JPS6123204A - Controller - Google Patents
ControllerInfo
- Publication number
- JPS6123204A JPS6123204A JP59143259A JP14325984A JPS6123204A JP S6123204 A JPS6123204 A JP S6123204A JP 59143259 A JP59143259 A JP 59143259A JP 14325984 A JP14325984 A JP 14325984A JP S6123204 A JPS6123204 A JP S6123204A
- Authority
- JP
- Japan
- Prior art keywords
- deviation
- abnormality
- control
- feedback signal
- case
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Monitoring And Testing Of Nuclear Reactors (AREA)
- Safety Devices In Control Systems (AREA)
Abstract
Description
【発明の詳細な説明】
〔発明の利用分野〕
本発明は、2重化構成をもつ制御装置に係わシ、特に原
子カブランのだめの高信頼度を実現するに好適な二重化
システムを有する制御装置に関する。[Detailed Description of the Invention] [Field of Application of the Invention] The present invention relates to a control device having a duplex configuration, and in particular to a control device having a duplex system suitable for realizing high reliability of an atomic bomb reservoir. Regarding.
第6図は従来の2重化構成の制御装置1の概略ブロック
図を示す。上位制御系などからの指令信号(目標値)3
は、2重化された制御演算部11a。FIG. 6 shows a schematic block diagram of a conventional control device 1 having a duplex configuration. Command signal (target value) 3 from the host control system, etc.
is a duplicated control calculation unit 11a.
11b(以下各々A系、B系と称する)に入力される。11b (hereinafter referred to as A system and B system, respectively).
一方、制御対象2からのフィードバック信号4も各々の
制御演算部11a、llHに入力され、指令値3との偏
差12a、12bを零にすべく、制御演算機能13a、
13bが働き、各々の制御出力信号14a、14bを出
力する。この制御出力信号11a、14bは、信号選択
部21にて、どちらかが選択され、最終的な制御信号1
6として、制御対象2に与えら′れる。On the other hand, the feedback signal 4 from the controlled object 2 is also input to each control calculation unit 11a, 11H, and in order to make the deviation 12a, 12b from the command value 3 zero, the control calculation function 13a,
13b operates to output respective control output signals 14a and 14b. One of these control output signals 11a and 14b is selected by the signal selection section 21, and the final control signal 1
6 is given to the controlled object 2.
本信号選択部21の構成については、従来より種々の方
法があるが、大きくは
1)二信号(14a、14b)のうちから、システム的
に7エイルセイ7方向のものを選択する。There are various conventional methods for configuring the signal selection section 21, but the main methods are 1) Systematically selecting one from two signals (14a, 14b) in seven directions.
具体的には、高値選択または低値選択する方式などがあ
る。Specifically, there is a method of selecting a high value or a method of selecting a low value.
2)制御演算部11a9、llbなどの異常診断を実施
し、少なくとも異常が発見された側の信号は選択しない
ようにする(第 図)。2) Diagnose an abnormality in the control calculation units 11a9, llb, etc., and at least avoid selecting signals on the side where an abnormality has been detected (Fig. 2).
の2稽類に分類できる。前者はシステム的にはフェイル
セイフ動作となるが、システムによっては必らずしも7
エイルセイフ方向が定まっていなかったり、あ−ibに
7エイルセイ7性にこだわっているため、制御系として
の稼動率を減少させることになるなど、その適用は極め
て限定される゛。一方後者は、制御演算部に計算機を使
用することにより、一般には特別にハードウェアを追加
しなくとも、異常診断能力の強化が図れるため、最近多
く使われるようになってきている。そのロジックの1例
を第6図および第7図(a)に示す。第7図(b)は第
7図(a)中に使用噛れている記号を説明するための図
表である。It can be classified into two types. The former is a fail-safe operation from a system perspective, but depending on the system, it may not necessarily be 7
Since the fail-safe direction is not determined or the fail-safe direction is fixed, the operation rate of the control system will be reduced, so its application is extremely limited. On the other hand, the latter has been increasingly used recently because by using a computer in the control calculation section, the ability to diagnose abnormalities can be generally enhanced without adding any special hardware. An example of the logic is shown in FIGS. 6 and 7(a). FIG. 7(b) is a chart for explaining the symbols used in FIG. 7(a).
A系制御演算部の自己診断結果15aおよびB系制御演
算部の自己診断結果15bは、信号選択部21の選択ロ
ジック部22に入力される。The self-diagnosis result 15a of the A-system control calculation section and the self-diagnosis result 15b of the B-system control calculation section are input to the selection logic section 22 of the signal selection section 21.
1)A系、B系とも正常判定のとき、A系が自動的に選
択され、A系選択指令23aにより、A糸信号選択リレ
ー接点24aがオン状態となる。この時B糸信号選択リ
レー接点24bはオフ状態のままである。1) When both the A system and the B system are determined to be normal, the A system is automatically selected, and the A thread signal selection relay contact 24a is turned on by the A system selection command 23a. At this time, the B yarn signal selection relay contact 24b remains in the off state.
なお、何らかの理由でB系制御に切換えたい場合には、
B系手動選択スイッチをオンとすることにより、24a
オフ、24.bオンと変化する。再度A系制御に切換え
たい時は、同様に、A系手動選択スイッチをオンとすれ
ばよい。If you want to switch to B system control for some reason,
By turning on the B system manual selection switch, 24a
Off, 24. b changes to on. If you want to switch to A-system control again, you can similarly turn on the A-system manual selection switch.
2)もしA系制御中(選択中)、B系待機中に、A系に
異常が検出されると、直ちに制御はB系に移る。すなわ
ち、24aオン、24bオフの状態から24aオフ、2
4bオンに変る。2) If an abnormality is detected in the A system while the A system is being controlled (selected) or the B system is on standby, control immediately shifts to the B system. That is, from the state of 24a on, 24b off, 24a off, 2
Change to 4b on.
3)もしB系制御中(選択中)、A系待機中KB系に異
常が検出されると、直ちに制御はA系に移る。すなわち
、24aオフ、24bオンの状態から24aオン、24
bオフに変る。3) If an abnormality is detected in the KB system while the A system is on standby while the B system is being controlled (selected), control immediately shifts to the A system. That is, from the state of 24a off and 24b on, the state of 24a on and 24
b Changes to off.
4)待機側の制御演算部に異常が発見されても制御その
ものは変らない。4) Even if an abnormality is discovered in the control calculation unit on the standby side, the control itself will not change.
5)なお、A、B両系とも異常になった場合には、操作
端ロックなどの7工イルアズイズ動作、またはフェイル
セイフ動作をとらせることが多い。5) Note that if both systems A and B become abnormal, a 7-factor action such as locking the operating end or a fail-safe action is often taken.
6)また、異常検出で警報を出すなどは、本ロジックに
は示していないが、現実的によくとられる手法でおる。6) Also, although this logic does not show issuing a warning upon detecting an abnormality, it is a method that is often used in practice.
本ロジックは、aS的には極めて有効であり、1重系に
比べて、相当な高信頼化が期待できるものの、
1)基本的な動作としては、1重系にバックアップ系を
用意したものにすぎず、出力信号そのものの信頼度は、
1重系と等価である。Although this logic is extremely effective in terms of aS and can be expected to be considerably more reliable than a single-layer system, 1) the basic operation is a single-layer system with a backup system. The reliability of the output signal itself is
It is equivalent to a single-layer system.
2)異常検出能力の大小により、そのシステム信頼度(
稼動率)が大きく変わる。2) The system reliability (
(operating rate) will change significantly.
3)A系、B系の演算結果が不一致となっても、自己診
断機能で異常を構出できない場合は、どちらが正しいデ
ータなのか確定することができず、したがって最悪の場
合、異常制御を許容してしまう場合がある。3) Even if the calculation results of system A and B do not match, if the self-diagnosis function cannot detect an error, it cannot be determined which data is correct, and therefore, in the worst case, abnormal control is allowed. You may end up doing this.
などの点で、超高信頼度を要求されるシステムへの適用
には問題が多い。そこで一般には、この糧の超高信頼度
を要求されるシステムの制御装置としては、多数決判定
の可能な3重化システムが適用されているが、ハードウ
ェア量が膨大となり、また価格もそれに伴なって上昇す
るため、その適用範囲もある程度限定せざるを得ない。For these reasons, there are many problems in applying it to systems that require ultra-high reliability. Therefore, in general, a triplex system capable of majority decision making is used as a control device for systems that require ultra-high reliability, but this requires an enormous amount of hardware and is also expensive. Therefore, the scope of application must be limited to some extent.
本発明の目的は、基本的には2重化構成としながら、3
重化システムなみの高信頼度を達成するシステム構成を
有する制御装置を提供することである。The purpose of the present invention is to basically have a dual configuration, but to
It is an object of the present invention to provide a control device having a system configuration that achieves high reliability comparable to that of a heavy duty system.
上記目的を達成するために、本発明による2重化構成を
有する制御装置は、各々の制御演算部の演算結果を比較
し、その偏差が許容値を超えた場合に偏差穴として異常
を検出する手段と、制御対象からのフィートンクツク信
号を推定する手段と、該フィードバック信号を推定する
手段によシ推定されたフィードバック相当信号と実際の
フィードバック信号とを比較し、その偏差が許容値を超
えた場合に偏差穴として異常を検出する手段と、上記諸
手段により検出された状態を組み合わせて異常発生側を
判定する手段と、該異常発生側を判定する手段から判定
結果を取シ込み、2重化7ステムの切換えを行なう手段
とを具備することを要旨とする。すガわち、本発明は、
2重化システムにおいては、異常検出能力が3重化シス
テムに対して劣っているため1.超高信頼度の実現に限
界があることに着目し、簡単でかつ異常検出能力を飛躍
的に上昇させることのできる異常判定機能を付加するこ
とにより、2重化システムの持つ特長()・−ド量が少
ない、価格が低い)を生かしつつ、3重化システムなみ
の超高信頼度を実現するものである。In order to achieve the above object, a control device having a duplex configuration according to the present invention compares the calculation results of each control calculation unit, and detects an abnormality as a deviation hole when the deviation exceeds a tolerance value. a means for estimating a feedback signal from a controlled object, and a feedback equivalent signal estimated by the means for estimating the feedback signal and an actual feedback signal, and the deviation thereof exceeds a tolerance value. means for detecting an abnormality as a deviation hole when a deviation occurs; means for determining an abnormality occurrence side by combining the states detected by the various means; and receiving determination results from the means for determining the abnormality occurrence side; The gist of the present invention is to include a means for switching between seven overlapping stems. In short, the present invention is
1. In a duplex system, the abnormality detection ability is inferior to a triple system. Focusing on the fact that there is a limit to achieving ultra-high reliability, we added an anomaly determination function that is simple and can dramatically increase anomaly detection capabilities. This system takes advantage of the following advantages (small amount of data and low price) and achieves ultra-high reliability comparable to that of a triplex system.
本発明の有利な実施の態様においては、フィードバック
信号検出器も2N化され、各々の検出信号が2重化され
九〜制御演算部にそれぞれフィードバック信号として入
力され、その2重化されたフィードバック信号を比較し
、その偏差が許容値を超えた場合に偏差穴として異常を
検出する手段と、上記異常を検出する手段により検出さ
れた状態を組み合わせて異常発生個所を判定する手段と
、該異常発生個所を判定する手段から判定結果を取り込
み、2重化システムの切換えを行ない、常に正常側を選
択する手段とが備えられる。In an advantageous embodiment of the present invention, the feedback signal detector is also 2N, and each detection signal is duplicated and input as a feedback signal to the control calculation section, and the duplicated feedback signal is means for comparing the values and detecting an abnormality as a deviation hole when the deviation exceeds an allowable value; means for determining the location where the abnormality has occurred by combining the states detected by the abnormality detecting means; Means is provided for taking in the determination result from the means for determining the location, switching the duplex system, and always selecting the normal side.
以下に、図面を参照しながら、実施例を用いて本発明を
一層詳細に説明するが、それらは例示に過ぎず、本発明
の枠を越えること低しにいろいろな変形や改良があり得
ることは勿論である。Hereinafter, the present invention will be explained in more detail using examples with reference to the drawings, but these are merely illustrative and it is understood that various modifications and improvements may be made without going beyond the scope of the present invention. Of course.
第1図および第2図は第6図および第7図に示した2重
化システムに本発明を適用した場合の制御装置の構成を
示す。すなわち、i図に示す装置に異常判定部31を付
加した形となっている。FIGS. 1 and 2 show the configuration of a control device when the present invention is applied to the duplex system shown in FIGS. 6 and 7. In other words, the abnormality determining section 31 is added to the device shown in Figure i.
異常判定部310機能を以下説明する。異常列一定部3
1の第1の機能は、A系制御演算部、B系制御演算部の
演算結果14a、14bit:入力し、この偏差を偏差
モニタ32にて常時監視し、万−両信号間にあらかじめ
設定された許容偏差以上の偏差が発生し、これが規定時
間以上続いた場合には、制御演算結果不一致と判定する
ものである。The functions of the abnormality determination section 310 will be explained below. Abnormal row constant part 3
The first function of 1 is to input the calculation results 14a, 14 bits of the A system control calculation section and the B system control calculation section, and constantly monitor this deviation with the deviation monitor 32. If a deviation greater than the allowable deviation occurs and this continues for more than a specified time, it is determined that the control calculation results do not match.
i1図中のTDPU33は、このだめのタイムディレィ
ピックアップ要素(限時要素)である。異常判定部31
の第2の機能は、本来制御系が正常に動作している場合
には、フィードバック信号4は、指令値(目標値)3に
、ある関係をもって追従していることを利用し、指令値
3と、フィードバック値4の相関関係がずれた場合には
制御系の異常と判定するものである。すなわち、制御系
の簡易モデル34を利用し、指令値(目標値)3より、
フィードバック信号4相当の推定値35を求め、これと
実フィードバック信号4との偏差モニタ36にて常時監
視し、万−両信号間にあらかじめ設定された許容偏差以
上の偏差が発生し、これが規定時間以上続いた場合に制
御側の異常と判定する。異常判定部31の第3の機能は
、上町声1の機能、第2の機能にて検出された不一致、
異常を組み合わせて、現在制御中の系の異常か、待機側
の系の異常かを判定するものでおる。第1の機能で、2
重系のどちらかに異常が発生していることを検出し、第
2の機能で、制御側または待機側のどちらの異常かを判
定し、この二つの条件で最終判定を下す方式としたこと
により、異常の確実な検出を可能としている。さらに本
方式においては、偏差モニタ32,36、TDPU33
.37および制御系モデル34の設定にそれほど詳細な
試験や解析などを必要としないということも実用上の大
きな長所としてあげることができる。例えば第1の機能
のみでは、2重系のうちどちらかに異常が発生したかは
わかるが、それ以上を知ることは難かしい。また第2の
機能のみでは、まず制御系そデルの精度が問題となり、
異常検出信頼性を上げようとすると、極めて複雑なモデ
ル化が必要となる。また万一システムに予期しない外乱
が入ったとすると、異常を検出してしまう可能性がある
が、本発明の方法では、あくまで二重系のうちのどちら
かに異常が発生した時のみ、このモデルを利用した判定
結果が使用される。したがってモデルも一般には、むだ
時間要素と2次遅れ要素の組合せ程度で十分であり、ま
た異常でないのに異常と判定する誤検出の可能性も極め
て小さい(対象システムによっては、本モデルの削除も
可能であり、むろん1次遅れ要素だけでも十分実用にた
えるケースも多い。)。The TDPU 33 in Figure i1 is a time delay pickup element (time limit element). Abnormality determination section 31
The second function of is to take advantage of the fact that when the control system is operating normally, the feedback signal 4 follows the command value (target value) 3 in a certain relationship. If the correlation between the feedback values 4 and 4 deviates, it is determined that there is an abnormality in the control system. That is, using the simple model 34 of the control system, from the command value (target value) 3,
An estimated value 35 corresponding to the feedback signal 4 is obtained, and this is constantly monitored by the deviation monitor 36 between this and the actual feedback signal 4. If a deviation greater than a preset tolerance occurs between the two signals, this will occur within the specified time. If this continues, it is determined that there is an abnormality on the control side. The third function of the abnormality determination unit 31 is the function of Uemachi voice 1, the mismatch detected by the second function,
By combining abnormalities, it is determined whether the abnormality is in the system currently under control or in the standby system. In the first function, 2
The system detects that an abnormality has occurred in either the heavy system, uses the second function to determine whether the abnormality is on the control side or the standby side, and makes a final judgment based on these two conditions. This enables reliable detection of abnormalities. Furthermore, in this method, deviation monitors 32, 36, TDPU 33
.. 37 and the control system model 34 do not require very detailed testing or analysis, which can also be cited as a great practical advantage. For example, with only the first function, it can be determined whether an abnormality has occurred in one of the dual systems, but it is difficult to know more than that. Also, with only the second function, the accuracy of the control system becomes a problem.
Increasing the reliability of anomaly detection requires extremely complex modeling. Also, if an unexpected disturbance were to occur in the system, there is a possibility that an abnormality would be detected, but with the method of the present invention, the model is only used when an abnormality occurs in one of the dual systems. The judgment result using . Therefore, in general, a model that is a combination of dead time elements and second-order delay elements is sufficient, and the possibility of false detection of an abnormality even though it is not abnormal is extremely small (depending on the target system, this model may also be deleted). It is possible, and of course there are many cases where the first-order lag element alone is sufficient for practical use.)
本異常判定部31の判定結果である制御側異常信号38
または待機側異常信号39は信号選択部21の選択ロジ
ック部22に入力される。Control-side abnormality signal 38 which is the determination result of the main abnormality determination unit 31
Alternatively, the standby side abnormality signal 39 is input to the selection logic section 22 of the signal selection section 21 .
第2図は、選択ロジック部22の具体的な選択ロジック
の例を示す。現在の制御がA系によって行なわれている
か、B系によって行なわれているかの条件と、上記制御
側異常信号38、待機側異常信号39の条件を組合せる
ことにより、A系の異常かB系の異常かを判定している
。なお、異常発生により制御系が切り換えられると、新
たに制御側となった系が正常状態に復帰させるよう動作
するが、直ちに正常にもどることは限らないので、TD
PU25a、25bを設け、切換え直後の安定化を図っ
ている。また自己診断恍よる自動切換えロジックが第7
図と同様に具備されている。FIG. 2 shows a specific example of the selection logic of the selection logic section 22. By combining the conditions of whether the current control is being performed by the A system or the B system and the conditions of the control side abnormality signal 38 and the standby side abnormality signal 39, it is possible to determine whether the abnormality is in the A system or the B system. It is determined whether there is an abnormality. Note that when the control system is switched due to an abnormality, the system that has become the new control side operates to return to the normal state, but it may not return to normal immediately, so TD
PUs 25a and 25b are provided to ensure stability immediately after switching. In addition, automatic switching logic based on self-diagnosis is the seventh
It is equipped in the same way as shown in the figure.
以上述べた構成によれば、本来2重系間で不一致が発生
した場合に不可能と言われているどちらの系で異常が発
生しているかの判定が可能と女るため、3重系システム
なみの異常検出能力を簡単な診断回路の追加で2重系シ
ステムに持たせることができる。したがって、通常の2
重系システムに比して大幅な信頼度向上が実現できる。According to the configuration described above, it is possible to determine in which system an abnormality has occurred, which is said to be impossible when a discrepancy occurs between dual systems. By adding a simple diagnostic circuit, a dual-system system can have similar abnormality detection capabilities. Therefore, the normal 2
Significant improvements in reliability can be achieved compared to heavy systems.
第3図は、フィードバック信号も2重化された2重化シ
ステムにおける本発明の適用例を示す。FIG. 3 shows an example of application of the present invention in a duplex system in which the feedback signal is also duplicated.
一般にフィードバック制御においては、フィードバック
信号の喪失は、制御の暴走にもつながるため、本図のよ
うに、フィードバック信号検出器から2重化することも
多い。第1図の2重化システムでは、二つの制御演算部
に入力されるデータは同一データであったが、第3図の
システムでは、必らずしも入力データの一致性が保証さ
れないため、若干複雑な判定ロジックが必要となるが基
本的な考え方はほとんど同じである。In general, in feedback control, the loss of a feedback signal can lead to runaway control, so the feedback signal detector is often duplicated as shown in this figure. In the duplex system shown in Fig. 1, the data input to the two control calculation units is the same data, but in the system shown in Fig. 3, the consistency of the input data is not necessarily guaranteed. Although a slightly more complicated judgment logic is required, the basic idea is almost the same.
異常判定部31の機能は、第1図の例と同じく大きく三
つに分割できる。The functions of the abnormality determination section 31 can be broadly divided into three parts, as in the example shown in FIG.
1)制御演算結果不一致検出機能
2)フィードバック信号、制御系異常検出機能3)異常
判定機能
1)は第1図の例と全く同一だが、2)については、フ
ィードバック信号が2信号あるため、これにフィードバ
ック信号相当推定値35を加えた3信号間の偏差チェッ
クにより、フィードバック信号4a、4bの異常および
制御側または待機側の異常を検出するもめである。3)
はこれら検出された異常の組合せにより、最終判定を行
なうものである。1) Control calculation result mismatch detection function 2) Feedback signal, control system abnormality detection function 3) Abnormality determination function 1) is exactly the same as the example in Figure 1, but 2) has two feedback signals, so this The problem is to detect an abnormality in the feedback signals 4a and 4b and an abnormality on the control side or standby side by checking the deviation between the three signals obtained by adding the feedback signal equivalent estimated value 35 to the feedback signal equivalent estimated value 35. 3)
A final judgment is made based on a combination of these detected abnormalities.
今、第3図に示したように、制御演算部の演算データ1
4a、14bの偏差チェック結果を異常検出信号a(4
4)とし、2重化されたフィードバック信号4aと4b
間の偏差チェック結果を異常信号b(45)とし、B系
用フィードバック信号4bとフィードバック信号推定値
35の偏差チェック結果を異常信号c(46)とし、A
系層フィードバック信号4aとフィードバック信号推定
値35との偏差チェック結果を異常検出信号d(47)
とし、各々異常検出で1、異常未検出で0としてその組
合せを考えると第4図のようになる。以下各ケース毎に
その意味を説明する。Now, as shown in FIG. 3, the calculation data 1 of the control calculation section
The deviation check results of 4a and 14b are converted into an abnormality detection signal a (4
4) and duplicated feedback signals 4a and 4b
The deviation check result between the B system feedback signal 4b and the feedback signal estimated value 35 is the abnormal signal c (46), and the deviation check result between the
The deviation check result between the system layer feedback signal 4a and the feedback signal estimated value 35 is used as an abnormality detection signal d (47).
If we consider the combination as 1 when an abnormality is detected and 0 when no abnormality is detected, the result will be as shown in FIG. The meaning of each case will be explained below.
1)ケース1
異常検出信号a、b、c、d全てが01すなわち異常未
検出状態であり、正常と判定する。1) Case 1 All of the abnormality detection signals a, b, c, and d are 01, that is, no abnormality has been detected, and it is determined to be normal.
2)ケース2
フィードバック信号4aと4bの@差、およびフィード
バック信号4aと推定値35の偏差は正常だが、フィー
ドバック信号4aと推定値35の偏差が異常と検出され
る極めてまれなケースであり、システム的には正常と考
えてよいケース。2) Case 2 The difference between feedback signals 4a and 4b and the deviation between feedback signal 4a and estimated value 35 are normal, but this is an extremely rare case where the deviation between feedback signal 4a and estimated value 35 is detected as abnormal, and the system This is a case that can be considered normal.
3)ケース3 ケース2と同様(ただし4aと4bが入れ換っている。3) Case 3 Same as case 2 (but 4a and 4b are swapped).
)
4)ケース4
フィードバック信号4a、4bの偏差は正常だが、推定
値35と4a、4bの偏差が異常検出されたケース。) 4) Case 4 A case in which the deviations of the feedback signals 4a and 4b are normal, but the deviations between the estimated values 35 and 4a and 4b are detected as abnormal.
推定値35の推定誤りか、制御対象の特性が変化(異常
発生)、あるいは何らかの外乱がシステムに加わったと
推定できるケース。A case where it can be assumed that the estimated value 35 is an estimation error, the characteristics of the controlled object have changed (an abnormality has occurred), or some kind of disturbance has been added to the system.
二つのフィードバック信号、二つの制御演算部ともに正
常と考えてよいから(偏差正常のため)、全体として正
常と判定してもよい(システムによっては、制御対象動
作異常と判定し、操作端ロツクガどの7工イルアズイズ
動作をしたほうがよいこともちも)。Since both the two feedback signals and the two control calculation units can be considered normal (because the deviation is normal), it may be determined that the overall operation is normal. It may be better to do 7-hour as-is movements).
5)ケース5
フィードバック信号4a、4b間の偏差は異常だが推定
値35と48,35’と4bは正常という、極めて起り
にくいケース。5) Case 5 This is an extremely unlikely case in which the deviation between the feedback signals 4a and 4b is abnormal, but the estimated values 35 and 48, 35' and 4b are normal.
フィードバック信号検出器の片方に異常が発生したばか
りの初期の段階にこのケースが現われる可能性はあるが
、いずれはケース6またはケース7に移行すると考えら
れる。したがって本ケースはとりあえず正常と判定して
よい。Although this case may appear at an early stage when an abnormality has just occurred in one of the feedback signal detectors, it is thought that the case will eventually shift to case 6 or case 7. Therefore, this case can be judged to be normal for the time being.
6)ケース6
フィードバック信号4aと4b、4aと35が異常で、
4bと35が正常なことから、フィードバック信号4a
を異常と判定できるケース。いずれはケース14に移行
すると考えられる。A系は異常フィードバック信号によ
シ制御演算していることから、制御はB系側に移さなけ
ればならない。6) Case 6 Feedback signals 4a and 4b, 4a and 35 are abnormal,
Since 4b and 35 are normal, the feedback signal 4a
A case where it can be judged as abnormal. It is thought that the situation will eventually move to Case 14. Since the A system performs control calculations based on the abnormal feedback signal, control must be transferred to the B system.
7)ケース7
ケース6で、A系とB系が逆になったケースに相当する
。A系側制御としなければならない。7) Case 7 This corresponds to Case 6, where the A and B systems are reversed. Must be controlled on the A system side.
−8)ケース8
フィードバック信号推定値35の推定精度が悪いか、フ
ィードバック、信号検出器が2台とも異常で、かつ、偏
差大なるフィードバック信号を使って算出した制御演算
結果のデータには偏差が小という、極めてあり得ないケ
ース。強いて何かするとすれば操作端ロック位であろう
がいずれはケース16に移行すると考えられるので必ら
ずしも対応動作をとる必要もないと言える。-8) Case 8 Either the estimation accuracy of the feedback signal estimate value 35 is poor, or both the feedback and signal detectors are abnormal, and the control calculation result data calculated using the feedback signal with a large deviation has a deviation. This is an extremely unlikely case. If we were forced to do something, it would probably be to lock the operating end, but since it is thought that the situation will eventually shift to case 16, it is not necessarily necessary to take any corresponding action.
9)ケース9
制御演算結果は偏差大だがシステム的には正常と考えら
れるケース。すなわち制御側は正しい動作をしており、
待機側の制御演算部に異常が発生していると推定できる
。9) Case 9 A case where the control calculation results have a large deviation, but the system is considered normal. In other words, the control side is operating correctly,
It can be assumed that an abnormality has occurred in the control calculation unit on the standby side.
10)ケース10
ケース2において制御演算結果にも偏差大が検検出され
たケースで、異常個所の判定はできない。10) Case 10 This is a case in which a large deviation is also detected in the control calculation results in Case 2, and the abnormal location cannot be determined.
ただしいずれはケース9またはケース12に移行すると
考えられるので、本ケースになる可能性の低さから考え
ても特に直ちに何らかの動作をとる必要はない。However, since it is thought that the situation will eventually move to Case 9 or Case 12, there is no need to take any immediate action, even considering the low possibility that this case will occur.
11)ケース11 ケース10においてA系とB系が入れ換った状態。11) Case 11 In Case 10, the A system and B system are swapped.
12)ケース12
フィードバック信号は2信号とも真値と考えてよい。こ
れが推定値と大きく異なっており、かつ制御演算結果の
偏差が大ということから、異常が発生した制御演算部の
出力でシステムが制御されている状態と考えられる。し
たがって待機側に切り換えなければならない。12) Case 12 Both feedback signals can be considered to be true values. Since this is significantly different from the estimated value and the deviation of the control calculation result is large, it is considered that the system is being controlled by the output of the control calculation section where the abnormality has occurred. Therefore, it is necessary to switch to the standby side.
13)ケース13
ケース5と同じく極めて起りにくいケース。フィードバ
ック信号推定値が実測値とよくあっているということか
ら、システムとしては正常に動作している状態とも考え
られるため、特別な対応は不要。13) Case 13 Similar to case 5, this is an extremely unlikely case. Since the estimated feedback signal values match well with the measured values, the system is considered to be operating normally, so no special measures are required.
14)ケース14
A系のフィードバック信号が異常となったため、このデ
ータを用いて算出した制御演算データが、他系のデータ
と大きく食い違ってしまったケース。14) Case 14 A case in which the feedback signal of the A system became abnormal, and the control calculation data calculated using this data differed greatly from the data of other systems.
B系に制御を移さなければならない。Control must be transferred to the B system.
15)ケース15
ケース140A系とB系を逆にしたケース。A系制御が
妥当。15) Case 15 Case 140A and B series are reversed. A system control is appropriate.
16)ケース16
ケース8の状態が発展してきたケースと考えられる。操
作端ロックなどを行なわなければならない。16) Case 16 This is considered to be a case in which the situation in Case 8 has evolved. The operating end must be locked.
以上の検討から、切換えに係わる何らかの異常が発生し
ているのは、ケース6.7,9,12゜14.15であ
り、操作端ロックなどを行なう必要があると考えられる
のはケース16である(ケース4,5,8,10,11
.13についても操作端ロックとしてもよい。これは対
象システムの゛特性により決定しなければならない。)
。Based on the above considerations, cases 6, 7, 9, 12 and 14.15 have some kind of abnormality related to switching, and case 16 requires locking of the operating end. Yes (Case 4, 5, 8, 10, 11
.. 13 may also be an operating end lock. This must be determined based on the characteristics of the target system. )
.
第5図は本システムの切換えロジックを整理して示す。FIG. 5 summarizes and shows the switching logic of this system.
本2重化システムでは、制御対象を除く制御システム規
模内一故障が発生してもそれを検出し、切り換えること
によって制御の続行が可能となる。In this redundant system, even if a failure occurs within the scale of the control system excluding the controlled object, it is possible to continue control by detecting it and switching over.
なり、以上の説明は−りの制御ループに対して行なって
きたが、大規模なディジタル制御システム(多変数制御
)に対しては、追加すべき異常判定部の最少化とい5観
点から、最も重要な制御ループに対してのみ本方式を適
用しても、基本的にはほとんどその効果は変わらない。The above explanation has been made for the control loop, but for large-scale digital control systems (multivariable control), the most important Even if this method is applied only to important control loops, the effect basically remains the same.
す力わち、中央演算装置内の動作の正常性を代表データ
1点で判定することになるが、本発明が意味を持つのは
あくまで2系統とも自己診断で正常となっているにもか
かわらず、その出力データが食い違っている吟であり、
同一演算装置で演算された多数のデータのうち一つのデ
ータのみが異常となるケースは現実的にはほとんどない
ためである。In other words, the normality of the operation within the central processing unit is determined based on one point of representative data, but the present invention is only meaningful even though both systems are normal in self-diagnosis. First, the output data is inconsistent,
This is because there are actually almost no cases in which only one piece of data out of a large number of pieces of data computed by the same computing device becomes abnormal.
また、以上述べた実施例においては、自己診断結果もそ
の切換えロジックに取り込み、総合的に判断しているが
、制御演算部をアナログ演算器で構成したような時には
、必らずしもこの自己診断機能を付加できるとは限らな
い。この場合にも、この自己診断結果を削除して切換え
ロジックを構成すればよい。Furthermore, in the embodiments described above, the self-diagnosis results are also incorporated into the switching logic to make a comprehensive judgment, but when the control calculation section is configured with an analog calculation unit, this It is not always possible to add diagnostic functions. In this case as well, the switching logic may be constructed by deleting this self-diagnosis result.
以上説明した通り、本発明によれば、2重系システムに
おいて、3重系システム並の異常検出能力を具備させる
ことができるので、システム信頼度も、2重系でありな
がら、3重系に近い値を実現させることができる。As explained above, according to the present invention, it is possible to provide a dual system with the same level of abnormality detection ability as a triple system. It is possible to achieve similar values.
さらに、上記のために必要と力る追加回路は極めて簡単
である。Furthermore, the additional circuitry required for the above is extremely simple.
一般にシングル系のハード量を1とすると、2重系で約
2.5.3重系で約4.5と増加し、システム信頼度も
シングル系を1とすれば、2重系で約10.3重系で約
100と上昇する(ただし、システム規模にもよる。)
。本発明によれば、2重系からほとんどハード量を増す
ことなく、3重系゛に近い信頼度を実現できるため、コ
ストパフォーマンスにすぐれた高信頼化システムを提供
できる。In general, if the amount of hardware in a single system is 1, it will increase to about 2.5 for a double system, and about 4.5 for a triple system, and if the system reliability is also 1 for a single system, it will be about 10 for a double system. .It rises to about 100 for triple systems (however, it depends on the system scale).
. According to the present invention, it is possible to achieve reliability close to that of a triplex system without substantially increasing the amount of hardware compared to a dualx system, thereby providing a highly reliable system with excellent cost performance.
第1図は本発明の第1の実施の態様による制御装置の構
成図、第2図は第1図に示す装置における切換えロジッ
ク図、第3図は本発明の第2の実施の態様による制御装
置の構成図、第4図は第3図に示す装置における切換え
ロジックを示す説明図、第5図は第3図に示す装置にお
ける切換え四囲である。
1・・・二重化制御装置、2・・・制御対象、3・・・
指令信号(目標値)、4・・・フィードバック信号、4
a・・・フィードバック信号A系、4b・・・フィード
バック信号B系、5a・・・フィードバック信号検出器
A系、5b・・・フィードバック信号検出器B系、11
a・・・制御演算部A系、11b・・・制御演算部B系
、12a・・・制御偏差信号A系、12b・・・制御偏
差信号B系、13a・・・制御演算機能A系、13b・
・・制御演算機能B系、14a・・・制御出力信号A系
、14b・・・制御出力信号B系、15a・・・自己診
断結果A系、15b・・・自己診断結果B系、16・・
・制御信号、21・・・信号選択部、22・・・信号選
択ロジック部、23a・・・A系選択指令、23b・・
・B系選択指令、24a・・・A糸信号選択リレー、2
4b・・・B糸信号選択リレー、25a、25b・・・
限時要素(タイムディレィピックアップ)、31・・・
異常判定部、32・・・A系/B系制御出力信号偏差検
出モニタ、33.37,41.43・・・限時要素(タ
イムディレィピックアップ)、34・・・制御システム
の簡易動作モデル、35・・・フィードバック信号推定
値、36.42・・・実フィードバック信号と推定値の
偏差検出モニタ、38・・・制御側異常判定信号、39
・・・待機側異常判定信号、40・・・A系/B系フィ
ードバック信号偏差検出モニタ、44・・・A系/B系
制御出力信号偏差大信号、45・・・A系/B系フィー
ドバック信号偏差大信号、46・・・B系フィードバッ
ク信号/フィードバック信号推定値の偏差大信号、47
・・・A系フィードバック信号/フィードバック信号推
定値の偏差大信号。FIG. 1 is a configuration diagram of a control device according to a first embodiment of the present invention, FIG. 2 is a switching logic diagram in the device shown in FIG. 1, and FIG. 3 is a control diagram according to a second embodiment of the present invention. FIG. 4 is an explanatory diagram showing the switching logic in the device shown in FIG. 3, and FIG. 5 is a diagram of the switching circuit in the device shown in FIG. 3. 1... Redundant control device, 2... Controlled object, 3...
Command signal (target value), 4... Feedback signal, 4
a... Feedback signal A system, 4b... Feedback signal B system, 5a... Feedback signal detector A system, 5b... Feedback signal detector B system, 11
a... Control computing unit A system, 11b... Control computing unit B system, 12a... Control deviation signal A system, 12b... Control deviation signal B system, 13a... Control computing function A system, 13b・
...Control calculation function B system, 14a...Control output signal A system, 14b...Control output signal B system, 15a...Self-diagnosis result A system, 15b...Self-diagnosis result B system, 16.・
- Control signal, 21... Signal selection section, 22... Signal selection logic section, 23a... A system selection command, 23b...
・B system selection command, 24a...A thread signal selection relay, 2
4b...B thread signal selection relay, 25a, 25b...
Time-limited element (time delay pickup), 31...
Abnormality determination unit, 32... A system/B system control output signal deviation detection monitor, 33. 37, 41. 43... Time-limited element (time delay pickup), 34... Simple operation model of control system, 35 ...Feedback signal estimated value, 36.42...Difference detection monitor between actual feedback signal and estimated value, 38...Control side abnormality determination signal, 39
...Standby side abnormality determination signal, 40...A system/B system feedback signal deviation detection monitor, 44...A system/B system control output signal deviation large signal, 45...A system/B system feedback Signal deviation large signal, 46...B system feedback signal/feedback signal estimate value deviation large signal, 47
...A system feedback signal/large deviation signal of feedback signal estimated value.
Claims (1)
値を超えた場合に偏差大として異常を検出する手段と、 制御対象からのフィードバック信号を推定する手段と、 該フィードバック信号を推定する手段により推定された
フィードバック相当信号と実際のフィードバック信号と
を比較し、その偏差が許容値を超えた場合に偏差大とし
て異常を検出する手段と、上記諸手段により検出された
状態を組み合わせて異常発生側を判定する手段と、 該異常発生側を判定する手段から判定結果を取り込み、
2重化システムの切換えを行なう手段とを具備すること
を特徴とする制御装置。 2、フィードバック信号検出器も2重化され、各各の検
出信号が2重化された制御演算部にそれぞれフィードバ
ック信号として入力され、その2重化されたフィードバ
ック信号を比較し、その偏差が許容値を超えた場合に偏
差大として異常を検出する手段と、 上記異常を検出する手段により検出された状態を組み合
わせて異常発生個所を判定する手段と、該異常発生個所
を判定する手段から判定結果を取り込み、2重化システ
ムの切換えを行ない、常に正常側を選択する手段、 とを具備することを特徴とする、特許請求の範囲第1項
記載の制御装置。[Claims] 1. In a control device having a duplex configuration, means for comparing the calculation results of each control calculation unit and detecting an abnormality as a large deviation when the deviation exceeds an allowable value; A means for estimating a feedback signal from a controlled object, and a feedback equivalent signal estimated by the means for estimating the feedback signal and an actual feedback signal are compared, and if the deviation exceeds a tolerance value, the deviation is determined to be large and abnormal. a means for determining the side where an abnormality has occurred by combining the states detected by the above-mentioned means; and a means for taking in the determination result from the means for determining the side where the abnormality has occurred;
1. A control device comprising: means for switching a duplex system. 2. The feedback signal detector is also duplicated, and each detection signal is input as a feedback signal to the duplicated control calculation unit, and the duplicated feedback signals are compared and the deviation is determined as permissible. A means for detecting an abnormality as a large deviation when the value exceeds a value, a means for determining the location of the abnormality by combining the states detected by the above-mentioned means for detecting the abnormality, and a determination result from the means for determining the location of the abnormality. 2. The control device according to claim 1, further comprising means for taking in the duplex system, switching the duplex system, and always selecting the normal side.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP59143259A JPS6123204A (en) | 1984-07-12 | 1984-07-12 | Controller |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP59143259A JPS6123204A (en) | 1984-07-12 | 1984-07-12 | Controller |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPS6123204A true JPS6123204A (en) | 1986-01-31 |
| JPH0535441B2 JPH0535441B2 (en) | 1993-05-26 |
Family
ID=15334585
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP59143259A Granted JPS6123204A (en) | 1984-07-12 | 1984-07-12 | Controller |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPS6123204A (en) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1127801A (en) * | 1997-07-04 | 1999-01-29 | Hitachi Ltd | Control device for electric vehicle |
| JP2000112502A (en) * | 1998-10-08 | 2000-04-21 | Hitachi Ltd | Automatic restoring circuit for control system |
| JP2011191876A (en) * | 2010-03-12 | 2011-09-29 | Toyota Motor Corp | Controller |
| JP2012531639A (en) * | 2009-07-01 | 2012-12-10 | ロベルト・ボッシュ・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツング | Method and apparatus for operating at least one actuator |
| JP2015183573A (en) * | 2014-03-24 | 2015-10-22 | 株式会社ケーヒン | electronic control throttle system |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS60118904A (en) * | 1983-11-30 | 1985-06-26 | Mitsubishi Heavy Ind Ltd | Discriminating system of control operating device |
-
1984
- 1984-07-12 JP JP59143259A patent/JPS6123204A/en active Granted
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS60118904A (en) * | 1983-11-30 | 1985-06-26 | Mitsubishi Heavy Ind Ltd | Discriminating system of control operating device |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1127801A (en) * | 1997-07-04 | 1999-01-29 | Hitachi Ltd | Control device for electric vehicle |
| JP2000112502A (en) * | 1998-10-08 | 2000-04-21 | Hitachi Ltd | Automatic restoring circuit for control system |
| JP2012531639A (en) * | 2009-07-01 | 2012-12-10 | ロベルト・ボッシュ・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツング | Method and apparatus for operating at least one actuator |
| US9952578B2 (en) | 2009-07-01 | 2018-04-24 | Robert Bosch Gmbh | Method and system for actuating at least one actuator |
| JP2011191876A (en) * | 2010-03-12 | 2011-09-29 | Toyota Motor Corp | Controller |
| JP2015183573A (en) * | 2014-03-24 | 2015-10-22 | 株式会社ケーヒン | electronic control throttle system |
Also Published As
| Publication number | Publication date |
|---|---|
| JPH0535441B2 (en) | 1993-05-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4330547B2 (en) | Information processing system control method, information processing system, information processing system control program, and redundant configuration control device | |
| US3377623A (en) | Process backup system | |
| JPS6122803B2 (en) | ||
| CN110427283B (en) | Dual-redundancy fuel management computer system | |
| JPS6123204A (en) | Controller | |
| CN1893339B (en) | Continuous median failure control system and method | |
| JPH08292894A (en) | Digital controller | |
| JPH0117087B2 (en) | ||
| JPH04211898A (en) | System for controlling sensor reconstruction | |
| KR102577755B1 (en) | Fault tolerant flight control computer using additional analytical channel | |
| JPS60118904A (en) | Discriminating system of control operating device | |
| JPH0312322B2 (en) | ||
| JPS60112103A (en) | Hybrid controller | |
| JPS5833701A (en) | Backup system of n:1 for dispersed hierarchy system | |
| JPS6180303A (en) | Switching control system of duplex system | |
| JP2647392B2 (en) | Controller abnormality diagnosis method | |
| JP2946541B2 (en) | Redundant control system | |
| CN117111438A (en) | Redundancy control method of industrial controller | |
| KR20240037075A (en) | Method and apparatus for providing distributed control in reactor system | |
| JPS61260348A (en) | Dual system computation control system | |
| JPS61156438A (en) | Computer control device | |
| JPH0435761B2 (en) | ||
| JPS5864553A (en) | Dual arithmetic system | |
| JPS62204346A (en) | Duplex system switching system | |
| JPH06214605A (en) | Mutual fault diagnosis processing method/device for multiplex controller and degenerative multiplex controller using the processing method/device |