知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6288609
(24)【登録日】2018年2月16日
(45)【発行日】2018年3月7日
(54)【発明の名称】二重化制御装置
(51)【国際特許分類】
G05B 9/03 20060101AFI20180226BHJP
【FI】
G05B9/03
【請求項の数】3
【全頁数】12
(21)【出願番号】特願2015-233594(P2015-233594)
(22)【出願日】2015年11月30日
(65)【公開番号】特開2017-102569(P2017-102569A)
(43)【公開日】2017年6月8日
【審査請求日】2016年11月16日
(73)【特許権者】
【識別番号】000006507
【氏名又は名称】横河電機株式会社
(72)【発明者】
【氏名】渡邉 郁知
(72)【発明者】
【氏名】馬庭 幸雄
【審査官】
黒田 暁子
(56)【参考文献】
【文献】
特開2000−222001(JP,A)
【文献】
特開2014−135580(JP,A)
【文献】
特開平09−237101(JP,A)
【文献】
特開2013−152596(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G05B 9/03
(57)【特許請求の範囲】
【請求項1】
制御権を要求する第1リクエスト信号を出力する第1二重化制御部と、
制御権を要求する第2リクエスト信号を出力する第2二重化制御部と、
前記第1リクエスト信号および前記第2リクエスト信号を入力し、第1サービス信号および第2サービス信号を出力する切替部と、を備えた、二重化制御装置であって、
前記切替部は、
前記第1リクエスト信号と前記第2サービス信号に基づく信号とを入力し、前記第1サービス信号を出力する第1ゲートと、
前記第2リクエスト信号と前記第1サービス信号に基づく信号とを入力し、前記第2サービス信号を出力する第2ゲートと、
前記第1サービス信号に固着故障検出用データを付加して出力する第1送信部と、
前記第1送信部の出力データを入力し、前記固着故障検出用データに基づいて、固着故障を検出するとともに、固着故障を検出しない場合は、前記第1サービス信号を抽出して前記第2ゲートに出力し、固着故障を検出した場合は、前記第1サービス信号の状態をスタンバイ側として前記第2ゲートに出力する第2受信部と、
前記第2サービス信号に固着故障検出用データを付加して出力する第2送信部と、
前記第2送信部の出力データを入力し、前記固着故障検出用データに基づいて、固着故障を検出するとともに、固着故障を検出しない場合は、前記第2サービス信号を抽出して前記第1ゲートに出力し、固着故障を検出した場合は、前記第2サービス信号の状態をスタンバイ側として前記第1ゲートに出力する第1受信部と、
を備えたことを特徴とする二重化制御装置。
制御権を要求する第2リクエスト信号を出力する第2二重化制御部と、
前記第1リクエスト信号および前記第2リクエスト信号を入力し、第1サービス信号および第2サービス信号を出力する切替部と、を備えた、二重化制御装置であって、
前記切替部は、
前記第1リクエスト信号と前記第2サービス信号に基づく信号とを入力し、前記第1サービス信号を出力する第1ゲートと、
前記第2リクエスト信号と前記第1サービス信号に基づく信号とを入力し、前記第2サービス信号を出力する第2ゲートと、
前記第1サービス信号に固着故障検出用データを付加して出力する第1送信部と、
前記第1送信部の出力データを入力し、前記固着故障検出用データに基づいて、固着故障を検出するとともに、固着故障を検出しない場合は、前記第1サービス信号を抽出して前記第2ゲートに出力し、固着故障を検出した場合は、前記第1サービス信号の状態をスタンバイ側として前記第2ゲートに出力する第2受信部と、
前記第2サービス信号に固着故障検出用データを付加して出力する第2送信部と、
前記第2送信部の出力データを入力し、前記固着故障検出用データに基づいて、固着故障を検出するとともに、固着故障を検出しない場合は、前記第2サービス信号を抽出して前記第1ゲートに出力し、固着故障を検出した場合は、前記第2サービス信号の状態をスタンバイ側として前記第1ゲートに出力する第1受信部と、
を備えたことを特徴とする二重化制御装置。
【請求項2】
前記第1送信部は前記第1サービス信号にパリティデータをさらに付加して出力し、
前記第2受信部は、前記第1送信部の出力データを入力し、前記パリティデータに基づいて送信データの異常を検出し、
前記第2送信部は前記第2サービス信号にパリティデータをさらに付加して出力し、
前記第1受信部は、前記第2送信部の出力データを入力し、前記パリティデータに基づいて送信データの異常を検出することを特徴とする請求項1に記載の二重化制御装置。
前記第2受信部は、前記第1送信部の出力データを入力し、前記パリティデータに基づいて送信データの異常を検出し、
前記第2送信部は前記第2サービス信号にパリティデータをさらに付加して出力し、
前記第1受信部は、前記第2送信部の出力データを入力し、前記パリティデータに基づいて送信データの異常を検出することを特徴とする請求項1に記載の二重化制御装置。
【請求項3】
前記固着故障検出用データは、前記固着故障検出用データを付加して出力するデータにおいて、同じ値のビットが所定個数連続しないデータであることを特徴とする請求項1または2に記載の二重化制御装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、二重化制御装置に関し、特に切換部の固着故障を検出可能な二重化制御装置に関する。
【背景技術】
【0002】
装置の信頼性を高める手法の一つとして二重化方式がある。二重化されたシステムにおいては、どちらか一方の系統をサービス側にして実作業に従事させ、他系統はスタンバイ側にしておき、サービス側の故障を発見したときに実作業の受け持ちをスタンバイ側に切り替える。
【0003】
図6は、操作量MV(Manipulated Value)に応じた4−20mAの電流を出力する電流出力部を二重化した従来の二重化システム300の構成例を示している。本例では、電流出力部A310aと電流出力部B310bとで二重化している。電流出力部A310aと電流出力部B310bとは、同じ構成であり、同じ操作量MVが入力される。このため、電流出力部B310bは記載を簡略化している。
【0004】
二重化システム300では、電流出力部A310aの動作を監視する二重化制御部A320aと、電流出力部B310bの動作を監視する二重化制御部B320bとが設けられている。二重化制御部A320a、二重化制御部B320bとも二重化システム300の制御を行なう上位システムに接続されている。
【0005】
二重化制御部A320aは、電流出力部A310aの動作を監視し、電流出力部A310aが正常であれば制御権を要求するReqA信号をHにし、異常が検出されればReqA信号をLにする。二重化制御部B320bは、電流出力部B310bの動作を監視し、電流出力部B310bが正常であれば制御権を要求するReqB信号をHにし、異常が検出されればReqB信号をLにする。
【0006】
二重化システム300は、電流出力部A310a、電流出力部B310bのいずれか一方をサービス側とし、他方をスタンバイ側に切り替える切替部330を備えている。切替部330は、ReqA信号とReqB信号を入力し、電流出力部A310aにServiceA信号を出力し、電流出力部B310bにServiceB信号を出力する。
【0007】
切替部330は、SR型のラッチ回路で構成することができ、本図の例ではNANDゲートG1とNANDゲートG2とから構成される負論理SR型ラッチ回路で構成されている。すなわち、NANDゲートG1が、Req信号AとNANDゲートG2の出力であるServiceB信号とを入力して、ServiceA信号を出力し、NANDゲートG2が、Req信号BとNANDゲートG1の出力であるServiceA信号とを入力して、ServiceB信号を出力する。
【0008】
ここで、NANDゲートG1が出力するServiceA信号をNANDゲートG2にフィードバックする経路をfbAと称し、NANDゲートG2が出力するServiceB信号をNANDゲートG1にフィードバックする経路をfbBと称するものとする。
【0009】
電流出力部A310aは、ServiceA信号がLのとき、トランジスタTr1がオフとなるため、操作量MVに応じた4−20mAの電流を出力するサービス側として機能し、ServiceA信号がHのとき、トランジスタTr1がオンとなるため、電流を出力せずにスタンバイ側として機能する。電流出力部B310bは、ServiceB信号がLのときサービス側として機能し、ServiceB信号がHのときスタンバイ側として機能する。
【0010】
電流出力部A310a、電流出力部B310bとも正常な状態で、上位システムの制御により、二重化制御部A320a、二重化制御部B320bのいずれかが先に制御権を要求する。ここでは、二重化制御部A320aが先に制御権を要求するものとし、ReqA信号がH、ReqB信号がLとなる。
【0011】
これにより、ServiceA信号がL、ServiceB信号がHで安定し、電流出力部A310aがサービス側となり、電流出力部B310bがスタンバイ側となる。
【0012】
その後、二重化制御部B320bが制御権を要求して、ReqA信号、ReqB信号ともHとなる。この状態では、切替部330の出力状態は保持されるため、電流出力部A310aがサービス側で、電流出力部B310bがスタンバイ側のままとなる。
【0013】
二重化システム300の稼働中に、サービス側である二重化制御部A320aが電流出力部A310aの異常を検出すると、制御権を放棄してReqA信号をLにする。これにより、ServiceA信号がH、ServiceB信号がLに反転し、電流出力部B310bがサービス側となり、電流出力部A310aがスタンバイ側となって、サービスを停止することなく二重化システム300の稼働を継続することができる。
【0014】
また、二重化制御部A320aは、電流出力部A310aの異常を上位システムに通知する。これにより、電流出力部B310bがサービス側となっている間に、電流出力部A310aを修理・交換して、再度制御権を要求することができる。このため、その後、電流出力部B310bの異常が検出された場合でも即座に電流出力部A310aがサービス側に移行することができ、サービスを停止することなく二重化システム300の稼働を継続することができる。
【0015】
一方、スタンバイ側である二重化制御部B320bが電流出力部B310bの異常を検出すると、ReqB信号をLにする。この状態では、切替部330の出力状態は保持されるため、電流出力部A310aがサービス側として動作し続ける。
【0016】
また、二重化制御部B320bは、電流出力部B310bの異常を上位システムに通知する。これにより、電流出力部A310aがサービス側となっている間に、電流出力部B310bを修理・交換して、再度制御権を要求することができる。このため、その後、電流出力部A310aの異常が検出された場合でも即座に電流出力部B310bがサービス側に移行することができ、サービスを停止することなく二重化システム300の稼働を継続することができる。
【先行技術文献】
【特許文献】
【0017】
【特許文献1】特開2000−222001号公報
【発明の概要】
【発明が解決しようとする課題】
【0018】
二重化されたそれぞれの電流出力部310については、二重化制御部320が監視しているため、いずれか一方に異常が発生しても即座に検出されて対応を行なうことができ、二重化システム300の連続稼働に影響を与えることはない。
【0019】
しかしながら、通常状態では伝送信号が変化しない切替部330は監視対象になっていないため、仮に、切替部330のフィードバック経路に伝送信号がHまたはLに固着する固着故障が発生すると、サービス側の電流出力部310に異常が発生し、サービス側とスタンバイ側との切り替えを実行するまで問題が表面化されない。
【0020】
例えば、電流出力部A310aがサービス側として稼働中に、フィードバック経路fbAが固着故障を起こしたとする。この状態で、サービス側である電流出力部A310aの異常が検出され、二重化制御部A320aが制御権を放棄して、ServiceA信号をHに切り替えたとしても、この信号がNANDゲートG2に伝わらないため、電流出力部B310bはサービス側に移行することができない。このため、二重化システム300の稼働が停止してしまう。
【0021】
このように、切替部330のフィードバック経路に固着故障が発生した状態で放置されると、サービス側の異常に対応した必要な切り替えが正常に行なわれず、二重化システム300の稼働率に大きな影響を与えるおそれがある。
【0022】
そこで、本発明は、二重化システムの切替部における固着故障を検出できるようにすることを目的とする。
【課題を解決するための手段】
【0023】
