JP2012078947A - 多重系装置の制御装置 - Google Patents
多重系装置の制御装置 Download PDFInfo
- Publication number
- JP2012078947A JP2012078947A JP2010221704A JP2010221704A JP2012078947A JP 2012078947 A JP2012078947 A JP 2012078947A JP 2010221704 A JP2010221704 A JP 2010221704A JP 2010221704 A JP2010221704 A JP 2010221704A JP 2012078947 A JP2012078947 A JP 2012078947A
- Authority
- JP
- Japan
- Prior art keywords
- restart
- devices
- circuit
- runaway
- control device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012544 monitoring process Methods 0.000 claims description 37
- 230000009977 dual effect Effects 0.000 claims description 7
- 230000004913 activation Effects 0.000 claims 2
- 230000001052 transient effect Effects 0.000 abstract description 6
- APTZNLHMIGJTEW-UHFFFAOYSA-N pyraflufen-ethyl Chemical compound C1=C(Cl)C(OCC(=O)OCC)=CC(C=2C(=C(OC(F)F)N(C)N=2)Cl)=C1F APTZNLHMIGJTEW-UHFFFAOYSA-N 0.000 abstract 1
- 230000006870 function Effects 0.000 description 8
- 230000005856 abnormality Effects 0.000 description 5
- 230000007257 malfunction Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000015654 memory Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000004904 shortening Methods 0.000 description 1
- 230000008054 signal transmission Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Landscapes
- Hardware Redundancy (AREA)
- Debugging And Monitoring (AREA)
Abstract
【課題】一過性の事象による影響(ノイズ、落雷等)で、両系の装置が停止してしまっても、特定条件で停止した場合に対して、特定条件で両系の再起動を行い、復旧させ稼働率の向上し得る多重系装置の起動装置を提供すること。
【解決手段】2重系構成において、装置相互の状態を監視し、両装置が自系及び系間接続された相手系で、再起動要求され、且つ暴走状態を任意の時間継続した場合のみ、両系の装置を再起動し復旧させる手段を設けた。
【選択図】図1
【解決手段】2重系構成において、装置相互の状態を監視し、両装置が自系及び系間接続された相手系で、再起動要求され、且つ暴走状態を任意の時間継続した場合のみ、両系の装置を再起動し復旧させる手段を設けた。
【選択図】図1
Description
本発明は、多重系装置の制御装置に関し、例えば鉄道保安装置のような現場に配置された多重系装置の制御装置に関する。
近年、システムの高信頼性が要求されており、システムやシステムを構成する装置を多重化した高信頼性システムが開発されている。
例えば、一方の装置が何らかの異常により、動作停止状態に陥っても、もう一方の装置によって、システムを停止することなく動作を継続することを可能としている冗長2重系構成のような多重系装置の制御装置がある。
例えば、一方の装置が何らかの異常により、動作停止状態に陥っても、もう一方の装置によって、システムを停止することなく動作を継続することを可能としている冗長2重系構成のような多重系装置の制御装置がある。
このようなシステムでは、高信頼性の維持や稼動時間が大きな課題となっている。
また、システムにおいて、一過性の事象でシステムが停止してしまう問題がある。一過性の事象とは、例えば、落雷のような大きなノイズであり、このノイズによってシステムが停止するような場合である。このように、落雷により2重系で構成される、一方の系が停止した場合、一般的には、もう一方の系で動作し得るように構成されている。
このような場合には、1重系動作状態となる。当然ながら、2重系動作状態と比較し、1重系動作状態の稼働率は格段に低下する。更に、この1重系が、何らかの異常原因により停止するとシステムは完全に停止状態となる。つまり、2重系構成の両系が停止するため、システム停止となる恐れもある。
このようにシステムの系に異常が発生した場合、一方の系、又は両系の動作を停止させてしまった場合、従来は、保守員によって、システム、又はシステムを構成する装置が停止した現場へ出向き、装置の交換、又は装置の再起動を実施していた。動作停止から、装置の交換や再起動による稼動開始まで、1重系で動作するという危険性などを考慮すると、再稼動までの時間を極力短時間にすることも、懸案事項の1つとなっている。
係る課題に対し、例えば、従来にバス同期式2重系装置において、何らかの異常でCPUが動作を停止し、システムがダウンした場合、2つの系メモリの記憶情報を基に、システムを再立ち上げする装置が提案されている(特許文献1参照)。
また、上位装置と下位装置を信号伝送路にて接続し、下位装置には一対の制御装置を接続してなる分散形制御装置において、一対のうち一方の制御装置の作動が停止した場合、上位装置から伝送された情報により、健全な制御装置が信号を送出し、作動停止状態にある制御装置を再起動させ装置が提案されている(特許文献2参照)。
しかし、従来の装置は、一過性の事象による影響(ノイズ、落雷等)で、両系の装置が停止した場合に対する再起動、復旧については特に考慮されていない。つまり、雷などの影響を受け、多重系の一方が、誤動作を起こしたときには、他系統側に切り替えれば良いが、両系統が同時に一時的に誤動作(ダウン)すると、例えば鉄道システムにあっては、重大な事故に繋がり、非常に重要な課題となっていた。したがって、従来にあっては、両系装置の停止原因が、一過性の事象による影響によるものであっても、保安装置(例えば信号機など)の保安者が現場に出向いて異常原因の確認と復旧を行っており、その時間や労力の負担が大きかった。
本発明は、係る点に鑑みなされ、その目的は、一過性の事象による影響(ノイズ、落雷等)で、両系の装置が停止してしまっても、特定条件で停止した場合に対しては、特定条件で両系の再起動を行い、復旧させ稼働率の向上し得る多重系装置の制御装置を提供することにある。
本発明は、上記目的を達成するために、2重系構成において、装置相互の状態を監視し、両装置が自系及び系間接続された相手系で、再起動の要求がなされ、且つ暴走状態を任意の時間継続した場合のみ、両系の装置を再起動し復旧させる手段を設けたものである。
本発明によれば、両系が停止状態に陥っても、特定条件で停止した場合にのみ、両系を復旧(再起動)させ、稼働率を向上させることができる。
以下、本発明について図面を参照して説明する。図1は、本発明を説明するための2重系構成システムの概略図である。
同図において、1系装置1(制御装置)と2系装置8(制御装置)は、それぞれ上位装置15とネットワーク(1系、2系)を介して接続される。それぞれの装置は1系装置1、2系装置8は共に同構成で同動作をするが、主として一方の系が主系となり、入出力制御を行う。もう一方は従系となる。
主系であった一方の系が何らかの異常によって、動作停止した場合には、もう一方の系に切替り、該正常な系で動作するように構成されている。
1系装置1、2系装置8は、それぞれ再起動回路2、9を備えており、該再起動回路は、自系暴走監視部3、12と相手系暴走監視部5、10と、自系再起動許可部4、13と、相手系再起動許可部6、11と、装置を再起動する再起動カウンタ 7、14と、前記各部の状態出力のアンドをとって再起動カウンタ7、14に供給するアンド回路ANDを備えている。
このようなシステム構成において、動作をする中で、両系装置が停止、又は一方が停止している状態でもう一方も停止した場合、以下の特定の条件を満たした場合のみ、両系装置1、8が再起動されるように構成する。
再起動される条件は、1系装置 1、2系装置8が共に、下記(1)〜(5)を満たした場合に実行される。
(1)自系暴走監視部3、12で暴走状態を検出
(2)相手系暴走監視部5、10で暴走状態を検出
(3)自系再起動許可部4、13で設定が有効であることを検出
(4)相手系再起動許可部6、11で設定が有効であることを検出
(5)再起動カウンタ 7、14でオーバーフロー時
(2)相手系暴走監視部5、10で暴走状態を検出
(3)自系再起動許可部4、13で設定が有効であることを検出
(4)相手系再起動許可部6、11で設定が有効であることを検出
(5)再起動カウンタ 7、14でオーバーフロー時
前記条件(1)は、1系装置 1、2系装置8が、共に自系暴走時に自身が持つ暴走監視機能により暴走状態を検出した場合であり、本条件が成立する。
前記条件(2)は、相手系にも前記条件(1)と同様な暴走監視機能を持つ。この状態を、系間監視線16を経由し、自系で相手系の暴走状態を監視し、暴走状態を検出した場合、本条件が成立する。
前記条件(1)、(2)により相互の装置の状態を監視することが可能となる。
前記条件(3)は、本発明の特徴でもあり、両系が停止したときの再起動機能が有効であるか無効であるかの設定監視機能があることである。本設定が有効である場合、本条件が成立する。
前記条件(4)は、相手系にも前記条件(3)と同様な再起動機能が有効であるか無効であるかの設定監視機能を持つ。この状態を、系間監視線16を経由し、自系で相手系の再起動設定状態を監視し設定が有効である場合、本条件が成立する。
前記条件(3)、(4)により相互の再起動機能設定の状態を監視することが可能となる。
前記条件(5)は、前記条件(1)〜(4)の全条件成立時に動作する再起動カウンタ7、14が任意の時間成立し続けることでカウントアップ又はダウンする機能である。カウントがオーバーフロー又はアンダーフローすることにより、再起動回路2、9は自動再起動動作が実行される。
尚、再起動カウンタ 7、14がオーバーフロー又はアンダーフロー前に1度でも不成立状態になると、カウント時が初期値に戻り、再度条件成立時は初期値からカウント開始される。
前記条件(1)〜(5)が成立することで、再起動回路2、9から再起動指示が装置1、8に対してなされ、1系装置1及び2系装置8が再起動される。
以下、その適用例について図2を参照して説明する。同図において、冗長2重化構成の1系装置(図1の1系装置1に対応)のCPU31および両系起動回路29(図1の再起動回路2に対応)が搭載されたCPUボード17、2系装置(図1の2系装置8に対応)のCPU32および再起動回路30(図1の再起動回路9に対応)が搭載されたCPUボード23がある。それぞれのCPUボード17、23は、相互に監視を行うため、両系起動回路29,30部分にて系間接続33される。CPU31、32は、例えば、鉄道システムにおける地上装置の一つである信号機を制御するものである。
再起動回路29、30は、相手系ウォッチドックタイマ状態監視部18、27(図1の相手系暴走監視部5、相手系暴走監視部10に対応)と自系再起動許可設定部19、26(自系再起動許可部4、自系再起動許可部13に対応)と、相手系再起動許可設定部20、25(相手系再起動許可部6、相手系再起動許可部11に対応)と、自系ウォッチドックタイマ状態監視部21、24(自系暴走監視部3、自系暴走監視部12に対応)およびアンド回路AND、リセット発行カウンタ22、28(図1の再起動カウンタ7、14に対応)から構成されている。そして、相手系ウォッチドックタイマ状態監視部18、27(図1の相手系暴走監視部5、相手系暴走監視部10に対応)と自系再起動許可設定部19、26(自系再起動許可部4、自系再起動許可部13に対応)と、相手系再起動許可設定部20、25(相手系再起動許可部6、相手系再起動許可部11に対応)と、自系ウォッチドックタイマ状態監視部21、24(自系暴走監視部3、自系暴走監視部12に対応)は、例えばレジスタにて構成することができる。
つまり、両系統の装置が系間接続33により監視する内容は、自系ウォッチドックタイマ(以下、WDTとする)状態監視部21、24の状態監視と、相手系WDT状態監視部18、27の状態監視と、自系両系再起動許可設定部19、26の監視と、相手系両系再起動許可設定部20、25の監視である。これらの成立状態が、例えば20秒以上継続すると、それぞれの系のCPU31、32に対してリセットが発行され、両系装置が再起動をするという仕組みである。
両系装置のCPUボード17、23がWDTにより動作が停止すると、それぞれの系のCPUボード内にある再起動回路29、30内で自系再起動許可設定部19、26がオン(ON)、かつ相手系再起動許可設定部20、25がオン(ON)、かつ相手系WDT18、27がオーバーフロー状態、かつ自系WDT21、24オーバーフロー状態という条件が成立し、再起動のためのリセット発行カウンタ22、28のカウントが開始される。カウント開始から前記条件が成立してから、例えば20秒継続すると、リセット発行カウンタ22、28は、自系のCPU31、32に対し、リセットが発行される。カウント中に一つでも条件が不成立となると、カウント値が初期化され、次の条件成立までカウントは停止している。
また、再起動回路29、30の構成から、条件成立のタイミングが必ず1系装置と2系装置で同時に起こり、したがって、前記リセット発行のタイミングも同時となる。このようなことから、両系装置が同時に再起動されることとなる。
以上述実施例によれば、CPUボードの両CPUが、例えば雷の影響を受け、同時に一時的に誤動作した場合であっても、上述した条件を満たす場合には、保安者が現場に出向いて誤動作原因を確認しなくても、両系統をいち早く正常な状態に戻すことを可能である。
1 1系装置(制御装置)
2、9 再起動回路
3、12 自系暴走監視
4、13 自系再起動許可
5、10 相手系暴走監視
6、11 相手系再起動許可
7、14 再起動カウンタ
8 2系装置(制御装置)
15 上位装置
16 系間監視
17 1系CPUボード
18、27 相手系WDT状態監視
19、26 自系再起動許可設定
20、25 相手系再起動許可
21、24 自系WDT状態監視
22、28 リセット発行カウンタ
23 2系CPUボード
29、30 両系起動回路
31、32 CPU
33 系間接続
2、9 再起動回路
3、12 自系暴走監視
4、13 自系再起動許可
5、10 相手系暴走監視
6、11 相手系再起動許可
7、14 再起動カウンタ
8 2系装置(制御装置)
15 上位装置
16 系間監視
17 1系CPUボード
18、27 相手系WDT状態監視
19、26 自系再起動許可設定
20、25 相手系再起動許可
21、24 自系WDT状態監視
22、28 リセット発行カウンタ
23 2系CPUボード
29、30 両系起動回路
31、32 CPU
33 系間接続
Claims (3)
- 多重化された複数の制御装置間で、互いに装置の状態を監視するために接続する構成とした多重系装置の制御装置において、
前記多重系装置の両装置が、自系及び他系での再起動要求を検出し、且つ自系及び他系での暴走状態を任意の時間検出した場合に、前記多重系装置の両装置を再起動し復旧させる手段を設けたことを特徴とする多重系装置の制御装置。 - 請求項1において、前記制御装置は2重化されており、前記再起動し復旧させる手段は、1系装置、2系装置が共に、自系暴走監視部、相手系暴走監視部、自系再起動許可部、相手系再起動許可部、備え、
前記自系暴走監視部および前記相手系暴走監視部で暴走状態を検出し、前記自系再起動許可部および前記相手系再起動許可部で再起動要求を検出した状態が所定期間継続した場合に前記多重系装置の両装置を再起動し復旧させることを特徴とする多重系装置の制御装置。 - 冗長2重化構成の1系装置のCPUおよび1系起動回路と、2系装置のCPUおよび2系起動回路とを備え、
前記1起動回路および前記2系起動回路は、相互に監視を行うため、系間接続され、
相手系ウォッチドックタイマ状態監視部と、自系再起動許可設定部と、相手系再起動許可設定部と、自系ウォッチドックタイマ状態監視部およびアンド回路、再起動のためのリセット発行カウンタを備え、
前記両系装置の1系起動回路および2系起動回路が、前記ウォッチドックタイマにより動作停止し、前記1系起動回路および前記2系起動回路内で前記自系再起動許可設定部、前記相手系再起動許可設定部がオンし、かつ前記相手系ウォッチドックタイマがオーバーフロー状態となり、かつ前記自系ウォッチドックタイマがオーバーフロー状態という条件が成立したとき、
前記リセット発行カウンタのカウントが開始され、該カウント開始から所定時間継続すると、自系の前記CPUに対し、前記リセット発行カウンタからリセットが発行され、カウント中に前記条件が一つでも不成立となると、カウント値が初期化され、次の条件成立までカウントを停止し、
前記1系装置の1系起動回路と前記2系装置の2系起動回路が、前記条件を満たしたとき、前記1系、前記2系の両系装置が同時に再起動されることを特徴とする多重系装置の制御装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010221704A JP5525402B2 (ja) | 2010-09-30 | 2010-09-30 | 2重系装置の制御装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010221704A JP5525402B2 (ja) | 2010-09-30 | 2010-09-30 | 2重系装置の制御装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2012078947A true JP2012078947A (ja) | 2012-04-19 |
| JP5525402B2 JP5525402B2 (ja) | 2014-06-18 |
Family
ID=46239157
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010221704A Expired - Fee Related JP5525402B2 (ja) | 2010-09-30 | 2010-09-30 | 2重系装置の制御装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5525402B2 (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016170786A (ja) * | 2015-03-12 | 2016-09-23 | インフィネオン テクノロジーズ アクチエンゲゼルシャフトInfineon Technologies AG | セーフティクリティカルなエラーを処理するための方法と装置 |
| CN109901503A (zh) * | 2019-02-18 | 2019-06-18 | 唐山不锈钢有限责任公司 | 备用设备保障能力的监控系统及方法 |
| US11711043B2 (en) | 2021-03-30 | 2023-07-25 | Mitsubishi Electric Corporation | Electric power conversion control apparatus |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11259326A (ja) * | 1998-03-13 | 1999-09-24 | Ntt Communication Ware Kk | ホットスタンバイシステムおよびホットスタンバイシステムにおける自動再実行方法およびその記録媒体 |
| JP2003186691A (ja) * | 2001-10-09 | 2003-07-04 | Alps Electric Co Ltd | フェイルセーフ機能を備えたコントローラ |
| JP2005148890A (ja) * | 2003-11-12 | 2005-06-09 | Hitachi Kokusai Electric Inc | プロセッサ監視装置 |
-
2010
- 2010-09-30 JP JP2010221704A patent/JP5525402B2/ja not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11259326A (ja) * | 1998-03-13 | 1999-09-24 | Ntt Communication Ware Kk | ホットスタンバイシステムおよびホットスタンバイシステムにおける自動再実行方法およびその記録媒体 |
| JP2003186691A (ja) * | 2001-10-09 | 2003-07-04 | Alps Electric Co Ltd | フェイルセーフ機能を備えたコントローラ |
| JP2005148890A (ja) * | 2003-11-12 | 2005-06-09 | Hitachi Kokusai Electric Inc | プロセッサ監視装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016170786A (ja) * | 2015-03-12 | 2016-09-23 | インフィネオン テクノロジーズ アクチエンゲゼルシャフトInfineon Technologies AG | セーフティクリティカルなエラーを処理するための方法と装置 |
| US10017188B2 (en) | 2015-03-12 | 2018-07-10 | Infineon Technologies Ag | Method and device for handling safety critical errors |
| CN109901503A (zh) * | 2019-02-18 | 2019-06-18 | 唐山不锈钢有限责任公司 | 备用设备保障能力的监控系统及方法 |
| CN109901503B (zh) * | 2019-02-18 | 2022-06-10 | 唐山不锈钢有限责任公司 | 备用设备保障能力的监控系统及方法 |
| US11711043B2 (en) | 2021-03-30 | 2023-07-25 | Mitsubishi Electric Corporation | Electric power conversion control apparatus |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5525402B2 (ja) | 2014-06-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5719744B2 (ja) | 多重系制御装置 | |
| CN110750480B (zh) | 一种双机热备系统 | |
| JP5509730B2 (ja) | フォールトトレラントコンピュータ及び電源制御方法 | |
| EP2175371B1 (en) | Synchronization control apparatuses, information processing apparatuses, and synchronization management methods | |
| CN102103532B (zh) | 列控车载设备的安全冗余计算机系统 | |
| TWI529624B (zh) | Method and system of fault tolerance for multiple servers | |
| US20130262917A1 (en) | Redundant system control method | |
| JP2011070282A (ja) | 通信システム、マスタ装置、および、スレーブ装置 | |
| WO2015104841A1 (ja) | 多重系システムおよび多重系システム管理方法 | |
| JP5525402B2 (ja) | 2重系装置の制御装置 | |
| JP4487260B2 (ja) | 多重系システム | |
| US20140298076A1 (en) | Processing apparatus, recording medium storing processing program, and processing method | |
| KR100928187B1 (ko) | 듀얼 프로세서 제어 장치의 고장 안전 구조 | |
| CN202142052U (zh) | 列控车载设备的安全冗余计算机系统 | |
| CN101291201A (zh) | 心跳信息传输系统及方法 | |
| JP5445572B2 (ja) | コンピュータシステム、待機電力削減方法、及びプログラム | |
| JP6089766B2 (ja) | 情報処理システム、及び情報処理装置の障害処理方法 | |
| JP5477725B2 (ja) | フォールトトレラント情報処理システム、及びデバッグ方法 | |
| JP2013254333A (ja) | 多重系制御システム及びその制御方法 | |
| JP4126849B2 (ja) | マルチcpuシステムの監視方式 | |
| JPH10133963A (ja) | 計算機の故障検出・回復方式 | |
| JP6424134B2 (ja) | 計算機システム及び計算機システムの制御方法 | |
| JP2010244129A (ja) | 計算機システム | |
| TWM556046U (zh) | 網路切換控制系統 | |
| JP2016009499A (ja) | 相互接続を管理する方法およびシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120524 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131008 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131202 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140401 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140411 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5525402 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |