JP4755968B2 - 二重化制御装置、及びそのメモリ部の複数ビットエラーの自動修復方法 - Google Patents

二重化制御装置、及びそのメモリ部の複数ビットエラーの自動修復方法 Download PDF

Info

Publication number
JP4755968B2
JP4755968B2 JP2006330848A JP2006330848A JP4755968B2 JP 4755968 B2 JP4755968 B2 JP 4755968B2 JP 2006330848 A JP2006330848 A JP 2006330848A JP 2006330848 A JP2006330848 A JP 2006330848A JP 4755968 B2 JP4755968 B2 JP 4755968B2
Authority
JP
Japan
Prior art keywords
controller
memory
processing unit
control
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2006330848A
Other languages
English (en)
Other versions
JP2008146239A (ja
Inventor
浩一 甲斐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2006330848A priority Critical patent/JP4755968B2/ja
Publication of JP2008146239A publication Critical patent/JP2008146239A/ja
Application granted granted Critical
Publication of JP4755968B2 publication Critical patent/JP4755968B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Hardware Redundancy (AREA)
  • Safety Devices In Control Systems (AREA)

Description

本発明は、発電・化学プラントのようなプラントの運転を稼動系のコントローラ及び待機系のコントローラの二系統で制御する二重化制御装置、及びその運転方法に係り、特に、そのコントローラのメモリに複数ビット化け(以後、複数ビットエラーと言う)が発生した時、プラントの運転を停止することなく修復を可能とする二重化制御装置、及びそのメモリ部の複数ビットエラーの自動修復方法に関する。
工場や公共施設等の各種プラントの動作を制御するコントローラには、このコントローラに何等かの異常が発生して、制御対象のプラントが停止すると重大な事故に至る恐れがある。
一般に、このような制御対象に対しては、同一構成の二組のコントローラを接続して、いずれか一方を稼動系、他方を待機系として、通常は稼動系のみで制御対象を制御し、稼動系に異常が生じたときに、待機系を稼動系用に切り替え、制御を続行するように構成される待機冗長型の二重化制御装置がある。
このような二重化制御装置においては、二組のコントローラのうち、一方が稼動状態で、かつ他方がバックアップに備えて待機状態となり、コントローラ間で互いに相手の運転状態を監視し、稼動系がダウンしたら待機系がそれを検知し、待機系を稼動系に切替えて制御を継続して実行している。
そのため、従来の二重化制御装置は、互いに相手のコントローラの状態を検知及び通知するためのステータス伝送路(バス)とそれをインタフェースするステータス伝送路(バス)入出力ポートと、コントローラがバックアップ時に制御を継続して実行するためのデータとなる実行結果情報を相手のコントローラに転送するためのデータ伝送路(バス)とそれをインタフェースするデータ伝送路(バス)インタフェースと、実行結果情報を受信及び送信するためのバッファとを備えるようにしている。
そして、自分のプロセスコントローラの実行状態を複数のフェイズに分け互いにそれをステータス伝送路(バス)を介して相手のプロセスコントローラに常時通知し、相手のプロセスコントローラのフェイズと自分のプロセスコントローラのフェイズから自分のプロセスコントローラの次に遷移すべきフェイズを決定するためのフェイズ管理テーブルとを具備し、次のバックアップ動作処理を制御するようにしている(例えば、特許文献1参照。)。
このような構成によれば、システムダウンの確率が軽減され、信頼度の高い二重化制御装置を構成することができる。
近年、コントローラにおいては、取り扱うデータの増大とともにメモリ部の容量も増大している。そのためメモリの故障が、システムの稼働率の低下につながる可能性がある。
従来メモリ部には1ビットが誤った値になった時にこれを検出して自動修復するECC対応メモリを使用し、1ビットのビット化け(エラー)については運転の継続を保証するようにしている。
しかしながら、複数ビットエラーにおいてはECCによる自動修復が不可能で、このようなメモリ部の異常が検出された場合には、コントローラの運転を停止させている。
メモ部の異常で停止した場合は、待機系に切り換えることによりプラントの停止を回避し、停止したコントローラは、電源再投入して待機系として立ち上げ再運転を試みるか、或いは、新品に交換し再立上げしているため、運転を一時停止することに伴う生産効率の低下や、二重化制御装置の再立上げ作業が必要となる問題がある。
ところで、大型サーバー等の記憶装置においては、複数ビットエラーに対して、メモリのテスト手段、エラービットの交替記憶手段、及びエラービットが検出された時に交替記憶手段から対応するビットデータを読み出して置換する置換手段を備え、複数ビットエラーは発生してもそのエラーに対して正しいデータビットを出力する記憶装置が開示されている(例えば、特許文献2参照。)。
特許第2966966号公報 特公平3−76506号公報
通常、二重化制御装置においては、コントローラの故障によるプラントの運転停止を回避するために、コントローラを稼動系と待機系とで構成する待機冗長型の二重化制御装置としている。
ところで、コントローラの異常の内、メモリの複数ビット化けは、ハード故障よりもソフトエラー或いは内部ノイズによる一過性のビットエラーが多くデータを上書きしなおせば回復する確率が非常に高い。したがって、メモリの複数ビットエラーが発生しただけで無条件にコントローラを異常停止させる必然性は無い。
しかしながら、従来の二重化制御装置においては、異常が発生したコントローラは新しいものに交換し、再度、待機系のコントローラとして再立ち上げを行うために、プラントの制御を一時中断するため、生産効率の低下や、保守作業が必要となる問題がある。
上述した特許文献2のような記憶装置の場合、複数ビットエラーに対して代替のメモリ部を用意するので記憶装置が複雑で大型になるだけでなく、一過性の複数ビットエラーの修復に対しては高価となる問題がある。
本発明は、上記問題点を解決するためになされたもので、稼動系のコントローラでメモリ部の複数ビット化けが発生した場合に、該コントローラの運転を停止させることなく継続させ、運転継続中に複数ビットエラーの修復作業を行なうことが可能な二重化制御装置、及びそのメモ部の複数ビットエラーの自動修復方法を提供することを目的とする。
上記目的を達成するために、本発明に係る二重化制御装置は、制御対象に対して二組のコントローラを備え、一方のコントローラを稼動系コントローラ、他方のコントローラを待機系コントローラとして、通常は稼動系コントローラで前記制御対象を制御し、この稼動系コントローラが故障した場合には待機系コントローラに切替えて前記制御対象を制御する待機冗長型の二重化制御装置であって、夫々の前記コントローラは、前記制御対象を制御するためのプロセス制御プログラム及び該プロセス制御プログラムの実行に使用されるプロセス制御データを記憶するメモリ部と、前記プロセス制御プログラムを実行する全体制御部と、前記制御対象と前記コントローラとの間の前記プロセス制御データの入出力データをやり取りする入出力部とから成り、前記メモリ部は、1ビットのメモリエラーを自動修復するECCメモリからなり、複数ビットが誤った値となることを検出するメモリエラー検出部を備え、前記全体制御部は、前記プロセス制御プログラム及び前記プロセス制御データを前記メモリ部から読み出して相手系に送信、または、相手系から送信された前記メモリ部のデータを受信して自系の前記メモリ部に書き込む等値化処理部と、前記制御処理部の実行周期毎に、自系が稼動系に設定されている場合は自系の前記メモリ部から前記プロセス制御データを読み出し相手系に送信し、自系が待機系に設定されている場合には、相手系から送信された前記プロセス制御データを自系の前記メモリ部に書き込むトラッキング処理部とから成るデータ伝送処理部と、自系の前記コントローラの異常の有無と自系の運転モードとから成る自系の運転状態を相手系に送信し、また、相手系のコントローラの異常の有無と相手系の運転モードとから成る相手系の運転状態を受信するステータス伝送処理部と、前記ステータス伝送処理部を介して自系の運転状態を相手系に送信し、また、自系の運転状態と前記ステータス伝送処理部を介して受信した相手系の前記運転状態とから、自系の運転モードを予め設定される運転制御手順にしたがって自系の運転モードを遷移させ、前記等値化処理部を介して自系と他系の前記メモリ部の前記プロセス制御プログラム及び前記プロセス制御データを等値化、または、前記トラッキング処理部を介して、自系と他系の前記メモリ部の前記プロセス制御データを等値化して制御運転を実行する運転制御処理部と、前記メモリエラー検出部からの複数ビットエラー及び自系内部各部の異常信号を受信し、前記運転制御処理部に通知する異常割り込み処理部と、相手系から自系の前記メモリ部に書き込まれた前記プロセス制御プログラム及び前記プロセス制御データを読み出し、該データに複数ビットエラーが無いか否かを再診断するメモリ再診断処理部とを備える異常処理部とを備え、前記運転制御処理部は、前記異常処理部から前記メモリ部の複数ビットエラーを通知された場合、相手系に前記ステータス伝送処理部を介して該複数ビットエラーの発生を送信して、相手系の運転モードを、前記制御対象を単独で運転する単独運転モードに遷移させて制御を続行させるとともに、自系を前記メモリ再診断モードに遷移させ、前記単独運転モードに遷移した前記コントローラの運転制御処理部は、前記等値化処理部を起動して相手系に自系の前記プロセス制御プログラム及び前記プロセス制御データを送信し、前記メモリ再診断モードに遷移した前記コントローラの前記運転制御処理部は、前記等値化処理部を起動して、前記単独運転モードに遷移した前記コントローラから送信された前記プロセス制御プログラム及び前記制御データを受信して自系の前記メモリ部に上書きし、さらに、前記メモリ再診断処理部を起動して、該上書きされたデータに複数ビットエラーが無いか否かを再診断し、正常に修復されたと判定された場合には自系を待機系として運転し、前記二重化制御装置の制御運転を中断することなく、前記メモリ部の異常を自動修復するようにしたことを特徴とする。
上記目的を達成するために、本発明の二重化制御装置のメモリ部の複数ビットエラーの自動修復方法は、制御対象に対して二組のコントローラを備え、一方のコントローラを稼動系コントローラ、他方のコントローラを待機系コントローラとして、通常は稼動系コントローラで前記制御対象を制御し、この稼動系コントローラが故障した場合には待機系コントローラに切替えて前記制御対象を制御する待機冗長型の二重化制御装置の夫々のコントローラに備えるメモリの複数ビットエラーの自動修復方法であって、夫々の前記コントローラは、前記制御対象を制御するためのプロセス制御プログラム及び該プロセス制御プログラムの実行に使用されるプロセス制御データを記憶するメモリ部と、前記プロセス制御プログラムを実行する全体制御部と、前記制御対象と前記コントローラとの間の入出力データをやり取りする入出力部とからなり、自系の前記メモリ部に複数ビットエラーを検出した場合、相手系に該複数ビットエラーの発生を送信して、相手系を、前記制御対象を単独で運転する単独運転モードに遷移させて制御運転を続行させるとともに、該自系の前記メモリ部の複数ビットエラーを再診断するメモリ再診断モードに遷移させるステップと、前記単独運転モードに遷移した前記コントローラは、相手系に自系の前記メモリ部の前記プロセス制御プログラム及び前記プロセス制御データを送信するステップと、前記メモリ再診断モードに遷移した前記コントローラは、前記単独運転モードに遷移した前記コントローラから送信された前記プロセス制御プログラム及び前記プロセス制御データを受信して、自系の前記メモリ部に上書きし、該メモリ部の再診断を実行し複数ビットエラーの有無を判定するステップと、前記メモリ再診断モードに遷移した前記コントローラは、前記再診断の結果正常に修復された判定された場合には、自系を待機系として設定するステップとからなり、前記二重化制御装置の制御運転を中断することなく、前記メモリ部の複数ビットエラーを自動修復するようにしたことを特徴とする。
制御対象に対して二組のコントローラを備え、一方のコントローラを稼動系コントローラ、他方のコントローラを待機系コントローラとして、通常は稼動系コントローラで前記制御対象を制御し、この稼動系コントローラが故障した場合には待機系コントローラに切替えて前記制御対象を制御する待機冗長型の二重化制御装置の夫々のコントローラに備えるメモリの複数ビットエラーの自動修復方法であって、夫々の前記コントローラは、前記制御対象を制御するためのプロセス制御プログラム及び該プロセス制御プログラムの実行に使用されるプロセス制御データを記憶するメモリ部と、前記プロセス制御プログラムを実行する全体制御部と、前記制御対象と前記コントローラとの間の入出力データをやり取りする入出力部とからなり、自系の前記メモリ部に複数ビットエラーを検出した場合、相手系に該複数ビットエラーの発生を送信して、相手系を、前記制御対象を単独で運転する単独運転モードに遷移させて制御運転を続行させるとともに、該自系の前記メモリ部の複数ビットエラーを再診断するメモリ再診断モードに遷移させるステップと、前記単独運転モードに遷移した前記コントローラは、相手系に自系の前記メモリ部の前記プロセス制御プログラム及び前記プロセス制御データを送信するステップと、前記メモリ再診断モードに遷移した前記コントローラは、前記単独モードに遷移した前記コントローラから送信された前記プロセス制御プログラム及び前記プロセス制御データを受信して、自系の前記メモリ部に上書きし、該メモリ部の再診断を実行し複数ビットエラーの有無を判定するステップと、前記メモリ再診断モードに遷移した前記コントローラは、前記再診断の結果正常に修復された判定された場合には、自系を待機系として設定(運転)するステップとからなり、前記二重化制御装置の制御運転を中断することなく、前記メモリ部の複数ビットエラーを自動修復するようにしたことを特徴とする。
自系のメモリで複数ビットエラーが検出された場合、相手系を単独で運転する単独運転モードに遷移させ、単独運転に切替えられたコントローラのメモリのプロセス制御プログラム及びプロセス制御データを自系の同じメモリに送信して上書きし、該メモリの複数ビットエラーが正常に修復されたことを診断して、待機系に遷移させて待機冗長型の二重化制御装置として修復するようにしたので、運転を停止することなく、複数ビットエラーに対して複雑なメモリが不要で自動修復が可能な二重化制御装置、及びそのメモリの複数ビットエラーの自動修復方法を提供することが出来る。
以下、図面を参照して、本発明による二重化制御装置について、図1乃至図16を参照して説明する。図1は、待機冗長型の二重化制御装置の構成図である。
本発明の二重化制御装置は、二組のコントローラ1a及びコントローラ1bと、これらのコントローラ1a、1bとバス5aとで接続され、制御対象6との間で入出力信号をやり取りする入出力装置5とからなる。
コントローラ1aは、制御対象6を制御するためのプロセス制御プログラム及びこのプロセス制御プログラムで使用するプロセス制御データを記憶するメモリ部2、入出力装置5との間で入出力データをやり取りする入出力部3、及びこのコントローラ全体を制御する全体制御部4で構成される。
尚、プロセス制御データは、通常、入出力部3との間でやり取りされる入力データ、入力データからプロセス制御プログラムを実行途中に一次記憶する演算データ、演算結果を入出力部3に出力する出力データ、及び予め設定されるプロセス制御プログラムで使用される制御パラメータなどの設定データとから成る。
そして、全体制御部4は、運転制御処理部4aと、異常処理部4bと、ステータス伝送処理部4cと、データ伝送処理部4dとからなり、これらがバス10で接続される。
また、ステータス伝送処理部4cは、相手のステータス伝送処理部4cとステータス伝送路(バス)4eで接続され、データ伝送処理部4cは、相手のデータ伝送処理部4cとデータ伝送路(バス)4fで接続される。
ここで、コントローラ1aの各部とコントローラ1bの各部の同一部分は同じ符号で示し、コントローラ1bの各部の説明を省略する。
このように構成された、二重化制御装置の動作の概要について説明する。例えば、稼動系のコントローラ1aと待機系のコントローラ1bとで二重化を構成し、コントローラ1aとコントローラ2a間をステータス伝送処理部4cとデータ伝送処理部4dとで接続し、ステータス伝送処理部4cを介して、自系の異常の有無と運転モードとを運転状態としてやりとりすることにより相手の運転状態を把握している。
また、データ伝送処理部4dを介して稼動系のコントローラ1aのプロセス制御データを周期的に待機系のコントローラ1bに転送し、常に、稼動系のコントローラ1aと待機系のコントローラ1bの演算データを等値化して置き、稼動系のコントローラ1aが異常停止した場合に、待機のコントローラ1bに運転モードを遷移させ、等値化しておいた演算データをもとに制御対象を継続して運転するように構成する。
そしてこのように構成された、二重化制御装置のコントローラ1aの制御全体を統括制御する全体制御部4の動作の概略を説明する。
全体制御部4の運転制御処理部4aは、コントローラ1aの全体の動作を制御するもので、ステータス伝送処理部4cとステータス伝送処理部4cを介して自コントローラ1aの運転状態を相手系のステータス伝送処理部4aに伝送し、相手系の全体制御部1bのステータス伝送処理部4aから該コントローラ1bの運転状態を受け取る。
また、運転制御処理部4aは、データ伝送処理部4dを介して、自系のメモリ部2に記録されている演算データを、相手系のデータ伝送処理部4dに伝送し、相手系の運転制御処理部4aは、該データ伝送処理部4dを介して受信した該演算データを自系のメモリ部2に書き込む。
また、稼動系のコントローラ1aの全体制御部4は、メモリ部2に記憶している入出力装置5からの入力データを基にプラント制御用プログラムを実行し、演算した結果をメモリ部2に記録するとともに、入出力部3を介して外部の入出力装置5から出力データを出力する。
また、プラント制御用プログラムの実行に使用される予め設定される設定データを、図示しない外部装置からバス10を介して受信し、メモリ部2に書き込む。
次ぎに、図2を参照して、全体制御部4の各処理部の詳細構成について説明する。
運転制御処理部4aは、図示しないローカルメモリを備え、該ローカルメモリには、運転スケジュールテーブル4a11、運転モードと実行処理の対応テーブル4a12、運転モードを記憶する運転モードフラグ4a13とコントローラ1a内の異常の有無を記録する異常フラグ4a14とを備える図示しない演算CPUからなる演算制御処理部4a1と、電源投入直後にコントローラ4を構成する各部の初期化を行う初期化処理部4a2と、稼動系での運転処理を行うオンライン運転処理部4a3と、待機系の運転処理を行い、待機状態を保持するスタンバイ運転処理部4a4と、片系が停止している場合に、もう片方の系のみでプラントの制御を継続する単独運転処理部4a5と、エラー発生時のコントローラ4の停止を行なうエラー停止処理部4a6とからなる。
これらの各処理部は、予め設定される運転スケジュールテーブル4a11から決定される運転モードに従って、運転モードと実行処理の対応テーブル4a12を参照して、演算制御処理部4a1が詳細を後述する各実行処理部を選択して実行させる。
次ぎに、異常処理部4bは、コントローラ1a、メモリ部2及び入出力部3からの異常割り込み、例えば、メモリ部2で検出された複数ビットエラーならばメモリ異常を、入出力部3で検出された異常ならば入出力異常バス10を介して検出し、夫々の異常割り込みの要因を判定して異常フラグ4a14に書き込む異常割り込み処理部4b1と、演算制御処理部4a1から起動されメモリ部2で検出された複数ビットエラーを再診断するメモリ再診断処理部4b2とからなる。
次ぎに、データ伝送処理部4dの詳細構成について説明する。データ伝送処理部4dは、稼動系と待機系の夫々のメモリ部2のプロセス制御プログラム及びプロセス制御データの等値化を行う場合の稼動系の処理を実行するイコライズ送信処理部4d11と、稼動系と待機系の等値化を行う場合の稼動系の送信処理に対応して待機系側の処理を実行するイコライズ受信処理部4d12とからなる等値化処理部4d1から成る。
さらに、稼動系のメモリ部2のプロセス制御データの内容と待機系のメモ部2のプロセス制御データの内容とを等値化するための稼動系の処理を実行するトラッキング送信処理部4d21と、稼動系のメモリ部2のプロセス制御データとデータメモリの内容と待機系のメモリ部2のプロセス制御データとを等値化するための待機系の処理を実行するトラッキング受信処理部4d22とからなるデータ送信処理部4d22とから成る。
次ぎに、メモリ部2の詳細構成について説明する。メモリ部2は、コントローラ1aが制御対象を制御するためのプロセス制御プログラムを記憶するプログラムメモリ2a1と、プロセス制御プログラムの実行に使用されるプロセス制御データを記憶するデータメモリ2a2とからなる。
さらに、これらのプログラムメモリ2a1及びデータメモリ2a2の複数ビットエラーを検出するメモリエラー検出部2bを備える。この複数ビットエラーの検出は、1ビットエラーを除く2ビット以上の複数ビットエラーが検出されるものであれば良く、エラーの発生箇所を特定するものである必要はない。
尚、プログラムメモリ2a1及びデータメモリ2a2は、1ビットエラー時に訂正することができるECCメモリで構成され、夫々のデータは所定の複数ビットエラーの訂正用データを対応させる。
このように構成されたコントローラ1aの運転モードと各処理部の実行を対応付ける運転モードと実行処理対応テーブルについて図3を参照して説明する。
図3の列左欄は運転モードで、演算制御処理部4a1で設定するコントローラ1aの運転状態をし、列右覧は、これらの9種類の運転モードに対応する各実行処理部を示す。
演算制御処理部4a1は、これらの各実行処理部を起動し、コントローラ1aの運転状態を運転モードフラグ4a13にセットする。これらの運転モードは、図4に示す運転スケジュールテーブル4a11に従って運転制御処理部4a1で実行処理される。
先ず、運転モードとその遷移動作について説明し、対応する各実行処理部の動作については、フローチャートで後述する。運転モードは、図3の列左覧に示すように、初期化モード「INZ」、イコライズ送信モード「EQL-SND」、単独運転中イコライズ送信モード「EQL-SND-RUN」、イコライズ受信モード「EQL-RCV」、オンライン運転モード「ONLINE」、スタンバイ運転モード「STANDBY」、単独運転モード「ODD」、エラー停止モード「ERROR」、及びメモリエラー再診断モード「MEM-DAG」の9種類のモードから構成される。
夫々の9種類の運転モードに対応して実行される各実行処理部は、夫々列右覧に示すように、初期化処理部4a2、イコライズ送信処理部4d11、イコライズ送信処理部4d11と単独運転処理部4a5、イコライズ受信処理部4d12、オンライン運転処理部4a3とトラッキング送信処理部4d21、スタンバイ運転処理部4a4とトラッキング受信処理部4d22、単独運転処理部4a5、エラー停止処理部4a6、及びイコライズ受信処理部4d12とメモリ再診断処理部4b2である。
次ぎに、図4を参照して、この運転モードの遷移を設定する図4に示す運転スケジュールテーブル4a11について説明する。この運転スケジュールテーブル4a11は、列左覧に示す「現在の運転モード」と、行最上部覧に示す次ぎに遷移する「次の運転モード」とが、このテーブルの行列覧が交わる欄に記載される遷移条件で関係付けられる。
例えば、今、一方のコントローラが1aスタンバイ運転モード「STANDBY」(待機系)であれば、該当の行覧に示されている条件をこの行覧の最右列から最左列を順番にサーチする。ここで、もし、この覧に記載される、例えば、相手系(稼動系)がエラー停止状態となった場合、運転モードは、対応する列覧に示す単独運転モード「ODD-RUN」に遷移し、単独運転「ODD-RUN」を実行することを示す。
このような予め設定される運転モードの遷移条件を示す運転スケジュールテーブル4a11にしたがって、二重化制御装置でのこの運転モードの遷移の様子を図5に示す。
例えば、稼動系のコントローラ1aでは、電源投入(s1)した後、初期化モード「INZ」(s2)からイコライズ送信モード「EQL-SND」(s3)を経て、オンライン運転モード「ONLINE」(s4)に遷移してから稼動系としての運転に入る。
また、待機系では、電源投入(s1)した後、初期化モード「INZ」(s2)からイコライズ受信モード「EQL-RCV」(s5)を経て、スタンバイ運転モード「STANDBY」(s6)に遷移させる。
ここで、例えば、稼動系のオンライン運転モード「ONLINE」(s4)中のコントローラ1aで複数ビットエラー等の異常が検出されたら、破線矢印に示すように、メモリ再診断モード「MEM-DAG」(s7)に遷移し、待機系のスタンバイ運転モード「STANDBY」(s6)中のコントローラ1bに異常が検出された場合には、自系は単独運転「ODD-RUN」(s8)に遷移し、イコライジング送信モード「EQL-SND-RUN」(s9)を経て、相手系が正常に復帰したら、再び、オンライン運転モード「ONLINE」(s4)に戻る。
各運転モードにおいて、異常が発生したら破線矢印視示すように、エラー停止モード「ERROR」(s10)遷移する。
次ぎに、全体制御部4の各実行処理部の詳細動作について、図6乃至図13のフローチャートを参照して説明する。先ず、図6を参照して初期化処理部4a2の動作について説明する。
初期化処理部4a2は、コントローラ1aの電源投入直後にコントローラ1aの初期化を行うもので、全体制御部4を構成する各部の初期化(s11)、入出力部3の初期化を実行する(s12)。
次ぎに、図7を参照して、エラー停止処理部4a6の動作を説明する。コントローラ1aを構成する各部の異常が、バス10及び異常割り込み処理部41bを介して演算制御装置4a1で検知されると、演算制御装置4a1は、コントローラ1aの停止をエラー停止処理部4a6に通知する。この時、エラー停止処理部4a6は、図示しないコントローラ1aの表示部に通知された異常の情報を表示する(s15)。
次ぎに、図8を参照して、等値化処理部4d1の動作を説明する。図8(a)は、自系と相手系のプログラムメモリ2a1及びデータメモリ2a2に記憶されるデータの等値化を行う場合のイコライズ送信処理部4d11の動作フローで、自系のデータメモリ2a2からプロセス制御データを読み出し、相手系のデータメモリ2a2にデータを書き込む(s21)。
また、自系のプログラムメモリ2a1からプラント制御プログラムを読み出し、読み出したプラント制御プログラムを相手系のプログラムメモリ2a1に書き込む(s22)。これらの送信処理ステップ(s21)と(s22)とは、どちらが先に処理されても良い。
また、図8(b)は、イコライズ受信処理部4d12の動作フローで、相手系から伝送されてきたプロセス制御データを受信し、自系のデータメモリ2a2にデータを書き込む(s23)。
また、相手系から伝送されてきたプラント制御プログラムを受信し、自系のプログラムメモリ2a1書き込む(s24)。これらの、受信処理ステップ(s23)と(s24)はどちらが先に処理されても良い。
次ぎに、図9を参照してオンライン運転処理部4a3の動作を説明する。オンライン運転処理部4a3は稼動系に設定されたコントローラ1a(またはコントローラ1b)の運転処理を行うもので、プラントの制御を実行する。
先ず、入出力部3を介して入出力装置5からの入力データをデータメモリ2a2の入力データエリアに記憶する(s31)。
次に、プログラムメモリ2a1のプラント制御用プログラムを読み出し、入力データエリアに記憶した入力データ及び設定データエリアに予め記憶された設定データを基に演算し、演算結果を出力データとしてデータメモリ2a2の出力データエリアに出力データとして記憶する。また、出力データを除く演算に用いた途中のデータ等は、データメモリ2a2の演算データエリアの演算データとして記憶する(s32)。
次に、入出力部3を介して、データメモリ2a2の出力データエリアの出力データを入出力装置に出力する(s33)。そして、トラッキング送信処理部4d21を起動する(s34)。
次ぎに、トラッキング送信処理部4d21は、稼動系のデータメモリ2a2のプロセス制御データと待機系のデータメモリのプロセス制御デーとを等値化するための稼動系の処理である。
先ず、データメモリ2a2のプロセス制御データを読み出す(s35)。次に、読み出したこれらのプロセス制御データを相手系に伝送する(s36)。
次ぎに図10を参照して、スタンバイ運転処理部4a4の動作について説明する。スタンバイ運転処理部4a4は、待機系に設定されたコントローラ1の運転処理を行うもので、稼動系に遷移が可能な待機状態を保持する。
従って、演算制御処理部4a1から待機冗長型の二重化系に切りえの指令が出力された時に制御を継続実行できるように、稼動系のデータメモリ2a2のプロセス制御データと待機系のデータメモリ2a2のプロセス制御データの等値化を行うトラッキング受信処理部4d22を起動する。
トラッキング受信処理部4d22は、稼動系のデータメモリ2a2のプロセス制御データと待機系のデータメモ2a2のプロセス制御データとを等値化するための待機系の処理である。
先ず、相手系のトラッキング送信処理部4d21を介してプロセス制御データを受信する(s41a)。次に、受信したデータを自系のデータメモリ2a2の入力データエリア、演算データエリア、出力データエリア及び設定データエリアに夫々記憶する。
次ぎに、図11を参照して、単独運転処理部4a5の動作を説明する。単独運転処理部4a5は、一方の系が停止している場合に、他方の系のみでプラント制御を継続するための処理である。
先ず、入出力部3を介して入出力装置5からの入力データを、データメモリ2a2の入力データエリアに格納する(s45)。次に、プログラムメモリ2a1に記憶されているプラント制御用プログラム及び設定データエリアに予め記憶されている設定データを読み出し、演算を実行する。
そして、入力データを基づく演算結果は、出力データとしてデータメモリ2a2の出力データエリアに出力データとして記憶する。また、出力データを除く演算に用いた途中のデータ等は、データメモリ2a2の演算データエリアの演算データとして記憶する(s46)。
次に、データメモリ2a2の出力データエリアの出力データを入出力部3を介して入出力装置5に出力する(s47)。
次ぎに、図12を参照して、異常割込み処理部4b1の動作について説明する。異常割込み処理部4b1は、バス10を介してコントローラ1aを構成する各実行処理部から送信される異常割込みを検出し、その異常内容を異常フラグ4a14に書き込む。そして、異常割り込みから発生した割込み要因を判定する。
例えば、メモリエラー検出部2bから複数ビットエラーによる異常割込み8s51)ならばメモリ異常を異常フラグ4a14にセットし(s52)、入出力部3からの割り込み異常(s53)ならば入出力異常を異常フラグ4a14にセットする(s54)。
次ぎに、図13を参照して、メモリ再診断処理部4b2の動作について説明する。メモリ再診断処理部4b2は、プログラムメモリ4a1及びデータメモリ4a2に一過性の複数ビットエラーが発生した場合のメモリエラーの自動修復を実行するものである。
メモリ再診断処理部4b2は、データメモリ4a2を読み出し(s55)、修復不能なメモリがあるか否かを判定し(s56)、修復不能なメモリがあれば異常割り込み処理部4b1を介してメモリ異常を異常フラグ4a14にセットする。異常がなければセットしない(s57)。
次に、プログラムメモリ4a1を読み出し(s58)、修復不能なメモリがあるか否かを判定し(s59)、修復不能なメモリがあれば異常割り込み処理部4b1を介してメモリ異常を異常フラグ4a14にセットする。異常がなければセットしない(s60)。
このメモリ再診断処理部4b2の動作について、再び、図3及び図4を参照して、運転モードとの対応付けについて説明する。
図4の運転スケジュールテーブルに示すように、行覧の「現在の運転モード」がオンライン運転モード「ONLINE」の時に、メモリ部2に複数ビットエラー(メモリ異常)が検出されると、演算制御処理部4a1は、上部最終列の「次の運転モード」に示すメモリ再診断モード「MEM-DAG」に遷移する。
メモリ再診断モードが選択されると図3実行処理対応テーブに示すようにイコライズ受信処理部4d1とメモリ再診断処理部4b2が実行される。
そして、図4に示すように、メモリ再診断モード「MEM-DAG」の時に、メモリ再診断の結果が正常完了ならば、スタンバイ運転モード「STANDBY」に遷移し、メモリ再診断の結果が異常完了ならば、エラー停止モード「ERROR」に遷移する。
また、現在の「運転モード」がスタンバイ運転モード「STANDBY」の時に、相手がメモリ再診断モード「MEM-DAG」に立ち上がったら、単独運転モード「ODD-RUN」に遷移する。
次ぎに、現在の「運転モード」が単独運転モード「ODD-RUN」の時に、相手系がメモリ再診断モード「MEM-DAG」に立ち上がったら、イコライズ送信モード「EQL-SND」に遷移することができる。
このように構成された二重化制御装置の全体制御部4の全体の動作について図14を参照して説明する。
図14は、全体制御部の動作をフローチャートで示したものである。最初にコントーラ1aの電源を投入すると自系の運転モードフラグ4a13に運転モードの初期値として電源投入モード「PWON」をセットする(s61)。
更に、ステータス伝送処理部4cを介して自系の運転モードを相手系コントローラ1bに通知する(s62)。
そして、次の処理からは、「現在の運転モード」とその遷移条件から「次の運転モード」を割り出し、運転モードに従った実行処理を逐次実行する。次にその詳細の動作を説明する。
先ず、「現在の運転モード」を自系の運転モードフラグ4a13から読み出す(s63)。次に、ステータス伝送処理部4cを介して、相手系コントローラ1bの「現在の運転モード」を読み出し、相手系の運転モードを自系の運転モードフラグ4a13に保存する(s64)。
次に、自系の運転モードフラグ4a13から運転モードを読み出し、そして相手系の運転モードフラグ4a13から相手系の運転モードを読み出し、さらに、異常フラグ4a14から異常の情報を読み出し、図4に示す運転スケジュールテーブル4a11の「現在の運転モード」の行欄に示す遷移条件サーチする(s66)。
そして遷移条件が成立しているか否かを判定し、条件が成立していなければ、次の遷移条件を更に調べ(s65乃至s69)、全ての条件が成立していなければ現在の運転モードを選択維持する(s70)。遷移条件が成立したらその列の「次の運転モード」を選択し「現在の運転モード」とする(71))。
次に、運転モードが確定したら自系の運転モードフラグ4a13に保存する(s72)。そして、自系の運転モードを、ステータス伝送処理部4cを介して相手系に通知する(s73)。
次に、図3に示す運転モードと実行処理対応テーブル4a12に従って、運転モードに対応する実行処理を割り出し実行する、実行が終了したら、自系の運転モードを自系の運転モードフラグ4a13から読み出す処理を繰り返し実行する(s74)。
次ぎに、図15を参照して、本発明による全体動作フローと運転モード遷移図を用いて、稼動系に複数ビットエラー発生したときの稼動系と待機系の動作を詳細に説明する。
例えば、コントローラ1aとコントローラ1bとで二重化制御装置を構成し、且つ、コントローラ1aを稼動系、コントローラ1bを待機系に設定する。
そこで、先ず、コントローラ1a、コントローラ1bの順に電源を投入し、動作開始すると、コントローラ1aは初期化モード「INZ」(s81)に立ち上がる。及び、コントローラ1bも同じく初期化モード「INZ」(s81a)に立ち上がる。
次に、先に電源投入した稼動系のコントローラ1aは、イコライズ送信モード「EQL-SND」に遷移する(s82)。他方、待機系のコントローラ1bは、イコライズ受信モード「EQL-RCV」に遷移する(s82a)。
この運転モードでは、稼動系のコントローラ1aのイコライズ送信処理部4d1と待機系のコントローラ1bのイコライズ受信処理部4d2の作用で、稼動系のコントローラ1aのデータメモリ2a2のプロセス制御データとプログラムメモリ2a1のプロセス制御プログラムとが待機系のコントローラ1bへ転送され、待機系のコントローラ1bのデータメモリ2a2とプログラムメモリ2a1に夫々対応するデータが書き込まれる。
即ち、稼動系のコントローラ1aと待機系のコントローラ1bのプロセス制御データ及びプロセス制御プログラムの等値化が行われる。
次に、稼動系のコントローラ1aは、前記のデータの等値化が終了すると、オンライン運転モード「ONLINE」に遷移、オンライン運転処理部4a3の作用でプラント制御プログラムが実行され、稼動系としてプラント制御の運転を実行する(s83a)。
他方、待機系のコントローラ1bは、前記のデータの等値化が終了すると、スタンバイ運転モード「STANDBY」に遷移し、スタンバイ運転処理部の作用で待機系の状態を維持する。
また、この運転モードでは、稼動系のコントローラ1aのトラッキング送信処理部4d21と待機系のコントローラ1bのトラッキング受信部4d22との作用で、稼動系のコントローラ1aのデータメモリ2a2のプロセス制御データが、待機系のコントローラ1bのデータメモリ2a2に転送され書き込まれる(s83b)。
これにより、データの等値化が周期的に行われ、万が一稼動系のコントローラ1aが異常停止しても、待機系のコントローラ1bに切り替えてもプラント制御の運転が継続して行うことができる待機冗長型二重化運転状態となる。
次に、稼動系のコントローラ1aがオンライン運転モード「ONLINE」中にメモリ異常が発生し、且つ、このメモリ異常が複数ビットエラーである場合はメモリ再診断モード「MEM-DAG」に遷移し、診断状態に入る(s84)。
他方、待機系のコントローラ1bは、稼動系のコントローラ1aがメモリ再診断モード「MEM-DAG」に遷移(s84)したことにより、スタンバイ運転モード「STANDBY」から単独運転モード「ODD-RUN」に遷移し(s86a)、待機中に等値化された自系のプロセス制御データを使用してプラントの単独運転開始し、制御運転を継続して実行する。
即ち、コントローラ1bが待機系から稼動系に切り換ったことになる。この状態を単独運転状態と称する。
更に、稼動系に遷移したコントローラ1bは、単独運転モード「ODD-RUN」中に、相手がメモリ再診断モード「MEM-DAG」に遷移すると、自系は単独運転中イコライズ送信モード「EQL-SND-RUN」に遷移する。
この状態になると、稼動系のコントローラ1bの、単独運転中イコライズ送信モード「EQL-SND-RUN」に対応するイコライズ送信処理部4d11と、診断状態のコントローラ1aのメモリ再診断モード「MEM-DAG」に対応するイコライズ受信処理部4d12の作用により、稼動系に遷移したコントローラ1bのデータメモリ2a2のプロセス制御データとプログラムメモリ2a1のプロセス制御プログラムとがコントローラ1aに転送され、診断状態のコントローラ1aの同じデータメモリ2a2とプログラムメモリ2a1に夫々データが上書きされる(s86b)。
次に、診断状態のコントローラ1aのメモリ再診断モード「MEM-DAG」に対応するメモリ再診断処理部4b2により、データメモリ2a2とプログラムメモリ2a1の複数ビットエラーの診断が開始される。
そして、稼動系のコントローラ1bの単独運転中イコライズ送信モード「EQL-SND-RUN」に対応する単独運転処理部4a5により、プラント制御プログラムが実行され稼動系としてプラント制御の運転を実行する。
次に、診断状態のコントローラ1aは、メモリ再診断処理部4b2の結果が正常完了であれば、自系をスタンバイ運転モード「STANDBY」に遷移させ、待機状態に入る(s85)。
そして、単独運転中イコライズ送信モード「EQL-SND-RUN」中の稼動系のコントローラ1bは、相手が、スタンバイ運転モード「STANDBY」に遷移したら、自系をオンライン運転モード「ONLINE」に遷移させ、オンライン運転処理4a3の作用でプラント制御の運転を実行継続する(s87)。
次ぎに、図16を参照して複数ビットエラーが待機系で発生した時の動作を説明する。図16に示す動作フローチャートの各動作について図15と同じ部分は同一の符号を記し、その説明を省略する。
図16が図15と異なる点は、図15では、稼動系のコントローラ1aがオンライン運転モード「ONLINE」中に複数ビットエラーが発生し、この場合のメモリの自動修復動作を説明する図であったが、図16は、待機系のスタンバイ運転モード「STANDBY」状態にあるコントローラ1bに複数ビットエラーが発生した場合のメモリの自動修復動作を説明する点が異なる。
メモリ異常が発生した待機系のコントローラ1bは自系をメモリ診断モードに遷移させ、稼動系のコントローラ1aは、オンライン運転モード「ONLINE」から、単独運転モード「ODD-RUN」に遷移させる(s86)。
そして、稼動系のコントローラ1aは、単独運転処理部4a5の作用により制御運転を継続する。稼動系のコントローラ1aは、単独運転モード「ODD-RUN」中に、相手系がメモリ再診断モード「MEM-DAG」に遷移すると、単独運転中イコライジング送信モード「EQL-SND-RUN」に遷移する(s86d)。
この状態になると、稼動系のコントローラ1aの単独運転中イコライズ送信モード「EQL-SND-RUN」に対応するイコライズ送信処理部4d11と、診断状態のコントローラ1bのメモリ再診断モード「MEM-DAG」に対応するイコライズ受信処理部4d12の作用により、稼動系のコントローラ1aのデータメモリ2a2のプロセス制御データとプログラムメモリ2a1のプロセス制御プログラムとがコントローラ1bに転送され、診断状態のコントローラ1bの同じデータメモリ2a2とプログラムメモリ2a1に夫々データが上書きされる(s86b)。
次に、診断状態のコントローラ1bのメモリ再診断モード「MEM-DAG」に対応するメモリ再診断処理部4b2により、データメモリ2a2とプログラムメモリ2a1の複数ビットエラーの診断が開始される。
そして、稼動系のコントローラ1aの単独運転中イコライズ送信モード「EQL-SND-RUN」に対応する単独運転処理部4a5により、プラント制御プログラムが実行され稼動系としてプラント制御の運転を実行する(s87)。
次に、診断状態のコントローラ1bは、メモリ再診断処理部4b2の結果が正常完了であれば、自系をスタンバイ運転モード「STANDBY」に遷移させ、待機状態に入る(s85)。
そして、単独運転中イコライズ送信モード「EQL-SND-RUN」中の稼動系のコントローラ1aは、相手が、スタンバイ運転モード「STANDBY」に遷移したら、自系をオンライン運転モード「ONLINE」に遷移させ、オンライン運転処理4a3の作用でプラント制御の運転を実行継続する(s87)。
即ち、稼動系のコントローラ1aと診断状態のコントローラ1bのメモリの複数ビットエラーが運転を中止することなく自動修復される。
以上説明したように、本発明によればメモリに一過性の複数ビットエラーが発生しても、該エラーを起こしたコントローラのメモリに対して、メモリに異常が発生していない相手系のコントローラのメモリのプロセス制御プログラム及びプロセス制御データを転送して上書きし、相手系で制御運転を継続したままメモリの複数ビットエラーを自動修復することが出来る。
本発明は、上述した実施例に何ら限定されるものではなく、メモリの複数ビットエラーを検出する手段と、エラーを発生したメモリに稼動中のコントローラのメモリのデータを上書きする転送手段と、上書きされたメモリの複数ビットエラーの有無を再診断するメモリ再診断処理手段と、メモリの診断中にも2台のいずれかのコントローラで制御継続させる運転制御処理手段とを備えているものであれば良く、本発明の主旨を逸脱しない範囲で種々変形して実施することが可能である。
本発明の二重化制御装置の構成図。 本発明の二重化制御装置の全体制御部の構成図。 本発明の運転制御処理部で設定される運転モードと各処理部の動作の対応を示す運転モードと実行処理対応テーブル。 本発明の運転制御処理部で実行処理される運転モードの遷移を設定する運転スケジュールテーブル。 本発明の運転制御処理部の運転モードの遷移動作の例を説明する運転モード状態遷移図。 本発明の初期化処理部の動作を説明するフローチャート。 本発明のエラー停止処理の動作を説明するフローチャート。 本発明のイコライズ送信処理部及びイコライズ受信処理部の動作を説明するフローチャート。 本発明のオンライン運転処理部、及びトラッキング送信処理部の動作を説明するフローチャート。 本発明のスタンバイ運転処理部、及びトラッキング受信処理部の動作を説明するフローチャート。 本発明の単独運転処理部の動作を説明するフローチャート。 本発明の異常割り込み処理部の動作を説明するフローチャート。 本発明のメモリ再診断処理部の動作を説明するフローチャート。 本発明の全体制御部の動作を説明するフローチャート。 本発明の運転制御処理部の稼動系で複数ビットエラーが検出された時の動作を説明する遷移図。 本発明の運転制御処理部の待機系で複数ビットエラーが検出された時の動作を説明する遷移図。
符号の説明
1(1a、1b) コントローラ
2 メモリ部
2a1 プログラムメモリ
2a2 データメモリ
2b メモリエラー検出部
3 入出力部
4 全体制御部
4a 運転制御部
4b 異常処理部
4c ステータス伝送処理部
4d データ伝送処理部
4e ステータス伝送路
4f データ伝送路
5 入出力装置
5a 入出力バス
6 制御対象
10 バス
4a1 演算制御処理部
4a11 運転スケジュールテーブル
4a12 運転モードと実行処理対応テーブル
4a13 運転モードフラグ
4a14 異常フラグ
4a2 初期化処理部
4a3 オンライン運転処理部
4a4 スタンバイ運転処理部
4a5 単独運転処理部
4a6 エラー停止処理部
4b1 異常割り込み処理部
4b2 メモリ再診断処理部
4d1 等値化処理部
4d11 イコライジング送信処理部
4d12 イコライジング受信処理部
4d2 トラッキング処理部
4d21 トラッキング送信処理部
4d22 トラッキング受信処理部

Claims (2)

  1. 制御対象に対して二組のコントローラを備え、一方のコントローラを稼動系コントローラ、他方のコントローラを待機系コントローラとして、通常は稼動系コントローラで前記制御対象を制御し、この稼動系コントローラが故障した場合には待機系コントローラに切替えて前記制御対象を制御する待機冗長型の二重化制御装置であって、
    夫々の前記コントローラは、前記制御対象を制御するためのプロセス制御プログラム及び該プロセス制御プログラムの実行に使用されるプロセス制御データを記憶するメモリ部と、前記プロセス制御プログラムを実行する全体制御部と、前記制御対象と前記コントローラとの間の前記プロセス制御データの入出力データをやり取りする入出力部とから成り、
    前記メモリ部は、1ビットのメモリエラーを自動修復するECCメモリからなり、複数ビットが誤った値となることを検出するメモリエラー検出部を備え、
    前記全体制御部は、前記プロセス制御プログラム及び前記プロセス制御データを前記メモリ部から読み出して相手系に送信、または、相手系から送信された前記メモリ部のデータを受信して自系の前記メモリ部に書き込む等値化処理部と、前記制御処理部の実行周期毎に、自系が稼動系に設定されている場合は自系の前記メモリ部から前記プロセス制御データを読み出し相手系に送信し、自系が待機系に設定されている場合には、相手系から送信された前記プロセス制御データを自系の前記メモリ部に書き込むトラッキング処理部とから成るデータ伝送処理部と、
    自系の前記コントローラの異常の有無と自系の運転モードとから成る自系の運転状態を相手系に送信し、また、相手系のコントローラの異常の有無と相手系の運転モードとから成る相手系の運転状態を受信するステータス伝送処理部と、
    前記ステータス伝送処理部を介して自系の運転状態を相手系に送信し、また、自系の運転状態と前記ステータス伝送処理部を介して受信した相手系の前記運転状態とから、自系の運転モードを予め設定される運転制御手順にしたがって自系の運転モードを遷移させ、前記等値化処理部を介して自系と他系の前記メモリ部の前記プロセス制御プログラム及び前記プロセス制御データを等値化、または、前記トラッキング処理部を介して、自系と他系の前記メモリ部の前記プロセス制御データを等値化して制御運転を実行する運転制御処理部と、
    前記メモリエラー検出部からの複数ビットエラー及び自系内部各部の異常信号を受信し、前記運転制御処理部に通知する異常割り込み処理部と、相手系から自系の前記メモリ部に書き込まれた前記プロセス制御プログラム及び前記プロセス制御データを読み出し、該データに複数ビットエラーが無いか否かを再診断するメモリ再診断処理部とを備える異常処理部と
    を備え、
    前記運転制御処理部は、前記異常処理部から前記メモリ部の複数ビットエラーを通知された場合、相手系に前記ステータス伝送処理部を介して該複数ビットエラーの発生を送信して、相手系の運転モードを、前記制御対象を単独で運転する単独運転モードに遷移させて制御を続行させるとともに、自系を前記メモリ再診断モードに遷移させ、
    前記単独運転モードに遷移した前記コントローラの運転制御処理部は、前記等値化処理部を起動して相手系に自系の前記プロセス制御プログラム及び前記プロセス制御データを送信し、
    前記メモリ再診断モードに遷移した前記コントローラの前記運転制御処理部は、前記等値化処理部を起動して、前記単独運転モードに遷移した前記コントローラから送信された前記プロセス制御プログラム及び前記制御データを受信して自系の前記メモリ部に上書きし、さらに、前記メモリ再診断処理部を起動して、該上書きされたデータに複数ビットエラーが無いか否かを再診断し、正常に修復されたと判定された場合には自系を待機系として運転し、
    前記二重化制御装置の制御運転を中断することなく、前記メモリ部の異常を自動修復するようにしたことを特徴とする二重化制御装置。
  2. 制御対象に対して二組のコントローラを備え、一方のコントローラを稼動系コントローラ、他方のコントローラを待機系コントローラとして、通常は稼動系コントローラで前記制御対象を制御し、この稼動系コントローラが故障した場合には待機系コントローラに切替えて前記制御対象を制御する待機冗長型の二重化制御装置の夫々のコントローラに備えるメモリの複数ビットエラーの自動修復方法であって、
    夫々の前記コントローラは、前記制御対象を制御するためのプロセス制御プログラム及び該プロセス制御プログラムの実行に使用されるプロセス制御データを記憶するメモリ部と、前記プロセス制御プログラムを実行する全体制御部と、前記制御対象と前記コントローラとの間の入出力データをやり取りする入出力部とからなり、
    自系の前記メモリ部に複数ビットエラーを検出した場合、相手系に該複数ビットエラーの発生を送信して、相手系を、前記制御対象を単独で運転する単独運転モードに遷移させて制御運転を続行させるとともに、該自系の前記メモリ部の複数ビットエラーを再診断するメモリ再診断モードに遷移させるステップと、
    前記単独運転モードに遷移した前記コントローラは、相手系に自系の前記メモリ部の前記プロセス制御プログラム及び前記プロセス制御データを送信するステップと、
    前記メモリ再診断モードに遷移した前記コントローラは、前記単独運転モードに遷移した前記コントローラから送信された前記プロセス制御プログラム及び前記プロセス制御データを受信して、自系の前記メモリ部に上書きし、該メモリ部の再診断を実行し複数ビットエラーの有無を判定するステップと、
    前記メモリ再診断モードに遷移した前記コントローラは、前記再診断の結果正常に修復された判定された場合には、自系を待機系として設定するステップとからなり、
    前記二重化制御装置の制御運転を中断することなく、前記メモリ部の複数ビットエラーを自動修復するようにしたことを特徴とする二重化制御装置のメモリ部の複数ビットエラーの自動修復方法。
JP2006330848A 2006-12-07 2006-12-07 二重化制御装置、及びそのメモリ部の複数ビットエラーの自動修復方法 Active JP4755968B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006330848A JP4755968B2 (ja) 2006-12-07 2006-12-07 二重化制御装置、及びそのメモリ部の複数ビットエラーの自動修復方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006330848A JP4755968B2 (ja) 2006-12-07 2006-12-07 二重化制御装置、及びそのメモリ部の複数ビットエラーの自動修復方法

Publications (2)

Publication Number Publication Date
JP2008146239A JP2008146239A (ja) 2008-06-26
JP4755968B2 true JP4755968B2 (ja) 2011-08-24

Family

ID=39606370

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006330848A Active JP4755968B2 (ja) 2006-12-07 2006-12-07 二重化制御装置、及びそのメモリ部の複数ビットエラーの自動修復方法

Country Status (1)

Country Link
JP (1) JP4755968B2 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5484117B2 (ja) * 2010-02-17 2014-05-07 株式会社日立製作所 ハイパーバイザ及びサーバ装置
US8916988B2 (en) * 2012-10-23 2014-12-23 General Electric Company Systems and methods for use in operating power generation systems
JP2014229130A (ja) * 2013-05-23 2014-12-08 株式会社日立製作所 高信頼プロセッサおよびそれを用いた高信頼制御装置
JP2019057267A (ja) * 2017-09-19 2019-04-11 株式会社明電舎 情報処理装置
JP2021114165A (ja) * 2020-01-20 2021-08-05 富士通株式会社 ストレージ制御装置及びストレージ制御プログラム

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS63228248A (ja) * 1987-03-18 1988-09-22 Hitachi Ltd 複数誤り訂正可能主記憶装置
JPH0376506A (ja) * 1989-08-15 1991-04-02 Iseki & Co Ltd 自走式脱穀装置
JPH03103236A (ja) * 1989-09-18 1991-04-30 Hitachi Ltd 核磁気共鳴マルチエコー撮影方法
JP2966966B2 (ja) * 1991-05-31 1999-10-25 株式会社東芝 プログラマブルコントローラの二重化装置
JP4465824B2 (ja) * 2000-07-06 2010-05-26 富士電機システムズ株式会社 コントローラシステム

Also Published As

Publication number Publication date
JP2008146239A (ja) 2008-06-26

Similar Documents

Publication Publication Date Title
JP4755968B2 (ja) 二重化制御装置、及びそのメモリ部の複数ビットエラーの自動修復方法
US20020038436A1 (en) Disk array apparatus, error control method for the same apparatus, and control program for the same method
JP3882783B2 (ja) プログラマブルコントローラ及びcpuユニット並びに通信ユニット及び通信ユニットの制御方法
US20080040552A1 (en) Duplex system and processor switching method
JP2011170589A (ja) ストレージ制御装置、ストレージ装置およびストレージ制御方法
JP4836979B2 (ja) 二重化プログラマブルコントローラ
JP2009140353A (ja) 再構成可能な集積回路、及びこれを用いた自己修復システム
JPH11353129A (ja) 稼働中に磁気ディスク交換可能な磁気ディスク装置及び磁気ディスクの交換方法
JP5028998B2 (ja) 情報記憶装置の制御方法、情報記憶装置、制御プログラム及び記録媒体
JP7316779B2 (ja) 施設監視システム、および、施設監視システムにおける通信方法
JP5287974B2 (ja) 演算処理システム、再同期方法、およびファームプログラム
JP2007172079A (ja) 二重化制御システム、及びその制御装置の制御プログラムの更新方法
JP5104479B2 (ja) 情報処理装置
JP5620730B2 (ja) 2重系演算処理装置および2重系演算処理方法
KR101457733B1 (ko) Hmi 이중화 장치
WO2021017360A1 (zh) 一种高速工业相机固件的防错架构及其控制方法
JP2005122763A (ja) 記憶装置
JP2007072980A (ja) 計算機制御システム
JP2011154593A (ja) メモリ装置およびそのセルフチェック制御方法
JP2014130418A (ja) メモリミラーリング装置、メモリミラーリング方法、及びそのプログラム
WO2015092915A1 (ja) 回線切替装置、回線切替システム、及び回線切替方法
JP2007274255A (ja) 冗長構成システム及びノード
JP2008250936A (ja) 二重化制御装置、及びそのトラッキング方法
JP2010003141A (ja) 二重化システム
JPH04360242A (ja) 二重化システムの系切替装置およびその方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20091022

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110427

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110506

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110530

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140603

Year of fee payment: 3

R151 Written notification of patent or utility model registration

Ref document number: 4755968

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140603

Year of fee payment: 3