本申請是申請?zhí)枮椤?00610091732.1”，申請日為2006年6月9日，發(fā)明名稱為“控制裝置的任務管理裝置和方法”的發(fā)明的分案申請。

技術領域

本發(fā)明涉及控制裝置的任務管理裝置、輸入輸出控制裝置、信息控制裝置、控制裝置的任務管理方法、輸入輸出控制方法以及信息控制方法。

背景技術

以電子和信息領域的技術進步、在單一裝置內追求功能的復雜化和復合化為原動力，可編程電子裝置的應用范圍變寬，同時，所要求的可靠性也提高。

為實現(xiàn)一般所知的高可靠化，包括可編程電子裝置的多重化和多個處理器的多重化。

作為可編程電子裝置的多重化，常用系統(tǒng)·備用系統(tǒng)的結構是已知的。通過在常用系統(tǒng)檢測出故障時切換到備用系統(tǒng)，可以提高可用性。

另一方面，特開2004-234144號公報中公開了作為使用多個處理器的可編程電子裝置提高安全性的技術。

另外，在原子能設備和化學設備等潛在危險性高的處理設備中，為了在萬一的情況下減少對操作員和周邊環(huán)境的影響，采取了利用隔壁等防護設備的被動對策和利用緊急停止裝置等安全裝置的主動對策。其中，安全裝置等的控制單元由現(xiàn)有的繼電器等電磁·機械單元來實現(xiàn)。但是，近年來，伴隨著以可編程邏輯控制器(PLC)為代表的可編程控制設備的技術發(fā)展，將它們用作安全控制系統(tǒng)的控制單元的需求增加。

IEC61508-1～7，“Functional?Safety?of?electrical/electronic/programmable?electronic?safety-related?systems”part1-part7(簡稱為IEC?61508)是對應上述動向而發(fā)布的國際標準，它規(guī)定了在安全控制系統(tǒng)的一部分中使用電氣/電子/可編程電子裝置的情況下的必要條件。在IEC61508中，作為安全控制系統(tǒng)的能力尺度，定義了SafetyIntegrity?Level(SIL：安全完整性等級)，并規(guī)定了與從1到4的等級相對應水平的要求事項。它表示SIL越高，可以降低處理設備所具有的潛在危險性的程度越大。即，意味著在檢測出處理設備的異常時，可以多可靠地實施規(guī)定的安全控制。

要求安全控制裝置在通常運轉狀態(tài)下為非活性，而在處理設備發(fā)生異常時立即活化。為此，經(jīng)常執(zhí)行自診斷、連續(xù)檢查自身的健全性是非常重要的。在要求高SIL的安全控制系統(tǒng)中，為使由于未檢測出的故障導致系統(tǒng)不動作的概率極小化，必須實施寬范圍、高精度的自診斷。

在IEC61508中，對構成安全控制裝置的要素部件的每個種類，介紹了各自應用的自診斷技術，并以診斷率的形式來表示各種技術的有效性。診斷率表示各構成要素的所有故障中、采用該診斷技術時可檢測出的故障的比例。例如，利用美國專利6779128號公報中記載的RAM診斷技術“abraham”，可主張最高99％的診斷率。

另外，作為各構成要素之一的處理器的故障檢測方法，使用多個處理器來監(jiān)視相互的輸出結果的一致性的方法是有效的。

作為對多個處理器進行相互診斷的方法，各處理器同時執(zhí)行同樣的控制處理并確認其輸出一致的方法是有效的。

作為其代表性例子，如特開平6-290066號公報中所記載的那樣，例舉了下述方法：利用在使2個處理器同步執(zhí)行的同時，通過使輸入值也為相同信息而使輸出一致的方法來確認處理器的健全性。

可編程電子裝置所要求的可靠性的要素包括可用性和安全性，但在設備的控制中，可用性很重要，在設備的保護中，安全性很重要。由于這2個要素的實現(xiàn)方法是相悖(二律背反)的，因此，很難同時滿足可用性和安全性。可將負責可用性的裝置部分和負責安全性的裝置部分分開，但是，這不僅使裝置大型化，而且運轉、維護作業(yè)的重復、復雜化還導致人的要素的可靠性降低。

可編程電子裝置所要求的可靠性的要素內包括可用性和安全性。在設備的控制中，可用性很重要，在設備的保護中，安全性很重要。這2個要素的實現(xiàn)方法相悖的部分很多。

為此，目前將負責可用性的裝置部分和負責安全性的裝置部分分開，這是常識。因此，不僅使裝置大型化，而且運轉、維護作業(yè)的重復、復雜化還導致人的要素的可靠性降低。

在要求高安全性的控制系統(tǒng)中，如特開平6-290066號公報(專利文獻1)所記載，采用下述方法：通過對照多個處理器的輸出來確認處理器的健全性，僅在一致的情況下，才輸出到后級存儲器和IO。

使用該方法，在使各處理器的動作定時一致的同時，對控制輸入信息也進行核對，以向各處理器傳遞同一值，從而使輸出一致。