JPS6020202A - Data management system of multiple control system - Google Patents

Data management system of multiple control system

Info

Publication number
JPS6020202A
JPS6020202A JP58129776A JP12977683A JPS6020202A JP S6020202 A JPS6020202 A JP S6020202A JP 58129776 A JP58129776 A JP 58129776A JP 12977683 A JP12977683 A JP 12977683A JP S6020202 A JPS6020202 A JP S6020202A
Authority
JP
Japan
Prior art keywords
controller
control
data
determined
charge
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP58129776A
Other languages
Japanese (ja)
Other versions
JPH0619641B2 (en
Inventor
Kazuo Asami
浅見 一夫
Kenji Yamamoto
健二 山本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Engineering Co Ltd
Hitachi Ltd
Original Assignee
Hitachi Engineering Co Ltd
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Engineering Co Ltd, Hitachi Ltd filed Critical Hitachi Engineering Co Ltd
Priority to JP58129776A priority Critical patent/JPH0619641B2/en
Publication of JPS6020202A publication Critical patent/JPS6020202A/en
Publication of JPH0619641B2 publication Critical patent/JPH0619641B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/182Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits based on mutual exchange of the output between redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/183Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
    • G06F11/184Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/187Voting techniques
    • G06F11/188Voting techniques where exact match is not required

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Safety Devices In Control Systems (AREA)
  • Hardware Redundancy (AREA)

Abstract

PURPOSE:To improve reliability by inputting and calculating status quantity of a controlled system to plural controlling device in parallel, exchanging the result in an information transmitting path, mutually diagnosing the result of calculation by majority logic and using controlling output which is judged as correct. CONSTITUTION:Plural controllers 10, 12, 14 are driven by an independent power source, and process data 34, 36, 38 from a controlled system 32 are inputted to controllers 10, 12, 14 through a sensor not shown in the figure and via separate lines l1-l3. Controllers 10, 12, 14 receive triplicated command information 40. Controllers 10, 12, 14 are mutually connected by information transmitting lines 16, 18, 20 and exchange the result of operation. Controllers 10, 12, 14 make controlling operation according to the command information 40 and process data 34, 36, 38. Further, they make mutual diagnosing with reference to exchanged information and determine optimum controlling quantities 22, 24, 26, and send them to a majority judging circuit 28, and control the controlled system 32 by a judged signal 30. In this way, highly reliable control can be performed.

Description

【発明の詳細な説明】 〔発明の利用分野〕 本発明は、制御対象の状態量を複数の制御装置に並行し
て入力して処理し、制御対象を制御する多重系によるプ
ロセス制御システムのデータ管理方式に関する。[Detailed Description of the Invention] [Field of Application of the Invention] The present invention relates to data processing for a process control system using a multiple system that inputs and processes state quantities of a controlled object to a plurality of control devices in parallel to control the controlled object. Regarding management methods.

〔発明の背景〕[Background of the invention]

従来の高信頼度を目的としたプロセス制御用の多重系シ
ステムは、三系列以上の処理装置を有している場合でめ
っても基本的な考え方は二重系、即ちンユアルシステム
又はデユープレックスシステムの場付と同様であ9、二
早列の処理装置に対するバックアップ系が準備されてい
るにすぎない。Conventional multi-system systems for process control aimed at high reliability are based on a dual system, that is, a dual system or dual system, even if they have three or more systems of processing equipment. This is similar to the installation of the Uplex system9, and only a backup system is prepared for the two processing units in line.

このため、三重系以上のシステムを有していても、処理
をしてい名2つの装置間に相違が生じた場合には、いず
れが正しいかを判断することが困一であり、信頼性を損
う杜かりでなく、回復時間が長く入る欠点がある。For this reason, even if you have a system with three or more systems, if a discrepancy occurs between two devices during processing, it is difficult to determine which one is correct, and reliability is compromised. It does not damage the forest, but it does have the disadvantage of taking a long time to recover.

〔発明の目的〕[Purpose of the invention]

本発明は、前記従来技術の欠点を解消するためになされ
たもので、信頼性の高い多重系制御システムにおけるデ
ータ管理方式を提供することを目的とする。The present invention was made in order to eliminate the drawbacks of the prior art, and an object of the present invention is to provide a highly reliable data management method in a multi-system control system.

〔発明の概要J 本発明は、f11.w!Lの制御装置を情報伝送路を介
して相互に連結し、一制御装置が演算した演算結果を情
報伝送路を介して相互に他の制御装置に入力し、各制御
装置において多数決論理に基づき演算結果を相互診断し
、相互診断の結果正しいと判定し角制御出力をもって制
御対象を制11TIL、各制.:9装置間の演算結果に
不一致が生じた場合においても正しい制御出力を得るこ
とができるように構成したものである。[Summary of the Invention J The present invention provides f11. Lol! The L control devices are interconnected via an information transmission path, and the calculation results calculated by one control device are mutually input to the other control devices via the information transmission path, and each control device performs calculations based on majority logic. The results are cross-diagnosed, and if the cross-diagnosis results are determined to be correct, the controlled object is controlled using the angle control output.11TIL, each control. :9 Even if there is a discrepancy in the calculation results between the devices, a correct control output can be obtained.

〔発明の実施例〕[Embodiments of the invention]

第1図は、本発明に係る多重系制御システムのデータ管
理方式の実施例の基本構成図である。FIG. 1 is a basic configuration diagram of an embodiment of a data management method for a multi-system control system according to the present invention.

第1図において、第1コストローラ1oと第2コントロ
ーラ12と第3コントローラ14とがそれぞれ第1通信
回線16、第2通信回線18、第3通信回線20により
相互に連結されている。そして、第1コントローラ10
、第2.コントローラl2、第3コントローラ140制
御出力22。In FIG. 1, a first cost roller 1o, a second controller 12, and a third controller 14 are interconnected by a first communication line 16, a second communication line 18, and a third communication line 20, respectively. And the first controller 10
, 2nd. controller l2, third controller 140 control output 22;

24、26がそれぞれ多数決判定回路2Bに入力でき今
ようになっており、多数決判定回路28が選定した制御
出力30が制御対象32を制御するようになっている。24 and 26 can each be input to the majority decision circuit 2B, and the control output 30 selected by the majority decision circuit 28 controls the controlled object 32.

制御対象32の状態1であるプロセスデータ(#速値)
34,36.38は、それぞれ個別の図示しないセンサ
を介して独立のラインにより第1コントローラ10、第
2コントローラ12、第3コントローラ14に入力され
る。Process data (#speed value) that is state 1 of controlled object 32
34, 36, and 38 are input to the first controller 10, second controller 12, and third controller 14 through independent lines through individual sensors (not shown).

また、指令情報40も三重化され、独立した伝送路によ
り各コントローラ10,12.14に入力される。これ
ら第1コントローラtoXgzコントローラl2、第3
コントローラ14は、それぞれ独立した電源を有してお
シ、各コントローラに入力される帰還値と指令値とを基
にして、雫独の制御系として作,動するようになってい
る。Further, the command information 40 is also triplexed and input to each controller 10, 12.14 through an independent transmission path. These first controller to Xgz controller l2, third
The controllers 14 each have an independent power source, and operate as an independent control system based on feedback values and command values input to each controller.

第2図は、第1コントローラ10の処理概要を示してお
シ、第2コントローラ12、第3コントローラ14も同
様の処理を行なう。第2図において、自己のコントロー
ラ、即ち第1コントローラ10に対するプロセスデータ
34や指令情報40は、プロセスデータ入力処理部42
において工学値変換やフィルタ処理、リミトチェツク等
が行なわれ、制御演算部44において演算処理され、演
算結果46が相互診断部48に入力される。また、相互
診断部48には、第.2コントローラ120演算結果5
0が第1通信回線16、他系データ受信部52を介して
入力され、第3コントローラ14の演算結果54が第3
通信回線20、他系データー受信部56を介して入力さ
れる。4i4互診断部48は、入力された演算結果46
,50.54から詳細【後述する多数決判定論理に基づ
き相互診断を行ない、今回の相互診断結果58を診断結
果の報告と最適制御量の選択部60に入力するととも、
に、各演算結果46.50.54を診断結果の報告と最
適制御基の選択部60に入力する。この診断結果の報告
と最適制御量の選択部60は、今回の相互診断結果58
1に受けて第1コントローラlO独自の判断に基づき、
表1に示す相互診断アルゴリズムKJtつて第1コント
ロトラ10に対する診断結果62、Is2コントローラ
12に対する診断結果64、第3コントローラ14に対
する診断結果66、をめ、最適制御指令値68とともに
制御出力22として多数決判定回路28に送る。FIG. 2 shows an overview of the processing of the first controller 10, and the second controller 12 and third controller 14 also perform similar processing. In FIG. 2, process data 34 and command information 40 for its own controller, that is, the first controller 10, are stored in a process data input processing section 42.
Engineering value conversion, filter processing, limit checking, etc. are performed in the control calculation unit 44, and the calculation result 46 is input to the mutual diagnosis unit 48. In addition, the mutual diagnosis section 48 includes the section. 2 controller 120 calculation result 5
0 is input via the first communication line 16 and the other system data receiving section 52, and the calculation result 54 of the third controller 14 is input to the third
It is input via the communication line 20 and the other system data receiving section 56. The 4i4 mutual diagnosis unit 48 calculates the input calculation result 46.
, 50.Details from 54 [Mutual diagnosis is performed based on the majority decision logic to be described later, and the current mutual diagnosis result 58 is input to the diagnosis result report and optimal control amount selection section 60,
Then, the calculation results 46, 50, and 54 are input to the diagnostic result report and optimal control group selection section 60. The report of this diagnosis result and the selection unit 60 of the optimum control amount are based on the mutual diagnosis result 58 of this time.
Based on the first controller IO's own judgment,
The mutual diagnosis algorithm KJt shown in Table 1 includes the diagnosis result 62 for the first controller 10, the diagnosis result 64 for the Is2 controller 12, and the diagnosis result 66 for the third controller 14, and is determined by a majority as the control output 22 together with the optimum control command value 68. It is sent to the determination circuit 28.

(玖T#的 表 1 表1は、3台のコントローラ10.12.14がそれぞ
れ2台のコントローラの相互診ml用データを組にして
行う相互チェックの結果を示すものである。表1中に示
した○はデータが゛相互に一致したことを示し、×が不
一致であったことを示す。(Table 1 of Table 1 Table 1 shows the results of mutual checks performed by three controllers 10, 12, and 14, respectively, by combining mutual diagnosis ML data of two controllers. The ○ shown in the figure indicates that the data matched each other, and the × indicates that the data did not match.

こ仁に、相互チェックとは、ディジタルデータの1場合
にはビットのON、OFF状況が一致しているか否かの
チェックを示し、アナログデータの場合には2データが
所定の偏差内におるか否かのチェックを示す。In the case of digital data, mutual checking refers to checking whether the ON and OFF states of bits match, and in the case of analog data, checking whether the two data are within a predetermined deviation. Indicates whether or not to check.

なお、本方式では、ケースA8の判定不能の場合を除く
と、明らかに特定のコントローラが不一致であると判定
できるのは、ケースA4,6.7の場合で、これを不一
致のケースとして採用する。In addition, in this method, except for case A8, which cannot be determined, cases A4 and 6.7 are cases in which it can be clearly determined that a specific controller is inconsistent, and these are adopted as cases of disagreement. .

そして、ケースA2,3.5は、アナログデータの場合
に生じ得るが、具体的にどちらのデータの信憑性が低い
かを判定するアルゴリズムが複雑となり、複雑の剛に効
果が薄いことと、ディジタルデータの場合にはあシ得な
いため、ケー′スA1と同様に全て正常とみなす。Cases A2 and 3.5 can occur in the case of analog data, but the algorithm that specifically determines which data is less reliable is complicated, and the effect of complexity is weak, and Since this is not possible in the case of data, it is assumed that everything is normal as in case A1.

第3図は、谷コントローラ10.12.14がそれぞれ
実行する主要処理の概要を示す図である。FIG. 3 is a diagram showing an overview of the main processing executed by the valley controllers 10, 12, and 14, respectively.

第3図において、各コントローラに入力されたプロセス
データは、プロセスデータ入力処理部42においてプロ
セスデータ入力処理100がなされた後、制御演算部4
4において制御演算処理110がなされる。演算結果は
他コントローラとの情報父換120tl−行なった後、
相互診断部48に入力され、相互診断部48においてデ
ィジタルデータ相互診断130、アナログデータ相互診
断140が行なわれる。その後、谷コントローラ舎よ、
演算結果に基づき、診断結果の報告と最適制御基の選択
部60において異盾コントローラ判定処理150を行な
い、自己が制御&41担当か否かの判断160の結果に
基づき、自己が制御中であるときは制御基におけるコピ
ー処理1701行ない、自己が待機中であるときは待機
系におけるコ(ニー処理180を行なった後最終処理1
903行なう。In FIG. 3, the process data input to each controller is subjected to process data input processing 100 in the process data input processing section 42, and then processed in the control calculation section 4.
4, control calculation processing 110 is performed. After 120tl of information exchange with other controllers, the calculation result is
The data is input to the mutual diagnosis unit 48, where digital data mutual diagnosis 130 and analog data mutual diagnosis 140 are performed. After that, the valley controller building,
Based on the calculation results, the diagnostic result report and optimum control group selection unit 60 performs a different shield controller determination process 150, and based on the result of the determination 160 as to whether or not the self is in charge of control & 41, when the self is under control. performs copy processing 1701 in the control group, and when it is on standby, performs copy processing 180 in the standby system, and then executes final processing 1.
Do 903.

第4図は、ディジタルデータ相互診断の処理内容を示し
たものである。まず、ブロック131において第1コン
トローラ10と第2コントローラ12との演算結果+(
p * s oに基づき、ディジタルデータのON、O
FFのチェックを行なう。そして、全ディジタルデータ
の内一点でも不一致が発生したときは、ブロック132
に分岐し、表2に示したカウンタテーブルの第1語目の
第1=第2間ディジタルデータネ一致カウンタエリアの
カウンタを1加算し、今回のサンプル周期のデイジタル
データに不一致があったこと全記録する。FIG. 4 shows the processing contents of digital data mutual diagnosis. First, in block 131, the calculation result between the first controller 10 and the second controller 12 +(
ON, O of digital data based on p*so
Check FF. If a mismatch occurs at even one point among all the digital data, block 132
Branch to 1 and add 1 to the counter in the 1st = 2nd digital data coincidence counter area of the first word of the counter table shown in Table 2, and indicate that there is a mismatch in the digital data in the current sampling period. Record.

表 2 この加真値は、上限が設けられておシ、例えば加算値が
nになったときに、後述するように不一致の原因となる
演算結果を出力しているコントローラが異常と見なされ
、カウントアツプが中止される。一方、ブロック131
におけるディジタルデータのON、OFFチェックの結
果が今ディジタルデータにおいて一致しているときは、
ブロック133に分岐し、表2の第1語口のカウンタを
0クリアしブロック134に進む。以下同様に第2コン
トロー、y12と第1コントローラ14!:のディジタ
ルデータのON、OFFチェックと第1コントローラ1
0と第3コントローラ14とのディジタルデータのON
、OFFチェックが行なわれ、不一致があったときは表
2に示した第2語口。Table 2 This additive value has an upper limit.For example, when the added value reaches n, the controller that is outputting the calculation result that causes the discrepancy is considered to be abnormal, as will be described later. Count up is canceled. On the other hand, block 131
If the result of the ON/OFF check of the digital data matches the current digital data,
The process branches to block 133, where the counter for the first word in Table 2 is cleared to 0, and the process proceeds to block 134. Similarly, the second controller, y12, and the first controller 14! : Digital data ON/OFF check and first controller 1
Turning on the digital data between 0 and the third controller 14
, OFF check is performed, and if there is a discrepancy, the second word mouth shown in Table 2 is used.

第3語目のカウンタを1加算する。Add 1 to the counter for the third word.

アナログデータの相互診断140は、ディジタルデータ
相互診断130と同機ドして行なわれる。Analog data mutual diagnosis 140 is performed simultaneously with digital data mutual diagnosis 130.

ただし、アナログデータ相互診断140においては、ビ
ットデータのON、OFFチェックの代シに2つのデー
タ間における偏差が許容範囲内にあるか否かをもって判
定する。そして、2つのデー、り間における偏差が許容
範囲以上であると自活、表2に示した第4M目から第6
語口までのカウンタエリアのカウンタを1加算し、許容
範囲内であるときLこれらのカウンタをOクリアする。However, in the analog data mutual diagnosis 140, instead of checking whether the bit data is ON or OFF, a determination is made based on whether the deviation between two pieces of data is within an allowable range. If the deviation between the two days is within the allowable range, it is determined that the deviation is within the allowable range.
The counters in the counter area up to the beginning of the word are incremented by 1, and when they are within the allowable range, these counters are cleared.

なお、表2に示した第7語口から第9語口の内容につい
ては第8図の説明において詳述する。The contents of the seventh to ninth mouthpieces shown in Table 2 will be explained in detail in the explanation of FIG.

Qメ下余白ノ 表 3 表3−ij:、表2に示したカウンタテーブルの第1語
口から第6語口までのカウンタ細評による異常コントロ
ーラの判定例を示したもので、第2コントローラ12が
異常であると見なされた場合を例示している。即ち、サ
ンプル周期がN+1のときに第2コントローラ12が異
常となったため、表2の第1語口と第2語口のカウンタ
に1が入れられる。しかL7、この不一致が外乱等によ
る一次的なものである場合もあるため、不一致iEQ回
連続する間は第2コントロー912f:異常であると判
定しない。従って、最初に不一致を検出したサンプル周
期N+1回目からサンプル周期N+fl−1回目までの
期間において連続不一致であっても、コントローラ内に
おいては不一致である状況認知゛ をするが、外部、即
ち多数決列置回路28に対して紘正常でシると報告する
。そして、引続き不一致が発生し、ザンプル周期N+n
回目においても不一致となった4!:l!に、初めて第
2コントローラ12が異常であると補足する。 “ 夢5図は、表1および表3のアルゴリズムに基づいて異
常コントローラ判定処理150を行なう処理内容を示し
たものである。まず、ブロック151において表2の第
1語口から第3語口までのカウンタチェックを行ない、
カウンタの値が1となっているか否かtPAべ、物足の
コントローラ ゛が異常であるか、全て正常か、あるい
は判定不能かを決定する。そして、例えは表3に示した
如く表2の第1#r4目と第2語口のカウンタがnを示
゛しているときは、表1のアルゴリズムに従い、ブロッ
ク152において第2コントローラ12を異常と判定し
、その旨を多数決判定回路28に対する報告内容とする
。一方、表2の第1回目から第3回目までのカウンタの
数値がnとなっていたときには、表1に示したアルゴリ
ズムに従い判定不能と決定し、自己のコントローラのみ
正常と判定して多数決判定回路28に報告する。そして
、ディジタルデータに対して全てのコントローラが正常
であるときは、引続きブロック154において−アナロ
グデータの相互診断結果をめ、同様の処理を行なう。ア
ナログデータに対してコントローラが正常でろるときは
、コントローラは全て正常と判定し、多数決判定口w1
28に報告する。Table 3 in the lower margin of Q. 12 is considered to be abnormal. That is, since the second controller 12 becomes abnormal when the sampling period is N+1, 1 is entered in the counters for the first word mouth and the second word mouth in Table 2. However, L7, since this mismatch may be temporary due to disturbance or the like, the second controller 912f does not determine that there is an abnormality while the mismatch continues iEQ times. Therefore, even if there is a continuous mismatch in the period from the N+1st sample period in which a mismatch is first detected to the N+fl-1st sample period, the situation is recognized as a mismatch within the controller, but externally, that is, the majority voting It is reported to the circuit 28 that Hiro is normal. Then, mismatch continues to occur, and the sample period N+n
There was also a disagreement in the 4th time! :l! Then, for the first time, it is supplemented that the second controller 12 is abnormal. “Dream 5 diagram shows the processing content of the abnormal controller determination process 150 based on the algorithms in Tables 1 and 3. First, in block 151, the processing from the first to third utterances in Table 2 is performed. Check the counter of
tPA determines whether the counter value is 1 or not, and determines whether the controller of the controller is abnormal, whether everything is normal, or whether it cannot be determined. For example, as shown in Table 3, when the counters of the first #r4th word and the second word in Table 2 indicate n, the second controller 12 is activated in block 152 according to the algorithm of Table 1. It is determined that there is an abnormality, and this fact is reported to the majority decision circuit 28. On the other hand, when the value of the counter from the first to the third time in Table 2 is n, it is determined that the determination is impossible according to the algorithm shown in Table 1, and only the own controller is determined to be normal, and the majority decision circuit Report on 28th. If all the controllers are normal with respect to the digital data, then in block 154, the mutual diagnosis result of the analog data is obtained and the same processing is performed. When the controller is normal with respect to the analog data, it is determined that all the controllers are normal, and the majority decision port w1
Report on 28th.

第6図は、第3図に示した制御系におけるqビー処理1
70の処理内容を示したものであり、−制御担当コント
ローラにおける相互診断処理後の補正処理である。また
、第7図は、第3図の待機系におけるコピー処理180
の内容を示したものであフ、待機中制御コントローラに
おける相互診断処理後の補正処理を示したものである。Figure 6 shows qBee processing 1 in the control system shown in Figure 3.
70, which is a correction process after the mutual diagnosis process in the controller in charge of control. Further, FIG. 7 shows the copy processing 180 in the standby system of FIG.
This figure shows the content of the correction process after the mutual diagnosis process in the standby controller.

第5図に従い異常コントローラ判定処理150を行なっ
た後、各コントローラは自己が制御担当コントローラで
あるか待機中制御コントローラであるかを判断する。制
御担当コントリーラの出力゛は、プロセスに直接反映さ
れるため、自己のデータが1回でも不一致と見なされた
場合には、データを補正して出力すべきである。しかし
、異常検出アルゴリズムは、表3に示した如くn回連続
して不一致の状態をもって異常と見なすようになってお
υ、1からn−1までの間は、外部に対して正常である
と報告するようになっている。そこで、例えは第2コン
トローラ12を制御担当コントローラとすると、第2コ
ントローラ12は、ブロック171において表2に示し
3m1語目小口第6回目までのカウンタをh度チェック
する。そして、サンプル周期がNのときは表3に示す如
くデータに不一致が発生していないため、自己のデータ
をそのまま制御対象に出力し、制御対象を制御する。After performing the abnormal controller determination process 150 according to FIG. 5, each controller determines whether it is the controller in charge of control or the controller on standby. Since the output of the controller in charge of control is directly reflected in the process, if its own data is deemed to be inconsistent even once, the data should be corrected and output. However, as shown in Table 3, the abnormality detection algorithm considers n consecutive mismatches to be abnormal, and the period from 1 to n-1 is considered normal to the outside world. It is supposed to be reported. Therefore, for example, assuming that the second controller 12 is the controller in charge of control, the second controller 12 checks the counter h times as shown in Table 2 up to the 6th 3m1 word edge in block 171. When the sampling period is N, as shown in Table 3, no discrepancy occurs in the data, so the own data is output as is to the controlled object, and the controlled object is controlled.

しかし、サンプル周期がN+1からN 十n−1の状態
においては、自己のデータが不一致発生(換言すると多
数決で負けた)であると見なし、ブロック172におい
て自己の出力データの部分のみを、他の待機中制御コン
トローラの当該データと置き換え出力する。従つ°【、
サンプル周期N+1からN+n−1の間においては、表
面的には異常とし雇い期間であっても、常に多数決を得
たよシ信憑性の^い出力値をプロセスに反映できるため
、制御担当コントローラ内における一過性のデータ変動
を押えることができ″、信頼性が高まる。However, in a state where the sampling period is from N+1 to N10n-1, it is assumed that a mismatch has occurred in the own data (in other words, the majority vote has lost), and in block 172 only the part of the own output data is transferred to the other data. The data is replaced with the relevant data of the standby controller and output. Follow ° [,
During the sampling period N+1 to N+n-1, even if it appears to be abnormal on the surface, reliable output values obtained by a majority vote can always be reflected in the process. Temporary data fluctuations can be suppressed, improving reliability.

第7図は、待機系におけるコピー処理180の内容を示
したものである。自己が待機中制御コントローラである
場合には、自己の出力はプロセスに反映されず、制御系
のバックアップ役となっている。そこで、待機中制御コ
ントローラが制御担当コントローラから制御憤を移行さ
れた場合に、バンプレス制御を行なうことができるよう
に相互診断後における主系に対する追従と、異常時の自
動回復機能とをもたせている。FIG. 7 shows the contents of copy processing 180 in the standby system. When it is a standby controller, its output is not reflected in the process, and it serves as a backup for the control system. Therefore, in order to be able to perform bumpless control when the standby controller is transferred control from the controller in charge, we have provided a system that follows the main system after mutual diagnosis and has an automatic recovery function in the event of an abnormality. There is.

まず1、第7図のブロック181において、待機中j!
II #コントローラは、自己の出力した演算結果がサ
ンプル周期のn回に渡って連続して不一致となシ自己が
異常とされたか否かを判断する。そして、自己が異常で
ないと判断したときには、ブロック182において判定
不能か否かのチェックを行ない、自己が異常であるとき
に扛ブロック184に分岐し制御担当コントローラの全
データをコピーする。また、ブロック182において自
己が¥ll定面能あると判断した場合にも、ブロック1
84において制御担当コントローラの全データをコピー
するっ一方、自己が異常でもなく、判定下′能でない場
合には、ブロック183において自己の出力するデータ
に不一致が発生したか吉かをチェックし、°不一致が発
生していないときにはブロック184においそ制御担当
コントローラの全データをコピーする。自己のデータに
不一致が発生し、゛しかもその不一致がn回連続してい
ない1からn−1回にあたるときは、制御担当コントロ
ーラのデータをコピーせず、主系への追従を行なわない
First, in block 181 of FIG. 7, waiting j!
II #The controller determines whether or not the computation results outputted by the controller are determined to be abnormal if the calculation results thereof do not match continuously over n sample periods. When it is determined that the controller itself is not abnormal, it is checked in block 182 whether or not it cannot be determined, and if the controller itself is abnormal, it branches to block 184 and copies all data of the controller in charge of control. Also, when it is determined in block 182 that the self has \ll fixed surface ability, block 1
At block 84, all data of the controller in charge of control is copied, and if the controller itself is neither abnormal nor incapable of judgment, it is checked at block 183 whether a discrepancy has occurred in the data output by the controller; If no mismatch has occurred, all data of the controller in charge of Oiso control is copied in block 184. When a discrepancy occurs in its own data, and the discrepancy occurs from 1 to n-1 times, which is not n consecutive times, the data of the controller in charge of control is not copied and the control is not followed to the main system.

これは、不一致がn回連続して発生し、異常と決定する
まで様子をみるものである。この待機中制御コントロー
ラがブロック184において制伸担当コントローラの全
データをコピーするのは次の3つの理由による。This is to monitor the situation until the mismatch occurs n times in a row and is determined to be abnormal. There are three reasons why the standby controller copies all data of the braking controller in block 184.

(11正常時におけるコピーは、比例績分演算等の積分
項の誤差積重ねを防止する。(11) Copying during normal operation prevents errors from accumulating in integral terms such as proportional performance calculations.

(2)判定不能の場合におけるコヒーは、孤立化を防止
する。(2) Cohey in undeterminable cases prevents isolation.

(3) 自己が異常と判定された場合におけるコピーは
、内部リセットを行ない制御系と等しい状態にし、自動
回復を実現する。(3) When the copy is determined to be abnormal, it performs an internal reset to the same state as the control system, and realizes automatic recovery.

なお、自己のデータに不一致が発生しない場合における
制卸担当コントローラのデータコピーは、システムの構
成や、プログラムの簡単化等を考慮して行なわなくても
よい。Note that the data copying of the controller in charge of wholesale control when no discrepancy occurs in its own data does not need to be performed in consideration of the system configuration, program simplification, etc.

第8図は、第3図に示した終了処理190の内科を示し
たものであシ、多数決判定回路28の誤動作防止を目的
としている。即ち、各コントローラ10,12.14は
、別個めタイマによシ独立したサンプリング演算を行な
っているため、出力タイミングが一致せず各コントロー
ラが瞬間的に同期せずに異常情報を出力したシ、あるい
はその異常情報が1サンプル周Jg3分のみだった場合
、多数決判定回路28に応答不良や誤動作が発生し、予
定通シのコントローラの切換えができなくなる場合があ
る。そこで、多数決判定回1l)I)28の誤動作を防
止するため、異常コントローラの存在が一度g識される
と、その異常状態を一定時間持続し、異常状態を解除す
るための立下υ1訂号を一定時間遅延させる方法を用い
た。FIG. 8 shows the internal procedure of the termination process 190 shown in FIG. 3, and is intended to prevent the majority decision circuit 28 from malfunctioning. That is, since each controller 10, 12, 14 performs independent sampling calculations using separate timers, the output timings may not match and the controllers may output abnormal information without synchronizing momentarily. Alternatively, if the abnormality information is only for one sample cycle Jg3 minutes, poor response or malfunction may occur in the majority decision circuit 28, and the scheduled controller switching may not be possible. Therefore, in order to prevent the malfunction of the majority decision circuit 1l) I) 28, once the existence of an abnormal controller is recognized, the abnormal state is maintained for a certain period of time, and the fall υ1 version is used to release the abnormal state. A method was used in which the process was delayed for a certain period of time.

まず、第8図のブロック191において判□断対象とな
る当該コントローラは、今回異常゛と判定されたか否か
を判断し、異常と判定された場合にはブロック°192
において表2に示したカウンタテーフ゛ルの第781#
目から第9回目の当該コントローラのコントローラエラ
ーホールドカウンタに初期値mf上セツトる。その後、
ブロック193において工)−ホールドカウンタが0で
ないことを確認し、ブロック195において当該コント
ローラは今回異常であると見なし、エラーホールドカウ
ンタ1に1減算した後、次のコントローラのチェックを
行なう。そして、次のサンプル周期においても当該コン
トローラが異常と判定された場合には、エラーホールド
カウンタの初期値をセットしなおし、以下前記したと同
′様に処理を行なう。First, in block 191 of FIG. 8, the controller to be judged □ judges whether or not it has been judged to be abnormal this time. If it is judged to be abnormal, block 192
781# of the counter table shown in Table 2
The controller error hold counter of the controller for the ninth time is set above the initial value mf. after that,
In block 193, it is confirmed that the hold counter is not 0, and in block 195, the controller in question is considered to be abnormal this time, and after subtracting 1 from the error hold counter 1, the next controller is checked. If the controller is determined to be abnormal in the next sampling period, the initial value of the error hold counter is reset, and the same processing as described above is performed.

一方、ブロック191において今回異常でないと判定さ
れたときには、ブロック193に分岐し、エラーホール
ドカウンタが0か否かを調べ、エラーホールドカウンタ
が0の時は、ブロック194にお仏て当該コシトローラ
は正常であると見なし、次のコントローラのチェック金
石なう。しかし、ブロック191において今回異常でな
いと判断され、しかもブロック193においてエラーホ
ールドカウンタが0でないことが明らかになったときは
、゛ブロック195に分岐し当該コントローラが異常表
示ホールド期間中であると見なし、エラーホールドカウ
ンタを1減算して次のコントローラのチェックを行なう
。このようにして一定サンプル周期の間連続してエラー
ホールドカウンタがOでないことが確認されると、当該
コントローラは異常であることふ決定され、他のコント
“ローラのデータをコピーする。On the other hand, if it is determined in block 191 that there is no abnormality this time, the process branches to block 193 to check whether the error hold counter is 0 or not. Assuming that the following controller checks are now available. However, if it is determined in block 191 that there is no abnormality this time, and furthermore, in block 193 it becomes clear that the error hold counter is not 0, the process branches to block 195 and the controller is deemed to be in the abnormality display hold period. The error hold counter is decremented by 1 and the next controller is checked. In this way, if it is confirmed that the error hold counter is not O continuously for a certain sample period, it is determined that the controller is abnormal, and the data of the other controller is copied.

上記の如くして全コントローラのチェックが終了したこ
と金ブロック197において確認したときには、ブロッ
ク198において自己が判定した全コントローラの制御
量と診断結果を制御指令、判定結果と、して多数決判定
回路28に出力する。When it is confirmed in block 197 that the checking of all the controllers has been completed as described above, in block 198 the control amount and diagnosis result of all the controllers judged by itself are used as control commands and judgment results, and the majority judgment circuit 28 Output to.

多数決判定回路28は、各コントローラ1O912,1
4からの診断結果に基づき、もつとも得票数の゛多いコ
ントローラにより制御を行なうよう指示をする。従って
、多数決判定回路28における誤動作率が極端に減少さ
せることができる。しかも、制御に反映されるデータは
、゛必ず多数決を得たもつとも信憑性の商いものが用い
られることになり、より適切な制御全行なうことができ
る。The majority decision circuit 28 includes each controller 1O912, 1
Based on the diagnosis result from step 4, the controller with the highest number of votes is instructed to perform control. Therefore, the malfunction rate in the majority decision circuit 28 can be extremely reduced. Furthermore, the data reflected in the control will always be based on the credibility of the majority vote, making it possible to perform more appropriate control.

また、個個のコントローラは、それぞれ独立して演算を
行なうようになっておシ、共通モード故障を最小化する
ことができるとともに、待機中制御コントローラが制御
担当コントローラに追従するようにしておるため、コン
トローラの切換時におけるパンプレス制御を実現してい
る。そして、特定のコントローラに異常が発生した場合
においても、当該コントローラは自己を異常であると報
告し、正しいデータをコピーして自動復帰するようにな
っている。In addition, since each controller performs calculations independently, common mode failures can be minimized, and the standby controller can follow the controller in charge of control. , realizes pan press control when switching controllers. Even if an abnormality occurs in a specific controller, the controller will report itself as abnormal, copy correct data, and automatically recover.

〔発明の効果〕〔Effect of the invention〕

以上説明したように本発明によれば、三重以上の処理系
列を有する多重系制御システムにおいてよシ信頼性の高
い制御を行なうことができる。As explained above, according to the present invention, highly reliable control can be performed in a multi-system control system having three or more processing sequences.

【図面の簡単な説明】[Brief explanation of drawings]

第1図は本発明に係る多重系制御システムのデータ管理
方式における制御装置の実施例の基本構成図、第2図は
前記実施例のコントローラにおける処理内容を示す図、
第3図は前記実施例のコントローラにおける主要処理の
実施例のa’*を示す流れ図、第4図は第3図に示した
ディジタル相互診断の処理内容を示す図、第5図は第3
図に示した異常コントローラ判定処理の実施例の説明図
、第6図は第3図に示した制御系におけるコピー処理の
実施例の説明図、第7図は第3図に示した待機系におけ
るコピー処理の説明図、第8図は第3図に示した終了処
理の実施例の説明図である。 10・・・第1コントローラ、12・・−1B2コント
ローラ、14・・・第3コントローラ、16・・・第1
通信回線、18・・・第2通信回線、20・・・第3通
信回物、28・・・多数決判定回路、32・・・制御対
象、46゜50.54・・・演算結果。 代理人 弁理士 鵜沼辰之 $I ロ 茅2 図 Jf、、3 ロ 茅4−口 茅、f目 12− 第t 口 第7 目 茅δ口FIG. 1 is a basic configuration diagram of an embodiment of a control device in a data management system of a multi-system control system according to the present invention, and FIG. 2 is a diagram showing processing contents in the controller of the embodiment.
FIG. 3 is a flowchart showing a'* of the main processing in the controller of the embodiment, FIG. 4 is a diagram showing the processing contents of the digital mutual diagnosis shown in FIG. 3, and FIG.
6 is an explanatory diagram of an embodiment of the abnormal controller determination process shown in the figure, FIG. 6 is an explanatory diagram of an embodiment of the copy process in the control system shown in FIG. 3, and FIG. FIG. 8 is an explanatory diagram of the example of the termination process shown in FIG. 3. 10...first controller, 12...-1B2 controller, 14...third controller, 16...first
Communication line, 18... Second communication line, 20... Third communication circuit, 28... Majority decision circuit, 32... Controlled object, 46° 50.54... Calculation result. Agent Patent Attorney Tatsuyuki Unuma $I Rokou 2 Figure Jf,, 3 Rokou 4-Kaya, f 12-th t mouth 7th Kaya δ mouth

Claims (1)

【特許請求の範囲】 1、制御対象′の状態量を複数の制御装置に並行して入
力し、これら複数の制御装置の1′)が′前記制御対象
を制御する制御担当コントローラとされ、他の制御装置
が待機中制御コントローラである多重系制御システムの
データ管理方式において、前記各制御装置は情報伝送路
により相互に接続され、それぞれ独立して演算した演算
結果を前記情報伝送路を介して相互に他の制御装置に入
力するとともに、前記制御担当コントローラは前記各制
御装置が自己の演算結果と他の制御装置の演算結果とか
ら多数決論理に基づく相互診断によ′シ選択した制御出
力データをもって前記制御対象を制御することを特徴と
する多重系制御システムのデータ管理方式。 2、前記制御担当コントローラは、各サンプル周期の前
記相互診断において、自己の演算結果が誤シであると判
定された場合に、正しいと判定された前記待機中制御コ
ントローラから出力データのみをコピーして出力し、予
め定めた連続するサンプル周期を通して誤シであると判
定された場合に、自己を異常と報告し、制御権を前記待
機中制御コントローラの1つに移行した後に正しいと判
定された全データをコピーし、自己を待機中制御コント
ローラとして自動再スタートすることを特徴とする特許
請求の範囲第1項記載の多重系制御システムのデータ管
理方式。 3、前記待機中制御コントローラは、各サンプル周期の
前記相互診断において、自己の演算結果が正しいと判定
された場合に、前記制御担当コントローラのデータをコ
ピーし、誤差の積算を防止することを特徴とする特許請
求の範囲第1項または第2項記載の多重系制御システム
のデータ管理方式。 4、前記待機中制御コントローラは、各サンプル周期の
前記相互診断において、自己の演算結果が誤シであると
判定された場合であっても、前記制御担当コントローラ
のデータをコピーせず、前記予め定めた連続するサンプ
ル周期を通して自己の演算結果が!%!49であると判
定された場合に、自己を異常と報告し、前記制御担当コ
ントローラの全データ紮コピーシ、待機中制御コントロ
ーラとして再スタートすることを特徴とする特許 第1項ないし第3項記載の多重系制御システムのデータ
管理方式。[Scope of Claims] 1. The state quantity of the controlled object' is input in parallel to a plurality of control devices, and one of these plural control devices 1') is assumed to be the controller in charge of controlling the controlled object, and the others are In a data management system for a multi-system control system in which a control device is a standby control controller, each of the control devices is interconnected by an information transmission path, and each independently calculated result is transmitted via the information transmission path. In addition to inputting mutually to other control devices, the controller in charge of control receives control output data selected by each control device through mutual diagnosis based on majority logic from its own calculation results and the calculation results of other control devices. A data management method for a multi-system control system, characterized in that the control target is controlled using the following. 2. The controller in charge of control copies only the output data from the standby controller that has been determined to be correct, if it is determined that its own calculation result is incorrect in the mutual diagnosis of each sample period. If it is determined to be erroneous through a predetermined consecutive sampling period, it will report itself as abnormal, and after transferring control authority to one of the standby controllers, it will be determined to be correct. A data management method for a multi-system control system according to claim 1, characterized in that all data is copied and the system itself is automatically restarted as a standby controller. 3. The standby controller copies the data of the controller in charge of control when it is determined that its own calculation result is correct in the mutual diagnosis of each sample period, thereby preventing accumulation of errors. A data management method for a multi-system control system according to claim 1 or 2. 4. The standby controller does not copy the data of the controller in charge of control, even if it is determined that its calculation result is incorrect in the mutual diagnosis of each sample period, and The own calculation results are obtained through a set continuous sampling period! %! 49, the controller reports itself as abnormal, copies all data of the controller in charge of control, and restarts as a standby controller. Data management method for multi-system control systems.
JP58129776A 1983-07-15 1983-07-15 Data management method for multiple control system Expired - Lifetime JPH0619641B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP58129776A JPH0619641B2 (en) 1983-07-15 1983-07-15 Data management method for multiple control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP58129776A JPH0619641B2 (en) 1983-07-15 1983-07-15 Data management method for multiple control system

Publications (2)

Publication Number Publication Date
JPS6020202A true JPS6020202A (en) 1985-02-01
JPH0619641B2 JPH0619641B2 (en) 1994-03-16

Family

ID=15017928

Family Applications (1)

Application Number Title Priority Date Filing Date
JP58129776A Expired - Lifetime JPH0619641B2 (en) 1983-07-15 1983-07-15 Data management method for multiple control system

Country Status (1)

Country Link
JP (1) JPH0619641B2 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6467634A (en) * 1987-09-09 1989-03-14 Yokogawa Electric Corp Signal selector
JPH04307633A (en) * 1991-04-05 1992-10-29 Hitachi Ltd Multiplex controller
US6526324B1 (en) 1997-11-26 2003-02-25 Fanuc Ltd. Controller for industrial machine
JP2017021712A (en) * 2015-07-14 2017-01-26 株式会社東芝 Multiplex control apparatus

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070260939A1 (en) * 2006-04-21 2007-11-08 Honeywell International Inc. Error filtering in fault tolerant computing systems

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5837702A (en) * 1981-08-28 1983-03-05 Hitachi Ltd Triplex controller
JPS5896303A (en) * 1981-12-02 1983-06-08 Fuji Facom Corp Multiprocessing system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5837702A (en) * 1981-08-28 1983-03-05 Hitachi Ltd Triplex controller
JPS5896303A (en) * 1981-12-02 1983-06-08 Fuji Facom Corp Multiprocessing system

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6467634A (en) * 1987-09-09 1989-03-14 Yokogawa Electric Corp Signal selector
JPH04307633A (en) * 1991-04-05 1992-10-29 Hitachi Ltd Multiplex controller
US6526324B1 (en) 1997-11-26 2003-02-25 Fanuc Ltd. Controller for industrial machine
JP2017021712A (en) * 2015-07-14 2017-01-26 株式会社東芝 Multiplex control apparatus

Also Published As

Publication number Publication date
JPH0619641B2 (en) 1994-03-16

Similar Documents

Publication Publication Date Title
US4774709A (en) Symmetrization for redundant channels
EP0263055B1 (en) Autoequalization in redundant channels
EP0811916A2 (en) Mesh interconnected array in a fault-tolerant computer system
JP4080980B2 (en) Electronic control unit
US6820213B1 (en) Fault-tolerant computer system with voter delay buffer
US5572620A (en) Fault-tolerant voter system for output data from a plurality of non-synchronized redundant processors
US5270699A (en) Fault tolerant signaling
US6367031B1 (en) Critical control adaption of integrated modular architecture
JP2011198205A (en) Redundant system control system
JP4508732B2 (en) Electronic control unit
JPS6020202A (en) Data management system of multiple control system
JP2003140704A (en) Process controller
JP3884643B2 (en) Process control device
JPH09114507A (en) Duplex system for programmable logic controller
US11507478B2 (en) Method for operating a redundant automation system
JP2941387B2 (en) Multiplexing unit matching control method
JPH0799516B2 (en) Multiple control method for computer controller
JPS6045801A (en) Multiplexed constitution controller
US20220179725A1 (en) Method for controlling a technical apparatus
JPS60237523A (en) Controller for internal timepiece
JPS62229333A (en) Multiplexing processor
JPS63285053A (en) Fault processing system for network management equipment
Dambra et al. Demonstrators
CN116300393A (en) Redundant programmable controller system and control method
JPH04137047A (en) Programmable controller