JP2019185444A - Duplex control system - Google Patents

Duplex control system Download PDF

Info

Publication number
JP2019185444A
JP2019185444A JP2018076387A JP2018076387A JP2019185444A JP 2019185444 A JP2019185444 A JP 2019185444A JP 2018076387 A JP2018076387 A JP 2018076387A JP 2018076387 A JP2018076387 A JP 2018076387A JP 2019185444 A JP2019185444 A JP 2019185444A
Authority
JP
Japan
Prior art keywords
controller
cores
slave
core
master
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018076387A
Other languages
Japanese (ja)
Other versions
JP7023776B2 (en
Inventor
誠 樽井
Makoto Tarui
誠 樽井
隆 清野
Takashi Kiyono
隆 清野
佳実 高木
Yoshimi Takagi
佳実 高木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi High Tech Solutions Corp
Original Assignee
Hitachi High Tech Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi High Tech Solutions Corp filed Critical Hitachi High Tech Solutions Corp
Priority to JP2018076387A priority Critical patent/JP7023776B2/en
Publication of JP2019185444A publication Critical patent/JP2019185444A/en
Application granted granted Critical
Publication of JP7023776B2 publication Critical patent/JP7023776B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Safety Devices In Control Systems (AREA)

Abstract

To provide a duplex control system capable of improving failure detection accuracy of a main-system controller at a low cost.SOLUTION: A duplex control system 1 includes a main-system controller 2a and a sub-system controller 2b and is configured so that the sub-system controller takes over the control executed by the main-system controller if some malfunction occurs in the main-system controller. The main-system controller includes a multi-core processor 3a with a plurality of main-system cores 3a1, 3a2. The plurality of main-system cores are configured to execute the same arithmetic processing in time zones not overlapping with each other for the same input information. The sub-system controller is configured to take over the control executed by the main-system controller if incompatibility occurs between a plurality of arithmetic results obtained by the arithmetic processing of the plurality of main-system cores.SELECTED DRAWING: Figure 2

Description

本発明は、2つのコントローラを備えた二重化制御システムに関し、特に、一方のコントローラに異常が発生した場合に他方のコントローラがその制御を引き継ぐ二重化制御システムに関する。   The present invention relates to a duplex control system including two controllers, and more particularly to a duplex control system in which, when an abnormality occurs in one controller, the other controller takes over the control.

二重化制御システムは、2つの計装用のコントローラ(主系コントローラおよび従系コントローラ)を備えたシステムであり、主系コントローラに異常が発生した場合に、主系コントローラが実行していた制御を従系コントローラが引き継ぐように構成されている。   The redundant control system is a system with two instrumentation controllers (main controller and slave controller), and controls the master controller when the master controller is faulty. The controller is configured to take over.

ところで、計装用のコントローラには、従来から高い信頼性が求められている。コントローラの信頼性を向上するための技術として、単一のCPUに内蔵された2つのコアが同一のコードを同時に実行し、それぞれの実行結果に相違があったことをもって異常を検出する、いわゆるデュアルコアのロックステップマイコンがある(例えば、特許文献1)。   By the way, high reliability has been conventionally required for an instrumentation controller. As a technique for improving the reliability of the controller, so-called dual, in which two cores built in a single CPU execute the same code at the same time and detect an abnormality when there is a difference in their execution results There is a core lockstep microcomputer (for example, Patent Document 1).

特開2016−199239号公報JP-A-2006-199239

上述したロックステップマイコンは、主に車載用コントローラに使用されるなど仕様が特化される傾向にあり、計装用のコントローラには適さない仕様のものが多い。また、独自のカスタム品でロックステップマイコンを実現しようとすると、技術的にまたはコスト的に高くなるなど課題が多い。更に、単一のCPUに内蔵された2つのコアが同一のコードを同時に実行するため、電圧変動などの外乱による影響が各演算結果に同様に現れることにより、2つの演算結果を照合しても異常が検出されない可能性がある。   The above-mentioned lockstep microcomputers tend to be specialized in specifications such as mainly used for in-vehicle controllers, and many have specifications that are not suitable for instrumentation controllers. In addition, there are many problems such as technically and costly attempts to realize a lockstep microcomputer with an original custom product. Furthermore, since two cores built in a single CPU execute the same code at the same time, the influence of disturbance such as voltage fluctuation appears in each calculation result, so that the two calculation results can be collated. Abnormality may not be detected.

本発明は、上記課題に鑑みてなされたものであり、その目的は、主系コントローラの異常検出精度を低コストで向上できる二重化制御システムを提供することにある。   The present invention has been made in view of the above problems, and an object of the present invention is to provide a duplex control system that can improve the abnormality detection accuracy of the main controller at low cost.

上記目的を達成するために、本発明は、主系コントローラと、従系コントローラとを備え、前記従系コントローラは、前記主系コントローラに異常が発生した場合に、前記主系コントローラが実行していた制御を引き継ぐように構成された二重化制御システムにおいて、前記主系コントローラは、複数の主系コアを有するマルチコアプロセッサを備え、前記複数の主系コアが同一の入力情報に対して同一の演算処理を互いに重複しない時間帯に実行するように構成され、前記従系コントローラは、前記複数の主系コアの演算処理によって得られた複数の演算結果の間で不一致が生じた場合に、前記主系コントローラが実行していた制御を引き継ぐように構成されたものとする。   In order to achieve the above object, the present invention comprises a master controller and a slave controller, and the slave controller is executed by the master controller when an abnormality occurs in the master controller. In the redundant control system configured to take over the control, the main controller includes a multi-core processor having a plurality of main cores, and the plurality of main cores have the same arithmetic processing for the same input information. Are executed in a time zone that does not overlap with each other, and the slave controller is configured such that when there is a mismatch between a plurality of calculation results obtained by calculation processing of the plurality of master cores, the master system It is assumed that the controller is configured to take over the control that was being executed.

以上のように構成した本実施例に係る二重化制御システムによれば、汎用のマルチコアマイコンで主系コントローラを構成することが可能になるため、主系コントローラのコストを抑えることできる。   According to the duplex control system according to the present embodiment configured as described above, the main controller can be configured with a general-purpose multi-core microcomputer, so that the cost of the main controller can be suppressed.

また、複数の主系コアが同一の入力情報に対して同一の演算処理を互いに重複しない時間帯に実行することにより、電圧変動などの外乱による影響が複数の演算結果に同様に現れることを防止できる。その結果、複数の主系コアの演算結果を照合することで電圧変動などの外乱による影響を確実に検出することが可能になるため、主系コントローラの異常検出精度を向上することができる。   In addition, multiple main cores execute the same calculation processing on the same input information in a time zone that does not overlap each other, thereby preventing the effects of disturbances such as voltage fluctuations from appearing in multiple calculation results in the same way it can. As a result, it is possible to reliably detect the influence of disturbances such as voltage fluctuations by collating the calculation results of a plurality of main system cores, so that the abnormality detection accuracy of the main system controller can be improved.

本発明によれば、二重化制御システムにおいて、主系コントローラの異常検出精度を低コストで向上することが可能となる。   According to the present invention, in the redundant control system, it is possible to improve the abnormality detection accuracy of the main controller at a low cost.

本発明の実施の形態に係る二重化制御コントローラの構成図である。It is a block diagram of the redundant control controller which concerns on embodiment of this invention. 主系コントローラの第1および第2コアが一制御周期内で実行する処理を示すフローチャートである。It is a flowchart which shows the process which the 1st and 2nd core of a main system controller performs within one control period. 主系コントローラの第1および第2コアのいずれにも異常が検出されなかった場合に第1および第2コアによって行われる処理を時系列に示す図である。It is a figure which shows the process performed by a 1st and 2nd core in time series, when abnormality is not detected in any of the 1st and 2nd core of a main system controller.

以下、本発明の実施の形態について、図面を参照して説明する。   Embodiments of the present invention will be described below with reference to the drawings.

図1は、本実施の形態に係る二重化制御コントローラの構成図である。   FIG. 1 is a configuration diagram of a duplex control controller according to the present embodiment.

図1に示すように、二重化制御システム1は、主系コントローラ2aと、従系コントローラ2bとを備えている。主系コントローラ2aと従系コントローラ2bは、系間通信部6を介して接続されている。主系コントローラ2aおよび従系コントローラ2bは、プロセス入出力バス10に接続されている。プロセス入出力バス10には、プラント等を構成する各種フィールド機器(図1に示す例では、センサ14、バルブ15、PLC16)が入出力基板変換部11〜13を介して接続されている。   As shown in FIG. 1, the duplex control system 1 includes a master controller 2a and a slave controller 2b. The master controller 2 a and the slave controller 2 b are connected via the inter-system communication unit 6. The master controller 2 a and the slave controller 2 b are connected to the process input / output bus 10. Various field devices (a sensor 14, a valve 15, and a PLC 16 in the example shown in FIG. 1) constituting a plant and the like are connected to the process input / output bus 10 via input / output substrate conversion units 11-13.

主系コントローラ2aは、プラント等の制御の実行権を有するコントローラ(実行系コントローラ)として起動する。一方、従系コントローラ2bが実行権を有さないコントローラ(待機系コントローラ)として起動する。実行系コントローラとして動作していた主系コントローラ2aに異常が発生した場合は、待機系コントローラとして動作していた従系コントローラ2bが実行権を取得して実行系コントローラとなり、主系コントローラ2aが実行していた制御を引き継ぐ。実行系コントローラとして動作する主系コントローラ2aまたは従系コントローラ2bは、プロセス入出力バス10を介してフィールド機器14〜16を制御する。   The main system controller 2a is activated as a controller (execution system controller) having the right to execute control of a plant or the like. On the other hand, the slave controller 2b is activated as a controller (standby controller) that does not have an execution right. When an abnormality occurs in the master controller 2a that was operating as the execution controller, the slave controller 2b that was operating as the standby controller acquires the execution right and becomes the execution controller, and the master controller 2a executes Take over the control you were doing. The master controller 2 a or the slave controller 2 b that operates as the execution system controller controls the field devices 14 to 16 via the process input / output bus 10.

主系コントローラ2aは、複数のコア(主系コア)3a1,3a2を有するマルチコアプロセッサからなる制御演算部3aと、フィールド機器14〜16からの入力情報や演算結果等を記憶するメモリ4aと、フィールド機器14〜16との間でデータを入出力するプロセス入出力部5aとを備えている。ここで、図1に示す例では、マルチコアプロセッサ3a,3bのコア数を2としているが、本発明はコア数が3以上の場合にも適用可能である。主系コントローラ2aは、図示しないROM等に格納されたプログラムを制御演算部3aで実行することにより、以下に説明する機能を実現する。なお、従系コントローラ2bの構成は主系コントローラ2aと同様であるため、説明は省略する。   The main controller 2a includes a control arithmetic unit 3a composed of a multi-core processor having a plurality of cores (main cores) 3a1 and 3a2, a memory 4a for storing input information and calculation results from the field devices 14 to 16, and a field And a process input / output unit 5a for inputting / outputting data to / from the devices 14-16. Here, in the example shown in FIG. 1, the number of cores of the multi-core processors 3a and 3b is 2, but the present invention is also applicable to a case where the number of cores is 3 or more. The main controller 2a implements the functions described below by executing a program stored in a ROM or the like (not shown) by the control arithmetic unit 3a. Since the configuration of the slave controller 2b is the same as that of the master controller 2a, the description is omitted.

主系コントローラ2aの制御演算部3aは、プロセス入出力部5aを介して取得したフィールド機器14〜16からの入力情報を、メモリ4aの2つのアドレス領域(第1入力情報記憶部4a1および第2入力情報記憶部4a2)にそれぞれ記憶する。第1コア3a1は第1入力情報記憶部4a1に記憶されている入力情報に対して所定の演算処理を実行し、その演算結果を第1演算結果記憶部4a3に記憶する。ここでいう所定の演算処理とは、フィールド機器14〜16からの入力情報を基にフィールド機器14〜16に出力する情報(制御データ)を生成する処理である。第2コア3abは第2入力情報記憶部4a2に格納された入力情報に対して第1コア3a1と同様の演算処理を実行し、その結果を第2演算結果記憶部4a4に格納する。第1および第2コア3a1,3a2は、同一の入力情報に対して同一の演算処理を実行するため、主系コントローラ2aに異常が発生しない限り、双方の演算結果は常に一致する。なお、ここでいう同一の演算処理とは同一の計算式に基づく演算処理のことであり、コードレベルで同一である必要はない。   The control calculation unit 3a of the main controller 2a receives the input information from the field devices 14 to 16 acquired via the process input / output unit 5a as two address areas (first input information storage unit 4a1 and second input information) of the memory 4a. Each of them is stored in the input information storage unit 4a2). The first core 3a1 executes a predetermined calculation process on the input information stored in the first input information storage unit 4a1, and stores the calculation result in the first calculation result storage unit 4a3. The predetermined arithmetic processing here is processing for generating information (control data) to be output to the field devices 14 to 16 on the basis of input information from the field devices 14 to 16. The second core 3ab performs the same arithmetic processing as the first core 3a1 on the input information stored in the second input information storage unit 4a2, and stores the result in the second calculation result storage unit 4a4. Since the first and second cores 3a1 and 3a2 execute the same calculation process on the same input information, both calculation results always match unless an abnormality occurs in the main controller 2a. Note that the same calculation processing here is calculation processing based on the same calculation formula, and need not be the same at the code level.

図2は、主系コントローラ2aの第1および第2コア3a1,3a2が一制御周期で実行する処理を示すフローチャートである。   FIG. 2 is a flowchart showing processing executed by the first and second cores 3a1 and 3a2 of the main controller 2a in one control cycle.

まず、第1コア3a1は、ステップS1aで、プロセス入出力部6aを介して取得したフィールド機器14〜16からの入力情報を、メモリ4aの第1入力情報記憶部4a1および第2入力情報記憶部4a2にそれぞれ記憶する。   First, in step S1a, the first core 3a1 uses the input information from the field devices 14 to 16 acquired through the process input / output unit 6a as the first input information storage unit 4a1 and the second input information storage unit of the memory 4a. Stored in 4a2 respectively.

ステップS1aに続き、第1コア3a1は、第2コア3a2に対して演算起動指示を出力する(ステップS2a)。演算起動指示を受けた第2コア3a2は、第2入力情報記憶部4a2に記憶されている入力情報に対して演算処理を行い、演算結果を第2演算結果記憶部4a4に記憶し(ステップS1b)、待機状態に移行する(ステップS5b)。   Following step S1a, the first core 3a1 outputs a calculation start instruction to the second core 3a2 (step S2a). The second core 3a2 that has received the calculation start instruction performs a calculation process on the input information stored in the second input information storage unit 4a2, and stores the calculation result in the second calculation result storage unit 4a4 (step S1b). ), And shifts to a standby state (step S5b).

ステップS2aに続き、第1コア3a1は、第2コア3a2が演算処理(ステップS1b)を実行している間、第2コア3a2の診断を行う。具体的には、第2演算結果記憶部4a4の更新状態を監視することにより、第2コア3a2が演算処理を所定通りに行っているか否かを判定するとともに、第2コア3a2が演算処理に要した時間を計測する(ステップS3a)。   Subsequent to step S2a, the first core 3a1 diagnoses the second core 3a2 while the second core 3a2 is executing arithmetic processing (step S1b). Specifically, by monitoring the update state of the second calculation result storage unit 4a4, it is determined whether or not the second core 3a2 is performing the calculation process as predetermined, and the second core 3a2 is performing the calculation process. The time required is measured (step S3a).

ステップS3aに続き、第1コア3a1は、ステップS3aで得た第2コア3a2の診断結果に基づき、第2コア3a2に異常があるか否かを判定する(ステップS4a)。具体的には、第2コア3a2の演算処理(ステップS1b)が所定通りに行われなかった場合、または、第2コア3a2の演算処理(ステップS1b)が所定時間内に完了しなかった(タイムアウトした)場合に、第2コア3a2に異常があると判定する。   Following step S3a, the first core 3a1 determines whether there is an abnormality in the second core 3a2 based on the diagnosis result of the second core 3a2 obtained in step S3a (step S4a). Specifically, when the calculation process (step S1b) of the second core 3a2 is not performed as predetermined, or the calculation process (step S1b) of the second core 3a2 is not completed within a predetermined time (timeout) It is determined that there is an abnormality in the second core 3a2.

第1コア3a1は、ステップS4aで第2コア3a2に異常があると判定した場合は、ステップS10aに進み、主系コントローラ2aから従系コントローラ2bへの切替を行う。一方、第2コア3a2に異常がないと判定した場合は、ステップS5aに進み、第2コア3a2に対して診断処理を起動するよう指示する。   If the first core 3a1 determines that there is an abnormality in the second core 3a2 in step S4a, the process proceeds to step S10a and switches from the main controller 2a to the subordinate controller 2b. On the other hand, if it is determined that there is no abnormality in the second core 3a2, the process proceeds to step S5a to instruct the second core 3a2 to start diagnostic processing.

ステップS5aに続き、第1コア3a1は、第1入力情報記憶部4a1に記憶されている入力情報に対して演算処理を行い、演算結果を第1演算結果記憶部4a3に記憶する(ステップS6a)。   Subsequent to step S5a, the first core 3a1 performs a calculation process on the input information stored in the first input information storage unit 4a1, and stores the calculation result in the first calculation result storage unit 4a3 (step S6a). .

ステップS5aで診断処理の起動指示を受けた第2コア3a2は、第1コア3a1が演算処理(ステップS6a)を実行している間、第1コア3a1の診断を行う(ステップS2b)。具体的には、第1入力情報記憶部4a1または第1演算結果記憶部4a3に記憶されている情報の更新状態や第1コア3a1の割り込み(例えばゼロ除算割り込み)の発生有無を監視し、第1コア3a1が演算処理を所定通りに実行しているか否かを判定するとともに、第1コア3a1が演算処理(ステップS6a)に要した時間を計測する(ステップS2b)。   The second core 3a2 that has received the diagnosis processing start instruction in step S5a performs diagnosis of the first core 3a1 while the first core 3a1 is executing the arithmetic processing (step S6a) (step S2b). Specifically, the update state of information stored in the first input information storage unit 4a1 or the first calculation result storage unit 4a3 and the occurrence of an interrupt (for example, a zero division interrupt) of the first core 3a1 are monitored. It is determined whether or not the 1 core 3a1 is executing the calculation process as predetermined, and the time required for the calculation process (step S6a) by the first core 3a1 is measured (step S2b).

ステップS2bに続き、第2コア3a2は、ステップS2bで得た第1コア3a1の診断結果に基づき、第1コア3a1に異常があるか否かを判定する(ステップS3b)。具体的には、第1コア3a1の演算処理(ステップS6a)が所定通りに実行されなかった場合、または、第1コア3a1の演算処理(ステップS6a)が所定時間内に完了しなかった(タイムアウトした)場合に、第1コア3a1に異常があると判定する。   Following step S2b, the second core 3a2 determines whether or not there is an abnormality in the first core 3a1 based on the diagnosis result of the first core 3a1 obtained in step S2b (step S3b). Specifically, when the calculation process (step S6a) of the first core 3a1 is not executed as predetermined, or the calculation process (step S6a) of the first core 3a1 is not completed within a predetermined time (timeout) It is determined that there is an abnormality in the first core 3a1.

第2コア3a2は、ステップS3bで第1コア3a1に異常があると判定した場合は、ステップS4bに進み、主系コントローラ2aから従系コントローラ2bへの切替を行う。これにより、主系コントローラ2aが実行していた制御が従系コントローラ3bに引き継がれる。一方、第1コア3a1に異常がないと判定した場合は、ステップS5bに進み、待機状態に移行する。   If the second core 3a2 determines that there is an abnormality in the first core 3a1 in step S3b, the process proceeds to step S4b and switches from the main controller 2a to the subordinate controller 2b. As a result, the control executed by the master controller 2a is taken over by the slave controller 3b. On the other hand, if it is determined that there is no abnormality in the first core 3a1, the process proceeds to step S5b and shifts to a standby state.

ステップS6aに続き、第1コア3a1は、第1演算結果記憶部4a3に記憶されている演算結果と第2演算結果記憶部4a4に記憶されている演算結果とを照合し(ステップS7a)、双方が一致しているか否かを判定する(ステップS8a)。   Subsequent to step S6a, the first core 3a1 collates the calculation result stored in the first calculation result storage unit 4a3 with the calculation result stored in the second calculation result storage unit 4a4 (step S7a). Are determined to match (step S8a).