このような課題を達成するため、本発明によれば、制御権を要求する第1リクエスト信号を出力する第1二重化制御部と、制御権を要求する第2リクエスト信号を出力する第2二重化制御部と、前記第1リクエスト信号および前記第2リクエスト信号を入力し、第1サービス信号および第2サービス信号を出力する切替部と、を備えた、二重化制御装置であって、前記切替部は、前記第1リクエスト信号と前記第2サービス信号に基づく信号とを入力し、前記第1サービス信号を出力する第1ゲートと、前記第2リクエスト信号と前記第1サービス信号に基づく信号とを入力し、前記第2サービス信号を出力する第2ゲートと、前記第1サービス信号に固着故障検出用データを付加して出力する第1送信部と、前記第1送信部の出力データを入力し、前記固着故障検出用データに基づいて、固着故障を検出するとともに、固着故障を検出しない場合は、前記第1サービス信号を抽出して前記第2ゲートに出力し、固着故障を検出した場合は、前記第1サービス信号の状態をスタンバイ側として前記第2ゲートに出力する第2受信部と、前記第2サービス信号に固着故障検出用データを付加して出力する第2送信部と、前記第2送信部の出力データを入力し、前記固着故障検出用データに基づいて、固着故障を検出するとともに、固着故障を検出しない場合は、前記第2サービス信号を抽出して前記第1ゲートに出力し、固着故障を検出した場合は、前記第2サービス信号の状態をスタンバイ側として前記第1ゲートに出力する第1受信部と、を備えたことを特徴とする。ここで、前記第1送信部は前記第1サービス信号にパリティデータをさらに付加して出力し、前記第2受信部は、前記第1送信部の出力データを入力し、前記パリティデータに基づいて送信データの異常を検出し、前記第2送信部は前記第2サービス信号にパリティデータをさらに付加して出力し、前記第1受信部は、前記第2送信部の出力データを入力し、前記パリティデータに基づいて送信データの異常を検出することができる。
また、前記固着故障検出用データは、前記固着故障検出用データを付加して出力するデータにおいて、同じ値のビットが所定個数連続しないデータとすることができる。
【発明の効果】
【0024】
本発明によれば、二重化システムの切替部における固着故障を検出できるようになる。
【図面の簡単な説明】
【0025】
【図1】本実施形態に係る二重化システムの構成例を示す図である。
【図2】送信部の動作を説明するフローチャートである。
【図3】複数ビットシリアルデータのフレーム構成例を示す図である。
【図4】受信部の動作を説明するフローチャートである。
【図5】本実施形態に係る二重化システムの別例を示す図である。
【図6】従来の二重化システムの構成例を示す図である。
【発明を実施するための形態】
【0026】
本発明の実施の形態について図面を参照して説明する。図1は、本実施形態に係る二重化システム100の構成例を示す図である。本実施形態では、操作量MV(Manipulated Value)に応じた4−20mAの電流を出力する電流出力部を二重化した二重化システム100を例に説明するが、本発明は、電流出力部に限られず、デジタル信号出力部や電圧出力部等、種々の機能部を二重化したシステムに適用することができる。
【0027】
本図に示すように、二重化システム100は、電流出力部A110aと電流出力部B110bとで二重化している。電流出力部A110aと電流出力部B110bとは、同じ構成であり、同じ操作量MVが入力される。このため、電流出力部B110bは記載を簡略化している。
【0028】
以下では、電流出力部A110a側をA系統と称し、電流出力部B110b側をB系統と称する。電流出力部A110aと電流出力部B110bとを区別する必要がない場合には電流出力部110と総称する。他の部位についても同様である。
【0029】
二重化システム100では、電流出力部A110aの動作を監視する二重化制御部A120aと、電流出力部B110bの動作を監視する二重化制御部B120bとが設けられている。二重化制御部A120a、二重化制御部B120bとも二重化システム100の制御を行なう上位システムに接続されている。
【0030】
二重化制御部A120aは、電流出力部A110aの動作を監視し、電流出力部A110aが正常であれば制御権を要求するReqA信号をHにし、異常が検出されればReqA信号をLにする。二重化制御部B120bは、電流出力部B110bの動作を監視し、電流出力部B110bが正常であれば制御権を要求するReqB信号をHにし、異常が検出されればReqB信号をLにする。
【0031】
二重化システム100は、電流出力部A110a、電流出力部B110bのいずれか一方をサービス側とし、他方をスタンバイ側に切り替える切替部130を備えている。二重化制御部A120a、二重化制御部B120b、切替部130で二重化制御装置を構成している。切替部130は、ReqA信号とReqB信号を入力し、電流出力部A110aにServiceA信号を出力し、電流出力部B110bにServiceB信号を出力する。
【0032】
切替部130は、SR型のラッチ回路を含んで構成することができ、本図の例ではA系統のNANDゲートG1とB系統のNANDゲートG2とから構成される負論理SR型ラッチ回路を含んで構成されている。なお、切替部130は、ハードウェアで構成してもよいし、ソフトウェアで構成してもよい。
【0033】
すなわち、NANDゲートG1が、Req信号AとNANDゲートG2の出力であるServiceB信号とを入力して、ServiceA信号を出力し、NANDゲートG2が、Req信号BとNANDゲートG1の出力であるServiceA信号とを入力して、ServiceB信号を出力する。
【0034】
ここで、NANDゲートG1が出力するServiceA信号をNANDゲートG2にフィードバックする経路をfbAと称し、NANDゲートG2が出力するServiceB信号をNANDゲートG1にフィードバックする経路をfbBと称するものとする。
【0035】
後述するように、本実施形態では、経路fbAに送信部A131aと受信部B132bとを設け、経路fbBに送信部B131bと受信部A132aとを設けている。送信部A131aと受信部A132aとがA系統に属し、送信部B131bと受信部B132bとがB系統に属するものとする。
【0036】
電流出力部A110aは、ServiceA信号がLのとき、トランジスタTr1がオフとなるため、操作量MVに応じた4−20mAの電流を出力するサービス側として機能し、ServiceA信号がHのとき、トランジスタTr1がオンとなるため、電流を出力せずにスタンバイ側として機能する。電流出力部B110bは、ServiceB信号がLのときサービス側として機能し、ServiceB信号がHのときスタンバイ側として機能する。
【0037】
二重化システム100の基本的な動作は従来と同様である。すなわち、電流出力部A110a、電流出力部B110bとも正常な状態で、上位システムの制御により、二重化制御部A120a、二重化制御部B120bのいずれかが先に制御権を要求する。ここでは、二重化制御部A120aが先に制御権を要求するものとし、ReqA信号がH、ReqB信号がLとなる。
【0038】
これにより、ServiceA信号がL、ServiceB信号がHで安定し、電流出力部A110aがサービス側となり、電流出力部B110bがスタンバイ側となる。
【0039】
その後、二重化制御部B120bが制御権を要求して、ReqA信号、ReqB信号ともHとなる。この状態では、切替部130の出力状態は保持されるため、電流出力部A110aがサービス側で、電流出力部B110bがスタンバイ側のままとなる。
【0040】
二重化システム100の稼働中に、サービス側である二重化制御部A120aが電流出力部A110aの異常を検出すると、制御権を放棄してReqA信号をLにする。これにより、ServiceA信号がH、ServiceB信号がLに反転し、電流出力部B110bがサービス側となり、電流出力部A110aがスタンバイ側となるため、サービスを停止することなく二重化システム100の稼働を継続することができる。
【0041】
また、二重化制御部A120aは、電流出力部A110aの異常を上位システムに通知する。これにより、電流出力部B110bがサービス側となっている間に、電流出力部A110aを修理・交換して、再度制御権を要求することができる。このため、その後、電流出力部B110bの異常が検出された場合でも即座に電流出力部A110aがサービス側に移行することができ、サービスを停止することなく二重化システム100の稼働を継続することができる。
【0042】
一方、スタンバイ側である二重化制御部B120bが電流出力部B110bの異常を検出すると、ReqB信号をLにする。この状態では、切替部130の出力状態は保持されるため、電流出力部A110aがサービス側として動作し続ける。
【0043】
また、二重化制御部B120bは、電流出力部B110bの異常を上位システムに通知する。これにより、電流出力部A110aがサービス側となっている間に、電流出力部B110bを修理・交換して、再度制御権を要求することができる。このため、その後、電流出力部A110aの異常が検出された場合でも即座に電流出力部B110bがサービス側に移行することができ、サービスを停止することなく二重化システム100の稼働を継続することができる。
【0044】
次に、切替部130の詳細について説明する。上記の動作は切替部130のフィードバック経路に固着故障が発生していないことを前提としていたが、フィードバック経路に固着故障が発生すると、必要な切り替えが行なわれず、二重化システム100の稼働を継続することができなくなる場合がある。
【0045】
そこで、本実施形態では、経路fbAに送信部A131aと受信部B132bとを設け、経路fbBに送信部B131bと受信部A132aとを設けることで、固着故障を検出できるようにしている。ここで、送信部A131aと受信部A132aとは、A系統のNANDゲートG1側に配置し、送信部B131bと受信部B132bとは、B系統のNANDゲートG2側に配置する。
【0046】
送信部A131aは、1ビット情報であるServiceA信号に、所定の情報を付加して複数ビットのシリアルデータとして受信部B132bに送信する。受信部B132bは、受信した複数ビットのシリアルデータに基づいて経路fbAの固着故障診断を行なうとともに、ServiceA信号を抽出してNANDゲートG2に入力する。
【0047】
送信部B131bは、1ビット情報であるServiceB信号に、所定の情報を付加して複数ビットのシリアルデータとして受信部A132aに送信する。受信部A132aは、受信した複数ビットのシリアルデータに基づいて経路fbBの固着故障診断を行なうとともに、ServiceB信号を抽出してNANDゲートG1に入力する。
【0048】
ここで、所定の情報は、送信部131から受信部132に送るシリアルデータで、同じ値のビットが所定個数連続しないようにする情報であり、固着故障検出用データと称する。固着故障検出用データは、1ビットあるいは複数ビットからなる情報であり、例えば、カウント値や時刻情報、Service信号のビットを反転した情報、フレーム毎に0と1が交互に変化する情報、「01」または「10」の2ビットを含む情報等とすることができる。また、ハイレベル信号の状態やキャリア信号がない状態であるIDLE信号状態をフレーム間に設けてもよい。
【0049】
これにより、受信部132は、受信したシリアルデータで同じ値のビットが所定個数以上連続している場合に、固着故障が発生していると判断することができる。
【0050】
図2は、送信部131の動作を説明するフローチャートである。送信部131は、自系統のNANDゲートが出力するService信号を取得する(S101)。そして、固着故障検出用データを付加する(S102)。固着故障検出用データは、上述のように、同じ値のビットが所定個数連続しないようにする情報である。所定個数の連続は、複数のフレームをまたいでいてもよい。
【0051】
さらに、本実施形態では、送受信データの信頼性を高めるためにパリティデータを付加するものとする(S103)。そして、複数ビットシリアルデータとして相手方系統の受信部132に送信する(S104)。送信部131は、以上の(S101)〜(S104)の処理を所定間隔で繰り返す。
【0052】
図3は、複数ビットシリアルデータの1フレームの例を示している。本図に示すように、複数ビットシリアルデータはService信号、固着故障検出用データ、パリティデータで1フレームを構成している。ただし、順序を変更したり、他の情報を付加したり、パリティデータを省くようにしてもよい。また、固着故障検出用データでフレームの区切りを示すようにしてもよい。
【0053】
図4は、受信部132の動作を説明するフローチャートである。受信部132は、相手方系統の送信部131から複数ビットシリアルデータを受信すると(S201)、複数ビットシリアルデータで同じ値のビットが所定個数連続しているかどうかを判定する(S202)。所定個数は、固着故障検出用データにより、同じ値のビットが連続し得ない個数より多い数とする。少なくとも、1フレームのビット数から固着故障検出用データのビット数を引いた個数よりも多くすることが望ましく、例えば、1フレームを構成するビット数とすることができる。
【0054】
同じ値のビットが所定個数連続していない場合(S202:No)には、固着故障が発生していないと判断し、パリティデータを用いたパリティチェックを行なう(S203)。
【0055】
パリティチェックの結果、パリティが不正でなければ(S203:No)、動作が正常であるとして、複数ビットシリアルデータからService信号を抽出し、自系統のNANDゲートに出力する(S204)。
【0056】
一方、パリティが不正であれば(S204:Yes)、固着故障は発生していないものの送信データに異常があるとして自系統の二重化制御部120に通知し、二重化制御部120は上位システムに通知する。これにより、異常発生の可能性があるとしてフィードバック経路の点検を行なうことができる。この場合も、複数ビットシリアルデータからService信号を抽出し、自系統のNANDゲートに出力する(S204)。
【0057】
同じ値のビットが所定個数連続している場合(S202:Yes)には、自身のフィードバック経路で固着故障が発生していると判断する。例えば、受信部B132bであれば、フィードバック経路fbAで固着故障が発生したと判断し、受信部A132aであれば、フィードバック経路fbBで固着故障が発生したと判断する。
【0058】
そして、自系統がスタンバイ側であれば(S206:Yes)、自系統のNANDゲートを操作し、出力をLに切り替える。具体的には、自系統のNANDゲートにHを出力する。自系統のReq信号はHであるため、自系統のNANDゲートはLを出力することになる。これにより自系統の電流出力部110がサービス側に移行する。これは、サービス側となっている相手方系統の電流出力部110に異常が発生した場合に、フィードバック経路の固着故障により自系統側がサービス側に移行できないことから、あらかじめサービス側に移行しておくためである。
【0059】
Lに切り替えられたNANDゲートの出力は、固着故障が発生していない他方のフィードバック経路を経由して、相手方系統のNANDゲートに入力される。これにより、相手方系統がサービス側からスタンバイ側に移行する。
【0060】
移行後に、サービス側となった電流出力部110に異常が発生したとしても、正常なフィードバック経路によりサービス側とスタンバイ側とを切り替えることができるため、サービスを停止することなく二重化システム100の稼働を継続することができる。
【0061】
例えば、電流出力部B110bがスタンバイ側のときに、受信部B132bがフィードバック経路fbAの固着故障を検出すると、NANDゲートG2の出力をLに切り替えることで、電流出力部A110aをスタンバイ側に移行させるとともに、電流出力部B110bをサービス側に切り替える。
【0062】
この状態でサービス側の電流出力部B110bに異常が発生しても、二重化制御部B120bが、ReqB信号をLにしてServiceB信号をHにすることで、電流出力部B110bをスタンバイ側に移行させることができる。また、正常なフィードバック経路fbAを経由して、電流出力部A110aをサービス側に移行させることができる。
【0063】
一方、自系統がサービス側であれば(S206:No)、そのまま稼働を続ける。これは、サービス側となっている自系統の電流出力部110に異常が発生した場合でも、正常なフィードバック経路によりサービス側とスタンバイ側とを切り替えることができるため、サービスを停止することなく二重化システム100の稼働を継続することができるからである。
【0064】
いずれの場合も、固着異常が発生したことを自系統の二重化制御部120に通知し、二重化制御部120が上位システムに通知する(S208)。これにより、サービスを停止することなく二重化システム100の稼働を継続した状態で、フィードバック経路の固着故障を修理することが可能となる。
【0065】
そして、受信部132は、複数ビットシリアルデータからService信号を抽出し、自系統のNANDゲートに出力する(S204)。
【0066】
以上説明したように、本実施形態の二重化システム100によれば切替部130におけるフィードバック経路の固着故障を検出することができるようになる。また、フィードバック経路の固着故障が発生しても、システムの稼働率に影響を与えないようにすることができる。
【0067】
なお、本発明は、上記の実施形態の構成に限られない。例えば、図5に示すように、受信部132の出力と、二重化制御部120aが出力するDpsel信号とのORをNANDゲートの一方の入力とする切替部140を用いることで、Dpsel信号により電流出力部A110aと電流出力部B110bとを二重化動作させるか、それぞれが独立したシングル動作させるかを指定することができる二重化システム101に本発明を適用してもよい。
【0068】
この場合、DpselA信号、DpselB信号をともにLとすることで、二重化システム101は、上述の二重化システム100と同様の動作を行なうことになる。一方、DpselA信号、DpselB信号をともにHとすることで、二重化システム101は、電流出力部A110aと電流出力部B110bとが独立したシングル動作を行なうことになる。
【符号の説明】
【0069】
100…二重化システム、101…二重化システム、110…電流出力部、120…二重化制御部、130…切替部、131…送信部、132…受信部、140…切替部