JP2011186664A - バックアップシステム - Google Patents

バックアップシステム Download PDF

Info

Publication number
JP2011186664A
JP2011186664A JP2010049772A JP2010049772A JP2011186664A JP 2011186664 A JP2011186664 A JP 2011186664A JP 2010049772 A JP2010049772 A JP 2010049772A JP 2010049772 A JP2010049772 A JP 2010049772A JP 2011186664 A JP2011186664 A JP 2011186664A
Authority
JP
Japan
Prior art keywords
control
controller
backup
controllers
data storage
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010049772A
Other languages
English (en)
Other versions
JP5327105B2 (ja
Inventor
Akihiro Nakano
晃博 中野
Katsuto Shimizu
勝人 清水
Naoya Masuko
直也 益子
Terunori Hanawa
輝記 塙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2010049772A priority Critical patent/JP5327105B2/ja
Publication of JP2011186664A publication Critical patent/JP2011186664A/ja
Application granted granted Critical
Publication of JP5327105B2 publication Critical patent/JP5327105B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Safety Devices In Control Systems (AREA)
  • Hardware Redundancy (AREA)
  • Debugging And Monitoring (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)

Abstract

【課題】プラントを制御・監視する制御用コントローラをN:1あるいはN:M方式でバックアップするシステムにおいて、障害発生時の制御・監視動作の引継ぎ時間を短縮する。
【解決手段】複数の制御用コントローラ1〜3に対して設けたバックアップ用制御コントローラ4に、制御用コントローラ1〜3に搭載したプログラムのうち、制御用コントローラ1〜3で同一の処理を実行する制御用プログラムを搭載する。制御用データ保管装置8は、制御用コントローラ1〜3に搭載したプログラムのうち制御用コントローラ1〜3毎に異なる制御・監視機能の仕様を定義する制御用情報を保管し、制御用コントローラ1〜3の障害の発生の有無を監視して、障害の発生した制御用コントローラに対応する制御用情報をバックアップ用制御コントローラ4にダウンロードする。
【選択図】図1

Description

本発明は、例えば、発電所,下水処理プラント,化学プラント,鉄鋼プラントなどのプラントを制御・監視する制御用コントローラのバックアップシステムに関する。
発電所,下水処理プラント,化学プラント,鉄鋼プラントなどのプラントは複数の工程(プロセス)で構成されており、各プロセスにはそれぞれ1または複数の機器や設備(以下、機器と総称する)が含まれている。そのため、プラントを制御・監視するシステムでは、プロセスの数に対応して複数の制御用コントローラを設け、それらの制御用コントローラによって各プロセスに含まれる機器を制御・監視している。
こうした制御・監視システムでは、信頼性を高めるために、従来から、個々の制御用コントローラに対してそれぞれバックアップ装置(バックアップ用制御コントローラ)を1台あるいは2台設けた2重化あるいは3重化したバックアップシステムが構築されてきた。しかし、これらの2重化あるいは3重化したバックアップシステムは、制御用コントローラの数に比例した冗長系設備を必要とするので、初期投資や設置スペース上の問題がある。
この問題を解消するために、N台(Nは2以上の整数)の制御用コントローラに対して1台あるいはM台(Mは1以上且つN未満の整数)のバックアップ装置を設けるN:1あるいはN:Mバックアップシステムを構築することにより、2台以上の制御用コントローラでバックアップ装置を共用化することは従来から提案されている。
しかし、各制御用コントローラはプラント内の互いに異なる機器を制御・監視するので、各制御用コントローラに搭載されるプログラムも互いに異なっている。そこで、N:1あるいはN:Mバックアップシステムによってバックアップ装置を共用化する際に、障害が発生した制御用コントローラに搭載されているのと同じプログラムをバックアップ装置に実行させるために以下の方法が提案されていた。
例えば、特許文献1には、いずれかの制御用コントローラに障害が発生してから、その制御用コントローラに搭載されているのと同じプログラムをバックアップ装置にダウンロードするという方法が記載されている。
特開昭60−252903号公報
しかし、多くのプログラムをバックアップ装置に搭載する必要があるので、バックアップ装置が制御用コントローラよりも複雑・大型・高価・低速になる。そのため、プラントを制御するのに適したバックアップ装置を提供することが困難である。
また、特許文献1に記載された方法では、制御用コントローラに搭載されているのと同じプログラムを全てバックアップ装置にダウンロードするので、ダウンロードに要する時間が長くなる。そのため、障害の発生後バックアップ装置が制御・監視動作を引き継ぐまでに長い時間がかかるので、制御・監視対象の機器に悪影響を与える可能性がある。
また、各制御用コントローラに搭載されているプログラムを全て搭載することのできるデータ保管装置をオンラインで稼動させておく必要があり、この用途には一般に大型・高価・複雑な計算機が採用されるが、更にこの計算機の冗長化が必要になるという問題もある。
本発明は、上述の点に鑑み、N:1あるいはN:Mバックアップシステムによってバックアップ装置を共用化する際に、プラント内の多数または全ての機器を制御・監視対象としたプログラムを予めバックアップ装置に搭載することなく、しかも、制御・監視動作の引き継ぎに長い時間がかかり且つ大型・高価・複雑な計算機をオンラインで稼動させなければならないという問題を解消することを目的とする。
本発明に係るバックアップシステムでは、複数の制御用コントローラに対して設けられたバックアップ用制御コントローラに、制御用コントローラに搭載されたプログラムのうち、複数の制御用コントローラで同一の処理を実行するプログラムである制御用プログラムが搭載されている。制御用コントローラに搭載されたプログラムのうち、制御用コントローラ毎に異なる制御・監視機能の仕様を定義するプログラムである制御用情報は、制御用データ保管装置が保管している。制御用データ保管装置は、各制御用コントローラの障害の発生の有無を監視し、いずれかの制御用コントローラに障害が発生した場合に、保管している制御用情報のうち障害の発生した制御用コントローラに対応する制御用情報をバックアップ用制御コントローラにダウンロードする。
本発明によれば、制御用コントローラに障害が発生した場合に、その制御用コントローラに搭載されているプログラム全体をバックアップ用制御コントローラにダウンロードする場合よりもダウンロードに要する時間が短くて済む。このため、バックアップ用制御コントローラが制御・監視動作を引き継ぐまでの時間を短縮することができる。また、制御用データ保管装置として、複数の制御用コントローラに搭載されているプログラム全体を搭載する場合のような大型・高価・複雑な計算機を採用する必要がなくなる。
本発明の一実施の形態に係るバックアップシステムの全体構成を示す図である。 制御用コントローラ及びバックアップ用制御コントローラにおけるプログラム配置を示す図である。 制御用プログラム及び制御用情報の構造を示す図である。 構築情報の構造を示す図である。 データイコライズ処理を示す図である。 障害発生時に制御用データ保管装置が実行する処理を示す図である。 バックアップ用制御コントローラが実行するダウンロード確認処理を示す図である。 障害発生時にプロセス入出力装置が実行する処理を示す図である。 制御用コントローラが自己の障害の検出時に実行する処理を示す図である。
以下、本発明を実施するための最良の形態(以下、実施の形態とする)について、図1〜図9を参照して説明する。
〈システムの概要〉
図1は、本発明の一実施の形態に係るバックアップシステム10の全体構成を示す図である。
このバックアップシステム10では、制御用コントローラ1,2,3と、バックアップ用制御コントローラ4とが、ネットワーク30により、制御用データ保管装置8及びプログラム保守装置9に接続されている。
また、制御用コントローラ1,2,3と、バックアップ用制御コントローラ4とは、プロセス入出力ネットワーク31により、プロセス入出力装置5,6,7に接続されている。プロセス入出力装置5,6,7には、制御・監視対象のプラントのうち、それぞれ異なるプロセスに含まれる機器(図示略)が接続されている。
このバックアップシステム10では、制御用コントローラ1,2,3が全て正常に動作している場合は、制御コントローラ1が、プロセス入出力装置5を介して、機器に制御信号を出力し、機器の動作状態を示す信号を入力することにより、プロセス入出力装置5に接続された機器を制御・監視する。また、制御コントローラ2が、プロセス入出力装置6を介して、機器に制御信号を出力し、機器の動作状態を示す信号を入力することにより、プロセス入出力装置6に接続された機器を制御・監視する。また、制御コントローラ3が、プロセス入出力装置7を介して、機器に制御信号を出力し、機器の動作状態を示す信号を入力することにより、プロセス入出力装置7に接続された機器を制御・監視する。
制御用コントローラ1,2,3はプラント内の互いに異なるプロセスに含まれる機器を制御・監視するので、各制御用コントローラ1,2,3には互いに異なるプログラムを搭載しなければならない。ただし、このバックアップシステム10では、このプログラムを、各制御用コントローラ1,2,3毎に異なる制御・監視機能の仕様を定義するプログラムである制御用情報と、各制御用コントローラ1,2,3で同一の処理を実行するプログラムである制御用プログラムとに分けて管理する。
プログラム保守装置9は、前述した制御用プログラムを保管する装置である。プログラム保守装置9は、各制御用コントローラ1,2,3に制御用プログラムをダウンロードするとともに、バックアップ用制御コントローラ4にも制御用プログラムを予めダウンロードする。そして、各制御用コントローラ1,2,3への制御用プログラムのダウンロードが完了すると、プログラム保守装置9は、ダウンロードが完了したことを制御用データ保管装置8に通知する。
制御用データ保管装置8は、前述した各制御用コントローラ1,2,3毎の制御用情報を保管する装置である。制御用データ保管装置8は、プログラム保守装置9から前述のダウンロード完了の通知を受けたことに応じて、各制御用コントローラ1,2,3に、それぞれに対応した制御用情報をダウンロードする。
また、各制御用コントローラ1,2,3は、正常動作時には、常に現在の演算データを制御用データ保管装置8に通知する。制御用データ保管装置8は、各制御用コントローラ1,2,3から通知された演算データを保管する。
バックアップ用制御コントローラ4は、制御用コントローラ1,2,3に共通に設けられたバックアップ装置である。制御用コントローラ1,2,3のうちのいずれかに障害が発生すると、制御用データ保管装置8は、障害の発生した制御用コントローラに対応する制御用情報を、バックアップ用制御コントローラ4にダウンロードする。その際、制御用データ保管装置8は、障害の発生した制御用コントローラから障害発生直前に通知された演算データもバックアップ用制御コントローラ4にダウンロードする。そして、バックアップ用制御コントローラ4が、障害の発生した制御用コントローラの制御・監視動作を引き継ぐ。
〈プログラム配置及びプログラムの構造〉
次に、制御用コントローラ1,2,3及びバックアップ用制御コントローラ4におけるプログラム配置と、プログラムの構造とについて説明する。
図2は、制御用コントローラ1,2,3及びバックアップ用制御コントローラ4におけるプログラム配置を示す図である。
システムプログラム20は、OSやドライバなどである。制御用プログラム21は、前述のように、各制御用コントローラ1,2,3で同一の処理を実行するプログラムである。これらのシステムプログラム20及び制御用プログラム21は、図1のプログラム保守装置9から、制御用コントローラ1,2,3にダウンロードされるとともに、バックアップ用制御コントローラ4にも予めダウンロードされる。
コントローラ別情報23は、各制御用コントローラ1,2,3毎に異なるプログラムである。このコントローラ別情報23は、構築情報22と、制御用情報24と、イコライズデータアドレス25と、誤り検出用のCRC(巡回冗長検査)コード26とで構成される。
構築情報22は、システム構成情報であり、当該制御用コントローラへのカードの実装情報や、図1のネットワーク30及びプロセス入出力ネットワーク31のアドレス情報や、図1のプロセス入出力装置5,6,7を指定する情報や、信号のレンジ・変換方法を示す情報などから成っている。
制御用情報24は、前述のように、各制御用コントローラ1,2,3毎に異なる制御・監視機能の仕様を定義するプログラムであり、制御用プログラム21に所定の制御・監視動作を実行させるための定数や接続情報から成っている。
イコライズデータアドレス25は、制御用コントローラ1,2,3が正常動作時に生成した演算データのうち、障害発生時にバックアップ用制御コントローラ4に引き継ぐべき演算データを、ワークデータエリア27内のどの領域に格納するかを示すアドレス情報である。
制御用コントローラ1,2,3には、それぞれの制御用コントローラ毎のコントローラ別情報23が、図1の制御用データ保管装置8からダウンロードされる。また、バックアップ用制御コントローラ4には、制御用コントローラ1,2,3のうち障害の発生した制御用コントローラに対応するコントローラ別情報23が、制御用データ保管装置8からダウンロードされる。
ワークデータエリア27は、オンライン動作中に使用するスタックや変数領域などのメモリ上のエリアである。また前述のように、障害発生時にバックアップ用制御コントローラ4に引き継ぐべき演算データも、ワークデータエリア27に格納される。
図3は、図2に示した制御用プログラム21及び制御用情報24の構造を示す図である。
制御用情報24中には、制御用情報テーブル240が設けられている。制御用情報テーブル240は、1つ目の命令2400,2つ目の命令2401,…最後の命令2402というように、実行する命令の順序を記述した順序仕様の制御用情報テーブルである。制御用コントローラ1,2,3やバックアップ用制御コントローラ4内のCPU(中央演算処理装置:Central Processing Unit)は、この制御用情報テーブル240の情報を上から順に取り出し、命令を解釈する。
制御用情報テーブル240の各命令2400,2401,…2402には、当該命令における演算の内容を示す演算仕様の制御用情報テーブルが記述されている。図3には、2つ目の命令2401に記述された演算仕様の制御用情報テーブル241を示している。この制御用情報テーブル241では、命令の実行体を示すサブルーチン2410をコールする。また、図2のワークデータエリア27においてデータ2701,2702,2703,…が格納されているアドレスのうち、サブルーチン2410に渡す引数としての入力値が格納されているアドレス2411、演算結果を出力すべきアドレス2412、演算中で使用する定数などが格納されているアドレス2413をサブルーチン2410に渡す。
制御用プログラム21は、この命令の実行体を示すサブルーチン2410のサブルーチン群2100,2101,…である。このサブルーチン群2100,2101,…自体は定型的な演算を実行するものであるため、各制御用コントローラ1,2,3の制御・監視動作が異なっていても、制御用プログラム21は各制御用コントローラ1,2,3で同一になっている。
プラントの制御・監視動作は、こうした構造のプログラムを繰り返し実行して、今回生成した演算データを次回の演算時に初期値として使用するように周期的に演算を行うことによって実現される。
図4は、図2の構築情報22の構造を示す図である。
構築情報22中には、構築情報テーブル221が設けられている。構築情報テーブル221には、図1のプロセス入出力装置5,6,7に設定するPIO(Process Input Output)情報2210,2211,2212,…(ユニットやアドレスなどの装置の位置情報、電圧や電流などのインターフェイス情報、入出力する信号のレンジ、その信号が異常となった時にどういう通知や処置をするかなどの仕様)が記述されている。
〈バックアップに関連する処理〉
次に、障害発生時のバックアップに関連して図1のシステムの各部が実行する処理を、図5〜図9を参照して説明する。
図5は、正常動作時に各制御用コントローラ1,2,3から制御用データ保管装置8に演算データを通知する処理を示す図である。
プログラムについては障害の発生した制御用コントローラと同一のものをバックアップ装置に搭載させて機能をバックアップさせることができても、その制御用コントローラの障害発生前の演算状態をバックアップ装置に再現させることができない。そのため、バックアップ装置は、制御・監視動作を引き継いだ際に、制御・監視対象の機器への出力値をスムーズに引き継ぐことができず、制御・監視対象の機器を意図した通りに動作させることができなくなる。
制御用コントローラ1,2,3のうちのいずれかに障害が発生したとき、障害の発生した制御用コントローラの制御・監視動作を引き継いだバックアップ用制御コントローラ4が、制御・監視対象の機器を意図した通りに動作させるためには、障害の発生した制御用コントローラに搭載されているプログラムだけでなく、その制御用コントローラが障害発生の直前に生成した演算データ(すなわち次回の演算時に初期値として使用する演算データ)も引き継ぐことが必要である。
例えば、タイマーの経過時間が引き継がれていなければ、制御・監視動作を引き継いだ後に経過時間を再カウントし、制御・監視対象の機器を所要の動作よりも長時間動作させてしまう可能性がある。また例えば、積分の積算値が引き継がれていなければ、制御・監視動作を引き継いだ際に制御・監視対象の機器への出力値が急に変化する可能性もある。このため、タイマーの経過時間,積分の積算値,フリップフロップのメモリ値などの引き継ぐべき演算データを、バックアップ用制御コントローラ4に通知する(以下、「データイコライズ」と呼ぶ)仕組みが必要になる。
しかし、各制御用コントローラ1,2,3が正常動作時に多数の演算データをバックアップ用制御コントローラ4に通知するとした場合には、バックアップ用制御コントローラ4のメモリエリアの増大と負荷の増加を招いてしまう。そこで、各制御用コントローラ1,2,3は、正常動作時に制御用データ保管装置8のほうに演算データを通知することにしている。図5に示した処理は、このようにして各制御用コントローラ1,2,3と制御用データ保管装置8との間で実行されるデータイコライズ処理である。
このデータイコライズ処理では、各制御用コントローラ1,2,3が、図2のワークデータエリア27のうち前述のような引き継ぐべき演算データを格納する領域のアドレス2001,2002…を、図2のイコライズデータアドレス25中に設けられたイコライズデータ登録テーブル2000に登録しておく。なお、このイコライズデータ登録テーブル2000にアドレス2001,2002…を登録する演算データは、各制御用コントローラ1,2,3が生成する全ての演算データではなく、制御・監視動作を引き継いだバックアップ用制御コントローラ4が制御・監視対象の機器を意図した通りに動作させるために必須な一部の演算データだけでよい。
そして、各制御用コントローラ1,2,3は、ステップS201〜S203から成る処理を周期的に実行する。すなわち、各制御用コントローラ1,2,3は、まず、イコライズデータ登録テーブル2000から、アドレス2001,2002…を取り出す(ステップS201)。
続いて各制御用コントローラ1,2,3は、ワークデータエリア27からこのアドレス2001,2002…に格納されている演算データ2701,2702,2703,…を取り出し、これらの演算データ2701,2702,2703,…をイコライズデータとして制御用データ保管装置8に通知するための通知用データを作成して、その通知用データを各制御用コントローラ1,2,3内のイコライズデータ送信バッファ2003に格納する(ステップS202)。
続いて各制御用コントローラ1,2,3は、イコライズデータ送信バッファ2003に格納された通知用データを、ネットワーク30を介して制御用データ保管装置8に送信する(ステップS203)。
各制御用コントローラ1,2,3がこの処理を周期的に実行することにより、各制御用コントローラ1,2,3において次回の演算時に初期値として使用する最新の演算データが、制御用データ保管装置8に通知される。
制御用データ保管装置8は、各制御用コントローラ1,2,3から通知用データを受信する毎に、その通知用データによって通知されたイコライズデータを、制御用データ保管装置8内のイコライズデータ格納エリア8020に、制御用コントローラ1,2,3毎のイコライズデータ8021,8022,8023として分類して格納する(ステップS801)。
図6は、制御用コントローラ1,2,3のうちのいずれかに障害が発生したときに、制御用データ保管装置8が実行する処理を示す図である。
制御用データ保管装置8内には、どの制御用コントローラを監視対象とするかを登録するための監視有りコントローラ登録テーブル8010が設けられており、制御用コントローラ1,2,3が監視対象としてこの監視有りコントローラ登録テーブル8010に登録されている。
また、制御用データ保管装置8内には、コントローラ別制御用情報保存部8000が設けられており、監視対象の制御用コントローラ1,2,3毎のコントローラ別情報8001,8002,8003(図2のコントローラ別情報23に相当するもの)がこのコントローラ別制御用情報保存部8000に格納されている。
また、制御用データ保管装置8内のイコライズデータ格納エリア8020には、図5のデータイコライズ処理により、各制御用コントローラ1,2,3からそれぞれ通知された演算データであるイコライズデータ8021,8022,8023が格納されている。
制御用データ保管装置8は、監視有りコントローラ登録テーブル8010を参照することにより自己の監視対象の制御用コントローラ1,2,3を認識して、それらの制御用コントローラ1,2,3の生存を監視する(ステップS802)。そして制御用データ保管装置8は、制御用コントローラ1,2,3のうちのいずれかに障害が発生したか否を判定する(ステップS803)。
各制御用コントローラ1,2,3は、正常動作時にはネットワーク30を介して周期的に制御用データ保管装置8にデータを送信するようになっている。ステップS802では、具体的にはこの送信データの受信タイムアウトを監視する。そしてステップS803では、制御用コントローラ1,2,3のうちのいずれかの制御用コントローラについてタイムアウトを検出したときに、その制御用コントローラに障害が発生したと判定する。
ステップS803で障害が発生したと判定した場合には、制御用データ保管装置8は、コントローラ別制御用情報保存部8000から障害の発生した制御用コントローラに対応するコントローラ別情報を取出すとともに、イコライズデータ格納エリア8020から障害の発生した制御用コントローラに対応するイコライズデータを取出す(ステップS804)。そして制御用データ保管装置8は、取り出したコントローラ別情報及びイコライズデータを、バックアップ用制御コントローラ4にダウンロードする(ステップS805)。
なお、ここでは制御用データ保管装置8を1台だけ設けているが、制御用コントローラが多数存在する場合には、制御用データ保管装置8を複数台設置し、各制御用データ保管装置8に、それぞれ一部ずつの制御用コントローラについてのコントローラ別情報の保管処理や図5のデータイコライズ処理や図6の処理を分担して実行させることもできる。その場合には、各制御用データ保管装置8内の監視有りコントローラ登録テーブル8010には、それぞれその制御用データ保管装置8が分担する制御用コントローラのみを監視対象として登録することになる。
図7は、図6のステップS805の処理によって制御用データ保管装置8からバックアップ用制御コントローラ4へのダウンロードが行われた際に、バックアップ用制御コントローラ4が実行するダウンロード確認処理を示す図である。
制御用データ保管装置8からのダウンロードが行われると、バックアップ用制御コントローラ4は、ダウンロードされたコントローラ別情報中のCRCコード(図2のCRCコード26)を用いて、コントローラ別情報の誤り検出を行う(ステップS401)。
誤り検出の結果、ダウンロードされたコントローラ別情報に誤りがなければ、バックアップ用制御コントローラ4は、ダウンロードに成功したことを制御用データ保管装置8へ通知する(ステップS402)。
そしてバックアップ用制御コントローラ4は、図5にイコライズデータ登録テーブル2000として示したのと同じテーブルを用いて、図2のワークデータエリア27の所定のアドレスに、ダウンロードされたイコライズデータ2701,2702,2703,…を格納する(ステップS403)。
なお、図示は省略しているが、ステップS401での誤り検出の結果、ダウンロードされたコントローラ別情報に誤りがあった場合は、バックアップ用制御コントローラ4は、再度のダウンロードの要求を制御用データ保管装置8へ通知する。
バックアップ用制御コントローラ4には図2のシステムプログラム20及び制御用プログラム21が予めダウンロードされている。このため、図6及び図7の処理によってコントローラ別情報(図2のコントローラ別情報23)が誤りなくダウンロードされることにより、障害の発生した制御用コントローラに搭載されているプログラムと同じプログラムが全てバックアップ用制御コントローラ4にも搭載される。これにより、バックアップ用制御コントローラ4が、プログラムの実行を開始して、障害の発生した制御用コントローラの制御・監視動作を引き継ぐ。
そして、障害発生時にバックアップ用制御コントローラ4にダウンロードされるコントローラ別情報は、障害の発生した制御用コントローラに搭載されているプログラムのうちの一部である。このため、このプログラム全体をダウンロードする場合よりも、ダウンロードに要する時間が短くて済む。これにより、障害発生後、バックアップ用制御コントローラ4が制御・監視動作を引き継ぐまでの時間を短縮することができる。
また、オンラインでダウンロードのために待機する制御用データ保管装置8としては、各制御用コントローラ1,2,3に搭載されているプログラム全体を搭載する場合のような大型・高価・複雑な計算機を採用する必要はない。したがって、制御用データ保管装置8を小型化することができるとともに、制御用データ保管装置8内に設ける記憶装置を小型化することなどによりその信頼性を容易に高めることができる。
更に、図5〜図7の処理により、バックアップ用制御コントローラ4は、障害の発生した制御用コントローラが障害発生の直前に生成したタイマーの経過時間,積分の積算値,フリップフロップのメモリ値などの演算データ(すなわち次回の演算時に初期値として使用する演算データ)もイコライズデータとして引き継ぐことができる。これにより、バックアップ用制御コントローラ4は、障害発生直前の演算状態を再現することができるので、制御・監視対象の機器を所要の動作よりも長時間動作させてしまったり、その機器への出力値を急に変化させてしまったりすることなく、制御・監視対象の機器を意図した通りに動作させることができるようになる。
次に、図8は、プロセス入出力装置5,6,7が、それぞれ制御用コントローラ1,2,3に障害が発生した場合に実行する処理を示す図である。
制御用コントローラ1,2,3は、図1のプロセス入出力ネットワーク31を介してそれぞれプロセス入出力装置5,6,7に周期的にアクセスするようになっている。プロセス入出力装置5,6,7は、それぞれ制御用コントローラ1,2,3からのアクセスを監視して(ステップS501)、アクセスのタイムアウトが検出されたか否を判定する(ステップS502)。
ステップS502でタイムアウトが検出されなければ、プロセス入出力装置5,6,7は、自己の制御用コントローラの要求による動作を実行する(ステップS503)。プロセス入出力装置5,6,7は、制御用コントローラ1,2,3の正常動作時にはそれぞれ制御用コントローラ1,2,3を自己の制御用コントローラとして登録している。したがって、ステップS502でタイムアウトが検出されなかった場合、ステップS503では、プロセス入出力装置5,6,7は、プロセス入出力装置5,6,7に接続されている機器にそれぞれ制御用コントローラ1,2,3からの制御信号を出力し、その機器から入力した動作状態を示す信号をそれぞれ制御用コントローラ1,2,3に通知する。
プロセス入出力装置5,6,7のうちのいずれかのプロセス入出力装置において、ステップS502でタイムアウトが検出された場合は、そのプロセス入出力装置は、バックアップ用制御コントローラ4からのアクセスを監視して(ステップS504)、アクセスのタイムアウトが検出されたか否を判定する(ステップS505)。
このステップS505では、図6及び図7の処理によるバックアップ用制御コントローラ4へのコントローラ別情報及びイコライズデータのダウンロードに要する時間を考慮して、ステップS502よりもタイムアウト設定時間を少し長くしている。
また、このステップS505でのタイムアウト設定時間が経過するまでは、プロセス入出力装置は、機器への出力信号の値を、ステップS502でタイムアウトが検出される直前の値のまま維持する。これにより、バックアップ用制御コントローラ4が、障害の発生した制御用コントローラから引き継いだ演算データを用いて制御・監視動作を実施する際に、プロセス入出力装置の出力値が急に変化することがないので、スムーズに制御・監視動作を継続することができるとともに、制御・監視動作の安全性を高めることができる。
ステップS505でタイムアウトが検出されなければ、そのプロセス入出力装置は、バックアップ用制御コントローラ4を次回以降の自己の制御用コントローラとして登録する(ステップS506)。
その後、そのプロセス入出力装置は、再びステップS503を実行する。今度はバックアップ用制御コントローラ4が自己の制御用コントローラとして登録されているので、ステップS503では、そのプロセス入出力装置は、そのプロセス入出力装置に接続されている機器にバックアップ用制御コントローラ4からの制御信号を出力し、その機器から入力した動作状態を示す信号をバックアップ用制御コントローラ4に通知する。
このとき、もしステップS502でタイムアウトが検出された制御用コントローラが、完全に動作を停止しておらず不正なアクセスや重複したアクセスを行ってきたとして、その制御用コントローラは自己の制御用コントローラとして登録されていないため、そうした不正なアクセスや重複したアクセスによってプロセス入出力装置が誤動作することはない。したがって、安全に制御・監視動作を行うことができる。
ステップS505でタイムアウトが検出された場合は、そのプロセス入出力装置にアクセスして機器の制御・監視を行う制御コントローラが不在であることを意味する。そこでその場合には、そのプロセス入出力装置は、そのプロセス入出力装置に接続されている機器への出力信号の値を、プラントの安全を考慮した値に移行させる(例えば、機器の動作を停止させるために、出力値をゼロにする)(ステップS507)。
図9は、制御用コントローラ1,2,3が、自己診断によって障害を検出した場合に実行する処理を示す図である。
制御用コントローラ1,2,3は、制御用コントローラ内のCPUの異常を検出した場合(ステップS1001)は、図1のプロセス入出力ネットワーク31との接続を切断する(ステップS1002)。
これにより、制御用コントローラが自己診断によって障害を検出した場合には、その制御用コントローラからプロセス入出力装置にアクセスされることがなくなるので、制御・監視動作の安全性を一層高めることができる。
以上説明した一実施の形態に係るバックアップシステムによれば、制御用コントローラに障害が発生した場合に、その制御用コントローラに搭載されているプログラム全体をバックアップ用制御コントローラにダウンロードする場合よりもダウンロードに要する時間が短くて済む。このため、バックアップ用制御コントローラが制御・監視動作を引き継ぐまでの時間を短縮することができる。また、制御用データ保管装置として、複数の制御用コントローラに搭載されているプログラム全体を搭載する場合のような大型・高価・複雑な計算機を採用する必要がなくなる。
更に、各制御用コントローラが、正常動作時に生成した演算データを、制御用データ保管装置または制御用データ保管装置とは別に備えられた演算データ保管装置に通知する。この演算データを通知された制御用データ保管装置または演算データ保管装置は、通知された演算データを保管し、いずれかの制御用コントローラに障害が発生した場合に、障害の発生した制御用コントローラから通知された演算データをバックアップ用制御コントローラにダウンロードする。このため、バックアップ用制御コントローラは、制御・監視動作を引き継いだ際に、障害発生前の演算状態を再現することができる。
〈変形例〉
なお、上述した一実施の形態では、制御用データ保管装置8が、コントローラ別情報を保管して障害発生時にコントローラ別情報をバックアップ用制御コントローラ4にダウンロードする役割と、制御用コントローラ1,2,3から演算データの通知を受けて障害発生時に演算データをバックアップ用制御コントローラ4にダウンロードする役割との両方を実行している。しかし、制御用コントローラ1,2,3から演算データの通知を受けて障害発生時に演算データをバックアップ用制御コントローラ4にダウンロードする役割のほうは、制御用データ保管装置8とは別の演算データ保管装置をネットワーク30に接続して、その演算データ保管装置のほうに実行させてもよい。
また、上述した一実施の形態では、3台の制御用コントローラ1,2,3に対して1台のバックアップ用制御コントローラ4を設けたバックアップシステム10に本発明を適用している。しかし、本発明は、N台(Nは2以上の整数)の制御用コントローラに対して1台あるいはM台(Mは1以上且つN未満の整数)のバックアップ装置を設けるあらゆるN:1あるいはN:Mバックアップシステムに適用することができる。
また、ネットワーク30にイコライズデータを収集するイコライズデータ収集装置を設けても良い。これにより、定期的に制御用コントローラ1,2,3から収集したイコライズデータを蓄積しておき、障害発生時には、イコライズデータ収集装置から読出したイコライズデータに基づいてバックアップ制御を行うことができる。また、制御用データ保管装置8とイコライズデータ収集装置を併用することで、処理負荷を分散することができる。
また、本発明は上述した実施の形態に限られるものではなく、特許請求の範囲に記載した本発明の要旨を逸脱しない限りその他種々の応用例、変形例を取り得ることは勿論である。
1,2,3…制御用コントローラ,4…バックアップ用制御コントローラ,5,6,7…プロセス入出力装置,8…制御用データ保管装置,9…プログラム保守装置,10…バックアップシステム,30…ネットワーク,31…プロセス入出力ネットワーク

Claims (6)

  1. プラントの制御・監視を行う複数の制御用コントローラと、
    前記複数の制御用コントローラに対して設けられたバックアップ用制御コントローラと、
    前記複数の制御用コントローラ及び前記バックアップ用制御コントローラが前記プラントとの間で信号の入出力を行うためのプロセス入出力装置と、
    各々の前記制御用コントローラ毎に異なる制御・監視機能の仕様を定義するプログラムである制御用情報を保管する制御用データ保管装置と、を備え、
    前記複数の制御用コントローラに搭載されるプログラムは、前記制御用情報と、前記複数の制御用コントローラで同一の処理を実行するプログラムである制御用プログラムとに分割されており、
    前記バックアップ用制御コントローラには、前記制御用プログラムが搭載されており、
    前記制御用データ保管装置は、前記複数の制御用コントローラの障害の発生の有無を監視し、いずれかの前記制御用コントローラに障害が発生した場合に、保管している前記制御用情報のうち障害の発生した前記制御用コントローラに対応する前記制御用情報を前記バックアップ用制御コントローラにダウンロードする
    バックアップシステム。
  2. 前記制御用コントローラは、正常動作時に生成した演算データを、前記制御用データ保管装置または前記制御用データ保管装置とは別に備えられた演算データ保管装置に通知し、
    前記演算データを通知された前記制御用データ保管装置または前記演算データ保管装置は、前記演算データを保管し、いずれかの前記制御用コントローラに障害が発生した場合に、障害の発生した制御用コントローラから通知された前記演算データを前記バックアップ用制御コントローラにダウンロードする
    請求項1記載のバックアップシステム。
  3. 前記制御用データ保管装置は、前記制御用情報とともに誤り検出用符号を前記バックアップ用制御コントローラにダウンロードし、
    前記バックアップ用制御コントローラは、前記誤り検出用符号を用いて、ダウンロードされた前記制御用情報の誤り検出を行い、誤りがない場合に前記制御用情報及び前記制御用プログラムを実行する
    請求項2記載のバックアップシステム。
  4. 前記制御用コントローラは、自己診断によって障害を検出した場合に、前記プロセス入出力装置との接続を切断する
    請求項3記載のバックアップシステム。
  5. 前記プロセス入出力装置は、前記制御用コントローラからのアクセスのタイムアウトを検出した後、前記バックアップ用制御コントローラからのアクセスのタイムアウトを検出するための所定のタイムアウト設定時間が経過するまで、前記プラントへの出力信号の値を、前記制御用コントローラからのアクセスのタイムアウトを検出する直前の値に維持する
    請求項2記載のバックアップシステム。
  6. 前記制御用プログラムを保管するプログラム保守装置をさらに備え、
    前記プログラム保守装置は、前記複数の制御用コントローラ及び前記バックアップ用制御コントローラに前記制御用プログラムをダウンロードするとともに、前記複数の制御用コントローラに前記制御用プログラムをダウンロードしたことを前記制御用データ保管装置に通知し、
    前記制御用データ保管装置は、前記プログラム保守装置から前記通知を受けたことに応じて、前記複数の制御用コントローラに、各々の前記制御用コントローラ毎の前記制御用情報をダウンロードする
    請求項1記載のバックアップシステム。
JP2010049772A 2010-03-05 2010-03-05 バックアップシステム Active JP5327105B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010049772A JP5327105B2 (ja) 2010-03-05 2010-03-05 バックアップシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010049772A JP5327105B2 (ja) 2010-03-05 2010-03-05 バックアップシステム

Publications (2)

Publication Number Publication Date
JP2011186664A true JP2011186664A (ja) 2011-09-22
JP5327105B2 JP5327105B2 (ja) 2013-10-30

Family

ID=44792868

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010049772A Active JP5327105B2 (ja) 2010-03-05 2010-03-05 バックアップシステム

Country Status (1)

Country Link
JP (1) JP5327105B2 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014167678A (ja) * 2013-02-28 2014-09-11 Toshiba Corp 制御システム
KR101554388B1 (ko) * 2013-09-27 2015-09-18 한국원자력연구원 공학적 안전설비-기기제어계통 및 그 운영 방법
JP2017102803A (ja) * 2015-12-04 2017-06-08 三菱電機株式会社 バックアップシステム、バックアップ機、及びバックアップ方法
JP7396526B1 (ja) 2023-05-24 2023-12-12 横河電機株式会社 プラント制御システム及びプラント制御方法
JP7496756B2 (ja) 2020-10-16 2024-06-07 株式会社日立製作所 制御システム及びその制御方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS60252903A (ja) * 1984-05-30 1985-12-13 Hitachi Ltd 階層分散システムのn:1バツクアツプシステム
JPH01216650A (ja) * 1988-02-24 1989-08-30 Nec Corp 通信制御装置の切替方式
JPH1139002A (ja) * 1997-07-24 1999-02-12 Toshiba Corp コントローラのバックアップシステム
JP2004038717A (ja) * 2002-07-05 2004-02-05 Hitachi Printing Solutions Ltd プログラム制御方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS60252903A (ja) * 1984-05-30 1985-12-13 Hitachi Ltd 階層分散システムのn:1バツクアツプシステム
JPH01216650A (ja) * 1988-02-24 1989-08-30 Nec Corp 通信制御装置の切替方式
JPH1139002A (ja) * 1997-07-24 1999-02-12 Toshiba Corp コントローラのバックアップシステム
JP2004038717A (ja) * 2002-07-05 2004-02-05 Hitachi Printing Solutions Ltd プログラム制御方法

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014167678A (ja) * 2013-02-28 2014-09-11 Toshiba Corp 制御システム
KR101554388B1 (ko) * 2013-09-27 2015-09-18 한국원자력연구원 공학적 안전설비-기기제어계통 및 그 운영 방법
JP2017102803A (ja) * 2015-12-04 2017-06-08 三菱電機株式会社 バックアップシステム、バックアップ機、及びバックアップ方法
JP7496756B2 (ja) 2020-10-16 2024-06-07 株式会社日立製作所 制御システム及びその制御方法
JP7396526B1 (ja) 2023-05-24 2023-12-12 横河電機株式会社 プラント制御システム及びプラント制御方法

Also Published As

Publication number Publication date
JP5327105B2 (ja) 2013-10-30

Similar Documents

Publication Publication Date Title
JP4458119B2 (ja) マルチプロセッサシステム及びその制御方法
JP5163807B2 (ja) マイコン相互監視システム及びマイコン相互監視方法
US9256489B2 (en) Synchronized debug information generation
JP5327105B2 (ja) バックアップシステム
US11099961B2 (en) Systems and methods for prevention of data loss in a power-compromised persistent memory equipped host information handling system during a power loss event
JP2010224847A (ja) 計算機システム及び設定管理方法
WO2015104841A1 (ja) 多重系システムおよび多重系システム管理方法
JP4655718B2 (ja) コンピュータシステム及びその制御方法
JP2010186242A (ja) 計算機システム
JP2009129463A (ja) 車両制御装置のリアルタイムシステムにおける一時的エラーの処理方法
JP4973703B2 (ja) 故障検出方法及び監視装置
JP2009104246A (ja) プログラマブルコントローラおよびその異常時復旧方法
JP5332257B2 (ja) サーバシステム、サーバ管理方法、およびそのプログラム
KR100279204B1 (ko) 자동제어시스템에서현장제어장치의콘트롤러이중화제어방법및그장치
JP4102814B2 (ja) 入出力制御装置,情報制御装置及び情報制御方法
JP2009026182A (ja) プログラム実行システム及び実行装置
TWI434159B (zh) 雙重系統控制裝置
JP6256087B2 (ja) ダンプシステムおよびダンプ処理方法
JP4495248B2 (ja) 情報処理装置、障害処理方法
US10089200B2 (en) Computer apparatus and computer mechanism
JP2015106226A (ja) 二重化システム
JP2008108101A (ja) 電源制御システム及び方法、電子装置、プログラム
JP2015153146A (ja) 情報処理システム、情報処理システムの制御方法および情報処理システムの制御プログラム
JP4507875B2 (ja) 多重化装置及びレガシーデバイス多重化方法
JP2004013723A (ja) 共有メモリを使ったクラスタ構成を採用した情報処理システムの障害処理装置と方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20111128

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20121113

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121120

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130115

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130625

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130708

R150 Certificate of patent or registration of utility model

Ref document number: 5327105

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150