JP2021105774A - Controller and facility monitoring system - Google Patents

Controller and facility monitoring system Download PDF

Info

Publication number
JP2021105774A
JP2021105774A JP2019235771A JP2019235771A JP2021105774A JP 2021105774 A JP2021105774 A JP 2021105774A JP 2019235771 A JP2019235771 A JP 2019235771A JP 2019235771 A JP2019235771 A JP 2019235771A JP 2021105774 A JP2021105774 A JP 2021105774A
Authority
JP
Japan
Prior art keywords
controller
state
failure
active state
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019235771A
Other languages
Japanese (ja)
Other versions
JP7431034B2 (en
Inventor
功一 東出
Koichi Higashide
功一 東出
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Azbil Corp
Original Assignee
Azbil Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Azbil Corp filed Critical Azbil Corp
Priority to JP2019235771A priority Critical patent/JP7431034B2/en
Publication of JP2021105774A publication Critical patent/JP2021105774A/en
Application granted granted Critical
Publication of JP7431034B2 publication Critical patent/JP7431034B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

To provide a reliable facility monitoring system capable of efficiently switching from an active state to a standby state.SOLUTION: A controller in a facility monitoring system which is provided with a monitoring device and duplexed controllers includes an I/F for performing communication between the controllers and a DO/DI terminal for transmitting/receiving signals between the controllers, and determines a failure state of other controller on the basis of the transmission/reception of a message between the controllers and the transmission/reception of a signal using the DO/DI terminal. When the controller in the standby state has determined that the controller in the active state has failed on the basis of the message between the controllers, the controller is switched to the active state. When the controller in the standby state has determined that the controller in the active state has failed on the basis of the signal using the DO/DI terminal and has determined that the controller in the active state is normal on the basis of the message between the controllers, the switching to the active state is not performed.SELECTED DRAWING: Figure 3A

Description

本発明は、ビルやプラント等の施設に設置されている設備機器を管理する施設監視システムにおけるコントローラの二重化に関する。 The present invention relates to duplication of a controller in a facility monitoring system that manages equipment installed in facilities such as buildings and plants.

ビルやプラント等の施設に設置されている設備機器を管理する施設監視システムは、設備機器の監視データの収集等を行うコントローラとコントローラをネットワーク経由で集中管理する監視装置から構成されている(例えば、非特許文献1参照。)。 A facility monitoring system that manages equipment installed in facilities such as buildings and plants consists of a controller that collects monitoring data for equipment and a monitoring device that centrally manages the controllers via a network (for example). , See Non-Patent Document 1.).

このコントローラに異常が発生した場合には、設備機器からの監視データの収集ができなくなるので、継続的に監視データを収集し、信頼性の高い施設監視システムを提供するためにコントローラの冗長化技術が提案されている。 If an error occurs in this controller, it will not be possible to collect monitoring data from equipment, so controller redundancy technology will be used to continuously collect monitoring data and provide a highly reliable facility monitoring system. Has been proposed.

提案されている冗長化技術では、アクティブ状態のコントローラとスタンバイ状態の2つのコントローラを用意し、アクティブ状態のコントローラが故障した場合に、スタンバイ状態のコントローラに切り替えるように構成されている(例えば、特許文献1、2参照。) In the proposed redundancy technology, two controllers, an active controller and a standby controller, are prepared, and if the active controller fails, the controller is switched to the standby controller (for example, a patent). Refer to Documents 1 and 2.)

特許第3882783号公報Japanese Patent No. 3882783 特許第4836979号公報Japanese Patent No. 4836979

小柳貴義、他「ビルディングオートメーションシステムのエンジニアリング作業効率化に貢献する新しいエンジニアリングツールの開発」,azbil Technical Review, 2017-04Takayoshi Koyanagi, et al. "Development of new engineering tools that contribute to the efficiency of engineering work of building automation systems", azbil Technical Review, 2017-04

このような冗長化技術では、信頼性の高い施設監視システムを提供するために、安定したコントローラの故障状態の判定と、アクティブ状態のコントローラからスタンバイ状態のコントローラへ切り替えを効率よく行う技術が求められている。 In such a redundant technology, in order to provide a highly reliable facility monitoring system, a technology for determining a stable controller failure state and efficiently switching from an active controller to a standby controller is required. ing.

特許文献1における通信ユニットの故障状態の判定と通信ユニットの切り替えは、アクティブモードの通信ユニットとスタンバイモードの通信ユニットの両方に接続されたCPUユニットにより行われるので、通信ユニットの切り替えにはCPUユニットの介在が必要であり、通信ユニットの迅速な切り替えが行われない場合がある。 Since the determination of the failure state of the communication unit and the switching of the communication unit in Patent Document 1 are performed by the CPU unit connected to both the communication unit in the active mode and the communication unit in the standby mode, the CPU unit is used for switching the communication unit. Intervention is required, and rapid switching of communication units may not be performed.

特許文献2においては、制御系のコントローラと待機系のコントローラの間に接続されたトラッキングケーブルにより故障状態の読み出しを行うことにより、故障状態の判定を行うが、トラッキングケーブルにより故障状態の送受信が行われるので、ケーブルに異常が発生したような場合には、他のコントローラの故障状態が不明となるような場合もあり得る。 In Patent Document 2, the failure state is determined by reading the failure state with the tracking cable connected between the control system controller and the standby system controller, but the failure state is transmitted and received by the tracking cable. Therefore, if an abnormality occurs in the cable, the failure status of other controllers may become unknown.

本発明は、このような課題を解決するためになされたものであり、安定したコントローラの故障状態の判定と、アクティブ状態のコントローラからスタンバイ状態のコントローラへ切り替えを効率よく行うことができ、信頼性の高い施設監視システムを提供することを目的としている。 The present invention has been made to solve such a problem, and can efficiently determine a stable controller failure state and switch from an active controller to a standby controller, and is reliable. The purpose is to provide a high-quality facility monitoring system.

このような目的を達成するために、本発明にかかるコントローラは、監視装置と二重化されたコントローラを備えた施設監視システムにおけるコントローラであって、前記監視装置との間で通信を行うための第1のI/Fと、前記二重化されたコントローラの間で通信を行うための第2のI/Fと、前記二重化されたコントローラの間で信号を送受信するためのDO/DI端子と、前記二重化された他のコントローラの故障状態を、第2のI/Fを用いたメッセージの送受信と前記DO/DI端子を用いた信号の送受信に基づいて判定する故障判定部と前記故障判定部の判定結果に基づいて、スタンバイ状態とアクティブ状態の切り替えを行う切替処理部とを備え、前記故障判定部が、スタンバイ状態において、前記第2のI/Fを用いたメッセージに基づいて、アクティブ状態のコントローラが故障であると判定した場合には、前記切替処理部は、アクティブ状態への切り替えを行い、前記故障判定部が、スタンバイ状態において、前記前記DO/DI端子を用いた信号に基づいて、アクティブ状態のコントローラが故障であると判定し、前記第2のI/Fを用いたメッセージに基づいて、アクティブ状態のコントローラが正常であると判定した場合には、前記切替処理部は、アクティブ状態への切り替えは行わないように構成してもよい。 In order to achieve such an object, the controller according to the present invention is a controller in a facility monitoring system including a monitoring device and a redundant controller, and is a first controller for communicating with the monitoring device. I / F, a second I / F for communicating between the duplicated controllers, a DO / DI terminal for transmitting and receiving signals between the duplicated controllers, and the duplicated The failure determination unit and the determination result of the failure determination unit determine the failure status of the other controller based on the transmission / reception of a message using the second I / F and the transmission / reception of a signal using the DO / DI terminal. Based on this, a switching processing unit that switches between a standby state and an active state is provided, and in the standby state, the controller in the active state fails based on a message using the second I / F. When the determination is made, the switching processing unit switches to the active state, and the failure determination unit is in the active state based on the signal using the DO / DI terminal in the standby state. When it is determined that the controller is out of order and it is determined that the controller in the active state is normal based on the message using the second I / F, the switching processing unit switches to the active state. May be configured not to do.

また、前記故障判定部は、前記DO/DI端子を用いた故障状態の判定は、前記二重化された他のコントローラが送信したパルス信号が検出できたか否かにより判定するように構成してもよい。 Further, the failure determination unit may be configured to determine the failure state using the DO / DI terminal based on whether or not the pulse signal transmitted by the other duplicated controller can be detected. ..

また、前記故障判定部は、第2のI/Fを用いた故障状態の判定は、前記二重化された他のコントローラに送信したメッセージに対応するメッセージが受信できたか否かにより判定するように構成してもよい。 Further, the failure determination unit is configured to determine the failure state using the second I / F based on whether or not a message corresponding to the message transmitted to the other duplicated controller has been received. You may.

このような目的を達成するために、本発明にかかる施設監視システムは、上述したコントローラを備える。 In order to achieve such an object, the facility monitoring system according to the present invention includes the controller described above.

本発明によれば、アクティブ状態のコントローラからスタンバイ状態のコントローラへの切り替えを効率よく行うことができ、信頼性の高い施設監視システムを提供することが可能となる。 According to the present invention, it is possible to efficiently switch from the controller in the active state to the controller in the standby state, and it is possible to provide a highly reliable facility monitoring system.

図1Aは、本発明の実施の形態における設管理システムの構成例を示す図である。FIG. 1A is a diagram showing a configuration example of a setting management system according to an embodiment of the present invention. 図1Bは、本発明の実施の形態における「アクティブ状態」と「スタンバイ状態」の動作を説明するための図である。FIG. 1B is a diagram for explaining the operation of the “active state” and the “standby state” in the embodiment of the present invention. 図2Aは、本発明の実施の形態におけるコントローラの構成例である。FIG. 2A is a configuration example of the controller according to the embodiment of the present invention. 図2Bは、本発明の実施の形態におけるコントローラを構成するコンピュータの構成例である。FIG. 2B is a configuration example of a computer constituting the controller according to the embodiment of the present invention. 図3Aは、本発明の実施の形態におけるコントローラの故障判定を説明するための図である。FIG. 3A is a diagram for explaining a failure determination of the controller according to the embodiment of the present invention. 図3Bは、本発明の実施の形態におけるコントローラの故障判定条件を説明するための図である。FIG. 3B is a diagram for explaining a failure determination condition of the controller according to the embodiment of the present invention. 図4Aは、本発明の実施の形態における「故障DO監視」による故障判定を説明するための図である。FIG. 4A is a diagram for explaining failure determination by "failure DO monitoring" in the embodiment of the present invention. 図4Bは、本発明の実施の形態における「故障DO監視」による故障判定を説明するための図である。FIG. 4B is a diagram for explaining a failure determination by "failure DO monitoring" in the embodiment of the present invention. 図4Cは、本発明の実施の形態における「下位イーサネット回線監視」による故障判定を説明するための図である。FIG. 4C is a diagram for explaining failure determination by "lower Ethernet line monitoring" in the embodiment of the present invention. 図5Aは、本発明の実施の形態における「主系コントローラ」の切り替え制御を説明するための図である。FIG. 5A is a diagram for explaining switching control of the “main controller” according to the embodiment of the present invention. 図5Bは、本発明の実施の形態における「従系コントローラ」の切り替え制御を説明するための図である。FIG. 5B is a diagram for explaining switching control of the “subordinate controller” according to the embodiment of the present invention. 図6Aは、本発明の実施の形態におけるデータ同期(常時同期)を説明するための図である。FIG. 6A is a diagram for explaining data synchronization (constant synchronization) in the embodiment of the present invention. 図6Bは、本発明の実施の形態におけるデータ同期(初期同期)を説明するための図である。FIG. 6B is a diagram for explaining data synchronization (initial synchronization) in the embodiment of the present invention.

本願発明の実施の形態について図面を参照して説明する。本願発明は、様々な実施の形態で実施することが可能であり、以下に説明する実施の形態に限定されるものではない。 Embodiments of the present invention will be described with reference to the drawings. The present invention can be implemented in various embodiments and is not limited to the embodiments described below.

<二重化構成の概要>
図1Aは、本発明の実施の形態における施設監視システムの構成例を示す図である。施設監視システム1は、二重化された主系コントローラ30、従系コントローラ40、コントローラ経由で設備機器を監視する監視装置10、コントローラに対して各種設定を行うエンジニアリングツール20、設備機器を接続するための複数のI/Oモジュール(50−1〜50−4)から構成されている。本実施の形態では、監視装置10、コントローラ(30、40)、及びI/Oモジュール(50−1〜50−4)間の通信は、BACnet(Building Automation and Control Network)(登録商標)プロトコルを用いて行われる。 <Overview of duplex configuration>
FIG. 1A is a diagram showing a configuration example of a facility monitoring system according to an embodiment of the present invention. The facility monitoring system 1 includes a redundant main controller 30, a slave controller 40, a monitoring device 10 that monitors equipment via the controller, an engineering tool 20 that makes various settings for the controller, and equipment for connecting the equipment. It is composed of a plurality of I / O modules (50-1 to 50-4). In this embodiment, the communication between the monitoring device 10, the controller (30, 40), and the I / O module (50-1 to 50-4) uses the BACnet (Building Automation and Control Protocol) protocol. It is done using.

図1Aの構成例では、主系コントローラ30及び従系コントローラ40と監視装置10、エンジニアリングツール20の間は、上位イーサネット(登録商標)回線60で接続され、主系コントローラ30、従系コントローラ40、I/Oモジュール(50−1〜50−4)の間は、下位イーサネット回線(70−1、70−2)で接続されている。主系コントローラ30、従系コントローラ40は、互いに、故障DO(Digital Output)信号を送受信するように構成されている。 In the configuration example of FIG. 1A, the main controller 30, the slave controller 40, the monitoring device 10, and the engineering tool 20 are connected by an upper Ethernet (registered trademark) line 60, and the main controller 30, the slave controller 40, The I / O modules (50-1 to 50-4) are connected by lower Ethernet lines (70-1, 70-2). The main controller 30 and the slave controller 40 are configured to transmit and receive a failure DO (Digital Output) signal to and from each other.

本実施の形態では、コントローラ間の故障DO監視、及び下位イーサネット回線監視を使用して対向する他のコントローラの故障状態を判定し、その判定結果に基づいてアクティブ状態とスタンバイ状態の切り替えを行う。 In the present embodiment, the failure DO monitoring between the controllers and the lower Ethernet line monitoring are used to determine the failure state of other controllers facing each other, and the active state and the standby state are switched based on the determination result.

通常は、主系コントローラが「アクティブ状態」、従系コントローラが「スタンバイ状態」となるが、主系コントローラが故障し、制御が行えなくなった場合に、従系コントローラが「アクティブ状態」に切り替わる。また、主系コントローラが故障から復帰した場合には、従系のコントローラが再度「スタンバイ状態」へ切り替わり、主系コントローラが「アクティブ状態」へ切り替わる。 Normally, the main controller is in the "active state" and the slave controller is in the "standby state", but when the main controller fails and control is not possible, the slave controller is switched to the "active state". When the main controller recovers from the failure, the slave controller switches to the "standby state" again, and the main controller switches to the "active state".

<二重化の方式>
本実施の形態における二重化方式は、「デュアルシステム」と「デュプレックスシステム」の組み合わせ方式である。「デュアルシステム」は、2つのコントローラに常に同じ動作を行わせておき、一方のコントローラに障害が発生したときでも、他方のコントローラによる処理の継続を行うことができるシステムである。一方、「デュプレックスシステム」は、常時運用する主系コントローラと待機している従系のコントローラで構成し、主系コントローラの故障時に従系コントローラが処理を代行するシステムである。 <Duplicate method>
The duplication method in the present embodiment is a combination method of a "dual system" and a "duplex system". The "dual system" is a system in which two controllers are always made to perform the same operation, and even if one controller fails, the processing by the other controller can be continued. On the other hand, the "duplex system" is a system composed of a main controller that is always in operation and a slave controller that is on standby, and the slave controller takes over the processing when the main controller fails.

<アクティブ状態とスタンバイ状態の動作>
図1Bは、本発明の実施の形態における「アクティブ状態」と「スタンバイ状態」の動作を説明するための図である。各コントローラにおける内部制御動作、I/Oモジュール通信及びI/Oモジュール通信におけるデータスキャンは、「デュアルシステム」とし、主系コントローラが故障した場合でも従系コントローラに速やかに処理を引き継ぐことができるようにする。 <Operation in active state and standby state>
FIG. 1B is a diagram for explaining the operation of the “active state” and the “standby state” in the embodiment of the present invention. The internal control operation in each controller, I / O module communication, and data scan in I / O module communication are defined as "dual system" so that even if the main controller fails, the processing can be quickly taken over by the slave controller. To.

一方、コントローラからの出力制御及びデータ通告については「デュプレックスシステム」とする。「スタンバイ状態」のコントローラからの出力制御及びデータ通告は抑制される。「スタンバイ状態」のコントローラは、出力制御、及びデータ通告を抑制し、「アクティブ状態」のコントローラが故障し、自らが「アクティブ状態」に切り替わった場合にのみこれらの抑制を解除することで、二重の出力制御、データ通告が行われないようにする。 On the other hand, the output control and data notification from the controller will be referred to as the "duplex system". Output control and data notification from the "standby" controller are suppressed. The controller in the "standby state" suppresses output control and data notification, and releases these suppressions only when the controller in the "active state" fails and switches to the "active state". Prevent heavy output control and data notification.

<データ及び制御状態の同期>
「アクティブ状態」のコントローラと「スタンバイ状態」のコントローラ間では、速やかに処理を引き継ぐために、監視装置10からのパラメータ設定やコマンド操作に関して、設定データを共有する。また、各コントローラにおける制御アプリケーションの動作に関して、「アクティブ状態」のコントローラと「スタンバイ状態」のコントローラ間での実行タイミング同期を行い、「アクティブ状態」から「スタンバイ状態」に切り替わったときでも制御状態のズレが少なくなるように構成する。 <Synchronization of data and control status>
The controller in the "active state" and the controller in the "standby state" share the setting data regarding the parameter setting and the command operation from the monitoring device 10 in order to take over the processing promptly. In addition, regarding the operation of the control application in each controller, the execution timing is synchronized between the controller in the "active state" and the controller in the "standby state", and the control state is maintained even when the "active state" is switched to the "standby state". It is configured so that there is little deviation.

<二重化構成の隠蔽>
本実施の形態の二重化されたコントローラでは、監視装置10と通信するための仮想IPアドレス(第1のアドレス)と物理IPアドレス(第2のアドレス)の2つのIPアドレスを設定可能とし、これにより、監視装置10からみた二重化構成の隠蔽を実現する。仮想IPアドレスは、主系・従系コントローラで共通するIPアドレスが設定され、動的に有効/無効の切り替えができる。仮想IPアドレスは、「アクティブ状態」のコントローラでのみ有効で使用可能であり、「アクティブ状態」と「スタンバイ状態」の切り替えに応じて、仮想IPアドレスの有効/無効を切り替えるように構成されている。 <Concealment of duplicate configuration>
In the duplicated controller of the present embodiment, it is possible to set two IP addresses, a virtual IP address (first address) and a physical IP address (second address) for communicating with the monitoring device 10. , The concealment of the duplicated configuration as seen from the monitoring device 10 is realized. As the virtual IP address, an IP address common to the main controller and the slave controller is set, and it can be dynamically enabled / disabled. The virtual IP address is valid and available only on the controller in the "active state", and is configured to enable / disable the virtual IP address according to the switching between the "active state" and the "standby state". ..

仮想IPアドレスは、通常は無効となっており「アクティブ状態」のコントローラにおいてのみ有効となる。「アクティブ状態」/「スタンバイ状態」の切り替えに応じて、仮想IPアドレスの有効/無効の切り替え動作を行うことにより、従系コントローラ40が「アクティブ状態」の動作に切り替わっているときでも、監視装置10から見たときには常に同じコントローラが動作しているように見せかける。監視装置10は、主系コントローラ30及び従系コントローラ40に共通する仮想IPアドレスでアクセスすることで、主系・従系コントローラのどちらが「アクティブ状態」であるかを意識することなくアクセスすることができる。 Virtual IP addresses are normally disabled and are only valid on controllers in the "active state". By switching the virtual IP address between valid and invalid according to the switching of "active state" / "standby state", the monitoring device even when the slave controller 40 is switched to the "active state" operation. When viewed from 10, it always looks like the same controller is working. By accessing the monitoring device 10 with a virtual IP address common to the main controller 30 and the slave controller 40, it is possible to access without being aware of which of the main controller and the slave controller is in the "active state". can.

なお、主系・従系のコントローラに個別にアクセスする場合には、主系・従系のコントローラのそれぞれに割り当てられた固有の物理IPアドレスを用いる。エンジニアリングツール20は、この物理IPアドレスを用いて、各コントローラに対するエンジニアリングをすることができる。 When accessing the main controller and the slave controller individually, the unique physical IP address assigned to each of the main controller and the slave controller is used. The engineering tool 20 can use this physical IP address to engineer each controller.

<コントローラの構成>
図2Aは、本発明の実施の形態におけるコントローラの構成例である。コントローラ30は、主に監視装置10からのパラメータ設定やコマンド操作等を用いた設備機器の監視制御や監視装置10へのデータ通告を行う監視制御部31、I/Oモジュールを制御するI/O制御部32、コントローラ間でのデータの同期を行うデータ同期部33、コントローラの切り替えを行う切替処理部34、及び対向コントローラの故障判定を行う故障判定部35、I/F部36、記憶部37から構成されている。従系コントローラ40も同様な構成を有する。 <Controller configuration>
FIG. 2A is a configuration example of the controller according to the embodiment of the present invention. The controller 30 mainly controls the monitoring and control of equipment using parameter settings and command operations from the monitoring device 10 and notifies data to the monitoring device 10, and I / O that controls the I / O module. The control unit 32, the data synchronization unit 33 that synchronizes data between controllers, the switching processing unit 34 that switches controllers, and the failure determination unit 35 that determines the failure of the opposite controller, the I / F unit 36, and the storage unit 37. It is composed of. The slave controller 40 also has a similar configuration.

I/F部36は、監視装置10と通信するための上位イーサネット回線60をサポートする第1のI/F(36−1)と、コントローラ及びI/Oモジュールと通信するための下位イーサネット回線(70−1、70−2)をサポートする第2のI/F(36−2)、対向するコントローラの故障監視を行うための故障DO信号を送受信するためのDO(Digital Output)端子(36−3)及びDI(Digital Input)端子(36−4)を備える。 The I / F unit 36 includes a first I / F (36-1) that supports an upper Ethernet line 60 for communicating with the monitoring device 10 and a lower Ethernet line (36-1) for communicating with the controller and the I / O module. A second I / F (36-2) that supports 70-1, 70-2), and a DO (Digital Output) terminal (36-) for transmitting and receiving a failure DO signal for monitoring the failure of the opposing controller. 3) and DI (Digital Input) terminal (36-4) are provided.

コントローラ30の監視制御部31、I/O制御部32、データ同期部33、切替処理部34、及び故障判定部35、I/F部36、記憶部37は、例えば、CPU(Central Processing Unit)、記憶装置及び外部インタフェース(以下、外部I/F)を備えたコンピュータと、これらのハードウェア資源を制御するプログラムによって実現することができる。このようなコンピュータの構成例を図2Bに示す。 The monitoring control unit 31, the I / O control unit 32, the data synchronization unit 33, the switching processing unit 34, the failure determination unit 35, the I / F unit 36, and the storage unit 37 of the controller 30 are, for example, a CPU (Central Processing Unit). , A computer equipped with a storage device and an external interface (hereinafter referred to as an external I / F), and a program for controlling these hardware resources. A configuration example of such a computer is shown in FIG. 2B.

コンピュータ100は、CPU200と、記憶装置300と、外部I/F400とを備えており、それらがI/Oインタフェース500を介して互いに接続されている。本実施の形態の故障判定や切替処理等を行うプログラムや、監視装置10からの設定データ、I/Oモジュールから収集したデータ等は記憶装置300に格納され、外部I/F400を介して、監視装置、エンジニアツール等の他のコンピュータが接続される。CPU200は、記憶装置300に格納されたプログラム等に従って本実施の形態で説明した処理を実行する。 The computer 100 includes a CPU 200, a storage device 300, and an external I / F 400, which are connected to each other via an I / O interface 500. The program for performing failure determination and switching processing of the present embodiment, the setting data from the monitoring device 10, the data collected from the I / O module, and the like are stored in the storage device 300 and monitored via the external I / F 400. Other computers such as equipment and engineer tools are connected. The CPU 200 executes the process described in the present embodiment according to a program or the like stored in the storage device 300.

I/F部36では、上位イーサネット回線のための共通の仮想IPアドレスと固有の物理IPアドレスの2つのIPアドレスを設定可能である。これにより、監視装置10からの二重化構成の隠蔽を実現する。I/F部36では、動的に仮想IPアドレスの有効/無効の切り替えができる。仮想IPアドレスは、「アクティブ状態」のコントローラでのみ有効で使用可能であり、「アクティブ状態」と「スタンバイ状態」の切り替えに応じて、仮想IPアドレスの有効/無効を切り替える。仮想IPアドレスと物理IPアドレスは、同一ネットワークセグメントとして対応可能であり、同一のUDP/TCPポートを共有している。 In the I / F unit 36, two IP addresses, a common virtual IP address for the upper Ethernet line and a unique physical IP address, can be set. As a result, the duplication configuration is concealed from the monitoring device 10. In the I / F unit 36, the virtual IP address can be dynamically switched between valid and invalid. The virtual IP address is valid and can be used only in the controller in the "active state", and the virtual IP address is enabled / disabled according to the switching between the "active state" and the "standby state". The virtual IP address and the physical IP address can be supported as the same network segment and share the same UDP / TCP port.

このように、仮想IPアドレスを用いて二重化構成を隠蔽することにより、監視装置は、主系・従系コントローラのアクティブ/スタンバイ状態を意識することなく常に1つのコントローラにアクセスすることができる。監視装置では、主系・従系コントローラのどちらがアクティブ状態であるかを判断するための特別な機能を備える必要がなくなり、監視装置からのパラメータ設定やコマンド操作等の監視制御を効率よく行うことが可能な施設監視システムを実現することが可能となる。 By concealing the duplicated configuration by using the virtual IP address in this way, the monitoring device can always access one controller without being aware of the active / standby state of the main controller / slave controller. The monitoring device does not need to have a special function to determine which of the main controller and the slave controller is in the active state, and it is possible to efficiently perform monitoring control such as parameter setting and command operation from the monitoring device. It is possible to realize a possible facility monitoring system.

<アクティブ/スタンバイ切り替え動作>
図3Aは、本発明の実施の形態におけるコントローラの故障判定を説明するための図である。主系・従系コントローラは、対向するコントローラの故障や故障からの復帰を判定し、その判定結果に基づいて、アクティブ状態/スタンバイ状態の切り替えを行う。本実施の形態では、「故障DO監視」と「下位イーサネット回線監視」の2経路を、アクティブ/スタンバイ状態の切り替え動作のための故障判定に用いる。 <Active / standby switching operation>
FIG. 3A is a diagram for explaining a failure determination of the controller according to the embodiment of the present invention. The main system / slave controller determines the failure of the opposite controller or recovery from the failure, and switches between the active state and the standby state based on the determination result. In the present embodiment, two routes of "failure DO monitoring" and "lower Ethernet line monitoring" are used for failure determination for switching operation of active / standby state.

<対向コントローラの状態検出と故障/復帰の判断>
図3Bは、本発明の実施の形態におけるコントローラの故障判定条件を説明するための図である。 <Detecting the status of the opposite controller and determining failure / recovery>
FIG. 3B is a diagram for explaining a failure determination condition of the controller according to the embodiment of the present invention.

対向するコントローラが「故障」と認識している状態で、「故障DO監視」と「下位イーサネット回線監視」の2経路で対向コントローラの「正常」状態を検出した場合、「正常」状態に復帰したと判断する。例えば、「アクティブ状態」の従系コントローラは、「スタンバイ状態」への切り替えを行う。 When the opposite controller recognizes that it is "failed" and detects the "normal" state of the opposite controller through the two routes of "failure DO monitoring" and "lower Ethernet line monitoring", it returns to the "normal" state. Judge. For example, the slave controller in the "active state" switches to the "standby state".

一方、対向コントローラが「正常」と認識している状態で、「故障DO監視」と「下位イーサネット回線監視」のうち、どちらかの経路で対向コントローラの「故障」を検出した場合、原則的には、対向コントローラが「故障」状態に遷移したと判断する。例えば、従系コントローラは、「スタンバイ状態」から「アクティブ状態」への切り替えを行う。 On the other hand, when the opposite controller recognizes that it is "normal" and detects the "failure" of the opposite controller by either of "failure DO monitoring" and "lower Ethernet line monitoring", in principle. Determines that the opposite controller has transitioned to the "failure" state. For example, the slave controller switches from the "standby state" to the "active state".

ここで、「故障DO監視」による対向コントローラの状態が「故障」と判断した場合に、「下位イーサネット回線監視」において、下位イーサネット回線による対向コントローラの情報が取得でき、対向コントローラが「正常」と判断した場合は、「スタンバイ状態」のコントローラは、「アクティブ状態」への切り替え動作を保留し、「スタンバイ状態」を維持する。 Here, when it is determined that the state of the opposite controller by "Failure DO monitoring" is "Failure", the information of the opposite controller by the lower Ethernet line can be acquired in "Lower Ethernet line monitoring", and the opposite controller is "normal". If determined, the controller in the "standby state" suspends the operation of switching to the "active state" and maintains the "standby state".

このような保留動作を行うことにより、コントローラ間のDO/DI端子の結線が切断したときに、すぐに「アクティブ状態」へ切り替わってしまい、両方のコントローラが「アクティブ状態」となってしまう、いわゆるスプリットブレイン状態を抑制することができるので、それにより、信頼性の高い二重化構成を備えた施設監視システムを提供することが可能となる。 By performing such a hold operation, when the connection between the DO / DI terminals between the controllers is disconnected, the system immediately switches to the "active state", and both controllers become the "active state", so-called. Since the split brain state can be suppressed, it becomes possible to provide a facility monitoring system having a highly reliable duplex configuration.

<故障DO監視による故障判定>
図4A、図4Bは、本発明の実施の形態における「故障DO監視」による故障判定を説明するための図である。「故障DO監視」では、他のコントローラが送信したパルス信号が検出できたか否かにより、他のコントローラの故障状態を判定する。各コントローラにおけるDO端子(36−3、46−3)からの故障DO出力は、コントローラの電源断時においては、図4Bの(1)に示すように、「LO」となる。 <Failure judgment by failure DO monitoring>
4A and 4B are diagrams for explaining failure determination by "failure DO monitoring" in the embodiment of the present invention. In the "failure DO monitoring", the failure state of the other controller is determined based on whether or not the pulse signal transmitted by the other controller can be detected. The faulty DO output from the DO terminals (36-3, 46-3) in each controller becomes "LO" as shown in (1) of FIG. 4B when the power of the controller is turned off.

一方、図4Bの(2)に示すように、電源投入時の正常状態では、ソフトウェアによるパルス幅、例えば、50ms幅のパルス出力を常時行う。このパルス出力は、ソフトウェア割り込みにより行うため、割り込み暴走等の異常状態においては、パルス出力は、図4Bの(3)に示すように、「HI」または「LO」に貼りつくことになる。DI端子(36−4、46−4)におけるパルスカウント検出が一定時間行えないパルス未検出の場合は、対向するコントローラを「故障」と判断する。パルス幅やパルス未検出の判定時間は適宜設定することができる。 On the other hand, as shown in FIG. 4B (2), in a normal state when the power is turned on, a pulse width of software, for example, a pulse width of 50 ms width is constantly output. Since this pulse output is performed by software interrupt, the pulse output sticks to "HI" or "LO" as shown in (3) of FIG. 4B in an abnormal state such as interrupt runaway. If the pulse count cannot be detected at the DI terminals (36-4, 46-4) for a certain period of time and no pulse is detected, the opposite controller is judged to be "failed". The pulse width and the determination time for pulse undetection can be set as appropriate.

<下位イーサネット回線監視による故障判定>
図4Cは、本発明の実施の形態における「下位イーサネット回線監視」による故障判定を説明するための図である。「下位イーサネット回線監視」では、他のコントローラに送信したメッセージに対応するメッセージが受信できたか否かにより、他のコントローラの故障状態を判定する。 <Failure judgment by monitoring lower Ethernet line>
FIG. 4C is a diagram for explaining failure determination by "lower Ethernet line monitoring" in the embodiment of the present invention. In "lower Ethernet line monitoring", the failure state of another controller is determined based on whether or not a message corresponding to the message sent to the other controller has been received.

主系・従系コントローラは、予め定めた所定のメッセージ、例えば、UDP通信を利用した「ダウンロードサービス」等のリードプロパティメッセージを所定の周期で送信し、対向するコントローラの制御状態に関わるデータ読み出しを行う。リードプロパティメッセージに対応する応答メッセージを検出した場合に、正常と判定し、リードプロパティメッセージに対して、連続して無応答を検出した場合に、故障と判定する。送信するメッセージ、メッセージの送信周期、タイムアウト時間、リトライ回数、故障と判断する無応答の検出回数は、適宜設定することができる。 The main / slave controller sends a predetermined message, for example, a read property message such as "download service" using UDP communication at a predetermined cycle, and reads out data related to the control state of the opposite controller. conduct. When a response message corresponding to the read property message is detected, it is determined to be normal, and when no response is continuously detected for the read property message, it is determined to be a failure. The message to be transmitted, the message transmission cycle, the timeout time, the number of retries, and the number of detections of no response determined to be a failure can be appropriately set.

このように、「故障DO監視」と「下位イーサネット回線監視」の2経路を、対向するコントローラの故障判定のために併用することにより、スプリットブレインを抑制できる安定した故障判定を実現し、それにより、信頼性の高い二重化構成を備えた施設監視システムを提供することが可能となる。 In this way, by using the two routes of "failure DO monitoring" and "lower Ethernet line monitoring" together for fault judgment of the opposite controller, stable fault judgment that can suppress split brain is realized, thereby realizing stable fault judgment. , It becomes possible to provide a facility monitoring system with a highly reliable duplex configuration.

さらに、「故障DO監視」における故障判定にパルス検出を用いることにより、安定した故障判定を実現し、それにより、信頼性の高い二重化構成を備えた施設監視システムを提供することが可能となる。 Further, by using pulse detection for failure determination in "failure DO monitoring", stable failure determination can be realized, and thereby it becomes possible to provide a facility monitoring system having a highly reliable duplex configuration.

<主系コントローラにおける切り替え制御>
図5Aは、本発明の実施の形態における「主系コントローラ」の切り替え制御を説明するための図である。2つのコントローラのうちどちらを「主系コントローラ」として動作させるかは予め設定されている。 <Switching control in the main controller>
FIG. 5A is a diagram for explaining switching control of the “main controller” according to the embodiment of the present invention. Which of the two controllers is to be operated as the "main controller" is preset.

起動時において、主系コントローラは、「スタンバイ状態」で立ち上がり、従系コントローラの故障状態判定と、アクティブ/スタンバイ状態の読み出しを行う。その結果、従系コントローラが「故障」状態、または「スタンバイ状態」であることを検出した場合には、主系コントローラは、「アクティブ状態」に遷移して制御動作を開始する。 At startup, the main controller starts up in the "standby state", determines the failure state of the slave controller, and reads the active / standby state. As a result, when it is detected that the slave controller is in the "failure" state or the "standby state", the master controller transitions to the "active state" and starts the control operation.

起動時において、主系コントローラは、従系コントローラが「正常」状態、かつ「アクティブ状態」で動作中であることを検出した場合、以下の処理を順番に行う。
(1)復帰時初期同期状態となり、「アクティブ状態」で動作している従系コントローラのデータ状態に同期し、従系コントローラの制御タイミングに初期同期する。
(2)同期処理が完了した後、アクティブ遷移待ち状態に遷移し、従系コントローラが「スタンバイ状態」に遷移するのを待つ。
(3)従系コントローラが「スタンバイ状態」に遷移したことを確認後、「アクティブ状態」に復帰して制御動作を開始する。 At the time of startup, when the master controller detects that the slave controller is operating in the "normal" state and the "active state", the main controller performs the following processes in order.
(1) When returning, the initial synchronization state is set, the data state of the slave controller operating in the "active state" is synchronized, and the initial synchronization is performed with the control timing of the slave controller.
(2) After the synchronization processing is completed, the state transitions to the active transition waiting state and waits for the slave controller to transition to the "standby state".
(3) After confirming that the slave controller has transitioned to the "standby state", it returns to the "active state" and starts the control operation.

<従系コントローラにおける切り替え制御>
図5Bは、本発明の実施の形態における「従系コントローラ」の切り替え制御を説明するための図である。2つのコントローラのうちどちらを「従系コントローラ」として動作させるかはあ予め設定されている。 <Switching control in the slave controller>
FIG. 5B is a diagram for explaining switching control of the “subordinate controller” according to the embodiment of the present invention. Which of the two controllers is to be operated as the "subordinate controller" is preset.

従系コントローラは、起動時において、「スタンバイ状態」で立ち上がり、主系コントローラの故障状態判定を行う。従系コントローラは、主系コントローラが正常動作している限りは「スタンバイ状態」を継続する。従系コントローラは、主系コントローラの「故障」を検出したときは、「アクティブ状態」に遷移する。 At startup, the slave controller starts up in the "standby state" and determines the failure status of the main controller. The slave controller continues in the "standby state" as long as the master controller is operating normally. When the slave controller detects a "failure" of the main controller, it transitions to the "active state".

従系コントローラは、主系コントローラの「正常」を検出した場合は、復帰時初期同期状態となり、主系コントローラでの従系コントローラとの同期動作が完了した後に、「スタンバイ状態」に戻る。 When the slave controller detects "normal" of the master controller, it enters the initial synchronization state at the time of recovery, and returns to the "standby state" after the synchronization operation with the slave controller of the master controller is completed.

従系コントローラは、復帰時初期同期状態において、主系コントローラの「故障」を検出した場合は、「アクティブ状態」に遷移する。 When the slave controller detects a "failure" of the main controller in the initial synchronization state at the time of recovery, the slave controller transitions to the "active state".

従系コントローラは、「アクティブ状態」では、常時主系コントローラの故障検出を行う。主系コントローラの「故障」からの復帰を検出し、かつ主系コントローラがアクティブ遷移待ち状態である場合、「スタンバイ状態」に遷移する。 The slave controller always detects the failure of the main controller in the "active state". When the recovery from the "failure" of the main controller is detected and the main controller is in the active transition waiting state, the transition to the "standby state" is performed.

<データ同期機能>
図6A、図6Bは、本発明の実施の形態におけるデータ同期を説明するための図である。本実施の形態では、「常時同期」及び「初期同期」の2種類のデータ同期を行う。 <Data synchronization function>
6A and 6B are diagrams for explaining data synchronization in the embodiment of the present invention. In this embodiment, two types of data synchronization, "constant synchronization" and "initial synchronization", are performed.

<常時同期の概要>
図6Aは、本発明の実施の形態における「常時同期」を説明するための図である。「常時同期」では、監視装置10から、主系コントローラに対するサービスメッセージの送信が行われたとき、所定のサービスメッセージを従系コントローラにそのまま転送してデータの同期を行う(プッシュ同期)。 <Overview of constant synchronization>
FIG. 6A is a diagram for explaining "always-on synchronization" in the embodiment of the present invention. In "constant synchronization", when a service message is transmitted from the monitoring device 10 to the main controller, the predetermined service message is transferred to the slave controller as it is to synchronize the data (push synchronization).

ここで、ネットワーク断線時の対応として、サービスメッセージの転送に失敗した場合には、できるだけデータの同期がとれるように、周期的な書き込みリトライを行う。 Here, as a countermeasure in the event of network disconnection, if the transfer of the service message fails, periodic write retries are performed so that the data can be synchronized as much as possible.

<常時同期の同期動作>
主系コントローラ30、従系コントローラ40の両方が正常動作している場合に、監視装置10からのサービスメッセージによるパラメータ設定またはコマンド操作が行われたとき、「アクティブ状態」のコントローラ(ここでは主系コントローラ30)は、サービスメッセージを「スタンバイ状態」のコントローラ(ここでは従系コントローラ40)に転送することで、監視装置10から書き込まれるデータの同期を行う。サービスメッセージの転送は、コントローラ間の下位イーサネット回線(70−1)を介して行われる。 <Synchronous operation of constant synchronization>
When both the main controller 30 and the slave controller 40 are operating normally and a parameter is set or a command operation is performed by a service message from the monitoring device 10, the controller in the "active state" (here, the main controller). The controller 30) synchronizes the data written from the monitoring device 10 by transferring the service message to the controller in the “standby state” (here, the slave controller 40). The transfer of service messages is performed via the lower Ethernet line (70-1) between the controllers.

常時同期は、「アクティブ状態」のコントローラ(ここでは主系コントローラ30)のみが行う。従系コントローラ40は、主系コントローラ30の故障時のみ「アクティブ状態」に遷移し、常時同期を行う。主系コントローラ30が故障から復帰した際には、主系コントローラ30は、初期同期により同期した後に、「アクティブ状態」へ切り替わり、常時同期を再開し、従系コントローラ40は、「スタンバイ状態」へ切り替わり、常時同期を停止する。 The constant synchronization is performed only by the controller in the "active state" (here, the main controller 30). The slave controller 40 transitions to the "active state" only when the main controller 30 fails, and always synchronizes. When the main controller 30 recovers from the failure, the main controller 30 synchronizes by the initial synchronization, then switches to the "active state" and resumes the continuous synchronization, and the slave controller 40 goes to the "standby state". It switches and always stops synchronization.

常時同期では、予め定めた所定のサービスメッセージを転送対象とする。例えば、「BACnet通信のWritePropertyサービス要求」等の「ライトプロパティメッセージ」を転送対象とすることができる。監視装置からの「ライトプロパティメッセージ」等の設定パラメータが変更されるメッセージのみを転送対象とすることにより、データ同期の効率化を図ることができる。転送対象とするサービスメッセージは、適宜設定可能である。 In the constant synchronization, a predetermined service message determined in advance is to be transferred. For example, a "write property message" such as a "Write Property service request for BACnet communication" can be transferred. By targeting only the messages whose setting parameters are changed, such as the "write property message" from the monitoring device, the efficiency of data synchronization can be improved. The service message to be transferred can be set as appropriate.

サービス転送に対する無応答を検出した場合には、再送処理を行う。再送処理にも失敗した場合には、エラーログに記録する。転送タイムアウト時間や、リトライ回数は適宜設定可能である。 If no response to the service transfer is detected, retransmission processing is performed. If the retransmission process also fails, record it in the error log. The transfer timeout time and the number of retries can be set as appropriate.

<初期同期の概要>
図6Bは、本発明の実施の形態における「初期同期」を説明するための図である。従系コントローラ40は、起動時において、対向する主系コントローラ30が「アクティブ状態」で動作していることを検出した場合、対向する主系コントローラ30から予め定めた所定のデータの読み出しを行って「初期同期」する。これにより、主系コントローラ30で動作している最新のデータに対して同期を行うことができる(プル同期)。 <Overview of initial synchronization>
FIG. 6B is a diagram for explaining "initial synchronization" in the embodiment of the present invention. When the slave controller 40 detects that the opposing main controller 30 is operating in the "active state" at the time of startup, the slave controller 40 reads a predetermined predetermined data from the opposing main controller 30. "Initial synchronization". As a result, synchronization can be performed with respect to the latest data operating on the main controller 30 (pull synchronization).

<初期同期の同期動作>
従系コントローラ40は、起動時に、対向する主系コントローラ30の状態を確認し、主系コントローラ30が正常かつ「アクティブ状態」で動作している場合は、対向する主系コントローラのデータをスキャンし、データの同期を行う。スキャン対象データは全てのデータではなくてもよく、予め定めた所定のデータに限定することができる。 <Synchronization operation of initial synchronization>
The slave controller 40 confirms the state of the opposing main controller 30 at startup, and if the main controller 30 is operating normally and in the "active state", scans the data of the opposing main controller 30. , Synchronize the data. The data to be scanned does not have to be all data, and can be limited to predetermined data.

初期同期は、コントローラの起動時やリスタート時に実行される。主系コントローラ30が故障から復帰した場合、復帰した主系コントローラ30から「アクティブ状態」で動作している従系コントローラ40に対してデータスキャンを行う。主系コントローラ30が故障から復帰した場合、従系コントローラは、主系コントローラ30からの初期同期が完了するまで「アクティブ状態」への遷移は行わない。 Initial synchronization is performed when the controller is started or restarted. When the main controller 30 recovers from the failure, data scanning is performed from the recovered main controller 30 to the slave controller 40 operating in the "active state". When the main controller 30 recovers from the failure, the slave controller does not transition to the "active state" until the initial synchronization from the main controller 30 is completed.

初期同期は、常時同期と同様に下位イーサネット回線を介して行われる。データスキャンは、例えば、UDP通信を利用した「ダウンロードサービス」等の「リードプロパティメッセージ」により行われる。データスキャンが成功しなかった場合は、当該データに対する同期を諦め、エラーログに記録される。タイムアウト時間、リトライ回数は、適宜設定することができる。 The initial synchronization is performed via the lower Ethernet line in the same manner as the constant synchronization. The data scan is performed by, for example, a "read property message" such as a "download service" using UDP communication. If the data scan is unsuccessful, it will give up synchronization with the data and be logged in the error log. The timeout time and the number of retries can be set as appropriate.

このように、二重化構成のデータ同期において、「常時同期」と「初期同期」とを併用し、さらには、「常時同期」では、予め定めた所定のメッセージを同期対象とするようにしたので、効率的なデータ同期を実現し、それにより、信頼性の高い二重化構成を備えた施設監視システムを提供することが可能となる。 In this way, in the data synchronization of the duplicate configuration, "always-on synchronization" and "initial synchronization" are used together, and further, in "always-on synchronization", a predetermined predetermined message is targeted for synchronization. It enables efficient data synchronization, which makes it possible to provide a facility monitoring system with a highly reliable duplex configuration.

[実施の形態の拡張]
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。また、各実施形態については、矛盾しない範囲で任意に組み合わせて実施することができる。 [Extension of Embodiment]
Although the present invention has been described above with reference to the embodiments, the present invention is not limited to the above embodiments. Various changes that can be understood by those skilled in the art can be made to the structure and details of the present invention within the scope of the present invention. In addition, each embodiment can be implemented in any combination within a consistent range.

1…施設監視システム、10…監視装置、20…エンジニアリングツール、30…主系コントローラ、40…従系コントローラ、50−1〜50−4…I/Oモジュール、60…上位イーサネット回線、70−1、70−2…下位イーサネット回線。 1 ... Facility monitoring system, 10 ... Monitoring device, 20 ... Engineering tool, 30 ... Main controller, 40 ... Subordinate controller, 50-1 to 50-4 ... I / O module, 60 ... Upper Ethernet line, 70-1 , 70-2 ... Lower Ethernet line.

Claims (4)

監視装置と二重化されたコントローラを備えた施設監視システムにおけるコントローラであって、
前記監視装置との間で通信を行うための第1のI/Fと、
前記二重化されたコントローラの間で通信を行うための第2のI/Fと、
前記二重化されたコントローラの間で信号を送受信するためのDO/DI端子と、
前記二重化された他のコントローラの故障状態を、第2のI/Fを用いたメッセージの送受信と前記DO/DI端子を用いた信号の送受信に基づいて判定する故障判定部と
前記故障判定部の判定結果に基づいて、スタンバイ状態とアクティブ状態の切り替えを行う切替処理部と
を備え、
前記故障判定部が、スタンバイ状態において、前記第2のI/Fを用いたメッセージに基づいて、アクティブ状態のコントローラが故障であると判定した場合には、
前記切替処理部は、アクティブ状態への切り替えを行い、
前記故障判定部が、スタンバイ状態において、前記前記DO/DI端子を用いた信号に基づいて、アクティブ状態のコントローラが故障であると判定し、前記第2のI/Fを用いたメッセージに基づいて、アクティブ状態のコントローラが正常であると判定した場合には、
前記切替処理部は、アクティブ状態への切り替えは行わない
コントローラ。 A controller in a facility monitoring system equipped with a monitoring device and a redundant controller.
The first I / F for communicating with the monitoring device and
A second I / F for communicating between the duplicated controllers, and
A DO / DI terminal for transmitting and receiving signals between the duplicated controllers, and
A failure determination unit and a failure determination unit that determine the failure state of the other duplicated controller based on the transmission / reception of a message using the second I / F and the transmission / reception of a signal using the DO / DI terminal. It is equipped with a switching processing unit that switches between the standby state and the active state based on the judgment result.
When the failure determination unit determines that the controller in the active state has a failure based on the message using the second I / F in the standby state,
The switching processing unit switches to the active state and performs switching to the active state.
In the standby state, the failure determination unit determines that the controller in the active state has a failure based on the signal using the DO / DI terminal, and based on the message using the second I / F. , If the active controller is determined to be normal,
The switching processing unit is a controller that does not switch to the active state. 前記故障判定部は、
前記DO/DI端子を用いた故障状態の判定は、前記二重化された他のコントローラが送信したパルス信号が検出できたか否かにより判定する
請求項1記載のコントローラ。 The failure determination unit
The controller according to claim 1, wherein the determination of the failure state using the DO / DI terminal is determined based on whether or not the pulse signal transmitted by the other duplicated controller can be detected. 前記故障判定部は、
第2のI/Fを用いた故障状態の判定は、前記二重化された他のコントローラに送信したメッセージに対応するメッセージが受信できたか否かにより判定する
請求項1または2記載のコントローラ。 The failure determination unit
The controller according to claim 1 or 2, wherein the determination of the failure state using the second I / F is determined based on whether or not a message corresponding to the message transmitted to the other duplicated controller has been received. 請求項1〜3のいずれか1項に記載されたコントローラを備えた施設監視システム。 A facility monitoring system including the controller according to any one of claims 1 to 3.
JP2019235771A 2019-12-26 2019-12-26 Controller and facility monitoring system Active JP7431034B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019235771A JP7431034B2 (en) 2019-12-26 2019-12-26 Controller and facility monitoring system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019235771A JP7431034B2 (en) 2019-12-26 2019-12-26 Controller and facility monitoring system

Publications (2)

Publication Number Publication Date
JP2021105774A true JP2021105774A (en) 2021-07-26
JP7431034B2 JP7431034B2 (en) 2024-02-14

Family

ID=76918817

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019235771A Active JP7431034B2 (en) 2019-12-26 2019-12-26 Controller and facility monitoring system

Country Status (1)

Country Link
JP (1) JP7431034B2 (en)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3662444B2 (en) 1999-06-09 2005-06-22 三菱電機株式会社 Programmable controller and switching signal generator
JP6350154B2 (en) 2014-09-12 2018-07-04 富士電機株式会社 Control system
JP7023722B2 (en) 2018-01-22 2022-02-22 株式会社日立ハイテクソリューションズ Duplex control system

Also Published As

Publication number Publication date
JP7431034B2 (en) 2024-02-14

Similar Documents

Publication Publication Date Title
CN105607590B (en) Method and apparatus to provide redundancy in a process control system
JP5366177B2 (en) Slot interface access device, method and program thereof, and redundant configuration and alternative method of main device
JPH0666783B2 (en) How to interconnect network modules
JPH04217136A (en) Data integrity assurance system
JP2013030190A (en) Slot interface access device, method and program thereof, and redundancy configuration and alternative method of main device
JP2004054907A (en) Programmable controller and cpu unit, and communication unit and method for controlling communication unit
CN108270593B (en) Dual-computer hot backup method and system
JP4340731B2 (en) Network fault monitoring processing system and method
JP7431034B2 (en) Controller and facility monitoring system
JP7306983B2 (en) Controller and facility monitoring system
JP2021105791A (en) Controller and facility monitoring system
JP4781696B2 (en) IP phone system
JP2021105792A (en) Controller and facility monitoring system
CN114979036A (en) Dual-computer hot standby system of network gate based on heartbeat and isolation switching matrix
KR20090040135A (en) Apparatus and system for duplicating router in bacnet and method for using the same
CN111817939B (en) Master station redundancy implementation system and method based on industrial Ethernet protocol
JP2009003491A (en) Server switching method in cluster system
Cisco Fault Tolerance
Cisco Fault Tolerance
CN113852514A (en) Data processing system with uninterrupted service, processing equipment switching method and connecting equipment
CN112822039A (en) Method for switching master/standby modes of dual-computer hot standby system
JP4579018B2 (en) IP phone system
JP4628823B2 (en) IP phone system
JPH05304528A (en) Multiplex communication node
JP4781697B2 (en) IP phone system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220922

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230516

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230714

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20231024

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231214

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240109

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240201

R150 Certificate of patent or registration of utility model

Ref document number: 7431034

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150