JP2732668B2 - 二重化制御装置 - Google Patents

二重化制御装置

Info

Publication number
JP2732668B2
JP2732668B2 JP16028289A JP16028289A JP2732668B2 JP 2732668 B2 JP2732668 B2 JP 2732668B2 JP 16028289 A JP16028289 A JP 16028289A JP 16028289 A JP16028289 A JP 16028289A JP 2732668 B2 JP2732668 B2 JP 2732668B2
Authority
JP
Japan
Prior art keywords
input
unit
output
internal bus
controller
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP16028289A
Other languages
English (en)
Other versions
JPH0325502A (ja
Inventor
正前 小宮山
隆 村越
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP16028289A priority Critical patent/JP2732668B2/ja
Publication of JPH0325502A publication Critical patent/JPH0325502A/ja
Application granted granted Critical
Publication of JP2732668B2 publication Critical patent/JP2732668B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Landscapes

  • Safety Devices In Control Systems (AREA)

Description

【発明の詳細な説明】 (産業上の利用分野) 本発明は、マイクロプロセッサを応用した、例えば電
力制御装置として用いる二重化制御装置、特に部分故障
発生時の対策処理手段を備えた二重化制御装置に関す
る。
(従来の技術) 電力システムを制御する電力制御装置には従来から高
信頼性と高稼働率が要求されており、システムの重要性
に応じて装置の構成要素が多重化されることがある。第
3図は、そのような多重化された電力制御装置の一例と
して二重化制御装置を示すものである。
第3図の二重化制御装置1は、それぞれマイクロプロ
セッサやメモリを有し演算や装置全体の管理を制御する
CPUモジュール4A,4Bおよびインターナルバスコントロー
ラ5A,5Bから成り、相互間が同期バス9を介して接続さ
れた第1および第2の中央演算ユニット2A,2Bとを備え
ている。また、プラントの各種プロセス値を検出するセ
ンサからのデータを入力したりプラントの各種プロセス
値を制御するために各種のアクチュエータに操作信号を
送出したりする入出力インターフェースとして機能する
多数の単位入出力モジュール7からなる入出力モジュー
ル71,72、および中央演算ユニット2A,2Bをそれぞれイン
ターナルバス8A,8Bを介して接続し入出力モジュール71,
72との間でデータ更新の中継を実行する入出力コントロ
ーラ6A1,6B1ないし6A2,6B2からなる複数の(図示は2組
の)入出力ユニット31,32が備えられている。なお、単
位入出力モジュール7と各入出力コントローラ6A1,6B1
ないし6A2,6B2との間はI/Oバス101ないし102を介して接
続されている。
二重化制御装置1の二重化の範囲は、中央演算ユニッ
ト2A,2B、入出力コントローラ6A1,6B1ないし6A2,6B2、
およびインターナルバス8A,8Bとしている。符号にサフ
ィックスAを有する中央演算ユニット2A、入出力コント
ローラ6A1ないし6A2、およびインターナルバス8Aの系を
便宜上A系と称し、またサフィックスBを有する中央演
算ユニット2B、入出力コントローラ6B1ないし6B2、およ
びインターナルバス8Bの系を便宜上B系と称することに
する。
二重化の動作としては、プラントへの誤出力を防止す
るため、両系統が健全な時はデュアルモードすなわちデ
ータ照合で一致していれば出力するというモードで動作
する。データ照合は、A,B両系の入出力コントローラ6A
1,6B1ないし6A2,6B2間で行われる。
デュアル動作では、両系統のデータの一致時にデータ
入出力が行われるので、プラント運転上の安全性は高い
が、もし片系の中央演算ユニットや入出力コントローラ
が故障した時はデュアル動作を維持することができなく
なる。装置の稼働率向上もプラント運転上の大きな要望
事項であり、健全系では相互診断の結果、故障系を切離
して二重化を中断し、健全系のみの単独運転へと移行す
る機能を持っている。
ところで、最近の電力制御装置として用いられる二重
化制御装置においては、危険分散や機能分散、機能向上
を意図して、第4図に示すように、インターナルバス8
A,8Bに接続されて補助演算を実行し、あるいはインター
ナルバス8A,8Bの管理を制御するCPUモジュール14、およ
びインターナルバスコントローラ15A,15Bから成る補助
演算ユニット12を設けてそれに中央演算ユニット2A,2B
の演算の一部を分担実行させたり、図示されてはいない
が、他の装置との間でデータ伝送を行う通信ユニットを
接続したりすることがある。
入出力ユニット31,32においても、プラント制御上は
特に必要としないオプショナルな信号監視ユニットとし
て設けられることがある。
従来の技術では、これらのプラント運転上、二重化制
御装置においてオプショナルに設けられるユニットや稼
働率を重視したユニットの片系故障の場合でも二重化運
転を解除し、非故障系のみによる単独運転へと移行して
いた。
(発明が解決しようとする課題) プラント運転上、オプショナルなユニットが故障し、
それが除外されても、制御装置の二重化運転の継続が可
能な場合、例えば、従来は監視対象としていなかったプ
ラント情報で監視できれば運転上便利であるが、それが
無くても十分運転可能であるというような入出力ユニッ
トの故障や、稼働率を重視した入出力ユニットの片系故
障で運転上より重要な信号を扱う入出力ユニットが健全
であるような場合とか、補助演算ユニットが無くても必
要最低限の運転は可能な場合、通信ユニットを介して上
位システムのオンライン操作でなくてもローカルな処理
は十分可能であるような場合などは、二重化運転から単
純に単独運転へと移行してしまうのでは、安全運転上、
問題が生じる。
本発明は上述の事情を考慮してなされたもので、中央
演算ユニットを除く装置の部分故障時に、そのユニット
の重要性に応じて、可及的に二重化運転を継続し、それ
が不能なら可及的に片系による単独運転を継続し得る二
重化制御装置を提供することを目的とする。
〔発明の構成〕
(課題を解決するための手段) 第一に本発明は、マイクロプロセッサやメモリ、イン
ターナルバスコントローラ等から成り、演算および制御
全体を管理実行する演算ユニットと、インターナルバス
コントローラに接続されたインターナルバスと、プラン
トとの間の入出力インターフェースとしての入出力モジ
ュールおよびその入出力モジュールを管理する入出力コ
ントローラから成る複数の入出力ユニットとを含んで構
成され、少なくとも演算ユニット、インターナルバスお
よび入出力コントローラが二重化され2つの系を構成し
ている二重化制御装置において、装置内のモジュール故
障を検出するモジュール故障検出手段と、このモジュー
ル故障検出手段によりモジュール故障が検出されたと
き、故障モジュールを含むユニットを系から切離し残余
の装置部分での二重系を維持するか、故障モジュールを
含む系を切離して単独系へ移行するかを選択する選択手
段を備えたことを特徴とする。
第二に本発明は、マイクロプロセッサやメモリ、イン
ターナルバスコントローラ等から成り、演算および制御
全体を管理実行する演算ユニットと、前記インターナル
バスコントローラに接続されたインターナルバスと、プ
ラントとの間の入出力インターフェースとしての入出力
モジュールおよびその入出力モジュールを管理する入出
力コントローラから成る複数の入出力ユニットとを含ん
で構成され、少なくとも演算ユニット、インターナルバ
スおよび入出力コントローラが二重化され2つの系を構
成している二重化制御装置において、入出力ユニット内
の部分故障を検出する故障検出手段と、この故障検出手
段により両系において異なる入出力ユニットに部分故障
が発生したことが検出されたときは異なる入出力ユニッ
トの正常な入出力コントローラによるプラント入力デー
タを使用した二重系を維持し、同じ入出力ユニットに部
分故障が発生したことが検出されたときはその故障入出
力ユニットからの入力データ更新を停止した二重系を維
持する部分故障時対応手段を備えたことを特徴とする。
(作用) 第1の発明による二重化制御装置においては、二重化
運転時に両系で異なる入出力ユニットに部分故障が発生
したことが検出されたときは、故障が検出された系の故
障ユニット代替指定パラメータをチェックし、代替使用
が可能と判断された場合は、その系の故障した入出力ユ
ニットの入力データの代わりに、故障した入出力ユニッ
トに該当する他方の正常な系の入力データを使用して二
重化運転を継続する。故障ユニット代替指定パラメータ
の代替使用が不能と判断された場合は、正常な系のみに
よる単独運転に移行させる。両系で同じ入出力ユニット
に部分故障が発生したことが検出されたときは、故障し
た入出力ユニットを系から切離した上で二重化運転を継
続する。
第2の発明による二重化制御装置は、二重化運転中に
両系において異なる入出力ユニットに部分故障が発生し
たことが検出されたときは異なる入出力ユニットの正常
な入出力コントローラによるプラント入力データを使用
した二重系を維持し、同じ入出力ユニットに部分故障が
発生したことが検出されたときはその故障入出力ユニッ
トからの入力データ更新を停止した二重系を維持する。
かくして本発明によれば、入出力ユニットに部分故障
が生じても直ちに単独運転とすることなく、可及的に二
重化運転を行い、それが不能と判断された場合に初めて
単独運転へ移行する。したがって、可及的に二重化制御
装置としての機能を全うすることができる。
(実施例) 以下、添付図面を参照しながら、本発明の実施例を詳
細に説明する。
すでに述べたように、説明の便宜上、第3図あるいは
第4図における二重化制御装置1の二重化範囲である中
央演算ユニット2A,2B、入出力コントローラ6A1,6B1;6A
2,6B2、およびインターナルバス8A,8Bのうち、符号にサ
フィックスAを有する系をA系とし、サフィックスBを
有する系をB系として説明することにする。また、二重
化制御装置1を構成し中央演算ユニットに接続される入
出力ユニットをユニット番号1〜nを用いて説明する。
さらに二重化制御装置1を構成する中央演算ユニット内
のA系またはB系のCPUモジュールに実装されている基
本ソフトウェアをそれぞれ「A系基本ソフトウェア」ま
たは「B系基本ソフトウェア」とし、両者を区別しない
場合または総称する場合は単に「基本ソフトウェア」と
称することにする。
さて、二重化制御装置1のA系が起動する際の一連の
動作について説明する。
第1図に示すように、A系基本ソフトウェアが起動さ
れると、まず、CPUモジュール4AのROMまたは不揮発性メ
モリ等に格納されたアプリケーションプログラムの実行
をサポートするためのシステムパラメータであるハード
ウェア構成情報や、アプリケーションプログラム実行環
境設定情報(ファンクションまたはタスクの数、実行周
期、実行優先度など)、およびシステムパラメータの項
目である各ユニットが故障した時の「ユニット除外指
定」などから、基本ソフトウェアの初期状態を指定する
イニシャライズ処理(ステップA01)を実行した後、中
央演算ユニット2Aインターナルバス8Aを介して接続され
たn台の入出力ユニット31,32…3n(図示は31,32の2台
のみ)の接続診断(ステップA02,A03)を行う。診断
は、基本ソフトウェアがインターナルバスコントローラ
5Aからインターナルバス8Aを介して入出力ユニット31,3
2の入出力コントローラ6A1,6A2に対して「接続要求コマ
ンド」を出力し、入出力コントローラ6A1,6A2から「接
続応答コマンド」がインターナルバス8Aおよびインター
ナルバスコントローラ5Aを介して、CPUモジュール4Aに
実装された基本ソフトウェアで検出されるまでの時間を
監視し、規定時間内に「接続応答コマンド」が検出され
た場合に入出力ユニットを正常とするというやり方で行
われる。
次に、接続された全入出力ユニット31,32…3nが正常
の場合、A系基本ソフトウェアはB系基本ソフトウェア
に対して同期バス9を介して「二重化要求」を出力する
(ステップA04,B07)。
この時、二重化制御装置1がB系での単独運転実行中
であったとすれば、B系基本ソフトウェア処理は運転モ
ードを単独運転から二重化運転へ移行させる(ステップ
B08,A05,A06)。デュアル操作の二重系システムでは、
両系のデータが一致した時にデータの入出力を行うこと
から、運転モードを単独運転から二重化運転へ移行させ
る際に必要な、B系運転系の全データの同期バス9経由
での起動系(A系)への転送処理も実行する。その後、
両系の基本ソフトウェアは、入出力ユニット31,32…3n
への「出力処理」(ステップA09,B09)と、リレーシー
ケンスや閉ループ制御相当のプラント制御プログラム
(アプリケーションプログラム)を実行する「演算処
理」(ステップA10,B10)、入出力ユニット31,32…3nか
らの「入力処理」(ステップA17,B17)、および本発明
に係る「ユニット接続診断」(ステップA11,B11;A12,B1
2)、「診断結果交信」(ステップA13,B13)、「故障処
理」(ステップA14〜A16,B14〜B16)を含む処理(ステ
ップA07〜A17,B07〜B17)を繰返し実行する。
また、二重化制御装置1が非運転状態の場合は、A系
ソフトウァアはB系ソストウァアからの「二重化応答」
が検出されないことにより二重化制御装置1が非運転状
態であることを知り、単独運転に入るために、入出力ユ
ニット31,32…3nからの入力処理(ステップA20,B20)を
実行する。その後、A系基本ソフトウェアは、リレーシ
ーケンスや閉ループ制御相当のプラント制御プログラム
(アプリケーションプログラム)を実行する「演算処
理」(ステップA10)、入出力ユニット31,32…3nからの
「入力処理」(ステップA17)、入出力ユニット31,32…
3nへの「出力処理」(ステップA09)、および本発明に
係る「ユニット接続診断」(ステップA11)、「故障処
理」(ステップA14〜A16)、「二重化応答処理」(ステ
ップA07,A08)を含む処理(ステップA09〜A17)A 繰
返し実行する。
基本ソフトウェアの各入出力ユニット31,32…3nとの
間の「入力処理」(ステップA17,A20)および「出力処
理」(ステップA09,B09)の例を以下に示す。
プロセスデータの入出力制御を司る入出力ユニット3
1,32の入出力制御手段としては、入出力ユニット31,32
を構成する入出力コントローラ6A1,6B1ないし6A2,6B2に
入出力制御用のソフトウァアを有する場合と、ハードウ
ァアのみで制御する場合とがあるが、本発明では、その
いずれかは問わないものとする。また、基本ソフトウェ
アでの出力データの出力(書込み)および入力データの
入力(読出し)についても、割込み起動による手段など
があるが、本発明では、その手段は問わないものとす
る。
「出力処理」は、まず、基本ソフトウェアがインター
ナルバスコントローラ5A,5Bおよびインターナルバス8A,
8Bを介して各入出力ユニット31,32の入出力コントロー
ラ6A1,6B1ないし6A2,6B2に大して「出力データ」を出力
し、次に、入出力コントローラ6A1,6B1ないし6A2,6B2が
その出力データをI/Oバス101,102を介して入出力モジュ
ール71,72に出力することによって行われる。また、
「入力処理」は、まず、基本ソフトウェアがインターナ
ルバスコントローラ5A,5Bおよびインターナルバス8A,8B
を介して各入出力ユニット31,32の入出力コントローラ6
A1,6B1ないし6A2,6B2に対して「入力要求」を出力して
入力データ待ち状態とし、次に、入出力コントローラ6A
1,6B1ないし6A2,6B2がI/Oバス101,102を介して入出力モ
ジュール71,72からデータを入力し、その入力データを
インターナルバス8A,8Bおよびインターナルバスコント
ローラ5A,5Bを介して入力データ待ち状態にある基本ソ
フトウェアが取り込むことによって行われる。
ここで本発明に係る入出力ユニット31,32の故障時の
二重化制御装置1の挙動について、以下に第2図を参照
して説明する。なお、第2図に示した本発明に係る基本
ソフトウェアの処理フローチャートで使用する符号につ
いては以下の通りである。
Kは、n台の入出力ユニット31,32…3nに対して1台
につき1ビットの情報を設けた場合の、nビットで構成
された自系の入出力ユニットの接続診断結果(ビット情
報)を示す。Iは、1〜nの範囲で使用する入出力ユニ
ット31,32…3nのユニット番号を示す。Jは、0〜(n
−1)の範囲で使用する自系の入出力ユニットの接続診
断結果(K)のビット位置情報を示す。Lは、同期バス
9を介して取込んだ他系の入出力ユニットの接続診断結
果を示す。Xは自系の入出力ユニットの接続診断結果
(K)と他系の入出力ユニットの接続診断結果(L)と
の論理和結果を示す。Yは、n台の入出力ユニット31,3
2…3nに対して1台につき1ビットの情報を設けた場合
の、nビットで構成されたユニット除外指定であり、
“0"で除外指定有効、“1"で除外視点無効を示す。Z
は、自系の入出力ユニットの接続診断結果(K)と他系
の入出力ユニットの接続診断結果(L)との論理和結果
である(X)と、ユニット除外指定(Y)との論理積結
果を示す。
いま、二重化制御装置1がA系とB系により二重化運
転を行っているときに、二重化制御装置1を構成してい
るn台の入出力ユニット31,32…3nのうち1台(ユニッ
ト番号m:m≦n)のA系入出力コントローラが故障した
場合において、ユニット除外指定のユニット番号mに該
当するビットが“0"(除外有効指定)である時の二重化
制御装置1の挙動について説明する。
A系基本ソフトウェアは、ユニット接続診断処理でユ
ニット番号mの入出力ユニットの故障を検出する(ステ
ップS01〜S08)と、ユニット診断結果としてmビットを
“1"として診断結果交信処理で同期バス9を介してB系
ソフトウェアに自系ユニット診断結果を出力してB系ユ
ニット診断結果を取込み、自系(A系)ユニット診断結
果とB系ユニット診断結果との論理和をとった結果(ス
テップS09〜S12)、ユニット番号mに該当するビットが
“1"となることから、故障ユニット有りと判断し、さら
にその判断結果とユニット除外指定との論理積(ステッ
プS13〜S15)をとる。ここで、、ユニット除外指定のユ
ニット番号mに該当するビットが“0"(除外有効指定)
(ステップS16:“Y")であるため、A系基本ソフトウェ
アは、除外入力処理として、入出力ユニットのユニット
番号mからの入力データ更新を止め、ユニット番号mを
除外した二重化運転を継続する。この時、B系基本ソフ
トウェアは、A系基本ソフトウェアと同様に、自系診断
結果とA系診断結果との論理和をとった結果、除外入力
処理として入出力ユニットのユニット番号mからの入力
データ更新を止め、ユニット番号mを除外した二重化運
転を継続する。この時の状態を、m=1と仮定して第5
図に示す。
入出力ユニットのユニット番号mを除外した二重化運
転の継続中に、該当ユニットの故障が復旧した場合、A
系基本ソフトウェアは、ユニット故障診断処理でユニッ
ト番号mの入出力ユニットの復旧を検出すると、ユニッ
ト診断結果としてmビット“0"として診断結果交信処理
に同期バス9を介してB系ソフトウェアに自系ユニット
診断結果を出力し、B系ユニット診断結果を取込み、自
系診断結果とB系診断結果の論理和をとる(ステップS0
9〜S12)。A系基本ソフトウェアは、論理和をとった結
果、ユニット番号mに該当するビットが“0"(ビット0
〜n−1がすべて“0")となる。(ステップS13:“Y")
ことから故障無しと判断し、入力処理として全入出力ユ
ニットの入力データを更新する完全二重化運転へ移行す
る。この時、B系基本ソフトウェアは、A系基本ソフト
ウェアと同様に、自系診断結果とA系診断結果との論理
和をとった結果、ビット0〜n−1がすべて“0"となる
ことから故障ユニット無しと判断し、完全二重化運転へ
移行する。
次に、二重化制御装置1がA系とB系による二重化運
転中に二重化制御装置1を構成しているn台の入出力ユ
ニットのうちの1台(ユニット番号m:m≦n)のA系入
出力コントローラ6A1または6A2が故障した場合におい
て、ユニット除外指定のユニット番号mに該当するビッ
トが“1"(除外無効指定)である時の二重化制御装置1
の挙動を説明する。
A系基本ソフトウェアは、ユニット接続診断処理でユ
ニット番号mの入出力ユニットの故障を検出すると、ユ
ニット診断結果、mビット=“1"として診断結果交信処
理で同期バス9を介してB系ソフトウェアに自系ユニッ
ト診断結果を出力し、B系ユニット診断結果を取込み、
自系診断結果とB系診断結果の論理和をとる(ステップ
S12)。A系基本ソフトウェアは、論理和をとった結
果、ユニット番号mに該当するビットが“一”となるこ
とから故障有りと判断し、さらにその判断結果とユニッ
ト除外指定との論理積をとる(ステップS15)。ここ
で、ユニット除外指定のユニット番号mを該当するビッ
トが“1"(除外無効指定)であるため、A系基本ソフト
ウェアは、さらに前述の結果と自系診断結果との論理積
をとる。この結果、ユニット番号mに該当するビットが
“1"となることから、自系切離し(ステップS17:“N")
として、以降、ユニット番号mの入出力ユニットが復旧
するまでイニシャライズ処理を実行する。この時、B系
基本ソフトウェアは、自系診断結果とA系診断結果との
論理和をとった結果とユニット除外指定との論理積をと
った結果に、さらに、自系診断結果との論理積をとる。
この結果、ユニット番号mに該当するビットが“0"(ビ
ット0〜n−1がすべて“0")となることから、二重化
運転から単独運転へ移行する(ステップS17:“N")。こ
の状態を第6図に示す。
二重化制御装置1がB系での単独運転中に、A系のユ
ニット番号mの入出力ユニットを構成する入出力コント
ローラ6A1,6A2が復旧した場合、A系基本ソフトウェア
は、B系基本ソフトウェアに対して同期バス9を介して
「二重化要求」を出力し、以降、両系基本ソフトウェア
は単独運転から完全二重化運転に移行する。
以上の説明はA系側の動作を中心としたものである
が、B系側においてもA系側と同様にして行われる。第
1図におけるB系のステップには、B系であることを示
すBに、A系のステップの対応する数字符号を付して示
している。
以上説明した実施例によれば、二重化された装置を構
成する各ユニットが有する機能に応じて片系の故障時
に、故障ユニットを切離して二重化運転を維持するか、
故障したユニット(モジュール)を含む系全体を切離し
て単独運転へ移行するかを、パラメータ設定という簡単
な方法で実現することができる。
このパラメータの判断や、ユニット単独/系全体の切
離しおよび自動復旧は、基本プログラムで実行するた
め、使い勝手の良い装置を構成することができる。
次に第7図(a),(b)以下を参照して本発明の他
の実施例について説明する。
ここで第1図および第2図を参照して説明したステッ
プと同一もしくは対応するステップには同一の符号を付
している。
この実施例においては、第7図(a),(b)に示す
ように、A系ソフトウェアが起動されると、まず、CPU
モジュール4AのROMまたは不揮発性メモリ等に格納され
たアプリケーションプログラムの実行をサポートするた
めのシステムパラメータであるハードウェア構成情報
や、アプリケーションプログラム実行環境指定情報(フ
ァンクションまたはタスクの数、実行周期、実行優先度
など)、およびシステムパラメータの項目である各ユニ
ットが故障した時の「ユニット除外指定」などから、基
本ソフトウェアの初期状態を設定するイニシャライズ処
理(ステップA01)を実行した後、中央演算ユニット2A
にインターナルバス8Aを介して接続されたn台の入出力
ユニット31,32…3n(図示は2台のみ)の接続診断(ス
テップA02)を行う。診断は、基本ソフトウェアがイン
ターナルバスコントローラ5Aからインターナルバス8Aを
介して各入出力ユニット31,32の入出力コントローラ6A
1,6A2に対して「接続要求コマンド」を出力し、入出力
コントローラ6A1,6A2から「接続応答コマンド」がイン
ターナルバス8Aおよびインターナルバスコントローラ5A
を介して、基本ソフトウェアで検出されるまでの時間を
監視し、規定時間内に「接続応答コマンド」が検出され
た場合に入出力ユニットを正常とするというやり方で行
われる。
次に、接続された全入出力ユニット31〜3nが正常の場
合、A系基本ソフトウェアはB系基本ソフトウェアに対
して同期バス9を介して「二重化要求」を出力する(ス
テップA04,B07)。この時、二重化制御装置1がB系で
の単独運転実行中の場合、B系基本ソフトウェアは運転
モードを単独運転から二重化運転へ移行させる(ステッ
プB08,B08′)。
デュアル操作の二重系システムでは、両系のデータ一
致時にデータ出力を行うことから、運転モードを単独運
転から二重化運転へ移行させる際に必要である。B系運
転系の全データの同期バス9経由での起動系(A系)へ
の運転処理も実行する。その後両系の基本ソフトウェア
は、入出力ユニット31,32…3nへの「出力処理」(ステ
ップA09,B09)と、リレーシーケンスや閉ループ制御相
当のプラント制御プログラム(アプリケーションプログ
ラム)を実行する「演算処理」(ステップA10,B10)、
入出力ユニット31,32…3nからの「入力処理」(ステッ
プA29〜A31,B29〜B31)、さらに本発明に係る「ユニッ
ト接続診断」(ステップA11,B11)、「診断結果交信」
(ステップA21,A22,B21,B22)、および「故障処理」(A
24,B24以下)を繰返し実行する。
また、二重化制御装置1が非運転状態である場合、A
系ソフトウェアはB系ソフトウェアからの「二重化応
答」が検出されないことにより二重化制御装置1が非運
転状態であることを知り、単独運転動作に入るために、
入出力ユニット31,32…3nからの入力処理(ステップA2
0)を実行する。その後、A系基本ソフトウェアは、リ
レーシーケンスや閉ループ制御相当のプラント制御プロ
グラム(アプリケーションプログラム)を実行する「演
算処理」(ステップA10)、入出力ユニット31,32…3nか
らの「入力処理」(ステップA20)、入出力ユニット31,
32…3nへの「出力処理」(ステップA09)、および本発
明に係る「ユニット接続診断」(ステップA11)、「故
障処理」(ステップA24〜A28)、「二重化応答処理」
(ステップA04〜A08)を繰返し実行する。
次に、入出力ユニット31,32の故障時の二重化制御装
置1の挙動について、以下に第8図を参照して説明す
る。なお、第8図に示した本発明に係る基本ソフトウェ
アの処理フローチャートで使用する符号I,J,K,Lは、第
2図の場合と同様とする。Mは、n台の入出力ユニット
31〜3nに対し1台につき1ビットの情報を設定した場合
の、nビットで構成された故障ユニット代替指定であ
り、“0"で代替指定有効、“1"で代替指定無効を示す。
Xは、自系の入出力ユニットの接続診断結果(K)と故
障ユニット代替指定(M)との論理積結果を示す。Y
は、自系の入出力ユニットの接続診断結果(K)と他系
の入出力ユニットの接続診断結果(L)との論理積結果
を示す。
いま、二重化制御装置1がA系とB系による二重化運
転中に、二重化制御装置1を構成しているn台の入出力
ユニット31,32…3nのうちの1台(ユニット番号m:m≦
n)のA系入出力コントローラ6Aが故障した場合におい
て、故障ユニット代替指定のユニット番号mに該当する
ビット=“0"(代替有効指定)の時の二重化制御装置1
の挙動を説明する。
A系基本ソフトウェアは、ユニット接続診断処理でユ
ニット番号mの入出力ユニット3mの故障を検出する(ス
テップS01〜S08)と、mビット=“1"とする自系(A
系)ユニット診断結果(K)と故障ユニット代替指定
(M)との論理積(X)をとる(ステップS20 3S2
2)。故障ユニット代替指定(M)のユニット番号mに
該当するビットが“0"(代替有効指定)であるため、さ
らに上記Xと他系交信処理で同期バス9を介して取込ん
だB系のユニット接続診断結果(L)との論理積(Y)
をとる(ステップS23〜S26)。ここで、ユニット番号m
に該当するビットが“1"となった場合、A系の基本ソフ
トウェアは、B系のユニット番号mを正常と判断し、代
替処理入力として、他系交信処理で同期バス9を介して
取込んだB系のユニット番号mに該当する入力データを
使用した二重化運転を継続する(ステップS27:“Y")。
この時、B系基本ソフトウェアは、自系のユニット接続
診断結果が(K)が“0"(接続されている全入出力ユニ
ットが正常)であることから自系入出力ユニットの入力
データを使用した二重化運転を継続する。この状態をm
=1として第9図に示す。
もし演算結果(Y)のユニット番号mに該当するビッ
トが“1"となった場合は、両系のユニット番号mの入出
力ユニットが故障であると判断し、両系基本ソフトウェ
アは、ユニット番号mに該当する入出力ユニットからの
入力データ更新を停止した二重化運転を継続する(ステ
ップS27:“N")。この状態を第10図に示す。
A,B両系による二重化運転中に、n台の入出力ユニッ
ト31〜3nの内の2台(ユニット番号=m,m+1:m+1≦
n)について、A系入出力コントローラ6A1(ユニット
番号m)およびB系入出力コントローラ6B2(ユニット
番号m+1)が故障した場合における、故障ユニット代
替指定のユニット番号m,m+1に該当するビット=“0"
(代替有効指定)の時の両系の挙動としては、A系はユ
ニット番号mに該当する入力データについて、またB系
はユニット番号m+1に該当する入力データについて、
A系(正常系)の入力データを使用した二重化運転を継
続する(ステップS27:“Y")。この状態を第11図に示
す。
A系,B系共にユニット接続診断処理で診断結果(K)
=“0"で、入出力ユニットの故障復旧を検出する(ステ
ップS20:“Y")と、自系に接続された入出力コントロー
ラ6A1,6A2,6B1,6B2からの入力データを使用した完全二
重化運転に移行する。
次に、A系とB系による二重化運転中に、A系を構成
しているn台の入出力ユニット31〜3nのうちの1台(ユ
ニット番号m:m≦n)の入出力コントローラ6A1が故障し
た場合において、故障ユニット代替指定のユニット番号
mに該当するビット=“1"(代替有効指定)の時の二重
化制御装置1の挙動を説明する。
A系基本ソフトウェアは、ユニット接続診断処理でユ
ニット番号mの入出力ユニットの故障を検出すると、m
ビット=“1"としたユニット診断結果(K)と故障ユニ
ット代替指定(M)との論理積をとった結果(Y)が、
故障ユニット代替指定のユニット番号mに該当するビッ
トが“1"(代替無効指定)であるため、上記論理積結果
(Y)のユニット番号mに該当するビットが“1"となる
ことから、自系切離し(ステップS23:“N")として、以
降、ユニット番号mの入出力ユニットの復旧を検出する
までイニシャライズ処理を実行する。この時、B系の基
本ソフトウェアは、自系診断結果(K)が“1"であるこ
とから、二重化運転から、自系の入出力コントローラ6B
1,6B2からの入力データを使用した単独運転に移行す
る。第12図にこの状態を示す。
B系での単独運転中に、A系基本ソフトウェアがユニ
ット番号mの入出力ユニットの復旧を検出した場合、A
系基本ソフトウェアは、B系基本ソフトウェアに対して
同期バス9を介して「二重化要求」を出力し、以降、両
系基本ソフトウェアは単独運転から完全二重化運転に移
行する。
以上説明した実施例によれば、二重化された装置を構
成する各ユニットが有する機能に応じて片系の故障時
に、正常系ユニットのデータを使用した二重化運転を維
持するか、故障ユニットを切離した二重化運転を維持す
るか、あるいは故障ユニットを含む系全体を切離した単
独運転に移行するかを、パラメータ設定という簡単な方
法で実現することができる。このパラメータの判断や、
ユニット単独/系全体の切離しおよび自動復旧は、基本
プログラムで実行するため、使い勝手の良い装置を構成
することができる。
〔発明の効果〕
以上詳述したように、装置の高性能化に伴い、プラン
ト運転に最低限必要なユニットと、付加的なユニットが
混在して構成される二重化制御装置において、高信頼性
で高稼働率のため、デュアル動作の二重系として運転さ
れる時に入出力ユニットを差別化して、片系故障時の縮
退再構成すなわちユニット切離しによる二重化運転継続
または単独運転への移行を容易に管理することができ、
自由度の高いシステムを実現することができる。
【図面の簡単な説明】
第1図および第2図は第3図の二重化制御装置に適用し
た本発明の一実施例を示すフローチャート、第3図は二
重化制御装置の一構成例を示すブロック図、第4図は二
重化制御装置の他の構成例を示すブロック図、第5図は
第4図の二重化制御装置において第1の実施例に従って
片系部分故障時に故障ユニットを切離した二重化運転状
態を示す状態図、第6図は同様に第4図の二重化制御装
置の片系部分故障時に故障系を切離して行われる単独運
転状態を示す状態図、第7図(a),(b)および第8
図は本発明の第2の実施例を示すフローチャート、第9
図は第3図の二重化制御装置において第2の実施例に従
って片系部分故障時に正常系データを使用して行われる
二重化運転状態を示す状態図、第10図は両系の同じ箇所
に部分故障を生じた時に故障した箇所を切離して行われ
る二重化運転状態を示す状態図、第11図は両系で異なる
箇所に部分故障を生じた時に正常系データを使用して行
われる二重化運転状態を示す状態図、第12図は片系部分
故障時に故障系を切離して行われる単独運転状態を示す
状態図である。 1…二重化制御装置、2A,2B…中央演算ユニット、31,32
…入出力ユニット、4A,4B…CPUモジュール、5A,5B…イ
ンターナルバスコントローラ、6A1,6B1,6A2,6B2…入出
力コントローラ、71,72…入出力モジュール、8A,8B…イ
ンターナルバス、9…同期バス、101,102…I/Oバス、12
…補助演算ユニット,14…CPUモジュール、15A,15B…イ
ンターナルバスコントローラ。

Claims (2)

    (57)【特許請求の範囲】
  1. 【請求項1】マイクロプロセッサやメモリ、インターナ
    ルバスコントローラ等から成り、演算および制御全体を
    管理実行する演算ユニットと、前記インターナルバスコ
    ントローラに接続されたインターナルバスと、プラント
    との間の入出力インターフェースとしての入出力モジュ
    ールおよびその入出力モジュールを管理する入出力コン
    トローラから成る複数の入出力ユニットとを含んで構成
    され、少なくとも前記演算ユニット、インターナルバス
    および入出力コントローラが二重化され2つの系を構成
    している二重化制御装置において、 装置内のモジュール故障を検出するモジュール故障検出
    手段と、 このモジュール故障検出手段によりモジュール故障が検
    出されたとき、故障モジュールを含むユニットを系から
    切離し残余の装置部分での二重系を維持するか、故障モ
    ジュールを含む系を切離して単独系へ移行するかを選択
    する選択手段を備えたことを特徴とする二重化制御装
    置。
  2. 【請求項2】マイクロプロセッサやメモリ、インターナ
    ルバスコントローラ等からなり、演算および制御全体を
    管理実行する演算ユニットと、前記インターナルバスコ
    ントローラに接続されたインターナルバスと、プラント
    との間の入出力インターフェースとしての入出力モジュ
    ールおよびその入出力モジュールを管理する入出力コン
    トローラからなる複数の入出力ユニットとを含んで構成
    され、少なくとも前記演算ユニット、インターナルバス
    及び入出力コントローラが二重化され2つの系を構成し
    ている二重化制御装置において、 前記入出力ユニット内の部分故障を検出する故障検出手
    段と、 この故障検出手段により前記両系において異なる入出力
    ユニットに部分故障が発生したことが検出されたときは
    異なる入出力ユニットの正常な入出力コントローラによ
    るプラント入力データを使用した二重系を維持し、同じ
    入出力ユニットに部分故障が発生したことが検出された
    ときはその故障入出力ユニットからの入力データ更新を
    停止した二重系を維持する部分故障時対応手段を備えた
    ことを特徴とする二重化制御装置。
JP16028289A 1989-06-22 1989-06-22 二重化制御装置 Expired - Lifetime JP2732668B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP16028289A JP2732668B2 (ja) 1989-06-22 1989-06-22 二重化制御装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP16028289A JP2732668B2 (ja) 1989-06-22 1989-06-22 二重化制御装置

Publications (2)

Publication Number Publication Date
JPH0325502A JPH0325502A (ja) 1991-02-04
JP2732668B2 true JP2732668B2 (ja) 1998-03-30

Family

ID=15711620

Family Applications (1)

Application Number Title Priority Date Filing Date
JP16028289A Expired - Lifetime JP2732668B2 (ja) 1989-06-22 1989-06-22 二重化制御装置

Country Status (1)

Country Link
JP (1) JP2732668B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7246270B2 (en) 2002-05-31 2007-07-17 Omron Corporation Programmable controller with CPU and communication units and method of controlling same
JP6769328B2 (ja) * 2017-02-10 2020-10-14 株式会社デンソー 回転電機制御装置、および、これを用いた電動パワーステアリング装置

Also Published As

Publication number Publication date
JPH0325502A (ja) 1991-02-04

Similar Documents

Publication Publication Date Title
CN1326042C (zh) 容错计算机系统及其再同步方法和再同步程序
JP2505928B2 (ja) フォ―ルト・トレラント・システムのためのチェックポイント機構
EP1980943B1 (en) System monitor device control method, program, and computer system
JPH0934809A (ja) 高信頼化コンピュータシステム
JPH11143729A (ja) フォールトトレラントコンピュータ
JPH07334382A (ja) マルチコントローラシステム
JP4655718B2 (ja) コンピュータシステム及びその制御方法
JPH09251443A (ja) 情報処理システムのプロセッサ障害回復処理方法
JP2732668B2 (ja) 二重化制御装置
JPH0887341A (ja) 自動縮退立ち上げ機能を有したコンピュータシステム
JP3022768B2 (ja) 仮想計算機システム
JPS5917467B2 (ja) 制御用計算機のバツクアツプ方式
JP2799104B2 (ja) プログラマブルコントローラの二重化切替装置
JP3266956B2 (ja) システム記憶装置
JPS62115555A (ja) 計算機システムの補助記憶装置2重化管理方法
JPH06175868A (ja) 二重化計算機故障監視方法
JP2834083B2 (ja) データディスクアレイ装置
JPH10161815A (ja) ディスク二重化管理装置およびディスク二重化管理方法
WO2000062134A1 (fr) Unite centrale de traitement d'un controleur programmable et procede de controle d'un proxy de traitement
JPS6011901A (ja) 分散形制御装置のバツクアツプ装置
JP2815730B2 (ja) アダプタ及びコンピュータシステム
JP2003167791A (ja) バックアップ機能を備えた制御装置およびその制御装置を使用した生産システム
JPS6113627B2 (ja)
JPH07146849A (ja) コンピュータ間通信のバックアップシステム
JPS60251443A (ja) プログラマブルコントロ−ラのバツクアツプ装置

Legal Events

Date Code Title Description
FPAY Renewal fee payment (prs date is renewal date of database)

Free format text: PAYMENT UNTIL: 20071226

Year of fee payment: 10

FPAY Renewal fee payment (prs date is renewal date of database)

Year of fee payment: 11

Free format text: PAYMENT UNTIL: 20081226

FPAY Renewal fee payment (prs date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091226

Year of fee payment: 12

EXPY Cancellation because of completion of term
FPAY Renewal fee payment (prs date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091226

Year of fee payment: 12