WO2022215363A1

WO2022215363A1 - 制御システム及び制御方法

Info

Publication number: WO2022215363A1
Application number: PCT/JP2022/006268
Authority: WO
Inventors: 輝昭酒田; 祐策大塚; 俊樹清水; 典剛松本
Original assignee: 株式会社日立製作所
Priority date: 2021-04-07
Filing date: 2022-02-16
Publication date: 2022-10-13
Also published as: JP2022160940A

Abstract

システムとして、第１ＯＳで動作する第１制御ユニットと、第２ＯＳで動作する第２制御ユニットと、第２制御ユニットに接続された入出力ポートと、第１制御ユニットと第２制御ユニットとを接続する汎用インタフェースとを備える。第２ＯＳは、汎用インタフェースを介して第１ＯＳの情報を取得する監視部と、入出力ポートでの入出力を処理する入出力処理部と、入出力処理部で入出力するデータを、汎用インタフェースを介して第１制御ユニットに送受信する汎用インタフェース処理部とを有する。

Description

制御システム及び制御方法

　本発明は、制御システム及び制御方法に関する。

　プラント、鉄鋼、水処理、ＦＡ（Factory Automation）、発電などの分野において、制御装置で制御を行う制御システムが各種実用化されている。
　例えば、鉄鋼、上下水処理、工場、発電プラント等の社会インフラ分野では、主機に接続された制御装置を複数有する制御システムが処理を担っている。この制御装置は制御演算処理を実行し、主機に対する制御指令を制御データ（信号）として出力することで制御を行う。

　このような制御を行うための指令は、制御システムで定められている制御周期の時間内に演算処理が完了して、Ｉ／Ｏ（Input/Output）に対し入出力がなされなければならない場合がある。時間内に出力されない場合、システムが可動できなくなって損失が発生すると共に、システムの状態が不安定になる可能性がある。そのため、こうした制御システムにおいては、制御装置として、時間内に処理を完了して出力するリアルタイム性が要求されている。

　一方で、近年の制御システムでは、将来の労働力不足問題などに対応するために自動化や自律化を進めることによる高効率化が検討されている。そのためには広大なフィールドに複数のセンサ等を配置して取得したデータをＡＩ（Artificial Intelligence）などで分析することで、より高効率な制御指令値を演算する検討が始まっている。更に、汎用性や移植性を高めるためには、ＡＩなどの演算処理を汎用ＣＰＵ（Central Processing Unit）で動作する汎用ＯＳ（Operating System）の上で処理できるようにすることが望まれている。

　従来型の制御システムでは、大量のデータの収集、データの分析及び最適出力の自動化、汎用ＯＳによる制御といったような構成は想定されていなかったため、このような構成やアーキテクチャへ対応できることが今後の制御システムにおいて必要になる。

　こうした要求に応える従来技術として、例えば特許文献１に記載された技術がある。特許文献１には、電子機器において固定時間処理を実現しつつ複雑な機能を実装する構成が記載されている。すなわち、特許文献１には、リアルタイムＯＳである第１のＯＳ、及び、表示部を介するユーザインタフェース機能を提供する第２のＯＳを格納する格納部と、第１のＯＳを動作させて電子機器を制御する制御部とを備える構成が開示されている。
　特許文献１に記載の制御部は、表示部を介するユーザインタフェース機能を有効にして電子機器を動作させる場合に、第２のＯＳを起動させて表示部を制御するようにしている。

　また別の従来技術として、特許文献２に記載された技術がある。この特許文献２には、２つのＭＣＵ（Micro Controller Unit）が相互に接続された分散制御システムにおいて、ＭＣＵの接続には汎用Ｉ／Ｆ（Interface）であるイーサネット（登録商標）が使用される構成が記載されている。ここで、ＭＣＵが実行するプログラムは、マルチタスク環境を備えるリアルタイムＯＳであり、アプリケーションプログラムは時間制約の違い等に基づいてタスクに分割される構成である。

特開２０１３－３０９４９号公報特開２００７－２４９３５７号公報

　特許文献１に記載される構成は、第１のＯＳと第２のＯＳの間でのデータ転送は専用のＯＳ間通信を用いる必要がある構成となるため、様々な種類の汎用ＯＳやリアルタイムＯＳを組み合わせてリアルタイム性の高い制御装置を実装したい場合に、適用が困難という問題がある。
　また特許文献２に記載される構成は、リアルタイム性の高いリアルタイムＯＳを動作させるＭＣＵを汎用インタフェースで接続した構成となっているが、ＡＩなどの演算処理を実行できるような構成は想定されておらず、汎用性とリアルタイム性の両立が困難であるという問題がある。

　このように、汎用部品、汎用ＣＰＵ、汎用ＯＳ、汎用インタフェースの採用による拡張性の高い制御システムであって、かつ、高いリアルタイム性を保証可能な制御システム及びその制御方法が望まれていた。なお、ここでのリアルタイム性とは、定められた応答時間内に処理が完了することを指し、高いリアルタイム性とは応答時間が短いことを指している。

　上記課題を解決するために、例えば請求の範囲に記載の構成を採用する。
　本願は、上記課題を解決する手段を複数含んでいるが、その一例を挙げるならば、本発明の制御システムは、第１のオペレーションシステムで動作する第１の制御ユニットと、第２のオペレーションシステムで動作する第２の制御ユニットと、第２の制御ユニットに接続された入出力ポートと、第１の制御ユニットと第２の制御ユニットとを接続する汎用インタフェースと、を備える。
　そして、第２のオペレーションシステムは、汎用インタフェースを介して第１のオペレーションシステムの情報を取得する監視部と、入出力ポートでの入出力を処理する入出力処理部と、入出力処理部で入出力するデータを、汎用インタフェースを介して第１の制御ユニットに送受信する汎用インタフェース処理部と、を有する。

　本発明によれば、社会インフラなどを制御する制御システムであって、汎用性と拡張性が高く、部品改廃に柔軟に対応可能で、かつ、高いリアルタイム性を保証する制御システムを実現することができる。
　上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。

本発明の第１の実施の形態例に係る制御システムの構成例を説明するブロック図である。本発明の第１の実施の形態例に係る制御システムにおけるリアルタイム保証汎用インタフェース部の構成例を説明する図である。本発明の第１の実施の形態例に係る制御システムにおける汎用ＯＳ監視部の構成例を説明する図である。本発明の第１の実施の形態例に係る制御システムの汎用Ｉ／Ｆ間を流れる制御データのパケット構成の一例を説明する図である。本発明の第１の実施の形態例に係る制御システムの動作を説明するタイミングチャートの一例を説明する図である。本発明の第１の実施の形態例に係る制御システムの動作を説明するタイミングチャートの別の一例を説明する図である。本発明の第１の実施の形態例に係る制御システムが安全制御動作を説明するタイミングチャートの一例を説明する図である。本発明の第２の実施の形態例に係る制御システムの構成例を説明するブロック図である。本発明の第２の実施の形態例に係る制御システムの動作タイミングチャートの一例を説明する図である。本発明の第２の実施の形態例に係る制御システムの別の構成例を説明するブロック図である。本発明の第２の実施の形態例に係る制御システムの動作タイミングチャートの別の一例を説明する図である。本発明の第３の実施の形態例に係る制御システムの構成例を説明するブロック図である。本発明の各実施の形態例に係る制御システムの実装形態の一例を説明する図である。本発明の各実施の形態例に係る制御システムの実装形態の別の一例を説明する図である。本発明の各実施の形態例に係る制御システムの実装形態の別の一例を説明する図である。本発明の各実施の形態例に係る制御システムの実装形態の別の一例を説明する図である。本発明の各実施の形態例に係る制御システムを鉄鋼システムに適用した場合の一例を示す図である。本発明の各実施の形態例に係る制御システムを水処理システムに適用した場合の一例を示す図である。本発明の各実施の形態例に係る制御システムをＦＡシステムに適用した場合の一例を示す図である。本発明の各実施の形態例に係る制御システムを発電制御システムに適用した場合の一例を示す図である。

［第１の実施の形態例］
　以下、本発明の第１の実施の形態例に係る制御システムを、図１から図７を参照して説明する。

　図１は、本発明の第１の実施の形態例に係る制御システム１の構成例を説明するブロック図である。
　図１に示す制御システム１は、第１の制御装置１００と第２の制御装置２００とが、汎用の通信インタフェース１１で接続された構成となっている。
　第１の制御装置１００は、汎用の制御ユニット（第１の制御ユニット）である汎用ＣＰＵ１１０を備える。汎用ＣＰＵ１１０には、汎用インタフェース処理部である汎用Ｉ／Ｆポート１２０と、メモリ制御部１５０とが接続される。メモリ制御部１５０には、メモリ１６０が接続される。
　汎用ＣＰＵ１１０は、汎用ＯＳ１３０が動作し、汎用ＯＳ１３０により汎用アプリケーション１４０が実行されるアーキテクチャとなっている。

　第２の制御装置２００は、メモリや周辺機能が組み込まれてコンピュータシステム化された制御ユニット（第２の制御ユニット）であるＭＣＵ２１０を備える。ＭＣＵ２１０には、汎用Ｉ／Ｆポート２２０及びＩ／Ｏポート２７０が接続される。汎用Ｉ／Ｆポート２２０は、通信インタフェース１１を介して、第１の制御装置１００の汎用Ｉ／Ｆポート１２０と接続される。汎用Ｉ／Ｆポート１２０、２２０に接続される通信インタフェース１１としては、例えばイーサネット（登録商標）が使用される。
　入出力ポートであるＩ／Ｏポート２７０には、Ｉ／Ｏネットワーク１２が接続される。
　ＲＴＯＳ２３０は、Ｉ／Ｏ処理部２４０、リアルタイム保証汎用インタフェース部２５０及び汎用ＯＳ監視部２６０が実行されるアーキテクチャである。Ｉ／Ｏ処理部２４０は、Ｉ／Ｏポート２７０での入力処理及び出力処理を実行する入出力処理部である。

　図１に示す制御システム１において、第１の制御装置１００で汎用的な処理を行う汎用アプリケーション１４０が、汎用ＯＳ１３０上で実行される。そして、汎用アプリケーション１４０の処理結果は、汎用ＣＰＵ１１０から汎用Ｉ／Ｆポート１２０を介して、第２の制御装置２００の汎用Ｉ／Ｆポート２２０に送信され、ＭＣＵ２１０に伝送される。
　リアルタイム保証汎用インタフェース部２５０は、汎用アプリケーション１４０の処理結果をＩ／Ｏネットワーク１２に出力するタイミングを監視する。

　Ｉ／Ｏ処理部２４０は、Ｉ／Ｏポート２７０での入出力処理を実行するものであり、汎用アプリケーション１４０の処理結果を、Ｉ／Ｏポート２７０を介してＩ／Ｏネットワーク１２に出力する。
　また汎用ＯＳ監視部２６０は、第１の制御装置１００の汎用ＯＳ１３０に異常や故障などが発生しているか否かを、汎用アプリケーション１４０の処理結果を読み取ることで判断する。

　なお、図１に示す制御システム１の構成は、汎用の演算処理を、汎用ＣＰＵ１１０を搭載した１台の制御装置１００に割り当てたものであるが、汎用ＣＰＵを搭載した制御装置を複数台接続した構成にしてもよい。

　図２は、図１に示す制御システム１のリアルタイム保証汎用インタフェース部２５０の構成例を示す。
　リアルタイム保証汎用インタフェース部２５０は、複数入力データの到着確認処理部２５１、汎用ＣＰＵへのトリガ処理部２５２、汎用ＣＰＵからのデータ受信処理部２５３、及び出力データのタイミング補正処理部２５４によって構成される。

　複数入力データの到着確認処理部２５１は、Ｉ／Ｏポート２７０から入力される複数のセンサなどの入力データが到着しているか否かを判定する処理を行う。複数入力データの到着確認処理部２５１の判定には、例えば制御周期で定めた時刻などが使用される。
　汎用ＣＰＵへのトリガ処理部２５２は、ＭＣＵ２１０から汎用ＣＰＵ１１０に対して処理の開始や終了を知らせるトリガを発生させる処理を行う。

　汎用ＣＰＵからのデータ受信処理部２５３は、汎用アプリケーション１４０の処理結果が汎用ＣＰＵ１１０から通信インタフェース１１を介してＭＣＵ２１０に送信されてきたタイミングで、ＲＴＯＳ２３０にて処理結果を受信する処理を行う。
　出力データのタイミング補正処理部２５４は、処理結果をＭＣＵ２１０からＩ／Ｏポート２７０を介してＩ／Ｏネットワーク１２へ出力するタイミングを補正する処理を行う。なお、出力データのタイミング補正処理部２５４の判定には、例えば制御周期で定めた時刻などが使用される。

　図３は、図１に示す制御システム１の汎用ＯＳ監視部２６０の構成例を示す。
　汎用ＯＳ監視部２６０は、応答性能監視処理部２６１、メモリ異常監視処理部２６２、及び安全制御データ生成処理部２６３によって構成される。
　応答性能監視処理部２６１は、ＭＣＵ２１０から汎用ＣＰＵ１１０に対して送信したデータを受信するまでの応答に要した時間やスループットを測定する処理を行い、汎用ＯＳの応答性能を監視し、許容範囲内であるか否かを判定する。応答性能監視処理部２６１の判定には、例えば制御周期で定めた時刻などが使用される。

　メモリ異常監視処理部２６２は、制御装置１００のメモリ１６０で異常が発生しているか否かを判定する処理を行う。メモリ異常監視処理部２６２の判定は、例えば予め定めた診断用データのライト動作とリード動作によって行われる。そして、メモリ１６０の一部で不良ブロックが発生していると判断した場合は、メモリ異常監視処理部２６２は、そのブロックを使用しないようにする指示処理を汎用ＣＰＵ１１０に対して行う。

　安全制御データ生成処理部２６３は、応答性能監視処理部２６１での判定やメモリ異常監視処理部２６２での判断に基づいて、Ｉ／Ｏポート２７０からＩ／Ｏネットワーク１２へ出力する制御データが安全処理となるような値を設定して出力する処理を行う。汎用ＣＰＵ１１０やメモリ１６０の異常により、通信インタフェース１１から汎用Ｉ／Ｆポート２２０を介してＭＣＵ２１０に送信された処理結果が正しくないと判定された場合には、ＭＣＵ２１０は、安全制御データを生成してＩ／Ｏポート２７０へ出力する。ＭＣＵ２１０が安全制御データを生成した場合には、ＭＣＵ２１０は、処理結果を制御の出力として用いない。つまり、汎用ＣＰＵ１１０やメモリ１６０の異常により、汎用ＯＳでの応答時間が許容範囲外であった場合に、ＭＣＵ２１０は、予め定められたデータである、安全制御データを生成してＩ／Ｏポート２７０へ出力する。

　図４は、図１に示す制御システム１の通信インタフェース１１を流れる制御データのパケット構成の一例を示す。
　通信インタフェース１１を流れる制御データは、先頭のヘッダ３１に続いて、データ部３０を有し、最後尾にＦＣＳ(Frame Check Sequence)３９を有する。ＦＣＳ３９は、通信フレームデータを符号化した結果として得られるチェックデータである。

　データ部３０には、ステータス３２、時刻３３、ＣＰＵ番号３４、ＯＳ種別３５、コンテナ情報３６、アプリ演算データ３７、及び安全制御データ３８が配置される。
　ステータス３２は、汎用ＣＰＵ１１０の状態が正常か異常かを示し、時刻３３は、汎用ＯＳ１３０で処理した時刻を示す。ＣＰＵ番号３４は、汎用ＣＰＵ１１０が複数の場合にその番号を数字で表したものである。

　また、ＯＳ種別３５は、汎用ＯＳ１３０の種類を示し、コンテナ情報３６は、汎用ＯＳ１３０でコンテナを実行している場合、動作中のコンテナの状態を示す。アプリ演算データ３７は、汎用ＯＳ１３０でアプリケーションが処理した結果を示す。安全制御データ３８は、Ｉ／Ｏに対して安全な制御出力を指示するデータである。

　なお、ステータス３２から安全制御データ３８までのデータ部３０については、図４に示すフォーマットに限定されることなく、様々なフォーマットを採ることができる。

　図５は、第１の実施の形態例に係る制御システム１の動作の一例を示すタイミングチャートである。
　図５に示す例では、制御システム１は、一定の制御周期の期間内に、入力処理、演算処理、出力処理を行う。
　図５に示すタイミングチャートの上段は、汎用ＣＰＵ１１０と汎用ＯＳ１３０で行う処理を示す。図５に示すタイミングチャートの下段は、ＭＣＵ２１０とＲＴＯＳ２３０で行う処理を示す。

　制御周期Ｃ１の開始タイミングで、ＲＴＯＳ２３０の入力タスクＴ１は、入力群Ｉ１を受け付ける。受け付け完了後、ＭＣＵ２１０は、通信インタフェース１１を介して汎用ＯＳ１３０の演算プロセスＰ１に送信する。
　ＲＴＯＳ２３０の出力受付タスクＴ２は、演算プロセスＰ１による出力結果を、通信インタフェース１１を介して受信し、全ての出力結果を受信すると、出力タスクＴ３により出力群Ｏ１を出力する。制御周期Ｃ１が終了すると、次の制御周期Ｃ２にて入力タスクＴ４から同様の処理が実行される。

　ここで、汎用ＯＳ１３０の動作中には、ユーザが開発したアプリケーションプログラムとは別に、汎用ＯＳ専用の処理や管理プロセスが実行されている。そのため、予想していない大きなジッタＪ１、Ｊ２及びＪ３が発生することがある。図５の例では、汎用ＯＳ１３０で発生したジッタＪ１及びＪ３はアプリケーションプログラムの演算プロセスＰ１の処理時刻とは重複していない。しかし、ＭＣＵ２１０とＲＴＯＳ２３０を使用せずに汎用ＣＰＵ１１０と汎用ＯＳ１３０によって制御装置１００を構成してシステムを動作させる場合には、入力及び出力のタイミングに汎用ＯＳ１３０のジッタが発生することがある。

　図６は、第１の実施の形態例に係る制御システム１の動作の別の例を示すタイミングチャートである。
　図６のタイミングチャートは、図５で説明したタイミングチャートと比較して、制御周期の先頭で出力タスクを実行する部分が異なっている。図６のタイミングチャートの上段は、汎用ＣＰＵ１１０と汎用ＯＳ１３０で行う処理を示す。図６のタイミングチャートの下段は、ＭＣＵ２１０とＲＴＯＳ２３０で行う処理を示す。

　図６の例の場合、制御周期Ｃ１の開始タイミングで、ＲＴＯＳ２３０の出力タスクＴ３は、出力群Ｏ１を出力する。次に入力群Ｉ１をＲＴＯＳ２３０の入力タスクＴ１で受け付ける。
　ＲＴＯＳ２３０の入力タスクＴ１の受け付け完了後、ＲＴＯＳ２３０の入力タスクＴ１は、通信インタフェース１１を介して汎用ＯＳ１３０の演算プロセスＰ１に送信する。ＲＴＯＳ２３０の出力受付タスクＴ２は、演算プロセスＰ１による出力結果を、通信インタフェースを介して受信し、全ての出力結果を受信する。制御周期Ｃ１が終了すると、次の制御周期Ｃ２にて出力タスクＴ６から同様の処理が実行される。

　ここで、汎用ＯＳ１３０で発生したジッタＪ１及びＪ３は、アプリケーションプログラムの演算プロセスＰ１の処理時刻とは重複していない。ジッタＪ２は演算プロセスＰ１の実行中に発生し、最後の出力結果のＲＴＯＳ２３０への送信に遅れが発生しているが、制御周期Ｃ１が終了するまでに出力結果がＲＴＯＳ２３０へ送信されていればよいため、時間に余裕を持たせることができる。

　図７は、第１の実施の形態例に係る制御システム１の安全制御動作の一例を説明するタイミングチャートである。
　図７に示したタイミングチャートは、図５で説明したタイミングチャートと比較して、汎用ＯＳ１３０の演算プロセス処理が長期化し、出力タスクの実行が遅れている部分が異なっている。図７のタイミングチャートの上段は、汎用ＣＰＵ１１０と汎用ＯＳ１３０で行う処理を示す。図７のタイミングチャートの下段は、ＭＣＵ２１０とＲＴＯＳ２３０で行う処理を示す。

　汎用ＯＳ１３０の演算プロセスＰ１において、最初の出力結果が通信インタフェース１１を介してＲＴＯＳ２３０に送信された後、大きなジッタＪ２の発生により演算プロセスＰ１の処理が滞っている。ＲＴＯＳ２３０は、汎用ＯＳ監視部２６０から応答性能監視信号を送信し、汎用ＣＰＵ１１０の状態と汎用ＯＳ１３０の状態を監視する。

　汎用ＯＳ１３０から正常な応答が無く、制御周期Ｃ１の時間内に出力結果が揃わない場合には、ＲＴＯＳ２３０の出力タスクＴ３は、出力群Ｏ１に対して出力結果が得られなかったことを判断して、出力結果Ｏ１を出力する。すなわち、出力先に接続しているＩ／Ｏの機能や構成などに応じて、停止信号を出力するか、前値保持のまま出力するか、縮退動作を指示する信号を出力するか、予め定めてあった安全制御データを出力するか、等をＭＣＵ２１０とＲＴＯＳ２３０で判断して出力する。

　以上説明したように、第１の実施の形態例によれば、高い汎用性とリアルタイム性が要求される制御システム１において、汎用ＣＰＵ１１０と汎用ＯＳ１３０を採用した場合に発生するジッタの影響を軽減することで、入力受付時刻と出力送信時刻のリアルタイム性を向上させることが可能になる。
　また更に、汎用ＯＳ１３０を有する制御システム１において、定められた時刻に出力結果を送信できない場合でも、制御システム１の安全を担保する制御データを時間内に出力することで、安全性を担保するシステムを構築することが可能になる。

［第２の実施の形態例］
　次に、本発明の第２の実施の形態例に係る制御システムを、図８から図１１を参照して説明する。図８から図１１において、第１の実施の形態例で説明した図１から図７と同一の箇所には同一符号を付し、重複説明は省略する。

　図８は、本発明の第２の実施の形態例に係る制御システム２の構成例を説明するブロック図である。
　図８に示す制御システム２は、汎用ＣＰＵ１１１を有する第１の制御装置１００ａと、ＭＣＵ２１０を有する第２の制御装置２００ａに加えて、汎用ＣＰＵ１１２を有する第３の制御装置１００ｂを備える。

　第２の制御装置２００ａは、第１の制御装置１００ａと通信するための汎用Ｉ／Ｆポート２２１を備え、第１の制御装置１００ａの汎用Ｉ／Ｆポート１２１と通信インタフェース１１ａを介して通信を行う。また、第２の制御装置２００ａは、第３の制御装置１００ｂと通信するための汎用Ｉ／Ｆポート２２２を備え、第３の制御装置１００ｂの汎用Ｉ／Ｆポート１２２と通信インタフェース１１ｂを介して通信を行う。
　さらに、第２の制御装置２００ａは、比較照合部２８０を備える点が、第１の実施の形態例で説明した第２の制御装置２００ａと相違する。

　第１の制御装置１００ａと第３の制御装置１００ｂは、それぞれ同一の構成であり、それぞれの汎用ＣＰＵ１１１、１１２は、汎用ＯＳ１３１、１３２を実行する。また、それぞれの汎用ＯＳ１３１、１３２では、高信頼アプリケーション１７１、１７２が実行される。２つの高信頼アプリケーション１７１、１７２は、同一の処理を実行する。
　また、それぞれの汎用ＣＰＵ１１１、１１２には、メモリ制御部１５１、１５２が接続され、それぞれのメモリ制御部１５１、１５２には、メモリ１６１、１６２が接続される。

　第１の制御装置１００ａでの高信頼アプリケーション１７１の処理結果は、汎用Ｉ／Ｆポート２２１を介してＭＣＵ２１０のＲＴＯＳ２３０で受信される。第３の制御装置１００ｂでの高信頼アプリケーション１７２の処理結果は、汎用Ｉ／Ｆポート２２２を介してＭＣＵ２１０のＲＴＯＳ２３０で受信される。
　この２つの高信頼アプリケーション１７１、１７２の処理結果は、比較照合部２８０において比較される。２つの汎用ＣＰＵ１１１、１１２に故障などが発生していなければ、比較照合部２８０での照合結果は一致するが、故障などが発生した場合は照合結果が不一致になる。これにより、第２の制御装置２００ａは、汎用ＣＰＵ１１１、１１２で生じた障害を検出する。

　図９は、本発明の第２の実施の形態例に係る制御システム２の動作の一例を示すタイミングチャートである。
　図９に示す例では、制御システム２は、一定の制御周期の期間内に、入力処理、高信頼処理、出力処理を行う。
　図９のタイミングチャートの上段は、第１の制御装置１００ａの汎用ＣＰＵ１１１と汎用ＯＳ１３１で行う処理を示す。図９のタイミングチャートの中段は、第３の制御装置１００ｂの汎用ＣＰＵ１１２と汎用ＯＳ１３２で行う処理を示す。図９のタイミングチャートの最下段は、第２の制御装置２００ａのＭＣＵ２１０とＲＴＯＳ２３０で行う処理を示している。

　制御周期Ｃ１１の開始タイミングで、ＲＴＯＳ２３０は、入力群Ｉ１１を入力タスクＴ１１で受け付ける。入力タスクＴ１１における受け付け完了後、第１の制御装置１００ａの汎用ＣＰＵ１１１は、通信インタフェース１１ａを介して汎用ＯＳ１３１の高信頼プロセスＰ１１をＭＣＵ２１０に送信する。また、第３の制御装置１００ｂの汎用ＣＰＵ１１２は、通信インタフェース１１ｂを介して汎用ＯＳ１３２の高信頼プロセスＰ１２をＭＣＵ２１０に送信する。

　ＭＣＵ２１０の比較照合タスクＴ１２は、高信頼プロセスＰ１１及びＰ１２による出力結果を通信インタフェース１１ａ、１１ｂを介して受信し、全ての出力結果を受信すると比較照合処理を行い、出力タスクＴ１３により出力群Ｏ１１を出力する。制御周期Ｃ１１における処理が終了すると、第２の制御装置２００ａは、次の制御周期Ｃ１２にて入力タスクＴ１４から同様の処理を行う。

　ここで、汎用ＯＳ１３１、１３２の動作中は、ユーザが開発したアプリケーションプログラムとは別に、汎用ＯＳ専用の処理や管理プロセスが実行されている。そのため、予想していない大きなジッタ発生することがある。
　図９の例では、ジッタＪ１２により高信頼プロセスＰ１１の結果出力が遅れ、ジッタＪ１５により高信頼プロセスＰ１２の結果出力が遅れる。ここで、ＲＴＯＳ２３０の比較照合タスクＴ１２により、それぞれの出力結果の受信タイミングを合わせてから比較されるので、各高信頼プロセスの出力タイミングの不一致により、比較結果が誤って検出されることがない。

　図１０は、本発明の第２の実施の形態例に係る制御システム２の別の構成例を説明するブロック図である。
　図１０に示す制御システム３は、図８に示す制御システム２の構成に加えて、さらに汎用ＣＰＵ１１３を有する第４の制御装置１００ｃを備える。
　第２の制御装置２００ｂは、既に図８で説明した汎用Ｉ／Ｆポート２２１、２２２に加えて、さらに汎用Ｉ／Ｆポート２２３を備える。第２の制御装置２００ｂは、汎用Ｉ／Ｆポート２２３と通信インタフェース１１ｃを介して、第４の制御装置１００ｃの汎用Ｉ／Ｆポート１２３と通信を行う。
　さらに、第２の制御装置２００ｂは、図８に示す比較照合部２８０の代わりに、多数決判定部２９０を備える。

　第１の制御装置１００ａと第３の制御装置１００ｂと第４の制御装置１００ｃは、それぞれ同一の構成である。第４の制御装置１００ｃが備える汎用ＣＰＵ１１３では、汎用ＯＳ１３３が実行され、汎用ＯＳ１３３で高信頼アプリケーション１７３が実行される。第１の制御装置１００ａと第３の制御装置１００ｂと第４の制御装置１００ｃの３つの高信頼アプリケーション１７１、１７２、１７３は、同一の処理を実行する。
　また、汎用ＣＰＵ１１３には、メモリ制御部１５３が接続され、メモリ制御部１５３には、メモリ１６３が接続される。

　第４の制御装置１００ｃでの高信頼アプリケーション１７３の処理結果は、汎用Ｉ／Ｆポート２２３を介してＭＣＵ２１０のＲＴＯＳ２３０で受信される。
　３つの高信頼アプリケーション１７１、１７２、１７３の処理結果は、多数決判定部２９０において比較され、多数決判定がなされる。
　第１の制御装置１００ａと第３の制御装置１００ｂと第４の制御装置１００ｃの各汎用ＣＰＵ１１１、１１２、１１３に故障などが発生していなければ、多数決判定部２９０での多数決判定結果は一致するが、故障などが発生した場合はいずれかの結果が不一致となる。多数決判定部２９０では、一致している多数の結果が採用されて、Ｉ／Ｏポート２７０を介してＩ／Ｏネットワーク１２に結果が出力される。

　図１１は、図１０に示す制御システム３の動作の一例を示すタイミングチャートである。
　図１１に示す例では、制御システム３は、一定の制御周期の期間内に、入力処理、高信頼処理、出力処理を行う。
　図１１のタイミングチャートの最上段は、第１の制御装置１００ａの汎用ＣＰＵ１１１と汎用ＯＳ１３１で行う処理を示す。図１１のタイミングチャートの上から２段目は、第３の制御装置１００ｂの汎用ＣＰＵ１１２と汎用ＯＳ１３２で行う処理を示す。図１１のタイミングチャートの上から３段目は、第４の制御装置１００ｃの汎用ＣＰＵ１１３と汎用ＯＳ１３３で行う処理を示す。図１１のタイミングチャートの最下段は、第２の制御装置２００ｂのＭＣＵ２１０とＲＴＯＳ２３０で行う処理を示す。

　制御周期Ｃ２１の開始タイミングで、ＲＴＯＳ２３０は、入力群Ｉ２１を入力タスクＴ２１で受け付ける。入力タスクＴ２１による受け付け完了後、第２の制御装置２００ｂは、通信インタフェース１１ａ、１１ｂ、１１ｃを介して汎用ＯＳ１１１の高信頼プロセスＰ２１、汎用ＯＳ１１２の高信頼プロセスＰ２２、及び汎用ＯＳ１１３の高信頼プロセスＰ２３の実行を送信する。

　ＭＣＵ２１０の多数決判定タスクＴ２２は、高信頼プロセスＰ２１、Ｐ２２及びＰ２３による出力結果を、通信インタフェース１１ａ、１１ｂ、１１ｃを介して受信する。そして、全ての出力結果を受信すると、多数決判定タスクＴ２２は多数決判定処理を行い、出力タスクＴ２３により出力群Ｏ２１を出力する。制御周期Ｃ２１が終了すると、第２の制御装置２００ｂは、次の制御周期Ｃ２２にて入力タスクＴ２４から同等の処理を行う。

　ここで、それぞれの汎用ＯＳ１１１、１１２、１１３の動作中は、ユーザが開発したアプリケーションプログラムとは別に、汎用ＯＳ専用の処理やプロセスが実行されている。そのため、予想していない大きなジッタ発生することがある。例えば、図１１の例では、ジッタＪ２２により高信頼プロセスＰ２１の結果出力が遅れ、ジッタＪ２５により高信頼プロセスＰ２２の結果出力が遅れ、ジッタＪ２８により高信頼プロセスＰ２３の結果出力が遅れている。ここで、ＲＴＯＳ２３０の多数決判定タスクＴ２２では、出力結果の受信タイミングを合わせてから多数決処理するので、各高信頼プロセスの出力タイミングの不一致により多数決結果が誤って検出されてしまうことがない。

　この第２の実施の形態例によれば、汎用ＣＰＵで故障が発生していなくても、汎用ＯＳで発生したジッタなどの影響により制御データパケットの受信タイミングに大きなずれが生じたことで照合結果や多数決結果が不一致となる状況を回避できる。これにより、高信頼が必要とされる制御システムにおいて、障害の誤検出頻度を低下させ、リアルタイム性の高い制御システムを実現することができる。

［第３の実施の形態例］
　次に、本発明の第３の実施の形態例に係る制御システムを、図１２を参照して説明する。図１２において、第１の実施の形態例で説明した図１から図７と同一の箇所には同一符号を付し、重複説明は省略する。

　図１２は、本発明の第３の実施の形態例に係る制御システム４の構成例を説明するブロック図である。
　図１２に示す制御システム４は、第２の制御装置２００ｃが、図１で示した制御システム１の第２の制御装置２００と比較して、ＦＣＳ情報上書き部２７１を備える点で相違する。

　ＦＣＳ情報上書き部２７１は、汎用Ｉ／Ｆポート２２０を介して制御データパケットを受信し、汎用ＣＰＵ１１０が異常状態であった場合に、図４で示した制御データパケットのＦＣＳ３９を書き換える処理を行う。そして、Ｉ／Ｏポート２７０は、ＦＣＳ情報上書き部２７１により書き換えられたＦＣＳ３９が付加された制御データパケットをＩ／Ｏネットワーク１２へ送信する。

　この第３の実施の形態例によれば、第１の制御装置１００の汎用ＣＰＵ１１０及び汎用ＯＳ１３０で異常状態が発生した場合に、ＭＣＵ２１０を有する第２の制御装置２００ｃによって制御データパケットのＦＣＳ３９を書き換える処理が実行される。これにより、Ｉ／Ｏネットワーク１２を介して制御データパケットを受信するＩ／Ｏ装置側では、ＦＣＳ３９のチェックで不正な制御データパケットと判別され、受信した制御データパケットが破棄され、制御システムを安全な状態に保つことが可能となる。この場合、ＭＣＵ２１０を有する第２の制御装置２００ｃが予め制御システムを安全に保つためのＩ／Ｏの安全制御データ３８（図４）の値を予め指定する必要がない。このため、第３の実施の形態例によれば、低コストに制御システムの安全を維持することができる。

［各実施の形態例に係る制御システムの実装形態］
　次に、ここまで説明した本発明の各実施の形態例に係る制御システムの実装形態（実装例１から実装例４）を、図１３から図１６を用いて説明する。

　図１３は、実装形態の第１の例（実装例１）を示す図である。
　図１３に示す制御システムは、基板３０１に実装されたチップパッケージ３００の内部に汎用ＣＰＵ１１０とＭＣＵ２１０が配置され、１つのチップパッケージ３００に、図１に示す第１の制御装置１００と第２の制御装置２００とが構成される。

　チップパッケージ３００の内部で、汎用ＣＰＵ１１０とＭＣＵ２１０とは、汎用Ｉ／Ｆポート１２０及び２２０（不図示）を介して通信インタフェース１１により接続されている。ＭＣＵ２１０には、Ｉ／Ｏポート２７０（不図示）を介してＩ／Ｏネットワーク１２に接続されている。汎用ＣＰＵ１１０は、汎用の通信インタフェースを介して通信ネットワーク１３に接続されている。このように汎用の通信インタフェースを用いることで、制御システムは、ＳｏＣ(Systems on Chip)としての実装が可能である。

　図１４は、実装形態の第２の例（実装例２）を示す図である。
　図１４に示す制御システムは、汎用ＣＰＵを搭載した装置である汎用ＣＰＵ搭載ユニット３１１と、ＭＣＵを搭載した装置であるＭＣＵ搭載ユニット３１０が、汎用Ｉ／Ｆポート１２０及び２２０を介して通信インタフェース３１９により接続されている。これらの汎用ＣＰＵ搭載ユニット３１１とＭＣＵ搭載ユニット３１０は、電源ユニット３１２とともにバックプレーン３１３に実装されている。

　汎用ＣＰＵ搭載ユニット３１１には通信ネットワーク３１８が接続されている。ＭＣＵ搭載ユニット３１０にはＩ／Ｏネットワーク３１７が接続される。このＩ／Ｏネットワーク３１７を経由して、ＭＣＵ搭載ユニット３１０には、Ｉ／Ｏ装置３１４、３１５及び３１６が接続されている。このように汎用の通信インタフェースを用いることで、汎用ＣＰＵ搭載ユニット３１１が通信ネットワーク処理を行い、ＭＣＵ搭載ユニット３１０がＩ／Ｏ装置と入出力制御を行う実装構成を採ることが可能である。

　図１５は、実装形態の第３の例（実装例３）を示す図である。
　図１５に示す制御システムでは、汎用Ｉ／Ｆポート３２０ａを有する汎用ＣＰＵ搭載ユニット３２０に対し、その汎用Ｉ／Ｆポート３２０ａに接続できる形状のＭＣＵ搭載ドングル３２７が接続される。同様に、汎用Ｉ／Ｆポート３２１ａを有する汎用ＣＰＵ搭載ユニット３２１に対し、その汎用Ｉ／Ｆポート３２１ａに接続できる形状のＭＣＵ搭載ドングル２２８が接続される。

　ＭＣＵ搭載ドングル３２７及び３２８には、Ｉ／Ｏネットワーク３２６が接続され、このＩ／Ｏネットワーク３２６を経由してＭＣＵ搭載ドングル３２７及び３２８にＩ／Ｏ装置３２３、３２４及び３２５が接続されている。このように汎用Ｉ／Ｆポート３２０ａ、３２１ａを介した構成とすることで、ＭＣＵを搭載した装置であるＭＣＵ搭載ドングル３２７、３２８によってＩ／Ｏ装置と入出力制御を行う実装を採ることが可能である。

　図１６は、実装形態の第４の例（実装例４）を示す図である。
　図１６に示す制御システムは、図１５に示す実装例４と比較して、汎用Ｉ／Ｆポート３３１ａを有する汎用ＣＰＵ搭載ユニット３３１を追加し、ＭＣＵ搭載ドングルの機能を集約したＩ／Ｏ制御統合ユニット３３６を追加した部分が異なっている。各汎用Ｉ／Ｆポート３２０ａ、３２１ａ、３３１ａは、通信インタフェース３３３、３３４、３３５によりＩ／Ｏ制御統合ユニット３３６に接続される。
　このように汎用の通信インタフェースを用いることで、機器の構成変更に柔軟に対応可能な制御システムの実装が可能となる。

　図１３から図１６に示す実装形態に示すように、汎用の通信インタフェースと汎用ＣＰＵとＭＣＵとを組み合わせて、様々な形態で制御システムを構成することができる。ここで、Ｉ／Ｏの入出力制御機能を汎用ＣＰＵから分離しＭＣＵで処理させることで、リアルタイム性と拡張性が要求される制御システムを柔軟に実装することが可能になる。
　さらに、汎用の通信インタフェースを用いるため、既設の制御システムに対し、リアルタイム性を維持しながら新機能などを低コストで追加することができる。
　なお、図１３から図１６に示す実装形態における汎用ＣＰＵ搭載ユニット、ＭＣＵ搭載ユニット、ＭＣＵ搭載ドングルなどの設置数は、上述の実装例で示した数に限定されるものではなく、拡張して任意の数で実装することができる。例えば図１３の実装例は、図１の構成を実装する場合としたが、図８、図１０、図１２の構成を実装してもよい。

［各実施の形態例に係る制御システムをプラントなどの制御に適用した例］
　次に、本発明の各実施の形態例に係る制御システムをプラントなどの各種設備の制御に適用した例（適用例１から適用例４）を、図１７から図２０を用いて説明する。

　図１７は、本発明の制御システムを鉄鋼の熱延設備に適用した場合の例（適用例１）を示す。
　図１７に示す熱延設備は、制御ネットワーク６００に接続された端末５００が制御システム４００、４０１及び４０２の制御を行う。
　加熱炉８０１で熱された鋼は熱延設備８００に投入される。温度センサ７００によって得られた加熱炉８０１の温度は、フィールドバス６０１を経由して制御システム４００で取得される。制御システム４００には、汎用ＣＰＵ搭載の制御装置１００Ａが内蔵されている。

　制御システム４００は、ＰＩ／Ｏ(Programmable Input/Output)７０１を制御し、粗圧延機８０２の回転数を調整する。制御システム４０１は、ＰＩ／Ｏ７０２を制御し、仕上圧延機８０３の回転数や張力を調整する。温度センサ７０３によって得られた冷却設備８０４の温度は、制御システム４０２で取得される。制御システム４０２は、ＰＩ／Ｏ７０４を制御し、巻取機８０５の回転数や方向を調整する。

　ここで、品質の良い鋼板を精製する上で重要となる仕上圧延機８０３を制御する制御システム４０１には、高い処理性能とリアルタイム性が要求される。そのため図１７に示す鉄鋼システムでは、高性能とリアルタイム性能が要求される制御システム４０１は、ＭＣＵ搭載の制御装置２００Ｂと汎用ＣＰＵ搭載の制御装置１００Ｂを汎用インタフェースで接続した構成としている。

　高性能な処理を制御装置１００Ｂで実行するとともに、その処理結果を、汎用インタフェースを介して制御装置２００Ｂと共有し、ＰＩ／Ｏ７０２とリアルタイムな制御処理を行う。
　また、精巧な鋼板を精製する上で重要となる巻取機８０５を制御する制御システム４０２についても高い処理性能とリアルタイム性が要求される。そのため制御システム４０２は、ＭＣＵ搭載の制御装置２００Ｃと汎用ＣＰＵ搭載の制御装置１００Ｃを汎用インタフェースで接続した構成としている。温度センサ７０３から得られた温度データを制御装置１００Ｃで受信して演算し、その演算結果を、汎用インタフェースを介して制御装置２００Ｃと共有し、制御装置２００Ｃは、ＰＩ／Ｏ７０４に対しリアルタイムに制御処理を行う。

　温度センサ７００及びＰＩ／Ｏ７０１を制御する制御システム４００は、ここでは高いリアルタイム性が不要な処理を担っているため、汎用ＣＰＵを搭載した制御装置１００Ａのみで処理を行う。
　本発明の各実施の形態例を、図１７に示すような高い処理性能とリアルタイム性が要求される鉄鋼システムに適用することで、専用装置を用意することなく汎用部品と汎用インタフェースの活用によって実現でき、かつ低コストで提供することができる。

　図１８は、本発明の制御システムを水プラント（水処理システム）に適用した場合の例（適用例２）を示す。
　図１８に示す水処理システムは、情報ネットワーク６１０に接続された情報端末５１０、監視装置５１２、ファイルサーバ５１３により、制御ネットワーク６１１に接続された制御システム４１０、４１１及び４１２の制御を行う。

　制御システム４１０は、フィールドバス６１２を介してＰＩ／Ｏ７１０とＰＩ／Ｏ７１１から高圧盤８１０及び低圧盤８１１をそれぞれ制御する。
　制御システム４１１は、シーケンサ７１２を介してポンプ８１２とブロワ８１３によって送り出す水量を調節する。
　水質計８１４で得られた水質とカメラ８１５が撮影したフィールド画像データは、シーケンサ７１３で収集され、フィールドバス６１３を介して制御システム４１２で取得される。
　これらの制御システム４１０、４１１及び４１２は、制御ネットワーク６１１を介して接続され、データを共有する。

　ここで、品質の高い水処理を行う上で、ポンプ８１２とブロワ８１３に接続するシーケンサ７１２を制御する制御システム４１１には、高い処理性能とリアルタイム性が要求される。そのため、図１８に示す構成の水処理システムでは、高性能とリアルタイム性能が要求される制御システム４１１は、ＭＣＵ搭載の制御装置２００Ｅと汎用ＣＰＵ搭載の制御装置１００Ｅとを、汎用インタフェースで接続した構成としている。高性能な処理を制御装置１００Ｅで実行するとともに、その処理結果を、汎用インタフェースを介して制御装置２００Ｅと共有し、シーケンサ７１２と入出力のリアルタイムな制御処理を行う。

　水質計８１４とカメラ８１５を制御する制御システム４１２、及び高圧盤８１０と低圧盤８１１を制御する制御システム４１０は、ここでは高いリアルタイム性が不要な処理を担っているため、汎用ＣＰＵを搭載した制御装置１００Ｄ及び１００Ｆによりそれぞれ処理を行う。
　本発明の各実施の形態例を、図１８に示すような高い処理性能とリアルタイム性が要求される水処理システムに適用することで、水処理システムの制御システムを、専用装置を用意することなく汎用部品と汎用インタフェースの活用によって実現でき、かつ低コストで提供することができる。

　図１９は、本発明の制御システムをＦＡシステムに適用した場合の例（適用例３）を示す。
　図１９に示すＦＡシステムは、情報ネットワーク６２０に接続されたサーバ５２０と監視端末５２１により、制御ネットワーク６２１に接続された制御システム４２０の制御を行う。
　ベルトコンベア８２５に載せられた製品はカメラ８２１で撮影されて形状データがＰＬＣ(Programmable Logic Controller)７２０で処理され、ＰＬＣ７２１がピッキングロボット８２２を制御し所定の位置に配置する。ＰＬＣ７２２が制御するコンベアモータ８２３によってベルトコンベア８２５が所定の速度で移動し、ＰＬＣ７２３が制御する塗装ロボット８２４が製品の表面を塗装する。

　このＦＡシステムでは、ベルトコンベア８２５の制御に必要な複数のＰＬＣを制御システム４２０で一括制御しているため、高品質な塗装を行うには、制御システム４２０で高性能かつリアルタイムな処理を行う必要がある。
　そのため図１９に示すＦＡシステムでは、高性能とリアルタイム性が要求される制御システム４２０は、ＭＣＵ搭載の制御装置２００Ｇと、汎用ＣＰＵ搭載の制御装置１００Ｇとを汎用インタフェースで接続した構成としている。高性能な処理を制御装置１００Ｇで実行するとともに、その処理結果を、汎用インタフェースを介して制御装置２００Ｇからリアルタイムに制御ネットワーク６２１に送信して分散制御処理を行う。

　本発明の各実施の形態例を、図１９に示すような高い処理性能とリアルタイム性が要求されるＦＡシステムに適用することで、専用装置を用意することなく汎用部品と汎用インタフェースの活用によって実現でき、かつ低コストで提供することができる。

　図２０は、本発明の制御システムを発電制御システムに適用した場合の例（適用例４）を示す。
　図２０に示す発電制御システムは、制御ネットワーク６３１に接続された制御システム７３３により全体の発電制御が行われる。
　この発電制御システムでは、スイッチ８３１が押されたことによる制御データは電気制御盤８３０を介して制御システム７３０の制御装置１００Ｊに送信され、システムが起動する。システムが起動すると、制御システム７３２が、燃焼するボイラ８３５を制御するボイラ制御盤８３４を制御し、制御システム７３１が、回転するタービン８３３の回転数を、タービン制御盤８３２を介して監視する。制御システム７３１は、この監視状態を、制御ネットワーク６３１を介して制御システム７３３に伝えることで全体の制御が行われる。

　ここで、安全に発電をする上で重要となるボイラ制御盤８３４を制御する制御システム７３２には、ボイラを安全に動作させ続けるための高い可用性と安全性が要求される。そのため、図２０に示す発電制御システムの制御システム７３２では、第２の実施の形態例で説明した図１０の構成を採用している。
　すなわち、汎用ＣＰＵを搭載した３台の制御装置１００Ｌ、１００Ｍ及び１００Ｎを用意する。そして、それぞれの制御装置１００Ｌ、１００Ｍ及び１００Ｎが、それぞれ制御ネットワーク６３１から制御データを入力して演算を行い、ＭＣＵを搭載した制御装置２００Ｌに対して通信インタフェースを介して演算結果を出力する。ＭＣＵを搭載した制御装置２００Ｌでは、多数決判定処理が実行される。

　また、安全に発電をする上で必要な監視制御を行う制御システム７３３には、発電システムを常時監視し続けるための高い信頼性と安全性が要求される。そのため、図２０に示す発電制御システムが備える制御システム７３３では、第２の実施の形態例で説明した図８の構成を採用している。
　すなわち、汎用ＣＰＵを搭載した制御装置１００Ｇ及び１００Ｈがそれぞれ演算を行い、ＭＣＵを搭載した制御装置２００Ｇに対して通信インタフェースを介して出力し、制御装置２００Ｇで比較照合処理が実行される。

　本発明の各実施の形態例を、図２０に示すような高い可用性が要求される発電制御システムに適用することで、可用性と稼働率の高い制御システムを実現することができる。すなわち、複数の装置で同一演算を行った出力を比較照合または多数決処理を行う場合に、汎用ＣＰＵで故障が発生していなくても、汎用ＯＳで発生したジッタなどの影響により制御データの転送タイミングに大きなずれが生じたことで照合結果や多数決結果が不一致となる状況を回避できる。これにより、障害の誤検出頻度を低下させ、可用性と稼働率の高い発電制御システムを実現することができる。

　なお、本発明の各実施の形態例の制御システムの適用例は、図１７から図２０に示す適用例に限定されるものではなく、例えば、エレベーター制御システム、鉄道制御システム、自動車制御システム、建設機械制御システムなど、種々のシステムに使用することができる。

　また、本発明は上記した実施の形態例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施の形態例は本発明を分かりやすく説明するために、制御システム及びその制御方法を詳細かつ具体的に説明したものであり、必ずしも説明した全ての構成要素を有するものに限定されない。また、ある実施の形態例の構成要件の一部を、他の実施の形態例の構成要素の一部に置き換えることが可能である。また、ある実施の形態例の構成要件に他の実施の形態例の構成要件を加えることも可能である。また、各実施の形態例の構成要件の一部について、他の実施の形態の構成要素の一部に、追加、削除、置換をすることも可能である。

　１，２，３，４…制御システム、１１，１１ａ，１１ｂ，１１ｃ…通信インタフェース１２…Ｉ／Ｏネットワーク、１３…通信ネットワーク、３０…データ部、３１…ヘッダ、３２…ステータス、３３…時刻、３４…ＣＰＵ番号、３５…ＯＳ種別、３６…コンテナ情報、３７…アプリ演算データ、３８…安全制御データ、３９…ＦＣＳ、１００，１００Ａ，１００ａ，１００Ｂ，１００ｂ，１００Ｃ，１００ｃ，１００Ｄ，１００Ｅ，１００Ｇ，１００Ｊ，１００Ｌ…制御装置、１１０，１１１，１１２，１１３…汎用ＣＰＵ、１２０，１２１，１２２，１２３…汎用Ｉ／Ｆポート、１４０…汎用アプリケーション、１５０，１５１，１５３…メモリ制御部、１６０，１６１，１６３…メモリ、１７１，１７２，１７３…高信頼アプリケーション、２００，２００ａ，２００ｂ，２００ｃ，２００Ｂ，２００Ｃ，２００Ｅ，２００Ｇ，２００Ｌ…制御装置、２１０…ＭＣＵ、２２０，２２１，２２２，２２３…汎用Ｉ／Ｆポート、２２８…ＭＣＵ搭載ドングル、２３０…ＲＴＯＳ、２４０…Ｉ／Ｏ処理部、２５０…リアルタイム保証汎用インタフェース部、２５１…到着確認処理部、２５２…トリガ処理部、２５３…データ受信処理部、２５４…タイミング補正処理部、２６０…汎用ＯＳ監視部、２６１…応答性能監視処理部、２６２…メモリ異常監視処理部、２６３…安全制御データ生成処理部、２７０…Ｉ／Ｏポート、２７１…ＦＣＳ情報上書き部、２８０…比較照合部、２９０…多数決判定部、３００…チップパッケージ、３０１…基板、３１０…ＭＣＵ搭載ユニット、３１１…汎用ＣＰＵ搭載ユニット、３１２…電源ユニット、３１３…バックプレーン、３１４…Ｉ／Ｏ装置、３１７…Ｉ／Ｏネットワーク、３１８…通信ネットワーク、３１９…通信インタフェース、３２０，３２１…汎用ＣＰＵ搭載ユニット、３２３…Ｉ／Ｏ装置、３２６…Ｉ／Ｏネットワーク、３２７…ＭＣＵ搭載ドングル、３３１…汎用ＣＰＵ搭載ユニット、３３３…通信インタフェース、３３６…Ｉ／Ｏ制御統合ユニット、４００，４０１，４０２，４１０，４１１４１２，４２０…制御システム、５００…端末、５１０…情報端末、５１２…監視装置、５１３…ファイルサーバ、５２０…サーバ、５２１…監視端末、６００…制御ネットワーク、６０１…フィールドバス、６１０…情報ネットワーク、６１１…制御ネットワーク、６１２，６１３…フィールドバス、６２０…情報ネットワーク、６２１，６３１…制御ネットワーク、７００，７０３…温度センサ、７１２，７１３…シーケンサ、７３０，７３１，７３２，７３３…制御システム、８００…熱延設備、８０１…加熱炉、８０２…粗圧延機、８０３…仕上圧延機、８０４…冷却設備、８０５…巻取機、８１０…高圧盤、８１１…低圧盤、８１２…ポンプ、８１３…ブロワ、８１４…水質計、８１５，８２１…カメラ、８２２…ピッキングロボット、８２３…コンベアモータ、８２４…塗装ロボット、８２５…ベルトコンベア、８３０…電気制御盤、８３１…スイッチ、８３２…タービン制御盤、８３３…タービン、８３４…ボイラ制御盤、８３５…ボイラ

Claims

　第１のオペレーションシステムで動作する第１の制御ユニットと、
　第２のオペレーションシステムで動作する第２の制御ユニットと、
　前記第２の制御ユニットに接続された入出力ポートと、
　前記第１の制御ユニットと前記第２の制御ユニットとを接続する汎用インタフェースと、を備え、
　前記第２のオペレーションシステムは、
　前記汎用インタフェースを介して前記第１のオペレーションシステムの情報を取得する監視部と、
　前記入出力ポートでの入出力を処理する入出力処理部と、
　前記入出力処理部で入出力するデータを、前記汎用インタフェースを介して前記第１の制御ユニットに送受信する汎用インタフェース処理部と、を有する
　制御システム。
　前記汎用インタフェース処理部は、前記入出力ポートから入力される入力データの到着確認処理と、前記第１のオペレーションシステムへプロセス開始を伝えるトリガ処理と、前記第１のオペレーションシステムからの複数データの受信確認処理と、前記入出力ポートへ出力する出力データの出力タイミングの変更処理とを行う
　請求項１に記載の制御システム。
　前記第２のオペレーションシステムが備える監視部は、前記第１のオペレーションシステムの応答性能を監視し、許容範囲内であるか否かを判定する判定処理を行う
　請求項２に記載の制御システム。
　前記判定処理で、前記第１のオペレーションシステムの応答時間が許容範囲外であったと前記監視部が判定した場合に、前記第２のオペレーションシステムが、予め定められたデータを前記入出力ポートに対して出力する
　請求項３に記載の制御システム。
　さらに、第３のオペレーションシステムで動作する第３の制御ユニットを備え、
　前記汎用インタフェースは、前記第２の制御ユニットと前記第３の制御ユニットとを接続し、
　前記第２のオペレーションシステムは、前記汎用インタフェースを介して受信する前記第１のオペレーションシステムによるデータと前記第３のオペレーションシステムによるデータとを比較照合する比較照合部を有する
　請求項１に記載の制御システム。
　第１のオペレーションシステムで動作する第１の制御ユニットと、
　第２のオペレーションシステムで動作する第２の制御ユニットと、
　前記第２の制御ユニットに接続された入出力ポートと、
　前記第１の制御ユニットと前記第２の制御ユニットとを接続する汎用インタフェースと、を備えた制御システムに適用される制御方法であり、
　前記第２のオペレーションシステムは、前記入出力ポートからの入力を受け付ける入力タスクを実行し、
　前記入力タスクの処理後に前記汎用インタフェースを介して前記第１のオペレーションシステムに前記入力タスクで受け付けた入力を送信し、
　前記第１のオペレーションシステムが演算プロセスを実行しているタイミングで、前記第２のオペレーションシステムは、演算結果を受け付けるタスクを実行し、
　前記第１のオペレーションシステムは、前記演算プロセスの演算結果を、前記汎用インタフェースを介して前記第２のオペレーションシステムに送信し、
　前記第２のオペレーションシステムは、前記演算結果を前記入出力ポートへ出力する出力タスクを実行する
　制御方法。
　前記制御システムは、さらに、第３のオペレーションシステムで動作する第３の制御ユニットを備え、前記汎用インタフェースは、前記第２の制御ユニットと前記第３の制御ユニットとを接続する構成とし、
　前記第２のオペレーションシステムは、前記入出力ポートからの入力を受け付ける入力タスクを実行し、
　前記入力タスクの処理後に前記汎用インタフェースを介して前記第１のオペレーションシステム及び前記第３のオペレーションシステムにそれぞれ前記入出力ポートからの入力を送信し、
　前記第１のオペレーションシステム及び前記第３のオペレーションシステムがそれぞれ演算プロセスを実行しているタイミングで、前記第２のオペレーションシステムは比較照合データを受け付けるタスクを実行し、
　前記第１のオペレーションシステム及び前記第３のオペレーションシステムでの演算プロセスの演算結果を、それぞれ前記汎用インタフェースを介して前記第２のオペレーションシステムに送信し、
　前記第２のオペレーションシステムは、前記演算結果の受信を確認した後に、比較照合処理を行い、照合結果に基づいて前記入出力ポートへ出力する出力タスクを実行する
　請求項６に記載の制御方法。