JP2004341645A - Automatic-recovery distributed control system - Google Patents

Automatic-recovery distributed control system Download PDF

Info

Publication number
JP2004341645A
JP2004341645A JP2003135013A JP2003135013A JP2004341645A JP 2004341645 A JP2004341645 A JP 2004341645A JP 2003135013 A JP2003135013 A JP 2003135013A JP 2003135013 A JP2003135013 A JP 2003135013A JP 2004341645 A JP2004341645 A JP 2004341645A
Authority
JP
Japan
Prior art keywords
control system
control
abnormality
stem cell
remote
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003135013A
Other languages
Japanese (ja)
Other versions
JP4138573B2 (en
Inventor
Hiroyoshi Osugi
弘順 大椙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Japan Science and Technology Agency
Original Assignee
Japan Science and Technology Agency
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Japan Science and Technology Agency filed Critical Japan Science and Technology Agency
Priority to JP2003135013A priority Critical patent/JP4138573B2/en
Publication of JP2004341645A publication Critical patent/JP2004341645A/en
Application granted granted Critical
Publication of JP4138573B2 publication Critical patent/JP4138573B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Micro-Organisms Or Cultivation Processes Thereof (AREA)
  • Hardware Redundancy (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To increase the reliability of a control system whose overall function is realized by a combination of a plurality of control systems. <P>SOLUTION: In an engineering system networking the control systems 111 to 114, remote I/Os 121 to 124 and controlled objects 131 to 134, electric circuit boards with stem cell properties (stem cell components 141 and 142) are connected in advance to the network. Information about each control system is given to the other control systems. If any control system fails, the associated remote I/O or the other control systems detect the failure. Either stem cell component, given the information about the failed control system, automatically changes (regenerates) into the control system. The overall system can be thus automatically recovered. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は、複数の制御系の組み合わせにより全体の機能が実現されている分散制御システムの信頼性の向上に関する。
【0002】
【技術的背景】
多数の制御系の組み合わせで全体の機能が実現されているシステム(例えばシーケンス制御システムなど)において、従来、システムの信頼性を向上させるためにシステムの多重化により対処する場合(例えば上下水道などの公共設備プラントなど)がある。しかしながら、一般の製造システムなどでは、コストの問題等により、制御系を全て多重化することはまれである。このため、各制御系に故障が発生した場合には、各制御系の修復に関して個別に対応する必要があった。
また、どの制御系に異常が発生したかを自動的に検出し、自動的に修復するシステムも開発されている。例えば特許文献1では、FPGA (Field Programmable Gate Array) を利用した機能装置(制御系)の信頼性を向上するために、次のような技術を提案している。なお、ここで、FPGAとはプログラミング可能なLSIなどの電子回路であり、例えば特許文献2などでも利用されている従来技術である。
特許文献1の発明における機能装置は機能回路部、障害検出部、定義処理部、内部メモリで構成され、機能回路部の機能を実現するためのレイアウトパターン定義情報を内部メモリに格納(および外部メモリにバックアップ)しておく。障害検出部は、障害を検出し、障害領域を判別する。その情報に従って、定義処理部はメモリから障害領域を回避できるレイアウトパターン定義情報を読み出し、そのレイアウトパターン定義情報に従って機能回路部を再定義する。これにより、機能装置がサービス中、運用中であっても、装置の機能を自己修復することができる。
【0003】
【特許文献1】
特開平9−62528号公報
【特許文献2】
特開平10−92943号公報
【0004】
【発明が解決しようとする課題】
しかしながら、特許文献1の従来技術を用いても、次のような問題が残る。まず、障害の箇所によっては修復が不可能となってしまう場合がある。例えば、レイアウトパターン定義情報を格納した内部メモリおよび外部メモリにアクセスできなくなった場合である。さらに、外部メモリはレイアウトパターン定義情報のバックアップという目的に特化した存在であるため、この外部メモリに障害が発生した場合、修復が不可能となったり、システム全体が機能不全に陥る場合がある。
【0005】
【課題を解決するための手段】
上記の課題を解決するために、本発明は、ネットワークで互いに接続している、予備の制御系として動作する少なくとも1つの幹細胞を含む複数の制御系と、該各制御系が制御している制御対象と制御系との間を接続するリモートI/Oとで構成した自動修復分散制御システムであって、前記リモートI/Oは、前記制御系のいずれとも接続でき、前記制御系と制御対象との間で、制御系からの制御信号および制御対象からのフィードバック伝達を行なう入出力手段と、少なくとも該リモートI/Oを介して制御対象を制御している制御系の異常を検知する異常検知手段を有し、前記制御系は、前記リモートI/Oを介して前記制御対象を制御する制御手段と、少なくとも1つの前記制御系の異常を検知する異常検知手段と、該制御手段を変化させる再生手段とを有し、前記制御系の異常は、全体としてリモートI/O又は制御系のいずれかで検出され、前記リモートI/O又は前記制御系で前記制御系の異常を検知した場合、検知した前記リモートI/O又は前記制御系は、前記幹細胞および異常が検知された制御系と接続しているリモートI/Oに通知し、通知を受けた幹細胞の制御手段は、再生手段により該異常制御系の制御手段と同様になり、通知を受けたリモートI/Oの入出力手段は該異常制御系との接続を停止して、通知を受けた幹細胞と接続することを特徴とする自動修復分散制御システムである。
また、前記リモートI/O及び前記制御系は、前記制御系からの信号パターンを格納したメモリを有しており、前記制御系及び前記リモートI/Oの前記異常検知手段は、前記制御信号を前記メモリに格納している信号パターンと照合することにより、前記制御系の異常を検知することを特徴としてもよい。
前記幹細胞は、さらに、全ての制御系の情報を格納したメモリを有しており、前記幹細胞の前記再生手段は、前記異常検知手段により異常が検知された制御系の情報を、前記メモリから取得し、自身の制御手段を該異常制御系の制御手段と同様の機能とすることを特徴としてもよい。
前記制御系は、さらに、自己以外の少なくとも1つの制御系の情報を格納したメモリを有しており、前記制御系のメモリは、全体として全ての制御系の情報を格納しており、前記幹細胞の前記再生手段は、前記異常検知手段により異常が検知された制御系の情報を、前記制御系のメモリから取得し、自身の制御手段を該異常制御系の制御手段と同様の機能とすることを特徴としてもよい。このとき、前記制御系の前記再生手段は、さらに、自己以外の少なくとも1つの制御系に対して、自己の制御手段とする情報を他の制御系に対して送信し、受信した制御系の前記再生手段は、該情報を前記制御系の情報を格納したメモリに格納することを特徴としてもよい。さらに、前記制御系の前記再生手段は、自己の制御手段とする情報を他の制御系に対して、定期的に送信することを特徴としてもよい。
【0006】
【発明の実施の形態】
本発明では、上述した従来技術の問題点を解決するために、次のような特徴を有する。まず、複数の制御系の組み合わせにより全体の機能が実現されるような工学システムにおいて、ある制御系が故障した場合に、故障した制御系の機能を再生させるために、生物の再生過程に見られる「幹細胞」に相当するものを、制御系の予備として導入する。すなわち、それ自体通常はなんら特定の性格(機能)を持たない状態の「幹細胞的性質を持つ電気回路基盤(ボード)」(以降「幹細胞コンポーネント」とよぶ)を1個以上、ネットワークでシステムにあらかじめ結合しておき、各々の制御系が故障した場合に、幹細胞コンポーネントが故障した制御系に自動的に変化(以降「再生」という)する仕組みを構築する。これにより、システム全体の機能を維持できるようにする。
以降、本発明の自動修復分散制御システムの実施形態を、図を参照しながら詳細に説明する。
【0007】
<システム構成>
最初に、本実施形態のシステム構成を説明する。本実施形態のシステムにおいては、全ての制御対象はネットワークとリモートI/O(以降、単に「I/O」ともいう)を介して各制御系に制御される。また、各制御系(幹細胞コンポーネントを含む)同士も、イーサネット(登録商標)等のネットワークで接続する。
ネットワーク接続の様式の例を図1に示す。なお、図1は接続様式の一例を示すものであり、他の多様なケースが考えられる。他の例については後述する。
【0008】
図1において、制御対象1 131〜制御対象4 134はそれぞれ、I/O(リモートI/O)1 121〜I/O(リモートI/O)4 124を介して制御系1 111〜制御系4 114に接続されている。これにより、各制御系から各制御対象を制御することができる。
ここで、各I/Oと各制御系との間の接続は、I/O側の黒丸150と制御系側の黒丸150との間の接続として示されている。I/O側の黒丸150は、I/O内の構成要素の1つである「制御系と制御対象との信号のやり取りをする制御部」(図3において入出力制御部310で示している)からの接続を意味している。また、制御系側の黒丸150は、制御系内の構成要素の1つである「対象I/Oと信号をやり取りする回路部」(図2において入出力回路部260で示している)からの接続を意味している。
各幹細胞コンポーネントに示された黒丸150も、制御系と同様、幹細胞コンポーネント内の構成要素の1つである「対象I/Oと信号をやり取りする回路部」(図2において260で示している)からの接続である。図1に示すように、幹細胞コンポーネント側の黒丸150と各制御系とはネットワークで接続されている。これにより、例えば、制御系が故障して幹細胞コンポーネントがその制御系の代わりとして機能する際に、対象I/Oと信号をやり取りすることができる。
【0009】
一方、図1において、制御系1 111〜制御系4 114および幹細胞コンポーネント1 141〜幹細胞コンポーネント2 142は、それぞれの白丸160間で、互いにネットワーク接続されている。この白丸160は、制御系および幹細胞コンポーネント内の構成要素の1つである「再生を実現するための制御部」(図2において再生制御部240で示している)からの接続を意味している。これにより、例えば、幹細胞コンポーネントが故障した制御系の代わりとして機能する際に、対象I/Oと信号をやり取りすることができる。なお、図1においては制御系1 111〜制御系4 114と幹細胞1 141,幹細胞2 142を2重のネットワーク接続で示しているが、本実施形態においてネットワーク接続は1重以上であればよい。ネットワーク接続が多重であるほど、ネットワークの切断等の故障に強いシステムとすることができる。
【0010】
上述したように、制御系、幹細胞コンポーネント、およびリモートI/Oの内部構成要素は図2および図3に示している。次に、これらの図を参照しながら、各々の内部構成要素について説明する。
【0011】
<制御系、幹細胞コンポーネントおよびリモートI/Oの内部構成>
制御系および幹細胞コンポーネントは、図2に示すような内部構成要素からなる。なお、図2に示す構成要素は一例であり、他のバリエーションも考えられる。
各制御系(幹細胞コンポーネントを含む)200の内部において、機能回路部210はFPGAにより構成され、制御対象を制御するための回路である。回路定義メモリ部220は、機能回路部210のFPGA回路を定義するための情報が格納されている。本実施形態では機能回路部210の外部にあるが、機能回路部210の内部にあってもよい。回路制御部230は、回路定義メモリ部220から定義回路を選択し、機能回路部210のFPGA回路を書き換えるための制御部である。
再生制御部240は、異常信号検出部を含んでいる。この異常信号検出部は少なくとも1つの制御系の異常を、異常信号パターン検出用メモリ部270に格納されている異常信号パターンと照合することにより検出している。そして、リモートI/O部等が異常を検出したとき、「再生」を実現している。
再生制御部240は、上述の図1で説明したように、他の制御系、幹細胞コンポーネントおよびリモートI/Oと信号をやり取りする。
また、各制御系(幹細胞コンポーネントを含む)は、後述するように、「再生」を実現するために自己以外の制御系の回路定義情報やデータを回路定義メモリ部220やデータ保存用メモリ部250に保持している。再生制御部240は、自己の制御系がどの制御系の回路定義情報やデータを保持しているかの情報を持つ。
再生制御部240は、機能回路部210と同様にFPGAやマイクロプロセッサなどを用いて構成することができる。なお、異常信号検出部は、複数の制御系の異常を検出するようにすれば、全体的にどれかの制御系が故障しても異常を検出する確率が増すことになる。
【0012】
データ保存用メモリ部250は、機能回路部210のFPGAの機能実現に必要となるデータを格納している。
入出力回路部260は、機能回路部210のFPGAによる、対象の制御実行した結果を、対象リモートI/Oと入出力信号のやり取りをする。
異常信号パターン検出用メモリ部270は、異常信号を検出するための検出用パターンを格納している。
本実施形態において「制御系の異常」とは、これら制御系内部の各機能のどれか1つでも異常になった場合を全て含む。つまり、FPGA内部の異常にとどまらず、機能単位である制御回路基板のどこかに1つ何らかの異常があった場合、制御機能異常として検出され処理される。
なお、回路定義メモリ部220、データ保存用メモリ部250、異常信号パターン検出用メモリ部270については、ハードディスク等の大容量の記憶媒体を用いることも可能である。
【0013】
一方、リモートI/Oは図3に示すような内部構成要素からなる。
リモートI/O 300の内部において、入出力制御部310は、制御系と制御対象との信号のやり取りをする。入出力制御部310は、各々の制御系および制御対象と連絡している。異常検出部320は、少なくとも当該リモートI/Oを介して制御対象を制御している制御系からの異常信号を検出する。もちろん、他の制御系の異常信号を検出するようにしてもよい。異常信号パターン検出用メモリ部330は、異常信号パターンを格納しており、異常検出部320は、格納されている異常信号パターンを用いて、制御系からの信号の異常を検出する。
なお、これらの構成要素の、本実施形態のシステムにおける具体的な役割については、後で詳しく説明する。
【0014】
本実施形態のシステムでは、上述したようなネットワークを利用して、各々の制御系、幹細胞コンポーネント、リモートI/Oが常時、互いにパケットを送信する。これにより、互いの状態を常時モニタすることができる。
この常時モニタにより、ある制御系の異常を、他の各制御系、幹細胞コンポーネント、および各リモートI/Oのどれか(複数を含む)が検出することができるように構成する。また、各制御系が制御対象を制御するための出力信号の異常は、出力が無い場合を含め検出可能である。つまり、各制御系が担う機能のうち、どれが異常になった場合でも、その異常が検出される。
【0015】
幹細胞コンポーネントは、そのようにして検出された異常の情報を得て、異常が検出された制御系に対応するリモートI/Oにその情報を与え、当該異常制御系からの当該リモートI/Oへの情報を無効とし、新に自らは後述のように、FPGAを用いて当該故障制御系と同等の制御機能を実現する制御回路を構築し、自らが当該制御系の代わりとなり、当該制御対象を制御する「再生」を行なう。
幹細胞コンポーネントが「再生」を行なうために制御回路を構築する方法を、次の(方法1)〜(方法4)に示す。
【0016】
<制御回路の構築方法>
(方法1)
最も単純な方法としては、幹細胞コンポーネントの回路定義メモリ部220に、各制御系の制御回路全てを構築するための回路定義情報を保持させ、どれが異常な制御系であるかの情報を得た後、その回路定義情報に基づき必要となる制御回路を構築する方法である。
但し、制御系の機能の種類によっては、その機能を実現するために、変化するデータを短期間あるいは長期間にわたりデータ保存用メモリ部250に保存することが必要となる場合がある。また、入力データ次第でFPGAの回路パターンを変化させることが必要となる場合もある。このような場合、各制御系は、それぞれが必要とするデータをデータ保存用メモリ部250や回路定義メモリ部220に保持することになる。幹細胞コンポーネントがどの制御系にも変化しうるようにするために最も簡単な方法は、幹細胞コンポーネントのデータ保存用メモリ部250や回路定義メモリ部220に、各制御系のそれらのデータを全て保持することである。
しかし、例えば幹細胞コンポーネントの回路定義メモリ部220が、ハードディスクなど大容量の記憶媒体である場合には、幹細胞コンポーネント内に全てのデータを保持することが可能となるが、そうでない場合には膨大なメモリが必要となり、事実上それが困難な場合も想定される。
そのような場合を想定して、以下の(方法2)〜(方法4)に説明するような方法をとることもできる。
【0017】
(方法2)
番号nの制御系(制御系n)のデータ保存用メモリ部250の内容を、制御系nが常時、制御系n+1にも転送し、制御系n+1のデータ保存用メモリ部250にもその内容を同時に持たせ、システム全体として全ての制御系のデータ保存用メモリ部250の内容を自己以外のいずれかの制御系に持たせるようにする。また、制御系nにおいて、もしFPGAの回路パターンの書き換えが行なわれた場合、その回路パターン情報を常時、制御系n+1にも転送し、その回路パターン定義情報を制御系n+1の回路定義メモリ部220(もしくはデータ保存用メモリ部250)に同時に持たせる。この転送は各制御系の再生制御部240により実現される。
これによって、制御系nと制御系n+1が、同一時刻に同時に故障しないかぎり、制御系nが異常になった場合、幹細胞コンポーネントは制御系n+1のメモリを参照して制御系nの機能を持つように変化し、その機能を復旧することができる。
もちろん、これを実現するには、おおまかに言えば、各制御系には最大量のメモリを必要とする制御系のメモリ量(Mとする)の2倍量が必要となり、系全体で必要なメモリ量は、最大2M×N(Nは制御系の数)となる。しかし、上記(方法1)のように、幹細胞コンポーネントに仮にM×Nのメモリを載せ、その幹細胞コンポーネントをあらかじめ複数個用意するよりはメモリ量が節約できる。
【0018】
(方法3)
上記(方法2)において、再生制御部240が、制御系nのメモリ内容を常時、制御系n+1と制御系n−1にも転送し、システム全体として全ての制御系のデータ保存用メモリ部250の内容を自己以外のいずれか2つの制御系に持たせるようにすれば、同一時刻に同時に、番号が隣り合う2個の制御系が故障しても復旧が可能となり、系全体の信頼性はさらに増大する。ただし、制御系に必要なメモリは、系全体で最大3M×N必要になる。なお、常時転送先の制御系数をさらに増やすことにより、系全体の信頼性をいっそう増大させることが可能となる。ここで、転送先の制御系の数や、どの制御系に対して転送するかなどのルールは、システムに応じて決定すればよい。
【0019】
(方法4)
系全体のメモリを節約するために、各制御系の再生制御部240に、他の制御系の空いているデータ保存用メモリ部250の量をモニタする機能を持たせる。これにより、多くのデータを転送する必要のある制御系は、メモリに余裕がある制御系を選択してメモリ内容の転送を行なうことができる。また必要があれば、そのデータを分割し、複数の制御系のメモリに転送するというように、各転送先制御系の空いているメモリ量に応じて、転送先を動的に決定するということも可能となる。この方法においても上記(方法1)〜(方法3)と同様に、システム全体として全ての制御系のデータ保存用メモリ部250の内容を自己以外のいずれかの制御系に持たせるようにする。
この方法では、上述でnで説明したような番号のルールには拘束されずに、各制御系は他の(単数または複数の)制御系に対して、自己制御系を再構築するためのデータを転送する。また、各制御系および幹細胞コンポーネントは、どの制御系が他のどの制御系のデータを持っているかを再生制御部240で把握する。
このような動的なメモリ割振りを活用すれば、例えば、ある特定の制御系2つだけが大量のメモリ(M)を必要とし、他の制御系はさほどメモリを必要としていない場合に、例えば上記(方法1)では幹細胞コンポーネントと他のどれか2つの制御系(複数あるうちの他の幹細胞コンポーネントを含む)がM量ずつのメモリを持てばよい(あるいは、上記のデータ分割を行なう場合は、分割データを転送するグループを形成しているうちの他のどれか2つの制御系が、それぞれのグループ内でトータルM量ずつのメモリを持てばよい)ということになり、系全体のメモリ量をさらに減らすことが可能となる。
【0020】
このように、各制御系は、自己の制御系を形成するための情報を他の(単数または複数の)制御系に転送し保持させる。このとき、上述したように、システム全体として全ての制御系の情報(単数又は複数)を自己以外のいずれかの制御系に保持させるようにする。なお、上記の(方法2)〜(方法4)においては、各制御系において自己がどの制御系の情報を保持しているのかを把握する必要があり、上述したように、各制御系の再生制御部240がそれを把握している。
そして、ある制御系が機能不全に陥ったり破壊された場合に、幹細胞コンポーネントはその保持された情報を参照し、当該制御系の機能を持つコンポーネントに変化(再生)することで、システム全体の機能を回復する。
【0021】
以降、本実施形態のシステムにおいて制御系が制御対象を制御する方法、制御系の異常検出方法、異常発生時のシステム回復の流れについて、図1に示すシステム構成を例として具体的に説明する。
【0022】
<制御方法の具体例>
まず、図1を参照しながら、制御系2 112がI/O2 122を通じて、制御対象2 132の制御をする過程を例として、制御方法の具体例を説明する。
なお、本実施形態においては、例えば Fast Ethenet と UDP/IP を利用した技術を用いて、パケットによるデータ(信号)のやり取りを行なうものとする。この Fast Ethenet と UDP/IP を利用した技術は従来技術であり、例えば、藤本康孝・関口隆「分散型プログラマブルコントローラ群による耐故障制御」(平成13年電気学会電子・情報・システム部門大会 講演論文集I)に示されている。
(1)制御系2 112の入出力回路部260は、ブロードキャストで全ての宛先(幹細胞を含む各制御系の再生制御部240と入出力回路部260、および各リモートI/Oの入出力制御部310)に対して、ネットワークを介してパケットを送る。
(2)I/O2 122は、送信元が制御系2 112のパケットのみを選択し、そのデータを制御対象2 132に渡す。この時、I/O2 122の異常検出部320は、制御系2 112からのデータ(信号)が、信号パターンの許容範囲にあるかどうかについて異常の検出を行なう。仮に異常が検出された場合は、I/O2 122は、ブロードキャストで全ての宛先(幹細胞を含む各制御系の再生制御部240と入出力回路部260、および各リモートI/Oの入出力制御部310)に対してパケットを送り、制御系2 112の異常情報を送信する。
【0023】
(3)制御対象2 132はI/O2 122に対し、必要に応じて、フィードバックのための情報(信号)を返す。ここで、I/O2 122の作用に関しては以下の(a)(b)2つの場合を考える。
(a)I/O2 122は、制御系2 112の入出力回路部260宛てに、制御対象2 132からの信号をパケットで送る。
(b)I/O2 122は、ブロードキャストで全ての宛先(各制御系の再生制御部240と入出力回路部260、および各リモートI/Oの入出力制御部310)に対して、制御対象2 132からの信号をパケットで送る。制御系2 112の入出力回路部260は、送信元がI/O2 122のパケットを選択する。
なお、上記の(b)を実行することにより、I/O2 122や制御対象2 132の異常の認識が、制御系2 112以外からも可能となるが、例えば実行速度の面では(a)の方が優れている。従って(a)(b)どちらを採用するかは、システムによって判断するとよい。
(4)制御系2 112の入出力回路部260に渡された信号は、制御系2 112の機能回路部210により処理される。
(5)制御系2 112の機能回路部210により処理された結果の信号は、制御系2 112の入出力回路部260に渡される。
【0024】
上記(1)〜(5)を繰り返すことにより、制御系2 112は、I/O2 122を通じて制御対象2 132とパケットによるデータのやり取りを行ない、制御対象2 132の制御を行なう。
なお、制御系2 112の機能回路部210は、上述したI/O2 122からのフィードバック信号以外にも、各種の入力情報(例えば時間制御、マニュアル制御、その他必要に応じて他の制御対象からの情報など)に従い、制御系2 112の入出力回路部260に信号を渡す。
また、制御システムの実行動作上問題がない場合は、各制御系(幹細胞コンポーネントを含む)の入出力回路部260と再生制御部240の機能を1つの構成要素内に持たせることもできる。
【0025】
<異常検出方法の具体例>
本実施形態では、上述のリモートI/Oによる異常検出の他、次のような異常検出方法をとる。
【0026】
(1)制御系全てが常時動作しているシステムの場合
この場合は、上述のように、各制御系の入出力回路部260はブロードキャストで全ての宛先(各制御系および幹細胞コンポーネントの再生制御部240と入出力回路部260、および各リモートI/Oの入出力制御部310)に対してパケットを送るが、これにより各制御系の再生制御部240は、制御対象以外からの信号についても、その送信元と信号内容を認識する。各制御系の再生制御部240には、全ての制御系からの信号あるいは特定の1個以上の制御系からの信号に対して、その信号の異常(信号が途絶える、あるいは信号パターンに異常が認められる)を認識する異常信号検出部を持たせる。
なお、信号パターンの異常を識別するために、異常信号パターン検出用メモリ部270を持たせる。異常信号パターン検出用メモリ部270は、各制御系に対応する異常信号パターン検出用メモリ(どのような信号パターンを異常と見なすかについてのメモリ)である。このとき、各々の制御系の異常を、他の各制御系(単数または複数)、幹細胞コンポーネント(単数または複数)、のどれかが検出することができるようにする。また、必要に応じて上述の各制御系が制御する制御対象と接続するリモートI/O以外のリモートI/O(単数または複数)によっても検出することができるようにする。これにより、自己以外の各制御系の異常が検出可能となる。
【0027】
このように、システム全体として各制御系の異常を、少なくとも1個以上の自己以外の上記各制御系、幹細胞コンポーネントあるいはリモートI/Oが検出することになる。各制御系の異常をそれらの何個により検出可能とするかは、各制御系やシステムごとに決めることができる。その数が多いほど、故障に対して強いシステムにすることができる。
なお、この異常信号パターン検出用メモリ部270は、回路定義メモリ部220やデータ保存用メモリ部250で代用することも可能である。
【0028】
(2)制御系全ての常時動作が必要でないシステムの場合
この場合は、各制御系からの制御信号が長時間にわたり発生しなくてもそれが異常ではないケースがある。このようなシステムにおいては、各制御系の再生制御部240は、ブロードキャストで全ての宛先(各制御系および幹細胞コンポーネントの再生制御部240と入出力回路部260、および各リモートI/Oの入出力制御部310)に対して、正常動作確認のための信号を、一定時間間隔でパケット送信する。このパケットは当該制御系が正常に機能しうることを他の制御系に認識させるための信号のみを含み、実際の制御のための情報は持たない。なお、時間間隔は、そのシステムが必要とする制御対象やその制御動作時間などに依存し、システムによりケースバイケースで設定する。
上記(1)と同様、各制御系の再生制御部240には、全ての制御系からの信号あるいは特定の(単数あるいは複数の)制御系からの信号に対して、その信号の異常(信号が途絶える、あるいは信号パターンに異常が認められる)を認識する異常信号検出部を持たせる。異常信号パターン検出用メモリ部270についても、上記(1)と同様である。
【0029】
なお、制御系が正常に機能しうることを知らせるパケット信号の送信には、次の(a)(b)2通りの方法があるが、これらも、システムによりケースバイケースで設定する。
(a)単に再生制御部240が定期的に信号パケットを送ることにより、再生制御部240の機能が正常であることを示す方法
(b)再生制御部240が機能回路部210に定期的にテスト信号を与え、当該制御系の機能回路部210の実行動作テストを行ない、機能回路部210が正常であることを再生制御部240が確認した後、正常である旨の信号パケットを送る方法
【0030】
<故障発生時におけるシステム回復の流れの具体例>
次に、システム内のある制御系に異常や故障が発生した場合に、システム回復(再生)に至るまでの具体的な流れを説明する。ここでは、図1において制御系2 112が故障した場合を例として説明する。
(1)制御系2 112に異常が発生した場合、上述の異常検出方法により、その異常はI/O(リモートI/O)2 122および他の単数または複数の制御系(幹細胞コンポーネント1および2を含む)、あるいは必要に応じてI/O2122以外の単数または複数の各リモートI/Oにより検出される。この異常情報は幹細胞コンポーネント1および2(あるいはそれらを含む全ての制御系)に送信される。
本実施形態では、前述のように、各々の制御系の異常を、他の各制御系、幹細胞コンポーネントのどれか(単数または複数)、および各リモートI/Oのどれか(単数または複数)が検出することができるようにしているため、いずれの制御系に異常が発生した場合でも、幹細胞コンポーネントに異常を伝えることができる。また、I/O2 122による異常検出が失敗した場合でも、このような他の制御系や他のI/Oによる異常検出情報から、I/O2 122は制御系2
112の異常を認識できる。
【0031】
(2)ここで、例えば、幹細胞コンポーネントのアドレスが若い順(値が小さい順)に「再生」に参加するというルールをあらかじめ与えておく。この場合、幹細胞コンポーネント1がまず「再生」に参加し、制御系2 112に変化する。
なお、どの幹細胞コンポーネントのアドレスが若いかは、各幹細胞コンポーネントの再生制御部240が互いにパケット信号を送受信することにより、「再生」に参加する前に、あらかじめ各幹細胞コンポーネントが把握している。
(3)上述したように、本実施形態では、制御系2 112の回路定義情報とデータを、(a)幹細胞コンポーネント1が保持している場合もあるが、(b)他の(単数または複数の)制御系のメモリに保存されていることもある。
上記(a)の、幹細胞コンポーネント1が制御系2 112の回路定義情報とデータを回路定義メモリ部220やデータ保存用メモリ部250に保持している場合、後述するように再生制御部240はそれらの情報を保持していることを把握している。そして、制御系2 112に異常が発生した際、幹細胞コンポーネント1はそれらの情報を用いて回路制御部230によって機能回路部210の形成を行なう。
【0032】
また、上記(b)の、他の(単数または複数の)制御系が制御系2 112の回路定義情報とデータを保持している場合、それらの情報を保持している各制御系の再生制御部240は、「自己の回路定義メモリ部220やデータ保存用メモリ部250に、制御系2 112の回路定義情報あるいはデータが保持されている」という情報も持つ。このためのメモリは、再生制御部240に独自に持たせることとするが、回路定義メモリ部220、データ保存用メモリ部250や異常信号パターン検出用メモリ部270で代用してもよい。
そして、制御系2 112に異常が発生した際、幹細胞コンポーネント1の再生制御部240は、各制御系の再生制御部240にアクセスして、制御系2 112の回路定義情報やデータが保持されている制御系を選択し、(あるいは、後述するように、どの制御系が制御系2 112の回路定義情報やデータを有するのかを、幹細胞コンポーネント1の再生制御部240があらかじめ把握していることにより、)該当する他の制御系の再生制御部240を通じて、それらの制御系の回路定義メモリ部220やデータ保存用メモリ部250を参照し、(または、幹細胞コンポーネント1の回路定義メモリ部220やデータ保存用メモリ部250にその内容をあらかじめコピーした後、それらを用いて、)回路制御部230によって機能回路部210の形成を行なう。
【0033】
なお、上記の「再生」を実現するために、各幹細胞コンポーネントおよび各制御系の再生制御部240は「自己の回路定義メモリ部220やデータ保存用メモリ部250にどの制御系の回路定義情報あるいはデータ情報が保持されているか」についての情報を持つ。この「どの制御系の回路定義情報あるいはデータに関する情報を持つか」について、各幹細胞コンポーネントおよび各制御系の再生制御部240は、他の各幹細胞コンポーネントの(あるいは各制御系も含め、その)全ての再生制御部240に対して、定期的に、あるいは自己がどの制御系の回路定義情報あるいはデータに関する情報を持つかについて変更があった場合などに随時、パケット送信することとしてもよい。
これにより、各幹細胞コンポーネントの(あるいは各制御系も含め、その)全ての再生制御部240は、常に、どの幹細胞コンポーネントあるいは制御系から各制御系の再生に必要な情報を読み出したらよいのかをあらかじめ把握することが可能となる。
【0034】
(4)このように、制御系2 112と同様の機能回路部210およびデータを獲得した幹細胞コンポーネント1は、ブロードキャストで全ての宛先(各制御系の再生制御部240と入出力回路部260、および各リモートI/Oの入出力制御部310)に対してパケットを送る。前述したように、このパケットはI/O2 122に信号を与える目的のほか、他の制御系等による異常信号の検出に利用される。
【0035】
(5)一方、I/O2 122は、制御系2 112が異常になったという情報を得た後、対応すべき入力信号の送信元のアドレスを、もとの制御系2 112から幹細胞コンポーネント1に変更し、また、制御対象2 132からの信号をパケット送信する宛先を、幹細胞コンポーネント1の入出力回路部260に変更する(前述の<制御方法の具体例>の(3)(a)の方法を用いた場合)。もしくは、全ての宛先(各制御系の再生制御部240と入出力回路部260、および各リモートI/Oの入出力制御部310)に対してパケットを送る(前述の<制御方法の具体例>の(3)(b)の方法を用いた場合)。
(6)また、幹細胞コンポーネント1は、制御系2 112が異常になったという情報を得た後、入出力回路部260が対応すべき入力信号パケットの送信元アドレスを、I/O2 122からのものと設定する。
以上(1)〜(6)により、幹細胞コンポーネント1が完全に、故障した制御系2 112と置き換わることにより、システムの再生を行なう。
【0036】
<ネットワークの接続様式の例>
本実施形態のシステムのネットワーク構成は、上述したように、図1に示す他にも様々な様式が考えられる。また、制御系、幹細胞コンポーネントおよびリモートI/Oなどの数も、図1に限られるものではない。
以降、ネットワーク接続様式の他の例を、図4〜図7を用いて紹介する。なお、ここに挙げる接続様式も例示であり、さらに他の様式も考えられる。
【0037】
図4〜図6は、図1と同じく、4つの制御対象に対して4つの制御系がリモートI/Oを介して接続してあり、幹細胞コンポーネントの数は2つである。しかし、図1と比較してネットワーク構成が増強されており、ネットワークの回線そのものに(複数の)支障や破壊があった場合においても、システムの復旧(再生)を行なうことが可能となる。すなわち、ネットワーク接続の障害に対する信頼性を向上することができる。例えば、図4に示すネットワーク構成の場合、図1と比べ、各制御系と各々の制御対象との間のネットワークが切断された場合にも、システムを復旧することができる。
また、図7は、図1と同じネットワーク構成であるが、ネットワークを構成する制御系や制御対象の数が異なる例である。図7のネットワークでは、制御系の数は制御系1 111〜制御系5 115まで5つである。また、制御系4 114は、I/O4a 124aを介して制御対象4a 134aを、I/O4b124bを介して制御対象4b 134bを制御している。このように、本実施形態においては制御系、リモートI/O、制御対象の数に特に制限はない。また、幹細胞コンポーネントの数にも制限はないが、数が多いほど、故障に対して強いシステムにすることができる。
実際どのネットワーク構成を採用するか、あるいは、制御系、幹細胞コンポーネントおよびリモートI/Oなどの数は、システムの目的や必要性、コストとのバランス等により、個々のシステムごとに決めることができる。
なお、上述では、制御系の機能回路部として、FPGAを用いた場合で説明したが、プロセッサとプログラムにより、機能回路部を構成することもできる。この場合、機能回路部を構成する情報として、プログラムが用いられる。
【0038】
【発明の効果】
本発明では、多数の制御系の組み合わせで全体の機能が実現されているシステムにおいて、個々の各制御系が故障したり破壊された場合、当該故障制御系が自動的に自己修復する機構をシステム全体に加えている。特に、システム内のどのような制御系に機能不全が生じた場合においても自己修復を可能としている。
これにより、制御系システム全体において「この機能部分が故障したり破壊された場合は自己修復が不可能となる」という状況を回避し、システムの信頼性を向上することができる。
また、本発明で提案する基本的な原理は、多くの実際的な制御システムにおいて活用することが可能で、例えば、各種プラントの制御、工場等のプロセス系の制御をはじめ、今後発展が予想されるネットワーク家電分野での活用も可能である。ネットワーク家電分野での活用例としては、ネットワークで接続された家電のうちある特定の家電の制御基盤が故障した場合に、瞬時に自動的に自己復旧する機能を付加することが可能となる。
また、本発明の方法は、制御システムの故障を想定した場合にとどまらず、人為的なシステムの破壊が行なわれた場合のシステムの自動復旧方法としても有効である。具体的には、テロ等により大規模システムの一部が破壊された場合、本発明の方法を使うことで自動復旧が可能となる。
【図面の簡単な説明】
【図1】本実施形態のシステム構成の例である。
【図2】制御系および幹細胞コンポーネントの内部構成要素の例である。
【図3】リモートI/Oの内部構成要素の例である。
【図4】本実施形態のネットワーク接続様式の例である。
【図5】本実施形態のネットワーク接続様式の例である。
【図6】本実施形態のネットワーク接続様式の例である。
【図7】本実施形態のネットワーク接続様式の例である。[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to improving the reliability of a distributed control system in which the entire function is realized by a combination of a plurality of control systems.
[0002]
[Technical background]
In a system in which the entire function is realized by a combination of a large number of control systems (for example, a sequence control system, etc.), conventionally, when measures are taken by multiplexing the system in order to improve the reliability of the system (for example, water supply and Public facilities plant). However, in a general manufacturing system or the like, it is rare that all control systems are multiplexed due to a cost problem or the like. Therefore, when a failure occurs in each control system, it is necessary to individually deal with the restoration of each control system.
Further, a system has been developed which automatically detects which control system has an abnormality and automatically repairs the system. For example, Patent Document 1 proposes the following technology in order to improve the reliability of a functional device (control system) using an FPGA (Field Programmable Gate Array). Here, the FPGA is an electronic circuit such as a programmable LSI or the like, and is a conventional technique used in, for example, Patent Document 2.
The functional device according to the invention of Patent Document 1 includes a functional circuit unit, a failure detection unit, a definition processing unit, and an internal memory, and stores layout pattern definition information for realizing the function of the functional circuit unit in the internal memory (and the external memory). Backup). The failure detection unit detects a failure and determines a failure area. In accordance with the information, the definition processing unit reads out layout pattern definition information that can avoid the failure area from the memory, and redefines the functional circuit unit according to the layout pattern definition information. Thus, even when the functional device is in service or in operation, the function of the device can be self-repaired.
[0003]
[Patent Document 1]
JP-A-9-62528
[Patent Document 2]
JP-A-10-92943
[0004]
[Problems to be solved by the invention]
However, even if the conventional technique of Patent Document 1 is used, the following problem remains. First, repair may not be possible depending on the location of the failure. For example, there is a case where the internal memory and the external memory storing the layout pattern definition information cannot be accessed. Further, since the external memory is dedicated to the purpose of backing up the layout pattern definition information, if a failure occurs in the external memory, the external memory may not be able to be repaired or the entire system may malfunction. .
[0005]
[Means for Solving the Problems]
In order to solve the above-mentioned problems, the present invention provides a plurality of control systems including at least one stem cell operating as a backup control system, which are connected to each other via a network, and a control system controlled by each of the control systems. An automatic restoration distributed control system comprising a remote I / O for connecting a target and a control system, wherein the remote I / O can be connected to any of the control systems, and , An input / output means for transmitting a control signal from the control system and a feedback from the control object, and an abnormality detection means for detecting an abnormality of the control system controlling the control object via at least the remote I / O The control system controls the control target via the remote I / O; an abnormality detection unit that detects abnormality of at least one of the control systems; A reproducing means for causing the control system to detect an abnormality in the control system as a whole, either in the remote I / O or the control system, and when the remote I / O or the control system detects an abnormality in the control system. The detected remote I / O or the control system notifies the stem cell and the remote I / O connected to the control system in which the abnormality has been detected, and the control means of the notified stem cell uses a reproducing means. It is the same as the control means of the abnormal control system, wherein the input / output means of the remote I / O which has received the notification stops the connection with the abnormal control system and connects with the notified stem cell. It is an automatic restoration distributed control system.
Further, the remote I / O and the control system have a memory storing a signal pattern from the control system, and the abnormality detection means of the control system and the remote I / O transmits the control signal to the controller. An abnormality of the control system may be detected by comparing the signal pattern with a signal pattern stored in the memory.
The stem cell further has a memory storing information of all control systems, and the reproducing means of the stem cells obtains, from the memory, information of the control system in which an abnormality is detected by the abnormality detecting means. However, the control means may have the same function as the control means of the abnormality control system.
The control system further includes a memory storing information of at least one control system other than the self, and the memory of the control system stores information of all control systems as a whole, Wherein the reproducing means obtains, from the memory of the control system, information of the control system in which the abnormality is detected by the abnormality detecting means, and has its own control means having the same function as the control means of the abnormality control system. May be characterized. At this time, the reproducing means of the control system further transmits, to at least one control system other than its own, information to be used as its own control means to another control system, and receives the information of the received control system. The reproducing means may store the information in a memory storing information of the control system. Further, the reproduction means of the control system may periodically transmit information to be used as its own control means to another control system.
[0006]
BEST MODE FOR CARRYING OUT THE INVENTION
The present invention has the following features in order to solve the above-described problems of the related art. First, in an engineering system in which the whole function is realized by a combination of multiple control systems, when a certain control system fails, it is seen in the process of regenerating organisms to reproduce the function of the failed control system. What is equivalent to "stem cells" is introduced as a reserve for the control system. In other words, one or more “electrical circuit boards (boards) having stem cell properties” (hereinafter referred to as “stem cell components”), which usually do not have any specific characteristics (functions), are added to the system in advance through a network. If the respective control systems fail, a mechanism for automatically changing the stem cell component to the failed control system (hereinafter referred to as “regeneration”) is constructed. Thereby, the function of the whole system can be maintained.
Hereinafter, an embodiment of the automatic restoration distributed control system of the present invention will be described in detail with reference to the drawings.
[0007]
<System configuration>
First, the system configuration of the present embodiment will be described. In the system of this embodiment, all control targets are controlled by each control system via a network and a remote I / O (hereinafter, also simply referred to as “I / O”). The control systems (including the stem cell component) are also connected to each other via a network such as Ethernet (registered trademark).
FIG. 1 shows an example of a network connection mode. FIG. 1 shows an example of the connection mode, and other various cases are conceivable. Other examples will be described later.
[0008]
In FIG. 1, a control target 1 131 to a control target 4 134 respectively include a control system 1 111 to a control system 4 via an I / O (remote I / O) 1 121 to an I / O (remote I / O) 4 124. 114 is connected. Thereby, each control target can be controlled from each control system.
Here, the connection between each I / O and each control system is shown as a connection between the black circle 150 on the I / O side and the black circle 150 on the control system side. A black circle 150 on the I / O side is a “control unit for exchanging signals between a control system and a control target” which is one of components in the I / O (shown by an input / output control unit 310 in FIG. 3). ) Means connection. Further, a black circle 150 on the control system side is from a “circuit unit for exchanging signals with the target I / O” (shown by an input / output circuit unit 260 in FIG. 2) which is one of the components in the control system. Means connection.
Similarly to the control system, the black circle 150 shown in each stem cell component is one of the components in the stem cell component, “a circuit section that exchanges signals with the target I / O” (shown by 260 in FIG. 2). Connection. As shown in FIG. 1, the black circle 150 on the stem cell component side and each control system are connected via a network. Thereby, for example, when the control system fails and the stem cell component functions as a substitute for the control system, signals can be exchanged with the target I / O.
[0009]
On the other hand, in FIG. 1, the control system 1 111 to the control system 4 114 and the stem cell component 1 141 to the stem cell component 2 142 are network-connected to each other between the white circles 160. The open circle 160 indicates a connection from a “control unit for realizing reproduction” (indicated by a reproduction control unit 240 in FIG. 2), which is one of components in the control system and the stem cell component. . Thus, for example, when the stem cell component functions as a substitute for the failed control system, signals can be exchanged with the target I / O. In FIG. 1, the control system 1 111 to the control system 4 114, the stem cell 1 141, and the stem cell 2 142 are shown by a double network connection. However, in this embodiment, the network connection may be a single or more network connection. As the number of network connections increases, the system can be more resistant to failure such as disconnection of the network.
[0010]
As described above, the internal components of the control system, stem cell components, and remote I / O are shown in FIGS. Next, each internal component will be described with reference to these drawings.
[0011]
<Internal configuration of control system, stem cell component and remote I / O>
The control system and stem cell components consist of internal components as shown in FIG. Note that the components shown in FIG. 2 are merely examples, and other variations are also possible.
Inside each control system (including the stem cell component) 200, the functional circuit unit 210 is configured by an FPGA and is a circuit for controlling a control target. The circuit definition memory unit 220 stores information for defining the FPGA circuit of the function circuit unit 210. In the present embodiment, it is outside the functional circuit unit 210, but may be inside the functional circuit unit 210. The circuit control unit 230 is a control unit for selecting a definition circuit from the circuit definition memory unit 220 and rewriting the FPGA circuit of the function circuit unit 210.
The reproduction control section 240 includes an abnormal signal detection section. The abnormal signal detection unit detects an abnormality of at least one control system by comparing the abnormality with an abnormal signal pattern stored in the abnormal signal pattern detection memory unit 270. Then, when the remote I / O unit or the like detects an abnormality, “reproduction” is realized.
The reproduction control unit 240 exchanges signals with other control systems, stem cell components, and remote I / O, as described above with reference to FIG.
Further, as described later, each control system (including the stem cell component) transmits circuit definition information and data of a control system other than itself to the circuit definition memory unit 220 and the data storage memory unit 250 in order to realize “reproduction”. Holding. The reproduction control unit 240 has information indicating which control system holds its circuit definition information and data.
The reproduction control unit 240 can be configured using an FPGA, a microprocessor, or the like, like the functional circuit unit 210. If the abnormality signal detector detects an abnormality in a plurality of control systems, the probability of detecting an abnormality increases even if any one of the control systems fails.
[0012]
The data storage memory unit 250 stores data necessary for realizing the functions of the FPGA of the functional circuit unit 210.
The input / output circuit unit 260 exchanges input / output signals with the target remote I / O based on the result of the target control executed by the FPGA of the functional circuit unit 210.
The abnormal signal pattern detection memory unit 270 stores a detection pattern for detecting an abnormal signal.
In the present embodiment, “abnormality of the control system” includes all cases where any one of these functions in the control system becomes abnormal. In other words, if there is any abnormality in any part of the control circuit board, which is a functional unit, the abnormality is detected and processed as a control function abnormality.
Note that a large-capacity storage medium such as a hard disk may be used for the circuit definition memory unit 220, the data storage memory unit 250, and the abnormal signal pattern detection memory unit 270.
[0013]
On the other hand, the remote I / O includes internal components as shown in FIG.
Inside the remote I / O 300, the input / output control unit 310 exchanges signals between the control system and the control target. The input / output control unit 310 communicates with each control system and control target. The abnormality detection unit 320 detects an abnormality signal from at least a control system that controls a control target via the remote I / O. Of course, an abnormal signal of another control system may be detected. The abnormal signal pattern detection memory unit 330 stores an abnormal signal pattern, and the abnormal detection unit 320 detects an abnormality of a signal from the control system using the stored abnormal signal pattern.
The specific role of these components in the system of the present embodiment will be described later in detail.
[0014]
In the system of the present embodiment, each control system, stem cell component, and remote I / O always transmit packets to each other using the above-described network. As a result, it is possible to constantly monitor each other's state.
This constant monitor is configured so that any one (including a plurality) of other control systems, stem cell components, and remote I / Os can detect an abnormality of a certain control system. Further, an abnormality of an output signal for controlling each control system by each control system can be detected even when there is no output. That is, even if any of the functions performed by each control system becomes abnormal, the abnormality is detected.
[0015]
The stem cell component obtains information on the abnormality detected in this manner, gives the information to the remote I / O corresponding to the control system in which the abnormality is detected, and sends the information to the remote I / O from the abnormality control system. Of the control system to realize the same control function as that of the failure control system by using the FPGA as described later. Perform "reproduction" to control.
The following (method 1) to (method 4) show a method of constructing a control circuit for performing "regeneration" by the stem cell component.
[0016]
<How to build a control circuit>
(Method 1)
As the simplest method, the circuit definition memory unit 220 of the stem cell component holds circuit definition information for constructing all the control circuits of each control system, and information on which control system is abnormal is obtained. Thereafter, a method of constructing a necessary control circuit based on the circuit definition information is described.
However, depending on the type of the function of the control system, it may be necessary to store changing data in the data storage memory unit 250 for a short period or a long period in order to realize the function. In some cases, it is necessary to change the circuit pattern of the FPGA depending on the input data. In such a case, each control system holds data required by the control system in the data storage memory unit 250 or the circuit definition memory unit 220. The simplest method for enabling the stem cell component to be changed to any control system is to hold all of the data of each control system in the data storage memory unit 250 and the circuit definition memory unit 220 of the stem cell component. That is.
However, for example, when the circuit definition memory unit 220 of the stem cell component is a large-capacity storage medium such as a hard disk, it is possible to hold all data in the stem cell component. In some cases, memory is required, which is difficult in practice.
Assuming such a case, the following methods (method 2) to (method 4) can be employed.
[0017]
(Method 2)
The control system n always transfers the contents of the data storage memory unit 250 of the control system (control system n) of the number n to the control system n + 1, and also stores the contents in the data storage memory unit 250 of the control system n + 1. At the same time, the contents of the data storage memory unit 250 of all control systems as a whole system are stored in any control system other than the self. In the control system n, if the circuit pattern of the FPGA is rewritten, the circuit pattern information is always transferred to the control system n + 1, and the circuit pattern definition information is transferred to the circuit definition memory unit 220 of the control system n + 1. (Or data storage memory unit 250). This transfer is realized by the reproduction control unit 240 of each control system.
As a result, unless the control system n and the control system n + 1 fail simultaneously at the same time, if the control system n becomes abnormal, the stem cell component refers to the memory of the control system n + 1 to have the function of the control system n. And the function can be restored.
Of course, in order to realize this, roughly speaking, each control system requires twice the amount of memory (M) of the control system that requires the maximum amount of memory, which is necessary for the entire system. The maximum memory capacity is 2M × N (N is the number of control systems). However, as in the above (method 1), an M × N memory is temporarily mounted on the stem cell component, and the amount of memory can be reduced compared to preparing a plurality of stem cell components in advance.
[0018]
(Method 3)
In the above (method 2), the reproduction control unit 240 always transfers the memory content of the control system n to the control system n + 1 and the control system n-1, and the data storage memory unit 250 of all the control systems as a whole system. If any two control systems other than the self control system have the same contents at the same time, even if two adjacent control systems fail, recovery is possible, and the reliability of the entire system is improved. Further increase. However, the memory required for the control system requires a maximum of 3M × N for the entire system. In addition, by further increasing the number of control systems at all times, the reliability of the entire system can be further increased. Here, rules such as the number of control systems at the transfer destination and the control system to which the system is to be transferred may be determined according to the system.
[0019]
(Method 4)
In order to save the memory of the entire system, the reproduction control unit 240 of each control system has a function of monitoring the amount of the vacant data storage memory unit 250 of the other control system. As a result, a control system that needs to transfer a large amount of data can select a control system with a sufficient memory to transfer the contents of the memory. If necessary, the transfer destination is dynamically determined according to the available memory space of each transfer destination control system, such as dividing the data and transferring it to the memories of multiple control systems. Is also possible. Also in this method, similarly to the above (method 1) to (method 3), the contents of the data storage memory unit 250 of all the control systems as a whole system are assigned to any control system other than the self.
In this method, each control system is not restricted by the rule of number as described in n above, and each control system has a data for reconstructing a self-control system with respect to another (single or plural) control systems. To transfer. In addition, each control system and stem cell component uses the reproduction control unit 240 to know which control system has data of which other control system.
By utilizing such dynamic memory allocation, for example, when only two specific control systems require a large amount of memory (M) and other control systems do not require much memory, for example, In (method 1), the stem cell component and any two other control systems (including other stem cell components among a plurality) may have M amount of memory (or if the above data division is performed, Any other two control systems forming the group for transferring the divided data need only have a total memory amount of M in each group.) It is possible to further reduce.
[0020]
In this way, each control system transfers information for forming its own control system to another (single or plural) control system and holds it. At this time, as described above, information (single or plural) of all the control systems in the entire system is held in any control system other than the own. In the above-mentioned (method 2) to (method 4), it is necessary for each control system to know which control system the self holds, and as described above, the reproduction of each control system is performed. The control unit 240 knows this.
When a certain control system malfunctions or is destroyed, the stem cell component refers to the stored information and changes (regenerates) to a component having the function of the control system. To recover.
[0021]
Hereinafter, a method in which the control system controls the control target, a method of detecting an abnormality in the control system, and a flow of system recovery when an abnormality occurs in the system of the present embodiment will be specifically described using the system configuration shown in FIG. 1 as an example.
[0022]
<Specific example of control method>
First, a specific example of a control method will be described with reference to FIG. 1 as an example of a process in which the control system 2 112 controls the control target 2 132 through the I / O 2 122.
In the present embodiment, it is assumed that data (signal) is exchanged by packets using, for example, a technique using Fast Ethernet and UDP / IP. The technology using the Fast Ethernet and the UDP / IP is a conventional technology. For example, Yasutaka Fujimoto and Takashi Sekiguchi "Fault-tolerant control by distributed programmable controllers" (Proceedings of the 2001 IEEJ Electronics, Information and Systems Conference) It is shown in I).
(1) The input / output circuit unit 260 of the control system 2 112 broadcasts all destinations (the reproduction control unit 240 and the input / output circuit unit 260 of each control system including stem cells, and the input / output control unit of each remote I / O). 310), and sends the packet via the network.
(2) The I / O 2 122 selects only the packet of the control system 2 112 as the transmission source, and passes the data to the control target 2 132. At this time, the abnormality detection unit 320 of the I / O2 122 detects an abnormality as to whether the data (signal) from the control system 2 112 is within the allowable range of the signal pattern. If an abnormality is detected, the I / O2 122 broadcasts all the destinations (the reproduction control unit 240 and the input / output circuit unit 260 of each control system including the stem cells, and the input / output control unit of each remote I / O). The packet is sent to 310), and abnormal information of the control system 2112 is transmitted.
[0023]
(3) The control target 2 132 returns information (signal) for feedback to the I / O 2 122 as necessary. Here, regarding the operation of the I / O2 122, the following two cases (a) and (b) are considered.
(A) The I / O2 122 sends a signal from the control target 2 132 as a packet to the input / output circuit 260 of the control system 2 112.
(B) The I / O2 122 broadcasts all the destinations (the reproduction control unit 240 and the input / output circuit unit 260 of each control system and the input / output control unit 310 of each remote I / O) to the control target 2 The signal from 132 is sent in a packet. The input / output circuit unit 260 of the control system 2 112 selects a packet whose transmission source is I / O2 122.
Note that by executing the above (b), it is possible to recognize the abnormality of the I / O2 122 and the control target 2 132 from a unit other than the control system 2112. Is better. Therefore, which of (a) and (b) should be adopted may be determined by the system.
(4) The signal passed to the input / output circuit unit 260 of the control system 2 112 is processed by the functional circuit unit 210 of the control system 2 112.
(5) The signal processed by the functional circuit unit 210 of the control system 2 112 is passed to the input / output circuit unit 260 of the control system 2 112.
[0024]
By repeating the above (1) to (5), the control system 2 112 exchanges data with the control target 2 132 by packet through the I / O 2 122, and controls the control target 2 132.
In addition, the functional circuit unit 210 of the control system 2 112 receives various kinds of input information (for example, time control, manual control, and other control signals from other control objects as necessary) in addition to the feedback signal from the I / O 2 122 described above. Information, etc.), and passes a signal to the input / output circuit 260 of the control system 2112.
In addition, when there is no problem in the execution operation of the control system, the functions of the input / output circuit unit 260 and the reproduction control unit 240 of each control system (including the stem cell component) can be provided in one component.
[0025]
<Specific example of abnormality detection method>
In the present embodiment, in addition to the above-described abnormality detection by the remote I / O, the following abnormality detection method is employed.
[0026]
(1) In the case of a system in which all control systems are constantly operating
In this case, as described above, the input / output circuit unit 260 of each control system broadcasts all destinations (the reproduction control unit 240 and the input / output circuit unit 260 of each control system and stem cell component, and the remote I / O of each remote I / O). The packet is sent to the input / output control unit 310), whereby the reproduction control unit 240 of each control system also recognizes the source and the signal content of the signal from other than the control target. The reproduction control unit 240 of each control system recognizes an abnormality of the signal (a signal is interrupted or an abnormality is found in a signal pattern) with respect to a signal from all control systems or a signal from one or more specific control systems. ) Is provided.
Note that an abnormal signal pattern detection memory unit 270 is provided to identify an abnormal signal pattern. The abnormal signal pattern detecting memory unit 270 is an abnormal signal pattern detecting memory (memory for determining what kind of signal pattern is regarded as abnormal) corresponding to each control system. At this time, an abnormality of each control system is detected by any of the other control system (single or plural) and the stem cell component (single or plural). Further, if necessary, the detection can be performed by remote I / O (single or plural) other than the remote I / O connected to the control target controlled by each control system described above. Thus, it is possible to detect an abnormality in each control system other than the control system.
[0027]
In this way, at least one or more of the above-described control systems, stem cell components, or remote I / Os other than the control system detect an abnormality in each control system as a whole system. How many of them can detect an abnormality in each control system can be determined for each control system or system. The larger the number, the more resistant the system to failure.
The abnormal signal pattern detection memory unit 270 can be replaced with the circuit definition memory unit 220 and the data storage memory unit 250.
[0028]
(2) For a system that does not require constant operation of all control systems
In this case, even if the control signal from each control system is not generated for a long time, it may not be abnormal. In such a system, the reproduction control unit 240 of each control system broadcasts all destinations (the reproduction control unit 240 and the input / output circuit unit 260 of each control system and stem cell component, and the input / output of each remote I / O). A signal for confirming normal operation is transmitted to the control unit 310) at regular time intervals. This packet includes only a signal for causing another control system to recognize that the control system can function normally, and does not have information for actual control. The time interval depends on the control target required by the system, the control operation time, and the like, and is set by the system on a case-by-case basis.
As in the case of (1) above, the reproduction control unit 240 of each control system supplies the signal abnormality from the signal from all the control systems or a signal from a specific (single or plural) control system. An abnormal signal detecting unit for recognizing that the signal pattern is interrupted or that the signal pattern is abnormal) is provided. The abnormal signal pattern detecting memory unit 270 is also the same as the above (1).
[0029]
Note that there are the following two methods (a) and (b) for transmitting a packet signal indicating that the control system can function normally. These methods are also set on a case-by-case basis by the system.
(A) A method of indicating that the function of the reproduction control unit 240 is normal by simply sending a signal packet periodically by the reproduction control unit 240
(B) The reproduction control unit 240 periodically gives a test signal to the functional circuit unit 210, performs an execution operation test of the functional circuit unit 210 of the control system, and confirms that the functional circuit unit 210 is normal. To send a normal signal packet after confirming
[0030]
<Specific example of system recovery flow when a failure occurs>
Next, a specific flow up to system recovery (regeneration) when an abnormality or failure occurs in a certain control system in the system will be described. Here, a case where the control system 2 112 fails in FIG. 1 will be described as an example.
(1) When an abnormality occurs in the control system 2 112, the abnormality is detected by the above-described abnormality detection method by the I / O (remote I / O) 2 122 and one or more other control systems (stem cell components 1 and 2). ) Or, if necessary, by one or more remote I / Os other than the I / O 2122. This abnormality information is transmitted to the stem cell components 1 and 2 (or all control systems including them).
In the present embodiment, as described above, the abnormality of each control system is determined by determining whether each of the other control systems, one of the stem cell components (one or more), and one of the remote I / Os (one or more). Since the detection can be performed, the abnormality can be transmitted to the stem cell component even if an abnormality occurs in any control system. Further, even when the abnormality detection by the I / O2 122 fails, the I / O2 122 is controlled by the control system 2 based on such other control system and abnormality detection information by another I / O.
112 can be recognized.
[0031]
(2) Here, for example, a rule is given in advance that the address of the stem cell component participates in the “reproduction” in ascending order (lower values). In this case, the stem cell component 1 first participates in “regeneration” and changes to the control system 2112.
It should be noted that each stem cell component knows in advance which stem cell component has the lower address before participating in “reproduction” by transmitting and receiving packet signals between the reproduction control units 240 of the respective stem cell components.
(3) As described above, in the present embodiment, the circuit definition information and data of the control system 2112 may be held by the stem cell component 1 in some cases, but (b) other (single or plural) ) May be stored in the memory of the control system.
In the case of (a) above, when the stem cell component 1 holds the circuit definition information and data of the control system 2112 in the circuit definition memory unit 220 and the data storage memory unit 250, the reproduction control unit 240 Know that the information is held. Then, when an abnormality occurs in the control system 2112, the stem cell component 1 forms the functional circuit unit 210 by the circuit control unit 230 using the information.
[0032]
When the other (single or plural) control systems of (b) hold the circuit definition information and the data of the control system 2112, the reproduction control of each control system holding those information is performed. The unit 240 also has information indicating that “the circuit definition information or the data of the control system 2112 is held in the own circuit definition memory unit 220 or the data storage memory unit 250”. The memory for this purpose is provided independently by the reproduction control unit 240, but may be replaced by the circuit definition memory unit 220, the data storage memory unit 250, or the abnormal signal pattern detection memory unit 270.
Then, when an abnormality occurs in the control system 2 112, the reproduction control unit 240 of the stem cell component 1 accesses the reproduction control unit 240 of each control system, and the circuit definition information and data of the control system 2 112 are held. The reproduction control unit 240 of the stem cell component 1 knows which control system has the circuit definition information and data of the control system 2112 in advance, as described later. ), Refer to the circuit definition memory unit 220 and the data storage memory unit 250 of those control systems through the reproduction control unit 240 of the corresponding other control system, and (or read the circuit definition memory unit 220 and data of the stem cell component 1). The contents are copied in advance to the storage memory unit 250 and then used by the circuit control unit 230. Carried out of the formation.
[0033]
In order to realize the above-mentioned “reproduction”, the reproduction control unit 240 of each stem cell component and each control system reads “which circuit definition information or control definition of any control system in its own circuit definition memory unit 220 or data storage memory unit 250. Is data information held? " Regarding “which control system has circuit definition information or information on data”, the reproduction control unit 240 of each stem cell component and each control system determines all of the other stem cell components (or each control system, including that). The packet may be transmitted to the reproduction control unit 240 periodically or whenever there is a change in which control system has the circuit definition information or the information on the data.
Accordingly, all the reproduction control units 240 of the respective stem cell components (or the respective control systems, including the respective control systems) always determine in advance from which stem cell component or the control system the information necessary for reproducing the respective control systems should be read. It becomes possible to grasp.
[0034]
(4) As described above, the functional circuit unit 210 similar to the control system 2 112 and the stem cell component 1 that has obtained the data are broadcast to all destinations (the reproduction control unit 240 and the input / output circuit unit 260 of each control system, and The packet is sent to the input / output control unit 310) of each remote I / O. As described above, this packet is used not only for giving a signal to the I / O2 122 but also for detecting an abnormal signal by another control system or the like.
[0035]
(5) On the other hand, after obtaining information that the control system 2 112 has become abnormal, the I / O 2 122 sends the address of the transmission source of the input signal to be handled from the original control system 2 112 to the stem cell component 1. And the destination for transmitting the signal from the control target 2 132 as a packet is changed to the input / output circuit 260 of the stem cell component 1 (see (3) (a) of the above <Specific Example of Control Method>). Method). Alternatively, a packet is sent to all destinations (the reproduction control unit 240 and the input / output circuit unit 260 of each control system, and the input / output control unit 310 of each remote I / O) (the above-described <specific example of control method>). (3) When the method of (b) is used).
(6) Also, after obtaining the information that the control system 2 112 has become abnormal, the stem cell component 1 determines the source address of the input signal packet to be handled by the input / output circuit unit 260 from the I / O2 122. Set things.
As described above (1) to (6), the system is regenerated by completely replacing the failed control system 2112 with the stem cell component 1.
[0036]
<Example of network connection style>
As described above, various forms of the network configuration of the system according to the present embodiment can be considered in addition to the configuration illustrated in FIG. Further, the numbers of control systems, stem cell components, remote I / Os, and the like are not limited to those in FIG.
Hereinafter, other examples of the network connection mode will be introduced with reference to FIGS. Note that the connection modes listed here are also examples, and other modes are also conceivable.
[0037]
4 to 6, as in FIG. 1, four control systems are connected to four control targets via remote I / O, and the number of stem cell components is two. However, the network configuration is strengthened as compared with FIG. 1, and the system can be restored (reproduced) even when there is a plurality of troubles or breaks in the network line itself. That is, it is possible to improve the reliability with respect to the failure of the network connection. For example, in the case of the network configuration shown in FIG. 4, the system can be restored even when the network between each control system and each control target is disconnected as compared with FIG.
FIG. 7 shows an example in which the network configuration is the same as that in FIG. 1, but the number of control systems and control objects constituting the network is different. In the network of FIG. 7, the number of control systems is five from control system 1 111 to control system 5 115. Further, the control system 4114 controls the controlled object 4a 134a via the I / O 4a 124a and the controlled object 4b 134b via the I / O 4b 124b. Thus, in the present embodiment, the number of control systems, remote I / Os, and control targets is not particularly limited. Also, the number of stem cell components is not limited, but the larger the number, the more robust the system can be against failure.
The actual network configuration to be adopted, or the number of control systems, stem cell components, remote I / Os, and the like can be determined for each individual system according to the purpose and necessity of the system, balance with cost, and the like.
In the above description, the case where an FPGA is used as the functional circuit unit of the control system has been described. However, the functional circuit unit may be configured by a processor and a program. In this case, a program is used as information constituting the functional circuit unit.
[0038]
【The invention's effect】
According to the present invention, in a system in which the entire function is realized by a combination of a large number of control systems, when each of the individual control systems fails or is destroyed, a system in which the failure control system automatically self-heals is provided. In addition to the whole. In particular, self-healing is enabled even if a malfunction occurs in any control system in the system.
As a result, it is possible to avoid a situation in which the self-repair is impossible if the functional part is broken down or destroyed in the entire control system, thereby improving the reliability of the system.
Further, the basic principle proposed in the present invention can be utilized in many practical control systems. For example, control of various plants, control of process systems such as factories, etc., are expected to develop in the future. It can also be used in the field of network home appliances. As an example of application in the field of network home appliances, it is possible to add a function of automatically and automatically recovering automatically when a control base of a specific home appliance out of home appliances connected via a network breaks down.
Further, the method of the present invention is effective not only when a control system failure is assumed, but also as a system automatic recovery method when an artificial system is destroyed. Specifically, when a part of a large-scale system is destroyed due to terrorism or the like, the method of the present invention enables automatic recovery.
[Brief description of the drawings]
FIG. 1 is an example of a system configuration according to an embodiment.
FIG. 2 is an example of internal components of a control system and a stem cell component.
FIG. 3 is an example of internal components of a remote I / O.
FIG. 4 is an example of a network connection mode according to the embodiment.
FIG. 5 is an example of a network connection mode according to the embodiment;
FIG. 6 is an example of a network connection mode according to the embodiment;
FIG. 7 is an example of a network connection mode according to the embodiment;

Claims (6)

ネットワークで互いに接続している、予備の制御系として動作する少なくとも1つの幹細胞を含む複数の制御系と、該各制御系が制御している制御対象と制御系との間を接続するリモートI/Oとで構成した自動修復分散制御システムであって、
前記リモートI/Oは、前記制御系のいずれとも接続でき、前記制御系と制御対象との間で、制御系からの制御信号および制御対象からのフィードバック伝達を行なう入出力手段と、少なくとも該リモートI/Oを介して制御対象を制御している制御系の異常を検知する異常検知手段を有し、
前記制御系は、前記リモートI/Oを介して前記制御対象を制御する制御手段と、少なくとも1つの前記制御系の異常を検知する異常検知手段と、該制御手段を変化させる再生手段とを有し、
前記制御系の異常は、全体としてリモートI/O又は制御系のいずれかで検出され、前記リモートI/O又は前記制御系で前記制御系の異常を検知した場合、検知した前記リモートI/O又は前記制御系は、前記幹細胞および異常が検知された制御系と接続しているリモートI/Oに通知し、通知を受けた幹細胞の制御手段は、再生手段により該異常制御系の制御手段と同様になり、通知を受けたリモートI/Oの入出力手段は該異常制御系との接続を停止して、通知を受けた幹細胞と接続することを特徴とする自動修復分散制御システム。A plurality of control systems including at least one stem cell operating as a spare control system connected to each other by a network, and a remote I / O connecting a control target controlled by each control system and the control system; An automatic restoration distributed control system comprising:
The remote I / O can be connected to any of the control systems, and has input / output means for transmitting a control signal from the control system and a feedback transmission from the control object between the control system and the control object; An abnormality detecting means for detecting an abnormality of a control system controlling the control object via the I / O,
The control system includes a control unit that controls the control target via the remote I / O, an abnormality detection unit that detects an abnormality of at least one of the control systems, and a reproduction unit that changes the control unit. And
The abnormality of the control system is detected by either the remote I / O or the control system as a whole, and when the remote I / O or the control system detects the abnormality of the control system, the detected remote I / O is detected. Alternatively, the control system notifies the remote I / O connected to the stem cell and the control system in which the abnormality has been detected, and the control means of the notified stem cell uses the control means of the abnormality control system by a reproducing means. Similarly, the input / output means of the remote I / O that has received the notification stops the connection with the abnormal control system, and connects to the notified stem cell, thereby providing an automatic restoration distributed control system. 請求項1に記載の自動修復分散制御システムにおいて、
前記リモートI/O及び前記制御系は、前記制御系からの信号パターンを格納したメモリを有しており、
前記制御系及び前記リモートI/Oの前記異常検知手段は、前記制御信号を前記メモリに格納している信号パターンと照合することにより、前記制御系の異常を検知する
ことを特徴とする自動修復分散制御システム。The automatic restoration distributed control system according to claim 1,
The remote I / O and the control system have a memory storing a signal pattern from the control system,
The abnormality detection means of the control system and the remote I / O detects an abnormality of the control system by comparing the control signal with a signal pattern stored in the memory. Distributed control system. 請求項1又は2に記載の自動修復分散制御システムにおいて、
前記幹細胞は、さらに、全ての制御系の情報を格納したメモリを有しており、
前記幹細胞の前記再生手段は、前記異常検知手段により異常が検知された制御系の情報を、前記メモリから取得し、自身の制御手段を該異常制御系の制御手段と同様の機能とする
ことを特徴とする自動修復分散制御システム。In the automatic restoration distributed control system according to claim 1 or 2,
The stem cells further have a memory storing information of all control systems,
The regenerating means of the stem cell acquires information of a control system in which an abnormality is detected by the abnormality detecting means from the memory, and has its own control means having the same function as the control means of the abnormality control system. Automatic restoration decentralized control system characterized. 請求項1又は2に記載の自動修復分散制御システムにおいて、
前記制御系は、さらに、自己以外の少なくとも1つの制御系の情報を格納したメモリを有しており、
前記制御系のメモリは、全体として全ての制御系の情報を格納しており、
前記幹細胞の前記再生手段は、前記異常検知手段により異常が検知された制御系の情報を、前記制御系のメモリから取得し、自身の制御手段を該異常制御系の制御手段と同様の機能とする
ことを特徴とする自動修復分散制御システム。In the automatic restoration distributed control system according to claim 1 or 2,
The control system further includes a memory storing information of at least one control system other than the control system,
The memory of the control system stores information of all control systems as a whole,
The regenerating means of the stem cell acquires information of a control system in which an abnormality is detected by the abnormality detecting means from a memory of the control system, and has its own control means having the same function as the control means of the abnormal control system. An automatic restoration distributed control system characterized in that: 請求項4に記載の自動修復分散制御システムにおいて、
前記制御系の前記再生手段は、さらに、自己以外の少なくとも1つの制御系に対して、自己の制御手段とする情報を他の制御系に対して送信し、
受信した制御系の前記再生手段は、該情報を前記制御系の情報を格納したメモリに格納する
ことを特徴とする自動修復分散制御システム。The automatic restoration distributed control system according to claim 4,
The reproducing means of the control system further transmits, to at least one control system other than the self, information to be used as the self control means to another control system,
The automatic restoration / distribution control system according to claim 1, wherein the reproduction means of the control system receives the information and stores the information in a memory storing the information of the control system. 請求項5に記載の自動修復分散制御システムにおいて、
前記制御系の前記再生手段は、自己の制御手段とする情報を他の制御系に対して、定期的に送信する
ことを特徴とする自動修復分散制御システム。The automatic restoration distributed control system according to claim 5,
The automatic restoration decentralized control system, wherein the reproduction means of the control system periodically transmits information to be used as its own control means to another control system.
JP2003135013A 2003-05-13 2003-05-13 Automatic restoration distributed control system Expired - Fee Related JP4138573B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003135013A JP4138573B2 (en) 2003-05-13 2003-05-13 Automatic restoration distributed control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003135013A JP4138573B2 (en) 2003-05-13 2003-05-13 Automatic restoration distributed control system

Publications (2)

Publication Number Publication Date
JP2004341645A true JP2004341645A (en) 2004-12-02
JP4138573B2 JP4138573B2 (en) 2008-08-27

Family

ID=33525414

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003135013A Expired - Fee Related JP4138573B2 (en) 2003-05-13 2003-05-13 Automatic restoration distributed control system

Country Status (1)

Country Link
JP (1) JP4138573B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014003364A (en) * 2012-06-15 2014-01-09 Toshiba Corp Communication device and communication method
CN110139923A (en) * 2016-12-29 2019-08-16 通用电气公司 The fault recovery of biological reactor for cell culture

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014003364A (en) * 2012-06-15 2014-01-09 Toshiba Corp Communication device and communication method
CN110139923A (en) * 2016-12-29 2019-08-16 通用电气公司 The fault recovery of biological reactor for cell culture
US11525112B2 (en) 2016-12-29 2022-12-13 Global Life Sciences Solutions Usa Llc Failure recovery in cell culture bioreactors

Also Published As

Publication number Publication date
JP4138573B2 (en) 2008-08-27

Similar Documents

Publication Publication Date Title
JP4437984B2 (en) Network relay device and control method thereof
CN105607590B (en) Method and apparatus to provide redundancy in a process control system
US7284067B2 (en) Method for integrated load balancing among peer servers
CN101588304B (en) Implementation method of VRRP and device
CN102355369B (en) Virtual clustered system as well as processing method and processing device thereof
US11575769B2 (en) Redundancy in a network centric process control system
US9218230B2 (en) Method for transmitting messages in a redundantly operable industrial communication network and communication device for the redundantly operable industrial communication network
CN102394787A (en) Dual-link redundancy control method based on EPA switch
CN109104348B (en) Train network data transmission method, system and device based on CANopen protocol
JP2004062535A (en) Method of dealing with failure for multiprocessor system, multiprocessor system and node
JP2010541413A (en) Network conflict prevention apparatus and network conflict prevention method
JP2005209190A (en) Reporting of multi-state status for high-availability cluster node
TW201517568A (en) Server operation system and operation method thereof
JP2006014310A (en) Method and apparatus for providing redundant connection services
CN101371524B (en) Packet ring network system, packet transfer system, redundancy node, and packet transfer program
CN112601216B (en) Zigbee-based trusted platform alarm method and system
CN105790825A (en) Method and apparatus for carrying out hot backup on controllers in distributed protection
CN102244589B (en) Method and opposite terminal apparatus for processing link fault in virtual switch unit system
CN102932249B (en) A kind of transmission method of VRRP message and device
JP2012138888A (en) Information processing device and information processing method
EP2069934A2 (en) Fault-tolerant medium access control (mac) address assignment in network elements
KR101574900B1 (en) Control system for steel plant
CN104125079A (en) Method and device for determining double-device hot-backup configuration information
JP4138573B2 (en) Automatic restoration distributed control system
CN103888310A (en) Monitor processing method and system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050121

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070525

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070626

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070823

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071211

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080208

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080603

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080605

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110613

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees