JP2007257447A - Duplication temporary operation method and duplication system for device - Google Patents
Duplication temporary operation method and duplication system for device Download PDFInfo
- Publication number
- JP2007257447A JP2007257447A JP2006082804A JP2006082804A JP2007257447A JP 2007257447 A JP2007257447 A JP 2007257447A JP 2006082804 A JP2006082804 A JP 2006082804A JP 2006082804 A JP2006082804 A JP 2006082804A JP 2007257447 A JP2007257447 A JP 2007257447A
- Authority
- JP
- Japan
- Prior art keywords
- new
- cpu
- control unit
- version
- software
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Hardware Redundancy (AREA)
- Stored Programmes (AREA)
Abstract
Description
本発明は装置の二重化仮運用方法及び二重化システムに関し、更に詳しくはMetro−IPと呼ばれるIPネットワークを構成するIPを収容する装置における装置の二重化仮運用方法及び二重化システムに関する。本発明は、装置内を監視するCPUが搭載された監視制御部が二重化された構成でシステムをダウンさせることなく二重化運用が可能な装置に関するものである。 The present invention relates to a duplex temporary operation method and a duplex system for a device, and more particularly to a duplex temporary operation method and a duplex system for a device that accommodates an IP that constitutes an IP network called Metro-IP. The present invention relates to a device capable of duplex operation without downing the system in a configuration in which a monitoring control unit equipped with a CPU for monitoring the inside of the device is duplexed.
現在の二重化システムにおいては、二重化運用可能な装置であっても、ソフトウェアダウンロード中は、アクト監視制御部は、新ファームウェア(Firmware)による一重化構成で運用し、スタンバイ監視制御部は、旧ファームウェアによる一重化構成でいつでも動作可能な状態で待機している。アクト監視制御部(新ファームウェア)で障害を検出した場合、新ファームウェアによる運用を解除し、スタンバイ監視制御部をアクトに切り替え、旧ファームウェアによる一重化構成で運用を行なうようになっている。 In the current duplex system, even if it is a device that can be duplexed, during software download, the act monitoring control unit operates in a single configuration with new firmware (Firmware), and the standby monitoring control unit uses the old firmware. It is waiting in a state where it can operate anytime in a single configuration. When a failure is detected by the act monitoring control unit (new firmware), the operation using the new firmware is canceled, the standby monitoring control unit is switched to the act, and the operation is performed in a single configuration using the old firmware.
従来のこの種のシステムとしては、二重化されたプログラムメモリを有する二重化マイクロプロセッサシステムにおいて、これら二重化マイクロプロセッサシステムは、それぞれが現用系又は予備系として動作し、状況に応じてプログラムメモリの現用/予備切り替えを行なう技術が知られている(例えば特許文献1参照)。また、ネットワーク通信処理は現用系にのみ実行させるが、待機系を常時稼働できるように起動させておき、現用系と予備系とリアルタイムに系間通信を行ない、現用系と同期をとって待機系の網内設定を更新し、現用系と予備系とが切り替わる場合に、ネットワーク通信を途絶えることなく継続させる技術が知られている(例えば特許文献2参照)。
前述した従来の技術では、監視制御部が新ファームウェアによる一重化構成で運用中に障害が発生すると、自動的に新ファームウェアによる運用が解除され旧ファームウェアに切り戻るため、新ファームウェアにより連続運転での機能評価を十分に行なうことができないという問題がある。また、ソフトウェアダウンロード中は、システムの正式運用形態である監視制御部が二重化構成での新ファームウェア検証ができないという問題がある。 In the conventional technology described above, if a failure occurs during operation of the monitoring controller in a single configuration with new firmware, the operation with the new firmware is automatically canceled and the old firmware is switched back to. There is a problem that functional evaluation cannot be performed sufficiently. In addition, there is a problem in that during the software download, the supervisory control unit, which is the formal operation mode of the system, cannot verify the new firmware in the duplex configuration.
本発明はこのような課題に鑑みてなされたものであって、新ファームウェアでの連続運転での機能評価を十分に行なうことができると共に、二重化構成での新ファームウェア検証を行なうことができる装置の二重化仮運用方法及び二重化システムを提供することを目的としている。 The present invention has been made in view of such problems, and it is possible to sufficiently perform functional evaluation in continuous operation with new firmware and to perform verification of new firmware in a duplex configuration. The purpose is to provide a duplex provisional operation method and a duplex system.
(1)請求項1記載の発明は、アクト系装置とスタンバイ系装置とが、新版と旧版のソフトウェアを具備し、アクト系とスタンバイ系とで旧版と新版の切り替え運用を行なう場合において、アクト系とスタンバイ系とを双方とも新版にした状態で動作させ、ソフトウェア障害が発生した場合には、旧版に戻し、ハードウェア障害が発生した場合には、旧版には戻さず新版での動作を続行するようにしたことを特徴とする。
(2)請求項2記載の発明は、LANで接続され、それぞれがアクト系とスタンバイ系として動作する装置と、これら装置とLANを介して接続される信号制御部とを具備し、前記装置内には、パワーオン時にデバイスやOSの起動を行なうブート手段と、ワークエリアとして、また転送データを一時的に使用し、またソフトウェアやデータベースを管理する機能を持つメモリと、を有し、アクト系装置とスタンバイ系装置とが、新版と旧版のソフトウェアを具備し、アクト系とスタンバイ系とで旧版と新版の切り替え運用を行なうように構成されたことを特徴とする。
(3)請求項3記載の発明は、前記アクト系とスタンバイ系とを双方とも新版にした状態で動作させ、ソフトウェア障害が発生した場合には、旧版に戻し、ハードウェア障害が発生した場合には、旧版には戻さず新版での動作を続行するようにしたことを特徴とする。
(4)請求項4記載の発明は、アクト系装置とスタンバイ系装置とが、新版と旧版のソフトウェアを具備し、アクト系とスタンバイ系とで旧版と新版の切り替え運用を行なう場合において、旧ソフトウェア二重化仮運用から、新ソフトウェア一重化仮運用、新ソフトウェア二重化仮運用(連続運用モード)、新ソフトウェア二重化仮運用(非連続運用モード)のうちの何れかを選択することができるようにしたことを特徴とする。
(5)請求項5記載の発明は、新ソフトウェア運用中に、ソフトウェアの運用モードを非連続運用モードと連続運用モードとの間で切り替えることができるようにしたことを特徴とする。
(1) The invention according to
(2) The invention described in
(3) The invention according to
(4) In the invention according to
(5) The invention described in
また、この発明において、新ソフトウェア(一重化又は二重化)仮運用中に、新ソフトウェア一重化仮運用又は、新ソフトウェア二重化仮運用状態に切り替えることができるようにしたことを特徴とする。 In addition, the present invention is characterized in that during the temporary operation of new software (single or duplex), it is possible to switch to the new software single temporary operation or the new software duplex temporary operation state.
(1)請求項1記載の発明によれば、新ファームウェアでの連続運転での機能評価を十分に行なうことができると共に、二重化構成での新ファームウェア検証を行なうことができる。
(2)請求項2記載の発明によれば、アクト系とスタンバイ系の2つの装置間で旧版と新版の切り替え運用を行なうことができる。
(3)請求項3記載の発明によれば、新ファームウェアでの連続運転での機能評価を十分に行なうことができると共に、二重化構成での新ファームウェア検証を行なうことができる。
(4)請求項4記載の発明によれば、新ソフトウェアによる二重化仮運用(連続運用モード)で動作中にソフトウェア障害が発生した時、旧版に切り戻し、ハードウェア障害が発生した時に新版での動作を継続することができる。また、新ソフトウェアによる二重化仮運用(非連続運用モード)で動作中にソフトウェア障害が発生した場合には旧版に切り戻し、ハードウェア障害が発生した時には旧版に切り戻すことができる。
(5)請求項5記載の発明によれば、非連続運用モードで運用中であっても、連続運用モードへ切り替えることができる。逆に、連続運用モードから非連続運用モードへ切り替えることもできる。
(1) According to the first aspect of the present invention, it is possible to sufficiently perform the function evaluation in the continuous operation with the new firmware, and to perform the new firmware verification with the duplex configuration.
(2) According to the invention described in
(3) According to the invention described in
(4) According to the invention described in
(5) According to the invention described in
また、この発明によれば、新ソフトウェア一重化仮運用により、新ソフトウェアの運用を確認した後、新ソフトウェア二重化仮運用状態へ切り替えることができる。また、新ソフトウェア二重化仮運用により、新ソフトウェアの運用を確認した後、新ソフトウェア一重化仮運用状態へ切り替えることができる。これにより、新ソフトウェアの仮運用状態を解除することなく切り替えることができ、継続して新ソフトウェアの検証ができる方法をユーザに提供することができる。 In addition, according to the present invention, it is possible to switch to the new software duplex temporary operation state after confirming the operation of the new software by the new software single temporary operation. In addition, the new software duplex provisional operation can be switched to the new software single provisional operation state after confirming the operation of the new software. Thereby, it is possible to switch to the temporary operation state of the new software without releasing it, and to provide a method for continuously verifying the new software to the user.
以下、図面を参照して本発明の実施の形態例を詳細に説明する。以下の説明では、二重化仮運用方式として、監視制御部が2台ある場合を示している。
[旧方式:監視制御部一重化仮運用固定方式]
この場合は、制御できる仮運用方式は1種類のみである。そして、旧ファームウェアによる監視制御部二重化運用中→新ファームウェア一重化仮運用コマンド(change version)となる。ここで、仮運用とは、監視制御部に搭載されるファームウェアを新バージョンに更新し、過渡的に新ファームウェアを運用することを示す。現システムでは、仮運用状態へ遷移する場合、主信号に影響を与えず、ユーザサービスを継続することが可能である。仮運用状態からは、そのまま正式運用又は旧ファームウェアへの切り戻しが可能となっている。図1は監視制御部二重化時の動作仕様を示す図である。図中の(a)は後述する(a)モードから(i)モードのうちの(a)モードで動作していることを示す(以下、同様)。
[旧方式:cancel(解除)/accept version(定着)コマンド仕様]
この場合は、新ファームウェアによる監視制御部一重化仮運用状態の解除(cancel version)となる。図2はcancel version(解除)コマンドの場合であり、新ファームウェアによる監視制御部一重化仮運用を示す図である。
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. In the following description, a case where there are two monitoring control units is shown as a redundant provisional operation method.
[Old method: Monitoring and control unit single temporary operation fixed method]
In this case, only one type of temporary operation method can be controlled. Then, the monitoring control unit duplex operation with the old firmware is in progress → the new firmware single provisional operation command (change version). Here, the temporary operation indicates that the firmware installed in the monitoring control unit is updated to a new version and the new firmware is operated transiently. In the current system, the user service can be continued without affecting the main signal when transitioning to the temporary operation state. From the temporary operation state, it is possible to perform formal operation or switch back to the old firmware as it is. FIG. 1 is a diagram showing operation specifications when the monitoring control unit is duplexed. (A) in the figure indicates that the operation is in the (a) mode from the (a) mode to the (i) mode described later (the same applies hereinafter).
[Old method: cancel (cancel) / accept version (fixing) command specification]
In this case, the monitoring control unit using the new firmware is canceled (cancel version). FIG. 2 shows a case of a cancel version (cancel) command, and shows a unified temporary operation of the monitoring control unit by the new firmware.
また、この場合は、新ファームウェアによる監視制御部一重化仮運用状態の定着(accept version)となる。図3はaccept version(定着)コマンドの場合であり、新ファームウェアによる監視制御部一重化仮運用を示す図である。
[旧方式を実現しているSWDL管理情報]
新/旧ファームウェアの切り替えは、下記の状態一覧表にある状態(番号)によりコントロールしている。
1)コマンド種別(図4参照)
2)SWDL状態一覧表(図5参照)
3)ソフト管理面情報(図6参照)
4)監視制御部状態一覧表(図7参照)
図4は実行コマンド種別を示す図、図5はSWDL状態一覧を示す図、図6はソフト管理面情報を示す図、図7は監視制御部状態一覧を示す図である。図4は、コマンドNo.と、コマンド種別と、動作内容から構成されている。同図において、コマンドNo.0はコマンド未実行状態(None)を、コマンドNo.1は新版ファームウェア切り替え要求(change version)を、コマンドNo.2は旧ファームウェアへの切り戻し要求(cancel version)を、コマンドNo.3は新ファームウェアへの定着要求を示す。
Further, in this case, the monitoring control unit with the new firmware is fixed (accept version). FIG. 3 is a diagram showing the case of accept version (fixing) command, and showing the unified temporary operation of the monitoring control unit by the new firmware.
[SWDL management information realizing the old method]
Switching between new and old firmware is controlled by the status (number) in the status list below.
1) Command type (see Fig. 4)
2) SWDL status list (see Fig. 5)
3) Software management information (see Fig. 6)
4) Monitoring control unit status list (see FIG. 7)
4 is a diagram showing an execution command type, FIG. 5 is a diagram showing a SWDL status list, FIG. 6 is a diagram showing software management surface information, and FIG. 7 is a diagram showing a monitoring control unit status list. FIG. , Command type, and operation content. In FIG. 0 indicates a command unexecuted state (None), and command No. 1 indicates a new firmware switch request (change version), command no. 2 is a request for canceling back to the old firmware (cancel version).
図5はSWDL状態一覧を示しており、SWDL STATUSと、SWDL状態管理情報とから構成されている。ここで、SWDLとは、ファームウェア情報のことを示す。NORMALはノーマル状態(非SWDL状態)を、NOWSWDLはSWDL中を、COMPLETEはSWDL完了をそれぞれ示す。図6はバンク情報と新旧のソフト管理状態から構成されている。同図において、バンク情報AはHOLDER Aのソフト立ち上げ要求であり、バンク情報Bは、HOLDER Bのソフト立ち上げ要求である。図7は監視制御部状態と、新ファームウェア立ち上げに伴う監視制御部の状態を示している。NORMALは非SWDL状態を、WAITはスタンバイ監視制御部を新ファームウェアで立ち上げ待ちを、SWITCHは新ファームウェア(スタンバイ監視制御部)への切り替え中状態を、RESETは旧アクト監視制御部の旧ファームウェア立ち上げ待ち状態を、COMPは監視制御部一重化仮運用中(SWDL完了)を示している。 FIG. 5 shows a list of SWDL states, which are composed of SWDL STATUS and SWDL state management information. Here, SWDL indicates firmware information. NORMAL indicates a normal state (non-SWDL state), NOWWSDL indicates during SWDL, and COMPLETE indicates completion of SWDL. FIG. 6 includes bank information and old and new software management states. In the figure, bank information A is a HOLDER A software startup request, and bank information B is a HOLDER B software startup request. FIG. 7 shows the state of the supervisory control unit and the state of the supervisory control unit as the new firmware is launched. NORMAL indicates a non-SWDL state, WAIT indicates that the standby monitoring control unit is waiting to be started with the new firmware, SWITCH indicates a state where switching to the new firmware (standby monitoring control unit), RESET indicates that the old firmware of the old act monitoring control unit is In the waiting state, COMP indicates that the monitoring control unit is in a unified temporary operation (SWDL completion).
次に、本発明のソフトウェア・ダウンロード方式について説明する。既存のソフトウェア・ダウンロード方式は、監視制御部が二重化で運用が可能であっても、一重化仮運用で新ファームウェアが評価されており、実際の運用形態と異なっている。そこで、実際の運用形態と同じ監視制御部二重化での仮運用情報を提供する(ユーザは、監視制御部が一重化/二重化の仮運用を選択可能である)。
(システム評価方法の改善)
監視制御部二重化によるソフトウェアの仮運用確認を行なうことにより、監視制御部の障害によるソフトウェア・ダウンロード状態を解除しないため、連続して新ファームウェアの評価を行なうことができる。本発明では、ハードウェア障害時のみ連続運転が可能であり、ファームウェアの問題による障害検出時は、ソフトウェア・ダウンロード状態を解除する。監視制御部二重化仮運用中のハードウェア障害スキップ機能については後述の(c)参照。
Next, the software download method of the present invention will be described. The existing software download method is different from the actual operation mode because the new firmware has been evaluated in a single provisional operation even if the monitoring control unit can be operated in a duplex manner. Therefore, provisional operation information is provided in the same monitoring control unit duplex as in the actual operation mode (the user can select the temporary operation for single / duplex by the monitoring control unit).
(Improvement of system evaluation method)
By confirming the temporary operation of the software by duplicating the monitoring control unit, the software download state due to the failure of the monitoring control unit is not released, so that new firmware can be continuously evaluated. In the present invention, continuous operation is possible only when a hardware failure occurs, and the software download state is canceled when a failure due to a firmware problem is detected. See (c) below for the hardware failure skip function during redundant operation of the supervisory control unit.
システムの実運用形態である監視制御部の二重化運用を行なうことにより、新ファームウェアへの完全切り替え前にシステムの正常性を十分評価することができる。また、ユーザにより、監視制御部一重化/二重化による仮運用を選択することができる(システム評価方法の選択機能)。監視制御部一重化による新ファームウェア仮運用の選択が可能である(後述の(a)参照)。また、監視制御部二重化による新ファームウェア仮運用の選択が可能である(後述の(b),(c)参照)。また、監視制御部一重化から二重化への新ファームウェア仮運用を選択することができる(後述の(d)参照)。また、監視制御部二重化から一重化への新ファームウェア仮運用を選択することができる(後述の(e)参照)。
(顧客によるソフトウェアの品質チェック機能の充実化)
旧方式では、監視制御部二重化運用は新ファームウェア定着後にしか確認できなかったが、二重化仮運用状態を設けることで、事前に動作確認することができるようになる。また、旧方式では、新ファームウェアによる監視制御部二重化運用直後に問題を検出した場合は、システムを再立ち上げすることでしか復旧できなかったが、仮の二重化運用状態であれば、cancel versionすることで、容易に旧ファームウェアへ復旧することができる。また、監視制御部の二重化仮運用機能を提供することで、旧方式では確認できなかった監視制御部のアクト−スタンバイ(以下、アクトをACT、スタンバイをSTBYと略す)切り替えなど事前に動作確認することが可能となる。更に、監視制御部二重化仮運用中に、ハードウェア障害を検出しても新ファームウェアの仮運用状態を継続して連続運転試験が実施可能である。
(新方式:監視制御部一重化/二重化仮運用選択方式)
制御できる仮運用方式は以下に示す5種類ある。
(a)旧ファームウェアによる監視制御部二重化運用中→新ファームウェア一重化仮運用コマンド(change version)
(b)旧ファームウェアによる監視制御部二重化運用中→新ファームウェア二重化仮運用コマンド(change version)非連続運用モード
(c)旧ファームウェアによる監視制御部二重化運用中→新ファームウェア二重化仮運用コマンド(change version)連続運用モード
(d)新ファームウェアによる監視制御部一重化運用→新ファームウェア二重化仮運用コマンド(change version)
(e)新ファームウェアによる監視制御部二重化仮運用→新ファームウェア一重化仮運用コマンド(change version)
図8は監視制御部二重化時の動作仕様(タイプ1)を示す図、図9は監視制御部二重化時の動作仕様(タイプ2)をそれぞれ示す。
(新方式:cancel(解除)/accept version(定着)コマンド仕様)
以下の4方式がある。
(f)新ファームウェアによる監視制御部一重化仮運用状態の解除(cancel version)
(g)新ファームウェアによる監視制御部二重化仮運用状態の解除(cancel version)
(h)新ファームウェアによる監視制御部一重化仮運用状態の定着(accept version)
(i)新ファームウェアによる監視制御部二重化仮運用状態の定着(accept version)
(cancel version(解除)コマンド)
図10は新ファームウェアによる監視制御部一重化運用(既存)を示す図である。図11は新ファームウェアによる監視制御部二重化仮運用(新)を示す図である。
(accept version(定着)コマンド)
図12は新ファームウェアによる監視制御部一重化仮運用(既存)を示す図である。図13は新ファームウェアによる監視制御部二重化仮運用(新)を示す図である。
(新方式を実現するためのSWDL管理情報)(b),(c),(d),(e),(g),(i)
新/旧ファームウェアの切り替えは、下記の状態一覧にある状態(番号)によりコントロールしている。
1)実行コマンド種別(図15参照)
2)SWDL状態一覧(図16参照)
3)ソフト管理面情報(図17参照)
4)監視制御部状態一覧(図18参照)
本発明によれば、既存の新ファームウェア切り替え状態一覧に新管理情報を3つ追加することで、監視制御部二重化による仮運用機能を実現することができる。追加する状態は以下の3つである。
1.RESET2 新ファームウェアによる監視制御部二重化待ち状態(スタンバイ監視制御部立ち上げ待ち)
2.COMP2 新ファームウェアによる監視制御部二重化仮運用状態(非連続運用モード)
3.COMP3 新ファームウェアによる監視制御部二重化仮運用状態(連続運用モード)
これらの状態一覧の使用方法については、後述する(b),(c),(d),(e),(g),(i)に記載されている。
By performing the redundant operation of the monitoring control unit, which is the actual operation mode of the system, the normality of the system can be sufficiently evaluated before the complete switching to the new firmware. Further, the user can select a temporary operation based on the single / duplex monitoring / control unit (system evaluation method selection function). New firmware temporary operation can be selected by unifying the monitoring control unit (see (a) described later). Also, it is possible to select a new firmware temporary operation by duplicating the monitoring control unit (see (b) and (c) described later). In addition, it is possible to select a new firmware temporary operation from single to double monitoring control (see (d) described later). Also, it is possible to select a new firmware temporary operation from the supervisory control unit duplex to the single (see (e) described later).
(Enhancement of software quality check function by customers)
In the old method, the redundant operation of the monitoring control unit can be confirmed only after the new firmware is fixed. However, the operation can be confirmed in advance by providing the redundant temporary operation state. Also, in the old method, if a problem was detected immediately after the redundant operation of the monitoring control unit with the new firmware, it could only be recovered by restarting the system. Thus, it is possible to easily restore the old firmware. In addition, by providing a redundant provisional operation function of the monitoring control unit, the operation is confirmed in advance such as act-standby switching of the monitoring control unit (hereinafter referred to as “ACT” and “standby” is abbreviated as STBY) that could not be confirmed by the old method It becomes possible. In addition, even if a hardware failure is detected during redundant operation of the supervisory control unit, the temporary operation state of the new firmware can be continued and a continuous operation test can be performed.
(New method: Monitoring control unit single / redundant temporary operation selection method)
There are five types of temporary operation methods that can be controlled.
(A) Duplicated operation of monitoring control unit with old firmware → New single firmware temporary operation command (change version)
(B) Duplicate operation of monitoring control unit with old firmware → New firmware duplication temporary operation command (change version) Non-continuous operation mode (c) Duplex operation of monitoring control unit with old firmware → New firmware duplication temporary operation command (change version) Continuous operation mode (d) Single operation of monitoring control unit with new firmware → New firmware redundant provisional operation command (change version)
(E) Redundant temporary operation of monitoring controller with new firmware → New firmware single temporary operation command (change version)
FIG. 8 is a diagram showing an operation specification (type 1) when the monitoring control unit is duplexed, and FIG. 9 is a diagram showing an operation specification (type 2) when the monitoring control unit is duplexed.
(New method: cancel (cancel) / accept version (fixing) command specification)
There are the following four methods.
(F) Canceling the single and temporary operation status of the monitoring control unit with the new firmware (cancel version)
(G) Canceling the redundant temporary operation status of the supervisory control unit with the new firmware (cancel version)
(H) Establishment of monitoring and control unit unified temporary operation status with new firmware (accept version)
(I) Establishing the temporary operation status of the redundant monitoring control unit with new firmware (accept version)
(Cancel version command)
FIG. 10 is a diagram showing a single operation (existing) of the monitoring control unit by the new firmware. FIG. 11 is a diagram showing a redundant temporary operation (new) of the monitoring control unit by the new firmware.
(Accept version command)
FIG. 12 is a diagram showing a single control provisional operation (existing) by the new firmware. FIG. 13 is a diagram showing the redundant temporary operation (new) of the monitoring control unit by the new firmware.
(SWDL management information for realizing the new method) (b), (c), (d), (e), (g), (i)
Switching between new and old firmware is controlled by the status (number) in the status list below.
1) Execution command type (see FIG. 15)
2) SWDL status list (see FIG. 16)
3) Software management information (see Fig. 17)
4) List of monitoring control unit states (see FIG. 18)
According to the present invention, by adding three pieces of new management information to the existing new firmware switching state list, it is possible to realize a temporary operation function by duplicating the monitoring control unit. The following three states are added.
1. RESET2 Waiting for redundant monitoring control unit with new firmware (standby waiting for standby monitoring control unit startup)
2. COMP2 Redundant temporary operation status of monitoring control unit with new firmware (non-continuous operation mode)
3. COMP3 Redundant temporary operation status of monitoring control unit with new firmware (continuous operation mode)
The method of using these status lists is described in (b), (c), (d), (e), (g), and (i) described later.
図14はSWDL管理情報構造を示す図である。SWDL管理情報構造は、実行コマンド種別と、SWDL状態と、ソフト管理面情報と、監視制御部状態からなる。
図15は実行コマンド種別を示す図である。コマンドNo.に対するコマンド種別と動作内容を示している。コマンドNo.0はコマンド未実行状態を示す。コマンドNo.1はchange version1であり、新版ファームウェア切り替え要求(一重化仮運用要求)を示し、コマンドNo.2はchange version2であり、新版ファームウェア切り替え要求(二重化仮運用要求、非連続運用要求)を示し、コマンドNo.3はcancel versionであり、旧ファームウェアへの切り戻し要求であり、コマンドNo.4はaccept versionでり、新ファームウェア定着要求であり、コマンドNo.5はchange vesion3であり、新版ファームウェア切り替え要求(二重化仮運用要求、連続運用モード)である。
FIG. 14 is a diagram showing a SWDL management information structure. The SWDL management information structure includes an execution command type, SWDL status, software management plane information, and monitoring control unit status.
FIG. 15 shows execution command types. Command No. Shows the command type and operation details. Command No. 0 indicates a command unexecuted state. Command No. 1 is
図16はSWDL状態一覧を示す図である。SWDLステータスは、“NORMAL”がノーマル状態を、“NOW SWDL”がSWDL中を、“COMPLETE”がSWDL完了(仮運用中)をそれぞれ示している。図17はソフト管理面情報を示す図で、CF BANK情報が“A”の場合、ホルダAのソフト立ち上げを要求しており、“B”の場合、ホルダBのソフト立ち上げを要求している。 FIG. 16 shows a list of SWDL states. In the SWDL status, “NORMAL” indicates a normal state, “NOW SWDL” indicates that SWDL is in progress, and “COMPLETE” indicates that SWDL is completed (provisional operation). FIG. 17 is a diagram showing software management surface information. When CF BANK information is “A”, the software startup of holder A is requested, and when it is “B”, the software startup of holder B is requested. Yes.
図18は監視制御部状態一覧を示す図である。監視制御部状態が“NORMAL”の場合はノーマル状態(非SWDL状態)を、“WAIT”の場合はスタンバイ監視制御部を新ファームウェアで立ち上げ待ちを、“SWITCH”の場合は新ファームウェア(STBY)監視制御部への切り替え中状態を、“RESET”の場合は旧アクト監視制御部の旧ファームウェア立ち上げ待ち状態を、“COMP”の場合は監視制御部一重化仮運用中(SWDL完了)を、“RESET2”の場合はSTBY監視制御部の新ファームウェア立ち上げ待ち状態を、“COMP2”の場合は監視制御部二重化仮運用中(SWDL完了/非連続運用モード)を、“COMP3”の場合は監視制御部二重化仮運用中(SWDL完了/連続運用モード)をそれぞれ示している。
[新ソフトウェア・ダウンロード方式の運用方法]
ここでは、どのようにしてSWDL管理情報を用いてCPU二重化仮運用を実現するか、シーケンス図を用いて説明する。
(a)旧ファームウェアによる監視制御部二重化運用中→新ファームウェア一重化仮運用コマンド(change version)
(b)旧ファームウェアによる監視制御部二重化運用中→新ファームウェア二重化仮運用コマンド(change version)非連続運用モード
(c)旧ファームウェアによる監視制御部二重化運用中→新ファームウェア二重化仮運用コマンド(change version)連続運用モード
(d)新ファームウェアによる監視制御部一重化仮運用→新ファームウェア二重化仮運用コマンド(change version)
(e)新ファームウェアによる監視制御部二重化仮運用→新ファームウェア一重化仮運用コマンド(change version)
(f)新ファームウェアによる監視制御部一重化仮運用状態の解除(cancel version)
(g)新ファームウェアによる監視制御部二重化仮運用状態の解除(cancel version)
(h)新ファームウェアによる監視制御部一重化仮運用状態の定着(accept version)
(i)新ファームウェアによる監視制御部二重化仮運用状態の定着(accept version)
以下、上述した(a)から(i)までの動作シーケンスについて説明する。
[(a)監視制御部二重化状態→新ファームウェア一重化仮運用]
(1)監視制御部正常二重化状態
1)SWDL状態ではない状態(SWDL STATUS=NORMAL)
図19は監視制御部正常二重化状態の説明図である。この例では、監視制御部1がアクト(ACT)系、監視制御部 2がスタンバイ(STBY)系を示している。コマンド種別はなく、SWDLステータスは何れもノーマル(NORMAL)状態である。監視制御部状態は何れもノーマルである。CFバンクは、監視制御部1,2共に“A”である。RAM DBは何れも旧版、CF DBも何れも旧版である。監視制御部1,2何れも旧版で運用中である。
2)change version CPU1コマンド実行(監視制御部一重化仮運用要求)
1.監視制御部二重化運用中で、且つSWDL状態でないことを確認する(SWDL STATUS=NORMAL)。
2.新ファームウェアがインストールされていることを確認する。
3.SWDL STATUSをSWDL中に更新する(NORMAL→NOW SWDL)。
4.ACT監視制御部の状態をWAIT(STBY監視制御部の新ファームウェア立ち上げ待ち)状態にする(NORMAL→WAIT)。
5.STBY監視制御部を新版で立ち上げるため、CFバンクを新版に切り替え後、リセットする。
6.STBY監視制御部の立ち上げ契機に、CF DBを新ファームウェア用にコンバートしてRAMへ展開する。
FIG. 18 is a diagram showing a list of monitoring control unit states. When the monitoring control unit status is “NORMAL”, the normal state (non-SWDL state) is set. When switching to the monitoring control unit, “RESET” indicates that the old act monitoring control unit is waiting to start up the old firmware, and “COMP” indicates that the monitoring control unit is being temporarily integrated (SWDL completed). When “RESET2” is selected, the STBY supervisory control unit waits for a new firmware startup, when “COMP2” is monitored, the supervisory control unit is in tentative redundant operation (SWDL completion / non-continuous operation mode), and when it is “COMP3” The control unit redundant provisional operation (SWDL completion / continuous operation mode) is shown.
[Operation method of new software download method]
Here, how to realize the CPU redundant provisional operation using the SWDL management information will be described with reference to a sequence diagram.
(A) Duplicated operation of monitoring control unit with old firmware → New single firmware temporary operation command (change version)
(B) Duplicate operation of monitoring control unit with old firmware → New firmware duplication temporary operation command (change version) Non-continuous operation mode (c) Duplex operation of monitoring control unit with old firmware → New firmware duplication temporary operation command (change version) Continuous operation mode (d) New temporary control operation of monitoring control unit with new firmware → New temporary firmware operation command (change version)
(E) Redundant temporary operation of monitoring controller with new firmware → New firmware single temporary operation command (change version)
(F) Canceling the single and temporary operation status of the monitoring control unit with the new firmware (cancel version)
(G) Canceling the redundant temporary operation status of the supervisory control unit with the new firmware (cancel version)
(H) Establishment of monitoring and control unit unified temporary operation status with new firmware (accept version)
(I) Establishing the temporary operation status of the redundant monitoring control unit with new firmware (accept version)
Hereinafter, the operation sequence from (a) to (i) described above will be described.
[(A) Redundant state of supervisory control unit → New firmware single provisional operation]
(1) Monitoring controller normal duplex state 1) State not in SWDL state (SWDL STATUS = NORMAL)
FIG. 19 is an explanatory diagram of a normal duplex state of the monitoring control unit. In this example, the
2) change version CPU1 command execution (monitoring control unit unification temporary operation request)
1. It is confirmed that the monitoring control unit is in a duplex operation and is not in the SWDL state (SWDL STATUS = NORMAL).
2. Make sure that the new firmware is installed.
3. SWDL STATUS is updated in SWDL (NORMAL → NOW SWDL).
4). The state of the ACT monitoring control unit is changed to a WAIT (waiting for the start of new firmware of the STBY monitoring control unit) state (NORMAL → WAIT).
5). In order to start up the STBY monitoring control unit with the new version, the CF bank is switched to the new version and then reset.
6). When the STBY monitoring control unit is started, the CF DB is converted for the new firmware and developed in the RAM.
図20はchange version実行の説明図である。監視制御部1は旧版で運用中であり、監視制御部2は新版立ち上げ中である。
3)STBY監視制御部が新ファームウェアで立ち上げ後、新ファームウェアへの仮運用に切り替える。
1.STBY監視制御部の新ファームウェア立ち上げ完了通知受信後、旧ファームウェア→新ファームウェアへの仮運用に切り替える。
FIG. 20 is an explanatory diagram of execution of change version. The
3) After the STBY monitoring controller starts up with the new firmware, the operation is switched to provisional operation with the new firmware.
1. After receiving the notification of the completion of the new firmware startup from the STBY monitoring control unit, the temporary operation is switched from the old firmware to the new firmware.
図21は新ファームウェアへの切り替えの説明図である。監視制御部2はソフトウェアと、RAM DBと、CFバンクが新版となり、STBY→ACTへの切り替えを行なう。一方、監視制御部1は反対にACT系→STBYへの切り替えを行なう。
4)旧ACT監視制御部(旧版)の運用を解除する。
1.新ACT監視制御部を、新ファームウェア一重化仮運用状態に遷移させるため、旧ACT監視制御部を旧ファームウェアで立ち上げ直す(リセットする)。
FIG. 21 is an explanatory diagram of switching to the new firmware. The
4) Cancel the operation of the old ACT monitoring controller (old version).
1. In order to shift the new ACT monitoring control unit to the new firmware single provisional operation state, the old ACT monitoring control unit is restarted (reset) with the old firmware.
図22は旧ACT監視制御部の運用解除の説明図である。監視制御部1を再立ち上げしている。監視制御部2は、新版仮運用中である。
5)新ACT監視制御部による一重化仮運用状態
1.新ACT監視制御部は、新ファームウェア一重化仮運用状態に遷移する。
2.旧ACT監視制御部の旧ファームウェアによる立ち上げが完了する。ファームウェアは立ち上がっているが、待機状態である。
FIG. 22 is an explanatory diagram for canceling the operation of the old ACT monitoring control unit. The
5) Single temporary operation state by the new ACT monitoring control unit The new ACT monitoring control unit shifts to the new firmware single provisional operation state.
2. The start-up by the old firmware of the old ACT monitoring control unit is completed. Firmware is up but in standby.
図23は新ACT監視制御部による一重化仮運用の説明図である。監視制御部1は待機状態であり、監視制御部2は新版運用中である。
[(b)監視制御部二重化状態→新ファームウェア二重化仮運用(非連続運用化モード)]
1)監視制御部正常二重化状態
試験開始前に、新ソフトウェアをインストールする。図24は監視制御部正常二重化状態の説明図である。監視制御部1がACT状態、監視制御部2がSTBY状態にある。コマンド種別は共に“0”であり、SWDL STATUSは共にNORMAL、監視制御部状態も共にNORMAL、CFバンクは共にA(旧版)、RAM DBとCF DBも共に旧版である。
2)change version CPU2コマンド実行(監視制御部二重化仮運用要求)
コマンド実行契機に、新版立ち上げ側のCPUの下記管理情報を更新し、STBY−CPUをリセットすることで、新版ソフトウェアを立ち上げる。図25はchange version (二重化仮運用要求)の説明図である。監視制御部1は旧版で運用中であり、監視制御部2は新版立ち上げ中である。
3)新版(STBY−CPU)立ち上げ後、新版ソフトウェアのCPUへ切り替える。
FIG. 23 is an explanatory diagram of a single provisional operation by the new ACT monitoring control unit. The
[(B) Redundant state of monitoring control unit → New firmware redundant provisional operation (non-continuous operation mode)]
1) Normal duplication status of monitoring and control unit Install new software before starting the test. FIG. 24 is an explanatory diagram of a normal duplex state of the monitoring control unit. The
2) change version CPU2 command execution (monitoring control unit redundant temporary operation request)
When the command is executed, the following management information of the CPU that starts the new version is updated, and the new software is started by resetting the STBY-CPU. FIG. 25 is an explanatory diagram of change version (redundant temporary operation request). The
3) After starting up the new version (STBY-CPU), switch to the CPU of the new version software.
図26は新ファームウェアへの切り替えの説明図である。監視制御部1は旧版の下でcP切り替えによるSTBYモードとなり、監視制御部2はCPU切り替えにより新版でのACTモードとなる。
4)STBY−CPU(旧版)の運用を解除する。
FIG. 26 is an explanatory diagram of switching to the new firmware. The
4) Cancel the operation of the STBY-CPU (old version).
ACT−CPUは、CPU一重化の運用状態に遷移する。STBY−CPU(旧版1)を新版で仮運用するため、CPUをリセットする。図27は旧ACT監視制御部の新ファームウェア立ち上げ開始の説明図である。監視制御部2は新版で運用中であり、監視制御部1はCPUのリセット状態にある。
5)監視制御部二重化仮運用
STBY−CPU立ち上げ完了を契機に、CPU二重化の仮運用状態に遷移する。図28は監視制御部二重化仮運用完了の説明図である。監視制御部1は新版で待機状態にあり、監視制御部2は新版で運用中である。
[(c)監視制御部二重化状態→新ファームウェア二重化仮運用(連続運用モード)]
1)監視制御部正常二重化状態
試験開始前に新ソフトウェアをインストールする。図29は監視制御部正常二重化状態を示す図である。監視制御部1と2は、共に旧版を用いて運用中である。
2)change version CPU2コマンド実行(監視制御部二重化仮運用要求)
コマンド実行を契機に、新版立ち上げ側のCPUの下記管理情報を更新し、STBY−CPUをリセットすることで、新版ソフトウェアを立ち上げる。図30はchange version(二重化仮運用要求)を示す図である。この場合には、コマンド種別が“5”となり、新版ファームウェア切り替え要求(二重化仮運用要求)を示している。監視制御部1は旧版で運用中であり、監視制御部2は新版で立ち上げ中である。
3)新版(STBY−CPU)立ち上げ後、新版ソフトウェアのCPUへ切り替える。
The ACT-CPU transitions to an operation state in which the CPU is unified. In order to provisionally operate the STBY-CPU (old version 1) with the new version, the CPU is reset. FIG. 27 is an explanatory diagram of the start-up of new firmware in the old ACT monitoring control unit. The
5) Temporary operation for duplication of supervisory control unit When the start-up of the STBY-CPU is completed, a transition is made to the temporary operation state for duplication of CPU. FIG. 28 is an explanatory diagram of the completion of the temporary provisional operation of the monitoring control unit. The
[(C) Redundant state of monitoring control unit → New firmware redundant provisional operation (continuous operation mode)]
1) Normal duplication status of monitoring and control unit Install new software before starting the test. FIG. 29 is a diagram showing a normal duplex state of the monitoring control unit. Both the
2) change version CPU2 command execution (monitoring control unit redundant temporary operation request)
With the execution of the command, the following management information of the CPU on the new version startup side is updated, and the new version software is started by resetting the STBY-CPU. FIG. 30 is a diagram showing a change version (redundant temporary operation request). In this case, the command type is “5”, indicating a new version firmware switching request (duplicated temporary operation request). The
3) After starting up the new version (STBY-CPU), switch to the CPU of the new version software.
図31は新ファームウェアへの切り替えの説明図である。監視制御部2はCPU切り替えにより新版でのACT系となり、監視制御部1はCPU切り替えにより旧版でのSTBY系となる。
4)STBY−CPU(旧版)の運用を解除する。
FIG. 31 is an explanatory diagram of switching to the new firmware. The
4) Cancel the operation of the STBY-CPU (old version).
ACT−CPUは、CPU一重化の運用状態に遷移する。STBY−CPU(旧版)を新版で仮運用するためCPUリセットを行なう。図32は旧ACT監視制御部の新ファームウェアの立ち上げ開始の説明図である。監視制御部1はCPUリセットとなり、監視制御部2は新版運用中となる。
5)監視制御部二重化仮運用
STBY−CPU立ち上げ完了を契機に、CPU二重化の仮運用状態に遷移する。図33は監視制御部二重化仮運用完了を示す図である。監視制御部1は新版で待機状態となり、監視制御部2は新版で運用中となる。
[(d)監視制御部一重化仮運用→新ファームウェア二重化仮運用]
1)CPU一重化仮運用状態
1.SWDL状態が正常に終了していることを確認する(SWDL STATUS=COMPLETE)。
2.CPU二重化時のSWDLによるCPU一重化仮運用状態(CPU STATUS=COMP)
図34は監視制御部一重化仮運用状態の説明図である。監視制御部1は旧版で待機状態、監視制御部2は新版で運用中である。
2)change version CPU2コマンド実行
1.現在のSWDL状態がCPU二重化仮運用状態へ遷移可能かどうかチェックする(CPU STATUS=COMP)。
2.SWDL STATUSをSWDL中に更新する(COMP→NOW SWDL)
3.SWDL CPU状態を、CPU二重化仮運用待ち(COMP→RESET2)に変更する。
4.STBY−CPUを新版で立ち上げるため、CF バンクを新版に切り替え、CPUをリセットする。
5.CPU立ち上げを契機に、CF DBをRAMへ展開する時に新版DBにコンバートされる。
The ACT-CPU transitions to an operation state in which the CPU is unified. The CPU is reset to provisionally operate the STBY-CPU (old version) with the new version. FIG. 32 is an explanatory diagram of start-up of new firmware in the old ACT monitoring control unit. The
5) Temporary operation for duplication of supervisory control unit When the start-up of the STBY-CPU is completed, a transition is made to the temporary operation state for duplication of CPU. FIG. 33 is a diagram showing the completion of the supervisory control unit redundant provisional operation. The
[(D) Monitoring and Control Unit Single Temporary Operation → New Firmware Redundant Temporary Operation]
1) CPU single provisional operation state It is confirmed that the SWDL state has ended normally (SWDL STATUS = COMPLETE).
2. Temporary operation state of single CPU by SWDL when CPU is duplicated (CPU STATUS = COMP)
FIG. 34 is an explanatory diagram of a monitoring control unit single provisional operation state. The
2) change version CPU2 command execution It is checked whether or not the current SWDL state can transition to the CPU duplex temporary operation state (CPU STATUS = COMP).
2. Update SWDL STATUS into SWDL (COMP → NOW SWDL)
3. The SWDL CPU state is changed to a standby CPU redundant operation (COMP → RESET2).
4). In order to start up the STBY-CPU in the new version, the CF bank is switched to the new version and the CPU is reset.
5). When the CPU is started up, the CF DB is converted to the new version DB when it is expanded to the RAM.
図35は一重化仮運用→二重化仮運用コマンド実行の説明図である。コマンド種別は“2”となりchange version2となり、新版ファームウェアへの切り替え要求を示している。監視制御部1はリセットされ、監視制御部2は新版立ち上げ中である。
3)新版(STBY−CPU)立ち上げ後、新版ソフトウェアのCPUへ切り替える。
1.STBY−CPUが正常に立ち上がり、CPU二重化状態へ遷移したら、SWDL状態をコンプリート(COMPLETE)する。
2.現在のSWDLによるCPU状態が、CPU二重化仮運用中の状態を設定する(RESET2→COMP2)。
FIG. 35 is an explanatory diagram of execution of a single provisional operation → duplication provisional operation command. The command type is “2” and “change
3) After starting up the new version (STBY-CPU), switch to the CPU of the new version software.
1. When the STBY-CPU starts up normally and transitions to the CPU duplex state, the SWDL state is completed (COMPLETE).
2. The CPU state based on the current SWDL sets a state in which the CPU duplex temporary operation is in progress (RESET2 → COMP2).
図36は監視制御部二重化仮運用の説明図である。監視制御部1はCPU切り替えによりSTBYモードとなり、監視制御部2はCPU切り替えによりACTモードとなる。
[(e)監視制御部二重化仮運用→新ファームウェア一重化仮運用]
1)CPU二重化による新版仮運用
CPU二重化時のSWDLによるCPU二重化仮運用状態(CPU STATUS=COMP2)である。
FIG. 36 is an explanatory diagram of redundant operation of the supervisory control unit. The
[(E) Supervisory control unit redundant provisional operation → New firmware single provisional operation]
1) New version tentative operation by CPU duplication The CPU duplication tentative operation state (CPU STATUS = COMP2) by SWDL at the time of CPU duplication.
図37は監視制御部二重化仮運用状態の説明図である。監視制御部1は新版でのSTBY状態にあり、監視制御部1は新版での運用中である。
2)change version CPU1コマンド実行
コマンド実行時にSWDL STATUS/CPU STATUSを読み出して現在のSWDL状態をチェックする。新版立ち上げ側のCPUの下記管理情報を更新し、STBY−CPUをリセットすることで、新版ソフトウェアを立ち上げる。図38は二重化仮運用→一重化運用コマンド実行の説明図である。この状態では、監視制御部1,2共にコマンド種別は“1”であり、change version1であり、新版ファームウェア切り替え要求を示している。監視制御部1は旧版で運用中であり、監視制御部2は新版で立ち上げ中である。
3)新版(STBY−CPU)立ち上げ後、新版ソフトウェアのCPUへ切り替える。
FIG. 37 is an explanatory diagram of a redundant control operation state of the monitoring control unit. The
2) change version CPU1 command execution When a command is executed, SWDL STATUS / CPU STATUS is read to check the current SWDL status. The new version software is launched by updating the following management information of the new version launching CPU and resetting the STBY-CPU. FIG. 38 is a diagram for explaining the execution of the duplex provisional operation → single operation command. In this state, the command types of both the
3) After starting up the new version (STBY-CPU), switch to the CPU of the new version software.
図39は監視制御部一重化仮運用の説明図である。監視制御部1はCPU切り替えでSTBYモードとなっており、監視制御部2はCPU切り替えでACTモードとなっている。
[(f)監視制御部一重化仮運用時のcancel version]
1)CPU二重化による新版仮運用
1.CPU二重化時のSWDLによるCPU二重化仮運用状態(CPU STATUS=COMP)である。図40は監視制御部一重化仮運用状態の説明図である。監視制御部1は待機状態、監視制御部2は新版による新版運用中である。
2)cancel version コマンド実行
1.コマンド実行時にSWDL STATUS/CPU STATUSを読み出し、現在のSWDL状態をチェックする。
2.ACT−CPU(新版)のSWDL管理情報を旧版に切り戻す。
3.ACT/STBYを切り替え、旧ACT−CPUを旧版で立ち上げるためリセットする。
FIG. 39 is an explanatory diagram of the monitoring control unit single provisional operation. The
[(F) cancel version during temporary operation of monitoring and control unit]
1) New version tentative operation by CPU duplication This is a CPU duplex temporary operation state (CPU STATUS = COMP) by SWDL at the time of CPU duplex. FIG. 40 is an explanatory diagram of a monitoring control unit single provisional operation state. The
2) Cancel version command execution When executing the command, SWDL STATUS / CPU STATUS is read to check the current SWDL status.
2. Switch the SWDL management information of the ACT-CPU (new version) back to the old version.
3. ACT / STBY is switched and the old ACT-CPU is reset to start up with the old version.
図41は監視制御部一重化仮運用解除要求の説明図である。コマンド種別は“3”であり、cancel versionであり、旧ファームウェアへの切り戻し要求である。監視制御部1は旧版運用中であり、監視制御部2は新版立ち上げ中である。
3)新版(STBY−CPU)立ち上げ後、新版ソフトウェアのCPUへ切り替える。
FIG. 41 is an explanatory diagram of a monitoring control unit single-ended temporary operation cancellation request. The command type is “3”, cancel version, and a switchback request to the old firmware. The
3) After starting up the new version (STBY-CPU), switch to the CPU of the new version software.
図42は旧ファームウェアへの切り替えの説明図である。監視制御部1はCPU切り替えでSTBYモードとなり、監視制御部2はCPU切り替えでACTモードとなる。
4)旧ACT−CPUを旧版で立ち上げる。
FIG. 42 is an explanatory diagram of switching to the old firmware. The
4) Start up the old ACT-CPU with the old version.
図43は旧ファームウェアへの切り替えの説明図である。監視制御部1はACTモードに、監視制御部2はSTBYモードになる。
5)CPU二重化完了で通常の状態に戻る。
FIG. 43 is an explanatory diagram of switching to the old firmware. The
5) Return to the normal state upon completion of CPU duplication.
図44は監視制御部二重化状態の説明図(旧版)である。監視制御部1は旧版運用中であり、監視制御部2は新版待機状態である。
[(g)監視制御部二重化仮運用時のcancel version]
1)CPU二重化による新版仮運用
CPU二重化時のSWDLによるCPU二重化仮運用状態(CPU STATUS=COMP2)。図45は監視制御部二重化仮運用状態を示す図である。監視制御部1は新版による待機状態であり、監視制御部2は新版による新版運用中である。
2)change version CPU2コマンド実行
コマンド実行時にSWDL STATUS/CPU STATUSを読み出し、現在のSWDL状態をチェックする。新版立ち上げ側のCPUの下記管理情報を更新し、STBY−CPUをリセットすることで、新版ソフトウェアを立ち上げる。図46は監視制御部二重化仮運用解除要求を示す図である。監視制御部1は旧版運用中であり、監視制御部2は新版立ち上げ中である。
3)新版(STBY−CPU)立ち上げ後、新版ソフトウェアのCPUへ切り替える。図47は新版(STBY CPU)立ち上げ後新版ソフトウェアのCPUへの切り替えの説明図である。監視制御部1はCPU切り替えによりSTBYとなり、監視制御部2はCPU切り替えによりACTとなる。
[(h)監視制御部一重化運用時のaccept version]
1)監視制御部一重化仮運用状態
1.試験開始前に、新ソフトウェアがインストールされていることが必要である。
2.SWDL状態でないことを確認する(SWDL STATUS=NORMAL)
図48は監視制御部一重化仮運用状態の説明図である。監視制御部1は旧版で運用中であり、監視制御部2は旧版で運用中である。
2)change version コマンド実行
1.CPU二重化中で、且つSWDL状態でないことを確認する(SWDL STATUS=NORMAL)
2.SWDL STATUSをSWDL中に更新する(NORMAL→NOW SWDL)
3.SWDL CPU状態をSTBY−CPU新版立ち上げ待ち状態に設定する(NORMAL→WAIT)
4.STBY−CPUを新版で立ち上げるため、CF バンクを新版に切り替え、CPUをリセットする。
5.CPU立ち上げ契機に、CF DBをRAMへ展開する時に、新版DBにコンバートされる。
FIG. 44 is an explanatory diagram (old version) of the redundant monitoring control unit state. The
[(G) cancel version during redundant operation of supervisory control unit]
1) New version tentative operation by CPU duplication CPU duplication tentative operation state by SWDL at the time of CPU duplication (CPU STATUS = COMP2). FIG. 45 is a diagram illustrating a redundant temporary operation state of the monitoring control unit. The
2) change version CPU2 command execution When a command is executed, SWDL STATUS / CPU STATUS is read to check the current SWDL state. The new version software is launched by updating the following management information of the new version launching CPU and resetting the STBY-CPU. FIG. 46 is a diagram showing a request for canceling the redundant provisional operation of the monitoring control unit. The
3) After starting up the new version (STBY-CPU), switch to the CPU of the new version software. FIG. 47 is an explanatory diagram of switching to the CPU of the new version software after starting the new version (STBY CPU). The
[(H) Accept version when monitoring control unit is unified]
1) Monitoring control unit unified temporary operation state New software must be installed before testing begins.
2. Confirm that it is not in SWDL state (SWDL STATUS = NORMAL)
FIG. 48 is an explanatory diagram of the monitoring control unit single provisional operation state. The
2) Change version command execution Confirm that the CPU is duplicated and not in the SWDL state (SWDL STATUS = NORMAL)
2. Update SWDL STATUS into SWDL (NORMAL → NOW SWDL)
3. Set SWDL CPU state to STBY-CPU new version waiting state (NORMAL → WAIT)
4). In order to start up the STBY-CPU in the new version, the CF bank is switched to the new version and the CPU is reset.
5). When the CF DB is expanded into the RAM when the CPU is started, it is converted into a new version DB.
図49はchange version コマンド実行の説明図である。監視制御部1は旧版で運用中であり、監視制御部2は新版立ち上げ中である。
3)STBY監視制御部が新ファームウェアで立ち上げ後、新ファームウェアへの仮運用に切り替える。
1.STBY監視制御部の新ファームウェア立ち上げ完了通知受信後、旧ファームウェア→新ファームウェアへの仮運用に切り替える。
FIG. 49 is an explanatory diagram of execution of the change version command. The
3) After the STBY monitoring controller starts up with the new firmware, the operation is switched to provisional operation with the new firmware.
1. After receiving the notification of the completion of the new firmware startup from the STBY monitoring control unit, the temporary operation is switched from the old firmware to the new firmware.
図50は新版(STBY−CPU)立ち上げ後、新版ソフトのCPUへの切り替えの説明図である。監視制御部1はCPU切り替えでSTBYモード、監視制御部2はCPU切り替えでACTモードである。
4)STBY−CPU(旧版)の運用を解除する。
FIG. 50 is an explanatory diagram of switching the new version software to the CPU after the new version (STBY-CPU) is started up. The
4) Cancel the operation of the STBY-CPU (old version).
ACT−CPUは、CPU一重化の運用状態に遷移する。STBY−CPU(旧版)をリセットする。図51はSTBY−CPU(旧版)の運用解除の説明図である。監視制御部1はCPUリセットされ、監視制御部2は新版運用中である。
5)CPU一重化仮運用状態
ACT−CPUは、CPU一重化の運用状態に遷移する。STBY−CPUは立ち上げ完了(CPUは立ち上がっているが待機状態)する。図52はCPU一重化仮運用状態の説明図である。監視制御部1は旧版で待機状態であり、監視制御部2は新版で運用中である。
[(i)監視制御部二重化運用時のaccept version]
1)正常CPU二重化状態
1.試験監視前に、新ソフトウェアがインストールされていることが必要である。
2.SWDL状態でないことを確認する(SWDL STATUS=NORMAL)
図53は監視制御部正常二重化状態の説明図である。監視制御部1は新版で待機状態であり、監視制御部2は新版で運用中である。
2)change version コマンド発行
1.CPU二重化中で、且つSWDL状態でないことを確認する(SWDL STATUS=NORMAL)
2.SWDL STATUSをSWDL中に更新する(NORMAL→NOW SWDL)
3.SWDL CPU状態をSTBY−CPU新版立ち上げ待ち状態に設定する(NORMAL→WAIT)
4.STBY−CPUを新版で立ち上げるため、CFバンクを新版に切り替え、CPUをリセットする。
5.CPU立ち上げ契機に、CF DBをRAMへ展開する時に新版DBにコンバートされる。
The ACT-CPU transitions to an operation state in which the CPU is unified. Reset the STBY-CPU (old version). FIG. 51 is an explanatory diagram of the operation cancellation of the STBY-CPU (old version). The
5) CPU single operation temporary operation state The ACT-CPU transits to a CPU single operation state. The STBY-CPU completes startup (the CPU is up but in a standby state). FIG. 52 is an explanatory diagram of the CPU single provisional operation state. The
[(I) accept version for redundant monitoring and control unit operation]
1) Normal CPU duplex state New software must be installed before test monitoring.
2. Confirm that it is not in SWDL state (SWDL STATUS = NORMAL)
FIG. 53 is an explanatory diagram of a normal duplex state of the monitoring control unit. The
2) Issue change version command Confirm that the CPU is duplicated and not in the SWDL state (SWDL STATUS = NORMAL)
2. Update SWDL STATUS into SWDL (NORMAL → NOW SWDL)
3. Set SWDL CPU state to STBY-CPU new version waiting state (NORMAL → WAIT)
4). In order to start up the STBY-CPU in the new version, the CF bank is switched to the new version and the CPU is reset.
5). When the CPU is started up, the CF DB is converted to the new version DB when it is expanded to the RAM.
図54は二重化仮運用の定着要求の説明図である。監視制御部1は旧版で運用中であり、監視制御部2は新版立ち上げ中である。
3)新版(STBY−CPU)立ち上げ後、新版ソフトウェアのCPUに切り替える。
FIG. 54 is an explanatory diagram of a fixing request for duplex temporary operation. The
3) After starting the new version (STBY-CPU), switch to the CPU of the new version software.
図55は新版(STBY−CPU)立ち上げ後、新版ソフトのCPUへの切り替えの説明図である。監視制御部1はCPU切り替えによるSTBYモードであり、監視制御部2はCPU切り替えによるACTモードである。
4)STBY−CPU(旧版)の運用を解除する。
FIG. 55 is an explanatory diagram of switching the new version software to the CPU after the new version (STBY-CPU) is started up. The
4) Cancel the operation of the STBY-CPU (old version).
ACT−CPUは、CPU一重化の運用状態に遷移する。STBY−CPU(旧版)をリセットする。図56はSTBY−CPU(旧版)の運用解除の説明図である。監視制御部1はCPUリセット、監視制御部2は新版運用中である。
5)CPU一重化仮運用状態
ACT−CPUは、CPU一重化の運用状態に遷移する。STBY−CPUは立ち上げ完了(CPUは立ち上がっているが待機状態)である。図57はCPU一重化仮運用状態の説明図である。監視制御部1は旧版で待機状態であり、監視制御部2は新版で運用中である。
The ACT-CPU transitions to an operation state in which the CPU is unified. Reset the STBY-CPU (old version). FIG. 56 is an explanatory diagram of the operation cancellation of the STBY-CPU (old version). The
5) CPU single operation temporary operation state The ACT-CPU transits to a CPU single operation state. The STBY-CPU has been started up (the CPU is up but in a standby state). FIG. 57 is an explanatory diagram of the CPU single provisional operation state. The
次に、本発明の具体的な実施の形態例について説明する。図58は本発明の一実施の形態例を示すブロック図である。図において、1は前述した監視制御部であり、監視制御部1と監視制御部2の二重化構成となっている。図には、CPU(1)とCPU(2)が示されているが、監視制御部1,監視制御部2と同じ意味である。2はラインユニット(LIU)と呼ばれる信号制御部であり、図では(1)〜(8)まで最大8ユニットが設けられている。3はスイッチ(Switch)と呼ばれる装置であり、各LIUで入出力するパスで障害が発生した場合にパスを切り替える装置である。4は監視制御部1と上述した監視制御部2とスイッチ3間を接続するLANである。5は転送ソフトウェアを保持するワークステーション又はパソコン(PC)を示す。6は上記のワークステーション5と装置間のFTPを実現する装置(COM)であり、この装置へ接続することで、装置内LAN7,8を介して後述するRAM DISKへアクセスすることができる。
Next, specific embodiments of the present invention will be described. FIG. 58 is a block diagram showing an embodiment of the present invention. In the figure,
監視制御装置1において、1aはパワーオン時にデバイスやOSの起動を行なうソフトウェア(Boot)、1bはRAM DISKであり、ネットワーク経由でソフトウェアを転送した場合に一時的に使用するメモリである。メモリ1bはユーザが使用できる領域である。1cはWork(ワーク) RAM DISKであり、ソフトウェアがCPU上で動作するのに使用するメモリであり、ユーザからは見えない。1dはフラッシュメモリであり、ソフトウェアやデータベースを管理するメモリである。パワーオン時やSWDL時は、ここに保管されているソフトウェアをワークRAM1cに展開して立ち上げるようになっている。
In the monitoring and
次に、信号制御部2において、2aはパワーオン時にデバイスやOSの起動を行なうソフトウェア(Boot)である。2bは信号制御部で動作するソフトウェアを管理するFLASHメモリ、2cはWork RAMであり、信号制御部で動作するソフトウェアをFLASHからRAMへロードするメモリである。このように構成されたシステムの動作を以下に説明する。
〈SWDLデータ(新ソフトウェア)の流れ〉
図59,図60はSWDL(新ソフトウェア)の流れを示す図である。
1)新ソフトウェアをネットワーク経由で転送(FTP)する(ソフトウェア:圧縮ファイル)。転送されたファイルは、ACT−CPUのRAM Diskに書き込まれる(図〔1〕参照)。この時、STBY−CPUとLIUは1−8はACT−CPUによる状態監視中である。
2)新ソフトウェアのダウンロード要求(インストールコマンド)によりRAM Disk上のソフトウェアを解凍後、3)ACT−CPUのCompact Flash(STBY面)へ書き込み、次に4)STBY−CPUのCompact Flash(STBY面)へ書き込む(図〔2〕参照)。この時、LIUのFlash メモリは1面管理のために書き込まない。
5)新ソフトウェアへの切り替え要求(change versionコマンド)を受け付けると、6)LIU1−8に対して新ソフトウェアをダウンロード(Flash書き込み)する。新ソフトウェアの書き込みが完了したらLIUをソフトウェア・リセットする(ハードウェアI/Oはリセットしないため信号断は発生しない)。7)LIUはFlash上のソフトウェアをWork RAMへ展開して立ち上がる。もし、全てのLIUが新ソフトウェアで立ち上がったら、8)ACT−CPUは二重化状態から一重化状態に変更後(STBY−CPUの状態監視を解除する)、9)STBY−CPUに対して新ソフトウェアの立ち上げを要求する。10)STBY−CPUは、新ソフトウェア(Compact Flash)をACT面に切り替え、CPUをソフト・リセットし、新ソフトウェアを立ち上げる(図〔3〕参照)
11)STBY−CPUが新ソフトウェアで立ち上がったなら、新ソフトウェア立ち上げ完了通知をACT−CPUへ送信する(図〔4〕参照)。
12)11)の通知を受信後、ACT−CPUは新ソフトウェアを運用させるために、STBY−CPUをSTBY−ACTへ切り替えを行なう(CPU切り替え後は、新ソフトウェアによる新ACT−CPU一重化運用状態になる)。13)ACT/STBY−CPU切り替えにより、LIU1−8の状態監視は、旧ACT−CPUから新ACT−CPUに切り替わる(右側の新ACT−CPUは新ソフトウェアで仮運用中/左側の旧ACT−CPUは旧ソフトウェアで立ち上がっている状態となる。図〔5〕参照)。
Next, in the
<Flow of SWDL data (new software)>
59 and 60 are diagrams showing the flow of SWDL (new software).
1) Transfer (FTP) the new software via the network (software: compressed file). The transferred file is written in the RAM Disk of the ACT-CPU (see FIG. [1]). At this time, STBY-CPU and LIU 1-8 are being monitored by ACT-CPU.
2) After decompressing the software on the RAM Disk in response to a new software download request (install command), 3) write to the Compact Flash (STBY surface) of the ACT-CPU, and then 4) the Compact Flash (STBY surface) of the STBY-CPU. (See FIG. 2). At this time, the flash memory of the LIU is not written for managing one page.
5) Upon receiving a request for switching to new software (change version command), 6) download the new software to LIU 1-8 (write to Flash). When the writing of the new software is completed, the LIU is reset by software (the hardware I / O is not reset, so no signal interruption occurs). 7) The LIU starts up by expanding the software on the Flash into the Work RAM. If all LIUs are started up with new software, 8) ACT-CPU changes from duplexed state to singled state (cancels STBY-CPU state monitoring), 9) new software for STBY-CPU Request startup. 10) The STBY-CPU switches the new software (Compact Flash) to the ACT surface, soft resets the CPU, and launches the new software (see Figure [3])
11) If the STBY-CPU is started up with new software, a new software start-up completion notice is transmitted to the ACT-CPU (see FIG. [4]).
12) After receiving the notification of 11), the ACT-CPU switches the STBY-CPU to the STBY-ACT in order to operate the new software (after the CPU is switched, the new ACT-CPU single operation state by the new software) become). 13) The state monitoring of the LIU 1-8 is switched from the old ACT-CPU to the new ACT-CPU by switching the ACT / STBY-CPU (the new ACT-CPU on the right side is temporarily operating with new software / the old ACT-CPU on the left side) Is in a state where it has been started up with the old software (see figure [5]).
図59,図60は、既存のソフトウェア・ダウンロード時のSWDLデータの流れについての説明である。下記では、コマンドによる新ソフトウェアの定着及び旧ソフトウェアへの切り戻し時の処理の動きについて説明する。
(新ソフトウェアを定着させる場合)
ACT−CPU(新ソフトウェア)で新ソフトウェア定着要求(accept versionコマンド)を受け付けると、STBY−CPUの新ソフトウェアをACT面に切り替え、CPUをリセットすることで新ソフトウェアを立ち上げる(STBY−CPUをリセット後、CPU二重化待ち状態に変更)。ここで、STBY−CPUが新ソフトウェアで立ち上がってきたら、CPU二重化状態へ遷移する。STBY−CPUは、ACT−CPUによる状態監視になる。
(旧ソフトウェアへ切り戻す場合)
ACT−CPU(新ソフトウェア)で新ソフトウェア解除要求(cancel versionコマンド)を受け付けると、自CPU(ACT−CPU)の旧ソフトウェアをACT面に変更(Compact Flash)し、旧ソフトウェアが動作中のSTBY−CPUをACT−CPUに切り替える。新ACT−CPUは、STBY−CPUとの二重化待ち状態に変更する。STBY−CPUが立ち上がってきたら、CPU二重化状態へ遷移する。この時、STBY−CPUは、ACT−CPUによる状態監視になる。
〈CPU二重化仮運用までにCPU1/CPU2間で連携するデータ〉
図61,図62はCPU二重化仮運用までにCPU1/CPU2間でのデータの連携を示すフローチャートである。最初はCPU1はACT状態、CPU2はSTBY状態にあるものとする。CPU1側は、SWDL状態、監視制御部状態共にNORMALであるものとする(S1,S2)。ここで、CPU1側にchange version3が入力されると(S3)、CPU1側は実行コマンド種別は“2”、SWDL状態は NOW SWDL、ソフト管理面B(新)、監視制御部状態がWAITとなり、対向CPUの新版立ち上げ完了待ちとなる(S4)。CPU1はCPU2に対して管理情報の更新要求を行なう(S5)。この結果、CPU2は、CPU1のステップS4の内容がコピーされたものとなる(S6)。
FIG. 59 and FIG. 60 are explanations of the flow of SWDL data when downloading existing software. In the following, a description will be given of the process of fixing new software and switching back to the old software using commands.
(When establishing new software)
When a new software fixing request (accept version command) is received by ACT-CPU (new software), the new software of STBY-CPU is switched to the ACT surface, and the new software is started by resetting the CPU (resetting STBY-CPU) After that, it is changed to a CPU duplication waiting state). Here, when the STBY-CPU starts up with the new software, the CPU transits to the CPU duplication state. The STBY-CPU performs state monitoring by the ACT-CPU.
(When switching back to the old software)
When the ACT-CPU (new software) accepts a new software release request (cancel version command), the old software of its own CPU (ACT-CPU) is changed to the ACT surface (Compact Flash), and the STBY- Switch CPU to ACT-CPU. The new ACT-CPU is changed to a duplex waiting state with the STBY-CPU. When the STBY-CPU starts up, the CPU transits to the CPU duplex state. At this time, the STBY-CPU performs state monitoring by the ACT-CPU.
<Data to be linked between CPU1 / CPU2 before CPU redundant provisional operation>
61 and 62 are flowcharts showing data linkage between the
次に、CPU1からCPU2に対してSTBY−CPUリスタート(Restart)要求が出される(S7)。CPU2では、リスタートが実施される(S8)。次に、CPU2はCPU1に対して新ソフトウェアによる立ち上げ完了通知を出す(S9)。この通知を受けて、CPU1側では監視制御部状態がSWITCHとなり、CPU切り替えが開始される(S10)。次に、CPU1側からCPU2側に対して監視制御部状態をSWITCHに更新する通知が出される(S11)。この通知を受けて、CPU2側も監視制御部状態がSWITCHとなり、CPU切り替え完了待ちとなる(S12)。
Next, an STBY-CPU restart request is issued from
この間に、CPU1側ではCPU切り替えが実行される(S13)。そして、CPU1とCPU2間で、ACT/STBY−CPU切り替えが行われる(S14)。その後、CPU1側では、CPU切り替えが完了する(S15)。この結果、CPU1側は、監視制御部状態がRESETとなり、CPU切り替えが完了し、自CPU新ソフトウェアが立ち上がる(S16)。次に、CPU1側からCPU2側に対して監視制御部状態をRESETに更新する通知がなされる(S17)。この結果、CPU2側は監視制御部状態がRESETとなり、対向CPUの立ち上げ完了待ち状態となる(S18)。
During this time, CPU switching is executed on the
この間に、CPU1側ではリスタートを実施する(S19)。そして、CPU1側からCPU2側に対して新ソフトウェアによる立ち上げ完了通知が出される(S20)。この通知を受けたCPU2側では、監視制御部状態がCOMP2となり、監視制御部が二重化され、仮運用状態へ遷移する(S21)。次に、CPU2側からCPU1側に対してSWDL完了状態に遷移する通知が出され(S22)、CPU1側は監視制御部状態がCOMP2となり、監視制御部二重化、仮運用状態へ遷移する(S23)。
During this period, the
次に、新ソフトウェアによるCPU二重化仮運用時にハードウェア障害を検出した時、どのようにして新ソフトウェア運用解除をスキップするかについて説明する。ハードウェアスキップ機能を実現するにあたり、以下の管理情報/メッセージを保持・使用する。
〈ハードウェア障害による新ソフトウェア仮運用解除スキップを管理するデータ〉
図63は監視制御部ステータスを示す図である。ステータスがCOMP3の場合は、二重化仮運用モードへ遷移後の障害検出なので、新ソフトウェアによる仮運用解除をスキップする(新ソフトウェアによる仮運用を継続)。ステータスがCOMP3以外の場合、二重化仮運用モードへ遷移前の障害検出なので、新ソフトウェアによる仮運用を解除する(旧ソフトウェアに切り戻す)。
Next, how a new software operation cancellation is skipped when a hardware failure is detected during temporary CPU duplication operation using new software will be described. The following management information / messages are retained and used to implement the hardware skip function.
<Data for managing the temporary software release cancellation skip due to hardware failure>
FIG. 63 is a diagram showing the monitoring control unit status. When the status is COMP3, the failure detection after the transition to the duplex temporary operation mode is detected, so the temporary operation cancellation by the new software is skipped (provisional operation by the new software is continued). If the status is other than COMP3, the failure is detected before the transition to the duplex temporary operation mode, so the temporary operation by the new software is canceled (reverted to the old software).
図64は自装置ハード状態フラグを示す図である。ハード障害情報が正常(=“0”)である場合、監視制御部のハードウェアが正常な状態である。ハード障害情報が異常(=“1”)の場合、監視制御部でハードウェアに異常を検出した場合は、異常を検出した機能ブロックにてハードウェア異常情報(“1”)を設定する。 FIG. 64 is a diagram showing the own device hardware status flag. When the hardware failure information is normal (= “0”), the hardware of the monitoring control unit is in a normal state. When the hardware failure information is abnormal (= “1”) and the monitoring control unit detects an abnormality in the hardware, the hardware abnormality information (“1”) is set in the functional block that detected the abnormality.
図65は対向装置ハード状態フラグを示す図である。対向装置フラグが正常(=“0”)である場合、対向する監視制御部のハードウェアが正常な状態である。対向装置フラグが異常(=“1”)である場合、対向する監視制御部のハードウェアに障害発生を、CPU,ハードエラー,メッセージ受信により対向装置のハード異常フラグを認識する。 FIG. 65 is a diagram showing a counter device hardware state flag. When the opposing device flag is normal (= “0”), the hardware of the opposing monitoring control unit is in a normal state. When the opposing device flag is abnormal (= “1”), the hardware failure of the opposing monitoring control unit is detected, and the hardware abnormality flag of the opposing device is recognized by the CPU, hardware error, and message reception.
図66は自装置ハード障害通知メッセージを示す図である。メッセージの名称がCPU_HARD_ERROR_MSGである場合、メッセージの機能は、監視制御部が周期により、図64の2のハード異常を検出した時、自監視制御部状態がCOMP3(図18参照)であれば、二重化仮運用を構成する対向監視制御部に対して障害を通知するメッセージである。ここで、メッセージ送信パターンは2種類あり、ACT−CPU→STBY−CPUと、STBY−CPU→ACT−CPUである。
〈ハード障害検出と新ソフトウェア仮運用解除スキップ動作〉
本機能は、監視制御部二重化仮運用中にハード障害を検出した場合、どのようにして新ソフトウェア仮運用の解除をスキップさせるかについてその論理について説明する。
(STBY−CPU側でハード障害を検出した場合の動作)
図67,68はSTBY−CPU側でハード障害を検出した場合の動作フローを示す図である。
1.監視制御部(CPU)二重化仮運用中状態
各監視制御部は、新ソフトウェアによる二重化仮運用中状態(COMP3)の時、ACT−CPUはSTBY−CPUの状態監視中である(図〔1〕参照)。
2.監視制御部二重化仮運用中にACT−CPUでハード障害を検出
STBY−CPU側でハード障害を検出した場合、障害を検出した装置のハード異常(“1”)フラグを設定する(図〔2〕参照)。
3.監視制御部による周期処理で、STBY−CPUのハード障害を検出
ハード障害を検出後、対向する監視制御部に対して、自装置の障害情報をCPU_HARD_ERROR_MSGにより障害通知を送信する。このメッセージを受信したACT−CPUは、対向装置のハード異常状態を設定する(図〔3〕参照)。
4.ハード障害を検出した装置は自監視制御部をフォールト(FAULT)にする。
FIG. 66 is a diagram showing the own device hardware failure notification message. When the name of the message is CPU_HARD_ERROR_MSG, the function of the message is duplicated when the monitoring control unit detects the
<Hardware failure detection and new software temporary operation cancellation skip operation>
This function explains the logic of how to cancel the release of the new software temporary operation when a hardware failure is detected during the redundant operation of the supervisory control unit.
(Operation when a hardware failure is detected on the STBY-CPU side)
67 and 68 are diagrams showing an operation flow when a hardware failure is detected on the STBY-CPU side.
1. Monitoring and Control Unit (CPU) Duplex Temporary Operation Status Each monitoring control unit is monitoring the status of the STBY-CPU when the ACT-CPU is in a duplex temporary operation state (COMP3) using new software (see FIG. 1). ).
2. When a hardware failure is detected by the ACT-CPU during redundant operation of the supervisory control unit, when a hardware failure is detected on the STBY-CPU side, a hardware abnormality (“1”) flag of the device that detected the failure is set (FIG. 2). reference).
3. Detection of a hardware failure of the STBY-CPU by periodic processing by the monitoring control unit After detecting a hardware failure, a failure notification of the own device's failure information is transmitted to the opposite monitoring control unit by CPU_HARD_ERROR_MSG. The ACT-CPU that has received this message sets the hardware abnormal state of the opposing device (see FIG. [3]).
4). The device that has detected the hardware failure sets its own monitoring control unit to fault (FAULT).
自装置のハード障害メッセージを送信後、自装置をハード障害によるフォールトを発生させる(図〔4〕参照)。
5.対向監視制御部フォールト検出後、自装置の振る舞いを決定する。
After transmitting the hardware failure message of the own device, the device causes a fault due to the hardware failure (see FIG. [4]).
5). After detecting the opposing monitoring control unit fault, the behavior of the own device is determined.
対向する監視制御部のフォールト検出後、監視制御部状態により次動作を決定する。監視制御部状態=COMP3の場合、新ソフトウェアを継続して使用する。監視制御部状態=COMP3以外の場合、新ソフトウェアを旧版数へ切り戻す(図〔5〕参照)。 After detecting the fault of the opposing monitoring control unit, the next operation is determined by the monitoring control unit state. When the monitoring control unit state = COMP3, the new software is continuously used. When the monitoring control unit state is other than COMP3, the new software is switched back to the old version (see FIG. 5).
以上、詳細に説明したように、本発明によれば、新ファームウェアでの連続運転での機能評価を十分に行なうことができると共に、二重化構成での新ファームウェア検証を行なうことができる。 As described above in detail, according to the present invention, it is possible to sufficiently perform the function evaluation in the continuous operation with the new firmware and to perform the new firmware verification with the duplex configuration.
(付記1)
アクト系装置とスタンバイ系装置とが、新版と旧版のソフトウェアを具備し、アクト系とスタンバイ系とで旧版と新版の切り替え運用を行なう場合において、
アクト系とスタンバイ系とを双方とも新版にした状態で動作させ、
ソフトウェア障害が発生した場合には、旧版に戻し、
ハードウェア障害が発生した場合には、旧版には戻さず新版での動作を続行する
ようにしたことを特徴とする装置の二重化仮運用方法。
(Appendix 1)
When the act system and standby system have new and old versions of software, and the act system and standby system switch between the old and new versions,
Operate with both Act system and Standby system in the new version,
If a software failure occurs, revert to the previous version,
A redundant provisional operation method for a device, characterized in that when a hardware failure occurs, the operation of the new version is continued without returning to the old version.
(付記2)
LANで接続され、それぞれがアクト系とスタンバイ系として動作する装置と、
これら装置とLANを介して接続される信号制御部とを具備し、
前記装置内には、パワーオン時にデバイスやOSの起動を行なうブート手段と、
ワークエリアとして、また転送データを一時的に使用し、またソフトウェアやデータベースを管理する機能を持つメモリと、
を有し、
アクト系装置とスタンバイ系装置とが、新版と旧版のソフトウェアを具備し、アクト系とスタンバイ系とで旧版と新版の切り替え運用を行なうように構成されたことを特徴とする装置の二重化システム。
(Appendix 2)
Devices connected by LAN, each acting as an act system and a standby system,
A signal control unit connected to these devices via a LAN,
In the apparatus, boot means for starting the device and OS at power-on, and
As a work area, temporarily use transfer data, and memory with functions to manage software and database,
Have
An apparatus duplication system characterized in that an act system and a standby system have a new version and an old version of software, and the act system and the standby system are switched between the old version and the new version.
(付記3)
前記アクト系とスタンバイ系とを双方とも新版にした状態で動作させ、ソフトウェア障害が発生した場合には、旧版に戻し、ハードウェア障害が発生した場合には、旧版には戻さず新版での動作を続行するようにしたことを特徴とする付記2記載の装置の二重化システム。
(Appendix 3)
Operate both the Act system and the standby system in the new version, and if a software failure occurs, revert to the old version, and if a hardware failure occurs, operate the new version without returning to the old version. The system for duplicating a device according to
(付記4)
アクト系装置とスタンバイ系装置とが、新版と旧版のソフトウェアを具備し、アクト系とスタンバイ系とで旧版と新版の切り替え運用を行なう場合において、
旧ソフトウェア二重化仮運用から、新ソフトウェア一重化仮運用、新ソフトウェア二重化仮運用(連続運用モード)、新ソフトウェア二重化仮運用(非連続運用モード)のうちの何れかを選択することができるようにしたことを特徴とする装置の二重化仮運用方法。
(Appendix 4)
When the act system and standby system have new and old versions of software, and the act system and standby system switch between the old and new versions,
It is now possible to select one of the old software duplex temporary operation from the new software single temporary operation, the new software redundant temporary operation (continuous operation mode), and the new software redundant temporary operation (non-continuous operation mode). A redundant provisional operation method for a device characterized by the above.
(付記5)
新ソフトウェア運用中に、ソフトウェアの運用モードを非連続運用モードと連続運用モードとの間で切り替えることができるようにしたことを特徴とする付記4記載の装置の二重化仮運用方法。
(Appendix 5)
The duplex temporary operation method for an apparatus according to
(付記6)
新ソフトウェア運用中に、一重化仮運用と二重化仮運用を変更可能にしたことを特徴とする付記4記載の装置の二重化仮運用方法。
(Appendix 6)
The duplex temporary operation method for an apparatus according to
(付記7)
新ソフトウェア二重化仮運用中時に、信号断が発生しない新版ソフトウェアから旧ソフトウェアへの切り替えを可能としたことを特徴とする付記4記載の装置の二重化仮運用方法。
(Appendix 7)
The method of redundant provisional operation of an apparatus according to
(付記8)
新ソフトウェア二重化仮運用時の、新ソフトウェア定着を可能としたことを特徴とする付記4記載の装置の二重化仮運用方法。
(Appendix 8)
The method of redundant provisional operation of an apparatus according to
(付記9)新ソフトウェア(一重化又は二重化)仮運用中に、新ソフトウェア一重化仮運用又は、新ソフトウェア二重化仮運用状態に切り替えることができるようにしたことを特徴とする請求項1記載の装置の二重化仮運用方法
(Appendix 9) The apparatus according to
1 監視制御部
1a Boot
1b RAM DISKメモリ
1c Workメモリ
1d フラッシュメモリ
2 信号制御部
2a Boot
2b フラッシュメモリ
2c Work RAM
3 スイッチ装置
4 LAN
5 パソコン
6 FTP実現装置
7 LAN
8 LAN
1 Monitoring and
1b
3
5
8 LAN
Claims (5)
アクト系とスタンバイ系とを双方とも新版にした状態で動作させ、
ソフトウェア障害が発生した場合には、旧版に戻し、
ハードウェア障害が発生した場合には、旧版には戻さず新版での動作を続行する
ようにしたことを特徴とする装置の二重化仮運用方法。 When the act system and standby system have new and old versions of software, and the act system and standby system switch between the old and new versions,
Operate with both Act system and Standby system in the new version,
If a software failure occurs, revert to the previous version,
A redundant provisional operation method for a device, characterized in that when a hardware failure occurs, the operation of the new version is continued without returning to the old version.
これら装置とLANを介して接続される信号制御部とを具備し、
前記装置内には、パワーオン時にデバイスやOSの起動を行なうブート手段と、
ワークエリアとして、また転送データを一時的に使用し、またソフトウェアやデータベースを管理する機能を持つメモリと、
を有し、
アクト系装置とスタンバイ系装置とが、新版と旧版のソフトウェアを具備し、アクト系とスタンバイ系とで旧版と新版の切り替え運用を行なうように構成されたことを特徴とする装置の二重化システム。 Devices connected by LAN, each acting as an act system and a standby system,
A signal control unit connected to these devices via a LAN,
In the apparatus, boot means for starting the device and OS at power-on, and
As a work area, temporarily use transfer data, and memory with functions to manage software and database,
Have
An apparatus duplication system characterized in that an act system and a standby system have a new version and an old version of software, and the act system and the standby system are switched between the old version and the new version.
旧ソフトウェア二重化運用から、新ソフトウェア一重化仮運用、新ソフトウェア二重化仮運用(連続運用モード)、新ソフトウェア二重化仮運用(非連続運用モード)のうちの何れかを選択することができるようにしたことを特徴とする装置の二重化仮運用方法。 When the act system and standby system have new and old versions of software, and the act system and standby system switch between the old and new versions,
From the old software duplex operation, you can select one of the new software single temporary operation, the new software dual temporary operation (continuous operation mode), and the new software dual temporary operation (non-continuous operation mode). A redundant provisional operation method for a device characterized by the above.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006082804A JP2007257447A (en) | 2006-03-24 | 2006-03-24 | Duplication temporary operation method and duplication system for device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006082804A JP2007257447A (en) | 2006-03-24 | 2006-03-24 | Duplication temporary operation method and duplication system for device |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007257447A true JP2007257447A (en) | 2007-10-04 |
Family
ID=38631606
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006082804A Pending JP2007257447A (en) | 2006-03-24 | 2006-03-24 | Duplication temporary operation method and duplication system for device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2007257447A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012088767A (en) * | 2010-10-15 | 2012-05-10 | Hitachi Solutions Ltd | Updating method for embedded program, update program for embedded program, electronic device, and network system |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0389654A (en) * | 1989-08-31 | 1991-04-15 | Fujitsu Ltd | Switching control system for communication control processor |
JPH04301946A (en) * | 1991-03-28 | 1992-10-26 | Mitsubishi Electric Corp | Self-diagnostic network managing device |
JPH09186686A (en) * | 1995-12-28 | 1997-07-15 | Mitsubishi Electric Corp | Network management system |
JP2000231491A (en) * | 1999-02-12 | 2000-08-22 | Nec Eng Ltd | Duplex microprocessor system |
JP2001077919A (en) * | 1999-09-03 | 2001-03-23 | Fujitsu Ltd | Redundant configuration supervisory control system, supervisory controller thereof and controller to be supervised |
JP2003122574A (en) * | 2001-10-10 | 2003-04-25 | Matsushita Electric Ind Co Ltd | Communication system, software update method, and software update program |
JP2003167752A (en) * | 2001-11-29 | 2003-06-13 | Nec Yonezawa Ltd | Program update system, program update method and program update program |
-
2006
- 2006-03-24 JP JP2006082804A patent/JP2007257447A/en active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0389654A (en) * | 1989-08-31 | 1991-04-15 | Fujitsu Ltd | Switching control system for communication control processor |
JPH04301946A (en) * | 1991-03-28 | 1992-10-26 | Mitsubishi Electric Corp | Self-diagnostic network managing device |
JPH09186686A (en) * | 1995-12-28 | 1997-07-15 | Mitsubishi Electric Corp | Network management system |
JP2000231491A (en) * | 1999-02-12 | 2000-08-22 | Nec Eng Ltd | Duplex microprocessor system |
JP2001077919A (en) * | 1999-09-03 | 2001-03-23 | Fujitsu Ltd | Redundant configuration supervisory control system, supervisory controller thereof and controller to be supervised |
JP2003122574A (en) * | 2001-10-10 | 2003-04-25 | Matsushita Electric Ind Co Ltd | Communication system, software update method, and software update program |
JP2003167752A (en) * | 2001-11-29 | 2003-06-13 | Nec Yonezawa Ltd | Program update system, program update method and program update program |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012088767A (en) * | 2010-10-15 | 2012-05-10 | Hitachi Solutions Ltd | Updating method for embedded program, update program for embedded program, electronic device, and network system |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US6907547B2 (en) | Test tool and methods for testing a computer function employing a multi-system testcase | |
US8255649B2 (en) | Remote copy control method and system in storage cluster environment | |
JP2007219757A (en) | Program for making virtual computer system function | |
JP3748339B2 (en) | How to synchronize multiple datastores to achieve data integrity | |
CN105426213A (en) | Software update method and system | |
WO2015043155A1 (en) | Method and device for network element backup and recovery based on command set | |
JP2011164800A (en) | Storage system and storage control method | |
JP5287974B2 (en) | Arithmetic processing system, resynchronization method, and farm program | |
JP3788832B2 (en) | Compound computer system | |
US7194675B2 (en) | Backup method, backup system, disk controller and backup program | |
JP2007257447A (en) | Duplication temporary operation method and duplication system for device | |
WO2011158367A1 (en) | Technology for updating active program | |
CN102708023A (en) | Standby system calculator, cluster system, method of providing service, and recording medium | |
JP3522176B2 (en) | Switching file update synchronization method | |
JP2001154896A (en) | Computer and method for updating file | |
JP3132744B2 (en) | Operation matching verification method for redundant CPU maintenance replacement | |
JP5537917B2 (en) | Management device, data processing control device, management method, data processing control method, and program | |
JP4483947B2 (en) | I / O controller | |
JP2007328595A (en) | Server system, and synchronization method for the system | |
JP6554801B2 (en) | Redundant communication device and control method thereof | |
JP4193754B2 (en) | Data duplication method and program | |
JPH05127891A (en) | Stable working method for software revision in computer system | |
JP2005157462A (en) | System switching method and information processing system | |
KR20050070171A (en) | Processor duplexed board | |
JP2020115301A (en) | Monitoring control system, operating method of monitoring control system, and control system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080806 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110428 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110510 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110711 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20111101 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20111108 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120221 |