JP4140615B2 - Data communication method and safety system - Google Patents
Data communication method and safety system Download PDFInfo
- Publication number
- JP4140615B2 JP4140615B2 JP2005104528A JP2005104528A JP4140615B2 JP 4140615 B2 JP4140615 B2 JP 4140615B2 JP 2005104528 A JP2005104528 A JP 2005104528A JP 2005104528 A JP2005104528 A JP 2005104528A JP 4140615 B2 JP4140615 B2 JP 4140615B2
- Authority
- JP
- Japan
- Prior art keywords
- input
- data
- status
- controller
- output module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、安全システムに適用されるデータ通信方法及び安全システムに関し、特にコントローラと入出力モジュール間のデータ通信方法及びコントローラと入出力モジュール間でデータ通信を行う安全システムに関するものである。 The present invention relates to a data communication method and a safety system applied to a safety system, and more particularly to a data communication method between a controller and an input / output module and a safety system for performing data communication between the controller and the input / output module.
プラントに配置されたフィールド機器を管理、制御するプラント制御システムが知られている。また、このようなプラントでは、プラントの安全を図るための安全システムが導入される。安全システムは、有毒薬品の溢流、爆発などの如き深刻な災害になるおそれのある問題が発生した場合、プラント内の安全に関する重要な問題を検出し、バルブ閉鎖、フィールド機器電力の切断、プラント内のフローの切換えなどを実行するシステムであり、プラント制御システムの一部として、或いは、プラント制御システムとは独立して設けられる。 There is known a plant control system that manages and controls field devices arranged in a plant. Moreover, in such a plant, a safety system for safety of the plant is introduced. The safety system detects important problems related to safety in the plant in the event of a serious disaster such as overflow of toxic chemicals or explosion, and shuts off the valve, disconnects the power of the field equipment, It is a system that executes switching of the internal flow, and is provided as a part of the plant control system or independently of the plant control system.
安全システムのコントローラは、プラント内に配置された個別のバスまたは通信回線を利用して安全フィールド機器に入出力モジュールを介して接続されている。コントローラは、重要なイベントに関連するプロセス状態を検出するために安全フィールド機器を利用し、それにより、プラント内における「イベント」を検出する。イベントが検出されると、コントローラは、そのイベントの有害な影響を抑制するために、バルブの閉鎖などのアクションを取る。 The controller of the safety system is connected to the safety field device via an input / output module using individual buses or communication lines arranged in the plant. The controller utilizes safety field equipment to detect process conditions associated with significant events, thereby detecting “events” within the plant. When an event is detected, the controller takes action, such as closing a valve, to mitigate the harmful effects of that event.
従来のプラント制御システムにおけるコントローラと入出力モジュールとの通信の構成を示したものとして、例えば特許文献1に記載されたものがあった。
For example,
安全システムには、その意図する機能から極めて高度の信頼性を要求される。例えば、異常が発生したにも関わらずシステムが安全だと認識し、或いは、誤った情報を通知するような事態は回避しなければならない。また、異常が明らかには認識できないが、異常の可能性が示される場合には安全サイドの処理を選択する必要がある。 Safety systems are required to have extremely high reliability due to their intended functions. For example, it is necessary to avoid a situation in which the system recognizes that the system is safe in spite of the occurrence of an abnormality or reports incorrect information. In addition, although the abnormality cannot be clearly recognized, it is necessary to select the safe side process when the possibility of the abnormality is indicated.
そのため、安全システムに適用されるデータ通信においては、想定される通信の異常(Repetition,Deletion,Insertion,Re-sequence,Corruption,Delay,Masquerade)を全て検出することができることが重要である。 Therefore, in data communication applied to a safety system, it is important to be able to detect all possible communication abnormalities (Repetition, Deletion, Insertion, Re-sequence, Corruption, Delay, Masquerade).
本発明は上述した問題点を解決するためになされたものであり、異常検出率の高いデータ通信方法及び安全システムを実現することを目的とする。 The present invention has been made to solve the above-described problems, and an object thereof is to realize a data communication method and a safety system with a high abnormality detection rate.
このような課題を達成するために、本発明は次のとおりの構成になっている。
(1)入出力モジュールとコントローラからなるシステムのデータ通信方法において、
前記入出力モジュールと前記コントローラは、該コントローラで作成した前記システムの設定情報を前記入出力モジュールへダウンロードすることにより、前記システムの設定情報をそれぞれ保有しており、
データ送信側は、データフレームを送信する際に、データ及び設定事項の安全性を確認するための安全コードとして、前記データ送信側に保有している設定情報から抽出した送受信対象を特定するデバイスIDと、前記データ送信側に保有している設定情報を基に生成した設定情報CRCコードと、送信するデータフレームを基に生成するCRCコードとを含ませ、前記安全コードをデータに付加したデータフレームを生成し、
データ受信側は、受信したデータフレームを記憶手段上に展開し、受信した安全コード中のCRCコードと、受信したデータフレームを基に生成したCRCコードとを比較して、受信したデータフレームのデータの安全性を確認した後、受信した安全コード中のデバイスIDと、前記データ受信側に保有している設定情報から抽出したデバイスIDとを比較して、受信したデータフレームの設定事項の安全性を確認するとともに、受信した安全コード中の設定情報CRCコードと、前記データ受信側に保有している設定情報を基に生成した設定情報CRCコードとを比較して、前記入出力モジュールと前記コントローラが保有する設定情報の同一性を確認することを特徴とするデータ通信方法。
In order to achieve such a subject, the present invention is configured as follows.
(1) In a data communication method of a system comprising an input / output module and a controller,
The input / output module and the controller each have the system setting information by downloading the system setting information created by the controller to the input / output module .
When transmitting a data frame, the data transmission side identifies a transmission / reception target extracted from the setting information held by the data transmission side as a safety code for confirming the safety of data and setting items. A data frame including a setting information CRC code generated based on the setting information held on the data transmission side and a CRC code generated based on the data frame to be transmitted, and adding the safety code to the data Produces
The data receiving side expands the received data frame on the storage means, compares the CRC code in the received safety code with the CRC code generated based on the received data frame, and receives the data of the received data frame After confirming the safety of the device, the device ID in the received safety code is compared with the device ID extracted from the setting information held on the data receiving side, and the safety of the setting items of the received data frame And comparing the setting information CRC code in the received safety code with the setting information CRC code generated based on the setting information held on the data receiving side, and the input / output module and the controller A data communication method characterized by confirming the identity of setting information held by .
(2)前記データ送信側は、前記安全コードとして、前記データ送信側の記憶手段上のデータフレームの格納場所を確認するためのブロックIDを含め、
前記データ受信側は、受信した安全コード中のブロックIDと、実際に送られてきたアドレスとを比較して、受信したデータフレームの設定事項の安全性を確認することを特徴とする請求項(1)記載のデータ通信方法。
( 2 ) The data transmission side includes, as the safety code, a block ID for confirming the storage location of the data frame on the storage means on the data transmission side,
The data receiving side compares the block ID in the received safety code with the address actually sent to confirm the safety of the setting items of the received data frame. 1 ) The data communication method described.
(3)前記データ送信側は、前記安全コードとして、データが更新されていることを確認するための更新コードを含め、
前記データ受信側は、受信した安全コード中の更新コードの更新の有無を確認して、受信したデータフレームのデータの安全性を確認することを特徴とする(1)又は(2)記載のデータ通信方法。
( 3 ) The data transmission side includes an update code for confirming that data is updated as the safety code,
The data receiving side confirms whether the update code in the received safety code has been updated, and checks the safety of the data in the received data frame. (1) or (2) Communication method.
(4)前記データは、入出力モジュール毎の一括情報及び入出力モジュールのチャネル毎の個別情報の少なくとも一方であることを特徴とする(1)乃至(3)のいずれかに記載のデータ通信方法。 ( 4 ) The data communication method according to any one of (1) to ( 3 ), wherein the data is at least one of collective information for each input / output module and individual information for each channel of the input / output module. .
(5)プラントと信号を授受する入出力モジュールとコントローラ間でデータ通信を行い、プラントの安全を図る安全システムにおいて、
前記入出力モジュールと前記コントローラは、該コントローラで作成した前記システムの設定情報を前記入出力モジュールへダウンロードすることにより、前記安全システムの設定情報をそれぞれ保有する設定情報記憶手段と、
データ送信側で、データフレームを送信する際に、データ及び設定事項の安全性を確認するための安全コードとして、前記データ送信側に保有している設定情報から抽出した送受信対象を特定するデバイスIDと、前記データ送信側に保有している設定情報を基に生成した設定情報CRCコードと、送信するデータフレームを基に生成するCRCコードとを含ませ、前記安全コードをデータに付加したデータフレームを生成するデータフレーム生成手段と、
データ受信側で、受信したデータフレームを記憶手段上に展開し、受信した安全コード中のCRCコードと、受信したデータフレームを基に生成したCRCコードとを比較して、受信したデータフレームのデータの安全性を確認した後、受信した安全コード中のデバイスIDと、前記データ受信側に保有している設定情報から抽出したデバイスIDとを比較して、受信したデータフレームの設定事項の安全性を確認するとともに、受信した安全コード中の設定情報CRCコードと、前記データ受信側に保有している設定情報を基に生成した設定情報CRCコードとを比較して、前記入出力モジュールと前記コントローラが保有する設定情報の同一性を確認する安全コードチェック手段と、
を有することを特徴とする安全システム。
( 5 ) In a safety system that performs data communication between the controller and the input / output module that exchanges signals with the plant,
The input / output module and the controller are configured to store setting information of the safety system by downloading the setting information of the system created by the controller to the input / output module, respectively.
A device ID that identifies a transmission / reception target extracted from the setting information held by the data transmission side as a safety code for confirming the safety of data and setting items when transmitting a data frame on the data transmission side A data frame including a setting information CRC code generated based on the setting information held on the data transmission side and a CRC code generated based on the data frame to be transmitted, and adding the safety code to the data Data frame generating means for generating
On the data receiving side, the received data frame is expanded on the storage means, the CRC code in the received safety code is compared with the CRC code generated based on the received data frame, and the data of the received data frame After confirming the safety of the device, the device ID in the received safety code is compared with the device ID extracted from the setting information held on the data receiving side, and the safety of the setting items of the received data frame And comparing the setting information CRC code in the received safety code with the setting information CRC code generated based on the setting information held on the data receiving side, and the input / output module and the controller A safety code check means for confirming the identity of the setting information held by
A safety system characterized by comprising:
(6)前記データフレームのうち、前記入出力モジュールから前記コントローラへ送信する入力データフレームは、前記入出力モジュールのステータス情報を有し、
前記コントローラから前記入出力モジュールへ送信する出力データフレームは、前記コントローラのステータス情報を有することを特徴とする(5)記載の安全システム。
( 6 ) Among the data frames, an input data frame transmitted from the input / output module to the controller has status information of the input / output module,
Output data frame to be transmitted from the controller to the output module, the safety system, characterized (5), wherein further comprising a status information of the controller.
(7)前記入出力モジュールは、入出力モジュールのステータスと、前記コントローラのステータスを判断するステータス判断手段を有し、
前記ステータス判断手段の入力のうち、前記入出力モジュールのステータス入力部をアサートするとともに、前記入力データフレームにて前記入出力モジュールのステータスを前記コントローラに渡す際に、前記ステータス判断手段の入力のうち、前記コントローラのステータス入力部をネゲートしておき、
前記出力データフレームにて前記コントローラのステータスを受け、該ステータスにて前記ステータス判断手段のコントローラのステータス入力部がアサートされたときに前記ステータス判断手段は有効となることを特徴とする(5)又は(6)記載の安全システム。
( 7 ) The input / output module has status determination means for determining the status of the input / output module and the status of the controller,
Among the inputs of the status determination unit, the status input unit of the input / output module is asserted and the status of the input / output module is passed to the controller in the input data frame. , Negate the status input part of the controller,
The status determination means is enabled when the status of the controller is received in the output data frame and the status input unit of the controller of the status determination means is asserted by the status ( 5 ) or ( 6 ) The safety system described.
(8)前記コントローラは、コントローラのステータスと、前記入出力モジュールのステータスを判断するステータス判断手段を有し、
前記ステータス判断手段の入力のうち、前記コントローラのステータス入力部をアサートするとともに、前記出力データフレームにて前記コントローラのステータスを前記入出力モジュールに渡す際に、前記ステータス判断手段の入力のうち、前記入出力モジュールのステータス入力部をネゲートしておき、
前記入力データフレームにて前記入出力モジュールのステータスを受け、該ステータスにて前記ステータス判断手段の入出力モジュールのステータス入力部がアサートされたときに前記ステータス判断手段は有効となることを特徴とする(5)乃至(7)のいずれかに記載の安全システム。
( 8 ) The controller includes status determination means for determining the status of the controller and the status of the input / output module,
Among the inputs of the status determination means, the status input unit of the controller is asserted, and the status of the controller is passed to the input / output module in the output data frame. Negate the status input part of the entry output module,
The status determination unit is enabled when the status of the input / output module is received in the input data frame and the status input unit of the input / output module of the status determination unit is asserted based on the status. The safety system according to any one of ( 5 ) to ( 7 ).
(9)前記入出力モジュールは、フェイル復帰したことを知らせるフェイル復帰ステータスを前記入力データフレームにて前記コントローラに渡し、
該コントローラは、前記入出力モジュールの起動を要求する起動要求ステータスを前記出力データフレームにて前記入出力モジュールに渡し、
該入出力モジュールは、起動する準備が整ったことを知らせる起動準備完了ステータスを前記入出力データフレームにて前記コントローラに渡し、
該コントローラは、起動を許可する起動許可ステータスを前記出力データフレームにて前記入出力モジュールに渡し、
該入出力モジュールは、フェイルセーフデータを使用しているフェイルセーフ動作から通常動作に切り替えることを特徴とする(5)乃至(8)のいずれかに記載の安全システム。
( 9 ) The input / output module passes a fail recovery status informing the failure recovery to the controller in the input data frame,
The controller passes an activation request status requesting activation of the input / output module to the input / output module in the output data frame,
The I / O module passes a startup ready status in the I / O data frame to inform the controller that it is ready to start,
The controller passes a start permission status permitting start to the input / output module in the output data frame,
The safety system according to any one of ( 5 ) to ( 8 ), wherein the input / output module switches from a failsafe operation using failsafe data to a normal operation.
本発明によれば次のような効果がある。
入出力モジュール及びコントローラの記憶手段上に展開されたデータフレームの安全コードの内容のチェックを行うことにより異常検出率が高く、信頼性の高いデータ通信方法が安価で実現できる。
また、データフレームの信頼性確保は、入出力モジュール及びコントローラの記憶手段上のデータとしてEND to ENDでチェックすることで実現しているので、データを互いの記憶手段上に転送するまでの処理階層(物理層やデータリンク層)の手段により、通信の異常検出率が影響を受けることはない。
The present invention has the following effects.
By checking the contents of the safety code of the data frame developed on the storage means of the input / output module and the controller, a highly reliable data communication method with a high abnormality detection rate can be realized at low cost.
In addition, data frame reliability is ensured by checking END to END as data on the storage means of the input / output module and controller, so the processing hierarchy until the data is transferred to each other's storage means The communication abnormality detection rate is not affected by the means (physical layer or data link layer).
以下、図面を用いて本発明を詳細に説明する。
図1は本発明の一実施例を示す構成図である。
図1で入出力モジュール10は、フィールド機器1からの信号をディジタルデータに変換しコントローラ20へ伝え、コントローラ20からのディジタルデータをアナログ信号や接点信号に変換してフィールド機器1へ出力する。
ここでは、入力モジュールと出力モジュールが一体となった入出力モジュールとして説明しているが、入力モジュールと出力モジュールが別々の構成の場合も同様である。
Hereinafter, the present invention will be described in detail with reference to the drawings.
FIG. 1 is a block diagram showing an embodiment of the present invention.
In FIG. 1, the input /
Here, the input module and the output module are described as an integrated input / output module, but the same applies to the case where the input module and the output module have different configurations.
入出力モジュール10は、内部通信機能によりコントローラ20とインターフェースを確立しており、入出力モジュール10とコントローラ20はそれぞれ更新したデータを定周期で交換している。この内部通信によって、入出力モジュール10及びコントローラ20で生成された入出力データは、それぞれ入出力モジュール10及びコントローラ20上に実装されるRAM(Random Access Memory)11,21上に入出力データイメージとして展開される。
コントローラ20からは、内部通信機能を使用して入出力モジュール10の任意のRAM領域をアクセス可能であり、入出力モジュール10からは、内部通信機能を使用してコントローラ20の任意のRAM領域をアクセス可能である。
The input /
The
入出力データフレーム12,23は入出力データ121,231に安全コード122,232を付加した構成となっている。
入力データ121は入出力モジュール10からコントローラ20への入力情報であり、例えば、フィールドのプロセス量などが格納されている。
出力データ231はコントローラ20から入出力モジュール10への設定値であり、例えば、操作量などが格納されている。
The input /
The
The
図2は入出力データのフレーム構成例を示した図である。
入力データフレーム12において、R_CRC122aは入力データフレーム12に対するCRC(Cyclic Redundancy Check)コードであり、入出力モジュール10が生成する。入出力モジュール10はこのR_CRC122a付きのデータである入力データフレーム12を内部通信によりコントローラ20へ送信する。
コントローラ20は受信した入力データフレーム22をRAM21上に展開し、入力データフレーム22に付けられているCRCコードと、コントローラ20側で受信した入力データフレーム22を基に生成したCRCコードとを比較することにより、受信したデータの正当性を確認する。その結果、データが正常の場合に入力データフレーム22の中身を使用する。
これにより、入力データが通信の途中で内容が変更されていないかの検出をすることができる。
FIG. 2 is a diagram showing a frame configuration example of input / output data.
In the
The
Thereby, it is possible to detect whether the contents of the input data are not changed during the communication.
出力データフレーム23において、W_CRC232aは出力データフレーム23に対するCRCコードであり、コントローラ20が生成する。コントローラ20はこのW_CRC232a付きのデータである出力データフレーム23を内部通信により入出力モジュール10へ送信する。
入出力モジュール10は受信した出力データフレーム13をRAM11上に展開し、出力データフレーム13に付けられているCRCコードと、入出力モジュール10側で受信した出力データフレーム13を基に生成したCRCコードとを比較することにより、受信したデータの正当性を確認する。その結果、データが正常の場合に出力データフレーム13の中身を使用する。
これにより、出力データが通信の途中で内容が変更されていないかの検出をすることができる。
In the
The input /
As a result, it is possible to detect whether the contents of the output data are not changed during the communication.
図3は本発明の動作説明図である。この図ではデータの送受信元を確認する手順を示している。
設定情報24は、システムの動作定義や入出力モジュールの動作定義、実装情報が定義されているデータベースであり、各入出力モジュール毎、各種アプリケーション毎に決定される。
この設定情報24は、コントローラ20で作成され、入出力モジュール10へダウンロードされることでコントローラ20と入出力モジュール10の設定情報14は等値化されている。
FIG. 3 is a diagram for explaining the operation of the present invention. This figure shows the procedure for confirming the data transmission / reception source.
The setting
The setting
S_DEVICE_ID122b及びM_DEVICE_ID232bはデバイスIDであり、入出力モジュール10及びコントローラ20が互いに機種を特定するための情報が格納されている。
データの受信側では、受信したデータフレームのデバイスIDと、設定情報24,14にあらかじめ設定されているデバイスIDとの比較を行い、一致した場合にデータフレームの中身を使用し、不一致である場合は使用しない。
S_DEVICE_ID 122b and
On the data receiving side, the device ID of the received data frame is compared with the device ID set in advance in the setting
S_CONFIG_CRC122c及びM_CONFIG_CRC232cは設定情報CRCコードであり、入出力モジュール10及びコントローラ20が互いに認識している設定情報14,24のCRCコードが格納されている。
設定情報14のCRCであるS_CONFIG_CRC122cは、入出力モジュール10で生成される。コントローラ20では、受信したS_CONFIG_CRC222cと、設定情報24から生成したCRCの値を比較を行い、一致した場合に入力データフレーム22の中身を使用し、不一致である場合は使用しない。
The
設定情報24のCRCであるM_CONFIG_CRC232cは、コントローラ20で生成される。入出力モジュール10では、受信したM_CONFIG_CRC132cと、設定情報14から生成したCRCの値を比較を行い、一致した場合に出力データフレーム13の中身を使用し、不一致である場合は使用しない。
The
S_BLK_ID122d及びM_BLK_ID232dはブロックIDである。入出力データフレームはそれぞれ複数のブロックで構成されるため、どのブロックかを指定するためのブロック番号が格納されている。
データの受信側では、受信したデータフレームのブロックIDと、実際にデータフレームが送られてきたアドレスの比較を行い、一致した場合にデータフレームの中身を使用し、不一致である場合は使用しない。
S_BLK_ID 122d and
On the data receiving side, the block ID of the received data frame is compared with the address where the data frame is actually sent, and the contents of the data frame are used if they match, and not used if they do not match.
これらにより、データの送信元と受信元が正しくリンクされ、同じアプリケーションであることを認識していることが確認でき、安全システムとしてシステムへの誤入力やシステムからの誤出力を防止することができる。 As a result, it is possible to confirm that the data transmission source and the data reception source are correctly linked and recognize that they are the same application, and it is possible to prevent erroneous input to the system and erroneous output from the system as a safety system. .
図4は本発明の動作説明図である。この図ではデータの更新を確認する手順を示している。
R_UPDATE122eは入力データフレーム12の更新カウンタである。入出力モジュール10は、入力値を更新毎にR_UPDATE122eをインクリメントする。コントローラ20は、一定時間入力データが更新されていないことを確認すると、入力データフレームが喪失されたと判断し、入力異常とする。
FIG. 4 is a diagram for explaining the operation of the present invention. This figure shows a procedure for confirming data update.
W_UPDATE232eは出力データフレーム23の更新カウンタである。コントローラ20は、出力値を更新毎にW_UPDATE232eをインクリメントする。入出力モジュール10は、一定時間出力データが更新されていないことを確認すると、出力データフレームが喪失されたと判断し、フィールド側への出力OFFなどの必要なフェイルセイフを実行する。
これらにより、過去のデータの繰り返し、必要なデータの喪失、データ遅延などの通信異常を検出することができる。
W_UPDATE 232 e is an update counter for the
As a result, it is possible to detect communication abnormalities such as repetition of past data, loss of necessary data, and data delay.
図5は入出力データの他のフレーム構成例を示した図である。
安全コード122でプロテクトされた入力データフレーム12として、SSTR121a(スレーブステータスレジスタ)やMDL_STAT121b(チャネル共通のステータス)などのモジュール全体に共通の情報(モジュール一括情報)と、CH_STATn121d(各チャネルのステータス)やR_DATAn121e(各チャネルの入力値)などのチャネル毎に個別の情報(チャネル個別情報)を構成することにより、簡単に安全通信で入力データの即時型アクセスをすることができる。
FIG. 5 is a diagram showing another frame configuration example of input / output data.
As the
また、安全コード232でプロテクトされた出力データフレーム23として、MSTR231a(マスターステータスレジスタ)やMDL_CTRL231b(チャネル共通の制御情報)などのモジュール全体に共通の情報(モジュール一括情報)と、CH_CTRLn231d(各チャネルの制御情報)やW_DATAn231e(各チャネルの出力値)などのチャネル毎に個別の情報(チャネル個別情報)を構成することにより、簡単に安全通信で出力データの即時型アクセスをすることができる。
In addition, the
図6は安全通信の概念図である。
入出力データに安全コードを付加したデータフレーム構成とし、RAM上に展開されたデータフレームの安全コードの内容のチェックを行う安全通信階層でデータの通信異常を検出することができる。
よって、入出力モジュール及びコントローラのRAM上のデータとしてEND to ENDのチェックが行え、データを互いのRAM上に転送するまでの物理層やデータリンク層の手段により、通信の異常検出率は影響を受けることはない。
FIG. 6 is a conceptual diagram of safety communication.
A data frame structure in which a safety code is added to input / output data, and a data communication abnormality can be detected in a safety communication layer that checks the content of the safety code of the data frame developed on the RAM.
Therefore, END to END can be checked as data on the RAM of the input / output module and controller, and the communication error detection rate is affected by the means of the physical layer and data link layer until the data is transferred to the RAM. I will not receive it.
いままでの例では、安全通信として入出力モジュールとコントローラ間でデータ転送するには、安全コード付きのデータフレーム単位で行っていたが、設定情報などの大容量のデータ転送をする場合などは、データ送信側でデータの安全性を確認するための安全コードをデータに付加し、安全コード付きのデータを分割して順番に送信し、データ受信側で分割された安全コード付きのデータを受信順にRAM上に展開して再構築し、RAM上の安全コードをチェックするようにしてもよい。 In the examples so far, data transfer between the input / output module and the controller as safety communication was performed in units of data frames with safety codes, but when transferring large amounts of data such as setting information, A safety code for confirming the safety of data on the data transmission side is added to the data, the data with the safety code is divided and transmitted in order, and the data with the safety code divided on the data reception side is received in the order of reception. The security code on the RAM may be checked by expanding it on the RAM and reconstructing it.
図7は即時型アクセスの動作説明図である。
入出力モジュール10は通常時、コントローラ20から設定された出力データフレーム13を使用しており、この状態から入出力モジュール10がフェイルすると、自発的にフェイルセーフデータ15を使用するように切り替わる。
FIG. 7 is a diagram for explaining the operation of immediate access.
The input /
その後、入出力モジュール10がフェイル復帰すると、ステータス判断手段16のRDY121a1入力部はアサートされ、フェイル復帰信号によりステータス判断手段16のもう一方の入力部はネゲートされるので、ステータス判断手段16は無効状態である。
ステータス判断手段26のRDY121a1入力部はアサートされ、フェイル復帰信号によりステータス判断手段26及び27のAPREQ121a2入力部もアサートされる。
ステータス判断手段26は、起動要求25がない限り無効状態であり、起動要求25があると有効となる。
Thereafter, when the input /
The RDY 121a1 input unit of the status determination unit 26 is asserted, and the APREQ 121a2 input unit of the status determination units 26 and 27 is also asserted by the fail return signal.
The status determination means 26 is in an invalid state unless there is an
ステータス判断手段26が有効となり、APACK231a1がアサートされると、ステータス判断手段16が有効となり、ステータス判断手段17の一方の入力部をアサートし、入出力モジュールが安定する一定時間T[ms]後にONS121a3をアサートする。
また、APACK231a1がアサートされることにより、APREQ121a2はネゲートされるので、ステータス判断手段27は有効となるとともに、ステータス判断手段26は無効となりAPACK231a1をネゲートする。
When the status judging means 26 becomes valid and APACK 231a1 is asserted, the status judging means 16 becomes valid, one input part of the status judging means 17 is asserted, and the ONS 121a3 after a certain time T [ms] when the input / output module is stabilized. Is asserted.
Further, when APACK 231a1 is asserted, APREQ 121a2 is negated, so that status determination means 27 becomes valid and status determination means 26 becomes invalid and APACK 231a1 is negated.
コントローラ20は入出力モジュール10が正常稼働になったことを確認すると出力データフレーム23を必要な初期値に再設定してOUTEN231a2をアサートし、出力データフレーム13の使用を許可する。ステータス判断手段17が有効となることでフェイルセーブデータ15から出力データフレーム13の出力データの使用に切り替わり、入出力モジュール10は通常動作となる。
When the
なお、コントローラ20は次回入出力モジュール10がフェイル復帰した際に、出力が急変しないように、通常時はAPACK231a1をネゲートしている。
Note that the
図8は図7の即時型アクセスの入出力データフレームを示す図である。
図7のAPACK231a1,OUTEN231a2のステータスは、出力データフレーム23のMSTR231aに埋め込まれており、入出力モジュール10が出力データフレーム13を受け取り、データに異常がなければAPACK131a1,OUTEN131a2を使用して処理を行う。
RDY121a1,APREQ121a2,ONS121a3のステータスは、入力データフレーム12のSSTR121aに埋め込まれており、コントローラ20が入力データフレーム22を受け取り、データに異常がなければRDY221a1,APREQ221a2,ONS221a3を使用して処理を行う。
FIG. 8 is a diagram showing an input / output data frame for immediate access in FIG.
The status of APACK 231a1 and OUTEN 231a2 in FIG. 7 is embedded in the
The statuses of RDY 121a1, APREQ 121a2, and ONS 121a3 are embedded in the
これらの即時型アクセスもRAM上に展開された入出力データフレームのやり取りで実現することができる。
また、この仕組みにより、入出力モジュールがフェイル復帰した際、システムに外乱を与える出力の急変を防止することができる。
さらに、入出力モジュールが一度でもフェイルを検出したことを確実にコントローラに通知し、コントローラの指示があるまではフェイル発生時の動作をラッチすることができるので、安全性の高いシステムを構築することができる。
These immediate accesses can also be realized by exchanging input / output data frames expanded on the RAM.
In addition, this mechanism can prevent a sudden change in output that causes disturbance to the system when the input / output module fails.
In addition, it is possible to reliably notify the controller that the I / O module has detected a failure even once, and to latch the operation at the time of the failure until the controller gives an instruction. Can do.
10 入出モジュール
11 記憶手段(RAM)
12 入力データフレーム
121 入力データ
121a〜121c モジュール一括情報
121d,121e チャネル個別情報
122,122a〜122e 安全コード
15 フェイルセーフデータ
16,17,26,27 ステータス判断手段
20 コントローラ
21 記憶手段(RAM)
23 出力データフレーム
231 出力データ
231a〜231c モジュール一括情報
231d,231e チャネル個別情報
232,232a〜232e 安全コード
10 Input / output module 11 Storage means (RAM)
12
23
Claims (9)
前記入出力モジュールと前記コントローラは、該コントローラで作成した前記システムの設定情報を前記入出力モジュールへダウンロードすることにより、前記システムの設定情報をそれぞれ保有しており、
データ送信側は、データフレームを送信する際に、データ及び設定事項の安全性を確認するための安全コードとして、前記データ送信側に保有している設定情報から抽出した送受信対象を特定するデバイスIDと、前記データ送信側に保有している設定情報を基に生成した設定情報CRCコードと、送信するデータフレームを基に生成するCRCコードとを含ませ、前記安全コードをデータに付加したデータフレームを生成し、
データ受信側は、受信したデータフレームを記憶手段上に展開し、受信した安全コード中のCRCコードと、受信したデータフレームを基に生成したCRCコードとを比較して、受信したデータフレームのデータの安全性を確認した後、受信した安全コード中のデバイスIDと、前記データ受信側に保有している設定情報から抽出したデバイスIDとを比較して、受信したデータフレームの設定事項の安全性を確認するとともに、受信した安全コード中の設定情報CRCコードと、前記データ受信側に保有している設定情報を基に生成した設定情報CRCコードとを比較して、前記入出力モジュールと前記コントローラが保有する設定情報の同一性を確認することを特徴とするデータ通信方法。 In a data communication method of a system consisting of an input / output module and a controller,
The input / output module and the controller have the system setting information by downloading the system setting information created by the controller to the input / output module ,
When transmitting a data frame, the data transmitting side identifies a transmission / reception target extracted from the setting information held by the data transmitting side as a safety code for confirming safety of data and setting items. A data frame including a setting information CRC code generated based on the setting information held on the data transmission side and a CRC code generated based on the data frame to be transmitted, and adding the safety code to the data Produces
The data receiving side expands the received data frame on the storage means, compares the CRC code in the received safety code with the CRC code generated based on the received data frame, and receives the data of the received data frame After confirming the safety of the device, the device ID in the received safety code is compared with the device ID extracted from the setting information held on the data receiving side, and the safety of the setting items of the received data frame And comparing the setting information CRC code in the received safety code with the setting information CRC code generated based on the setting information held on the data receiving side, and the input / output module and the controller A data communication method characterized by confirming the identity of setting information held by .
前記データ受信側は、受信した安全コード中のブロックIDと、実際に送られてきたアドレスとを比較して、受信したデータフレームの設定事項の安全性を確認することを特徴とする請求項1記載のデータ通信方法。 The data transmission side includes, as the safety code, a block ID for confirming the storage location of the data frame on the storage unit of the data transmission side,
Wherein the data receiving side, the block ID in the security code received is compared with the address that has been actually sent, claim, characterized in that to verify the safety of the received data frame set items 1 The data communication method described.
前記データ受信側は、受信した安全コード中の更新コードの更新の有無を確認して、受信したデータフレームのデータの安全性を確認することを特徴とする請求項1又は2記載のデータ通信方法。 The data transmission side includes an update code for confirming that data is updated as the safety code,
3. The data communication method according to claim 1, wherein the data receiving side confirms whether or not the update code in the received safety code is updated, and confirms the safety of the data of the received data frame. .
前記入出力モジュールと前記コントローラは、該コントローラで作成した前記システムの設定情報を前記入出力モジュールへダウンロードすることにより、前記安全システムの設定情報をそれぞれ保有する設定情報記憶手段と、
データ送信側で、データフレームを送信する際に、データ及び設定事項の安全性を確認するための安全コードとして、前記データ送信側に保有している設定情報から抽出した送受信対象を特定するデバイスIDと、前記データ送信側に保有している設定情報を基に生成した設定情報CRCコードと、送信するデータフレームを基に生成するCRCコードとを含ませ、前記安全コードをデータに付加したデータフレームを生成するデータフレーム生成手段と、
データ受信側で、受信したデータフレームを記憶手段上に展開し、受信した安全コード中のCRCコードと、受信したデータフレームを基に生成したCRCコードとを比較して、受信したデータフレームのデータの安全性を確認した後、受信した安全コード中のデバイスIDと、前記データ受信側に保有している設定情報から抽出したデバイスIDとを比較して、受信したデータフレームの設定事項の安全性を確認するとともに、受信した安全コード中の設定情報CRCコードと、前記データ受信側に保有している設定情報を基に生成した設定情報CRCコードとを比較して、前記入出力モジュールと前記コントローラが保有する設定情報の同一性を確認する安全コードチェック手段と、
を有することを特徴とする安全システム。 In a safety system that performs data communication between the input / output module that exchanges signals with the plant and the controller,
The input / output module and the controller are configured to store setting information of the safety system by downloading the setting information of the system created by the controller to the input / output module, respectively.
A device ID that identifies a transmission / reception target extracted from the setting information held by the data transmission side as a safety code for confirming the safety of data and setting items when transmitting a data frame on the data transmission side A data frame including a setting information CRC code generated based on the setting information held on the data transmission side and a CRC code generated based on the data frame to be transmitted, and adding the safety code to the data Data frame generating means for generating
On the data receiving side, the received data frame is expanded on the storage means, the CRC code in the received safety code is compared with the CRC code generated based on the received data frame, and the data of the received data frame After confirming the safety of the device, the device ID in the received safety code is compared with the device ID extracted from the setting information held on the data receiving side, and the safety of the setting items of the received data frame And comparing the setting information CRC code in the received safety code with the setting information CRC code generated based on the setting information held on the data receiving side, and the input / output module and the controller A safety code check means for confirming the identity of the setting information held by
A safety system characterized by comprising:
前記コントローラから前記入出力モジュールへ送信する出力データフレームは、前記コントローラのステータス情報を有することを特徴とする請求項5記載の安全システム。 Of the data frames, an input data frame transmitted from the input / output module to the controller has status information of the input / output module,
6. The safety system according to claim 5 , wherein an output data frame transmitted from the controller to the input / output module includes status information of the controller.
前記ステータス判断手段の入力のうち、前記入出力モジュールのステータス入力部をアサートするとともに、前記入力データフレームにて前記入出力モジュールのステータスを前記コントローラに渡す際に、前記ステータス判断手段の入力のうち、前記コントローラのステータス入力部をネゲートしておき、
前記出力データフレームにて前記コントローラのステータスを受け、該ステータスにて前記ステータス判断手段のコントローラのステータス入力部がアサートされたときに前記ステータス判断手段は有効となることを特徴とする請求項5又は6記載の安全システム。 The input / output module has status determination means for determining the status of the input / output module and the status of the controller,
Among the inputs of the status determination unit, the status input unit of the input / output module is asserted and the status of the input / output module is passed to the controller in the input data frame. , Negate the status input part of the controller,
Receiving a status of the controller in the output data frame, or claim 5, characterized in said status determining means to become effective when the status input section of the controller of the status determination means at said status is asserted 6. The safety system according to 6 .
前記ステータス判断手段の入力のうち、前記コントローラのステータス入力部をアサートするとともに、前記出力データフレームにて前記コントローラのステータスを前記入出力モジュールに渡す際に、前記ステータス判断手段の入力のうち、前記入出力モジュールのステータス入力部をネゲートしておき、
前記入力データフレームにて前記入出力モジュールのステータスを受け、該ステータスにて前記ステータス判断手段の入出力モジュールのステータス入力部がアサートされたときに前記ステータス判断手段は有効となることを特徴とする請求項5乃至7のいずれかに記載の安全システム。 The controller has status determination means for determining the status of the controller and the status of the input / output module,
When the status input unit of the controller is asserted among the inputs of the status determination unit and the status of the controller is passed to the input / output module in the output data frame, Negate the status input part of the entry output module,
The status determination unit is enabled when the status of the input / output module is received in the input data frame and the status input unit of the input / output module of the status determination unit is asserted based on the status. The safety system according to any one of claims 5 to 7 .
該コントローラは、前記入出力モジュールの起動を要求する起動要求ステータスを前記出力データフレームにて前記入出力モジュールに渡し、
該入出力モジュールは、起動する準備が整ったことを知らせる起動準備完了ステータスを前記入出力データフレームにて前記コントローラに渡し、
該コントローラは、起動を許可する起動許可ステータスを前記出力データフレームにて前記入出力モジュールに渡し、
該入出力モジュールは、フェイルセーフデータを使用しているフェイルセーフ動作から通常動作に切り替えることを特徴とする請求項5乃至8のいずれかに記載の安全システム。 The input / output module passes a fail return status informing the failure return to the controller in the input data frame,
The controller passes an activation request status requesting activation of the input / output module to the input / output module in the output data frame,
The I / O module passes a startup ready status in the I / O data frame to inform the controller that it is ready to start,
The controller passes a start permission status permitting start to the input / output module in the output data frame,
The safety system according to any one of claims 5 to 8 , wherein the input / output module switches from a fail-safe operation using fail-safe data to a normal operation.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005104528A JP4140615B2 (en) | 2005-01-28 | 2005-03-31 | Data communication method and safety system |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005021747 | 2005-01-28 | ||
JP2005104528A JP4140615B2 (en) | 2005-01-28 | 2005-03-31 | Data communication method and safety system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006236301A JP2006236301A (en) | 2006-09-07 |
JP4140615B2 true JP4140615B2 (en) | 2008-08-27 |
Family
ID=37043836
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005104528A Active JP4140615B2 (en) | 2005-01-28 | 2005-03-31 | Data communication method and safety system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4140615B2 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
ATE472839T1 (en) * | 2007-02-27 | 2010-07-15 | Siemens Ag | ASI NETWORK FOR EXPLOSIVE AREAS |
JP5233634B2 (en) * | 2008-12-12 | 2013-07-10 | 横河電機株式会社 | Field communication system and field communication method |
JP6641536B1 (en) | 2018-12-27 | 2020-02-05 | 三菱電機株式会社 | Data collection device, method, and program |
-
2005
- 2005-03-31 JP JP2005104528A patent/JP4140615B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2006236301A (en) | 2006-09-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100595746C (en) | Method and device of bus coupling safe related course | |
JP4309296B2 (en) | Error tolerant computer control system, vehicle equipped with the system and aircraft equipped with the system | |
US7328369B2 (en) | Inherently fail safe processing or control apparatus | |
CN100480913C (en) | Safety-oriented control system | |
JP4828155B2 (en) | Storage system | |
JPH04359322A (en) | Backup method for general-purpose input/output redundancy method in process control system | |
JP2002358106A (en) | Safety controller | |
US20080215913A1 (en) | Information Processing System and Information Processing Method | |
JP4140615B2 (en) | Data communication method and safety system | |
EP2680148B1 (en) | Information processing system, output control device, and data generating device | |
US6487695B1 (en) | Method for providing fail-safe secure data transmission between a numerical control system and a spatially separate unit | |
JP2008146236A (en) | Duplex control device and redundancy method of its control right setting signal | |
CN107038095B (en) | Method for redundantly processing data | |
JP2006155678A (en) | Multiplexing control system and multiplexing method | |
JP2008009794A (en) | Programmable electronic controller, and communication control method for programmable electronic apparatus | |
CN101098211B (en) | Sending control device, receiving control device, and communication system | |
JP3858696B2 (en) | Multiplexing control system and multiplexing method thereof | |
US9241043B2 (en) | Method of connecting a hardware module to a fieldbus | |
JP5544099B2 (en) | Controller communication method and controller communication device | |
JP2007323190A (en) | Calculation control system for performing data communication and its communication method | |
US20200287845A1 (en) | Method and system for a geographical hot redundancy | |
JP6059652B2 (en) | Signal security control device | |
JP2018160030A (en) | Control device, control method and fault-tolerant device | |
JP3962956B6 (en) | Information processing apparatus and information processing method | |
JPS59157759A (en) | Dual system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20071127 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20071206 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080204 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20080225 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080423 |
|
A911 | Transfer of reconsideration by examiner before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20080501 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080520 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080602 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110620 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4140615 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130620 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140620 Year of fee payment: 6 |