WIPO专利WO1988004071A1 Appareil multiplex de controle

专利PDF首页>>WIPO专利

专利附录

专利说明

权利要求

类似技术

同族专利

引用文献

法律状态

优先权

专利摘要:

公开号:WO1988004071A1
申请号:PCT/JP1984/000251
申请日:1984-05-18
公开日:1988-06-02
发明作者:Kazuo Asami
申请人:Kazuo Asami；
IPC主号:G06F11-00

专利说明:
[0001] 明細書
[0002] 多重化制御装置
[0003] 技術分野
[0004] 本発明は、多重化制御装置に関する。
[0005] 背景技術
[0006] 制御装置の高信頼化には種々の方法がある。従来からとられている最も一般的な方法は、制御装置に使用されているハ一ドウエア個々のレベルでの高信頼ィヒである。具体的には、高信頼度部品の選択使用及び、十分設計裕度の確保、或いは、部品のスクリーニング実施及びェ — ジング実施、さらには使用部品点数の削減（集積回路の適用） ¾どである。しかしながら、これらハードゥエァレベルでの高信頼化には限界がある。そこで、最近は、システムレベルでの高信頼化の必要性と有効性が強く認識されてきている。
[0007] 例えば、従来のシングル系の制御装置のシステム構成では、コンデンサ 1個又はトランジスタ. 1個の異常が、制御システム全体に大き ¾影響を与える可能性がある。事実、過まの制御システムの異常原因を分析してみると、ほとんどがこの種のトラブルに起因している。そこで、制御システムを多重化することが考えられている。
[0008] 制御システムの多重化制御装置は例えば
[0009] TRANS ACT I ONS OF THE AMER I CAN NUC L EAR SOCIETY AND THE EUROPEAN NUCLEAR
[0010] SOCIETY 1980 INTERNA IONAL
[0011] CONFERENCE ON WORLD NUCLEAR ΕΝΕΕ Υ- ACCOMPLISHMENTS AND PERSPEC IVES ，
[0012] Volume 3 5 , 4 0 6〜 4 1 1頁に記載された論文
[0013] " BWR PLANTS IN JAPAN -A NEW
[0014] PERSPECTIVE " 中の 3 . Toshiba BWR Power
[0015] Control Sys te_n ADMIX with ripple - Control Channel a_nd s el f— Di agnose_s <D FIG.
[0016] 1に示されている。この FIG. 1には中間値選択三重化
[0017] ブラント制御装置の一例が開示されている。即ち、この
[0018] 三重化プラント制御装置では、フィードバック信号とし
[0019] て制御に使用するプロセス信号の reactor water
[0020] level , fee d a ter ilo , main s team flowは各々
[0021] 三重化され、各々の信号は 3信号のうちの中間値を選'択
[0022] して出力する中間値選択回路 MV Gに入力される。中間
[0023] 値選択回路 M V Gによ選択された信号は三重化された
[0024] master Control ler 1VI Z Cに入力される。各 M/C
[0025] によ演算された 3つの出力信号の中間値を中間値選択
[0026] 回路 MVGに入力し、この出力力； secondary
[0027] control ler S ZCに入力される。この中間値選択回
[0028] 路 MVG"は、例えば高値入力選択回路と低値入力選択回
[0029] 路の組合せによ ])作られる。
[0030] ゝ¾ 10 ソしかし、本方式では中間値選択回路の故障がコモンモ — ドとなるので、中間値選択回路 M V Gを十分信頼性の高いものにしないと効果は半減する。お、電源まで含めた多重化を考慮した場合は、この中間値選択回路の電源異常で、三重化プラント制御装置全体が異常となる。
[0031] お、制御装置の出力が多数ある場合、本方式では、各出力信号毎に中間値をとる形になるので、制御対象システムによっては、各々の制御装置が干渉しあい、ハンチング現象が発生する可能性がある。
[0032] 発明の開示、
[0033] 本発明の目的は信頼性の高い多重化制御装置を-提供することにある。
[0034] 本発明は、以下に述べる詳細説明を参照すれば明らか ¾ようにシステム構成面からは、万一の故障発生時にはその故障をマスクし、その故障した機能を代行させるための多重化構成と、万一の故障発生時の危険を最小化するための分散化構成とを合わせた、いわば多重分散化システム構成とすることによ ])上記の目的を達成するものである。
[0035] 図面の簡単 ¾説明
[0036] 第 1図は本発明の好適な一実施例である三重化ブラント制御装置の系統図、第 2図は第 1図に示す各サブシステムにおける制御装置の信号入力側における信号伝送回
[0037] CMPI 路の系統図、第 3図は第 1図に示す各サブシステムの制
[0038] 御装置間における情報伝送回路の系統図、第 4図は第 1
[0039] 図に示す各サブシステムにおける制御装置の信号出力側
[0040] における信号伝送回路の系統図、第 5図は第 4図の他の
[0041] 変形例図である。
[0042] 発明を実施するための最良の形態
[0043] 第 1図を参照するに、本実施例の三重化プラント制御
[0044] 装置は、完全に分離独立した 3つのサブシステム A, B , および Cからなつている。
[0045] この三重化プラント制御装置のサブシステム A， B ,
[0046] および Cは三重化された検出器 1 4， 1 5， 1 6，各検
[0047] 出器からの検出信号を入力する入力信号切換部 9 1，
[0048] 9 2， 9 3 , 入力信号切換部からの信号によ ] 制御信号
[0049] を出力す-る制御装置 1 1 , ·1 2， 1 3 , 制御装置からの
[0050] 信号によ ])最も正常と考えられる 1つの制御装置を選択
[0051] するための総合判定部 6 4 , 6 5， 6 6，総合判定部か
[0052] らの選択指令信号によ選択された制御装置からの出力
[0053] 信号を制御対象機器に出力させるための出力信号切換部
[0054] 5 1 , 5 2， 5 3 ，ならびに各サブシステム A， B , C
[0055] の専用電源装置 8 1， 8 2， 8 3力らなってお]) これら
[0056] サブシステムお， B， Cは以下の詳細な説明で述べるよ
[0057] うな特徵を具傭する。ここでテストツール 1 0 0は各サ
[0058] ブシステム A， B， Cの回路のチェックを行うために供
[0059] OMFI
[0060] 一 WIPO一 ' される。
[0061] 本実施例の三重化プラント制御装置は後述するように、万一、 1つのサブシステム内で異常が発生すると、その異常部分が属する異常サブシステム内の制御装置 1 1 , 1 2 , 1 3 自体による自己診断機能によ D検出され、異常サブシステムを、他の正常なサブシステムから切！）離す。万一、異常サブシステムの自己診断機能によ ] 異常を検出できかったとしても、その異常は相互診断機能によ ])検出されるため他の正常なサブシステムにその影響を及ぼすことはなく、またその異常に基づく現象は異常サブシステム内に-封じ込めることができる。 - - 以下、各サブシステム内の主要構成要素とその-動作につき説明する。
[0062] 1 ) サブシステムへの電源供給
[0063] 各サブシステムは、各々独立した電源装置 8 1， 8 2 及び 8 .3を所有している。万一あるサブシステム、例えばサブシステム A内の電源装置 8 1に異常が発生した場合には、それによ ] 、サブシステム Aは、三重化プラント制御装置から切離される。このため、サブシステム A の出力が他のサブシステム B及び Cに影響を与えることは原理的に ¾い。あえてあるとすれば、後述する情報入力部において、 1 チャンネル分の入力信号が喪失する程度て'あ。
[0064] O PI 2 ) プラント情報入力方法
[0065] 本三重化プラント制御装置は、信号の入力系統そのものも多重化することを原則としている。即ち、三重化プラント制御装置は、ブラント情報をベースに出力信号を決定するいわば情報処理装置である。従って、入力情報が単一の場合には、この異常時にその使命が完遂できくなると考えられるからである。本実施例では、プラントの同じ状態量を測定する検出器が 3個設けられる。すなわち、同じ状態 *：を測定する 3個の検出器 1 4 , 1 5 及び 1 6が、ブラントに設けられる。すべての検出器を三重化するとシステムが複雑になるので、三重化する検出器は、プラントの還転制御にとって重要なものだけでよい。
[0066] さて、本実施例では検出器 1 4， 1 5及び 6の出力信号、すなわち、ブラント情報 2 1， 2 2 , 2 3 (制御对象からのアイ―ドバック信号など ) は、原則として三重化されている。それらの入力情報は、基本的には各々のサブシステムの入力信号切換部 9 1， 9 2及び 9 3を介して制御装置 1 1， 1 2及び 1 3にそれぞれ入力される。また、圧力発信器どの外部電源を必要とする検出器に対しては、それが属するサブシステムの電源装置よ電力が供給される。従って、 1 つのサブシステムの電源装置が故障した場合、その電源装置から電力が供給されている検出器は作動しないが、他の 2つの検出器は正常に作動するので、各々のサブシステムの制御装置は入力情報を確保出来る。このようにブラント情報が完全に喪失することは ¾い。 3つの検出器が同時に故障することは極めて希ことである。次に、これら多重化された信号の各サブシステムへの入力方法につき説明する。
[0067] ブラントの同一の状態量を検出する三重化された各検出器の出力信号を、各サブシステムに入力する方法と 1しては、第 1図に示した如く、各々の検出器から出力されたブラント情報を各サブシステムの全てにそれぞれ入力する方法と、 1 '対 1、即ち、その検出器が-属するサブシステムのみへ入力する方法（図示せず）の 2つがある。
[0068] 両者の使いわけは、主に要求信頼度-と経済上の観点から決められる。前者の方法は、単純に言って後者の—方法の 3倍のプラント情報を入力することに ¾！)、入力部及びその入力信号の処理部が増大する。現実的には、プラントの制御上特に重要 ¾信号は、前者の方法とし、各サブシステム内で、各々の多重化信号をチェックし、最も真値に近いと考えられる信号を選択、或いは算出し、自己の演算用データとしている。これは、プラントに設けられた検出器の異常による悪影響.をサブシステムにできる限！）及ぼさいようにするためである。
[0069] 3 ) 入力信号の分離と切離し
[0070] OMPI 各検出器 1 4 , 1 5及び 1 6にて検出されたプラント情報は、入力信号切換部 9 1 , 9 2及び 9 3を介し、制御装置 1 1 ， 1 2 ， 1 3に入力する。入力信号切換部 9 1 ， 9 2 ， 9 3は、本実施例では具体的には電磁リレ 5 一、水銀リレーなどによって構成されている。しかし、必ずしもこの種のハードウェアによるものでるくてもよ一い。
[0071] 万一、 1つのサブシステム內に異常が発生した場合 -
[0072] (例えば竃源装置の異常、制御装置の異常など）、その 10 異常サブシステムは、該当する入力信号切換部及び出力信号切換部（後述）によ ] 、制御対象機器及びブラント
[0073] 1から完全に切離される。
[0074] また、切離された異常サブシステムのトラブルシユーティング及び修復後の動作確認を容易にするめに、入
[0075] 15 力信号切換部 9 1 ， 9 2 ， 9 3及び出力信号切換部 5 1 ，
[0076] 5 2 , 5 3は、テストツール 1 0 0力ゝらの信号を入力できるように構成されている。この機能は、後述の第 2図に示されたリレーの接点 ϋ側にテストツール 1 0 0からの信号を入力することによ実現している。お、テス
[0077] 20 トツール 1 0 0は図示してない信号入力部、信号演算部らびに信号発生部を有する。
[0078] サブシステム Αに属する検出器 1 4の出力信号を、各各のサブシステムに設けられる制御装置 1 Γ , 1 2及び 1 3に伝える具体的な信号伝送回路を第 2図に示す。検出器 1 4への電力は、サブシステム A内の電源装置 8 1 よ ])供給されている。電源ラィン（ 2線式検出器を例にとってお])、信号ラインに一致）には、ヒューズ 2 5 A、スィッチ 2 4 A及びリレー 2 6 Aが接続されている。ヒユーズ 2 5 Aは、信号伝送回路の保護用である。スイツチ 2 4 Aは、万一、検出器 1 4に異常が発生した時のメィンテナンス時に、検出器 1 4を電源装置 8 1及び各制御装置から切離せるように設置してある。またリレー
[0079] 2 6 Aは、検出器 1 4への供給電力を監視するものである。スィッチ- 2 4 Aの動作位置及びリレー 2 6 Aの接点状態によ i 、各サブシステムの制御装置がそれぞれに取込んだ検出器 1 4の出力信号が使用可能状態にあ—るのか、それとも無視すべき状態にあるのかを判断する-こ''とができる。検出器 1 4の出力信号（一般には 4〜 2 0 mA . D C ) は、 5 0 程度の抵抗2 7 ， 2 8 A及び 2 9 Aによ！)、電圧信号に変換される。この電圧信号が、入力信号切換部（水銀リレー） 9 1 ， 9 2及び 9 3の接点を介して各制御装置 1 1 ， 1 2及び 1 3にそれぞれ入力されている。この場合、入力信号. 換部 9 1 ， .9 2及び 9 3の接点 Vと接点 Wが、それぞれ接続されている。
[0080] 検出器 1 5及び 1 6 も、第 2図と同様 ¾信号伝送回路に接続されている。検出器 1 5及び 1 6の出力信号は、
[0081] ΟΜΡΙ _ 上己信号伝送回路を介して制御装置 1 1， 1 2及び 1 3 にそれぞれ伝えられる。
[0082] 制御装置 1 1， 1 2及び1 3の入カ回路方式にょれば、その入カインビーダンスは電源が入っているときには各各 1 0〜 1 0 0 M 2程度、電源が入っていいときには数 Κ ώ程度以下に低下することがある。このような信号伝送回路を用いると、各システム毎に小さな抵抗 2 7 Α，
[0083] 2 8 Α、るらびに 2 9 Αが直列に入っているので、あるサブシステム內で制御装置 1 1， 1 2、又は 1 3の短絡、地絡、又は内部ィンピーダンスの変化などのトラブルが発生したとしても、他のサブシステムに対する入力信号
[0084] (プラント情報）に影響を与えることはほとんどない。
[0085] なお、入力信号切換部 9 1， 9 2及び 9 3の接点 Uは、
[0086] テストッール 1 0 0の接続用コネクタ（図示せず）に接続されている。あるサブシステムに異常が生じた場合は、異常サブシステムの入力信号切換部の接点 Vと接点 Wの接続を切離し、その後、接点 ϋと接点 Wを接続する。テストツール 1 0 0から出力された検出器の出力信号に相
[0087] 当する模擬信号が、接点 ϋ及び Wを介して異常サブシステムの制御装置に入力される。この制御装置に、テストッ一ル 1 0 0の出力信号を入力することによって各サブシステム毎の種々のテストが行われる。
[0088] ) 制御装置の機能と出力信号 ;^細 ^ 各サブシステムの制御装置 1 1 ， 1 2及び 1 3は、入力信号切換部 9 1 , 9 2 , 9 3を介し入力したプラント情報 2 1， 2 2及び 2 3に基づいて得られた制御信号 3 1 ， 3 2及び 3 3をそれぞれ出力する。但しテストツ — ル 1 0 0が接続されている制御装置のテスト中は、テストツール 1 0 0の出力モードに対応した信号を出力する。また、各々の制御装置は、それらが属する当該サブシステムの制御装置 1 1 , 1 2， 1 3 自体が内蔵するパリテイチエックるどの自己診断のほかに、後述の第 3図に示す情報伝送回路を介して入力される他のサブシステムからの入力を使用して各制御装置 1 Γ,— 1 2 ， 1 3内で実施される相互診断によ ] 3、サブシステム異常の早期発見ができるとともに、これらの結果から制御対象核器 5 5に対し制御信号 3 1 ， 3 2 , 3 3の何れから制御対象機器 5 5へ入力するかを決定している。すなわち必ずしも自己のサブシステムのデータを常に出力するわけではなく、診断結果を尊重し、その時点で最も妥当と考えられる多数決の原理によ決定されたデータ制御対象機器に出力する。
[0089] 本来、共通部の最少化という観点からは、各サブシステム間同士の信号の相互授受はないほうがよいし、多重分散化の思想にも合致する。しかしながら、サブシステム間での切換時のパンブレス性や、異常復帰後のサブシステム再立ち上げ時どの内部データ設定機能などの確保のためには、若干 Qデータの授受が必要不可欠とる。
[0090] 特に、制御演算として、比例積分制御あるいはラッチデータなど、過去の履歴を必要とするデータを扱う場合には、ある種のデータコピー機能が必要と ¾る。また、確実な異常検出のためには、自己のデータ以外の他のデータを入手し、これらの相互比較を行うことも必要となる。しかしながら上記した様に、本機能は、共通モード故障をひきおこす可能性もあるのでその適用には十分 ¾ 注意が必要である。本実施例では、第 3図に示すように信頼性の高いデータ伝送装置回路 3 4 , 3 5及び 3 .6と、伝送回路切離装置 3 7 ， 3 ·8及び 3 9の適用に加え、データの二重伝送方式と、各サブシステム毎のデ一タコントロール方式によ！)、本機能のコモンモード化を極力防止している。第 3図によ ]3以下本機能のコモンモード化防止について説明する。 ¾お第 3図における制御装置
[0091] 1 1 ， 1 2ならびに 1 3は第 1図における制御装置 1 1 ，
[0092] 1 2 らぴに 1 3に対応する。 .
[0093] データ伝送回路 3 4 ， 3 5及び 3 6は、光伝送技術を応用した絶縁型データ伝送回路を使用している。第 3図
[0094] いてデータ伝送回路 3 4 , 3 5及び 3 6がそれぞれ
[0095] 2本ずつ示されているが、これは制御装置 1 1 ， 1 2ならびに 1 3間のデータの流れをわか ]λやすくしたためで
[0096] O PI 。ある。実除は、データ伝送回路 3 4 ， 3 5及び 3 6は、一本であってもよい。データ伝送回路 3 4は、制御装置 1 1 と制御装置 1 2を接続している。データ伝送回路 3 5は、制御装置 1 2 と制御装置 1 3 を連絡している。データ伝送回路 3 6は、制御装置 1 1 と制御装置 1 3を連絡している。 1つのデータ伝送回路は、それによつて連絡される一方の制御装置内のデータを他-方の制御装置に伝える。そのデータ伝送回路は、逆に、他方の制御装置内のデータを一方の制御装置に伝える。このため、サブシステム Aの制御装置 1 1内のサブシステム Aに関するデータは、データ伝送回路 3 6を介してサブシステム Cの制御装置 1 3 に伝えられ、さらにそこからデータ伝送回路 3 5を介してサブシステ Bの制御装置 1 -2 に伝えられる。逆に、制御装置 1 1 内のサブシスム Aに関するデータは、データ伝送回路 3 4 を介して制御装置 1 2に伝えられ、さらにそこからデータ伝送路 3 5を介して制御装置 1 3に伝えられる。制御装置 1 2内のサブシステム Bに関するデータ及び制御装置 1 3 内のサブシステム Cに関するデータも、前述のサブシステム Aに関するデータと同様に各々のデータ伝送回路を介して他の制御装置に伝えられる。 1つの制御装置は、自己のデ— タと、異なるデータ伝送回路によって伝えられた他の 2 つの制御装置のデータを 2種類ずつ、合計 5種類のデ— タを所有している。
[0097] 伝送回路切離し装置 3 7力データ伝送回路 3 4に設
[0098] けられる。伝送回路切難し装置 3 8が、データ伝送回路
[0099] 3 5に設けられる。伝送回路切難し装置 3 9力、データ
[0100] 伝送装釐 3 6に設置される。
[0101] もし、データ伝送回路 3 4 ， 3 5及び 3 6の 1つに異
[0102] 常が発生した場合、または制御装置 1 1 , 1 2及び 1 3
[0103] の 1つに異常が発生したことを自己診断あるいは自己の
[0104] 制御装置内のデ一タと他のサブシステムの制御装置から
[0105] データ伝送回路 3 4， 3 5 ， 3 6を介して自己の制御装
[0106] 置に入力したデータと比較することによ実施される。
[0107] いわゆる相互診断によ ] 検出した場合は、その異常箇所
[0108] に該当する伝送回路切離し装置を作動させて異常箇所を
[0109] 正な部分から切離す。これによつて、コモンモード故
[0110] 障を阻止できる。各データ伝送回路は、前述したように
[0111] それが接続される制御装置から出力されたデータととも
[0112] に他の伝送回路を介して入手した他の制御装置のデータ
[0113] をのせて伝送しあう二重伝送方式を採用しているので、
[0114] 1つのデ-タ伝送回路が異常になつた場合でも、それぞ
[0115] れの制御装置に異なる他のすべての制御装置のデータを
[0116] 入力することができる。
[0117] 本実施例では、このように二重伝送方式を採甩するこ
[0118] とによ！）各制御装置の相互間を連絡するデータ伝送回路 o
[0119] / 驚。 y j は単一であ ]9 ¾がらデータ伝送に関しては二重化された信頼性の高いデータ伝送方式を実現している。
[0120] 制御装置 1 1 , 1 2及び 1 3は、前述のように各データ伝送回路によ入手した各サブシステムのデータをべースに相互診断を実施する。基本的には、ビットデータに対しては 2 o u t o f 3 ロジックを応用した論理によ ]) 数値データに対しては偏差チェックをベースにした論理によ、制御装置 1 1 , 1 2及び 1 3は出力データを決定する。この決定は、各サブシステムがその時点で所有している各サブシステムのデータに基づいて、各サブシステムの判断によ D独立して行う方式としているため、極めてコモンモード故障をひきおこしにくい形とるっている。また、制御装置の自己データと、他の制御装置のデータ及び制御装置の出力データとを制御装置内で分離して取扱う方式としている。従って、万一ある制御装置の自己演算データが他の 2つの'サブシステムのデータと一致しい事象が発生した場合には、制御装置の出力データは、一致している他の 2つのサブシステムのデータとする。しかし、自己の演算データの変更は、その不一致事象が複数回あるいは一定時間以上連続して発生し ¾ い限])行なわない。このように、ある制御装置の自己演算結果とその制御装置からの実際の出力信号とを別個のものとして管理する方式をとることによ！）、自己データの他のサブシステムのデータからの汚染を防止するとともに、相互診断機能に用いる各サブシステムのデータの独立性を確保している。
[0121] 制御装置 1 1 , 1 2及び 1 3で得られたそれぞれの自己診断及び相互診断結果は、第 1図ならびに第 4図に示す診断結果信号 4 4， 4 5及び 4 6 として制御装置 1 1，
[0122] 1 2及び 1 3 よ！？総合判定部 6 4， 6 5及び 6 6にそれぞれ出力される。 1つの総合判定部には、診断結果信号
[0123] 4 4 , 4 5及び 4 6が入力される。本実施例では、各制御装置 1 ' 1， 1 2及び 1 3は、各サブシステム毎の正常性を判定し、正常と考えられるサブシステムに対しては
[0124] 「1」、異常と考えられるサブシステムに対しては「0」を出力する。これは後述するように総合判定回路 6 4 ,
[0125] 6 5及び 6 6の判定口ジックを単純化するためで ¾る。すわち、この総合判定回路は後述の説明によ 1)明らかと ¾るように、制御装置 1 1 , 1 2ならびに 1 3の内、例えば制御装置 1 1がフォールしたときに、制御装置
[0126] 1 2あるいは 1 3からの診断結杲信号 4： 5あるいは 4 6 のうち、何れの診断結杲信号を選択して出力信号切換部
[0127] 5 1に出力するかと云うよう場合に出力信号切換部
[0128] 5 1の制御信号選択切換時間を最小にする上で必要である
[0129] さらに各制御装置においてよ D きめ細かな判定を行う場合には、各サブシステム毎の状態判定結果を、重故障，中故障，輊故障，正常などと分類し出力させてもよい。
[0130] また、いわば各サブシステムの正常度などを数値で出力させてもよい。
[0131] 5 ) 制御信号選択部
[0132] 本実施例の中核をすのが、制御信号選択部である。
[0133] 制御信号選択部は、各サブシステム毎に設けられた総合判定部 6 4， 6 5 及び 6 6 と、各サブシステムの総合判定部 6 4 , 6 5及び 6 6の出力によ ] 実際に出力信号を切換える出力信号切換部 5 1 , 5 2及び 5 3 よ ]) なる。
[0134] 出力信号切換部 5 1 , 5 2及び 5 3は、プランドの制御対象機器 5 5に接続されている。
[0135] 多重化ブラント制御装置において最も問題とるのは、いかにして最適な制御信号を選択するかということである。一般の多重化ブラント制御装置では、いわゆるボータ部と呼ばれる総合 fO定部がシングル、すわち、本実施例のよう ¾相互判断方式によらず、 1個のボ—タ部からの制御信号によ D各出力信号切換部を操作する方式をとっているため、万一、ボータ部が誤判断すると、多重化ブラント制御装置全体の機能の健全性が阻外される可能性があった。本実施例では、各サブシステム毎に総合判定部 6 4 , 6 5 及び 6 6 を設け、各々の総合判定部の出力信号から 2 o u t o f 3 口ジックに基づいて最も正常
[0136] CMPI
[0137] - wi o~~ に機能していると思われる制御装置を選択する新たに考えた判定部冗長化方式を採用している。
[0138] 実際には、総合判定部 6 4， 6 5及び 6 6は 4 ) 項で述べたように、各制御装置 1 1， 1 2及び 1 3がそれぞれ力した各サブシステムの診断結果信号 4 4， 4 5， 4 6を全て取])込み、「1」を出力した診断結果、信号の数に基づく多数決判定ロジックによって最も正常に機能している可能性が高いと推定される 1つの制御装置を選択し、その旨の選択信号を各々独自に出力する。もし、 2つのサブシステムの制御装置が全ぐ同じ程度に正常に機能していると判断された場合には、総合判定部は、前回から選択されている一方のサブシステムの制御装置を、または両者のうちで優先順位の高いサブシステムの制御装置を選択する。このような場合に傭えて、制御装置 1 1 , 1 2及び 1 3には、選択する優先順位、例えば、制御装置 1 1 , 1 2及び 1 3の順に順位をつけてある。従って、各総合判定部は、いかなる事態においても判定の時点で最も正常に機能していると思われる制御装置を 1つだけ選択する。
[0139] 各々の総合判定部から出力された選択信号は、各出力信号切換部 5 1， 5 2及び 5 3のすべてに入力される。従って 1つの出力信号切換部は、 3つの総合判定部 6 4 , 6 5—及び 6 6からの選択信号を入力することに ¾る。出力信号切換部の詳細構造を出力信号切換部 5 1を例にとつて第 4図によ ] 説明する。出力信号切換部 5 2及び 5 3は、出力信号切換部 5 1 と同一の構成を有する。出力信号切換部 5 1は、総合判定部 6 4 , 6 5及び 6'— 6が出力したすベての選択信号を入力する 2 out of 3 ロジック回路 5 4 A、 2つの総合判定部が異常、または動作不能になったときに残の動作中の総合判定部の判定に従った結果を出力する 2 out of 3 ロジックバイパス回路 5 4 B、制御装置から出力された制御信号を入力する固定接点 P、ブラント 1の制御すべき制御対象機器 5 5 に接続される固定接点 Q、固定接点—R及び可動接点 Sから¾つている。固定接点 Rには、必要に応じてテストツール 1 0 0を接続する。サブシステム Aの出力信号切換部 5 1に設けられた 2 out of 3 ロジック回路 5 4は、 3つの総合判定部 6 4 , 6 5及び 6 6から出力された 3 つの選択信号のち 2以上の選択信号が制御装置 1 1を選択したものである場合に、出力信号切換部 5 1の可動接点 Sを作動させて固定接点 Pと固定接点 Qを接続する。
[0140] しかしながら、通常の 2 out of 3回路は、 3つの入力信号のうち 1つの入力信号の異常をマスクできるが、 2つの入力信号の異常時は動作できないという欠点を持つ。そこで本実施例では、各総合判定部 6 4， 6 5及び 6 6に自己診断機能を付加して 2つの総合判定部で異常であるとの自己診断結杲がでた時は、残！）の総合判定部の判断のみて、制御信号の選択が出来るよう 2 out of 3 ロジックバィパス回路 5 4 Bも設けている。
[0141] 出力信'号切換部 5 1の可動接点 Sは、上記の場合以外においては固定接点： Sと固定接点 Qを接続しい。サブシステム Bの出力信号切換部 5 2に設けられた 2 out 0f 3 ロジック回路は、入力された 3つの還択信号のうち 2以上の選択信号が制御装置 1 2を選択したものである場合に、出力信号切換部 5 2の可動接点 Sを作動させてその固定接点 Pと固定接点 Qを接続する。また 2 out of 3 ロジックバィパスロジック成立時にも可動接点 S を作動させその固定接点 Pと固定接点 Qを接続する。
[0142] サブシステム Cの出力信号切換部 5 3に設けられた 2 out of 3 口ジッタ回路は、入力された 3つ O還択信号のうち 2以上の選択信号が制御装置 1 3を選択したものである場合に、出力信号換部 5 3の可動接点 Sを作動させてその固定接点 Pと固定接点 Qを接続する。また 2 out of 3 口ジックバイパスロジック成立時にも可動接点 Sを作動させ、その固定接点 Pと固定接点 Qを接続する。
[0143] 従って、総合判定部 6 4 ， 6 5及び 6 6の 1つに異常が発生したとしても、 2 out of 3回路 5 4 Aを設けることによ Ϊ)最終的制御信号の選択が誤まることはない
[0144] ΟΜΡΙ また、出力信号切換部の 1つに異常が発生しても問題は ¾い。また、本実施例は、上述のように 2 ou t o f 3 口ジックパイパス回路 5 4 Bを設けることによ ] 2つのサブシステムが何らかの原因でダウン状態にある時またはオフライン状態にある時は、残] のサブシステムで異常であるとの自己診断結果を得ていい場合に限！）、自動的にこの残のサブシステムを選択できるよう ¾機能をも有している。これらの機能を有する本実施例は、最終的には 3台中 1台のみ運転続行可能であれば、制御続行可能 ¾ システムを実現している。
[0145] 第 4図においては、接^ P ， Q ， Rが 1個であるた、たとえばリレーなどでこの接点を'構成した場合は接触不良、あるいは接点溶着、コイル断線るどのリレーの単一故障でたとえ制御装置 1 1が選択されていても、その出力信号は制御対象に伝達され ¾かつたり、 2っ以 _hの制御装置の出力が制御対象に伝達された] することがあ] うる。一般にリレー等の信頼性は高いので問題になることは少るいが、もしこの部分の単一故障をも防止したいという場合には、上記第 4図に示すロジックを直接に出力信号選択ラインによ回路を構成した第 5図に示す回路を適用することも可能である。 -
[0146] ¾ぉ、ちなみに 3つのサブシステムが全てダウンした場合には、その出力は、システム的に、フェイルセイブ，フェイルァズィズどの方向に動作することはもちろんである。
[0147] 本実施例によれば、多重化の効果を十分に生かせるため、極めて高信頼度を期待できるフォールトトララントシステムを構築することができる。
[0148] 以上述べた本実施例によれば、多重化プラント制御装置の信頼性が著しく向上し、プラン卜の稼動率が著しく向上する。
[0149] また、総合判定部の判定 °ジックを多数決判定方式として説明したが、よ ] きめこまかな判定口ジックとして、各サブシステミの状態を重故障，中故障，軽故障，正常 ¾どと分類する場合は、それぞれ、最も正常に近いものから順次還択する方法や、各サブシステムの正常度どを数値で表現した場合は、これら数値の最大のシステムを選択する方法なども考えられる。この場合、判定結果そのものはよ ) きめ細かなものに .るが、総合判定部のロジックが複雑になるという欠点も有する。
[0150] お、無用の切換を防止するために、例えば、同ランクだった場合は、現在制御中として選択されているものをそのまま選択させておくことなどのロジックを入れることも効果がある。
[0151] 本発明は、三重化ブラント制御装置だけでなく二重化プラント制御装置にも適用できる。本発明によれば、共通部を最小とした多重化システム
[0152] を構成できるので、特に高信頼化システムの実現が容易
[0153] に可能となる。
[0154] 一。 -

权利要求:
Claims 請求の範囲
1 . 状態量を検出する検出器と、前記検出器からの出力信号を入力して演算処理し出力信号を出力するとともに、前記出力信号の正常性らびに演算装置を含む制御装置の正常性を判定し、前記出力信号るらびに制御装置が正常 ¾場合と異常な場合の各々についてそれぞれ異る診断結果信号を出力する複数の制御装置と、前記制御装置からの前記診断結杲信号に基づき多数決の原理に基づき最も正常に機能している 1つの制御装置を選択して、選択された制御装置に対応する選択指令信号を出力する総合判定部と、前記総合判定部からの選択指令信号に基づき最も正常に機能している制御装置から ©出力信号を選択して制御対象機器に出力する出力信号切換部とよ ] ¾ることを特徵とする多重化制御装置。
2 . 第 1項記载の多重化制御装置において、 .前記制御装置はその出力信号ならびに、制御装置の正常性を前記制御装置内の演算器または診断回路による自己診断によ ] 判定することを特徵とする多重化制御装置。
3 . 第 1項記載の多重化制御装置において、前記制御装置はその出力信号の正常性と、異常性の診断結杲信号を出力することを特徵とする多重化制御装置。
4 . 第 1項記载の多重化制御装置において、前記総合判定部は最も正常に機能している 1つの制御装置を選択するに際し、あらかじめ決められた優先順位に基づき正常に機能している制御装置を選択することを特徵とする多重化制御装置。
5 . 第 1項記載の多重化制御装置において、前記制御装置は自己の制御装置の演算情報を他の制御装置に伝送するとともに、他の制御装置の演算情報を自己の制御装置に伝送するため情報伝送回路を有し、各制御装置は前記情報伝送回路を介じて自己の制御装置内に入力した他の制御装置からの演算情報と自己の演算情報とを比較して自己の演算結果の正常性および他の制御装置の演算結果の正常性を判定することを特徴とする'多重化制御装置。一
6 . 第 1項記載の多重化制御装置において、前記検出器と前記制御装置間に発生した異常信-号が前記僩御装置に入力するのを防止するたの入力信号切換部を設けた - とを特徴とする多重化制御装置。
7 . 第 1項記載の多重化制御装置において、前記検出器は各制御装置ごとに専用の検出器を設'けたことを特徴とする多重化制御装置。
8 . 第 1項記載の多重化制御装置において、前記出力信号切換部は全ての総合判定部からの選択指令信号を入力し、同一の値の選択指令信号が少なくとも 2個あるときには、前記同一の谆の選択指令信号に基づき最も正常に機能している 1つの制御装置からの出力信号を選択して前記制御対象機器に出力することを特徵とする多重化制
9 . 第 1項記載の多重化制御装置において、前記出力信号切換部は全ての総合判定部からの選択指令信号を入力し、他の総合判定部からの選択指令信号が異常であ] 、自己の総合判定部の選択指令信号が正常である場合、自己の選択指令信号に基づき自己の制御装置からの出力信号を選択して制御対象機器に出力することを特徵とする多重化制御装置。
10. 第 5項記載の多重化制御装置において、前記制御装置は、自己の制御装置の演算情報が他の復数個の制御装置からの演算情報と一致している場合には自己の制御装置の演算情報に基づき出力信号を送出し、 .自己の制御装置の演算情報が他の複数個の制御装置からの演算情報と複数回あるいは一定時間上違続して一致しない場合には自己の制御装置の滇算情報を一致している他の制御装置の演算情報におきかえて、おきかえられた演算情報に基づき自己の制御装置から出力することを待徵とする多重化制御装置。
11. 第 5項記載の多重化制御装置において、さらに前記制御装置が自己の演算結果を異常と判定したときに、異常信号が正常な制御装置に前記情報伝送回路を介して伝送されるのを防止するため前記情報伝送回路に伝送回路切離し装置を設けたことを特徴とする多重化制御装置。
12. 第 5項記載の多重化制御装置にいて、前記伝送回路は光伝送を応用した絶縁型データ伝送回路であることを特徴とする多重化制御装置。
13. 第 6項記載の多重化制御装置において、前記入力信号切換部、前記制御装置、前記総合判定部、ならびに前記出力信号切換部は同一の制御対象システムを制御するための複数個のサブシステムによって構成され、前記サブシステムは各々個々に電源を具備することを特徵とする多重化制御装置。
14. 第 6項記載の多重化制御装置において、前記—入力信— 号切換部るらびに前記出力信号切換部は前記検出部らびに前記制御装置からの入力信号をぞれぞれしゃ—断状態に依持するための,中間端子を有し、テストッ—ルの信号発生部からの出力信号を前記中間端子間に印加することによ ]3前記個々のサブシステムをテストするためテストツールを具備することを特徵とする多重化制御装置。
15. 同一の制御対象システムを制御するために下記よ i るサブシステムを複数個組合せることによ！）構成される多重化制御装置、
(1) 同一状態量を検出するために各サブシステム毎に設けられる検出器、
(2) 前記検出器から異常信号が自己のサブシステムに入力するのをしゃ断するための入力信号切換部、
(3) 前記入力信号切換部を介して入力される前記検出
器からの信号をもとに出力信号を演算して出力する制
御装置、前記制御装置は自己のサブシステムの制御装
置の演算結果を他のサブシステムの制御装置に伝送す
るとともに他のサブシステムの制御装置の演算結果を
自己のサブシステムの制御装置に伝送するための情報
伝送回路を有し、各サブシステムの制御装置は前記情
報伝送回路を介して自己のサブシステムの制御装置に
入力される他のサブシステムの制御装置からの演算結
杲と自己のサブシステムの演算結果とを比較して自己
および他のサブシステムの制御装置からの演算結果の
正常性を判定し、自己のサブシステムの制御装置の演
算結果が正常る場合と異常な場合の各々についてそれ
ぞれ異る診断結果信号を出力する、
(4) 前記制御装置が自己のサブシステムの制御装置の
動作状態を異常と判定したときに異常情報が正常な制
御装置に前記情報伝送回路を介して伝送されるのをし
や断するために前記データ伝送回路に設けられる伝送
回路-切離し装置、
(5) 前記制御装置からの前記診断結果信号に基づき最
も正常に機能している iつの制御装置に対応する選択
指令信号をあらかじめ決められた優先順位に従って選
O PI WIPO .一 J 択して出力するための総合判定部、
(6) 前記総合判定部からの選択指令信号に基づき最も正常に機能している制御装置からの出力信号を選択して制御対象機器に出力する出力信号切換部。
OMPI

类似技术:

公开号 | 公开日 | 专利标题

US20170305447A1|2017-10-26|Method and Apparatus for an Interlocking Control Device

CN102289206B|2016-08-31|飞行控制系统及具有这种系统的航空器

CN101228485B|2011-07-13|紧急停机系统

RU2333528C2|2008-09-10|Управляемая компьютером отказоустойчивая система

US4159470A|1979-06-26|Data communications systems employing redundant series transmission loops

EP1540428B1|2006-10-04|Redundante steuergeräteanordnung

US5274554A|1993-12-28|Multiple-voting fault detection system for flight critical actuation control systems

ES2550161T3|2015-11-04|Procedimiento, sistema y acoplador de bus para el intercambio de datos entre una red superpuesta y una subyacente

US7464291B2|2008-12-09|Storage subsystem and information processing system

US5984504A|1999-11-16|Safety or protection system employing reflective memory and/or diverse processors and communications

US5515282A|1996-05-07|Method and apparatus for implementing a databus voter to select flight command signals from one of several redundant asynchronous digital primary flight computers

CN101119187B|2010-05-19|一种主从设备切换控制方法

EP0102059B1|1990-11-22|Data transmission device for loop transmission system

ES2267512T3|2007-03-16|Sistema electronico de seguridad para ascensores.

JP3252907B2|2002-02-04|車両における複数の制御装置の機能監視装置

US6732300B1|2004-05-04|Hybrid triple redundant computer system

US4583224A|1986-04-15|Fault tolerable redundancy control

EP0776855B1|2004-03-31|Procedure and apparatus for analyzing elevator operation

US6957115B1|2005-10-18|Security-related bus automation system

CA1171501A|1984-07-24|Steam turbine-generator control system

US8301939B2|2012-10-30|Redundant data path

US4562575A|1985-12-31|Method and apparatus for the selection of redundant system modules

CN1176829C|2004-11-24|舱室压力控制系统、控制舱室内部实际压力的方法及流出阀

EP1055077B1|2007-06-06|Two out of three voting solenoid arrangement

US5086499A|1992-02-04|Computer network for real time control with automatic fault identification and by-pass

同族专利:

公开号 | 公开日

JPH055121B2|1993-01-21|

US4667284A|1987-05-19|

JPS59212902A|1984-12-01|

引用文献:

公开号 | 申请日 | 公开日 | 申请人 | 专利标题

JPS4861886A|1971-12-02|1973-08-29|||

JPS5014987A|1973-06-13|1975-02-17|||

JPS56168802U|1980-05-19|1981-12-14|||

JPS5837702A|1981-08-28|1983-03-05|Hitachi Ltd|Triplex controller|GB2481753A|2007-09-18|2012-01-04|Fisher Rosemount Systems Inc|Process plant control system with control redundancy|US4101958A|1977-09-01|1978-07-18|Rockwell International Corporation|Apparatus and method for effecting redundant control data transfer in a digital flight control system|

US4412281A|1980-07-11|1983-10-25|Raytheon Company|Distributed signal processing system|

US4327437A|1980-07-30|1982-04-27|Nasa|Reconfiguring redundancy management|

US4472806A|1982-05-03|1984-09-18|The Boeing Company|Signal selection and fault detection apparatus|

JPH0543121B2|1985-07-01|1993-06-30|Hitachi Ltd||

JPS6281201U|1985-11-07|1987-05-23|||

US4772445A|1985-12-23|1988-09-20|Electric Power Research Institute|System for determining DC drift and noise level using parity-space validation|

DE3639055C2|1986-11-14|1998-02-05|Bosch Gmbh Robert|Verfahren zur Betriebsüberwachung und Fehlerkorrektur von Rechnern eines Mehrrechnersystems und Mehrrechnersystem|

SE457391B|1987-04-16|1988-12-19|Ericsson Telefon Ab L M|Programminnesstyrt realtidssystem omfattande tre i huvudsak identiska processorer|

US5084878A|1988-10-24|1992-01-28|Hitachi, Ltd.|Fault tolerant system employing majority voting|

US5245531A|1989-03-10|1993-09-14|Kabushiki Kaisha Toshiba|Multiplexed digital control device|

JP2768722B2|1989-03-10|1998-06-25|株式会社東芝|多重化制御装置|

DE4005546A1|1990-02-22|1991-08-29|Gutehoffnungshuette Man|Verfahren zur redundanten drehzahlregelung und vorrichtung zur durchfuehrung dieses verfahrens|

US5357425A|1991-02-13|1994-10-18|General Electric Company|Method and apparatus for controlling a real time system|

JP2682251B2|1991-04-05|1997-11-26|株式会社日立製作所|多重化制御装置|

US5339404A|1991-05-28|1994-08-16|International Business Machines Corporation|Asynchronous TMR processing system|

US5428769A|1992-03-31|1995-06-27|The Dow Chemical Company|Process control interface system having triply redundant remote field units|

US5664089A|1994-04-26|1997-09-02|Unisys Corporation|Multiple power domain power loss detection and interface disable|

US5613064A|1995-01-13|1997-03-18|Curtin; Keith W.|Output network for a fault tolerant control system|

FR2730074B1|1995-01-27|1997-04-04|Sextant Avionique|Architecture de calculateur tolerante aux fautes|

DE19718284C2|1997-05-01|2001-09-27|Kuka Roboter Gmbh|Verfahren und Vorrichtung zum Überwachen einer Anlage mit mehreren Funktionseinheiten|

US6473711B1|1999-08-13|2002-10-29|Rosemount Inc.|Interchangeable differential, absolute and gage type of pressure transmitter|

DE60327687D1|2003-01-23|2009-07-02|Supercomputing Systems Ag|Fehlertolerantes computergesteuertes System|

DE102004033263B4|2004-07-09|2007-07-26|Diehl Aerospace Gmbh|Steuer-und Regeleinheit|

JP4639930B2|2005-04-26|2011-02-23|日産自動車株式会社|冗長系システム及びその故障診断方法|

US7467555B2|2006-07-10|2008-12-23|Rosemount Inc.|Pressure transmitter with multiple reference pressure sensors|

JP2008060713A|2006-08-29|2008-03-13|Fuji Xerox Co Ltd|情報処理装置およびプログラム|

JP4859803B2|2007-10-01|2012-01-25|日立オートモティブシステムズ株式会社|電動アクチュエータの制御装置|

JP5286151B2|2009-04-24|2013-09-11|株式会社東芝|多重化制御システムおよび多重化制御システムの制御方法|

WO2011099233A1|2010-02-10|2011-08-18|日本電気株式会社|多重化システム|

JP5783944B2|2012-03-28|2015-09-24|株式会社東芝|多重化制御システム|

JP2013239034A|2012-05-15|2013-11-28|Mitsubishi Electric Corp|系切替制御装置及び二重化システム|

法律状态:
1988-06-02| AK| Designated states|Kind code of ref document: A1 Designated state(s): US |

优先权:

申请号 | 申请日 | 专利标题

[返回顶部]