JPH0997111A - システム監視装置、制御装置、システム監視方法及び制御方法 - Google Patents

システム監視装置、制御装置、システム監視方法及び制御方法

Info

Publication number
JPH0997111A
JPH0997111A JP25132495A JP25132495A JPH0997111A JP H0997111 A JPH0997111 A JP H0997111A JP 25132495 A JP25132495 A JP 25132495A JP 25132495 A JP25132495 A JP 25132495A JP H0997111 A JPH0997111 A JP H0997111A
Authority
JP
Japan
Prior art keywords
program
control
correlation
node
control content
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP25132495A
Other languages
English (en)
Inventor
Yasukuni Oiyake
泰邦 岡宅
Toshibumi Seki
俊文 關
Tetsuo Hasegawa
哲夫 長谷川
Yutaka Umibe
裕 海邊
Shinsuke Tamura
信介 田村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP25132495A priority Critical patent/JPH0997111A/ja
Publication of JPH0997111A publication Critical patent/JPH0997111A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Testing And Monitoring For Control Systems (AREA)
  • Debugging And Monitoring (AREA)

Abstract

(57)【要約】 【課題】 信頼性の高いシステム監視装置、制御装置、
システム監視方法及び制御方法を提供する。 【解決手段】 各ノードN1〜N3で決定された制御内
容は、センサ入力を含む履歴と共に判定依頼として、通
信回線Tを経由して他のノードに送信される。判定依頼
を受信したノードでは、判定依頼中の履歴と受信したノ
ードで格納していた履歴を比較し、履歴中の事象間の相
関関係を検出する。検出結果は判定結果として返信され
る。返信を受けたノードでは、検出結果に基づいて制御
内容を補正する。想定外の事態が発生したために相関関
係自体が変化した場合も、変化後の相関関係を検出して
対応するので、高度の信頼性が維持される。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、各種システムを制
御する制御装置及び制御方法の改良、ならびに各種シス
テムを監視するシステム監視装置及びシステム監視方法
に関するもので、特に、信頼性の高いシステム監視装
置、制御装置、システム監視方法及び制御方法に係る。
【0002】
【従来の技術】従来から、化学、鉄鋼プラントのような
産業システム、交通制御システム、原子力プラントのよ
うな電力システムなどの各種システムを安全に制御する
ために、制御装置(制御方法)が用いられている。制御
装置は、システムの状態を表すセンサ出力などのデータ
を処理し、目的とする状態を達成するための制御内容を
決定し、調整弁など各種制御手段を通じてシステムを制
御するものである。
【0003】制御装置において、信頼性向上は重要な課
題の一つである。信頼性向上の手法の一例は、制御用コ
ンピュータを複数用いたりマルチタスクシステムを用
い、プログラムを多重化することによって、制御装置の
一部に異常が発生しても動作を保障するいわゆる多重化
方式である。
【0004】多重化方式は広く用いられているが、プロ
グラムの多重化は同一プログラムの複製の使用であり、
プログラム自体にバグが内在していれば、いくら多重化
していても共通のバグが原因でコンピュータの停止や制
御の不完全を生じるおそれが残る。
【0005】このような事態を回避するための手法とし
て、従来から、プログラムの信頼性を高める方式が研究
されており、代表的な方式として、リカバリブロック法
が提案されている。
【0006】[リカバリブロック法]リカバリブロック
法では、同様の機能のプログラムを複数バージョン用意
しておく。そして、時間間隔や処理内容に関する条件に
基づいて、処理内容の妥当性を受入れテストと呼ばれる
他のプログラムによってテストする。この受入れテスト
の例は、制御内容を決定した後、その実行に先だって、
制御内容が一度の制御で許容される数値の制御幅の範囲
内か否かをテストすることである。
【0007】テストに合格したときには、変数など内部
状態のデータ(チェックポイントデータ)を記録してお
く。不合格のときは、前回合格時のチェックポイントデ
ータを用いて、他のバージョンのプログラムに処理を代
替させる。他のバージョンのプログラムの結果について
も不合格となったときは、さらに他のバージョンで処理
を代替する。
【0008】この手法はプログラムをかなり高信頼化さ
せるが、不合格が連続して代替のバージョンが品切れに
なると、それ以上の信頼性は確保できない。また、リカ
バリブロック法によるプログラムが常に正しく実行され
るためには、受入れテストが完全であることが前提であ
る。すなわち、テスト自体が不完全であればプログラム
による誤った処理結果を正しいと誤判断し、その結果、
プラントなどのシステムに対する誤った制御信号などに
よってシステムの安全性を損なう結果になる。
【0009】[仕様検証]また、受入れテストに類する
ものとして、プログラムに潜在するバグをあらかじめ実
行前に除去しようとするいわゆる仕様検証も研究されて
いる。仕様検証は、プログラムのバグ自体を根絶しよう
とするもので、プログラムの仕様を事前に完全に検証
し、いかなるバグも存在しないことを保証するものであ
る。
【0010】仕様検証は、ValidationとVerificationに
大別される。Validationは、無限ループやデッドロッ
ク、無駄なコード(決して実行されないルート)やライ
ブロック(常にbusy/waitを繰り返している部
分)等の箇所を発見する手法であり、このような発見
は、ソースコードに現れる一定のパターンを検出するこ
とによって比較的容易に実現できる。
【0011】一方、Verificationは、プログラムの想定
外の誤った振る舞い(semantical error)を発見しようと
する技術であり、例えば、プログラムの仕様を代数形式
で記述し、定理証明などの手法を応用して、プログラム
の挙動が必要な条件を満たすか否かを確認するものであ
る。Verificationの実現は、プログラム自体の完全性の
みならず、仕様の表現形式における検証への適合性や、
検証のアルゴリズムの複雑さなど、いくつもの関門を含
むもので、Validationに比べてはるかに困難である。
【0012】例えば、プラントの圧力制御プログラムに
おいて、通常は妥当と判断される制御内容でも、プラン
トの温度が想定外の変化をしたため安全な温度制御がで
きなくなる危険性が発生する。このような想定外の事態
を含むあらゆる事態を網羅するように、プラントの圧力
調整のアルゴリズムを安全に記述することはそもそも困
難で、特にプラント規模が大きい場合は事実上不可能で
あると考えられる。
【0013】[免疫ネットワーク]以上のように、制御
プログラムをテストする手法では、制御対象であるシス
テムに想定外の事態が発生した場合は、システムの安全
な制御を保証することは困難である。このような問題点
を解決するための別の従来技術の一例は、プラントのセ
ンサの自律診断である(参考文献:論文「免疫型並列分
散モデルによるプラントのセンサ自律診断」、石田好輝
(京都大学)、システム制御情報学会論文誌、Vol.7,N
o.1,pp.1-8,1994年1月)。
【0014】ここで、プラント制御における困難な課題
の一つは、制御の拠り所となるセンサ自体の機能不全で
ある。すなわち、センサの自律診断は、1973年に
N.K.Jerneが提案したいわゆる免疫ネットワー
クモデルを用いたもので、相互に相関関係を有するセン
サ間で情報を交換することによってセンサ及び制御装置
の信頼性を向上する手法である。
【0015】上記参考文献(論文)に記載の例は、個々
のセンサ(自律ユニットと称している)が、自身と関連
付けられ連結された他のセンサから情報を得ながら自身
の妥当性を診断するもので、Hopfield Net Algorithmに
基づいている。但し、免疫ネットワークモデルでは予
め、センサ間に存在する相関関係をネットワーク情報と
して与えておく必要がある。
【0016】上記参考文献に示されている例は、各セン
サが不完全で診断自体に誤りの可能性がある場合でも、
全体の妥当性が維持されるように拡張されたもので、多
数のサイクロンと呼ばれるサブシステム群から構成され
るセメント工業プロセスを例に挙げたものである。
【0017】この例では、サイクロン間の経験的関係式
を予め与えておき、免疫ネットワークを構成する。例え
ば、経験式
【数1】A1(℃)<T(n-cyclon温度)-T(n+1-cyclon温
度) <A2(℃) を与えると、n-cyclonの温度センサーはn+1-cyclonの温
度センサーと計測値を交換しながら相互に監視しあうこ
とになる。時刻tでのユニットiの信頼度をri(t)
とすると、
【数2】 で各センサーの信頼度を時事刻々に評価する。ここで、
Tijはユニットiがユニットjをテストしたときの評価
値であり、両ユニットが共に正常なときは1を、どちら
かのユニットが異常なとき、1又は−1を、ユニット間
に関係がない(監視しない)場合は0を用いる。
【0018】このように、石田のモデルでは、免疫ネッ
トワークは相互に監視しあうセンサー間の制約式や経験
式などとして予め与えられ、各センサーが非同期に並列
分散動作してri (t)を動的に評価する。
【0019】
【発明が解決しようとする課題】以上のように、リカバ
リブロック法などのテスト方式や、仕様検証では、制御
対象システムの想定外の状態下でも常にシステムを安全
側に制御することは困難である。また、免疫ネットワー
クモデルについても、どのセンサ間にどのような関係が
存在するかというネットワーク情報が十分に与えられて
いれば効果的であるが、情報が不十分な場合や、センサ
間の相関関係が経時的に変化するような場合は制御装置
の信頼性向上は困難である。
【0020】本発明は、上記のような従来技術の問題点
に対して提案されたもので、その目的は、信頼性の高い
システム監視装置、制御装置、システム監視方法及び制
御方法を提供することである。また、本発明の他の目的
は、システムの安全性を向上させるシステム監視装置、
制御装置、システム監視方法及び制御方法を提供するこ
とである。また、本発明の他の目的は、きめ細かな制御
を行う制御装置及び制御方法を提供することである。ま
た、本発明の他の目的は、優れた稼働効率とレスポンス
を有するシステム監視装置、制御装置、システム監視方
法及び制御方法を提供することである。
【0021】
【課題を解決するための手段】上記の目的を達成するた
めに、請求項1のシステム監視装置は、システムに関す
る各事象を表し当該システムの制御に用いられる各情報
を獲得する獲得手段と、前記各情報に基づいて、前記各
事象間の相関関係を検出する検出手段と、前記検出の結
果を提供する提供手段と、を有することを特徴とする。
【0022】請求項9のシステム監視方法は、請求項1
の発明を方法の観点から把握したものであって、システ
ムに関する各事象を表し当該システムの制御に用いられ
る各情報を獲得する獲得処理と、前記各情報に基づい
て、前記各事象間の相関関係を検出する検出処理と、前
記検出の結果を提供する提供処理と、を含むことを特徴
とする。
【0023】請求項1,9の発明の用途は、制御装置に
よって制御されているシステムを監視することである。
システムに対する制御では、センサなどから入力される
複数の情報に基づいて、システムに対する制御内容が逐
次決定され実行される。請求項1,9の発明では、前記
の制御に用いられている各情報相互の比較によって情報
間の相関関係を検出する。例えば、同期して変化する数
値間には相関関係が認められる。
【0024】検出された相関関係の用途は自由に選択で
きるが、その一例は、システムの管理者に警告を発する
ことである。警告を受けた管理者は、制御に関するパラ
メータの変更など、検出された相関関係を前提とした処
置を採ることができる。検出された相関関係の他の用途
の例は、相関関係に参加している数値に関する制御内容
を補正することである。他の数値と相関関係をもってい
る数値の制御量を増大させ、例えば過熱をより有効に防
ぐようにすれば、たとえ数値の獲得に用いたセンサがあ
る程度狂っていてもシステム全体の安全性は向上する。
【0025】このように請求項1,9の発明では、数値
間の相関関係が順次検出されるので、想定外の事態によ
って相関関係が変化しても、その新たな相関関係を適切
に反映した制御が実現され、高度の信頼性が維持され
る。
【0026】請求項2の発明は、入力される情報に基づ
いてシステムを制御する制御装置において、前記制御の
ためのプログラムを実行することによって前記システム
に対する制御内容を決定する実行手段と、前記制御内容
に基づいて前記システムを制御する制御手段と、前記各
情報に基づいて、前記各事象間の相関関係を検出する検
出手段と、前記検出の結果に基づいて前記制御内容を補
正する補正手段と、を有することを特徴とする。
【0027】請求項10の発明は、請求項2の発明を方
法の観点から把握したものであって、 入力される情報
に基づいてシステムを制御する制御方法において、前記
制御のためのプログラムを実行することによって前記シ
ステムに対する制御内容を決定する実行処理と、前記制
御内容に基づいて前記システムを制御する制御処理と、
前記各情報に基づいて、前記各事象間の相関関係を検出
する検出処理と、前記検出の結果に基づいて前記制御内
容を補正する補正処理と、を含むことを特徴とする。
【0028】請求項2,10の発明では、相関関係の検
出の結果に基づいて制御内容が補正されるので、システ
ムの制御の信頼性が一層向上する。この補正は、制御内
容の実行の先でも後でもよい。制御手段の反応に長時間
かかる場合は、決定された制御内容はただちに実行し、
補正の内容を後で追加実行することが考えられる。
【0029】請求項3の発明は、入力される情報に基づ
いてシステムを制御する制御装置において、前記制御の
ためのプログラムを実行する単位であるノードを複数有
し、前記ノードは、前記プログラムを実行することによ
って前記システムに対する制御内容を決定する実行手段
と、前記制御内容に基づいて前記システムを制御する制
御手段と、少なくとも前記入力される情報を含む事象を
履歴として格納する格納手段と、前記ノード間で情報を
送受信するための送受信手段と、前記履歴を含む判定依
頼を、前記送受信手段を通じて他のノードに送信する依
頼手段と、前記判定依頼を受信した受信ノードにおい
て、当該判定依頼中の前記履歴及び当該受信ノードで格
納されている前記履歴に基づいて、履歴中の事象間の相
関関係を検出する検出手段と、前記検出の結果を、前記
送受信手段を通じて前記判定依頼を送信したノードに判
定結果として返信する返信手段と、返信された前記判定
結果に基づいて前記制御内容を補正する補正手段と、を
有することを特徴とする。
【0030】請求項11の発明は、請求項3の発明を方
法の観点から把握したものであって、 入力される情報
に基づいてシステムを制御する制御方法において、前記
制御のためのプログラムを実行する単位であるノードを
複数有し、前記ノードは、前記プログラムを実行するこ
とによって前記システムに対する制御内容を決定する実
行処理と、前記制御内容に基づいて前記システムを制御
する制御処理と、少なくとも前記入力される情報を含む
事象を履歴として格納する格納処理と、前記ノード間で
情報を送受信するための送受信処理と、前記履歴を含む
判定依頼を、前記送受信処理を通じて他のノードに送信
する依頼処理と、前記判定依頼を受信した受信ノードに
おいて、当該判定依頼中の前記履歴及び当該受信ノード
で格納されている前記履歴に基づいて、履歴中の事象間
の相関関係を検出する検出処理と、前記検出の結果を、
前記送受信処理を通じて前記判定依頼を送信したノード
に判定結果として返信する返信処理と、返信された前記
判定結果に基づいて前記制御内容を補正する補正処理
と、を含むことを特徴とする。
【0031】請求項3,11の発明では、センサなどか
ら入力される情報に基づいて、各ノードにおいて、プロ
グラムの実行によってシステムに対する制御内容が決定
される。プログラム実行にともなって少なくとも前記入
力される情報を含む事象を履歴として格納する。
【0032】また、決定された制御内容は履歴とともに
判定依頼として他のノードに送信される。判定依頼を受
信した受信ノードでは、受信した履歴を受信ノードでの
履歴と比較し、履歴に含まれる事象間の相関関係を検出
する。例えば、受信した履歴のある数値と受信ノードの
履歴の別数値が同時期に大幅な上昇を示していれば、両
数値間には相関関係が認められる。相関関係が検出さ
れ、この結果が判定依頼を送信したノードに返信される
と、依頼したノードでは、検出された相関関係に基づい
て制御内容が補正される。
【0033】典型的には、例えば、センサの狂いにより
ある第1の数値が実際より小さく評価され、その数値の
上昇を抑制するために、幅の小さすぎる制御内容が決定
されたと仮定する。このとき、判定依頼を受けた他のノ
ードにおいて、当該他のノードが担当する第2の数値が
前記第1の数値に同期して上昇したという相関関係が検
出・返信されたと仮定する。この場合、決定された制御
内容は制限の範囲内で補正され拡大されるので、第1、
第2の数値共に上昇が有効に抑制され、センサの狂いの
影響が最小限となる。
【0034】また、小さすぎる制御内容がプログラムの
アルゴリズムの誤りによって発生した場合、受入れテス
トが不完全であったり存在しないために決定された制御
内容が大きすぎる場合、想定外の事態が発生し決定され
た制御内容では事態に対応し切れない場合などにおいて
も同様の効果が得られる。
【0035】このような請求項3,11の発明では、各
ノードが非同期並列分散的に相互監視する点では石田の
モデルと原理的に共通するが、免疫ネットワークに相当
する情報を予め与えず、判定の際に各ノードの履歴デー
タに基づいて相関関係を動的に評価する点で石田のモデ
ルと著しく異なる。このため、免疫ネットワークの情報
が不完全であるため制御が不十分となることがない。ま
た、想定外の事態が発生したために相関関係自体が変化
した場合も、変化後の相関関係を検出して対応するの
で、高度の信頼性が維持される。
【0036】このように、請求項3,11の発明では、
ノード間の協調と調和によって各ノードにおける制御の
間に有機的統一性が確保されるので、制御の信頼性が向
上する。なお、全てのノードが必ずしも全ての手段及び
処理を含む必要はない。また、あるノードは他のノード
からの判定依頼を受けず、別のノードは自ら制御を行わ
ずに他のノードからの判定依頼のみを処理するように構
成してもよい。
【0037】請求項4の発明は、請求項2又は3記載の
制御装置において、前記実行手段は、前記プログラムと
して代替プログラムを含む複数のプログラムを有し、前
記制御内容の妥当性をテストするテスト手段と、前記テ
ストが不合格の場合に前記プログラムを前記代替プログ
ラムに切り替える切替手段と、を有することを特徴とす
る。
【0038】請求項12の発明は、請求項4の発明を方
法の観点から把握したものであって、請求項10又は1
1記載の制御方法において、前記実行処理は、前記プロ
グラムとして代替プログラムを含む複数のプログラムを
用い、前記制御内容の妥当性をテストするテスト処理
と、前記テストが不合格の場合に前記プログラムを前記
代替プログラムに切り替える切替処理と、を含むことを
特徴とする。
【0039】また、請求項4,12の発明では、プログ
ラムの実行によってシステムに対する制御内容が決定さ
れる。重要なプログラムについては代替プログラムを用
意しておく。制御内容に基づく制御に先立って、まず、
制御内容の妥当性がテストされ、不合格となったプログ
ラムに代替プログラムが存在するときは、当該プログラ
ムは代替プログラムに切り替えられる。このため、制御
の信頼性が一層向上する。
【0040】また、請求項5の発明は、請求項2,3又
は4記載の制御装置において、前記補正手段は、前記制
御内容を安全側に補正するように構成されたことを特徴
とする。
【0041】また、請求項13の発明は、請求項5の発
明を方法の観点から把握したものであって、請求項1
0,11又は12記載の制御方法において、前記補正処
理は、前記制御内容を安全側に補正することを特徴とす
る。
【0042】請求項5,13の発明では、制御内容は安
全側に補正されるので、制御対象システムの安全性が確
実に維持される。なお、制御内容に含まれる制御量など
の各数値ごとの安全側は、数値やその範囲ごとにあらか
じめ定めておけばよい。
【0043】請求項6の発明は、請求項2,3,4又は
5記載の制御装置において、前記ノードは、検出された
前記相関関係に対応する、前記制御内容及び前記受信ノ
ードにおける前記事象に基づいて、当該制御内容につい
て肯定的又は否定的な評価を決定する評価手段を有し、
前記返信手段は、前記評価を含む前記判定結果を返信す
るように構成され、前記補正手段は、返信された前記判
定結果中の前記評価に基づいて前記補正を行うように構
成されたこと、を特徴とする。
【0044】請求項14の発明は、請求項6の発明を方
法の観点から把握したものであって、請求項10,1
1,12又は13記載の制御方法において、前記ノード
は、検出された前記相関関係に対応する、前記制御内容
及び前記受信ノードにおける前記事象に基づいて、当該
制御内容について肯定的又は否定的な評価を決定する評
価処理を行い、前記返信処理は、前記評価を含む前記判
定結果を返信し、前記補正処理は、返信された前記判定
結果中の前記評価に基づいて前記補正を行うこと、を特
徴とする。
【0045】請求項6,14の発明では、正比例や反比
例など相関関係の種類に応じて補正内容を変更できるの
で、よりきめ細かな制御が可能になる。例えば、決定さ
れた制御内容が第1の数値の減少の場合でも、依頼を受
けた受信側ノードの担当する第2の数値が、第1の数値
と反比例の相関関係を持っていて、しかも、第2の数値
の安全側は減少であり増大は好ましくない場合は、受信
側ノードとしては制御内容に賛成できない。
【0046】このような場合、「否定的」な評価を送信
側ノードに伝達することによって減少幅を縮小させ、第
2の数値の過度の増大を回避することができる。
【0047】請求項7の発明は、請求項2,3,4,5
又は6記載の制御装置において、前記ノードの前記プロ
グラムについて前記相関関係が検出された場合に、当該
プログラムからのその後の前記判定依頼を第1の割合で
受理し、前記ノードの前記プログラムについて前記相関
関係が検出されない場合に、当該プログラムからのその
後の前記判定依頼を前記第1の割合よりも低い第2の割
合で受理する間引き手段を有することを特徴とする。
【0048】請求項15の発明は、請求項7の発明を方
法の観点から把握したものであって、請求項10,1
1,12,13又は14記載の制御方法において、前記
ノードの前記プログラムについて前記相関関係が検出さ
れた場合に、当該プログラムからのその後の前記判定依
頼を第1の割合で受理し、前記ノードの前記プログラム
について前記相関関係が検出されない場合に、当該プロ
グラムからのその後の前記判定依頼を前記第1の割合よ
りも低い第2の割合で受理する間引き処理を含むことを
特徴とする。
【0049】請求項7,15の発明では、相関関係が検
出されなかったプログラムからの判定依頼を、相関関係
が検出されたプログラムからの判定依頼よりも低い第2
の割合で受理する。このため、相関関係なしのプログラ
ムからの判定依頼を処理する負担の軽減によって、制御
装置又は制御方法の稼働効率とレスポンスを向上でき
る。
【0050】なお、第1や第2の割合は自由であるが、
一例として、相関関係なしの場合に数回に1度受理し
(第2の割合)、この際に相関関係ありと再度評価され
たときにはその後毎回依頼を受理(第1の割合)するこ
とが考えられる。また、相関関係ありの場合の第1の割
合も数回に一回程度に設定すれば、制御装置の負担を一
層軽減できる。
【0051】請求項8の発明は、請求項2,3,4,5
又は6記載の制御装置において、前記ノードの前記プロ
グラムについて前記相関関係が検出された場合に、当該
プログラムからのその後の前記判定依頼のうち前記相関
関係に係る各情報を含むものを第1の割合で受理し、前
記ノードの前記プログラムについて前記相関関係が検出
されない場合に、当該プログラムからのその後の前記判
定依頼を前記第1の割合よりも低い第2の割合で受理す
る間引き手段を有することを特徴とする。
【0052】請求項16の発明は、請求項8の発明を方
法の観点から把握したものであって、請求項10,1
1,12,13又は14記載の制御方法において、前記
ノードの前記プログラムについて前記相関関係が検出さ
れた場合に、当該プログラムからのその後の前記判定依
頼のうち前記相関関係に係る各情報を含むものを第1の
割合で受理し、前記ノードの前記プログラムについて前
記相関関係が検出されない場合に、当該プログラムから
のその後の前記判定依頼を前記第1の割合よりも低い第
2の割合で受理する間引き処理を含むことを特徴とす
る。
【0053】請求項8,16の発明では、プログラムか
らの判定依頼の対象となる情報(属性)の組み合わせが
時によって異なる場合、検出された相関関係に係る情報
が含まれるときのみ第1の割合で受理される。このた
め、判定依頼を処理する負担の軽減を、一層効果的に行
なうことができる。
【0054】
【発明の実施の形態】次に、本発明の実施の形態(以下
「実施形態」)の例について図面にしたがって具体的に
説明する。なお、実施形態の各機能は、所定のソフトウ
ェアがコンピュータ及び周辺機器を制御することで実現
される。すなわち、本明細書では、発明及び実施形態
を、各機能や各処理に対応する仮想的回路ブロック
(「〜手段」や「〜部」など)を想定して説明してい
る。このため、各ブロックに対して、各ハードウェア要
素やソフトウェア要素は1対1には対応しない。
【0055】実施形態を実現するためのコンピュータ
は、CPU、RAMからなる主記憶装置の他に、典型的
には、キーボードやマウスなどの入力装置と、ハードデ
ィスク装置などの外部記憶装置と、CRT表示装置やプ
リンタ印字装置などの出力装置と、必要な入出力制御回
路を含む。但し、コンピュータの規模・構成やCPUの
数・形式は自由で、例えば、コンピュータネットワー
ク、分散処理、マルチタスクなどを自由に用い得る。ま
た、トラックボールやイメージスキャナなど他の入力装
置や、フロッピーディスク装置・光磁気ディスク装置・
フラッシュメモリなど他の記憶装置や、液晶表示装置な
ど他の出力装置を用いてもよい。
【0056】また、実施形態を実現するソフトウェアの
形式は、典型的には、OS上の応用ソフトウェアが考え
られ、また、高級言語やアセンブラからコンパイルされ
た機械語が考えられるが、本発明が実施できる限り、O
Sを用いない、ソフトウェアをインタプリタで実行する
など自由に変更し得る。また、ソフトウェアの格納態様
も自由で、例えば、ROMに格納しておいても、外部記
憶装置から一度に又は一部づつ読み込んでも、部分ごと
の格納態様が異なってもよい。また、処理の各ステップ
は、その性質に反しない限り、順序の変更や並行処理は
自由である。
【0057】また、本明細書において「入力」とは、外
部からのみならずファイルなどからの入力を含み、本来
の入力のみならずエコーバックや修正・編集などを含
む。同様に、「出力」とは、外部へのみならずファイル
などへの出力を含み、本来の出力のみならず出力範囲の
指定などを含む。また、ユーザインタフェースの形式
も、対話形式、メニュー形式、グラフィカルユーザイン
タフェースやマルチウインドウなど自由である。なお、
対話的入出力手順によって入力と出力を一体的操作によ
って実現してもよく、このような一体的操作によって、
選択・指定・特定などの処理を行ってもよい。
【0058】また、本明細書におけるデータの表現形式
やデータの格納手段の形式は自由で、例えば、データの
格納場所は内部記憶や外部記憶でもよく、ファイル形式
を用いるかも自由である。また、データは必要な間だけ
保持されれば十分でその後消滅してもよい。また、辞書
データのように当面変更されない情報はROMに格納し
てもよい。
【0059】また、本明細書で明示せずとも、動作に必
要な一般的な情報やその格納領域、例えば、各種ポイン
タ、スタック、カウンタ、フラグ、パラメータ、ワーク
エリア、バッファなどが適宜用いられる。
【0060】実施形態の各部分が処理に要する情報は、
特に記載がない場合、当該情報を保持している他の部分
から獲得され、例えば、当該情報を格納している変数や
メモリへのアクセスによって獲得される。また、実施形
態は、他のソフトウェアとともに又はその一部として実
現したり、機能の一部を電子回路に置き換えてもよい。
【0061】(1)第1実施形態 第1実施形態は、入力される情報に基づいてシステムを
制御する制御装置(請求項1〜3に対応するもの)及び
この制御装置上で実行される制御方法(請求項9〜11
に対応するもの)に関するものである。
【0062】図1は、第1実施形態の制御装置の構成を
示す機能ブロック図である。この図に示すように、第1
実施形態の制御装置Cは、システムSに関する各事象を
表し当該システムの制御に用いられる各情報を獲得する
獲得手段として、システム各部に設けられたセンサを有
する。また、第1実施形態は、制御のためのプログラム
を実行することによってシステムに対する制御内容を決
定する実行手段1と、を有する。
【0063】また、第1実施形態は、前記制御内容に基
づいて前記システムを制御する制御手段2と、前記各情
報に基づいて、前記各事象間の相関関係を検出する検出
手段8と、前記検出の結果を提供する提供手段としての
警報手段13と、前記検出の結果に基づいて前記制御内
容を補正する補正手段10と、を有する。
【0064】上記のような構成を有する第1実施形態
は、次のような作用を有する。まず、システムに対する
制御を行なうため、実行手段1が、センサから入力され
る複数の情報に基づいて、システムSに対する制御内容
を逐次決定する。決定された制御内容は、アクチュエー
タやバルブなど各種制御機構を含む制御手段2によっ
て、システムSに対して実行される。一方、検出手段8
が、前記の制御に用いられている各情報相互の比較によ
って情報間の相関関係を検出する。例えば、同期して変
化する数値間には相関関係が認められる。
【0065】検出された相関関係の用途の例は、制御盤
の表示装置などの警報手段13を通じ、システムの管理
者に警告を発することである。警告を受けた管理者は、
制御に関するパラメータの変更など、検出された相関関
係を前提とした処置を採ることができる。
【0066】検出された相関関係の他の用途の例は、補
正手段10が、相関関係に参加している数値に関する制
御内容を補正することである。他の数値と相関関係をも
っている数値の制御量を増大させ、例えば過熱をより有
効に防ぐようにすれば、たとえ数値の獲得に用いたセン
サがある程度狂っていてもシステム全体の安全性は向上
する。この補正は、制御内容の実行の先でも後でもよ
い。制御手段の反応に長時間かかる場合は、決定された
制御内容はただちに実行し、補正の内容を後で追加実行
することが考えられる。
【0067】このように第1実施形態では、数値間の相
関関係が順次検出されるので、想定外の事態によって相
関関係が変化しても、その新たな相関関係を適切に反映
した制御が実現され、高度の信頼性が維持される。
【0068】(2)第2実施形態の概略 図2は、第2実施形態における制御対象とされるシステ
ムの例及び本装置の概略的構成を示す機能ブロック図で
ある。また、図9は、本装置の各ノードN1〜N3の構
成を示す機能ブロック図である。
【0069】すなわち、第2実施形態では、各センサか
ら入力される情報に基づいて、各ノードN1,N2及び
N3において、プログラムの実行によってシステムに対
する制御内容が決定される。格納手段3は、プログラム
実行にともなって少なくとも前記入力される情報を含む
事象を履歴として格納する。決定された制御内容は履歴
とともに判定依頼として他のノードに送信される。判定
依頼を受信した受信ノードでは、検出手段8が、受信し
た履歴を受信ノードでの履歴と比較し、履歴に含まれる
事象間の相関関係を検出する。相関関係が検出され、こ
の結果が判定依頼を送信したノードに返信されると、依
頼したノードでは、検出された相関関係に基づいて制御
内容が補正される。
【0070】典型的には、例えば、センサの狂いにより
ある第1の数値が実際より小さく評価され、その数値の
上昇を抑制するために、幅の小さすぎる制御内容が決定
されたと仮定する。このとき、判定依頼を受けた他のノ
ードにおいて、当該他のノードが担当する第2の数値が
前記第1の数値に同期して上昇したという相関関係が検
出・返信されたと仮定する。この場合、決定された制御
内容は制限の範囲内で補正され拡大されるので、第1、
第2の数値共に上昇が有効に抑制され、センサの狂いの
影響が最小限となる。
【0071】また、小さすぎる制御内容がプログラムの
アルゴリズムの誤りによって発生した場合、受入れテス
トが不完全であったり存在しないために決定された制御
内容が大きすぎる場合、想定外の事態が発生し決定され
た制御内容では事態に対応し切れない場合などにおいて
も同様の効果が得られる。
【0072】(3)第2実施形態の構成 本発明の第2実施形態は、請求項1〜5,9〜13に対
応するもので、センサから入力される情報に基づいてシ
ステムを制御する制御装置(以下「本装置」という)及
びこの制御装置で実行される制御方法である。
【0073】第2実施形態の目的は、信頼性の高い制御
装置及び制御方法を提供することである。また、第2実
施形態の他の目的は、システムの安全性を向上させる制
御装置及び制御方法を提供することである。また、第2
実施形態の他の目的は、きめ細かな制御を行う制御装置
及び制御方法を提供することである。また、第2実施形
態の他の目的は、優れた稼働効率とレスポンスを有する
制御装置及び制御方法を提供することである。
【0074】ここで、図2は、第2実施形態における制
御対象とされるシステムの例及び本装置の概略的構成を
示す機能ブロック図である。すなわち、第2実施形態に
おけるシステムは薬品製造用の反応炉であり、本装置
は、この反応炉について安全性及び品質維持のための制
御を行う。
【0075】図2に示すように、反応炉は、いくつかの
センサ(図2において楕円で示す)と、制御のための機
能部分(図2において六角形で示す)を含む。本装置
は、制御のためのプログラムを実行する単位である3つ
のノードN1〜N3を、通信回線Tで相互に接続したネ
ットワークである。各ノードN1〜N3はそれぞれ、本
来処理すべきプログラムAとB,C,Dを有している。
また、ノードN1,N3はそれぞれ、プログラムA,B
それぞれの代替用プログラムA2,B2を有する。
【0076】本装置において、プログラムAは、反応炉
に設けられた温度計及び圧力計の出力信号に基づいて、
反応炉の温度と圧力を監視し、炉内のヒータの出力調整
と圧力調整弁の開閉を制御する。例えば、プログラムA
は、炉内圧力が75気圧を越えると圧力調整弁を作動さ
せ圧力を抑制する。
【0077】また、プログラムBは、水素濃度計の出力
信号に基づいて反応炉内の水素濃度を監視し、脱気機を
制御することによって、反応炉内の水素濃度を300P
PM以内に調整する。
【0078】また、プログラムCは、原料注入配管に設
けられた流量計の出力信号に基づいて、反応炉に原料を
注入する配管流量が2800lb/min以内かどうか
を監視する。
【0079】また、プログラムDは、後続工程の処理能
力に合わせ、反応炉から薬品を取り出す配管流量を所定
の範囲に維持することを目的とする。すなわち、プログ
ラムDは、薬品取出配管に設けられた流量計の出力信号
に基づいて薬品流量を監視し、例えば流量3000lb
/minを超えると、流量調整弁の開閉を制御する。
【0080】[制御目標とテスト条件]なお、各プログ
ラムA,B,C,D,A2,B2の制御の目標(以下
「制御目標」という)と、制御内容に対するテストの条
件(以下「テスト条件」という)は各ノードN1〜N3
において、所定の記憶領域に格納されている。すなわ
ち、ノードN1,N2,N3はそれぞれ、プログラムA
とB、プログラムA2とC、プログラムB2とDについ
て制御目標とテスト条件を保持している。図3,4,5
はそれぞれ、ノードN1,N2,N3における制御目標
の例を示す図である。また、図6,7,8はそれぞれノ
ードN1,N2,N3におけるテスト条件の例を示す図
である。
【0081】例えば、制御目標の例は、プログラムAに
ついて、炉内温度を常に150℃と180℃の間に保つ
ことである(図3)。
【0082】また、テスト条件の例は、プログラムAに
ついて、一度の制御で変更できるヒータ出力の制御幅の
上限が100kwHであるという条件である(図6)。
また、テスト条件の他の例は、プログラムBについて脱
気機出力の制御量が30kwHを越えないことで(図
6)、これは、急激な圧力低下は炉内での原料反応の均
一化を妨げ、製品である薬品の品質を損なうからであ
る。
【0083】新たなプログラムをノードに登録・配置す
る時には、当該ノードにおいて、そのプログラムの名称
やIDに対応して、当該プログラムの制御目標とテスト
条件を入力・格納しておく。
【0084】次に、図9は、本装置の各ノードN1〜N
3の構成を示す機能ブロック図である。この図に示すよ
うに、ノードN1〜N3は、入力された情報に基づいて
プログラムを実行することによってシステムに対する制
御内容を決定する実行手段1と、前記制御内容に基づい
てシステムを制御する制御手段2と、を有する。制御手
段2は、例えば、調整弁の駆動モータなど機能部分に対
する制御信号の出力回路を含む。
【0085】また、ノードN1〜N3は、少なくとも前
記入力される情報を含む事象を履歴として格納するため
の所定の記憶領域である格納手段3と、制御内容の妥当
性をテストするテスト手段4と、テストが不合格の場合
にプログラムを代替プログラムに切り替える切替手段5
と、を有する。
【0086】また、ノードN1〜N3は、ノード間で情
報を送受信するための送受信手段6と、前記制御内容が
決定されたときに、当該制御内容及び履歴を含む判定依
頼を、送受信手段6を通じて他のノードに送信する依頼
手段7と、を有する。
【0087】また、ノードN1〜N3は、前記判定依頼
を受信した受信ノードとなったときに作用する構成を有
しており、具体的には、当該判定依頼中の履歴及び当該
受信ノードで格納されている履歴に基づいて、履歴中の
事象間の相関関係を検出する検出手段8と、検出結果
を、判定依頼を送信したノードに送受信手段6を通じて
判定結果として返信する返信手段9と、を有する。
【0088】また、ノードN1〜N3は、返信された判
定結果に基づいて前記制御内容を補正する補正手段10
を有する。ここで、補正手段10は、制御内容を安全側
に補正するように構成されている。
【0089】(4)第2実施形態の作用及び効果 上記のような構成を有する第2実施形態の各ノードN1
〜N3では、次のようにシステムの制御が行われる。
【0090】ここで、図10は、本装置における制御の
手順を示すフローチャートである。以下、ノードN1の
プログラムAによる制御を中心に制御の手順を説明す
る。
【0091】[履歴の格納処理]まず、各ノードN1〜
N3には、圧力計などの各センサから情報が入力される
(ステップ101)。入力された情報は履歴として格納
手段3に格納される(ステップ102)。ここで、履歴
は、センサ値の種類などの属性名、属性及び時刻など必
要な情報の組を単位として順次格納され保持される。履
歴には、決定又は実行された制御内容を含めてもよい。
また、履歴は、並行動作している各プログラムについて
一体に設けてもよい。
【0092】図11,12,13はそれぞれ、履歴の具
体的内容の一例を示す図である。例えば、図11では、
最新測定時刻“12:02:40”の温度として169
℃、圧力として74.5気圧が記録されている。これら
のデータは、前回の測定値に基づいてヒータ出力と圧力
調整弁の制御を最後に実行した結果たる最新の値であ
る。
【0093】[実行処理]続いて、実行手段1が、入力
された情報に基づいてプログラムを実行することによっ
てシステムに対する制御内容を決定する(ステップ10
3)。ここで、制御内容決定のためのアルゴリズムの一
例は、温度を、許容範囲内の中央値である165℃に近
付けることであり、さらに具体的には、中央値との相違
の幅に応じて制御幅を増大させることである。アルゴリ
ズムの他の例は、炉内圧力が75気圧を超えたときに、
圧力調整弁を解放側に調整することである。
【0094】ここで、プログラムAにおいては、温度は
169℃で前記中央値の165℃よりも4℃だけ高い。
このため、制御内容としてまずヒータの出力微減が決定
される。
【0095】圧力については、反応炉内の圧力センサが
狂っており、実際の圧力よりも測定値が2気圧低く出力
されていると仮定する。この場合、実際の炉内圧力は7
6.5気圧であり制御目標を超えているが、プログラム
Aは74.5気圧という低いセンサ値を受け取ってい
る。このため、制御内容として圧力調整弁については現
状維持が決定される。
【0096】[テスト処理]次に、テスト手段4が、決
定された制御内容の妥当性を、テスト条件に基づいてテ
ストする(ステップ104)。すなわち、制御目標達成
のためであっても、プログラムAは本来は100kwH
を超えるヒータ出力の変更を算出しないように構成され
ているが、プログラムAに何らかの不具合が存在する場
合は、ある状況での制御としてヒータ出力の125kw
Hの増加を算出するおそれもある。
【0097】受入れテストでは、このような上限値の逸
脱など不適当な処理結果が検出されると不合格となる。
不合格の他の例は、プログラムBにおいて、脱気機出力
制御量が30kwHを越えるような場合である。
【0098】[切替処理]テストに不合格の場合(ステ
ップ105)、制御内容は実行されず、切替手段5が、
プログラムを代替プログラムに切り替える(ステップ1
06)。例えば、プログラムAはプログラムA2に、プ
ログラムBはプログラムB2に切り替えられる。
【0099】この切替は、具体的には、次のように行う
ことができる。例えば、本来のプログラムと代替プログ
ラムについて、変数の種類などのデータ構造を共通と
し、切替時の代替プログラムのエントリポイントをあら
かじめ定めておく。制御内容決定の作業によってワーク
エリアが更新される場合は、変数領域を含むワークエリ
ア全体について更新前の状態を保存するか、再現できる
ように更新内容を保存する。
【0100】不合格になった場合は、更新前のワークエ
リアを代替プログラムが存在するノードに転送する。転
送を受けたノードでは、空きエリアに代替プログラムを
ロードしたうえ、新たなワークエリアに送信されたワー
クリアの内容をコピーする。代替プログラムには、新た
なワークエリアのオフセットアドレスを与え、代替プロ
グラムのエントリポイントに制御を引き渡す。
【0101】なお、代替プログラムの存在しないプログ
ラムが存在してもよく、この場合は、システム管理者に
警告を発してもよい。例えば、プログラムCは入口流量
を監視するのみで制御を行わず、制御目標と受入れテス
トの条件が同一である。このプログラムCにおけるテス
トの不合格は、入口流量が制限値を逸脱していることを
意味するので、プラント管理者に対して警報が発せられ
る。
【0102】また、切替は本来のプログラムがバグやハ
ードウェア故障などで動作不能になった場合にも行う。
さらに、受入れテストの内容は自由で、時期も、例えば
制御内容決定に先だって行ってよい。すなわち、前回の
制御の結果たる各数値が所定の許容範囲内ならば合格と
して制御内容の決定を行い、許容範囲内でなければ不合
格として制御内容の決定は行わないようにしてもよい。
【0103】[依頼処理]受入れテストに合格の場合
は、依頼手段7が、決定された制御内容及び履歴を含む
判定依頼を、送受信手段6を通じて他のノードに送信す
る(ステップ107)。この場合、履歴は、各項目につ
いて、最新測定値を含む数回分のデータを含む。なお、
通信の形式は同報通信(ブロードキャストやマルチキャ
スト)など自由に選択して構成し得る。
【0104】ここで、本発明の各ノードは、プログラム
を実行する単位であればよい。すなわち、ノードの一例
は、第2実施形態のように、ネットワークを構成する相
互に異別のコンピュータであり、この場合、送受信手段
6は、具体的には、通信回線Tを通じて情報を送受信す
る入出力回路及び通信プロトコルが主な構成要素とな
る。また、ノードの他の例は、単一のコンピュータ上で
それぞれ動作するプロセス、タスク、オブジェクトなど
の処理単位であり、この場合、送受信手段6として、シ
ステムを経由して交換されるメッセージを用いることが
できる。
【0105】いずれの場合も、判定依頼の送信先である
「他の」ノードに、送信元のノード自身を含めるか否か
は自由である。例えば、第2実施形態では、同報通信で
送信された判定依頼は送信元ノード自身によっても受信
される。すなわち、各プログラムが自制御内容と履歴を
同報通信で送信し、かつ他プログラムから制御内容と履
歴を受信すると、それらに係る履歴を比較して、相関関
係を検出することができる。例えば、プログラムAに係
る履歴は、プログラムBに係る履歴とも比較され、相関
関係の検出対象となる。
【0106】[検出処理]判定依頼を受信した受信ノー
ドでは、検出手段8が、判定依頼中の履歴及び受信ノー
ドで格納されている履歴に基づいて、履歴中の事象間の
相関関係を検出する。すなわち、相関関係の検出では、
双方の履歴間において、対応する項目の対応する時期
(時刻)の数値の変化が比較される。
【0107】すなわち、まず、プログラムBでは、プロ
グラムAの履歴との比較において、A温度変化(Δ℃)
と水素濃度変化(ΔPPM)の関係は次のごとくであ
る。
【0108】
【表1】 Δ℃ ΔPPM 8 3 9 69
【0109】この場合、水素濃度変化の大きい時期に温
度変化はわずかであるから、相関関係は検出されない。
【0110】また、圧力変化(Δ気圧)と水素濃度変化
(ΔPPM)の関係は次のごとくである。
【0111】
【表2】 Δ気圧 ΔPPM 0.5 3 2.5 69
【0112】この場合、圧力変化が大きい時期に水素濃
度変化も大きく変化しているので、両者の相関関係が検
出される。これは、炉内圧力が75気圧を越えると原料
の特性上、可燃性ガスである水素の発生が急激に進むと
いう事実が反映されたものである。
【0113】また、プログラムCでは、プログラムAの
履歴との比較において、温度変化(Δ℃)と入口流量変
化(Δlb/min)の関係は次のごとくである。
【0114】
【表3】 Δ℃ Δlb/min 8 −18 9 15
【0115】この場合、いずれも所定値以上の変化がな
いので、相関関係は検出されない。
【0116】また、圧力変化(Δ気圧)と入口流量変化
(Δlb/min)の関係は次のごとくである。
【0117】
【表4】 Δ気圧 Δlb/min 0.5 −18 2.5 15
【0118】この場合、圧力は大きな変化を見せている
が、この間の入口流量変化の変化はわずかである点で、
相関関係は検出されない。
【0119】また、プログラムDでは、プログラムAの
履歴との比較において、まず、温度変化(Δ℃)と出口
流量変化(Δlb/min)の関係は次のごとくであ
る。
【0120】
【表5】 Δ℃ Δlb/min 8 −20 9 430
【0121】この場合、入口流量変化は大きいが、温度
変化が小さい点で相関関係は検出されない。
【0122】一方、圧力変化(Δ気圧)と出口流量変化
(Δlb/min)は次のごとくである。
【0123】
【表6】 Δ気圧 Δlb/min 0.5 −20 2.5 430
【0124】この場合、両者は同期して大きな変化を見
せているため相関関係が検出される。検出された相関関
係は、所定の記憶領域に保持される。
【0125】なお、一旦算出したこれら変化量は、所定
の記憶領域に蓄積してゆき、次回以降の検出で順次再利
用することによって、処理を効率化してもよい。
【0126】検出が済むと、各ノードの返信手段9が、
検出結果すなわち相関関係を、判定依頼を送信したノー
ドに、送受信手段6を通じて判定結果として返信する
(ステップ108)。なお、判定結果の返信に代えて、
相関関係が検出されなかった場合は判定結果を返信しな
いこととし、一方、送信ノードでは、所定の時間内に判
定結果の返信がなかったときに、相関関係が検出されな
かったとみなすようにしてもよい。
【0127】[補正処理]ノードN1では、補正手段1
0が、返信された判定結果に基づいて制御内容を補正す
る(ステップ109,110)。ここで、補正手段10
は、制御内容を安全側に補正する。
【0128】すなわち、まず、温度については相関関係
が発見されていないので、決定された制御内容である微
減がそのままヒータ制御に用いられる。
【0129】一方、圧力については出口流量と水素濃度
について圧力との相関関係が返信されている。このた
め、現状維持と一旦決定された制御内容の制御幅は、安
全側に補正される。この場合、調整弁を開けるほど圧力
は低下するので、制御幅が調整弁の開角度で表現される
ならば安全側は数値の増大である。
【0130】ここで、数値の増減のどちらが安全側か
は、数値の性質や領域ごとにあらかじめ定めておけばよ
い。例えば、温度や圧力は一般に減少が安全側である。
また、例えば、発熱する部材を冷却するための冷却水の
流量については一般に増大が安全側である。また、例え
ば、列車のブレーキ用エアの圧力については、ある高い
基準値以上では減少が安全側であるが、別の低い基準値
以下では逆に増大が安全側となる。
【0131】また、第2実施形態の圧力の例では、制御
幅が圧力の低下幅によって表現される場合には、低下幅
の増大が安全側である。
【0132】このように、第2実施形態では、補正手段
10は制御内容を安全側にしか補正しない。このため、
仮に評価依頼を行ったノードのセンサやアルゴリズムが
機能不全を生じ誤った相関関係を返信してもフェイルセ
ーフが実現され、システムの安全が維持される。なぜな
らば、相関関係が誤って余分に指摘されても、システム
の制御を安全側に補正させるだけの結果しか生じず、こ
の場合生じる不利益は若干の効率低下程度に止まるから
である。
【0133】[制御処理]制御手段2は、上記のように
補正された制御内容に基づいてシステムを制御する(ス
テップ111)。すなわち、ヒータ出力を微減し、圧力
調整弁の開角度を増大させる。
【0134】この補正は、例えば出口流量についてみれ
ば、ノードN3のプログラムDが行うよりも安全性の高
い制御が行われたといえる。すなわち、出口流量は他の
部分の異常、例えば炉内圧力上昇に起因する可能性があ
る一方で、プログラムDは他の部位の異常を検知するセ
ンサを持たない。また、薬品取出配管は吐出用のポンプ
を持たないため、流体を積極的に吸い出して炉内の圧力
を低下させることはできない。このため、プログラムD
が流量調整弁によって流量制限を行えば他の部分の異常
を悪化させる可能性があった。この点、上記の制御で
は、ノードN3で検出された相関関係に基づいて反応炉
の圧力調整が行われたので、そのような悪化の可能性は
回避された。
【0135】[その他]また、第2実施形態では、小さ
すぎる制御内容がプログラムのアルゴリズムの誤りによ
って発生した場合、受入れテストが不完全であったり存
在しないために決定された制御内容が大きすぎる場合、
想定外の事態が発生し決定された制御内容では事態に対
応し切れない場合などにおいても同様の効果が得られ
る。
【0136】上記のような第2実施形態では、各ノード
が非同期並列分散的に相互監視する点では石田のモデル
と原理的に共通するが、免疫ネットワークに相当する情
報を予め与えず、判定の際に各ノードの履歴データに基
づいて相関関係を動的に評価する点で石田のモデルと著
しく異なる。このため、免疫ネットワークの情報が不完
全であるため制御が不十分となることがない。また、想
定外の事態が発生したために相関関係自体が変化した場
合も、変化後の相関関係を検出して対応するので、高度
の信頼性が維持される。
【0137】このように、第2実施形態では、ノード間
の協調と調和によって各ノードにおける制御の間に有機
的統一性が確保されるので、制御の信頼性が向上する。
なお、全てのノードが必ずしも全ての手段及び処理を含
む必要はない。例えば、代替プログラムを有しないノー
ドは代替手段(代替処理)を含む必要はない。また、あ
るノードは他のノードからの判定依頼を受けず、別のノ
ードは自ら制御を行わずに他のノードからの判定依頼の
みを処理するように構成してもよい。
【0138】なお、所定数以上の相関関係が指摘された
ときや、所定の基準以上の急激な変化における相関関係
が検出された場合は、システム全体を緊急停止させるよ
うに構成してもよい。
【0139】[検出自体の不備について]次に、相関関
係の検出手段や検出処理に不備が存在していても上記と
同様の効果が得られることを示す。すなわち、第2実施
形態における相関関係検出の手法は、数字的形式を用い
て定式化すれば、下記のように表すことができる。ま
ず、2つのプログラム間に存在する相関関係の判定を以
下のように定式化する。履歴情報を
【数3】 H(Xi (tk ),i=1,…n,k=1,…m) ΔHi
【数4】ΔH(ΔXi ,i+1(Δtk ,tk+1 ),i=
1,…n−1,k=1,…m−1) とすると、相関関係を
【数5】相関関係=〈ΔHi |Ψ|ΔHj 〉 と表すことができる。ここで、Ψは2つの履歴の格納テ
ーブルを接続する場関数で、
【数6】 と定義する。第2実施形態のプログラムAの制御内容に
対してプログラムBのノードが行う相関関係の有無判定
を例にとると、数式5を用いて、
【数7】 を計算することになる。
【0140】ここで、
【数8】 である。
【0141】数式7を用いてプログラムAは、自己の履
歴として
【数9】
【数10】 のように計算する。
【0142】プログラムBは、同様に数式7を用いて自
己の履歴として
【数11】
【数12】 のように計算する。
【0143】プログラムBは、プログラムAから
【数13】 の評価依頼を受信すると、自己の履歴との相関関係を計
算しプログラムAとの関係を判定し、プログラムAに以
下の判定結果を返信する。
【数14】
【0144】以上の判定結果は、水素濃度変化は温度変
化より圧力変化に影響される程度が4.8倍程大きいと
推定されることを意味しており、プログラムAはこの判
定結果を補正処理に利用することができる。
【0145】(5)第3実施形態 図14は、本発明の第3実施形態における各ノードの構
成を示す機能ブロック図である。この図に示すように、
本発明の第3実施形態として、各ノードには、受信ノー
ドとなったときに作用する構成として、検出された相関
関係に対応する制御内容及び受信側ノードにおける事象
に基づいて、当該制御内容について肯定的又は否定的な
評価を決定する評価手段11を設けてもよい。
【0146】この場合、これに対応して、返信手段9
は、評価を含む判定結果を返信するように構成する。ま
た、補正手段10は、返信された判定結果中の前記評価
に基づいて補正を行うように構成する(請求項6,14
に対応)。
【0147】このような第3実施形態では、相関関係と
して正比例や反比例など相関関係の種類も検出し、制御
内容及び受信側ノードの事象に応じて補正内容を変更で
きるので、よりきめ細かな制御が可能になる。例えば、
決定された制御内容が第1の数値の減少の場合でも、依
頼を受けた受信側ノードの担当する第2の数値が、第1
の数値と反比例の相関関係を持っていて、しかも、第2
の数値の安全側は減少であり増大は好ましくない場合
は、受信側ノードとしては制御内容に賛成できない。
【0148】このような場合、「否定的」な評価を送信
側ノードに伝達することによって減少幅を縮小させ、第
2の数値の過度の増大を回避することができる。ここ
で、図15は制御内容の増減方向、相関関係の方向、第
2の数値の安全側、の各組み合わせごとの評価内容の例
を示す図である。
【0149】また、図16は、第3実施形態において評
価の基礎となる各要素を符号化する内容の例を示す図で
ある。この図に示すように、評価の基礎となる各要素を
符号化すれば、この符号を掛け合わせることで、正が肯
定的、負が否定的という形式の評価を容易に算出でき
る。
【0150】(6)第4実施形態 図17は、本発明の第4実施形態における各ノードの構
成を示す機能ブロック図である。この図に示すように、
ノードのプログラムについて前記相関関係が検出された
場合に、当該プログラムからのその後の前記判定依頼を
第1の割合で受理し、ノードのプログラムについて前記
相関関係が検出されない場合に、当該プログラムからの
その後の前記判定依頼を前記第1の割合よりも低い第2
の割合で受理するように制御する間引き手段12を設け
てもよい(請求項7,15)。
【0151】このような第4実施形態では、相関関係が
検出されなかったプログラムからの判定依頼を、相関関
係が検出されたプログラムからの判定依頼よりも低い第
2の割合で受理する。このため、相関関係なしのプログ
ラムからの判定依頼を処理する負担の軽減によって、制
御装置又は制御方法の稼働効率とレスポンスを向上でき
る。
【0152】なお、第1や第2の割合は自由であるが、
一例として、相関関係なしの場合に数回に1度受理し
(第2の割合)、この際に相関関係ありと再度評価され
ときにはその後毎回依頼を受理(第1の割合)すること
が考えられる。また、相関関係ありの場合の第1の割合
も数回に一回程度に設定すれば、制御装置の負担を一層
軽減できる。
【0153】(7)発明の他の実施形態 なお、本発明は上記の各実施形態に限定されるものでは
なく、実施態様の変更は自由であるから、次に例示する
ような他の実施形態をも包含するものである。例えば、
本発明が制御対象とするシステムは、反応炉には限定さ
れず、鉄鋼プラントのような産業システム、交通制御シ
ステム、原子力プラントのような電力システムなどの各
種システムを対象とすることができる。また、相関関係
の検出対象とする事象はセンサ出力値には限定されず、
制御内容に含まれる制御値とセンサ出力値などとの間の
相関関係を検出してもよい。
【0154】また、システムの制御及び相関関係の検出
は、単一の装置に情報を集中させて行なってもよいし、
複数のノードで分散処理してもよい。
【0155】
【発明の効果】以上説明したように、本発明によれば、
信頼性の高いシステム監視装置、制御装置、システム監
視方法及び制御方法を提供することができる。
【図面の簡単な説明】
【図1】本発明の第1実施形態において、制御対象とさ
れるシステムの例及び本装置の概略的構成を示す機能ブ
ロック図
【図2】本発明の第2実施形態において、制御対象とさ
れるシステムの例及び本装置の概略的構成を示す機能ブ
ロック図
【図3】本発明の第2実施形態における制御目標の例を
示す図
【図4】本発明の第2実施形態における制御目標の例を
示す図
【図5】本発明の第2実施形態における制御目標の例を
示す図
【図6】本発明の第2実施形態におけるテスト条件の例
を示す図
【図7】本発明の第2実施形態におけるテスト条件の例
を示す図
【図8】本発明の第2実施形態におけるテスト条件の例
を示す図
【図9】本発明の第2実施形態において、各ノードN1
〜N3の構成を示す機能ブロック図
【図10】本発明の第2実施形態における制御の手順を
示すフローチャート
【図11】本発明の第2実施形態において、履歴の具体
的内容の一例を示す図
【図12】本発明の第2実施形態において、履歴の具体
的内容の一例を示す図
【図13】本発明の第2実施形態において、履歴の具体
的内容の一例を示す図
【図14】本発明の第3実施形態における各ノードの構
成を示す機能ブロック図
【図15】本発明の第3実施形態において、制御内容の
増減方向、相関関係の方向、第2の数値の安全側、の各
組み合わせごとの評価内容の例を示す図
【図16】本発明の第3実施形態において、評価の基礎
となる各要素を符号化する内容の例を示す図
【図17】本発明の第4実施形態における各ノードの構
成を示す機能ブロック図
【符号の説明】
1…実行手段 2…制御手段 3…格納手段 4…テスト手段 5…切替手段 6…送受信手段 7…依頼手段 8…検出手段 9…返信手段 10…補正手段 11…評価手段 12…間引き手段 A,A2,B,B2,C…プログラム N1〜N3…ノード T…通信回線 STEP…手順の各ステップ S…システム C…制御装置
───────────────────────────────────────────────────── フロントページの続き (72)発明者 海邊 裕 神奈川県川崎市幸区柳町70番地 株式会社 東芝柳町工場内 (72)発明者 田村 信介 神奈川県川崎市幸区柳町70番地 株式会社 東芝柳町工場内

Claims (16)

    【特許請求の範囲】
  1. 【請求項1】 システムに関する各事象を表し当該シス
    テムの制御に用いられる各情報を獲得する獲得手段と、 前記各情報に基づいて、前記各事象間の相関関係を検出
    する検出手段と、 前記検出の結果を提供する提供手段と、 を有することを特徴とするシステム監視装置。
  2. 【請求項2】 入力される情報に基づいてシステムを制
    御する制御装置において、 前記制御のためのプログラムを実行することによって前
    記システムに対する制御内容を決定する実行手段と、 前記制御内容に基づいて前記システムを制御する制御手
    段と、 前記各情報に基づいて、前記各事象間の相関関係を検出
    する検出手段と、 前記検出の結果に基づいて前記制御内容を補正する補正
    手段と、 を有することを特徴とする制御装置。
  3. 【請求項3】 入力される情報に基づいてシステムを制
    御する制御装置において、 前記制御のためのプログラムを実行する単位であるノー
    ドを複数有し、 前記ノードは、 前記プログラムを実行することによって前記システムに
    対する制御内容を決定する実行手段と、 前記制御内容に基づいて前記システムを制御する制御手
    段と、 少なくとも前記入力される情報を含む事象を履歴として
    格納する格納手段と、 前記ノード間で情報を送受信するための送受信手段と、 前記履歴を含む判定依頼を、前記送受信手段を通じて他
    のノードに送信する依頼手段と、 前記判定依頼を受信した受信ノードにおいて、当該判定
    依頼中の前記履歴及び当該受信ノードで格納されている
    前記履歴に基づいて、履歴中の事象間の相関関係を検出
    する検出手段と、 前記検出の結果を、前記送受信手段を通じて前記判定依
    頼を送信したノードに判定結果として返信する返信手段
    と、 返信された前記判定結果に基づいて前記制御内容を補正
    する補正手段と、 を有することを特徴とする制御装置。
  4. 【請求項4】 前記実行手段は、前記プログラムとして
    代替プログラムを含む複数のプログラムを有し、 前記制御内容の妥当性をテストするテスト手段と、 前記テストが不合格の場合に前記プログラムを前記代替
    プログラムに切り替える切替手段と、 を有することを特徴とする請求項2又は3記載の制御装
    置。
  5. 【請求項5】 前記補正手段は、前記制御内容を安全側
    に補正するように構成されたことを特徴とする請求項
    2,3又は4記載の制御装置。
  6. 【請求項6】 前記ノードは、検出された前記相関関係
    に対応する、前記制御内容及び前記受信ノードにおける
    前記事象に基づいて、当該制御内容について肯定的又は
    否定的な評価を決定する評価手段を有し、 前記返信手段は、前記評価を含む前記判定結果を返信す
    るように構成され、 前記補正手段は、返信された前記判定結果中の前記評価
    に基づいて前記補正を行うように構成されたこと、 を特徴とする請求項2,3,4又は5記載の制御装置。
  7. 【請求項7】 前記ノードの前記プログラムについて前
    記相関関係が検出された場合に、当該プログラムからの
    その後の前記判定依頼を第1の割合で受理し、前記ノー
    ドの前記プログラムについて前記相関関係が検出されな
    い場合に、当該プログラムからのその後の前記判定依頼
    を前記第1の割合よりも低い第2の割合で受理する間引
    き手段を有することを特徴とする請求項2,3,4,5
    又は6記載の制御装置。
  8. 【請求項8】 前記ノードの前記プログラムについて前
    記相関関係が検出された場合に、当該プログラムからの
    その後の前記判定依頼のうち前記相関関係に係る各情報
    を含むものを第1の割合で受理し、前記ノードの前記プ
    ログラムについて前記相関関係が検出されない場合に、
    当該プログラムからのその後の前記判定依頼を前記第1
    の割合よりも低い第2の割合で受理する間引き手段を有
    することを特徴とする請求項2,3,4,5又は6記載
    の制御装置。
  9. 【請求項9】 システムに関する各事象を表し当該シス
    テムの制御に用いられる各情報を獲得する獲得処理と、 前記各情報に基づいて、前記各事象間の相関関係を検出
    する検出処理と、 前記検出の結果を提供する提供処理と、 を含むことを特徴とするシステム監視方法。
  10. 【請求項10】 入力される情報に基づいてシステムを
    制御する制御方法において、 前記制御のためのプログラムを実行することによって前
    記システムに対する制御内容を決定する実行処理と、 前記制御内容に基づいて前記システムを制御する制御処
    理と、 前記各情報に基づいて、前記各事象間の相関関係を検出
    する検出処理と、 前記検出の結果に基づいて前記制御内容を補正する補正
    処理と、 を含むことを特徴とする制御方法。
  11. 【請求項11】 入力される情報に基づいてシステムを
    制御する制御方法において、 前記制御のためのプログラムを実行する単位であるノー
    ドを複数有し、 前記ノードは、 前記プログラムを実行することによって前記システムに
    対する制御内容を決定する実行処理と、 前記制御内容に基づいて前記システムを制御する制御処
    理と、 少なくとも前記入力される情報を含む事象を履歴として
    格納する格納処理と、 前記ノード間で情報を送受信するための送受信処理と、 前記履歴を含む判定依頼を、前記送受信処理を通じて他
    のノードに送信する依頼処理と、 前記判定依頼を受信した受信ノードにおいて、当該判定
    依頼中の前記履歴及び当該受信ノードで格納されている
    前記履歴に基づいて、履歴中の事象間の相関関係を検出
    する検出処理と、 前記検出の結果を、前記送受信処理を通じて前記判定依
    頼を送信したノードに判定結果として返信する返信処理
    と、 返信された前記判定結果に基づいて前記制御内容を補正
    する補正処理と、 を含むことを特徴とする制御方法。
  12. 【請求項12】 前記実行処理は、前記プログラムとし
    て代替プログラムを含む複数のプログラムを用い、 前記制御内容の妥当性をテストするテスト処理と、 前記テストが不合格の場合に前記プログラムを前記代替
    プログラムに切り替える切替処理と、 を含むことを特徴とする請求項10又は11記載の制御
    方法。
  13. 【請求項13】 前記補正処理は、前記制御内容を安全
    側に補正することを特徴とする請求項10,11又は1
    2記載の制御方法。
  14. 【請求項14】 前記ノードは、検出された前記相関関
    係に対応する、前記制御内容及び前記受信ノードにおけ
    る前記事象に基づいて、当該制御内容について肯定的又
    は否定的な評価を決定する評価処理を有し、 前記返信処理は、前記評価を含む前記判定結果を返信
    し、 前記補正処理は、返信された前記判定結果中の前記評価
    に基づいて前記補正を行うこと、 を特徴とする請求項10,11,12又は13記載の制
    御方法。
  15. 【請求項15】 前記ノードの前記プログラムについて
    前記相関関係が検出された場合に、当該プログラムから
    のその後の前記判定依頼を第1の割合で受理し、前記ノ
    ードの前記プログラムについて前記相関関係が検出され
    ない場合に、当該プログラムからのその後の前記判定依
    頼を前記第1の割合よりも低い第2の割合で受理する間
    引き処理を含むことを特徴とする請求項10,11,1
    2,13又は14記載の制御方法。
  16. 【請求項16】 前記ノードの前記プログラムについて
    前記相関関係が検出された場合に、当該プログラムから
    のその後の前記判定依頼のうち前記相関関係に係る各情
    報を含むものを第1の割合で受理し、前記ノードの前記
    プログラムについて前記相関関係が検出されない場合
    に、当該プログラムからのその後の前記判定依頼を前記
    第1の割合よりも低い第2の割合で受理する間引き処理
    を含むことを特徴とする請求項10,11,12,13
    又は14記載の制御方法。
JP25132495A 1995-09-28 1995-09-28 システム監視装置、制御装置、システム監視方法及び制御方法 Pending JPH0997111A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP25132495A JPH0997111A (ja) 1995-09-28 1995-09-28 システム監視装置、制御装置、システム監視方法及び制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP25132495A JPH0997111A (ja) 1995-09-28 1995-09-28 システム監視装置、制御装置、システム監視方法及び制御方法

Publications (1)

Publication Number Publication Date
JPH0997111A true JPH0997111A (ja) 1997-04-08

Family

ID=17221131

Family Applications (1)

Application Number Title Priority Date Filing Date
JP25132495A Pending JPH0997111A (ja) 1995-09-28 1995-09-28 システム監視装置、制御装置、システム監視方法及び制御方法

Country Status (1)

Country Link
JP (1) JPH0997111A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010529561A (ja) * 2007-06-04 2010-08-26 グラコ ミネソタ インコーポレーテッド 分散監視及び流体処理制御システム
JP2016091562A (ja) * 2014-11-03 2016-05-23 富士通株式会社 センサネットワークを管理する方法
JP2021128394A (ja) * 2020-02-12 2021-09-02 三菱電機株式会社 監視制御装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010529561A (ja) * 2007-06-04 2010-08-26 グラコ ミネソタ インコーポレーテッド 分散監視及び流体処理制御システム
TWI483584B (zh) * 2007-06-04 2015-05-01 Graco Minnesota Inc 分配式監視及控制流體處理系統
JP2016091562A (ja) * 2014-11-03 2016-05-23 富士通株式会社 センサネットワークを管理する方法
JP2021128394A (ja) * 2020-02-12 2021-09-02 三菱電機株式会社 監視制御装置

Similar Documents

Publication Publication Date Title
US6629266B1 (en) Method and system for transparent symptom-based selective software rejuvenation
CN103262045B (zh) 具有容错架构的微处理器系统
Jaffe et al. Software requirements analysis for real-time process-control systems
US5870301A (en) System control apparatus including a master control unit and a slave control unit which maintain coherent information
CN100394394C (zh) 容错双工计算机系统及其控制方法
JP2721294B2 (ja) コンピュータシステムのオンライン監視システム
CN104350440A (zh) 用于监测及控制制造设备的集成控制器方案
US8380975B2 (en) Safety data writes
JP2000181501A (ja) 二重化制御装置
JPH0997111A (ja) システム監視装置、制御装置、システム監視方法及び制御方法
JP7064085B2 (ja) プラント異常監視システム、および、プラント異常監視方法
WO2006128148A1 (en) System and method for bypassing execution of an algorithm
US7246265B2 (en) Method and system for automatically verifying fault hypotheses predetermined by a user
JP7038629B2 (ja) 機器状態監視装置及びプログラム
JP2009064094A (ja) プロセス監視制御システム
JP2001331330A (ja) プロセス異常検知及び復旧システム
JPH0930092A (ja) 自己診断装置
JPH11194961A (ja) 遠方監視制御装置および遠方監視制御システム
JP2005293325A (ja) データベースの即時レプリケーション性能監視システム
CN117474366B (zh) 一种智慧能耗监测管理系统及方法
Strigini Considerations on current research issues in software safety
JP2011081705A (ja) メモリ制御装置及びメモリ制御装置の制御方法
JP2720422B2 (ja) 推論装置
KR940022947A (ko) 지능망 서비스 제어용 분산형 과부하 자동 감시 장치 및 그 운용 방법
JP2024008135A (ja) 統合プラットフォーム、監視システム、監視情報共有方法及びプログラム