JP4630234B2 - 二重系システム - Google Patents
二重系システム Download PDFInfo
- Publication number
- JP4630234B2 JP4630234B2 JP2006166353A JP2006166353A JP4630234B2 JP 4630234 B2 JP4630234 B2 JP 4630234B2 JP 2006166353 A JP2006166353 A JP 2006166353A JP 2006166353 A JP2006166353 A JP 2006166353A JP 4630234 B2 JP4630234 B2 JP 4630234B2
- Authority
- JP
- Japan
- Prior art keywords
- control device
- response
- counterpart
- control
- self
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Selective Calling Equipment (AREA)
- Hardware Redundancy (AREA)
- Safety Devices In Control Systems (AREA)
Description
本発明は、通信回線により接続される第1の制御装置と第2の制御装置を立ち上げたとき、第1の制御装置と第2の制御装置が通信回線を介して通信を行い、一方を運用系に、他方を非運用系に設定して縮退運転を行う二重系システムに関する。
プラント制御等、高信頼性を要求される制御環境にあっては、一方を運用系、他方を待機系(非運用系)とする冗長構成を持つ二重系として計算機システムを構築し、運用系に異常が発見された場合に即時待機系に切替え、継続して制御が実行される。
前記した二重系システムの立ち上げ時、相手制御装置が運用未確定状態で自制御装置も運用未確定状態である時、自制御装置と相手制御装置とが同時に運用系になるのを防止するため、乱数により設定した一定時間経過後に相手装置の状態を監視し、そのときの状態で自制御装置が運用系になるか否かを決定する技術が知られている。前記した技術によれば、二重系システムの立ち上げ時、相手制御装置からの情報が接続回線の断線等により通信異常等の信用できない事態を検出した場合には、現在の状態を保持するようにしている。ただし、自制御装置が非運用系の場合は両方の制御装置が非運用となるのを回避するため、自制御装置を運用系に遷移するようにしている(例えば、特許文献1参照)。
また、二重化システムにおいて、運用系(マスタ状態)、非運用系(スレーブ状態)の切替えをCPU(Central Processing Unit)に依存せずハードウェアで自律的に行うために、例えば、故障が無く、リセットされず、スイッチがOFF状態で、他の制御装置がスレーブ状態にあったときの自制御装置を、運用系として動作させる技術も知られている。前記した技術によれば、二重系システムのリセット時、各制御装置の出力遅延時間に差を設け、短い時間が設定された制御装置が運用系に、他方の制御装置が非運用系に遷移するようにしている(例えば、特許文献2参照)
特開平7−23079号公報(段落「0012」〜「0018」、図1、図5)
特開平5−233579号公報(段落「0010」、「0020」、図1)
前記した特許文献1に開示された技術によれば、二重系システムの運用系を決定する際に乱数を使用しているため、どちらの制御装置が運用系になるかをユーザが予測できないという欠点を持つ。この欠点により、制御装置毎に改造を行う時の保全作業において、まだ改造を施していない制御装置がプラントの制御を行う恐れがある。また、自制御装置が非運用系である状態において、相手制御装置からの情報に基づき接続回線の断線等により通信異常等の信用できない状態を検出した場合に、両方の制御装置が非運用系となるのを回避するために自制御装置を運用系にすることになり、この場合、プラントに対して両方の制御装置から制御が行われ、プラントを誤制御する危険性を有している。
一方、前記した特許文献2に開示された技術によれば、二重系システムの立ち上げ時、制御装置の出力遅延時間に差を設け、短い時間が設定された制御装置が運用系に、他方が非運用系に遷移するようにしているが、前記した出力遅延時間の差と、運用系と非運用系の制御装置を電源投入等により立ち上げる時間の差とが同じになった場合、制御装置が同時に立ち上がるため両方の制御装置が運用系となり、この場合、特許文献1に開示された技術同様、制御装置が制御しているプラントに対して両方の制御装置から制御が行われ、プラントを誤制御する危険性を有している。
本発明は、前記した課題を解決するためになされたものであり、プラントを誤制御することなく、システムの状態に応じて最適かつ安全に二重系システムの立ち上げを実現する、二重系システムを提供することを目的とする。
前記した課題を解決するために本発明は、二重系システムの運用系を決定する際に、系を構成する第1の制御装置と、第2の制御装置が持つ、相手制御装置の状態を取り込む通信制御処理において、乱数を使用することなく、相手制御装置から応答を待つ時に使用する応答待ち時間にそれぞれの制御装置間で差を設けることにより、第1の制御装置と第2の制御装置のいずれを運用系として立ち上げるかについて決定する構成としたものである。そして、この第1の制御装置および第2の制御装置は、相手制御装置へ生存確認データを送信し、その応答を受信する通信制御部と、通信制御部により、相手制御装置からの応答を、自制御装置の応答待ち時間が経過しても、受信しなかったことを検出したとき、自制御装置を運用系として設定し、自制御装置の系の状態が運用系である旨を示す応答を相手制御装置へ送信し、通信制御部により、相手制御装置から自制御装置の系の状態が運用系である旨を示す応答を受信したとき、自制御装置を非運用系として設定する信号処理部とを有する系切替え制御手段を備える。また、信号処理部は、通信制御部により、自制御装置の応答待ち時間以内に、相手制御装置からの応答を受信したとき、応答に含まれる相手制御装置に設定された応答待ち時間と、自制御装置の応答待ち時間とを比較する。そして、相手制御装置に設定された応答待ち時間が自制御装置の応答待ち時間より短い場合に自制御装置を非運用系として設定し、相手制御装置に設定された応答待ち時間が自制御装置の応答待ち時間より長い場合に自制御装置を運用系として設定する。
本発明によれば、プラントを誤制御することなく、システムの状態に応じて最適かつ安全に二重系システムの立ち上げを実現することができる。
以下、本発明を実施するための最良の形態(以下、実施の形態という)を、第1の実施の形態ないし第3の実施の形態に分けて説明する。
<第1の実施の形態>
図1は、第1の実施の形態における二重系システムのシステム構成の一例を示す図である。
図1は、第1の実施の形態における二重系システムのシステム構成の一例を示す図である。
図1において、符号10は、第1の制御装置としての制御装置、符号30は、第2の制御装置としての制御装置を示す。また、符号12,32は、状態遷移テーブルを示す。この状態遷移テーブル12,32は、相手制御装置の状態をもとに次に遷移させる自制御装置の状態を決定するときに参照される。また、符号11,31は、制御装置10,30それぞれの信号処理部を示す。この通信処理部11,31は、状態遷移テーブル12,32に基づいた状態遷移を実行する。第1の実施の形態では、制御装置10、制御装置30間を接続する通信回線を、専用接続回線40と基幹ネットワーク50とで二重化している。
制御装置10,30が専用接続回線40に接続されている場合、停止前に自制御装置の状態が運用系であったときは、自制御装置を優先的に運用系とする優先系として立ち上げる。一方、停止前に自制御装置の状態が非運用系であった場合は相手制御装置を運用系とする非優先系として立ち上げると判断する。なお、停止前に自制御装置の状態が運用系であったか非運用系であったか否かは、自制御装置情報記憶部13,33に記録される。
一方、制御装置10,30が専用接続回線40に接続されていない場合、それぞれの制御装置10,30が所有するネットワーク接続監視部15,35が、基幹ネットワーク50の接続状態を監視し、自制御装置の基幹ネットワーク50への接続状態を信号処理部11,31へ通知する。信号処理部11,31は、自制御装置が基幹ネットワーク50に接続されている場合、それぞれの制御装置10,30が所有する通信制御部14,34を使用し、基幹ネットワーク50を介して相手制御装置と通信を行い、相手制御装置の状態を取得する。相手制御装置の状態を取得した通信制御部14,34は、相手制御装置の状態を信号処理部11,31へ通知し、それを受け取った信号処理部11,31は、状態遷移テーブル12,32に基づいた状態遷移を実行する。
また、信号処理部11,31は、自制御装置が基幹ネットワーク50に接続されていない場合、状態遷移テーブル12,32(詳細は後記)に基づいた状態遷移を実行する。なお、制御装置10,30のハードウェア構成はここでは図示を省略するが、専用接続回線40および基幹ネットワーク50により通信を行うための通信インタフェースと、状態遷移テーブル12,32、自制御装置情報記憶部13,33を所定領域に備える記憶部と、各種演算処理を実行する演算処理部とを備える。演算処理部は、専用の回路により実現するようにしてもよいし、CPU等が記憶部に記憶されたプログラムを実行することで実現するようにしてもよい。前記した通信制御部14,34、信号処理部11,31およびネットワーク接続監視部15,35をまとめて系切替え制御手段とする。
図2は、図1の状態遷移テーブルを表形式で例示した図である。以下、図2に例示する状態遷移テーブルを参照しながら、本実施の形態の二重系システムにおける系切替え制御方法について説明する。
図2に例示するように、自制御装置の状態が優先系で、自制御装置が専用接続回線40に接続されている場合、自制御装置は、相手制御装置の状態を、専用接続回線40を使用して取得する。ここで、相手制御装置の状態が非運用系である場合、自制御装置を運用系として立ち上げ、二重系システムの縮退運転を開始する(符合21,23参照)。また、相手制御装置の状態が運用系である場合、自制御装置を非運用系として立ち上げ、二重系システムの運転を開始する(符合22,24参照)。
一方、専用接続回線40が切断状態であるが、基幹ネットワーク50に接続されている場合、自制御装置は、基幹ネットワーク50を使用した通信で相手制御装置の状態を取得する。ここで、相手制御装置から応答が無かった場合、自制御装置は、相手制御装置が非運用系であると判定し、自制御装置を運用系として立ち上げ、二重系システムの縮退運転を開始する(符合25参照)。また、相手制御装置から応答が返ってきた場合は、相手制御装置が運用系であると判定し、自制御装置を非運用系とすることで二重系システムを縮退運転とする(符号26参照)。ここで、相手制御装置から応答が無かった場合、自制御装置を非運用系としたのは、自制御装置を運用系としてしまうと、相手制御装置が既に運用系として立ち上がっている場合、プラントに対して両方の制御装置から制御が行われ、プラントを誤制御する可能性があるからである。
また、専用接続回線40が切断状態であり、かつ、基幹ネットワーク50も切断状態の場合、自制御装置を非運用系とすることで二重系システムを縮退運転とする(符号27,28参照)。この場合も、自制御装置を非運用系としたのは、自制御装置を運用系としてしまうと、相手制御装置が既に運用系として立ち上がっている場合、プラントに対して両方の制御装置から制御が行われ、プラントを誤制御する可能性があるからである。
なお、自制御装置の状態が非優先系である場合も、自制御装置の専用接続回線40への接続状態、基幹ネットワーク50の接続状態による状態遷移先は、自制御装置の状態が優先系である場合と同じであるので説明を省略する。
図3は、第1の実施の形態における二重系システムの動作を示すシーケンス図である。以下、図1、図2を参照しつつ、図3を用いて第1の実施の形態における二重系システムの動作を説明する。
<動作概要>
ここでは、制御装置10の応答待ち時間を制御装置30の応答待ち時間より短く設定することで、制御装置10を制御装置30よりも優先的に立ち上げる優先系として設定し、制御装置30を非優先系として設定している。なお、ここでの応答待ち時間とは、制御装置10,30に電源投入あるいはリセットがされた後、この制御装置10,30が生存確認データを送信してから、相手制御装置からの生存確認データに対する応答データを送信する処理を実行するまでの時間を指す。
ここでは、制御装置10の応答待ち時間を制御装置30の応答待ち時間より短く設定することで、制御装置10を制御装置30よりも優先的に立ち上げる優先系として設定し、制御装置30を非優先系として設定している。なお、ここでの応答待ち時間とは、制御装置10,30に電源投入あるいはリセットがされた後、この制御装置10,30が生存確認データを送信してから、相手制御装置からの生存確認データに対する応答データを送信する処理を実行するまでの時間を指す。
図3中、符号M1は、相手制御装置の生存を確認する専用の通信データ(生存確認データ)であり、符号M2はM1に対する専用の応答データ(応答データ)である。なお、この応答データには、対応する生存確認データのシーケンス番号が含まれ、制御装置10,30は、この応答データに含まれるシーケンス番号により、確かに当該応答データが相手制御装置からの応答データであることを確認するものとする。
また、優先系である制御装置10の応答待ち時間は、非優先系である制御装置30の応答待ち時間よりも短い時間に設定する。ここでは、制御装置10,30とも、応答データM2の受信処理を開始してから、この処理をタイムアウトするまでの時間(タイムアウト値)を同じ時間とし、制御装置10,30のうち、運用系である制御装置10のタイムアウト回数を非運用系である制御装置30のタイムアウト回数よりも少ない値とすることで、応答待ち時間に差を設ける。
すなわち、通信制御部14,34は、相手制御装置に生存確認データM1を送信し、その応答データM2の受信を待つ処理を行う。信号処理部11,31は、応答データM2の受信ができたか否かにより相手制御装置の生存判定を行う。ここで、通信制御部14,34により応答データM2の受信待ちのタイムアウトをn回検出したとき、相手制御装置を非運用系と判定し、自制御装置を運用系に決定する。
この後、通信制御部14,34を介して、相手制御装置からの生存確認データM1の受信を待つ処理を行う。そして、相手制御装置から、生存確認データM1を受信すると、信号処理部11,31は、この生存確認データM1に対する自制御装置の状態を示した応答データM2を相手制御装置へ送信し、自制御装置を運用系に決定したことを相手制御装置へ通知する。このような応答データM2を受信した相手制御装置は、自身を非運用系として決定する。
この後、通信制御部14,34を介して、相手制御装置からの生存確認データM1の受信を待つ処理を行う。そして、相手制御装置から、生存確認データM1を受信すると、信号処理部11,31は、この生存確認データM1に対する自制御装置の状態を示した応答データM2を相手制御装置へ送信し、自制御装置を運用系に決定したことを相手制御装置へ通知する。このような応答データM2を受信した相手制御装置は、自身を非運用系として決定する。
<動作詳細>
図3において、まず、優先系とした制御装置10と、非優先系とした制御装置30の電源を同時に投入して両方を同時に立ち上げた場合(S10,S30:電源投入)、制御装置10と制御装置30は、ともに相手制御装置が運用系として立ち上がっているか否かを確認するため、生存確認データM1の送信を実行し(S11,S31)、その応答データM2の受信処理(受信待ちの処理)を実行する。具体的には、信号処理部11,31は、生存確認データM1を生成して通信制御部14,34に引渡し、通信制御部14,34は、その生存確認データM1を基幹ネットワーク50へ送信する。
図3において、まず、優先系とした制御装置10と、非優先系とした制御装置30の電源を同時に投入して両方を同時に立ち上げた場合(S10,S30:電源投入)、制御装置10と制御装置30は、ともに相手制御装置が運用系として立ち上がっているか否かを確認するため、生存確認データM1の送信を実行し(S11,S31)、その応答データM2の受信処理(受信待ちの処理)を実行する。具体的には、信号処理部11,31は、生存確認データM1を生成して通信制御部14,34に引渡し、通信制御部14,34は、その生存確認データM1を基幹ネットワーク50へ送信する。
なお、制御装置10,30の信号処理部11,31は前記した応答待ち時間が経過しないと通信制御部34を起動させ、応答データM2の送信処理を実行させない。つまり、制御装置10,30は、応答待ち時間が経過しないと、相手制御装置から生存確認データM1を受信しても、これに対する応答データM2を送信しない。よって、制御装置10,30は、生存確認データM1に対する応答データM2のタイムアウトを検出し、信号処理部11,31へ報告する(S12,S32)。
続いて、信号処理部11,31は、通信制御部14,34からタイムアウト報告を受け、相手制御装置からの応答が無いことを認識する(S13,S33)。つまり、1回目のタイムアウトを認識する。
次に、再度、制御装置10と制御装置30は、生存確認データM1の送信処理を実行し、その応答データM2の受信処理を実行する。そして、前記したS12,S32と同様に通信制御部14,34は、応答データM2の受信処理のタイムアウトを検出し、信号処理部11,31へ報告する(S14,S34)。信号処理部11,31は、通信制御部14,34からタイムアウト報告を受け、相手制御装置から応答が無いことを認識する(S15,S35)。つまり、2回目のタイムアウトを認識する。
次に、再度、制御装置10と制御装置30の信号処理部11,31は、前記と同様の手順により3回目のタイムアウト報告を受ける(S16,S36)。
以上により、制御装置10は、タイムアウトを3回認識したため、つまり、生存確認データM1を合計3回送信し、応答データM2の応答を3回待ったが、制御装置30から応答データM2が送信されてこなかったため、応答待ち時間が経過したと判断する。そして、制御装置10は、制御装置30を非運用系と判定し(S17)、生存確認データM1の送信を停止して、自制御装置10を運用系に決定する。そして、応答データM2の送信処理を起動させ(S18)、制御装置30からの生存確認データM1を受信する処理を実行する。また、制御装置30の信号処理部31は、3回目のタイムアウト報告を受けると、相手制御装置からの応答無しを認識する(S37)。
前記したS18における処理の詳細を、図4を用いて詳細に説明する。図4に示すように、制御装置10の信号処理部11は、応答待ち時間が経過したことを認識すると(つまり、タイムアウトを3回認識すると)、通信制御部14が備える応答データM2の送信処理を起動する(S18)。ここで、応答データM2とは、自制御装置の系の状態(ここでは、運用系)を、相手装置からの生存確認データM1に対する応答として送信するデータである。また、応答データM2の送信処理は、相手制御装置(制御装置30)から送信される生存確認データM1の受信を待って(S181)、応答データM2を送信する処理である(S182)。
なお、ここでは説明を省略するが、制御装置30の信号処理部31も、同様に応答待ち時間が経過したことを認識すると(つまり、タイムアウトを10回認識すると)、通信制御部34が備える応答データM2の送信処理を起動する。
なお、ここでは説明を省略するが、制御装置30の信号処理部31も、同様に応答待ち時間が経過したことを認識すると(つまり、タイムアウトを10回認識すると)、通信制御部34が備える応答データM2の送信処理を起動する。
図3の説明に戻る。図3のS17において、制御装置10は、自制御装置を運用系と決定し、立ち上げようとするが、ここで、制御装置10は、相手制御装置(制御装置30)が運用系として立ち上がっているか否かを確認する必要がある。そこで、再度、相手制御装置生存確認判定処理のリトライ処理を実行する(S19)。つまり、制御装置10は、再度、生存確認データM1を合計3回送信する。ここでのリトライ処理により相手制御装置(制御装置30)が非運用系であることが確認できると、自制御装置(制御装置10)は、運用系として立ち上げる(S20)。
一方、制御装置30は、相手制御装置(制御装置10)が運用系として立ち上がっているか否かを判定するため、生存確認データM1を送信し(S38)、その応答データM2を待つ。この段階で、制御装置10の応答データM2送信処理は起動されているため、制御装置30は、応答データM2を受信し(S39)、その受信データM2から制御装置10が運用系であることを認識する(S40)。そして、制御装置30は、自身を非運用系に決定する。
前記した第1の実施の形態によれば、優先系とした制御装置10と非優先系とした制御装置30を同時に立ち上げても、応答待ち時間の短い制御装置10を運用系とし、応答待ち時間が長い制御装置30を非運用系として設定し、制御することで、二重系システムを安全な状態に維持することができる。
<第2の実施の形態>
図5は、第2の実施の形態における二重系システムの動作を示すシーケンス図である。以下、図1〜図4を参照しつつ、図5を用いて第2の実施の形態における二重系システムの動作を説明する。二重系システムのシステム構成は、図1に示す第1の実施の形態と同じ構成を用いることとする。ここでも、制御装置10を優先系とし、制御装置30を非優先系とする。また、制御装置10の応答待ち時間を、制御装置30の応答待ち時間よりも短く設定しておく。具体的には、制御装置10が応答データ受信のタイムアウトを3回認識したとき、応答データM1の送信処理を実行し、制御装置30が、応答データ受信のタイムアウトを10回認識したとき、応答データM1の送信処理を実行するものとする。
図5は、第2の実施の形態における二重系システムの動作を示すシーケンス図である。以下、図1〜図4を参照しつつ、図5を用いて第2の実施の形態における二重系システムの動作を説明する。二重系システムのシステム構成は、図1に示す第1の実施の形態と同じ構成を用いることとする。ここでも、制御装置10を優先系とし、制御装置30を非優先系とする。また、制御装置10の応答待ち時間を、制御装置30の応答待ち時間よりも短く設定しておく。具体的には、制御装置10が応答データ受信のタイムアウトを3回認識したとき、応答データM1の送信処理を実行し、制御装置30が、応答データ受信のタイムアウトを10回認識したとき、応答データM1の送信処理を実行するものとする。
本実施の形態は、制御装置10,30の電源投入等により立ち上げる時間差が、制御装置10と制御装置30の応答待ち時間差(タイムアウト7回分)と同じ場合においても、応答待ち時間の短い制御装置10を運用系として決定することを特徴とする。
まず、制御装置30の電源が投入されてから(S300)、応答待ち時間差と同じ時間が経過した後に、制御装置10の電源が投入されたとする(S100)。そして、前記した図3のS11,S31と同様に、制御装置10と制御装置30は、相手制御装置が運用系として立ち上がっているか否かを確認するために生存確認データM1を送信する(S101,301)。そして、その応答データM2を待つ。次に、前記した第1の実施の形態と同様に、制御装置10,30の信号処理部11,31は、タイムアウト報告を受け、相手制御装置から応答が無かったことを制御装置10は3回(S102〜S104)、制御装置30は10回認識する(S302〜S304)。
制御装置10は、生存確認データM1を合計3回送信し、応答データM2の応答を3回待ったが、制御装置30から応答データM2が送信されてこなかったため、相手制御装置(制御装置30)を非運用系と判定する(S105)。そして、前記した図4のS18と同様に、応答データM2の送信処理を起動する(S106)。一方、制御装置30も、生存確認データM1を合計10回送信し、応答データM2の応答を10回待ったが、制御装置10から応答データM2が送信されてこなかったため、相手制御装置を非運用系と判定する(S305)。そして、前記した図4のS18と同様に、応答データM2の送信処理を起動する(S306)。
次に、制御装置10,30は相手制御装置が運用系として立ち上がっているか否かを判定するため、再度、生存確認データM1を送信するリトライ処理を実行する(S107,307)。すなわち、制御装置10,30は、生存確認データM1を送信し(S108,S308)、その応答データM2を待つ。ここでは、既に制御装置10,30の応答データM2送信処理は起動されているため、お互いに応答データM2を送信する。なお、この応答データM2には、自身の制御装置に設定された応答待ち時間を含める。
制御装置10,30は、相手制御装置からの応答データM2を受信すると、この応答データM2に含まれる相手制御装置の応答待ち時間を取得し、この相手制御装置の応答待ち時間と、自制御装置情報記憶部13,33にあらかじめ格納されてある自制御装置の応答待ち時間とを比較する(S109,S309)。
ここで、制御装置10は、応答待ち時間を比較した結果、自制御装置の応答待ち時間の方が短いことを認識すると、自制御装置と相手制御装置との立ち上げの時間差が、制御装置30の応答時間と制御装置10の応答時間の差と等しい場合の立ち上げと判定し、信号処理部11による制御の下、自制御装置を運用系として立ち上げる。つまり、リトライした結果、相手制御装置から応答があり、かつ伝文(応答データM2)内に設定された相手制御装置の応答待ち時間が自制御装置の応答待ち時間よりも長いとき、自制御装置を運用系として立ち上げる(S110)。
また、制御装置30は、応答待ち時間を比較した結果、自制御装置の応答待ち時間の方が長いことを認識すると、自制御装置と相手制御装置との立ち上げの時間差が、制御装置30の応答時間と制御装置10の応答時間の差と等しい場合の立ち上げと判定し、制信号処理部31による制御の下、自制御装置30を非運用系として立ち上げる。つまり、リトライした結果、相手制御装置から応答があり、かつ伝文(応答データM2)内に設定された相手制御装置(制御装置10)の応答待ち時間が自制御装置(制御装置30)の応答待ち時間よりも短いとき、自制御装置を非運用系として立ち上げる(S310)。
前記した第2の実施の形態によれば、優先系とした制御装置10を非優先系とした制御装置30の後、特に、制御装置10と制御装置30の応答時間差と同じ時間経過後に立ち上げた場合でも、応答待ち時間が短い制御装置10が運用系となり、応答待ち時間が長い制御装置30が非運用系となる。したがって、二重系システムを安全な状態に設定することができる。
<第3の実施の形態>
図6は、第3の実施の形態における二重系システムの動作を示すシーケンス図である。以下、図1〜図5を参照しつつ、図6を用いて第3の実施の形態における二重系システムの動作を説明する。二重系システムのシステム構成は、図1に示す第1の実施の形態と同じ構成を用いることとする。第3の実施の形態は、応答時間の短い制御装置10が電源未投入、故障等の理由で、運用系にならならなかった場合、応答時間の長い制御装置30が運用系になることを特徴とする。
図6は、第3の実施の形態における二重系システムの動作を示すシーケンス図である。以下、図1〜図5を参照しつつ、図6を用いて第3の実施の形態における二重系システムの動作を説明する。二重系システムのシステム構成は、図1に示す第1の実施の形態と同じ構成を用いることとする。第3の実施の形態は、応答時間の短い制御装置10が電源未投入、故障等の理由で、運用系にならならなかった場合、応答時間の長い制御装置30が運用系になることを特徴とする。
制御装置30が電源投入等により立ち上がると(S600)、制御装置30は、相手制御装置(制御装置10)が運用系として立ち上がっているか否かを判定するため、生存確認データM1を送信し(S601)、その応答データM2を待つ。そして、制御装置30は、前記した実施の形態と同様に、相手制御装置から応答が無かったことを合計10回認識する(S612〜S614)。そして、制御装置30は、相手制御装置(制御装置10)が非運用系と判定する(S615)。そして、応答データM2の送信処理を起動し(S616)、前記したリトライ処理を実行する(S617)。つまり、再度、相手制御装置(制御装置10)へ生存確認データを送信する。そして、リトライ処理に基づき、S618,S619の処理を実行した後、10回目のタイムアウトの報告を受けたとき(S620)、制御装置30は、相手制御装置が非運用系であると判定する(S621)。そして、制御装置30は、自制御装置を運用系に決定し、運用系として立ち上がる。
前記した第3の実施の形態によれば、優先系とした制御装置10が運用系とならない場合においても、非優先系とした制御装置30を運用系とすることで、二重系システムを安全な状態とすることができる。
以上説明のように、本実施の形態によれば、二重系システムの運用系を決定する際に、乱数を使用しないため、二重系システムを構成するいずれの制御装置が運用系になるか明確になる。したがって、ユーザが制御装置毎に改造を行う時の保全作業が容易になる。また、二重系システムを構成する制御装置の立ち上げ時間の差がいかなる状態にあっても、二重系システムを構成する制御装置の1つを運用系とし、他方を非運用系とすることで、二重系システムを安全な状態に設定することができる。さらに、接続回線40が故障等の原因により一方の制御装置が接続回線40から切り離された状態においては、両方の制御装置10,30を非運用系とすることにより、両系が運用系となり、プラントに対して両方の制御装置から制御が行われる事態は回避される。したがって、プラントの誤制御を防止することができる。
さらに、前記した実施の形態では、二重系システムのみ例示したが、制御装置を3以上とする多重系システムにも同様に応用が可能である。また、前記した実施の形態によれば、いずれも相手制御装置に生存確認データM1を送信する回数を、優先系とした制御装置10は3回、非優先系とした制御装置30は10回としたが、優先系とした制御装置10の応答待ち時間を非優先系とした制御装置30よりも短く設定すれば、この回数は任意である。
10 制御装置(第1の制御装置)
11,31 信号処理部
12,32 状態遷移テーブル
13,33 自制御装置情報記憶部
14,34 通信制御部
15,35 ネットワーク接続監視部
30 制御装置(第2の制御装置)
40 接続回線
50 基幹ネットワーク
M1 生存確認データ
M2 応答データ
11,31 信号処理部
12,32 状態遷移テーブル
13,33 自制御装置情報記憶部
14,34 通信制御部
15,35 ネットワーク接続監視部
30 制御装置(第2の制御装置)
40 接続回線
50 基幹ネットワーク
M1 生存確認データ
M2 応答データ
Claims (2)
- 通信回線により接続される第1の制御装置と第2の制御装置を立ち上げたとき、前記第1の制御装置と前記第2の制御装置とが前記通信回線を介して通信を行い、一方を運用系に、他方を非運用系に設定して縮退運転を行う二重系システムであって、
前記第1の制御装置および前記第2の制御装置は、
相手制御装置に対して生存確認データを送信し、その応答データを待つ前記通信の応答待ち時間に、前記第1の制御装置と前記第2の制御装置との間で時間差を設け、前記応答待ち時間の短い相手制御装置を優先的に立ち上げる運用系に設定し、他方を非運用系に設定して縮退運転を実行するため、
前記相手制御装置へ生存確認データを送信し、その応答を受信する通信制御部と、
前記通信制御部により、前記相手制御装置からの応答を、自制御装置の応答待ち時間が経過しても、受信しなかったことを検出したとき、前記自制御装置を運用系として設定し、前記自制御装置の系の状態が前記運用系である旨を示す応答を前記相手制御装置へ送信し、前記通信制御部により、前記相手制御装置から前記自制御装置の系の状態が前記運用系である旨を示す応答を受信したとき、自制御装置を非運用系として設定する信号処理部とを有する系切替え制御手段を備え、
前記信号処理部は、
前記通信制御部により、前記自制御装置の応答待ち時間以内に、前記相手制御装置からの応答を受信したとき、前記応答に含まれる相手制御装置に設定された応答待ち時間と、前記自制御装置の応答待ち時間とを比較し、前記相手制御装置に設定された応答待ち時間が前記自制御装置の応答待ち時間より短い場合に自制御装置を非運用系として設定し、前記相手制御装置に設定された応答待ち時間が前記自制御装置の応答待ち時間より長い場合に自制御装置を運用系として設定すること
を特徴とする二重系システム。 - 前記系切替え制御手段は、
前記通信回線から前記第1の制御装置または前記第2の制御装置が切り離されたとき、前記第1の制御装置と第2の制御装置とを非運用系に設定して縮退運転を実行すること、
を特徴とする請求項1に記載の二重系システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006166353A JP4630234B2 (ja) | 2006-06-15 | 2006-06-15 | 二重系システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006166353A JP4630234B2 (ja) | 2006-06-15 | 2006-06-15 | 二重系システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007334663A JP2007334663A (ja) | 2007-12-27 |
| JP4630234B2 true JP4630234B2 (ja) | 2011-02-09 |
Family
ID=38934081
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006166353A Expired - Fee Related JP4630234B2 (ja) | 2006-06-15 | 2006-06-15 | 二重系システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4630234B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010033506A (ja) * | 2008-07-31 | 2010-02-12 | Nec Corp | 二重化システム、および二重化システムにおける運用系決定方法 |
| JP2013207385A (ja) * | 2012-03-27 | 2013-10-07 | Toshiba Corp | 状態遷移処理装置 |
| CN114237722B (zh) * | 2021-11-19 | 2023-09-01 | 湖南三一智能控制设备有限公司 | 一种***的启动方法、装置、设备及工程车辆 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0675653A (ja) * | 1992-08-25 | 1994-03-18 | Nec Corp | 計算機冗長制御方式 |
| JPH06175868A (ja) * | 1992-12-04 | 1994-06-24 | Kawasaki Steel Corp | 二重化計算機故障監視方法 |
| WO1999026138A1 (fr) * | 1997-11-14 | 1999-05-27 | Hitachi, Ltd. | Procede de permutation dans un systeme multiplex |
| JPH11175108A (ja) * | 1997-12-16 | 1999-07-02 | Yokogawa Electric Corp | 二重化コンピュータ装置 |
-
2006
- 2006-06-15 JP JP2006166353A patent/JP4630234B2/ja not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0675653A (ja) * | 1992-08-25 | 1994-03-18 | Nec Corp | 計算機冗長制御方式 |
| JPH06175868A (ja) * | 1992-12-04 | 1994-06-24 | Kawasaki Steel Corp | 二重化計算機故障監視方法 |
| WO1999026138A1 (fr) * | 1997-11-14 | 1999-05-27 | Hitachi, Ltd. | Procede de permutation dans un systeme multiplex |
| JPH11175108A (ja) * | 1997-12-16 | 1999-07-02 | Yokogawa Electric Corp | 二重化コンピュータ装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007334663A (ja) | 2007-12-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2009042856A1 (en) | Method and apparatus for preventing network conflict | |
| US20090268743A1 (en) | Data transmission bridge device and control chip thereof for transmitting data | |
| EP2395713A1 (en) | Communication system, communication device, control device, control method, and program | |
| WO2018096798A1 (ja) | 機能拡張装置、情報処理システム及び機能拡張装置の制御プログラム | |
| JP4630234B2 (ja) | 二重系システム | |
| US8407390B2 (en) | Method and apparatus for data processing | |
| JP4487260B2 (ja) | 多重系システム | |
| JP2009296293A (ja) | 通信装置 | |
| EP2177999B1 (en) | Terminal device | |
| JP4492722B2 (ja) | 無線通信装置、および無線通信システム | |
| JP2008147835A (ja) | データ伝送装置およびデータ伝送方法 | |
| JP5176914B2 (ja) | 伝送装置及び冗長構成部の系切替え方法 | |
| JP2009075710A (ja) | 冗長化システム | |
| JP2006195589A (ja) | 通信制御装置、通信制御方法、プログラム、及び記憶媒体 | |
| JP4483947B2 (ja) | 入出力制御装置 | |
| JP4692419B2 (ja) | ネットワーク装置及びそれに用いる冗長切替え方法並びにそのプログラム | |
| JP2004007930A (ja) | 電力系統監視制御システムおよびプログラム | |
| JP4863984B2 (ja) | 監視処理プログラム、方法及び装置 | |
| KR102187083B1 (ko) | 필드버스 이중화 제어기 및 제어 방법 | |
| JP2007026038A (ja) | パス監視システム,パス監視方法,およびパス監視プログラム | |
| JP2004213412A (ja) | 二重化制御装置 | |
| WO2013027298A1 (ja) | 通信確立方法、コンピュータシステム、及びコンピュータ | |
| JPWO2013027298A1 (ja) | 通信確立方法、コンピュータシステム、及びコンピュータ | |
| JP2010020697A (ja) | 冗長構成システム及びその切替制御方法 | |
| JP3915313B2 (ja) | Plcにおけるlan通信方式 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080514 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100219 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100629 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100826 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101109 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101112 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131119 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4630234 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |