[发明专利]控制装置的任务管理装置和方法

说明书

本申请是申请号为200610091732.1、申请日为2006年6月9日、 发明名称为“控制装置的任务管理装置和方法”的申请的分案申请。

技术领域

本发明涉及控制装置的任务管理装置、输入输出控制装置、信息 控制装置、控制装置的任务管理方法、输入输出控制方法以及信息控 制方法。

背景技术

以电子和信息领域的技术进步、在单一装置内追求功能的复杂化 和复合化为原动力，可编程电子装置的应用范围变宽，同时，所要求 的可靠性也提高。

为实现一般所知的高可靠化，包括可编程电子装置的多重化和多 个处理器的多重化。

作为可编程电子装置的多重化，常用系统·备用系统的结构是已 知的。通过在常用系统检测出故障时切换到备用系统，可以提高可用 性。

另一方面，特开2004-234144号公报中公开了作为使用多个处理 器的可编程电子装置提高安全性的技术。

另外，在原子能设备和化学设备等潜在危险性高的处理设备中， 为了在万一的情况下减少对操作员和周边环境的影响，采取了利用隔 壁等防护设备的被动对策和利用紧急停止装置等安全装置的主动对 策。其中，安全装置等的控制单元由现有的继电器等电磁·机械单元来 实现。但是，近年来，伴随着以可编程逻辑控制器(PLC)为代表的可 编程控制设备的技术发展，将它们用作安全控制系统的控制单元的需 求增加。

IEC61508-1～7，“Functional Safety of electrical/electronic/ programmable electronic safety-related systems”part1-part7(简称为 IEC 61508)是对应上述动向而发布的国际标准，它规定了在安全控制 系统的一部分中使用电气/电子/可编程电子装置的情况下的必要条 件。在IEC61508中，作为安全控制系统的能力尺度，定义了Safety Integrity Level(SIL：安全完整性等级)，并规定了与从1到4的等级 相对应水平的要求事项。它表示SIL越高，可以降低处理设备所具有 的潜在危险性的程度越大。即，意味着在检测出处理设备的异常时， 可以多可靠地实施规定的安全控制。

要求安全控制装置在通常运转状态下为非活性，而在处理设备发 生异常时立即活化。为此，经常执行自诊断、连续检查自身的健全性 是非常重要的。在要求高SIL的安全控制系统中，为使由于未检测出 的故障导致系统不动作的概率极小化，必须实施宽范围、高精度的自 诊断。

在IEC61508中，对构成安全控制装置的要素部件的每个种类， 介绍了各自应用的自诊断技术，并以诊断率的形式来表示各种技术的 有效性。诊断率表示各构成要素的所有故障中、采用该诊断技术时可 检测出的故障的比例。例如，利用美国专利6779128号公报中记载的 RAM诊断技术“abraham”，可主张最高99％的诊断率。

另外，作为各构成要素之一的处理器的故障检测方法，使用多个 处理器来监视相互的输出结果的一致性的方法是有效的。

作为对多个处理器进行相互诊断的方法，各处理器同时执行同样 的控制处理并确认其输出一致的方法是有效的。

作为其代表性例子，如特开平6-290066号公报中所记载的那样， 例举了下述方法：利用在使2个处理器同步执行的同时，通过使输入 值也为相同信息而使输出一致的方法来确认处理器的健全性。

发明内容

可编程电子装置所要求的可靠性的要素包括可用性和安全型，但 在设备的控制中，可用性很重要，在设备的保护中，安全性很重要。 由于这2个要素的实现方法是相悖(二律背反)的，因此，很难同时 满足可用性和安全性。可将负责可用性的装置部分和负责安全性的装 置部分分开，但是，这不仅使装置大型化，而且运转、维护作业的重 复、复杂化还导致人的要素的可靠性降低。

可编程电子装置所要求的可靠性的要素内包括可用性和安全性。 在设备的控制中，可用性很重要，在设备的保护中，安全性很重要。 这2个要素的实现方法相悖的部分很多。

为此，目前将负责可用性的装置部分和负责安全性的装置部分分 开，这是常识。因此，不仅使装置大型化，而且运转、维护作业的重 复、复杂化还导致人的要素的可靠性降低。