7023722 二重化制御システム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】

(24)【登録日】2022-02-14

(45)【発行日】2022-02-22

(54)【発明の名称】二重化制御システム

(51)【国際特許分類】

   G05B 9/03 20060101AFI20220215BHJP

【ＦＩ】

G05B9/03

【請求項の数】 4

(21)【出願番号】P 2018008006

(22)【出願日】2018-01-22

(65)【公開番号】P2019128638

(43)【公開日】2019-08-01

【審査請求日】2020-12-14

(73)【特許権者】

【識別番号】301078191

【氏名又は名称】株式会社日立ハイテクソリューションズ

(74)【代理人】

【識別番号】110001829

【氏名又は名称】特許業務法人開知国際特許事務所

(72)【発明者】

【氏名】木村 拓郎

(72)【発明者】

【氏名】樽井 誠

【審査官】今井 貞雄

(56)【参考文献】

【文献】特開平０８－１４７０１２（ＪＰ，Ａ）

【文献】特開２０１３－２５０９１８（ＪＰ，Ａ）

【文献】特開２００８－０９０６００（ＪＰ，Ａ）

【文献】特開２００６－３４４０２３（ＪＰ，Ａ）

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｇ０５Ｂ ９／０３

(57)【特許請求の範囲】

【請求項1】

主系コントローラと、
従系コントローラとを備え、
前記主系コントローラが制御を実行できる実行可状態から制御を実行できない実行不可状態となったときに、前記従系コントローラが前記主系コントローラが実行していた制御を引き継ぐように構成された二重化制御システムにおいて、
前記主系コントローラは、第１パルス送信部と、第１シリアル送信部とを有し、
前記従系コントローラは、第１パルス信号線を介して前記第１パルス送信部に接続された第１パルス受信部と、第１シリアル信号線を介して前記第１シリアル送信部に接続された第１シリアル受信部とを有し、
前記主系コントローラは、自系が実行可状態にあるときに、前記第１パルス送信部からパルス信号を継続的に送信しかつ前記第１シリアル送信部から実行可情報を定期的に送信し、自系が実行不可状態にあるときに、前記第１パルス送信部からのパルス信号の送信を停止しかつ前記第１シリアル送信部から実行不可情報を定期的に送信し、
前記従系コントローラは、前記第１パルス受信部を介してパルス信号を受信できない場合は、前記第１シリアル受信部を介して受信した実行可否情報に基づいて前記主系コントローラの実行可否状態を判定し、前記第１シリアル受信部を介して実行可否情報を受信できない場合は、前記第１パルス受信部を介してパルス信号を受信できたか否かに基づいて前記主系コントローラの実行可否状態を判定する
ことを特徴とする二重化制御システム。

【請求項2】

請求項１に記載の二重化制御システムにおいて、
前記従系コントローラは、第２パルス送信部と、第２シリアル送信部とを有し、
前記主系コントローラは、第２パルス信号線を介して前記第２パルス送信部に接続された第２パルス受信部と、第２シリアル信号線を介して前記第２シリアル送信部に接続された第２シリアル受信部とを有し、
前記従系コントローラは、自系が実行可状態にあるときに、前記第２パルス送信部からパルス信号を継続的に送信しかつ前記第２シリアル送信部から実行可情報を定期的に送信し、自系が実行不可状態にあるときに、前記第２パルス送信部からのパルス信号の送信を停止しかつ前記第２シリアル送信部から実行不可情報を定期的に送信し、
前記主系コントローラは、前記第２パルス受信部を介してパルス信号を受信できない場合は、前記第２シリアル受信部を介して受信した実行可否情報に基づいて前記従系コントローラの実行可否状態を判定し、前記第２シリアル受信部を介して実行可否情報を受信できない場合は、前記第２パルス受信部を介してパルス信号を受信できたか否かに基づいて前記従系コントローラの実行可否状態を判定する
ことを特徴とする二重化制御システム。

【請求項3】

請求項２に記載の二重化制御システムにおいて、
前記従系コントローラは、
前記第１パルス受信部がパルス信号を所定時間以上受信できていない状態で、前記第１シリアル受信部が前記主系コントローラの実行可情報を取得した場合に、前記第１パルス信号線に異常があると判定し、
前記主系コントローラは、
前記第２パルス受信部がパルス信号を所定時間以上受信できていない状態で、前記第２シリアル受信部が前記従系コントローラの実行可情報を取得した場合に、前記第２パルス信号線に異常があると判定する
ことを特徴とする二重化制御システム。

【請求項4】

請求項２に記載の二重化制御システムにおいて、
前記従系コントローラは、
前記第１パルス受信部がパルス信号を所定時間以上途切れることなく受信できている状態で、前記第１シリアル受信部が前記主系コントローラの実行可否情報を取得できない場合に、前記第１シリアル信号線に異常があると判定し、
前記主系コントローラは、
前記第２パルス受信部がパルス信号を所定時間以上途切れることなく受信できている状態で、前記第２シリアル受信部が前記従系コントローラの実行可否情報を取得できない場合に、前記第２シリアル信号線に異常があると判定する
ことを特徴とする二重化制御システム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、２つのコントローラを備えた二重化制御システムに関し、特に、一方のコントローラの異常を他方のコントローラが検知できるように構成された二重化制御システムに関する。

【背景技術】

【0002】

プラント等の制御を行うシステムとして、２つのコントローラを備えた二重化制御システムが知られている。このような二重化制御システムの従来技術を開示するものとして、例えば特許文献１がある。この特許文献１には、実行系計算機（主系コントローラ）と待機系計算機（従系コントローラ）とを備えた二重系システム（二重化制御システム）において、実行系計算機（主系コントローラ）が自らの動作に何らかの異常を検知した場合に異常通知信号を待機系計算機（従系コントローラ）に送信することが記載されている。

【先行技術文献】

【特許文献】

【0003】

【文献】特開平６－２５９２７４号公報

【発明の概要】

【発明が解決しようとする課題】

【0004】

しかしながら、特許文献１に記載の二重系システム（二重化制御システム）では、異常通知信号を送信するための信号線が固着すると、待機系計算機（従系コントローラ）は実行系計算機（主系コントローラ）の異常を検知することができない。その結果、主系コントローラで異常が発生した時に、実行系計算機（主系コントローラ）が実行していた制御を待機系計算機（従系コントローラ）に引き継がせることができなくなり、プラント等の継続運転が不可能となるおそれがある。

【0005】

本発明は、上記課題に鑑みてなされたものであり、その目的は、主系コントローラで異常が発生した時に、主系コントローラの異常を従系コントローラに通知するための信号線が固着していた場合でも、主系コントローラが実行していた制御を従系コントローラに引き継がせることができる二重化制御システムを提供することにある。

【課題を解決するための手段】

【0006】

上記目的を達成するために、本発明は、主系コントローラと、従系コントローラとを備え、前記主系コントローラが制御を実行できる実行可状態から制御を実行できない実行不可状態となったときに、前記従系コントローラが前記主系コントローラが実行していた制御を引き継ぐように構成された二重化制御システムにおいて、前記主系コントローラは、第１パルス送信部と、第１シリアル送信部とを有し、前記従系コントローラは、第１パルス信号線を介して前記第１パルス送信部に接続された第１パルス受信部と、第１シリアル信号線を介して前記第１シリアル送信部に接続された第１シリアル受信部とを有し、前記主系コントローラは、自系が実行可状態にあるときに、前記第１パルス送信部からパルス信号を継続的に送信しかつ前記第１シリアル送信部から実行可情報を定期的に送信し、自系が実行不可状態にあるときに、前記第１パルス送信部からのパルス信号の送信を停止しかつ前記第１シリアル送信部から実行不可情報を定期的に送信し、前記従系コントローラは、前記第１パルス受信部を介してパルス信号を受信できない場合は、前記第１シリアル受信部を介して受信した実行可否情報に基づいて前記主系コントローラの実行可否状態を判定し、前記第１シリアル受信部を介して実行可否情報を受信できない場合は、前記第１パルス受信部を介してパルス信号を受信できたか否かに基づいて前記主系コントローラの実行可否状態を判定するものとする。

【0007】

以上のように構成した本発明によれば、主系コントローラの異常をパルス信号線およびシリアル信号線を介して従系コントローラに通知すること（主系コントローラから従系コントローラへの異常通知手段の冗長化）により、主系コントローラで異常が発生した時に、パルス信号線またはシリアル信号線のいずれか一方が固着していた場合でも、主系コントローラが実行していた制御を従系コントローラに引き継がせることが可能となる。

【発明の効果】

【0008】

本発明によれば、主系コントローラで異常が発生した時に、主系コントローラの異常を通知するためのパルス信号線またはシリアル信号線のいずれか一方が固着していた場合でも、主系コントローラが実行していた制御を従系コントローラに引き継がせることが可能となる。

【図面の簡単な説明】

【0009】

【図1】本発明の実施の形態に係る二重化制御コントローラの構成図である。

【図2】実行系コントローラが一制御周期で実行する処理を示すフローチャートである。

【図3】実行系コントローラによる待機系コントローラの実行可否判定ロジックを示す図である。

【図4】待機系コントローラが一制御周期で実行する処理を示すフローチャートである。

【図5】待機系コントローラによる実行系コントローラの実行可否判定ロジックを示す図である。

【発明を実施するための形態】

【0010】

以下、本発明の実施の形態に係る二重化コントローラについて、図面を参照して説明する。なお、各図中、同等の部材には同一の符号を付し、重複した説明は適宜省略する。

【0011】

図１は、本実施の形態に係る二重化制御コントローラの構成図である。

【0012】

二重化制御システム１は、主系コントローラ２ａと、従系コントローラ２ｂとを備えている。主系コントローラ２ａおよび従系コントローラ２ｂは、プロセス入出力バス２０に接続されている。プロセス入出力バス２０には、プラント等を構成する各種フィールド機器（図１に示す例では、センサ２４、バルブ２５、ＰＬＣ２６）が入出力基板変換部２１～２３を介して接続されている。

【0013】

主系コントローラ２ａは、プラント等の制御の実行権（以下、実行権）を有するコントローラ（以下、実行系コントローラ）として起動し、従系コントローラ２ｂが実行権を有さないコントローラ（以下、待機系コントローラ）として起動する。実行系コントローラとして動作していた主系コントローラ２ａに異常が発生した場合は、待機系コントローラとして動作していた従系コントローラ２ｂが実行権を取得して実行系コントローラとなり、制御を継続する。二重化制御システム１（実行系コントローラとして動作する主系コントローラ２ａまたは従系コントローラ２ｂ）は、プロセス入出力バス２０を介して各種のフィールド機器を制御する。

【0014】

以下、主系コントローラ２ａの構成について説明する。なお、従系コントローラ２ｂの構成は主系コントローラ２ａと同様であるため、説明は省略する。

【0015】

主系コントローラ２ａは、ＣＰＵ３ａと、電源部４ａと、クロック５ａと、プロセス入出力部６ａと、二重化制御部７ａとを備えている。二重化制御部７ａは、パルス送信部８ａと、パルス受信部９ａと、シリアル送信部１０ａと、シリアル受信部１１ａと、比較部１２ａとを有する。主系コントローラ２ａは、図示しないＲＯＭ等の記憶装置に格納されたプログラムをＣＰＵ３ａ上で実行することにより、以下に説明する各種機能を実現する。

【0016】

ＣＰＵ３ａは、自系（主系コントローラ２ａ）が正常な場合（すなわち、制御を実行できる状態（以下、実行可状態）にある場合）はパルス送信部８ａおよびシリアル送信部１０ａに実行可情報を設定し、自系に異常を検出した場合（すなわち、制御を実行できない状態（以下、実行不可状態）にある場合）はそれぞれに実行不可情報を設定する。

【0017】

パルス送信部８ａは、パルス信号線１３ａを介して従系コントローラ２ｂのパルス受信部９ｂに接続されている。パルス送信部８ａは、ＣＰＵ３ａによって実行可情報が設定されている間はパルス信号を所定の周期で継続的に送信し、実行不可情報が設定されている間はパルス信号の送信を停止する。

【0018】

パルス受信部９ａは、パルス信号線１３ｂを介して従系コントローラ２ｂのパルス送信部８ｂに接続されている。パルス受信部９ａは、例えばウォッチドッグタイマ機能を有し、従系コントローラ２ｂのパルス送信部８ｂからのパルス信号が継続している間は、従系コントローラ２ｂが実行可状態にあると判定し、パルス信号が一定時間途絶えた場合は、従系コントローラ２ｂが実行不可状態にあると判定する。判定結果は比較部１２ａに入力される。

【0019】

シリアル送信部１０ａは、シリアル信号線１４ａを介して従系コントローラ２ｂのシリアル受信部１１ｂに接続されている。シリアル送信部１０ａは、ＣＰＵ３ａによって実行可情報が設定されている間は、実行可情報を定期的に送信し、実行不可情報が設定されている間は、実行不可情報を定期的に送信する。なお、シリアル送信部１０ａは、実行可否情報送信時に、実行可否情報以外の情報を送信することも可能である。

【0020】

シリアル受信部１１ａは、シリアル信号線１４ｂを介して従系コントローラ２ｂのシリアル送信部１０ｂに接続されている。シリアル受信部１１ａは、従系コントローラ２ｂのシリアル送信部１０ｂから実行可情報を受信した場合は、従系コントローラ２ｂが実行可状態にあると判定し、実行不可情報を受信した場合は、従系コントローラ２ｂが実行不可状態にあると判定する。判定結果は比較部１２ａに入力される。

【0021】

比較部１２ａは、パルス受信部９ａからの実行可否情報と、シリアル受信部１１ａからの実行可否情報とに基づいて、相手系（従系コントローラ２ｂ）の実行可否を判定し、判定結果をＣＰＵ３ａに通知する。

【0022】

以上のように構成した二重化制御システム１では、主系コントローラ２ａとは独立した電源部４ｂおよびクロック５ｂで動作する従系コントローラ２ｂが主系コントローラ２ａの実行可否を判定し、従系コントローラ２ｂとは独立した電源部４ａおよびクロック５ａで動作する主系コントローラ２ａが従系コントローラ２ｂの実行可否を判定するため、主系コントローラ２ａおよび従系コントローラ２ｂの実行可否を確実に判定することができる。

【0023】

図２は、実行系コントローラが一制御周期で実行する処理を示すフローチャートである。以下、主系コントローラ２ａを実行系コントローラとし、従系コントローラ２ｂを待機系コントローラとして、図２の各ステップを順に説明する。

【0024】

まず、ステップＳ１１で自系が正常であるか否かを判定する。

【0025】

ステップＳ１１でＮＯ（自系が正常でない）と判定した場合は、ステップＳ１２で自系による制御の継続が不能であること（実行不可）を待機系コントローラ２ｂに通知する。具体的には、パルス送信部８ａからのパルス信号の送信を停止すると共に、シリアル送信部１０ａから実行不可情報を送信する。ステップＳ１２が終了したら処理を終了する。

【0026】

ステップＳ１１でＹＥＳ（自系が正常である）と判定した場合は、ステップＳ１３で、主系コントローラ２ａが実行可状態にあることを待機系コントローラ２ｂに通知する。具体的には、パルス送信部８ａからパルス信号を送信すると共に、シリアル送信部１０ａから実行可情報を送信する。

【0027】

ステップＳ１３に続き、ステップＳ１４で待機系コントローラ２ｂが制御を引き継ぐことができる状態にある（実行可）か否かを判定する。実行系コントローラ２ａによる待機系コントローラ２ｂの実行可否判定方法については後述する。

【0028】

ステップＳ１３でＹＥＳ（待機系コントローラ２ｂが“実行可”である）と判定した場合は、処理を終了する。

【0029】

ステップＳ２４でＮＯ（待機系コントローラ２ｂが実行不可状態にある）と判定した場合は、ステップＳ１５で待機系コントローラ２ｂが実行不可状態にあることを外部接続機器（図示せず）に通知し、処理を終了する。これにより、システム管理者等は待機系コントローラ２ｂの異常を把握し、適切な措置を講ずることができる。

【0030】

図３に実行系コントローラによる待機系コントローラの実行可否判定ロジックを示す。以下、主系コントローラ２ａを実行系コントローラとし、従系コントローラ２ｂを待機系コントローラとして、図３の各ケースを説明する。

【0031】

（ケース１）パルス受信部９ａがパルス信号を正常に受信し、かつシリアル受信部１１ａが待機系コントローラ２ｂの実行可情報を受信した場合は、待機系コントローラ２ｂを実行可と判定すると共に、パルス信号線１３ｂおよびシリアル信号線１４ｂは正常であると判定する。

【0032】

（ケース２）パルス受信部９ａがパルス信号を正常に受信できず、かつシリアル受信部１１ａが待機系コントローラ２ｂの実行可情報を受信した場合は、待機系コントローラ２ｂを実行可と判定すると共に、パルス信号線１３ｂに異常があると判定する。

【0033】

（ケース３）パルス受信部９ａがパルス信号を正常に受信し、かつシリアル受信部１１ａが待機系コントローラ２ｂの実行不可情報を受信した場合は、パルス信号とシリアル信号とで実行可否情報が矛盾しており、待機系コントローラ２ｂの実行可否を正しく判定することはできない。この場合は、パルス信号線１３ｂおよびシリアル信号線１４ｂも正常であると判定し、待機系コントローラ２ｂは実行不可と判定する。これにより、待機系コントローラ２ｂの実行可否が不確定の状態で待機系コントローラ２ｂが制御を引き継ぐことを防止できる。

【0034】

（ケース４）パルス受信部９ａがパルス信号を正常に受信できず、かつシリアル受信部１１ａが待機系コントローラ２ｂの実行不可情報を受信した場合は、待機系コントローラ２ｂを実行不可と判定すると共に、パルス信号線１３ｂおよびシリアル信号線１４ｂは正常であると判定する。

【0035】

（ケース５）パルス受信部９ａがパルス信号を正常に受信し、かつシリアル受信部１１ｂが待機系コントローラ２ｂの実行可否情報を正常に受信できなかった場合は、待機系コントローラ２ｂを実行可と判定すると共に、シリアル信号線１４ｂに異常があると判定する。

【0036】

（ケース６）パルス受信部９ａがパルス信号を正常に受信できず、かつシリアル受信部１１ａが待機系コントローラ２ｂの実行可否情報を正常に受信できなかった場合は、待機系コントローラ２ｂが実行不可状態にあると判定すると共に、シリアル信号線１４ｂまたはパルス信号線１３ｂに異常があると判定する。

【0037】

図４は、待機系コントローラ２ｂが一制御周期で実行する処理を示すフローチャートである。以下、主系コントローラ２ａを実行系コントローラとし、従系コントローラ２ｂを待機系コントローラとして、各ステップを順に説明する。

【0038】

まず、ステップＳ２１で自系が正常であるか否かを判定する。

【0039】

ステップＳ２１でＮＯ（自系が正常でない）と判定した場合は、ステップＳ２２で、従系コントローラ２ｂが実行不可状態にあることを主系コントローラ２ａに通知する。具体的には、パルス送信部８ｂからのパルス信号の送信を停止すると共に、シリアル送信部１０ｂから実行不可情報を送信する。ステップＳ２２が終了したら処理を終了する。

【0040】

ステップＳ２１でＹＥＳ（自系が正常である）と判定した場合は、ステップＳ２３で、待機系コントローラ２ｂが実行可状態にあることを実行系コントローラ２ａに通知する。具体的には、パルス送信部８ｂからパルス信号を送信すると共に、シリアル送信部１０ｂから実行可情報を送信する。

【0041】

ステップＳ２３に続き、ステップＳ２４で実行系コントローラ２ａが実行可状態にあるか否かを判定する。待機系コントローラ２ｂによる主系コントローラ２ａの実行可否判定方法については後述する。

【0042】

ステップＳ２４でＹＥＳ（実行系コントローラ２ａが実行可状態にある）と判定した場合は、処理を終了する。

【0043】

ステップＳ２４でＮＯ（実行系コントローラ２ａが実行不可状態にある）と判定した場合は、ステップＳ２５で実行権を取得する。これにより、実行系コントローラ２ａに異常が発生した場合でも、待機系コントローラ２ｂによって制御を継続することができる。

【0044】

ステップＳ２５に続き、ステップＳ２６で実行系コントローラ２ａが実行不可状態にあることを外部接続機器（図示せず）に通知し、処理を終了する。これにより、システム管理者等は実行系コントローラ２ａの異常を把握し、適切な措置を講ずることができる。

【0045】

図５に待機系コントローラによる実行系コントローラの実行可否判定ロジックを示す。なお、図５に示す実行可否判定ロジックは、待機系コントローラと実行系コントローラが入れ替わる点を除き、図３に示す実行可否判定ロジックと同様であるため、説明は省略する。

【0046】

以上のように構成した二重化制御システム１によれば、主系コントローラ２ａの異常をパルス信号線１３ａおよびシリアル信号線１４ａを介して従系コントローラ２ｂに通知すること（主系コントローラ２ａから従系コントローラ２ｂへの異常通知手段の冗長化）により、主系コントローラ２ａで異常が発生した時に、パルス信号線１３ａまたはシリアル信号線１４ａのいずれか一方が固着していた場合でも、主系コントローラ２ａは従系コントローラ２ｂの実行可否を正しく判定することができ、主系コントローラ２ａが実行していた制御を従系コントローラ２ｂに引き継がせることが可能となる。

【0047】

また、従系コントローラ２ｂの異常をパルス信号線１３ｂおよびシリアル信号線１４ｂを介して主系コントローラ２ａに通知すること（従系コントローラ２ｂから主系コントローラ２ａへの異常通知手段の冗長化）により、従系コントローラ２ｂで異常が発生した時に、パルス信号線１３ｂまたはシリアル信号線１４ｂのいずれか一方が固着していた場合でも、主系コントローラ２ａは従系コントローラ２ｂの実行可否を正しく判定することができる。

【0048】

また、主系コントローラ２ａの正常時にパルス送信部８ａからパルス信号を継続的に送信する構成としたことにより、従系コントローラ２ｂは、シリアル受信部１１ｂが主系コントローラ２ａの実行可情報を受信しかつパルス受信部９ｂがパルス信号を受信できなかった場合に、パルス信号線１３ａの固着を検出することが可能となる。同様に、従系コントローラ２ｂの正常時にパルス送信部８ｂからパルス信号を継続的に送信する構成としたことにより、主系コントローラ２ａは、シリアル受信部１１ａが従系コントローラ２ｂの実行可情報を受信しかつパルス受信部９ａがパルス信号を受信できなかった場合に、パルス信号線１３ｂの固着を検出することが可能となる。

【0049】

以上、本発明の実施例について詳述したが、本発明は、上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は、本発明を分かり易く説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。

【符号の説明】

【0050】

１…二重化制御システム、２ａ…主系コントローラ、２ｂ…従系コントローラ、３ａ，３ｂ…ＣＰＵ、４ａ，４ｂ…電源部、５ａ，５ｂ…クロック、６ａ，６ｂ…プロセス入出力部、７ａ，７ｂ…二重化制御部、８ａ…パルス送信部（第１パルス送信部）、８ｂ…パルス送信部（第２パルス送信部）、９ａパルス受信部（第２パルス受信部）、９ｂ…パルス受信部（第１パルス受信部）、１０ａ…シリアル送信部（第１シリアル送信部）、１０ｂ…シリアル送信部（第２シリアル送信部）、１１ａ…シリアル受信部（第２シリアル受信部）、１１ｂ…シリアル受信部（第１シリアル受信部）、１２ａ，１２ｂ…比較部、１３ａ…パルス信号線（第１パルス信号線）、１３ｂ…パルス信号線（第２パルス信号線）、１４ａ…シリアル信号線（第１シリアル信号線）、１４ｂ…シリアル信号線（第２シリアル信号線）、２０…プロセス入出力バス、２１～２３…入出力基板変換部、２４…センサ、２５…バルブ、２６…ＰＬＣ。

【図1】

【図2】

【図3】

【図4】

【図5】