WO2021053853A1

WO2021053853A1 - 制御装置および制御方法

Info

Publication number: WO2021053853A1
Application number: PCT/JP2020/009061
Authority: WO
Inventors: 好博中谷
Original assignee: オムロン株式会社
Priority date: 2019-09-17
Filing date: 2020-03-04
Publication date: 2021-03-25
Also published as: JP2021047526A; EP4033313A4; US20220334548A1; CN114222954A; EP4033313A1; JP7268554B2

Abstract

制御装置において、ソフトエラーの処理に関する演算処理部の負荷を低減する。制御装置（１００）は、演算処理部（１０）と、プログラマブル回路部（２０）と、異常通知部（２６）と、を備え、プログラマブル回路部（２０）は、コンフィグレーションデータを格納する格納部（２１）と、格納部（２１）のソフトエラーを検出する異常検出部（２２）と、異常検出部（２２）が検出したソフトエラーの情報を記録する異常記録部（２４）と、を備え、異常通知部（２６）は、異常記録部（２４）に新規のソフトエラーの情報が記録されているか否かを判定し、新規のソフトエラーの情報が記録されていると判定した場合に、新規のソフトエラーの発生を演算処理部（１０）に通知する。

Description

制御装置および制御方法

　本発明は制御装置および制御方法に関する。

　生産現場で使用される機械や設備は、典型的には、プログラマブルコントローラ（Programmable Logic Controller；以下、ＰＬＣとも称す）などの制御装置によって制御される。典型的には、ユーザは、情報処理装置を用いて制御装置で実行される制御プログラムを作成する。このようなユーザによって自由に設計・作成されるプログラムをユーザプログラムとも称す。

　ＰＬＣは、中央処理装置（Central Processing Unit；以下、ＣＰＵとも称す）と、Ｉ／Ｏ（Input/Output）ユニットなどの機能ユニットとを含む。Ｉ／Ｏユニットは、外部のスイッチやセンサからの信号入力および外部のリレーやアクチュエータへの信号出力を行う。機能ユニットについては、ＦＰＧＡ（Field-programmable gate array）などのプログラマブル回路を用いて実現される場合がある。

　プログラマブル回路は、ユーザが独自に回路を構築できるメリットを有している。一方で、プログラマブル回路は、プログラマブル回路の内部に設けられたコンフィグレーションデータを格納するＣｏｎｆｉｇＲＡＭ（以下、ＣＲＡＭとも称す）の情報が放射線等により変更されるソフトエラーが発生する可能性があるデメリットを有している。特に、ＣＲＡＭとしてＳＲＡＭ（Static random access memory）を利用する場合、ソフトエラーが発生しやすい。

　ＣＲＡＭには、機能ユニットを構成している使用領域と、機能ユニットを構成していない未使用領域とが混在しており、ソフトエラーは、使用領域および未使用領域のいずれでも発生する可能性がある。使用領域でソフトエラーが発生した場合には、制御装置の制御に不具合が生じる可能性があるのに対し、未使用領域でソフトエラーが発生した場合には、制御装置の制御に不具合が生じる可能性が低い。そこで特許文献１には、ソフトエラーが発生した位置をマップ情報に基づいて判定し、ソフトエラーが発生した位置が機能部の未使用領域に含まれる場合には、運転を継続して不要な運転停止を防止できる制御装置が開示されている。

日本国公開特許公報「特開２０１８－１２８８２０号公報」

　しかしながら、上述のような従来技術では、一度ソフトエラーが発生すると、ＦＰＧＡ部が周期的にエラー検出を行う度に、プロセッサ部に割込通知が送信される。そのため、プロセッサ部はその度に通常の処理を中断し、ソフトエラーの解析を行う必要がある。この場合、数ｍｓ～数十ｍｓに１回という高頻度で割込処理が発生するため、プロセッサ部での制御周期に揺らぎが発生し、高精度な制御が難しくなるという問題がある。

　本発明の一態様は、制御装置において、ソフトエラーの処理に関する演算処理部の負荷を低減することを目的とする。

　上記の課題を解決するために、本発明の一側面に係る制御装置は、ユーザプログラムを実行可能な演算処理部と、前記演算処理部に接続され、機能部を構成するプログラマブル回路部と、異常通知部と、を備え、前記プログラマブル回路部は、前記機能部のコンフィグレーションデータを格納する格納部と、前記格納部のソフトエラーを検出する異常検出部と、前記異常検出部が検出した前記ソフトエラーの情報を記録する異常記録部と、を備え、前記異常通知部は、前記異常記録部に新規の前記ソフトエラーの情報が記録されているか否かを判定し、新規の前記ソフトエラーの情報が記録されていると判定した場合に、前記新規のソフトエラーの発生を前記演算処理部に通知する。

　本発明の一側面に係る制御装置の制御方法は、ユーザプログラムを実行可能な演算処理部と、前記演算処理部に接続され、機能部を構成するプログラマブル回路部と、を備える制御装置の制御方法であって、前記機能部のコンフィグレーションデータを格納する格納部のソフトエラーを検出する異常検出ステップと、前記異常検出ステップで検出した前記ソフトエラーの情報を記録する異常記録ステップと、前記異常記録ステップで新規の前記ソフトエラーの情報が記録されているか否かを判定し、新規の前記ソフトエラーの情報が記録されていると判定した場合に、前記新規のソフトエラーの発生を前記演算処理部に通知する異常通知ステップとを含む。

　本発明の一態様によれば、制御装置において、ソフトエラーの処理に関する演算処理部の負荷を低減することができる。

本発明の実施形態１に係る制御装置のハードウェア構成の一例を表すブロック図である。図１におけるＦＰＧＡ部およびプロセッサ部の構成例を示すブロック図である。図１に係る制御装置の制御方法の各ステップのタイミングを示す図である。図１に係る制御装置の制御方法を示すフローチャートである。本発明の実施形態２に係る制御装置において、ＦＰＧＡ部およびプロセッサ部の構成例を示すブロック図である。

　以下、本発明の一側面に係る実施の形態（以下、「本実施形態」とも表記する）を、図面に基づいて説明する。

　〔実施形態１〕
　§１　適用例
　図１は、実施形態１における制御装置１００のハードウェア構成の一例を表すブロック図である。まず、図１を用いて、本発明が適用される場面の一例について説明する。制御装置１００は、プロセッサ部（演算処理部）１０と、ＦＰＧＡ部（プログラマブル回路部）２０とを備える。プロセッサ部１０は、ユーザプログラムを実行することで、主に、制御対象の制御および動作に係る処理を行う。ＦＰＧＡ部２０は、機能ユニット（機能部）を構成し、プロセッサ部１０から入力されたデジタル値に対して特定の処理を実行する。

　図２は、図１におけるＦＰＧＡ部２０およびプロセッサ部１０の構成例を示すブロック図である。プロセッサ部１０は、異常解析部１３を備える。ＦＰＧＡ部２０は、ＣＲＡＭ（格納部）２１と、異常検出部２２と、異常記録部２４と、異常通知部２６とを備える。ＣＲＡＭ２１は、機能部のコンフィグレーションデータを格納する。異常検出部２２は、ＣＲＡＭ２１のソフトエラーを検出する。異常記録部２４は、異常検出部２２が検出したソフトエラーの情報を記録する。異常通知部２６は、異常記録部２４に新規のソフトエラーの情報が記録されているか否かを判定し、新規のソフトエラーの情報が記録されていると判定した場合に、新規のソフトエラーの発生をプロセッサ部１０に割込通知する。

　本実施形態によれば、異常通知部２６は、異常記録部２４に新規のソフトエラーの情報が記録されていないと判定した場合には、プロセッサ部１０に割込通知を行わずに処理を終了することができる。したがって、プロセッサ部１０に対する異常通知の頻度を低下させ、ソフトエラーの処理に関するプロセッサ部１０の負荷を低減することができる。

　§２　構成例
　図１に示すように、実施形態１の制御装置１００は、一例として、ＰＬＣ（Programmable Logic Controller）を用いて実装される。制御装置１００は、予め格納されたプログラム（システムプログラムおよびユーザプログラムなど）を実行することで指令値を算出する。制御装置１００は、指令値を、Ｉ／Ｏ（Input/Output）ユニット３０を介して接続される制御対象（例えば、モータドライバなど）に与える。また、制御装置１００は、当該制御対象から状態値を取得する。すなわち、制御装置１００は、制御対象の状態値をフィードバックすることで、適切な指令値を動的に生成し、状況に応じて適切に制御対象を制御できる。

　制御装置１００は、プロセッサ部１０と、ＦＰＧＡ部２０と、ＲＯＭ１１と、ＲＡＭ１２と、Ｉ／Ｏユニット３０とを備える。制御装置１００内の各部品は、バスによって接続されている。バスの例としては、パラレルバス、ならびに、Ｉ２ＣおよびＳＰＩ等のシリアルバスが挙げられる。プロセッサ部１０は逐次処理を行い、ＦＰＧＡ部２０は並列処理を行う。

　プロセッサ部１０は、ＣＰＵを含み、ＲＯＭ１１およびＲＡＭ１２に格納されたプログラムを実行することで、主に、制御対象の制御および動作に係る処理を行う。ＦＰＧＡ部２０は、機能ユニットを構成し、プロセッサ部１０から入力されたデジタル値に対して特定の処理を実行する。ＲＯＭ１１は、制御装置１００を制御するプログラムおよび、プログラムの動作に必要なデータ等を格納する。ＲＡＭ１２は、プロセッサ部１０のワークエリアとして機能する。Ｉ／Ｏユニット３０は、制御対象との間のインターフェースを提供する。入出力機器２００は、タッチパネルのように、ユーザに対して情報を提示し、ユーザからの操作入力を受け付ける装置である。

　ＦＰＧＡ部２０は、特定の処理を実行する機能ユニットを構成するために、デバイス内にコンフィグレーションデータを書き込むコンフィグレーションを必要とする。一般的には、電源投入直後にＦＰＧＡ部２０に対してコンフィグレーションを行い、所望の回路動作が可能な機能ユニットを得ることになる。

　しかし、ＦＰＧＡ部２０では、コンフィグレーションデータを格納したＣＲＡＭの情報が放射線等により変更されるソフトエラーが発生する可能性がある。そのため、ＦＰＧＡ部２０は、ＣＲＡＭのソフトエラーを検出するためにエラー検出を行っている。以下、ＦＰＧＡ部２０のソフトエラー検出について詳しく説明する。

　図２に示すように、プロセッサ部１０は、異常解析部１３を備える。ＦＰＧＡ部２０は、ＣＲＡＭ２１と、異常検出部２２と、異常読取部２３と、異常記録部２４と、タイマー部２５と、異常通知部２６と、第１通信インターフェース（以下、通信ＩＦと称す）２７とを備える。

　ＦＰＧＡ部２０は、起動時に、ＦＰＧＡ部２０の外部のＲＯＭ（例えばＲＯＭ１１）に格納されたコンフィグレーションデータを読み出し、ＦＰＧＡ部２０の内部のＣＲＡＭ２１に格納する。コンフィグレーションデータを格納したＣＲＡＭ２１は、ユーザ回路として使用される。ここで、ＣＲＡＭ２１は、例えばＳＲＡＭ（Static random access memory）である。

　異常検出部２２は、例えばＣＲＣ（Cyclic Redundancy Check）コードを用いて、ＣＲＡＭ２１のソフトエラーの検出を行う。具体的には、異常検出部２２は、ＣＲＡＭ２１に格納されているデータの値からＣＲＣ値を計算し、この計算されたＣＲＣ値を、ＣＲＡＭ２１に格納されているＣＲＣ値と比較するＣＲＣチェックを行う。計算されたＣＲＣ値が格納されているＣＲＣ値と一致しなければ、異常検出部２２はＣＲＡＭ２１のソフトエラーを検出する。異常検出部２２は、ＦＰＧＡ部２０に含まれる複数のフレームに対し順にＣＲＣチェックを行い、全てのフレームのＣＲＣチェックが完了すると、再度最初のフレームからサイクリックにＣＲＣチェックを行う。

　なお、異常検出部２２は、ＦＰＧＡ部２０に含まれる全てのフレームを１つの単位としてＣＲＣチェックを行うのではなく、予め定められたブロックに分け、当該ブロック毎にＣＲＣチェックを行ってもよい。例えば、異常検出部２２は、機能ユニットＡを構成するブロックから機能ユニットＤを構成するブロックの４つのブロックにＦＰＧＡ部２０を分け、それぞれのブロック毎にＣＲＣチェックを行ってもよい。

　異常読取部２３は、異常検出部２２が検出したソフトエラーの情報を読み取り、異常記録部２４に書き込む。異常記録部２４は、異常検出部２２が検出したソフトエラーの情報を記録する。ソフトエラーの情報は、例えばソフトエラーの位置（エラーアドレス）の情報およびソフトエラーの種類の情報を含む。ソフトエラーの種類としては、例えば１ビットエラーおよび隣接２ビットエラーが挙げられる。異常記録部２４は、レジスタとして、１つ以上のログレジスタと、ステータスレジスタとを含む。

　異常記録部２４は、最初に検出したソフトエラーの情報を第１ログレジスタに記録する。そして、２回目以降に検出したソフトエラーについては、検出したソフトエラーの情報が第１ログレジスタに記録されているものと同一であれば記録せず、異なる場合のみ、そのソフトエラーの情報を第２ログレジスタに記録する。同様に、その後に検出したソフトエラーについては、検出したソフトエラーの情報が第１ログレジスタまたは第２ログレジスタに記録されているものと同一であれば記録せず、異なる場合のみ、そのソフトエラーの情報を第３ログレジスタに記録する。

　本実施形態では、第１～第３ログレジスタの合計３つのログレジスタが設けられているが、ログレジスタの数はこれに限定されず、２つ以下または４つ以上のログレジスタが設けられていてもよい。なお、本実施形態において、異常検出部２２が４個目のソフトエラーを検出した場合、異常記録部２４はユーザに再起動を促す警告を入出力機器２００に表示してもよい。ＣＲＡＭ２１は揮発性メモリであるため、制御装置１００が再起動されると、ＣＲＡＭ２１のソフトエラーは除去される。

　また、異常記録部２４は、第１、第２および第３ログレジスタに記録された各ソフトエラーのステータスおよび検出されたソフトエラーの検出個数をステータスレジスタに記録することができる。なお、本明細書において、第１、第２および第３ログレジスタに記録されたソフトエラーのステータスをそれぞれ、第１、第２および第３ステータスと称する。第１、第２および第３ステータスは、初期状態では「未解析」として設定されている。

　タイマー部２５は、所定時間の経過ごとに、異常通知部２６に対して割込生成プロセスの開始を通知する。異常通知部２６は、タイマー部２５からの通知を受けたときに、異常記録部２４に新規のソフトエラーの情報が記録されているか否かを判定する。タイマー部２５からの通知により、異常通知部２６は定期的に上記の判定処理を行うことができる。そして、異常通知部２６は、新規のソフトエラーの情報が記録されていると判定した場合に、新規のソフトエラーの発生をプロセッサ部１０の異常解析部１３に割込通知する。

　第１通信ＩＦ２７は、ＦＰＧＡ部２０における、異常記録部２４とプロセッサ部１０の異常解析部１３との間の通信ＩＦである。

　プロセッサ部１０は、異常解析部１３を備える。異常解析部１３は、異常通知部２６から新規のソフトエラーの発生を通知されたときに、異常記録部２４に記録されたソフトエラーの情報を解析し、該ソフトエラーが解析済であることを異常記録部２４に書き込む。異常解析部１３は、例えばソフトエラーが発生した位置が、機能ユニットを構成するためのコンフィグレーションデータが格納された使用領域に含まれるか、該コンフィグレーションデータが格納されていない未使用領域に含まれるかを解析する。また、異常解析部１３は、ソフトエラーの位置が使用領域に含まれる場合、使用領域のうちのソフトエラー対策済回路部分であるか否かを解析してもよい。ソフトエラー対策済回路の例としては、冗長回路が挙げられる。
§３　動作例
　図３は、制御装置１００の制御方法の各ステップのタイミングを示す図である。縦軸は時刻を示す。図３の例では、時刻ｔ１と時刻ｔ２との間で、ＣＲＡＭ２１にソフトエラーが発生する場合を示す。図３に示すように、まず時刻ｔ１において、タイマー部２５が異常通知部２６に対して割込生成プロセスの開始を通知する。タイマー部２５からの通知を受けた異常通知部２６は、異常記録部２４からソフトエラーの情報を読み取る。このタイミングでは、新規のソフトエラーが検出されないので、異常通知部２６はこのまま処理を終了する。

　そして、時刻ｔ１と時刻ｔ２との間で、ＣＲＡＭ２１にソフトエラーが発生したとする。異常検出部２２は、一定期間毎にソフトエラーを検出する。異常読取部２３は、異常検出部２２が検出したソフトエラーの情報を読み取り、異常記録部２４に書き込む。異常記録部２４は、異常検出部２２が検出したソフトエラーの情報を空いているログレジスタに記録する。異常記録部２４は、ソフトエラーの検出個数（ログレジスタに記録されているソフトエラーの個数）をステータスレジスタに書き込む。

　時刻ｔ１から所定時間経過した時刻ｔ２において、タイマー部２５が異常通知部２６に対して割込生成プロセスの開始を通知する。タイマー部２５からの通知を受けた異常通知部２６は、異常記録部２４からソフトエラーの情報を読み取る。このタイミングでは、新規のソフトエラーが検出されるため、異常通知部２６は異常解析部１３に割込処理が必要であることを割込通知する。

　異常通知部２６からの割込通知を受けた異常解析部１３は、割込処理を行う。異常解析部１３は、第１通信ＩＦ２７を介して、異常記録部２４から、ステータスレジスタおよびログレジスタの情報を読み取る。異常解析部１３は、「未解析」のステータスに対応する新規のソフトエラーの情報を解析する。

　異常解析部１３は、ソフトエラーの位置が機能ユニットのコンフィグレーションデータを格納している使用領域に含まれるか機能ユニットのコンフィグレーションデータを格納していない未使用領域に含まれるかを解析する。異常解析部１３は、ソフトエラーの位置の解析結果として、「使用領域」または「未使用領域」を得る。

　異常解析部１３は、第１通信ＩＦ２７を介して、異常記録部２４のステータスレジスタに、解析したソフトエラーのステータスとして「使用領域」または「未使用領域」を書き込む。ステータスが「使用領域」または「未使用領域」であることは、対応するソフトエラーが解析済であることを示す。また、異常解析部１３は、解析結果に応じて、ＦＰＧＡ部２０で動作する機能ユニットの動作を継続または停止させる。

　そして、時刻ｔ２から所定時間経過した時刻ｔ３において、タイマー部２５が異常通知部２６に対して割込生成プロセスの開始を通知する。タイマー部２５からの通知を受けた異常通知部２６は、異常記録部２４からソフトエラーの情報を読み取る。このタイミングでは、新規のソフトエラーが検出されないので、異常通知部２６はこのまま処理を終了する。

　図４は、制御装置１００の制御方法を示すフローチャートである。図４に示すように、タイマー部２５から割込生成プロセスの開始を通知されると、異常通知部２６は、異常記録部２４から、ソフトエラーの情報（ソフトエラーの検出個数、ならびに、第１、第２および第３ステータス）を読み取る（ステップＳ１）。

　次いで異常通知部２６は、異常記録部２４の第１ステータスが未解析であるか否かを判定する（ステップＳ２）。第１ステータスが未解析である場合（ステップＳ２でＹＥＳ）、ステップＳ２１に進み、異常通知部２６は、ソフトエラーの解析個数が０であると判定する。

　第１ステータスが未解析ではない場合（ステップＳ２でＮＯ）、ステップＳ３に進み、異常通知部２６は、異常記録部２４の第２ステータスが未解析であるか否かを判定する。第２ステータスが未解析である場合（ステップＳ３でＹＥＳ）、ステップＳ３１に進み、異常通知部２６は、ソフトエラーの解析個数が１であると判定する。

　第２ステータスが未解析ではない場合（ステップＳ３でＮＯ）、ステップＳ４に進み、異常通知部２６は、異常記録部２４の第３ステータスが未解析であるか否かを判定する。第３ステータスが未解析である場合（ステップＳ４でＹＥＳ）、ステップＳ４１に進み、異常通知部２６は、ソフトエラーの解析個数が２であると判定する。

　第３ステータスが未解析ではない場合（ステップＳ４でＮＯ）、ステップＳ５に進み、異常通知部２６は、ソフトエラーの解析個数が３であると判定する。ステップＳ２１、Ｓ３１、Ｓ４１またはＳ５の終了後、ステップＳ６に進み、異常通知部２６は、ソフトエラーの解析個数が、ソフトエラーの検出個数と異なるか否かを判定する。

　ソフトエラーの検出個数が、ソフトエラーの解析個数と異なる場合（ステップＳ６でＹＥＳ）、異常通知部２６は、新規のソフトエラーの情報が異常記録部２４のログレジスタに記録されていると判定する。そして、異常通知部２６は異常解析部１３に割込処理が必要であることを割込通知する（ステップＳ７）。ステップＳ７の後、処理が終了する。ステップＳ６でＮＯの場合、異常通知部２６はプロセッサ部１０の異常解析部１３に割込通知を行うことなく、処理が終了する。

　［作用・効果］
　以上のように、上記の構成によれば、異常通知部２６は、異常記録部２４に新規のソフトエラーの情報が記録されていると判定した場合に、新規のソフトエラーの発生をプロセッサ部１０に通知する。したがって、プロセッサ部１０に対する異常通知の頻度を低下させ、ソフトエラーの処理に関するプロセッサ部１０の負荷を低減することができる。

　また、異常解析部１３は、異常記録部２４に記録されたソフトエラーの情報を解析し、解析結果を異常記録部２４に書き込む。したがって、異常通知部２６は、異常記録部２４に新規のソフトエラーの情報が記録されているか否かを確実に判定することができる。

　また、異常解析部１３は、ソフトエラーが発生した位置が機能部のコンフィグレーションデータを格納している使用領域に含まれるかコンフィグレーションデータを格納していない未使用領域に含まれるかを解析する。したがって、ソフトエラーが発生した位置が機能部の未使用領域に含まれる場合、運転を継続することができるため、不要な運転停止を防止することができる。

　また、プロセッサ部１０は逐次処理を行い、ＦＰＧＡ部２０は並列処理を行う。したがって、並列処理が可能なＦＰＧＡ部２０がソフトエラーの検出およびソフトエラーの情報の記録を行うため、これらの処理のために他の処理の進行を妨げる可能性が低い。

　一方、プロセッサ部１０は逐次処理を行うので、ソフトエラーの発生が通知されると、他の処理を中断する必要が生じることがある。しかし、異常通知部２６は、異常記録部２４に新規のソフトエラーの情報が記録されていると判定した場合に、新規のソフトエラーの発生をプロセッサ部１０に通知するので、演算処理部にソフトエラーの発生が通知される頻度は低い。したがって、プロセッサ部１０が逐次処理を行う場合であっても、他の処理を中断する頻度を低下させることができる。

　また、異常通知部２６は、タイマー部２５からの通知を受けて、定期的に異常記録部２４に新規のソフトエラーの情報が記録されているか否かを判定する処理を行う。したがって、異常通知部２６は、異常検出部２２から通知を受けることなく、新規のソフトエラーの情報が記録されているか否かの判定処理を行うことができる。そのため、例えば既存のＦＰＧＡを用いて異常検出部２２の処理を変更することなく制御装置１００を実現することができる。

　また、ＦＰＧＡ部２０が異常通知部２６を備えるので、異常通知部２６を設けるためにＡＳＩＣ等の別のチップを設ける必要がない。したがって、制御装置１００の構成を単純にすることができる。

　〔実施形態２〕
　本発明の他の実施形態について、以下に説明する。なお、説明の便宜上、上記実施形態にて説明した部材と同じ機能を有する部材については、同じ符号を付記し、その説明を繰り返さない。

　図５は、実施形態２に係る制御装置１００において、ＦＰＧＡ部２０およびプロセッサ部１０の構成例を示すブロック図である。実施形態２は、制御装置１００がＡＳＩＣ部４０を更に備え、ＡＳＩＣ部４０がタイマー部４５および異常通知部４６を備える点で、実施形態１と異なる。

　具体的には、ＦＰＧＡ部２０は、ＣＲＡＭ２１と、異常検出部２２と、異常読取部２３と、異常記録部２４と、第１通信ＩＦ２７と、第２通信ＩＦ２８とを備える。第２通信ＩＦ２８は、ＦＰＧＡ部２０におけるＡＳＩＣ部４０との通信ＩＦである。

　ＡＳＩＣ部４０は、タイマー部４５と、異常通知部４６と、第３通信ＩＦ４７とを備える。ＡＳＩＣ部４０のタイマー部４５および異常通知部４６はそれぞれ、実施形態１で説明したＦＰＧＡ部２０のタイマー部２５および異常通知部２６と同様の機能を有する。第３通信ＩＦ４７は、ＡＳＩＣ部４０におけるＦＰＧＡ部２０との通信ＩＦである。

　このように、タイマー部４５および異常通知部４６は、ＣＲＡＭ２１を含むＦＰＧＡ部２０とは別の回路に形成されていてもよい。
§４　変形例
　以上、本発明の実施の形態を詳細に説明してきたが、前述までの説明はあらゆる点において本発明の例示に過ぎない。本発明の範囲を逸脱することなく種々の改良や変形を行うことができることは言うまでもない。例えば、以下のような変更が可能である。

　実施形態２では、異常通知部４６はＡＳＩＣ部４０に設けられているが、ＦＰＧＡ部２０とは別のＦＰＧＡ部に設けられてもよく、またはプロセッサ部１０とは別のプロセッサ部に設けられてもよい。

　なお、異常解析部１３は、第１通信ＩＦ２７を介して、異常記録部２４のステータスレジスタに、解析済のソフトエラーの個数（ステータスが「未解析」ではないソフトエラーの個数）を書き込んでもよい。異常通知部２６は、ステータスレジスタから解析済のソフトエラーの個数を読み取ってもよい。

　なお、異常記録部２４は、ステータスレジスタにソフトエラーの検出個数を記録していなくてもよい。異常通知部２６は、ソフトエラーが記録されているログレジスタの個数からソフトエラーの検出個数を特定してもよい。

　〔まとめ〕
　本発明の一側面に係る制御装置は、ユーザプログラムを実行可能な演算処理部と、前記演算処理部に接続され、機能部を構成するプログラマブル回路部と、異常通知部と、を備え、前記プログラマブル回路部は、前記機能部のコンフィグレーションデータを格納する格納部と、前記格納部のソフトエラーを検出する異常検出部と、前記異常検出部が検出した前記ソフトエラーの情報を記録する異常記録部と、を備え、前記異常通知部は、前記異常記録部に新規の前記ソフトエラーの情報が記録されているか否かを判定し、新規の前記ソフトエラーの情報が記録されていると判定した場合に、前記新規のソフトエラーの発生を前記演算処理部に通知する。

　上記の構成によれば、異常通知部は、異常記録部に新規のソフトエラーの情報が記録されていると判定した場合に、新規のソフトエラーの発生を演算処理部に通知するので、演算処理部に対する異常通知の頻度を低下させることができる。したがって、ソフトエラーの処理に関する演算処理部の負荷を低減することができる。

　前記一側面に係る制御装置において、前記演算処理部は、前記異常通知部から前記新規のソフトエラーの発生を通知されたときに、前記異常記録部に記録された前記ソフトエラーの情報を解析し、該ソフトエラーが解析済であることを前記異常記録部に書き込む異常解析部を備えてもよい。上記の構成によれば、異常通知部は、異常記録部に新規のソフトエラーの情報が記録されているか否かを確実に判定することができる。

　前記一側面に係る制御装置において、前記異常解析部は、前記ソフトエラーが発生した位置が前記機能部の前記コンフィグレーションデータを格納している使用領域に含まれるか前記コンフィグレーションデータを格納していない未使用領域に含まれるかを解析してもよい。上記の構成によれば、ソフトエラーが発生した位置が機能部の未使用領域に含まれる場合、運転を継続することができるため、不要な運転停止を防止することができる。

　前記一側面に係る制御装置において、前記演算処理部は逐次処理を行い、前記プログラマブル回路部は並列処理を行ってもよい。上記の構成によれば、並列処理が可能なプログラマブル回路部がソフトエラーの検出およびソフトエラーの情報の記録を行うため、これらの処理のために他の処理の進行を妨げる可能性が低い。

　一方、演算処理部は逐次処理を行うので、ソフトエラーの発生が通知されると、他の処理を中断する必要が生じることがある。しかし、異常通知部は、異常記録部に新規のソフトエラーの情報が記録されていると判定した場合に、新規のソフトエラーの発生を演算処理部に通知するので、演算処理部にソフトエラーの発生が通知される頻度は低い。したがって、演算処理部が逐次処理を行う場合であっても、他の処理を中断する頻度を低下させることができる。

　前記一側面に係る制御装置において、前記異常通知部は、定期的に前記異常記録部に新規の前記ソフトエラーの情報が記録されているか否かを判定する処理を行ってもよい。上記の構成によれば、異常通知部は、異常検出部から通知を受けることなく、新規のソフトエラーの情報が記録されているか否かの判定処理を行うことができる。そのため、例えば市販のＦＰＧＡを用いて異常検出部の処理を変更することなく前記制御装置を実現することができる。

　前記一側面に係る制御装置において、前記プログラマブル回路部が前記異常通知部を備えてもよい。上記の構成によれば、異常通知部を設けるためにＡＳＩＣ（application specific integrated circuit）等の別のチップを設ける必要がないので、制御装置の構成を単純にすることができる。

　本発明の各態様に係る制御装置は、コンピュータによって実現してもよく、この場合には、コンピュータを前記制御装置が備える各部（ソフトウェア要素）として動作させることにより前記制御装置をコンピュータにて実現させる制御装置の制御プログラム、およびそれを記録したコンピュータ読み取り可能な記録媒体も、本発明の範疇に入る。

　本発明は上述した各実施形態に限定されるものではなく、請求項に示した範囲で種々の変更が可能であり、異なる実施形態にそれぞれ開示された技術的手段を適宜組み合わせて得られる実施形態についても本発明の技術的範囲に含まれる。

１０　プロセッサ部（演算処理部）
１３　異常解析部
２０　ＦＰＧＡ部（プログラマブル回路部）
２１　ＣＲＡＭ（格納部）
２２　異常検出部
２３　異常読取部
２４　異常記録部
２５、４５　タイマー部
２６、４６　異常通知部
１００　制御装置

Claims

　ユーザプログラムを実行可能な演算処理部と、
　前記演算処理部に接続され、機能部を構成するプログラマブル回路部と、
　異常通知部と、を備え、
　前記プログラマブル回路部は、
　　前記機能部のコンフィグレーションデータを格納する格納部と、
　　前記格納部のソフトエラーを検出する異常検出部と、
　　前記異常検出部が検出した前記ソフトエラーの情報を記録する異常記録部と、を備え、
　前記異常通知部は、
　　前記異常記録部に新規の前記ソフトエラーの情報が記録されているか否かを判定し、
　　新規の前記ソフトエラーの情報が記録されていると判定した場合に、前記新規のソフトエラーの発生を前記演算処理部に通知する、制御装置。
　前記演算処理部は、
　　前記異常通知部から前記新規のソフトエラーの発生を通知されたときに、前記異常記録部に記録された前記ソフトエラーの情報を解析し、該ソフトエラーが解析済であることを前記異常記録部に書き込む異常解析部を備える、請求項１に記載の制御装置。
　前記異常解析部は、前記ソフトエラーが発生した位置が前記機能部の前記コンフィグレーションデータを格納している使用領域に含まれるか前記コンフィグレーションデータを格納していない未使用領域に含まれるかを解析する、請求項２に記載の制御装置。
　前記演算処理部は逐次処理を行い、前記プログラマブル回路部は並列処理を行う、請求項１から３のいずれか１項に記載の制御装置。
　前記異常通知部は、定期的に前記異常記録部に新規の前記ソフトエラーの情報が記録されているか否かを判定する処理を行う、請求項１から４のいずれか１項に記載の制御装置。
　前記プログラマブル回路部が前記異常通知部を備える、請求項１から５のいずれか１項に記載の制御装置。
　ユーザプログラムを実行可能な演算処理部と、前記演算処理部に接続され、機能部を構成するプログラマブル回路部と、を備える制御装置の制御方法であって、
　前記機能部のコンフィグレーションデータを格納する格納部のソフトエラーを検出する異常検出ステップと、
　前記異常検出ステップで検出した前記ソフトエラーの情報を記録する異常記録ステップと、
　前記異常記録ステップで新規の前記ソフトエラーの情報が記録されているか否かを判定し、新規の前記ソフトエラーの情報が記録されていると判定した場合に、前記新規のソフトエラーの発生を前記演算処理部に通知する異常通知ステップとを含む、制御装置の制御方法。