第1コア3a1は、ステップS8aで演算結果が一致していると判定した場合は、ステップS9aに進み、第1演算結果記憶部4a3または第2演算結果記憶部4a4に記憶されている演算結果(制御データ)をプロセス入出力部5aを介してフィールド機器14〜16に出力する。一方、ステップS8aで演算結果が一致していないと判定した場合は、ステップS10aに進み、主系コントローラ2aから従系コントローラ2bへの切替を行う。これにより、主系コントローラ2aが実行していた制御が従系コントローラ3bに引き継がれる。   If the first core 3a1 determines that the calculation results match in step S8a, the first core 3a1 proceeds to step S9a, and the calculation results stored in the first calculation result storage unit 4a3 or the second calculation result storage unit 4a4 ( Control data) is output to the field devices 14 to 16 via the process input / output unit 5a. On the other hand, if it is determined in step S8a that the calculation results do not match, the process proceeds to step S10a to switch from the master controller 2a to the slave controller 2b. As a result, the control executed by the master controller 2a is taken over by the slave controller 3b.

図3は、主系コントローラ2aの第1および第2コア3a1,3a2のいずれにも異常が検出されなかった場合に第1および第2コア3a1、3a2によって行われる処理を時系列に示す図である。   FIG. 3 is a diagram showing, in time series, processing performed by the first and second cores 3a1 and 3a2 when no abnormality is detected in any of the first and second cores 3a1 and 3a2 of the main controller 2a. is there.

図3に示すように、第1コア3a1は、第2コア3a2が演算処理(ステップS1b)を行っている間に第2コア3a1の診断処理(S3a)を行い、第2コア3a2は、第1コア3a1が演算処理(ステップS6a)を行っている間に第2コア3a1の診断処理を行う(ステップS2b)。すなわち、第1コア3a1による演算処理(ステップS6a)および第2コア3a2による演算処理(ステップS1b)は互いに重複しない時間帯に実行される。なお、本実施例では、第2コア3a2による演算処理(ステップS1b)および第1コア3a1による診断処理(ステップS3a)を行った後に、第1コア3a1による演算処理(ステップS6b)および第2コア3a2による診断処理(ステップS2b)を行っているが、順番を入れ替えても良い。   As shown in FIG. 3, the first core 3a1 performs the diagnostic process (S3a) of the second core 3a1 while the second core 3a2 performs the arithmetic process (step S1b), and the second core 3a2 While the first core 3a1 is performing the calculation process (step S6a), the diagnostic process for the second core 3a1 is performed (step S2b). That is, the calculation process (step S6a) by the first core 3a1 and the calculation process (step S1b) by the second core 3a2 are executed in a time zone that does not overlap each other. In this embodiment, after performing the arithmetic processing (step S1b) by the second core 3a2 and the diagnostic processing (step S3a) by the first core 3a1, the arithmetic processing (step S6b) by the first core 3a1 and the second core Although the diagnostic process 3a2 (step S2b) is performed, the order may be changed.

本実施例に係る二重化制御システム1は、主系コントローラ2aと、従系コントローラ2bとを備え、従系コントローラ2bは、主系コントローラ2aに異常が発生した場合に、主系コントローラ2aが実行していた制御を引き継ぐように構成され、主系コントローラ2aは、複数の主系コア3a1,3a2を有するマルチコアプロセッサ3aを備え、複数の主系コア3a1,3a2が同一の入力情報に対して同一の演算処理(ステップS6a,S1b)を互いに重複しない時間帯に実行するように構成され、従系コントローラ2bは、複数の主系コア3a1,3a2の演算処理S6a,S1bによって得られた複数の演算結果の間で不一致が生じた場合に、主系コントローラ2aが実行していた制御を引き継ぐように構成されている。   The duplex control system 1 according to the present embodiment includes a master controller 2a and a slave controller 2b. The slave controller 2b is executed by the master controller 2a when an abnormality occurs in the master controller 2a. The main controller 2a includes a multi-core processor 3a having a plurality of main cores 3a1 and 3a2, and the plurality of main cores 3a1 and 3a2 are identical to the same input information. The arithmetic processing (steps S6a, S1b) is configured to be executed in a time zone that does not overlap with each other, and the slave controller 2b has a plurality of arithmetic results obtained by the arithmetic processing S6a, S1b of the plurality of main cores 3a1, 3a2. Are configured to take over the control performed by the main controller 2a.

以上のように構成した本実施例に係る二重化制御システム1によれば、汎用のマルチコアマイコン3aで主系コントローラ2aを構成することが可能になるため、主系コントローラ2aのコストを抑えることできる。   According to the duplex control system 1 according to the present embodiment configured as described above, the main controller 2a can be configured by the general-purpose multi-core microcomputer 3a, so that the cost of the main controller 2a can be suppressed.

また、複数の主系コア3a1,3a2が同一の入力情報に対して同一の演算処理(ステップS6a,S1b)を互いに重複しない時間帯に実行することにより、電圧変動などの外乱による影響が複数の演算結果に同様に現れることを防止できる。その結果、複数の主系コア3a1,3a2の演算結果を照合することで電圧変動などの外乱による影響を確実に検出することが可能になるため、主系コントローラ2aの異常検出精度を向上することができる。   In addition, when the plurality of main cores 3a1 and 3a2 execute the same calculation process (steps S6a and S1b) on the same input information in a time zone that does not overlap each other, the influence due to disturbance such as voltage fluctuations is more than one. It can be prevented from appearing similarly in the calculation result. As a result, it is possible to reliably detect the influence of disturbances such as voltage fluctuations by collating the calculation results of the plurality of main system cores 3a1 and 3a2, thereby improving the abnormality detection accuracy of the main system controller 2a. Can do.

また、主系コントローラ2aは、複数の主系コア3a1,3a2が互いの演算処理時間を計測するように構成され、従系コントローラ2bは、複数の主系コア3a1,3a2のうち少なくとも1つの主系コアの演算処理時間が所定時間を超えた場合に、主系コントローラ2aが実行していた制御を引き継ぐように構成されている。これにより、主系コントローラ2aの異常検出精度を向上することができる。   The master controller 2a is configured such that the plurality of master cores 3a1 and 3a2 measure the processing time of each other, and the slave controller 2b includes at least one master core among the plurality of master cores 3a1 and 3a2. When the processing time of the system core exceeds a predetermined time, the control executed by the main system controller 2a is taken over. Thereby, the abnormality detection accuracy of the main system controller 2a can be improved.

また、主系コントローラ2aは、複数の主系コア3a1,3a2が互いの演算処理の途中経過を監視するように構成され、従系コントローラ2bは、複数の主系コア3a1,3a2のうち少なくとも1つの主系コアの演算処理の途中経過に異常が検出された場合に、主系コントローラ2aが実行していた制御を引き継ぐように構成されている。これにより、主系コントローラ2aの異常検出精度を向上するとともに、主系コントローラ2aに異常が生じてから従系コントローラ2bが制御を引き継ぐまでのタイムラグを短縮することが可能となる。   The master controller 2a is configured such that the plurality of master cores 3a1 and 3a2 monitor the progress of each other's arithmetic processing, and the slave controller 2b includes at least one of the plurality of master cores 3a1 and 3a2. When an abnormality is detected in the middle of arithmetic processing of one main system core, the control executed by the main system controller 2a is taken over. As a result, the abnormality detection accuracy of the main controller 2a can be improved, and the time lag from when the abnormality occurs in the main controller 2a until the subordinate controller 2b takes over control can be shortened.

また、従系コントローラ2bは、複数の従系コア3b1,3b2を有するマルチコアプロセッサ3bを備え、主系コントローラ2aが実行していた制御を引き継いだ後に、複数の従系コア3b1,3b2が互いに重複しない時間帯に同一の入力情報に対して同一の演算処理を実行し、複数の従系コア3b1,3b2が互いの演算処理の途中経過を監視し、複数の従系コア3b1,3b2による演算処理で得られた複数の演算結果の間で不一致が生じた場合に、複数の従系コア3b1,3b2のうち演算処理の途中経過に異常が検出されなかった従系コアの演算結果を用いて制御を継続するように構成しても良い。これにより、従系コントローラ2bは、複数の従系コア3b1,3b2のうち少なくとも1つの従系コアで異常が検出された場合に、異常が検出されなかった他の従系コアを用いて縮退運転を行うことが可能となる。   The slave controller 2b includes a multi-core processor 3b having a plurality of slave cores 3b1 and 3b2, and after the control executed by the master controller 2a is taken over, the slave cores 3b1 and 3b2 overlap each other. The same arithmetic processing is executed for the same input information during a time period when the plurality of slave cores 3b1 and 3b2 monitor the progress of the mutual arithmetic processing, and the arithmetic processing by the plurality of slave cores 3b1 and 3b2 When there is a discrepancy between the plurality of computation results obtained in step 1, control is performed using the computation results of the slave cores in which no abnormality is detected during the middle of the computation processing among the plurality of slave cores 3b1 and 3b2. May be configured to continue. As a result, when the abnormality is detected in at least one slave core among the plurality of slave cores 3b1 and 3b2, the slave controller 2b uses the other slave core in which no abnormality is detected. Can be performed.

また、従系コントローラ2bは、複数の従系コアを有するマルチコアプロセッサ3bを備え、主系コントローラ2aが実行していた制御を引き継いだ後に、前記複数の従系コアが同一の入力情報に対して同一の演算処理を互いに重複しない時間帯に実行し、前記複数の従系コアの演算処理で得られた複数の演算結果の間で不一致が生じた場合に、前記複数の演算結果のうち最も多数を占める演算結果を用いて制御を継続するように構成しても良い。これにより、従系コントローラ2bは、複数の演算結果の間で不一致が生じた場合に、最も多数を占める信頼性の高い演算結果を用いて縮退運転を行うことが可能となる。   The slave controller 2b includes a multi-core processor 3b having a plurality of slave cores, and after taking over the control executed by the master controller 2a, the plurality of slave cores receives the same input information. When the same calculation process is executed in a time zone that does not overlap each other, and there is a mismatch between the calculation results obtained by the calculation processes of the plurality of slave cores, the largest number of the plurality of calculation results The control may be continued using the calculation result occupying. As a result, the slave controller 2b can perform the degenerate operation using the most reliable computation results that occupy the largest number when there is a mismatch between the plurality of computation results.

以上、本発明の実施例について詳述したが、本発明は、上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は、本発明を分かり易く説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。   As mentioned above, although the Example of this invention was explained in full detail, this invention is not limited to an above-described Example, Various modifications are included. For example, the above-described embodiments have been described in detail for easy understanding of the present invention, and are not necessarily limited to those having all the configurations described.

1…二重化制御システム、2a…主系コントローラ、2b…従系コントローラ、3a…制御演算部(マルチコアプロセッサ)、3a1…第1コア(主系コア)、3a2…第2コア(主系コア)、3b…制御演算部(マルチコアプロセッサ)、3b1…第1コア(従系コア)、3b2…第2コア(従系コア)、4a…メモリ、4a1…第1入力情報記憶部、4a2…第2入力情報記憶部、4a3…第1演算結果記憶部、4a4…第2演算結果記憶部、4b…メモリ、4b1…第1入力情報記憶部、4b2…第2入力情報記憶部、4b3…第1演算結果記憶部、4b4…第2演算結果記憶部、5a,5b…プロセス入出力部、10…プロセス入出力バス、11〜13…入出力基板変換部、14…センサ、15…バルブ、16…PLC。   DESCRIPTION OF SYMBOLS 1 ... Duplex control system, 2a ... Master controller, 2b ... Slave controller, 3a ... Control operation part (multi-core processor), 3a1 ... 1st core (main system core), 3a2 ... 2nd core (main system core), 3b: Control arithmetic unit (multi-core processor), 3b1 ... first core (secondary core), 3b2 ... second core (secondary core), 4a ... memory, 4a1 ... first input information storage unit, 4a2 ... second input Information storage unit, 4a3 ... first calculation result storage unit, 4a4 ... second calculation result storage unit, 4b ... memory, 4b1 ... first input information storage unit, 4b2 ... second input information storage unit, 4b3 ... first calculation result Storage unit, 4b4 ... second calculation result storage unit, 5a, 5b ... process input / output unit, 10 ... process input / output bus, 11-13 ... input / output board conversion unit, 14 ... sensor, 15 ... valve, 16 ... PLC.

Claims (5)

主系コントローラと、
従系コントローラとを備え、
前記従系コントローラは、前記主系コントローラに異常が発生した場合に、前記主系コントローラが実行していた制御を引き継ぐように構成された二重化制御システムにおいて、
前記主系コントローラは、複数の主系コアを有するマルチコアプロセッサを備え、前記複数の主系コアが同一の入力情報に対して同一の演算処理を互いに重複しない時間帯に実行するように構成され、
前記従系コントローラは、前記複数の主系コアの演算処理によって得られた複数の演算結果の間で不一致が生じた場合に、前記主系コントローラが実行していた制御を引き継ぐように構成された
ことを特徴とする二重化制御システム。 A main system controller;
With a subordinate controller,
In the duplex control system configured to take over the control executed by the master controller when an abnormality occurs in the master controller, the slave controller,
The main controller includes a multi-core processor having a plurality of main cores, and the plurality of main cores are configured to execute the same arithmetic processing on the same input information in a time zone that does not overlap each other,
The slave controller is configured to take over the control performed by the master controller when a mismatch occurs between a plurality of calculation results obtained by the calculation processing of the plurality of master cores. Dual control system characterized by that. 請求項1に記載の二重化制御システムにおいて、
前記主系コントローラは、前記複数の主系コアが互いの演算処理時間を計測するように構成され、
前記従系コントローラは、前記複数の主系コアのうち少なくとも1つの主系コアの演算処理時間が所定時間を超えた場合に、前記主系コントローラが実行していた制御を引き継ぐように構成された
ことを特徴とする二重化制御システム。 The duplex control system according to claim 1,
The master controller is configured such that the plurality of master cores measure each other's computation processing time,
The slave controller is configured to take over the control performed by the master controller when the processing time of at least one master core of the plurality of master cores exceeds a predetermined time. Dual control system characterized by that. 請求項2に記載の二重化制御システムにおいて、
前記主系コントローラは、前記複数の主系コアが互いの演算処理の途中経過を監視するように構成され、
前記従系コントローラは、前記複数の主系コアのうち少なくとも1つの主系コアの演算処理の途中経過に異常が検出された場合に、前記主系コントローラが実行していた制御を引き継ぐように構成された
ことを特徴とする二重化制御システム。 The duplex control system according to claim 2,
The master controller is configured so that the plurality of master cores monitor the progress of each other's arithmetic processing,
The slave controller is configured to take over the control executed by the master controller when an abnormality is detected in the middle of the arithmetic processing of at least one master core among the plurality of master cores. A redundant control system characterized by that. 請求項1に記載の二重化制御システムにおいて、
前記従系コントローラは、複数の従系コアを有するマルチコアプロセッサを備え、前記主系コントローラが実行していた制御を引き継いだ後に、前記複数の従系コアが互いに重複しない時間帯に同一の入力情報に対して同一の演算処理を実行し、前記複数の従系コアが互いの演算処理の途中経過を監視し、前記複数の従系コアによる演算処理で得られた複数の演算結果の間で不一致が生じた場合に、前記複数の従系コアのうち演算処理の途中経過に異常が検出されなかった従系コアの演算結果を用いて制御を継続するように構成された
ことを特徴とする二重化制御システム。 The duplex control system according to claim 1,
The slave controller includes a multi-core processor having a plurality of slave cores, and after taking over the control executed by the master controller, the same input information in a time zone in which the slave cores do not overlap each other The plurality of slave cores monitor the progress of each other's computation processing, and the plurality of computation results obtained by the computation processing by the plurality of slave cores are inconsistent. In the case where an error occurs, the duplex is characterized in that the control is continued using the operation result of the slave core in which no abnormality is detected in the middle of the arithmetic processing among the plurality of slave cores. Control system. 請求項1に記載の二重化制御システムにおいて、
前記従系コントローラは、複数の従系コアを有するマルチコアプロセッサを備え、前記主系コントローラが実行していた制御を引き継いだ後に、前記複数の従系コアが同一の入力情報に対して同一の演算処理を互いに重複しない時間帯に実行し、前記複数の従系コアの演算処理で得られた複数の演算結果の間で不一致が生じた場合に、前記複数の演算結果のうち最も多数を占める演算結果を用いて制御を継続するように構成された
ことを特徴とする二重化制御システム。 The duplex control system according to claim 1,
The slave controller includes a multi-core processor having a plurality of slave cores, and after taking over the control executed by the master controller, the plurality of slave cores perform the same operation on the same input information. An operation that occupies the largest number of the plurality of operation results when the processing is executed in a time zone that does not overlap with each other and a mismatch occurs between the operation results obtained by the operation processing of the plurality of slave cores. A duplex control system configured to continue control using the result.
JP2018076387A 2018-04-11 2018-04-11 Duplex control system Active JP7023776B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018076387A JP7023776B2 (en) 2018-04-11 2018-04-11 Duplex control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018076387A JP7023776B2 (en) 2018-04-11 2018-04-11 Duplex control system

Publications (2)

Publication Number Publication Date
JP2019185444A true JP2019185444A (en) 2019-10-24
JP7023776B2 JP7023776B2 (en) 2022-02-22

Family

ID=68341352

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018076387A Active JP7023776B2 (en) 2018-04-11 2018-04-11 Duplex control system

Country Status (1)

Country Link
JP (1) JP7023776B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022025254A (en) * 2020-07-29 2022-02-10 東芝三菱電機産業システム株式会社 Distributed control system

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04153702A (en) * 1990-10-17 1992-05-27 Komatsu Ltd Abnormality detector for dual controller
WO2014125606A1 (en) * 2013-02-15 2014-08-21 三菱電機株式会社 Control device
JP2016199239A (en) * 2015-04-14 2016-12-01 株式会社デンソー Control device for vehicle

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04153702A (en) * 1990-10-17 1992-05-27 Komatsu Ltd Abnormality detector for dual controller
WO2014125606A1 (en) * 2013-02-15 2014-08-21 三菱電機株式会社 Control device
JP2016199239A (en) * 2015-04-14 2016-12-01 株式会社デンソー Control device for vehicle

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022025254A (en) * 2020-07-29 2022-02-10 東芝三菱電機産業システム株式会社 Distributed control system
JP7349416B2 (en) 2020-07-29 2023-09-22 東芝三菱電機産業システム株式会社 distributed control system

Also Published As

Publication number Publication date
JP7023776B2 (en) 2022-02-22

Similar Documents

Publication Publication Date Title
JP6567444B2 (en) Method and replacement device for providing control redundancy to a process plant control system
US20060200278A1 (en) Generic software fault mitigation
JP6266239B2 (en) Microcomputer
CN109254525B (en) Method and device for operating two redundant systems
US9182754B2 (en) Method and apparatus for analogue output current control
CN117573609B (en) System-on-chip with redundancy function and control method thereof
JP7023776B2 (en) Duplex control system
JP2019046274A (en) Input and output device
JP2006285734A (en) Method for diagnosing controller
JP5319499B2 (en) Multiplexing controller
JP2017016319A (en) Multiplexed data processing device
JP2005092695A (en) Duplication controller, and method for determining equalization mode thereof
Gamer et al. Increasing Efficiency of M-out-of-N Redundancy
JP2005092621A (en) Electronic control device
JP5352815B2 (en) Control apparatus and control method
JP5227653B2 (en) Multiplexed computer system and processing method thereof
JP6588068B2 (en) Microcomputer
JP2006276957A (en) Safety system
JPS6091415A (en) Digital controller
JP2015197729A (en) Microprocessor failure diagnostic method
JPH04182801A (en) Digital controller
JPH02278457A (en) Digital information processor
JPS5854470A (en) Controlling system for constitution of multiple electronic computer
JP2014225110A (en) Safety controller
JPS6320540A (en) Information processor

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201209

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210811

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210824

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211008

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220201

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220209

R150 Certificate of patent or registration of utility model

Ref document number: 7023776

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150