そのための手法としては、超高信頼度
部品の使用及び部品点数の大幅削減位しかない。
本発明は、前者には限界があるとの現実的な判
断のもと、特に後者、即ち部品点数の大幅削減と
いう観点から、出きるかぎり共通部も多重化し、
シングル部分の最少化をねらつて実現した。
〔発明の実施例〕
以下、本発明の一実施例を第4図により説明す
る。第4図は、本発明を三重化プラント制御シス
テムに、適用した実施例である。本発明は、基本
的には、二重化プラント制御システム以上の多重
化システムに適用可能である。
さて、第4図において破線で囲んだ部分が1つ
のサブシステムを表わしている。即ち、本実施例
の三重化プラント制御装置は、完全に分離独立し
た3つのサブシステムA,B及びCからなる。後
述するように、万一、1つのサブシステム内で異
常が発生すると、その異常部分が属する異常サブ
システム内での自己診断機能により検出され、異
常サブシステムを、他の正常なサブシステムから
切り離す。万一、異常サブシステムの自己診断機
能により検出されなかつたとしても、その異常の
影響を他の正常なサブシステムに及ぼすことはな
く、その異常に基づく現象は異常サブシステム内
に封じ込められている。実際には、この異常は、
他の正常なサブシステムからの相互診断機能によ
り検出できるよう考慮はされているが、上記した
ように、万一の発見不能時にも、その影響を他の
サブシステムに波及させないということから、い
わば危険分散の思想もあわせ持つたシステム構成
であり、多重分散化と称している。
第4図からも明らかな如く、共通部はほとんど
存在せず、多重化による高信頼化効果を最も有効
的に実現しており、一般に多重化システムにおい
て最も問題となるコモンモード故障の発生の可能
性を最少化している。
以下、各サブシステム内の主要構成要素とその
動作につき説明する。
1 サブシステムへの電源供給 各サブシステムは、各々独立した電源装置8
1,82及び83を所有している。万一あるサブ
システム、例えばサブシステムA内の電源装置8
1に異常が発生した場合には、それにより、サブ
システムAは、三重化プラント制御装置から切離
される。このため、サブシステムAの出力が他の
サブシステムB及びCに影響を与えることは原則
的にない。あえてあるとすれば、後述する情報入
力部において、1チヤンネル分の入力信号が喪失
する程度である。
2 プラント情報入力方法 本三重化プラント制御装置は、信号の入力系統
そのものも多重化することを原則としている。即
ち、三重化プラント制御装置は、プラント情報を
ベースに出力信号を決定するいわば情報処理装置
である。従つて、入力情報が単一の場合には、こ
の異常時にその使命が完遂できなくなると考えら
れるからである。本実施例では、プラントの同じ
状態量を測定する検出器が3個設けられる。すな
わち、同じ状態量を測定する3個の検出器14,
15及び16が、プラントに設けられる。すべて
の検出器を三重化するとシステムが複雑になるの
で、三重化する検出器は、プラントの運転制御に
とつて重要なものだけである。
さて、本実施例では検出器14,15及び16
の出力信号、すなわち、プラント情報21,2
2,23(制御対象からのフイードバツク信号な
ど)は、原則として3重化されている。それらの
入力情報は、基本的には各々のサブシステムの入
力信号切換部91,92及び93を介して制御装
置11,12及び13にそれぞれ入力される。ま
た、圧力発信器などの外部電源を必要とする検出
器に対しては、それが属するサブシステムの電源
装置より電力が供給される。従つて、1つのサブ
システムの電源装置が故障した場合、その電源装
置から電力が供給されている検出器は作動しない
が、他の2つの検出器は正常に作動するので、
各々のサブシステムの制御装置は入力情報を確保
出来る。このようにプラント情報が完全に喪失す
ることはない。3つの検出器が同時に故障するこ
とは極めて希なことである。次に、これら多重化
された信号の各サブシステムへの入力方法につき
説明する。
プラントの同一の状態量を検出する三重化され
た各検出器の出力信号を、各サブシステムに入力
する方法としては、第4図に示した如く、各々の
検出器から出力されたプラント情報を各サブシス
テムの全てにそれぞれ入力する方法と、1対1、
即ち、その検出器が属するサブシステムのみへ入
力する方法(図示せず)の2つがある。両者の使
いわけは、主に要求信頼度と経済上の観点から決
められる。前者の方法は、単純に言つて後者の方
法の3倍のプラント情報を入力することになり、
入力部及びその入力信号の処理部が増大する。現
実的には、プラントの制御上特に重要な信号は、
前者の方法とし、各サブシステム内で、各々の多
重化信号をチエツクし、最も真値に近いと考えら
れる信号を選択、或いは算出し、自己の演算用デ
ータとしている。これは、プラントに設けられた
検出器の異常による悪影響をサブシステムにでき
る限り及ぼさないようにするためである。
3 入力信号の分離と切離し 各検出器14,15及び16にて検出されたプ
ラント情報は、入力信号切換部91,92及び9
3を介し、制御装置11,12,13に入力す
る。入力信号切換部91,92,93は、本実施
例では具体的には電磁リレー、水銀リレーなどに
よつて構成されている。しかし、必ずしもこの種
のハードウエアによるものでなくてもよい。
万一、1つのサブシステム内に異常が発生した
場合(例えば電源装置の異常、制御装置の異常な
ど)、その異常サブシステムは、該当する入力信
号切換部及び出力信号切換部(後述)により、制
御対象機器及びプラント1から完全に切離され
る。これによつて異常サブシステムによる悪影響
が、他の正常なサブシステムに及ぼされることを
阻止できる。
また、切離された異常サブシステムのトラブル
シユーテイング及び修復後の動作確認を容易にす
るために、入力信号切換部及び出力信号切換部
は、テストツール100からの信号を入力できる
ように構成されている。この機能は、リレーの接
点U(第5図)側を利用して実現している。
サブシステムAに属する検出器14の出力信号
を、各々のサブシステムに設けられる制御装置1
1,12及び13に伝える具体的な信号伝送回路
を第5図に示す。検出器14への電力は、サブシ
ステムA内の電源装置81より供給されている。
電源ライン(2線式検出器を例にとつており、信
号ラインに一致)には、ヒユーズ25A、スイツ
チ24A及びリレー26Aが接続されている。ヒ
ユーズ25Aは、信号伝送回路の保護用である。
スイツチ24Aは、万一、検出器14に異常が発
生した時のメインテナンス時に、検出器14を電
源装置81及び各制御装置から切離せるように設
置してある。またリレー26Aは、検出器14へ
の供給電力を監視するものである。スイツチ24
Aの動作位置及びリレー26Aの接点状態は、各
サブシステムの制御装置がそれぞれに取り込んだ
検出器14の出力信号が使用可能状態にあるの
か、それとも無視すべき状態にあるのかを判断す
ることによつて検知される。検出器14の出力信
号(一般には4〜20mADC)は、50Ω程度の抵
抗27A,28A及び29Aにより、電圧信号に
変換される。この電圧信号が、入力信号切換部
(水銀リレー)91,92及び93の接点を介し
て各制御装置11,12及び13にそれぞれ入力
されている。この場合、入力信号切換部91,9
2及び93の接点Vと接点Wが、それぞれ接続さ
れている。
検出器15及び16も、第5図と同様な信号伝
送回路に接続されている。検出器15及び16の
出力信号は、上記信号伝送回路を介して制御装置
11,12及び13にそれぞれ伝えられる。この
ような信号伝送回路を用いると、あるサブシステ
ム内で、短絡又は地絡などのトラブルが発生した
としても、他のサブシステムに対する入力信号
(プラント情報)に影響を与えることはほとんど
ない。なお、入力信号切換部91,92及び93
の接点Uは、テストツール100の接続用コネク
タ(図示せず)に接続されている。あるサブシス
テムに異常が生じた場合は、その異常サブシステ
ムの入力信号切換部の接点Vと接点Wの接続を切
離し、その後、接点Uと接点Wを接続する。テス
トツール100から出力された検出器の出力信号
に相当する模擬信号が、接点U及びWを介して異
常サブシステムの制御装置に入力される。この制
御装置に、テストツール100の出力信号を入力
することによつて種々のテストが行われる。
4 制御装置の機能と出力信号 各サブシステムの制御装置11,12及び13
は、入力信号切換部91,92,93を介し入力
したプラント情報21,22及び23に基づいて
得られた制御信号31,32及び33をそれぞれ
出力する。但しテストツール100が接続されて
いる制御装置のテスト中は、テストツール100
の出力モードに対応した信号を出力する。また、
各々の制御装置は、それらが属する当該サブシス
テムの自己診断のほかに、他のサブシステムとの
相互診断を実施し、サブシステムの異常の確実な
早期発見に努めるとともに、これらの結果から制
御対象機器55に対する制御信号31,32及び
33を決定している(必ずしも自己のデータを常
に出力するわけではなく、診断結果を尊重し、そ
の時点で最も妥当と考えられるデータを出力す
る)。
本来、共通部の最少化という観点からは、各サ
ブシステム間同士の信号の相互授受はないほうが
よいし、多重分散化の思想にも合致する。しかし
ながら、サブシステム間での切換時のバンプレス
性や、異常復帰後のサブシステム再立ち上げ時な
どの内部データ設定機能などの確保のためには、
若干のデータの授受が必要不可欠となる。特に、
制御演算として、比例積分制御あるいはラツチデ
ータなど、過去の履歴を必要とするデータを扱う
場合には、ある種のデータコピー機能が必要とな
る。また、確実な異常検出のためには、自己のデ
ータ以外の他のデータを入手し、これらの相互比
較を行なうことも必要となる。しかながら上記し
た様に、本機能は、共通モード故障をひきおこす
可能性もあるのでその適用には十分な注意が必要
である。本実施例では、第6図に示すように信頼
性の高いデータ伝送装置回路34,35及び36
と、伝送回路切離装置37,38及び39の適用
に加え、データの二重伝送方式と、各サブシステ
ム毎のデータコンロール方式により、本機能のコ
モンモード化を極力防止している。第6図により
以下説明する。
データ伝送回路34,35及び36は、光伝送
技術を応用した絶縁型データ伝送回路を使用して
いる。第6図においてデータ伝送回路34,35
及び36がそれぞれ2本ずつ示されているが、こ
れは制御装置間のデータの流れをわかりやすくし
たためである。実際は、データ伝送回路34,3
5及び36は、一本である。データ伝送回路34
は、制御装置11と制御装置12を接続してい
る。データ伝送回路35は、制御装置12と制御
装置13を連絡している。データ伝送回路36
は、制御装置11と制御装置13を連絡してい
る。1つのデータ伝送回路は、それによつて連絡
される一方の制御装置内のデータを他方の制御装
置に伝える。そのデータ伝送回路は、逆に、他方
の制御装置内のデータを一方の制御装置に伝え
る。このため、サブシステムAの制御装置11内
のサブシステムAに関するデータは、データ伝送
回路36を介してサブシステムCの制御装置13
に伝えられ、さらにそこからデータ伝送回路35
を介してサブシステムBの制御装置12に伝えら
れる。逆に、制御装置11内のサブシステムAに
関するデータは、データ伝送回路34を介して制
御装置12に伝えられ、さらにそこからデータ伝
送回路36を介して制御装置13に伝えられる。
制御装置12内のサブシステムBに関するデータ
及び制御装置13内のサブシステムCに関するデ
ータも、前述のサブシステムAに関するデータと
同様に各各のデータ伝送回路を介して他の制御装
置に伝えられる。1つの制御装置は、自己のデー
タと、異なるデータ伝送回路によつて伝えられた
他の2つの制御装置のデータを2種類ずつ、合計
5種類のデータを所有している。
伝送回路切離し装置37が、データ伝送回路3
4に設けられる。伝送回路切離し装置38が、デ
ータ伝送回路35に設けられる。伝送回路切離し
装置39が、データ伝送装置36に設置される。
もし、データ伝送回路34,35及び36の1
つに異常が発生した場合、または制御装置11,
12及び13の1つに異常が発生した場合は、そ
の異常箇所に該当する伝送回路切離し装置を作動
させて異常箇所を正常な部分から切離す。これに
よつて、コモンモード故障を阻止できる。各デー
タ伝送回路は、前述したようにそれが接続される
制御装置から出力されたデータとともに他の伝送
回路を介して入手した他の制御装置のデータをの
せて伝送しあう二重伝送方式を採用しているの
で、1つのデータ伝送回路が異常になつた場合で
も、それぞれの制御装置に異なる他のすべての制
御装置のデータを入力することができる。
本実施例では、このように二重伝送方式を採用
することにより各制御装置の相互間を連絡するデ
ータ伝送回路は単一でありながらデータ伝送に関
しては二重化された信頼性の高いデータ伝送方式
を実現している。
制御装置11,12及び13は、前述のように
各データ伝送回路により入手した各サブシステム
のデータをベースに相互診断を実施する。基本的
には、ビツトデータに対しては2out of3ロジツク
を応用した論理により数値データに対しては偏差
チエツクをベースにした論理により、制御装置1
1,12及び13は出力データを決定する。この
決定は、各サブシステムがその時点で所有してい
る各サブシステムのデータに基づいて、各サブシ
ステムの判断により独立して行なう方式としてい
るため、極めてコモンモード故障をひきおこしに
くい形となつている。また、制御装置の自己デー
タと、他の制御装置のデータ及び制御装置の出力
データとを制御装置内で分離して取扱う方式とし
ている。従つて、万一ある制御装置の自己データ
が他の2つのサブシステムのデータと一致しない
事象が発生した場合には、制御装置の出力データ
は、一致している他の2つのサブシステムのデー
タとする。しかし、自己データの変更は、その不
一致事象が複数回以上連続して発生しない限り行
なわないので、自己データの他のサブシステムの
データからの汚染を防止するとともに、相互診断
機能に用いる各サブシステムのデータの独立性を
確保している。
制御装置11,12及び13で得られたそれぞ
れの自己診断及び相互診断結果は、診断結果信号
44,45及び46として制御装置11,12及
び13より総合判定部64,65及び66にそれ
ぞれ出力される。1つの総合判定部には、診断結
果信号44,45及び46が入力される。本実施
例では、各制御装置11,12及び13は、各サ
ブシステム毎の正常性を判定し、正常と考えられ
るサブシステムに対しては「1」、異常と考えら
れるサブシステムに対しては「0」を出力する。
これは後述するように総合判定回路64,65及
び66の判定ロジツクを単純化するためである。
各制御装置においてよりきめ細かな判定を行う場
合は、各サブシステム毎の状態判定結果を、重故
障、中故障、軽故障、正常などと分類し出力させ
てもよい。また、いわば各サブシステムの正常度
などを数値で出力させてもよい。
5 制御信号選択部 本実施例の中核をなすのが、制御信号選択部で
ある。制御信号選択部は、各サブシステム毎に設
けられた総合判定部64,65及び66と、各サ
ブシステムの総合判定部64,65及び66の出
力により実際に出力信号を切換える出力信号切換
部51,52及び53よりなる。出力信号切換部
51,52及び53は、プラント1の制御対象機
器55に接続されている。
多重化プラント制御装置において最も問題とな
るのは、いかにして最適な制御信号を選択するか
ということである。一般の多重化プラント制御装
置では、いわゆるボータ部と呼ばれる総合判定部
がシングルであるため、万一、ボータ部が誤判断
すると、多重化プラント制御装置全体の機能の健
全性が阻外される可能性があつた。本実施例で
は、各サブシステム毎に総合判定部64,65及
び66を設け、各々の総合判定部の出力信号から
2out of3ロジツクに基づいて最も正常に機能して
いると思われる制御装置を選択する新たに考えた
判定部冗長化方式を採用している。
実際には、総合判定部64,65及び66は
4)項で述べたように、各制御装置11,12及
び13がそれぞれ出力した各サブシステムの診断
結果信号44,45,46を全て取り込み、「1」
を出力した診断結果、信号の数に基づく多数決判
定ロジツクによつて最も正常に機能している可能
性が高いと推定される1つの制御装置を選択し、
その旨の選択信号を各々独自に出力する。もし、
2つのサブシステムの制御装置が全く同じ程度に
正常に機能していると判断された場合には、総合
判定部は、前回から選択されている一方のサブシ
ステムの制御装置を、または両者のうちで優先順
位の高いサブシステムの制御装置を選択する。こ
のような場合に備えて、制御装置11,12及び
13には、選択する優先順位、例えば、制御装置
11,12及び13の順に順位をつけてある。従
つて、各総合判定部は、いかなる事態においても
判定の時点で最も正常に機能していると思われる
制御装置を1つだけ選択する。
各々の総合判定部から出力された選択信号は、
各出力信号切換部51,52及び53のすべてに
入力される。従つて1つの出力信号切換部は、3
つの総合判定部64,65及び66からの選択信
号を入力することになる。出力信号切換部の詳細
構造を出力信号切換部51を例にとつて第7図に
より説明する。出力信号切換部52及び53は、
出力信号切換部51と同一の構成を有する。出力
信号切換部51は、総合判定部65,65及び6
6が出力したすべての選択信号を入力する2out
of3ロジツク回路54、制御装置から出力された
制御信号を入力する固定接点P、プラント1の制
御すべき制御対象機器55に接続される固定接点
Q、固定接点R及び可動接点Sからなつている。
固定接点Rには、必要に応じてテストツール10
0を接続する。サブシステムAの出力信号切換部
51に設けられた2out of3ロジツク回路54は、
3つの総合判定部64,65及び66から出力さ
れた3つの選択信号のうち2以上の選択信号が制
御装置11を選択したものである場合に、出力信
号切換部51の可動接点Sを作動させて固定接点
Pと固定接点Qを接続する。出力信号切換部51
の可動接点Sは、上記の場合以外においては固定
接点Sと固定接点Qを接続しない。サブシステム
Bの出力信号切換部52に設けられた2out of3ロ
ジツク回路は、入力された3つの選択信号のうち
2以上の選択信号が制御装置12を選択したもの
である場合に、出力信号切換部52の可動接点S
を作動させてその固定接点Pと固定接点Qを接続
する。サブシステムCの出力信号切換部53に設
けられた2out of3ロジツク回路は、入力された3
つの選択信号のうち2以上の選択信号が制御装置
12を選択したものである場合に、出力信号切換
部52の可動接点Sを作動させてその固定接点P
と固定接点Qを接続する。サブシステムCの出力
信号切換部53に設けられた2out of3ロジツク回
路は、入力された3つの選択信号のうち2以上の
選択信号が制御装置13を選択したものである場
合に、出力信号切換部53の可動接点Sを作動さ
せてその固定接点Pとの固定接点Qを接続する。
従つて、総合判定部64,65及び66の1つ
に異常が発生したとしても、最終的な制御信号の
選択が誤まることはない。また、出力信号切換部
の1つに異常が発生しても問題はない。
しかしながら、通常の2out of3回路は、3つの
入力信号のうち1つの入力信号の異常をマスクで
きるが、2つの入力信号の異常時は動作できない
という欠点を持つ。そこで本実施例では、各総合
判定部64,65及び66に自己診断機能を付加
して2つの総合判定部で異常であるとの自己診断
結果がでた時は、残りの総合判定部の判断のみ
で、制御信号の選択が出来るよう配慮している。
また、本実施例は、2つのサブシステムが何らか
の原因でダウン状態にある時またはオフライン状
態にある時は、残りのサブシステムで異常である
との自己診断結果を得ていない場合に限り、自動
的にこの残りのサブシステムを選択できるような
機能をも有している。これらの機能を有する本実
施例は、最終的には3台中1台のみ運転続行可能
であれば、制御続行可能なシステムを実現してい
る。
なお、ちなみに3つのサブシステムが全てダウ
ンした場合には、その出力は、システム的に、フ
エイルセイフ、フエイルアズイズなどの方向に動
作することはもちろんである。
本実施例によれば、多重化の効果を十分に生か
せるため、極めて高信頼度を期待できるフオール
トトララントシステムを構築することができる。
以上述べた本実施例によれば、多重化プラント
制御装置の信頼性が著しく向上し、プラントの稼
動率が著しく向上する。
また、総合判定部の判定ロジツクを多数決判定
方式として説明したが、よりきめこまかな判定ロ
ジツクとして、各サブシステムの状態を重故障、
中故障、軽故障、正常などと分類する場合は、そ
れぞれ、最も正常に近いものから順次選択する方
法や、各サブシステムの正常度などを数値で表現
した場合は、これら数値の最大のシステムを選択
する方法なども考えられる。この場合、判定結果
そのものはよりきめ細かなものになるが、総合判
定部のロジツクが複雑になるという欠点も有す
る。
なお、無用の切換を防止するために、例えば、
同ランクだつた場合は、現在制御中として選択さ
れているものをそのまま選択させておくことなど
のロジツクを入れることも効果がある。
本発明は、三重化プラント制御装置だけでなく
二重化プラント制御装置にも適用できる。
〔発明の効果〕
本発明によれば、共通部を最小とした多重化シ
ステムを構成できるので、特に高信頼化システム
の実現が容易に可能となる。
【図面の簡単な説明】
第1図は従来例の二重化プラント制御装置の系
統図、第2図は他の従来例である異常検出装置付
二重化プラント制御装置の系統図、第3図は他の
従来例である中間値選択三重化プラント制御装置
の系統図、第4図は本発明の好適な一実施例であ
る三重化プラント制御装置の系統図、第5図は第
4図に示す各サブシステムの制御装置の信号入力
側における信号伝送回路の系統図、第6図は第4
図に示す各サブシステムの制御装置間における情
報伝送回路の系統図、第7図は第4図に示すサブ
システムの信号出力側における信号伝送回路の系
統図である。 1…プラント、11,12,13…制御装置、
14,15,16…検出器、34,35,36…
データ伝送回路、37,38,39…伝送回路切
離し装置、51,52,53…出力信号切換部、
54…2out of3ロジツク回路、55…制御対象機
器、64,65,66…総合判定部、81,8
2,83…電源装置、91,92・93…入力信
号切換部、A,B,C…サブシステム。

Claims (1)

    【特許請求の範囲】
  1. 1 同一のプラント状態量を検出するために多重
    化の数だけ設けられた複数台の検出器と、これら
    複数台の検出器で検出したプラント状態量をそれ
    ぞれ総て入力してプラントを構成する制御対象機
    器の制御信号を出力する多重化数だけの複数台の
    制御装置であつて、他の総ての制御装置のデータ
    をデータ伝送回路を介して取込み自己診断と相互
    診断を行い自己診断結果と相互診断結果の診断結
    果信号を出力する複数台の制御装置と、該複数台
    の制御装置毎に設けられ、これら複数台の制御装
    置の出力する診断結果信号をそれぞれ総て入力し
    ていずれか1台の制御装置を正常であると選択す
    る複数台の判定手段と、前記複数台の制御装置毎
    に設けられ対応する制御装置の出力する制御信号
    をそれぞれ入力すると共に前記複数台の判定手段
    で判定した選択信号を総て入力して対応する制御
    装置を選択すべきかを決定し、選択すべきと決定
    した制御装置の制御信号を前記制御対象機器に与
    えるための複数台の出力信号切換手段とを具備し
    た多重化制御装置。
JP58085803A 1983-05-18 1983-05-18 多重化制御装置 Granted JPS59212902A (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP58085803A JPS59212902A (ja) 1983-05-18 1983-05-18 多重化制御装置
US06/697,585 US4667284A (en) 1983-05-18 1984-05-05 Multiplexing control unit
PCT/JP1984/000251 WO1988004071A1 (en) 1983-05-18 1984-05-18 Multiplex control apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP58085803A JPS59212902A (ja) 1983-05-18 1983-05-18 多重化制御装置

Publications (2)

Publication Number Publication Date
JPS59212902A JPS59212902A (ja) 1984-12-01
JPH055121B2 true JPH055121B2 (ja) 1993-01-21

Family

ID=13869033

Family Applications (1)

Application Number Title Priority Date Filing Date
JP58085803A Granted JPS59212902A (ja) 1983-05-18 1983-05-18 多重化制御装置

Country Status (3)

Country Link
US (1) US4667284A (ja)
JP (1) JPS59212902A (ja)
WO (1) WO1988004071A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008060713A (ja) * 2006-08-29 2008-03-13 Fuji Xerox Co Ltd 情報処理装置およびプログラム

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0830962B2 (ja) * 1985-04-05 1996-03-27 株式会社日立製作所 階層型高信頼化装置
JPS625402A (ja) * 1985-07-01 1987-01-12 Hitachi Ltd プラント制御装置
JPS6281201U (ja) * 1985-11-07 1987-05-23
US4772445A (en) * 1985-12-23 1988-09-20 Electric Power Research Institute System for determining DC drift and noise level using parity-space validation
DE3639055C2 (de) * 1986-11-14 1998-02-05 Bosch Gmbh Robert Verfahren zur Betriebsüberwachung und Fehlerkorrektur von Rechnern eines Mehrrechnersystems und Mehrrechnersystem
SE457391B (sv) * 1987-04-16 1988-12-19 Ericsson Telefon Ab L M Programminnesstyrt realtidssystem omfattande tre i huvudsak identiska processorer
JPH0731537B2 (ja) * 1987-09-11 1995-04-10 株式会社日立製作所 多重化制御装置
JPH01245335A (ja) * 1988-03-28 1989-09-29 Hitachi Ltd プログラマブルコントローラの多重化システム
US5084878A (en) * 1988-10-24 1992-01-28 Hitachi, Ltd. Fault tolerant system employing majority voting
US5245531A (en) * 1989-03-10 1993-09-14 Kabushiki Kaisha Toshiba Multiplexed digital control device
JP2768722B2 (ja) * 1989-03-10 1998-06-25 株式会社東芝 多重化制御装置
DE4005546A1 (de) * 1990-02-22 1991-08-29 Gutehoffnungshuette Man Verfahren zur redundanten drehzahlregelung und vorrichtung zur durchfuehrung dieses verfahrens
JPH0490648A (ja) * 1990-08-06 1992-03-24 Fujitsu Ltd 符号化送信方式
JPH04101201A (ja) * 1990-08-21 1992-04-02 Toshiba Corp プラント監視制御システム
US5357425A (en) * 1991-02-13 1994-10-18 General Electric Company Method and apparatus for controlling a real time system
JP2682251B2 (ja) * 1991-04-05 1997-11-26 株式会社日立製作所 多重化制御装置
US5339404A (en) * 1991-05-28 1994-08-16 International Business Machines Corporation Asynchronous TMR processing system
US5428769A (en) * 1992-03-31 1995-06-27 The Dow Chemical Company Process control interface system having triply redundant remote field units
US5664089A (en) * 1994-04-26 1997-09-02 Unisys Corporation Multiple power domain power loss detection and interface disable
US5613064A (en) * 1995-01-13 1997-03-18 Curtin; Keith W. Output network for a fault tolerant control system
FR2730074B1 (fr) * 1995-01-27 1997-04-04 Sextant Avionique Architecture de calculateur tolerante aux fautes
DE19718284C2 (de) * 1997-05-01 2001-09-27 Kuka Roboter Gmbh Verfahren und Vorrichtung zum Überwachen einer Anlage mit mehreren Funktionseinheiten
US6473711B1 (en) * 1999-08-13 2002-10-29 Rosemount Inc. Interchangeable differential, absolute and gage type of pressure transmitter
EP1443399B1 (en) * 2003-01-23 2009-05-20 Supercomputing Systems AG Fault tolerant computer controlled system
DE102004033263B4 (de) * 2004-07-09 2007-07-26 Diehl Aerospace Gmbh Steuer-und Regeleinheit
JP4639930B2 (ja) * 2005-04-26 2011-02-23 日産自動車株式会社 冗長系システム及びその故障診断方法
US7467555B2 (en) 2006-07-10 2008-12-23 Rosemount Inc. Pressure transmitter with multiple reference pressure sensors
US20090076628A1 (en) * 2007-09-18 2009-03-19 David Mark Smith Methods and apparatus to upgrade and provide control redundancy in process plants
JP4859803B2 (ja) * 2007-10-01 2012-01-25 日立オートモティブシステムズ株式会社 電動アクチュエータの制御装置
JP5286151B2 (ja) * 2009-04-24 2013-09-11 株式会社東芝 多重化制御システムおよび多重化制御システムの制御方法
JPWO2011099233A1 (ja) * 2010-02-10 2013-06-13 日本電気株式会社 多重化システム
JP5783944B2 (ja) * 2012-03-28 2015-09-24 株式会社東芝 多重化制御システム
JP2013239034A (ja) * 2012-05-15 2013-11-28 Mitsubishi Electric Corp 系切替制御装置及び二重化システム

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS59157703A (ja) * 1983-02-28 1984-09-07 Hitachi Ltd 多重系制御装置の切換方式

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS4861886A (ja) * 1971-12-02 1973-08-29
JPS5014987A (ja) * 1973-06-13 1975-02-17
US4101958A (en) * 1977-09-01 1978-07-18 Rockwell International Corporation Apparatus and method for effecting redundant control data transfer in a digital flight control system
JPS56168802U (ja) * 1980-05-19 1981-12-14
US4412281A (en) * 1980-07-11 1983-10-25 Raytheon Company Distributed signal processing system
US4327437A (en) * 1980-07-30 1982-04-27 Nasa Reconfiguring redundancy management
JPS5837702A (ja) * 1981-08-28 1983-03-05 Hitachi Ltd 三重化制御装置
US4472806A (en) * 1982-05-03 1984-09-18 The Boeing Company Signal selection and fault detection apparatus

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS59157703A (ja) * 1983-02-28 1984-09-07 Hitachi Ltd 多重系制御装置の切換方式

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008060713A (ja) * 2006-08-29 2008-03-13 Fuji Xerox Co Ltd 情報処理装置およびプログラム

Also Published As

Publication number Publication date
WO1988004071A1 (en) 1988-06-02
US4667284A (en) 1987-05-19
JPS59212902A (ja) 1984-12-01

Similar Documents

Publication Publication Date Title
JPH055121B2 (ja)
EP1297426B1 (en) Control system for actuators in an aircraft
EP0399308A2 (en) Computer network for real time control with automatic fault identification and by-pass
CN107942820B (zh) 一种高可靠性的模拟量冗余输出装置及方法
BRPI1102364A2 (pt) sistema de comando de voo para aeronave e aeronave
US4305556A (en) Railway control signal dynamic output interlocking systems
US4270715A (en) Railway control signal interlocking systems
JP2683970B2 (ja) リレー装置の動作能力を確認する方法
CN110710164A (zh) 飞行控制系统
KR102577755B1 (ko) 해석적 채널을 통해 고장진단이 가능한 비행조종 컴퓨터
KR101345512B1 (ko) 이중화 기능을 갖는 디지털 보호 계전기
JP2006344023A (ja) 制御装置
JP6634701B2 (ja) 配電盤制御システムおよびそれを用いた受配電設備
JP4348485B2 (ja) プロセス制御装置
US7581617B2 (en) Method for triggering a coupling unit
JPH08106301A (ja) プラントプロセス制御システム
JPH06214601A (ja) 設備制御装置のバックアップ装置
CN113646707A (zh) 包括两个冗余控制通道的用于控制飞行器发动机的装置
JPH03164901A (ja) 二重系切換装置
JPS5854470A (ja) 多重系電子計算機システム構成制御方式
CN114488769A (zh) 防护模块、具有防护模块的控制装置及控制方法
JPS63136102A (ja) シ−ケンスコントロ−ラ制御装置
JPS5850372B2 (ja) デ−タ集配信処理システム
EP2413209A1 (en) Security key
JPS62204346A (ja) 2重系切換システム