JP2004164394A - Method of starting duplex controller - Google Patents

Method of starting duplex controller Download PDF

Info

Publication number
JP2004164394A
JP2004164394A JP2002330632A JP2002330632A JP2004164394A JP 2004164394 A JP2004164394 A JP 2004164394A JP 2002330632 A JP2002330632 A JP 2002330632A JP 2002330632 A JP2002330632 A JP 2002330632A JP 2004164394 A JP2004164394 A JP 2004164394A
Authority
JP
Japan
Prior art keywords
control device
control
setting information
state
condition
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002330632A
Other languages
Japanese (ja)
Inventor
Yoshikane Yamanaka
禎詠 山中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Heavy Industries Ltd
Original Assignee
Mitsubishi Heavy Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Heavy Industries Ltd filed Critical Mitsubishi Heavy Industries Ltd
Priority to JP2002330632A priority Critical patent/JP2004164394A/en
Publication of JP2004164394A publication Critical patent/JP2004164394A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a method of matching setting information of a stopped controller with those of a controller in controlling state when the controller stopped in a duplex control system is started. <P>SOLUTION: The method includes: a step for starting a first controller 10 being one of the plurality of the controllers for controlling an apparatus 30; a step for allowing the first controller to determine a first condition that a second controller 20 is normally operated and also works in the control state to control the apparatus 30; a step for allowing the first controller to acquire the setting information being used by the second controller to control the apparatus as temporary setting information when the first condition is satisfied by the second controller; and a step for allowing the first controller to compare the temporary setting information with the setting information stored in the first controller, and to store the temporary setting information as the normal setting information in the case of non-coincidence. <P>COPYRIGHT: (C)2004,JPO

Description

【0001】
【発明の属する技術分野】
本発明は、制御装置の起動方法に関し、特に二重化された制御装置の起動方法に関する。
【0002】
【従来の技術】
火力プラントなど連続稼動が要求される対象では、制御対象である機器に対して複数の制御装置が設置され、複数の内の一の制御装置が制御状態で稼動して機器の制御を行ない、他の制御装置が待機状態で稼動する二重化された制御システムが使用される場合がある。
待機状態の制御装置は制御状態の制御装置から設定情報を受信することで、制御状態の制御装置と待機状態の制御装置の設定情報の整合が行われる場合がある。制御状態の制御装置から待機状態の制御装置に制御が切り替わるときに、機器の運転に影響を与えないため、各制御装置の設定情報が整合されなければならない。
【0003】
メンテナンスする場合などに停止していた制御装置が起動される場合は、制御状態の制御装置の設定情報と停止していた制御装置の設定情報が整合されていない場合がある。起動時に停止していた制御装置の設定情報が、起動時に制御状態の制御装置の設定情報と整合されることが望まれる。
【0004】
分散環境下に配置される制御装置の電源投入時に起動されるイニシャルローダプログラムが、定義情報サーバから定義情報およびパーサプログラムを取得してパーサプログラムを起動し、パーサプログラムが定義情報ファイルの解析で得られた制御用プログラム名および初期情報ファイル名を用いて定義情報サーバにアクセスしてプログラムおよび初期情報ファイルを取得し、取得したプログラムに基づき制御装置上にオブジェクトを生成して、オブジェクトに初期情報ファイルの情報を取り込ませることを特徴とする制御システムの立ち上げ方法が開示されている。(例えば、特許文献1)
【0005】
図4に従来の2重化された制御装置の構成の例が示される。
制御される被制御機器130を制御する第1制御装置110、第2制御装置120が設置されている。
第1制御装置110は、第1演算部111、第1データベース112を具備する。第1制御装置110は、被制御機器130と制御ライン113で接続されている。
第1演算部111は、CPUを含み、被制御機器130に取りつけられた各種センサ(図示無し)の検出情報や管理者の入力情報により、制御演算プログラムを使用して被制御機器130を制御するための制御情報を演算し、制御ライン113を介して被制御機器130に出力する。
第1データベース112は、制御情報、検出情報および入力情報を含む設定情報を記憶する。
第2制御装置120も第1制御装置110と同様の機能を有するので説明は省略される。
第1制御装置110と第2制御装置120は、ネットワーク140により接続され、情報の送受信が可能である。
【0006】
さらに、ネットワーク140上に、設定情報サーバ150が設置される場合がある。設定情報サーバ150には、制御状態の制御装置(ここでは第2制御装置120とする)から定期的に設定情報が送信され、設定情報データベ−ス151に記憶されている。
メンテナンスなどで停止していた制御装置(ここでは第1制御装置110とする)が起動するときは、第1制御装置110が、設定情報サーバ150にアクセスして設定情報を取得する場合がある。
【0007】
もしくは、ネットワーク140上に、設計端末160が設置される場合がある。使用者は、第1制御装置110を起動する際に、設定情報変更プログラムを作成して、第2制御装置120から第1制御装置110へ設定情報をコピーする作業を行う場合がある。
【0008】
信頼性強化のために二重化された複数の制御装置を具備する制御システムにおいて、停止していた制御装置が起動する際に、停止していた制御装置の設定情報が、制御状態の制御装置の設定情報と、自動的に整合されることが好ましい。設定情報サーバ150を使用しなくても、設定情報の整合が行われることが好ましい。
さらに、ニ重化された複数の制御装置を具備する制御システムにおいて、複数の制御装置がほぼ同時に起動された場合、一の制御装置が制御状態で起動し、他の制御装置の設定情報は制御状態の制御装置の設定情報と整合され、待機状態で起動されることが好ましい。
【0009】
【特許文献1】
特開2001−236208号公報
【0010】
【発明が解決しようとする課題】
本発明の目的は、信頼性強化のために二重化された複数の制御装置を具備する制御システムにおいて、停止していた制御装置が起動する際に、停止していた制御装置の設定情報が、制御状態の制御装置の設定情報と自動的に整合される方法を提供することにある。
本発明の他の目的は、信頼性強化のために二重化された複数の制御装置を具備する制御システムにおいて、複数の制御装置がほぼ同時に起動された場合にも、一の制御装置が制御状態で起動し、他の制御装置の設定情報は制御状態の制御装置の設定情報と整合され、待機状態で起動される方法を提供することにある。
【0011】
【課題を解決するための手段】
以下に、[発明の実施の形態]で使用する番号・符号を用いて、課題を解決するための手段を説明する。これらの番号・符号は、[特許請求の範囲]の記載と[発明の実施の形態]の記載との対応関係を明らかにするために付加されたものであるが、[特許請求の範囲]に記載されている発明の技術的範囲の解釈に用いてはならない。
【0012】
本発明の二重化制御装置の起動方法は、以下のステップを含む。
同じ制御対象である機器(30)を制御する重複した複数の制御装置の一つである第1制御装置(10)が起動されるステップ。
第1制御装置(10)が、複数の制御装置の内の他の制御装置である第2制御装置(20)が正常に稼動していることおよび機器(30)を制御する状態である制御状態で稼動していることを含む第1条件を判断するステップ。
第2制御装置(20)が第1条件を満たしている場合に、第1制御装置(10)が、第2制御装置(20)から機器(30)を制御するために使用している設定情報を暫定的な仮設定情報として取得するステップ。
第1制御装置(10)が、仮設定情報と、第1制御装置(10)が記憶している設定情報を比較し、異なる場合は仮設定情報を正規の設定情報として記憶するステップ。
【0013】
さらに、第1制御装置(10)が仮設定情報を取得するステップにおいて、取得を失敗した場合に、起動を中止するステップを含む。
【0014】
さらに、第1制御装置(10)が、第2制御装置(20)が第1条件であることを判断するステップは、以下のステップを含む。
複数の制御装置の各々が、自己診断機能を具備し、自己が正常に稼動しているか判断するステップ。
複数の制御装置の各々が、自己診断機能により、自己が機器(30)の制御を行なう制御状態で稼動しているか、予備として待機状態で稼動しているかを含むステータスを判断するステップ。
複数の制御装置はネットワーク(40)で接続され、各制御装置は他の制御装置と通信して、他の制御装置が正常に稼動していることを含む情報、および他の制御装置のステータスを取得するステップ。
【0015】
さらに、本発明の二重化制御装置の起動方法は以下のステップを含む。
第1制御装置(10)が正常で、かつ、第2制御装置(20)が第1条件を満たさなかった場合に、第1制御装置(10)が制御開始前に、再度、第2制御装置(20)が第1条件を満たしていることを確認し、満たしている場合に、第1制御装置(10)がリセットされるステップ。
【0016】
【発明の実施の形態】
添付図面を参照して、本発明による二重化制御装置の起動方法の実施の形態が以下に説明される。
図1に、制御装置が2重化された制御システムの概要が示される。
制御される被制御機器30を制御する第1制御装置10、第2制御装置20が設置されている。
第1制御装置10は、第1演算部11、第1データベース12を具備する。第1制御装置10は、被制御機器30と、制御信号や検出情報を伝達する制御ライン13で接続されている。
【0017】
第1演算部11は、CPUを含み、被制御機器30に取りつけられた各種センサ(図示無し)の検出情報や管理者の入力情報により、制御演算プログラムを使用して被制御機器30を制御するための制御情報を演算し、制御ライン13を介して被制御機器30に出力する。
制御情報は、被制御機器30を制御するための制御演算結果に代表される。検出情報は、制御情報の演算に使用される情報で、被制御機器30に設置されたセンサから入力される物理量などに例示される。入力情報は、使用者に入力される被制御機器30の出力の目標情報や管理情報に例示される。
さらに、第1演算部11は、自己が正常状態であることを判断することができる。具体的に正常状態とは、演算においてエラーが発生していない状態もしくはシステムの設定がエラーとならない状態に例示される。さらに、第1演算部11は、自己が現在、被制御機器30を制御している制御状態であること、もしくは予備として稼動している待機状態であることのいずれかであるステータスを判断することができる。第1演算部11は、ステータスを定期的に検出している。
さらに、第1演算部11は、後述される第1設定整合処理、第2設定整合処理を実施する。
【0018】
第1データベース12は、フラッシュROMなどのRAMディスクに代表される記憶装置で、制御演算プログラム、および制御を正常に実施するためのシステム設定情報を記憶する。
第2制御装置20も第1制御装置10と同様の機能を有するので説明は省略される。
第1制御装置10と第2制御装置20は、ネットワーク40により接続され、情報の送受信が可能である。
各制御装置は、ネットワーク40を介して、他の制御装置の制御演算結果、正常状態であるかの情報、および制御状態か待機状態かのステータス情報を含む制御情報を取得することができる。
【0019】
制御状態の制御装置の演算部は、直接、被制御装置30を制御する。
待機状態の制御装置の演算部は、制御状態の制御装置の演算部と同じ制御演算プログラム、検出情報、および入力情報を使用し、同じ演算を行なうことで同じ制御演算結果を算出するが、被制御装置30を制御していない。もしくは、待機状態の制御装置の演算部は、制御状態の制御装置の演算部から、制御のための設定情報を取得するが、被制御装置30を制御していない。
制御状態の制御装置に異常もしくはエラーが発生した場合に、待機状態の制御装置が、瞬間的に制御状態になり被制御装置30を制御することができる。
【0020】
本実施例では、制御状態で稼動している制御装置を第2制御装置20とし、停止していた制御装置である第1制御装置10が起動される場合の起動方法が例示される。制御装置の数は2基に限定するものとする。
【0021】
第1制御装置10がなんらかの原因で停止している間、第2制御装置の単独での運転中に制御装置の設定が変更されることもありうる。この場合、第1制御装置10が記憶している設定情報は、第2制御装置20の設定情報と異なる場合がある。
設定情報が異なることにより、停止していた第1制御装置10の制御演算プログラムを直接立ち上げると、異なる設定情報を使用するため、システム全体の挙動が不安定となる場合がある。二重化された制御装置が異なる設定情報を有する場合において、制御状態の制御装置を第2制御装置20から第1制御装置10に切り替えた場合、被制御機器30の制御が変動し運転に影響を与える場合がある。
このため、停止していた第1制御装置10が起動されるとき、第1制御装置10の設定情報が、制御状態の第2制御装置20の設定情報に整合されなければならない。
【0022】
図2および図3に、停止していた第1制御装置10が起動されるとき、第1制御装置10の設定情報が、制御状態の第2制御装置20の設定情報に整合される方法が示される。
【0023】
図2に、停止していた第1制御装置10の電源が入れられてから、制御演算プログラムが稼動するまでの概要のステップが示される。
停止していた第1制御装置10に電源が入れられる(ステップ100、以下S100)。第1制御装置10に電源が入れられると、基本アプリケーションが起動する(S200)。その後、第1設定整合処理が自動的に実施される(S300)。第1設定整合処理により、第1演算部11が、第1制御装置10の設定情報を制御状態の第2制御装置の設定情報と整合する処理を行なう。第1設定整合処理の詳細は図3を参照して後述される。第1設定整合処理の処理が失敗した場合は、第1制御装置10の起動が中止される(S400)。第1設定整合処理の後、第2設定整合処理が行われる(S500)。第2設定整合処理は、重複する制御装置が一つも正常に稼動していない状況で、複数の制御装置が概ね同時に起動されたときに、一の制御装置が制御状態で起動され、他の制御装置が制御状態の制御装置と整合性がとれた状態で起動されるために、待機系として起動した他の制御装置が一度リセットされる処理を含む(S600)。第2設定整合処理の詳細は後述される。
第2設定整合処理終了後、制御演算プログラムが起動される(S700)。第2制御装置20が制御状態で稼動している場合は、第1制御装置10は待機状態で稼動する(S800)。必要に応じて、第1制御装置10は制御状態に切り替えられることができる。2重化された制御装置の、制御状態と待機状態の切替は公知の技術が使用される。
【0024】
図3を参照して第1制御装置10の第1演算部11で使用される第1設定整合処理のステップが説明される。
起動アプリケーションが起動後、第1設定整合処理が自動的にスタートする(S301)。
ハード上で設定されている設定により第1制御装置10が2重化されたシステムの一部であるか、第1演算部11が判断する(S302)。または、第1演算部11が、ネットワーク40を介して、他の制御装置があるか検索することで、第1制御装置10が2重化されたシステムの一部であるか判断することもできる。
第1演算部11が、当該第1制御装置10が2重化されたシステムの一部ではないと判断した場合、ステップ311に進む。この場合、当該第1制御装置10は、第1データベース12に記憶されているオリジナル設定情報を正規の設定情報として使用する。
【0025】
第1演算部11が、当該第1制御装置10が2重化システムの一部であると判断した場合、他の稼動している制御装置(ここでは第2制御装置20)が、正常に稼動していること、およびその稼動している第2制御装置20が制御状態であることを含む第1条件を取得する。第1演算部10は、第2制御装置20が第1条件を満たす場合に、第2制御装置20から設定情報を含む設定ファイルがコピー可能と判断する(S303)。
第1演算部11が、第2制御装置20は第1条件を満たさず、第2制御装置20から設定ファイルをコピー不可能と判断した場合、ステップ312に進む。
第1演算部11が、設定ファイルがコピー可能と判断した場合、第1データベース12にテンポラリフォルダがあるか検索し、テンポラリフォルダなければテンポラリフォルダを作成する(S304)。第1演算部11は、ネットワーク40を介して第2制御装置20の設定情報を含む設定ファイルを取得し、テンポラリフォルダに仮設定ファイルとしてコピーする(S305)。第1演算部11の設定ファイルの取得は、通信により行われる。
【0026】
第1演算部10は、第2制御装置20から設定ファイルのコピーが成功したか判断する(S306)。成功の判断は、エラーが発生しないでコピーが完了したことを確認することにより行われる。
コピーが失敗した場合は、第1制御装置10は、不整合がある状態での起動を防止するため、故障状態に設定され起動が中止される(S400)。さらに、第1演算部11は、故障フラッグf1をセットする。故障フラッグf1がセットされることにより、他の制御装置が、第1制御装置10の状態が異常であると判断できる。
コピーが成功した場合は、第1演算部10は、取得した仮設定ファイルに含まれる仮設定情報と、第1データベースに記憶されているオリジナル設定情報とを比較する(S308)。
仮設定情報とオリジナル設定情報が同一の場合、仮設定情報を使用する必要がないので、テンポラリフォルダにコピーされた仮設定フォルダは、ディスクの使用容量の削減のため削除される(S309)。仮設定フォルダが削除された場合は、オリジナル設定情報を正規の設定情報として、ステップ311に進む。
仮設定情報とオリジナル設定情報が非同一の場合、第1演算部11は、仮設定情報を正規の設定情報として採用し、正規の設定情報が記憶される場所に上書する(S310)。仮設定情報が正規の設定場所に上書きされた後、ステップ311に進む。
【0027】
第1演算部は、ステップ311に進んだ場合、設定情報の整合性が正常にとれたと判断して、フラッグf2をセットする(S311)。フラッグf2をセットした後、ステップ312に進む。
【0028】
上記に記載されたステップ301からステップ311が行なわれることにより、当該制御装置以外に、制御状態の制御装置が正常に稼動している場合に、設定情報が整合される。また、整合に失敗した場合は、当該制御装置の起動が中止されることで、異常な起動状態を防止することができる。当該制御装置が2重化されたシステムの一部でない場合、もしくは制御状態の制御装置がない場合、もしくは制御状態の制御装置が正常に稼動していない場合は、自己の記憶している設定情報が使用されて起動される。
【0029】
ステップ312において、第1演算部は設定ファイルを読み込む処理を行なう。
次に第2設定整合処理が行われる(S400)。
【0030】
第2設定整合処理において、第1演算部11は、自己診断機能により自己の状態が正常であること、かつ、ネットワーク40を介して第2制御装置20が制御状態で正常に起動していること、かつ、自己の演算においてフラッグf2がセットされていないことを含む第2条件を満たすか判断する。
第2条件を満たす場合、第1演算部11は、自己を強制的にリセットする。
第2条件は、制御装置が2重化されていること、かつ、フラッグf1がセットされていないことを含む場合がある。
追加処理で第2条件を満たさない場合は、制御演算プログラムが起動される。
【0031】
上記の第2設定整合処理を行なうことにより、被制御機器30を始動する際に一台も制御装置が制御状態で稼動していない場合に、2台の重複する制御装置を概ね同時に立ち上げたときに、最初の制御装置が制御状態で稼動した後、後から起動された制御装置は、リセットされる。ここで再度、図2、図3の第1設定整合処理を実施することで制御状態の制御装置との設定情報を整合することができる。
【0032】
上記の二重化制御装置の起動方法は、連続運転が行われ、制御装置の異常によって運転を停止する場合の影響が大きいプラントの制御に使用されることが好ましい。
具体的には、火力発電プラントは連続運転が要求され、異常停止する場合の社会的な影響が大きい。このため、火力発電プラントは二重化された制御装置を有する場合がある。さらに、二重化された制御装置を有する火力発電プラントにおいて、制御装置の切り替え時には、制御系と待機系の設定情報が整合化されていることが好ましい。火力発電プラントの制御において、急激な制御の変化は運転継続上好ましくなく、さらに、変化する運転条件に対応できない場合、要求される電力の供給ができない場合がある。
【0033】
【発明の効果】
本発明は、信頼性向上のために二重化された複数の制御装置を具備する制御システムにおいて、停止していた制御装置が起動する際に、停止していた制御装置の設定情報が、制御状態の制御装置の設定情報と整合される方法を提供することができる。
本発明は、信頼性向上のために二重化された複数の制御装置を具備する制御システムにおいて、複数の制御装置がほぼ同時に起動された場合、一の制御装置が制御状態で起動し、他の制御装置は、その設定情報が制御状態の制御装置の設定情報と整合され、待機状態で起動される方法を提供することができる。
【図面の簡単な説明】
【図1】図1は、本発明の制御装置が2重化された制御システムの概要を示す。
【図2】図2は、停止していた制御装置の電源が入れられてから、稼動するまでの概要のフローを示す。
【図3】図3は、制御装置の演算部で使用される2重化起動プログラムのフローを示す。
【図4】図4は、従来の制御装置が2重化された制御システムの概要を示す。
【符号の説明】
10 第1制御装置
11 第1演算部
12 第1データベース
13 制御ライン
20 第2制御装置
21 第2演算部
22 第2データベース
23 制御ライン
30 被制御機器
40 ネットワーク[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a method for activating a control device, and more particularly to a method for activating a duplicated control device.
[0002]
[Prior art]
In an object requiring continuous operation such as a thermal power plant, a plurality of control devices are installed for the device to be controlled, and one of the plurality of control devices operates in a controlled state to control the device. There is a case where a duplicated control system in which one of the control devices operates in a standby state is used.
When the control device in the standby state receives the setting information from the control device in the control state, the setting information of the control device in the control state and the setting information of the control device in the standby state may be matched. When the control is switched from the control device in the control state to the control device in the standby state, the setting information of each control device must be matched so as not to affect the operation of the device.
[0003]
When a stopped control device is started for maintenance or the like, the setting information of the control device in the control state and the setting information of the stopped control device may not match. It is desired that the setting information of the control device that has been stopped at the time of startup be matched with the setting information of the control device that is in the control state at the time of startup.
[0004]
An initial loader program that is started when the power of a control device placed in a distributed environment is turned on acquires definition information and a parser program from the definition information server, starts the parser program, and obtains the parser program by analyzing the definition information file. Using the obtained control program name and initial information file name, access the definition information server to obtain the program and the initial information file, generate an object on the control device based on the obtained program, and store the initial information file in the object. A method of starting a control system characterized by taking in the information of the control system is disclosed. (For example, Patent Document 1)
[0005]
FIG. 4 shows an example of the configuration of a conventional dual control device.
A first control device 110 and a second control device 120 for controlling the controlled device 130 to be controlled are provided.
The first control device 110 includes a first calculation unit 111 and a first database 112. The first control device 110 is connected to the controlled device 130 via a control line 113.
The first calculation unit 111 includes a CPU, and controls the controlled device 130 using a control calculation program based on detection information of various sensors (not shown) attached to the controlled device 130 and input information of an administrator. And outputs the control information to the controlled device 130 via the control line 113.
The first database 112 stores setting information including control information, detection information, and input information.
Since the second control device 120 has the same function as the first control device 110, the description is omitted.
The first control device 110 and the second control device 120 are connected by a network 140 and can transmit and receive information.
[0006]
Further, the setting information server 150 may be installed on the network 140. To the setting information server 150, setting information is periodically transmitted from a control device in a control state (here, the second control device 120) and stored in the setting information database 151.
When a control device that has been stopped due to maintenance or the like (here, the first control device 110) is activated, the first control device 110 may access the setting information server 150 and acquire setting information.
[0007]
Alternatively, the design terminal 160 may be installed on the network 140. When activating the first control device 110, the user may create a setting information change program and copy the setting information from the second control device 120 to the first control device 110 in some cases.
[0008]
In a control system having a plurality of control devices that are duplicated for enhancing reliability, when a stopped control device is started, the setting information of the stopped control device is used to set the control device in the control state. Preferably, it is automatically matched with the information. It is preferable that the setting information be matched without using the setting information server 150.
Further, in a control system including a plurality of duplicated control devices, when a plurality of control devices are started at substantially the same time, one control device starts in a control state, and the setting information of another control device is controlled. It is preferable that the control device be started up in a standby state after being matched with the setting information of the control device in the state.
[0009]
[Patent Document 1]
JP 2001-236208 A
[Problems to be solved by the invention]
SUMMARY OF THE INVENTION An object of the present invention is to provide a control system having a plurality of control devices that are duplicated to enhance reliability. When a stopped control device is started, the setting information of the stopped control device is controlled by the control information. It is an object of the present invention to provide a method that is automatically matched with setting information of a control device in a state.
Another object of the present invention is to provide a control system including a plurality of control devices that are duplicated to enhance reliability, even when a plurality of control devices are started almost simultaneously, one control device remains in a control state. It is an object of the present invention to provide a method of starting up, and setting information of another control device is matched with setting information of a control device in a control state, and is started in a standby state.
[0011]
[Means for Solving the Problems]
The means for solving the problem will be described below using the numbers and symbols used in [Embodiments of the Invention]. These numbers and symbols are added to clarify the correspondence between the description of [Claims] and the description of [Embodiments of the Invention]. It should not be used to interpret the technical scope of the described invention.
[0012]
The starting method of the redundant control device according to the present invention includes the following steps.
A step of activating a first control device (10), which is one of a plurality of duplicate control devices that control the same control target device (30).
A control state in which the first control device (10) controls that the second control device (20), which is another control device of the plurality of control devices, is operating normally and controls the device (30). Determining a first condition that includes operating in step (a).
Setting information used by the first control device (10) to control the device (30) from the second control device (20) when the second control device (20) satisfies the first condition. Obtaining the temporary setting information as temporary setting information.
A step in which the first control device (10) compares the temporary setting information with the setting information stored in the first control device (10), and, if different, stores the temporary setting information as regular setting information.
[0013]
Further, the step of acquiring the temporary setting information by the first control device (10) includes a step of stopping the activation when the acquisition fails.
[0014]
Further, the step of the first control device (10) determining that the second control device (20) satisfies the first condition includes the following steps.
A step in which each of the plurality of control devices has a self-diagnosis function and determines whether the device is operating normally.
A step of determining, by the self-diagnosis function, a status including whether each of the plurality of control devices is operating in a control state for controlling the device (30) or in a standby state as a spare.
The plurality of control devices are connected by a network (40), and each control device communicates with another control device to transmit information including that the other control device is operating normally and the status of the other control device. Steps to get.
[0015]
Further, the starting method of the redundant control device according to the present invention includes the following steps.
When the first control device (10) is normal and the second control device (20) does not satisfy the first condition, the first control device (10) again controls the second control device before starting the control. Confirming that (20) satisfies the first condition, and if so, resetting the first control device (10).
[0016]
BEST MODE FOR CARRYING OUT THE INVENTION
With reference to the accompanying drawings, an embodiment of a starting method of a redundant control device according to the present invention will be described below.
FIG. 1 shows an outline of a control system in which a control device is duplicated.
A first control device 10 and a second control device 20 for controlling the controlled device 30 to be controlled are provided.
The first control device 10 includes a first calculation unit 11 and a first database 12. The first control device 10 is connected to the controlled device 30 by a control line 13 that transmits control signals and detection information.
[0017]
The first calculation unit 11 includes a CPU, and controls the controlled device 30 using a control calculation program based on detection information of various sensors (not shown) attached to the controlled device 30 and input information of an administrator. And outputs the control information to the controlled device 30 via the control line 13.
The control information is represented by a control calculation result for controlling the controlled device 30. The detection information is information used for calculating control information, and is exemplified by a physical quantity input from a sensor installed in the controlled device 30. The input information is exemplified by target information and management information of the output of the controlled device 30 input to the user.
Further, the first calculation unit 11 can determine that the first calculation unit 11 is in a normal state. Specifically, the normal state is exemplified by a state where no error occurs in the calculation or a state where the setting of the system does not cause an error. Further, the first calculation unit 11 determines a status that is either the control state in which the control unit 30 is currently controlling the controlled device 30 or the standby state in which the control unit 30 is operating as a standby. Can be. The first calculation unit 11 periodically detects the status.
Further, the first calculation unit 11 performs a first setting matching process and a second setting matching process described later.
[0018]
The first database 12 is a storage device typified by a RAM disk such as a flash ROM, and stores a control operation program and system setting information for performing normal control.
Since the second control device 20 has the same function as the first control device 10, the description is omitted.
The first control device 10 and the second control device 20 are connected by a network 40 and can transmit and receive information.
Each control device can obtain, via the network 40, control operation results of other control devices, information indicating whether the control device is in a normal state, and control information including status information indicating whether the control state is a standby state.
[0019]
The calculation unit of the control device in the control state directly controls the controlled device 30.
The calculation unit of the control device in the standby state uses the same control calculation program, detection information, and input information as the calculation unit of the control device in the control state, and performs the same calculation to calculate the same control calculation result. The control device 30 is not controlled. Alternatively, the arithmetic unit of the control device in the standby state acquires setting information for control from the arithmetic unit of the control device in the control state, but does not control the controlled device 30.
When an abnormality or an error occurs in the control device in the control state, the control device in the standby state instantaneously enters the control state and can control the controlled device 30.
[0020]
In the present embodiment, an example of an activation method when the control device operating in the control state is the second control device 20 and the first control device 10 which is the stopped control device is activated is illustrated. The number of control devices shall be limited to two.
[0021]
While the first control device 10 is stopped for some reason, the setting of the control device may be changed while the second control device is operating alone. In this case, the setting information stored in the first control device 10 may be different from the setting information of the second control device 20.
If the control calculation program of the stopped first control device 10 is directly started due to the different setting information, the behavior of the entire system may be unstable because different setting information is used. When the control device in the control state is switched from the second control device 20 to the first control device 10 in a case where the duplexed control device has different setting information, the control of the controlled device 30 fluctuates and affects the operation. There are cases.
Therefore, when the stopped first control device 10 is started, the setting information of the first control device 10 must be matched with the setting information of the second control device 20 in the control state.
[0022]
FIGS. 2 and 3 show a method in which the setting information of the first control device 10 is matched with the setting information of the second control device 20 in the control state when the stopped first control device 10 is activated. It is.
[0023]
FIG. 2 shows the outline steps from when the power of the stopped first control device 10 is turned on to when the control calculation program is activated.
The power of the stopped first control device 10 is turned on (Step 100, hereinafter S100). When the power of the first control device 10 is turned on, the basic application starts (S200). Thereafter, the first setting matching process is automatically performed (S300). By the first setting matching process, the first calculation unit 11 performs a process of matching the setting information of the first control device 10 with the setting information of the second control device in the control state. Details of the first setting matching process will be described later with reference to FIG. If the process of the first setting matching process has failed, the activation of the first control device 10 is stopped (S400). After the first setting matching process, a second setting matching process is performed (S500). In the second setting matching process, when a plurality of control devices are started almost at the same time in a situation where no overlapping control device is operating normally, one control device is started in a control state and another control device is started. In order to start up the apparatus in a state where the apparatus is consistent with the control apparatus in the control state, the processing includes resetting another control apparatus started as a standby system once (S600). Details of the second setting matching process will be described later.
After the end of the second setting matching process, the control calculation program is started (S700). When the second control device 20 is operating in the control state, the first control device 10 operates in the standby state (S800). If necessary, the first control device 10 can be switched to the control state. A known technique is used for switching between the control state and the standby state of the duplexed control device.
[0024]
The steps of the first setting matching process used in the first calculation unit 11 of the first control device 10 will be described with reference to FIG.
After the start application is started, the first setting matching process automatically starts (S301).
The first calculation unit 11 determines whether the first control device 10 is part of a duplex system according to the settings set on the hardware (S302). Alternatively, the first operation unit 11 can determine whether there is another control device via the network 40 to determine whether the first control device 10 is part of a duplex system. .
When the first calculation unit 11 determines that the first control device 10 is not part of the duplex system, the process proceeds to step 311. In this case, the first control device 10 uses the original setting information stored in the first database 12 as regular setting information.
[0025]
When the first calculation unit 11 determines that the first control device 10 is a part of the duplex system, the other operating control devices (here, the second control device 20) operate normally. The first condition including that the second control device 20 is operating and the operating second control device 20 is in the control state is acquired. When the second control device 20 satisfies the first condition, the first calculation unit 10 determines that the setting file including the setting information can be copied from the second control device 20 (S303).
If the first arithmetic unit 11 determines that the second control device 20 does not satisfy the first condition and the second control device 20 cannot copy the setting file, the process proceeds to step 312.
If the first calculation unit 11 determines that the setting file can be copied, the first database 12 searches for a temporary folder in the first database 12, and if not, creates a temporary folder (S304). The first calculation unit 11 acquires a setting file including the setting information of the second control device 20 via the network 40, and copies it to a temporary folder as a temporary setting file (S305). The acquisition of the setting file of the first calculation unit 11 is performed by communication.
[0026]
The first calculation unit 10 determines whether the setting file has been successfully copied from the second control device 20 (S306). The success is determined by confirming that the copy has been completed without any error.
If the copy has failed, the first control device 10 is set to a failure state and the startup is stopped (S400) in order to prevent startup in a state where there is inconsistency. Further, the first calculation unit 11 sets the failure flag f1. By setting the failure flag f1, another control device can determine that the state of the first control device 10 is abnormal.
If the copy is successful, the first calculation unit 10 compares the temporary setting information included in the obtained temporary setting file with the original setting information stored in the first database (S308).
If the temporary setting information and the original setting information are the same, there is no need to use the temporary setting information, and the temporary setting folder copied to the temporary folder is deleted to reduce the used capacity of the disk (S309). If the temporary setting folder has been deleted, the process proceeds to step 311 using the original setting information as regular setting information.
If the temporary setting information and the original setting information are not the same, the first arithmetic unit 11 adopts the temporary setting information as regular setting information and overwrites the place where the regular setting information is stored (S310). After the temporary setting information is overwritten on the regular setting location, the process proceeds to step 311.
[0027]
When proceeding to step 311, the first calculation unit determines that the consistency of the setting information has been normally obtained, and sets the flag f2 (S311). After setting the flag f2, the process proceeds to step 312.
[0028]
By performing steps 301 to 311 described above, the setting information is matched when the control device in the control state other than the control device is normally operating. Further, if the matching fails, the activation of the control device is stopped, whereby an abnormal activation state can be prevented. If the control device is not a part of the duplex system, or if there is no control device in the control state, or if the control device in the control state is not operating normally, the setting information stored therein is stored. Is used and invoked.
[0029]
In step 312, the first calculation unit performs a process of reading the setting file.
Next, a second setting matching process is performed (S400).
[0030]
In the second setting matching process, the first arithmetic unit 11 is in a normal state by the self-diagnosis function and that the second control device 20 is normally activated in the control state via the network 40. And it is determined whether or not a second condition including that the flag f2 is not set in its own calculation is satisfied.
If the second condition is satisfied, the first calculation unit 11 forcibly resets itself.
The second condition may include that the control device is duplicated and that the flag f1 is not set.
If the second condition is not satisfied in the additional processing, the control calculation program is started.
[0031]
By performing the above-described second setting matching process, when at least one of the control devices is not operating in the control state when starting the controlled device 30, two overlapping control devices are started almost simultaneously. Sometimes, after the first control device operates in the control state, the control device started later is reset. Here, the setting information with the control device in the control state can be matched by executing the first setting matching process of FIGS. 2 and 3 again.
[0032]
It is preferable that the above-described method of starting the dual control device is used for controlling a plant in which continuous operation is performed and the effect of stopping the operation due to abnormality in the control device is large.
Specifically, continuous operation of a thermal power plant is required, and the abnormal shutdown of the thermal power plant has a large social impact. For this reason, a thermal power plant may have a duplicated control device. Furthermore, in a thermal power plant having a duplicated control device, it is preferable that the setting information of the control system and the setting information of the standby system be matched when the control device is switched. In the control of a thermal power plant, a sudden change in control is not preferable in terms of continuation of operation, and further, when it is not possible to cope with changing operating conditions, the required power may not be supplied.
[0033]
【The invention's effect】
The present invention is directed to a control system including a plurality of control devices that are duplicated to improve reliability. When a stopped control device is started, the setting information of the stopped control device is set to a control state. A method can be provided that is consistent with the configuration information of the control device.
The present invention is directed to a control system including a plurality of control devices that are duplicated to improve reliability. When a plurality of control devices are activated almost simultaneously, one control device is activated in a control state and the other control device is activated. The device can provide a method in which the setting information is matched with the setting information of the control device in the control state, and is started in the standby state.
[Brief description of the drawings]
FIG. 1 shows an outline of a control system in which a control device of the present invention is duplicated.
FIG. 2 shows a schematic flow from when a stopped control device is turned on to when it is activated.
FIG. 3 shows a flow of a dual activation program used in a calculation unit of the control device.
FIG. 4 shows an outline of a control system in which a conventional control device is duplicated.
[Explanation of symbols]
Reference Signs List 10 first control device 11 first calculation unit 12 first database 13 control line 20 second control device 21 second calculation unit 22 second database 23 control line 30 controlled device 40 network

Claims (4)

同じ制御対象である機器を制御する重複した複数の制御装置の一つである第1制御装置が起動されるステップと、
前記第1制御装置が、前記複数の制御装置内の他の制御装置である第2制御装置が正常に稼動していることおよび前記機器を制御する状態である制御状態で稼動していることを含む第1条件を判断するステップと、
前記第2制御装置が前記第1条件を満たしている場合に、前記第1制御装置が、前記第2制御装置から前記機器を制御するために使用している設定情報を暫定的な仮設定情報として取得するステップと、
前記第1制御装置が、前記仮設定情報と、前記第1制御装置が記憶している設定情報を比較し、異なる場合は前記仮設定情報を正規の設定情報として記憶するステップと、
を含む、
二重化制御装置の起動方法。A step of activating a first control device, which is one of a plurality of duplicate control devices controlling the same control target device;
That the first control device is operating normally in a second control device, which is another control device in the plurality of control devices, and is operating in a control state in which the device is controlled; Determining a first condition including:
When the second control device satisfies the first condition, the first control device tentatively sets the setting information used for controlling the device from the second control device as temporary provisional setting information. Steps to get as
A step in which the first control device compares the temporary setting information with the setting information stored in the first control device, and stores the temporary setting information as regular setting information if different;
including,
How to start the redundant controller. さらに、前記第1制御装置は、前記仮設定情報を取得するステップにおいて、取得を失敗した場合に、起動を中止するステップを含む、
請求項1に記載された二重化制御装置の起動方法。Further, in the step of acquiring the temporary setting information, the first control device includes a step of stopping activation when the acquisition fails.
A method for activating the redundant control device according to claim 1. 前記第1制御装置が、前記第2制御装置が前記第1条件であることを判断するステップにおいて、
前記複数の制御装置の各々が、自己診断機能を具備し、自己が正常に稼動しているか判断するステップと、
前記複数の制御装置の各々が、前記自己診断機能により、自己が前記機器の制御を行なう制御状態で稼動しているか、予備として待機状態で稼動しているかを含むステータスを判断するステップと、
前記複数の制御装置はネットワークで接続され、各制御装置は他の制御装置と通信して、前記他の制御装置が正常に稼動していることを含む情報、および前記他の制御装置の前記ステータスを取得するステップと、
を含む、
請求項1または2に記載された二重化制御装置の起動方法。In the step of the first control device determining that the second control device is the first condition,
Each of the plurality of control devices has a self-diagnosis function, a step of determining whether or not itself is operating normally,
Each of the plurality of control devices, by the self-diagnosis function, whether the device itself is operating in a control state for controlling the device, or determining a status including whether it is operating in a standby state as a spare,
The plurality of control devices are connected via a network, each control device communicates with another control device, information including that the other control device is operating normally, and the status of the other control device. Obtaining the
including,
A method for activating the dual control device according to claim 1. さらに、前記第1制御装置が正常で、かつ、前記第2制御装置が前記第1条件を満たさなかった場合に、前記第1制御装置が制御開始前に、再度、前記第2制御装置が前記第1条件を満たしていることを確認し、満たしている場合に、前記第1制御装置がリセットされるステップを含む、
請求項1〜3のいずれかに記載された二重化制御装置の起動方法。Further, when the first control device is normal and the second control device does not satisfy the first condition, before the first control device starts control, the second control device again executes the Confirming that a first condition is satisfied, and, if so, resetting the first control device.
A method for activating the dual control device according to claim 1.
JP2002330632A 2002-11-14 2002-11-14 Method of starting duplex controller Pending JP2004164394A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002330632A JP2004164394A (en) 2002-11-14 2002-11-14 Method of starting duplex controller

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002330632A JP2004164394A (en) 2002-11-14 2002-11-14 Method of starting duplex controller

Publications (1)

Publication Number Publication Date
JP2004164394A true JP2004164394A (en) 2004-06-10

Family

ID=32808279

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002330632A Pending JP2004164394A (en) 2002-11-14 2002-11-14 Method of starting duplex controller

Country Status (1)

Country Link
JP (1) JP2004164394A (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006072492A (en) * 2004-08-31 2006-03-16 Fujitsu Ltd System control device, system control method and system control program
JP2007264754A (en) * 2006-03-27 2007-10-11 Yokogawa Electric Corp Control module
JP2008046878A (en) * 2006-08-16 2008-02-28 Fujitsu Ltd Data processing system and information processor
JP2010170464A (en) * 2009-01-26 2010-08-05 Yokogawa Electric Corp Redundant i/o module
KR101691637B1 (en) * 2015-08-10 2017-01-09 이엔테크놀로지 주식회사 Redundancy and Multicast-based Data Exchange Method for Multiple Controllers in Power Management System

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006072492A (en) * 2004-08-31 2006-03-16 Fujitsu Ltd System control device, system control method and system control program
US7779293B2 (en) 2004-08-31 2010-08-17 Fujitsu Limited Technology to control input/output device bridges
JP4630023B2 (en) * 2004-08-31 2011-02-09 富士通株式会社 System control apparatus, system control method, and system control program
JP2007264754A (en) * 2006-03-27 2007-10-11 Yokogawa Electric Corp Control module
JP2008046878A (en) * 2006-08-16 2008-02-28 Fujitsu Ltd Data processing system and information processor
JP2010170464A (en) * 2009-01-26 2010-08-05 Yokogawa Electric Corp Redundant i/o module
JP4743282B2 (en) * 2009-01-26 2011-08-10 横河電機株式会社 Redundant input / output module
KR101691637B1 (en) * 2015-08-10 2017-01-09 이엔테크놀로지 주식회사 Redundancy and Multicast-based Data Exchange Method for Multiple Controllers in Power Management System

Similar Documents

Publication Publication Date Title
CN109804355B (en) Software updating device, software updating method, and software updating system
US7178056B2 (en) Rolling software upgrades for fault tolerant systems
JP2010224847A (en) Computer system and setting management method
JP3915808B2 (en) Programmable controller, programmable controller system, and CPU unit
TWI723477B (en) Electronic apparatus, system and method capable of remotely maintaining the operation of electronic apparatus
JP7184855B2 (en) SOFTWARE UPDATE DEVICE, SOFTWARE UPDATE METHOD
JP2004164394A (en) Method of starting duplex controller
CN107038095B (en) Method for redundantly processing data
US7194675B2 (en) Backup method, backup system, disk controller and backup program
JP7484791B2 (en) OTA master, update control method, and update control program
JP2005032014A (en) Data processor, starting program for data processor, and starting method for data processor
CN114442786B (en) Power failure warning and recovering method, device and storage medium
JPH03219333A (en) Stand-by duplex system device
JP3884642B2 (en) Controller and multiplexed parallel processing method
JP2699291B2 (en) Power failure processing device
JP2008018666A (en) Printer
JP2001256071A (en) Redundant system
CN115145613A (en) OTA manager, update control method, and non-transitory storage medium
JP2004178516A (en) Printing system
JP2000259369A (en) Storage medium storing self-diagnostic program and printer system
CN115145142A (en) Controller and control method
JP2503623B2 (en) Operation mode transition method
JPH09186661A (en) Remote monitoring device
JPH02196341A (en) Fault restoring system for information processor
JP2000057116A (en) Computer complex system operation control method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20041215

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20061204

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070329