TWI434159B - 雙重系統控制裝置 - Google Patents

雙重系統控制裝置 Download PDF

Info

Publication number
TWI434159B
TWI434159B TW99117365A TW99117365A TWI434159B TW I434159 B TWI434159 B TW I434159B TW 99117365 A TW99117365 A TW 99117365A TW 99117365 A TW99117365 A TW 99117365A TW I434159 B TWI434159 B TW I434159B
Authority
TW
Taiwan
Prior art keywords
control
self
diagnosis
dual
control device
Prior art date
Application number
TW99117365A
Other languages
English (en)
Other versions
TW201122745A (en
Inventor
Yasuhiro Iida
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of TW201122745A publication Critical patent/TW201122745A/zh
Application granted granted Critical
Publication of TWI434159B publication Critical patent/TWI434159B/zh

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Safety Devices In Control Systems (AREA)
  • Hardware Redundancy (AREA)

Description

雙重系統控制裝置
本發明係有關一種於例如發電所等所利用的機具設備(plant)控制裝置。
一般而言,於習知的待機冗餘構成的機具設備控制裝置,為了檢測控制裝置的異常而進行自我診斷。此種自我診斷,係藉由自我系統的硬體(hardware)及軟體(software)的異常、輸入訊號的上下限異常、以及演算結果異常等來進行做判斷。尤其是,在雙重系統構成的控制裝置中,其系統切換係如第10圖所示,一般而言是以在雙重化的控制系統的任一者的異常檢測為契機而實施。於專利文獻1所記載的是,將如此的切換條件作為前提所提出的雙重系統控制裝置(例如專利文獻1)。
(先前技術文獻)
(專利文獻)
專利文獻1:日本特開平8-123503公報(第3頁,第2圖)
習知的雙重系統控制裝置,存在有以下課題:為了一邊進行機具設備的控制一邊實施自我診斷,而留下有主記憶體(main memory)等無法自我診斷的區域,此部分係只能在定期維護時等以離線(offline)診斷。
本發明係為了解決前述問題所研創者,其目的係提供一種雙重系統控制裝置,即使在控制中,同樣可診斷習知中無法自我診斷的區域,可縮短自我診斷的週期,且有高的安全水準。
本發明的雙重系統控制裝置,係包括:具有自我診斷功能的控制系統;以及與該控制系統共同雙重化,具有自我診斷功能的另一個控制系統,其中,上述兩控制系統的一方作為執行控制對象的實際控制系統運作時,另一方係作為進行自我診斷的系統而運作,且進行實際控制的系統及進行自我診斷的系統係交互地切換,兩系統交互地進行自我診斷。
本發明的雙重系統控制裝置,係在上述兩控制系統的一方作為將控制對象進行實際控制的系統運作時,另一方係作為進行自我診斷的系統運作,進行實際控制的系統與進行自我診斷的系統係交互地切換,且兩系統係交互地進行自我診斷,故使得習知上只能以離線診斷的區域之自我診斷,變為可以在系統全體運作中實施。於是,由於自我診斷的範圍擴大,且可縮短自我診斷的週期,故可得到提升安全性水準的效果。
 (第一實施形態)
以下,依據圖式說明本發明的雙重系統控制裝置之第一實施形態。第1圖係本發明的雙重系統控制裝置的第一實施形態的雙重系統控制裝置概略構成圖。於第1圖,雙重系統控制裝置係藉由為控制系統的A系統以及為另一控制系統的B系統所雙重化構成。這些控制系統A及B,係分別具有進行演算處理等的CPU(中央處理器,central processing unit)1A,1B、連接於這些CPU的記憶體2A,2B、連接至各個CPU,將來自控制對象的輸入資訊傳達至這些CPU的輸入控制部3A,3B、以及控制輸出至輸出控制裝置7的輸出資訊的輸出控制部4A,4B。將這些輸入控制部3A及3B與輸出控制部4A及4B連接至透過系統切換指示訊號進行系統切換的切換裝置5,藉以將A系統或B系統的任一者的輸出資訊,經由輸出裝置7輸出至未圖示的控制對象,而來自控制對象的輸入資訊,則經由輸入裝置6輸入至A系統或B系統的任一者。
接著,說明關於雙重系統控制裝置的運作。第2圖係顯示本發明的雙重系統控制裝置的第一實施形態的運作概要概念圖。於第2圖,為方便起見,將A系統當作在時間序列的起點時進行實際控制的系統(以下,稱為實際控制系統),而將B系統當作在時間序列的起點時進行自我診斷的系統(以下,稱為自我診斷系統)以分別進行實際控制或自我診斷者。如第2圖所示,於第一實施形態,系統的切換係在同時間點進行。第3圖係詳細地顯示A、B兩系統的運作的流程圖。以下,使用第3圖說明之。且,與第2圖相同,為方便起見,將A系統當作在開始時的實際控制系統,而將B系統當作在開始時的自我診斷系統來說明。A系統在作為實際控制系統進行一連串的控制時(S01),B系統係做為自我診斷系統進行自我診斷(S03)。B系統在確認了本身系統的自我診斷的結束時(S05),發出系統切換指示(S06),進行系統切換(S02及S04)。另一方面,為實際控制系統的A系統在確認了系統切換的指示時(S07),進行切換(S02及S04),A系統係做為自我診斷系統開始自我診斷(S03),而B系統則作為實際控制系統開始實際控制(S01)。
如此,藉由實際控制系統及自我診斷系統交互地切換,A、B兩系統交互地進行自我診斷,藉此可達到將習知只能在離線執行的主記憶體等區域的自我診斷於系統整體運作中實施。於是,由於自我診斷的範圍擴大,且可縮短自我診斷的週期,故可得到安全性水準提升的效果。
(第二實施形態)
以下,依據圖式以相異於第一實施形態的部分為中心,說明本發明的雙重系統控制裝置的第二實施形態。第4圖係顯示第二實施形態的雙重系統控制裝置的概略構成圖。於第一實施形態的構成之外,具有連接於CPU 1A及1B之間的資料通訊線8。透過此資料通訊線,於A、B兩系統間,進行自我診斷系統的診斷狀態的參照。於此診斷狀態,自我診斷系統係在診斷結束的情形立起為「診斷結束」、而在診斷中的情形立起為「診斷中」的旗標(flag)。
接著,以相異於第一實施形態的部分為中心說明關於雙重系統控制裝置的運作。第5圖係顯示本發明的雙重系統控制裝置的第二實施形態的運作概要概念圖。與第2圖的第一相異點,係實際控制系統會參照自我診斷系統的狀態的點。第二相異點,係當自我診斷系統結束了自我診斷時,則成待機的點。第三相異點,係在實際控制系統結束了一連串的控制處理而參照自我診斷系統的狀態,且自我診斷系統變為待機的情形,進行系統切換的點。以下,使用第6圖詳細地說明這些相異點。第6圖,係本發明的雙重系統控制裝置的第二實施形態的流程圖。A系統係作為實際控制系統,開始一連串的控制處理(S01),B系統係作為自我診斷系統開始自我診斷(S03)。A系統係在結束了一連串的控制處理時,參照B系統的診斷狀態(S201),而在診斷中的情形,則不進行系統切換,繼續進行依序控制處理(S01)。另一方面,B系統係在自我診斷結束時,待機直到有系統切換指示為止(S203)。A系統係在結束了一連串的控制處理,且參照B系統的診斷狀態(S201),若為診斷結束,就發出系統切換指示(S202),進行系統切換(S02及S04)。其後,A系統係作為自我診斷系統,開始自我診斷(S03)。另一方面,B系統係接收了系統切換的指示,(S203),進行了系統切換(S02及S04)時,作為實際控制系統,開始實際控制(S01)。於是,與第一實施形態相同,反覆的進行系統切換,而A系統及B系統交互地進行自我診斷。
如此,儘管實際控制系統做了系統切換的指示,不但可達成期望的目的,更有可在不造成影響控制順序之下進行系統切換的效果。
(第三實施形態)
以下,依據圖式以相異於第二實施形態的部分為中心,說明本發明的雙重系統控制裝置的第三實施形態。第7圖係本發明的雙重系統控制裝置的第三實施形態的流程圖。與第6圖的相異點,係自我診斷系統透過自我診斷檢測到了異常的情形,則通知實際控制系統異常的點。亦即,作為自我診斷系統進行自我診斷的B系統,係在透過自我診斷檢測到了本身系統的異常時(S302),透過資料通訊線8,發出異常的通知至為實際控制系統的A系統(S303)。A系統雖會結束一連串的控制處理,並參照B系統的運作狀態,然在異常的情形則不會進行系統切換指示,而繼續進行依序控制處理(S01)。B系統係在異常解除時,再度進行自我診斷(S03)。B系統係在透過自我診斷確認正常後(S302),待機直到有系統切換指示為止(S203)。另一方面,A系統係結束了一連串的控制處理時,參照B系統的運作狀態(S301)。若B系統的動作為正常的情形,參照B系統的診斷狀態(S201),若為診斷結束,就發出系統切換指示(S202),進行了系統切換(S02及S04)後,作為自我診斷系統,開始自我診斷(S03)。待機的B系統係接收了系統切換的指示,(S203),進行系統切換(S02及S04)後,作為實際控制系統,開始實際控制(S01)。於是,儘管在於自我診斷系統有異常發生的情形,亦與第二實施形態相同,反覆的進行系統切換,而A系統及B系統交互地進行自我診斷。
透過如此的構成與運作,不但可達成期望的目的,更有即使於自我診斷系統發生故障,全體系統仍可繼續運作的效果。
(第四實施形態)
以下,依據圖式以相異於第三實施形態的部分為中心,說明本發明的雙重系統控制裝置的第四實施形態。第8圖係本發明的雙重系統控制裝置的第四實施形態的流程圖。與第7圖的相異點,係藉由中斷,自我診斷系統可進行系統切換指示的點。也就是,做為自我診斷系統進行自我診斷的B系統,係藉由中斷處理(S401),並行於自我診斷處理,透過資料通訊線8參照為實際控制系統的A系統的運作狀態(S402)。異常的情形,B系統係中止自我診斷處理,並發出系統切換指示(S403),進行了系統切換(S02及S04)後,作為實際控制系統,開始實際控制(S01)。在異常解除時,A系統係做為自我診斷系統,開始自我診斷(S03),經由與第三實施形態相同的步驟(S302、S203),進行了系統切換(S02及S04)後,作為實際控制系統,開始一連串的控制(S01)。於是,與第三實施形態相同,反覆的進行系統切換,而A系統及B系統交互地進行自我診斷。
透過如此的構成及運作,不但可達成期望的目的,更有即使於實際控制系統發生故障,全體系統仍可繼續運作的效果。
(第五實施形態)
以下,依據圖式以相異於第四實施形態的部分為中心,說明本發明的雙重系統控制裝置的第五實施形態。第9圖係本發明的雙重系統控制裝置的第五實施形態的流程圖。與第8圖的相異點,係實際控制系統將與控制對象所傳送接收的過去的輸入輸出資訊及現在的本身系統的資源資訊(以下,稱為控制資訊),在系統切換的前一刻,傳送至自我診斷系統的點。也就是,為實際控制系統的A系統,係在系統切換之前,透過資料通訊線8,將控制資訊傳送至B系統(S501),並發出系統切換指示(S202)。另一方面,為自我診斷系統的B系統係接收控制資訊(S502)。接收結束後,實施系統的切換(S02及S04),A系統係做為自我診斷系統,開始自我診斷(S03),B系統係作為實際控制系統開始實際控制(S01)。於是,與第四實施形態相同,反覆的進行系統切換,而A系統及B系統交互地進行自我診斷。
透過如此的構成及運作,不但可達成期望的目的,更有B系統作為與A系統相同內容的控制系統可繼續進行控制對象的控制的效果。
另外,本發明的實施形態,並不僅限定於上述的實施例,而無疑問的能在不脫離本發明的要旨的範圍內加上各種的變更。
1A、1B...CPU
2A、2B...記憶體
3A、3B...輸入控制部
4A、4B...輸出控制部
5...切換裝置
6...輸入裝置
7...輸出裝置
8...資料通訊線
第1圖係為本發明的雙重系統控制裝置的第一實施形態的概略構成圖。
第2圖係為顯示本發明的雙重系統控制裝置的第一實施形態的運作概要概念圖。
第3圖係為本發明的雙重系統控制裝置的第一實施形態的流程圖。
第4圖係為顯示本發明的雙重系統控制裝置的第二實施形態的雙重系統控制裝置之概略構成圖。
第5圖係為顯示本發明的雙重系統控制裝置的第二實施形態的運作概要概念圖。
第6圖係為本發明的雙重系統控制裝置的第二實施形態的流程圖。
第7圖係為本發明的雙重系統控制裝置的第三實施形態的流程圖。
第8圖係為本發明的雙重系統控制裝置的第四實施形態的流程圖。
第9圖係為本發明的雙重系統控制裝置的第五實施形態的流程圖。
第10圖係為顯示習知的雙重系統控制裝置的動作概要的概念圖。
1A、1B...CPU
2A、2B...記憶體
3A、3B...輸入控制部
4A、4B...輸出控制部
5...切換裝置
6...輸入裝置
7...輸出裝置

Claims (7)

  1. 一種雙重系統控制裝置,包括具有自我診斷功能的控制系統、以及與該控制系統共同雙重化,具有自我診斷功能的另一個控制系統,進行控制對象的控制的雙重化構成的控制系統,其中,上述兩控制系統的一方作為執行控制對象的實際控制系統運作時,另一方係作為進行自我診斷的系統而運作,並進行實際控制的系統及進行自我診斷的系統係交互地切換,兩系統交互地進行自我診斷。
  2. 如申請專利範圍第1項之雙重系統控制裝置,其中,上述進行自我診斷的系統,係在結束了自我診斷之時,進行系統切換。
  3. 如申請專利範圍第1項之雙重系統控制裝置,其中,於上述兩控制系統間,復包括傳送接收診斷狀態的資料通訊線,且進行上述實際控制的系統係透過上述資料通訊線參照進行上述自我診斷的系統的自我診斷狀態,並在進行上述實際控制的系統的一連串的控制結束,且,進行上述自我診斷的系統的自我診斷結束之時,進行系統切換。
  4. 如申請專利範圍第3項之雙重系統控制裝置,其中,進行上述自我診斷的系統,在於自我診斷發現異常之時,係將本身系統的異常透過上述資料通訊線通知至進行上述實際控制的系統,而接收了通知的進行上述實際控制的系統,係在確認了上述異常之時,不進行上述系統切換而繼續控制對象的控制。
  5. 如申請專利範圍第3項之雙重系統控制裝置,其中,進行上述自我診斷的系統,係透過上述資料通訊線參照進行上述實際控制的系統,而檢測到進行上述實際控制的系統的異常之時,係中止自我診斷,並進行上述系統切換。
  6. 如申請專利範圍第4項之雙重系統控制裝置,其中,進行上述自我診斷的系統,係透過上述資料通訊線參照進行上述實際控制的系統,而檢測到進行上述實際控制的系統的異常之時,係中止自我診斷,並進行上述系統切換。
  7. 如申請專利範圍第1項至第6項中任一項之雙重系統控制裝置,其中,於上述兩控制系統間,包括資料通訊線,其係接收傳送為了進行與上述控制對象之間的控制所傳送接收的,進行實際控制的系統的過去的輸入資訊以及進行實際控制的系統的現在的資源資訊;且透過該資訊通訊線,進行上述實際控制的系統,係將控制所必需的資訊,傳送至進行上述自我診斷的系統。
TW99117365A 2009-12-16 2010-05-31 雙重系統控制裝置 TWI434159B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009285257 2009-12-16

Publications (2)

Publication Number Publication Date
TW201122745A TW201122745A (en) 2011-07-01
TWI434159B true TWI434159B (zh) 2014-04-11

Family

ID=44166921

Family Applications (1)

Application Number Title Priority Date Filing Date
TW99117365A TWI434159B (zh) 2009-12-16 2010-05-31 雙重系統控制裝置

Country Status (4)

Country Link
JP (1) JPWO2011074147A1 (zh)
CN (1) CN102656528A (zh)
TW (1) TWI434159B (zh)
WO (1) WO2011074147A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103987609B (zh) 2011-12-12 2016-08-24 三菱电机株式会社 列车信息管理装置以及列车信息管理方法
JP6359192B2 (ja) * 2015-07-23 2018-07-18 三菱電機株式会社 二重化プロセス制御装置
CN108051998B (zh) * 2017-11-16 2020-11-13 中国航空工业集团公司西安飞机设计研究所 一种冗余系统同步与监控判决方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH03139736A (ja) * 1989-10-26 1991-06-13 Oki Electric Ind Co Ltd 情報処理システムにおける系切替方式
JPH06139088A (ja) * 1992-10-30 1994-05-20 Fujitsu Ltd 2重化プロセッサシステム
JPH1115502A (ja) * 1997-06-24 1999-01-22 Mitsubishi Electric Corp ディジタル制御装置
EP1288757A1 (de) * 2001-08-07 2003-03-05 Siemens Aktiengesellschaft Verfahren und Prozessleitsystem zum Betrieb einer technischen Anlage
JP2005285018A (ja) * 2004-03-30 2005-10-13 Fuji Electric Systems Co Ltd 2重化コントローラシステム、その稼動/待機切換え方法
JP4776374B2 (ja) * 2005-12-27 2011-09-21 株式会社東芝 二重化監視制御システム、及び同システムの冗長化切替え方法

Also Published As

Publication number Publication date
JPWO2011074147A1 (ja) 2013-04-25
CN102656528A (zh) 2012-09-05
WO2011074147A1 (ja) 2011-06-23
TW201122745A (en) 2011-07-01

Similar Documents

Publication Publication Date Title
JP5554292B2 (ja) 二重化制御装置
CN104079454A (zh) 一种设备异常检测方法和设备
TWI434159B (zh) 雙重系統控制裝置
JP2019128638A (ja) 二重化制御システム
JP2011186664A (ja) バックアップシステム
JP2001060160A (ja) 制御装置のcpu二重化システム
WO2016157507A1 (ja) 冗長化システム及び通信ユニット
JP5319499B2 (ja) 多重化制御装置
US10089200B2 (en) Computer apparatus and computer mechanism
JP6089766B2 (ja) 情報処理システム、及び情報処理装置の障害処理方法
JP6654662B2 (ja) サーバ装置およびサーバシステム
JP2013254333A (ja) 多重系制御システム及びその制御方法
JP2015106226A (ja) 二重化システム
JP2017220842A (ja) 二重化切替システム
JP6274947B2 (ja) 車載制御装置のマイクロプロセッサの異常診断方法
JP2020112903A (ja) 動作検証プログラム、動作同期方法及び異常検出装置
JP5924616B2 (ja) 冗長化無線制御システム
JP4788469B2 (ja) Cpu二重化システム
JP6710128B2 (ja) 通信装置及び通信装置の復旧方法
JP6312948B2 (ja) 制御システム及び制御ユニット
JP2006344023A (ja) 制御装置
WO2017047149A1 (ja) 入出力制御装置、入出力制御方法、および監視制御システム
JPS6362780B2 (zh)
CN113311310A (zh) 故障检测电路、故障检测系统及故障检测方法
JP2008310411A (ja) 二重化装置および障害時系切替方法

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees