WO2014006693A1

WO2014006693A1 - 故障影響評価システム及び評価方法

Info

Publication number: WO2014006693A1
Application number: PCT/JP2012/067006
Authority: WO
Inventors: 章彦兵頭; 勝　康夫; 康宏伊藤; 山田　哲也
Original assignee: 株式会社日立製作所
Priority date: 2012-07-03
Filing date: 2012-07-03
Publication date: 2014-01-09
Also published as: US20150121148A1; US9606902B2; JP5937209B2; JPWO2014006693A1

Abstract

　制御用コントローラの動作を模擬するコントローラシミュレータと、前記コントローラシミュレータに入力データを与える入力装置と、前記入力装置および前記コントローラシミュレータの実行を統合管理する、シミュレーションマネージャと、前記シミュレーションマネージャが参照する故障情報及びシミュレーション条件が格納されたデータベースとを含み、前記コントローラシミュレータは、前記制御用コントローラの制御プログラムと、解析ユニットとを保持しており、前記解析ユニットは、前記制御プログラム内の変数に伝播フラグを与え、該変数に故障入力値として各々所定の値を入れてビットを立て、該変数が前記制御プログラム内で演算に関与した都度に該ビットを伝搬させ、該ビットの伝搬状況を追跡して、その結果を出力する伝播フラグ追跡処理機能を有する、故障影響評価システム。

Description

故障影響評価システム及び評価方法

　本発明は、故障影響評価システムに係り、特に、発電プラントや鉄道、自動車、建設機械等の高信頼性が要求される制御コントローラにおいて、ハードウェア故障時の影響評価やフェールセーフ動作の検証を行うのに適した、故障影響評価システム及び評価方法に関するものである。

　本技術分野の背景技術として、特許文献１に記載の発明がある。特許文献１に記載のプラント制御用ソフトウェア検証ツールは、プラント２０を制御するために用いられる制御盤２１にインストールするプラント制御用ソフトウェア２と実際の制御盤２１を模擬しプラント制御用ソフトウェア２の健全性を検証する検証プログラム３とを記憶する補助記憶装置４と、補助記憶装置４から検証プログラム３を読み出して検証処理を実行する演算装置７と、演算装置７と人間とのインターフェイスである表示装置５と、同じくインターフェイスとして用いられる入力装置６と、演算結果およびソフトウェアを記録する記憶装置８と、演算結果を印刷する印刷装置９とから構成されている。さらに、上記特許文献１には、故障の影響評価方法も開示されている。すなわち、前記プラント制御用ソフトウェア検証ツールにおいて、前記演算手段が、前記制御装置及び機器の故障個所が指示された場合、指示された制御装置および機器にどのような範囲で影響がでるか影響評価を行う影響評価手段を具備したプラント制御用ソフトウェア検証ツール、が開示されている。

特開平１０－３０７６０９号公報

　制御コントローラ等の故障影響の評価において、システムの動作やデータが正常範囲内であっても、顕在化しない影響について制御プログラム内での伝搬状況を評価できることが必要とされる場合がある。例えば、自動車のエンジンコントローラとして既に開発され正常に動作することが確認されているあるシステム（プログラム）について、それをそのまま、あるいは一部のパラメータを変更することで、他の車種にも適用できるかを、シミュレーションで検証したい場合がある。但し、他の車種の動作環境は既に開発された車におけるシステムの動作環境と必ずしも同一とは限らない。机上で、故障影響についての評価しようとしても、条件が多すぎて、適切な評価を行うのは困難である。

　このような場合に、制御プログラムの検証ツールとしてのシミュレータにより、システムの動作環境を任意に変更し、顕在化しない故障影響の有無の確認を行い、新たな動作環境下での制御プログラムに対する影響を評価できることが、信頼性の高いシステムを開発するために必要となる。

　上記特許文献１の故障の影響評価方法においては、例えばシステムの動作やデータが異常であるなど顕在化する影響を評価できる。しかし、特許文献１には、影響が顕在化していない、すなわちシステムの動作やデータが正常範囲内にある場合おいて、制御プログラム内でどう故障入力が伝搬するかについての評価手段についての開示はない。

　本発明の目的は、システムの動作やデータが正常範囲内にあり故障が顕在化してないプログラム内で、どのように故障入力が伝搬するかを評価し、潜在的な故障影響まで解析することのできる故障影響評価システム及び評価方法を提供することにある。

　本発明の代表的なものの一例を示すと、次の通りである。故障影響評価システムは、制御用コントローラの動作を模擬するコントローラシミュレータと、前記コントローラシミュレータに入力データを与える入力装置と、前記入力装置および前記コントローラシミュレータの実行を統合管理するシミュレーションマネージャと、前記シミュレーションマネージャが参照する故障情報及びシミュレーション条件が格納されたデータベースとを含み、前記コントローラシミュレータは、前記制御用コントローラの制御プログラムと、解析ユニットとを保持しており、前記解析ユニットは、前記制御プログラム内の変数に伝播フラグを与え、該変数に故障入力値として各々所定の値を入れてビットを立て、該変数が前記制御プログラム内で演算に関与した都度に該ビットを伝搬させ、該ビットの伝搬状況を追跡して、その結果を出力する伝播フラグ追跡処理機能を有する、ことを特徴とする。

　本発明によれば、システムの動作やデータが正常範囲内にあり故障が顕在化してない制御プログラム内で、どのように故障入力が伝搬するか評価することが可能となり、潜在的な故障影響まで解析することで、より信頼性の高い制御システムを実現できる。

本発明の実施例１に係る、故障影響評価システムの構成図の例である。センサデータを読み込んで演算する制御プログラムの例である。図２の制御プログラムに解析プログラムを組み込んだ制御プログラムの例である。制御プログラムに解析プログラムを組込む、変数の型変換の例である。解析プログラムを組込む前後の変数定義の具体的な例である。故障データベースの具体的な例である。故障情報の定義の例である。シミュレーションマネージャの処理フローの例である。第1の故障値と第２の故障値の伝播の変化を示す、表示画面の例である。第1の故障時刻と第２の故障時刻による伝播の変化を示す、表示画面の例である。本発明の実施例４に係る、故障影響評価システムの構成図の例である。

　本発明の実施形態の一例を挙げるならば、
　制御プログラムを格納するＲＯＭと演算をするＣＰＵとデータを格納するＲＡＭと外部インターフェイスのＩ／Ｏを含む制御用コントローラに対し、前記コントローラの動作を模擬するシミュレータであって、前記制御プログラムに加えて、シミュレーションの実行結果の解析に必要なデータを生成する解析プログラムも前記シミュレータ内ＲＯＭに格納されたコントローラシミュレータと、
　前記コントローラシミュレータに入力データを与える入力装置と、
　前記入力装置および前記コントローラシミュレータの実行を統合管理するシミュレーションマネージャと、
　前記シミュレーションマネージャが参照する故障情報及びシミュレーション条件が格納されたデータベースと、
　前記シミュレータの出力データを表示する表示装置から構成される、故障影響評価システムであり、
　前記制御プログラム内の変数にビットを与え、特定の変数に所定の値を入れてビットを立て、このビットが前記制御プログラム内で演算に関与すると該ビットを伝搬させ、該ビットを出力する処理を含む前記解析プログラムを持つ、ことを特徴とする。

　本発明は、発電プラント、鉄道、自動車、建設機械等、様々な分野の制御コントローラに適用できる。また、サーバ、ストレージ等ＩＴ機器インフラにも適用できる。
　以下、本発明の実施例について図面を用いて説明する。

　本発明の実施例について、図１～図８を参照しながら説明する。
　図１は、本発明を実施するための形態にかかる故障影響評価システム１００の構成図の例である。故障影響評価システム１００は、コントローラシミュレータ１０１と、入力装置１０９と、この入力装置及びコントローラシミュレータの実行を統合管理するシミュレーションマネージャ１１０と、表示装置１１２を備えている。コントローラシミュレータ１０１は、実機を制御する制御用コントローラ（図示略）の動作を模擬するシミュレータである。入力装置１０９は、実機のアクチュエータやセンサを模擬しており、コントローラシミュレータ１０１からの指令に基づき、コントローラシミュレータ１０１に対する外部入力を生成する。

　故障影響評価システム１００は、例えば、コントローラシミュレータ１０１をサーバで構成し、他の機器は、通信ネットワークでサーバに接続することで、実現される。故障影響評価システム１００を、サーバや端末を含む広域のネットワーク分散システムとして構成しても良い。

　なお、コントローラシミュレータにより動作を模擬される制御用コントローラは、例を挙げるならば、自動車のエンジンコントローラであり、入力装置１０９により動作を模擬されるハードウェアはエンジンの絞り弁の開度を制御するモータや角度を検知するセンサ等である。制御用コントローラは少なくとも、制御プログラムを格納するＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）と、演算をするＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）と、データを格納するＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）と、外部インターフェイスのＩ／Ｏ（Ｉｎｐｕｔ　Ｏｕｔｐｕｔ　Ｉｎｔｅｒｆａｃｅ）を含んでいる。従って、コントローラシミュレータ１０１も、少なくとも、上記制御プログラム１０６及び解析プログラム１０７を格納するＲＯＭ１０２と、制御プログラム１０６に従って演算を行うＣＰＵ１０３と、演算結果等のデータを格納するＲＡＭ１０４と、例えばセンサのアナログデータやデジタル機器からのデジタルデータなどの外部入力をコントローラに取り込むインターフェイスとなるＩ／Ｏ１０５とを備えている。解析プログラム（解析ユニット）１０７は、シミュレーションの実行結果の解析に必要なデータを生成するものである。すなわち、解析プログラム（解析ユニット）１０７は、制御プログラム１０６内の特定若しくは全ての変数に各々所定の値（第１の値、第２の値、―）を入れて伝播フラグを立て、制御プログラム内で上記変数が演算に関与するとこの伝播フラグを伝搬元から順次伝搬させ、その伝播状況を出力する伝播フラグ追跡処理機能を有する。これにより、制御プログラム内での特定の変数の伝搬状況を追跡することができる。解析プログラムは、さらに、上記伝播フラグに加えて、伝搬回数や伝搬時刻、伝搬元や伝搬先など伝搬経路の情報などを含むビット列を識別子として上記変数に与える処理機能も備えている。

　ＲＡＭ１０４には、シミュレーション実行に係る各種データ１１４や、シミュレーション結果の出力データ１０８が保持される。

　Ｉ／Ｏ１０５は入力装置１０９と接続されており、シミュレーションマネージャ１１０からの指令をトリガとして、入力装置１０９とコントローラシミュレータ１０１の間で、同期通信および外部入力の取り込み処理を行いながら、シミュレーションの実行を進めることができる。

　入力装置１０９は、ハードウェア（アクチュエータ，センサ，回路等の実機）を模擬しており、ＣＰＵ１０３によるシミュレーションの実行に伴い、実機の応答に相当するシミュレートされた値を出力する。

　シミュレーションマネージャ１１０には、ユーザ入力端末１１３から、例えば動作環境などの解析条件が入力される。また、シミュレーションマネージャ１１０は、故障状態のシミュレーションに必要な故障情報及びシミュレーション条件が保存された故障データベース１１１にアクセスすることができる。シミュレーションマネージャ１１０は、これらの情報に基づいて、入力装置１０９へ故障値を与えて故障影響をシミュレーションすることも可能である。シミュレーションマネージャ１１０は、さらに、コントローラシミュレータ１０１のＲＯＭ１０２に格納された解析プログラム１０７を介して、シミュレーション条件を指示する機能や、シミュレーション結果の出力データ１０８の内容を指示する機能も有している。表示装置１１２は、出力データ１０８の内容を可視化し画面に表示するための画像処理機能を備えている。このようして、実行されたシミュレーション結果の出力データ１０８は、表示装置１１２によってグラフ等の視覚的に確認できる形で表示できる。ユーザは、シミュレーションマネージャ１１０を操作することで、故障影響のシミュレーション結果をモニターすることができる。

　なお、入力装置１０９及びシミュレーションマネージャ１１０は、例えば、コントローラシミュレータ１０１と同様に、コンピュータとその上で動作するプログラムとによって実現される。

　ここで、図２と図３を用いて、制御プログラム１０６と解析プログラム１０７の具体的な構成例について説明する。

　図２は、図１のＲＯＭ１０２に格納される各種の制御プログラムの１つの例であり、センサデータを読み込んで演算する制御プログラムの例である。図２には、制御プログラムのメインルーチンと、メインルーチンから呼び出される演算処理についてのプログラム記述例が示されている。記述内容は、整数型の変数Ｘ１、Ｘ２にセンサからの入力値（変数ａ，ｂ）を読み込んで代入し、その和をサブルーチンの演算処理ａｄｄ（）を用いて和を求め、変数Ｙに代入するという処理の流れになっている。

　この一連の処理を行う解析対象の（原）制御プログラム（図２）に対して、シミュレーションマネージャ１１０により、解析プログラム１０７を組み込んだ場合の（解析用）制御プログラムの記述例が、図３に示されている。
　図３に破線で示した領域が、新たに組み込まれた部分である。図３の制御プログラムにおいて、これらの新たに追加したプログラム部分をまとめて解析プログラム１０７とよぶことにする。図３の（解析用）制御プログラムでは、まず、図２の（原）制御プログラムにはなかった新たなデータ配列＿ｐａｃｋｅｔが構造体（ｓｔｒｕｃｔ）として定義されている。この構造体には、整数型の変数ｖａｌ及びｂｏｏｌ型の変数ｆｌｇなど、複数の情報を含んでよい。そこで、図２におけるｉｎｔ型変数Ｘ１、Ｘ２への代入値は＿ｐａｃｋｅｔ内のｉｎｔ型変数ｖａｌに代入するように変更する。ここで、サブルーチンの演算処理ａｄｄ（）には変更を加える必要はない。

　さらに、＿ｐａｃｋｅｔ内のｂｏｏｌ型変数ｆｌｇは、例えば、初期値をfalseとしておき、センサ入力の伝搬を追跡できるように、演算に関与したすべての変数において其々のｆｌｇをｔｒｕｅとすると定める（以下、伝播フラグと呼ぶ）。ただし、演算への関与に加えて他の条件も組み合わせた複雑な伝播条件の伝播フラグを設定してもよい。例えば、演算に関与＆＆変数値がＸ以下など。

　なお、伝播フラグを設定する変数には、関数の戻り値や、ＣＰＵレジスタの設定値等も含むものとする。

　このように、解析プログラムによる故障入力値にも（基本）制御プログラム内の変数と同じデータ型（＿ｐａｃｋｅｔ）を使いたいがために、故障入力値の全てに対しｔｒｕｅとなる伝播トリガの論理変数を、伝播フラグとは別個に使用する。伝播フラグはプログラム内の全ての変数、若しくは特定の変数に対して使用し、伝搬の有無でｔｒｕｅかｆａｌｓｅとなる。そうすることで、例えば図３に示されたように、「Ｙ．ｆｌｇ＝（Ｘ１．ｆｌｇ　｜　Ｘ２．ｆｌｇ）」等の論理演算やビット演算によって入力データの伝搬を追跡することが可能となる。つまり、変数のｆｌｇ（伝播フラグ）がｔｒｕｅかｆａｌｓｅであるかによってその変数が伝搬したか否かわかる。
　例えば、自動車のエンジンコントローラとして既に開発されたプログラムを、他の車種にも適用できるかを、シミュレーションで検証したい場合に、一部若しくはすべての変数について評価することで、そのプログラムの潜在的な故障の影響を解析する。一方、同じ車種で特定アクチュエータの仕様が若干異なる他の車にも適用できるかをシミュレーションで検証したい場合には、異なる仕様の機能に関係する一部の変数について評価することで、そのプログラムの潜在的な故障の影響を解析する。このような解析結果を基に、上記プログラムを、他の車あるいは他の車種にも適用できるかが判定できることができる。開発途中のプログラムで有っても、同様に、故障の影響の無いことが確認された範囲で、他の車あるいは他の車種にも適用できるかの評価を行うことができる。

　図４Ａは、（原）制御プログラム（４００）に解析プログラムを組込んで（４１０）、（解析用）制御プログラムとする、変数の型変換の具体的な例であり、図４Ｂの４５０は、上記解析プログラムを組込む前の元の変数定義の例、４６０は組込んだ後（変換後）の変数定義の例である。ここで、元の制御プログラム（４００）で定義されたｉｎｔ型変数Ｘ１，・・・，Ｘｎを例とし、Ｘ１＝１０，Ｘｎ＝５の値が変数として代入されているとする。これらの変数に対して、解析プログラムを組み込む場合（４１０）、ｉｎｔ型変数は構造体＿ｐａｃｋｅｔに変換することになる。図４Ｂに示したように、＿ｐａｃｋｅｔは、元々有していた数値（ｖａｌ）の情報に加えて、あるデータが伝搬したか否かを示す伝搬フラグ（ｆｌｇ）、伝搬元のＩＤすなわち伝搬元の変数や関数の識別子（ｓｒｃ）、伝搬先のＩＤすなわち伝搬先の変数や関数の識別子（ｄｓｔ）、伝搬した時刻（ｔｉｍｅ）やその他の情報を加えることができる。その他、外部Ｉ／Ｏの定義等も追加することができる。実際に伝播が生じた場合、Ｘｎの設定例のように伝搬フラグがｆａｌｓｅからｔｒｕｅとなり、伝搬元及び伝搬先の識別子、伝搬時刻に各々数値が代入される。なお、これらの数値の代入の処理は、解析プログラム１０７の機能に含めておく。

　図５Ａの５００は、故障データベース１１１の具体的な例、図５Ｂの５１０は故障情報の定義の例を示している。ここでは、故障情報の定義においても図４Ａ，図４Ｂで用いたのと同様の構造体＿ｐａｃｋｅｔを用いることもできる。ただし、それぞれの数値の意味は以下に述べるとおりである。まず、ｖａｌは故障値を表し、ｆｌｇ（伝播トリガ）は伝搬の引き金とするものですべての故障入力（Ｆ１～Ｆｎ）に対してｔｕｒｅと設定しておく。制御プログラム内でこれらの故障値を演算などで使用した場合に、その演算結果には伝搬フラグ（ｆｌｇ）がｔｒｕｅとなって、故障値の影響の伝搬を追跡することができる。また、故障ＩＤ（ｓｒｃ）は各故障（Ｆ１～Ｆｎ）に個別（１～ｎ）の識別子とし、入力先ＩＤ（ｄｓｔ）は入力先の識別子を示すとし、つまりコントローラシミュレータ１０１のＩ／Ｏ１０５に入力する際の入力ポートやＡ／Ｄコンバータなどを指定するものである。注入時刻（ｔｉｍｅ）は、各故障入力（Ｆ１～Ｆｎ）の故障値（ｖａｌ）をＩ／Ｏ１０５へ送信する時刻を表している。故障情報の定義には、センサ等の外部Ｉ／Ｏに関する定義等も追加することができる。

　図６は、シミュレーションを実行するときのシミュレーションマネージャ１１０の処理フローの例である。シミュレーションが開始されると、まず、故障データベースに定義された故障情報５１０をすべて読み込む（Ｐ６０１）。そして、すべての登録されている故障（Ｆ１～Ｆｎ）について、故障を注入される時刻（ｔｉｍｅ）の順に並べる（Ｐ６０２）。上記の前処理が終了すると、コントローラシミュレータ１０１へシミュレーションの実行開始指令を出す（Ｐ６０３）。このときシミュレーション時間（ｓｉｍ＿ｔｉｍｅ）と注入順に並べられた故障の識別子（ｋ＝故障ＩＤ）を０に初期化しておく。つぎに、現在のシミュレーション時間が終了時刻か否かを判定し（Ｐ６０４）、終了時刻と一致すればシミュレーションを終了、終了時刻でなければ、注入順序がもっとも早い故障（Ｆｋ）に対して、注入時刻か否かの判定をおこなう（Ｐ６０５）。ここで、注入時刻ではない場合、シミュレーション時刻（ｓｉｍ＿ｔｉｍｅ）をインクリメントし更新する（Ｐ６０８）。もし、注入時刻（ｔｉｍｅ）であった場合は、入力装置１０９へ故障Ｆｋを送信し、次の注入順序の故障を読み込み（Ｐ６０６）、シミュレーション時刻を更新する（Ｐ６０８）。シミュレーションマネージャ１１０は、上記の一連の処理を実行することによって、故障データベースに格納された故障情報５１０を適切なタイミングで入力装置１０９へ送信することができる。なお、故障Ｆｋの送信状態は記録され、表示等のために適宜出力される（Ｐ６０７）。

　一方、注入時刻毎に故障Ｆｋの入力を受けた入力装置１０９は、それに応答する出力を解析プログラム１０７に出力する。制御プログラム１０６内では、入力装置１０９からの故障Ｆｋに応答する出力を受けて、シミュレーションの演算処理が実行されると共に、伝播トリガや伝播フラグを利用した伝播フラグ追跡処理がなされ、それらの結果は出力データ１０８としてメモリに蓄積され・出力される。すなわち、出力データ１０８には、シミュレーション結果と共に、伝播フラグ追跡処理の結果も併せて保持される。

　図７において、表示装置１１２に表示した画面７００は、解析対象の制御プログラムに２つの故障（第１の値、第２の値）を入力してそれぞれシミュレーションを実行した結果を表しており、２つの故障の伝搬の違いが示されている。

　まず、画面の最上段に表示された伝搬結果７１０は、入力ポートＩ／Ｏ１に正常状態（Ｎｏｍｉｎａｌ）の入力値、すなわち、設計値等のように予め与えられた前提条件を満たす範囲のパラメータ等を与えた場合の伝搬状態である。ここでは、制御プログラム内の特定の変数Ｘ１にビット（伝播フラグ）を与え、この特定の変数Ｘ１に数値値（Ｖａｌｕ）を入れてビット（伝播フラグ）を立てたものである。解析対象の制御プログラムは、正常状態の入力値に対してシステムの動作やデータが正常範囲内にあり、故障が顕在化していないものとする。

　数値値（Ｖａｌｕ）が正常状態のときは、このビット（伝播フラグ）を立てた変数Ｘ１が、制御プログラム内の関数Ｆｕｎｃ１，Ｆｕｎｃ２で演算に関与して、変数Ｙ１，Ｘ２，Ｙ３と変化しながら、Ｉ／Ｏ１からＩ／Ｏ２へと伝搬する。また、変数Ｘ１は、制御プログラム内の関数Ｆｕｎｃ１，Ｆｕｎｃ３で演算に関与したことで、変数Ｙ２，Ｘ３と変化しながら、順次伝搬している。この正常状態のデータは、あらかじめ参考情報として求め、記録しておく。

　次に、画面の中段に表示されている伝搬結果７２０は、伝搬元（ＩＤ＝１）に第１の値すなわち故障値（ｖａｌ）＝５０，故障ＩＤ（ｓｒｃ）＝１，故障注入時刻（ｔｉｍｅ）＝１０を与えた場合のものである。そして、画面の一番下に表示されている伝搬結果７３０は、伝搬元（ＩＤ＝２）に第２の値すなわち故障値（ｖａｌ）＝１００を与えた場合のものである。注入時刻は第１の値に対して変えていない。第１の値及び第２の値は、予め与えられた前提条件を満たさないパラメータ等である。これらの３つの伝搬状況をグラフ化して１画面上に表示することによって、伝搬経路の変化や到達範囲の変化を確認することができる。例えば、画面の中段に表示された例は、故障情報として第１の値を与えたとき、変数Ｘ１が、関数Ｆｕｎｃ１の変数Ｙ１からＦｕｎｃ２へ変数Ｘ２として伝搬すべきところ、太枠で示したように、Ｆｕｎｃ５の変数Ｘ２として伝搬し、Ｉ／Ｏ２へは伝搬してないことがわかる。一方、変数Ｘ１が関数Ｆｕｎｃ１の変数Ｙ２からＦｕｎｃ３へ変数Ｘ３として伝搬している。このように、故障情報によって、制御プログラム内での伝搬に影響が表れていることがわかる。換言すると、パラメータを正常状態の値から故障値（第１の値）に変更すると、潜在的な故障影響のあることがわかる。但し、上記第１の値に基づく伝搬の影響が直ちに「故障である」と結論付けることはできない、例えば、変数Ｘ１の、関数Ｆｕｎｃ１の変数Ｙ１、Ｆｕｎｃ５の変数Ｘ２への伝搬は、予め想定はしていなかったパラメータに関して異なる伝搬状態が現れたけれども、その条件下では正しい応答であることも有りうる。何れの場合でも、正常状態の参考情報とは異なる伝搬結果が得られたとき、その状態を太枠その他の形態で出力表示し、ユーザの注意を喚起するのが望ましい。

　さらに、画面の下段に表示された例は、故障情報として第２の値を与えたとき、変数Ｘ１が、関数Ｆｕｎｃ１の変数Ｙ１から関数Ｆｕｎｃ２へと伝搬すべきところ、太枠で示したように、Ｆｕｎｃ６の変数Ｘ４として伝搬し、Ｉ／Ｏ２へは伝搬してないことがわかる。また、変数Ｘ１は、変数Ｙ２からＦｕｎｃ６に変数Ｘ５として伝搬している。すなわち、パラメータを正常状態の値から第２の値に変更すると、潜在的な故障影響のあることがわかる。また、伝搬結果７２０と伝搬結果７３０は、故障入力の値の差により、故障の影響に差異があることを示している。

　このように、入力ポートＩ／Ｏ１に正常状態とは異なる第１、第２の値を故障情報として与えた場合に、故障入力がどのように伝搬するか評価し、それを画面で確認することが可能となり、潜在的な故障影響まで解析することができる。

　これにより、入力ポートＩ／Ｏ１に正常状態（Ｎｏｍｉｎａｌ）の入力値を与えた場合はシステムの動作やデータが正常範囲内にありエラーが顕在化していない場合であっても、正常範囲を超えた故障入力が制御プログラム内でどのように伝搬するかを評価することで、潜在的な故障影響を解析することができ、信頼性の高い制御システムを実現できる。

　例えば、既に開発された自動車のエンジンコントローラ用のプログラムを、同じ車種で総排気量等の仕様が若干異なる他の車、あるいは他の車種にも適用できるかを、シミュレーションで検証したい場合に、変更された前提条件のパラメータを入力し、評価することで、そのプログラムの潜在的な故障の影響を解析できる。この解析結果を基に、上記プログラムを、他の車あるいは他の車種にも適用して問題は無いかを判定できる。あるいはまた、開発中のプログラムについて、前提条件として想定していない範囲のパラメータを入力し、評価することで、そのプログラムの潜在的な故障の影響を解析し、必要な場合、対策を講ずることもできる。例えば、パラメータを大きく変えたことにより、車のアクセルやブレーキの応答性が低下し、前提条件を満たさなくなる等、潜在的な故障の影響を把握できる。

　図８の例も図７の例と同様に、２つの故障を入力したシミュレーション結果の例を表示した表示装置１１２の画面８００を示している。ここでは、故障値（ｖａｌ）は同一値で注入する時刻（ｔｉｍｅ）がそれぞれ異なる場合を示している。画面の最上段に表示された伝搬結果８１０は、入力ポートＩ／Ｏ１に正常状態（Ｎｏｍｉｎａｌ）の入力値を与えた場合の、Ｆｕｎｃ１，Ｆｕｎｃ２，Ｆｕｎｃ３，Ｉ／Ｏ２間の伝搬状態である。画面の中段に表示された伝搬結果８２０は、故障情報として、変数ｖａｌ＝５０、ＩＤ＝１、ｔｉｍｅ＝１０の入力値を与えた場合であり、入力ポートＩ／Ｏ１から故障入力（変数Ｘ１）がＦｕｎｃ１を経てＦｕｎｃ３に伝搬するものの、太枠で示したように変数Ｘ２（Ｆｕｎｃ５）に故障の影響が認められ，Ｆｕｎｃ５からＩ／Ｏ２へは故障入力が伝搬しないことを示している。さらに、画面の下段に表示された伝搬結果８３０は、故障情報として、変数ｖａｌ＝５０、ＩＤ＝２、ｔｉｍｅ＝５０の入力値を与えた場合で、変数Ｙ２、Ｘ２に故障の影響が認められることを示している。伝搬結果８２０と伝搬結果８３０は、故障入力のタイミングの差により、故障の影響に差異があることを示している。例えば、アクチュエータやセンサの応答特性が、前提条件として想定した範囲を超えるとき、どのような影響が生ずるかを評価できる。

　すなわち、図８の場合も、図７の例と同様に、入力ポートＩ／Ｏ１に正常状態（Ｎｏｍｉｎａｌ）の入力値を与えた場合はシステムの動作やデータが正常範囲内にある場合において、正常範囲を超えた故障入力を与えた場合の伝搬経路の変化や到達範囲に変化を生じることがあり、この状況を画面でユーザが確認することで、潜在的な故障影響を解析することができる。

　このように、本実施例によれば、システムの動作やデータが正常範囲内にあり故障が顕在化してない制御プログラム内で、どのように故障入力が伝搬するかを詳細に評価することが可能となり、潜在的な故障影響まで解析することで、より信頼性の高い制御システムを実現できる。

　シミュレーションの検証対象となるプログラムは、通常、そのサイズがかなり大きく、従って、故障条件として与えるべき変数やそれに関係する関数の数も当然多くなる。そこで、シミュレーションを実行した結果を、より分かり易く表示装置１１２に出力するために、実施例１で述べたシミュレーションマネージャ１１０に、条件判定を行うフィルタリング機能を持たせても良い。このフィルタリング機能は、出力データ１０８に関して、各変数及び関数への伝播有無や、各変数に事前に設定した許容値・閾値の範囲内か否かなどの条件判定を行い、その結果によって、表示装置１１２への伝播経路の表示可否を選別する。この解析結果は画面で確認することもできる。例えば、条件判定の結果、図７の伝搬結果７２０は許容値内にあり、伝搬結果７３０が許容値外の場合、伝搬結果７３０を「潜在的な故障影響有り」として表示し、伝搬結果７２０については表示しないようにする。これによって、ユーザが検討すべき対象が絞られるので、より高度な伝播状態の解析が可能となる。また、解析の自動化・効率化を図ることができる。

　本発明の他の実施例として、実施例１で述べたコントローラシミュレータ１０１自体に、故障模擬機能及びコントローラシミュレータの実行を統合管理するシミュレーションマネージャの機能を含ませ、さらに、コントローラシミュレータ１０１が故障データベース１１１や表示装置１１２も保有するようにしてもよい。これにより、前処理（図６のＰ６０１～Ｐ６０３）等のための、シミュレーションマネージャとコントローラシミュレータ間の通信が不要になり、オーバーヘッドを抑制できる。

　本発明は、実施例１で述べた制御プログラムのシミュレータ（マイコンシミュレータ）のみならず、実機（アクチュエータ）相当のハードウエア（実施例１の入力装置）を模擬するシミュレータに対しても適用可能である。例えば、自動車のエンジン制御用のコントローラに対応するマイコンシミュレータと、このエンジン制御用のコントローラで制御されるエンジンのモデルのシミュレータ（メカシミュレータ）の双方に対して適用可能である。

　図９に、本発明の実施例４に係る、故障影響評価システムの構成例を示す。故障影響評価システム９００は、装置モデルのシミュレータ９１０とマイコンシミュレータ９２０を備えている。装置モデルのシミュレータ９１０は、機械系・電子系のシミュレータ９１１と、解析プログラム９１２とを有している。また、マイコンシミュレータ９２０は、実施例１と同様な構成の制御プログラム９２１と解析プログラム９２２とを有している。

　本実施例でも、実施例１と同様に、解析プログラム９１２により実機モデルのシミュレータ内の変数等に故障情報を注入することで、実機モデルのシミュレータ内でどう故障入力が伝搬するか評価することが可能となる。すなわち、正常状態の入力値を与えた場合はシステムの動作やデータが正常範囲内にある場合において、制御プログラムのみならず実機モデルの潜在的な故障影響まで解析することで、より信頼性の高いシステムを実現できる。

　例えば、自動車のエンジン制御用に開発されたアクチュエータが、同じメーカーの同じ車種で仕様が若干異なる他の車にも適用できるかを、シミュレーションで検証したい場合に、制御プログラムのみならずそのアクチュエータの潜在的な故障影響まで解析することができる。

　このように、本実施例によれば、システムの動作やデータが正常範囲内にあり故障が顕在化してない、制御プログラム及び実機モデルのシミュレータ内で、どのように故障入力が伝搬するか評価することが可能となり、潜在的な故障影響まで解析することで、より信頼性の高い制御システムを実現できる。

１００　故障影響評価システム
１０１　コントローラシミュレータ
１０２　ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）
１０３　ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）
１０４　ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）
１０５　Ｉ／Ｏ（Ｉｎｐｕｔ　Ｏｕｔｐｕｔ　Ｉｎｔｅｒｆａｃｅ）
１０６　制御プログラム
１０７　解析プログラム
１０８　出力データ
１０９　入力装置
１１０　シミュレーションマネージャ
１１１　故障データベース
１１２　表示装置
７００　表示装置の画面
８００　表示装置の画面
９００　故障影響評価システム。

Claims

　制御用コントローラの動作を模擬するコントローラシミュレータと、
　前記コントローラシミュレータに入力データを与える入力装置と、
　前記入力装置および前記コントローラシミュレータの実行を統合管理するシミュレーションマネージャと、
　前記シミュレーションマネージャが参照する故障情報及びシミュレーション条件が格納されたデータベースとを含み、
　前記コントローラシミュレータは、
　前記制御用コントローラの制御プログラムと、解析ユニットとを保持しており、
　前記解析ユニットは、前記制御プログラム内の変数に伝播フラグを与え、該変数に故障入力値として各々所定の値を入れてビットを立て、該変数が前記制御プログラム内で演算に関与した都度に該ビットを伝搬させ、該ビットの伝搬状況を追跡して、その結果を出力する伝播フラグ追跡処理機能を有する
ことを特徴とする故障影響評価システム。
　請求項１において、
　前記解析ユニットが、前記ビットに加えて、伝搬回数や伝搬時刻、伝搬元や伝搬先など伝搬経路の情報などを含むビット列を識別子として前記変数に与える機能を有する
ことを特徴とする故障影響評価システム。
　請求項２において、
　前記解析ユニットが、前記ビットに加えて、前記伝播フラグとは別個の論理変数である伝播トリガを前記変数に与える機能を有し、
　前記伝播トリガは、前記故障入力値の全てに対しｔｒｕｅとなり、
　前記伝播フラグは、前記制御プログラム内の少なくとも１つの変数に対して使用され、前記伝搬の有無でｔｒｕｅかｆａｌｓｅとなる
ことを特徴とする故障影響評価システム。
　請求項１において、
　前記解析ユニットが、前記各変数及び前記関数への伝播有無や、前記各変数に事前に設定した許容値・閾値の範囲内か否かなどの条件判定を行い、前記ビットを伝搬させるか否かを決定するフィルタリング機能を有する
ことを特徴とする故障影響評価システム。
　請求項２において、
　前記入力装置は、前記制御用コントローラの制御対象である実機の動作を模擬するためのハードウェアやソフウェアであり、
　前記コントローラシミュレータからの指令に基づき、前記コントローラシミュレータに対する外部入力を生成する
ことを特徴とする故障影響評価システム。
　請求項５において、
　前記データベースは、試験する故障値と入力先I/Oと入力時刻の情報を含み、
　前記シミュレーションマネージャが、前記データベースを参照し、前記入力装置への指令内容を決定する
ことを特徴とする故障影響評価システム
　請求項６において、
　前記シミュレーションマネージャが、前記データベースに加えて、前記コントローラシミュレータの実行状態にもとづくランタイムでの条件判定により、
　前記入力装置への前記故障入力値の入力のタイミングを決定する
ことを特徴とする故障影響評価システム
　請求項２において、
　前記シミュレーションマネージャで制御され、前記コントローラシミュレータの出力データを表示する表示装置を備えており、
　該表示装置は、前記特定の変数に関して、前記制御プログラム内における前記演算に関与した各関数と、該演算に伴う前記ビットの伝播状況とを、画面に表示する機能を有する
ことを特徴とする故障影響評価システム。
　請求項７において、
　前記入力装置から入力された第１の値と第２の値で前記コントローラシミュレータにおけるシミュレーションを実行し、該シミュレーションの結果として、前記ビットの伝搬経路の違いを前記表示装置に表示する
ことを特徴とする故障影響評価システム。
　請求項４において、
　前記シミュレーションマネージャで制御され、前記コントローラシミュレータの出力データを表示する表示装置を備えており、
　前記シミュレーションマネージャにおいて、前記条件判定の結果によって、前記表示装置への前記変数の伝播経路の表示可否を選別する
ことを特徴とする故障影響評価システム。
　請求項１において、
　前記制御用コントローラは、
　制御プログラムを格納する第１のＲＯＭと、演算を実行する第１のＣＰＵと、データを格納する第１のＲＡＭと、外部インターフェイスの第１のＩ／Ｏを含み、
　該制御用コントローラの動作を模擬する前記コントローラシミュレータは、前記制御プログラム及び前記解析ユニットを構成する解析プログラムを格納する第２のＲＯＭと、前記制御プログラムに従って演算を行う第２のＣＰＵと、演算結果等のデータを格納する第２のＲＡＭと、外部入力を該コントローラに取り込むインターフェイスとなる第１のＩ／Ｏとを備えている
ことを特徴とする故障影響評価システム。
　請求項１において、
　前記コントローラシミュレータが、
　故障模擬機能及び前記シミュレーションマネージャの機能、前記故障データベース、及び前記表示装置を保有している
ことを特徴とする故障影響評価システム。
　制御用コントローラの動作を模擬するマイコンシミュレータと、
　前記制御用コントローラの制御対象であるアクチュエータの動作を模擬するメカシミュレータと、
　前記マイコンシミュレータ及び前記メカシミュレータに入力データを与える入力装置と、
　前記入力装置および前記マイコンシミュレータ及び前記メカシミュレータの実行を統合管理するシミュレーションマネージャと、
　前記シミュレーションマネージャが参照する故障情報及びシミュレーション条件が格納されたデータベースとを備え、
　前記マイコンシミュレータ及び前記メカシミュレータは、各々、
　制御プログラムと、解析ユニットとを保持しており、
　前記解析ユニットは、前記制御プログラム内の変数に伝播フラグを与え、該変数に故障入力値として各々所定の値を入れてビットを立て、該変数が前記制御プログラム内で演算に関与した都度に該ビットを伝搬させ、該ビットの伝搬状況を追跡して、その結果を出力する伝播フラグ追跡処理機能を有する
ことを特徴とする故障影響評価システム。
　故障影響評価システムを用いた評価方法であって、
　前記故障影響評価システムは、
　制御用コントローラの動作を模擬するコントローラシミュレータと、
　前記コントローラシミュレータに入力データを与える入力装置と、
　前記入力装置および前記コントローラシミュレータの実行を統合管理するシミュレーションマネージャと、
　前記シミュレーションマネージャが参照する故障情報及びシミュレーション条件が格納されたデータベースとを含み、
　前記コントローラシミュレータは、
　前記制御用コントローラの制御プログラムと、解析ユニットとを保持しており、
　前記制御プログラム内の変数に伝播フラグを与え、
　該変数に故障入力値として各々所定の値を入れてビットを立て、
　該変数が前記制御プログラム内で演算に関与した都度に該ビットを伝搬させ、該ビットの伝搬状況を追跡して、その結果を出力する
ことを特徴とする故障影響評価方法。
　請求項１３において、
　前記解析ユニットが、前記ビットに加えて、前記伝播フラグとは別個の論理変数である伝播トリガを前記変数に与える機能を有し、
　前記伝播トリガは、前記故障入力値の全てに対しｔｒｕｅとなり、
　前記伝播フラグは、前記制御プログラム内の少なくとも１つの変数に対して使用され、前記伝搬の有無でｔｒｕｅかｆａｌｓｅとなる
ことを特徴とする故障影響評価方法。
　請求項１３において、
　前記シミュレーションマネージャで制御され、前記コントローラシミュレータの出力データを表示する表示装置を備えており、
　前記入力装置から入力された第１の値と第２の値で前記コントローラシミュレータにおけるシミュレーションを実行し、該シミュレーションの結果として、前記ビットの伝搬経路の違いを前記表示装置に表示する
ことを特徴とする故障影響評価方法。