申请/专利权人：三菱电机株式会社

申请日：2016-02-03

公开（公告）日：2021-09-17

公开（公告）号：CN108605060B

主分类号：H04L29/14(20060101)

分类号：H04L29/14(20060101)

优先权：

专利状态码：有效-授权

法律状态：2021.09.17#授权;2018.10.26#实质审查的生效;2018.09.28#公开

摘要：控制系统1具备：一个控制单元5D，其与连接于仪器2的输入输出单元4I、4O连接；以及另一个控制单元5W，其可代替一个控制单元5D。就控制系统1而言，一个控制单元5D确立与输入输出单元4I、4O的连接。控制系统1具备决定层15W和安全通信层12W。如果一个控制单元5D与输入输出单元4I、4O的连接变为被切断的状态，则决定层15W作出确立另一个控制单元5W与输入输出单元4I、4O的连接的决定。安全通信层12W根据决定层15W的决定结果确立另一个控制单元5W与输入输出单元4I、4O的连接。

主权项：1.一种控制系统，其具备：第1控制单元，其与连接于仪器的输入输出单元连接，该仪器设置于过程自动化或工厂自动化领域的设备；以及第2控制单元，其可代替所述第1控制单元，所述第1控制单元和所述第2控制单元中的一个控制单元确立与所述输入输出单元的连接，该控制系统的特征在于，具备：决定层，如果所述一个控制单元与所述输入输出单元的连接变为被切断的状态，则该决定层作出确立所述第1控制单元和所述第2控制单元中的另一个控制单元与所述输入输出单元的连接的决定；以及通信层，其在根据所述决定层的决定结果确立所述另一个控制单元与所述输入输出单元的连接后进行通信，所述决定层与所述通信层相比位于所述控制系统的通信协议的更上层，所述通信层生成安全通信用信息，该安全通信用信息具备安全数据的错误检测所用的检测用码和表示所述检测用码的生成时刻的时间戳。

全文数据：控制系统及控制单元技术领域[0001]本发明涉及对PAProcessAutomation领域或faFactoryAutomation领域的设备进行控制的控制系统及控制单元。'背景技术[0002]PA领域或FA领域的设备通常是将多个仪器组合而实现的。构成pA领域或…领域的设备的多个仪器有时通过具备第1控制单元和可代替该第丨控制单元的第2控制单元的双重化控制系统进行控制参照专利文献1。[0003]专利文献1:日本特开平10-313348号公报发明内容[0004]在专利文献1所示的双重化控制系统中，第1控制单元和第2控制单元中的一个用于与连接于仪器的输入输出单元之间进行安全通信。安全通信是用于将收发的信号无错误地发送的通信，在接收侧，对收发的信号是否破损进行检测。另外，作为双重化控制系统所使用的安全通信，存在采用了各种通信控制方式的安全通信。[0005]就双重化控制系统而言，在第1控制单元和第2控制单元中的一个与输入输出单元之间通过安全通信对信息进行收发。双重化控制系统在第1控制单元和第2控制单元中的一个与输入输出单元之间对信息进行收发前，确立第1控制单元和第2控制单元中的一个与输入输出单元之间的连接。另外，当从在上述的一个控制单元与输入输出单元之间对信息进行收发的状态，切换为在第1控制单元和第2控制单元中的另一个与输入输出单元之间通过安全通信对信息进行收发的状态时，双重化控制系统需要将上述一个控制单元和输入输出单元之间的连接切断，确立上述另一个控制单元和输入输出单元之间的连接。对于双重化控制系统要求即使是采用了各种通信控制方式的安全通信也进行连接的切换。[0006]本发明就是鉴于上述问题而提出的，其目的在于得到能够进行安全通信的连接的切换的控制系统。[0007]为了解决上述课题，达成目的，本发明为控制系统，其具备:第1控制单元，其与连接于仪器的输入输出单元连接；以及第2控制单元，其可代替第1控制单元。就控制系统而言，第1控制单元和第2控制单元中的一个控制单元确立与输入输出单元的连接。控制系统具备决定单元，如果一个控制单元与输入输出单元的连接变为被切断的状态，则该决定单元作出确立第1控制单元和第2控制单元中的另一个控制单元与输入输出单元的连接的决定。控制系统具备连接单元，该连接单元根据决定单元的决定结果确立另一个控制单元和输入输出单元的连接。[0008]发明的效果[0009]本发明涉及的控制系统取得能够进行安全通信的连接的切换的效果。附图说明[0010]图1是表示实施方式1涉及的控制系统的结构的图。[0011]图2是表示实施方式1涉及的控制系统的计算机的硬件结构的图。[0012]图3是实施方式1涉及的控制系统的安全应用所生成的安全数据的图。[0013]图4是表示实施方式1涉及的控制系统的安全通信层所生成的安全通信用信息的结构的图。[0014]图5是表示实施方式1涉及的控制系统的安全应用、安全通信层及一般应用所生成的通信信息的结构的图。[0015]图6是表示实施方式1涉及的控制系统的控制单元及输入输出单元的硬件结构的图。_[0016]图7是表示将图1所示的控制系统的驱动系统控制单元切换为另一个控制单元后的状态的图。[0017]图8是表示在图1所示的控制系统产生了切换事件时对驱动系统控制单元进行切换的过程的时序图。[0018]图9是表示在图1所示的控制系统的一个控制单元产生了故障时对驱动系统控制单元进行切换的过程的时序图。[0019]图10是表示实施方式2涉及的控制系统的结构的图。[0020]图11是表示实施方式2涉及的控制系统的安全应用、安全通信层及一般应用所生成的通彳目彳目息的结构的图。[0021]图12是表示将图10所示的控制系统的驱动系统控制单元切换为另一个控制单元后的状态的图。[0022]图13是表示在图10所示的控制系统产生了切换事件时对驱动系统控制单元进行切换的过程的时序图。[0023]图14是表示在图10所示的控制系统的一个控制单元产生了故障时对驱动系统控制单元进行切换的过程的时序图。具体实施方式[0024]下面，基于附图对本发明的实施方式涉及的控制系统及控制装置进行详细说明。此外，本发明并不限定于该实施方式。[0025]实施方式1.[0026]图1是表示实施方式1涉及的控制系统的结构的图。控制系统1构成PA领域或FA领域的设备，对设置于设备的图1所示的多个仪器2、3进行控制。在实施方式1中，仪器2、3为传感器或驱动仪器。作为传感器，举出设置于设备的对流量、压力、浓度、或温度进行检测的传感器。作为驱动仪器，举出在设备设置的开关、调整阀、电磁阀、电机、或泵即执行动作的驱动仪器。在实施方式1中，控制系统1具备两个仪器2、3，但控制系统1具备的仪器并不限于两个。另外，在实施方式1中，仪器2为传感器，仪器3为驱动仪器。[0027]如图1所示，控制系统1具备：多个输入输出单元4,其与仪器2、3连接；以及多个控制单兀5,其与输入输出单元4连接。控制单元5通过对由计算机6创建的控制程序进行接收，执行接收到的控制程序，从而经由输入输出单元4对仪器2、3进行控制。[°028]图2是表示实施方式1涉及的控制系统的计算机的硬件结构的图。实施方式1涉及的计算机6执彳丁计算机程序，如图2所不，其包含CPUCentralProcessingUnit61、RAMRandomAccessMemory62、ROMReadOnlyMemory63、存储装置64、输入装置65、显示装置66、以及通信接口67XPU61、RAM62、R0M63、存储装置64、输入装置65、显示装置66及通信接口67经由内部总线B6彼此连接。[0029]CPU61将RAM62用作工作区域，并且执行在ROM63及存储装置64存储的程序。在ROM63存储的程序为BIOSBasicInputOutputSystem或UEFIUnifiedExtensibleFirmwareInterface，但在ROM63存储的程序并不限于BIOS或UEFI。在实施方式1中，在存储装置64存储的程序是操作系统程序及工程设计工具程序，但在存储装置64存储的程序并不限于操作系统程序及工程设计工具程序。在实施方式1中，存储装置64是SSDSolidStateDrive或HDDHardDiskDrive，但存储装置64并不限于SSD或HDD。[0030]输入装置65接收来自用户的操作输入。在实施方式1中，输入装置65为键盘或鼠标，但并不限于键盘或鼠标。显示装置66对文字及图像进行显示。在实施方式1中，显示装置66是液晶显示装置，但并不限于液晶显示装置。通信接口67与网络N连接，经由网络N与控制单元5进行通信。网络N是将计算机6、多个输入输出单元4、及多个控制单元5彼此可通信地连接的计算机网络。在实施方式1中，网络N是在PA设备或FA设备设置的LANLocalAreaNetwork，但也可以是通信用总线。[0031]输入输出单元4与网络N连接。在实施方式1中，输入输出单元4设置有两个，但并不限于两个。两个输入输出单元4分别与仪器2、3连接。在实施方式1中，输入输出单元4分别与一个仪器2、3连接，但并不限于此。输入输出单元4中的与作为传感器的仪器2连接的输入输出单元4对仪器2的检测结果进行接收，对接收到的检测结果进行存储。输入输出单元4中的与作为驱动仪器的仪器3连接的输入输出单元4对控制单元5所发送的仪器3的控制信号进行接收、存储。与作为驱动仪器的仪器3连接的输入输出单元4将所存储的控制信号发送至仪器3。[0032]在实施方式1中，两个输入输出单元4中的一个输入输出单元4下面，用标号41表示作为与传感器即仪器2连接的所谓的输入单元进行动作。另一个输入输出单元4下面，用标号40表示）作为与驱动仪器即仪器3连接的所谓的输出单元进行动作。另外，本说明书在对两个输入输出单元4彼此进行区别的情况下，标注标号41或标号40而进行说明，在不特别进行区别的情况下，标注标号4而进行说明。[0033]控制单元5与网络N连接。在实施方式1中，控制单元5设置有两个，经由网络N彼此连接。两个控制单元5通过拖链线缆trackingcable7彼此连接，彼此冗余化。控制单元5作为通过执行从计算机6接收到的控制程序，从而对仪器2、3进行控制的可编程控制器ProgrammableLogicControllersPLC的CPU单元进行动作。可编程控制器由JIS日本工业标准B3502:2011规定。[0034]两个控制单元5分别经由网络N与两个输入输出单元4双方连接。在实施方式1中，两个控制单元5中的一个控制单元5为第1控制单元，取得包含输入输出单元41所存储的仪器2的检测结果在内的信息，将包含仪器3的控制信号在内的信息发送至另一个输入输出单元40。两个控制单元5中的另一个控制单元5为第2控制单元，在一个控制单元5取得仪器2的信息并且对仪器3的动作进行控制期间，维持待机状态。在实施方式1中，待机状态是指节电的所谓的待机电源模式，是由ACPIAdvancedConfigurationandPowerInterface规定的81、32、53、54的任一个状态，或与由40?1规定的81、32、83、34的任一个相当的状态。待机状态并不限于待机电源模式。另外，待机电源模式并不限于由ACPI规定。[0035]—个控制单元5作为取得仪器2、3的信息并且对仪器2、3进行控制的驱动系统控制单元进行动作。另一个控制单元5作为维持待机状态的待机系统控制单元进行动作。在实施方式1中，待机系统控制单元在驱动系统控制单元的电源断开时、使驱动系统控制单元返回至初期状态的复位时、驱动系统控制单元的故障时、使驱动系统控制单元的处理中断或停止的错误时、或接收到表示来自计算机6的切换请求的信号时，切换为驱动系统控制单元。待机系统控制单元如果切换为驱动系统控制单元，则替代至此为止作为驱动系统控制单元进行动作的控制单元，取得仪器2的信息并且对仪器3的动作进行控制。即，待机系统控制单元可代替驱动系统控制单元。此外，作为驱动系统控制单元进行动作的控制单元在电源断开后的再次启动时、被复位之后、从故障恢复时、从错误恢复时、或接收到表示来自计算机6的切换请求的信号时，切换为待机系统控制单元。即，作为待机系统控制单元进行动作的另一个控制单元5可代替作为驱动系统控制单元进行动作的一个控制单元5。[0036]在实施方式1中，在对两个控制单元5彼此进行区别的情况下，用标号“5D”表示作为驱动系统控制单元进行动作的一个控制单元5，用标号“5W”表示作为待机系统控制单元进行动作的另一个控制单元5。在不对驱动系统控制单元和待机系统控制单元进行区别的情况下，仅用标号“5”表示控制单元5。[0037]在实施方式1中，两个控制单元5的结构相同。另外，就实施方式1而言，由于两个控制单元5和两个输入输出单元4的结构相同，因此对相同部分标注相同标号而进行说明。并且，在实施方式1中，针对控制单元5及输入输出单元4的各构成部分，对能够确定为属于作为驱动系统控制单元进行动作的一个控制单元5D的构成部分标注标号“D”而进行说明，对能够确定为属于作为待机系统控制单元进行动作的另一个控制单元5W的构成部分标注标号“W”而进行说明，对能够确定为属于输入输出单元41的构成部分标注标号“I”而进行说明，对能够确定为属于输入输出单元40的构成部分标注标号“0”而进行说明。另外，在实施方式1中，针对控制单元5及输入输出单元4的各构成部分，对不能确定的构成部分不标注标号“D”、标号“W”、标号“I”、标号“0”而进行说明。[0038]如图1所示，控制单元5及输入输出单元4具备:安全应用软件下面，仅记载为安全应用）11，如果设置于设备的紧急停止开关8被操作，则该安全应用11使至少一个输入输出单元4停止;安全通信层12，其是与本单元之外的单元进行安全通信的连接单元;一般应用软件下面，仅记载为一般应用）13;以及网络层14。在实施方式1中，紧急停止开关8与网络N连接。[0039]图3是表示实施方式1涉及的控制系统的安全应用所生成的安全数据的图。安全应用11对表示是否使仪器2、3停止的图3所示的安全数据SD进行生成或对本单元之外的安全应用11所生成的安全数据SD进行接收。[0040]作为驱动系统控制单元进行动作的一个控制单元5D的安全应用11D如果经由网络N接收到紧急停止开关8被进行了操作的信息，则提取与多个输入输出单元4连接的仪器2、3中的进行紧急停止的仪器2、3。作为驱动系统控制单元进行动作的一个控制单元5D的安全应用11D使与提取出的进行紧急停止的仪器2、3连接的输入输出单元4生成使仪器2、3停止的安全数据SD，发送所生成的安全数据SD，使提取出的仪器2、3紧急停止。[0041]输入裇出单元41的安全应用111基于作为传感器的仪器2的检测结果对仪器2是否故^进行判定，生成作为表示伩器2是否故障的信息的安全数据SD。作为驱动系统控制单元进行动作的一个控制单元5D的安全应用11D经由网络N取得输入输出单元41的安全应用111所生成的安全数据SD。[0042]作为驱动系统控制单元进行动作的一个控制单元5D的安全应用11D在由输入输出单元41的安全应用111生成的安全数据SD表示出仪器2产生故障的情况下，提取与多个输入输出单元4连接的仪器2、3中的进行紧急停止的仪器2、3。作为驱动系统控制单元进行动作的=个控制单元5D的安全应用11D使与提取出的进行紧急停止的仪器2、3连接的输入输出单元4生成用于使仪器2、3停止的安全数据SD，发送所生成的安全数据SD，使提取出的仪器2、3紧急停止。另外，作为驱动系统控制单元进行动作的一个控制单元5D的安全应用11D在没有接收到紧急停止开关8被进行了操作的信息，并且由输入输出单元41的安全应用111生成的安全数据SD表示出仪器2正常的情况下，生成表示控制系统1正常的安全数据SD，将所生成的安全数据SD发送至输入输出单元40。[0043]输入输出单元40的安全应用110基于从作为驱动系统控制单元进行动作的一个控制单元5D接收到的安全数据SD，对是否使仪器3停止进行判定，在从控制单元5D接收到的安全数据SD是使仪器3紧急停止的信息的情况下，将仪器3紧急停止。输入输出单元40的安全应用110在从控制单元5D接收到的安全数据SD表示出控制系统1正常的情况下，使仪器3继续进行动作。[0044]图4是表示实施方式1涉及的控制系统的安全通信层所生成的安全通信用信息的结构的图。图5是表示实施方式1涉及的控制系统的安全应用、安全通信层及一般应用所生成的通信信息的结构的图。安全通信层12进行的安全通信是对在作为驱动系统控制单元进行动作的一个控制单元5D和输入输出单元41、40之间收发的信息是否是未产生偶发性的错误地进行收发实施检测。[0045]在实施方式1中，安全通信层12生成图4所示的安全通信用信息SI。如图4所示，安全通信层12所生成的安全通信用信息SI具备安全数据SD的错误检测所用的检测用码DS和表示检测用码DS的生成时刻的时间戳TS。检测用码DS用于对安全数据SD是否产生了偶发性的错误进行检测。就检测用码DS而言，通过控制单元5和输入输出单元4中的接收了信息的单元对安全数据SD是否产生了偶发性的错误进行检测。在实施方式1中，检测用码DS使用循环冗余校验CyclicRedundancyCheck:CRC，但并不限于CRC。另外，安全通信层12如果基于接收到的安全通信用信息SI，检测出安全数据SD没有产生偶发性的错误，则使仪器2、3继续进行动作，如果检测出安全数据SD产生了偶发性的错误，则使仪器2、3紧急停止。[0046]与作为传感器的仪器2连接的输入输出单元41的一般应用131从作为传感器的仪器2取得检测结果，生成图5所示的信息DI。图5所示的信息DI是表示仪器2的检测结果的信息。作为驱动系统控制单元进行动作的一个控制单元5D的一般应用13D生成图5所示的信息CI。图5所示的信息CI是表示作为驱动仪器的仪器3的控制信号的信息。[0047]如图5所示，就上述结构的控制单元5及输入输出单元4彼此进行通信的通信信息TI而言，在安全数据SD的更下层配置安全通信用信息SI，在安全通信用信息SI的更下层配置信息DI、CI。如上所述，在控制系统1的控制单元5和输入输出单元4之间的通信协议中，安全应用11所生成的安全数据SD与安全通信层12所生成的安全通信用信息SI相比位于通信协议的更上层。即，安全应用11所生成的安全数据SD与安全通信层12所生成的安全通信用信息SI位于通信协议的不同的层。在实施方式1中，图5所示的通信信息TI中的安全数据SD、安全通信用信息SI及信息DI、CI的层是预先确定的层。图5所示的通信信息TI中的安全数据SD、安全通信用信息SI及信息DI、CI的各层的地址是预先确定的地址。此外，本说明书中所述的通信协议的层是对控制单元5和输入输出单元4之间的信息进行收发的通信的层、以及由各控制单元5和输入输出单元4执行的处理的层的总称。网络层14对图5所示的通信信息TI进行收发。_[0048]另外，就实施方式1涉及的的控制系统1而言，两个控制单元5中的作为驱动系统控制单元进行动作的一个控制单元5D在对通信信息TI进行收发前，确立与输入输出单元4的连接。确立连接是指使通过网络N连接的控制单元5和输入输出单元4确立彼此能够对信息进行收发的状态。即，确立连接是指经由网络N，确保控制单元5和输入输出单元4彼此之间的通信用线路。[0049]控制单元5具备决定是否确立与输入输出单元4的连接的决定单元即决定层15。决定层15相比于安全通信层12位于控制系统1及控制单元5的通信协议的更上层。即，决定层15与安全通信层12位于控制系统1及控制单元5的通信协议的不同的层。两个控制单元5中的作为驱动系统控制单元进行动作的一个控制单元5D的决定层15D作出确立与输入输出单元4的连接的决定。两个控制单元5中的作为驱动系统控制单元进行动作的一个控制单元5D的安全通信层12D根据决定层lf5D的决定结果确立与输入输出单元4的连接。[0050]—个控制单元5D的安全通信层12D在确立连接时，与输入输出单元4的安全通信层12之间执行安全通信的确立请求信息的收发和响应信息的收发。一个控制单元5D的安全通信层12D与输入输出单元4的安全通信层12之间执行网络参数确认请求信息的收发和响应信息的收发，对参数进行储存、保持。[0051]一个控制单元5D的安全通信层12D与输入输出单元4的安全通信层12之间执行安全站点参数对照请求信息的收发和响应信息的收发，对参数的合法性进行确认。一个控制单元5D的安全通信层12D与输入输出单元4的安全通信层12之间执行与选项option相关的信息的收发和响应信息的收发。一个控制单元5D的安全通信层12D与输入输出单元4的安全通信层12之间执行补偿offset测量信息的收发和响应信息的收发。一个控制单元5D的安全通信层12D与输入输出单元4的安全通信层12之间执行补偿生成请求信息的收发和响应信息的收发。[0052]两个控制单元5中的作为驱动系统控制单元进行动作的一个控制单元5D的决定层15D在与输入输出单元4之间对通信信息TI进行收发前作出确立连接的决定。两个控制单元5中的作为驱动系统控制单元进行动作的一个控制单元5D的安全通信层12D在与输入输出单元4之间对通信信息TI进行收发前根据决定层1®的决定结果确立连接。[0053]在两个控制单元5中的作为驱动系统控制单元进行动作的一个控制单元5D确立了与输入输出单元4的连接后，如果输入输出单元41从外部接收到未图示的同步信号，则生成、存储包含图5所示的信息DI的通信信息TI。作为驱动系统控制单元进行动作的一个控制单元5D如果接收到同步信号，则从输入输出单元41取得通信信息TI，对该通信信息TI进行存储。[0054]作为驱动系统控制单元进行动作的一个控制单元5D如果接收到同步信号，则从输入输出单元41取得通信信息TI，并且生成包含图5所示的信息CI的通信信息TI，发送至输入输出单元40。输入输出单元40对包含信息CI的通信信息^进行存储。在实施方式1中，控制单元5D从输入输出单元41取得包含信息DI的通信信息TI，将包含信息CI的通信信息TI发送至输入输出单元40表示的是，控制单元5D与输入输出单元41、40之间对通信信息TI进行收发。[0055]另外，就控制系统1而言，两个控制单元5中的作为驱动系统控制单元进行动作的一个控制单元5D和作为待机系统控制单元进行动作的另一个控制单元5W经由拖链线缆7，对用于等值化的信号和用于彼此监视的信号进行收发。用于等值化的信号是用于实现以下处理的信号，即，在待机系统控制单元替代至此为止作为驱动系统控制单元的控制单元而切换为驱动系统控制单元时，能够恰当地从输入输出单元41取得通信信息TI，能够将通信信息TI发送至输入输出单元40。用于彼此监视的信号是用于对彼此是否以没有产生故障的状态动作进行监视的信号。[0056]另外，在一个控制单元5D作为驱动系统控制单元进行动作而确立与输入输出单元4的连接时，如果一个控制单元5D与输入输出单元4的连接变为被切断的状态，则两个控制单元5中的作为待机系统控制单元进行动作的另一个控制单元5W的决定层15W作出确立与输入输出单元4的连接的决定。两个控制单元5中的作为待机系统控制单元进行动作的另一个控制单元5W的安全通信层12W根据决定层15的决定结果确立另一个控制单元5W和输入输出单元4的连接。就作为待机系统控制单元进行动作的另一个控制单元5W而言，安全通信层12W与一个控制单元5D相同地确立连接。另一个控制单元5W在安全通信层12W确立了连接后，对输入输出单元4和通信信息TI进行收发，之后，作为驱动系统控制单元进行动作。[0057]图6是表示实施方式1涉及的控制系统的控制单元及输入输出单元的硬件结构的图。如图6所示，控制系统1的控制单元5及输入输出单元4具备:MPUMicro-ProcessingUnit91，其对计算机程序进行存储;共享存储器92，其可存储信息;通信用电路93，其可与其它单元进行通信；以及通信接口94,其与网络N连接。通信用电路93与通信接口94连接。MPU91、共享存储器92和通信用电路93经由内部总线B9而进行连接。[0058]如图6所示，控制单元5及输入输出单元4具备输入输出接口95、以及与输入输出接口95连接的转换器96。控制单元5D、5W的输入输出接口％D、％W经由拖链线缆7而彼此进行连接。输入输出单元41的输入输出接口卵I与仪器2连接，输入输出单元40的输入输出接口950与仪器3连接。[0059]安全应用11、决定层I5、安全通信层12、一般应用I3及网络层14的功能是通过执行MPU91所存储的计算机程序而实现的。计算机程序可由计算机读出，该计算机程序由软件、固件、或软件和固件的组合实现。[0060]共享存储器92具备可对数据进行存储的存储区域。输入输出单元4的共享存储器92可被控制单元5双方的MPU91i方问。共享存储器Q2由非易失性半导体存储器或易失性半导体存储器构成。作为非易失性半导体存储器或易失性半导体存储器，能够使用RAM、R0M、闪存、EPROM^ErasableProgrammableReadOnlyMemory、或EEPROMGilectricallyErasableProgrammableReadOnlyMemory。另外，共享存储器92也可以由磁盘、光盘、及光磁盘中的至少一个构成。—[0061]输入输出单元41的共享存储器921由输入输出单元41的MPU911写入包含信息DI的通信信息TI。就输入输出单元41的共享存储器921而言，由作为驱动系统控制单元进行动作的一个控制单元5D的MPU91D取得通信信息TI，如果取得了通信信息TI，则由MPU91D将存储有通信信息TI的存储区域清除而成为没有存储信息的空白状态。作为驱动系统控制单元进行动作的一个控制单元5D的MPU91D将所取得的通信信息TI写入至共享存储器92D。作为驱动系统控制单元进行动作的一个控制单元5D的MPU91D生成包含信息CI的通信信息TI，将所生成的通信信息TI写入至输入输出单元40的共享存储器92〇。就输入输出单元40的共享存储器920而言，由MPU910取得通信信息TI，如果取得了通信信息TI，则由MPU910将存储有通信信息TI的存储区域清除而成为没有存储信息的空白状态。输入输出单元40的MPIBIO将从共享存储器920取得的通信信息TI发送至仪器3，对仪器3的动作进行控制。[0062]通信用电路93由单一电路、复合电路、被程序化的处理器、被并行程序化后的处理器、ASICA卯licationSpecificIntegratedCircuit、FPGAField-ProgrammableGateArray、或将它们中的大于或等于两个组合而实现。[0063]输入输出单元4的转换器96通过将MPU91和仪器2、3彼此收发的信号中的模拟信号转换为数字信号的ADAnalogDigital转换器、将数字信号转换为模拟信号的DADigitalAnalog转换器、或数字IOInputOutput而实现。控制单元5的转换器96通过数字10而实现。[°064]下面，基于附图对实施方式1涉及的控制系统的驱动系统控制单元从第1控制单元切换为第2控制单元的过程进行说明。图7是表示将图1所示的控制系统的驱动系统控制单元切换为另一个控制单元后的状态的图。图8是表示在图1所示的控制系统产生了切换事件时对驱动系统控制单元进行切换的过程的时序图。图9是表示在图1所示的控制系统的一个控制单元产生了故障时对驱动系统控制单元进行切换的过程的时序图。[0065]在图1中，如实线所示，控制系统1确立作为驱动系统控制单元进行动作的一个控制单元5D的安全通信层12D与输入输出单元41、40的安全通信层121、120的连接。如图1中示出的虚线、图8及图9所示，一个控制单元5D将通信信息TI发送至与仪器3连接的输入输出单元40,写入至输入输出单元40的共享存储器920步骤ST1。然后，如图1中示出的虚线、图8及图9所示，一个控制单元5D从与仪器2连接的输入输出单元41取得通信信息TI步骤ST2。[0066]就控制系统1而言，一个控制单元5D从计算机6对表示切换请求的信号进行接收，发生切换事件。如图8所示，就控制系统1而言，如果一个控制单元5D接收到表示切换请求的信号，则将切换通知发送至另一个控制单元5W步骤ST3。于是，一个控制单元5D将与输入输出单元41、40的连接切断，如图s所示，另一个控制单元5W确立与输入输出单元4〗、4〇的连接步骤ST4。[!°67]一在图7中，如实线所示，控制系统1确立另一个控制单元5W的安全通信层12W和输入输出单元41、40的安全通信层121、120的连接。如图7中示出的虚线、及图8所示，另一个控制^兀5W将通信信息TI发送至与仪器3连接的输入输出单元4〇,写入至输入输出单元4〇的共孚存储器92〇步骤ST5。然后，如图丨中示出的虚线、及图9所示，另一个控制单元5ff从与仪器2连接的输入输出单元41取得通信信息TI步骤ST6。[0068]、另外，就控制系而言，在一个控制单元5D对通信信息ti进行收发期间，即，在一个控制单元5D的安全通信层pD和输入输出单元41、4〇的安全通信层121、12〇确立了连接期间，两个控制单元5如图9所示，经由拖链线缆7彼此进行监视步骤sn〇。就控制系统丄而言，如果力厂个控制单元5W检测到一个控制单元即的故障（步骤STn，则如图9所示，另一个控制单元5W确立与输入输出单元41、4〇的连接步骤ST12。[0069]然后，就控制系统1而言，如果另一个控制单元现确立了连接，则如图9所示，另一个控制单元SW将通信信息TI发送至与仪器3连接的输入输出单元4〇，写入至输入输出单元40的共享存储器920步骤ST13。然后，如图9所示，另一个控制单元挪从与仪器2连接的输入输出单元41取得通信信息TI步骤ST14。[0070]根据实施方式1涉及的控制系统1，与安全通信层12W分开地具备作为决定单元的决定层15W，如果两个控制单元5中的作为驱动系统控制单元进行动作的一个控制单元5[的连接变为被切断的状态，则决定层15W作出确立作为待机系统控制单元进行动作的另—个控制单元5W与输入输出单元41、40的连接的决定。因此，由于控制系统丨及控制单元5除了确立连接的安全通信层12之外还具备决定层IS，所以决定层15能够与进行采用了各种通信控巧方式的安全通信的安全通信层12相适配。其结果，控制系统丨及控制单元5能够容易地进行采用了各种通信控制方式的安全通信的连接的切换。[0071]另外，根据实施方式1涉及的控制系统1及控制单元5,由于决定层15与安全通信层12相比位于通信协议的更上层，因此决定层15能够与进行采用了各种通信控制方式的安全通信的安全通信层12相适配。其结果，控制系统1能够容易地进行采用了各种通信控制方式的安全通信的连接的切换。[0072]实施方式2.[0073]下面，基于附图对本发明的实施方式2涉及的控制系统1进行说明。图1〇是表示实施方式2涉及的控制系统的结构的图。图丨丨是表示实施方式2涉及的控制系统的安全应用、安全通信层及一般应用所生成的通信信息的结构的图。图12是表示将图1〇所示的控制系统的驱动系统控制单元切换为另一个控制单元后的状态的图。图13是表示在图1〇所示的控制系统产生了切换事件时对驱动系统控制单元进行切换的过程的时序图。图14是表示在图1〇所示的控制系统的一个控制单元产生了故障时对驱动系统控制单元进行切换的过程的时序图。此外，在图10至图14中，对与实施方式1相同的部分标注相同标号并省略说明。[0074]实施方式2涉及的控制系统1-2与实施方式1涉及的控制系统1的结构相同。在图10中，如实线所示，就实施方式2涉及的控制系统1-2而言，作为驱动系统控制单元进行动作的一个控制单元5D的安全通信层12D确立与输入输出单元41、40的安全通信层121、120的连接，并且作为待机系统控制单元进行动作的另一个控制单元5W的安全通信层12W确立与输入输出单元41、40的安全通信层121、120的连接。即，就控制系统1-2而言，决定层15D、15W双方作出确立控制单元5D、5W双方和输入输出单元41、40的连接的决定。就控制系统1-2而言，安全通彳目层12D、12W双方根据决定层15D的决定结果确立控制单元5D、5W双方和输入输出单元41、40的连接。[0075]就实施方式2涉及的控制系统1-2而言，作为驱动系统控制单元进行动作的一个控制单元5D从输入输出单元41取得通信信息TI，将通信信息TI发送至输入输出单元40。另外，就实施方式2涉及的控制系统1-2而言，作为待机系统控制单元进行动作的另一个控制单元5W从输入输出单元41取得图11所示的测试用信息TI-2,将测试用信息TI-2发送至输入输出单元40。测试用信息TI-2是用于在作为待机系统控制单元进行动作的另一个控制单元5W和输入输出单元41、40之间进行安全通信的信息。在实施方式2中，在测试用信息TI-2中替代实施方式1涉及的通信信息TI的信息DI、CI而具备虚设的信息DM。[OO76]如图10中示出的虚线、图13及图14所示，就控制系统1-2而言，一个控制单元5D将通信信息TI发送至输入输出单元40,写入至输入输出单元40的共享存储器92〇步骤ST1。然后，如图10中示出的虚线、图13及图14所示，一个控制单元5D从输入输出单元41取得通信信息TI步骤ST2。[0077]然后，如图13及图14所示，就控制系统1-2而言，另一个控制单元5W将测试用信息TI-2发送至输入输出单元40,写入至输入输出单元40的共享存储器92步骤ST1-2。然后，如图13及图14所示，另一个控制单元5W从输入输出单元41取得测试用信息TI-2步骤ST2-2〇[0078]就控制系统1-2而言，一个控制单元5D从计算机6对表示切换请求的信号进行接收，发生切换事件。就控制系统1-2而言，如果一个控制单元从计算机6接收到表示切换请求的信号，则如图13所示，一个控制单元5D将切换通知发送至另一个控制单元5W步骤ST3。于是，如图12中示出的虚线、及图13所示，另一个控制单元5W将通信信息TI发送至输入输出单元40,写入至输入输出单元40的共享存储器920步骤ST5。然后，如图12中示出的虚线、及图13所示，另一个控制单元5W从输入输出单元41取得通信信息TI步骤ST6。[0079]然后，如图13所示，就控制系统1-2而言，一个控制单元5D将测试用信息TI-2发送至输入输出单元40,写入至输入输出单元40的共享存储器920步骤ST5-2。然后，如图13所示，一个控制单元f5D从输入输出单元41取得测试用信息TI-2步骤ST6-2。[OOM]另外，就控制系统1-2而言，在一个控制单元5D对通信信息TI进行收发，另一个控制单元5W对测试用信息TI-2进行收发期间，两个控制单元5如图14所示，经由拖链线缆7彼此进行监视步骤ST10。就控制系统1-2而言，有时是另一个控制单元5W检测到一个控制单元5D的故障步骤ST11。就控制系统1-2而言，如果另一个控制单元5W检测到一个控制单元5D的故障步骤ST11，则一个控制单元5D的输入输出单元41、40与输入输出单元41、40的连接变为被切断的状态。如图14所示，就控制系统1-2而言，另一个控制单元5W使用与输入输出单元41、40的连接，将通信信息TI发送至输入输出单元40,写入至输入输出单元40的共享存储器920步骤ST13。然后，如图14所示，另一个控制单元5W使用与输入输出单元41、40的连接，从输入输出单元41取得通信信息TI步骤ST14。[0081]根据实施方式2涉及的控制系统1-2,与实施方式1相同地，由于与安全通信层12分开地具备决定层15,因此能够容易地进行采用了各种通信控制方式的安全通信的连接的切换。[0082]另外，根据实施方式2涉及的控制系统1-2,与实施方式1相同地，由于决定层15与安全通信层12相比位于通信协议的更上层，因此能够容易地进行采用了各种通信控制方式的安全通信的连接的切换。[0083]另外，根据实施方式2涉及的控制系统1-2,两个控制单元5D、5W双方的决定层15D作出确立与输入输出单元41、40的连接的决定，两个控制单元K、5W双方的安全通信层12D、12W确立与输入输出单元41、40的安全通信层121、120的连接。因此，根据实施方式2涉及的控制系统1-2,能够流畅地进行从驱动系统控制单元向待机系统控制单元的切换。[0084]以上的实施方式所示的结构表示的是本发明的内容的一个例子，还可以与其它公知的技术组合，在不脱离本发明的主旨的范围，也可以省略、变更结构的一部分。[0085]标号的说明[0086]1、1-2控制系统，2、3仪器，4、41、40输入输出单元，5控制单元，ro—个控制单元第1控制单元）、51另一个控制单元第2控制单元），12、120、121安全通信层连接单元），15、iro、15W决定层决定单元）。

权利要求：1.一种控制系统，其具备:第1控制单元，其与连接于仪器的输入输出单元连接；以及第2控制单元，其可代替所述第1控制单元，所述第1控制单元和所述第2控制单元中的一个控制单元确立与所述输入输出单元的连接，该控制系统的特征在于，具备：决定单元，如果所述一个控制单元与所述输入输出单元的连接变为被切断的状态，则该决定单元作出确立所述第1控制单元和所述第2控制单元中的另一个控制单元与所述输入输出单元的连接的决定；以及连接单元，其根据所述决定单元的决定结果确立所述另一个控制单元与所述输入输出单元的连接。2.—种控制系统，其具备:第1控制单元，其与连接于仪器的输入输出单元连接；以及第2控制单元，其可代替所述第1控制单元，该控制系统的特征在于，具备：决定单元，其作出确立所述第1控制单元和所述第2控制单元双方与所述输入输出单元的连接的决定；以及连接单元，其根据所述决定单元的决定结果确立所述第1控制单元和所述第2控制单元双方与所述输入输出单元的连接，如果所述第1控制单元和所述第2控制单元中的一个控制单元与所述输入输出单元的连接变为被切断的状态，则所述第1控制单元和所述第2控制单元中的另一个控制单元使用所述另一个控制单元与所述输入输出单元的连接，对信息进行收发。3.根据权利要求1或2所述的控制系统，其特征在于，所述决定单元与所述连接单元相比位于所述控制系统的通信协议的更上层。4.一种控制单元，其对与仪器连接的输入输出单元进行控制，该控制单元的特征在于，具备：决定单元，其作出确立与所述输入输出单元的连接的决定；以及连接单元，其根据所述决定单元的决定结果确立与所述输入输出单元的连接。5.根据权利要求4所述的控制单元，其特征在于，所述决定单元与所述连接单元相比位于所述控制单元的通信协议的更上层。

百度查询： 三菱电机株式会社 控制系统及控制单元

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD