Search International and National Patent Collections
Some content of this application is unavailable at the moment.
If this situation persists, please contact us atFeedback&Contact
1. (WO2017134783) CONTROL SYSTEM AND CONTROL UNIT
Document

明 細 書

発明の名称 制御システム及び制御ユニット

技術分野

0001  

背景技術

0002  

先行技術文献

特許文献

0003  

発明の概要

発明が解決しようとする課題

0004   0005   0006  

課題を解決するための手段

0007  

発明の効果

0008  

図面の簡単な説明

0009  

発明を実施するための形態

0010   0011   0012   0013   0014   0015   0016   0017   0018   0019   0020   0021   0022   0023   0024   0025   0026   0027   0028   0029   0030   0031   0032   0033   0034   0035   0036   0037   0038   0039   0040   0041   0042   0043   0044   0045   0046   0047   0048   0049   0050   0051   0052   0053   0054   0055   0056   0057   0058   0059   0060   0061   0062   0063   0064   0065   0066   0067   0068  

符号の説明

0069  

請求の範囲

1   2   3   4   5  

図面

1   2   3   4   5   6   7   8   9   10   11   12   13   14  

明 細 書

発明の名称 : 制御システム及び制御ユニット

技術分野

[0001]
 本発明は、PA(Process Automation)分野又はFA(Factory Automation)分野の設備を制御する制御システム及び制御ユニットに関する。

背景技術

[0002]
 PA分野又はFA分野の設備は、複数の機器を組み合わせて実現されることが一般的である。PA分野又はFA分野の設備を構成する複数の機器は、第1の制御ユニットと、この第1の制御ユニットを代替可能な第2の制御ユニットとを備える二重化制御システムにより制御されることがある(特許文献1参照)。

先行技術文献

特許文献

[0003]
特許文献1 : 特開平10-313348号公報

発明の概要

発明が解決しようとする課題

[0004]
 特許文献1に示された二重化制御システムは、第1の制御ユニットと第2の制御ユニットとのうちの一方、機器に接続した入出力ユニットとの間で安全通信が適用される。安全通信は、送受信される信号を誤りなく送信するための通信であり、受信側において、送受信される信号が破損しているか否かを検出する。また、二重化制御システムに用いられる安全通信は、様々な通信制御方式を採用したものが存在している。
[0005]
 二重化制御システムは、第1の制御ユニットと第2の制御ユニットとのうちの一方と、入出力ユニットとの間で安全通信により情報を送受信する。二重化制御システムは、第1の制御ユニットと第2の制御ユニットとのうちの一方と入出力ユニットとの間で情報を送受信する前に、第1の制御ユニットと第2の制御ユニットとのうちの一方と入出力ユニットとの間のコネクションを確立する。また、二重化制御システムは、前述した一方と入出力ユニットとの間で情報を送受信する状態から、第1の制御ユニットと第2の制御ユニットとのうちの他方と入出力ユニットとの間で安全通信により情報を送受信する状態に切り替える際に、前述した一方と入出力ユニットとの間のコネクションを切断し、前述した他方と入出力ユニットとの間のコネクションを確立する必要がある。二重化制御システムは、様々な通信制御方式を採用した安全通信であってもコネクションの切り替えを行うことが求められている。
[0006]
 本発明は、上記に鑑みてなされたものであって、安全通信のコネクションの切り替えを行うことができる制御システムを得ることを目的とする。

課題を解決するための手段

[0007]
 上述した課題を解決し、目的を達成するために、本発明は、機器に接続した入出力ユニットに接続した第1の制御ユニットと、第1の制御ユニットを代替可能な第2の制御ユニットと、を備えた制御システムである。制御システムは、第1の制御ユニットと第2の制御ユニットとのうちの一方の制御ユニットが入出力ユニットとのコネクションを確立する。制御システムは、一方の制御ユニットの入出力ユニットとのコネクションが切断された状態になると、第1の制御ユニットと第2の制御ユニットとのうちの他方の制御ユニットと入出力ユニットとのコネクションを確立することを決定する決定手段を備える。制御システムは、決定手段の決定結果通りに方の制御ユニットと入出力ユニットとのコネクションを確立する接続手段を備える。

発明の効果

[0008]
 本発明に係る制御システムは、安全通信のコネクションの切り替えを行うことができるという効果を奏する。

図面の簡単な説明

[0009]
[図1] 実施の形態1に係る制御システムの構成を示す図
[図2] 実施の形態1に係る制御システムのコンピュータのハードウェア構成を示す図
[図3] 実施の形態1に係る制御システムの安全アプリが生成する安全データを示す図
[図4] 実施の形態1に係る制御システムの安全通信層が生成する安全通信用の情報の構成を示す図
[図5] 実施の形態1に係る制御システムの安全アプリ、安全通信層及び一般アプリが生成する通信情報の構成を示す図
[図6] 実施の形態1に係る制御システムの制御ユニット及び入出力ユニットのハードウェア構成を示す図
[図7] 図1に示された制御システムの駆動系制御ユニットが他方の制御ユニットに切り替わった状態を示す図
[図8] 図1に示された制御システムの切替イベントが発生した際に駆動系制御ユニットを切り替える過程を示すシーケンス図
[図9] 図1に示された制御システムの一方の制御ユニットが故障した際に駆動系制御ユニットを切り替える過程を示すシーケンス図
[図10] 実施の形態2に係る制御システムの構成を示す図
[図11] 実施の形態2に係る制御システムの安全アプリ、安全通信層及び一般アプリが生成する通信情報の構成を示す図
[図12] 図10に示された制御システムの駆動系制御ユニットが他方の制御ユニットに切り替わった状態を示す図
[図13] 図10に示された制御システムの切替イベントが発生した際に駆動系制御ユニットを切り替える過程を示すシーケンス図
[図14] 図10に示された制御システムの一方の制御ユニットが故障した際に駆動系制御ユニットを切り替える過程を示すシーケンス図

発明を実施するための形態

[0010]
 以下に、本発明の実施の形態に係る制御システム及び制御装置を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。
[0011]
実施の形態1.
 図1は、実施の形態1に係る制御システムの構成を示す図である。制御システム1は、PA分野又はFA分野の設備を構成するものであり、設備に設置される図1に示す複数の機器2,3を制御するものである。実施の形態1において、機器2,3は、センサ又は駆動機器である。センサとしては、設備に設置される流量、圧力、濃度、又は温度を検出するセンサが挙げられる。駆動機器としては、設備に設置されるスイッチ、調整弁、電磁弁、モータ、又はポンプである動作を実行する駆動機器が挙げられる。実施の形態1において、制御システム1は、二つの機器2,3を備えるが、制御システム1が備える機器は二つに限定されない。また、実施の形態1において、機器2は、センサであり、機器3は、駆動機器である。
[0012]
 制御システム1は、図1に示すように、機器2,3に接続した複数の入出力ユニット4と、入出力ユニット4に接続した複数の制御ユニット5とを備える。制御ユニット5は、コンピュータ6により作成された制御プログラムを受信し、受信した制御プログラムを実行することにより、入出力ユニット4を介して機器2,3を制御する。
[0013]
 図2は、実施の形態1に係る制御システムのコンピュータのハードウェア構成を示す図である。実施の形態1に係るコンピュータ6は、コンピュータプログラムを実行するものであって、図2に示すように、CPU(Central Processing Unit)61と、RAM(Random Access Memory)62と、ROM(Read Only Memory)63と、記憶装置64と、入力装置65と、表示装置66と、通信インタフェース67と、を含む。CPU61、RAM62、ROM63、記憶装置64、入力装置65、表示装置66及び通信インタフェース67は、内部バスB6を介して相互に接続されている。
[0014]
 CPU61は、RAM62を作業領域として使用しながら、ROM63及び記憶装置64に記憶されているプログラムを実行する。ROM63に記憶されているプログラムは、BIOS(Basic Input/Output System)又はUEFI(Unified Extensible Firmware Interface)であるが、ROM63に記憶されているプログラムは、BIOS又はUEFIに限定されない。実施の形態1において、記憶装置64に記憶されているプログラムは、オペレーティングシステムプログラム及びエンジニアリングツールプログラムであるが、記憶装置64に記憶されているプログラムは、オペレーティングシステムプログラム及びエンジニアリングツールプログラムに限定されない。実施の形態1において、記憶装置64は、SSD(Solid State Drive)又はHDD(Hard Disk Drive)であるが、記憶装置64は、SSD又はHDDに限定されない。
[0015]
 入力装置65は、ユーザからの操作入力を受け付ける。実施の形態1において、入力装置65は、キーボード又はマウスであるが、キーボード又はマウスに限定されない。表示装置66は、文字及び画像を表示する。実施の形態1において、表示装置66は、液晶表示装置であるが、液晶表示装置に限定されない。通信インタフェース67は、ネットワークNに接続し、ネットワークNを介して制御ユニット5と通信を行う。ネットワークNは、コンピュータ6、複数の入出力ユニット4、及び複数の制御ユニット5を相互に通信可能に接続するコンピュータネットワークである。実施の形態1において、ネットワークNは、PA設備又はFA設備に設置されるLAN(Local Area Network)であるが、通信用のバスでも良い。
[0016]
 入出力ユニット4は、ネットワークNに接続している。実施の形態1において、入出力ユニット4は、二つ設けられるが、二つに限定されない。二つの入出力ユニット4は、それぞれ、機器2,3に接続している。実施の形態1において、入出力ユニット4は、それぞれ、一つの機器2,3に接続しているが、これに限定されない。入出力ユニット4のうちセンサである機器2に接続した入出力ユニット4は、機器2の検出結果を受信し、受信した検出結果を記憶する。入出力ユニット4のうち駆動機器である機器3に接続した入出力ユニット4は、制御ユニット5が送信する機器3の制御信号を受信し、記憶する。駆動機器である機器3に接続した入出力ユニット4は、記憶した制御信号を機器3に送信する。
[0017]
 実施の形態1において、二つの入出力ユニット4のうち一方の入出力ユニット4(以下、符号4Iで示す)は、センサである機器2に接続する所謂入力ユニットとして動作する。他方の入出力ユニット4(以下、符号4Oで示す)は、駆動機器である機器3に接続する所謂出力ユニットとして動作する。また、本明細書は、二つの入出力ユニット4同士を区別する場合に、符号4I又は符号4Oを付して説明し、特に区別しない場合に、符号4を付して説明する。
[0018]
 制御ユニット5は、ネットワークNに接続している。実施の形態1において、制御ユニット5は、二つ設けられ、ネットワークNを介して互いに接続される。二つの制御ユニット5は、トラッキングケーブル7により互いに接続されて、互いに冗長化されたものである。制御ユニット5は、コンピュータ6から受信した制御プログラムを実行することにより、機器2,3を制御するプログラマブルコントローラ(Programmable Logic Controllers(PLC))のCPUユニットとして動作する。プログラマブルコントローラは、JIS(日本工業規格) B 3502:2011により規定されたものである。
[0019]
 二つの制御ユニット5は、それぞれ、ネットワークNを介して二つの入出力ユニット4の双方に接続している。実施の形態1において、二つの制御ユニット5のうちの一方の制御ユニット5は、第1の制御ユニットであり、入出力ユニット4Iが記憶した機器2の検出結果を含む情報を取得し、他方の入出力ユニット4Oに機器3の制御信号を含む情報を送信する。二つの制御ユニット5のうちの他方の制御ユニット5は、第2の制御ユニットであり、一方の制御ユニット5が機器2の情報を取得するとともに機器3の動作を制御している間、待機状態を維持する。実施の形態1において、待機状態とは、省電力の所謂待機電源モードであり、ACPI(Advanced Configuration and Power Interface)により規定されたS1、S2、S3、S4の何れかの状態、又は、ACPIにより規定されたS1、S2、S3、S4の何れかに相当する状態をいう。待機状態は、待機電源モードに限定されない。また、待機電源モードは、ACPIに規定されたものに限定されない。
[0020]
 一方の制御ユニット5は、機器2,3の情報を取得しかつ機器2,3を制御する、駆動系制御ユニットとして動作する。他方の制御ユニット5は、待機状態を維持する待機系制御ユニットとして動作する。実施の形態1において、待機系制御ユニットは、駆動系制御ユニットの電源オフ時、駆動系制御ユニットを初期状態に戻すリセット時、駆動系制御ユニットの故障時、駆動系制御ユニットの処理を中断又は停止させるエラー時、又はコンピュータ6からの切替要求を示す信号を受信した時に、駆動系制御ユニットに切り替わる。待機系制御ユニットは、駆動系制御ユニットに切り替わると、いままで駆動系制御ユニットとして動作していたものに代わり、機器2の情報を取得しかつ機器3の動作を制御する。即ち、待機系制御ユニットは、駆動系制御ユニットを代替可能なものである。なお、駆動系制御ユニットとして動作してしたものは、電源オフからの再起動時、リセットされた以降、故障からの復旧時、エラーからの復旧時、又は、コンピュータ6からの切替要求を示す信号を受信した時に、待機系制御ユニットに切り替わる。即ち、待機系制御ユニットとして動作している他方の制御ユニット5は、駆動系制御ユニットとして動作している一方の制御ユニット5を代替可能である。
[0021]
 実施の形態1において、二つの制御ユニット5同士を区別する場合は、駆動系制御ユニットとして動作している一方の制御ユニット5を符号「5D」で示し、待機系制御ユニットとして動作している他方の制御ユニット5を符号「5W」で示す。駆動系制御ユニットと待機系制御ユニットとを区別しない場合は、制御ユニット5を単に符号「5」で示す。
[0022]
 実施の形態1において、二つの制御ユニット5は、構成が同一である。また、実施の形態1は、二つの制御ユニット5と二つの入出力ユニット4との構成が同等であるので、同一部分には同一符号を付して説明する。さらに、実施の形態1において、制御ユニット5及び入出力ユニット4の各構成部分において、駆動系制御ユニットとして動作している一方の制御ユニット5Dのものと特定できる構成部分は、符号「D」を付して説明し、待機系制御ユニットとして動作している他方の制御ユニット5Wのものと特定できる構成部分は、符号「W」を付して説明し、入出力ユニット4Iのものと特定できる構成部分は、符号「I」を付して説明し、入出力ユニット4Oのものと特定できる構成部分は、符号「O」を付して説明する。また、実施の形態1において、制御ユニット5及び入出力ユニット4の各構成部分において、特定できない構成部分は、符号「D」、符号「W」、符号「I」及び符号「O」を付さずに説明する。
[0023]
 制御ユニット5及び入出力ユニット4は、図1に示すように、設備に設置される非常停止スイッチ8が操作されると少なくとも一つの入出力ユニット4を停止させる安全アプリケーションソフトウェア(以下、単に、安全アプリと記載する)11と、自ユニット以外のユニットと安全通信を行う接続手段である安全通信層12と、一般アプリケーションソフトウェア(以下、単に、一般アプリと記載する)13と、ネットワーク層14とを備える。実施の形態1において、非常停止スイッチ8は、ネットワークNに接続している。
[0024]
 図3は、実施の形態1に係る制御システムの安全アプリが生成する安全データを示す図である。安全アプリ11は、機器2,3を停止するか否かを示す図3に示す安全データSDを生成する、又は、自ユニット以外の安全アプリ11が生成した安全データSDを受信する。
[0025]
 駆動系制御ユニットとして動作する一方の制御ユニット5Dの安全アプリ11Dは、ネットワークNを介して非常停止スイッチ8が操作された情報を受信すると、複数の入出力ユニット4に接続された機器2,3のうちの非常停止させる機器2,3を抽出する。駆動系制御ユニットとして動作する一方の制御ユニット5Dの安全アプリ11Dは、抽出した非常停止させる機器2,3に接続した入出力ユニット4に機器2,3を停止させる安全データSDを生成し、生成した安全データSDを送信して、抽出した機器2,3を非常停止させる。
[0026]
 入出力ユニット4Iの安全アプリ11Iは、センサである機器2の検出結果に基づいて機器2が故障したか否かを判定し、機器2が故障したか否かを示す情報である安全データSDを生成する。駆動系制御ユニットとして動作する一方の制御ユニット5Dの安全アプリ11Dは、ネットワークNを介して入出力ユニット4Iの安全アプリ11Iが生成した安全データSDを取得する。
[0027]
 駆動系制御ユニットとして動作する一方の制御ユニット5Dの安全アプリ11Dは、入出力ユニット4Iの安全アプリ11Iが生成した安全データSDが機器2が故障していることを示す場合、複数の入出力ユニット4に接続された機器2,3のうちの非常停止させる機器2,3を抽出する。駆動系制御ユニットとして動作する一方の制御ユニット5Dの安全アプリ11Dは、抽出した非常停止させる機器2,3に接続した入出力ユニット4に機器2,3を停止させるための安全データSDを生成し、生成した安全データSDを送信して、抽出した機器2,3を非常停止させる。また、駆動系制御ユニットとして動作する一方の制御ユニット5Dの安全アプリ11Dは、非常停止スイッチ8が操作された情報を受信していなく、かつ入出力ユニット4Iの安全アプリ11Iが生成した安全データSDが機器2が正常であることを示す場合、制御システム1が正常であることを示す安全データSDを生成し、生成した安全データSDを入出力ユニット4Oに送信する。
[0028]
 入出力ユニット4Oの安全アプリ11Oは、駆動系制御ユニットとして動作する一方の制御ユニット5Dから受信した安全データSDに基づいて、機器3を停止するか否かを判定し、制御ユニット5Dから受信した安全データSDが機器3を非常停止させる情報である場合、機器3を非常停止する。入出力ユニット4Oの安全アプリ11Oは、制御ユニット5Dから受信した安全データSDが制御システム1が正常であることを示す場合、機器3を継続して動作させる。
[0029]
 図4は、実施の形態1に係る制御システムの安全通信層が生成する安全通信用の情報の構成を示す図である。図5は、実施の形態1に係る制御システムの安全アプリ、安全通信層及び一般アプリが生成する通信情報の構成を示す図である。安全通信層12が行う安全通信は、駆動系制御ユニットとして動作する一方の制御ユニット5Dと、入出力ユニット4I,4Oとの間で送受信される情報が、偶発的な誤りが生じることなく送受信されているか否かを検出するものである。
[0030]
 実施の形態1において、安全通信層12は、図4に示す安全通信用の情報SIを生成する。安全通信層12が生成する安全通信用の情報SIは、図4に示すように、安全データSDの誤り検出用の検出用符号DSと、検出用符号DSが生成された時刻を示すタイムスタンプTSとを備える。検出用符号DSは、安全データSDに偶発的な誤りが生じているか否かを検出するためのものである。検出用符号DSは、制御ユニット5と入出力ユニット4とのうちの情報を受信したものにより安全データSDに偶発的な誤りが生じているか否かが検出される。実施の形態1において、検出用符号DSは、巡回冗長検査(Cyclic Redundancy Check:CRC)を用いるが、CRCに限定されない。また、安全通信層12は、受信した安全通信用の情報SIに基づいて、安全データSDに偶発的な誤りが生じていないことを検出すると、機器2,3を継続して動作させ、安全データSDに偶発的な誤りが生じていることを検出すると、機器2,3を非常停止させる。
[0031]
 センサである機器2に接続した入出力ユニット4Iの一般アプリ13Iは、センサである機器2から検出結果を取得し、図5に示す情報DIを生成する。図5に示す情報DIは、機器2の検出結果を示す情報である。駆動系制御ユニットとして動作する一方の制御ユニット5Dの一般アプリ13Dは、図5に示す情報CIを生成する。図5に示す情報CIは、駆動機器である機器3の制御信号を示す情報である。
[0032]
 前述した構成の制御ユニット5及び入出力ユニット4が互いに通信する通信情報TIは、図5に示すように、安全データSDの下位の階層に安全通信用の情報SIを配置し、安全通信用の情報SIの下位の階層に情報DI,CIを配置する。このように、制御システム1の制御ユニット5と入出力ユニット4との間の通信プロトコルにおいて、安全アプリ11が生成する安全データSDは、安全通信層12が生成する安全通信用の情報SIよりも通信プロトコルの上位の階層に位置する。即ち、安全アプリ11が生成する安全データSDは、安全通信層12が生成する安全通信用の情報SIと通信プロトコルの異なる階層に位置する。実施の形態1において、図5に示す通信情報TIのうちの安全データSD、安全通信用の情報SI及び情報DI,CIの階層は、予め定められた階層である。図5に示す通信情報TIのうちの安全データSD、安全通信用の情報SI及び情報DI,CIの各階層におけるアドレスは、予め定められたアドレスである。なお、本明細書でいう通信プロトコルの階層は、制御ユニット5と入出力ユニット4との間の情報を送受信する通信における階層と、各制御ユニット5と入出力ユニット4において実行される処理の階層とを総称するものである。ネットワーク層14は、図5に示す通信情報TIを送受信するものである。
[0033]
 また、実施の形態1に係る制御システム1は、二つの制御ユニット5のうちの駆動系制御ユニットとして動作する一方の制御ユニット5Dが、通信情報TIを送受信する前に、入出力ユニット4とのコネクションを確立する。コネクションを確立するとは、ネットワークNにより接続した制御ユニット5と入出力ユニット4とが、互いに情報を送受信可能となる状態を確立することである。即ち、コネクションを確立するとは、ネットワークNを介して、制御ユニット5と入出力ユニット4との相互間の通信用の回線を確保することである。
[0034]
 制御ユニット5は、入出力ユニット4とのコネクションを確立するか否かを決定する決定手段である決定層15を備える。決定層15は、安全通信層12よりも制御システム1及び制御ユニット5の通信プロトコルの上位の階層に位置する。即ち、決定層15は、安全通信層12と、制御システム1及び制御ユニット5の通信プロトコルの異なる階層に位置する。二つの制御ユニット5のうちの駆動系制御ユニットとして動作する一方の制御ユニット5Dの決定層15Dは、入出力ユニット4とのコネクションを確立することを決定する。二つの制御ユニット5のうちの駆動系制御ユニットとして動作する一方の制御ユニット5Dの安全通信層12Dは、決定層15Dの決定結果通りに入出力ユニット4とのコネクションを確立する。
[0035]
 一方の制御ユニット5Dの安全通信層12Dは、コネクションを確立する際に、入出力ユニット4の安全通信層12との間で、安全通信の確立要求情報の送受信と応答情報の送受信とを実行する。一方の制御ユニット5Dの安全通信層12Dは、入出力ユニット4の安全通信層12との間で、ネットワークパラメータ確認要求情報の送受信と応答情報の送受信とを実行し、パラメータを格納し、保持する。
[0036]
 一方の制御ユニット5Dの安全通信層12Dは、入出力ユニット4の安全通信層12との間で、安全局パラメータ照合要求情報の送受信と応答情報の送受信とを実行し、パラメータの正当性を確認する。一方の制御ユニット5Dの安全通信層12Dは、入出力ユニット4の安全通信層12との間で、オプションに関係する情報の送受信と応答情報の送受信とを実行する。一方の制御ユニット5Dの安全通信層12Dは、入出力ユニット4の安全通信層12との間で、オフセット計測情報の送受信と応答情報の送受信とを実行する。一方の制御ユニット5Dの安全通信層12Dは、入出力ユニット4の安全通信層12との間で、オフセット生成要求情報の送受信と応答情報の送受信とを実行する。
[0037]
 二つの制御ユニット5のうちの駆動系制御ユニットとして動作する一方の制御ユニット5Dの決定層15Dは、入出力ユニット4との間で通信情報TIを送受信する前にコネクションを確立することを決定する。二つの制御ユニット5のうちの駆動系制御ユニットとして動作する一方の制御ユニット5Dの安全通信層12Dは、入出力ユニット4との間で通信情報TIを送受信する前に決定層15Dの決定結果通りにコネクションを確立する。
[0038]
 二つの制御ユニット5のうちの駆動系制御ユニットとして動作する一方の制御ユニット5Dが入出力ユニット4とコネクションを確立した後、入出力ユニット4Iは、外部から図示しない同期信号を受信すると、図5に示す情報DIを含む通信情報TIを生成し、記憶する。駆動系制御ユニットとして動作する一方の制御ユニット5Dは、同期信号を受信すると、入出力ユニット4Iから通信情報TIを取得し、記憶する。
[0039]
 駆動系制御ユニットとして動作する一方の制御ユニット5Dは、同期信号を受信すると、入出力ユニット4Iから通信情報TIを取得するとともに、図5に示す情報CIを含む通信情報TIを生成し、入出力ユニット4Oに送信する。入出力ユニット4Oは、情報CIを含む通信情報TIを記憶する。実施の形態1において、制御ユニット5Dが、入出力ユニット4Iから情報DIを含む通信情報TIを取得し、情報CIを含む通信情報TIを入出力ユニット4Oに送信することは、制御ユニット5Dが入出力ユニット4I,4Oとの間で通信情報TIを送受信することを示す。
[0040]
 また、制御システム1は、二つの制御ユニット5のうちの駆動系制御ユニットとして動作する一方の制御ユニット5Dと待機系制御ユニットとして動作する他方の制御ユニット5Wとが、トラッキングケーブル7を介して、同値化ための信号と相互監視のための信号とを送受信する。同値化のための信号は、待機系制御ユニットが、いままで駆動系制御ユニットとしていたものに代わり駆動系制御ユニットに切り替わる際に、過不足なく入出力ユニット4Iから通信情報TIを取得でき、入出力ユニット4Oに通信情報TIを送信できることを可能とするための信号である。相互監視のための信号は、故障が発生することなく互いに動作しているか否かを監視するための信号である。
[0041]
 また、一方の制御ユニット5Dが駆動系制御ユニットとして動作して入出力ユニット4とのコネクションを確立している際中に、一方の制御ユニット5Dの入出力ユニット4とのコネクションが切断された状態になると、二つの制御ユニット5のうちの待機系制御ユニットとして動作する他方の制御ユニット5Wの決定層15Wは、入出力ユニット4とのコネクションを確立することを決定する。二つの制御ユニット5のうちの待機系制御ユニットとして動作する他方の制御ユニット5Wの安全通信層12Wは、決定層15の決定結果通りに他方の制御ユニット5Wと入出力ユニット4とのコネクションを確立する。待機系制御ユニットとして動作する他方の制御ユニット5Wは、安全通信層12Wが一方の制御ユニット5Dと同様にコネクションを確立する。他方の制御ユニット5Wは、安全通信層12Wがコネクションを確立した後、入出力ユニット4と通信情報TIを送受信して、以後、駆動系制御ユニットとして動作する。
[0042]
 図6は、実施の形態1に係る制御システムの制御ユニット及び入出力ユニットのハードウェア構成を示す図である。制御システム1の制御ユニット5及び入出力ユニット4は、図6に示すように、コンピュータプログラムを記憶するMPU(Micro-Processing Unit)91と、情報を記憶可能な共有メモリ92と、他のユニットと通信可能な通信用回路93と、ネットワークNに接続した通信インタフェース94とを備える。通信用回路93は、通信インタフェース94に接続している。MPU91と共有メモリ92と通信用回路93とは、内部バスB9を介して接続している。
[0043]
 制御ユニット5及び入出力ユニット4は、図6に示すように、入出力インタフェース95と、入出力インタフェース95に接続したコンバータ96とを備える。制御ユニット5D,5Wの入出力インタフェース95D,95Wは、トラッキングケーブル7を介して互いに接続している。入出力ユニット4Iの入出力インタフェース95Iは、機器2に接続し、入出力ユニット4Oの入出力インタフェース95Oは、機器3に接続している。
[0044]
 安全アプリ11、決定層15、安全通信層12、一般アプリ13及びネットワーク層14の機能は、MPU91が記憶したコンピュータプログラムを実行することにより実現される。コンピュータプログラムは、コンピュータにより読み出し可能なコンピュータプログラムであって、ソフトウェア、ファームウェア、又はソフトウェアとファームウェアとの組み合わせにより実現される。
[0045]
 共有メモリ92は、データを記憶可能な記憶領域を備える。入出力ユニット4の共有メモリ92は、制御ユニット5双方のMPU91がアクセス可能である。共有メモリ92は、不揮発性の半導体メモリ、又は揮発性の半導体メモリにより構成される。不揮発性の半導体メモリ、又は揮発性の半導体メモリとして、RAM、ROM、フラッシュメモリ、EPROM(Erasable Programmable Read Only Memory)、又は、EEPROM(Electrically Erasable Programmable Read Only Memory)を用いることができる。また、共有メモリ92は、磁気ディスク、光ディスク、及び光磁気ディスクのうちの少なくとも一つにより構成されても良い。
[0046]
 入出力ユニット4Iの共有メモリ92Iは、入出力ユニット4IのMPU91Iにより情報DIを含む通信情報TIが書き込まれる。入出力ユニット4Iの共有メモリ92Iは、駆動系制御ユニットとして動作する一方の制御ユニット5DのMPU91Dにより通信情報TIが取得され、通信情報TIが取得されるとMPU91Dにより通信情報TIを記憶している記憶領域がクリアされて情報を記憶していない空きの状態となる。駆動系制御ユニットとして動作する一方の制御ユニット5DのMPU91Dは、取得した通信情報TIを共有メモリ92Dに書き込む。駆動系制御ユニットとして動作する一方の制御ユニット5DのMPU91Dは、情報CIを含む通信情報TIを生成し、生成した通信情報TIを入出力ユニット4Oの共有メモリ92Oに書き込む。入出力ユニット4Oの共有メモリ92Oは、MPU91Oにより通信情報TIが取得され、通信情報TIが取得されるとMPU91Oにより通信情報TIを記憶している記憶領域がクリアされて情報を記憶していない空きの状態となる。入出力ユニット4OのMPU91Oは、共有メモリ92Oから取得した通信情報TIを機器3に送信し、機器3の動作を制御する。
[0047]
 通信用回路93は、単一回路、複合回路、プログラム化したプロセッサー、並列プログラム化したプロセッサー、ASIC(Application Specific Integrated Circuit)、FPGA(Field-Programmable Gate Array)又はこれらの二以上を組み合わせて実現される。
[0048]
 入出力ユニット4のコンバータ96は、MPU91と機器2,3とが互いに送受信する信号のうちアナログ信号をデジタル信号に変換するA/D(Analog/Digital)コンバータ、デジタル信号をアナログ信号に変換するD/A(Digital/Analog)コンバータ、又は、デジタルI/O(Input/Output)により実現される。制御ユニット5のコンバータ96は、デジタルI/Oにより実現される。
[0049]
 次に、実施の形態1に係る制御システムの駆動系制御ユニットが第1の制御ユニットから第2の制御ユニットに切り替わる過程を図面に基づいて説明する。図7は、図1に示された制御システムの駆動系制御ユニットが他方の制御ユニットに切り替わった状態を示す図である。図8は、図1に示された制御システムの切替イベントが発生した際に駆動系制御ユニットを切り替える過程を示すシーケンス図である。図9は、図1に示された制御システムの一方の制御ユニットが故障した際に駆動系制御ユニットを切り替える過程を示すシーケンス図である。
[0050]
 制御システム1は、図1に実線で示すように、駆動系制御ユニットとして動作する一方の制御ユニット5Dの安全通信層12Dと、入出力ユニット4I,4Oの安全通信層12I,12Oとのコネクションを確立している。一方の制御ユニット5Dが、図1に示す点線、図8及び図9に示すように、機器3に接続した入出力ユニット4Oに通信情報TIを送信して、入出力ユニット4Oの共有メモリ92Oに書き込む(ステップST1)。さらに、一方の制御ユニット5Dが、図1に示す点線、図8及び図9に示すように、機器2に接続した入出力ユニット4Iから通信情報TIを取得する(ステップST2)。
[0051]
 制御システム1は、一方の制御ユニット5Dがコンピュータ6から切替要求を示す信号を受信して、切替イベントを発生する。制御システム1は、図8に示すように、一方の制御ユニット5Dが、切替要求を示す信号を受信すると、他方の制御ユニット5Wに切替通知を送信する(ステップST3)。すると、一方の制御ユニット5Dは、入出力ユニット4I,4Oとのコネクションを切断し、他方の制御ユニット5Wは、図8に示すように、入出力ユニット4I,4Oとのコネクションを確立する(ステップST4)。
[0052]
 制御システム1は、図7に実線で示すように、他方の制御ユニット5Wの安全通信層12Wと入出力ユニット4I,4Oの安全通信層12I,12Oとのコネクションを確立する。他方の制御ユニット5Wは、図7に示す点線及び図8に示すように、機器3に接続した入出力ユニット4Oに通信情報TIを送信して、入出力ユニット4Oの共有メモリ92Oに書き込む(ステップST5)。さらに、他方の制御ユニット5Wは、図1に示す点線及び図9に示すように、機器2に接続した入出力ユニット4Iから通信情報TIを取得する(ステップST6)。
[0053]
 また、制御システム1は、一方の制御ユニット5Dが通信情報TIを送受信している間、即ち、一方の制御ユニット5Dの安全通信層12Dと入出力ユニット4I,4Oの安全通信層12I,12Oとがコネクションを確立している間に、二つの制御ユニット5が、図9に示すように、トラッキングケーブル7を介して互いに監視している(ステップST10)。制御システム1は、他方の制御ユニット5Wが一方の制御ユニット5Dの故障を検知する(ステップST11)と、他方の制御ユニット5Wが、図9に示すように、入出力ユニット4I,4Oとのコネクションを確立する(ステップST12)。
[0054]
 そして、制御システム1は、他方の制御ユニット5Wがコネクションを確立すると、図9に示すように、他方の制御ユニット5Wが機器3に接続した入出力ユニット4Oに通信情報TIを送信して、入出力ユニット4Oの共有メモリ92Oに書き込む(ステップST13)。さらに、他方の制御ユニット5Wが、図9に示すように、機器2に接続した入出力ユニット4Iから通信情報TIを取得する(ステップST14)。
[0055]
 実施の形態1に係る制御システム1によれば、二つの制御ユニット5のうちの駆動系制御ユニットとして動作している一方の制御ユニット5Dのコネクションが切断された状態になると、待機系制御ユニットとして動作する他方の制御ユニット5Wが、入出力ユニット4I,4Oとのコネクションを確立することを決定する決定手段である決定層15Wを安全通信層12Wとは別に備える。このために、制御システム1及び制御ユニット5は、コネクションを確立する安全通信層12に加えて決定層15を備えるので、決定層15が様々な通信制御方式を採用した安全通信を行う安全通信層12に対応することができる。その結果、制御システム1及び制御ユニット5は、様々な通信制御方式を採用した安全通信のコネクションの切り替えを容易に行うことができる。
[0056]
 また、実施の形態1に係る制御システム1及び制御ユニット5によれば、決定層15が安全通信層12よりも通信プロトコルの上位の階層に位置するので、決定層15が様々な通信制御方式を採用した安全通信を行う安全通信層12に対応することができる。その結果、制御システム1は、様々な通信制御方式を採用した安全通信のコネクションの切り替えを容易に行うことができる。
[0057]
実施の形態2.
 次に、本発明の実施の形態2に係る制御システム1を図面に基づいて説明する。図10は、実施の形態2に係る制御システムの構成を示す図である。図11は、実施の形態2に係る制御システムの安全アプリ、安全通信層及び一般アプリが生成する通信情報の構成を示す図である。図12は、図10に示された制御システムの駆動系制御ユニットが他方の制御ユニットに切り替わった状態を示す図である。図13は、図10に示された制御システムの切替イベントが発生した際に駆動系制御ユニットを切り替える過程を示すシーケンス図である。図14は、図10に示された制御システムの一方の制御ユニットが故障した際に駆動系制御ユニットを切り替える過程を示すシーケンス図である。なお、図10から図14において、実施の形態1と同一部分には、同一符号を付して説明を省略する。
[0058]
 実施の形態2に係る制御システム1-2は、実施の形態1に係る制御システム1と構成が等しい。実施の形態2に係る制御システム1-2は、図10に実線で示すように、駆動系制御ユニットとして動作する一方の制御ユニット5Dの安全通信層12Dが入出力ユニット4I,4Oの安全通信層12I,12Oとのコネクションを確立するとともに、待機系制御ユニットとして動作する他方の制御ユニット5Wの安全通信層12Wが入出力ユニット4I,4Oの安全通信層12I,12Oとのコネクションを確立する。即ち、制御システム1-2は、決定層15D,15Wの双方が、制御ユニット5D,5Wの双方と入出力ユニット4I,4Oとのコネクションを確立することを決定する。制御システム1-2は、安全通信層12D,12Wの双方が、決定層15D,15Wの決定結果通りに制御ユニット5D,5Wの双方と入出力ユニット4I,4Oとのコネクションを確立する。
[0059]
 実施の形態2に係る制御システム1-2は、駆動系制御ユニットとして動作する一方の制御ユニット5Dが通信情報TIを入出力ユニット4Iから取得し、通信情報TIを入出力ユニット4Oに送信する。また、実施の形態2に係る制御システム1-2は、待機系制御ユニットとして動作する他方の制御ユニット5Wが図11に示すテスト用の情報TI-2を入出力ユニット4Iから取得し、テスト用の情報TI-2を入出力ユニット4Oに送信する。テスト用の情報TI-2は、待機系制御ユニットとして動作する他方の制御ユニット5Wと入出力ユニット4I,4Oとの間で安全通信を行うための情報である。実施の形態2において、テスト用の情報TI-2は、実施の形態1に係る通信情報TIの情報DI,CIの代わりにダミーの情報DMを備えるものである。
[0060]
 制御システム1-2は、一方の制御ユニット5Dが、図10に示す点線、図13及び図14に示すように、入出力ユニット4Oに通信情報TIを送信して、入出力ユニット4Oの共有メモリ92Oに書き込む(ステップST1)。さらに、一方の制御ユニット5Dが、図10に示す点線、図13及び図14に示すように、入出力ユニット4Iから通信情報TIを取得する(ステップST2)。
[0061]
 さらに、制御システム1-2は、他方の制御ユニット5Wが、図13及び図14に示すように、入出力ユニット4Oにテスト用の情報TI-2を送信して、入出力ユニット4Oの共有メモリ92に書き込む(ステップST1-2)。さらに、他方の制御ユニット5Wが、図13及び図14に示すように、入出力ユニット4Iからテスト用の情報TI-2を取得する(ステップST2-2)。
[0062]
 制御システム1-2は、一方の制御ユニット5Dがコンピュータ6から切替要求を示す信号を受信して、切替イベントを発生する。制御システム1-2は、一方の制御ユニット5Dがコンピュータ6から切替要求を示す信号を受信すると、図13に示すように、一方の制御ユニット5Dが他方の制御ユニット5Wに切替通知を送信する(ステップST3)。すると、他方の制御ユニット5Wは、図12に示す点線及び図13に示すように、入出力ユニット4Oに通信情報TIを送信して、入出力ユニット4Oの共有メモリ92Oに書き込む(ステップST5)。さらに、他方の制御ユニット5Wは、図12に示す点線及び図13に示すように、入出力ユニット4Iから通信情報TIを取得する(ステップST6)。
[0063]
 さらに、制御システム1-2は、一方の制御ユニット5Dが、図13に示すように、入出力ユニット4Oにテスト用の情報TI-2を送信して、入出力ユニット4Oの共有メモリ92Oに書き込む(ステップST5-2)。さらに、一方の制御ユニット5Dは、図13に示すように、入出力ユニット4Iからテスト用の情報TI-2を取得する(ステップST6-2)。
[0064]
 また、制御システム1-2は、一方の制御ユニット5Dが通信情報TIを送受信し、他方の制御ユニット5Wがテスト用の情報TI-2を送受信している間に、二つの制御ユニット5が、図14に示すように、トラッキングケーブル7を介して互いに監視している(ステップST10)。制御システム1-2は、他方の制御ユニット5Wが一方の制御ユニット5Dの故障を検知することがある(ステップST11)。制御システム1-2は、他方の制御ユニット5Wが一方の制御ユニット5Dの故障を検知する(ステップST11)と、一方の制御ユニット5Dの入出力ユニット4I,4Oとのコネクションが切断された状態になる。制御システム1-2は、他方の制御ユニット5Wが、入出力ユニット4I,4Oとのコネクションを用いて、図14に示すように、入出力ユニット4Oに通信情報TIを送信して、入出力ユニット4Oの共有メモリ92Oに書き込む(ステップST13)。さらに、他方の制御ユニット5Wは、入出力ユニット4I,4Oとのコネクションを用いて、図14に示すように、入出力ユニット4Iから通信情報TIを取得する(ステップST14)。
[0065]
 実施の形態2に係る制御システム1-2によれば、実施の形態1と同様に、決定層15を安全通信層12とは別に備えるので、様々な通信制御方式を採用した安全通信のコネクションの切り替えを容易に行うことができる。
[0066]
 また、実施の形態2に係る制御システム1-2によれば、実施の形態1と同様に、決定層15が安全通信層12よりも通信プロトコルの上位の階層に位置するので、様々な通信制御方式を採用した安全通信のコネクションの切り替えを容易に行うことができる。
[0067]
 また、実施の形態2に係る制御システム1-2によれば、二つの制御ユニット5D,5Wの双方の決定層15D,15Wが、入出力ユニット4I,4Oとのコネクションを確立することを決定し、二つの制御ユニット5D,5Wの双方の安全通信層12D,12Wが、入出力ユニット4I,4Oの安全通信層12I,12Oとのコネクションを確立する。このために、実施の形態2に係る制御システム1-2によれば、駆動系制御ユニットから待機系制御ユニットへの切り替えをスムーズに行うことができる。
[0068]
 以上の実施の形態に示した構成は、本発明の内容の一例を示すものであり、別の公知の技術と組み合わせることも可能であるし、本発明の要旨を逸脱しない範囲で、構成の一部を省略、変更することも可能である。

符号の説明

[0069]
 1,1-2 制御システム、2,3 機器、4,4I,4O 入出力ユニット、5 制御ユニット、5D 一方の制御ユニット(第1の制御ユニット)、5W 他方の制御ユニット(第2の制御ユニット)、12,12D,12W 安全通信層(接続手段)、15,15D,15W 決定層(決定手段)。

請求の範囲

[請求項1]
 機器に接続した入出力ユニットに接続した第1の制御ユニットと、前記第1の制御ユニットを代替可能な第2の制御ユニットと、を備え、前記第1の制御ユニットと前記第2の制御ユニットとのうちの一方の制御ユニットが前記入出力ユニットとのコネクションを確立する制御システムであって、
 前記一方の制御ユニットの前記入出力ユニットとのコネクションが切断された状態になると、前記第1の制御ユニットと前記第2の制御ユニットとのうちの他方の制御ユニットと前記入出力ユニットとのコネクションを確立することを決定する決定手段と、
 前記決定手段の決定結果通りに前記他方の制御ユニットと前記入出力ユニットとのコネクションを確立する接続手段と、
 を備えることを特徴とする制御システム。
[請求項2]
 機器に接続した入出力ユニットに接続した第1の制御ユニットと、前記第1の制御ユニットを代替可能な第2の制御ユニットと、を備えた制御システムであって、
 前記第1の制御ユニットと前記第2の制御ユニットとの双方と、前記入出力ユニットとのコネクションを確立することを決定する決定手段と、
 前記決定手段の決定結果通りに前記第1の制御ユニットと前記第2の制御ユニットとの双方と前記入出力ユニットとのコネクションを確立する接続手段と、を備え、
 前記第1の制御ユニットと前記第2の制御ユニットとのうちの一方の制御ユニットの前記入出力ユニットとのコネクションが切断された状態になると、前記第1の制御ユニットと前記第2の制御ユニットとのうちの他方の制御ユニットは、前記他方の制御ユニットと前記入出力ユニットとのコネクションを用いて、情報を送受信する
 ことを特徴とする制御システム。
[請求項3]
 前記決定手段は、前記接続手段よりも前記制御システムの通信プロトコルの上位の階層に位置する
 ことを特徴とする請求項1又は請求項2に記載の制御システム。
[請求項4]
 機器に接続した入出力ユニットを制御する制御ユニットであって、
 前記入出力ユニットとのコネクションを確立することを決定する決定手段と、
 前記決定手段の決定結果通りに前記入出力ユニットとのコネクションを確立する接続手段と、
 を備えることを特徴とする制御ユニット。
[請求項5]
 前記決定手段は、前記接続手段よりも前記制御ユニットの通信プロトコルの上位の階層に位置する
 ことを特徴とする請求項4に記載の制御ユニット。

図面

[ 図 1]

[ 図 2]

[ 図 3]

[ 図 4]

[ 図 5]

[ 図 6]

[ 図 7]

[ 図 8]

[ 図 9]

[ 図 10]

[ 図 11]

[ 図 12]

[ 図 13]

[ 図 14]