二重化制御装置およびその自系動作抑止方法
【課題】制御装置の障害発生時に、メイン電源にて動作する機能だけでなく、サブ電源で動作する機能も停止する技術を提供する。
【解決手段】二重化制御装置において、主系制御装置1と、従系制御装置2と、主系制御装置1と従系制御装置2とを接続する通信回線3とを有し、互いの動作状況を把握するために通信回線3を使用して主系制御装置1と従系制御装置2との間の通信を行い、応答が無いことにより相手系の制御装置の障害を認識する二重化制御装置であって、主系制御装置1と従系制御装置2とのそれぞれは、通常動作のためのメイン電源と、起動動作、停止動作およびスタンバイ動作のためのサブ電源と、障害が発生した場合に、メイン電源により動作する回路とサブ電源により動作する回路との動作を停止する自系動作抑止部13,23とを有する。
【解決手段】二重化制御装置において、主系制御装置1と、従系制御装置2と、主系制御装置1と従系制御装置2とを接続する通信回線3とを有し、互いの動作状況を把握するために通信回線3を使用して主系制御装置1と従系制御装置2との間の通信を行い、応答が無いことにより相手系の制御装置の障害を認識する二重化制御装置であって、主系制御装置1と従系制御装置2とのそれぞれは、通常動作のためのメイン電源と、起動動作、停止動作およびスタンバイ動作のためのサブ電源と、障害が発生した場合に、メイン電源により動作する回路とサブ電源により動作する回路との動作を停止する自系動作抑止部13,23とを有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、主系制御装置と従系制御装置とを備えた二重化制御装置に関し、特に、この二重化制御装置における自系動作抑止方法に適用して有効な技術に関するものである。
【背景技術】
【0002】
一般に、主系制御装置と従系制御装置とからなる二重化制御装置では、通常時に主系制御装置を動作させ、主系制御装置の障害発生時には主系制御装置の動作を停止させ、従系制御装置に切替えることによりシステムの信頼性(耐故障性)を向上させている。また、両制御装置の切替えは、主系制御装置と従系制御装置との間で相互監視を行い、最短かつ安定に行うことにしている。このような二重化制御装置については、例えば、特許文献1や特許文献2に記載されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2004−213412号公報
【特許文献2】特許第4474614号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
ところで、前述したような特許文献1や特許文献2などを含む従来技術では、主系制御装置に障害が発生した場合、主系制御装置の動作を停止するために、主系制御装置内部のメインリセット信号を制御していたが、メインリセット信号では制御回路部においてサブ電源により動作する機能の動作を止めることが出来ない。そのため、制御装置の障害発生時に動作を停止しようとしても、サブ電源で動作する機能が働き続けるため、制御装置の動作を完全に停止することができず、二重化制御装置の動作に障害が発生する可能性があった。
【0005】
そこで、本発明は、このような従来技術の課題を解決するためになされたものであり、その代表的な目的は、制御装置の障害発生時に、メイン電源にて動作する機能だけでなく、サブ電源で動作する機能も停止する技術を提供することである。
【0006】
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述および添付図面から明らかになるであろう。
【課題を解決するための手段】
【0007】
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、次のとおりである。
【0008】
すなわち、代表的なものの概要は、主系制御装置と、従系制御装置と、前記主系制御装置と前記従系制御装置とを接続する通信回線とを有し、互いの動作状況を把握するために前記通信回線を使用して前記主系制御装置と前記従系制御装置との間の通信を行い、応答が無いことにより相手系の制御装置の障害を認識する二重化制御装置に適用される。そして、前記主系制御装置と前記従系制御装置とのそれぞれは、通常動作のためのメイン電源と、起動動作、停止動作およびスタンバイ動作のためのサブ電源と、障害が発生した場合に、前記メイン電源により動作する回路と前記サブ電源により動作する回路との動作を停止する自系動作抑止部とを有することを特徴とする。
【0009】
さらに好適には、前記主系制御装置と前記従系制御装置とのそれぞれは、前記メイン電源と前記サブ電源とで動作する制御回路部と、前記メイン電源と前記サブ電源とで動作するインタフェース部とを有する。さらに、前記自系動作抑止部は、前記主系制御装置と前記従系制御装置とのそれぞれの前記制御回路部および前記インタフェース部に入力される前記メイン電源が正しく入力されているかどうかを伝えるメイン電源確認信号と、前記サブ電源が正しく入力されているかどうかを伝えるサブ電源確認信号との状態を変化させる電源確認信号制御部を有する。そして、前記主系制御装置に障害が発生した場合に、前記電源確認信号制御部は、前記メイン電源確認信号および前記サブ電源確認信号の状態を変化させ、前記制御回路部および前記インタフェース部に前記メイン電源および前記サブ電源が正しく入力されていないと認識させることにより、前記制御回路部および前記インタフェース部の動作を停止させることを特徴とする。
【0010】
また、前記二重化制御装置の自系動作抑止方法にも、適用されるものである。
【発明の効果】
【0011】
本願において開示される発明のうち、代表的なものによって得られる効果を簡単に説明すれば以下のとおりである。
【0012】
すなわち、代表的なものによって得られる効果は、制御装置の障害発生時に、メイン電源にて動作する機能だけでなく、サブ電源で動作する機能も停止する技術を提供することができる。
【図面の簡単な説明】
【0013】
【図1】本発明の一実施の形態に係る二重化制御装置のシステム構成の一例を示す図である。
【図2】図1に示した二重化制御装置において、制御装置の構成の一例を示す図である。
【図3】図2に示した制御装置において、メイン電源およびサブ電源による動作の一例を示す図である。
【図4】図1に示した二重化制御装置の動作の一例を示す図である。
【発明を実施するための形態】
【0014】
以下の実施の形態においては、便宜上その必要があるときは、複数の実施の形態またはセクションに分割して説明するが、特に明示した場合を除き、それらは互いに無関係なものではなく、一方は他方の一部または全部の変形例、詳細、補足説明等の関係にある。また、以下の実施の形態において、要素の数等(個数、数値、量、範囲等を含む)に言及する場合、特に明示した場合および原理的に明らかに特定の数に限定される場合等を除き、その特定の数に限定されるものではなく、特定の数以上でも以下でも良い。
【0015】
さらに、以下の実施の形態において、その構成要素(要素ステップ等も含む)は、特に明示した場合および原理的に明らかに必須であると考えられる場合等を除き、必ずしも必須のものではないことは言うまでもない。同様に、以下の実施の形態において、構成要素等の形状、位置関係等に言及するときは、特に明示した場合および原理的に明らかにそうでないと考えられる場合等を除き、実質的にその形状等に近似または類似するもの等を含むものとする。このことは、上記数値および範囲についても同様である。
【0016】
[本発明の実施の形態の概要]
本発明の実施の形態に係る二重化制御装置(一例として、()内に対応する構成要素、符号などを付記)は、主系制御装置(1(4))と、従系制御装置(2(4))と、前記主系制御装置と前記従系制御装置とを接続する通信回線(3)とを有し、互いの動作状況を把握するために前記通信回線を使用して前記主系制御装置と前記従系制御装置との間の通信を行い、応答が無いことにより相手系の制御装置の障害を認識する二重化制御装置に適用される。そして、前記主系制御装置と前記従系制御装置とのそれぞれは、通常動作のためのメイン電源と、起動動作、停止動作およびスタンバイ動作のためのサブ電源と、障害が発生した場合に、前記メイン電源により動作する回路と前記サブ電源により動作する回路との動作を停止する自系動作抑止部(13,23(43))とを有することを特徴とする。
【0017】
さらに好適には、前記主系制御装置と前記従系制御装置とのそれぞれは、前記メイン電源と前記サブ電源とで動作する制御回路部(11,21(41))と、前記メイン電源と前記サブ電源とで動作するインタフェース部(12,22(42))とを有する。さらに、前記自系動作抑止部は、前記主系制御装置と前記従系制御装置とのそれぞれの前記制御回路部および前記インタフェース部に入力される前記メイン電源が正しく入力されているかどうかを伝えるメイン電源確認信号と、前記サブ電源が正しく入力されているかどうかを伝えるサブ電源確認信号との状態を変化させる電源確認信号制御部(制御回路部・電源確認信号制御部432,インタフェース部・電源確認信号制御部433)を有する。そして、前記主系制御装置に障害が発生した場合に、前記電源確認信号制御部は、前記メイン電源確認信号および前記サブ電源確認信号の状態を変化させ、前記制御回路部および前記インタフェース部に前記メイン電源および前記サブ電源が正しく入力されていないと認識させることにより、前記制御回路部および前記インタフェース部の動作を停止させることを特徴とする。
【0018】
また、前記二重化制御装置の自系動作抑止方法にも、適用されるものである。
【0019】
上述した本発明の実施の形態の概要に基づいた本発明の一実施の形態を、以下において図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一の部材には原則として同一の符号を付し、その繰り返しの説明は省略する。
【0020】
[本発明の一実施の形態]
本発明の一実施の形態に係る二重化制御装置について、図1〜図4を用いて説明する。本実施の形態においては、主系制御装置に障害が発生した場合に、自系動作抑止部を用いて主系制御装置のメイン電源およびサブ電源で動作する機能を停止させ、従系制御装置に切替える例を主に説明するが、従系制御装置に障害が発生した場合にも同様に適用可能であることは言うまでもない。
【0021】
<二重化制御装置のシステム構成>
図1を用いて、本実施の形態に係る二重化制御装置のシステム構成について説明する。図1は、この二重化制御装置のシステム構成の一例を示す図である。なお、図1において、()内に付した符号は、詳細を後述する図2に対応する符号である。
【0022】
図1に示すように、本実施の形態に係る二重化制御装置は、制御回路部11(41)とインタフェース部12(42)と自系動作抑止部13(43)とを有した主系制御装置1(4)と、制御回路部21(41)とインタフェース部22(42)と自系動作抑止部23(43)とを有した従系制御装置2(4)と、主系制御装置1と従系制御装置2とを接続する通信回線3とを備えて構成される。
【0023】
この二重化制御装置においては、通常時に主系制御装置1を動作させ、主系制御装置1の障害発生時には主系制御装置1の動作を停止させ、従系制御装置2に切替えることによりシステムの信頼性(耐故障性)を向上させている。また、主系制御装置1と従系制御装置2との切替えは、主系制御装置1と従系制御装置2との間で相互監視を行い、最短かつ安定に行うことにしている。
【0024】
特に、本実施の形態に係る二重化制御装置においては、主系制御装置1と従系制御装置2とが通信回線3を用いて相互の状態を監視し、主系制御装置1に障害が発生した場合に、自系動作抑止部13によって主系制御装置1の動作を停止する構成において、自系動作抑止部13は次のようにして自系の動作を停止させる。
【0025】
すなわち、自系動作抑止部13は、制御回路部11およびインタフェース部12に入力されるメイン電源の電源が正しく入力されているかどうかを伝えるメイン電源確認信号とサブ電源の電源が正しく入力されているかどうかを伝えるサブ電源確認信号の状態を変化させる電源確認信号制御部を有する。そして、主系制御装置1に障害が発生した場合、自系動作抑止部13は、メイン電源確認信号およびサブ電源確認信号の状態を変化させ、制御回路部11およびインタフェース部12にメイン電源およびサブ電源が正しく入力されていないと認識させることにより、制御回路部11およびインタフェース部12の動作を停止させる。
【0026】
このように、主系制御装置1の障害発生時に、自系動作抑止部13にて自系の動作を停止するため、この自系動作抑止部13にて、自系のメイン電源確認信号およびサブ電源確認信号を電源確認信号制御部で制御することにより、制御回路部11およびインタフェース部12の動作を停止させることができる。
【0027】
なお、主系制御装置1の障害発生時に限らず、例えば従系制御装置2の障害発生時にも同様に、自系動作抑止部23にて自系の動作を停止するため、この自系動作抑止部23にて、自系のメイン電源確認信号およびサブ電源確認信号を電源確認信号制御部で制御することにより、制御回路部21およびインタフェース部22の動作を停止させることができる。
【0028】
<制御装置の構成>
図2を用いて、図1に示した二重化制御装置において、制御装置の構成について説明する。図2は、この制御装置の構成の一例を示す図である。
【0029】
図2に示すように、図1に示した主系制御装置1、従系制御装置2のそれぞれの制御装置4は、制御回路部41、インタフェース部42および自系動作抑止部43で構成されている。
【0030】
制御回路部41は、主系制御装置1、従系制御装置2のそれぞれの制御を司る回路部であり、制御部411、メイン電源生成部412、メイン電源確認部413、サブ電源生成部414およびサブ電源確認部415を含んで構成される。
【0031】
制御部411は、制御回路部41を制御するための機能部である。この制御部411は、メイン電源生成部412、メイン電源確認部413、サブ電源生成部414およびサブ電源確認部415に接続され、この制御部411によりこれらの各部の制御が行われる。この制御部411は、さらに、インタフェース部42の制御部421、自系動作抑止部43の制御部431にも接続され、相互に制御信号などのやり取りが可能となっている。
【0032】
メイン電源生成部412は、メイン電源を生成するための機能部である。このメイン電源生成部412は、制御部411に接続され、このメイン電源生成部412により生成されたメイン電源が制御部411に給電されている。
【0033】
メイン電源確認部413は、メイン電源を確認するための機能部である。このメイン電源確認部413は、メイン電源生成部412および制御部411に接続され、このメイン電源確認部413により制御部411に正常にメイン電源が給電されているかが確認され、メイン電源の状態が制御部411へメイン電源確認信号として出力されている。
【0034】
サブ電源生成部414は、サブ電源を生成するための機能部である。このサブ電源生成部414は、制御部411に接続され、このサブ電源生成部414により生成されたサブ電源が制御部411に給電されている。
【0035】
サブ電源確認部415は、サブ電源を確認するための機能部である。このサブ電源確認部415は、サブ電源生成部414および制御部411に接続され、このサブ電源確認部415により制御部411に正常にサブ電源が給電されているかが確認され、サブ電源の状態が制御部411へサブ電源確認信号として出力されている。
【0036】
インタフェース部42は、主系制御装置1と従系制御装置2との間のインタフェースを司る回路部であり、制御回路部41と同様に、制御部421、メイン電源生成部422、メイン電源確認部423、サブ電源生成部424およびサブ電源確認部425を含んで構成される。
【0037】
このインタフェース部42の各部の機能および接続などは、制御回路部41と同様であり、メイン電源生成部422およびサブ電源生成部424により生成されたメイン電源およびサブ電源が制御部421に給電され、また、メイン電源確認部423およびサブ電源確認部425により制御部421に正常にメイン電源およびサブ電源が給電されているかが確認され、メイン電源およびサブ電源の状態が制御部421へメイン電源確認信号およびサブ電源確認信号として出力されている。
【0038】
さらに、インタフェース部42には、送受信部426が含まれている。この送受信部426は、通信回線3を通じて接続される主系制御装置1と従系制御装置2との間で相互に送受信を行うための機能部である。
【0039】
自系動作抑止部43は、制御部431、制御回路部・電源確認信号制御部432およびインタフェース部・電源確認信号制御部433を含んで構成される。
【0040】
制御部431は、自系動作抑止部43を制御するための機能部である。この制御部431は、制御回路部・電源確認信号制御部432およびインタフェース部・電源確認信号制御部433に接続され、この制御部431によりこれらの各部の制御が行われる。この制御部431は、さらに、制御回路部41の制御部411およびインタフェース部42の制御部421にも接続され、相互に制御信号などのやり取りが可能となっている。
【0041】
制御回路部・電源確認信号制御部432は、制御回路部41のメイン電源確認信号およびサブ電源確認信号を制御するための機能部である。この制御回路部・電源確認信号制御部432は、制御回路部41のメイン電源確認部413およびサブ電源確認部415の出力に接続され、制御部411へ出力されるメイン電源確認信号およびサブ電源確認信号が、正常時には正常な状態を示す信号で出力され、一方、異常発生時には異常な状態を示す信号に変化して出力される。
【0042】
インタフェース部・電源確認信号制御部433は、インタフェース部42のメイン電源確認信号およびサブ電源確認信号を制御するための機能部である。このインタフェース部・電源確認信号制御部433は、インタフェース部42のメイン電源確認部423およびサブ電源確認部425の出力に接続され、制御部421へ出力されるメイン電源確認信号およびサブ電源確認信号が、正常時には正常な状態を示す信号で出力され、一方、異常発生時には異常な状態を示す信号に変化して出力される。
【0043】
<メイン電源およびサブ電源による動作>
図3を用いて、図2に示した制御装置において、メイン電源およびサブ電源による動作について説明する。図3は、このメイン電源およびサブ電源による動作の一例を示す図である。
【0044】
図3に示すように、制御装置4の動作には、例えば、制御装置を起動する際の起動動作、起動後の通常な制御を行うための通常動作、制御装置を停止する際の停止動作、制御装置をスタンバイ状態にするためのスタンバイ動作などがある。
【0045】
これらの動作のうち、起動動作、停止動作およびスタンバイ動作は、サブ電源の給電による動作である。図3の例では、サブ電源として5Vの電圧が印加されることで、このサブ電源の給電による回路が動作する。一方、通常動作は、メイン電源の給電による動作である。図3の例では、メイン電源として5Vの電圧が印加されることで、このメイン電源の給電による回路が動作する。
【0046】
このように、制御装置4の制御回路部41およびインタフェース部42には、サブ電源により動作する回路と、メイン電源により動作する回路とがあり、制御装置4の障害発生時には、メイン電源にて動作する回路だけでなく、サブ電源で動作する回路も停止することが必要であり、本実施の形態においては、前述した図1および図2に示したような構成、および後述する図4に示すような動作により、これを実現している。
【0047】
<二重化制御装置の動作>
図4を用いて、図1に示した二重化制御装置の動作について説明する。図4は、この二重化制御装置の動作の一例を示す図である。
【0048】
二重化制御装置のシステムでは、主系制御装置1と従系制御装置2とのそれぞれの制御装置4はインタフェース部42の送受信部426に接続されている通信回線3により通信を行っている。
【0049】
主系制御装置1が正常に動作している場合は、主系制御装置1は、制御回路部41からの命令によって、インタフェース部42が送受信部426を用いて、従系制御装置2へ自系の生存確認信号を送信し続ける(ステップS1)。
【0050】
もし、主系制御装置1に障害が発生すると(ステップS2)、主系制御装置1のインタフェース部42内の送受信部426からの生存確認信号の送信が途絶え、従系制御装置2は障害が発生したことを確認する(ステップS3)。そして、従系制御装置2は、障害が発生した主系制御装置1に動作停止要求信号を送信する(ステップS4)。
【0051】
さらに、主系制御装置1において、動作停止要求信号はインタフェース部42内の送受信部426が受信し、制御部421より制御回路部41および自系動作抑止部43へ信号を伝える(ステップS5)。
【0052】
さらに、主系制御装置1において、自系動作抑止部43は動作停止要求信号を受信すると、制御部431から制御回路部・電源確認信号制御部432およびインタフェース部・電源確認信号制御部433へ動作停止命令を出す(ステップS6)。
【0053】
さらに、主系制御装置1において、動作停止命令を受けた制御回路部・電源確認信号制御部432およびインタフェース部・電源確認信号制御部433は、それぞれ接続されているメイン電源確認部413,423のメイン電源確認信号およびサブ電源確認部415,425のサブ電源確認信号を電源給電が異常な状態を示す状態に変化させる(ステップS7)。
【0054】
さらに、主系制御装置1において、メイン電源確認部413,423のメイン電源確認信号およびサブ電源確認部415,425のサブ電源確認信号が変化すると、制御回路部41およびインタフェース部42の制御部411,421は、電源が正常に給電されておらず、動作を継続できないと判断し、動作を停止する(ステップS8)。
【0055】
そして、制御回路部41およびインタフェース部42の制御部411,421が動作を停止した後も、制御回路部・電源確認信号制御部432およびインタフェース部・電源確認信号制御部433は、それぞれ接続されているメイン電源確認部413,423のメイン電源確認信号およびサブ電源確認部415,425のサブ電源確認信号を電源給電が異常な状態を示す状態に変化させ続けることで、主系制御装置1の動作を停止させ続ける(ステップS9)。
【0056】
このように、主系制御装置1の障害発生時に、制御回路部41およびインタフェース部42の制御部411,421は主系制御装置1の動作を停止させることができ、その後も続く場合には主系制御装置1の動作を停止させ続けることができる。
【0057】
なお、従系制御装置2の障害発生時にも同様に、制御回路部41およびインタフェース部42の制御部411,421は従系制御装置2の動作を停止させることができ、その後も続く場合には従系制御装置2の動作を停止させ続けることができる。
【0058】
<本実施の形態の効果>
以上説明したように、本実施の形態に係る二重化制御装置によれば、主系制御装置1と従系制御装置2とのそれぞれの制御装置4は、自系動作抑止部13,23を有することで、障害が発生した場合に、自系動作抑止部13,23は、メイン電源により動作する回路とサブ電源により動作する回路との動作を停止することができる。
【0059】
さらに好適には、主系制御装置1と従系制御装置2とのそれぞれの制御装置4は、制御回路部11,21とインタフェース部12,22とを有し、さらに、自系動作抑止部13,23は、制御回路部・電源確認信号制御部432およびインタフェース部・電源確認信号制御部433を有することで、主系制御装置1(従系制御装置2)に障害が発生した場合に、制御回路部・電源確認信号制御部432およびインタフェース部・電源確認信号制御部433は、メイン電源確認信号およびサブ電源確認信号の状態を変化させ、制御回路部11(制御回路部21)およびインタフェース部12(インタフェース部22)にメイン電源およびサブ電源が正しく入力されていないと認識させることにより、制御回路部11(制御回路部21)およびインタフェース部12(インタフェース部22)の動作を停止させることができる。
【0060】
より具体的には、制御回路部・電源確認信号制御部432が、制御回路部11(制御回路部21)のメイン電源確認信号およびサブ電源確認信号を異常な状態を示す信号に変化させて、制御回路部11(制御回路部21)の動作を停止させることができ、インタフェース部・電源確認信号制御部433が、インタフェース部12(インタフェース部22)のメイン電源確認信号およびサブ電源確認信号を異常な状態を示す信号に変化させて、インタフェース部12(インタフェース部22)の動作を停止させることができる。
【0061】
このように、主系制御装置1と従系制御装置2とを有する二重化制御装置において、主系制御装置1(従系制御装置2)に障害が発生した場合においても、自系動作抑止部13(自系動作抑止部23)を用いて、主系制御装置1(従系制御装置2)のメイン電源にて動作する機能だけでなく、サブ電源で動作する機能も停止させ、従系制御装置2(主系制御装置1)に切替えることにより、従来手法にて課題となっていたサブ電源で動作する機能による二重化制御装置の障害発生の可能性をなくし、システムの信頼性、耐故障性を向上させることができる。
【0062】
以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることはいうまでもない。
【産業上の利用可能性】
【0063】
本発明の主系制御装置と従系制御装置とを備えた二重化制御装置は、特に、この二重化制御装置における自系動作抑止方法に利用可能である。
【符号の説明】
【0064】
1…主系制御装置、11…主系制御装置の制御回路部、12…主系制御装置のインタフェース部、13…主系制御装置の自系動作抑止部、
2…従系制御装置、21…従系制御装置の制御回路部、22…従系制御装置のインタフェース部、23…従系制御装置の自系動作抑止部、
3…通信回線、
4…制御装置、
41…制御装置の制御回路部、411…制御回路部の制御部、412…制御回路部のメイン電源生成部、413…制御回路部のメイン電源確認部、414…制御回路部のサブ電源生成部、415…制御回路部のサブ電源確認部、
42…制御装置のインタフェース部、421…インタフェース部の制御部、422…インタフェース部のメイン電源生成部、423…インタフェース部のメイン電源確認部、424…インタフェース部のサブ電源生成部、425…インタフェース部のサブ電源確認部、426…インタフェース部の送受信部、
43…制御装置の自系動作抑止部、431…自系動作抑止部の制御部、432…自系動作抑止部の制御回路部・電源確認信号制御部、433…自系動作抑止部のインタフェース部・電源確認信号制御部。
【技術分野】
【0001】
本発明は、主系制御装置と従系制御装置とを備えた二重化制御装置に関し、特に、この二重化制御装置における自系動作抑止方法に適用して有効な技術に関するものである。
【背景技術】
【0002】
一般に、主系制御装置と従系制御装置とからなる二重化制御装置では、通常時に主系制御装置を動作させ、主系制御装置の障害発生時には主系制御装置の動作を停止させ、従系制御装置に切替えることによりシステムの信頼性(耐故障性)を向上させている。また、両制御装置の切替えは、主系制御装置と従系制御装置との間で相互監視を行い、最短かつ安定に行うことにしている。このような二重化制御装置については、例えば、特許文献1や特許文献2に記載されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2004−213412号公報
【特許文献2】特許第4474614号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
ところで、前述したような特許文献1や特許文献2などを含む従来技術では、主系制御装置に障害が発生した場合、主系制御装置の動作を停止するために、主系制御装置内部のメインリセット信号を制御していたが、メインリセット信号では制御回路部においてサブ電源により動作する機能の動作を止めることが出来ない。そのため、制御装置の障害発生時に動作を停止しようとしても、サブ電源で動作する機能が働き続けるため、制御装置の動作を完全に停止することができず、二重化制御装置の動作に障害が発生する可能性があった。
【0005】
そこで、本発明は、このような従来技術の課題を解決するためになされたものであり、その代表的な目的は、制御装置の障害発生時に、メイン電源にて動作する機能だけでなく、サブ電源で動作する機能も停止する技術を提供することである。
【0006】
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述および添付図面から明らかになるであろう。
【課題を解決するための手段】
【0007】
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、次のとおりである。
【0008】
すなわち、代表的なものの概要は、主系制御装置と、従系制御装置と、前記主系制御装置と前記従系制御装置とを接続する通信回線とを有し、互いの動作状況を把握するために前記通信回線を使用して前記主系制御装置と前記従系制御装置との間の通信を行い、応答が無いことにより相手系の制御装置の障害を認識する二重化制御装置に適用される。そして、前記主系制御装置と前記従系制御装置とのそれぞれは、通常動作のためのメイン電源と、起動動作、停止動作およびスタンバイ動作のためのサブ電源と、障害が発生した場合に、前記メイン電源により動作する回路と前記サブ電源により動作する回路との動作を停止する自系動作抑止部とを有することを特徴とする。
【0009】
さらに好適には、前記主系制御装置と前記従系制御装置とのそれぞれは、前記メイン電源と前記サブ電源とで動作する制御回路部と、前記メイン電源と前記サブ電源とで動作するインタフェース部とを有する。さらに、前記自系動作抑止部は、前記主系制御装置と前記従系制御装置とのそれぞれの前記制御回路部および前記インタフェース部に入力される前記メイン電源が正しく入力されているかどうかを伝えるメイン電源確認信号と、前記サブ電源が正しく入力されているかどうかを伝えるサブ電源確認信号との状態を変化させる電源確認信号制御部を有する。そして、前記主系制御装置に障害が発生した場合に、前記電源確認信号制御部は、前記メイン電源確認信号および前記サブ電源確認信号の状態を変化させ、前記制御回路部および前記インタフェース部に前記メイン電源および前記サブ電源が正しく入力されていないと認識させることにより、前記制御回路部および前記インタフェース部の動作を停止させることを特徴とする。
【0010】
また、前記二重化制御装置の自系動作抑止方法にも、適用されるものである。
【発明の効果】
【0011】
本願において開示される発明のうち、代表的なものによって得られる効果を簡単に説明すれば以下のとおりである。
【0012】
すなわち、代表的なものによって得られる効果は、制御装置の障害発生時に、メイン電源にて動作する機能だけでなく、サブ電源で動作する機能も停止する技術を提供することができる。
【図面の簡単な説明】
【0013】
【図1】本発明の一実施の形態に係る二重化制御装置のシステム構成の一例を示す図である。
【図2】図1に示した二重化制御装置において、制御装置の構成の一例を示す図である。
【図3】図2に示した制御装置において、メイン電源およびサブ電源による動作の一例を示す図である。
【図4】図1に示した二重化制御装置の動作の一例を示す図である。
【発明を実施するための形態】
【0014】
以下の実施の形態においては、便宜上その必要があるときは、複数の実施の形態またはセクションに分割して説明するが、特に明示した場合を除き、それらは互いに無関係なものではなく、一方は他方の一部または全部の変形例、詳細、補足説明等の関係にある。また、以下の実施の形態において、要素の数等(個数、数値、量、範囲等を含む)に言及する場合、特に明示した場合および原理的に明らかに特定の数に限定される場合等を除き、その特定の数に限定されるものではなく、特定の数以上でも以下でも良い。
【0015】
さらに、以下の実施の形態において、その構成要素(要素ステップ等も含む)は、特に明示した場合および原理的に明らかに必須であると考えられる場合等を除き、必ずしも必須のものではないことは言うまでもない。同様に、以下の実施の形態において、構成要素等の形状、位置関係等に言及するときは、特に明示した場合および原理的に明らかにそうでないと考えられる場合等を除き、実質的にその形状等に近似または類似するもの等を含むものとする。このことは、上記数値および範囲についても同様である。
【0016】
[本発明の実施の形態の概要]
本発明の実施の形態に係る二重化制御装置(一例として、()内に対応する構成要素、符号などを付記)は、主系制御装置(1(4))と、従系制御装置(2(4))と、前記主系制御装置と前記従系制御装置とを接続する通信回線(3)とを有し、互いの動作状況を把握するために前記通信回線を使用して前記主系制御装置と前記従系制御装置との間の通信を行い、応答が無いことにより相手系の制御装置の障害を認識する二重化制御装置に適用される。そして、前記主系制御装置と前記従系制御装置とのそれぞれは、通常動作のためのメイン電源と、起動動作、停止動作およびスタンバイ動作のためのサブ電源と、障害が発生した場合に、前記メイン電源により動作する回路と前記サブ電源により動作する回路との動作を停止する自系動作抑止部(13,23(43))とを有することを特徴とする。
【0017】
さらに好適には、前記主系制御装置と前記従系制御装置とのそれぞれは、前記メイン電源と前記サブ電源とで動作する制御回路部(11,21(41))と、前記メイン電源と前記サブ電源とで動作するインタフェース部(12,22(42))とを有する。さらに、前記自系動作抑止部は、前記主系制御装置と前記従系制御装置とのそれぞれの前記制御回路部および前記インタフェース部に入力される前記メイン電源が正しく入力されているかどうかを伝えるメイン電源確認信号と、前記サブ電源が正しく入力されているかどうかを伝えるサブ電源確認信号との状態を変化させる電源確認信号制御部(制御回路部・電源確認信号制御部432,インタフェース部・電源確認信号制御部433)を有する。そして、前記主系制御装置に障害が発生した場合に、前記電源確認信号制御部は、前記メイン電源確認信号および前記サブ電源確認信号の状態を変化させ、前記制御回路部および前記インタフェース部に前記メイン電源および前記サブ電源が正しく入力されていないと認識させることにより、前記制御回路部および前記インタフェース部の動作を停止させることを特徴とする。
【0018】
また、前記二重化制御装置の自系動作抑止方法にも、適用されるものである。
【0019】
上述した本発明の実施の形態の概要に基づいた本発明の一実施の形態を、以下において図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一の部材には原則として同一の符号を付し、その繰り返しの説明は省略する。
【0020】
[本発明の一実施の形態]
本発明の一実施の形態に係る二重化制御装置について、図1〜図4を用いて説明する。本実施の形態においては、主系制御装置に障害が発生した場合に、自系動作抑止部を用いて主系制御装置のメイン電源およびサブ電源で動作する機能を停止させ、従系制御装置に切替える例を主に説明するが、従系制御装置に障害が発生した場合にも同様に適用可能であることは言うまでもない。
【0021】
<二重化制御装置のシステム構成>
図1を用いて、本実施の形態に係る二重化制御装置のシステム構成について説明する。図1は、この二重化制御装置のシステム構成の一例を示す図である。なお、図1において、()内に付した符号は、詳細を後述する図2に対応する符号である。
【0022】
図1に示すように、本実施の形態に係る二重化制御装置は、制御回路部11(41)とインタフェース部12(42)と自系動作抑止部13(43)とを有した主系制御装置1(4)と、制御回路部21(41)とインタフェース部22(42)と自系動作抑止部23(43)とを有した従系制御装置2(4)と、主系制御装置1と従系制御装置2とを接続する通信回線3とを備えて構成される。
【0023】
この二重化制御装置においては、通常時に主系制御装置1を動作させ、主系制御装置1の障害発生時には主系制御装置1の動作を停止させ、従系制御装置2に切替えることによりシステムの信頼性(耐故障性)を向上させている。また、主系制御装置1と従系制御装置2との切替えは、主系制御装置1と従系制御装置2との間で相互監視を行い、最短かつ安定に行うことにしている。
【0024】
特に、本実施の形態に係る二重化制御装置においては、主系制御装置1と従系制御装置2とが通信回線3を用いて相互の状態を監視し、主系制御装置1に障害が発生した場合に、自系動作抑止部13によって主系制御装置1の動作を停止する構成において、自系動作抑止部13は次のようにして自系の動作を停止させる。
【0025】
すなわち、自系動作抑止部13は、制御回路部11およびインタフェース部12に入力されるメイン電源の電源が正しく入力されているかどうかを伝えるメイン電源確認信号とサブ電源の電源が正しく入力されているかどうかを伝えるサブ電源確認信号の状態を変化させる電源確認信号制御部を有する。そして、主系制御装置1に障害が発生した場合、自系動作抑止部13は、メイン電源確認信号およびサブ電源確認信号の状態を変化させ、制御回路部11およびインタフェース部12にメイン電源およびサブ電源が正しく入力されていないと認識させることにより、制御回路部11およびインタフェース部12の動作を停止させる。
【0026】
このように、主系制御装置1の障害発生時に、自系動作抑止部13にて自系の動作を停止するため、この自系動作抑止部13にて、自系のメイン電源確認信号およびサブ電源確認信号を電源確認信号制御部で制御することにより、制御回路部11およびインタフェース部12の動作を停止させることができる。
【0027】
なお、主系制御装置1の障害発生時に限らず、例えば従系制御装置2の障害発生時にも同様に、自系動作抑止部23にて自系の動作を停止するため、この自系動作抑止部23にて、自系のメイン電源確認信号およびサブ電源確認信号を電源確認信号制御部で制御することにより、制御回路部21およびインタフェース部22の動作を停止させることができる。
【0028】
<制御装置の構成>
図2を用いて、図1に示した二重化制御装置において、制御装置の構成について説明する。図2は、この制御装置の構成の一例を示す図である。
【0029】
図2に示すように、図1に示した主系制御装置1、従系制御装置2のそれぞれの制御装置4は、制御回路部41、インタフェース部42および自系動作抑止部43で構成されている。
【0030】
制御回路部41は、主系制御装置1、従系制御装置2のそれぞれの制御を司る回路部であり、制御部411、メイン電源生成部412、メイン電源確認部413、サブ電源生成部414およびサブ電源確認部415を含んで構成される。
【0031】
制御部411は、制御回路部41を制御するための機能部である。この制御部411は、メイン電源生成部412、メイン電源確認部413、サブ電源生成部414およびサブ電源確認部415に接続され、この制御部411によりこれらの各部の制御が行われる。この制御部411は、さらに、インタフェース部42の制御部421、自系動作抑止部43の制御部431にも接続され、相互に制御信号などのやり取りが可能となっている。
【0032】
メイン電源生成部412は、メイン電源を生成するための機能部である。このメイン電源生成部412は、制御部411に接続され、このメイン電源生成部412により生成されたメイン電源が制御部411に給電されている。
【0033】
メイン電源確認部413は、メイン電源を確認するための機能部である。このメイン電源確認部413は、メイン電源生成部412および制御部411に接続され、このメイン電源確認部413により制御部411に正常にメイン電源が給電されているかが確認され、メイン電源の状態が制御部411へメイン電源確認信号として出力されている。
【0034】
サブ電源生成部414は、サブ電源を生成するための機能部である。このサブ電源生成部414は、制御部411に接続され、このサブ電源生成部414により生成されたサブ電源が制御部411に給電されている。
【0035】
サブ電源確認部415は、サブ電源を確認するための機能部である。このサブ電源確認部415は、サブ電源生成部414および制御部411に接続され、このサブ電源確認部415により制御部411に正常にサブ電源が給電されているかが確認され、サブ電源の状態が制御部411へサブ電源確認信号として出力されている。
【0036】
インタフェース部42は、主系制御装置1と従系制御装置2との間のインタフェースを司る回路部であり、制御回路部41と同様に、制御部421、メイン電源生成部422、メイン電源確認部423、サブ電源生成部424およびサブ電源確認部425を含んで構成される。
【0037】
このインタフェース部42の各部の機能および接続などは、制御回路部41と同様であり、メイン電源生成部422およびサブ電源生成部424により生成されたメイン電源およびサブ電源が制御部421に給電され、また、メイン電源確認部423およびサブ電源確認部425により制御部421に正常にメイン電源およびサブ電源が給電されているかが確認され、メイン電源およびサブ電源の状態が制御部421へメイン電源確認信号およびサブ電源確認信号として出力されている。
【0038】
さらに、インタフェース部42には、送受信部426が含まれている。この送受信部426は、通信回線3を通じて接続される主系制御装置1と従系制御装置2との間で相互に送受信を行うための機能部である。
【0039】
自系動作抑止部43は、制御部431、制御回路部・電源確認信号制御部432およびインタフェース部・電源確認信号制御部433を含んで構成される。
【0040】
制御部431は、自系動作抑止部43を制御するための機能部である。この制御部431は、制御回路部・電源確認信号制御部432およびインタフェース部・電源確認信号制御部433に接続され、この制御部431によりこれらの各部の制御が行われる。この制御部431は、さらに、制御回路部41の制御部411およびインタフェース部42の制御部421にも接続され、相互に制御信号などのやり取りが可能となっている。
【0041】
制御回路部・電源確認信号制御部432は、制御回路部41のメイン電源確認信号およびサブ電源確認信号を制御するための機能部である。この制御回路部・電源確認信号制御部432は、制御回路部41のメイン電源確認部413およびサブ電源確認部415の出力に接続され、制御部411へ出力されるメイン電源確認信号およびサブ電源確認信号が、正常時には正常な状態を示す信号で出力され、一方、異常発生時には異常な状態を示す信号に変化して出力される。
【0042】
インタフェース部・電源確認信号制御部433は、インタフェース部42のメイン電源確認信号およびサブ電源確認信号を制御するための機能部である。このインタフェース部・電源確認信号制御部433は、インタフェース部42のメイン電源確認部423およびサブ電源確認部425の出力に接続され、制御部421へ出力されるメイン電源確認信号およびサブ電源確認信号が、正常時には正常な状態を示す信号で出力され、一方、異常発生時には異常な状態を示す信号に変化して出力される。
【0043】
<メイン電源およびサブ電源による動作>
図3を用いて、図2に示した制御装置において、メイン電源およびサブ電源による動作について説明する。図3は、このメイン電源およびサブ電源による動作の一例を示す図である。
【0044】
図3に示すように、制御装置4の動作には、例えば、制御装置を起動する際の起動動作、起動後の通常な制御を行うための通常動作、制御装置を停止する際の停止動作、制御装置をスタンバイ状態にするためのスタンバイ動作などがある。
【0045】
これらの動作のうち、起動動作、停止動作およびスタンバイ動作は、サブ電源の給電による動作である。図3の例では、サブ電源として5Vの電圧が印加されることで、このサブ電源の給電による回路が動作する。一方、通常動作は、メイン電源の給電による動作である。図3の例では、メイン電源として5Vの電圧が印加されることで、このメイン電源の給電による回路が動作する。
【0046】
このように、制御装置4の制御回路部41およびインタフェース部42には、サブ電源により動作する回路と、メイン電源により動作する回路とがあり、制御装置4の障害発生時には、メイン電源にて動作する回路だけでなく、サブ電源で動作する回路も停止することが必要であり、本実施の形態においては、前述した図1および図2に示したような構成、および後述する図4に示すような動作により、これを実現している。
【0047】
<二重化制御装置の動作>
図4を用いて、図1に示した二重化制御装置の動作について説明する。図4は、この二重化制御装置の動作の一例を示す図である。
【0048】
二重化制御装置のシステムでは、主系制御装置1と従系制御装置2とのそれぞれの制御装置4はインタフェース部42の送受信部426に接続されている通信回線3により通信を行っている。
【0049】
主系制御装置1が正常に動作している場合は、主系制御装置1は、制御回路部41からの命令によって、インタフェース部42が送受信部426を用いて、従系制御装置2へ自系の生存確認信号を送信し続ける(ステップS1)。
【0050】
もし、主系制御装置1に障害が発生すると(ステップS2)、主系制御装置1のインタフェース部42内の送受信部426からの生存確認信号の送信が途絶え、従系制御装置2は障害が発生したことを確認する(ステップS3)。そして、従系制御装置2は、障害が発生した主系制御装置1に動作停止要求信号を送信する(ステップS4)。
【0051】
さらに、主系制御装置1において、動作停止要求信号はインタフェース部42内の送受信部426が受信し、制御部421より制御回路部41および自系動作抑止部43へ信号を伝える(ステップS5)。
【0052】
さらに、主系制御装置1において、自系動作抑止部43は動作停止要求信号を受信すると、制御部431から制御回路部・電源確認信号制御部432およびインタフェース部・電源確認信号制御部433へ動作停止命令を出す(ステップS6)。
【0053】
さらに、主系制御装置1において、動作停止命令を受けた制御回路部・電源確認信号制御部432およびインタフェース部・電源確認信号制御部433は、それぞれ接続されているメイン電源確認部413,423のメイン電源確認信号およびサブ電源確認部415,425のサブ電源確認信号を電源給電が異常な状態を示す状態に変化させる(ステップS7)。
【0054】
さらに、主系制御装置1において、メイン電源確認部413,423のメイン電源確認信号およびサブ電源確認部415,425のサブ電源確認信号が変化すると、制御回路部41およびインタフェース部42の制御部411,421は、電源が正常に給電されておらず、動作を継続できないと判断し、動作を停止する(ステップS8)。
【0055】
そして、制御回路部41およびインタフェース部42の制御部411,421が動作を停止した後も、制御回路部・電源確認信号制御部432およびインタフェース部・電源確認信号制御部433は、それぞれ接続されているメイン電源確認部413,423のメイン電源確認信号およびサブ電源確認部415,425のサブ電源確認信号を電源給電が異常な状態を示す状態に変化させ続けることで、主系制御装置1の動作を停止させ続ける(ステップS9)。
【0056】
このように、主系制御装置1の障害発生時に、制御回路部41およびインタフェース部42の制御部411,421は主系制御装置1の動作を停止させることができ、その後も続く場合には主系制御装置1の動作を停止させ続けることができる。
【0057】
なお、従系制御装置2の障害発生時にも同様に、制御回路部41およびインタフェース部42の制御部411,421は従系制御装置2の動作を停止させることができ、その後も続く場合には従系制御装置2の動作を停止させ続けることができる。
【0058】
<本実施の形態の効果>
以上説明したように、本実施の形態に係る二重化制御装置によれば、主系制御装置1と従系制御装置2とのそれぞれの制御装置4は、自系動作抑止部13,23を有することで、障害が発生した場合に、自系動作抑止部13,23は、メイン電源により動作する回路とサブ電源により動作する回路との動作を停止することができる。
【0059】
さらに好適には、主系制御装置1と従系制御装置2とのそれぞれの制御装置4は、制御回路部11,21とインタフェース部12,22とを有し、さらに、自系動作抑止部13,23は、制御回路部・電源確認信号制御部432およびインタフェース部・電源確認信号制御部433を有することで、主系制御装置1(従系制御装置2)に障害が発生した場合に、制御回路部・電源確認信号制御部432およびインタフェース部・電源確認信号制御部433は、メイン電源確認信号およびサブ電源確認信号の状態を変化させ、制御回路部11(制御回路部21)およびインタフェース部12(インタフェース部22)にメイン電源およびサブ電源が正しく入力されていないと認識させることにより、制御回路部11(制御回路部21)およびインタフェース部12(インタフェース部22)の動作を停止させることができる。
【0060】
より具体的には、制御回路部・電源確認信号制御部432が、制御回路部11(制御回路部21)のメイン電源確認信号およびサブ電源確認信号を異常な状態を示す信号に変化させて、制御回路部11(制御回路部21)の動作を停止させることができ、インタフェース部・電源確認信号制御部433が、インタフェース部12(インタフェース部22)のメイン電源確認信号およびサブ電源確認信号を異常な状態を示す信号に変化させて、インタフェース部12(インタフェース部22)の動作を停止させることができる。
【0061】
このように、主系制御装置1と従系制御装置2とを有する二重化制御装置において、主系制御装置1(従系制御装置2)に障害が発生した場合においても、自系動作抑止部13(自系動作抑止部23)を用いて、主系制御装置1(従系制御装置2)のメイン電源にて動作する機能だけでなく、サブ電源で動作する機能も停止させ、従系制御装置2(主系制御装置1)に切替えることにより、従来手法にて課題となっていたサブ電源で動作する機能による二重化制御装置の障害発生の可能性をなくし、システムの信頼性、耐故障性を向上させることができる。
【0062】
以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることはいうまでもない。
【産業上の利用可能性】
【0063】
本発明の主系制御装置と従系制御装置とを備えた二重化制御装置は、特に、この二重化制御装置における自系動作抑止方法に利用可能である。
【符号の説明】
【0064】
1…主系制御装置、11…主系制御装置の制御回路部、12…主系制御装置のインタフェース部、13…主系制御装置の自系動作抑止部、
2…従系制御装置、21…従系制御装置の制御回路部、22…従系制御装置のインタフェース部、23…従系制御装置の自系動作抑止部、
3…通信回線、
4…制御装置、
41…制御装置の制御回路部、411…制御回路部の制御部、412…制御回路部のメイン電源生成部、413…制御回路部のメイン電源確認部、414…制御回路部のサブ電源生成部、415…制御回路部のサブ電源確認部、
42…制御装置のインタフェース部、421…インタフェース部の制御部、422…インタフェース部のメイン電源生成部、423…インタフェース部のメイン電源確認部、424…インタフェース部のサブ電源生成部、425…インタフェース部のサブ電源確認部、426…インタフェース部の送受信部、
43…制御装置の自系動作抑止部、431…自系動作抑止部の制御部、432…自系動作抑止部の制御回路部・電源確認信号制御部、433…自系動作抑止部のインタフェース部・電源確認信号制御部。
【特許請求の範囲】
【請求項1】
主系制御装置と、従系制御装置と、前記主系制御装置と前記従系制御装置とを接続する通信回線とを有し、互いの動作状況を把握するために前記通信回線を使用して前記主系制御装置と前記従系制御装置との間の通信を行い、応答が無いことにより相手系の制御装置の障害を認識する二重化制御装置であって、
前記主系制御装置と前記従系制御装置とのそれぞれは、
通常動作のためのメイン電源と、
起動動作、停止動作およびスタンバイ動作のためのサブ電源と、
障害が発生した場合に、前記メイン電源により動作する回路と前記サブ電源により動作する回路との動作を停止する自系動作抑止部とを有することを特徴とする二重化制御装置。
【請求項2】
請求項1に記載の二重化制御装置において、
前記主系制御装置と前記従系制御装置とのそれぞれは、
前記メイン電源と前記サブ電源とで動作する制御回路部と、
前記メイン電源と前記サブ電源とで動作するインタフェース部とを有し、
前記自系動作抑止部は、
前記主系制御装置と前記従系制御装置とのそれぞれの前記制御回路部および前記インタフェース部に入力される前記メイン電源が正しく入力されているかどうかを伝えるメイン電源確認信号と、前記サブ電源が正しく入力されているかどうかを伝えるサブ電源確認信号との状態を変化させる電源確認信号制御部を有し、
前記主系制御装置に障害が発生した場合に、前記電源確認信号制御部は、前記メイン電源確認信号および前記サブ電源確認信号の状態を変化させ、前記制御回路部および前記インタフェース部に前記メイン電源および前記サブ電源が正しく入力されていないと認識させることにより、前記制御回路部および前記インタフェース部の動作を停止させることを特徴とする二重化制御装置。
【請求項3】
請求項2に記載の二重化制御装置において、
前記制御回路部と前記インタフェース部とのそれぞれは、
前記メイン電源を生成するためのメイン電源生成部と、
前記メイン電源生成部により生成された前記メイン電源を確認するためのメイン電源確認部と、
前記サブ電源を生成するためのサブ電源生成部と、
前記サブ電源生成部により生成された前記サブ電源を確認するためのサブ電源確認部とを有し、
前記電源確認信号制御部は、
前記主系制御装置に障害が発生した場合に、前記制御回路部の前記メイン電源確認信号および前記サブ電源確認信号を異常な状態を示す信号に変化させる制御回路部・電源確認信号制御部と、
前記主系制御装置に障害が発生した場合に、前記インタフェース部の前記メイン電源確認信号および前記サブ電源確認信号を異常な状態を示す信号に変化させるインタフェース部・電源確認信号制御部とを有することを特徴とする二重化制御装置。
【請求項4】
主系制御装置と、従系制御装置と、前記主系制御装置と前記従系制御装置とを接続する通信回線とを有し、互いの動作状況を把握するために前記通信回線を使用して前記主系制御装置と前記従系制御装置との間の通信を行い、応答が無いことにより相手系の制御装置の障害を認識する二重化制御装置の自系動作抑止方法であって、
前記主系制御装置と前記従系制御装置とのそれぞれは、
通常動作のためのメイン電源と、起動動作、停止動作およびスタンバイ動作のためのサブ電源とで動作する制御回路部と、
前記メイン電源と前記サブ電源とで動作するインタフェース部と、
前記主系制御装置と前記従系制御装置とのそれぞれの前記制御回路部および前記インタフェース部に入力される前記メイン電源が正しく入力されているかどうかを伝えるメイン電源確認信号と、前記サブ電源が正しく入力されているかどうかを伝えるサブ電源確認信号との状態を変化させる電源確認信号制御部とを有し、
前記主系制御装置に障害が発生した場合に、前記電源確認信号制御部は、前記メイン電源確認信号および前記サブ電源確認信号の状態を変化させ、前記制御回路部および前記インタフェース部に前記メイン電源および前記サブ電源が正しく入力されていないと認識させることにより、前記制御回路部および前記インタフェース部の動作を停止させることを特徴とする二重化制御装置の自系動作抑止方法。
【請求項1】
主系制御装置と、従系制御装置と、前記主系制御装置と前記従系制御装置とを接続する通信回線とを有し、互いの動作状況を把握するために前記通信回線を使用して前記主系制御装置と前記従系制御装置との間の通信を行い、応答が無いことにより相手系の制御装置の障害を認識する二重化制御装置であって、
前記主系制御装置と前記従系制御装置とのそれぞれは、
通常動作のためのメイン電源と、
起動動作、停止動作およびスタンバイ動作のためのサブ電源と、
障害が発生した場合に、前記メイン電源により動作する回路と前記サブ電源により動作する回路との動作を停止する自系動作抑止部とを有することを特徴とする二重化制御装置。
【請求項2】
請求項1に記載の二重化制御装置において、
前記主系制御装置と前記従系制御装置とのそれぞれは、
前記メイン電源と前記サブ電源とで動作する制御回路部と、
前記メイン電源と前記サブ電源とで動作するインタフェース部とを有し、
前記自系動作抑止部は、
前記主系制御装置と前記従系制御装置とのそれぞれの前記制御回路部および前記インタフェース部に入力される前記メイン電源が正しく入力されているかどうかを伝えるメイン電源確認信号と、前記サブ電源が正しく入力されているかどうかを伝えるサブ電源確認信号との状態を変化させる電源確認信号制御部を有し、
前記主系制御装置に障害が発生した場合に、前記電源確認信号制御部は、前記メイン電源確認信号および前記サブ電源確認信号の状態を変化させ、前記制御回路部および前記インタフェース部に前記メイン電源および前記サブ電源が正しく入力されていないと認識させることにより、前記制御回路部および前記インタフェース部の動作を停止させることを特徴とする二重化制御装置。
【請求項3】
請求項2に記載の二重化制御装置において、
前記制御回路部と前記インタフェース部とのそれぞれは、
前記メイン電源を生成するためのメイン電源生成部と、
前記メイン電源生成部により生成された前記メイン電源を確認するためのメイン電源確認部と、
前記サブ電源を生成するためのサブ電源生成部と、
前記サブ電源生成部により生成された前記サブ電源を確認するためのサブ電源確認部とを有し、
前記電源確認信号制御部は、
前記主系制御装置に障害が発生した場合に、前記制御回路部の前記メイン電源確認信号および前記サブ電源確認信号を異常な状態を示す信号に変化させる制御回路部・電源確認信号制御部と、
前記主系制御装置に障害が発生した場合に、前記インタフェース部の前記メイン電源確認信号および前記サブ電源確認信号を異常な状態を示す信号に変化させるインタフェース部・電源確認信号制御部とを有することを特徴とする二重化制御装置。
【請求項4】
主系制御装置と、従系制御装置と、前記主系制御装置と前記従系制御装置とを接続する通信回線とを有し、互いの動作状況を把握するために前記通信回線を使用して前記主系制御装置と前記従系制御装置との間の通信を行い、応答が無いことにより相手系の制御装置の障害を認識する二重化制御装置の自系動作抑止方法であって、
前記主系制御装置と前記従系制御装置とのそれぞれは、
通常動作のためのメイン電源と、起動動作、停止動作およびスタンバイ動作のためのサブ電源とで動作する制御回路部と、
前記メイン電源と前記サブ電源とで動作するインタフェース部と、
前記主系制御装置と前記従系制御装置とのそれぞれの前記制御回路部および前記インタフェース部に入力される前記メイン電源が正しく入力されているかどうかを伝えるメイン電源確認信号と、前記サブ電源が正しく入力されているかどうかを伝えるサブ電源確認信号との状態を変化させる電源確認信号制御部とを有し、
前記主系制御装置に障害が発生した場合に、前記電源確認信号制御部は、前記メイン電源確認信号および前記サブ電源確認信号の状態を変化させ、前記制御回路部および前記インタフェース部に前記メイン電源および前記サブ電源が正しく入力されていないと認識させることにより、前記制御回路部および前記インタフェース部の動作を停止させることを特徴とする二重化制御装置の自系動作抑止方法。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2013−88897(P2013−88897A)
【公開日】平成25年5月13日(2013.5.13)
【国際特許分類】
【出願番号】特願2011−226661(P2011−226661)
【出願日】平成23年10月14日(2011.10.14)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成25年5月13日(2013.5.13)
【国際特許分類】
【出願日】平成23年10月14日(2011.10.14)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]