WO2012105089A1

WO2012105089A1 - 安全装置、安全装置の演算方法

Info

Publication number: WO2012105089A1
Application number: PCT/JP2011/073079
Authority: WO
Inventors: 石井　圭; 正信曽我; 江本　英晃; 信一戸田; 克哉太呉; 賢一森本
Original assignee: Mitsubishi Heavy Industries Ltd
Current assignee: Mitsubishi Heavy Industries Ltd
Priority date: 2011-01-31
Filing date: 2011-10-06
Publication date: 2012-08-09
Anticipated expiration: 2013-07-31
Also published as: US9753437B2; EP2672339A4; JP2012159956A; CN103238122A; US20130245794A1; JP5683294B2; CN103238122B; KR20130084679A; EP2672339B1; KR101533169B1; EP2672339A1

Abstract

　安全装置は、第１演算部と、第２演算部と、出力制御部と、当該第１演算部および第２演算部を備える第１中央演算処理装置と、を備える。第１演算部と第２演算部とは異なるハードウェアである。第１演算部は、制御対象から検出された検出値に対して第１演算を行って第１結果値を取得する。第２演算部は、検出値に対して第２演算を行って第２結果値を取得し、第１結果値と第２結果値とが一致するか否かを判定する。出力制御部は、前記第２演算部が前記第１結果値と前記第２結果値とが一致すると判定した場合、前記第１結果値を出力する。第２演算部は、前記第２演算部が前記第１結果値と前記第２結果値とが一致しないと判定した場合、前記第１結果値を出力しない。

Description

安全装置、安全装置の演算方法

　本発明は、安全装置、安全装置の演算方法に関する。
　本願は、２０１１年１月３１日に、日本に出願された特願２０１１－０１８２２０号に基づき優先権を主張し、その内容をここに援用する。

　火力プラントなどにおいて、プラントの状態を監視し異常を検知してプラントを安全に停止させる安全装置として、電子式の安全装置が適用されている。プラントの安全装置には、高い信頼性が要求されるため、国際機能安全規格ＩＥＣ６１５０８などに、要求事項が規定されている。このため、プラントの利用者から、これらの安全規格を遵守するよう要求が増えてきている。

　電子式の安全装置では、その信頼性を高めるために、安全機能のロジックを演算する電子式の安全装置の演算装置（ＣＰＵボード上でソフトウェアを動作させて実現）の多重化が一般に使われている。非特許文献１では、演算装置単体を並列に設けることで多重化し、各演算装置が自己診断を行った後、演算装置相互で演算結果を比較することで、演算装置の故障を検知する。これにより、非特許文献１に記載の安全装置（制御装置）では、安全機能が働くべきときに故障のために不動作となる確率を減らしている。

　図１６は、背景技術に係る安全装置の構成図である。図１６に示すように、非特許文献２の安全装置９００は、１つのシステム内で、安全機能が働くべきときに故障のために不動作となる確率を減らすため、同一の機能を異なる技術で構成している。異なる技術とは、例えば、図１６に示すように、実行側の出力スイッチＳＷ_ａ１を半導体スイッチ、待機側の出力スイッチＳＷ_ａ２をメカニカルスイッチで構成している。また、非特許文献２に記載の発明も、図１６に示したように演算装置（ＣＰＵ）が並列に接続され、多重化されている。このように、非特許文献２の安全装置９００は、ハードウェアの共通部をなくして、安全機能が働くべきときに故障のために不動作となる確率を減らしている。

　一般に、多重化した各演算装置に同一ソフトウェアを搭載すると、コモンモード故障の要因となるため、高い信頼性を実現する上で妨げとなる問題点がある。コモンモード故障とは、共通のアプリケーションを有することにより、共通の故障要因を有することである。このため、特許文献１に記載の発明は、Ｎ個の多重化装置で、おのおの異なったソフトウェアを搭載して多様化を図ることでコモンモード故障を排除している。特許文献１に記載の発明は、機能を複数のソフトウェアによるモジュールで構成する場合に、各モジュールを1つ以上のバージョンのソフトウェアで作成する。そして、特許文献１に記載の発明は、モジュールの組合せを変えてＮ通りのバージョンのソフトウェアで実現している。

特開平６－３４２６９号公報

IEC 61508-6 ed1.0，Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3，International Electrotechnical Commission，２００４年４月安藤忠明、安藤進清、「安全計装システムとＰｒｏＳａｆｅシリーズの診断機能」、横河技法　Ｖｏｌ．４３　Ｎｏ．４　ｐ．１７５－１８０、１９９９

　しかしながら、特許文献１に記載の背景技術では、Ｎ個の異なったアルゴリズムやソフトウェアを開発することは容易ではなく、コストが増大するという問題点があった。また、非特許文献２に記載の安全装置では、多様性を確保するために異なるハードウェアを設けることが示されているが、ＣＰＵ（演算部分）のハードウェア及びソフトウェアに対する多様性の確保は示されていない。このため、非特許文献２の安全装置では、ハードウェアによるコモンモード故障を防ぐことができても、ソフトウェアによるコモンモード故障を防ぐことができない場合があるという問題点があった。

　本発明は、上記の問題点に鑑みてなされたものであって、安価にコモンモード故障を防ぐことができる安全装置、安全装置の演算方法を提供することを目的としている。

　上記目的を達成するため、本発明の一実施形態に係る安全装置は、第１演算部と、第２演算部と、出力制御部と、当該第１演算部および第２演算部を備える第１中央演算処理装置と、を備える。第１演算部と第２演算部とは異なるハードウェアである。第１演算部は、制御対象から検出された検出値に対して第１演算を行って第１結果値を取得する。第２演算部は、検出値に対して第２演算を行って第２結果値を取得し、第１結果値と第２結果値とが一致するか否かを判定する。出力制御部は、前記第２演算部が前記第１結果値と前記第２結果値とが一致すると判定した場合、前記第１結果値を出力する。第２演算部は、前記第２演算部が前記第１結果値と前記第２結果値とが一致しないと判定した場合、前記第１結果値を出力しない。

　本発明によれば、安価にコモンモード故障の可能性を低くすることができる安全装置を実現することができる。

本発明の第１実施形態に係る安全装置の構成図である。同実施形態に係る演算装置の構成図である。同実施形態に係る演算装置のデータの例を説明する図である。同実施形態に係る第１演算部と第２演算部が行う演算を説明する図である。演算装置が行う演算の概略の一例を説明する図である。同実施形態に係る演算装置が行う演算の一例を説明する図である。同実施形態に係る安全装置の処理手順のフローチャートである。本発明の第２実施形態に係る演算装置の構成の一例を説明する図である。同実施形態に係る演算ブロックの入出力データの一例を説明する図である。同実施形態に係る逆演算ブロックの入出力データと保持されているデータの一例を説明する図である。同実施形態に係る演算ブロックの構成の一例を説明する図である。同実施形態に係る逆演算ブロックの構成の一例を説明する図である。同実施形態に係る逆演算ブロックの処理手順を説明する図である。同実施形態に係る逆演算ブロックの処理手順のフローチャートである。本発明の第３実施形態に係る入力が１個の場合のデジタル値の順方向の演算を説明する図である。同実施形態に係る入力が１個の場合のデジタル値の逆演算を説明する図である。同実施形態に係る入力が２個の場合のデジタル値の順方向の演算を説明する図である。同実施形態に係る入力が２個の場合のデジタル値の逆演算を説明する図である。背景技術に係る安全装置の構成図である。

　以下、図面を用いて本発明の実施形態について詳細に説明する。なお、本発明は係る実施形態に限定されず、その技術思想の範囲内で種々の変更が可能である。

（第１実施形態）
　図１は、本発明の第１実施形態に係る安全装置の構成図である。なお、本実施形態の安全装置は、火力プラント、水力プラント、電力プラントなどのプラントに適用する例を説明するが、工場の生産ライン、ビルのメンテナンスシステム、大型空調システムなどの分散型制御による安全装置が用いられているシステムにも適用してもよい。

　図１に示すように、本実施形態に係る安全装置１００は、入力装置２、演算装置３ａ～３ｄ、出力装置４を備えている。また、安全装置１００は、アクチュエータ５に接続されている。
　アクチュエータ５は、例えば、発電用のガスタービンの燃料供給を強制停止する弁である。また、安全装置１００には、センサ１が取り付けられている。アクチュエータ５は、安全装置１００が出力する指令値に基づき動作する。
　センサ１は、熱量や流量などのアナログ値を検出する。また、センサ１は、アクチュエータ５に取り付けられている不図示の各種スイッチの論理状態などのデジタル値を検出する。センサ１は、アナログ値の検出値と、デジタル値の検出値とを、安全装置１００に出力する。

　安全装置１００の入力装置２は、センサ１が出力するアナログ値の検出値とデジタル値の検出値とを、演算装置３ａ～３ｄに出力する。
　演算装置３ａは、入力装置２が出力するアナログ値の検出値とデジタル値の検出値とに対し、それぞれ演算処理を施し、演算結果を出力装置４に出力する。
　演算装置３ｂは、入力装置２が出力するアナログ値の検出値とデジタル値の検出値とに対し、それぞれ演算処理を施し、演算結果を出力装置４に出力する。
　演算装置３ｃは、入力装置２が出力するアナログ値の検出値とデジタル値の検出値とに対し、それぞれ演算処理を施し、演算結果を出力装置４に出力する。
　演算装置３ｄは、入力装置２が出力するアナログ値の検出値とデジタル値の検出値とに対し、それぞれ演算処理を施し、演算結果を出力装置４に出力する。
　出力装置４は、演算装置３ａ～３ｄが出力する演算結果に対して、後述するように多数決処理を行い、多数決結果に基づき選ばれた演算結果を指令値としてアクチュエータ５に出力する。
　以下、演算装置３ａ～３ｄを総称して「演算装置３」と称する。

　図２は、本実施形態に係る演算装置の構成図である。図２に示すように、演算装置３は、振分部３１、第１演算部３２、第２演算部３３、自己診断部３４、出力制御部３５を備えている。また、第１演算部３２は、第１安全機能演算部１０１、第１安全機能演算検証部１０２を備えている。また、第２演算部３３は、第２安全機能演算部１１１、第２安全機能演算検証部１１２を備えている。また、第１演算部３２と第２演算部３３は、例えば、１つのＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）が有する論理演算装置ＡＬＵ（Arithmetic and Logic Unit）と浮動小数点演算装置ＦＰＵ（Floating Point number processing Unit）で実行される。

　振分部３１は、入力装置２が出力するアナログ値の検出値とデジタル値の検出値を、アナログ値の検出値ｉｎ_ａとデジタル値の検出値ｉｎ_ｇとに振り分ける。振分部３１は、デジタル値の検出値ｉｎ_ｇを、第１演算部３２の第１安全機能演算部１０１と、第２演算部３３の第２安全機能演算検証部１１２とに出力する。振分部３１は、アナログ値の検出値ｉｎ_ａを、第１演算部３２の第１安全機能演算検証部１０２と、第２演算部３３の第２安全機能演算部１１１とに出力する。

　第１演算部３２は、例えば、論理演算装置ＡＬＵ（Arithmetic and Logic Unit）で実行される。第１演算部３２は、例えばソフトウェアの切換により、第１安全機能演算部１０１と第１安全機能演算検証部１０２とを実現する。
　第１安全機能演算部１０１は、振分部３１が出力するデジタル値の検出値ｉｎ_ｇに対して論理演算（第１の演算）を行い、アクチュエータ５の制御量である出力値を取得し、演算結果ｏｕｔ１を第２安全機能演算検証部１１２と出力制御部３５とに出力する。
　第１安全機能演算検証部１０２は、振分部３１が出力するアナログ値の検出値ｉｎ_ａに対して、エミュレーションによる公知の整数演算（第２の演算）を行い、アクチュエータ５の制御量である出力値を取得する。第１安全機能演算検証部１０２は、この演算結果が、第２安全機能演算部１１１による演算結果ｏｕｔ２と一致するか否かを判定する。第１安全機能演算検証部１０２は、判定の結果、第１安全機能演算検証部１０２による演算結果が、第２安全機能演算部１１１による演算結果ｏｕｔ２と一致する場合、演算結果が正常であることを示す情報を出力制御部３５に出力する。第１安全機能演算検証部１０２は、判定の結果、第１安全機能演算検証部１０２による演算結果が、第２安全機能演算部１１１による演算結果ｏｕｔ２と一致しない場合、演算結果が異常であることを示す情報を出力制御部３５に出力する。

　なお、第１安全機能演算検証部１０２が行うエミュレーションによる整数演算は、例えば、第１演算部３２にアセンブラコードでライブラリに実装されているソフトウェアによるエミュレーションや、マイクロコードでＡＬＵに存在しない操作をエミュレーションすることで、整数の除算や浮動小数点の処理を行う。あるいは、第１演算部３２は、不図示の除算器や浮動小数点ユニットのような別のハードウェア部品や、コプロセッサなどを備えることで、整数の除算や浮動小数点の処理を行う。

　第２演算部３３は、例えば、浮動小数点演算装置ＦＰＵ（Floating Point number processing Unit）で実行される。第２演算部３３は、例えばソフトウェアの切換により、第２安全機能演算部１１１と第２安全機能演算検証部１１２とを実現する。
　第２安全機能演算部１１１は、振分部３１が出力するアナログ値の検出値ｉｎ_ａに対して浮動小数点演算（第１の演算）を行って、アクチュエータ５の制御量である出力値を取得し、演算結果ｏｕｔ２を第１安全機能演算検証部１０２と出力制御部３５とに出力する。
　第２安全機能演算検証部１１２は、振分部３１が出力するデジタル値の検出値ｉｎ_ｇに対して、後述するようにアナログ演算で模擬した論理演算（第２の演算）を行って、アクチュエータ５の制御量である出力値を取得する。第２安全機能演算検証部１１２は、この演算結果が、第１安全機能演算部１０１による演算結果ｏｕｔ１と一致するか否かを判定する。第２安全機能演算検証部１１２は、判定の結果、第２安全機能演算検証部１１２による演算結果が、第１安全機能演算部１０１による演算結果ｏｕｔ１と一致する場合、演算結果が正常であることを示す情報を出力制御部３５に出力する。第２安全機能演算検証部１１２は、判定の結果、第１安全機能演算検証部１１２による演算結果が、第１安全機能演算部１０１による演算結果ｏｕｔ１と一致しない場合、演算結果が異常であることを示す情報を出力制御部３５に出力する。

　自己診断部３４は、演算装置３の健全性を診断し、診断結果を出力制御部３５に出力する。自己診断部３４は、例えば、演算装置３に、不図示の電源供給装置から供給された電源電圧の電圧値が、所定の値の範囲であるか否かを判定する。自己診断部３４は、電圧値が所定の範囲内にある場合を正常と判定し、電圧値が所定の値の範囲外にある場合を異常と判定し、判定結果を出力制御部３５に出力する。
　出力制御部３５は、第１安全機能演算検証部１０２が出力する情報が、演算結果が正常であることを示す情報である場合、第２安全機能演算部１１１が出力するアナログ値の演算結果を出力装置４に出力する。出力制御部３５は、第２安全機能演算検証部１１２が出力する情報が、演算結果が正常であることを示す情報である場合、第１安全機能演算部１０１が出力するデジタル値の演算結果を出力装置４に出力する。
　出力制御部３５は、第１安全機能演算検証部１０２が出力する情報が、演算結果が異常であることを示す情報である場合、第２安全機能演算部１１１が出力するアナログ値の演算結果を出力装置４に出力しない。出力制御部３５は、第２安全機能演算検証部１１２が出力する情報が、演算結果が異常であることを示す情報である場合、第１安全機能演算部１０１が出力するデジタル値の演算結果を出力装置４に出力しない。

　図３は、本実施形態に係る演算装置のデータの例を説明する図である。図３において、各列は、演算装置３毎の入力値ｉｎ、振分部３１の出力（アナログ値の検出値ｉｎ_ａ、およびデジタル値の検出値ｉｎ_ｇ）、第１安全機能演算部１０１の出力ｏｕｔ１（論理演算結果１～４）、第２安全機能演算部１１１の出力ｏｕｔ２（アナログ演算結果１～４）である。各行は、演算装置３ａ～３ｄ毎のデータである。このように、演算装置３ａ～３ｄには、同一の入力値ｉｎが入力される。そして、演算装置３ａ～３ｄの振分部３１が、入力値ｉｎを振り分け、デジタル値の検出値ｉｎ_ｇを各々の第１安全機能演算部１０１に出力し、アナログ値の検出値ｉｎ_ａを各々の第２安全機能演算部１１１に出力している。そして、演算装置３ａ～３ｄの各第１安全機能演算部１０１が、各々、論理演算結果１～４（ｏｕｔ１）を出力している。また、演算装置３ａ～３ｄの各第２安全機能演算部１１１が、各々、アナログ演算結果１～４（ｏｕｔ２）を出力している。

　図４は、本実施形態に係る第１演算部３２と第２演算部３３が行う演算を説明する図である。図４に示すように、第１演算部３２の第１安全機能演算部１０１は、デジタル値の検出値に対して論理演算を行う。この演算結果を検証するため、第２演算部３３の第２安全機能検証部１１２は、デジタル値の検出値に対してアナログ演算で模擬した論理演算を行う。
　また、第２演算部３３の第２安全機能演算部１１１は、アナログ値の検出値に対してアナログ演算（浮動小数点演算）を行う。この演算結果を検証するために、第１演算部３２の第１安全機能検証部１０２は、アナログ値の検出値に対してエミュレーションによる整数演算を行う。

　図５は、演算装置が行う演算の概略の一例を説明する図である。
　図５に示すように、演算装置３には、入力装置２が出力するデジタル値の検出値ＤＩＮ_１１５１、およびＤＩＮ_２１５２、アナログ値の検出値ＡＩＮ_３１５３が入力されている。図５において、符号１６１、１６２、および１６３が演算要素である。符号１６１は、論理和の論理演算を行う演算要素であり、符号１６３は、論理積の論理演算を行う演算要素である。また、符号１６２は、入力値が所定の値を超えたときにＨレベル（真または“１”ともいう）の信号を出力する関数の演算を行う演算要素である。このように、演算装置３は、予め演算要素（加算、減算、除算、リミッタ、折れ線関数など）を関数化して記憶している。そして、図５に示すように、演算要素１６１の出力を演算要素１６３の入力に矢印１８１で接続し、演算要素１６２の出力を演算要素１６３の入力に矢印１８２で接続して、ロジックを構成している。演算装置３は、図５に示したような構成図（データフローともいう）から、論理演算を行うプログラムに変換したものを実行する。

　図５において、例えば、デジタル値の検出値ＤＩＮ_１１５１かＤＩＮ_２１５２のどちらかがＨレベル（真または“１”ともいう）の場合、演算要素１６１は、Ｈレベルを演算要素１６３に出力する。そして、アナログ値のＡＩＮ_３１５３が所定の値を超えた場合、演算要素１６２はＨレベルを演算要素１６３に出力する。そして、演算要素１６３は、演算要素１６１の出力と、演算要素１６２の出力との論理積を取って、演算結果ＤＯＵＴ_１１７１を取得する。
　また、図５に示したのは、演算装置３が行う演算を説明するための概略である。実際の演算は、例えば、アナログ値の検出値ＡＩＮ_３１５３が熱量の場合、演算要素１６３は、このアナログ値の検出値ＡＩＮ_３１５３が所定の熱量を超えた場合に、熱量を下げるために、アクチュエータ５に熱量を下げる指示を示す情報（例えば、燃料供給を強制停止する弁を閉じる）を生成して、アクチュエータ５に指令値として出力する。
　また、例えば、デジタル値の検出値ＤＩＮ_１１５１かＤＩＮ_２１５２が、アクチュエータ５が備える熱量を設定するためのスイッチの状態を示す検出値の場合、演算装置３は、上記のアナログ値の検出値ＡＩＮ_３１５３が所定の熱量を超えた場合に、熱量を下げるために、アクチュエータ５に熱量を下げる指示を示す情報を生成する。そして、演算装置３は、アクチュエータ５に熱量を設定するためのスイッチの状態を指令値として出力する。
　以下の説明では、演算装置３の動作の説明を簡略化するために、演算装置３に入力されたデジタル値の検出値、アナログ値の検出値を、各々、別々に演算する例を説明する。

　図６は、本実施形態に係る演算装置が行う演算の一例を説明する図である。
　図６において、各行はＡＬＵを使った論理演算の例とＦＰＵを使った浮動小数点演算による論理演算の例との対応関係であり、各列は、ＡＬＵを使った論理演算の例と、ＦＰＵを使った浮動小数点演算部による論理演算の例である。図６に示すように、論理演算で用いる値は、真と偽である。また、浮動小数点演算による論理演算で用いる値は、１．０と０．０である。
　論理積Ｙ＝（Ｘ１）ＡＮＤ（Ｘ２）は、浮動小数点演算で行う場合、Ｙ＝（Ｘ１）×（Ｘ２）の演算を行う。
　論理和Ｙ＝（Ｘ１）ＯＲ（Ｘ２）は、浮動小数点演算で行う場合、Ｙ＝ｆｌｏａｔ（（Ｘ１）＋（Ｘ２））！＝０．０）の演算を行う。なお、演算子「ｆｌｏａｔ」は、４バイト浮動小数点であり、演算子「！＝」は、比較演算子で異なる場合である。すなわち、Ｘ１とＸ２の和が０．０と異なる場合、Ｙ＝１．０であり、Ｘ１とＸ２の和が０の場合、Ｙ＝０．０である。
　否定Ｙ＝Ｘ^～は、浮動小数点演算で行う場合、Ｙ＝１．０－Ｘの演算を行う。
　排他的論理和Ｙ＝（Ｘ１）＾（Ｘ２）は、浮動小数点演算で行う場合、Ｙ＝ｆａｂｓ（Ｘ１－Ｘ２）の演算を行う。演算子「ｆａｂｓ」は、絶対値を取る演算子である。すなわち、Ｘ１とＸ２との差の絶対値を演算する。
　なお、図６には、論理演算を浮動小数点演算で行う一例を示したが、他にも公知の浮動小数点演算を用いることで、否定論理積等の各種の論理演算を浮動小数点演算で実現することができる。

　図７は、本実施形態に係る安全装置の処理手順のフローチャートである。
　まず、安全装置１００の演算装置３には、入力装置２が出力するアナログ値の検出値とデジタル値の検出値とが入力される。
　演算装置３の振分部３１は、入力装置２が出力するアナログ値の検出値とデジタル値の検出値を、アナログ値の検出値ｉｎ_ａとデジタル値の検出値ｉｎ_ｇとに分ける（ステップＳ１）。
　振分部３１は、デジタル値の検出値ｉｎ_ｇを、第１演算部３２の第１安全機能演算部１０１と、第２演算部３３の第２安全機能演算検証部１１２とに出力する。振分部３１は、アナログ値の検出値ｉｎ_ａを、第１演算部３２の第１安全機能演算検証部１０２と、第２演算部３３の第２安全機能演算部１１１とに出力する。

　次に、第１安全機能演算部１０１は、振分部３１が出力するデジタル値の検出値ｉｎ_ｇに対して論理演算を行って、アクチュエータ５の制御量である出力値を取得し、演算結果ｏｕｔ１を第２安全機能演算検証部１１２と出力制御部３５に出力する（ステップ２）。すなわち、第１安全機能演算部１０１は、デジタル値の検出値ｉｎ_ｇに対して論理演算を、ＡＬＵで実行する。
　第２安全機能演算検証部１１２は、振分部３１が出力するデジタル値の検出値ｉｎ_ｇに対して、アナログ演算で模擬した論理演算を行って、アクチュエータ５の制御量である出力値を取得する（ステップＳ３）。すなわち、第２安全機能演算検証部１１２は、第１安全機能演算部１０１の演算結果を検証するために、アナログ演算で模擬した論理演算を、ＦＰＵで実行する。

　第２安全機能演算検証部１１２は、第２安全機能演算検証部１１２による演算結果が、第１安全機能演算部１０１による演算結果ｏｕｔ１と一致するか否かを判定する（ステップＳ４）。
　判定の結果、第２安全機能演算検証部１１２による演算結果が第１安全機能演算部１０１演算結果ｏｕｔ１と一致する場合（ステップＳ４：Ｙｅｓ）、第２安全機能演算検証部１１２は、第１安全機能演算部１０１による演算結果が正常であることを示す情報を出力制御部３５に出力する。
　出力制御部３５は、第２安全機能演算検証部１１２が出力する演算結果が正常であることを示す情報に基づき、第１安全機能演算部１０１が出力する演算結果を出力装置４に出力する（ステップＳ５）。
　判定の結果、第２安全機能演算検証部１１２による演算結果が第１安全機能演算部１０１による演算結果ｏｕｔ１と一致しない場合（ステップＳ４：Ｎｏ）、第２安全機能演算検証部１１２は、演算結果が異常であることを示す情報を出力制御部３５に出力する。
　出力制御部３５は、第２安全機能演算検証部１１２が出力する演算結果が異常であることを示す情報に基づき、第１安全機能演算部１０１が出力する演算結果を出力装置４に出力しない（ステップＳ６）。

　次に、第２安全機能演算部１１１は、振分部３１が出力するアナログ値の検出値ｉｎ_ａに対してアナログ演算を行って、アクチュエータ５の制御量である出力値を取得し、演算結果ｏｕｔ２を第１安全機能演算検証部１０２と出力制御部３５に出力する（ステップＳ７）。すなわち、第２安全機能演算部１１１は、アナログ値の検出値ｉｎ_ａに対してアナログ演算を、ＦＰＵで実行する。
　第１安全機能演算検証部１０２は、振分部３１が出力するアナログ値の検出値ｉｎ_ａに対して、エミュレーションにより整数演算を行い、アクチュエータ５の制御量である出力値を取得する（ステップＳ８）。すなわち、第１安全機能演算検証部１０２は、第２安全機能演算部１１１の演算結果を検証するために、整数演算をエミュレートして、ＡＬＵで実行する。

　第１安全機能演算検証部１０２は、第１安全機能演算検証部１０２による演算結果が、第２安全機能演算部１１１による演算結果ｏｕｔ２と一致するか否かを判定する（ステップＳ９）。
　判定の結果、第１安全機能演算検証部１０２による演算結果が第２安全機能演算部１１１による演算結果ｏｕｔ２と一致する場合（ステップＳ９：Ｙｅｓ）、第１安全機能演算検証部１０２は、演算結果が正常であることを示す情報を出力制御部３５に出力する。
　出力制御部３５は、第１安全機能演算検証部１０２が出力する演算結果が正常であることを示す情報に基づき、第２安全機能演算部１１１が出力する演算結果を出力装置４に出力する（ステップＳ１０）。
　判定の結果、第１安全機能演算部１０２による演算結果が第２安全機能演算検証部１１１による演算結果ｏｕｔ２と一致しない場合（ステップＳ９：Ｎｏ）、第１安全機能演算検証部１０２は、演算結果が異常であることを示す情報を出力制御部３５に出力する。
　出力制御部３５は、第１安全機能演算検証部１０２が出力する演算結果が異常であることを示す情報に基づき、第２安全機能演算部１１１が出力する演算結果を出力装置４に出力しない（ステップＳ１１）。

　次に、出力装置４には、演算装置３ａ～３ｄが、ステップＳ１～ステップＳ１１により演算した演算結果が入力される。出力装置４は、入力された演算結果に対して多数決処理を行い、多数決処理に基づき指令値をアクチュエータ５に出力する（ステップＳ１２）。

　なお、本実施形態では、演算装置３の出力制御部３５は、第２安全機能演算検証部１１２が出力する演算結果が異常の場合、第１安全機能演算部１０１が出力する演算結果を出力装置４に出力しない例を説明した。出力制御部３５は、第２安全機能演算検証部１１２が出力する演算結果が異常の場合、演算装置３に異常があるため、出力装置４に、演算装置３に異常があることを示す情報を送るようにしてもよい。同様に、出力制御部３５は、第１安全機能演算検証部１０２が出力する演算結果が異常の場合、演算装置３に異常があるため、出力装置４に、演算装置３に異常があることを示す情報を送るようにしてもよい。
　出力装置４は、演算装置３が出力する異常があることを示す情報が入力された場合、例えば、不図示の表示部に異常が発生している演算装置３の固有の番号等を表示して、安全装置１００の使用者に知らせるようにしてもよい。この場合、演算装置３内で、異なるハードウェア（ＡＬＵとＦＰＵ）と異なるソフトウェア（異なる演算方式）で２重に演算結果を確認しているため、演算装置３の異常を検出することもできる効果がある。
　なお、異なる演算方式とは、例えばデジタル値に対する論理演算とアナログ値に対する浮動少数点演算であり、または、デジタル値に対する浮動小数点演算による論理演算とアナログ値に対するエミュレーションによる整数演算などである。

　次に、出力装置４が行う多数決処理について説明する。
　演算装置３ａ～３ｄから、４つの演算結果が入力された場合、出力装置４は、４つの演算結果で多数決を行い、例えば、４つのうち２つ以上が安全側を制御する出力値であれば、安全側を制御する出力値をアクチュエータ５に出力する。なお、安全側を制御する出力値とは、制御対象を安全な状態に制御する出力で、予め設定しておく。
　演算装置３ａ～３ｄから、３つの演算結果が入力された場合、すなわち、１つの演算結果が異常のため演算装置３により出力されなかった場合、出力装置４は、３つの演算結果で多数決を行い、例えば、３つのうち２つ以上が安全側を制御する出力値であれば、安全側を制御する出力値をアクチュエータ５に出力する。
　演算装置３ａ～３ｄから、２つの演算結果が入力された場合、すなわち、２つの演算結果が異常のため演算装置３により出力されなかった場合、出力装置４は、２つの演算結果のうち１つ以上が安全側を制御する出力値であれば、安全側を制御する出力値をアクチュエータ５に出力する。安全側を制御する出力値が１つ以上なかった場合、予め設定してある所定の出力順序に従って、入力された演算結果のうちの一方の演算結果を指令値としてアクチュエータ５に出力する。
　演算装置３ａ～３ｄから、１つの演算結果が入力された場合、すなわち、３つの演算結果が異常のため演算装置３により出力されなかった場合、出力装置４は、入力された演算結果を指令値としてアクチュエータ５に出力する。
　演算装置３ａ～３ｄから、１つも演算結果が入力されない場合、すなわち、４つの演算結果が異常のため演算装置により出力されなかった場合、出力装置４は、予め設定されている安全動作のための制御値を指令値としてアクチュエータ５に出力する。

　なお、上述した多数決処理は、出力装置５が、アナログの検出値に対する演算値、デジタル値に対する検出値に対する演算値のそれぞれに行う。
　また、図７に示したフローチャートにおいて、例えば、ステップＳ２とステップＳ７の演算を、第１安全機能演算部１０１と第２安全機能演算部１１１が並行して行うようにしてもよい。また、ステップＳ３、Ｓ４とステップＳ８～Ｓ９を、第１安全機能演算検証部１０２と第２安全機能演算検証部１１２が並行して行うようにしてもよい。
　また、図１の構成例では、演算装置３を多重する例を示したが、本実施形態の安全装置１００を用いる場合、１つの演算装置３内で異なるハードウェアとソフトウェアで確認しているため、多重化せずに演算装置３は１つでもよい。

　以上のように、本実施形態の安全装置１００は、１つのＣＰＵ（演算装置３）のＡＬＵ（第１演算部３２）とＦＰＵ（第２演算部３３）を用いて、入力値からおのおの異なるハードウェアと異なる演算方式を用いて演算している。この結果、演算の信頼性を上げる効果もあり、また、ＣＰＵ内の故障も検知することができる。また、本実施形態の安全装置１００は、第１演算部３２が、論理演算を行い、第２演算部３３が、それとは異なる論理方式である浮動小数点演算を行っているため、ソフトウェアにも多様性を持たせることができる。この結果、コモンモード故障の可能性を低くすることができる。

　なお、本実施形態では、演算装置３が、１つのＣＰＵが備えるＡＬＵとＦＰＵを用いる例を説明したが、デジタル信号プロセッサＤＳＰを備えるＣＰＵであれば、ＤＳＰによりＡＬＵとＦＰＵを構成するようにしてもよい。または、１つのデジタル信号プロセッサＤＳＰにより、ＡＬＵ（第１演算部３２）とＦＰＵ（第２演算部３３）を構成するようにしてもよい。

（第２実施形態）
　図８は、本発明の第２実施形態に係る演算装置の構成の一例を説明する図である。図８に示すように、本実施形態に係る演算装置３００は、第１演算部３２ａ、第２演算部３３ａを備えている。また、図８には示していないが、第１実施形態の図２と同様に、演算装置３００は、振分部３１、自己診断部３４、出力制御部３５を備えている。また、第２演算部３３ａは、入力データ部２０１、演算ブロック（ＦＢ１）２０２、演算ブロック（ＦＢｊ）２０３、演算ブロック（ＦＢｍ）２０４、出力データ部２０５を備えている。第１演算部３２ａは、逆演算用入力データ部２１１、逆演算ブロック（ＦＢ１^-１）２１２、ブロック（ＦＢｊ^-１）２１３、逆演算ブロック（ＦＢｍ^-１）２１４、逆演算出力部２１５を備えている。

　まず、演算装置３００で行う処理の概要を説明する。なお、以下の説明では、入力値がアナログ値の検出値のみであるとして説明を行う。
　演算装置３００の振分部３１は、入力装置２（図１）が出力するアナログ値の検出値を第２演算部３３ａに出力する。第２演算部３３ａでは、入力されたアナログ値の検出値に対して、順次、演算ブロック（ＦＢ１）２０２～演算ブロック（ＦＢｍ）２０４が演算を行う。また、第２演算部３３ａは、演算結果と演算の途中で使用した要素を、後述するように第１演算部３２ａの逆演算ブロック（ＦＢ１^-１）２１２～逆演算ブロック（ＦＢｍ^-１）２１４に出力する。
　第１演算部３２ａは、入力された演算結果と演算の途中で使用した要素を用いて、逆演算ブロック（ＦＢ１^-１）２１２～逆演算ブロック（ＦＢｍ^-１）２１４により逆演算を行い、演算結果を検証する。また、第１実施形態と同様に、第１演算部３２ａと第２演算部３３ａは、例えば、１つのＣＰＵ（演算装置３）が備えるＡＬＵとＦＰＵである。

　第２演算部３３ａの入力データ部２０１は、振分部３１が出力するアナログ値の検出値を演算ブロック（ＦＢ１）２０２に出力する。また、入力データ部２０１は、入力されたアナログ値の検出値を記憶する。
　演算ブロック（ＦＢ１）２０２～演算ブロック（ＦＢｍ）２０４は、振分部３１が出力するアナログ値の検出値に基づいて、安全機能の出力を生成するのに必要な演算を行うために構成されている。
　演算ブロック（ＦＢ１）２０２は、入力データ部２０１が出力するアナログ値の検出値に対して、所定の関数Ｆ_１により演算を行う。演算ブロック（ＦＢ１）２０２は、演算結果（Ｙ_1ｎ）、を演算ブロック（ＦＢｊ）２０３に出力する。さらに演算ブロック（ＦＢ１）２０２は、入力されたアナログ値の検出値ｉｎ（Ｘ_１ｎ）、演算結果（Ｙ_１ｎ）、演算の途中で使用した要素（Ｗ_１ｎ、Ｖ_１ｎ）を逆演算ブロック（ＦＢ１^-１）２１２に出力する。また、演算ブロック（ＦＢ１）２０２は、前回の演算の途中で使用した要素（Ｗ_{１（ｎ－１）}）を記憶している。なお、添え字ｎは、今回の演算による値を表し、ｎ－１は前回の演算による値表している。

　演算ブロック（ＦＢｊ）２０３は、演算ブロック（ＦＢ１）２０２が出力する演算結果（Ｙ_１ｎ（＝Ｘ_ｊｎ））に対して、所定の関数Ｆ_２により演算を行う。演算ブロック（ＦＢｊ）２０３は、演算結果（Y_ｊｎ）を演算ブロック（ＦＢｍ）２０４に出力する。さらに演算ブロック（ＦＢｊ）２０３は、演算ブロック（ＦＢ１）２０２が出力する演算結果（Ｙ_１ｎ（＝Ｘ_ｊｎ））、演算結果（Ｙ_ｊｎ）、演算の途中で使用した要素（Ｗ_ｊｎ、Ｖ_ｊｎ）を逆演算ブロック（ＦＢｊ^-１）２１３に出力する。また、演算ブロック（ＦＢｊ）２０３は、前回の演算の途中で使用した要素（Ｗ_{ｊ（ｎ－１）}）を記憶している。

　演算ブロック（ＦＢｍ）２０４は、演算ブロック（ＦＢｊ）２０３が出力する演算結果（Ｙ_ｊｎ（＝Ｘ_ｍｎ））に対して、所定の関数Ｆ_３により演算を行う。演算ブロック（ＦＢｍ）２０４は、演算結果（Y_ｍｎ）を出力データ部２０５に出力する。さらに演算ブロック（ＦＢｍ）２０４は、演算ブロック（ＦＢｊ）２０３が出力する演算結果（Ｙ_ｊｎ（＝Ｘ_ｍｎ））、演算結果（Ｙ_ｍｎ）、演算の途中で使用した要素（Ｗ_ｍｎ、Ｖ_ｍｎ）を逆演算ブロック（ＦＢｍ^-１）２１４に出力する。また、演算ブロック（ＦＢｍ）２０４は、前回の演算の途中で使用した要素（Ｗ_{ｍ（ｎ－１）}）を記憶している。

　出力データ部２０５は、演算ブロック（ＦＢｍ）２０４が出力する演算結果が入力されたことに応じて、演算ブロック（ＦＢ１）２０２～演算部ブロック（ＦＢｍ）２０４の演算が終了したと判断する。また、出力データ部２０５は、演算が終了したことを示す情報を逆演算出力部２１５に出力する。

　逆演算出力部２１５は、出力データ部２０５が出力する演算が終了したことを示す情報に基づき、逆演算ブロック（ＦＢｍ^-１）２１４に逆演算を開始する情報を出力する。
　逆演算ブロック（ＦＢ１^-１）２１２～逆演算ブロック（ＦＢｍ^-１）２１４は、演算ブロック（ＦＢ１）２０２～演算ブロック（ＦＢｍ）２０４が出力するアナログ値の検出値ｉｎ（Ｘ_１ｎ）、演算結果（Ｙ_１ｎ（＝Ｘ_ｊｎ））、（Ｙ_ｊｎ（＝Ｘ_ｍｎ））、および（Ｙ_ｍｎ）、演算の途中で用いた要素（Ｗ_１ｎ、Ｖ_１ｎ）、（Ｗ_ｊｎ、Ｖ_ｊｎ）および（Ｗ_ｍｎ、Ｖ_ｍｎ）に基づいて、逆演算を行うために構成されている。

　逆演算ブロック（ＦＢｍ^-１）２１４は、逆演算出力部２１５が出力する逆演算を開始する情報に基づき、演算ブロック（ＦＢｍ）２０４が出力する演算結果Ｙ_ｊｎ（＝Ｘ_ｍｎ）、演算結果Ｙ_ｍｎ、演算の途中で使用した要素（Ｗ_ｍｎ、Ｖ_ｍｎ）を用いて、所定の関数Ｆ_３ ^－１により逆演算を行う。逆演算ブロック（ＦＢｍ^-１）２１４は、逆演算を開始する情報を逆演算ブロック（ＦＢｊ^-１）２１３に出力する。
　また、逆演算ブロック（ＦＢｍ^-１）２１４は、逆演算結果Ｘ_ｍｎ’が演算結果Ｘ_ｍｎと一致するか否かを判定する（不一致チェックともいう）。判定の結果、逆演算結果Ｘ_ｍｎ’と演算結果Ｘ_ｍｎとが一致した場合、逆演算ブロック（ＦＢｍ^-１）２１４は、演算ブロック（ＦＢｍ）２０４の演算結果が正常であると判定する。判定の結果、逆演算結果Ｘ_ｍｎ’と演算結果Ｘ_ｊｎとが一致しない場合、逆演算ブロック（ＦＢｍ^-１）２１４は、演算ブロック（ＦＢｍ）２０４の演算結果が異常であると判定する。逆演算ブロック（ＦＢｍ^-１）２１４は、判定結果を、出力制御部３５に出力する。
　また、逆演算ブロック（ＦＢｍ^-１）２１４は、逆演算の途中で使用した要素Ｗ_{ｍ（ｎ－１）}’が、記憶されている前回の周期の逆演算の途中で使用した要素Ｗ_{ｍ（ｎ－１）}と一致するか否かを判定する。判定の結果、逆演算の途中で使用した要素Ｗ_{ｍ（ｎ－１）}’と前回の周期の逆演算の途中で使用した要素Ｗ_{ｍ（ｎ－１）}とが一致した場合、逆演算ブロック（ＦＢｍ^-１）２１４は、演算ブロック（ＦＢｍ）２０４の演算結果が正常であると判定する。また、逆演算ブロック（ＦＢｍ^-１）２１４は、入力された演算の途中で使用した要素Ｗ_ｍｎを次回の周期の逆演算で使用できるようにＷ_{ｍ（ｎ－１）}’に上書きして保存する。
　判定の結果、逆演算の途中で使用した要素Ｗ_{ｍ（ｎ－１）}’と逆演算の途中で使用した要素Ｗ_{ｍ（ｎ－１）}とが一致しない場合、逆演算ブロック（ＦＢｍ^-１）２１４は、演算ブロック（ＦＢｍ）２０４の演算結果が異常であると判定する。逆演算ブロック（ＦＢｍ^-１）２１４は、判定結果を、出力制御部３５に出力する。

　逆演算ブロック（ＦＢｊ^-１）２１３は、逆演算ブロック（ＦＢｍ^-１）２１４が出力する逆演算を開始する情報に基づき、演算ブロック（ＦＢｊ）２０３が出力する演算結果Ｙ_１ｎ（＝Ｘ_ｊｎ）、演算結果Ｙ_ｊｎ、演算の途中で使用した要素（Ｗ_ｊｎ、Ｖ_ｊｎ）を用いて、所定の関数Ｆ_２ ^－１により逆演算を行う。逆演算ブロック（ＦＢｊ^-１）２１３は、逆演算を開始する情報を逆演算ブロック（ＦＢ１^-１）２１２に出力する。
　また、逆演算ブロック（ＦＢｊ^-１）２１３は、逆演算結果Ｘ_ｊｎ’が、演算結果Ｘ_ｊｎと一致するか否かを判定する。判定の結果、逆演算結果Ｘ_ｊｎ’と演算結果Ｘ_ｊｎとが一致した場合、逆演算ブロック（ＦＢｊ^-１）２１３は、演算ブロック（ＦＢｊ）２０３の演算結果が正常であると判定する。判定の結果、逆演算結果Ｘ_ｊｎ’と演算結果Ｘ_ｊｎとが一致しない場合、逆演算ブロック（ＦＢｊ^-１）２１３は、演算ブロック（ＦＢｊ）２０３の演算結果が異常であると判定する。逆演算ブロック（ＦＢｊ^-１）２１３は、判定結果を、出力制御部３５に出力する。
　また、逆演算ブロック（ＦＢｊ^-１）２１３は、逆演算の途中で使用した要素Ｗ_{ｊ（ｎ－１）}’が、前回の周期の逆演算の途中で使用した要素Ｗ_{ｊ（ｎ－１）}と一致するか否かを判定する。判定の結果、逆演算の途中で使用した要素Ｗ_{ｊ（ｎ－１）}’と前回の周期の逆演算の途中で使用した要素Ｗ_{ｊ（ｎ－１）}とが一致した場合、逆演算ブロック（ＦＢｊ^-１）２１３は、演算ブロック（ＦＢｊ）２０３の演算結果が正常であると判定する。また、逆演算ブロック（ＦＢｊ^-１）２１３は、入力された演算の途中で使用した要素Ｗ_ｊｎを次回の周期の逆演算で使用できるようにＷ_{ｊ（ｎ－１）}’に上書きして保存する。
　判定の結果、逆演算の途中で使用した要素Ｗ_{ｊ（ｎ－１）}’と前回の周期の逆演算の途中で使用した要素Ｗ_{ｊ（ｎ－１）}とが一致しない場合、逆演算ブロック（ＦＢｊ^-１）２１３は、演算ブロック（ＦＢｊ）２０３の演算結果が異常であると判定する。逆演算ブロック（ＦＢｊ^-１）２１３は、判定結果を、出力制御部３５に出力する。

　逆演算ブロック（ＦＢ１^-１）２１２は、逆演算ブロック（ＦＢｊ^-１）２１３が出力する逆演算を開始する情報に基づき、演算ブロック（ＦＢ１）２０１が出力するアナログ値の検出値ｉｎ（Ｘ_１ｎ）、演算結果Ｙ_１ｎ、演算の途中で使用した要素（Ｗ_１、Ｖ_１）を用いて、所定の関数Ｆ_１ ^－１により逆演算を行う。逆演算ブロック（ＦＢ１^-１）２１２は、逆演算が終了したことを示す情報を逆縁算用入力データ部２１１に出力する。
　また、逆演算ブロック（ＦＢ１^-１）２１２は、逆演算結果Ｘ_１ｎ’が、アナログ値の検出値ｉｎ（Ｘ_１ｎ）と一致するか否かを判定する。判定の結果、逆演算結果Ｘ_１ｎ’とアナログ値の検出値ｉｎ（Ｘ_１ｎ）とが一致した場合、逆演算ブロック（ＦＢ１^-１）２１３は、演算ブロック（ＦＢ１）２０２の演算結果が正常であると判定する。判定の結果、逆演算結果Ｘ_１ｎ’とアナログ値の検出値ｉｎ（Ｘ_１ｎ）とが一致しない場合、逆演算ブロック（ＦＢ１^-１）２１２は、演算ブロック（ＦＢ１）２０２の演算結果が異常であると判定する。逆演算ブロック（ＦＢ１^-１）２１２は、判定結果を、出力制御部３５に出力する。
　また、逆演算ブロック（ＦＢ１^-１）２１２は、逆演算の途中で使用した要素Ｗ_{１（ｎ－１）}’が、前回の周期の逆演算の途中で使用した要素Ｗ_{１（ｎ－１）}と一致するか否かを判定する。判定の結果、逆演算の途中で使用した要素Ｗ_{１（ｎ－１）}’と前回の周期の逆演算の途中で使用した要素Ｗ_{１（ｎ－１）}とが一致した場合、逆演算ブロック（ＦＢ１^-１）２１２は、演算ブロック（ＦＢ１）２０２の演算結果が正常であると判定する。また、逆演算ブロック（ＦＢ１^-１）２１２は、入力された演算の途中で使用した要素Ｗ_１ｎを次回の周期の逆演算で使用できるようにＷ_{１（ｎ－１）}’に上書きして保存する。
　判定の結果、逆演算の途中で使用した要素Ｗ_{１（ｎ－１）}’と前回の周期の逆演算の途中で使用した要素Ｗ_{１（ｎ－１）}とが一致しない場合、逆演算ブロック（ＦＢ１^-１）２１２は、演算ブロック（ＦＢ１）２０２の演算結果が異常であると判定する。逆演算ブロック（ＦＢ１^-１）２１２は、判定結果を、出力制御部３５に出力する。

　逆演算用入力データ部２１１は、演算ブロック（ＦＢ１）２１２が出力する逆演算が終了したことを示す情報を、出力制御部３５に出力する。
　出力制御部３５は、逆演算用入力データ部２１１が出力する逆演算が終了したことを示す情報、逆演算ブロック（ＦＢ１^-１）２１２～逆演算ブロック（ＦＢｍ^-１）２１４が出力する判定結果に基づき、演算ブロック（ＦＢ１）２０２～演算ブロック（ＦＢｍ）２０４の演算が正常である場合、演算ブロック（ＦＢｍ）２０４の演算結果を指令値として出力装置４に出力する。

　なお、演算ブロック（ＦＢ１）２０２～演算ブロック（ＦＢｍ）２０４で用いる所定の関数Ｆ_１～Ｆ_３、逆演算ブロック（ＦＢ１^-１）２１２～逆演算ブロック（ＦＢｍ^-１）２１４で用いる所定の関数Ｆ_１ ^－１～Ｆ_３ ^－１は、予め入力値に基づいて、安全装置１００の設計者が予め設定しておく。

　なお、本実施形態では、演算ブロック（ＦＢ１）２０２～演算ブロック（ＦＢｍ）２０４の全ての演算が終了した後、逆演算ブロック（ＦＢ１^-１）２１２～逆演算ブロック（ＦＢｍ^-１）２１４が逆演算を行う例を説明した。例えば、各演算ブロック（ＦＢ１）２０２の演算が終了した後、逆演算ブロック（ＦＢ１^-１）２１２が逆演算を行うようにしてもよい。

　図９は、本実施形態に係る演算ブロックと逆演算ブロックの入出力データの一例を説明する図である。図１０は、本実施形態に係る逆演算ブロックの入出力データと保持されているデータの一例を説明する図である。
　図９に示すように、演算ブロック（ＦＢ１）２０２～演算ブロック（ＦＢｍ）２０４は、それぞれＸ_ｎが入力され、それぞれＹ_ｎ、Ｗ_ｎ、およびＶ_ｎを出力する。
　図１０に示すように、逆演算ブロック（ＦＢ１^-１）２１２～逆演算ブロック（ＦＢｍ^-１）２１４は、それぞれＹ_ｎ、Ｗ_ｎ、Ｖ_ｎ、およびＸ_ｎが入力され、Ｘ_ｎ’を出力する。また、逆演算ブロック（ＦＢ１^-１）２１２～逆演算ブロック（ＦＢｍ^-１）２１４は、それぞれ前回の周期のＷ_{（ｎ－１）}を保持している。

　次に、演算ブロック（ＦＢ１）２０２～演算ブロック（ＦＢｍ）２０４、逆演算ブロック（ＦＢ１^-１）２０２～逆演算ブロック（ＦＢｍ^-１）２０４が行う処理について、図１１Ａ～図１３を用いて説明する。図１１Ａは、本実施形態に係る演算ブロックの構成の一例を説明する図である。図１１Ｂは、本実施形態に係る逆演算ブロックの構成の一例を説明する図である。図１２は、本実施形態に係る逆演算ブロックの処理手順を説明する図である。図１３は、本実施形態に係る逆演算ブロックの処理手順のフローチャートである。

　図１１Ａと図１１Ｂは、図８における演算ブロックの破線で囲んだ２２０の演算ブロック（ＦＢｊ）２０３と逆演算ブロック（ＦＢｊ^-１）２１３の構成の一例である。
　図１１Ａに示すように、演算ブロック（ＦＢｊ）２０３は、Ｘ_ｊｎ、Ｗ_{ｊ（ｎ－１）}を入力値、Ｙ_ｊｎ、Ｗ_ｊｎおよびＶ_ｊｎを出力値とする演算を行う。図１１Ｂに示すように、逆演算ブロック（ＦＢｊ^-１）２１３は、Ｙ_ｊｎ、Ｗ_ｊｎおよびＶ_ｊｎを入力値、Ｘ_ｊｎ’、Ｗ_{ｊ（ｎ－１）}’を出力値とする逆演算を行う。
　図１１Ａと図１１Ｂにおいて、添え字ｎは、今回の周期のデータ、添え字ｎ－１は、前回の周期のデータである。また、Ｘ_ｊｎは、入力列、Ｙ_ｊｎは、出力列である。さらに、Ｗ_ｊｎは、中間データ列(出力を計算するまでの途中の主要な演算値)、Ｖ_ｊｎは、Ｘ_ｊｎとＷ_{ｊ（ｎ－１）}を一意的に求めるために必要な中間データである。Ｘ_ｊｎ’は、Ｘ_ｊｎの逆演算値、Ｗ_{ｊ（ｎ－１）}’は、Ｗ_{ｊ（ｎ－１）}の逆演算値であり、Ｗ_{ｊ（ｎ－１）}は、逆縁算用に前回の周期のＷ_ｊｎをコピーしたデータ列である。
　図１１Ａに示すように、演算ブロック（ＦＢｊ）２０３は、入力値のＸ_ｊｎとＷ_{ｊ（ｎ－１）}に対して所定の関数Ｆ_２施して、出力値のＹ_ｊｎ、Ｗ_ｊｎ、Ｖ_ｊｎを取得する。
　図１１Ｂに示すように、逆演算ブロック（ＦＢｊ^-１）２１３は、入力値のＹ_ｊｎとＷ_ｊｎおよびＶ_ｊｎに対して所定の関数Ｆ_２ ^－１を施して、出力値Ｘ_ｊｎ’Ｗ_{ｊ（ｎ－１）}’を取得する。

　次に、逆演算ブロック（ＦＢｊ^-１）２１２が行う逆演算の手順を詳細に説明する。
　まず、逆演算ブロック（ＦＢｊ^-１）２１２は、演算ブロック（ＦＢｊ）２０２の演算結果Ｙ_ｊｎを入力値としてコピーする（ステップＳ１０１、図１２のＣ１、Ｃ２）。
　次に、逆演算ブロック（ＦＢｊ^-１）２１２は、演算ブロック（ＦＢｊ）２０２の演算の途中で使用した要素Ｗ_ｊｎとＶ_ｊｎを、入力値としてコピーする（ステップＳ１０２、図１２のＣ３）。
　次に、逆演算ブロック（ＦＢｊ^-１）２１２は、演算ブロック（ＦＢｊ）２０２への入力値であるＸ_ｊｎを、出力値としてコピーする（ステップＳ１０３、図１２のＣ４）。
　次に、逆演算ブロック（ＦＢｊ^-１）２１２は、コピーした入力値Ｙ_ｊｎ、Ｗ_ｊｎ、およびＶ_ｊｎに対して、所定の関数Ｆ_２ ^－１により逆演算を行って、Ｘ_ｊｎ’とＷ_{ｊ（ｎ－１）}’を取得する（ステップＳ１０４、図１３のＣ５）。

　次に、逆演算ブロック（ＦＢｊ^-１）２１２は、逆演算により求めたＸ_ｊｎ’と、コピーしたＸ_ｊｎとが一致するか否かを判定する（ステップＳ１０５）。
　判定の結果、逆演算により求めたＸ_ｊｎ’と、コピーしたＸ_ｊｎとが一致する場合（ステップＳ１０５：Ｙｅｓ）、ステップＳ１０７に進む。判定の結果、逆演算により求めたＸ_ｊｎ’と、コピーしたＸ_ｊｎとが一致しない場合（ステップＳ１０５：Ｎｏ）、ステップＳ１０６に進む。

　次に、逆演算ブロック（ＦＢｊ^-１）２１２は、逆演算の途中で使用した要素Ｗ_{ｊ（ｎ－１）}’と、コピーしたＷ_{ｊ（ｎ－１）}とが一致するか否かを判定する（ステップＳ１０７、図１２のＣ６）。
　判定の結果、逆演算により求めたＷ_{ｊ（ｎ－１）}’と、コピーしたＷ_{ｊ（ｎ－１）}とが一致する場合（ステップＳ１０７：Ｙｅｓ）、ステップＳ１０８に進む。判定の結果、逆演算により求めたＷ_{ｊ（ｎ-１）}’と、コピーしたＷ_{ｊ（ｎ－１）}とが一致しない場合（ステップＳ１０７：Ｎｏ）、ステップＳ１０６に進む。

　逆演算ブロック（ＦＢｊ^-１）２１２は、演算結果、または演算の途中で使用した要素が一致しなかったため、異常と判定し、判定結果を出力制御部３５に出力する（ステップＳ１０６）。

　逆演算ブロック（ＦＢｊ^-１）２１２は、演算結果と、演算の途中で使用した要素とが一致したため、正常と判定し、判定結果を出力制御部３５に出力する。また、逆演算ブロック（ＦＢｊ^-１）２１２は、コピーしたＷ_ｊｎを次回の周期の逆演算チェックで使用できるようにＷ_{ｊ（ｎ－１）}’に上書きして保存する（ステップＳ１０８、図１２のＣ７）。

　以上のように、本実施形態では、第２演算部３３が取得した演算結果に対し、第１演算部３２ａが第２演算部３３ａで取得された演算結果と演算途中で使用された要素を用いて逆演算を行う。そして、第１演算部３２ａは、逆演算した演算結果が、第２演算部３３ａ（ＦＰＵ）が取得した演算結果の入力値と一致するか判定する。さらに、第１演算部３２ａ（ＡＬＵ）は、逆演算の途中で使用した要素が前回の周期で使用した要素と一致するかも判定する。この結果、異なるハードウェアかつ異なるソフトウェアにより、演算結果が正しいかをチェックすることができるので、安価にコモンモード故障の可能性を低くすることができる。

　なお、本実施形態では、演算ブロック（ＦＢ１）２０２～演算ブロック（ＦＢｍ）２０４、逆演算ブロック（ＦＢ１^-１）２１２～逆演算ブロック（ＦＢｍ^-１）２１４のように、３個ずつ用いる例を説明したが、演算ブロックおよび逆演算ブロックの数はこれに限らず、検出される検出値や指令値に基づいて決めるようにしてもよい。
　また、本実施形態の構成に実施形態１の構成を加えるようにしてもよい。この場合、第２演算部３３ａが取得した演算結果に対し、第１演算部３２ａが逆演算と、順方向の演算を行うこととで、さらに信頼性を上げることができる。
　また、本実施形態では、図８のように１つの演算装置３についてのみ用いる例を説明したが、図１と同様に、演算装置３を多重化してもよい。

（第３実施形態）
　第２実施形態では、アナログ値の検出値が演算装置３に入力された場合、第２演算部３３ａが演算した演算結果に対して、第１演算部３２ａが逆演算して判定する例を説明した。本実施形態では、デジタル値の検出値が演算装置３に入力された場合、第１演算部３２ｂが演算した演算結果に対して、第２演算部３３ｂが逆演算して判定する例を説明する。なお、第２演算部３３ｂは、第１実施形態で説明したように、デジタル値を浮動小数点演算により論理演算することで行う。

　図１４Ａは、本実施形態に係る入力が１個の場合のデジタル値の順方向の演算を説明する図である。図１４Ｂは、本実施形態に係る入力が１個の場合のデジタル値の逆演算を説明する図である。
　図１４Ａに示すように、入力が１個、出力が１個の場合、第１演算部３２ｂは、入力Ｘ_ｎに対して所定の関数Ｆを施して出力Ｙ_ｎを取得する。また、図１４Ｂに示すように、第２演算部３３ｂは、出力Ｙ_ｎに関数Ｆ^－１を施してＸ_ｎ’を逆演算し、逆演算したＸ_ｎ’とＸ_ｎとを比較することで、演算が正常か否かを判定できる。このような演算として、例えば、ＮＯＴ論理（否定）がある。

　図１５Ａは、本実施形態に係る入力が２個の場合のデジタル値の順方向の演算を説明する図である。図１５Ｂは、本実施形態に係る入力が２個の場合のデジタル値の逆演算を説明する図である。
　図１５Ａに示すように、入力が２個、出力が１個の場合、第１演算部３２ｂは、入力Ｘ_１とＸ_２に対して所定の関数Ｆを施して出力Ｙｎを取得する。ここで、出力Ｙ_ｎのみでは、入力Ｘ_１、Ｘ_２を一意に求めることができないため、例えば、図１５Ｂに示すように、第２演算部３３ｂが、入力Ｘ_２と出力Ｙ_ｎを入力値とし、これらＸ_２とＹ_ｎに対して所定の関数Ｆ^－１を施して、Ｘ_１’を取得する。そして、第２演算部３３ｂが取得したＸ_１’と入力のＸ_１とを比較することで演算が正常か否かを判定できる。このような演算として、例えば、ＡＮＤ論理（論理積）、ＯＲ論理（論理和）などがある。

　以上のように、本実施形態では、第１演算部３２ｂ（ＡＬＵ）が取得した演算結果に対し、第２演算部３３ｂ（ＦＰＵ）が第１演算部３２ｂで取得された演算結果に対して逆演算を行う。そして、第２演算部３３ｂ（ＦＰＵ）は、逆演算した演算結果が、第１演算部３２ｂ（ＡＬＵ）の入力値と一致するか判定する。この結果、異なるハードウェアかつ異なるソフトウェアにより、演算結果が正しいかをチェックすることができるので、安価にコモンモード故障の可能性を低くすることができる。

　また、本実施形態の構成に実施形態１の構成を加えるようにしてもよい。この場合、第１演算部３２ｂが取得した演算結果に対し、第２演算部３３ｂが逆演算と、順方向の演算を行うこととで、さらに信頼性を上げることができる。
　また、本実施形態の構成に実施形態２の構成を加えるようにしてもよい。この場合、アナログ値の検出値に対してもデジタル値の検出値に対しても、異なるハードウェア、ソフトウェアで逆演算して比較しているため、コモンモード故障の可能性を低くすることができる。
　また、本実施形態では、図８のように１つの演算装置３についてのみ用いる例を説明したが、図１と同様に、演算装置３を多重化してもよい。

　なお、本実施形態では、１つの演算装置３にＡＬＵとＦＰＵを備え、第１演算部３２ｂの演算がＡＬＵで実行され、第２演算部３３ｂの演算がＦＰＵで実行される例を説明したが、例えばＲＩＳＣ（Reduced Instruction Set Computer）プロセッサの場合、スーパースケーラによりＦＰＵをＡＬＵと並列に動作させることができるため、本実施形態を実現することができる。また、１つのＣＰＵ内に複数の演算部を備える、例えばデュアル・コア・プロセッサを演算装置３に用いても、本実施形態と同様の効果を得ることができる。

　本発明は、火力プラント、水力プラント、電力プラントなどのプラントに適用することができる。

　１００　　安全装置
　２　　入力装置
　３、３ａ～３ｄ、３００　　演算装置
　４　　出力装置
　３１　　振分部
　３２、３２ａ、３２ｂ　　第１演算部
　３３、３３ａ、３３ｂ　　第２演算部
　３４　　自己診断部
　３５　　出力制御部
　１０１　　第１安全機能演算部
　１０２　　第１安全機能演算検証部
　１１１　　第２安全機能演算部
　１１２　　第２安全機能演算検証部
　２０１　　入力データ部
　２０２～２０４　　演算ブロックＦＢ１～演算部ブロックＦＢｍ
　２１２～２１４　　逆演算ブロックＦＢ１^-１～逆演算ブロックＦＢｍ^-１
　２０５　　出力データ部
　２１１　　逆演算用入力データ部
　２１５　　逆演算出力部

Claims

　制御対象から検出された検出値に対して第１演算を行って第１結果値を取得する第１演算部と、
　前記検出値に対して第２演算を行って第２結果値を取得し、前記第１結果値と、前記第２結果値とが一致するか否かを判定する第２演算部と、
　前記第２演算部が前記第１結果値と前記第２結果値とが一致すると判定した場合、前記第１結果値を出力し、前記第２演算部が前記第１結果値と前記第２結果値とが一致しないと判定した場合、前記第１結果値を出力しない出力制御部と、
　前記第１演算部および前記第２演算部を備える第１中央演算処理装置と、
　を備え、
　前記第１演算部と前記第２演算部とが異なるハードウェアである安全装置。
　前記第１演算が論理演算であり且つ前記第２演算が浮動小数点演算であるか、または、前記第２演算が論理演算であり且つ前記第１演算が浮動小数点演算である請求項１に記載の安全装置。
　前記第１演算が前記論理演算であり且つ前記第２演算が前記浮動小数点演算である場合、前記第１演算部が前記論理演算を行い且つ前記第２演算部が前記論理演算を浮動小数点演算により模擬して行い、
　前記第２演算が前記論理演算であり且つ前記第１演算が前記浮動小数点演算である場合、前記第１演算部が前記浮動小数点演算を行い且つ第２演算部がエミュレーションにより整数演算を行う請求項２に記載の安全装置。
　前記第１演算部は、
　前記第１演算の途中で第３結果値を取得し、前記検出値と、前記第１結果値と、前記第３結果値とを、前記第２演算部に入力し、
　前記第２演算部は、
　前記第１結果値及び前記第３結果値を用いて、前記第１演算の逆演算を行って第４結果値を取得し、当該第４結果値と検出値とが一致するか否かを判定し、
　出力制御部は、
　前記第２演算部が前記検出値と前記第４結果値とが一致すると判定した場合、前記第１結果値を出力し、前記第２演算部が前記検出値と前記第４演算結果とが一致しないと判定した場合、前記第１結果値を出力しない請求項１に記載の安全装置。
　前記第１中央演算処理装置と同一構造を有し、前記第１中央演算処理装置と並列に接続された第２中央演算処理装置と、
　前記第１中央演算処理装置の前記出力制御部が出力する前記第１結果値と、前記第２中央演算処理装置の前記出力制御部が出力する第５結果値とに基づいて、前記制御対象を制御するための指令値を決定する出力装置をさらに備える請求項１に記載の安全装置。
　前記出力制御部は、
　前記第２演算部が前記第１結果値と前記第２結果値とが一致しないと判定した場合、前記第１演算部または前記第２演算部に異常があることを示す情報を前記出力装置に出力し、
　前記出力装置は、
　前記情報に基づき、前記指令値を決定する請求項５に記載の安全装置。
　制御対象から検出された検出値に対して第１演算を行って第１結果値を取得する工程と、
　前記検出値に対して第２演算を行って第２結果値を取得する工程と、
　前記第１結果値と前記第２結果値とが一致するか否かを判定する工程と、
　前記第１結果値と前記第２結果値とが一致すると判定した場合、前記第１結果値を出力し、前記第１結果値と前記第２結果値とが一致しないと判定した場合、前記第１結果値を出力しない工程と、
　を含む安全装置の演算方法。
　前記第１演算が論理演算であり且つ前記第２演算が浮動小数点演算であるか、または、前記第２演算が論理演算であり且つ前記第１演算が浮動小数点演算である請求項７に記載の演算方法。
　前記第１演算が前記論理演算であり且つ前記第２演算が前記浮動小数点演算である場合、前記第１演算を行う工程が、前記検出値に対して前記論理演算を行う工程を含み、且つ、前記第２演算を行う工程が、前記検出値に対して前記論理演算を前記浮動小数点演算により模擬して行う工程を含み、
　前記第２演算が前記論理演算であり且つ前記第１演算処理が前記浮動小数点演算である場合、前記第１演算を行う工程が前記浮動小数点演算を行う工程を含み、且つ、前記第２演算を行う工程がエミュレーションにより整数演算を行う工程を含む請求項８に記載の演算方法。
　前記第１演算を行う工程は、前記第１演算の途中で第３結果値を取得する工程を含み、
　前記第２演算を行う工程は、前記第１結果値及び前記第３結果値を用いて、前記第１演算の逆演算を行って第４結果値を取得する工程を含み、
　当該第４結果値と検出値とが一致するか否かを判定する工程と、
　前記検出値と前記第４結果値とが一致すると判定した場合、前記第１結果値を出力し、前記検出値と前記第４演算結果とが一致しないと判定した場合、前記第１結果値を出力しない工程と、をさらに含む請求項７に記載の演算方法。
　前記第１結果値と前記第２結果値とが一致しないと判定した場合、異常があることを示す情報を出力する工程と、
　前記情報に基づいて前記制御対象を制御する工程と、
　をさらに含む請求項７に記載の安全装置。