JPH0619641B2 - 多重系制御システムのデータ管理方式 - Google Patents

多重系制御システムのデータ管理方式

Info

Publication number
JPH0619641B2
JPH0619641B2 JP58129776A JP12977683A JPH0619641B2 JP H0619641 B2 JPH0619641 B2 JP H0619641B2 JP 58129776 A JP58129776 A JP 58129776A JP 12977683 A JP12977683 A JP 12977683A JP H0619641 B2 JPH0619641 B2 JP H0619641B2
Authority
JP
Japan
Prior art keywords
control
controller
data
diagnosis
control device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP58129776A
Other languages
English (en)
Other versions
JPS6020202A (ja
Inventor
一夫 浅見
健二 山本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Engineering Co Ltd
Hitachi Ltd
Original Assignee
Hitachi Engineering Co Ltd
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Engineering Co Ltd, Hitachi Ltd filed Critical Hitachi Engineering Co Ltd
Priority to JP58129776A priority Critical patent/JPH0619641B2/ja
Publication of JPS6020202A publication Critical patent/JPS6020202A/ja
Publication of JPH0619641B2 publication Critical patent/JPH0619641B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/182Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits based on mutual exchange of the output between redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/183Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
    • G06F11/184Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/187Voting techniques
    • G06F11/188Voting techniques where exact match is not required

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Safety Devices In Control Systems (AREA)
  • Hardware Redundancy (AREA)

Description

【発明の詳細な説明】 〔発明の利用分野〕 本発明は、制御対象の状態量を複数の制御装置に並行し
て入力して処理し、制御対象を制御する多重系によるプ
ロセス制御システムのデータ管理方式に関する。
〔発明の背景〕
従来の高信頼度を目的としたプロセス制御用の多重系制
御システムとしては、特開昭58−37702号公報又
は特開昭58−96303号公報等に記載されたものが
知られている。これらの公報によれば、それぞれ制御対
象の状態量を入力し、独立して所定の演算処理をする複
数の制御装置を設け、これらの制御装置を情報伝送路に
より相互に接続し、各制御装置はその伝送路を介して他
の制御装置の演算処理により得られた制御出力データを
取り込み、各制御装置相互の制御出力データの一致・不
一致を判定するようになっており、その判定結果に基づ
いて出力切換部は多数決論理により正常な1つの制御装
置を選択し、その制御出力データを制御対象に出力する
ように構成されている。
しかしながら、上記従来の多重系制御システムは、同一
の状態量にかかる帰還値を複数の制御装置がそれぞれ別
個に設けられたタイマにより独立してサンプリングする
場合について考慮されていないことから、次のような問
題がある。
すなわち、同一の状態量であっても、異なるタイミング
でサンプリングすると、その間に状態量の値が変化する
ことがあり、各制御装置間にサンプリングされる帰還値
に差が生ずる。各制御装置はそのような差を有する帰還
値を目標値に一致させるように制御出力を演算する。一
方、制御対象に出力されるのは1つの制御装置(以下、
制御担当という)の制御出力データであることから、そ
れに対する帰還値は、必ずしも他の制御装置(以下、待
機系という)の制御出力データに対応したものではな
い。したがって、制御担当の制御装置からみて帰還値と
目標値との偏差が零になっても、待機系の制御装置から
みると常に偏差が残ってしまう可能性がある。このよう
な場合、待機系の積分要素を含んだ帰還制御処理は、そ
の偏差を除去するように演算処理を行うことから、制御
サイクルを重ねるにつれて偏差が積分され、制御出力デ
ータが制御担当の制御出力データと大きく離れてしま
い、待機系の制御装置の機能が正常であっても、異常と
判定されてしまうという不都合があり、多重系制御シス
テムの信頼性が損なわれるという問題がある。
また、このような問題は、各制御装置に与えられる制御
目標値等の設定値に差がある場合も同様に生ずる問題で
ある。つまり、制御担当の制御装置からみて帰還値と目
標値との偏差が零でも、待機系の制御装置からみると常
に偏差が残ってしまい、積分要素を含む演算処理のサイ
クルを重ねるにつれて、偏差が積分され、制御出力デー
タが制御担当の制御出力データと大きく離れてしまうこ
とになるからである。
〔発明の目的〕
本発明は、前記従来技術の欠点を解消するためになされ
たもので、信頼性の高い多重系制御システムにおけるデ
ータ管理方式を提供することを目的とする。
〔発明の概要〕
本発明は、上記目的を達成するため、それぞれ並行して
入力される制御対象の状態量をそれぞれ別個に設けられ
たタイマにより独立してサンプリングし、そのサンプリ
ングした状態量に基づき独立して所定の帰還制御を含む
演算処理を行う複数の制御装置と、これらの制御装置を
相互に接続する情報伝送路と、前記制御装置の少なくと
も1つに設けられ、前記各制御装置の制御出力データを
前記情報伝送路を介して入力し、各制御装置相互の制御
出力データが許容偏差内で一致・不一致かを判定して診
断を行う診断部と、該診断部の診断結果に基づいて多数
決論理により正常な1つの制御装置を選択し、その制御
出力データを制御対象に出力する多数決判定装置とを備
えてなる多重系制御システムのデータ管理方式におい
て、前記多数決判定装置により選択された制御装置を制
御担当とし、他の制御装置を待機系とし、この待機系の
制御装置は、前記制御担当制御装置の少なくとも帰還制
御処理に係る内部データをコピーして自己の帰還制御処
理に係る内部データに置き換えることを特徴とする。
これにより、待機系の制御装置における帰還制御にかか
る内部データが制御担当の制御装置の内部データに一致
されるため、サンプリングタイミングの違いによる帰還
値の差や目標値等の設定値の差等に起因する偏差の積分
処理に伴う誤差の積み重ね、入力ノイズ、演算結果のバ
ラツキ等による不一致を防止して、誤った異常診断を無
くすことができるから、多重系制御システムの信頼性が
向上されることになる。
なお、前記診断部を複数の制御装置にそれぞれ分散して
設け、多数決判定装置は、それら複数の診断部の診断結
果に基づいて多数決論理により正常な制御装置を選択す
ることが望ましい。これによれば、診断部の信頼性が向
上する。
また、前記待機系制御装置による前記制御担当制御装置
の内部データのコピーは、前記診断部による自己の制御
出力データの判定が、一致又は判定不能のときに実行
し、不一致のときは設定サイクル数の演算処理にわたっ
て連続して不一致であると判定されたときにのみ実行す
ることが望ましい。つまり、不一致のときにも常にコピ
ーしてしまうと、真に異常な制御装置を見つけだすのが
遅れることになるからである。
さらに、前記診断部は特定の制御装置にかかる制御出力
データが所定サイクル数連続して不一致のときのみ、そ
の制御装置の診断結果を異常として前記多数決判定装置
に出力するものとし、前記制御担当制御装置は、前記診
断部による自己の制御出力データの判定結果が不一致の
とき、自己の制御出力データとして、正常な他の待機系
制御装置の制御出力データをコピーして出力するように
することが望ましい。これによれば、外乱ノイズなどに
よりたまたま制御出力データが不一致になった場合を異
常と扱わずにすみ、安定な診断に基づいた信頼度の高い
システム運用を行うことができる。
〔発明の実施例〕
第1図は、本発明に係る多重系制御システムのデータ管
理方式の実施例の基本構成図である。
第1図において、第1コストローラ10と第2コントロ
ーラ12と第3コントローラ14とがそれぞれ第1通信
回線16、第2通信回線18、第3通信回線20により
相互に連結されている。そして、第1コントローラ1
0、第2コントローラ12、第3コントローラ14の制
御出力22,24,26がそれぞれ多数決判定回路28
に入力できるようになつており、多数決判定回路28が
選定した制御出力30が制御対象32を制御するように
なつている。制御対象32の状態量であるプロセスデー
タ(帰還値)34,36,38は、それぞれ個別の図示
しないセンサを介して独立のラインにより第1コントロ
ーラ10、第2コントローラ12、第3コントローラ1
4に入力される。また、指令情報40も三重化され、独
立した伝送路により各コントローラ10,12,14に
入力される。これら第1コントローラ10、第2コント
ローラ12、第3コントローラ14は、それぞれ独立し
た電源を有しており、各コントローラに入力される帰還
値と指令値とを基にして、単独の制御系として作動する
ようになつている。また、第1〜第3のコントローラの
うち、多数決判定回路28により選定された1つのコン
トローラが制御担当コントローラとされ、他のコントロ
ーラは待機中制御コントローラとされる。
第2図は、第1コントローラ10の処理概要を示してお
り、第2コントローラ12、第3コントローラ14も同
様の処理を行なう。第2図において、自己のコントロー
ラ、即ち第1コントローラ10に対するプロセスデータ
34や指令情報40は、プロセスデータ入力処理部42
において工学値変換やフイルタ処理、リミトチエツク等
が行なわれ、制御演算部44において演算処理され、演
算結果46が相互診断部48に入力される。また、相互
診断部48には、第2コントローラ12の演算結果50
が第1通信回線16、他系データ受信部52を介して入
力され、第3コントローラ14の演算結果54が第3通
信回線20、他系データ受信部56を介して入力され
る。相互診断部48は、入力された演算結果46,5
0,54から詳細を後述する多数決判定論理に基づき相
互診断を行ない、今回の相互診断結果58を診断結果の
報告と最適制御量の選択部60に入力するとともに、各
演算結果46,50,54を診断結果の報告と最適制御
量の選択部60に入力する。この診断結果の報告と最適
制御量の選択部60は、今回の相互診断結果58を受け
て第1コントローラ10独自の判断に基づき、表1に示
す相互診断アルゴリズムに従つて第1コントローラ10
に対する診断結果62、第2コントローラ12に対する
診断結果64、第3コントローラ14に対する診断結果
66を求め、最適制御指令値68とともに制御出力22
として多数決判定回路28に送る。ここで、診断結果6
2、64、66は各制御装置の「正常」又は「異常」を
表す報告となっている。
表1は、3台のコントローラ10,12,14がそれぞ
れ2台のコントローラの相互診断用データを組にして行
う相互チエツクの結果を示すものである。表1中に示し
た〇はデータが相互に一致したことを示し、×が不一致
であつたことを示す。ここに、相互チエツクとは、デイ
ジタルデータの場合にはビツトのON,OFF状況が一
致しているか否かのチエツクを示し、アナログデータの
場合には2データが所定の偏差内にあるか否かのチエツ
クを示す。ここで、デジタルデータとはON,OFF又
は高、低等の2値状態を表すデータであり、アナログデ
ータとは温度、流量等の連続的なアナログ量を表すデー
タであり、第2図に示したプロセスデータ34、指令情
報40、他系データには、デジタルデータとアナログデ
ータが含まれている。
なお、本方式では、ケースNo.8の判定不能の場合を除
くと、明らかに特定のコントローラが不一致であると判
定できるのは、ケースNo.4,6,7の場合で、これを
不一致のケースとして採用する。そして、ケースNo.
2,3,5は、アナログデータの場合に生じ得るが、具
体的にどちらのデータの信憑性が低いかを判定するアル
ゴリズムが複雑となり、複雑の割に効果が薄いことと、
デイジタルデータの場合にはあり得ないため、ケースN
o.1と同様に全て正常とみなす。つまり、ディジタルデ
ータの場合はON、OFF等の2値状態データであるか
ら、第1と第2、第2と第3の2つの組合せが一致して
いれば、第1〜第3はいずれも「ON」又は「OFF」
の一方でなければならないから、第1と第3が不一致と
いうことはあり得ない。これに対し、アナログデータの
場合は連続量であるから、第1と第2、第2と第3のデ
ータの偏差がそれぞれ所定内であっても、第1と第3の
偏差が所定内に収まるとは限らないから、ケースNo.
2,3,5の場合が生ずるのである。
第3図は、各コントローラ10,12,14がそれぞれ
実行する主要処理の概要を示す図である。第3図におい
て、各コントローラに入力されたプロセスデータは、プ
ロセスデータ入力処理部42においてプロセスデータ入
力処理100がなされた後、制御演算部44において制
御演算処理110がなされる。演算結果は他コントロー
ラとの情報交換120を行なつた後、相互診断部48に
入力され、相互診断部48においてデイジタルデータ相
互診断130、アナログデータ相互診断140が行なわ
れる。その後、各コントローラは、演算結果に基づき、
診断結果の報告と最適制御量の選択部60において異常
コントローラ判定処理150を行ない、自己が制御担当
か否かの判断160の結果に基づき、自己が制御中であ
るときは制御系におけるコピー処理170を行ない、自
己が待機中であるときは待機系におけるコピー処理18
0を行なつた後最終処理190を行なう。
第4図は、デイジタルデータ相互診断の処理内容を示し
たものである。まず、ブロツク131において第1コン
トローラ10と第2コントローラ12との演算結果4
6,50に基づき、デイジタルデータのON,OFFの
チエツクを行なう。そして、全デイジタルデータの内一
点でも不一致が発生したときは、ブロツク132に分岐
し、表2に示したカウンタテーブルの第1語目の第1−
第2間デイジタルデータ不一致カウンタエリアのカウン
タを1加算し、今回のサンプル周期のデイジタルデータ
に不一致があつたことを記録する。
この加算値は、上限が設けられており、例えば加算値が
nになつたときに、後述するように不一致の原因となる
演算結果を出力しているコントローラが異常と見なさ
れ、カウントアツプが中止される。一方、ブロツク13
1におけるデイジタルデータのON,OFFチエツクの
結果が全デイジタルデータにおいて一致しているとき
は、ブロツク133に分岐し、表2の第1語目のカウン
タを0クリアしブロツク134に進む。以下同様に第2
コントローラ12と第3コントローラ14とのデイジタ
ルデータのON,OFFチエツクと第1コントローラ1
0と第3コントローラ14とのデイジタルデータのO
N,OFFチエツクが行なわれ、不一致があつたときは
表2に示した第2語目,第3語目のカウンタを1加算す
る。
アナログデータの相互診断140は、デイジタルデータ
相互診断130と同様にして行なわれる。ただし、アナ
ログデータ相互診断140においては、ビツトデータの
ON,OFFチエツクの代りに2つのデータ間における
偏差が許容範囲内にあるか否かをもつて判定する。そし
て、2つのデータ間における偏差が許容範囲以上である
ときは、表2に示した第4語目から第6語目までのカウ
ンタエリアのカウンタを1加算し、許容範囲内であると
きはこれらのカウンタを0クリアする。なお、表2に示
した第7語目から第9語目の内容については第8図の説
明において詳述する。
表3は、表2に示したカウンタテーブルの第1語目から
第6語目までのカウンタ加算による異常コントローラの
判定例を示したもので、第2コントローラ12が異常で
あると見なされた場合を例示している。即ち、サンプル
周期がN+1のときに第2コントローラ12が異常とな
つたため、表2の第1語目と第2語目のカウンタに1が
入れられる。しかし、この不一致が外乱等による一次的
なものである場合もあるため、不一致がn回連続する間
は第2コントローラ12を異常であると判定しない。従
つて、最初に不一致を検出したサンプル周期N+1回目
からサンプル周期N+n−1回目までの期間において連
続不一致であつても、コントローラ内においては不一致
である状況認知をするが、外部、即ち多数決判定回路2
8に対しては正常であると報告する。そして、引続き不
一致が発生し、サンプル周期N+n回目においても不一
致となつたときに、初めて第2コントローラ12が異常
であると判定する。
第5図は、表1および表3のアルゴリズムに基づいて異
常コントローラ判定処理150を行なう処理内容を示し
たものである。まず、ブロツク151において表2の第
1語目から第3語目までのカウンタチエツクを行ない、
カウンタの値がnとなつているか否かを調べ、特定のコ
ントローラが異常であるか、全て正常か、あるいは判定
不能かを決定する。そして、例えば表3に示した如く表
2の第1語目と第2語目のカウンタがnを示していると
きは、表1のアルゴリズムに従い、ブロツク152にお
いて第2コントローラ12を異常と判定し、その旨を多
数決判定回路28に対する報告内容とする。一方、表2
の第1語目から第3語目までのカウンタの数値がnとな
つていたときには、表1に示したアルゴリズムに従い判
定不能と決定し、自己のコントローラのみ正常と判定し
て多数決判定回路28に報告する。そして、デイジタル
データに対して全てのコントローラが正常であるとき
は、引続きブロツク154においてアナログデータの相
互診断結果を求め、同様の処理を行なう。アナログデー
タに対してコントローラが正常であるときは、コントロ
ーラは全て正常と判定し、多数決判定回路28に報告す
る。
第6図は、第3図に示した制御系におけるコピー処理1
70の処理内容を示したものであり、制御担当コントロ
ーラにおける相互診断処理後の補正処理である。また、
第7図は、第3図の待機系におけるコピー処理180の
内容を示したものであり、待機中制御コントローラにお
ける相互診断処理後の補正処理を示したものである。
第5図に従い異常コントローラ判定処理150を行なつ
た後、各コントローラは自己が制御担当コントローラで
あるか待機中制御コントローラであるかを判断する。制
御担当コントローラの出力は、プロセスに直接反映され
るため、自己のデータが1回でも不一致と見なされた場
合には、データを補正して出力すべきである。しかし、
異常検出アルゴリズムは、表3に示した如くn回連続し
て不一致の状態をもつて異常と見なすようになつてお
り、1からn−1までの間は、外部に対して正常である
と報告するようになつている。そこで、例えば第2コン
トローラ12を制御担当コントローラとすると、第2コ
ントローラ12は、ブロツク171において表2に示し
た第1語目から第6語目までのカウンタを再度チエツク
する。そして、サンプル周期がNのときは表3に示す如
くデータに不一致が発生していないため、自己のデータ
をそのまま制御対象に出力し、制御対象を制御する。し
かし、サンプル周期がN+1からN+n−1の状態にお
いては、自己のデータが不一致発生(換言すると多数決
で負けた)であると見なし、ブロツク172において自
己の出力データの部分のみを、他の待機中制御コントロ
ーラの当該データと置き換え出力する。従つて、サンプ
ル周期N+1からN+n−1の間においては、表面的に
は異常としない期間であつても、常に多数決を得たより
信憑性の高い出力値をプロセスに反映できるため、制御
担当コントローラ内における一過性のデータ変動を押え
ることができ、信頼性が高まる。
第7図は、待機系におけるコピー処理180の内容を示
したものである。自己が待機中制御コントローラである
場合には、自己の出力はプロセスに反映されず、制御系
のバツクアツプ役となつている。そこで、待機中制御コ
ントローラが制御担当コントローラから制御権を移行さ
れた場合に、バンプレス制御を行なうことができるよう
に相互診断後における主系に対する追従と、異常時の自
動回復機能とをもたせている。
まず、第7図のブロツク181において、待機中制御コ
ントローラは、自己の出力した演算結果がサンプル周期
のn回に渡つて連続して不一致となり自己が異常とされ
たか否かを判断する。そして、自己が異常でないそ判断
したときには、ブロツク182において判定不能か否か
のチエツクを行ない、自己が異常であるときにはブロツ
ク184に分岐し制御担当コントローラの全データをコ
ピーする。また、ブロツク182において自己が判定不
能であると判断した場合にも、ブロツク184において
制御担当コントローラの全データをコピーする。一方、
自己が異常でもなく、判定不能でない場合には、ブロツ
ク183において自己の出力するデータに不一致が発生
したか否かをチエツクし、不一致が発生していないとき
にはブロツク184において制御担当コントローラの全
データをコピーする。自己のデータに不一致が発生し、
しかもその不一致がn回連続していない1からn−1回
にあたるときは、制御担当コントローラのデータをコピ
ーせず、主系への追従を行なわない。これは、不一致が
n回連続して発生し、異常と決定するまで様子をみるも
のである。この待機中制御コントローラがブロツク18
4において制御担当コントローラの全データをコピーす
るのは次の3つの理由による。
(1) 正常時におけるコピーは、比例積分演算等の積分
項の誤差積重ねを防止する。
(2) 判定不能の場合におけるコピーは、弧立化を防止
する。
(3) 自己が異常と判定された場合におけるコピーは、
内部リセツトを行ない制御系と等しい状態にし、自動回
復を実現する。
なお、自己のデータに不一致が発生しない場合における
制御担当コントローラのデータコピーは、システムの構
成や、プログラムの簡単化等を考慮して行なわなくても
よい。
第8図は、第3図に示した終了処理190の内容を示し
たものであり、多数決判定回路28の誤動作防止を目的
としている。即ち、各コントローラ10,12,14
は、別個のタイマにより独立したサンプリング演算を行
なつているため、出力タイミングが一致せず各コントロ
ーラが瞬間的に同期せずに異常情報を出力したり、ある
いはその異常情報が1サンプル周期分のみだつた場合、
多数決判定回路28に応答不良や誤動作が発生し、予定
通りのコントローラの切換えができなくなる場合があ
る。そこで、多数決判定回路28の誤動作を防止するた
め、異常コントローラの存在が一度認識されると、その
異常状態を一定時間持続し、異常状態を解除するための
立下り信号を一定時間遅延させる方法を用いた。
まず、第8図のブロツク191において判断対象となる
当該コントローラは、今回異常と判定されたか否かを判
断し、異常と判定された場合にはブロツク192におい
て表2に示したカウンタテーブルの第7語目から第9語
目の当該コントローラのコントローラエラーホールドカ
ウンタに初期値mをセツトする。その後、ブロツク19
3においてエラーホールドカウンタが0でないことを確
認し、ブロツク195において当該コントローラは今回
異常であると見なし、エラーホールドカウンタを1減算
した後、次のコントローラのチエツクを行なう。そし
て、次のサンプル周期においても当該コントローラが異
常と判定された場合には、エラーホールドカウンタの初
期値をセツトしなおし、以下前記したと同様に処理を行
なう。
一方、ブロツク191において今回異常でないと判定さ
れたときには、ブロツク193に分岐し、エラーホール
ドカウンタが0か否かを調べ、エラーホールドカウンタ
が0の時は、ブロツク194において当該コントローラ
は正常であると見なし、次のコントローラのチエツクを
行なう。しかし、ブロツク191において今回異常でな
いと判断され、しかもブロツク193においてエラーホ
ールドカウンタが0でないことが明らかになつたとき
は、ブロツク195に分岐し当該コントローラが異常表
示ホールド期間中であると見なし、エラーホールドカウ
ンタを1減算して次のコントローラのチエツクを行な
う。このようにして一定サンプル周期の間連続してエラ
ーホールドカウンタが0でないことが確認されると、当
該コントローラは異常とみなし、しばらくのあいだ異常
の解除をしないで監視下におく。
上記の如くして全コントローラのチエツクが終了したこ
とをブロツク197において確認したときには、ブロツ
ク198において自己が判定した全コントローラの制御
量と診断結果を制御指令、判定結果として多数決判定回
路28に出力する。
多数決判定回路28は、各コントローラ10,12,1
4からの診断結果に基づき、もつとも得票数の多いコン
トローラにより制御を行なうよう指示をする。従つて、
多数決判定回路28における誤動作率が極端に減少させ
ることができる。しかも、制御に反映されるデータは、
必ず多数決を得たもつとも信憑性の高いものが用いられ
ることになり、より適切な制御を行なうことができる。
また、個個のコントローラは、それぞれ独立して演算を
行なうようになつており、共通モード故障を最小化する
ことができるとともに、待機中制御コントローラが制御
担当コントローラに追従するようにしてあるため、コン
トローラの切換時におけるバンプレス制御を実現してい
る。そして、特定のコントローラに異常が発生した場合
においても、当該コントローラは自己を異常であると報
告し、正しいデータをコピーして自動復帰するようにな
つている。
〔発明の効果〕
以上説明したように本発明によれば、三重以上の処理系
列を有する多重系制御システムにおいてより信頼性の高
い制御を行なうことができる。
【図面の簡単な説明】
第1図は本発明に係る多重系制御システムのデータ管理
方式における制御装置の実施例の基本構成図、第2図は
前記実施例のコントローラにおける処理内容を示す図、
第3図は前記実施例のコントローラにおける主要処理の
実施例の概略を示す流れ図、第4図は第3図に示したデ
イジタル相互診断の処理内容を示す図、第5図は第3図
に示した異常コントローラ判定処理の実施例の説明図、
第6図は第3図に示した制御系におけるコピー処理の実
施例の説明図、第7図は第3図に示した待機系における
コピー処理の説明図、第8図は第3図に示した終了処理
の実施例の説明図である。 10……第1コントローラ、12……第2コントロー
ラ、14……第3コントローラ、16……第1通信回
線、18……第2通信回線、20……第3通信回線、2
8……多数決判定回路、32……制御対象、46,5
0,54……演算結果。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 山本 健二 茨城県日立市幸町3丁目2番1号 日立エ ンジニアリング株式会社内 (56)参考文献 特開 昭55−25122(JP,A) 特開 昭58−66104(JP,A)

Claims (3)

    【特許請求の範囲】
  1. 【請求項1】それぞれ並行して入力される制御対象の状
    態量をそれぞれ別個に設けられたタイマにより独立して
    サンプリングし、そのサンプリングした状態量に基づき
    独立して所定の帰還制御を含む演算処理を行う複数の制
    御装置と、 これらの制御装置を相互に接続する情報伝送路と、 前記制御装置のそれぞれに設けられ、前記各制御装置の
    演算処理により得られた制御出力データを前記情報伝送
    路を介して入力し、各制御装置相互の制御出力データが
    許容偏差内で一致・不一致かを判定して診断を行う診断
    部と、 該診断部の診断結果に基づいて多数決論理により正常な
    1つの制御装置を選択し、その制御出力データを制御対
    象に出力する多数決判定装置とを備えてなる多重系制御
    システムのデータ管理方式において、 前記多数決判定装置により選択された制御装置を制御担
    当とし、他の制御装置を待機系とし、 この待機系の制御装置は、前記制御担当制御装置の少な
    くとも帰還制御処理に係る内部データをコピーして自己
    の帰還制御処理に係る内部データに置き換えることを特
    徴とする多重系制御システムのデータ管理方式。
  2. 【請求項2】特許請求の範囲第1項において、 前記診断部が、前記複数の制御装置のそれぞれに設けら
    れ、 前記多数決判定装置は、それら複数の診断部の診断結果
    に基づいて多数決論理により正常な制御装置を選択する
    ことを特徴とする多重系制御システムのデータ管理方
    式。
  3. 【請求項3】特許請求の範囲第1項又は第2項におい
    て、 前記待機系制御装置による前記制御担当制御装置の内部
    データのコピーは、前記診断部による自己の制御出力デ
    ータの判定結果が、一致又は判定不能のときに実行し、
    不一致のときは設定サイクル数の演算処理にわたって連
    続して不一致であると判定されたときにのみ実行するこ
    とを特徴とする多重系制御システムのデータ管理方式。
JP58129776A 1983-07-15 1983-07-15 多重系制御システムのデータ管理方式 Expired - Lifetime JPH0619641B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP58129776A JPH0619641B2 (ja) 1983-07-15 1983-07-15 多重系制御システムのデータ管理方式

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP58129776A JPH0619641B2 (ja) 1983-07-15 1983-07-15 多重系制御システムのデータ管理方式

Publications (2)

Publication Number Publication Date
JPS6020202A JPS6020202A (ja) 1985-02-01
JPH0619641B2 true JPH0619641B2 (ja) 1994-03-16

Family

ID=15017928

Family Applications (1)

Application Number Title Priority Date Filing Date
JP58129776A Expired - Lifetime JPH0619641B2 (ja) 1983-07-15 1983-07-15 多重系制御システムのデータ管理方式

Country Status (1)

Country Link
JP (1) JPH0619641B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009534738A (ja) * 2006-04-21 2009-09-24 ハネウェル・インターナショナル・インコーポレーテッド フォールト・トレランス・コンピューティング・システムにおけるエラー・フィルタリング

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0823828B2 (ja) * 1987-09-09 1996-03-06 横河電機株式会社 信号選択器
JP2682251B2 (ja) * 1991-04-05 1997-11-26 株式会社日立製作所 多重化制御装置
JPH11161326A (ja) 1997-11-26 1999-06-18 Fanuc Ltd 数値制御装置
JP6714981B2 (ja) * 2015-07-14 2020-07-01 株式会社東芝 多重化制御装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5837702A (ja) * 1981-08-28 1983-03-05 Hitachi Ltd 三重化制御装置
JPS5896303A (ja) * 1981-12-02 1983-06-08 Fuji Facom Corp 多重化処理システム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009534738A (ja) * 2006-04-21 2009-09-24 ハネウェル・インターナショナル・インコーポレーテッド フォールト・トレランス・コンピューティング・システムにおけるエラー・フィルタリング

Also Published As

Publication number Publication date
JPS6020202A (ja) 1985-02-01

Similar Documents

Publication Publication Date Title
JPS6122803B2 (ja)
US5222065A (en) Device for generating measuring signals with a plurality of redundantly provided sensors
US7792594B2 (en) Redundant automation system comprising a master and a standby automation device
EP1297426A1 (en) Control system for actuators in an aircraft
US5638510A (en) Multiplexed system with watch dog timers
JPH0619641B2 (ja) 多重系制御システムのデータ管理方式
JP4558111B2 (ja) 三重系フォールトトレラントシステムのデータ変更方法
JPS6236241B2 (ja)
US6507916B1 (en) Method and circuit arrangement for using two processors to read values of two independently clocked counters, exchanging values therebetween, comparing two values to determine error when the comparison exceed a threshold
JP3884643B2 (ja) プロセス制御装置
JP2557990B2 (ja) 二重系切換装置
JPH061401B2 (ja) 制御装置のバツクアツプ方式
JPS62187901A (ja) 2重化コントロ−ラの制御方法
JPH0473162B2 (ja)
JPH0373039B2 (ja)
JPS5833701A (ja) 分散形階層システムのn:1バツクアツプ方式
JPS6031669A (ja) 計算機制御装置の多重系制御方法
JP2724883B2 (ja) 分散システムの時刻一致化方式及び列車運行管理システム
JP3706332B2 (ja) プロセス制御装置
JPS60237523A (ja) 内部時計の制御装置
JPH07152679A (ja) プロセス制御装置
KR830002832B1 (ko) 계층(階層) 구성의 플랜트 제어시스템
JPS5854470A (ja) 多重系電子計算機システム構成制御方式
JPH04109303A (ja) 調節制御装置
JPS5932822B2 (ja) 多重化デイジタル制御装置