JP4335429B2 - System switching control device and redundant CPU system of control device - Google Patents

System switching control device and redundant CPU system of control device Download PDF

Info

Publication number
JP4335429B2
JP4335429B2 JP2000341669A JP2000341669A JP4335429B2 JP 4335429 B2 JP4335429 B2 JP 4335429B2 JP 2000341669 A JP2000341669 A JP 2000341669A JP 2000341669 A JP2000341669 A JP 2000341669A JP 4335429 B2 JP4335429 B2 JP 4335429B2
Authority
JP
Japan
Prior art keywords
cpu
control
abnormality
control device
signal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2000341669A
Other languages
Japanese (ja)
Other versions
JP2002149203A (en
Inventor
健彦 西田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Heavy Industries Ltd
Original Assignee
Mitsubishi Heavy Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Heavy Industries Ltd filed Critical Mitsubishi Heavy Industries Ltd
Priority to JP2000341669A priority Critical patent/JP4335429B2/en
Publication of JP2002149203A publication Critical patent/JP2002149203A/en
Application granted granted Critical
Publication of JP4335429B2 publication Critical patent/JP4335429B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Hardware Redundancy (AREA)
  • Safety Devices In Control Systems (AREA)
  • Detection And Prevention Of Errors In Transmission (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、高信頼性が求められるプラント等の制御装置に用いて好適な系切替制御装置、及び制御装置のCPU(中央演算装置)二重化システムに関する。
【0002】
【従来の技術】
一般に、高い信頼性が求められるような重要プラント等の制御装置においては、その制御演算を行うCPUモジュールを二重に備えることが求められる。これは、制御中(現用系)のCPUモジュールに異常が発生した場合に、即座にもう片方の待機中(予備系)のCPUモジュールに制御権を移し、制御対象となるプラント等の運転を正常に維持するためであり、そのためのシステムをCPU二重化システムと呼ぶ。
【0003】
図6及び図7は、従来のCPU二重化システムの構成例を示すブロック図である。図6に示すシステムでは、CPUモジュール101に、異常診断回路102と二重系切替え回路103を搭載している。この構成において、各々のCPUモジュール101は、それぞれの異常診断回路102によって自己(自系)の異常を監視しており、また、二重系切替え回路103を介してもう一方(他系)の正常/異常、及び制御/待機の状態を監視している。ここで、現用系のCPUモジュール101に異常が発生した場合や、その他の制御/待機の切替え条件が成立した場合には、双方の二重系切替え回路103によって予備系のCPUモジュール101へ制御権が移され、現用系と予備系が入れ替わる。
【0004】
また、図7に示す構成では、CPUモジュール111は、異常診断回路102を搭載し、CPUモジュール111の外部に外置きの二重系切替えユニット104を配している。各々のCPUモジュール111は、それぞれの異常診断回路102によって自系の異常を監視しており、監視した結果を二重系切替えユニット104へ伝える。従って、二重系切替えユニット104は、常に現用系、予備系双方のCPUモジュール111の状態を把握している。ここで、同様に、現用系のCPUモジュール111に異常が発生した場合や、その他の制御/待機の切替え条件が成立した場合には、二重系切替えユニット104によって予備系のCPUモジュール111へ制御権が移される。
【0005】
従来はこのようなCPU二重化システムを設けることによって、CPUモジュールにおけるトラブル時の回避を図っていた。
【0006】
【発明が解決しようとする課題】
しかしながら、上述した従来のCPU二重化システムでは、CPUモジュール上に種々の異常を監視できる十分な機能を有する異常診断回路、二重系切替え回路、及び他系との信号伝達機能を有する必要があり、このようなCPU二重化システムを構築するためには、従来、高価なFA専用CPUモジュールを使用するか、あるいは同等の機能を持ったCPUモジュールを独自に開発しなければならなかった。この結果として、制御装置のCPU二重化システムには、産業向けのコンパクトPCI(Peripheral Component Interconnect)バス規格など、汎用のバス規格に準拠した市販の安価なCPUモジュールを使用することができない。従って、従来のシステム構成では、コストダウンを図ることができず、また、CPUモジュールのタイプを容易に変更できないという問題があった。
【0007】
ところで、制御装置のCPU二重化システムにおいては、現用系、予備系双方のCPUモジュールの処理状態を一致させるために、データトラッキングを行う。このデータトラッキングとは、現用系のCPUモジュールの処理状態に、予備系のCPUモジュールの処理状態を一致させる処理のことであり、現用系のCPUモジュールの処理データを予備系のCPUモジュールに伝送し、この伝送されたデータに基づいて予備系のCPUモジュールが自己の処理状態を現用系の処理状態に一致させるものである。
【0008】
しかしながら、従来のCPU二重化システムでは、データトラッキングに用いる通信回線が他の処理にも用いられており、この結果、現用系、予備系間のデータ通信(トラッキング通信)に時間がかかり、トラッキング通信の周期を短くすることができないという問題があった。
【0009】
本発明は、このような事情を考慮してなされたもので、その目的は、低コストで構築が可能であり、また柔軟にCPUモジュールのタイプを変更することのできる制御装置のCPU二重化システムを提供することにある。また、このような制御装置のCPU二重化システムに適用される系切替制御装置を提供することも目的とする。
【0010】
さらに、本発明は、トラッキング通信の周期を短くすることができる制御装置のCPU二重化システムを提供することも目的とする。
【0011】
【課題を解決するための手段】
上記の課題を解決するために、請求項1に記載の系切替制御装置の発明は、自系のCPUモジュールとは別体をなし、データ伝送可能なバスを介して自系の前記CPUモジュールと相互にデータを送受信する系切替制御装置であって、自系の装置の状態を監視し、この監視結果から異常を検知して自系の異常を示す異常信号を出力する異常監視回路と、自系の前記CPUモジュールに対して制御の切替えを指示するための制御移行指示表示値と、自系及び他系の装置の正常/異常の状態表示値及び制御/待機の状態表示値とを保持するレジスタ群と、前記異常信号と、前記レジスタ群に保持された制御移行指示表示値及び自系の状態表示値を各々示す制御モード信号及びステータス信号とを他系に送信し、また、他系から受信したステータス信号を他系の装置の正常/異常の状態表示値及び制御/待機の状態表示値を示す信号として前記レジスタ群に出力して保持させるとともに、他系から制御モード信号及び異常信号を受信する送受信回路と、前記送受信回路によって前記他系から受信された他系の前記制御モード信号、前記自系及び他系の異常信号、及び前記レジスタ群に保持された状態表示値に基づいて、系切替制御処理を行い、自系のCPUモジュールに対して制御移行を指示するために、制御移行指示表示値を前記レジスタ群に出力して保持させる二重系切替え回路とを備え、前記二重系切替え回路は、系の切替動作過渡期における切替異常の誤検知を防ぐために、前記制御移行指示表示値の出力から所定時間経過後に、自系の状態表示値を示すステータス信号を確認することにより、前記制御移行指示表示値に基づく系切替えの異常を確認することを特徴とする。
【0013】
請求項に記載の発明は、二つのCPUモジュールを有し、二つの前記CPUモジュールにおける制御/待機の状態を必要に応じて交互に変更する制御装置のCPU二重化システムにおいて、請求項1に記載の系切替制御装置を二つの前記CPUモジュールのそれぞれに対して別体に設けるとともに、二つの前記系切替制御装置間を接続し、前記CPUモジュールと該CPUモジュールに対応した前記系切替制御装置とをデータ伝送可能なバスで接続し、二つの前記CPUモジュールは、それぞれ、前記バスを介して前記系切替制御装置にアクセスして制御移行指示と自系及び他系装置の正常/異常の状態、及び制御/待機の状態を把握し、これらの情報に基づいて前記制御/待機の状態の変更を行うことを特徴とする。
【0014】
請求項に記載の発明は、請求項に記載の発明において、二つの前記CPUモジュールはそれぞれに通信ポートを有し、前記通信ポート間を接続して専用通信回線を確立することを特徴とする。
【0015】
【発明の実施の形態】
以下、図面を参照し、本発明の実施形態について説明する。
図1は本発明の第1の実施形態によるCPU二重化システムの構成を示すブロック図であって、このCPU二重化システムは制御装置に用いられるものである。この図において、符号1は、汎用的なCPUモジュールであって、その外部接続バス仕様がコンパクトPCIバス規格に準拠したものである。符号2は、本発明の一実施形態による系切替制御装置である。符号3は、コンパクトPCIバスである。符号4は、コンパクトPCIバス3が配線されたCPUラックであって、CPUモジュール1及び系切替制御装置2に加えて、図示しない他の装置を格納する。このCPUラック4に格納されたCPUモジュール1や系切替制御装置2などの装置は、コンパクトPCIバス3に接続され、このコンパクトPCIバス3を介して相互にデータを送受信する。
【0016】
図1に示すCPU二重化システムにおいては、CPUラック4を2つ備え、各CPUラック4にCPUモジュール1及び系切替制御装置2を1つずつ格納する。さらに、各CPUラック4の系切替制御装置2間をケーブル5で接続する構成となっている。この図1のCPU二重化システムは、CPUモジュール1、系切替制御装置2、及びCPUラック4を各一つずつ備えたものを一系統分のCPUシステムとし、このCPUシステムを2系統分具備するものである。なお、以下の説明においては、同一系統の系のことを自系と称し、他系統の系のことを他系と称する。言い換えれば、同一CPUラック4に格納された各装置は自系の装置であり、他方のCPUラック4に格納された装置は他系の装置である。
【0017】
CPUモジュール1は、CPU11と、CPU11の周辺回路部12と、CPU11が外部と通信するための通信ポート13と、コンパクトPCIバス3を介してデータを送受信するPCIバスインタフェース14とから構成される。なお、上記周辺回路部12は、例えば、CPU11で実行されるプログラムが記憶されたROM(リードオンリメモリ)やデータ一時記憶用のRAM(ランダムアクセスメモリ)、割り込み制御回路、タイマ、各種レジスタなどで構成されている。また、通信ポート13は、例えば、IEEE802.3系列の規格やRS−232C規格などに準拠した通信インタフェースを備えている。
【0018】
系切替制御装置2は、CPUモジュール1に対する系切替制御処理と自系装置の異常監視処理を行う二重系切替え・異常監視部21と、接続されたケーブル5を介して他系の系切替制御装置2とデータを送受信する送受信回路22と、接続されたコンパクトPCIバス3を介してデータを送受信するPCIバスインタフェース23とから構成される。なお、上記PCIバスインタフェース23は、コンパクトPCIバス3の故障検出機能を備えたものである。
【0019】
上記図1に示すCPU二重化システムにおいては、系切替制御装置2が自系装置の異常を監視し、この監視結果及び他系装置の正常/異常の状態と自系及び他系装置制御/待機の状態に基づいて、系切替制御処理を行い、自系CPUモジュール1に対して制御移行を指示する。CPUモジュール1は、この制御移行指示により所定の系切替え動作を行う。なお、系切替制御装置2は、ケーブル5を介してデータを送受し、他系装置の正常/異常の状態、及び制御/待機の状態を監視している。また、各CPUモジュール1は、コンパクトPCIバス3を介して、自系の系切替制御装置2にアクセスすることにより、自系及び他系装置の正常/異常の状態、及び制御/待機の状態を把握し、これらの情報に基づいて上記系切替え動作を行う。
【0020】
次に、図2〜図4を参照して、図1に示す系切替制御装置2の構成とその動作について詳細に説明する。
図2は、図1に示す系切替制御装置2の構成を示すブロック図である。この図2において、二重系切替え・異常監視部21は、自系装置の異常監視処理を行う異常監視回路24と、異常監視回路24の監視結果及び他系装置の正常/異常の状態と自系及び他系装置制御/待機の状態に基づいて、系切替制御処理を行う二重系切替え回路25から構成される。また、系切替制御装置2は、内部の各ブロックで使用される内部クロックC6を発生するクロック発生器26を備える。なお、内部クロックC6の異常監視回路24以外の各ブロックへの信号線は、図示していない。
【0021】
送受信回路22は、入力された自系CPU正常信号A1、自系CPUステータス信号A2、及び自系制御モード信号A3をケーブル5を介して他系の系切替制御装置2に送信する。また、ケーブル5を介して他系の系切替制御装置2から受信した他系CPU正常信号B1、及び他系CPUステータス信号B2を異常監視回路24と二重系切替え回路25に出力し、また、同様に受信した他系制御モード信号B3を二重系切替え回路25に出力する。また、送受信回路22は、ケーブル5の接続用コネクタの脱落検知機能を備え、脱落を検知するとコネクタ脱落検知信号C2を異常監視回路24に出力する。
【0022】
PCIバスインタフェース23は、コンパクトPCIバス3の故障を検出するとバス異常信号C3を異常監視回路24に出力する。また、コンパクトPCIバス3のバスクロックC4及びバスデータ信号C5も異常監視回路24に出力する。
【0023】
異常監視回路24は、自系装置の異常を監視し、この監視結果として自系CPU正常信号A1を送受信回路22と二重系切替え回路25に出力する。また、自系CPUモジュール1から設定された自系CPUステータスを保持し、この保持値を自系CPUステータス信号A2として送受信回路22と二重系切替え回路25に出力する。また、異常監視回路24には内部クロックC6が入力される。
【0024】
二重系切替え回路25は、異常監視回路24から入力された自系CPU正常信号A1、自系CPUステータス信号A2、他系CPU正常信号B1、及び他系制御モード信号B3に基づいて系切替制御処理を行い、制御移行指示として自系制御モード信号A3を送受信回路22と異常監視回路24に出力する。また、この系切替えが異常なものであるか否かを判定し、異常である場合には切替え異常信号C1を異常監視回路24に出力する。
【0025】
ここで、送受信回路22がケーブル5を介して、他系の系切替制御装置2と送受信する信号A1〜A3、B1〜B3について説明する。
自系CPU正常信号A1は、自系CPUモジュール1が正常であることを示す。自系CPUステータス信号A2は、自系制御ステータス信号A2−1、自系待機ステータス信号A2−2、及び自系初期化完了ステータス信号A2−3の3つの信号で構成されており、自系制御ステータス信号A2−1は自系CPUモジュール1が制御状態であることを示し、自系待機ステータス信号A2−2は自系CPUモジュール1が待機状態であることを示し、自系初期化完了ステータス信号A2−3は自系CPUモジュール1の初期化が完了していることを示す。自系制御モード信号A3は、自系CPUモジュール1に対して制御状態への移行を指示していることを示す。
【0026】
他系CPU正常信号B1、他系CPUステータス信号B2(他系制御ステータス信号B2−1、他系待機ステータス信号B2−2、他系初期化完了ステータス信号B2−3)、及び他系制御モード信号B3は、上記自系の各信号A1、A2(A2−1、A2−2、A2−3)、及びA3と同様に、他系の各状態を示す。
【0027】
図3は、図2に示す異常監視回路24の構成を示すブロック図である。この図3を参照して異常監視回路24について詳細に説明する。図3において、符号31は、入力されたバスクロックC4と内部クロックC6の入力状態を監視し、いずれかのクロック入力の異常を検知するとクロック異常信号C7を出力するクロック監視回路である。符号32は、系切替制御装置2で使用する電源電圧を監視し、電源電圧が所定範囲外となった場合に電源異常信号C8を出力する電源監視回路である。符号33は、ウォッチドッグタイマ(WDT)と呼ばれる異常監視用のタイマであって、入力されたバスクロックC4を計数し、所定のタイムアウト値に達したときにタイムアウトしてWDT異常信号C9を出力する。符号34は、7入力の否定的論理和回路であって、この出力が自系CPU正常信号A1となる。
【0028】
符号35は、複数のレジスタ41〜46からなるレジスタ群である。符号36は、入力されたバス信号C5に基づいてレジスタ群35の各レジスタ41〜46にアクセスするレジスタアクセスインタフェースである。なお、自系CPUモジュール1は、コンパクトPCIバス3、PCIバスインタフェース23、及びレジスタアクセスインタフェース36を介してレジスタ群35にアクセスし、各レジスタ41〜46に対して読み書きを行うことが可能である。
【0029】
レジスタ群35において、符号41は、WDT33からアクセス可能な制御用のレジスタであって、タイムアウト値やWDT33の計数値、WDT33の計数動作の可否設定などを保持する。なお、自系CPUモジュール1がこのWDT用レジスタ41に対してアクセスすると、WDTクリア信号が出力されてWDT33の計数動作が初期化される。符号42は、自系CPUモジュール1の重故障状態を表示するレジスタであって、自系CPUモジュール1が自己の重故障を検出してこのレジスタをセットする。
【0030】
符号43は、入力された自系制御モード信号A3の値(制御移行指示表示値)を保持する制御/待機モードレジスタであって、このレジスタのセット時は、自系CPUモジュール1に対して制御状態への移行が指示されていることになる。符号44は、自系CPU正常信号A1、自系CPUステータス信号A2(A2−1、A2−2、A2−3)、他系CPU正常信号B1、及び他系CPUステータス信号B2(B2−1、B2−2、B2−3)の各値(状態表示値)を保持する自系/他系CPUステータスレジスタである。符号45は、自系CPUモジュール1の制御状態表示値、待機状態表示値、及び初期化状態表示値を保持する自系CPUステータスレジスタであって、自系CPUモジュール1が自己の各状態に基づいて各表示値をセットする。この自系CPUステータスレジスタ45から、制御状態表示値、待機状態表示値、及び初期化状態表示値が、各々自系制御ステータス信号A2−1、自系待機ステータス信号A2−2、及び自系初期化完了ステータス信号A2−3の値として出力される。
【0031】
符号46は、信号C1〜C3、C7〜C10の各値を保持する異常ステータスレジスタであって、信号C1〜C3、C7〜C10に対応した要因毎に異常を示すものである。この信号C1〜C3、C7〜C10に対応した各要因とは、系切替えに基づく異常、ケーブル5の接続コネクタ脱落、コンパクトPCIバス3の異常、クロック(バスクロックC4または内部クロックC6)の異常、電源異常、WDT33のタイムアウト、自系CPUモジュール1の重故障である。
【0032】
自系CPUモジュール1は、制御/待機モードレジスタ43の値を読み取ることによって制御状態への移行指示を知り、自系/他系CPUステータスレジスタ44の値を読み取ることによって自系及び他系装置の正常/異常の状態、及び制御/待機の状態を把握することができる。また、異常ステータスレジスタ46の値を読み取れば、自系装置の異常状態を要因毎に把握することができる。
【0033】
なお、自系CPUモジュール1は、WDT33のタイムアウト値に応じた計数周期内に、少なくとも一度はWDT用レジスタ41にアクセスしてWDT33の計数動作を初期化する。したがって、自系CPUモジュール1がソフトウェアの暴走等により、WDT用レジスタ41にアクセス不可となれば、WDT33がタイムアウトすることになり、この結果、自系CPUモジュール1の異常を検出することができる。このウォッチドッグタイマ機能を備えることによって、異常監視回路24は、自系装置のハードウェア故障による異常だけでなく、ソフトウェアバグなどによって発生したソフトウェア暴走による異常も検知することができる。
【0034】
図3の異常監視回路においては、否定的論理和回路34により信号C1〜C3、C7〜C10の否定的論理和を行い、この結果を自系CPU正常信号A1として出力する。すなわち、上記信号C1〜C3、C7〜C10に対応した各要因の内、少なくとも一つの要因が発生すると、自系CPU正常信号A1は未出力となり、自系装置の異常を示すことになる。言い換えれば、自系CPU正常信号A1は自系の異常を示す異常信号となる。
【0035】
図4は、図2に示す二重系切替え回路25が行う系切替制御処理の流れを示すフローチャートである。この図4を参照して、二重系切替え回路25の動作を説明する。
先ず、二重系切替え回路25は、自系CPU正常信号A1の入力を確認する。ここで、自系CPU正常信号A1が未入力であると判定した場合にはその処理を終了する。一方、入力されていると判定した場合には、さらに、自系制御ステータス信号A2−1の入力を確認する(ステップSP1〜SP3)。
【0036】
次いで、自系制御ステータス信号A2−1が未入力であると判定した場合(ステップSP4の判定結果が「NO」の場合)には、他系制御モード信号B3の入力を確認し(ステップSP5)、未入力であると判定した場合に、自系制御モード信号A3を出力する。これにより、自系CPUモジュール1に対して、制御移行を指示したことになる。一方、他系制御モード信号B3が入力されていると判定した場合にはその処理を終了する(ステップSP6、SP7)。
【0037】
上記ステップSP4において、自系制御ステータス信号A2−1が入力されていると判定した場合には、他系CPU正常信号B1の入力を確認し、未入力であると判定した場合には、上記ステップSP5に処理を移行する。一方、他系CPU正常信号B1が入力されていると判定した場合には、自系制御モード信号A3の出力を確認する(ステップSP11〜SP13)。次いで、自系制御モード信号A3を出力していると判定した場合には、上記ステップSP5に処理を移行し、一方、未出力であると判定した場合には、その処理を終了する(ステップSP14)。
【0038】
次いで、上記ステップSP7において自系制御モード信号A3を出力し、所定時間経過後に、系切替えの異常を確認する。このように自系制御モード信号A3出力後、所定時間待ってから系切替え異常の確認を行うことにより、自系CPUモジュール1の系切替え動作過渡期における切替え異常の誤検知を防ぐことができる。次いで、系切替えが正常なものであると判定した場合にはその処理を終了し、一方、系切替えが異常なものであると判定した場合には切替え異常信号C1を出力する(ステップSP8〜SP10)。
【0039】
なお、上記ステップSP8、SP9においては、系切替え異常の確認及び判定手段として、例えば、自系制御ステータス信号A2−1の入力と自系制御モード信号A3の出力を確認することにより、系切替え正常の確認を行い、自系制御ステータス信号A2−1の入力且つ自系制御モード信号A3の出力であると判定した場合に系切替え正常とし、そうでないと判定した場合に系切替え異常とする。また、この系切替え異常として出力された切替え異常信号C1によって、系切替えの異常が通知可能となる。
【0040】
なお、二重系切替え回路25は、上記図4に示す系切替制御処理を常時行うものであってもよく、あるいは、一定周期で行うものであってもよい。
【0041】
上述した第一の実施形態によれば、コンパクトPCIバスに接続可能なCPUモジュールであれば、汎用で安価なCPUモジュールを用いて制御装置のCPU二重化システムを構築することができる。この結果、低コストで構築が可能であり、また、柔軟にCPUモジュールのタイプを変更することができる。
【0042】
次に、図5は本発明の第2の実施形態によるCPU二重化システムの構成を示すブロック図である。この図5において、図1の各部に対応する部分には同一の符号を付け、その説明を省略する。この図5に示すCPU二重化システムにおいて、図1に示す構成と異なるのは、各CPUモジュール1の通信ポート13間をケーブル6で接続し、データトラッキング用に専用の通信回線を確立する点である。すなわち、各通信ポート13は、CPU11同士がデータトラッキング用の通信をいつでも行えるように、ケーブル6を介してデータを通信するための通信回線を常時確立しておく。したがって、CPU11は、この通信回線を専有して使用することができ、データトラッキングを高速に行うことができる。この結果、トラッキング通信の周期が短縮されて演算周期毎のトラッキングが可能となり、CPU11の処理を連続的に継続させたまま、CPU二重系の系切替えを実現することができるという効果が得られる。
【0043】
なお、上述した実施形態においては、コンパクトPCIバスに接続可能なCPUモジュールを用いたCPU二重化システムに適用したが、CPUモジュールの外部接続バスはコンパクトPCIバスに限定されるものではない。例えば、パーソナルコンピュータの拡張用高速バスとして普及しているPCIバスがCPUモジュールの外部接続バスであってもよい。この場合には、系切替制御装置のPCIバスインタフェースをPCIバス規格に準拠したものとするだけで、同様に適用可能である。また、他のバス規格への適用も同様に可能である。
【0044】
以上、本発明の実施形態を図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。
【0045】
【発明の効果】
以上説明したように、本発明による系切替制御装置によれば、自系の装置の状態を監視し、自系の異常信号を出力する異常監視回路と、制御移行指示表示値と自系及び他系の装置の正常/異常の状態表示値及び制御/待機の状態表示値とを保持するレジスタ群と、自系及び他系の異常信号と状態表示値を示す自系及び他系のステータス信号と自系及び他系の制御移行指示表示値を示す制御モード信号とを送受信する送受信回路と、自系及び他系の異常信号と他系の制御モード信号とレジスタ群に保持された状態表示値に基づいて、系切替制御処理を行い、自系のCPUモジュールに対して制御移行を指示するために、制御移行指示表示値を示す信号をレジスタ群に出力して保持させる二重系切替え回路と、データ伝送可能なバスに接続され、レジスタ群に対してアクセス可能なインタフェース回路とを備えるようにしたので、制御装置のCPU二重化システムに適用すれば、汎用で安価なCPUモジュールを用いて制御装置のCPU二重化システムを構築することができる。この結果、低コストで構築が可能であり、また、柔軟にCPUモジュールのタイプを変更することができる。
【0046】
さらに、二重系切替え回路が制御移行指示表示値を示す信号の出力後、所定時間経過後に、制御移行指示が異常なものであるか否かを判定するようにすれば、系切替えの異常を検出して通知することができるとともに、系切替え異常の誤検出を防止することができるという効果が得られる。
【0047】
さらに、制御装置のCPU二重化システムが有する二つのCPUモジュールがそれぞれに通信ポートを有し、これら通信ポート間を接続して専用通信回線を確立するようにすれば、この通信回線をデータトラッキング用に専有して使用することができ、データトラッキングを高速に行うことができる。この結果、トラッキング通信の周期が短縮されて演算周期毎のトラッキングが可能となり、CPUの処理を連続的に継続させたまま、CPU二重系の系切替えを実現することができるという効果が得られる。
【図面の簡単な説明】
【図1】 本発明の第1の実施形態によるCPU二重化システムの構成を示すブロック図である。
【図2】 図1に示す系切替制御装置2の構成を示すブロック図である。
【図3】 図2に示す異常監視回路24の構成を示すブロック図である。
【図4】 図2に示す二重系切替え回路25が行う系切替制御処理の流れを示すフローチャートである。
【図5】 本発明の第2の実施形態によるCPU二重化システムの構成を示すブロック図である。
【図6】 従来のCPU二重化システムの第1の構成例を示すブロック図である。
【図7】 従来のCPU二重化システムの第2の構成例を示すブロック図である。
【符号の説明】
1 CPUモジュール
2 系切替制御装置
3 コンパクトPCIバス
4 CPUラック
5、6 ケーブル
11 CPU(中央演算装置)
12 周辺回路部
13 通信ポート
14、23 PCIバスインタフェース
21 二重系切替え・異常監視部
22 送受信回路
24 異常監視回路
25 二重系切替え回路
26 クロック発生器
31 クロック監視回路
32 電源監視回路
33 ウォッチドッグタイマ(WDT)
34 否定的論理和回路
35 レジスタ群
36 レジスタアクセスインタフェース
41 WDT用レジスタ
42 CPUモジュール重故障レジスタ
43 制御/待機モードレジスタ
44 自系/他系CPUステータスレジスタ
45 自系CPUステータスレジスタ
46 異常ステータスレジスタ[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a system switching control device suitable for use in a control device such as a plant that requires high reliability, and a CPU (central processing unit) duplex system of the control device.
[0002]
[Prior art]
In general, in a control device such as an important plant that requires high reliability, it is required to have double CPU modules for performing the control calculation. This means that if an abnormality occurs in the CPU module that is being controlled (active system), the control right is immediately transferred to the other standby (standby system) CPU module, and normal operation of the plant to be controlled is normal. Therefore, the system for this purpose is called a CPU dual system.
[0003]
6 and 7 are block diagrams showing a configuration example of a conventional CPU duplex system. In the system shown in FIG. 6, the abnormality diagnosis circuit 102 and the dual system switching circuit 103 are mounted on the CPU module 101. In this configuration, each CPU module 101 monitors its own (own system) abnormality by its respective abnormality diagnosis circuit 102, and the other (other system) normality via the dual system switching circuit 103. / Monitors abnormalities and control / standby status. Here, when an abnormality occurs in the active CPU module 101, or when other control / standby switching conditions are satisfied, the control authority is given to the standby CPU module 101 by both dual system switching circuits 103. Is transferred, and the active system and the standby system are switched.
[0004]
In the configuration shown in FIG. 7, the CPU module 111 includes the abnormality diagnosis circuit 102, and an external dual system switching unit 104 is arranged outside the CPU module 111. Each CPU module 111 monitors its own system abnormality by each abnormality diagnosis circuit 102 and transmits the monitored result to the dual system switching unit 104. Therefore, the dual system switching unit 104 always grasps the status of both the active system and the standby system CPU modules 111. Similarly, when an abnormality occurs in the active CPU module 111 or when other control / standby switching conditions are satisfied, the dual CPU switching unit 104 controls the standby CPU module 111. The right is transferred.
[0005]
Conventionally, by providing such a CPU duplication system, a trouble has been avoided in the CPU module.
[0006]
[Problems to be solved by the invention]
However, in the above-described conventional CPU duplex system, it is necessary to have an abnormality diagnosis circuit having a sufficient function for monitoring various abnormalities on the CPU module, a dual system switching circuit, and a signal transmission function with other systems. In order to construct such a CPU duplication system, conventionally, an expensive FA dedicated CPU module must be used, or a CPU module having an equivalent function must be independently developed. As a result, a commercially available inexpensive CPU module that conforms to a general-purpose bus standard such as a compact PCI (Peripheral Component Interconnect) bus standard for industrial use cannot be used in the CPU duplication system of the control device. Therefore, the conventional system configuration has a problem that the cost cannot be reduced and the type of the CPU module cannot be easily changed.
[0007]
By the way, in the dual CPU system of the control device, data tracking is performed in order to match the processing states of both the active and standby CPU modules. This data tracking is a process of matching the processing state of the standby CPU module with the processing state of the active CPU module, and transmits the processing data of the active CPU module to the standby CPU module. Based on the transmitted data, the standby CPU module makes its own processing state coincide with the processing state of the active system.
[0008]
However, in the conventional CPU duplex system, the communication line used for data tracking is also used for other processing. As a result, it takes time for data communication (tracking communication) between the active system and the standby system, and tracking communication is performed. There was a problem that the cycle could not be shortened.
[0009]
The present invention has been made in consideration of such circumstances, and its purpose is to provide a CPU duplication system for a control device that can be constructed at a low cost and can flexibly change the type of a CPU module. It is to provide. It is another object of the present invention to provide a system switching control device that is applied to a CPU duplication system of such a control device.
[0010]
Another object of the present invention is to provide a CPU duplication system for a control device that can shorten the period of tracking communication.
[0011]
[Means for Solving the Problems]
In order to solve the above-mentioned problem, the invention of the system switching control device according to claim 1 is different from the CPU module of the own system, and the CPU module of the own system via a bus capable of transmitting data. A system switching control device that transmits and receives data to and from each other, and monitors the status of the local system, detects an abnormality from the monitoring result, and outputs an abnormal signal indicating the local system abnormality, The control transition instruction display value for instructing the CPU switching of the system to switch control, and the normal / abnormal state display value and the control / standby state display value of the own system and other system devices are held. A register group, the abnormal signal, a control transition instruction display value held in the register group, and a control mode signal and a status signal respectively indicating a status display value of the own system are transmitted to the other system. Received status The signal is output to and held in the register group as a signal indicating the normal / abnormal status display value and control / standby status display value of the other system device, and receives and transmits the control mode signal and the abnormal signal from the other system System switching control based on the control mode signal of the other system received from the other system by the transmission / reception circuit, the abnormal signal of the own system and the other system, and the state display value held in the register group Control transition instruction display for processing and instructing control transition to its own CPU module The value A dual system switching circuit that outputs and holds the register group; The dual system switching circuit includes a status signal indicating a status display value of the own system after a predetermined time has elapsed from the output of the control transition instruction display value in order to prevent erroneous detection of switching abnormality in the transition period of the system switching operation. By confirming, the system switching abnormality based on the control transition instruction display value is confirmed. It is characterized by that.
[0013]
Claim 2 The invention described in claim 2 is a CPU duplication system of a control device which has two CPU modules and alternately changes the control / standby state in the two CPU modules as necessary. 1 The system switching control device described above is provided separately for each of the two CPU modules, and the two system switching control devices are connected to each other so that the CPU module and the system switching control device corresponding to the CPU module are connected. And the two CPU modules each access the system switching control device via the bus to control transfer instructions and normal / abnormal status of the own system and other system devices. The control / standby state is grasped, and the control / standby state is changed based on the information.
[0014]
Claim 3 The invention described in claim 2 The two CPU modules each have a communication port, and a dedicated communication line is established by connecting the communication ports.
[0015]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
FIG. 1 is a block diagram showing a configuration of a CPU duplex system according to a first embodiment of the present invention, and this CPU duplex system is used for a control device. In this figure, reference numeral 1 denotes a general-purpose CPU module whose external connection bus specification conforms to the compact PCI bus standard. Reference numeral 2 denotes a system switching control device according to an embodiment of the present invention. Reference numeral 3 denotes a compact PCI bus. Reference numeral 4 denotes a CPU rack to which the compact PCI bus 3 is wired, and stores other devices (not shown) in addition to the CPU module 1 and the system switching control device 2. Devices such as the CPU module 1 and the system switching control device 2 stored in the CPU rack 4 are connected to the compact PCI bus 3 and transmit / receive data to / from each other via the compact PCI bus 3.
[0016]
In the CPU duplex system shown in FIG. 1, two CPU racks 4 are provided, and one CPU module 1 and one system switching control device 2 are stored in each CPU rack 4. Further, the system switching control devices 2 of the CPU racks 4 are connected by a cable 5. The CPU duplex system shown in FIG. 1 includes a CPU module 1, a system switching control device 2, and a CPU rack 4, each having one CPU system and two CPU systems. It is. In the following description, systems of the same system are referred to as own systems, and systems of other systems are referred to as other systems. In other words, each device stored in the same CPU rack 4 is a device of its own system, and a device stored in the other CPU rack 4 is a device of another system.
[0017]
The CPU module 1 includes a CPU 11, a peripheral circuit unit 12 of the CPU 11, a communication port 13 for the CPU 11 to communicate with the outside, and a PCI bus interface 14 that transmits and receives data via the compact PCI bus 3. The peripheral circuit unit 12 includes, for example, a ROM (read only memory) in which a program executed by the CPU 11 is stored, a RAM (random access memory) for temporary data storage, an interrupt control circuit, a timer, various registers, and the like. It is configured. The communication port 13 includes a communication interface compliant with, for example, the IEEE 802.3 series standard or the RS-232C standard.
[0018]
The system switching control device 2 includes a dual system switching / abnormality monitoring unit 21 that performs system switching control processing for the CPU module 1 and abnormality monitoring processing of the own system device, and system switching control of other systems via the connected cable 5. A transmission / reception circuit 22 that transmits / receives data to / from the apparatus 2 and a PCI bus interface 23 that transmits / receives data via the connected compact PCI bus 3 are configured. The PCI bus interface 23 has a failure detection function of the compact PCI bus 3.
[0019]
In the dual CPU system shown in FIG. 1, the system switching control device 2 monitors the abnormality of the own system device, and the monitoring result and the normal / abnormal state of the other system device and the own system and other system device control / standby state. Based on the state, a system switching control process is performed to instruct the own CPU module 1 to transfer control. The CPU module 1 performs a predetermined system switching operation according to this control transfer instruction. The system switching control device 2 transmits and receives data via the cable 5 and monitors the normal / abnormal state and the control / standby state of other system devices. Each CPU module 1 accesses the own system switching control device 2 via the compact PCI bus 3 to check the normal / abnormal status and control / standby status of the own system and other system devices. The system switching operation is performed based on this information.
[0020]
Next, the configuration and operation of the system switching control device 2 shown in FIG. 1 will be described in detail with reference to FIGS.
FIG. 2 is a block diagram showing a configuration of the system switching control device 2 shown in FIG. In FIG. 2, the dual system switching / abnormality monitoring unit 21 includes an abnormality monitoring circuit 24 that performs abnormality monitoring processing of the own system device, a monitoring result of the abnormality monitoring circuit 24, a normal / abnormal state of the other system device, and an The dual system switching circuit 25 performs system switching control processing based on the system and other system device control / standby states. The system switching control device 2 also includes a clock generator 26 that generates an internal clock C6 used in each internal block. The signal lines to each block other than the abnormality monitoring circuit 24 for the internal clock C6 are not shown.
[0021]
The transmission / reception circuit 22 transmits the input own system CPU normal signal A1, the own system CPU status signal A2, and the own system control mode signal A3 to the other system switching control device 2 via the cable 5. Further, the other system CPU normal signal B1 and the other system CPU status signal B2 received from the other system switching control device 2 via the cable 5 are output to the abnormality monitoring circuit 24 and the dual system switching circuit 25, and Similarly, the received other system control mode signal B 3 is output to the dual system switching circuit 25. In addition, the transmission / reception circuit 22 has a function of detecting the disconnection of the connector for connecting the cable 5 and outputs a connector disconnection detection signal C2 to the abnormality monitoring circuit 24 when the disconnection is detected.
[0022]
When the PCI bus interface 23 detects a failure of the compact PCI bus 3, the PCI bus interface 23 outputs a bus abnormality signal C3 to the abnormality monitoring circuit 24. Further, the bus clock C 4 and the bus data signal C 5 of the compact PCI bus 3 are also output to the abnormality monitoring circuit 24.
[0023]
The abnormality monitoring circuit 24 monitors the abnormality of the own system device, and outputs the own system CPU normal signal A1 to the transmission / reception circuit 22 and the dual system switching circuit 25 as a monitoring result. Also, the own CPU status set from the own CPU module 1 is held, and this held value is output to the transmission / reception circuit 22 and the dual system switching circuit 25 as the own CPU status signal A2. Further, the internal clock C6 is input to the abnormality monitoring circuit 24.
[0024]
The dual system switching circuit 25 controls the system switching based on the own system CPU normal signal A1, the own system CPU status signal A2, the other system CPU normal signal B1, and the other system control mode signal B3 input from the abnormality monitoring circuit 24. Processing is performed, and the own system control mode signal A3 is output to the transmission / reception circuit 22 and the abnormality monitoring circuit 24 as a control shift instruction. Further, it is determined whether or not the system switching is abnormal. If the system switching is abnormal, a switching abnormality signal C1 is output to the abnormality monitoring circuit 24.
[0025]
Here, the signals A <b> 1 to A <b> 3 and B <b> 1 to B <b> 3 that the transmission / reception circuit 22 transmits / receives to / from another system switching control device 2 via the cable 5 will be described.
The own CPU normal signal A1 indicates that the own CPU module 1 is normal. The own system CPU status signal A2 is composed of three signals: an own system control status signal A2-1, an own system standby status signal A2-2, and an own system initialization completion status signal A2-3. The status signal A2-1 indicates that the own system CPU module 1 is in the control state, the own system standby status signal A2-2 indicates that the own system CPU module 1 is in the standby state, and the own system initialization completion status signal A2-3 indicates that the initialization of the own CPU module 1 has been completed. The own system control mode signal A3 indicates that the own CPU module 1 is instructed to shift to the control state.
[0026]
Other system CPU normal signal B1, other system CPU status signal B2 (other system control status signal B2-1, other system standby status signal B2-2, other system initialization completion status signal B2-3), and other system control mode signal B3 indicates each state of the other system, similar to the signals A1, A2 (A2-1, A2-2, A2-3) and A3 of the own system.
[0027]
FIG. 3 is a block diagram showing a configuration of the abnormality monitoring circuit 24 shown in FIG. The abnormality monitoring circuit 24 will be described in detail with reference to FIG. In FIG. 3, reference numeral 31 denotes a clock monitoring circuit that monitors the input states of the input bus clock C4 and the internal clock C6, and outputs a clock abnormality signal C7 when an abnormality in any of the clock inputs is detected. Reference numeral 32 denotes a power supply monitoring circuit that monitors the power supply voltage used in the system switching control device 2 and outputs a power supply abnormality signal C8 when the power supply voltage falls outside a predetermined range. Reference numeral 33 denotes an abnormality monitoring timer called a watchdog timer (WDT), which counts the input bus clock C4 and outputs a WDT abnormality signal C9 when a predetermined timeout value is reached. . Reference numeral 34 denotes a 7-input negative OR circuit, and this output is the own CPU normal signal A1.
[0028]
Reference numeral 35 denotes a register group including a plurality of registers 41 to 46. Reference numeral 36 denotes a register access interface for accessing the registers 41 to 46 of the register group 35 based on the input bus signal C5. The own CPU module 1 can access the register group 35 via the compact PCI bus 3, the PCI bus interface 23, and the register access interface 36, and read / write from / to each of the registers 41 to 46. .
[0029]
In the register group 35, reference numeral 41 is a control register accessible from the WDT 33, and holds a timeout value, a count value of the WDT 33, a count operation setting of the WDT 33, and the like. When the own CPU module 1 accesses the WDT register 41, a WDT clear signal is output and the counting operation of the WDT 33 is initialized. Reference numeral 42 denotes a register for displaying a serious failure state of the own CPU module 1, and the own CPU module 1 detects its own major failure and sets this register.
[0030]
Reference numeral 43 is a control / standby mode register that holds the value of the input own system control mode signal A3 (control shift instruction display value). When this register is set, control is performed for the own CPU module 1. The transition to the state is instructed. Reference numeral 44 denotes an own system CPU normal signal A1, an own system CPU status signal A2 (A2-1, A2-2, A2-3), another system CPU normal signal B1, and another system CPU status signal B2 (B2-1, B2-2, B2-3) is a local / other system CPU status register that holds each value (state display value). Reference numeral 45 is a self-system CPU status register that holds a control state display value, a standby state display value, and an initialization state display value of the self-system CPU module 1, and the self-system CPU module 1 is based on its own state. To set each display value. From the own system CPU status register 45, the control state display value, the standby state display value, and the initialization state display value are the own system control status signal A2-1, the own system standby status signal A2-2, and the own system initial value, respectively. Is output as the value of the conversion completion status signal A2-3.
[0031]
Reference numeral 46 denotes an abnormality status register that holds the values of the signals C1 to C3 and C7 to C10, and indicates an abnormality for each factor corresponding to the signals C1 to C3 and C7 to C10. The factors corresponding to the signals C1 to C3 and C7 to C10 are: abnormality due to system switching, disconnection of the connector of the cable 5, abnormality of the compact PCI bus 3, abnormality of the clock (bus clock C4 or internal clock C6), Power failure, timeout of WDT 33, serious failure of own system CPU module 1.
[0032]
The own system CPU module 1 knows the instruction to shift to the control state by reading the value of the control / standby mode register 43 and reads the value of the own system / other system CPU status register 44 to The normal / abnormal state and the control / standby state can be grasped. Further, by reading the value of the abnormal status register 46, it is possible to grasp the abnormal state of the own system device for each factor.
[0033]
The own CPU module 1 initializes the counting operation of the WDT 33 by accessing the WDT register 41 at least once within the counting period corresponding to the timeout value of the WDT 33. Therefore, if the own CPU module 1 becomes inaccessible to the WDT register 41 due to software runaway or the like, the WDT 33 times out. As a result, an abnormality of the own CPU module 1 can be detected. By providing this watchdog timer function, the abnormality monitoring circuit 24 can detect not only an abnormality due to a hardware failure of the own system apparatus but also an abnormality due to a software runaway caused by a software bug or the like.
[0034]
In the abnormality monitoring circuit of FIG. 3, the negative logical sum circuit 34 performs a negative logical sum of the signals C1 to C3 and C7 to C10, and outputs the result as the own system CPU normal signal A1. That is, when at least one of the factors corresponding to the signals C1 to C3 and C7 to C10 occurs, the own CPU normal signal A1 is not output, indicating an abnormality of the own device. In other words, the own CPU normal signal A1 is an abnormal signal indicating the own system abnormality.
[0035]
FIG. 4 is a flowchart showing the flow of the system switching control process performed by the dual system switching circuit 25 shown in FIG. The operation of the dual system switching circuit 25 will be described with reference to FIG.
First, the dual system switching circuit 25 confirms the input of the own system CPU normal signal A1. If it is determined that the own system CPU normal signal A1 is not input, the process is terminated. On the other hand, if it is determined that it has been input, the input of the own system control status signal A2-1 is further confirmed (steps SP1 to SP3).
[0036]
Next, when it is determined that the own system control status signal A2-1 is not input (when the determination result of step SP4 is “NO”), the input of the other system control mode signal B3 is confirmed (step SP5). When it is determined that no input has been made, the local system control mode signal A3 is output. As a result, the CPU system 1 is instructed to transfer control. On the other hand, if it is determined that the other system control mode signal B3 is input, the processing is terminated (steps SP6 and SP7).
[0037]
In step SP4, when it is determined that the own system control status signal A2-1 is input, the input of the other system CPU normal signal B1 is confirmed. The process proceeds to SP5. On the other hand, if it is determined that the other system CPU normal signal B1 is input, the output of the own system control mode signal A3 is confirmed (steps SP11 to SP13). Next, if it is determined that the own system control mode signal A3 is being output, the process proceeds to step SP5. On the other hand, if it is determined that it is not output, the process is terminated (step SP14). ).
[0038]
Next, in step SP7, the own system control mode signal A3 is output, and after a predetermined time elapses, the system switching abnormality is confirmed. In this way, by detecting the system switching abnormality after waiting for a predetermined time after the output of the own system control mode signal A3, erroneous detection of the switching abnormality in the system switching operation transition period of the own system CPU module 1 can be prevented. Next, when it is determined that the system switching is normal, the process is terminated. On the other hand, when it is determined that the system switching is abnormal, the switching abnormality signal C1 is output (steps SP8 to SP10). ).
[0039]
In steps SP8 and SP9, as a system switching abnormality confirmation and determination means, for example, by confirming the input of the own system control status signal A2-1 and the output of the own system control mode signal A3, the system switching is normal. The system switching is normal when it is determined that the input of the own system control status signal A2-1 and the output of the own system control mode signal A3 are determined, and the system switching error is determined when it is determined that it is not. Further, it is possible to notify a system switching abnormality by the switching abnormality signal C1 output as the system switching abnormality.
[0040]
The dual system switching circuit 25 may always perform the system switching control process shown in FIG. 4 or may be performed at a constant cycle.
[0041]
According to the first embodiment described above, if the CPU module is connectable to a compact PCI bus, a CPU duplication system of the control device can be constructed using a general-purpose and inexpensive CPU module. As a result, it can be constructed at low cost, and the CPU module type can be flexibly changed.
[0042]
Next, FIG. 5 is a block diagram showing a configuration of a CPU duplication system according to the second embodiment of the present invention. In FIG. 5, parts corresponding to those in FIG. 1 are denoted by the same reference numerals, and description thereof is omitted. The CPU duplex system shown in FIG. 5 differs from the configuration shown in FIG. 1 in that the communication ports 13 of the CPU modules 1 are connected by a cable 6 to establish a dedicated communication line for data tracking. . That is, each communication port 13 always establishes a communication line for communicating data via the cable 6 so that the CPUs 11 can perform communication for data tracking at any time. Therefore, the CPU 11 can exclusively use this communication line and can perform data tracking at high speed. As a result, the tracking communication cycle is shortened, and tracking can be performed for each calculation cycle. Thus, the CPU dual system switching can be realized while the processing of the CPU 11 is continuously continued. .
[0043]
In the above-described embodiment, the present invention is applied to a CPU duplex system using a CPU module that can be connected to a compact PCI bus. However, the external connection bus of the CPU module is not limited to the compact PCI bus. For example, a PCI bus that is widely used as an expansion high-speed bus for personal computers may be an external connection bus for a CPU module. In this case, the PCI bus interface of the system switching control device can be similarly applied only by conforming to the PCI bus standard. Application to other bus standards is also possible.
[0044]
The embodiment of the present invention has been described in detail with reference to the drawings. However, the specific configuration is not limited to this embodiment, and includes design changes and the like within a scope not departing from the gist of the present invention.
[0045]
【The invention's effect】
As described above, according to the system switching control device of the present invention, the abnormality monitoring circuit for monitoring the state of the own system and outputting the abnormal signal of the own system, the control transition instruction display value, the own system and others A group of registers for holding normal / abnormal status display values and control / standby status display values of the system devices, and status signals of the local system and other systems indicating the abnormal signals and status display values of the local system and other systems A transmission / reception circuit that transmits and receives a control mode signal indicating a control transition instruction display value of the own system and another system, an abnormal signal of the own system and another system, a control mode signal of the other system, and a status display value held in the register group Based on this, a dual system switching circuit that outputs and holds a signal indicating a control transition instruction display value to a register group in order to perform system switching control processing and instruct control transition to its own CPU module; Connected to a bus capable of data transmission, Since an interface circuit that can access the register group is provided, if it is applied to a CPU duplication system of a control device, a CPU duplication system of the control device can be constructed using a general-purpose and inexpensive CPU module. . As a result, it can be constructed at low cost, and the CPU module type can be flexibly changed.
[0046]
Furthermore, if the dual system switching circuit determines whether or not the control transition instruction is abnormal after a predetermined time has elapsed after the output of the signal indicating the control transition instruction display value, the system switching abnormality is detected. In addition to being able to detect and notify, it is possible to prevent the erroneous detection of the system switching abnormality.
[0047]
Furthermore, if the two CPU modules of the CPU duplication system of the control device each have a communication port and connect these communication ports to establish a dedicated communication line, this communication line is used for data tracking. It can be used exclusively, and data tracking can be performed at high speed. As a result, the tracking communication cycle is shortened, and tracking can be performed for each calculation cycle, and an effect is obtained that the system switching of the CPU dual system can be realized while the CPU processing is continuously continued. .
[Brief description of the drawings]
FIG. 1 is a block diagram showing a configuration of a CPU duplex system according to a first embodiment of the present invention.
FIG. 2 is a block diagram showing a configuration of a system switching control device 2 shown in FIG.
3 is a block diagram showing a configuration of an abnormality monitoring circuit 24 shown in FIG.
4 is a flowchart showing a flow of a system switching control process performed by the dual system switching circuit 25 shown in FIG.
FIG. 5 is a block diagram showing a configuration of a CPU duplex system according to a second embodiment of the present invention.
FIG. 6 is a block diagram showing a first configuration example of a conventional CPU duplication system.
FIG. 7 is a block diagram showing a second configuration example of a conventional CPU duplex system.
[Explanation of symbols]
1 CPU module
2 system switching control device
3 Compact PCI bus
4 CPU rack
5, 6 cable
11 CPU (Central Processing Unit)
12 Peripheral circuit
13 Communication port
14, 23 PCI bus interface
21 Dual system switching / abnormality monitoring unit
22 Transceiver circuit
24 Abnormality monitoring circuit
25 Dual system switching circuit
26 Clock generator
31 Clock monitoring circuit
32 Power supply monitoring circuit
33 Watchdog timer (WDT)
34 Negative OR circuit
35 registers
36 Register Access Interface
41 WDT register
42 CPU module serious failure register
43 Control / standby mode register
44 Local / other CPU status register
45 Local CPU status register
46 Abnormal status register

Claims (3)

自系のCPUモジュールとは別体をなし、データ伝送可能なバスを介して自系の前記CPUモジュールと相互にデータを送受信する系切替制御装置であって、
自系の装置の状態を監視し、この監視結果から異常を検知して自系の異常を示す異常信号を出力する異常監視回路と、
自系の前記CPUモジュールに対して制御の切替えを指示するための制御移行指示表示値と、自系及び他系の装置の正常/異常の状態表示値及び制御/待機の状態表示値とを保持するレジスタ群と、
前記異常信号と、前記レジスタ群に保持された制御移行指示表示値及び自系の状態表示値を各々示す制御モード信号及びステータス信号とを他系に送信し、また、他系から受信したステータス信号を他系の装置の正常/異常の状態表示値及び制御/待機の状態表示値を示す信号として前記レジスタ群に出力して保持させるとともに、他系から制御モード信号及び異常信号を受信する送受信回路と、
前記送受信回路によって前記他系から受信された他系の前記制御モード信号、前記自系及び他系の異常信号、及び前記レジスタ群に保持された状態表示値に基づいて、系切替制御処理を行い、自系のCPUモジュールに対して制御移行を指示するために、制御移行指示表示値を前記レジスタ群に出力して保持させる二重系切替え回路と
を備え、
前記二重系切替え回路は、系の切替動作過渡期における切替異常の誤検知を防ぐために、前記制御移行指示表示値の出力から所定時間経過後に、自系の状態表示値を示すステータス信号を確認することにより、前記制御移行指示表示値に基づく系切替えの異常を確認することを特徴とする系切替制御装置。A system switching control device that is separate from the CPU module of the own system and transmits / receives data to / from the CPU module of the own system via a bus capable of transmitting data,
An abnormality monitoring circuit that monitors the status of the device of the own system, detects an abnormality from the monitoring result, and outputs an abnormality signal indicating the abnormality of the own system;
Holds the control transition instruction display value for instructing the CPU module of the own system to switch control, and the normal / abnormal status display value and the control / standby status display value of the own system and other system devices. Register group
The abnormal signal, the control mode signal and the status signal respectively indicating the control transition instruction display value and the local state display value held in the register group are transmitted to the other system, and the status signal received from the other system Is output to and held in the register group as signals indicating normal / abnormal status display values and control / standby status display values of other system devices, and receives a control mode signal and an abnormal signal from the other system When,
Based on the control mode signal of the other system received from the other system by the transmission / reception circuit, the abnormal signal of the own system and the other system, and the state display value held in the register group, the system switching control process is performed. A dual system switching circuit for outputting and holding a control transition instruction display value to the register group in order to instruct control transition to its own CPU module;
With
The dual system switching circuit checks the status signal indicating the status display value of the own system after a predetermined time has elapsed from the output of the control transition instruction display value in order to prevent erroneous detection of switching abnormality in the transition period of the system switching operation. Thus , the system switching control device is configured to confirm an abnormality of the system switching based on the control transition instruction display value . 二つのCPUモジュールを有し、二つの前記CPUモジュールにおける制御/待機の状態を必要に応じて交互に変更する制御装置のCPU二重化システムにおいて、
請求項1に記載の系切替制御装置を二つの前記CPUモジュールのそれぞれに対して別体に設けるとともに、二つの前記系切替制御装置間を接続し、
前記CPUモジュールと該CPUモジュールに対応した前記系切替制御装置とをデータ伝送可能なバスで接続し、二つの前記CPUモジュールは、それぞれ、前記バスを介して前記系切替制御装置にアクセスして制御移行指示と自系及び他系装置の正常/異常の状態、及び制御/待機の状態を把握し、これらの情報に基づいて前記制御/待機の状態の変更を行うことを特徴とする制御装置のCPU二重化システム。In the dual CPU system of the control device having two CPU modules and alternately changing the control / standby state in the two CPU modules as necessary,
The system switching control device according to claim 1 is provided separately for each of the two CPU modules, and the two system switching control devices are connected,
The CPU module and the system switching control device corresponding to the CPU module are connected by a bus capable of transmitting data, and each of the two CPU modules accesses and controls the system switching control device via the bus. A control apparatus characterized by grasping a transition instruction, a normal / abnormal state of the own system and another system apparatus, and a control / standby state, and changing the control / standby state based on the information. CPU duplication system. 二つの前記CPUモジュールはそれぞれに通信ポートを有し、前記通信ポート間を接続して専用通信回線を確立することを特徴とする請求項に記載の制御装置のCPU二重化システム。CPU redundant system of two of said CPU module comprises a communication port to each control device according to claim 2, characterized in that establishing a dedicated communication line connecting between the communication port.
JP2000341669A 2000-11-09 2000-11-09 System switching control device and redundant CPU system of control device Expired - Lifetime JP4335429B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000341669A JP4335429B2 (en) 2000-11-09 2000-11-09 System switching control device and redundant CPU system of control device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000341669A JP4335429B2 (en) 2000-11-09 2000-11-09 System switching control device and redundant CPU system of control device

Publications (2)

Publication Number Publication Date
JP2002149203A JP2002149203A (en) 2002-05-24
JP4335429B2 true JP4335429B2 (en) 2009-09-30

Family

ID=18816377

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000341669A Expired - Lifetime JP4335429B2 (en) 2000-11-09 2000-11-09 System switching control device and redundant CPU system of control device

Country Status (1)

Country Link
JP (1) JP4335429B2 (en)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007172334A (en) * 2005-12-22 2007-07-05 Internatl Business Mach Corp <Ibm> Method, system and program for securing redundancy of parallel computing system
JP5025402B2 (en) * 2007-09-28 2012-09-12 株式会社日立製作所 High safety control device
JP5161808B2 (en) * 2009-02-16 2013-03-13 三菱電機株式会社 Dual system controller
JP2012027805A (en) * 2010-07-27 2012-02-09 Hitachi High-Technologies Corp Control system
JP6109442B2 (en) 2015-04-22 2017-04-05 三菱電機株式会社 Slave equipment and redundant system

Also Published As

Publication number Publication date
JP2002149203A (en) 2002-05-24

Similar Documents

Publication Publication Date Title
US7539801B2 (en) Computing device with flexibly configurable expansion slots, and method of operation
US6035414A (en) Reliability of crossbar switches in an information processing system
US6356984B1 (en) Digital data processing system having a data bus and a control bus
US5644700A (en) Method for operating redundant master I/O controllers
US8700835B2 (en) Computer system and abnormality detection circuit
KR100513820B1 (en) Bus-to-bus bridge circuit with integrated loopback test capability and method of use
CN107861893B (en) I3C is verified from equipment, the authentication system and method for master-slave equipment
JP4937900B2 (en) Automatic configuration of the communication port as a transmitter or receiver depending on the detected transmission direction of the connected device
JP4335429B2 (en) System switching control device and redundant CPU system of control device
CN108885573A (en) Safety device
US20040162928A1 (en) High speed multiple ported bus interface reset control system
US6564340B1 (en) Fault tolerant virtual VMEbus backplane design
EP0183431B1 (en) System control network for multiple processor modules
JP2001060160A (en) Cpu duplex system for controller
US20040162927A1 (en) High speed multiple port data bus interface architecture
JP2966966B2 (en) Redundant device for programmable controller
JPH087442Y2 (en) Input / output device of programmable controller
JPS6292064A (en) Parallel process computer
TW202333068A (en) Server system
JPH07114521A (en) Multimicrocomputer system
JP2001109672A (en) Scsi bus controller
JPH07240770A (en) Line switching control unit
JPH10333729A (en) Numerical controller
CS214595B1 (en) Connection for testing the multicomputer systems
JP2001102457A (en) Lsi incorporating a plurality of controllers and lsi combination system comprising the same

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20051102

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080403

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080408

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080609

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081028

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090105

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090602

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090625

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120703

Year of fee payment: 3

R151 Written notification of patent or utility model registration

Ref document number: 4335429

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120703

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130703

Year of fee payment: 4

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term