JP4474614B2 - 多重化システム - Google Patents
多重化システム Download PDFInfo
- Publication number
- JP4474614B2 JP4474614B2 JP2005135958A JP2005135958A JP4474614B2 JP 4474614 B2 JP4474614 B2 JP 4474614B2 JP 2005135958 A JP2005135958 A JP 2005135958A JP 2005135958 A JP2005135958 A JP 2005135958A JP 4474614 B2 JP4474614 B2 JP 4474614B2
- Authority
- JP
- Japan
- Prior art keywords
- power
- standby
- power supply
- switch
- cpu device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Power Sources (AREA)
- Hardware Redundancy (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
Description
本発明は、実行系および待機系を有する多重化システムに係り、特に、実行系から待機系に共有データを転送して、待機系が共有データのパターンをチェックし、系を相互に監視し健全性を確認する多重化システムの制御に関する。
実行系および待機系を有する従来の二重化システムにおいては、実行系の電源断時に、電源が正常に動作している待機系に系を切替え、待機系からの指示や指令により、プラントまたは制御対象への運転,監視動作を継続していた。
また、ローカルメモリの一部を共有メモリとして割り当て、実行系CPU装置が、共有メモリに書き込むデータを専用一致化バス(DCMバス)を経由して待機系CPU装置に転送し、両系の共有データを一致化する二重化システムの一致化方式を利用して、待機系のCPU装置が、実行系CPU装置の共有メモリ内データパターンをチェックし、互いに健全性をチェックしていた。
待機系CPU装置が、実行系の健全性をチェックする手段として、待機系のソフトウエアが、実行系CPU装置に対して共有データを転送するように転送要求信号を発行し、実行系共有メモリ内のデータパターンを取得していた。これらのソフトウエアによる転送要求は、データ取得の必要に応じてなされている。
さらに、実行系の停電時または電源スイッチ操作による電源遮断時に、停電予告信号(POP信号)に基づいて生成するメモリ保護要求信号に応じて、メモリバスを電気的に切離し、外部リフレッシュ制御部が、セルフリフレッシュ動作を起動し、メモリをバックアップするメモリ内容保持方式がある。
この方式では、停電時に、実行系CPU装置が、ローカルメモリのデータバックアップ処理および停電処理を実行し、実行系の電源装置からの停電信号(PAVL信号)が、DCM制御部の動作を停止させてDCMバスを電気的に切離すまでは、DCMバスを経由する待機系からの転送要求に応じて、共有メモリ内データを待機系CPU装置に転送する動作を継続する。
なお、停電時の二重化システムの停電処理に関する技術としては、実行系プロセッサが、実行系電源断による停電予告信号出力に基づいて、割り込み処理として停電処理を実行し、内部レジスタ情報を含む共有データを待機系に転送するとともに、実行系を停止状態に遷移させる方式が提案されている(例えば、特許文献1参照)。しかし、電源スイッチ操作ミスによる両系電源ダウン対策を示していない。
また、実行系CPU装置が、共有メモリに書き込むデータをDCMバスを経由して待機系CPU装置に転送し、両系の共有データを一致化する二重化システムの一致化方式も提案されている(例えば、特許文献2参照)。
図8は、従来の二重化システムにおけるCPU装置100の内部構成を示すブロック図である。二重化システムの実行系CPU装置100は、プログラムやデータを格納するローカルメモリ110と、待機系へのデータ転送を制御するバッファ122を備えるDCM制御部120と、実行系CPU装置100と待機系CPU装置200とを接続する共通バスであるDCMバス300と、ローカルメモリ110とDCM制御部120とを接続するメモリバス112と、電源装置010からの停電予告信号011に基づいてメモリバス112を接続/遮断する指令信号を出力するタイミング生成回路140と、停電時にメモリバス112を切離した後にDRAM,SDRAMなどのローカルメモリ110のバックアップ手段としてセルフリフレッシュ動作を制御する外部リフレッシュ制御部160と、CPU装置100内部への各指令および制御動作を実行するプロセッサ150とから構成される。
プロセッサ150は、CPU装置100内のローカルメモリ110全エリアに対して、読み出し/書き込みできる。
待機系CPU装置200は、ローカルメモリ110内の一部エリアに対して、プロセッサ150を介さず、DCMバス300およびDCM制御部120を経由して、データの読み出し/書き込みができる。
ローカルメモリ110は、メモリの一部の領域を上限アドレス,下限アドレス値として設定した後、プロセッサ150から本領域すなわち共有メモリ111に書き込むと、DCM制御部120のバッファ122にデータが格納され、DCM制御部120は、格納されたデータを待機系のCPU装置200に転送し、両系の共有メモリ111内のデータを一致化させる機能を備えている。
図9は、従来の二重化システムにおける停電後の動作タイミングを示すタイミングチャートである。
実行系停電時の電源断に伴いAC入力013が断たれた後、実行系電源装置010は、停電予告信号011をCPU装置100に出力し、一定時間後に停電信号012を出力する。停電信号012出力までは、電源装置010内のコンデンサに蓄えられている電荷でCPU装置100に対して電源を供給できるが、停電信号012出力後は、電源装置010からの電源電圧が低下するため、しばらくすると、CPU装置100に電源を供給できなくなり、動作不可能となる。
CPU装置100が、停電予告信号011を検出すると、タイミング生成回路140は、一定時間後にメモリ保護要求信号141を出力する。メモリ保護要求信号141により、DCM制御部120とローカルメモリ110とを接続するメモリバス112を電気的に切離し、外部リフレッシュ制御部160に接続を切替える。
外部リフレッシュ制御部160は、切替え後、セルフリフレッシュ動作を起動し、ローカルメモリ110内の内容保持動作を実行する。また、プロセッサ150は、停電予告信号011を割り込み信号として受信すると、停止処理する。
さらに、一定時間後にCPU装置100は、停電信号012を検出すると、DCM制御部120内の切替えスイッチをOFFし、DCM制御部120とDCMバス300とを切離す。
DCMバス300切離し後は、待機系CPU装置200と電気的に遮断されることになり、待機系への共有メモリ111内データ転送は、不可能となる。
共有メモリ111内のデータの転送方式には、2つの方式がある。第一の方式は、ローカルメモリ110内の共有メモリ111に実行系CPU装置100プロセッサ150が、ソフトウエア処理内容に基づき、データを書き込んだ場合に、待機系に対して書き込んだデータを転送する方式である。第二の方式は、実行系CPU装置100のDCM制御部120が、他系CPU装置200からDCMバス300を経由して転送要求信号301または転送要求パターン301を受信した場合に、実行系ローカルメモリ110の共有メモリ111内データを待機系に転送する方式である。
第二の方式については、待機系CPU装置200のソフトウエアは、実行系CPU装置100の共有メモリ111内データ取得のために転送要求信号301(またはデータパターン)を発行し、DCM制御部120が、転送要求信号301を受信すると、マスタ動作となり、ローカルメモリ110内の共有メモリ111内のデータを読み込み、読み込んだデータをDCMバス300経由で待機系に転送して書き込む。
しかし、この従来方式では、実行系電源装置010が遮断された後に、待機系電源装置020が遮断された場合に、両系電源ダウンとなり、プラントまたは制御対象への運転を停止させてしまうという問題があった。
また、待機系のCPU装置200のソフトウエア処理が、実行系電源装置010の停電予告信号011を監視していた場合、停電予告信号011の検出に基づいて転送要求信号301を発行することを止める方式を採用しても、発行周期やタイミングによっては、メモリバス112切離しによる不定データ期間中に、待機系CPU装置200から転送要求信号301が重なり、実行系DCM制御部120が共有メモリ111への読み出し動作を実行するため、不定データを待機系CPU装置200に転送してしまうという問題があった。
さらに、実行系CPU装置100のプロセッサ150は、停電予告信号011を割り込み信号として受信した時に、割り込み処理(停止処理)を実行するため、割り込み処理発生で制御処理能力低下などによる影響を招くので、その改善が求められている。
このように、従来の実行系における停電を原因とする電源遮断時に、待機系の電源が正常な場合は、制御を正常に引き継ぎできるが、待機系の電源が遮断されている場合には、両系の電源がオフするため、両系電源ダウンとなり、制御を継続できなくなってしまう。
これらのケースは、電源スイッチ操作ミスにより発生する可能性もある。
また、実行系電源装置が停電信号によってDCMバスを遮断する前のタイミングに、不定データ期間が存在する。この期間は、メモリ保護要求信号によりメモリバスを切離すと発生する。この期間中に、待機系CPU装置からの共有メモリ内データ取得のための転送要求タイミングと、実行系CPU装置内の前記不定データ期間とが、重なった場合、実行系の不定データを待機系CPU装置に転送する。その結果、待機系CPU装置は、誤ったデータパターンを受け取り、一致化データの不整合によるエラーと誤検出してしまう。
待機系が実行系の停電予告信号を監視する手段を採用しても、待機系のソフトウエア処理が、停電予告信号を検出したタイミングに基づいて転送要求を発行すると、不定データ期間との重なりを完全に回避することが困難であり、それらを解決する方式が必要である。
本発明が解決しようとする課題は、一方の系の電源遮断時に、他方の系の電源スイッチの操作ミスなどにより、多重化システムの全系の電源がダウンするという問題を回避することにある。
本発明は、上記目的を達成するために、少なくとも1台の電源装置と該電源装置により駆動されるCPU装置をそれぞれ含んでなる実行系と待機系とからなる多重化システムにおいて、各系のCPU装置は、少なくとも相手系電源の状態を監視する他系監視部を備え、各系の電源装置は、AC入力を遮断する電源遮断スイッチと、該電源遮断スイッチを手動操作する電源スイッチと、電源遮断スイッチの遮断を阻止する電源保護部とを備え、前記電源保護部は、前記相手系電源が切れている時には電源スイッチの操作による自系の前記電源遮断スイッチの遮断を阻止することを特徴とする。
上記の場合において、他系監視部は、自系電源のリセットまたは保護の制御指令が登録されるコントロールレジスタと、自系停電予告信号状態および相手系停電予告信号状態が登録されるステータスレジスタとを含み、電源保護部は、電源スイッチによる自系の電源遮断スイッチの遮断操作されたこと、相手系停電予告信号が出力されていないこと、および記コントロールレジスタにリセット指令が登録されていることが全て満たされたときに、電源遮断スイッチの遮断を許容するようにすることができる。
本発明によれば、多重化システムのそれぞれの系に電源を有し、実行系の電源装置の電源が遮断された状態で待機系に切替えようとする場合に、待機系の電源スイッチにより待機系の電源が遮断されないように保護する機構を備えたので、操作ミスや人為的ミスなどによる全系の同時電源ダウンを防止できる。
また、ソフトウエア処理により電源状態を監視し、停電予告状態を検出したらCPU装置内部を調停し、電源リセットおよび保護を制御ができるので、従来の割り込み方式と比較して、ソフトウエア処理を優先し、通常の制御処理への影響をなくすることができる。
本発明によれば、一方の系の電源遮断時に、他方の系の電源スイッチの操作ミスなどにより、多重化システムの全系の電源がダウンするという問題を回避することができる。
次に、図1ないし図7を参照して、本発明による多重化システムの実施例を説明する。
ここでは二重化システムを例として本発明を説明するが、本発明は、三重化以上の多重化システムにおいても有効である。その場合に、二重化システムにおける両系電源ダウン事象は、全系電源ダウン事象ということになる。
また、各系の電源装置は、多重化されていてもよい。すなわち、実行系または待機系のいずれの系も、複数台の電源装置を含んでいる場合がある。
図1は、本発明による二重化システムの実施例の全体構成を示す系統図である。図2は、本発明による二重化システムの実施例1における電源装置010およびCPU装置100の内部構成を示すブロック図である。二重化システムの実行系CPU装置100は、プログラムやデータを格納するローカルメモリ110と、待機系へのデータ転送を制御するバッファ122を備えるDCM制御部120と、実行系CPU装置100と待機系CPU装置200とを接続する共通バスであるDCMバス300と、ローカルメモリ110とDCM制御部120とを接続するメモリバス112と、電源装置010からの停電予告信号011に基づいてメモリバス112を接続/遮断する指令信号を出力するタイミング生成回路140と、停電時にメモリバス112を切離した後にDRAM,SDRAMなどのローカルメモリ110のバックアップ手段としてセルフリフレッシュ動作を制御する外部リフレッシュ制御部160と、CPU装置100内部への各指令および制御動作を実行するプロセッサ150とから構成される。
プロセッサ150は、CPU装置100内のローカルメモリ110全エリアに対して、読み出し/書き込みできる。
待機系CPU装置200は、ローカルメモリ110内の一部エリアに対して、プロセッサ150を介さず、DCMバス300およびDCM制御部120を経由して、データの読み出し/書き込みができる。
ローカルメモリ110は、メモリの一部の領域を上限アドレス,下限アドレス値として設定した後、プロセッサ150から本領域すなわち共有メモリ111に書き込むと、DCM制御部120のバッファ122にデータが格納され、DCM制御部120は、格納されたデータを待機系のCPU装置200に転送し、両系の共有メモリ111内のデータを一致化させる機能を備えている。
本実施例1の電源装置010の構成および出力信号(停電予告信号011,停電信号012)の出力タイミングや、CPU装置100内の基本的構成は、図8の従来回路とかなり共通している。
しかし、本実施例1は、DCM制御部120内に他系監視部121を追加して設置し、電源装置010内に電源保護部015を新たに設けた点が、従来と大きく異なる。
他系監視部121は、自系電源装置010を制御するコントロールレジスタ124と、自系停電予告信号011状態(自系POP)および相手系停電予告信号021状態(相手系POP)が反映されるステータスレジスタ125とからなり、それらは、CPU装置100のソフトウエア処理に基づくプロセッサ150からの指示により操作される。
電源装置010内に電源保護部015は、手動操作される電源スイッチ014と相手系停電予告信号021と他系監視部121からの電源保護制御信号との論理積を演算するAND回路019と、AND回路19の出力に応じてAC入力013を遮断する電源遮断スイッチ017と、電荷を保持するコンデンサ18とを含んでおり、定常状態において、CPU装置100に電源電圧VCC016を供給する。
したがって、自系(実行系)の電源スイッチ014の操作などによる電源断時においても、待機系電源装置020の電源遮断を防ぎ、両系電源ダウンを防止できる。
実行系CPU装置100のソフトウエアは、他系監視部121内のステータスレジスタ125を監視する。例えば、実行系電源装置010の電源スイッチ014を押して電源を遮断する時、待機系電源装置020の電源が、生きている状態の場合、他系監視部121のステータスレジスタ125においては、実行系POP=‘OFF’待機系POP=‘ON’となり、ソフトウエアがこの状態を検出した場合には、実行系電源断処理に入る。
具体的には、コントロールレジスタ124に対してソフトウエアが、自系電源CTL=‘リセット’と設定すると、電源保護制御信号126が‘H’となり、相手系停電予告信号021が、OFF(待機系電源正常)であるから、AND回路019により電源遮断スイッチ017が、切離される。
結果として、AC入力013に基づいて生成される電源電圧VCC016が、コンデンサ018の放電後に供給されなくなり、電源が完全に遮断されたことになる。
これに対して、待機系の電源が切れている時に実行系電源を遮断しようとしても、AND回路019においてAND条件が成立しないので、ハードウエア的に電源遮断スイッチ017が切離されなくなり、実行系の電源スイッチ014を切ろうとしても、電源電圧VCC016は、供給され続ける。
待機系CPU装置200のソフトウエアは、同様に他系監視部221を監視し、上記状態において、ステータスレジスタ225が、待機系POP=‘ON’実行系POP=‘OFF’であると検出した場合には、待機系電源保護処理に入る。
具体的には、コントロールレジスタ224に対してソフトウエアが、自系電源CTL=‘保護’と設定すると、電源保護制御信号226が‘L’となり、相手系電源予告信号011が、ON(実行系電源断)であるから、AND回路029により電源遮断スイッチ027が、保護され、電源遮断スイッチ027が、ハードウエア的に切離されることはない。したがって、待機系の電源電圧VCC026は、供給され続ける。
本実施例1によれば、両系に対する電源断状態の監視および自系電源装置に対するリセット/保護指示を実行でき、ソフトウエア的にCPU装置内部を調停しながら、実行系の電源遮断時に、二重化システムの両系電源ダウンを回避するために、待機系の電源が誤って遮断されないように電源を保護することができる。
片系電源が、遮断されている場合にもう片系の電源を切ることは、両系電源ダウンにつながり、システムの停止を招き重大な事故を発生させるおそれがあるが、本発明により電源装置内部に設けた保護機構によりハードウエア的にAC入力が、電源スイッチの手動操作などにより遮断されることがなくなり、人為的なミスによるシステムダウンを防止できる。
図3は、本発明による二重化システムの実施例2におけるCPU装置100の内部構成を示すブロック図である。
他系監視部121の内部構成は、基本的には実施例1と同じであるが、待機系CPU装置200からの転送要求信号301と動作状態とを監視する手段を備えている点が、異なる。したがって、従来問題となっていた不定データ期間中に待機系から転送要求信号301を受信した場合に不定データを転送してしまうことをハードウエア的に防止できる。
図4は、本発明による二重化システムの実施例2における停電後の動作タイミングを示すタイミングチャートである。図5は、本発明による二重化システムの実施例2における停電後の他系監視部の処理手順を示すフローチャートである。
図3,図4,図5を参照して、実行系の電源断時におけるDCM制御部120内の他系監視部121の動作を説明する。
(A) 停電によりAC入力013が断たれた後、実行系CPU装置100のソフトウエアは、電源装置010からの停電予告信号011の状態を監視する。実行系CPU装置100のソフトウエアは、停電予告信号011を検出した場合、他系監視部121内の自系電源制御指令を発行し、他系監視部121は、以下の動作を実行する。
(B) DCM制御部120内の他系監視部121は、待機系CPU装置200のソフトウエア処理により発行されてDCMバス300上でなされるDCMアクセスをハードウエア的に監視する。
もし、待機系からの転送要求に基づき待機系へのデータ転送がなされていると判断した場合は、転送(アクセスサイクル)が終了するまで待機し、転送(アクセスサイクル)が終了したことを検出した時点で、電源装置010への電源リセット指令信号を電源装置010に出力すると同時に、電源保護制御信号126をタイミング生成回路140に出力する。
ただし、プロセッサ150が、停電予告信号011の検出から電源保護制御信号126を出力するまでには、一定時間の間隔を必要とする。
CPU装置100のプロセッサ150が、実行系電源断を検出した場合に、停電処理(停止/退避処理)を実行するようなシステムにおいては、停電予告信号011検出後にメモリにアクセスする必要があるからである。
具体的には、停電時にプロセッサ150内のレジスタ値およびキャッシュ内データなどをローカルメモリ110に退避させたり、CPU装置100以外のI/Oからの停電処理によるメモリアクセス,共有メモリ111へのいわゆる死に様情報などのデータの書き込み,待機系CPU装置200への転送報告処理などが発生するので、これらの処理を確実に実行するためにメモリバス112を切離すまで、ある一定の処理時間が必要となるからである。
本実施例2では、これらのタイミング管理をするために、他系監視部121内には、タイマユニットを備え、タイマユニットにより計測した時間以降に電源保護制御信号126を出力するように制御する手段を備えた。
ここで設定する時間は、ソフトウエアの処理時間に依存し、ハードウエア側とソフトウエア側間との約束で定める。ソフトウエアの処理としては、必ず停電,退避処理をこの時間内に完了していなければならない。
(C) タイミング生成回路140は、停電予告信号011入力後に電源保護制御信号126を検出すると、メモリ保護要求信号141を出力し、メモリバス112を切離し、外部リフレッシュ制御部160によるリフレッシュ動作に移行させる。
この時点までには、共有メモリ111への書き込みによる一致化動作は、停止させているが、DCM制御部120内のバッファ122には、待機系CPU装置200に転送すべきデータが存在するために、それ以降は、DCM制御部120が、これらのデータを電源装置011からの停電信号012出力のタイミングまで継続して一致化させる。
(D) (C)以降のタイミングで待機系のソフトウエア処理による転送要求信号301を受信した場合は、DCM制御部120内の他系監視部121は、待機系CPU装置200に対して、実行系が停電による不定期間中であることを示す応答コマンドを発行する。
したがって、待機系のCPU装置200は、要求した転送アクセスが、不定データ期間中になされたと判断し、そのアクセスを中断する。
待機系CPU装置200が、エラーコマンドを受信した後のエラー処理については、上位プロセッサにエラーを報告するなど手順が考えられるが、本発明は、その手順には限定されない。
また、本実施例2では、停電時の応答手順について説明したが、本発明は、停電時の動作に限定されない。計画切替えによる応答手段についても、同様に、実行系が切替え中であることを示す応答コマンドを待機系CPU装置200に報告すると、待機系CPU装置200は、その応答結果に基づいて実行系の状態を判断し、そのアクセスを中断させる。
(E) DCM制御部120内の他系監視部121が、電源装置010からの停電信号012を検出した後、DCMバス300を切離す指令を出力する。したがって、DCM制御部120は、待機系のCPU装置200と完全に切離す状態とする。
本実施例2においては、待機系からの転送要求によるデータ転送アクセスの途中でメモリバス112を切離さないように、電源保護制御信号126をタイミング生成回路140に出力し、アクセス終了時点でメモリバス112を外部リフレッシュ制御部160に切替え、リフレッシュ動作を実施する手段と、実施例1のように両系電源断を防止する手段と、メモリバス112切離し後にDCM制御部120内のバッファ122に格納されるデータのみを転送し、他系CPU装置200から発行される転送要求信号301を不定データ期間中に受信した場合には、エラーコマンドで応答し、実行系CPU装置100が、不定データ期間中であることを待機系CPU装置200に報告する手段を設けたので、実行系電源断が発生した場合に、待機系電源装置020を電源遮断から保護し、両系電源ダウンを防止できる。
さらに、待機系CPU装置200のソフトウエアが、メモリバス112切離し期間中に、共有メモリ111内のデータ転送要求を出した場合でも、待機系CPU装置200が、実行系CPU装置100からエラー応答を受信すると、待機系CPU装置200への不定データの転送をハードウエア的に防止できる。
従来方式のような割り込みを使用せず、ソフトウエアが、他系監視部121のステータスレジスタを読み出し、電源断を判定するので、ソフトウエア処理を優先し、制御処理に対する影響を少なくできる。
図3は、本発明による二重化システムの実施例3におけるCPU装置100の内部構成を示すブロック図である。
他系監視部121の内部構成は、基本的には実施例1と同じであるが、待機系CPU装置200からの転送要求信号301と動作状態とを監視する機能を備えている点が、異なる。したがって、従来方式で問題となっていた不定データ期間中に待機系から転送要求信号301を受信した場合に不定データを転送してしまうことをハードウエア的に防止できる。
図6は、本発明による二重化システムの実施例3における停電後の動作タイミングを示すタイミングチャートである。図7は、本発明による二重化システムの実施例3における停電後の他系監視部の処理手順を示すフローチャートである。
図3,図6,図7を参照して、実行系の電源断時におけるDCM制御部120内の他系監視部121の動作を説明する。
(A) 停電によるAC入力013が断たれた後、実行系CPU装置100のソフトウエアは、電源装置010からの停電予告信号011の状態を監視する。実行系CPU装置100のソフトウエアは、停電予告信号011を検出した場合、他系監視部121内の自系電源制御指令を発行し、他系監視部121は、以下のように動作する。
(B) DCM制御部120内の他系監視部121は、待機系CPU装置200のソフトウエア処理により発行されてDCMバス300上でなされるDCMアクセスをハードウエア的に監視する。
もし、待機系からの転送要求に基づき待機系へのデータ転送がなされていると判断した場合は、転送(アクセスサイクル)が終了するまで待機し、転送(アクセスサイクル)が終了したことを検出した時点で、電源装置010への電源リセット指令信号を電源装置010に出力すると同時に、停電保護制御信号126をタイミング生成回路140に出力し、DCMバス300を切離す。
本実施例3では、停電時の手順について説明したが、本発明は、停電時の動作に限定されない。メモリバス112またはDCMバス300のバス異常発生時にも、同様に、DCMバス300を切離す処理を実施できる。
(C) タイミング生成回路140は、停電予告信号011入力後に電源保護制御信号126を検出すると、メモリ保護要求信号141を出力し、メモリバス112を切離し、外部リフレッシュ制御部160によるリフレッシュ動作に移行させる。
この時点までには、共有メモリ111への書き込みによる一致化動作は、停止していなければならない。
また、DCM制御部120内のバッファ122に格納されているデータを待機系まで転送する動作を上記(B)のDCMバス300遮断タイミングまでに実行しなければならない。
(D) (C)以降のタイミングで待機系からの転送要求信号301を受信した場合は、DCMバス300が、電気的に切離された状態になっているので、DCM制御部120内の他系監視部121は、待機系からの転送要求を認識することはない。
待機系CPU装置200は、無応答を検出すると、実行系の停電時の不定データ期間中およびバス異常発生時に転送を要求したと判断し、そのアクセスを中断する。
この一連の処理の後、待機系CPU装置200が実行するエラー処理については、上位プロセッサにエラーを報告するなどの手順が考えられるが、本発明は、それらの手順に限定されない。
このように、本実施例3においては、待機系からの転送要求によるデータ転送アクセスの途中でメモリバス112を切離さないように、電源保護制御信号126をタイミング生成回路140に出力し、アクセス終了時点でDCMバス300を切離し、同時にメモリバス112を外部リフレッシュ制御部160に切替えリフレッシュ動作を実施する手段と、実施例1のように両系電源ダウンを防止する手段とを設けたので、実行系電源断が発生した場合、待機系電源装置020を電源遮断から保護し、待機系CPU装置200のソフトウエアが、共有メモリ111内のデータ転送要求をメモリバス112の切離し期間中に出した場合に、待機系CPU装置200が、実行系CPU装置100からの無応答を検出して、待機系CPU装置200に不定データが転送されることをハードウエア的に防止できる。
本実施例3では、従来方式のような割り込みを使用せずに、ソフトウエアが、他系監視部121のステータスを読み出し電源断を判定するので、ソフトウエア処理を優先し、制御処理に対する影響を少なくできる。
010 実行系電源装置
011 実行系停電予告信号
012 実行系停電信号
013 実行系AC入力
014 実行系電源スイッチ
015 実行系電源保護部
016 実行系電源電圧
017 実行系電源遮断スイッチ
018 実行系コンデンサ
019 実行系AND回路
020 待機系電源装置
021 待機系停電予告信号
022 待機系停電信号
023 待機系AC入力
024 待機系電源スイッチ
025 待機系電源保護部
026 待機系電源電圧
027 待機系電源遮断スイッチ
028 待機系コンデンサ
029 待機系AND回路
100 実行系CPU装置
110 実行系ローカルメモリ
111 実行系共有メモリ
112 実行系メモリバス
120 実行系共有データ一致化回路(DCM制御部)
121 実行系他系監視部
122 実行系バッファ
124 実行系コントロールレジスタ
125 実行系ステータスレジスタ
126 実行系電源保護制御信号
140 実行系タイミング生成回路
141 実行系メモリ保護要求信号
150 実行系プロセッサ
160 実行系外部リフレッシュ制御部
200 待機系CPU装置
210 待機系ローカルメモリ
211 待機系共有メモリ
212 待機系メモリバス
220 待機系共有データ一致化回路(DCM制御部)
221 待機系他系監視部
222 待機系バッファ
224 待機系コントロールレジスタ
225 待機系ステータスレジスタ
226 待機系電源保護制御信号
240 待機系タイミング生成回路
241 待機系メモリ保護要求信号
250 待機系プロセッサ
260 待機系外部リフレッシュ制御部
300 DCMバス
301 転送要求信号
011 実行系停電予告信号
012 実行系停電信号
013 実行系AC入力
014 実行系電源スイッチ
015 実行系電源保護部
016 実行系電源電圧
017 実行系電源遮断スイッチ
018 実行系コンデンサ
019 実行系AND回路
020 待機系電源装置
021 待機系停電予告信号
022 待機系停電信号
023 待機系AC入力
024 待機系電源スイッチ
025 待機系電源保護部
026 待機系電源電圧
027 待機系電源遮断スイッチ
028 待機系コンデンサ
029 待機系AND回路
100 実行系CPU装置
110 実行系ローカルメモリ
111 実行系共有メモリ
112 実行系メモリバス
120 実行系共有データ一致化回路(DCM制御部)
121 実行系他系監視部
122 実行系バッファ
124 実行系コントロールレジスタ
125 実行系ステータスレジスタ
126 実行系電源保護制御信号
140 実行系タイミング生成回路
141 実行系メモリ保護要求信号
150 実行系プロセッサ
160 実行系外部リフレッシュ制御部
200 待機系CPU装置
210 待機系ローカルメモリ
211 待機系共有メモリ
212 待機系メモリバス
220 待機系共有データ一致化回路(DCM制御部)
221 待機系他系監視部
222 待機系バッファ
224 待機系コントロールレジスタ
225 待機系ステータスレジスタ
226 待機系電源保護制御信号
240 待機系タイミング生成回路
241 待機系メモリ保護要求信号
250 待機系プロセッサ
260 待機系外部リフレッシュ制御部
300 DCMバス
301 転送要求信号
Claims (1)
- 少なくとも1台の電源装置と該電源装置により駆動されるCPU装置をそれぞれ含んでなる実行系と待機系とからなる多重化システムにおいて、
前記各系のCPU装置は、少なくとも相手系電源の状態を監視する他系監視部を備え、
前記各系の電源装置は、AC入力を遮断する電源遮断スイッチと、該電源遮断スイッチを手動操作する電源スイッチと、前記電源遮断スイッチの遮断を阻止する電源保護部とを備え、
前記他系監視部は、自系電源のリセットまたは保護の制御指令が登録されるコントロールレジスタと、自系停電予告信号状態および相手系停電予告信号状態が登録されるステータスレジスタとを含み、
前記電源保護部は、前記相手系電源が切れている時には前記電源スイッチの操作による自系の前記電源遮断スイッチの遮断を阻止し、前記電源スイッチによる自系の前記電源遮断スイッチが遮断操作されたこと、相手系停電予告信号が出力されていないこと、および前記コントロールレジスタにリセット指令が登録されていることが全て満たされたときに、前記電源遮断スイッチの遮断を許容することを特徴とする多重化システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005135958A JP4474614B2 (ja) | 2005-05-09 | 2005-05-09 | 多重化システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005135958A JP4474614B2 (ja) | 2005-05-09 | 2005-05-09 | 多重化システム |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000219093A Division JP3760278B2 (ja) | 2000-07-19 | 2000-07-19 | 多重化システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005327284A JP2005327284A (ja) | 2005-11-24 |
| JP4474614B2 true JP4474614B2 (ja) | 2010-06-09 |
Family
ID=35473541
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005135958A Expired - Fee Related JP4474614B2 (ja) | 2005-05-09 | 2005-05-09 | 多重化システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4474614B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5395450B2 (ja) * | 2009-02-05 | 2014-01-22 | アズビル株式会社 | リング型スイッチおよびリング型スイッチ制御方法 |
-
2005
- 2005-05-09 JP JP2005135958A patent/JP4474614B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005327284A (ja) | 2005-11-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US4351023A (en) | Process control system with improved system security features | |
| US6802023B2 (en) | Redundant controller data storage system having hot insertion system and method | |
| US6336174B1 (en) | Hardware assisted memory backup system and method | |
| EP0772127B1 (en) | Controller failure recovery for an Input/Output device | |
| JP5347414B2 (ja) | 同期制御装置,情報処理装置及び同期管理方法 | |
| GB2375412A (en) | Resetting controllers in a redundant-controller data storage system | |
| US9195553B2 (en) | Redundant system control method | |
| JP2004038290A (ja) | 情報処理システムおよび同システムで用いられるディスク制御方法 | |
| CA2530013A1 (en) | A fault tolerant computer system and a synchronization method for the same | |
| JP6130520B2 (ja) | 多重系システムおよび多重系システム管理方法 | |
| US5742851A (en) | Information processing system having function to detect fault in external bus | |
| JP4655718B2 (ja) | コンピュータシステム及びその制御方法 | |
| JP2000357059A (ja) | ディスクアレイ装置 | |
| JP4474614B2 (ja) | 多重化システム | |
| JP3760278B2 (ja) | 多重化システム | |
| JPS6119061B2 (ja) | ||
| JP2009003789A (ja) | ディスク装置の停電処理方法およびディスク装置 | |
| WO2014112039A1 (ja) | 情報処理装置、情報処理装置制御方法及び情報処理装置制御プログラム | |
| US20100162082A1 (en) | Control device, storage apparatus and controlling method | |
| JP2815730B2 (ja) | アダプタ及びコンピュータシステム | |
| JPH08220198A (ja) | 電池バックアップメモリユニットおよびバックアップ機能試験方法 | |
| JP2003271463A (ja) | 二重化メモリ装置 | |
| JPH036759A (ja) | 共有メモリ装置の保護方法、アクセス抑止および解除機構、立上げ自己診断報告機構 | |
| JPS60251443A (ja) | プログラマブルコントロ−ラのバツクアツプ装置 | |
| JPS59124099A (ja) | 共通記憶領域の障害復旧処理方式 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060216 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090225 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090317 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090518 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091124 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100120 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100209 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100223 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130319 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130319 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |