JP4630234B2 - Dual system - Google Patents

Dual system Download PDF

Info

Publication number
JP4630234B2
JP4630234B2 JP2006166353A JP2006166353A JP4630234B2 JP 4630234 B2 JP4630234 B2 JP 4630234B2 JP 2006166353 A JP2006166353 A JP 2006166353A JP 2006166353 A JP2006166353 A JP 2006166353A JP 4630234 B2 JP4630234 B2 JP 4630234B2
Authority
JP
Japan
Prior art keywords
control device
response
counterpart
control
self
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006166353A
Other languages
Japanese (ja)
Other versions
JP2007334663A (en
Inventor
智貴 木曽
良雄 丸山
康夫 鈴木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Hitachi Information and Control Solutions Ltd
Original Assignee
Hitachi Ltd
Hitachi Information and Control Solutions Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd, Hitachi Information and Control Solutions Ltd filed Critical Hitachi Ltd
Priority to JP2006166353A priority Critical patent/JP4630234B2/en
Publication of JP2007334663A publication Critical patent/JP2007334663A/en
Application granted granted Critical
Publication of JP4630234B2 publication Critical patent/JP4630234B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、通信回線により接続される第1の制御装置と第2の制御装置を立ち上げたとき、第1の制御装置と第2の制御装置が通信回線を介して通信を行い、一方を運用系に、他方を非運用系に設定して縮退運転を行う二重系システムに関する。   In the present invention, when the first control device and the second control device connected by the communication line are started up, the first control device and the second control device communicate with each other via the communication line. The present invention relates to a dual system that performs degenerate operation with the other set as the active system and the other as the non-active system.

プラント制御等、高信頼性を要求される制御環境にあっては、一方を運用系、他方を待機系(非運用系)とする冗長構成を持つ二重系として計算機システムを構築し、運用系に異常が発見された場合に即時待機系に切替え、継続して制御が実行される。   In a control environment that requires high reliability such as plant control, a computer system is constructed as a redundant system with a redundant configuration where one is the active system and the other is the standby system (non-operating system). If an abnormality is found in the system, the system switches to the immediate standby system and the control is executed continuously.

前記した二重系システムの立ち上げ時、相手制御装置が運用未確定状態で自制御装置も運用未確定状態である時、自制御装置と相手制御装置とが同時に運用系になるのを防止するため、乱数により設定した一定時間経過後に相手装置の状態を監視し、そのときの状態で自制御装置が運用系になるか否かを決定する技術が知られている。前記した技術によれば、二重系システムの立ち上げ時、相手制御装置からの情報が接続回線の断線等により通信異常等の信用できない事態を検出した場合には、現在の状態を保持するようにしている。ただし、自制御装置が非運用系の場合は両方の制御装置が非運用となるのを回避するため、自制御装置を運用系に遷移するようにしている(例えば、特許文献1参照)。   When the above-mentioned dual system is started up, when the partner control device is in the operation unconfirmed state and the own control device is in the operation unconfirmed state, the self control device and the partner control device are prevented from becoming the active system at the same time. Therefore, a technique is known in which the state of the counterpart device is monitored after the elapse of a predetermined time set by a random number, and whether or not the own control device becomes an active system in that state is known. According to the above-described technology, when the duplex system is started up, if the information from the partner control device detects an untrustworthy situation such as a communication abnormality due to disconnection of the connection line, the current state is maintained. I have to. However, when the self-control device is a non-operational system, the self-control device is transitioned to the operation system in order to avoid both control devices becoming non-operational (see, for example, Patent Document 1).

また、二重化システムにおいて、運用系(マスタ状態)、非運用系(スレーブ状態)の切替えをCPU(Central Processing Unit)に依存せずハードウェアで自律的に行うために、例えば、故障が無く、リセットされず、スイッチがOFF状態で、他の制御装置がスレーブ状態にあったときの自制御装置を、運用系として動作させる技術も知られている。前記した技術によれば、二重系システムのリセット時、各制御装置の出力遅延時間に差を設け、短い時間が設定された制御装置が運用系に、他方の制御装置が非運用系に遷移するようにしている(例えば、特許文献2参照)
特開平7−23079号公報(段落「0012」〜「0018」、図1、図5) 特開平5−233579号公報(段落「0010」、「0020」、図1) Also, in a redundant system, switching between the active system (master state) and non-operating system (slave state) is performed autonomously by hardware without depending on the CPU (Central Processing Unit), so there is no failure and reset, for example. There is also known a technique for operating the own control device as an active system when the switch is in the OFF state and the other control device is in the slave state. According to the technique described above, when the dual system is reset, there is a difference in the output delay time of each control device, so that the control device set with a short time transitions to the active system and the other control device transitions to the non-operational system (For example, refer to Patent Document 2)
JP-A-7-23079 (paragraphs “0012” to “0018”, FIGS. 1 and 5) JP-A-5-233579 (paragraphs “0010” and “0020”, FIG. 1)

前記した特許文献1に開示された技術によれば、二重系システムの運用系を決定する際に乱数を使用しているため、どちらの制御装置が運用系になるかをユーザが予測できないという欠点を持つ。この欠点により、制御装置毎に改造を行う時の保全作業において、まだ改造を施していない制御装置がプラントの制御を行う恐れがある。また、自制御装置が非運用系である状態において、相手制御装置からの情報に基づき接続回線の断線等により通信異常等の信用できない状態を検出した場合に、両方の制御装置が非運用系となるのを回避するために自制御装置を運用系にすることになり、この場合、プラントに対して両方の制御装置から制御が行われ、プラントを誤制御する危険性を有している。   According to the technique disclosed in Patent Document 1 described above, since a random number is used when determining the operational system of the dual system, the user cannot predict which control device will be the operational system. Has drawbacks. Due to this drawback, there is a risk that a control device that has not yet been modified may control the plant in maintenance work when the control device is modified. In addition, when the self-control device is in a non-operational system, when an untrusted state such as a communication abnormality is detected due to disconnection of the connection line based on information from the partner control device, both control devices are In order to avoid this, the self-control device is used as an operating system. In this case, the plant is controlled by both control devices, and there is a risk of erroneous control of the plant.

一方、前記した特許文献2に開示された技術によれば、二重系システムの立ち上げ時、制御装置の出力遅延時間に差を設け、短い時間が設定された制御装置が運用系に、他方が非運用系に遷移するようにしているが、前記した出力遅延時間の差と、運用系と非運用系の制御装置を電源投入等により立ち上げる時間の差とが同じになった場合、制御装置が同時に立ち上がるため両方の制御装置が運用系となり、この場合、特許文献1に開示された技術同様、制御装置が制御しているプラントに対して両方の制御装置から制御が行われ、プラントを誤制御する危険性を有している。   On the other hand, according to the technique disclosed in Patent Document 2 described above, when the dual system is started up, a difference is provided in the output delay time of the control device, so that the control device in which a short time is set becomes the active system, If the difference between the output delay time described above is the same as the difference between the time when the control device for the active system and the non-active system are started up by turning on the power, etc. Since the devices start up at the same time, both control devices become active systems. In this case, as in the technique disclosed in Patent Document 1, both control devices control the plant controlled by the control device, There is a risk of miscontrol.

本発明は、前記した課題を解決するためになされたものであり、プラントを誤制御することなく、システムの状態に応じて最適かつ安全に二重系システムの立ち上げを実現する、二重系システムを提供することを目的とする。   The present invention has been made in order to solve the above-described problems, and realizes the start-up of a dual system optimally and safely according to the state of the system without erroneously controlling the plant. The purpose is to provide a system.

前記した課題を解決するために本発明は、二重系システムの運用系を決定する際に、系を構成する第1の制御装置と、第2の制御装置が持つ、相手制御装置の状態を取り込む通信制御処理において、乱数を使用することなく、相手制御装置から応答を待つ時に使用する応答待ち時間にそれぞれの制御装置間で差を設けることにより、第1の制御装置と第2の制御装置のいずれを運用系として立ち上げるかについて決定する構成としたものである。そして、この第1の制御装置および第2の制御装置は、相手制御装置へ生存確認データを送信し、その応答を受信する通信制御部と、通信制御部により、相手制御装置からの応答を、自制御装置の応答待ち時間が経過しても、受信しなかったことを検出したとき、自制御装置を運用系として設定し、自制御装置の系の状態が運用系である旨を示す応答を相手制御装置へ送信し、通信制御部により、相手制御装置から自制御装置の系の状態が運用系である旨を示す応答を受信したとき、自制御装置を非運用系として設定する信号処理部とを有する系切替え制御手段を備える。また、信号処理部は、通信制御部により、自制御装置の応答待ち時間以内に、相手制御装置からの応答を受信したとき、応答に含まれる相手制御装置に設定された応答待ち時間と、自制御装置の応答待ち時間とを比較する。そして、相手制御装置に設定された応答待ち時間が自制御装置の応答待ち時間より短い場合に自制御装置を非運用系として設定し、相手制御装置に設定された応答待ち時間が自制御装置の応答待ち時間より長い場合に自制御装置を運用系として設定する。 In order to solve the above-described problems, the present invention determines the state of the counterpart control device possessed by the first control device and the second control device constituting the system when determining the operating system of the dual system. In the communication control processing to be taken in, the first control device and the second control device are provided by providing a difference between the respective control devices in the response waiting time used when waiting for a response from the counterpart control device without using a random number. It is configured to determine which of these will be launched as an operational system. Then, the first control device and the second control device transmit the survival confirmation data to the counterpart control device and receive a response from the counterpart control device by the communication control unit that receives the response, and the communication control unit, When the response waiting time of the own control device elapses, when it is detected that it has not been received, the own control device is set as the active system, and a response indicating that the status of the own control device system is the active system is sent. A signal processing unit that sets a self-control device as a non-operation system when a response indicating that the status of the system of the self-control device is an active system is received from the counterpart control device by the communication control unit. System switching control means. In addition, when the communication control unit receives a response from the counterpart control device within the response wait time of the own control device, the signal processing unit and the response wait time set in the counterpart control device included in the response, Compare the response waiting time of the control unit. Then, when the response waiting time set in the partner control device is shorter than the response waiting time of the own control device, the own control device is set as a non-operational system, and the response waiting time set in the partner control device is If it is longer than the response waiting time, set the own control device as the active system.

本発明によれば、プラントを誤制御することなく、システムの状態に応じて最適かつ安全に二重系システムの立ち上げを実現することができる。   According to the present invention, it is possible to realize the start-up of a dual system optimally and safely according to the state of the system without erroneously controlling the plant.

以下、本発明を実施するための最良の形態(以下、実施の形態という)を、第1の実施の形態ないし第3の実施の形態に分けて説明する。   Hereinafter, the best mode for carrying out the present invention (hereinafter referred to as an embodiment) will be described by dividing it into a first embodiment to a third embodiment.

<第1の実施の形態>
図1は、第1の実施の形態における二重系システムのシステム構成の一例を示す図である。 <First Embodiment>
FIG. 1 is a diagram illustrating an example of a system configuration of a dual system according to the first embodiment.

図1において、符号10は、第1の制御装置としての制御装置、符号30は、第2の制御装置としての制御装置を示す。また、符号12,32は、状態遷移テーブルを示す。この状態遷移テーブル12,32は、相手制御装置の状態をもとに次に遷移させる自制御装置の状態を決定するときに参照される。また、符号11,31は、制御装置10,30それぞれの信号処理部を示す。この通信処理部11,31は、状態遷移テーブル12,32に基づいた状態遷移を実行する。第1の実施の形態では、制御装置10、制御装置30間を接続する通信回線を、専用接続回線40と基幹ネットワーク50とで二重化している。   In FIG. 1, reference numeral 10 denotes a control apparatus as a first control apparatus, and reference numeral 30 denotes a control apparatus as a second control apparatus. Reference numerals 12 and 32 denote state transition tables. The state transition tables 12 and 32 are referred to when determining the state of the own control device to be transitioned next based on the state of the counterpart control device. Reference numerals 11 and 31 denote signal processing units of the control devices 10 and 30, respectively. The communication processing units 11 and 31 execute state transition based on the state transition tables 12 and 32. In the first embodiment, the communication line connecting the control device 10 and the control device 30 is duplexed by the dedicated connection line 40 and the backbone network 50.

制御装置10,30が専用接続回線40に接続されている場合、停止前に自制御装置の状態が運用系であったときは、自制御装置を優先的に運用系とする優先系として立ち上げる。一方、停止前に自制御装置の状態が非運用系であった場合は相手制御装置を運用系とする非優先系として立ち上げると判断する。なお、停止前に自制御装置の状態が運用系であったか非運用系であったか否かは、自制御装置情報記憶部13,33に記録される。   When the control devices 10 and 30 are connected to the dedicated connection line 40, if the state of the self-control device is the active system before the stop, the self-control device is activated as a priority system with priority. . On the other hand, if the state of the own control device is a non-operating system before the stop, it is determined that the partner control device is set up as a non-priority system that is an active system. Whether or not the state of the own control device is active or non-operational before the stop is recorded in the own control device information storage units 13 and 33.

一方、制御装置10,30が専用接続回線40に接続されていない場合、それぞれの制御装置10,30が所有するネットワーク接続監視部15,35が、基幹ネットワーク50の接続状態を監視し、自制御装置の基幹ネットワーク50への接続状態を信号処理部11,31へ通知する。信号処理部11,31は、自制御装置が基幹ネットワーク50に接続されている場合、それぞれの制御装置10,30が所有する通信制御部14,34を使用し、基幹ネットワーク50を介して相手制御装置と通信を行い、相手制御装置の状態を取得する。相手制御装置の状態を取得した通信制御部14,34は、相手制御装置の状態を信号処理部11,31へ通知し、それを受け取った信号処理部11,31は、状態遷移テーブル12,32に基づいた状態遷移を実行する。   On the other hand, when the control devices 10 and 30 are not connected to the dedicated connection line 40, the network connection monitoring units 15 and 35 owned by the respective control devices 10 and 30 monitor the connection state of the backbone network 50 and perform self-control. The connection state of the device to the backbone network 50 is notified to the signal processing units 11 and 31. When the own control device is connected to the backbone network 50, the signal processing units 11, 31 use the communication control units 14, 34 owned by the respective control devices 10, 30 to control the other party via the backbone network 50. Communicate with the device to obtain the status of the counterpart control device. The communication control units 14 and 34 that acquired the status of the counterpart control device notify the status of the counterpart control device to the signal processing units 11 and 31, and the signal processing units 11 and 31 that have received the status control tables 14 and 32 receive them. The state transition based on is executed.

また、信号処理部11,31は、自制御装置が基幹ネットワーク50に接続されていない場合、状態遷移テーブル12,32(詳細は後記)に基づいた状態遷移を実行する。なお、制御装置10,30のハードウェア構成はここでは図示を省略するが、専用接続回線40および基幹ネットワーク50により通信を行うための通信インタフェースと、状態遷移テーブル12,32、自制御装置情報記憶部13,33を所定領域に備える記憶部と、各種演算処理を実行する演算処理部とを備える。演算処理部は、専用の回路により実現するようにしてもよいし、CPU等が記憶部に記憶されたプログラムを実行することで実現するようにしてもよい。前記した通信制御部14,34、信号処理部11,31およびネットワーク接続監視部15,35をまとめて系切替え制御手段とする。   Further, when the own control device is not connected to the backbone network 50, the signal processing units 11 and 31 execute state transition based on the state transition tables 12 and 32 (details will be described later). Although the hardware configuration of the control devices 10 and 30 is not shown here, a communication interface for performing communication via the dedicated connection line 40 and the backbone network 50, state transition tables 12 and 32, own control device information storage A storage unit including the units 13 and 33 in a predetermined area and an arithmetic processing unit that executes various arithmetic processes are provided. The arithmetic processing unit may be realized by a dedicated circuit, or may be realized by a CPU or the like executing a program stored in the storage unit. The communication control units 14 and 34, the signal processing units 11 and 31 and the network connection monitoring units 15 and 35 are collectively referred to as a system switching control unit.

図2は、図1の状態遷移テーブルを表形式で例示した図である。以下、図2に例示する状態遷移テーブルを参照しながら、本実施の形態の二重系システムにおける系切替え制御方法について説明する。   FIG. 2 is a diagram illustrating the state transition table of FIG. 1 in a table format. Hereinafter, the system switching control method in the dual system according to the present embodiment will be described with reference to the state transition table illustrated in FIG.

図2に例示するように、自制御装置の状態が優先系で、自制御装置が専用接続回線40に接続されている場合、自制御装置は、相手制御装置の状態を、専用接続回線40を使用して取得する。ここで、相手制御装置の状態が非運用系である場合、自制御装置を運用系として立ち上げ、二重系システムの縮退運転を開始する(符合21,23参照)。また、相手制御装置の状態が運用系である場合、自制御装置を非運用系として立ち上げ、二重系システムの運転を開始する(符合22,24参照)。   As illustrated in FIG. 2, when the state of the own control device is a priority system and the own control device is connected to the dedicated connection line 40, the own control device changes the state of the partner control device to the dedicated connection line 40. Use to get. Here, when the state of the counterpart control apparatus is a non-operational system, the self-control apparatus is activated as an active system, and the degenerate operation of the dual system is started (see reference numerals 21 and 23). If the state of the counterpart control device is the active system, the own control device is started up as a non-operating system, and the operation of the dual system is started (see reference numerals 22 and 24).

一方、専用接続回線40が切断状態であるが、基幹ネットワーク50に接続されている場合、自制御装置は、基幹ネットワーク50を使用した通信で相手制御装置の状態を取得する。ここで、相手制御装置から応答が無かった場合、自制御装置は、相手制御装置が非運用系であると判定し、自制御装置を運用系として立ち上げ、二重系システムの縮退運転を開始する(符合25参照)。また、相手制御装置から応答が返ってきた場合は、相手制御装置が運用系であると判定し、自制御装置を非運用系とすることで二重系システムを縮退運転とする(符号26参照)。ここで、相手制御装置から応答が無かった場合、自制御装置を非運用系としたのは、自制御装置を運用系としてしまうと、相手制御装置が既に運用系として立ち上がっている場合、プラントに対して両方の制御装置から制御が行われ、プラントを誤制御する可能性があるからである。   On the other hand, when the dedicated connection line 40 is disconnected but connected to the backbone network 50, the own control device acquires the state of the counterpart control device through communication using the backbone network 50. Here, if there is no response from the counterpart control device, the own control device determines that the counterpart control device is non-operating, starts up the self-control device as the active system, and starts the degenerate operation of the dual system (See symbol 25). Further, when a response is returned from the counterpart control device, it is determined that the counterpart control device is an active system, and the self-control device is set to a non-operating system so that the dual system is degenerated (see reference numeral 26). ). Here, when there is no response from the partner control device, the self-control device is set to the non-operational system.If the self-control device is set to the active system, if the partner control device has already started up as the active system, This is because control is performed from both control devices, and the plant may be erroneously controlled.

また、専用接続回線40が切断状態であり、かつ、基幹ネットワーク50も切断状態の場合、自制御装置を非運用系とすることで二重系システムを縮退運転とする(符号27,28参照)。この場合も、自制御装置を非運用系としたのは、自制御装置を運用系としてしまうと、相手制御装置が既に運用系として立ち上がっている場合、プラントに対して両方の制御装置から制御が行われ、プラントを誤制御する可能性があるからである。   Further, when the dedicated connection line 40 is in a disconnected state and the backbone network 50 is also in a disconnected state, the dual system is set in a degenerate operation by setting the own control device to a non-operating system (see reference numerals 27 and 28). . In this case as well, the self-control device is set as a non-operational system. If the self-control device is set as the operation system, the control device is controlled by both control devices when the partner control device has already started up as the operation system. This is because the plant may be erroneously controlled.

なお、自制御装置の状態が非優先系である場合も、自制御装置の専用接続回線40への接続状態、基幹ネットワーク50の接続状態による状態遷移先は、自制御装置の状態が優先系である場合と同じであるので説明を省略する。   Even when the state of the own control device is a non-priority system, the state of the own control device is the priority system in the state transition destination according to the connection state of the own control device to the dedicated connection line 40 and the connection state of the backbone network 50. Since it is the same as a certain case, explanation is omitted.

図3は、第1の実施の形態における二重系システムの動作を示すシーケンス図である。以下、図1、図2を参照しつつ、図3を用いて第1の実施の形態における二重系システムの動作を説明する。   FIG. 3 is a sequence diagram showing the operation of the dual system in the first exemplary embodiment. The operation of the dual system according to the first embodiment will be described below with reference to FIGS. 1 and 2 and FIG.

<動作概要>
ここでは、制御装置10の応答待ち時間を制御装置30の応答待ち時間より短く設定することで、制御装置10を制御装置30よりも優先的に立ち上げる優先系として設定し、制御装置30を非優先系として設定している。なお、ここでの応答待ち時間とは、制御装置10,30に電源投入あるいはリセットがされた後、この制御装置10,30が生存確認データを送信してから、相手制御装置からの生存確認データに対する応答データを送信する処理を実行するまでの時間を指す。 <Overview of operation>
Here, by setting the response waiting time of the control device 10 to be shorter than the response waiting time of the control device 30, the control device 10 is set as a priority system that is preferentially started up over the control device 30, and the control device 30 is non- Set as the priority system. The response waiting time here is the survival confirmation data from the counterpart control device after the control devices 10 and 30 transmit the survival confirmation data after the control devices 10 and 30 are powered on or reset. This refers to the time until execution of the process of transmitting response data for.

図3中、符号M1は、相手制御装置の生存を確認する専用の通信データ(生存確認データ)であり、符号M2はM1に対する専用の応答データ(応答データ)である。なお、この応答データには、対応する生存確認データのシーケンス番号が含まれ、制御装置10,30は、この応答データに含まれるシーケンス番号により、確かに当該応答データが相手制御装置からの応答データであることを確認するものとする。   In FIG. 3, symbol M1 is dedicated communication data (survival confirmation data) for confirming the existence of the counterpart control device, and symbol M2 is dedicated response data (response data) for M1. Note that the response data includes the sequence number of the corresponding survival confirmation data, and the control devices 10 and 30 ensure that the response data is the response data from the counterpart control device based on the sequence number included in the response data. It shall be confirmed that

また、優先系である制御装置10の応答待ち時間は、非優先系である制御装置30の応答待ち時間よりも短い時間に設定する。ここでは、制御装置10,30とも、応答データM2の受信処理を開始してから、この処理をタイムアウトするまでの時間(タイムアウト値)を同じ時間とし、制御装置10,30のうち、運用系である制御装置10のタイムアウト回数を非運用系である制御装置30のタイムアウト回数よりも少ない値とすることで、応答待ち時間に差を設ける。   Further, the response waiting time of the control device 10 which is the priority system is set to a time shorter than the response waiting time of the control device 30 which is the non-priority system. Here, both the control devices 10 and 30 have the same time (timeout value) from when the reception processing of the response data M2 is started until this processing times out, and among the control devices 10 and 30, By setting the number of timeouts of a certain control device 10 to be smaller than the number of timeouts of the control device 30 which is a non-operational system, a difference is provided in the response waiting time.

すなわち、通信制御部14,34は、相手制御装置に生存確認データM1を送信し、その応答データM2の受信を待つ処理を行う。信号処理部11,31は、応答データM2の受信ができたか否かにより相手制御装置の生存判定を行う。ここで、通信制御部14,34により応答データM2の受信待ちのタイムアウトをn回検出したとき、相手制御装置を非運用系と判定し、自制御装置を運用系に決定する。
この後、通信制御部14,34を介して、相手制御装置からの生存確認データM1の受信を待つ処理を行う。そして、相手制御装置から、生存確認データM1を受信すると、信号処理部11,31は、この生存確認データM1に対する自制御装置の状態を示した応答データM2を相手制御装置へ送信し、自制御装置を運用系に決定したことを相手制御装置へ通知する。このような応答データM2を受信した相手制御装置は、自身を非運用系として決定する。 That is, the communication control units 14 and 34 perform processing for transmitting the survival confirmation data M1 to the counterpart control device and waiting for reception of the response data M2. The signal processing units 11 and 31 determine whether the counterpart control device is alive depending on whether or not the response data M2 has been received. Here, when the communication control units 14 and 34 detect a timeout of waiting for reception of the response data M2 n times, the partner control device is determined to be a non-operational system, and the own control apparatus is determined to be an active system.
Thereafter, a process of waiting for reception of the survival confirmation data M1 from the counterpart control device is performed via the communication control units 14 and 34. When the survival confirmation data M1 is received from the counterpart control device, the signal processing units 11 and 31 transmit response data M2 indicating the status of the own control device with respect to the survival confirmation data M1 to the counterpart control device. Notify the partner control device that the device has been determined to be active. The counterpart control device that has received such response data M2 determines itself as a non-operational system.

<動作詳細>
図3において、まず、優先系とした制御装置10と、非優先系とした制御装置30の電源を同時に投入して両方を同時に立ち上げた場合(S10,S30:電源投入)、制御装置10と制御装置30は、ともに相手制御装置が運用系として立ち上がっているか否かを確認するため、生存確認データM1の送信を実行し(S11,S31)、その応答データM2の受信処理(受信待ちの処理)を実行する。具体的には、信号処理部11,31は、生存確認データM1を生成して通信制御部14,34に引渡し、通信制御部14,34は、その生存確認データM1を基幹ネットワーク50へ送信する。 <Operation details>
In FIG. 3, first, when the control device 10 as the priority system and the control device 30 as the non-priority system are simultaneously turned on and both are started up simultaneously (S10, S30: power-on), The control device 30 transmits the survival confirmation data M1 (S11, S31) to confirm whether or not the counterpart control device has been started as an active system, and receives the response data M2 (waiting for reception) ). Specifically, the signal processing units 11 and 31 generate the survival confirmation data M1 and deliver it to the communication control units 14 and 34. The communication control units 14 and 34 transmit the survival confirmation data M1 to the backbone network 50. .

なお、制御装置10,30の信号処理部11,31は前記した応答待ち時間が経過しないと通信制御部34を起動させ、応答データM2の送信処理を実行させない。つまり、制御装置10,30は、応答待ち時間が経過しないと、相手制御装置から生存確認データM1を受信しても、これに対する応答データM2を送信しない。よって、制御装置10,30は、生存確認データM1に対する応答データM2のタイムアウトを検出し、信号処理部11,31へ報告する(S12,S32)。   The signal processing units 11 and 31 of the control devices 10 and 30 activate the communication control unit 34 and do not execute the transmission process of the response data M2 unless the response waiting time has elapsed. That is, if the response waiting time does not elapse, the control devices 10 and 30 do not transmit response data M2 for the survival confirmation data M1 from the counterpart control device. Therefore, the control devices 10 and 30 detect the timeout of the response data M2 with respect to the survival confirmation data M1 and report it to the signal processing units 11 and 31 (S12 and S32).

続いて、信号処理部11,31は、通信制御部14,34からタイムアウト報告を受け、相手制御装置からの応答が無いことを認識する(S13,S33)。つまり、1回目のタイムアウトを認識する。   Subsequently, the signal processing units 11 and 31 receive timeout reports from the communication control units 14 and 34 and recognize that there is no response from the counterpart control device (S13, S33). That is, the first time-out is recognized.

次に、再度、制御装置10と制御装置30は、生存確認データM1の送信処理を実行し、その応答データM2の受信処理を実行する。そして、前記したS12,S32と同様に通信制御部14,34は、応答データM2の受信処理のタイムアウトを検出し、信号処理部11,31へ報告する(S14,S34)。信号処理部11,31は、通信制御部14,34からタイムアウト報告を受け、相手制御装置から応答が無いことを認識する(S15,S35)。つまり、2回目のタイムアウトを認識する。   Next, the control device 10 and the control device 30 again execute the transmission process of the survival confirmation data M1, and execute the reception process of the response data M2. Then, similarly to S12 and S32 described above, the communication control units 14 and 34 detect the timeout of the reception process of the response data M2, and report it to the signal processing units 11 and 31 (S14 and S34). The signal processing units 11 and 31 receive the time-out report from the communication control units 14 and 34 and recognize that there is no response from the counterpart control device (S15 and S35). That is, the second timeout is recognized.

次に、再度、制御装置10と制御装置30の信号処理部11,31は、前記と同様の手順により3回目のタイムアウト報告を受ける(S16,S36)。   Next, the signal processing units 11 and 31 of the control device 10 and the control device 30 again receive the third time-out report by the same procedure as described above (S16, S36).

以上により、制御装置10は、タイムアウトを3回認識したため、つまり、生存確認データM1を合計3回送信し、応答データM2の応答を3回待ったが、制御装置30から応答データM2が送信されてこなかったため、応答待ち時間が経過したと判断する。そして、制御装置10は、制御装置30を非運用系と判定し(S17)、生存確認データM1の送信を停止して、自制御装置10を運用系に決定する。そして、応答データM2の送信処理を起動させ(S18)、制御装置30からの生存確認データM1を受信する処理を実行する。また、制御装置30の信号処理部31は、3回目のタイムアウト報告を受けると、相手制御装置からの応答無しを認識する(S37)。   As described above, since the control device 10 recognized the timeout three times, that is, the survival confirmation data M1 was transmitted three times in total, and the response data M2 was waited for three times, but the response data M2 was transmitted from the control device 30. Because there was no response, it is determined that the response waiting time has elapsed. Then, the control device 10 determines that the control device 30 is a non-operational system (S17), stops transmission of the survival confirmation data M1, and determines the own control device 10 as an operational system. And the transmission process of response data M2 is started (S18), and the process which receives the survival confirmation data M1 from the control apparatus 30 is performed. Further, when receiving the third time-out report, the signal processing unit 31 of the control device 30 recognizes that there is no response from the counterpart control device (S37).

前記したS18における処理の詳細を、図4を用いて詳細に説明する。図4に示すように、制御装置10の信号処理部11は、応答待ち時間が経過したことを認識すると(つまり、タイムアウトを3回認識すると)、通信制御部14が備える応答データM2の送信処理を起動する(S18)。ここで、応答データM2とは、自制御装置の系の状態(ここでは、運用系)を、相手装置からの生存確認データM1に対する応答として送信するデータである。また、応答データM2の送信処理は、相手制御装置(制御装置30)から送信される生存確認データM1の受信を待って(S181)、応答データM2を送信する処理である(S182)。
なお、ここでは説明を省略するが、制御装置30の信号処理部31も、同様に応答待ち時間が経過したことを認識すると(つまり、タイムアウトを10回認識すると)、通信制御部34が備える応答データM2の送信処理を起動する。 Details of the processing in S18 will be described in detail with reference to FIG. As illustrated in FIG. 4, when the signal processing unit 11 of the control device 10 recognizes that the response waiting time has elapsed (that is, recognizes the timeout three times), the transmission processing of the response data M2 included in the communication control unit 14 Is activated (S18). Here, the response data M2 is data that transmits the state of the system of the own control device (in this case, the active system) as a response to the survival confirmation data M1 from the counterpart device. The response data M2 transmission processing is processing for waiting for reception of the survival confirmation data M1 transmitted from the counterpart control device (control device 30) (S181) and transmitting the response data M2 (S182).
Although not described here, the signal processing unit 31 of the control device 30 similarly recognizes that the response waiting time has elapsed (that is, recognizes the timeout ten times), the response included in the communication control unit 34. The transmission process of the data M2 is started.

図3の説明に戻る。図3のS17において、制御装置10は、自制御装置を運用系と決定し、立ち上げようとするが、ここで、制御装置10は、相手制御装置(制御装置30)が運用系として立ち上がっているか否かを確認する必要がある。そこで、再度、相手制御装置生存確認判定処理のリトライ処理を実行する(S19)。つまり、制御装置10は、再度、生存確認データM1を合計3回送信する。ここでのリトライ処理により相手制御装置(制御装置30)が非運用系であることが確認できると、自制御装置(制御装置10)は、運用系として立ち上げる(S20)。   Returning to the description of FIG. In S17 of FIG. 3, the control device 10 determines that its own control device is the active system and tries to start it up. Here, the control device 10 starts up with the counterpart control device (control device 30) as the active system. It is necessary to check whether or not. Therefore, the retry process of the partner controller survival confirmation determination process is executed again (S19). That is, the control device 10 again transmits the survival confirmation data M1 three times in total. If it can be confirmed that the counterpart control device (control device 30) is a non-operational system by the retry processing here, the own control device (control device 10) is started up as an active system (S20).

一方、制御装置30は、相手制御装置(制御装置10)が運用系として立ち上がっているか否かを判定するため、生存確認データM1を送信し(S38)、その応答データM2を待つ。この段階で、制御装置10の応答データM2送信処理は起動されているため、制御装置30は、応答データM2を受信し(S39)、その受信データM2から制御装置10が運用系であることを認識する(S40)。そして、制御装置30は、自身を非運用系に決定する。   On the other hand, the control device 30 transmits the survival confirmation data M1 (S38) and waits for the response data M2 in order to determine whether or not the counterpart control device (control device 10) is up as an active system. At this stage, since the response data M2 transmission process of the control device 10 is activated, the control device 30 receives the response data M2 (S39), and confirms that the control device 10 is the active system from the received data M2. Recognize (S40). Then, the control device 30 determines itself as a non-operational system.

前記した第1の実施の形態によれば、優先系とした制御装置10と非優先系とした制御装置30を同時に立ち上げても、応答待ち時間の短い制御装置10を運用系とし、応答待ち時間が長い制御装置30を非運用系として設定し、制御することで、二重系システムを安全な状態に維持することができる。   According to the first embodiment described above, even if the control device 10 as the priority system and the control device 30 as the non-priority system are simultaneously started up, the control device 10 with a short response waiting time is set as the active system, and the response is waited for. By setting and controlling the control device 30 having a long time as a non-operating system, the dual system can be maintained in a safe state.

<第2の実施の形態>
図5は、第2の実施の形態における二重系システムの動作を示すシーケンス図である。以下、図1〜図4を参照しつつ、図5を用いて第2の実施の形態における二重系システムの動作を説明する。二重系システムのシステム構成は、図1に示す第1の実施の形態と同じ構成を用いることとする。ここでも、制御装置10を優先系とし、制御装置30を非優先系とする。また、制御装置10の応答待ち時間を、制御装置30の応答待ち時間よりも短く設定しておく。具体的には、制御装置10が応答データ受信のタイムアウトを3回認識したとき、応答データM1の送信処理を実行し、制御装置30が、応答データ受信のタイムアウトを10回認識したとき、応答データM1の送信処理を実行するものとする。 <Second Embodiment>
FIG. 5 is a sequence diagram showing the operation of the dual system in the second exemplary embodiment. Hereinafter, the operation of the dual system according to the second embodiment will be described with reference to FIGS. The system configuration of the dual system is the same as that of the first embodiment shown in FIG. Again, the control device 10 is a priority system and the control device 30 is a non-priority system. The response waiting time of the control device 10 is set shorter than the response waiting time of the control device 30. Specifically, when the control device 10 recognizes the response data reception timeout three times, it executes the transmission process of the response data M1, and when the control device 30 recognizes the response data reception timeout ten times, the response data Assume that the transmission process of M1 is executed.

本実施の形態は、制御装置10,30の電源投入等により立ち上げる時間差が、制御装置10と制御装置30の応答待ち時間差(タイムアウト7回分)と同じ場合においても、応答待ち時間の短い制御装置10を運用系として決定することを特徴とする。   In the present embodiment, a control device with a short response waiting time is used even when the time difference between the control devices 10 and 30 to be started up is the same as the response waiting time difference between the control device 10 and the control device 30 (7 time-outs). 10 is determined as an active system.

まず、制御装置30の電源が投入されてから(S300)、応答待ち時間差と同じ時間が経過した後に、制御装置10の電源が投入されたとする(S100)。そして、前記した図3のS11,S31と同様に、制御装置10と制御装置30は、相手制御装置が運用系として立ち上がっているか否かを確認するために生存確認データM1を送信する(S101,301)。そして、その応答データM2を待つ。次に、前記した第1の実施の形態と同様に、制御装置10,30の信号処理部11,31は、タイムアウト報告を受け、相手制御装置から応答が無かったことを制御装置10は3回(S102〜S104)、制御装置30は10回認識する(S302〜S304)。   First, it is assumed that the control device 10 is turned on after the same time as the response waiting time difference elapses after the control device 30 is turned on (S300) (S100). Then, similarly to S11 and S31 of FIG. 3 described above, the control device 10 and the control device 30 transmit the survival confirmation data M1 in order to confirm whether or not the partner control device has been started as an active system (S101, S31). 301). And it waits for the response data M2. Next, as in the first embodiment described above, the signal processing units 11 and 31 of the control devices 10 and 30 receive a time-out report, and the control device 10 confirms that there is no response from the counterpart control device three times. (S102 to S104), the control device 30 recognizes 10 times (S302 to S304).

制御装置10は、生存確認データM1を合計3回送信し、応答データM2の応答を3回待ったが、制御装置30から応答データM2が送信されてこなかったため、相手制御装置(制御装置30)を非運用系と判定する(S105)。そして、前記した図4のS18と同様に、応答データM2の送信処理を起動する(S106)。一方、制御装置30も、生存確認データM1を合計10回送信し、応答データM2の応答を10回待ったが、制御装置10から応答データM2が送信されてこなかったため、相手制御装置を非運用系と判定する(S305)。そして、前記した図4のS18と同様に、応答データM2の送信処理を起動する(S306)。   The control device 10 transmits the survival confirmation data M1 three times in total and waits for a response of the response data M2 three times. However, since the response data M2 has not been transmitted from the control device 30, the control device 30 (control device 30) A non-operational system is determined (S105). Then, similarly to S18 of FIG. 4 described above, the transmission process of the response data M2 is started (S106). On the other hand, the control device 30 also transmits the survival confirmation data M1 ten times in total and waits for a response of the response data M2 ten times. However, since the response data M2 has not been transmitted from the control device 10, the partner control device is set to the non-operating system. (S305). Then, similarly to S18 of FIG. 4 described above, the transmission process of the response data M2 is started (S306).

次に、制御装置10,30は相手制御装置が運用系として立ち上がっているか否かを判定するため、再度、生存確認データM1を送信するリトライ処理を実行する(S107,307)。すなわち、制御装置10,30は、生存確認データM1を送信し(S108,S308)、その応答データM2を待つ。ここでは、既に制御装置10,30の応答データM2送信処理は起動されているため、お互いに応答データM2を送信する。なお、この応答データM2には、自身の制御装置に設定された応答待ち時間を含める。   Next, the control devices 10 and 30 execute retry processing for transmitting the survival confirmation data M1 again in order to determine whether or not the counterpart control device is up as an active system (S107 and 307). That is, the control devices 10 and 30 transmit the survival confirmation data M1 (S108, S308) and wait for the response data M2. Here, since the response data M2 transmission processing of the control devices 10 and 30 has already been started, the response data M2 is transmitted to each other. The response data M2 includes a response waiting time set in its own control device.

制御装置10,30は、相手制御装置からの応答データM2を受信すると、この応答データM2に含まれる相手制御装置の応答待ち時間を取得し、この相手制御装置の応答待ち時間と、自制御装置情報記憶部13,33にあらかじめ格納されてある自制御装置の応答待ち時間とを比較する(S109,S309)。   When the control devices 10 and 30 receive the response data M2 from the counterpart control device, the control devices 10 and 30 obtain the response wait time of the counterpart control device included in the response data M2, and the response wait time of the counterpart control device and the own control device The response waiting time of the own control device stored in advance in the information storage units 13 and 33 is compared (S109, S309).

ここで、制御装置10は、応答待ち時間を比較した結果、自制御装置の応答待ち時間の方が短いことを認識すると、自制御装置と相手制御装置との立ち上げの時間差が、制御装置30の応答時間と制御装置10の応答時間の差と等しい場合の立ち上げと判定し、信号処理部11による制御の下、自制御装置を運用系として立ち上げる。つまり、リトライした結果、相手制御装置から応答があり、かつ伝文(応答データM2)内に設定された相手制御装置の応答待ち時間が自制御装置の応答待ち時間よりも長いとき、自制御装置を運用系として立ち上げる(S110)。   Here, as a result of comparing the response waiting time, the control device 10 recognizes that the response waiting time of the own control device is shorter, the time difference between the startup of the own control device and the counterpart control device is the control device 30. It is determined that the start-up is equal to the difference between the response time of the control device 10 and the response time of the control device 10. That is, as a result of the retry, when there is a response from the counterpart control device and the response waiting time of the counterpart control device set in the message (response data M2) is longer than the response wait time of the own control device, the self control device Is started as an operational system (S110).

また、制御装置30は、応答待ち時間を比較した結果、自制御装置の応答待ち時間の方が長いことを認識すると、自制御装置と相手制御装置との立ち上げの時間差が、制御装置30の応答時間と制御装置10の応答時間の差と等しい場合の立ち上げと判定し、制信号処理部31による制御の下、自制御装置30を非運用系として立ち上げる。つまり、リトライした結果、相手制御装置から応答があり、かつ伝文(応答データM2)内に設定された相手制御装置(制御装置10)の応答待ち時間が自制御装置(制御装置30)の応答待ち時間よりも短いとき、自制御装置を非運用系として立ち上げる(S310)。   Further, as a result of comparing the response waiting time, the control device 30 recognizes that the response waiting time of the own control device is longer, the time difference between the startup of the own control device and the counterpart control device is It is determined that the start-up is equal to the difference between the response time and the response time of the control device 10, and the own control device 30 is started as a non-operating system under the control of the control signal processing unit 31. That is, as a result of the retry, there is a response from the counterpart control device, and the response waiting time of the counterpart control device (control device 10) set in the message (response data M2) is the response of the own control device (control device 30). When it is shorter than the waiting time, the self-control device is started up as a non-operational system (S310).

前記した第2の実施の形態によれば、優先系とした制御装置10を非優先系とした制御装置30の後、特に、制御装置10と制御装置30の応答時間差と同じ時間経過後に立ち上げた場合でも、応答待ち時間が短い制御装置10が運用系となり、応答待ち時間が長い制御装置30が非運用系となる。したがって、二重系システムを安全な状態に設定することができる。   According to the second embodiment described above, the control device 10 that is the priority system is started after the control device 30 that is the non-priority system, in particular, after the same time as the response time difference between the control device 10 and the control device 30 has elapsed. Even in such a case, the control device 10 with a short response waiting time becomes the active system, and the control device 30 with a long response waiting time becomes the non-operating system. Therefore, the duplex system can be set in a safe state.

<第3の実施の形態>
図6は、第3の実施の形態における二重系システムの動作を示すシーケンス図である。以下、図1〜図5を参照しつつ、図6を用いて第3の実施の形態における二重系システムの動作を説明する。二重系システムのシステム構成は、図1に示す第1の実施の形態と同じ構成を用いることとする。第3の実施の形態は、応答時間の短い制御装置10が電源未投入、故障等の理由で、運用系にならならなかった場合、応答時間の長い制御装置30が運用系になることを特徴とする。 <Third Embodiment>
FIG. 6 is a sequence diagram illustrating the operation of the dual system according to the third embodiment. The operation of the dual system according to the third embodiment will be described below with reference to FIGS. 1 to 5 and FIG. The system configuration of the dual system is the same as that of the first embodiment shown in FIG. The third embodiment is characterized in that when the control device 10 with a short response time does not become an active system due to power failure, failure, or the like, the control device 30 with a long response time becomes an active system. And

制御装置30が電源投入等により立ち上がると(S600)、制御装置30は、相手制御装置(制御装置10)が運用系として立ち上がっているか否かを判定するため、生存確認データM1を送信し(S601)、その応答データM2を待つ。そして、制御装置30は、前記した実施の形態と同様に、相手制御装置から応答が無かったことを合計10回認識する(S612〜S614)。そして、制御装置30は、相手制御装置(制御装置10)が非運用系と判定する(S615)。そして、応答データM2の送信処理を起動し(S616)、前記したリトライ処理を実行する(S617)。つまり、再度、相手制御装置(制御装置10)へ生存確認データを送信する。そして、リトライ処理に基づき、S618,S619の処理を実行した後、10回目のタイムアウトの報告を受けたとき(S620)、制御装置30は、相手制御装置が非運用系であると判定する(S621)。そして、制御装置30は、自制御装置を運用系に決定し、運用系として立ち上がる。   When the control device 30 starts up due to power-on or the like (S600), the control device 30 transmits survival confirmation data M1 in order to determine whether or not the counterpart control device (control device 10) is started as an active system (S601). ), And waits for the response data M2. And the control apparatus 30 recognizes a total of 10 times that there was no response from the other party control apparatus similarly to above-mentioned embodiment (S612-S614). Then, the control device 30 determines that the counterpart control device (control device 10) is a non-operational system (S615). Then, the transmission process of the response data M2 is started (S616), and the retry process described above is executed (S617). That is, the survival confirmation data is transmitted again to the counterpart control device (control device 10). Based on the retry process, after receiving the tenth timeout report after executing the processes of S618 and S619 (S620), the control device 30 determines that the counterpart control device is non-operational (S621). ). And the control apparatus 30 determines an own control apparatus to be an active system, and starts as an active system.

前記した第3の実施の形態によれば、優先系とした制御装置10が運用系とならない場合においても、非優先系とした制御装置30を運用系とすることで、二重系システムを安全な状態とすることができる。   According to the third embodiment described above, even when the priority control device 10 does not become the active system, the non-priority control device 30 is used as the active system, thereby making the dual system safe. It can be in a state.

以上説明のように、本実施の形態によれば、二重系システムの運用系を決定する際に、乱数を使用しないため、二重系システムを構成するいずれの制御装置が運用系になるか明確になる。したがって、ユーザが制御装置毎に改造を行う時の保全作業が容易になる。また、二重系システムを構成する制御装置の立ち上げ時間の差がいかなる状態にあっても、二重系システムを構成する制御装置の1つを運用系とし、他方を非運用系とすることで、二重系システムを安全な状態に設定することができる。さらに、接続回線40が故障等の原因により一方の制御装置が接続回線40から切り離された状態においては、両方の制御装置10,30を非運用系とすることにより、両系が運用系となり、プラントに対して両方の制御装置から制御が行われる事態は回避される。したがって、プラントの誤制御を防止することができる。   As described above, according to the present embodiment, since no random number is used when determining the operating system of the dual system, which control device constituting the dual system becomes the active system? Become clear. Therefore, the maintenance work when the user modifies each control device is facilitated. Also, regardless of the startup time difference between the control devices that make up the duplex system, one of the control devices that make up the duplex system should be the active system and the other should be the non-operating system. Thus, the dual system can be set to a safe state. Furthermore, in a state where one control device is disconnected from the connection line 40 due to a failure or the like of the connection line 40, by making both control devices 10 and 30 non-operational, both systems become active. The situation where control is performed from both control devices on the plant is avoided. Therefore, erroneous control of the plant can be prevented.

さらに、前記した実施の形態では、二重系システムのみ例示したが、制御装置を3以上とする多重系システムにも同様に応用が可能である。また、前記した実施の形態によれば、いずれも相手制御装置に生存確認データM1を送信する回数を、優先系とした制御装置10は3回、非優先系とした制御装置30は10回としたが、優先系とした制御装置10の応答待ち時間を非優先系とした制御装置30よりも短く設定すれば、この回数は任意である。   Furthermore, in the above-described embodiment, only the dual system is illustrated, but the present invention can be similarly applied to a multiplex system having three or more control devices. Further, according to the above-described embodiment, the number of times that the survival confirmation data M1 is transmitted to the counterpart control device is 3 times for the control device 10 as the priority system and 10 times for the control device 30 as the non-priority system. However, if the response waiting time of the priority control device 10 is set shorter than that of the non-priority control device 30, this number of times is arbitrary.

本実施の形態における二重系システムのシステム構成の一例を示す図である。It is a figure which shows an example of the system configuration | structure of the dual system in this Embodiment. 図1の状態遷移テーブルを表形式で例示した図である。It is the figure which illustrated the state transition table of FIG. 1 in the table format. 第1の実施の形態における二重系システムの動作を示すシーケンス図である。It is a sequence diagram which shows operation | movement of the dual system in 1st Embodiment. 本実施の形態における、応答データの送信処理手順を示す図である。It is a figure which shows the transmission process procedure of the response data in this Embodiment. 第2の実施の形態における二重系システムの動作を示すシーケンス図である。It is a sequence diagram which shows operation | movement of the dual system in 2nd Embodiment. 第3の実施の形態における二重系システムの動作を示すシーケンス図である。It is a sequence diagram which shows the operation | movement of the dual system in 3rd Embodiment.

符号の説明Explanation of symbols

10 制御装置(第1の制御装置)
11,31 信号処理部
12,32 状態遷移テーブル
13,33 自制御装置情報記憶部
14,34 通信制御部
15,35 ネットワーク接続監視部
30 制御装置(第2の制御装置)
40 接続回線
50 基幹ネットワーク
M1 生存確認データ
M2 応答データ 10 Control device (first control device)
DESCRIPTION OF SYMBOLS 11,31 Signal processing part 12,32 State transition table 13,33 Self-control apparatus information storage part 14,34 Communication control part 15,35 Network connection monitoring part 30 Control apparatus (2nd control apparatus)
40 Connection line 50 Core network M1 Survival confirmation data M2 Response data

Claims (2)

通信回線により接続される第1の制御装置と第2の制御装置を立ち上げたとき、前記第1の制御装置と前記第2の制御装置とが前記通信回線を介して通信を行い、一方を運用系に、他方を非運用系に設定して縮退運転を行う二重系システムであって、
前記第1の制御装置および前記第2の制御装置は、
相手制御装置に対して生存確認データを送信し、その応答データを待つ前記通信の応答待ち時間に、前記第1の制御装置と前記第2の制御装置との間で時間差を設け、前記応答待ち時間の短い相手制御装置を優先的に立ち上げる運用系に設定し、他方を非運用系に設定して縮退運転を実行するため、
前記相手制御装置へ生存確認データを送信し、その応答を受信する通信制御部と、
前記通信制御部により、前記相手制御装置からの応答を、自制御装置の応答待ち時間が経過しても、受信しなかったことを検出したとき、前記自制御装置を運用系として設定し、前記自制御装置の系の状態が前記運用系である旨を示す応答を前記相手制御装置へ送信し、前記通信制御部により、前記相手制御装置から前記自制御装置の系の状態が前記運用系である旨を示す応答を受信したとき、自制御装置を非運用系として設定する信号処理部とを有する系切替え制御手段を備え、
前記信号処理部は、
前記通信制御部により、前記自制御装置の応答待ち時間以内に、前記相手制御装置からの応答を受信したとき、前記応答に含まれる相手制御装置に設定された応答待ち時間と、前記自制御装置の応答待ち時間とを比較し、前記相手制御装置に設定された応答待ち時間が前記自制御装置の応答待ち時間より短い場合に自制御装置を非運用系として設定し、前記相手制御装置に設定された応答待ち時間が前記自制御装置の応答待ち時間より長い場合に自制御装置を運用系として設定すること
を特徴とする二重系システム。 When the first control device and the second control device connected through the communication line are started up, the first control device and the second control device communicate with each other via the communication line, It is a dual system that performs degenerate operation by setting the other to the non-operational system as the active system,
The first control device and the second control device are:
A time difference is provided between the first control device and the second control device in the response response waiting time of the communication that transmits survival confirmation data to the counterpart control device and waits for the response data, and waits for the response In order to execute the degenerate operation by setting the other control device with a short time to the active system to be activated preferentially and the other to the non-active system ,
A communication control unit that transmits survival confirmation data to the counterpart control device and receives a response thereof;
When the communication control unit detects that the response from the counterpart control device has not been received even if the response waiting time of the self control device has elapsed, the self control device is set as an active system, A response indicating that the state of the system of the own control device is the active system is transmitted to the counterpart control device, and the status of the system of the self control device is changed from the counterpart control device to the active system by the communication control unit. When receiving a response indicating that there is a system switching control means having a signal processing unit for setting the own control device as a non-operational system,
The signal processing unit
When the communication control unit receives a response from the counterpart control device within the response wait time of the self control device, the response wait time set in the counterpart control device included in the response, and the self control device If the response waiting time set in the counterpart control device is shorter than the response wait time of the own control device, the own control device is set as a non-operational system and set in the counterpart control device. The dual system is characterized in that the self-control device is set as an active system when the response wait time is longer than the response wait time of the self-control device . 前記系切替え制御手段は、
前記通信回線から前記第1の制御装置または前記第2の制御装置が切り離されたとき、前記第1の制御装置と第2の制御装置とを非運用系に設定して縮退運転を実行すること、
を特徴とする請求項に記載の二重系システム。 The system switching control means includes
When the first control device or the second control device is disconnected from the communication line, the first control device and the second control device are set to a non-operational system and a degenerate operation is executed. ,
The dual system according to claim 1 , wherein:
JP2006166353A 2006-06-15 2006-06-15 Dual system Expired - Fee Related JP4630234B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006166353A JP4630234B2 (en) 2006-06-15 2006-06-15 Dual system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006166353A JP4630234B2 (en) 2006-06-15 2006-06-15 Dual system

Publications (2)

Publication Number Publication Date
JP2007334663A JP2007334663A (en) 2007-12-27
JP4630234B2 true JP4630234B2 (en) 2011-02-09

Family

ID=38934081

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006166353A Expired - Fee Related JP4630234B2 (en) 2006-06-15 2006-06-15 Dual system

Country Status (1)

Country Link
JP (1) JP4630234B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010033506A (en) * 2008-07-31 2010-02-12 Nec Corp Duplication system, and active system determination method in duplication system
JP2013207385A (en) * 2012-03-27 2013-10-07 Toshiba Corp State transition processing device
CN114237722B (en) * 2021-11-19 2023-09-01 湖南三一智能控制设备有限公司 System starting method, device, equipment and engineering vehicle

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0675653A (en) * 1992-08-25 1994-03-18 Nec Corp Computer redundancy control system
JPH06175868A (en) * 1992-12-04 1994-06-24 Kawasaki Steel Corp Duplex computer fault monitoring method
WO1999026138A1 (en) * 1997-11-14 1999-05-27 Hitachi, Ltd. Method of changing over a multiplex system
JPH11175108A (en) * 1997-12-16 1999-07-02 Yokogawa Electric Corp Duplex computer device

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0675653A (en) * 1992-08-25 1994-03-18 Nec Corp Computer redundancy control system
JPH06175868A (en) * 1992-12-04 1994-06-24 Kawasaki Steel Corp Duplex computer fault monitoring method
WO1999026138A1 (en) * 1997-11-14 1999-05-27 Hitachi, Ltd. Method of changing over a multiplex system
JPH11175108A (en) * 1997-12-16 1999-07-02 Yokogawa Electric Corp Duplex computer device

Also Published As

Publication number Publication date
JP2007334663A (en) 2007-12-27

Similar Documents

Publication Publication Date Title
JP6550192B2 (en) Network device
EP2193635A1 (en) Method and apparatus for preventing network conflict
EP2395713A1 (en) Communication system, communication device, control device, control method, and program
WO2018096798A1 (en) Function extension device, information processing system, and control program of function extension device
JP4630234B2 (en) Dual system
US8407390B2 (en) Method and apparatus for data processing
JP4487260B2 (en) Multiplex system
JP2009296293A (en) Communication apparatus
EP2177999B1 (en) Terminal device
JP4492722B2 (en) Wireless communication apparatus and wireless communication system
JP5176914B2 (en) Transmission device and system switching method for redundant configuration unit
JP5152330B2 (en) Information processing apparatus and data transfer circuit operating method
JP2008287632A (en) Control device recovery system
JP4483947B2 (en) I / O controller
JP4692419B2 (en) Network device, redundant switching method used therefor, and program thereof
JP2004007930A (en) System and program for controlling power system monitoring
JP2006195589A (en) Communication control device, communication control method, program, and storage medium
KR102187083B1 (en) Apparatus and method for field bus controller redundancy
JP5763030B2 (en) Duplex network control system and duplex network control method
JP2007026038A (en) Path monitoring system, path monitoring method and path monitoring program
WO2013027298A1 (en) Communication establishing method, computer system, and computer
JPWO2013027298A1 (en) Communication establishment method, computer system, and computer
JP2010020697A (en) Redundant configuration system and switching control method thereof
JP3915313B2 (en) LAN communication system in PLC
JP2015011371A (en) Alternative control apparatus, alternative control method, and alternative control program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080514

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100219

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100629

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100826

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101109

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101112

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131119

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4630234

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees