JP2016095770A - コントローラ、およびこれを用いた冗長化制御システム - Google Patents
コントローラ、およびこれを用いた冗長化制御システム Download PDFInfo
- Publication number
- JP2016095770A JP2016095770A JP2014232690A JP2014232690A JP2016095770A JP 2016095770 A JP2016095770 A JP 2016095770A JP 2014232690 A JP2014232690 A JP 2014232690A JP 2014232690 A JP2014232690 A JP 2014232690A JP 2016095770 A JP2016095770 A JP 2016095770A
- Authority
- JP
- Japan
- Prior art keywords
- controller
- active
- power supply
- standby
- management unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Hardware Redundancy (AREA)
- Safety Devices In Control Systems (AREA)
Abstract
【課題】 冗長化制御システムにおいて、稼働系の電源断の発生後、速やかに待機系を稼働系に切り替える。
【解決手段】 稼働系のコントローラ10Aのシステム管理部54は、電源20からの電源電圧の供給の遮断を電源電圧監視部56により検知すると、自系のネットワーク管理部51により電源断状態通知を待機系のコントローラ10Bに送る。待機系のコントローラ10Bのシステム管理部54は、自系のネットワーク管理部51により電源断状態通知を受け取ると、待機系から稼働系への切り替えを行う。
【選択図】図2
【解決手段】 稼働系のコントローラ10Aのシステム管理部54は、電源20からの電源電圧の供給の遮断を電源電圧監視部56により検知すると、自系のネットワーク管理部51により電源断状態通知を待機系のコントローラ10Bに送る。待機系のコントローラ10Bのシステム管理部54は、自系のネットワーク管理部51により電源断状態通知を受け取ると、待機系から稼働系への切り替えを行う。
【選択図】図2
Description
この発明は、機器を制御するコントローラおよびこれを用いた冗長化制御システムに関する。
工場や各種プラント等の産業施設においては、各種操業を制御するために制御システムが構築されることが多い。制御システムには、産業施設内に設置されたセンサからの監視データの収集やその収集結果に応じて電動機等の駆動制御を行うコントローラが含まれている。このようなコントローラとしては、DCS(Distributed Control System:分散型制御システム或いは分散型制御装置)やプログラマブルロジックコントローラ(以下、PLC)が用いられる。一般的なFA(Factory Automation)システムでは制御装置としてPLCが用いられることが多く、高信頼性を要求されるプラント設備では制御装置としてDCSが用いられることが多い。
この種の制御システムでは、制御システムの故障に起因する工場等の操業停止を回避するために、コントローラ等の監視制御系統の二重化が行われることが一般的である。ここで、監視制御系統の二重化とは、コントローラ等の監視制御系統を2系統設け、その一方を稼働系、他方を待機系として動作させることをいう。稼働系のコントローラは、監視対象機器から監視データを収集し、収集した監視データを用いてアプリケーションを実行し、これにより得られた制御データを制御対象機器に供給する。そして、待機系は、稼働系の故障に備えて待機する。以下では、この二重化された制御システムのことを冗長化制御システムと呼ぶ。
図5は、冗長化制御システム9の構成を示すブロック図である。図5には、コントローラ90Aおよびコントローラ90Bの2台のコントローラからなる冗長化制御システム9が図示されている。図5に示すように、コントローラ90Aおよび90Bは、ネットワーク回線91を介して相互に接続されている。このネットワーク回線91は、コントローラ90Aおよび90B間の通信を仲介するコントローラ間通信手段である。また、図示は省略したが、コントローラ90Aおよびコントローラ90Bには、I/O機器等を介して監視対象機器や制御対象機器が接続されている。そして、図示の例では、コントローラ90Aおよび90Bの一方が稼働系となり、他方が待機系となって稼働系の停止に備える。
図6は図5に示す冗長化制御システム9の動作例を示すシーケンス図である。図6に示す例では、コントローラ90Aが稼働系、コントローラ90Bが待機系となっている。図6に示すように、稼働系のコントローラ90Aは、アプリケーション実行102と、等値化転送103を交互に繰り返す。
アプリケーション実行102では、I/O機器等を介して監視対象機器から監視データを収集し、この監視データを演算して求めた制御データをI/O機器等を介して制御対象機器に供給する。
また、等値化転送103では、監視対象機器から収集した監視データと、この監視データを演算して求めた制御データと、演算の途中結果を示すデータ(以下、これらのデータを入出力データという)をネットワーク回線91を介して待機系のコントローラ90Bに送信する。
また、稼働系のコントローラ90Aは、アプリケーション実行102または等値化転送103を中断することにより、状態通知および状態判定104を一定の周期で繰り返し実行する。この状態通知および状態判定104では、故障の有無等を含む稼働系の状態を示す状態データをネットワーク回線91を介して待機系のコントローラ90Bに送信するとともに、その時点においてネットワーク回線91を介して待機系のコントローラ90Bから最後に受信された状態データ(後述)を判定する。この状態通知および状態判定104の実行周期が、稼働系のコントローラ90Aから待機系のコントローラ90Bへの状態データの送信周期となる。なお、コントローラ90Aは、アプリケーション実行102、等値化転送103、状態通知および状態判定104のいずれをも実行しないときアイドル処理101を行う。
一方、待機系のコントローラ90Bは、稼働系のコントローラ90Aから何もデータが受信されない場合、アイドル処理111を行っている。
そして、待機系のコントローラ90Bは、稼働系のコントローラ90Aが等値化転送103により送信した入出力データをネットワーク回線91を介して受信したとき、等値化受信展開113を実行する。この等値化受信展開113では、稼働系のコントローラ90Aから受信した入出力データを待機系のコントローラ90Bのメモリ内の入出力データに上書きし、同コントローラ90Bの保持する入出力データを稼働系のコントローラ90Aが保持する入出力データと同じにする。
また、待機系のコントローラ90Bは、アイドル処理111または等値化受信展開113を中断することにより、稼働系のコントローラ90Aにおける状態通知および状態判定104の実行周期と同じ実行周期で状態通知および状態判定114を繰り返し実行する。この状態通知および状態判定114では、故障の有無等を含む待機系の状態を示す状態データ(前述した状態通知および状態判定104において判定される状態データ)をネットワーク回線91を介して稼働系のコントローラ90Aに送信するとともに、その時点においてネットワーク回線91を介して稼働系のコントローラ90Aから最後に受信された状態データ(前述した状態通知および状態判定104により送信された状態データ)を判定する。
図6に示す動作例では、図示されていないが、仮に状態通知および状態判定114において、稼働系の故障を示す状態データが待機系のコントローラ90Bによって受信された場合、同コントローラ90Bは、冗長化切り替え115を実行する。これによりコントローラ90Bは待機系から稼働系に切り替えられる。
図6に示す動作例では、稼働系のコントローラ90Aにおいて電源断121が発生している。しかも、この電源断121は、一時的な瞬断ではなく、この電源断121により稼働系のコントローラ90Aは停止状態122となる。従って、電源断121の発生以降、待機系のコントローラ90Bへの状態データの送信は途絶える。この状況では、待機系のコントローラ90Bは、稼働系の状態を判断することができない。
そこで、待機系のコントローラ90Bは、定期的な状態通知および状態判定114の実行時、2回連続して稼働系のコントローラ90Aから状態データが受信されていないこと(前回の受信から状態データの送信周期の2周期以上に亙って状態データが受信されていないこと)を検知した場合に、冗長化切り替え115を実行し、コントローラ90Bを待機系から稼働系に切り替える。これにより、コントローラ90Bは、等値化受信展開113により得られた入出力データを利用してアプリケーション実行112を開始し、稼働系として動作する。
ここで、定期的な状態通知および状態判定114の実行時、2回連続して状態データが受信されていないことを検知することが稼働系/待機系切り替えの条件となっているのは、次の理由による。
まず、状態データが待機系のコントローラ90Bに届かなくなる原因として幾つかの原因が考えられる。それらの原因の1つとして、図6に例示するように稼働系において電源断が発生し、稼働系のコントローラが停止状態となった場合が考えられる。他の原因として、ネットワーク回線等で発生するノイズ等の影響により、一時的な通信破棄が発生した場合が考えられる。
前者の場合、稼働系のコントローラは、停止状態となるため、待機系のコントローラは、冗長化切り替え115を実行し、稼働系の動作を引き継ぐ必要がある。しかし、後者の場合、状態データが送信されなくなるのは一時的な現象であり、ネットワーク回線91を経由した通信の状態が安定な状態に戻れば、状態データの送信は可能となる。
仮に、後者の場合において、稼働系のコントローラAが停止していないのに、待機系のコントローラが冗長化切り替え115を行った場合、両コントローラがともに稼働系となる(以下、両系稼働という)。この場合、両監視制御システムによる制御が衝突する虞がある。
従って、状態データが待機系のコントローラ90Bに届かなかった場合に、待機系のコントローラ90Bが直ちに稼働系への切り替えを行うのは得策ではなく、待機系のコントローラ90Bは、ノイズ等の影響による一時的な通信破棄が発生した可能性が低いことが確認された時点で稼働系への切り替えを行うべきである。
上述したように稼働系のコントローラ90Aから待機系のコントローラ90Bへの状態データの送信周期は、待機系のコントローラ90Bにおける状態通知および状態判定114の実行周期と同じである。従って、通常であれば待機系のコントローラ90Bにおける状態通知および状態判定114の実行時に必ず新たな状態データの受信が検知されるはずである。
ここで、一時的な通信破棄により待機系のコントローラ90Bにおける状態通知および状態判定114の実行時に新たな状態データの受信が検知されないということは起こり得る。しかし、一定の実行周期で繰り返し実行される状態通知および状態判定114において、2回連続して新たな状態データの受信が検知されないということは通常起こり得ない。従って、状態通知および状態判定114において、2回連続して新たな状態データの受信が検知されなかった場合には、一時的な通信破棄ではなく、何等かの異常が稼働系に発生したと考えてよい。
そこで、図6の動作例では、待機系のコントローラ90Bは、定期的な状態通知および状態判定114の実行時、2回連続して状態データが受信されていないことを検知した場合に、待機系/稼働系の切り替えを行うのである。
なお、稼働系と待機系の間で自系の状態を通知する技術は、特許文献1に開示されている。
しかしながら、待機系のコントローラ90Bは、状態データの送信周期の2周期以上に亙って稼働系のコントローラ90Aから状態データが受信されないことを検知して冗長化切り替え115を実行するので、待機系のコントローラ90Bが電源断となってから稼働系/待機系の切り替えが行われるまでの所要時間が長い。従って、稼働系のコントローラ90Aが電源断により停止状態になると、稼働系の制御が開始されるまでの所要時間が長くなり、制御システムの可用性が低下する問題があった。
この発明は、以上のような事情に鑑みてなされたものであり、稼働系の電源電圧の異常の発生後、速やかに稼働系/待機系の切り替えを実行することを可能とするコントローラを提供することを目的とする。
この発明は、コントローラ間通信手段を介して相互に接続された2台のコントローラを含み、一方のコントローラが稼働系、他方のコントローラが待機系となり、稼働系のコントローラが外部機器を制御する冗長化制御システムにおけるコントローラであって、当該コントローラに供給される電源電圧を監視する電源電圧監視部と、当該コントローラが稼働系である期間内に前記電源電圧の異常を前記電源電圧監視部により検知した場合に、前記コントローラ間通信手段を介して待機系のコントローラに異常通知を送信する異常通知手段と、当該コントローラが待機系である期間内に前記コントローラ間通信手段を介して前記異常通知が受信された場合に、当該コントローラを待機系から稼働系に切り替える冗長化切り替え手段とを具備することを特徴とするコントローラを提供する。
かかる発明によれば、稼働系のコントローラでは、電源電圧の異常が電源電圧監視部により検知されると、異常通知手段がコントローラ間通信手段を介して待機系のコントローラに異常通知を送信する。待機系のコントローラでは、コントローラ間通信手段を介して異常通知が受信されると、冗長化切り替え手段により、当該コントローラが待機系から稼働系に切り替えられる。よって、この発明によれば、稼働系の電源電圧の異常の発生後、待機系が稼働系に切り替わるまでの所要時間を短縮することができる。
以下、図面を参照し、この発明の実施形態について説明する。
図1はこの発明の一実施形態であるコントローラ10Aおよび10Bを適用した冗長化制御システム1の構成を示すブロック図である。冗長化制御システム1は、コントローラ10Aおよび10B、電源20Aおよび20B、I/O機器群30Aおよび30B、ネットワーク回線40を有する。本実施形態では、便宜上、コントローラ10A、電源20AおよびI/O機器群30Aからなる監視制御系統をA系、コントローラ10B、電源20BおよびI/O機器群30Bからなる監視制御系統をB系と呼ぶ。本実施形態では、A系とB系のうち一方が稼働系となり、一方が待機系となる。そして、稼働系が停止するときには、待機系となっていたコントローラは、以降、稼働系として動作する。なお、図1では、A系とB系の2つの制御システムで二重化した冗長化制御システムの例を示しているが、3以上の制御システムをネットワーク回線40で接続して多重化した制御システムを構成してもよい。
図1はこの発明の一実施形態であるコントローラ10Aおよび10Bを適用した冗長化制御システム1の構成を示すブロック図である。冗長化制御システム1は、コントローラ10Aおよび10B、電源20Aおよび20B、I/O機器群30Aおよび30B、ネットワーク回線40を有する。本実施形態では、便宜上、コントローラ10A、電源20AおよびI/O機器群30Aからなる監視制御系統をA系、コントローラ10B、電源20BおよびI/O機器群30Bからなる監視制御系統をB系と呼ぶ。本実施形態では、A系とB系のうち一方が稼働系となり、一方が待機系となる。そして、稼働系が停止するときには、待機系となっていたコントローラは、以降、稼働系として動作する。なお、図1では、A系とB系の2つの制御システムで二重化した冗長化制御システムの例を示しているが、3以上の制御システムをネットワーク回線40で接続して多重化した制御システムを構成してもよい。
以下の説明では、コントローラ10Aおよび10Bは同一の構成を有するため、両者を区別する必要がない場合には、「コントローラ10」と表記する。また、電源20Aおよび20Bは同一の構成を有するため、両者を区別する必要がない場合には、「電源20」と表記する。また、I/O機器群30Aおよび30Bは同一の構成を有するため、両者を区別する必要がない場合には、「I/O機器群30」と表記する。
コントローラ10は、監視対象機器からの監視データの収集やその収集結果に応じた制御対象機器の駆動制御を行う機能を有する。電源20Aは、コントローラ10AおよびI/O機器群30Aに電力を供給し、電源20Bは、コントローラ10BおよびI/O機器群30Bに電力を供給する。I/O機器群30Aは、I/O機器30A_1〜30A_nにより構成され、I/O機器群30Bは、I/O機器30B_1〜30B_nにより構成される。A系統が稼働系である場合、各監視対象機器から出力される監視データは、I/O機器群30Aを経由し、コントローラ10Aに出力される。また、コントローラ10Aから出力される制御データは、I/O機器群30Aを経由し、各制御対象機器に出力される。また、B系統が稼働系である場合、各監視対象機器から出力される監視データは、I/O機器群30Bを経由し、コントローラ10Bに出力される。また、コントローラ10Bから出力される制御データは、I/O機器群30Bを経由し、各制御対象機器に出力される。ネットワーク回線40は、コントローラ10Aおよび10B間の通信を仲介する通信手段である。
図2は、コントローラ10の構成例を示す図である。図2に示すように、コントローラ10は、ネットワーク管理部51、アプリケーション実行管理部52、等値化管理部53、システム管理部54、電源断時処理継続管理部55、電源電圧監視部56を有する。電源電圧監視部56は、電源20からコントローラ10に供給される電源電圧を監視する手段である。電源断時処理継続管理部55は、電源20からコントローラ10への電源電圧の供給が遮断された場合に、それ以降の所定時間、コントローラ10内部へ電源電圧を供給する補助電源である。ネットワーク管理部51、アプリケーション実行管理部52、等値化管理部53およびシステム管理部54は、コントローラ10内部のCPUが制御プログラムを実行することにより実現される機能である。
ネットワーク管理部51は、ネットワーク回線40を介して他系のコントローラに接続されている。他系のコントローラとの間で送受信されるデータは、すべてネットワーク管理部51を経由する。より詳細には、ネットワーク管理部51は、状態通知および状態判定実行時における状態データの送受信、等値化転送実行時における入出力データの送受信、後述する電源断状態通知の送受信を行う。また、ネットワーク管理部51は、上記処理の他、ネットワーク状態の管理等を行う。ネットワーク管理部51はコントローラ10内部のCPUにより実行される機能であるが、例えば、ASIC(Application Specific Integrated Circuit)等で構成してもよい。
アプリケーション実行管理部52は、自系が稼働系である場合、I/O機器群30を介して監視対象機器から監視データを収集し、この監視データから制御データを演算してI/O機器群30を介して制御対象機器に供給するアプリケーションを実行する。
等値化管理部53は、等値化転送および等値化受信展開を行う。より具体的には、等値化管理部53は、自系が稼働系である場合、アプリケーション実行管理部52が実行するアプリケーションの入力データ(監視データ)と、同アプリケーションの出力データ(制御データおよび演算の途中結果のデータ)を受け取り、この入力データおよび出力データからなる入出力データを自系のネットワーク管理部51に送信する。そして、ネットワーク管理部51が、待機系のネットワーク管理部51に入出力データを送信することにより等値化転送が実行される。一方、等値化管理部53は、自系が待機系である場合、自系のネットワーク管理部51から入出力データを受け取ると、等値化受信展開を実行し、当該入出力データをコントローラ10の図示しないメモリ内の入出力データに上書きする。また、等値化管理部53は、自系が待機系である場合、待機系/稼働系の切り替え実行後、メモリ内の入出力データを自系のアプリケーション実行管理部52に送信する。これにより、アプリケーション実行管理部52は、等値化転送により取得された入出力データを用いてアプリケーション実行を開始することができる。
システム管理部54は、コントローラ10内の統括的な制御を行う手段である。このシステム管理部54の処理内容は、状態通知および状態判定64と、電源断通知および電源断処理65と、冗長化切り替え75の各処理を含む。稼働系のシステム管理部54は、状態通知および状態判定64を所定の実行周期で繰り返す。この稼働系の状態通知および状態判定64では、故障の有無等を含む自系の状態を監視し、当該監視結果を示す状態データを生成し、当該状態データを自系のネットワーク管理部51を介して待機系のコントローラ10に送信することにより状態通知を行う。一方、待機系のシステム管理部54も、稼働系と同じ実行周期で、状態通知および状態判定64を繰り返す。この待機系の状態通知および状態判定64では、稼働系から送信された状態データを自系のネットワーク管理部51を介して受け取り、当該状態データを参照して、稼働系の状態を判定する。待機系のシステム管理部54は、状態通知および状態判定64において状態データから稼働系の故障発生が検出されると、冗長化切り替え75を起動する。この冗長化切り替え75では、待機系/稼働系の切り替えを実行する。
同様に、待機系のシステム管理部54は、状態通知および状態判定64において、故障の有無等を含む自系の状態を監視し、当該監視結果を示す状態データを自系のネットワーク管理部51を介して稼働系のネットワーク管理部51に送信することにより状態通知を実行する。稼働系のシステム管理部54は、待機系のコントローラが送信した状態データを自系のネットワーク管理部51から受け取ると、状態通知および状態判定64において、当該状態データを参照して、待機系の状態を判定する。
また、稼働系のシステム管理部54は、電源20からコントローラ10へ供給される電源電圧の異常、具体的にはコントローラ10への電源電圧の供給の遮断が電源電圧監視部56により検知されると、電源断通知および電源断処理65を実行する。この電源断通知および電源断処理65では、異常通知、具体的には電源断の発生を示す電源断状態通知を自系のネットワーク管理部51を介して待機系のコントローラ10に1または複数回送信する。この電源断通知および電源断処理65は、コントローラ10が稼働系である期間内に電源電圧の異常を電源電圧監視部56により検知した場合に、コントローラ間通信手段を介して待機系のコントローラ10に異常通知を送信する異常通知手段としての役割を果たす。また、待機系のシステム管理部54は、稼働系からの電源断状態通知を自系のネットワーク管理部51が受け取ったことを上記状態通知および状態判定64において確認すると、冗長化切り替え75を起動し、待機系/稼働系の切り替えを行う。冗長化切り替え75は、コントローラが待機系である期間内にコントローラ間通信手段を介して異常通知が受信された場合に、当該コントローラを待機系から稼働系に切り替える冗長化切り替え手段としての役割を果たす。
また、待機系のシステム管理部54は、上記従来技術と同様、定期的な状態通知および状態判定64において、2回連続して状態データが受信されなかったことが確認された場合、冗長化切り替え75を起動し、稼働系/待機系の切り替えを行う。本実施形態において、この制御を残したのは、電源断以外の原因(例えば稼働系に重大な故障が発生し、待機系との通信も阻害されるような場合)により状態データが待機系に届かなくなることが考えられるからである。
上記処理の他、システム管理部54は、アプリケーション実行管理部52に指示を与え、アプリケーション実行を開始するタイミングや、等値化転送時に入出力データを送信するタイミング等を制御する。また、システム管理部54は、コントローラ10内の各部が各々処理を実行していないとき、アイドル処理を行う。アイドル処理実行時、システム管理部54は、例えばコントローラ10内各部への電力供給を停止する等の処理を行ってもよい。
図3は、コントローラ10内の補助電源である電源断時処理継続管理部55およびその周辺回路の構成を例示する回路図である。図3に示すように、コントローラ10はダイオードD1を有している。このダイオードD1は、アノードが電源20に接続され、カソードがコントローラ10内の各部へ電源電圧を供給する内部電源端子となっている。そして、ダイオードD1のカソードと接地線との間には電源断時処理継続管理部55である大容量のキャパシタC1が介挿されている。電源電圧監視部56は、キャパシタC1の両端の充電電圧を電源電圧として動作し、電源20からダイオードD1のアノードに供給される電源電圧を監視する電圧検出ICである。
電源20から電源電圧が正常に供給される場合、この電源電圧はダイオードD1を介してコントローラ10内の各部に供給される。また、このダイオードD1を通過した電源電圧によりキャパシタC1が充電される。しかし、電源20からの電源電圧の供給が遮断されると、ダイオードD1のアノード側の電圧が低下し、ダイオードD1がOFFする。しかしながら、電源20からの電源電圧の供給が遮断されても、電源電圧監視部56は、キャパシタC1の両端の充電電圧を電源電圧として動作する。そして、電源電圧監視部56は、ダイオードD1のアノード側の電圧が所定の閾値を下回ったことを検知すると、その旨を通知する割り込み信号をシステム管理部54に送信する。これによりシステム管理部54は、上述した電源断通知を送信する処理を実行する。コントローラ10では、電源20からの電源電圧の供給が遮断された以降も、キャパシタC1により蓄えられた電力によりコントローラ10内の各部が所定時間に亙って処理を継続することができる。以下、この電源断以降にコントローラ10によって行われる処理を電源断処理という。また、電源20からの電源電圧の供給が遮断された以降、キャパシタC1の充電電圧がコントローラ10の動作可能な下限電源電圧に到達するまでの期間を処理継続可能期間と呼ぶ。
図4は、本実施形態における冗長化制御システム1の動作例を示すシーケンス図である。なお、以下の説明では、A系を稼働系、B系を待機系とする。
A系では、システム管理部54がアプリケーション実行管理部52と等値管理部53を交互に起動する。システム管理部54により起動されたA系のアプリケーション実行管理部52は、アプリケーション実行62を行う。すなわち、アプリケーション実行管理部52は、I/O機器群30Aを介して監視対象機器から入力データ(監視データ)を収集し、この入力データを演算して求めた出力データ(制御データ)をI/O機器群30Aを介して制御対象機器に供給する。
システム管理部54により起動されたA系の等値化管理部53は、等値化転送63を実行する。すなわち、A系の等値化管理部53は、自系のアプリケーション実行管理部52から入出力データを取得し、当該データを自系のネットワーク管理部51に送信する。A系のネットワーク管理部51は、ネットワーク回線40を介して、当該データをB系のネットワーク管理部51に送信する。
A系のシステム管理部54は、一定の周期で発生するタイマ割り込みに応じて、現在実行中の処理を中断し、状態通知および状態判定64を実行する。より詳細には、A系のシステム管理部54は、自系の状態を示す状態データを生成し、自系のネットワーク管理部51およびネットワーク回線40を介して、B系のコントローラ10Bに送信する。また、A系のシステム管理部54は、その時点において、B系のコントローラ10Bからネットワーク回線40および自系のネットワーク管理部51を介して最後に受け取った状態データを基にB系の状態を判定する。この状態通知および状態判定64の実行周期が、A系からB系へ送信される状態データの送信周期となる。なお、A系の各部が各々処理を実行していないとき、A系のシステム管理部54はアイドル処理61を行う。
一方、A系のネットワーク管理部51からの等値化転送63による入出力データをB系のネットワーク管理部51が受け取ると、B系のネットワーク管理部51は自系の等値化管理部53に送信する。B系の等値化管理部53は、入出力データを受信すると、等値化受信展開73を実行する。
また、B系のシステム管理部54は、A系における状態通知および状態判定64の実行周期と同じ実行周期で実行中の処理(この場合、アイドル処理71または等値化受信展開73)を中断し、状態通知および状態判定74を繰り返し実行する。B系のシステム管理部54は、この状態通知および状態判定74において、自系の状態を示す状態データを生成し、自系のネットワーク管理部51およびネットワーク回線40を介して、A系のコントローラ10Aに送信する。また、B系のシステム管理部54は、その時点において、A系のコントローラ10Aからネットワーク回線40および自系のネットワーク管理部51を介して最後に受け取った状態データを基にA系の状態を判定する。
図示されていないが、仮にB系のシステム管理部54が、A系のシステム管理部54が送信した状態データから故障発生を検出した場合、冗長化切り替え75を実行する。これによりコントローラ10Bは、以降、稼働系として動作する。
図4に示す動作例では、A系において、電源断81が発生する。この結果、コントローラ10Aでは、ダイオードD1のアノード側の電圧が低下する。そして、ダイオードD1のアノード側の電圧が所定の閾値を下回ると、電源電圧監視部56からシステム管理部54に電源断を示す割り込み信号が与えられる。これにより、システム管理部54は、実行中の処理(図4に示す例では、アプリケーション実行62)を中断し、電源断通知および電源断処理65を起動する。この電源断通知および電源断処理65では、ネットワーク管理部51を介してB系のコントローラ10Bに電源断状態通知84を1または複数回送信する。それ以降、A系のコントローラ10Aでは、電源断時処理継続管理部55からの電力供給により電源断処理65が継続される。ここで、電源断状態通知84は、1回の送信でも構わない。しかし、電源断状態通知84を複数回送信する態様は、ネットワーク回線40を介した通信において一時的な通信破棄が起こり得る状況において、電源断状態通知84がB系のコントローラ10Bに受信される可能性を高めることができるという利点がある。
B系のシステム管理部54は、定期的な状態通知および状態判定74において、自系のネットワーク管理部51がA系のコントローラ10Aから送信された電源断状態通知84を受信したことを確認すると、冗長化切り替え75を実行する。これによりB系が稼働系となり、A系が待機系となる。
稼働系となったB系では、等値化管理部53がメモリ内の入出力データを自系のアプリケーション実行管理部52に送信する。アプリケーション実行管理部52は、この入出力データを利用してアプリケーション実行72を開始する。
一方、A系では、キャパシタC1の充電電圧がコントローラ10Aの動作可能な下限電圧を下回ると、処理継続可能期間82が終了し、コントローラ10A全体が停止状態83となる。
本実施形態によると、稼働系のコントローラは、電源断が発生すると、キャパシタC1の充電電圧を電源電圧として動作しつつ、電源断を検知して電源断状態通知を待機系のコントローラに1または複数回送信する。そして、待機系のコントローラは、電源断状態通知を受け取ると、速やかに冗長化切り替えを実行する。従って、本実施形態によると、稼働系で電源断が発生してから、待機系が稼働系としての動作を開始するまでの時間を従来に比べて短縮することができる。
<他の実施形態>
以上、この発明の一実施形態について説明したが、この発明には他にも実施形態が考えられる。例えば、以下の通りである。
以上、この発明の一実施形態について説明したが、この発明には他にも実施形態が考えられる。例えば、以下の通りである。
(1)上記実施形態では、電源電圧監視部56は電圧検出ICであり、ダイオードD1のアノード側の電圧を測定した。しかし、このような電源電圧監視部56に加えて、例えば過電流監視ICや温度センサ等をコントローラ10に設け、これらの監視機器で異常を検出した場合、その旨をシステム管理部54に通知し、この通知に基づいてシステム管理部54が稼働系の故障を判断してもよい。
(2)上記実施形態では、待機系のシステム管理部54は、電源断状態通知84を受信すると、状態通知および状態判定74の実行時に電源断状態通知84を参照した。しかし、この場合、待機系のシステム管理部54は、電源断状態通知84の受信後、定期的な状態通知および状態判定74の実行周期に入るまでの間、電源断状態通知84を参照することができない。そこで、待機系のコントローラ10Bでは、電源断状態通知84が受信された場合に、割り込みを発生させ、状態通知および状態判定74を実行するようにしてもよい。これにより、待機系のシステム管理部54は、電源断状態通知84の受信後、速やかに稼働系/待機系の切り替えを行うことができる。
(3)待機系のコントローラ10Bは、電源断状態通知84を受信した場合、冗長化切り替え75を起動した。この冗長化切り替え75において、稼働系のコントローラ10Aに稼働系として動作することができないか否かの問い合わせをネットワーク回線40を介して稼働系のコントローラ10Aに送り、稼働系として動作することができない旨の回答を稼働系のコントローラ10Aから受信した場合に、待機系から稼働系への切り替えを行ってもよい。この態様によれば、両系稼働をより確実に回避することができる。
(4)上記実施形態では、稼働系の電源電圧監視部56は、電源20の電源電圧が低下したときのみ、システム管理部54に割り込みによりその旨を通知した。しかし、稼働系の電源電圧監視部56は、定期的に電源20の電源電圧をシステム管理部54に通知してもよい。また、この場合にシステム管理部54は、電源電圧監視部56からの通知に基づいて電源20からの電源電圧が閾値を下回ることを事前に予測し、電源断処理の処理量を減らすための制御を行うようにしてもよい。また、上記実施形態では、電源電圧が所定の閾値を下回った場合に電源断状態通知を待機系のコントローラに送り、待機系から稼働系への切り替えを行わせた。しかし、電源電圧の低下のみならず、電源電圧が不安定になる等、電源電圧の低下以外の電源電圧の異常を検知した場合に異常通知を待機系のコントローラに送り、待機系から稼働系への切り替えを行わせてもよい。
(5)上記実施形態において、稼働系のシステム管理部54は、電源断の検知後、タイマによる計時を開始し、処理継続可能期間82が満了する前にコントローラ10Aを停止状態83に移行させてもよい。具体的には、システム管理部54は、タイマの計時終了により、例えばキャパシタC1を放電させ、コントローラ10A内部への電力供給を強制的に停止させる。これにより、コントローラ10Aが電源電圧の低い状態で不安定な動作をするのを回避することができる。
(6)上記実施形態では、コントローラ10の補助電源としてキャパシタC1を使用した。しかし、例えばバッテリ等、キャパシタ以外の補助電源を使用してもよい。
1,9…冗長化制御システム、10,90…コントローラ、20…電源、30…I/O機器群、40,91…ネットワーク回線、51…ネットワーク管理部、52…アプリケーション実行管理部、53…等値化管理部、54…システム管理部、55…電源断時処理継続管理部、56…電源電圧監視部、61,71,101,111…アイドル処理、62,72,102,112…アプリケーション実行、63,103…等値化転送、73,113…等値化受信展開、64,74,104,114…状態通知および状態判定、65…電源断通知および電源断処理、75,115…冗長化切り替え、81,121…電源断、82…処理継続可能期間、83,122…停止状態、84…電源断状態通知、C1…キャパシタ、D1…ダイオード。
Claims (6)
- コントローラ間通信手段を介して相互に接続された2台のコントローラを含み、一方のコントローラが稼働系、他方のコントローラが待機系となり、稼働系のコントローラが外部機器を制御する冗長化制御システムにおけるコントローラであって、
当該コントローラに供給される電源電圧を監視する電源電圧監視部と、
当該コントローラが稼働系である期間内に前記電源電圧の異常を前記電源電圧監視部により検知した場合に、前記コントローラ間通信手段を介して待機系のコントローラに異常通知を送信する異常通知手段と、
当該コントローラが待機系である期間内に前記コントローラ間通信手段を介して前記異常通知が受信された場合に、当該コントローラを待機系から稼働系に切り替える冗長化切り替え手段と
を具備することを特徴とするコントローラ。 - 前記異常通知手段は、前記電源電圧が所定の閾値を下回ったことを前記電源電圧監視部が検知した場合に、前記異常通知を送信することを特徴とする請求項1に記載のコントローラ。
- 前記コントローラの前記冗長化切り替え手段は、当該コントローラが待機系である期間内に、前記稼働系のコントローラから前記コントローラ間通信手段を介して周期的に送信される情報が所定時間以上に亙って受信されなかった場合に、当該コントローラを稼働系に切り替えることを特徴とする請求項1または2に記載のコントローラ。
- 前記コントローラは、前記電源電圧の供給が途絶えた場合に当該コントローラに電力を供給する補助電源を有することを特徴とする請求項1〜3のいずれか1の請求項に記載のコントローラ。
- 前記コントローラの前記冗長化切り替え手段は、当該コントローラが待機系である期間内に前記異常通知が受信された場合、前記稼働系のコントローラが稼働系として動作することができない旨を前記稼働系のコントローラに確認し、その後、当該コントローラを稼働系に切り替えることを特徴する請求項1〜4のいずれか1の請求項に記載のコントローラ。
- コントローラ間通信手段を介して相互に接続された2台のコントローラを含み、一方のコントローラが稼働系、他方のコントローラが待機系となり、稼働系のコントローラが外部機器を制御する冗長化制御システムであって、
前記2台のコントローラの各々が、
当該コントローラに供給される電源電圧を監視する電源電圧監視部と、
当該コントローラが稼働系である期間内に前記電源電圧の異常を前記電源電圧監視部により検知した場合に、前記コントローラ間通信手段を介して待機系のコントローラに異常通知を送信する異常通知手段と、
当該コントローラが待機系である期間内に稼働系のコントローラから前記コントローラ間通信手段を介して前記異常通知が受信された場合に、当該コントローラを待機系から稼働系に切り替える冗長化切り替え手段と
を具備することを特徴とする冗長化制御システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014232690A JP2016095770A (ja) | 2014-11-17 | 2014-11-17 | コントローラ、およびこれを用いた冗長化制御システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014232690A JP2016095770A (ja) | 2014-11-17 | 2014-11-17 | コントローラ、およびこれを用いた冗長化制御システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2016095770A true JP2016095770A (ja) | 2016-05-26 |
Family
ID=56071761
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014232690A Pending JP2016095770A (ja) | 2014-11-17 | 2014-11-17 | コントローラ、およびこれを用いた冗長化制御システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2016095770A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018190103A (ja) * | 2017-04-28 | 2018-11-29 | 横河電機株式会社 | 電池管理装置、電池管理システム、および電池管理方法 |
| WO2022059269A1 (ja) * | 2020-09-16 | 2022-03-24 | 株式会社東芝 | コントローラ、および、コントローラシステム |
| JP2023010421A (ja) * | 2021-07-09 | 2023-01-20 | ダイキン工業株式会社 | 装置、方法、およびシステム |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS52101947A (en) * | 1976-02-21 | 1977-08-26 | Hitachi Ltd | Backup system of control computer |
| JPH02173831A (ja) * | 1988-12-27 | 1990-07-05 | Oki Electric Ind Co Ltd | 二重化中央処理装置 |
| JPH0728661A (ja) * | 1993-07-09 | 1995-01-31 | Pfu Ltd | ネットワーク接続された多重化コンピュータシステムの制御方式 |
| US20060010351A1 (en) * | 2004-07-12 | 2006-01-12 | Infortrend Technology Inc. | Controller capable of self-monitoring, redundant storage system having the same, and method thereof |
| JP2012027805A (ja) * | 2010-07-27 | 2012-02-09 | Hitachi High-Technologies Corp | 制御システム |
| WO2012077235A1 (ja) * | 2010-12-10 | 2012-06-14 | 三菱電機株式会社 | 多重系システムおよび多重系システムの系切り替え方法 |
| JP2012230446A (ja) * | 2011-04-25 | 2012-11-22 | Hitachi Industrial Equipment Systems Co Ltd | プログラマブルコントローラステーション |
| CN202771178U (zh) * | 2012-09-14 | 2013-03-06 | 广东电网公司东莞供电局 | Statcom控制系统冗余切换装置 |
-
2014
- 2014-11-17 JP JP2014232690A patent/JP2016095770A/ja active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS52101947A (en) * | 1976-02-21 | 1977-08-26 | Hitachi Ltd | Backup system of control computer |
| JPH02173831A (ja) * | 1988-12-27 | 1990-07-05 | Oki Electric Ind Co Ltd | 二重化中央処理装置 |
| JPH0728661A (ja) * | 1993-07-09 | 1995-01-31 | Pfu Ltd | ネットワーク接続された多重化コンピュータシステムの制御方式 |
| US20060010351A1 (en) * | 2004-07-12 | 2006-01-12 | Infortrend Technology Inc. | Controller capable of self-monitoring, redundant storage system having the same, and method thereof |
| JP2012027805A (ja) * | 2010-07-27 | 2012-02-09 | Hitachi High-Technologies Corp | 制御システム |
| WO2012077235A1 (ja) * | 2010-12-10 | 2012-06-14 | 三菱電機株式会社 | 多重系システムおよび多重系システムの系切り替え方法 |
| JP2012230446A (ja) * | 2011-04-25 | 2012-11-22 | Hitachi Industrial Equipment Systems Co Ltd | プログラマブルコントローラステーション |
| CN202771178U (zh) * | 2012-09-14 | 2013-03-06 | 广东电网公司东莞供电局 | Statcom控制系统冗余切换装置 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018190103A (ja) * | 2017-04-28 | 2018-11-29 | 横河電機株式会社 | 電池管理装置、電池管理システム、および電池管理方法 |
| WO2022059269A1 (ja) * | 2020-09-16 | 2022-03-24 | 株式会社東芝 | コントローラ、および、コントローラシステム |
| JP2022049441A (ja) * | 2020-09-16 | 2022-03-29 | 株式会社東芝 | コントローラ、および、コントローラシステム |
| CN114981730A (zh) * | 2020-09-16 | 2022-08-30 | 株式会社东芝 | 控制器及控制器系统 |
| JP7326239B2 (ja) | 2020-09-16 | 2023-08-15 | 株式会社東芝 | コントローラ、および、コントローラシステム |
| AU2021343889B2 (en) * | 2020-09-16 | 2023-12-14 | Kabushiki Kaisha Toshiba | Controller and controller system |
| US12248292B2 (en) | 2020-09-16 | 2025-03-11 | Kabushiki Kaisha Toshiba | Controller and controller system controlling time and cost to duplicate a controller |
| CN114981730B (zh) * | 2020-09-16 | 2025-08-29 | 株式会社东芝 | 控制器及控制器系统 |
| JP2023010421A (ja) * | 2021-07-09 | 2023-01-20 | ダイキン工業株式会社 | 装置、方法、およびシステム |
| JP7299517B2 (ja) | 2021-07-09 | 2023-06-28 | ダイキン工業株式会社 | 装置、方法、およびシステム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100422889C (zh) | 紧急停止设备 | |
| CN104359196B (zh) | 一种基于数据中心多联空调的控制系统及实现方法 | |
| CN109143839A (zh) | 一种高容错的传感器冗余控制方法 | |
| KR20210040949A (ko) | 제해 시스템, 제해 장치, 및 시스템 제어 장치 | |
| CN110462534B (zh) | 控制装置、控制方法和程序 | |
| US9869727B2 (en) | Arrangement and method for monitoring a power supply | |
| US10310469B2 (en) | Automation system | |
| JP2016095770A (ja) | コントローラ、およびこれを用いた冗長化制御システム | |
| CA3089372A1 (en) | Monitoring system and network monitoring circuit | |
| CN107918346B (zh) | 运算装置以及控制装置 | |
| JP2014213400A (ja) | ロボット装置及びロボット装置の制御方法 | |
| JP4728159B2 (ja) | 分散電源装置および分散電源の障害復旧方法 | |
| US11457293B2 (en) | Wireless communication device, control program and control method | |
| TWI434159B (zh) | 雙重系統控制裝置 | |
| CN105553735A (zh) | 一种堆叠系统故障处理方法、设备及堆叠系统 | |
| JP2004206212A (ja) | 運用監視システム | |
| JP2011227786A (ja) | マイクロコンピュータ制御システム、並びにそれを用いた充電装置および太陽光電源システム | |
| JP6784939B2 (ja) | ネットワーク機器 | |
| JP7490154B1 (ja) | 制御装置、制御システム及び制御方法 | |
| CN101441463A (zh) | 一种用于机械设备的急停信号产生系统及其工程机械 | |
| JPH0729986U (ja) | 監視制御装置 | |
| JP2016099634A (ja) | 制御システム、中継装置、および制御装置 | |
| JP5146888B2 (ja) | サーバ装置及びその制御方法 | |
| KR20120065891A (ko) | 네트워크 장비의 감시와 회복 시스템 및 방법 | |
| WO2025049081A1 (en) | Method for updating electronic circuit breaker firmware to avoid load de-energization |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20171016 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180724 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180725 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20190205 |